ES2337591T3 - Sistema y metodo para comprobar certificados digitales. - Google Patents

Abstract

Un método para manejar en un dispositivo móvil (100) un certificado digital (154) de un destinatario (170) de un mensaje (151) que se ha de enviar, o de un remitente (500) de un mensaje recibido, de manera que el certificado digital (154) está destinado a ser utilizado por el dispositivo móvil (100) para tratar el mensaje electrónico (151), de tal modo que dicho método está caracterizado por que comprende: a la hora de prepararse para el envío del mensaje (151) al destinatario (170) o tras haber recibido el mensaje del remitente (500), determinar, en el dispositivo móvil (100), un momento previo (156, 526) en que se comprobó la validez del certificado digital (154); y comprobar, en el dispositivo móvil (100), la validez del certificado digital (154) si el lapso de tiempo desde dicho momento previo (156, 526) en que se comprobó previamente la validez del certificado digital (154), satisface un criterio preseleccionado (155, 524).

Description

Sistema y método para comprobar certificados digitales.

\global\parskip0.890000\baselineskip

Antecedentes Campo técnico

La presente invención se refiere generalmente al campo de las comunicaciones y, en particular, al manejo de certificados digitales en dispositivos de comunicaciones inalámbricas móviles.

Descripción de la técnica relacionada

En la S/MIME y en sistemas similares en los que se utilizan certificados digitales para establecer la identidad, se dispone de muchos mecanismos para comprobar la validez de los certificados. Como ilustración de éstos, es posible utilizar el procedimiento de OCSP (Protocolo de Estado de Certificado En Línea -"Online Certificate Status Protocol") para comprobar la validez de un certificado cada vez que se envía un mensaje electrónico (por ejemplo, un mensaje de correo electrónico). Esto permite a una persona determinar si el certificado para una entidad interlocutora de comunicaciones era válido en el momento de ser enviado un mensaje desde ellos, o bien garantizar que éste es aún válido cuando se les va a enviar un mensaje. Sin embargo, la comprobación de certificados en cada momento o demasiado a menudo dará lugar, de la forma más probable, a ralentizaciones, pérdida de vida útil de la batería y costes de datos más elevados -especialmente en el caso de tratar con un grupo de personas o cuando una conversación está transcurriendo con una ida y venida de mensajes (por ejemplo, la comprobación en cada momento de cada destinatario no resulta adecuada para las comunicaciones inalámbricas).

El documento WO 2004/010271 A2 preconiza el uso de un servidor de Servicio de Estado de Certificado (CSS -"Certificate Status Service") que recibe una consulta sobre el estado de certificado desde otro sistema. El servidor de CSS comprueba, en primer lugar, su memoria caché local para verificar si está presente el estado del certificado, y si lo encuentra y éste se halla dentro de un tiempo de expiración, el CSS retorna el estado. Si el estado del certificado no está presente o se encuentra fuera del tiempo de expiración, el CSS recupera entonces el estado de un servicio remoto y remite el estado de certificado al sistema o TCU solicitante (Utilidad de Custodia de Confianza -"Trusted Custodial Utility").

El documento WO 03/079627 A2 describe un método para hacerse cargo, en un dispositivo móvil, de un certificado digital de un destinatario de un mensaje que se va a enviar o de un emisor de un mensaje recibido, de tal modo que el certificado digital es utilizado por el dispositivo móvil para procesar o tratar el mensaje electrónico.

Sumario

De acuerdo con las enseñanzas que se divulgan aquí, se proporcionan métodos y sistemas para el manejo de un mensaje electrónico. Como ejemplo de un sistema y un método, un mensaje electrónico que está asociado con un certificado digital se ha de tratar en un dispositivo móvil. Un módulo de comprobación de certificado digital, situado en el dispositivo móvil, determina si se ha de comprobar la validez del certificado digital basándose en el lapso de tiempo transcurrido desde la última vez que se comprobó el certificado digital. Tal y como se apreciará, los sistemas y métodos que se divulgan aquí son capaces de incorporar otras realizaciones diferentes, y sus diversos detalles son susceptibles de modificaciones en varios respectos. De acuerdo con ello, los dibujos y la descripción que se exponen más adelante deben considerarse de naturaleza ilustrativa y no restrictivos.

Breve descripción de los dibujos

La Figura 1 es una vista global o de conjunto de un ejemplo de sistema de comunicación en el cual puede utilizarse un dispositivo de comunicación.

La Figura 2 es un diagrama de bloques de un ejemplo adicional de sistema de comunicación que incluye múltiples redes y múltiples dispositivos de comunicación móviles.

La Figura 3 es un diagrama de bloques que ilustra un sistema para comprobar certificados digitales.

La Figura 4 es un diagrama de bloques que ilustra un dispositivo de almacenamiento de datos para uso a la hora de comprobar certificados digitales.

Las Figuras 5 y 6 ilustran una situación o escenario del funcionamiento para comprobar un certificado digital.

Las Figuras 7-9 son diagramas de bloques en los que se proporcionan datos relacionados con certificados digitales por parte de un administrador de IT.

La Figura 10 es un diagrama de bloques que ilustra un destinatario de un mensaje, que lleva a cabo una determinación para la comprobación del estado del certificado.

La Figura 11 es un diagrama de bloques de un dispositivo móvil proporcionado a modo de ejemplo.

\global\parskip1.000000\baselineskip

Descripción detallada de los dibujos

La Figura 1 es una vista global o de conjunto de un sistema de comunicación proporcionado a modo de ejemplo, en el cual puede utilizarse un dispositivo de comunicación inalámbrico. Un experto de la técnica apreciará que puede haber cientos de topologías diferentes, pero que el sistema mostrado en la Figura 1 ayuda a mostrar el funcionamiento de los sistemas y los métodos de tratamiento de mensajes codificados que se describen en la presente Solicitud. Puede haber también muchos emisores y destinatarios de los mensajes. El sencillo sistema que se muestra en la Figura 1 es tan sólo para propósitos ilustrativos, y muestra el que es, quizá, el entorno de correo electrónico por Internet más extendido en el que no se utiliza, generalmente, seguridad.

La Figura 1 muestra un emisor 10 de correo electrónico, la Internet 20, un sistema servidor 40 de mensajes, una pasarela inalámbrica 85, infraestructura inalámbrica 90, una red inalámbrica 105 y un dispositivo de comunicación móvil 100.

Un emisor 10 de correo electrónico puede estar conectado, por ejemplo, a un ISP (Proveedor de Servicios de Internet -"Internet Service Provider") en el que un usuario del sistema 10 tiene una cuenta, ubicado en el seno de una compañía, posiblemente conectado a una red de área local (LAN -"local area network"), y conectado a la Internet 20, ó bien conectado a la Internet 20 a través de un ASP (proveedor de servicios de aplicación -"application service provider") de grandes dimensiones, tal como America Online (AOL). Los expertos de la técnica apreciarán que los sistemas mostrados en la Figura 1 pueden estar, en cambio, conectados a una red de área extensa (WAN -"wide area network") distinta de la Internet, aunque las transferencias de correo electrónico se lleven a cabo, por lo común, a través de disposiciones conectadas a la Internet, como se muestra en la Figura 1.

El servidor 40 de mensajes puede ser implementado, por ejemplo, en una computadora de red situada dentro del cortafuegos de una empresa, en una computadora ubicada dentro de un sistema de ISP o ASP, o similar, y actúa como la interfaz principal para el intercambio de correos electrónicos a través de la Internet 20. Aunque otros sistemas de mensajería podrían no requerir un sistema servidor 40 de mensajes, un dispositivo móvil 100 configurado para recibir y, posiblemente, enviar correo electrónico estará normalmente asociado con una cuenta en un servidor de mensajes. Quizá los dos servidores de mensajes más comunes sean el Microsoft Exchange^{TM} y el Lotus Domino^{TM}. Estos productos se utilizan a menudo en combinación con dispositivos de encaminamiento de correo por Internet que encaminar y entregan el correo. Estos componentes intermedios no se muestran en la Figura 1, ya que no juegan directamente ningún papel en el tratamiento seguro de los mensajes que se describe más adelante. Los servidores de mensajes tales como el servidor 40 se extienden, típicamente, más allá de la mera emisión y recepción de correo electrónico; también incluyen máquinas o motores de almacenamiento de bases de datos dinámicas que tienen formatos de base de datos predefinidos para datos como calendarios, listas de quehaceres, listas de tareas, correo electrónico y documentación.

La pasarela inalámbrica 85 y la infraestructura 90 proporcionan un enlace entre la Internet 20 y la red inalámbrica 105. La infraestructura inalámbrica 90 determina la red más probable para la localización de un usuario dado y efectúa un seguimiento del usuario a medida que éste se desplaza de forma itinerante entre países o redes. Se entrega entonces un mensaje al dispositivo móvil 100 por transmisión inalámbrica, típicamente a una frecuencia de radio (RF), desde una estación de base comprendida en la red inalámbrica 105, al dispositivo móvil 100. La red particular 105 puede ser prácticamente cualquier red inalámbrica a través de la cual puedan intercambiarse mensajes con un dispositivo de comunicación móvil.

Como se muestra en la Figura 1, un mensaje de correo electrónico compuesto 15 es enviado por el emisor 10 de correo electrónico, ubicado en algún lugar de la Internet 20. Este mensaje 15 está completamente en blanco y se sirve del tradicional Protocolo de Transferencia de Correo Simple (SMTP -"Simple Mail Transfer Protocol"), de encabezamientos RFC822 y de partes de cuerpo o información útil de Extensión de Correo por Internet de Múltiple Propósito (MIME -"Multipurpose Internet Mail Extensión") para definir el formato del mensaje de correo. Todas estas técnicas son bien conocidas por los expertos de la técnica. El mensaje 15 llega al servidor 40 de mensajes y es normalmente almacenado en un dispositivo de almacenamiento de mensajes. La mayor parte de los sistemas de intercambio de mensajes o mensajería conocidos dan soporte a un esquema denominado de acceso a mensaje por "extracción", en el cual el dispositivo móvil 100 debe solicitar que los esquemas almacenados sean remitidos por parte del servidor de mensajes al dispositivo móvil 100. Algunos sistemas hacen posible el encaminamiento automático de tales mensajes, los cuales son encauzados o dirigidos utilizando una dirección de correo electrónico específica asociada con el dispositivo móvil 100. Como se describe con mayor detalle más adelante, los mensajes dirigidos a una cuenta de servidor de mensajes asociada con un sistema anfitrión, tal como una computadora doméstica o una computadora de empresa que pertenece al usuario de un dispositivo móvil 100, son redirigidos desde el servidor 40 de mensajes al dispositivo móvil 100 conforme son recibidos.

Con independencia del mecanismo específico que controla la remisión de los mensajes al dispositivo móvil 100, el mensaje 15, ó, posiblemente, una versión traducida o reformateada del mismo, es enviado a la pasarela inalámbrica 85. La infraestructura inalámbrica 90 incluye una serie de conexiones a la red inalámbrica 105. Estas conexiones pueden ser conexiones de la Red Digital de Servicios Integrados (ISDN -"Integrated Services Digital Network"), de Frame Relay (retardo de trama) o de T1, que se sirven del protocolo TCT/IP [Protocolo de Control de Transmisión ("Transmission Control Protocol")/Protocolo de Internet ("Internet Protocol")] utilizado en toda la Internet. Tal y como se emplea aquí, el término "red inalámbrica" se pretende que incluya tres tipos diferentes de redes: las que son (1) redes inalámbricas centradas en datos, (2) las redes inalámbricas centradas en voz y (3) las redes de modo dual que permiten la posibilidad de comunicaciones tanto de voz como de datos a través de las mismas estaciones de base físicas. Las redes de modo dual combinadas incluyen (1) las redes de Acceso Múltiple por División de Código (CDMA -"Code Division Multiple Access"), (2) las redes del Grupo Especial Móvil ("Groupe Special Mobile") o el Sistema Global para Comunicaciones Móviles (GSM -"Global System for Mobile communications") y del Servicio General de Radio en Paquetes (GPRS -"General Packet Radio Service"), y (3) redes futuras de tercera generación (3G) como las Velocidades de datos Mejoradas para Evolución Global (EDGE -"Enhanced Data-rates for Global Evolution") y los Sistemas de Telecomunicaciones Móviles Universales (UMTS -"Universal Mobile Telecommunications Systems"), si bien no están limitadas a éstas. Ejemplos más antiguos de red centrada en datos incluyen las redes de Sistemas de Comunicación Personal (PCS -"Personal Communication Systems"), como la GSM, y los sistemas de TDMA [Acceso Múltiple por División en el Tiempo -"Time Division Multiple Access"].

La Figura 2 es un diagrama de bloques de un ejemplo adicional de sistema de comunicación que incluye múltiples redes y múltiples dispositivos de comunicación móviles. El sistema de la Figura 2 es sustancialmente similar al sistema de la Figura 1, pero incluye un sistema anfitrión 30, un programa de redireccionamiento 45, un dispositivo colgador 65 de teléfono móvil, una red inalámbrica adicional 110 y múltiples dispositivos de comunicación móviles 100. Tal como se ha descrito anteriormente en conjunción con la Figura 1, la Figura 2 representa una vista de conjunto de una topología de red a modo de muestra. Si bien los sistemas y métodos de tratamiento de mensajes codificados que se describen aquí pueden ser aplicados a redes que tiene muchas topologías diferentes, la red de la Figura 2 resulta útil para la comprensión de un sistema de redireccionamiento automático de correo electrónico que se ha mencionado brevemente en lo anterior.

El sistema anfitrión central 30 será, típicamente, una oficina corporativa u otra LAN, pero puede ser, en lugar de ello, una computadora de oficina doméstica o algún otro sistema privado en el que se intercambian mensajes de correo. Dentro del sistema anfitrión 30 se encuentra en servidor 40 de mensajes, que corre en alguna computadora situada dentro del cortafuegos del sistema anfitrión, que actúa como la interfaz principal para el sistema anfitrión para el intercambio de correo electrónico con la Internet 20. En el sistema de la Figura 2, el programa de redireccionamiento 45 hace posible el redireccionamiento de elementos de datos desde el servidor 40 a un dispositivo de comunicación móvil 100. Si bien el programa de redireccionamiento 45 se muestra residiendo en la misma máquina que el servidor 40 de mensajes en aras de la facilidad de interpretación, no es un requisito que tenga que residir o estar radicado en el servidor de mensajes. El programa de redireccionamiento 45 y el servidor 40 de mensajes están diseñados para cooperar e interactuar al objeto de permitir el empuje o impulsión de información hacia los dispositivos móviles 100. En esta instalación, el programa de redireccionamiento 45 toma información corporativa confidencial y no confidencial para un usuario específico y la redirige al exterior, a través del cortafuegos corporativo, a los dispositivos móviles 100. Puede encontrarse una descripción más detallada del software de redireccionamiento 45 en la Patente de los Estados Unidos asignada en común Nº 6.219.694 ("la Patente '694"), titulada "Sistema y método para la impulsión de información desde un sistema anfitrión a un dispositivo de comunicación de datos móvil que tiene una dirección electrónica compartida", y expedida al mismo asignatario de la presente Solicitud el 17 de abril de 2001. Esta técnica de impulsión puede servirse de una técnica de codificación, compresión y encriptación o cifrado adecuada para la comunicación inalámbrica, a fin de suministrar toda la información a un dispositivo móvil, extendiendo así, de una manera efectiva, el cortafuegos de seguridad de modo que incluya cada uno de los dispositivos móviles 100 asociados con el sistema anfitrión 30.

Tal y como se muestra en la Figura 2, puede haber muchos caminos alternativos para obtener información para el dispositivo móvil 100. Uno de los métodos para cargar información en el dispositivo móvil 100 es a través de un acceso o puerta designada por la referencia 50, utilizando un dispositivo colgador 65. Este método tiende a ser de utilidad para actualizaciones masivas de información que se llevan a cabo, a menudo, en la inicialización de un dispositivo móvil 100 con el sistema anfitrión 30 ó una computadora 35 ubicada dentro del sistema 30. El otro método principal para el intercambio de datos es por el aire, utilizando redes inalámbricas para suministrar la información. Como se muestra en la Figura 2, esto puede lograrse por medio de un dispositivo de encaminamiento de VPN inalámbrico 75 ó a través de una conexión de Internet convencional 95 a una pasarela inalámbrica 85 y una infraestructura inalámbrica 80, tal como se ha descrito anteriormente. El concepto de un dispositivo de encaminamiento de VPN inalámbrico 75 es nuevo en la industria inalámbrica e implica que puede establecerse una conexión con un dispositivo móvil 100 directamente a través de una red inalámbrica específica 110. La posibilidad de utilizar un dispositivo de encaminamiento de VPN inalámbrico 75 sólo ha llegado a estar disponible recientemente y podrá ser empleada cuando la nueva Versión 6 (IPV6) del Protocolo de Internet (IP) llegue a las redes inalámbricas basadas en IP. Este nuevo protocolo proporcionará suficientes direcciones de IP para dedicar una dirección de IP a cada dispositivo móvil 100 y, de esta forma, hacer posible la impulsión de información hacia un dispositivo móvil 100 en cualquier momento. Una ventaja fundamental de utilizar este dispositivo de encaminamiento de VPN inalámbrico 75 es que éste puede ser un componente de VPN listo para llevar, de manera que no requerirá el uso de una pasarela inalámbrica 85 y una infraestructura inalámbrica 90 independientes. Una conexión de VPN puede consistir en una conexión de Protocolo de Control de Transmisión (TCP)/IP o de Protocolo de Datagrama de Usuario (UDP -"User Datagram Protocol")/IP para entregar los mensajes directamente al dispositivo móvil 100. Si no se dispone de una VPN inalámbrica 75, entonces un enlace 95 a la Internet 20 es el mecanismo de conexión más común de que se dispone y ya se ha descrito anteriormente.

En el sistema de redireccionamiento automático de la Figura 2, un mensaje de correo electrónico compuesto 15 que abandona el emisor de correo electrónico 10, llega al servidor 40 de mensajes y es redirigido por el programa de redireccionamiento 45 al dispositivo móvil 100. Conforme se produce este redireccionamiento, el mensaje 15 es nuevamente envuelto o empaquetado, tal como se indica por la referencia 80, y puede ser aplicado entonces al mensaje original 15 un algoritmo de compresión y encriptación posiblemente poseído en propiedad. De esta forma, los mensajes que son leídos en el dispositivo móvil 100 no son menos seguros que si fueran leídos en una estación de trabajo de sobremesa tal como la indicada por la referencia 35, dentro del cortafuegos. Todos los mensajes intercambiados entre el programa de redireccionamiento 45 y el dispositivo móvil 100 pueden utilizar esta técnica de reempaquetamiento. Otro objetivo de esta envoltura exterior es mantener la información de direccionamiento del mensaje original, a excepción de la dirección del emisor y del receptor. Esto permite que los mensajes de respuesta lleguen al destino apropiado, así como también permite que el campo "de" refleje la dirección de la computadora de sobremesa del usuario móvil. El uso de la dirección del correo electrónico del usuario desde el dispositivo móvil 100 permite que el mensaje recibido tenga un aspecto como si fuera el mensaje originado desde el sistema 35 de sobremesa del usuario, en lugar del dispositivo móvil 100.

Haciendo referencia, de nuevo, a la capacidad de conexión o conectividad de la puerta 50 y del dispositivo colgador 65 al dispositivo móvil 100, este camino de conexión ofrece muchas ventajas con vistas a permitir el intercambio de datos de elementos de gran tamaño de una sola vez. Para los expertos de la técnica de los asistentes personales digitales (PDAs -"personal digital assistants") y la sincronización, los datos más comunes que se intercambian a través de este enlace son datos 55 de Gestión de Información Personal (PIM -"Personal Information Management"). Cuando se intercambian por primera vez, estos datos tienden a ser en grandes cantidades, de naturaleza voluminosa, y requieren una gran anchura de banda para ser cargados en el dispositivo móvil 100, donde pueden ser utilizados sobre la marcha. Este enlace en serie puede ser también utilizado para otros propósitos, incluyendo el establecimiento de una clave de seguridad privada 111, tal como una clave privada específica de S/MIME o PGP, el Certificado (Cert) del usuario y sus Listas de Revocación de Certificado (CRLs -"Certificate Revocation Lists") 60. La clave privada puede ser intercambiada de tal manera que la computadora de sobremesa 35 y el dispositivo móvil 100 compartan una sola personalidad y un solo método para acceder a todo el correo. El Cert y las CRLs son normalmente intercambiados a través de tal enlace debido a que representan una gran cantidad de los datos que son requeridos por el dispositivo para la S/MIME, PGP y otros métodos de seguridad de clave pública.

La Figura 3 muestra con la referencia 140 un sistema para comprobar certificados digitales 154 que están asociados con destinatarios de mensajes. En el ejemplo de la Figura 3, un emisor 150 de mensaje desea enviar un mensaje de correo electrónico 151 a uno o más destinatarios 170 de mensaje. El emisor 150 utiliza datos procedentes de un certificado digital 154 de destinatario con el fin de codificar el mensaje 151 antes de enviarlo a un destinatario 170.

El certificado digital 154 puede incluir muchos tipos diferentes de información para uso en la codificación, tales como el nombre del tenedor del certificado, el número de serie, fechas de expiración, una copia de la clave pública del tenedor del certificado, etc. Los certificados digitales pueden adaptarse a la norma X.509 (u otro tipo de norma) y pueden ser mantenidos en registros accesibles a través de una red 160 desde autoridades de certificado (CAs- "certificate authorities"), de modo que un usuario que se autentifica (por ejemplo, el emisor 150) puede obtener certificados digitales de otros usuarios.

El sistema 140 establece un equilibrio entre la garantía de la seguridad y la conveniencia mediante la comprobación de los certificados digitales 154 con una periodicidad predeterminada. Es decir, una vez que se ha establecido un periodo de tiempo de garantía o aseguramiento 155 que equilibra los aspectos de seguridad con las consideraciones de rendimiento, el sistema 140 comprueba el estado del certificado digital en el caso de que la última comprobación se hubiera producido fuera del periodo de garantía 155. Como ilustración de esto, si se establece un periodo de garantía de cuatro horas y si la comprobación del estado del certificado digital 154 se ha producido hace más de cuatro horas, se lleva a cabo entonces una nueva comprobación del certificado digital 154; en caso contrario, no se realiza ninguna comprobación del certificado digital 154.

En el caso de que falle la comprobación del estado del certificado (por ejemplo, el certificado ha sido revocado), el sistema 140 puede avisar al usuario del dispositivo móvil 100 y permitirle buscar un nuevo certificado o adoptar otra acción correctora. El sistema 140 puede también estar configurado de manera tal, que el usuario puede realizar el envío a ese destinatario con el certificado revocado si aún lo desea.

Ha de comprenderse que es posible seleccionar un periodo de aseguramiento 155 de acuerdo con muchas consideraciones, tal como basándose en una constatación de que una CRL no cambia, típicamente, dentro de pequeñas tramas temporales. Una instalación típica puede ver actualizadas sus CRLs aproximadamente cada cuatro horas y, por tanto, esa periodicidad puede servir como base para especificar el intervalo de tiempo en el dispositivo móvil 100 entre comprobaciones. Si es necesario, puede establecerse un periodo de garantía 155 de manera que provoque una comprobación con cada mensaje enviado o recibido, o bien con cada conexión.

El dispositivo móvil 100 puede ser configurado de modos diferentes con el fin de utilizar un periodo de aseguramiento o garantía 155 para la comprobación de los certificados digitales 154. El emisor 155 de mensaje situado en el dispositivo móvil 100, puede acceder a un módulo o rutina 152 de comprobación de certificado digital. La rutina de comprobación 152 determina si se ha de comprobar la validez de un certificado digital 154 basándose en información sobre el criterio de comprobación de certificados. La información sobre el criterio de comprobación de certificados puede almacenarse en un dispositivo 158 de almacenamiento de datos y ser utilizada por la rutina de comprobación 152 para determinar si debe producirse la comprobación sobre la validez del certificado. Como ilustración de esto, la información sobre el criterio de comprobación incluye información temporal tal como cuál es el periodo de garantía 155 y cuál ha sido el último instante de comprobación 156 para un certificado digital 154.

Tal como se muestra en la Figura 4, el dispositivo 158 de almacenamiento de datos puede estar configurado para contener muchos tipos diferentes de información, tal como múltiples periodos de garantía diferentes (180, 182, 184). Es posible utilizar diferentes periodos de garantía (180, 182, 184) dependiendo de la situación que se tiene. Por ejemplo, puede seleccionarse del dispositivo 158 de almacenamiento de datos de comprobación un primer periodo de garantía 180 por parte de la rutina de comprobación 152, cuando se está tratando un certificado digital procedente de una autoridad de certificación concreta; puede utilizarse un segundo periodo de garantía 182 cuando se está tratando un certificado digital expedido desde una autoridad de certificación diferente. Debe comprenderse que pueden utilizarse diferentes periodos de garantía debido a otros factores, tales como el estatus de confianza, la encriptación o cifrado frente a la firma del mensaje, el nivel de cifrado, la prioridad del mensaje, la importancia del mensaje, etc., aunque no están limitados por éstos.

La Figura 5 ilustra una situación o escenario de funcionamiento para la comprobación de un certificado digital. Un indicador 200 indica que un emisor se está preparando para enviar un mensaje que debe ser cifrado. La etapa de decisión 202 examina si los certificados digitales del (de los) destinatario(s) del mensaje han de ser validados antes de cifrar el mensaje. Si no es necesaria ninguna validación, entonces el mensaje es codificado y enviado en la etapa 206. Sin embargo, en el caso de que uno o más de los certificados digitales necesiten ser validados, entonces dichos certificados son validados en la etapa 204.

La etapa de decisión 208 examina si un mensaje debe ser enviado. Un mensaje puede no ser enviado a un destinatario si el certificado del destinatario no puede ser validado o se produce un fallo en el proceso de validación (por ejemplo, debido a que ha expirado). Si el mensaje no ha de ser enviado, entonces el tratamiento para este escenario de funcionamiento termina en el bloque final 210. Si el mensaje ha de ser enviado, el mensaje es entonces codificado y enviado en la etapa 206. El tratamiento finaliza en el bloque final 210.

La Figura 6 ilustra un escenario de funcionamiento para determinar si un certificado necesita ser validado basándose en consideraciones temporales. El indicador 250 indica que el tratamiento comienza en la etapa 252. La etapa 252 determina el último instante en que fue comprobado un certificado concreto. En el caso de que el último instante de la comprobación se encuentre dentro de un umbral predeterminado (por ejemplo, un periodo de aseguramiento o garantía) según se determina en la etapa de decisión 254, entonces se devuelve una indicación, según se indica por la referencia 256, de que el certificado no ha de ser validado. Sin embargo, si la etapa de decisión 254 determina que el último instante de la comprobación está fuera del umbral predeterminado, entonces se devuelve una indicación, según se indica por la referencia 258, de que el certificado precisa ser validado. Debe comprenderse que, similarmente a los otros flujos de tratamiento que se describen aquí, las etapas y el resto de etapas del diagrama de flujo que se describe aquí, pueden ser alteradas, modificadas y/o ampliadas y seguir consiguiendo el resultado pretendido.

Otro escenario de funcionamiento se muestra en la Figura 7, en la cual un administrador de IP (tecnología de la información -"information technology") 270 especifica el (los) periodo(s) de garantía 272 (por ejemplo, los límites temporales entre mensajes de comprobación) para uno o más dispositivos móviles (por ejemplo, el dispositivo 100). El (los) periodo(s) de garantía 272 es (son) proporcionado(s) al dispositivo móvil 100 a través de la red 160 (u otro mecanismo de conexión de datos) con el fin de actualizar el dispositivo 158 de almacenamiento de datos de comprobación. El dispositivo móvil 100 puede ser preprogramado con un periodo de garantía que puede ser actualizado por el administrador de IT 270, ó puede tener el periodo de garantía inicial proporcionado por un administrador de IT 270. Un sistema puede ser configurado para permitir también a un usuario ajustar un periodo de garantía más arriesgado/seguro. Por ejemplo, si un administrador de IT ha prescrito una comprobación cada cuatro horas, un usuario o usuaria puede establecer en su dispositivo móvil un ajuste más seguro, tal como cada tres horas.

Esto proporciona a las empresas, entre otras cosas, la capacidad de personalizar a su criterio los periodos de garantía que satisfagan sus necesidades. También, un administrador de IT puede proporcionar los mismos ajustes a todos los dispositivos móviles de la compañía, con lo que se asegura que los dispositivos móviles de la empresa están adheridos a una política de IT consistente.

Puede hacerse cumplir una política de IT en los dispositivos móviles de muchas maneras. Las Figuras 8 y 9 describen un ejemplo de esto, y ello se describe adicionalmente en la siguiente Solicitud de Patente de los Estados Unidos asignada en común y que se incorpora aquí como referencia: "Sistema y método para el control por el propietario de dispositivos electrónicos" (Número de publicación: US 2004 255.169). El ejemplo ilustra el modo como puede impe-
dirse a un usuario del dispositivo móvil alterar o borrar periodos de garantía especificados por un administrador de IT.

La Figura 8 es un diagrama de bloques que ilustra un sistema para la inserción de información del propietario e información de control del propietario (por ejemplo, periodo(s) de garantía) en un dispositivo móvil electrónico. El sistema de la Figura 8 incluye un dispositivo electrónico 310, un punto de inserción 320 de información del propietario, y un punto de inserción 330 de información de control del propietario. Se hace referencia, alternativamente, al punto de inserción 320 de información del propietario como punto de marcación, en tanto que se hace referencia, alternativamente, al punto de inserción 330 de control del propietario como punto de control. Se han proporcionado en el dispositivo electrónico 310 un dispositivo de almacenamiento 312 de información de propietario, un dispositivo de almacenamiento 314 de información de control de propietario, así como una interfaz/conectador 316. El punto de inserción 320 de información de propietario incluye una fuente 324 de información de propietario y una interfaz/conectador 322. El punto de inserción 330 de información de control de propietario incluye, similarmente, una fuente 334 de información de control de propietario y una interfaz/conectador 332.

El dispositivo de almacenamiento 312 de información de propietario almacena información, tal como un nombre de propietario u otra información de identificación, que, por ejemplo, identifica un propietario del dispositivo electrónico 310. El dispositivo de almacenamiento 314 de información de control de propietario almacena información que se utiliza para controlar el funcionamiento del dispositivo electrónico 310. La información de control de propietario puede, por ejemplo, ser especificada en un registro de autorización que lista aplicaciones que están autorizadas para ser instaladas y ejecutadas en el dispositivo electrónico 310 (por ejemplo, tal información puede incluir que se ha de utilizar un módulo 152 de comprobación de certificado digital, y con un periodo de garantía concreto). La fuente 324 de información de propietario y la fuente 334 de información de control pueden ser dispositivos de memoria local, módulos de comunicación a través de los cuales son accesibles dispositivos de memoria remotos que almacenan información de propietario e información de control de propietario, o, posiblemente, interfaces de usuario mediante las cuales se introduce información de propietario e información de control de propietario.

La interfaz/conectador 322 es compatible con la interfaz/conectador 316 al objeto de establecer un enlace de comunicación entre el punto de inserción 320 de información de propietario y el dispositivo electrónico 310, a fin de permitir, con ello, la transferencia de información de propietario al dispositivo electrónico 310 desde la fuente 324 de información de propietario. La interfaz/conectador 332 posibilita, de manera similar, la transferencia de información de control de propietario desde la fuente 334 de información de control de propietario al dispositivo electrónico 310 a través de un enlace de comunicación establecido entre las interfaces/conectadores 332 y 316. Las interfaces/conectadores 316, 322 y 332 pueden establecer enlaces de comunicación por cables, de tal manera que las interfaces/conectadores son, por ejemplo, accesos o puertas en serie, o enlaces de comunicación inalámbricos tales como enlaces por infrarrojos, de tal modo que las interfaces/conectadores son módulos de infrarrojos, o bien redes de comunicación inalámbricas. La información de propietario y la información de control de propietario transferidas a un dispositivo son, respectivamente, insertadas o almacenadas en el dispositivo de almacenamiento 312 de información de propietario y en el dispositivo de almacenamiento 314 de información de control de propietario.

El punto de inserción 320 de control de propietario está asociado con un propietario del dispositivo electrónico 310. En el caso de que el dispositivo electrónico 310 se haya proporcionado a un usuario por un empleador, por ejemplo, el punto de inserción 320 de control de propietario puede consistir en un sistema o dispositivo informático controlado por un administrador de sistema informático corporativo o departamento de IT. El dispositivo electrónico 310 se "marca" con información de propietario mediante el establecimiento de un enlace de comunicación entre el punto de inserción 320 de información de propietario y el dispositivo electrónico 310, a través de las interfaces/conectadores 322 y 316, y la inserción, a continuación, de información de propietario en el dispositivo de almacenamiento 312 de información de propietario. A menos que se desee de otra manera, una vez que se ha insertado la información de propietario en el dispositivo móvil 310, tan sólo el propietario o un tercero autorizado por el propietario es capaz, entonces, de cambiar la información de propietario o de insertar o cambiar la información de control de propietario en el dispositivo electrónico
310.

Debido a que la inserción de información de control de propietario en el dispositivo electrónico 310 se restringe una vez que se ha insertado la información de propietario, no se precisa necesariamente que el punto de inserción 330 de información de control de propietario sea controlado por el propietario del dispositivo electrónico 310. Cuando el propietario mantiene el control sobre el punto de inserción 330 de información de control de propietario, los puntos de inserción 320 y 330 pueden ser implementados en el mismo sistema o dispositivo informático y compartir la misma interfaz/conectador. Sin embargo, los puntos de inserción independientes 320 y 330 según se muestra en la Figura 8, permiten a un propietario del dispositivo electrónico delegar la inserción de información de control de propietario en una entidad de confianza. Si la inserción de información de control de propietario se controla utilizando, por ejemplo, firmas digitales, un propietario marca, en primer lugar, el dispositivo electrónico 310 y proporciona a un usuario el dispositivo electrónico 310 y la información de control de propietario, firmada digitalmente. En este caso, el punto de inserción 330 de información de control propietario puede ser el sistema informático del usuario, que es entonces utilizado para insertar la información de control de propietario digitalmente firmada en el dispositivo electrónico 310.

En la mayor parte de las implementaciones, el punto de inserción 320 de información de propietario y el punto de control 330 de información de control de propietario incluyen el mismo tipo de interfaces/conectadores 322 y 332, compatibles con la interfaz/conectador 316 del dispositivo electrónico 310. Sin embargo, el dispositivo electrónico 310 puede incluir, alternativamente, múltiples interfaces/conectadores, de tal manera que los diferentes tipos de interfaces/conectadores pueden ser implementados en un punto de inserción 320 de información de propietario y en un punto de inserción 330 de información de control de propietario. Si bien en la Figura 8 sólo se muestran un único punto de inserción 320 de información de control de propietario y un único punto de inserción 330 de información de control de propietario, un sistema de inserción completo puede incluir más de uno de cada tipo de punto de inserción. En una empresa grande, por ejemplo, los administradores del sistema informático corporativo pueden estar autorizados para llevar a cabo operaciones de inserción de información de propietario desde sistemas informáticos de administrador, o bien desde cualquier sistema informático corporativo desde el que pueda accederse a funciones administrativas, con lo que se proporcionan múltiples puntos de inserción 320 de información de propietario. Similarmente, cuando un propietario permite a los usuarios insertar información de control de propietario firmada digitalmente en los dispositivos electrónicos, cada sistema informático de usuario puede ser utilizado como punto de inserción 330 de información de control de propietario.

\newpage

La Figura 9 es un diagrama de bloques de un dispositivo electrónico en el que puede ser implementado un sistema y un método de control de aplicación de propietario. En la Figura 9, el dispositivo electrónico es un dispositivo móvil 30 configurado para operar dentro de una red inalámbrica. También se muestra en la Figura 9 una herramienta de inserción 64 que se emplea para insertar información de propietario en el dispositivo móvil 30.

Debe ser evidente para los expertos de la técnica que únicamente se muestran en la Figura 9 los componentes implicados en un sistema de control de propietario. Un dispositivo móvil típicamente incluye componentes adicionales, además de los mostrados en la Figura 9. También, el dispositivo móvil 30 constituye un ejemplo ilustrativo de un dispositivo electrónico para el que un propietario puede desear hacer cumplir alguna clase de política o pauta de uso. Un propietario puede también desear controlar el uso de otros tipos de dispositivos electrónicos, tales como, por ejemplo, teléfonos móviles, computadoras portátiles y PDAs.

Como se muestra en la Figura 9, un dispositivo móvil 430 comprende una memoria 432, un procesador 440, un cargador 442 de aplicación, un módulo de inserción 444, una interfaz de usuario (UI -"user interface") 446, un transceptor o transmisor-receptor inalámbrico 448 y una interfaz/conectador 450. La memoria 432 puede incluir un dispositivo de almacenamiento 434 de aplicaciones de software, un dispositivo de almacenamiento 436 de información de propietario, un dispositivo 438 de registro de autorización, así como, posiblemente, otros dispositivos de almacenamiento de datos asociados con otros sistemas de dispositivo, además de los que se han mostrado en la Figura 9, tal como un dispositivo de almacenamiento de datos de comprobación, destinado a almacenar periodo(s) de garantía.

La memoria 432 consiste en un dispositivo de almacenamiento inscribible tal como una RAM [memoria de acceso aleatorio -"random access memory"] o una memoria de tipo Flash o de refrescamiento por impulsos, dentro del cual pueden inscribir datos otros componentes de dispositivo. Sin embargo, el acceso para inscripción y borrado en el dispositivo de almacenamiento 434 de aplicaciones de software, en el dispositivo de almacenamiento 436 de información de propietario y en dispositivo de almacenamiento 438 de registro de autorización, puede estar restringido, pero no necesariamente en todas las implementaciones. Por ejemplo, un usuario del dispositivo móvil 430 puede ser capaz de recuperar datos de los dispositivos de almacenamiento 434, 436 y 438, pero las operaciones de inscripción y de borrado para estos dispositivos de almacenamiento están controladas, tal y como se describe más adelante. El dispositivo de almacenamiento 434 de aplicaciones de software incluye aplicaciones de programación o software que han sido instaladas en el dispositivo móvil 430 y puede incluir, por ejemplo, una aplicación de comprobación de certificado digital, una aplicación de mensajería electrónica, una aplicación de gestión de información personal (PIM -"personal information management"), juegos, así como otras aplicaciones. El dispositivo de almacenamiento 436 de información de propietario almacena información tal como un nombre u otra identificación del propietario, información de integridad de datos y autentificación de la fuente, tal como una clave pública de firma digital asociada con una clave privada de firma digital del propietario. La información de control del propietario, en la que un propietario del dispositivo móvil 430 especifica los permisos y restricciones de uso para el dispositivo móvil 430, se almacena en un registro de autorización, dentro del dispositivo de almacenamiento 438 de registro de autorización. Tales registros de autorización pueden incluir una o más de las anteriormente mencionadas listas requeridas de aplicaciones permitidas y/o excluidas.

El procesador 440 está conectado al transmisor-receptor inalámbrico 448 y habilita, de esta forma, el dispositivo móvil 430 para las comunicaciones a través de una red inalámbrica. El cargador 442 de aplicación y el módulo de inserción 444, que se describen con mayor detalle más adelante, se conectan a la interfaz/conectador 450 para permitir la comunicación con la herramienta de inserción 464 a través de la interfaz/conectador 452 cooperante.

El UI 446 incluye uno o más componentes de UI, tales como un teclado o placa de teclas, un dispositivo de presentación visual u otros componentes que aceptan entradas procedentes de un usuario del dispositivo móvil 430 ó proporcionan salidas a éste. Si bien se ha mostrado como un único bloque en la Figura 9, ha de resultar evidente que un dispositivo móvil 430 incluye, típicamente, más de un UI, y el UI 446 está, por tanto, destinado a representar una o más interfaces de usuario.

La herramienta de inserción 464 incluye un dispositivo de almacenamiento 460 de información de propietario y una interfaz/conectador 452 a través de la cual se intercambia información con el dispositivo móvil 430, y representa, por tanto, un punto de inserción 320 de información de propietario (Figura 8). Tal como se ha descrito anteriormente, un punto de inserción de información de propietario, tal como la herramienta de inserción 464, puede ser controlado por un propietario de un dispositivo electrónico. Por lo tanto, la herramienta de inserción 464 es, por ejemplo, implementada en un sistema informático de administrador que es utilizado por un administrador autorizado para habilitar servicios para el dispositivo móvil 430 ó configurarlo de otra manera. Debido a que los sistemas informáticos conectados a la red pueden, típicamente, ser utilizados por cualquier usuario, la herramienta de inserción 464 puede, en cambio, ser accesible para cualquier sistema informático de una red corporativa, dependiendo del usuario particular que esté en ese momento "conectado" mediante palabra de paso al sistema informático.

El dispositivo de almacenamiento 460 de información de propietario almacena información de propietario destinada a ser insertada en el dispositivo móvil 430, y puede ser implementado, por ejemplo, en un componente de memoria local tal como una pastilla o chip de RAM, un dispositivo de memoria del tipo Flash o de refrescamiento por impulsos, o un dispositivo de accionamiento de disco duro. Cuando la herramienta de inserción 464 está implementada en un sistema informático conectado a la red o en otro dispositivo conectado a red, el dispositivo de almacenamiento 460 de información de propietario puede ser un sistema de memoria remoto tal como un servidor de archivos que sea accesible para la herramienta de inserción 464 a través de una conexión de red. El dispositivo de almacenamiento 460 de información de propietario puede, en lugar de ello, incorporar un lector de memoria tal como un lector de tarjeta inteligente, un lector de tarjeta de memoria, un dispositivo de accionamiento de disco flexible, o bien un dispositivo de accionamiento de CD o de DVD, por ejemplo.

La información es transferida entre la herramienta de inserción 464 y el dispositivo móvil 430, a través de un enlace de comunicación establecido entre las interfaces/conectadores 450 y 452. Las interfaces/conectadores 450 y 452 pueden ser cualesquiera de una pluralidad de componentes de transferencia de datos compatibles, incluyendo, por ejemplo, interfaces de transferencia de datos ópticos, tales como accesos o puertas de acuerdo con la Asociación de Datos Infrarrojos (IrDA -"Infrared Data Association"), otras interfaces de comunicaciones inalámbricas de corto alcance, o bien interfaces conectadas por cable tales como puertas y conexiones en serie o de Bus de Serie Universal (USB -"Universal Serial Bus"). Interfaces de comunicaciones inalámbricas de corto alcance conocidas incluyen, por ejemplo, módulos de tipo "Bluetooth^{TM}" y módulos 802.11, de conformidad, respectivamente, con las especificaciones de Bluetooth^{TM} u 802.11. Resultará evidente para los expertos de la técnica que Bluetooth^{TM} y 802.11 denotan conjuntos de especificaciones, disponibles en el Instituto de Ingenieros Eléctricos y Electrónicos (IEEE -"Institute of Electrical and Electronics Engineers"), respectivamente referentes a LANs (redes de área local -"Local Area Networks") y redes de área personal inalámbricas. Por lo tanto, un enlace de comunicación entre la herramienta de inserción 464 y el dispositivo móvil 430 puede ser una conexión inalámbrica o una conexión con instalación física de cables.

Debido a que las comunicaciones entre la herramienta de inserción 464 y el dispositivo móvil 430 no se han de llevar a cabo, necesariamente, utilizando una conexión física, las referencias a la conexión de un dispositivo móvil a una herramienta de inserción incluyen establecer comunicaciones a través, bien de conexiones físicas o bien de esquemas de transferencia inalámbricos. Así, pues, el dispositivo móvil 430 puede ser conectado a la herramienta de inserción 464 mediante la conexión de puertas en serie en el dispositivo móvil 430 y la herramienta de inserción 464, mediante la colocación del dispositivo móvil 430 de manera tal, que una puerta óptica del mismo se encuentre en la línea de visión de una puerta similar perteneciente a la herramienta de inserción 464, ó por medio de la conexión o disposición del dispositivo móvil 430 y de la herramienta de inserción 464 de alguna otra manera, de tal forma que puedan intercambiarse datos. Las operaciones concretas implicadas en el establecimiento de comunicaciones entre un dispositivo móvil y una herramienta de inserción dependen de los tipos de interfaces y/o conectadores de que se disponga tanto en el dispositivo móvil como en la herramienta de inserción.

La etiqueta o marca de propietario del dispositivo móvil 430 puede ser facilitada por la inserción de información de propietario en el dispositivo móvil 430 con el uso de la herramienta de inserción 464, antes de que el dispositivo móvil 430 sea operable por un usuario. Esto puede conseguirse, por ejemplo, mediante la precarga o carga previa de información de propietario, antes de que se proporcione el dispositivo móvil 430 al usuario por el propietario, o bien antes de configurar el dispositivo móvil 430 para su uso. En el primer ejemplo, el propietario mantiene el control físico del dispositivo móvil 430 hasta que se haya cargado la información de propietario, mientras que, en el último ejemplo, el usuario está en posesión del dispositivo móvil 430 pero puede no ser capaz de hacer uso del dispositivo hasta que se haya configurado por el propietario o al menos se encuentre bajo el control de éste.

La precarga de información de propietario en el dispositivo móvil 430 se lleva a cabo utilizando la herramienta de inserción 464. Tal y como se ha descrito brevemente en lo anterior, la herramienta de inserción 464 puede ser un sistema informático asociado con un administrador de sistema de propietario, o bien un sistema informático que puede ser utilizado por un usuario o administrador de dispositivo móvil. Dependiendo del esquema de precarga de información de propietario, la herramienta de inserción 464 es hecha funcionar por un usuario de dispositivo móvil o por un administrador.

Cuando el dispositivo móvil 430 se ha conectado a la herramienta de inserción 464, se recupera información de propietario del dispositivo de almacenamiento 460 de información de propietario y se transfiere al dispositivo móvil 430 a través de las interfaces/conectadores 452 y 450, y se hace pasar al módulo de inserción 444 dispuesto en el dispositivo móvil 430, el cual almacena la información de propietario en el dispositivo de almacenamiento 436 de información de propietario existente en la memoria 432.

Si bien el módulo de inserción 444 se muestra en la Figura 9 conectado a la interfaz/conectador 450, este módulo se implementa normalmente como un módulo o aplicación de software que es ejecutada por el procesador 440. Así, pues, las transferencias de datos hacia y desde la interfaz/conectador 450 pueden llevarse a efecto, en realidad, mediante el encaminamiento de los datos a través del procesador 440, hacia la interfaz/conectador 450. En este caso, pueden darse instrucciones al procesador 440 por parte de la herramienta de inserción 464 para que ponga en marcha el módulo de inserción 444 antes de que sea transferida la información de propietario al dispositivo móvil 430. Alternativamente, el procesador 440 puede ser configurado de tal manera que ponga en marcha el módulo de inserción 444 siempre que se reciba información del propietario. La herramienta de inserción 464 puede consistir, similarmente, en un módulo o aplicación de software que se ejecute por un procesador (no mostrado) en un sistema o un dispositivo informático en el que opera la herramienta de inserción 464.

La información de propietario que se ha precargado en el dispositivo móvil 430 puede incluir información de integridad de datos y/o de autentificación de fuente, tal como un sistema criptográfico como una clave pública de firma digital que se corresponda con una clave privada de firma digital utilizada por el propietario para firmar digitalmente la información antes de que sea transferida al dispositivo móvil 430. La precarga de la información de integridad de datos y/o de autentificación de fuente hace posible una mayor seguridad en las operaciones de control de propietario. La información de propietario puede incluir también, por ejemplo, un nombre u otro identificador asociado con el propietario del dispositivo móvil 430.

En un esquema de control de propietario en el que se utilizan firmas digitales para verificar la integridad de los datos y autentificar una fuente de datos, una vez que se ha insertado la clave pública de firma digital del propietario en el registro de almacenamiento 436 de información de propietario existente en el dispositivo móvil 430, se inserta información de control de propietario, que especifica permisos y/o restricciones para el dispositivo móvil 430, en el dispositivo móvil 430. Si bien en la Figura 9 se muestra la herramienta de inserción 464 de punto de inserción de información de propietario, resultará evidente por la Figura 8 y la descripción anterior que la información de control de propietario es normalmente insertada en un dispositivo electrónico después de que el dispositivo haya sido marcado mediante la inserción de información de propietario en el dispositivo. Una herramienta de inserción de información de control de propietario (no mostrada), configurada para ser utilizada con el dispositivo móvil 430, es similar a la herramienta de inserción 464, incluyendo un dispositivo de almacenamiento de información de control de propietario y una interfaz/conectador compatible con la interfaz/conectador 450. La información de control de propietario es insertada en el dispositivo móvil 430 y almacenada en forma de un registro de autorización en el dispositivo de almacenamiento 438 de registro de autorización. En el registro de autorización, un propietario del dispositivo móvil 430 especifica una lista de aplicaciones de software que un usuario está autorizado a instalar en el dispositivo móvil 430, así como, posiblemente, una lista de aplicaciones de software requeridas que deben ser instaladas en el dispositivo móvil 430.

Con el fin de evitar que un usuario inserte información de control de propietario falsa para eludir, con ello, el control del propietario, la información de control de propietario puede ser firmada digitalmente utilizando la clave privada de firma digital del propietario, antes de ser transferida al dispositivo móvil 430. El módulo de inserción 444 puede ser configurado para verificar la firma digital antes de que la información de control de propietario sea almacenada en el dispositivo móvil 430. Si la verificación de la firma digital falla, entonces la información de control de propietario no es almacenada en el dispositivo móvil 430.

Los esquemas de firma digital implican, generalmente, alguna clase de transformación de información firmada digitalmente, a fin de hacer posible la comprobación de la integridad de la información y la autentificación de una fuente de la información firmada. Por ejemplo, de acuerdo con una técnica de firma digital conocida, se genera, en primer lugar, un compendio de información que se ha de firmar digitalmente, utilizando un algoritmo o transformación de condensación no reversible. Los algoritmos de condensación conocidos incluyen el Algoritmo de Hashing Seguro 1 (SHA-1) y el algoritmo de Condensación de Mensajes 5 (MD5). Pueden también utilizarse otras técnicas de condensación que producen un compendio único para cada entrada única. El compendio es entonces transformado adicionalmente utilizando una clave privada de firma digital y un algoritmo de firma para generar una firma digital. En la verificación de firma digital, se utiliza una clave pública de firma digital correspondiente a la clave privada.

En el contexto del control de propietario y de la información de control de propietario, la inserción de la clave pública de firma digital del propietario en un dispositivo móvil 430 como parte de la información de propietario, proporciona una seguridad basada en la firma digital de la información de control de propietario. Si toda la información de control de propietario es firmada digitalmente antes de su transferencia al dispositivo móvil 430, entonces el módulo de inserción 444 puede verificar que la información de control de propietario ha sido realmente firmada utilizando la clave privada de firma digital del propietario, conocida sólo por el propietario, y que la información de control de propietario no ha sido modificada desde que fue firmada. De esta manera, únicamente se almacena y se utiliza en el dispositivo móvil la información de control de propietario que se origina con el propietario de un dispositivo móvil 430.

La información de control de propietario es obtenida por medio de una herramienta de inserción de información de control de propietario desde un dispositivo de almacenamiento de información de control de propietario, el cual puede ser un dispositivo remoto de almacenamiento de datos accesible para la herramienta de inserción, un dispositivo de almacenamiento local o alguna forma de lector de memoria, tal y como se ha descrito anteriormente. La información de control de propietario se establece basándose en un conjunto de aplicaciones o funciones de software (por ejemplo, una rutina de comprobación de certificado digital) o datos (por ejemplo, periodo(s) de aseguramiento o garantía) que el propietario desea autorizar en un dispositivo electrónico. Dicha información de control de propietario puede ser entonces firmada digitalmente por un sistema informático o componente de software seguro al que únicamente tengan acceso los administradores, utilizando la clave privada de firma digital del propietario. En este caso, la información de control de propietario firmada es entonces almacenada en una ubicación que es accesible para los sistemas informáticos de administrador y, posiblemente, para otros sistemas informáticos, y recuperada por una herramienta de inserción de información de control de propietario, según se requiera. La herramienta de inserción de información de control de propietario transfiere entonces la información de control de propietario firmada al dispositivo móvil 430. Dependiendo de con qué frecuencia cambia o se espera que cambie la información de control de propietario, la información de control de propietario firmada puede ser distribuida adicionalmente a cada sistema informático de una red con el fin de proporcionar el acceso local a información de control de propietario firmada. Cuando se genera y se firma nueva información de control de propietario, la nueva información de control de propietario firmada puede reemplazar toda las copias existentes de la información de control de propietario, tal y como se describe con mayor detalle más adelante. Una amplia distribución de la información de control de propietario proporciona un acceso más fácil a la información de control de propietario, en tanto que el almacenamiento remoto compartido de información de control de propietario requiere menos actualizaciones a la hora de establecer nueva información de control de propietario.

Es también posible proporcionar soporte a la generación de firma digital para información de control de propietario en una herramienta de inserción de información de control de propietario. Sin embargo, en el presente ejemplo, esto requeriría que la herramienta de inserción de información de control de propietario tuviera acceso a la clave privada de firma digital del propietario. A menos que se desee de otra manera, se prefiere, generalmente, la firma digital de información de control de propietario únicamente por sistemas o componentes informáticos seguros por cuanto que limita el número de sistemas informáticos que pueden acceder a la clave privada de firma digital de propietario.

Cuando se transfiere información de control de propietario firmada al módulo de inserción 444, se llevan a cabo operaciones de verificación de firma digital. Si la firma digital es verificada, entonces la información de control de propietario es almacenada en el dispositivo móvil 430, en el dispositivo de almacenamiento 438 de registro de autorización. En caso contrario, la información de control de propietario no es almacenada. En el caso de que se produzca un fallo en la verificación de la firma digital, puede suministrarse como salida para un usuario una indicación de error o similar en un UI 446 tal como un dispositivo de presentación visual, puede devolverse un mensaje de error a la herramienta de inserción de información de control de propietario, y puede también suministrarse como salida una indicación del fallo para un usuario de la herramienta de inserción de información de control de propietario. Cuando se produce un fallo en la inserción de la información de control de propietario, pueden llevarse a cabo operaciones de reintento u otras operaciones de tratamiento de errores en la herramienta de inserción de información de control de propietario, en el dispositivo móvil 430 ó en ambos.

Una primera operación de inserción de información de propietario para cualquier dispositivo móvil 430 es, preferiblemente, bien efectuada o bien autorizada por un administrador, a fin de garantizar que se inserta una información de control de propietario precisa en el dispositivo móvil 430. Esto impide que un usuario eluda el control por parte del propietario al insertar en el dispositivo móvil 430 una clave pública de firma digital diferente de la clave pública de firma digital del propietario.

Cuando cambia la información de control de propietario, en el caso de que un propietario desee extender o restringir adicionalmente el uso de un dispositivo electrónico, por ejemplo, debe reemplazarse, preferiblemente, cualquier información de control de propietario existente. Tal y como se ha descrito en lo anterior, la nueva información de control de propietario es, preferiblemente, firmada digitalmente, y la nueva información de control de propietario firmada se distribuye a una o más ubicaciones desde las que es recuperada para su inserción en los dispositivos electrónicos.

Son posibles cualesquiera de diversos mecanismos para la distribución subsiguiente de nueva información de control de propietario firmada a los dispositivos electrónicos. Cuando se distribuye a cada herramienta de inserción de información de control de propietario nueva información de control de propietario, la herramienta de inserción puede ser configurada para detectar la recepción de nueva información de control de propietario, y para transferir la nueva información de control de propietario al dispositivo móvil 430 la siguiente vez que el dispositivo móvil 430 sea conectado a la herramienta de inserción de información de control de propietario. Como se ha descrito anteriormente, un punto de inserción 330 de información de control de propietario (Figura 8), tal como una herramienta de inserción de información de control de propietario, puede ser controlado por un usuario de un dispositivo electrónico. Muchos dispositivos electrónicos de módem [modulador-desmodulador] están configurados para ser sincronizados con sistemas informáticos. En tales sistemas, este tipo de distribución de información de control de propietario puede hacerse posible implementando una herramienta de inserción de información de control de propietario en un sistema informático de usuario. Se transfiere entonces nueva información de control de propietario al dispositivo electrónico la siguiente vez que el dispositivo electrónico es sincronizado con el sistema informático.

El almacenamiento inicial de información de control de propietario, así como el reemplazo de información de control de propietario ya existente, es, con ello, en este ejemplo, dependiente de la verificación de una firma digital por parte del módulo de inserción 444. Los expertos de la técnica apreciarán que pueden también llevarse a cabo otras comprobaciones antes de que la información existente sea reemplazada. Con el fin de impedir ataques de repetición, en los que la antigua información de control de propietario es recibida por el dispositivo electrónico, la información de control de propietario incluye, preferiblemente, información sobre la versión. La información de control de propietario ya existente es reemplazada únicamente en el caso de que la información de control de propietario recibida sea más reciente que la información de control de propietario existente. Generalmente, información de control de propietario más reciente tiene un número de versión más alto.

Si bien la información de propietario es insertada en el dispositivo móvil 430 utilizando la herramienta de inserción 464 tal y como se ha descrito anteriormente, los cambios en la información de propietario existente, tal como cuando se modifica el par de claves privada/pública de firma digital de propietario, pueden ser actualizados, alternativamente, en el dispositivo móvil 430 utilizando técnicas de firma digital. Con este fin, la herramienta de inserción 464 puede incluir otros tipos de módulos de comunicación (no mostrados), tales como, por ejemplo, un transmisor-receptor inalámbrico o un conectador de red, que son menos seguros que la interfaz/conectador 452. En ese caso, cualesquiera de tales actualizaciones son dependientes de la verificación de una firma digital que utiliza una clave pública de firma digital en información de propietario ya existente.

La anterior descripción se refiere, principalmente, a la inscripción de información de propietario y de información de control de propietario en una memoria de un dispositivo electrónico tal como el dispositivo móvil 430. Sin embargo, un propietario puede también desear borrar la información de propietario y la información de control de propietario sin reemplazar la información existente con nueva información. En este caso, debido a que la información no se está inscribiendo en la memoria de un dispositivo, no se enviará ninguna información de propietario ni información de control de propietario firmada al dispositivo. En lugar de ello, puede enviarse al dispositivo una orden o petición de borrado. El borrado puede ser una función adicional a la que da soporte el módulo de inserción 444.

Si se ha de borrar información de propietario del dispositivo de almacenamiento 436 de información de propietario, entonces una orden o petición de borrado es firmada digitalmente y enviada al módulo de inserción 444. Al igual que ocurre con la nueva información de propietario o la nueva información de control de propietario, puede enviarse una orden o petición firmada al dispositivo móvil 430 por medio, ya sea de la interfaz/conectador 450, ya sea del transceptor o transmisor-receptor inalámbrico 448. El módulo de inserción 444, con el uso de la clave pública de firma digital del propietario, lleva a cabo la orden o completa la petición sólo si se verifica una forma digital. En caso contrario, la orden o petición puede ser ignorada y puede ser presentada visualmente a un usuario una indicación de error o fallo en un UI 446 existente en el dispositivo móvil 430, devuelta a un sistema o dispositivo de envío que envió la orden o petición, o ambas posibilidades. Pueden llevarse a cabo, entonces, rutinas adicionales de tratamiento de errores o fallos en el sistema o dispositivo de envío.

Como la información de propietario incluye la clave pública de firma digital de propietario en un esquema de control de propietario basado en la firma, es posible controlar rigurosamente el borrado de la información de propietario. Por ejemplo, es posible que únicamente los administradores del sistema del propietario estén autorizados a enviar órdenes o peticiones de borrado. El envío de órdenes o peticiones firmadas al dispositivo móvil 430 queda, por tanto, preferiblemente restringido a los sistemas informáticos o cuentas de administrador, a una herramienta de inserción de información de propietario o a una herramienta de borrado controlada por el propietario. Por ejemplo, una herramienta de inserción tal como la herramienta de inserción 464 puede haberse configurado para borrar del dispositivo móvil 430 información de propietario existente al proporcionar un generador o dispositivo de almacenamiento de orden de borrado que es también acoplado o conectado a la interfaz/conectador 452. De forma alternativa, el borrado de información de propietario puede llevarse a cabo utilizando una herramienta de borrado especializada, controlada por el propietario y que incorpora dicho generador o dispositivo de almacenamiento de orden de borrado y una interfaz con el dispositivo móvil 430. El borrado de información de control de propietario se controla, preferiblemente, de un modo similar.

En el caso de que un sistema de control de propietario esté configurado para proporcionar la capacidad de borrado y, posiblemente, de otras funciones de gestión de información de propietario y de información de control de propietario, se restringe, preferiblemente, el acceso a la clave privada de firma digital del propietario al objeto de controlar la información, las peticiones y las órdenes que puedan ser firmadas digitalmente y enviadas a un dispositivo electrónico. La clave privada de firma digital o las funciones de generación de firma digital pueden ser, por ejemplo, accesibles únicamente para sistemas informáticos o cuentas de conexión mediante palabra de paso de administrador específicos.

Tal como se muestra en la Figura 9, otros sistemas del dispositivo móvil 430 tienen acceso a la memoria 432. Preferiblemente, ningún sistema de dispositivo debería ser capaz de insertar, modificar o borrar información de propietario o información de control de propietario sin facilitar información u órdenes convenientemente firmadas. Cualesquiera dispositivos de almacenamiento de datos, tales como el dispositivo de almacenamiento 436 de información de propietario y el dispositivo de almacenamiento 438 de registro de autorización, que almacenen información de propietario o información de control de propietario, se encuentran, por tanto, preferiblemente situados en zonas de memoria protegidas. De preferencia, únicamente el módulo de inserción 44 tiene acceso de escritura o inscripción y de borrado a estos dispositivos de almacenamiento, de tal manera que se mantiene el control basado en firma digital de la inserción y del borrado de información de propietario y de información de control de propietario. Otros sistemas de dispositivo tienen acceso de sólo lectura a la información de propietario y a la información de control de propietario. En una posible implementación, cualesquiera sistemas o componentes por medio de los cuales la memoria 432 es accesible, se configuran para permitir a la memoria leer operaciones desde cualesquiera posiciones de la memoria 432, pero denegar cualesquiera operaciones de inscripción o borrado en posiciones de memoria que almacenan información de propietario o información de control de propietario, a menos que las operaciones se originen con el módulo de inserción 444 ó estén autorizados por éste. En una implementación alternativa, se proporciona un gestor de memoria (no mostrado) para gestionar todas las operaciones de acceso a la memoria. Dicho gestor de memoria está configurado para dirigir cualesquiera operaciones de inscripción o de borrado que impliquen dispositivos de almacenamiento de información de propietario o de información de control de propietario, al módulo de inserción 444 para la comprobación y la autorización de firma digital, antes de completar las operaciones. La información de propietario o la información de control de propietario puede ser, de esta forma, leída por otros sistemas de dispositivo, pero, preferiblemente, sólo puede ser insertada, modificada o borrada cuando se verifica una firma digital.

Ha de apreciarse que las anteriores operaciones de firma digital de clave pública tienen únicamente la intención de constituir ejemplos ilustrativos. Pueden utilizarse, en su lugar, otros esquemas de firma digital u otros esquemas de comprobación de integridad de datos y de autentificación de fuente, al objeto de verificar la integridad y la fuente de la información u órdenes de control de propietario. Por otra parte, la autentificación y la seguridad descritas aquí, en lo anterior, se utilizan, preferiblemente, para transferir la información de control de aplicación de propietario; sin embargo, diversos sistemas y métodos de control de aplicación de propietario no necesitan utilizar la autentificación y/o la transmisión segura para conseguir el deseado control de aplicación de propietario, tal y como se ha descrito aquí.

En el dispositivo móvil 430, la información de control de propietario está incluida en un registro de autorización que es almacenado en el dispositivo de almacenamiento 438 de registro de autorización. Un registro de autorización especifica aplicaciones de software particulares que están autorizadas para su instalación en el dispositivo móvil 430, y puede también especificar las aplicaciones de software requeridas (por ejemplo, el módulo digital 152 de comprobación de la validez) y los datos (por ejemplo, periodo(s) de garantía que debe(n) ser instalado(s) y utilizado(s) en el dispositivo móvil 430. Dicho registro de autorización proporciona a un propietario del dispositivo móvil un control relativamente riguroso del modo como un usuario hace uso del dispositivo móvil 430, puesto que únicamente pueden ser cargados en el dispositivo aplicaciones de software y/o datos autorizados.

Para aplicaciones autorizadas o requeridas, algunos sistemas pueden proporcionar un control más fino o sofisticado dentro del (de los) registro(s) de autorización. En tales sistemas, el propietario puede proporcionar controles más específicos en las operaciones que puede llevar a cabo la aplicación instalada. Tales controles pueden ser especificados sobre la base de una aplicación individual, o bien, en algunos casos, mediante grupos de aplicaciones. Dichos controles de funcionamiento pueden determinar si una aplicación puede conectarse a recursos externos, y si es así, los canales que se pueden emplear para tales conexiones pueden comunicarse con otras aplicaciones que se ejecutan en el dispositivo y/o pueden acceder a una parte o a la totalidad de la memoria local del dispositivo.

Las operaciones de carga de aplicaciones de software son habilitadas en el dispositivo móvil 430 por el cargador 442 de aplicación. Tal y como se ha descrito anteriormente en relación con el módulo de inserción 444, si bien el cargador 442 de aplicación se ha mostrado conectado a la interfaz/conectador 450, la información puede ser, realmente, intercambiada entre el cargador 442 de aplicación y la interfaz/conectador 450 ó el transmisor-receptor inalámbrico 448, por medio del procesador 440.

Al igual que la información de propietario y la información de control de propietario, las aplicaciones de software pueden ser recibidas por el dispositivo móvil 430 a través de la interfaz/conectador 450 ó el transmisor-receptor inalámbrico 448. Una posible fuente de aplicaciones de software configuradas para el funcionamiento en el dispositivo móvil 430, es un sistema informático de usuario equipado con una interfaz/conectador compatible con la interfaz/conectador 450. Cuando el sistema informático se conecta, por ejemplo, a una LAN corporativa, es posible recuperar de un servidor de archivos existente en la LAN u otro dispositivo de almacenamiento de la LAN, las aplicaciones de software proporcionadas por un propietario corporativo del dispositivo móvil 430, y transferirlas al dispositivo móvil. Un sistema informático puede también, o en lugar de ello, obtener aplicaciones de software para el dispositivo móvil 430 de un dispositivo de almacenamiento local o de otras fuentes, tales como fuentes basadas en la Internet, con las que puede comunicarse el sistema informático.

El cargador 442 de aplicación está configurado, preferiblemente, para determinar si la información de control de propietario se almacena en el dispositivo móvil 430 siempre que se recibe una aplicación de software. Si no hay información de control de propietario en el dispositivo móvil 430, entonces es que no se han establecido controles de propietario para el dispositivo móvil 430, y se instala la aplicación de software. Alternativamente, el cargador 442 de aplicación puede consultar un servidor remoto para actualizar información de control de propietario antes de intentar la instalación. La instalación de la aplicación de software implica, típicamente, operaciones tales como almacenar un archivo de aplicación recibido en el dispositivo de almacenamiento 434 de aplicación de software existente en la memoria 432, extraer archivos para su almacenamiento en el dispositivo de almacenamiento 434 de aplicación de software, o, posiblemente, ejecutar o llevar a cabo un programa o utilidad e instalación. Si se inserta, subsiguientemente, información de control de propietario en el dispositivo móvil 430, las aplicaciones de software ya existentes son, preferiblemente, comprobadas ya sea por el cargador 442 de aplicación, ya sea por el módulo de inserción 444 con el fin de garantizar que todas las aplicaciones de software residentes en el dispositivo móvil 430 son aplicaciones de software autorizadas. Cualesquiera aplicaciones de software que no hayan sido autorizadas son borradas del dispositivo móvil 430 ó convertidas de otras forma en inoperantes.

En algunas circunstancias, puede haberse insertado ya información de propietario en un dispositivo electrónico, pero aún se ha de insertar información de control de propietario. Con el fin de impedir que se cargue una aplicación de software en el dispositivo móvil 430 que no autorice la información de control de propietario subsiguientemente insertada, el dispositivo móvil 430 puede ser sustancialmente inhabilitado, de manera que permita que se ejecute tan sólo un conjunto limitado de funciones de dispositivos, hasta que se inserte la información de control de propietario. Alternativamente, el cargador 442 de aplicación puede estar configurado para determinar si está presente información de propietario en el dispositivo móvil 430 cuando se recibe una aplicación de software. Cuando se encuentra información de propietario, lo que indica que se establecerá y utilizará información de control de propietario para el dispositivo móvil 430, el cargador 442 determina, entonces, si se ha insertado información de control de propietario. En el caso de que se encuentre información de propietario pero no información de control de propietario, el cargador 442 de aplicación no carga la aplicación de software recibida. Pueden llevarse a cabo, entonces, operaciones de tratamiento de errores, tales como la purga de la aplicación de software recibida de cualquier ubicación de memoria temporal en la que se hubiera almacenado cuando se recibió, y, si los recursos de memoria presentes en el dispositivo móvil 430 lo permiten, el almacenamiento de la aplicación de software recibida en el dispositivo móvil 430 de una manera tal, que no sea ejecutable. Cualesquiera aplicaciones de software almacenadas de esta manera son entonces procesadas o tratadas por el cargador 442 de aplicación cuando se inserta información de control de propietario en el dispositivo móvil 430. Si bien, en esta realización, las aplicaciones de software son almacenadas en el dispositivo móvil 430, no serán utilizables hasta que se inserte información de control de propietario en el dispositivo móvil 430 y se confirme que las aplicaciones de software son autorizadas para su instalación. La cantidad de espacio de memoria que se pone a disposición de tales aplicaciones de software es, preferiblemente, limitada, de tal manera que el espacio de memoria disponible no se
verá disminuido por el almacenamiento de aplicaciones de software no comprobadas y, posiblemente, no autorizadas.

Cuando el cargador 442 de aplicación determina que se ha insertado información de control de propietario en el dispositivo móvil 430, el cargador 442 de aplicación determina, entonces, si la aplicación de software recibida está autorizada para su instalación en el dispositivo móvil 430. Si la información de control de propietario incluye una lista de aplicaciones de software autorizadas, el cargador 442 de aplicación busca en la lista con el fin de determinar si la aplicación de software recibida es una de las aplicaciones de software autorizadas. Una lista de aplicaciones de software autorizadas incluye, preferiblemente, información que identifica unívocamente las aplicaciones de software autorizadas, tal como, por ejemplo, una miscelánea del código de fuente de aplicación de software o del código ejecutable. Debido a que el desarrollador de aplicaciones de software es libre de escoger un nombre de archivo para cada aplicación de software, los nombres de archivo pueden no proporcionar una comprobación de autorización fiable. Sin embargo, si un propietario genera una miscelánea de cada aplicación de software autorizada e incluye la miscelánea en la información de control de propietario que se inserta en el dispositivo móvil 430, entonces únicamente pueden instalarse en el dispositivo móvil 430 versiones concretas de aplicaciones de software autorizadas. El cargador 442 de aplicación genera una miscelánea de cualquier aplicación de software que se reciba, e instala la aplicación de software únicamente si la miscelánea generada coincide con una miscelánea contenida en la información de control de propietario. A fin de dar soporte a diferentes algoritmos de mezcla en diferentes dispositivos electrónicos, un propietario de dispositivo genera más de una miscelánea de cada aplicación de software e incluye cada miscelánea en la información de control de propietario insertada en cada dispositivo electrónico en posesión. Un dispositivo electrónico puede entonces utilizar cualquiera de un cierto número de algoritmos de mezcla diferentes para generar una miscelánea de una aplicación de software recibida. Por supuesto, pueden utilizarse también otras transformaciones exclusivas o unívocas distintas de las misceláneas para generar información de control de propietario y para determinar si las aplicaciones de software recibidas están autorizadas por la instalación.

La información de control de propietario puede también incluir una lista de aplicaciones de software requeridas que identifica de forma unívoca las aplicaciones de software que el propietario de un dispositivo electrónico establece como obligatorias. Una lista de aplicaciones de software requeridas permite a un propietario garantizar que cada dispositivo electrónico en propiedad permite la posibilidad de ciertas funciones, tales como, por ejemplo, la mensajería electrónica y las comunicaciones seguras. Las aplicaciones de software contenidas en una lista de aplicaciones de software requeridas pueden ser identificadas de forma unívoca por una o más misceláneas, tal y como se ha descrito anteriormente en el contexto de las aplicaciones autorizadas. El procesador 440, el cargador 442 de aplicación, el módulo de inserción 444 ó un componente de dispositivo o sistema adicional, están configurados para la realización de comprobaciones periódicas con el fin de garantizar que cada una de las aplicaciones de software requeridas está presente en el dispositivo móvil 430, y que una miscelánea de cada aplicación de software requerida coincide con una miscelánea contenida en la lista de aplicaciones de software requeridas. En el caso de que una aplicación de software requerida no esté presente en el dispositivo o su miscelánea no coincida con ninguna miscelánea de la lista de aplicaciones de software requeridas, lo que se produciría cuando una aplicación de software ha sido modificada, el dispositivo móvil 430, ó al menos algunas de sus funciones, puede volverse inutilizable. Alternativamente, el dispositivo móvil 430 puede descargar e instalar aplicaciones extraviadas o corrompidas de una forma transparente para el usuario del dispositivo; después de una instalación satisfactoria de todos los programas requeridos, se restituye la operatividad del dispositivo.

Los sistemas y los métodos que aquí se describen se presentan sólo a modo de ejemplo y no tienen intención de limitar el ámbito de la invención. Otras variaciones de los sistemas y métodos descritos en lo anterior resultarán evidentes para los expertos de la técnica y, como tales, se consideran comprendidas en el ámbito de la invención. Debe comprenderse, por ejemplo, que los sistemas y los métodos aquí descritos pueden ser utilizados siempre que se haga uso de una validación de un certificado digital, tal como las comprobaciones de estado de certificado utilizando OCSP. La Figura 10 ilustra otra situación en la que se realiza una determinación de comprobación de estado de certificado por parte de un destinatario 520 de un mensaje procedente de un remitente 500, recibido a través de una red 510. Una rutina 522 de comprobación de certificado digital determina si el certificado digital asociado con el remitente 500 necesita ser validado antes de procesar o tratar el mensaje. La rutina de comprobación 522 puede basar su decisión en un periodo de aseguramiento o garantía 524 y en el momento en que se comprobó por última vez el certificado digital. Otras situaciones en las que puede emplearse la comprobación de certificado digital incluyen: negociar una conexión segura (SSL/TLS); u otros esquemas de comunicación segura basados en certificado (por ejemplo, PGP), si bien no están limitadas por éstas.

Como ejemplo adicional, los sistemas y los métodos aquí descritos pueden ser utilizados con muchas computadoras y dispositivos diferentes, tales como un dispositivo de comunicaciones móviles inalámbricas, que se muestra en la Figura 11. Haciendo referencia a la Figura 11, el dispositivo móvil 100 es un dispositivo móvil de modo dual e incluye un transceptor o transmisor-receptor 611, un microprocesador 638, un dispositivo de presentación visual 622, memoria no volátil 624, memoria de acceso aleatorio (RAM -"random access memory") 626, uno o más dispositivos de entrada salida (E/S -"I/O (input/output)") auxiliares 628, un acceso o puerta en serie 630, un teclado 632, un altavoz 634, un micrófono 636, un subsistema de comunicaciones inalámbricas de corto alcance 640, así como otros subsistemas 642 del dispositivo.

El transmisor-receptor 611 incluye un receptor 612, un transmisor 614, unas antenas 616 y 618, uno o más osciladores locales 613 y un procesador de señal digital (DSP -"digital signal processor") 620. Las antenas 616 y 618 pueden consistir en elementos de una antena de múltiples elementos y son, preferiblemente, antenas empotradas o incorporadas. Sin embargo, los sistemas y los métodos que aquí se describen no están en ningún modo limitados a un tipo particular de antena, ni siquiera a dispositivos de comunicación inalámbricos.

El dispositivo móvil 100 es, preferiblemente, un dispositivo de comunicación en ambos sentidos que tiene capacidades de comunicación de voz y de datos. Así, por ejemplo, el dispositivo móvil 100 puede comunicarse a través de una red de voz, tal como cualquiera de las redes celulares analógicas o digitales, y puede comunicarse también a través de una red de datos. Las redes de voz y de datos están representadas en la Figura 11 por la torre de comunicaciones 619. Estas redes de voz y de datos pueden ser redes de comunicación independientes que utilizan una infraestructura independiente, tal como estaciones de base, controladores de red, etc., o bien pueden estar integradas en una única red inalámbrica individual.

El transmisor-receptor 611 se utiliza para comunicarse con la red 619, e incluye el receptor 612, el transmisor 614, los uno o más osciladores locales 613 y el DSP 620. El DSP 620 se utiliza para enviar y recibir señales hacia y desde los transmisores-receptores 616 y 618, y proporciona también información de control al receptor 612 y al transmisor 614. Si las comunicaciones de voz y de datos se producen en una única frecuencia o en conjuntos estrechamente separados de frecuencias, entonces puede utilizarse un único oscilador local 613 en combinación con el receptor 612 y el transmisor 614. Alternativamente, si se utilizan diferentes frecuencias, por ejemplo, para las comunicaciones de voz frente a las comunicaciones de datos, entonces puede utilizarse una pluralidad de osciladores locales 613 para generar una pluralidad de frecuencias correspondientes a las redes 619 de voz y de datos. La información, que incluye información tanto de voz como de datos, es comunicada hacia y desde el transmisor-receptor 611 a través de un enlace entre el DSP 620 y el microprocesador 638.

El diseño detallado del transmisor-receptor 611, tal como la banda de frecuencias, la selección de componentes, el nivel o magnitud de potencia, etc., dependerá de la red de comunicación 619 en la que se pretenda hacer funcionar el dispositivo móvil 100. Por ejemplo, un dispositivo móvil 100 destinado a operar en un mercado norteamericano puede incluir un transmisor-receptor 611, diseñado para funcionar con cualquiera de una variedad de redes de comunicación por voz, tales como las redes de comunicación de datos móviles Mobitex o DataTAC, AMPS, TDMA, CDMA, PCS, etc., en tanto que un dispositivo móvil 100 destinado a ser utilizado en Europa puede estar configurado para operar con la red de comunicación de datos de GPRS y la red de comunicación de voz de GSM. Pueden también utilizarse otros tipos de redes de datos y de voz, tanto independientes como integradas, con un dispositivo móvil 100.

Dependiendo del tipo de las redes 619, pueden también variar los requisitos de acceso para el dispositivo móvil 100. Por ejemplo, en las redes de datos Mobitex y DataTAC, los dispositivos móviles se registran en la red utilizando un número de identificación único o específico asociado con cada dispositivo móvil. En las redes de datos de GPRS, sin embargo, el acceso a la red está asociado con un abonado o usuario de un dispositivo móvil. Un dispositivo de GPRS requiere, típicamente, un módulo de identidad de abonado (SIM -"subscriber identity module") que es necesario para hacer funcionar un dispositivo móvil en una red de GPRS. Pueden ponerse en funcionamiento funciones de comunicación que no son de red, o locales, (si las hay) sin el dispositivo de SIM, pero un dispositivo móvil será incapaz de llevar a cabo cualesquiera funciones que impliquen comunicaciones a través de la red 619 de datos, diferentes de cualesquiera operaciones legalmente permitidas, tales como una llamada de emergencia al "911".

Una vez que se han completado cualesquiera procedimientos de registro o de activación de red requeridos, el dispositivo móvil 100 puede enviar y recibir entonces señales de comunicación, incluyendo tanto señales de voz como de datos, a través de las redes 619. Las señales recibidas por la antena 616 desde la red de comunicación 619 son encaminadas al receptor 612, el cual proporciona la amplificación de las señales, su conversión en frecuencia en sentido descendente, filtrado, selección de canal, etc., y puede también proporcionar su conversión de analógicas a digitales. La conversión de analógicas a digitales de las señales recibidas hace posibles funciones de comunicación más complejas, tales como la desmodulación y la descodificación digitales que se han de llevar a cabo utilizando el DSP 620. De una manera similar, las señales que se han de transmitir a la red 619 han de ser tratadas, incluyendo su modulación y codificación, por ejemplo, por el DSP 620 y son entonces proporcionadas al transmisor 614 para su conversión de analógicas a digitales, su conversión en frecuencia en sentido ascendente, su filtrado, su amplificación y su transmisión a la red de comunicación 619 a través de la antena 618.

Además de procesar o tratar las señales de comunicación, el DSP 620 también permite la posibilidad del control del transmisor-receptor. Por ejemplo, las magnitudes o niveles de ganancia aplicados a las señales de comunicación en el receptor 612 y en el transmisor 614, pueden ser controlados de forma adaptativa por medio de algoritmos de control de ganancia automática implementados en el DSP 620. Pueden también implementarse otros algoritmos de control de transmisor-receptor en el DSP 620 a fin de proporcionar un control más sofisticado del transmisor-receptor
611.

El microprocesador 638 gestiona y controla, preferiblemente, el funcionamiento global del dispositivo móvil 100. Pueden utilizarse aquí muchos tipos de microprocesadores y microcontroladores, o bien, alternativamente, es posible emplear un único DSP 620 para llevar a cabo las funciones del microprocesador 638. Las funciones de comunicación de bajo nivel, incluidas al menos las comunicaciones de datos y de voz, son llevadas a cabo por medio del DSP 620 del transmisor-receptor 611. Otras aplicaciones de comunicación de alto nivel, tales como una aplicación 624A de comunicación de voz y una aplicación 624B de comunicación de datos, pueden ser almacenadas en la memoria no volátil 624 para su ejecución por parte del microprocesador 638. Por ejemplo, el módulo 624A de comunicación de voz puede proporcionar una interfaz de usuario de alto nivel para transmitir y recibir llamadas de voz entre el dispositivo móvil 100 y una pluralidad de otros dispositivos de voz o en modo dual a través de la red 619. Similarmente, el módulo 624B de comunicación de datos puede proporcionar una interfaz de usuario de alto nivel susceptible de hacerse funcionar para enviar y recibir datos, tales como mensajes de correo electrónico, archivos, información de organizador, mensajes de texto cortos, etc., entre el dispositivo móvil 100 y una pluralidad de otros dispositivos de datos a través de las redes 619.

El microprocesador 638 también interactúa con otros subsistemas de dispositivo, tales como el dispositivo de presentación visual 622, la RAM 626, los subsistemas de entrada/salida (E/S -"I/O (input/output)"), la puerta en serie 630, el teclado 632, el altavoz 634, el micrófono 636, el subsistema de comunicaciones de corto alcance 636 y cualesquiera otros subsistemas de dispositivo generalmente designados con la referencia 642.

Algunos de los subsistemas que se muestran en la Figura 11 llevan a cabo funciones relacionadas con la comunicación, en tanto que otros subsistemas pueden proporcionar funciones "residentes" o radicadas en el dispositivo. De forma notable, algunos subsistemas, tales como el teclado 632 y el dispositivo de presentación visual 622, pueden ser utilizados tanto para funciones relacionadas con la comunicación, tales como la introducción de un mensaje de texto para su transmisión a través de una red de comunicación de datos, y funciones residentes en el dispositivo, tales como una calculadora o lista de tareas, u otras funciones del tipo de PDA.

El software de sistema operativo utilizado por el microprocesador 638 es, preferiblemente, almacenado en un dispositivo de almacenamiento permanente tal como una memoria no volátil 624. La memoria no volátil 624 puede ser implementada, por ejemplo, como un componente de memoria de tipo Flash o como una RAM reforzada por batería. Además del sistema operativo, que controla las funciones de bajo nivel del dispositivo móvil 610, la memoria no volátil 624 incluye una pluralidad de módulos de software 624A-624N que pueden ser ejecutados por el microprocesador 638 (y/o el DSP 620), incluyendo un módulo 624A de comunicación de voz, un módulo 624B de comunicación de datos y una pluralidad de otros módulos operativos 624N para llevar a cabo una pluralidad de funciones diferentes. Estos módulos son ejecutados por el microprocesador 638 y proporcionan una interfaz de alto nivel entre un usuario y el dispositivo móvil 100. Esta interfaz incluye, típicamente, un componente gráfico proporcionado a través del dispositivo de presentación visual 622, así como un componente de entrada/salida proporcionado a través de la E/S auxiliar 628, el teclado 632, el altavoz 634 y el micrófono 636. El sistema operativo, las aplicaciones o módulos específicos de dispositivo, o partes de ellos, pueden ser temporalmente cargados en un almacenamiento volátil, tal como la RAM 626, para un funcionamiento más rápido. Por otra parte, las señales de comunicación recibidas pueden también ser temporalmente almacenadas en la RAM 626 antes de inscribirlas permanentemente en un sistema de archivo situado en un dispositivo de almacenamiento permanente, tal como la memoria de tipo Flash o de almacenamiento por impulsos 624.

Un módulo 624N de aplicación proporcionado a modo de ejemplo, que puede ser cargado en el dispositivo móvil 100, es una aplicación de gestor de información personal (PIM -"personal information manager") que proporciona capacidad funcional de PDA, tal como acontecimientos de calendario, citas y quehaceres. Este módulo 624N puede también interactuar con el módulo 624A de comunicación de voz para la gestión de llamadas telefónicas, mensajes de voz, etc., y puede también interactuar con el módulo de comunicación de datos para gestionar comunicaciones de correo electrónico y otras transmisiones de datos. De manera alternativa, toda la capacidad funcional del módulo 624A de comunicación de voz y del módulo 624B de comunicación de datos puede ser integrada en el módulo de PIM.

La memoria no volátil 624 proporciona también, preferiblemente, un sistema de archivo destinado a facilitar el almacenamiento de elementos de datos de PIM en el dispositivo. La aplicación de PIM incluye, preferiblemente, la capacidad de enviar y recibir elementos de datos, ya sea por sí misma, ya sea en combinación con los módulos de comunicación de voz y de datos, 624A y 624B, a través de las redes inalámbricas 619. Los elementos de datos de PIM son, preferiblemente, integrados sin discontinuidades, sincronizados y actualizados a través de las redes inalámbricas 619, con un conjunto correspondiente de elementos de datos almacenados o asociados con un sistema informático principal o anfitrión, creando, con ello, un sistema de imagen especular para los elementos de datos asociados con un usuario particular.

Los objetos de contexto que representan, al menos parcialmente, elementos de datos descodificados, así como elementos de datos completamente descodificados, son almacenados, preferiblemente, en el dispositivo móvil 100, en un dispositivo de almacenamiento volátil y no permanente tal como la RAM 626. Dicha información puede, en lugar de ello, ser almacenada en la memoria no volátil 624, por ejemplo, cuando los intervalos de almacenamiento son relativamente cortos, de tal manera que la información es extraída de la memoria poco después de ser almacenada. Sin embargo, se prefiere el almacenamiento de esta información en la RAM 626 ó en otro dispositivo de almacenamiento volátil y no permanente, a fin de garantizar que la información es borrada de la memoria cuando el dispositivo móvil 100 pierde potencia. Esto impide que un tercero no autorizado obtenga cualquier información almacenada codificada o parcialmente codificada, por ejemplo, al extraer una pastilla o chip de memoria del dispositivo móvil 100.

El dispositivo móvil 100 puede ser sincronizado manualmente con un sistema anfitrión colocando el dispositivo 100 en un dispositivo colgador, el cual acopla la puerta en serie 630 del dispositivo móvil 100 a la puerta en serie de un sistema o dispositivo informático. La puerta en serie 630 puede ser también utilizada para permitir a un usuario ajustar sus preferencias a través de un dispositivo externo o una aplicación de software, o para descargar otros módulos de aplicación 624N para su instalación. Este camino de descarga cableado puede ser utilizado para cargar una clave de encriptación o cifrado en el dispositivo, lo que constituye un método más seguro que intercambiar información de cifrado a través de la red inalámbrica 619. Pueden proporcionarse interfaces para otros caminos de descarga cableados en el dispositivo móvil 100, además de la puerta en serie 630 ó en lugar de ella. Por ejemplo, una puerta de USB puede proporcionar una interfaz con una computadora personal similarmente equipada.

Pueden cargarse módulos de aplicación adicionales 624N en el dispositivo móvil 100 a través de las redes 619, a través de un subsistema de E/S auxiliar 628, a través de la puerta en serie 630, a través del subsistema de comunicaciones de corto alcance 640, ó bien a través de cualquier otro subsistema adecuado 642, e instalarse por un usuario en la memoria no volátil 624 ó en la RAM 626. Dicha flexibilidad en la instalación de la aplicación aumenta la capacidad funcional del dispositivo móvil 100 y puede proporcionar funciones radicadas en el dispositivo, funciones relacionadas con la comunicación, o ambas, mejoradas. Por ejemplo, las aplicaciones de comunicación seguras pueden permitir la posibilidad de llevar a cabo funciones de comercio electrónico y otras transacciones financiaras semejantes utilizando el dispositivo móvil 100.

Cuando el dispositivo móvil 100 está funcionando en un modo de comunicación de datos, una señal recibida, tal como un mensaje de texto o una descarga de página web, es tratada por el módulo transmisor-receptor 611 y proporcionada al microprocesador 638, el cual trata preferiblemente, de manera adicional, la señal recibida en múltiples etapas según se ha descrito anteriormente, para suministrarla finalmente como salida al dispositivo de presentación visual 622 ó, alternativamente, a un dispositivo de E/S auxiliar 628. Un usuario de dispositivo móvil 100 puede también componer elementos de datos, tales como mensajes de correo electrónico, utilizando el teclado 632, el cual es, preferiblemente, un teclado alfanumérico completo dispuesto al estilo QWERTY, aunque pueden también utilizarse otros estilos de teclados alfanuméricos completos, tales como el conocido estilo DVORAK. La introducción por parte del usuario en el dispositivo móvil 100 se ve mejorada adicionalmente con una pluralidad de dispositivos de E/S auxiliares 628, los cuales pueden incluir un dispositivo de introducción de rueda, una almohadilla táctil, una diversidad de conmutadores, un conmutador de introducción de balancín u oscilante, etc. La introducción de elementos de datos compuestos por parte del usuario puede ser entonces transmitida a través de las redes de comunicación 619, por medio del módulo transmisor-receptor 611.

Cuando el dispositivo móvil 100 está funcionando en un modo de comunicación de voz, el funcionamiento global del dispositivo móvil es sustancialmente similar al modo de datos, a excepción de que las señales recibidas son, preferiblemente, suministradas como salida al altavoz 634, y se generan señales de voz para su transmisión por medio de un micrófono 636. Pueden implementarse también en el dispositivo móvil subsistemas de E/S de voz o de audio alternativos, tales como subsistemas de grabación de mensajes de voz. Aunque la salida de señales de voz o de audio se lleva a cabo, de preferencia, fundamentalmente por medio del altavoz 634, el dispositivo de presentación visual 622 puede ser también utilizado para proporcionar una indicación de la identidad de un tercero que llama, la duración de una llamada de voz u otra información relacionada con la llamada de voz. Por ejemplo, el microprocesador 638, en combinación con el módulo de comunicación de voz y el software del sistema operativo, puede detectar la información de identificación del llamante de una llamada de voz entrante y presentarla visualmente en el dispositivo de presentación visual 622.

Se incluye también en el dispositivo móvil 100 un subsistema de comunicaciones de corto alcance 640. El subsistema 640 puede incluir un dispositivo de infrarrojos así como circuitos y componentes asociados, o bien un módulo de comunicación de RF de corto alcance, tal como, por ejemplo, un módulo de Bluetooth^{TM} o un módulo 802.11, a fin de hacer posible la comunicación con sistemas y dispositivos similarmente habilitados. Los expertos de la técnica apreciarán que "Bluetooth^{TM}" y "802.11" se refieren a conjuntos de especificaciones disponibles en el Instituto de Ingenieros Eléctricos y Electrónicos, referentes, respectivamente, a redes de área personal inalámbricas y a redes de área local inalámbricas.

Claims (22)

1. Un método para manejar en un dispositivo móvil (100) un certificado digital (154) de un destinatario (170) de un mensaje (151) que se ha de enviar, o de un remitente (500) de un mensaje recibido, de manera que el certificado digital (154) está destinado a ser utilizado por el dispositivo móvil (100) para tratar el mensaje electrónico (151), de tal modo que dicho método está caracterizado por que comprende:

a la hora de prepararse para el envío del mensaje (151) al destinatario (170) o tras haber recibido el mensaje del remitente (500), determinar, en el dispositivo móvil (100), un momento previo (156, 526) en que se comprobó la validez del certificado digital (154); y

comprobar, en el dispositivo móvil (100), la validez del certificado digital (154) si el lapso de tiempo desde dicho momento previo (156, 526) en que se comprobó previamente la validez del certificado digital (154), satisface un criterio preseleccionado (155, 524).

2. El método de acuerdo con la reivindicación 1, según el cual el método de la reivindicación 1 está destinado a utilizarse en un dispositivo de comunicación inalámbrica móvil (100).

3. El método de acuerdo con la reivindicación 1, según el cual el método de la reivindicación 1 está destinado a utilizarse en un asistente personal digital, PDA.

4. El método de acuerdo con la reivindicación 1, en el cual el certificado digital (154) establece la identidad de un destinatario (170) del mensaje.

5. El método de acuerdo con la reivindicación 1, en el cual el mensaje electrónico (151) es un mensaje de correo electrónico.

6. El método de acuerdo con la reivindicación 1, en el cual comprobar la validez del certificado digital (154) incluye comunicarse a través de la red inalámbrica (160) con un servicio remoto que valida certificados digitales (154).

7. El método de acuerdo con la reivindicación 1, en el cual comprobar la validez del certificado digital (154) incluye comunicarse a través de una red inalámbrica (160) con una autoridad de certificación remota.

8. El método de acuerdo con una reivindicación 1, en el cual la validez del certificado digital (154) no se comprueba si el momento previo (156) en que se comprobó la validez del certificado digital (154) se encuentra dentro de un criterio de periodo de tiempo de aseguramiento o garantía (155).

9. El método de acuerdo con la reivindicación 8, en el cual se selecciona un valor de tiempo para el criterio de periodo de tiempo de garantía (155) basándose en una consideración de seguridad y en una consideración de rendimiento del dispositivo móvil.

10. El método de acuerdo con la reivindicación 1, en el cual se utilizan datos procedentes del certificado digital (154) para codificar o descodificar el mensaje electrónico (151).

11. El método de acuerdo con la reivindicación 10, en el cual la codificación o descodificación incluye el tratamiento de firma digital, el tratamiento de encriptación o cifrado, el tratamiento de desencriptación o descifrado, así como combinaciones de éstos.

12. El método de acuerdo con la reivindicación 11, en el cual se utiliza una clave pública obtenida del certificado digital (154) en la codificación del mensaje electrónico (151).

13. El método de acuerdo con la reivindicación 11, en el cual se utiliza una clave pública obtenida del certificado digital (154) en el tratamiento de una firma digital asociada con el mensaje electrónico (151).

14. El método de acuerdo con la reivindicación 1, en el cual el certificado digital (154) no se utiliza si falla el estado de la validación del certificado digital comprobado.

15. El método de acuerdo con la reivindicación 1, en el cual el usuario determina si aún se ha de enviar el mensaje electrónico (151) a pesar de que falle el estado de la validación del certificado digital comprobado.

16. El método de acuerdo con la reivindicación 1, en el cual se utilizan diferentes periodos de garantía (180, 182, 184) respectivamente para determinar si se ha de comprobar la validez de diferentes certificados digitales (154), y no se comprueba la validez de un certificado digital si el momento previo en que se comprobó la validez del certificado digital se encuentra dentro del periodo de garantía respectivo.

17. Un aparato (140) para manejar en un dispositivo móvil (100) un certificado digital (154) de un destinatario (170) de un mensaje (151) que se ha de enviar, o de un remitente (500) de un mensaje recibido, de manera que el certificado digital (154) está destinado a ser utilizado por el dispositivo móvil (100) para tratar el mensaje electrónico (151), de tal modo que el aparato está caracterizado por que está configurado para

determinar, en el dispositivo móvil (100) y cuando se prepara para enviar el mensaje (151) al destinatario (170), o tras haber recibido el mensaje del remitente (500), un momento previo (156, 526) en que se comprobó la validez del certificado digital (154); y

comprobar, en el dispositivo móvil (100), la validez del certificado digital (154) si el lapso de tiempo desde dicho momento previo (156, 526) en que se comprobó previamente la validez del certificado digital (154), satisface un criterio preseleccionado (155, 524).

18. El aparato de acuerdo con la reivindicación 17, de tal modo que el aparato comprende:

un dispositivo (158) de almacenamiento de datos, que se encuentra en el dispositivo móvil (100) y está configurado para almacenar información (155, 524) sobre el criterio de comprobación de certificado;

de manera que dicha información (155, 524) sobre el criterio de comprobación incluye datos temporales relacionados con la comprobación del certificado digital (154); y

un módulo de comprobación (152, 522), que se encuentra en el dispositivo móvil (100) y tiene acceso al dispositivo (158) de almacenamiento de datos;

de tal modo que dicho módulo de comprobación (152, 522) determina si se ha de comprobar la validez del certificado digital (154) basándose en la información (155) sobre el criterio de comprobación de certificado almacenada en la estructura de datos;

en el cual se comprueba la validez del certificado digital (154) basándose en la determinación llevada a cabo por el módulo de comprobación (152, 522).

19. El aparato (140) de acuerdo con la reivindicación 18, de tal manera que el aparato (140) está destinado a ser utilizado en un dispositivo de comunicación inalámbrica móvil (100).

20. El aparato (140) de acuerdo con la reivindicación 18, de tal manera que el aparato (140) está destinado a ser utilizado en un asistente personal digital, PDA.

21. El aparato (140) de acuerdo con la reivindicación 18, en el cual la comprobación de la validez del certificado digital (154) incluye la comunicación a través de una red inalámbrica (160) con una autoridad de certificación remota.

22. El aparato (140) de acuerdo con la reivindicación 18, en el cual el dispositivo (158) de almacenamiento de datos incluye una estructura de datos destinada a contener diferentes periodos de garantía (180, 182, 184);

de tal manera que los diferentes periodos de garantía (180, 182, 184) son utilizados, respectivamente, para determinar si se ha de comprobar la validez de diferentes certificados digitales (154), y el módulo de comprobación está configurado para no comprobar la validez del certificado digital si el momento previo en que se comprobó la validez del certificado digital se encuentra dentro del periodo de garantía respectivo.