CN104025108A - 客户端设备的策略执行 - Google Patents

客户端设备的策略执行 Download PDF

Info

Publication number
CN104025108A
CN104025108A CN201280064750.4A CN201280064750A CN104025108A CN 104025108 A CN104025108 A CN 104025108A CN 201280064750 A CN201280064750 A CN 201280064750A CN 104025108 A CN104025108 A CN 104025108A
Authority
CN
China
Prior art keywords
client device
described client
access
client
operating strategy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201280064750.4A
Other languages
English (en)
Other versions
CN104025108B (zh
Inventor
殷莉
帕兰姆·雷达帕加里
马尤尔·卡马特
左正平
张宏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Google LLC
Original Assignee
Google LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Google LLC filed Critical Google LLC
Priority to CN201710770819.XA priority Critical patent/CN107438081B/zh
Publication of CN104025108A publication Critical patent/CN104025108A/zh
Application granted granted Critical
Publication of CN104025108B publication Critical patent/CN104025108B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/61Installation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/082Access security using revocation of authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/37Managing security policies for mobile devices or for controlling mobile applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/50Service provisioning or reconfiguring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Information Transfer Between Computers (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

一种方法可包括由客户端设备向认证服务器设备发送访问请求。该访问请求可包括用以访问被管理资源的请求。该方法可包括响应于客户端设备不遵守与被管理资源相关联的管理策略而从认证服务器设备接收关于安装客户端应用的一个或多个指令,由客户端设备根据该指令来接收客户端应用,并将客户端应用安装在客户端设备上。

Description

客户端设备的策略执行
背景技术
手持式移动设备已变成用于访问计算机网络上的信息的有效工具。雇员越来越多地使用其移动设备来远程地访问公司信息、应用及其他资源。然而,如果雇员的移动设备未至少如雇主策略那样严格地遵守数据安全策略或访问策略,则敏感的公司信息可能易受到未授权访问。例如,如果雇员丢失其移动设备并且该移动设备未被密码保护,则发现该移动设备的任何人可以能够使用该移动设备来访问公司信息。
发明内容
在一个实施例中,一种方法可以包括由客户端设备向认证服务器设备发送访问请求。该访问请求可以包括用以访问被管理资源的请求。该方法可以包括响应于客户端设备未遵守与被管理资源相关联的管理策略而从认证服务器设备接收关于安装客户端应用的一个或多个指令,由客户端设备根据该指令来接收客户端应用,并将客户端应用程序安装在客户端设备上。
在一个实施例中,一种方法可以包括从客户端设备接收对被管理资源的访问请求,确定客户端设备是否遵守与被管理资源相关联的管理策略,响应于客户端设备遵守管理策略,向客户端设备发送令牌,并且响应于客户端设备不遵守管理策略,向客户端设备发送命令客户端设备如何遵守管理策略的一个或多个指令。
在一个实施例中,一种方法可以包括从客户端设备接收用以访问客户端应用的请求。可将客户端应用配置成对客户端设备应用管理策略。该方法可以包括向客户端设备发送客户端应用并用指示客户端设备遵守管理策略的信息来更新客户端注册表。
在一个实施例中,一种系统可以包括与客户端设备通信的认证服务器设备。可将认证服务器设备配置成确定客户端设备是否被允许访问一个或多个被管理资源。该系统可以包括与客户端设备和认证服务器设备通信的管理服务器设备。可将该管理服务器设备配置成确定客户端设备是否遵守控制客户端设备访问一个或多个被管理资源的能力的管理策略。
附图说明
图1图示了根据一个实施例的用于对客户端设备进行认证和/或对客户端设备应用管理策略的系统。
图2-4图示了根据某些实施例的对客户端设备进行认证和/或对客户端设备应用管理策略的方法。
图5图示了根据一个实施例的可在客户端设备上显示的关于客户端应用的信息。
图6图示了根据一个实施例的可用来包含或实现程序指令的内部硬件的框图。
具体实施方式
本公开不限于所述的特定系统、设备和方法,因为这些可改变。在本描述中所使用的术语仅仅用于描述特定版本或实施例的目的,并且并不意图限制范围。
在本文中所使用的单数形式“一”、“一个”和“该”意图也包括复数引用,除非上下文另外明确地指示。除非另外定义,本文所使用的所有技术和科学术语具有与本领域的技术人员一般理解的相同的意义。不应将本公开中的任何内容理解为在本公开中所述的实施例没有资格借助于现有发明使此类公开提前发生的许可。在本文中所示用的术语“包括”意指“包括但不限于”。
出于本申请的目的,以下术语应具有下面所阐述的相应意义:
“计算设备”指的是根据一个或多个编程指令来执行一个或多个操作的电子设备。
“客户端设备”指的是被配置成通过网络来访问一个或多个被管理资源的计算设备。客户端设备可以是便携式或移动电子设备。客户端设备可在没有限制的情况下包括计算机、因特网信息亭、个人数字助理、蜂窝电话、游戏设备、台式计算机、膝上型计算机、平板计算机等。
“认证服务器设备”指的是被配置成确定客户端设备是否遵守管理策略的计算设备。认证服务器设备可在没有限制的情况下包括服务器、主机计算机、联网计算机、基于处理器的设备、虚拟机等。
“管理服务器设备”指的是被配置成对客户端设备应用管理策略的计算设备。管理策略设备可在没有限制的情况下包括服务器、主机计算机、联网计算机、基于处理器的设备、虚拟机等。
“管理策略”指的是控制客户端设备对一个或多个被管理资源的访问的一个或多个规则、策略、方针等。
“被管理资源”指的是由管理员管理的一个或多个应用程序。
“客户端应用”指的是被配置成命令客户端设备执行一个或多个任务的应用程序。
图1图示了根据一个实施例的用于对客户端设备进行认证和/或对客户端设备应用管理策略的系统100。在实施例中,可将一个或多个客户端设备102连接到一个或多个通信网络104、122。在一个实施例中,客户端设备102可包括客户端存储器110。可将通信网络104连接到认证服务器设备106。在一个实施例中,可将通信网络122连接到管理服务器设备108。
在一个实施例中,通信网络104、122可以是局域网(LAN)、广域网(WAN)等。例如,通信网络104、122可以是外部网、内部网、因特网等。在一个实施例中,通信网络104、122可提供客户端设备102、认证服务器设备106和/或管理服务器设备108之间的通信能力。
在一个实施例中,通信网络104、122可使用超文本传输协议(HTTP)以使用传输控制协议/网际协议(TCP/IP)来传送信息。HTTP可允许客户端设备102访问经由通信网络104、122可用的资源。
在一个实施例中,认证服务器设备106可包括与计算机可读存储介质114通信的处理器112。认证服务器设备106可与一个或多个客户端设备102和/或管理服务器设备108通信。虽然被描述为单个计算机系统,但可将认证服务器设备106实现为计算机处理器网络。
在一个实施例中,管理服务器设备108可包括与计算机可读存储介质114通信的处理器112。管理服务器设备108可与一个或多个客户端设备102和/或认证服务器设备106通信。虽然被描述为单个计算机系统,但可将管理服务器设备108实现为计算机处理器网络。管理服务器设备108的示例可包括服务器、主机计算机、联网计算机、基于处理器的设备等。
在一个实施例中,认证服务器设备106和/或管理服务器设备108可与客户端注册表120通信。客户端注册表可包括与客户端是否遵守管理策略相关联的信息。在一个实施例中,客户端注册表可以是数据库或其他计算机可读存储介质。可将客户端注册表120存储在认证服务器设备106、管理服务器设备108和/或另一计算设备上。
图2图示了根据一个实施例的用于对客户端设备进行认证和对客户端设备应用管理策略的方法。在一个实施例中,客户端设备可以尝试200访问一个或多个被管理资源。被管理资源可以是由不是客户端设备用户的管理员管理的软件应用。例如,电子邮件应用、文字处理应用和日历应用可以是被管理资源的示例,并且这些资源可由雇主管理员管理。在本公开的范围内可使用附加和/或替选管理员。
在一个实施例中,客户端设备可尝试200响应于用户选择客户端设备上的被管理资源的图标、图形、链接或其他表示而访问被管理资源。在一个实施例中,客户端设备可尝试响应于客户端设备用户提供与被管理资源相关联的诸如用户名和/或密码之类的登录信息而访问被管理资源。
在一个实施例中,客户端设备可向认证服务器设备发送202对被管理资源的访问请求。访问请求可包括与正在请求访问的客户端设备相关联的标识符。在一个实施例中,访问请求可包括客户端设备正在请求访问的一个或多个被管理资源。该访问请求可包括加密的密码或其他加密信息。
图3图示了根据一个实施例的由认证服务器设备对客户端设备进行认证的方法。如图3所示,认证服务器设备可接收300访问请求,并且可验证302客户端设备是否服从管理策略。在一个实施例中,管理策略可包括客户端设备必须满足以便访问一个或多个被管理资源的一个或多个规则、条件等。在一个实施例中,管理策略可包括一个或多个数据安全策略。示例性数据安全策略可包括从丢失或被盗客户端设备远程地擦除数据,在一段时间的不活动之后将空闲客户端设备锁定,要求用以访问客户端设备的密码,为一个或多个客户端密码设置最小长度,要求具有某个格式的密码等。在一个实施例中,可针对一组被管理资源来管理管理策略。例如,同一组数据安全策略可应用于与雇主相关联的所有被管理资源。替选地,可使每个被管理资源与不同的管理策略相关联。例如,可使第一被管理资源与第一管理策略相关联,而可使第二被管理资源与第二管理策略相关联。
在一个实施例中,认证服务器可通过分析客户端注册表来验证302客户端设备是否服从管理策略。客户端注册表可包括客户端的列表和与每个相关联的状态。例如,客户端注册表可包括与注册表中的每个客户端相关联的唯一标识符以及用于每个客户端的关于客户端设备是否遵守管理策略的状态。示例性唯一标识符可包括与客户端设备相关联的序号或其他唯一字母数字标识符。表1图示了根据实施例的示例性客户端注册表。
客户端设备 标识符 遵守管理
客户端设备1 245XCY23
客户端设备2 871FGB10
客户端设备3 3JB9082NB
在一个实施例中,在接收到访问请求时,认证服务器可将在访问请求中接收到的信息的至少一部分与客户端注册表中的信息相比较304。例如,认证服务器可将访问请求中的客户端标识符与客户端注册表相比较304以便确定正在请求访问的客户端设备是否已服从管理策略、遵守管理策略等。
在一个实施例中,如果在访问请求中接收到的该部分信息与来自已认证客户端设备的列表的信息匹配并且客户端注册表指示客户端设备遵守管理策略306,则认证服务器可向客户端设备发送308令牌。例如,参考表1,认证服务器设备可响应于从客户端设备1接收到访问请求而向客户端设备1发送308令牌,因为客户端设备1被列在客户端注册表中并被客户端注册表识别为遵守管理策略。
在一个实施例中,客户端设备可从认证服务器设备接收204令牌。在一个实施例中,客户端设备可206使用该令牌来访问一个或多个被管理资源。在一个实施例中,只有具有令牌的那些设备可被允许访问一个或多个被管理资源。
在一个实施例中,如果在访问请求中接收到的该部分信息不与来自客户端注册表的信息匹配310,则可向管理员发送312通知。该通知可请求管理员批准或拒绝该请求。例如,可向管理员发送包括关于访问请求的信息的电子邮件。可要求管理员批准或拒绝该请求。如果该请求被拒绝,则可告知客户端用户访问已被拒绝。如果该请求被批准,则认证服务器设备可向客户端设备发送314一个或多个指令,如下所述。
在一个实施例中,如果在访问请求中接收到的该部分信息不与来自客户端注册表310的信息匹配,或者如果该部分信息与来自客户端注册表的信息匹配但客户端注册表指示客户端不遵守管理策略318,则认证服务器可向客户端设备发送314一个或多个指令。例如,参考表1,认证服务器设备可响应于从客户端设备4接收到访问请求而向客户端设备4发送314一个或多个指令,因为与客户端设备4相关联的唯一标识符未被包括在客户端注册表中。作为另一示例,认证服务器设备可响应于从客户端设备2接收到访问请求而向客户端设备2发送314一个或多个指令,因为客户端注册表指示客户端设备2不遵守管理策略。
在一个实施例中,所述一个或多个指令可被客户端设备接收到208。该指令可向客户端设备和/或客户端设备的用户命令210客户端设备如何能够遵守管理策略。例如,所述一个或多个指令可命令210客户端设备从某个位置将客户端应用下载到客户端设备以便对客户端设备应用管理策略。在一个实施例中,所述一个或多个指令可使得文本显示在客户端设备的显示器上。该文本可告知客户端设备的用户如何对客户端设备应用管理策略。例如,该文本可告知用户必须从某个位置下载客户端应用以便对客户端应用管理策略。
在一个实施例中,客户端应用可向管理服务器设备发送212请求以获得客户端应用。该请求可被管理服务器设备接收400。管理服务器设备可将客户端应用存储在与管理服务器设备相关联的存储器中。在一个实施例中,客户端设备可响应于用户选择与客户端应用相关联的图标、图形、链接或其他表示而向管理服务器设备发送212请求。例如,用户可从网页、诸如应用市场等选择与客户端应用相关联的图标。在一个实施例中,可要求用户购买客户端应用。在替选实施例中,用户可免费接收客户端应用。
在一个实施例中,管理服务器设备可向可接收214客户端应用的客户端设备发送402客户端应用。可将该客户端应用安装216在客户端设备上并且其可与管理服务器设备通信218。例如,客户端设备可向管理服务器设备注册。在一个实施例中,客户端设备的用户可向管理服务器设备提供注册信息。注册信息可包括与客户端设备相关联的唯一标识符、与客户端设备相关联的电话号码、用户的姓名、用户的地址等。在一个实施例中,注册信息可在没有用户交互的情况下由客户端设备自动地提供。
在一个实施例中,管理服务器设备可存储404与已接收到客户端应用的一个或多个客户端设备相关联的注册信息。在一个实施例中,管理服务器设备可将注册信息的至少一部分存储404在客户端注册表中。例如,如果未包括在客户端注册表中的客户端下载客户端应用,则管理服务器设备可向客户端注册表添加关于客户端设备的信息,诸如例如唯一标识符。管理服务器设备还可向客户端注册表添加客户端设备遵守管理策略的指示。
在一个实施例中,客户端应用可对客户端应用220与客户端应用相关联的管理策略的策略中的一个或多个。例如,如果对客户端设备的访问不要求密码,则客户端应用可提示用户输入用于客户端设备的密码。同样地,如果用于客户端设备的密码不满足管理策略所要求的最小长度或格式,则客户端应用可要求客户端设备用户提供满足此类要求的密码。在一个实施例中,客户端应用可迫使密码重置。该密码可被客户端设备用户重置,或者其可由管理员提供。
在一个实施例中,客户端应用可响应于客户端在睡眠模式或其他空闲模式下操作一段时间而自动地锁定客户端设备。在一个实施例中,客户端应用可防止客户端设备在睡眠或其他空闲模式下操作。
在一个实施例中,客户端应用可从客户端设备删除、擦除或去除信息。例如,客户端应用可在客户端设备上执行出厂重置。客户端应用可响应于从管理服务器设备接收到一个或多个指令而从客户端设备去除信息。在一个实施例中,管理服务器设备可发送客户端应用指令以在客户端设备被报告为丢失或被盗的情况下去除数据。在一个实施例中,管理服务器设备可发送客户端应用指令以在客户端设备的用户变得不隶属于管理员的情况下去除数据。例如,雇员离职、被开除或停止为雇主工作,雇主可能希望从雇员的客户端设备去除信息。这样地,前雇员可继续使用他或她的个人客户端设备,即使在他或她的雇佣已终止之后。在一个实施例中,可在不提供任何通知的情况下或者从客户端设备用户接收任何确认的情况下从客户端设备去除信息。
图5图示了根据一个实施例的可在客户端设备上显示的关于客户端应用的示例性信息。如图5所示,该信息可包括应用于客户端设备500的一个或多个当前管理策略和/或最近管理策略更新的日期和/或时间502。
在一个实施例中,客户端应用可向管理服务器设备通信222客户端设备的一个或多个特征。例如,客户端应用可向管理服务器设备通信222与客户端设备相关联的电话号码、与客户端相关联的序列号、到或来自客户端设备的呼叫是否是活动的、与呼叫客户端设备的电话相关联的电话号码、与客户端设备呼叫的电话相关联的电话号码、客户端设备的诸如GPS位置之类的位置等。在一个实施例中,客户端应用可允许诸如管理服务器设备之类的远程设备向诸如USB储存器、SD卡的客户端存储器等进行写入。在一个实施例中,管理服务器设备可监视对客户端的失败登录尝试。客户端应用可要求响应于一定数目的连续失败登录尝试而将与客户端设备相关联的密码重置。
在一个实施例中,可将对管理策略的更新提供406给客户端设备。例如,如果管理策略改变,则管理服务器设备可向客户端设备发送406已更新的管理策略。在一个替选实施例中,客户端设备可周期性地或定期地查询管理服务器设备或另一设备,以用于对管理策略的更新。
在一个实施例中,客户端应用可命令224客户端设备在某些响应时间向管理服务器设备发送通信。例如,客户端应用可命令224客户端设备在每三个小时之后向管理服务器设备发送通信。在一个替选实施例中,客户端应用可命令224客户端设备在一个或多个时间向管理服务器设备发送通信。例如,客户端应用可命令224客户端设备在每天的12:00A.M.、6:00A.M、12:00P.M.和6:00P.M.向管理服务器设备发送通信。在本公开的范围内可使用附加和/或替选的时间和/或时间段。
在一个实施例中,管理服务器设备可确定406通信已被客户端设备接收到。例如,管理服务器设备可确定406通信是否已在某个时间、在某个时间段内等被客户端设备接收到。如果客户端设备未能向管理服务器发送一个或多个通信,则客户端应用可能已被从客户端设备卸载或去除,或者可能有错误。在任一种情况下,都存在客户端设备不再遵守管理策略的风险。
在一个实施例中,管理服务器设备可将客户端设备的状态在客户端注册表中保持408为遵守管理策略,只要管理服务器设备按响应时间或在响应时间之后的某个时间段内从客户端设备接收到通信即可。例如,如果客户端设备被调度为在12:00P.M.向管理服务器设备发送通信,则如果管理服务器设备在11:58A.M.和12:02P.M之间从客户端设备接收到通信,管理服务器设备可将客户端的状态在客户端注册表中保持408为遵守。在本公开的范围内可使用附加和/或替选的时间段。
在一个实施例中,如果管理服务器设备未能按响应时间或在响应时间之后的时间段内从客户端设备接收到一个或多个通信,在管理服务器设备可将客户端注册表中的客户端设备的状态变成410不遵守管理策略。例如,如果管理服务器设备没有按响应时间或在响应时间之后的某个时间段内从客户端设备接收到通信,则管理服务器设备可在客户端注册表中将客户端设备的状态变成410非遵守的。在一个实施例中,如果在一时间段内未从客户端设备接收到一定数目的通信,管理服务器设备可在客户端注册表中将客户端设备的状态变成410非遵守的。例如,如果在24小时的时间段内没有从客户端设备接收到三个通信,则管理服务器设备可在客户端注册表中将客户端设备的状态变成410非遵守的。在一个实施例中,如果在一时间段内没有从客户端设备接收到一定百分比的通信,则管理服务器设备可在客户端注册表中将客户端设备的状态变成410非遵守的。例如,如果其在24小时的时间段内没有从客户端设备接收到至少90%的通信,则管理服务器设备可在客户端注册表中将客户端设备的状态变成410非遵守的。在一个实施例中,如果没有从客户端设备接收到一定数目的连续通信,则管理服务器设备可在客户端注册表中将客户端设备的状态变成410非遵守的。例如,如果其没有从客户端设备接收到接连的两个通信,管理服务器设备可在客户端注册表中将客户端设备的状态变成410非遵守的。
在一个实施例中,管理服务器设备可响应于客户端设备被报告为丢失或被盗或者响应于客户端设备的用户变得不隶属于管理员而将客户端设备的状态变成410不遵守管理策略。例如,如果雇员客户端设备用户不再被雇主管理员雇佣,则管理服务器设备可在客户端注册表中将客户端设备的状态变成非遵守的。
在一个实施例中,在客户端应用被安装在客户端设备上之后,客户端设备可向认证服务器设备发送202对被管理资源的访问请求。认证服务器设备可验证302客户端设备是否遵守管理策略,并且如果是这样的话,可向客户端设备发送308客户端设备可用来访问所请求的被管理资源的令牌。
图6描述了根据一个实施例的可用来包含或实现程序指令的示例性硬件的框图。总线600充当将硬件的其他所示部件互连的主信息通道。CPU605是系统的中央处理单元,执行要执行程序所需的计算和逻辑操作。只读存储器(ROM)610和随机存取存储器(RAM)615组成示例性存储设备。
控制器620与一个或多个可选的存储设备625对接到系统总线600。这些存储设备625可包括例如外部或内部DVD驱动器、CD ROM驱动器、硬盘驱动器、闪速存储器、USB驱动器等。如先前所指示的,这些各种驱动器和控制器是可选设备。
可将程序指令存储在ROM 610和/或RAM 615中。可选地,可将程序指令可存储在有形计算机可读存储介质上,诸如硬盘、紧凑式磁盘、数字磁盘、闪速存储器、存储卡、USB驱动器、光盘存储介质,诸如Blu-rayTM磁盘和/或其他记录介质。
可选显示接口640可允许将信息以音频、视觉、图形或字母数字格式的信息从总线600显示在显示器635上。与外部设备的通信可使用各种通信端口640发生。示例性通信端口640可附着于通信网络,诸如因特网或内部网。
硬件还可包括接口645,其允许从诸如键盘650之类的输入设备或其他输入设备655接收数据,其他输入设备655诸如鼠标、操纵杆、触摸屏、遥控器、指示设备、视频输入设备和/或音频输入设备。
还将认识到的是可期望地将上文公开的变体及其他特征和功能或其替选组合成许多其他不同的系统或应用。随后可以由本领域的技术人员进行其中的各种目前未预见到或未预期的替选、修改、变更或改进,其也意图被以下权利要求涵盖。

Claims (23)

1.一种方法,包括:
由客户端设备向认证服务器设备发送访问请求,其中,所述访问请求包括用以访问被管理资源的请求;
响应于所述客户端设备不遵守与所述被管理资源相关联的管理策略:
从所述认证服务器设备接收关于安装客户端应用的一个或多个指令,
由所述客户端设备根据所述指令来接收客户端应用,以及
将所述客户端应用安装在所述客户端设备上。
2.根据权利要求1所述的方法,进一步包括:
向管理服务器设备发送对所述客户端应用的请求,
其中,接收客户端应用包括从所述管理服务器设备接收所述客户端应用程序。
3.根据权利要求1所述的方法,其中,所述客户应用被配置成运行以下中的一个或多个:
使得需要密码来访问所述客户端设备;
使得所述密码满足一个或多个格式要求;
针对所述客户端设备迫使密码重置;
响应于所述客户端在空闲模式下操作一段时间而自动地锁定客户端;以及
防止所述客户端设备在空闲模式下操作。
4.根据权利要求1所述的方法,其中,所述客户端应用被配置成响应于接收到一个或多个指令而从所述客户端设备去除数据。
5.根据权利要求1所述的方法,进一步包括在一时间段内向管理服务器设备发送通信。
6.根据权利要求1所述的方法,进一步包括在一个或多个时间向管理服务器设备发送通信。
7.根据权利要求1所述的方法,其中,所述客户端应用被配置成向管理服务器设备通信以下客户端设备特征中的一个或多个:
与所述客户端设备相关联的电话号码;
与所述客户端设备相关联的序列号;
到或来自所述客户端设备的呼叫是否是活动的指示;以及
与所述客户端设备相关联的位置。
8.根据权利要求1所述的方法,进一步包括响应于所述客户端设备遵守与所述被管理资源相关联的管理策略,向所述客户端设备发送令牌以用来访问所述被管理资源。
9.一种方法,包括:
从客户端设备接收对被管理资源的访问请求;
确定所述客户端设备是否遵守与所述被管理资源相关联的管理策略;
响应于所述客户端设备遵守所述管理策略,向所述客户端设备发送令牌;以及
响应于所述客户端设备不遵守所述管理策略,向所述客户端设备发送命令所述客户端设备如何遵守所述管理策略的一个或多个指令。
10.根据权利要求9所述的方法,其中:
接收访问请求包括接收包括与所述客户端设备相关联的唯一标识符的访问请求;
确定所述客户端设备是否遵守管理策略包括:
将所述唯一标识符与客户端注册表中的信息相比较,
响应于所述唯一标识符与来自所述客户端注册表的信息匹配并且与所述信息相关联的状态指示所述客户端设备遵守所述管理策略,确定所述客户端设备遵守所述管理策略,
响应于所述唯一标识符不与来自所述客户端注册表的信息匹配,确定所述客户端不遵守所述管理策略;以及
响应于所述唯一标识符与来自所述客户端注册表的信息匹配并且与所述信息相关联的状态指示所述客户端设备不遵守所述管理策略,确定所述客户端设备不遵守所述管理策略。
11.根据权利要求9所述的方法,其中,向所述客户端设备发送一个或多个指令包括向所述客户端设备发送命令所述客户端设备从管理服务器设备下载客户端应用程序的一个或多个指令,其中,所述客户端应用被配置成对所述客户端设备应用一个或多个数据安全策略。
12.根据权利要求11所述的方法,其中,所述客户端应用被配置成对所述客户端设备应用以下数据安全策略中的一个或多个:
使得需要密码以访问所述客户端设备;
使得所述密码满足一个或多个格式要求;
针对所述客户端设备迫使密码重置;
响应于所述客户端设备在空闲模式下操作一段时间而自动地锁定所述客户端设备;以及
防止所述客户端设备在空闲模式下操作。
13.根据权利要求11所述的方法,其中,所述客户端应用被配置成从所述客户端设备去除数据。
14.根据权利要求9所述的方法,还包括响应于接收到所述访问请求而向管理员通知所述访问请求。
15.一种方法,包括:
从客户端设备接收用以访问客户端应用的请求,其中,所述客户端应用被配置成对所述客户端设备应用管理策略;
向所述客户端设备发送所述客户端应用;以及
用指示所述客户端设备遵守所述管理策略的信息来更新客户端注册表。
16.根据权利要求15所述的方法,其中:
接收用以访问客户端应用的请求包括接收包括与所述客户端设备相关联的唯一标识符的用以访问客户端应用的请求;以及
更新客户端注册表包括向所述客户端注册表添加所述唯一标识符。
17.根据权利要求15所述的方法,其中,更新客户端注册表包括从所述客户端设备接收注册信息并且用所述注册信息的至少一部分来更新所述客户端注册表。
18.根据权利要求15所述的方法,还包括响应于在一时间段内没有从所述客户端设备接收到通信而用指示所述客户端设备不遵守所述管理策略的信息来更新所述客户端注册表。
19.根据权利要求15所述的方法,还包括响应于在特定时间没有从所述客户端设备接收到通信而用指示所述客户端设备不遵守所述管理策略的信息来更新所述客户端注册表。
20.一种系统,包括:
与客户端设备通信的认证服务器设备,其中,所述认证服务器设备被配置成确定客户端设备是否被允许访问一个或多个被管理资源;以及
与所述客户端设备和所述认证服务器设备通信的管理服务器设备,其中,所述管理服务器设备被配置成确定所述客户端设备是否遵守控制所述客户端设备访问所述一个或多个被管理资源的能力的管理策略。
21.根据权利要求20所述的系统,进一步包括与所述认证服务器设备和所述管理服务器设备通信的客户端注册表,其中,所述客户端注册表包括关于一个或多个客户端设备对所述管理策略的遵守性的信息。
22.根据权利要求20所述的系统,其中,所述管理服务器设备进一步被配置成:如果所述管理服务器设备在一段时间内没有从所述客户端设备接收到通信,则用客户端不遵守所述管理策略的指示来更新所述客户端注册表。
23.根据权利要求20所述的系统,其中,所述认证服务器设备进一步被配置成响应于确定所述客户端设备被允许访问所述一个或多个被管理资源而向所述客户端设备发送令牌。
CN201280064750.4A 2011-10-28 2012-10-18 客户端设备的策略执行 Active CN104025108B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710770819.XA CN107438081B (zh) 2011-10-28 2012-10-18 客户端设备的策略执行

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/284,475 2011-10-28
US13/284,475 US8959572B2 (en) 2011-10-28 2011-10-28 Policy enforcement of client devices
PCT/US2012/060839 WO2013062847A1 (en) 2011-10-28 2012-10-18 Policy enforcement of client devices

Related Child Applications (1)

Application Number Title Priority Date Filing Date
CN201710770819.XA Division CN107438081B (zh) 2011-10-28 2012-10-18 客户端设备的策略执行

Publications (2)

Publication Number Publication Date
CN104025108A true CN104025108A (zh) 2014-09-03
CN104025108B CN104025108B (zh) 2017-09-22

Family

ID=47076455

Family Applications (2)

Application Number Title Priority Date Filing Date
CN201710770819.XA Active CN107438081B (zh) 2011-10-28 2012-10-18 客户端设备的策略执行
CN201280064750.4A Active CN104025108B (zh) 2011-10-28 2012-10-18 客户端设备的策略执行

Family Applications Before (1)

Application Number Title Priority Date Filing Date
CN201710770819.XA Active CN107438081B (zh) 2011-10-28 2012-10-18 客户端设备的策略执行

Country Status (4)

Country Link
US (4) US8959572B2 (zh)
EP (2) EP3605375B1 (zh)
CN (2) CN107438081B (zh)
WO (1) WO2013062847A1 (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105787379A (zh) * 2014-12-24 2016-07-20 北京奇虎科技有限公司 信息管理方法和系统、及电子设备
CN107408183A (zh) * 2015-03-06 2017-11-28 微软技术许可有限责任公司 通过安全硬化管理代理进行的设备证实
CN111277633A (zh) * 2020-01-13 2020-06-12 北京奇艺世纪科技有限公司 一种请求处理方法、服务器、电子设备及存储介质
CN111480369A (zh) * 2017-11-20 2020-07-31 联想(新加坡)私人有限公司 移动网络策略新鲜度
CN111930390A (zh) * 2014-11-26 2020-11-13 电子湾有限公司 集中客户端应用管理

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8239918B1 (en) * 2011-10-11 2012-08-07 Google Inc. Application marketplace administrative controls
US8959572B2 (en) 2011-10-28 2015-02-17 Google Inc. Policy enforcement of client devices
US10404615B2 (en) 2012-02-14 2019-09-03 Airwatch, Llc Controlling distribution of resources on a network
US9680763B2 (en) 2012-02-14 2017-06-13 Airwatch, Llc Controlling distribution of resources in a network
US9197498B2 (en) * 2012-08-31 2015-11-24 Cisco Technology, Inc. Method for automatically applying access control policies based on device types of networked computing devices
US9083751B2 (en) * 2012-08-31 2015-07-14 Cisco Technology, Inc. Method for cloud-based access control policy management
JP2014126912A (ja) * 2012-12-25 2014-07-07 Sony Corp 情報処理装置、通信端末装置および記憶媒体
US20140280955A1 (en) * 2013-03-14 2014-09-18 Sky Socket, Llc Controlling Electronically Communicated Resources
US9185099B2 (en) 2013-09-23 2015-11-10 Airwatch Llc Securely authorizing access to remote resources
US9906560B2 (en) 2015-08-28 2018-02-27 Nicira, Inc. Distributing remote device management attributes to service nodes for service rule processing
US11216262B2 (en) * 2016-03-25 2022-01-04 Microsoft Technology Licensing, Llc Device provisioning
US10284554B2 (en) * 2016-05-05 2019-05-07 Airwatch, Llc Systems for providing device-specific access to an e-mail server
US10333930B2 (en) * 2016-11-14 2019-06-25 General Electric Company System and method for transparent multi-factor authentication and security posture checking
US10848563B2 (en) * 2018-09-17 2020-11-24 Vmware, Inc. On-device, application-specific compliance enforcement
US11757999B1 (en) * 2020-06-02 2023-09-12 State Farm Mutual Automobile Insurance Company Thick client and common queuing framework for contact center environment
CN111866109B (zh) * 2020-07-10 2022-07-26 北京字节跳动网络技术有限公司 一种消息处理方法、装置、设备及存储介质
US11849040B2 (en) * 2020-07-27 2023-12-19 Micro Focus Llc Adaptive rate limiting of API calls
CN112511569B (zh) * 2021-02-07 2021-05-11 杭州筋斗腾云科技有限公司 网络资源访问请求的处理方法、系统及计算机设备
CN115085958B (zh) * 2021-03-12 2023-09-08 华为技术有限公司 访问控制方法及相关装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1514619A (zh) * 2002-12-06 2004-07-21 提高在为计算机系统提供网络访问时的自动化水平
CN1901475A (zh) * 2005-06-28 2007-01-24 国际商业机器公司 访问网络上计算机资源的管理方法和系统
CN100568212C (zh) * 2004-07-02 2009-12-09 国际商业机器公司 隔离系统及隔离方法
EP2264973A2 (en) * 2009-06-19 2010-12-22 Uniloc Usa, Inc. System and method for secured communications

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6182142B1 (en) * 1998-07-10 2001-01-30 Encommerce, Inc. Distributed access management of information resources
US7590684B2 (en) * 2001-07-06 2009-09-15 Check Point Software Technologies, Inc. System providing methodology for access control with cooperative enforcement
US7076795B2 (en) * 2002-01-11 2006-07-11 International Business Machiness Corporation System and method for granting access to resources
US7680758B2 (en) * 2004-09-30 2010-03-16 Citrix Systems, Inc. Method and apparatus for isolating execution of software applications
US8261058B2 (en) 2005-03-16 2012-09-04 Dt Labs, Llc System, method and apparatus for electronically protecting data and digital content
US10764264B2 (en) * 2005-07-11 2020-09-01 Avaya Inc. Technique for authenticating network users
CN101488138B (zh) * 2008-01-18 2011-06-22 鹏智科技(深圳)有限公司 网络文件下载服务器及方法
US20090247125A1 (en) 2008-03-27 2009-10-01 Grant Calum Anders Mckay Method and system for controlling access of computer resources of mobile client facilities
WO2010037201A1 (en) 2008-09-30 2010-04-08 Wicksoft Corporation System and method for secure management of mobile user access to enterprise network resources
US20100125891A1 (en) 2008-11-17 2010-05-20 Prakash Baskaran Activity Monitoring And Information Protection
US7996713B2 (en) 2008-12-15 2011-08-09 Juniper Networks, Inc. Server-to-server integrity checking
US8621574B2 (en) 2009-06-02 2013-12-31 Microsoft Corporation Opaque quarantine and device discovery
US9047458B2 (en) * 2009-06-19 2015-06-02 Deviceauthority, Inc. Network access protection
US20110030029A1 (en) 2009-07-29 2011-02-03 James Woo Remote management and network access control of printing devices within secure networks
US8745747B2 (en) * 2009-12-31 2014-06-03 Fujitsu Limited Data protecting device
US8938782B2 (en) 2010-03-15 2015-01-20 Symantec Corporation Systems and methods for providing network access control in virtual environments
US8959572B2 (en) * 2011-10-28 2015-02-17 Google Inc. Policy enforcement of client devices

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1514619A (zh) * 2002-12-06 2004-07-21 提高在为计算机系统提供网络访问时的自动化水平
CN100568212C (zh) * 2004-07-02 2009-12-09 国际商业机器公司 隔离系统及隔离方法
CN1901475A (zh) * 2005-06-28 2007-01-24 国际商业机器公司 访问网络上计算机资源的管理方法和系统
EP2264973A2 (en) * 2009-06-19 2010-12-22 Uniloc Usa, Inc. System and method for secured communications

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111930390A (zh) * 2014-11-26 2020-11-13 电子湾有限公司 集中客户端应用管理
CN105787379A (zh) * 2014-12-24 2016-07-20 北京奇虎科技有限公司 信息管理方法和系统、及电子设备
CN107408183A (zh) * 2015-03-06 2017-11-28 微软技术许可有限责任公司 通过安全硬化管理代理进行的设备证实
US10803175B2 (en) 2015-03-06 2020-10-13 Microsoft Technology Licensing, Llc Device attestation through security hardened management agent
CN111480369A (zh) * 2017-11-20 2020-07-31 联想(新加坡)私人有限公司 移动网络策略新鲜度
CN111480369B (zh) * 2017-11-20 2023-11-17 联想(新加坡)私人有限公司 移动网络策略新鲜度
CN111277633A (zh) * 2020-01-13 2020-06-12 北京奇艺世纪科技有限公司 一种请求处理方法、服务器、电子设备及存储介质
CN111277633B (zh) * 2020-01-13 2022-02-01 北京奇艺世纪科技有限公司 一种请求处理方法、服务器、电子设备及存储介质

Also Published As

Publication number Publication date
CN107438081A (zh) 2017-12-05
EP2771835B1 (en) 2020-01-01
US20130111541A1 (en) 2013-05-02
EP3605375A1 (en) 2020-02-05
WO2013062847A1 (en) 2013-05-02
US20150156205A1 (en) 2015-06-04
CN107438081B (zh) 2021-08-06
US20170223006A1 (en) 2017-08-03
EP2771835A1 (en) 2014-09-03
US10091210B2 (en) 2018-10-02
US8959572B2 (en) 2015-02-17
CN104025108B (zh) 2017-09-22
US9832186B2 (en) 2017-11-28
US9635030B2 (en) 2017-04-25
US20180097798A1 (en) 2018-04-05
EP3605375B1 (en) 2022-12-07

Similar Documents

Publication Publication Date Title
CN104025108A (zh) 客户端设备的策略执行
US10951618B2 (en) Refresh token for credential renewal
US11595392B2 (en) Gateway enrollment for internet of things device management
US8984291B2 (en) Access to a computing environment by computing devices
CN108370374B (zh) 证书更新和部署
CN103597494A (zh) 用于管理文档的数字使用权限的方法和设备
US10560435B2 (en) Enforcing restrictions on third-party accounts
CN103988169A (zh) 基于策略符合性的安全数据访问
US10419445B2 (en) Credential change management system
CN102792632A (zh) 自动化证书管理
CN104320389A (zh) 一种基于云计算的融合身份保护系统及方法
WO2013035409A1 (ja) クラウドコンピューティングシステム
US20160234215A1 (en) Method and system for managing data access within an enterprise
CN102693373A (zh) 业务信息防护装置
JP2013182436A (ja) アクセス権限委譲システム
KR101212828B1 (ko) 가상머신의 보안 강화를 위한 단말장치, 서버 및 방법
JP2008040590A (ja) コンピュータシステムおよびコンピュータへのアクセス制御方法
CN104054088B (zh) 管理跨周界访问
JP2003296276A (ja) コンピュータ
JP2017146717A (ja) アクセス制御装置、情報処理システムおよびアクセス制御方法、並びにコンピュータ・プログラム

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder
CP01 Change in the name or title of a patent holder

Address after: American California

Patentee after: Google limited liability company

Address before: American California

Patentee before: Google Inc.