用于同步和远程数据访问的移动设备连接控制的制作方法
【技术领域】
[0001 ]本公开一般涉及计算机数据的同步和远程访问,并且更具体地讲,涉及基于设备分类自动控制由移动计算设备进行的连接。
【背景技术】
[0002]用户期望将其移动计算设备(例如,电话、平板电脑、笔记本电脑)与其台式计算机和企业服务器(例如,由公司、大学或其他组织管理的工作电子邮件服务器)同步。例如,用户想要在其台式机和其移动设备上都具有相同的最新电子邮件、联系人和日历数据。
[0003]存在不同解决方案以提供此类数据同步,并且由于移动设备的性质和用途发生了变化,这些解决方案已随时间推移而演变。Microsoft ActiveSync为一种移动数据同步应用程序,该应用程序允许移动设备与台式计算机同步,所述台式计算机包括运行兼容平台(诸如Microsoft Exchange Server)的受管理服务器。ActiveSync使Microsoft Outlook电子邮件、日历条目、联系人和任务、以及互联网书签和文件同步。ActiveSync不支持许多当前移动平台,并且不再包括在Windows中。
[0004]Exchange ActiveSync( “EAS”)(不要与旧的ActiveSync应用程序混淆)是一种协议,用于将电子邮件、联系人、日历、任务和备忘录从服务器同步到智能电话或其他移动计算设备。该协议基于XML,并且Exchange ActiveSync服务器和移动设备通过HTTP(或HTTPS)进行通信。Microsoft Exchange Server支持使用Exchange ActiveSync将电子邮件、日历数据和联系人与移动计算设备同步。注意,Microsoft Exchange SerVer(不要与ExchangeActiveSync自身混淆)是Microsoft服务器程序,该程序提供群组级别电子邮件服务、日历软件和联系人管理器。此外,Microsoft将Exchange ActiveSync授权给其他方,并且在多个竞争性合作平台中实现对Exchange ActiveSync的支持,所述竞争性合作平台诸如GoogleApps forBusiness、Lotus Domino和Novell GroupWise0当前,Exchange ActiveSync为用于在群件和移动设备之间实现同步的事实标准,但也存在其他标准,诸如开放移动联盟数据同步和设备管理(以前称为SyncML)以及OpenSync。
[0005]Exchange ActiveSync对移动设备管理和策略控制提供一定的支持。例如,服务器级别管理员可阻拦特定移动客户端,要求移动客户端具有满足某些特征(例如,最小长度、最大持续时间)的密码,要求漫游时进行手动同步等。另外,Microsoft Exchange和某些第三方工具使管理员能够基于标准允许或阻拦ActiveSync移动客户端,所述标准包括白名单/黑名单上存在或不存在移动客户端、移动客户端类型(例如,阻拦所有平板电脑)和客户端操作系统(例如,阻拦运行1S的所有设备)。然而,此类策略控制要求管理员进行大量配置和日常维护,以将连接到大型企业网络环境的大量设备考虑在内并对这些设备进行管理。管理员负责批准可连接的设备(如果不是所有设备均被允许),并且管理每个用户的经允许的设备。
[0006]称为ActiveSync Protector的一种第三方产品具有一种模式,该模式允许最终用户自注册单个移动设备。在该模式下,用户首次尝试连接到Exchange ActiveSync时,可自动注册其移动设备。随后允许自动访问已注册设备,除非或直至取消或撤销注册。如果相同用户随后尝试通过不同移动设备连接到Exchange ActiveSync,则不会自动注册该额外设备。这将阻止已获得用户凭据但不是用户移动设备的攻击程序使用不同设备连接到企业的基础设施。然而,结果是默认情况下阻拦合法用户通过任何额外的移动设备进行访问。相反,用户需要先请求管理员创建例外并且明确允许每个特定的额外移动设备,然后用户才可以通过该设备连接到Act i veSync,并因此访问后台上的数据并与该数据同步。
[0007]当每个用户通常仅携带一个移动设备(S卩,电话)时,允许每个用户单个移动设备的这种型式是足够的。然而,现在用户很可能使用多个移动设备(例如,智能电话和平板电脑)。此外,Microsoft Out look的较新版本还允许Windows计算机作为ExchangeActiveSync客户端(通常,就笔记本电脑而言将使用该特征)来同步。在单个用户很可能拥有三个独立移动设备的当前环境中,管理员对例外请求不堪重负,这些请求的审核和处理非常耗费人力。
[0008]这些问题需要得到解决。
【发明内容】
[0009]根据一个或多个设备分类级别规则,对计算设备访问集中化企业级数据的尝试进行管理。在一些实施例中,所涉及的所有计算设备均为移动计算设备。定义多个计算设备类另IJ,例如智能电话、平板电脑、笔记本电脑和台式计算机。可自动提供默认类别定义,并且/或者可从企业级管理员接收类别定义,所述企业级管理员诸如企业网络管理员。基于与多个计算设备有关的属性,将计算设备的定义分配给特定类别,所述属性诸如名称、型号、类型、ID、操作系统名称和操作系统版本。从未分类计算设备接收对访问集中化企业级数据的请求,例如来自未分类移动计算设备的、将企业网络上的数据与移动计算设备上的数据进行同步的请求。此类请求可以但不必是经由Exchange ActiveSync访问企业网络并同步数据的请求的形式。接收的请求包含从请求读取的与未分类计算设备有关的信息。例如,在基于Exchange ActiveSync的实施例中,接收的请求包含未分类计算设备的清册。在其他实施例中,请求包含其他格式的信息,例如与未分类计算设备有关的属性,诸如上文所指出的属性(例如,名称、型号、类型、ID、操作系统名称和操作系统版本)。
[0010]至少部分地基于从接收的请求读取的与计算设备有关的信息,将该未分类计算设备分类到已定义类别中的特定类别中。在已将未分类计算设备的定义分配给特定类别的情况下,可将未分类计算设备分类到该特定类别中而无需进一步分析。如果情况并非如此,则可将从接收的请求读取的与计算设备有关的信息与跟多个计算设备有关的对应信息进行比较,所述多个计算设备的定义已分配给特定已定义类别。这种比较信息可为与计算设备有关的属性的形式,所述属性诸如上文所指出的那些属性,并且可将不同权重分配给不同属性。基于信息比较,将所述多个计算设备中的特定计算设备判定为最相似于未分类计算设备。然后,将未分类计算设备分类到特定类别中,该特定类别已分配有被判定为最相似的计算设备的定义。保存计算设备的分类,并可将所述分类用于对具有相同定义的未知计算设备的后续实例进行自动分类,而无需重复比较过程。
[0011]响应于将计算设备分类到特定已定义类别中,根据一个或多个设备分类级别规则,对访问集中化企业级数据的接收的请求进行管理,所述规则指定特定已定义类别的计算设备的访问策略。此类设备分类级别规则可在默认情况下提供,并且/或者从企业级管理员接收。基于分类级别规则,可允许各个用户各自仅使用多个特定类别中每一类别的至多特定数量的计算设备来自动访问企业级数据,所述规则限制每个不同类别的计算设备的数量,通过所述不同类别的所述数量的计算设备,容许各个用户访问集中化数据,而无需企业级管理员进行任何额外操作。此类规则的一个例子将容许每个用户通过每个已定义类别的一个计算设备(例如,一部智能电话、一台平板电脑和一台笔记本电脑)访问集中化数据。该场景还可呈以下形式:允许各个用户基于对应的设备分类级别规则,各自仅自注册每个特定类别的至多特定最大数量的计算设备。然后,允许各个用户通过注册给他们的计算设备自动访问企业级数据,而无需企业级管理员进行任何额外操作。在一些实施例中,根据不同设备分类级别规则,对不同用户所做出的访问集中化企业级数据的接收的请求进行管理,所述规则指定用于不同类别的用户的不同访问策略。