ES2625789T3 - Uso de configuraciones en un dispositivo con múltiples configuraciones - Google Patents

Uso de configuraciones en un dispositivo con múltiples configuraciones Download PDF

Info

Publication number
ES2625789T3
ES2625789T3 ES04805205.4T ES04805205T ES2625789T3 ES 2625789 T3 ES2625789 T3 ES 2625789T3 ES 04805205 T ES04805205 T ES 04805205T ES 2625789 T3 ES2625789 T3 ES 2625789T3
Authority
ES
Spain
Prior art keywords
application
access
configuration data
control information
processing device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES04805205.4T
Other languages
English (en)
Inventor
Markku Pulkkinen
Martti Lindroos
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Technologies Oy
Original Assignee
Nokia Technologies Oy
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=36614536&utm_source=***_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=ES2625789(T3) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Nokia Technologies Oy filed Critical Nokia Technologies Oy
Application granted granted Critical
Publication of ES2625789T3 publication Critical patent/ES2625789T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

Un método para un sistema de gestión de dispositivos para disponer el uso de configuraciones en un dispositivo con múltiples conjuntos de datos de configuración y una pluralidad de aplicaciones, caracterizado por que el sistema comprende una información de control de acceso que es originada y/o controlada por una entidad de gestión externa para definir un derecho de una aplicación a acceder a un conjunto de datos de configuración, comprendiendo el método: certificar, en respuesta a una indicación procedente de una aplicación que requiere acceso a un conjunto de datos de configuración (302), una fuente de la aplicación y comprobar, a partir de la información de control de acceso, el derecho de una aplicación a acceder a un conjunto de datos de configuración mediante la comparación de unos identificadores previamente determinados en la información de control de acceso con un identificador en un certificado que está asociado a la aplicación; y disponer, en respuesta a que la aplicación tenga autorización a acceder al conjunto de datos de configuración, el acceso al conjunto de datos de configuración para la aplicación (309), en donde al menos un contexto de servicio (203) está almacenado en el dispositivo, comprendiendo el contexto de servicio al menos el conjunto de datos de configuración, y se permite el acceso al contexto de servicio para la aplicación sobre la base de la información de control de acceso si la aplicación está autorizada sobre la base de una información de control de acceso que está asociada al contexto de servicio.

Description

5
10
15
20
25
30
35
40
45
50
55
60
65
DESCRIPCION
Uso de configuraciones en un dispositivo con multiples configuraciones Campo de la invencion
La invencion se refiere a disponer el uso de configuraciones en dispositivos con multiples configuraciones, mas en concreto a disponer un control de acceso en conjuntos de datos de configuracion gestionables por uno o mas dispositivos de gestion externos.
Antecedentes de la invencion
A medida que diferentes dispositivos de procesamiento de datos, tales como estaciones moviles, se vuelven mas complejos, la importancia de la gestion de dispositivos se vuelve mas pronunciada. Los dispositivos requieren varios ajustes diferentes, tales como ajustes en relacion con puntos de acceso a Internet, y el ajuste manual de los mismos es laborioso y diflcil para un usuario. Para solucionar este problema, se han desarrollado soluciones de gestion de dispositivos de tal modo que el administrador del sistema de informacion de una empresa o un teleoperador puede ajustar una configuracion apropiada en el dispositivo. La gestion de dispositivos se refiere, en general, a acciones mediante las cuales una persona que no esta usando el dispositivo puede cambiar la configuracion del dispositivo; por ejemplo, cambiar los ajustes o incluso un protocolo que es usado por el dispositivo. Ademas de los ajustes especlficos del dispositivo, tambien es posible transmitir datos especlficos del usuario, tales como perfiles de usuario, logotipos, tonos de llamada y menus con los que el usuario puede modificar personalmente los ajustes del dispositivo, o la modificacion tiene lugar de forma automatica en conexion con la gestion de dispositivos.
Una de las normas de gestion de dispositivos es DM (Device Management, Gestion de dispositivos) de OMA (Open Mobile Alliance), que esta basada, en parte, en el protocolo de SyncML (Synchronization Markup Language, lenguaje de marcado de sincronizacion). Por ejemplo, un ordenador personal (PC, personal computer) puede actuar como un servidor de gestion de dispositivos en un protocolo de gestion de dispositivos, y una estacion movil como un cliente de gestion de dispositivos. Los elementos que se gestionan en el cliente de gestion de dispositivos estan dispuestos como objetos de gestion. Los objetos de gestion son entidades que pueden ser gestionadas por instrucciones de gestion de servidor en el cliente de gestion de dispositivos. Por ejemplo, el objeto de gestion puede ser un numero o una entidad grande, tal como una imagen de segundo plano o un salvapantallas. En la gestion de dispositivos de OMA, los objetos de gestion estan dispuestos en un arbol de gestion.
Algunos elementos gestionables tlpicos comprenden ajustes de conexion especlficos del operador, por ejemplo, ajustes de conexion de GPRS (General Packet Radio Service, servicio radioelectrico general por paquetes). Mediante procedimientos de DM de OMA, estos conjuntos de ajustes especlficos del operador, a los que tambien se puede hacer referencia como configuraciones, en un dispositivo de terminal de usuario pueden ser mantenidos por un servidor de gestion controlado por operador. Por ejemplo, se pueden proveer ajustes de WAP (Wireless Application Protocol, protocolo de aplicaciones inalambricas) para usar servicios de WAP de un proveedor de servicios como un contexto de configuracion para el dispositivo de terminal.
Algunos elementos gestionados pueden comprender una informacion controlada por y especlfica del usuario, tal como salvapantallas y tonos de llamada. Ademas, el dispositivo se puede usar para acceder a un sistema de informacion corporativo, por ejemplo, un sistema de archivos, paginas de intranet y un sistema de correo electronico en las mismas. Para este fin, es necesario que el dispositivo comprenda una o mas configuraciones para disponer el acceso a estos servicios de sistema de informacion corporativos. Por razones de seguridad, es deseable que el personal de TI corporativo sea capaz de controlar estos ajustes. Por lo tanto, un dispositivo puede comprender multiples configuraciones procedentes de diferentes partes de gestion y deberla ser posible habilitar el acceso a una configuracion especlfica solo para una parte de gestion autorizada. De acuerdo con el protocolo de DM de OMA, que se especifica en la especificacion de OMA “SyncML Device Management Protocol”, version 1.1.2, 12 de diciembre de 2003, 41 paginas, en la fase de configuracion de una sesion de gestion, un servidor de gestion se autentica sobre la base de las credenciales que se reciben del servidor de gestion. Ademas, tal como se ilustra en la especificacion de OMA “SyncML Management Tree and Description", version 1.1.2, 2 de diciembre de 2003, 44 paginas, un nodo de un arbol de gestion se puede especificar mediante una lista de control de acceso (ACL, access control list) que comprende una lista de identificadores y derechos de acceso que estan asociados a cada identificador. Tal como se describe en el Capltulo 7.7.1, los derechos de acceso que se conceden mediante ACL definen identificadores de servidor de gestion que estan autorizados para obtener, anadir, sustituir y/o eliminar un nodo. Por lo tanto, se pueden dar diferentes derechos de acceso a diversos servidores de gestion de dispositivos, y las instrucciones de gestion de dispositivos procedentes de servidores de gestion no autorizados no se realizan sobre el arbol de gestion. No obstante, aparte de una capacidad de controlar el acceso de los servidores de gestion a los nodos de un arbol de gestion, existe adicionalmente una necesidad general de limitar el uso de las configuraciones en el dispositivo. Por ejemplo, las empresas desean controlar los terminales que se usan para acceder a los servicios de TI de la empresa de un mejor modo con el fin de proteger datos y servicios corporativos.
5
10
15
20
25
30
35
40
45
50
55
60
65
El documento US2004/0123147 divulga un sistema y un metodo para controlar la seguridad o accesibilidad de un dispositivo de comunicacion inalambrico. El dispositivo de comunicacion inalambrico esta configurado con ajustes de preferencias de seguridad que especifican quien puede acceder a un dispositivo de comunicacion inalambrico y el grado de accesibilidad del dispositivo inalambrico. Las preferencias se pueden modificar en tiempo real y de forma remota desde el dispositivo de comunicacion inalambrico. Dependiendo de los ajustes de preferencias de seguridad, la interfaz o interfaces de usuario del dispositivo de comunicacion inalambrico se pueden cambiar de forma apropiada para proporcionar el nivel establecido de seguridad o accesibilidad del dispositivo.
Breve descripcion de la invencion
A continuacion se proporcionan un metodo, un sistema de gestion de dispositivos, unos dispositivos de procesamiento de datos y un producto de programa informatico que estan caracterizados por lo que se expone en las reivindicaciones independientes. Algunas realizaciones de la invencion se describen en las reivindicaciones dependientes.
De acuerdo con un aspecto de la invencion, se proporciona un metodo para un sistema de gestion de dispositivos de acuerdo con la reivindicacion 1.
De acuerdo con un aspecto de la invencion, se proporciona un dispositivo de procesamiento de datos para un sistema de gestion de dispositivos de acuerdo con la reivindicacion 8.
De acuerdo con un aspecto de la invencion, se proporciona un producto de programa informatico de acuerdo con la reivindicacion 18.
De acuerdo con un aspecto de la invencion, un dispositivo con multiples conjuntos de datos de configuracion comprende una information de control de acceso que es originada y/o controlada por una entidad de gestion externa para definir un derecho de una aplicacion a acceder a un conjunto de datos de configuracion. La informacion de control de acceso se comprueba en respuesta a una indication procedente de una aplicacion que requiere acceso a un conjunto de datos de configuracion. Si, sobre la base de la informacion de control de acceso, la aplicacion tiene autorizacion a acceder al conjunto de datos de configuracion, se dispone para la aplicacion el acceso al conjunto de datos de configuracion.
La expresion “conjunto de datos de configuracion” se refiere, en general, a un conjunto de datos que comprenden una informacion de configuracion que tiene un efecto directo o indirecto sobre una o mas funciones del dispositivo o una aplicacion en el dispositivo. Por ejemplo, el conjunto de datos de configuracion puede comprender una direction de IP o un nombre de dominio de un servidor sobre la base del cual se dispone una conexion desde el dispositivo.
La invencion hace posible controlar el acceso de las aplicaciones a los datos de configuracion. Mas en particular, los derechos de acceso se pueden especificar y/o controlar mediante una entidad externa. Un dispositivo puede comprender multiples conjuntos de datos de configuracion con diferentes propiedades de control de acceso. Por ejemplo, un conjunto de datos de configuracion que especifica ajustes de acceso para un sistema de informacion corporativo se puede controlar mediante un soporte logico de gestion de configuracion que es operado por personal de TI corporativo.
Breve descripcion de las figuras
La invencion se describe a continuacion con mayor detalle por medio de algunas realizaciones y con referencia a los dibujos adjuntos, en los que
la figura 1 ilustra un sistema de gestion,
la figura 2 ilustra un dispositivo con multiples configuraciones,
la figura 3 ilustra un metodo de acuerdo con una realization de la invencion; y
las figuras 4a y 4b ilustran un metodo de acuerdo con una realizacion de la invencion.
Descripcion detallada de algunas realizaciones de la invencion
Una realizacion de la invencion se describira en lo sucesivo en un sistema que soporta la gestion de dispositivos de OMA; no obstante, se deberla hacer notar que la invencion se puede aplicar a cualquier sistema de gestion de dispositivos en el que las configuraciones en un dispositivo gestionado puedan ser gestionadas por una entidad de gestion externa.
La figura 1 ilustra un sistema en red. Por lo general, un servidor de red o un PC sirve como un servidor S. Por ejemplo, una estacion movil, un PC, un ordenador portatil, un dispositivo de PDA (Personal Digital Assistant, asistente personal digital), o un modulo para el mismo puede servir como un terminal TE. En las siguientes realizaciones, se supone que, para la gestion de dispositivos, el terminal TE sirve como un cliente de gestion de dispositivos y el servidor S como un servidor de gestion de dispositivos. El servidor S puede gestionar varios clientes
5
10
15
20
25
30
35
40
45
50
55
60
65
TE.
En el primer ejemplo de la figura 1, los clientes TE y los servidores de gestion S estan conectados con una red de area local LAN. Un cliente TE que esta conectado con la red LAN comprende una funcionalidad, tal como una tarjeta de red y soporte logico que controla la transmision de datos, para comunicarse con los dispositivos en la red LAN. La red de area local LAN puede ser cualquier tipo de red de area local y el TE tambien se puede conectar con el servidor S a traves de Internet usando, por lo general, un cortafuegos FW. El terminal TE tambien se puede conectar con la red de area local LAN de forma inalambrica a traves de un punto de acceso AP.
En el segundo ejemplo, el cliente TE se comunica con el servidor S a traves de una red movil MNW. Un terminal TE que esta conectado con la red MNW comprende una funcionalidad de estacion movil para comunicarse de forma inalambrica con la red MNW. Tambien pueden existir otras redes, tales como una red de area local LAN, entre la red movil MNW y el servidor S. La red movil MNW puede ser cualquier red inalambrica, por ejemplo, una red que soporta servicios de GSM, una red que soporta servicios de GPRS (General Packet Radio Service, servicio radioelectrico general por paquetes), una red movil de tercera generacion, tal como una red de acuerdo con las especificaciones de red de 3GPP (3rd Generation Partnership Project, Proyecto de Asociacion de 3a Generacion), una red de area local inalambrica WLAN, una red privada, o una combinacion de varias redes. Ademas de los ejemplos en lo que antecede, tambien son posibles muchas otras configuraciones de gestion de dispositivos, tales como una conexion de gestion entre los terminales TE o una conexion de gestion directa entre el terminal TE y el servidor S mediante el uso de una conexion inalambrica o una cableada sin otros elementos de red.
El terminal TE y el servidor S comprenden una memoria, una interfaz de usuario, unos medios de E/S para la transmision de datos, y una unidad central de procesamiento que comprende uno o mas procesadores. La memoria has una porcion no volatil para almacenar aplicaciones que controlan la unidad central de procesamiento y para otra information a almacenar, y una porcion volatil a usar en un procesamiento de datos temporal.
Las porciones de codigo de programa informatico que se ejecutan en la unidad central de procesamiento pueden dar lugar a que el servidor S implemente los medios de la invention para establecer y gestionar contextos de servicio en el terminal TE, algunas realizaciones de lo cual se ilustran en conexion con la figura 4a. Las porciones de codigo de programa informatico que se ejecutan en la unidad central de procesamiento del terminal TE pueden dar lugar a que el terminal TE tambien implemente los medios de la invencion para disponer las configuraciones en el terminal y para disponer el uso de configuraciones en el terminal TE, algunas realizaciones de lo cual se ilustran en conexion con las figuras 2, 3, 4a y 4b. Se ha de hacer notar que una o mas entidades pueden llevar a cabo las funciones de la invencion. Por ejemplo, algunas de las caracterlsticas que se ilustran en la figura 3 son llevadas a cabo por un controlador de acceso especlfico en el terminal TE, mientras que algunas otras caracterlsticas son llevadas a cabo por una aplicacion en el terminal TE. El programa informatico se puede almacenar en cualquier medio de almacenamiento, desde el cual se puede cargar el mismo en la memoria del dispositivo TE; ejecutando S el programa informatico. El programa informatico tambien se puede cargar a traves de la red mediante el uso de una pila de protocolo TCP/IP, por ejemplo. Tambien es posible usar soluciones de soporte flsico o una combinacion de soluciones de soporte flsico y de soporte logico para implementar los medios de la invencion. Una unidad de chip o algun otro tipo de modulo para controlar el dispositivo TE y/o S puede, en una realization, dar lugar a que el dispositivo TE y/o S realice las funciones de la invencion. Una estructura de datos que comprende una informacion especlfica del contexto de servicio se puede transferir a traves de una red de transmision de datos, por ejemplo, del servidor S al terminal TE y almacenarse en la memoria del terminal TE.
En una realizacion, el terminal TE y el servidor S estan dispuestos para soportar la gestion de dispositivos (DM, device management) de OMA. El terminal TE que sirve como un cliente de gestion de dispositivos de OMA comprende una funcionalidad de agente de cliente que se ocupa de funciones en relation con la sesion de gestion en el cliente. El servidor S que sirve como un servidor de gestion de dispositivos comprende un agente de servidor o una funcionalidad maestra de servidor que gestiona la sesion de gestion. No obstante, se ha de hacer notar que la aplicacion de estas funcionalidades no se limita a dispositivo especlfico alguno, e incluso es posible que las funcionalidades de cliente y de servidor se implementen en un unico dispositivo flsico. Uno o mas arboles de gestion que estan almacenados en la memoria de TE representan los objetos gestionables en el terminal TE. El arbol de gestion esta constituido por nodos y este define al menos un objeto de gestion que esta formado por uno o mas nodos o al menos un parametro de un nodo. El nodo puede ser un parametro individual, un arbol secundario o un conjunto de datos. El nodo puede comprender al menos un parametro que puede ser un valor de configuration o un archivo, tal como un archivo de imagen de segundo plano en el nodo. Los contenidos del nodo tambien pueden ser un enlace a otro nodo. Cada nodo puede ser abordado por un identificador de recursos uniforme (URI, uniform resource identifier). Un servidor de gestion de dispositivos autorizado puede anadir (de forma dinamica) y cambiar los contenidos de los nodos en el arbol de gestion.
La figura 2 ilustra el entorno 200 de un terminal TE con multiples configuraciones. El entorno 200 se dota de uno o mas contextos de servicio 203. Un contexto de servicio 203 se puede considerar como un area en el terminal TE al cual se controla el acceso. Por lo tanto, la informacion que esta almacenada en un area de almacenamiento especlfico del contexto de servicio en el terminal TE puede especificar o formar el contexto de servicio 203. En una realizacion, los contextos de servicio 203 representan diferentes configuraciones en el terminal TE que se usa para
5
10
15
20
25
30
35
40
45
50
55
60
65
acceder a servicios, por ejemplo, un servicio de acceso a Internet. Tal como se ilustra mediante flechas a partir del contexto de servicio 203, un contexto de servicio 203 que representa una configuration puede comprender unos certificados 206, unos ajustes 205 y/o algun otro tipo de datos 208 especlficos del contexto de servicio. Tal como se ilustra en la figura 2, la information que pertenece a un contexto de servicio 203 se puede almacenar en multiples ubicaciones de almacenamiento, o en una unica position de almacenamiento. Por ejemplo, un contexto de servicio 203 puede comprender o estar asociado a unos datos de usuario 208 sensibles que estan almacenados en un sistema de archivos 207, los ajustes 205 y los certificados 206 que estan almacenados en un deposito central 204, que puede ser un almacenamiento especlfico para la informacion de contexto de servicio. Los datos 208 que pertenecen a un contexto de servicio 203 pueden ser cualesquiera datos que se reciban en el terminal TE o que sean originados por una aplicacion 202. Por ejemplo, un usuario puede introducir una entrada de calendario que se almacena como los datos 208 que pertenecen al contexto de servicio 203.
Un entorno de ejecucion segura 201 puede controlar el acceso a la informacion del contexto de servicio 203, y se pueden asegurar posiciones de almacenamiento que comprenden contenidos de contextos de servicio. A pesar de que no se muestra en la figura 2, el entorno de ejecucion 201 puede comprender un controlador de acceso que esta dispuesto para controlar el acceso a la informacion de contexto de servicio. Una entidad de gestion externa, en una realization de un gestor de contextos de servicio 211, puede conceder derechos para que las aplicaciones 202 accedan a una informacion que pertenece a un contexto de servicio 203. La informacion de control de acceso (ACI, access control information) 212 que es originada y/o controlada por la entidad de gestion externa (211) se puede almacenar en el terminal TE para definir derechos de acceso a los contextos de servicio 203. Ademas, el entorno de ejecucion 201 puede ayudar a asegurar la transferencia de datos entre la aplicacion 202 autorizada a acceder al contexto de servicio 203 y una o mas posiciones de almacenamiento que comprenden la informacion de contexto de servicio. En una realizacion, al menos algunos servicios de seguridad se disponen mediante un sistema operativo del terminal TE.
Las aplicaciones 202 se pueden ejecutar en el interior del entorno de ejecucion segura 201 del entorno 200 del terminal. El acceso a uno o mas contextos de servicio 203 se dispone para una aplicacion 202 con el fin de iniciar un servicio para un usuario del terminal TE, si la informacion de control de acceso 212 posibilita esto. Esta informacion de control de acceso 212 se puede definir de muchas formas en el terminal TE. Por ejemplo, un archivo que identifica entidades que tienen autorizacion a acceder a un contexto de servicio 203 se puede almacenar en el terminal TE, y el terminal TE esta dispuesto para proporcionar acceso al contexto de servicio 203 solo para entidades que se identifican directa o indirectamente en el archivo. La informacion de control de acceso 212 se podrla definir en el terminal TE como parametros para un componente de soporte logico que implementa funciones de control de acceso de contextos de servicio, por ejemplo. Por lo tanto, el terminal TE se dota de reglas de control de acceso para definir la autorizacion a acceder a un contexto de servicio 203. El archivo de informacion de control de acceso puede ser una lista de identificadores de aplicacion o una lista de identificadores de fuente de aplicaciones. No obstante, en lugar de o ademas de identificadores de aplicacion, la informacion de control de acceso podrla especificar la informacion de control de acceso de otras entidades en el terminal TE, tal como grupos de aplicaciones o entornos de ejecucion de aplicaciones. La informacion de control de acceso 212 puede ser especlfica del contexto de servicio o de grupos de contextos de servicio. Por ejemplo, la informacion de control de acceso 212 puede comprender una pluralidad de diferentes perfiles para un acceso corporativo, que estan adaptados para diferentes situaciones de uso. En una realizacion, esta informacion de control de acceso administrativo 212 pertenece a la informacion de contexto de servicio.
De acuerdo con una realizacion, un certificado 206 de una aplicacion 202 se comprueba con el fin de definir de forma fiable un identificador que esta asociado a la aplicacion 202. Sobre la base de este identificador, entonces el terminal TE se dispone para comprobar si la aplicacion 202 tiene, o no, autorizacion a acceder al contexto de servicio 203. Estos certificados 206 se pueden almacenar dentro de la informacion de contexto de servicio (por ejemplo, el certificado 206 en el deposito central 204) y/o fuera del contexto de servicio 203, por ejemplo, dentro de los datos de la aplicacion 202 en el sistema de archivos 207. El certificado 206 esta asociado a al menos una aplicacion 202 en el terminal TE. El certificado 206 ha sido emitido y firmado digitalmente por una tercera parte de confianza, tal como una autoridad de certification general o un desarrollador de aplicaciones, para probar la integridad y la fuente de la aplicacion 202 asociada. El certificado 206 se podrla obtener para el terminal TE por separado de la informacion de control de acceso 212, por ejemplo, durante la instalacion de la aplicacion, o este puede incluso formar una parte de la informacion de contexto de servicio o la informacion de control de acceso procedente de la entidad de gestion. Se ha de hacer notar que, en una realizacion, el certificado 206 se puede adquirir durante el procedimiento de control de acceso para comprobar el derecho de la aplicacion 206 a acceder a un determinado contexto de servicio 203. El certificado 206 puede incluir al menos algunos de los siguientes: un nombre del titular del certificado, un numero de serie, una fecha de caducidad, una copia de la clave publica del titular del certificado, y la firma digital del emisor de tal modo que un destinatario puede verificar que el certificado es autentico.
Tal como tambien se ilustra mediante las llneas de trazo discontinuo en la figura 2, los contextos de servicio 203 pueden ser gestionados por la entidad de gestion autorizada externa 211. Esto puede querer decir que parte o la totalidad de la informacion que pertenece al contexto de servicio 203 puede ser lelda, anadida, modificada y/o eliminada por la entidad de gestion externa 211. En una realizacion, la DM de OMA se aplica a gestionar los
5
10
15
20
25
30
35
40
45
50
55
60
65
contextos de servicio 203. Al menos parte de la informacion del contexto de servicio 203 se puede almacenar en un arbol de gestion, que es modificado por un agente de gestion de dispositivos sobre la base de instrucciones de gestion de dispositivos procedentes de un servidor (S) de gestion de dispositivos de OMA.
La figura 3 ilustra un metodo de una realizacion para usar los contextos de servicio en el terminal TE. En la etapa 301, puede existir una necesidad de iniciar un servicio mediante una aplicacion 202 de tal modo que la aplicacion 202 requiera una informacion que esta almacenada bajo uno o mas contextos de servicio 203 para la configuracion de servicios, o para algun otro fin. Por lo general, esta necesidad se plantea basandose en una entrada de usuario, pero un servicio tambien se puede iniciar basandose en algun otro mecanismo desencadenante, tal como una instruccion procedente de un dispositivo externo. Los contextos de servicio 203 disponibles para el servicio se pueden comprobar en la etapa 302. Si la comprobacion 302, 303 revela mas de un contexto de servicio 203 disponible, se selecciona 305 un contexto de servicio 203 preferido. Por ejemplo, el terminal TE puede almacenar una lista de preferencias que indica los contextos de servicio 203 en un orden de preferencias. Un contexto de servicio 203 por defecto se podrla seleccionar en la etapa 305. De lo contrario, se selecciona 304 un contexto de servicio 203 disponible. La aplicacion 202, o un gestor de aplicaciones, se puede adaptar para realizar las etapas 301 a 305. A pesar de que no se muestra en la figura 3, se ha de hacer notar que el procedimiento de seleccion de contextos de servicio puede involucrar solicitar a un usuario del terminal TE que seleccione un contexto de servicio y/o que confirme la seleccion del contexto de servicio.
A continuacion, el metodo avanza a la etapa 306, en la que se solicita el acceso a un contexto de servicio seleccionado o se indica de otro modo una necesidad de acceder a los datos especlficos del contexto de servicio. Sobre la base de la informacion de control de acceso 212 procedente de y/o que esta controlada por una entidad de gestion, se comprueba 307 si la aplicacion 202 esta autorizada a acceder al contexto de servicio 203. La informacion de control de acceso 212 relevante se puede obtener de la memoria del TE o, en una realizacion, el terminal TE se puede disponer para solicitar y recibir una informacion de control de acceso a partir de una entidad externa, tal como la entidad de gestion externa 212. La entidad de gestion puede ser el gestor de contextos de servicio 211 o alguna otra entidad, por ejemplo, una entidad que ha emitido el certificado 206. Si la aplicacion 202 no esta autorizada, se deniega 308 el acceso para la aplicacion 202 al contexto de servicio 203.
De acuerdo con una realizacion, la etapa 307 comprende dos subetapas. En primer lugar, se comprueba un certificado 206 que esta asociado a la aplicacion 202 que requiere acceso al contexto de servicio 203. Mediante la comprobacion del certificado 206, es posible asegurar la integridad y/o la fuente de la aplicacion 202. En una segunda subetapa, un identificador que se obtiene del certificado 206 de la aplicacion 202 se compara con los identificadores en una informacion de control de acceso 212 previamente determinada. En una realizacion, un identificador de fuente de aplicaciones procedente del certificado 206 se puede comparar en la segunda subetapa con unos identificadores de fuente de aplicaciones previamente determinados en la informacion de control de acceso 212. En la presente realizacion, la informacion de control de acceso 212 especifica aquellas aplicaciones, grupos de aplicaciones o fuentes de aplicaciones que estan autorizadas a usar el contexto de servicio 203. Por lo tanto, si se puede hallar el identificador procedente del certificado 206 de la aplicacion 202 en la informacion de control de acceso 212, la aplicacion esta autorizada.
Si la aplicacion 202 esta autorizada sobre la base de una comprobacion 307, la aplicacion puede acceder 309 a una informacion que esta asociada al contexto de servicio 203 y, entonces, la aplicacion 202 puede iniciar 310 el servicio sobre la base de la informacion de contexto de servicio asociada.
En una realizacion, el contexto de servicio 203 comprende o esta asociado a unos ajustes que se requieren para disponer una conexion del terminal TE a uno o mas recursos de red para acceder a un servicio. Por lo tanto, en la etapa 310, la aplicacion 202 puede establecer una conexion que usa estos ajustes. Estos ajustes podrlan especificar el acceso a recursos de intranet corporativos, tales como un servidor de correo electronico y una cuenta de correo electronico. No obstante, tambien existen muchos otros servicios para los cuales se puede usar el contexto de servicio 203.
En una realizacion, el terminal TE comprende unos datos (especlficos) de aplicacion controlados por acceso 208 que pertenecen a o que estan asociados a un contexto de servicio 203 de tal modo que el acceso a los datos de aplicacion 208 se dispone solo para las aplicaciones 202 que son autorizadas por la entidad de gestion externa 211. Por lo general, estos datos de aplicacion 208 estan relacionados con el usuario y son almacenados por una aplicacion 202 en el terminal TE sobre la base de una entrada de usuario. En la etapa 310, los datos de aplicacion 208, tales como un archivo que comprende correos electronicos corporativos, se pueden visualizar y, posiblemente, procesarse adicionalmente mediante una aplicacion 202 (una aplicacion de cliente de correo electronico en el presente ejemplo).
Un contexto de servicio 203 se puede seleccionar o definir cuando se usa una aplicacion 202. Un contexto de servicio 203 se puede seleccionar cuando se activa una aplicacion 202 y/o cuando se van a especificar nuevos contenidos como una informacion de contexto de servicio. Por ejemplo, cuando se activa una aplicacion de correo electronico, el usuario selecciona una cuenta de correo electronico o perfil deseado, por lo que tambien se selecciona un contexto de servicio que esta asociado a la cuenta de correo electronico o perfil. Por lo tanto, cuando
5
10
15
20
25
30
35
40
45
50
55
60
65
la aplicacion 202 requiere posteriormente acceso a la informacion del contexto de servicio 203, las etapas 302 a 305 son innecesarias pero se puede usar informacion en el contexto de servicio 203 asociado, por ejemplo, para establecer una conexion con un servidor de correo electronico remoto. En otra realizacion, un contexto de servicio 203 se puede especificar para un elemento de datos de usuario, tal como un mensaje de correo electronico. Este contexto de servicio 203 se podrla seleccionar en conexion con el almacenamiento de un elemento de datos. Por ejemplo, cuando el usuario ha acabado de preparar un elemento de correo electronico y selecciona almacenar el elemento, se muestran al usuario los contextos de servicio 203 disponibles (para la aplicacion de correo electronico). Entonces, el usuario puede seleccionar el contexto de servicio 203 al que se va a asociar el elemento de datos y, por lo tanto, posiblemente la posicion de almacenamiento del elemento de datos, y el elemento de datos se almacena en consecuencia. Posteriormente, el elemento de datos se puede usar como cualesquiera otros datos especlficos del contexto de servicio 203, es decir, el acceso al elemento de datos se permite solo para las aplicaciones 202 autorizadas.
En una realizacion, el acceso a los contextos de servicio 203 se controla (las etapas 307 a 309) mediante un procedimiento de seguridad en el entorno de ejecucion segura 201, tal como una entidad de controlador de acceso especlfico. Tambien es factible que el entorno de ejecucion 201 compruebe 303 y seleccione 304, 305 un contexto de servicio 203 para la aplicacion 202. Se puede proporcionar un selector de contextos de servicio especlfico en el entorno de ejecucion segura 201.
En otra realizacion, los contextos de servicio 203 disponibles para la aplicacion 202 que requiere acceso al contexto de servicio 203 ya se han comprobado en la etapa 302. En la presente realizacion, solo se consideran para el servicio los contextos de servicio 203 para los cuales el certificado de la aplicacion 202 permite el acceso (o para los cuales la aplicacion tiene autorizacion de acceso por algun otro medio). En la presente realizacion, el acceso a un contexto de servicio 203 es intentado solo por las aplicaciones 202 autorizadas y, por lo tanto, se evitan las solicitudes innecesarias.
Las figuras 4a y 4b ilustran un metodo para establecer y/o modificar un contexto de servicio 203 en el terminal TE mediante el servidor S de acuerdo con una realizacion. En la figura 4a, se ilustran caracterlsticas del servidor S que funciona como el servidor de gestion de dispositivos. En la etapa 401, existe una necesidad de crear un nuevo contexto de servicio 203 y/o de modificar un contexto de servicio 203 existente en el dispositivo de terminal TE gestionado. En otra realizacion, existe una necesidad de anadir o modificar la informacion de control de acceso 212 en relacion con un contexto de servicio 203.
Entonces, se dispone 402 una sesion de gestion de dispositivos entre la funcionalidad del servidor de gestion de dispositivos en el servidor S y la funcionalidad del cliente de gestion de dispositivos en el terminal TE. Se pueden utilizar las funciones convencionales de establecimiento de sesiones de DM de OMA que se ilustran en la especificacion de OMA “SyncML Device Management Protocol’, version 1.1.2, 12 de diciembre de 2003, 41 paginas.
La informacion relacionada con el contexto de servicio, por ejemplo, los ajustes de conexion 205, y/o la informacion de control de acceso 212, se especifica 403 en una o mas instrucciones de gestion de dispositivos. En la presente realizacion, al menos parte de la informacion de contexto de servicio en la instruccion o instrucciones de gestion de dispositivos es dirigida a uno o mas nodos de arbol de gestion de dispositivos especlficos del contexto de servicio. La instruccion de gestion se transmite 404 al terminal TE.
La figura 4b ilustra funciones en el terminal TE que recibe una informacion relacionada con el contexto de servicio. En la etapa 410, una instruccion de gestion de dispositivos se recibe de un servidor de gestion de dispositivos (S). Los datos relacionados con el contexto de servicio, incluyendo la informacion de control de acceso, se pueden almacenar en el terminal TE. Mas en concreto, en la etapa 411 el cliente de gestion de dispositivos en el terminal TE define las acciones requeridas sobre la base de la instruccion de gestion de dispositivos recibida. Entonces, el arbol de gestion de dispositivos en el terminal TE puede ser modificado por la informacion nueva y/o modificada en relacion con el contexto de servicio 203. Por ejemplo, se puede anadir un nuevo nodo con una lista ACL que define el servidor S como que es el unico servidor de gestion de dispositivos autorizado para modificar el nodo. Se ha de hacer notar que el arbol de gestion solo puede servir como una vista de la informacion gestionada, por lo que la informacion gestionada se puede almacenar fuera del arbol de gestion.
Si el contexto de servicio 203 se crea por primera vez y no se ha provisto una gestion de dispositivos para el terminal TE, en primer lugar se pueden usar metodos de aprovisionamiento de cliente de OMA para iniciar y configurar la gestion de dispositivos antes de instrucciones de gestion especlficas del contexto de servicio. Por lo tanto, en las etapas 402 y 410, se puede utilizar una conexion para disponer el aprovisionamiento.
El arbol de gestion puede comprender uno o mas nodos para la informacion de control de acceso 212, incluso si la informacion de control de acceso 212 no es parte del contexto de servicio 203. De una forma similar a la que se ha ilustrado en lo que antecede, mediante la utilizacion de una instruccion de gestion de dispositivos que es dirigida a un nodo para la informacion de control de acceso 212, es posible disponer la modificacion, la supresion o la adicion de la informacion de control de acceso 212. Por lo tanto, una entidad de gestion externa puede cambiar facilmente la configuracion de control de acceso en el dispositivo TE gestionado. Se ha de hacer notar que las figuras 4a y 4b son
5
10
15
20
25
30
35
40
45
50
55
60
65
solo a modo de ejemplo. Por ejemplo, la instruction de gestion de dispositivos se podrla formar antes del establecimiento de la sesion de gestion. En una realization, un contexto de servicio 203 puede ser creado o modificado por una parte autorizada en el terminal TE, por ejemplo, un usuario. Procedimientos similares a los que ya se han ilustrado en conexion con la figura 3, las etapas 306 - 309 se pueden utilizar cuando se accede a la information de contexto de servicio. Por lo tanto, es innecesario aplicar mecanismos de gestion de dispositivos para modificar la informacion del contexto de servicio 203.
En una realizacion, el gestor de contextos de servicio 211 o un proveedor de servicios, en la realizacion de la figura 4a el servidor S, puede comprobar que un contexto de servicio adecuado se ha puesto en practica y/o que se usa de forma apropiada en el terminal TE. Por lo tanto, el proveedor de servicios puede comprobar que se han puesto en practica unos ajustes correctos y solo se usan aplicaciones procedentes de una fuente de confianza. Esta comprobacion se podrla implementar mediante el uso de instrucciones GET de DM de OMA para los nodos que comprenden estos datos de contexto de servicio. La presente realizacion se puede implementar despues de las etapas 404 y 412 o en algun otro punto en el tiempo, por ejemplo, despues de recibir una solicitud de servicio procedente de una aplicacion 202 en el terminal TE.
En las etapas 402, 403, 410 y 411, es posible utilizar los mecanismos del protocolo de gestion de dispositivos y los mensajes que se definen para el mismo; para una description mas detallada del protocolo de gestion de dispositivos de OMA y otras instrucciones, por ejemplo, se hace referencia a la especificacion de OMA “SyncML Device Management Protocol’, version 1.1.2, 12 de diciembre de 2003, 41 paginas, y la especificacion de OMA “SyncML Representation Protocol Device Management Usage", version 1.1.2, 12 de junio de 2003, 39 paginas.
De acuerdo con una realizacion, los contenidos de un contexto de servicio 203 se pueden asociar con diferentes reglas de control de acceso y/o niveles de derechos de acceso sobre la base de la informacion de control de acceso 212. En una realizacion adicional, diferentes reglas de acceso se aplican a diferentes porciones del contexto de servicio 203. Por ejemplo, los ajustes 205 del contexto de servicio 203 que especifican una conexion con un servidor de correo electronico corporativo se pueden leer (por una aplicacion 202 autorizada a acceder al contexto de servicio 203) pero se pueden no modificar, mientras que el acceso a los datos 208 en un sistema de archivos 207 que esta asociado al contexto de servicio 203 se puede tanto leer como modificar. En la presente realizacion, los contenidos de los contextos de servicio 203 se pueden diferenciar con respecto al control de acceso.
Algunas reglas a modo de ejemplo que se pueden aplicar como la realizacion que se ha ilustrado en lo que antecede son: derecho de lectura (de la totalidad o solo una parte especlfica de los datos de contexto de servicio), derecho de elimination y derecho de adicion. Las reglas de control y/o niveles de derechos de acceso se pueden especificar dentro de la informacion de control de acceso 212 o algun otro almacenamiento. En una realizacion, las directivas de acceso se especifican mediante XACML (Extensible Access Markup Language, lenguaje de marcado de acceso extensible). Si se aplica la DM de OMA, las listas de control de acceso se pueden especificar en un arbol de gestion para determinar uno o mas servidores de gestion de dispositivos externos autorizados a acceder a los datos relacionados con el contexto de servicio asociados, es decir, las entidades de gestion externas se pueden especificar mediante listas de control de acceso de DM de OMA.
En una realizacion alternativa o complementaria, diferentes reglas de control de acceso estan asociadas a diferentes usuarios de los contextos de servicio 203 sobre la base de la informacion de control de acceso 212. En la presente realizacion, es posible aplicar diferentes derechos de acceso para diferentes aplicaciones 202 y usuarios del terminal TE, por ejemplo. Como un ejemplo, un contexto de servicio 203 (o parte del mismo) se puede ajustar para ser modificable solo por el usuario de o el abonado al terminal TE y una entidad de gestion externa que origina y/o que controla el contexto de servicio 203.
En una realizacion, el usuario de o el abonado al terminal TE siempre tiene autorizacion a eliminar o suprimir los contextos de servicio 203 con respecto al terminal TE. Debido a que ser requiere un contexto de servicio 203 para obtener un servicio, el terminal TE no se puede usar para acceder al servicio despues de que se haya suprimido el contexto de servicio 203. Por lo tanto, no es necesario dar pleno control a administrador 211 alguno de un contexto de servicio 203, y los usuarios no han de renunciar a un derecho de control de sus terminales. No es necesario forzar contexto de servicio alguno en ninguno de los terminales, pero el usuario / abonado puede desear usar un servicio y, por lo tanto, aceptar un contexto de servicio en el terminal TE. Debido a que el propio contexto de servicio 203 se puede ajustar para ser modificable solo por la entidad de gestion autorizada (211), es posible evitar el acceso del usuario para modificar el contexto de servicio 203.
En una realizacion adicional, se proporciona una capacidad de informar a la entidad de gestion autorizada 211 acerca de los contextos de servicio 203 suprimidos por el usuario. Una caracterlstica o aplicacion 203 que maneja la supresion de un contexto de servicio 203 sobre la base de una entrada de usuario se puede configurar para transmitir un mensaje a la entidad de gestion autorizada 211 que informa acerca de la supresion del contexto de servicio 203 con respecto al terminal TE. En otra realizacion, la entidad de gestion autorizada 211 esta configurada para comprobar los contextos de servicio 203 (que la misma esta autorizada a ver) en el terminal TE con el fin de detectar los suprimidos. Por ejemplo, se pueden realizar comprobaciones periodicas mediante procedimientos de DM de OMA en los nodos que comprenden datos de contexto de servicio.
Se deberla hacer notar que las realizaciones que se han descrito en lo que antecede tambien se podrlan aplicar en cualquier combinacion de las mismas. Es obvio a un experto en la materia que, a medida que avanza la tecnologla, la idea basica de la invencion se puede implementar de muchas formas diferentes. Por lo tanto, la invencion y sus realizaciones no se limitan a los ejemplos que se han descrito en lo que antecede, sino que pueden variar dentro del 5 alcance de las reivindicaciones.

Claims (18)

  1. 5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    55
    60
    65
    REIVINDICACIONES
    1. Un metodo para un sistema de gestion de dispositivos para disponer el uso de configuraciones en un dispositivo con multiples conjuntos de datos de configuracion y una pluralidad de aplicaciones, caracterizado por que el sistema comprende una information de control de acceso que es originada y/o controlada por una entidad de gestion externa para definir un derecho de una aplicacion a acceder a un conjunto de datos de configuracion, comprendiendo el metodo:
    certificar, en respuesta a una indication procedente de una aplicacion que requiere acceso a un conjunto de datos de configuracion (302), una fuente de la aplicacion y comprobar, a partir de la informacion de control de acceso, el derecho de una aplicacion a acceder a un conjunto de datos de configuracion mediante la comparacion de unos identificadores previamente determinados en la informacion de control de acceso con un identificador en un certificado que esta asociado a la aplicacion; y
    disponer, en respuesta a que la aplicacion tenga autorizacion a acceder al conjunto de datos de configuracion, el acceso al conjunto de datos de configuracion para la aplicacion (309), en donde al menos un contexto de servicio (203) esta almacenado en el dispositivo, comprendiendo el contexto de servicio al menos el conjunto de datos de configuracion, y se permite el acceso al contexto de servicio para la aplicacion sobre la base de la informacion de control de acceso si la aplicacion esta autorizada sobre la base de una informacion de control de acceso que esta asociada al contexto de servicio.
  2. 2. Un metodo de acuerdo con la reivindicacion 1, caracterizado por disponer la selection (305) de un conjunto de datos de configuracion para la aplicacion en respuesta a una pluralidad de conjuntos de datos de configuracion que se encuentran disponibles para la aplicacion.
  3. 3. Un metodo de acuerdo con una cualquiera de las reivindicaciones anteriores, caracterizado por disponer un servicio mediante la aplicacion sobre la base de al menos parte del conjunto de datos de configuracion.
  4. 4. Un metodo de acuerdo con una cualquiera de las reivindicaciones anteriores, caracterizado por disponer el conjunto de datos de configuracion y/o la informacion de control de acceso en el mismo en el dispositivo mediante:
    el establecimiento (402) de una sesion de gestion de dispositivos o una conexion para disponer el aprovisionamiento entre un servidor de gestion de dispositivos de la entidad de gestion externa y el dispositivo, la reception del conjunto de datos de configuracion y/o la informacion de control de acceso mediante la sesion de gestion de dispositivos o la conexion para el aprovisionamiento, y
    el almacenamiento del conjunto de datos de configuracion y/o la informacion de control de acceso en el dispositivo.
  5. 5. Un metodo de acuerdo con la reivindicacion 1, caracterizado por que la informacion de control de acceso se comprueba en respuesta a una solicitud procedente de la aplicacion para acceder al conjunto de datos de configuracion.
  6. 6. Un metodo de acuerdo con la reivindicacion 1, caracterizado por que el conjunto de datos de configuracion comprende unos ajustes que se requieren para disponer una conexion desde el dispositivo con uno o mas recursos de red para acceder a un servicio, y
    el dispositivo de procesamiento de datos esta dispuesto para establecer una conexion con uno o mas recursos de red sobre la base de los ajustes.
  7. 7. Un metodo de acuerdo con la reivindicacion 1, caracterizado por que una transferencia de datos entre la aplicacion autorizada a acceder al conjunto de datos de configuracion y una position de almacenamiento que comprende el conjunto de datos de configuracion esta asegurada.
  8. 8. Un sistema de gestion de dispositivos que comprende un servidor de gestion de dispositivos y un cliente de gestion de dispositivos a gestionar, estando dispuesto el sistema de gestion de dispositivos para gestionar al menos un cliente de gestion de dispositivos por medio de una estructura de gestion que comprende al menos un nodo, caracterizado por que el sistema comprende un dispositivo de procesamiento de datos de acuerdo con la reivindicacion 9.
  9. 9. Un dispositivo de procesamiento de datos para un sistema de gestion de dispositivos, comprendiendo el dispositivo unos medios para almacenar multiples conjuntos de datos de configuracion y una pluralidad de aplicaciones, caracterizado por que el dispositivo de procesamiento de datos comprende:
    una memoria para almacenar una informacion de control de acceso para definir un derecho de una aplicacion a acceder a un conjunto de datos de configuracion,
    unos medios para certificar una fuente de la aplicacion y comprobar la informacion de control de acceso mediante la comparacion de unos identificadores previamente determinados en la informacion de control de acceso con un identificador en un certificado que esta asociado a la aplicacion en respuesta a una indicacion
    5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    55
    60
    65
    procedente de una aplicacion que requiere acceso a un conjunto de datos de configuration (302), y unos medios para disponer el acceso al conjunto de datos de configuracion para la aplicacion en respuesta a que la aplicacion tenga autorizacion a acceder al conjunto de datos de configuracion (309), en donde el dispositivo de procesamiento de datos esta dispuesto para almacenar al menos un contexto de servicio (203) que comprende al menos el conjunto de datos de configuracion, y
    el dispositivo de procesamiento de datos esta dispuesto para permitir que la aplicacion acceda al contexto de servicio sobre la base de la information de control de acceso si la aplicacion esta autorizada sobre la base de una informacion de control de acceso que esta asociada al contexto de servicio.
  10. 10. Un dispositivo de procesamiento de datos de acuerdo con la reivindicacion 9, caracterizado por que el dispositivo de procesamiento de datos esta dispuesto para comprobar la informacion de control de acceso en respuesta a una solicitud procedente de la aplicacion para acceder al conjunto de datos de configuracion.
  11. 11. Un dispositivo de procesamiento de datos de acuerdo con las reivindicaciones 9 o 10, caracterizado por que el dispositivo de procesamiento de datos comprende unos medios para disponer (310) un servicio mediante la aplicacion sobre la base de al menos parte del conjunto de datos de configuracion.
  12. 12. Un dispositivo de procesamiento de datos de acuerdo con la reivindicacion 9, caracterizado por que el contexto de servicio comprende adicionalmente datos relacionados con el usuario que son almacenados por una aplicacion del dispositivo de procesamiento de datos.
  13. 13. Un dispositivo de procesamiento de datos de acuerdo con una cualquiera de las reivindicaciones 9 a 12, caracterizado por que el conjunto de datos de configuracion comprende unos ajustes que se requieren para disponer una conexion desde el dispositivo a uno o mas recursos de red para acceder a un servicio, y
    el dispositivo de procesamiento de datos esta dispuesto para establecer una conexion a uno o mas recursos de red sobre la base de los ajustes.
  14. 14. Un dispositivo de procesamiento de datos de acuerdo con una cualquiera de las reivindicaciones 9 a 13, caracterizado por que el dispositivo de procesamiento de datos comprende unos medios para disponer la selection (305) de un conjunto de datos de configuracion para la aplicacion en respuesta a una pluralidad de conjuntos de datos de configuracion que se encuentran disponibles para la aplicacion.
  15. 15. Un dispositivo de procesamiento de datos de acuerdo con una cualquiera de las reivindicaciones 9 a 14, caracterizado por que una transferencia de datos entre la aplicacion autorizada a acceder al conjunto de datos de configuracion y una position de almacenamiento que comprende el conjunto de datos de configuracion esta asegurada.
  16. 16. Un dispositivo de procesamiento de datos de acuerdo con una cualquiera de las reivindicaciones 9 a 15, caracterizado por que el dispositivo de procesamiento de datos comprende un cliente de gestion de dispositivos de acuerdo con una norma de gestion de dispositivos de la Alianza Movil Abierta, y
    el dispositivo de procesamiento de datos esta dispuesto para anadir y/o modificar (412) un conjunto de datos de configuracion sobre la base de una instruction de gestion de dispositivos desde un servidor de gestion de dispositivos a un nodo de un arbol de gestion en el dispositivo de procesamiento de datos.
  17. 17. Un producto de programa informatico descargable en una memoria de un dispositivo de procesamiento de datos, caracterizado por que el producto de programa informatico comprende un codigo de programa informatico que, cuando se ejecuta en un procesador del dispositivo de procesamiento de datos, da lugar a que el dispositivo de procesamiento de datos:
    certifique, en respuesta a una indication procedente de una aplicacion que requiere acceso a un conjunto de datos de configuracion (302), una fuente de la aplicacion y compruebe una informacion de control de acceso para definir un derecho de una aplicacion a acceder a un conjunto de datos de configuracion mediante la comparacion de unos identificadores previamente determinados en la informacion de control de acceso con un identificador en un certificado que esta asociado a la aplicacion y
    disponga, en respuesta a que la aplicacion tenga autorizacion a acceder al conjunto de datos de configuracion, el acceso al conjunto de datos de configuracion para la aplicacion (309), en donde al menos un contexto de servicio (203) esta almacenado en el dispositivo, comprendiendo el contexto de servicio al menos el conjunto de datos de configuracion, y se permite el acceso al contexto de servicio para la aplicacion sobre la base de la informacion de control de acceso si la aplicacion esta autorizada sobre la base de una informacion de control de acceso que esta asociada al contexto de servicio.
  18. 18. Un producto de programa informatico de acuerdo con la reivindicacion 17, en donde el producto de programa informatico comprende un codigo de programa informatico para dar lugar a que el dispositivo de procesamiento de datos disponga la seleccion (305) de un conjunto de datos de configuracion para la aplicacion en respuesta a una pluralidad de conjuntos de datos de configuracion que se encuentran disponibles para la aplicacion.
ES04805205.4T 2004-12-30 2004-12-30 Uso de configuraciones en un dispositivo con múltiples configuraciones Active ES2625789T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/FI2004/000810 WO2006070045A1 (en) 2004-12-30 2004-12-30 Use of configurations in device with multiple configurations

Publications (1)

Publication Number Publication Date
ES2625789T3 true ES2625789T3 (es) 2017-07-20

Family

ID=36614536

Family Applications (1)

Application Number Title Priority Date Filing Date
ES04805205.4T Active ES2625789T3 (es) 2004-12-30 2004-12-30 Uso de configuraciones en un dispositivo con múltiples configuraciones

Country Status (10)

Country Link
US (1) US8140650B2 (es)
EP (1) EP1839182B1 (es)
JP (1) JP2008527475A (es)
CN (1) CN100489827C (es)
BR (1) BRPI0419267B1 (es)
CA (1) CA2592702C (es)
ES (1) ES2625789T3 (es)
PL (1) PL1839182T3 (es)
TW (1) TWI296777B (es)
WO (1) WO2006070045A1 (es)

Families Citing this family (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070180127A1 (en) * 2003-11-11 2007-08-02 Nokia Corporation Preconfigured syncml profile categories
KR100941540B1 (ko) * 2005-06-02 2010-02-10 엘지전자 주식회사 장치관리 시스템 및 그 시스템에서의 설정-값 세팅 방법
US20070027971A1 (en) * 2005-07-26 2007-02-01 Sunil Marolia Device management network with notifications comprising multiple choice prompts
US7870490B2 (en) * 2005-11-15 2011-01-11 Microsoft Corporation On-the-fly device configuration and management
CN101163309B (zh) * 2006-10-13 2012-07-04 华为技术有限公司 一种实现信息锁定的方法、***和装置
EP2087644B1 (en) * 2006-10-16 2013-04-24 Hewlett-Packard Development Company, L.P. Retrieval of Performance Indicator from an Electronic Device
GB0620927D0 (en) 2006-10-20 2006-11-29 Vodafone Plc Device management
FR2911022A1 (fr) * 2006-12-29 2008-07-04 France Telecom Procede permettant d'imposer une politique de securite a une application telechargeable accedant a des ressources du reseau
KR101281931B1 (ko) * 2007-04-06 2013-08-26 삼성전자주식회사 트랩 mo의 디바이스 관리 보안 시스템 및 방법
US8819814B1 (en) * 2007-04-13 2014-08-26 United Services Automobile Association (Usaa) Secure access infrastructure
US8327456B2 (en) * 2007-04-13 2012-12-04 Microsoft Corporation Multiple entity authorization model
US7792979B1 (en) * 2007-06-29 2010-09-07 Emc Corporation Object tree walking
US8375136B2 (en) * 2007-08-08 2013-02-12 Innopath Software, Inc. Defining and implementing policies on managed object-enabled mobile devices
US20090172187A1 (en) 2007-12-31 2009-07-02 Eetay Natan Techniques to enable firewall bypass for open mobile alliance device management server-initiated notifications in wireless networks
US8443451B2 (en) * 2008-03-27 2013-05-14 George Madathilparambil George Manually controlled application security environments
US20090260050A1 (en) * 2008-04-14 2009-10-15 George Madathilparambil George Authenticating device for controlling application security environments
US10372924B2 (en) * 2008-05-12 2019-08-06 George Madathilparambil George Master device for controlling application security environments
CN101686458B (zh) * 2008-09-28 2013-06-12 华为技术有限公司 一种终端配置和管理方法及终端装置
CN101730099B (zh) * 2008-10-14 2013-03-20 华为技术有限公司 基于权限控制的终端管理方法及装置
US9614685B2 (en) 2009-03-09 2017-04-04 Nokia Technologies Oy Methods, apparatuses, and computer program products for facilitating synchronization of setting configurations
US8503316B2 (en) * 2009-03-17 2013-08-06 Qualcomm Incorporated Method and apparatus for handling inconsistent control information in a wireless communication system
EP2271008A1 (en) * 2009-06-30 2011-01-05 Nxp B.V. Automatic configuration in a broadcast application apparatus
GB2479916A (en) 2010-04-29 2011-11-02 Nec Corp Access rights management of locally held data based on network connection status of mobile device
US9021108B2 (en) * 2010-09-27 2015-04-28 Blackberry Limited Method, system and apparatus for enabling access of a first mobile electronic device to at least one network accessible by a second mobile electronic device
US9064111B2 (en) * 2011-08-03 2015-06-23 Samsung Electronics Co., Ltd. Sandboxing technology for webruntime system
US8893225B2 (en) 2011-10-14 2014-11-18 Samsung Electronics Co., Ltd. Method and apparatus for secure web widget runtime system
US8756669B2 (en) * 2012-06-20 2014-06-17 Futurewei Technologies, Inc. Security mode for mobile communications devices
TWI461958B (zh) 2012-06-22 2014-11-21 Wistron Corp 應用程式的權限控管方法、電子裝置及電腦可讀取媒體
US9225715B2 (en) * 2013-11-14 2015-12-29 Globalfoundries U.S. 2 Llc Securely associating an application with a well-known entity
US10382305B2 (en) 2013-11-15 2019-08-13 Microsoft Technology Licensing, Llc Applying sequenced instructions to connect through captive portals
US9554323B2 (en) 2013-11-15 2017-01-24 Microsoft Technology Licensing, Llc Generating sequenced instructions for connecting through captive portals
US9369342B2 (en) * 2013-11-15 2016-06-14 Microsoft Technology Licensing, Llc Configuring captive portals with a cloud service
US9392438B2 (en) 2014-09-24 2016-07-12 Motorola Solutions, Inc. Method and apparatus to manage user/device profiles for public safety applications
KR101856930B1 (ko) * 2016-08-29 2018-05-11 현대자동차주식회사 유에스비 액세서리의 유에스비 통신 제어 방법

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6272632B1 (en) * 1995-02-21 2001-08-07 Network Associates, Inc. System and method for controlling access to a user secret using a key recovery field
US7136903B1 (en) * 1996-11-22 2006-11-14 Mangosoft Intellectual Property, Inc. Internet-based shared file service with native PC client access and semantics and distributed access control
WO2002071786A1 (fr) * 2001-03-02 2002-09-12 Fujitsu Limited Systeme de communication mobile et dispositif constitutif
AR037011A1 (es) 2001-08-13 2004-10-20 Qualcomm Inc Un metodo para almacenar una aplicacion en un dispositivo, un dispositivo para ejecutar una aplicacion con dicho metodo, metodos para permitir acceso a un recurso del dispositivo y asociar una lista de autorizacion a una aplicacion, sistemas para almacenar una aplicacion en un dispositivo, para perm
BR0206906A (pt) * 2001-12-03 2004-02-25 Nokia Corp Método e aparelho para recuperar a informação da árvore lógica do nó móvel
US20030212684A1 (en) * 2002-03-11 2003-11-13 Markus Meyer System and method for adapting preferences based on device location or network topology
JP2003283494A (ja) 2002-03-27 2003-10-03 Ntt Docomo Inc 通信端末のアクセス制御方法、認定プログラム提供装置、管理装置および通信端末
ATE385094T1 (de) 2002-04-30 2008-02-15 Nokia Corp Verfahren und einrichtung zur verwaltung des baumdatenaustauschs
TWI231900B (en) 2002-08-19 2005-05-01 Ntt Docomo Inc Communication terminal providing function against connection with specific website and method thereof and memory media memorizing the program
JP3869347B2 (ja) * 2002-10-18 2007-01-17 株式会社エヌ・ティ・ティ・ドコモ 入出力制御システム、入出力制御方法、入出力制御プログラム
EP1563408A1 (en) 2002-11-21 2005-08-17 Nokia Corporation Method and device for defining objects allowing to establish a device management tree for mobile communication devices
US20040123147A1 (en) 2002-12-19 2004-06-24 Christopher White Control of security or ease-of-use sensitivity for a wireless communication device
FI116426B (fi) 2003-05-02 2005-11-15 Nokia Corp Laitteenhallinnan aloittaminen hallintapalvelimen ja asiakkaan välillä
JP4202829B2 (ja) 2003-06-04 2008-12-24 京セラ株式会社 メール送信機能を有する電話機
US20050091346A1 (en) * 2003-10-23 2005-04-28 Brijesh Krishnaswami Settings management infrastructure
US20060173974A1 (en) * 2005-02-02 2006-08-03 Victor Tang System and method for providing mobile access to personal media
US20070174429A1 (en) * 2006-01-24 2007-07-26 Citrix Systems, Inc. Methods and servers for establishing a connection between a client system and a virtual machine hosting a requested computing environment
JP4821405B2 (ja) * 2006-03-29 2011-11-24 富士ゼロックス株式会社 ファイルアクセス制御装置及びファイル管理システム
JP4583435B2 (ja) * 2007-12-19 2010-11-17 株式会社三菱東京Ufj銀行 スタンド

Also Published As

Publication number Publication date
BRPI0419267B1 (pt) 2017-05-16
BRPI0419267A (pt) 2007-12-18
EP1839182A1 (en) 2007-10-03
WO2006070045A1 (en) 2006-07-06
PL1839182T3 (pl) 2017-08-31
TW200634628A (en) 2006-10-01
CN101091176A (zh) 2007-12-19
CN100489827C (zh) 2009-05-20
CA2592702C (en) 2014-07-29
EP1839182B1 (en) 2017-04-12
US20080104207A1 (en) 2008-05-01
CA2592702A1 (en) 2006-07-06
US8140650B2 (en) 2012-03-20
JP2008527475A (ja) 2008-07-24
TWI296777B (en) 2008-05-11

Similar Documents

Publication Publication Date Title
ES2625789T3 (es) Uso de configuraciones en un dispositivo con múltiples configuraciones
US11368842B2 (en) Session establishment method and means and communication system
US6591095B1 (en) Method and apparatus for designating administrative responsibilities in a mobile communications device
JP5987039B2 (ja) 複数のドメインのシステムおよびドメイン所有権
CN110855621B (zh) 用于控制对车载无线网络的访问的方法
EP3162103B1 (en) Enterprise authentication via third party authentication support
US20110167470A1 (en) Mobile data security system and methods
WO2010027765A2 (en) Universal integrated circuit card having a virtual subscriber identity module functionality
BRPI0610400A2 (pt) método, aparelho e programa de computador para prover um mecanismo genérico para o servidor de aplicação de rede
EP3930361A1 (en) System and method for operating a user device with personalized identity module profiles
US20230171603A1 (en) Onboarding Devices in Standalone Non-Public Networks
ES2836511T3 (es) Sistema y método relativos a DRM
US20220200967A1 (en) Machine to machine communications
KR100913976B1 (ko) 다중 구성들을 구비한 장치에서 구성들의 사용
JP6240253B2 (ja) 複数のコンフィギュレーションを有する装置内におけるコンフィギュレーションの使用法
JP2011239152A (ja) 無線通信システムおよび端末管理方法
JP5977018B2 (ja) 複数のコンフィギュレーションを有する装置内におけるコンフィギュレーションの使用法
EP3910898A1 (en) Esim profile policy management
CN113805880A (zh) 一种解决https协议在shiro框架下请求失败的方法
CN116964984A (zh) 安全密钥管理设备、认证***、广域网和用于生成会话密钥的方法
Kuroda et al. Design of secure mobile application on cellular phones
Cabanillas Barbacil et al. Adding X-security to Carrel: security for agent-based healthcare applications
Cabanillas et al. Adding X–Security to Carrel: Security for Agent–Based HealthCare Applications