应用程序特定的安全性的制作方法

1.本公开涉及在应用程序特征等级下应用到个别应用程序的细粒度安全性。

背景技术：

2.移动装置是现代生活不可或缺的一部分。人类每年花费数十亿小时与他们的装置进行交互，执行例如获取方向、与他人交流、玩游戏以及许多其它动作的动作。通常，当用户重起她的装置或将她的装置搁置一段时间然后恢复使用所述装置时，她会被要求重新认证以恢复使用她的装置。这在每天可能多次发生在数十亿移动装置用户中的每个人身上，累积起来会消耗大量时间，并可能导致用户感到沮丧。已经开发了许多系统来使锁定及解锁装置更容易且更高效，例如指纹扫描仪及面部辨识系统。然而，此类系统仍然为没有安全风险的应用程序及装置特征提供不必要的安全等级，且因此不能完全减轻用户的时间损失及挫败感。
附图说明
3.图1是说明一些实施方案可在其上操作的装置的概述的框图。
4.图2是说明一些实施方案可在其中操作的环境的概述的框图。
5.图3是说明在一些实施方案中可用于采用所公开技术的系统中的组件的框图。
6.图4是说明在一些实施方案中用于根据应用程序特定的安全设置启用或停用应用程序特征的过程的流程图。
7.图5a是说明根据应用程序特定的安全设置启用或停用应用程序的实例的概念图。
8.图5b是说明根据应用程序特定的安全设置启用或停用内部应用程序特征的实例的概念图。
9.通过结合附图参考以下详细描述可以更好地理解本文介绍的技术，其中相似的参考元件符号指示相同或功能类似的元件。
具体实施方式
10.描述根据应用程序特定的安全设置启用或停用应用程序特征的实施例。所述应用程序特定的安全设置可控制何时需要对应于认证过程的特定安全等级。应用程序特定的安全设置可定义应用程序特征的映射(例如，能够启动应用程序、特定内部应用程序特征及/或内部应用程序特征类别)以启用或停用各种安全等级。在各种实施方案中，应用程序特定的安全设置可由装置管理员、装置用户设置或可由应用程序开发人员针对应用程序自行选择。安全等级可对应于例如无需密码、仅需pin(例如四位数字)的认证过程，从而允许通过生物计量(例如指纹扫描仪、面部辨识、语音辨识等)进行认证，需要简单的密码或需要强密码。应用程序特定的安全设置可基于各种情况控制安全等级，例如设置特定位置的特定安全等级、基于自最后装置使用以来的时间设置不同安全等级(例如，改变锁定屏幕超时或设置使安全等级逐步升级之间的停止使用时间量)等。不同触发可致使安全系统检查应用程
序特定的安全设置，例如在位置改变后、在经设置超时时、响应于装置解锁动作或退出休眠动作、在装置起动时、当应用程序被激活时、响应于非活动时间量等。
11.作为实例，移动装置可安装有多个应用程序(“app”)。在此实例中，第一组app由雇主提供且具有指示存取仅可在用安全密码进行认证后才被授权的安全(例如移动装置管理)策略。第二组app具有由装置拥有者设置的应用程序特定的安全设置，其指示所述应用程序始终是可存取的而无需密码。第三组app具有由装置拥有者设置的应用程序特定的安全设置，其指示只要用户在她家地理位置处那么所述应用程序就应是可存取的。第四组app具有由装置拥有者设置的应用程序特定的安全设置，其指示在没有密码的情况下应用程序的通用功能应是可用的但处理财务事项的应用程序的内部特征应被停用，除非具有密码认证的安全等级是活动的。
12.继续所述实例，在操作中，当装置起动时、从休眠模式中返回时、在执行app或某些app功能后、在经设置的非活动时间量后或在移动阈值距离后，装置可确定安全事件。因此，当用户起动其她的装置时，她可以看见屏幕以键入她的密码或跳过键入密码。在选择了跳过选项后(当她在远离她家位置时)，仅第二组app及第四组app的非财务特征可使用。当用户选择了第一组中的app中的一者时，会提示她键入她的密码。在键入了密码之后，她被认证而进入最高安全等级，从而向她授权对所有app的所有特征的存取。在未使用她的装置达经设置时间之后，她的安全等级降级，从而再次仅允许她存取第二组app及第四组app的非财务特征。当用户到达她家位置时，第二组app、第三组app及第四组app的非财务特征变成可用。在选择了第四组app中的一者的财务特征后，会提示用户提供对应密码。在键入了密码后，向她授权对所选择的财务特征的存取。
13.现存认证系统提供各种认证方法，例如密码、个人识别号码(pin)、语音辨识、面部辨识及指纹辨识。然而，这些系统全都涉及用户是否匹配指派有安全设置的特定用户账户的二元确定。此类系统不允许对针对不同应用程序特征使用不同(或不使用)认证进行细粒度控制。另外，这些系统往往会提供安全漏洞，这是因为对必须不断键入他们的密码感到沮丧的用户选择了不安全的密码或跨系统重复相同密码。此外，不断要求用户键入密码及检查密码的有效性(通常使用网络带宽来向服务器验证凭证)既浪费处理能力又浪费电池寿命。所公开技术有望解决这些问题，从而基于每个应用程序特征提供具有对认证的更灵活控制的应用程序特定的安全设置。此外，此技术通过鼓励用户为需要密码的特征选择更安全的密码来提高安全性，同时允许其它特征使用安全性较低的认证过程。最后，通过消除要求并验证用户凭证的一些例子，可以节省处理循环及电池电力。
14.在下文参考图式更详细论述若干实施方案。图1是说明所公开技术的一些实施方案可在其上操作的装置的概述的框图。装置可包括针对安全等级提供应用程序特定的安全设置以启用或停用应用程序特征的装置100的硬件组件。装置100可包含向(若干)处理器110(例如(若干)cpu、(若干)gpu、(若干)hpu等)提供向其通知动作的输入的一或多个输入装置120。动作可由硬件控制器调解，所述硬件控制器解译从输入装置接收的信号并使用通信协议将信息传递给处理器110。输入装置120包含例如鼠标、键盘、触摸屏、红外传感器、触摸垫、穿戴式输入装置、基于相机或图像的输入装置、麦克风或其它用户输入装置。
15.处理器110可为一装置中或分布在多个装置上的单个处理单元或多个处理单元。处理器110可例如使用总线(例如pci总线或scsi总线)耦合到其它硬件装置。处理器110可
与用于装置(例如用于显示器130)的硬件控制器通信。显示器130可用于显示文本及图形。在一些实施方案中，显示器130向用户提供图形及文本视觉反馈。在一些实施方案中，显示器130包含输入装置作为显示器的部分，例如当输入装置是触摸屏或配备有眼睛方向监测系统时。在一些实施方案中，显示器与输入装置分离。显示器装置的实例是：lcd显示器屏幕、led显示器屏幕、投影、全息或增强现实显示器(例如抬头式显示器装置或头戴式装置)等。其它i/o装置140也可耦合到处理器，例如网卡、视频卡、音频卡、usb、固件或其它外部装置、相机、打印机、扬声器、cd-rom驱动器、dvd驱动器、磁盘驱动器或蓝光装置。
16.在一些实施方案中，装置100还包含能够与网络节点进行无线通信或有线通信的通信装置。通信装置可使用例如tcp/ip协议通过网络与另一装置或服务器通信。装置100可利用通信装置将操作分布在多个网络装置上。
17.处理器110可存取一装置中或分布在多个装置上的存储器150。存储器包含用于易失性及非易失性存储的各种硬件装置中的一或多者且可包含只读存储器及可写存储器两者。举例来说，存储器可包括随机存取存储器(ram)、各种高速缓存、cpu寄存器、只读存储器(rom)及可写非易失性存储器，例如快闪存储器、硬驱动器、软磁盘、cd、dvd、磁性存储装置、磁带驱动器等。存储器并非从底层硬件脱离的传播信号；因此存储器是非暂时性的。存储器150可包含存储程序及软件的程序存储器160，所述程序及软件例如操作系统162、应用程序特定的系统164及其它应用程序166。存储器150还可包含数据存储器170，例如安全策略及定义安全等级的应用程序特定的安全设置、用于验证凭证及生物计量的密钥、用以启用或停用的安全等级到应用程序特征的映射、配置数据、设置、用户选项或偏好等，其可被提供到装置100的程序存储器160或任何元件。
18.一些实施方案可与众多其它计算系统环境或配置一起操作。可适于与技术一起使用的计算系统、环境及/或配置的实例包含(但不限于)个人计算机、服务器计算机、手持式或膝上型装置、蜂窝电话、穿戴式电子器件、游戏机、平板装置、多处理器系统、基于微处理器的系统、机顶盒、可编程消费性电子产品、网络pc、迷你计算机、大型计算机、包含上述系统或装置的分布式计算环境或类似物。
19.图2是说明所公开技术的一些实施方案可在其中操作的环境200的概述的框图。环境200可包含一或多个客户端计算装置205a到205d，其实例可包含装置100。客户端计算装置205可在使用通过网络230到一或多个远程计算机(例如服务器计算装置)的逻辑连接的联网环境中操作。在一些实施方案中，应用程序特定的认证系统164可在例如由雇主或其它装置管理员经由网络230提供的策略中接收应用程序特定的安全设置。而且，在一些情况中，应用程序特定的认证系统164的应用程序特定的安全设置中设置的一些认证过程可指定需要经由网络230与第三方进行凭证验证。
20.在一些实施方案中，服务器210可为边缘服务器，其接收客户端请求并协调通过其它服务器(例如服务器220a到220c)满足那些请求。服务器计算装置210及220可包括计算系统，例如装置100。尽管每一服务器计算装置210及220在逻辑上显示为单个服务器，但服务器计算装置可各自是涵盖定位于相同物理位置处或在地理上不同的物理位置处的多个计算装置的分布式计算环境。在一些实施方案中，每一服务器220对应于一组服务器。
21.客户端计算装置205及服务器计算装置210及220可各自用作其它服务器/客户端装置的服务器或客户端。服务器210可连接到数据库215。服务器220a到220c可各自连接到
对应数据库225a到225c。如上文论述，每一服务器220可对应于一组服务器，且这些服务器中的每一者可共享数据库或可具有其自身数据库。数据库215及225可储存(例如存储)信息。尽管数据库215及225在逻辑上显示为单个单元，但数据库215及225可各自是涵盖多个计算装置的分布式计算环境、可定位于其对应服务器内或可定位于相同或物理位置处或在地理上不同的物理位置处。
22.网络230可为局域网(lan)或广域网(wan)，但也可为其它有线或无线网络。网络230可为因特网或某种其它公共或私有网络。客户端计算装置205可通过网络接口例如通过有线或无线通信连接到网络230。虽然服务器210与服务器220之间的连接被展示为单独连接，但这些连接可为任何种类的局域、广域、有线或无线网络，包含网络230或单独公共或私有网络。
23.图3是说明在一些实施方案中可用于采用所公开技术的系统中的组件300的框图。组件300包含硬件302、通用软件320及专门组件340。如上文论述，实施所公开技术的系统可使用各种硬件，包含处理单元304(例如cpu、gpu、apu等)、工作存储器306、存储存储器308(本地存储装置或作为到远程存储装置(例如存储装置215或225)的接口)及输入及输出装置310。在各种实施方案中，存储存储器308可为以下中的一或多者：本地装置、到远程存储装置的接口；或其组合。举例来说，存储存储器308可为可通过系统总线存取的一组一或多个硬驱动器(例如独立磁盘的冗余阵列(raid))或可为可经由一或多个通信网络(例如网络可存取存储(nas)装置，例如存储装置215或通过另一服务器220提供的存储装置)存取的云存储提供商或其它网络存储装置。组件300可实施于客户端计算装置(例如客户端计算装置205)中或服务器计算装置(例如服务器计算装置210或220)上。
24.通用软件320可包含各种应用程序，包含操作系统322、本地程序324及基本输入输出系统(bios)326。专门组件340可为通用软件应用程序320的子组件，例如本地程序324。专门组件340可包含应用程序特定的安全设置344、安全事件监测器346、认证实施模块348、应用程序接口350及可用于为控制专门组件提供用户接口、传送数据及其它处置的组件，例如接口342。在一些实施方案中，组件300可为分布在多个计算装置上的计算系统或可为到执行一或多个专门组件340的基于服务器的应用程序的接口。
25.应用程序特定的安全设置344可为用户、管理员或应用程序提供商定义的、用以启用或停用特定安全等级的a)安全等级与b)应用程序特征(例如全部应用程序、特定内部应用程序特征及/或内部应用程序特征类别)之间的映射。应用程序特定的安全设置344还可定义哪些安全事件将致使装置进入安全等级及那种安全等级需要哪些认证过程。关于应用程序特定的安全设置的额外细节在下文关于图4的框402、406及408论述。
26.安全事件监测器346可识别映射于应用程序特定的安全设置344中的安全事件。举例来说，安全事件监测器346可识别位置变化、解锁事件或装置休眠事件、装置起动事件或应用程序激活事件。关于识别安全事件的额外细节在下文关于图4的框404论述。
27.认证实施模块348可执行为由应用程序特定的安全设置344定义的安全等级定义的认证过程。举例来说，认证实施模块348可验证接收到的密码、验证生物计量信息、验证pin或确定安全等级变化无需认证过程。关于针对指定安全等级变化执行认证过程的额外细节在下文关于图4的框410及412论述。
28.应用程序接口350可致使一或多个应用程序特征根据在应用程序特定的安全设置
344中定义的映射被启用或停用。在来自安全事件监测器346的经识别安全事件及由认证实施模块348进行了成功的认证过程之后，应用程序接口可由应用程序特定的安全设置344调用。在一些实施方案中，全部应用程序的启用及/或停用可经由当前装置的操作系统执行，且内部应用程序特征的启用及/或停用可经由对具有那些特征的应用程序进行api调用来执行。关于根据安全等级启用或停用应用程序特征的额外细节在下文关于图4的框416论述。
29.所属领域的技术人员应了解，在上文描述的图1到3中及在下文论述的流程图中的每一者中说明的组件可以各种方式更改。举例来说，可重新布置逻辑的次序，可并行执行子步骤，可省略所说明的逻辑，可包含其它逻辑等。在一些实施方案中，上文描述的组件中的一或多者可执行下文描述的过程中的一或多者。
30.图4是说明在一些实施方案中用于根据应用程序特定的安全设置启用或停用应用程序特征的过程400的流程图。
31.在框402，过程400可接收应用程序特定的安全设置。在一些实施方案中，装置的一些应用程序特定的安全设置可通过与装置的用户交互来接收。在一些情况中，一些应用程序特定的安全设置可在由装置管理员指定的策略(例如移动装置管理策略)中接收(例如，经由网络或当最初供应装置时)。在又另外情况中，一些应用程序特定的安全设置可由应用程序本身定义，其中应用程序权限、由应用程序开发人员定义的设置或应用程序对装置上的数据及/或硬件的存取可指定使用那个应用程序所需的权限等级。
32.接收到的应用程序特定的安全设置可指定对应于认证过程的安全等级且还可指定在那个安全等级下启用或停用了哪些应用程序特征(例如应用程序、内部应用程序特征或内部应用程序特征类型)。在各种实施方案中，认证过程可包含：无需凭证(始终是解锁的)，指定生物计量足以进入安全等级，pin足以进入安全等级，进入安全等级需要特定地理位置或进入安全等级需要具有特定特性(例如长度、字符多样性、排除常见密码等)的密码。在一些实施方案中，可以层级定义安全等级使得在层级中处于更高等级的认证过程自动解锁层级中更低的安全等级。举例来说，层级可指定具有需要强密码的认证过程的安全等级自动认证用户进入使用生物计量凭证或具有地理位置要求的安全等级。
33.在一些实施方案中，应用程序特定的安全设置可指定用于激活、改变或降低安全等级的额外特征。举例来说，应用程序特定的安全设置可指定在装置位置变化时、在发生锁定屏幕超时时、在装置不活动的经设置周期后、在装置起动时、在应用程序被激活时等应重建安全等级。在一些实施方案中，应用程序特定的安全设置可指定针对不同安全等级降级或重新认证条件的不同情况。举例来说，可指定装置不活动(例如，没有用户输入的周期)的不同阈值以降级到特定安全等级。作为更特定实例，应用程序特定的安全设置可指定在认证进入具有强密码的最高安全等级之后，超时15秒将使安全等级降级(其中pin将重建最高安全等级)，但在超时一分钟之后，实现那个最高安全等级需要完整的强密码。
34.接收到的应用程序特定的安全设置还可指定安全等级到应用程序特征的映射。在一些情况中，应用程序特定的安全设置可定义将在特定安全等级下启用或停用的一组一或多个应用程序。在一些实施方案中，应用程序特定的安全设置可定义将在特定安全等级下启用或停用的特定应用程序的一组一或多个指定应用程序特征。在又另外实施方案中，应用程序特定的安全设置可定义将在特定安全等级下启用或停用的一或多个应用程序
特征的类别。在一些实施方案中，应用程序可提供允许对应用程序的存取根据应用程序特定的安全设置启用或停用特定特征或向特定特征指派类别的api或其它接入点。举例来说，游戏应用程序可包含api以根据当前安全等级启用或停用app内购买或将此类特征指派为“财务影响”特征，其它应用程序特定的安全设置可向其指派安全等级。另外，应用程序开发人员可将类别指派给应用程序特征，其可被指派给不同安全等级。在一些实施方案中，类别可形成一组经定义的标准类别。在其它例子中，系统可查询应用程序的经定义类别的名称，系统可向用户呈现所述名称以指派给安全等级。如果应用程序、应用程序特征及或应用程序特征类别针对当前安全等级尚未被明确映射为启用或停用，那么应用程序特定的安全设置还可为它们指定默认值(经启用或经停用)。
35.在框404，过程400可识别安全事件。安全事件可在不同实施方案中不同。在一些实施方案中，设置了系统监测的安全事件。在其它实施方案中，安全事件集可为动态的，这取决于应用程序特定的安全设置。特定来说，可分析应用程序特定的安全设置以确定哪些事件可触发安全等级变化，且那些事件变成一组安全事件。可为安全事件的事件的实例包含地理位置的阈值变化、锁定屏幕超时、装置解锁动作或装置休眠事件、装置起动事件、应用程序激活、非活动时间(例如，没有用户输入或没有检测到惯性移动)的阈值量等。
36.在框406，过程400可识别对应于在框404处识别的安全事件的安全等级。经识别安全等级可基于由在框402处接收的应用程序特定的安全设置定义的映射。
37.在框408，过程400可确定安全等级的变化是为经识别安全事件识别的安全等级所需的。如上文论述，在一些实施方案中，可以层级定义安全等级在层级中使得处于更高等级的认证过程自动解锁层级中更低的安全等级。过程400可确定在框406处识别的安全等级在层级中是与当前安全等级相同还是低于当前安全等级，在此情况中，过程400可继续到框416。在一些情况中，安全等级的变化可为安全等级的降级，例如在发生锁定屏幕超时时。在这些情况中，停用应用程序特征无需进行认证，使得过程400可立即进行安全等级改变且继续到框416。然而，如果相较于当前安全等级来说，在框406处识别的安全等级需要认证的变化，那么过程400可继续到框410。
38.在框410，过程400可执行安全等级从当前等级变化到在框406处识别的安全等级所需的认证过程。在一些实施方案中，认证过程由新安全等级定义，例如，需要密码、生物计量、pin等中的一或多者。在其它情况中，认证过程可基于当前安全等级与新安全等级之间的差异来定义。举例来说，如果当前安全等级需要生物计量，那么可能仅需要将pin升级到新安全等级，但如果当前安全等级无需认证，那么可能需要强密码来进行认证以达到新安全等级。在一些实施方案中，背景环境还可影响所需的认证过程。举例来说，如果用户先前被认证进入密码级安全等级，但超时引起了安全等级降级，那么在阈值时间量内用户可能够用pin重建她到密码级安全等级中的认证。
39.在框412，过程400可确定在框410处执行的认证过程是否成功。如果成功，那么过程400可进行安全等级改变且继续到框416。如果不成功，那么过程400可继续到框414，其中不允许安全事件，例如，不执行安全等级的改变且不执行对应用程序特征启用的改变。从框414，过程400可返回到框404，因为其继续监测额外安全事件。
40.在框416，过程400可根据新安全等级启用或停用应用程序特征。如上文论述，经启用或经停用安全等级可基于由在框402处接收的应用程序特定的安全设置定义的映射。在
各种实施方案中，启用或停用应用程序可结合操作系统或应用程序本身的配置一起执行。如上文论述，停用应用程序内的个别特征或特征类别可通过受保护的应用程序设置文件及/或对应用程序的api调用来执行。从框416，过程400可返回到框404，因为其继续监测额外安全事件。
41.图5a是说明根据应用程序特定的安全设置启用或停用全部应用程序的实例500的概念图。实例500展示具有用于数个经安装应用程序(包含应用程序504及506)的图标的移动装置502。在实例500中，已经设置安全等级，其经映射以启用一些应用程序(以实线展示，例如应用程序506)及停用其它应用程序(以虚线展示，例如应用程序504)。如果用户点击经启用应用程序中的一者，那么她能够使用所述应用程序。然而，如果她点击经停用应用程序中的一者，那么此将触发致使她在能够存取那个应用程序之前执行针对更高安全等级的认证过程的安全事件。
42.图5b是说明根据应用程序特定的安全设置的启用或停用内部应用程序特征的实例550的概念图。实例550展示正在运行电子阅读器应用程序552的移动装置502。电子阅读器应用程序552具有数个特征，例如阅读窗格556及购物车554。在实例500中，已经设置安全等级，其经映射以启用所有非财务应用程序特征。电子阅读器应用程序552的开发人员已将购物车特征554分类为财务特征而非阅读窗格556。因此，用户能够利用阅读窗格556，但无法利用购物车特征554(如通过以虚线展示购物车特征554来指示)。如果用户点击购物车特征554，那么此将触发致使她在能够存取购物车特征554之前执行针对更高安全等级的认证过程的安全事件。
43.上文参考图式描述了所公开技术的若干实施方案。可在其上实施所描述技术的计算装置可包含一或多个中央处理单元、存储器、输入装置(例如键盘及定点装置)、输出装置(例如显示器装置)、存储装置(例如磁盘驱动器)及网络装置(例如网络接口)。存储器及存储装置是计算机可读存储媒体，其可存储实施所描述技术的至少部分的指令。另外，数据结构及消息结构可经由数据传输媒体存储或传输，例如通信链路上的信号。可使用各种通信链路，例如因特网、局域网、广域网或点到点拨号连接。因此，计算机可读媒体可包括计算机可读存储媒体(例如“非暂时性”媒体)及计算机可读传输媒体。
44.本说明书中对“实施方案”(例如，“一些实施方案”、“各种实施方案”、“一个实施方案”、“一实施方案”等)的参考意味着结合实施方案描述的特定特征、结构或特性包含于本公开的至少一个实施方案中。说明书中的各个地方出现这些短语不一定都指代同一实施方案，单独或替代实施方案也不与其它实施方案互斥。此外，描述各种特征，其可由一些实施方案且不由其它实施方案展现。类似地，描述各种要求，其可为一些实施方案的要求但非其它实施方案的要求。
45.如本文使用，高于阈值意味着处于比较之下的项的值高于指定的另一值，处于比较之下的项在具有最大值的特定指定数目个项当中，或比较之下的项具有在指定最高百分比值内的值。如本文使用，低于阈值意味着处于比较之下的项的值低于指定的另一值，处于比较之下的项在具有最小值的特定指定数目个项当中，或处于比较之下的项具有在指定最低百分比值内的值。如本文使用，在阈值内意味着处于比较之下的项的值在两个指定的其它值之间，处于比较之下的项在中间指定数目个项当中，或处于比较之下的项具有在中间指定百分比范围内的值。相对术语，例如高或不重要的，当未另外定义时，可被理解为指派
一值及确定那个值如何与建立的阈值比较。举例来说，短语“选择最快连接”可被理解为意味着选择具有经指派的对应于高于阈值的其连接速度的值的连接。
46.如本文使用，字“或”指代一组项的任何可能排列。举例来说，短语“a、b或c”是指a、b、c中的至少一者或其任何组合，例如以下中的任何者：a；b；c；a及b；a及c；b及c；a、b及c；或任何项的倍数，例如a及a；b、b及c；a、a、b、c及c等。
47.尽管已以专用于结构特征及/或方法动作的语言描述了标的物，但应理解，所附权利要求书中定义的标的物不一定限于上文描述的特定特征或动作。本文已出于说明目的描述了特定实施例及实施方案，但可进行各种修改而不背离实施例及实施方案的范围。上文描述的特定特征及动作被公开为实施所附权利要求的实例形式。因此，实施例及实施方案除了受所附权利要求书限制外不受限制。
48.上文提及的任何专利、专利申请案及其它参考案通过引用方式并入本文中。如果有必要的话，可修改若干方面以采用上文描述的各种参考案的系统、功能及概念以提供又另外实施方案。如果通过引用方式并入的档案中的表述或标的物与本技术案的表述或标的物冲突，那么应以本技术案为准。

技术特征：

1.一种方法，其包括：接收指定安全事件到安全等级的映射的安全设置，其中每一安全等级定义实现那种安全等级所需的认证过程，且其中所述安全设置定义针对特定安全等级启用或停用的应用程序特征；识别对应于所述安全设置中的一者的安全事件；将所述映射应用到所述经识别安全事件以确定从先前安全等级到新安全等级的变化；执行为所述新安全等级定义的认证过程；以及响应于所述认证过程成功且基于所述安全设置，启用在所述先前安全等级中停用的一或多个应用程序特征。2.根据权利要求1所述的方法，其中启用应用程序的所述应用程序特征是基于在所述先前安全等级中停用且在所述安全设置中定义为在所述新安全等级中启用的应用程序特征的类别。3.根据权利要求2所述的方法，其中所述应用程序特征被所述应用的提供商识别为在所述应用程序特征的类别中。4.根据权利要求2所述的方法，其中所述应用程序特征经由用户致使对所述应用程序进行api调用以获得对所述应用程序特征的存取来被识别为在所述应用程序特征的类别中。5.根据权利要求1所述的方法，其中所述应用程序特征通过对具有在所述安全设置中指定的特征的应用程序进行api调用来启用。6.根据权利要求1所述的方法，其中所述安全事件包括位置变化的确定、解锁事件或装置休眠事件的识别、装置起动事件的识别或应用程序激活事件的识别中的一者。7.根据权利要求1所述的方法，其中为所述新安全等级定义的所述认证过程基于包含所述先前安全等级与所述新安全等级之间的差异的背景环境来定义。8.根据权利要求1所述的方法，其中所述安全设置中的至少一些由经由网络从远程源接收的策略定义。9.根据权利要求1所述的方法，其中所述安全设置中的至少一些定义能够在一安全等级下用无需认证用户输入的应用程序过程存取的应用程序或应用程序特征。10.根据权利要求1所述的方法，其中所述安全事件包括确定到新位置的位置变化；其中所述认证过程包括确定所述新位置在定义于在所述映射中映射到所述安全事件的安全设置中的经识别安全区中，且其中所述应用程序特征响应于所述认证过程被启用而无需来自用户的进一步认证输入。11.根据权利要求1所述的方法，其中所述安全设置中的至少一些映射到包括第一超时的安全事件，当所述第一超时到期时，停用第一组应用程序及/或应用程序特征；且其中所述安全设置中的至少一些映射到包括第二超时的安全事件，当所述第二超时到期时，停用第二组应用程序及/或应用程序特征。12.一种系统，其包括：
一或多个处理器；以及一或多个存储器，其存储在由所述一或多个处理器执行时致使所述计算系统执行包括以下的操作的指令：识别对应于一或多个应用程序特定的安全设置的安全事件，其中所述应用程序特定的安全设置指定安全事件到安全等级的映射，其中每一安全等级定义实现那种安全等级所需的认证过程，且其中所述应用程序特定的安全设置定义针对特定安全等级启用或停用的应用程序特征；将所述映射应用到所述经识别安全事件以识别从先前安全等级到新安全等级的变化；执行为所述新安全等级定义的认证过程；以及响应于所述认证过程成功且基于所述应用程序特定的安全设置，启用在所述先前安全等级中停用的一或多个应用程序特征。13.根据权利要求12所述的计算系统，其中启用应用程序的所述应用程序特征是基于在所述先前安全等级中停用且在所述应用程序特定的安全设置中定义为在所述新安全等级中启用的应用程序特征的类别。14.根据权利要求13所述的计算系统，其中所述应用程序特征通过用户致使对所述应用程序进行api调用以获得对所述应用程序特征的存取来被识别为在所述应用程序特征的类别中。15.根据权利要求12所述的计算系统，其中所述安全事件包括识别解锁事件或装置休眠退出事件或识别装置起动事件的确定中的一者。16.根据权利要求12所述的计算系统，其中所述应用程序特定的安全设置中的至少一些由经由网络从远程源接收的策略定义。17.根据权利要求12所述的计算系统，其中所述应用程序特定的安全设置中的至少一些定义能够在一安全等级下在无需认证的情况下存取的应用程序特征。18.根据权利要求12所述的计算系统，其中所述安全事件包括确定到新位置的位置变化；其中所述认证过程包括确定所述新位置在定义于在所述映射中映射到所述安全事件的应用程序特定的安全设置中的经识别安全区中，且其中所述应用程序及应用程序特征响应于所述认证过程被启用而无需来自用户的进一步认证输入。19.一种存储指令的计算机可读存储媒体，所述指令当由计算系统执行时致使所述计算系统执行包括以下的操作：接收指定安全事件到安全等级的映射的安全设置，其中每一安全等级定义实现那种安全等级所需的认证过程，且其中所述安全设置定义针对特定安全等级启用或停用的应用程序特征；识别对应于所述安全设置中的一者的安全事件；将所述映射应用到所述经识别安全事件以确定从先前安全等级到新安全等级的变化；执行为所述新安全等级定义的认证过程；以及响应于所述认证过程成功且基于所述安全设置，启用在所述先前安全等级中停用的一或多个应用程序特征。
20.根据权利要求19所述的计算机可读存储媒体，其中所述安全设置中的至少一些定义能够在一安全等级下在无需认证的情况下存取的应用程序特征。

技术总结

本发明描述根据应用程序特定的安全设置启用或停用应用程序特征的实施例。所述应用程序特定的安全设置能够控制何时需要对应于认证过程的特定安全等级。所述安全等级能够对应于例如无需密码、仅需要PIN、允许通过生物计量进行认证或需要密码等的认证过程。所述应用程序特定的安全设置能够基于各种情况控制安全等级，例如针对特定位置设置特定安全等级、基于自最后装置使用以来的时间设置不同安全等级等。在各种实施方案中，所述安全等级能够映射到应用程序特征以进行启用或停用。射到应用程序特征以进行启用或停用。射到应用程序特征以进行启用或停用。