CN104322031A - 使用通过本地策略框架执行的策略指令实施针对企业网络的策略 - Google Patents
使用通过本地策略框架执行的策略指令实施针对企业网络的策略 Download PDFInfo
- Publication number
- CN104322031A CN104322031A CN201380025498.0A CN201380025498A CN104322031A CN 104322031 A CN104322031 A CN 104322031A CN 201380025498 A CN201380025498 A CN 201380025498A CN 104322031 A CN104322031 A CN 104322031A
- Authority
- CN
- China
- Prior art keywords
- policy
- computing device
- instructions
- enterprise network
- enterprise
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims description 40
- 230000004044 response Effects 0.000 claims description 9
- 230000008569 process Effects 0.000 description 8
- 238000004891 communication Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 5
- 238000013515 script Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000001105 regulatory effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/086—Access security using security domains
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
在计算设备中维持一个策略框架,且计算设备通过网络与企业网络中的策略服务器通信以接收一组策略指令。所述策略指令通过所述策略框架被执行,以实施控制移动计算设备对企业网络的资源的访问的一个或多个策略。
Description
技术领域
所公开的实施方案涉及策略实施和企业网络,且更具体而言涉及使用通过本地策略框架执行的策略指令实施针对企业网络的策略。
背景技术
企业网络提供了多种形式的远程访问,诸如通过虚拟专用网络(VPN)。然而,这样的网络对于未认证的访问是脆弱的。企业策略的使用为网络管理员提供了一种在允许远程访问和连接的同时保护企业网络的机制。
附图说明
图1示出了根据一个实施方案的一个客户端侧系统,在所述客户端侧系统中,从企业网络接收策略指令并在客户端系统上执行策略指令,以实施控制计算设备对企业网络资源的访问的企业策略。
图2示出了根据一个实施方案的一个网络侧系统,所述网络侧系统用于向客户端系统提供策略指令。
图3示出了根据一个实施方案的一个方法,所述方法用于使用策略指令来实施控制计算设备对企业资源的访问的企业策略。
图4示出了根据一个实施方案的一个方法,所述方法用于使用可执行的策略指令来实施来自网络的企业策略。
图5是示出了一个计算设备的方框图,在所述计算机设备上可实施关于图1或图3所述的实施方案。
图6示出了一个计算系统,在该计算系统上可以实施诸如图2所述的或图4的方法所设置的网络侧系统。
具体实施方式
这里所描述的实施例涉及通过使用向要求访问企业资源的计算设备传达的可执行指令,在计算设备上实施企业策略。
诸如在这里描述的实施例的优点包括但不限于,使得能够通过一种对于特定条件或设备高度可配置的方式为企业网络实施策略。例如,基于发出请求的设备的地理位置、请求的时间或甚至发出请求的特定设备,可以建立控制对企业资源的访问的企业策略。
根据一个实施方案,在所述计算设备上维持一个策略框架(policyframework),且所述计算设备通过网络与企业网络的策略服务器进行通信以接收一组策略指令。所述策略指令通过所述策略框架被执行,以实施控制移动计算设备对所述企业网络的资源的访问的一个或多个策略。
在另一个实施方案中,在企业网络上为访问该企业网络的计算设备实施策略。确定关于计算设备——在其上驻留(resident)一个用于访问该企业网络的策略框架——的信息。基于该策略框架,为该计算设备识别一组策略指令。当所述计算设备访问所述企业网络的一个或多个资源时,所述一组策略指令被传达到所述计算设备以便由所述计算设备的策略框架所执行。
这里使用的“程序化(programmatic)”、“程序化地(programmatically)”或其各种变型的含义是通过执行代码、程序或其他逻辑。进行一个程序化行为可以借助于软件、固件或硬件,且通常无用户介入,但不一定是自动的,所述行为可以是手动触发的。
实施这里描述的一个或多个实施方案可以使用程序化元件,通常称为模块或部件,但也可使用其他名称。像这样的程序化元件可包括一个程序、一个子例程、一个程序的一部分、或能够进行一个或多个规定的任务或功能的一个软件部件或硬件部件。如在这里用到的,一个模块或部件可以独立于其他模块/部件而存在于一个硬件部件内,或者一个模块/部件可以作为其他模块/部件、程序或机器的共享元件或进程。一个模块/部件可以驻留于一个机器上,如一个客户端或一个服务器上,或者可以分布在多个机器之间,诸如在多个客户端或服务器机器上。所描述的任何系统可以全部地或部分地在服务器上实施,或作为网络服务的一部分。或者,诸如本文所述的系统可以全部地或部分地在本地计算机或终端上实施。在任一种情况下,除非另有说明,一个系统的实施可使用存储器、处理器和网络资源(包括数据端口和信号线(光学的、电学的等))。
此外,在此处描述的一个或多个实施方案可以通过使用能够由一个或多个处理器执行的指令来实施。这些指令可以搭载在非瞬时性的计算机可读介质上。下图中所示的机器提供了处理器资源和非瞬时性的计算机可读介质的若干实施例,在所述计算机可读介质上能够执行和/或搭载有用于实施一个或多个实施方案的指令。例如,示出的用于一个或多个实施方案的机器包括处理器和用于保存数据和指令的各种形式的存储器。计算机可读介质的实施例包括永久性存储器存储设备,如个人计算机或服务器上的硬盘驱动器。其他计算机存储介质的实施例包括便携式存储单元(如CD或DVD单元)、闪速存储器(如许多手机和平板计算机所搭载的)和磁存储器。计算机、终端和支持网络的设备(例如便携式设备如手机)都是使用处理器、存储器和存储在计算机可读介质上的指令的机器和设备的实施例。
系统概述
图1示出了根据一个实施方案的一个客户端系统,在所述系统中,从企业网络接收策略指令,并在客户端系统上执行策略指令,以实施控制客户端计算设备对企业网络资源的访问的企业策略。根据一些实施方案,客户端系统100实施控制由客户端计算设备10对企业网络资源的在线访问和离线访问的策略。
客户端系统100可以在多种计算设备平台上实施,包括,例如,能够漫游连接的设备和/或移动的设备。举例来说,客户端系统100可以在一个计算设备上实施,所述计算设备对应于个人计算机、笔记本电脑、平板电脑、移动计算设备(如移动电话/数据设备)或能够与企业网络进行网络连接的其他计算形状因数或平台。这里所用的漫游设备指的是一个计算设备,其能够从一个广域网(诸如因特网)的不同节点建立与企业网络的无线网络连接。此外,如果客户端计算设备能够在没有实际连接到企业网络的情况下利用来自企业网络的资源,则客户端计算设备可以被认为具有对企业网络的“离线(offline)”访问。类似地,如果客户端计算设备主动地连接到企业网络,则客户端计算设备可以被认为具有对企业网络的“在线(online)”访问。
进一步参见图1的实施例,客户端系统100包括一个企业接口110,一个策略框架120,一个用户接口130,和一个认证引擎140。客户端系统100的部件可以安装在一个计算设备上,例如,作为应用,或作为应用层逻辑。在改型中,客户端系统100可作为下层部件例如操作系统层部件来操作。策略框架120可以对应于一个程序化部件,该程序化部件执行从企业网络201(见图2)传达来的策略指令。在一些实施方案中,策略框架120仅与策略指令125一起运作,策略指令125对应于程序化代码(例如,JavaScript)。例如,策略框架120可以包括驻留在客户端计算设备10上的一个JavaScript引擎,该JavaScript引擎执行对应于特定企业策略的JavaScript代码。如其他实施例描述的,策略指令125可以源于企业网络201,以控制对企业资源的访问。益处包括但不限于,通过策略框架120执行策略指令125使得企业策略能够在计算设备上实施,所述计算设备对于例如特定的条件或事件、计算设备或用户(或用户类别)以及被访问的资源都是高度特定的。
在一个实施方案中,当客户端系统100在线时,企业接口110连接到企业网络201并且与企业网络201对接。在实施企业访问时,客户端系统100可以实施一个认证进程,以确保对客户端系统100和/或企业网络201的访问是授权的。在一个实施方案中,客户端系统100和设备标识符101相关联,所述设备标识符101由客户端系统100(经由企业接口110)传达到企业网络201。客户端系统100(或者安装有客户端系统100的计算设备10)还可以实施控制对客户端系统100的访问的登录进程。这样,用户和计算设备10在对企业网络201的访问被允许之前均能够被认证。如由设备标识符101和/或登录信息(认证输入131)提供的认证信息和数据可存储在认证库126中。认证库126也可以包含由认证输入131得出的值。例如,可以由对已知的验证词组进行加密的认证输入产生一个密钥,而得到的加密值可被存储在认证库126中。
当客户端系统100在线时,企业接口110可以接收策略指令125。例如,在企业网络会话期间,企业接口110可以接收策略指令125,所述策略指令管制(regulate)未来对企业网络或对包含在企业网络中的特定企业资源的访问。策略指令库124可留置策略指令125。策略框架120可访问库124中的策略指令125,以实施一个或多个用于从企业网络201请求资源的策略。一些实施方案允许策略框架120在给定的时间段内(例如,由策略指令125指定的)不加区分地执行策略指令125。另外,一些实施方案设置策略框架120选择性地执行策略指令125,诸如响应于某些事件或条件。例如,在一个实施方式中,策略参数121可由计算设备10的本地资源11确定。本地资源11可包括例如计算设备10的硬件资源。举例来说,策略参数121可对应于下列中的一项或多项:(i)由计算设备10的地理感知资源确定的地理参数(例如由计算设备10的GPS资源确定的全球定位系统(GPS)坐标;蜂窝基站信息等);(ii)识别关于计算设备上使用中的端口的信息的参数,如端口是无线的(例如WiFi(例如802.11(a)(b)(g)或(n),蜂窝,WiMax)还是物理的,是公开的还是保密的抑或是以其他方式已知的);(iii)传声器输入(例如,使用语音识别以认证);和/或(iv)相机输入(例如,使用二维码或条形码)。作为替代或补充,策略参数121可以是动态的,因为策略参数可以在运行中确定,诸如响应于企业连接被建立或响应于企业连接有效。
作为补充或替代,策略参数121可以基于定时源17。定时源17可以对应于本地时钟资源或远程时钟资源。特别地,定时源17可以由包括以下的一个或多个源确定:(i)本地时钟,在计算设备10上,且可访问客户端系统100,(ii)企业时钟,在企业网络处确定(例如,当作出请求时),和/或(iii)通用的网络时钟,例如由网络源或位置确定。
这样,策略指令125可利用特定的策略参数121,所述策略参数121由计算设备10的本地资源11确定。然后可以执行策略指令125以实施例如特定于一个地理位置或一个时间段的策略。以类似的方式,策略指令125可以利用其他形式的本地资源11来实施遵从各种其他条件或事件的策略,如由计算设备10的本地资源11确定的。而且,可以使得对于客户端系统100的策略实施有地域性,且更具体地是特定于客户端系统100的当前位置。例如,一个漫游设备可以从一个位置被带到另一个位置,且随着位置的改变,在当前位置适用于该设备的特定的策略可能也要改变。位置的变化可以影响用户可以对什么企业资源进行本地访问和/或通过网络可以对什么企业资源进行访问。在这方面,客户端系统100可以实施地理围栏(geo-fenced)的企业策略。
根据一个实施方案,用户可以通过与用户接口130对接来操作客户端系统100。为了保持一个安全的环境,用户接口130可要求用户基于一个本地认证策略来进行登录进程。登录进程可以由策略指令125确定,所述策略指令是对策略框架120执行的,或作为客户端系统的固有部分。用户可以通过用户接口130提供认证输入131(例如,登录信息),而且认证输入131可以由认证引擎140接收。认证引擎140会将访问证书141(如根据认证输入131确定的)和存储在认证库126中的信息进行比较,以认证用户。一旦用户被认证,会从客户端系统100发出一个被授权的企业资源请求135。在一个实施方式中,当用户被认证时,被授权的企业资源请求135是基于用户的输入或请求通过用户接口130发出的。在改型中,企业网络201可以传达加密的且被客户端系统100使用的标记符(token)或“现时信息(nonce)”,以进行加密操作,所述加密操作保护存储在所述数据上的企业数据(例如,本地查看企业的存储文件)。
根据一些实施方案,请求135可以由客户端系统100的策略框架120处理,该策略框架120可以基于由当前的一组策略指令125实施的策略而允许或拒绝所述请求。请求135可以针对本地存储的企业资源,也可以针对企业访问和远程提供的企业资源。例如,当客户端系统100离线时,可以发出一个针对本地存储的企业资源的请求;当客户端系统100在线时,可以发出针对企业访问的请求。在在线的情况下,一个被允许的用户请求可以作为一个被管控的企业请求(policed enterpriserequest)139通过企业接口110被传递至企业网络201。在一些情况下,被管控的请求139可以导致企业资源123返回到客户端系统100且本地存储在客户端系统100上。在一个实施方式中,企业库122可以存储企业资源123。在离线的情况下,一个被允许的用户请求可以引发一个本地进程,所述本地进程产出一个先前从企业网络201获得的资源。当该用户请求不被允许时,策略框架120会阻止用户访问企业网络201,或者,阻止用户访问所述企业网络的本地存储的资源。举例说,一个关于访问本地存储的企业资源(例如,企业文件)的用户请求可受制于定时条件,所述定时条件由策略框架120使用相对应的一组策略指令125来实施。例如,如果用户请求发出过迟,则访问企业资源的用户请求则可能被拒绝。
图2示出了根据一个实施方案的一个网络侧系统,所述网络侧系统向客户端系统提供策略指令。特别地,图2示出了网络系统200的一个实施例,所述网络系统运行作为企业网络201的一部分,以产生策略指令并将策略指令传达至客户端系统100,从而实施用于控制客户端系统100对企业资源的访问的一个或多个企业策略。
参见图2,系统200包括一个策略服务器220,一个规则引擎228和一个管理员接口230。在一个实施方式中,系统200的策略服务器220可以驻留于企业网络201的防火墙205之后,而且可以和网络经纪人208通信。进而,网络经纪人208可以和客户端系统100通信,例如图1的实施例所示。管理员接口230使得管理员能够输入用于创建或指定策略指令的输入,所述输入对应于诸如通过JavaScript表达的程序化地执行代码。在一个实施方式中,管理员可以通过管理员接口230输入与(i)设备标识符(或设备类别)229和(ii)策略指令231相对应的输入。在另一个实施方式中,规则引擎228可以产生一个用户接口234,所述用户接口可以通过管理员接口230提供。用户接口234可以提供例如,一个选择菜单,管理员可以根据所述选择菜单提供选择输入233。规则引擎228将选择输入233转换成设备标识符229和策略指令231。
策略指令231可以存储在策略库225中。策略指令231可以和相对应的设备标识符229关联存储,在此设备标识符229对应于其上实施有客户端系统100的客户端设备10(见图1)。这样,对于诸多设备、设备类型或用户可以产生不同的策略指令231。由于每个客户端系统100均执行策略指令231,因此对于所实施的特定的企业策略,多个不同的客户端系统之间可以存在变化。这使得实施企业策略的方式相比于例如常规途径能够更加灵活,在常规途径中为终端设备提供一个通用的应用,该应用基于设备或用户类别等可以具有若干变化。
根据一个实施方案,策略服务器220可以包括一个策略输出部件222,一个策略框架224和一个服务器226。当个体设备发起各自的与企业网络201的在线会话时,基于由这些设备传达的设备标识符,策略输出部件222可以将指令从策略库225传达至特定设备。在一个实施方案中,当特定的设备连接至企业网络201时,策略输出部件222向这个特定的设备发出对应于策略指令231的一组JavaScript代码。
策略服务器220能够使用策略库225来确定什么策略指令231对于连接到企业网络201的客户端系统100是有效的。服务器220的策略框架224可以独立地批准或拒绝到来的请求221。在一个实施方式中,策略框架224可以确定与到来的请求221关联的设备标识符101(见图1),并且使用设备标识符229(其可以包含在来自计算设备的请求中)来从用于客户端设备10的策略库225中检索对应的一组策略指令231。策略框架224可以执行策略指令231,以实施特定于发出请求的设备的一个或多个策略。在一个实施方式中,策略框架224在发出请求的客户端系统100的请求被准许之前执行指令。在另一个改型中,策略框架224在该客户端系统100为发起与企业网络201的在线会话而发出连接请求时执行指令。再另外,在一个实施方案中,策略框架224独立于在发出请求的客户端系统100的策略框架120(见图1)上被执行的同一组指令而执行策略指令231。因此,当设备连接到企业网络201或请求企业网络的资源时,策略框架224可以作为控制个体客户端系统100对企业网络201的访问的冗余的或重复的策略实施部件而被实施。
服务器226可以响应来自客户端系统100的已授权的请求。在一个实施方式中,如果设备或请求被策略框架220批准,则服务器226响应请求221。在响应请求221时,响应到来的请求,服务器226可以访问219多种类型的企业资源,而且提供一个应答227,所述应答包括特定企业资源或提供对特定企业资源的访问。举例说,企业资源210可以包括企业数据资源212和企业服务214。发出请求的客户端系统100可以被准许的访问类型可包括:基于会话的访问,诸如当只要客户端系统100是在线(例如,被连接到企业网络201)的客户端系统100就可以访问特定的客户端资源;或离线访问,可以使得资源的一个复制件或一个版本能够被递送至客户端设备10。
方法论
图3示出了根据一个实施方案的一个方法,所述方法使用策略指令实施控制计算设备对企业资源的访问的企业策略。诸如由图3描述的实施例可以使用诸如关于图1的实施例描述的客户端系统所描述的部件来实施。因此,为说明用于进行将被描述的步骤或分步骤的合适的部件或功能,可以引用图1中的元件。
在图3中,用于访问企业网络的计算设备可以包括一个策略框架,所述策略框架包括执行对应于企业策略的程序代码的功能(步骤310)。在一个实施方案中,策略框架作为一个功能性容器或引擎,用来执行对应于策略指令的脚本。策略框架可以下载到计算设备,如漫游或移动计算设备,所述设备具有对相应的企业网络的间断访问。在一个实施方式中,策略框架可被维持作为驻留在一个漫游设备(例如平板电脑或移动计算设备)上的程序化元件,而该程序化元件可触发一个序列,在所述序列中企业网络递送与待要在一个设备上实施的、与所述设备在特定情况下访问企业网络的能力有关的策略相对应的脚本或其他程序化指令。
利用策略框架的计算设备接下来可以接收来自企业网络201的策略指令(步骤320)。在一些实施方式中,响应于计算设备的尝试行动,可以从企业网络接收脚本或其他程序化指令。例如,当计算设备尝试连接到企业网络201时,可以将一组策略指令递送到该设备。在其他改型中,基于设备的标识符,可以将程序化指令推送到那个设备。再另外,策略指令可以从网站下载,或者通过某种其他机构递送到该计算设备。
策略指令被执行,以实施一个或多个控制计算设备对企业资源的访问或使用的策略(步骤330)。实施的策略可以管制客户端计算设备10连接到企业网络201所在的当前会话,且通过策略指令实施的策略在会话结束后会过期。在一个改型中,策略指令使得多个策略在客户端计算设备10上生效(in force),直到策略服务器220发信号指示一个改变。再另外,策略指令可能会(i)持续一段时间后超时,(ii)对特定资源(例如,对于SharePoint访问,对于特定文件夹,或者诸如电子邮件等服务)有效,(iii)对企业网络的本地存储资源有效,和/或(iv)在未来的某一时间点(诸如用户下次连接企业网络201)有效。许多像这样的改型是可能的,特别是如何和何时为客户端计算设备10执行策略指令。
在一些实施方案中,策略框架120使用根据一个定时参数确定的信息来执行策略指令(步骤332)。定时参数可以由本地或网络资源确定。例如,计算设备10仅在紧接着该设备的前一访问请求之后的一段时间内被准许访问企业网络的本地存储资源。因此,例如,用户可以从企业资源210下载文件,且用户对文件的本地访问可以由按照计算设备10的时钟设置的策略所控制。
在另一个实施方式中,策略框架120使用根据客户端计算设备10的本地资源(例如,硬件资源)确定的信息执行策略指令(步骤334)。特别地,本地信息可以充当被利用在该计算设备上的策略的实施中的一个策略参数121。举例说,本地信息可以包括一个地理感知参数,诸如从驻留于计算设备上的GPS资源检索的一个坐标。像这样的本地信息可以被用来实施地理特定的或地理围栏的策略。例如,用户对企业网络201的访问可以基于用户居住在哪个州(假设用户在美国)来管制。或者,用户对企业网络201的访问可以根据用户居住在哪个国家来管制。例如,在欧洲,用户可以很容易地穿过不同国家的边界,而且每个国家可能有不同的规定或安全顾虑——这影响到企业网络可以通过什么方式使得其资源可用。
图4示出了根据一个实施方案一种方法,所述方法使用可执行的策略指令来实施来自网络的企业策略。诸如关于图4所描述的实施例可通过诸如关于图2的实施例所描述的网络侧系统所描述的部件来实施。因此,为说明用于进行所描述的步骤或分步骤的合适的部件或功能,可以引用图2中的元件。
根据一个实施方案,确定关于待要使用企业网络的计算设备的信息(步骤410)。所述信息可以包括客户端计算设备10的标识符101(见图1)。设备的标识符可以被运用到授权和认证过程中,特别地是如果客户端系统包含用于认证设备的用户的附加安全措施(诸如登录和密码)。
用于计算设备的策略指令被识别(步骤420)。具体地,管理员可为设备确定策略指令(例如,基于用户或设备)。管理员可以基于诸如下列因素为设备指定策略:设备是否安全、设备的形状因数、设备的操作系统、以及关于设备的用户类别等的其他信息。一个实施方案规定,基于设备的标识符,从例如策略库中检索用于该计算设备的策略指令。如关于图2的实施例所提到的,策略指令231可以由管理员的输入(例如通过规则引擎228作出的选择输入,直接从管理员传达过来的脚本或其他程序化指令,等等)产生。
策略指令可以被发信至计算设备(步骤430)。例如,当计算设备连接到企业网络201时,一组JavaScript代码可以被传达至该计算设备10。在一个改型中,该组JavaScript代码可以被推送至计算设备10。也可以使用其他传输机制将JavaScript代码递送至计算设备10,例如,使得JavaScript作为文件可用,计算设备10的用户可以从网络位置或源中检索到该文件。
可以从计算设备接收对企业资源的请求(步骤440)。在策略指令被传达至计算设备之后,该资源可以被接收到。或者,响应于用户的访问企业资源的请求,策略指令可以被传达至作为策略服务器220的一部分的设备。
对于上述两种情况中任一种,当计算设备10发出对企业资源的请求时,策略服务器220独立地检索适用于该计算设备的请求的策略指令231(步骤450)。上述检索可以基于在请求中所包含的信息,包括设备标识符101。
检索到的指令接下来在策略服务器220上被执行,以确定为计算设备10实施什么策略(步骤460)。因此,使用先前被传达至发出请求的计算设备10的同一组策略指令231,策略服务器220可以独立地确定发出请求的设备10的策略。
计算机系统
图5是一个框图,例示一个计算机设备,在该计算机设备上可以实施诸如关于图1或图3所描述的实施方案。举例说明,计算设备500可以对应一个漫游设备诸如:一个移动计算设备、一个平板电脑或一个笔记本电脑,所述漫游设备可以从因特网上的多个节点连接到企业网络。根据一些实施方案,计算设备500包括处理器510、存储器资源520、显示器设备530(例如,触觉感应显示器设备)、一个或多个通信子系统540(包括无线通信子系统)、输入机构550(例如,输入机构可以包括触觉感应显示器设备或是其一部分)、一个或多个位置检测机构(例如,GPS部件)560。在一个实施例中,至少一个通信子系统540通过数据信道和语音信道发送和接收蜂窝数据。
处理器510配置了软件和/或其他逻辑来进行关于实施方式所描述的——诸如通过图1或图3——以及本申请中其他地方所描述的一个或多个进程、步骤和其他功能。一个终端用户可以根据计算设备500上执行的但由企业管理员指定的策略指令来操作计算设备500以获得对企业资源的访问。因而,指令可以特定于设备、设备的类别、时间、设备的地理位置,和/或其他参数。
图6示出了一个计算机系统,在该系统上可实施诸如关于图2所描述的或按照图4的方法所提供的网络侧系统。在一个实施方案中,计算机系统600包括处理器604、存储器606(包括非易失性存储器)、存储设备610和通信接口618。计算机系统600包括至少一个用来处理信息的处理器604。计算机系统600还包括一个主存储器606,如随机访问存储器(RAM)或其他动态存储设备,用来存储信息和待要由处理器604执行的指令。主存储器606也可用来存储在执行待要由处理器604执行的指令被执行期间所产生的临时变量或其他中间信息。计算机系统600也可以包括一个只读存储器(ROM)或其他静态存储设备,用来为处理器604存储静态信息和指令。存储设备610(诸如磁盘或光盘)被提供用来存储信息和指令。通过使用网络链路620(无线或有线),通信接口618可以使得计算机系统600能够与一个或多个网络通信。
在一个实施方式中,存储器606可存储指令,所述指令用于实施诸如关于图2的实施例所描述的功能,或通过诸如关于图4所描述的实施例方法被实施。同样地,处理器604可执行指令,所述指令提供关于图2所描述的功能,或进行关于图4的实施例方法所描述的操作。
尽管参考附图详细地描述了示例性的实施方案,但本公开内容还涵盖了对具体实施方案和细节的改型。这里所描述的实施方案的范围旨在由权利要求和权利要求的等同物所限定。而且,已经设想到,不管是独立描述还是作为实施方案的一部分描述的特定特征都可以和其他独立描述的特征或其他实施方案的一部分相结合。因此,省略对所述结合的描述不应该排除发明人要求对上述结合的权利。
Claims (20)
1.一种在计算设备上实施企业策略的方法,所述方法由一个或多个处理器实施且包括:
在所述计算设备上维持一个策略框架;
通过一个网络与企业网络的策略服务器通信,以接收一组策略指令;
通过所述策略框架执行所述策略指令,以实施控制所述计算设备对所述企业网络的资源的访问的一个或多个策略;
其中执行所述策略指令包括:
(i)根据所述计算设备的一个或多个本地资源确定一个或多个策略参数;
(ii)访问所述企业网络以请求资源;
(iii)至少部分基于所述一个或多个策略参数来执行控制对所请求的资源的访问的策略指令。
2.根据权利要求1所述的方法,其中所述策略指令特定于所述计算设备,以使得所述计算设备实施特定于所述设备的策略。
3.根据权利要求1所述的方法,其中所述策略指令特定于所述计算设备的用户,以使得所述计算设备实施特定于所述计算设备的用户的策略。
4.根据权利要求1所述的方法,其中执行所述策略指令包括执行所述策略指令以实施特定于一个特定地理区域的策略。
5.根据权利要求1所述的方法,其中执行所述策略指令包括在所述计算设备上执行Javascript代码。
6.根据权利要求1所述的方法,还包括:从受所述策略框架控制的资源中接收所述策略框架。
7.根据权利要求1所述的方法,还包括:确定一个定时参数,且其中执行所述策略指令至少部分基于所述定时参数。
8.根据权利要求1所述的方法,其中确定所述一个或多个策略参数包括确定所述计算设备的位置,且其中执行所述策略指令至少部分基于所述地理参数。
9.根据权利要求8所述的方法,其中确定所述位置基于本地全球定位系统资源的使用。
10.根据权利要求1所述的方法,其中确定所述一个或多个策略参数包括确定在请求所述企业网络的资源的时间的一个动态参数。
11.根据权利要求1所述的方法,其中执行所述策略指令是响应于所述计算设备请求访问所述企业网络的资源而进行的。
12.一种实施针对企业网络的策略的方法,所述方法由一个或多个处理器实施且包括:
确定关于一计算设备的信息,在所述计算设备上驻留有用于访问所述企业网络的策略框架;
接收根据所述计算设备的硬件资源确定的一个或多个策略参数;
基于所述策略框架为所述计算设备识别一组策略指令,所述一组策略指令至少部分基于所述一个或多个策略参数;而且
在访问所述企业网络的一个或多个资源时,将所述一组策略指令传达至所述计算设备,以被所述计算设备的所述策略框架所执行。
13.根据权利要求12所述的方法,还包括:
从所述计算设备接收访问所述企业网络的资源的请求,所述计算设备根据通过执行所述一组指令中的一个或多个策略指令而实施的一个或多个策略发出所述请求;
在所述企业网络的一个策略服务器上,为发出请求的计算设备识别所述一组策略指令,并且在所述策略服务器上执行所述一组策略指令中的一个或多个策略指令,以实施在所述计算设备上实施的所述一个或多个策略。
14.根据权利要求12所述的方法,还包括:基于来自管理员的选择输入而产生所述一组策略指令。
15.根据权利要求14所述的方法,还包括:提供一个管理员接口,所述管理员接口识别一个策略指令列表以提示该管理员提供选择输入。
16.根据权利要求12所述的方法,其中所述一组策略指令是Javascript代码的形式。
17.根据权利要求13所述的方法,还包括,且其中执行所述一个或多个策略指令是基于根据所述计算设备的一个或多个硬件资源确定的所述一个或多个策略参数。
18.根据权利要求17所述的方法,其中所述一个或多个策略参数包括所述计算设备的位置,且其中执行所述一个或多个策略指令至少部分基于所述地理参数。
19.根据权利要求17所述的方法,其中接收所述一个或多个策略参数包括接收在请求所述企业网络的资源的时间的一个动态参数。
20.根据权利要求11所述的方法,还包括确定用于所述计算设备的一个定时参数,且其中识别所述一组策略指令至少部分基于所述定时参数。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201261614883P | 2012-03-23 | 2012-03-23 | |
| US61/614,883 | 2012-03-23 | ||
| US13/849,441 US9356933B2 (en) | 2012-03-23 | 2013-03-22 | Implementing policies for an enterprise network using policy instructions that are executed through a local policy framework |
| PCT/US2013/033614 WO2013142849A1 (en) | 2012-03-23 | 2013-03-22 | Implementing policies for an enterprise network using policy instructions that are executed through a local policy framework |
| US13/849,441 | 2013-03-22 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104322031A true CN104322031A (zh) | 2015-01-28 |
Family
ID=49213590
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380025498.0A Pending CN104322031A (zh) | 2012-03-23 | 2013-03-22 | 使用通过本地策略框架执行的策略指令实施针对企业网络的策略 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9356933B2 (zh) |
| EP (1) | EP2829035A1 (zh) |
| CN (1) | CN104322031A (zh) |
| WO (1) | WO2013142849A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108702360A (zh) * | 2016-02-15 | 2018-10-23 | 思科技术公司 | 使用动态网络属性的数字资产保护策略 |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8954520B2 (en) | 2010-11-12 | 2015-02-10 | Netapp, Inc. | Systems and methods for managing user-specific modifications to shared content on an individual basis |
| EP2829035A1 (en) | 2012-03-23 | 2015-01-28 | NetApp, Inc. | Implementing policies for an enterprise network using policy instructions that are executed through a local policy framework |
| US9535675B2 (en) | 2014-09-24 | 2017-01-03 | Oracle International Corporation | Rule based device enrollment |
| US9888377B1 (en) * | 2016-05-25 | 2018-02-06 | Symantec Corporation | Using personal computing device analytics as a knowledge based authentication source |
| US20220014551A1 (en) * | 2021-09-24 | 2022-01-13 | Intel Corporation | Method and apparatus to reduce risk of denial of service resource acquisition attacks in a data center |
Family Cites Families (58)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU5273100A (en) | 1999-05-17 | 2000-12-05 | Foxboro Company, The | Methods and apparatus for control configuration with versioning, security, composite blocks, edit selection, object swapping, formulaic values and other aspects |
| US6438594B1 (en) | 1999-08-31 | 2002-08-20 | Accenture Llp | Delivering service to a client via a locally addressable interface |
| US6609148B1 (en) | 1999-11-10 | 2003-08-19 | Randy Salo | Clients remote access to enterprise networks employing enterprise gateway servers in a centralized data center converting plurality of data requests for messaging and collaboration into a single request |
| US20020019827A1 (en) | 2000-06-05 | 2002-02-14 | Shiman Leon G. | Method and apparatus for managing documents in a centralized document repository system |
| GB0018042D0 (en) | 2000-07-21 | 2000-09-13 | Monsell Edm Ltd | Method of and software for recordal and validation of changes to markup language files |
| US7319992B2 (en) | 2000-09-25 | 2008-01-15 | The Mission Corporation | Method and apparatus for delivering a virtual reality environment |
| EP1359758A1 (en) | 2002-04-12 | 2003-11-05 | Hewlett Packard Company, a Delaware Corporation | Efficient encryption of image data |
| US20040044774A1 (en) | 2002-09-04 | 2004-03-04 | Ruchi Mangalik | System for providing content sharing and method therefor |
| US7363651B2 (en) | 2002-09-13 | 2008-04-22 | Sun Microsystems, Inc. | System for digital content access control |
| WO2004068376A1 (de) | 2003-01-30 | 2004-08-12 | Christoph Burkhard | Verfahren zur organisation der zusammenarbeit in einer projekt- oder entwicklungsgruppe mit mehreren teilnehmern |
| CA2515957C (en) | 2003-02-13 | 2016-07-12 | Truelink, Inc. | Methods, apparatuses and systems facilitating seamless, virtual integration of online membership models and services |
| US7290251B2 (en) | 2003-05-16 | 2007-10-30 | Microsoft Corporation | Method and system for providing a representation of merge conflicts in a three-way merge operation |
| US20040236752A1 (en) | 2003-05-19 | 2004-11-25 | Keli Han | Document sharing in a distributed server system |
| AU2003903994A0 (en) | 2003-07-31 | 2003-08-14 | Canon Kabushiki Kaisha | Collaborative editing with automatic layout |
| US8024560B1 (en) | 2004-10-12 | 2011-09-20 | Alten Alex I | Systems and methods for securing multimedia transmissions over the internet |
| US8245280B2 (en) | 2005-02-11 | 2012-08-14 | Samsung Electronics Co., Ltd. | System and method for user access control to content in a network |
| US20060258341A1 (en) | 2005-05-13 | 2006-11-16 | Microsoft Corporation | Mobile internet services discovery and/or provisioning |
| BRPI0520341A2 (pt) | 2005-06-23 | 2009-05-05 | Thomson Licensing | sistema e método de registro de dispositivo de acesso a multimìdia |
| US8554927B2 (en) | 2005-10-11 | 2013-10-08 | Lg Electronics Inc. | Method for sharing rights object in digital rights management and device and system thereof |
| US7716240B2 (en) * | 2005-12-29 | 2010-05-11 | Nextlabs, Inc. | Techniques and system to deploy policies intelligently |
| US7877409B2 (en) * | 2005-12-29 | 2011-01-25 | Nextlabs, Inc. | Preventing conflicts of interests between two or more groups using applications |
| US8300816B2 (en) | 2006-11-16 | 2012-10-30 | Sony Corporation | Information processing unit, terminal unit, information processing method, key generation method and program |
| US8140384B2 (en) | 2007-02-21 | 2012-03-20 | Unoweb, Inc. | Advertising revenue sharing |
| US20080216153A1 (en) | 2007-03-02 | 2008-09-04 | Aaltonen Janne L | Systems and methods for facilitating authentication of network devices |
| US20080222707A1 (en) | 2007-03-07 | 2008-09-11 | Qualcomm Incorporated | Systems and methods for controlling service access on a wireless communication device |
| US9058571B2 (en) | 2007-08-31 | 2015-06-16 | Red Hat, Inc. | Tool for automated transformation of a business process definition into a web application package |
| US8353052B2 (en) | 2007-09-03 | 2013-01-08 | Sony Mobile Communications Ab | Providing services to a guest device in a personal network |
| US20090094596A1 (en) | 2007-10-05 | 2009-04-09 | Scense B.V. | Systems and methods for an adaptive installation |
| US7818293B2 (en) | 2008-01-02 | 2010-10-19 | International Business Machines Corporation | Method and system to synchronize updated versions of a document edited on a collaborative site that are under document management control |
| US20090254529A1 (en) | 2008-04-04 | 2009-10-08 | Lev Goldentouch | Systems, methods and computer program products for content management |
| US8166119B2 (en) | 2008-04-25 | 2012-04-24 | T-Mobile Usa, Inc. | Messaging device for delivering messages to recipients based on availability and preferences of recipients |
| US20100005520A1 (en) | 2008-06-06 | 2010-01-07 | Mekey Llc | Personal area social networking |
| US9256425B2 (en) | 2008-09-09 | 2016-02-09 | Serena Software, Inc. | Versioning and refactoring of business mashups in on-demand environments |
| US8671274B2 (en) | 2008-10-28 | 2014-03-11 | Dell Products L.P. | Delivery of multiple third-party services to networked devices |
| US8635539B2 (en) | 2008-10-31 | 2014-01-21 | Microsoft Corporation | Web-based language translation memory compilation and application |
| US20100274646A1 (en) | 2009-04-24 | 2010-10-28 | Stor Networks, Inc. | System and Method for Improving E-Commerce |
| US20110072036A1 (en) | 2009-09-23 | 2011-03-24 | Microsoft Corporation | Page-based content storage system |
| US9325502B2 (en) | 2009-11-13 | 2016-04-26 | At&T Intellectual Property I, L.P. | Identity management for transactional content |
| US20110145899A1 (en) | 2009-12-10 | 2011-06-16 | Verisign, Inc. | Single Action Authentication via Mobile Devices |
| US8965955B2 (en) | 2009-12-23 | 2015-02-24 | Citrix Systems, Inc. | Systems and methods for policy based integration to horizontally deployed WAN optimization appliances |
| US20110173188A1 (en) | 2010-01-13 | 2011-07-14 | Oto Technologies, Llc | System and method for mobile document preview |
| WO2011091056A1 (en) * | 2010-01-19 | 2011-07-28 | Servicemesh, Inc. | System and method for a cloud computing abstraction layer |
| US8127350B2 (en) | 2010-06-30 | 2012-02-28 | Juniper Networks, Inc. | Multi-service VPN network client for mobile device |
| US8595806B1 (en) | 2010-09-21 | 2013-11-26 | Amazon Technologies, Inc. | Techniques for providing remote computing services |
| WO2012048262A2 (en) | 2010-10-08 | 2012-04-12 | Lumi Technologies, Inc. | Multi-phased and partitioned content preparation and delivery |
| US8954520B2 (en) | 2010-11-12 | 2015-02-10 | Netapp, Inc. | Systems and methods for managing user-specific modifications to shared content on an individual basis |
| US20120204235A1 (en) * | 2011-02-08 | 2012-08-09 | Joe Jaudon | Updating Resource Access Permissions in a Virtual Computing Environment |
| US8505085B2 (en) | 2011-04-08 | 2013-08-06 | Microsoft Corporation | Flexible authentication for online services with unreliable identity providers |
| US8973108B1 (en) | 2011-05-31 | 2015-03-03 | Amazon Technologies, Inc. | Use of metadata for computing resource access |
| US20130006845A1 (en) | 2011-06-29 | 2013-01-03 | Sociogramics, Inc. | Systems and methods for underwriting loans |
| WO2013063138A1 (en) | 2011-10-24 | 2013-05-02 | Iongrid, Inc | Systems and methods for content delivery |
| US20130111343A1 (en) | 2011-10-26 | 2013-05-02 | Gerd M. Ritter | Load balancing of user interface script execution |
| US20130111542A1 (en) * | 2011-10-31 | 2013-05-02 | Choung-Yaw Michael Shieh | Security policy tokenization |
| US9098312B2 (en) | 2011-11-16 | 2015-08-04 | Ptc Inc. | Methods for dynamically generating an application interface for a modeled entity and devices thereof |
| KR20130085856A (ko) | 2012-01-20 | 2013-07-30 | 한국전자통신연구원 | 이종 웹서비스의 조합 응용에서 웹서비스 호출을 위한 위젯 자동 생성 방법 및 그 장치 |
| EP2829035A1 (en) | 2012-03-23 | 2015-01-28 | NetApp, Inc. | Implementing policies for an enterprise network using policy instructions that are executed through a local policy framework |
| CN104685505B (zh) * | 2012-10-19 | 2018-01-09 | 迈克菲公司 | 场所感知安全装置、方法、系统与介质 |
| US20150143267A1 (en) | 2013-11-18 | 2015-05-21 | Nuwafin Holdings Ltd | SYSTEM AND METHOD FOR DEVELOPING A RULE-BASED EVENT-DRIVEN MULTI-LAYERED FRONTEND FOR BUSINESS SERVICES AND RENDERING THE GUIs ON MULTIPLE CLIENT DEVICES |
-
2013
- 2013-03-22 EP EP13715847.3A patent/EP2829035A1/en not_active Withdrawn
- 2013-03-22 CN CN201380025498.0A patent/CN104322031A/zh active Pending
- 2013-03-22 US US13/849,441 patent/US9356933B2/en active Active
- 2013-03-22 WO PCT/US2013/033614 patent/WO2013142849A1/en active Application Filing
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108702360A (zh) * | 2016-02-15 | 2018-10-23 | 思科技术公司 | 使用动态网络属性的数字资产保护策略 |
| CN108702360B (zh) * | 2016-02-15 | 2022-02-25 | 思科技术公司 | 使用动态网络属性的数字资产保护策略 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20130254834A1 (en) | 2013-09-26 |
| US9356933B2 (en) | 2016-05-31 |
| WO2013142849A1 (en) | 2013-09-26 |
| EP2829035A1 (en) | 2015-01-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12250220B2 (en) | Certificate based profile confirmation | |
| JP7225326B2 (ja) | ユーザアカウントと企業ワークスペースとの関連付け | |
| JP6033990B2 (ja) | 単一のフレキシブルかつプラガブルOAuthサーバを備える複数のリソースサーバ、OAuth保護したREST式OAuth許諾管理サービス、およびモバイルアプリケーションシングルサインオンするOAuthサービス | |
| US9038138B2 (en) | Device token protocol for authorization and persistent authentication shared across applications | |
| US10592226B2 (en) | Provisioning of applications deployed on client devices | |
| WO2018077169A1 (zh) | 镜像仓库授权、访问、管理方法、服务器和客户端 | |
| CA2982539C (en) | Method of operating a computing device, computing device and computer program | |
| US20170034216A1 (en) | Authorizing application access to virtual private network resource | |
| US20170288959A1 (en) | Configuring enterprise workspaces | |
| US20170222977A1 (en) | Configuring network security based on device management characteristics | |
| CN104322031A (zh) | 使用通过本地策略框架执行的策略指令实施针对企业网络的策略 | |
| US11669626B2 (en) | Resource access with use of bloom filters | |
| AU2019370092B2 (en) | Centralized authentication and authorization | |
| US11006278B2 (en) | Managing network resource permissions for applications using an application catalog | |
| WO2018196153A1 (zh) | 一种开放授权方法、装置和终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20150128 |