安全策略管理器的制作方法

本文中所公开的系统和方法涉及安全通信，并且特别涉及安全通信的管理。

背景技术：

提供安全通信的能力是政府和企业通信网络的一个至关重要的部分。在许多情况下，极其重要的是使得在通信会话(比如语音或视频通信会话)中呈现的信息是高度安全的。令通信会话的各方知道通信会话是否安全的一种方式是提供表明通信会话是否安全的安全性指示特征。这样，通信会话的各方将能够确定呼叫是否安全。但是当前的端到端呼叫安全性指示特征有时并不总是提供关于呼叫的安全性等级的适当指示。举例来说，不应当收听通信会话的人可能会偷听到通信会话。在类似于这样的情况下，通信会话的安全性可能会在通信会话的其他各方不知道的情况下受到损害。

技术实现要素：

本发明提供了用以解决现有技术的前述和其他问题及缺点的系统和方法。确定改变通信端点之间的通信会话的安全性的事件。改变通信端点之间的通信会话的安全性的事件在通信会话建立之后发生。举例来说，所述事件可以是用户在何处启用了喇叭扩音器。响应于确定改变通信端点之间的通信会话的安全性的事件，向通信端点发送表明已改变安全性等级的消息。通信端点向通信会话的参与方显示已改变安全性等级。举例来说，当喇叭扩音器被启用时，已改变安全性等级可以表明通信会话现在是不安全的。

附图说明

图1是用于在对等环境中的通信会话期间提供安全性状态的第一说明性系统的方块图。

图2是用于在集中式环境中的通信会话期间提供安全性状态的第二说明性系统的方块图。

图3是用于在通信会话期间提供安全性状态的处理的流程图。

图4是管理安全性策略的处理的流程图。

图5是通信端点上的安全性消息的说明性显示的图示。

具体实施方式

图1是用于在对等环境中的通信会话期间提供安全性状态的第一说明性系统100的方块图。第一说明性系统100包括通信端点101A-101N、网络110、策略服务器120以及传感器130。

通信端点101可以是或者可以包括能够在网络110上通信的任何通信端点，比如个人计算机(PC)、电话、视频系统、蜂窝电话、个人数字助理(PDA)、平板设备、笔记本设备、智能电话、视频服务器、媒体服务器等等。如图1中所示，任意数目的通信设备101A-101N可以连接到网络110。

通信端点101A还包括处理器102A、显示器103A、安全性管理器104A、一项或多项安全性策略105A以及网络接口106A。虽然通信端点101B-101N未被示出包括处理器102、显示器103、安全性管理器104、一项或多项安全性策略105以及网络接口106，但是通信端点101B-101N也可以包括所有单元102-106或者单元102-106的子集。举例来说，通信端点101B可以包括单元102-106(虽然未示出,102B-106B)。

虽然未示出，但是通信端点101可以包括用于传达或接收信息的其他硬件设备，比如扬声器、麦克风、头戴式耳机、视频摄影机、触摸屏、传感器130等等。所述其他硬件设备可以被用于检测安全性事件以及/或者用于通知通信会话的安全性状态。举例来说，扬声器可以被用来传达通信会话的安全性等级。

虽然未示出，但是本文中所描述的通信端点101还可以包括被用来提供安全性的其他模块，比如加密模块、安全引导等等。加密模块和安全引导可以被用来确保每一个通信端点101是受信任的通信端点101。为了使得通信会话被认为是安全的，每一个通信端点101都需要是受信任的通信端点101。

处理器102可以是或者可以包括处理固件/软件的任何硬件处理设备，比如微处理器、计算机、多核处理器、数字信令处理器、微控制器等等。显示器103可以是或者可以包括能够向人渲染显示的任何设备，比如液晶显示器(LCD)、发光二极管(LED)显示器、等离子显示器、阴极射线管、视频投影仪、触摸屏等等。显示器103可以包括传达呼叫是否安全的指示器，比如单个灯或LED。

安全性管理器104可以是能够管理通信会话的安全性的任何硬件/软件。安全性管理器104可以管理任意数目的通信端点101A-101N之间的一个或多个通信会话的安全性。

一项或多项安全性策略105可以是或者可以包括定义安全性事件如何被管理、显示、传达等等的任何规则或策略。一项或多项安全性策略105可以与安全性管理器104一起被下载到通信端点101。

网络接口106可以是或者可以包括能够在网络110上通信的与固件/软件相结合的任何硬件。举例来说，网络接口106可以是以太网接口、蜂窝接口、光纤接口、无线接口、WiFi接口、802.11接口、有线接口等等。网络接口106可以使用多种协议，比如互联网协议、传输控制协议(TCP)、用户数据报协议(UDP)、SIP、专有协议、视频协议、即时消息传送(IM)协议、Web实时通信(WebRTC)协议、H.323、IP语音(VoIP)等等。

网络110可以是或者可以包括可发送和接收电子通信的通信装备的任何总集，比如因特网、广域网(WAN)、局域网(LAN)、IP语音网络(VoIP)、公共交换电话网(PSTN)、分组交换网络、电路交换网络、蜂窝网络、这些网络的组合等等。网络110可以使用多种电子协议，比如以太网、互联网协议(IP)、会话发起协议(SIP)、综合服务数字网络(ISDN)、专有协议等等。因此，网络110是被配置成通过分组和/或电路交换通信来载送消息的电子通信网络。

策略服务器120可以是或者可以包括能够管理安全通信的与软件相结合的任何硬件。策略服务器120还包括策略管理器121和网络接口106。策略管理器121可以是或者可以包括能够管理安全通信的任何硬件/软件。策略管理器121还包括安全性管理器104以及一项或多项安全性策略105。策略管理器121中的安全性策略105对于通信端点101A-101N中的每一个可以包括相同或不同的策略。策略管理器121可以把安全性管理器104和/或安全性策略105下载到每一个(或者所选择的多个)通信端点101A-101N。虽然未示出，但是策略管理器121还可以包括其他模块，比如加密模块。

(多个)传感器130可以是被用来识别事件的任何传感器，比如射频标识(RFID)、读卡器、全球定位卫星(GPS)定位器、摄影机、条形码扫描器、Bluetooth信标或类似设备、声纹识别系统、认证系统、通信流分析器等等。举例来说，传感器130可以是会议室中的读卡器。传感器130可以包括其他类型的传感器，比如门传感器(例如开门或关门)、检测附近区域内的人的检测器、会议室外部的运动传感器警报、针对位置的全球定位卫星(GPS)标准等等。举例来说，事件可以是只要会议室是打开的则把呼叫视为是不安全的，并且/或者当会议室门被打开时则呼叫变为不安全。

(多个)传感器130被示出为与通信端点101和策略服务器120分开。但是在某些实施例中，(多个)传感器130可以处在通信端点101A-101N和/或策略服务器120中。举例来说，传感器130可以是通信端点101A中的视频摄影机或触摸屏。

出于说明的目的，后面的示例性描述是针对通信端点101A与101B之间的通信会话。虽然未示出，但是可以使用例如代理服务器之类的网络单元来建立通信会话。通信会话可以是在其中两个或更多通信端点101A-101N之间。通信会话可以是语音、视频、多媒体或即时消息传送(IM)通信会话。策略管理器121把安全性管理器104和安全性策略105下载到通信端点101A-101B。所下载的安全性策略105A可以不同于所下载的安全性策略105B。

通信端点101A建立去往通信端点101B的对等通信会话。一旦在通信端点101A-101B之间建立对等通信会话，安全性管理器104A确定改变通信会话的安全性的事件。基于安全性策略105确定事件。响应于确定改变通信会话的安全性的事件，通信端点101A向通信端点101B发送已改变安全性等级。

为了进行说明，假设已经在通信端点101A-101B之间建立语音呼叫。举例来说，使用SIP(例如通信端点101A发送SIP INVITE，接收SIP 200OK，并且发送SIP ACK)建立SIP语音呼叫。安全性策略105A定义如果通信设备101A-101B之一启用喇叭扩音器，则呼叫被认为是不安全的。通信端点101A的用户启用通信端点101A中的喇叭扩音器。作为响应，通信端点101A向通信端点101B发送表明通信会话的安全性等级的改变的SIP UPDATE消息(因为SIP更新是比对话外SIP消息更加安全的对话内SIP消息)。所述安全性改变是通信会话现在是不安全的。通信端点101B显示表明由于通信端点101A的用户现在正在使用喇叭扩音器因此呼叫不安全的消息。如果通信端点101N也在呼叫上，则通信端点101A还可以向通信端点101N发送表明呼叫不安全的消息。

在一个实施例中，传感器130可以把事件发送到其中一个或多个通信端点101。举例来说，传感器130可以是包括通信端点101A的视频会议室中的RFID扫描器。如果未被授权参与视频呼叫的人在视频呼叫期间进入会议室(例如通过扫描其RFID卡)，则RFID扫描器可以把事件发送到通信端点101A。响应于RFID事件，通信端点101A向呼叫上的其他通信端点101发送消息，表明由于未被授权参与视频呼叫的人处在会议室内因此视频呼叫现在是不安全的。

图2是用于在集中式环境中的通信会话期间提供安全性状态的第二说明性系统200的方块图。第二说明性系统200包括通信端点101A-101N、网络110、通信管理器220以及(多个)传感器130。在该实施例中，通信端点101A-101N包括处理器102、显示器103以及网络接口106。

通信管理器220可以是或者可以包括能够建立通信会话的与软件/固件耦合的任何硬件，比如私有分支交换机、中心局交换机、路由器、代理服务器等等。通信管理器220还包括策略管理器221和网络接口106。

策略管理器221可以是或者可以包括能够管理通信会话的安全性的任何硬件/软件。策略管理器221还包括安全性管理器204和(多项)安全性策略205。虽然未示出，但是策略管理器221可以包括其他模块，比如加密模块。

安全性管理器204类似于安全性管理器104。但是在该实施例中，安全性管理器204是集中式安全性管理器204。安全性管理器204对于两个或更多通信端点101A-101N管理安全性。虽然未示出，但是安全性管理器204可以是分布式的。举例来说，安全性管理器204可以驻留在通信管理器220中并且可以驻留在通信端点101A-101N中。或者，安全性管理器204可以与通信管理器130分开驻留。例如驻留在策略服务器120上。在一个实施例中，安全性管理器204是被定序到通信会话的呼叫/媒体流程中的背靠背用户代理(B2BUA)。

出于说明的目的，下面的示例性描述是针对通过通信管理器220建立在通信端点101A与101B之间的通信会话。但是通信会话可以是在其中两个或更多通信端点101A-101N之间。

在通信端点101A-101B之间建立通信会话。一旦建立通信会话，安全性管理器204确定改变通信端点101A-101B之间的通信会话的安全性的事件。作为响应，安全性管理器204向通信端点101A-101N发送表明安全性等级已发生改变的消息。

以其中喇叭扩音器被启用的事件为例。在通过通信管理器220建立通信端点101A-101B之间的通信会话之后，通信端点101A的用户启用通信端点101A中的喇叭扩音器。通信端点101A把已启用喇叭扩音器的状态发送到安全性管理器204。响应于表明如果其中一个通信端点101A-101B正在使用喇叭扩音器则呼叫不安全的安全性策略205，安全性管理器204确定通信会话的安全性已发生改变。其结果是，安全性管理器204向通信端点101A-101B二者发送表明通信会话的安全性现在是不安全的消息。

图3是用于在通信会话期间提供安全性状态的处理的流程图。作为说明，通信端点101A-101N、显示器103、安全性管理器104/204、网络接口106、策略服务器120、策略管理器121/221、通信管理器220以及传感器130使用所存储的程序控制的实体，比如计算机、处理器102，其通过执行存储在例如存储器或盘之类的非瞬时性计算机可读存储介质中的程序指令来实施图3-4的方法和本文中所描述的处理。虽然在图3-4中描述的方法被示出在特定的顺序中，但是本领域技术人员将认识到，图3-4中的步骤可以被实施在不同的顺序中并且/或者实施在多线程环境中。此外，可以基于实现方式省略或添加各种步骤。

图3-4的处理对于在图1-2中描述的实施例将是有效的。处理开始于步骤300。在步骤302中，在通信端点101的其中两个或更多个(多个)之间建立通信会话。举例来说，在通信端点101A-101N之间建立已加密通信会话。

在步骤304中，安全性管理器104/204确定是否接收或检测到事件。在步骤304中，安全性管理器104/204可以从其中一个传感器130、从另一个设备、从应用等等接收事件。在步骤304中，安全性管理器104/204可以例如通过扬声器或摄影机在本地检测事件。

事件可以是可能导致通信会话中的安全等级的改变的任何事件。举例来说，事件可以是在通信端点101中何处激活或停用了喇叭扩音器。事件可以是在其中一个或多个通信端点101的音频流中何处检测到高信噪比。举例来说，如果主叫方的背景噪声高，这可以表明此人处在其中其他人可以偷听或者偷看语音或视频通信会话的区域。或者，在音频流中检测到低信噪比(信噪比先前为高处)可以表明呼叫现在可能是安全的。事件可以是无线头戴式耳机连接到通信端点101或者与通信端点101断开连接。无线头戴式耳机的连接可能使得呼叫不安全，这是因为未被授权的另一个人可能使用所述头戴式耳机，或者用户可能随着所述头戴式耳机移动到不安全的位置。此外，无线头戴式耳机通常不具有加密或者其加密太弱而不足以使得无线流是安全的。无线头戴式耳机可能使用与通信会话所具有的加密不处于相同等级的加密。这会导致更不安全的通信会话。其他事件可以包括：有人离开安全区域，有人进入安全区域，有人进入不安全的位置，有人离开不安全的位置，视觉检测到房间中有另一个人，检测到无法辨识或者未被授权的面纹，音频检测到另一个人说话(在只有一个人被允许的通信端点101处有第二个人说话)，检测到特定的声音(例如狗吠、汽车声音等等)，检测到未知的或者未被授权的声纹，检测到其中一个通信端点101上的本地记录，通信端点101离开安全区域，通信端点101进入安全区域等等。

如果在步骤304中没有接收到事件，则处理在步骤306中确定通信会话是否结束。如果通信会话在步骤306中结束，则处理在步骤308中结束。否则，如果通信在步骤306中未结束，则处理去往步骤304。

如果在步骤304中接收或检测到事件，则处理在步骤310中确定所述事件是否在步骤310中导致安全性等级的改变。事件是否导致安全性等级的改变是基于安全性策略105/205的。事件可以特定于通信端点101。举例来说，当通信端点101正在使用喇叭扩音器时(不安全)，则通信端点101A的用户可能导致安全性的改变。但是当通信端点101B正在使用喇叭扩音器时，通信端点101B可能不会导致安全性等级的改变。举例来说，通信端点101B可能处在安全会议室中，其中使用喇叭扩音器被视为是安全的。在对等环境中，通信端点101A-101N可以具有不同的安全性策略105A-105N。在集中式环境中，每一个通信端点101A-101N可以具有单独的安全性策略205。在某些实施例中，所有通信端点101A-101N可以使用单一安全性策略105/205。在某些实施例中，仅通信端点101的子集可以具有相关联的安全性策略105/205。

如果在步骤310中将不改变安全性等级，则处理去往步骤306。否则，如果在步骤310中将改变安全性等级，则安全性管理器104/204在步骤312中通过网络接口106在通信会话中把已改变安全性等级发送到(多个)通信端点101。通信端点101随后向通信会话的参与方显示安全性等级。举例来说，可以接通或关断安全性LED以便传达通信会话是否安全。

在图3的处理中，步骤304被示出为发生在建立通信会话之后。但是在某些实施例中，步骤304可以在通信会话的建立期间发生。举例来说，如果主叫方从不安全的位置呼叫，则表明呼叫是不安全的。但是安全性等级可以基于未与常规的呼叫消息一起传递的其他消息/信息发生改变(正如在步骤310中描述的那样)。例如基于表明所述位置实际上是安全的日历事件指标。或者，可能在通信会话的建立期间发生的其他事件可以包括：自动喇叭扩音器事件(在何处自动使用喇叭扩音器)，用户的头戴式耳机在通信会话的建立期间连接在何处，检测到本地记录等等。

图4是管理安全性策略105/205的处理的流程图。图4的处理是图3的步骤310的扩展。在步骤304中接收或检测到事件之后，安全性管理器104/204在步骤400中获得(多项)安全性策略105/205。安全性管理器104/204在步骤402中确定事件是否被定义在(多项)安全性策略105/205中。如果事件在步骤402中未被定义或者未改变安全性等级，则处理去往步骤306。

否则，如果事件被定义或者改变安全性等级，则安全性管理器104/204在步骤404中基于(多项)安全性策略105/205确定事件如何影响通信会话的安全性等级。可以通过多种方式定义事件如何影响安全性等级，比如使得通信会话安全或不安全。或者，安全性等级可以具有多个等级，比如安全、潜在不安全以及不安全。在一个实施例中，使用数字范围来表明安全性等级(例如1-10)。安全性等级可以基于多个事件。举例来说，通信会话不会被视为不安全，直到其中两个通信端点101具有高信噪比。或者，安全性等级可以逐渐地改变。举例来说，当第一通信端点正在使用喇叭扩音器时，通信会话可以被确定为潜在不安全，并且当其中两个或更多通信端点101正在使用喇叭扩音器时，通信会话可以被确定为不安全。

安全性管理器104/204在步骤406中基于(多项)安全性策略105/205构造消息。所述消息可以基于实现方式而改变。举例来说，所述消息可以是接通或关断安全性LED。或者，所述消息可以基于描述性文本消息，比如图5的文本消息500A-500N。在一个实施例中，所述消息可以基于接收消息的通信端点101的能力而改变。举例来说，被发送到通信端点101A的消息可以是关断安全性LED，并且被发送到通信端点101B的消息可以是显示消息500A。

安全性管理器104/204在步骤408中基于(多项)安全性策略105/205确定将发送安全性等级的改变的通信端点101A-101N。举例来说，安全性管理器104/204可以仅向通信端点101A，也就是通信会话的调解人(moderator)的通信端点101A发送消息。处理随后去往步骤312。

图5是通信端点101上的安全性消息的说明性显示103的图示。显示103包括安全性消息500A-500N。图5中描述的消息是可能在一个或多个通信会话期间发生的事件的说明性实例。本领域技术人员将理解的是，可以在用于本文中所描述的任何事件的多种格式中显示安全性消息500。

安全性消息500A针对已启用喇叭扩音器事件。安全性消息500A表明用户Jane Doe启用了她的喇叭扩音器，从而导致安全性等级是不安全。可以通过多种方式捕获用户的身份，比如使用主叫方ID、语音辨识、面部辨识、RFID卡扫描等等。

安全性消息500B针对已禁用喇叭扩音器事件。安全性消息500B表明用户Jane Doe已禁用她的喇叭扩音器，从而导致安全性等级是安全。

安全性消息500C针对连接到无线头戴式耳机事件。安全性消息500C表明用户Fred Smith连接到无线头戴式耳机，从而导致安全性等级是潜在不安全。

安全性消息500D针对未授权用户事件。安全性消息500D表明Wilma Jones进入会议室500A-1。安全性管理器104/204具有可以参与呼叫的参与方的列表。在该例中，Wilma Jones不在列表上，从而导致安全性等级是潜在不安全。

安全性消息500E针对高信噪比事件。安全性消息500E表明与Jack Hammer相关联的通信端点101的音频流具有高信噪比，从而导致安全性等级是潜在不安全。

安全性消息500F针对主叫方离开安全位置事件。安全性消息500F表明来自端点123-456-7890的主叫方已离开安全位置(例如基于移动电话的GPS位置)，从而导致安全性等级是不安全。

安全性消息500G针对第二个人处在呼叫位置事件。举例来说，安全性策略105/205可以表明只有单一用户(Jim Williams)是被允许从他的通信端点101呼叫的唯一的人。可以通过声纹辨识、音频检测到第二个人、视频检测到第二个人、声纹辨识来检测第二个人。其结果是安全性等级被设定到不安全。

安全性消息500H针对无法辨识面纹事件。安全性消息500H表明号码111-222-3333的主叫者具有无法辨识的面纹，从而导致安全性等级是不安全。

安全性消息500N针对特定声音事件。在该例中，所述特定声音是交通噪声。安全性消息500F表明安全性管理器104/204在Fred Smith的音频流中检测到交通噪声，从而导致安全性等级是潜在不安全。

可以使用多种通信协议来实施图1-5的通信会话和消息，比如SIP、Web实时协议(WebRTC)、H.323、TCP/IP、UDP/IP、视频协议、这些协议的组合等等。可以使用特定的消息类型。举例来说，SIP SUBSCRIBE/SIP NOTIFY、SIP PUBLISH、SIP OPTIONS消息可以被用来发送安全性消息500。

当然，本领域技术人员将认识到针对前面描述的说明性实施例的各种改变和修改。在不背离所述系统和方法的精神和范围并且不削弱其伴随优点的情况下，可以作出这些改变和修改。所附权利要求规定本发明的范围。本领域技术人员将认识到，可以通过多种方式组合前面描述的特征以形成本发明的多种变型。其结果是，本发明不受限于前面描述的具体实施例，而是仅由所附权利要求及其等效表述限制。