CN105531977B - 用于同步和远程数据访问的移动设备连接控制的方法和系统 - Google Patents
用于同步和远程数据访问的移动设备连接控制的方法和系统 Download PDFInfo
- Publication number
- CN105531977B CN105531977B CN201480042602.1A CN201480042602A CN105531977B CN 105531977 B CN105531977 B CN 105531977B CN 201480042602 A CN201480042602 A CN 201480042602A CN 105531977 B CN105531977 B CN 105531977B
- Authority
- CN
- China
- Prior art keywords
- computing device
- mobile computing
- unfiled
- request
- classification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/086—Access security using security domains
Abstract
根据设备分类级别规则对计算设备访问集中化数据的尝试进行管理。从未分类计算设备接收访问集中化数据的请求。至少部分地基于从所述接收的请求读取的有关所述计算设备的信息,将所述未分类计算设备分类到所述已定义类别中的特定类别中。在已将所述未分类计算设备的定义分配给特定类别的情况下,相应地对所述未分类计算设备进行分类。否则,将所述未分类计算设备与多个已分类计算设备进行比较,并且根据最相似的已分类计算设备对所述未分类计算设备进行分类。响应于所述计算设备的所述分类,根据设备分类级别规则对访问集中化数据的所述接收的请求进行管理,所述规则指定用于所述已定义类别的计算设备的访问策略。
Description
技术领域
本公开一般涉及计算机数据的同步和远程访问,并且更具体地讲,涉及基于设备分类自动控制由移动计算设备进行的连接。
背景技术
用户期望将其移动计算设备(例如,电话、平板电脑、笔记本电脑)与其台式计算机和企业服务器(例如,由公司、大学或其他组织管理的工作电子邮件服务器)同步。例如,用户想要在其台式机和其移动设备上都具有相同的最新电子邮件、联系人和日历数据。
存在不同解决方案以提供此类数据同步,并且由于移动设备的性质和用途发生了变化,这些解决方案已随时间推移而演变。Microsoft ActiveSync为一种移动数据同步应用程序,该应用程序允许移动设备与台式计算机同步,所述台式计算机包括运行兼容平台(诸如Microsoft Exchange Server)的受管理服务器。ActiveSync使Microsoft Outlook电子邮件、日历条目、联系人和任务、以及互联网书签和文件同步。ActiveSync不支持许多当前移动平台,并且不再包括在Windows中。
Exchange ActiveSync(“EAS”)(不要与旧的ActiveSync应用程序混淆)是一种协议,用于将电子邮件、联系人、日历、任务和备忘录从服务器同步到智能电话或其他移动计算设备。该协议基于XML,并且Exchange ActiveSync服务器和移动设备通过HTTP(或HTTPS)进行通信。Microsoft Exchange Server支持使用Exchange ActiveSync将电子邮件、日历数据和联系人与移动计算设备同步。注意,Microsoft Exchange Server(不要与ExchangeActiveSync自身混淆)是Microsoft服务器程序,该程序提供群组级别电子邮件服务、日历软件和联系人管理器。此外,Microsoft将Exchange ActiveSync授权给其他方,并且在多个竞争性合作平台中实现对Exchange ActiveSync的支持,所述竞争性合作平台诸如GoogleApps for Business、Lotus Domino和Novell GroupWise。当前,Exchange ActiveSync为用于在群件和移动设备之间实现同步的事实标准,但也存在其他标准,诸如开放移动联盟数据同步和设备管理(以前称为SyncML)以及OpenSync。
Exchange ActiveSync对移动设备管理和策略控制提供一定的支持。例如,服务器级别管理员可阻拦特定移动客户端,要求移动客户端具有满足某些特征(例如,最小长度、最大持续时间)的密码,要求漫游时进行手动同步等。另外,Microsoft Exchange和某些第三方工具使管理员能够基于标准允许或阻拦ActiveSync移动客户端,所述标准包括白名单/黑名单上存在或不存在移动客户端、移动客户端类型(例如,阻拦所有平板电脑)和客户端操作系统(例如,阻拦运行iOS的所有设备)。然而,此类策略控制要求管理员进行大量配置和日常维护,以将连接到大型企业网络环境的大量设备考虑在内并对这些设备进行管理。管理员负责批准可连接的设备(如果不是所有设备均被允许),并且管理每个用户的经允许的设备。
称为ActiveSync Protector的一种第三方产品具有一种模式,该模式允许最终用户自注册单个移动设备。在该模式下,用户首次尝试连接到Exchange ActiveSync时,可自动注册其移动设备。随后允许自动访问已注册设备,除非或直至取消或撤销注册。如果相同用户随后尝试通过不同移动设备连接到Exchange ActiveSync,则不会自动注册该额外设备。这将阻止已获得用户凭据但不是用户移动设备的攻击程序使用不同设备连接到企业的基础设施。然而,结果是默认情况下阻拦合法用户通过任何额外的移动设备进行访问。相反,用户需要先请求管理员创建例外并且明确允许每个特定的额外移动设备,然后用户才可以通过该设备连接到ActiveSync,并因此访问后台上的数据并与该数据同步。
当每个用户通常仅携带一个移动设备(即,电话)时,允许每个用户单个移动设备的这种型式是足够的。然而,现在用户很可能使用多个移动设备(例如,智能电话和平板电脑)。此外,Microsoft Outlook的较新版本还允许Windows计算机作为ExchangeActiveSync客户端(通常,就笔记本电脑而言将使用该特征)来同步。在单个用户很可能拥有三个独立移动设备的当前环境中,管理员对例外请求不堪重负,这些请求的审核和处理非常耗费人力。
这些问题需要得到解决。
发明内容
根据一个或多个设备分类级别规则,对计算设备访问集中化企业级数据的尝试进行管理。在一些实施例中,所涉及的所有计算设备均为移动计算设备。定义多个计算设备类别,例如智能电话、平板电脑、笔记本电脑和台式计算机。可自动提供默认类别定义,并且/或者可从企业级管理员接收类别定义,所述企业级管理员诸如企业网络管理员。基于与多个计算设备有关的属性,将计算设备的定义分配给特定类别,所述属性诸如名称、型号、类型、ID、操作系统名称和操作系统版本。从未分类计算设备接收对访问集中化企业级数据的请求,例如来自未分类移动计算设备的、将企业网络上的数据与移动计算设备上的数据进行同步的请求。此类请求可以但不必是经由Exchange ActiveSync访问企业网络并同步数据的请求的形式。接收的请求包含从请求读取的与未分类计算设备有关的信息。例如,在基于Exchange ActiveSync的实施例中,接收的请求包含未分类计算设备的清册。在其他实施例中,请求包含其他格式的信息,例如与未分类计算设备有关的属性,诸如上文所指出的属性(例如,名称、型号、类型、ID、操作系统名称和操作系统版本)。
至少部分地基于从接收的请求读取的与计算设备有关的信息,将该未分类计算设备分类到已定义类别中的特定类别中。在已将未分类计算设备的定义分配给特定类别的情况下,可将未分类计算设备分类到该特定类别中而无需进一步分析。如果情况并非如此,则可将从接收的请求读取的与计算设备有关的信息与跟多个计算设备有关的对应信息进行比较,所述多个计算设备的定义已分配给特定已定义类别。这种比较信息可为与计算设备有关的属性的形式,所述属性诸如上文所指出的那些属性,并且可将不同权重分配给不同属性。基于信息比较,将所述多个计算设备中的特定计算设备判定为最相似于未分类计算设备。然后,将未分类计算设备分类到特定类别中,该特定类别已分配有被判定为最相似的计算设备的定义。保存计算设备的分类,并可将所述分类用于对具有相同定义的未知计算设备的后续实例进行自动分类,而无需重复比较过程。
响应于将计算设备分类到特定已定义类别中,根据一个或多个设备分类级别规则,对访问集中化企业级数据的接收的请求进行管理,所述规则指定特定已定义类别的计算设备的访问策略。此类设备分类级别规则可在默认情况下提供,并且/或者从企业级管理员接收。基于分类级别规则,可允许各个用户各自仅使用多个特定类别中每一类别的至多特定数量的计算设备来自动访问企业级数据,所述规则限制每个不同类别的计算设备的数量,通过所述不同类别的所述数量的计算设备,容许各个用户访问集中化数据,而无需企业级管理员进行任何额外操作。此类规则的一个例子将容许每个用户通过每个已定义类别的一个计算设备(例如,一部智能电话、一台平板电脑和一台笔记本电脑)访问集中化数据。该场景还可呈以下形式:允许各个用户基于对应的设备分类级别规则,各自仅自注册每个特定类别的至多特定最大数量的计算设备。然后,允许各个用户通过注册给他们的计算设备自动访问企业级数据,而无需企业级管理员进行任何额外操作。在一些实施例中,根据不同设备分类级别规则,对不同用户所做出的访问集中化企业级数据的接收的请求进行管理,所述规则指定用于不同类别的用户的不同访问策略。
本发明内容和以下具体实施方式中所述的特征和优点并不包括全部,并且特别地,相关领域的普通技术人员在考虑本文的附图、说明书和权利要求书后,许多另外的特征和优点将显而易见。此外,应该指出的是,说明书中所用的语言主要被选择用于可读性和指导目的,而不是被选择用来限定或限制本发明的主题,必需借助权利要求书确定此发明主题。
附图说明
图1为根据一些实施例的示例性网络体系结构的框图,在该示例性网络体系结构中可实现设备连接管理系统。
图2为根据一些实施例的适用于实现设备连接管理系统的计算机系统的框图。
图3为根据一些实施例的设备连接管理系统的操作的框图。
图4为根据一些实施例的设备连接管理系统的操作的流程图。
这些图仅出于举例说明的目的来示出各种实施例。本领域技术人员根据下列讨论将易于认识到,在不脱离本文所述原理的情况下,可采用本文所述的结构和方法的替代实施例。
具体实施方式
图1为框图,示出了示例性网络体系结构100,在该示例性网络体系结构中可实现设备连接管理系统101。所示网络体系结构100包括多个客户端103A、103B和103N,以及多个服务器105A和105N。在图1中,设备连接管理系统101示出为驻留在服务器105A上。应当理解这仅是例子,并且在各种实施例中该系统101的各种功能可在客户端103、服务器105上被实例化,或可在多个客户端103和/或服务器105之间分发。
客户端103和服务器105可使用计算机系统210(诸如图2所示和下文所述的计算机系统)实现。客户端103和服务器105可通信地联接到网络107,例如经由以下结合图2所述的网络接口248或调制解调器247进行。客户端103能够使用例如网页浏览器或其他客户端软件(未示出)访问服务器105上的应用程序和/或数据。客户端103可以为台式计算机/笔记本电脑或移动计算设备307的形式,包括能够连接到网络107以及运行应用程序的便携式计算机系统。此类移动计算设备307有时被称为智能电话,但许多未如此命名的移动电话也有这些功能。平板电脑为移动计算设备307的另一个例子。
虽然图1示出了三个客户端103和两个服务器105作为例子,但实际上可部署更多(或更少)客户端103和/或服务器105。在一个实施例中,网络107为互联网的形式。可在其他实施例中使用其他网络107或基于网络的环境。
图2为适用于实现设备连接管理系统101的计算机系统210的框图。客户端103和服务器105都可以此类计算机系统210的形式实现。如图所示,计算机系统210的一个组件是总线212。总线212可通信地联接计算机系统210的其他组件,诸如至少一个处理器214;系统存储器217(例如,随机存取存储器(RAM)、只读存储器(ROM)、快闪存储器);输入/输出(I/O)控制器218;音频输出接口222,其可通信地联接到外部音频设备,诸如扬声器220;显示适配器226,其可通信地联接到外部视频输出设备,诸如显示屏224;一个或多个接口,诸如通用串行总线(USB)插座228、串行端口230、并行端口(未示出)等;键盘控制器233,其可通信地联接到键盘232;存储接口234,其可通信地联接到至少一个硬盘244(或其他形式的磁介质);主机总线适配器(HBA)接口卡235A,其被配置为与光纤通道(FC)网络290连接;HBA接口卡235B,其被配置为连接到SCSI总线239;光盘驱动器240,其被配置为接收光盘242;鼠标246(或其他指示设备),其例如经由USB插座228联接到总线212;调制解调器247,其例如经由串行端口230联接到总线212;以及一个或多个有线和/或无线网络接口248,其例如直接联接到总线212。
其他组件(未示出)可以类似方式连接(如,文件扫描仪、数字相机、打印机等等)。相反,无需图2中示出的所有组件都存在(例如,智能电话和平板电脑通常不具有光盘驱动器240、外部键盘242或外部指示设备246,但各种外部组件可经由例如USB插座228联接到移动计算设备307)。可以使用与图2中所示方法不同的方法来互连所述各种组件。
总线212允许处理器214与系统存储器217之间的数据通信,如上所指出的,所述系统存储器可包括ROM和/或快闪存储器以及RAM。RAM通常是将操作系统和应用程序加载到其中的主存储器。除其他代码外,ROM和/或快闪存储器还可包含控制某些基本硬件操作的基本输入输出系统(BIOS)。应用程序可存储在本地计算机可读介质(例如,硬盘244、光盘242)上并加载到系统存储器217中并且被处理器214执行。应用程序也可加载到来自远程位置(即,远程定位的计算机系统210)的系统存储器217中,例如经由网络接口248或调制解调器247进行。在图2中,设备连接管理系统101示出为驻留在系统存储器217中。设备连接管理系统101的工作方式将在下文结合图3更详细解释。
存储接口234联接到一个或多个硬盘244(和/或其他标准存储介质)。硬盘244可以是计算机系统210的一部分,或者可以是物理上独立的并且可以通过其他接口系统进行访问。
网络接口248和/或调制解调器247可直接或间接可通信地联接到网络107,诸如互联网。此类联接可以是有线的或无线的。
图3示出了根据一些实施例的设备连接管理系统101的操作。如上文所述,设备连接管理系统101的功能可驻留在客户端103、服务器105上,或者可在多个计算机系统210之间分发,包括在基于云的计算环境内分发,其中设备连接管理系统101的功能通过网络107作为服务提供。应当理解,虽然设备连接管理系统101在图3中示出为单个实体,但所示设备连接管理系统101代表功能集合,其可根据需要被实例化为单个或多个模块(设备连接管理系统101的特定多个模块的实例化在图3中示出)。应当理解,设备连接管理系统101的模块可在任何计算机系统210的系统存储器217(例如,RAM、ROM、快闪存储器)内实例化(例如实例化为目标代码或可执行映像),使得当计算机系统210的处理器214处理模块时,计算机系统210执行相关功能。如本文所用,术语“计算机系统”、“计算机”、“客户端”、“客户端计算机”、“服务器”、“服务器计算机”和“计算设备”意指被配置和/或被编程为执行所述功能的一个或多个计算机。另外,实现设备连接管理系统101的功能的程序代码可存储在计算机可读存储介质上。任何形式的有形计算机可读存储介质可用于该情境,诸如磁或光存储介质。如本文所用,术语“计算机可读存储介质”并不意味着电信号与基础物理介质分离。
如图3所示,设备连接管理系统101在计算机210(例如,服务器105)上运行,并且对不同类型的远程定位的计算设备210访问企业网络107内集中化数据301的尝试进行管理。如术语在本文所用,企业网络107意味着由任何类型的组织(例如,公司、大学、政府部门、市政当局、民间组织)维护的网络107,其中专有或其他私人数据301存储在网络107上,并根据由管理员305设置的策略限制对网络107的访问。例如,通常只有授权用户(例如,员工、学生、会员等)才允许访问企业网络107。可适当地进一步限制每个特定用户对网络107内特定资源和数据301的访问。
在图3中,具有Exchange ActiveSync 309和Exchange Server 311的服务器105示出为驻留在企业网络107中。为清晰说明起见,这些组件示出为驻留在单个服务器105上,但在实际上将经常分布于多台机器上。因此,在图3所示的实施例中,Exchange Server 311用作群件平台,并且Exchange ActiveSync 309用于将基于Exchange Server的数据301与移动计算设备307同步。在其他实施例中,可使用不同群件平台、数据301的类型、同步技术和/或访问方法,如下文更详细地描述。
设备连接管理系统101允许管理员305设置规则313,这些规则是关于移动计算设备307的哪些类别317可通过Exchange ActiveSync 309自动连接到企业网络。例如,管理员305可设置规则313,该规则指定每个授权用户(例如,给定公司的在公司网络107上具有账户的每个员工)可具有一部智能电话、一台平板电脑和一台笔记本电脑,通过它们,所述用户可使用Exchange ActiveSync 309连接到网络。如下文详细描述,设备连接管理系统101自动将设备分类级别规则313应用于从移动计算设备307接收的同步请求。
为了对某个设备分类级别下的访问进行管理,设备连接管理系统101的类别定义模块315定义多个设备类别317,使得可适当地分类尝试连接到企业网络107的每个移动设备307。更具体地讲,在制定对访问和同步策略进行管理的规则313的级别下定义设备类别317。类别定义模块315可基于典型配置提供默认类别317(例如,智能电话、平板电脑和笔记本电脑)。在一些实施例中,管理员305提供非默认类别317,并且例如通过GUI或命令行编辑和/或删除默认类别。根据所需的基于特定规则313的访问/同步配置策略,类别317可处于任何粒度级别。例如,在非常高的级别下,可将所有移动设备分成仅两个类别317(例如,手持式和笔记本电脑)。在中等级别下,可使用三个类别317,即智能电话、平板电脑和笔记本电脑。可定义较低级别类别317,与智能电话的较高级别通用类别相对,该较低级别类别进一步在不同类型的移动计算设备307之间进行区分,诸如iPhone、Android电话、Windows电话和Blackberry。进行较低级别区分的另一个例子将是针对便携式翻盖型计算机的不同分级定义单独类别317,所述不同分级为诸如台式机替换级笔记本电脑、小型笔记本电脑、上网本等,而不是单一的较高级别笔记本电脑类别317。类别定义模块315也可同时自动地(例如,基于新类型移动平台诸如可穿戴计算设备的推出)并响应于来自管理员305的输入(例如,基于想要在不同粒度级别建立新的访问/同步规则313),随时间推移定义新类别317。
设备连接管理系统101的设备定义分配模块318基于特定移动设备307的描述或其他属性,将设备307的定义分配给已定义类别317中的一者。给定移动设备307的定义是属性的集合,所述属性诸如名称、型号、类型、ID、OS名称和OS版本,这些属性组合地识别该特定移动设备307。给定移动设备309的定义要区别于该特定设备309的实例。例如,特定智能电话的定义包括可用于确定未知设备为该特定智能电话的实例的属性。特定智能电话的实际实例为满足该定义的单个智能电话。
在一些实施例中,设备定义分配模块318在从多个已知移动设备307的单个实例接收访问请求之前,将这些已知设备307的定义分配给适当类别317。因此,可建立已知移动计算设备307的基础,该基础可用于对做出访问请求的后续所遇到的未知移动设备307进行分类。例如,设备定义分配模块318可将各种已知的常用智能电话的定义分配给智能电话类别317。此类已知智能电话的定义的例子为运行特定iOS版本的iPhone的特定版本、运行特定Android版本的特定Samsung(和/或HTC、Motorola等)电话、运行Windows 8的特定Nokia电话等。设备定义分配模块318还可进一步适当分配其他类型的已知移动设备307的定义,所述其他类型的已知移动设备诸如特定的已知平板电脑(例如,已知的iPad版本、已知的Google/Asus Nexus平板电脑、特定的Lenovo Android平板电脑等)。如上所述,设备定义分配模块318可基于特定设备307的属性进行这些分配,所述属性诸如型号、类型、ID、名称、OS等。设备定义分配模块318用来进行这些分配的确切标准在各实施例之间可有所不同。与类别317自身的定义一样,在对特定移动设备307进行定义、分配、识别和分类时要用的粒度级别为可变设计参数。在一些实施例中,管理员305可根据需要输入、编辑和/或删除这些分配和/或分类。
设备连接管理系统101的请求接收模块321接收来自移动计算设备307的访问请求。在图3所示的实施例中,此类请求为连接到Exchange ActiveSync 309的请求的形式,但在其他实施例中请求可呈其他特定形式。当从移动计算设备307接收到请求时,设备连接管理系统101的请求读取模块323读取请求以便识别(并从而随后分类)设备307。就ExchangeActiveSync 309而言,访问请求包含与请求设备307有关的清册信息。因此,在基于Exchange ActiveSync 309的环境中,请求读取模块323读取清册以识别移动设备307。
设备连接管理系统101的设备分类模块319确定是否已将特定请求移动设备307的定义分配给类别317(即,移动设备307是否为已知的)。如果是,则设备分类模块319相应地对请求移动设备307进行分类。例如,如果ActiveSync清册将请求移动设备307识别为已被分配给智能电话类别317的运行Android 4.1的特定型号HTC One的实例,则设备分类模块319可将请求移动设备307分类为智能电话而不执行进一步调查。
在一个实施例中,其中请求移动设备307是未知的(例如,之前未将特定设备的定义分配给类别317),设备分类模块319将从请求收集的与移动设备307有关的信息(例如,ActiveSync清册)与跟已知移动设备307有关的对应信息进行比较,以便找出最相似的已知移动设备307。设备分类模块319然后根据最佳匹配的类别317对请求移动设备307进行分类。例如,假设从运行iOS版本7.0的iPhone 5接收到访问请求。在该示例性场景中,运行iOS6.x的iPhone 5已知为智能电话,但不存在针对具有iOS版本7.0的iPhone 5的任何定义。通过将与请求移动设备307有关的信息与已知设备307进行比较,设备分类模块319可确定未知请求移动设备307和已知iPhone 5iOS 6.x设备307均为iPhone,但请求设备具有更高版本的iOS。在将已知iPhone 5iOS 6.x判定为已知iPhone 5iOS 7.0的最佳匹配之后,设备分类模块319将因此将移动设备307分配给类别317智能电话,即匹配的已知移动设备307所属的类别317。设备分类模块319将iPhone 5iOS 7.0的分类保存为智能电话,并因此将从运行iOS 7.0的iPhone 5s接收到的后续请求识别为来自智能电话,而不执行进一步调查。换句话讲,一旦iPhone 5iOS 7.0已被识别并分配给类别317,它就成为已知移动设备307。
应当理解,上文所述的分类场景仅是例子,并且在不同实施例中,用来出于分类目的将已知移动设备307判定为类似于未知移动设备307的标准有所不同。从请求(例如,从ActiveSync清册)收集的与移动设备307有关的特定属性可根据包含在请求中的信息、以及实施例中所需的设备识别粒度级别而有所不同。如上所述,这些属性的例子为信息,诸如型号、类型、ID、名称、OS等。此外,哪些特定属性与待分类的特定移动设备307的定义相关联为可变设计参数。以这种能力使用哪些属性可基于访问请求中可用的信息以及设备识别粒度的实施例特定级别。在以上例子中,不同iPhone定义被描述为包含名称(“iPhone”)、型号(5)、OS(iOS)和OS版本号(6.x、7.0)。在其他实施例中,可以更高精度级别识别特定移动设备307,所述更高精度级别为诸如更精确的型号信息(例如,识别iPhone 5GSM型号的A1428、识别iPhone 5GSM/CDMA型号的A1429、和识别iPhone 5CDMA China型号的A1442)和更精确的iOS版本号(例如,6.0、6.0.1、6.0.2、6.1、6.1.1等)。在其他实施例中,更一般地讲,进行更高级别的识别(例如,将具有名称“iPhone”的所有移动设备307定义为相同移动设备307而不考虑型号、OS版本等)。
当遇到未知移动设备307时,用于寻找分类所基于的最相似已知设备307的特定匹配逻辑也可在各实施例之间有所不同。通常,根据用于定义、识别和分类移动设备307的实施例特定属性(例如,名称、型号、类型、ID、OS名称、OS版本等),将从请求收集的未知移动设备307的属性与已知设备307的属性进行比较。在寻找最佳匹配时,将值与每个已知设备307相等的未知设备307的属性的数量考虑在内。例如,与未知设备307具有相同名称、型号和OS的已知移动设备307,在所有其他项均相等的情况下,通常将是比仅共享相同OS的已知设备更佳的匹配。另外,可将权重分配给不同属性(例如,可将具有相同名称视为比具有相同OS更表明良好匹配)。应用于给定属性的特定权重为可变设计参数,可对所述参数进行设置,以反映在为了对未知移动设备进行分类而确定最相似已知移动设备307的演算中不同属性的实施例特定重要性级别。
在一些实施例中,设备分类模块319仅基于清册中的信息对未知移动设备307进行分类,而不将未知设备307与已知设备进行比较。例如,设备分类模块319可根据预定义标准(例如,名称中具有“phone”的移动设备307可自动分类为智能电话等),对具有特定名称或其他特征的所有未知移动设备307进行分类。在一些实施例中,只有当收集的与移动设备307有关的信息满足具有所需阈值级别的设备识别置信度(例如,名称中具有iPhone的设备为智能电话,OS为Windows 7的设备为笔记本电脑等)的实施例特定标准时,设备分类模块319才这样操作。在此类实施例中,其中无法根据ActiveSync清册以必需级别的置信度进行识别,设备分类模块319随后执行上文所述的比较功能以寻找最相似的已知设备307。上升到阈值级别的设备识别置信度的特定标准为可变设计参数。在其他实施例中,如果与已知移动设备307的比较未产生作为分类基础的足够相似的候选者,则设备分类模块319仅尝试基于清册信息识别未知移动设备307。在这种情况下,设备分类模块319可尝试基于可用信息对未知移动设备307进行分类,或相反将该未知移动设备分类为属于类别“未知的”。
基于请求经由Exchange ActiveSync 309连接到企业网络107的移动设备307的分类,设备连接管理系统101的访问管理模块303根据至少一个设备分类级别规则313对访问请求进行管理,该规则313指定用于给定类别317的设备的访问策略。例如,在一些实施例中,访问管理模块303允许用户自注册多个移动计算设备307,而不必从管理员305请求和接收例外,其中根据特定设备分类级别规则313对可自注册的移动设备307的数量和类别317进行限制。例如,假设管理员305定义了规则313,该规则313指定每个用户可使用一部智能电话、一台平板电脑和一台笔记本电脑通过Exchange ActiveSync 309访问企业网络107,但通过任何额外的移动设备307进行访问需要授权例外。在该场景中,响应于从未注册移动设备307接收的每个访问请求,访问管理模块303识别移动设备307的用户和类别317。应当理解,通过在登录尝试(即,经由同步平台诸如Exchange ActiveSync 309登录到企业级系统诸如Exchange Server 311的尝试)中提供的用户名来识别用户。访问管理模块303检查由Exchange ActiveSync 309(和/或在一些实施例中,由设备连接管理系统101自身)存储的注册信息,并确定该用户是否已经具有已注册的相同类别的不同移动设备307。如果用户尚不具有相同类别317的已注册移动设备307(例如,用户正尝试用智能电话访问,并且用户尚不具有已注册的不同智能电话),则访问管理模块303容许自注册。另一方面,如果已为用户注册了相同类别317的不同移动设备307,则访问管理模块303阻拦自注册。在不容许设备307自注册的情况下,用户可从管理员305请求例外。一旦为用户注册了特定移动设备307,用户就能够利用移动设备307自动连接到Exchange ActiveSync309并同步基于ExchangeServer(或其他类型的集中化企业级别)的数据301。
应当理解,上文所述的场景仅仅是可能的设备分类级别规则313的例子,该规则313经由Exchange ActiveSync 309对自动访问进行管理。其他可能(不完全)例子将允许每个用户自注册任何两个移动设备307,前提是它们属于不同类别317,从而允许一部iPhone、一部Android电话、一台任何种类的平板电脑和一台Windows笔记本电脑,允许一台笔记本电脑和非笔记本电脑的一个额外移动设备307等。也可针对不同类别用户建立不同规则313,具体取决于用户需要(例如,管理器可比非管理器自注册更多个设备,Linux部门中的开发者可自注册多个Linux设备等等)。与仅允许每个用户一个移动设备307相对,通过对某个设备分类级别下的访问进行自动管理,大大减少了管理员305需要管理的例外请求数量,并且同时管理员305具有灵活性,可以基于任何级别设备分类的粒度创建和自动应用定制的访问策略。
图3示出了一个实施例,其中设备连接管理系统101应用设备分类级别规则313,该规则313指定具体类别317的移动设备307数量,所述移动设备307被授权用于经由ExchangeActiveSync 309连接到企业网络107并同步基于Exchange Server的数据301。应当理解,本实施例仅是设备连接管理系统101的一个特定用例。如上所述,在一些实施例中,设备连接管理系统101在Exchange Server 311之外的群件平台和/或Exchange ActiveSync 309之外的同步协议的情境中执行其设备分类级别访问管理。此外,在一些实施例中,在数据访问场景中而非在通过移动设备307在企业网络107级别的数据301同步中应用该功能。
在不同实施例中,设备连接管理系统101可对计算设备210分类并强制执行设备分类级别规则313,以在任何情况下管理多个类别317的计算设备210(移动设备或其他,例如,特定品牌、型号、操作系统、处理器等的台式计算机和工作站)对集中化数据301的访问。换句话讲,在期望出于安全性原因根据设备分类限制对企业级别数据301的访问的任何场景中,可定义指定访问策略的规则313,并且设备连接管理系统101可对尝试访问的计算设备210分类并应用规则313。设备分类级别规则313可基于正在执行的特定任务、数据301类型、用户位置等,指定对被授权访问集中化数据301的给定分类的计算设备210的数量进行限制。在一些场景中,彻底阻拦特定类别317的设备访问(即,数量被限制为零)。根据企业级管理员305希望强制执行的访问策略,在哪些情况下定义和应用哪些特定设备分类级别规则313有所不同。在一些实施例中,设备连接管理系统101提供某些预配置的默认设备分类级别规则313。通常,企业级管理员305可根据需要定义、添加、编辑和删除规则313,以定义要由设备连接管理系统101自动应用的设备分类级别访问策略。
图4示出了根据一些实施例的设备连接管理系统101的操作的步骤。类别定义模块315定义401计算设备210的多个类别317。设备定义分配模块318将特定计算设备210的定义分配403给已定义类别317中的特定类别。请求接收模块321接收405来自未分类计算设备210的访问请求。请求读取模块323从接收的请求读取407与未分类计算设备210有关的信息。设备分类模块319至少部分地基于从接收的请求读取的与计算设备210有关的信息,对未分类计算设备210进行分类409。基于分类,访问管理模块303根据设备分类级别规则313对接收的访问请求进行管理411,该规则313指定用于给定类别317的计算设备210的访问策略。
如熟悉本领域的技术人员所理解,在不脱离本发明的精神或实质特征的情况下,本发明可以以其他特定形式来体现。同样地,部分、模块、代理程序、管理器、组件、功能、规程、动作、层、特征、属性、方法、数据结构和其他方面的具体命名和划分不是强制性的或重要的,并且实施本发明或其特征的机制可具有不同名称、划分和/或格式。出于阐释目的,已参考特定实施例描述了以上说明书。然而,以上示例性讨论并非意图是穷举的或限制为所公开的精确形式。鉴于上述教导,许多修改形式和变型形式都是可能的。为了最好地阐释相关原理及其实际应用,选择并描述了实施例,由此使得本领域其他技术人员最好地利用具有或不具有可适合所设想的具体用途的各种修改形式的各种实施例。
Claims (13)
1.一种用于根据至少一个设备分类级别规则对移动计算设备访问集中化企业级数据的尝试进行管理的计算机实现的方法,所述方法包括以下步骤:
通过计算机定义多个移动计算设备类别;
通过所述计算机,将多个移动计算设备中的每个特定移动计算设备的定义分配给所述多个已定义类别中的特定类别,所述分配是基于有关所述特定移动计算设备的属性;
通过所述计算机,从未分类移动计算设备接收访问集中化企业级数据的请求,其中所述接收的请求包含有关所述未分类移动计算设备的信息;
通过所述计算机,从所述接收的请求读取有关所述未分类移动计算设备的信息;
至少基于从所述接收的请求读取的有关所述移动计算设备的信息,通过所述计算机,将所述未分类移动计算设备分类到所述多个已定义类别中的特定类别中;
并且将所述未分类移动计算设备分类到所述多个已定义类别中的特定类别中还包括基于所述信息比较,将所述多个移动计算设备中的特定移动计算设备判定为最相似于所述未分类移动计算设备,以及将所述未分类移动计算设备分类到特定类别中,所述特定类别已分配有被判定为最相似的所述移动计算设备的定义;
响应于将所述移动计算设备分类到所述特定已定义类别中,根据至少一个设备分类级别规则,通过所述计算机对访问集中化企业级数据的所述接收的请求进行管理,其中所述至少一个设备分类级别规则指定用于所述特定已定义类别的移动计算设备的访问策略;以及
响应于尚未将所述未分类移动计算设备的定义分配给特定类别,将从所述接收的请求读取的有关所述移动计算设备的信息与跟定义已被分配给已定义类别的多个移动计算设备有关的对应信息进行比较,其包括:
将来自多个属性的至少一些属性进行比较;
将不同权重分配给所述多个属性中的至少一些属性,其中分配给属性的权重反映在为了对未知移动计算设备进行分类而确定最相似的已知移动计算设备中该属性的重要性级别;以及
保存所述移动计算设备的分类,以对具有相同定义的未知移动计算设备的后续实例进行分类。
2.根据权利要求1所述的方法,其中:
来自所述未分类移动计算设备的访问集中化企业级数据的所述请求还包括来自未分类移动计算设备的、将企业网络上的数据与所述移动计算设备上的数据进行同步的请求。
3.根据权利要求2所述的方法,其中:
来自所述未分类移动计算设备的、将所述企业网络上的数据与所述移动计算设备上的数据进行同步的所述请求还包括经由Exchange ActiveSync访问所述企业网络并同步数据的请求。
4.根据权利要求1所述的方法,其中定义所述多个移动计算设备类别还包括:
提供多个默认类别定义。
5.根据权利要求1所述的方法,其中定义所述多个移动计算设备类别还包括:
从企业级管理员接收至少一些类别定义。
6.根据权利要求1所述的方法,其中基于有关所述特定移动计算设备的属性将多个移动计算设备中的每个特定移动计算设备的定义分配给所述多个已定义类别中的特定类别还包括:
基于来自一组属性的与特定移动计算设备有关的至少一些属性,将移动计算设备的定义分配给已定义类别,所述一组属性包括:名称、型号、类型、ID、操作系统名称和操作系统版本。
7.根据权利要求1所述的方法,其中从所述接收的请求读取有关所述未分类移动计算设备的信息还包括:
读取所述接收的请求中包含的所述未分类移动计算设备的清册。
8.根据权利要求1所述的方法,其中从所述接收的请求读取有关所述未分类移动计算设备的信息还包括:
从所述接收的请求中读取有关所述未分类移动计算设备的至少一些属性,所述属性来自包含以下属性的群组:名称、型号、类型、ID、操作系统名称和操作系统版本。
9.根据权利要求1所述的方法,所述方法还包括:
基于分类级别规则,允许各个用户仅使用多个特定类别中每一类别的至多特定数量的移动计算设备来各自自动访问企业级数据,所述规则限制多个特定类别中每一类别的移动计算设备的数量,通过所述每一类别的所述数量的所述移动计算设备,容许各个用户访问企业级数据,而无需企业级管理员进行任何额外操作。
10.根据权利要求1所述的方法,所述方法还包括:
基于分类级别规则,允许各个用户各自仅对多个特定类别中每一类别的至多特定数量的移动计算设备进行自注册,所述规则限制容许各个用户自注册的多个特定类别中每一类别的移动计算设备的数量;以及
允许各个用户通过注册给他们的移动计算设备自动访问企业级数据,而无需企业级管理员进行任何额外操作。
11.根据权利要求1所述的方法,所述方法还包括:
根据不同设备分类级别规则,对不同用户所做出的访问集中化企业级数据的接收的请求进行管理,其中所述不同设备分类级别规则指定用于不同类别的用户的不同访问策略。
12.根据权利要求1所述的方法,其进一步包括:
从企业级管理员接收指定访问策略的至少一个设备分类级别规则。
13.一种用于根据至少一个设备分类级别规则对移动计算设备所进行的访问集中化企业级数据的尝试进行管理的计算机系统,所述计算机系统包括:
至少一个处理器;
系统存储器,其中所述系统存储器存储有计算机程序,所述程序被处理器执行时实现以下步骤:
定义多个类别的移动计算设备;
将多个移动计算设备中的每个特定移动计算设备的定义分配给所述多个已定义类别中的特定类别,所述分配是基于有关所述特定移动计算设备的属性;
从未分类移动计算设备接收访问集中化企业级数据的请求,其中所述接收的请求包含有关所述未分类移动计算设备的信息;
从所述接收的请求读取有关所述未分类移动计算设备的信息;
至少基于从所述接收的请求读取的有关所述移动计算设备的信息,将所述未分类移动计算设备分类到所述多个已定义类别中的特定类别中;
其中将所述未分类移动计算设备分类到所述多个已定义类别中的特定类别中还包括基于所述信息比较,将所述多个移动计算设备中的特定移动计算设备判定为最相似于所述未分类移动计算设备,以及将所述未分类移动计算设备分类到特定类别中,所述特定类别已分配有被判定为最相似的所述移动计算设备的定义;
响应于将所述移动计算设备分类到所述特定已定义类别中,根据至少一个设备分类级别规则,对访问集中化企业级数据的所述接收的请求进行管理,其中所述至少一个设备分类级别规则指定用于所述特定已定义类别的移动计算设备的访问策略;以及
响应于尚未将所述未分类移动计算设备的定义分配给特定类别,将从所述接收的请求读取的有关所述移动计算设备的信息与跟定义已被分配给已定义类别的多个移动计算设备有关的对应信息进行比较,其包括:
将来自多个属性的至少一些属性进行比较;
将不同权重分配给所述多个属性中的至少一些属性,其中分配给属性的权重反映该属性在为了对未知移动计算设备进行分类而确定最相似的已知移动计算设备中该属性的重要性级别;以及
保存所述移动计算设备的分类,以对具有相同定义的未知移动计算设备的后续实例进行分类。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/955420 | 2013-07-31 | ||
| US13/955,420 US9210176B2 (en) | 2013-07-31 | 2013-07-31 | Mobile device connection control for synchronization and remote data access |
| PCT/US2014/049234 WO2015017699A2 (en) | 2013-07-31 | 2014-07-31 | Mobile device connection control for synchronization and remote data access |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105531977A CN105531977A (zh) | 2016-04-27 |
| CN105531977B true CN105531977B (zh) | 2018-04-10 |
Family
ID=52428935
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480042602.1A Expired - Fee Related CN105531977B (zh) | 2013-07-31 | 2014-07-31 | 用于同步和远程数据访问的移动设备连接控制的方法和系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9210176B2 (zh) |
| EP (1) | EP3028435A4 (zh) |
| JP (1) | JP6101407B2 (zh) |
| CN (1) | CN105531977B (zh) |
| WO (1) | WO2015017699A2 (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11605037B2 (en) | 2016-07-20 | 2023-03-14 | Fisher-Rosemount Systems, Inc. | Fleet management system for portable maintenance tools |
| US10270853B2 (en) * | 2016-07-22 | 2019-04-23 | Fisher-Rosemount Systems, Inc. | Process control communication between a portable field maintenance tool and an asset management system |
| US10764083B2 (en) | 2016-07-25 | 2020-09-01 | Fisher-Rosemount Systems, Inc. | Portable field maintenance tool with resistor network for intrinsically safe operation |
| US11477202B2 (en) * | 2016-12-29 | 2022-10-18 | AVAST Software s.r.o. | System and method for detecting unknown IoT device types by monitoring their behavior |
| CN109167765A (zh) * | 2018-08-17 | 2019-01-08 | 国云科技股份有限公司 | 一种限制云终端注册数量的方法 |
| US10805163B2 (en) * | 2018-08-21 | 2020-10-13 | Hewlett Packard Enterprise Development Lp | Identifying device types based on behavior attributes |
| CN109492376B (zh) * | 2018-11-07 | 2021-11-12 | 浙江齐治科技股份有限公司 | 设备访问权限的控制方法、装置及堡垒机 |
| US11592811B2 (en) * | 2019-10-02 | 2023-02-28 | Honeywell International Inc. | Methods and apparatuses for defining authorization rules for peripheral devices based on peripheral device categorization |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101729403A (zh) * | 2009-12-10 | 2010-06-09 | 上海电机学院 | 基于属性和规则的访问控制方法 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8074256B2 (en) * | 2000-01-07 | 2011-12-06 | Mcafee, Inc. | Pdstudio design system and method |
| US7555497B2 (en) * | 2003-08-21 | 2009-06-30 | Microsoft Corporation | Systems and methods for separating units of information manageable by a hardware/software interface system from their physical organization |
| JP4640776B2 (ja) * | 2004-12-24 | 2011-03-02 | 株式会社エヌ・ティ・ティ・データ | 情報システム設定装置、情報システム設定方法及びプログラム |
| JP4954979B2 (ja) * | 2005-04-29 | 2012-06-20 | オラクル・インターナショナル・コーポレイション | 詐欺監視、検出、および階層状ユーザ認証のためのシステムおよび方法 |
| WO2007053848A1 (en) | 2005-11-01 | 2007-05-10 | Mobile Armor, Llc | Centralized dynamic security control for a mobile device network |
| US8005879B2 (en) * | 2005-11-21 | 2011-08-23 | Sap Ag | Service-to-device re-mapping for smart items |
| WO2009065135A1 (en) | 2007-11-17 | 2009-05-22 | Uniloc Corporation | System and method for adjustable licensing of digital products |
| US8745153B2 (en) * | 2009-02-09 | 2014-06-03 | Apple Inc. | Intelligent download of application programs |
| US9215236B2 (en) | 2010-02-22 | 2015-12-15 | Avaya Inc. | Secure, policy-based communications security and file sharing across mixed media, mixed-communications modalities and extensible to cloud computing such as SOA |
| US8527549B2 (en) * | 2010-02-22 | 2013-09-03 | Sookasa Inc. | Cloud based operating and virtual file system |
| US9119017B2 (en) | 2011-03-18 | 2015-08-25 | Zscaler, Inc. | Cloud based mobile device security and policy enforcement |
| US8863297B2 (en) * | 2012-01-06 | 2014-10-14 | Mobile Iron, Inc. | Secure virtual file management system |
-
2013
- 2013-07-31 US US13/955,420 patent/US9210176B2/en active Active
-
2014
- 2014-07-31 EP EP14831704.3A patent/EP3028435A4/en not_active Withdrawn
- 2014-07-31 JP JP2016531909A patent/JP6101407B2/ja not_active Expired - Fee Related
- 2014-07-31 CN CN201480042602.1A patent/CN105531977B/zh not_active Expired - Fee Related
- 2014-07-31 WO PCT/US2014/049234 patent/WO2015017699A2/en active Application Filing
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101729403A (zh) * | 2009-12-10 | 2010-06-09 | 上海电机学院 | 基于属性和规则的访问控制方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6101407B2 (ja) | 2017-03-22 |
| EP3028435A4 (en) | 2017-04-26 |
| US20150040179A1 (en) | 2015-02-05 |
| JP2016532957A (ja) | 2016-10-20 |
| WO2015017699A3 (en) | 2015-11-12 |
| US9210176B2 (en) | 2015-12-08 |
| EP3028435A2 (en) | 2016-06-08 |
| CN105531977A (zh) | 2016-04-27 |
| WO2015017699A2 (en) | 2015-02-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105531977B (zh) | 用于同步和远程数据访问的移动设备连接控制的方法和系统 | |
| US11283726B1 (en) | Systems and methods for assigning tasks based on usage patterns and resource capacities | |
| US8819009B2 (en) | Automatic social graph calculation | |
| US9064033B2 (en) | Intelligent decision support for consent management | |
| US10044501B1 (en) | Selective content security using visual hashing | |
| RU2586866C2 (ru) | Дифференцирование набора признаков участником арендуемой среды и пользователем | |
| US9477574B2 (en) | Collection of intranet activity data | |
| CN107430666A (zh) | 租户锁箱 | |
| US11375015B2 (en) | Dynamic routing of file system objects | |
| CN104580344A (zh) | 用于生成资源访问控制决策的方法和系统 | |
| CN105472045A (zh) | 数据库迁移的方法和装置 | |
| CN103118140A (zh) | 将文件分享给关系圈外其他用户终端的方法、系统及装置 | |
| CN110162994A (zh) | 权限控制方法、系统、电子设备及计算机可读存储介质 | |
| CN107533618A (zh) | 保护数据免受未经授权的访问 | |
| US9026456B2 (en) | Business-responsibility-centric identity management | |
| CN105453072A (zh) | 以用户为中心的数据维护 | |
| CN114650170B (zh) | 跨集群资源管理方法、装置、设备和存储介质 | |
| US8793213B2 (en) | Embedded data marts for central data warehouse | |
| CN107911443A (zh) | 一种会话信息处理方法、装置、服务器和可读存储介质 | |
| US20180337929A1 (en) | Access Control in a Hybrid Cloud Infrastructure - Cloud Technology | |
| US11687627B2 (en) | Media transit management in cyberspace | |
| US20140215039A1 (en) | System and method for managing peer-to-peer information exchanges | |
| US20090259802A1 (en) | Smart device recordation | |
| US9961132B2 (en) | Placing a user account in escrow | |
| US20120311048A1 (en) | Instant messaging association method and system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: California, USA Patentee after: Norton identity protection Address before: California, USA Patentee before: Symantec Corp. |
|
| CP01 | Change in the name or title of a patent holder | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180410 Termination date: 20200731 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |