[发明专利]基于策略符合性的安全数据访问

说明书

背景

人们越来越多地使用计算装置完成各种不同任务，如检查电子邮件、访问公司信息和管理公司联系信息。随着通过计算装置来访问的信息的量增加，对保护存储在计算装置上或通过计算装置可访问的信息的需要持续增加。可以应用策略而来控制对各种计算资源的访问并且保护通过计算装置可访问的信息。

策略强制执行通常包括用户认证，其中用户通过各种过程而来确认他或她的身份，以获得对一个或多个计算资源的访问权。出于各种原因，用于可能希望获得对包括敏感或安全信息的各种类型信息的访问权，并且可能期望使得用户在其计算装置上对此类信息进行访问。在这些实例中的一些实例中，通常期望在授权用户进行访问前要求更可靠认证(如多因素认证)。实现可靠认证所用常规技术可能是麻烦的，并且在许多实例中，所述常规技术可能涉及不必要的风险。

附图简述

将参照附图描述根据本公开的各个实施方案，在附图中：

图1示出可根据一个实施方案使用的网络配置的实施例；

图2示出根据一些实施方案的用于在认证代码产生时验证客户端与一系列的安全策略的符合性的操作流程的实施例；

图3示出根据一些实施方案的用于在使得客户端能访问安全信息前验证客户端与一系列的安全策略的符合性的示例操作流程；

图4示出根据一个实施方案的用于验证客户端与由多因素认证服务器强制执行的安全策略集合的符合性的示例操作流程；

图5示出根据一些实施方案的用于通过符合安全策略集合而来获得对安全信息的访问权的示例过程；

图6示出根据一些实施方案的用于由服务器来认证客户端的示例过程；

图7示出根据一些实施方案的用于通过符合安全策略而来获得对安全信息的访问权的示例过程；

图8示出可根据各个实施方案使用的示例便携计算装置的前视图和后视图；

图9示出电子计算装置中的一组基础组件，所述电子计算装置如参照图8描述的装置；以及

图10示出可实现各个实施方案的环境。

详述

根据本公开的各个实施方案的系统和方法可以克服管理对电子环境中的敏感信息和/或资源的访问的常规方法中经历的前述和其它缺点中一个或多个。具体地说，一些实施方案可以在使得电子装置用户能对敏感信息和/或资源进行访问前要求电子装置符合多个安全策略。例如，一些实施方案仅当确定将在装置上强制执行多个安全特征时，如当要求最小长度密码、要求在多次失败尝试后进行自动的自清除(即，要求装置从存储器删除所有数据)、要求存储加密、要求远程清除能力(即，要求装置能使装置管理员或用户远程删除存储器中数据)、要求装置定位在特定区域内、要求所述装置处于高度或温度范围内等时，使得电子装置能获得对敏感或安全信息和/或资源的访问权。

一些实施方案提供认证代码生成应用程序，所述认证代码生成应用程序能够使用随机密钥(如认证种子或共享保密密钥)生成认证代码或验证代码。随机密钥可由至少两方(例如，客户端装置和服务器)共享，以便能在两方之间进行认证。在客户端装置上激活应用程序后，例如，客户端装置(或一些实施方案中的移动计算装置)能将请求自动发送到服务器，以便检查装置的符合性。

在一些实施方案中，请求包括用户凭证(例如，用户名、口令)。在一些实例中，客户端装置还可以提供安全参数值集合，所述安全参数值集合包括与客户端装置有关的信息(例如，在用户获得对装置上的内容的访问权前在客户端装置上要求的pin长度、装置位置信息、装置是否符合某些安全要求(即，确认应答)等)。在一些实施方案中的服务器确定客户端装置是否符合所强加的(imposed)规定和政策(例如，通过请求第三方策略强制执行代理来执行所述确定、通过传送程序代码到客户端装置以供执行、通过使客户端装置运行安装在客户端装置上的程序而来执行所述确定)。

在确定客户端装置与所强加的安全策略符合后，本实施方案中的服务器向客户端装置发布认证种子。在一些实施方案中，在客户端装置上的应用程序使用认证种子生成用户获得对敏感信息的访问权所必需的认证代码。一些实施方案在接收有效的用户名、密码以及认证代码后提供对安全信息的访问权。例如，在客户端装置上的相同或不同的应用程序可以在用户输入有效的用户名、密码以及认证代码后使得用户访问公司数据。