基于策略符合性的安全数据访问的制作方法

基于策略符合性的安全数据访问的制作方法
【专利摘要】对计算资源的访问根据在使得能对所述计算资源进行访问之前客户端对一系列的安全策略的符合性进行授权。在客户端上提供一种应用程序，所述应用程序使用认证种子生成验证代码。在对所述客户端授予生成验证代码所必需的所述认证种子之前，服务器可以对所述客户端执行策略检查。一些实施方案通过以下方式确保所述客户端与由认证方所强加的安全策略符合：从所述客户端检索多个参数值并确定这些参数值与所述安全策略是否符合。在确定符合后，向所述客户端发布所述认证种子。在一些实施方案中，提供所述认证种子以便在生成验证代码后执行策略检查。当确定所述客户端与所述安全策略符合时，给予所述客户端对安全信息的访问权。
【专利说明】基于策略符合性的安全数据访问
[0001]背景
[0002]人们越来越多地使用计算装置完成各种不同任务，如检查电子邮件、访问公司信息和管理公司联系信息。随着通过计算装置来访问的信息的量增加，对保护存储在计算装置上或通过计算装置可访问的信息的需要持续增加。可以应用策略而来控制对各种计算资源的访问并且保护通过计算装置可访问的信息。
[0003]策略强制执行通常包括用户认证，其中用户通过各种过程而来确认他或她的身份，以获得对一个或多个计算资源的访问权。出于各种原因，用于可能希望获得对包括敏感或安全信息的各种类型信息的访问权，并且可能期望使得用户在其计算装置上对此类信息进行访问。在这些实例中的一些实例中，通常期望在授权用户进行访问前要求更可靠认证(如多因素认证)。实现可靠认证所用常规技术可能是麻烦的，并且在许多实例中，所述常规技术可能涉及不必要的风险。
[0004]附图简述
[0005]将参照附图描述根据本公开的各个实施方案，在附图中:
[0006]图1示出可根据一个实施方案使用的网络配置的实施例；
[0007]图2示出根据一些实施方案的用于在认证代码产生时验证客户端与一系列的安全策略的符合性的操作流程的实施例；
[0008]图3示出根据一些实施方案的用于在使得客户端能访问安全信息前验证客户端与一系列的安全策略的符合性的示例操作流程；
[0009]图4示出根据一个实施方案的用于验证客户端与由多因素认证服务器强制执行的安全策略集合的符合性的示例操作流程；
[0010]图5示出根据一些实施方案的用于通过符合安全策略集合而来获得对安全信息的访问权的示例过程；
[0011]图6示出根据一些实施方案的用于由服务器来认证客户端的示例过程；
[0012]图7示出根据一些实施方案的用于通过符合安全策略而来获得对安全信息的访问权的示例过程；
[0013]图8示出可根据各个实施方案使用的示例便携计算装置的前视图和后视图；
[0014]图9示出电子计算装置中的一组基础组件，所述电子计算装置如参照图8描述的装置；以及
[0015]图10示出可实现各个实施方案的环境。
[0016]详述
[0017]根据本公开的各个实施方案的系统和方法可以克服管理对电子环境中的敏感信息和/或资源的访问的常规方法中经历的前述和其它缺点中一个或多个。具体地说，一些实施方案可以在使得电子装置用户能对敏感信息和/或资源进行访问前要求电子装置符合多个安全策略。例如，一些实施方案仅当确定将在装置上强制执行多个安全特征时，如当要求最小长度密码、要求在多次失败尝试后进行自动的自清除(即，要求装置从存储器删除所有数据)、要求存储加密、要求远程清除能力(即，要求装置能使装置管理员或用户远程删除存储器中数据)、要求装置定位在特定区域内、要求所述装置处于高度或温度范围内等时，使得电子装置能获得对敏感或安全信息和/或资源的访问权。
[0018]一些实施方案提供认证代码生成应用程序，所述认证代码生成应用程序能够使用随机密钥(如认证种子或共享保密密钥)生成认证代码或验证代码。随机密钥可由至少两方(例如，客户端装置和服务器)共享，以便能在两方之间进行认证。在客户端装置上激活应用程序后，例如，客户端装置(或一些实施方案中的移动计算装置)能将请求自动发送到服务器，以便检查装置的符合性。
[0019]在一些实施方案中，请求包括用户凭证(例如，用户名、口令)。在一些实例中，客户端装置还可以提供安全参数值集合，所述安全参数值集合包括与客户端装置有关的信息(例如，在用户获得对装置上的内容的访问权前在客户端装置上要求的Pin长度、装置位置信息、装置是否符合某些安全要求(即，确认应答)等)。在一些实施方案中的服务器确定客户端装置是否符合所强加的(imposed)规定和政策(例如，通过请求第三方策略强制执行代理来执行所述确定、通过传送程序代码到客户端装置以供执行、通过使客户端装置运行安装在客户端装置上的程序而来执行所述确定)。
[0020]在确定客户端装置与所强加的安全策略符合后，本实施方案中的服务器向客户端装置发布认证种子。在一些实施方案中，在客户端装置上的应用程序使用认证种子生成用户获得对敏感信息的访问权所必需的认证代码。一些实施方案在接收有效的用户名、密码以及认证代码后提供对安全信息的访问权。例如，在客户端装置上的相同或不同的应用程序可以在用户输入有效的用户名、密码以及认证代码后使得用户访问公司数据。
[0021]在一些实施方案中，认证代码生成应用程序在激活后生成认证代码。可将初始序列或共享密钥(shared secret)引导到客户端装置中，以使应用程序可以使用存储或预载到装置上的所述共享密钥生成认证代码。除了共享密钥之外，认证代码可以基于用户凭据(例如，用户名、密码)、当前时间标记和/或事件(例如，在用户选择可选用户界面项目后)生成。在一些实施方案中，装置可以通过用户输入一系列的数据字符、通过扫描其中可嵌入认证代码的快速响应(QR)代码而来获得共享密钥。
[0022]在应用程序上生成认证代码后，一些实施方案的客户端装置自动向服务器(例如，供应服务器)发送请求，以便确定客户端装置与安全策略是否符合。在一些实施方案中，服务器使得第三方策略强制执行代理能够确定客户端装置与安全策略当前是否符合。一些实施方案使得服务器能向客户端装置发送程序代码以供执行，以便确定客户端装置是否符合。一些实施方案的服务器使客户端装置运行安装在客户端装置上以便执行确定的程序。
[0023]在检验到客户端装置符合安全策略后，服务器会对客户端装置对敏感信息和/或资源的访问进行授权。在一些实施方案中，敏感信息可为公司电子邮件、公司联系信息和/或日程信息。通过在授予对安全信息的访问权前要求对一系列的安全策略(例如，公司策略)的符合，相关方(例如，公司)可合理确保安全信息受到良好保护。安全策略还可实时更新，以便使客户端装置相应调整它的安全设置。在一些实施方案中，策略检查定期性地执行，而一些实施方案是在每次做出验证尝试时(例如，当用户尝试登录公司电子邮箱账户时)执行策略检查。
[0024]下文参照各个实施方案呈现各种其它应用、功能以及优点。应当理解，尽管描述和各附图提供多个实例，但未充分描述在各个实施方案范围内可能的替代方案和变体。然而，本领域的普通技术人员将会根据本文中所包含的教义和建议而清楚替代方案和变体。
[0025]图1示出可根据一个实施方案使用的网络配置的实施例。在此实施例中，终端用户装置或客户端装置102能够通过网络104连接，以便访问至少一个主机或服务器106。客户端可访问至少一个共享保密数据储库112，所述共享保密数据储库112用于存储一个或多个共享保密密钥或认证种子。服务器可访问用于服务来自用户装置102的请求的至少一个数据储库108、和用于存储一个或多个共享密钥或认证种子的一个共享保密数据储库114。服务器和用户装置可以共享用于认证的一个或多个认证种子。如所提及，用户装置上的认证种子在一些实施方案中可以是在用户接收用户装置前引导到所述用户装置上的初始序列。用户装置用户可能已经通过以下方式获得认证种子:扫描条形码或QR代码、输入一系列的字符、从电子邮件中提取所述认证种子等等。在一些实施方案宏，存储在存储器108和114中的数据被存储在一个物理存储器(例如，硬盘、RAM等等)中。在其它实施方案中，各种数据都存储在单独物理存储器(例如，不同类型的存储器、不同磁盘等等)中，或一种类型以上数据存储在一个物理存储器中，而其它类型数据存储在不同物理存储器中。另外，可将数据集合中的一个或多个数据集合分布在多个物理存储器上。
[0026]可能存在有关用户装置102和服务器106或数据库108而使用的若干类型的安全和管理策略，所述若干类型的安全和管理策略可由能够为服务器、主机以及任何相关组件配置并且管理安全策略符合性的安全管理管理员装置110控制。例如，用户可以激活认证代码生成应用程序，所述认证代码生成应用程序导致服务器106在用户装置102上执行策略检查。在另一个实施例中，服务器可要求对用户装置102的安全认证，以便提供对由服务器所提供的服务或者功能的访问，并且服务器可要求对在数据储库108中访问和/或存储数据的不同安全标准。当执行对用户装置的认证时，可以使用共享保密数据储库112和114中每个中的一个或多个共享保密密钥。用户装置可以使用其共享保密数据储库112中的一个或多个共享保密密钥生成认证代码，而服务器可以使用其共享保密数据储库114中的一个或多个共享保密密钥认证用户装置。如本文中所讨论并建议，可以利用各种其它类型的安全。
[0027]图2示出操作流程200的实施例，所述操作流程200用于根据一些实施方案在认证代码产生时验证客户端与一系列的安全策略的符合性。在此实施例中，用于生成认证代码的应用程序(例如，软件令牌生成程序)是安装在客户端装置202上。在一些实施方案中，在用户激活应用程序后，或者在用户在应用程序中输入有效的用户名和/或密码后，生成认证代码。除了导入装置上的共享保密值或认证种子之外，一些实施方案中的应用程序基于特定事件(例如，用户对按钮的选择、每隔六十秒、每次在激活应用程序时)和/或当前时间值来生成认证代码。
[0028]在一些实施方案中，认证种子或初始序列可引导到装置上。一些实施方案使用稍后导入装置上的认证种子生成认证代码。例如，装置可以通过拍摄其中嵌入认证种子的条形码、接收包括了认证种子的来电文本消息、用户输入长数据段等等而来获得认证种子。
[0029]在此实施例中，在208，向服务器204发送请求，以便请求对安全信息的访问。请求可以包括用户的用户名、密码和/或使用导入装置上的认证种子来生成的认证代码。在一些实施方案中，响应用户请求通过内部网站或装置上的应用程序并通过用户凭据验证而来访问安全信息(例如，公司电子邮件)，向服务器发送请求。在一些实施方案中的客户端装置响应接收用户凭据(例如，用户名和密码)并且在接收所生成的认证代码后向服务器发送请求。一些实施方案在认证代码生成后向服务器自动发送请求。
[0030]为了检验客户端装置与安全策略集合符合，在一些实施方案中，服务器会执行一系列的问询以便确定当前由客户端装置所强制执行的安全策略。在此实施例中，在210，服务器向客户端请求与安全策略集合对应的参数值集合(例如，有关客户端装置的配置信息、符合性确认等等)，所述参数值集合是服务器执行所述确定所必需的。在一些实施方案中，安全策略集合由管理员规定。在一些实施方案中，管理员可以是公司安全人员，其将安全策略符合性指定为用以对用户访问授权的状况。安全策略集合可以包括以下要求:客户端装置的当前位置在阈值区域内和/或在阈值温度和/或高度范围内；客户端装置的Pin长度将为至少一个阈值长度；装置启用远程清除；装置连接到特定无线/有限网络集合上；认证方(例如，客户端装置)和认证器(例如，服务器、数据中心)或由认证器所选择的位置(例如，总部)在彼此阈值距离内；等等。
[0031]在212，在服务器的请求后，客户端装置会发送由服务器所请求的参数值集合。在一些实施方案中，客户端装置在服务器未请求参数值集合的情况下发送与安全策略集合对应的参数值集合。客户端装置可将参数值集合与用户对访问安全信息的初始请求一起发送。在一些实施方案中，客户端装置具有安全策略集合的副本，以便在装置发送初始请求前确定参数值集合。一些实施方案使客户端装置能够请求安全策略集合的更新副本，以便客户端装置能确定与更新过的安全策略对应的参数值集合。
[0032]在一些实施方案中，服务器执行与所述客户端装置与所述安全策略集合是否符合有关的确定。在214，一些实施方案使服务器能够向第三方策略强制执行代理206发送从客户端装置接收到的参数值集合以执行符合性确定。在一些实施方案中，策略强制执行代理随后确定客户端装置与策略集合是否符合。在一些实施方案中，客户端装置可通过从服务器获得安全策略集合的更新版本来执行策略检查。在执行确定后，客户端装置就可以向服务器告知所述客户端装置是否符合。
[0033]在此实施例中，在216，策略强制执行代理在执行确定后向服务器告知与客户端装置与安全策略集合是否符合有关的内容。在218，在确定客户端装置与安全策略集合符合后，服务器就使客户端装置能够获得对安全信息的访问权。如果策略强制执行代理确定客户端装置与安全策略集合并不符合，那么客户端装置就可能无法访问安全信息。在一些实施例中的客户端装置可以调整它的安全设置并且尝试再次获得访问权。
[0034]在一些实施方案中，在210，服务器可请求客户端装置或导致客户端装置在客户端装置上执行程序代码(例如，通过向客户端装置发送代理)，而非请求与安全策略集合对应的安全参数值集合。在一些实施方案中，可以独立于客户端装置所做修改来更新代理或程序代码，以使更新过的程序代码可以通过检测欺骗代码来确保客户端的符合性。在运行程序代码后，可将输出传送到服务器，以使服务器可确定客户端装置与安全策略是否符合。在一些实施方案中，在接收客户端装置的对访问安全信息的初始请求后，服务器将可执行代码或程序代码发送到客户端装置。替代向客户端装置发送程序代码，一些实施方案的服务器可以在接收客户端装置的初始请求后导致客户端装置在客户端装置上运行下载好的程序或代理220。[0035]在此类实施方案中，在212，客户端装置会执行代码并且向服务器发送输出。输出可以是指示客户端装置与安全策略集合确实符合的一系列的应答。在一些实施方案中，输出可以是使得服务器能针对客户端装置与安全策略是否符合执行进一步的确定的值集合。在一些实施方案中，在218，服务器则针对客户端装置与安全策略是否符合使用接收的值或来自所执行的程序代码的输出执行确定，并在确定客户端装置符合后提供对安全信息的访问。
[0036]图3示出根据一些实施方案的用于在使得能够访问安全信息前验证客户端与一系列的安全策略的符合性的示例操作流程300。在此实施例中，用于使用一个或多个共享保密密钥来生成认证代码的应用程序是安装在客户端装置302上。在将客户端装置上的认证代码生成应用程序激活后，在308，在一些实施方案中的客户端装置向服务器304发送请求以请求认证种子或共享密钥。在激活应用程序并且从客户端装置用户接收凭据(例如，用户名和/或pin)后，一些实施方案可以向服务器发送请求。在一些实施方案中，客户端装置可以确定与安全策略集合对应的安全值集合，并且在请求认证种子时向服务器发送所确定的值集合(例如，与客户端装置对认证种子的初始请求一起)。
[0037]在向客户端装置发布认证种子前，服务器会确定客户端装置与安全策略集合是否符合。在此实施例中，在310，服务器会从客户端装置请求参数值集合，以便确定客户端与安全策略集合是否符合。如上提及，安全策略集合可以是由管理员强制执行的策略，所述安全策略集合要求在允许装置获得对安全信息的访问权前在装置上实现多个安全机制。安全策略可以包括以下要求:要求装置在装置用户执行阈值数量以上的登录尝试后执行自清除；最小pin长度要求；要求装置启用远程清除；要求装置在特定高度范围内；要求装置连接到特定的计算机网络上；等等。
[0038]在此实施例中，响应于服务器对参数值集合的请求，在312，客户端装置会确定参数值集合并且向服务器发送所述参数值集合。尽管在此实施例中，服务器是向客户端装置发送对参数值集合的请求，但是在一些实施方案中，无论服务器的请求如何，客户端装置都确定并且发送参数值集合。随后，服务器可使用参数值集合来执行策略符合性确定。在一些实施方案中，在314，服务器是请求第三方策略强制执行代理306来执行确定。策略强制执行代理随后确定客户端装置与策略集合是否符合。在一些实施方案中，策略强制执行代理从服务器定期获得安全策略的更新副本。一些实施方案使得策略强制执行代理能够在服务器请求策略强制执行代理来执行确定时从服务器获得安全策略的更新副本。在确定客户端装置是否符合后，在316，策略强制执行代理向服务器告知客户端是否符合。
[0039]在一些实施方案中，当策略强制执行代理已经确定客户端装置是符合时，在318，服务器生成认证种子并且向客户端装置发送所述认证种子(例如，通过安全连接)。在接收认证种子后，客户端装置可使用认证种子生成认证代码。在一些实施方案中，应用程序接收认证种子并将其存储在存储器中。在一些实施方案中，每次在装置用户激活应用程序时，应用程序就可使用认证种子生成新的认证代码。在一些实施方案中，每次在激活应用程序并且请求认证代码时，客户端装置都发送请求以便验证装置的符合性。
[0040]如所描述，在310，服务器可请求客户端装置或导致客户端装置在客户端装置上执行指令或者程序代码集合以执行符合性确定，而非请求安全参数值集合(例如，与装置有关的值集合、指示装置是否符合的值集合(即，是、否))。随后，客户端装置可通过执行指令集合针对客户端装置与安全策略是否符合而来执行安全策略检查。在一些实施例中，在接收客户端装置的对认证种子的初始请求后，服务器将可执行的程序代码传送到客户端装置。替代向客户端装置发送程序代码，一些实施方案的服务器可以在接收客户端装置的初始请求后导致客户端装置在客户端装置上运行预下载的程序或代理320。
[0041]在此类实施方案中，在312，客户端装置会执行代码并且向服务器发送输出。输出可以是指示客户端装置与安全策略集合符合的应答值。在一些实施方案中，输出可以是使得服务器能针对客户端装置与安全策略是否符合执行确定的值集合。在一些实施方案中，在318，服务器则针对客户端装置与安全策略是否符合使用接收的值或来自所执行的程序代码的输出执行确定，并在确定客户端装置符合后提供认证种子或者共享保密密钥。
[0042]图4示出根据一个实施方案的用于验证客户端与由多因素认证服务器强制执行的安全策略集合的符合性的示例操作流程400。然而，应当理解，在各个实施方案范围内，对于本文所述任何过程都可存在以类似或替代次序执行或者并行执行的另外、更少或替代步骤，除非另外说明。在此实施例中，从客户端装置接收对认证种子的请求402。如所描述，认证种子是包括安全信息的共享保密密钥，用于使持有认证种子的两方能对彼此进行认证。在一些实施方案中，客户端会从服务器请求认证种子，促使服务器在向客户端装置发布认证种子前在客户端装置上执行安全策略检查。认证种子可以通过服务器(例如，通过系统管理员)或客户端(例如，当客户端装置的用户手动输入若干数据字符或者扫描其中嵌有种子的条形码时)改变。
[0043]如所提及，在一些实施方案中，在激活认证代码生成应用程序后，服务器可接收对认证种子的请求。一些实施方案在客户端装置的用户输入有效的用户名和/或密码时接收请求。响应来自客户端装置的对认证种子的请求，向客户端装置发送对与安全策略集合对应的参数值集合的请求404。在一些实施方案中，服务器向客户端发送对参数值集合的请求，以便确定客户端与由服务器所强加的安全策略集合是否符合。安全策略集合可以包括对客户端的位置要在特定区域内的要求、对访问客户端装置的内容的密码要求、在装置上使远程清除启用的要求、对安装在客户端上的更新补丁级别的要求、对加密存储的要求、在多次密码输入错误后进行自动自清除的要求等等。不同实施方案可以强加不同的要求或安全策略集合或其不同组合，在使客户端能够对安全或敏感信息进行访问前，客户端必须与所述不同的要求或安全策略集合符合。
[0044]在一些实施方案中，替代请求与安全策略集合对应的参数值集合，服务器会向客户端发送请求以便问询客户端是否符合。在接收请求后，所强加的或更新的策略的副本可与请求一起由服务器发送，或者由客户端检索。在一些实施方案中，如果客户端的缓存副本太旧，那么客户端可检索更新过的策略的副本。客户端还可以使用在其创建时提供的策略副本。在一些实施方案中，随后。客户端可执行确定并且接着向服务器告知客户端是否符
口 ο
[0045]随后，从客户端装置接收参数值集合406。确定参数值集合是否指示客户端装置与安全策略集合符合408。在一些实施方案中，确定参数值中每个以便确定其与其对应的安全策略是否符合。在一个实例汇总，确定移动装置上的六码Pin要求与要求最小四码pin的安全策略符合。在另一实例中，确定因三次错误pin输入而启用的自动自清除能力符合所强加的要求在最多五次尝试后的自动自清除的安全策略中的一个。在一些实施方案中，当满足一个安全参数但不满足另一安全参数时，可与安全策略符合。例如，一些实施方案可以在客户端装置使远程清除能力启用或者实现最小Pin长度要求(例如，要求至少4码pin)时确定客户端与安全策略要求符合。
[0046]—些实施方案使服务器执行这种策略检查,而一些实施方案则使第三方策略强制执行代理执行策略检查。随后，服务器可向策略强制执行代理发送参数值集合，以便确定参数值集合是否指示客户端与安全策略符合。如所描述，一些实施方案使客户端装置能够执行策略检查(例如，通过执行在客户端装置上或从服务器接收到的程序代码)。
[0047]当参数值集合指示客户端装置与安全策略集合符合时，向客户端装置发送认证种子410。一些实施方案的客户端随后使用认证种子生成认证代码。在一些实施方案中，认证代码能够基于当前时间和认证种子生成。一些实施方案使用当前时间、认证种子以及如用户的用户名和/或密码等其它另外因素生成认证代码。在一些实施方案中，随后，客户端可使用认证代码和/或用户名和密码获得对敏感信息的访问权。
[0048]当参数值集合指示客户端装置与安全策略集合并不符合时，向客户端装置发送错误消息412。错误消息可以显示在客户端装置的显示器元件上，以向用户告知装置配置并不符合安全策略。为了获得对敏感信息的访问权，装置的配置或安全设置可以修改以便符合安全策略。
[0049]图5示出根据一些实施方案的用于通过符合安全策略集合而来获得对安全信息的访问权的示例过程500。在此实施例中，向服务器发送对认证种子的请求502。在一些实施方案中，客户端装置响应于装置用户尝试获得对安全信息的访问权来发送请求。从服务器接收对与由服务器所规定的安全策略集合对应的安全参数值集合的请求504。如所讨论，可以规定多个安全策略以便在能够访问敏感信息前确保客户端装置与安全策略符合。
[0050]向服务器发送安全参数值集合以便确定客户端与安全策略集合是否符合506。在一些实施方案中，服务器向外部系统或者策略强制执行代理发送安全参数值集合以便执行确定。在一些此类实施方案中，策略强制执行代理获得安全策略副本并且使用安全参数值集合确定客户端与每个安全策略是否符合。一些实施方案使服务器能够针对客户端装置与安全策略集合是否符合而使用从装置获得的安全参数值集合来执行确定。
[0051]当确定客户端与安全策略集合并不符合时，接收错误消息508。当确定客户端与安全策略集合并不符合时，服务器向客户端发送错误消息。在一些实施方案中，在没有获得认证种子或共享保密密钥的情况下，客户端可能无法获得对敏感信息的访问权。当确定客户端与安全策略集合符合时，接收认证种子510。在一些实施方案中,服务器向客户端发送认证种子以使客户端可以使用认证种子生成认证代码。除了认证种子之外，一些实施方案使用用户的用户名和/或密码生成认证代码。在一些实施方案中，随后，客户端能使用认证代码和/或用户名和密码获得对安全或敏感信息的访问权。
[0052]图6示出根据一些实施方案的用于由服务器(例如，供应服务器)来认证客户端的示例过程600。在此实施例中，从客户端接收对安全信息进行访问的请求602。在一些实施方案中，请求包括用户名、密码以及使用在客户端装置上的认证种子或共享密钥生成的响应代码。在一些实施方案中，响应代码可以使用认证种子以及客户端装置的用户的用户名和/或密码生成。在一些实施方案中，在用户激活客户端上用于访问敏感信息的应用程序(例如，提供对公司日程、联系信息以及电子邮件的访问的应用程序)后，从客户端接收请求，并且尝试在输入用户名、密码以及响应代码后获得对信息的访问权。
[0053]响应请求，向客户端装置发送与安全策略集合对应的参数值集合604。一些实施方案的服务器向客户端装置发送对参数值集合的请求，以便确定客户端装置与安全策略集合是否符合。在一些实施方案中，从客户端接收参数值集合606。确定参数值集合是否指示客户端装置与安全策略集合符合608。如上提及，服务器可执行确定，或者服务器可请求外部策略强制执行代理执行确定。客户端的安全参数值集合指示:如果安全参数值中每个落在安全策略集合中的每个所指示的允许范围内，那么客户端与安全策略集合符合。
[0054]在确定安全参数值集合指示客户端与安全策略集合符合后，客户端能访问访问安全信息610。在一些实施方案中，在确定客户端与安全策略符合后,服务器向客户端授权对敏感信息进行访问。当确定客户端与安全策略集合并不符合时，向客户端发送错误消息612。错误消息可以通过装置用户界面来向客户端装置的用户显示。
[0055]图7示出根据一些实施方案的用于通过符合安全策略而来获得对安全信息的访问权的示例过程700。在此实施例中，将使得能对安全信息进行访问的应用程序激活702。在一些实施方案中，应用程序就是认证代码生成应用程序。一些实施方案中的应用程序可以提供对安全信息的访问，同时提供认证代码生成。认证代码基于当前时间值和种子值来生成704。在一些实施方案中，种子值是已经由客户端装置获得(例如，通过电子邮件、通过SMS、通过扫描条形码等)的共享种子或认证种子。一些实施方案使用当前时间和种子值生成认证代码，而一些实施方案可使用另外的值(如装置用户的用户名和/或密码)生成认证代码。
[0056]向服务器发送对安全信息进行访问的请求706。在一些实施方案中，所发送的请求包括认证代码。接收对与安全策略集合有关的参数值集合的请求708。响应于客户端请求访问安全信息，服务器可向客户端请求发送与安全策略集合有关的参数值集合。向服务器发送参数值集合以便确定客户端与安全策略集合是否符合710。当确定客户端与所述安全策略集合符合时，获得对所述安全信息的访问权712。在一些实施方案中,服务器执行与所述客户端装置与安全策略集合是否符合有关的确定。一些实施方案使服务器能向外部系统或者策略强制执行代理发送安全参数值集合以便执行确定。当服务器确定客户端与安全策略集合符合时，客户端可获得对安全信息的访问权。
[0057]本公开的示例实施方案可以鉴于以下条款进行描述:
[0058]1.一种验证客户端与安全策略集合的符合性以授权访问安全数据的方法，所述方法包括:
[0059]在配置有可执行指令的一个或多个计算机系统的控制下，
[0060]接收来自移动装置对认证种子的请求，所述认证种子包括安全信息，认证代码可以从所述安全信息中得出；
[0061]响应所述请求,将对与安全策略集合对应的参数值集合的请求发送到所述移动装置，以便确定所述移动装置是否符合所述安全策略集合；
[0062]接收来自所述移动装置中的所述参数值集合。
[0063]确定所述参数值集合是否指示所述移动装置符合所述安全策略集合；以及
[0064]当所述参数值集合指示所述移动装置符合所述安全策略集合时，将所述认证种子发送给所述移动装置，以使所述移动装置能够生成所述认证代码，所述认证代码能够至少部分基于所述认证种子生成。
[0065]2.如条款I所述的方法，其中所述认证代码的生成进一步是基于当前时间值、计数器、先前认证代码、所述请求或者由所述服务器所提供的质询(challenge)中的至少一个。
[0066]3.如条款I所述的方法，其进一步包括:
[0067]当所述参数值集合指示所述移动装置并不符合所述安全策略集合时，将错误消息发送到所述移动装置。
[0068]4.如条款I所述的方法，其中所述安全策略集合包括最小pin长度、被启用的远程清除、最新的补丁级别、加密存储、在最多次数错误输入/尝试后被启用的自动的自清除、所述移动装置是与公司电子邮件系统关联，所述移动装置在特定高度范围内，所述移动装置在特定温度范围内，所述移动装置连接到特定无线网络上，或者所述移动装置在某个位置范围内。
[0069]5.如条款I所述的方法，其中确定所述参数值集合是否指示所述移动装置符合包括与策略强制执行代理实时通信以证实(verify)所述参数值集合符合所述安全策略集
口 ο
[0070]6.如条款I所述的方法，其中确定所述参数值集合是否指示所述移动装置符合包括将软件传送到所述移动装置以供在所述移动装置上执行，其中从所述移动装置接收的所述参数值集合包括通过执行所述软件而得到的输出。
[0071]7.如条款I所述的方法，其进一步包括:
[0072]指示所述移动装置强加所述策略集合中的至少一个策略到所述移动装置上。
[0073]8.如条款I所述的方法，其中在登录时从所述移动装置的用户处接收用户名和密码后，执行对所述认证种子的所述请求。
[0074]9.如条款I所述的方法，其中在将生成所述认证代码的应用程序激活后，执行对所述认证种子的所述请求。
[0075]10.如条款I所述的方法，其中所述安全策略是所述移动装置未知的。
[0076]11.一种由服务器认证客户端的方法，所述方法包括:
[0077]在配置有可执行指令的一个或多个计算机系统的控制下，
[0078]从所述客户端接收对安全信息进行访问的请求，所述请求包括至少部分基于由所述客户端和所述服务器可获取的认证种子而生成的至少一个响应代码；
[0079]从所述客户端接收安全参数值集合，以便确定所述客户端的安全设置是否与安全策略集合符合；
[0080]确定所述安全参数值集合是否指示所述客户端与所述安全策略集合符合；以及
[0081]在确定所述客户端与所述安全策略集合符合后，使得所述客户端能访问安全信肩、O
[0082]12.如条款11所述的方法，其进一步包括:
[0083]在接收所述请求后，从所述客户端请求所述安全参数值集合，所述安全参数值集合对应由所述服务器所强加的所述安全策略集合。
[0084]13.如条款11所述的方法，其中所述生成所述响应代码进一步是基于用户名、密码、当前时间、计数器、先前认证代码、所述请求或者由所述服务器所提供的质询中的至少一个。
[0085]14.如条款11所述的方法，其中所述确定包括与策略强制执行代理实时通信以证实所述安全参数值集合是与对应策略集合符合。
[0086]15.如条款11所述的方法，其进一步包括:
[0087]在接收所述请求后，向所述客户端发送指令集合；以及
[0088]使得所述客户端能执行所述指令集合，以便确定所述客户端与所述安全策略集合是否符合，其中所述安全参数值集合包括通过执行所述指令集合而得到的输出。
[0089]16.如条款11所述的方法，其中所述安全参数值集合包括所述客户端的当前位置的标识符，所述标识符是位于由对应安全策略所规定的允许区域内。
[0090]17.如条款11所述的方法，其中所述请求包括用户名和密码，其中在验证所述用户名和所述密码后，使所述客户端能对信息进行访问。
[0091]18.如条款11所述的方法，其中所述安全策略集合包括所述客户端与执行所述确定的认证方所选择的位置之间最大允许距离。
[0092]19.如条款18所述的方法，其中当信号在所述客户端与所述认证方之间所用往返时间超过阈值持续时间时，所述客户端与由所述认证方所选择的所述位置之间距离超过所述最大允许距离。
[0093]20.一种通过符合安全策略而来获得对安全信息的访问权的方法,所述方法包括:
[0094]在配置有可执行指令的一个或多个计算机系统的控制下，
[0095]激活提供对安全信息的访问的应用程序；
[0096]至少部分基于种子值来生成认证代码；
[0097]向服务器发生对安全信息进行访问的请求，所述请求包括至少所述认证代码；
[0098]将参数值集合提供给被配置成确定所述客户端与安全策略集合是否符合的所述服务器；以及
[0099]当确定所述客户端与所述安全策略集合符合时，获得对所述安全信息的访问权。
[0100]21.如条款20所述的方法，其进一步包括:
[0101]接收对与所述安全策略集合相关的所述参数值集合的请求。
[0102]22.如条款20所述的方法，其中所述认证代码使用应用程序生成，所述应用程序包括引导到所述客户端上的认证种子。
[0103]23.如条款20所述的方法，其进一步包括:
[0104]使用所述客户端上位置确定元件而来确定当前位置，其中被发送到所述服务器的所述参数值集合中的一个参数值是基于所述确定位置。
[0105]24.如条款20所述的方法，其进一步包括:
[0106]请求所述安全策略集合的更新版本；以及
[0107]确定所述客户端在使用所述安全策略集合的所述更新版本情况下是否符合。
[0108]25.如条款24所述的方法，其中在每次做出对安全信息进行访问的请求时检索所述更新版本，以便确保客户端与更新过的安全策略符合。
[0109]26.如条款20所述的计算机系统，其中当所述客户端是包括被启用的远程清除能力和最小pin长度要求中的至少一个时，所述客户端与所述安全策略集合中的一个安全策略符合。
[0110]27.一种非易失性计算机可读的存储介质，所述非易失性计算机可读的存储介质包括用于使用至少一个认证代码来获得对安全信息的访问权的指令，所述指令在由至计算系统中的至少一个处理器执行时导致所述计算系统执行以下操作:
[0111]向服务器发送对认证种子的请求；
[0112]将值集合提供给被配置成使用所述值集合确定所述客户端装置与安全策略集合是否符合的所述服务器；
[0113]当确定所述客户端装置与所述安全策略集合并不符合时，接收错误消息；以及
[0114]当确定所述客户端装置与所述安全策略集合符合时，接收所述认证种子；
[0115]其中所述客户端装置能使用通过使用所述认证种子来生成的所述认证代码获得对安全信息的访问权。
[0116]28.如条款27所述的非易失性计算机可读的存储介质，其中所述指令在执行时进一步导致所述计算系统执行以下操作:
[0117]接收程序代码；
[0118]接收请求以便执行所述程序代码；以及
[0119]执行所述程序代码，其中所述值集合是从执行所述程序代码而得到的输出值集
八
口 ο
[0120]29.如条款27所述的非易失性计算机可读的存储介质，其中所述指令在执行时进一步导致所述计算系统执行以下操作:
[0121]将认证代理安装在所述客户端装置上；以及
[0122]接收所述安全策略集合，其中所述认证代理确定所述客户端装置与所述安全策略集合是否符合。
[0123]30.如条款27所述的非易失性计算机可读的存储介质，其中所述指令在执行时进一步导致所述计算系统执行以下操作:
[0124]从服务器接收对与所述安全策略集合对应的安全参数值集合的请求，所述值集合就是所述安全参数值集合，其中所述服务器是通过确定所述安全参数值集合是否符合所述安全策略集合而来确定所述客户端装置与所述安全策略集合是否符合。
[0125]31.如条款30所述的非易失性计算机可读的存储介质，其中所述服务器向策略强制执行代理发送所述安全参数值集合，以便执行与所述客户端装置与所述安全策略是否符合有关的所述确定。
[0126]32.如条款27所述的非易失性计算机可读的存储介质，其中所述指令在执行时进一步导致所述计算系统激活能提供认证代码的应用程序。
[0127]33.如条款27所述的非易失性计算机可读的存储介质，其中所述请求至少部分基于包括所述客户端装置的用户的用户名和密码的公司凭据。
[0128]34.如条款27所述的非易失性计算机可读的存储介质，其中所述指令在执行时进一步导致所述计算系统执行以下操作:
[0129]使用所述认证种子生成所述认证代码；以及
[0130]当所述服务器确定所述客户端装置的用户的用户名和密码有效时，使用所述认证代码获得对安全信息的访问权。[0131]35.如条款27所述的非易失性计算机可读的存储介质，其中所述安全策略集合包括所述客户端装置的位置要求。
[0132]36.如条款35所述的非易失性计算机可读的存储介质，其中所述客户端装置的位置基于所述客户端装置上的位置确定元件或所述客户端装置的网络位置中的至少一个确定。
[0133]37.一种用于验证客户端与安全策略集合的符合性以授权客户端对安全数据进行访问的系统，所述系统包括:
[0134]处理器；以及
[0135]存储器装置，其包括在由所述处理器执行时导致所述电子装置执行以下操作进行以下操作的指令:
[0136]接收对认证种子的请求；
[0137]向所述客户端发送对与安全策略集合对应的响应的请求；
[0138]从所述客户端接收所述响应；
[0139]确定所述响应是否指示所述客户端与所述安全策略集合符合；
[0140]在确定所述响应指示所述客户端与所述安全策略集合符合后，向所述客户端发送所述认证种子；以及
[0141]至少部分基于所述认证种子生成认证代码；
[0142]其中所述客户端能至少使用所述认证代码获得对敏感信息的访问权。
[0143]38.如条款37所述的系统，其中所述响应就是由服务器所请求的参数值集合，所述参数值集合包括所述客户端的配置信息或者应答响应中的至少一个。
[0144]39.如条款37所述的系统，其中所述指令在执行时进一步导致系统执行以下操作:
[0145]发送包括用于在所述客户端上执行的指令集合的计算机程序，其中所接收的响应是所述计算机程序的输出。
[0146]图8示出可根据各个实施方案使用的示例便携计算装置800的前视图和后视图。尽管示出一种类型的便携计算装置(例如，智能手机、电子书阅读器或平板电脑)，但应理解，能够确定、处理并提供输入的各种其它类型电子装置也可根据本文所讨论的各个实施方案使用。所述装置例如包括笔记本计算机、个人数据辅助、蜂窝电话、游戏控制台或控制器以及便携式媒体播放器等等。
[0147]在此实施例中，便携计算装置800具有显示屏802(例如，液晶显示器(IXD)元件)，其可操作地将图像内容显示给装置的一个或多个用户或观看者。在至少一些实施方案中，显示屏提供用于使用例如电容或电阻式触摸技术进行基于触摸或敲击的输入。此种显示器元件可以用于(例如)使得用户通过按压显示器上与按钮图像对应的某个区域(如右侧鼠标按钮或左侧鼠标按钮、触摸点等)而能提供输入。
[0148]示例便携计算装置可以包括为了实现如常规图像和/或视频捕获等目的的一个或多个图像捕获元件。尽管此实施例中的计算装置包括在装置“前面”的一个图像捕获元件804和在装置“后面”的一个图像捕获元件812上，但是应当理解，图像捕获元件还可(或替代地)置于装置侧面或拐角上，并且可能存在任何适合数量类似或不同类型的捕获元件。每个图像捕获元件例如可为相机、电荷耦合装置(CCD)、运动检测传感器或红外传感器，或可利用另一图像捕获技术。计算装置还可包括至少一个麦克风806或能够捕获音频数据的其它音频捕获元件，如在某些实施方案中可用于确定位置改变或者接收用户输入。在一些装置中，可能仅有一个麦克风，而在其它装置中，可能在装置的每侧和/或拐角或在其它适合位置存在至少一个麦克风。
[0149]此实施例中的装置800还可包括至少一个位置确定元件808，其可操作地提供如装置位置、方向、运动或取向的信息。这些元件可以包括(例如)加速度计、惯性传感器、电子陀螺仪、电子罗盘以及GPS元件。在取向上各种类型的运动或改变可以用于向装置提供可针对另一装置触发至少一个控制信号的输入。示例装置还包括了至少一个通信机构814，如可包括至少可操作地与一个或多个电子装置通信的一个有线或无线组件。装置还包括了电源系统816，如可包括可操作地通过常规插入插座方式或通过如接近充电板或其它此种装置进行电容充电的其它方式来再充电的电池。在各个实施方案范围内，各种其它元件和/或组合也是可能的。
[0150]图9示出电子计算装置900中的一组基础组件，所述电子计算装置900如参照图8描述的装置800。在此实施例中，所述装置包括至少一个处理单元902，所述至少一个处理单元902用于执行可存储在存储装置或元件904中的指令。如本领域普通技术人员显而易见，装置可以包括多种类型的存储器、数据存储器或计算机可读介质，如第一数据存储器用于由一个或多个处理单元902执行的程序指令，相同或独立存储器可以用于图像或者数据，可移除存储器可以提供用于与其它装置共享信息，并且任何数量通信方法可以提供用于与其它装置进行共享。
[0151]所述装置通常将会包括一些类型的显示器元件906，如触摸屏、电子墨水(电子墨水)、有机发光二极管(OLED)或液晶显示器(LCD)，但如便携式媒体播放器的装置可以经由其它装置(如通过扬声器)来传输信息。
[0152]在一些实施方案中，所述装置可以包括至少一个另外输入装置908，其能从用户处接收常规输入。这种常规输入例如包括按钮、触摸板、触摸屏、方向盘、操纵杆、键盘、鼠标、小键盘或用户可以借助用来向装置输入命令的任何其它此种装置或元件。这些I/o装置甚至可以通过无线红外或蓝牙来连接，或在一些实施方案中也通过其它链路来连接。一些装置还可包括麦克风或接受声音或其它音频命令的其它音频捕获元件。例如，装置完全可不包括任何按钮，但可仅仅通过视频和音频命令的组合进行控制，以使用户可以在不必须接触装置的情况下控制所述装置。
[0153]所述装置还包括了各种电源组件910，如可包括可操作地通过常规插入插座方式或通过如接近充电板或其它此种装置进行电容充电的其它方式来再充电的电池。在各个实施方案范围内，各种其它元件和/或组合也是可能的。
[0154]如所讨论，许多实施方案中的装置将会包括至少一个位置确定元件912，用以确定装置位置(或者用户位置)。位置确定元件可以包括GPS或类似组件，其可操作地确定装置位置的相关坐标。如上提及，定位元件可以包括无线接入点、基站等，从而可以广播位置信息或使信号能够进行三角测量以便确定装置位置。其它定位元件可以包括QR代码、条形码、RFID标记、NFC标记等等，其使装置能够检测并且接收位置信息或标识符，以使装置能够获得位置信息(例如，通过将标识符映射到对应位置)。各个实施方案可以包括一个或多个此类元件的任何适合组合。[0155]示例装置还包括一个或多个网络组件914，如蜂窝网络组件、无线式因特网组件、Bluetooth"机构、WLAN连接器等等。此种组件可使所述装置能够通过至少一个网络来与装置、系统或者服务交互，并在一些实施方案中与其它计算装置和/或附属装置直接通信。无线式因特网组件在特定无线信道通信范围内可操作地与一个或多个电子装置通信。无线信道可以是用于使得装置能够无线通信的任何适合信道，如蓝牙、蜂窝或W1-Fi信道。应当理解，装置可以具有如本领域中已知的一个或多个常规的通信连接。
[0156]如所论述，可以根据所描述的实施方案在各种环境中实施不同方法。例如，图10示出用于根据各个实施方案来实施方面的环境1000的实施例。如将了解，尽管出于解释的目的使用基于Web的环境，但是不同环境可视情况用来实现各个实施方案。系统包括电子客户端装置1002，所述电子客户端装置1002可以包括可操作地在适当网络1004上发送和接收请求、消息或信息并将信息传送回装置用户的任何适合装置。此类客户端装置的实例包括个人计算机、手机、手持发信装置、笔记本计算机、机顶盒、个人数据助理、电子书阅读器等等。网络可以包括任何适合网络，包括内部网、互联网、蜂窝网、局域网或任何其它此类网络或上述项的组合。此种系统所用组件至少部分可取决于所选网络和/或环境类型。用于经由此种网络通信的协议和组件是众所周知的，因而本文不再详细论述。网路上的通信可以经由有线或无线连接及其组合来启用。在此实施例中，网络包括了互联网，因为环境包括用于接收请求并响应于所述请求而服务内容的Web服务器1006，然而对于其它网络来说，可以使用服务于类似目的的替代装置，如本领域普通技术人员显而易见。
[0157]所示环境包括至少一个应用服务器1008和数据存储器1010。应当理解，可以存在能以链接或以其它方式来配置的若干应用服务器、层或其它元件、流程或组件，从而可交互以执行如从适合数据存储器获取数据的任务。如本文所使用，术语“数据存储器”指代能够存储、访问和检索数据的任何装置或装置组合，所述装置可以包括数据服务器、数据库、数据存储装置和数据存储介质的任何组合和任何数目。应用服务器1008可包括任何适当硬件和软件，所述硬件和软件视执行客户端装置的一个或多个应用程序的方面的需要与数据存储器1010集成并且处置应用程序的大多数数据访问和业务逻辑。应用服务器提供与数据存储器协作的存取控制服务，并且能够生成将要传送到用户的如文本、图片、音频和/或视频等内容，在这个实施例中所述内容可以HTML、XML或另一适当结构化语言的形式通过Web服务器1006向用户提供服务。所有请求和响应的处置和客户端装置1002与应用服务器1008之间的内容递送可由Web服务器1006来处置。应了解的是，Web和应用服务器不是必要的，且仅仅是示例组件，因为本文所论述的结构化代码可在如本文其它处所论述的任何适当装置或主机上执行。
[0158]数据存储器1010可包括几个独立数据表、数据库或用于存储与特定方面相关的数据的其它数据存储机构和介质。举例来说，所示出的数据存储器包括用于储存内容(例如，生成数据)1012和用户信息1016的机构，所述机构可用于服务生成侧的内容。数据存储器还示出为包括用于储存记录或会话数据1014的机构。应当理解，可能需要存储在数据存储器中的许多其它方面可能存在，如页面图像信息和访问权信息，所述方面可视情况存储在上文列出机构中的任何机构中或存储在数据存储器1010的附加机构中。数据存储器1010是可通过相关联逻辑而可操作的，以便从应用服务器1008接收指令，并且响应于指令而获取、更新或以其它方式处理数据。在一个示例中，用户可以针对某种类型的项目提交搜索请求。在这种状况下，数据存储器可访问用户信息来验证用户的身份，并且可访问目录详细信息来获取有关所述类型的物品的信息。随后信息可返回到用户，如呈Web页面上的结果列表的形式，而用户能够在用户装置1002上经由浏览器查看所述列表。可在浏览器的专用页面或窗口中查看感兴趣的特定物品的信息。
[0159]各服务器通常包括操作系统，所述操作系统提供有关所述服务器的通用管理和操作的可执行程序指令，且通常包括用于存储指令的计算机可读介质，所述指令在由服务器的处理器执行时可使服务器执行预期功能。操作系统的适合实施方案和服务器的通用功能性是众所周知的或可商购的，并且易于为本领域技术人员所实施，尤其是在根据本文公开的情况下。
[0160]一个实施方案中的环境是分布式计算环境，所述环境利用经由通信链路、使用一个或多个计算机网络或直接连接来互联的若干计算机系统和组件。然而，本领域技术人员应理解的是，这种系统可在具有比图10所示出的组件更少或更多个组件的系统中同样顺利操作。因此，图10中系统1000的描绘本质上应视为说明性的，而不是限制本公开的范围。
[0161]可在广泛范围的操作环境中进一步实现各个实施方案，所述环境在一些情况下可包括一个或多个用户计算机或可用于操作多个应用程序中的任何一个应用程序的计算装置。用户或客户端装置可包括多个通用个人计算机中的任何通用个人计算机，如运行标准操作系统的台式计算机或笔记本计算机，以及运行移动软件并且能够支持多个网络连接和发信协议的蜂窝装置、无线装置和手持装置。这种系统还可包括多个工作站，所述工作站运行各种可商购的操作系统和用于特定目的(如开发和数据库管理)的其它已知应用程序中的任何应用程序。这些装置还可包括其它电子装置，如虚拟终端、薄型客户端、游戏系统和能够经由网络来通信的其它装置。
[0162]大多数的实施方案利用本领域的技术人员所熟悉的至少一个网络，所述网络使用各种可商购的协议(如TCP/IP、OS1、FTP、UPnP, NFS、CIFS和AppleTalk)中的任何协议来对通信进行支持。例如，网络例如可为局域网、广域网、虚拟专用网、互联网、内部网、外联网、公共交换电话网、红外网络、无线网络以及上述项的任何组合。
[0163]在利用Web服务器的实施方案中，Web服务器可以运行各种服务器或中间层应用程序中的任何应用程序，包括HTTP服务器、FTP服务器、CGI服务器、数据服务器、Java服务器和业务应用服务器。所述服务器还可响应来自用户装置的请求能够执行程序或脚本，如通过执行一个或多个可以实现作为一个或多个以任何编程语言(如Java"、C、C#或C++)或任何脚本语言(如Perl、Python或TCL，以及它们的组合)写的脚本或程序的网络应用程序。服务器还可包括数据库服务器，包括但不限于可商购的Oracle"、Microsoft"、Sybaseκ'和IBMK的数据库服务器。
[0164]环境可包括如上文所论述的各种数据存储器以及其它存储器和存储介质。这些介质可驻留在各种位置，如一个或多个计算机本地的存储介质上(和/或驻留在一个或多个计算机上的存储介质上)，或远离网络上计算机中的任何计算机或所有计算机。在特定实施方案集合中，信息可驻留在本领域的技术人员所熟悉的存储区域网络(SAN)中。类似地是，用于执行有助于计算机、服务器或其它网络装置的功能的任何必需文件可以根据适当情况进行本地和/或远程存储。在系统包括计算机的装置的情况下，每种此类装置可以包括可经由总线进行电耦合的硬件元件，所述元件包括，例如，至少一个中央处理器(CPU)、至少一个输入装置(例如，鼠标、键盘、控制器、触敏显示器元件或小键盘)和至少一个输出装置(例如，显示器装置、打印机或扬声器)。这种系统也可以包括一个或多个存储装置，如磁盘驱动器、光存储装置和固态存储装置(如随机存取存储器(RAM)或只读存储器(ROM))，以及可移动介质装置、存储卡、闪存卡等。
[0165]这类装置还可包括计算机可读存储介质读取器、通信装置(例如调制解调器、网络卡(无线或有线)、红外通信装置等)和工作存储器，如上文所论述的。计算机可读存储介质读取器可与计算机可读存储介质连接或被配置来接收计算机可读存储介质，从而表示远程、本地、固定和/或可移除存储装置以及用于临时和/或更永久地含有、存储、传输和检索计算机可读信息的存储介质。系统和各种装置通常也包括多个软件应用程序、模块、服务或位于至少一个工作存储装置内的其它元件，包括操作系统和应用程序，如客户端应用程序或Web浏览器。应当了解的是可替代的实施方案可以拥有来自上文所描述的许多变化。举例来说，也可使用定制硬件，和/或特定元件可以在硬件、软件(包括可移植的软件，如小程序)或这两者中实现。此外，可以采用与如网络输入/输出装置的其它计算装置的连接。
[0166]含有代码或部分代码的存储介质和计算机可读介质可包括本领域已知或已使用的任何适合介质，包括存储介质和通信介质，如(但不限于)用于存储和/或传输信息(如计算机可读指令、数据结构、程序模块或其它数据)的任何方法或技术中所实施的易失性和非易失性、可移动和不可移动介质，包括RAM、ROM、EEPR0M、闪存或其它存储器技术、CD-ROM、数字通用光盘(DVD)或其它光学存储器、磁盒、磁带、磁盘存储器或其它磁性存储装置，或可用于存储所要信息且可供系统装置访问的任何其它介质。基于本文所提供的公开和教义，本【技术领域】的普通技术人员将了解其它实施各个实施方案的方式和/或方法。
[0167]因此，应将说明书和附图视为说明性的而不是限制性的意义。然而，将是显而易见的是:在不脱离如在权利要求中阐述的本发明的概括的精神和范围的情况下，可以对其做出各种修改和改变。
【权利要求】
1.一种由服务器认证客户端的方法，所述方法包括: 在配置有可执行指令的一个或多个计算机系统的控制下， 从所述客户端接收对安全信息进行访问的请求，所述请求包括至少部分基于所述客户端和所述服务器可获取的认证种子而生成的至少一个响应代码； 从所述客户端接收安全参数值集合，以便确定所述客户端的安全设置是否符合安全策略集合； 确定所述安全参数值集合是否指示所述客户端与所述安全策略集合符合；以及 在确定所述客户端与所述安全策略集合符合后，使得所述客户端能访问安全信息。
2.如权利要求1所述的方法，其进一步包括: 在接收所述请求后，从 所述客户端请求所述安全参数值集合，所述安全参数值集合对应由所述服务器所强加的所述安全策略集合。
3.如权利要求1所述的方法，其中所述响应代码的生成进一步是基于用户名、密码、当前时间、计数器、先前认证代码、所述请求或者由所述服务器所提供的质询中的至少一个。
4.如权利要求1所述的方法，其中所述确定步骤包括与策略强制执行代理实时通信以证实所述安全参数值集合符合所述对应的策略集合。
5.如权利要求1所述的方法，其进一步包括: 在接收所述请求后，向所述客户端发送指令集合；以及 使得所述客户端能执行所述指令集合，以便确定所述客户端与所述安全策略集合是否符合，其中所述安全参数值集合包括通过执行所述指令集合而来的输出。
6.如权利要求1所述的方法，其中所述安全参数值集合包括所述客户端的当前位置的标识符，所述标识符是位于由所述对应的安全策略所规定的允许区域内的。
7.如权利要求1所述的方法，其中所述请求进一步包括用户名和密码，其中在验证所述用户名和所述密码后，使得所述客户端能访问信息。
8.如权利要求1所述的方法，其中所述安全策略集合包括在所述客户端与执行所述确定的认证方所选择的位置之间的最大允许距离。
9.一种计算机系统，其被配置成通过符合安全策略而来获得对安全信息的访问权，所述计算机系统包括: 至少一个处理器，其连接到存储器上，所述存储器包括在执行后导致所述计算机系统执行以下操作的指令: 激活提供对安全信息的访问的应用程序； 至少部分基于种子值来生成认证代码； 向服务器发送对安全信息进行访问的请求，所述请求包括至少所述认证代码； 将参数值集合提供给被配置来确定所述客户端与安全策略集合是否符合的所述服务器；以及 当确定所述客户端与所述安全策略集合符合时，获得对所述安全信息的访问权。
10.如权利要求9所述的计算机系统，其中所述存储器进一步包括在执行后导致所述计算机系统执行以下操作的指令: 接收对与所述安全策略集合相关的所述参数值集合的请求。
11.如权利要求9所述的计算机系统，其中所述认证代码使用应用程序来生成，所述应用程序包括被引导到所述客户端上的认证种子。
12.如权利要求9所述的计算机系统，其中所述存储器进一步包括在执行后导致所述计算机系统执行以下操作的指令: 使用所述客户端上的位置确定元件来确定当前位置，其中被发送到所述服务器的所述参数值集合中的一个参数值是基于所述确定位置的。
13.如权利要求9所述的计算机系统，其中所述存储器进一步包括在执行后导致所述计算机系统执行以下操作的指令: 请求所述安全策略集合的更新版本；以及 使用所述安全策略集合的所述更新版本来确定所述客户端是否符合。
14.如权利要求13所述的计算机系统，其中在每次做出对安全信息进行访问的请求时检索所述更新版本，以便确保客户端与更新过的安全策略符合。
15.如权利要求9所述的计算机系统，其中当所述客户端包括被启用的远程清除能力和最小pin长度要求中的至少一个时，所述客户端与所述安全策略集合中的一个安全策略符合。
【文档编号】G06F7/04GK103988169SQ201280047169
【公开日】2014年8月13日 申请日期:2012年9月26日 优先权日:2011年9月27日
【发明者】G·D·贝尔, G·B·罗斯 申请人:亚马逊技术股份有限公司