客户端设备的策略执行的制作方法
【专利摘要】一种方法可包括由客户端设备向认证服务器设备发送访问请求。该访问请求可包括用以访问被管理资源的请求。该方法可包括响应于客户端设备不遵守与被管理资源相关联的管理策略而从认证服务器设备接收关于安装客户端应用的一个或多个指令,由客户端设备根据该指令来接收客户端应用,并将客户端应用安装在客户端设备上。
【专利说明】客户端设备的策略执行
【背景技术】
[0001]手持式移动设备已变成用于访问计算机网络上的信息的有效工具。雇员越来越多地使用其移动设备来远程地访问公司信息、应用及其他资源。然而,如果雇员的移动设备未至少如雇主策略那样严格地遵守数据安全策略或访问策略,则敏感的公司信息可能易受到未授权访问。例如,如果雇员丢失其移动设备并且该移动设备未被密码保护,则发现该移动设备的任何人可以能够使用该移动设备来访问公司信息。
【发明内容】
[0002]在一个实施例中,一种方法可以包括由客户端设备向认证服务器设备发送访问请求。该访问请求可以包括用以访问被管理资源的请求。该方法可以包括响应于客户端设备未遵守与被管理资源相关联的管理策略而从认证服务器设备接收关于安装客户端应用的一个或多个指令,由客户端设备根据该指令来接收客户端应用,并将客户端应用程序安装在客户端设备上。
[0003]在一个实施例中,一种方法可以包括从客户端设备接收对被管理资源的访问请求,确定客户端设备是否遵守与被管理资源相关联的管理策略,响应于客户端设备遵守管理策略,向客户端设备发送令牌,并且响应于客户端设备不遵守管理策略,向客户端设备发送命令客户端设备如何遵守管理策略的一个或多个指令。
[0004]在一个实施例中,一种方法可以包括从客户端设备接收用以访问客户端应用的请求。可将客户端应用配置成对客户端设备应用管理策略。该方法可以包括向客户端设备发送客户端应用并用指示客户端设备遵守管理策略的信息来更新客户端注册表。
[0005]在一个实施例中,一种系统可以包括与客户端设备通信的认证服务器设备。可将认证服务器设备配置成确定客户端设备是否被允许访问一个或多个被管理资源。该系统可以包括与客户端设备和认证服务器设备通信的管理服务器设备。可将该管理服务器设备配置成确定客户端设备是否遵守控制客户端设备访问一个或多个被管理资源的能力的管理策略。
【专利附图】
【附图说明】
[0006]图1图示了根据一个实施例的用于对客户端设备进行认证和/或对客户端设备应用管理策略的系统。
[0007]图2-4图示了根据某些实施例的对客户端设备进行认证和/或对客户端设备应用管理策略的方法。
[0008]图5图示了根据一个实施例的可在客户端设备上显示的关于客户端应用的信息。
[0009]图6图示了根据一个实施例的可用来包含或实现程序指令的内部硬件的框图。
【具体实施方式】
[0010]本公开不限于所述的特定系统、设备和方法,因为这些可改变。在本描述中所使用的术语仅仅用于描述特定版本或实施例的目的,并且并不意图限制范围。
[0011]在本文中所使用的单数形式“一”、“一个”和“该”意图也包括复数引用,除非上下文另外明确地指示。除非另外定义,本文所使用的所有技术和科学术语具有与本领域的技术人员一般理解的相同的意义。不应将本公开中的任何内容理解为在本公开中所述的实施例没有资格借助于现有发明使此类公开提前发生的许可。在本文中所示用的术语“包括”意指“包括但不限于”。
[0012]出于本申请的目的,以下术语应具有下面所阐述的相应意义:
[0013]“计算设备”指的是根据一个或多个编程指令来执行一个或多个操作的电子设备。
[0014]“客户端设备”指的是被配置成通过网络来访问一个或多个被管理资源的计算设备。客户端设备可以是便携式或移动电子设备。客户端设备可在没有限制的情况下包括计算机、因特网信息亭、个人数字助理、蜂窝电话、游戏设备、台式计算机、膝上型计算机、平板计算机等。
[0015]“认证服务器设备”指的是被配置成确定客户端设备是否遵守管理策略的计算设备。认证服务器设备可在没有限制的情况下包括服务器、主机计算机、联网计算机、基于处理器的设备、虚拟机等。
[0016]“管理服务器设备”指的是被配置成对客户端设备应用管理策略的计算设备。管理策略设备可在没有限制的情况下包括服务器、主机计算机、联网计算机、基于处理器的设备、虚拟机等。
[0017]“管理策略”指的是控制客户端设备对一个或多个被管理资源的访问的一个或多个规则、策略、方针等。
[0018]“被管理资源”指的是由管理员管理的一个或多个应用程序。
[0019]“客户端应用”指的是被配置成命令客户端设备执行一个或多个任务的应用程序。
[0020]图1图示了根据一个实施例的用于对客户端设备进行认证和/或对客户端设备应用管理策略的系统100。在实施例中,可将一个或多个客户端设备102连接到一个或多个通信网络104、122。在一个实施例中,客户端设备102可包括客户端存储器110。可将通信网络104连接到认证服务器设备106。在一个实施例中,可将通信网络122连接到管理服务器设备108。
[0021]在一个实施例中,通信网络104、122可以是局域网(LAN)、广域网(WAN)等。例如,通信网络104、122可以是外部网、内部网、因特网等。在一个实施例中,通信网络104、122可提供客户端设备102、认证服务器设备106和/或管理服务器设备108之间的通信能力。
[0022]在一个实施例中,通信网络104、122可使用超文本传输协议(HTTP)以使用传输控制协议/网际协议(TCP/IP)来传送信息。HTTP可允许客户端设备102访问经由通信网络104、122可用的资源。
[0023]在一个实施例中,认证服务器设备106可包括与计算机可读存储介质114通信的处理器112。认证服务器设备106可与一个或多个客户端设备102和/或管理服务器设备108通信。虽然被描述为单个计算机系统,但可将认证服务器设备106实现为计算机处理器网络。
[0024]在一个实施例中,管理服务器设备108可包括与计算机可读存储介质114通信的处理器112。管理服务器设备108可与一个或多个客户端设备102和/或认证服务器设备106通信。虽然被描述为单个计算机系统,但可将管理服务器设备108实现为计算机处理器网络。管理服务器设备108的示例可包括服务器、主机计算机、联网计算机、基于处理器的设备等。
[0025]在一个实施例中,认证服务器设备106和/或管理服务器设备108可与客户端注册表120通信。客户端注册表可包括与客户端是否遵守管理策略相关联的信息。在一个实施例中,客户端注册表可以是数据库或其他计算机可读存储介质。可将客户端注册表120存储在认证服务器设备106、管理服务器设备108和/或另一计算设备上。
[0026]图2图示了根据一个实施例的用于对客户端设备进行认证和对客户端设备应用管理策略的方法。在一个实施例中,客户端设备可以尝试200访问一个或多个被管理资源。被管理资源可以是由不是客户端设备用户的管理员管理的软件应用。例如,电子邮件应用、文字处理应用和日历应用可以是被管理资源的示例,并且这些资源可由雇主管理员管理。在本公开的范围内可使用附加和/或替选管理员。
[0027]在一个实施例中,客户端设备可尝试200响应于用户选择客户端设备上的被管理资源的图标、图形、链接或其他表示而访问被管理资源。在一个实施例中,客户端设备可尝试响应于客户端设备用户提供与被管理资源相关联的诸如用户名和/或密码之类的登录信息而访问被管理资源。
[0028]在一个实施例中,客户端设备可向认证服务器设备发送202对被管理资源的访问请求。访问请求可包括与正在请求访问的客户端设备相关联的标识符。在一个实施例中,访问请求可包括客户端设备正在请求访问的一个或多个被管理资源。该访问请求可包括加密的密码或其他加密信息。
[0029]图3图示了根据一 个实施例的由认证服务器设备对客户端设备进行认证的方法。如图3所示,认证服务器设备可接收300访问请求,并且可验证302客户端设备是否服从管理策略。在一个实施例中,管理策略可包括客户端设备必须满足以便访问一个或多个被管理资源的一个或多个规则、条件等。在一个实施例中,管理策略可包括一个或多个数据安全策略。示例性数据安全策略可包括从丢失或被盗客户端设备远程地擦除数据,在一段时间的不活动之后将空闲客户端设备锁定,要求用以访问客户端设备的密码,为一个或多个客户端密码设置最小长度,要求具有某个格式的密码等。在一个实施例中,可针对一组被管理资源来管理管理策略。例如,同一组数据安全策略可应用于与雇主相关联的所有被管理资源。替选地,可使每个被管理资源与不同的管理策略相关联。例如,可使第一被管理资源与第一管理策略相关联,而可使第二被管理资源与第二管理策略相关联。
[0030]在一个实施例中,认证服务器可通过分析客户端注册表来验证302客户端设备是否服从管理策略。客户端注册表可包括客户端的列表和与每个相关联的状态。例如,客户端注册表可包括与注册表中的每个客户端相关联的唯一标识符以及用于每个客户端的关于客户端设备是否遵守管理策略的状态。示例性唯一标识符可包括与客户端设备相关联的序号或其他唯一字母数字标识符。表1图示了根据实施例的示例性客户端注册表。
[0031]
【权利要求】
1.一种方法,包括: 由客户端设备向认证服务器设备发送访问请求,其中,所述访问请求包括用以访问被管理资源的请求; 响应于所述客户端设备不遵守与所述被管理资源相关联的管理策略: 从所述认证服务器设备接收关于安装客户端应用的一个或多个指令, 由所述客户端设备根据所述指令来接收客户端应用,以及 将所述客户端应用安装在所述客户端设备上。
2.根据权利要求1所述的方法,进一步包括: 向管理服务器设备发送对所述客户端应用的请求, 其中,接收客户端应用包括从所述管理服务器设备接收所述客户端应用程序。
3.根据权利要求1所述的方法,其中,所述客户应用被配置成运行以下中的一个或多个: 使得需要密码来访问所述客户端设备; 使得所述密码满足一个或多个格式要求; 针对所述客户端设备迫使密码重置; 响应于所述客户端在空闲模式下操作一段时间而自动地锁定客户端;以及 防止所述客户端设备在空闲模式下操作。
4.根据权利要求1所述的方法,其中,所述客户端应用被配置成响应于接收到一个或多个指令而从所述客户端设备去除数据。
5.根据权利要求1所述的方法,进一步包括在一时间段内向管理服务器设备发送通?目。
6.根据权利要求1所述的方法,进一步包括在一个或多个时间向管理服务器设备发送通信。
7.根据权利要求1所述的方法,其中,所述客户端应用被配置成向管理服务器设备通信以下客户端设备特征中的一个或多个: 与所述客户端设备相关联的电话号码; 与所述客户端设备相关联的序列号; 到或来自所述客户端设备的呼叫是否是活动的指示;以及 与所述客户端设备相关联的位置。
8.根据权利要求1所述的方法,进一步包括响应于所述客户端设备遵守与所述被管理资源相关联的管理策略,向所述客户端设备发送令牌以用来访问所述被管理资源。
9.一种方法,包括: 从客户端设备接收对被管理资源的访问请求; 确定所述客户端设备是否遵守与所述被管理资源相关联的管理策略; 响应于所述客户端设备遵守所述管理策略,向所述客户端设备发送令牌;以及响应于所述客户端设备不遵守所述管理策略,向所述客户端设备发送命令所述客户端设备如何遵守所述管理策略的一个或多个指令。
10.根据权利要求9所述的方法,其中: 接收访问请求包括接收包括与所述客户端设备相关联的唯一标识符的访问请求;确定所述客户端设备是否遵守管理策略包括: 将所述唯一标识符与客户端注册表中的信息相比较, 响应于所述唯一标识符与来自所述客户端注册表的信息匹配并且与所述信息相关联的状态指示所述客户端设备遵守所述管理策略,确定所述客户端设备遵守所述管理策略,响应于所述唯一标识符不与来自所述客户端注册表的信息匹配,确定所述客户端不遵守所述管理策略;以及 响应于所述唯一标识符与来自所述客户端注册表的信息匹配并且与所述信息相关联的状态指示所述客户端设备不遵守所述管理策略,确定所述客户端设备不遵守所述管理策略。
11.根据权利要求9所述的方法,其中,向所述客户端设备发送一个或多个指令包括向所述客户端设备发送命令所述客户端设备从管理服务器设备下载客户端应用程序的一个或多个指令,其中,所述客户端应用被配置成对所述客户端设备应用一个或多个数据安全策略。
12.根据权利要求11所述的方法,其中,所述客户端应用被配置成对所述客户端设备应用以下数据安全策略中的一个或多个: 使得需要密码以访问所述客户端设备; 使得所述密码满足一个或多个格式要求; 针对所述客户端设备迫使密码重置; 响应于所述客户端设备在空闲模式下操作一段时间而自动地锁定所述客户端设备;以及 防止所述客户端设备在空闲模式下操作。
13.根据权利要求11所述的方法,其中,所述客户端应用被配置成从所述客户端设备去除数据。
14.根据权利要求9所述的方法,还包括响应于接收到所述访问请求而向管理员通知所述访问请求。
15.—种方法,包括: 从客户端设备接收用以访问客户端应用的请求,其中,所述客户端应用被配置成对所述客户端设备应用管理策略; 向所述客户端设备发送所述客户端应用;以及 用指示所述客户端设备遵守所述管理策略的信息来更新客户端注册表。
16.根据权利要求15所述的方法,其中: 接收用以访问客户端应用的请求包括接收包括与所述客户端设备相关联的唯一标识符的用以访问客户端应用的请求;以及 更新客户端注册表包括向所述客户端注册表添加所述唯一标识符。
17.根据权利要求15所述的方法,其中,更新客户端注册表包括从所述客户端设备接收注册信息并且用所述注册信息的至少一部分来更新所述客户端注册表。
18.根据权利要求15所述的方法,还包括响应于在一时间段内没有从所述客户端设备接收到通信而用指示所述客户端设备不遵守所述管理策略的信息来更新所述客户端注册表。
19.根据权利要求15所述的方法,还包括响应于在特定时间没有从所述客户端设备接收到通信而用指示所述客户端设备不遵守所述管理策略的信息来更新所述客户端注册表。
20.—种系统,包括: 与客户端设备通信的认证服务器设备,其中,所述认证服务器设备被配置成确定客户端设备是否被允许访问一个或多个被管理资源;以及 与所述客户端设备和所述认证服务器设备通信的管理服务器设备,其中,所述管理服务器设备被配置成确定所述客户端设备是否遵守控制所述客户端设备访问所述一个或多个被管理资源的能力的管理策略。
21.根据权利要求20所述的系统,进一步包括与所述认证服务器设备和所述管理服务器设备通信的客户端注册表,其中,所述客户端注册表包括关于一个或多个客户端设备对所述管理策略的遵守性的信息。
22.根据权利要求20所述的系统,其中,所述管理服务器设备进一步被配置成:如果所述管理服务器设备在一段时间内没有从所述客户端设备接收到通信,则用客户端不遵守所述管理策略的指示来更新所述客户端注册表。
23.根据权利要求20所述的系统,其中,所述认证服务器设备进一步被配置成响应于确定所述客户端设备被允许访问所述一个或多个被管理资源而向所述客户端设备发送令牌。
【文档编号】G06F21/57GK104025108SQ201280064750
【公开日】2014年9月3日 申请日期:2012年10月18日 优先权日:2011年10月28日
【发明者】殷莉, 帕兰姆·雷达帕加里, 马尤尔·卡马特, 左正平, 张宏 申请人:谷歌公司