[go: up one dir, main page]

CN1901475A - 访问网络上计算机资源的管理方法和系统 - Google Patents

访问网络上计算机资源的管理方法和系统 Download PDF

Info

Publication number
CN1901475A
CN1901475A CNA2006100941532A CN200610094153A CN1901475A CN 1901475 A CN1901475 A CN 1901475A CN A2006100941532 A CNA2006100941532 A CN A2006100941532A CN 200610094153 A CN200610094153 A CN 200610094153A CN 1901475 A CN1901475 A CN 1901475A
Authority
CN
China
Prior art keywords
equipment
configuration
network
active user
resource
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA2006100941532A
Other languages
English (en)
Other versions
CN100450033C (zh
Inventor
小弗兰克·也
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of CN1901475A publication Critical patent/CN1901475A/zh
Application granted granted Critical
Publication of CN100450033C publication Critical patent/CN100450033C/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

管理对网络上计算机资源的访问,包括在网络上的网络访问控制模块中,从与网络通信连接的设备接收访问网络上资源的请求,该请求包括表示所述设备的标识、所述设备当前用户的标识以及所述设备的当前配置的计算机数据;以及所述网络访问控制模块根据所述设备的标识、所述当前用户的标识、所述设备的当前配置以及对当前用户授权设备的配置,准许所述设备访问网络上资源。

Description

访问网络上计算机资源的管理方法和系统
技术领域
本发明的领域是数据处理,更具体地说,本发明涉及访问网络上计算机资源的管理方法、系统和产品。
背景技术
1948年开发的EDVAC计算机系统往往被引证为计算机时代的开始。从此以后,计算机系统已经发展成为极端复杂的设备。今天的计算机比早期的系统比如EDVAC要深奥的多。典型的计算机系统组合了硬件和软件部分、应用程序、操作系统、处理器、总线、存储器、输入/输出设备等等。随着半导体处理技术和计算机体系结构的进步,推动着计算机性能的越来越高,已经开发了更加成熟的计算机软件,能够利用这种更高性能的硬件,使得今天的计算机系统比短短几年前的系统要强大的多。
由于销售或雇员的增加,商家和政府部门的计算机资源需求往往随时间而增加。在同一段时间,由于日复一日运行的高峰和低谷,或由于季节变化、周期结束或特殊促销所增加的负荷不可避免,资源需求可能剧烈地波动。一段时间内的高峰资源需求与低谷资源需求可能有天壤之别。为了一直保持有效,商家的计算机化资源必须充足,以满足商家的当前波动需求以及由于增长而引发的需求。
为了解决这种波动和日益增长的资源需求,客户通常购买的计算资源能够至少满足其当前高峰需求,同时为将来有可能升高的需求做出计划。所以为了容纳商业增长和商业运行的高峰和低谷,客户面临的前景是比当前所需更多地投资于计算机化资源。因而,在任何给定时间,客户都可能计算容量过剩——非常真实的成本。对任何计算机客户,这些成本都可能是一项主要支出。
为了解决这个问题,若干计算体系结构支持“按需容量”,允许客户拥有的计算机资源多于他们已经支付的。当由于临时出现的高峰需要或持续增长,使得资源需求增加时,客户可以购买或租赁已经安装在他们计算机上但是尚未激活的附加计算机资源。这些客户可以以密码即授权启用码的形式获得授权,临时地或永久地激活附加资源。
随着设备总数的扩大,今天的设备管理正在变得更加复杂。由于引入了新的技术和接入方法,使得用户能够经由网络访问数据和信息的设备已经大为增加。设备管理包括设备组成部件或其上所安装部件的管理。这些部件既包括硬件,也包括软件。随着企业和组织通过因特网披露越来越多的数据,更多的人们现在以更多的方式访问这些数据,而且对包括硬件和软件部分的设备进行管理已经变成主要问题。
当前的解决方案提供了用户标识管理,包括对用户提供执行作业所需的所有凭证,而不包括访问对用户未授权的资源——全部基于对客户设计的策略。用户凭证是允许或拒绝访问的密钥,所以通过管理用户凭证而实现了管理用户对资源的访问。凭证可以采用帐户的形式,用于登录/密码询问授权因子;生物特征标识的形式,由生物测定授权因子使用;公钥基础结构(“PKI”)证书的形式,能够被网络应用程序使用;令牌或智能卡以及能够被授权和授权因子使用的任何其他物体的形式,根据用户标识允许或拒绝对某物的访问。
除了标识管理之外,当前还有许多应用程序,用于设备配置管理、随选资源管理,某个用户机构可以拥有这些资源,而且可以或不可以被授权使用。设备配置管理方案能够跟踪和管理注册的设备以及设备中多种可配置组件。这些可配置的组件有可能是硬件或软件,或者内容——其范围从设备的完全影像到针对软件补丁或许可证的注册设置。设备配置管理方案努力确保所配置的设备具有根据客户定义的策略它应有的一切硬件和软件组件。
所以在当前技术中,仍然存在标识和凭证的管理以及设备配置管理,不过,两者之间没有关系。能够跟踪用户标识和凭证的当前解决方案没有与能够管理设备组件和配置的解决方案整合。能够跟踪设备硬件和软件记载、设备当前配置以及作为对特定用户已经授权设备的配置的解决方案尚未面世。能够利用授权用户的标识协调设备配置的解决方案尚未面世。
发明内容
所公开的方法、系统和产品用于管理对网络上计算机资源的访问,包括在网络上的网络访问控制模块中,从与网络通信连接的设备接收访问网络上资源的请求,该请求包括表示所述设备的标识、所述设备当前用户的标识以及所述设备的当前配置的计算机数据;以及所述网络访问控制模块根据所述设备的标识、所述当前用户的标识、所述设备的当前配置以及对当前用户授权设备的配置,准许所述设备访问网络上资源。
通过本发明示范实施例的以下更具体的说明,如附图所示(其中相同的引用号通常表示本发明示范实施例的相同部分),本发明的以上和其他目的、特征和优点将会显而易见。
附图简要说明
图1描绘了一幅网络图,展示了根据本发明实施例对网络上计算机资源的访问进行管理的示范系统;
图2描绘了一幅数据流图,展示了根据本发明实施例对网络上计算机资源的访问进行管理的进一步示范系统的运行;
图3描绘了示范数据结构的绘线图,该数据结构用于根据本发明实施例对网络上计算机资源的访问进行管理的系统中;
图4描绘了自动计算机器的框图,包括根据本发明实施例对网络上计算机资源的访问进行管理中所使用的示范计算机;
图5描绘了一幅流程图,展示了根据本发明实施例对网络上计算机资源的访问进行管理的示范方法;
图6描绘了一幅流程图,展示了根据本发明实施例授权访问网络上资源的示范方法;
图7描绘了一幅流程图,展示了根据本发明实施例使设备重新配置到对当前用户授权设备的配置的示范方法;
图8描绘了一幅处理流程图,展示了根据本发明实施例对网络上计算机资源的访问进行管理的进一步示范方法。
具体实施方式
所公开的方法、系统和产品用于管理对网络上计算机资源的访问,包括在网络上的网络访问控制模块中,从与网络通信连接的设备接收访问网络上资源的请求,该请求包括表示所述设备的标识、所述设备当前用户的标识以及所述设备的当前配置的计算机数据;以及所述网络访问控制模块根据所述设备的标识、所述当前用户的标识、所述设备的当前配置以及对当前用户授权设备的配置,许可所述设备访问网络上资源。
根据本发明实施例对网络上计算机资源的访问进行管理的示范方法、系统和产品,将参考附图进行介绍,从图1开始。图1描绘了一幅网络图,展示了根据本发明实施例对网络上计算机资源的访问进行管理的示范系统。一般来说,图1的系统运行为根据本发明实施例对访问网络上计算机资源(102)进行管理,方式如下:在网络(100)上的网络访问控制模块(435)中,从与网络(100)通信连接的设备(105)处接收访问网络上资源(102)的请求,该请求包括表示所述设备的标识、所述设备当前用户的标识以及所述设备的当前配置的计算机数据。图1的系统也运行为根据本发明实施例对网络上计算机资源的访问进行管理,方式如下:所述网络访问控制模块(435)根据所述设备的标识、所述当前用户的标识、所述设备的当前配置以及对当前用户授权设备的配置,许可所述设备(105)访问网络上资源(102)。
本说明书中使用的术语“网络”是指两台或多台计算机之间用于数据通信的任何网络化连接。典型情况下的网络数据通信以称为路由器的专用计算机实施。典型情况下,网络实施数据通信的方式为在消息中封装计算机数据,然后将消息从一台计算机路由到另一台计算机。一种熟知的网络实例是“因特网”,一种若干计算机的互连系统,依照在IETF的RFC 791说明的“因特网协议”相互通信。可用于本发明多种实施例的其他网络实例包括内联网、外联网、局域网(”LAN”)、广域网(”WAN”)、虚拟专用网(”VPN”)以及本领域技术人员将设想出的其他网络布局。典型情况下,LAN是一种网络,连接着计算机、字处理机和其他电子办公设备,创建了办公室之间对通信系统。虚拟专用网是使用公共线路连接节点所构建的网络,但是包含了附加的安全特征。例如,许多网络使用因特网作为媒介传输数据。这些网络使用加密和其他安全机制确保只有授权的用户才能访问网络,而且该数据不能被截取。
图1的系统包括数据通信网络(100),它支持与网络通信连接的设备(105)之间的数据通信;网络资源(102);域服务器(148)和重新配置服务器(152)。图1的系统包括的几台设备(105)与网络通信连接,并且能够请求访问网络(100)上的资源,包括:
工作站(104)——通过线路连接(116)连接到网络(100)的计算机;
个人计算机(103)——通过线路连接(119)连接到网络(100);
移动电话(110)——通过无线连接(118)连接到网络(100);
膝上计算机(126)——通过无线连接(114)连接到网络(100);
个人数字助理(112)——通过无线连接(113)连接到网络(100)。
图1的系统还包括若干网络资源(102)。网络资源就是与网络通信连接的另一台设备能够跨网络使用的任何计算机资源或设备。网络资源的实例通常包括软件应用程序、数据文件、计算设备以及计算机外围设备,它们通信连接到网络,并且使之为其他设备或其他设备上运行的程序可用。在图1的实例中,网络资源表示为打印机(430)、数据存储(432)、数据库服务器(106)、网络服务器(108)和网络文件系统(107)。打印机(430)、数据库服务器(106)、网络服务器(108)和网络文件系统(107)分别通过线路连接(138、132、134和136)连接到网络(100)。数据存储(432)分别通过线路连接(142、144和146)连接到数据库服务器(106)、网络服务器(108)和网络文件系统(107)。因此,设备(105)之一能够通过连接三台服务器(106、108和107)中任何一台访问数据存储(432)中的文件。网络资源还可以包括在上图中未显示的其他服务器和其他资源。
图1的系统还包括域服务器(148),其中安装和运行着网络访问控制模块(435)的域服务器。域服务器运行网络访问控制模块,在用户登录时验证用户,并且授予其使用网络资源的适当许可。典型情况下,这种域服务器保留着数据库,往往以目录的形式记录着访问网络的用户。在图1的实例中,网络访问控制模块(435)从与网络通信连接的设备(105)处接收访问网络资源的请求,并且处理这些请求。典型情况下,访问网络资源的请求包括的计算机数据表示了设备的标识、所述设备当前用户的标识以及所述设备的当前配置。网络访问控制模块(435)依据所述设备的标识、所述当前用户的标识、所述设备的当前配置以及对所述设备当前用户所授权设备的配置,许可设备(105)访问网络上资源(102)。可以一开始就开发网络访问控制模块(435),以便执行根据本发明实施例的对访问网络上计算机资源的管理。作为替代,也可以改进现有的网络访问控制解决方案,以便执行根据本发明实施例的对访问网络上计算机资源的管理。现有网络访问控制解决方案的实例包括Cisco系统的Network AdmissionContrl(‘NAC’)、Trusted Computing Group的Trusted NetworkConnect(‘TNC’)以及微软的Network Access Protection(‘NAP’)。
图1的系统还包括重新配置服务器(152),其中安装了重新配置服务(216)的服务器。重新配置服务(216)可以接收设备(105)的配置,换言之,授权给所述设备当前用户的配置,并且可以向所述设备(105)传送授权启用代码,根据本发明实施例作为对当前用户所授权的设备进行配置。重新配置服务器(152)通过线路连接(140)连接到网络(100)。
服务器和其他设备的布局组成了图1中所示的示范系统,这是为了说明,而不是限制。在图1的系统中,网络资源(102)、域服务器(148)和若干设备(105)都驻留在单一网络上。不过,网络资源(102)和域服务器(148)可以通过LAN或VPN或另一个网络相连。根据本发明多种实施例,有用的网络资源(102)、与网络通信连接的设备(105)、重新配置服务器(152)和域服务器(148)可以包括图1中未显示的附加服务器、路由器、其他设备以及对等式体系结构,并且能够以本领域技术人员将设想出的布局安排。在这些数据处理系统中的网络可以支持许多数据通信协议,包括例如TCP/IP、HTTP、WAP、HDTP以及本领域技术人员将设想出的其他协议。除了图1展示的硬件平台之外,本发明的多种实施例还可以在多种硬件平台上实施。
图2描绘了一幅数据流图,展示了根据本发明实施例对网络上计算机资源的访问进行管理的进一步示范系统的运行。图2的系统包括与网络通信连接的设备——此处表示为个人计算机(103)、网络访问控制模块(435)、重新配置服务(216)以及用户的授权设备配置的数据库(300)。当前用户(202)向个人计算机(103)提供用户标识(204)。用户向个人计算机(103)提供其标识验证的形式可以是登录和密码、视网膜扫描、指纹、RFID标签代码、声波纹或本领域技术人员将设想出的其他方法。个人计算机(103)向网络访问控制模块(435)传送网络资源的访问请求(404),包含个人计算机(103)的标识、个人计算机当前用户(202)的标识以及个人计算机当前的配置。
网络访问控制模块(435)从数据库(300)检索为当前用户授权的个人计算机配置,并将授权的配置与当前配置比较。如果当前配置不是为当前用户授权的个人计算机配置,网络访问控制模块就向个人计算机(103)传送URL(226),它提供了重新配置服务(216)和为当前用户授权设备的配置(228)的网络位置。在图2的实例中,个人计算机(103)根据从网络访问控制模块收到的URL,向重新配置服务(216)发送为当前用户授权的个人计算机配置(228)。
重新配置服务(216)从存储器检索或通过计算建立所需的授权启用代码(230),以便将个人计算机(103)重新配置为授权给当前用户的配置,并将启用代码传输至以通信连接的设备(103)。可能需要一个或多个启用代码,取决于个人计算机(103)上有多少硬件或软件部件将要启用(或停用)。重新配置服务(216)可以从制造商或零售商的在线数据库(432)检索每个此类代码,也可以根据个人计算机(103)上现有硬件和软件的制造商或零售商提供的算法实时地计算这些代码。
同样,为了响应重定向至重新配置服务器的访问请求,重新配置服务(216)可以向发出请求的设备传送一个或多个软件对象(517),进行对所述用户授权设备的配置。授权配置所需的软件对象即软件部件可能不在当前的实际配置中。如果的确如此,仅仅启用代码将不足以启用其用途;那么,重新配置模块可以有效地提供实际的软件部件本身。在这点上,有益的是注意到软件对象可以不仅是配置要素本身,而且软件对象也可以对配置的其他要素具有启用效果,例如,当提供的软件对象——如驱动程序——实际上启用硬件部件的使用时,没有该驱动程序它便毫无用途。
由重新配置服务为了进行对所述用户授权设备的配置而提供的软件对象,可以包括例如应用模块即整个软件应用程序、中间件、操作系统模块和工具比如刚刚提及的驱动程序以及启用对若干资源访问的凭证——包括对授权配置要素的访问。由重新配置服务为了进行对所述用户授权设备的配置而提供的软件对象,还可以包括应用内容,例如音频文件、视频片段、文本文档和数据文件。
重新配置服务(216)可以从个人计算机(103)接收个人计算机(103)对当前用户(202)授权的的配置,如图2所示。作为替代,如数据库(300)和重新配置服务(216)之间的虚线箭头(301)所示,重新配置服务(216)也可以从数据库(300)获得个人计算机(103)对当前用户(202)授权的的配置。在重新配置服务(216)从数据库(300)获得授权配置的系统中,网络访问控制模块(435)可以向个人计算机(103)仅仅传送重新配置服务(216)的URL(226)。
作为进一步替代,利用个人计算机(103)的非易失性存储器中的重新配置服务的网络位置,也可以配置个人计算机(103)。在如此配置的系统中,网络访问控制模块(435),确定当前配置不是授权给当前用户的个人计算机配置后,仅仅需要向个人计算机传送授权的配置。事实上,个人计算机有可能已经得知从何处寻找重新配置服务,所以,网络访问控制模块的响应可能不必包括重新配置服务的URL(226)。要是这种系统中的重新配置服务被配置为从数据库(300)获得所授权的配置,那么网络访问控制模块就不必向个人计算机传送所授权的配置。反之,网络访问控制模块发出的、使访问请求重新定向至重新配置服务的响应可以仅仅包含一条消息,以达到需要重新配置的要求——包括设备的标识和当前用户的标识。
为了进一步的说明,图3描绘了若干系统中使用的示范数据结构的绘线图,根据本发明实施例对网络上计算机资源的访问进行管理。图3的示范数据结构包括配置记录结构(300),其每个例示都可以用于表示对一个或多个当前用户授权设备的配置。图3的配置记录(300)包括设备类型字段(338),它可以用于记录设备类型,例如,个人计算机、膝上计算机、工作站、PDA或本领域技术人员所能想到的其他类型。图3的配置记录(300)还包括识别特定配置的配置标识字段(339)。
图3的配置记录(300)包括操作系统字段(312),它可以用于识别在设备上运行的操作系统,比如,UNIXTM、LinuxTM、MicrosoftNTTM、AIXTM或IBM的i5/OSTM。图3的配置记录(300)包括一个或多个驱动程序字段(314),它可以用于记录在设备上驻留的设备驱动程序。图3的配置记录(300)包括一个或多个应用程序字段(318),它可以用于记录在设备上驻留的一个或多个应用程序。这些应用程序可以包括字处理、电子表格、防毒软件或通信软件。图3的配置记录(300)包括一个或多个中间件字段(316),它可以用于记录在设备上驻留的中间件。中间件是用作转换或传输层的软件。中间件使一个应用程序能够与运行在不同平台或从不同零售商发行的另一个应用程序通信。中间件的实例包括Java Messaging ServiceTM(‘JMS’)和Common Object Reqest Broker Architecture(‘CORBA’)。
图3的配置记录(300)包括一个或多个硬件字段(317),它可以用于记录在该设备上启用的硬件。硬件可以包括适于在该设备上安装和启用的任何计算机硬件,包括例如处理器、内存、数据通信适配器以及非易失性存储器。图3的配置记录(300)包括一个或多个应用程序配置内容字段(334),它可以用于记录在该设备上驻留的应用程序配置,例如最新版本的防毒软件或驻留防火墙的配置。图3的配置记录(300)包括一个或多个凭证字段(336),它可以用于记录在该设备上存储的凭证。凭证通过鉴别用户的标识或显示访问资源的权限,使当前用户能够经由网络访问资源。凭证可以包括公钥或私钥基础结构所涉及的证书和密钥、安装在设备上的安全令牌、使用本地安装软件的许可证以及高速缓存的用户ID和口令字。
图3的示范数据结构包括了表示设备的记录结构(310)。图3的设备记录(310)包括设备标识字段(373),它可以用于记录该设备的唯一标识。标识可以是永恒的。多种系统比如IBM嵌入式安全系统(‘ESS’)能够提供带有唯一标识的设备。例如,IBM嵌入式安全芯片——ESS的组件——是某种程度的智能卡芯片,可以直接置于设备的主板上。设备的唯一标识可以存储在该设备上安装的IBM嵌入式安全芯片中。
媒介访问控制(‘MAC’)地址也可以用作设备标识。MAC地址是6个字节的标识码,例如al-c2-e3-44-5f-6d,唯一地标识网络上的节点,如个人计算机。节点的通信硬件包含此码。例如,每个网络适配器、调制解调器和以太网卡都具有MAC地址,永久地嵌入在该设备中。即使是来自同一制造商两个相同的模型也将具有截然不同的MAC地址。MAC地址可以由网络以及该设备上安装的计算机或其他处理装备的操作系统读取。
图3的设备记录(310)包括设备类型字段(338),它标识设备的类型,例如便携机、工作站或PDA的类型。图3的设备记录(310)包括描述字段(375),用于存储该设备的描述文本,例如名称或型号等。
图3的示范数据结构包括了表示用户帐户的记录结构(340)。每个用户帐户记录表示一位用户,他具有访问系统中计算机资源的授权。图3的用户帐户记录(340)包括用户名字段(344),它标识用户,比如设备的当前用户。图3的用户帐户记录(340)包括密码字段(346),用于记录登录时鉴别用户所用的口令字或其他凭证。
图3的示范数据结构包括了表示设备当前用户的工作组的记录结构(360)。工作组可以是企业中的组织,包括例如管理、销售、技术支持或生产。图3的工作组记录(360)包括工作组标识字段(361),可以用于记录工作组的唯一标识符。标识符可以是名称或号码。图3的工作组记录(360)包括描述字段(362),可以用于记录工作组的描述文本。
图3的示范数据结构包括说明设备当前用户角色的记录结构(370)。角色的实例包括桌面助手管理员(Help Desk Administrator)或现场销售代表。图3的角色记录(370)包括角色标识字段(371),可以用于记录角色的唯一标识符。标识符可以是名称或号码。图3的角色记录(370)包括描述字段(372),可以用于记录对角色的描述。
图3的剩余示范数据结构包括链接记录,也称为关联或交叉记录,用于链接实体,协调这些实体之间的多对多关系。例如,多对多关系存在于若干设备和若干用户之间。一个用户可以访问多台设备,在家为便携机,旅行时为PDA,在办公室为工作站。同样,一台设备也可以被多个用户访问。公司中倒班运行的工作站可以白天由一个人使用,晚间则由另一个人使用。两个实体之间的链接记录表示各个实体实例之间的关系。在图3的示范数据结构中,这种链接记录的实例是表示配置链接的链接记录(320)。每个配置链接记录(320)都表示了授权给特定用户的设备配置。图3的配置链接记录(320)包括用户名字段(344),可以用于记录设备当前用户的名字。图3的配置链接记录(320)包括设备标识字段(373),可以用于记录该设备的标识。
根据本发明实施例,网络资源访问管理的某些系统根据设备配置收取网络访问费。在这些系统中,授权给当前用户的设备配置事实上可以是以指定价格授权给当前用户的设备配置。通过包括价格数据元素比如图3中引用(341)所展示的,可以提供对这些系统的数据结构支持。在配置链接记录(320)中的价格字段(341)标识一种价格,例如时间单位费率,用户(344)从具有特定配置(339)的设备(373)可以按此费率访问网络资源。
用户名(344)用作外键,实施用户账户(340)和配置链接(320)之间一对多的关系。设备ID(373)和配置ID(339)一起用作唯一外键,实施配置记录(300)和配置链接(320)之间一对多的关系。所以,配置链接记录(320)实施某个用户(340)和某台设备(300)配置之间多对多的关系。
注意,配置链接的内容是访问计算机资源的请求(参考图5上404)、当前用户(344)的标识、配置标识(339)以及设备标识(373)中的数据元素。在某些实施例中,至少通过网络访问控制模块查寻配置链接表中的记录,可以判断设备的当前配置是否授权给当前用户。如果具有与访问请求相同配置ID、用户ID和设备ID的记录存在,则所述设备的当前配置与授权的配置相同。
图3的示范数据结构包括了表示角色-用户链接的链接记录结构(330),实施若干角色(370)和若干用户(340)之间的多对多关系。多个用户可以填充相同的角色。例如,某个部门可以雇用许多销售代表。同样,某个用户也可以充填多个角色。用户可以同时用作经理和销售代表。图3的角色-用户链接记录(330)包括用户名字段(344),可以用于记录设备当前用户的名字。图3的角色-用户链接记录(330)包括角色标识字段(371),可以用于记录角色的标识,比如名字或号码。
图3的示范数据结构包括了表示工作组-用户链接的链接记录结构(325),实施若干工作组(360)和若干用户(340)之间的多对多关系。多个用户可以属于同一个工作组。例如,许多用户可以为某个具体部门工作。同样,某个用户也可以属于多个工作组。用户可以属于销售工作组和管理工作组。图3的工作组-用户链接记录(325)包括用户名字段(344),可以用于记录设备用户的名字。图3的工作组-用户链接记录(325)包括工作组标识字段(361),可以用于记录工作组的标识,比如名称或号码。
一般来说,根据本发明对网络上计算机资源访问进行管理是利用计算机实施,即利用自动计算机器实施。例如在图1的系统中,一切服务器、资源和其他设备至少在某种程度上以计算机实施。所以,为了进一步说明,图4描绘了自动计算机器的框图,包括示范计算机(186),用于根据本发明实施例对网络计算机资源访问进行管理。图4的计算机(186)包括至少一台计算机处理器(156)即‘CPU’以及随机存储器(168)(“RAM”),它通过系统总线(160)与计算机的处理器(156)和其他组件相连。
在RAM(168)中存储的是用户和设备管理模块(212),这些计算机程序指令用于注册用户和计算设备,以及当计算设备的用户请求访问网络资源时,验证用户和计算设备的注册。在RAM(168)中存储的还有网络访问控制模块(435),一组改进的计算机程序指令,根据本发明实施例对网络上计算机资源访问进行管理。网络访问控制模块(435)的计算机程序指令包括从与网络通信连接的设备接收网络上资源访问请求的指令,该请求包括的计算机数据表示了设备标识、所述设备当前用户的标识以及所述设备当前的配置。网络访问控制模块(435)也包括根据所述设备的标识、所述当前用户的标识、所述设备的当前配置以及对当前用户授权设备的配置,准许所述设备访问网络上资源的指令。
在RAM(168)中存储的还有重新配置服务(216),改进为根据本发明实施例对网络上计算机资源访问进行管理。重新配置服务(216)的计算机程序指令包括一组计算机程序指令,用于与通信连接到网络设备进行通信,接收对所述设备当前用户授权设备的配置,以及传送设备授权启用代码,以便进行对当前用户所授权设备的配置。
在RAM(168)中存储的还有操作系统(154)。根据本发明实施例,在计算机中所用的操作系统包括UNIXTM、LinuxTM、MicrosoftNTTM、AIXTM、IBM的i5/OSTM以及本领域技术人员将设想出的其他系统。图4实例中的操作系统(154)、用户和设备管理模块(212)、网络访问控制模块(435)以及重新配置服务(216)显示在RAM(168)中,但是典型情况下,这种软件的许多组件也存储在非易失性存储器(166)中。
图4的计算机(186)包括非易失性存储器(166),经由系统总线(160)连接到计算机(186)的处理器(156)和其他组件。非易失性存储器(166)可以实施为硬盘驱动器(170)、光盘驱动器(172)、电擦除可编程只读存储器空间(所谓的‘EEPROM’或‘闪’存)(174)、RAM驱动器(未显示),或本领域技术人员将设想出的任何其他类型计算机存储器。
图4的计算机实例包括一个或多个输入/输出接口适配器(178)。计算机中的输入/输出接口适配器经由例如软件驱动程序和计算机硬件实现了面向用户的输入/输出,用于控制向显示设备(180)的输出,比如计算机显示屏幕,以及来自用户输入设备(181)的用户输入,比如键盘和鼠标。
图4的示范计算机(186)包括通信适配器(167),用于实现与其他计算机(182)的数据通信(184)。所述其他计算机(182)可以包括通信连接到网络的设备,它们请求访问网络上的资源。实施这些数据通信可以经由串行的RS-232连接、经由外部总线比如USB、经由数据通信网络比如IP网络,以及本领域技术人员将设想出的其他方式。通信适配器实现硬件层次的数据通信,一台计算机经由它直接地,或经由网络向另一台计算机发送数据通信。根据本发明实施例,对网络上计算机资源访问进行管理有益的通信适配器实例包括有线拨号上网通信所用的调制解调器,有线网络通信所用的以太网(IEEE802.3)适配器,以及无线网络通信所用的802.11b适配器。
为了进一步说明,图5描绘了一幅流程图,展示了根据本发明实施例对网络上计算机资源访问进行管理的示范方法,包括网络访问控制模块(435)中在网络(参考图1上100)上从与网络通信连接的设备(402)接收(412)网络上资源的访问请求(404)。在图5的实例中,所述请求(404)包括的计算机数据(405)表示设备标识(406)、设备当前用户的标识(408)以及设备的当前配置(410)。
在图5的实例中,所述请求(404)的形式可以是从设备(402)到网络访问控制模块(435)的登录消息。接收(412)网络上资源的访问请求(404)可以作为接收和处理从设备(402)到网络访问控制模块(435)登录消息的组成部分来完成。例如,当运行Windows NT并与网络通信连接的计算机发出登录请求时,在计算机上安装的和运行的服务可以在该计算机和域服务器之间创建通信链接,并且传递该登录请求。在域服务器上安装的域控制器——此处表示为网络服务控制模块(435)——接收和处理所述登录消息。计算机资源的访问请求也可以实现为创建到资源的符号链接请求,换言之,将共享的网络资源,比如共享的文件系统或磁盘驱动器映射到与网络连接的设备。此外,计算机资源的访问请求也可以实现为本领域技术人员将设想出的其他方式,而且所有这些方式都确实在本专利申请的范围之内。
所述请求(404)包括的计算机数据(405)表示所述设备标识(406)、所述设备当前用户标识(408)以及所述设备当前配置(410)。设备标识可以是该设备的唯一设备标识,比如IBM嵌入式安全芯片上的标识码即MAC地址。设备当前用户的标识可以是用户名或用户标识证号。设备当前配置(410)描述了为设备运行目前启用的软件、硬件以及凭证。设备上可配置软件可以包括设备上安装的应用程序,以及操作系统及其补丁、服务程序包、各种热修复以及对操作系统的其他修改。设备上可配置软件也可以包括驱动程序和中间件。应用程序的配置内容包括防火墙策略、病毒定义文件、数据通信协议以及应用程序配置上的其他数据。设备上可配置硬件可以包括与设备上安装和启用协调的任何计算机硬件,比如处理器、内存、数据通信适配器以及非易失性数据存储。若干凭证通过鉴别当前用户的标识或显示访问资源的权限,使当前用户能够经由网络访问资源。设备上可配置凭证可以包括涉及公钥或私钥基础结构的证书和密钥、在设备上安装的安全令牌、使用本地安装软件的许可证以及高速缓存的用户ID和密码。
图5的方法进一步包括聚集(436)计算机数据,它表示用户、设备以及设备配置的授权组合。对表示用户、设备以及设备配置授权组合的计算机数据进行聚集,可以通过在用户注册处或目录中注册用户;在设备注册处或目录中注册设备;创建用户、设备以及设备配置的授权组合;以及在聚集后计算机数据的数据库(438)中,存储注册后用户和设备以及授权组合的描述数据,数据库中包含着表示用户、设备以及设备配置授权组合的记录,比如图3中所示的记录。注册用户包括在数据库(438)中创建记录,其中包含该用户的有关信息,比如用户名和密码,并创建到该用户的若干工作组、若干角色和若干设备配置的链接记录。注册设备包括在数据库(438)中创建记录,其中包含该设备的有关信息,比如唯一标识码、设备类型和描述,并创建到若干设备配置的链接记录。例如根据用户的角色、用户的工作组属性或本领域技术人员将设想出的其他方法,可以创建所授权的组合。这些授权的配置可以由配置记录表示,比如图3引用号300处所示的记录。
图5的方法也包括获得(440)对当前用户授权设备的配置(442)。获得(440)对当前用户授权设备的配置(442),可以通过查询聚集后计算机数据的数据库(438),它表示用户、设备以及设备配置的授权组合。在图3的实例中,表示用户和设备授权配置的数据记录在配置链接记录(320)上。
图5的方法包括根据所述设备的标识(406)、所述当前用户的标识(408)、所述设备的当前配置(410)以及对当前用户设备授权的配置(442),由网络访问控制模块(435)准许(414)设备(402)访问网络上资源(424)。为了进一步说明,图6描绘了一幅流程图,展示了根据本发明实施例准许(414)访问网络上资源(424)的示范方法。在图6的方法中,准许(414)访问网络上资源包括判断(416)所述设备的当前配置是否为对当前用户授权设备的配置。判断(416)所述设备的当前配置是否为对当前用户授权设备的配置,可以通过对比来自访问请求(404)的当前配置和对当前用户授权设备的配置(442)。如果所述设备的当前配置是对当前用户授权设备的配置,图6的方法包括准许(422)连接到网络的设备(402)访问网络上资源。当请求访问资源的形式是例如登录消息时,准许连接到网络的设备(402)访问可以通过由网络访问控制模块将该设备登录到网络,并授权该设备访问一个或多个网络资源(424)。
如果所述设备的当前配置不是对当前用户授权设备的配置,图6方法中准许设备访问网络上资源包括把所述设备(402)重新配置(420)为对当前用户授权设备的配置(442)。把所述设备(402)重新配置(420)为对当前用户授权设备的配置(442),可以通过获得把所述设备重新配置为对当前用户授权设备的配置(442)的授权启用代码,并且向所述设备发送该启用代码。获得重新配置所述设备所用的授权启用代码,可以通过向重新配置服务发送数据——表示对当前用户授权设备的配置(442),并且从重新配置服务接收用于重新配置所述设备的授权启用代码。
在图6的方法中,准许访问(414)网络资源进一步包括在重新配置所述设备时仅仅准许访问(602)重新配置服务。根据本发明实施例,在对网络上计算机资源访问进行管理的许多系统中,重新配置服务本身就是网络资源。在这些系统中,为了访问重新配置服务而对请求重新定向可能涉及准许对网络计算机资源的受限访问,即限制为仅仅以例如指定的URL访问重新配置服务。这种受限访问可以由多种方式实现。例如,网络访问控制模块可以创建一个临时的虚拟局域网,仅由两台主机组成——所述请求设备以及安装着重新配置服务的机器。在这种情况下,来自请求设备的信息包可以在网络上循环,但是仅仅往来于重新配置服务。作为替代,在重新配置所述设备时仅仅准许访问(602)重新配置服务,可以通过建立网络访问授权的临时组,仅仅授权连接到网络的设备的当前用户访问一个网络资源,换言之,仅仅访问重新配置服务。
在图5的方法中,授权访问(414)网络上资源进一步包括仅仅在重新配置所述设备后,才准许访问网络上资源(604)。在设备从重新配置服收到了新的授权启用代码并应用该代码把所述设备的硬件和软件重新配置为对当前用户授权的配置之后,设备的当前配置和设备的授权配置就相同了。连接的设备可以再次传送网络资源的访问请求,包括设备ID、用户ID以及设备的当前配置。设备的当前配置这时符合授权的配置,网络访问控制模块将准许所请求的访问。
为了进一步说明,图7描绘了一幅流程图,展示了根据本发明实施例把设备重新配置为对当前用户授权设备的配置的示范方法。在图7的方法中,重新配置设备包括将网络资源的访问请求重新定向(502)到重新配置服务(216)。将请求重新定向(502)到重新配置服务(216),可以通过例如从网络访问控制模块,向与网络通信连接的设备(402)发送URL,指定重新配置服务的网络地址。与网络通信连接的设备(402)可以向指定重新配置服务的网络地址的URL发送重新定向后的请求(504),访问重新配置服务(216)。
在图7的方法中,重新配置设备进一步包括向重新配置服务(216)提供(506)对当前用户授权设备的配置(508)。向重新配置服务(216)提供(506)对当前用户授权设备的配置(508),可以通过网络访问控制模块从用户设备的授权配置数据库(图2的300)获得对当前用户授权设备的配置;向与网络通信连接的设备(402)提供用户设备的授权配置;以及从设备(402)向重新配置服务(216)传送对当前用户授权设备的配置(508)。用户设备的授权配置数据库可以实施为若干用户、若干设备和若干配置之间的链接配置记录,类似于图3所示。作为替代,向重新配置服务提供(506)对当前用户授权设备的配置(508),可以通过从数据库直接向重新配置服务(216)提供对当前用户授权设备的配置(508),如同图2中重新配置服务和数据库之间的虚线所示。
图7的方法包括对当前用户授权设备的配置产生(510)授权启用代码。重新配置服务(216)可以通过从存储器检索代码产生授权启用代码,也可以计算权限启用代码,以满足把个人计算机(图1的103)重新配置为对当前用户授权配置的需要。可能需要一个或多个启用代码,取决于在个人计算机(图1的103)上将启用多少硬件和软件单元。重新配置服务(216)可以从制造商或零售商的在线数据库(432)检索每个这种代码,也可以根据设备(402)现有硬件和软件的制造商或零售商提供的算法实时地计算这些代码。
图7的方法也包括从重新配置服务(216)向所述设备(402)传送(514)授权启用代码(512),以便实现对当前用户授权设备的配置(508)。传送授权启用代码可以经由网络(图1的100)传输。
同样,响应向重新配置服务器重新定向的访问请求,图7的方法中重新配置设备可以包括从重新配置服务(216)向所述设备(402)传送(515)一个或多个软件对象(517),以便实现对当前用户授权设备的配置。授权配置所需要的软件对象或软件单元可能在当前实际配置中缺失。如果的确如此,利用启用代码将不足以启用其用途;此时重新配置模块可以有益地提供实际软件部件本身。有益的是注意到软件对象可以不仅仅是配置的要素本身,而且还可以对配置的其他要素具有启用效果,例如,当提供的软件对象——如驱动程序——实际上启用硬件部件的使用时,没有该驱动程序它便毫无用途。
为了对用户授权设备进行配置,由重新配置服务提供的软件对象可以包括例如应用模块即整个软件应用程序、中间件、操作系统模块和工具比如刚刚提及的驱动程序以及启用访问若干资源的凭证——包括访问所授权配置的部件。为了对用户授权设备的配置,由重新配置服务提供的软件对象也可以包括应用内容,比如音频文件、视频片段、文本文档和数据文件。从重新配置服务(216)保存或拥有的本地数据存储器(517)中可以检索用于传输的软件对象。从软件制造商或开发者(432)的数据存储器中也可以获得用于传输的软件对象。或者以本领域技术人员将设想出的其他方式可以获得用于传输的软件对象,所有这些方式都确实在本发明的范围之内。
为了进一步说明,图8描绘了一幅流程图,展示了根据本发明实施例对网络上计算机资源访问进行管理的进一步示范方法。图8的示范方法类似于图5的方法。换言之,图8的方法包括在网络访问控制模块(435)中从与网络通信连接的设备(402)在网络上接收(412)访问网络资源的请求(404)。在图8的实例中,所述请求(404)包括的计算机数据(405)表示了设备标识(406)、设备当前用户的标识(408)以及设备的当前配置(410)。图8的方法也包括网络访问控制模块(435)根据所述设备的标识(406)、所述当前用户的标识(408)、所述设备的当前配置(410)以及对当前用户授权设备的配置(442),准许(414)设备(402)访问网络上资源(424)。
不过,在图8的方法中,准许访问网络上资源进一步包括判断(416)所述设备的当前配置是否为对当前用户授权设备的配置(442)。判断(416)所述设备的当前配置是否为对当前用户授权设备的配置(442),可以通过获得对当前用户授权设备的配置(442),并将所授权的配置与当前配置进行对比。获得对当前用户授权设备的配置(442)可以通过查询数据库,其中聚集的计算机数据表示用户、设备以及设备配置的授权组合。在图3的实例中,配置链接记录(320)包含着记录用户和设备授权配置的字段。表示设备当前配置(410)的计算机数据包含在访问网络资源的请求(404)中。
在图8的方法也包括准许访问网络资源,而无论(606)设备的当前配置是否为对当前用户授权设备的配置。准许访问网络资源,而无论(606)设备的当前配置是否为对当前用户授权设备的配置,可以通过向与网络通信连接的设备(402)根据对当前用户的授权提供完全的网络访问特权,而不考虑设备配置。
如果所述设备的当前配置不是对当前用户授权设备的配置,图8的方法还包括准许当前用户通过一台设备访问(604)网络资源,该设备具有的当前设备配置不是对当前用户授权设备的配置,但是要对此创建(602)一条记录。网络访问控制模块(435)可以向当前用户发送该记录的备份,通知所述用户这个不合适的配置。网络访问控制模块(435)可以向系统管理员发送该记录的备份,通知系统管理员这个不合适的配置。网络访问收费是根据设备配置的系统中,系统管理员可以利用这些访问网络资源的记录,根据用户标识和设备配置计算使用费用。
考虑到以上解释,根据本发明对网络上计算机资源访问实行管理的优点对于本领域的读者是显而易见的,所述管理包括以接近实时的方式将运行中的用户设备重新配置为健全的、对所述用户授权的配置,满足企业对健全硬件和软件安全和更新策略的配置,根据企业的许可证规则对所述用户授权的配置,根据企业对许可成本的计划进行裁减的、对所述用户的工作角色性价比高的配置。
                            使用范例
导言:为了进一步说明而呈现以下的示范使用范例。所述使用范例呈现为包括对这个实例中所用事件序列和数据流的说明,根据本发明的实施例、对网络上计算机资源的访问进行管理。
使用范例:在公司内联网上安装了网络访问控制模块。在公司内联网上部署了重新配置模块,并准备为按照需要发挥重新配置的效果。通过登录/密码和基于PKI的验证控制对公司内联网的访问。
公司雇用了新用户A,其工作为现场销售代表。公司打算将便携机X分配给新用户A。便携机X将用于从远程位置访问公司内联网。
便携机X从工厂运来,由IT员工拆葙,并在资产管理系统中注册为设备。不仅注册了设备的记载,还注册了设备的ID。便携机X为从工厂运来时的配置,与授权给任何用户的任何配置都没有关系。根据本发明实施例,便携机X安装为网络客户,能够与网络访问控制模块和重新配置服务互动。便携机X在资产管理系统中标注为可用。资产管理系统中的设备记载聚集到公司的标识管理系统中,所以便携机X在资产管理系统和标识管理系统中都知晓为可用。
用户A向公司的标识管理系统登记。用户A的标识信息被加入到标识管理系统。用户A在标识管理系统中被分配为FieldSalesRep角色。根据用户A的FieldSalesRep角色,给用户A分配便携机和便携机的授权配置。便携机X分配给了用户A。表示所述分配是通过将表示用户A、便携机X和对用户A授权的便携机X配置之授权组合的计算机数据从资产管理系统和标识管理系统中聚集到组合的数据结构中。
结果,设备标识和用户标识的组合现在注册到了标识管理系统中。公司内联网中的网络访问控制模块现在能够对网络资源的访问进行管理,既以用户标识作为密钥,又以设备标识作为密钥。利用设备标识和用户标识的这种组合,企业就能够在整合解决方案中以更加细微的粒度级别支持现有系统的全部功能。
便携机X给了用户A。用户A试图使用便携机X访问公司内联网。便携机X上的网络客户提示用户A输入标识和密码,并以请求访问网络资源的方式——在这个实例中是登录网络——向网络访问控制模块传送所述用户标识、所述用户密码和便携机X的当前配置。便携机X的当前配置仍然是从工厂运来时的配置,不是对用户A授权的配置。
网络访问控制模块将所述当前配置与对用户A授权的配置进行对比。网络访问控制模块不允许设备访问公司的内联网,因为该设备的状态不是对当前用户的。网络访问控制模块转而将用户A的访问请求重新定向到重新配置,将授权的配置作为参数数据传递。重新配置模块根据便携机X对用户A的授权配置,以新软件、软件更新、用户凭证、硬件使用授权等,更新便携机X。在所述便携机上更新了描述便携机X当前配置的数据。便携机X再次向网络访问控制模块传送用户A的标识和密码以及描述其当前配置的数据——它现在是所述便携机对用户A的授权配置。现在网络访问控制模块准许用户A和便携机X访问网络资源。检测未授权的配置、重新定向到重新配置服务以及最终准许访问都发生在用户A的登录中,延迟不大或者说感觉不到。
用户A与公司的雇用关系终止,便携机X归还回公司的资产管理部门。便携机X在资产管理系统中标注为可用。来自资产管理系统的设备记载聚集到标识管理系统中,所以便携机X在资产管理系统和标识管理系统中都知晓为可用。
桌面助手管理用户B,在标识管理系统中以标识和密码进行了注册。用户B在标识管理系统中分配了HelpDeskRep的角色。根据用户B的HelpDeskRep角色,给用户B分配了便携机。标识管理系统将便携机X分配给用户B。设备标识和用户标识的组合注册到了标识管理系统中。用户标识、设备标识以及用户B设备的授权配置的组合聚集到网络访问控制模块,并使之可用。现在将使用便携机X利用登录/密码和基于令牌的访问控制,访问内部客户关系管理(‘CRM’)系统。
用户B有了便携机X并试图以便携机X访问桌面助手网站。便携机X上的网络客户提示用户B输入标识和密码,并以请求访问网络资源的方式——在这个实例中是访问桌面助手网站——向网络访问控制模块传送所述用户标识、所述用户密码和便携机X的当前配置。便携机X的当前配置仍然是为用户A所设置的配置,不同于为用户B授权的配置。
网络访问控制模块将所述当前配置与对用户B授权的配置进行对比。网络访问控制模块不允许设备访问公司的内联网或桌面助手网站,因为该设备的状态不是对当前用户的。网络访问控制模块转而将用户B的访问请求重新定向到重新配置,将授权的配置作为参数数据传递。重新配置模块根据便携机X对用户B的授权配置,以新软件、软件更新、用户凭证、硬件使用授权等,更新便携机X。在所述便携机上更新了描述便携机X当前配置的数据。便携机X再次向网络访问控制模块传送用户B的标识和密码以及描述便携机当前配置的数据——它现在是其对用户B的授权配置。现在网络访问控制模块准许用户B和便携机X访问网络资源——在这个实例中是访问桌面助手网站。同样,检测未授权的配置、重新定向到重新配置服务以及最终准许访问都发生在用户B对桌面助手网站的访问中,延迟不大或者说感觉不到。
对本发明若干示范实施例的介绍,很大程度上是在对网络上计算机资源访问进行管理的全功能计算机系统环境中进行的。不过,本领域的读者将理解,本发明也可以实施在计算机程序产品中,放置在信号承载介质上,以便任何适宜的数据处理系统使用。这种信号承载介质可以是传输介质,也可以是机器可读取信息的可记录介质,包括磁性介质、光学介质或其他适宜的介质。可记录介质的实例包括硬盘驱动器或软盘驱动器中的磁盘,光盘驱动器的光盘、磁带以及本领域技术人员将设想出的其他介质。传输介质的实例包括用于语音通信的电话网络和数字数据通信网络,比如EthernetsTM和采用因特网协议通信的网络,以及万维网。本领域技术人员将会立即理解,因为本发明的方法实施在程序产品中,具有适宜编程装置的任何计算机系统都将能够执行本发明方法的步骤。本领域技术人员将会立即理解,虽然本说明书中所介绍的某些示范实施例面向安装的软件并在计算机硬件上执行,然而,实施为中间件或为硬件的替代实施例也完全在本发明的范围之内。
从以上的说明将理解,在本发明的多种实施例中可以进行若干修改和改变,而不脱离其真正的实质。本说明书讲解的目的仅仅是为了展示,不应当以限制意义解释。本发明的范围仅仅受到以下权利要求书中语言的限制。

Claims (14)

1.一种用于对网络上计算机资源的访问进行管理的方法,所述方法包括:
在网络上的网络访问控制模块中,从与所述网络通信连接的设备接收访问所述网络上资源的请求,所述请求包括表示所述设备的标识、所述设备当前用户的标识以及所述设备的当前配置的计算机数据;以及
所述网络访问控制模块根据所述设备的所述标识、所述当前用户的所述标识、所述设备的所述当前配置以及对当前用户授权设备的配置,准许所述设备访问所述网络上的资源。
2.根据权利要求1的方法,进一步包括聚集表示用户、设备和设备配置的授权组合的计算机数据。
3.根据权利要求1的方法,其特征在于,准许访问所述网络上的资源进一步包括:
判断所述设备的所述当前配置是否为对所述当前用户授权设备的配置;以及
如果所述设备的所述当前配置不是对所述当前用户授权设备的配置,则将所述设备重新配置到对所述当前用户授权设备的配置。
4.根据权利要求3的方法,其特征在于,重新配置所述设备进一步包括:
将所述请求重新定向到重新配置服务;
向所述重新配置服务提供对所述当前用户授权设备的配置;以及
从所述重新配置服务向所述设备传送授权启用代码,以实现对所述当前用户所授权设备的配置。
5.根据权利要求3的方法,其特征在于,重新配置所述设备进一步包括,从重新配置服务向所述设备传送一个或多个软件对象,以实现对所述当前用户所授权设备的配置。
6.根据权利要求3的方法,其特征在于,准许访问所述网络上的资源进一步包括,在重新配置所述设备时,仅仅准许访问所述重新配置服务。
7.根据权利要求3的方法,其特征在于,准许访问所述网络上的资源进一步包括,只有在重新配置所述设备之后,才准许访问所述网络上的资源。
8.根据权利要求1的方法,其特征在于,准许访问所述网络上的资源进一步包括:
判断所述设备的所述当前配置是否为对所述当前用户授权的所述设备的配置;
无论所述设备的所述当前配置是否为对所述当前用户授权的所述设备的配置,都准许访问网络资源;以及
如果所述设备的所述当前配置不是对所述当前用户授权设备的配置,由当前用户创建一条访问网络资源的记录,所述当前用户通过这样的设备访问网络资源,该设备具有的当前设备配置不是对所述当前用户授权设备的配置。
9.一种用于对网络上计算机资源的访问进行管理的系统,所述系统包括计算机处理器、操作地连接到所述计算机处理器的计算机存储器,所述计算机存储器之内设置的计算机程序指令能够:
在网络上的网络访问控制模块中,从与所述网络通信连接的设备接收访问所述网络上资源的请求,所述请求包括表示所述设备的标识、所述设备当前用户的标识以及所述设备的当前配置的计算机数据;以及
所述网络访问控制模块根据所述设备的所述标识、所述当前用户的所述标识、所述设备的所述当前配置以及对当前用户授权设备的配置,准许所述设备访问所述网络上的资源。
10.根据权利要求9的系统,其特征在于,准许访问所述网络上的资源进一步包括:
判断所述设备的所述当前配置是否为对所述当前用户授权设备的配置;以及
如果所述设备的所述当前配置不是对所述当前用户授权设备的配置,则将所述设备重新配置到对所述当前用户授权设备的配置。
11.根据权利要求10的系统,其特征在于,重新配置所述设备进一步包括:
将所述请求重新定向到重新配置服务;
向所述重新配置服务提供对所述当前用户授权设备的配置;以及
从所述重新配置服务向所述设备传送授权启用代码,以实现对所述当前用户所授权设备的配置。
12.根据权利要求10的系统,其特征在于,准许访问所述网络上的资源进一步包括,只有在重新配置所述设备之后,才准许访问所述网络上的资源。
13.根据权利要求9的系统,其特征在于,准许访问所述网络上的资源进一步包括:
判断所述设备的所述当前配置是否为对所述当前用户授权的所述设备的配置;
无论所述设备的所述当前配置是否为对所述当前用户授权的所述设备的配置,都准许访问网络资源;以及
如果所述设备的所述当前配置不是对所述当前用户授权设备的配置,由当前用户创建一条访问网络资源的记录,所述当前用户通过这样的设备访问网络资源,该设备具有的当前设备配置不是对所述当前用户授权设备的配置。
14.一种用于对网络上计算机资源的访问进行管理的计算机程序产品,所述计算机程序产品设置在信号承载介质上,所述计算机程序产品包括的计算机程序指令能够实施前述方法权利要求中的任何一个权利要求所述的方法。
CNB2006100941532A 2005-06-28 2006-06-27 访问网络上计算机资源的管理方法和系统 Expired - Fee Related CN100450033C (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/168,690 US20060294580A1 (en) 2005-06-28 2005-06-28 Administration of access to computer resources on a network
US11/168,690 2005-06-28

Publications (2)

Publication Number Publication Date
CN1901475A true CN1901475A (zh) 2007-01-24
CN100450033C CN100450033C (zh) 2009-01-07

Family

ID=37569153

Family Applications (1)

Application Number Title Priority Date Filing Date
CNB2006100941532A Expired - Fee Related CN100450033C (zh) 2005-06-28 2006-06-27 访问网络上计算机资源的管理方法和系统

Country Status (2)

Country Link
US (1) US20060294580A1 (zh)
CN (1) CN100450033C (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009015538A1 (fr) * 2007-07-27 2009-02-05 Zte Corporation Procédé consistant à contrôler l'équipement utilisateur (ue) à l'extérieur du réseau personnel afin d'accéder à l'ue à l'intérieur du réseau personnel
CN102195965A (zh) * 2010-03-03 2011-09-21 宏达国际电子股份有限公司 提供移动装置在线服务的方法及系统、服务器与移动装置
CN101601257B (zh) * 2007-02-09 2013-10-09 阿尔卡特朗讯公司 由用户和设备管理网络接入安全策略的系统和方法
CN104025108A (zh) * 2011-10-28 2014-09-03 谷歌公司 客户端设备的策略执行
CN104488228A (zh) * 2012-06-15 2015-04-01 赛门铁克公司 用于提供动态帐户和设备管理的技术

Families Citing this family (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2004264582B2 (en) * 2003-06-05 2010-05-13 Intertrust Technologies Corporation Interoperable systems and methods for peer-to-peer service orchestration
US8626128B2 (en) * 2011-04-07 2014-01-07 Microsoft Corporation Enforcing device settings for mobile devices
TWI288553B (en) * 2005-10-04 2007-10-11 Carry Computer Eng Co Ltd Portable storage device having main identification information and method of setting main identification information thereof
EP1943603A2 (en) * 2005-10-18 2008-07-16 Intertrust Technologies Corporation Methods for digital rights management
US9626667B2 (en) * 2005-10-18 2017-04-18 Intertrust Technologies Corporation Digital rights management engine systems and methods
US8903365B2 (en) * 2006-08-18 2014-12-02 Ca, Inc. Mobile device management
US20080229098A1 (en) * 2007-03-12 2008-09-18 Sips Inc. On-line transaction authentication system and method
US20090094091A1 (en) * 2007-10-05 2009-04-09 Xerox Corporation Service call data selection and delivery method and system
US20100146506A1 (en) * 2008-12-08 2010-06-10 Electronics And Telecommunications Research Institute SYSTEM AND METHOD FOR OFFERING SYSTEM ON DEMAND (SoD) VIRTUAL-MACHINE
JP4631969B2 (ja) * 2008-12-25 2011-02-16 富士ゼロックス株式会社 ライセンス管理装置及びライセンス管理プログラム
US8392966B2 (en) * 2009-01-06 2013-03-05 International Business Machines Corporation Limiting the availability of computational resources to a device to stimulate a user of the device to apply necessary updates
US8886672B2 (en) * 2009-03-12 2014-11-11 International Business Machines Corporation Providing access in a distributed filesystem
US20100242037A1 (en) * 2009-03-17 2010-09-23 Microsoft Corporation Software Deployment over a Network
US8370905B2 (en) * 2010-05-11 2013-02-05 Microsoft Corporation Domain access system
DE102010027586B4 (de) * 2010-07-19 2012-07-05 Siemens Aktiengesellschaft Verfahren zum kryptographischen Schutz einer Applikation
US20120204269A1 (en) * 2011-02-03 2012-08-09 General Instrument Corporation Secure automated feature license update system and methods
CA2832752A1 (en) 2011-04-11 2012-10-18 Intertrust Technologies Corporation Information security systems and methods
US9787655B2 (en) * 2011-12-09 2017-10-10 Airwatch Llc Controlling access to resources on a network
CN102664756B (zh) * 2012-04-24 2015-07-22 北京星网锐捷网络技术有限公司 设备访问方法、装置及系统
TW201417535A (zh) * 2012-10-31 2014-05-01 Ibm 根據風險係數的網路存取控制
US9336361B2 (en) * 2013-03-14 2016-05-10 Arris Enterprises, Inc. Feature license-related repair/replacement processes and credit handling
US20180121602A1 (en) * 2016-10-27 2018-05-03 Vladyslav Ukis Optimized presentation of data related to imaging devices and users
CA3054609A1 (en) * 2017-02-27 2018-08-30 Ivanti, Inc. Systems and methods for role-based computer security configurations
EP4290400A3 (en) 2018-04-03 2024-03-06 Palantir Technologies Inc. Controlling access to computer resources
US11075801B2 (en) * 2018-04-17 2021-07-27 Hewlett Packard Enterprise Development Lp Systems and methods for reconfiguration control using capabilities
US11477026B1 (en) * 2019-08-21 2022-10-18 Riverbed Technology, Inc. Using secure tokens for stateless software defined networking
US11704441B2 (en) 2019-09-03 2023-07-18 Palantir Technologies Inc. Charter-based access controls for managing computer resources

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0513484A3 (en) * 1991-03-19 1993-04-21 Bull Hn Information Systems Inc. Digital network access authorisation
EP1057313A1 (de) * 1998-02-17 2000-12-06 Siemens Aktiengesellschaft Verfahren zur temporären zuordnung von endgeräten und benutzern in einem virtuellen privaten netz
US6157953A (en) * 1998-07-28 2000-12-05 Sun Microsystems, Inc. Authentication and access control in a management console program for managing services in a computer network
US6381631B1 (en) * 1999-06-03 2002-04-30 Marimba, Inc. Method and apparatus for controlling client computer systems
FR2802674B1 (fr) * 1999-12-21 2004-08-27 Bull Sa Dispositif et procede de controle d'acces a des ressources
US7565326B2 (en) * 2000-05-25 2009-07-21 Randle William M Dialect independent multi-dimensional integrator using a normalized language platform and secure controlled access
US7131000B2 (en) * 2001-01-18 2006-10-31 Bradee Robert L Computer security system
US6785686B2 (en) * 2001-05-29 2004-08-31 Sun Microsystems, Inc. Method and system for creating and utilizing managed roles in a directory system
US20030037263A1 (en) * 2001-08-08 2003-02-20 Trivium Systems Inc. Dynamic rules-based secure data access system for business computer platforms
US7155497B2 (en) * 2001-09-27 2006-12-26 Hewlett-Packard Development Company, L.P. Configuring a network parameter to a device
US7373515B2 (en) * 2001-10-09 2008-05-13 Wireless Key Identification Systems, Inc. Multi-factor authentication system
US7322043B2 (en) * 2002-06-20 2008-01-22 Hewlett-Packard Development Company, L.P. Allowing an electronic device accessing a service to be authenticated
US7669237B2 (en) * 2002-08-27 2010-02-23 Trust Digital, Llc Enterprise-wide security system for computer devices
US7284062B2 (en) * 2002-12-06 2007-10-16 Microsoft Corporation Increasing the level of automation when provisioning a computer system to access a network
WO2004105333A1 (ja) * 2003-05-22 2004-12-02 Fujitsu Limited 安全な仮想プライベート・ネットワーク
US7346168B2 (en) * 2003-09-29 2008-03-18 Avaya Technology Corp. Method and apparatus for secure wireless delivery of converged services
EP2267625A3 (en) * 2004-04-19 2015-08-05 Lumension Security S.A. On-line centralized and local authorization of executable files
US7711835B2 (en) * 2004-09-30 2010-05-04 Citrix Systems, Inc. Method and apparatus for reducing disclosure of proprietary data in a networked environment
US7546632B2 (en) * 2005-02-17 2009-06-09 Cisco Technology, Inc. Methods and apparatus to configure a network device via an authentication protocol

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101601257B (zh) * 2007-02-09 2013-10-09 阿尔卡特朗讯公司 由用户和设备管理网络接入安全策略的系统和方法
US8856890B2 (en) 2007-02-09 2014-10-07 Alcatel Lucent System and method of network access security policy management by user and device
WO2009015538A1 (fr) * 2007-07-27 2009-02-05 Zte Corporation Procédé consistant à contrôler l'équipement utilisateur (ue) à l'extérieur du réseau personnel afin d'accéder à l'ue à l'intérieur du réseau personnel
CN102195965B (zh) * 2010-03-03 2016-08-24 宏达国际电子股份有限公司 提供移动装置在线服务的方法及系统、服务器与移动装置
CN102195965A (zh) * 2010-03-03 2011-09-21 宏达国际电子股份有限公司 提供移动装置在线服务的方法及系统、服务器与移动装置
US8621571B2 (en) 2010-03-03 2013-12-31 Htc Corporation Online service providing system, method, server and mobile device thereof, and computer program product
TWI623893B (zh) * 2010-03-03 2018-05-11 宏達國際電子股份有限公司 提供行動裝置之線上服務的方法及系統、伺服器、行動裝置以及電腦程式產品
US9635030B2 (en) 2011-10-28 2017-04-25 Google Inc. Policy enforcement of client devices
CN104025108B (zh) * 2011-10-28 2017-09-22 谷歌公司 客户端设备的策略执行
US9832186B2 (en) 2011-10-28 2017-11-28 Google Llc Policy enforcement of client devices
CN107438081A (zh) * 2011-10-28 2017-12-05 谷歌公司 客户端设备的策略执行
CN104025108A (zh) * 2011-10-28 2014-09-03 谷歌公司 客户端设备的策略执行
US10091210B2 (en) 2011-10-28 2018-10-02 Google Llc Policy enforcement of client devices
CN107438081B (zh) * 2011-10-28 2021-08-06 谷歌有限责任公司 客户端设备的策略执行
CN104488228A (zh) * 2012-06-15 2015-04-01 赛门铁克公司 用于提供动态帐户和设备管理的技术
US9769086B2 (en) 2012-06-15 2017-09-19 Symantec Corporation Techniques for providing dynamic account and device management

Also Published As

Publication number Publication date
CN100450033C (zh) 2009-01-07
US20060294580A1 (en) 2006-12-28

Similar Documents

Publication Publication Date Title
CN100450033C (zh) 访问网络上计算机资源的管理方法和系统
CN101901315B (zh) 一种usb移动存储介质安全隔离与监控管理系统
US9686262B2 (en) Authentication based on previous authentications
US8195743B2 (en) Extensible and programmable multi-tenant service architecture
US9082091B2 (en) Unified user login for co-location facilities
US8010676B1 (en) Virtual computing services deployment network
US9077704B2 (en) Multiple authentication support in a shared environment
CN1571389A (zh) 用于发现网络设备的方法和装置
CN104718526A (zh) 安全移动框架
CN100351828C (zh) 基于分布式文件系统的文件存储系统及其文件访问方法
JP2006510991A (ja) 分散コンテンツ管理システム
CN112583887B (zh) 一种基于区块链的数据可信共享方法
US20030187998A1 (en) System and method for detecting resource usage overloads in a portal server
CN101034983A (zh) 一种对网络接入用户实现上网实名的系统及其方法
CN110855637A (zh) 一种基于属性的区块链物联网分布式访问控制方法
CN102307114A (zh) 一种网络的管理方法
CN115766795B (zh) 一种基于区块链的可信电子文件平台的智能服务方法
CN103366135A (zh) 在存储云中由租户驱动的安全系统与方法
US20190139133A1 (en) System for periodically updating backings for resource requests
TWI242968B (en) System for establishing and regulating connectivity from a user's computer
CN100361037C (zh) 用于在数据处理系统中认证访问请求的方法与装置
US9088561B2 (en) Method and system for authentication in a computer network
US20130152181A1 (en) Portal based case status management
CN1812380A (zh) 一种显示即时通信用户状态信息的方法
CN116032645B (zh) 一种基于终端的鉴权方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C17 Cessation of patent right
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20090107

Termination date: 20100627