用于使用一个或多个策略处置器促进多因子认证策略实施的系统和方法

技术领域

本公开总体上涉及计算安全，并且更具体地涉及用于使用一个或多个策略处置器促进多因子认证策略实施的系统和方法。

背景技术

近年来，客户端的安全性已经成为当前客户端-服务器模型中的薄弱环节。当前的客户端-服务器模型通常包括管理认证策略的企业服务器以及在每个客户端节点上本地地实施认证策略的一个或多个客户端节点。用户可以通过首先认证他们自己来经由客户端节点请求访问资源。安全凭证(诸如用户名和相应的密码)已经用了数十年但是现在面临用户期望管理几十个(如果不是上百个)密码的可用性挑战。可替代的或附加的解决方案涉及使用生物计量学、可穿戴设备和/或触敏输入设备来认证用户。

附图描述

图1是根据本公开的教导被构建以便促进多因子认证策略实施的示例分布式计算环境的示意性说明。

图2和图3示出了包括可以被执行以便控制对图1的示例客户端环境中的受控资源的访问的伪代码的示例多因子认证策略。

图4是图1的示例策略处置器的示例实现方式的示意性说明。

图5是表示可以被执行以便配置图1的分布式计算环境中的多因子认证策略的示例机器可读指令的流程图。

图6是表示可以被执行以便促进多因子认证策略实施的示例机器可读指令的流程图。

图7是表示可以被执行以便配置图1的分布式计算环境中的多因子认证策略的示例机器可读指令的流程图。

图8是表示可以被执行以便实施图1的分布式计算环境中的多因子认证策略的示例机器可读指令的流程图。

图9是可以执行图5至图8的示例机器可读指令以便分别实现图1的示例策略管理器和/或图1和/或图4的示例策略处置器的示例处理器平台的示意性说明。

具体实施方式

在此公开的系统、方法、装置和/或制品促进使用分布在客户端环境中的一个或多个策略处置器来管理所述客户端环境中的多因子认证策略。多因子认证(MFA)是用于简单密码的附加或可替代用户认证方法。实施多因子认证的系统在用户能够访问所请求的受控资源之前可能要求多个安全凭证，诸如用户名/密码、生物计量学、可穿戴设备、和/或触敏输入设备。MFA策略(有时被称为“全局策略”)是可以使用例如逻辑与和/或逻辑或运算符组合的子策略集合(例如，因子，诸如安全凭证、上下文要求等等)。例如，可以通过满足(1)与来自指纹读取器的传感器输入相对应的第一因子或(OR)(2)与来自照相机的传感器输入相对应的第二因子与(AND)与用户名/密码组合相对应的第三因子来确定是否符合包括两个策略的MFA策略。在客户端环境中管理MFA策略包括将所述MFA策略配置到(例如，部署、提供等等)所述客户端环境并且然后当请求访问受所述客户端环境控制的资源时实施所述MFA策略。在某些示例中，子策略涉及认证正在请求访问受控资源的用户的不同级别或类型。子策略基于不同的强度级别处理其安全凭证(例如，用户知道的某些东西，诸如用户名/密码组合；用户具有的某些东西，诸如智能卡；和/或用户呈现的某些东西，诸如生物计量特征)。例如，用于验证安全凭证的策略或子策略可以包括：用于检查来自传感器的输入是否满足符合阈值的第一子策略、用于检查所述传感器是否满足最小安全强度标准的第二子策略以及用于检查这些安全凭证是否是在可信传感器处获得的第三子策略。因此，策略和/或子策略可以包括附加子策略。比如，在上述示例中，第一策略或子策略可能要求用于匹配被授权指纹签名的指纹扫描。第一策略或子策略可以包括：用于检查指纹读取器的安全强度级别的第二子策略以及用于检查指纹读取器是否是可信指纹读取器的第三子策略。在某些这种示例中，可以仅在首先认为符合第二和第三子策略时才测试第一策略或子策略。如在此所使用的，受控资源可以是具有一个或多个相关联的访问控制限制和/或规则的任何文件、文件夹、外围设备、传感器、密钥、服务或实体。受控资源可以针对不同的人员按照不同的规则来处理。例如，第一用户当访问文件时可以具有只读权限，而第二用户可以在访问相同的文件时具有全部控制(例如，读和/或写)权限。

在本文公开的某些示例中，策略管理器为分布在客户端环境中的策略处置器提供MFA策略。在这种示例中，MFA策略由策略处置器配置并实施。在某些示例中，策略处置器由软件(诸如操作系统和/或硬件/固件组件，诸如与用户对接以便执行认证(例如用于提供用户名/密码组合证书的键盘)、执行活性测试(例如，用于提供视网膜扫描证书的照相机)或执行用户存在采样(例如，用于提供接近度证书的NFC功能设备)的传感器)实现。在某些示例中，策略加固政策被应用到策略处置器。加固包括通过降低其对例如未授权恶意软件的脆弱性来保护系统的过程。示例策略加固政策包括隔离主机和/或客户端环境的输入/输出、处理和/或存储器的机制。这些受控资源隔离机制可以有时被称为可信执行环境(TEE)。在本文公开的示例中，策略处置器可以在可信执行环境中执行。同样，策略处置器能够证明其真实性(有时被称为“证明(Attestation)”)，由此确保从所述策略处置器获得的消息(例如，受控资源访问请求、传感器输入等等)可以被作为真实消息处理。

在某些示例中，不同的技术可以用于在客户端环境中实现策略处置器。例如，技术包括“管理引擎(Manageability Engine，ME)”、“融合安全引擎(ConvergedSecurity Engine，CSE)”、“安全元素组件(Secure Element Component，SEC)”、“Chaabi”、“软件防护扩展(Software Guard Extensions，SGX)”、“虚拟化技术(VirtualizationTechnology，VT-X)”和/或“可信执行技术(Trusted Execution Technology，TXT)”。在某些示例中，由ARM架构定义的“信任区(TrustZone)”技术可以结合ARM架构使用从而定义可以结合谷歌“可信(Trusty)”操作系统使用的信任区技术。但是，在其他示例中，可以使用运行各种可信OS系统(例如，SE-Linux)的云服务器。

在某些示例中，不同TEE技术的集合或子集可以用于基于例如策略处置器和/或与策略处置器通信的传感器的不同安全强度(例如，策略加固)和/或功能级别构建策略处置器层级。例如，第一层策略处置器(例如，层1策略处置器)可以对应于应用第一安全强度的外围设备(例如，键盘、指纹读取器、照相机等等)，第二层策略处置器(例如，层2策略处置器)可以对应于应用第二安全强度的管理引擎，并且第三层策略处置器(例如，层3策略处置器)可以对应于应用第三安全强度的操作系统。在这种示例中，策略处置器层级可以在层级的一端对第一层策略处置器(有时在此被称为“叶节点”)、在层级的另一端对第三层策略处置器(有时在此被称为“根节点”)以及在第一层策略处置器与第三层策略处置器之间对第二层策略处置器(有时在此被称为“中间节点”)进行排序。在某些示例中，策略处置器的功能类型和安全强度可以取决于策略处置器的组件(例如，软件、硬件和/或固件)。

在某些示例中，MFA策略通过客户端环境中的策略处置器被层级地配置。例如，主策略处置器可以映射副策略处置器并且使用所映射的客户端拓扑来分布MFA策略。如在此所使用的，主策略处置器是具有直接通信路径的策略处置器(例如，直接与策略管理器通信而不使用中间策略处置器)。副策略处置器是具有到策略管理器的间接通信路径的策略处置器(例如，经由主策略处置器(并且可能经由一个或多个其他策略处置器)与策略管理器通信。然而，取决于应用和供应，客户端环境中的任何策略处置器(例如，一个或多个第一层策略处置器、一个或多个第二层策略处置器和/或一个或多个第三层策略处置器)可以被指定为主策略处置器。这些策略处置器可以本地和/或远程地分布在客户端环境中。例如，客户端拓扑映射可以将所有策略处置器映射到单个平台或主机(例如，与其建立通信路径)、将所有策略处置器映射到云服务、和/或将不同的策略处置器集合和/或子集映射到任何主机和/或云服务组合。在某些示例中，拓扑映射还可以包括每个策略处置器的功能类型和/或安全强度。

在本文公开的某些示例中，每个策略处置器决定(例如，本地地决定)如何配置MFA策略。例如，当配置MFA策略时，策略处置器访问MFA策略，解析MFA策略以便标识MFA策略的能够由所述策略处置器实施的一个或多个子策略，并且将所述子策略签名为由所述策略处置器主张。在某些示例中，所述策略处置器通过对所述子策略进行签名(例如，附加对所述策略处置器唯一的私钥)以便标识所述策略处置器将实施哪个(哪些)子策略来主张所述子策略。在某些示例中，当所述策略处置器匹配所述子策略的功能要求并且能够应用所述子策略所要求的最小安全强度标准时，所述策略处置器主张所述子策略。例如，用于实施定位策略的子策略无法由不能访问基于定位的传感器(例如，全球定位系统传感器)的策略处置器主张。

在某些示例中，在主张子策略时，所述策略处置器可以使用蕴涵证据来证明其证书。例如，蕴涵证据(例如，信任链)可以指定或标识通信路径的方法或组成从而使得对蕴涵的独立审核可以用于确定通信路径的可信特征。蕴涵可以是指信任链证据，诸如一个或多个制造商证书、一个或多个经签名的代码、一个或多个认证代码、一个或多个清单、一个或多个“材料单”和/或白名单。蕴涵可以被表达为枚举机制，诸如字符串、统一资源标识符、对象标识符等等。例如，在相关联的策略处置器可以主张级别1子策略之前，所述子策略可以标识传感器的最小固件版本。策略处置器可以然后提供其蕴涵以便证明其对子策略的主张合法。

策略处置器可以然后将包括所主张的子策略的MFA策略转发给客户端环境中的另一个处置器。以此方式，MFA策略被配置到(例如，分布到)客户端环境中的策略处置器。在某些示例中，当转发MFA策略时，策略处置器采用客户端环境的拓扑映射。例如，策略处置器可以标识其所连接的一个或多个策略处置器并且相应地转发MFA策略。另外或可替代地，策略处置器可以标识MFA策略中的未经签名的子策略并且将MFA策略转发到能够实施未经签名的子策略中的一个或多个子策略的策略处置器。例如，策略处置器可以确定未经签名的子策略所定义的功能要求和最小安全强度标准并且标识满足功能要求和最小安全强度标准的策略处置器。示例策略处置器可以然后采用拓扑映射来基于用于转发MFA策略的连接路径生成执行计划。

MFA策略管理还包括当获得对受控资源(例如，受保护资源)的请求时实施MFA策略。在此公开的示例通过确定是否满足MFA策略的子策略来实施MFA策略。换言之，所公开的示例的策略处置器评估是否满足它们所主张的具体子策略(或多个子策略)并且使用评估结果来确定授权还是拒绝对所请求的受控资源的访问。在某些示例中，评估子策略包括对第一传感器输入与第二传感器输入进行比较、对第一传感器输入与已知的授权输入值进行比较、对第一传感器输入应用布尔检查等等。在某些示例中，如果评估策略处置器确定其不是用于评估子策略的适当的策略处置器(例如，不满足功能要求和/或最小安全强度标准)，策略处置器将安全凭证转发到另一个策略处置器进行处理。以此方式，MFA策略被客户端环境中的策略处置器实施。当满足MFA策略时(例如，评估成功)，授权对所请求的受控资源的访问。在某些示例中，如果不满足MFA策略(例如，安全凭证未通过至少一个子策略(例如，因子的逻辑组合未导致真语句))，拒绝对所请求的受控资源的访问。在某些示例中，受控资源访问请求的结果可以被提供给客户端环境中的其他策略处置器。在某些示例中，受控资源访问请求决策状态的改变还可以被用信号通知给其他策略处置器。例如，如果受控资源空闲持续阈值时间量，可以调用对受控资源的访问。

在某些示例中，客户端环境中的一个或多个传感器可以用于提供与用户相关联的安全凭证。在某些示例中，传感器监控主机的平台(例如，硬件、固件核/或操作系统)的系统状态。例如，系统传感器可以确定当日时间、周几、主机的物理或逻辑位置、主机是否在移动、平台温度和/或客户端环境的其他特征。在某些示例中，可以针对对应的技术在大概的连接范围内估计逻辑位置。例如，包含具有可管理性的管理端口或Wi-Fi路由器的以太网交换机可以报告交换机或路由器位置，从而使得可以估计端点系统位置。在某些这种示例中，系统传感器可以用于构建将用户与一个或多个系统状态(例如，登录、授权访问、拒绝访问、撤销访问等等)相关联的概率模型。

在某些示例中，来自与客户端环境通信的传感器的输入提供用于作出基于上下文的决策的附加上下文。例如，来自某些传感器(诸如NFC无线电)的输入可以检测对于特定用户唯一的传输。对于传感器(诸如NFC无线电)，存在预期用户携带发射机的高概率性。例如，腕表或智能电话可以通过NFC通道将唯一值传输至NFC无线电。在某些示例中，蓝牙低能(“BLE”)无线电可以用作NFC无线电的替代方案。BLE具有与NFC类似的安全特性但是包括比NFC更长的通信范围。例如，可以在多米范围内测量BLE，而NFC仅具有毫米通信范围。可以在厘米范围内测量红外和/或超声信号并且可以不要求用户携带配对设备(例如，无线电)。例如，包括发射机的红外传感器可以广播光束并且红外传感器可以吸收所反射的红外光，由此感测被假定为最近已经通过认证的用户的对象的存在。在某些示例中，麦克风阵列感测相对于最近通过认证的用户保持一致和/或可以基于所感测的声纹唯一地标识用户的语音模式。在另外其他示例中，照相机使用对象和模式识别来标识用户。可以另外或可替代地包括其他传感器输入，诸如加速计或全球定位系统。

在某些示例中，MFA策略或子策略包括在策略处置器评估所主张的子策略之前策略处置器需要满足的要求。例如，子策略可以指定示例策略处置器用来改善MFA策略实施的执行计量(例如，功率、等待时间、计算等等)。例如，如果传感器可以在更高功率级别递送更精确的用户存在读数，控制所述传感器的策略处置器可以使所述传感器在处理用户存在的同时转变到所述更高功率级别并且一旦完成用户存在处理就返回之前的功率级别。

图1是示例客户端环境100的示意性说明，其中，使用分布在客户端环境100中的策略处置器来管理多因子认证策略。图1的示例客户端环境100包括策略管理器102和主机104。在所示示例中，使用一个或多个设备实现策略管理器102。类似地，使用一个或多个设备实现主机104(有时被称为“主机机器”、“客户端平台”、“客户端节点”或“计算设备”)。例如，策略管理器102和/或主机104可以包括与彼此通信的盘阵列和/或一个或多个工作站(例如，桌上计算机、工作站服务器、膝上计算机、x86设备、Linux设备等等)。在图1的所示示例中，策略管理器102经由由网络106所表示的一个或多个有线和/或无线网络与主机104进行选择性通信。可以使用任何合适的有线和/或无线网络实现示例网络106，包括例如一条或多条数据总线、一个或多个局域网(LAN)、一个或多个无线LAN、一个或多个蜂窝网络、互联网等等。如在此所使用的，短语“通信”及其变体涵盖通过一个或多个中间组件的直接通信和/或间接通信并且不要求直接物理(例如，有线)通信和/或恒定通信而是另外包括周期性间隔、安排间隔、手动间隔、非周期性间隔和/或一次性事件的选择性通信。

在图1的所示示例中，策略管理器102由使能授权服务的集中管理和促进跟踪并控制客户端环境100中的资源(例如，受控资源)的服务器和/或数据库实现。在某些示例中，策略管理器102是用于制作和/或配置(例如，使得可用或提供)一个或多个MFA策略和/或子策略(例如，示例MFA策略108)的管理控制台或主机应用。在某些示例中，策略管理器102由策略管理插件实现。例如，策略管理器102可以由策略管理插件针对由策略服务器执行的安全和/或管理控制台实现。在某些示例中，策略管理器102包括使能用户管理用于在客户端环境100中应用的MFA策略的一个或多个接口。例如，策略管理器102可以包括使能用户(例如，信息技术(IT)管理员、系统管理员、实体、企业、组织等等)在与策略管理器102通信的示例储存库126中存储MFA策略和/或子策略的接口。示例MFA策略可以用于控制对经由主机104可访问的受控资源的访问和/或对其访问区分优先次序。

在图1的所示示例中，MFA策略108是通过布尔逻辑组合在一起的子策略的集合(例如，策略A、策略B、策略C、策略D)。例如，MFA策略108可以定义当提供时允许访问受控资源的安全凭证(例如，因子)集合。以下等式1是示例MFA策略108的示例实现方式的示例表示。

等式1：P＝(A||B)&&C&&D

在以上等式1中，MFA策略108(P)是子策略的逻辑组合(例如，策略A、策略B、策略C、策略D)。在等式1中“||”是逻辑或运算符，而“&&”是逻辑与运算符。示例等式1表示定义MFA策略符合阈值的MFA策略测试。因此，使用以上等式1，如果或者满足示例策略A(例如，用户向NFC无线电提供授权NFC信号签名)或者如果满足示例策略B(例如，用户提供满足示例策略B的第一子策略的有效指纹签名或用户提供满足示例策略B的第二子策略的有效安全令牌与通过验证的面部图案)，则MFA策略108授权对受控资源的访问。在满足策略A或策略B时，图1的示例MFA策略108还要求满足示例策略C(例如，用户被要求在主机104的某个范围(例如，阈值范围)内以便满足示例策略C的第一子策略与用户活动未空闲持续阈值时间段以便满足示例策略C的第二子策略)与满足示例策略D(例如，主机104的Wi-Fi地址对应于授权位置)。

在某些示例中，MFA策略108被构建为包括用于在例如不同客户端环境中实施的备份子策略和/或替代子策略。例如，如果客户端环境不包括NFC无线电(例如，用于评估策略A)，则策略B可以仍用于授权用户。因此，可以基于客户端环境是否包括用于实施对应的子策略的传感器来修改MFA策略。相应地，示例MFA策略108可以是平台不可知表述并且可以允许用户构建更少的MFA策略来控制对客户端环境100中的受控资源的访问。

在某些示例中，可以通过基于子策略所设定的最小安全强度标准将子策略作为不同的级别进行评估(有时在此被称为策略级别)来执行确定策略符合(例如，如果满足MFA策略)。例如，为了验证NFA信号签名被授权(例如，相对于策略A)，NFC信号签名可能被要求符合三个策略级别，其中，级别1子策略涉及NFC信号签名是否被经由可信通道传输到NFC无线电，级别2子策略涉及采集NFC信号的NFC无线电是否是和/或是否提供可信环境，并且级别3子策略指定可以被组合以便成功认证用户的因子组合。尽管所示示例的所示示例MFA策略108包括三个策略级别，MFA策略或子策略可以包括任何合适数量的策略级别，诸如一个、两个或四个等等。

在某些示例中，MFA策略108包括上下文要求，诸如物理或逻辑位置限制、持久使用限制、用户存在要求等等。在某些这种示例中，对受控资源的访问可以由授权安全凭证(例如，满足上述示例中的策略A和/或策略B)确定，并且在满足上下文子策略(例如，上述示例中的策略C和策略D)的同时(例如，在一个或多个阈值内)对受控资源的访问可以保持被批准。因此，例如，上下文子策略(诸如用户存在测试、生物计量特征测试和/或位置测试)可以用于在授权对受控资源的访问时通过例如检查用户是否已经从安全位置移动到另一个位置、用户是否不再访问受控资源等等来提供附加安全级别。在某些示例中，上下文子策略用于动态地显示和/或保持来自用户的信息。例如，基于网络的授权屏幕可以在用户经由公共计算机请求访问受控资源时向用户提示第一和第二证书。对比之下，基于网络的授权屏幕可以在经由私人(例如，安全)膝上计算机作出受控资源访问请求时仅向用户提示第一安全凭证。例如，MFA策略108可以声明用户可以通过提供通过验证的用户名/密码组合从可信计算设备(例如，个人膝上计算机、智能电话、平板计算机等等)访问在线服务(例如，网络邮件服务、社交媒体服务、个人银行服务等等)。MFA策略108还可以声明用户可以通过在从不受可信计算设备(例如，公共图书馆计算机等等)访问在线服务时提供授权通行码与有效安全令牌来访问相同的在线服务。

在图1的所示示例中，主机104包括多个策略处置器，诸如第一策略处置器110、第二策略处置器111和第三策略处置器112。如上所述，图1的示例第一策略处置器110、示例第二策略处置器111和/或示例第三策略处置器112是保护MFA策略决策和实施的受加固(例如，可信)的执行环境。在某些示例中，第一策略处置器110、第二策略处置器111和/或第三策略处置器112是隔离主机104中的一个或多个受控资源的软件组件(例如，操作系统代理、驱动器等等)和/或硬件/固件组合(例如，芯片组、受保护存储器部分等等)。在图1的所示示例中，示例第一策略处置器110是层3策略处置器并且保护并限制对第一受控资源114(例如，数据库)的访问，示例第二策略处置器111是层2策略处置器并且保护并限制对第一传感器115(例如，传感器诸如NFC无线电)的访问，并且示例第三策略处置器112是层1策略处置器并且保护并限制对第二传感器116(例如，传感器诸如指纹读取器)的访问。在某些示例中，策略管理器102还可以保护并限制例如对可用于策略管理器102的MFA策略(例如，示例MFA策略108)的策略处置器(例如，层4策略处置器)。

在图1的所示示例中，第一策略处置器110、第二策略处置器111和第三策略处置器112(以下进一步详细描述其示例实现方式)促进将MFA策略配置到客户端环境100中的在主机104的控制下的策略处置器并且当请求受控资源访问时实施所配置的MFA策略。在图1的所示示例中，经由客户端环境100中的第一通信路径129配置示例MFA策略108以便提供对示例第一受控资源114(例如，数据库)的访问的控制，所述第一受控资源由图1中的示例第一策略处置器110保护。

在某些示例中，第一策略处置器110、第二策略处置器111和/或第三策略处置器112在周期性间隔、非周期性间隔和/或作为一次性事件执行主机自省并且映射(或发现)客户端环境100的拓扑映射128。如在此所使用的，自省是策略处置器查询(例如，检查)其自身以便标识其所连接的组件(例如，策略处置器、受控资源、传感器等等)(如果有的话)的过程。在图1的所示示例中，第一策略处置器110将第二通信路径130映射到主机104内的策略处置器(例如，第二策略处置器111)并且还发现到在主机104外部操作的策略处置器的第三通信路径131(诸如经由一个或多个网络连接的第四策略处置器118(例如，经由网络106进行基于云的访问))。在图1的所示示例中，第四策略处置器118是层3策略处置器并且保护并限制对第二受控资源120(例如，虚拟机)的访问。图1的示例第一策略处置器110采用所发现的第二和第三通信路径130、131来将MFA策略108分别配置到第二策略处置器111和第四策略处置器118。使用类似的过程，第二策略处置器111、第三策略处置器112和/或第四策略处置器118可以分别在第二和第三策略处置器111、112以及第三和第四策略处置器112、118之间映射第四和第五通信路径132、133。

在某些示例中，拓扑映射128由用对于每一个策略处置器唯一的标识符对例如自省请求进行签名的不同策略处置器准备。在某些示例中，策略处置器可以将其对应的通信路径推送到中央策略处置器(例如，示例第一策略处置器110)。在某些这种示例中，第一策略处置器110使用通信路径来建立客户端环境100的拓扑映射128。在某些示例中，策略处置器可以各自存储拓扑映射128的拷贝。在某些示例中，拓扑映射128包括有关策略处置器以及策略处置器所保护的受控资源(如果有的话)的信息(例如，功能类型和安全强度)。

所示图1的示例策略处置器110、111、112、118在执行多因子授权时向传感器输入应用不同的安全特性(例如，安全凭证)。在某些这种示例中，策略处置器110、111、112、118可以基于例如对应的策略处置器的功能类型和安全强度应用(例如，实施)不同的MFA策略和/或MFA策略的子策略。

例如，图1的示例第三策略处置器112(例如，层1策略处置器)可以是适合对传感器输入应用级别1子策略的硬件和/或固件环境。例如，图1的第三策略处置器112可以确定是否经由安全通道(例如，在可信传感器诸如指纹读取器处)获得了用户所提供的安全凭证(例如，指纹扫描)。在某些这种示例中，第三策略处置器112可以提供其蕴涵证据(例如，制造商证书等等)作为第二传感器116是可信指纹读取器的证明。

所示图1的示例第二策略处置器111(例如，层2策略处置器)可以是和/或可以提供例如独立于主机104操作系统操作并且可能无法经由主机104操作系统访问的硬件和/或固件环境。例如，第二策略处置器111可以实现包括与主机104的主处理受控资源分离的处理受控资源的“管理引擎”或“安全区域”。在某些这种示例中，第二策略处置器111可以适合应用涉及例如指纹读取器116是否满足最小安全强度标准的级别2子策略。在某些这种示例中，第二策略处置器111可以提供其蕴涵证据(例如，经签名的代码等等)作为第二传感器116满足级别2子策略所声明的最小安全强度标准的证明。

在某些示例中，图1的示例第一策略处置器110(例如，层3策略处置器)由适合处理级别3子策略的软件代理实现。例如，第一策略处置器110可以处理在主机104的操作系统环境中应用的子策略。在某些示例中，图1的示例第四策略处置器118(例如，层3策略处置器)由处理级别3子策略的软件代理实现。例如，第四策略处置器118可以处理应用于云服务的子策略。在图1的所示示例中，第一策略处置器110和/或第四策略处置器118可以应用确定例如从第二传感器116获得的指纹扫描是否满足策略符合的阈值符合的子策略级别。例如，第一策略处置器110可以评估传感器输入是否满足MFA策略108的策略A和/或策略B和策略C以及策略D。

在图1的所示示例中，图1的示例策略管理器102包括客户端处置器122、策略构建器124和储存库126。图1的示例储存库126可以由用于存储数据的任何存储设备和/或存储盘实现，诸如例如闪存、磁介质、光介质等等。此外，存储在示例储存库126中的数据可以处于任何数据格式，诸如例如二进制数据、逗号界定数据、制表符界定数据、结构查询语言(SQL)结构等等。尽管在图1的所示示例中储存库126被示出为单个数据库，储存库126可以由任何数量和/或类型的数据库实现。

在图1的所示示例中，策略管理器102包括用于与客户端环境100中的策略处置器对接的示例客户端处置器122。例如，客户端处置器122可以在周期性间隔、安排间隔、非周期性间隔和/或一次性事件查询网络106以便标识包括用于将策略传播通过客户端环境100的可信策略处置器的主机。例如，图1的客户端处置器122可以发现主机104在其中包括第一策略处置器110。示例客户端处置器122可以从客户端环境100的策略处置器110、111、112、118获得例如有关配置和/或实施MFA策略的状态更新。在某些示例中，客户端处置器122从第一策略处置器110获得拓扑映射128。在某些示例中，策略管理器102采用拓扑映射128来例如基于包括在客户端环境100中的策略处置器、传感器和/或受控资源配置MFA策略108。

在某些示例中，客户端处置器122经由例如输出设备(诸如监视器)将状态更新呈现给用户。例如，客户端处置器122可以输出配置是否失败、配置是否成功、是否请求受控资源访问和/或是否成功实施MFA策略108等等的指示。

在图1的所示示例中，策略管理器102调用策略构建器124来在客户端环境100内制作(例如，配置、创建、写等等)示例MFA策略108。在某些示例中，策略构建器124基于拓扑映射128制作MFA策略108。在某些示例中，策略构建器124从示例储存库126获得子策略或MFA策略以便构建MFA策略108。例如，所示示例的策略构建器124检索第一MFA策略以便控制对第一受控资源114的访问以及第二MFA策略以便控制对第二受控资源120的访问。

在操作中，图1的示例第一策略处置器110从客户端处置器122获得MFA策略108并且确定MFA策略108是否包括可由第一策略处置器110实施的子策略。例如，所示示例的第一策略处置器110解析MFA策略108并且标识能够由第一策略处置器110实施的一个或多个级别3策略。此示例的示例第一策略处置器110对所标识的级别3策略进行签名并且对MFA策略108进行签名。例如，第一策略处置器110可以修改MFA策略108以便包括对于第一策略处置器110唯一的私钥。在某些这种示例中，私钥用于确定策略处置器之前是否解析过MFA策略108。例如，拓扑映射128可以包括用于包括在映射128中的每个策略处置器的相应的私钥。在某些示例中，第一策略处置器110基于MFA策略108的签名状态确定MFA策略108是否包括未经签名的子策略并且将MFA策略108转发到未对MFA策略108进行签名的策略处置器(例如，示例第二策略处置器111、示例第三策略处置器112、示例第四策略处置器118等等)。使用上述过程(例如，通过用一个或多个策略处置器迭代通过子策略)，在策略处置器之间转发MFA策略108并且在客户端环境100内配置MFA策略108。在某些示例中，如果策略处置器确定MFA策略108的签名状态指示未经签名的子策略并且包括在拓扑映射128中的所有策略处置器已经对MFA策略108进行签名，策略处置器可以向策略管理器102发送报告MFA策略配置在客户端环境100中失败的消息。

在MFA策略实施期间，所示示例的示例策略处置器110、111、112、118将MFA策略应用到与寻求访问受控资源的用户相关联的传感器输入(例如，安全凭证)。例如，图1的策略处置器110、111、112、118可以在请求访问第一资源114(例如，数据库)时实施MFA策略108。在所示示例中，从示例第二传感器116获得的传感器输入134(例如，指纹扫描)可以由策略处置器110、111、112、和/或118评估。例如，第三策略处置器112可以处理示例MFA策略108的级别1子策略并且确定第二传感器116是否是可信传感器。示例第二策略处置器111可以处理示例MFA策略108的级别2子策略并且确定第二传感器116是否满足所述子策略所定义的最小安全强度标准。示例第一策略处置器110可以处理示例MFA策略108的级别3子策略并且确定传感器输入134是否满足MFA策略108符合阈值。在某些示例中，处理策略处置器可以提供其蕴涵证明以便验证可信通信路径机制用于评估传感器输入134。在某些示例中，策略处置器并行操作。在本示例中，策略处置器串行操作。

图2和图3示出包括可以被执行以便控制对图1的示例客户端环境100中的受控资源的访问的伪代码的示例MFA策略108的示例实现方式。在所示示例中，MFA策略108是JSON(JavaScript对象注释)文档。然而，可以使用其他策略表述语言，诸如XACML(可扩展访问控制标记语言)、SAML(安全断言标记语言)、XML(可扩展标记语言)等等。在图2和图3的所示示例中，示例MFA策略108包括用于认证用户的凭证策略部分108A(图2)和用于确定是否满足上下文要求(诸如生物计量特征测试和/或用户存在/连续认证限制)的上下文策略部分108B(图3)。

在图2的所示示例中，凭证策略部分108A包括示例行动子策略块202、级别3子策略块204、第一级别2子策略块206A、第二级别2子策略块206B、第三级别2子策略块206C、第四级别2子策略块206D、第一级别1子策略块208A、第二级别1子策略块208B、第三级别1子策略块208C以及第四级别1子策略块208D。在图2的所示示例中，行动子策略块202指定响应于成功应用的MFA策略和/或子策略以及行动所应用于的组件(例如，主机)而采取的行动。例如，图2的线210标识如果应用了成功认证(例如，受控资源是OS登录过程)则主机将执行“OS登录”过程(线212)。

在图2的所示示例中，示例级别3子策略块204指定可以使用例如逻辑“与”和/或“或”组合进行组合的子策略的组合(例如，示例策略A或示例策略B)。例如，策略B的线214声明成功应用策略B包括(1)获得有效指纹签名或(2)获得有效安全令牌与通过验证的面部图案。

在图2的所示示例中，示例第一级别2子策略块206A、第二级别2子策略块206B、第三级别2子策略块206C和第四级别2子策略块206D特定于对应的因子(例如，策略处置器)并且指定因子类型(例如，功能要求)的因子环境(例如，最小安全强度标准)。例如，在示例策略A的配置过程中，适合处理来自NFC传感器的输入并且适合应用对应于“安全引擎”的最小强度级别策略(例如，级别2子策略206A)的第一策略处置器可以主张(例如，签名)示例策略A。如果第一策略处置器不适合处理来自NFC传感器的输入(例如，第一策略处置器无法访问NFC传感器或NFC传感器输入和/或第一策略处置器安全强度不像“安全引擎”层策略处置器那么安全)，示例第一策略处置器可以针对能够由第一策略处置器实施的子策略检查策略B。一旦第一策略处置器完成解析MFA策略，第一策略处置器将MFA策略转发到第二策略处置器。使用上述过程(例如，通过用一个或多个策略处置器迭代通过子策略)，在策略处置器之间转发MFA策略108并且在客户端环境100内配置MFA策略108。

在策略A的实施期间，第一策略处置器可以通过检查NFC传感器(例如，NFC无线电)的蕴涵是否对应于级别1子策略208A声明所定义的授权NFC传感器(例如，“Intel芯片组版本1.0”)来验证NFC传感器是可信传感器。如果第一策略处置器能够实施级别1子策略208A声明，则第一策略处置器继续处理NFC传感器输入。在某些示例中，如果第一策略处置器无法(例如，不能)实施级别1子策略208A声明和/或如果客户端环境100包括更适合实施级别1子策略208A的另一个策略处置器，第一策略处置器可以将传感器输入重新指引到下一个策略处置器和/或更合适的策略处置器。例如，“安全引擎”层策略处置器可能适合评估是否满足策略B(线216)，而“主机”层策略处置器可能更适合评估照相机输入(例如，级别2子策略206D)。在某些这种示例中，“安全引擎”层策略处置器可以将照相机输入重新指引到“主机”层策略处置器以便处理照相机输入。

在所示示例中，图2的MFA策略继续到图3。图3的示例的示例上下文策略部分108B包括示例级别3子策略块302，所述块包括用于监视用户存在的示例策略C(线310)和用于监视位置的示例策略D(线311“GEO围栏”)。例如，当应用策略C时，如果未检测到用户存在(线312“不存在”)，撤销用户的凭证并拒绝对主机的访问。在策略D的示例中，如果用户被检测到已经退出地理周界(线313“退出”)，撤销用户的凭证并且拒绝对“OS登录”资源的访问。

在图3的所示示例中，示例第一级别2子策略块304A、第二级别2子策略块304B和第三级别2子策略块304C涉及对应的因子并且指定用于相应的因子类型的可接受因子环境。例如，当策略处置器应用级别2策略块304B时，确定是否在操作系统层策略处置器(线315“‘因子ENV’：‘OS’”)获得了键盘输入(线314“键盘活动”)。在图3的所示示例中，示例第一级别1子策略块306A、第二级别1子策略块306B和第三级别1子策略块306C涉及传感器如何连接到策略处置器(例如，环境)。使用蕴涵，策略处置器标识用于获得输入的可信通信路径。策略处置器可以然后确定蕴涵证据是否满足对应的级别1子策略。

图4是用于促进图1的示例客户端环境100的多因子认证(MFA)策略的管理的示例策略处置器400的示例实现方式的示意性说明。在图4的所示示例中，策略处置器400设置有证明器402、拓扑映射器404、策略审核器406、策略解析器408、策略引导器410、传感器初始化器414、策略评估器416、资源处置器418和数据存储器420。图4的示例策略处置器可以实现图1的示例第一策略处置器110、示例第二策略处置器111、示例第三策略处置器112和/或示例第四策略处置器118中的任一项。

在图4的所示示例中，策略处置器400调用证明器402来证明策略处置器400的功能和安全特性。例如，当从例如策略管理器102和/或另一个可信策略处置器访问MFA策略、传感器输入、消息等等时，证明器402可以启动一系列挑战请求交换以便验证子策略、传感器输入、消息等等的真实性。在某些示例中，证明器402可以用对策略处置器400唯一的私钥对蕴涵进行签名以便例如向客户端环境中的其他节点确保策略处置器400是可信环境。

在图4的所示示例中，策略处置器400调用拓扑映射器404来映射客户端环境的拓扑以便促进在客户端环境100中配置和/或实施MFA策略108。例如，拓扑映射器404执行客户端环境100的自省以便发现客户端环境100中的其他可信环境(例如，第一策略处置器110、第二策略处置器111、第三策略处置器112和/或第四策略处置器118)。如上所述，自省使能示例拓扑映射器404从其他节点获得某些信息，诸如节点是策略处置器、传感器还是受控资源；受控资源的类型；策略处置器安全强度；策略处置器可实施的策略级别；策略处置器所签名的一个或多个子策略；应用于受控资源的一个或多个MFA策略和/或子策略等等。在图4的所示示例中，拓扑映射128被存储在数据存储器420中。在某些示例中，拓扑映射128可以由客户端环境中的主策略处置器(例如，示例第一策略处置器110)存储。在某些示例中，策略处置器存储拓扑映射128的对应于对应的策略处置器的那一部分。例如，图1的示例第三策略处置器112可以将有关其与示例第二策略处置器111和第四策略处置器118的连接的信息存储在其存储在其数据存储器420中的拓扑映射中。在某些示例中，在自省期间，示例拓扑映射器404还包括策略处置器的特征，诸如策略处置器的功能类型和/或策略处置器的安全强度。例如，拓扑映射128可以指示示例第三策略处置器112适合以层1安全强度向传感器输入应用级别1子策略。

如以上详细所述，在某些示例中，图1的示例策略管理器102采用拓扑映射128来基于客户端环境拓扑配置MFA策略108。例如，策略管理器102可以从客户端环境100的主策略处置器获得拓扑映射128。例如，图1的客户端处置器122可以以周期性间隔(例如，每二十四小时)和/或以非周期性间隔(例如，响应于配置MFA策略的请求)和/或作为一次性事件从客户端环境的第一策略处置器110获得更新。在某些示例中，图1的策略处置器110、111、112、118使用拓扑映射128将MFA策略108配置通过客户端环境100和/或实施客户端环境100中的MFA策略108。

在图4的所示示例中，策略处置器400调用策略审核器406以便监视可以应用和/或被应用的MFA策略和/或子策略。在某些示例中，策略审核器406监视客户端环境100相对于例如是或可以在客户端环境100中配置的MFA策略的状态。例如，第一策略处置器110的策略审核器406可以查询拓扑映射128以便确定客户端环境100是否包括用于应用MFA策略和/或子策略的必要策略处置器。在某些示例中，策略审核器406可以记录(或用日志记录)例如客户端环境100中的策略处置器何时应用MFA策略、哪一个MFA策略和/或哪一些子策略被应用过、为什么应用MFA策略(例如，哪一个受控资源被保护)以及哪一个MFA策略和/或哪一些子策略正在被实施。在某些示例中，图4的策略审核器406将日志存储在数据存储器420中。

在某些示例中，图4的策略审核器406基于拓扑映射修改(例如，修改、过滤)MFA策略。例如，第一策略处置器110的策略审核器406可以标识客户端环境100不包括与策略处置器通信的照相机。在某些这种示例中，图4的策略审核器406可以通过过滤不包括例如采集视网膜扫描或面部图案的子策略来修改MFA策略。

在图4的所示示例中，策略处置器400调用策略解析器408来标识策略处置器400可以实施的子策略。例如，当从策略管理器102获得MFA策略108以便在客户端环境100中配置时，第一策略处置器110可以解析MFA策略108并且标识策略处置器110能够在MFA策略实施期间应用的子策略。例如，第一策略处置器110可以检查其安全强度是否满足子策略的最小安全强度标准并且第一策略处置器110的功能类型是否满足在子策略中定义的功能要求。在某些示例中，策略解析器408对MFA策略108中所标识的子策略进行签名(例如，主张、标记等等)。例如，策略解析器408可以使示例证明器402用对策略处置器110唯一的私钥对子策略蕴涵进行签名。因此，客户端环境中的每个策略处置器本地地决定如何在客户端环境中配置MFA策略。

在某些示例中，策略解析器408解析MFA策略108并且确定MFA策略108的签名状态不包括未经签名的子策略(例如，组合以便配置MFA策略108的子策略全部由一个或多个其他策略处置器签名)。在某些这种示例中，策略解析器408向策略管理器102(或向主策略处置器)通信在客户端环境100中成功地配置了示例MFA策略108。

在图4的所示示例中，策略处置器400调用示例策略引导器410以便促进在客户端环境100中配置MFA策略108。例如，在示例证明器402对策略蕴涵进行签名之后，策略引导器410可以将MFA策略108转发到策略处置器与其通信的下一个策略处置器。例如，在第一策略处置器110对MFA策略108进行签名之后，第一策略处置器110可以将MFA策略108转发(例如，配置)到第二策略处置器111和/或第四策略处置器118。在某些示例中，策略引导器410使用拓扑映射128来标识哪一个策略处置器用于转发MFA策略108。在某些示例中，策略引导器410基于例如策略处置器的功能类型和/或策略处置器的安全强度将MFA策略108转发到适合实施具体子策略的策略处置器。例如，在配置期间，第二策略处置器111可以通过访问指纹读取器和/或来自指纹读取器的输入(例如，指纹扫描)标识未经签名的级别1子策略。在某些这种示例中，第二策略处置器111可以采用拓扑映射来标识到第三策略处置器112(例如，能够实施级别1子策略并且与第二传感器116(例如，指纹读取器)通信的级别1策略处置器)的安全通信路径。

在某些示例中，策略引导器410将MFA策略108转发到同一个层策略处置器。例如，第一策略处置器110(例如，层3策略处置器)可以用层3策略处置器所满足的最小安全强度标准标识子策略(例如，级别3子策略)，但是第一策略处置器110不满足所述子策略的功能要求。在某些示例中，第一策略处置器110可以采用拓扑映射128来标识满足所述子策略的最小安全强度标准和功能要求的策略处置器。例如，第一策略处置器110可以从拓扑映射128中标识第四策略处置器118(例如，层3策略处置器)满足所述子策略的最小安全强度标准(例如，级别3子策略)和功能要求(例如，基于云的服务)。示例第一策略处置器110可以然后将MFA策略108转发到第四策略处置器118以便主张(例如，签名)并实施。

在某些示例中，策略引导器410可以确定所述子策略由策略处置器在不同的安全强度层更好地实施。例如，第二策略处置器111(例如，层2策略处置器)可以确定第三策略处置器112(例如，层1策略处置器)具有更好的安全特性以及因此更适合实施所述子策略。例如，第二传感器116与第三策略处置器112之间可以存在可信通信路径。在某些这种示例中，图4的策略引导器410可以将所述子策略指引到第三策略处置器112以便主张并实施。在某些示例中，位于不同安全层的两个策略处置器之间(例如，从层2策略处置器111到层1策略处置器112)可能不存在可信通信路径。在图4的所示示例中，策略引导器410调用跳转(Trampoline)处置器412以便将MFA策略评估迁移到“更低”层策略处置器。例如，第二策略处置器111的跳转处置器412可以将传感器输入重新指引(有时在此被称为“跳转”)到“更低”层策略处置器(例如，第三策略处置器112)。在某些这种示例中，跳转处置器412促进将策略处置器的安全强度与MFA策略108安全要求(例如，策略级别)对准。例如，如果(a)接收传感器输入的第二策略处置器111与(b)用于应用更低安全强度级别策略的第三策略处置器112之间的第四通信路径132不安全(例如，是不安全通信路径)，第二策略处置器111的示例跳转处置器412可以配置(例如，生成)第二策略处置器111与第三策略处置器112之间的安全隧道。所示示例的跳转处置器412使用密钥交换协议(诸如sign-and-mac(SIGMA))来构建安全通道。在某些这种示例中，由第二策略处置器111获得的传感器输入可以被使用受保护通信路径重新指引到第三策略处置器112。在某些示例中，跳转处置器412作为用于传感器输入的安全路由器操作。例如，不是生成从层3策略处置器到层1策略处置器的安全通道，层3策略处置器可以采用拓扑映射128并且标识从层3策略处置器到层2策略处置器的安全通信路径以及从层2策略处置器到层1策略处置器的安全通信路径。在某些这种示例中，层3策略处置器可以采用层2策略处置器的跳转处置器412来将来自层3策略处置器的传感器输入转发到层1策略处置器。

在某些示例中，策略引导器410确定MFA策略108包括无法由客户端环境100中的策略处置器实施的子策略。例如，在配置期间，策略引导器410可以确定MFA策略108的签名状态包括未经签名的子策略并且MFA策略108由包括在拓扑映射128中的策略处置器110、111、112、118签名。在某些这种示例中，策略引导器410向策略管理器102通信无法在客户端环境100中配置示例MFA策略108。

在图4的所示示例中，策略处置器400调用示例传感器初始化器414以便当请求和/或检测到传感器活动时启动传感器。例如，当请求访问第一受控资源114时，传感器初始化器414可以启动可以从用户获得安全凭证以便认证用户的传感器。例如，传感器(诸如第二传感器116(例如，指纹读取器))可以在不活跃时(例如，未获得指纹读数)被置于低功率(例如，睡眠)状态。在某些这种示例中，图4的示例传感器初始化器414启动(例如，唤醒)第二传感器116以便获得和/或准备获得传感器输入。

在某些示例中，MFA策略108指定传感器和/或策略处置器的执行相关度量(诸如策略处置器功率、等待时间、计算等等)以便增加应用MFA策略108。在某些示例中，传感器初始化器414可以在多因子认证期间修改传感器的特征。例如，如果传感器在与例如带外功率级别、用户定制功率级别等等相比更高的功率级别递送用户存在的更准确读数，传感器初始化器414可以用信号通知传感器转变到所述更高功率级别。在某些示例中，传感器初始化器414可以用信号通知传感器转变到更低功率级别。例如，当蓝牙低能(BLE)无线电可以通常在多米通信范围内操作，传感器初始化器414可以使BLE无线电转变到更低功率级别并且由此在用户认证期间将BLE无线电的通信范围减小到毫米。在某些这种示例中，如果用户通过认证(例如，满足MFA策略)，传感器初始化器414可以用信号通知BLE无线电返回先前的(例如，更高)功率级别。

在图4的所示示例中，策略处置器400调用策略评估器416来在实施期间处理MFA策略108。例如，策略评估器416可以实施由示例策略解析器408签名的子策略。例如，第三策略处置器112可以向传感器输入134应用MFA策略108的级别1策略。在某些示例中，策略评估器416通过对传感器输入与授权值进行比较来确定传感器输入是否满足所应用的子策略。例如，在认证和/或用户存在采样期间，示例策略评估器416可以对传感器输入(例如，NFC信号)与授权NFC信号签名进行比较。例如，策略评估器416可以从示例数据存储器420检索授权NFC信号签名并且对所检索的NFC信号签名与NFC信号进行比较。在某些示例中，策略评估器416连续地(或接近连续地)评估传感器输入(例如，NFC信号)。在某些示例中，策略评估器416在周期性间隔、非周期性间隔或一次性事件对NFC信号进行采样。

在某些示例中，策略评估器416可以确定信号输入不符合子策略。例如，对信号输入134应用级别2子策略的第二策略处置器111可以确定信号输入134不是在可信环境获得的。在某些这种示例中，第二策略处置器111的策略评估器416可以指示策略引导器410标识另一个策略处置器以便评估传感器输入134。

在某些示例中，策略评估器416确定满足MFA策略108(例如，或者满足示例策略A或策略B与满足策略C与满足策略D)。在某些这种示例中，图4的策略处置器400包括用于实施对所请求的受控资源的访问的示例资源处置器418。在图4的所示示例中，策略评估器416用信号通知实施对所请求的受控资源的访问的资源处置器418是否满足MFA策略108。例如，在当由第一策略处置器110(例如，层3策略处置器)的资源处置器418保护的受控资源114时可以调用MFA策略108时，可以在不同的策略处置器作出授权还是拒绝对受控资源114的访问的决策。例如，在图2的示例凭证策略部分108A中，当受控资源“OS登录”由“主机”层策略处置器保护时，在“安全引擎”层策略处置器评估是否满足策略A的决策，在“安全元素”层策略处置器评估是否符合策略B的级别2子策略206B，并且在“主机”层策略处置器评估是否符合级别2子策略206D。在某些这种示例中，在评估策略和/或子策略之后，受控资源访问请求被转发到保护受控资源的策略处置器(例如，第一策略处置器110)。在某些这种示例中，保护所请求的受控资源的资源处置器418获得包括受控资源访问请求决策的消息。在某些示例中，评估策略处置器的策略评估器416可以将所述消息广播到客户端环境100中的其他策略处置器。在某些示例中，受控资源访问请求状态改变可以被广播给客户端环境100中的其他策略处置器。例如，如果对第一受控资源114的访问被撤销，则第一策略处置器110可以将状态改变广播给第二策略处置器111、第三策略处置器112和第四策略处置器118。在某些示例中，受控资源访问状态消息被经由可信通道(例如，经由SIGMA协议)在客户端环境100中的策略处置器之间通信。

图4的示例数据存储器420可以由用于存储数据的任何存储设备和/或存储盘实现，诸如例如闪存、磁介质、光介质等等。此外，存储在示例储存库420中的数据可以处于任何数据格式，诸如例如二进制数据、逗号界定数据、制表符界定数据、结构查询语言(SQL)结构等等。尽管在所示示例中数据存储器420被示出为单个数据库，数据存储器420可以由任何数量和/或类型的数据库实现。

尽管已经在图1和图4中示出实现系统和/或策略处置器的示例方式，可以组合、划分、重新安排、省略、清除和/或以任何其他方式实现在图1和图4中示出的元素、过程和/或设备中的一个或多个。此外，示例策略管理器102、示例主机104、示例第一策略处置器110、示例第二策略处置器111、示例第三策略处置器112、示例第一受控资源114、示例第一传感器115、示例第二传感器116、示例第四策略处置器118、示例第二受控资源120、示例证明器402、示例拓扑映射器404、示例策略审核器406、示例策略解析器408、示例策略引导器410、示例跳转处置器412、示例传感器初始化器414、示例策略评估器416、示例资源处置器418、示例数据存储器420、和/或更一般地示例策略处置器400可以由硬件、软件、固件和/或硬件、软件和/或固件的任何组合实现。因此，例如，示例策略管理器102、示例主机104、示例第一策略处置器110、示例第二策略处置器111、示例第三策略处置器112、示例第一受控资源114、示例第一传感器115、示例第二传感器116、示例第四策略处置器118、示例第二受控资源120、示例证明器402、示例拓扑映射器404、示例策略审核器406、示例策略解析器408、示例策略引导器410、示例跳转处置器412、示例传感器初始化器414、示例策略评估器416、示例资源处置器418、示例数据存储器420、和/或更一般地示例策略处置器400中的任一项可以由一个或多个模拟或数字电路、逻辑电路、可编程处理器、特定用途集成电路(ASIC)、可编程逻辑器件(PLD)和/或现场可编程逻辑器件(FPLD)实现。当阅读本专利的任何装置或系统权利要求以便覆盖纯软件和/或固件实现方式时，示例策略管理器102、示例主机104、示例第一策略处置器110、示例第二策略处置器111、示例第三策略处置器112、示例第一受控资源114、示例第一传感器115、示例第二传感器116、示例第四策略处置器118、示例第二受控资源120、示例证明器402、示例拓扑映射器404、示例策略审核器406、示例策略解析器408、示例策略引导器410、示例跳转处置器412、示例传感器初始化器414、示例策略评估器416、示例资源处置器418、和/或示例数据存储器420在此被明确地定义为包括存储软件和/或固件的有形计算机可读存储设备或存储盘，诸如存储器、数字多用途盘(DVD)、致密盘(CD)、蓝光盘等等。仍进一步地，除图4中示出的那些之外或者反而，图1的示例策略处置器110、111、112、118可以包括一个或多个元素、过程和/或设备，和/或可以包括所示出的元素、过程和设备中的任一个或全部中的多于一个。

在图5中示出了表示用于实现图1的策略管理器102的示例机器可读指令的流程图，并且在图6至图8中分别示出了表示用于实现图1和/或图4的策略处置器110、111、112、118和/或策略处置器400的示例机器可读指令的流程图。在这些示例中，机器可读指令包括用于由处理器(诸如在以下结合图900讨论的示例处理器平台900中示出的处理器912)执行的程序。程序可被体现在存储在有形计算机可读存储介质(诸如与处理器912相关联的CD-ROM、软盘、硬盘驱动器、数字通用盘(DVD)、蓝光盘、或存储器)上的软件中，但是整个程序和/或其各部分可以可替代地由除处理器912之外的设备实现和/或体现在固件或专用硬件中。此外，尽管参照在图5至图8中示出的流程图描述了示例程序，可以可替代地使用实现示例策略管理器102和/或策略处置器110、111、112、118和/或策略处置器400的许多其他方法。例如，可以改变框的执行顺序，和/或可以改变、清除或组合所描述的某些框。

如上所述，可以使用存储在有形计算机可读存储介质(诸如信息可被存储在其中持续任何时长(例如，持续延长时间段、永久地、短暂片刻、暂时地缓冲、和/或高速缓存信息)的硬盘驱动器、闪存、只读存储器(ROM)、致密盘(CD)、数字通用盘(DVD)、高速缓存、随机存取存储器(RAM)和/或任何其他存储介质或存储盘)上的编码指令(例如，计算机和/或机器可读指令)实现图5至图8的示例过程。如在此所使用的，术语“有形计算机可读存储介质”被明确地定义为包括任何类型的计算机可读存储设备和/或存储盘并且不包括传播信号并且不包括传输介质。如在此所使用的，“有形计算机可读存储介质”和“有形机器可读存储介质”可互换地使用。此外或可替代地，可以使用存储在非瞬态计算机和/或机器可读介质(诸如信息可被存储在其中持续任何时长(例如，持续延长时间段、永久地、短暂片刻、暂时地缓冲、和/或高速缓存信息)的硬盘驱动器、闪存、只读存储器、致密盘、数字通用盘、高速缓存、随机存取存储器和/或任何其他存储设备或存储盘)上的编码指令(例如，计算机和/或机器可读指令)实现图5至图8的示例过程。如在此所使用的，术语“非瞬态计算机可读介质”被明确地定义为包括任何类型的计算机可读存储设备和/或存储盘并且不包括传播信号并且不包括传输介质。如在此所使用的，当短语“至少”被用作权利要求前序部分中的过渡术语时，其与术语“包括”是开放式的相同的方式是开放式的。

图5的程序可以用于促进使用分布在客户端环境中的策略处置器管理所述客户端环境中的多因子认证策略(或多个策略)。当示例策略管理器102(图1)获得客户端环境100(图1)的客户端拓扑信息时，示例程序500在框502开始。例如，客户端处置器122(图1)可以从分布在客户端环境100中的第一策略处置器110(图1)获得客户端拓扑映射128(图1和/或图4)。在框504，策略管理器102构建多因子认证(MFA)策略108用于在客户端环境100中实施。例如，示例策略构建器124(图1)可以基于由例如第一策略处置器110提供的客户端拓扑映射128制作MFA策略108。在框506，示例策略管理器102将MFA策略108分布给客户端环境100中的主策略处置器。例如，策略处置器122可以将MFA策略108配置给第一策略处置器110。在框508，策略管理器102从分布在客户端环境100中的策略处置器获得有关客户端环境100的更新。例如，客户端处置器122可以从第一策略处置器110、第二策略处置器111、第三策略处置器112和/或第四策略处置器118(图1)中的一个或多个获得更新。

在框510，客户端处置器122确定所述更新是否涉及MFA策略配置或MFA策略实施。如果在框510客户端处置器122确定所述更新涉及策略实施，则在框512策略管理器102记录客户端环境实施状态。例如，客户端处置器122可以在示例储存库126(图1)中记录MFA策略108是否被在客户端环境100中成功实施、MFA策略108的子策略是否由相应的策略处置器签名(例如，MFA策略108的签名状态)等等。在某些示例中，客户端处置器122可以经由如监视器向用户呈现客户端环境实施状态。控制然后进行到框514以便确定是否继续监视客户端环境100。

否则，如果在框510客户端处置器122确定所述更新涉及MFA策略配置，则在框516，策略管理器102在客户端环境100中记录MFA策略108的配置状态。例如，客户端处置器122在储存库126中记录从第一策略处置器110接收的配置状态(例如，配置失败、配置成功等等)。在某些示例中，如果配置MFA策略108失败，策略管理器102构建新的MFA策略以便在客户端环境100中进行配置。在某些示例中，客户端处置器122经由例如监视器向用户呈现客户端环境配置状态。控制然后进行到框514以便确定是否继续监视客户端环境100。

在框514，策略管理器102确定是否继续监视客户端环境100。例如，客户端处置器122可以从客户端环境100获得另一个更新。如果在框514示例策略管理器102确定继续监视客户端环境100(例如，客户端处置器122获得另一个状态更新等等)，控制返回框502以便获得客户端环境100的客户端拓扑信息。否则，如果在框514，策略管理器102确定结束监视客户端环境100(例如，由于关机事件等等)，图5的示例过程500于是结束。

图6的程序示出使用分布在客户端环境100中的一个或多个策略处置器(例如，示例第一策略处置器110(图1)、示例第二策略处置器111(图1)、示例第三策略处置器112(图1)、示例第四策略处置器118(图1)和/或更一般地图4的示例策略处置器400)在客户端环境100(图1)中配置MFA策略108的示例方法。当策略处置器400标识客户端环境100中的副策略处置器时，图6的程序600在框602开始。例如，示例拓扑映射器404(图4)可以执行客户端环境100的自省并且标识(例如，映射和/或发现)到包括在客户端环境100中的可信环境的通信路径。在某些示例中，拓扑映射器404可以在示例拓扑映射128(图1和图4)中记录自省结果。在框604，策略处置器400强客户端拓扑128报告给示例策略管理器102(图1)。例如，副策略处置器(例如，第二策略处置器111、第三策略处置器112和/或第四策略处置器118)可以将其对应的通信路径报告给第一策略处置器110，而第一策略处置器110可以将客户端环境100的拓扑映射128报告给策略管理器102。在框606，示例策略处置器400确定其是否获得了用于配置通过客户端环境100的示例MFA策略108。例如，主策略处置器110可以从策略管理器102获得用于配置通过客户端环境100的MFA策略108和/或副策略处置器可以从主策略处置器获得用于配置的MFA策略108。如果在框606策略处置器400获得MFA策略108，则在框608，策略管理器400将MFA策略108配置通过客户端环境100。在所示示例中，可以使用所描述的图7的过程实现框608的操作。控制进行到框610以便确定是否继续监视客户端环境100。

否则，如果在框606策略处置器400未获得用于配置的MFA策略108，则在框612策略处置器400确定是否请求访问在客户端环境100中受控的受控资源(例如，示例第一受控资源114(图1)和/或示例第二受控资源120(图1))。例如，用户可以启动操作系统登录过程。如果在框612策略处置器400确定未请求访问受控资源，则控制进行到框610以便确定是否继续监视客户端环境100。

否则，如果在框612策略处置器400确定请求访问受客户端环境100控制的受控资源，则在框614策略处置器400在客户端环境100中实施MFA策略108。例如，策略处置器400可以应用MFA策略108以便确定授权还是拒绝访问所请求的受控资源。在所示示例中，可以使用所描述的图8的过程实现框614的操作。控制进行到框610以便确定是否继续监视客户端环境100。

在框610，策略处置器400确定是否继续监视客户端环境100。例如，策略处置器400可以获得对访问受客户端环境100控制的受控资源的另一个请求。如果在框610示例策略处置器400确定继续监视客户端环境100(例如，策略处置器400获得访问受控资源的请求等等)，控制返回框602以便标识客户端环境100中的副策略处置器。否则，如果在框610策略处置器400确定结束监视客户端环境100(例如，由于关机事件等等)，图6的示例过程600于是结束。

图7的程序示出将示例MFA策略108(图1至图3)配置通过示例客户端环境100(图1)的示例方法。尽管图7的示例程序引用策略处置器400，策略处置器110、111、112、118中的任一个可以用于实现图7的程序。图7的示例程序可以用于实现图6的框608。当示例策略处置器400获得用于配置的MFA策略108时，图7的程序在框702开始。例如，拓扑映射128中的主策略处置器可以从示例策略管理器102(图1)获得MFA策略108和/或拓扑映射128中的副策略处置器可以从主策略处置器获得MFA策略108。在框704，策略处置器400解析MFA策略108。例如，示例策略解析器408(图4)可以解析MFA策略108以便确定MFA策略108是否包括策略处置器400可以实施的子策略。如果在框706策略解析器408确定MFA策略108包括用于实施的一个或多个子策略，则在框708策略处置器400主张策略处置器400将实施的子策略。在某些示例中，策略处置器400对子策略进行签名以便主张子策略。例如，策略处置器110的策略解析器408可以对MFA策略108中的级别3子策略进行签名。

如果在框706策略解析器408确定MFA策略108不包括策略处置器400能够实施的子策略或者在策略解析器408在框708对MFA策略108进行签名之后，则在框710策略处置器400对策略蕴涵进行签名。例如，示例证明器402(图4)可以用对策略处置器400唯一的私钥对MFA策略108进行签名以便指示策略处置器400已经对MFA策略108进行了解析。

在框712，示例策略处置器400确定MFA策略108的签名状态是否包括一个或多个未主张的子策略。如果在框712，示例策略解析器408确定MFA策略108的签名状态不包括未主张的子策略，则在框714策略解析器408向策略管理器102报告MFA策略108被成功配置。在某些示例中，策略解析器408可以报告MFA策略108被成功配置到主策略处置器。图7的示例过程于是结束。

否则，如果在框712策略解析器408确定MFA策略108的签名状态包括一个或多个未主张的子策略，则在框716示例策略引导器410(图4)确定包括在客户端环境100中的所有策略处置器是否已经主张子策略。例如，策略引导器410可以解析策略蕴涵(例如，策略信任链)以便确定客户端环境100中的所有策略处置器的签名是否被包括在所述蕴涵中。例如，策略引导器410可以对包括在策略蕴涵中的私钥列表与包括在示例拓扑映射128中的私钥进行比较(图1和图4)。如果在框716策略引导器410确定策略蕴涵不包括客户端环境100中的所有策略处置器，则在框718策略引导器410向策略管理器102报告策略处置器未能在客户端环境100中配置MFA策略108。在某些示例中，策略引导器410可以报告MFA策略108未被成功配置到主策略处置器。图7的示例过程于是结束。

否则，如果在框716策略引导器410确定策略蕴涵不包括所有策略处置器(例如，客户端环境100包括也用于处理MFA策略108的策略处置器)，则在框720策略引导器410确定访问下一个策略处置器是否需要跳转。例如，策略引导器410可以确定下一个策略处置器是否在比当前处理策略处置器“更低的”层(例如，下一个策略处置器向传感器输入应用更高的安全强度)。如果在框720策略引导器410确定访问下一个策略处置器需要跳转，则在框722策略处置器将跳转配置到下一个策略处置器。例如，示例跳转处置器412(图4)可以使用例如密钥交换协议(诸如SIGMA协议)在这两个策略处置器之间创建可信隧道。

如果在框720策略引导器410确定访问下一个策略处置器无需跳转(例如，下一个策略处置器与处理策略处置器位于同一层)或者在跳转处置器412在框722配置跳转之后，则在框724策略引导器410将MFA策略108和策略蕴涵转发到下一个策略处置器进行处理。图7的示例过程于是结束。

图8的程序示出在示例客户端环境100(图1)中实施示例MFA策略108(图1至图3)的示例方法。尽管图8的所示示例包括实施三个策略级别(例如，级别1子策略、级别2子策略、级别3子策略)，可以可替代地使用任何合适数量的策略级别，诸如一个、两个或四个等等。

图8的示例程序可以用于实现图6的框614。当示例策略处置器400(图4)启动传感器(诸如示例指纹读取器)116(图1)时，图8的程序在框802开始。例如，可以响应于示例数据库114(图1)的受控资源访问请求而请求和/或检测传感器活动(例如，从第二传感器116获得示例传感器输入134)。在某些示例中，传感器初始化器414(图4)响应于例如包括在MFA策略108中的上下文子策略而修改传感器的特征。例如，传感器初始化器414可以调整指纹读取器116的功率、等待时间、处理功率等等以便例如优化应用MFA策略108。在框804，策略处置器400对传感器输入实施级别1子策略。在图1的所示示例中，第三策略处置器112可以尝试对传感器输入134实施级别1子策略。如果在框806示例策略评估器416确定不满足级别1子策略(例如，指纹读取器不是可信指纹读取器)，则在框808示例策略引导器410确定跳转是否可用于可以访问可信指纹读取器和/或访问来自可信指纹读取器的输入的另一个策略处置器。例如，策略引导器410可以确定到第二策略处置器111(图1)的跳转是否可用。如果在框808策略引导器410确定跳转可用(例如，从第三策略处置器112到第二策略处置器111的可信通道)，则在框810示例跳转处置器412促进经由安全通道将传感器输入134重新指引到策略处置器。例如，策略引导器410可以经由跳转处置器412所创建的跳转将传感器输入134转发到第二策略处置器111。控制返回框802并且示例策略处置器启动传感器。

否则，如果在框808示例策略引导器410确定到下一个策略处置器的跳转不可用，则在框812不满足MFA策略108。在框814，受控资源访问请求决策(例如，拒绝)被传送到保护所请求的受控资源的策略处置器。例如，如果第三策略处置器112无法对传感器输入134实施级别1子策略，第三策略处置器112可以将所述决策传送到第一策略处置器110的示例资源处置器418(图4)以便实施所述决策(例如，拒绝访问第一受控资源114)。图8的示例过程800于是结束。

返回框806，如果在框806策略评估器416确定传感器输入134满足级别1子策略(例如，第二传感器116是可信指纹读取器)，则在框816策略处置器对传感器输入实施级别2子策略。如果在框818策略评估器416确定不满足级别2子策略(例如，指纹读取器不满足在子策略中定义的最小安全强度标准)，则控制返回框808以便确定跳转是否可用于另一个策略处置器以便实施级别2子策略。否则，如果在框818策略评估器416确定传感器输入满足级别2子策略，则在框820策略处置器对传感器输入实施级别3子策略。如果在框822策略评估器416确定不满足级别3子策略(例如，策略A、策略B、策略C、策略D中的一个或多个未导致真语句)，则控制返回框808以便确定跳转是否可用于另一个策略处置器以便实施级别3子策略。

如果在框822策略评估器416确定传感器输入满足级别3子策略，则在框824满足MFA子策略108。在框814，受控资源访问请求决策(例如，批准)被传送到保护所请求的受控资源的策略处置器。例如，资源处置器418实施所述决策(例如，允许访问第一受控资源114)。图8的示例过程800于是结束。

尽管在图8中公开的示例方法串行操作，策略处置器可以并行操作。另外或可替代地，MFA策略可以不包括一个或多个策略级别。例如，MFA策略可以不包括级别1策略、级别2策略和/或级别3策略。例如，当实施不具有级别1策略的MFA策略时，控制可以从框802进行到框816。如果MFA策略不包括级别2策略和/或级别3策略，可以采用类似的过程。

图9是能够执行图5至图8以便实现图1的策略管理器102和/或图1的策略处置器110、111、112、118和/或图4的策略处置器400的示例处理器平台900的框图。处理器平台900可以是例如服务器、个人计算机、移动设备(例如，蜂窝电话、智能电话、平板计算机，诸如iPad^TM)、个人数字助理(PDA)或任何其他类型的计算设备。

所示示例的处理器平台900包括处理器912。所示示例的处理器912是硬件。例如，处理器912可由来自任何期望的家族或制造商的一个或多个集成电路、逻辑电路、微处理器或控制器实现。

所示示例的处理器912包括本地存储器913(例如，高速缓存)。所示示例的处理器912经由总线918与包括易失性存储器914和非易失性存储器916的主存储器通信。易失性存储器914可以由同步动态随机存取存储器(SDRAM)、动态随机存储存储器(DRAM)、RAMBUS动态随机存取存储器(RDRAM)和/或任何其他类型的随机存取存储器设备实现。非易失性存储器916可以由闪存和/或任何期望类型的存储器设备实现。对主存储器914、916的访问由存储器控制器控制。

所示示例的处理器平台900还包括接口电路920。接口电路920可以由任何类型的接口标准(诸如以太网接口、通用串行总线(USB)和/或PCI快速接口)实现。

在所示示例中，一个或多个输入设备922连接到接口电路920。输入设备922准许用户向处理器912输入数据和命令。输入设备可以由例如音频传感器、麦克风、照相机(静态或视频)、键盘、按钮、鼠标、触摸屏、跟踪垫、轨迹球、隔离点和/或语音识别系统实现。

一个或多个输出设备924也连接到所示示例的接口电路920。输出设备924可以例如由显示设备(例如，发光二极管(LED)、有机发光二极管(OLED)、液晶显示器、阴极射线管显示器(CRT)、触摸屏、触觉输出设备、打印机和/或扬声器)实现。所示示例的接口电路920因此通常包括图形驱动器卡、图形驱动器芯片或图形驱动器处理器。

所示示例的接口电路920还包括通信设备(诸如发射机、接收机、收发机、调制解调器和/或网络接口卡)以便促进经由网络926(例如，以太网连接、数字用户线(DSL)、电话线、同轴电缆、蜂窝电话系统等等)与外部机器交换数据。

所示示例的处理器平台900还包括用于存储软件和/或数据的一个或多个大容量存储设备928。这种大容量存储设备928的示例包括软盘驱动器、硬盘驱动器、致密盘驱动器、蓝光盘驱动器、RAID系统和数字通用盘(DVD)驱动。

图5至图8的编码指令932可以存储在大容量存储设备928中、易失性存储器914中、非易失性存储器916中、和/或可移除有形计算机可读存储介质(诸如CD或DVD)上。

以下示例标识在此公开的附加示例方法、装置、系统和/或制品。一种用于在分布式环境中管理全局策略的示例策略处置器包括：解析器，所述解析器用于标识所述全局策略的能够由第一策略处置器实施的第一子策略；证明器，所述证明器用于对所述第一子策略进行签名；以及引导器，所述引导器用于：基于所述全局策略的签名状态确定是否将所述全局策略转发到第二策略处置器，以及当所述全局策略的所述签名状态指示未经签名的第二子策略时将所述全局策略转发到所述第二策略处置器。在其他公开示例中，所述第一策略处置器包括映射器，所述映射器用于生成用于标识所述第一策略处置器和所述第二策略处置器的映射，所述映射用于标识(a)所述第一策略处置器与所述第二策略处置器之间的通信路径以及(b)所述第二策略处置器的所述签名，并且其中，所述引导器用于处理所述映射以及当所述全局策略的所述签名状态不包括在所述映射中标识的所述第二策略处置器签名时将所述全局策略转发到所述第二策略处置器。其他公开的策略处置器包括以下示例：其中，所述引导器用于确定在所述映射中标识的所述通信路径是否是安全路径。在某些其他示例中，所述第一策略处置器包括跳转处置器，所述跳转处置器用于响应于确定所述通信路径是不安全路径而生成在所述第一策略处置器到所述第二策略处置器之间的第二安全路径。在另外其他的示例中，所述第一策略处置器包括审核器，所述审核器用于基于包括在所述映射中的其他策略处置器记录所述全局策略的应用。其他公开策略处置器包括以下示例：其中，所述审核器用于通过以下方式处理所述全局策略：标识包括在所述全局策略的第三子策略中的因子，确定所述映射是否对到与所述因子相对应的传感器的通信路径进行标识，以及当所述映射不对到所述传感器的所述通信路径进行标识时创建不包括所述第三子策略的经修改的全局策略，并且所述引导器用于经由受保护路径将所述经修改的全局策略转发到所述第二策略处置器。在某些公开示例中，所述映射器用于生成用于标识所述第二策略处置器的特征的所述映射。其他公开策略处置器包括以下示例：其中，所述引导器用于确定所述第二策略处置器的所述特征是否满足所述未经签名的第二子策略的一个或多个标准并且当所述第二策略处置器的所述特征满足所述未经签名的第二子策略的所述一个或多个标准时将所述全局策略转发到所述第二策略处置器。在某些示例中，所述第二策略处置器的所述示例特征包括所述第二策略处置器的功能类型或所述第二策略处置器的安全强度中的至少一项，并且所述未经签名的第二策略处置器的所述一个或多个标准包括功能要求或最小安全强度中的至少一项。在某些示例中，所述证明器用于通过将私钥附加到所述第一子策略来对所述第一子策略进行签名，所述私钥对于所述第一策略处置器是唯一的。在另外其他的示例中，所述证明器用于当所述解析器无法标识能够由所述第一策略处置器实施的子策略时对所述全局策略进行签名。在某些示例中，所述解析器用于通过将所述第一子策略标识为所述全局策略的未经签名的子策略来标识所述全局策略的所述第一子策略。在某些其他示例中，所述解析器用于当所述全局策略不包括未经签名的子策略时确定所述全局策略在所述分布式环境中被成功地配置。其他示例包括跳转处置器，所述跳转处置器用于响应于确定所述通信路径是不安全路径而生成从所述第一策略处置器到所述第二策略处置器的所述安全路径。在另外其他的示例中，所述引导器用于经由所述第一策略处置器与所述第二策略处置器之间的安全路径将所述全局策略转发到所述第二策略处置器。

一种用于在分布式环境中管理全局策略的示例方法包括：用处理器标识所述全局策略的能够由所述第一策略处置器实施的第一子策略；对所述第一子策略进行签名；以及用所述处理器基于所述全局策略的签名状态确定是否将所述全局策略转发到第二策略处置器，以及当所述全局策略的所述签名状态指示未经签名的第二子策略时将所述全局策略转发到所述第二策略处置器。在某些示例中，确定是否转发所述全局策略包括：生成标识所述第一策略处置器和所述第二策略处置器的映射，所述映射标识(a)所述第一策略处置器与所述第二策略处置器之间的通信路径以及(b)所述第二策略处置器的签名，以及当所述全局策略的所述签名状态不包括在所述映射中标识的所述第二策略处置器签名时将所述全局策略转发到所述第二策略处置器。在某些其他示例中，所述方法包括：确定在所述映射中标识的所述通信路径是否是安全路径。某些示例方法包括：响应于确定所述通信路径是不安全路径而生成在所述第一策略处置器到所述第二策略处置器之间的第二安全路径。另外其他的示例方法包括：基于包括在所述映射中的附加策略处置器处理所述全局策略。在某些示例中，处理所述全局策略包括：标识包括在所述全局策略的第三子策略中的因子，确定所述映射是否对到与所述因子相对应的传感器的通信路径进行标识，以及当所述映射不对到所述传感器的所述通信路径进行标识时创建不包括所述第三子策略的经修改的全局策略，以及经由受保护路径将所述经修改的全局策略转发到所述第二策略处置器。在某些示例方法中，生成所述映射包括：标识所述第二策略处置器的特征。其他公开示例方法包括：确定所述第二策略处置器的所述特征是否满足所述未经签名的第二子策略的一个或多个标准；以及当所述第二策略处置器的所述特征满足所述未经签名的第二子策略的所述一个或多个标准时将所述全局策略转发到所述第二策略处置器。在某些示例中，所述第二策略处置器的所述示例特征包括所述第二策略处置器的功能类型或所述第二策略处置器的安全强度中的至少一项，并且所述未经签名的第二策略处置器的所述一个或多个标准包括功能要求或最小安全强度中的至少一项。在另外其他的示例中，所述方法包括：通过将私钥附加到所述第一子策略来对所述第一子策略进行签名，所述私钥对于所述第一策略处置器是唯一的。其他示例方法包括：响应于无法标识所述第一子策略而对所述全局策略进行签名。另外其他的示例方法包括：标识所述全局策略的所述第一子策略进一步包括将所述第一子策略标识为所述全局策略的未经签名的子策略。在某些示例中，所述方法包括：确定所述全局策略不包括未经签名的子策略；以及当所述全局策略不包括未经签名的子策略时将所述全局策略记录为在所述分布式环境中被成功地配置。其他示例包括方法：经由所述第一策略处置器与所述第二策略处置器之间的安全路径将所述全局策略转发到所述第二策略处置器。在某些其他示例中，所述方法包括：响应于确定所述通信路径是不安全路径而生成在所述第一策略处置器到所述第二策略处置器之间的第二安全路径。

一种示例公开计算机可读存储介质包括当被执行时执行以下各项的指令：标识全局策略的能够由第一策略处置器实施的第一子策略；对所述第一子策略进行签名；以及基于所述全局策略的签名状态确定是否将所述全局策略转发到第二策略处置器，以及当所述全局策略的所述签名状态指示未经签名的第二子策略时将所述全局策略转发到所述第二策略处置器。当被执行时，某些示例指令：生成标识所述第一策略处置器和所述第二策略处置器的映射，所述映射标识(a)所述第一策略处置器与所述第二策略处置器之间的通信路径以及(b)所述第二策略处置器的签名，以及当所述全局策略的所述签名状态不包括在所述映射中标识的所述第二策略处置器签名时将所述全局策略转发到所述第二策略处置器。在某些公开示例指令中，当被执行时，使机器确定在所述映射中标识的所述通信路径是否是安全路径。某些示例公开指令包括包括响应于确定所述通信路径是不安全路径而生成在所述第一策略处置器到所述第二策略处置器之间的第二安全路径。在某些公开示例中，当被执行时，所述指令使机器基于包括在所述映射中的第三策略处置器处理所述全局策略。某些公开示例指令：标识包括在所述全局策略的第三子策略中的因子，确定所述映射是否对到与所述因子相对应的传感器的通信路径进行标识，以及当所述映射不对到所述传感器的所述通信路径进行标识时创建不包括所述第三子策略的经修改的全局策略，以及经由受保护路径将所述经修改的全局策略转发到所述第二策略处置器。在某些公开示例中，指令包括通过标识所述第二策略处置器的特征生成所述映射。当被执行时，其他公开示例指令使机器：确定所述第二策略处置器的所述特征是否满足所述未经签名的第二子策略的一个或多个标准；以及当所述第二策略处置器的所述特征满足所述未经签名的第二子策略的所述一个或多个标准时将所述全局策略转发到所述第二策略处置器。在某些示例中，所述第二策略处置器的所述示例特征包括所述第二策略处置器的功能类型或所述第二策略处置器的安全强度中的至少一项，并且所述未经签名的第二策略处置器的所述一个或多个标准包括功能要求或最小安全强度中的至少一项。当被执行时，某些示例指令通过将私钥附加到所述第一子策略对所述第一子策略进行签名，所述私钥对于所述第一策略处置器是唯一的。其他示例指令包括：响应于无法标识所述第一子策略而对所述全局策略进行签名。在某些示例指令中，当被执行时，使机器：当所述第一子策略时经签名的子策略时，确定所述全局策略不包括未经签名的子策略；以及当所述全局策略不包括未经签名的子策略时将所述全局策略记录为在所述分布式环境中被成功地配置。某些示例指令包括当所述通信路径是不安全路径时生成从所述第一策略处置器到所述第二策略处置器的所述安全路径。

一种用于管理分布式环境中的第一策略处置器的全局策略的示例公开系统包括：用于标识所述全局策略的能够由所述第一策略处置器实施的第一子策略的装置；用于对所述第一子策略进行签名的装置；以及用于基于所述全局策略的签名状态确定是否将所述全局策略转发到第二策略处置器的装置，以及用于当所述全局策略的所述签名状态指示未经签名的第二子策略时将所述全局策略转发到所述第二策略处置器的装置。在某些示例中，所述系统包括：用于生成标识所述第一策略处置器和所述第二策略处置器的映射的装置，所述映射标识(a)所述第一策略处置器与所述第二策略处置器之间的通信路径以及(b)所述第二策略处置器的签名：以及用于当所述全局策略的所述签名状态不包括在所述映射中标识的所述第二策略处置器签名时将所述全局策略转发到所述第二策略处置器的装置。在其他示例中，所述系统包括：用于确定在所述映射中标识的所述通信路径是否是安全路径的装置。某些示例系统包括：响应于确定所述通信路径是不安全路径用于生成在所述第一策略处置器到所述第二策略处置器之间的第二安全路径的装置。其他示例系统包括：用于基于包括在所述映射中的附加策略处置器处理所述全局策略的装置。在某些示例系统中，用于处理所述全局策略的所述装置包括：用于标识包括在所述全局策略的第三子策略中的因子的装置；用于确定所述映射是否对到与所述因子相对应的传感器的通信路径进行标识的装置；用于当所述映射不对到所述传感器的所述通信路径进行标识时创建不包括所述第三子策略的经修改的全局策略的装置；以及用于经由受保护路径将所述经修改的全局策略转发到所述第二策略处置器的装置。在某些示例系统中，用于生成所述映射的所述装置包括：用于标识所述第二策略处置器的特征的装置。其他公开示例系统包括：用于确定所述第二策略处置器的所述特征是否满足所述未经签名的第二子策略的一个或多个标准的装置；以及用于当所述第二策略处置器的所述特征满足所述未经签名的第二子策略的所述一个或多个标准时将所述全局策略转发到所述第二策略处置器的装置。在某些示例中，所述第二策略处置器的所述示例特征包括：所述第二策略处置器的功能类型或所述第二策略处置器的安全强度中的至少一项，并且所述未经签名的第二策略处置器的所述一个或多个标准包括功能要求或最小安全强度中的至少一项。在另外其他示例系统中，用于对所述第一子策略进行签名的所述装置包括：用于通过将私钥附加到所述第一子策略来对所述第一子策略进行签名的装置，所述私钥对于所述第一策略处置器是唯一的。其他示例系统包括：响应于无法标识所述第一子策略用于对所述全局策略进行签名的装置。在某些示例系统中，用于标识所述全局策略的所述第一子策略的所述装置包括：用于将所述第一子策略标识为所述全局策略的未经签名的子策略的装置。其他示例系统包括：用于确定所述全局策略不包括未经签名的子策略的装置；以及用于当所述全局策略不包括未经签名的子策略时将所述全局策略记录为在所述分布式环境中被成功地配置的装置。在另外其他示例中，系统包括：用于当所述通信路径是不安全路径时生成从所述第一策略处置器到所述第二策略处置器的所述安全路径的装置。

如前所述，将认识到已经公开了即使例如客户端环境中的不同受控资源可以由不同策略处置器保护时确保受控资源访问请求满足MFA策略的方法、装置和制品。

尽管已经在此公开了某些示例方法、装置、以及制品，本专利的覆盖范围不限于此。相反，本专利覆盖合理地落入本专利的权利要求书的范围内的所有方法、装置、以及制品。