ES2314256T3 - Sistema y metodo de control de conexion para dispositivos de comunicacion movil inalambrica. - Google Patents

Sistema y metodo de control de conexion para dispositivos de comunicacion movil inalambrica. Download PDF

Info

Publication number
ES2314256T3
ES2314256T3 ES03770820T ES03770820T ES2314256T3 ES 2314256 T3 ES2314256 T3 ES 2314256T3 ES 03770820 T ES03770820 T ES 03770820T ES 03770820 T ES03770820 T ES 03770820T ES 2314256 T3 ES2314256 T3 ES 2314256T3
Authority
ES
Spain
Prior art keywords
connection
communication
software application
control information
software
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES03770820T
Other languages
English (en)
Inventor
Michael G. Kirkup
Herbert A. Little
David P. Yach
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BlackBerry Ltd
Original Assignee
Research in Motion Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Research in Motion Ltd filed Critical Research in Motion Ltd
Application granted granted Critical
Publication of ES2314256T3 publication Critical patent/ES2314256T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/128Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S707/00Data processing: database and file management or data structures
    • Y10S707/99931Database or file accessing
    • Y10S707/99939Privileged access

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

Un método para operación sobre un dispositivo (22) de comunicaciones móviles para impedir canalizar datos privados desde una red (18) de ordenadores privada protegida a una entidad (14) externa a la red (18) de ordenadores privada protegida por vía del dispositivo (22) de comunicaciones móviles evitando abrir una conexión tanto con un ordenador dentro de la red (18) de ordenadores privada protegida como con la entidad externa (14) por una aplicación de software situada en el dispositivo (22) de comunicaciones móviles, comprendiendo el método los pasos de: recibir (70) una solicitud de primera conexión desde la aplicación de software para abrir una primera conexión (27) de comunicación con el ordenador dentro de la red (18) de ordenadores privada protegida; determinar (74) si la solicitud de primera conexión recibida satisface la información de control de conexión asociada con la aplicación de software; en el que la información de control de conexión es almacenada en el dispositivo (22) de comunicaciones móviles; después de determinar que la solicitud de primera conexión satisface la información de control de conexión asociada con la aplicación de software, autorizar (76) la apertura de una primera conexión (27) de comunicación que permite acceso a datos procedentes del ordenador dentro de la red (18) de ordenadores privada protegida para uso por la aplicación de software; recibir (70) una solicitud de segunda conexión desde la aplicación de software para abrir una segunda conexión (29) de comunicación con la entidad externa (14), determinando (74) si la solicitud recibida de segunda conexión satisface la información de control de conexión asociada con la aplicación de software; después de determinar que la solicitud de segunda conexión no satisface la información de control de conexión asociada con la aplicación de software, denegar (78) autorización para abrir una segunda conexión (29) de comunicación con la entidad externa (14) en respuesta a la solicitud recibida de segunda conexión; y crear o actualizar la información de control de conexión al recibir una solicitud inicial de primera conexión (27) o una solicitud de segunda conexión (29) desde la aplicación de software, y denegar autorización para abrir cualquier otro tipo de conexión (30).

Description

Sistema y método de control de conexión para dispositivos de comunicación móvil inalámbrica.
Campo técnico
Esta solicitud se refiere generalmente a dispositivos de comunicación móvil inalámbrica y, en particular, a proporcionar control de conexiones de comunicación para tales dispositivos.
Técnica antecedente
Muchos dispositivos de comunicación móvil inalámbrica ("dispositivos móviles") conocidas soportan tipos diferentes de conexiones e intercambio de datos de red de comunicación con sistemas de fuentes o destino de información diferentes. Por ejemplo, los teléfonos móviles modernos están habilitados frecuentemente tanto para comunicaciones de datos como de voz e intercambian típicamente tanto información pública como privada con equipo de comunicación remoto, incluyendo servidores Web en Internet y servidores de datos asociados con un jefe de usuario, por ejemplo.
Información privada, tal como datos obtenidos de un servidor de datos corporativo en una red privada, es protegida normalmente durante la transferencia a un dispositivo móvil por vía de conexiones protegidas (seguras), cifrado, firmas digitales o alguna combinación de ellas, extendiendo eficazmente de tal modo las medidas de seguridad de información implementadas en el servidor de datos corporativo al dispositivo móvil. Sin embargo, un propietario o fuente de la información privada puede desear impedir la transferencia de la información fuera del dispositivo móvil. En dispositivos móviles conocidos que también soportan comunicación con otras entidades externas al servidor de datos corporativo y a la red privada, es posible que una aplicación de software abra una conexión o "conducto" de comunicación tanto con el servidor de datos corporativo como con una entidad externa y después canalizar información privada desde el servidor de datos corporativo a la entidad externa. Tal ataque de "conducto dividido" podría ser montado potencialmente por una aplicación de software descargada por un usuario de dispositivo móvil o un virus, por ejemplo.
Por tanto, sigue existiendo una necesidad de un método de control de conexión para dispositivos móviles.
El documento de técnica anterior "Versión 2.0 de guía para usuarios de cortafuegos personal de Sygate", Sygate Technologies, 2.001, páginas 1 a 77, es una guía de usuario para un programa cortafuegos personal que está instalado en un ordenador personal conectado a una red. El programa cortafuegos asegura que el ordenador personal está protegido contra intentos de intrusión externos mientras que impide simultáneamente el acceso no autorizado desde el ordenador personal a la red. En el caso de que el ordenador contenga programas nocivos como un caballo de Troya, el programa cortafuegos comprueba que no sale información valiosa del ordenador. Se usa una lista de aplicaciones que incluye una lista de aplicaciones y servicios que intentaron acceder a la conexión de red. Cada aplicación o servicio es asignado a uno de tres estatus de acceso: Permitir, Preguntar o Bloquear. Una aplicación con un estatus de Permitir será autorizada a acceder a conexiones de red. Una aplicación con un estatus de Preguntar necesita el permiso del usuario cada vez que intenta acceder a conexiones de red. Una aplicación con un estatus de Bloquear será bloqueada con respecto a la red. Una aplicación bloqueada no puede enviar paquetes de datos de entrada al, o salida del,
ordenador.
Descripción de la invención
Un método para operación con un dispositivo de comunicaciones móviles para impedir canalizar datos privados desde una red de ordenadores corporativa a una entidad externa a la red de ordenadores corporativa protegida evitando abrir una conexión tanto con un ordenador dentro de la red de ordenadores corporativa protegida como con la entidad externa por una aplicación de software situada en el dispositivo de comunicaciones móviles, comprende una pluralidad de pasos. Una solicitud de primera conexión es recibida desde la aplicación de software para abrir una primera conexión de comunicación con el ordenador dentro de la red de ordenadores corporativa. Se determina si la solicitud de primera conexión recibida satisface la información de control de conexión asociada con la aplicación de software. La información de control de conexión es almacenada en el dispositivo de comunicaciones móviles. Después de determinar que la solicitud primera de conexión satisface la información de control de conexión asociada con la aplicación de software, es autorizada la apertura de una primera conexión de comunicación que permite acceso a datos procedentes de un ordenador dentro de una red de ordenadores corporativa protegida para uso por la aplicación de software. Es recibida una solicitud de segunda conexión desde la aplicación de software para abrir una segunda conexión de comunicación a la entidad externa. Se determina si la solicitud de segunda conexión recibida satisface la información de control de conexión asociada con la aplicación de software. Después de determinar que la solicitud de segunda conexión no satisface la información de control de conexión asociada con la aplicación de software, es denegada autorización para abrir una segunda conexión de comunicación a la entidad externa en respuesta a la solicitud de segunda conexión recibida. La información de control de conexión es creada o actualizada la primera vez que una conexión es abierta por la aplicación de software y es denegada autorización para abrir cualquier otro tipo de conexión.
Además, se proporciona un sistema en un dispositivo de comunicaciones móviles para impedir canalizar datos privados desde una red de ordenadores corporativa protegida a una entidad externa a la red de ordenadores corporativa protegida por vía del dispositivo de comunicaciones móviles evitando abrir una conexión tanto con un ordenador dentro de la red de ordenadores corporativa protegida como con la entidad externa por una aplicación de software situada en el dispositivo de comunicaciones móviles.
Pueden ser incluidos otros aspectos tal como determinar si la conexión solicitada es una primera conexión abierta por la aplicación de software y, si es así, actualizar la información de control de conexión para asociar la aplicación de software con la conexión solicitada.
Estos métodos no están limitados al orden de pasos o la separación de pasos descritos anteriormente, más bien, la agregación de pasos, o porciones de ellos, en un solo paso u otros pasos múltiples, o la reordenación de tales pasos o agregaciones originales son consideradas específicamente. Además, uno o más de los pasos descritos pueden ser almacenados como instrucciones ejecutables por ordenador dentro y/o sobre cualquier combinación adecuada de soportes legibles por ordenador. En lugar, o además, de instrucciones almacenadas, uno o más pasos, o porciones de ellos, pueden ser ejecutados por hardware para propósito especial diseñado para realizar tales pasos.
Características adicionales de sistemas y métodos de control de conexiones serán descritas o resultarán evidentes en el curso de la descripción detallada siguiente.
Descripción breve de los dibujos
La Figura 1 es un esquema de bloques que muestra un sistema de comunicación en el que pueden usarse dispositivos de comunicación móvil inalámbrica.
La Figura 2 es un esquema de bloques de un dispositivo de comunicación móvil inalámbrica en el que se implementa un sistema y método de control de conexiones.
La Figura 3 es un esquema de bloques que ilustra una realización adicional de un sistema de control de conexiones en un dispositivo de comunicación móvil inalámbrica.
La Figura 4 es un organigrama que muestra un método para control de conexiones para un dispositivo de comunicación móvil inalámbrica.
La Figura 5 es un esquema de bloques de un dispositivo de comunicación móvil inalámbrica ejemplar.
Modo óptimo de realizar la invención
La Figura 1 es un esquema de bloques que muestra un sistema de comunicación en el que pueden usarse dispositivos de comunicación móvil inalámbrica. El sistema 10 de comunicación incluye una red 12 de área extensa (WAN: Wide Area Network) acoplada a un sistema de ordenador, una pasarela 16 de red inalámbrica y una red 18 de área local (LAN: Local Area Network) corporativa. La pasarela 16 de red inalámbrica también está conectada a una red 20 de comunicación inalámbrica en la que un dispositivo móvil 22 está configurado para funcionar.
El sistema 14 de ordenador puede ser un ordenador personal (PC) de sobremesa o portátil que está configurado para comunicar con la red 12 de área extensa (WAN), Internet por ejemplo. Ordenadores personales (PCs), tal como el sistema 14 de ordenador, acceden normalmente a Internet a través de un proveedor de servicios de Internet (ISP: Internet Service Provider), un proveedor de servicios de aplicaciones (ASP: Application Service Provider), etc.
La red 18 de área local (LAN) corporativa es un ejemplo de un entorno típico de trabajo en el que ordenadores múltiples 28 están conectados en una red. Tal red está situada frecuentemente detrás de un cortafuegos 24 de seguridad. Dentro de la LAN 18 corporativa, un servidor 26 de datos, que funciona en un ordenador detrás del cortafuegos 24, actúa como la interfaz primaria para que la corporación intercambie datos tanto dentro de la LAN 18 como con otros sistemas y dispositivos externos por vía de la WAN 12. Por ejemplo, el servidor 26 de datos puede ser un servidor de mensajería tal como un servidor de intercambio Microsoft^{TM} o un servidor Lotus Domino^{TM}. Estos servidores también proporcionan funcionalidad adicional tal como almacenamiento dinámico de base de datos para datos de calendarios, listas de asuntos pendientes, listas de tareas, correo electrónico (e-mail) y documentación. Aunque solo se muestra un servidor 26 de datos en la LAN 18, los expertos en la técnica apreciarán que una LAN puede incluir más de un servidor, incluyendo otros tipos de servidores que soportan recursos que son compartidos entre los sistemas 28 de ordenadores conectados en red.
El servidor 26 de datos proporciona capacidades de comunicación de datos a los sistemas 28 de ordenadores conectados en red acoplados a la LAN 18. Una LAN 18 típica incluye múltiples sistemas 28 de ordenadores, cada uno de los cuales implementa un cliente apropiado para comunicaciones con el servidor 26 de datos. En el ejemplo anterior de mensajería electrónica, dentro de la LAN 18, mensajes son recibidos por el servidor 26 de datos, distribuidos a los buzones apropiados para cuentas de usuarios direccionadas en el mensaje recibido y después un usuario accede a ellos a través de un cliente de mensajería que opera en un sistema 28 de ordenador. El intercambio de tipos de datos distintos que los mensajes electrónicos es habilitado de modo similar usando clientes compatibles con el servidor 26 de datos. Clientes de usos múltiples tales como Notas Lotus, por ejemplo, manejan mensajes electrónicos así como otros tipos de archivos y datos.
La pasarela inalámbrica 16 proporciona una interfaz con una red inalámbrica 20, a través de la cual datos pueden ser intercambiados con un dispositivo móvil 22. Por ejemplo, el dispositivo móvil 22 puede ser un dispositivo de comunicación de datos, un dispositivo de comunicación en modo dual tal como muchos teléfonos celulares modernos que tienen funcionalidad de comunicaciones tanto de datos como de voz, un dispositivo de modo múltiple capaz de voz, datos y otros tipos de comunicaciones, un asistente digital personal (PDA: personal digital assistant) capacitado para comunicaciones inalámbricas o un sistema de ordenador portátil o de sobremesa con un módem inalámbrico. Un dispositivo móvil ejemplar es descrito con más detalle después.
Funciones tales como direccionamiento del dispositivo móvil 22, codificación o transformar de otro modo mensajes para transmisión inalámbrica, u otras funciones de interfaz necesarias, son realizadas por la pasarela 16 de red inalámbrica. La pasarela 16 de red inalámbrica puede ser configurada para funcionar con más de una red inalámbrica 20, en cuyo caso la pasarela inalámbrica 16 también determina una red más probablemente para localizar un dispositivo móvil 22 dado y rastrea posiblemente dispositivos móviles cuando usuarios se desplazan entre países o redes. Aunque en la Figura 1 solo se muestra una pasarela única 16 de red inalámbrica, el dispositivo móvil 22 podría estar configurado para comunicar con más de una pasarela, tales como una pasarela de red corporativa y una pasarela WAP (Wireless Application Protocol), por ejemplo.
Cualquier sistema de ordenador con acceso a la red 12 de área extensa (WAN) puede intercambiar potencialmente datos con el dispositivo móvil 22 a través de la pasarela 16 de red inalámbrica siempre que el dispositivo móvil esté habilitado para tales comunicaciones. Alternativamente, pasarelas de red inalámbrica privada, tales como encaminadores de Red Privada Virtual (VPN: Virtual Private Network) inalámbrica, también podrían ser implementadas para proporcionar una interfaz privada con una red inalámbrica. Por ejemplo, una Red Privada Virtual (VPN) inalámbrica implementada en la red 18 de área local (LAN) puede proporcionar una interfaz privada desde la LAN 18 a uno o más dispositivos móviles, tal como 22, a través de la red inalámbrica 20 sin necesitar la pasarela 16 de red inalámbrica. Tal interfaz privada con un dispositivo móvil 22 por vía de la pasarela 16 de red inalámbrica y/o la red inalámbrica 20 también puede ser ampliada eficazmente a entidades exteriores a la LAN 18 proporcionando un sistema de emisión o reexpedición de datos que funciona en conjunción con el servidor 26 de datos.
Una red inalámbrica 20 suministra normalmente datos hacia y desde dispositivos de comunicación tal como el dispositivo móvil 22 por vía de transmisiones de radiofrecuencia (RF) entre estaciones base y dispositivos. Por ejemplo, la red inalámbrica 20 puede ser una red inalámbrica centrada en datos, una red inalámbrica centrada en voz o una red en modo dual que puede soportar tanto comunicaciones de voz como de datos por la misma infraestructura. Redes desarrolladas recientemente incluyen redes de acceso múltiple por división de código (CDMA: Code Division Multiple Access), redes GSM (Groupe Special Mobile o Global System for Mobile Communications) y GPRS (General Packet Radio Service), y redes de tercera generación (3G) como EDGE (Enhanced Datos rates for Global Evolution) y UMTS (Universal Mobile Telecommunications Systems), que están actualmente en desarrollo. GPRS es una superposición de datos encima de la red inalámbrica GSM existente, que es usada funcionando en todos los países de Europa prácticamente. Algunos ejemplos más antiguos de redes centradas en datos incluyen, pero no están limitados a, la Red de Radio Mobitex^{TM} ("Mobitex") y la Red de Radio Data TAC^{TM} ("Data TAC"). Ejemplos de redes centradas en voz incluyen redes PCS (Personal Communication System) como GSM y sistemas de acceso múltiple por división de tiempo (TDMA: Time Division Multiple Access) que han estado disponibles en América del Norte y en todo el mundo durante varios años.
En el sistema 10, una empresa que posee la red 18 de área local (LAN) corporativa puede proporcionar tanto un sistema 28 de ordenador como un dispositivo móvil 22 a un empleado. Entonces, datos corporativos en la LAN 18 son accesibles para el usuario a través de al menos el sistema 28 de ordenador. Muchos propietarios de dispositivos móviles corporativos también proporcionan acceso a datos corporativos por vía de dispositivos móviles tales como 22. Aunque los dispositivos móviles proporcionados a usuarios empleados por propietarios empresarios pueden ser destinados principalmente a fines de negocios, otras funciones y servicios aceptados o permitidos de dispositivos móviles, tanto relacionados con negocios como personales, implican frecuentemente conexiones de red de comunicación con sistemas fuera de una red corporativa 18 o cortafuegos 24 de seguridad. Como se describió antes, conexiones protegidas (seguras), cifrado de datos y otras técnicas de comunicaciones protegidas (seguras) extienden eficazmente el cortafuegos 24 de seguridad al dispositivo móvil 22 cuando se está accediendo a datos corporativos usando el dispositivo móvil 22. Sin embargo, aplicaciones de software en el dispositivo móvil 22 pueden abrir potencialmente conexiones en ambos lados del cortafuegos 24, incluyendo una conexión 27 de vuelta al interior de la LAN 18 corporativa y una conexión 29 a una entidad externa, el sistema 14 de ordenador, fuera del cortafuegos 24. De esta manera, datos corporativos accesibles a través del servidor 26 de datos pueden ser canalizados desde la red corporativa 18 al sistema 14 de ordenador externo. En este caso, el sistema 14 de ordenador obtiene datos corporativos pero no está enlazado con la operación de acceso a datos por vía de un rastro de auditoría. El único rastro de auditoría asociado con tal operación de acceso de datos indicaría que se accedió a los datos corporativos por el dispositivo móvil 22 autorizado, no por el sistema 14 de ordenador.
Un propietario corporativo del dispositivo móvil 22 podría abordar este problema instalando cualesquiera aplicaciones admisibles de software en el dispositivo móvil 52 antes de que el dispositivo móvil 22 sea proporcionado a un usuario empleado, y configurando el dispositivo móvil 22 para impedir la instalación de cualesquiera aplicaciones de software adicionales. Aunque este esquema protege contra ataques de conducto dividido sobre datos corporativos, también necesita que el propietario corporativo realice actualizaciones de software de dispositivos móviles y la instalación de nuevas aplicaciones de software, por ejemplo, para todos los dispositivos móviles poseídos por el propietario corporativo, que podrían incluir cientos o miles de dispositivos móviles en una empresa grande. Por tanto, tal medida de seguridad puede ser eficaz pero crea el problema adicional de gestión de software de dispositivos móviles.
Sistemas y métodos como se proponen en esto también impiden ataques de conducto dividido mientras permiten que los usuarios gestionen software de dispositivos móviles.
La Figura 2 es un esquema de bloques de un dispositivo de comunicación móvil inalámbrica en el que es implementado un sistema y método de control de conexiones. Para los expertos en la técnica debería ser evidente que solo los componentes implicados en un sistema de control de conexiones son mostrados en la Figura 2. Un dispositivo móvil incluye típicamente más componentes, dependiendo del tipo y la funcionalidad del dispositivo móvil, que los mostrados en la Figura 2.
El dispositivo móvil 30 comprende una memoria 32, un controlador 40 de conexiones, un transceptor inalámbrico 48, una interfaz 46 de usuario (IU) y una interfaz o conector 50. La memoria 32 incluye un almacenamiento 34 de aplicaciones de software, un almacenamiento 36 de directrices de conexiones y un almacenamiento 38 de datos de aplicaciones. El almacenamiento 36 de directrices de conexiones está configurado o adaptado para permitir el control de conexiones para el dispositivo móvil 30. El almacenamiento 34 de aplicaciones de software y el almacenamiento 38 de datos de aplicaciones son ilustrativos de otros tipos de almacenamientos de información que pueden ser provistos en la memoria 32. Más almacenamiento de información, tales como una lista de contactos, un almacenamiento de mensajes, un sistema de archivos y un almacenamiento de claves, por ejemplo, también pueden ser provistos en la memoria 32.
La memoria 32 es, o al menos incluye, un almacenamiento grabable tal como una memoria de acceso aleatorio (RAM) en la que otros componentes del dispositivo pueden escribir datos. El almacenamiento 34 de aplicaciones de software incluye aplicaciones de software que han sido instaladas en el dispositivo móvil 30 y puede incluir, por ejemplo, una aplicación de software de mensajería electrónica, una aplicación de software de gestión de información personal (PIM: personal information management), juegos, así como otras aplicaciones de software. En el almacenamiento 36 de directrices de conexiones es almacenada información de control de conexiones que especifica que tipos de conexiones o "conductos" de comunicación es permitido que establezca cada aplicación de software. Los datos asociados con las aplicaciones de software instaladas en el dispositivo móvil 30 son almacenados en el almacenamiento 38 de datos de aplicaciones y pueden incluir por ejemplo, archivos de datos usados por una aplicación de software o información de configuración para una aplicación de software.
El transceptor inalámbrico 48 capacita al dispositivo móvil 30 para comunicaciones por una red inalámbrica. El dispositivo móvil 30 también es capacitado para comunicaciones con un ordenador personal equipado de modo similar u otro dispositivo, incluyendo otro dispositivo móvil, por vía de la interfaz/conector 50. En la Figura 2, el controlador 40 de conexiones está acoplado a la memoria 32, al transceptor inalámbrico 48, a la interfaz 46 de usuario (IU) y a la interfaz/conector 50. Como se describirá con más detalle después, el acceso al transceptor inalámbrico 48, y posiblemente a la interfaz/conector 50, es controlado por el controlador 40 de conexiones. El controlador 40 de conexiones puede ser implementado como un módulo de software o sistema operativo que es ejecutado por un procesador de dispositivo móvil (no mostrado). Por ejemplo, donde el dispositivo móvil 30 es un dispositivo habilitado para Java^{TM} que incluye una máquina virtual Java (JVM: Java Virtual Machine) como su sistema operativo, la funcionalidad del controlador 40 de conexiones puede ser incorporada dentro de la JVM o implementada como un componente de software que es ejecutado por la JVM. El control de conexiones en el nivel de sistema operativo proporciona control de conexiones más simplificado y fiable que el control implementado en un nivel de aplicación de software.
La interfaz 46 de usuario (IU) puede incluir componentes de interfaz de usuario tales como un teclado o teclado numérico, una pantalla (presentación visual) u otros componentes que pueden aceptar entradas desde, o proporcionar salidas a, un usuario del dispositivo móvil 30. Aunque mostrado como un solo bloque en la Figura 2, debería ser evidente que un dispositivo móvil 30 incluye típicamente más de una interfaz de usuario y, por tanto, la interfaz 46 de usuario (IU) pretende representar uno o más interfaces de usuario.
La interfaz/conector 50 permite transferencia de información entre el dispositivo móvil 30 y un ordenador personal u otro dispositivo por vía de un enlace de comunicación establecido entre la interfaz/conector 50 y una interfaz o conector compatible en el ordenador personal u otro dispositivo. La interfaz/conector 50 podría ser cualquiera de una pluralidad de componentes de transferencia de datos que incluyen, por ejemplo, una interfaz de transferencia óptica de datos tal como un puerto de Infrared Data Association (IrDA), alguna otra interfaz de comunicaciones inalámbricas de corto alcance o una interfaz alámbrica tal como puerto y conexión en serie, en paralelo, Personal Computer Memory Card International Association (PCMCIA), Peripheral Componente Interconnect (PCI) o Universal Serial Bus (USB). Las interfaces de comunicaciones inalámbricas de corto alcance conocidas incluyen, por ejemplo, módulos "Bluetooth" y módulos 802.11 según las especificaciones Bluetooth y 802.11, respectivamente. Para los expertos en la técnica será evidente que Bluetooth y 802.11 designan conjuntos de especificaciones, obtenibles del Institute of Electrical and Electronics Engineers (IEEE), relacionadas con redes de área local (LANs) inalámbricas y redes de área personal inalámbricas, respectivamente.
Como las comunicaciones entre el dispositivo móvil 30 y otros sistemas o dispositivos por vía de la interfaz/conector 50 no necesitan ser necesariamente por vía de una conexión física, las referencias a conectar un dispositivo móvil con un ordenador personal u otro dispositivo o sistema incluyen establecer comunicaciones a través de conexiones físicas o esquemas de transferencia inalámbrica. Así, el dispositivo móvil 30 podría ser conectado a un ordenador personal, por ejemplo, colocando el dispositivo móvil 30 en un soporte de dispositivo móvil conectado a un puerto en serie en el ordenador personal, situando el dispositivo móvil 30 tal que un puerto óptico suyo esté en una línea visual de un puerto similar del ordenador personal o conectando o disponiendo físicamente el dispositivo móvil 30 y el ordenador personal de alguna otra manera de modo que datos pueden ser intercambiados. Las operaciones particulares implicadas en establecer comunicaciones entre un dispositivo móvil y otro sistema o dispositivo dependerán de los tipos de interfaces y/o conectores disponibles tanto en el dispositivo móvil como en el otro sistema o dispositivo.
Como se describió antes, ataques de conducto dividido son posibles cuando tanto conexiones internas como externas, o sea, conexiones terminadas dentro y fuera de una red privada o cortafuegos de seguridad, pueden ser abiertas por una aplicación de software de dispositivo móvil. En el dispositivo móvil 30, conexiones pueden ser efectuadas por vía del transceptor inalámbrico 48 o la interfaz/conector 50. Dependiendo del tipo de dispositivo móvil y de los usos posibles de la interfaz/conector 50, ataques de conducto dividido pueden ser posibles usando conductos diferentes asociados con el transceptor inalámbrico 48. Donde información privada puede ser transferida al dispositivo móvil 30 por vía de la interfaz/conector 50 cuando el dispositivo móvil 30 es conectado a un sistema o dispositivo habilitado de modo similar, por ejemplo, la información privada podría ser canalizada a una entidad externa por una aplicación de software que abre conexiones por vía de la interfaz/conector 50 y el transceptor inalámbrico 48. En este caso, el controlador 40 de conexiones controla preferiblemente el acceso tanto al transceptor inalámbrico 48 como a la interfaz/conector 50. Sin embargo, se observa que un dispositivo móvil que implementa un sistema o método de control de conexiones de esta manera no necesita incorporar necesariamente tal interfaz/conector 50. El control de conexiones podría ser implementado para conexiones que usan el mismo medio de comunicación, tales como conductos múltiples establecidos a través del transceptor inalámbrico 48, o conexiones que usan medios de comunicación diferentes donde tales medios diferentes están disponibles.
Un conducto de comunicación es una conexión, o medios de comunicación, entre un dispositivo móvil y alguna entidad externa. Una capa de transporte física particular, tal como USB (Universal Serial Bus = bus en serie universal), Bluetooth, un puerto en serie, un puerto en paralelo, 801.11 y GPRS, puede representar varios conductos de comunicación lógicos dependiendo de la pasarela en el otro extremo. Por ejemplo, el transceptor inalámbrico 48 podría ser usado para comunicar tanto con una pasarela WAP (Wireless Application Protocol = protocolo de aplicación inalámbrica) como con una pasarela corporativa a través de una red de comunicación inalámbrica. En este caso, las conexiones con la pasarela WAP y la pasarela corporativa pueden ser establecidas a través del mismo transporte físico en la red inalámbrica, pero representan conductos de comunicación distintos.
Una aplicación de software puede ser asociada con una conexión o conducto de comunicación la primera vez que una conexión es abierta por la aplicación de software. Una entrada en el almacenamiento 36 de directrices de conexiones es creada o actualizada por el controlador 40 de conexiones para una aplicación de software cuando una conexión es abierta primero por la aplicación de software. Una vez que una aplicación de software es asociada con una conexión en el almacenamiento 36 de directrices de conexiones, la aplicación de software no puede establecer ningún otro tipo de conexión. El almacenamiento 36 de directrices de conexiones está preferiblemente en una posición protegida de memoria no accesible para aplicaciones de software en el dispositivo móvil 30. Esto asegura que una aplicación de software no puede abrir una conexión interna a una fuente de información privada, recuperar información privada desde la fuente ni borrar o cambiar entonces el almacenamiento 36 de directrices de conexiones para evitar el control de conexiones.
La información de control de conexiones para una aplicación de software puede ser creada en el almacenamiento 36 de directrices de conexiones antes o después de que la aplicación de software establezca primero una conexión. Una entrada de información de control de conexión que contiene información de control por defecto o nula, indicando que no hay restricción de tipo de conexión o que cualquier tipo disponible de conexión puede ser abierta, puede ser creada para una aplicación de software cuando la aplicación de software está instalada en el dispositivo móvil 30. El último tipo de entrada es mostrado en el almacenamiento 36 de directrices de conexiones para la aplicación C. Cuando la aplicación C de software intenta abrir una conexión por vía del conducto B, por ejemplo, el controlador 40 de conexiones consulta el almacenamiento 36 de directrices de conexiones, determina que la aplicación C de software puede abrir una conexión por el conducto A o el conducto B y la conexión es abierta. Entonces, el controlador de conexiones actualiza el almacenamiento 36 de directrices de conexiones para indicar que la aplicación C de software está
restringida al conducto B, y la entrada actualizada aparecería similar que la entrada mostrada para la aplicación B.
Alternativamente, una entrada de información de control de conexión para una aplicación de software podría ser creada después de que la aplicación de software abre una conexión por primera vez. En este ejemplo, cuando una aplicación de software intenta abrir una conexión, el controlador 40 de conexiones consulta el almacenamiento 36 de directrices de conexiones y determina que no existe entrada de información de control de conexión para la aplicación de software. Entonces, la conexión es abierta para la aplicación de software y el controlador 40 de conexiones crea una entrada de información de control de conexión en el almacenamiento 36 de directrices de conexiones para la aplicación de software, indicando que se permite que la aplicación de software abra solo el tipo de conexión que fue abierta primero por esa aplicación.
Cuando una aplicación de software intenta subsiguientemente abrir una conexión, el controlador 40 de conexiones accede al almacenamiento 36 de directrices de conexiones y determina el tipo de conexión que se permite que abra la aplicación de software. Si la conexión intentada no es del tipo permitido, entonces la conexión es denegada.
Como será evidente por lo anterior, las aplicaciones de software no pueden iniciar conexiones directamente. Cada solicitud por una aplicación de software para abrir una conexión es procesada por el controlador 40 de conexiones para determinar si la conexión es permitida para esa aplicación de software. Donde la conexión es permitida, el controlador de conexiones abre la conexión o dirige otros componentes del dispositivo móvil 30, tal como el transceptor inalámbrico 48, para abrir la conexión. Alternativamente, las aplicaciones de software solo pueden iniciar conexiones directamente después de recibir aprobación adecuada desde el controlador 40 de conexiones; al recibir la aprobación, las aplicaciones de software pueden efectuar entonces solicitudes directas para conexiones que incluyen un indicador de la aprobación anterior.
La Figura 3 es un esquema de bloques que ilustra una realización adicional de un sistema de control de conexiones en un dispositivo de comunicación móvil inalámbrica. El dispositivo móvil 31 en la Figura 3 incluye una memoria 33, un procesador 41, un cargador 42 de aplicaciones, un módulo 44 de inserción, una interfaz 46 de usuario (IU), un transceptor inalámbrico 48 y una interfaz/conector 50. La memoria 33 incluye un almacenamiento 34 de aplicaciones de software, un almacenamiento 36 de directrices de conexiones y un almacenamiento 37 de registros de autorizaciones, y también puede incluir más almacenamientos de datos asociados con otros sistemas del dispositivo además de los mostrados en la Figura 3.
El dispositivo móvil 31 es sustancialmente igual que el dispositivo móvil 30 mostrado en la Figura 2. El almacenamiento 34 de aplicaciones de software, el almacenamiento 36 de directrices de conexiones, la interfaz 46 de usuario (IU), el transceptor inalámbrico 48 y la interfaz/conector 50 han sido descritos anteriormente. La memoria 33 también es similar que la memoria 32 pero incluye el almacenamiento 37 de registros de autorizaciones que almacena registros que especifican permisos y restricciones de uso para el dispositivo móvil 31, las aplicaciones de software en el dispositivo móvil 31, o ambos. El control de conexiones para el dispositivo móvil 31 es proporcionado por el procesador 41 en conjunción tanto con el almacenamiento 36 de directrices de conexiones, sustancialmente como se describió antes, como con el almacenamiento de registros de autorizaciones, como se describe con más detalle después.
El procesador 41 está conectado al transceptor inalámbrico 48 y así habilita el dispositivo móvil 31 para comunicaciones por vía de una red inalámbrica. El cargador 42 de aplicaciones y el módulo 44 de inserción están conectados a la interfaz/conector 50 para permitir la comunicación con un ordenador personal habilitado de modo similar u otro dispositivo para cargar aplicaciones y registros de autorizaciones en el dispositivo móvil 31. Debería apreciarse que aplicaciones de software y registros de autorizaciones también podrían ser cargados a través del transceptor inalámbrico 48 y una red de comunicación inalámbrica. Sin embargo, las conexiones desde el transceptor inalámbrico 48 al cargador de aplicaciones y a la herramienta 44 de inserción no han sido mostradas en la Figura 3 para evitar congestión en el dibujo.
Los registros de autorizaciones proporcionan un nivel adicional de control de conexiones para un propietario del dispositivo móvil 31, tal como un jefe de un usuario de dispositivo móvil. Cuando el almacenamiento 36 de directrices de conexiones es provisto en un dispositivo móvil, como se muestra en la Figura 3, los registros de autorizaciones en el almacenamiento 37 de registros de autorizaciones pueden especificar, por ejemplo, los tipos de conexiones que pueden ser abiertas por el dispositivo móvil 31, qué conductos son restringidos para uso solo por las aplicaciones instaladas o proporcionada por el propietario o qué conductos pueden ser usados por otras aplicaciones de software. Aunque los registros de autorizaciones establecidos por un propietario pueden controlar funciones del dispositivo móvil 31 distintas que las conexiones de comunicación de datos, los registros relativos al control de conexiones son los más pertinentes para los sistemas y métodos descritos en esto.
Un propietario del dispositivo móvil 31 inserta preferiblemente registros de autorizaciones en el dispositivo móvil 31 usando el módulo 44 de inserción antes de que las funciones de comunicación del dispositivo móvil 31 puedan ser efectuadas por un usuario. Esto puede ser conseguido, por ejemplo, precargando registros de autorizaciones en el almacenamiento 37 de registros de autorizaciones desde un dispositivo de configuración tal como un ordenador personal antes de que el dispositivo móvil 31 sea proporcionado al usuario por el propietario o antes de que el dispositivo móvil 31 sea configurado para el uso. En el primer ejemplo, el propietario mantiene control físico del dispositivo móvil 31 hasta que los registros de autorizaciones han sido cargados mientras que en el último ejemplo el usuario tiene posesión del dispositivo móvil 31 pero es incapaz de utilizar el dispositivo hasta que esté configurado por, o al menos bajo control de, el propietario.
La precarga de registros de autorizaciones en el dispositivo móvil 31 es realizada usando el módulo 44 de inserción, la interfaz/conector 50 y un dispositivo de configuración habilitado de modo similar. Cuando el dispositivo móvil 31 ha sido conectado al dispositivo de configuración, los registros de autorizaciones son transferidos al dispositivo móvil 31 a través de la interfaz/conector 50 y son pasados al módulo 44 de inserción en el dispositivo móvil 31, que almacena los registros de autorizaciones en el almacenamiento 37 de registros de autorizaciones en la memoria 33.
Aunque el módulo 44 de inserción es mostrado en la Figura 3 como estando conectado a la interfaz/conector 50, este módulo podría ser implementado como un módulo o una aplicación de software que es ejecutada por el procesador 41. Como tal, las transferencias de datos hacia y desde la interfaz/conector 50 pueden ser efectuadas encaminando datos a través del procesador 41. En este caso, el procesador 41 puede ser instruido por el dispositivo de configuración para iniciar el módulo 44 de inserción antes de que los registros de autorizaciones sean transferidos al dispositivo móvil 31. Alternativamente, el procesador 41 puede ser configurado para iniciar el módulo 44 de inserción siempre que registros de autorizaciones son recibidos o se detecta la conexión del dispositivo móvil 31 con un dispositivo de configuración.
Como se muestra en la Figura 3, otros sistemas en el dispositivo móvil 31 tienen acceso a la memoria 33. Sin embargo, ningún sistema del dispositivo distinto que el módulo 44 de inserción debería ser capaz de insertar, cambiar o borrar información almacenada en el almacenamiento 37 de registros de autorizaciones. Por tanto, el almacenamiento 37 de registros de autorizaciones, como el almacenamiento 36 de directrices de conexiones descrito anteriormente, está situado preferiblemente en un área protegida de memoria que no es accesible para otros sistemas o aplicaciones de software del dispositivo. Solo el módulo 44 de inserción tiene acceso de escritura y borradura al almacenamiento 37 de registros de autorizaciones. Otros sistemas del dispositivo tienen acceso de solo lectura a los registros de autorizaciones.
El control de acceso al almacenamiento 37 de registros de autorizaciones podría ser impuesto, por ejemplo, usando técnicas de firma digital. Precargar una clave de firma pública, correspondiente a una clave de firma privada del propietario del dispositivo móvil, en el dispositivo móvil 31 habilita el control basado en firma digital de inserción y borradura de registros de autorizaciones. Cuando la clave de firma pública de propietario ha sido insertada en el dispositivo móvil 31, a través de la interfaz/conector 50 o el transceptor inalámbrico 48, y almacenada en un almacenamiento de claves (no mostrado) en el dispositivo móvil 31, el módulo 44 de inserción puede verificar una firma digital en cualesquier registros de autorizaciones insertados subsiguientemente u órdenes de escritura o borradura en memoria antes de que los registros de autorizaciones sean almacenados en el almacenamiento 37 de registros de autorizaciones o las órdenes sean ejecutadas. Si la verificación de firma digital falla, entonces los registros de autorizaciones no son almacenados en el dispositivo móvil 31 y las órdenes no son ejecutadas. El control de acceso basado en firma digital también permite la distribución de registros de autorizaciones por conexiones no protegidas (inseguras). Normalmente puede confiarse en una conexión a través de la interfaz/conector 50, tal como a través de una conexión en serie con un ordenador personal de oficina de usuario, puesto que se confía en la fuente de información y la conexión es protegida (segura); sin embargo, tal conexión puede ser protegida como se trata en esto. Usando firmas digitales y verificación, un dispositivo móvil 31 puede verificar la integridad y el origen de registros de autorizaciones recibidos por otras conexiones, incluyen dos conductos de comunicación inalámbrica.
En una realización, cualesquier sistemas o componentes a través de los que la memoria 33 es accesible están configurados para permitir operaciones de lectura de memoria desde cualquiera posiciones en la memoria 33, pero deniegan cualesquiera operaciones de escritura o borradura en el almacenamiento 37 de registros de autorizaciones a no ser que las operaciones se originen con, o estén autorizadas por, el módulo 44 de inserción. En una implementación alternativa, un gestor de memoria (no mostrado) es provisto para gestionar todas las operaciones de acceso a memoria. Tal gestor de memoria está configurado para dirigir cualesquiera operaciones de escritura o borradura que implican el almacenamiento de registros de autorizaciones al módulo 44 de inserción para verificación de firma digital antes de completar las operaciones.
Las operaciones de carga de aplicaciones de software son habilitadas en el dispositivo móvil 31 por el cargador 42 de aplicaciones. Como se describió antes con respecto al módulo 44 de inserción, aunque el cargador 42 de aplicaciones es mostrado como estando conectado a la interfaz/conector 50, información puede ser intercambiada realmente entre el cargador 42 de aplicaciones y la interfaz/conector 50, o el transceptor inalámbrico 48, a través del procesador 41.
Las aplicaciones de software pueden ser recibidas por el dispositivo móvil 31 por vía de la interfaz/conector 50 o el transceptor inalámbrico 48. Una fuente posible de aplicaciones de software configuradas para operación en el dispositivo móvil 31 es un sistema de ordenador de usuario equipado con una interfaz/conector compatible con la interfaz/conector 50. Cuando el sistema de ordenador es conectado a una red de área local (LAN) corporativa, por ejemplo, las aplicaciones de software provistas por un propietario corporativo del dispositivo móvil 31 pueden ser recuperadas desde un servidor de archivos en la LAN u otro almacenamiento en la LAN y transferidas al dispositivo móvil 31. Un sistema de ordenador o dispositivo móvil 31 también puede obtener aplicaciones de software desde otras fuentes, tales como fuentes basadas en Internet, con las que comunica el sistema de ordenador o el dispositivo móvil 31.
El cargador 42 de aplicaciones está configurado para instalar aplicaciones de software en el dispositivo móvil 31 pero también puede realizar operaciones tales como comprobar una firma digital en una aplicación de software recibida o determinar si una aplicación de software recibida es aprobada para instalación en el dispositivo móvil 31 antes de que sea instalada una aplicación de software. La instalación de aplicación de software implica típicamente operaciones tales como almacenar un archivo de aplicación recibido en el almacenamiento 34 de aplicaciones de software en la memoria 33, extraer archivos para almacenamiento en el almacenamiento 34 de aplicaciones de software o ejecutar posiblemente un programa o utilidad de instalación.
En la realización mostrada en la Figura 3, como antes, una aplicación de software es asociada con una conexión o conducto de comunicación la primera vez que una conexión es abierta por la aplicación de software creando o actualizando una entrada en el almacenamiento 36 de directrices de conexiones. El controlador 40 de conexiones de la Figura 2 es materializado en el procesador 41 en el dispositivo móvil 31. El procesador 41 ejecuta software de control de conexiones, en un nivel de aplicación o un nivel de sistema operativo, para impedir ataques de conducto dividido como se describió antes sustancialmente. Cuando una solicitud desde una aplicación de software para abrir una conexión es recibida por el procesador 41, se accede al almacenamiento 36 de directrices de conexiones para determinar si la conexión solicitada es permitida para esa aplicación de software. Donde la conexión solicitada no es permitida, la conexión es denegada.
Como una medida adicional de control de conexión, cuando la información de control de conexión en el almacenamiento 36 de directrices de conexiones permite la conexión solicitada, el procesador 41 también accede al almacenamiento 37 de registros de autorizaciones para determinar si la conexión es permitida. Los registros de autorizaciones pueden especificar más restricciones de conexiones, para permitir o denegar conexiones o tipos de conexiones particulares, por ejemplo, para todas las aplicaciones de software o para ciertas aplicaciones de software. En esta realización, aunque una aplicación de software puede estar asociada con una o más conexiones en el almacenamiento 36 de directrices de conexiones, el procesador 41 deniega la conexión solicitada donde un registro de autorización especifica que la conexión solicitada no es autorizada. Por ejemplo, esta situación puede aparecer donde registros de autorizaciones son insertados en el dispositivo móvil 31 después de que una aplicación de software ha abierto primero una
conexión.
Donde una conexión solicitada es permitida tanto por la información de control de conexión en el almacenamiento 36 de directrices de conexiones para la aplicación de software como por los registros de autorizaciones en el almacenamiento 37 de registros de autorizaciones para la conexión y/o la aplicación de software, la conexión es abierta por el procesador 41. En caso contrario, la conexión es denegada.
Los expertos en la técnica apreciarán que podría accederse alternativamente en orden inverso al almacenamiento 36 de directrices de conexiones y al almacenamiento 37 de registros de autorizaciones.
La Figura 4 es un organigrama que muestra un método para control de conexiones para un dispositivo de comunicación móvil inalámbrica. El método empieza en el paso 70 donde una solicitud para realizar una operación, en este caso abrir una conexión, es recibida desde una aplicación de software. En el paso 72, el controlador 40 de conexiones (Figura 2) o el procesador 41 (Figura 3) determina el recurso de comunicación al que se refiere la solicitud. Para un esquema de control de conexión, el recurso de comunicación es una conexión o conducto.
Entonces en el paso 74 se determina si la operación de conexión solicitada es permitida. Esta determinación implica acceder a un almacenamiento de directrices de conexiones, y posiblemente a un almacenamiento de registros de autorizaciones, para determinar si la conexión solicitada es permitida para la aplicación de software desde la que la solicitud fue recibida. La operación es completada abriendo o autorizando la conexión solicitada en el paso 76 donde la conexión solicitada es permitida. Si la conexión solicitada es la primera conexión abierta por la aplicación de software, entonces el paso 76 implica la operación adicional de crear o actualizar la información de control de conexión en el almacenamiento de directrices de conexiones.
La conexión solicitada es denegada en el paso 78 donde no es permitida. Una conexión solicitad podría ser denegada basada en información de control de conexión o registros de autorizaciones. El procesamiento de error, tal como solicitar una conexión diferente, puede ser realizado entonces por la aplicación de software solicitante en el paso 80.
La Figura 5 es un esquema de bloques de un dispositivo de comunicación móvil inalámbrica ejemplar. El dispositivo móvil en la Figura 5 es representativo de un tipo de dispositivo móvil en el que podrían ser implementados sistemas y métodos de control de conexiones descritos en esto.
El dispositivo móvil 500 es preferiblemente un dispositivo de comunicación bidireccional habilitado para al menos comunicaciones de voz y datos, con la capacidad adicional para comunicar con otros sistemas de ordenadores en Internet. Dependiendo de la funcionalidad provista por el dispositivo móvil, el dispositivo móvil puede ser mencionado como un dispositivo de mensajería de datos, un buscapersonas bidireccional, un teléfono celular con capacidades de mensajería de datos, un aparato de Internet inalámbrico o un dispositivo de comunicación de datos (con o sin capacidades de telefonía). Como se mencionó antes, tales dispositivos son mencionados generalmente en esto simplemente como dispositivos móviles.
El dispositivo móvil 500 incluye un transceptor 511, un microprocesador 538, una pantalla 522, una memoria no volátil 524, una memoria de acceso aleatorio (RAM) 526, dispositivo 528 de entrada/salida (E/S) auxiliar, un puerto 530 en serie, un teclado 532, un altavoz 534, un micrófono 536, un subsistema 540 de comunicaciones inalámbricas de corto alcance y también puede incluir otros subsistemas 542 del dispositivo. El transceptor 511 incluye preferiblemente antenas de transmisión y recepción 518, 516, un receptor (Rx) 512, un transmisor (Tx) 514, uno o más osciladores locales (OLs) 513 y un procesador 520 de señales digitales (PSD). Dentro de la memoria no volátil 524, el dispositivo móvil 500 incluye una pluralidad de módulos de software 524A-524N que pueden ser ejecutados por el microprocesador 538 (y/o el procesador 520 de señales digitales), incluyendo un módulo 524A de comunicación de voz, un módulo 524B de comunicación de datos y una pluralidad de otros módulos operacionales 524N para llevar a cabo una pluralidad de otras funciones.
El dispositivo móvil 500 es preferiblemente un dispositivo de comunicación bidireccional que tiene capacidades de comunicación de voz y datos. Así, por ejemplo, el dispositivo móvil 500 puede comunicar por una red de voz, tal como cualquiera de las redes celulares analógicas o digitales, y también puede comunicar por una red de datos. Las redes de voz y datos son representadas en la Figura 5 por la torre 519 de comunicación. Estas redes de voz y de datos pueden ser redes de comunicación distintas que usan infraestructuras distintas, tales como estaciones base, controladores de red, etc., o pueden estar integradas en una sola red inalámbrica. Por tanto, las referencias a la red 519 deberían ser interpretadas como abarcando tanto una red única de voz y datos como redes distintas.
El subsistema 511 de comunicación es usado para comunicar con la red 519. El procesador 520 de señales digitales (PSD) es usado para emitir y recibir señales de comunicación desde y hacia el transmisor 514 y el receptor 512, y también intercambiar información de control con el transmisor 514 y el receptor 512. Si las comunicaciones de voz y de datos ocurren en una frecuencia única, o conjunto de frecuencias muy juntas, entonces un solo oscilador local 513 puede ser usado en conjunción con el transmisor 514 y el receptor 512. Alternativamente, si frecuencias diferentes son utilizadas para comunicaciones de voz respecto a comunicaciones de datos o el dispositivo móvil 500 está capacitado para comunicaciones en más de una red 519, entonces una pluralidad de osciladores locales (OLs) 513 pueden ser usados para generar las frecuencias correspondientes a las usadas en la red 519. Aunque dos antenas 516 y 518 son representadas en la Figura 5, el dispositivo móvil 500 podría ser usado con una sola estructura de antena. La información, que incluye tanto información de voz como de datos, es comunicada hacia y desde el módulo 511 de comunicación por vía de un enlace entre el procesador de señales digitales (PSD) 520 y el microprocesador 538.
El diseño detallado del subsistema 511 de comunicación, tal como la banda de frecuencias, la selección de componentes, el nivel de potencia, etc., depende de la red 519 de comunicación en la que el dispositivo móvil 500 está destinado a funcionar. Por ejemplo, un dispositivo móvil 500 destinado a funcionar en un mercado norteamericano puede incluir un subsistema 511 de comunicación diseñado para funcionar con las redes de comunicación móvil de datos Mobitex o DataTAC y también diseñado para funcionar con cualquiera de diversas redes de comunicación de voz tales como AMPS (Advanced Mobile Phone Service), TDMA (Time División Multiple Access), CDMA (Code Division Multiple Access), PCS (Personal Cummunication Systems), etc, mientras que un dispositivo móvil 500 destinado para uso en Europa puede estar configurado para funcionar con la red de comunicación de datos GPRS (General Packet Radio Service) y la red de comunicación de voz GSM (Global System for Mobile Communications). Otros tipos de redes de datos y de voz, tanto separadas como integradas, también pueden ser utilizadas con el dispositivo móvil 500.
Las exigencias de acceso a red de comunicación para el dispositivo móvil 500 también varían dependiendo del tipo de red 519. Por ejemplo, en las redes de datos Mobitex y DataTAC, los dispositivos móviles son registrados en la red usando un número único de identificación asociado con cada dispositivo. Sin embargo, en las rede de datos GPRS, el acceso a red está asociado con un abonado o usuario del dispositivo móvil 500. Un dispositivo GPRS necesita típicamente un módulo de identidad de abonado (SIM: subscriber identity module) que es necesario para hacer funcionar el dispositivo móvil 500 en una red GPRS. Las funciones de comunicación locales o no de red (si las hay) pueden ser efectuadas sin el SIM pero el dispositivo móvil 500 es incapaz de llevar a cabo funciones que implican comunicaciones por la red 519 distintas que las operaciones requeridas legalmente, tal como la llamada de emergencia "911".
Después de que cualquier registro de red o procedimientos de activación necesarios han sido completados, el dispositivo móvil 500 es capaz de enviar y recibir señales de comunicación, incluyendo preferiblemente tanto señales de voz como de datos, por la red 519. Las señales recibidas por la antena 516 desde la red 519 de comunicación son encaminadas al receptor 512 que provee amplificación de señal, reducción de frecuencias, filtración, selección de canal, etc., y también puede proporcionar conversión analógica/digital. La conversión analógica/digital de la señal recibida permite funciones de comunicación más complejas, tales como desmodulación y descodificación digitales, a ser realizadas usando el procesador 520 de señales digitales (PSD). De una manera similar, las señales a ser transmitidas a la red 519 son procesadas, incluyendo modulación y codificación, por ejemplo, por el procesador 520 de señales digitales (PSD) y después son suministradas al transmisor 514 para conversión digital/analógica, aumento de frecuencias, filtración, amplificación y transmisión a la red 519 de comunicación por vía de la antena 518. Aunque un solo transceptor 511 es mostrado tanto para comunicaciones de voz como de datos, en realizaciones alternativas el dispositivo móvil 500 puede incluir transceptores distintos múltiples tales como un primer transceptor para transmitir y recibir señales de voz y un segundo transceptor para transmitir y recibir señales de voz y un segundo transceptor para transmitir y recibir señales de datos, o un primer transceptor configurado para funcionar dentro de una primera banda de frecuencias y un segundo transceptor configurado para funcionar dentro de una segunda banda de frecuencias.
Además de procesar las señales de comunicación, el PSD 520 también provee control de receptor y transmisor. Por ejemplo, los niveles de ganancia aplicados a señales de comunicación en el receptor 512 y el transmisor 514 pueden ser controlados adaptablemente mediante algoritmos de control automático de ganancia implementados en el PSD 520. Otros algoritmos de control de transceptor también podrían ser implementados en el PSD 520 para proporcionar control más sofisticado del transceptor 511.
El microprocesador 538 gestiona y controla preferiblemente el funcionamiento global del dispositivo móvil 500. Muchos tipos de microprocesadores o microcontroladores podrían ser usados aquí o, alternativamente, un solo PSD 520 podría ser usado para llevar a cabo las funciones del microprocesador 538. Funciones de comunicación de nivel bajo, incluyendo al menos comunicaciones de datos y de voz, son realizadas mediante el PSD 520 en el transceptor 511. Aplicaciones de comunicación de nivel alto, incluyendo la aplicación 524A de comunicación de voz y la aplicación 524B de comunicación de datos, son almacenadas en la memoria no volátil 524 para ejecución por el microprocesador 538. Por ejemplo, el módulo 524A de comunicación de voz puede proporcionar una interfaz de usuario de nivel alto capaz de funcionar para transmitir y recibir llamadas vocales entre el dispositivo móvil 500 y una pluralidad de otros dispositivos de voz por vía de la red 519. De modo similar, el módulo 524B de comunicación de datos puede proporcionar una interfaz de usuario de nivel alto capaz de funcionar para emitir y recibir datos, tales como mensajes de correo electrónico (e-mail), archivos, información organizadora, mensajes de texto corto, etc., entre el dispositivo móvil 500 y una pluralidad de otros dispositivos de datos por vía de la red 519.
El microprocesador 538 también interacciona con otros subsistemas del dispositivo tales como la pantalla 522, la memoria RAM 526, los dispositivos 528 de entrada/salida (E/S) auxiliar, el puerto 530 en serie, el teclado 532, el altavoz 534, el micrófono 536, un subsistema 540 de comunicaciones de corto alcance y cualesquier otros subsistemas del dispositivo designados generalmente como 542. Por ejemplo, los módulos 524A-N son ejecutados por el microprocesador 538 y pueden proporcionar una interfaz de nivel alto entre un usuario del dispositivo móvil y el dispositivo móvil. Esta interfaz incluye típicamente un componente gráfico proporcionado mediante la pantalla 522 y un componente de entrada/salida proporcionado mediante los dispositivos 528 de entrada/salida (E/S) auxiliar, el teclado 538, el altavoz 534 o el micrófono 536. Tales interfaces son designadas generalmente como interfaz 46 de usuario (IU) en la Figura 3.
Algunos de los subsistemas mostrados en la Figura 5 realizan funciones relativas a la comunicación, mientras que otros subsistemas pueden proporcionar funciones "residentes" o en el dispositivo. Notablemente, algunos subsistemas, tales como el teclado 532 y la pantalla 522, pueden ser usados tanto para funciones relativas a la comunicación, tal como introducir un mensaje de texto para transmisión por una red de comunicación de datos, como para funciones residentes en el dispositivo tal como una calculadora o lista de tareas u otras funciones de tipo asistente digital personal.
El software de sistema operativo usado por el microprocesador 538 es almacenado preferiblemente en un almacenamiento persistente tal como la memoria no volátil 524. Además del sistema operativo y los módulos 524A-N de comunicación, la memoria no volátil 524 puede incluir un sistema de archivo para almacenar datos. La memoria no volátil 524 también puede incluir almacenamiento de datos para información de control de conexiones y posiblemente registros de autorizaciones. El sistema operativo, las aplicaciones o módulos específicos del dispositivo, o partes de ellos, pueden ser cargados temporalmente en un almacenamiento volátil, tal como la memoria RAM 526, para funcionamiento más rápido. Además, las señales de comunicación recibidas también pueden ser almacenadas temporalmente en la memoria RAM 526 antes de escribirlas permanentemente en un sistema de archivo situado en la memoria no volátil 524. La memoria no volátil 524 puede ser implementada, por ejemplo, con memoria flash, memoria RAM no volátil o memoria RAM con reserva de batería.
Un módulo 524N de aplicación ejemplar que puede ser cargado en el dispositivo móvil 500 es una aplicación de gestión de información personal (PIM: personal information management) que proporciona funcionalidad de asistente digital personal, tal como acontecimientos de calendario, compromisos y elementos de tarea. Este módulo 524N también puede interaccionar con el módulo 524A de comunicación de voz para gestionar llamadas telefónicas, correos de voz, etc., y también puede interaccionar con el módulo 524B de comunicación de datos para gestionar comunicaciones de correo electrónico (e-mail) y otras transmisiones de datos. Alternativamente, toda la funcionalidad del módulo 524A de comunicación de voz y del módulo 524B de comunicación de datos puede ser integrada en el módulo de gestión de información personal (PIM).
La memoria no volátil 524 proporciona preferiblemente un sistema de archivo para facilitar el almacenamiento de elementos de datos de PIM en el dispositivo. La aplicación PIM incluye preferiblemente la capacidad de emitir y recibir elementos de datos, por sí misma o en conjunción con los módulos 524A, 524B de comunicación de voz y de datos, por vía de la red inalámbrica 519. Los elementos de datos de PIM son integrados sin interrupción preferiblemente, sincronizados y actualizados, por vía de la red inalámbrica 519, con un conjunto correspondiente de elementos de datos almacenados o asociados con un sistema de ordenador principal, creando de tal modo un sistema reflejado para elementos de datos asociados con un usuario particular.
El dispositivo móvil 500 es sincronizado manualmente con un sistema principal situando el dispositivo móvil 500 en un soporte de interfaz que acopla el puerto 530 en serie del dispositivo móvil 500 con un puerto en serie del sistema principal. El puerto 530 en serie también puede ser usado para insertar registros de autorizaciones en el dispositivo móvil 500 y para descargar otros módulos 524N de aplicaciones para instalación en el dispositivo móvil 500. Este trayecto alámbrico de descarga puede ser usado además para cargar una clave de cifrado (criptográfica) en el dispositivo móvil 500 para uso en comunicaciones protegidas (seguras), que es un método más seguro que intercambiar información de cifrado por la red inalámbrica 519.
Registros de autorizaciones y módulos 524 de aplicaciones adicionales pueden ser cargados en el dispositivo móvil 500 a través de la red 519, a través de un subsistema 528 de entrada/salida (E/S) auxiliar, a través del subsistema 540 de comunicaciones de corto alcance o a través de cualquier otro subsistema adecuado 542, y ser instalados por un usuario en la memoria no volátil 524 o memoria RAM 526. Tal flexibilidad en la instalación de aplicaciones aumenta la funcionalidad del dispositivo móvil 500 y puede proporcionar funciones realzadas en el dispositivo, funciones relacionadas con la comunicación o ambas. Por ejemplo, aplicaciones de comunicación protegida pueden permitir que funciones de comercio electrónico y otras transacciones financieras tales sean realizadas usando el dispositivo móvil 500.
Cuando el dispositivo móvil 500 está funcionando en un modo de comunicación de datos, una señal recibida, tal como un mensaje de texto o una descarga de página Web, será procesada por el transceptor 511 y suministrada al microprocesador 538 que procesa además preferiblemente la señal recibida para salida a la pantalla 522 o, alternativamente, a un dispositivo 528 de entrada/salida (E/S) auxiliar. Un usuario del dispositivo móvil 500 también puede componer elementos de datos, tales como mensajes de correo electrónico (e-mail), usando el teclado 532 que es preferiblemente un teclado alfanumérico completo dispuesto en el estilo QWERTY aunque también pueden ser usados otros estilos de teclados alfanuméricos completos tal como el estilo DVORAK conocido. La entrada de usuario al dispositivo móvil 500 es realzada más con la pluralidad de dispositivos 528 de entrada/salida (E/S) auxiliar que pueden incluir un dispositivo de entrada de ruedecilla de mando por pulgar, una tablilla táctil, diversos conmutadores, un conmutador basculante de entrada, etc. Los elementos de datos compuestos introducidos por el usuario son transmitidos después por la red 519 de comunicación por vía del transceptor 511, siempre que una conexión sea permitida.
Cuando el dispositivo móvil 500 está funcionando en un modo de comunicación de voz, el funcionamiento global del dispositivo móvil 500 es sustancialmente similar que en el modo de datos excepto en que las señales recibidas son extraídas al altavoz 534 y las señales de voz para transmisión son generadas por un micrófono 536. Además, las técnicas de mensajería protegida antes descritas podrían no ser aplicadas necesariamente a las comunicaciones de voz. Dispositivos alternativos de entrada/salida de voz o audio, tal como un subsistema de grabación de mensajes de voz, también pueden ser implementados en el dispositivo móvil 500. Aunque la salida de señal de voz o audio es efectuada a través del altavoz 534, la pantalla 522 también puede ser usada para proporcionar una indicación de la identidad de un corresponsal que llama, la duración de una llamada vocal u otra información relacionada con la llamada vocal. Por ejemplo, el microprocesador 538, en conjunción con el módulo 524A de comunicación de voz y el software de sistema operativo, puede detectar la información de identificación de la persona que llama de una llamada vocal entrante y exhibirla en la pantalla 522.
Un subsistema 540 de comunicaciones de corto alcance también está incluido en el dispositivo móvil 500. Por ejemplo, el subsistema 540 puede incluir un dispositivo de radiación infrarroja y circuitos y componentes asociados, o un módulo de comunicación inalámbrica de corto alcance Bluetooth o 802.11 para proveer comunicación con sistemas y dispositivos habilitados de modo similar. Así, la inserción de registros de autorizaciones y las operaciones de carga de aplicaciones como se describieron anteriormente pueden ser habilitadas en el dispositivo móvil 500 por vía del puerto 530 en serie u otro subsistema 540 de comunicaciones de corto alcance.
Se apreciará que la descripción anterior se refiere a realizaciones preferidas a modo de ejemplo solamente. Muchas variaciones en los sistemas y métodos descritos anteriormente serán evidentes para los eruditos en el campo, y tales variaciones evidentes están dentro del alcance de la solicitud como se describe y reivindica, sean descritas expresamente o no.
Por ejemplo, aunque cada entrada en el almacenamiento 36 de directrices de conexiones en la Figura 2 asocia una aplicación de software particular con un conducto de comunicación correspondiente, la información de control de conexiones puede tener otros formatos. En cambio, la información de control de conexiones puede asociar grupos de aplicaciones de software con un conducto. Aplicaciones de software provistas por la misma fuente podrían ser asociadas con el mismo conducto o conductos, por ejemplo. De modo similar, la información de control de conexiones puede asociar una o más aplicaciones de software con un grupo de conductos, tal como todas las conexiones internas, todas las conexiones externas o todas las conexiones WAP (Wireless Application Protocol = Protocolo de Aplicación inalámbrica), por ejemplo. Otros tipos de agrupamientos de conexiones podrían ser definidos por un propietario de dispositivo móvil o posiblemente por un usuario donde el usuario tiene la confianza del propietario. La información de control de conexiones para grupos de conexiones puede incluir un identificador para cada conexión permitida en el grupo, o un identificador de grupo de conexiones que identifica las conexiones en el grupo.
También se considera que ciertas aplicaciones de software de confianza podrían ser permitidas para abrir tanto conexiones internas como externas en un dispositivo móvil. Una aplicación de software provista por un propietario del dispositivo móvil, por ejemplo, es generalmente de confianza para el propietario y podrían ser permitidas tanto conexiones internas como externas. Esto pude ser efectuado en un almacenamiento de directrices de conexiones con una entrada de la forma mostrada en la Figura 2 para aplicación C, por ejemplo, o un almacenamiento de registros de autorizaciones donde se usan registros de autorizaciones. Podría permitirse que todas las aplicaciones de software provistas por un propietario de dispositivo móvil o fuentes de confianza del propietario, o solo las aplicaciones de software identificadas en una lista de aplicaciones de confianza almacenada en el dispositivo móvil, abran ambos tipos de conexiones.
La información de control de conexiones y los registros de autorizaciones no precisan ser permisivos necesariamente. También o en cambio, aplicaciones de software pueden estar asociadas con conexiones que la aplicación de software no esté autorizada a usar. Entonces, son denegados cualesquier intentos por una aplicación de software de abrir una conexión prohibida identificada en la información de control de conexiones o un registro de autorización.
Donde el propietario del dispositivo móvil confía en un usuario de dispositivo móvil, el usuario puede ser incitado a elegir si una conexión solicitada debería ser permitida para una aplicación de software. Cuando una conexión es denegada, un mensaje podría ser exhibido al usuario, indicando el tipo de conexión solicitada y la aplicación de soltare que solicita la conexión. Entonces, el usuario tiene autoridad final sobre la denegación de conexión.
La Figura 5 representa un ejemplo específico de un dispositivo móvil en el que pueden ser implementados sistemas y métodos de control de conexiones descritos anteriormente. La implementación de tales sistemas y métodos en otros dispositivos móviles que tienen más, menos o componentes diferentes que los mostrados en la Figura 5 sería evidente para un experto en la técnica a la que pertenece esta solicitud. Por ejemplo, aunque una tarjeta SIM (subscriber identity module = módulo de identidad de abonado) no ha sido mostrada explícitamente en la Figura 5, debería apreciarse que es considerada la implementación de sistemas y métodos de control de conexiones en dispositivos electrónicos con tarjetas SIM. Como las tarjetas SIM incluyen actualmente un componente de memoria, información de control de conexiones, registros de autorizaciones, o ambos, pueden ser insertados en una tarjeta SIM cuando, o antes de que, la tarjeta SIM sea provista a un usuario.
La descripción anterior se concentra en una descripción detallada de un dispositivo de comunicación móvil como el entorno para control de conexiones. Sin embargo, los principios y las implementaciones tratados en esto pueden ser usados fácilmente en cualquier dispositivo comunicante remoto. Por ejemplo, el dispositivo comunicante remoto que implementa el control de conexiones podría ser cualquier dispositivo alámbrico o inalámbrico que incluye, sin limitación, un asistente digital personal, un teléfono móvil un ordenador de bolsillo, un ordenador de sobremesa, un ordenador manual, un dispositivo de correo electrónico (e-mail) móvil o un buscapersonas. El alcance pretendido de la invención incluye así otras estructuras, sistemas o métodos que no difieren del lenguaje literal de las reivindicaciones, e incluye además otras estructuras, sistemas o métodos con diferencias insustanciales respecto al lenguaje literal de las reivindicaciones.
Aplicabilidad estructural
La presente invención proporciona control mejorado de conexiones de comunicación para dispositivos electrónicos móviles.

Claims (17)

1. Un método para operación sobre un dispositivo (22) de comunicaciones móviles para impedir canalizar datos privados desde una red (18) de ordenadores privada protegida a una entidad (14) externa a la red (18) de ordenadores privada protegida por vía del dispositivo (22) de comunicaciones móviles evitando abrir una conexión tanto con un ordenador dentro de la red (18) de ordenadores privada protegida como con la entidad externa (14) por una aplicación de software situada en el dispositivo (22) de comunicaciones móviles, comprendiendo el método los pasos de:
recibir (70) una solicitud de primera conexión desde la aplicación de software para abrir una primera conexión (27) de comunicación con el ordenador dentro de la red (18) de ordenadores privada protegida;
determinar (74) si la solicitud de primera conexión recibida satisface la información de control de conexión asociada con la aplicación de software;
en el que la información de control de conexión es almacenada en el dispositivo (22) de comunicaciones móviles;
después de determinar que la solicitud de primera conexión satisface la información de control de conexión asociada con la aplicación de software, autorizar (76) la apertura de una primera conexión (27) de comunicación que permite acceso a datos procedentes del ordenador dentro de la red (18) de ordenadores privada protegida para uso por la aplicación de software;
recibir (70) una solicitud de segunda conexión desde la aplicación de software para abrir una segunda conexión (29) de comunicación con la entidad externa (14), determinando (74) si la solicitud recibida de segunda conexión satisface la información de control de conexión asociada con la aplicación de software;
después de determinar que la solicitud de segunda conexión no satisface la información de control de conexión asociada con la aplicación de software, denegar (78) autorización para abrir una segunda conexión (29) de comunicación con la entidad externa (14) en respuesta a la solicitud recibida de segunda conexión; y
crear o actualizar la información de control de conexión al recibir una solicitud inicial de primera conexión (27) o una solicitud de segunda conexión (29) desde la aplicación de software, y denegar autorización para abrir cualquier otro tipo de conexión (30).
2. El método de la reivindicación 1, en el que el paso de autorizar la apertura de la primera conexión (27) de conexión comprende el paso de abrir la primera conexión (27) de comunicación para uso por la aplicación de software.
3. El método de la reivindicación 1, en el que el paso de autorizar la apertura de la primera conexión (27) de comunicación comprende el paso de proveer a la aplicación de software de información de autorización para uso por la aplicación de software en abrir la primera conexión (27) de comunicación.
4. El método de la reivindicación 1, en el que cada paso de determinar comprende el paso de recuperar información de control de conexión asociada con la aplicación de software.
5. El método de la reivindicación 4, en el que cada paso de determinar comprende además el paso de comparar uno o más criterios de control, basados en la información recuperada de control de conexión, con uno o más parámetros de solicitud basados en la solicitud recibida de conexión.
6. El método de la reivindicación 4, en el que cada paso de determinar comprende además los pasos de determinar una conexión deseada (27, 29) de comunicación a partir de la solicitud recibida de conexión y, si la información recuperada de control de conexión comprende un registro de la conexión deseada (27, 29) de comunicación como una conexión (27) admisible de comunicación, entonces determinar que la solicitud recibida de conexión satisface la información de control de conexión asociada con la aplicación de software.
7. El método de la reivindicación 4, en el que cada paso de determinar comprende además los pasos de determinar una conexión deseada (27, 29) de comunicación a partir de la solicitud recibida de conexión y, si la información recuperada de control de conexión comprende un registro de la conexión deseada (27, 29) de comunicación como una conexión (29) prohibida de comunicación, entonces determinar que la solicitud recibida de conexión no satisface la información de control de conexión asociada con la aplicación de software.
8. El método de la reivindicación 1 y que comprende además los pasos de recibir información de control de conexión asociada con la aplicación de software y almacenar la información recibida de control de conexión.
9. El método de la reivindicación 8 y que comprende además el paso de autenticar la información recibida de control de conexión.
10. El método de la reivindicación 8 y que comprende además el paso de recibir una actualización de información de control de conexión asociada con la aplicación de software y actualizar la información almacenada de control de conexión basado en la actualización recibida de información de control de conexión, siendo la actualización de control de conexión recibida desde un controlador de conexiones.
11. El método de la reivindicación 1 y que comprende además los pasos de determinar la información de control de conexión asociada con la aplicación de software basado en la aplicación de software en instalación en el dispositivo (22) de comunicación móvil;
determinar la información de control de conexión basada en un tipo asociado con la aplicación de software, uno o más tipos de conexión admisibles asociados con la aplicación de software, una fuente asociada con ella o un tipo asociado con ella;
determinar la información de control de conexión basada en uno o más tipos de conexión prohibidos asociados con la aplicación de software, una fuente asociada con ella o un tipo asociado con ella; y
determinar la información de control de conexión basada en la información de configuración provista en instalación; determinar la información de control de conexión basada en la asociación manual de la información de control de conexión asociada con la aplicación de software o combinaciones de ellas y almacenar la información determinada de control de conexión.
12. El método de la reivindicación 1 y que comprende además el paso de proveer una interfaz a un usuario del dispositivo (22) de comunicaciones móviles si la solicitud de conexión no satisface la información de control de conexión asociada con la aplicación de software, en el que la interfaz provista permite que el usuario indique la autorización para la apertura de una de la primera conexión (27) de comunicación y la segunda conexión (29) de comunicación.
13. El método de la reivindicación 12 y que comprende además los pasos de recibir una indicación de aprobación desde la interfaz provista y autorizar la apertura de una de la primera conexión (27) de comunicación y la segunda conexión (29) de comunicación para uso por la aplicación de software.
14. El método de la reivindicación 13 y que comprende además el paso de actualizar la información de control de conexión asociada con la aplicación de software basado en la indicación recibida.
15. El método de la reivindicación 14, en el que el paso de actualizar solo ocurre si la indicación recibida indica autorización tanto para abertura actual como futura de la una de la primera conexión de comunicación y la segunda conexión de comunicación.
16. Uno o más soportes legibles por ordenador que almacenan instrucciones que, al ser ejecutadas por un ordenador, causan que el ordenador controle una conexión en un dispositivo comunicante remoto realizando todos los pasos de la reivindicación 1.
17. Un sistema provisto en un dispositivo (22) de comunicaciones móviles para impedir canalizar datos privados desde una red (18) de ordenadores privada protegida a una entidad (14) externa a la red (18) de ordenadores privada protegida por vía del dispositivo (22) de comunicaciones móviles evitando abrir una conexión tanto con un ordenador dentro de la red (18) de ordenadores privada protegida como con la entidad externa (14) por una aplicación de software situada en el dispositivo (22) de comunicaciones móviles, comprendiendo el sistema:
medios para recibir (70) una solicitud de primera conexión desde la aplicación de software para abrir una primera conexión (27) de comunicación con el ordenador dentro de la red (18) de ordenadores privada protegida;
medios para determinar (74) si la solicitud recibida de primera conexión satisface la información de control de conexión asociada con la aplicación de software;
en el que la información de control de conexión está almacenada en el dispositivo (22) de comunicaciones móvi-
les;
medios para autorizar (76) la apertura de una primera conexión (27) de comunicación que permite acceso a datos procedentes del ordenador dentro de la red (18) de ordenadores privada protegida para uso por la aplicación de software después de determinar que la solicitud de primera conexión satisface la información de control de conexión asociada con la aplicación de software;
medios para recibir (70) una solicitud de segunda conexión desde la aplicación de software para abrir una segunda conexión (29) de comunicación con la entidad externa (14);
medios para determinar (74) si la solicitud recibida de segunda conexión satisface la información de control de conexión asociada con la aplicación de software;
\newpage
medios para denegar (78) autorización para abrir una segunda conexión (29) de comunicación con la entidad externa (14) en respuesta a la solicitud recibida de segunda conexión después de determinar que la solicitud de segunda conexión no satisface la información de control de conexión asociada con la aplicación de software; y
medios para crear o actualizar la información de control de conexión al recibir una solicitud inicial de primera conexión (27) o una solicitud de segunda conexión (29) desde la aplicación de software, y denegar autorización para abrir cualquier otro tipo de conexión (30).
ES03770820T 2002-11-08 2003-10-31 Sistema y metodo de control de conexion para dispositivos de comunicacion movil inalambrica. Expired - Lifetime ES2314256T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US42472302P 2002-11-08 2002-11-08
US424723P 2002-11-08

Publications (1)

Publication Number Publication Date
ES2314256T3 true ES2314256T3 (es) 2009-03-16

Family

ID=32312861

Family Applications (1)

Application Number Title Priority Date Filing Date
ES03770820T Expired - Lifetime ES2314256T3 (es) 2002-11-08 2003-10-31 Sistema y metodo de control de conexion para dispositivos de comunicacion movil inalambrica.

Country Status (10)

Country Link
US (5) US7076239B2 (es)
EP (1) EP1563663B1 (es)
CN (1) CN1723674B (es)
AT (1) ATE410017T1 (es)
AU (1) AU2003280251A1 (es)
CA (1) CA2505343C (es)
DE (1) DE60323859D1 (es)
ES (1) ES2314256T3 (es)
HK (1) HK1080315A1 (es)
WO (1) WO2004043031A1 (es)

Families Citing this family (88)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7177598B2 (en) * 2000-11-15 2007-02-13 Wi-Lan, Inc. Method and system for reducing channel interference in a frame-synchronized wireless communication system
US20020183038A1 (en) * 2001-05-31 2002-12-05 Palm, Inc. System and method for crediting an account associated with a network access node
US6745047B1 (en) 2001-03-07 2004-06-01 Palmone, Inc. System and method for using a wireless enabled portable computer system as a wireless modem
US7693484B2 (en) * 2002-01-29 2010-04-06 Palm, Inc. Dynamic networking modes method and apparatus
US7096037B2 (en) * 2002-01-29 2006-08-22 Palm, Inc. Videoconferencing bandwidth management for a handheld computer system and method
US8910241B2 (en) * 2002-04-25 2014-12-09 Citrix Systems, Inc. Computer security system
CA2505343C (en) * 2002-11-08 2010-06-22 Research In Motion Limited System and method of connection control for wireless mobile communication devices
EP1706963A4 (en) * 2003-11-02 2011-06-15 Yossy Sela MOBILE PHONE GATEWAY DEVICE, COMMUNICATION SYSTEM AND GATEWAY OPERATING SYSTEM
TW200516912A (en) * 2003-11-03 2005-05-16 Benq Corp Network peripheral and installation method
US20050120164A1 (en) * 2003-12-01 2005-06-02 Phison Electronics Corp. Pen drive for wireless wide bandwidth local network
US7715851B2 (en) * 2003-12-19 2010-05-11 Lenovo (Singapore) Pte. Ltd. System and method for locating wired networks using wireless data
US7415268B2 (en) * 2004-03-02 2008-08-19 Nokia Corporation Method and apparatus to provide charging for ad-hoc service provisioning between trusted parties and between untrusted parties
US7490350B1 (en) * 2004-03-12 2009-02-10 Sca Technica, Inc. Achieving high assurance connectivity on computing devices and defeating blended hacking attacks
US7840763B2 (en) * 2004-03-12 2010-11-23 Sca Technica, Inc. Methods and systems for achieving high assurance computing using low assurance operating systems and processes
BRPI0510378B1 (pt) 2004-04-30 2018-12-11 Blackberry Ltd Método de manusear transferências de dados em um dispositivo móvel , mídia lida porcomputador e aparelho de transferência de dados
US20060059538A1 (en) * 2004-09-13 2006-03-16 Xcomm Box, Inc. Security system for wireless networks
US7266370B2 (en) * 2004-09-20 2007-09-04 Trilibis Inc. System and method for developing and deploying device independent applications
US20060077941A1 (en) * 2004-09-20 2006-04-13 Meyyappan Alagappan User interface system and method for implementation on multiple types of clients
US20070061488A1 (en) * 2004-09-20 2007-03-15 Trilibis Inc. System and method for flexible user interfaces
EP1653664B1 (en) * 2004-10-29 2013-03-13 Research In Motion Limited Wireless/wired mobile communication device, method and computer program medium with option to automatically block wireless communication when connected for wired communication
US8099060B2 (en) 2004-10-29 2012-01-17 Research In Motion Limited Wireless/wired mobile communication device with option to automatically block wireless communication when connected for wired communication
US7877112B2 (en) * 2004-11-19 2011-01-25 Nextel Communications Inc. SIM card data transfer system and methods
JP2006209462A (ja) * 2005-01-28 2006-08-10 Kyocera Corp 端末装置
EP1872510A4 (en) * 2005-04-18 2008-06-18 Research In Motion Ltd SYSTEM TOPOLOGY FOR SAFE END-TO-END COMMUNICATIONS BETWEEN A WIRELESS DEVICE AND AN APPLICATION DATA SOURCE
EP1737181B1 (de) * 2005-06-23 2012-08-22 Swisscom AG Vorrichtung, Verfahren und Computerprogrammprodukt zum Steuern der Nutzbarkeit eines Applikationsmoduls mittels Sicherheitsmodul
US7614082B2 (en) 2005-06-29 2009-11-03 Research In Motion Limited System and method for privilege management and revocation
US8006088B2 (en) 2005-08-18 2011-08-23 Beyondtrust Corporation Methods and systems for network-based management of application security
US7725737B2 (en) * 2005-10-14 2010-05-25 Check Point Software Technologies, Inc. System and methodology providing secure workspace environment
US20070192764A1 (en) * 2005-12-02 2007-08-16 Sony Ericsson Mobile Communications Ab An application comprising a network setting
JP4661574B2 (ja) * 2005-12-14 2011-03-30 セイコーエプソン株式会社 組込機器、電子機器、組込機器の制御方法、制御プログラムおよび記録媒体
US8869262B2 (en) * 2006-08-03 2014-10-21 Citrix Systems, Inc. Systems and methods for application based interception of SSL/VPN traffic
US8495181B2 (en) * 2006-08-03 2013-07-23 Citrix Systems, Inc Systems and methods for application based interception SSI/VPN traffic
US7843912B2 (en) * 2006-08-03 2010-11-30 Citrix Systems, Inc. Systems and methods of fine grained interception of network communications on a virtual private network
US20160335618A1 (en) * 2006-09-24 2016-11-17 Rfcyber Corp. Method and apparatus for providing e-commerce and m-commerce
US8856511B2 (en) * 2006-12-14 2014-10-07 Blackberry Limited System and method for wiping and disabling a removed device
US8316427B2 (en) 2007-03-09 2012-11-20 International Business Machines Corporation Enhanced personal firewall for dynamic computing environments
US7630735B2 (en) * 2007-03-12 2009-12-08 Inventec Appliances Corp. Intelligent method for dynamically switching communication modes of a dual-mode communication module
WO2008113081A1 (en) * 2007-03-15 2008-09-18 Wionics Research Virtual pipe for wire adapter communications
US8695081B2 (en) * 2007-04-10 2014-04-08 International Business Machines Corporation Method to apply network encryption to firewall decisions
US20080293395A1 (en) * 2007-05-21 2008-11-27 Motorola, Inc. Using downloadable specifications to render a user interface on a mobile device
US20080320566A1 (en) * 2007-06-25 2008-12-25 Microsoft Corporation Device provisioning and domain join emulation over non-secured networks
US20090075698A1 (en) * 2007-09-14 2009-03-19 Zhimin Ding Removable Card And A Mobile Wireless Communication Device
MX2010003024A (es) * 2007-09-18 2010-06-01 Xm Satellite Radio Inc Aparato e interfase de infotenimiento de vehiculo remoto.
US8516539B2 (en) 2007-11-09 2013-08-20 Citrix Systems, Inc System and method for inferring access policies from access event records
US8990910B2 (en) * 2007-11-13 2015-03-24 Citrix Systems, Inc. System and method using globally unique identities
US8949434B2 (en) * 2007-12-17 2015-02-03 Microsoft Corporation Automatically provisioning a WWAN device
US9240945B2 (en) 2008-03-19 2016-01-19 Citrix Systems, Inc. Access, priority and bandwidth management based on application identity
US8943575B2 (en) 2008-04-30 2015-01-27 Citrix Systems, Inc. Method and system for policy simulation
US8990573B2 (en) 2008-11-10 2015-03-24 Citrix Systems, Inc. System and method for using variable security tag location in network communications
US8195817B2 (en) * 2009-02-11 2012-06-05 Sprint Communications Company L.P. Authentication of the geographic location of wireless communication devices
US8121638B2 (en) * 2009-02-27 2012-02-21 Research In Motion Limited System and method for security on a mobile device using multiple communication domains
US8850549B2 (en) * 2009-05-01 2014-09-30 Beyondtrust Software, Inc. Methods and systems for controlling access to resources and privileges per process
US20110055894A1 (en) * 2009-08-31 2011-03-03 Shen-Chang Chao Firewall and NAT Traversal for Social Networking and/or Content Sharing On Mobile Devices
EP2312461A1 (en) * 2009-10-16 2011-04-20 Nederlandse Organisatie voor toegepast -natuurwetenschappelijk onderzoek TNO Identification of proximate devices
KR20110055095A (ko) * 2009-11-19 2011-05-25 삼성전자주식회사 휴대용 단말기에서 어플리케이션 사용에 따른 과금 발생을 방지하기 위한 장치 및 방법
US8898302B2 (en) * 2010-05-31 2014-11-25 Blackberry Limited Method and system for prevention of applications from initiating data connection establishment
WO2012040818A1 (en) * 2010-09-27 2012-04-05 Research In Motion Limited Method, apparatus and system for transmitting an application using a plurality of computers
EP2434725A1 (en) 2010-09-27 2012-03-28 Research In Motion Limited Method, apparatus and system for managing communications between a computing device and a client machine
CN102023862B (zh) * 2010-12-13 2015-01-28 中兴通讯股份有限公司 一种移动终端控制方法及系统
US8346672B1 (en) * 2012-04-10 2013-01-01 Accells Technologies (2009), Ltd. System and method for secure transaction process via mobile device
BR112014002634B1 (pt) 2011-08-03 2021-06-15 Fluke Corporation Método de obtenção e manutenção de registro de manutenção,sistema para obtenção e manutenção de registros de manutenção e meio de armazenamento legível por computador.
KR101840725B1 (ko) * 2011-09-02 2018-03-21 에스프린팅솔루션 주식회사 P2p 연결을 지원하는 화상형성장치 및 그것의 p2p 연결 제어 방법
US9497220B2 (en) 2011-10-17 2016-11-15 Blackberry Limited Dynamically generating perimeters
US9161226B2 (en) 2011-10-17 2015-10-13 Blackberry Limited Associating services to perimeters
US9613219B2 (en) 2011-11-10 2017-04-04 Blackberry Limited Managing cross perimeter access
US8799227B2 (en) 2011-11-11 2014-08-05 Blackberry Limited Presenting metadata from multiple perimeters
US8655385B2 (en) 2011-11-18 2014-02-18 Blackberry Limited Social networking methods and apparatus for use in facilitating participation in user-relevant social groups
CN102413220B (zh) * 2011-11-24 2014-08-20 中兴通讯股份有限公司 一种控制连接功能的使用权限的方法及移动终端
GB2499237A (en) * 2012-02-10 2013-08-14 Ibm Managing a network connection for use by a plurality of application program processes
EP2629478B1 (en) 2012-02-16 2018-05-16 BlackBerry Limited Method and apparatus for separation of connection data by perimeter type
US9154568B2 (en) * 2012-03-20 2015-10-06 Facebook, Inc. Proxy bypass login for applications on mobile devices
US9672574B2 (en) 2012-03-20 2017-06-06 Facebook, Inc. Bypass login for applications on mobile devices
US9369466B2 (en) 2012-06-21 2016-06-14 Blackberry Limited Managing use of network resources
US10095659B2 (en) 2012-08-03 2018-10-09 Fluke Corporation Handheld devices, systems, and methods for measuring parameters
US9001694B2 (en) * 2012-09-24 2015-04-07 General Instrument Corporation Methods and apparatus for controlling a wireless station
US9075955B2 (en) 2012-10-24 2015-07-07 Blackberry Limited Managing permission settings applied to applications
US8656016B1 (en) 2012-10-24 2014-02-18 Blackberry Limited Managing application execution and data access on a device
US10337962B2 (en) 2013-03-15 2019-07-02 Fluke Corporation Visible audiovisual annotation of infrared images using a separate wireless mobile device
US9739801B2 (en) 2013-07-16 2017-08-22 Fluke Corporation Analytical gateway device for measurement devices
US20150134719A1 (en) * 2013-11-13 2015-05-14 Kaseya International Limited Third party application delivery via an agent portal
US9766270B2 (en) 2013-12-30 2017-09-19 Fluke Corporation Wireless test measurement
CN103778094A (zh) * 2014-02-24 2014-05-07 宋杰 一种用于可移动存储设备间的数据传输装置
KR20160073171A (ko) * 2014-12-16 2016-06-24 삼성전자주식회사 통신 서비스를 제공하기 위한 방법 및 그 전자 장치 및 방법
US9660968B2 (en) * 2015-09-25 2017-05-23 Intel Corporation Methods and apparatus for conveying a nonce via a human body communication conduit
JP6374419B2 (ja) * 2016-02-08 2018-08-15 アンリツ株式会社 測定装置及び測定方法
US10977361B2 (en) 2017-05-16 2021-04-13 Beyondtrust Software, Inc. Systems and methods for controlling privileged operations
US11528149B2 (en) 2019-04-26 2022-12-13 Beyondtrust Software, Inc. Root-level application selective configuration
US11638564B2 (en) * 2021-08-24 2023-05-02 Biolink Systems, Llc Medical monitoring system

Family Cites Families (48)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4837812A (en) 1985-12-21 1989-06-06 Ricoh Company, Ltd. Dual connection mode equipped communication control apparatus
US4815128A (en) 1986-07-03 1989-03-21 Motorola, Inc. Gateway system and method for interconnecting telephone calls with a digital voice protected radio network
US4991197A (en) 1988-09-01 1991-02-05 Intelligence Technology Corporation Method and apparatus for controlling transmission of voice and data signals
US4972457A (en) 1989-01-19 1990-11-20 Spectrum Information Technologies, Inc. Portable hybrid communication system and methods
US5793843A (en) 1989-10-31 1998-08-11 Intelligence Technology Corporation Method and apparatus for transmission of data and voice
US5220604A (en) 1990-09-28 1993-06-15 Digital Equipment Corporation Method for performing group exclusion in hierarchical group structures
US5428671A (en) 1992-11-09 1995-06-27 Compaq Computer Corporation Modem for tight coupling between a computer and a cellular telephone
US5606594A (en) 1994-01-27 1997-02-25 Dell Usa, L.P. Communication accessory and method of telecommunicating for a PDA
TW278292B (en) 1995-03-17 1996-06-11 Advanced Micro Devices Inc Intrusion control for secure networks
US6343313B1 (en) * 1996-03-26 2002-01-29 Pixion, Inc. Computer conferencing system with real-time multipoint, multi-speed, multi-stream scalability
FI102923B1 (fi) 1996-08-08 1999-03-15 Nokia Mobile Phones Ltd Tiedontulostusjärjestelmä, menetelmä tiedon tulostamiseksi sekä päätelaitteet tiedon tulostamiseksi
US6393569B1 (en) * 1996-12-18 2002-05-21 Alexander S. Orenshteyn Secured system for accessing application services from a remote station
US5987611A (en) * 1996-12-31 1999-11-16 Zone Labs, Inc. System and methodology for managing internet access on a per application basis for client computers connected to the internet
NO971605L (no) 1997-04-08 1998-10-09 Ericsson Telefon Ab L M Anordning for forbedring av tilgjengelighet av tjenester i et kommunikasjonssystem
US6243756B1 (en) 1997-06-23 2001-06-05 Compaq Computer Corporation Network device with unified management
US6131136A (en) 1997-12-12 2000-10-10 Gateway 2000, Inc. Dual mode modem for automatically selecting between wireless and wire-based communication modes
US6405202B1 (en) 1998-04-27 2002-06-11 Trident Systems, Inc. System and method for adding property level security to an object oriented database
US6253326B1 (en) 1998-05-29 2001-06-26 Palm, Inc. Method and system for secure communications
US6470453B1 (en) * 1998-09-17 2002-10-22 Cisco Technology, Inc. Validating connections to a network system
US6490289B1 (en) * 1998-11-03 2002-12-03 Cisco Technology, Inc. Multiple network connections from a single PPP link with network address translation
US6957330B1 (en) 1999-03-01 2005-10-18 Storage Technology Corporation Method and system for secure information handling
AU4068100A (en) 1999-04-06 2000-10-23 Microsoft Corporation Method and system for controlling execution of computer programs
US6785810B1 (en) 1999-08-31 2004-08-31 Espoc, Inc. System and method for providing secure transmission, search, and storage of data
US6775536B1 (en) 1999-11-03 2004-08-10 Motorola, Inc Method for validating an application for use in a mobile communication device
US7246374B1 (en) 2000-03-13 2007-07-17 Microsoft Corporation Enhancing computer system security via multiple user desktops
US6895502B1 (en) * 2000-06-08 2005-05-17 Curriculum Corporation Method and system for securely displaying and confirming request to perform operation on host computer
US20010056533A1 (en) 2000-06-23 2001-12-27 Peter Yianilos Secure and open computer platform
US20020031230A1 (en) * 2000-08-15 2002-03-14 Sweet William B. Method and apparatus for a web-based application service model for security management
US6901429B2 (en) * 2000-10-27 2005-05-31 Eric Morgan Dowling Negotiated wireless peripheral security systems
US7085833B2 (en) * 2001-01-17 2006-08-01 Microsoft Corporation Caching user network access information within a network
US6745047B1 (en) 2001-03-07 2004-06-01 Palmone, Inc. System and method for using a wireless enabled portable computer system as a wireless modem
US7207041B2 (en) * 2001-06-28 2007-04-17 Tranzeo Wireless Technologies, Inc. Open platform architecture for shared resource access management
US20030005317A1 (en) * 2001-06-28 2003-01-02 Audebert Yves Louis Gabriel Method and system for generating and verifying a key protection certificate
US7546629B2 (en) * 2002-03-06 2009-06-09 Check Point Software Technologies, Inc. System and methodology for security policy arbitration
JP2003046634A (ja) * 2001-07-10 2003-02-14 E-Lead Electronic Co Ltd 直接simカード内の電話帳をダウンロード可能な電話ダイアルアップ装置
US7222359B2 (en) * 2001-07-27 2007-05-22 Check Point Software Technologies, Inc. System methodology for automatic local network discovery and firewall reconfiguration for mobile computing devices
US7187678B2 (en) * 2001-08-13 2007-03-06 At&T Labs, Inc. Authentication for use of high speed network resources
GB2378780B (en) 2001-08-14 2003-07-09 Elan Digital Systems Ltd Data integrity
WO2003029916A2 (en) * 2001-09-28 2003-04-10 Bluesocket, Inc. Method and system for managing data traffic in wireless networks
US7076797B2 (en) * 2001-10-05 2006-07-11 Microsoft Corporation Granular authorization for network user sessions
US20030163685A1 (en) * 2002-02-28 2003-08-28 Nokia Corporation Method and system to allow performance of permitted activity with respect to a device
US7146638B2 (en) * 2002-06-27 2006-12-05 International Business Machines Corporation Firewall protocol providing additional information
US20040097217A1 (en) * 2002-08-06 2004-05-20 Mcclain Fred System and method for providing authentication and authorization utilizing a personal wireless communication device
US8544084B2 (en) * 2002-08-19 2013-09-24 Blackberry Limited System and method for secure control of resources of wireless mobile communication devices
CA2505343C (en) * 2002-11-08 2010-06-22 Research In Motion Limited System and method of connection control for wireless mobile communication devices
KR100447306B1 (ko) 2002-12-24 2004-09-07 삼성전자주식회사 휴대전화의 전원을 자동으로 온/오프하는복합휴대단말장치 및 그 방법
US7634273B2 (en) 2003-04-22 2009-12-15 Samsung Electronics Co., Ltd. Hybrid wired and wireless communication device and a wired and wireless communication method thereof
CA2564186C (en) * 2004-04-30 2019-08-20 Research In Motion Limited System and method of operation control on an electronic device

Also Published As

Publication number Publication date
US20080132202A1 (en) 2008-06-05
US20120271947A1 (en) 2012-10-25
US20040142686A1 (en) 2004-07-22
CA2505343C (en) 2010-06-22
EP1563663B1 (en) 2008-10-01
US8620297B2 (en) 2013-12-31
CN1723674B (zh) 2012-06-13
US20140087694A1 (en) 2014-03-27
CN1723674A (zh) 2006-01-18
US20060253529A1 (en) 2006-11-09
CA2505343A1 (en) 2004-05-21
US8995961B2 (en) 2015-03-31
AU2003280251A1 (en) 2004-06-07
US8626139B2 (en) 2014-01-07
HK1080315A1 (en) 2006-04-21
US7330712B2 (en) 2008-02-12
DE60323859D1 (de) 2008-11-13
WO2004043031A1 (en) 2004-05-21
ATE410017T1 (de) 2008-10-15
US7076239B2 (en) 2006-07-11
EP1563663A1 (en) 2005-08-17

Similar Documents

Publication Publication Date Title
ES2314256T3 (es) Sistema y metodo de control de conexion para dispositivos de comunicacion movil inalambrica.
KR100670723B1 (ko) 전자 장치들의 다중-레벨 제어 시스템 및 방법
US8677138B2 (en) System and method of secure authentication information distribution
ES2420758T3 (es) Sistema y método para un control seguro de los recursos de dispositivos de comunicación móvil inalámbrica
KR100764585B1 (ko) 전자 장치의 소유자 제어 시스템 및 방법
EP1769366B1 (en) System and method of operation control on an electronic device
EP2629479B1 (en) Certificate management method based on connectivity and policy