移動(dòng)設(shè)備實(shí)施的策略通常被控制以保護(hù)和/或管理此類移動(dòng)設(shè)備。通常,多個(gè)策略源配置移動(dòng)設(shè)備的策略值。使得多個(gè)策略源能夠配置策略值的許多傳統(tǒng)方法包括集中式策略服務(wù)器。多個(gè)策略源通常向集中式策略服務(wù)器發(fā)送策略配置請(qǐng)求(包括策略的策略值)。集中式策略服務(wù)器可收集來自多個(gè)策略源的策略的策略值,在策略的這些策略值之間進(jìn)行仲裁,以及向移動(dòng)設(shè)備發(fā)送策略的策略值。相應(yīng)地,使用這種基于服務(wù)器的方法,集中式策略服務(wù)器管理從多個(gè)策略源獲得的策略值,且移動(dòng)設(shè)備使用由集中式策略服務(wù)器設(shè)置的策略值。
一些其它常規(guī)方法涉及移動(dòng)設(shè)備接收和處理策略配置請(qǐng)求的一子集,而集中式策略服務(wù)器處理策略配置請(qǐng)求的其余部分。然而,使用這種方法,移動(dòng)設(shè)備限于管理策略配置請(qǐng)求的一部分,而策略配置請(qǐng)求的其余部分被移動(dòng)設(shè)備移交。相應(yīng)地,這些傳統(tǒng)方法通常是復(fù)雜且難以實(shí)現(xiàn)的。
概述
本文描述了涉及移動(dòng)設(shè)備上的策略管理的各種技術(shù)。移動(dòng)設(shè)備可包括至少一個(gè)處理器和計(jì)算機(jī)可讀存儲(chǔ),且該計(jì)算機(jī)可讀存儲(chǔ)可包括能夠由該至少一個(gè)處理器執(zhí)行的設(shè)備策略管理器系統(tǒng)。設(shè)備策略管理器系統(tǒng)可包括統(tǒng)一接口組件,該統(tǒng)一接口組件被配置成接收來自多個(gè)策略源的策略配置請(qǐng)求。該多個(gè)策略源至少包括內(nèi)部策略源組件和在該移動(dòng)設(shè)備外部的設(shè)備管理服務(wù)器,該內(nèi)部策略源組件被配置成由該移動(dòng)設(shè)備的該至少一個(gè)處理器執(zhí)行。統(tǒng)一接口組件接收的策略配置請(qǐng)求至少包括從第一策略源接收的第一策略配置請(qǐng)求和從第二策略源接收的第二策略配置請(qǐng)求。第一策略配置請(qǐng)求包括一策略的第一策略值,而第二策略配置請(qǐng)求包括該策略的第二策略值。第一策略源不同于第二策略源,且第一策略值與第二策略值相沖突。而且,設(shè)備策略管理器系統(tǒng)包括策略處置器組件,該策略處置器組件被配置成基于沖突解決技術(shù)來解決該策略的第一策略值和第二策略值之間的沖突,以設(shè)置控制該移動(dòng)設(shè)備的該策略的當(dāng)前策略值。
以上概述呈現(xiàn)了簡(jiǎn)化概述,以提供對(duì)本文討論的系統(tǒng)和/或方法的一些方面的基本理解。本概述并不是對(duì)此處所討論的系統(tǒng)和/或方法的全面綜述。并不旨在標(biāo)識(shí)關(guān)鍵/重要元素,也不描繪這樣的系統(tǒng)和/或方法的范圍。其唯一目的是以簡(jiǎn)化形式呈現(xiàn)一些概念,作為稍后呈現(xiàn)的更詳細(xì)說明的序言。
附圖簡(jiǎn)述
圖1示出了執(zhí)行移動(dòng)設(shè)備上的策略管理的示例性系統(tǒng)的功能框圖。
圖2示出了執(zhí)行移動(dòng)設(shè)備上的策略管理的另一示例性系統(tǒng)的功能框圖。
圖3示出了描繪由策略處置器組件執(zhí)行的策略評(píng)估過程的示例性圖示。
圖4更詳細(xì)地示出了移動(dòng)設(shè)備的設(shè)備策略管理器組件的功能框圖。
圖5示出了設(shè)備策略管理器系統(tǒng)的示例性實(shí)現(xiàn)。
圖6是示出管理移動(dòng)設(shè)備上的策略的示例性方法體系的流程圖。
圖7是示出控制被用來管理移動(dòng)設(shè)備上的策略的沖突解決技術(shù)的示例性方法體系的流程圖。
圖8示出了示例性計(jì)算設(shè)備。
詳細(xì)描述
現(xiàn)在參考附圖來描述涉及在移動(dòng)設(shè)備上處置對(duì)來自多個(gè)策略源的策略的策略配置請(qǐng)求的各種技術(shù),其中在附圖中貫穿始終使用相同的參考標(biāo)記來引述相同的要素。在以下描述中,為解釋起見,闡明了眾多具體細(xì)節(jié)以提供對(duì)一個(gè)或多個(gè)方面的全面理解。然而,顯然這(些)方面可以在沒有這些具體細(xì)節(jié)的情況下實(shí)施。在其他實(shí)例中,以框圖形式示出公知的結(jié)構(gòu)和設(shè)備以便于描述一個(gè)或多個(gè)方面。另外,要理解,被描述為由特定系統(tǒng)組件執(zhí)行的功能性可由多個(gè)組件執(zhí)行。類似地,例如,一組件可被配置成執(zhí)行被描述為由多個(gè)組件實(shí)現(xiàn)的功能。
此外,術(shù)語“或”意指包括性“或”而非排斥性“或”。即,除非另有指定或從上下文顯而易見,否則短語“X采用A或B”意指任何自然的包括性排列。即,短語“X采用A或B”藉由以下實(shí)例中任何實(shí)例得到滿足:X采用A;X采用B;或X采用A和B兩者。另外,本申請(qǐng)和所附權(quán)利要求書中所使用的冠詞“一”和“某”一般應(yīng)當(dāng)被解釋成表示“一個(gè)或多個(gè)”,除非另外聲明或者可從上下文中清楚看出是指單數(shù)形式。
現(xiàn)在參考附圖,圖1示出在移動(dòng)設(shè)備102上執(zhí)行策略管理的系統(tǒng)100。移動(dòng)設(shè)備102包括至少一個(gè)處理器104和計(jì)算機(jī)可讀存儲(chǔ)106。處理器104被配置成執(zhí)行加載到存儲(chǔ)106中的指令(例如,加載到存儲(chǔ)106中的一個(gè)或多個(gè)系統(tǒng)、加載到存儲(chǔ)106中的一個(gè)或多個(gè)組件等)。如本文更詳細(xì)地描述的,存儲(chǔ)106包括設(shè)備策略管理器系統(tǒng)108。相應(yīng)地,設(shè)備策略管理器系統(tǒng)108能被處理器104執(zhí)行。設(shè)備策略管理器系統(tǒng)108被配置成在移動(dòng)設(shè)備102上以集中式方式處置對(duì)來自多個(gè)策略源的策略的策略配置請(qǐng)求。
移動(dòng)設(shè)備102可以是基本上任何類型的移動(dòng)設(shè)備。移動(dòng)設(shè)備102的示例包括但不限于:移動(dòng)電話(例如,智能電話)、膝上型計(jì)算設(shè)備、上網(wǎng)本計(jì)算設(shè)備、平板計(jì)算設(shè)備、可穿戴計(jì)算設(shè)備、手持式計(jì)算設(shè)備、便攜式游戲設(shè)備、個(gè)人數(shù)字助理、以及汽車計(jì)算機(jī)等。根據(jù)其它示例,移動(dòng)設(shè)備102可以是臺(tái)式計(jì)算設(shè)備、游戲控制臺(tái)、娛樂電器、機(jī)頂盒等。
系統(tǒng)100包括多個(gè)策略源,其可向移動(dòng)設(shè)備102的設(shè)備策略管理器系統(tǒng)108提供策略配置請(qǐng)求以設(shè)置控制移動(dòng)設(shè)備102的策略的策略值。多個(gè)策略源可包括能被移動(dòng)設(shè)備102的處理器104執(zhí)行的一個(gè)或多個(gè)內(nèi)部策略源組件110。附加地或替換地,多個(gè)策略源可包括在移動(dòng)設(shè)備102外部的一個(gè)或多個(gè)設(shè)備管理服務(wù)器。
(諸)內(nèi)部策略源組件110可包括由移動(dòng)設(shè)備102的處理器104執(zhí)行的應(yīng)用、移動(dòng)設(shè)備102的設(shè)備用戶接口等。例如,由移動(dòng)設(shè)備102的處理器104執(zhí)行的應(yīng)用可基于(諸)事件設(shè)置策略;該應(yīng)用可基于一個(gè)或多個(gè)觸發(fā)器(諸如(諸)簡(jiǎn)檔改變、(諸)開箱即用(OOBE)狀態(tài)等)配置在移動(dòng)設(shè)備102內(nèi)部的策略。根據(jù)一示例,(諸)內(nèi)部策略源組件110可包括可基于事件生成策略配置請(qǐng)求的第一方應(yīng)用,其中策略配置請(qǐng)求可由設(shè)備策略管理器系統(tǒng)108來處置。第一方應(yīng)用可以是移動(dòng)設(shè)備102的基礎(chǔ)組件或者與移動(dòng)設(shè)備102耦合的外設(shè),其不由任何設(shè)備管理服務(wù)器112-114限制或綁定至任何設(shè)備管理服務(wù)器112-114。
如圖1的示例中所示,系統(tǒng)100包括設(shè)備管理服務(wù)器1 112、……以及設(shè)備管理服務(wù)器N 114,其中N是基本上任何整數(shù)(設(shè)備管理服務(wù)器1 112……以及設(shè)備管理服務(wù)器N 114在本文被統(tǒng)稱為設(shè)備管理服務(wù)器112-114)。然而,根據(jù)其它示例,構(gòu)想了系統(tǒng)100可包括少于N個(gè)設(shè)備管理服務(wù)器112-114(例如,移動(dòng)設(shè)備102可不向任何設(shè)備管理服務(wù)器登記,移動(dòng)設(shè)備102可向一個(gè)設(shè)備管理服務(wù)器登記)。設(shè)備管理服務(wù)器112-114可包括(諸)移動(dòng)運(yùn)營商管理服務(wù)器、(諸)企業(yè)設(shè)備管理服務(wù)器、或其組合。企業(yè)設(shè)備管理服務(wù)器的示例包括消息收發(fā)服務(wù)器、移動(dòng)設(shè)備管理(MDM)服務(wù)器、文檔服務(wù)器等。MDM服務(wù)器可管理移動(dòng)設(shè)備102;MDM服務(wù)器可使用應(yīng)用、數(shù)據(jù)和策略配置請(qǐng)求的空中分發(fā)來控制和保護(hù)移動(dòng)設(shè)備102上的數(shù)據(jù)和配置設(shè)置。而且,消息收發(fā)服務(wù)器可與移動(dòng)設(shè)備102交換與電子郵件、日歷、聯(lián)系人、筆記、任務(wù)等有關(guān)的數(shù)據(jù)(例如,移動(dòng)設(shè)備102可與消息收發(fā)服務(wù)器安全地同步電子郵件、日歷、聯(lián)系人、筆記、任務(wù)等);從而,當(dāng)移動(dòng)設(shè)備102被向消息收發(fā)服務(wù)器登記時(shí),消息收發(fā)服務(wù)器可向移動(dòng)設(shè)備102發(fā)送(諸)策略配置請(qǐng)求。文檔服務(wù)器可具有應(yīng)用用于訪問文檔的策略的策略應(yīng)用系統(tǒng)(例如,支持信息權(quán)限管理)。
設(shè)備策略管理器系統(tǒng)108集中式管理來自移動(dòng)設(shè)備102上的各策略源的策略配置請(qǐng)求。構(gòu)想了,設(shè)備策略管理器系統(tǒng)108可集中式管理在委托給移動(dòng)設(shè)備102上存在的或在移動(dòng)設(shè)備102上的硬件中的(諸)其它組件的策略存儲(chǔ)中維護(hù)的策略的策略值。例如,一些策略可在移動(dòng)設(shè)備102的硬件中被管理和證實(shí)。設(shè)備策略管理器系統(tǒng)108可被拆分為例如兩個(gè)組件,這兩個(gè)組件例如向彼此委托任務(wù)。根據(jù)又一示例,設(shè)備策略管理器系統(tǒng)108可包括可向硬件策略管理器和設(shè)備策略管理器系統(tǒng)108的組件分配任務(wù)的協(xié)調(diào)器組件。
設(shè)備策略管理器系統(tǒng)108處置與來自基本上任何策略源的基本上任何策略有關(guān)的策略配置請(qǐng)求。設(shè)備策略管理器系統(tǒng)108可以是一致的、安全的、簡(jiǎn)明的以及可擴(kuò)展的。而且,設(shè)備策略管理器系統(tǒng)108可以是輕量級(jí)和靈活的,從而允許策略源設(shè)置移動(dòng)設(shè)備102的策略的策略值。
設(shè)備策略管理器系統(tǒng)108可接受來自可在移動(dòng)設(shè)備102內(nèi)部(例如,(諸)內(nèi)部策略源組件110)以及在移動(dòng)設(shè)備102外部(例如,設(shè)備管理服務(wù)器112-114)的多個(gè)策略源的策略配置請(qǐng)求。而且,策略源可從設(shè)備策略管理器系統(tǒng)108檢索策略的當(dāng)前策略值。策略的當(dāng)前策略值是在移動(dòng)設(shè)備102上實(shí)施以控制移動(dòng)設(shè)備102的策略值。
移動(dòng)設(shè)備102的計(jì)算機(jī)可讀存儲(chǔ)106還可包括(諸)內(nèi)部系統(tǒng)116。(諸)內(nèi)部系統(tǒng)116可以是移動(dòng)設(shè)備102的處理器104可執(zhí)行的。內(nèi)部系統(tǒng)116可類似地從設(shè)備策略管理器系統(tǒng)108檢索策略的當(dāng)前策略值。附加地或替換地,設(shè)備策略管理器系統(tǒng)108可響應(yīng)于策略的當(dāng)前策略值的改變向(諸)內(nèi)部系統(tǒng)116中的一個(gè)或多個(gè)發(fā)送通知。
設(shè)備策略管理器系統(tǒng)108包括被配置成接收來自多個(gè)策略源的策略配置請(qǐng)求的統(tǒng)一接口組件。多個(gè)策略源可包括由移動(dòng)設(shè)備102的處理器104執(zhí)行的至少一個(gè)內(nèi)部策略源組件(例如,(諸)內(nèi)部策略源組件110)以及在移動(dòng)設(shè)備102外部的至少一個(gè)設(shè)備管理服務(wù)器(例如,設(shè)備管理服務(wù)器112-114)。統(tǒng)一接口組件118可以是針對(duì)策略源的用于設(shè)置和獲得策略值的接口。從而,內(nèi)部和外部策略源可經(jīng)由統(tǒng)一接口組件118配置移動(dòng)設(shè)備102的策略值。而且,統(tǒng)一接口組件118可以是允許內(nèi)部系統(tǒng)116檢索移動(dòng)設(shè)備102實(shí)施的當(dāng)前策略值的接口。統(tǒng)一接口組件118使得設(shè)備策略管理器系統(tǒng)108能夠在讀取/寫入移動(dòng)設(shè)備102的策略值時(shí)與基本上任何類型的策略源互操作。
設(shè)備策略管理器系統(tǒng)108進(jìn)一步包括被配置成設(shè)置控制移動(dòng)設(shè)備102的策略的當(dāng)前策略值的策略處置器組件120。策略處置器組件120可進(jìn)一步檢索策略的當(dāng)前策略值(例如,響應(yīng)于來自策略源和/或內(nèi)部系統(tǒng)116的請(qǐng)求、向(諸)內(nèi)部系統(tǒng)116發(fā)送通知等)。而且,策略處置器120可響應(yīng)于移動(dòng)設(shè)備102從特定策略源解除登記或者特定策略源刪除特定策略源設(shè)置的策略的策略值而重新評(píng)估策略的當(dāng)前策略值。策略處置器組件120可執(zhí)行策略評(píng)估過程來計(jì)算策略的當(dāng)前策略值;該策略評(píng)估過程可以是可擴(kuò)展的以使得附加策略能被設(shè)備策略管理器系統(tǒng)108支持,并且是安全的以使得一個(gè)策略源無法查看或修改其它策略源的策略配置請(qǐng)求。
設(shè)備策略管理器系統(tǒng)108可具有模塊化的策略配置架構(gòu),其可允許附加策略的插入。設(shè)備策略管理器系統(tǒng)108可以是可擴(kuò)展的,而無需更新移動(dòng)設(shè)備102的操作系統(tǒng)。而且,設(shè)備策略管理器系統(tǒng)108可以使得在一策略源不再管理移動(dòng)設(shè)備102時(shí)該策略源的管理權(quán)威對(duì)策略的影響能夠被擦除。
策略處置器組件120可解決由不同策略源指定的沖突的策略值之間的沖突。例如,策略處置器組件120可利用各種沖突解決技術(shù)來解決策略的沖突。要領(lǐng)會(huì),策略解決技術(shù)可以針對(duì)兩個(gè)或更多個(gè)策略設(shè)置。附加地或替換地,不同的沖突解決技術(shù)可針對(duì)不同策略設(shè)置。
在移動(dòng)設(shè)備102上的策略源之間不需要建立信任,其可簡(jiǎn)單地向(諸)策略源登記移動(dòng)設(shè)備102。例如策略處置器組件120可被配置成解決來自策略源的策略的策略值之間的沖突而無需在移動(dòng)設(shè)備102上建立這些策略源之間的信任(例如,由設(shè)備管理服務(wù)器1 112指定的第一策略值和由設(shè)備管理服務(wù)器N 114指定的第二策略值之間的沖突可被策略處置器組件120解決而無需在移動(dòng)設(shè)備102上建立設(shè)備管理服務(wù)器1 112和設(shè)備管理服務(wù)器N 114之間的信任)。
可被策略處置器組件120使用的示例性沖突解決技術(shù)包括排他性規(guī)則(例如,當(dāng)策略的特定值被應(yīng)用時(shí),則另一策略的特定值不被應(yīng)用)、包容性規(guī)則(例如,僅當(dāng)另一策略值落入bar的范圍時(shí)將策略設(shè)置為值Foo)、僅當(dāng)移動(dòng)設(shè)備102的特定條件為X時(shí)將策略值設(shè)置為Foo、根據(jù)來自特定策略源的請(qǐng)求實(shí)施策略值等。其它示例性沖突解決技術(shù)包括將策略的當(dāng)前值設(shè)置為最近寫入的策略值或?qū)⒉呗缘漠?dāng)前設(shè)置為最嚴(yán)格的策略值。
根據(jù)另一示例,沖突解決技術(shù)可指定各策略源類型的相應(yīng)權(quán)威等級(jí)。根據(jù)這一示例,策略處置器組件120可被配置成使用這種沖突解決技術(shù)基于從其接收策略配置請(qǐng)求的策略源的相應(yīng)權(quán)威等級(jí)來設(shè)置策略的當(dāng)前策略值,其中這些策略配置請(qǐng)求包括該策略的相應(yīng)策略值。作為說明,第一策略配置請(qǐng)求(包括該策略的第一策略值)可來自具有第一權(quán)威等級(jí)的第一策略源,而第二配置請(qǐng)求(包括該策略的第二策略值)可來自具有第二權(quán)威等級(jí)的第二策略源。根據(jù)此說明,策略處置器組件120可使用該沖突解決技術(shù)基于第一權(quán)威等級(jí)和第二權(quán)威等級(jí)來解決第一策略值和第二策略值之間的沖突(例如,來自具有第一策略等級(jí)的策略源的策略值可優(yōu)先于來自具有第二權(quán)威等級(jí)的策略源策略值被選擇)。例如,一沖突解決技術(shù)可針對(duì)一特定策略指定選擇來自移動(dòng)運(yùn)營商管理服務(wù)器的策略值而不是來自消息收發(fā)服務(wù)器的策略值,同時(shí)該沖突解決技術(shù)可針對(duì)一不同該策略指定選擇來自消息收發(fā)服務(wù)器的策略值而不是選擇來自移動(dòng)運(yùn)營商管理服務(wù)器的策略值。
構(gòu)想了,沖突解決技術(shù)可每個(gè)源(例如,基于源標(biāo)識(shí)符(ID))或每個(gè)源類型來設(shè)置權(quán)威等級(jí)(例如,可分別針對(duì)消息收發(fā)服務(wù)器、MDM服務(wù)器、移動(dòng)運(yùn)營商管理服務(wù)器、(諸)內(nèi)部策略源組件設(shè)置不同權(quán)威等級(jí))。而且,權(quán)威等級(jí)可每策略地定義或者針對(duì)策略組定義。根據(jù)一示例,沖突解決技術(shù)可針對(duì)一組策略指定各策略源類型的相應(yīng)權(quán)威等級(jí),并針對(duì)一組不同策略指定各策略源類型的不同相應(yīng)權(quán)威等級(jí)。根據(jù)一說明,權(quán)威等級(jí)的類定義可被支持。相同權(quán)威等級(jí)可被認(rèn)為是一個(gè)類,并且可定義一個(gè)類如何與另一個(gè)類沖突。例如,給定類可包括一個(gè)或多個(gè)策略源,且各類之間的沖突解決可由作為特定沖突解決技術(shù)的一部分的規(guī)則來確定。
根據(jù)另一示例,沖突解決技術(shù)可指定抑制具有特定權(quán)威等級(jí)的策略源設(shè)置策略的當(dāng)前策略值。根據(jù)此示例,構(gòu)想了,策略配置請(qǐng)求可由移動(dòng)設(shè)備102的被信任的策略源簽名來蓋寫該抑制。作為說明,來自企業(yè)設(shè)備管理服務(wù)器(例如,設(shè)備管理服務(wù)器112-114之一、消息收發(fā)服務(wù)器、MDM服務(wù)器等)的策略配置請(qǐng)求可以是被簽名的策略配置請(qǐng)求;該被簽名的策略配置請(qǐng)求可以被移動(dòng)設(shè)備102的被信任的策略源(例如,移動(dòng)設(shè)備102的處理器104執(zhí)行的操作系統(tǒng)的源)簽名。在接收到來自統(tǒng)一接口組件118的被簽名的策略配置請(qǐng)求之后,策略處置器組件120可被配置成基于該被簽名的策略配置請(qǐng)求來蓋寫沖突解決技術(shù)所指定的抑制。對(duì)策略配置請(qǐng)求簽名可確保從策略源發(fā)送的策略值不能被惡意修改,因?yàn)槿绻恍薷模A(yù)期散列或簽名將不再匹配。
設(shè)備策略管理器系統(tǒng)108進(jìn)一步包括策略管理器元數(shù)據(jù)庫存儲(chǔ)122。策略管理器元數(shù)據(jù)庫存儲(chǔ)122存儲(chǔ)控制移動(dòng)設(shè)備102的策略的當(dāng)前策略值。當(dāng)前策略值可來自由策略處置器組件120實(shí)現(xiàn)的策略評(píng)估過程,其將默認(rèn)策略值和由策略源指定的策略值合并(例如,作為由統(tǒng)一接口組件118接收的策略配置請(qǐng)求的一部分)。默認(rèn)策略值可在策略管理器元數(shù)據(jù)庫存儲(chǔ)122中被預(yù)設(shè)。而且,根據(jù)一示例,構(gòu)想了,被信任的策略源可遠(yuǎn)程修改策略的默認(rèn)策略值。
策略管理器元數(shù)據(jù)庫存儲(chǔ)122還可存儲(chǔ)每個(gè)策略的沖突解決技術(shù)(例如,處置規(guī)則等)和支持的數(shù)據(jù)類型,包括但不限于,如果不同策略值被不同策略源請(qǐng)求則哪些值可以被設(shè)置。策略管理器元數(shù)據(jù)庫存儲(chǔ)122可允許用與(諸)設(shè)備條件(例如,移動(dòng)設(shè)備102的(諸)條件)、(諸)策略源條件(例如,策略源中的一個(gè)或多個(gè)的(諸)條件)和(諸)其它策略條件(例如,不同策略的當(dāng)前策略值)集成的定制規(guī)則的每策略而異的處置。相應(yīng)地,策略管理器元數(shù)據(jù)庫存儲(chǔ)122可允許對(duì)設(shè)備策略管理器系統(tǒng)108實(shí)施的策略的靈活控制。
而且,策略管理器元數(shù)據(jù)庫存儲(chǔ)122可執(zhí)行策略值變形(transfiguration)。例如,舊策略可能指定“1=禁用,0=啟用”。然而,新模型可能提供“0=禁用,1=啟用”。從而,為了提供向后兼容性,策略管理器元數(shù)據(jù)庫存儲(chǔ)122可重配置舊策略的策略值。
每個(gè)策略可具有在策略管理器元數(shù)據(jù)庫存儲(chǔ)122中維持的默認(rèn)值,策略的默認(rèn)值可被保留在策略管理器元數(shù)據(jù)庫存儲(chǔ)122的默認(rèn)策略存儲(chǔ)中。而且,策略的當(dāng)前策略值可基于策略管理器元數(shù)據(jù)庫存儲(chǔ)122的默認(rèn)策略存儲(chǔ)中的元數(shù)據(jù)被確定。
策略管理器元數(shù)據(jù)庫存儲(chǔ)122還可包括移動(dòng)設(shè)備102向其登記的多個(gè)策略源的相應(yīng)源策略存儲(chǔ)。策略管理器元數(shù)據(jù)庫存儲(chǔ)122可存儲(chǔ)由相應(yīng)源策略存儲(chǔ)中的策略源設(shè)置的策略值(例如,在來自設(shè)備管理服務(wù)器1 112的策略配置請(qǐng)求中指定的策略值可被存儲(chǔ)在與設(shè)備管理服務(wù)器1 112相對(duì)應(yīng)的源策略存儲(chǔ)中,在來自設(shè)備管理服務(wù)器N 114的策略配置請(qǐng)求中指定的策略值可被存儲(chǔ)在與設(shè)備管理服務(wù)器N 114相對(duì)應(yīng)的源策略存儲(chǔ)中等)。策略管理器元數(shù)據(jù)庫存儲(chǔ)122還可將移動(dòng)設(shè)備102處實(shí)施的當(dāng)前策略值存儲(chǔ)在當(dāng)前策略存儲(chǔ)中。
每個(gè)策略源可與唯一源標(biāo)識(shí)符(ID)(例如,其可由設(shè)備策略管理器系統(tǒng)108在內(nèi)部處置)相關(guān)聯(lián)。源ID可由調(diào)用過程設(shè)置并且可被用來存儲(chǔ)因源而異的創(chuàng)建的資源以及策略管理器元數(shù)據(jù)庫存儲(chǔ)122中的被改變的策略值。而且,統(tǒng)一接口組件118可基于源ID來讀取/寫入因源而異的策略值并讀取在策略管理器元數(shù)據(jù)庫存儲(chǔ)122中維持的策略的當(dāng)前策略值。
如本文所述,統(tǒng)一接口組件118被配置成接收來自多個(gè)策略源的策略配置請(qǐng)求。根據(jù)一示例情景,策略配置請(qǐng)求可包括來自第一策略源的第一策略配置請(qǐng)求和來自第二策略源的第二策略配置請(qǐng)求。在此示例性情景之后,要領(lǐng)會(huì),策略配置請(qǐng)求可進(jìn)一步包括基本上任何數(shù)量的策略配置請(qǐng)求。第一策略配置請(qǐng)求可包括策略的第一策略值。而且,第二策略配置請(qǐng)求可包括該策略的第二策略值。第一策略源不同于第二策略源,且第一策略值與第二策略值相沖突。策略處置器組件120倍配置成解決該策略的第一策略值和第二策略值之間的沖突。而且,策略處置器組件120被配置成基于沖突解決技術(shù)來解決該沖突以設(shè)置控制移動(dòng)設(shè)備102的策略的當(dāng)前策略值。
第一策略配置請(qǐng)求可進(jìn)一步包括第一策略源的標(biāo)識(shí)符(例如,第一策略源的源ID)和指定為其指定第一策略值的策略的指示符。而且,第二策略配置請(qǐng)求可進(jìn)一步包括第二策略源的標(biāo)識(shí)符(例如,第二策略源的源ID)和指定該策略的指示符。而且,第一策略源的標(biāo)識(shí)符不同于第二策略源的標(biāo)識(shí)符(例如,其可由統(tǒng)一接口組件118來確定)。
策略處置器組件120被配置成接收來自統(tǒng)一接口組件118的第一策略配置請(qǐng)求和第二策略配置請(qǐng)求。策略處置器組件120可將該策略的第一策略值寫入到策略管理器元數(shù)據(jù)庫存儲(chǔ)122的第一源策略存儲(chǔ),其中第一源策略存儲(chǔ)對(duì)應(yīng)于第一策略源。策略處置器組件120可進(jìn)一步將該策略的第二策略值寫入到策略管理器元數(shù)據(jù)庫存儲(chǔ)122的第二源策略存儲(chǔ),其中第二源策略存儲(chǔ)對(duì)應(yīng)于第二策略源。策略處置器組件120進(jìn)一步可使用沖突解決技術(shù)來至少基于來自第一源策略存儲(chǔ)的第一策略值和來自第二源策略存儲(chǔ)的第二策略值確定該策略的當(dāng)前策略值。而且,要領(lǐng)會(huì),響應(yīng)于來自(諸)其它策略源的(諸)其它策略配置請(qǐng)求而被寫入到策略管理器元數(shù)據(jù)庫存儲(chǔ)122的(諸)其它源策略存儲(chǔ)的(諸)其它策略值可類似地被用來確定當(dāng)前策略值和/或策略管理器元數(shù)據(jù)存儲(chǔ)122的默認(rèn)策略存儲(chǔ)中的默認(rèn)策略值可被用來確定該當(dāng)前策略值。附加地,策略處置器組件120可被配置成將所確定的該策略的當(dāng)前策略值寫入到策略管理器元數(shù)據(jù)存儲(chǔ)122的默認(rèn)策略存儲(chǔ)。
參考圖2,示出另一系統(tǒng)200,該系統(tǒng)執(zhí)行移動(dòng)設(shè)備102上的策略管理。移動(dòng)設(shè)備102包括設(shè)備策略管理器系統(tǒng)108、(諸)內(nèi)部系統(tǒng)116、以及(諸)內(nèi)部策略源組件(例如,在(諸)內(nèi)部策略源組件110中的)。更特別而言,圖2的示例中示出的移動(dòng)設(shè)備102的(諸)內(nèi)部策略源組件包括由移動(dòng)設(shè)備102的處理器執(zhí)行的一個(gè)或多個(gè)應(yīng)用202和設(shè)備用戶接口(UI)204。
移動(dòng)設(shè)備102的用戶可經(jīng)由設(shè)備用戶接口204與移動(dòng)設(shè)備102交互。例如,設(shè)備用戶接口204可提供用戶可與之交互的控制面板。相應(yīng)地,設(shè)備用戶接口204可接收來自移動(dòng)設(shè)備102的用戶的策略的策略值的策略配置請(qǐng)求。經(jīng)由設(shè)備用戶接口204接收的策略配置請(qǐng)求可由設(shè)備策略管理器系統(tǒng)108處置。這些請(qǐng)求可被統(tǒng)一接口組件118接收并被策略處置器組件120進(jìn)一步處理,如本文所述。
而且,移動(dòng)設(shè)備102可包括與設(shè)備管理服務(wù)器112-114交互的(諸)客戶端206。例如,設(shè)備管理服務(wù)器112-114中的每一者可在移動(dòng)設(shè)備102上具有相應(yīng)的客戶端(例如,(諸)客戶端206之一)。
移動(dòng)設(shè)備102的(諸)內(nèi)部系統(tǒng)可包括移動(dòng)設(shè)備102的第一和/或第二方過程。(諸)內(nèi)部系統(tǒng)116可接收來自設(shè)備策略管理器系統(tǒng)108的當(dāng)前策略值。(諸)內(nèi)部系統(tǒng)116可擁有或?qū)嵤┮苿?dòng)設(shè)備102的策略。例如,(諸)內(nèi)部系統(tǒng)116可讀取在設(shè)備策略管理器系統(tǒng)118的策略管理器元數(shù)據(jù)庫存儲(chǔ)122中維持的當(dāng)前策略值。附加地或替換地,設(shè)備策略管理器系統(tǒng)108(例如,統(tǒng)一接口組件118)可向(諸)內(nèi)部系統(tǒng)116發(fā)送通知;統(tǒng)一接口組件118可允許被策略控制的資源(例如,(諸)內(nèi)部系統(tǒng)116)注冊(cè)以獲得策略更新通知。從而,設(shè)備策略管理器系統(tǒng)108(例如,統(tǒng)一接口組件118)可響應(yīng)于策略值修改向(諸)內(nèi)部系統(tǒng)116發(fā)送通知。
策略處置器組件120可讀取在策略管理器元數(shù)據(jù)庫存儲(chǔ)122中維持的策略的當(dāng)前策略值。策略處置器組件120可包括用于向策略管理器元數(shù)據(jù)存儲(chǔ)122中的相應(yīng)策略存儲(chǔ)讀取/寫入策略值的策略存儲(chǔ)模塊。相應(yīng)的策略存儲(chǔ)例如可保留具有元數(shù)據(jù)的默認(rèn)策略值、設(shè)備UI或應(yīng)用策略值、設(shè)備管理服務(wù)器策略值、以及當(dāng)前策略值。策略處置器組件120在策略值寫入之后可基于與策略管理器元數(shù)據(jù)存儲(chǔ)122的默認(rèn)策略存儲(chǔ)中的策略相關(guān)聯(lián)的元數(shù)據(jù)執(zhí)行策略評(píng)估。例如,該元數(shù)據(jù)可針對(duì)該策略指定要由策略處置器組件使用的沖突解決技術(shù)。
設(shè)備策略管理器系統(tǒng)108可管理從一個(gè)或多個(gè)策略源設(shè)置的策略。在移動(dòng)設(shè)備102上使用的策略值可以是由策略處置器組件120執(zhí)行的策略評(píng)估過程的結(jié)果,該過程考慮移動(dòng)設(shè)備向其注冊(cè)的設(shè)備管理服務(wù)器112-114以及(諸)內(nèi)部源組件中的每一個(gè)的策略值。策略處置器組件120可使用沖突解決技術(shù)來選擇策略的相應(yīng)當(dāng)前策略值。構(gòu)想了,對(duì)策略的策略值的修改可觸發(fā)該策略處置器組件120的策略評(píng)估過程。策略的不同策略值可被不同策略源寫入;策略處置器組件120可確保使用與該策略相對(duì)應(yīng)的沖突解決技術(shù)對(duì)所述策略值的可預(yù)測(cè)選擇。
策略源設(shè)置或刪除策略管理器元數(shù)據(jù)庫存儲(chǔ)122的相應(yīng)源策略存儲(chǔ)中的策略值,或設(shè)備管理服務(wù)器解除登記引起其策略值從相應(yīng)源策略存儲(chǔ)的移除可觸發(fā)策略處置器組件120的策略評(píng)估過程。根據(jù)一示例,該一個(gè)或多個(gè)策略源可包括向移動(dòng)設(shè)備102登錄的該一個(gè)或多個(gè)設(shè)備管理服務(wù)器112-114。當(dāng)設(shè)備管理服務(wù)器(例如,設(shè)備管理服務(wù)器112-114之一)被從移動(dòng)設(shè)備102解除登記時(shí),移動(dòng)設(shè)備102上被該設(shè)備管理服務(wù)器設(shè)置的策略值被復(fù)原,回落到由(諸)不同設(shè)備管理服務(wù)器設(shè)置的策略值、由(諸)不同策略源設(shè)置的策略值(例如,(諸)應(yīng)用202、由用戶經(jīng)由設(shè)備用戶接口等)、或默認(rèn)策略值。從而,響應(yīng)于設(shè)備管理服務(wù)器的解除登記,該設(shè)備管理服務(wù)器寫入的策略值被移除,且默認(rèn)策略存儲(chǔ)和剩余的源策略存儲(chǔ)中的策略值被策略處置器組件120重新檢查來更新當(dāng)前策略存儲(chǔ)中的當(dāng)前策略值。然而,對(duì)于某些策略源,這些源寫入的策略值可不被移除。
控制移動(dòng)設(shè)備102的行為的策略可被一個(gè)或多個(gè)設(shè)備管理服務(wù)器112-114、設(shè)備用戶接口204和、或應(yīng)用202通過統(tǒng)一接口組件118來設(shè)置。策略值被存儲(chǔ)在策略管理器元數(shù)據(jù)庫存儲(chǔ)122中的三種類型的位置中:包括策略的默認(rèn)策略值的默認(rèn)策略存儲(chǔ)、各自包括由相應(yīng)策略源寫入的策略的策略值的源策略存儲(chǔ)(例如,每個(gè)設(shè)備管理服務(wù)器112-114可具有其自己的源策略存儲(chǔ),每個(gè)內(nèi)部策略源組件可具有其自己的源策略存儲(chǔ))、以及包括策略的當(dāng)前策略值(例如,來自合并來自默認(rèn)和源策略存儲(chǔ)的策略值)的當(dāng)前策略存儲(chǔ)。
根據(jù)一示例,策略處置器組件120可被配置成在允許來自特定策略源的策略的策略值被設(shè)置在該特定策略源的策略源存儲(chǔ)中之前驗(yàn)證該策略值。附加地或替換地,策略處置器組件120可被配置成在將策略的來自一源策略存儲(chǔ)的策略值設(shè)置為當(dāng)前策略存儲(chǔ)中的該策略的當(dāng)前策略值之前執(zhí)行兼容性檢查。
根據(jù)各示例,(諸)內(nèi)部系統(tǒng)116可能無法修改策略值。然而,根據(jù)其它示例,(諸)內(nèi)部系統(tǒng)116可能能夠修改策略值。根據(jù)一說明,如果(諸)內(nèi)部系統(tǒng)116被允許修改策略值,則策略管理器元數(shù)據(jù)庫存儲(chǔ)122可包括用于記錄來自(諸)內(nèi)部系統(tǒng)116的策略值。從而,當(dāng)一策略被評(píng)估時(shí),(諸)內(nèi)部系統(tǒng)116的源策略存儲(chǔ)可被策略處置器組件120按照與其它策略源的源策略存儲(chǔ)相比類似的方式訪問。
設(shè)備策略管理器系統(tǒng)108允許移動(dòng)設(shè)備102的(諸)內(nèi)部策略源組件(例如,第一方組件)按照與外部設(shè)備管理服務(wù)器112-114類似的方式設(shè)置移動(dòng)設(shè)備102上的策略值并且與這些外部策略源集成。這種內(nèi)部策略源組件的示例是反泄露鎖組件。例如,在移動(dòng)設(shè)備102啟動(dòng)時(shí),反泄露鎖組件可創(chuàng)建其自己的配置簡(jiǎn)檔來鎖住移動(dòng)設(shè)備102,從而設(shè)置與反泄露鎖組件相對(duì)應(yīng)的源策略存儲(chǔ)中的策略值。從而,移動(dòng)設(shè)備102上的鎖可通過使用反泄露鎖組件結(jié)合設(shè)備策略管理器系統(tǒng)108來提升。
設(shè)備策略管理器系統(tǒng)108不綁定至特定設(shè)備管理服務(wù)器(例如,設(shè)備管理服務(wù)器112-114之一);相反,設(shè)備策略管理器系統(tǒng)108可跨不同類型的外部服務(wù)器交互(例如,設(shè)備管理服務(wù)器112-114)。設(shè)備策略管理器系統(tǒng)108是輕量級(jí)且靈活的并且不需要外部服務(wù)器(例如,設(shè)備策略管理器系統(tǒng)108是策略源不可知的)。
而且,策略管理器元數(shù)據(jù)庫存儲(chǔ)122可持久地存儲(chǔ)用戶輸入的策略值(例如,經(jīng)由設(shè)備用戶204接收的策略值)。作為說明,策略管理器元數(shù)據(jù)庫存儲(chǔ)122可保留策略的與由不同策略源(例如,設(shè)備管理服務(wù)器112-114和/或(諸)應(yīng)用202之一)設(shè)置的值相沖突的策略值。在不同策略源繼續(xù)登記移動(dòng)設(shè)備102時(shí),用戶輸入的值可被忽略(例如,這些用戶輸入的值可被認(rèn)為是無效的然而可繼續(xù)被保留在相應(yīng)的源策略存儲(chǔ)中)。然而,在具有與策略的沖突值的該不同策略源解除登記之后,則用戶輸入的值可以是可訪問的并且可能被用作由策略處置器組件120通過策略評(píng)估過程確定的當(dāng)前策略值(例如,用戶輸入的值可稍后是有效的)。
轉(zhuǎn)向圖3,示出了描繪由策略處置器組件120執(zhí)行的策略評(píng)估過程的示例性圖示。盡管圖3描述了設(shè)置相應(yīng)策略值(例如,策略源1和策略源2)的兩個(gè)策略源,然而構(gòu)想了,實(shí)際上任何其它策略源均可如本文所述地設(shè)置策略值。
在302,在移動(dòng)設(shè)備102上預(yù)設(shè)的默認(rèn)策略值被示出。默認(rèn)策略值可被存儲(chǔ)在策略管理器元數(shù)據(jù)庫存儲(chǔ)122的默認(rèn)策略存儲(chǔ)中。默認(rèn)策略值可連同描述被用來選擇策略的當(dāng)前策略值的沖突解決技術(shù)的元數(shù)據(jù)被存儲(chǔ)。如果沒有其它策略源設(shè)置該策略的策略值,則策略的默認(rèn)策略值可被返回(例如,到調(diào)用者)。例如,當(dāng)沒有其它策略源設(shè)置策略的策略值時(shí),策略的默認(rèn)策略值可被存儲(chǔ)為當(dāng)前策略存儲(chǔ)中的當(dāng)前策略值。根據(jù)另一示例,當(dāng)沒有其它策略源設(shè)置策略的策略值時(shí),策略的默認(rèn)策略值可被從默認(rèn)策略存儲(chǔ)返回。
在304,第一策略源可寫入和讀取其自己的策略值并且可讀取移動(dòng)設(shè)備102的當(dāng)前策略值。在管理會(huì)話期間,第一策略源可通過設(shè)備策略管理器系統(tǒng)108改變其自己的源策略存儲(chǔ)中的策略值,這可導(dǎo)致涉及其它策略和該默認(rèn)策略的策略評(píng)估過程(例如,經(jīng)由合并)。所得到的當(dāng)前策略值可在當(dāng)前策略存儲(chǔ)中被保留。而且,如果策略值從其當(dāng)前策略存儲(chǔ)中的先前策略值改變,則可發(fā)送通知(例如,給(諸)內(nèi)部系統(tǒng)116中的一個(gè)或多個(gè))。而且,被寫入到第一策略源的源策略存儲(chǔ)的策略值不能被其它策略源或移動(dòng)設(shè)備102修改或刪除。
在306,第二策略源可寫入和讀取其自己的策略值并且可讀取移動(dòng)設(shè)備102的當(dāng)前策略值。與上面類似,在管理會(huì)話期間,第二策略源可改變其自己的源策略存儲(chǔ)中的策略值,這可導(dǎo)致策略評(píng)估過程被執(zhí)行。而且,被寫入到第二策略源的源策略存儲(chǔ)的策略值不能被其它策略源或移動(dòng)設(shè)備102修改或刪除。
在308,當(dāng)前策略被存儲(chǔ)在當(dāng)前策略存儲(chǔ)中。而且,在策略源的解除登記期間,該策略源所設(shè)置的策略值被從該策略源的相應(yīng)源策略存儲(chǔ)移除且策略評(píng)估過程被重新應(yīng)用。
圖4更詳細(xì)地示出了移動(dòng)設(shè)備102的設(shè)備策略管理器系統(tǒng)108。設(shè)備策略管理器系統(tǒng)108包括統(tǒng)一接口組件118,、策略處置器組件120、以及策略管理器元數(shù)據(jù)庫存儲(chǔ)122。
再次參考上面指出的示例性情景,其中統(tǒng)一接口組件118所接收的策略配置請(qǐng)求至少包括來自第一策略源的第一策略配置請(qǐng)求和來自第二策略源的第二策略配置請(qǐng)求。同樣,第一策略配置請(qǐng)求可包括策略的第一策略值,而第二策略配置請(qǐng)求可包括該策略的第二策略值。第一策略源不同于第二策略源,且第一策略值與第二策略值相沖突。
根據(jù)各示例,設(shè)備策略管理器系統(tǒng)108可包括沙盒安全組件402,該沙盒安全組件被配置成禁止策略源查看或修改另一策略源的策略配置請(qǐng)求。上面提到的示例性情景再次被參考。沙盒安全組件402可被配置成準(zhǔn)許第一策略源訪問第一策略源的策略管理器元數(shù)據(jù)庫存儲(chǔ)122的第一源策略存儲(chǔ)。沙盒安全組件402可進(jìn)一步被配置成準(zhǔn)許第二策略源訪問第二策略源的策略管理器元數(shù)據(jù)庫存儲(chǔ)122的第二源策略存儲(chǔ)。而且,沙盒安全組件402可被配置成限制第一策略源訪問第二源策略存儲(chǔ)并被配置成限制第二策略源訪問第一源策略存儲(chǔ)。
設(shè)備策略管理器系統(tǒng)108可進(jìn)一步包括解決控制組件404。解決控制組件404可被配置成控制策略的策略處置器組件120所使用的沖突解決技術(shù)(例如,設(shè)置與默認(rèn)策略存儲(chǔ)中的策略相關(guān)聯(lián)的元數(shù)據(jù))。根據(jù)一示例,解決控制組件404可被配置成基于從特定策略源接收的沖突解決處置設(shè)置和該特定策略源的權(quán)威等級(jí)(例如,沖突解決處置設(shè)置可由統(tǒng)一接口組件118接收)來控制策略處置器組件120針對(duì)策略所使用的沖突解決技術(shù)。策略處置器組件120可基于被解決控制組件404用于該策略的沖突解決技術(shù)來解決在不同策略源提供的不同策略配置請(qǐng)求中指定的策略的不同策略值之間的沖突。
例如,解決控制組件404可被配置成基于該多個(gè)策略源中的該兩個(gè)或更多個(gè)策略源的相應(yīng)全文等級(jí)來在從該多個(gè)策略源的兩個(gè)或更多個(gè)策略源(例如,統(tǒng)一接口組件118從其接收策略配置請(qǐng)求,移動(dòng)設(shè)備102向其登記)接收的沖突解決處置設(shè)置之間進(jìn)行仲裁。這種仲裁可使得解決控制組件404能夠選擇策略的所選沖突解決處置設(shè)置。而且,解決控制組件404可被配置成基于所選沖突解決處置設(shè)置來控制策略處置器組件120針對(duì)該策略所使用的沖突解決技術(shù)(例如,策略評(píng)估可由策略處置器組件120基于所選沖突解決處置設(shè)置來使用所選的沖突解決技術(shù)來針對(duì)該策略執(zhí)行)。
作為說明,移動(dòng)運(yùn)營商管理服務(wù)器可通過向移動(dòng)設(shè)備102發(fā)送第一沖突解決處置設(shè)置來設(shè)置策略處置器組件120針對(duì)策略所使用的沖突解決技術(shù);沖突控制組件404可基于第一沖突解決處置設(shè)置來接收并設(shè)置沖突解決技術(shù)。此后,企業(yè)設(shè)備管理服務(wù)器(具有比該策略的移動(dòng)運(yùn)營商管理服務(wù)器更大的權(quán)威等級(jí))可通過向移動(dòng)設(shè)備發(fā)送第二沖突解決處置設(shè)置改變策略處置器組件120所使用的沖突解決技術(shù)。從而,解決控制組件404可基于第二沖突解決處置設(shè)置來接收并改變?cè)摬呗缘臎_突解決技術(shù),因?yàn)槠髽I(yè)設(shè)備管理服務(wù)器具有更大的權(quán)威等級(jí)。
根據(jù)另一示例,解決控制組件404可被配置成從特定策略源接收沖突解決處置設(shè)置。而且,解決控制組件404可被配置成檢測(cè)在特定策略源和移動(dòng)設(shè)備102的受信任的策略源之間的建立的信任。受信任的策略源可以是移動(dòng)設(shè)備102的操作系統(tǒng)的源;然而,所要求保護(hù)的主題不限于此。而且,響應(yīng)于被建立的信任的檢測(cè),解決控制組件404可以基于沖突解決處置設(shè)置來控制策略處置器組件120針對(duì)該策略所使用的沖突解決技術(shù)。根據(jù)此示例,在缺少被建立的信任的情況下,該特定策略源可被禁止基于該特定策略源的權(quán)威等級(jí)控制策略處置器組件120針對(duì)該策略所使用的沖突解決技術(shù)。
設(shè)備策略管理器系統(tǒng)108可進(jìn)一步包括狀態(tài)分析組件,該狀態(tài)分析組件被配置成檢測(cè)策略處置器組件120用來解決策略的沖突的給定沖突解決技術(shù)是否引起移動(dòng)設(shè)備102的不期望的狀態(tài)。例如,狀態(tài)分析模塊406可檢測(cè)給定沖突解決技術(shù)的使用將引起的不可操作狀態(tài)、不穩(wěn)定狀態(tài)、或不安全狀態(tài)(例如,第一策略源將顯示器上的文本顏色設(shè)置為黑色而第二策略源將顯示器上的背景顏色設(shè)置為黑色,導(dǎo)致移動(dòng)設(shè)備被預(yù)設(shè)的策略的策略值組合高于閾值發(fā)生百分比等)。解決控制組件404可進(jìn)一步被配置成基于給定沖突解決技術(shù)是否引起不期望的狀態(tài)來控制策略處置器組件120針對(duì)該策略所使用的沖突解決技術(shù)。例如,解決控制組件404可基于狀態(tài)分析組件406檢測(cè)到給定沖突解決技術(shù)不引起不期望的狀態(tài)而維持該給定沖突解決技術(shù)為策略處置器組件120所使用的沖突解決技術(shù)。而且,解決控制組件404可基于狀態(tài)分析組件406檢測(cè)到給定沖突解決技術(shù)引起不期望的狀態(tài)而將該給定沖突解決技術(shù)修改為策略處置器組件120所使用的不同沖突解決技術(shù)。附加地或替換地,狀態(tài)分析組件406可進(jìn)一步被配置成響應(yīng)于檢測(cè)到給定沖突解決技術(shù)引起不期望的狀態(tài)而更改(諸)管理和/或?qū)徲?jì)服務(wù)器。相應(yīng)地,狀態(tài)分析組件406可增強(qiáng)移動(dòng)設(shè)備102上的安全性并且導(dǎo)致移動(dòng)設(shè)備102更可靠。
狀態(tài)分析組件406可執(zhí)行驗(yàn)證來檢測(cè)特定沖突解決是否引起不期望的狀態(tài)。狀態(tài)分析組件406所執(zhí)行的驗(yàn)證可基于從多個(gè)移動(dòng)設(shè)備收集的數(shù)據(jù)。例如,趨勢(shì)可從被收集的數(shù)據(jù)檢測(cè)以確定不期望的狀態(tài)。從而,狀態(tài)分析組件406在評(píng)估策略處置器組件用來解決策略的沖突的給定沖突解決技術(shù)是否引起移動(dòng)設(shè)備102的不期望的狀態(tài)時(shí)可使用與不期望的狀態(tài)有關(guān)的信息。
而且,狀態(tài)分析組件406可使用所收集的數(shù)據(jù)來檢測(cè)惡意源是否正以(諸)策略源為目標(biāo)并且惡意地修改策略源目標(biāo)而造成不安全。附加地或替換地,惡意軟件可使用所收集的數(shù)據(jù)來類似地檢測(cè)。
圖1、2和4現(xiàn)在被概括參考。下面是可被設(shè)備策略管理器系統(tǒng)108管理的各示例性策略。
設(shè)備鎖
設(shè)備密碼已啟用
允許設(shè)備密碼
最小設(shè)備密碼長(zhǎng)度
要求字母數(shù)字設(shè)備密碼
設(shè)備密碼期滿
設(shè)備密碼歷史
允許的最大設(shè)備密碼失敗嘗試次數(shù)
設(shè)備鎖住前的最大不活動(dòng)時(shí)間
最小設(shè)備密碼復(fù)雜字符
WiFi
允許WiFi
允許因特網(wǎng)共享
允許WiFi卸載
允許WiFi熱點(diǎn)報(bào)告
允許手動(dòng)WiFi配置
系統(tǒng)
允許FM收音機(jī)
允許外部存儲(chǔ)卡
允許定位
允許遙測(cè)
連接性
允許蜂窩數(shù)據(jù)
允許蜂窩數(shù)據(jù)漫游
允許手動(dòng)VPN配置
允許NFC
允許USB連接
允許藍(lán)牙
體驗(yàn)
允許設(shè)置的同步
允許兒童角
允許復(fù)制粘貼
允許屏幕捕捉
允許語音記錄
允許鎖屏上的應(yīng)用通知賬戶
允許賬戶類型1
允許賬戶類型2
允許社交網(wǎng)絡(luò)服務(wù)賬戶
允許微博服務(wù)賬戶
允許保存電子郵件附件
允許手動(dòng)電子郵件配置安全
允許手動(dòng)根證書安裝
允許第三方應(yīng)用安裝認(rèn)證
要求設(shè)備加密
瀏覽器
允許代理
允許Cookie
允許上傳瀏覽歷史
允許建議
允許瀏覽器
實(shí)施智能篩選過濾
實(shí)施不跟蹤
允許瀏覽器訪問位置
允許改變擴(kuò)展關(guān)聯(lián)
更新
允許由用戶更新
相機(jī)
允許照片和視頻分享
允許照片和視頻上傳
允許圖片和視頻加地理標(biāo)簽
允許相機(jī)使用
應(yīng)用管理
允許游戲
允許音樂
存儲(chǔ)自動(dòng)更新
被禁止的應(yīng)用
圖5示出了設(shè)備策略管理器系統(tǒng)的示例性實(shí)現(xiàn)。要領(lǐng)會(huì),圖5中示出的設(shè)備策略管理器系統(tǒng)是作為示例性實(shí)現(xiàn)提供的,且所要求保護(hù)的主題不限于圖5中闡述的示例。圖5中闡述的示例包括移動(dòng)設(shè)備102以及MDM服務(wù)器502、MDM服務(wù)器504、消息收發(fā)服務(wù)器506以及消息收發(fā)服務(wù)器508。
MDM服務(wù)器502、MDM服務(wù)器504、消息收發(fā)服務(wù)器506以及消息收發(fā)服務(wù)器508可具有相應(yīng)的向設(shè)備策略管理器系統(tǒng)的預(yù)先設(shè)立的賬戶。賬戶可以是與諸如舉例而言服務(wù)器名稱、服務(wù)器地址、認(rèn)證信息等信息相關(guān)聯(lián)的字符串。類似地,內(nèi)部策略源組件可具有預(yù)先確立的賬戶。而且,取決于策略源類型,策略源可具有不同的設(shè)置策略的能力。例如,可被MDM服務(wù)器502-504控制的一組策略源可不同于可被消息收發(fā)服務(wù)器506-508、應(yīng)用經(jīng)由設(shè)備UI等控制的一組策略源。而且,構(gòu)想了,不同策略源所控制的相應(yīng)組中的策略可基于與移動(dòng)設(shè)備102有關(guān)的因素(例如,移動(dòng)設(shè)備的存儲(chǔ)中的組件或系統(tǒng)的版本或許可、移動(dòng)設(shè)備102的類型等)而改變。
在一會(huì)話期間,策略源(例如,MDM服務(wù)器502、MDM服務(wù)器504、消息收發(fā)服務(wù)器506、消息收發(fā)服務(wù)器508、設(shè)備UI或應(yīng)用510等)可通過配置管理器512設(shè)置策略。策略源可提供XML(可擴(kuò)展標(biāo)記語言)514,其可被饋送到配置管理器512中。作為對(duì)此的響應(yīng),配置管理器512可加載統(tǒng)一接口組件118。統(tǒng)一接口組件118可被用來讀取/寫入因策略源而異的策略值并讀取當(dāng)前策略值。源ID被用來存儲(chǔ)因策略源而異地創(chuàng)建的資源和被改變的策略值的調(diào)用進(jìn)程設(shè)置。統(tǒng)一接口組件118可加載與一種類型的策略源相對(duì)應(yīng)的策略處置器組件120的一部分。
統(tǒng)一接口組件118可標(biāo)識(shí)嘗試實(shí)施策略改變的策略源。統(tǒng)一接口組件118所標(biāo)識(shí)的策略源的策略處置器組件120的相關(guān)部分可被加載,其可被用于讀取和寫入策略值到策略管理器元數(shù)據(jù)庫存儲(chǔ)122的相應(yīng)策略存儲(chǔ)。
策略處置器組件120可讀取/寫入策略值到策略管理器元數(shù)據(jù)庫存儲(chǔ)122中的相應(yīng)源策略存儲(chǔ)(例如hive(數(shù)據(jù)倉庫))。而且,響應(yīng)于將策略值寫入到源策略存儲(chǔ)中,策略評(píng)估過程可被執(zhí)行。策略處置器組件120可包括用于從當(dāng)前策略存儲(chǔ)516讀取當(dāng)前策略值的策略模塊。而且,策略處置器組件120可包括用于向適當(dāng)?shù)脑床呗源鎯?chǔ)518和520(例如,與策略源相對(duì)應(yīng))讀取/寫入策略值的策略存儲(chǔ)模塊。而且,第一方策略寫入模塊可被策略處置器組件120支持以讀取/寫入默認(rèn)策略值和元數(shù)據(jù)到默認(rèn)策略存儲(chǔ)522中。策略處置器組件120在策略值寫入之后可基于默認(rèn)策略存儲(chǔ)522中的每個(gè)策略相關(guān)聯(lián)的元數(shù)據(jù)進(jìn)一步執(zhí)行策略評(píng)估。作為示例,元數(shù)據(jù)(例如,沖突解決技術(shù))可聲明該策略將是最安全的策略合并或者不需要合并。作為說明,策略可支持無合并模型,其中策略處置器組件120不合并策略的策略值;相反,策略處置器組件120可發(fā)送包括所得到的值的位置的指示的通知,其可以是可訪問的并且在查詢時(shí)作為當(dāng)前策略值被返回。
構(gòu)想了策略可按區(qū)域分割。例如,在上面闡述的示例性策略的列表中,區(qū)域的示例包括設(shè)備鎖、WiFi、系統(tǒng)、連接性、體驗(yàn)、賬戶、安全性、瀏覽器、更新、相機(jī)和應(yīng)用管理。策略處置器組件120可向在具有被改變的策略的區(qū)域上的第一方和第二方過程524提供通知。而且,要領(lǐng)會(huì),外部策略源可添加新策略;從而,新策略所屬的區(qū)域可被宣告。從而,外部策略源可針對(duì)該新策略對(duì)配置源、策略值元數(shù)據(jù)等進(jìn)行分類。
策略管理器通知處置器526可接收來自策略處置器組件120的通知。而且,第一方和第二方代碼528可引起策略值被設(shè)置。根據(jù)一示例,反泄露鎖組件可以是設(shè)置策略值的代碼528的一部分。
為了更詳細(xì)地描述圖5中示出的設(shè)備策略管理器系統(tǒng)的示例性實(shí)現(xiàn),下面闡述各種示例性情景。要領(lǐng)會(huì),這些情景是出于圖解說明目的被提供的,并且所要求保護(hù)的主題不限于此。
示例性情景1:移動(dòng)設(shè)備102不具有設(shè)備管理服務(wù)器管理策略,但是第一方組件設(shè)置/獲得策略。
在此情景下,移動(dòng)設(shè)備102不具有正管理策略值的設(shè)備管理服務(wù)器。這意味著,不存在已登記了移動(dòng)設(shè)備102的MDM服務(wù)器502-504或消息收發(fā)服務(wù)器506-508。在此情景下,第一方和第二方設(shè)備上過程524設(shè)置策略值。例如,設(shè)備制造商可能已包括了設(shè)置專用于該制造商的(諸)策略值的組件;(諸)此類策略值可蓋寫操作系統(tǒng)內(nèi)建的默認(rèn)值。此類組件可以是與獲得/設(shè)置策略交互的程序,或者操作系統(tǒng)本身可包括讀取和應(yīng)用制造商宣告的策略值的程序。
當(dāng)?shù)谝环浇M件設(shè)置策略時(shí),它們可使用從策略處置器組件120導(dǎo)出的模塊來設(shè)置具體策略。“設(shè)置”模塊將策略值寫入到默認(rèn)策略存儲(chǔ)522,發(fā)起策略評(píng)估過程,并且將當(dāng)前策略值保存在當(dāng)前策略存儲(chǔ)516中。因?yàn)閮H默認(rèn)策略存儲(chǔ)522具有策略值,策略評(píng)估過程查看其它源策略存儲(chǔ)518-520來進(jìn)行評(píng)估,然而因?yàn)樵谶@些源策略存儲(chǔ)518-520中沒有其它策略值,所以當(dāng)前策略值隨著來自默認(rèn)策略存儲(chǔ)522的策略值被更新。默認(rèn)策略存儲(chǔ)522中的策略值被復(fù)制到當(dāng)前策略存儲(chǔ)516。
為了讀取策略,第一方組件可使用策略處置器組件120(例如,策略處置器組件536)的各模塊。在“設(shè)置”中描述的基本類似的策略評(píng)估同樣在“獲得”的情況下進(jìn)行,從而更新當(dāng)前策略存儲(chǔ)516中的策略值。注意,如果當(dāng)前策略存儲(chǔ)516不具有針對(duì)目標(biāo)策略存儲(chǔ)的值,則不需要發(fā)出通知作為改變通知。實(shí)際上,這種策略尚未改變。而且,策略具有在默認(rèn)策略存儲(chǔ)522中的默認(rèn)值。從而,分組(例如,策略管理器配置服務(wù)器提供商(CSP)538)可定義策略的默認(rèn)值。
示例性情景2:移動(dòng)設(shè)備102被登記到一個(gè)或多個(gè)消息收發(fā)服務(wù)器506-508和單個(gè)MDM服務(wù)器502中。在管理會(huì)話期間,MDM服務(wù)器502設(shè)置策略值。
根據(jù)此情景,移動(dòng)設(shè)備102被登記到多個(gè)消息收發(fā)服務(wù)器506-508和MDM服務(wù)502中。在登記后,MDM服務(wù)器502通過統(tǒng)一接口組件118將被稱為“設(shè)備密碼被啟用”的策略設(shè)置為值“0”,從而引起用戶輸入密碼。統(tǒng)一接口組件118處理每個(gè)節(jié)點(diǎn)“設(shè)備鎖”和“設(shè)備密碼被啟用”,將“設(shè)備鎖”標(biāo)記為區(qū)域并將“設(shè)備密碼被啟用”標(biāo)記為策略。
統(tǒng)一接口組件118可調(diào)用設(shè)置策略值的策略處置器組件120的策略管理器存儲(chǔ)模塊。源ID、區(qū)域、策略名稱、以及值可被輸入到內(nèi)部存儲(chǔ)模塊中。源ID是在移動(dòng)設(shè)備102向MDM服務(wù)器502登記期間被創(chuàng)建的開放移動(dòng)聯(lián)盟(OMA)設(shè)備管理(DM)賬戶或消息收發(fā)服務(wù)器賬戶的密鑰。源ID可被OMA-DM會(huì)話處置或消息收發(fā)服務(wù)器會(huì)話處置設(shè)置為被稱為“OMADM::ServerID”的會(huì)話變量并在調(diào)用策略處置器組件120的策略管理器存儲(chǔ)模塊之前被統(tǒng)一接口組件118檢索。源ID值零(0)指示第一方或第二方組件正調(diào)用此模塊,在本情景下并非如此。
根據(jù)一示例,策略處置器組件120的策略管理器存儲(chǔ)模塊可執(zhí)行以下。策略處置器組件120的該部分可通過去往OMA DM賬戶來驗(yàn)證源ID(如果不是NULL(空))是有效的,然而OMA DM模塊來找到它。如果沒有找到,則消息收發(fā)服務(wù)器賬戶可被搜索。如果沒有找到該賬戶,則錯(cuò)誤被返回到統(tǒng)一接口組件118并且從而這被返回至MDM服務(wù)器502。注意,如果源ID為空,則該方法被第一方組件調(diào)用。還要注意,消息收發(fā)服務(wù)器具有全局唯一標(biāo)識(shí)符作為ID且這些被預(yù)期擔(dān)當(dāng)源ID。
而且,策略處置器組件120的策略管理器存儲(chǔ)模塊可通過使用與策略相關(guān)聯(lián)的默認(rèn)策略存儲(chǔ)522中的元數(shù)據(jù)來確認(rèn)該策略值。如果錯(cuò)誤被返回,則此結(jié)果被傳播回到統(tǒng)一接口組件118,從而終止該處理。而且,策略處置器組件120的該部分可將策略值寫入到策略管理器元數(shù)據(jù)庫存儲(chǔ)122的適當(dāng)源策略存儲(chǔ)。
根據(jù)另一示例,區(qū)域和策略名稱可被輸入到策略處置器組件120的策略評(píng)估模塊。策略評(píng)估模塊可枚舉遍歷默認(rèn)策略存儲(chǔ)522以及每個(gè)源ID、給定區(qū)域以及策略名稱的各源策略存儲(chǔ)518-520。而且,存儲(chǔ)在默認(rèn)策略存儲(chǔ)522中的策略源數(shù)據(jù)所指導(dǎo)的所得到的策略可被計(jì)算。最終,預(yù)期結(jié)果策略被通過策略評(píng)估過程推導(dǎo)并且值在當(dāng)前策略存儲(chǔ)516中被設(shè)置。如果被推導(dǎo)策略值不同于先前存儲(chǔ)在當(dāng)前策略存儲(chǔ)516中的不同,則指示被改變和任選地返回的策略值是該已改變的值(當(dāng)前策略存儲(chǔ)516中的值)的棋標(biāo)被返回。如果請(qǐng)求成功,則策略評(píng)估模塊的被改變的參數(shù)可被檢查以確定通知是否被發(fā)送。而且,如果上述步驟中的任一步驟失敗,則改變被回滾且錯(cuò)誤值被反饋。
統(tǒng)一接口組件118記錄被改變的棋標(biāo)是否被設(shè)置。如果此棋標(biāo)被設(shè)置,則該區(qū)域被添加到“已改變區(qū)域”集合。此集合被用來在配置管理器512業(yè)務(wù)成功完成之后發(fā)送每區(qū)域通知。在接收到通知之后,被注冊(cè)的策略管理器通知處置器(例如,策略管理器通知處置器526)可檢查被設(shè)置的比特的有效載荷(例如,32比特),其對(duì)應(yīng)于該區(qū)域下的策略。而且,策略管理器通知處置器可讀取策略值(例如,使用策略處置器組件120的獲得模塊)。
示例性情景3:移動(dòng)設(shè)備102在先前管理會(huì)話期間被從已設(shè)置策略的MDM服務(wù)器(例如,MDM服務(wù)器502)解除登記。
根據(jù)此情景,當(dāng)策略源被解除登記時(shí),解除登記過程(532、534)可檢索要被移除的策略。對(duì)于策略,解除登記代碼534可使用策略處置器組件120的尋找第一策略模塊,其返回第一策略。該策略隨后通過策略處置器組件120的刪除當(dāng)前策略模塊刪除,其將該策略從源策略存儲(chǔ)刪除并且進(jìn)行如在示例性情景2中描述的策略評(píng)估。該過程可針對(duì)使用策略處置器組件120的尋找下一策略模塊獲得的被返回的策略被執(zhí)行。
示例性情景4:移動(dòng)設(shè)備102被登記到MDM服務(wù)器502,且MDM服務(wù)器502想要查詢它配置的策略。
根據(jù)此情景,根據(jù)策略源,策略列表和相應(yīng)值可針對(duì)給定區(qū)域被返回。例如,策略處置器組件120的尋找第一策略模塊和尋找下一策略模塊可被連同源ID使用以內(nèi)部返回該策略源的策略。
示例性情景5:移動(dòng)設(shè)備102被登記到MDM服務(wù)器502,且MDM服務(wù)器502想要獨(dú)立于策略源查詢策略。
策略和相應(yīng)值的列表可使用查詢針對(duì)合并的策略hive中的區(qū)域被返回。根據(jù)一示例,策略處置器組件120的尋找第一策略模塊和尋找下一策略模塊可被連同源ID使用以內(nèi)部返回該策略源的策略。
示例性情景6:移動(dòng)設(shè)備102被登記到一個(gè)或多個(gè)消息收發(fā)服務(wù)器506-508和單個(gè)MDM服務(wù)器502,而消息收發(fā)服務(wù)器506-508和MDM服務(wù)器502嘗試并行設(shè)置單一策略。
同步技術(shù)可被用來保護(hù)數(shù)據(jù)完整性。而且,策略管理器元數(shù)據(jù)庫存儲(chǔ)122的策略存儲(chǔ)可具有鎖。
示例性情景7:移動(dòng)運(yùn)營商管理服務(wù)器在管理會(huì)話期間嘗試通過統(tǒng)一接口組件118改變策略。
配置管理器512可加載統(tǒng)一接口組件118并隨后處理節(jié)點(diǎn)路徑。不同的策略源可被賦予對(duì)不同的策略的不同的訪問等級(jí)。例如,一移動(dòng)運(yùn)營管理服務(wù)器可具有訪問與配置連接有關(guān)的策略的權(quán)限但是沒有訪問與電子郵件有關(guān)的策略的權(quán)限,并且該移動(dòng)運(yùn)營商管理服務(wù)器配置與電子郵件有關(guān)的策略的嘗試可導(dǎo)致訪問被拒絕。
根據(jù)各示例,可提供策略應(yīng)用。策略應(yīng)用可以使顯示各策略存儲(chǔ)的策略的UI應(yīng)用。應(yīng)用允許策略的改變(例如,在除了當(dāng)前策略存儲(chǔ)516之外的策略存儲(chǔ)中)。根據(jù)各實(shí)施例,策略評(píng)估過程可開始于與默認(rèn)策略存儲(chǔ)522一起存儲(chǔ)的描述策略評(píng)估過程期望如何執(zhí)行的元數(shù)據(jù)。
更一般而言,根據(jù)另一示例性情景,可使用設(shè)備策略管理器系統(tǒng)設(shè)置可在混合環(huán)境中管理的策略。設(shè)備除了管理器系統(tǒng)可僅在已經(jīng)具有不能改變以綁定至該設(shè)備策略管理器系統(tǒng)的現(xiàn)有設(shè)備管理功能性的舊式系統(tǒng)上運(yùn)行??紤]設(shè)備策略管理器系統(tǒng)在桌面設(shè)備上運(yùn)行的情景,其中它所配置的設(shè)置可以是由多個(gè)代理修改的注冊(cè)表鍵(設(shè)備上的直接寫注冊(cè)表的應(yīng)用、經(jīng)由域加入的活動(dòng)目錄等)。在此情況下,嘗試回滾到原始設(shè)置的設(shè)備策略管理器系統(tǒng)可能被損壞,因?yàn)樗辉偈撬鲈O(shè)置的唯一權(quán)威機(jī)構(gòu)。
為了解決上述示例性情景中的上述問題,設(shè)備策略管理器系統(tǒng)可監(jiān)視寫入所述設(shè)置的其它代理。例如,設(shè)備策略管理器系統(tǒng)可監(jiān)聽注冊(cè)表改變通知。如果它所配置的設(shè)置被另一代理修改,則設(shè)備策略管理器系統(tǒng)可進(jìn)行以下操作(但是可能更多)——(a)審計(jì)別人直接改變的值以便該組件可在未來改變;(b)知曉設(shè)備是“臟”的并且在解除登記期間,設(shè)備策略管理器系統(tǒng)可不再將設(shè)置回滾到其原始值;以及(c)采取附加動(dòng)作以獲得最安全的勝利以及其它計(jì)算,同時(shí)知曉在其核心“最佳勝利”數(shù)據(jù)庫外有附加數(shù)據(jù)以將其計(jì)入。
圖6-7示出了與管理移動(dòng)設(shè)備上的策略相關(guān)的示例性方法體系。盡管各方法被表示和描述為順序地執(zhí)行的一系列動(dòng)作,但要理解,這些方法不受該順序的次序的限制。例如,一些動(dòng)作能以與本文描述的不同的次序發(fā)生。另外,某一動(dòng)作可以與另一動(dòng)作并發(fā)地發(fā)生。此外,在一些實(shí)例中,實(shí)現(xiàn)本文描述的方法并不需要所有動(dòng)作。
此外,本文描述的動(dòng)作可以是可由一個(gè)或多個(gè)處理器實(shí)現(xiàn)的和/或存儲(chǔ)在一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì)上的計(jì)算機(jī)可執(zhí)行指令。計(jì)算機(jī)可執(zhí)行指令可包括例程、子例程、程序、執(zhí)行的線程等。另外,這些方法的動(dòng)作的結(jié)果可以存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)中,顯示在顯示設(shè)備上,等等。
圖6示出了管理移動(dòng)設(shè)備上的策略的方法體系600。在602,來自多個(gè)策略源的策略配置請(qǐng)求可在移動(dòng)設(shè)備處被接收。該多個(gè)策略源至少包括由移動(dòng)設(shè)備執(zhí)行的內(nèi)部策略源和在移動(dòng)設(shè)備外部的設(shè)備管理服務(wù)器。策略配置請(qǐng)求至少包括來自第一策略源的第一策略配置請(qǐng)求和來自第二策略源的第二策略配置請(qǐng)求。第一策略配置請(qǐng)求包括策略的第一策略值,而第二策略配置請(qǐng)求包括該策略的第二策略值。第一策略源不同于第二策略源,且第一策略值與第二策略值相沖突。在604,可基于一沖突解決技術(shù)解決該策略的第一策略值和第二策略值之間的沖突。該沖突可在無需第一策略源和第二策略源之間的信任在該移動(dòng)設(shè)備上被建立的情況下被解決。在606,響應(yīng)于解決沖突,可設(shè)置控制移動(dòng)設(shè)備的該策略的當(dāng)前策略值。
轉(zhuǎn)向圖7,示出了控制被用來管理移動(dòng)設(shè)備上的策略的沖突解決技術(shù)的方法體系700。在702,可從特定策略源接收沖突解決處置設(shè)置。在704,可基于來自該特定策略源和沖突解決處置設(shè)置和該特定策略源的權(quán)威等級(jí)來控制策略的沖突解決技術(shù)。在706,可基于沖突解決技術(shù)解決不同策略源所提供的不同策略配置請(qǐng)求中指定的策略的不同策略值之間的沖突??刂埔苿?dòng)設(shè)備的該策略的當(dāng)前策略值可使用沖突解決技術(shù)來設(shè)置。
現(xiàn)在參考圖8,示出了可以根據(jù)本文公開的系統(tǒng)和方法使用的示例性計(jì)算設(shè)備800的高級(jí)圖示。例如,計(jì)算設(shè)備800可以是移動(dòng)設(shè)備102。作為另一示例,設(shè)備管理服務(wù)器112-114可以是或可以包括計(jì)算設(shè)備800。計(jì)算設(shè)備800包括執(zhí)行存儲(chǔ)在存儲(chǔ)器802中的指令的至少一個(gè)處理器804。這些指令可以是例如用于實(shí)現(xiàn)被描述為由上述一個(gè)或多個(gè)組件執(zhí)行的功能的指令或用于實(shí)現(xiàn)上述方法中的一個(gè)或多個(gè)的指令。處理器802可以通過系統(tǒng)總線804訪問存儲(chǔ)器806。除了存儲(chǔ)可執(zhí)行指令外,存儲(chǔ)器804還可存儲(chǔ)策略的策略值、策略的元數(shù)據(jù)(例如,沖突解決技術(shù))、沖突解決處置設(shè)置等等。
此外,計(jì)算設(shè)備800還包括可由處理器808通過系統(tǒng)總線802訪問的數(shù)據(jù)存儲(chǔ)806。數(shù)據(jù)存儲(chǔ)808可包括可執(zhí)行指令、策略的策略值、策略的元數(shù)據(jù)(例如,沖突解決技術(shù))、沖突解決處置設(shè)置等。計(jì)算設(shè)備800還包括允許外部設(shè)備與計(jì)算設(shè)備800通信的輸入接口810。例如,輸入接口810可被用于從外部計(jì)算機(jī)設(shè)備、從用戶等處接收指令。計(jì)算設(shè)備800也可包括使計(jì)算設(shè)備812和一個(gè)或多個(gè)外部設(shè)備相對(duì)接的輸出接口800。例如,計(jì)算設(shè)備800可以通過輸出接口812顯示文本、圖像等。
考慮了通過輸入接口800和輸出接口810與計(jì)算設(shè)備812通信的外部設(shè)備可被包括在提供實(shí)質(zhì)上任何類型的用戶可與之交互的用戶界面的環(huán)境中。用戶界面類型的示例包括圖形用戶界面、自然用戶界面等。例如,圖形用戶界面可接受來自用戶采用諸如鍵盤、鼠標(biāo)、遙控器等之類的(諸)輸入設(shè)備的輸入,以及在諸如顯示器之類的輸出設(shè)備上提供輸出。此外,自然用戶界面可使用戶能夠以不受輸入設(shè)備(諸如鍵盤、鼠標(biāo)、遙控器等)所施加的約束的方式與計(jì)算設(shè)備800進(jìn)行交互。相反,自然用戶界面可依賴于語音識(shí)別、觸摸和指示筆識(shí)別、屏幕上和屏幕附近的姿勢(shì)識(shí)別、空中姿勢(shì)、頭部和眼睛跟蹤、語音和語音、視覺、觸摸、姿勢(shì)、以及機(jī)器智能等。
此外,盡管被示為單個(gè)系統(tǒng),但可以理解,計(jì)算設(shè)備800可以是分布式系統(tǒng)。因此,例如,若干設(shè)備可以通過網(wǎng)絡(luò)連接進(jìn)行通信并且可共同執(zhí)行被描述為由計(jì)算設(shè)備800執(zhí)行的任務(wù)。
現(xiàn)在給出各示例。
示例1:一種移動(dòng)設(shè)備,包括:至少一個(gè)處理器;以及計(jì)算機(jī)可讀存儲(chǔ),所述計(jì)算機(jī)可讀存儲(chǔ)包括能由所述至少一個(gè)處理器執(zhí)行的設(shè)備策略管理器系統(tǒng),所述設(shè)備策略管理器系統(tǒng)包括:統(tǒng)一接口組件,所述統(tǒng)一接口組件被配置成接收來自多個(gè)策略源的策略配置請(qǐng)求,所述多個(gè)策略源至少包括被配置成能被所述移動(dòng)設(shè)備的所述至少一個(gè)處理器執(zhí)行的內(nèi)部策略源組件和在所述移動(dòng)設(shè)備外部的設(shè)備管理服務(wù)器,所述策略配置請(qǐng)求至少包括:來自第一策略源的第一策略配置請(qǐng)求,所述第一策略配置請(qǐng)求包括策略的第一策略值;以及來自第二策略源的第二策略配置請(qǐng)求,所述第二策略配置請(qǐng)求包括所述策略的第二策略值,所述第一策略源不同于所述第二策略源,且所述第一策略值與所述第二策略值相沖突;以及策略處置器組件,所述策略處置器組件被配置成基于沖突解決技術(shù)解決所述策略的所述第一策略值和所述第二策略值之間的沖突以設(shè)置控制所述移動(dòng)設(shè)備的所述策略的當(dāng)前策略值。
示例2:根據(jù)示例1所述的移動(dòng)設(shè)備,其中:所述第一策略配置請(qǐng)求進(jìn)一步包括所述第一策略源的標(biāo)識(shí)符和指定所述策略的指示符;所述第二策略配置請(qǐng)求進(jìn)一步包括所述第二策略源的標(biāo)識(shí)符和指定所述策略的所述指示符;以及所述第一策略源的標(biāo)識(shí)符不同于所述第二策略源的標(biāo)識(shí)符。
示例3:如示例1-2中任一項(xiàng)所述的移動(dòng)設(shè)備,所述策略處置器組件被進(jìn)一步配置成解決所述策略的所述第一策略值和所述第二策略值之間的沖突,而無需在所述的移動(dòng)設(shè)備上在所述第一策略源和所述第二策略源之間建立信任。
示例4:根據(jù)示例1-3中任一項(xiàng)所述的移動(dòng)設(shè)備,所述沖突解決技術(shù)指定策略源類型的相應(yīng)權(quán)威等級(jí),并且所述策略處置器組件被進(jìn)一步配置成使用所述沖突解決技術(shù)來基于所述第一策略源的第一權(quán)威等級(jí)和所述第二策略源的第二權(quán)威等級(jí)來設(shè)置所述策略的所述當(dāng)前策略值。
示例5:根據(jù)示例4所述的移動(dòng)設(shè)備,所述沖突解決技術(shù)指定一組策略的策略源類型的相應(yīng)權(quán)威等級(jí),該組策略包括該策略,且該沖突解決技術(shù)指定不包括該策略的一組不同策略的策略源類型的不同的相應(yīng)權(quán)威等級(jí)。
示例6:根據(jù)示例1-5中任一項(xiàng)所述的移動(dòng)設(shè)備,其特征在于,所述第一策略源是具有給定權(quán)威等級(jí)的企業(yè)設(shè)備管理服務(wù)器,所述沖突解決技術(shù)指定禁止具有所述給定權(quán)威等級(jí)的策略源設(shè)置所述策略的當(dāng)前策略值,所述第一策略配置請(qǐng)求是由所述移動(dòng)設(shè)備的被信任的策略源簽名的已簽名策略配置請(qǐng)求,且所述策略處置器組件被進(jìn)一步配置成基于所述已簽名策略配置請(qǐng)求蓋寫由所述沖突解決技術(shù)指定的禁止。
示例7:根據(jù)示例1-6中任一項(xiàng)所述的移動(dòng)設(shè)備,所述計(jì)算機(jī)可讀存儲(chǔ)進(jìn)一步包括策略管理器元數(shù)據(jù)庫存儲(chǔ),且所述策略處置器組件被進(jìn)一步配置成:從所述統(tǒng)一接口組件接收第一策略配置請(qǐng)求和第二策略配置請(qǐng)求,將所述策略的第一策略值寫入到所述策略管理器元數(shù)據(jù)庫存儲(chǔ)的第一源策略存儲(chǔ),所述第一源策略存儲(chǔ)對(duì)應(yīng)于所述第一策略源;將所述策略的第二策略值寫入到所述策略管理器元數(shù)據(jù)庫存儲(chǔ)的第二源策略存儲(chǔ),所述第二源策略存儲(chǔ)對(duì)應(yīng)于所述第二策略源;至少基于來自第一源策略存儲(chǔ)的第一策略值和來自第二源策略存儲(chǔ)的第二策略值來使用沖突解決技術(shù)確定所述策略的當(dāng)前策略值;以及將所述策略的當(dāng)前策略值寫入到所述策略管理器元數(shù)據(jù)庫存儲(chǔ)的當(dāng)前策略存儲(chǔ)。
示例8:根據(jù)示例1-7中任一項(xiàng)所述的移動(dòng)設(shè)備,所述計(jì)算機(jī)可讀存儲(chǔ)進(jìn)一步包括策略管理器元數(shù)據(jù)庫存儲(chǔ),所述策略管理器元數(shù)據(jù)庫存儲(chǔ)包括用于所述多個(gè)策略源的相應(yīng)策略存儲(chǔ);以及所述設(shè)備策略管理器系統(tǒng)進(jìn)一步包括沙盒安全組件,所述沙盒安全組件被配置成:準(zhǔn)許所述第一策略源訪問用于所述第一策略源的第一源策略存儲(chǔ);準(zhǔn)許所述第二策略源訪問用于所述第二策略源的第二源策略存儲(chǔ);限制所述第一策略源訪問所述第二源策略存儲(chǔ);以及限制所述第二策略源訪問所述第一源策略存儲(chǔ)。
示例9:根據(jù)示例1-8中任一項(xiàng)所述的移動(dòng)設(shè)備,所述設(shè)備策略管理器系統(tǒng)進(jìn)一步包括解決控制組件,所述解決控制組件被配置成基于從特定策略源接收的沖突解決處置設(shè)置和所述特定策略源的權(quán)威等級(jí)來控制述策略的由所述策略處置器組件使用的沖突解決技術(shù)。
示例10:根據(jù)示例1-9中任一項(xiàng)所述的移動(dòng)設(shè)備,所述設(shè)備策略管理器系統(tǒng)進(jìn)一步包括解決控制組件,所述解決控制組件被配置成:基于所述多個(gè)策略源中的兩個(gè)或更多個(gè)策略源的相應(yīng)權(quán)威等級(jí)在從所述多個(gè)策略源中的所述兩個(gè)或更多個(gè)策略源接收的沖突解決處置設(shè)置之間進(jìn)行仲裁以選擇所選沖突解決處置設(shè)置;以及基于所述所選沖突解決處置設(shè)置來控制所述策略的由所述策略處置器組件使用的沖突解決技術(shù)。
示例11:根據(jù)示例1-10中任一項(xiàng)所述的移動(dòng)設(shè)備,所述設(shè)備策略管理器系統(tǒng)進(jìn)一步包括解決控制組件,所述解決控制組件被配置成:接收來自特定策略源的沖突解決處置設(shè)置;檢測(cè)在所述特定策略源和所述移動(dòng)設(shè)備的受信任策略源之間建立的信任;以及響應(yīng)于檢測(cè)到所建立的信任,基于所述沖突解決處置設(shè)置來控制所述策略的由所述策略處置器組件使用的沖突解決技術(shù)。
示例12:根據(jù)示例1-11中任一項(xiàng)所述的移動(dòng)設(shè)備,所述設(shè)備策略管理器系統(tǒng)進(jìn)一步包括:狀態(tài)分析組件,所述狀態(tài)分析組件被配置成檢測(cè)被所述設(shè)備處置器組件用于解決所述策略的沖突的給定沖突解決技術(shù)是否引起所述移動(dòng)設(shè)備的不期望的狀態(tài);以及解決控制組件,所述解決控制組件被配置成:基于所述給定沖突解決技術(shù)是否引起不期望的狀態(tài)來控制所述策略的由所述策略處置器組件使用的沖突解決技術(shù);基于所述狀態(tài)分析組件檢測(cè)到所述給定沖突解決技術(shù)不引起不期望的狀態(tài),維持所述給定沖突解決技術(shù)為所述沖突解決技術(shù);以及基于所述狀態(tài)分析組件檢測(cè)到所述給定沖突解決技術(shù)引起不期望的狀態(tài),將所述給定沖突解決技術(shù)修改為所述沖突解決技術(shù)。
示例13:根據(jù)示例1-12中任一項(xiàng)所述的移動(dòng)設(shè)備,所述內(nèi)部策略源組件包括由所述移動(dòng)設(shè)備的至少一個(gè)處理器執(zhí)行的應(yīng)用或所述移動(dòng)設(shè)備的設(shè)備用戶接口中的至少一者。
示例14:根據(jù)示例1-13中任一項(xiàng)所述的移動(dòng)設(shè)備,所述多個(gè)策略源進(jìn)一步包括移動(dòng)運(yùn)營商管理服務(wù)器、消息收發(fā)服務(wù)器、以及移動(dòng)設(shè)備管理服務(wù)器。
示例15:根據(jù)示例1-4中任一項(xiàng)所述的移動(dòng)設(shè)備,所述策略處置器組件被進(jìn)一步配置成響應(yīng)于所述移動(dòng)設(shè)備從所述第一策略源解除登記而重新評(píng)估所述策略的當(dāng)前策略值。
示例16:一種移動(dòng)設(shè)備,包括:至少一個(gè)處理器,以及計(jì)算機(jī)可讀存儲(chǔ),所述計(jì)算機(jī)可讀存儲(chǔ)包括能由所述至少一個(gè)處理器執(zhí)行的設(shè)備策略管理器系統(tǒng),所述設(shè)備策略管理器系統(tǒng)包括:統(tǒng)一接口組件,所述統(tǒng)一接口組件被配置成接收來自多個(gè)策略源的策略配置請(qǐng)求以及接收來自特定策略源的沖突解決處置設(shè)置;解決控制組件,所述解決控制組件被配置成基于來自所述特定策略源的沖突解決處置設(shè)置和所述特定策略源的權(quán)威等級(jí)來控制策略的沖突解決技術(shù);以及策略處置器組件,所述策略處置器組件被配置成基于由所述解決控制組件控制所述策略的沖突解決技術(shù)來解決在由不同策略源提供的不同策略配置請(qǐng)求中指定的所述策略的不同策略值之間的沖突,以及使用所述沖突解決技術(shù)來設(shè)置控制所述移動(dòng)設(shè)備的所述策略的當(dāng)前策略值。
示例17:根據(jù)示例16所述的移動(dòng)設(shè)備,所述解決控制組件被進(jìn)一步配置成基于相應(yīng)的權(quán)威等級(jí)在來自該特定策略源的沖突解決處置設(shè)置和來自至少一個(gè)不同策略源的至少一個(gè)不同沖突解決處置設(shè)置之間進(jìn)行仲裁以選擇被用來控制所述策略的沖突解決技術(shù)的所選沖突解決處置設(shè)置。
示例18:根據(jù)示例16-17中任一項(xiàng)所述的移動(dòng)設(shè)備,所述解決控制組件被進(jìn)一步配置成:檢測(cè)在所述特定策略源和所述移動(dòng)設(shè)備的被信任策略源之間建立的信任,其中在缺少所建立的信任的情況下,所述特定策略源被禁止基于所述特定策略源的權(quán)威等級(jí)控制所述策略的由所述策略處置器組件使用的沖突解決技術(shù);以及響應(yīng)于檢測(cè)到所建立的信任,基于所述沖突解決處置設(shè)置來控制所述策略的由所述策略處置器組件使用的沖突解決技術(shù)。
示例19:一種管理移動(dòng)設(shè)備上的策略的方法,包括:接收來自多個(gè)策略源的策略配置請(qǐng)求,所述多個(gè)策略源至少包括由所述移動(dòng)設(shè)備執(zhí)行的內(nèi)部策略源以及在所述移動(dòng)設(shè)備外部的設(shè)備管理服務(wù)器,所述策略配置請(qǐng)求至少包括:來自第一策略源的第一策略配置請(qǐng)求,所述第一策略配置請(qǐng)求包括策略的第一策略值;以及來自第二策略源的第二策略配置請(qǐng)求,所述第二策略配置請(qǐng)求包括所述策略的第二策略值,所述第一策略源不同于所述第二策略源,且所述第一策略值與所述第二策略值相沖突;基于沖突解決技術(shù)解決所述策略的所述第一策略值和所述第二策略值之間的沖突,而無需在所述移動(dòng)設(shè)備上在所述第一策略源和所述第二策略源之間建立信任;以及響應(yīng)于解決所述沖突,設(shè)置控制所述移動(dòng)設(shè)備的所述策略的當(dāng)前策略值。
示例20:根據(jù)示例19所述的方法,進(jìn)一步包括控制被用來解決所述策略的沖突的沖突解決技術(shù)。
如本文所使用的,術(shù)語“組件”和“系統(tǒng)”旨在包含用使得在被處理器執(zhí)行時(shí)執(zhí)行特定功能的計(jì)算機(jī)可執(zhí)行指令配置的計(jì)算機(jī)可讀數(shù)據(jù)存儲(chǔ)。計(jì)算機(jī)可執(zhí)行指令可包括例程、功能等等。還要理解組件或系統(tǒng)可以位于單個(gè)設(shè)備上或跨若干設(shè)備分布。
另外,如此處所用的,術(shù)語“示例性”旨在是指“充當(dāng)某事物的圖示或示例”。
本文中描述的各功能可在硬件、軟件或其任何組合中實(shí)現(xiàn)。如果在軟件中實(shí)現(xiàn),則這些功能可以作為一條或多條指令或代碼存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)上或藉其進(jìn)行傳送。計(jì)算機(jī)可讀介質(zhì)包括計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)可以是能被計(jì)算機(jī)訪問的任何可用存儲(chǔ)介質(zhì)。作為示例而非限定,這樣的計(jì)算機(jī)可讀介質(zhì)可包括RAM、ROM、EEPROM、CD-ROM或其他光盤存儲(chǔ)、磁盤存儲(chǔ)或其他磁存儲(chǔ)設(shè)備、或能被用來存儲(chǔ)指令或數(shù)據(jù)結(jié)構(gòu)形式的期望程序代碼且能被計(jì)算機(jī)訪問的任何其他介質(zhì)。如本文中所使用的盤(disk)和碟(disc)包括壓縮碟(CD)、激光碟、光碟、數(shù)字多用碟(DVD)、軟盤和藍(lán)光碟(BD),其中盤(disk)往往以磁的方式再現(xiàn)數(shù)據(jù),而碟(disc)常常用激光以光學(xué)方式再現(xiàn)數(shù)據(jù)。另外,所傳播的信號(hào)不被包括在計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)的范圍內(nèi)。計(jì)算機(jī)可讀介質(zhì)還包括通信介質(zhì),該通信介質(zhì)包括促成將計(jì)算機(jī)程序從一地轉(zhuǎn)移到另一地的任何介質(zhì)。連接例如可以是通信介質(zhì)。例如,如果軟件使用同軸電纜、光纖電纜、雙絞線、數(shù)字訂戶線(DSL)、或諸如紅外線、無線電、以及微波之類的無線技術(shù)來從web網(wǎng)站、服務(wù)器、或其它遠(yuǎn)程源傳輸,則該同軸電纜、光纖電纜、雙絞線、DSL、或諸如紅外線、無線電、以及微波之類的無線技術(shù)被包括在通信介質(zhì)的定義中。上述的組合應(yīng)當(dāng)也被包括在計(jì)算機(jī)可讀介質(zhì)的范圍內(nèi)。
作為替換或補(bǔ)充,本文所述的功能可至少部分地由一個(gè)或多個(gè)硬件邏輯組件來執(zhí)行。例如、但非限制,可使用的硬件邏輯組件的說明性類型包括現(xiàn)場(chǎng)可編程門陣列(FPGA)、程序?qū)S玫募呻娐?ASIC)、程序?qū)S玫臉?biāo)準(zhǔn)產(chǎn)品(ASSP)、片上系統(tǒng)系統(tǒng)(SOC)、復(fù)雜可編程邏輯器件(CPLD)、等等。
以上所描述的包括一個(gè)或多個(gè)實(shí)施例的示例。當(dāng)然,出于描繪前述各方面的目的而描述上述設(shè)備或方法的每個(gè)可以想到修改和改變是不可能的,但本領(lǐng)域內(nèi)的普通技術(shù)人員可以認(rèn)識(shí)到,各方面的許多另外的組合和置換都是可能的。因此,所描述的各方面旨在包括所有這些屬于所附權(quán)利要求書的精神和范圍內(nèi)的改變、修改和變型。此外,就在詳細(xì)描述或權(quán)利要求書中使用術(shù)語“包括”而言,這一術(shù)語旨在以與術(shù)語“包含”在被用作權(quán)利要求書中的過渡詞時(shí)所解釋的相似的方式為包含性的。