背景技术:
本公开涉及远程锁定设备的设备和方法。
当所有者丢失多用户计算设备时,所有者可能不具有将设备远程设置为保护该设备免受未授权访问的状态的全部能力,包括防止该设备上先前被授权访问设备的其他用户进行的访问。用于保护对丢失或被盗设备的访问的当前市场解决方案限于基本位置跟踪、限制对单个用户的访问、以及远程擦除设备存储器。
因此,在本领域中需要改进用于远程锁定设备的设备和方法。
技术实现要素:
下面给出了本公开的一个或多个实现的简化概述,以提供对这样的实现的基本理解。该概述不是所有预期实现的广泛概述,并且既不旨在标识所有实现的关键或重要元素,也不旨在界定任何或所有实现的范围。其唯一目的是以简化的形式呈现本公开的一个或多个实现的一些概念,作为稍后呈现的更详细描述的序言。
一个示例实现涉及一种计算机设备。该计算机设备可以包括:被配置为存储数据和指令的存储器;被配置为与存储器通信的至少一个处理器;与存储器和处理器通信的操作系统,其中操作系统可操作为:接收丢失设备消息,丢失设备消息包括设备标识符和授权用户列表,该设备标识符标识计算机设备,授权用户列表包括标识被授权在丢失状态下访问计算机设备的用户的至少一个用户标识;至少基于接收到丢失设备消息,注销计算机设备上的现有用户并且使计算机设备上的现有用户的凭证无效;激活计算机设备上的锁定屏幕,并且将计算机设备设置为丢失状态;发起登录管理器,登录管理器被配置为识别丢失状态并且将对计算机设备的访问限制为被包括在授权用户列表中的用户;在登录管理器处从用户接收利用用户标识和密码的至少一个登录尝试;当所接收的用户标识与被包括在授权用户列表中的至少一个用户标识之间发生匹配时,在计算机设备处执行所接收的用户标识与被包括授权用户列表中的至少一个用户标识的第一比较,以生成对所接收的用户标识的第一认证;当发生第一认证时,传输所接收的用户标识和密码以执行所接收的用户标识和密码与存储在基于网络的服务器上的凭证的第二比较,以用于对所接收的用户标识和密码的第二认证;以及至少基于第一认证和第二认证来授予对计算机设备的访问。
另一示例实现涉及一种用于限制对计算机设备的访问的方法。该方法可以包括在计算机设备上的操作系统处接收丢失设备消息,丢失设备消息包括设备标识符和授权用户列表,该设备标识符标识计算机设备,授权用户列表包括标识被授权在丢失状态下访问计算机设备的用户的至少一个用户标识。该方法可以包括至少基于接收到丢失设备消息,注销计算机设备上的现有用户并且使计算机设备上的现有用户的凭证无效。该方法可以包括激活计算机设备上的锁定屏幕,并且将计算机设备设置为丢失状态。该方法可以包括发起登录管理器,登录管理器被配置为识别丢失状态并且将对计算机设备的访问限制为被包括在授权用户列表中的用户。该方法可以包括在登录管理器处从用户接收利用用户标识和密码的至少一个登录尝试。该方法可以包括当所接收的用户标识与被包括在授权用户列表中的至少一个用户标识之间发生匹配时,在计算机设备处执行所接收的用户标识与授权用户列表中包括的至少一个用户标识的第一比较,以生成对所接收的用户标识的第一认证。该方法可以包括当发生第一认证时,传输所接收的用户标识和密码以执行所接收的用户标识和密码与在基于网络的服务器上被存储的凭证的第二比较,以用于对所接收的用户标识和密码的第二认证。该方法可以包括至少基于第一认证和第二认证来授予对计算机设备的访问。
另一示例实现涉及一种服务器,该服务器包括被配置为存储数据和指令的存储器和被配置为与存储器通信的至少一个处理器。该服务器还可以包括丢失模式管理器组件、授权用户管理器组件和通知组件,这些组件被配置为与存储器和处理器通信并且可操作为:接收标识丢失的计算机设备的设备丢失通知;接收被授权访问计算机设备的至少一个用户;创建授权用户列表,该授权用户列表包括标识被授权在丢失状态下访问计算机设备的至少一个用户的至少一个用户标识;以及向计算机设备发送丢失设备消息,丢失设备消息包括设备标识符和授权用户列表,该设备标识符标识计算机设备,授权用户列表包括标识被授权在丢失状态下访问计算机设备的用户的至少一个用户标识。
与本公开的实现有关的附加优点和新颖特征将在下面的描述中部分地阐述,并且在对以下内容进行检查或通过实践进行学习之后,对于本领域技术人员将部分地变得更加清楚。
附图说明
在附图中:
图1是根据实现的与示例服务器通信的示例计算机设备的示意性框图;
图2是根据实现的示例服务器的示意性框图;
图3是根据实现的用于与计算机设备一起使用的示例客户端服务的示意性框图;
图4是根据实现的将计算机设备远程锁定为授权用户集合的方法的示例的流程图;
图5是根据实现的限制对计算机设备的访问的方法的示例的流程图;
图6是根据本公开的实现的示例设备的示意性框图;以及
图7是根据本公开的实现的示例服务器的示意性框图。
具体实施方式
本公开涉及用于远程发起和/或将设备标识为丢失或处于被盗状态并且防止对设备的未授权访问的设备和方法。该设备可以是其中多个用户可以登录该设备的多用户设备。该设备和方法可以在设备上执行各种动作以通过例如将对设备的访问限制为设备的授权用户集合来防止对设备的未授权访问。例如,诸如管理员和/或设备所有者等用户可以通过通过网络界面访问用户帐户来将设备远程锁定到授权用户集合或单个用户。授权用户可以基于基于云的账户来定义,该基于云的账户可以例如使用用户的凭证来认证用户。用户(例如,管理员和/或设备所有者)可以标识在设备被定位时哪些用户或用户帐户可以被授权登录设备。所标识的用户集合或单个用户可以是设备上的现有用户,或者可以是可以利用基于云的凭证被认证的新的用户帐户。
一旦用户标识出可以访问设备的授权用户集合,就可以例如使用预定义的传递机制将丢失设备协议消息发送到设备。预定义的传递机制可以基于设备如何被配置为连接到网络而特定于设备。丢失设备协议消息可以包括例如与该设备相对应的设备标识(id)和针对所有授权用户的用户id。设备可以接收丢失设备协议消息,并且可以注销任何登录用户,并且可以立即发起特殊的锁定屏幕。设备还可以被设置为丢失模式状态,并且可以将所接收的授权用户列表存储在例如设备上的安全存储位置。另外,设备可以使设备上的现有用户的所有存储和高速缓存的凭证无效。
特殊的锁定屏幕可以提供关于谁锁定了设备以及如何从丢失模式状态解锁设备的一些引导。设备登录机制可以识别丢失模式状态和授权用户集合,并且可以将登录尝试策划和限制为仅安全设备存储中列出的授权用户集合。另外,设备登录机制可以根据现有的失败登录尝试策略来发起设备重启并且擦除设备存储。
当授权用户登录设备时,成功登录可以被报告给设备上的客户端服务并且设备可以被设置为找到状态。另外,设备可以恢复其他现有的用户访问。
设备的管理员和/或设备所有者可以能够在设备丢失或被盗时远程控制和/或更新哪些用户可以访问该设备。这样,该设备和方法可以提供通过远程控制丢失或被盗设备来保护丢失或被盗设备上的用户数据的能力。另外,该设备和方法可以通过在设备丢失或被盗时限制未授权访问来增强设备安全性。
现在参考图1-图3,其中示出了用于与远程发起和/或将设备标识为丢失或被盗状态并且远程锁定设备的示例计算机设备102和服务器106。当与用户108相关联的计算机设备丢失和/或被盗时,诸如但不限于计算机设备的管理员和/或计算机设备的所有者等用户108可以通过用户帐户访问云服务和/或服务器106。例如,用户108可以访问丢失模式管理器组件21以远程锁定丢失或被盗的计算机设备。用户108可以使用丢失模式管理器组件21向云服务和/或服务器106提供标识丢失或被盗的计算机设备的丢失设备通知10。在所示示例中,丢失或被盗的计算机设备可以是计算机设备102。在实现中,计算机设备102可以是多个用户可以能够在计算机设备102上登录和/或可以在计算机设备102上具有多个用户帐户的多用户设备。例如,多用户设备可以是其中多个用户可以使用唯一身份来登录以进行使用的设备。另外,多用户设备可以包括可以在设备上具有完整的管理功能的多个设备所有者和/或管理员。计算机设备102可以包括可以连接到网络的任何移动或固定计算机设备。计算机设备102可以是例如如下计算机设备,诸如台式或膝上型计算机或平板计算机、物联网(iot)设备、蜂窝电话、游戏设备、混合现实或虚拟现实设备、音乐设备、电视、导航系统、相机、个人数字助理(pda)或手持设备、或者具有与一个或多个其他设备的有线和/或无线连接能力的任何其他计算机设备。
丢失设备通知10可以包括例如与计算机设备102相对应的并且将计算机设备102标识为丢失的计算机设备的设备标识(id)14。另外,丢失设备通知10可以标识由可以访问计算机设备102的用户108选择的一个或多个授权用户id16。例如,可以在用户接口上向用户108呈现与关联于计算机设备102的一个或多个个人有关的信息。例如,一个或多个个人可以在计算机设备102上具有用户帐户。用户108可以选择一个或多个个人作为可以访问计算机设备102的授权用户。此外,用户108可以向授权用户列表添加用于访问计算机设备102的新用户。当用户108无法定位计算机设备102时和/或当用户108怀疑计算机设备102被盗时,用户108可以创建丢失设备通知10。
用户108还可以使用丢失模式管理器组件21创建自定义的和/或特殊的锁定屏幕消息13以在计算机设备102上呈现给可能尝试访问计算机设备102的任何个人。例如,锁定屏幕消息图13可以提供关于谁发起了锁定屏幕的信息,并且可以提供用于解锁计算机设备102的指令。
丢失模式管理器组件21可以与授权用户管理器组件30(图2)通信,该授权用户管理器组件30可以接收由用户108选择的一个或多个授权用户并且可以生成针对计算机设备102的授权用户列表18。另外,授权用户管理器组件30可以访问数据存储12以存储授权用户列表18。每个授权用户列表18可以与对应的设备id14相关联。这样,数据存储12可以包括多个设备id14(例如,多达m个,其中m是整数)以及相关联的授权用户列表18。对于每个设备id14,数据存储12可以在授权用户列表18中包括至少一个用户id16(多达n个,其中n是整数)。此外,每个用户id16可以与凭证33相关联,诸如但不限于用于访问用户帐户的密码。凭证33可以是特定于设备的(例如,用户可以具有用于访问不同设备的不同密码)。另外,用户可以使用相同的凭证33来访问各种设备(例如,用户可以使用相同的密码来访问不同设备上的用户帐户)。这样,数据存储12可以存储授权用户列表18和/或与授权用户列表18中包括的用户相关联的任何凭证33。
服务器106还可以包括可以生成一个或多个消息并且将其发送到计算机设备102的通知组件32(图2)。例如,通知组件32可以向计算机设备102发送丢失设备消息11以向计算机设备102通知丢失设备状态。丢失设备消息11可以是使用预定义的传递机制而被发送到计算机设备102的协议消息。预定义的传递机制可以基于设备如何被配置为连接到网络而特定于设备。例如,具有小区连接性的移动设备可以使用数据连接来接收丢失设备消息11。短消息服务(sms)或无线保真(wi-fi)连接的设备可以使用操作系统(os)定义的命令通道来接收丢失设备消息11。对于windows设备,该设备可以使用windows通知通道来接收丢失设备消息11。此外,丢失设备消息11可以包括计算机设备102的设备id14和授权用户列表18,其中用户id16标识可以访问计算机设备102的授权用户。
计算机设备102可以包括由计算机设备102的处理器24和/或系统存储器26执行的操作系统110。系统存储器26可以被配置用于存储定义操作系统110和/或与操作系统110相关联的数据和/或计算机可执行指令,并且处理器24可以执行操作系统110。系统存储器26的示例可以包括但不限于计算机可用的存储器类型,诸如随机存取存储器(ram)、只读存储器(rom)、磁带、磁盘、光盘、易失性存储器、非易失性存储器及其任何组合。处理器24的示例可以包括但不限于如本文中描述的特别编程的任何处理器,包括控制器、微控制器、专用集成电路(asic)、现场可编程门阵列(fpga)、片上系统(soc)、或其他可编程逻辑或状态机。
操作系统110可以包括可以接收丢失设备消息11并且可以发起对计算机设备102的锁定的客户端服务15。例如,客户端服务15可以接收具有丢失设备消息11的安全令牌,客户端服务15可以使用该安全令牌来认证丢失设备消息11。客户端服务15可以包括锁定组件34(图3),该锁定组件34可以注销当前使用计算机设备102的任何用户并且可以在客户端服务15接收和认证丢失设备消息11时发送锁定屏幕消息13以激活锁定屏幕20。例如,锁定组件34可以使计算机设备102上现有用户的所有存储和高速缓存的凭证无效。这样,计算机设备102上的先前用户的所有存储和高速缓存的凭证可以从计算机设备102中被移除,并且与丢失设备消息11一起接收的授权用户列表18可以控制谁可以访问计算机设备102。锁定屏幕消息13可以被呈现给尝试访问计算机设备102的任何个人。在实现中,锁定屏幕消息13可以是由用户108创建和/或选择的定制消息。例如,锁定屏幕消息13可以提供有关如何解锁计算机设备102的指令。
另外,客户端服务15可以跟踪指示计算机设备102的当前状态的设备状态36(图3)。例如,在接收到丢失设备消息11之后,客户端服务15可以将设备状态36从找到状态40(图3)修改为丢失状态38(图3)。
客户端服务15还可以将所接收的授权用户列表18存储到安全数据存储17。当在丢失状态38期间在计算机设备102上发生登录尝试时,授权用户列表18可以被用于验证用户凭证。
当接收到锁定屏幕消息13时,特殊的登录管理器22可以被激活。登录管理器22可以识别计算机设备102的丢失状态38,并且可以将对计算机设备102的登录尝试限制为在数据存储17中被保存的授权用户列表18中包括的用户。例如,登录管理器22可以仅允许白名单或授权用户(例如,授权用户列表18中包括的用户)登录计算机设备102。计算机设备102还可能需要互联网连接以验证服务器106接收的凭证和用户id。此外,登录管理器22可以根据例如现有的失败登录尝试策略来发起设备重启并且擦除设备存储。
用户109可以通过访问登录管理器22来执行登录尝试19以访问计算机设备102。例如,用户109可以输入用户id23和/或密码31以尝试访问计算机设备102。可以将输入的用户id23与存储在授权用户列表18中的用户id16进行比较,当发生匹配时(例如,用户id23与授权用户列表18中的用户id16相匹配),可以将用户id23和/或密码31传输到服务器106以进一步认证。在一种实现中,可以经由客户端服务15将用户id23和/或密码31传输到服务器106。例如,登录管理器22可以将用户id23和/或密码31传输到客户端服务15。客户端服务15包括认证组件42(图3),该认证组件42可以将用户id23和/或密码31传送到服务器106并且还可以从服务器106接收指示用户id23是否被授权访问计算机设备102的验证消息27。
服务器106可以包括验证可以访问计算机设备102的授权用户的验证组件28(图2)。例如,验证组件28可以将用户id23与在数据存储12中被存储的被授权访问计算机设备102的用户id16的列表进行比较。在实现中,用户108可能已经更新和/或改变了针对计算机设备102的授权用户列表18。例如,用户108可能已经从授权用户列表18中添加和/或去除了用户id16。这样,授权用户列表18可以动态地改变。验证组件28可以在执行验证时访问被授权访问计算机设备102的用户id16的最新列表。另外,验证组件28可以将密码31与与用户id16相关联的凭证33进行比较。
当匹配发生时(例如,用户id23与授权用户列表18中包括的用户id16相匹配,并且密码31与关联于用户id16的所存储的凭证33相匹配),验证组件28可以向客户端服务15发送验证消息27以指示用户109被授权访问计算机设备102。当未发生匹配时(例如,用户id23与授权用户列表18中包括的用户id16不匹配,和/或密码31与凭证33不匹配),验证组件28可以在验证消息27中指示用户109不可以访问计算机设备102。
当验证消息27指示用户109被授权访问计算机设备102时,登录管理器22可以向用户109提供对计算机设备102的访问。登录管理器22可以向客户端服务15报告成功登录25。客户端服务15可以将设备状态36更新为找到状态40,并且可以恢复其他用户对计算机设备102的访问。此外,客户端服务15可以包括报告组件44,该报告组件44向服务器106发送对计算机设备102发生成功登入的报告29。
当验证消息27指示用户id23未被授权访问计算机设备102时,客户端服务15可以限制对计算机设备102的访问。
这样,用户108可以远程锁定计算机设备102,并且可以将对计算机设备102的访问限制为授权用户集合,以通过远程控制丢失或被盗设备来保护丢失或被盗设备上的用户数据。另外,该设备和方法可以通过在设备丢失或被盗时限制未授权访问来增强设备安全性。
现在参考图4,示例方法400可以由云服务和/或服务器106(图1)用来将计算机设备102(图1)远程锁定到授权用户列表18(图1)。可以在下面参考图1的架构和/或图2的服务器106的组件来讨论方法400的动作。
在402,方法400可以包括接收标识丢失的计算机设备的丢失设备通知。当与用户108相关联的计算机设备可能丢失和/或被盗时,诸如但不限于计算机设备的管理员和/或计算机设备的所有者等用户108(图1)可以通过用户帐户访问云服务和/或服务器106。例如,用户108可以访问丢失模式管理器组件21以远程锁定丢失或被盗的计算机设备。用户108可以使用丢失模式管理器组件21向云服务和/或服务器106提供标识丢失或被盗的计算机设备102的丢失设备通知10。例如,丢失设备通知10可以包括与计算机设备102相对应的并且将计算机设备102标识为丢失的计算机设备的设备标识(id)14。在一种实现中,计算机设备102可以是可以能够在计算机设备102上登录和/或可以在计算机设备102上具有多个用户帐户的多用户设备。
在404,方法400可以包括:接收被授权访问计算机设备的至少一个用户。用户108可以选择一个或多个个人作为可以访问计算机设备102的授权用户。例如,可以向用户108呈现与计算机设备102相关联的一个或多个个人(例如,可以在计算机设备102上具有用户帐户的个人)。此外,用户108可以向授权用户列表中添加用以访问计算机设备102的新用户。丢失设备通知10可以标识可以访问计算机设备102的由用户108选择的一个或多个授权用户id16。当用户108无法定位计算机设备102时和/或当用户108怀疑计算机设备102被盗时,用户108可以创建丢失设备通知10。
在406,方法400可以包括创建具有计算机设备的至少一个用户的授权用户列表。授权用户管理器组件30(图2)可以接收由用户108选择的一个或多个授权用户,并且可以生成用于计算机设备102的授权用户列表18。此外,授权用户管理器组件30可以访问数据存储12(图1)以存储授权用户列表18。每个授权用户列表18可以与对应的设备id14相关联。这样,数据存储12可以包括多个设备id14(例如,多达m个,其中m整数)以及相关联的授权用户列表18。对于每个设备id14,数据存储12可以在授权用户列表18中包括至少一个用户id16(多达n个,其中n是整数)。此外,每个用户id16可以与凭证33相关联,诸如但不限于用于访问用户帐户的密码。凭证33可以是设备特定的(例如,用户可以具有用于访问不同设备的不同密码)。另外,用户可以使用相同的凭证33来访问各种设备(例如,用户可以使用相同的密码来访问不同设备上的用户帐户)。这样,数据存储12可以存储授权用户列表18和/或与授权用户列表18上包括的用户相关联的任何凭证33。
在408,方法400可以包括向计算机设备发送丢失设备消息,该丢失设备消息包括设备标识符和授权用户列表,,该设备标识符标识计算机设备,该授权用户列表包括标识被授权在丢失状态下访问计算机设备的用户的至少一个用户标识。服务器106还可以包括可以生成一个或多个消息并且将其发送到计算机设备102的通知组件32(图2)。例如,通知组件32可以向计算机设备102发送丢失设备消息11以向计算机设备102通知丢失设备状态。丢失设备消息11可以是使用预定义的传递机制发送到计算机设备102的协议消息。预定义的传递机制可以基于设备如何被配置为连接到网络而特定于设备。例如,具有小区连接性的移动设备可以使用数据连接来接收丢失设备消息11。sms或wi-fi连接的设备可以使用操作系统(os)定义的命令通道来接收丢失设备消息11。对于windows设备,该设备可以使用windows通知通道来接收丢失设备消息11。另外,丢失设备消息11可以包括计算机设备102的设备id14和授权用户列表18,其中用户id16标识可以在丢失状态下访问计算机设备102的授权用户。
在410,方法400可以可选地包括接收对授权用户列表的更新。用户108可以已经更新和/或改变了计算机设备102的授权用户列表18。例如,用户108可以已经从授权用户列表18中添加和/或去除了用户id16。这样,授权用户列表18可以动态地改变。
在412,方法400可以包括接收请求访问计算机设备的用户的标识。服务器106可以包括接收请求访问计算机设备102的用户的用户id23和/或密码31的验证组件28(图2)。
在414,方法400可以包括确定用户是否被包括在授权用户列表中。验证组件28可以验证可以访问计算机设备102的授权用户。例如,验证组件28可以将为请求访问计算机设备102的用户而接收的用户id23与数据存储12中存储的被授权访问计算机设备102的用户id16的列表进行比较。验证组件28可以在执行验证时访问被授权访问计算机设备102的用户id16的最新列表。另外,验证组件28可以将密码31与与用户id16相关联的凭证33进行比较。
在416,方法400可以包括向计算机设备发送用于验证用户的验证消息。当发生匹配时(例如,用户id23与授权用户列表18中包括的用户id16相匹配,并且密码31与与用户id16相关联的所存储的凭证33相匹配),验证组件28可以向客户端服务15发送验证消息以指示用户被授权访问计算机设备102。
在418处,方法400可以包括向计算机设备发送未授权用户消息。当未发生匹配时(例如,用户id23与授权用户列表18中包括的用户id16不匹配,和/或密码与凭证33不匹配),验证组件28可以在验证消息27中指示用户不可以访问计算机设备102。
这样,用户可以远程发起和/或将设备标识为丢失或处于被盗状态,并且防止对设备的未授权访问。用户可以将设备远程锁定到授权用户集合或单个用户,并且从而限制对设备的访问,以防止对设备的未授权访问。
现在参考图5,示例方法500可以由计算机设备(图1)和/或客户端服务15(图1)用来限制对计算机设备102(图1)的访问。可以在下面参考图1的架构和/或图3的客户端服务15的组件来讨论方法500的动作。在一种实现中,计算机设备102可以是其中多个用户可以使用唯一身份来登录以使用设备102的多用户设备。另外,多用户设备可以包括可以在设备102上具有完全管理能力的多个设备所有者和/或管理员。
在502,方法500可以包括接收丢失设备消息,该丢失设备消息包括设备标识符和授权用户列表,该设备标识符标识该计算机设备,该授权用户列表包括标识被授权在丢失状态下访问计算机设备的用户的至少一个用户标识。例如,客户端服务15(图1)可以接收丢失设备消息11,并且可以发起计算机设备102的锁定。例如,客户端服务15可以接收具有客户端设备15可以使用来认证丢失设备消息11的丢失设备消息11的安全令牌。丢失设备消息11可以向计算机设备102通知丢失设备状态。丢失设备消息11可以是使用预定义的传递机制发送到计算机设备102的协议消息。预定义的传递机制可以基于设备如何被配置为连接到网络而特定于设备。例如,具有小区连接性的移动设备可以使用数据连接来接收丢失设备消息11。sms或wi-fi连接的设备可以使用操作系统(os)定义的命令通道来接收丢失设备消息11。对于windows设备,该设备可以使用windows通知通道来接收丢失设备消息11。另外,丢失设备消息11可以包括计算机设备102的设备id14和授权用户列表18,其中用户id16标识可以访问计算机设备102的授权用户。
在504,方法500可以包括激活计算机设备上的锁定屏幕并且将计算机设备设置为丢失状态。客户端服务15可以包括锁定组件34(图3),该锁定组件34可以注销计算机设备102的任何现有用户,并且可以在客户端服务15接收到丢失设备消息11时发送锁定屏幕消息13以激活锁定屏幕20。例如,锁定组件34可以使计算机设备102上现有用户的所有存储和高速缓存的凭证无效。这样,计算机设备102上的现有用户的所有存储和高速缓存的凭证可以从计算机设备102中被移除,并且与丢失设备消息11一起接收的授权用户列表18可以控制谁可以访问计算机设备102。锁定屏幕消息13可以被呈现给尝试访问计算机设备102的任何个人。在一种实现中,锁定屏幕消息13可以是由用户108创建和/或选择的定制消息。例如,锁定屏幕消息13可以提供有关如何解锁计算机设备102的指令。
另外,客户端服务15可以跟踪指示计算机设备102的当前状态的设备状态36(图3)。例如,在接收到丢失设备消息11时,客户端服务15可以将设备状态36从找到状态40(图3)修改为丢失状态38(图3)。
在506,方法500可以包括存储授权用户列表。客户端服务15还可以将所接收的授权用户列表18存储到安全数据存储17。当在丢失状态38期间在计算机设备102上发生登录尝试时,授权用户列表18可以被用于验证用户凭证。
在508,方法500可以包括激活计算机设备上的特殊的登录屏幕。当接收到锁定屏幕消息13时,可以发起特殊的登录管理器22。登录管理器22可以识别计算机设备102的丢失状态38,并且可以将对计算机设备102的登录尝试限制为被保存在数据存储17中的授权用户列表18中包括的用户。例如,登录管理器22可以仅允许白名单或授权用户(例如,授权用户列表18中包括的用户)登录计算机设备102。计算机设备102还可能需要互联网连接以验证服务器106(图1)接收的凭证和用户id。此外,登录管理器22可以根据例如现有的失败的登录尝试策略来发起设备重启并且擦除设备存储。
在510,方法500可以包括在计算机设备处使用用户id接收至少一个登录尝试。登录管理器22可以接收用户109访问计算机设备102的登录尝试19。例如,用户109可以输入用户id23和/或密码31以尝试访问计算机设备102。
在512,方法500可以包括确定所接收的用户id是否被包括在计算机设备上存储的授权用户列表中。例如,登录管理器22可以将所输入的用户id23与授权用户列表18中存储的用户id16进行比较。
在514,方法500可以包括当匹配没有发生时,拒绝对计算机设备的访问。例如,当登录管理器22确定所接收的用户id23与授权用户列表18中的用户id16不匹配时,登录管理器22可以拒绝对计算机设备102的访问。
在516,方法500可以包括当匹配发生时,确定所接收的用户id是否通过认证。当登录管理器22确定确实发生匹配时(例如,用户id23与授权用户列表18中的用户id16相匹配),可以将用户id23和/或密码31传输到服务器106以进一步认证。在一种实现中,可以经由客户端服务15将用户id23和/或密码31传输到服务器106。例如,登录管理器22可以将用户id23和/或密码31传输到客户端服务15。客户端服务15包括认证组件42(图3),该认证组件42可以将用户id23和/或密码31传送到服务器106并且还可以从服务器106接收指示用户是否被授权访问计算机设备102的验证消息27。
在518,方法500可以包括当用户id和/或密码31被认证时授予对计算机设备的访问。当验证消息27指示用户被授权访问计算机设备102时,登录管理器22可以向用户提供对计算机设备102的访问。登录管理器22可以向客户端服务15报告成功登录25。
在520处,方法500可以包括将计算机设备设置为找到状态。例如,客户端服务15可以将设备状态36更新为找到状态40,并且可以恢复其他用户对计算机设备102的访问。此外,客户端服务15可以包括报告组件44,该报告组件44向服务器106发送对计算机设备102发生成功登入的报告29。
当验证消息指示用户未被授权访问计算机设备102时,方法500可以包括拒绝对计算机设备的访问。例如,当验证消息27指示用户未被授权访问计算机设备102时,客户端服务15可以限制对计算机设备102的访问。
因此,当用户在计算机设备102上执行登录尝试时,可以发生两步认证过程。使用所存储的授权用户列表18在计算机设备102上本地进行第一认证,并且使用存储在远程服务器106或其他远程设备上的凭证33进行第二认证。这样,可以通过对远程服务器106使用两步认证过程来提高设备安全性。
现在参考图6,示出了根据一种实现的示例计算机设备102,与图1相比,图6包括附加的组件细节。在一个示例中,计算机设备102可以包括用于执行与本文中描述的一个或多个组件和功能相关联的处理功能的处理器24。处理器24可以包括单个或多个处理器集或多核处理器。此外,处理器24可以被实现为集成处理系统和/或分布式处理系统。
计算机设备102还可以包括存储器26,诸如用于存储由处理器24执行的应用的本地版本。存储器26可以包括由计算机可使用的存储器类型,诸如随机存取存储器(ram)、只读存储器(rom)、磁带、磁盘、光盘、易失性存储器、非易失性存储器及其任何组合。
此外,计算机设备102可以包括通信组件46,该通信组件46利用本文中描述的硬件、软件和服务来提供与一方或多方的通信的建立和维护。通信组件46可以在计算机设备102上的组件之间以及在计算机设备102与外部设备之间进行通信,该外部设备诸如位于通信网络上的设备和/或串行或本地连接到计算机设备102的设备。例如,通信组件46可以包括一个或多个总线,并且还可以包括分别与可操作用于与外部设备接口的发射器和接收器相关联的发射链组件和接收链组件。
另外,计算机设备102可以包括可以是硬件和/或软件的任何合适的组合的数据存储48,数据存储48提供与本文中描述的实现相结合使用的信息、数据库和程序的大容量存储。例如,数据存储48可以是用于客户端服务15(图1)和/或登录管理器22(图1)的数据仓库。
计算机设备102还可以包括可操作为从计算机设备102的用户接收输入并且还可操作以生成用于呈现给用户的输出的用户接口组件50。用户接口组件50可以包括一个或多个输入设备,包括但不限于键盘、数字键盘、鼠标、触敏显示器、导航键、功能键、麦克风、语音识别组件、能够从用户接收输入的任何其他机制、或其任何组合。此外,用户接口组件50可以包括一个或多个输出设备,包括但不限于显示器、扬声器、触觉反馈机制、打印机、能够向用户呈现输出的任何其他机制、或其任何组合。
在实现中,用户接口组件50可以发射和/或接收与客户端服务15和/或登录管理器22的操作相对应的消息。此外,处理器24执行客户端服务15和/或登录管理器22,并且存储器26或数据存储48可以存储它们。
现在参考图7,示出了根据实现的示例服务器106,与图1和/或图2相比,图7包括附加的组件细节。在一个示例中,服务器106可以包括用于执行与本文中描述的一个或多个组件和功能相关联的处理功能的处理器52。处理器52可以包括单个或多个处理器集或多核处理器。此外,处理器52可以被实现为集成处理系统和/或分布式处理系统。
服务器106还可以包括存储器54,诸如用于存储由处理器52执行的应用的本地版本。存储器54可以包括由计算机可使用的存储器类型,诸如随机存取存储器(ram)、只读存储器(rom)、磁带、磁盘、光盘、易失性存储器、非易失性存储器及其任何组合。
此外,服务器106可以包括通信组件58,该通信组件58利用本文中描述的硬件、软件和服务来提供与一方或多方的通信的建立和维护。通信组件58可以在服务器106上的组件之间以及在服务器106与计算机设备102(图1)和/或服务器106与外部设备之间进行通信,该外部设备诸如位于通信网络上的设备和/或串行或本地连接到服务器106的设备。例如,通信组件58可以包括一个或多个总线,并且还可以包括分别与可操作用于与外部设备接口的发射器和接收器相关联的发射链组件和接收链组件。
另外,服务器106可以包括可以是硬件和/或软件的任何合适的组合的数据存储56,数据存储56提供与本文中描述的实现相结合使用的信息、数据库和程序的大容量存储。例如,数据存储56可以是用于丢失模式管理器组件21(图2)、验证组件28(图2)、授权用户管理器30(图2)和/或通知组件32(图2)的数据仓库。另外,处理器52执行丢失模式管理器组件21、验证组件28、授权用户管理器30和/或通知组件32,并且存储器54或数据存储56可以存储它们。
如本申请中使用的,术语“组件”、“系统”等旨在包括计算机相关实体,诸如但不限于硬件、固件、硬件和软件的组合、软件、或执行软件。例如,组件可以是但不限于在处理器上运行的进程、处理器、对象、可执行文件、执行线程、程序和/或计算机。作为说明,在计算机设备上运行的应用和计算机设备都可以是组件。一个或多个组件可以驻留在进程和/或执行线程中,并且组件可以位于一个计算机上和/或被分布在两个或更多个计算机之间。另外,这些组件可以从其上存储有各种数据结构的各种计算机可读介质来执行。这些组件可以通过本地和/或远程过程进行通信,诸如根据具有一个或多个数据分组的信号,诸如来自与本地系统、分布式系统中的另一组件交互、和/或跨诸如互联网等网络通过信号的方式与其他系统交互的一个组件的数据。
此外,术语“或”旨在表示包括性的“或”而不是排他性的“或”。也就是说,除非另有说明或从上下文中清楚得知,否则短语“x使用a或b”旨在表示任何自然的包括性的排列。也就是说,以下任何一种情况都满足短语“x使用a或b”:x使用a;x使用b;或者x使用a和b两者。此外,除非另有说明或从上下文中清楚得知指向单数形式,否则本申请和所附权利要求书中使用的冠词“一个(a)”和“一个(an)”通常应当被理解为“一个或多个”。
就可以包括多个设备、组件、模块等的系统提出了各种实现或特征。应当理解和意识到,各种系统可以包括附加的设备、组件、模块等,和/或可以并非包括结合附图而讨论的所有设备、组件、模块等。也可以使用这些方法的组合。
结合本文中公开的实施例而描述的方法的各种说明性的逻辑、逻辑块和动作可以用被设计为执行此处描述的功能的通用处理器、数字信号处理器(dsp)、专用集成电路(asic)、现场可编程门阵列(fpga)或其他可编程逻辑器件、分立门或晶体管逻辑、分立硬件组件或其任何组合中的特别编程的一者来实现或执行。通用处理器可以是微处理器,但是替代地,处理器可以是任何常规处理器、控制器、微控制器或状态机。处理器也可以被实现为计算机设备的组合,例如,dsp和微处理器的组合、多个微处理器、与dsp核心相结合的一个或多个微处理器、或任何其他这样的配置。另外,至少一个处理器可以包括可操作以执行上述步骤和/或动作中的一个或多个的一个或多个组件。
此外,结合本文中公开的实现而描述的方法或算法的步骤和/或动作可以直接以硬件、由处理器执行的软件模块或这两者的组合中体现。软件模块可以驻留在ram存储器、闪存、rom存储器、eprom存储器、eeprom存储器、寄存器、硬盘、可移动磁盘、cd-rom、或本领域已知的任何其他形式的存储介质中。示例性存储介质可以耦合到处理器,使得处理器可以从存储介质读取信息以及可以向存储介质写入信息。或者,存储介质可以与处理器成一体。此外,在一些实现中,处理器和存储介质可以驻留在asic中。另外,asic可以驻留在用户终端中。或者,处理器和存储介质可以作为分立组件驻留在用户终端中。另外,在一些实现中,方法或算法的步骤和/或动作可以作为代码和/或指令中的一个或任何组合或集合驻留在机器可读介质和/或计算机可读介质上,机器可读介质和/或计算机可读介质可以并入计算机程序产品中。
在一个或多个实现中,所描述的功能可以以硬件、软件、固件或其任何组合来实现。如果以软件实现,则功能可以作为一个或多个指令或代码存储或传输在计算机可读介质上。计算机可读介质包括计算机存储介质和通信介质,包括有助于将计算机程序从一个地方转移到另一地方的任何介质。存储介质可以是计算机可以访问的任何可用介质。作为示例而非限制,这样的计算机可读介质可以包括ram、rom、eeprom、cd-rom或其他光盘存储、磁盘存储或其他磁性存储设备、或者可以用于以指令或数据结构的形式存储所需要的程序代码并且可以由计算机访问的任何其他介质。本文中使用的磁盘和光盘包括光盘(cd)、激光光盘、光碟、数字多功能光盘(dvd)、软盘和蓝光光盘,其中磁盘通常以磁性方式复制数据,而光盘通常使用激光以光学方式复制数据。上述的组合也应当被包括在计算机可读介质的范围内。
尽管已经结合本公开的示例描述了本公开的实现,但是本领域技术人员将理解,可以在不脱离本发明的范围的情况下对上述实现进行变化和修改。通过考虑说明书或根据本文中公开的示例的实践,其他实现对于本领域技术人员将是很清楚的。
1.一种计算机设备,包括:
存储器,被配置为存储数据和指令;
至少一个处理器,被配置为与所述存储器通信;
操作系统,被配置为与所述存储器和所述处理器通信,其中所述操作系统可操作为:
接收丢失设备消息,所述丢失设备消息包括设备标识符和授权用户列表,所述设备标识符标识所述计算机设备,所述授权用户列表包括标识被授权在丢失状态下访问所述计算机设备的用户的至少一个用户标识;
至少基于接收到所述丢失设备消息,注销所述计算机设备上的现有用户并且使所述计算机设备上的所述现有用户的凭证无效;
激活所述计算机设备上的锁定屏幕,并且将所述计算机设备设置为所述丢失状态;
发起登录管理器,所述登录管理器被配置为识别所述丢失状态并且将对所述计算机设备的访问限制为被包括在所述授权用户列表中的用户;
在所述登录管理器处从用户接收利用用户标识和密码的至少一个登录尝试;
当接收的所述用户标识与被包括在所述授权用户列表中的所述至少一个用户标识之间发生匹配时,在所述计算机设备处执行接收的所述用户标识与被包括在所述授权用户列表中的所述至少一个用户标识的第一比较,以生成对接收的所述用户标识的第一认证;
当发生所述第一认证时,传输接收的所述用户标识和所述密码以执行接收的所述用户标识和所述密码与基于网络的服务器上的存储的凭证的第二比较,以用于对接收的所述用户标识和所述密码的第二认证;以及
至少基于所述第一认证和所述第二认证来授予对所述计算机设备的访问。
2.根据权利要求1所述的计算机设备,其中所述操作系统还可操作为:
基于所述第二认证接收指示所述用户是否被授权访问所述计算机设备的验证消息,其中当接收的所述用户标识、所述密码和存储的所述凭证之间发生匹配时,所述验证消息指示所述用户被授权访问所述计算机设备,以及
其中当接收的所述用户标识、所述密码和存储的所述凭证之间没有发生匹配时,所述验证消息指示所述用户未被授权访问所述计算机设备。
3.根据权利要求2所述的计算机设备,其中所述操作系统还可操作为:当所述用户标识与被包括在所述授权用户列表中的所述至少一个用户标识不匹配或者所述验证消息指示所述用户未被授权访问所述计算机设备时,拒绝对所述计算机设备的访问。
4.根据权利要求1所述的计算机设备,其中所述授权用户列表包括:标识被授权在所述丢失状态下访问所述计算机设备的多个用户的多个用户标识。
5.根据权利要求1所述的计算机设备,其中所述操作系统还可操作为:当对所述计算机设备的访问被授予时,将所述计算机设备设置为找到状态。
6.根据权利要求1所述的计算机设备,其中所述计算机设备是多用户计算机设备。
7.一种用于限制对计算机设备的访问的方法,所述方法包括:
在所述计算机设备上的操作系统处接收丢失设备消息,所述丢失设备消息包括设备标识符和授权用户列表,所述设备标识符标识所述计算机设备,所述授权用户列表包括标识被授权在丢失状态下访问所述计算机设备的用户的至少一个用户标识;
至少基于接收到所述丢失设备消息,注销所述计算机设备上的现有用户并且使所述计算机设备上的所述现有用户的凭证无效;
激活所述计算机设备上的锁定屏幕,并且将所述计算机设备设置为所述丢失状态;
发起登录管理器,所述登录管理器被配置为识别所述丢失状态并且将对所述计算机设备的访问限制为被包括在所述授权用户列表中的用户;
在所述登录管理器处从用户接收利用用户标识和密码的至少一个登录尝试;
当接收的所述用户标识与被包括在所述授权用户列表中的所述至少一个用户标识之间发生匹配时,在所述计算机设备处执行接收的所述用户标识与被包括在所述授权用户列表中的所述至少一个用户标识的第一比较,以生成对接收的所述用户标识的第一认证;
当发生所述第一认证时,传输接收的所述用户标识和所述密码以执行接收的所述用户标识和所述密码与基于网络的服务器上的存储的凭证的第二比较,以用于对接收的所述用户标识和所述密码的第二认证;以及
至少基于所述第一认证和所述第二认证来授予对所述计算机设备的访问。
8.根据权利要求7所述的方法,其中所述方法还包括:
基于所述第二认证接收指示所述用户是否被授权访问所述计算机设备的验证消息,其中当接收的所述用户标识、所述密码和存储的所述凭证之间发生匹配时,所述验证消息指示所述用户被授权访问所述计算机设备,以及
其中当接收的所述用户标识、所述密码和存储的所述凭证之间没有发生匹配时,所述验证消息指示所述用户未被授权访问所述计算机设备。
9.根据权利要求8所述的方法,其中所述操作系统还可操作为当:所述用户标识与被包括在所述授权用户列表中的所述至少一个用户标识不匹配或者所述验证消息指示所述用户未被授权访问所述计算机设备时,拒绝对所述计算机设备的访问。
10.根据权利要求7所述的方法,其中所述授权用户列表包括:标识被授权在所述丢失状态下访问所述计算机设备的多个用户的多个用户标识。
11.根据权利要求7所述的方法,其中所述操作系统还可操作为当对所述计算机设备的访问被授予时,将所述计算机设备设置为找到状态。
12.一种服务器,包括:
存储器,被配置为存储数据和指令;
至少一个处理器,被配置为与所述存储器通信;
丢失模式管理器组件、授权用户管理器组件和通知组件,被配置为与所述存储器和所述处理器通信,可操作为:
接收标识丢失的计算机设备的设备丢失通知;
接收被授权访问所述计算机设备的至少一个用户;
创建授权用户列表,所述授权用户列表包括标识被授权在丢失状态下访问所述计算机设备的所述至少一个用户的至少一个用户标识;以及
向所述计算机设备发送丢失设备消息,所述丢失设备消息包括设备标识符和授权用户列表,所述设备标识符标识所述计算机设备,所述授权用户列表包括标识被授权在丢失状态下访问所述计算机设备的用户的所述至少一个用户标识。
13.根据权利要求12所述的服务器,其中所述授权用户管理器组件还可操作为存储所述授权用户列表并且接收对所述授权用户列表的更新。
14.根据权利要求12所述的服务器,还包括被配置为与所述存储器和所述处理器通信的验证组件,所述验证组件可操作为:
接收请求对所述计算机设备的访问的用户的标识和密码;
确定所述标识和所述密码是否同与被包括在所述授权用户列表中的所述至少一个用户标识相关联的存储的凭证相匹配;以及
向所述计算机设备发送验证消息,
其中当接收的所述用户标识、所述密码和存储的所述凭证之间发生匹配时,所述验证消息指示所述用户被授权访问所述计算机设备,以及
其中当接收的所述用户标识、所述密码和存储的所述凭证之间没有发生匹配时,所述验证消息指示所述用户未被授权访问所述计算机设备。
15.根据权利要求14所述的服务器,其中所述授权用户列表包括标识被授权在丢失状态下访问所述计算机设备的多个用户的多个用户标识。
技术总结