JP2012530293A - クライアントの信頼レベルを用いたセキュリティ保護されたアプリケーション機能へのアクセスコントロール - Google Patents
クライアントの信頼レベルを用いたセキュリティ保護されたアプリケーション機能へのアクセスコントロール Download PDFInfo
- Publication number
- JP2012530293A JP2012530293A JP2012515158A JP2012515158A JP2012530293A JP 2012530293 A JP2012530293 A JP 2012530293A JP 2012515158 A JP2012515158 A JP 2012515158A JP 2012515158 A JP2012515158 A JP 2012515158A JP 2012530293 A JP2012530293 A JP 2012530293A
- Authority
- JP
- Japan
- Prior art keywords
- level information
- trust level
- client
- endpoint
- registration
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1073—Registration or de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
- H04L65/1104—Session initiation protocol [SIP]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- General Business, Economics & Management (AREA)
- Business, Economics & Management (AREA)
- Multimedia (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
発呼者が呼を設定する場合、信頼レベルの伝達を容易にするアーキテクチャであり、その信頼レベルは発呼者のシステムの状態による。着呼者(呼の着信先)は、信頼レベルの通知を受信し、通信にこの情報を使用して、例えば発呼者からの検証を要求すること、および/または他のモードの通信を開始することができる。発呼者は、通信サーバに対して、発信元の識別情報を多様な方法で認証することができる。それに基づき、サーバはサーバが検証した適切な信頼レベルを、発呼者に割り当てる。さらに、セキュリティ保護されていない電話のコントローラは、より低いクライアント側が定義した信頼レベルを示すことができる。次いで、サーバが検証したクライアント側の信頼レベルを、着呼者に送信し、そこで着呼者が、1つまたは複数のセキュリティ保護された機能への発呼者のアクセスを許可するかどうかを、それらの機能にアクセスするために着呼者が課した機能値および信頼レベルに基づいて判定する。
Description
本発明は、クライアントの信頼レベルを用いたセキュリティ保護されたアプリケーション機能へのアクセスコントロールに関する。
多くの多様な種類のエンドポイントとエンドポイントシステムとの間で、音声通信を行うことができる。一つの通信フレームワークのアプローチにより、ソフトウェア制御によるテレフォニーの使用が可能となり、これはPBX(private branch exchange)のテレフォニーソリューションからのパラダイムの変化である。ユーザ識別情報を通信のあらゆるモードに対して使用し、テレフォニーのコンポーネントを、コンピューティングシステム、音声周辺機器、および/または専用IP電話により提供することができる。これは、ユーザ識別情報に直接結びついておらず、通信サーバに対して認証されていない電話を予め設定する既存のPBXのソリューションとは異なる。PBXシステムにおいては、発信元IDは、その電話回線に物理的に接続する電話に結び付けられる。より広範な意味で、これは、音声通信、およびインスタントメッセージング、データコラボレーションなどといった他の様式の通信にもあてはまる。
通信形態のいくつかまたは全てを統合するユニファイドコミュニケーション(UC)アーキテクチャにおいて、プロビジョニングは、例えば、インターネットに接続され、UCサーバを用いて認証することができるUCクライアントから開始することができる。このアプローチは、通信に多大な適応性を与える一方、例えば、受信側が着信呼の一部として発信元の識別証を受信する場合、そのユーザ識別情報に、より多大な信頼性を求める。今日のPBXソリューションと同様に、第三者が、不在中のユーザの電話または周辺機器にアクセスし、呼を設定することが可能である。その結果、既存のソリューションでは、受信側には、発信元IDで通知された発呼者によってなされた呼ではないことがわからず、従って、意図せずに情報を開示する可能性がある。
ユーザがユーザの電話または周辺機器へのアクセスを受けることは一種の問題であるが、より広範な論点は、第1のユーザが第1のユーザのソフトフォン上で第2のユーザの認証情報を入力し、第2のユーザになりすます場合にある。これは、第2のユーザの認証情報/パスワードが脆弱で、別の人にハッキングされる場合に起こりうる。PBXの分野では、回線または電話への物理的なアクセスが必要であるが、UCアーキテクチャにおいては、別のユーザの周辺機器/電話へのアクセスに加えて、別のパスワードをハッキングする能力が、セキュリティリスクを引き起こす。
本明細書に説明するいくつかの新規の実施形態の基本的理解を与えるために、以下に簡略化した概要を提示する。本概要は、広範な概観ではなく、主要/重要な要素を特定しようとするものでも、その範囲を画定しようとするものでもない。本概要の唯一の目的は、後に提示するより詳細な説明の前置きとして、いくつかの概念を簡略化した形で提示することである。
本開示のアーキテクチャにより、例えば、発呼者が呼を設定する場合、エンドポイント(例えば、発信元のクライアント)による信頼情報レベルの作成および利用が容易となる。信頼レベル情報を、近傍のエンドポイントの認証情報を用いて、通信インフラストラクチャ(例えば、音声)への近傍のエンドポイントの登録の一部として、作成することができる。他の信頼レベル情報を、近傍のエンドポイントの状態(例えば、ロックされているまたはロック解除されている)に基づいて、近傍のエンドポイントが作成することができ、遠方のエンドポイントがその信頼レベル情報を登録信頼レベル情報と共に用いて、近傍のエンドポイントへのアプリケーション機能の公開を判定するために処理することができる。遠方のエンドポイントは、信頼レベル情報の通知を受信し、通信にこの情報を使用して、例えば近傍のエンドポイントからの検証を要求する、および/またはエンドポイント間で他のモードの通信を開始することができる。
より具体的な実装において、発信元クライアント(例えば、IP電話)の発呼者は、通信登録サーバに対して、発信元の識別情報を多様な方法で認証することができる。それに基づき、登録サーバは、サーバが検証した適切な信頼レベルを、発信元クライアントに割り当てる。例えば、セキュリティ保護されていないIP電話のコントローラは、より低いクライアント側が定義した信頼レベルを示すことができる。次いで、サーバが検証したクライアント側の信頼レベルを、着信先クライアントに送信し、そこで着信先クライアントが、1つまたは複数のセキュリティ保護されたアプリケーション機能への発信元クライアントのアクセスを可能にするかどうかを、それらの機能にアクセスするために着信先クライアントが課した機能値および信頼レベル情報に基づいて決定する。さらに、着信先クライアントは、外部のアプリケーションサーバにこれらのセキュリティレベルを渡すことができ、そこから着信先クライアントは発呼者に関する情報(例えば、人事データベース)にアクセスする。
前述および関連する目的を達成するために、ある特定の例示の態様を、以下の説明および添付図面に関連して、本明細書に説明する。これらの態様は、本明細書に開示する原理を実践できる様々な方法を示すものであり、全て態様およびその等価物は、特許請求する主題の範囲内にあるよう意図するものである。他の利点および新規の特徴は、図面と併せて考慮すると、以下の詳細な説明から明らかとなろう。
本開示のアーキテクチャは、サーバおよびクライアントによって作成される信頼レベル情報を作成および使用し、インタラクトしているクライアントが如何に他者または互いにアクセスコントロールを設けるかを判定する。一方向の例では、発信元クライアントが、サーバが作成した信頼レベル情報を着信先クライアントに送信する。これにより、着呼者が、サーバおよびクライアントが示した信頼レベルに基づき、セキュリティ保護されたアプリケーション機能への発呼者のアクセスを選択的に与えることが可能となる。
ここで図面を参照するが、図面においては、全体を通して、同一の参照番号は同一の要素を指すために用いる。以下の記述において、説明の目的で、数多くの具体的詳細をその完全な理解を与えるために記載する。しかしながら、これらの具体的詳細なしに、新規の実施形態を実践できることは、明らかであろう。他の例では、公知の構造および装置を、その説明を容易にするためにブロック図の形で示している。特許請求する主題の趣旨および範囲内にある全ての修正、等価物、および代替物を網羅することを意図するものである。
図1は、本開示のアーキテクチャによる、コンピュータ実装の通信セキュリティシステム100を示す。システム100は、サインイン認証情報106を、登録のために通信インフラストラクチャ108に送信し、そのサインイン認証情報106に基づく登録信頼レベル情報110を受信する近傍のエンドポイント104のサインインコンポーネント102を含む。近傍のエンドポイント104はまた、登録信頼レベル情報110を遠方のエンドポイント114に送信する通信コンポーネント112を含む。遠方のエンドポイント114は、登録信頼レベル情報110に基づき、近傍のエンドポイント104との通信インタラクションを管理する。
登録信頼レベル情報110は、登録プロセスの一部としてサインされることが可能である。近傍のエンドポイント104は、登録信頼レベル情報110を、近傍のエンドポイント104が開始した呼と組み合わせて、遠方のエンドポイント114へ送信することができる。例えば、近傍のエンドポイント104は、呼設定時、遠方のエンドポイント114からの要求/チャレンジ(challenge)に応答して呼接続中、または、アプリケーション機能へのアクセスをセキュリティ保護するためにより高いセキュリティレベルが必要であると予測して、近傍のエンドポイント104のセキュリティレベルを変更するために呼接続中である場合に、登録信頼レベル情報110を送信することができる。
通信インフラストラクチャ108はIPベースであることができ、近傍のエンドポイント104は、登録信頼レベル情報110を、IPベースの通信インフラストラクチャ108を介したIP呼と組み合わせて、SIP(session initiation protocol)メッセージとして、遠方のエンドポイント114に送信する。当然のことながら、遠方のエンドポイント114は、近傍のエンドポイント104と同一または同様の特性(例えば、サインインコンポーネント102および通信コンポーネント112)を含むことができ、それによって、双方向の信頼レベル処理が容易となる。
図2は、近傍のエンドポイントの信頼レベル情報202をさらに提供する通信セキュリティシステムの代替的実施形態200を示す。システム200は、図1のシステム100のエンティティ、機能性、およびコンポーネントに加えて、近傍のエンドポイントの信頼レベル情報202を算出する近傍のエンドポイントの信頼コンポーネント204を含む。近傍のエンドポイントの信頼レベル情報202は、登録のために通信インフラストラクチャ108にサインイン認証情報106と共に送信されることが可能である。次いで、登録信頼レベル情報110が、サインイン認証情報106および/または近傍のエンドポイントの信頼レベル情報202に基づき算出される。
次いで、近傍のエンドポイント104は、近傍のエンドポイントの信頼レベル情報202を伴うまたは伴わない登録信頼レベル情報110を、遠方のエンドポイント114に送信することができる。次いで、遠方のエンドポイント114は、近傍のエンドポイントの信頼レベル情報202を伴うまたは伴わない登録信頼レベル情報110に基づき、セキュリティ保護されたアプリケーションの機能へのアクセスを要求する。
次いで、近傍のエンドポイントの信頼コンポーネント204は、近傍のエンドポイント104に対するアクセスセキュリティ状態の変更に基づき、近傍のエンドポイントの信頼レベル情報202を再算出し、その変更または更新に基づき、更新した近傍のエンドポイントの信頼レベル情報を、遠方のエンドポイント114に送信する。近傍のエンドポイントの信頼コンポーネント204は、近傍のエンドポイント104の検証結果を指定する(示す)検証メッセージを作成する。近傍のエンドポイント104は、結果として登録信頼レベル情報110および/または近傍のエンドポイントの信頼レベル情報202が異なるレベル(例えば、高くなる)になるよう取るべきアクションについての示唆を(例えば、遠方のエンドポイント114から)受信することができる。当然のことながら、遠方のエンドポイント114は、近傍のエンドポイント104と同一または同様の特性(例えば、サインインコンポーネント102、近傍のエンドポイントの信頼コンポーネント204、および通信コンポーネント112)を含むことができるが、これは要件ではい。
図3は、信頼レベル情報の生成および使用の信号フロー図300を示す。発信元クライアント302(例えば、図2の近傍のエンドポイント104)は、登録サーバ304(図2の通信インフラストラクチャ108の一部である)に登録し、発呼者のサインイン認証情報106を送信する。そのサインイン認証情報106には、認証されていない(例えば、匿名の)ユーザとしての情報を含むことができる。任意で、発信元クライアント302はまた、発呼者の信頼レベル情報306(図2の近傍のエンドポイントの信頼レベル情報202と同様のもの)を、SIPクライアントヘッダ(例えば、ms-trust-level-client)を設定して送信する。次いで、登録サーバ304はサインされたトークンを発信元クライアント302に戻すが、そのトークンは、SIP登録レスポンス(例えば、ms-trust-level-registrar)のヘッダに、発信元クライアント302の信頼レベルを示す。
発信元クライアント302が発呼(例えば、SIP invite)を着信先クライアント308(例えば、図2の遠方のエンドポイント114)に対して行う場合、発信元クライアント302は、クライアント信頼ヘッダ(例えば、ms-trust-level-client)およびレジストラ信頼ヘッダ(例えば、ms-trust-level-registrar)を送信する。呼は、1つまたは複数の通信サーバ310を介して行われる。通信サーバ310は、サインされた登録信頼レベル情報110(例えば、ms-trust-level-registrarヘッダ)のインテグリティを有効にすることができる。
着信先クライアント308はさらに、信頼レベル情報(登録信頼レベル情報110および発信元クライアントの信頼レベル情報306)を、信頼できるアプリケーションサーバ312(例えば、財務、人事、CRM(customer relationship management))に渡して、アプリケーション機能へのアクセスを要求することができる(アプリケーションサーバが、サーバコンポーネントへの選択的アクセスを判定することができる)。アプリケーション機能へのアクセスを承認すると判定されると、着信先クライアント308は、登録信頼レベル情報110および/または発信元クライアントの信頼レベル情報306に基づき、選択されたアプリケーションサーバ312の機能を発信元クライアント302に公開する。
本開示のアーキテクチャは、クライアント側のIP電話のコントローラ(発信元クライアント)と登録サーバ304との間の発呼者の認証を統合する能力を提供し、かつ、特に着信先クライアント308が自動化エージェントである場合に、発信元クライアント302を認証する着信先クライアント308の必要性を与える。さらに、発信元クライアント302は、発信元クライアントの信頼レベル情報306を、登録サーバ304および着信先クライアント308の両方に送信することができる。着信先クライアント308は、サーバが判定したおよびクライアントが示唆した発信元クライアント302の信頼レベルに基づき、多様なセキュリティ保護されたアプリケーション機能へのアクセスを、選択的に可能にすることができる。
発信元クライアント302は、サインイン時に登録サーバ304に登録する。ユーザが、強力な認証情報(例えば、生体認証)、それよりは強力ではない認証情報(例えば、Microsoft社のNTLM-NT LAN Manager(登録商標))、脆弱な認証情報(例えば、PIN(personal identification number)を用いてサインインするか、または匿名でサインインされた発呼者かどうかに基づき、登録サーバ304は、信頼レベルを判定および生成し、その信頼レベル(登録信頼レベル情報110)を、新しくサインされたSIPヘッダ(例えば、ms-trust-level-registrar)として発信元クライアント302に送信する。
さらに、発信元クライアント302はまた、新しい(または更新した)SIPヘッダ(例えば、ms-trust-level-client、ここではヘッダは値SharedDeviceに設定されている)を追加することにより、発信元クライアント302が(例えば、クライアント302が共通領域電話である場合)より安全ではないことを、登録サーバ304に示すことができる。次いで、登録サーバ304は、この追加の更新した発信元クライアントの信頼レベル情報を、発信元クライアント302に対する登録信頼レベル情報110を判定する際に使用する。
発信元クライアント302は、呼を設定する際、サインされたSIPレジストラヘッダ(ms-trust-level-registrar)、および任意でSIPクライアントヘッダ(ms-trust-level-clientヘッダ)も同様に(例えば、装置が共通領域電話である場合)、SIP inviteメッセージに追加する。
発信元クライアント302がより低い信頼レベルを示す別の例は、発信元クライアント302が、コンピュータがロックされている場合でも、コンピュータに付随する装置(例えば、HID-human interface device、USB周辺機器電話、Bluetooth(登録商標)といった無線短距離装置など)から発呼を行う場合、または呼がロックされた卓上電話からのものである場合である。
着信先クライアント308は、コンピュータおよび/または卓上電話がロックされている場合に行われた呼に対して、より低い信頼レベルを設定する、コンピュータおよび/または卓上電話がPINでロック解除されている場合、中くらいの信頼レベルを設定する、または、生体認証を用いてロック解除されている場合、より高い信頼レベルを設定することによってこれを示す指示を受信する。例えば、発信元クライアント302は、コンピュータがロックされている場合、発呼者がコンピュータを適切にロック解除する認証情報または手段を有していないことを示す検証メッセージ(例えば、ms-trust-level-client=UnVerified)を作成し追加することができる。
これを用いて、着信先クライアント308において、発信元状態インジケータ314(例えば、アイコン、オーディオ信号)を起動する(例えば、示す)ことができる。例えば、発呼者が、発呼者の賃金に関して話すために人事(human resources)にコールしている場合、人事担当者は、発信元クライアント302がより低い信頼レベルを有しているとわかれば、発信元の識別情報を検証するよう試みることができる。
例えば、新しい信頼レベルを再呼設定メッセージおよびINFO SIPメッセージで送信することによって、発信元クライアントの信頼レベル情報306を発信元クライアント302が更新することができる(例えば、発呼者が会話中に発信元クライアント302のロック解除した場合に)。
登録信頼レベル情報110(例えば、ms-trust-level-registrar)および発信元クライアントの信頼レベル情報306(例えば、ms-trust-level-client)に基づき、着呼者は、着呼者自体が発信元の識別情報をどれほど信頼するかを決定することができる。例えば、自動応答の着呼者が呼を受けた場合、自動応答は、発呼者が高い信頼レベルを有するとわかれば、その発呼者に認証情報の入力を依頼することを省くことができる。さらに、この場合、着信先クライアント308は、発信元クライアントがより脆弱な信頼モードを示した場合には利用できなかった安全なアプリケーション機能へのアクセスを、公開することができる。例えば、発呼者がHRにコールし、自動化エージェントがその呼に答える場合、発呼者がより高い信頼レベルにあるならば、自動化エージェントは、退職金口座の積立金にアクセスし変更するオプションを与えることができる。自動化エージェントはまた、選択されたオプションに基づき、個人情報(例えば、給料、退職日など)を含むコール内容(メモ)を送信することができる。
本開示が取り組む別のシナリオは、発信元クライアント302がより低い信頼レベルにあるために、発呼者をより強力に認証するよう自動応答が要求する場合である。この場合、自動応答は、コンピュータまたは卓上電話をロック解除するという追加のオプションを示唆することができる。さらに、発呼者は、呼接続中に、卓上電話をロック解除する(例えば、電話の生体認証装置を介して)、または、HID装置に対してコンピュータをロック解除する(例えば、コンピュータにパスワードを入力することによって)ことができる。次いで、発呼者のIP電話は新しい検証ヘッダ(例えば、ms-trust-level-client=verifiedLevelX)を有する再呼設定メッセージまたはINFO SIPメッセージを送信することができる。
言い換えると、通信セキュリティシステムは、発呼者のサインイン認証情報を、登録のために呼通信インフラストラクチャに送信し、発呼者のサインイン認証情報に基づく登録信頼レベル情報を受信する発信元クライアントのサインインコンポーネント、発呼者の信頼レベル情報を算出する発信元クライアントの信頼コンポーネント、および、登録信頼レベル情報および発呼者の信頼レベル情報を着信先クライアントに送信する発信元クライアントの通信コンポーネントを含む。着信先クライアントは、登録信頼レベル情報および発呼者の信頼レベル情報に基づき、発信元クライアントとのインタラクションを管理する。
発呼者の信頼レベル情報は、登録のために呼通信インフラストラクチャにサインイン認証情報と共に送信され、登録信頼レベル情報が、サインイン認証情報および発呼者の信頼レベル情報に基づき算出される。発信元クライアントは、登録信頼レベル情報および発呼者の信頼レベル情報を、発信元クライアントが開始したIP呼と組み合わせて、SIPメッセージとして着信先クライアントに送信する。着信先クライアントは、登録信頼レベル情報および発呼者の信頼レベル情報に基づきセキュリティ保護されたアプリケーションの機能へのアクセスを要求する。発信元クライアントの信頼コンポーネントは、発信元クライアントのアクセスセキュリティ状態を指定する検証メッセージを作成し、アクセスセキュリティ状態の変更に基づき発呼者の信頼レベル情報を再算出し、更新した発呼者の信頼レベル情報を着信先クライアントに送信する。
SIPを用いたコンテキストで説明したが、本開示のアーキテクチャはそれに制限されるものではなく、XMPP(extensible messaging and presence protocol)、H.323などといった他のプロトコルを採用することができることに、留意されたい。
さらに、呼および呼のクライントのコンテキストで説明したが、本アーキテクチャはまた、例えば、インスタントメッセージのみを送信するようなメッセージングクライアント、ならびに、呼およびテキストメッセージングの両方が可能なクライアントにも適用する。
近傍のエンドポイントが信頼情報を遠方のエンドポイントに送出するのではなく、遠方のエンドポイントが近傍のエンドポイントの信頼情報を要求する場合もあり得る。このプルアプローチは、近傍のエンドポイントが信頼情報を登録サーバに送出するのではなく、サーバが近傍エンドポイントからの信頼情報を要求するというように、登録サーバにも適用できる。チャレンジ−レスポンス方式もまたこれらの目的に適用でき、この場合登録サーバがエンドポイントにチャレンジを送る。さらに、チャレンジの結果は遠方のエンドポイントに送信されることが可能である。チャレンジはまた、アプリケーションサーバが遠方のエンドポイントに対して開始することができ、遠方のエンドポイントがそのチャレンジを近傍のエンドポイントまたは中間通信サーバにプロキシする。
図4は、クライアントの信頼レベル情報402を判定するためにデータを処理するクライアント400を示す。クライアント400(例えば、発呼者、および/または着呼者)は、アクセスセキュリティ状態404に関連する情報、およびサインインコンポーネント102が受信するサインイン認証情報406を受信する信頼コンポーネント204を含む。アクセスセキュリティ状態404は、コンピュータに接続して着呼者に発呼すること、および着呼者が呼を受信することを容易にする外付けHID装置、ならびに配線付きおよび/または無線装置の使用、コンピュータおよび/または装置がロックされているかまたはロック解除されているかなどに関連する。サインイン認証情報406は、上述のように、サインインの種類に関連する。たとえば、サインインは、使用される認証情報に基づき割り当てられたクライアントの信頼の多様な対応レベル(例えば、低い、中くらい、高いなど)によって、強力、脆弱、中くらい、匿名などであることができる。
本明細書には、本開示のアーキテクチャの新規の態様を実施する例示的な方法を代表する1組のフローチャートが含まれている。説明を簡略化するために、例えばフローチャートまたはフロー図の形で本明細書に示した1つまたは複数の方法を、一連の動作として示し説明しているが、当然のことながら、これらの方法は、その動作の順序に制限されるものではなく、それに従って、いくつかの動作を、本明細書に示し説明したものと異なる順序で、および/または他の動作と並行して行ってもよい。例えば、方法を、状態図で表すように、一連の相互に関連する状態または事象として、代替的に表すことができることは、当業者には理解および認識されよう。さらに、方法に示した全ての動作が、新規の実装に必要なわけではない。
図5は、コンピュータ実装の通信セキュリティ方法を示す。500で、サインイン認証情報を、登録のために、発信元クライアントから呼通信インフラストラクチャに送信する。502で、登録に基づき、登録信頼レベル情報を発信元クライアントにおいて受信する。504で、登録信頼レベル情報を、着信先クライアントに伝送する。506で、登録信頼レベル情報に基づき、着信先クライアントから発信元クライアントへのインタラクションを(着信先クライアントが)コントロールする。呼通信インフラストラクチャはIPベースであることができ、発信元クライアントは、登録信頼レベル情報およびクライアントの信頼レベル情報を、SIPメッセージで着信先クライアントに送信する。
図6は、図5の方法の追加の態様を示す。600で、登録信頼レベル情報を、着信先クライアントへの伝送の一部として有効にする。602で、有効となった登録信頼レベル情報に基づき、アプリケーション機能を、着信先クライアントを介して発信元クライアントに公開する。604で、クライアントの信頼レベル情報を、発信元クライアントにおいて作成する。606で、クライアントの信頼レベル情報をサインイン認証情報と共に送信する。608で、サインイン認証情報およびクライアントの信頼レベル情報の両方に基づき、登録信頼レベル情報を作成する。
図7は、図5の方法の追加の態様を示す。700で、クライアントの信頼レベル情報を、発信元クライアントにおいて作成する。702で、クライアントの信頼レベル情報および登録信頼レベル情報を、着信先クライアントに伝送する。704で、クライアントの信頼レベル情報および登録信頼レベル情報に基づき、着信先クライアントから発信元クライアントへのインタラクションを(例えば、着信先クライアントが)コントロールする。706で、クライアントの信頼レベル情報および登録信頼レベル情報に基づき、アプリケーション機能を、着信先クライアントを介して発信元クライアントに公開する。
本出願で用いるように、用語「コンポーネント」および「システム」は、コンピュータ関連エンティティ、すなはち、ハードウェア、ハードウェアおよびソフトウェアの組み合わせ、ソフトウェア、または実行中のソフトウェアのいずれかを指すよう意図するものである。例えば、コンポーネントは、プロセッサ上で実行中のプロセス、プロセッサ、ハードディスクドライブ、複数のストレージドライブ(光、ソリッドステート、および/または磁気のストレージ媒体の)、オブジェクト、実行ファイル、実行スレッド、プログラム、および/またはコンピュータであることができるが、これらに限らない。例として、サーバ上で実行中のアプリケーションおよびそのサーバの両方が、コンポーネントであることができる。1つまたは複数のコンポーネントが、プロセスおよび/または実行スレッド内に存在することができ、コンポーネントを、1つのコンピュータ上に局在化させる、および/または2つ以上のコンピュータ間で分散させることもできる。用語「例示的」は、本明細書では、例、事例、または例示としての役割を果たすことを意味するために用いる。本明細書で「例示的」として説明したいかなる態様または設計も、必ずしも他の態様または設計より好適または有利なものとみなすべきではない。
ここで図8を参照すると、呼の信頼レベルに基づくセキュリティ保護されたアプリケーション機能へのアクセスを容易にするよう動作可能なコンピューティングシステム800のブロック図を示している。その様々な態様に追加のコンテキストを与えるために、図8および以下の記述は、様々な態様を実装できる適切なコンピューティングシステム800の簡潔な一般的説明を提供しようとするものである。上の説明は、1つまたは複数のコンピュータ上で実行できるコンピュータ実行可能命令の一般的コンテキストでなされているが、新規の実施形態を、他のプログラムモジュールと組み合わせて、および/またはハードウェアおよびソフトウェアの組み合わせとして実装することもできることは、当業者には認識されよう。
様々な態様を実装するコンピューティングシステム800は、処理ユニット(単数または複数)804、システムメモリ806、およびシステムバス808を有するコンピュータ802を含む。処理ユニット(単数または複数)804は、シングルプロセッサ、マルチプロセッサ、シングルコアユニット、およびマルチコアユニットといった、様々な市販のプロセッサの内の任意のものであることができる。さらに、新規の方法を、ミニコンピュータ、メインフレームコンピュータ、ならびに、パーソナルコンピュータ(例えば、デスクトップ、ラップトップなど)、ハンドヘルドコンピューティング装置、マイクロプロセッサベースまたはプログラム可能な家庭用電化製品などを含み、そのそれぞれを1つまたは複数の関連装置に動作可能に接続することができる、他のコンピュータシステム構成で実践することができることは、当業者には理解されよう。
システムメモリ806は、揮発性(VOL)メモリ810(例えば、RAM(random access memory))、および不揮発性メモリ(NON−VOL)812(例えば、ROM、EPROM、EEPROMなど)を含むことができる。BIOS(basic input/output system)は、不揮発性メモリ812に記憶することができ、例えば起動中に、コンピュータ802内のコンポーネント間のデータおよび信号の通信を促進する基本ルーチンを含む。揮発性メモリ810はまた、データをキャッシュするための、スタティックRAMといった高速RAMを含むことができる。
システムバス808は、限定ではないがメモリサブシステム806を含むシステムコンポーネントに、処理ユニット(単数または複数)804へのインタフェースを提供する。システムバス808は、様々な市販のバスアーキテクチャの内の任意のものを用いて、メモリバス(メモリコントローラを伴うまたは伴わない)および周辺バス(例えば、PCI、PCIe、AGP、LPCなど)にさらに相互接続することができる数種類のバス構造の内の任意のものであることができる。
コンピュータ802は、ストレージサブシステム(単数または複数)814、および、ストレージサブシステム(単数または複数)814をシステムバス808および他の所望のコンピュータコンポーネントにインタフェースするためのストレージインタフェース(単数または複数)をさらに含む。ストレージサブシステム(単数または複数)814は、例えば、HDD(hard disk drive)、磁気FDD(floppy disk drive)、および/または光ディスクストレージドライブ(例えば、CD−ROMドライブ、DVDドライブ)の内の1つまたは複数を含むことができる。ストレージインタフェース(単数または複数)816は、例えば、EIDE、ATA、SATA、およびIEEE1394といったインタフェース技術を含むことができる。
オペレーティングシステム820、1つまたは複数のアプリケーションプログラム822、他のプログラムモジュール824、およびプログラムデータ826を含む、1つまたは複数のプログラムおよびデータを、メモリサブシステム806、取外し可能メモリサブシステム818(例えば、フラッシュドライブフォームファクタ技術)、および/またはストレージサブシステム(単数または複数)814(例えば、光、磁気、ソリッドステート)に記憶することができる。
1つまたは複数のアプリケーションプログラム822、他のプログラムモジュール824、およびプログラムデータ826は、例えば、図1のシステム100に対して説明したエンティティ、コンポーネント、および機能性、図2のシステム200に対して説明したエンティティ、コンポーネント、および機能性、図3の図300に対して説明したエンティティ、コンポーネント、および機能性、図4のクライアント400に対して説明したエンティティ、コンポーネント、および機能性、ならびに、図5〜図7のフローチャートに表した方法を含むことができる。
一般的に、プログラムは、特定のタスクを実施するかまたは特定の抽象データ型を実装する、ルーチン、方法、データ構造、他のソフトウェアコンポーネントなどを含む。オペレーティングシステム820、アプリケーション822、モジュール824、および/またはデータ826の全てまたは一部を、例えば、揮発性メモリ810といったメモリ内にキャッシュすることができる。当然のことながら、本開示のアーキテクチャを、様々な市販のオペレーティングシステムまたはオペレーティングシステムの組み合わせ(例えば、仮想マシンとして)を用いて実装することができる。
ストレージサブシステム(単数または複数)814およびメモリサブシステム(806および818)は、データ、データ構造、コンピュータ実行可能命令などの揮発性および不揮発性ストレージに対してコンピュータ可読媒体としての役割を果たす。コンピュータ可読媒体は、コンピュータ802がアクセスできる任意の利用可能な媒体であることができ、揮発性および不揮発性媒体、取外し可能および取外し不可能媒体を含む。コンピュータ802に対して、媒体は、任意の適切なデジタル形式でデータのストレージを収容する。zipドライブ、磁気テープ、フラッシュメモリカード、カートリッジなどといった他の種類のコンピュータ可読媒体を、本開示のアーキテクチャの新規の方法を実施するためのコンピュータ実行可能命令を記憶するために採用することができることは、当業者には理解されよう。
ユーザは、キーボードおよびマウスといった外付けのユーザ入力装置828を用いて、コンピュータ802、プログラム、およびデータとインタラクトすることができる。他の外付けのユーザ入力装置828には、マイクロフォン、IR(infrared)リモートコントロール、ジョイスティック、ゲームパッド、カメラ認識システム、スタイラスペン、タッチスクリーン、ジェスチャシステム(例えば、目の動き、頭の動きなど)などを含むことができる。ユーザは、例えば、コンピュータ802がポータブルコンピュータである場合に、タッチパッド、マイクロフォン、キーボードなどといったオンボードのユーザ入力装置830を用いて、コンピュータ802、プログラム、およびデータとインタラクトすることができる。これらおよび他の入力装置は、I/O(input/output)装置インタフェース(単数または複数)832を通じてシステムバス808を介して、処理ユニット(単数または複数)804に接続されるが、パラレルポート、IEEE1394シリアルポート、ゲームポート、USBポート、IRインタフェースなどといった他のインタフェースによって接続することもできる。I/O装置インタフェース(単数または複数)832はまた、プリンタ、オーディオ装置、カメラ装置などといった出力周辺機器834、ならびに、サウンドカード、および/またはオンボードのオーディオ処理特性の使用を促進する。
1つまたは複数のグラフィックスインタフェース(単数または複数)836(通常GPU(graphics processing unit)とも呼ばれる)は、コンピュータ802と、外付けの表示装置(単数または複数)838(例えば、LCD、プラズマ)および/またはオンボードの表示装置840(例えば、ポータブルコンピュータ用の)との間で、グラフィックス信号およびビデオ信号を提供する。グラフィックスインタフェース(単数または複数)836を、コンピュータシステムボードの一部として製造することもできる。
コンピュータ802は、有線/無線通信サブシステム842を介した1つまたは複数のネットワークおよび/または他のコンピュータへの論理接続を用いて、ネットワーク環境(例えば、IP)で動作することができる。他のコンピュータには、ワークステーション、サーバ、ルータ、パーソナルコンピュータ、マクロプロセッサベースのエンターテインメント機器、ピアデバイス、または他の共通ネットワークノードを含むことができ、一般には、コンピュータ802に関して説明した要素の多くまたは全てを含むことができる。論理接続には、LAN(local area network)、WAN(wide area network)、ホットスポットなどへの有線/無線接続を含むことができる。LANおよびWANのネットワーク環境は、オフィスおよび会社では一般的であり、イントラネットといった企業規模のコンピュータネットワークを促進し、その企業規模のコンピュータネットワークは全て、インターネットといったグローバルな通信ネットワークに接続することができる。
ネットワーク環境で使用する場合、コンピュータ802は、有線/無線ネットワーク、有線/無線プリンタ、有線/無線入力装置844などと通信するために、有線/無線通信サブシステム842(例えば、ネットワークインタフェースアダプタ、オンボードの送受信機サブシステムなど)を介して、ネットワークに接続する。コンピュータ802は、モデムを含むことができるか、または、ネットワーク上で通信を確立するための他の手段を有する。ネットワーク環境では、分散システムに関連づけられているので、コンピュータ802に関するプログラムおよびデータを、リモートのメモリ/ストレージ装置に記憶することができる。当然のことながら、示したネットワーク接続は例示的であり、コンピュータ間で通信リンクを確立する他の手段を用いることができる。
コンピュータ802は、例えば、プリンタ、スキャナ、デスクトップおよび/またはポータブルコンピュータ、PDA(personal digital assistant)、通信衛星、無線で検出可能なタグに関連付けられた何らかの設備または場所(例えば、キオスク、新聞売店、トイレ)、および電話との無線通信(例えば、IEEE802.11の無線変調技術)において動作可能に配置された無線装置というような、IEEE802.xx標準ファミリといったラジオ通信技術を用いた有線/無線の装置またはエンティティと、通信するよう動作可能である。これには少なくとも、ホットスポット、WiMax、およびBluetooth(登録商標)無線技術向けのWi−Fi(またはWireless Fidelity)を含む。従って、通信は、従来のネットワークと同様に予め定義された構造であるか、または単に、少なくとも2つの装置間のアドホックな通信であることができる。Wi−Fiネットワークは安全で、信頼できる、速い無線接続を提供するために、IEEE802.11x(a、b、gなど)と呼ばれるラジオ通信技術を使用する。Wi−Fiネットワークを使用して、コンピュータを、互いに、インターネットに、および有線ネットワーク(IEEE802.3関連媒体および性能を使用する)に接続することができる。
ここで図9を参照すると、クライアントの信頼レベルを用いたアプリケーション機能へのアクセスコントロールを容易にするコンピューティング環境900の略ブロック図を示している。環境900は、1つまたは複数のクライアント902を含む。クライアント(単数または複数)902は、ハードウェアおよび/またはソフトウェア(例えば、スレッド、プロセス、コンピューティング装置)であることができる。クライアント(単数または複数)902は、例えば、クッキー(単数または複数)および/または関連コンテキスト情報を収容することができる。
また、環境900は1つまたは複数のサーバ904を含む。サーバ(単数または複数)904もまた、ハードウェアおよび/またはソフトウェア(例えば、スレッド、プロセス、コンピューティング装置)であることができる。サーバ904は、例えば、アーキテクチャを採用することによって変換を実施するためにスレッドを収容することができる。クライアント902とサーバ904との間の1つの可能な通信は、2つ以上のコンピュータプロセス間で伝送されるのに適合するデータパケットの形式であることができる。データパケットは、例えば、クッキーおよび/または関連コンテキスト情報を含んでよい。環境900は、クライアント(単数または複数)902とサーバ(単数または複数)904との間の通信を促進するために採用できる通信フレームワーク906(例えば、インターネットといったグローバルな通信ネットワーク)を含む。
通信を、有線(光ファイバを含む)および/または無線技術を介して促進することができる。クライアント(単数または複数)902は、クライアント(単数または複数)902にローカルな情報(例えば、クッキー(単数または複数)および/または関連コンテキスト情報)を記憶するために採用できる1つまたは複数のクライアントデータストア(単数または複数)908に、動作可能に接続される。同様に、サーバ(単数または複数)904は、サーバ(単数または複数)904にローカルな情報を記憶するために採用できる1つまたは複数のサーバデータストア(単数または複数)910に、動作可能に接続される。
上に説明したものには、本開示のアーキテクチャの例を含む。もちろん、コンポーネントおよび/または方法の考えられるあらゆる組み合わせを説明することは不可能であるが、多くのさらなる組み合わせおよび置換が可能であることは、当業者には認識されよう。従って、本新規のアーキテクチャは、添付請求項の趣旨および範囲内にある全ての変更、修正、および変形を包含するよう意図するものである。さらに、用語「含む」を詳細な説明または請求項のいずれかで用いるかぎりでは、そのような用語は、請求項で遷移語として用いられる際に「備える」が解釈されように、用語「備える」と同様に包括的であるよう意図するものである。
Claims (15)
- コンピュータ実装の通信セキュリティシステム(100)であって、
サインイン認証情報を、登録のために通信インフラストラクチャに送信し、前記サインイン認証情報に基づく登録信頼レベル情報を受信する近傍のエンドポイントのサインインコンポーネント(102)と、
前記登録信頼レベル情報を遠方のエンドポイントに送信する前記近傍のエンドポイントの通信コンポーネント(112)であって、前記遠方のエンドポイントは、前記登録信頼レベル情報に基づき、前記近傍のエンドポイントとの通信インタラクションを管理する通信コンポーネントと
を備えることを特徴とするシステム。 - 前記近傍のエンドポイントは、前記登録信頼レベル情報を、前記近傍のエンドポイントが開始した呼と組み合わせて、前記遠方のエンドポイントに送信することを特徴とする請求項1に記載のシステム。
- 前記通信インフラストラクチャはIPベースであり、前記近傍のエンドポイントは、前記登録信頼レベル情報を、前記IPベースの通信インフラストラクチャを介したIP呼と組み合わせて、SIP(session initiation protocol)メッセージとして前記遠方のエンドポイントに送信することを特徴とする請求項2に記載のシステム。
- 近傍のエンドポイントの信頼レベル情報を算出する近傍エンドポイントの信頼コンポーネントをさらに備え、
前記近傍のエンドポイントの信頼レベル情報は、登録のために前記サインイン認証情報と共に送信され、前記登録信頼レベル情報は、前記サインイン認証情報および前記近傍のエンドポイントの信頼レベル情報に基づき算出されることを特徴とする請求項1に記載のシステム。 - 前記遠方のエンドポイントは、前記登録信頼レベル情報および前記近傍のエンドポイントの信頼レベル情報に基づき、セキュリティ保護されたアプリケーションの機能へのアクセスを要求することを特徴とする請求項4に記載のシステム。
- 前記近傍のエンドポイントの信頼コンポーネントは、前記近傍のエンドポイントに対するアクセスセキュリティ状態の変更に基づき、前記近傍のエンドポイントの信頼レベル情報を再算出し、更新した近傍のエンドポイントの信頼レベル情報を、前記遠方のエンドポイントに送信することを特徴とする請求項4に記載のシステム。
- 前記近傍のエンドポイントの信頼コンポーネントは、前記近傍のエンドポイントの検証結果を前記遠方のエンドポイントに対して指定する検証メッセージを作成することを特徴とする請求項4に記載のシステム。
- 前記登録信頼レベル情報は、前記登録の一部としてサインされることを特徴とする請求項1に記載のシステム。
- 前記近傍のエンドポイントは、結果として前記登録信頼レベル情報が異なるレベルになるよう取るべきアクションについての示唆を受信することを特徴とする請求項1に記載のシステム。
- コンピュータ実装の通信セキュリティ方法であって、
サインイン認証情報を、登録のために、発信元クライアントから呼通信インフラストラクチャに送信するステップ(500)と、
前記登録に基づき、登録信頼レベル情報を前記発信元クライアントにおいて受信するステップ(502)と、
前記登録信頼レベル情報を、着信先クライアントに伝送するステップ(504)と、
前記登録信頼レベル情報に基づき、前記着信先クライアントから前記発信元クライアントへのインタラクションをコントロールするステップと
を備えることを特徴とする方法。 - 前記登録信頼レベル情報を、前記着信先クライアントへの伝送の一部として有効にするステップと、
前記有効となった登録信頼レベル情報に基づき、アプリケーション機能を、前記着信先クライアントを介して前記発信元クライアントに公開するステップと
をさらに備えることを特徴とする請求項10に記載の方法。 - クライアントの信頼レベル情報を、前記発信元クライアントにおいて作成するステップと、
前記クライアントの信頼レベル情報を前記サインイン認証情報と共に送信するステップと、
前記サインイン認証情報および前記クライアントの信頼レベル情報の両方に基づき、前記登録信頼レベル情報を作成するステップと
をさらに備えることを特徴とする請求項10に記載の方法。 - 前記呼通信インフラストラクチャはIPベースであり、前記発信元クライアントは、前記登録信頼レベル情報および前記クライアントの信頼レベル情報を、SIPメッセージで前記着信先クライアントに送信することを特徴とする請求項12に記載の方法。
- クライアントの信頼レベル情報を、前記発信元クライアントにおいて作成するステップと、
前記クライアントの信頼レベル情報および前記登録信頼レベル情報を、前記着信先クライアントに伝送するステップと、
前記クライアントの信頼レベル情報および前記登録信頼レベル情報に基づき、前記着信先クライアントから前記発信元クライアントへのインタラクションをコントロールするステップと
をさらに備えることを特徴とする請求項10に記載の方法。 - 前記クライアントの信頼レベル情報および前記登録信頼レベル情報に基づき、アプリケーション機能を、前記着信先クライアントを介して前記発信元クライアントに公開するステップをさらに備えることを特徴とする請求項14に記載の方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/483,239 US9531695B2 (en) | 2009-06-12 | 2009-06-12 | Access control to secured application features using client trust levels |
| US12/483,239 | 2009-06-12 | ||
| PCT/US2010/038220 WO2010144737A2 (en) | 2009-06-12 | 2010-06-10 | Access control to secured application features using client trust levels |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2012530293A true JP2012530293A (ja) | 2012-11-29 |
Family
ID=43307587
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012515158A Withdrawn JP2012530293A (ja) | 2009-06-12 | 2010-06-10 | クライアントの信頼レベルを用いたセキュリティ保護されたアプリケーション機能へのアクセスコントロール |
Country Status (13)
| Country | Link |
|---|---|
| US (1) | US9531695B2 (ja) |
| EP (1) | EP2441208B1 (ja) |
| JP (1) | JP2012530293A (ja) |
| KR (1) | KR101709803B1 (ja) |
| CN (1) | CN102804679B (ja) |
| AU (1) | AU2010258680B2 (ja) |
| BR (1) | BRPI1010721A2 (ja) |
| CA (1) | CA2760995A1 (ja) |
| IL (1) | IL216210A0 (ja) |
| MY (1) | MY165550A (ja) |
| RU (1) | RU2541847C2 (ja) |
| SG (2) | SG10201403065UA (ja) |
| WO (1) | WO2010144737A2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6997232B2 (ja) | 2014-11-10 | 2022-01-17 | アリババ・グループ・ホールディング・リミテッド | 移動端末間の通信の確立 |
Families Citing this family (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9531695B2 (en) | 2009-06-12 | 2016-12-27 | Microsoft Technology Licensing, Llc | Access control to secured application features using client trust levels |
| AU2012219222B2 (en) | 2011-02-18 | 2015-07-30 | Bae Systems Plc | Voice traffic gateway |
| EP2676427B1 (en) | 2011-02-18 | 2019-06-12 | BAE Systems PLC | Application of a non-secure warning tone to a packetised voice signal |
| US9092491B2 (en) * | 2011-07-11 | 2015-07-28 | International Business Machines Corporation | Searching documentation across interconnected nodes in a distributed network |
| CN105160244B (zh) * | 2012-09-19 | 2019-02-22 | 北京奇安信科技有限公司 | 一种文件处理方法和系统 |
| US9332019B2 (en) | 2013-01-30 | 2016-05-03 | International Business Machines Corporation | Establishment of a trust index to enable connections from unknown devices |
| US9838375B2 (en) | 2013-02-28 | 2017-12-05 | Microsoft Technology Licensing, Llc | RESTlike API that supports a resilient and scalable distributed application |
| KR101393159B1 (ko) * | 2013-04-10 | 2014-05-30 | 숭실대학교산학협력단 | 소셜 네트워크 서비스에서의 키 기반의 액세스 제어 방법 및 장치 |
| US10122656B2 (en) * | 2013-08-05 | 2018-11-06 | Oath Inc. | Systems and methods for managing electronic communications |
| US9479491B1 (en) * | 2013-09-06 | 2016-10-25 | United Services Automobile Association (Usaa) | Methods and systems for multiple channel authentication |
| US9288062B2 (en) | 2014-02-20 | 2016-03-15 | International Business Machines Corporation | Telephone caller authentication |
| EP3162104B1 (en) * | 2014-06-25 | 2022-11-02 | Orange | A method to authenticate calls in a telecommunication system |
| US9462471B2 (en) * | 2014-06-27 | 2016-10-04 | Mcafee, Inc. | Identification of call participants |
| US9537804B2 (en) | 2014-10-22 | 2017-01-03 | International Business Machines Corporation | System for delegating the prioritization of incoming communications to trusted users |
| US20170359357A1 (en) * | 2014-11-04 | 2017-12-14 | Lg Electronics Inc. | A method and apparatus for managing a preference setting for trust level information of caller identity in a wireless accesss system |
| CN104717653A (zh) * | 2015-03-12 | 2015-06-17 | 惠州Tcl移动通信有限公司 | 一种移动终端的网络连接控制方法及系统 |
| EP3338395A4 (en) * | 2015-08-21 | 2019-01-23 | Avaya Inc. | SECURITY POLICY MANAGER |
| US10769291B2 (en) | 2017-06-12 | 2020-09-08 | Microsoft Technology Licensing, Llc | Automatic data access from derived trust level |
| US11115390B2 (en) * | 2017-12-05 | 2021-09-07 | Goldilock Secure s.r.o. | Storage system utilizing discrete on-demand memory resources |
| US11616781B2 (en) | 2017-12-05 | 2023-03-28 | Goldilock Secure s.r.o. | Air gap-based network isolation device |
| US11019203B2 (en) | 2018-03-09 | 2021-05-25 | Pindrop Security, Inc. | Silent caller ID verification using callback request |
| US10440178B2 (en) | 2018-03-09 | 2019-10-08 | Pindrop Security, Inc. | Caller ID verification using call identification and block lists |
| US11132681B2 (en) | 2018-07-06 | 2021-09-28 | At&T Intellectual Property I, L.P. | Services for entity trust conveyances |
| US11063990B2 (en) * | 2018-08-13 | 2021-07-13 | T-Mobile Usa, Inc. | Originating caller verification via insertion of an attestation parameter |
| US10802872B2 (en) | 2018-09-12 | 2020-10-13 | At&T Intellectual Property I, L.P. | Task delegation and cooperation for automated assistants |
| US11481186B2 (en) | 2018-10-25 | 2022-10-25 | At&T Intellectual Property I, L.P. | Automated assistant context and protocol |
| EP4106373A4 (en) * | 2020-02-14 | 2024-03-06 | Intellectual Discovery Co Ltd | METHOD, DEVICE AND COMPUTER PROGRAM FOR CLOUD AUTHENTICATED PAIRING IN WIRELESS COMMUNICATION SYSTEM AND RELATED RECORDING MEDIUM |
| US11330098B1 (en) | 2020-11-06 | 2022-05-10 | Sevis Systems, Llc | System and method for enabling trusted caller identity and spoofed call prevention |
| KR102491066B1 (ko) * | 2020-12-31 | 2023-01-20 | 두나무 주식회사 | 신뢰 등급을 포함하는 검증 가능한 자격증명 정보 제공 장치 및 방법 |
| US11595517B2 (en) * | 2021-04-13 | 2023-02-28 | Apple Inc. | Digital assistant integration with telephony |
| US11916978B2 (en) * | 2021-11-19 | 2024-02-27 | Lenovo (Singapore) Pte. Ltd. | Automatically answering communication sessions received from trusted callers |
| US20230239290A1 (en) * | 2022-01-21 | 2023-07-27 | Capital One Services, Llc | Systems and methods for coherent and tiered voice enrollment |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| NZ243768A (en) * | 1991-07-31 | 1995-04-27 | Telstra Corp Ltd | Radio telephone network access control according to identity of calling unit |
| FI98971C (fi) * | 1994-11-01 | 1997-09-10 | Nokia Telecommunications Oy | Menetelmä älyverkkopalvelujen käynnistämiseksi matkaviestinjärjestelmässä sekä matkaviestinjärjestelmä |
| EP0988765A1 (en) | 1997-06-11 | 2000-03-29 | Nortel Networks Limited | System and method for detecting unauthorized use of a cellular telephone |
| US6594355B1 (en) * | 1997-10-06 | 2003-07-15 | Worldcom, Inc. | Method and apparatus for providing real time execution of specific communications services in an intelligent network |
| JP3938237B2 (ja) * | 1998-01-20 | 2007-06-27 | 富士通株式会社 | インタネット電話発信者番号通知装置 |
| US6691232B1 (en) * | 1999-08-05 | 2004-02-10 | Sun Microsystems, Inc. | Security architecture with environment sensitive credential sufficiency evaluation |
| US6892307B1 (en) * | 1999-08-05 | 2005-05-10 | Sun Microsystems, Inc. | Single sign-on framework with trust-level mapping to authentication requirements |
| US7284124B1 (en) * | 2000-06-05 | 2007-10-16 | Microsoft Corporation | Trust level based platform access regulation application |
| JP2002023628A (ja) | 2000-07-07 | 2002-01-23 | Fujitsu Ltd | 電子的貿易取引サーバ、売主用クライアント、買主用クライアント及び電子的貿易取引方法 |
| JP2002082907A (ja) * | 2000-09-11 | 2002-03-22 | Nec Corp | データ通信におけるセキュリティ機能代理方法、セキュリティ機能代理システム、及び、記録媒体 |
| US7167551B2 (en) * | 2001-12-12 | 2007-01-23 | International Business Machines Corporation | Intermediary device based callee identification |
| US7103172B2 (en) * | 2001-12-12 | 2006-09-05 | International Business Machines Corporation | Managing caller profiles across multiple hold queues according to authenticated caller identifiers |
| US7010565B2 (en) * | 2002-09-30 | 2006-03-07 | Sampson Scott E | Communication management using a token action log |
| US7486622B2 (en) * | 2003-04-28 | 2009-02-03 | Alcatel-Lucent Usa Inc. | OAM echo messaging to verify a service-based network distribution path |
| US7620809B2 (en) * | 2005-04-15 | 2009-11-17 | Microsoft Corporation | Method and system for device registration within a digital rights management framework |
| JP2009518762A (ja) | 2005-12-09 | 2009-05-07 | シグナサート, インコーポレイテッド | インテグリティデータベースサービスを用いた、トラステッドプラットフォーム上のコンポーンテントのインテグリティの検証方法 |
| DE602006001570D1 (de) * | 2006-01-10 | 2008-08-07 | Alcatel Lucent | Verfahren und Zugangsserver, um einen Benutzer eine zentrale Anmeldungsprozedur bereitzustellen |
| US20080028453A1 (en) | 2006-03-30 | 2008-01-31 | Thinh Nguyen | Identity and access management framework |
| WO2008030629A1 (en) | 2006-09-06 | 2008-03-13 | Signacert, Inc. | Method and apparatus to establish routes based on the trust scores of routers withtn an ip routing domain |
| US9900347B2 (en) * | 2007-09-14 | 2018-02-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Handling trust in an IP multimedia subsystem communication network |
| US8730946B2 (en) * | 2007-10-18 | 2014-05-20 | Redshift Internetworking, Inc. | System and method to precisely learn and abstract the positive flow behavior of a unified communication (UC) application and endpoints |
| US9531695B2 (en) | 2009-06-12 | 2016-12-27 | Microsoft Technology Licensing, Llc | Access control to secured application features using client trust levels |
-
2009
- 2009-06-12 US US12/483,239 patent/US9531695B2/en active Active
-
2010
- 2010-06-10 KR KR1020117029337A patent/KR101709803B1/ko active IP Right Grant
- 2010-06-10 CA CA 2760995 patent/CA2760995A1/en not_active Abandoned
- 2010-06-10 JP JP2012515158A patent/JP2012530293A/ja not_active Withdrawn
- 2010-06-10 BR BRPI1010721A patent/BRPI1010721A2/pt not_active Application Discontinuation
- 2010-06-10 AU AU2010258680A patent/AU2010258680B2/en not_active Ceased
- 2010-06-10 RU RU2011150225/08A patent/RU2541847C2/ru not_active IP Right Cessation
- 2010-06-10 SG SG10201403065UA patent/SG10201403065UA/en unknown
- 2010-06-10 WO PCT/US2010/038220 patent/WO2010144737A2/en active Application Filing
- 2010-06-10 MY MYPI2011005775A patent/MY165550A/en unknown
- 2010-06-10 EP EP10786866.3A patent/EP2441208B1/en active Active
- 2010-06-10 CN CN201080026395.2A patent/CN102804679B/zh active Active
- 2010-06-10 SG SG2011080199A patent/SG175844A1/en unknown
-
2011
- 2011-11-08 IL IL216210A patent/IL216210A0/en unknown
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6997232B2 (ja) | 2014-11-10 | 2022-01-17 | アリババ・グループ・ホールディング・リミテッド | 移動端末間の通信の確立 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20100319063A1 (en) | 2010-12-16 |
| US9531695B2 (en) | 2016-12-27 |
| WO2010144737A3 (en) | 2011-03-03 |
| WO2010144737A2 (en) | 2010-12-16 |
| RU2541847C2 (ru) | 2015-02-20 |
| EP2441208A2 (en) | 2012-04-18 |
| IL216210A0 (en) | 2012-01-31 |
| EP2441208A4 (en) | 2015-04-15 |
| MY165550A (en) | 2018-04-03 |
| KR20120028907A (ko) | 2012-03-23 |
| RU2011150225A (ru) | 2013-06-20 |
| CA2760995A1 (en) | 2010-12-16 |
| SG10201403065UA (en) | 2014-10-30 |
| CN102804679B (zh) | 2016-03-16 |
| CN102804679A (zh) | 2012-11-28 |
| AU2010258680A1 (en) | 2011-12-01 |
| SG175844A1 (en) | 2011-12-29 |
| KR101709803B1 (ko) | 2017-02-23 |
| BRPI1010721A2 (pt) | 2016-03-15 |
| AU2010258680B2 (en) | 2014-05-15 |
| EP2441208B1 (en) | 2017-02-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2012530293A (ja) | クライアントの信頼レベルを用いたセキュリティ保護されたアプリケーション機能へのアクセスコントロール | |
| US10805085B1 (en) | PKI-based user authentication for web services using blockchain | |
| US10375053B2 (en) | Cross-platform single sign-on accessibility of a productivity application within a software as a service platform | |
| US9871799B2 (en) | Enabling trusted conferencing services | |
| US9646309B2 (en) | Method for authentication and assuring compliance of devices accessing external services | |
| US11196739B2 (en) | Authorization activation | |
| US10742649B1 (en) | Secure authentication and virtual environment setup | |
| US20080320566A1 (en) | Device provisioning and domain join emulation over non-secured networks | |
| CN113630377B (zh) | 托管移动设备的单点登录 | |
| US11855982B2 (en) | Caller and recipient alternate channel identity confirmation | |
| CN112352411B (zh) | 利用不同的云服务网络的相同域的注册 | |
| US11777942B2 (en) | Transfer of trust between authentication devices | |
| JP2004355619A (ja) | 信頼範囲外の所与の外部接続によって複数のソースからの通信を行うことができるプロトコル・ベースの信頼範囲内の分散認証 | |
| US9967256B2 (en) | System for delivering messages securely via third-party account | |
| US8782773B2 (en) | Framework for communicating across a firewall | |
| TW201328280A (zh) | 即時通訊身分認證系統與方法 | |
| CN113287106A (zh) | 可跟踪的可共享链路 | |
| JP2015118459A (ja) | 画像形成装置、情報端末、サーバ装置、データ処理システム、画像形成装置の通信方法、情報端末の通信方法、サーバ装置の通信方法、及びプログラム | |
| KR20130043640A (ko) | 보안 정보 업데이트들을 수행하기 위한 일방 정보 이송 | |
| US12003512B2 (en) | Limiting discovery of a protected resource in a zero trust access model | |
| US20230126355A1 (en) | Limiting discovery of a protected resource in a zero trust access model |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20121005 |