JP2006180478A - エンドポイントの識別およびセキュリティ - Google Patents

エンドポイントの識別およびセキュリティ Download PDF

Info

Publication number
JP2006180478A
JP2006180478A JP2005358212A JP2005358212A JP2006180478A JP 2006180478 A JP2006180478 A JP 2006180478A JP 2005358212 A JP2005358212 A JP 2005358212A JP 2005358212 A JP2005358212 A JP 2005358212A JP 2006180478 A JP2006180478 A JP 2006180478A
Authority
JP
Japan
Prior art keywords
data structure
address
entity
data
endpoint
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005358212A
Other languages
English (en)
Inventor
Christopher G Kaler
ジー.カーラー クリストファー
Douglas A Walter
エー.ウォルター ダグラス
Giovanni M Della-Libera
エム.デラ−リベラ ジョバンニ
Melissa W Dunn
ダブリュ.ダン メリッサ
Richard L Hasha
エル.ハシャ リチャード
Tomasz Janczuk
ジャンクスク トーマス
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2006180478A publication Critical patent/JP2006180478A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

【課題】エンドポイントアドレスおよびセキュリティ情報を有するデータ構造を提供すること。
【解決手段】データ構造は、エンティティに対する1つまたは複数のエンドポイントアドレスを含むアドレスフィールドを含む。そのデータ構造はさらに、エンティティとの安全な通信を可能にするための1つまたは複数の鍵を含むセキュリティフィールドを含む。そのデータ構造によると、アドレスフィールドおよびセキュリティフィールドのコンテンツをデータ構造中でシリアル化することもできる。データ構造は、新しいアドレスフィールドおよびセキュリティフィールドを追加できるように拡張することができる。
【選択図】図2

Description

本発明は、一般に、エンドポイント相互間における通信の分野に関する。より詳細には、本発明は、エンティティに対するエンドポイントへのアドレスを識別すること、および安全な通信のためのセキュリティ情報をエンドポイントに提供することに関する。
現在のコンピュータネットワーキングは非常にユビキタスになってきており、ほぼすべてのタイプの通信に存在するまでになっている。例えば、コンピュータネットワークは電子メールデータを送信するために使用される。コンピュータネットワークは、インターネットまたは他の広域ネットワーク、およびローカルエリアネットワークを介してアクセスできるものなど、静的および動的データの膨大なリポジトリにアクセスするために使用される。さらに、コンピュータネットワークは、現在の電話応用分野における交換局間で、音声およびファックスデータを送信するために使用される主要な媒体である。
ネットワーク上のデータは、あるエンドポイントから別のエンドポイントへ移動する。データは、エンドポイントへの伝送中、他のポイントを介して移動することができる。エンドポイントは、通常、アドレス指定可能であり、それは、IP(Internet Protocol)、MAC(Media Access Control)アドレス、URI(uniform resource identifier)など特有のアドレスをエンドポイントの識別に使用できることを意味する。例示的なエンドポイントは、プロセッサ、サーバ、ウェブサービス、電子メールアドレス、資源などを含む。
その膨大な量の有益なデータはネットワーク上で送信されるが、悪意のあるかつ/または非倫理的な個人は、ネットワークを損なう方法を工夫することに無数の資源を費やしてきた。これらの個人は、不正なまたは悪意のある使用を行うために損なわれたネットワークからデータを抽出することができる。例えば、エンドポイント間でクレジットカード情報を渡すことを含む電子商取引トランザクションは、ある個人がそのクレジットカード情報を不正に使用して商品またはサービスを取得できることにより損なわれる可能性がある。
ネットワークを損なうにはいくつかの方法を使用することができる。例えば、ある個人が、ネットワーク上の通信を「聞く」ためにネットワーク回線を「盗聴」することができる。あるいは、「なりすまし(spoofing)」技法を使用することもできる。なりすましは、その情報を送信している資源以外の資源に見えるコンピュータ、CPU、ウェブサーバ、などの資源から情報を送信することを含む。例えば、ウェブサーバは、それが、実際は、アサートされたIPアドレスとは異なるIPアドレスを有する場合であっても、そのウェブサーバにアクセスする人により信頼されているIP(internet protocol)アドレスでそれ自体が識別される情報を送信することができる。
ネットワークを損なう活動と戦うために、様々な技法が使用されている。そのいくつかを挙げると、ネットワークを盗聴した個人が理解できないようにするためにデータをスクランブルする暗号化が使用される。なりすましを阻止するために、識別情報の提示を要求する様々な認証技法が実施されている。したがって、資源は、その識別を検査するために、ネットワーク上の他の資源にパスワードなどのトークンを提供する。
いくつかのセキュリティシステムは、セッション前にブートストラップを使用する。セッション前ブートストラップは、そのセッションの主題であるデータの送信および受信前に、エンドポイントを認証するためにエンドポイント相互間で情報を交換することを含む。その認証情報を送信する前にエンドポイントにアクセスしようと試みるユーザは、その通信するエンドポイントが信用できるエンドポイントまたは望ましいエンドポイントであることを検査することができない。したがって、セッション前ブートストラップ交換は、なりすましが行われたデータが送信され受信され得る本質的に信用できない交換である。したがって、セッション前ブートストラップセキュリティ交換の必要性をなくすシステム、あるいはセッション前ブートストラップ交換をより安全にするシステムを有することは新規性があり有益となるはずである。
既存のシステムを用いる他の取組みは、アドレスを記憶している参照が、通常、情報を経路指定可能な単一のアドレスを含むことである。例えば、参照は、1人に対して1つの電子メールアドレスを含むことができる。しかし、その電子メールアドレスが、仕事用電子メールアドレスである場合、その人が仕事から離れているときなど、そのアドレスに送信され幾つかのメッセージをタイムリーにその人が受信できない可能性が高い。なお、人は、接触可能ないくつかのアドレスを有することもできる。現在のシステムによると、その人にメッセージを送信したいユーザは、そのユーザにとって適切なアドレスを選択するように要求される。したがって、メッセージを特定の識別にアドレス指定することができ、その特定の識別のために最も適切なエンドポイントにメッセージが届くようにできるシステムを有することは新規性があり有益となるはずである。
一実施形態は、アドレスフィールドを有するデータ構造を含む。そのアドレスフィールドは、1つのエンティティに対する1つまたは複数のエンドポイントアドレスを含む。そのデータ構造はさらに、そのエンティティとの安全な通信を可能にするために、暗号鍵などの1つまたは複数の鍵を含むセキュリティフィールドを含む。アドレスフィールドおよびセキュリティフィールドのコンテンツは、データ構造中でシリアル化される。データ構造は、新しいアドレスフィールドおよびセキュリティフィールドを追加できるように拡張可能である。
他の実施形態は、識別フィールドを含むデータ構造を含む。識別フィールドはエンティティを識別する。データ構造はさらに、エンティティに対する1つまたは複数のエンドポイントアドレス含むアドレスフィールドを含む。識別フィールドおよびアドレスフィールドのコンテンツは、データ構造中でシリアル化される。データ構造は、新しい識別フィールドおよび新しいアドレスフィールドを追加できるように拡張可能である。
他の実施形態は、参照データ構造を作成する方法を含む。本方法は、1つのエンティティに対する1つまたは複数のエンドポイントアドレスを含むアドレスフィールドを作成するステップを含む。本方法はさらに、エンティティとの安全な通信を可能にするために1つまたは複数の鍵を含むセキュリティフィールドを作成することを含む。本方法はまた、シリアル化された拡張可能なデータ構造を作成するためにアドレスフィールドおよびセキュリティフィールド中のデータをシリアル化することを含む。
さらに他の実施形態は、参照データ構造を作成する方法を含む。本方法は、エンティティを識別するデータを含む識別フィールドを作成するステップを含む。本方法はさらに、そのエンティティに対する1つまたは複数のエンドポイントアドレスを含むアドレスフィールドを作成することを含む。さらに、方法は、シリアル化された拡張可能データ構造を作成するために識別フィールドおよびアドレスフィールド中でデータをシリアル化することを含む。
一実施形態は、ネットワーク上でエンドポイント相互間で通信する方法を含む。本方法は、ネットワーク上のエンティティに対するエンドポイントアドレスを取得するために、シリアル化された拡張可能データ構造にアクセスすることを含む。本方法はさらに、セキュリティキーを取得するために、シリアル化された拡張可能データ構造にアクセスすることを含む。さらに、本方法は、そのセキュリティキーを用いてデータを暗号化することを含む。さらに、本方法は、ネットワーク上のエンティティに対するエンドポイントアドレスにそのデータを送信することを含む。
本明細書に記載のいくつかの実施形態は、セッション前セキュリティブートストラップセキュリティ交換を必要とせずに、ネットワーク上で通信を可能にする。それは、エンドポイントアドレス情報と共にセキュリティ情報をシリアル化することによって達成される。また諸実施形態によると、1つの識別を1つのエンティティに対して使用することができるが、その識別を、エンティティにアクセスするためのいくつかのエンドポイントアドレスを識別するのに使用することもできる。
本発明のこれらのおよび他の利点ならびに機能は、以下の記述および添付の特許請求の範囲からより完全に明らかとなり、あるいはこの後に述べる本発明の実施によって理解することができる。
本発明の前述のおよび他の利点ならびに機能を取得する方法が理解できるように、添付図面に示す本発明の特有の実施形態を参照することにより、前に簡単に述べた本発明のより詳細な説明を示す。これらの図面は本発明の典型的な実施形態だけを示しており、したがって、本発明の範囲を限定するものと見なすべきではないと理解して、添付図面を使用することにより、本発明を、追加の特性および詳細と共に記述し説明する。
一実施形態では、他のエンティティをアドレス指定するためのアドレスを有する参照中に、期待されるセキュリティ情報をエンティティがすでに有することによって、セッション前ブートストラップの必要性が除かれる。セキュリティ情報が暗号化鍵を含む場合、その参照を有するエンティティは、他方のエンティティとの通信開始時に、暗号化された情報をその他方のエンティティに送信し受信することができる。
図1は、本発明の諸実施形態を実施できる一環境を示す。エンティティA102は、エンティティB104とのセッションを開始する必要がある。エンティティA102は、巻物で示したデータ構造106を有する。本実施形態では、データ構造106は、アドレスフィールド108およびセキュリティ情報フィールド110を含む参照である。
アドレスフィールド108は、エンティティBに対する少なくとも1つのアドレスを含む。アドレスは、例えば、プロセッサのためのMACアドレス、ウェブサービスのためのURL(uniform resource locator)またはURI(uniform resource identifier)、電子メール通信のための電子メールアドレス、電話、ファックス、ページャ、および/またはセル電話通信のための電話番号、インターネットメッセージング(IM)アドレス、物理メールアドレスなどとすることができる。
セキュリティ情報フィールド110は、例えば、識別、検査可能なプルーフ、暗号化鍵、証明書、パスワードなどのセキュリティ情報を含むことができる。一実施形態では、セキュリティ情報は、エンティティAがエンティティBとのセッションを開始しようとしたとき、エンティティBから戻されることが期待される情報を含む。あるいは、セキュリティ情報は、セッションのデータ送信の一部としてセッション中にエンティティBによって送信された情報を識別するのに有効であり得る。いくつかの実施形態では、セキュリティ情報フィールドは、データを暗号化し暗号化解除するための公開鍵を含むことができる。セキュリティ情報フィールドがデータを暗号化するための鍵を含む場合、エンティティA102は、暗号化されたデータをエンティティB104に送信開始することができる。エンティティB104が応答できない場合、エンティティB104は、B104で使用される公開鍵に対応する秘密鍵を有していない可能性が高く、したがって、エンティティB104がなりすましである可能性が高い。したがって、エンティティA102は、エンティティB104による悪意のある活動を阻止するために、エンティティB104とのどんな公開セッションも閉じる。
セキュリティ情報フィールド110中に含むことができるいくつかの特有のセキュリティ情報は、SPN(Service Principal Name)、UPN(User Principal Name)、X.509の拇印(thumbprint)、セキュリティトークン、発行者およびシリアル番号、PGP(Pretty Good Privacy)方式からの公開鍵、埋め込まれた証明書、検査可能なDNS要求などを含む。
セキュリティ情報はまた、生体認証データを表すデータを含むことができる。例えば、セキュリティ情報フィールド110は、指紋、紅彩走査、音声認識、DNA認証などを示す情報を含むことができる。
一実施形態では、エンティティA102は、図1に示すエンティティC112などサードパーティからアウトオブバンド(out−of−band)でデータ構造106を受け取ることができる。諸実施形態では、アドレス情報およびセキュリティ情報を含むデータをシリアル化することができる。例えば、一実施形態では、データ構造106は、XML(拡張マークアップ言語)文書とすることができる。アドレスおよびセキュリティ情報を含むサンプルのXMLブロックを以下のように構成することができる。
Figure 2006180478
この実施例では、セキュリティフィールドには、アドレスフィールド中で識別されたウェブサイトに対する検査可能なDNS要求が含まれている。この検査可能なDNS要求は、セキュアHTTPS(TLS/SSL)プロトコルに類似した方法で使用することができる。セッション中にエンティティB104からエンティティA102に渡されたセキュリティ情報は、その情報の顧客であるエンティティA102によって検査することができる。本発明の諸実施形態によるとさらに、既存のセキュリティ仕様を拡張することができる。例えば、諸実施形態は、httpsを介して、あるいはWS(ウェブサービス)Security仕様のうちの1つに記述される方法を介して、識別情報を提供することを含むことができる。
本発明の諸実施形態によると、セキュリティ情報の複数の部分をセキュリティ情報フィールド110中に含めることができる。したがって、セキュリティ情報の複数の部分を要求することによってセキュリティを高めることができる。その実施例は、その識別を検査するために2つ(またはそれ以上)の形式の識別を提供するように要求される場合と類似している。セキュリティ情報の複数の部分を有するXMLブロックの実施例を以下に示す。
Figure 2006180478
セキュリティ情報の様々な部分を認証用に使用できる様々なセキュリティ要件およびルールを実装することができる。例えば、セキュリティ情報フィールド110は、セキュリティ情報の複数部分のブール組合せを実施することができる。セキュリティルールは、セキュリティ情報の2つの特有な部分を要求することができる。あるいは、セキュリティルールは、セキュリティ情報の一部分を他の代用とするようにできる。他のルールによると、セキュリティ情報の複数の部分を特有な種類の対話、通信チャネル、時刻(times of the day)、メッセージサイズ、メッセージコンテンツのタイプなどに対して適用可能にすることができる。
さらに、参照はセキュリティ情報を含んでいるため、ウェブサービス通信における「To(宛先)」、「From(送信者)」、「Reply To(返信先)」フィールドなどアドレス指定可能なフィールドに基づいてセキュリティルールをエンティティで確立することができる。例えば、他のエンティティB104のためのセキュリティ情報を含むデータ構造106を有するエンティティA102が、エンティティB104からメッセージを受信した場合、アクセス権を事前に許可することが可能であるため、セキュリティアクセスに対する許可を、「To(宛先)」、「From(送信者)」、「Reply To(返信先)」または他のフィールドに基づいて行うことができる。
データ構造106などの参照が受信された場合、そのセキュリティ情報フィールド110中のセキュリティ情報が信頼でき、かつ信用できるかを確認する必要がある。一実施形態では、サードパーティが信用できるソースであり、かつその信用できるサードパーティエンティティC112だけをその参照が通過する場合であれば、サードパーティエンティティC112からその参照を受信したとき、その確認は実施され得る。trustチェーンが確立できない場合は、本発明のいくつかの実施形態によると、埋め込まれた署名により参照を包むことができる。署名は、参照とそのデータを共に包むことができる。一実施形態では、XMLエンベロープ署名を用いてそれを実施することができる。他の署名表示もまた使用することができる。さらに他の諸実施形態では、WS―Securityセキュリティヘッダなど、参照中に埋め込まれたセキュリティヘッダを使用する。セキュリティヘッダを用いることにより、複数の署名および暗号化を行うことができる。他の実施形態では、データ構造106は、それとは別個に記憶された署名を用いて署名することができる。
図2を参照すると、エンティティに対するユーバ(Uber)(またはグローバル)識別の概念を含む他の態様が示されている。具体的には、データ構造202は、メッセージをエンティティに送達することのできるエンドポイントアドレスを指定することができる。データ構造202は、識別フィールドおよびエンドポイントアドレスフィールドを含む。識別フィールドは、一般に、エンティティへのメッセージのアドレスを指定するのに使用できる識別を含む。アドレスフィールドは、メッセージを送信できる特有のエンドポイントアドレスを含む。したがって、ユーザは、そのエンティティにアクセスするために、特定タイプの媒体またはエンドポイントに対してアドレスを具体的に提供する必要がなくエンティティに対するユーバ識別を使用することができる。データ構造202は、図1に示すデータ構造102の一部分とすることができる。あるいは、データ構造102は、データ構造202の一部分とすることもできる。他の実施態様では、データ構造202は、図1に示すデータ構造102などいくつかの様々なデータ構造への参照を含むことができる。
図2は、データ構造202がエンティティに対する様々なエンドポイントアドレスを指定するためのフィールドを含むことを示す。この実施例では、データ構造202中のフィールドは、インターネットメッセージング(IM)クライアント250のアドレス、陸線電話番号252、セル電話番号254、ファックス番号256、物理メールアドレス258、電子メールアドレス260などを指定する。一実施形態では、エンティティに対するアドレスとして代表を使用することもできる。例えば、あるエンティティに対するアドレスとして、別のエンティティに属するアドレスを用いることもできる。こうすると、例えば、エンティティが、他のエンティティを代表してある種のタスクを有する場合に有益である。例えば、エンティティが、管理補助を代表する管理タスクを有している場合、管理問題に関連する電子メールは、管理補助に属する電子メールアドレスではなく、参照中に含まれる電子メールアドレスに向けて送信することができる。1つの代替実施形態では、データ構造はさらに、タスクを代表するエンティティに関する情報を含むことができる。このような情報は、識別情報、代表範囲などを含むことができる。
本発明では、XML文書などの拡張可能データ構造202を使用する。この方法では、アドレスは、プリセットしたアドレスグループに限定されず、そうではなくて、必要に応じてまたは技術が向上するにつれて、様々なアドレスを追加することができる。
諸実施形態によると、エンティティに対する特有のエンドポイントにアクセスするために、どの通信媒体およびアドレスを使用できるかに関するルールを、データ構造202中で指定することができる。さらに、ある識別に対する特有のエンドポイントを、いつ、なぜ、どのように使用するかを示すポリシールールを、アドレスと共に記憶することができる。一実施形態を実施するデータ構造の実施例を以下に示す。
Figure 2006180478
この実施例では、XMLブロックは、エンドポイントアドレスのリストを含む。エンドポイントアドレス内には、いつ特定のエンドポイントを使用すべきかについての設定を記述するポリシーがある。具体的には、この実施例は、1組の利用可能なトランスポートプロトコル、日付および/または時刻の範囲、エンティティに送信されるデータの機密性、エンティティに送信されるデータの緊急度または優先順位、エンティティに送信されるデータの分類(例えば、仕事または個人)、エンティティに送信されるデータのトピックなどに基づいてエンドポイントを選択するための基準を示す。
他の実施形態では、エンドポイントアドレスを、データ構造202中のポリシーステートメントのリスト内に記載することができる。他の実施形態では、ポリシー情報は何も提供されないことが予想される。その場合、エンドポイントアドレスは、他の機構を用いて選択することができる。アドレスは、安全にプロンプトが出されたユーザ、マシン登録のデフォルト、アプリケーション登録のデフォルト、ユーザ登録のデフォルト、特定用途向けロジックの起動、カスタム登録拡張の使用、データまたは所望のアクションの他の態様の考慮などによって選択することができる。
いくつかの実施形態では、エンドポイントアドレスの決定を、特有の受信者またはその受信者の属性に基づいて行うことができる。例えば、エンドポイントアドレスの選択は、識別、アドレスクラス、一般属性、プライバシポリシーなどの属性に基づくことができる。他の複合表現もまた、エンティティに接触するのにどのエンドポイントアドレスを使用するかを判定するのに使用することができる。例えば、一表現によると、そのエンティティがIMにログオンしている場合、かつプレゼンテーションソフトウェアがプレゼンテーションモードで動作していない場合、業務時間中は特定のアドレスを使用するよう示すことができる。
さらに、エンドポイントアドレスを参照することによってエンティティに接触できる位置にエンティティが存在するかどうかに基づいて、エンドポイントアドレスの決定を行うことができる。エンティティが、あるエンドポイントアドレスに存在するかどうかを判定するために、様々な機構を使用することができる。例えば、Microsoft Messenger、Yahoo Messenger、ICUなどのIMサービスは、エンティティがオンラインにあるときそれを公開する。エンティティの有無を判定するために、エンドポイント参照を使用することもできる。エンドポイントおよびWSDL(ウェブサービス記述言語)の契約を用いてエンティティが存在するかどうか判定することができる。クライアントのリスト中に表示されるネットワーク上のマシンの存在を用いて、エンティティがマシンに存在するかどうかを判定することができる。時刻に基づくエンティティの予想位置を用いて、エンティティが存在するかどうか判定することができる。アドレスをpingすること、またはセッションの開始を要求することなどによって接続する試みを用いて、エンティティが存在するかどうか判定することができる。ピアツーピアの存在データを用いて、エンティティが特定のエンドポイントアドレスに存在するかどうか判定することができる。特有のアプリケーションを動作させることを用いて、エンティティの有無を判定することができる。ユーザを示すショーモード(show mode)などのアプリケーションモードを用いて、エンティティの有無を判定することもできる。
いくつかの実施形態によると、複数のユーバ識別をマージすることができる。例えば、図3のエンティティA102などのエンティティは、エンティティB104に対する参照データ構造106中のエンドレスポイントアドレス情報を、エンティティC112から受信することができる。エンティティA102は、データ構造370中の追加の参照を、エンティティB104に対する追加のエンドレスポイントアドレスを有するエンティティD372から受信することができる。データ構造106およびデータ構造370からのアドレスは、組み合わせてデータ構造306で表されるマージされた参照にすることができる。
参照がマージされたとき、競合する情報が存在する可能性がある。例えば、データ構造106およびデータ構造370は、1つのエンティティに対して異なる作業用電子メールアドレスを有する可能性がある。競合するデータを解決するために使用できるいくつかの方法がある。その方法は、ユーザにその競合を解決するようにプロンプトを安全に出すこと、マシン登録のデフォルトを使用すること、アプリケーション登録のデフォルトを使用すること、ユーザ登録のデフォルトを使用すること、特定用途向けロジックを起動すること、カスタム登録拡張を使用すること、エンティティまたは所望のアクションに送信されるデータの様々な態様を考慮すること、最近入力されたアドレスを選択することなどを含む。
ここに示す諸実施形態は、参照文書としてユーバ識別を示しているが、他の実施形態では、ユーバ識別は他の参照文書へのポインタの集合体とすることができる。例えば、XMLのユーバ識別文書は、参照文書がアドレスおよびセキュリティ情報フィールドを含むXML参照文書への参照を含むことができる。
いくつかの実施形態では、UberIdentity(ユーバ識別)はさらに、GlobalIdentityVersion(グローバル識別バージョン)として前述した値を増分することを含むことができる。その値は、UberIdentityのEndPoints(エンドポイント)部分における任意の値が変わったときに増分される。この方法では、より新しい参照が検出できるように、UberIdentity参照をキャッシュすることができる。
本発明によって企図された諸実施形態は、他のエンティティに識別文書または参照文書を転送する方法を可能にすることができる。したがって、いくつかの実施形態では、いつ情報を共用できるのかを指定することができる。例えば、参照は、いくつかのアドレスを含むことができる。アドレスのうちのいくつかは共用可能であると識別され、他のものは共用不可と識別される。したがって、その参照が他のエンティティに転送されたとき、共用できないアドレスは、他のエンティティに送信される前に参照から除去される。一実施例では、正常に動作するプログラムは、参照の共用可能なプロパティまたは共用不可のプロパティおよびアドレスを識別することができる。正常に動作するプログラムは、他のアプリケーションまたはエンティティに参照を転送する前に、その参照から共用不可プロパティおよびアドレスを除去することができる。
ユーバ識別を含む実施形態における参照のセキュリティおよび検査は、図1の記述に関して前述した参照のセキュリティに類似したものとすることができる。ユーバ識別を有する参照を検査する方法は、ユーバ識別を有する参照の受信者がすべての鍵およびトークンを、受け取りかつ/または使用する前に検査することを含む。検査は、例えば、ユーザにプロンプトを安全に出すこと、信用できるまたは検査されたストア中の鍵またはトークンの位置を突き止めること、信用できるパーティと相互証明をまたは検査を行い、識別の代替形態を送信すること、鍵または他の暗号検査によって安全確保することなどによって実施することができる。相互証明は、本明細書で前述したものと類似の署名コンポーネントを有するユーバ識別による一実施例で実施することもできる。さらに、ユーバ識別は、相互証明、認証、および/または他のエンティティからの検査ステートメントを含む1つまたは複数の証明エレメントを含む。一実施形態では、証明エレメントは、証明のタイプおよび/または要求される検査強度を示す情報を含むことができる。いくつかの実施形態では、ユーバ識別参照を暗号化することができる。具体的には、一実施形態では、セキュリティポリシーは明確に提供されるが、ユーバ識別参照を構成する実際のデータはいくつかのエンティティに対して暗号化される。
次に図4を参照すると、本発明の一実施形態が様々な諸行為(act)を含む方法として示される。図4に示す方法は、コンピュータネットワーク上でエンドポイント相互間の通信を可能にする。方法400は、ネットワーク上のエンティティに対するエンドポイントアドレスを取得するために、シリアル化された拡張可能データ構造にアクセスする行為tを含む(行為402)。データ構造は、図1に示すデータ構造106、図2に示すデータ構造202、図3に示すデータ構造306およびデータ構造372などのデータ構造とすることができる。エンドポイントアドレスは、図1に示すアドレスフィールド108に記憶された1つまたは複数のアドレスを含むことができる。エンドポイントアドレスを取得するために、シリアル化された拡張可能データ構造にアクセスする行為(行為402)はさらに、そのエンティティに対する複数のエンドポイントアドレスからどのエンドポイントアドレスを選択すべきかを判定するためのポリシールールにアクセスすることを含むことができる。エンドポイントアドレスを選択するためのルールは、本明細書で前述している。
方法400はさらに、セキュリティキーを取得するためにシリアル化された拡張可能データ構造にアクセスする行為を含む(行為404)。セキュリティキーは、図1に示すセキュリティ情報フィールド110中のセキュリティ情報とすることができる。前述のように、セキュリティキーは、データを暗号化するために用いられる公開鍵または他の暗号化鍵とすることができる。セキュリティキーを取得するためにシリアル化された拡張可能データ構造にアクセスする行為(行為404)はさらに、取得すべき適切なセキュリティキーを決定するためのセキュリティルールにアクセスすることを含むことができる。
方法400はさらに、セキュリティキーを用いてデータを暗号化する行為を含む。暗号化は、適切な任意の暗号化方法を用いて達成することができる。暗号化の方法は、本明細書で前述している。
方法400はさらに、データをエンドポイントアドレスに送信する行為を含む。この方法によると、方法400はセッション前のセキュリティブートストラップを必要とせずに、ネットワーク上のエンドポイント相互間でデータの送信を可能にする。
図5を参照すると、本発明を実施するための例示的なシステムは、処理装置521と、システムメモリ522と、システムメモリ522を含む様々なシステムコンポーネントを処理装置521に結合するシステムバス523とを含む従来のコンピュータ520の形の汎用コンピューティング装置を含む。システムバス523は、メモリバスまたはメモリ制御装置、周辺装置バス、および任意の様々なバスアーキテクチャを使用するローカルバスを含む任意のいくつかのタイプのバス構造とすることができる。システムメモリは、ROM(読出し専用メモリ)524およびRAM(ランダムアクセスメモリ)525を含む。起動中など、コンピュータ520内のエレメント相互間で情報の転送を行うことができる基本ルーチンを含むBIOS(基本入出力システム)526をROM524に記憶することができる。
コンピュータ520はまた、磁気ハードディスク539に対して読出しおよび書込みを行うための磁気ハードディスクドライブ527、取外し可能磁気ディスク529に対して読出しまたは書込みを行うための磁気ディスクドライブ528、およびCD−ROMまたは他の光媒体などの取外し可能光ディスク531に対して読出しまたは書込みを行うための光ディスクドライブ530を含むことができる。磁気ハードディスクドライブ527、磁気ディスクドライブ528、および光ディスクドライブ530は、ハードディスクドライブインターフェース532、磁気ディスクドライブインターフェース533、および光ドライブインターフェース534によって、それぞれ、システムバス523に接続されている。ドライブおよびその関連するコンピュータ可読媒体は、コンピュータ実行可能命令、データ構造、プログラムモジュール、およびコンピュータ520のための他のデータの不揮発性ストレージを提供する。本明細書に記載の例示的な環境は、磁気ハードディスク539、取外し可能磁気ディスク529、および取外し可能光ディスク531を使用しているが、磁気カセット、フラッシュメモリカード、DVD(digital versatile disk)、ベルヌーイカートリッジ、RAM、ROMなどを含む、データを記憶するための他のタイプのコンピュータ可読媒体を使用することができる。
オペレーティングシステム535、1つまたは複数のアプリケーションプログラム536、他のプログラムモジュール537、およびプログラムデータ538を含む、1つまたは複数のプログラムモジュールを含むプログラムコード手段は、ハードディスク539、磁気ディスク529、光ディスク531、ROM524、またはRAM525に記憶することができる。ユーザは、キーボード540、ポインティング装置542、またはマイクロフォン、ジョイスティック、ゲームパッド、衛星パラボラアンテナ、スキャナなどの他の入力装置(図示せず)を介してコンピュータ520にコマンドおよび情報を入力することができる。これらのおよび他の入力装置は、システムバス523に結合されたシリアルポートインターフェース546を介して処理装置521に接続されることが多い。あるいは、入力装置は、パラレルポート、ゲームポート、またはUSB(universal serial bus)など他のインターフェースによって接続することもできる。モニタ547または他の表示装置もまた、ビデオアダプタ548などのインターフェースを介してシステムバス523に接続されている。モニタに加えて、パーソナルコンピュータは、通常、スピーカやプリンタなど他の周辺出力装置(図示せず)を含む。
コンピュータ520は、遠隔コンピュータ583、593などの1つまたは複数の遠隔コンピュータへの論理接続を用いて、ネットワーク化環境中で動作することができる。遠隔コンピュータ583および593はそれぞれ、他のパーソナルコンピュータ、サーバ、ルータ、ネットワークPC、同位装置または他の共通ネットワークノードとすることができ、通常、コンピュータ520に関して前に述べた多くのまたはすべての要素を含む。図5に示す論理接続は、LAN(ローカルエリアネットワーク)551およびWAN(広域ネットワーク)552を含むが、それは例のために提示したものであり、限定するものではない。このようなネットーキング環境はオフィス規模、または企業規模のコンピュータネットワーク、イントラネット、およびインターネットにおいて普通のものである。
LANネットワーキング環境で使用される場合、コンピュータ520は、ネットワークインターフェースまたはアダプタ553を介してローカルネットワーク551に接続される。WANネットワーキング環境で使用される場合、コンピュータ520は、モデム554、無線リンク、またはインターネットなどの広域ネットワーク552を介して通信を確立するための他の手段を含むことができる。モデム554は、それを内部または外部とすることができるが、シリアルポートインターフェース546を介して、システムバス523に接続される。ネットワーク化環境では、コンピュータ520またはその部分に関して示されたプログラムモジュールは、遠隔メモリストレージ装置に記憶することができる。図示されたネットワーク接続は、例示のためのものであり、広域ネットワーク552を介して通信を確立する他の手段を使用することができることも理解されたい。
本発明は、その趣旨または本質的な特性を逸脱することなく他の特有の形態で実施することができる。前述の諸実施形態は、すべてに関して例示的なものにすぎず、限定的なものではないと見なすべきである。したがって、本発明の範囲は、前述の説明によってではなく、添付の特許請求の範囲によって示される。特許請求の範囲の意味およびその等価な範囲に含まれるすべての変更は、その範囲に含まれるものとする。
エンドポイントおよびセキュリティ情報が参照内に記憶される例示的なエンドポイント通信を示す図である。 いくつかのエンドポイントアドレスを含むサンプル参照を示す図である。 組み合わせた参照へとマージされる複数の参照の実施例を示す図である。 本発明の一実施形態で実施される方法を示す図である。 本発明のいくつかの態様を実施することができる一環境を示す図である。
符号の説明
521 処理装置
522 システムメモリ
523 システムバス
532 ハードディスクドライブインターフェース
533 磁気ハードディスクドライブインターフェース
534 光ドライブインターフェース
535 オペレーティングシステム
536 アプリケーションプログラム
537 他のプログラムモジュール
538 プログラムデータ
540 キーボード
546 シリアルポートインターフェース
547 モニタ
548 ビデオアダプタ
551 ローカルエリアネットワーク
552 広域ネットワーク
553 ネットワークインターフェース
554 モデム
583 遠隔コンピュータ
593 遠隔コンピュータ

Claims (47)

  1. データ構造であって、
    エンティティに対する1つまたは複数のエンドポイントアドレスを含むアドレスフィールドと、
    1つまたは複数のエンドポイントアドレスのうちの少なくとも1つを使用して前記エンティティと安全な通信を可能にするために1つまたは複数の鍵を含むセキュリティフィールドとを含み、
    前記アドレスフィールドおよび前記セキュリティフィールドのコンテンツは、前記データ構造中でシリアル化されること、および前記データ構造は新しいアドレスフィールドおよびセキュリティフィールドを追加できるように拡張可能であることを特徴とするデータ構造。
  2. 前記エンティティを識別する識別フィールドをさらに含むことを特徴とする請求項1に記載のデータ構造。
  3. 前記アドレスフィールドは、アドレスおよびセキュリティ情報を含む1つまたは複数の参照を含むことを特徴とする請求項1に記載のデータ構造。
  4. 前記エンドポイントアドレスは、MACアドレス、URL、URI、電子メールアドレス、電話番号、IMアドレス、および物理メールアドレスのうちの少なくとも1つを含むことを特徴とする請求項1に記載のデータ構造。
  5. 前記アドレスフィールドは、前記エンティティを識別する、代表エンティティに対するアドレスを含むことを特徴とする請求項1に記載のデータ構造。
  6. 前記セキュリティフィールドは、SPN、UPN、X.509の拇印、セキュリティトークン、発行者およびシリアル番号、公開鍵、埋め込まれた証明書、検査可能なDNS要求のうちの少なくとも1つを含むことを特徴とする請求項1に記載のデータ構造。
  7. 前記セキュリティフィールドは、指紋、虹彩走査、音声認識、およびDNA認識を表すデータのうちの少なくとも1つを含む生体認証データを含むことを特徴とする請求項1に記載のデータ構造。
  8. 前記データ構造は、XMLブロック中でシリアル化されることを特徴とする請求項1に記載のデータ構造。
  9. 前記セキュリティフィールドは、セキュリティルールを含むことを特徴とする請求項1に記載のデータ構造。
  10. 前記セキュリティルールは、セキュリティ情報の論理結合を含むことを特徴とする請求項9に記載のデータ構造。
  11. 前記セキュリティルールは、ウェブサービス通信からの「To(宛先)」、「From(送信者)」、「Reply To(返信先)」フィールドなどのアドレス指定可能なフィールドを使用することを特徴とする請求項9に記載のデータ構造。
  12. メッセージを前記エンティティに送信するために、特定のエンドポイントアドレスをいつ使用するかを記述するポリシーをさらに含むことを特徴とする請求項1に記載のデータ構造。
  13. 前記ポリシーは、日付および/または時刻の範囲、データの機密性、データの緊急度または優先順位、データの分類、データのトピック、プロンプトを出した結果のユーザの選択、マシン登録のデフォルト、アプリケーション登録のデフォルト、ユーザ登録のデフォルト、特定用途向けロジック、カスタム登録の拡張、受信者の属性、およびエンティティの存在のうちの少なくとも1つを含めた基準を含むことを特徴とする請求項12に記載のデータ構造。
  14. エンティティの存在は、公開されたIMデータ、エンドポイントの参照、WSDL契約、エンドポイント契約、ネットワーク上のマシンの存在、時刻、接触しようとする試み、ピアツーピアの存在データ、特有のアプリケーションを動作させること、およびアプリケーションモードのうちの少なくとも1つによって判定されることを特徴とする請求項13に記載のデータ構造。
  15. 前記データ構造は、埋め込まれた署名によって包まれていることを特徴とする請求項1に記載のデータ構造。
  16. 前記埋め込まれた署名は、XMLエンベロープ署名であることを特徴とする請求項15に記載のデータ構造。
  17. 埋め込まれたセキュリティヘッダをさらに含むことを特徴とする請求項1に記載のデータ構造。
  18. 前記アドレスフィールド中の1つまたは複数のエンドポイントアドレスは、共用可能または共用不可として指定されることを特徴とする請求項1に記載のデータ構造。
  19. データ構造であって、
    エンティティを識別する識別フィールドと、
    前記エンティティに対する1つまたは複数のエンドポイントアドレスを含むアドレスフィールドとを含み、
    前記識別フィールドおよび前記アドレスフィールドのコンテンツは、前記データ構造中でシリアル化されること、および前記データ構造は新しい識別フィールドおよび新しいアドレスフィールドを追加できるように拡張可能であることを特徴とするデータ構造。
  20. 前記アドレスフィールドは参照を含むことを特徴とする請求項19に記載のデータ構造。
  21. 前記エンドポイントアドレスは、MACアドレス、URL、URI、電子メールアドレス、電話番号、IMアドレス、および物理メールアドレスのうちの少なくとも1つを含むことを特徴とする請求項19に記載のデータ構造。
  22. 前記アドレスフィールドは、前記エンティティを識別する、代表エンティティに対するアドレスを含むことを特徴とする請求項19に記載のデータ構造。
  23. 前記データ構造は、XMLブロック中でシリアル化されることを特徴とする請求項19に記載のデータ構造。
  24. メッセージを前記エンティティに送信するために、特定のエンドポイントアドレスをいつ使用するかを記述するポリシーをさらに含むことを特徴とする請求項19に記載のデータ構造。
  25. 前記ポリシーは、日付および/または時刻の範囲、データの機密性、データの緊急度または優先順位、データの分類、データのトピック、プロンプトを出した結果のユーザの選択、マシン登録のデフォルト、アプリケーション登録のデフォルト、ユーザ登録のデフォルト、特定用途向けロジック、カスタム登録の拡張、受信者の属性、およびエンティティの存在のうちの少なくとも1つを含めた基準を含むことを特徴とする請求項24に記載のデータ構造。
  26. エンティティの存在は、公開されたIMデータ、エンドポイントの参照、WSDL契約、エンドポイント契約、ネットワーク上のマシンの存在、時刻、接触しようとする試み、ピアツーピアの存在データ、特有のアプリケーションを動作させること、およびアプリケーションモードのうちの少なくとも1つによって判定されることを特徴とする請求項25に記載のデータ構造。
  27. 前記データ構造は埋め込まれた署名によって包まれていることを特徴とする請求項19に記載のデータ構造。
  28. 前記埋め込まれた署名は、XMLエンベロープ署名であることを特徴とする請求項27に記載のデータ構造。
  29. 埋め込まれたセキュリティヘッダをさらに含むことを特徴とする請求項19に記載のデータ構造。
  30. 前記アドレスフィールド中の1つまたは複数のエンドポイントアドレスは、共用可能または共用不可として指定されることを特徴とする請求項19に記載のデータ構造。
  31. 前記アドレスフィールドの前記コンテンツが変更されたとき、増分することができる値を含むグローバル識別バージョンをさらに含むことを特徴とする請求項19に記載のデータ構造。
  32. 参照データ構造を作成する方法であって、
    エンティティに対する1つまたは複数のエンドポイントアドレスを含むアドレスフィールドを作成するステップと、
    1つまたは複数のエンドポイントアドレスのうちの少なくとも1つを使用して前記エンティティと安全な通信を可能にするために1つまたは複数の鍵を含むセキュリティフィールドを作成するステップと、
    シリアル化された拡張可能データ構造を作成するために、前記アドレスフィールドおよび前記セキュリティフィールド中のデータをシリアル化するステップと
    を含むことを特徴とする方法。
  33. 前記エンティティを識別する識別フィールドを作成するステップをさらに含むことを特徴とする請求項32に記載の方法。
  34. 少なくとも1つの追加のエンドポイントアドレスを前記アドレスフィールドに追加し、かつ/または1つの追加の鍵を前記セキュリティフィールドに追加するように、前記シリアル化されたデータ構造を他のシリアル化されたデータ構造とマージするステップをさらに含むことを特徴とする請求項32に記載の方法。
  35. 前記アドレスフィールド中のエンドポイントアドレスと、前記他のシリアル化されたデータ構造中のエンドポイントアドレスとの間の競合を解決するステップをさらに含むことを特徴とする請求項34に記載の方法。
  36. 競合を解決する前記ステップは、前記競合を解決するためにユーザにプロンプトを安全に出すこと、マシン登録のデフォルトを用いること、アプリケーション登録のデフォルトを用いること、ユーザ登録のデフォルトを用いること、特定用途向けロジックを起動すること、カスタム登録の拡張を用いること、エンティティまたは所望のアクションに送信される前記データの様々な態様を考慮すること、および最近入力されたエンドポイントアドレスを選択することのうちの少なくとも1つのステップを含むことを特徴とする請求項35に記載の方法。
  37. 請求項32に記載の諸ステップを実施するためのコンピュータ実行可能命令を有することを特徴とするコンピュータ可読媒体。
  38. 参照データ構造を作成する方法であって、
    エンティティを識別するデータを含む識別フィールドを作成するステップと、
    前記エンティティに対する1つまたは複数のエンドポイントアドレスを含むアドレスフィールドを作成するステップと、
    シリアル化された拡張可能データ構造を作成するために前記識別フィールドおよび前記アドレスフィールド中のデータをシリアル化するステップと
    を含むことを特徴とする方法。
  39. 少なくとも1つの追加のエンドポイントアドレスを前記アドレスフィールドに追加するように、前記シリアル化されたデータ構造を他のシリアル化されたデータ構造とマージするステップをさらに含むことを特徴とする請求項38に記載の方法。
  40. 前記アドレスフィールド中のエンドポイントアドレスと、前記他のシリアル化されたデータ構造中のエンドポイントアドレスとの間の競合を解決するステップをさらに含むことを特徴とする請求項39に記載の方法。
  41. 競合を解決する前記ステップは、前記競合を解決するためにユーザに対してプロンプトを安全に出すこと、マシン登録のデフォルトを用いること、アプリケーション登録のデフォルトを用いること、ユーザ登録のデフォルトを用いること、特定用途向けロジックを起動すること、カスタム登録の拡張を用いること、エンティティまたは所望のアクションに送信される前記データの様々な態様を考慮すること、および最近入力されたエンドポイントアドレスを選択することのうちの少なくとも1つのステップを含むことを特徴とする請求項40に記載の方法。
  42. 請求項38に記載の諸ステップを実施するためのコンピュータ実行可能命令を有することを特徴とするコンピュータ可読媒体。
  43. ネットワーク上のエンドポイント相互間で通信する方法であって、
    ネットワーク上のエンティティに対するエンドポイントアドレスを取得するために、シリアル化された拡張可能データ構造にアクセスするステップと、
    セキュリティキーを取得するために、前記シリアル化された拡張可能データ構造にアクセスするステップと、
    前記セキュリティキーを用いてデータを暗号化するステップと、
    前記ネットワーク上の前記エンティティに対する前記エンドポイントアドレスに前記データを送信するステップと
    を含むことを特徴とする方法。
  44. 取得すべき前記適切なセキュリティキーを決定するために、前記シリアル化された拡張可能データ構造中のセキュリティルールにアクセスするステップをさらに含むことを特徴とする請求項43に記載の方法。
  45. サードパーティから前記シリアル化された拡張可能データ構造を受信するステップをさらに含むことを特徴とする請求項43に記載の方法。
  46. エンドポイントアドレスを取得するために前記シリアル化された拡張可能データ構造にアクセスする前記ステップは、前記エンティティに対する複数のエンドポイントアドレスから、どのエンドポイントアドレスを選択すべきかを判定するためにポリシールールにアクセスするステップを含むことを特徴とする請求項43に記載の方法。
  47. どのエンドポイントアドレスを選択すべきかの前記判定は、利用可能な1組のトランスポートプロトコル、日付および/または時刻の範囲、送信される前記データの機密性、前記データの緊急度または優先順位、前記データの分類、前記データのトピックのうちの少なくとも1つに基づくルールを実施することを含むことを特徴とする請求項46に記載の方法。
JP2005358212A 2004-12-10 2005-12-12 エンドポイントの識別およびセキュリティ Pending JP2006180478A (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US11/009,926 US7636939B2 (en) 2004-12-10 2004-12-10 Endpoint identification and security

Publications (1)

Publication Number Publication Date
JP2006180478A true JP2006180478A (ja) 2006-07-06

Family

ID=36010962

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005358212A Pending JP2006180478A (ja) 2004-12-10 2005-12-12 エンドポイントの識別およびセキュリティ

Country Status (5)

Country Link
US (1) US7636939B2 (ja)
EP (1) EP1670208A1 (ja)
JP (1) JP2006180478A (ja)
KR (1) KR20060065485A (ja)
CN (1) CN1801816A (ja)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8015403B2 (en) * 2005-03-28 2011-09-06 Cisco Technology, Inc. Method and system indicating a level of security for VoIP calls through presence
US8079062B2 (en) * 2005-05-16 2011-12-13 Cisco Technology, Inc. Method and system using presence information to manage network access
US7920847B2 (en) * 2005-05-16 2011-04-05 Cisco Technology, Inc. Method and system to protect the privacy of presence information for network users
US7764699B2 (en) * 2005-05-16 2010-07-27 Cisco Technology, Inc. Method and system using shared configuration information to manage network access for network users
US8560853B2 (en) * 2005-09-09 2013-10-15 Microsoft Corporation Digital signing policy
GB0623904D0 (en) * 2006-11-30 2007-01-10 Ibm A method,apparatus and computer program for modifying an endpointreference representing a web service endpoint
US7852783B2 (en) 2006-12-07 2010-12-14 Cisco Technology, Inc. Identify a secure end-to-end voice call
JP5187955B2 (ja) * 2008-06-04 2013-04-24 インターナショナル・ビジネス・マシーンズ・コーポレーション 電子メールの送信先の設定を支援する装置及び方法
US20100299738A1 (en) * 2009-05-19 2010-11-25 Microsoft Corporation Claims-based authorization at an identity provider
US8806190B1 (en) 2010-04-19 2014-08-12 Amaani Munshi Method of transmission of encrypted documents from an email application
US9582673B2 (en) 2010-09-27 2017-02-28 Microsoft Technology Licensing, Llc Separation of duties checks from entitlement sets
US20150081809A1 (en) * 2013-09-18 2015-03-19 International Business Machines Corporation Controlling delivery and access of electronic communications
CN105119717A (zh) * 2015-07-21 2015-12-02 郑州轻工业学院 一种基于dna编码的加密系统及加密方法
JP6882080B2 (ja) * 2017-05-31 2021-06-02 キヤノン株式会社 画像処理装置、方法、プログラム及びシステム
CN109005153B (zh) * 2018-06-27 2021-08-31 努比亚技术有限公司 会议加入请求、控制方法、终端及计算机可读存储介质

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5588060A (en) 1994-06-10 1996-12-24 Sun Microsystems, Inc. Method and apparatus for a key-management scheme for internet protocols
US5657390A (en) 1995-08-25 1997-08-12 Netscape Communications Corporation Secure socket layer application program apparatus and method
US6304973B1 (en) * 1998-08-06 2001-10-16 Cryptek Secure Communications, Llc Multi-level security network system
US6728748B1 (en) * 1998-12-01 2004-04-27 Network Appliance, Inc. Method and apparatus for policy based class of service and adaptive service level management within the context of an internet and intranet
US6796489B2 (en) * 2000-06-06 2004-09-28 Ingeo Systems, Inc. Processing electronic documents with embedded digital signatures
US7320019B2 (en) * 2000-11-30 2008-01-15 At&T Delaware Intellectual Property, Inc. Method and apparatus for automatically checking e-mail addresses in outgoing e-mail communications
US7647410B2 (en) * 2002-08-28 2010-01-12 Procera Networks, Inc. Network rights management
JP3855909B2 (ja) * 2002-10-23 2006-12-13 株式会社日立製作所 ポリシ設定可能なピアツーピア通信システム
WO2004046867A2 (en) * 2002-11-18 2004-06-03 America Online, Inc. People lists
US7571321B2 (en) * 2003-03-14 2009-08-04 Voltage Security, Inc. Identity-based-encryption messaging system
US7051042B2 (en) * 2003-05-01 2006-05-23 Oracle International Corporation Techniques for transferring a serialized image of XML data
GB2405293B (en) * 2003-08-18 2007-04-25 Clearswift Ltd Email policy manager
JPWO2005034446A1 (ja) * 2003-10-03 2006-12-14 富士通株式会社 ポリシールール適用ネットワークシステム
US7783741B2 (en) * 2003-11-17 2010-08-24 Hardt Dick C Pseudonymous email address manager
US20050198351A1 (en) * 2004-02-20 2005-09-08 Microsoft Corporation Content-based routing
US7549158B2 (en) * 2004-08-31 2009-06-16 Microsoft Corporation Method and system for customizing a security policy
WO2006046896A1 (en) * 2004-10-29 2006-05-04 Telefonaktiebolaget Lm Ericsson (Publ) Methods and nodes in a communication system for controlling the use of access resources

Also Published As

Publication number Publication date
US7636939B2 (en) 2009-12-22
KR20060065485A (ko) 2006-06-14
CN1801816A (zh) 2006-07-12
EP1670208A1 (en) 2006-06-14
US20060130127A1 (en) 2006-06-15

Similar Documents

Publication Publication Date Title
JP2006180478A (ja) エンドポイントの識別およびセキュリティ
JP4965558B2 (ja) ピアツーピア認証及び権限付与
US9917828B2 (en) Secure message delivery using a trust broker
US9002018B2 (en) Encryption key exchange system and method
US7620685B2 (en) Smart shares and transports
KR100856674B1 (ko) 클라이언트 서버 환경에서 클라이언트를 인증하는 시스템및 방법
US7653816B2 (en) E-mail certification service
US7562222B2 (en) System and method for authenticating entities to users
US7752269B2 (en) Adhoc secure document exchange
US20090077649A1 (en) Secure messaging system and method
US20110302409A1 (en) Method and system for verification of an endpoint security scan
US20070008987A1 (en) Capturing contacts via people near me
KR101219862B1 (ko) 서버와 대응 도메인이 호환성 안전 이메일을 갖도록 하기위한 시스템 및 방법
JP2005295509A (ja) 電子メールを使用した公開情報の認証された交換
US20070294402A1 (en) Extensible Email
US20070255815A1 (en) Software, Systems, and Methods for Secure, Authenticated Data Exchange
US20020129239A1 (en) System for secure communication between domains
US11849053B2 (en) Automation of user identity using network protocol providing secure granting or revocation of secured access rights
JP5065682B2 (ja) 名前解決のためのシステムおよび方法
US20200220729A1 (en) System and method for authenticating a sender of an electronic mail (e-mail) over a network
Hess et al. Content-triggered trust negotiation
US20060059183A1 (en) Securely publishing user profile information across a public insecure infrastructure
WO2005094264A2 (en) Method and apparatus for authenticating entities by non-registered users
WO2023250216A1 (en) A connectionless-virtual private network for secure cloud to user communication over the internet using a plurality of servers
Hansen et al. DomainKeys Identified Mail (DKIM) Development, Deployment, and Operations

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20081128

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110610

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20111104