专利名称:分层策略管理的制作方法
分层策略管理
背景技术:
个人计算机出现之前,支持多个单独用户终端的大型机或者微型计算机是占主导 地位的计算范例。通过在多个用户之间共享昂贵的计算机硬件和软件资源,这种集中式架 构允许这些资源的高效使用。随着相对廉价的个人计算机的来临,出现了新的计算模型,其采用位于每个用户 处的计算资源来取代代表上个时代的远程和集中式资源。集中式计算模型的优点有很多,然而,无处不在的联网已经导致各种形式的集中 式计算的复兴。在一个实施例中,服务器向一个或多个远程客户端提供处理和/或存储资 源。在其他实施例中,给远程客户端分配对于在中央站点处维护的工作站或个人计算机模 块的专有访问。在任意实施例中,数据以及程序存储和/或计算资源的合并减少了维护和 支持的成本,同时实现了增加的系统安全性。访问集中式系统的远程客户端可以采取各种 形式。具有最小处理和存储能力,并依赖于集中式资源来实现适当功能性的远程客户端被 称为“瘦客户端”。集中式计算机系统并不是没有缺点。例如,支持多个用户的单个服务器的故障导 致与支持的用户数目成比例的生产率的损失。分配不共享的资源到每个远程客户端的架构 用于减弱这种缺点。例如,惠普公司的会话分派管理器(“SAM”)能够动态地分派资源,并 具有将备用资源分配到专用系统来减少潜在的停机时间的能力。连接到集中式系统的每个远程用户被分配一组资源。对于每个用户可用的资源的 范围根据用户和组织的感知的需要而变化。例如,根据用户使用的应用,和/或组织维护系 统安全性的需要,用户可以被分配更多或更少的资源。系统资源对用户的分派通常是由系 统管理员控制的。用于控制远程用户访问系统资源的灵活而高效的方法对于支持大量用户 的系统的管理员而言是希望的。
为了详细描述本发明的示例性实施例,现在对附图进行参考,其中附图1示出了根据各种实施例的包括分层策略管理器的集中式计算机系统的框 图;附图2示出了根据各种实施例的示例性策略层次;附图3A-3F示出了根据各种实施例的当应用策略层次的多级优先级时的策略选 择的示例;以及附图4示出了根据各种实施例的建立用于允许远程访问设备访问中央资源的策 略的方法的流程图。符号和术语在以下说明书和权利要求书中使用某些术语来指代特定的系统组件。如本领域技 术人员理解的,计算机公司可以用不同的名字来指代一个组件。本文不意欲区分名字不同 而不是功能不同的组件。在以下讨论和权利要求中,术语“包括”和“包含”以开放的方式使用,因此应该被解释为意指“包括,但不限于……”。同样,术语“耦合”意欲表示直接的、间 接的、光学或无线的电连接。因此,如果第一设备耦合到第二设备,该连接可以通过直接电 连接,通过经由其他设备和连接的间接电连接,通过光学电连接,或者通过无线电连接。术 语“系统”是指两个或更多个硬件和/或软件组件的集合,且可以被用来指代一个或多个电 子设备,或其子系统。此外,术语“软件”包括能够在处理器上运行的任意可执行代码,而不 管用于存储软件的介质如何。因此,存储在非易失性存储器中的以及有时被称为“嵌入固 件”的代码被包括在软件的定义中。
具体实施例方式以下讨论涉及本发明的各种实施例。尽管这些实施例中的一个或多个可能是优选 的,但是公开的实施例不应该被解释为或者以其他方式用来限制包括权利要求的本公开的 范围。此外,本领域技术人员将理解,以下说明具有广泛的应用,且任何实施例的讨论都仅 仅打算例证该实施例,并不意欲暗指包括权利要求的本公开的范围被限于该实施例。公司和其他实体由于各种原因而部署集中式计算机系统。通过允许在单个位置控 制实体的数据,集中式系统提供了增强的安全性。相比较于分散式模型,维护和支持成本也 可以更低,因为在集中式数据中心内还可以限制那些功能。用户也可以从集中式模型中获益。通常,用户可能能够从连接到互联网的任意计 算机访问其系统。请求访问集中式系统的资源的计算机通常可以被称为“远程访问设备”或 “客户端”。远程访问设备仅仅需要具有足够的本地资源(例如,计算能力,存储能力,等)来 与中央资源对接,并提供用户输入和输出。因此,远程访问设备与提供的能力等效于中央计 算机通过访问设备提供的那些能力的计算机相比可以更加简单,更加可靠,且成本更小。在集中式系统的管理中产生的一个问题涉及对分派给远程用户的各种中央资源 的控制。中央系统的用户可以以各种方式被分组,以促进系统安全性需要和高效的资源分 派。系统管理员要求灵活且高效的方式来在这样的分组上控制用户对中央资源的访问。本 公开的实施例允许集中式系统的管理员在多个等级上控制对远程用户的资源分派。每一 等级的控制被称为策略等级,且应用到策略等级的控制参数的设置被称为策略。本公开 的实施例对于多个策略等级中的每一个分配优先级,以形成策略层次。根据在具有策略 设置的策略优先次序的最高等级处设置的策略,来实施策略。实施例还允许管理员覆盖 (override) 一般的策略层次,并且因此强制利用在特定的分层等级处设置的策略。附图1示出了根据各种实施例的包括分层策略管理器108的集中式计算机系统 100的框图。如这里使用的,集中式计算机系统指代一种系统,其中远程访问设备102依赖 于不在远程访问设备102本地的资源110,例如计算或存储资源。在附图1中,远程访问设 备102通过网络104与服务器106通信,以获得对资源110的访问。虽然为了说明的目的 仅仅示出了单个远程访问设备102,但是实际上,系统100可以包括任意数量的远程访问设 备102。请求访问集中式资源110的远程访问设备102的数量越多,对设备102的管理的难 度越大。因此,使得能够灵活控制对设备102分派资源110的本公开的实施例随着设备102 数量的增加而变得更加重要。如这里所述,远程访问设备102对应于使用该设备来获得对 中央资源110的访问的用户。远程设备102可以被实施为在各种计算设备(例如个人计算 机,或者瘦客户端计算机装置)上执行的软件程序,或者实施为不需要软件来与中央系统通信的硬件设备。在某些实施例中,远程访问设备102是“瘦客户端”,其包括“连接客户端”和“远程 访问客户端”软件程序。连接客户端与服务器106通信,以请求资源访问和访问策略。远程 访问客户端负责连接到资源,并且在其中资源110包括计算机(例如,PC刀片)的某些实 施例中负责显示资源110的桌面,以及负责将键盘、鼠标、通用串行总线(“USB”)、音频和 其他外围设备连接到资源110。远程访问设备102请求访问资源。该资源可以专用于远程访问设备102,多个资源 中的一个可用于供远程访问设备102使用。通过经由网络104与服务器106通信来请求资 源。这里,准予对资源110的访问,并且通过例如将识别资源110的信息返回到设备102,来 通知设备102。在准予对资源110的访问之后,远程访问设备和资源110通过网络104通信。 网络104可以包括任意计算机联网技术,例如局域网(“LAN”)、存储阵列网络(“SAN”)、 广域网(“WAN”)、城域网(“MAN”)、互联网等。因此,系统100的组件不限于任意特定的 位置或彼此相邻,而是可以定位成彼此相距任意距离,如满足实体和/或用户的要求所需 要的。服务器106从远程访问设备102接收访问资源110的请求。服务器106包括在 计算机设备上执行的软件程序。服务器106例如利用Microsoft 的活动目录(Active Directory )证实来自设备102的访问请求来自已知用户。认证之后,服务器106检索与 用户相关的信息,与被指定分派给用户的资源110相关的信息,以及与用于分派的指定或 可选资源的可用性相关的信息。服务器106然后通知远程访问设备102资源110的可用性。 提供给设备102的信息包括诸如IP地址或主机名之类的允许设备102访问资源110的信 息以及当连接到设备时要应用的策略。服务器106的实施例包括用户接口,通过该用户接口,系统管理员分配在策略层 次的各个等级的策略。服务器106可以被实施为在各种计算设备的任一种上执行的软件程 序,所述计算设备例如个人计算机、工作站、服务器计算机或任何其他适于执行服务器106 的程序的计算平台。资源110可以是并不直接附接到远程访问设备102的任意硬件设备、软件程序、或 者二者的组合,远程访问设备102寻求访问资源110。例如,在某些实施例中,资源110包括 计算机设备,例如具有关联的软件程序和数据储存器的工作站刀片或PC刀片。在其他实施 例中,资源110可以包括程序或数据存储设备。在另外其他实施例中,资源110可以包括计 算设备(例如服务器)和关联软件程序的一定量的处理能力。当远程访问设备102访问资源110时,可以应用许多参数。例如,如果远程访问设 备102所请求的资源110是计算资源,例如工作站刀片或者PC刀片,那么关于显示、音频、 键盘功能、USB设备、日志等的参数的设置可以被应用到与资源110的连接(S卩,到资源110 的连接以及与其的交互)。这些参数组的每一个可以包括大量的单独的参数。例如,显示参 数可以包括屏幕分辨率、图像质量和屏幕更新算法选择。实施例允许控制定义远程访问设 备102在策略层次的多个等级的每一个等级上如何访问资源110的参数。附图2示出了根据各种实施例的包括多个策略等级的示例性策略层次200。在策 略层次200的某些实施例中,用户等级210是最高优先级策略等级,以及全局等级202是 最低优先级策略等级。用户等级210策略仅仅被应用到远程访问设备102的特定单独用户。全局等级202策略应用到任意远程访问设备102的全部用户。角色等级204、组织单元 (“0U”)等级206、以及安全组(“SG”)等级208是夹在全局202和用户210等级之间的 连续更高的优先级策略等级。角色等级204允许用户分组,以及因此通过角色等级204策 略控制那些用户对资源110的访问。角色等级204分组的示例包括按作业功能分组,例如 软件研发者,管理者或会计师。OU等级206允许例如根据组织的功能或商业结构对用户分 组。SG等级208允许例如根据准予组成员的资源访问许可对用户分组。实施例根据在策略 层次200的各种等级指定的策略控制对资源110的访问,其中在较高优先级等级指定的策 略优先于在较低优先级等级指定的策略。各种实施例可以实施比策略层次200所示更多或 更少的策略等级,实施与策略层次200所示不同的策略等级,和/或分配不同优先级到实施 的策略等级。本公开的实施例包括所有的策略层次实施方式。再次参考附图1,服务器106的实施例采用策略层次200来控制远程访问设备102 对资源110的访问。通过评估在策略层次的每个等级指定的策略,分层策略管理器108确 定应用哪个策略。在某个层次等级上不存在覆盖条件(其在下文中描述)的情况下,对于 每个访问参数在最高优先级策略等级指定的策略将被实行以控制远程设备102对资源110 的访问。分层策略管理器108可以被实施为包括在所示服务器106中的软件程序。分层策 略管理器108程序可以被存储在与计算机相关的各种存储设备(即计算机可读介质)中, 例如,硬盘驱动器、紧致盘只读存储器(CD-ROM)或者随机存取存储器(“RAM”)。程序存储 设备可以被直接连接到计算机或者通过有线或无线网络连接。在某些实施例中,服务器106将如通过策略层次200所确定的要应用的策略连同 资源110标识(例如IP地址)发送到远程访问设备102。当访问资源110时,远程访问设 备102应用该策略。如果,例如,远程访问设备102包括USB访问能力,但是USB访问被从 服务器106返回的策略禁用,则当连接到资源110时,远程访问设备102将禁用USB访问。数据库112存储在控制访问资源110时与服务器106操作相关的数据。例如,数据 库112的实施例可以存储资源分配信息、历史、和/或与资源110和/或远程访问设备102 相关的错误信息。当分派资源110时,服务器106访问数据库112以存储和检索资源110 信息。数据库112可以被实施为在各种计算设备的任意一个上执行的软件程序,所述计算 设备例如个人计算机、工作站、服务器计算机、或适于执行数据库112的程序的任何其他计 算平台。在某些实施例中,数据库112可以通过附图1所示的网络104耦合到服务器106。 在其他实施例中,数据库112可以作为单独的程序或者作为服务器106的子程序在与服务 器106相同的计算机平台上执行。附图3A-3F示出了根据各种实施例的当应用多个等级的策略优先次序时由分层 策略管理器108进行的策略选择的示例。实施例允许策略采用选择的值,包括ON(开)、 OFF(关)、用户选择、空(即,没有分配(“N/A”))、以及与每个单独参数有关的各种值。ON 和OFF反映在某个策略等级启用和禁用。用户选择表示如果设置到用户选择的策略等级是 高于所有其他的(preeminent),则远程访问设备102的用户可以选择特定参数的值。N/A 表示在选择的策略等级没有分配策略。因此,策略选择(例如0N、0FF和用户选择)提供访 问控制,而N/A没有。附图3A示出了策略层次200,其中在全局策略等级202选择的策略为0N,以及在 策略层次的所有其他等级302选择N/A(没有策略)。在附图3A给出的条件下,分层策略管理器对于策略选择应用到的参数将实施策略ON。例如,如果这些策略选择应用到的参数 是启用远程访问设备102上的USB访问以在设备102上的USB设备和资源110之间传送数 据,则将启用USB访问,因为ON是在附图3A中分配的唯一策略。因此,当没有设置更高的 优先级策略时,全局等级202策略进行控制。附图;3B示出了策略层次200,其中在全局策略等级202选择的策略为0N,在角色 策略等级204选择的策略为OFF,并且在策略层次的所有其他等级304选择N/A(没有策 略)。因为角色等级204优先于全局等级202,由分层策略管理器建立的有效策略对于这些 策略选择应用到的参数为OFF。参考远程USB的示例,这里USB访问将被禁用,并且远程访 问设备102将不能在设备102上的USB设备和资源110之间传送数据。附图3C示出了策略层次200,其中在全局202和OU 206策略等级选择策略ON,OFF 被选择为角色和SGl策略等级的策略,并且在策略层次的SG2 308和用户210等级选择N/ A (没有策略)。在附图3C给出的条件下,分层策略管理器将对策略选择应用到的参数实施 策略OFF。这个结果是由于相比分配给0U206、角色204或全局202等级的优先级,给层次 的SGl 307等级分配更高的优先级而产生的。再次参考远程USB的示例,如以上所述的附 图:3B中那样,USB访问将被禁用,并且远程访问设备102将不能在设备102上的USB设备 和资源110之间传送数据。现在参考附图3D,其包括SGl中的策略OFF和SG2中的策略0N。这两个安全组, SGl 307和SG2 308,组成了 SG策略等级208的子部分。在策略等级应用多个组的实施例 确定在该策略等级应用哪个组策略。某些实施例应用识别的第一组的策略。例如,如果分 层策略管理器以某种顺序(例如按照字母顺序)检索这些组,那么检索的第一组的策略被 应用。因此,在这种模型下,如果分层策略管理器在SG2策略之前识别了 SGl策略,那么SGl 策略被应用。另一方面,如果SG2策略被首先识别,那么SG2策略被应用。当策略等级包括 多组时,其他实施例可以应用不同的方法来确定应用哪个策略。例如,最近设置的策略,或 者限制最多或限制最少的策略可以被选择。本公开的实施例包括当分层策略等级包括多组 时选择策略的所有方法。附图3E示出了与附图;3B所示策略层次类似的策略层次200,其中,在全局策略等 级202选择的策略是0N,在角色策略等级204选择的策略是0FF,以及在策略层次的所有其 他等级304选择N/A(没有策略)。然而,在附图3E,全局策略等级202包括“强制”(即, 覆盖)标志。强制标志允许系统管理员覆盖正常应用的分层优先级以确定哪个策略是高于 所有其他的。因为强制标志被设置在全局等级202,分层策略管理器将选择ON作为有效策 略,而不管较高优先级角色等级204策略被设置为OFF这样的事实。使用远程USB的示例, USB访问将被启用,并且远程访问设备102将能够在USB设备和资源110之间传送数据。附图3F示出了一种策略层次200,其包括在全局策略等级202的策略0FF,以及在 角色策略等级204的策略0N。另外,在全局等级202和角色等级204都设置强制标志。当 强制标志被设置在策略层次的多个等级时,实施例选择在包括设置的强制标志的最低策略 等级上设置的策略。因此,在附图3F,全局策略等级202将再次提供有效策略,而不管强制 标志被设置在角色等级,且角色等级具有比全局等级更高的优先次序。实施例允许管理员 在策略层次提供的各个粒度等级上控制资源访问。例如,再次考虑远程访问设备102处的 USB的使用,如果与远程USB的使用相关的安全问题在系统中被识别,那么管理员可以在认为有必要保障系统安全的任何等级禁用远程USB,直到问题解决。在附图3F,对所有用户禁 用远程USB。强制标志允许这种控制,而不考虑策略层次的建立的优先次序。附图4示出了根据各种实施例的建立用于允许远程访问设备102访问中央资源 110的策略的方法的流程图。尽管为了方便进行了顺序地描述,所示的至少某些动作可以 采用不同的顺序执行,和/或可以并行执行。在框402,服务器106接收来自远程访问设备 102的对资源110进行访问的请求。服务器106认证远程访问设备102,并从数据库112检 索有关可分派给设备102的资源的信息。在确定可准予远程访问设备102对资源110的访问的性质时,在框404,分层策略 管理器108评估在多级策略层次上设置的访问策略。能够应用于各种访问参数的策略联 合定义准予远程访问设备102对资源110进行访问的程度。策略层次的多个等级的每一 个均被分配优先级。具有策略设置的最高优先级的等级通常建立关于特定访问参数所实 行的策略。策略层次的一个或多个等级可以不包括策略设置,如之前关于空或N/A选择所 解释的。有效策略设置的示例包括ON、OFF、用户选择和与特定参数有关的各种值(例如, 1280X1024作为显示分辨率参数)。虽然分层优先次序通常建立所施加的策略,但覆盖标志(即,强制标志)用于抵消 (counterveil)通常的层次优先级。如果在框406,发现在策略层次的等级中设置了覆盖标 志,分层优先次序被覆盖,且在框408中在具有设置的覆盖标志的最低分层等级建立的策 略被选择用于实施。如果没有策略层次的等级包括设置的覆盖标志,那么在框410,分层策略管理器选 择在访问控制策略被设置的最高优先次序等级建立的访问策略来实施。在框412,被选择用于实施的策略连同准予访问的资源110的标识一起被传送到 远程访问设备102。在框414,当访问资源110时,远程访问设备102应用从服务器106接 收的策略。以上论述意欲说明本发明的原理和各种实施例。一旦以上公开被完全理解,多种 变型和修改对于本领域技术人员而言将变得明显。以下权利要求意欲被解释为包括所有这 样的变型和修改。
权利要求
1.一种系统,包括远程访问设备,其请求对中央资源的访问;以及执行分层策略管理器的计算机,所述分层策略管理器通过评估在策略层次的多个优先 次序等级上的访问策略来确定允许所述设备访问所述资源的策略;其中,所述分层策略管理器基于在其指定访问控制的策略层次的最高优先次序等级上 设置的策略允许所述设备访问所述资源。
2.如权利要求1的系统,其中分层策略管理器基于在其指定访问控制且设置覆盖标志 的策略层次的最低优先次序等级上设置的策略允许所述设备访问所述资源。
3.如权利要求1的系统,还包括在策略层次的等级上不分配策略的策略选择;以及允许用户从远程访问设备控制参数设置的策略选择。
4.如权利要求1的系统,其中由分层策略管理器确定的策略被传送到远程访问设备, 且当访问中央资源时,远程访问设备应用该策略。
5.如权利要求1的系统,其中策略层次的优先次序等级从高到低优先次序包括用户 等级、安全组等级、组织单元等级、角色等级和全局等级,以及在用户策略等级分配的策略 将该策略分配到单独的用户并且在可应用于用户的最高优先次序等级上分配该策略,以及 在全局策略等级分配的策略将该策略分配到所有用户并在可应用于用户的最低策略层次 等级分配该策略。
6.权利要求1的系统,其中策略层次的等级包括多个组,每个组均包括策略并且由分 层策略管理器识别的所述多个组中的第一组提供用于该等级的策略。
7.一种方法,包括从远程访问设备接收对中央资源进行访问的请求;通过评估在策略层次中的多个分层优先次序等级上指定的访问策略,确定用于允许所 述设备对所述资源进行访问的策略;以及基于在其指定访问控制的策略层次的最高优先次序等级上设置的策略,允许所述设备 访问所述资源。
8.如权利要求7的方法,还包括提供确定的策略给远程访问设备,并当远程访问设备 访问资源时在远程访问设备中应用该策略。
9.如权利要求7的方法,还包括基于在其指定访问控制和设置覆盖标志的策略层次的 最低优先次序等级上设置的策略,允许所述设备访问资源。
10.如权利要求7的方法,还包括在用户、安全组、组织单元、角色和全局优先次序等级 的每一个上设置策略,其中每个连续等级比前一等级具有更低的优先次序。
11.如权利要求7的方法,还包括如果策略层次的安全组等级包括多个安全组,则将安 全组等级策略设置为首先识别的安全组的策略。
12.—种计算机程序产品,包括计算机可用介质,其中包含有计算机可读程序代码,该计算机可读程序代码包括从远程访问设备接收对中央资源进行访问的请求的指令;通过评估在策略层次的多个连续分层优先次序等级上指定的访问策略,确定允许所述 设备对所述资源进行访问的策略的指令;以及基于在其指定访问控制的策略层次的最高优先次序等级上设置的策略允许所述设备 访问所述资源的指令。
13.如权利要求12的计算机程序产品,还包括基于在其指定访问控制且设置覆盖标志 的策略层次的最低优先次序等级上设置的策略允许所述设备访问所述资源的指令。
14.如权利要求12的计算机程序产品,还包括评估在用户等级、安全组等级、组织单元 等级、角色等级和全局等级的每一个上的访问策略的指令,其中每个连续等级比前一等级 具有更低的优先次序。
15.如权利要求12的计算机程序产品,还包括如果等级包括多个组,则将该等级的策 略设置成为该等级所识别的第一组的策略的指令。
全文摘要
一种用于管理远程访问设备对中央资源进行访问的系统和方法。系统包括远程访问设备和执行分层策略管理器的计算机。该远程访问设备请求对中央资源进行访问。该分层策略管理器通过评估在策略层次的多个优先次序等级上的访问策略,确定允许该设备对资源进行访问的策略。该分层策略管理器基于在其指定访问控制的策略层次的最高优先次序等级上设置的策略,允许所述设备访问资源。
文档编号G06F17/00GK102067098SQ200880129806
公开日2011年5月18日 申请日期2008年6月13日 优先权日2008年6月13日
发明者B·A·阿尔科恩, J·J·沃尔斯, Q·P·范, R·M·霍奇穆思, T·J·弗林, V·波佩斯库 申请人:惠普开发有限公司