CN1661982A - 自动配置访问控制的方法和系统 - Google Patents
自动配置访问控制的方法和系统 Download PDFInfo
- Publication number
- CN1661982A CN1661982A CN2005100656219A CN200510065621A CN1661982A CN 1661982 A CN1661982 A CN 1661982A CN 2005100656219 A CN2005100656219 A CN 2005100656219A CN 200510065621 A CN200510065621 A CN 200510065621A CN 1661982 A CN1661982 A CN 1661982A
- Authority
- CN
- China
- Prior art keywords
- access control
- access
- application
- control information
- mobile device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/35—Protecting application or service provisioning, e.g. securing SIM application provisioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/22—Processing or transfer of terminal data, e.g. status or physical capabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/22—Processing or transfer of terminal data, e.g. status or physical capabilities
- H04W8/24—Transfer of terminal data
- H04W8/245—Transfer of terminal data from a network towards a terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Mobile Radio Communication Systems (AREA)
- Information Transfer Between Computers (AREA)
Abstract
一种根据应用程序的网络资源需求而自动配置访问控制点的方法。在安装之前、之中或之后,移动设备或其它用户设备上的新应用程序的安装是与访问控制信息的分配同时发生的。访问控制点根据访问规则对信息进行阻断。访问更新模块根据访问控制信息来修改和设定访问规则。可以将访问控制点和访问更新模块设置在移动设备中,相关联的无线连接器系统中,或移动通信系统中的其它位置中。可以在安装、修改、或清除应用程序的过程中根据访问控制信息触发访问规则的设定或重新设定。
Description
技术领域
本发明涉及通信网络中的访问控制点,特别是用于在应用需求的基础上自动配置访问控制点。
背景技术
如今,许多移动设备可用来提供除简单语音通信之外的复杂的功能性操作。例如,许多设备允许用户通过公共网络,如因特网,访问远程服务器或网站。这些设备可以上网并且可以运行浏览器软件以允许用户在移动设备上访问远程网站。其它的设备允许用户运行应用程序,甚至是安装通过公共网络从远程站点下载的新的应用程序。
功能性操作的这个较高等级造成了特殊的安全问题,特别是在访问公共网络时。例如,移动设备在访问公共网络时容易受到病毒,Trojan马或者其它来自于远程站点的破坏性通信的攻击。因此,大多数的移动通信系统都包括一个或多个访问控制点或防火墙,以便阻断远程站点与移动设备间的某些特定的通信或传输。访问控制点根据访问规则确定哪些通信是允许的,哪些通信是要阻断的。
由于应用程序可能需要通过公共网络访问网络资源,因此访问控制点的使用引起在移动设备上安装和运行合法应用程序的问题。可以通过访问控制点彻底阻断来自这些资源的通信或者询问用户这些访问是否被批准了。由于一些用户并不知道应用程序需要这些通信信息并且不熟悉通信资源,因此他们会拒绝进行这些通信。
在通过管理员提供应用程序的情况下,这些问题是特别突出的。当将应用程序推出至移动设备内进行安装时,用户可能并不知道程序已安装完毕,并且未必会同意从远程网络资源设备接收能够使应用程序正常运行的通信信息。
发明内容
第一方面,本发明提供一种自动配置访问控制点的方法,该访问控制点根据访问规则允许或阻断网络资源设备和用户设备上应用程序间的信息传输。该方法包括如下步骤:接收和读取与应用程序相关的访问控制信息,以及根据访问控制信息设定访问控制规则。
另一方面,本发明提供具有计算机可读介质实体和计算机可执行指令的计算机程序产品,以用于自动配置访问控制点,该访问控制点根据访问规则允许或阻断网络资源设备和用户设备上应用程序间的信息传输。该计算机可执行性指令包括用于接收和读取与应用程序相关的计算机可执行性指令,以及用于根据访问控制信息来设定访问控制规则的计算机可执行性指令。
另一方面,本发明提供用于自动配置访问控制点的访问控制系统,该访问控制点根据访问规则允许或阻断网络资源设备和用户设备上应用程序间的信息传输。该系统包括用于接收和读取与应用程序相关的访问控制信息的装置和用于根据访问控制信息来设定访问控制规则的装置。
另一方面,本发明提供了一个包括访问控制点的移动设备,该访问控制点根据访问规则允许或阻断网络资源设备和用户设备上应用程序间的信息传输,其中该设备包括用于接收与应用程序相关的访问控制信息的装置,用于读取所述访问控制信息的装置,和用于根据所述访问控制信息,设定访问控制点的设备访问控制规则的装置。
另一方面,本发明提供了一个包括访问控制点的服务器,该访问控制点根据访问规则允许或阻断网络资源设备和用户设备上应用程序间的信息传输,其中该服务器包括用于接收与应用程序相关的访问控制信息的装置,用于读取所述访问控制信息的装置,和用于所述访问控制信息,设定访问控制点的服务器访问控制规则的装置。
对于本领域普通技术人员,结合附图,从下面的详细说明中将会明显得到本发明的其它方面和特征。
附图说明
现在将通过例子来介绍表示本发明实施例的附图,其中:
图1以方块图的形式示出了移动设备通信系统的一个实施例;
图2以方块图的形式示出了移动设备通信系统的另一个实施例;
图3以流程图的形式示出了一种用于移动设备通信系统的实现自动配置访问控制的方法;
图4以流程图的形式示出了另一种用于移动设备通信系统的实现自动配置访问控制的方法。
在不同的附图中使用相同的标号表示相同的部件。
具体实施方式
接下来对本发明一个或多个特定实施例的描述将不会把本发明的实施局限于某一特定的计算机程序设计语言或系统结构。本发明不局限于任何特定的操作系统,网络配置,用户设备结构,或计算机程序设计语言。
下面描述的这些实施例包括一种用户设备结构,其中多个移动设备通过无线网络与无线连接器系统相连。该无线连接器系统直接地或间接地与因特网相连接,并且允许移动设备通过因特网发送和接收通信信息。应该意识到本发明的特征并非基于某一特定的结构,本发明并不局限于移动设备或无线通信。可以利用包括移动设备,手持设备,个人计算机,和其它用户终端在内的多种用户设备,在有线或无线网络结构中实现本发明。
首先介绍图1,图1示出了移动设备通信系统8的一个实施例的方块图。该系统8包括移动设备10,无线网络12,以及无线连接器系统14。该移动设备10发送和接收包括数据、也可能是语音信息在内的无线通信信息。基于该设备提供的功能性操作,在不同的实施例中该设备可以是数据通信设备、配置成用于数据和语音信息传输的多模通信设备、移动电话、用于无线通信的PDA(个人数字助理),或具有无线调制解调器的计算机系统,以及其它装置。
移动设备10通过与无线网络12耦合的天线16来发送和接收无线通信。该无线网络12包括分布在不同地点的多个天线16,用于发送和接收与移动设备10的无线通信。
在一个实施例中,无线网络12耦合到无线网关18或中继站。无线网关18将包括无线连接器系统14在内的多个无线连接器系统与包括移动设备10在内的多个移动设备连接起来。无线网关18在不同的无线连接器系统和通过无线网络12与该无线网关相连的移动设备之间路由数据分组。因此,由移动设备10发送的通信信息由天线16接收,并且通过无线网络12将其传送给无线网关18。无线网关18将该通信信息发送至无线连接器系统14。无线网关18接收由无线连接器系统14发送来的通信信息并通过无线网络12将该信息传送至移动设备10。
无线连接器系统14耦合到无线网关18上以接收和发送与移动设备10之间的通信信息。在一个实施例中,无线网关18和无线连接器系统14通过专用链路19相连接。典型地,无线连接器网络14专用于管理发送到或来自于一组移动设备10的通信信息。无线连接器系统14可以包括一个共同的企业内部网以及包括e-mail服务器和因特网服务器在内的多个服务器。
无线连接器系统14也可以连接到公共网络,在一些实施例中该公共网络即为因特网20。因此,如e-mail消息这样的来自于远程站点的数据通信信息就可以通过因特网20由无线连接器系统14接收,并且可以从无线连接器系统14转发到移动设备10。在这点上,无线连接器系统14可以包括电子邮件服务器,例如运行MicrosoftTM Exchange Server或其它商业应用邮件服务程序软件的服务器。
无线连接器系统14还允许移动设备10通过因特网20发送和接收除e-mail之外的其它通信信息。例如,移动设备10可以运行网页浏览器软件以通过因特网20接收来自于远程网站的HTML页面。移动设备10还可以运行应用程序,该程序用于发送和接收经因特网20传输的来自于远程站点的数据。例如,移动设备10能够运行一个应用程序,即通过使用Web服务来监视股票价格或其它的在线内容。
现在将介绍图2,图2示出了移动设备通信系统8的另一个实施例的方块图。在图2所示的实施例中,无线网关18通过因特网20耦合到无线连接器系统14上。在这个实施例中,移动设备10无需通过无线连接器系统14就可以直接访问因特网20。
现在参考图1和图2,移动设备10包括设备访问控制点30。该设备访问控制点30,也可以称为“防火墙”,包括一组设备访问规则,该规则用于确定是否批准移动设备10发送或接收通信信息。设备访问控制点30用于阻止向移动设备10发送未经批准的或不可靠的资源,以及用于阻止移动设备向未经批准的或不可靠的远程站点发送信息。这样就部分地阻止了病毒和其它破坏性通信信息的接收,以及保密或敏感信息的泄露。也可以限制访问移动设备10以阻止其它的攻击和安全问题。设备访问规则典型地阻止经因特网20传输的来自于或发送到远程站点的数据包的接收或发送,该远程站点可能被认为是有问题的或不可靠的。
用于设备访问控制点30的设备访问规则可以阻断源于或打算到达某一特殊IP地址的通信信息,或者可以批准访问源于或打算到达某一特殊IP地址的通信信息,以及阻断所有的信息。还可以通过基于信息类型或信息内容的设备访问规则来对其它的信息进行阻断。例如,可能将某一特定类型的文件,如可执行的,视为安全风险。可以将设备访问规则配置成从有问题的资源中搜索用户验证以接收信息。在一些实施例中,当从设备访问规则认为是有问题的或不可靠的IP地址接收到信息时,就会询问用户他们是否愿意接收该信息。由于许多用户并不熟悉通信资源,因此许多用户会拒绝。
图1所示的实施例中的无线连接器系统14同样包括一个服务器访问控制点32。服务器控制点32作为防火墙用于将通过因特网20由无线连接器系统14接收的信息发送至移动设备10。服务器访问控制点32包括一组服务器访问规则,用于管理是否批准访问或者阻断从因特网20接收到的信息。服务器访问规则可以包括适用于系统8中打算发送至任何移动设备10的信息的所有规则,并且它们还可以包括一些与特殊移动设备10相关联的特定规则。
远程服务器40与因特网20相连接。图2所示的实施例中,远程服务器40可以包括远程服务器访问控制点56。该远程服务器访问控制点56是用于经远程服务器40接收或发送信息的防火墙。
远程服务器40可以包含应用文件42和相应的描述符文件44。可以经因特网20从远程服务器40下载该应用文件42至用户终端,以便在用户终端配置和安装该应用程序。当与因特网20相连接的用户终端的用户决定下载并安装该应用程序时,用户终端首先接收描述符文件44。描述符文件44包含与应用程序相关的信息以及用户终端成功安装和运行该应用程序的操作要求。例如,描述符文件44可以规定运行系统,平台,或正确运行该应用程序所必需的相关程序的特定版本。描述符文件44还可以规定与应用程序相关的存储器和处理器要求,并且可以包括一个与应用文件42的链接,或应用文件42所用的地址。
在一个实施例中,基于描述符文件44,用户终端确定其是否符合系统的要求。如果不符合某些系统要求,用户终端会打开一个对话窗口来提示用户,或者询问用户是否继续应用程序的下载和安装。该对话窗口也可以询问用户是否接收来自于/发送至远程设备的通信信息,或警告用户那些远程资源设备中的通信信息对于正确运行该应用程序是必须的。如果用户同意继续安装,那么用户终端会基于描述符文件44包含的地址信息下载该应用文件42。然后将该应用文件42安装在用户终端上。
作为例子,使用Java程序语言编写的应用程序包括Java档案(JAR)文件和Java应用描述符(JAD)文件。JAD文件是具有多个字段名的可扩展的文本文件,可以利用JAR文件对其进行安装,多个字段名可为:指定某一特定系统参数的值域或与应用程序相关的需求量。
仍然参照图1和图2,移动设备10的用户可以定位远程服务器40并且选择下载描述符文件44以在移动设备10上安装应用程序。移动设备10包含用于处理接收的描述符文件44的描述符文件处理器46。该描述符文件处理器46确定描述符文件44中规定的系统要求是否与移动设备10相符,搜索下载和安装的用户验证,需要的话,触发从远程服务器40的应用文件42的下载。
一旦完成安装并进入运行,该应用程序可能需要从因特网20访问资源。可以将这些资源定位在远程服务器40或第二服务器48处。除非正确地配置了各自的访问规则以允许在移动设备10和远程服务器40和/或第二服务器48之间进行信息通信,否则将在设备访问控制点30处或在服务器访问控制点32或56处对到达或来自于远程服务器40或第二服务器48的信息进行阻断。
依照本发明的一个实施例,描述符文件44包括访问控制信息54。该访问控制信息54可能包含与应用程序所需的远程资源相关的信息,用以确定防火墙不会阻断对这些资源的访问。在一个实施例中,描述符文件44包含一个JAD文件,访问控制信息54包括文本访问控制信息,例如一个已批准的IP地址,域,端口或其它的标识符,以使得访问能够得到设备访问控制点30和服务器访问控制点32的准许。在一个实施例中,JAD文件中的访问控制信息54可以表示为以下形式:
服务器-访问:
http://DailyQuotes.traders.com:8080
服务器-访问:
http://DailyTrade.traders.com:8080
在另一个实施例中,访问控制信息54直接存储在应用文件42中。然而在另一个实施例中,访问控制信息54存储在与描述符文件44不相关的单独的文件中。在后面这个实施例中,在成功地安装了应用程序后,预计会将具有访问控制信息54的单独的文件发送至移动设备10。
访问控制信息54允许移动设备10更新其设备访问规则以确保应用程序能够从其需要的资源中接收通信信息,例如从远程服务器40和/或第二服务器48。
移动设备10包括设备访问更新模块50。设备访问更新模块50根据描述符文件44中的访问控制信息54来设定或重新配置设备访问控制点30。特别是,设备访问更新模块50根据访问控制信息54,对已存在的设备访问规则进行修改或建立新的设备访问规则。例如,如果访问控制信息54指示应用程序需要具有特殊地址的特殊资源,那么设备访问更新模块50就可以配置设备访问规则以确保允许该应用程序接收来自于特殊设备的通信信息。
在一个实施例中,设备访问更新模块50作为描述符文件处理器46的一部分设置在移动设备10中。在另一个实施例中,设备访问更新模块50由应用文件42中的码字提供,因此当下载并安装应用程序时,可以调用设备访问更新模块50。
一旦用户确定他或她想要下载并安装应用文件42,那么设备访问更新模块50就可以触发设备访问规则变化。一旦用户成功地在移动设备10中安装了该应用程序,那么模块50就会交替地触发变化。因此,用户或管理员并不需要人工地修改设备访问规则。移动设备10自动重新配置它的设备访问控制点30以便适应新的应用程序,该新的应用程序是基于应用程序所用的访问控制信息而建立的。
应该理解,某一批准和验证过程可以与本发明的实施例同时发生,从而确保已批准的资源不会引起访问控制点规则的变化。移动设备10,无线连接器系统14和远程服务器40在允许访问控制规则进行改变之前,建立了一种信任关系。可以采用标准的加密技术,例如公共密钥加密和数字签名,来建立这种信任关系。
在图1所示的实施例中,无线连接器系统14包括服务器访问更新模块52。服务器访问更新模块52对服务器访问控制点32进行配置以允许将来自于远程资源设备的信息,例如远程服务器40和/或第二服务器48,发送至移动设备10。特别是,服务器访问更新模块52基于访问控制信息54对服务器访问规则进行修改或更新。服务器访问更新模块52可以用不同的方式获得访问控制信息54。在一个实施例中,访问控制信息54包含在描述符文件44中,当通过无线连接器系统14将描述符文件44下载到移动设备10中时,服务器访问更新模块52就可以读取该访问控制信息54了。在另一个实施例中,移动设备10中的描述符文件处理器46读取访问控制信息54并将一个含有访问控制信息54的消息发送至服务器更新模块52。然而在另一个实施例中,一旦移动设备10安装了应用程序,远程服务器40就可以将含有访问控制信息54的消息发送至服务器访问更新模块52。本领域普通技术人员能够得知将访问控制信息54发送至服务器访问更新模块52的各种方法。
在图2所示的一个实施例中,远程服务器40包含远程服务器访问更新模块58,该模块58用于改变远程服务器访问控制点56所用的访问控制规则。和以上描述的服务器访问更新模块52一样,可采用多种方法确保在适当的时间内,向远程服务器访问更新模块58提供访问控制信息54。在一个实施例中,移动设备10向远程服务器40发送一个表示应用程序已成功安装的消息,作为响应该远程服务器40激活远程服务器访问更新模块58,并为其提供访问控制信息54。
在系统8中,存在着至少两种下载方案。在一种方案中,移动设备10的用户启动向移动设备10的应用程序的下载。这叫做“拖进”事件。而“推出”事件是第二种方案,其中无需用户参与,管理员就可以启动移动设备10上的应用程序的下载。该管理员可以是无线连接器系统14的管理员。应该知道,在“推出”事件中,通常不将描述符文件44发送给移动设备10。在出现这种“推出事件”的情况下,会将应用文件推出到移动设备10中以进行安装,并且会先于应用文件42发送访问控制信息54,使其进入应用文件42,或在各自控制消息之后。还应该知道,在出现“推出”事件的情况下,会进行适当的批准和验证以确保不会将应用程序推出到未获批准资源的设备中去。
现在参见图3,该图以流程图的形式示出了一种用于移动设备通信系统8(图1)的自动配置访问控制的方法100。该方法100开始于步骤102中对已下载描述符文件44(图1)的接收。描述符文件44包括与应用程序所使用的远程资源相关的访问控制信息54(图1)。步骤102包括由无线连接器系统14(图1)接收该描述符文件44,以及将描述符文件44通过无线网络12从无线连接器系统14发送至移动设备10(图1)。在一个实施例中,无线连接器系统14确认它已接收到描述符文件,这就意味着用户可以在移动设备上安装新的应用程序,并且导致无线连接器系统14激活服务器访问更新模块52(图1)去读取访问控制信息54和等待确认应用程序的安装正在进行或已经完成。
在步骤104中,移动设备10中的描述符文件处理器46读取描述符文件44并根据描述符文件44中存有的系统需求,估算应用程序能否在移动设备10中进行下载和安装。描述符文件处理器46还会询问用户是否希望继续应用程序的下载和安装。如果用户拒绝,或者如果移动设备10不能满足系统的需求,那么方法100就结束。否则,方法100将会执行步骤106。
在步骤106中,描述符文件处理器46将应用文件42下载到移动设备10。接下来,在步骤108中,基于应用文件42,在移动设备10上安装并配置该应用程序。
在安装之后,方法100执行步骤110,其中对安装和配置是否成功进行了估计。如果不成功,在步骤114中会生成一个错误消息或其它通知消息。如果已成功安装,在步骤112中描述符文件处理器46,特别是设备访问更新模块50(图1)会根据描述符文件46中的访问控制信息54来修改设备访问规则。同样,在步骤116中,服务器访问更新模块52会根据描述符文件46中的访问控制信息54来修改服务器访问规则。在一个实施例中,设备访问更新模块50向服务器访问更新模块52发送消息用以确定应用程序已安装完毕,并且作为响应,服务器访问更新模块52改变服务器访问规则。
应该明白,设备访问规则的更新以及访问更新模块50、52实施的对服务器访问规则的更新还可以在其它时间内进行。例如,一旦用户或管理员确认就会进行应用文件42的下载,而不是等到安装结束之后再进行。在一些实施例中,在下载应用文件42之前,可以进行更新,参见以下描述。
这里至少有两种其它的方案,其中可以改变设备和服务器的访问规则。第一种是对现有的应用程序进行修改。例如,可以改变应用程序所采用的数据或其它网络资源的地址。因此,为了确定由这个新地址传送给移动设备10的信息是允许的,就需要改变访问规则。在这种情况下,可以向移动设备10发送一个消息。该消息可以包括已更新的访问控制信息54,该访问控制信息又包括与需要修改的访问规则相关的信息,修改访问规则是为了允许接收来自于网络资源新地址的通信信息。在一个实施例中,该消息可以包括描述符文件44。由于不需要安装应用程序,在这种情况下,该消息可以包含一个标记或其它的设定,用以表示没有进行应用文件42的下载和安装,以及由设备访问更新模块50和服务器访问更新模块52立即改变访问规则。因此,设备访问更新模块50和服务器访问更新模块52在接收到更新消息时根据访问控制信息54分别对设备访问规则和服务器访问规则进行更新。
第二种方案可能包含应用程序的删除。例如,管理员或其它第三方可以选择取消用户使用应用程序的能力。因此,管理员可以发送一个具有标识或用于触发卸载程序的其它设定的删除消息。换句话说,该消息可以触发一个新应用文件42的下载,运行该应用文件以清除原先安装的应用程序。无论如何,将应用程序删除或损坏是容易实现的,推出到移动设备10的消息包括用于修改设备和服务器访问规则的访问控制信息54,表示该应用程序将不再需要访问远程服务器40和/或第二服务器48。因此,设备访问更新模块50和服务器访问更新模块52分别修改设备访问规则和服务器访问规则以实现该改变;在一些情形下,当应用程序安装完毕时,基本上预先取消了对访问规则的修改。如上所述,可能触发更新模块50,52以实现在接收到消息时或在任何其它的适当时间内实现该改变。
现在参见图4,图4在出现“推出”的情况下,以流程图的形式示出了一种用于移动设备通信系统8(图1)的自动配置访问控制的方法200。该方法从步骤202开始,其中安排应用程序以便将其分配给一个或多个移动设备10。在步骤204中,远程服务器40将应用文件42推出到移动设备10中。在步骤206中,移动设备10安装该应用程序。
在步骤208中对安装是否成功做了估计,如果不成功,在步骤210中会生成一个错误消息。如果安装成功了,方法200会执行步骤202,其中将消息发送给远程服务器40以表示安装成功。如果应用文件42中含有访问控制信息54,那么将会抽取这个信息并将其包含在发送到远程服务器40的消息中。
步骤214中,在远程服务器40上,远程服务器访问更新模块58会从该消息中抽取访问控制信息54,或者从文件或存储在本地并与应用文件42相关的目标中抽取该信息。在步骤216中,远程服务器访问更新模块58在访问控制信息54的基础上,对远程服务器访问控制规则进行配置。
一旦远程服务器40已对其远程服务器访问控制点56进行了配置,那么在下面的步骤218中,它会向移动设备10发送一个含有访问控制信息54的消息。可以理解,如果访问控制信息54已经在初始分配给移动设备的应用文件42中,那么该消息中则不需要包含访问控制信息54。在步骤220中,一接收到所述消息,设备访问控制模块50就根据访问控制信息54,对设备访问控制规则进行配置。
参见前面的描述,计算机程序设计领域的普通技术人员是能够得知上述设备访问更新模块50和服务器访问更新模块52的程序设计的。本发明并不局限于以某一特殊计算机程序设计语言来实现访问更新模块50,52。
尽管以上实施例基于利用无线网络的移动设备对本发明进行了描述,然而,对于本领域普通技术人员来讲,本发明并不局限于此。在一些实施例中,移动设备可以是用户终端,例如桌上型电脑或膝上型电脑,并且可以通过有线或无线网络耦合到无线连接器系统上。该网络可以包括LAN,WAN,MAN,或其它网络。在一些实施例中,可以在每个设备或终端上设置访问控制点。在另外一些实施例中,可以在无线连接器系统上设置这一仅有的访问控制点,用于阻断来自于因特网的信息输入。多种其它的配置也是可以依据本发明所给出的方案来实现的,该方案基于接收到的描述符文件,具有至少一个访问控制点和一个相应的访问更新模块以便对访问控制点所采用的访问规则进行动态配置。
本领域普通技术人员将会理解对“模块”的介绍,例如服务器访问更新模块52或设备访问更新模块54是用于宽范围地涵盖包括对象,路由,组件,基于限制的系统,说明系统等在内的多种可能的程序设计结构。
本发明可以用不背离发明精神或实质特征的其它特殊形式来表现。对于本领域技术人员来讲,本发明某些适应性变化和改变将是显而易见的。因此,可以认为前面讨论过的实施例仅是举例说明而不是限制性的,本发明的范围是由所附权利要求来表示的,而不是前面的描述,因此权利要求中出现的所有等同的目的和范围的变化都包含在本发明中。
Claims (22)
1、一种自动配置访问控制点(30,32,56)的方法,该访问控制点(30,32,56)根据访问规则,允许或阻断网络资源设备(40,48)与用户设备(10)上的应用程序之间的信息传输,其特征在于以下步骤:
提供访问更新模块(50,52,58),用于接收和读取与应用程序相关的访问控制信息(54);
根据所述访问控制信息(54)设置访问控制规则。
2、如权利要求1所述的方法,其中用户设备(10)包括移动设备,访问控制点包括设置在所述移动设备上的设备访问控制点(30),所述访问控制规则包含设备访问规则,其中,所述的设置步骤包括根据所述访问控制信息设置所述的设备访问规则。
3、如权利要求1或2所述的方法,其中用户设备(10)包括移动设备,访问控制点包括设置在与移动设备相关联的无线连接器系统上的服务器访问控制点(32),以及访问控制规则包含服务器访问控制规则,所述的设置步骤包括根据所述访问控制信息来设置所述的服务器访问控制规则。
4、如前面权利要求中任一项权利要求所述的方法,进一步包括将应用文件(42)下载到用户设备的步骤,其中所述的应用文件(42)将应用程序安装到用户设备上,以及在应用程序安装完成后,执行所述的设置访问控制规则的步骤。
5、如权利要求4所述的方法,其中所述的访问控制信息(54)内嵌在所述的应用文件(42)中。
6、如权利要求4所述的方法,其中将所述的访问控制信息(54)存储在与应用文件(42)相关联的描述符文件(44)中。
7、如权利要求6所述的方法,其中应用程序包括Java-编写的应用程序,所述的描述符文件(54)是Java描述符文件。
8、如权利要求4到7中任何一项权利要求所述的方法,其中所述的应用文件(42)包括用于访问更新模块(50)的安装码,其中所述方法包括执行所述安装码的步骤和在移动设备上安装访问更新模块(50)的步骤。
9、如前面权利要求中任一项权利要求所述的方法,其中所述访问控制信息(54)包括与网络资源设备(48)相对应的标识符。
10、一种用于自动配置访问控制点(30,32,56)的计算机程序产品,该产品具有实现计算机可执行指令的计算机可读介质实体,访问控制点(30,32,56)根据访问规则,允许或阻断网络资源设备(48)与用户设备(10)上的应用程序之间的信息传输,创建访问更新模块(50,52,58)的计算机可执行指令包含:
用于接收和读取与应用程序相关的访问控制信息(54)的计算机可执行指令;
用于根据所述访问控制信息(54)设置访问控制规则的计算机可执行指令。
11、如权利要求10所述的计算机程序产品,其中用户设备(10)包含移动设备,其中访问控制点包含设置在移动设备上的设备访问控制点(30),所述访问控制规则包含设备访问规则,其中设置步骤中所用的计算机可执行指令包括根据所述访问控制信息(54)设置所述设备访问规则的计算机可执行指令。
12、如权利要求10或11所述的计算机程序产品,其中用户设备(10)包含移动设备,其中访问控制点包括设置在与移动设备相关联的无线连接器系统上的服务器访问控制点(32),以及访问控制规则包含服务器访问控制规则,设置步骤所用的所述计算机执行指令包括根据所述访问控制信息(54)设置所述服务器访问控制规则的计算机可执行指令。
13、如权利要求10至12中任何一个权利要求所述的计算机程序产品,进一步包含用于将应用文件(42)下载到用户设备(10)的计算机可执行指令,其中所述的应用文件(42)将应用程序安装到用户设备(10)上,其中在完成应用程序安装之后,执行所述的计算机可执行指令以设置访问控制规则。
14、如权利要求13所述的计算机程序产品,其中所述的访问控制信息(54)设置在所述的应用文件(42)中。
15、如权利要求13所述的计算机程序产品,其中将所述的访问控制信息(54)存储在与应用文件(42)相关联的描述符文件(44)中。
16、如权利要求15所述的计算机程序产品,其中应用程序包含Java-编写的应用程序,所述的描述符文件(44)是Java描述符文件。
17、如权利要求13至16中任何一个权利要求所述的计算机程序产品,进一步包括用于在移动设备上安装访问更新模块(50)的应用文件(42)中的计算机可执行指令。
18、如权利要求10至17中任何一个权利要求所述的计算机程序产品,其中所述的访问控制信息(54)包括与远程网络资源设备(48)相对应的标识符。
19、一种用于自动配置访问控制点(30,32,56)的访问控制系统,访问控制点(30,32,56)根据访问规则,允许或阻断网络资源设备(48)与用户设备(10)上的应用程序之间的信息传输,该系统包括:
装置,用于接收和读取与应用程序相关的访问控制信息(54);
装置,用于根据所述访问控制信息(54)设置访问控制规则。
20、一种包括访问控制点(30)的移动设备(10),访问控制点(30)根据访问规则,允许或阻断网络资源设备(40,48)与用户设备(10)上的应用程序之间的信息传输,该设备包括:
装置,用于接收和读取与应用程序相关的访问控制信息(54);
装置,用于根据所述访问控制信息(54)设置访问控制规则。
21、如权利要求20所述的移动设备,其中在将应用程序下载到设备的过程中或之后,对该移动设备(10)的处理器进行配置以执行内嵌在设备访问更新模块(50)、用于接收的装置和和用于设置的装置中的程序码。
22、一种包括访问控制点(30)的服务器,访问控制点(30)根据访问规则,允许或阻断网络资源设备(40,48)与用户设备(10)上的应用程序之间的信息传输,该服务器包括:
装置,用于接收和读取与应用程序相关的访问控制信息(54);
装置,用于根据所述访问控制信息(54)设定访问控制规则。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP04251091.7A EP1569410B1 (en) | 2004-02-26 | 2004-02-26 | Method and system for automatically configuring access control |
| EP04251091.7 | 2004-02-26 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1661982A true CN1661982A (zh) | 2005-08-31 |
| CN1661982B CN1661982B (zh) | 2010-05-05 |
Family
ID=34746096
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2005100656219A Expired - Lifetime CN1661982B (zh) | 2004-02-26 | 2005-02-25 | 自动配置访问控制的方法和系统 |
Country Status (4)
| Country | Link |
|---|---|
| EP (1) | EP1569410B1 (zh) |
| CN (1) | CN1661982B (zh) |
| CA (1) | CA2498317C (zh) |
| SG (1) | SG114783A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103348353A (zh) * | 2010-10-06 | 2013-10-09 | 西里克斯系统公司 | 基于移动设备的物理位置对资源访问进行中介调节 |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060035655A1 (en) * | 2004-08-11 | 2006-02-16 | Nokia Corporation | System and method for application distribution |
| DE102006020093A1 (de) * | 2006-04-26 | 2007-10-31 | IHP GmbH - Innovations for High Performance Microelectronics/Institut für innovative Mikroelektronik | Geschütztes Ausführen einer Datenverarbeitungsanwendung eines Diensteanbieters für einen Nutzer durch eine vertrauenswürdige Ausführungsumgebung |
| US8701101B2 (en) | 2007-03-30 | 2014-04-15 | Blackberry Limited | System and method for managing upgrades for a portable electronic device |
| ATE425633T1 (de) * | 2007-03-30 | 2009-03-15 | Research In Motion Ltd | System und verfahren zur verwaltung eines tragbaren elektronischen gerätes |
| CN101197675B (zh) * | 2007-11-14 | 2010-06-09 | 杭州华三通信技术有限公司 | 访问控制列表配置方法及装置 |
| US12309588B2 (en) | 2022-07-19 | 2025-05-20 | T-Mobile Usa, Inc. | Restricting network access for unauthorized user devices |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6779118B1 (en) | 1998-05-04 | 2004-08-17 | Auriq Systems, Inc. | User specific automatic data redirection system |
| DE60037748D1 (de) | 1999-11-01 | 2008-02-21 | White Cell Inc | Verfahren für sicherheit in einem zellularen datensystem |
| WO2001067286A2 (en) | 2000-03-03 | 2001-09-13 | Merinta, Inc. | Framework for a customizable graphics user interface |
| US20020112047A1 (en) | 2000-12-05 | 2002-08-15 | Rakesh Kushwaha | System and method for wireless data terminal management using general packet radio service network |
-
2004
- 2004-02-26 EP EP04251091.7A patent/EP1569410B1/en not_active Expired - Lifetime
-
2005
- 2005-02-24 CA CA2498317A patent/CA2498317C/en not_active Expired - Lifetime
- 2005-02-25 CN CN2005100656219A patent/CN1661982B/zh not_active Expired - Lifetime
- 2005-02-25 SG SG200501252A patent/SG114783A1/en unknown
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103348353A (zh) * | 2010-10-06 | 2013-10-09 | 西里克斯系统公司 | 基于移动设备的物理位置对资源访问进行中介调节 |
| CN103348353B (zh) * | 2010-10-06 | 2016-07-06 | 西里克斯系统公司 | 基于移动设备的物理位置对资源访问进行中介调节 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1569410A1 (en) | 2005-08-31 |
| EP1569410B1 (en) | 2015-07-08 |
| SG114783A1 (en) | 2005-09-28 |
| CA2498317A1 (en) | 2005-08-26 |
| CN1661982B (zh) | 2010-05-05 |
| CA2498317C (en) | 2011-04-05 |
| HK1079638A1 (zh) | 2006-04-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7532882B2 (en) | Method and system for automatically configuring access control | |
| EP1650633B1 (en) | Method, apparatus and system for enforcing security policies | |
| JP4734592B2 (ja) | クライアントリダイレクトによるプライベートネットワークへの安全なアクセス提供方法およびシステム | |
| US8321949B1 (en) | Managing software run in a computing system | |
| JP5396051B2 (ja) | 承認済みファイルと信頼されたドメインのデータベースを作成及び更新する方法及びシステム | |
| US8220050B2 (en) | Method and system for detecting restricted content associated with retrieved content | |
| US8819787B2 (en) | Securing asynchronous client server transactions | |
| US8584240B1 (en) | Community scan for web threat protection | |
| JP4929275B2 (ja) | アプリケーションのアイデンティティおよびランク付けサービス | |
| JP2011044167A (ja) | リモートクライアントの完全性検証を実施するための装置、システム、方法及びコンピュータプログラム製品 | |
| US20090248696A1 (en) | Method and system for detecting restricted content associated with retrieved content | |
| US20110106948A1 (en) | Running Internet Applications with Low Rights | |
| US20120204266A1 (en) | Method for providing an anti-malware service | |
| US8127033B1 (en) | Method and apparatus for accessing local computer system resources from a browser | |
| CN111988292B (zh) | 一种内网终端访问互联网的方法、装置及系统 | |
| US9942267B1 (en) | Endpoint segregation to prevent scripting attacks | |
| JP5322288B2 (ja) | 通信処理装置、通信処理方法、及びプログラム | |
| CN1661982B (zh) | 自动配置访问控制的方法和系统 | |
| EP1462909B1 (en) | A computer for managing data sharing among application programs | |
| US10044728B1 (en) | Endpoint segregation to prevent scripting attacks | |
| KR101215184B1 (ko) | 클라우드 기반의 악성 웹 및 바이러스 스캐닝 시스템 및 방법 | |
| JP2006277633A (ja) | セキュリティ保証機能を備えたコンピュータネットワーク、セキュリティの保証方法、及び、プログラム | |
| KR101058987B1 (ko) | 클라우드 기반의 악성 웹 및 바이러스 필터링 시스템 및 방법 | |
| CN1777879A (zh) | 远程代理服务器委托 | |
| HK1079638B (zh) | 自动配置访问控制的方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee | ||
| CP03 | Change of name, title or address |
Address after: Voight, Ontario, Canada Patentee after: BlackBerry Ltd. Address before: Ontario, Canada Patentee before: Research In Motion Ltd. |
|
| CX01 | Expiry of patent term | ||
| CX01 | Expiry of patent term |
Granted publication date: 20100505 |