客戶端設備的策略執(zhí)行的制作方法
【專利摘要】一種方法可包括由客戶端設備向認證服務器設備發(fā)送訪問請求。該訪問請求可包括用以訪問被管理資源的請求���。該方法可包括響應于客戶端設備不遵守與被管理資源相關聯(lián)的管理策略而從認證服務器設備接收關于安裝客戶端應用的一個或多個指令��,由客戶端設備根據(jù)該指令來接收客戶端應用�,并將客戶端應用安裝在客戶端設備上���。
【專利說明】客戶端設備的策略執(zhí)行
【背景技術】
[0001]手持式移動設備已變成用于訪問計算機網(wǎng)絡上的信息的有效工具����。雇員越來越多地使用其移動設備來遠程地訪問公司信息�、應用及其他資源。然而���,如果雇員的移動設備未至少如雇主策略那樣嚴格地遵守數(shù)據(jù)安全策略或訪問策略���,則敏感的公司信息可能易受到未授權訪問。例如���,如果雇員丟失其移動設備并且該移動設備未被密碼保護�,則發(fā)現(xiàn)該移動設備的任何人可以能夠使用該移動設備來訪問公司信息。
【發(fā)明內容】
[0002]在一個實施例中����,一種方法可以包括由客戶端設備向認證服務器設備發(fā)送訪問請求����。該訪問請求可以包括用以訪問被管理資源的請求。該方法可以包括響應于客戶端設備未遵守與被管理資源相關聯(lián)的管理策略而從認證服務器設備接收關于安裝客戶端應用的一個或多個指令�����,由客戶端設備根據(jù)該指令來接收客戶端應用���,并將客戶端應用程序安裝在客戶端設備上�����。
[0003]在一個實施例中���,一種方法可以包括從客戶端設備接收對被管理資源的訪問請求,確定客戶端設備是否遵守與被管理資源相關聯(lián)的管理策略�����,響應于客戶端設備遵守管理策略�,向客戶端設備發(fā)送令牌����,并且響應于客戶端設備不遵守管理策略���,向客戶端設備發(fā)送命令客戶端設備如何遵守管理策略的一個或多個指令��。
[0004]在一個實施例中��,一種方法可以包括從客戶端設備接收用以訪問客戶端應用的請求�����??蓪⒖蛻舳藨门渲贸蓪蛻舳嗽O備應用管理策略���。該方法可以包括向客戶端設備發(fā)送客戶端應用并用指示客戶端設備遵守管理策略的信息來更新客戶端注冊表��。
[0005]在一個實施例中�,一種系統(tǒng)可以包括與客戶端設備通信的認證服務器設備����。可將認證服務器設備配置成確定客戶端設備是否被允許訪問一個或多個被管理資源。該系統(tǒng)可以包括與客戶端設備和認證服務器設備通信的管理服務器設備���??蓪⒃摴芾矸掌髟O備配置成確定客戶端設備是否遵守控制客戶端設備訪問一個或多個被管理資源的能力的管理策略�����。
【專利附圖】
【附圖說明】
[0006]圖1圖示了根據(jù)一個實施例的用于對客戶端設備進行認證和/或對客戶端設備應用管理策略的系統(tǒng)���。
[0007]圖2-4圖示了根據(jù)某些實施例的對客戶端設備進行認證和/或對客戶端設備應用管理策略的方法。
[0008]圖5圖示了根據(jù)一個實施例的可在客戶端設備上顯示的關于客戶端應用的信息���。
[0009]圖6圖示了根據(jù)一個實施例的可用來包含或實現(xiàn)程序指令的內部硬件的框圖����。
【具體實施方式】
[0010]本公開不限于所述的特定系統(tǒng)�����、設備和方法�����,因為這些可改變。在本描述中所使用的術語僅僅用于描述特定版本或實施例的目的����,并且并不意圖限制范圍。
[0011]在本文中所使用的單數(shù)形式“一”��、“一個”和“該”意圖也包括復數(shù)引用����,除非上下文另外明確地指示。除非另外定義���,本文所使用的所有技術和科學術語具有與本領域的技術人員一般理解的相同的意義���。不應將本公開中的任何內容理解為在本公開中所述的實施例沒有資格借助于現(xiàn)有發(fā)明使此類公開提前發(fā)生的許可。在本文中所示用的術語“包括”意指“包括但不限于”�����。
[0012]出于本申請的目的����,以下術語應具有下面所闡述的相應意義:
[0013]“計算設備”指的是根據(jù)一個或多個編程指令來執(zhí)行一個或多個操作的電子設備。
[0014]“客戶端設備”指的是被配置成通過網(wǎng)絡來訪問一個或多個被管理資源的計算設備����?����?蛻舳嗽O備可以是便攜式或移動電子設備���。客戶端設備可在沒有限制的情況下包括計算機�����、因特網(wǎng)信息亭�、個人數(shù)字助理����、蜂窩電話、游戲設備���、臺式計算機����、膝上型計算機����、平板計算機等�����。
[0015]“認證服務器設備”指的是被配置成確定客戶端設備是否遵守管理策略的計算設備����。認證服務器設備可在沒有限制的情況下包括服務器��、主機計算機����、聯(lián)網(wǎng)計算機、基于處理器的設備�、虛擬機等。
[0016]“管理服務器設備”指的是被配置成對客戶端設備應用管理策略的計算設備��。管理策略設備可在沒有限制的情況下包括服務器����、主機計算機、聯(lián)網(wǎng)計算機���、基于處理器的設備����、虛擬機等。
[0017]“管理策略”指的是控制客戶端設備對一個或多個被管理資源的訪問的一個或多個規(guī)則��、策略�����、方針等��。
[0018]“被管理資源”指的是由管理員管理的一個或多個應用程序��。
[0019]“客戶端應用”指的是被配置成命令客戶端設備執(zhí)行一個或多個任務的應用程序��。
[0020]圖1圖示了根據(jù)一個實施例的用于對客戶端設備進行認證和/或對客戶端設備應用管理策略的系統(tǒng)100���。在實施例中,可將一個或多個客戶端設備102連接到一個或多個通信網(wǎng)絡104�����、122����。在一個實施例中���,客戶端設備102可包括客戶端存儲器110?���?蓪⑼ㄐ啪W(wǎng)絡104連接到認證服務器設備106。在一個實施例中����,可將通信網(wǎng)絡122連接到管理服務器設備108。
[0021]在一個實施例中�����,通信網(wǎng)絡104���、122可以是局域網(wǎng)(LAN)��、廣域網(wǎng)(WAN)等�。例如��,通信網(wǎng)絡104�����、122可以是外部網(wǎng)、內部網(wǎng)����、因特網(wǎng)等。在一個實施例中�,通信網(wǎng)絡104、122可提供客戶端設備102��、認證服務器設備106和/或管理服務器設備108之間的通信能力�。
[0022]在一個實施例中,通信網(wǎng)絡104�����、122可使用超文本傳輸協(xié)議(HTTP)以使用傳輸控制協(xié)議/網(wǎng)際協(xié)議(TCP/IP)來傳送信息����。HTTP可允許客戶端設備102訪問經(jīng)由通信網(wǎng)絡104、122可用的資源�����。
[0023]在一個實施例中��,認證服務器設備106可包括與計算機可讀存儲介質114通信的處理器112�����。認證服務器設備106可與一個或多個客戶端設備102和/或管理服務器設備108通信�����。雖然被描述為單個計算機系統(tǒng)����,但可將認證服務器設備106實現(xiàn)為計算機處理器網(wǎng)絡。
[0024]在一個實施例中����,管理服務器設備108可包括與計算機可讀存儲介質114通信的處理器112。管理服務器設備108可與一個或多個客戶端設備102和/或認證服務器設備106通信���。雖然被描述為單個計算機系統(tǒng)�,但可將管理服務器設備108實現(xiàn)為計算機處理器網(wǎng)絡�。管理服務器設備108的示例可包括服務器、主機計算機��、聯(lián)網(wǎng)計算機����、基于處理器的設備等�。
[0025]在一個實施例中��,認證服務器設備106和/或管理服務器設備108可與客戶端注冊表120通信�����?����?蛻舳俗员砜砂ㄅc客戶端是否遵守管理策略相關聯(lián)的信息�����。在一個實施例中��,客戶端注冊表可以是數(shù)據(jù)庫或其他計算機可讀存儲介質���?���?蓪⒖蛻舳俗员?20存儲在認證服務器設備106��、管理服務器設備108和/或另一計算設備上���。
[0026]圖2圖示了根據(jù)一個實施例的用于對客戶端設備進行認證和對客戶端設備應用管理策略的方法����。在一個實施例中��,客戶端設備可以嘗試200訪問一個或多個被管理資源�。被管理資源可以是由不是客戶端設備用戶的管理員管理的軟件應用。例如����,電子郵件應用、文字處理應用和日歷應用可以是被管理資源的示例���,并且這些資源可由雇主管理員管理���。在本公開的范圍內可使用附加和/或替選管理員。
[0027]在一個實施例中�����,客戶端設備可嘗試200響應于用戶選擇客戶端設備上的被管理資源的圖標���、圖形���、鏈接或其他表示而訪問被管理資源����。在一個實施例中���,客戶端設備可嘗試響應于客戶端設備用戶提供與被管理資源相關聯(lián)的諸如用戶名和/或密碼之類的登錄信息而訪問被管理資源�。
[0028]在一個實施例中�,客戶端設備可向認證服務器設備發(fā)送202對被管理資源的訪問請求。訪問請求可包括與正在請求訪問的客戶端設備相關聯(lián)的標識符����。在一個實施例中,訪問請求可包括客戶端設備正在請求訪問的一個或多個被管理資源���。該訪問請求可包括加密的密碼或其他加密信息�����。
[0029]圖3圖示了根據(jù)一 個實施例的由認證服務器設備對客戶端設備進行認證的方法�����。如圖3所示����,認證服務器設備可接收300訪問請求��,并且可驗證302客戶端設備是否服從管理策略�。在一個實施例中,管理策略可包括客戶端設備必須滿足以便訪問一個或多個被管理資源的一個或多個規(guī)則�����、條件等��。在一個實施例中�����,管理策略可包括一個或多個數(shù)據(jù)安全策略���。示例性數(shù)據(jù)安全策略可包括從丟失或被盜客戶端設備遠程地擦除數(shù)據(jù)�,在一段時間的不活動之后將空閑客戶端設備鎖定�����,要求用以訪問客戶端設備的密碼,為一個或多個客戶端密碼設置最小長度�����,要求具有某個格式的密碼等���。在一個實施例中���,可針對一組被管理資源來管理管理策略。例如���,同一組數(shù)據(jù)安全策略可應用于與雇主相關聯(lián)的所有被管理資源���。替選地,可使每個被管理資源與不同的管理策略相關聯(lián)��。例如��,可使第一被管理資源與第一管理策略相關聯(lián)���,而可使第二被管理資源與第二管理策略相關聯(lián)����。
[0030]在一個實施例中,認證服務器可通過分析客戶端注冊表來驗證302客戶端設備是否服從管理策略��?���?蛻舳俗员砜砂蛻舳说牧斜砗团c每個相關聯(lián)的狀態(tài)。例如���,客戶端注冊表可包括與注冊表中的每個客戶端相關聯(lián)的唯一標識符以及用于每個客戶端的關于客戶端設備是否遵守管理策略的狀態(tài)。示例性唯一標識符可包括與客戶端設備相關聯(lián)的序號或其他唯一字母數(shù)字標識符�。表1圖示了根據(jù)實施例的示例性客戶端注冊表。
[0031]
【權利要求】
1.一種方法����,包括: 由客戶端設備向認證服務器設備發(fā)送訪問請求,其中�,所述訪問請求包括用以訪問被管理資源的請求; 響應于所述客戶端設備不遵守與所述被管理資源相關聯(lián)的管理策略: 從所述認證服務器設備接收關于安裝客戶端應用的一個或多個指令���, 由所述客戶端設備根據(jù)所述指令來接收客戶端應用����,以及 將所述客戶端應用安裝在所述客戶端設備上�����。
2.根據(jù)權利要求1所述的方法,進一步包括: 向管理服務器設備發(fā)送對所述客戶端應用的請求�����, 其中���,接收客戶端應用包括從所述管理服務器設備接收所述客戶端應用程序����。
3.根據(jù)權利要求1所述的方法�,其中,所述客戶應用被配置成運行以下中的一個或多個: 使得需要密碼來訪問所述客戶端設備��; 使得所述密碼滿足一個或多個格式要求�; 針對所述客戶端設備迫使密碼重置; 響應于所述客戶端在空閑模式下操作一段時間而自動地鎖定客戶端�����;以及 防止所述客戶端設備在空閑模式下操作�。
4.根據(jù)權利要求1所述的方法,其中����,所述客戶端應用被配置成響應于接收到一個或多個指令而從所述客戶端設備去除數(shù)據(jù)�����。
5.根據(jù)權利要求1所述的方法�����,進一步包括在一時間段內向管理服務器設備發(fā)送通?目�����。
6.根據(jù)權利要求1所述的方法,進一步包括在一個或多個時間向管理服務器設備發(fā)送通信��。
7.根據(jù)權利要求1所述的方法�,其中,所述客戶端應用被配置成向管理服務器設備通信以下客戶端設備特征中的一個或多個: 與所述客戶端設備相關聯(lián)的電話號碼�; 與所述客戶端設備相關聯(lián)的序列號; 到或來自所述客戶端設備的呼叫是否是活動的指示���;以及 與所述客戶端設備相關聯(lián)的位置��。
8.根據(jù)權利要求1所述的方法�,進一步包括響應于所述客戶端設備遵守與所述被管理資源相關聯(lián)的管理策略,向所述客戶端設備發(fā)送令牌以用來訪問所述被管理資源����。
9.一種方法,包括: 從客戶端設備接收對被管理資源的訪問請求�����; 確定所述客戶端設備是否遵守與所述被管理資源相關聯(lián)的管理策略���; 響應于所述客戶端設備遵守所述管理策略�����,向所述客戶端設備發(fā)送令牌��;以及響應于所述客戶端設備不遵守所述管理策略�,向所述客戶端設備發(fā)送命令所述客戶端設備如何遵守所述管理策略的一個或多個指令�����。
10.根據(jù)權利要求9所述的方法����,其中: 接收訪問請求包括接收包括與所述客戶端設備相關聯(lián)的唯一標識符的訪問請求���;確定所述客戶端設備是否遵守管理策略包括: 將所述唯一標識符與客戶端注冊表中的信息相比較, 響應于所述唯一標識符與來自所述客戶端注冊表的信息匹配并且與所述信息相關聯(lián)的狀態(tài)指示所述客戶端設備遵守所述管理策略����,確定所述客戶端設備遵守所述管理策略,響應于所述唯一標識符不與來自所述客戶端注冊表的信息匹配����,確定所述客戶端不遵守所述管理策略;以及 響應于所述唯一標識符與來自所述客戶端注冊表的信息匹配并且與所述信息相關聯(lián)的狀態(tài)指示所述客戶端設備不遵守所述管理策略�����,確定所述客戶端設備不遵守所述管理策略���。
11.根據(jù)權利要求9所述的方法,其中�,向所述客戶端設備發(fā)送一個或多個指令包括向所述客戶端設備發(fā)送命令所述客戶端設備從管理服務器設備下載客戶端應用程序的一個或多個指令,其中�����,所述客戶端應用被配置成對所述客戶端設備應用一個或多個數(shù)據(jù)安全策略。
12.根據(jù)權利要求11所述的方法���,其中�,所述客戶端應用被配置成對所述客戶端設備應用以下數(shù)據(jù)安全策略中的一個或多個: 使得需要密碼以訪問所述客戶端設備�; 使得所述密碼滿足一個或多個格式要求; 針對所述客戶端設備迫使密碼重置�; 響應于所述客戶端設備在空閑模式下操作一段時間而自動地鎖定所述客戶端設備;以及 防止所述客戶端設備在空閑模式下操作�����。
13.根據(jù)權利要求11所述的方法�����,其中��,所述客戶端應用被配置成從所述客戶端設備去除數(shù)據(jù)�����。
14.根據(jù)權利要求9所述的方法�����,還包括響應于接收到所述訪問請求而向管理員通知所述訪問請求。
15.—種方法,包括: 從客戶端設備接收用以訪問客戶端應用的請求�,其中,所述客戶端應用被配置成對所述客戶端設備應用管理策略�; 向所述客戶端設備發(fā)送所述客戶端應用;以及 用指示所述客戶端設備遵守所述管理策略的信息來更新客戶端注冊表���。
16.根據(jù)權利要求15所述的方法�,其中: 接收用以訪問客戶端應用的請求包括接收包括與所述客戶端設備相關聯(lián)的唯一標識符的用以訪問客戶端應用的請求���;以及 更新客戶端注冊表包括向所述客戶端注冊表添加所述唯一標識符�。
17.根據(jù)權利要求15所述的方法�����,其中��,更新客戶端注冊表包括從所述客戶端設備接收注冊信息并且用所述注冊信息的至少一部分來更新所述客戶端注冊表����。
18.根據(jù)權利要求15所述的方法�,還包括響應于在一時間段內沒有從所述客戶端設備接收到通信而用指示所述客戶端設備不遵守所述管理策略的信息來更新所述客戶端注冊表。
19.根據(jù)權利要求15所述的方法���,還包括響應于在特定時間沒有從所述客戶端設備接收到通信而用指示所述客戶端設備不遵守所述管理策略的信息來更新所述客戶端注冊表�����。
20.—種系統(tǒng),包括: 與客戶端設備通信的認證服務器設備�,其中,所述認證服務器設備被配置成確定客戶端設備是否被允許訪問一個或多個被管理資源��;以及 與所述客戶端設備和所述認證服務器設備通信的管理服務器設備����,其中,所述管理服務器設備被配置成確定所述客戶端設備是否遵守控制所述客戶端設備訪問所述一個或多個被管理資源的能力的管理策略���。
21.根據(jù)權利要求20所述的系統(tǒng)�����,進一步包括與所述認證服務器設備和所述管理服務器設備通信的客戶端注冊表�,其中��,所述客戶端注冊表包括關于一個或多個客戶端設備對所述管理策略的遵守性的信息��。
22.根據(jù)權利要求20所述的系統(tǒng)����,其中�����,所述管理服務器設備進一步被配置成:如果所述管理服務器設備在一段時間內沒有從所述客戶端設備接收到通信�����,則用客戶端不遵守所述管理策略的指示來更新所述客戶端注冊表��。
23.根據(jù)權利要求20所述的系統(tǒng)��,其中��,所述認證服務器設備進一步被配置成響應于確定所述客戶端設備被允許訪問所述一個或多個被管理資源而向所述客戶端設備發(fā)送令牌�。
【文檔編號】G06F21/57GK104025108SQ201280064750
【公開日】2014年9月3日 申請日期:2012年10月18日 優(yōu)先權日:2011年10月28日
【發(fā)明者】殷莉, 帕蘭姆·雷達帕加里, 馬尤爾·卡馬特, 左正平, 張宏 申請人:谷歌公司