特許 6080183 店舗認証セキュリティのためのプログラム、方法、システム

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】6080183

(24)【登録日】2017年1月27日

(45)【発行日】2017年2月15日

(54)【発明の名称】店舗認証セキュリティのためのプログラム、方法、システム

(51)【国際特許分類】

   G06F 21/44 20130101AFI20170206BHJP

   G06F 21/60 20130101ALI20170206BHJP

【ＦＩ】

   G06F21/44

   G06F21/60

【請求項の数】11

【全頁数】19

(21)【出願番号】特願2015-537028(P2015-537028)

(86)(22)【出願日】2013年10月18日

(65)【公表番号】特表2015-532494(P2015-532494A)

(43)【公表日】2015年11月9日

(86)【国際出願番号】US2013065727

(87)【国際公開番号】WO2014063082

(87)【国際公開日】20140424

【審査請求日】2015年4月8日

(31)【優先権主張番号】1214/KOL/2012

(32)【優先日】2012年10月19日

(33)【優先権主張国】IN

(73)【特許権者】

【識別番号】505418238

【氏名又は名称】マカフィー， インコーポレイテッド

(74)【代理人】

【識別番号】110000877

【氏名又は名称】龍華国際特許業務法人

(72)【発明者】

【氏名】ダス、スディープ

(72)【発明者】

【氏名】シャルマ、プラモド

(72)【発明者】

【氏名】ヴァシス、スマト

【審査官】 児玉 崇晶

(56)【参考文献】

【文献】 特開２００５−２３５０５０（ＪＰ，Ａ）

【文献】 特開２０１０−０７２９２３（ＪＰ，Ａ）

【文献】 国際公開第２０１２／０５８１６６（ＷＯ，Ａ１）

【文献】 特開２００１−０２５０７０（ＪＰ，Ａ）

【文献】 特表２００８−５２４９３３（ＪＰ，Ａ）

【文献】 特開２００７−２３３４４１（ＪＰ，Ａ）

【文献】 特開２００６−２５１９３２（ＪＰ，Ａ）

【文献】 特開２０１０−０９７５１０（ＪＰ，Ａ）

【文献】 特開２０１２−０６８８３３（ＪＰ，Ａ）

【文献】 米国特許出願公開第２００９／００７７６２０（ＵＳ，Ａ１）

【文献】 山崎 洋一，スマートフォン時代のモバイルセキュリティ新常識，日経ＮＥＴＷＯＲＫ ，日本，日経ＢＰ社 Nikkei Business Publications,Inc.，２０１１年 １月２８日，第１３０号，pp.26-28

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｇ０６Ｆ ２１／４４

Ｇ０６Ｆ ２１／６０

(57)【特許請求の範囲】

【請求項1】

コンピューティングデバイスに、
近接無線通信を通して、前記コンピューティングデバイスが店舗に存在する場合に、前記コンピューティングデバイスに対応する位置識別子を受信させ、
少なくとも部分的に受信した前記位置識別子に基づき、前記コンピューティングデバイスが前記位置識別子に対応する店舗に入るとの判定を行わせ、
前記コンピューティングデバイスの外部にあるポリシーデータベースにアクセスさせ、
少なくとも部分的に前記位置識別子に基づき少なくとも１つのポリシーを識別させ、
前記コンピューティングデバイスが前記店舗内に存在する間、前記コンピューティングデバイスに前記少なくとも１つのポリシーが適用されるようにさせ、
前記ポリシーは、前記コンピューティングデバイスが有するカメラおよび電話の機能を無効化することを含み、
前記位置識別子は第１の段階において受信され、続く第２の段階における前記位置識別子の受信は、前記コンピューティングデバイスが前記店舗を出るとの判定をもたらし、
前記位置識別子は、前記第１の段階における前記位置識別子の受信に基づき前記コンピューティングデバイスのメモリに格納され、前記位置識別子は、前記第２の段階における前記位置識別子の受信に基づき前記メモリから除去される、
少なくとも１つのプログラム。

【請求項2】

前記位置識別子は、前記店舗に設けられた無線非接触ライタから受信される
請求項１に記載のプログラム。

【請求項3】

前記位置識別子は、前記コンピューティングデバイス上の無線非接触デバイスにおいて受信される
請求項１または２に記載のプログラム。

【請求項4】

前記無線非接触デバイスは、アンテナを有する不揮発性メモリを含む
請求項３に記載のプログラム。

【請求項5】

前記少なくとも１つのポリシーは前記店舗に対応し、前記コンピューティングデバイスが前記店舗を出ると判定することによって、前記少なくとも１つのポリシーが中断される
請求項１に記載のプログラム。

【請求項6】

近接無線通信を用いて、店舗に存在するコンピューティングデバイスに対応する位置識別子を受信する段階と、
少なくとも部分的に、受信した前記位置識別子に基づき、前記コンピューティングデバイスが前記位置識別子に対応する店舗に入るとの判定を行う段階と、
ポリシーデータベースにアクセスする段階と、
少なくとも部分的に前記位置識別子に基づき、少なくとも１つのポリシーを識別する段階と、
前記コンピューティングデバイスが前記店舗内に存在する間、前記少なくとも１つのポリシーが前記コンピューティングデバイスに適用されるようにさせる段階と、
を備え、
前記ポリシーは、前記コンピューティングデバイスが有するカメラおよび電話の機能を無効化することを含み、
前記位置識別子は第１の段階において受信され、続く第２の段階における前記位置識別子の受信は、前記コンピューティングデバイスが前記店舗を出るとの判定をもたらし、
前記位置識別子は、前記第１の段階における前記位置識別子の受信に基づき前記コンピューティングデバイスのメモリに格納され、前記位置識別子は、前記第２の段階における前記位置識別子の受信に基づき前記メモリから除去される、
方法。

【請求項7】

前記近接無線通信は、近距離通信（ＮＦＣ）、無線自動識別（ＲＦＩＤ）通信、及びＢｌｕｅｔｏｏｔｈ（登録商標）通信のうちの少なくとも１つを備える
請求項６に記載の方法。

【請求項8】

前記少なくとも１つのポリシーは、前記コンピューティングデバイスに関連付けられたユーザプロファイルにさらに基づく
請求項６または７に記載の方法。

【請求項9】

コンピューティングデバイスに、
近接無線通信を用いて前記コンピューティングデバイスを検出させ、近接無線通信を用いて、前記コンピューティングデバイスに特定の店舗に対応する位置情報を送信させ、
前記コンピューティングデバイスが前記特定の店舗内に存在する間前記コンピューティングデバイスに適用される複数のポリシーは、少なくとも部分的に、前記位置情報を有する前記コンピューティングデバイスに基づき、
前記位置情報は、前記コンピューティングデバイスが前記特定の店舗に入ることを示し、前記複数のポリシーは前記位置情報の前記送信に基づき有効にされ、
前記複数のポリシーの１つは、前記コンピューティングデバイスが有するカメラおよび電話の機能を無効化することを含み、
前記位置情報は第１の段階において受信され、続く第２の段階における前記位置情報の受信は、前記コンピューティングデバイスが前記特定の店舗を出ることを示し、前記複数のポリシーは前記位置情報の前記送信に基づき中断され、
前記位置情報は、前記第１の段階における前記位置情報の受信に基づき前記コンピューティングデバイスのメモリに格納され、前記位置情報は、前記第２の段階における前記位置情報の受信に基づき前記メモリから除去される、
少なくとも１つのプログラム。

【請求項10】

前記近接無線通信は、近距離通信（ＮＦＣ）、無線自動識別（ＲＦＩＤ）通信、及びＢｌｕｅｔｏｏｔｈ（登録商標）通信のうちの少なくとも１つを備える
請求項９に記載のプログラム。

【請求項11】

コンピューティングデバイスと、
１セットの位置に関連付けられた１セットのポリシーを有するポリシーサーバと、
近接無線通信チャネルを通して前記コンピューティングデバイスに位置識別子を送信する、特定の店舗に設けられた無線非接触ライタと、を備え、
前記位置識別子は前記特定の店舗に対応し、前記１セットのポリシーのうちの特定の１つのポリシーは、少なくとも部分的に、前記コンピューティングデバイスが前記位置識別子を有することに基づいて、前記コンピューティングデバイスが前記特定の店舗内に存在する間、前記コンピューティングデバイスに適用されるものであり、
前記特定の１つのポリシーは、前記コンピューティングデバイスが有するカメラおよび電話の機能を無効化することを含み、
前記コンピューティングデバイスはモバイルデバイスであり、前記モバイルデバイスは前記位置識別子を受信し、
少なくとも部分的に前記位置識別子に基づき、前記モバイルデバイスが特定の店舗内に存在するかどうか識別し、
少なくとも部分的に前記特定の１つのポリシーに基づき前記モバイルデバイス上の複数のアプリケーションを構成し、
前記位置識別子は第１の段階において受信され、続く第２の段階における前記位置識別子の受信は、前記コンピューティングデバイスが前記店舗を出るとの判定をもたらし、
前記位置識別子は、前記第１の段階における前記位置識別子の受信に基づき前記コンピューティングデバイスのメモリに格納され、前記位置識別子は、前記第２の段階における前記位置識別子の受信に基づき前記メモリから除去される、
システム。

【発明の詳細な説明】

【技術分野】

【0001】

本開示は、概してセキュリティの分野に関し、より具体的には、位置に基づいたモバイルデバイス中の複数のアプリケーションの管理に関する。

【背景技術】

【0002】

ＢＹＯＤ（ｂｒｉｎｇ ｙｏｕｒ ｏｗｎ ｄｅｖｉｃｅ）は、従業者らが、モバイルデバイスをはじめとする個人で所有するコンピューティングデバイスを自身の職場へ持ち込み、会社が支給するコンピューティングデバイスの代わりに、またはそれに追加して用いることを許可するビジネスポリシーである。ＢＹＯＤを許可する複数の組織はしばしば、これらのパーソナルデバイスが、パーソナルデバイス上に存在する複数のパーソナルアプリケーション及びデータに加えて、企業ネットワーク及びソフトウェアシステム、電子メール、ファイルサーバ、及びデータベースなどの社外秘の企業リソースへのアクセスに用いられることを許可する。さらに、ＣｏＩＴ（ｃｏｎｓｕｍｅｒｉｚａｔｉｏｎ ｏｆ ｉｎｆｏｒｍａｔｉｏｎ ｔｅｃｈｎｏｌｏｇｙ）は、新たな情報技術が、初めは消費者市場において現れ、それから企業組織及び政府機関へと広がる傾向の高まりである。

【発明の概要】

【発明が解決しようとする課題】

【0003】

ＢＹＯＤ及びＣｏＩＴの頻度の増加を受けて、複数の企業のセキュリティマネージャ及び管理者は、セキュリティポリシーを含む、法的、管理的、及び組織的ポリシーの遵守の確保における困難なタスクの増加に直面する。複数の例として、複数の患者の記録にアクセスすべく自身のタブレットを用いる医師、複数の価格表及び会社の他の機密情報を保管すべく自身のデバイスを用いる外回りの販売員、及びオフィス外から仕事に関連する複数のアイテムにアクセス及び共有すべくクラウドストレージ及び検索サービスを用いる従業者らは、組織の複数の関連するポリシーへの遵守を確保するための他の努力を損なうこともある。

【図面の簡単な説明】

【0004】

本開示及び複数の特徴及びその複数の利点のより完全な理解を提供すべく、複数の添付の図と併せて、以下の説明を参照する。複数の添付の図において、同様の参照番号は同様の部分を表わす。

【0005】

【図1】ある実施形態による、セキュリティ環境の簡略ブロック図である。

【0006】

【図2】ある実施形態による、モバイルデバイスの詳細図を伴ったセキュリティ環境の例示である。

【0007】

【図3】ある実施形態による、セキュリティシステムの例示である。

【0008】

【図4】ある実施形態による、モバイルデバイス上のいくつかのアプリケーションを管理する方法を例示する簡略フローチャートである。

【0009】

【図5】ある実施形態による、プロセッサに連結されたメモリを例示する。

【0010】

【図6】ある実施形態による、ポイントツーポイント（ＰｔＰ）構成で構成されたコンピューティングシステムである。

【発明を実施するための形態】

【0011】

図１は、少なくとも１つの実施形態による、セキュリティ環境の簡略ブロック図である。例えば、図１の例では、セキュリティ環境１００は、考えられる複数のシステム及び複数のコンポーネントの中でもとりわけ、ポリシーサーバ１０２、モバイルデバイス１０４、及び無線非接触ライタ１０６を含むことができる。

【0012】

一般的には、例示的ポリシーサーバ１０２は、例えば、ウェブサーバ、クラウドベースサーバ、アプリケーションサーバをはじめとする、ハードウェア及び／またはソフトウェアに実装されたサーバを含んでよい。ポリシーサーバ１０２は、例えば、１または複数のネットワークを用いる１または複数のモバイルデバイス１０４に通信可能に連結されてよく、１または複数のモバイルデバイス（例えば、１０４）を管理し、組織の複数のポリシーを管理及び分配すべく用いられてよい。

【0013】

モバイルデバイス（例えば、１０４）は、限定されるものではないが、スマートフォン、タブレットパーソナルコンピュータ、ラップトップ、パーソナルゲームデバイス、ネットブック、電子書籍リーダ、またはモバイルである他のタイプのコンピューティングデバイスを含んでよい。モバイルデバイスは、無線周波数（ＲＦ）、近距離通信（ＮＦＣ）、ＷｉＦｉ、Ｂｌｕｅｔｏｏｔｈ（登録商標）、または複数の他の近距離無線通信技術などの複数の技術を使用する複数の無線周波数通信機能を有し得る。モバイルデバイスはそのような複数の無線周波数通信機能を用いて、１または複数のネットワーク上で複数の他のシステムと通信可能で、さらに、例えばアクセスポリシーサーバ１０２及び複数の他のシステムを含む複数のこれらのシステムに自身のアイデンティティを通信可能である。

【0014】

無線非接触ライタ１０６は、限定されるものではないが、近距離通信（ＮＦＣ）ライタ、無線自動識別（ＲＦＩＤ）ライタ、及び／または、複数の他の非接触通信デバイスであってよい。無線自動識別は、自動識別及びトラッキングの目的のために、物体内に取り付けられた、または埋められたタグからデータを転送すべく、無線周波数電磁場を用いる無線非接触システムの使用を含むことが可能である。幾つかのタグは、独立した電源（バッテリなどの）に欠いていてよく、その代わりに、それらを読み取るべく用いられるまさにその電磁場によって電源供給されることが可能である。複数の近距離通信技術は、いくつかの例において、２またはそれ以上のデバイス間の無線通信を、それらのデバイスを接触させることにより、そうでなければ、それらのデバイスをごく接近させる（例えば、数センチメータ内）ことにより確立させるべく、スマートフォンまたは同様のデバイスにおいて用いられるような複数の規格に準拠した技術をさらに含むことができる。

【0015】

図１の複数の要素及び複数のシステムのそれぞれは、複数のネットワーク通信に実行可能な経路を提供する簡易なインターフェースを介しして、または任意の他の適した接続（有線または無線）を介して、互いに連結できる。さらに、これらの要素のうちの任意の１または複数の要素は、その環境の特定の構成に基づいて、組み合わされ、またはそのアーキテクチャから除去されてよい。例えば、セキュリティ環境１００は、ネットワークにおける複数のパケットの送信または受信用に、複数の伝送制御プロトコル／インターネットプロトコル（ＴＣＰ／ＩＰ）通信が可能な構成を含むことができる。セキュリティ環境１００も、適切なときに、あるいは必要に応じて、ユーザデータグラムプロトコル／ＩＰ（ＵＤＰ／ＩＰ）、または任意の他の適したプロトコルと連動して動作してもよい。

【0016】

本開示の１または複数の実施形態は、複数の管理者が、ＢＹＯＤを許可するが、同時に遵守を確保するということに対する圧力の高まりに直面しているということを認識し、かつ考慮する。幾つかの例において、複数の企業の管理者が、権限を持つ人物が使用するデバイスの物理的位置に応じて、複数のコンピューティングリソースへのアクセスを通常は制限または許可するであろう複数の状況のクラスがあってよい。例えば、病院は、医師らが自身の所有する複数のタブレットコンピュータ（または複数の他のデバイス）を使用して、そのデバイスが病院内に物理的に存在する場合のみ、患者のコンフィデンシャルな記録にアクセスすることを条件付きで許可する複数のポリシー（例えば、病院の最高情報責任者（ＣＩＯ）が設定する）を保持してよい。別の例において、企業は契約従業員に、オフィス内にいる場合、自身のパーソナルデバイス上でのソーシャルネットワーキングアプリケーションの使用を許可しないと指示してよい。さらに別の例においては、考えられる多数の例及びポリシーの中でも特に、外部の請負業者が、建物内においてのみ機密情報へのアクセスを許されることを許可するポリシーが規定され得る。複数の上記例のうちの少なくともいくつかが示すように、少なくとも部分的にデバイスの物理的位置に基づき、ポリシーの実施を許可する複数のポリシーが適合されることが可能である。

【0017】

ＢＹＯＤの頻度の増加を受け、システム管理者らは、複数のユーザに彼らのデバイスの使用を許可しつつシステムをセキュアに保つことがますます困難であると知る。管理者らは、デバイスの物理的位置、及びデバイスが信頼される位置にあるかどうか、などの複数の特定の状況及びポリシーに従う複数のＢＹＯＤユーザへのリソースアクセスの許可を望んでよい。幾つかの実装において、これらの及び他の問題は、幾つかの例では、監視された複数のデバイス上のセキュリティソフトウェア及び複数のツールに関連して、位置に基づく複数のポリシーを管理者らが指定し実施できるようにするハードウェア要素及びソフトウェア要素を使用する、監視された、ユーザが用意したデバイス上の、例えば、統合されたＢＹＯＤスタックによって少なくとも部分的には解決可能である。

【0018】

図２は、少なくとも１つの例示的な一実施形態による、モバイルデバイスの詳細図を伴ったセキュリティ環境の例示である。一態様において、モバイルデバイス２００はセキュリティ環境２０５において、１または複数の無線（またはワイヤライン）通信チャネルを介してポリシーサーバ２０２及び無線非接触ライタ２０４と連結されてよい。モバイルデバイス２００は、ハードウェア及び／またはソフトウェアに実装される、考えられる数あるコンポーネントの中でもとりわけ、ポリシーエージェント２０６、１または複数のセキュリティアプリケーションまたは複数のツール２０８、複数のアプリケーション２１０（ユーザ空間またはカーネル空間等における複数のソフトウェアプログラムを含む）、オペレーティングシステム２１２、プロセッサ２１４、無線非接触デバイス２１６、メモリ要素２１８、及び永続記憶装置２２０を含んでよい。

【0019】

一例において、ポリシーエージェント２０６は、ポリシーサーバ２０２と通信可能なモバイルデバイス２００上に設けられてよい。幾つかの実装において、ポリシーサーバ２０２は、特定の環境またはドメイン内で複数のデバイスを管理する管理システムのサブシステムであってよい。ポリシーエージェント２０６は複数のポリシー２２２をダウンロードし（例えば、ポリシーサーバ２０２から）、デバイス２００上に存在する、そうでなければデバイス２００が利用可能な複数のセキュリティアプリケーション及び複数のツール２０８がこれらを利用可能なようにしうる。実際、幾つかの例において、複数のセキュリティアプリケーション２０８は、ポリシーエージェント２０６に複数の適用可能なポリシー２２２をクエリして、そのクエリに応答して返信されたそれらのポリシーを実施しうる。例えば、ポリシーは、様々な例の中でもとりわけ、特定のドメイン内で複数のアプリケーション２１０のうちの特定のアプリケーションが禁止されることを指示してよい。ポリシーエージェント２０６は、数ある例の中でも特に、このポリシーを見出し（例えば、ポリシーサーバのクエリに応答して）、１または複数の機能（例えば、複数のセキュリティアプリケーション２０８）に、アプリケーションがオペレーティングシステム２１２上で実行されないようにさせることが可能である。

【0020】

セキュリティアプリケーション２０８は、モバイルデバイス２００に関連して、複数のポリシーを管理及び実施する複数のセキュリティアプリケーション及び複数のツールを含むことができる。複数のセキュリティアプリケーションは、モバイルデバイス２００から遠く離れて配置されることもできるし、複数の他の場合においては、少なくとも一部分がモバイルデバイス２００上に配置されることも可能である。例えば、複数のセキュリティアプリケーション及び複数のツール２０８は、多数ある可能な例の中でもとりわけ、ハードウェアファイアーウォール、ソフトウェアファイアーウォール、データ損失防止システム、ウェブプロキシ、メールフィルタ、ハードウェアベースコントローラ、カーネルレベルコントローラ、ホストベース侵入防止システム、及びマルウェア検出ソフトウェア等の例を含むことが可能である。

【0021】

アプリケーション２１０は、複数のアプリケーションをカーネル及び／またはユーザ空間に含むオペレーティングシステム２１２上で実行している任意の処理を含んでよい。例えば、アプリケーションは、多数ある例の中でも特に、ボイスオーバーＩＰシステム、ファイル管理システム、電子メールシステム、ウェブブラウザ、ゲームアプリケーション、インスタントメッセージプラットフォーム、オフィス生産性アプリケーション等の例を含むことができる。

【0022】

無線非接触デバイス２１６は、ＲＦＩＤデバイス、ＮＦＣデバイス、アンテナを有する不揮発性メモリデバイス、または何か他のタイプの適切な通信デバイスであってよい。数ある例の中でも特に、無線非接触デバイス２１６はプロセッサ２１４に、数ある可能な実装の中でもとりわけ集積回路間（ｉ２ｃ）２線インターフェースを介して接続されてよく、一方で無線非接触デバイス２１６がモバイルデバイス２００内の複数のコンポーネントのうちの残りと通信できるようにする。

【0023】

１つの例示的実装において、本明細書において概説するような複数のオペレーションを達成または促進すべく、モバイルデバイス２００は、複数のソフトウェアモジュール（例えば、セキュリティエージェント、複数のセキュリティアプリケーション、及び／またはポリシーエージェント）を含んでよい。例えば、セキュリティエージェントは本開示の複数の実施形態において記載される複数のオペレーションを実施可能なモジュールであってよい。複数の他の実施形態においては、意図する機能を達成すべく、複数のそのようなオペレーションは、これらの要素の外部に実装される、またはどこか他のネットワークデバイスに含まれるハードウェアが実行してよい。代替的に、本明細書において概説するような複数のオペレーションを達成すべく、これらの要素は、協調可能なソフトウェア（またはレシプロケーティングソフトウェア（ｒｅｃｉｐｒｏｃａｔｉｎｇ ｓｏｆｔｗａｒｅ））を含んでよい。さらに他の複数の実施形態においては、これらのデバイスの１つまたは全部は、任意の適切なアルゴリズム、ハードウェア、ソフトウェア、コンポーネント、モジュール、インターフェース、またはそれらのオペレーションを容易にするオブジェクトを含む。

【0024】

さらに、モバイルデバイス２００及び複数の他のシステム及びデバイスは、本明細書において議論する複数のアクティビティを実行すべく、ソフトウェア、アルゴリズム、または機械可読記憶媒体に格納されたロジックなどの他のロジックを実行可能な１または複数のプロセッサ（例えば、２１４）を含むことができる。プロセッサは、データに関連付けられた任意のタイプの複数の命令を実行して、本明細書において詳しく述べる複数のオペレーションを達成できる。一例において、複数のプロセッサは、要素または物（例えば、データ）を、１つの状態または１つの物から別の状態または別の物へと変換できたであろう。別の例において、本明細書において概説する複数のアクティビティは、固定ロジックまたはプログラマブルロジック（例えば、プロセッサが実行する複数のソフトウェア／コンピュータ命令）で実施され、本明細書において特定される複数の要素は、あるタイプのプログラマブルプロセッサ、プログラマブルデジタルロジック（例えば、フィールドプログラマブルゲートアレイ（ＦＰＧＡ）、ＥＰＲＯＭ、ＥＥＰＲＯＭ）、または、デジタルロジック、ソフトウェア、コード、複数の電子命令、またはそれらの組み合わせを含むＡＳＩＣであり得たであろう。本明細書において説明する複数の考えられる処理要素、モジュール、及び機械のうちいずれも、「プロセッサ」という幅広い用語内に含まれると解釈されるべきである。

【0025】

セキュリティ環境２０５に関連付けられた内部構造に関連して、本明細書において説明するモバイルデバイス２００及び複数の他のコンピューティングデバイスは、本明細書において概説する複数のオペレーションにおいて用いられる情報を格納するための複数のメモリ要素を含むことができる。複数のメモリ要素は、例えば、適切なときに、及び特定のニーズに基づいて、ランダムアクセスメモリ（ＲＡＭ）、読取専用メモリ（ＲＯＭ）、消去書き込み可能ＲＯＭ（ＥＰＲＯＭ）、電気的消去書き込み可能ＲＯＭ（ＥＥＰＲＯＭ）、特定用途向け集積回路（ＡＳＩＣ）、等、及び、サポートソフトウェア、ハードウェア、において、または任意の他の適したコンポーネント、デバイス、要素またはオブジェクトにおいて、複数の要素を含むことが可能である。例えばモバイルデバイス２００が用い、トラッキングし、送信し、または受信する情報は、任意のデータベース、レジスタ、キュー、テーブル、キャッシュ、コントロールリスト、または他のメモリ要素に提供され得たであろう。

【0026】

メモリ（例えば、２１８）及び永続記憶装置（例えば、２２０）は、記憶デバイスの例である。 記憶デバイス及び他の機械可読記憶媒体は、例えば、限定はしないが、データ、機能的な形式のプログラムコード、及び／または、一時的及び／または恒久的のいずれかの他の適した情報などの情報を格納可能な任意のハードウェアを含むことが可能である。メモリ（例えば、２１８）は、これらの例においては、例えば、ランダムアクセスメモリ、または任意の他の適した揮発性または不揮発性記憶デバイスであってよい。永続記憶装置（例えば、２２０）は特定の実装に応じ、様々な形態を取りうる。例えば、永続記憶装置は、１または複数のコンポーネントまたはデバイスを含んでよい。例えば、永続記憶装置は、ハードドライブ、フラッシュメモリ、書き換え可能な光ディスク、書き換え可能な磁気テープ、または上記の何らかの組み合わせであってよい。永続記憶装置が用いる媒体もまた取り外し可能であってよい。例えば、永続記憶装置として取り外し可能なハードドライブを用いてよい。さらに、永続記憶装置もまた、複数のポリシー２２２などのポリシーを保持してよい。数ある例の中でも特に、これらのポリシーは、例えば、ポリシーエージェント２０６及びセキュリティアプリケーション２０８が読み取りも、及び使用もしてよい。

【0027】

特定の例示的実装において、本明細書において概説する複数の機能は、１または複数のコンピュータ可読記憶媒体（例えば、ＡＳＩＣ内に備えた埋め込みロジック、複数のデジタル信号プロセッサ（ＤＳＰ）命令、プロセッサが実行するソフトウェア（オブジェクトコード及びソースコードを含む可能性のある）、または他の同様な機械、等）においてエンコードされたロジックが実施してよい。これらの例のうちの幾つかにおいて、複数のメモリ要素は、本明細書において説明する複数のオペレーションに用いられるデータを格納できる。これは、メモリ要素が、本明細書において説明する複数のアクティビティを行うべく実行されるソフトウェア、ロジック、コード、または複数のプロセッサ命令を格納できるということを含む。

【0028】

図３は、例示的な一実施形態による、セキュリティシステムの例示である。セキュリティシステム３００は、モバイルデバイス上に存在し得て、位置、及び／またはモバイルデバイスのユーザのアイデンティティに基づき、モバイルデバイス上で複数のポリシーを実施できる。セキュリティ環境は、数あるコンポーネント及び機能の中でも特に、ポリシーサーバ３０２、ポリシーサーバ３０２とインターフェースで接続可能なセキュリティエージェントまたはマネージャ３０４、１または複数のセキュリティアプリケーション３０６、オペレーティングシステム３０８、プロセッサ３１０、システムメモリ（例えば、３１４）、セキュアな不揮発性メモリ、無線周波数通信モジュールを含んでよい。１つの例示的実装において、不揮発性メモリと、無線周波数Ｉ２Ｃ、または他の無線伝送技術によるプロビジョニング能力と、を含む無線非接触記憶要素３１２などのモジュールを設けることが可能で、トークン、証明、ＲＦＩＤ、オンボードのセキュアコードなどのデータの無線非接触記憶要素への書き込みを可能にする。

【0029】

本開示の１または複数の実施形態は、とりわけ、上で特定し議論した複数の例示的問題のうちの少なくともいくつかを解決する、統合されたメカニズムを提供する。幾つかの実装において、無線非接触記憶要素３１２は、メモリ及びｉ２ｃデータバスと共に、極超短波（ＵＨＦ）ＲＦＩＤタグを含んでよい。これは、モバイルデバイスに対する、ＲＦＩＤを介した非接触でのデータの格納を可能にする。セキュリティエージェント３０４は、ポリシーサーバ３０２と通信し、複数のポリシーをダウンロードし、デバイス上の、そうでなければデバイスがアクセス可能な他の複数のセキュリティアプリケーション、複数のツール及び複数のソリューションがそれらを利用可能なようにすべく構成される、モバイルデバイス上にあるエージェントを含むことができる。そのような複数のポリシーは、例えば、無線非接触記憶要素３１２を介して提供される、例えば、非接触の通信機能による位置の識別に基づき得る。セキュリティアプリケーション３０６は、セキュリティエージェント３０４に適用可能な複数のポリシーをクエリし、例えば、デバイスの位置に基づきそれらを実施しうる。例えば、ポリシーは、ビデオ会議、ＶｏＩＰ、または他のアプリケーション及び複数のサポートサブシステム（例えば、カメラ、電話モジュール等）などの複数のアプリケーションまたはサービスを禁止する、としうる。複数のセキュリティアプリケーションは、このポリシーをクエリでき、特定の位置内に存在するモバイルデバイスの検出に基づいて、違反するアプリケーションが、システム上で実行されることを、または複数の特定のデバイスサブシステムにアクセスすることを防ぐことが可能である。

【0030】

ユーザは、セキュリティエージェント（例えば、３０４）と、複数の利用可能なセキュリティツール（例えば、３０６）と、モバイルデバイスに近接した複数の他のデバイスと無線通信するための、及びこれらの近接通信において受信した情報に対応するデータを格納するための機能（例えば、無線非接触記憶要素３１２）も含むモバイルデバイスを取得できる。１つの例示的実施例において、ユーザはそのようなパーソナルデバイスをユーザの職場などの別の環境へ持ち込むことができる。最初に訪れる際に、それはユーザがその環境に個人のモバイルデバイスを持ち込む最初のときに対応するが、ユーザは環境に対してデバイスを識別させ、登録することができる。

【0031】

１つの例示的実装において、ユーザは、モバイルデバイスの複数の無線通信機能を用いてモバイルデバイスのＲＦＩＤタグまたは他の識別子を読み取ることができる環境のキオスク、チェックポイント、管理者、または他のエンティティにデバイスを持ち込むことができる。例えば、無線非接触記憶要素３１２に格納される、デバイスの持続的なＲＦＩＤは、ユーザの個人のモバイルデバイスのデバイス識別情報を取得すべく、読み取られることが可能である。さらに、幾つかの実装においては、キオスク、登録デバイス、または他のエンティティは、さらにアクセスバッジ、運転免許証、クレジットカード、ＩＤカード、または他の、ユーザを識別するものを読み取ることができ、その識別された個人のモバイルデバイス（例えば、デバイスの持続的なＲＦＩＤから得られたデバイス識別子）をユーザアイデンティティに関連付けるまたは結び付けることができる。いずれの例においても、それからユーザは、例えば、個人のモバイルデバイスの無線通信モジュールに関連して設けられたＲＦＩＤライタまたは他のモジュールを介して、キオスクが、ＮＦＣ、ＲＦＩＤ、または他の近接通信技術を用いて位置識別子と共に管理サーバの詳細または他の認証をモバイルデバイス（例えば、無線非接触記憶要素３１２）にフラッシュできるようにすることが可能である。

【0032】

上記例の複数の原理を用いる複数のセキュリティシステムの実装によって、門の付けられた店舗または他の店舗の中にデバイスが存在することを検出することでＢＹＯＤ問題は緩和され得る。例えば、店舗の入出門、または建物内の複数の部屋に、数ある近距離無線識別子リーダの中でも特に、ＲＦＩＤリーダ及び／またはＲＦＩＤライタ３１６を備えることが可能である。デバイスが店舗に入るとき、近接無線通信送信を用いて（例えば、ＲＦＩＤ、ＮＦＣ、Ｂｌｕｅｔｏｏｔｈ（登録商標）、等を用いて）、位置ＩＤが、入っていくモバイルデバイスにフラッシュされてよい。位置ＩＤは、モバイルデバイスがその店舗内に存在する期間ずっと、モバイルデバイス上（例えば、無線非接触記憶要素３１２上）に保持され得る。モバイルデバイスがその店舗内に存在する間、位置ＩＤは、その位置に関連付けられた、複数のネットワーク及び複数の他のリソースを監視する複数のセキュリティツールに、モバイルデバイスに適用可能な複数の特定のポリシーの関連性を通知することがさらに可能である。さらに、デバイスがその位置を出るとき（例えば、別の、または同じＲＦＩＤライタを用いる出口を通って）、追加データがモバイルデバイスに通信され得て、位置ＩＤをモバイルデバイスから消去させ、モバイルデバイスがその店舗から出たことを示す。要するに、幾つかの実装においては、無線非接触記憶要素３１２上に特定の位置ＩＤが存在すれば、モバイルデバイスに、特定の店舗内におけるその存在を示すのみならず、モバイルデバイスの存在を店舗上で確立することができる（店舗の保守及び管理をする複数のシステムによって監視されているように）。

【0033】

幾つかの実装において、モバイルデバイス上のセキュリティエージェント３０４などのソフトウェアエージェントは、特定の店舗に対応する、ポリシーサーバ３０２などのポリシーサーバの識別をすべく、無線非接触記憶要素３１２などのモバイルデバイス上の複数の他のコンポーネント及びサブシステムにクエリすることができる。モバイルデバイスは、自身の情報及び受信した位置識別子を送信でき、少なくとも部分的に特定の店舗内のモバイルデバイスの存在に基づいて、モバイルデバイスに適応可能な複数のポリシーをポリシーサーバ３０２にクエリできる（モバイルデバイスが位置識別子データを所持することにより証明される）。数ある属性及び例の中でもとりわけ、種類、モデル、デバイスタイプ、デバイスの複数の機能、デバイスのユーザのアイデンティティ、時刻を含む、複数の追加的なモバイルデバイス属性もまた考えられ得る。ポリシーサーバ３０２はさらにデバイスＩＤ（店舗において、モバイルデバイスの最初のプロビジョニングの間に、モバイルデバイスに対して取得された）をチェックでき、デバイスＩＤを使用して、モバイルデバイスとして知られる複数の属性を発見できる。それから、ポリシーサーバ３０２さらに、モバイルデバイスについて発見された複数の特定の属性に基づいて、複数の店舗固有のポリシーを含む、複数の適切なポリシーをデバイスに送信できる。

【0034】

特定の店舗内の自身の位置に基づいて、特定のモバイルデバイスに対して発見された複数のセキュリティポリシーは、例えば、セキュリティエージェント３０４を用いて、デバイスに通信され得る。セキュリティエージェント３０４は、モバイルデバイスに利用可能な複数の他のセキュリティアプリケーション及びツールに、そのセキュリティポリシーをさらに提供可能である。例えば、特定のモバイルコンピューティングデバイスは、複数のソーシャルネットワーキングアプリケーション、ＶｏＩＰ、ビデオ会議、ゲーム、複数のクラウドデータのアップロードなどの複数のアプリケーション及び複数のサービスを含む、またはそうでなければ使用しうるが、これらのアプリケーション及びサービスのうちの１または複数は、モバイルデバイスが特定の店舗または物理的環境に入り、複数の特定のプログラム及びサービスの無効化を指示する１または複数の対応するポリシーに従うと検出したことに基づいて、モバイルデバイス上に存在する、またはモバイルデバイスから遠く離れた複数のセキュリティアプリケーション及びツールによって自動的無効にされうる。さらに、ビデオ、写真カメラ、オーディオレコーダ、ＷｉＦｉ、データストレージ、ネットワークアクセス、または機密情報の獲得及び記憶を可能にするかもしれない他の機能などの、モバイルデバイスの様々な機能は、モバイルデバイスが特定の店舗または物理的環境に入り、それぞれのデバイス機能の無効化を指示する１または複数の対応するポリシーに従うと検出したことに基づいて、モバイルデバイス上で少なくとも部分的に無効にされうる（例えば、複数のセキュリティアプリケーション及び複数のツールを用いて）。

【0035】

幾つかの例では、特定の店舗内のモバイルデバイスの存在の確認に関して、モバイルデバイスが収集した情報を補う、または裏付けるべく（例えば、無線非接触記憶要素３１２によって）、モバイルデバイス上の全地球測位システム（ＧＰＳ）センサを用いて収集されたグローバルポジショニングデータなどの他のジオロケーションデータを用いることが可能である。例えば、一例において、モバイルデバイスにおいてＧＰＳデータが収集されて、店舗におけるデバイスとの近接無線通信によってモバイルデバイスに書き込まれた店舗ＩＤデータを裏付けることができ、モバイルデバイスが店舗に入ったと示す。これは、例えば、店舗の既知のジオロケーションをモバイルデバイスが収集したジオポジションデータに対して相関させて、モバイルデバイスが実際にその店舗内にあり、その店舗内のモバイルデバイスの存在に特有の複数のポリシーを誤って適用しているのではないと確認することにより、店舗への成りすましから守ることができる。従来のジオロケーション技術は、幾つかの状況においては、与えられた店舗内のデバイスの位置を確認するには、それら自身だけでは不十分といえる。例えば、ネットワーク情報（ＩＰアドレス、サブネットマスク、等）及びＧＰＳセンサを介して取得した位置には、幾つかの状況においては、正確さに限界があり、結果的に、複数の店舗固有のポリシーを誤って適用することになる。例えば、従来のＧＰＳセンサは、高度情報を提供しない。その結果、オフィスまたは店舗が、高層の建物の特定の階にある複数の例において、ＧＰＳセンサは、建物の１階にある１つの店舗と、６階にある第２の別個の店舗とを、これらの別個の店舗のうちの一方又は両方に適用可能な複数の対応するポリシーと共に、区別すべく備えられるには不十分といえる。しかしながら、店舗の交換を介したデバイスの無線「サインイン」、及び複数の近接通信を介したデバイス認証を使用して、複数のより従来の技術の複数の欠点のうちの少なくともいくつかを解決できる。さらに、複数のそのような近接無線サインインと、ＧＰＳジオロケーションなどの複数の他の技術によって取得された情報とを組み合わせると、デバイスが店舗内に存在する間、モバイルデバイスが店舗内に存在することの確認、及び、デバイスへの複数の店舗固有のポリシーの正確な適用、の正確さ及び完璧さをさらに高めることができる。

【0036】

図４は、ある実施形態による、モバイルデバイス上のいくつかのアプリケーションを管理する例示的方法を示す簡略フローチャートである。フロー４００は、暗号化プロトコルセッションの間に動作する方法であってよい。４０２において、無線非接触記憶デバイスは位置識別子データを受信する。位置識別子は、無線非接触ライタから受信されてよい。無線非接触デバイスはアンテナを有する不揮発性メモリであってよい。位置識別子は物理的位置または店舗に関係していてよい。位置識別子を受信するときは、無線非接触デバイスは位置識別子を追加していたり、または無線非接触デバイスから位置識別子を除去していたりしてよい。これは、図３において上述したように、位置または店舗への入出と相関しうる。

【0037】

４０４において、ポリシーエージェントはポリシーデータベースにアクセスしてよい。４０６において、ポリシーエージェントは、モバイルデバイスがその位置内に存在しているとして検出されることに基づいてモバイルデバイスにおいて適用されるいくつかのポリシーを受信してよい。４０８において、１または複数のセキュリティアプリケーションまたはツールは、モバイルデバイスにおいて適用されるポリシーの数に基づいて複数のアプリケーションを構成してよい。さらに、幾つかの例においては、モバイルデバイスはユーザと関連付けられてよい。無線非接触ライタまたはリーダは、無線非接触デバイスから情報を読み取り、デバイス識別子情報を、ユーザ識別バッジまたは他のユーザ固有識別子から取得されたユーザ識別コンポーネントと結び付けることによって関連付けを行ってよい。さらに、モバイルデバイスがユーザに関連付けられるとき、ポリシーの数は、数ある例の中でも特に、位置及びユーザの両方にも、複数のポリシーが適用されるデバイスの複数の特徴にも、さらに基づきうる。

【0038】

図５は、ある実施形態による、プロセッサ５００に連結されたメモリ５０２を示す。メモリ５０２は、既知の、そうでなければ当業者が利用可能な、多種多様なメモリ（メモリ階層の様々なレイヤを含む）のうちの任意の１つであってよい。メモリ５０２は、プロセッサ５００が実行する、１または複数の命令であってよい、コード５０４を含んでよい。プロセッサ５００はコード５０４が示す複数の命令からなるプログラムシーケンスに従う。各命令は、フロントエンドロジック５０６に入り、１または複数のデコーダ５０８によって処理される。デコーダはその出力として、予め定義されたフォーマット内の固定幅のマイクロオペレーションなどのマイクロオペレーションを生成してよく、またはオリジナルのコード命令を反映する、複数の他の命令、複数のマイクロ命令、または複数の制御信号を生成してよい。フロントエンドロジック５０６は、一般的に複数のリソースを割り当て、実行のために変換命令に対応するオペレーションをキューに登録できる、レジスタリネーミングロジック５１０及びスケジューリングロジック５１２もまた含む。

【0039】

プロセッサ５００は、実行ユニット５１６―１〜５１６―Ｎからなる１セットを有する実行ロジック５１４を含むように示されている。幾つかの実施形態は、複数の特定の機能または複数セットの機能に専用のいくつかの実行ユニットを含んでよい。複数の他の実施形態は、特定の機能を実行するただ１つの実行ユニットまたは１つの実行ユニットを含んでよい。実行ロジック５１４は複数のコード命令が特定する複数のオペレーションを実行する。

【0040】

複数のコード命令が特定する複数のオペレーションの実行が完了した後、バックエンドロジック５１８はコード５０４の複数の命令をリタイアする。一実施形態において、プロセッサ５００はアウトオブオーダー実行を許可するが、複数の命令のインオーダリタイアメントを要求する。リタイアメントロジック５２０は、当業者には既知であるような様々な形態（例えば、リオーダバッファなど）を取ってよい。このようにプロセッサ５００は、少なくとも、レジスタリネーミングロジック５１０が使用するデコーダ、複数のハードウェアレジスタ及び複数のテーブルと、実行ロジック５１４が変更する複数の任意のレジスタ（図示せず）と、が生成する出力に関して、コード５０４の実行中に変換される。

【0041】

図５には示していないが、処理要素はプロセッサ５００と共に、チップ上に複数の他の要素を含んでよい。例えば、処理要素はプロセッサ５００と共にメモリ制御ロジックを含んでよい。処理要素は、Ｉ／Ｏ制御ロジックを含んでよく、及び／または、メモリ制御ロジックと統合されるＩ／Ｏ制御ロジックを含んでよい。処理要素は１または複数のキャッシュもまた含んでよい。

【0042】

図６は、ある実施形態による、ポイントツーポイント（ＰｔＰ）構成で構成されたコンピューティングシステム６００を示す。具体的に、図６は、複数のプロセッサ、メモリ、及び複数の入出力デバイスがいくつかのポイントツーポイントインターフェースによって相互接続されるシステムを示している。

【0043】

図６に示すように、システム６００は、複数のプロセッサを含み、明確にするべく、そのうちのただ２つとしてプロセッサ６０２及び６０４を示す。プロセッサ６０２及び６０４はそれぞれ、プログラムの複数のスレッドを実行すべく、１セットのコア６０３及び６０５を含んでよい。プロセッサ６０２及び６０４はまたそれぞれ、メモリ６１０及び６１２と通信すべく、内蔵型メモリコントローラロジック（ＭＣ）６０６及び６０８を含んでよい。メモリ６１０及び／または６１２は、メモリ６１２に関して議論されるデータなどの様々なデータを格納してよい。複数の代替の実施形態において、メモリコントローラロジック６０６及び６０８はプロセッサ６０２及び６０４とは別個の、別々のロジックであってよい。

【0044】

プロセッサ６０２及び６０４は、図２のプロセッサ２１４に関し議論されたプロセッサなどの、任意のタイプのプロセッサであってよい。プロセッサ６０２及び６０４はそれぞれ、ポイントツーポイントインターフェース回路６１６及び６１８を用いて、ポイントツーポイント（ＰｔＰ）インターフェース６１４を介してデータを交換してよい。プロセッサ６０２及び６０４は、ポイントツーポイントインターフェース回路６２６、６２８、６３０及び６３２を用いて、個々のポイントツーポイントインターフェース６２２及び６２４を介してチップセット６２０とそれぞれデータを交換してよい。チップセット６２０もまた、ＰｔＰインターフェース回路であり得るインターフェース回路６３７を用いて、高性能グラフィックインターフェース６３６を介して高性能グラフィック回路６３４とデータを交換してよい。複数の代替の実施形態において、図６に示す複数のＰｔＰリンクのうちのいずれかまたは全ては、ＰｔＰリンクではなくマルチドロップバスとして実装され得る。

【0045】

本明細書において開示する少なくとも１つの実施形態はプロセッサ６０２及び６０４内において提供されてよい。複数の他の実施形態は、しかしながら、図６のシステム６００内の、複数の他の回路、ロジックユニット、またはデバイスに存在してよい。さらに、複数の他の実施形態は、図６に示す複数の回路、ロジックユニット、またはデバイス全体にわたって分配されてよい。

【0046】

チップセット６２０はインターフェース回路６４１を介してバス６４０と通信してよい。バス６４０は、バスブリッジ６４２及びＩ／Ｏデバイス６４３などの、バスを通して通信する１または複数のデバイスを有してよい。バス６４４を介し、バスブリッジ６４３は、キーボード／マウス６４５（または、例えばタッチスクリーンなどの、他の入力デバイス）、複数の通信デバイス６４６（複数のモデム、複数のネットワークインターフェースデバイス、またはコンピュータネットワークを介して通信しうる複数の他のタイプの通信デバイスなどの）、オーディオＩ／Ｏデバイス６４７、及び／またはデータ記憶デバイス６４８などの複数の他のデバイスと通信してよい。データ記憶デバイス６４８は、プロセッサ６０２及び／または６０４が実行しうるコード６４９を格納してよい。複数の代替の実施形態において、複数のバスアーキテクチャのうちの任意の複数の部分は、１または複数のＰｔＰリンクで実現され得る。

【0047】

図５及び図６において示す複数のコンピュータシステムは、本明細書において議論する様々な実施形態を実施すべく使用されうる複数のコンピューティングシステムの複数の実施形態の概略的な図である。図５及び図６において示す複数のシステムの様々なコンポーネントは、システムオンチップ（ＳｏＣ）アーキテクチャまたは任意の他の適した構成において組み合わされてよいことが理解されよう。例えば、本明細書において開示する複数の実施形態は、例えば、スマートフォン、タブレットコンピュータ、携帯情報端末、ポータブルゲームデバイスなどの複数のモバイルデバイスなどの複数のシステムに組み込まれることが可能である。これらのモバイルデバイスは、少なくとも幾つかの実施形態においてはＳｏＣアーキテクチャが備えられてよいことが理解されよう。さらに、上記の議論のうちの複数の例は、モバイルコンピューティングデバイス上の様々なポリシーの店舗認識の実施を容易にするための近接通信の使用に着目したが、複数の同様の原理が、デスクトップ型コンピュータ、プリンタ、モニタ、サーバ、及び必ずしもモバイル用に適合されていない近接通信機能が備えられた複数の他の周辺機器及びデバイスなどの複数の他のコンピューティングデバイスに適用され得ることが理解されるべきである。

【0048】

複数の特定の例示的実装において、本明細書において概説する複数のセキュリティモジュール機能は、１または複数の有形の媒体（例えば、特定用途向け集積回路（ＡＳＩＣ）に設けられた埋め込みロジック、デジタル信号プロセッサ（ＤＳＰ）命令、プロセッサが実行するソフトウェア（オブジェクトコード及びソースコードを含む可能性のある）、または他の同様の機械、等）においてエンコードされたロジックによって実施されてよいことに注意されたい。これらの例のうちのいくつかにおいて、メモリ要素は本明細書において説明した複数のオペレーションに用いられるデータを格納できる。これは、メモリ要素が、ソフトウェア、ロジック、コード、または本明細書において説明した複数のアクティビティを行うべく実行される複数のプロセッサ命令を格納可能であることを含む。プロセッサは、本明細書において詳細に述べた複数のオペレーションを達成すべく、データに関連付けられた任意のタイプの複数の命令を実行できる。一例において、プロセッサは要素または物（例えば、データ）を１つの状態または１つの物から別の状態または別の物へ変換でき得る。別の例において、本明細書において概説する複数のアクティビティは、固定ロジックまたはプログラマブルロジック（例えば、プロセッサが実行する複数のソフトウェア／コンピュータ命令）で実施されてよく、本明細書において特定される複数の要素は、あるタイプのプログラマブルプロセッサ、プログラマブルデジタルロジック（例えば、ＦＰＧＡ、ＥＰＲＯＭ、ＥＥＰＲＯＭ）、またはデジタルロジック、ソフトウェア、コード、複数の電子命令、またはそれらの任意の適切な組み合わせを含むＡＳＩＣ、であり得る。

【0049】

１つの例示的実装において、セキュリティモジュールは、本明細書において概説する複数の位置管理アクティビティを達成すべく、ソフトウェアを含んでよい。セキュリティモジュールは、本明細書において議論したように、複数の位置管理アクティビティを達成する際に用いられる情報を格納すべく、複数のメモリ要素を含んでよい。さらに、セキュリティモジュールは、本明細書において開示するように、複数の位置管理アクティビティを実行すべく、ソフトウェアまたはアルゴリズムを実行できるプロセッサを含んでよい。これらのデバイスは、任意の適したメモリ要素（ランダムアクセスメモリ（ＲＡＭ）、ＲＯＭ、ＥＰＲＯＭ、ＥＥＰＲＯＭ、ＡＳＩＣ、等）、ソフトウェア、ハードウェアにおいて、または適切なときに、及び特定のニーズに基づいて、任意の他の適したコンポーネント、デバイス、要素、またはオブジェクトにおいて、さらに情報を保持しうる。本明細書において議論する複数のメモリアイテムのうちのいずれも（例えば、データベース、テーブル、ツリー、キャッシュ、等）、広義の用語「メモリ要素」内に含まれると解釈されるべきである。同様に、本明細書において説明する、考えられる複数の処理要素、複数のモジュール、及び複数の機械のうちのいずれもが、広義の用語「プロセッサ」内に含まれると解釈されるべきである。

【0050】

上で提供した例、及び、本明細書において提供する様々な他の例をもって、インタラクションは２、３、または４つの要素に関して説明されうることに注意されたい。しかしながら、これは明確さ及び例示の目的のためだけに成される。複数の特定の場合、限られた数の要素の参照のみによって、与えられたセットのフローの複数の機能のうちの１または複数を説明するのはより簡単であるといえる。セキュリティモジュール（及びその教示）は、容易にスケーラブルであり、多数のコンポーネントにも、より複雑な／精巧な複数の配置及び複数の構成にも適応できることが理解されるべきである。従って、提供する複数の例は、範囲を制限すべきでなく、無数の他のアーキテクチャに適用される可能性のある複数のセキュリティシステムの幅広い教示を妨げるべきではない。

【0051】

複数の前述のフロー図における複数のオペレーションは、セキュリティシステムによって実行されうる、またはセキュリティシステム内で実行されうる複数の考えられるシナリオ及びパターンのうちの幾つかだけを示していることに注意することもまた重要である。これらのオペレーションのうちの幾つかは、適切なときに削除または除去されてよく、本開示の範囲から逸脱することなく、大幅に修正または変更されてよい。加えて、いくつかのこれらオペレーションは、１または複数の追加のオペレーションと同時に、またはパラレルに実行されるものとして説明された。しかしながら、これらのオペレーションのタイミングは大幅に変更されてよい。前述の複数のオペレーションフローは、例示及び議論の目的のために提供された。セキュリティモジュールは、複数の任意の適した配置、クロノロジ、構成、及びタイミングメカニズムが、本開示の教示から逸脱することなく提供されうるという点において、かなりのフレキシビリティを提供する。

【0052】

以下の複数の例は本明細書による複数の実施形態に関する。１または複数の実施形態は、近接無線通信を通して、店舗に存在するコンピューティングデバイスに対応する位置識別子を受信する、装置、システム、機械可読媒体、及び方法を提供しうる。ポリシーデータベースは、少なくとも部分的に位置識別子に基づき、少なくとも１つのポリシーを識別すべくアクセスされ得る。少なくとも１つのポリシーは、コンピューティングデバイスが店舗内に存在する間、コンピューティングデバイスに適用され得る。

【0053】

一例において、位置識別子は無線非接触ライタから受信される。

【0054】

一例において、位置識別子は、コンピューティングデバイス上の無線非接触デバイスにおいて受信される。

【0055】

一例において、無線非接触デバイスは、アンテナを有する不揮発性メモリを含む。

【0056】

一例において、少なくとも部分的に、受信した位置情報に基づき、コンピューティングデバイスが位置情報に対応する店舗に入ると判定され得る。

【0057】

一例において、位置情報は第１の段階において受信され、続く第２の段階における位置情報の受信は、コンピューティングデバイスが店舗を出るとの判定をもたらす。

【0058】

一例において、第１の段階において位置情報を受信することに基づいて、位置識別子はメモリに格納されるものであり、第２の段階において位置情報を受信することに基づいて、位置識別子はメモリから除去されるものである。

【0059】

一例において、少なくとも１つのポリシーは店舗に対応し、コンピューティングデバイスが店舗を出るという判定によって、少なくとも１つのポリシーのアプリケーションが中断される。

【0060】

一例において、複数の段階がコンピューティングデバイスを用いて実行され得る。

【0061】

一例において、近接無線通信は、近距離通信（ＮＦＣ）、無線自動識別（ＲＦＩＤ）通信、及びＢｌｕｅｔｏｏｔｈ（登録商標）通信のうちの少なくとも１つを含む。

【0062】

一例において、少なくとも部分的に、受信した位置情報に基づいて、コンピューティングデバイスが位置情報に対応する店舗に入ると判定され得る。

【0063】

一例において、少なくとも１つのポリシーはさらに、コンピューティングデバイスに関連付けられたユーザプロファイルに基づく。

【0064】

１または複数の実施形態は、近接無線通信を用いてコンピューティングデバイスを検出し、近接無線通信を用いてコンピューティングデバイスに、特定の店舗に対応する位置情報を送信する、装置、システム、機械可読媒体、及び方法を提供する。コンピューティングデバイスが特定の店舗内に存在する間コンピューティングデバイスに適用される複数のポリシーは、少なくとも部分的に、位置情報を有するコンピューティングデバイスに基づき得る。

【0065】

一例において、位置情報は、コンピューティングデバイスが特定の店舗に入ったことを示し、複数のポリシーはその位置情報の送信に基づき有効にされる。

【0066】

一例において、位置情報は、コンピューティングデバイスが特定の店舗から出たことを示し、複数のポリシーはその位置情報の送信に基づき中断される。

【0067】

一例において、近接無線通信は、近距離通信（ＮＦＣ）、無線自動識別（ＲＦＩＤ）通信、及びＢｌｕｅｔｏｏｔｈ（登録商標）通信のうちの少なくとも１つを備える。

【0068】

一例において，コンピューティングデバイスに適用する複数のポリシーが決定され得て、その複数のポリシーの識別は、ネットワークを通してコンピューティングデバイスへ送信され得る。

【0069】

一例において、クエリはコンピューティングデバイスから受信され得て、複数のポリシーはそのクエリに応答して送信され得る。

【0070】

一例において、コンピューティングデバイスの１または複数の属性は、少なくとも部分的にその１または複数の属性に基づき決定され得る。

【0071】

一例において、コンピューティングデバイスを検出する段階は、近接無線通信を通したコンピューティングデバイスのデバイス識別子を受信する段階を含む。

【0072】

一例において、特定のユーザのユーザ情報が識別され、デバイス識別子はその特定のユーザに関連付けられ得る。

【0073】

一例において、ユーザ情報は、物理的ユーザ識別子のスキャンから受信されるものである。

【0074】

一例において、少なくとも１つのポリシーは、少なくとも部分的にユーザ情報に基づく。

【0075】

１または複数の実施形態は、近接無線通信チャネルを通して、特定の店舗に対応する位置識別子をコンピューティングデバイスに送信する装置、システム、機械可読媒体、及び方法を提供しうる。複数のポリシーからなるセットのうちの特定の１つは、少なくとも部分的に、コンピューティングデバイスがその位置識別子を有することに基づいて、コンピューティングデバイスがその特定の店舗内に存在する間、コンピューティングデバイスに適用され得る。

【0076】

一例において、システムは、少なくとも１つのプロセッサデバイス、少なくとも１つのメモリ要素、１セットの位置に関連付けられた１セットのポリシーを有するポリシーサーバ、及び無線非接触ライタを含み得る。

【0077】

複数の特徴のいくつかまたは全ては複数のコンピュータ実装方法であり、または、この説明された機能を実行すべく、それぞれのシステムまたは複数の他のデバイスにさらに含まれ得る。本開示の、これらの及び他の、複数の特徴、複数の態様、及び複数の実装の詳細は、複数の添付の図面及び上記の説明において説明されている。開示の複数の他の特徴、オブジェクト、及び利点が、説明及び複数の図面から、及び特許請求から明らかとなるはずである。

【図1】

【図2】

【図3】

【図4】

【図5】

【図6】