-
ALLGEMEINER STAND DER TECHNIK
-
Firmenangestellte verwenden in der Regel mehrere Einrichtungen zum Ausführen ihrer Aufgaben für ihre Berufe. Zu diesen Einrichtungen können ein Desktop-PC, ein Laptop, ein Handy, ein Schreibtischtelefon, ein PDA (Personal Digital Assistant) und andere Elektronikeinrichtungen gehören. Im Verlauf eines beliebigen Tags kann der Firmenangestellte jede Einrichtung zusammen oder einzeln verwenden, um Aufgaben auszuführen. Viele dieser Einrichtungen weisen Systeme auf, die die Einrichtung je nach dem aktuellen Benutzungszustand für diese Einrichtung elektronisch verriegeln oder entriegeln. Das Verriegeln beinhaltet die Ausführung einer Benutzerschnittstelle oder einer anderen Anwendung, die erfordert, dass ein Benutzer die Einrichtung erneut startet, die Einrichtung wieder einschaltet oder Berechtigungsnachweise erneut eingibt, um die Einrichtung zu verwenden. Beispielsweise kann ein Desktop-Computer einen Bildschirmschoner ausführen, der ein Passwort erfordert, um den Bildschirmschoner zu deaktivieren, falls es im Laufe von mehreren Minuten keine Aktivität mit dem Desktop-Computer gibt. Andere Einrichtungen können ähnliche Arten von Programmen besitzen, die den Schutz und die Sicherheit der Einrichtungen sicherstellen. Leider können diese Arten von Verriegelungs- und Entriegelungsanwendungen für Firmenbenutzer Ablenkungen und Probleme erzeugen.
-
Wenn ein Firmenbenutzer nur eine einzelne Einrichtung verwendet, können die mit diesem Benutzer assoziierten anderen Einrichtungen alle sperren. Während eines langen Konferenzanrufs beispielsweise wird möglicherweise der Desktop-Computer während des Anrufs nicht verwendet. Nach mehreren Minuten kann der Desktop-Computer sperren, wodurch verhindert wird, dass der Benutzer sofortigen Zugang hat, ohne dass der Benutzer Authentisierungsinformationen in den Computer eingibt. Falls während des Konferenzanrufs ein plötzlicher Bedarf nach auf dem Desktop-Computer gespeicherten Informationen besteht, muss der Benutzer somit Authentisierungsinformationen in den Computer eingeben, was den Zugang des Benutzers zu den Informationen verlangsamt. Als solches besteht eine Notwendigkeit zum Koordinieren der Aktivitäten von mehreren Einrichtungen eines Benutzers, so dass keine einzelne Einrichtung sperren oder entsperren kann, ohne die Benutzung von anderen Einrichtungen durch den Benutzer innerhalb einer Gruppe der Einrichtungen des Benutzers zu kennen.
-
KURZE DARSTELLUNG DER ERFINDUNG
-
Im Hinblick auf die obigen Fragen und Probleme wurden die hier vorgelegten Ausführungsformen in Betracht gezogen. In der vorliegenden Anmeldung beschriebene Ausführungsformen stellen eine Trusted Group [= vertraute Gruppe] bereit. Eine Trusted Group ist eine Menge aus zwei oder mehr Einrichtungen, die sicher kommunizieren können, um Informationen über die Zustände der Einrichtungen auszutauschen. Die zwei oder mehr Einrichtungen können die Trusted Group durch den Austausch von Berechtigungsnachweisen oder Authentisierungsinformationen vereinbaren oder aufbauen. Nach dem Aufbau der Trusted Group können die zwei oder mehr Einrichtungen durch eine sichere Verbindung kommunizieren, die zwischen den Mitgliedern der Trusted Group aufgebaut ist. Jede Einrichtung kann dann normal arbeiten und kann Ereignisse antreffen, die den Status der Einrichtung ändern. Falls beispielsweise ein Desktop-Computer für eine Zeitperiode unbeaufsichtigt gelassen wird, kann der Desktop-Computer sperren. Informationen über das Sperren des Computers können mit den anderen Mitgliedern der Trusted Group ausgetauscht werden. Die anderen Mitglieder der Trusted Group können ebenfalls zusammen mit dem Desktop-Computer sperren. Bei anderen Ausführungsformen kann der Desktop-Computer Informationen empfangen, dass das Handy der Trusted Group aktiv ist, und somit auf ein Sperren verzichten. Als solches können die Mitglieder der Trusted Group interagieren und zusammenarbeiten, um sicherzustellen, dass je nach dem Zustand der mehreren Mitglieder der Trusted Group alle Einrichtungen zur Verfügung stehen oder gesperrt sind.
-
Die Ausführungsformen liefern ein einzigartiges System und Verfahren zum Erzeugen einer Trust Federation und begrenzten gemeinsamen Steuerung unter intelligenten Kommunikationseinrichtungen eines Benutzers. Die Trust Federation oder Trust Group berücksichtigt die Fähigkeiten der Benutzeridentitätsbestimmung, der Netzwerk- und Authentisierungs-/Sicherheitsentdeckung, der Einrichtungsentdeckung, der Näherungsbestimmung, der Aktivitätsdetektion, der Benutzerpräsenzdetektion, um Single Sign-on, Einzelgerätesperrung/-entsperrung, koordinierte Inaktivitätszeitabschaltung (oder andere stromsparende Zeitabschaltungsvorkehrungen) zu gestatten. Diese Funktionalität wird unter allen Einrichtungen des Benutzers bereitgestellt und kann von einem beliebigen der Mehrzahl von Einrichtungen, die mit der Trusted Group verbunden sind, betätigt werden.
-
Zu den Kommunikationseinrichtungen in der Trusted Group können unter anderem Schreibtischtelefone, Handys, Pager, PCs, PDAs usw. zählen.
-
Eine Gruppe von Kommunikationseinrichtungen kann einer Trusted Group beitreten. Die Kommunikationseinrichtung kann mit heterogenes Netzwerken assoziiert werden. Jede Einrichtung kann eine einzigartige und gegenseitig ausschließende Einschaltprozedur, Sign-on-Prozedur, Zertifikatsautorität und dergleichen besitzen. Die Trusted Group kann durch SIP, XML oder andere äquivalente Signalisierung zwischen den Einrichtungen gebildet werden, die eine Trusted-Group-Softwareanwendung besitzen. Die Trusted-Group-Softwareanwendung kann unter anderem eine oder mehrere der folgenden Fähigkeiten und/oder Elemente besitzen: 1) die Fähigkeit zum Bestimmen der Identität eines Benutzers und welche Genehmigungen und welcher Trust mit diesem Benutzer assoziiert sind; 2) die Fähigkeit zum Verhandeln von Trust zwischen verschiedenen Netzwerken, verschiedenen Zertifikatsautoritäten, unter anderen Einrichtungen und/oder Diensten, durch verschiedene Service-Provider lizenziert, und mit verschiedenen Benutzerrollen (z. B. ein persönliches Handy gegenüber einem Geschäftshandy); 3) die Fähigkeit zum Bestimmen der Art von Einrichtung, Einrichtungsfähigkeiten, Einrichtungsbeschränkungen und anderer Einrichtungsinformationen; 4) die Fähigkeit zum Entsperren und Authentisieren über einen sichereren Mechanismus, beispielsweise Biometrik; 5) die Fähigkeit zum Bestimmen einer Nähe von Einrichtungen eines Benutzers über ein Präsenzsystem unter Verwendung von Informationen wie etwa GPS, Geofencing, Bluetooth etc.; 6) die Fähigkeit, über Präsenzinformationen oder eine andere ähnliche Methodik eine Aktivität über alle Einrichtungen in der assoziierten Group aufzubauen; 7) die Fähigkeit zum Lesen von vordefinierten intelligenten Kommunikationseinrichtungspräferenzen, die der Benutzer einrichten kann, um die mit der Authentisierung, dem Trust, der gemeinsamen Zertifikatsnutzung, der Aktivitätszeitabschaltung usw. assoziierten Parameter zu definieren; und 8) die Fähigkeit zum Verwalten von Inaktivitäts- und/oder Stromsparmerkmalen unter weniger intelligenten Einrichtungen wie etwa Monitoren, Tastaturen, Zeige-Einrichtungen, Projektoren, Druckern usw., die über verdrahtete oder drahtlose Verbindungen mit den intelligenten Kommunikationseinrichtungen in der Trusted Group verbunden sein können.
-
Die Ausführungsformen können eine Softwareanwendung und einen assoziierten Kommunikationskanal enthalten, der SIP, XML oder Signalisierung besitzt, die auf den intelligenten Kommunikationseinrichtungen zur Verfügung stehen können. Alternativ befindet sich im Fall einer Zeitabschaltungssteuerung von weniger intelligenten assoziierten Einrichtungen, die mit intelligenten Kommunikationseinrichtungen kommunizieren, die Softwareanwendung möglicherweise auf den assoziierten intelligenten Einrichtungen und die Signalisierung kann über eine verdrahtete oder drahtlose Strecken wie etwa USB, Firewire, IRDA, Bluetooth, 802.11 usw. erfolgen. Da das System und das Verfahren SIP, XML, USB, Firewire usw. verwenden und sich auf den intelligenten Kommunikationseinrichtungen eine Softwareanwendung befindet, kann die Trusted Group auf Multivendor-, Multinetzwerk-, Multiprovider-Umgebungen erweitert werden.
-
Die SIP-Signalisierungsverbesserung bietet die Vorteile, dass sie in der Lage ist, eine Einrichtungsentdeckung unter Verwendung eines SIP-Kommunikationssignals automatisch durchzuführen. Wenn die Entdeckung abgeschlossen ist oder eine zuvor abgeschlossene Entdeckung gegenüber den von dem Benutzer besessenen aktuellen Einrichtungen geprüft wird, können sich die SSO-Anwendungen (Single Sign-on) miteinander verbinden und eine Trusted Group bilden, die verschiedene Einrichtungen in einer föderierten logischen vertrauten Beziehung mit einer gemeinsamen Steuerung assoziiert. Berechtigungsnachweise zwischen Einrichtungen werden gemeinsam genutzt, um ein gegenseitiges Entsperren/Sperren voneinander zu gestatten. Im Fall eines PC beispielsweise wird die SSO-Anwendung auf dem Telefon die Berechtigungsnachweise für den PC besitzen, und das Telefon kann den PC-Login-Dienst integrieren, so dass das Telefon den PC anweisen kann, zu entsperren. Dieses Verfahren ist der Fall für netzübergreifende oder unterschiedliche Systemkonfigurationen zwischen Einrichtungen. Die SSO-Anwendung ist eine vertraute Anwendung für alle Einrichtungen auf dem System und kann jede Einrichtung entsperren, ohne dass eine zusätzliche Autorisierung erforderlich wäre. Ein Vorteil des Systems besteht darin, dass verschiedene Einrichtungen auf heterogenen Netzwerken bilateral entsperren/sperren und authentisieren können. Dieser Vorteil wird weiterhin erzielt, ohne dass Tokens geteilt werden, sondern vielmehr durch direkte Genehmigungen, die über die Anwendung empfangen werden, und den Login-Berechtigungsnachweis der Einrichtungen.
-
Der Benutzer kann eine spezifische Einrichtung wählen, die die Kriterien der Sicherheit der leichten Benutzung und dergleichen erfüllt, um seine Berechtigungsnachweise für ein Login und andere Informationen einzugeben, die die Assoziation in der SSO-Trust-Group eindeutig identifizieren. Zu dieser Zeit verwendet die Anwendung die oben erwähnten Fähigkeiten und/oder Elemente, um den Benutzer effektiv mit der Trust Group aus intelligenten Kommunikationseinrichtungen zu verbinden und die Einrichtungen des Benutzers auf der Basis des Zugangs zu der gewählten spezifischen Einrichtung einzuschalten und/oder zu authentisieren. Zum Zeitpunkt der Konfiguration des Systems und des Verfahrens kann der Benutzer vorteilhafterweise Richtlinien oder Einstellungen dafür erstellen, wie verschiedene intelligente Kommunikationseinrichtungen zu sperren, zu entsperren und zu authentisieren sind und/oder ihre Zeitabschaltungskoordination fertigzustellen ist. Eine Steuerung von weniger intelligenten Einrichtungen, die mit den intelligenten Kommunikationseinrichtungen verknüpft sind, kann ebenfalls auf der Basis von Einstellungen erfolgen, die der Benutzer zum Zeitpunkt der System- oder Verfahrenskonfiguration einrichtet.
-
Einrichtungen können in der grafischen Kommunikationsmetapher beschrieben werden. Insbesondere kann die Einrichtung über einen Touchscreen, eine Kamera oder eine andere Technologie einen sichereren Zugang über einen oder mehrere Fingerabdruckscans, Irisdetektion usw. anbieten. Der Touchscreen kann verwendet werden, um einen Fingerabdruck zu authentisieren, anstatt dass man sich auf einen vorbedachten Scan über einen Daumenabdruckscanner verlässt. Verbesserungen an der grafischen Kommunikationsmetapherneinrichtung können diese Fähigkeiten erweitern, wenn zusätzliche Fähigkeiten und Anwendungen der Einrichtung hinzugefügt werden. Beispielsweise könnte die Einrichtung eine Anwendung aufweisen, die detektiert, ob bezüglich der Einrichtungsbenutzung ein atypisches Verhalten entdeckt wurde, und kann auslösen, dass die Einrichtung in einen Schutzmodus geht. Es sind auch andere Variationen dieses Themas möglich.
-
Die Ausdrücke „mindestens ein”, „ein oder mehrere” und „und/oder” sind offene Ausdrücke, die von der Operation her sowohl konjunktiv als auch disjunktiv sind. Beispielsweise bedeutet jeder der Ausdrücke „mindestens einer von A, B und C”, ”mindestens einer von A, B oder C”, ”einer oder mehrere von A, B und C”, ”einer oder mehrere von A, B oder C” und ”A, B und/oder C” A alleine, B alleine, C alleine, A und B zusammen, A und C zusammen, B und C zusammen oder A, B und C zusammen.
-
Der Ausdruck „in Kommunikation mit”, wie er hier verwendet wird, bezieht sich auf eine beliebige Kopplung, Verbindung oder Interaktion unter Verwendung elektrischer Signale zum Austauschen von Informationen oder Daten unter Verwendung eines beliebigen Systems, einer beliebigen Hardware, Software, eines beliebigen Protokolls oder Formats.
-
Der Ausdruck „ein” oder „eine” Entität bezieht sich auf eine oder mehrere dieser Entität. Die Ausdrücke „ein”, „ein oder mehrere” und „mindestens ein” können hierin vertauschbar verwendet werden. Es wird auch angemerkt, dass die Ausdrücke „umfassend”, „beinhaltend” und „mit” vertauschbar verwendet werden können.
-
Der Ausdruck „automatisch” und Variationen davon, wie hier verwendet, bezieht sich auf einen beliebigen Prozess oder eine beliebige Operation, der oder die ohne wesentliche menschliche Eingabe erfolgt, wenn der Prozess oder die Operation ausgeführt wird. Ein Prozess oder eine Operation kann jedoch auch dann automatisch sein, wenn die Ausführung des Prozesses oder der Operation eine menschliche Eingabe verwendet, ob wesentlich oder nicht wesentlich, falls die Eingabe vor der Ausführung des Prozesses oder der Operation empfangen wird. Eine menschliche Eingabe wird als wesentlich angesehen, wenn eine derartige Eingabe beeinflusst, wie der Prozess oder die Operation ausgeführt wird. Eine menschliche Eingabe, die der Ausführung des Prozesses oder der Operation zustimmt, wird nicht als „wesentlich” angesehen.
-
Der Ausdruck „computerlesbares Medium”, wie er hierin verwendet wird, bezieht sich auf jedes dinghafte Speicherung, die Teil hat an der Lieferung von Anweisungen an einen Prozessor zur Ausführung. Ein derartiges Medium kann viele Formen annehmen, unter anderem nichtflüchtige Medien, flüchtige Medien und Übertragungsmedien. Zu nichtflüchtigen Medien zählen beispielsweise NVRAM oder magnetische oder optische Platten. Zu flüchtigen Medien zählen ein dynamischer Speicher, wie etwa einen Hauptspeicher. Zu gewöhnlichen Formen von computerlesbaren Medien zählen beispielsweise eine Diskette, eine flexible Platte, eine Festplatte, ein Magnetband oder ein beliebiges anderes magnetisches Medium, magnetooptisches Medium, eine CD-ROM, ein beliebiges anderes optisches Medium, Lochkarten, Papierband, ein beliebiges anderes physisches Medium mit Lochmustern, ein RAM, ein PROM und EPROM, ein FLASH-EPROM, ein Festkörpermedium wie eine Speicherkarte, ein beliebiger anderer Speicherchip oder eine beliebige andere Speicherpatrone oder ein beliebiges anderes Medium, aus dem ein Computer lesen kann. Wenn das computerlesbare Medium als eine Datenbank konfiguriert ist, ist zu verstehen, dass es sich bei der Datenbank um eine beliebige Art von Datenbank handeln kann, wie etwa eine relationale, hierarchische, objektorientierte und/oder dergleichen. Dementsprechend wird die Erfindung so angesehen, dass sie ein dinghaftes Speichermedium und im Stand der Technik anerkannte Äquivalente und Nachfolgermedien beinhaltet, in denen die Softwareimplementierungen der vorliegenden Erfindung gespeichert sind.
-
Die Ausdrücke „bestimmen”, „kalkulieren” und „berechnen” und Variationen davon, wie sie hierin verwendet werden, werden vertauschbar verwendet und beinhalten eine beliebige Art von Methodik, Prozess, mathematischer Operation oder Technik.
-
Der Ausdruck „Modul”, wie er hierin verwendet wird, bezieht sich auf eine beliebige bekannte oder später entwickelte Hardware, Software, Firmware, Künstliche Intelligenz, Fuzzy-Logik oder Kombination aus Hardware und Software, die in der Lage ist, die mit diesem Element assoziierte Funktionalität auszuführen. Wenngleich die Erfindung in Form von Ausführungsbeispielen beschrieben ist, ist auch zu verstehen, dass individuelle Aspekte der Erfindung getrennt beansprucht werden können.
-
Das Bereitstellen von Präsenzinformationen und das Bestimmen einer Präsenz können erfolgen wie beschrieben in der US-Patentanmeldung Nr. 7,171,473 mit dem Titel ”System using HTTP protocol for maintaining and updating on-line presence information of new user in user table and group table,” erteilt am 30. Januar 2007, und der
US-Patentveröffentlichung Nr. 20070067443 mit dem Titel ”Presence-based hybrid peer-to-peer communications,” eingereicht am 30. September 2005, die für alles, was die Patente lehren, hierin in ihrer Gänze aufgenommen sind. Präsenzinformationen und die Bestimmung von Präsenz kann weiterhin erfolgen wie weiter beschrieben in der
Network Working Group Request for Comments: 2778, verfasst von M. Day, J. Rosenberg und H. Sugano, veröffentlicht von der Internet Engineering Task Force im Februar 2000 mit dem Titel "A Model for Presence and Instant Messaging," was für alles, das das Dokument lehrt, hier in der Gänze des Dokuments aufgenommen ist.
-
KURZE BESCHREIBUNG DER ZEICHNUNGEN
-
Die vorliegende Offenbarung wird in Verbindung mit den beigefügten Figuren beschrieben:
-
1 ist ein Blockdiagramm einer Ausführungsform einer Trusted Group von Einrichtungen;
-
2 ist ein Blockdiagramm einer Ausführungsform eines Systems zum Anlegen und Verwalten der Trusted Group;
-
3 ist ein Flussdiagramm einer Ausführungsform eines Prozesses zum Einrichten einer Trusted Group;
-
4 ist ein Flussdiagramm einer Ausführungsform eines Prozesses zum Verwalten einer Trusted Group;
-
5 ist ein Blockdiagramm einer Ausführungsform einer Rechenumgebung, die dahingehend betätigt werden kann, die hierin beschriebenen Ausführungsformen auszuführen;
-
6 ist ein Blockdiagramm einer Ausführungsform einer Computer- oder Rechensystemumgebung, die dahingehend betätigt werden kann, als die eine oder mehreren, hierin beschriebenen Einrichtungen auszuführen.
-
Bei den angehängten Figuren können ähnliche Komponenten und/oder Merkmale die gleiche Referenzbezeichnung besitzen. Weiterhin können verschiedene Komponenten vom gleichen Typ dadurch unterschieden werden, dass auf die Referenzbezeichnung ein Buchstabe folgt, der unter den ähnlichen Komponenten unterscheidet. Falls in der Spezifikation nur die erste Referenzbezeichnung verwendet wird, lässt sich die Beschreibung ungeachtet der zweiten Referenzbezeichnung auf eine beliebige der ähnlichen Komponenten mit der ersten Referenzbezeichnung anwenden.
-
AUSFÜHRLICHE BESCHREIBUNG
-
Die folgende Beschreibung liefert nur Ausführungsformen und soll den Schutzbereich, die Anwendbarkeit oder Konfiguration der Ansprüche nicht beschränken. Vielmehr wird die folgende Beschreibung dem Fachmann eine ermöglichende Beschreibung zum Implementieren der Ausführungsformen liefern. Es versteht sich, dass hinsichtlich der Funktion und Anordnung von Elementen verschiedene Änderungen vorgenommen werden können, ohne von dem Gedanken und Schutzbereich der beigefügten Ansprüche abzuweichen.
-
Ein System 100 zum Einrichten und Leiten einer Trusted Group ist in 1 gezeigt. Die Trusted Group kann mit zwei oder mehr Einrichtungen wie etwa Einrichtung 1 108, Einrichtung 2 110 und Einrichtung N 112 ausgebildet werden. Es können mehr oder weniger Einrichtungen als jene in 1 gezeigten vorliegen, wie durch die Auslassungspunkte 114 dargestellt. Die mehreren Einrichtungen 108, 110 und/oder 112 bilden die Mitglieder der Trusted Group. Jede Einrichtung 108, 110 und/oder 112 kann mit den anderen Einrichtungen 108, 110 und/oder 112 entweder direkt durch eine drahtlose Strecke oder eine verdrahtete Strecke kommunizieren oder kann mit den anderen Einrichtungen 108, 110 und/oder 112 durch ein Netzwerk 106 kommunizieren. Als solches kann jede Einrichtung 108, 110 und/oder 112 Informationen mit den anderen Einrichtungen 108, 110 und/oder 112 austauschen, um die Trusted Group zu bilden und auch zu leiten.
-
Bei einer Einrichtung 108, 110 und/oder 112 kann es sich um eine beliebige Kommunikationseinrichtung handeln, die von einem Benutzer zum Kommunizieren verwendet wird. Beispielsweise kann es sich bei einer Einrichtung 108, 110 und/oder 112 um eine intelligente Kommunikationseinrichtung wie etwa ein IP-befähigtes Schreibtischtelefon, ein Handy oder einen PDA usw. handeln. Weiterhin können die Einrichtungen 108, 110 und/oder 112 ein oder mehrere Rechensysteme wie etwa einen Laptop, einen Desktop-Computer, einen PDA usw. beinhalten. Ungeachtet dessen kann der Benutzer eine Trusted Group mit beliebigen von zwei oder mehr Elektronikeinrichtungen einrichten, die der Benutzer verwendet, um Geschäfte zu betreiben. Bei Ausführungsformen sind die eine oder mehreren Einrichtungen 108, 110 und/oder 112 IP-befähigte Einrichtungen, so dass die Einrichtungen 108, 110 und/oder 112 eine Präsenz auf einem Netzwerk begründen und eine IP-Adresse empfangen können. Die intelligenten Kommunikationseinrichtungen können auch ein SIP (Session Initiation Protocol) verwenden, um zu kommunizieren, eine Präsenz zu begründen und/oder SIP-Informationen zu empfangen oder zu senden.
-
Weiterhin können die Einrichtungen 108, 110 und/oder 112 in der Lage sein, durch ein oder mehrere Protokolle zu kommunizieren, einschließlich der Normen 802.11G oder N, Bluetooth-Kommunikationen oder anderer Kommunikationstypen. Die eine oder mehreren Einrichtungen 108, 110 und/oder 112 können Computereinrichtungen oder Rechensysteme sein, wie in Verbindung mit 5 und 6 beschrieben. Als solches kann jede Einrichtung 108, 110 und/oder 112 Anwendungen mit einem Prozessor ausführen und diese Anwendungen im Speicher speichern. Weiterhin können die Einrichtungen 108, 110 und/oder 112 Daten oder Informationen speichern, die bei der Einrichtung oder der Leitung von Trusted Groups verwendet werden. Die Einrichtungen 108, 110 und/oder 112 können auch in der Lage sein, SIP-Nachrichten entweder an eines der anderen Einrichtungsmitglieder 108, 110 und/oder 112 der Trusted Group oder an andere Systeme zu senden oder von diesen zu empfangen.
-
Jede Einrichtung 108, 110 und/oder 112 kann als Teil ihres Sicherheitssystems Systeme ausführen, die die Einrichtung sperren oder entsperren. Beispielsweise kann die Einrichtung 108, 110 und/oder 112 einen Bildschirmschoner oder ein anderes Programm verwenden, das einen Passwortschutz oder eine andere Authentisierungsanforderung besitzt, die bei Nichtgebrauch der Einrichtung 108, 110 und/oder 112 nach einer vorbestimmten Zeitperiode (z. B. eine Minute, fünf Minuten usw.) aktiv wird. Andere Einrichtungen 108, 110 und/oder 112 können ähnlich Sperr- oder Entsperrsysteme besitzen, die während Zuständen der Inaktivität oder während gewisser Ereignisse, die entweder von einem Benutzer durchgeführt werden oder automatisch eintreten können, Zugang zu der Einrichtung 108, 110 und/oder 112 verhindern. Bei Ausführungsformen kann eine Einrichtung 108, 110 und/oder 112 auch eine Anwendung sein, die auf einer Hardwareeinrichtung ausgeführt wird, beispielsweise eine auf einem Computersystem ausgeführte Soft-Telefonanwendung. Weiterhin kann eine Einrichtung 108, 110 und/oder 112 auch ein Server sein, der zu keinem einzelnen Benutzer in Beziehung steht, der aber Operationen für mehrere Benutzer durchführen kann und von einem einzelnen Benutzer für spezifische Anwendungen verwendet werden kann.
-
Jede Einrichtung 108, 110 und/oder 112 kann auch Präsenzinformationen enthalten. Zu Präsenzinformationen können sowohl Informationen über den physischen Ort als auch Informationen über die Aktivität der Einrichtung auf einem Netzwerk zählen. Beispielsweise können Präsenzinformationen ein Paar aus Breite und Länge oder ein gewisser anderer spezifischer geografischer oder physischer Ort zählen, die mit einer oder mehreren anderen Einrichtungen 108, 110 und/oder 112 geteilt werden. Zu Präsenzinformationen kann auch die Präsenz der Einrichtung 108, 110 und/oder 112 auf einem gewissen Netzwerk wie etwa auf einem Teilnetz eines lokalen Netzwerks (LAN – Local Area Network) zählen. Beispielsweise kann die SIP-Registrierung einer Einrichtung 108, 110 und/oder 112 zu einer Einrichtung oder einer Anwendung die Präsenz der Einrichtung 108, 110 und/oder 112 auf dem Netzwerk liefern. Mit den Präsenzinformationen kann die Reaktion auf ein Ereignis bestimmt werden, zu dem ein Sperr- oder Entsperrzustand für eine oder mehrere der Einrichtungen 108, 110 und/oder 112 zählen kann.
-
Die Einrichtungen 108, 110 und/oder 112 können durch ein Netzwerk 106 kommunizieren. Das Netzwerk kann ein LAN, ein Weitverkehrsnetz (WAN – Wide Area Network), ein drahtloses LAN, ein drahtloses WAN oder andere Arten von Netzwerken sein. Bei Ausführungsformen kann das Netzwerk 106 zwei oder mehr Netzwerke enthalten, die das Internet beinhalten können. Die Kommunikation des Netzwerks 106 mit jeder Einrichtung 108, 110 und/oder 112 kann durch die gleichen oder verschiedene Protokolle erfolgen, was die Protokolle 802.11G oder N, Bluetooth, TCP/IP usw. beinhalten kann. Die eine oder mehreren Einrichtung 108, 110 und/oder 112 können auch mit dem Server 102 kommunizieren.
-
Der Server 102 kann ein Computersystem sein, wie in Verbindung mit 5 und 6 definiert. Der Server 102 kann in der Lage sein, eine oder mehrere Anwendungen auszuführen, die für den Austausch von Informationen zwischen Einrichtungen 108, 110 und/oder 112 sorgen, um eine Trusted Group einzurichten. Weiterhin kann der Server 102 Anwendungen ausführen, die Berechtigungsnachweisinformationen an eine oder mehrere Einrichtungen 108, 110 und/oder 112 liefern. Die Berechtigungsnachweisinformationen können in einer Berechtigungsnachweisdatenbank 104 gespeichert sein, bei der es sich um eine beliebige Art von Datenbank handeln kann, wie in Verbindung mit 5 und 6 beschrieben. Die Berechtigungsnachweisdatenbank 104 kann einen oder mehrere Berechtigungsnachweise speichern, die zum Sperren oder Entsperren von von den Einrichtungen 108, 110 und/oder 112 ausgeführten Anwendungen verwendet werden.
-
Eine Ausführungsform eines Systems 200 mit einer Trusted Group ist in 2 gezeigt. Das System 200 enthält nur zwei Einrichtungen. Die Trusted Group mit nur zwei Einrichtungen sollte jedoch nicht als die einzig mögliche Ausführungsform ausgelegt werden, da die Trusted Group zwei oder mehr Einrichtungen besitzen kann. Ein Schreibtischtelefon 202 und ein PC 204 sind Mitglieder einer Trusted Group. Das System 200, wie in 2 gezeigt, ist nur ein Beispiel einer Konfiguration für eine Trusted Group. Die Trusted Group kann unterschiedliche Arten von Einrichtungen enthalten, die in der Trusted Group enthalten sind.
-
Das Schreibtischtelefon 202 und der PC 204 können auch mit einem Server 102 kommunizieren. Der Server 102 kann ein von dem Schreibtischtelefon 202 und dem PC 204 separates Computersystem sein, das verschiedene Anwendungen ausführt, um die Erstellung und Leitung der Trusted Group zu erleichtern. Bei alternativen Ausführungsformen jedoch können die Anwendungen, die ausgeführt werden, oder die Systeme, die durch den Server 102 erleichtert oder bereitgestellt werden, durch ein oder mehrere der Mitglieder der Trusted Group anstatt den Server 102 bereitgestellt werden. Beispielsweise kann jedes der verschiedenen Mitglieder der Trusted Group eine Datenbank zum Speichern der Informationen, die von dem Server 102 geliefert werden, als Teil der Einrichtung besitzen. Weiterhin können die von dem Server ausgeführten Anwendungen auch oder stattdessen auf einem oder mehreren der Mitglieder der Trusted Group ausgeführt werden. Zur Vereinfachung der Erläuterung wird das System 200 bereitgestellt, um die verschiedenen Merkmale der Einrichtungen und der Anwendungen zu erläutern, die auf den Einrichtungen oder dem Server ausgeführt werden können, um eine Trusted Group zu erstellen oder zu erleichtern.
-
Jede Einrichtung wie etwa das Schreibtischtelefon 202 und der PC 204 können eine SSO-Anwendung 206 ausführen und eine Berechtigungsnachweisdatenbank 208 enthalten. Jede Einrichtung 202 und/oder 204 kann ein Computersystem sein, wie in Verbindung mit 5 und 6 beschrieben. Als solches kann jede Einrichtung 202 und/oder 204 einen Prozessor und Speicher oder beliebige andere Komponenten enthalten, die notwendig sind, um Anwendungen auszuführen oder Daten oder Informationen in einem Einrichtungsspeicher zu speichern.
-
Die SSO-Anwendung 206 kann dahingehend betätigt werden, die Trusted Group einzurichten und Ereignisse von einem oder mehreren anderen Mitgliedern der Trusted Group auszutauschen. Die Berechtigungsnachweisdatenbank 208 kann dahingehend betätigt werden, Berechtigungsnachweise für die Einrichtung und andere Mitglieder der Trusted Group zu speichern. Als solches kann die SSO-Anwendung 206 Zugang zu anderen Einrichtungsberechtigungsnachweisen haben, die beim Senden von Nachrichten zwischen den Mitgliedern der Trusted Group verwendet werden können.
-
Der Server 102 kann ein Computersystem sein, wie in Verbindung mit 5 und 6 beschrieben. Der Server 102 kann somit einen Prozessor und Speicher enthalten und kann in der Lage sein, die Anwendungen auszuführen oder Daten zu speichern, wie im Folgenden beschrieben. Der Server 102 kann einen Sitzungsmanager 210 ausführen. Der Sitzungsmanager 210 ist eine Anwendung, die den Austausch von Nachrichten koordinieren kann, um zwischen Einrichtungen 202 und 204 eine Trusted Group einzurichten. Somit kann der Sitzungsmanager 210 dahingehend betätigt werden, Nachrichten wie etwa SIP-Nachrichten zu empfangen, um die Einrichtungen zu registrieren und sie über die Präsenz von anderen Mitgliedern der Trusted Group zu benachrichtigen. Der Server 102 kann auch eine Berechtigungsnachweisdatenbank 104 enthalten, die die Berechtigungsnachweise aller Mitglieder der Trusted Group speichern kann. Wenn Mitglieder zu der Trusted Group hinzugefügt werden, können somit die Berechtigungsnachweise aus der Berechtigungsnachweisdatenbank 104 an die neuen Mitglieder geliefert werden.
-
Weiterhin kann während der anfänglichen Bereitstellung oder Einrichtung der Mitglieder der Trusted Group die Berechtigungsnachweisdatenbank 104 die Berechtigungsnachweise mit den anderen Mitgliedern der Trusted Group austauschen oder sie mit ihnen gemeinsam nutzen.
-
Der Server 102 kann auch einen Account Manager 214 ausführen. Der Account Manager 214 kann eine Anwendung sein und kann dahingehend betätigt werden, die Informationen und das Verhalten der Trusted Group zu verwalten. Als solches kann der Account Manager 214 Richtlinien oder Direktiven von dem Benutzer empfangen, der die Trusted Group erstellt. Diese benutzerdefinierten Richtlinien können diktieren, wie die Trusted Group interagiert und auf Ereignisse wie etwa Entsperr- oder Sperrzustände reagiert. Die benutzerdefinierten Kriterien sind in einer Accountrichtliniendatenbank 216 enthalten. Bei der Accountrichtliniendatenbank 216 kann es sich um eine beliebige Art von Datenbank handeln, wie in Verbindung mit 5 und 6 beschrieben. Die Accountrichtliniendatenbank 216 kann Authentisierungsregeln oder -richtlinien enthalten, die von verschiedenen Systemen wie etwa Microsoft Exchange Server oder anderen Arten von Protokollen oder Systemen geliefert werden, die beim Networking der Einrichtungen 202 und 204 verwendet werden. Alle die verschiedenen Informationen können an den Account Manager 214 geliefert werden, um Richtlinien für das Verhalten und die Einrichtung der Trusted Group anzulegen.
-
Nach der Einrichtung der Trusted Group können die verschiedenen Mitglieder oder Einrichtungen 202 und 204 der Trusted Group direkt miteinander kommunizieren. Beispielsweise können die Einrichtungen 202 und 204 durch eine Verbindung 212 kommunizieren. Bei Ausführungsformen ist die Verbindung 212 eine gesicherte Verbindung. Die Verbindung 212 kann beispielsweise eine dauerhafte TLS-Verbindung (Transport Layer Security) sein. Die Verbindung 212 kann durch den Austausch direkter Socket-Informationen hergestellt werden, die es jeder der Trusted Group gestatten, Ereignisinformationen über die dauerhafte TLS-Verbindung 212 auf einem Port zu empfangen, auf dem die Mitglieder der Trusted Group lauschen. Falls sich die Netzwerkkonfiguration oder Registrierung einer Einrichtung verändern können, kann die Einrichtung durch den Server 102 gehen oder direkt zu der oder den anderen Einrichtungen, um die Verbindung 212 wiederherzustellen, um weiter Ereignisinformationen zu empfangen.
-
Eine Ausführungsform eines Verfahrens zum Einrichten einer Trusted Group ist in 3 gezeigt. Allgemein beginnt das Verfahren 300 mit einer Startoperation und endet mit einer Endeoperation. Während eine allgemeine Reihenfolge für die Schritte des Verfahrens 300 in 3 gezeigt ist, kann das Verfahren 300 mehr oder weniger Schritte enthalten oder die Reihenfolge der Schritte anders anordnen als jene in 3 gezeigten. Das Verfahren 300 kann als eine Menge von computerausführbaren Anweisungen ausgeführt werden, die von einem Computersystem ausgeführt und auf einem computerlesbaren Medium codiert oder gespeichert werden. Im Folgenden wird das Verfahren 300 unter Bezugnahme auf die Systeme, Komponenten, Module, Datenstrukturen, Benutzerschnittstellen usw. erläutert, die in Verbindung mit 1–2 beschrieben sind.
-
Die Trusted Group kann von einem Benutzer vor der Einrichtung einer Trusted Group festgelegt werden. Die Festlegung einer Trusted Group kann beinhalten, dass ein Benutzer Informationen für jede der zwei oder mehr Einrichtungen, die Teil der Trusted Group sein werden, registriert oder bereitstellt. Beispielsweise kann der Benutzer identifizierende Informationen wie etwa Handynummern, IP-Adressen oder andere Arten von identifizierenden Informationen für die zwei oder mehr Einrichtungen bereitstellen. Der Benutzer oder die Einrichtung kann als Reaktion auf die Bereitstellung von identifizierenden Informationen Authentisierungsberechtigungsnachweise für jede der Einrichtungen automatisch bereitstellen. Die Authentisierungsberechtigungsnachweise können später ausgetauscht werden, um auf Sperr- oder Entsperrzustände zu reagieren. Die Authentisierungsinformationen können an den Account Manager 214 geliefert und in der Accountrichtliniendatenbank 216 und/oder Berechtigungsnachweisdatenbank 104 gespeichert werden.
-
Weiterhin kann der Benutzer diktieren, wie das Single Sign-on innerhalb der Trusted Group auf der Basis verschiedener Ereignisse durchgeführt wird. Somit kann der Benutzer eine Richtlinie dafür definieren, wie die Trusted Group auf Sperr- und Entsperrzustände reagiert. Von diesen benutzerdefinierten Informationen wird angenommen, dass die Trusted Group sie kennt, bevor die Trusted Group eingerichtet wird. Der Benutzer kann eine beliebige Einrichtung bereitstellen und der Trusted Group Einrichtungen hinzufügen und sie von ihr wegnehmen. Beispielsweise kann der Benutzer das Handy, das Schreibtischtelefon, den Desktop-Computer und den PDA in eine einzelne Trusted Group einbeziehen, in der jene Einrichtungen miteinander interagieren können.
-
Nach der Bereitstellung können die Einrichtungen eine Trusted Group einrichten, wie in 3 beschrieben. 3 wird in Verbindung mit 1 und 2 beschrieben. Eine auf einer SSO-Anwendung 206 laufende Einrichtung 202 kann im Schritt 302 eine SIP-Registrierungs- und Abonnierungsnachricht an den Sitzungsmanager 210 schicken. Die SIP-Registrierungsnachricht bittet darum, dass die Einrichtung 202 registriert und mit einer IP-Adresse versehen wird und ein Abonnement für die Trusted Group erhält. Die Einrichtung 202 mit der SSO-Anwendung 206 weiß bereits, dass die Einrichtung 202 Teil einer Trusted Group ist, und bittet den Sitzungsmanager 210, die Einrichtung 202 dafür zu registrieren, auf Ereignisse zu lauschen, die der Sitzungsmanager 210 möglicherweise empfängt. Auf diese Registrierungsnachricht kann später durch das Registrieren der Einrichtung 202 und durch das Liefern von Ereignisinformationen von dem Sitzungsmanager 210 an die Einrichtung 202 reagiert werden.
-
Eine zweite Einrichtung 204 kann im Schritt 304 eine zweite Registrierungsabonnementnachricht an den Sitzungsmanager 210 senden. Die Einrichtung 202 ist bereits beim Sitzungsmanager 210 registriert. Als Antwort auf das Empfangen der zweiten Registrierungsnachricht in Schritt 304 kann somit der Sitzungsmanager 210 eine Benachrichtigungsnachricht an die Einrichtung 202 senden, um die Einrichtung 202 im Schritt 306 über die Registrierung der Einrichtung 204 zu benachrichtigen. Eine Benachrichtigungsnachricht kann Informationen über die Einrichtung 204 enthalten. Beispielsweise kann die Benachrichtigungsnachricht 306 die IP-Adresse der Einrichtung 204 enthalten, die von der Einrichtung 202 zum Kommunizieren mit der Einrichtung 204 verwendet werden kann. Weiterhin kann der Sitzungsmanager 210 eine Benachrichtigungsnachricht an die Einrichtung 204 senden, um die Einrichtung 204 im Schritt 308 auf die Existenz der Einrichtung 202 aufmerksam zu machen. Diese Benachrichtigungsnachricht kann Informationen über die Einrichtung 202 enthalten, wie etwa die IP-Adresse der Einrichtung 202.
-
Als Reaktion auf das Empfangen der Benachrichtigungsnachricht in Schritt 306 kann die Einrichtung 202 im Schritt 310 eine SIP-Einladungsnachricht an die Einrichtung 204 senden. Bei Ausführungsformen wird die SIP-Einladungsnachricht im Schritt 312 durch den Sitzungsmanager 210 an die Einrichtung 204 geleitet. Die in Schritten 310 und 312 gesendeten Einladungsnachrichten können einen selbstunterzeichneten Berechtigungsnachweis von der Einrichtung 202 an die Einrichtung 204 enthalten. Bei diesem selbstunterzeichneten Berechtigungsnachweis kann es sich um eine Menge von Authentisierungsinformationen handeln, die der Einrichtung 202 und der Einrichtung 204 bekannt sind. Der selbstunterzeichnete Berechtigungsnachweis gestattet der Einrichtung 204, die Einrichtung 202 als Mitglied der Trusted Group zu identifizieren und die Kommunikationen mit der Einrichtung 202 fortzusetzen. Bei dem selbstunterzeichneten Berechtigungsnachweis kann es sich um eine beliebige Art von Authentisierungsinformationen handeln, die durch verschiedene Verschlüsselungsverfahren verifiziert werden können, einschließlich beispielsweise von PGP (Pretty Good Privacy) oder anderen Verschlüsselungsverfahren mit öffentlichem oder privatem Schlüssel.
-
Als Reaktion auf das Empfangen der Einladungsnachricht in Schritt 302 kann die Einrichtung 204 eine „200 OK”-Nachricht in Schritt 314 als Antwort senden. Bei Ausführungsformen kann die 200-OK-Nachricht in Schritt 316 durch den Sitzungsmanager 210 gesendet werden, der die 200-OK-Nachricht an die Einrichtung 202 leitet. Die in den Schritten 314 und 316 gesendeten 200-OK-Nachrichten enthalten die selbstunterzeichneten Berechtigungsnachweise der Einrichtung 204, die an die Einrichtung 202 geliefert werden. Als solches kann die Einrichtung 202 die Identität der Einrichtung 204 mit dieser Authentisierungsinformation in dem selbstunterzeichneten Zertifikat authentisieren.
-
Nachdem die Authentisierung der Einrichtungen von jedem der Mitglieder der Trusted Group bestätigt ist, kann die Trusted Group in Schritt 318 eine sichere Verbindung bilden. Die Einrichtung 202 oder die Einrichtung 204 kann dann das Kommunizieren starten oder Portinformationen austauschen, um eine dauerhafte TLS-Verbindung über einen definierten Port einzurichten. Diese Informationen über eine direkte Socket-Verbindung können zwischen Einrichtungen derart ausgetauscht werden, dass etwaige nachfolgende gleiche Informationen über die dauerhafte TLS-Verbindung geschickt werden können. Somit wird im Schritt 320 die TLS-Verbindung von der Einrichtung 204 zur Einrichtung 202 eingerichtet und/oder die TLS-Verbindung wird im Schritt 318 zwischen der Einrichtung 202 und der Einrichtung 204 eingerichtet. Etwaige spätere Ereignisinformationen können direkt zwischen den Mitgliedern der Trusted Group geschickt werden. Es besteht keine Notwendigkeit für eine TSL-Tunnelung, da die Trusted Group eine dauerhafte, sichere und direkte Verbindung bildet. Weiterhin ist diese TLS-Verbindung sicherer, da sie durch keine anderen Einrichtungen läuft, sondern stattdessen wird die TLS-Verbindung automatisch zwischen den Einrichtungen bereitgestellt.
-
Eine Ausführungsform 400 zum Leiten einer Trusted Group ist in 4 gezeigt. Allgemein beginnt das Verfahren 400 mit einer Startoperation 402 und endet mit einer Endoperation 416. Während eine allgemeine Reihenfolge für die Schritte des Verfahrens 400 in 4 gezeigt ist, kann das Verfahren 400 mehr oder weniger Schritte enthalten oder die Reihenfolge der Schritte anders anordnen als jene in 4 gezeigten. Das Verfahren 400 kann als eine Menge von computerausführbaren Anweisungen ausgeführt werden, die von einem Computersystem ausgeführt und auf einem computerlesbaren Medium codiert oder gespeichert werden. Im Folgenden soll das Verfahren 400 unter Bezugnahme auf die Systeme, Komponenten, Module, Datenstrukturen, Benutzerschnittstellen usw. erläutert werden, die in Verbindung mit 1–3 beschrieben sind.
-
Eine Trusted Group wird im Schritt 404 eingerichtet. Das Einrichten der Trusted Group kann ähnlich zu dem in 3 beschriebenen sein. Ungeachtet dessen werden zwei oder mehr Einrichtungen in einer Trusted Group registriert und können danach miteinander kommunizieren. Die Trusted Group kann dann im Schritt 406 eine Single-Sign-on-Verbindung einrichten. Die SSO-Verbindung kann eine sichere Verbindung sein, wie etwa eine in Verbindung mit 3 beschriebene dauerhafte TLS-Verbindung. Dieses Einrichten der SSO-Verbindung kann durch den Austausch von Informationen über eine direkte Socket-Verbindung zwischen den verschiedenen Mitgliedern der Trusted Group erfolgen, wie in Verbindung mit 3 beschrieben. Nach dem Einrichten der Trusted Group und dem Einrichten der SSO-Verbindung können die verschiedenen Einrichtungen verschiedene Anwendungen ausführen oder Kommunikationen betreiben, wie dies mit den Einrichtungen üblich ist. Diese verschiedenen Einrichtungsaktionen sind in der Technik für jene verschiedenen Einrichtungen bekannt.
-
Eine der Einrichtungen der Trusted Group kann in Schritt 408 ein Ereignis ausführen. Bei einem Ereignis kann es sich um eine beliebige Art von Aktion handeln, die den Zustand der Einrichtung ändern kann. Beispielsweise kann ein Ereignis ein Mangel an Aktivität für eine vorbestimmte Zeitperiode beinhalten, was das Ausführen eines Bildschirmschoners oder einer andere Sperranwendung bewirkt, es kann einen Transport der Einrichtung weg von den anderen Mitgliedern der Trusted Group sein oder irgendeine andere Aktion, die eine Änderung beim Zustand der Sperr-/Entsperranwendung erzeugt. Beim Ausführen des Ereignisses im Schritt 408 oder vor der Ausführung des Ereignisses kann die SSO-Anwendung 206 das Ereignis an ein oder mehrere andere Mitglieder der Trusted Group senden.
-
Ein oder mehrere andere Mitglieder der Trusted Group können im Schritt 410 das Ereignis empfangen. Das Ereignis kann über die dauerhafte TLS-Verbindung 212 an dem vorbestimmten Port empfangen werden, auf den die anderen Einrichtungen lauschen. Das Ereignis kann mit mit dem Ereignis gesendeten Informationen assoziiert sein; die mit dem Ereignis assoziierten Informationen können Berechtigungsnachweise für die das Ereignis sendende Einrichtung oder die das Ereignis empfangende Einrichtung sein. Das Ereignis kann auch beschreiben, was geschehen ist, damit die anderen Mitglieder der Trusted Group bestimmen können, wie sie auf das Ereignis reagieren sollen. Diese Informationen werden von der SSO-Anwendung 206 der empfangenden Einrichtung empfangen, wo die empfangende Einrichtung im Schritt 412 bestimmt, ob eine Antwort auf das Ereignis vorliegt.
-
Die SSO-Anwendung kann die Informationen über das Ereignis überprüfen und eine oder mehrere der Richtlinien anwenden, die durch den Benutzer festgelegt und von dem Account Manager 214 geliefert worden sind und in der Accountrichtliniendatenbank 216 gespeichert sind. Die Accountrichtlinien können anweisen, wie eine oder mehrere der Einrichtungen auf eine beliebige Art von Ereignis reagieren, das von einer oder mehreren der anderen Einrichtungen in der Trusted Group empfangen wird. Auf der Basis der Überprüfung des Ereignisses und gemäß der Richtlinie aus der Richtliniendatenbank 216 und durch die SSO-Anwendung 206 angewendet kann die Einrichtung bestimmen, ob eine Reaktion vorliegt oder ob keine Reaktion auf das Ereignis vorliegt. Falls keine Reaktion vorliegt, geht Schritt 412 mit „NEIN” zurück zu Schritt 408, um auf ein anderes Ereignis zu warten. Falls jedoch eine Reaktion auf das Ereignis vorliegt, geht Schritt 412 mit „JA” zu Schritt 414.
-
Die anderen Einrichtungen der Trusted Group führen in Schritt 414 eine Reaktion aus. Falls beispielsweise das Ereignis eines der Mitglieder der Trusted Group sperren soll, kann die Reaktion darin bestehen, alle die Mitglieder der Trusted Group zu sperren, so dass kein Mitglied der Trusted Group verwendet werden kann. Falls bei anderen Ausführungsformen das Ereignis eine Einrichtung entsperren soll, können die anderen Einrichtungen durch Entsperren reagieren. Je nach der Situation und den Richtlinien oder Anweisungen, die von dem Benutzer aufgestellt und von dem Account Manager 214 bereitgestellt wurden, können die anderen Einrichtungen je nach dem Ereignis unterschiedlich reagieren.
-
Eine Reihe von im Folgenden vorgelegten Verwendungsfällen unterstützt das Verständnis der Ausführung und der Operation der Trusted Group. Zuerst sei eine beispielhafte Benutzerumgebung angenommen, bei der ein Benutzer ein Schreibtischtelefon, ein Handy, einen Desktop-Computer und einen Laptop in seinem Büro hat. Der Benutzer hat die SSO-Anwendung auf allen Einrichtungen installiert. Weiterhin hat der Benutzer Bereitstellungsschritte vollzogen, um alle Einrichtungen in einer SSO-Trust-Group zu assoziieren. Das Hinzufügen/Löschen einer beliebigen Einrichtung zu bzw. aus der SSO-Trust-Group kann eine manuelle Bestätigung von dem Benutzer erfordern. Bei Ausführungsformen wird eine einzigartige Identifizierung (z. B. die Telefondurchwahl) verwendet, um die SSO-Trust-Group eindeutig zu identifizieren. Die SSO-Anwendungen auf allen Einrichtungen haben (unter Verwendung eines sicheren Transports wie etwa TLS, IPSec usw.) einen sicheren Kommunikationskanal aufgebaut, um miteinander zu kommunizieren. Außerdem muss der Benutzer möglicherweise Entsperrberechtigungsnachweise für eine SSO-Anwendung für die verschiedenen Einrichtungen in der SSO-Trust-Group bereitstellen.
-
Bei einem ersten Beispiel sperrt der Benutzer den Desktop-Computer und verlässt das Büro. Alle anderen Einrichtungen in der SSO-Trust-Group (d. h. das Handy, das Schreibtischtelefon, der Laptop des Benutzers) empfangen den Sperrauslöser von dem Desktop-Computer des Benutzers über die TLS-Verbindung. Das Schreibtischtelefon und/oder der Laptop des Benutzers können unter Verwendung einer IP-Teilnetzverifikation (d. h., befinden sich die Einrichtungen in dem gleichen Teilnetz) sicherstellen, dass sich der Desktop-Computer des Benutzers physisch nahe der anderen Einrichtung befindet. Nachdem die Verifikation abgeschlossen ist, löst die SSO-Anwendung auf dem Schreibtischtelefon und dem Laptop Einrichtungssperren für jene Einrichtungen aus. Bei diesem Beispiel können zum Identifizieren einer physischen Nähe verschiedene Mechanismen verwendet werden. Beispielsweise ist es auch möglich, einige Einrichtungen als stationär zu definieren (z. B. dem Desktop-Computer, das Schreibtischtelefon), und möglicherweise ist keine Entdeckung der physischen Nähe für die stationären Einrichtungen erforderlich. Das Handy kann dann sicherstellen, dass sich der Desktop-Computer physisch nahe befindet, z. B. ist der Desktop-Computer über Bluetooth mit dem Handy verbunden. Dann löst die SSO-Anwendung auf dem Handy ein Sperren des Handys aus. Der Desktop-Computer-Entsperrungsverwendungsfall ist ähnlich dem Sperrungsverwendungsfall, und alle Einrichtungen in der SSO-Trust-Group können sich auf ähnliche Weise entsperren.
-
Bei einem zweiten Beispiel verlässt der Benutzer sein Büro und sperrt nicht den Desktop-Computer. Nach einiger Zeit kommt es zu einer Inaktivitätszeitabschaltung auf dem Desktop-Computer und sie sperrt den Desktop-Computer. Alle die anderen Einrichtungen in der SSO-Trust-Group (z. B. das Handy, das Schreibtischtelefon, der Laptop des Benutzers) empfangen den Sperrauslöser von dem Desktop-Computer. Das Schreibtischtelefon und/oder der Laptop des Benutzers stellen unter Verwendung von IP-Teilnetzverifikation (d. h., alle Einrichtungen befinden sich in dem gleichen Teilnetz) sicher, dass sich der Desktop-Computer in im Wesentlichen physischer Nähe befindet. Nachdem die Verifikation abgeschlossen ist, löst die SSO-Anwendung auf dem Schreibtischtelefon und/oder dem Laptop des Benutzers an jenen Einrichtungen Einrichtungssperren aus. Das Handy stellt sicher, dass sich der Desktop-Computer in im Wesentlichen physischer Nähe befindet, weil der Desktop-Computer über eine Bluetooth-Verbindung mit dem Handy verbunden ist. Die SSO-Anwendung auf dem Handy löst dann aus, dass das Handy sperrt. Der Benutzerfall mit einer Desktop-Computer-Entsperrung ist ähnlich diesem Desktop-Computer-Sperrungsverwendungsfall, und alle Einrichtungen in der SSO-Trust-Group können sich in diesem Verwendungsfall selbst entsperren.
-
Bei einem dritten Beispiel verlässt ein Benutzer das Büro mit dem Handy. Der Desktop-Computer erhält einen Bluetooth-Trennauslöser von dem Handy. Dann prüft der Desktop-Computer die SSO-Richtlinie, die eine Anweisung enthält, dass eine Bluetooth-Trennung den Desktop-Computer sperren soll. Die SSO-Anwendung auf dem Desktop-Computer löst Einrichtungssperren für die SSO-Trust-Group aus. Alle anderen Einrichtungen in der SSO-Trust-Group (z. B. das Handy, das Schreibtischtelefon, der Laptop) empfangen den Sperrauslöser von dem Desktop-Computer. Bei alternativen Ausführungsformen empfängt eine gewisse Teilmenge an Einrichtungen den Sperrauslöser. Beispielsweise sperren alle Einrichtungen außer dem Handy oder Sperren alle Einrichtungen außer dem Handy und dem Laptop. Auf diese Weise wird eine vorgesehene Sperrung implementiert, die die Einrichtungen auf der Basis der Parameter der Situation verwalten kann, die die SSO-Trust-Group antrifft. Die bereitgestellte Sperrung kann auf Regeln basieren, die entweder automatisch oder von dem Benutzer generiert werden. Das Schreibtischtelefon und/oder der Laptop stellen unter Verwendung einer IP-Teilnetzverifikation sicher, dass sich der Desktop-Computer des Benutzers physisch in der Nähe befindet. Nachdem die physische Nähe verifiziert ist, löst die SSO-Anwendung auf dem Schreibtischtelefon und/oder dem Laptop aus, dass das Schreibtischtelefon und der Laptop sperren.
-
Bei einem letzten Beispiel betritt der Benutzer sein Büro mit seinem entsperrten Handy. Der Desktop-Computer verbindet sich unter Verwendung von Bluetooth mit dem Handy (die Bluetooth-Verbindung stellt sicher, dass sich das Handy und deshalb der Benutzer physisch in der Nähe befindet). Der Desktop-Computer kann sich dann über den SSO-Kanal mit dem Handy verbinden und bestimmen, dass der Handyeinrichtungszustand entsperrt ist. Die SSO-Anwendung löst bei dem Desktop-Computer eine Einrichtungsentsperrung für den Desktop-Computer aus. Dann löst die Entsperrung des Desktop-Computer aus, dass andere Einrichtungen in der SSO-Trust-Group entsperren. Das Schreibtischtelefon und/oder der Laptop stellen unter Verwendung von IP-Teilnetzverifikation sicher, dass sich der Desktop-Computer physisch in der Nähe befindet. Nach dem Abschluss der Verifikation löst die SSO-Anwendung auf dem Schreibtischtelefon und/oder dem Laptop Einrichtungsentsperrungen jeweils für das Schreibtischtelefon und/oder den Laptop aus.
-
5 zeigt ein Blockdiagramm einer Rechenumgebung 500, die als System oder Umgebung für die hierin beschriebenen Ausführungsformen fungieren kann. Das System 500 enthält einen oder mehrere Benutzercomputer 505, 510 und 515. Die Benutzercomputer 505, 510 und 515 können Allzweck-PCs sein (einschließlich, lediglich als Beispiel, von PCs und/oder Laptops, auf denen verschiedene Versionen der Betriebssysteme WindowsTM von Microsoft Corp. und/oder MacintoshTM von Apple Corp. laufen) und/oder Workstation-Computer, auf denen ein beliebiges einer Vielzahl von im Handel erhältlichen UNIXTM- oder UNIX-artigen Betriebssystemen läuft. Diese Benutzercomputer 505, 510, 515 können auch eine beliebige einer Vielzahl von Anwendungen besitzen, einschließlich beispielsweise von Datenbank-Client- und/oder Server-Anwendungen und Webbrowseranwendungen. Alternativ kann es sich bei den Benutzercomputern 505, 510 und 515 um irgendeine andere elektronische Einrichtung wie etwa einen Thin-Client-Computer, ein internetfähiges Handy und/oder einen PDA handeln, die in der Lage sind, über ein Netzwerk (z. B. das unten beschriebene Netzwerk 520) zu kommunizieren und/oder Webseiten oder andere Arten von elektronischen Dokumenten anzuzeigen und durch diese zu navigieren. Wenngleich das beispielhafte System 500 mit drei Benutzercomputern gezeigt ist, kann eine beliebige Anzahl von Benutzercomputern unterstützt werden.
-
Das System 500 enthält weiterhin ein Netzwerk 520. Bei dem Netzwerk 20 kann es sich um eine beliebige Art von Netzwerk handeln, das dem Fachmann bekannt ist, das Datenkommunikationen unterstützen kann, wobei ein beliebiges einer Vielzahl von im Handel erhältlichen Protokollen verwendet wird, unter anderem TCP/IP, SNA, IPX, Apple Talk und dergleichen. Lediglich als Beispiel kann das Netzwerk 520 ein Nahbereichsnetzwerk („LAN” – Local Area Network) wie etwa ein Ethernet-Netzwerk, ein Token-Ring-Netzwerk und/oder dergleichen sein; ein Fernbereichsnetzwerk; ein virtuelles Netzwerk, einschließlich unter anderem eines virtuellen Privatnetzes („VPN” – Virtual Private Network); des Internets; eines Intranets; eines Extranets; eines öffentlichen Telefonwählnetzes („PSTN” – Public Switched Telephone Network); eines Infrarotnetzwerks; eines Funknetzwerks (z. B. eines Netzwerks, das unter einem beliebigen der Serie IEEE 802.11 von Protokollen, dem in der Technik bekannten BluetoothTM-Protokoll und/oder einem beliebigen anderen Funkprotokoll arbeitet); und/oder einer beliebigen Kombination aus diesen und/oder anderen Netzwerken.
-
Das System 500 kann auch einen oder mehrere Server-Computer 525, 530 enthalten. Ein Server kann ein Web-Server 525 sein, der zum Verarbeiten von Anfragen nach Webseiten oder anderen elektronischen Dokumenten von Benutzercomputern 505, 510 und 515 verwendet werden kann. Auf dem Web-Server können ein Betriebssystem einschließlich eines beliebigen der obigen erörterten sowie beliebiger im Handel erhältlichen Serverbetriebssysteme laufen. Der Web-Server 525 kann auch eine Vielzahl von Serveranwendungen laufen, einschließlich von HTTP-Servern, FTP-Servern, CGI-Servern, Datenbankservern, Java-Servern und dergleichen. in einigen Fällen kann der Web-Server 525 verfügbare Operationen als einen oder mehrere Web-Dienste veröffentlichen. Das System 500 kann auch einen oder mehrere Datei- und/oder Anwendungsserver 530 enthalten, die zusätzlich zu einem Betriebssystem eine oder mehrere Anwendungen enthalten können, auf die ein Client zugreifen kann, der auf einem oder mehreren der Benutzercomputer 505, 510, 515 läuft. Der oder die Server 530 können ein oder mehrere Allzweckcomputer sein, die als Reaktion auf die Benutzercomputer 505, 510 und 515 Programme oder Skripts ausführen können. Als ein Beispiel kann der Server eine oder mehrere Webanwendungen ausführen. Die Webanwendung kann als ein oder mehrere Skripts oder Programme implementiert sein, die in einer beliebigen Programmiersprache geschrieben sind wie etwa JavaTM, C, C#TM oder C++ und/oder eine beliebige Skriptsprache wie etwa Perl, Python oder TCL, sowie Kombinationen aus beliebigen Programmier/Skriptsprachen. Der oder die Anwendungsserver 530 können auch Datenbankserver enthalten, einschließlich unter anderem jener, die kommerziell von Oracle, Microsoft, SybaseTM, IBMTM und dergleichen erhältlich sind, die Anfragen von Datenbank-Clients verarbeiten können, die auf einem Benutzercomputer 505 laufen.
-
Die von dem Webanwendungsserver 530 erzeugten Webseiten können über einen Web-Server 525 an einen Benutzercomputer 505 weitergeleitet werden. Analog kann der Web-Server 525 Webseitenanforderungen, Webdienstaufrufe und/oder Eingangsdaten von einem Benutzercomputer 505 empfangen und die Webseitenanforderungen und/oder Eingangsdaten an den Webanwendungsserver 530 weiterleiten. Bei weiteren Ausführungsformen kann der Server 530 als ein Datenserver fungieren. Wenngleich 5 zur Erleichterung der Beschreibung einen separaten Webserver 525 und Daten/Anwendungsserver 530 darstellt, erkennt der Fachmann, dass die bezüglich der Server 525, 530 beschriebenen Funktionen je nach implementierungsspezifischen Bedürfnissen und Parametern durch einen einzelnen Server und/oder mehrere spezialisierte Server ausgeführt werden können. Die Computersysteme 505, 510 und 515, der Datenserver 525 und/oder der Anwendungsserver 530 können als Server oder andere hierin beschriebene Systeme fungieren.
-
Das System 500 kann auch eine Datenbank 535 enthalten. Die Datenbank 535 kann sich an einer Vielzahl von Orten befinden. Beispielsweise kann sich die Datenbank 535 auf einem Speichermedium befinden, das zu einem oder mehreren der Computer 505, 510, 515, 525, 530 lokal ist (und/oder darin befindet). Alternativ kann es von einem beliebigen oder allen der Computer 505, 510, 515, 525, 530 abgesetzt sein und mit einem oder mehreren von diesen in Kommunikation stehen (z. B. über das Netzwerk 520). Bei einer bestimmten Menge von Ausführungsformen kann sich die Datenbank in einem Speichernetzwerk („SAN” – Storage Area Network) befinden, das dem Fachmann bekannt ist. Analog können etwaige erforderliche Dateien zum Ausführen der den Computern 505, 510, 515, 525, 530 zugewiesenen Funktionen wie angebracht lokal auf dem jeweiligen Computer und/oder abgesetzt gespeichert werden. Bei einer Menge von Ausführungsformen kann die Datenbank 535 eine relationale Datenbank wie etwa Oracle 10iTM sein, die ausgelegt ist zum Speichern, Aktualisieren und Abrufen von Daten als Reaktion auf SQL-formatierte Befehle. Die Datenbank 535 kann die gleiche wie die hierin verwendete Datenbank oder eine ähnliche sein.
-
6 zeigt eine Ausführungsform eines Computersystems 600, auf dem Server oder andere hierin beschriebene Systeme eingesetzt oder ausgeführt werden können. Das Computersystem 600 ist so gezeigt, dass es Hardwareelemente umfasst, die über einen Bus 655 elektrisch gekoppelt sein können. Zu den Hardwareelementen können eine oder mehrere zentrale Verarbeitungseinheiten (CPUs) 605; eine oder mehrere Eingabeeinrichtungen 610 (z. B. eine Maus, eine Tastatur usw.); und eine oder mehrere Ausgabeeinrichtungen 615 (z. B. eine Displayeinrichtung, ein Drucker usw.) zählen. Das Computersystem 600 kann auch ein oder mehrere Speichereinrichtungen 620 enthalten. Beispielsweise kann es sich bei der oder den Speichereinrichtungen 620 um Plattenlaufwerke, optische Speichereinrichtungen, eine Halbleiterspeichereinrichtung wie etwa einen Direktzugriffsspeicher (”RAM” – Random Access Memory) und/oder ein Festwertspeicher (”ROM” – Read-only Memory) handeln, die programmierbar, flash-aktualisierbar und/oder dergleichen sein können.
-
Das Computersystem 600 kann außerdem ein Lesegerät 625 für computerlesbare Speichermedien; ein Kommunikationssystem 630 (z. B. ein Modem, eine Netzwerkkarte (drahtlos oder verdrahtet), eine Infrarotkommunikationseinrichtung usw.); und einen Arbeitsspeicher 640 enthalten, der RAM- und ROM-Einrichtungen wie oben beschrieben enthalten kann. Bei einigen Ausführungsformen kann das Computersystem 600 auch eine Verarbeitungsbeschleunigungseinheit 635 enthalten, die einen DSP, einen Spezialprozessor und/oder dergleichen enthalten kann.
-
Das Lesegerät 625 für computerlesbare Speichermedien kann weiterhin mit einem computerlesbaren Speichermedium verbunden sein, wobei sie zusammen (und optional in Kombination mit einer oder mehreren Speichereinrichtungen 620) umfassend abgesetzte, lokale, feste und/oder entfernbare Speichereinrichtungen plus Speichermedien zum vorübergehenden und/oder permanenteren Aufnehmen von computerlesbaren Informationen darstellen. Das Kommunikationssystem 630 kann den Austausch von Daten mit dem Netzwerk 620 und/oder einem beliebigen anderen, oben bezüglich des Systems 600 beschriebenen Computer gestatten. Zudem kann der Ausdruck „Speichermedium”, wie er hier offenbart ist, eine oder mehrere Einrichtungen zum Speichern von Daten darstellen, einschließlich von Festwertspeicher (ROM), Direktzugriffsspeicher (RAM), magnetischem RAM, Kernspeicher, magnetischen Plattenspeichermedien, optischen Speichermedien, Flash-Speichereinrichtungen und/oder anderen maschinenlesbaren Medien zum Speichern von Informationen.
-
Das Computersystem 600 kann auch Softwareelemente umfassen, die so gezeigt sind, dass sie gegenwärtig innerhalb eines Arbeitsspeichers 640 angeordnet sind, einschließlich eines Betriebssystems 645 und/oder eines anderen Codes 650, wie etwa eines Programmcodes, der die hierin beschriebenen Server oder Einrichtungen implementiert. Es versteht sich, dass alternative Ausführungsformen eines Computersystems 600 zahlreiche Variationen von den oben beschriebenen aufweisen können. Beispielsweise könnte auch kundenspezifische Hardware benutzt werden und/oder bestimmte Elemente könnten in Hardware, Software (einschließlich tragbarer Software wie etwa Applets) oder beidem implementiert werden. Zudem kann eine Verbindung zu anderen Recheneinrichtungen wie etwa Netzwerkeingabe-/-ausgabeeinrichtungen verwendet werden.
-
Bei der vorausgegangenen Beschreibung wurden zu Zwecken der Darstellung Verfahren in einer bestimmten Reihenfolge beschrieben. Es versteht sich, dass die Verfahren bei alternativen Ausführungsformen in einer anderen Reihenfolge als der beschriebenen ausgeführt werden können. Es versteht sich außerdem, dass die oben beschriebenen Verfahren durch Hardwarekomponenten ausgeführt oder in Sequenzen von maschinenausführbaren Anweisungen verkörpert sein können, die dazu verwendet werden können, zu bewirken, dass eine Maschine wie etwa ein Allzweck- oder Spezialprozessor oder Logikschaltungen, die mit den Anweisungen programmiert sind, die Verfahren ausführen. Diese maschinenausführbaren Anweisungen können auf einem oder mehreren maschinenlesbaren Medien gespeichert sein, wie etwa CD-ROMs oder anderen Arten von optischen Platten, Disketten, ROMs, RAMs, EPROMs, EEPROMs, magnetischen oder optischen Karten, Flash-Speichern oder anderen Arten von maschinenlesbaren Medien, die sich für das Speichern elektronischer Anweisungen eignen. Alternativ können die Verfahren durch eine Kombination aus Hardware und Software durchgeführt werden.
-
In der Beschreibung wurden spezifische Details angegeben, um ein eingehendes Verständnis der Ausführungsformen zu vermitteln. Der Durchschnittsfachmann versteht jedoch, dass die Ausführungsformen ohne diese spezifischen Details praktiziert werden können. Beispielsweise können Schaltungen in Blockdiagrammen gezeigt sein, um die Ausführungsformen nicht mit unnötigem Detail zu verdunkeln. In anderen Fällen können wahlbekannte Schaltungen, Prozesse, Algorithmen, Strukturen und Techniken ohne unnötiges Detail gezeigt sein, um ein Verdunkeln der Ausführungsformen zu vermeiden.
-
Außerdem wird angemerkt, dass die Ausführungsformen als ein Prozess beschrieben wurden, der als ein Flussbild, ein Flussdiagramm, ein Datenflussdiagramm, ein Strukturdiagramm oder ein Blockdiagramm dargestellt ist. Wenngleich ein Flussbild die Operationen als ein sequenzieller Prozess beschreiben kann, können viele der Operationen parallel oder gleichzeitig durchgeführt werden. Außerdem kann die Reihenfolge der Operationen umgeordnet werden. Ein Prozess ist abgeschlossen, wenn seine Operationen beendet sind, er konnte aber nicht in der Figur enthaltene zusätzliche Schritte aufweisen. Ein Prozess kann einem Verfahren, einer Funktion, einer Prozedur, einer Teilroutine, einem Teilprogramm usw. entsprechen. Wenn ein Prozess einer Funktion entspricht, entspricht seine Beendigung einer Rückkehr der Funktion zu der aufrufenden Funktion oder der Hauptfunktion.
-
Zudem können Ausführungsformen durch Hardware, Software, Firmware, Middleware, Mikrocode, Hardwarebeschreibungssprachen oder eine beliebige Kombination davon implementiert werden. Bei Implementierung in Software, Firmware, Middleware oder Mikrocode können der Programmcode oder Codesegmente zum Durchführen der erforderlichen Aufgaben in einem maschinenlesbaren Medium wie etwa einem Speichermedium gespeichert werden. Ein oder mehrere Prozessoren können die erforderlichen Aufgaben ausführen. Ein Codesegment kann eine Prozedur, eine Funktion, ein Teilprogramm, ein Programm, eine Routine, eine Teilroutine, ein Modul, ein Softwarepaket, eine Klasse oder irgendeine Kombination von Anweisungen, Datenstrukturen oder Programmanweisungen darstellen. Ein Codesegment kann durch das Weiterleiten und/oder Empfangen von Informationen, Daten, Argumenten, Parametern oder Speicherinhalten an ein anderes Codesegment oder eine andere Hardwareschaltung gekoppelt sein. Informationen, Argumente, Parameter, Daten usw. können über beliebige geeignete Mittel weitergegeben, weitergeleitet oder übertragen werden, einschließlich gemeinsamer Speichernutzung, Nachrichtenweiterleitung, Token-Weiterleitung, Netzwerkübertragung usw.
-
Wenngleich veranschaulichende Ausführungsformen der Erfindung hier ausführlich beschrieben worden sind, ist zu verstehen, dass die erfindungsgemäßen Konzepte ansonsten unterschiedlich verkörpert und verwendet werden können und dass die beigefügten Ansprüche so ausgelegt werden sollen, dass sie solche Variationen enthalten, außer wie durch den Stand der Technik begrenzt.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
-
Zitierte Nicht-Patentliteratur
-
- Network Working Group Request for Comments: 2778, verfasst von M. Day, J. Rosenberg und H. Sugano, veröffentlicht von der Internet Engineering Task Force im Februar 2000 mit dem Titel ”A Model for Presence and Instant Messaging,” [0018]
- Normen 802.11G [0030]
- IEEE 802.11 [0063]