用于使用一個或多個策略處置器促進(jìn)多因子認(rèn)證策略實(shí)施的系統(tǒng)和方法
【專利摘要】公開了用于使用一個或多個策略處置器來促進(jìn)多因子認(rèn)證策略實(shí)施的方法、裝置�����、系統(tǒng)和制品。用于在分布式環(huán)境中管理全局策略的示例第一策略處置器包括:解析器��,所述解析器用于標(biāo)識所述全局策略的能夠由所述第一策略處置器實(shí)施的第一子策略���;以及證明器���,所述證明器用于對所述第一子策略進(jìn)行簽名。所述示例第一策略處置器進(jìn)一步包括:引導(dǎo)器��,所述引導(dǎo)器用于基于所述全局策略的簽名狀態(tài)確定是否將所述全局策略轉(zhuǎn)發(fā)到第二策略處置器以及當(dāng)所述全局策略的所述簽名狀態(tài)指示未經(jīng)簽名的第二子策略時將所述全局策略轉(zhuǎn)發(fā)到所述第二策略處置器�����。
【專利說明】
用于使用一個或多個策略處置器促進(jìn)多因子認(rèn)證策略實(shí)施的 系統(tǒng)和方法
技術(shù)領(lǐng)域
[0001] 本公開總體上設(shè)及計(jì)算安全���,并且更具體地設(shè)及用于使用一個或多個策略處置器 促進(jìn)多因子認(rèn)證策略實(shí)施的系統(tǒng)和方法。
【背景技術(shù)】
[0002] 近年來����,客戶端的安全性已經(jīng)成為當(dāng)前客戶端-服務(wù)器模型中的薄弱環(huán)節(jié)。當(dāng)前的 客戶端-服務(wù)器模型通常包括管理認(rèn)證策略的企業(yè)服務(wù)器W及在每個客戶端節(jié)點(diǎn)上本地地 實(shí)施認(rèn)證策略的一個或多個客戶端節(jié)點(diǎn)����。用戶可W通過首先認(rèn)證他們自己來經(jīng)由客戶端節(jié) 點(diǎn)請求訪問資源�。安全憑證(諸如用戶名和相應(yīng)的密碼)已經(jīng)用了數(shù)十年但是現(xiàn)在面臨用戶 期望管理幾十個(如果不是上百個)密碼的可用性挑戰(zhàn)��?�?商娲幕蚋郊拥慕鉀Q方案設(shè)及使 用生物計(jì)量學(xué)�����、可穿戴設(shè)備和/或觸敏輸入設(shè)備來認(rèn)證用戶����。 附圖描述
[0003] 圖1是根據(jù)本公開的教導(dǎo)被構(gòu)建W便促進(jìn)多因子認(rèn)證策略實(shí)施的示例分布式計(jì)算 環(huán)境的示意性說明。
[0004] 圖2和圖3示出了包括可W被執(zhí)行W便控制對圖1的示例客戶端環(huán)境中的受控資源 的訪問的偽代碼的示例多因子認(rèn)證策略�。
[0005] 圖4是圖1的示例策略處置器的示例實(shí)現(xiàn)方式的示意性說明。
[0006] 圖5是表示可W被執(zhí)行W便配置圖1的分布式計(jì)算環(huán)境中的多因子認(rèn)證策略的示 例機(jī)器可讀指令的流程圖�。
[0007] 圖6是表示可W被執(zhí)行W便促進(jìn)多因子認(rèn)證策略實(shí)施的示例機(jī)器可讀指令的流程 圖。
[0008] 圖7是表示可W被執(zhí)行W便配置圖1的分布式計(jì)算環(huán)境中的多因子認(rèn)證策略的示 例機(jī)器可讀指令的流程圖�。
[0009] 圖8是表示可W被執(zhí)行W便實(shí)施圖1的分布式計(jì)算環(huán)境中的多因子認(rèn)證策略的示 例機(jī)器可讀指令的流程圖。
[0010] 圖9是可W執(zhí)行圖5至圖8的示例機(jī)器可讀指令W便分別實(shí)現(xiàn)圖1的示例策略管理 器和/或圖1和/或圖4的示例策略處置器的示例處理器平臺的示意性說明���。
【具體實(shí)施方式】
[0011] 在此公開的系統(tǒng)����、方法、裝置和/或制品促進(jìn)使用分布在客戶端環(huán)境中的一個或多 個策略處置器來管理所述客戶端環(huán)境中的多因子認(rèn)證策略�����。多因子認(rèn)證(MFA)是用于簡單 密碼的附加或可替代用戶認(rèn)證方法��。實(shí)施多因子認(rèn)證的系統(tǒng)在用戶能夠訪問所請求的受控 資源之前可能要求多個安全憑證����,諸如用戶名/密碼、生物計(jì)量學(xué)�、可穿戴設(shè)備、和/或觸敏 輸入設(shè)備�����。MFA策略巧時被稱為"全局策略")是可W使用例如邏輯與和/或邏輯或運(yùn)算符組 合的子策略集合(例如���,因子���,諸如安全憑證、上下文要求等等)���。例如����,可W通過滿足(1)與 來自指紋讀取器的傳感器輸入相對應(yīng)的第一因子或(〇R)(2)與來自照相機(jī)的傳感器輸入相 對應(yīng)的第二因子與(AND)與用戶名/密碼組合相對應(yīng)的第Ξ因子來確定是否符合包括兩個 策略的MFA策略���。在客戶端環(huán)境中管理MFA策略包括將所述MFA策略配置到(例如��,部署����、提供 等等)所述客戶端環(huán)境并且然后當(dāng)請求訪問受所述客戶端環(huán)境控制的資源時實(shí)施所述MFA 策略�����。在某些示例中���,子策略設(shè)及認(rèn)證正在請求訪問受控資源的用戶的不同級別或類型�。子 策略基于不同的強(qiáng)度級別處理其安全憑證(例如�����,用戶知道的某些東西��,諸如用戶名/密碼 組合;用戶具有的某些東西����,諸如智能卡;和/或用戶呈現(xiàn)的某些東西�,諸如生物計(jì)量特征)�。 例如,用于驗(yàn)證安全憑證的策略或子策略可W包括:用于檢查來自傳感器的輸入是否滿足 符合闊值的第一子策略���、用于檢查所述傳感器是否滿足最小安全強(qiáng)度標(biāo)準(zhǔn)的第二子策略W 及用于檢查運(yùn)些安全憑證是否是在可信傳感器處獲得的第Ξ子策略���。因此,策略和/或子策 略可W包括附加子策略����。比如,在上述示例中�����,第一策略或子策略可能要求用于匹配被授權(quán) 指紋簽名的指紋掃描�。第一策略或子策略可W包括:用于檢查指紋讀取器的安全強(qiáng)度級別 的第二子策略W及用于檢查指紋讀取器是否是可信指紋讀取器的第Ξ子策略。在某些運(yùn)種 示例中�,可W僅在首先認(rèn)為符合第二和第Ξ子策略時才測試第一策略或子策略。如在此所 使用的�����,受控資源可W是具有一個或多個相關(guān)聯(lián)的訪問控制限制和/或規(guī)則的任何文件���、文 件夾�、外圍設(shè)備�����、傳感器�����、密鑰�����、服務(wù)或?qū)嶓w�。受控資源可W針對不同的人員按照不同的規(guī)則 來處理。例如��,第一用戶當(dāng)訪問文件時可W具有只讀權(quán)限�,而第二用戶可W在訪問相同的文 件時具有全部控制(例如,讀和/或?qū)?權(quán)限��。
[0012] 在本文公開的某些示例中���,策略管理器為分布在客戶端環(huán)境中的策略處置器提供 MFA策略��。在運(yùn)種示例中��,MFA策略由策略處置器配置并實(shí)施����。在某些示例中,策略處置器由 軟件(諸如操作系統(tǒng)和/或硬件/固件組件���,諸如與用戶對接W便執(zhí)行認(rèn)證(例如用于提供用 戶名/密碼組合證書的鍵盤)��、執(zhí)行活性測試(例如�,用于提供視網(wǎng)膜掃描證書的照相機(jī))或 執(zhí)行用戶存在采樣(例如�,用于提供接近度證書的NFC功能設(shè)備)的傳感器)實(shí)現(xiàn)。在某些示 例中��,策略加固政策被應(yīng)用到策略處置器�����。加固包括通過降低其對例如未授權(quán)惡意軟件的 脆弱性來保護(hù)系統(tǒng)的過程��。示例策略加固政策包括隔離主機(jī)和/或客戶端環(huán)境的輸入/輸 出、處理和/或存儲器的機(jī)制����。運(yùn)些受控資源隔離機(jī)制可W有時被稱為可信執(zhí)行環(huán)境(TEE)。 在本文公開的示例中�,策略處置器可W在可信執(zhí)行環(huán)境中執(zhí)行����。同樣,策略處置器能夠證明 其真實(shí)性(有時被稱為"證明(Attestation)")�,由此確保從所述策略處置器獲得的消息(例 如,受控資源訪問請求���、傳感器輸入等等)可W被作為真實(shí)消息處理���。
[0013] 在某些示例中,不同的技術(shù)可W用于在客戶端環(huán)境中實(shí)現(xiàn)策略處置器��。例如���, 英特爾⑥技術(shù)包括����。管理引擎(Manageability Engine,ΜΕΓ���、�����。融合安全引擎(Converged Security Engine�,CSE)"�、"安全元素組件(Secure Element Component,SEC)"����、"Chaabi"、 "軟件防護(hù)擴(kuò)展(Software Guard Extensions��,SGX)"��、"虛擬化技術(shù)(Virtualization Technology,VT-X)"和/或�����?���?尚艌?zhí)行技術(shù)(Trusted Execution Technology,TXT)"。在某些 示例中,由ARM架構(gòu)定義的"信任區(qū)(TrustZone)"技術(shù)可W結(jié)合ARM架構(gòu)使用從而定義可W 結(jié)合谷歌(Google)夠"可信(Trusty)"操作系統(tǒng)使用的信任區(qū)技術(shù)���。但是�����,在其他示例中���, 可W使用運(yùn)行各種可信0S系統(tǒng)(例如,SE-Linux)的云服務(wù)器���。
[0014] 在某些示例中,不同??Ε技術(shù)的集合或子集可W用于基于例如策略處置器和/或與 策略處置器通信的傳感器的不同安全強(qiáng)度(例如����,策略加固)和/或功能級別構(gòu)建策略處置 器層級。例如�����,第一層策略處置器(例如���,層1策略處置器)可W對應(yīng)于應(yīng)用第一安全強(qiáng)度的 外圍設(shè)備(例如����,鍵盤、指紋讀取器����、照相機(jī)等等),第二層策略處置器(例如�����,層2策略處置 器)可W對應(yīng)于應(yīng)用第二安全強(qiáng)度的管理引擎��,并且第Ξ層策略處置器(例如�,層3策略處置 器)可W對應(yīng)于應(yīng)用第Ξ安全強(qiáng)度的操作系統(tǒng)。在運(yùn)種示例中��,策略處置器層級可W在層級 的一端對第一層策略處置器(有時在此被稱為"葉節(jié)點(diǎn)")���、在層級的另一端對第Ξ層策略處 置器(有時在此被稱為"根節(jié)點(diǎn)及在第一層策略處置器與第Ξ層策略處置器之間對第 二層策略處置器(有時在此被稱為"中間節(jié)點(diǎn)")進(jìn)行排序�。在某些示例中���,策略處置器的功 能類型和安全強(qiáng)度可W取決于策略處置器的組件(例如��,軟件�、硬件和/或固件)。
[0015] 在某些示例中�,MFA策略通過客戶端環(huán)境中的策略處置器被層級地配置。例如�����,主 策略處置器可W映射副策略處置器并且使用所映射的客戶端拓?fù)鋪矸植糓FA策略����。如在此 所使用的,主策略處置器是具有直接通信路徑的策略處置器(例如�����,直接與策略管理器通信 而不使用中間策略處置器)�����。副策略處置器是具有到策略管理器的間接通信路徑的策略處 置器(例如����,經(jīng)由主策略處置器(并且可能經(jīng)由一個或多個其他策略處置器)與策略管理器 通信��。然而���,取決于應(yīng)用和供應(yīng)�����,客戶端環(huán)境中的任何策略處置器(例如�,一個或多個第一層 策略處置器、一個或多個第二層策略處置器和/或一個或多個第Ξ層策略處置器)可W被指 定為主策略處置器�。運(yùn)些策略處置器可W本地和/或遠(yuǎn)程地分布在客戶端環(huán)境中。例如��,客 戶端拓?fù)溆成淇蒞將所有策略處置器映射到單個平臺或主機(jī)(例如�,與其建立通信路徑)、 將所有策略處置器映射到云服務(wù)�、和/或?qū)⒉煌牟呗蕴幹闷骷虾?或子集映射到任何主 機(jī)和/或云服務(wù)組合。在某些示例中�����,拓?fù)溆成溥€可W包括每個策略處置器的功能類型和/ 或安全強(qiáng)度��。
[0016] 在本文公開的某些示例中�����,每個策略處置器決定(例如���,本地地決定)如何配置MFA 策略��。例如���,當(dāng)配置MFA策略時����,策略處置器訪問MFA策略�����,解析MFA策略W便標(biāo)識MFA策略的 能夠由所述策略處置器實(shí)施的一個或多個子策略��,并且將所述子策略簽名為由所述策略處 置器主張����。在某些示例中,所述策略處置器通過對所述子策略進(jìn)行簽名(例如���,附加對所述 策略處置器唯一的私鑰)W便標(biāo)識所述策略處置器將實(shí)施哪個(哪些)子策略來主張所述子 策略。在某些示例中�,當(dāng)所述策略處置器匹配所述子策略的功能要求并且能夠應(yīng)用所述子 策略所要求的最小安全強(qiáng)度標(biāo)準(zhǔn)時,所述策略處置器主張所述子策略�。例如���,用于實(shí)施定位 策略的子策略無法由不能訪問基于定位的傳感器(例如,全球定位系統(tǒng)傳感器)的策略處置 器主張����。
[0017] 在某些示例中,在主張子策略時�,所述策略處置器可W使用蘊(yùn)涵證據(jù)來證明其證 書。例如�,蘊(yùn)涵證據(jù)(例如,信任鏈)可W指定或標(biāo)識通信路徑的方法或組成從而使得對蘊(yùn)涵 的獨(dú)立審核可W用于確定通信路徑的可信特征��。蘊(yùn)涵可W是指信任鏈證據(jù)����,諸如一個或多 個制造商證書、一個或多個經(jīng)簽名的代碼����、一個或多個認(rèn)證代碼����、一個或多個清單���、一個或 多個"材料單"和/或白名單���。蘊(yùn)涵可W被表達(dá)為枚舉機(jī)制,諸如字符串�����、統(tǒng)一資源標(biāo)識符�����、對 象標(biāo)識符等等��。例如��,在相關(guān)聯(lián)的策略處置器可W主張級別1子策略之前����,所述子策略可W 標(biāo)識傳感器的最小固件版本。策略處置器可W然后提供其蘊(yùn)涵W便證明其對子策略的主張 合法����。
[0018] 策略處置器可W然后將包括所主張的子策略的MFA策略轉(zhuǎn)發(fā)給客戶端環(huán)境中的另 一個處置器。W此方式��,MFA策略被配置到(例如�����,分布到)客戶端環(huán)境中的策略處置器����。在某 些示例中,當(dāng)轉(zhuǎn)發(fā)MFA策略時�,策略處置器采用客戶端環(huán)境的拓?fù)溆成洹@?,策略處置器?W標(biāo)識其所連接的一個或多個策略處置器并且相應(yīng)地轉(zhuǎn)發(fā)MFA策略。另外或可替代地��,策略 處置器可W標(biāo)識MFA策略中的未經(jīng)簽名的子策略并且將MFA策略轉(zhuǎn)發(fā)到能夠?qū)嵤┪唇?jīng)簽名 的子策略中的一個或多個子策略的策略處置器�。例如,策略處置器可W確定未經(jīng)簽名的子 策略所定義的功能要求和最小安全強(qiáng)度標(biāo)準(zhǔn)并且標(biāo)識滿足功能要求和最小安全強(qiáng)度標(biāo)準(zhǔn) 的策略處置器�����。示例策略處置器可W然后采用拓?fù)溆成鋪砘谟糜谵D(zhuǎn)發(fā)MFA策略的連接路 徑生成執(zhí)行計(jì)劃����。
[0019] MFA策略管理還包括當(dāng)獲得對受控資源(例如,受保護(hù)資源)的請求時實(shí)施MFA策 略��。在此公開的示例通過確定是否滿足MFA策略的子策略來實(shí)施MFA策略。換言之�,所公開的 示例的策略處置器評估是否滿足它們所主張的具體子策略(或多個子策略)并且使用評估 結(jié)果來確定授權(quán)還是拒絕對所請求的受控資源的訪問。在某些示例中����,評估子策略包括對 第一傳感器輸入與第二傳感器輸入進(jìn)行比較、對第一傳感器輸入與已知的授權(quán)輸入值進(jìn)行 比較��、對第一傳感器輸入應(yīng)用布爾檢查等等���。在某些示例中����,如果評估策略處置器確定其不 是用于評估子策略的適當(dāng)?shù)牟呗蕴幹闷?例如���,不滿足功能要求和/或最小安全強(qiáng)度標(biāo)準(zhǔn))��, 策略處置器將安全憑證轉(zhuǎn)發(fā)到另一個策略處置器進(jìn)行處理��。W此方式����,MFA策略被客戶端環(huán) 境中的策略處置器實(shí)施��。當(dāng)滿足MFA策略時(例如,評估成功)�,授權(quán)對所請求的受控資源的 訪問。在某些示例中�����,如果不滿足MFA策略(例如����,安全憑證未通過至少一個子策略(例如�����,因 子的邏輯組合未導(dǎo)致真語句))��,拒絕對所請求的受控資源的訪問��。在某些示例中�����,受控資源 訪問請求的結(jié)果可W被提供給客戶端環(huán)境中的其他策略處置器�。在某些示例中,受控資源 訪問請求決策狀態(tài)的改變還可W被用信號通知給其他策略處置器�。例如,如果受控資源空 閑持續(xù)闊值時間量,可W調(diào)用對受控資源的訪問����。
[0020] 在某些示例中,客戶端環(huán)境中的一個或多個傳感器可W用于提供與用戶相關(guān)聯(lián)的 安全憑證��。在某些示例中���,傳感器監(jiān)控主機(jī)的平臺(例如��,硬件��、固件核/或操作系統(tǒng))的系統(tǒng) 狀態(tài)���。例如,系統(tǒng)傳感器可W確定當(dāng)日時間��、周幾��、主機(jī)的物理或邏輯位置��、主機(jī)是否在移 動�����、平臺溫度和/或客戶端環(huán)境的其他特征。在某些示例中���,可W針對對應(yīng)的技術(shù)在大概的 連接范圍內(nèi)估計(jì)邏輯位置�。例如��,包含具有可管理性的管理端口或Wi-Fi路由器的W太網(wǎng)交 換機(jī)可W報(bào)告交換機(jī)或路由器位置��,從而使得可W估計(jì)端點(diǎn)系統(tǒng)位置�。在某些運(yùn)種示例中�����, 系統(tǒng)傳感器可W用于構(gòu)建將用戶與一個或多個系統(tǒng)狀態(tài)(例如��,登錄����、授權(quán)訪問、拒絕訪問�、 撤銷訪問等等)相關(guān)聯(lián)的概率模型。
[0021] 在某些示例中��,來自與客戶端環(huán)境通信的傳感器的輸入提供用于作出基于上下文 的決策的附加上下文�。例如����,來自某些傳感器(諸如NFC無線電)的輸入可W檢測對于特定用 戶唯一的傳輸���。對于傳感器(諸如NFC無線電)��,存在預(yù)期用戶攜帶發(fā)射機(jī)的高概率性�����。例如����, 腕表或智能電話可W通過NFC通道將唯一值傳輸至NFC無線電��。在某些示例中����,藍(lán)牙低能 ("BLE"巧線電可W用作NFC無線電的替代方案。BLE具有與NFC類似的安全特性但是包括比 NFC更長的通信范圍����。例如,可W在多米范圍內(nèi)測量化E����,而NFC僅具有毫米通信范圍���。可W在 厘米范圍內(nèi)測量紅外和/或超聲信號并且可W不要求用戶攜帶配對設(shè)備(例如����,無線電)。例 如�����,包括發(fā)射機(jī)的紅外傳感器可W廣播光束并且紅外傳感器可W吸收所反射的紅外光�,由 此感測被假定為最近已經(jīng)通過認(rèn)證的用戶的對象的存在���。在某些示例中����,麥克風(fēng)陣列感測 相對于最近通過認(rèn)證的用戶保持一致和/或可W基于所感測的聲紋唯一地標(biāo)識用戶的語音 模式��。在另外其他示例中��,照相機(jī)使用對象和模式識別來標(biāo)識用戶�?����?蓋另外或可替代地包 括其他傳感器輸入�����,諸如加速計(jì)或全球定位系統(tǒng)����。
[0022] 在某些示例中���,MFA策略或子策略包括在策略處置器評估所主張的子策略之前策 略處置器需要滿足的要求�。例如��,子策略可W指定示例策略處置器用來改善MFA策略實(shí)施的 執(zhí)行計(jì)量(例如�,功率、等待時間���、計(jì)算等等)���。例如,如果傳感器可W在更高功率級別遞送更 精確的用戶存在讀數(shù)�,控制所述傳感器的策略處置器可W使所述傳感器在處理用戶存在的 同時轉(zhuǎn)變到所述更高功率級別并且一旦完成用戶存在處理就返回之前的功率級別��。
[0023] 圖1是示例客戶端環(huán)境100的示意性說明��,其中�,使用分布在客戶端環(huán)境100中的策 略處置器來管理多因子認(rèn)證策略���。圖1的示例客戶端環(huán)境100包括策略管理器102和主機(jī) 104�����。在所示示例中���,使用一個或多個設(shè)備實(shí)現(xiàn)策略管理器102。類似地���,使用一個或多個設(shè) 備實(shí)現(xiàn)主機(jī)1〇4(有時被稱為"主機(jī)機(jī)器"、"客戶端平臺"��、"客戶端節(jié)點(diǎn)"或"計(jì)算設(shè)備")�����。例 如�����,策略管理器102和/或主機(jī)104可W包括與彼此通信的盤陣列和/或一個或多個工作站 (例如,桌上計(jì)算機(jī)��、工作站服務(wù)器���、膝上計(jì)算機(jī)���、x86設(shè)備、Linux設(shè)備等等)�。在圖1的所示示 例中,策略管理器102經(jīng)由由網(wǎng)絡(luò)106所表示的一個或多個有線和/或無線網(wǎng)絡(luò)與主機(jī)104進(jìn) 行選擇性通信���?����?蒞使用任何合適的有線和/或無線網(wǎng)絡(luò)實(shí)現(xiàn)示例網(wǎng)絡(luò)106,包括例如一條 或多條數(shù)據(jù)總線�、一個或多個局域網(wǎng)(LAN)����、一個或多個無線LAN、一個或多個蜂窩網(wǎng)絡(luò)、互 聯(lián)網(wǎng)等等�����。如在此所使用的��,短語"通信"及其變體涵蓋通過一個或多個中間組件的直接通 信和/或間接通信并且不要求直接物理(例如����,有線)通信和/或恒定通信而是另外包括周期 性間隔、安排間隔�����、手動間隔��、非周期性間隔和/或一次性事件的選擇性通信�����。
[0024] 在圖1的所示示例中�����,策略管理器102由使能授權(quán)服務(wù)的集中管理和促進(jìn)跟蹤并控 制客戶端環(huán)境100中的資源(例如��,受控資源)的服務(wù)器和/或數(shù)據(jù)庫實(shí)現(xiàn)��。在某些示例中�����,策 略管理器102是用于制作和/或配置(例如���,使得可用或提供)一個或多個MFA策略和/或子策 略(例如����,示例MFA策略108)的管理控制臺或主機(jī)應(yīng)用�。在某些示例中,策略管理器102由策 略管理插件實(shí)現(xiàn)�。例如,策略管理器102可W由策略管理插件針對由策略服務(wù)器執(zhí)行的安全 和/或管理控制臺實(shí)現(xiàn)�。在某些示例中,策略管理器102包括使能用戶管理用于在客戶端環(huán) 境100中應(yīng)用的MFA策略的一個或多個接口�����。例如�����,策略管理器102可W包括使能用戶(例如, 信息技術(shù)(IT)管理員�、系統(tǒng)管理員、實(shí)體��、企業(yè)��、組織等等)在與策略管理器102通信的示例 儲存庫126中存儲MFA策略和/或子策略的接口���。示例MFA策略可W用于控制對經(jīng)由主機(jī)104 可訪問的受控資源的訪問和/或?qū)ζ湓L問區(qū)分優(yōu)先次序��。
[0025] 在圖1的所示示例中�,MFA策略108是通過布爾邏輯組合在一起的子策略的集合(例 如����,策略A、策略B�、策略C、策略D)����。例如,MFA策略108可W定義當(dāng)提供時允許訪問受控資源的 安全憑證(例如��,因子)集合�。W下等式1是示例MFA策略108的示例實(shí)現(xiàn)方式的示例表示。 等式 1:P=(A| |B)&&C&&D
[0026] 在W上等式1中��,MFA策略108(P)是子策略的邏輯組合(例如��,策略A�����、策略B��、策略C���、 策略D)����。在等式1中"I Γ'是邏輯或運(yùn)算符�,而是邏輯與運(yùn)算符。示例等式1表示定義MFA 策略符合闊值的MFA策略測試�。因此,使用W上等式1��,如果或者滿足示例策略A(例如���,用戶 向NFC無線電提供授權(quán)NFC信號簽名)或者如果滿足示例策略B(例如��,用戶提供滿足示例策 略B的第一子策略的有效指紋簽名或用戶提供滿足示例策略B的第二子策略的有效安全令 牌與通過驗(yàn)證的面部圖案)�����,則MFA策略108授權(quán)對受控資源的訪問�。在滿足策略A或策略B 時,圖1的示例MFA策略108還要求滿足示例策略C(例如���,用戶被要求在主機(jī)104的某個范圍 (例如�,闊值范圍)內(nèi)W便滿足示例策略C的第一子策略與用戶活動未空閑持續(xù)闊值時間段 W便滿足示例策略C的第二子策略)與滿足示例策略D(例如��,主機(jī)104的Wi-Fi地址對應(yīng)于授 權(quán)位置)��。
[0027] 在某些示例中�,MFA策略108被構(gòu)建為包括用于在例如不同客戶端環(huán)境中實(shí)施的備 份子策略和/或替代子策略。例如���,如果客戶端環(huán)境不包括NFC無線電(例如��,用于評估策略 A)�����,則策略B可W仍用于授權(quán)用戶�����。因此���,可W基于客戶端環(huán)境是否包括用于實(shí)施對應(yīng)的子 策略的傳感器來修改MFA策略。相應(yīng)地��,示例MFA策略108可W是平臺不可知表述并且可W允 許用戶構(gòu)建更少的MFA策略來控制對客戶端環(huán)境100中的受控資源的訪問�。
[0028] 在某些示例中,可W通過基于子策略所設(shè)定的最小安全強(qiáng)度標(biāo)準(zhǔn)將子策略作為不 同的級別進(jìn)行評估(有時在此被稱為策略級別)來執(zhí)行確定策略符合(例如�����,如果滿足MFA策 略)�。例如,為了驗(yàn)證NFA信號簽名被授權(quán)(例如��,相對于策略A)����,NFC信號簽名可能被要求符 合Ξ個策略級別,其中����,級別1子策略設(shè)及NFC信號簽名是否被經(jīng)由可信通道傳輸?shù)絅FC無線 電�����,級別2子策略設(shè)及采集NFC信號的NFC無線電是否是和/或是否提供可信環(huán)境���,并且級別3 子策略指定可W被組合W便成功認(rèn)證用戶的因子組合。盡管所示示例的所示示例MFA策略 108包括Ξ個策略級別��,MFA策略或子策略可W包括任何合適數(shù)量的策略級別����,諸如一個、兩 個或四個等等���。
[0029] 在某些示例中����,MFA策略108包括上下文要求��,諸如物理或邏輯位置限制�、持久使用 限制、用戶存在要求等等���。在某些運(yùn)種示例中���,對受控資源的訪問可W由授權(quán)安全憑證(例 如�����,滿足上述示例中的策略A和/或策略B)確定���,并且在滿足上下文子策略(例如�,上述示例 中的策略C和策略D)的同時(例如,在一個或多個闊值內(nèi))對受控資源的訪問可W保持被批 準(zhǔn)�。因此,例如�,上下文子策略(諸如用戶存在測試、生物計(jì)量特征測試和/或位置測試)可W 用于在授權(quán)對受控資源的訪問時通過例如檢查用戶是否已經(jīng)從安全位置移動到另一個位 置��、用戶是否不再訪問受控資源等等來提供附加安全級別���。在某些示例中�,上下文子策略用 于動態(tài)地顯示和/或保持來自用戶的信息���。例如����,基于網(wǎng)絡(luò)的授權(quán)屏幕可W在用戶經(jīng)由公共 計(jì)算機(jī)請求訪問受控資源時向用戶提示第一和第二證書。對比之下��,基于網(wǎng)絡(luò)的授權(quán)屏幕 可W在經(jīng)由私人(例如��,安全)膝上計(jì)算機(jī)作出受控資源訪問請求時僅向用戶提示第一安全 憑證���。例如��,MFA策略108可W聲明用戶可W通過提供通過驗(yàn)證的用戶名/密碼組合從可信計(jì) 算設(shè)備(例如�����,個人膝上計(jì)算機(jī)���、智能電話、平板計(jì)算機(jī)等等)訪問在線服務(wù)(例如�,網(wǎng)絡(luò)郵件 服務(wù)、社交媒體服務(wù)���、個人銀行服務(wù)等等)dMFA策略108還可W聲明用戶可W通過在從不受 可信計(jì)算設(shè)備(例如�����,公共圖書館計(jì)算機(jī)等等)訪問在線服務(wù)時提供授權(quán)通行碼與有效安全 令牌來訪問相同的在線服務(wù)����。
[0030] 在圖1的所示示例中,主機(jī)104包括多個策略處置器��,諸如第一策略處置器110��、第 二策略處置器111和第Ξ策略處置器112���。如上所述����,圖1的示例第一策略處置器110���、示例第 二策略處置器111和/或示例第Ξ策略處置器112是保護(hù)MFA策略決策和實(shí)施的受加固(例 如,可信)的執(zhí)行環(huán)境�����。在某些示例中��,第一策略處置器110�、第二策略處置器111和/或第Ξ 策略處置器112是隔離主機(jī)104中的一個或多個受控資源的軟件組件(例如,操作系統(tǒng)代理、 驅(qū)動器等等)和/或硬件/固件組合(例如��,忍片組����、受保護(hù)存儲器部分等等)。在圖1的所示示 例中��,示例第一策略處置器110是層3策略處置器并且保護(hù)并限制對第一受控資源114(例 如���,數(shù)據(jù)庫)的訪問���,示例第二策略處置器111是層2策略處置器并且保護(hù)并限制對第一傳感 器115(例如,傳感器諸如NFC無線電)的訪問�����,并且示例第Ξ策略處置器112是層1策略處置 器并且保護(hù)并限制對第二傳感器116(例如�,傳感器諸如指紋讀取器)的訪問。在某些示例 中�,策略管理器102還可W保護(hù)并限制例如對可用于策略管理器102的MFA策略(例如,示例 MFA策略108)的策略處置器(例如����,層4策略處置器)�����。
[0031] 在圖1的所示示例中�����,第一策略處置器110��、第二策略處置器111和第Ξ策略處置器 112(W下進(jìn)一步詳細(xì)描述其示例實(shí)現(xiàn)方式)促進(jìn)將MFA策略配置到客戶端環(huán)境100中的在主 機(jī)104的控制下的策略處置器并且當(dāng)請求受控資源訪問時實(shí)施所配置的MFA策略����。在圖1的 所示示例中�����,經(jīng)由客戶端環(huán)境100中的第一通信路徑129配置示例MFA策略108W便提供對示 例第一受控資源114(例如�,數(shù)據(jù)庫)的訪問的控制����,所述第一受控資源由圖1中的示例第一 策略處置器110保護(hù)。
[0032] 在某些示例中��,第一策略處置器110��、第二策略處置器111和/或第Ξ策略處置器 112在周期性間隔、非周期性間隔和/或作為一次性事件執(zhí)行主機(jī)自省并且映射(或發(fā)現(xiàn))客 戶端環(huán)境100的拓?fù)溆成?28��。如在此所使用的���,自省是策略處置器查詢(例如�,檢查)其自身 W便標(biāo)識其所連接的組件(例如�����,策略處置器��、受控資源�����、傳感器等等)(如果有的話)的過 程�。在圖1的所示示例中,第一策略處置器110將第二通信路徑130映射到主機(jī)104內(nèi)的策略 處置器(例如�,第二策略處置器111)并且還發(fā)現(xiàn)到在主機(jī)104外部操作的策略處置器的第Ξ 通信路徑131(諸如經(jīng)由一個或多個網(wǎng)絡(luò)連接的第四策略處置器118(例如,經(jīng)由網(wǎng)絡(luò)106進(jìn) 行基于云的訪問))����。在圖1的所示示例中,第四策略處置器118是層3策略處置器并且保護(hù)并 限制對第二受控資源120(例如��,虛擬機(jī))的訪問。圖1的示例第一策略處置器110采用所發(fā)現(xiàn) 的第二和第Ξ通信路徑130��、131來將MFA策略108分別配置到第二策略處置器111和第四策 略處置器118�。使用類似的過程,第二策略處置器111�����、第Ξ策略處置器112和/或第四策略處 置器118可W分別在第二和第Ξ策略處置器11U112W及第Ξ和第四策略處置器112���、118之 間映射第四和第五通信路徑132����、133���。
[0033] 在某些示例中�,拓?fù)溆成?28由用對于每一個策略處置器唯一的標(biāo)識符對例如自 省請求進(jìn)行簽名的不同策略處置器準(zhǔn)備���。在某些示例中��,策略處置器可W將其對應(yīng)的通信 路徑推送到中央策略處置器(例如,示例第一策略處置器110)����。在某些運(yùn)種示例中�����,第一策 略處置器110使用通信路徑來建立客戶端環(huán)境100的拓?fù)溆成?28��。在某些示例中��,策略處置 器可W各自存儲拓?fù)溆成?28的拷貝�。在某些示例中�,拓?fù)溆成?28包括有關(guān)策略處置器W 及策略處置器所保護(hù)的受控資源(如果有的話)的信息(例如,功能類型和安全強(qiáng)度)�。
[0034] 所示圖1的示例策略處置器110、111��、112����、118在執(zhí)行多因子授權(quán)時向傳感器輸入 應(yīng)用不同的安全特性(例如,安全憑證)����。在某些運(yùn)種示例中,策略處置器11〇�、111�、112����、118 可W基于例如對應(yīng)的策略處置器的功能類型和安全強(qiáng)度應(yīng)用(例如,實(shí)施)不同的MFA策略 和/或MFA策略的子策略��。
[0035] 例如�,圖1的示例第Ξ策略處置器112(例如,層1策略處置器)可W是適合對傳感器 輸入應(yīng)用級別1子策略的硬件和/或固件環(huán)境�。例如,圖1的第Ξ策略處置器112可W確定是 否經(jīng)由安全通道(例如�,在可信傳感器諸如指紋讀取器處)獲得了用戶所提供的安全憑證 (例如,指紋掃描)�����。在某些運(yùn)種示例中����,第Ξ策略處置器112可W提供其蘊(yùn)涵證據(jù)(例如,審U 造商證書等等)作為第二傳感器116是可信指紋讀取器的證明��。
[0036] 所示圖1的示例第二策略處置器111(例如��,層2策略處置器)可W是和/或可W提供 例如獨(dú)立于主機(jī)104操作系統(tǒng)操作并且可能無法經(jīng)由主機(jī)104操作系統(tǒng)訪問的硬件和/或固 件環(huán)境。例如�,第二策略處置器111可W實(shí)現(xiàn)包括與主機(jī)104的主處理受控資源分離的處理 受控資源的"管理引擎"或巧全區(qū)域"��。在某些運(yùn)種示例中�,第二策略處置器111可W適合應(yīng) 用設(shè)及例如指紋讀取器116是否滿足最小安全強(qiáng)度標(biāo)準(zhǔn)的級別2子策略。在某些運(yùn)種示例 中�����,第二策略處置器111可W提供其蘊(yùn)涵證據(jù)(例如�����,經(jīng)簽名的代碼等等)作為第二傳感器 116滿足級別2子策略所聲明的最小安全強(qiáng)度標(biāo)準(zhǔn)的證明����。
[0037] 在某些示例中,圖1的示例第一策略處置器110(例如��,層3策略處置器)由適合處理 級別3子策略的軟件代理實(shí)現(xiàn)�。例如,第一策略處置器110可W處理在主機(jī)104的操作系統(tǒng)環(huán) 境中應(yīng)用的子策略���。在某些示例中����,圖1的示例第四策略處置器118(例如,層3策略處置器) 由處理級別3子策略的軟件代理實(shí)現(xiàn)���。例如�,第四策略處置器118可W處理應(yīng)用于云服務(wù)的 子策略��。在圖1的所示示例中��,第一策略處置器110和/或第四策略處置器118可W應(yīng)用確定 例如從第二傳感器116獲得的指紋掃描是否滿足策略符合的闊值符合的子策略級別����。例如, 第一策略處置器110可W評估傳感器輸入是否滿足MFA策略108的策略A和/或策略B和策略C W及策略D����。
[0038] 在圖1的所示示例中,圖1的示例策略管理器102包括客戶端處置器122�����、策略構(gòu)建 器124和儲存庫126��。圖1的示例儲存庫126可W由用于存儲數(shù)據(jù)的任何存儲設(shè)備和/或存儲 盤實(shí)現(xiàn)����,諸如例如閃存��、磁介質(zhì)��、光介質(zhì)等等���。此外��,存儲在示例儲存庫126中的數(shù)據(jù)可W處 于任何數(shù)據(jù)格式����,諸如例如二進(jìn)制數(shù)據(jù)、逗號界定數(shù)據(jù)�、制表符界定數(shù)據(jù)、結(jié)構(gòu)查詢語言 (SQL)結(jié)構(gòu)等等�����。盡管在圖1的所示示例中儲存庫126被示出為單個數(shù)據(jù)庫��,儲存庫126可W 由任何數(shù)量和/或類型的數(shù)據(jù)庫實(shí)現(xiàn)�����。
[0039] 在圖1的所示示例中,策略管理器102包括用于與客戶端環(huán)境100中的策略處置器 對接的示例客戶端處置器122�。例如,客戶端處置器122可W在周期性間隔���、安排間隔��、非周 期性間隔和/或一次性事件查詢網(wǎng)絡(luò)106W便標(biāo)識包括用于將策略傳播通過客戶端環(huán)境100 的可信策略處置器的主機(jī)�����。例如�,圖1的客戶端處置器122可W發(fā)現(xiàn)主機(jī)104在其中包括第一 策略處置器110�����。示例客戶端處置器122可W從客戶端環(huán)境100的策略處置器110�、111、112��、 118獲得例如有關(guān)配置和/或?qū)嵤㎝FA策略的狀態(tài)更新����。在某些示例中,客戶端處置器122從 第一策略處置器110獲得拓?fù)溆成?28��。在某些示例中,策略管理器102采用拓?fù)溆成?28來 例如基于包括在客戶端環(huán)境100中的策略處置器���、傳感器和/或受控資源配置MFA策略108����。
[0040] 在某些示例中�����,客戶端處置器122經(jīng)由例如輸出設(shè)備(諸如監(jiān)視器)將狀態(tài)更新呈 現(xiàn)給用戶�����。例如�,客戶端處置器122可W輸出配置是否失敗�、配置是否成功、是否請求受控資 源訪問和/或是否成功實(shí)施MFA策略108等等的指示��。
[0041] 在圖1的所示示例中��,策略管理器102調(diào)用策略構(gòu)建器124來在客戶端環(huán)境100內(nèi)制 作(例如�,配置、創(chuàng)建����、寫等等)示例MFA策略108�����。在某些示例中���,策略構(gòu)建器124基于拓?fù)溆?射128制作MFA策略108。在某些示例中�����,策略構(gòu)建器124從示例儲存庫126獲得子策略或MFA 策略W便構(gòu)建MFA策略108��。例如�,所示示例的策略構(gòu)建器124檢索第一 MFA策略W便控制對 第一受控資源114的訪問W及第二MFA策略W便控制對第二受控資源120的訪問。
[0042] 在操作中���,圖1的示例第一策略處置器110從客戶端處置器122獲得MFA策略108并 且確定MFA策略108是否包括可由第一策略處置器110實(shí)施的子策略�。例如�����,所示示例的第一 策略處置器110解析MFA策略108并且標(biāo)識能夠由第一策略處置器110實(shí)施的一個或多個級 另IJ3策略�����。此示例的示例第一策略處置器110對所標(biāo)識的級別3策略進(jìn)行簽名并且對MFA策略 108進(jìn)行簽名。例如���,第一策略處置器110可W修改MFA策略108W便包括對于第一策略處置 器110唯一的私鑰�。在某些運(yùn)種示例中��,私鑰用于確定策略處置器之前是否解析過MFA策略 108���。例如��,拓?fù)溆成?28可W包括用于包括在映射128中的每個策略處置器的相應(yīng)的私鑰�。 在某些示例中�,第一策略處置器110基于MFA策略108的簽名狀態(tài)確定MFA策略108是否包括 未經(jīng)簽名的子策略并且將MFA策略108轉(zhuǎn)發(fā)到未對MFA策略108進(jìn)行簽名的策略處置器(例 如���,示例第二策略處置器111���、示例第Ξ策略處置器112、示例第四策略處置器118等等)�。使 用上述過程(例如,通過用一個或多個策略處置器迭代通過子策略)��,在策略處置器之間轉(zhuǎn) 發(fā)MFA策略108并且在客戶端環(huán)境100內(nèi)配置MFA策略108。在某些示例中��,如果策略處置器確 定MFA策略108的簽名狀態(tài)指示未經(jīng)簽名的子策略并且包括在拓?fù)溆成?28中的所有策略處 置器已經(jīng)對MFA策略108進(jìn)行簽名���,策略處置器可W向策略管理器102發(fā)送報(bào)告MFA策略配置 在客戶端環(huán)境100中失敗的消息���。
[0043] 在MFA策略實(shí)施期間,所示示例的示例策略處置器110���、111����、112�、118將MFA策略應(yīng) 用到與尋求訪問受控資源的用戶相關(guān)聯(lián)的傳感器輸入(例如,安全憑證)��。例如���,圖1的策略 處置器110����、111���、112����、118可W在請求訪問第一資源114 (例如,數(shù)據(jù)庫)時實(shí)施MFA策略108����。 在所示示例中,從示例第二傳感器116獲得的傳感器輸入134(例如�,指紋掃描)可W由策略 處置器110、111�、112、和/或118評估���。例如����,第Ξ策略處置器112可W處理示例MFA策略108的 級別1子策略并且確定第二傳感器116是否是可信傳感器��。示例第二策略處置器111可W處 理示例MFA策略108的級別2子策略并且確定第二傳感器116是否滿足所述子策略所定義的 最小安全強(qiáng)度標(biāo)準(zhǔn)����。示例第一策略處置器110可W處理示例MFA策略108的級別3子策略并且 確定傳感器輸入134是否滿足MFA策略108符合闊值��。在某些示例中,處理策略處置器可W提 供其蘊(yùn)涵證明W便驗(yàn)證可信通信路徑機(jī)制用于評估傳感器輸入134����。在某些示例中,策略處 置器并行操作���。在本示例中��,策略處置器串行操作��。
[0044] 圖2和圖3示出包括可W被執(zhí)行W便控制對圖1的示例客戶端環(huán)境100中的受控資 源的訪問的偽代碼的示例MFA策略108的示例實(shí)現(xiàn)方式�����。在所示示例中����,MFA策略108是JS0N (化vaScript對象注釋)文檔���。然而��,可W使用其他策略表述語言����,諸如XACML何擴(kuò)展訪問控 審IJ標(biāo)記語言)、SAML(安全斷言標(biāo)記語言)���、XML何擴(kuò)展標(biāo)記語言)等等�����。在圖巧日圖3的所示示 例中�����,示例MFA策略108包括用于認(rèn)證用戶的憑證策略部分108A(圖2)和用于確定是否滿足 上下文要求(諸如生物計(jì)量特征測試和/或用戶存在/連續(xù)認(rèn)證限制)的上下文策略部分 108B(圖 3)�����。
[0045] 在圖2的所示示例中�����,憑證策略部分108A包括示例行動子策略塊202����、級別3子策略 塊204���、第一級別2子策略塊206A����、第二級別2子策略塊206B���、第Ξ級別2子策略塊206C���、第四 級別2子策略塊206D、第一級別1子策略塊208A���、第二級別1子策略塊208B���、第Ξ級別1子策略 塊208CW及第四級別1子策略塊208D。在圖2的所示示例中���,行動子策略塊202指定響應(yīng)于成 功應(yīng)用的MFA策略和/或子策略W及行動所應(yīng)用于的組件(例如�����,主機(jī))而采取的行動�����。例如��, 圖2的線210標(biāo)識如果應(yīng)用了成功認(rèn)證(例如�����,受控資源是0S登錄過程)則主機(jī)將執(zhí)行"0S登 隸'過程(線212)��。
[0046] 在圖2的所示示例中�,示例級別3子策略塊204指定可W使用例如邏輯"與"和/或 "或"組合進(jìn)行組合的子策略的組合(例如,示例策略A或示例策略B)����。例如,策略B的線214聲 明成功應(yīng)用策略B包括(1)獲得有效指紋簽名或(2)獲得有效安全令牌與通過驗(yàn)證的面部圖 案��。
[0047] 在圖2的所示示例中�,示例第一級別2子策略塊206A、第二級別2子策略塊206B��、第 Ξ級別2子策略塊206C和第四級別2子策略塊206D特定于對應(yīng)的因子(例如���,策略處置器)并 且指定因子類型(例如�,功能要求)的因子環(huán)境(例如���,最小安全強(qiáng)度標(biāo)準(zhǔn))�����。例如�,在示例策 略A的配置過程中��,適合處理來自NFC傳感器的輸入并且適合應(yīng)用對應(yīng)于"安全引擎"的最小 強(qiáng)度級別策略(例如�,級別2子策略206A)的第一策略處置器可W主張(例如,簽名)示例策略 A����。 如果第一策略處置器不適合處理來自NFC傳感器的輸入(例如,第一策略處置器無法訪問 NFC傳感器或NFC傳感器輸入和/或第一策略處置器安全強(qiáng)度不像"安全引擎"層策略處置器 那么安全)����,示例第一策略處置器可W針對能夠由第一策略處置器實(shí)施的子策略檢查策略 B。 一旦第一策略處置器完成解析MFA策略����,第一策略處置器將MFA策略轉(zhuǎn)發(fā)到第二策略處置 器。使用上述過程(例如����,通過用一個或多個策略處置器迭代通過子策略)���,在策略處置器之 間轉(zhuǎn)發(fā)MFA策略108并且在客戶端環(huán)境100內(nèi)配置MFA策略108。
[0048] 在策略A的實(shí)施期間���,第一策略處置器可W通過檢查NFC傳感器(例如����,NFC無線電) 的蘊(yùn)涵是否對應(yīng)于級別1子策略208A聲明所定義的授權(quán)NFC傳感器(例如��,"Intel忍片組版 本1.0")來驗(yàn)證NFC傳感器是可信傳感器�。如果第一策略處置器能夠?qū)嵤┘墑e1子策略208A 聲明,則第一策略處置器繼續(xù)處理NFC傳感器輸入��。在某些示例中���,如果第一策略處置器無 法(例如����,不能)實(shí)施級別1子策略208A聲明和/或如果客戶端環(huán)境100包括更適合實(shí)施級別1 子策略208A的另一個策略處置器��,第一策略處置器可W將傳感器輸入重新指引到下一個策 略處置器和/或更合適的策略處置器�����。例如,"安全引擎"層策略處置器可能適合評估是否滿 足策略B(線216)��,而"主機(jī)"層策略處置器可能更適合評估照相機(jī)輸入(例如�,級別2子策略 206D)。在某些運(yùn)種示例中�����,"安全引擎"層策略處置器可W將照相機(jī)輸入重新指引到"主機(jī)" 層策略處置器W便處理照相機(jī)輸入���。
[0049] 在所示示例中,圖2的MFA策略繼續(xù)到圖3�。圖3的示例的示例上下文策略部分108B 包括示例級別3子策略塊302,所述塊包括用于監(jiān)視用戶存在的示例策略C(線310)和用于監(jiān) 視位置的示例策略D(線3ir'GE0圍欄")。例如��,當(dāng)應(yīng)用策略C時��,如果未檢測到用戶存在(線 312"不存在")�����,撤銷用戶的憑證并拒絕對主機(jī)的訪問���。在策略D的示例中���,如果用戶被檢測 到已經(jīng)退出地理周界(線313"退出")�����,撤銷用戶的憑證并且拒絕對"0S登隸'資源的訪問�。
[0050] 在圖3的所示示例中��,示例第一級別2子策略塊304A�、第二級別2子策略塊304B和第 Ξ級別2子策略塊304C設(shè)及對應(yīng)的因子并且指定用于相應(yīng)的因子類型的可接受因子環(huán)境。 例如����,當(dāng)策略處置器應(yīng)用級別2策略塊304B時,確定是否在操作系統(tǒng)層策略處置器(線315 "'因子ENVV0S'")獲得了鍵盤輸入(線314"鍵盤活動")����。在圖3的所示示例中,示例第一級 另IJ1子策略塊306A����、第二級別1子策略塊306B和第Ξ級別1子策略塊306C設(shè)及傳感器如何連 接到策略處置器(例如,環(huán)境)��。使用蘊(yùn)涵,策略處置器標(biāo)識用于獲得輸入的可信通信路徑���。 策略處置器可W然后確定蘊(yùn)涵證據(jù)是否滿足對應(yīng)的級別1子策略�。
[0051] 圖4是用于促進(jìn)圖1的示例客戶端環(huán)境100的多因子認(rèn)證(MFA)策略的管理的示例 策略處置器400的示例實(shí)現(xiàn)方式的示意性說明��。在圖4的所示示例中�,策略處置器400設(shè)置有 證明器402、拓?fù)溆成淦?04�、策略審核器406、策略解析器408�、策略引導(dǎo)器410、傳感器初始 化器414�����、策略評估器416�、資源處置器418和數(shù)據(jù)存儲器420�。圖4的示例策略處置器可W實(shí) 現(xiàn)圖1的示例第一策略處置器110、示例第二策略處置器111����、示例第Ξ策略處置器112和/或 示例第四策略處置器118中的任一項(xiàng)。
[0052] 在圖4的所示示例中��,策略處置器400調(diào)用證明器402來證明策略處置器400的功能 和安全特性���。例如�,當(dāng)從例如策略管理器102和/或另一個可信策略處置器訪問MFA策略、傳 感器輸入���、消息等等時�,證明器402可W啟動一系列挑戰(zhàn)請求交換W便驗(yàn)證子策略�����、傳感器 輸入���、消息等等的真實(shí)性��。在某些示例中�����,證明器402可W用對策略處置器400唯一的私鑰對 蘊(yùn)涵進(jìn)行簽名W便例如向客戶端環(huán)境中的其他節(jié)點(diǎn)確保策略處置器400是可信環(huán)境�。
[0053] 在圖4的所示示例中�����,策略處置器400調(diào)用拓?fù)溆成淦?04來映射客戶端環(huán)境的拓 撲W便促進(jìn)在客戶端環(huán)境100中配置和/或?qū)嵤㎝FA策略108。例如��,拓?fù)溆成淦?04執(zhí)行客戶 端環(huán)境100的自省W便發(fā)現(xiàn)客戶端環(huán)境100中的其他可信環(huán)境(例如�����,第一策略處置器110����、 第二策略處置器111、第Ξ策略處置器112和/或第四策略處置器118)����。如上所述,自省使能 示例拓?fù)溆成淦?04從其他節(jié)點(diǎn)獲得某些信息��,諸如節(jié)點(diǎn)是策略處置器��、傳感器還是受控資 源;受控資源的類型���;策略處置器安全強(qiáng)度;策略處置器可實(shí)施的策略級別;策略處置器所 簽名的一個或多個子策略;應(yīng)用于受控資源的一個或多個MFA策略和/或子策略等等����。在圖4 的所示示例中,拓?fù)溆成?28被存儲在數(shù)據(jù)存儲器420中。在某些示例中��,拓?fù)溆成?28可W 由客戶端環(huán)境中的主策略處置器(例如�����,示例第一策略處置器110)存儲��。在某些示例中�����,策 略處置器存儲拓?fù)溆成?28的對應(yīng)于對應(yīng)的策略處置器的那一部分�。例如,圖1的示例第Ξ 策略處置器112可W將有關(guān)其與示例第二策略處置器111和第四策略處置器118的連接的信 息存儲在其存儲在其數(shù)據(jù)存儲器420中的拓?fù)溆成渲?��。在某些示例中���,在自省期間,示例拓 撲映射器404還包括策略處置器的特征����,諸如策略處置器的功能類型和/或策略處置器的安 全強(qiáng)度。例如���,拓?fù)溆成?28可W指示示例第Ξ策略處置器112適合W層1安全強(qiáng)度向傳感器 輸入應(yīng)用級別1子策略��。
[0054] 如W上詳細(xì)所述��,在某些示例中�,圖1的示例策略管理器102采用拓?fù)溆成?28來基 于客戶端環(huán)境拓?fù)渑渲肕FA策略108。例如����,策略管理器102可W從客戶端環(huán)境100的主策略 處置器獲得拓?fù)溆成?28。例如����,圖1的客戶端處置器122可周期性間隔(例如,每二十四 小時)和/或W非周期性間隔(例如�,響應(yīng)于配置MFA策略的請求)和/或作為一次性事件從客 戶端環(huán)境的第一策略處置器110獲得更新。在某些示例中�,圖1的策略處置器11〇、111���、112、 118使用拓?fù)溆成?2則尋MFA策略108配置通過客戶端環(huán)境100和/或?qū)嵤┛蛻舳谁h(huán)境100中的 MFA 策略 108����。
[0055] 在圖4的所示示例中���,策略處置器400調(diào)用策略審核器406W便監(jiān)視可W應(yīng)用和/或 被應(yīng)用的MFA策略和/或子策略。在某些示例中����,策略審核器406監(jiān)視客戶端環(huán)境100相對于 例如是或可W在客戶端環(huán)境100中配置的MFA策略的狀態(tài)。例如�,第一策略處置器110的策略 審核器406可W查詢拓?fù)溆成?28W便確定客戶端環(huán)境100是否包括用于應(yīng)用MFA策略和/或 子策略的必要策略處置器。在某些示例中��,策略審核器406可W記錄(或用日志記錄)例如客 戶端環(huán)境100中的策略處置器何時應(yīng)用MFA策略���、哪一個MFA策略和/或哪一些子策略被應(yīng)用 過���、為什么應(yīng)用MFA策略(例如,哪一個受控資源被保護(hù))W及哪一個MFA策略和/或哪一些子 策略正在被實(shí)施�。在某些示例中,圖4的策略審核器406將日志存儲在數(shù)據(jù)存儲器420中��。
[0056] 在某些示例中����,圖4的策略審核器406基于拓?fù)溆成湫薷?例如,修改��、過濾)MFA策 略。例如����,第一策略處置器110的策略審核器406可w標(biāo)識客戶端環(huán)境100不包括與策略處置 器通信的照相機(jī)。在某些運(yùn)種示例中����,圖4的策略審核器406可W通過過濾不包括例如采集 視網(wǎng)膜掃描或面部圖案的子策略來修改MFA策略。
[0057]在圖4的所示示例中��,策略處置器400調(diào)用策略解析器408來標(biāo)識策略處置器400可 W實(shí)施的子策略����。例如,當(dāng)從策略管理器102獲得MFA策略108W便在客戶端環(huán)境100中配置 時���,第一策略處置器110可W解析MFA策略108并且標(biāo)識策略處置器110能夠在MFA策略實(shí)施 期間應(yīng)用的子策略�����。例如����,第一策略處置器110可W檢查其安全強(qiáng)度是否滿足子策略的最小 安全強(qiáng)度標(biāo)準(zhǔn)并且第一策略處置器110的功能類型是否滿足在子策略中定義的功能要求��。 在某些示例中��,策略解析器408對MFA策略108中所標(biāo)識的子策略進(jìn)行簽名(例如�,主張、標(biāo)記 等等)���。例如��,策略解析器408可W使示例證明器402用對策略處置器110唯一的私鑰對子策 略蘊(yùn)涵進(jìn)行簽名��。因此��,客戶端環(huán)境中的每個策略處置器本地地決定如何在客戶端環(huán)境中 配置MFA策略����。
[0化引在某些示例中��,策略解析器408解析MFA策略108并且確定MFA策略108的簽名狀態(tài) 不包括未經(jīng)簽名的子策略(例如�����,組合W便配置MFA策略108的子策略全部由一個或多個其 他策略處置器簽名)�。在某些運(yùn)種示例中,策略解析器408向策略管理器102(或向主策略處 置器)通信在客戶端環(huán)境100中成功地配置了示例MFA策略108�。
[0059] 在圖4的所示示例中����,策略處置器400調(diào)用示例策略引導(dǎo)器410W便促進(jìn)在客戶端 環(huán)境100中配置MFA策略108��。例如���,在示例證明器402對策略蘊(yùn)涵進(jìn)行簽名之后����,策略引導(dǎo)器 410可W將MFA策略108轉(zhuǎn)發(fā)到策略處置器與其通信的下一個策略處置器�。例如,在第一策略 處置器110對MFA策略108進(jìn)行簽名之后����,第一策略處置器110可W將MFA策略108轉(zhuǎn)發(fā)(例如, 配置巧Ij第二策略處置器111和/或第四策略處置器118����。在某些示例中,策略引導(dǎo)器410使用 拓?fù)溆成?28來標(biāo)識哪一個策略處置器用于轉(zhuǎn)發(fā)MFA策略108�。在某些示例中,策略引導(dǎo)器 410基于例如策略處置器的功能類型和/或策略處置器的安全強(qiáng)度將MFA策略108轉(zhuǎn)發(fā)到適 合實(shí)施具體子策略的策略處置器���。例如����,在配置期間,第二策略處置器111可W通過訪問指 紋讀取器和/或來自指紋讀取器的輸入(例如�,指紋掃描)標(biāo)識未經(jīng)簽名的級別1子策略����。在 某些運(yùn)種示例中,第二策略處置器111可W采用拓?fù)溆成鋪順?biāo)識到第Ξ策略處置器112(例 如�,能夠?qū)嵤┘墑e1子策略并且與第二傳感器116(例如,指紋讀取器)通信的級別1策略處置 器)的安全通信路徑����。
[0060] 在某些示例中,策略引導(dǎo)器410將MFA策略108轉(zhuǎn)發(fā)到同一個層策略處置器��。例如�����, 第一策略處置器11〇(例如���,層3策略處置器)可W用層3策略處置器所滿足的最小安全強(qiáng)度 標(biāo)準(zhǔn)標(biāo)識子策略(例如����,級別3子策略),但是第一策略處置器110不滿足所述子策略的功能 要求����。在某些示例中,第一策略處置器110可W采用拓?fù)溆成?28來標(biāo)識滿足所述子策略的 最小安全強(qiáng)度標(biāo)準(zhǔn)和功能要求的策略處置器�。例如,第一策略處置器110可W從拓?fù)溆成?128中標(biāo)識第四策略處置器118(例如�,層3策略處置器)滿足所述子策略的最小安全強(qiáng)度標(biāo) 準(zhǔn)(例如,級別3子策略)和功能要求(例如����,基于云的服務(wù))。示例第一策略處置器110可W然 后將MFA策略108轉(zhuǎn)發(fā)到第四策略處置器118W便主張(例如���,簽名)并實(shí)施���。
[0061] 在某些示例中,策略引導(dǎo)器410可W確定所述子策略由策略處置器在不同的安全 強(qiáng)度層更好地實(shí)施����。例如,第二策略處置器111(例如�����,層2策略處置器)可W確定第Ξ策略處 置器112(例如,層1策略處置器)具有更好的安全特性W及因此更適合實(shí)施所述子策略�����。例 如���,第二傳感器116與第Ξ策略處置器112之間可W存在可信通信路徑。在某些運(yùn)種示例中��, 圖4的策略引導(dǎo)器410可W將所述子策略指引到第Ξ策略處置器112W便主張并實(shí)施�����。在某 些示例中�����,位于不同安全層的兩個策略處置器之間(例如�,從層2策略處置器111到層1策略 處置器112)可能不存在可信通信路徑。在圖4的所示示例中�����,策略引導(dǎo)器410調(diào)用跳轉(zhuǎn) (Trampoline)處置器412W便將MFA策略評估遷移到"更低"層策略處置器。例如����,第二策略 處置器111的跳轉(zhuǎn)處置器412可W將傳感器輸入重新指引(有時在此被稱為"跳轉(zhuǎn)")到"更 低"層策略處置器(例如,第Ξ策略處置器112)�����。在某些運(yùn)種示例中���,跳轉(zhuǎn)處置器412促進(jìn)將 策略處置器的安全強(qiáng)度與MFA策略108安全要求(例如���,策略級別)對準(zhǔn)。例如��,如果(a)接收 傳感器輸入的第二策略處置器111與(b)用于應(yīng)用更低安全強(qiáng)度級別策略的第Ξ策略處置 器112之間的第四通信路徑132不安全(例如����,是不安全通信路徑),第二策略處置器111的示 例跳轉(zhuǎn)處置器412可W配置(例如�����,生成)第二策略處置器111與第Ξ策略處置器112之間的 安全隧道�。所示示例的跳轉(zhuǎn)處置器412使用密鑰交換協(xié)議(諸如sign-and-mac(SIGMA))來構(gòu) 建安全通道�。在某些運(yùn)種示例中���,由第二策略處置器111獲得的傳感器輸入可W被使用受保 護(hù)通信路徑重新指引到第Ξ策略處置器112���。在某些示例中,跳轉(zhuǎn)處置器412作為用于傳感 器輸入的安全路由器操作�。例如,不是生成從層3策略處置器到層1策略處置器的安全通道�����, 層3策略處置器可W采用拓?fù)溆成?28并且標(biāo)識從層3策略處置器到層2策略處置器的安全 通信路徑W及從層2策略處置器到層1策略處置器的安全通信路徑����。在某些運(yùn)種示例中����,層3 策略處置器可W采用層2策略處置器的跳轉(zhuǎn)處置器412來將來自層3策略處置器的傳感器輸 入轉(zhuǎn)發(fā)到層1策略處置器。
[0062] 在某些示例中��,策略引導(dǎo)器410確定MFA策略108包括無法由客戶端環(huán)境100中的策 略處置器實(shí)施的子策略���。例如��,在配置期間�����,策略引導(dǎo)器410可W確定MFA策略108的簽名狀 態(tài)包括未經(jīng)簽名的子策略并且MFA策略108由包括在拓?fù)溆成?28中的策略處置器110�、111、 112�����、118簽名�。在某些運(yùn)種示例中,策略引導(dǎo)器410向策略管理器102通信無法在客戶端環(huán)境 100中配置示例MFA策略108���。
[0063] 在圖4的所示示例中�����,策略處置器400調(diào)用示例傳感器初始化器414W便當(dāng)請求和/ 或檢測到傳感器活動時啟動傳感器���。例如,當(dāng)請求訪問第一受控資源114時�,傳感器初始化 器414可W啟動可W從用戶獲得安全憑證W便認(rèn)證用戶的傳感器。例如�,傳感器(諸如第二 傳感器116(例如�,指紋讀取器))可W在不活躍時(例如�����,未獲得指紋讀數(shù))被置于低功率(例 如���,睡眠)狀態(tài)�����。在某些運(yùn)種示例中����,圖4的示例傳感器初始化器414啟動(例如�,喚醒)第二傳 感器116 W便獲得和/或準(zhǔn)備獲得傳感器輸入。
[0064] 在某些示例中�,MFA策略108指定傳感器和/或策略處置器的執(zhí)行相關(guān)度量(諸如策 略處置器功率����、等待時間、計(jì)算等等似便增加應(yīng)用MFA策略108���。在某些示例中����,傳感器初始 化器414可W在多因子認(rèn)證期間修改傳感器的特征。例如����,如果傳感器在與例如帶外功率級 另IJ、用戶定制功率級別等等相比更高的功率級別遞送用戶存在的更準(zhǔn)確讀數(shù)�����,傳感器初始 化器414可W用信號通知傳感器轉(zhuǎn)變到所述更高功率級別��。在某些示例中��,傳感器初始化器 414可W用信號通知傳感器轉(zhuǎn)變到更低功率級別���。例如����,當(dāng)藍(lán)牙低能(BLE)無線電可W通常 在多米通信范圍內(nèi)操作���,傳感器初始化器414可W使BLE無線電轉(zhuǎn)變到更低功率級別并且由 此在用戶認(rèn)證期間將BLE無線電的通信范圍減小到毫米��。在某些運(yùn)種示例中����,如果用戶通過 認(rèn)證(例如,滿足MFA策略)�����,傳感器初始化器414可W用信號通知化E無線電返回先前的(例 如����,更高)功率級別。
[0065] 在圖4的所示示例中��,策略處置器400調(diào)用策略評估器416來在實(shí)施期間處理MFA策 略108���。例如����,策略評估器416可W實(shí)施由示例策略解析器408簽名的子策略�。例如,第Ξ策略 處置器112可W向傳感器輸入134應(yīng)用MFA策略108的級別1策略���。在某些示例中,策略評估器 416通過對傳感器輸入與授權(quán)值進(jìn)行比較來確定傳感器輸入是否滿足所應(yīng)用的子策略���。例 如�,在認(rèn)證和/或用戶存在采樣期間,示例策略評估器416可W對傳感器輸入(例如����,NFC信 號)與授權(quán)NFC信號簽名進(jìn)行比較。例如�,策略評估器416可W從示例數(shù)據(jù)存儲器420檢索授 權(quán)NFC信號簽名并且對所檢索的NFC信號簽名與NFC信號進(jìn)行比較。在某些示例中����,策略評估 器416連續(xù)地(或接近連續(xù)地)評估傳感器輸入(例如,NFC信號)����。在某些示例中,策略評估器 416在周期性間隔����、非周期性間隔或一次性事件對NFC信號進(jìn)行采樣。
[0066] 在某些示例中�,策略評估器416可W確定信號輸入不符合子策略。例如���,對信號輸 入134應(yīng)用級別2子策略的第二策略處置器111可W確定信號輸入134不是在可信環(huán)境獲得 的���。在某些運(yùn)種示例中��,第二策略處置器111的策略評估器416可W指示策略引導(dǎo)器410標(biāo)識 另一個策略處置器W便評估傳感器輸入134��。
[0067] 在某些示例中��,策略評估器416確定滿足MFA策略108(例如��,或者滿足示例策略A或 策略B與滿足策略C與滿足策略D)��。在某些運(yùn)種示例中��,圖4的策略處置器400包括用于實(shí)施 對所請求的受控資源的訪問的示例資源處置器418����。在圖4的所示示例中�,策略評估器416用 信號通知實(shí)施對所請求的受控資源的訪問的資源處置器418是否滿足MFA策略108。例如��,在 當(dāng)由第一策略處置器11〇(例如�,層3策略處置器)的資源處置器418保護(hù)的受控資源114時可 W調(diào)用MFA策略10別寸,可W在不同的策略處置器作出授權(quán)還是拒絕對受控資源114的訪問 的決策����。例如,在圖2的示例憑證策略部分108A中���,當(dāng)受控資源"0S登錄"由"主機(jī)"層策略處 置器保護(hù)時�����,在"安全引擎"層策略處置器評估是否滿足策略A的決策��,在"安全元素"層策略 處置器評估是否符合策略B的級別2子策略206B����,并且在"主機(jī)"層策略處置器評估是否符合 級別2子策略206D��。在某些運(yùn)種示例中��,在評估策略和/或子策略之后�����,受控資源訪問請求被 轉(zhuǎn)發(fā)到保護(hù)受控資源的策略處置器(例如���,第一策略處置器110)��。在某些運(yùn)種示例中���,保護(hù) 所請求的受控資源的資源處置器418獲得包括受控資源訪問請求決策的消息��。在某些示例 中�����,評估策略處置器的策略評估器416可W將所述消息廣播到客戶端環(huán)境100中的其他策略 處置器�。在某些示例中����,受控資源訪問請求狀態(tài)改變可W被廣播給客戶端環(huán)境100中的其他 策略處置器。例如��,如果對第一受控資源114的訪問被撤銷���,則第一策略處置器110可W將狀 態(tài)改變廣播給第二策略處置器111�、第Ξ策略處置器112和第四策略處置器118�����。在某些示例 中���,受控資源訪問狀態(tài)消息被經(jīng)由可信通道(例如���,經(jīng)由SIGMA協(xié)議)在客戶端環(huán)境100中的 策略處置器之間通信�����。
[0068] 圖4的示例數(shù)據(jù)存儲器420可W由用于存儲數(shù)據(jù)的任何存儲設(shè)備和/或存儲盤實(shí) 現(xiàn),諸如例如閃存����、磁介質(zhì)、光介質(zhì)等等�。此外,存儲在示例儲存庫420中的數(shù)據(jù)可W處于任 何數(shù)據(jù)格式���,諸如例如二進(jìn)制數(shù)據(jù)�、逗號界定數(shù)據(jù)����、制表符界定數(shù)據(jù)、結(jié)構(gòu)查詢語言(S化)結(jié) 構(gòu)等等���。盡管在所示示例中數(shù)據(jù)存儲器420被示出為單個數(shù)據(jù)庫��,數(shù)據(jù)存儲器420可W由任 何數(shù)量和/或類型的數(shù)據(jù)庫實(shí)現(xiàn)�����。
[0069] 盡管已經(jīng)在圖1和圖4中示出實(shí)現(xiàn)系統(tǒng)和/或策略處置器的示例方式��,可W組合����、劃 分、重新安排��、省略��、清除和/或W任何其他方式實(shí)現(xiàn)在圖1和圖4中示出的元素�����、過程和/或 設(shè)備中的一個或多個�。此外,示例策略管理器102����、示例主機(jī)104、示例第一策略處置器110��、 示例第二策略處置器111、示例第Ξ策略處置器112�、示例第一受控資源114、示例第一傳感 器115����、示例第二傳感器116、示例第四策略處置器118���、示例第二受控資源120���、示例證明器 402����、示例拓?fù)溆成淦?04、示例策略審核器406���、示例策略解析器408���、示例策略引導(dǎo)器410、 示例跳轉(zhuǎn)處置器412��、示例傳感器初始化器414����、示例策略評估器416����、示例資源處置器418�、 示例數(shù)據(jù)存儲器420、和/或更一般地示例策略處置器400可W由硬件��、軟件�、固件和/或硬 件、軟件和/或固件的任何組合實(shí)現(xiàn)���。因此��,例如����,示例策略管理器102�、示例主機(jī)104、示例第 一策略處置器110���、示例第二策略處置器111�����、示例第Ξ策略處置器112�����、示例第一受控資源 114��、示例第一傳感器115�����、示例第二傳感器116��、示例第四策略處置器118�、示例第二受控資 源120�、示例證明器402、示例拓?fù)溆成淦?04���、示例策略審核器406����、示例策略解析器408���、示 例策略引導(dǎo)器410����、示例跳轉(zhuǎn)處置器412、示例傳感器初始化器414��、示例策略評估器416��、示 例資源處置器418��、示例數(shù)據(jù)存儲器420�、和/或更一般地示例策略處置器400中的任一項(xiàng)可 W由一個或多個模擬或數(shù)字電路、邏輯電路��、可編程處理器���、特定用途集成電路(ASIC)�����、可 編程邏輯器件(PLD)和/或現(xiàn)場可編程邏輯器件(FPLD)實(shí)現(xiàn)�����。當(dāng)閱讀本專利的任何裝置或系 統(tǒng)權(quán)利要求W便覆蓋純軟件和/或固件實(shí)現(xiàn)方式時��,示例策略管理器102��、示例主機(jī)104����、示 例第一策略處置器110、示例第二策略處置器111��、示例第Ξ策略處置器112��、示例第一受控 資源114�����、示例第一傳感器115����、示例第二傳感器116、示例第四策略處置器118�����、示例第二受 控資源120���、示例證明器402、示例拓?fù)溆成淦?04、示例策略審核器406�、示例策略解析器 408、示例策略引導(dǎo)器410��、示例跳轉(zhuǎn)處置器412���、示例傳感器初始化器414����、示例策略評估器 416�、示例資源處置器418、和/或示例數(shù)據(jù)存儲器420在此被明確地定義為包括存儲軟件和/ 或固件的有形計(jì)算機(jī)可讀存儲設(shè)備或存儲盤��,諸如存儲器�、數(shù)字多用途盤(DVD)、致密盤 (CD)���、藍(lán)光盤等等����。仍進(jìn)一步地����,除圖4中示出的那些之外或者反而���,圖1的示例策略處置器 110、111����、112、118可W包括一個或多個元素�����、過程和/或設(shè)備����,和/或可W包括所示出的元 素、過程和設(shè)備中的任一個或全部中的多于一個�����。
[0070] 在圖5中示出了表示用于實(shí)現(xiàn)圖1的策略管理器102的示例機(jī)器可讀指令的流程 圖���,并且在圖6至圖8中分別示出了表示用于實(shí)現(xiàn)圖1和/或圖4的策略處置器110�����、111、112、 118和/或策略處置器400的示例機(jī)器可讀指令的流程圖��。在運(yùn)些示例中���,機(jī)器可讀指令包括 用于由處理器(諸如在W下結(jié)合圖900討論的示例處理器平臺900中示出的處理器912)執(zhí)行 的程序���。程序可被體現(xiàn)在存儲在有形計(jì)算機(jī)可讀存儲介質(zhì)(諸如與處理器912相關(guān)聯(lián)的CD- R0M、軟盤����、硬盤驅(qū)動器、數(shù)字通用盤(DVD)�、藍(lán)光盤、或存儲器)上的軟件中��,但是整個程序 和/或其各部分可W可替代地由除處理器912之外的設(shè)備實(shí)現(xiàn)和/或體現(xiàn)在固件或?qū)S糜布?中�����。此外����,盡管參照在圖5至圖8中示出的流程圖描述了示例程序,可W可替代地使用實(shí)現(xiàn)示 例策略管理器102和/或策略處置器��、112、118和/或策略處置器400的許多其他方 法���。例如�,可W改變框的執(zhí)行順序�,和/或可W改變、清除或組合所描述的某些框�。
[0071] 如上所述,可W使用存儲在有形計(jì)算機(jī)可讀存儲介質(zhì)(諸如信息可被存儲在其中 持續(xù)任何時長(例如��,持續(xù)延長時間段�����、永久地�、短暫片刻、暫時地緩沖�、和/或高速緩存信 息)的硬盤驅(qū)動器、閃存��、只讀存儲器(ROM)���、致密盤(CD)��、數(shù)字通用盤(DVD)��、高速緩存����、隨機(jī) 存取存儲器(RAM)和/或任何其他存儲介質(zhì)或存儲盤)上的編碼指令(例如��,計(jì)算機(jī)和/或機(jī) 器可讀指令)實(shí)現(xiàn)圖5至圖8的示例過程�。如在此所使用的,術(shù)語"有形計(jì)算機(jī)可讀存儲介質(zhì)" 被明確地定義為包括任何類型的計(jì)算機(jī)可讀存儲設(shè)備和/或存儲盤并且不包括傳播信號并 且不包括傳輸介質(zhì)��。如在此所使用的���,"有形計(jì)算機(jī)可讀存儲介質(zhì)"和"有形機(jī)器可讀存儲介 質(zhì)"可互換地使用��。此外或可替代地�����,可W使用存儲在非瞬態(tài)計(jì)算機(jī)和/或機(jī)器可讀介質(zhì)(諸 如信息可被存儲在其中持續(xù)任何時長(例如��,持續(xù)延長時間段�����、永久地���、短暫片刻���、暫時地緩 沖、和/或高速緩存信息)的硬盤驅(qū)動器���、閃存�、只讀存儲器�����、致密盤���、數(shù)字通用盤�����、高速緩存����、 隨機(jī)存取存儲器和/或任何其他存儲設(shè)備或存儲盤)上的編碼指令(例如�,計(jì)算機(jī)和/或機(jī)器 可讀指令)實(shí)現(xiàn)圖5至圖8的示例過程。如在此所使用的,術(shù)語"非瞬態(tài)計(jì)算機(jī)可讀介質(zhì)'被明 確地定義為包括任何類型的計(jì)算機(jī)可讀存儲設(shè)備和/或存儲盤并且不包括傳播信號并且不 包括傳輸介質(zhì)����。如在此所使用的,當(dāng)短語"至少"被用作權(quán)利要求前序部分中的過渡術(shù)語時�����, 其與術(shù)語"包括"是開放式的相同的方式是開放式的�����。
[0072] 圖5的程序可W用于促進(jìn)使用分布在客戶端環(huán)境中的策略處置器管理所述客戶端 環(huán)境中的多因子認(rèn)證策略(或多個策略)���。當(dāng)示例策略管理器1〇2(圖1)獲得客戶端環(huán)境100 (圖1)的客戶端拓?fù)湫畔r,示例程序500在框502開始���。例如�,客戶端處置器122(圖1)可W 從分布在客戶端環(huán)境100中的第一策略處置器11〇(圖1)獲得客戶端拓?fù)溆成?28(圖1和/或 圖4)�����。在框504,策略管理器102構(gòu)建多因子認(rèn)證(MFA)策略108用于在客戶端環(huán)境100中實(shí) 施����。例如�����,示例策略構(gòu)建器124(圖1)可W基于由例如第一策略處置器110提供的客戶端拓?fù)?映射128制作MFA策略108����。在框506,示例策略管理器102將MFA策略108分布給客戶端環(huán)境 100中的主策略處置器��。例如�,策略處置器122可W將MFA策略108配置給第一策略處置器 110。在框508,策略管理器102從分布在客戶端環(huán)境100中的策略處置器獲得有關(guān)客戶端環(huán) 境100的更新����。例如,客戶端處置器122可W從第一策略處置器110�、第二策略處置器111、第 Ξ策略處置器112和/或第四策略處置器118(圖1)中的一個或多個獲得更新��。
[0073] 在框510,客戶端處置器122確定所述更新是否設(shè)及MFA策略配置或MFA策略實(shí)施���。 如果在框510客戶端處置器122確定所述更新設(shè)及策略實(shí)施�,則在框512策略管理器102記錄 客戶端環(huán)境實(shí)施狀態(tài)�。例如,客戶端處置器122可W在示例儲存庫126(圖1)中記錄MFA策略 108是否被在客戶端環(huán)境100中成功實(shí)施、MFA策略108的子策略是否由相應(yīng)的策略處置器簽 名(例如���,MFA策略108的簽名狀態(tài))等等�。在某些示例中����,客戶端處置器122可W經(jīng)由如監(jiān)視 器向用戶呈現(xiàn)客戶端環(huán)境實(shí)施狀態(tài)?�?刂迫缓筮M(jìn)行到框514W便確定是否繼續(xù)監(jiān)視客戶端 環(huán)境100��。
[0074] 否則�����,如果在框510客戶端處置器122確定所述更新設(shè)及MFA策略配置�����,則在框516���, 策略管理器102在客戶端環(huán)境100中記錄MFA策略108的配置狀態(tài)。例如�,客戶端處置器122在 儲存庫126中記錄從第一策略處置器110接收的配置狀態(tài)(例如,配置失敗、配置成功等等)�����。 在某些示例中�����,如果配置MFA策略108失敗��,策略管理器102構(gòu)建新的MFA策略W便在客戶端 環(huán)境100中進(jìn)行配置��。在某些示例中���,客戶端處置器122經(jīng)由例如監(jiān)視器向用戶呈現(xiàn)客戶端 環(huán)境配置狀態(tài)��?���?刂迫缓筮M(jìn)行到框514W便確定是否繼續(xù)監(jiān)視客戶端環(huán)境100�。
[0075] 在框514,策略管理器102確定是否繼續(xù)監(jiān)視客戶端環(huán)境100。例如�,客戶端處置器 122可W從客戶端環(huán)境100獲得另一個更新。如果在框514示例策略管理器102確定繼續(xù)監(jiān)視 客戶端環(huán)境1〇〇(例如��,客戶端處置器122獲得另一個狀態(tài)更新等等),控制返回框502 W便獲 得客戶端環(huán)境100的客戶端拓?fù)湫畔?。否則,如果在框514,策略管理器102確定結(jié)束監(jiān)視客 戶端環(huán)境1〇〇(例如�����,由于關(guān)機(jī)事件等等)����,圖5的示例過程500于是結(jié)束。
[0076] 圖6的程序示出使用分布在客戶端環(huán)境100中的一個或多個策略處置器(例如����,示 例第一策略處置器11〇(圖1)、示例第二策略處置器111(圖1)�、示例第Ξ策略處置器112(圖 1)、示例第四策略處置器118(圖1)和/或更一般地圖4的示例策略處置器400)在客戶端環(huán)境 1〇〇(圖1)中配置MFA策略108的示例方法����。當(dāng)策略處置器400標(biāo)識客戶端環(huán)境100中的副策略 處置器時�����,圖6的程序600在框602開始���。例如�,示例拓?fù)溆成淦?04(圖4)可W執(zhí)行客戶端環(huán) 境100的自省并且標(biāo)識(例如,映射和/或發(fā)現(xiàn)巧Ij包括在客戶端環(huán)境100中的可信環(huán)境的通 信路徑�����。在某些示例中��,拓?fù)溆成淦?04可W在示例拓?fù)溆成?28(圖1和圖4)中記錄自省結(jié) 果��。在框604,策略處置器400強(qiáng)客戶端拓?fù)?2對良告給示例策略管理器102(圖1)�。例如,副策 略處置器(例如�,第二策略處置器111、第Ξ策略處置器112和/或第四策略處置器118)可W 將其對應(yīng)的通信路徑報(bào)告給第一策略處置器110��,而第一策略處置器110可W將客戶端環(huán)境 100的拓?fù)溆成?2對良告給策略管理器102�。在框606,示例策略處置器400確定其是否獲得了 用于配置通過客戶端環(huán)境100的示例MFA策略108。例如�,主策略處置器110可W從策略管理 器102獲得用于配置通過客戶端環(huán)境100的MFA策略108和/或副策略處置器可W從主策略處 置器獲得用于配置的MFA策略108。如果在框606策略處置器400獲得MFA策略108,則在框 608,策略管理器400將MFA策略108配置通過客戶端環(huán)境100�。在所示示例中,可W使用所描 述的圖7的過程實(shí)現(xiàn)框608的操作���?��?刂七M(jìn)行到框610 W便確定是否繼續(xù)監(jiān)視客戶端環(huán)境 100���。
[0077] 否則,如果在框606策略處置器400未獲得用于配置的MFA策略108,則在框612策略 處置器400確定是否請求訪問在客戶端環(huán)境100中受控的受控資源(例如�,示例第一受控資 源114(圖1)和/或示例第二受控資源120(圖1))。例如���,用戶可W啟動操作系統(tǒng)登錄過程��。如 果在框612策略處置器400確定未請求訪問受控資源����,則控制進(jìn)行到框610W便確定是否繼 續(xù)監(jiān)視客戶端環(huán)境100��。
[0078] 否則����,如果在框612策略處置器400確定請求訪問受客戶端環(huán)境100控制的受控資 源,則在框614策略處置器400在客戶端環(huán)境100中實(shí)施MFA策略108�����。例如��,策略處置器400可 W應(yīng)用MFA策略108W便確定授權(quán)還是拒絕訪問所請求的受控資源�����。在所示示例中�����,可W使 用所描述的圖8的過程實(shí)現(xiàn)框614的操作�。控制進(jìn)行到框610W便確定是否繼續(xù)監(jiān)視客戶端 環(huán)境100���。
[0079] 在框610,策略處置器400確定是否繼續(xù)監(jiān)視客戶端環(huán)境100����。例如�����,策略處置器400 可W獲得對訪問受客戶端環(huán)境100控制的受控資源的另一個請求�����。如果在框610示例策略處 置器400確定繼續(xù)監(jiān)視客戶端環(huán)境100(例如��,策略處置器400獲得訪問受控資源的請求等 等),控制返回框602W便標(biāo)識客戶端環(huán)境100中的副策略處置器�����。否則��,如果在框610策略處 置器400確定結(jié)束監(jiān)視客戶端環(huán)境100(例如�,由于關(guān)機(jī)事件等等),圖6的示例過程600于是 結(jié)束�。
[0080] 圖7的程序示出將示例MFA策略108(圖1至圖3)配置通過示例客戶端環(huán)境100(圖1) 的示例方法。盡管圖7的示例程序引用策略處置器400,策略處置器110����、111、112�����、118中的任 一個可W用于實(shí)現(xiàn)圖7的程序�。圖7的示例程序可W用于實(shí)現(xiàn)圖6的框608。當(dāng)示例策略處置 器400獲得用于配置的MFA策略10別寸����,圖7的程序在框702開始。例如,拓?fù)溆成?28中的主策 略處置器可W從示例策略管理器1〇2(圖1)獲得MFA策略108和/或拓?fù)溆成?28中的副策略 處置器可W從主策略處置器獲得MFA策略108���。在框704,策略處置器400解析MFA策略108����。例 如,示例策略解析器408(圖4)可W解析MFA策略108 W便確定MFA策略108是否包括策略處置 器400可W實(shí)施的子策略�。如果在框706策略解析器408確定MFA策略108包括用于實(shí)施的一 個或多個子策略,則在框708策略處置器400主張策略處置器400將實(shí)施的子策略�����。在某些示 例中����,策略處置器400對子策略進(jìn)行簽名W便主張子策略。例如�,策略處置器110的策略解析 器408可W對MFA策略108中的級別3子策略進(jìn)行簽名。
[0081 ] 如果在框706策略解析器408確定MFA策略108不包括策略處置器400能夠?qū)嵤┑淖?策略或者在策略解析器408在框708對MFA策略108進(jìn)行簽名之后���,則在框710策略處置器400 對策略蘊(yùn)涵進(jìn)行簽名�����。例如�,示例證明器402(圖4)可W用對策略處置器400唯一的私鑰對 MFA策略108進(jìn)行簽名W便指示策略處置器400已經(jīng)對MFA策略108進(jìn)行了解析。
[0082] 在框712,示例策略處置器400確定MFA策略108的簽名狀態(tài)是否包括一個或多個未 主張的子策略�����。如果在框712,示例策略解析器408確定MFA策略108的簽名狀態(tài)不包括未主 張的子策略��,則在框714策略解析器408向策略管理器102報(bào)告MFA策略108被成功配置���。在某 些示例中���,策略解析器408可W報(bào)告MFA策略108被成功配置到主策略處置器。圖7的示例過 程于是結(jié)束�。
[0083] 否則,如果在框712策略解析器40如角定MFA策略108的簽名狀態(tài)包括一個或多個未 主張的子策略��,則在框716示例策略引導(dǎo)器410(圖4)確定包括在客戶端環(huán)境100中的所有策 略處置器是否已經(jīng)主張子策略����。例如,策略引導(dǎo)器410可W解析策略蘊(yùn)涵(例如�����,策略信任 鏈)W便確定客戶端環(huán)境100中的所有策略處置器的簽名是否被包括在所述蘊(yùn)涵中。例如��, 策略引導(dǎo)器410可W對包括在策略蘊(yùn)涵中的私鑰列表與包括在示例拓?fù)溆成?28中的私鑰 進(jìn)行比較(圖1和圖4)�����。如果在框716策略引導(dǎo)器410確定策略蘊(yùn)涵不包括客戶端環(huán)境100中 的所有策略處置器�����,則在框718策略引導(dǎo)器410向策略管理器102報(bào)告策略處置器未能在客 戶端環(huán)境100中配置MFA策略108����。在某些示例中���,策略引導(dǎo)器410可W報(bào)告MFA策略108未被 成功配置到主策略處置器�。圖7的示例過程于是結(jié)束�����。
[0084] 否則��,如果在框716策略引導(dǎo)器410確定策略蘊(yùn)涵不包括所有策略處置器(例如���,客 戶端環(huán)境100包括也用于處理MFA策略108的策略處置器)���,則在框720策略引導(dǎo)器410確定訪 問下一個策略處置器是否需要跳轉(zhuǎn)�����。例如��,策略引導(dǎo)器410可W確定下一個策略處置器是否 在比當(dāng)前處理策略處置器"更低的"層(例如���,下一個策略處置器向傳感器輸入應(yīng)用更高的 安全強(qiáng)度)。如果在框720策略引導(dǎo)器410確定訪問下一個策略處置器需要跳轉(zhuǎn)����,則在框722 策略處置器將跳轉(zhuǎn)配置到下一個策略處置器。例如�,示例跳轉(zhuǎn)處置器412(圖4)可W使用例 如密鑰交換協(xié)議(諸如SIGMA協(xié)議)在運(yùn)兩個策略處置器之間創(chuàng)建可信隧道。
[0085] 如果在框720策略引導(dǎo)器410確定訪問下一個策略處置器無需跳轉(zhuǎn)(例如���,下一個 策略處置器與處理策略處置器位于同一層)或者在跳轉(zhuǎn)處置器412在框722配置跳轉(zhuǎn)之后���, 則在框724策略引導(dǎo)器410將MFA策略108和策略蘊(yùn)涵轉(zhuǎn)發(fā)到下一個策略處置器進(jìn)行處理。圖 7的示例過程于是結(jié)束�����。
[0086] 圖8的程序示出在示例客戶端環(huán)境100(圖1)中實(shí)施示例MFA策略108(圖1至圖3)的 示例方法。盡管圖8的所示示例包括實(shí)施Ξ個策略級別(例如����,級別1子策略、級別2子策略��、 級別3子策略)�,可W可替代地使用任何合適數(shù)量的策略級別�����,諸如一個��、兩個或四個等等����。
[0087] 圖8的示例程序可W用于實(shí)現(xiàn)圖6的框614。當(dāng)示例策略處置器400(圖4)啟動傳感 器饋如示例指紋讀取器)116(圖1)時�����,圖8的程序在框802開始����。例如���,可W響應(yīng)于示例數(shù)據(jù) 庫114(圖1)的受控資源訪問請求而請求和/或檢測傳感器活動(例如,從第二傳感器116獲 得示例傳感器輸入134)����。在某些示例中,傳感器初始化器414(圖4)響應(yīng)于例如包括在MFA策 略108中的上下文子策略而修改傳感器的特征���。例如���,傳感器初始化器414可W調(diào)整指紋讀 取器116的功率、等待時間���、處理功率等等W便例如優(yōu)化應(yīng)用MFA策略108���。在框804,策略處 置器400對傳感器輸入實(shí)施級別1子策略。在圖1的所示示例中��,第Ξ策略處置器112可W嘗 試對傳感器輸入134實(shí)施級別1子策略��。如果在框806示例策略評估器416確定不滿足級別1 子策略(例如�����,指紋讀取器不是可信指紋讀取器),則在框808示例策略引導(dǎo)器410確定跳轉(zhuǎn) 是否可用于可W訪問可信指紋讀取器和/或訪問來自可信指紋讀取器的輸入的另一個策略 處置器��。例如���,策略引導(dǎo)器410可W確定到第二策略處置器111(圖1)的跳轉(zhuǎn)是否可用�。如果 在框808策略引導(dǎo)器410確定跳轉(zhuǎn)可用(例如���,從第Ξ策略處置器112到第二策略處置器111 的可信通道)����,則在框810示例跳轉(zhuǎn)處置器412促進(jìn)經(jīng)由安全通道將傳感器輸入134重新指引 到策略處置器���。例如,策略引導(dǎo)器410可W經(jīng)由跳轉(zhuǎn)處置器412所創(chuàng)建的跳轉(zhuǎn)將傳感器輸入 134轉(zhuǎn)發(fā)到第二策略處置器111��?����?刂品祷乜?02并且示例策略處置器啟動傳感器�。
[0088] 否則�,如果在框808示例策略引導(dǎo)器410確定到下一個策略處置器的跳轉(zhuǎn)不可用�, 則在框812不滿足MFA策略108。在框814,受控資源訪問請求決策(例如��,拒絕)被傳送到保護(hù) 所請求的受控資源的策略處置器�����。例如���,如果第Ξ策略處置器112無法對傳感器輸入134實(shí) 施級別1子策略��,第Ξ策略處置器112可W將所述決策傳送到第一策略處置器110的示例資 源處置器418(圖4) W便實(shí)施所述決策(例如����,拒絕訪問第一受控資源114)�����。圖8的示例過程 800于是結(jié)束���。
[0089] 返回框806,如果在框806策略評估器416確定傳感器輸入134滿足級別1子策略(例 如�,第二傳感器116是可信指紋讀取器)���,則在框816策略處置器對傳感器輸入實(shí)施級別2子 策略�。如果在框818策略評估器416確定不滿足級別2子策略(例如,指紋讀取器不滿足在子 策略中定義的最小安全強(qiáng)度標(biāo)準(zhǔn))��,則控制返回框808W便確定跳轉(zhuǎn)是否可用于另一個策略 處置器W便實(shí)施級別2子策略���。否則���,如果在框818策略評估器416確定傳感器輸入滿足級別 2子策略,則在框820策略處置器對傳感器輸入實(shí)施級別3子策略��。如果在框822策略評估器 416確定不滿足級別3子策略(例如��,策略A���、策略B、策略C��、策略D中的一個或多個未導(dǎo)致真語 句)��,則控制返回框808W便確定跳轉(zhuǎn)是否可用于另一個策略處置器W便實(shí)施級別3子策略�����。
[0090] 如果在框822策略評估器416確定傳感器輸入滿足級別3子策略,則在框824滿足 MFA子策略108�����。在框814,受控資源訪問請求決策(例如�����,批準(zhǔn))被傳送到保護(hù)所請求的受控 資源的策略處置器�。例如,資源處置器418實(shí)施所述決策(例如�,允許訪問第一受控資源 114)。圖8的示例過程800于是結(jié)束�����。
[0091] 盡管在圖8中公開的示例方法串行操作�����,策略處置器可W并行操作�����。另外或可替代 地,MFA策略可W不包括一個或多個策略級別���。例如�,MFA策略可W不包括級別1策略����、級別2 策略和/或級別3策略。例如�,當(dāng)實(shí)施不具有級別1策略的MFA策略時,控制可W從框802進(jìn)行 到框816���。如果MFA策略不包括級別2策略和/或級別3策略�,可W采用類似的過程��。
[0092] 圖9是能夠執(zhí)行圖5至圖8W便實(shí)現(xiàn)圖1的策略管理器102和/或圖1的策略處置器 110����、111、112���、118和/或圖4的策略處置器400的示例處理器平臺900的框圖�����。處理器平臺900 可W是例如服務(wù)器��、個人計(jì)算機(jī)�����、移動設(shè)備(例如�,蜂窩電話�、智能電話、平板計(jì)算機(jī)����,諸如 iPad?)、個人數(shù)字助理(PDA)或任何其他類型的計(jì)算設(shè)備�。
[0093] 所示示例的處理器平臺900包括處理器912。所示示例的處理器912是硬件�。例如, 處理器912可由來自任何期望的家族或制造商的一個或多個集成電路�、邏輯電路、微處理器 或控制器實(shí)現(xiàn)����。
[0094] 所示示例的處理器912包括本地存儲器913(例如,高速緩存)��。所示示例的處理器 912經(jīng)由總線918與包括易失性存儲器914和非易失性存儲器916的主存儲器通信。易失性存 儲器914可W由同步動態(tài)隨機(jī)存取存儲器(SDRAM)�����、動態(tài)隨機(jī)存儲存儲器(DRAM)��、RAMBUS動 態(tài)隨機(jī)存取存儲器(RDRAM)和/或任何其他類型的隨機(jī)存取存儲器設(shè)備實(shí)現(xiàn)��。非易失性存儲 器916可W由閃存和/或任何期望類型的存儲器設(shè)備實(shí)現(xiàn)��。對主存儲器914�、916的訪問由存 儲器控制器控制。
[00M] 所示示例的處理器平臺900還包括接口電路920�����。接口電路920可W由任何類型的 接口標(biāo)準(zhǔn)(諸如W太網(wǎng)接口�、通用串行總線化SB)和/或PCI快速接口)實(shí)現(xiàn)。
[0096] 在所示示例中�����,一個或多個輸入設(shè)備922連接到接口電路920����。輸入設(shè)備922準(zhǔn)許用 戶向處理器912輸入數(shù)據(jù)和命令���。輸入設(shè)備可W由例如音頻傳感器����、麥克風(fēng)、照相機(jī)(靜態(tài)或 視頻)�、鍵盤、按鈕���、鼠標(biāo)�、觸摸屏��、跟蹤墊��、軌跡球�����、隔離點(diǎn)和/或語音識別系統(tǒng)實(shí)現(xiàn)���。
[0097] 一個或多個輸出設(shè)備924也連接到所示示例的接口電路920�����。輸出設(shè)備924可W例 如由顯示設(shè)備(例如�,發(fā)光二極管化抓)、有機(jī)發(fā)光二極管(0LED)�、液晶顯示器、陰極射線管 顯示器(CRT)�、觸摸屏、觸覺輸出設(shè)備���、打印機(jī)和/或揚(yáng)聲器)實(shí)現(xiàn)��。所示示例的接口電路920 因此通常包括圖形驅(qū)動器卡�����、圖形驅(qū)動器忍片或圖形驅(qū)動器處理器�。
[0098] 所示示例的接口電路920還包括通信設(shè)備(諸如發(fā)射機(jī)�、接收機(jī)、收發(fā)機(jī)���、調(diào)制解調(diào) 器和/或網(wǎng)絡(luò)接口卡便促進(jìn)經(jīng)由網(wǎng)絡(luò)926(例如�,W太網(wǎng)連接�����、數(shù)字用戶線(DSL)、電話線����、 同軸電纜、蜂窩電話系統(tǒng)等等)與外部機(jī)器交換數(shù)據(jù)���。
[0099] 所示示例的處理器平臺900還包括用于存儲軟件和/或數(shù)據(jù)的一個或多個大容量 存儲設(shè)備928。運(yùn)種大容量存儲設(shè)備928的示例包括軟盤驅(qū)動器����、硬盤驅(qū)動器、致密盤驅(qū)動 器��、藍(lán)光盤驅(qū)動器�����、RAID系統(tǒng)和數(shù)字通用盤(DVD)驅(qū)動�。
[0100] 圖5至圖8的編碼指令932可W存儲在大容量存儲設(shè)備928中、易失性存儲器914中���、 非易失性存儲器916中�、和/或可移除有形計(jì)算機(jī)可讀存儲介質(zhì)(諸如CD或DVD)上����。
[0101] W下示例標(biāo)識在此公開的附加示例方法�����、裝置����、系統(tǒng)和/或制品����。一種用于在分布 式環(huán)境中管理全局策略的示例策略處置器包括:解析器,所述解析器用于標(biāo)識所述全局策 略的能夠由第一策略處置器實(shí)施的第一子策略;證明器��,所述證明器用于對所述第一子策 略進(jìn)行簽名�����;W及引導(dǎo)器���,所述引導(dǎo)器用于:基于所述全局策略的簽名狀態(tài)確定是否將所述 全局策略轉(zhuǎn)發(fā)到第二策略處置器�����,W及當(dāng)所述全局策略的所述簽名狀態(tài)指示未經(jīng)簽名的第 二子策略時將所述全局策略轉(zhuǎn)發(fā)到所述第二策略處置器�。在其他公開示例中,所述第一策 略處置器包括映射器�����,所述映射器用于生成用于標(biāo)識所述第一策略處置器和所述第二策略 處置器的映射��,所述映射用于標(biāo)識(a)所述第一策略處置器與所述第二策略處置器之間的 通信路徑W及(b)所述第二策略處置器的所述簽名����,并且其中�,所述引導(dǎo)器用于處理所述映 射W及當(dāng)所述全局策略的所述簽名狀態(tài)不包括在所述映射中標(biāo)識的所述第二策略處置器 簽名時將所述全局策略轉(zhuǎn)發(fā)到所述第二策略處置器。其他公開的策略處置器包括W下示 例:其中���,所述引導(dǎo)器用于確定在所述映射中標(biāo)識的所述通信路徑是否是安全路徑���。在某些 其他示例中,所述第一策略處置器包括跳轉(zhuǎn)處置器��,所述跳轉(zhuǎn)處置器用于響應(yīng)于確定所述 通信路徑是不安全路徑而生成在所述第一策略處置器到所述第二策略處置器之間的第二 安全路徑�����。在另外其他的示例中�,所述第一策略處置器包括審核器��,所述審核器用于基于包 括在所述映射中的其他策略處置器記錄所述全局策略的應(yīng)用���。其他公開策略處置器包括W 下示例:其中,所述審核器用于通過W下方式處理所述全局策略:標(biāo)識包括在所述全局策略 的第Ξ子策略中的因子�,確定所述映射是否對到與所述因子相對應(yīng)的傳感器的通信路徑進(jìn) 行標(biāo)識,W及當(dāng)所述映射不對到所述傳感器的所述通信路徑進(jìn)行標(biāo)識時創(chuàng)建不包括所述第 Ξ子策略的經(jīng)修改的全局策略�����,并且所述引導(dǎo)器用于經(jīng)由受保護(hù)路徑將所述經(jīng)修改的全局 策略轉(zhuǎn)發(fā)到所述第二策略處置器�。在某些公開示例中,所述映射器用于生成用于標(biāo)識所述 第二策略處置器的特征的所述映射�����。其他公開策略處置器包括W下示例:其中�����,所述引導(dǎo)器 用于確定所述第二策略處置器的所述特征是否滿足所述未經(jīng)簽名的第二子策略的一個或 多個標(biāo)準(zhǔn)并且當(dāng)所述第二策略處置器的所述特征滿足所述未經(jīng)簽名的第二子策略的所述 一個或多個標(biāo)準(zhǔn)時將所述全局策略轉(zhuǎn)發(fā)到所述第二策略處置器����。在某些示例中,所述第二 策略處置器的所述示例特征包括所述第二策略處置器的功能類型或所述第二策略處置器 的安全強(qiáng)度中的至少一項(xiàng),并且所述未經(jīng)簽名的第二策略處置器的所述一個或多個標(biāo)準(zhǔn)包 括功能要求或最小安全強(qiáng)度中的至少一項(xiàng)�����。在某些示例中���,所述證明器用于通過將私鑰附 加到所述第一子策略來對所述第一子策略進(jìn)行簽名�,所述私鑰對于所述第一策略處置器是 唯一的����。在另外其他的示例中,所述證明器用于當(dāng)所述解析器無法標(biāo)識能夠由所述第一策 略處置器實(shí)施的子策略時對所述全局策略進(jìn)行簽名��。在某些示例中�,所述解析器用于通過 將所述第一子策略標(biāo)識為所述全局策略的未經(jīng)簽名的子策略來標(biāo)識所述全局策略的所述 第一子策略�����。在某些其他示例中�,所述解析器用于當(dāng)所述全局策略不包括未經(jīng)簽名的子策 略時確定所述全局策略在所述分布式環(huán)境中被成功地配置。其他示例包括跳轉(zhuǎn)處置器�,所 述跳轉(zhuǎn)處置器用于響應(yīng)于確定所述通信路徑是不安全路徑而生成從所述第一策略處置器 到所述第二策略處置器的所述安全路徑。在另外其他的示例中����,所述引導(dǎo)器用于經(jīng)由所述 第一策略處置器與所述第二策略處置器之間的安全路徑將所述全局策略轉(zhuǎn)發(fā)到所述第二 策略處置器���。
[0102] 一種用于在分布式環(huán)境中管理全局策略的示例方法包括:用處理器標(biāo)識所述全局 策略的能夠由所述第一策略處置器實(shí)施的第一子策略;對所述第一子策略進(jìn)行簽名;W及 用所述處理器基于所述全局策略的簽名狀態(tài)確定是否將所述全局策略轉(zhuǎn)發(fā)到第二策略處 置器�����,W及當(dāng)所述全局策略的所述簽名狀態(tài)指示未經(jīng)簽名的第二子策略時將所述全局策略 轉(zhuǎn)發(fā)到所述第二策略處置器���。在某些示例中��,確定是否轉(zhuǎn)發(fā)所述全局策略包括:生成標(biāo)識所 述第一策略處置器和所述第二策略處置器的映射����,所述映射標(biāo)識(a)所述第一策略處置器 與所述第二策略處置器之間的通信路徑W及(b)所述第二策略處置器的簽名��,W及當(dāng)所述 全局策略的所述簽名狀態(tài)不包括在所述映射中標(biāo)識的所述第二策略處置器簽名時將所述 全局策略轉(zhuǎn)發(fā)到所述第二策略處置器�����。在某些其他示例中����,所述方法包括:確定在所述映射 中標(biāo)識的所述通信路徑是否是安全路徑���。某些示例方法包括:響應(yīng)于確定所述通信路徑是 不安全路徑而生成在所述第一策略處置器到所述第二策略處置器之間的第二安全路徑。另 外其他的示例方法包括:基于包括在所述映射中的附加策略處置器處理所述全局策略���。在 某些示例中���,處理所述全局策略包括:標(biāo)識包括在所述全局策略的第Ξ子策略中的因子,確 定所述映射是否對到與所述因子相對應(yīng)的傳感器的通信路徑進(jìn)行標(biāo)識�����,W及當(dāng)所述映射不 對到所述傳感器的所述通信路徑進(jìn)行標(biāo)識時創(chuàng)建不包括所述第Ξ子策略的經(jīng)修改的全局 策略����,W及經(jīng)由受保護(hù)路徑將所述經(jīng)修改的全局策略轉(zhuǎn)發(fā)到所述第二策略處置器。在某些 示例方法中����,生成所述映射包括:標(biāo)識所述第二策略處置器的特征���。其他公開示例方法包 括:確定所述第二策略處置器的所述特征是否滿足所述未經(jīng)簽名的第二子策略的一個或多 個標(biāo)準(zhǔn)��;W及當(dāng)所述第二策略處置器的所述特征滿足所述未經(jīng)簽名的第二子策略的所述一 個或多個標(biāo)準(zhǔn)時將所述全局策略轉(zhuǎn)發(fā)到所述第二策略處置器���。在某些示例中�,所述第二策 略處置器的所述示例特征包括所述第二策略處置器的功能類型或所述第二策略處置器的 安全強(qiáng)度中的至少一項(xiàng)���,并且所述未經(jīng)簽名的第二策略處置器的所述一個或多個標(biāo)準(zhǔn)包括 功能要求或最小安全強(qiáng)度中的至少一項(xiàng)�����。在另外其他的示例中�����,所述方法包括:通過將私鑰 附加到所述第一子策略來對所述第一子策略進(jìn)行簽名��,所述私鑰對于所述第一策略處置器 是唯一的��。其他示例方法包括:響應(yīng)于無法標(biāo)識所述第一子策略而對所述全局策略進(jìn)行簽 名�����。另外其他的示例方法包括:標(biāo)識所述全局策略的所述第一子策略進(jìn)一步包括將所述第 一子策略標(biāo)識為所述全局策略的未經(jīng)簽名的子策略�����。在某些示例中��,所述方法包括:確定所 述全局策略不包括未經(jīng)簽名的子策略����;W及當(dāng)所述全局策略不包括未經(jīng)簽名的子策略時將 所述全局策略記錄為在所述分布式環(huán)境中被成功地配置。其他示例包括方法:經(jīng)由所述第 一策略處置器與所述第二策略處置器之間的安全路徑將所述全局策略轉(zhuǎn)發(fā)到所述第二策 略處置器�����。在某些其他示例中��,所述方法包括:響應(yīng)于確定所述通信路徑是不安全路徑而生 成在所述第一策略處置器到所述第二策略處置器之間的第二安全路徑���。
[0103] -種示例公開計(jì)算機(jī)可讀存儲介質(zhì)包括當(dāng)被執(zhí)行時執(zhí)行W下各項(xiàng)的指令:標(biāo)識全 局策略的能夠由第一策略處置器實(shí)施的第一子策略;對所述第一子策略進(jìn)行簽名�����;W及基 于所述全局策略的簽名狀態(tài)確定是否將所述全局策略轉(zhuǎn)發(fā)到第二策略處置器��,W及當(dāng)所述 全局策略的所述簽名狀態(tài)指示未經(jīng)簽名的第二子策略時將所述全局策略轉(zhuǎn)發(fā)到所述第二 策略處置器��。當(dāng)被執(zhí)行時��,某些示例指令:生成標(biāo)識所述第一策略處置器和所述第二策略處 置器的映射���,所述映射標(biāo)識(a)所述第一策略處置器與所述第二策略處置器之間的通信路 徑W及(b)所述第二策略處置器的簽名,W及當(dāng)所述全局策略的所述簽名狀態(tài)不包括在所 述映射中標(biāo)識的所述第二策略處置器簽名時將所述全局策略轉(zhuǎn)發(fā)到所述第二策略處置器�����。 在某些公開示例指令中��,當(dāng)被執(zhí)行時����,使機(jī)器確定在所述映射中標(biāo)識的所述通信路徑是否 是安全路徑。某些示例公開指令包括包括響應(yīng)于確定所述通信路徑是不安全路徑而生成在 所述第一策略處置器到所述第二策略處置器之間的第二安全路徑����。在某些公開示例中,當(dāng) 被執(zhí)行時�,所述指令使機(jī)器基于包括在所述映射中的第Ξ策略處置器處理所述全局策略。 某些公開示例指令:標(biāo)識包括在所述全局策略的第Ξ子策略中的因子����,確定所述映射是否 對到與所述因子相對應(yīng)的傳感器的通信路徑進(jìn)行標(biāo)識,W及當(dāng)所述映射不對到所述傳感器 的所述通信路徑進(jìn)行標(biāo)識時創(chuàng)建不包括所述第Ξ子策略的經(jīng)修改的全局策略���,W及經(jīng)由受 保護(hù)路徑將所述經(jīng)修改的全局策略轉(zhuǎn)發(fā)到所述第二策略處置器�。在某些公開示例中����,指令 包括通過標(biāo)識所述第二策略處置器的特征生成所述映射��。當(dāng)被執(zhí)行時�,其他公開示例指令 使機(jī)器:確定所述第二策略處置器的所述特征是否滿足所述未經(jīng)簽名的第二子策略的一個 或多個標(biāo)準(zhǔn)�����;W及當(dāng)所述第二策略處置器的所述特征滿足所述未經(jīng)簽名的第二子策略的所 述一個或多個標(biāo)準(zhǔn)時將所述全局策略轉(zhuǎn)發(fā)到所述第二策略處置器���。在某些示例中�,所述第 二策略處置器的所述示例特征包括所述第二策略處置器的功能類型或所述第二策略處置 器的安全強(qiáng)度中的至少一項(xiàng)���,并且所述未經(jīng)簽名的第二策略處置器的所述一個或多個標(biāo)準(zhǔn) 包括功能要求或最小安全強(qiáng)度中的至少一項(xiàng)�����。當(dāng)被執(zhí)行時��,某些示例指令通過將私鑰附加 到所述第一子策略對所述第一子策略進(jìn)行簽名��,所述私鑰對于所述第一策略處置器是唯一 的��。其他示例指令包括:響應(yīng)于無法標(biāo)識所述第一子策略而對所述全局策略進(jìn)行簽名���。在某 些示例指令中���,當(dāng)被執(zhí)行時����,使機(jī)器:當(dāng)所述第一子策略時經(jīng)簽名的子策略時,確定所述全 局策略不包括未經(jīng)簽名的子策略����;W及當(dāng)所述全局策略不包括未經(jīng)簽名的子策略時將所述 全局策略記錄為在所述分布式環(huán)境中被成功地配置。某些示例指令包括當(dāng)所述通信路徑是 不安全路徑時生成從所述第一策略處置器到所述第二策略處置器的所述安全路徑���。
[0104] -種用于管理分布式環(huán)境中的第一策略處置器的全局策略的示例公開系統(tǒng)包括: 用于標(biāo)識所述全局策略的能夠由所述第一策略處置器實(shí)施的第一子策略的裝置;用于對所 述第一子策略進(jìn)行簽名的裝置�;W及用于基于所述全局策略的簽名狀態(tài)確定是否將所述全 局策略轉(zhuǎn)發(fā)到第二策略處置器的裝置�,W及用于當(dāng)所述全局策略的所述簽名狀態(tài)指示未經(jīng) 簽名的第二子策略時將所述全局策略轉(zhuǎn)發(fā)到所述第二策略處置器的裝置。在某些示例中��, 所述系統(tǒng)包括:用于生成標(biāo)識所述第一策略處置器和所述第二策略處置器的映射的裝置���, 所述映射標(biāo)識(a)所述第一策略處置器與所述第二策略處置器之間的通信路徑W及(b)所 述第二策略處置器的簽名:W及用于當(dāng)所述全局策略的所述簽名狀態(tài)不包括在所述映射中 標(biāo)識的所述第二策略處置器簽名時將所述全局策略轉(zhuǎn)發(fā)到所述第二策略處置器的裝置��。在 其他示例中���,所述系統(tǒng)包括:用于確定在所述映射中標(biāo)識的所述通信路徑是否是安全路徑 的裝置��。某些示例系統(tǒng)包括:響應(yīng)于確定所述通信路徑是不安全路徑用于生成在所述第一 策略處置器到所述第二策略處置器之間的第二安全路徑的裝置���。其他示例系統(tǒng)包括:用于 基于包括在所述映射中的附加策略處置器處理所述全局策略的裝置。在某些示例系統(tǒng)中���, 用于處理所述全局策略的所述裝置包括:用于標(biāo)識包括在所述全局策略的第Ξ子策略中的 因子的裝置;用于確定所述映射是否對到與所述因子相對應(yīng)的傳感器的通信路徑進(jìn)行標(biāo)識 的裝置;用于當(dāng)所述映射不對到所述傳感器的所述通信路徑進(jìn)行標(biāo)識時創(chuàng)建不包括所述第 Ξ子策略的經(jīng)修改的全局策略的裝置��;W及用于經(jīng)由受保護(hù)路徑將所述經(jīng)修改的全局策略 轉(zhuǎn)發(fā)到所述第二策略處置器的裝置��。在某些示例系統(tǒng)中�,用于生成所述映射的所述裝置包 括:用于標(biāo)識所述第二策略處置器的特征的裝置�。其他公開示例系統(tǒng)包括:用于確定所述第 二策略處置器的所述特征是否滿足所述未經(jīng)簽名的第二子策略的一個或多個標(biāo)準(zhǔn)的裝置; W及用于當(dāng)所述第二策略處置器的所述特征滿足所述未經(jīng)簽名的第二子策略的所述一個 或多個標(biāo)準(zhǔn)時將所述全局策略轉(zhuǎn)發(fā)到所述第二策略處置器的裝置�����。在某些示例中�����,所述第 二策略處置器的所述示例特征包括:所述第二策略處置器的功能類型或所述第二策略處置 器的安全強(qiáng)度中的至少一項(xiàng),并且所述未經(jīng)簽名的第二策略處置器的所述一個或多個標(biāo)準(zhǔn) 包括功能要求或最小安全強(qiáng)度中的至少一項(xiàng)���。在另外其他示例系統(tǒng)中��,用于對所述第一子 策略進(jìn)行簽名的所述裝置包括:用于通過將私鑰附加到所述第一子策略來對所述第一子策 略進(jìn)行簽名的裝置�,所述私鑰對于所述第一策略處置器是唯一的���。其他示例系統(tǒng)包括:響應(yīng) 于無法標(biāo)識所述第一子策略用于對所述全局策略進(jìn)行簽名的裝置。在某些示例系統(tǒng)中��,用 于標(biāo)識所述全局策略的所述第一子策略的所述裝置包括:用于將所述第一子策略標(biāo)識為所 述全局策略的未經(jīng)簽名的子策略的裝置��。其他示例系統(tǒng)包括:用于確定所述全局策略不包 括未經(jīng)簽名的子策略的裝置�����;W及用于當(dāng)所述全局策略不包括未經(jīng)簽名的子策略時將所述 全局策略記錄為在所述分布式環(huán)境中被成功地配置的裝置��。在另外其他示例中�,系統(tǒng)包括: 用于當(dāng)所述通信路徑是不安全路徑時生成從所述第一策略處置器到所述第二策略處置器 的所述安全路徑的裝置。
[0105] 如前所述�,將認(rèn)識到已經(jīng)公開了即使例如客戶端環(huán)境中的不同受控資源可W由不 同策略處置器保護(hù)時確保受控資源訪問請求滿足MFA策略的方法、裝置和制品�。
[0106] 盡管已經(jīng)在此公開了某些示例方法、裝置、W及制品��,本專利的覆蓋范圍不限于 此���。相反�����,本專利覆蓋合理地落入本專利的權(quán)利要求書的范圍內(nèi)的所有方法�����、裝置�、W及制 品D
【主權(quán)項(xiàng)】
1. 一種用于在分布式環(huán)境中管理全局策略的第一策略處置器����,所述第一策略處置器包 括: 解析器,所述解析器用于標(biāo)識所述全局策略的能夠由所述第一策略處置器實(shí)施的第一 子策略���; 證明器����,所述證明器用于對所述第一子策略進(jìn)行簽名��;以及 引導(dǎo)器,所述引導(dǎo)器用于: 基于所述全局策略的簽名狀態(tài)確定是否將所述全局策略轉(zhuǎn)發(fā)到第二策略處置器��,以及 當(dāng)所述全局策略的所述簽名狀態(tài)指示未經(jīng)簽名的第二子策略時將所述全局策略轉(zhuǎn)發(fā) 到所述第二策略處置器�。2. 如權(quán)利要求1所述的第一策略處置器,進(jìn)一步包括映射器��,所述映射器用于:生成用 于標(biāo)識所述第一策略處置器和所述第二策略處置器的映射���,所述映射用于標(biāo)識(a)所述第 一策略處置器與所述第二策略處置器之間的通信路徑以及(b)所述第二策略處置器的所述 簽名���,并且 其中,所述引導(dǎo)器用于處理所述映射并且當(dāng)所述全局策略的所述簽名狀態(tài)不包括在所 述映射中標(biāo)識的所述第二策略處置器簽名時將所述全局策略轉(zhuǎn)發(fā)到所述第二策略處置器��。3. 如權(quán)利要求2所述的第一策略處置器���,其中,所述引導(dǎo)器用于確定在所述映射中標(biāo)識 的所述通信路徑是否是安全路徑����。4. 如權(quán)利要求3所述的第一策略處置器,進(jìn)一步包括跳轉(zhuǎn)處置器��,所述跳轉(zhuǎn)處置器用于 響應(yīng)于確定所述通信路徑是不安全路徑而生成在所述第一策略處置器到所述第二策略處 置器之間的第二安全路徑����。5. 如權(quán)利要求2所述的第一策略處置器�,進(jìn)一步包括審核器���,所述審核器用于通過以下 方式處理所述全局策略: 標(biāo)識包括在所述全局策略的第三子策略中的因子�����, 確定所述映射是否對到與所述因子相對應(yīng)的傳感器的通信路徑進(jìn)行標(biāo)識�,以及 當(dāng)所述映射不對到所述傳感器的所述通信路徑進(jìn)行標(biāo)識時創(chuàng)建不包括所述第三子策 略的經(jīng)修改的全局策略��,以及 所述引導(dǎo)器用于經(jīng)由受保護(hù)路徑將所述經(jīng)修改的全局策略轉(zhuǎn)發(fā)到所述第二策略處置 器��。6. 如權(quán)利要求1所述的第一策略處置器�,其中,所述證明器用于通過將私鑰附加到所述 第一子策略來對所述第一子策略進(jìn)行簽名���,所述私鑰對于所述第一策略處置器是唯一的��。7. 如權(quán)利要求1所述的第一策略處置器����,其中���,所述證明器用于當(dāng)所述解析器無法標(biāo)識 能夠由所述第一策略處置器實(shí)施的子策略時對所述全局策略進(jìn)行簽名�。8. 如權(quán)利要求1所述的第一策略處置器,其中�,所述解析器用于通過將所述第一子策略 標(biāo)識為所述全局策略的未經(jīng)簽名的子策略來標(biāo)識所述全局策略的所述第一子策略。9. 如權(quán)利要求8所述的第一策略處置器�����,其中���,所述解析器用于當(dāng)所述全局策略不包括 未經(jīng)簽名的子策略時確定所述全局策略在所述分布式環(huán)境中被成功地配置�。10. 如權(quán)利要求3或5所述的第一策略處置器���,進(jìn)一步包括跳轉(zhuǎn)處置器�����,所述跳轉(zhuǎn)處置器 用于響應(yīng)于確定所述通信路徑是不安全路徑而生成從所述第一策略處置器到所述第二策 略處置器的所述安全路徑。11. 一種用于在分布式環(huán)境中管理全局策略的方法����,所述方法包括: 由處理器標(biāo)識所述全局策略的能夠由第一策略處置器實(shí)施的第一子策略; 對所述第一子策略進(jìn)行簽名���; 由所述處理器基于所述全局策略的簽名狀態(tài)確定是否將所述全局策略轉(zhuǎn)發(fā)到第二策 略處置器�����;以及 當(dāng)所述全局策略的所述簽名狀態(tài)指示未經(jīng)簽名的第二子策略時將所述全局策略轉(zhuǎn)發(fā) 到所述第二策略處置器�����。12. 如權(quán)利要求11所述的方法���,其中�,確定是否轉(zhuǎn)發(fā)所述全局策略進(jìn)一步包括: 生成標(biāo)識所述第一策略處置器和所述第二策略處置器的映射���,所述映射標(biāo)識(a)所述 第一策略處置器與所述第二策略處置器之間的通信路徑以及(b)所述第二策略處置器的簽 名�;以及 當(dāng)所述全局策略的所述簽名狀態(tài)不包括在所述映射中標(biāo)識的所述第二策略處置器簽 名時將所述全局策略轉(zhuǎn)發(fā)到所述第二策略處置器����。13. 如權(quán)利要求12所述的方法,進(jìn)一步包括確定在所述映射中標(biāo)識的所述通信路徑是 否是安全路徑�����。14. 如權(quán)利要求13所述的方法��,進(jìn)一步包括響應(yīng)于確定所述通信路徑是不安全路徑而 生成在所述第一策略處置器到所述第二策略處置器之間的第二安全路徑。15. 如權(quán)利要求11所述的方法����,其中,生成所述映射進(jìn)一步包括標(biāo)識所述第二策略處置 器的特征�。16. 如權(quán)利要求15所述的方法,進(jìn)一步包括: 確定所述第二策略處置器的所述特征是否滿足所述未經(jīng)簽名的第二子策略的一個或 多個標(biāo)準(zhǔn)�����;以及 當(dāng)所述第二策略處置器的所述特征滿足所述未經(jīng)簽名的第二子策略的所述一個或多 個標(biāo)準(zhǔn)時將所述全局策略轉(zhuǎn)發(fā)到所述第二策略處置器��。17. 如權(quán)利要求16所述的方法����,其中,所述第二策略處置器的所述特征包括所述第二策 略處置器的功能類型或所述第二策略處置器的安全強(qiáng)度中的至少一項(xiàng)��,并且所述未經(jīng)簽名 的第二策略處置器的所述一個或多個標(biāo)準(zhǔn)包括功能要求或最小安全強(qiáng)度中的至少一項(xiàng)�����。18. 如權(quán)利要求11所述的方法���,進(jìn)一步包括基于包括在所述映射中的附加策略處置器 處理所述全局策略���。19. 如權(quán)利要求18所述的方法,其中�����,處理所述全局策略進(jìn)一步包括: 標(biāo)識包括在所述全局策略的第三子策略中的因子����; 確定所述映射是否對到與所述因子相對應(yīng)的傳感器的通信路徑進(jìn)行標(biāo)識; 當(dāng)所述映射不對到所述傳感器的所述通信路徑進(jìn)行標(biāo)識時創(chuàng)建不包括所述第三子策 略的經(jīng)修改的全局策略��;以及 經(jīng)由安全路徑將所述經(jīng)修改的全局策略轉(zhuǎn)發(fā)到所述第二策略處置器�。20. 如權(quán)利要求11所述的方法,其中���,標(biāo)識所述全局策略的所述第一子策略進(jìn)一步包括 將所述第一子策略標(biāo)識為所述全局策略的未經(jīng)簽名的子策略��。21. 如權(quán)利要求20所述的方法�,進(jìn)一步包括: 確定所述全局策略不包括未經(jīng)簽名的子策略�;以及 當(dāng)所述全局策略不包括未經(jīng)簽名的子策略時將所述全局策略記錄為在所述分布式環(huán) 境中被成功地配置。22. 如權(quán)利要求13或19所述的方法��,進(jìn)一步包括當(dāng)所述通信路徑是不安全路徑時生成 從所述第一策略處置器到所述第二策略處置器的所述安全路徑。23. -種機(jī)器可訪問存儲設(shè)備或存儲盤����,其上存儲有指令,所述指令當(dāng)被執(zhí)行時使機(jī)器 至少: 標(biāo)識全局策略的能夠由第一策略處置器實(shí)施的第一子策略�����; 對所述第一子策略進(jìn)行簽名���; 基于所述全局策略的簽名狀態(tài)確定是否將所述全局策略轉(zhuǎn)發(fā)到第二策略處置器��;以及 當(dāng)所述全局策略的所述簽名狀態(tài)指示未經(jīng)簽名的第二子策略時將所述全局策略轉(zhuǎn)發(fā) 到所述第二策略處置器�。24. 如權(quán)利要求23所述的機(jī)器可訪問存儲設(shè)備或存儲盤�,進(jìn)一步包括當(dāng)被執(zhí)行時使所 述機(jī)器執(zhí)行以下各項(xiàng)的指令: 生成用于標(biāo)識所述第一策略處置器和所述第二策略處置器的映射,所述映射用于標(biāo)識 (a)所述第一策略處置器與所述第二策略處置器之間的通信路徑以及(b)所述第二策略處 置器的簽名�;以及 當(dāng)所述全局策略的所述簽名狀態(tài)不包括在所述映射中標(biāo)識的所述第二策略處置器簽 名時將所述全局策略轉(zhuǎn)發(fā)到所述第二策略處置器。25. 如權(quán)利要求23所述的機(jī)器可訪問存儲設(shè)備或存儲盤���,進(jìn)一步包括當(dāng)被執(zhí)行時使所 述機(jī)器執(zhí)行以下各項(xiàng)的指令: 當(dāng)所述第一子策略是經(jīng)簽名的子策略時確定所述全局策略是否不包括未經(jīng)簽名的子 策略�����;以及 當(dāng)所述全局策略不包括未經(jīng)簽名的子策略時將所述全局策略記錄為在所述分布式環(huán) 境中被成功地配置�����。
【文檔編號】H04L29/06GK106063189SQ201580010865
【公開日】2016年10月26日
【申請日】2015年2月20日
【發(fā)明人】N·M·史密斯, A·巴佳伍-史班扎爾, M·J·舍勒
【申請人】英特爾公司