KR20160143679A - 장치 정책 관리자 - Google Patents

장치 정책 관리자 Download PDF

Info

Publication number
KR20160143679A
KR20160143679A KR1020167027980A KR20167027980A KR20160143679A KR 20160143679 A KR20160143679 A KR 20160143679A KR 1020167027980 A KR1020167027980 A KR 1020167027980A KR 20167027980 A KR20167027980 A KR 20167027980A KR 20160143679 A KR20160143679 A KR 20160143679A
Authority
KR
South Korea
Prior art keywords
policy
source
mobile device
value
conflict resolution
Prior art date
Application number
KR1020167027980A
Other languages
English (en)
Other versions
KR102403480B1 (ko
Inventor
피터 제이 카우프만
유항 주
소니아 프라부
존 차드웰 스파이스
저스틴 호우
Original Assignee
마이크로소프트 테크놀로지 라이센싱, 엘엘씨
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 마이크로소프트 테크놀로지 라이센싱, 엘엘씨 filed Critical 마이크로소프트 테크놀로지 라이센싱, 엘엘씨
Publication of KR20160143679A publication Critical patent/KR20160143679A/ko
Application granted granted Critical
Publication of KR102403480B1 publication Critical patent/KR102403480B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/4401Bootstrapping
    • G06F9/4411Configuring for operating with peripheral devices; Loading of device drivers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0866Checking the configuration
    • H04L41/0873Checking configuration conflicts between network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/50Service provisioning or reconfiguring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephone Function (AREA)
  • Databases & Information Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Storage Device Security (AREA)

Abstract

본 명세서에 기재된 다양한 기법이 모바일 장치 상의 정책 관리와 관련된다. 모바일 장치는 일원화된 인터페이스 구성요소 및 정책 핸들러 구성요소를 포함하는 장치 정책 관리자 시스템을 포함한다. 상기 일원화된 인터페이스 구성요소는 적어도 모바일 장치에 의해 실행되는 내부 정책 소스 구성요소 및 상기 모바일 장치 외부의 장치 관리 서버를 포함하는 복수의 정책 소스로부터 정책 설정 요청을 수신하도록 구성된다. 정책 설정 요청은 적어도 제1 정책 소스로부터의 제1 정책 설정 요청(정책에 대한 제1 정책 값) 및 제2 정책 소스로부터의 제2 정책 설정 요청(상기 정책에 대한 제2 정책 값)을 포함한다. 상기 정책 핸들러 구성요소는 모바일 장치를 제어하는 정책에 대한 현재 정책 값을 세팅하도록 충돌 해결 기법에 기초하여 제1 정책 값과 제2 정책 값 간 충돌을 해결하도록 구성된다.

Description

장치 정책 관리자{DEVICE POLICY MANAGER}
모바일 장치에 의해 집행되는 정책이 일반적으로 이러한 모바일 장치를 보안화 및/또는 관리하도록 제어된다. 종종, 복수의 정책 소스가 모바일 장치의 정책 값(policy value)을 설정한다. 복수의 정책 소스가 정책 값을 설정하도록 하는 많은 종래의 방식이 중앙집중 정책 서버를 포함한다. 일반적으로 복수의 정책 소스(policy source)는 정책 설정 요청(policy configuration request)(가령, 정책에 대한 정책 값)을 중앙집중 정책 서버로 전송한다. 중앙집중 정책 서버는 복수의 정책 소스로부터 정책에 대한 정책 값을 수집하고, 정책에 대한 이러한 정책 값들을 중재하며, 정책에 대한 정책 값을 모바일 장치로 전송할 수 있다. 따라서 이러한 서버-기반 방식에 의해, 중앙집중 정책 서버가 복수의 정책 소스로부터 획득된 정책 값을 관리하며 모바일 장치는 중앙집중 정책 서버에 의해 설정된 정책 값을 이용한다.
그 밖의 다른 일부 종래의 방식은 모바일 장치가 정책 설정 요청의 서브세트를 수신하고 핸들링하는 동안 중앙집중 정책 서버가 정책 설정 요청의 나머지를 핸들링하는 것을 포함한다. 그러나 이러한 방식에서, 모바일 장치는 정책 설정 요청의 일부분을 관리하는 것에 한정되고, 나머지 정책 설정 요청은 모바일 장치의 핸들링에서 벗어나 있다. 따라서 이들 종래의 방식은 종종 구현하기 복잡하고 어렵다.
모바일 장치 상에서의 정책 관리와 관련된 다양한 기법이 기재된다. 모바일 장치는 적어도 하나의 프로세서 및 컴퓨터 판독가능 저장부를 포함할 수 있고, 상기 컴퓨터 판독가능 저장부는 적어도 하나의 프로세서에 의해 실행되는 장치 정책 관리자 시스템을 포함할 수 있다. 상기 장치 정책 관리자 시스템은 복수의 정책 소스로부터 정책 설정 요청을 수신하도록 구성된 일원화된 인터페이스 구성요소를 포함할 수 있다. 상기 복수의 정책 소스는 적어도 모바일 장치의 적어도 하나의 프로세서에 의해 실행되도록 구성된 내부 정책 소스 구성요소와 상기 모바일 장치 외부의 장치 관리 서버를 포함한다. 일원화된 인터페이스 구성요소에 의해 수신된 정책 설정 요청은 제1 정책 소스로부터의 제1 정책 설정 요청 및 제2 정책 소스로부터의 제2 정책 설정 요청을 포함한다. 상기 제1 정책 설정 요청은 정책에 대한 제1 정책 값을 포함하고 상기 제2 정책 설정 요청은 상기 정책에 대한 제2 정책 값을 포함한다. 제1 정책 소스는 제2 정책 소스와 상이하고 제1 정책 값은 제2 정책 값과 충돌한다. 또한, 장치 정책 관리자 시스템은 모바일 장치를 제어하는 정책에 대한 현재 정책 값을 세팅하기 위해 충돌 해결 기법에 기초하여 정책에 대한 제1 정책 값과 제2 정책 값 간 충돌을 해결하도록 구성된 정책 핸들러 구성요소를 포함한다.
상기의 개요는 본 발명의 시스템 및/또는 방법의 일부 측면에 대한 기본적 이해를 제공하기 위해 단순화된 요약을 제공하는 것이다. 이 개요는 본 발명의 시스템 및/또는 방법의 포괄적 개시가 아니다. 핵심/본질적 요소를 식별하려는 것도 이러한 시스템 및/또는 방법의 범위를 명확화하려는 것도 아니다. 이하에서 제공될 더 상세한 설명의 전제로서 단순한 형태로 일부 개념들을 제공하려는 것이 유일한 목적이다.
도 1은 모바일 장치 상의 정책 관리를 수행하는 예시적 시스템의 기능 블록도이다.
도 2는 모바일 장치 상의 정책 관리를 수행하는 또 다른 예시적 시스템의 기능 블록도이다.
도 3은 정책 핸들러 구성요소에 의해 수행되는 정책 평가 프로세스를 도시하는 예시적 도면이다.
도 4는 모바일 장치의 장치 정책 관리자 시스템의 기능 블록도를 더 상세히 도시한다.
도 5는 장치 정책 관리자 시스템의 예시적 구현예를 도시한다.
도 6은 모바일 장치 상의 정책 관리를 위한 예시적 방법을 도시하는 흐름도이다.
도 7은 모바일 장치 상에서 정책을 관리하는 데 사용되는 충돌 해결 기법을 제어하는 예시적 방법을 도시하는 흐름도이다.
도 8은 예시적 컴퓨팅 장치를 도시한다.
지금부터, 모바일 장치 상에서의 복수의 정책 소스로부터의 정책에 대한 정책 설정 요청의 핸들링과 관련된 다양한 기술이 도면을 참조하여 기재되며, 이때 유사한 도면 부호는 유사한 요소를 지칭하도록 사용된다. 다음의 기재에서, 설명 목적으로, 복수의 특정 상세사항이 제공되어, 하나 이상의 측면의 완전한 이해를 제공할 수 있다. 그러나 이러한 측면은 이들 특정 상세사항 없이 실시될 수 있음이 자명할 수 있다. 또 다른 예를 들면, 하나 이상의 측면을 기술하는 것을 가능하게 하기 위해 잘 알려진 구조 및 장치가 블록도 형태로 도시된다. 또한 특정 시스템 구성요소에 의해 수행되는 것으로 기재되는 기능이 복수의 구성요소에 의해 수행될 수 있음이 이해될 수 있다. 마찬가지로, 예를 들어, 하나의 구성요소는 복수의 구성요소에 의해 수행되는 것으로 기재된 기능을 수행하도록 구성될 수 있다.
또한 용어 "또는"은 배타적 "또는"이 아니라 포괄적 "또는"을 의미한다. 즉, 달리 특정되지 않는 한 또는 맥락상 명백한 한, "X는 A 또는 B를 채용한다"라는 구문은 자연스러운 포괄적 순열 중 임의의 것을 의미한다. 즉, 구문 "X는 A 또는 B를 채용한다"는 다음의 사례 중 임의의 것을 만족시킨다: X는 A를 채용한다; X는 B를 채용한다; 또는 X는 A와 B를 모두 채용한다. 덧붙여, 일반적으로 달리 명시되거나 단수 형태를 가리키는 것으로 문맥상 명백하지 않다면, 본 출원 명세서 및 청구항에서 사용되는 것과 같은 단수 관사("a" 및 "an")는 "하나 이상"을 의미하는 것으로 이해되어야 한다.
도면을 다시 참조하면, 도 1은 모바일 장치(102) 상에서 정책 관리를 수행하는 시스템(100)을 도시한다. 모바일 장치(102)는 적어도 하나의 프로세서(104) 및 컴퓨터 판독가능 저장장치(106)를 포함한다. 프로세서(104)는 저장장치(106)로 로딩되는 명령(가령, 저장장치(106)로 로딩되는 하나 이상의 시스템, 저장장치(106)로 로딩되는 하나 이상의 구성요소 등)을 실행하도록 구성된다. 본 명세서에 더 상세히 기재된 바와 같이, 저장장치(106)는 장치 정책 관리자 시스템(108)을 포함한다. 따라서, 장치 정책 관리자 시스템(108)은 프로세서(104)에 의해 실행 가능하다. 장치 정책 관리자 시스템(108)은 복수의 정책 소스로부터의 정책 설정 요청을 모바일 정치(102) 상에서 중앙집중화된 방식으로 핸들링하도록 구성된다.
실질적으로 모바일 장치(102)는 임의의 유형의 모바일 장치일 수 있다. 모바일 장치(102)의 비제한적 예를 들면, 모바일 전화기(가령, 스마트폰), 랩톱 컴퓨팅 장치, 넷북 컴퓨팅 장치, 태블릿 컴퓨팅 장치, 웨어러블 컴퓨팅 장치, 핸드헬드 컴퓨팅 장치, 휴대용 게임 장치, 개인 디지털 보조기, 및 자동차용 컴퓨터 등이 있다. 또 다른 예를 들면, 모바일 장치(102)는 데스크톱 컴퓨팅 장치, 게임 콘솔, 엔터테인먼트 기기, 셋-톱 박스 등일 수 있다.
시스템(100)은 정책 설정 요청을 모바일 장치(102)의 장치 정책 관리자 시스템(108)으로 제공하여, 모바일 장치(102)를 제어하는 정책에 대한 정책 값을 설정할 수 있는 복수의 정책 소스를 포함한다. 복수의 정책 소스는 모바일 장치(102)의 프로세서(104)에 의해 실행 가능한 하나 이상의 내부 정책 소스 구성요소(110)를 포함할 수 있다. 추가로 또는 대안적으로, 복수의 정책 소스가 모바일 장치(102) 외부의 하나 이상의 관리 서버를 포함할 수 있다.
내부 정책 소스 구성요소(110)는 모바일 장치(102)의 프로세서(104), 모바일 장치(102)의 장치 사용자 인터페이스 등에 의해 실행되는 애플리케이션을 포함할 수 있다. 예를 들어, 모바일 장치(102)의 프로세서(104)에 의해 실행되는 애플리케이션은 이벤트에 기초하여 정책을 설정할 수 있으며, 애플리케이션은 하나 이상의 트리거(trigger), 가령, 프로필 변경, 아웃 오브 박스 경험(OOBE)(out of box experience) 조건 등에 기초하여 모바일 장치(102) 내부적으로 정책을 설정할 수 있다. 예를 들면, 내부 정책 소스 구성요소(110)가 이벤트에 기초하여 정책 설정 요청을 생성할 수 있는 제1 파티 애플리케이션(first party application)을 포함할 수 있으며, 여기서 장치 정책 관리자 시스템(108)에 의해 정책 설정 요청이 핸들링될 수 있다. 제1 파티 애플리케이션은 모바일 장치(102)의 기본 구성요소이거나 모바일 장치(102)와 연결된 주변장치일 수 있으며, 이는 장치 관리 서버(112-114) 중 임의의 것에 의해 한정되거나 얽매이지 않는다.
도 1의 예시에서 도시된 바와 같이, 시스템(100)은 장치 관리 서버 1(112), ... 및 장치 관리 서버 N(114)을 포함하며, 여기서 N은 실질적으로 임의의 정수이다(본 명세서에서, 장치 관리 서버 1(112), ... , 및 장치 관리 서버 N(114)은 장치 관리 서버(112-114)로 집합적으로 지칭된다). 그러나 또 다른 예에 따르면, 시스템(100)은 N개 미만의 장치 관리 서버(112-114)를 포함할 수 있다(가령, 모바일 장치(102)는 어떠한 장치 관리 서버에도 등록되지 않을 수 있거나, 모바일 장치는 하나의 장치 관리 서버에 등록될 수 있다). 상기 장치 관리 서버(112-114)는 모바일 운영자 관리 서버, 기업 장치 관리 서버, 또는 이들의 조합을 포함할 수 있다. 기업 장치 관리 서버의 예시는 메시징 서버, 모바일 장치 관리(MDM) 서버, 문서 서버 등을 포함한다. MDM 서버는 모바일 장치(102)를 관리할 수 있고, MDM 서버는 애플리케이션, 데이터, 및 정책 설정 요청의 무선 배포(over-the-air distribution)를 이용해, 모바일 장치(102) 상의 데이터 및 설정 세팅을 제어 및 보호할 수 있다. 또한, 메시징 서버는 전자메일, 일정표, 연락처, 노트, 작업 등과 관련된 데이터를 모바일 장치(102)와 교환할 수 있고(가령, 모바일 장치(102)는 전자메일, 일정표, 연락처, 노트, 작업 등을 메시징 서버와 안전하게 동기화시킬 수 있다), 따라서 모바일 장치(102)가 메시징 서버에 등록될 때 메시징 서버는 정책 설정 요청을 모바일 장치(102)로 전송할 수 있다. 문서 서버는 액세스에 대한 정책을 문서에 적용하는 정책 애플리케이션 시스템(가령, 지지 정보 권한 관리)을 가질 수 있다.
장치 정책 관리자 시스템(108)이 모바일 장치(102) 상의 다양한 정책 소스로부터의 정책 설정 요청을 중앙집중적으로 관리한다. 장치 정책 관리자 시스템(108)은 모바일 장치(102) 상 하드웨어의 그 밖의 다른 구성요소에 위임된 정책 저장소(policy store)에 유지되는 정책에 대한 정책 값을 중앙집중적으로 관리할 수 있음이 고려된다. 예를 들어, 일부 정책이 모바일 장치(102)의 하드웨어에서 관리 및 증명될 수 있다. 장치 정책 관리자 시스템(108)은 예를 들어 작업을 서로에게 위임하는 2개의 구성요소로 나눠질 수 있다. 또 다른 예시에 따르면, 장치 정책 관리자 시스템(108)은 하드웨어 정책 관리자 및 장치 정책 관리자 시스템(108)의 구성요소로 위임할 수 있는 오케스트레이터 구성요소(orchestrator component)를 포함할 수 있다.
장치 정책 관리자 시스템(108)은 실질적으로 임의의 정책 소스로부터의 실질적으로 임의의 정책과 관련된 정책 설정 요청을 핸들링한다. 장치 정책 관리자 시스템(108)은 일관되고, 보안화되며, 간결하고, 확장 가능할 수 있다. 또한 장치 정책 관리자 시스템(108)은 가볍고 유연하여, 정책 소스가 모바일 장치(102)의 정책에 대한 정책 값을 설정할 수 있다.
장치 정책 관리자 시스템(108)은 모바일 장치(102)의 내부에 있을 수 있는 복수의 정책 소스(가령, 내부 정책 소스 구성요소(110))뿐 아니라 모바일 장치(102) 외부에 있을 수 있는 복수의 정책 소스(가령, 장치 관리 서버(112-114))로부터의 정책 설정 요청을 수용할 수 있다. 또한, 정책 소스는 장치 정책 관리자 시스템(108)으로부터 정책의 현재 정책 값을 불러올 수 있다. 정책의 현재 정책 값이 모바일 장치(102)를 제어하기 위해 모바일 장치(102) 상에서 집행되는 정책 값이다.
모바일 장치(102)의 컴퓨터 판독가능 저장장치(106)가 또한 내부 시스템(116)을 포함할 수 있다. 내부 시스템(116)은 모바일 장치(102)의 프로세서(104)에 의해 실행될 수 있다. 마찬가지로 내부 시스템(116)은 장치 정책 관리자 시스템(108)으로부터의 정책의 현재 정책 값을 불러올 수 있다. 추가로 또는 대안으로서, 장치 정책 관리자 시스템(108)은 정책의 현재 정책 값의 변경에 응답하여 내부 시스템(116) 중 하나 이상으로 통지를 전송할 수 있다.
장치 정책 관리자 시스템(108)은 복수의 정책 소스로부터 정책 설정 요청을 수신하도록 구성된 일원화된 인터페이스 구성요소(118)를 포함한다. 복수의 정책 소스는 모바일 장치(102)의 프로세서(104)에 의해 실행되는 적어도 하나의 내부 정책 소스 구성요소(가령, 내부 정책 소스 구성요소(110)) 및 모바일 장치(102) 외부의 장치 관리 서버(가령, 장치 관리 서버(112-114)) 중 적어도 하나를 포함할 수 있다. 일원화된 인터페이스 구성요소(118)는 정책 소스가 정책 값을 설정 및 얻기 위한 인터페이스일 수 있다. 따라서 내부 및 외부 정책 소스는 일원화된 인터페이스 구성요소(118)를 통해 모바일 장치(102)의 정책 값을 설정할 수 있다. 덧붙여, 일원화된 인터페이스 구성요소(118)는 내부 시스템(116)이 모바일 장치(102)에 의해 집행되는 현재 정책 값을 불러올 수 있게 하는 인터페이스일 수 있다. 일원화된 인터페이스 구성요소(118)에 의해, 모바일 장치(102)에 대한 정책 값을 판독/기록할 때 장치 정책 관리자 시스템(108)은 실질적으로 임의의 유형의 정책 소스와 상호운영될 수 있다.
장치 정책 관리자 시스템(108)은 모바일 장치(102)를 제어하는 정책에 대한 현재 정책 값을 설정하도록 구성된 정책 핸들러 구성요소(120)를 더 포함한다. 정책 핸들러 구성요소(120)는 (가령, 내부 시스템(116) 등으로 통지를 전송하기 위한, 정책 소스 및/또는 내부 시스템(116)로부터의 요청에 응답하여) 정책에 대한 현재 정책 값을 더 불러올 수 있다. 덧붙여, 모바일 장치(102)가 특정 정책 소스로부터 등록-해제되거나 특정 정책 소스가 특정 정책 소스에 의해 설정된 정책에 대한 정책 값을 삭제하는 것에 응답하여 정책 핸들러 구성요소(120)는 정책에 대한 현재 정책 값을 재평가할 수 있다. 정책 핸들러 구성요소(120)는 정책에 대한 현재 정책 값을 계산하기 위해 정책 평가 프로세스를 수행할 수 있으며, 이러한 정책 평가 프로세스는 확장되어 장치 정책 관리자 시스템(108)에 의해 추가 정책이 지원될 수 있도록 할 수 있고, 하나의 정책 소스가 또 다른 정책 소스의 정책 설정 요청을 보거나 수정할 수 없도록 보안화할 수 있다.
장치 정책 관리자 시스템(108)은 추가 정책의 플러그-인을 가능하게 할 수 있는 모듈화된 정책 설정 아키텍처를 가질 수 있다. 모바일 장치(102)의 운영 체제를 업데이트할 필요 없이, 장치 정책 관리자 시스템(108)이 확장될 수 있다. 덧붙여, 정책 소스가 모바일 장치(102)를 더 이상 관리하고 있지 않을 때 장치 정책 관리자 시스템(108)에 의해 정책에 미치는 정책 소스의 관리 권한의 영향이 삭제될 수 있다.
정책 핸들러 구성요소(120)는 서로 다른 정책 소스에 의해 특정되는 충돌하는 정책 값들 간 충돌을 해결할 수 있다. 예를 들어, 정책 핸들러 구성요소(120)는 정책들에 대한 충돌을 해결하기 위해 다양한 충돌 해결 기법을 이용할 수 있다. 충돌 해결 기법은 둘 이상의 정책에 대해 설정될 수 있음이 자명할 것이다. 추가로 또는 대안으로서, 서로 다른 충돌 해결 기법이 서로 다른 정책에 대해 설정될 수 있다.
모바일 장치(102) 상의 정책 소스들 간 신뢰가 수립될 필요가 없으며, 이는 모바일 장치(102)를 정책 소스에 등록하는 것을 단순화시킬 수 있다. 정책 핸들러 구성요소(120)는, 예를 들어, 모바일 장치(102) 상에서 이러한 정책 소스들 간 신뢰를 수립하지 않고, 정책 소스로부터의 정책에 대한 정책 값들 간 충돌을 해결하도록 구성될 수 있다(가령, 모바일 장치(102) 상에 장치 관리 서버 1(112)과 장치 관리 서버 N(114) 간 신뢰를 수립하지 않고, 장치 관리 서버 1(112)이 특정하는 제1 정책 값과 장치 관리 서버 N(114)이 특정한 제2 정책 값 간 충돌이 정책 핸들러 구성요소(120)에 의해 해결될 수 있다).
정책 핸들러 구성요소(120)에 의해 사용될 수 있는 예시적 충돌 해결 기법은 배타적 규칙(exclusive rule)(가령, 특정 정책 값이 적용될 때 또 다른 특정 정책 값이 적용되지 않음), 포괄적 규칙(inclusive rule)(가령, 또 다른 정책 값이 바의 범위에 속하는 경우에만 정책을 가치 Foo로 설정), 모바일 장치(102)의 특정 상태가 X인 경우에만 정책 값을 Foo로 설정하며, 특정 정책 소스로부터의 요청에 따라 정책 값을 집행하는 등을 포함한다. 그 밖의 다른 예시적 충돌 해결 기법은 정책의 현재 값을 가장 최근에 기록된 정책 값으로 설정하는 것 또는 정책의 현재 값을 가장 제한적 정책 값으로 설정하는 것을 포함한다.
또 다른 예에 따르면, 충돌 해결 기법은 정책 소스 유형에 대해 각각의 권한 레벨을 특정할 수 있다. 이 예시에 따르면, 정책 핸들러 구성요소(120)는 이러한 충돌 해결 기법을 이용해, 정책 설정 요청이 수신된 정책 소스의 각자의 권한 레벨에 기초하여 정책에 대한 현재 정책 값을 설정하도록 구성될 수 있으며, 이때, 이들 정책 설정 요청은 정책에 대한 각각의 정책 값을 포함한다. 예를 들어, 제1 정책 설정 요청(가령, 정책에 대한 제1 정책 값)이 제1 권한 레벨을 갖는 제1 정책 소스로부터 올 수 있고, 제2 정책 설정 요청(가령, 정책에 대한 제2 정책 값)이 제2 권한 레벨을 갖는 제2 정책 소스로부터 올 수 있다. 이러한 실례에 따르면, 정책 핸들러 구성요소(120)는 제1 권한 레벨 및 제2 권한 레벨에 기초하여 하는 충돌 해결 기법을 이용해 제1 정책 값과 제2 정책 값 간 충돌을 해결할 수 있다(가령, 제1 권한 레벨을 갖는 정책 소스로부터의 정책 값이 제2 권한 레벨을 갖는 정책 소스로부터의 정책 값보다 높게 선택될 수 있다). 예를 들어, 충돌 해결 기법은 특정 정책에 대해 모바일 운영자 관리 서버로부터의 정책 값을 메시징 서버로부터의 정책 값보다 높게 선택하는 것을 특정할 수 있으며, 반면에 다른 정책에 대해, 메시징 서버로부터의 정책 값을 모바일 운영자 관리 서버로부터의 정책 값보다 높게 선택하는 것을 특정할 수 있다.
충돌 해결 기법이 권한 레벨을 소스별로(가령, 소스 식별자(ID)에 기초하여) 설정하거나, 소스의 유형별로 설정할 수 있다(가령, 메시징 서버 대 MDM 서버 대 모바일 운영자 관리 서버 대 내부 정책 소스 구성요소(110)에 대해 서로 다른 권한 레벨이 설정될 수 있다). 덧붙여, 권한 레벨은 정책별로 또는 정책 그룹별로 정의될 수 있다. 일례에 따르면, 충돌 해결 기법이 한 정책 그룹의 정책 소스 유형에 대해 각각의 권한 레벨을 특정할 수 있고, 상이한 정책 그룹의 정책 소스 유형에 대해 상이한 각각의 권한 레벨을 특정할 수 있다. 예를 들어, 권한 레벨의 클래스 정의(class definition)가 지원될 수 있다. 동일한 권한 레벨이 하나의 클래스로 간주될 수 있으며, 한 클래스가 또 다른 클래스와 충돌하는 방식이 정의될 수 있다. 예를 들어, 특정 클래스가 하나 이상의 정책 소스를 포함할 수 있으며 클래스 간 충돌 해결이 특정 충돌 해결 기법의 일부인 규칙에 의해 결정될 수 있다.
또 다른 예를 들면, 충돌 해결 기법은 특정 권한 레벨을 갖는 정책 소스가 정책의 현재 정책 값을 설정하지 못하게 금지하는 것을 특정할 수 있다. 이 예시에 따르면, 정책 설정 요청이 모바일 장치(102)의 신뢰되는 정책 소스에 의해 금지를 무효화하도록 서명될 수 있는 것이 고려된다. 예를 들어, 기업 장치 관리 서버(가령, 장치 관리 서버(112-114), 메시징 서버, MDM 서버 등 중 하나)로부터의 정책 설정 요청이 서명된 정책 설정 요청일 수 있으며, 서명된 정책 설정 요청은 모바일 장치(102)의 신뢰되는 정책 소스(가령, 모바일 장치(102)의 프로세서(104)에 의해 실행된 운영 체제의 소스)에 의해 서명될 수 있다. 일원화된 인터페이스 구성요소(118)로부터 서명된 정책 설정 요청을 수신하면, 정책 핸들러 구성요소(120)는 서명된 정책 설정 요청에 기초하여 충돌 해결 기법에 의해 특정된 금지를 무효화하도록 구성될 수 있다. 수정되면, 기대 해쉬(hash) 또는 서명이 더 이상 매칭되지 않을 것이기 때문에, 정책 설정 요청을 서명함으로써, 정책 소스로부터 전송된 정책 값이 악의적으로 수정될 수 없음이 보장될 수 있다.
장치 정책 관리자 시스템(108)은 정책 관리자 메타베이스 저장소(policy manager metabase store)(122)를 더 포함한다. 상기 정책 관리자 메타베이스 저장소(122)는 모바일 장치(102)를 제어하는 정책에 대한 현재 정책 값을 저장한다. 현재 정책 값은 (가령, 일원화된 인터페이스 구성요소(118)에 의해 수신된 정책 설정 요청의 일부로서) 디폴트 정책 값과 정책 소스에 의해 특정된 정책 값을 병합하는 정책 핸들러 구성요소(120)에 의해 구현되는 정책 평가 프로세스로부터 도출될 수 있다. 디폴트 정책 값이 정책 관리자 메타베이스 저장소(122)에 사전 설정될 수 있다. 또한, 하나의 예시에 따르면, 신뢰되는 정책 소스가 정책의 디폴트 정책 값을 원격으로 수정할 수 있다.
정책 관리자 메타베이스 저장소(122)가 또한 각각의 정책에 대한 충돌 해결 기법(가령, 핸들링 규칙 등) 및 지원되는 데이터 유형을 저장할 수 있으며, 비제한적 예를 들면, 서로 다른 정책 소스에 의해 서로 다른 정책 값이 요청되는 경우 정책 값이 설정될 수 있다. 정책 관리자 메타베이스 저장소(122)가 장치 상태(가령, 모바일 장치(102)의 상태), 정책 소스 상태(가령, 하나 이상의 정책 소스의 상태), 및 그 밖의 다른 정책 상태(가령, 개별 정책들의 현재 정책 값)와 통합되는 커스텀화 가능한 규칙에 의해 정책별 특정 핸들링을 가능하게 할 수 있다. 따라서 정책 관리자 메타베이스 저장소(122)는 정책 관리자 시스템(108)에 의해 집행되는 정책에 대한 유연한 제어를 가능하게 할 수 있다.
덧붙여, 정책 관리자 메타베이스 저장소(122)는 정책 값 변환(transfiguration)을 수행할 수 있다. 예를 들어, 오래된 정책이 "1 = 비활성화, 0 = 활성화"라고 특정할 수 있다. 그러나 새 모델이 "0 = 비활성화, 1 = 활성화"을 제공할 수 있다. 따라서 역방향 호환성을 제공하기 위해, 정책 관리자 메타베이스 저장소(122)는 오래된 정책의 정책 값을 재설정할 수 있다.
각각의 정책은 정책 관리자 메타베이스 저장소(122)에 유지되는 디폴트 값을 가질 수 있고, 정책의 디폴트 값이 정책 관리자 메타베이스 저장소(122)의 디폴트 정책 저장소에 유지될 수 있다. 또한, 정책의 현재 정책 값이 정책 관리자 메타베이스 저장소(122)의 디폴트 정책 저장소 내 메타데이터에 기초하여 결정될 수 있다.
정책 관리자 메타베이스 저장소(122)는 또한 모바일 장치(102)가 등록되는 복수의 정책 소스에 대해 각자의 소스 정책 저장소를 포함할 수 있다. 정책 관리자 메타베이스 저장소(122)는 각자의 소스 정책 저장소에 정책 소스에 의해 설정된 정책 값을 저장할 수 있다(가령, 장치 관리 서버 1(112)로부터의 정책 설정 요청에서 특정된 정책 값이 장치 관리 서버 1(112)에 대응하는 소스 정책 저장소에 저장될 수 있고, 장치 관리 서버 N(114)으로부터의 정책 설정 요청에서 특정된 정책 값이 장치 관리 서버 N(114)에 대응하는 소스 정책 저장소에 저장될 수 있는 등이다). 정책 관리자 메타베이스 저장소(122)는 또한 모바일 장치(102)에서 집행되는 현재 정책 값을 현재 정책 저장소에 저장할 수 있다.
각각의 정책 소소는 고유의 소스 식별자(ID)와 연관될 수 있다(가령, 이는 장치 정책 관리자 시스템(108)에 의해 내부적으로 핸들링될 수 있다). 소스 ID는 콜링 프로세서에 의해 설정될 수 있고 소스-특정적으로 생성된 자원 및 변경된 정책 값을 정책 관리자 메타베이스 저장소(122)에 저장하는 데 사용될 수 있다. 덧붙여, 일원화된 인터페이스 구성요소(118)는 소스-특정적 정책 값을 판독/기록할 수 있고 소스 ID에 기초하여 정책 관리자 메타베이스 저장소(122)에 유지된 정책의 현재 정책 값을 판독할 수 있다.
본 명세서에서 기재된 바와 같이, 일원화된 인터페이스 구성요소(118)는 복수의 정책 소스로부터 정책 설정 요청을 수신하도록 구성된다. 예시적 시나리오에 따르면, 정책 설정 요청은 적어도 제1 정책 소스로부터의 제1 정책 설정 요청 및 제2 정책 소스로부터의 제2 정책 설정 요청을 포함할 수 있다. 이 예시적 시나리오에 따르면, 정책 설정 요청은 실질적으로 임의의 개수의 추가 정책 설정 요청을 더 포함할 수 있다. 제1 정책 설정 요청은 정책에 대한 제1 정책 값을 포함할 수 있다. 덧붙여, 제2 정책 설정 요청은 상기 정책에 대한 제2 정책 값을 포함할 수 있다. 상기 제1 정책 소스는 제2 정책 소스와 상이하고 제1 정책 값은 제2 정책 값과 충돌된다. 정책 핸들러 구성요소(120)는 정책에 대한 제1 정책 값과 제2 정책 값 간 충돌을 해결하도록 구성된다. 덧붙여, 정책 핸들러 구성요소(120)는 충돌 해결 기법에 기초하여 충돌을 해결하여 모바일 장치(102)를 제어하는 정책에 대한 현재 정책 값을 설정하도록 구성된다.
제1 정책 설정 요청은 제1 정책 소스의 식별자(가령, 제1 정책 소스의 소스 ID) 및 제1 정책 값이 특정되는 정책을 특정하는 지시자를 더 포함할 수 있다. 또한, 제2 정책 설정 요청은 제2 정책 소스의 식별자(가령, 제2 정책 소스의 소스 ID) 및 정책을 특정하는 지시자를 더 포함할 수 있다. 덧붙여, 제1 정책 소스의 식별자는 제2 정책 소스의 식별자와 상이하다(가령, 이는 일원화된 인터페이스 구성요소(118)에 의해 결정될 수 있다).
정책 핸들러 구성요소(120)는 일원화된 인터페이스 구성요소(118)로부터 제1 정책 설정 요청 및 제2 정책 설정 요청을 수신하도록 구성된다. 정책 핸들러 구성요소(120)는 정책에 대한 제1 정책 값을 정책 관리자 메타베이스 저장소(122)의 제1 소스 정책 저장소에 기록할 수 있으며, 이때, 제1 소스 정책 저장소는 제1 정책 소스에 대응한다. 정책 핸들러 구성요소(120)는 정책에 대한 제2 정책 값을 정책 관리자 메타베이스 저장소(122)의 제2 소스 정책 저장소에 더 기록할 수 있으며, 이때, 제2 소스 정책 저장소는 제2 정책 소스에 대응한다. 정책 핸들러 구성요소(120)는 제1 소스 정책 저장소로부터의 제1 정책 값 및 제2 소스 정책 저장소로부터의 제2 정책 값에 적어도 기초로 하는 충돌 해결 기법을 이용해 정책에 대한 현재 정책 값을 더 결정할 수 있다. 또한, 그 밖의 다른 정책 소스로부터의 그 밖의 다른 정책 설정 요청에 응답하여, 정책 관리자 메타베이스 저장소의 그 밖의 다른 소스 정책 저장소에 기록되는 그 밖의 다른 정책 값이 사용되어, 이와 마찬가지로, 현재 정책 값을 결정하거나 및/또는 정책 관리자 메타베이스 저장소(122)의 디폴트 정책 저장소 내 디폴트 정책 값이 사용되어 현재 정책 값을 결정할 수 있다. 추가로, 정책 핸들러 구성요소(120)는 정책 관리자 메타베이스 저장소(122)의 디폴트 정책 저장소에, 결정된 정책에 대한 현재 정책 값을 기록하도록 구성될 수 있다.
도 2를 참조하면, 모바일 장치(102) 상에서 정책 관리를 수행하는 또 다른 시스템(200)이 도시된다. 모바일 장치(102)는 장치 정책 관리자 시스템(108), 내부 시스템(116), 및 내부 정책 소스 구성요소(가령, 내부 정책 소스 구성요소(110))를 포함한다. 더 구체적으로, 도 2의 예시에 도시된 모바일 장치(102)의 내부 정책 소스 구성요소는 모바일 장치(102)의 프로세서 및 장치 사용자 인터페이스(UI)(204)에 의해 실행되는 하나 이상의 애플리케이션(202)을 포함한다.
모바일 장치(102)의 사용자는 장치 사용자 인터페이스(204)를 통해 모바일 장치(102)와 대화할 수 있다. 예를 들어, 장치 사용자 인터페이스(204)는 사용자와 대화할 수 있는 제어 패널을 제공할 수 있다. 따라서 장치 사용자 인터페이스(204)는 정책에 대한 정책 값에 대한 정책 설정 요청을 모바일 장치(102)의 사용자로부터 수신할 수 있다. 장치 사용자 인터페이스(204)를 통해 수신된 정책 설정 요청은 장치 정책 관리자 시스템(108)에 의해 핸들링될 수 있다. 이러한 요청은 본 명세서에 기재되는 바와 같이 일원화된 인터페이스 구성요소(118)에 의해 수신될 수 있고 정책 핸들러 구성요소(120)에 의해 처리될 수 있다.
덧붙여, 모바일 장치(102)는 장치 관리 서버(112-114)와 대화하는 클라이언트(206)를 포함할 수 있다. 예를 들어, 장치 관리 서버(112-114) 각각은 모바일 장치(102) 상의 대응하는 클라이언트(가령, 클라이언트(206)들 중 하나)를 가질 수 있다.
모바일 장치(102)의 내부 시스템(116)은 모바일 장치(102)의 제1 및/또는 제2 파티 프로세스를 포함할 수 있다. 내부 시스템(116)은 장치 정책 관리자 시스템(108)으로부터 현재 정책 값을 수신할 수 있다. 내부 시스템(116)은 모바일 장치(102)의 정책을 소유 및/또는 집행할 수 있다. 예를 들어, 내부 시스템(116)은 장치 정책 관리자 시스템(108)의 정책 관리자 메타베이스 저장소(122)에 유지되는 현재 정책 값을 판독할 수 있다. 추가로 또는 대안으로, 장치 정책 관리자 시스템(108)(가령, 일원화된 인터페이스 구성요소(118))은 내부 시스템(116)으로 통지를 전송할 수 있고, 일원화된 인터페이스 구성요소(118)에 의해, 정책에 의해 제어되는 자원(가령, 내부 시스템(116))이 등록되어 정책 업데이트 통지를 획득할 수 있다. 따라서 장치 정책 관리자 시스템(108)(가령, 일원화된 인터페이스 구성요소(118))은 정책 값 수정에 응답하여 내부 시스템(116)으로 통지를 전송할 수 있다.
정책 핸들러 구성요소(120)는 정책 관리자 메타베이스 저장소(122)에 유지되는 정책의 현재 정책 값을 판독할 수 있다. 정책 핸들러 구성요소(120)는 정책 관리자 메타베이스 저장소(122) 내 대응하는 정책 저장소로부터 정책 값을 판독/여기에 정책 값을 기록하기 위한 정책 저장소 모듈을 포함할 수 있다. 각각의 정책 저장소는 예를 들어, 메타데이터를 갖는 디폴트 정책 값, 장치 UI 또는 애플리케이션 정책 값, 장치 관리 서버 정책 값 및 현재 정책 값을 유지할 수 있다. 정책 핸들러 구성요소(120)는 정책 값이 정책과 연관된 메타데이터에 기초하여 정책 관리자 메타베이스 저장소(122)의 디폴트 정책 저장소에 쓴 후 정책 평가를 수행할 수 있다. 예를 들어, 메타데이터는 정책에 대해 정책 핸들러 구성요소(120)에 의해 사용될 충돌 해결 기법을 특정할 수 있다.
장치 정책 관리자 시스템(108)은 하나 이상의 정책 소스로부터 설정된 정책을 관리할 수 있다. 모바일 장치(102) 상에서 사용되는 정책 값은 모바일 장치(102)가 등록되는 장치 관리 서버(112-114) 및 내부 정책 소스 구성요소 각각으로부터의 정책 값을 고려하는 정책 핸들러 구성요소(120)에 의해 수행되는 정책 평가 프로세스의 결과일 수 있다. 정책 핸들러 구성요소(120)는 충돌 해결 기법을 이용해 정책에 대한 대응하는 현재 정책 값을 선택할 수 있다. 정책의 정책 값의 변경이 정책 핸들러 구성요소(120)에 의해 정책 평가 프로세스를 트리거할 수 있음이 고려된다. 정책의 서로 다른 정책 값이 서로 다른 정책 소스에 의해 기록될 수 있으며, 정책 핸들러 구성요소(120)는 정책에 대응하는 충돌 해결 기법을 이용해 정책 값들 중 하나의 예측 가능한 선택을 보장할 수 있다.
정책 관리자 메타베이스 저장소(122)의 대응하는 소스 정책 저장소에서의 정책 소스 세팅 또는 정책 값의 삭제 또는 대응하는 소스 정책 저장소로부터의 정책 값의 삭제를 야기하는 장치 관리 서버의 등록해제(un-enrollment)가 정책 핸들러 구성요소(120)에 의한 정책 평가 프로세스를 트리거할 수 있다. 하나의 예를 들면, 하나 이상의 정책 소스는 모바일 장치(102)에 등록되는 하나 이상의 장치 관리 서버(112-114)를 포함할 수 있다. 장치 관리 서버(가령, 장치 관리 서버(112-114) 중 하나)가 모바일 장치(102)로부터 등록해제될 때, 이러한 장치 관리 서버에 의해 설정된 모바일 장치(102) 상의 정책 값이 원상 복귀되어 상이한 장치 관리 서버에 의해 설정된 정책 값, 상이한 정책 소스에 의해 설정된 정책 값(가령, 애플리케이션에 의해, 장치 사용자 인터페이스(204)를 통해 사용자 등에 의해 설정된 정책 값), 또는 디폴트 정책 값이 될 수 있다. 따라서 장치 관리 서버의 등록 해제에 응답하여, 이러한 장치 관리 서버에 의해 기록된 정책 값이 제거되고 디폴트 정책 저장소 및 나머지 소스 정책 저장소 내 정책 값이 정책 핸들러 구성요소(120)에 의해 다시 검사되어 현재 정책 저장소의 현재 정책 값을 업데이트할 수 있다. 그러나 일부 정책 소스의 경우, 이러한 소스에 의해 기록된 정책 값이 삭제되지 않을 수 있다.
정책은 모바일 장치(102)의 거동을 제어하며, 일원화된 인터페이스 구성요소(118)를 통해 하나 이상의 장치 관리 서버(112-114), 장치 사용자 인터페이스(204) 및/또는 애플리케이션(202)에 의해 설정될 수 있다. 정책 값이 정책 관리자 메타베이스 저장소(122)의 다음의 세 가지 유형의 위치에 저장된다: 정책에 대한 디폴트 정책 값을 포함하는 디폴트 정책 저장소, 대응하는 정책 소스에 의해 기록되는 정책에 대한 정책 값을 각자 포함하는 소스 정책 저장소(가령, 각각의 장치 관리 서버(112-114)는 자신 고유의 소스 정책 저장소를 가질 수 있으며, 각각의 내부 정책 소스 구성요소는 자신 고유의 소스 정책 저장소를 가질 수 있다), (가령, 디폴트 및 소스 정책 저장소로부터의 정책 값을 병합(merge)함으로써 도출된) 정책에 대한 현재 정책 값을 포함하는 현재 정책 저장소.
예를 들면, 정책 핸들러 구성요소(120)는, 정책 값이 특정 정책 소스의 소스 정책 저장소에 설정되기 전에, 특정 정책 소스로부터의 정책에 대한 정책 값을 검증하도록 구성될 수 있다. 추가로 또는 대안으로, 정책 핸들러 구성요소(120)는 소스 정책 저장소로부터의 정책에 대한 정책 값을 현재 정책 저장소 내 정책에 대한 현재 정책 값으로서 세팅하기 전에 준수 여부 체크(compliance check)를 수행하도록 구성될 수 있다.
다양한 예시에 따르면, 내부 시스템(116)은 정책 값을 수정할 수 없을 수 있다. 그러나 또 다른 예시에 따르면, 내부 시스템(116)은 정책 값을 수정할 수 있을 수 있다. 예를 들어, 내부 시스템(116)이 정책 값을 수정하도록 허용된 경우, 정책 관리자 메타베이스 저장소(122)는 내부 시스템(116)으로부터의 정책을 기록하기 위한 소스 정책 저장소를 포함할 수 있다. 따라서 정책이 평가될 때, 내부 시스템(116)의 소스 정책 저장소는 그 밖의 다른 정책 소스의 소스 정책 저장소에 비교할 때 유사한 방식으로 정책 핸들러 구성요소(120)에 의해 액세스될 수 있다.
장치 정책 관리자 시스템(108)에 의해, 모바일 장치(102)의 내부 정책 소스 구성요소(가령, 제1 파티 구성요소)가 외부 장치 관리 서버(112-114)와 유사한 방식으로 모바일 장치(102) 상에 정책 값을 세팅할 뿐 아니라 이러한 외부 정책 소스와 통합될 수 있다. 이러한 내부 정책 소스 구성요소의 예시는 유출-방지 잠금 구성요소(anti-leak lock component)가 있다. 예를 들어, 모바일 장치(102)가 부팅되면, 유출-방지 잠금 구성요소가, 유출-방지 잠금 구성요소에 대응하는 소스 정책 저장소 내 정책 값을 설정하면서, 모바일 장치(102)를 잠그기 위한 고유의 설정 프로파일을 생성할 수 있다. 따라서 장치 정책 관리자 시스템(108)과 관련하여 유출-방지 잠금 구성요소를 이용함으로써, 모바일 장치(102) 상의 보안이 향상될 수 있다.
상기 장치 정책 관리자 시스템(108)은 특정 장치 관리 서버(가령, 장치 관리 서버(112-114) 중 하나)와 관련되지 않고, 대신, 장치 정책 관리자 시스템(108)은 여러 다른 유형의 외부 서버(가령, 장치 관리 서버(112-114))에 걸쳐 대화할 수 있다. 장치 정책 관리자 시스템(108)은 가볍고 유연하며 외부 서버를 필요로 하지 않는다(가령, 장치 정책 관리자 시스템(108)은 정책 소스에 독립적이다(policy source-agnostic)).
또한, 정책 관리자 메타베이스 저장소(122)는 사용자가 입력한 정책 값(가령, 장치 사용자(204)를 통해 수신된 정책 값)을 영구적으로 저장할 수 있다. 예를 들어, 정책 관리자 메타베이스 저장소(122)는 상이한 정책 소스(가령, 장치 관리 서버(112-114) 중 하나 및/또는 애플리케이션(202))에 의해 설정된 값과 충돌하는 정책에 대한 값을 유지할 수 있다. 상이한 정책 소스가 모바일 장치(102)를 계속 등록하는 동안, 사용자가 입력한 값이 무시될 수 있다(가령, 이러한 사용자가 입력한 값은 무효로 간주될 수 있지만 대응하는 소스 정책 저장소에 계속 유지될 수 있다). 그러나 정책에 대한 충돌하는 값을 갖는 상이한 정책 소스의 등록 해제가 있으면, 사용자가 입력한 값은 액세스 가능할 수 있으며 정책 평가 프로세스를 통해 정책 핸들러 구성요소(120)에 의해 결정된 현재 정책 값으로서 사용될 수 있다(예컨대, 사용자가 입력한 값은 차후에 유효해질 수 있다).
도 3을 참조하면, 정책 핸들러 구성요소(120)에 의해 수행되는 정책 평가 프로세스를 도시하는 예시적 다이어그램이 도시된다. 도 3이 각각 정책 값을 설정하는 2개의 정책 소스(가령, 정책 소스 1 및 정책 소스 2)를 기재하지만, 그 밖의 다른 임의의 정책 소스가 본 명세서에 기재된 바와 같이 정책 값을 설정할 수 있음이 자명하다.
(302)에서, 모바일 장치(102) 상에 사전-설정(preset)된 디폴트 정책 값이 도시된다. 디폴트 정책 값은 정책 관리자 메타베이스 저장소(122)의 디폴트 정책 저장소에 저장될 수 있다. 디폴트 정책 값은 정책에 대한 현재 정책 값을 선택하는 데 사용되는 충돌 해결 기법을 기술하는 메타데이터와 함께 저장될 수 있다. 그 밖의 다른 어떠한 정책 소스도 이러한 정책에 대해 정책 값을 세팅하지 않는 경우 정책에 대한 디폴트 정책 값이 (가령, 호출자에게) 반환될 수 있다. 예를 들어, 어떠한 그 밖의 다른 정책 소스도 정책에 대한 정책 값을 세팅하지 않을 때 정책에 대한 디폴트 정책 값이 현재 정책 저장소에 현재 정책 값으로서 저장될 수 있다. 또 다른 예를 들면, 어떠한 그 밖의 다른 정책 소스도 정책에 대한 정책 값을 세팅하지 않을 때 정책에 대한 디폴트 정책 값은 디폴트 정책 저장소로부터 반환될 수 있다.
(304)에서, 제1 정책 소스가 자신 고유의 정책 값을 기록하고 판독할 수 있으며 모바일 장치(102)의 현재 정책 값을 판독할 수 있다. 관리 세션 중에 제1 정책 소스가 장치 정책 관리자 시스템(108)을 통해 자신 고유의 소스 정책 저장소에서 정책 값을 변경할 수 있고, 이는 (가령, 병합을 통해) 그 밖의 다른 소스 정책 및 디폴트 정책을 포함하는 정책 평가 프로세스를 도출할 수 있다. 도출된 현재 정책 값은 현재 정책 저장소에 유지될 수 있다. 또한 정책 값이 현재 정책 저장소에서 이전 값으로부터 변경된 경우, (가령, 내부 시스템(116) 중 하나 이상에게) 통지가 전송될 수 있다. 또한 제1 정책 소스의 소스 정책 저장소에 기록된 정책 값은 다른 정책 소스 또는 모바일 장치(102)에 의해 수정 또는 삭제될 수 없다.
(306)에서, 제2 정책 소스는 자신 고유의 정책 값을 기록하고 판독할 수 있으며 모바일 장치(102)의 현재 정책 값을 판독할 수 있다. 상기에서 언급된 바와 유사하게, 관리 세션 중에, 제2 정책 소스는 자신 고유의 정책 저장소에서 정책 값을 변경할 수 있고, 이로 인해 정책 평가 프로세스가 수행될 수 있다. 덧붙여, 제2 정책 소스의 소스 정책 저장소에 기록되는 정책 값이 그 밖의 다른 정책 소스 또는 모바일 장치(102)에 의해 수정 또는 삭제될 수 없다.
(308)에서, 현재 정책은 현재 정책 저장소에 저장된다. 덧붙여, 정책 소스의 등록 해제 동안, 이러한 정책 소스에 의해 세팅된 정책 값이 정책 소스의 대응하는 소스 정책 저장소로부터 삭제되고 정책 평가 프로세스가 다시 적용된다.
도 4는 모바일 장치(102)의 장치 정책 관리자 시스템(108)을 더 상세히 도시한다. 장치 정책 관리자 시스템(108)은 일원화된 인터페이스 구성요소 (118), 정책 핸들러 구성요소(120), 및 정책 관리자 메타베이스 저장소(122)를 포함한다.
앞서 언급된 일원화된 인터페이스 구성요소(118)에 의해 수신된 정책 설정 요청이 적어도 제1 정책 소스로부터의 제1 정책 설정 요청 및 제2 정책 소스로부터의 제2 정책 설정 요청을 포함하는 예시적 시나리오가 다시 참조된다. 다시 제1 정책 설정 요청은 정책에 대한 제1 정책 값을 포함할 수 있고, 제2 정책 설정 요청은 상기 정책에 대한 제2 정책 값을 포함할 수 있다. 상기 제1 정책 소스는 제2 정책 소스와 상이하고 제1 정책 값은 제2 정책 값과 충돌한다.
다양한 예시에 따르면, 장치 정책 관리자 시스템(108)은 한 정책 소스가 또 다른 정책 소스의 정책 설정 요청을 보거나 수정하지 못하게 하는 샌드박스 보안 구성요소(402)를 포함할 수 있다. 앞서 언급된 예시적 시나리오가 다시 참조된다. 샌드박스 보안 구성요소(402)는 제1 정책 소스가 상기 제1 정책 소스에 대한 정책 관리자 메타베이스 저장소(122)의 제1 소스 정책 저장소에 액세스하는 것을 허용하도록 구성될 수 있다. 샌드박스 보안 구성요소(402)는 또한 제2 정책 소스가 상기 제2 정책 소스에 대한 정책 관리자 메타베이스 저장소(122)의 제2 소스 정책 저장소에 액세스하는 것을 허용하도록 구성될 수 있다. 또한 샌드박스 보안 구성요소(402)는 제1 정책 소스가 제2 소스 정책 저장소에 액세스하지 못하게 제한하도록 구성되며, 제2 정책 소스가 제1 소스 정책 저장소에 액세스하지 못하게 제한하도록 구성될 수 있다.
장치 정책 관리자 시스템(108)은 해결 제어 구성요소(resolution control component)(404)를 더 포함할 수 있다. 해결 제어 구성요소(404)는 정책에 대해 정책 핸들러 구성요소(120)가 사용하는 충돌 해결 기법을 제어하도록 구성될 수 있다(가령, 디폴트 정책 저장소에 정책과 연관된 메타데이터를 세팅할 수 있다). 일례에 따르면, 해결 제어 구성요소(404)는 특정 정책 소스로부터 수신된 충돌 해결 핸들링 세팅(가령, 충돌 해결 핸들링 세팅은 일원화된 인터페이스 구성요소(118)에 의해 수신될 수 있음) 및 특정 정책 소스의 권한 레벨에 기초하여 정책에 대한 정책 핸들러 구성요소(120)가 사용하는 충돌 해결 기법을 제어하도록 구성될 수 있다. 정책 핸들러 구성요소(120)는 해결 제어 구성요소(404)에 의해 제어되는 정책에 대해 충돌 해결 기법에 기초하여 서로 다른 정책 소스에 의해 제공되는 서로 다른 정책 설정 요청에서 특정된 정책에 대한 서로 다른 정책 값들 간 충돌을 해결할 수 있다.
예를 들어, 해결 제어 구성요소(404)는 복수의 정책 소스(가령, 일원화된 인터페이스 구성요소(118)가 정책 설정 요청을 수신하는 정책 소스이며 모바일 장치(102)가 등록된 정책 소스) 중 둘 이상의 정책 소스로부터 수신된 충돌 해결 핸들링 세팅을, 복수의 정책 소스 중 둘 이상의 정책 소스의 각자의 권한 레벨에 기초하여, 중재하도록 구성될 수 있다. 이러한 중재에 의해, 해결 제어 구성요소(404)는 정책에 대한 선택된 충돌 해결 핸들링 세팅을 선택할 수 있다. 덧붙여, 해결 제어 구성요소(404)는 선택된 충돌 해결 핸들링 세팅에 기초하여 정책에 대해 정책 핸들러 구성요소(120)가 사용하는 충돌 해결 기법을 제어하도록 구성될 수 있다(가령, 정책 평가가 선택된 충돌 해결 핸들링 세팅에 기초하여 선택된 충돌 해결 기법 세트를 이용해 정책에 대해 정책 핸들러 구성요소(120)에 의해 수행될 수 있다).
예를 들어, 모바일 운영자 관리 서버가 제1 충돌 해결 핸들링 세팅을 모바일 장치(102)로 전송함으로써 정책에 대해 정책 핸들러 구성요소(120)가 사용하는 충돌 해결 기법을 세팅할 수 있고, 해결 제어 구성요소(404)는 제1 충돌 해결 핸들링 세팅에 기초하여 충돌 해결 기법을 수신 및 세팅할 수 있다. 그 후 (정책에 대해 모바일 운영자 관리 서버보다 큰 권한 레벨을 갖는) 기업 장치 관리 서버(enterprise device management server)가 제2 충돌 해결 핸들링 세팅을 모바일 장치로 전송함으로써, 정책 핸들러 구성요소(120)가 사용하는 충돌 해결 기법을 변경할 수 있다. 따라서 기업 장치 관리 서버가 더 큰 권한 레벨을 갖기 때문에 해결 제어 구성요소(404)는 제2 충돌 해결 핸들링 세팅에 기초하여 정책에 대한 충돌 해결 기법을 수신 및 변경할 수 있다.
또 다른 예를 들면, 해결 제어 구성요소(404)는 특정 정책 소스로부터 충돌 해결 핸들링 세팅을 수신하도록 구성될 수 있다. 덧붙여, 해결 제어 구성요소(404)는 특정 정책 소스와 모바일 장치(102)의 신뢰되는 정책 소스 간 수립된 신뢰를 검출하도록 구성될 수 있다. 신뢰되는 정책 소스는 모바일 장치(102)의 운영 체제의 소스일 수 있지만, 본 발명은 이에 국한되지 않는다. 덧붙여, 수립된 신뢰의 검출에 응답하여, 해결 제어 구성요소(404)는 충돌 해결 핸들링 세팅에 기초하여 정책에 대한 정책 핸들러 구성요소(120)가 사용하는 충돌 해결 기법을 제어할 수 있다. 이 예시에 따르면, 수립된 신뢰가 없을 때, 특정 정책 소스는, 특정 정책 소스의 권한 레벨에 기초하여 정책에 대해 정책 핸들러 구성요소(120)가 사용하는 충돌 해결 기법을 제어하지 못하게 금지될 수 있다.
장치 정책 관리자 시스템(108)은 정책에 대한 충돌을 해결하기 위해 정책 핸들러 구성요소(120)가 사용하는 특정 충돌 해결 기법이 모바일 장치(102)의 바람직하지 않은 상태를 야기하는지 여부를 검출하도록 구성된 상태 분석 구성요소(406)를 더 포함할 수 있다. 예를 들어, 상태 분석 구성요소(406)는 특정 충돌 해결 기법(가령, 제1 정책 소스가 디스플레이 상의 텍스트 색상을 검은색으로 세팅하는 것, 제2 정책 소스가 디스플레이 상의 배경 색상을 검은색으로 세팅하는 것, 모바일 장치가 등장의 임계 퍼센티지 이상으로 재설정되게 하는 정책에 대한 정책값들의 조합 등)의 사용으로부터 도출될 작동 불가능 상태(non-operable state), 불안정 상태(non-stable state), 또는 비-보안 상태(non-secure state)를 검출할 수 있다. 해결 제어 구성요소(404)는 특정 충돌 해결 기법이 바람직하지 않은 상태를 야기하는지 여부에 기초하여 정책에 대해 정책 핸들러 구성요소(120)가 사용하는 충돌 해결 기법을 제어하도록 더 구성될 수 있다. 예를 들어, 상태 분석 구성요소(406)가 특정 충돌 해결 기법이 바람직하지 않은 상태를 야기하지 않는다고 검출한 것에 기초하여, 해결 제어 구성요소(404)는 상기 특정 충돌 해결 기법을 정책 핸들러 구성요소(120)에 의해 사용되는 충돌 해결 기법으로서 유지할 수 있다. 덧붙여, 상태 분석 구성요소(406)가 특정 충돌 해결 기법이 바람직하지 않은 상태를 야기한다고 검출한 것에 기초하여, 해결 제어 구성요소(404)는 상기 특정 충돌 해결 기법을 정책 핸들러 구성요소(120)에 의해 사용될 상이한 충돌 해결 기법이도록 수정하도록 구성될 수 있다. 추가로 또는 대안으로, 특정 충돌 해결 기법이 바람직하지 않은 상태를 야기한다는 검출에 응답하여, 상태 분석 구성요소(406)는 관리 및/또는 감사 서버에게 경고하도록 더 구성될 수 있다. 따라서 상태 분석 구성요소(406)는 모바일 장치(102) 상의 보안을 향상시킬 수 있고 모바일 장치(102)를 더 신뢰할 만하게 만들 수 있다.
상태 분석 구성요소(406)는 특정 충돌 해결이 바람직하지 않은 상태를 야기할지 여부를 검출하기 위한 검증을 수행할 수 있다. 상태 분석 구성요소(406)에 의해 수행되는 검증은 복수의 모바일 장치로부터 수집된 데이터에 기초하여 할 수 있다. 예를 들어, 수집된 데이터로부터 바람직하지 않은 상태를 결정할 수 있는 추세가 검출될 수 있다. 따라서 정책 핸들러 구성요소(120)에 의해 정책에 대한 충돌을 해결하기 위해 사용되는 특정 충돌 해결 기법이 모바일 장치(102)의 바람직하지 않은 상태를 야기하는지 여부를 평가할 때 상태 분석 구성요소(406)는 바람직하지 않은 상태에 대한 정보를 이용할 수 있다.
덧붙여, 상태 분석 구성요소(406)는 악성 소스(malicious source)가 정책 소스를 타깃으로 삼고 정책 소스 타깃을 악의적으로 수정하여 보안 위험을 초래하는지 여부를 검출하기 위해 수집된 데이터를 이용할 수 있다. 추가로 또는 대안으로, 수집된 데이터를 이용해 맬웨어가 유사하게 검출될 수 있다.
이하에서 도 1, 2, 및 4가 전반적으로 참조된다. 장치 정책 관리자 시스템(108)에 관리될 수 있는 다양한 예시적 정책이 이하에서 제공된다.
장치 잠금
장치 비밀번호 활성화
간단한 장치 패스워드 허용
최소 장치 비밀번호 길이
문숫자 장치 비밀번호 요구
장치 비밀번호 만료
장치 비밀번호 히스토리
장치 비밀번호 시도 실패의 허용되는 최대 횟수
장치 잠금까지의 최대 비활성 시간
최소 장치 비밀번호 복합 문자
WiFi
WiFi 허용
인터넷 공유 허용
WiFi 오프-로딩 허용
WiFi 핫 스팟 보고 허용
수동 WiFi 설정 허용
시스템
FM 라디오 허용
외부 저장 카드 허용
위치 찾기 허용
원격측정 허용
연결성
셀룰러 데이터 허용
셀룰러 데이터 로밍 허용
수동 VPN 설정 허용
NFC 허용
USB 연결 허용
블루투스 허용
경험
세팅의 동기화 허용
키즈 코너 허용
복사 붙여넣기 허용
스크린 캡처 허용
음성 레코딩 허용
잠금 화면 위에 애플리케이션 통지 허용
계정
계정_유형1 허용
계정_유형2 허용
소셜 네트워킹 서비스 계정 허용
마이크로블로깅 서비스 계정 허용
전자메일 첨부물 저장 허용
수동 전자메일 설정 허용
보안
수동 최상위 인증서 설치 허용
제3자 애플리케이션 설치 인증서 허용
장치 암호화 요구
브라우저
프록시 허용
쿠키 허용
브라우징 히스토리의 업로딩 허용
제안 허용
브라우저 허용
스마트 스크린 필터링 집행
추적 금지 집행
브라우저 액세스 위치찾기 허용
변경 범위 제휴 허용
업데이트
사용자에 의한 업데이트 허용
카메라
사진 및 비디오 공유 허용
사진 및 비디오 업로딩 허용
사진 및 비디오 지오태깅 허용
카메라 사용 허용
애플리케이션 관리
게임 허용
음악 허용
자동 업데이트 저장
금지된 애플리케이션
도 5는 장치 정책 관리자 시스템의 예시적 구현예를 도시한다. 도 5에 도시된 장치 정책 관리자 시스템은 예시적 구현예로서 제공되며 본 발명은 도 5에 제공된 예시에 한정되지 않는다. 도 5에 제공된 예시는 모바일 장치(102), MDM 서버(502), MDM 서버(504), 메시징 서버(506) 및 메시징 서버(508)를 포함한다.
MDM 서버(502), MDM 서버(504), 메시징 서버(506), 및 메시징 서버(508)는 각각 장치 정책 관리자 시스템에 사전-수립된 계정을 가질 수 있다. 계정은 정보와 연관된 문자열(string), 가령, 서버 이름, 서버 주소, 인증 정보 등일 수 있다. 마찬가지로, 내부 정책 소스 구성요소가 사전-수립된 계정을 가질 수 있다. 또한 정책 소스는 정책 소스 유형에 따라 정책을 세팅하기 위한 서로 다른 능력을 가질 수 있다. 예를 들어, MDM 서버(502-504)에 의해 제어될 수 있는 정책 세트가 메시징 서버(506-608), 애플리케이션, 장치 UI 등에 의해 제어될 수 있는 정책 세트와 상이할 수 있다. 또한 서로 다른 정책 소스에 의해 제어되는 각각의 세트의 정책은 모바일 장치(102)와 관련된 인자들(가령, 모바일 장치(102)의 저장소의 구성요소 또는 시스템의 에디션 또는 라이센싱, 모바일 장치(102)의 유형 등)에 따라 달라질 수 있다.
세션 중에, 정책 소스(MDM 서버(502), MDM 서버(504), 메시징 서버(506), 메시징 서버(508), 장치 UI 또는 애플리케이션(510) 등)는 설정 관리자(configuration manager)(512)를 통해 정책을 세팅할 수 있다. 정책 소스는 설정 관리자(512)에게 공급될 수 있는 XML(Extensible Markup Language)(514)을 프로비저닝할 수 있다. 이에 응답하여, 설정 관리자(512)는 일원화된 인터페이스 구성요소(118)를 로딩할 수 있다. 일원화된 인터페이스 구성요소(118)는 정책 소스-특정 정책 값을 판독/기록하고 현재 정책 값을 판독하도록 사용될 수 있다. 소스 ID는, 정책 소스-특정적으로 생성된 자원 및 변경된 정책 값을 저장하기 위해 사용되는 호출 프로세스(calling process)에 의해 설정된다. 일원화된 인터페이스 구성요소(118)는 정책 소스의 유형에 대응하는 정책 핸들러 구성요소(120)의 일부분을 로딩할 수 있다.
일원화된 인터페이스 구성요소(118)는 정책 변화를 유발하려 시도하는 정책 소스를 식별할 수 있다. 일원화된 인터페이스 구성요소(118)에 의해 식별되는 정책 소스에 대한 정책 핸들러 구성요소(120)의 관련 부분이 로딩될 수 있으며, 이는 정책 관리자 메타베이스 저장소(122)의 대응하는 정책 저장소로부터 정책 값을 판독 및 여기에 정책 값을 기록하는 데 사용될 수 있다.
정책 핸들러 구성요소(120)는 정책 관리자 메타베이스 저장소(122) 내 대응하는 소스 정책 저장소(가령, 하이브(hive))로부터 정책 값을 판독/여기에 정책 값을 기록할 수 있다. 또한 정책 평가 프로세스는 소스 정책 저장소에 정책 값을 기록하는 것에 응답하여 수행될 수 있다. 정책 핸들러 구성요소(120)는 현재 정책 저장소(516)로부터 현재 정책 값을 판독하기 위한 정책 모듈을 포함할 수 있다. 또한 정책 핸들러 구성요소(120)는 정책 값을 적절한 소스 정책 저장소(518 및 520))(가령, 대응하는 정책 소스)에 판독/기록하기 위한 정책 저장소 모듈을 포함할 수 있다. 또한, 제1 파티 정책 기록 모듈이 디폴트 정책 값 및 메타데이터를 디폴트 정책 저장소(522)로부터 판독/여기에 기록하는 것이 정책 핸들러 구성요소(120)에 의해 지원될 수 있다. 정책 핸들러 구성요소(120)는 또한 각각의 정책과 연관된 메타데이터에 기초하여 디폴트 정책 저장소(522)에 정책 값이 기록된 후 정책 평가를 수행할 수 있다. 예를 들어, 메타데이터(가령, 충돌 해결 기법)가 정책이 가장 안전한 정책 병합이거나 어떠한 병합도 필요하지 않다고 서술할 수 있다. 예를 들어, 정책은, 정책 핸들러 구성요소가 정책에 대해 정책 값들을 병합하지 않고, 오히려 정책 핸들러 구성요소(120)가 질의될 때 현재 정책 값으로서 액세스 가능하고 반환될 수 있는 최종 값의 위치의 지시를 포함하는 통지를 전송할 수 있는 비-병합 모델(no merge model)을 지원할 수 있다.
정책은 영역별로 분리될 수 있음이 자명하다. 예를 들어, 앞서 제공된 예시적 정책의 목록에서, 영역의 예시로는, 장치 잠금, WiFi, 시스템, 연결성, 경험, 계정, 보안, 브라우저, 업데이트, 카메라, 및 애플리케이션 관리가 있다. 정책 핸들러 구성요소(120)는 변경된 정책을 갖는 영역 상의 제1 및 제2 파티 프로세스(524)에게 통지를 제공할 수 있다. 덧붙여, 외부 정책 소스가 새 정책을 추가할 수 있으며, 따라서 새 정책이 속하는 영역이 선언될 수 있다. 따라서 외부 정책 소스는 이러한 새 정책에 대해 설정 소스, 정책 값 메타데이터 등을 분류할 수 있다.
정책 관리자 통지 핸들러(526)가 정책 핸들러 구성요소(120)로부터 통지를 수신할 수 있다. 또한, 제1 파티 및 제2 파티 코드(528)에 의해 정책 값이 세팅될 수 있다. 예를 들면, 유출-방지 잠금 구성요소가 정책 값을 세팅하는 코드(528)의 일부일 수 있다.
도 5에 도시된 장치 정책 관리자 시스템의 예시적 구현을 더 상세히 기술하기 위해, 다양한 예시적 시나리오가 이하에서 제공된다. 이들 시나리오는 예시 목적으로 제공됐으며 본 발명은 이에 한정되지 않음이 자명할 것이다.
예시적 시나리오 1: 모바일 장치(102)는 정책을 관리하는 어떠한 장치 관리 서버도 갖지 않고, 제1 파티(first party)가 정책을 세팅(set)/획득(get)한다.
이 시나리오에서, 모바일 장치(102)는 정책 값을 관리 중인 어떠한 장치 관리 서버도 갖지 않는다. 이는 등록된 모바일 장치(102)를 갖는 어떠한 MDM 서버(502-504) 또는 메시징 서버(506-508)도 존재하지 않음을 의미한다. 이 시나리오에서, 제1 파티 및 제2 파티라는 온-디바이스 프로세스(524)가 정책 값을 세팅한다. 예를 들어, 장치 제조업자가 자신에게 특정적인 정책 값을 세팅하는 구성요소를 포함했을 수 있으며, 이러한 정책 값이 운영 체제 빌트-인 디폴트를 무효화할 수 있다. 이러한 구성요소는 획득/세팅된 정책과 대화하는 프로그램일 수 있으며, 운영 체제 자체가 제조업체에 의해 선언된 정책 값을 판독하고 적용시키는 프로그램을 포함할 수 있다.
제1 파티 구성요소가 정책을 세팅할 때, 정책 핸들러 구성요소(120)로부터 내보내진 모듈(exported module)을 이용해 특정 정책을 세팅할 수 있다. "세팅된" 모듈은 정책 값을 디폴트 정책 저장소(522)에 기록하고, 정책 평가 프로세스를 개시하며 현재 정책 값을 현재 정책 저장소(516)에 저장한다. 디폴트 정책 저장소(522)만 정책 값을 갖기 때문에, 정책 평가 프로세스는 다른 소스 정책 저장소(518-520)를 찾아 상대 평가를 할 수 있지만, 이러한 소스 정책 저장소(518-520)에 그 밖의 다른 어떠한 정책 값도 없기 때문에, 현재 정책 값이 디폴트 정책 저장소(522)로부터의 정책 값으로 업데이트된다. 디폴트 정책 저장소(522) 내 정책 값이 현재 정책 저장소(516)에 복사된다.
정책을 판독하기 위해, 제1 파티 구성요소가 정책 핸들러 구성요소(120)의 모듈(가령, 정책 핸들러 구성요소(536))를 이용할 수 있다. "세팅(set)"에 기재된 실질적으로 유사한 정책 평가가 "획득(get)"과 함께 발생하며, 따라서 현재 정책 저장소(516) 내 정책 값을 업데이트한다. 현재 정책 저장소(516)가 타깃팅된 정책에 대해 저장된 값을 갖지 않는 경우, 어떠한 통지도 변화 통지로서 발행될 필요가 없다. 실질적으로, 이러한 정책은 변경되지 않는다. 덧붙여, 정책은 디폴트 정책 저장소(522)에 디폴트 값을 가진다. 따라서 패키지(가령, 정책 관리자 설정 서버 제공자(CSP)(538))가 정책에 대한 디폴트 값을 정의할 수 있다.
예시적 시나리오 2: 모바일 장치(102)가 하나 이상의 메시징 서버(506-508) 및 단일 MDM 서버(502)에 등록된다. 관리 세션 중에, MDM 서버(502)는 정책 값을 세팅한다.
이 시나리오에 따르면, 모바일 장치(102)가 복수의 메시징 서버(506-508) 및 MDM 서버(502)로 등록된다. 등록 후, MDM 서버(502)는 "장치 비밀번호 활성화"라고 일컬어지는 일원화된 인터페이스 구성요소(118)를 통해 정책을 "0"의 값으로 세팅하고, 따라서 사용자가 비밀번호를 입력할 수 있게 한다. 일원화된 인터페이스 구성요소(118)는 "장치 잠금" 및 "장치 비밀번호 활성화"의 각각의 노드를 처리하고, "장치 잠금"을 영역(area)으로서, "장치 비밀번호 활성화"를 정책(policy)으로서 표시한다.
일원화된 인터페이스 구성요소(118)는 정책 값을 세팅하는 정책 핸들러 구성요소(120)의 정책 관리자 저장 모듈을 호출할 수 있다. 소스 ID, 영역, 정책 명칭, 및 값이 내부 저장 모듈로 입력될 수 있다. 소스 ID는 OMA(Open Mobile Alliance) 장치 관리(DM) 계정 또는 모바일 장치(102)를 MDM 서버(502)로 등록하는 동안 생성된 메시징 서버 계정의 키(key)이다. 소스 ID가 OMA-DM 세션 핸들링 또는 메시징 서버 세션 핸들링에 의해 "OMADM::ServerID"라고 불리는 세션 변수로 세팅되고, 정책 핸들러 구성요소(120)의 정책 관리자 저장 모듈을 호출하기 전에, 일원화된 인터페이스 구성요소(118)에 의해 불려온다. 영(0)의 소스 ID 값은 제1 파티 구성요소 또는 제2 파티 구성요소가 이 모듈을 호출 중임을 가리키며, 이는 이 시나리오의 경우가 아니다.
예를 들면, 정책 핸들러 구성요소(120)의 정책 관리자 저장 모듈이 다음을 수행할 수 있다. 정책 핸들러 구성요소(120)의 이러한 부분이 소스 ID를, 널(NULL)이 아닌 경우, OMA DM 모듈을 통해 OMA DAM 계정으로 가서 이를 발견함으로써 유효하다고 검증할 수 있다. 발견되지 않은 경우, 메시징 서버 계정이 검색될 수 있다. 계정이 발견되지 않는 경우, 에러가 일원화된 인터페이스 구성요소(118)로 반환되고 이는 MDM 서버(502)로 반환된다. 소스 ID가 널(NULL)인 경우, 방법은 제1 파티 구성요소에 의해 호출되는 중이다. 또한 메시징 서버 계정은 ID로서 전역적으로 고유한 식별자를 가지며, 소스 ID로서 역할할 것이 기대된다.
덧붙여, 정책 핸들러 구성요소(120)의 정책 관리자 저장 모듈이 정책과 연관된 디폴트 정책 저장소(522)에서 메타데이터를 이용함으로써 정책 값을 검증할 수 있다. 에러가 반환되는 경우, 이 결과는 일원화된 인터페이스 구성요소(118)로 다시 전파되고, 따라서 프로세싱을 종료할 수 있다. 또한 정책 핸들러 구성요소(120)의 이러한 부분이 정책 값을 정책 관리자 메타베이스 저장소(122)의 적절한 소스 정책 저장소에 기록할 수 있다.
또 다른 예를 들면, 영역 및 정책 명칭이 정책 핸들러 구성요소(120)의 정책 평가 모듈에 입력될 수 있다. 정책 평가 모듈은 소스 ID 별로 디폴트 정책 저장소(522) 및 다양한 소스 정책 저장소(518-520)를 통해 특정 영역 및 정책 명칭을 나열할 수 있다. 또한 디폴트 정책 저장소(522)에 저장된 정책 메타데이터가 지시하는 최종 정책이 계산될 수 있다. 궁극적으로, 의도된 결과 정책이 정책 평가 프로세스로부터 유도되고 값이 현재 정책 저장소(516)에 세팅된다. 유도된 정책 값이 현재 정책 저장소(516)에 이전에 저장된 것과 상이한 경우, 정책 값이 변경됐다는 플래그(flag)가 반환되고 선택사항으로서 변경된 값(현재 정책 저장소(516) 내 값)이 반환된다. 요청이 성공적인 경우, 정책 평가 모듈의 변경된 파라미터가 체크되어 통지가 전송될지 여부가 결정될 수 있다. 또한 상기의 단계들 중 임의의 단계에서 실패한 경우, 변경은 되돌려지고(roll back), 에러 값이 반환된다.
일원화된 인터페이스 구성요소(118)가 변경된 플래그가 세팅되는지 여부를 나타낸다. 이 플래그가 세팅되는 경우, 영역이 "변경된 영역"의 집합에 추가된다. 이 집합은 설정 관리자(512) 거래가 성공적으로 완료된 후 영역별 통지를 전송하기 위해 사용된다. 등록된 정책 관리자 통지 핸들러(가령, 정책 관리자 통지 핸들러(526))가, 통지를 수신하면, 영역 이하의 정책에 대응하는 세팅된 비트를 찾기 위해 페이로드(가령, 32비트)를 검사할 수 있다. 또한 (가령, 정책 핸들러 구성요소(120)의 얻기 모듈(get module)을 이용해) 정책 관리자 통지 핸들러가 정책 값을 판독할 수 있다
예시적 시나리오 3: 모바일 장치(102)가 이전 관리 세션 동안 정책을 세팅했던 MDM 서버(가령, MDM 서버(502))로부터 등록 해제된다.
이 시나리오에 따르면, 정책 소스가 등록 해제될 때, 등록 해제 프로세스(532, 534)가 제거될 정책을 불러올 수 있다. 정책에 대해, 등록 해제 코드(534)가 제1 정책을 반환하는 정책 핸들러 구성요소(120)의 제1 정책 찾기 모듈을 이용할 수 있다. 그 후 소스 정책 저장소로부터 정책을 제거하고 예시적 시나리오 2에서 기재된 바와 같은 정책 평가를 수행하는 정책 핸들러 구성요소(120)의 현재 정책 삭제 모듈에 의해 정책이 삭제된다. 정책 핸들러 구성요소(120)의 다음 정책 찾기 모듈을 이용해 획득된 반환된 정책을 위한 프로세스가 수행될 수 있다.
예시적 시나리오 4: 모바일 장치(102)가 MDM 서버(502)에 등록되고, MDM 서버(502)는 자신이 설정한 정책을 질의하기를 원한다.
이 시나리오에 따르면, 정책의 목록 및 대응하는 값들이 정책 소스별로 특정 영역에 대해 반환될 수 있다. 예를 들어, 정책 핸들러 구성요소(120)의 제1 정책 찾기 모듈 및 다음 정책 찾기 모듈이 소스 ID와 함께 사용되어, 정책 소스에 대한 정책을 내부적으로 반환할 수 있다.
예시적 시나리오 5: 모바일 장치(102)는 MDM 서버(502)에 등록되고, MDM 서버(502)는 정책 소스에 독립적으로, 정책을 질의(query)하기를 원한다.
정책의 목록 및 이에 대응하는 값들이 질의를 이용함으로써 병합된 정책 하이브에서 영역에 대해 반환될 수 있다. 예를 들어, 정책 핸들러 구성요소(120)의 제1 정책 찾기 모듈 및 다음 정책 찾기 모듈이 소스 ID와 함께 사용되어 정책 소스에 대한 정책을 내부적으로 반환할 수 있다.
예시적 시나리오 6: 모바일 장치(102)가 하나 이상의 메시징 서버(506-508) 및 단일 MDM 서버(502)로 등록되고, 메시징 서버(506-508) 및 MDM 서버(502)는 동시에 단일 정책을 세팅하려 시도한다.
동기화 기법이 채용되어 데이터 무결성(data integrity)이 보호될 수 있다. 덧붙여, 정책 관리자 메타베이스 저장소(122)의 정책 저장소가 잠금수단(lock)를 가질 수 있다.
예시적 시나리오 7: 모바일 운영자 관리 서버는 관리 세션 동안 일원화된 인터페이스 구성요소(118)를 통해 정책을 변경하려 시도한다.
설정 관리자(512)는 일원화된 인터페이스 구성요소(118)를 로딩하고 그 후 노드 경로를 처리할 수 있다. 서로 다른 정책 소스에 서로 다른 정책으로의 서로 다른 액세스 레벨이 인가될 수 있다. 예를 들어, 모바일 운영 관리 서버가 연결 관련 정책에 대한 설정 권한을 갖지만 전자메일 관련 정책에 대한 설정 권한은 갖지 않으며, 모바일 운영자 관리 서버의 전자메일 관련 정책을 설정하려는 시도는, 액세스 거부를 야기할 수 있다.
다양한 예시에 따르면, 정책 애플리케이션이 제공될 수 있다. 정책 애플리케이션은 다양한 정책 저장소의 정책을 디스플레이하는 UI 애플리케이션일 수 있다. 상기 애플리케이션에 의해, (가령, 현재 정책 저장소(516)가 아닌 다른 정책 저장소로의) 정책 값의 변경이 가능하다. 다양한 실시예에 따르면, 정책 평가 프로세스는 정책 평가 프로세스가 어떻게 바람직하게 진행되어야 하는지를 기술하는 메타데이터를 디폴트 정책 저장소(522)에 저장함으로써 시작할 수 있다.
더 일반적으로, 또 다른 예시적 시나리오에 따르면, 장치 정책 관리자 시스템을 이용해 하이브리드 환경에서 정책이 관리될 수 있다. 장치 정책 관리자 시스템은 장치 정책 관리자 시스템과의 관계를 변경할 수 없는 기존의 장치 관리 기능을 이미 갖고 있는 레거시 시스템(legacy system) 상에서 실행될 수 있다. 설정하는 세팅이 복수의 에이전트(레지스트리에 직접 기록하는 장치 상의 애플리케이션, 도메인 조합을 통한 액티브 디렉토리 등)에 의해 수정되는 레지스트리 키(registry key)일 수 있는 장치 정책 관리자 시스템이 데스크톱 장치 상에서 실행 중인 시나리오를 고려할 수 있다. 이러한 경우, 본래의 세팅으로 되돌아가려 시도하는 장치 정책 관리자 시스템은 더 이상 세팅에 대한 유일한 권한자가 아니다.
앞서 언급된 예시적 시나리오에서의 이러한 점을 해결하기 위해, 장치 정책 관리자 시스템은 또 다른 에이전트가 세팅을 기록하는 것을 모니터링할 수 있다. 예를 들어, 장치 정책 관리자 시스템은 레지스트리 변경 통지에 대해 청취할 수 있다. 자신이 설정하는 세팅이 또 다른 에이전트에 의해 수정되는 경우, 장치 정책 관리자 시스템은 다음을 (또는 그 이상을) 수행할 수 있다 - (a) 다른 누군가가 값을 직접 변경해서 구성요소가 미래에 변경될 수 있는지를 감사, (b) 세팅이 "더티(dirty)"하여, 등록 해제 동안 장치 정책 관리자 시스템이 세팅을 이의 본래 값으로 더 이상 되돌릴 수 없음을 인식, 및 (c) 가장 안전한 획득을 위한 추가 조치 및 이의 코어 "최상-획득(best-wins)" 데이터베이스 외부에 고려될 추가 데이터가 존재한다는 인식을 갖고 또 다른 계산을 취함.
도 6-7은 모바일 장치 상의 정책 관리와 관련된 예시적 방법을 도시한다. 방법이 시퀀스로 수행되는 일련의 동작으로 도시되고 기재되지만 상기 방법은 이러한 시퀀스의 순서에 한정되지 않음이 이해 및 인지되어야 한다. 예를 들어, 일부 동작이 본 명세서에 기재된 것과 상이한 순서로 발생할 수 있다. 또한 한 동작이 다른 동작과 동시에 발생할 수 있다. 또한 일부 경우, 본 명세서에 기재된 방법을 구현하기 위해 모든 동작이 필요한 것은 아니다.
덧붙여, 본 명세서에 기재된 동작은 하나 이상의 프로세서에 의해 구현되거나 및/또는 컴퓨터 판독가능 매체에 저장될 수 있는 컴퓨터 실행 명령일 수 있다. 상기 컴퓨터 실행 명령은 루틴, 서브-루틴, 프로그램, 실행 스레드, 등을 포함할 수 있다. 또한 방법의 동작들의 결과가 컴퓨터 판독 매체에 저장되거나, 디스플레이 장치 상에 디스플레이되거나 및/또는 그 밖의 다른 방식을 이용할 수 있다.
도 6은 모바일 장치 상에서 정책을 관리하는 방법(600)을 도시한다. 단계(602)에서, 복수의 정책 소스로부터의 정책 설정 요청이 모바일 장치에서 수신될 수 있다. 복수의 정책 소스는 적어도 모바일 장치에 의해 실행되는 내부 정책 소스 및 모바일 장치의 외부의 장치 관리 서버를 포함한다. 정책 설정 요청은 제1 정책 소스로부터의 제1 정책 설정 요청 및 제2 정책 소스로부터의 제2 정책 설정 요청을 적어도 포함한다. 제1 정책 설정 요청은 정책에 대한 제1 정책 값을 포함하고 제2 정책 설정 요청은 상기 정책에 대한 제2 정책 값을 포함한다. 제1 정책 소스는 제2 정책 소스와 상이하고, 제1 정책 값은 제2 정책 값과 충돌한다. 단계(604)에서, 정책에 대한 제1 정책 값과 제2 정책 값 간 충돌이 충돌 해결 기법에 기초하여 해결될 수 있다. 충돌은 제1 정책 소스와 제2 정책 소스 간 신뢰가 모바일 장치 상에 수립되지 않고 해결될 수 있다. 단계(606)에서, 충돌의 해결에 응답하여, 모바일 장치를 제어하는 정책에 대한 현재 정책 값이 세팅될 수 있다.
도 7을 참조하며, 모바일 장치 상의 정책을 관리하기 위해 사용되는 충돌 해결 기법을 제어하는 방법(700)이 도시된다. 단계(702)에서, 특정 정책 소스로부터 충돌 해결 핸들링 세팅이 수신될 수 있다. 단계(704)에서, 정책에 대한 충돌 해결 기법은 특정 정책 소스로부터의 충돌 해결 핸들링 세팅 및 특정 정책 소스의 권한 레벨에 기초하여 제어될 수 있다. 단계(706)에서, 서로 다른 정책 소스에 의해 제공되는 서로 다른 정책 설정 요청에서 특정된 정책에 대한 서로 다른 정책 값들 간 충돌이 충돌 해결 기법에 기초하여 해결될 수 있다. 모바일 장치를 제어하는 정책에 대한 현재 정책 값이 충돌 해결 기법을 이용해 세팅될 수 있다.
도 8을 참조하면, 본 발명의 시스템 및 방법에 따라 사용될 수 있는 예시적 컴퓨팅 장치(800)의 하이-레벨 도시가 제공된다. 예를 들어, 컴퓨팅 장치(800)는 모바일 장치(102)일 수 있다. 또 다른 예를 들면, 장치 관리 서버(112-114)가 컴퓨팅 장치(800)이거나 컴퓨팅 장치를 포함할 수 있다. 컴퓨팅 장치(800)는 메모리(804)에 저장된 명령을 실행하는 적어도 하나의 프로세서(802)를 포함한다. 상기 명령은, 예를 들어, 앞서 기재된 하나 이상의 구성요소에 의해 실행되는 것으로 기재된 기능을 구현하기 위한 명령, 또는 앞서 기재된 방법 중 하나 이상을 구현하기 위한 명령일 수 있다. 프로세서(802)는 시스템 버스(806)를 통해 메모리(804)에 액세스할 수 있다. 실행 명령을 저장하는 것에 추가로, 메모리(804)는 정책에 대한 정책 값, 정책에 대한 메타데이터(가령, 충돌 해결 기법), 충돌 해결 핸들링 세팅 등을 저장할 수 있다.
컴퓨팅 장치(800)는 시스템 버스(806)를 통해 프로세스(802)에 의해 액세스 가능한 데이터 저장소(808)를 더 포함한다. 데이터 저장소(808)는 실행 명령, 정책에 대한 정책 값, 정책에 대한 메타데이터(가령, 충돌 해결 기법), 충돌 해결 핸들링 세팅 등을 포함할 수 있다. 컴퓨팅 장치(800)는 외부 장치가 컴퓨팅 장치(800)와 통신할 수 있게 하는 입력 인터페이스(810)를 포함한다. 예를 들어, 입력 인터페이스(810)는 외부 컴퓨터 장치, 사용자 등으로부터 명령을 수신하도록 사용될 수 있다. 컴퓨팅 장치(800)는 또한 컴퓨팅 장치(800)를 하나 이상의 외부 장치와 인터페이싱하게 하는 출력 인터페이스(812)를 더 포함한다. 예를 들어, 컴퓨팅 장치(800)는, 출력 인터페이스(812)를 통해 텍스트, 이미지 등을 디스플레이할 수 있다.
입력 인터페이스(810) 및 출력 인터페이스(812)를 통해 컴퓨팅 장치(800)와 통신하는 외부 장치가 사용자가 대화할 수 있는 실질적으로 모든 유형의 사용자 인터페이스를 제공하는 환경에 포함될 수 있다. 사용자 인터페이스 유형의 예시로는 그래픽 사용자 인터페이스, 자연 사용자 인터페이스 등을 포함한다. 예를 들어, 그래픽 사용자 인터페이스는 입력 장치, 가령, 키보드, 마우스, 원격 제어기 등을 이용하는 사용자로부터 입력을 수용하고 출력 장치, 가령, 디스플레이 상에 출력을 제공할 수 있다. 또한 자연 사용자 인터페이스는 사용자가 입력 장치, 가령, 키보드, 마우스, 원격 제어기 등에 의해 가해지는 제약으로부터 자유로워지는 방식으로 컴퓨팅 장치(800)와 대화하게 할 수 있다. 오히려 자연 사용자 인터페이스는 음성 인식, 터치 및 스타일러스 인식, 스크린 상에서의, 그리고 스크린에 인접한 곳에서의 제스처 인식, 에어 제스처, 두부 및 안구 추적, 음성, 시선, 터치, 제스처, 기계 지능 등을 이용할 수 있다.
덧붙여, 단일 시스템으로 도시되었지만, 컴퓨팅 장치(800)는 분산 시스템일 수 있다. 따라서 예를 들어, 복수의 장치가 네트워크 연결을 통해 통신할 수 있으며 컴퓨팅 장치(800)에 의해 수행되는 것으로 기재된 작업을 다 함께 수행할 수 있다.
다양한 예시가 이하에서 제공된다.
예시 1: 모바일 장치로서, 적어도 하나의 프로세서, 및 상기 적어도 하나의 프로세서에 의해 실행 가능한 장치 정책 관리자 시스템을 포함하는 컴퓨터 판독가능 저장부를 포함하며, 상기 장치 정책 관리자 시스템은 복수의 정책 소스로부터 정책 설정 요청을 수신하도록 구성된 일원화된 인터페이스 구성요소(unified interface component) - 상기 복수의 정책 소스는 적어도 상기 모바일 장치의 상기 적어도 하나의 프로세서에 의해 실행되도록 구성된 내부 정책 소스 구성요소와, 상기 모바일 장치 외부의 장치 관리 서버를 포함하고, 상기 정책 설정 요청은 적어도: 제1 정책 소스로부터의 제1 정책 설정 요청 - 상기 제1 정책 설정 요청은 정책에 대한 제1 정책 값을 포함함 - , 및 제2 정책 소스로부터의 제2 정책 설정 요청 - 상기 제2 정책 설정 요청은 상기 정책에 대한 제2 정책 값을 포함하고, 상기 제1 정책 소스는 상기 제2 정책 소스와 상이하며, 상기 제1 정책 값은 상기 제2 정책 값과 충돌함 - 을 포함함 - 와, 충돌 해결 기법에 기초하여 상기 정책에 대한 상기 제1 정책 값과 상기 제2 정책 값 간 충돌을 해결하여, 상기 모바일 장치를 제어하는 상기 정책에 대한 현재 정책 값을 세팅하도록 구성된 정책 핸들러 구성요소를 포함한다.
예시 2: 예시 1에 따르는 모바일 장치로서: 제1 정책 설정 요청은 제1 정책 소스의 식별자 및 정책을 특정하는 지시자를 포함하고 제2 정책 설정 요청은 제2 정책 소스의 식별자 및 정책을 특정하는 지시자를 포함하며 제1 정책 소스의 식별자는 제2 정책 소스의 식별자와 상이하다.
예시 3: 예시 1 또는 2에 있어서, 상기 정책 핸들러 구성요소는 상기 제1 정책 소스와 상기 제2 정책 소스 간 신뢰가 상기 모바일 장치 상에서 수립되지 않은 채 정책에 대한 상기 제1 정책 값과 상기 제2 정책 값 간 충돌을 해결하도록 더 구성된다.
예시 4: 예시 1 내지 3 중 어느 한 예시에 있어서, 상기 충돌 해결 기법은 정책 소스 유형에 대한 각각의 권한 레벨을 특정하며, 상기 정책 핸들러 구성요소는 상기 충돌 해결 기법을 이용해 상기 제1 정책 소스의 제1 권한 레벨 및 상기 제2 정책 소스의 제2 권한 레벨에 기초하여 상기 정책에 대한 현재 정책 값을 세팅하도록 더 구성된다.
예시 5: 예시 4에 있어서, 충돌 해결 기법은 정책 그룹에 대한 정책 소스 유형에 대해 각각의 권한 레벨을 특정하고, 상기 정책 그룹은 정책을 포함하며, 상기 충돌 해결 기법은 상기 정책을 포함하지 않는 상이한 정책 그룹에 대한 정책 소스 유형에 대해 각각 상이한 권한 레벨을 특정한다.
예시 6: 예시 1 내지 5 중 어느 한 예시에 있어서, 상기 제1 정책 소스는 특정 권한 레벨을 갖는 기업 장치 관리 서버이며, 상기 충돌 해결 기법은 상기 특정 권한 레벨을 갖는 정책 소스가 상기 정책의 현재 정책 값을 세팅하지 못하게 금지하는 것을 특정하며, 상기 제1 정책 설정 요청은 상기 모바일 장치의 신뢰되는 정책 소스에 의해 서명되는 서명된 정책 설정 요청이며, 상기 정책 핸들러 구성요소는 상기 서명된 정책 설정 요청에 기초하여 충돌 해결 기법에 의해 특정된 금지를 무효화하도록 더 구성된다.
예시 7: 예시 1 내지 6 중 어느 한 예시에 있어서, 상기 컴퓨터 판독가능 저장부는 정책 관리자 메타베이스 저장소를 더 포함하고, 상기 정책 핸들러 구성요소는 상기 제1 정책 설정 요청 및 상기 제2 정책 설정 요청을 상기 일원화된 인터페이스 구성요소로부터 수신하며, 상기 정책에 대한 상기 제1 정책 값을 상기 정책 관리자 메타베이스 저장소의 제1 소스 정책 저장소에 기록하며 - 상기 제1 소스 정책 저장소는 상기 제1 정책 소스에 대응함 - , 상기 정책에 대한 상기 제2 정책 값을 상기 정책 관리자 메타베이스 저장소의 제2 소스 정책 저장소에 기록하고 - 상기 제2 소스 정책 저장소는 상기 제2 정책 소스에 대응함 - , 상기 제1 소스 정책 저장소로부터의 제1 정책 값 및 상기 제2 소스 정책 저장소로부터의 제2 정책 값에 적어도 기초하여 상기 충돌 해결 기법을 이용해 상기 정책에 대한 현재 정책 값을 결정하고, 상기 정책에 대한 현재 정책 값을 상기 정책 관리자 메타베이스 저장소의 현재 정책 저장소에 기록하도록 더 구성된다.
예시 8: 예시 1 내지 7 중 어느 한 예시에 있어서, 상기 컴퓨터 판독가능 저장부는 정책 관리자 메타베이스 저장소를 더 포함하고, 상기 정책 관리자 메타베이스 저장소는 복수의 정책 소스에 대한 각자의 정책 저장소를 포함하고, 상기 장치 정책 관리자 시스템은 샌드박스 보안 구성요소를 더 포함하며, 상기 샌드박스 보안 구성요소는 상기 제1 정책 소스가 상기 제1 정책 소스에 대한 제1 소스 정책 저장소에 액세스하도록 허용하고, 상기 제2 정책 소스가 상기 제2 정책 소스에 대한 제2 소스 정책 저장소에 액세스하도록 허용하며, 상기 제1 정책 소스가 상기 제2 소스 정책 저장소에 액세스하지 못하게 제한하고, 상기 제2 정책 소스가 상기 제1 소스 정책 저장소에 액세스하지 못하게 제한하도록 구성된다.
예시 9: 예시 1 내지 8 중 어느 한 예시에 있어서, 상기 장치 정책 관리자 시스템은 특정 정책 소스로부터 수신된 충돌 해결 핸들링 세팅 및 상기 특정 정책 소스의 권한 레벨에 기초하여 상기 정책에 대해 상기 정책 핸들러 구성요소에 의해 사용되는 상기 충돌 해결 기법을 제어하도록 구성된 해결 제어 구성요소를 더 포함한다.
예시 10: 예시 1 내지 9 중 어느 한 예시에 있어서, 상기 장치 정책 관리자 시스템은 복수의 정책 소스 중 둘 이상의 정책 소스로부터 수신된 충돌 해결 핸들링 세팅을 복수의 정책 소스 중 둘 이상의 정책 소스의 각각의 권한 레벨에 기초하여 중재하여 선택 충돌 해결 핸들링 세팅을 선택하며, 상기 선택 충돌 해결 핸들링 세팅에 기초하여 상기 정책에 대해 상기 정책 핸들러 구성요소에 의해 사용되는 충돌 해결 기법을 제어하도록 구성된 해결 제어 구성요소를 더 포함한다.
예시 11: 예시 1 내지 10 중 어느 한 예시에 있어서, 상기 장치 정책 관리자 시스템은 특정 정책 소스로부터 충돌 해결 핸들링 세팅을 수신하고, 상기 특정 정책 소스와 상기 모바일 장치의 신뢰되는 정책 소스 간 수립된 신뢰를 검출하며, 수립된 신뢰의 검출에 응답하여, 상기 충돌 해결 핸들링 세팅에 기초하여 상기 정책에 대한 정책 핸들러 구성요소에 의해 사용되는 상기 충돌 해결 기법을 제어하도록 구성된 해결 제어 구성요소를 더 포함한다.
예시 12: 예시 1 내지 11 중 어느 한 예시에 있어서, 상기 장치 정책 관리자 시스템은 상기 정책에 대한 충돌을 해결하기 위해 상기 정책 핸들러 구성요소에 의해 사용되는 특정 충돌 해결 기법이 상기 모바일 장치의 바람직하지 않은 상태를 야기하는지 여부를 검출하도록 구성된 상태 분석 구성요소, 및 상기 특정 충돌 해결 기법이 상기 바람직하지 않은 상태를 야기하는지 여부에 기초하여 상기 정책에 대해 상기 정책 핸들러 구성요소에 의해 사용되는 충돌 해결 기법을 제어하며, 상기 상태 분석 구성요소가 상기 특정 충돌 해결 기법이 상기 바람직하지 않은 상태를 야기하지 않음을 검출한 것에 기초하여 상기 특정 충돌 해결 기법을 상기 충돌 해결 기법으로서 유지하며, 및 상기 상태 분석 구성요소가 상기 특정 충돌 해결 기법이 상기 바람직하지 않은 상태를 야기함을 검출한 것에 기초하여 상기 특정 충돌 해결 기법을 상기 충돌 해결 기법으로 수정하도록 구성된 해결 제어 구성요소를 더 포함한다.
예시 13: 예시 1 내지 12 중 어느 한 예시에 있어서, 내부 정책 소스 구성요소는 모바일 장치의 적어도 하나의 프로세서에 의해 실행되는 애플리케이션 또는 모바일 장치의 장치 사용자 인터페이스 중 적어도 하나를 포함한다.
예시 14: 예시 1 내지 13 중 어느 한 예시에 있어서, 복수의 정책 소스는 모바일 운영자 관리 서버, 메시징 서버, 및 모바일 장치 관리 서버를 더 포함한다.
예시 15: 예시 1 내지 4 중 어느 한 예시에 있어서, 상기 정책 핸들러 구성요소는 모바일 장치가 상기 제1 정책 소스로부터 등록 해제된 것에 응답하여 상기 정책에 대한 현재 정책 값을 재-평가하도록 더 구성된다.
예시 16: 모바일 장치로서, 적어도 하나의 프로세서, 및 상기 적어도 하나의 프로세서에 의해 실행 가능한 장치 정책 관리자 시스템을 포함하는 컴퓨터 판독가능 저장부를 포함하며, 상기 장치 정책 관리자 시스템은 복수의 정책 소스로부터 정책 설정 요청을 수신하고 특정 정책 소스로부터 충돌 해결 핸들링 세팅을 수신하도록 구성된 일원화된 인터페이스 구성요소, 상기 특정 정책 소스로부터의 충돌 해결 핸들링 세팅 및 상기 특정 정책 소스의 권한 레벨에 기초하여 정책에 대한 충돌 해결 기법을 제어하도록 구성된 해결 제어 구성요소, 및 상기 해결 제어 구성요소에 의해 제어되는 상기 정책에 대한 충돌 해결 기법에 기초하여, 서로 다른 정책 소스들에 의해 제공되는 서로 다른 정책 설정 요청들에서 특정된 정책에 대한 서로 다른 정책 값들 간 충돌을 해결하고, 상기 충돌 해결 기법을 이용해 상기 모바일 장치를 제어하는 상기 정책에 대한 현재 정책 값을 세팅하도록 구성된 정책 핸들러 구성요소를 포함한다.
예시 17: 예시 16에 있어서, 해결 제어 구성요소는 특정 정책 소스로부터의 충돌 해결 세팅과 적어도 하나의 상이한 정책 소스로부터의 적어도 하나의 상이한 충돌 해결 핸들링 세팅을 각자의 권한 레벨에 기초하여 중재하여 정책에 대한 충돌 해결 기법을 제어하기 위해 사용되는 선택 충돌 해결 핸들링 세팅을 선택할 수 있다.
예시 18: 예시 16 또는 17에 있어서, 해결 제어 구성요소는, 특정 정책 소스와 모바일 장치의 신뢰되는 정책 소스 간 수립된 신뢰를 검출하도록 더 구성되며, 상기 특정 정책 소스는 수립된 신뢰가 없을 때 상기 특정 정책 소스의 권한 레벨에 기초하여 상기 정책에 대한 정책 핸들러 구성요소에 의해 사용되는 충돌 해결 기법을 제어하지 못하게 금지되며, 수립된 신뢰의 검출에 응답하여, 상기 충돌 해결 핸들링 세팅에 기초하여 정책에 대한 정책 핸들러 구성요소에 의해 사용되는 충돌 해결 기법을 제어한다.
예시 19: 모바일 장치 상에서 정책을 관리하기 위한 방법으로서, 복수의 정책 소스로부터 정책 설정 요청을 수신하는 단계 - 상기 복수의 정책 소스는 적어도 상기 모바일 장치에 의해 실행되는 내부 정책 소스 및 상기 모바일 장치 외부의 장치 관리 서버를 포함하고, 상기 정책 설정 요청은 적어도, 제1 정책 소스로부터의 제1 정책 설정 요청 - 상기 제1 정책 설정 요청은 정책에 대한 제1 정책 값을 포함함 - , 및 제2 정책 소스로부터의 제2 정책 설정 요청 - 상기 제2 정책 설정 요청은 상기 정책에 대한 제2 정책 값을 포함하고, 상기 제1 정책 소스는 상기 제2 정책 소스와 상이하며, 상기 제1 정책 값은 상기 제2 정책 값과 충돌함 - 을 포함함 - 와, 상기 제1 정책 소스와 상기 제2 정책 소스 간 신뢰가 상기 모바일 장치 상에 수립되지 않은 채 충돌 해결 기법에 기초하여 상기 정책에 대한 상기 제1 정책 값과 상기 제2 정책 값 간 충돌을 해결하는 단계, 및 상기 충돌을 해결하는 것에 응답하여, 상기 모바일 장치를 제어하는 상기 정책에 대한 현재 정책 값을 세팅하는 단계를 포함한다.
예시 20: 예시 19에 있어서, 정책에 대한 충돌을 해결하기 위해 사용되는 충돌 해결 기법을 제어하는 단계를 더 포함한다.
본 명세서에서 사용될 때, 용어 "구성요소(component)" 및 "시스템"은 프로세서에 의해 실행될 때 특정 기능이 수행될 수 있도록 하는 컴퓨터 실행 명령에 의해 설정되는 컴퓨터 판독가능 데이터 저장장치를 포함하는 것을 의도한다. 컴퓨터 실행 명령어는 루틴, 함수 등을 포함할 수 있다. 또한 구성요소 또는 시스템이 단일 장치 상에 로컬화되거나 복수의 장치 간에 분산될 수 있다.
또한, 본 명세서에서 사용될 때, 용어 "예시적"은 "무엇의 실례 또는 예시로서 역할 함"을 의미한다.
본 명세서에 기재된 다양한 기능이 하드웨어, 소프트웨어, 또는 이들의 임의의 조합으로 구현될 수 있다. 소프트웨어로 구현될 때, 기능이 하나 이상의 명령 또는 코드로서 컴퓨터 판독가능 매체 상에 저장되거나 이를 통해 전송될 수 있다. 컴퓨터 판독가능 매체는 컴퓨터 판독가능 저장 매체를 포함한다. 컴퓨터 판독가능 저장 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 이용 가능한 저장 매체일 수 있다. 비제한적 예를 들면, 이러한 컴퓨터 판독가능 저장 매체는 RAM, ROM, EEPROM, CD-ROM 또는 그 밖의 다른 광학 디스크 저장장치, 자기 디스크 저장장치 또는 그 밖의 다른 자기 저장장치, 또는 명령 또는 데이터 구조의 형태로 원하는 프로그램 코드를 저장하도록 사용될 수 있으며 컴퓨터에 의해 액세스될 수 있는 그 밖의 다른 임의의 매체를 포함한다. 본 명세서에서 사용될 때, 디스크(disk) 및 디스크(disc)가 컴팩트 디스크(CD), 레이저 디스크, 광학 디스크, 디지털 다목적 디스크(DVD), 플로피 디스크 및 블루-레이 디스크(BD)를 포함하며, 여기서 일반적으로 디스크(disk)는 데이터를 자기적으로 재생하고 디스크(disc)는 일반적으로 레이저로 광학적으로 데이터를 재생한다. 또한, 전파되는 신호는 컴퓨터 판독가능 저장 매체의 범위에 포함되지 않는다. 컴퓨터 판독가능 매체는 또한 컴퓨터 프로그램을 하나의 위치에서 또 다른 위치로의 전송을 촉진시키는 임의의 매체를 포함하는 통신 매체를 포함한다. 예를 들어, 연결은 통신 매체일 수 있다. 예를 들어, 동축 케이블, 광섬유 케이블, 이중 꼬임선(twisted pair), 디지털 가입자 라인(DSL), 또는 무선 기법, 가령, 적외선, 라디오, 및 마이크로파를 이용해 소프트웨어가 웹사이트, 서버, 또는 그 밖의 다른 원격 소스로부터 전송되는 경우, 동축 케이블, 광섬유 케이블, 이중 꼬임선, DSL 또는 무선 기술, 가령, 적외선, 무선장치 및 마이크로파가 통신 매체의 정의에 포함된다. 앞서 나열된 것의 조합이 또한 컴퓨터 판독가능 매체의 범위 내에 포함되어야 한다.
대안으로 또는 추가로, 본 명세서에 기재된 기능이, 적어도 부분적으로 하나 이상의 하드웨어 로직 구성요소에 의해, 수행될 수 있다. 비제한적 예를 들면, 사용될 수 있는 하드웨어 로직 구성요소의 예시적 유형은, FPGA(Field-programmable Gate Array), ASIC(Program-specific Integrated Circuit), ASSP(Program-specific Standard Product), SOC(System-on-a-chip system), CPLD(Complex Programmable Logic Device) 등을 포함한다.
앞서 기재된 바는 하나 이상의 실시예의 예시를 포함한다. 물론, 앞서 언급된 측면을 기술하기 위한 목적으로, 상기 장치 또는 방법의 모든 가능한 변경 및 대안을 기재하는 것이 불가능하지만, 해당 분야의 통상의 기술자라면, 다양한 양태의 많은 추가 수정 및 변경이 가능할 수 있다. 따라서 기재된 측면이 청구항의 사상 및 범위 내에 속하는 모든 이러한 대안, 수정, 및 변형을 포함하는 것으로 의도된다. 또한, 용어 "포함하다(include)"가 상세한 설명 또는 청구항에서 사용되는 한, 이러한 용어는 청구항에서 연결 단어로서 사용될 때 용어 "포함하는(comprising)"이 해석되는 것과 유사한 방식으로 포괄적이도록 의도된다.

Claims (15)

  1. 모바일 장치로서,
    적어도 하나의 프로세서와,
    상기 적어도 하나의 프로세서에 의해 실행 가능한 장치 정책 관리자 시스템(a device manager system)을 포함하는 컴퓨터 판독가능 저장부를 포함하되,
    상기 장치 정책 관리자 시스템은,
    복수의 정책 소스로부터 정책 설정 요청(policy configuration requests)을 수신하도록 구성된 일원화된 인터페이스 구성요소(unified interface component) - 상기 복수의 정책 소스는 적어도 상기 모바일 장치의 상기 적어도 하나의 프로세서에 의해 실행되도록 구성된 내부 정책 소스 구성요소와, 상기 모바일 장치 외부의 장치 관리 서버를 포함하고, 상기 정책 설정 요청은 적어도:
    제1 정책 소스로부터의 제1 정책 설정 요청 - 상기 제1 정책 설정 요청은 정책에 대한 제1 정책 값을 포함함 - 과,
    제2 정책 소스로부터의 제2 정책 설정 요청 - 상기 제2 정책 설정 요청은 상기 정책에 대한 제2 정책 값을 포함하고, 상기 제1 정책 소스는 상기 제2 정책 소스와 상이하며, 상기 제1 정책 값은 상기 제2 정책 값과 충돌함 - 을 포함함 - 와,
    충돌 해결 기법(a conflict resolution technique)에 기초하여 상기 정책에 대한 상기 제1 정책 값과 상기 제2 정책 값 간 충돌을 해결하여, 상기 모바일 장치를 제어하는 상기 정책에 대한 현재 정책 값을 세팅하도록 구성된 정책 핸들러 구성요소를 포함하는
    모바일 장치.
  2. 제1항에 있어서,
    상기 정책 핸들러 구성요소는 상기 제1 정책 소스와 상기 제2 정책 소스 간 신뢰가 상기 모바일 장치 상에서 수립되지 않은 채 상기 정책에 대한 상기 제1 정책 값과 상기 제2 정책 값 간 충돌을 해결하도록 또한 구성되는
    모바일 장치.
  3. 제1항에 있어서,
    상기 충돌 해결 기법은 정책 소스 유형에 대한 각각의 권한 레벨(authority level)을 특정하며, 상기 정책 핸들러 구성요소는 상기 충돌 해결 기법을 이용하여 상기 제1 정책 소스의 제1 권한 레벨 및 상기 제2 정책 소스의 제2 권한 레벨에 기초하여 상기 정책에 대한 현재 정책 값을 세팅하도록 또한 구성되는
    모바일 장치.
  4. 제1항에 있어서,
    상기 컴퓨터 판독가능 저장부는 정책 관리자 메타베이스 저장소를 더 포함하고,
    상기 정책 핸들러 구성요소는 또한,
    상기 제1 정책 설정 요청 및 상기 제2 정책 설정 요청을 상기 일원화된 인터페이스 구성요소로부터 수신하고,
    상기 정책에 대한 상기 제1 정책 값을 상기 정책 관리자 메타베이스 저장소의 제1 소스 정책 저장소에 기록하며 - 상기 제1 소스 정책 저장소는 상기 제1 정책 소스에 대응함 - ,
    상기 정책에 대한 상기 제2 정책 값을 상기 정책 관리자 메타베이스 저장소의 제2 소스 정책 저장소에 기록하고 - 상기 제2 소스 정책 저장소는 상기 제2 정책 소스에 대응함 - ,
    상기 제1 소스 정책 저장소로부터의 제1 정책 값 및 상기 제2 소스 정책 저장소로부터의 제2 정책 값에 적어도 기초하여 상기 충돌 해결 기법을 이용해 상기 정책에 대한 현재 정책 값을 결정하며,
    상기 정책에 대한 현재 정책 값을 상기 정책 관리자 메타베이스 저장소의 현재 정책 저장소에 기록하도록 구성되는
    모바일 장치.
  5. 제1항에 있어서,
    상기 장치 정책 관리자 시스템은 특정 정책 소스로부터 수신된 충돌 해결 핸들링 세팅 및 상기 특정 정책 소스의 권한 레벨에 기초하여 상기 정책에 대해 상기 정책 핸들러 구성요소에 의해 사용되는 상기 충돌 해결 기법을 제어하도록 구성된 해결 제어 구성요소를 더 포함하는
    모바일 장치.
  6. 제1항에 있어서,
    상기 장치 정책 관리자 시스템은
    상기 복수의 정책 소스 중 둘 이상의 정책 소스의 각각의 권한 레벨에 기초하여 상기 복수의 정책 소스 중 둘 이상의 정책 소스로부터 수신된 충돌 해결 핸들링 세팅을 중재하여 선택 충돌 해결 핸들링 세팅을 선택하고,
    상기 선택 충돌 해결 핸들링 세팅에 기초하여 상기 정책에 대해 상기 정책 핸들러 구성요소에 의해 사용되는 충돌 해결 기법을 제어하도록 구성된 해결 제어 구성요소를 더 포함하는
    모바일 장치.
  7. 제1항에 있어서,
    상기 장치 정책 관리자 시스템은,
    특정 정책 소스로부터 충돌 해결 핸들링 세팅을 수신하고,
    상기 특정 정책 소스와 상기 모바일 장치의 신뢰되는 정책 소스 간 수립된 신뢰를 검출하며,
    수립된 신뢰의 검출에 응답하여, 상기 충돌 해결 핸들링 세팅에 기초하여 상기 정책에 대한 상기 정책 핸들러 구성요소에 의해 사용되는 상기 충돌 해결 기법을 제어하도록 구성된 해결 제어 구성요소를 더 포함하는
    모바일 장치.
  8. 제1항에 있어서,
    상기 장치 정책 관리자 시스템은
    상기 정책에 대한 충돌을 해결하기 위해 상기 정책 핸들러 구성요소에 의해 사용되는 특정 충돌 해결 기법이 상기 모바일 장치의 바람직하지 않은 상태를 야기하는지 여부를 검출하도록 구성된 상태 분석 구성요소와,
    상기 특정 충돌 해결 기법이 상기 바람직하지 않은 상태를 야기하는지 여부에 기초하여 상기 정책에 대해 상기 정책 핸들러 구성요소에 의해 사용되는 상기 충돌 해결 기법을 제어하고,
    상기 상태 분석 구성요소가 상기 특정 충돌 해결 기법이 상기 바람직하지 않은 상태를 야기하지 않음을 검출한 것에 기초하여 상기 특정 충돌 해결 기법을 상기 충돌 해결 기법으로서 유지하며,
    상기 상태 분석 구성요소가 상기 특정 충돌 해결 기법이 상기 바람직하지 않은 상태를 야기함을 검출한 것에 기초하여 상기 특정 충돌 해결 기법을 상기 충돌 해결 기법으로 수정하도록 구성된
    해결 제어 구성요소를 더 포함하는
    모바일 장치.
  9. 모바일 장치로서,
    적어도 하나의 프로세서와,
    상기 적어도 하나의 프로세서에 의해 실행 가능한 장치 정책 관리자 시스템을 포함하는 컴퓨터 판독가능 저장부를 포함하되,
    상기 장치 정책 관리자 시스템은,
    복수의 정책 소스로부터 정책 설정 요청을 수신하고 특정 정책 소스로부터 충돌 해결 핸들링 세팅을 수신하도록 구성된 일원화된 인터페이스 구성요소와,
    상기 특정 정책 소스로부터의 충돌 해결 핸들링 세팅 및 상기 특정 정책 소스의 권한 레벨에 기초하여 정책에 대한 충돌 해결 기법을 제어하도록 구성된 해결 제어 구성요소와,
    상기 해결 제어 구성요소에 의해 제어되는 상기 정책에 대한 충돌 해결 기법에 기초하여, 서로 다른 정책 소스들에 의해 제공되는 서로 다른 정책 설정 요청들에서 특정된 정책에 대한 서로 다른 정책 값들 간 충돌을 해결하고, 상기 충돌 해결 기법을 이용해 상기 모바일 장치를 제어하는 상기 정책에 대한 현재 정책 값을 세팅하도록 구성된 정책 핸들러 구성요소를 포함하는
    모바일 장치.
  10. 모바일 장치 상에서 정책을 관리하기 위한 방법으로서,
    복수의 정책 소스로부터 정책 설정 요청을 수신하는 단계 - 상기 복수의 정책 소스는 적어도 상기 모바일 장치에 의해 실행되는 내부 정책 소스 및 상기 모바일 장치 외부의 장치 관리 서버를 포함하고, 상기 정책 설정 요청은 적어도,
    제1 정책 소스로부터의 제1 정책 설정 요청 - 상기 제1 정책 설정 요청은 정책에 대한 제1 정책 값을 포함함 - 과,
    제2 정책 소스로부터의 제2 정책 설정 요청 - 상기 제2 정책 설정 요청은 상기 정책에 대한 제2 정책 값을 포함하고, 상기 제1 정책 소스는 상기 제2 정책 소스와 상이하며, 상기 제1 정책 값은 상기 제2 정책 값과 충돌함 - 을 포함함 - 와,
    상기 제1 정책 소스와 상기 제2 정책 소스 간 신뢰가 상기 모바일 장치 상에 수립되지 않은 채 충돌 해결 기법에 기초하여 상기 정책에 대한 상기 제1 정책 값과 상기 제2 정책 값 간 충돌을 해결하는 단계와,
    상기 충돌을 해결하는 것에 응답하여, 상기 모바일 장치를 제어하는 상기 정책에 대한 현재 정책 값을 세팅하는 단계를 포함하는
    모바일 장치 상에서의 정책 관리 방법.
  11. 제1항에 있어서,
    상기 제1 정책 설정 요청은 상기 제1 정책 소스의 식별자 및 상기 정책을 특정하는 지시자를 더 포함하며,
    상기 제2 정책 설정 요청은 상기 제2 정책 소스의 식별자 및 상기 정책을 특정하는 지시자를 더 포함하고,
    상기 제1 정책 소스의 식별자는 상기 제2 정책 소스의 식별자와 상이한
    모바일 장치.
  12. 제1항에 있어서,
    상기 제1 정책 소스는 특정 권한 레벨을 갖는 기업 장치 관리 서버이고, 상기 충돌 해결 기법은 상기 특정 권한 레벨을 갖는 정책 소스가 상기 정책의 현재 정책 값을 세팅하지 못하게 금지하는 것을 특정하며, 상기 제1 정책 설정 요청은 상기 모바일 장치의 신뢰되는 정책 소스에 의해 서명되는 서명된 정책 설정 요청이고, 상기 정책 핸들러 구성요소는 상기 서명된 정책 설정 요청에 기초하여 충돌 해결 기법에 의해 특정된 금지를 무효화하도록(override) 또한 구성되는
    모바일 장치.
  13. 제1항에 있어서,
    상기 컴퓨터 판독가능 저장부는 정책 관리자 메타베이스 저장소를 더 포함하고, 상기 정책 관리자 메타베이스 저장소는 복수의 정책 소스에 대한 각각의 정책 저장소를 포함하고,
    상기 장치 정책 관리자 시스템은 샌드박스 보안 구성요소(a sandbox security component)를 더 포함하며,
    상기 샌드박스 보안 구성요소는,
    상기 제1 정책 소스가 상기 제1 정책 소스에 대한 제1 소스 정책 저장소에 액세스하도록 허용하고,
    상기 제2 정책 소스가 상기 제2 정책 소스에 대한 제2 소스 정책 저장소에 액세스하도록 허용하며,
    상기 제1 정책 소스가 상기 제2 소스 정책 저장소에 액세스하지 못하게 제한하고,
    상기 제2 정책 소스가 상기 제1 소스 정책 저장소에 액세스하지 못하게 제한하도록 구성된
    모바일 장치.
  14. 제1항에 있어서,
    상기 복수의 정책 소스는 모바일 운영자 관리 서버, 메시징 서버, 및 모바일 장치 관리 서버를 더 포함하는
    모바일 장치.
  15. 제1항에 있어서,
    상기 정책 핸들러 구성요소는 상기 모바일 장치가 상기 제1 정책 소스로부터 등록 해제된 것에 응답하여 상기 정책에 대한 현재 정책 값을 재-평가하도록 또한 구성되는
    모바일 장치.
KR1020167027980A 2014-04-09 2015-04-01 장치 정책 관리자 KR102403480B1 (ko)

Applications Claiming Priority (7)

Application Number Priority Date Filing Date Title
US201461977600P 2014-04-09 2014-04-09
US61/977,600 2014-04-09
US201562105439P 2015-01-20 2015-01-20
US62/105,439 2015-01-20
US14/617,447 US9848330B2 (en) 2014-04-09 2015-02-09 Device policy manager
US14/617,447 2015-02-09
PCT/US2015/023756 WO2015157048A1 (en) 2014-04-09 2015-04-01 Device policy manager

Publications (2)

Publication Number Publication Date
KR20160143679A true KR20160143679A (ko) 2016-12-14
KR102403480B1 KR102403480B1 (ko) 2022-05-27

Family

ID=54266228

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020167027980A KR102403480B1 (ko) 2014-04-09 2015-04-01 장치 정책 관리자

Country Status (10)

Country Link
US (1) US9848330B2 (ko)
EP (1) EP3130110B1 (ko)
JP (1) JP6559223B2 (ko)
KR (1) KR102403480B1 (ko)
CN (1) CN106164859B (ko)
AU (1) AU2015244192B2 (ko)
CA (1) CA2943456C (ko)
MX (1) MX2016013044A (ko)
RU (1) RU2678496C2 (ko)
WO (1) WO2015157048A1 (ko)

Families Citing this family (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016049644A1 (en) 2014-09-26 2016-03-31 Sanjay Parekh Method and system for email privacy, security and information theft detection
US9921819B2 (en) 2014-12-29 2018-03-20 Airwatch Llc Persistent mobile device enrollment
US10171537B2 (en) 2015-08-07 2019-01-01 At&T Intellectual Property I, L.P. Segregation of electronic personal health information
US9942747B2 (en) 2015-08-07 2018-04-10 At&T Mobility Ii Llc Dynamic utilization of services by a temporary device
US10631192B2 (en) * 2015-08-14 2020-04-21 At&T Intellectual Property I, L.P. Policy enforced intelligent persona manager
US10044780B2 (en) 2015-08-26 2018-08-07 At&T Intellectual Property I, L.P. Dynamic segregated secure data connection
US9917838B2 (en) 2015-08-28 2018-03-13 Airwatch Llc Providing access to applications with varying enrollment levels
US10021542B2 (en) * 2015-08-28 2018-07-10 Airwatch Llc Providing access to applications with varying enrollment levels
US10387669B1 (en) 2015-09-17 2019-08-20 Nextlabs, Inc. Protecting documents with centralized and discretionary policies
US10628174B2 (en) 2016-02-17 2020-04-21 Microsoft Technology Licensing, Llc Transfer of control of configuration sources
US10070316B2 (en) 2016-06-16 2018-09-04 Samsung Electronics Co., Ltd. Permission delegation framework
CN106850259B (zh) * 2016-12-22 2019-12-17 北京元心科技有限公司 用于管控策略执行的方法、装置及电子设备
US10620965B2 (en) 2017-03-22 2020-04-14 Vmware, Inc. Internet recovery of a windows configuration
US10445106B2 (en) 2017-03-22 2019-10-15 Vmware, Inc. Persistent enrollment of a computing device using a BIOS
US10409619B2 (en) 2017-03-22 2019-09-10 Vmware, Inc. Persistent enrollment of a computing device using vendor autodsicovery
US10635819B2 (en) * 2017-03-22 2020-04-28 Vmware, Inc. Persistent enrollment of a computing device based on a temporary user
US10740109B2 (en) 2017-03-22 2020-08-11 Vmware, Inc. Configuring a computing device using managed operating system images
US10771944B2 (en) 2017-05-09 2020-09-08 At&T Intellectual Property I, L.P. Method and system for multipoint access within a mobile network
CN107071285A (zh) * 2017-05-16 2017-08-18 广东交通职业技术学院 一种跟拍方法、存储器及无人机跟拍装置
US10437625B2 (en) * 2017-06-16 2019-10-08 Microsoft Technology Licensing, Llc Evaluating configuration requests in a virtual machine
US10440159B2 (en) * 2017-08-03 2019-10-08 T-Mobile Usa, Inc. Header modification for supplementary services
KR102365380B1 (ko) 2017-11-27 2022-02-18 광동 오포 모바일 텔레커뮤니케이션즈 코포레이션 리미티드 사용자 장비 정책 전달 협상을 위한 방법 및 장치
CN108256046A (zh) * 2018-01-12 2018-07-06 福建星瑞格软件有限公司 大数据处理框架源数据的统一访问通道的实现方法
US20200028879A1 (en) 2018-07-17 2020-01-23 Microsoft Technology Licensing, Llc Queryless device configuration determination-based techniques for mobile device management
US11184223B2 (en) 2018-07-31 2021-11-23 Microsoft Technology Licensing, Llc Implementation of compliance settings by a mobile device for compliance with a configuration scenario
CN109388611B (zh) * 2018-09-04 2021-09-10 成都四方伟业软件股份有限公司 一种基于统一接口的大数据策略化储存系统
US11303523B2 (en) * 2018-09-24 2022-04-12 Microsoft Technology Licensing, Llc Cloud-based service policy reroute
SG11202103251XA (en) * 2018-09-30 2021-04-29 Guangdong Oppo Mobile Telecommunications Corp Ltd Information processing method, terminal device, and storage medium
US11190403B2 (en) * 2019-10-22 2021-11-30 Vmware, Inc. Configuration management for co-management
US11573806B2 (en) * 2020-06-11 2023-02-07 Vmware, Inc. Managing persistent enrollment of a user device
US11240153B1 (en) * 2020-07-31 2022-02-01 Cisco Technology, Inc. Scoring policies for predictive routing suggestions
CN112104895B (zh) * 2020-11-17 2021-02-26 浙江岩华文化科技有限公司 视频加解密方法、服务器、机顶盒插件及视频播放系统
US20230006880A1 (en) * 2021-06-30 2023-01-05 Microsoft Technology Licensing, Llc Local edge authority platform

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120166604A1 (en) * 2010-12-28 2012-06-28 Microsoft Corporation Flexible policy based network decisionmaking

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5889953A (en) * 1995-05-25 1999-03-30 Cabletron Systems, Inc. Policy management and conflict resolution in computer networks
US6151296A (en) * 1997-06-19 2000-11-21 Qualcomm Incorporated Bit interleaving for orthogonal frequency division multiplexing in the transmission of digital signals
US6463470B1 (en) * 1998-10-26 2002-10-08 Cisco Technology, Inc. Method and apparatus of storing policies for policy-based management of quality of service treatments of network data traffic flows
US6542508B1 (en) * 1998-12-17 2003-04-01 Watchguard Technologies, Inc. Policy engine using stream classifier and policy binding database to associate data packet with appropriate action processor for processing without involvement of a host processor
US6473851B1 (en) * 1999-03-11 2002-10-29 Mark E Plutowski System for combining plurality of input control policies to provide a compositional output control policy
US7065565B2 (en) * 2002-02-27 2006-06-20 Cisco Technology, Inc. System and method for policy-enabled, contract-based management of network operational support systems
US7757268B2 (en) 2003-07-25 2010-07-13 Oracle International Corporation Policy based service management
US8495227B2 (en) * 2003-12-11 2013-07-23 International Business Machines Corporation Method and system to distribute policies
US7457874B2 (en) * 2004-02-20 2008-11-25 Microsoft Corporation Architecture for controlling access to a service by concurrent clients
US7370050B2 (en) * 2005-02-28 2008-05-06 Microsoft Corporation Discoverability and enumeration mechanisms in a hierarchically secure storage system
US8027345B2 (en) * 2005-07-27 2011-09-27 Sharp Laboratories Of America, Inc. Method for automatically providing quality of service
US7620659B2 (en) * 2007-02-09 2009-11-17 Microsoft Corporation Efficient knowledge representation in data synchronization systems
US20090049518A1 (en) * 2007-08-08 2009-02-19 Innopath Software, Inc. Managing and Enforcing Policies on Mobile Devices
EP2188730A4 (en) 2007-08-08 2014-09-17 Innopath Software Inc PROCEDURE AND ENFORCEMENT OF GUIDELINES ON MOBILE DEVICES
US20090164499A1 (en) 2007-12-20 2009-06-25 Motorola, Inc. Creating policy rules and associated policy rule components
US8683545B2 (en) 2008-08-15 2014-03-25 International Business Machines Corporation Federating policies from multiple policy providers
US8893009B2 (en) 2009-01-28 2014-11-18 Headwater Partners I Llc End user device that secures an association of application to service policy with an application certificate check
US20100274750A1 (en) * 2009-04-22 2010-10-28 Microsoft Corporation Data Classification Pipeline Including Automatic Classification Rules
US9071614B2 (en) * 2009-11-19 2015-06-30 Hitachi, Ltd. Computer system, management system and recording medium
GB201009649D0 (en) * 2010-06-09 2010-07-21 Roke Manor Research Mobile device and method
US20120054163A1 (en) 2010-08-27 2012-03-01 Motorola, Inc. Policy conflict classifier
US8955142B2 (en) 2011-03-21 2015-02-10 Mocana Corporation Secure execution of unsecured apps on a device
US8863298B2 (en) 2012-01-06 2014-10-14 Mobile Iron, Inc. Secure virtual file management system
JP5695002B2 (ja) * 2012-08-28 2015-04-01 日本電信電話株式会社 セキュリティポリシ競合解消システム、端末管理サーバ、ポリシデータ適用端末、ポリシサーバ、セキュリティポリシ競合解消方法、およびプログラム

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120166604A1 (en) * 2010-12-28 2012-06-28 Microsoft Corporation Flexible policy based network decisionmaking
JP2014501475A (ja) * 2010-12-28 2014-01-20 マイクロソフト コーポレーション 柔軟なポリシー・ベースのネットワーク意思決定

Also Published As

Publication number Publication date
CA2943456A1 (en) 2015-10-15
RU2016138674A3 (ko) 2018-11-20
CN106164859A (zh) 2016-11-23
US9848330B2 (en) 2017-12-19
MX2016013044A (es) 2017-01-09
AU2015244192A1 (en) 2016-10-06
RU2016138674A (ru) 2018-04-02
JP6559223B2 (ja) 2019-08-14
KR102403480B1 (ko) 2022-05-27
JP2017518594A (ja) 2017-07-06
US20150296368A1 (en) 2015-10-15
CA2943456C (en) 2021-10-12
RU2678496C2 (ru) 2019-01-29
EP3130110B1 (en) 2018-02-14
EP3130110A1 (en) 2017-02-15
CN106164859B (zh) 2019-10-25
WO2015157048A1 (en) 2015-10-15
AU2015244192B2 (en) 2019-07-04

Similar Documents

Publication Publication Date Title
KR102403480B1 (ko) 장치 정책 관리자
US11157616B2 (en) Mobile application management
KR102344386B1 (ko) 구성 소스에 대한 컴퓨팅 디바이스의 다중 등록 기법
JP6412140B2 (ja) リモートリソースへのアクセスを確実に許可すること
US8656016B1 (en) Managing application execution and data access on a device
KR101308859B1 (ko) 임시 관리자 권한 부여 기능을 가진 단말기 및 이를 이용한 임시 관리자 권한 부여 방법
US9223941B2 (en) Using a URI whitelist
US10298586B2 (en) Using a file whitelist
US20220060513A1 (en) Centralized request processing and security zone policy enforcement in a cloud infrastructure system
Abdella et al. CA‐ARBAC: privacy preserving using context‐aware role‐based access control on Android permission system
WO2015152894A1 (en) Device-type based content management
US20230214533A1 (en) Computer-implemented systems and methods for application identification and authentication
KR20150076529A (ko) 제어 정책 기반의 어플리케이션 제어 방법과 이를 수행하는 모바일 단말

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant