Способ и система ассоциирования агентов управления устройством с пользователем устройства

Область техники

Изобретение относится к области управления устройствами, а именно к системам и способам ассоциирования агентов управления устройством с пользователем устройства.

Уровень техники

С целью осуществления контроля в операционных системах устройств, как правило, реализована поддержка различных протоколов управления мобильным устройством через агенты управления. Агенты управления мобильным устройством предназначены для решения различных задач, таких как, например, задание политик (задание минимальной длины пароля, задание правил блокировки устройств и максимального числа попыток ввода неправильного пароля) или удаленного запуск удаления определенных данных с потерянного или украденного устройства.

Список поддерживаемых протоколов управления, как правило, зависит от используемого мобильного устройства и от установленной на нем операционной системы. Так, например, в смартфонах iPhone под управлением операционной системы iOS, начиная с версии 4.0, реализована поддержка протоколов Exchange ActiveSync (EAS) и Mobile Device Management (iOS MDM). При этом наборы функций управления, реализованные в каждом из протоколов, различаются. Так, например, в протоколе EAS реализована функция установки длительности хранения сообщений электронной почты для синхронизации и функция требования шифрования устройства, которые не предусмотрены в протоколе iOS MDM. В свою очередь, в протоколе iOS MDM существуют, например, функции удаленного блокирования устройства и сброса пароля, которые не реализованы в протоколе EAS.

Зачастую в одной корпоративной сети используются различные мобильные устройства, которые поддерживают различные протоколы управления и на которых, соответственно, реализованы различные наборы функций управления агентами управления. Эти протоколы для администратора сети представлены в виде отдельных соединений, как это показано на Фиг.1 управляемых отдельными сервисами 130, которые напрямую не имеют связи с конкретным устройством и владельцем этого устройства, поэтому администратору корпоративной сети неудобно осуществлять управление этими устройствами. Для применения политик для некоторого пользователя необходимо выбирать устройство указанного пользователя и протокол, по которому будет применяться политика вручную, что в условиях крупной корпоративной сети трудозатратно.

Изучая руководства программного обеспечения для работы с корпоративными системами при помощи мобильных устройств, представленные на рынке, патентные публикации, был выделен ряд решений, который позволяет частично решать поставленную задачу. Например, программные решения, представленные на рынке, например 3CX и SysAid, предлагают пользователю вручную связывать агент управления с центром управления в корпоративной сети.

Патент US 8259568 описывает возможные способы автоматической идентификации подключаемого устройства, но не решает задачи ассоциирования агентов управления с центром управления. Патент US 8495700 решает задачи применения политик к устройствам пользователя и сбора информации об устройстве, позволяющей идентифицировать устройство, но не решает задачи определения пользователя устройства и однозначной ассоциации агента управления с пользователем и центром управления в корпоративной сети.

Анализ предшествующего уровня техники показал, что текущие решения не позволяют создать систему, способную в автоматическом режиме устройству соединяться с центром управления корпоративной сети и осуществлять ассоциирование агентов управления устройством с пользователем и центром управления.

Раскрытие изобретения

Настоящее изобретение предназначено для управления мобильными устройствами.

Технический результат настоящего изобретения заключается в упрощении управления устройствами корпоративной сети путем ассоциирования пользователей этих устройств с агентами управления этими устройствами

Способ ассоциирования агента управления устройством с пользователем устройства, в котором: обнаруживают незарегистрированный агент управления устройством, установленный на устройстве в сети; собирают информацию об агенте управления устройством, устройстве на котором установлен агент управления и, по меньшей мере, одном пользователе данного устройства; идентифицируют устройство, на котором установлен незарегистрированный агент управления, на основании анализа информации собранной об агенте управления устройством, устройстве на котором установлен агент управления и, по меньшей мере, одном пользователе данного устройства; идентифицируют пользователя устройства, которое было определенного ранее, на основании информации собранной об агенте управления устройством, устройстве на котором установлен агент управления и, по меньшей мере, одном пользователе данного устройства; ассоциируют агент управления идентифицированного устройства с пользователем устройства.

В частном случае незарегистрированный агент управления устройством обнаруживают при установке соединения агента управления устройством со средством управления.

В другом частном случае незарегистрированный агент управления устройством обнаруживают при опросе подключенных к сети устройств на доступность агентов управления устройствами.

Еще в одном частном случае устройство идентифицируют путем сравнения собранной информации об агенте управления устройством, устройстве на котором установлен агент управления и, по меньшей мере, одном пользователе данного устройства с идентификационными данными известных устройств сети. В частном случае реализации устройство идентифицируют путем занесения идентификационных данных устройства в базу данных известных устройств.

Система ассоциирования агента управления устройством с пользователем, которая содержит: агент управления устройством, предназначенный для предоставления информации средству управления; базу данных, предназначенную для хранения ассоциаций пользователей с агентами управления устройствами; средство управления, предназначенное для обнаружения незарегистрированного агента управления устройством, установленным на устройстве в сети, сбора информации об агенте управления устройством, устройстве, на котором установлен агент управления и, по меньшей мере, одном пользователе данного устройства, идентификация устройства, на основании анализа собранной информации, идентификации пользователя идентифицированного устройства на основании собранной информации, ассоциирования агента управления идентифицированного устройства с идентифицированным пользователем устройства.

В частном случае агент управления дополнительно устанавливает соединение со средством управления.

В другом частном случае средство управления дополнительно предназначено для обнаружения незарегистрированных агентов управления, при установке соединения агента управления устройством со средством управления.

Еще в одном частном случае средство управления дополнительно предназначено для обнаружения незарегистрированных агентов управления, при опросе устройств, подключенных к сети, на доступность агентов управления устройствами.

В частном случае база данных дополнительно предназначена для хранения идентификационных данных известных устройств сети.

Краткое описание чертежей

Сопровождающие чертежи включены для обеспечения дополнительного понимания изобретения и составляют часть этого описания, показывают варианты осуществления изобретения и совместно с описанием служат для объяснения принципов изобретения.

Заявленное изобретение поясняется следующими чертежами, на которых:

Фиг.1 изображает пример схемы взаимодействия мобильных устройств с сервером управления;

Фиг.2 изображает уровни абстракции элементов при управлении по пользователям;

Фиг.3 изображает способ ассоциирования пользователя с агентами управления устройствами;

Фиг.4 изображает систему ассоциирования пользователя с агентами управления устройствами;

Фиг.5 изображает использование системы ассоциирования пользователя с агентами управления устройствами при управлении по пользователям;

Фиг.6 изображает возможные варианты представления политик;

Фиг.7 изображает пример компьютерной системы общего назначения.

Описание вариантов осуществления изобретения

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.

На Фиг.1 представлен пример схемы взаимодействия мобильных устройств с сервером управления 100 в корпоративной сети 140. Каждое из мобильных устройств 110 поддерживает один или несколько протоколов управления, которые поддерживаются через различные агенты 120 на стороне устройств 110 и через сервисы 130 со стороны сервера управления 100. Под агентами управления устройством 120 понимается программное обеспечение, запускаемое на управляемом устройстве, в частном случае это программное обеспечение является частью ОС. Агенты управления 120 обрабатывают данные о конфигурации и функционировании управляемых устройств и преобразуют их в формат удобный для поддержания протокола или из него. Мобильные устройства 110 могут быть соединены с сервером управления 100 с использованием различных известных из области техники технологий связи, таких как, например, Wi-Fi, Bluetooth, GSM и т.д. Из указанной схемы видно, что сервер управления 100 не имеет возможности управлять всеми мобильными устройствами ПО с использованием какого-либо одного определенного протокола, так как нет единого агента 120 и сервиса 130, которые поддерживали бы все протоколы. И если указанные устройства принадлежат одному пользователю, то необходимо настраивать политику для данного пользователя на каждом устройстве отдельно по выбранному протоколу.

Ассоциация устройств и агентов управления с конкретным пользователем изображена на Фиг.2. В указанном варианте управление агентами производится для каждого пользователя централизовано, а не в отдельности. При доступности нового агента в корпоративной сети, агент встраивается в существующую топологию (однозначно ассоциируется с пользователем и устройством). При подобном связывании администратор сервера управления 100 видит не множество связей от агентов управления 120, установленных на устройствах 110 и для сервера 100, не связанных однозначно с устройством и пользователем, а пользователей 200, для которых необходимо применить политики. В такой системе администратор сервера управления 100 посылает команды управления пользователям и группам пользователей и отстранен от топологии (о том какими агентами управляются устройства 100 и каким пользователям устройства принадлежат, эти функции выполняет наше изобретение). Таким образом, управление устройствами выносится на другой уровень абстракции.

Фиг.3 отображает способ ассоциирования пользователя с устройствами 110 и агентами 120. На этапе 300 обнаруживается незарегистрированный агент управления 120 устройством 110. В частном случае обнаружение происходит при попытке установки соединения с сервером управления 100. В другом частном случае незарегистрированный агент обнаруживают при опросе устройств, подключенных к сети, на доступность сетевых служб или агентов управления. Далее на этапе 310 собирают информацию об устройстве 110, на котором обнаружен незарегистрированный агент управления 120 и самом агенте управления 120. В качестве информации может выступать любая информация, которая поможет идентифицировать устройство, например, адреса различных сетевых уровней (MAC, IP), установленные сервисы, информации об аутентификации из заголовков протоколов, международный идентификатор мобильного оборудования (IMEI), идентификационный номер SIM-карты (ICCID, англ. Integrated Circuit Card ID), протокол используемый агентом управления, модель операционной системы, идентификационный номер устройства (DeviceID). На этапе 320 идентифицируют устройство, на котором установлен агент управления, на основании собранной информации на этапе 310. В частном случае под идентификацией устройства понимается опознание устройства уже известного в данной сети. В другом частном случае, если устройство ранее было неизвестно в данной сети, то устройство будет идентифицировано (создано) посредством занесения его идентификационных данных в базу данных, которая будет описана ниже. Далее на этапе 330 определяют пользователя, которому принадлежит данное устройство. В частном случае, когда устройство уже известно в сети, пользователь устройства определяется запросом к базе данных, которое будет описано ниже. В другом частном случае, когда устройство не было известно ранее, применяются способы позволяющие сопоставить пользователя и устройство. Например, при доступе ранее неизвестного устройства к корпоративной сети, у устройства запрашиваются аутентификационные данные или агентом управления с устройства собираются регистрационные данные. Данные, предоставленные устройством, в частном случае, будут однозначно соответствовать пользователю, зарегистрированному в сети. На этапе 340 (т.е. когда известен агент управления, определено устройство и пользователь данного устройства) ассоциируют агент управления данного устройства с пользователем данного устройства, например, указав соответствие пользователь - устройство - агент в базе данных.

Фиг.4 изображает систему ассоциирования агентов управления с пользователями. Средство управления 400 обнаруживает незарегистрированный агент управления устройством 120. Далее средство управления 400 собирает информацию об устройстве и установленном агенте и идентифицирует устройство, на котором установлен агент управления. В частном случае под идентификацией устройства понимается опознание устройства, уже известного в данной сети, при опознании идентификационные данные устройства сравниваются с идентификационными данными известных устройств из базы данных 410. Возможный вариант базы данных представлен на Фиг.4, база 410 включает в себя три типа данных: пользователя, идентификационные данные устройств 110 пользователя и идентификационные данные агентов управления 120 (тип поддерживаемого протокола и идентификационный номер устройства, на котором установлен агент, например EASDeviceID, также в качестве идентификации может использоваться тип агента ActiveSync, iOS MDM и т.д.). В другом частном случае, если устройство ранее было неизвестно в данной сети, то устройство будет определено посредством занесения его идентификационных данных в базу данных 410. Далее средство управления 400 определяет пользователя, которому принадлежит данное устройство. В частном случае, когда устройство уже известно в сети, пользователь устройства определяется запросом к базе данных 410. В другом частном случае, когда устройство не было известно ранее, применяются способы позволяющие сопоставить пользователя и устройство. Например, при доступе ранее неизвестного устройства к корпоративной сети 140, для доступа к сети у устройства запрашиваются аутентификационные данные. Аутентификационные данные, в частном случае, будут однозначно соответствовать пользователю, зарегистрированному в сети и храниться, например, в базе учетных записей 420, которая используется сервером управления при авторизации и хранит политики. Средство управления 400, определив пользователя ранее неизвестного устройства, заносит полученную информацию в базу данных 410. Когда известен агент управления, определено устройство и пользователь данного устройства, ассоциируют агент управления данного устройства с пользователем данного устройства, например, указав соответствие пользователь - устройство - агент в базе данных 410.

Частный случай использования описанной системы можно проиллюстрировать следующим примером. На устройство 110, ранее не использовавшееся в сети, скачивается, например, из магазина приложений агент управления устройством 120 и устанавливается. При установке агент управления устройством 120 получает порт и адрес сервера администрирования 100, например http://sc.kaspersky.com:8080. После установки агент 120 подключается к серверу администрирования 100. Средство управления 400 обнаруживает соединение от незарегистрированного агента управления устройством 120. Средство управления 400 организует ряд запросов к устройству 110 для получения идентификационных данных устройства и определяет тип агента управления устройством 120 по типу протокола используемого агентом управления. Средство управления 400 получает идентификационные данные от устройства 110. Средство управления 400, обратившись к базе данных 410, произведя сравнение полученных идентификационных данные с идентификационными данными известных устройств, не обнаруживает используемое устройство среди известных устройств в связи с чем средство управления идентифицирует используемое устройство путем помещения в базу данных 410 идентификационных данных нового устройства 110. Средство управления 400 запрашивает аутентификационные данные, используемые пользователем устройства для доступа к ресурсам корпоративной сети 140. Далее средство управления 400 делает запрос к базе учетных записей 420 для определения пользователя, которому принадлежат аутентификационные данные, предоставленные устройством. Сравнивая данные, средство управления 400 определяет пользователя. Данные о пользователе также заносятся в базу данных 410. В заключении, средство управления 400 ассоциирует пользователя с агентом управления устройством 120. В базу данных 410 заносятся идентификационные данные агента управления 120, используемого на устройстве 110.

Фиг.5 изображает использование результатов работы описанной выше системы. Администратору сервера управления 100 необходимо применить политику к пользователю или группе пользователей. В частном случае политика 600 имеет вид, представленный на Фиг.6. Средство управления 400 получает эту политику, по заголовку политики определяет пользователя, по которому необходимо осуществить управление. Средство управления 400 получает из базы данных 410 информацию об устройствах 110, которые принадлежат указанному в политике 600 пользователю и агенты управления 120, установленные на этих устройствах. Система управления 400 выбирает агент управления 120 для каждого из устройств пользователя для применения политики. Подробное описание технологии изложено в заявке us application number 13/730,557. Агент управления 120 выбирается, например, тот который позволяет применить политику максимально быстро. Выбрав агент управления 120, средство управления формирует уникальный токен вида DeviceID+AgentID и формирует измененные политики 610, где созданный токен заменяет информацию о пользователе в заголовке политики. Средство управления передает измененные политики 610 средству управления агентами 510, количество измененных политик 610, в частном случае, соответствует количеству принадлежащих пользователю устройств. Средство управления агентами 400, используя токен, выбирает соответствующий сервис 130 для агента управления 120, указанного в токене, и применяет политики к соответствующим устройствам. Таким образом, администратору не нужно знать какие устройства принадлежат пользователю, и какие агенты на них установлены для управления устройствами. Предложенное изобретение позволяет создать систему, используя которую администратор может осуществлять управление по пользователям, а система автоматически осуществлять управление по устройствам.

Фиг.7 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш-карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п.Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг.6. В вычислительной сети могут присутствовать также и другие устройства, например маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.