JP2009284505A - 電子装置の所有者管理のシステムおよび方法 - Google Patents
電子装置の所有者管理のシステムおよび方法 Download PDFInfo
- Publication number
- JP2009284505A JP2009284505A JP2009165034A JP2009165034A JP2009284505A JP 2009284505 A JP2009284505 A JP 2009284505A JP 2009165034 A JP2009165034 A JP 2009165034A JP 2009165034 A JP2009165034 A JP 2009165034A JP 2009284505 A JP2009284505 A JP 2009284505A
- Authority
- JP
- Japan
- Prior art keywords
- owner
- information
- management information
- electronic device
- portable device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F1/00—Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2103—Challenge-response
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2143—Clearing memory, e.g. to prevent the data from being stolen
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2149—Restricted operating environment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2153—Using hardware token as a secondary aspect
Abstract
【課題】電子装置を所有者によって管理するシステムおよび方法の提供。
【解決手段】データ完全性情報および供給元認証情報などの所有者識別情報が、電子装置に保存される。受信された所有者管理情報が電子装置に保存され、受信された所有者管理情報の完全性の検証および/または供給元の認証が、所有者識別情報を使用して行なわれる。一実施の形態においては、所有者識別情報が、所有者署名秘密鍵を含んでいる。1つの実施形態において、上述の所有者識別情報は、受信した所有者管理情報の完全性をチェックするために使用されるデータ完全性情報を含んでいる方法が、本発明によって提供される。
【選択図】図6
【解決手段】データ完全性情報および供給元認証情報などの所有者識別情報が、電子装置に保存される。受信された所有者管理情報が電子装置に保存され、受信された所有者管理情報の完全性の検証および/または供給元の認証が、所有者識別情報を使用して行なわれる。一実施の形態においては、所有者識別情報が、所有者署名秘密鍵を含んでいる。1つの実施形態において、上述の所有者識別情報は、受信した所有者管理情報の完全性をチェックするために使用されるデータ完全性情報を含んでいる方法が、本発明によって提供される。
【選択図】図6
Description
本システムは、広くは電子装置に関し、詳しくは装置所有者によるそのような装置の動作の制御に関する。
企業社会においては、従業員に職務の遂行に使用されるべき事務用品および設備が提供されることがしばしばである。標準的な設備には、通常は少なくともパーソナル・コンピュータ(PC)が含まれ、さらに無線形態通信装置や他の種類の電子装置が含まれるであろう。そのような設備は、主として仕事または作業関連の目的を意図しているが、ユーザが事務用設備を私用に利用することも時にはある。そのような設備の或る程度の私用は、私用が通常の業務機能を妨げず、余分なコストを招くことがなく、かつ企業の方針に合致するのであれば、雇用者にとって許容可能かもしれない。
これらの種類の状況においては、電子装置のユーザは当該装置の所有者ではなく、ユーザと所有者とが、許される装置の利用について異なる考え方を有している可能性がある。例えば、従業員が従うことを期待されている企業指針において、許される利用を指定してもよいが、企業指針の宣言の及ばぬところにおいて、企業の装置所有者は、電子装置が最終的にどのように利用されるかについて、管理のすべをまったく有しておらず、あるいはほとんど有していない。電子装置の動作を管理するための或る公知の仕組みによれば、所有者が装置にポリシー・ファイルをロードして、装置によって実行できる動作またはソフトウェア・アプリケーションの種類を規制する。しかしながら、この種の仕組みは、所有者によるポリシー・ファイルを削除することによって、あるいは所有者によるポリシー・ファイルを所有者によるポリシー・ファイルよりも規制が少ないユーザによるポリシー・ファイルで置き替えることによって、ユーザによって回避されてしまうこともしばしばである。したがって、電子装置の所有者による管理のシステムおよび方法について、ニーズが依然として存在する。
電子装置の所有者による管理のシステムが、データ完全性情報および/または供給元認証情報を含む所有者情報を保存するよう構成された所有者情報保存所、および電子装置の動作を管理するための所有者管理情報を保存するよう構成された所有者管理情報保存所を有している。データ完全性が、受信した所有者管理情報の完全性をチェックするために使用され、さらに/または供給者認証情報が、供給元を認証するために使用される。
電子装置の所有者による制御の方法が、データ完全性情報および/または供給元認証情報を含んでいる所有者情報を電子装置に保存するステップ、所有者管理情報を電子装置にて受信するステップ、および受信した所有者管理情報の完全性をチェックし、さらに/または委任を受けた供給元が真正であるか否かを判断するステップを有している。
電子装置から所有者情報を消去するよう指示する消去コマンドであって、デジタル署名がなされている消去コマンドを、電子装置へともたらすことができる。デジタル署名された消去コマンドの完全性チェックにもとづき、消去コマンドが実行される。
所有者による管理システムおよび方法のさらなる特徴が、以下の詳細な説明において説明され、あるいは明らかになるであろう。
図1は、電子装置が使用される通信システムを示したブロック図である。通信システム10が、コンピュータ・システム14に接続された広域通信網(WAN)12、無線ネットワーク・ゲートウェイ16、および構内通信網(LAN)18を有している。さらに、無線ネットワーク・ゲートウェイ16は、無線携帯通信装置22(「携帯装置」)が動作するように構成された無線通信ネットワーク20に接続されている。
コンピュータ・システム14は、例えばインターネットなどのWAN12と通信するように構成されたデスクトップPCまたはラップトップPCである。コンピュータ・システム14などのPCは、通常は、インターネット・サービス・プロバイダ(ISP)やアプリケーション・サービス・プロバイダ(ASP)などを介してインターネットにアクセスする。
LAN18は、典型的な業務環境の一例であり、複数のコンピュータ28がネットワークをなして接続されている。LAN18は、通常は、保安用ファイアウォール24の背後に位置している。LAN18の内部において、ファイアウォール24の背後のコンピュータ上で動作するメッセージ・サーバ26が、LAN18内でのメッセージ交換、およびWAN12を介しての他の外部のメッセージング・クライアントとのメッセージ交換の両者のため、当該企業のための主たるインターフェイスとして機能する。公知のメッセージ・サーバとしては、例えばMicrosoft(商標)Exchange ServerおよびLotus Domino(商標)がある。LAN18は複数のコンピュータ・システム28を含んでおり、そのそれぞれが、Microsoft Outlook(商標)、Lotus Notes(商標)、Yahoo!(商標)Messenger、AOL
Instant Messenger、あるいは種々のアーキテクチャを有するクライアント‐サーバ型、ピア‐トゥ‐ピア型、または同様のメッセージング・クライアントを実装している。メッセージ・サーバ26によって受信されたメッセージは、受信メッセージに指定されたユーザ・アカウントについてのメールボックスに配布され、次いで、コンピュータ・システム28上で動作するメッセージング・クライアントを通じ、ユーザによってアクセスされる。ここに挙げた例は、クライアント‐サーバ型のアーキテクチャを示しているが、そのようなアーキテクチャが必須であることを意味するものではなく、他のアーキテクチャを使用することも可能である。
Instant Messenger、あるいは種々のアーキテクチャを有するクライアント‐サーバ型、ピア‐トゥ‐ピア型、または同様のメッセージング・クライアントを実装している。メッセージ・サーバ26によって受信されたメッセージは、受信メッセージに指定されたユーザ・アカウントについてのメールボックスに配布され、次いで、コンピュータ・システム28上で動作するメッセージング・クライアントを通じ、ユーザによってアクセスされる。ここに挙げた例は、クライアント‐サーバ型のアーキテクチャを示しているが、そのようなアーキテクチャが必須であることを意味するものではなく、他のアーキテクチャを使用することも可能である。
LAN18内にメッセージ・サーバ26のみが示されているが、LANが、ネットワークのコンピュータ・システム28間で共有される他のリソースをサポートする他の種類のサーバを備えてもよく、あるいはメッセージ・サーバ26が、これらに限られるわけではないがカレンダー、To‐Doリスト、タスク・リスト、電子メール、および文書などのデータのためのダイナミック・データベース・ストレージなど、さらに追加の機能を提供してもよいことは、当業者であれば理解できるであろう。メッセージ・サーバ26および電子メッセージングは、説明のみを目的としてここに記載されている。所有者管理システムおよび方法は、幅広い範囲の電子装置に適用可能であり、メッセージング能力を有する電子装置に限られるわけではない。
無線ゲートウェイ16が、無線ネットワーク20へのインターフェイスを提供し、このインターフェイスを通じて携帯装置22とメッセージを交換できる。携帯装置22の指定、エンコードまたはその他のメッセージの変換などの無線伝送のための機能、およびその他のあらゆるインターフェイス機能は、無線ゲートウェイ16によって実行される。無線ゲートウェイ16は、2つ以上のネットワーク20と協働するように構成でき、その場合、さらに無線ゲートウェイ16は、所与の携帯装置22の探索のために最も可能性の高いネットワークを判断し、おそらくはユーザが国と国の間またはネットワークとネットワークの間を移動するときに携帯装置を追跡する。
携帯装置22は、例えばデータ通信装置、音声通信装置、データ通信および音声通信の両機能を有している最近の多くの携帯電話などのデュアル‐モード通信装置、音声、データおよび他の種類の通信が可能な多モード装置、無線通信が可能な携帯情報端末(PDA)、あるいは無線モデムを備えたラップトップまたはデスクトップのコンピュータ・システムである。
WAN12へのアクセスを有する任意のコンピュータが、無線ネットワーク・ゲートウェイ16を通じて携帯装置22とメッセージを交換できる。あるいは、無線仮想プライベート・ネットワーク(VPN)ルータなどのプライベート無線ネットワーク・ゲートウェイを、無線ネットワークへのプライベート・インターフェイスを提供すべく実装することができる。LAN18内に実装された無線VPNルータは、LAN18から無線ネットワーク20を通じて符号22などの1つ以上の携帯装置22へのプライベート・インターフェイスを提供する。さらに、携帯装置22へのプライベート・インターフェイスは、メッセージ・サーバ26にて動作するメッセージ回送または転送システムを設けることによって、LAN18の外部のエンティティへと効果的に拡張することができる。そのようなメッセージ転送システムは、米国特許第6,219,694号に開示されており、この米国特許は、ここでの言及によって本件出願に組み込まれたものとする。この種のシステムにおいては、メッセージ・サーバ26によって受信された到来メッセージであって、携帯装置22のユーザを宛て先としているメッセージが、例えば無線VPNルータ、無線ゲートウェイ16、または他のインターフェイスである無線ネットワーク・インターフェイスを通じて、無線ネットワーク20およびユーザの携帯装置22へと送信される。メッセージ・サーバ26上のユーザのメールボックスへの他の代案となるインターフェイスは、無線アプリケーション・プロトコル(WAP)ゲートウェイであってよい。WAPゲートウェイを通じ、メッセージ・サーバ26上のユーザのメールボックス内のメッセージのリスト、およびおそらくは各メッセージまたは各メッセージの一部を、携帯装置22へと送信することができる。
無線ネットワーク20は、通常は、携帯装置22などの通信装置へのメッセージおよび携帯装置22などの通信装置からのメッセージを、基地局と装置との間のRF伝送によって配達する。無線ネットワーク20は、例えばデータ中心の無線ネットワークであってよく、音声中心の無線ネットワークであってよく、あるいは同じインフラストラクチャ上で音声およびデータの両通信をサポートできるデュアル‐モードのネットワークであってよい。最近開発されたネットワークとしては、符号分割多元アクセス(CDMA)ネットワークおよび汎用パケット無線サービス(GPRS)がある。エンハンスド・データ・レート・フォー・グローバル・エボリューション(EDGE)およびユニバーサル移動体通信システム(UMTS)など、いわゆる第3世代(3G)ネットワークが現在開発中である。より古いデータ中心ネットワークとしては、これらに限られるわけではないが、Mobitex(商標)無線ネットワーク(「Mobitex」)、およびDataTAC(商標)無線ネットワーク(「DataTAC」)がある。モバイル通信用グローバル・シス
テム(GSM)および時分割多元アクセス(TDMA)システムを含むパーソナル通信システム(PCS)ネットワークなどの音声中心のデータ・ネットワークは、北米および全世界的において数年前から利用可能である。
テム(GSM)および時分割多元アクセス(TDMA)システムを含むパーソナル通信システム(PCS)ネットワークなどの音声中心のデータ・ネットワークは、北米および全世界的において数年前から利用可能である。
システム10において、LAN18を所有している企業は、従業員にコンピュータ・システム28および携帯装置22を提供することができる。例えば、従業員へと与えられたコンピュータ・システム28が、ラップトップ・コンピュータである場合、そのコンピュータ・システム28を企業のLAN18の内部または外部で使用することができる。コンピュータ・システムがLAN18内で動作しているとき、当該コンピュータ・システム28、当該ユーザのネットワーク・アカウント、または両者について、ユーザによって構成することができないように許可および規制を構成することによってローカルな操作を規制する必要はない。一方、例えば符号14に示すようにコンピュータをWAN12へと接続することによって、ユーザがLAN18の外でコンピュータを使用している場合、LAN18に位置しているネットワーク・ベースの管理は、ときには迂回されてしまう。
コンピュータ・システム28や携帯装置22などの電子装置についての管理を維持するため、所有者は、装置に直接、ローカル設定を設定することができる。そのようなローカル設定は、設定が装置について損なわれずに維持されている限りにおいて、装置の動作を管理する。この種の管理機構に共通の問題として、ローカル設定がユーザによって削除され、置き換えられ、あるいは変更されてしまう可能性がある。
図2は、電子装置に所有者情報および所有者管理情報を挿入するためのシステムを示したブロック図である。図2のシステムは、電子装置210、所有者情報挿入点220、および所有者管理情報挿入点230を含んでいる。所有者情報挿入点220は、ブランド点とも称され、所有者管理挿入点230は、管理点とも称される。所有者情報保存所212、所有者管理情報保存所214、およびインターフェイス/コネクタ216が、電子装置210に設けられている。所有者情報挿入点220は、所有者情報源224およびインターフェイス/コネクタ222を含んでいる。同様に、所有者管理情報挿入点230は、所有者管理情報源234およびインターフェイス/コネクタ232を含んでいる。
所有者情報保存所212は、例えば所有者名や他の識別情報など、電子装置210の所有者を特定する情報を保存する。所有者管理情報保存所214は、電子装置210の動作の管理に使用される情報を保存する。所有者管理情報は、例えば、電子装置210へのインストールおよび実行が許可されたソフトウェア・アプリケーションを列挙する認証レコードに指定することができる。電子装置の動作を管理するための所有者管理情報の使用については、以下でさらに詳しく説明する。所有者情報源224および所有者管理情報源234は、ローカル・メモリ装置であってよく、所有者情報および所有者管理情報を記憶したリモート・メモリ装置へとアクセスできる通信モジュールであってよく、あるいはおそらくは所有者情報および所有者管理情報を入力できるユーザ・インターフェイスであってよい。
インターフェイス/コネクタ222は、所有者情報挿入点220と電子装置210との間の通信リンクを確立して、所有者情報源224から電子装置210へと所有者情報を伝送することができるよう、インターフェイス/コネクタ216と互換性を有している。同様に、インターフェイス/コネクタ232は、インターフェイス/コネクタ232および216間に確立された通信リンクを介して、所有者管理情報源234から電子装置210へと所有者管理情報の伝送を可能にしている。インターフェイス/コネクタ216、222、および232は、例えば有線の通信リンクを確立するシリアル・ポートであってよく、赤外線リンクなどの無線リンクを確立する赤外線モジュールであってよい。装置へと伝送された所有者情報および所有者管理情報は、それぞれ所有者情報保存所212および所有者管理情報保存所214に挿入または保存される。
所有者管理挿入点220は、電子装置210の所有者に関連付けられている。例えば、電子装置210が雇用主によってユーザに提供されている場合は、所有者管理挿入点220は、企業のコンピュータ・システム管理者またはIT部門によって管理されるコンピュータ・システムまたは装置であってよい。インターフェイス/コネクタ222および216を通じて所有者情報挿入点220と電子装置210との間に通信リンクを確立し、次いで所有者情報を所有者情報保存所212に挿入することによって、電子装置210に所有者情報の「ブランド」が付される。とくに希望がない限りは、いったん所有者情報が携帯装置210に挿入されると、好ましくは所有者または所有者によって承認された者だけが、所有者情報を変更することができ、あるいは電子装置210への所有者管理情報の挿入または変更を行なうことができる。
電子装置210への所有者管理情報の挿入が、所有者情報の挿入後に限定されているため、所有者管理情報挿入点230は、必ずしも電子装置210の所有者によって制御される必要はない。所有者が、所有者管理情報挿入点230についての管理を保っている場合には、挿入点220および230を同じコンピュータ・システムまたは装置に実装し、同じインターフェイス/コネクタを共有することができる。しかしながら、図2に示した別々の挿入点220および230によれば、電子装置の所有者が、所有者管理情報の挿入を信頼できる第三者に委託することができる。所有者管理情報の挿入が、例えば以下で詳しく説明するとおりデジタル署名を使用して管理される場合、所有者は、最初に電子装置210にブランドを付し、電子装置210およびデジタル署名付きの所有者管理情報をユーザに提供する。この場合、所有者管理情報挿入点230は、ユーザのコンピュータ・システムであってよく、次いでこのコンピュータ・システムが、電子装置210へとデジタル署名付き所有者管理情報を挿入するために使用される。
多くの実装例においては、所有者情報挿入点220および所有者管理情報挿入点230が、電子装置210のインターフェイス/コネクタ216と互換性のある同じ種類のインターフェイス/コネクタ222および232を備えている。しかしながら、代案として、所有者情報挿入点220および所有者管理情報挿入点230に異なる種類のインターフェイス/コネクタを備えることができるよう、電子装置210が複数のインターフェイス/コネクタを備えてもよい。図2においては、所有者管理情報挿入点220および所有者管理情報挿入点230がただ1つ示されているが、挿入システム一式が、それぞれの種類の挿入点を2つ以上備えてもよい。例えば、大きな企業においては、企業のコンピュータ・システム管理者に対し、管理者コンピュータ・システムまたは管理機能へとアクセスが可能な企業の任意のコンピュータ・システムから所有者情報の挿入作業を行なう権限を与え、複数の所有者情報挿入点220を設けることができる。同様に、すでに述べたように、所有者がユーザに対し、デジタル署名付き所有者管理情報の電子装置への挿入を許している場合には、ユーザのコンピュータ・システムのそれぞれを、所有者管理情報挿入点230として使用することができる。
図3は、所有者管理のシステムおよび方法が実装されてなる電子装置のブロック図である。図3において、電子装置は、無線ネットワーク内で動作するように構成された携帯装置30である。さらに図3には、携帯装置30に所有者情報を挿入するために使用される挿入具64が示されている。
当業者にとって明らかなとおり、図3には、所有者管理システムに関係する構成要素のみが示されている。携帯装置は、通常は、図3に示したもののほかに、さらなる構成要素を含んでいる。また、携帯装置30は、所有者が或る種の使用方針を行使したいと望む電子装置の説明用の一例である。さらに、所有者は、例えば携帯電話機およびPDAなどの他の種類の電子装置についても、使用の管理を望むことができる。
図3に示すように、携帯装置30は、メモリ32、プロセッサ40、アプリケーション・ローダ42、挿入モジュール44、ユーザ・インターフェイス(UI)46、無線送受信器48、およびインターフェイス/コネクタ50を有している。メモリ32は、好ましくは、ソフトウェア・アプリケーション保存所34、所有者情報保存所36、および認証記録保存所38を含んでおり、おそらくは、図3に示したもの以外の装置システムに関連する他のデータ保存所を含んでいる。
メモリ32は、RAMまたはフラッシュ・メモリなどの書き込み可能な保存所であって、装置の他の構成要素によってデータを書き込むことができる。しかしながら、ソフトウェア・アプリケーション保存所34、所有者情報保存所36、および認証記録保存所38への書き込みおよび消去のアクセスは、好ましくは制限されている。例えば、携帯装置30のユーザが、保存所34、36、および38からデータを取り出すことができてもよいが、これらの保存所に対する書き込みおよび消去の操作は、以下で説明するとおり規制される。ソフトウェア・アプリケーション保存所34は、すでに携帯装置30へとインストールされたソフトウェア・アプリケーションを含んでおり、例えば電子メッセージング・アプリケーション、個人情報管理(PIM)アプリケーション、ゲーム、ならびに他のアプリケーションを含むことができる。所有者情報保存所36は、所有者の名称や他の識別子、および所有者のデジタル署名秘密鍵に関連付けられたデジタル署名公開鍵などデータの完全性および供給元認証などの情報を保存している。携帯装置30の所有者が携帯装置30についての使用の許可および制限を指定してなる所有者管理情報は、認証記録保存所38の認証レコードに保存される。
プロセッサ40が無線送受信器48へと接続され、携帯装置30による無線ネットワークを介しての通信を可能にしている。以下でさらに詳しく説明するアプリケーション・ローダ42および挿入モジュール44が、インターフェイス/コネクタ50に接続され、協働するインターフェイス/コネクタ52を介して挿入具64と通信できるようにしている。
UI46は、キーボードまたはキーパッド、ディスプレイ、あるいは携帯装置30のユーザから入力を受け付け、携帯装置30のユーザへと出力を提供する他の構成要素など、1つ以上のUI構成要素を含んでいる。図3ではただ1つのブロックとして示されているが、携帯装置30が通常は2つ以上のUIを備えており、したがってUI46が1つ以上のユーザ・インターフェイスを代表するものであることは、理解できるであろう。
挿入具64は、所有者情報保存所60、および携帯装置30と情報を交換するためのインターフェイス/コネクタ52を備えており、すなわち所有者情報挿入点220(図2)を代表している。すでに述べたとおり、挿入具64などの所有者情報挿入点は、通常は、電子装置の所有者によって制御される。したがって、挿入具64は、例えば、権限を与えられた管理者によって携帯装置30へのサービスまたは携帯装置30の構成のために使用される管理者コンピュータ・システムに実装される。通常は、ネットワーク化されたコンピュータ・システムは、あらゆるユーザが使用することができるため、挿入具64は、コンピュータ・システムに現在「ログ・オン」している特定のユーザに応じて、企業のネットワーク内のあらゆるコンピュータ・システムにアクセス可能である。
所有者情報保存所60は、携帯装置30へと挿入されるべき所有者情報を保存しており、例えばRAMチップ、フラッシュ・メモリ装置、またはハードディスク・ドライブなどのローカル・メモリ構成要素に実装できる。挿入具64が、ネットワーク化コンピュータ・システムまたはネットワーク接続された他の装置に実装される場合には、所有者情報保存所60は、ネットワーク接続によって挿入具64へとアクセスできるファイル・サーバなど、リモート・メモリ・システムであってよい。あるいは、所有者情報保存所60が、例えばスマートカード・リーダ、メモリカード・リーダ、フロッピー(登録商標)ディスク・ドライブ、あるいはCDまたはDVDドライブなどのメモリ・リーダを組み込んでいてもよい。
情報は、インターフェイス/コネクタ50および52間に確立された通信リンクを介して、挿入具64と携帯装置30との間を伝送される。インターフェイス/コネクタ50および52は、例えば赤外線データ・アソシエーション(IrDA)ポートなどの光データ伝送インターフェイス、他の短距離無線通信インターフェイス、あるいはシリアルまたはユニバーサル・シリアル・バス(USB)ポートおよび接続を含む複数の互換性のあるデータ伝送用構成要素のいずれかであってよい。公知の短距離無線通信インターフェイスには、例えばそれぞれブルートゥースまたは802.11規格に従った「ブルートゥース」モジュールおよび802.11モジュールがある。ブルートゥースおよび802.11が、それぞれ無線LANおよび無線パーソナル・エリア・ネットワークに関して米国電気電子技術者協会(IEEE)から入手可能な規格一式を意味することは、当業者であれば明らかである。このように、挿入具64と携帯装置30との間の通信リンクは、無線接続であってよく、あるいは物理的な有線接続であってもよい。
挿入具64と携帯装置30との間の通信を必ずしも物理的な接続を使用して達成する必要はないため、携帯装置を挿入具へと接続すると述べたとき、それは物理的接続または無線伝送の仕組みのいずれかによって通信を確立することを含んでいる。すなわち、携帯装置30を挿入具64へと、携帯装置30および挿入具64のシリアル・ポート同士を接続することによって接続でき、携帯装置30を携帯装置30の光ポートが挿入具64の同様のポートの視野に整列するように配置することによって接続でき、あるいはデータを交換できるような他のいくつかのやり方で携帯装置30と挿入具64とを接続または構成することによって接続することができる。携帯装置と挿入具との間の通信の確立に関係する特定の操作は、携帯装置および挿入具の両者において利用可能なインターフェイスおよび/またはコネクタの種類によって決まる。
携帯装置30への所有者ブランドの付与は、携帯装置30がユーザによって操作される前に、挿入具64を使用して所有者情報を携帯装置30に挿入することによって促進することができる。これは、例えば、所有者が携帯装置30をユーザへと提供する前、あるいは使用のために携帯装置30を設定される前に、所有者情報を前もってロードしておくことによって達成できる。前者の例では、所有者が所有者情報がロードされるまでのあいだ携帯装置30の物理的管理を保つことができ、一方、後者の例では、ユーザが携帯装置30を保持しているが、好ましくは所有者によって設定され、あるいは少なくとも所有者の管理のもとで設定されるまでは、装置を利用することができない。
所有者情報を携帯装置30へと前もってロードすることは、挿入具64を使用して実行される。すでに簡単に触れたとおり、挿入具64は、所有者システム管理者に関連付けられたコンピュータ・システムであってよく、あるいは携帯装置ユーザまたは管理者によって使用できるコンピュータ・システムであってよい。所有者情報を前もってロードするための仕組みに応じ、挿入具64は、携帯装置ユーザまたは管理者によって操作される。
携帯装置30が挿入具64へと接続されたとき、所有者情報が所有者情報保存所60から引き出され、インターフェイス/コネクタ52および50を介して携帯装置30へと伝送され、携帯装置30の挿入モジュール44へと渡されて、挿入モジュール44がこの所有者情報をメモリ32内の所有者情報保存所36に保存する。
図3においては、挿入モジュール44がインターフェイス/コネクタ50へと接続されるものとして示されているが、このモジュールは、通常は、プロセッサ40によって実行されるソフトウェア・モジュールまたはアプリケーションである。したがって、インターフェイス/コネクタ50へのデータ伝送、およびインターフェイス/コネクタ50からのデータ伝送は、実際には、データをプロセッサ40を通ってインターフェイス/コネクタ50へと導くことによって実現できる。この場合、所有者情報が携帯装置30へと伝送される前に、挿入具64によってプロセッサ40に対して挿入モジュール44を起動するよう指示することができる。あるいは、所有者情報を受信したときに常に挿入モジュール44を起動するよう、プロセッサ40を構成してもよい。同様に、挿入具64も、挿入具64が動作するコンピュータ・システムまたは装置のプロセッサ(図示せず)によって実行されるソフトウェア・モジュールまたはアプリケーションであってよい。
前もって携帯装置30へとロードされる所有者情報は、携帯装置30へと伝送される前の情報にデジタル署名を加えるべく所有者によって使用されるデジタル署名秘密鍵に対応するデジタル署名公開鍵のような暗号システムなど、データ完全性および/または供給元認証情報を含むことができる。データ完全性および/または供給元認証情報を前もってロードすることによって、デジタル署名の文脈において以下に詳述するとおり、所有者管理の操作により高い安全性をもたらすことができる。さらに所有者情報は、例えば携帯装置30の所有者に関連付けられた名称または他の識別子を含むことができる。
データ完全性の検証およびデータ供給元の認証のためにデジタル署名が使用される所有者管理の仕組みにおいては、所有者のデジタル署名公開鍵が携帯装置30の所有者情報保存所36へと挿入されたとき、形態装置30について許可および/または規制を指定した所有者管理情報を、携帯装置30に挿入することができる。図3においては、所有者情報挿入点として挿入具64が示されているが、通常は所有者管理情報が、装置へと所有者情報を挿入することによってブランドを付したのちに電子装置へと挿入されることは、図2およびこれまでの説明から明らかであろう。携帯装置30とともに使用すべく構成された所有者管理情報挿入具(図示されていない)は、挿入具64と同様であって、所有者管理情報保存所およびインターフェイス/コネクタ50と互換のインターフェイス/コネクタを備えている。所有者管理情報は、携帯装置30へと挿入され、認証レコードのかたちで認証記録保存所38に保存される。認証レコードにおいて、携帯装置30の所有者が、ユーザによる携帯装置30へのインストールが許されるソフトウェア・アプリケーションのリストを指定し、さらにおそらくは、携帯装置30へとインストールされなければならない必要なソフトウェア・アプリケーションのリストを指定する。
ユーザが偽の所有者管理情報を挿入して所有者による管理を回避することができないよう、所有者管理情報は、携帯装置30へと伝送される前に、好ましくは所有者のデジタル署名秘密鍵を使用してデジタル的に署名される。挿入モジュール44が、好ましくは、所有者管理情報が携帯装置30に保存される前に、デジタル署名を検証する。デジタル署名の検証が否である場合、その所有者管理情報は、携帯装置30に保存されない。
デジタル署名の仕組みは、通常は、情報の完全性および署名付き情報の供給元の認証についてチェックを提供するため、デジタル的に署名された情報の或る種の変換を含んでいる。例えば、或る公知のデジタル署名技法によれば、まずデジタル署名しようとする情報のダイジェストが、不可逆のダイジェスト・アルゴリズムすなわち変換を使用して生成される。公知のダイジェスト・アルゴリズムには、セキュア・ハッシング・アルゴリズム1(SHA‐1)およびメッセージ‐ダイジェスト・アルゴリズム5(MD5)がある。固有の各入力について固有のダイジェストを生成する他のダイジェスト技法も、使用可能である。次いで、ダイジェストが、デジタル署名秘密鍵および署名アルゴリズムを使用してさらに変換され、デジタル署名が生成される。デジタル署名の検証においては、秘密鍵に対応するデジタル署名公開鍵が使用される。
所有者管理および所有者管理情報の文脈において、デジタル署名公開鍵を所有者情報の一部として携帯装置30に挿入することによって、所有者管理情報について、デジタル署名にもとづく安全性がもたらされる。すべての所有者管理情報が携帯装置30への伝送に先立ってデジタル署名される場合、実際に所有者管理情報が所有者のみが知っている所有者のデジタル署名秘密鍵を使用して署名されていること、および署名後に所有者管理情報が改変されていないことを、挿入モジュール44によって検証することができる。このようにして、携帯装置30の所有者から由来する所有者管理情報のみが、携帯装置30に保存されて使用される。
所有者管理情報は、所有者管理情報挿入具によって所有者管理情報保存所から取得され、所有者管理情報保存所は、すでに述べたとおり、挿入具にとってアクセス可能なリモート・データ保存所であってよく、ローカルな保存所であってよく、あるいは或る種のメモリ・リーダであってよい。所有者管理情報は、所有者が電子装置について許可しようと考えるソフトウェア・アプリケーションまたは機能一式にもとづいて確立され、通常は、ひとたび確立されると頻繁には変更されない傾向にある。次いで、このような所有者管理情報に、管理者のみがアクセスできる保安用のコンピュータ・システムまたはソフトウェア構成要素によって、所有者のデジタル署名秘密鍵を使用してデジタル署名を行なうことができる。この場合、署名済みの所有者管理情報が、管理者コンピュータ・システムおよびおそらくは他のコンピュータ・システムによってアクセスできる位置に保存され、必要に応じて所有者管理情報挿入具によって引き出される。次いで、所有者管理情報挿入具が、署名済みの所有者管理情報を携帯装置30へと伝送する。所有者情報がどの程度頻繁に変更されるか、あるいはどの程度頻繁に変更されると予想されるかに応じて、署名済み所有者管理情報へのローカル・アクセスを提供するため、署名済み所有者管理情報をネットワーク内の各コンピュータ・システムへとさらに配布してもよい。新規の所有者管理情報が生成され署名されたとき、署名済み新規所有者管理情報が、好ましくは、以下で詳述するとおり所有者管理情報の既存のコピーのすべてを置き換える。所有者管理情報を広く配布すると、所有者管理情報へのより容易なアクセスがもたらされ、一方、所有者管理情報をリモート保存して共有すると、新しい所有者管理情報が確立されたときに必要な更新が少なくて済む。
所有者管理情報についてのデジタル署名の生成を、所有者管理情報挿入具でサポートすることも可能である。しかしながら、この例においては、所有者管理情報挿入具によって所有者のデジタル署名秘密鍵にアクセスする必要があるであろう。とくに望まない限り、所有者管理情報へのデジタル署名を保安用コンピュータ・システムまたは構成要素のみに限定することが、所有者のデジタル署名秘密鍵にアクセスできるコンピュータ・システムの数を制限するという点で、一般に好ましい。
署名済み所有者管理情報が挿入モジュール44へと伝送されたとき、デジタル署名の検証動作が実行される。デジタル署名が検証された場合、所有者管理情報が、携帯装置30の認証記録保存所38に保存される。そうでない場合、所有者管理情報は保存されない。デジタル署名の検証が失敗に終わった場合、エラーまたは同様の通知をディスプレイなどのUI46上でユーザへと出力することができ、エラー・メッセージを所有者管理情報挿入具へと返すことができ、さらに失敗の通知を、所有者管理情報挿入具のユーザへと出力することができる。所有者管理情報の挿入に失敗した場合、再試行または他のエラー処理動作を、所有者管理情報挿入具、携帯装置30、または両者で実行することができる。
この例における所有者デジタル署名公開鍵の重要性に鑑み、正確な所有者管理情報が携帯装置30へと挿入されるようにするためには、あらゆる携帯装置30について少なくとも第1の所有者情報挿入操作が、管理者によって実行されるか、少なくとも管理者によって認証されることが好ましい。これは、ユーザが所有者のデジタル署名公開鍵でないデジタル署名公開鍵を携帯装置30に挿入することによって所有者の管理を回避することを防止する。
例えば所有者が電子装置の使用を緩和しようと考える場合や、さらに規制しようと考える場合など、所有者管理情報が変化する場合、好ましくは、既存のすべての所有者管理情報が置き換えられるべきである。すでに述べたように、好ましくは新しい所有者管理情報にデジタル署名が加えられ、署名済みの新しい所有者管理情報が1つ以上の位置へと配布され、そこから電子装置への挿入のために引き出される。
署名を済ませた新規所有者管理情報を引き続いて電子装置へと分配するためのいくつかの機構が、いずれも可能である。新しい所有者管理情報が所有者管理情報挿入具のそれぞれに配布される場合、挿入具を、新しい所有者管理情報の受信を検知して、次に携帯装置30が所有者管理情報挿入具に接続されたときに新しい所有者管理情報を携帯装置30へと伝送するように構成できる。すでに述べたように、所有者管理情報挿入具などの所有者管理情報挿入点230(図2)は、電子装置のユーザによって制御することができる。最近の電子装置の多くは、コンピュータ・システムと同期するように構成されている。そのようなシステムにおいては、この種の所有者管理情報の配布を、所有者情報管理挿入具をユーザのコンピュータ・システムに実装することによってサポートすることができる。次いで、新しい所有者管理情報が、次に電子装置がコンピュータ・システムと同期されたときに、電子装置へと伝送される。
あるいは、署名済みの新しい所有者管理情報を、所有するすべての携帯装置へと所有者が、例えば図1に示したLAN18、WAN12、および無線ネットワーク・ゲートウェイ16を経由して無線ネットワークによって送信してもよい。そのような署名済み所有者管理情報を、所有されている携帯装置へと直接、または所有されている1つ以上の所有者管理情報挿入具によって、送信することができる。好ましくは、最初に所有者のデジタル署名公開鍵がインターフェイス/コネクタ52および50を通じて携帯装置30へと伝送されるが、無線または公開の通信ネットワーク・リンクなどの物理的な保安または保護が不可能である他の通信リンクも、そのような他のリンクを介して通信が可能である電子装置へと引き続いて署名済み所有者管理情報を伝送するために、使用可能である。所有者のデジタル署名公開鍵が携帯装置30に挿入されたとき、挿入モジュール44は、インターフェイス/コネクタ50を介して受信したか、あるいは無線送受信器48を介して受信したかにかかわらず、受信したあらゆる署名済み所有者管理情報について完全性および供給元の認証の両者を検証することができる。この種の実装例においては、例えば、所有者管理情報挿入具が携帯装置30に対して、所有者情報挿入具64とは異なる種類のインターフェイスを備えていてもよい。
したがって、この例においては、所有者管理情報の最初の保存ならびに既存の所有者管理情報の置き換えは、挿入モジュール44によるデジタル署名の検証に依存している。既存の情報を置き換える前にさらに他のチェックを実行してもよいことは、当業者であれば理解できるであろう。古い所有者管理情報が電子装置によって受信されるリプレイ攻撃を防止するため、所有者管理情報は、好ましくはバージョン情報を含んでいる。既存の所有者管理情報は、受信した所有者管理情報が既存の所有者管理情報よりも新しい場合にのみ置き換えられる。一般に、より新しい所有者管理情報は、より大きいバージョン番号を有している。
所有者情報は、挿入具64を使用して前述のとおり携帯装置30へと挿入されるが、所有者のデジタル署名秘密/公開鍵の組が変更される場合など、既存の所有者情報の変更は、デジタル署名技法を使用して携帯装置30で更新することができる。この目的のため、挿入具64は、例えば無線送受信器または無線ネットワーク・コネクタなど、インターフェイス/コネクタ52よりも安全性が低い他の種類の通信モジュール(図示せず)を備えることができる。
以上の説明は、主として、携帯装置30などの電子装置のメモリへの所有者情報および所有者管理情報の書き込みに関係している。しかしながら、所有者が、既存の情報を新しい情報で置き換えることなく、所有者情報および所有者管理情報を消去したいと考える場合もありうる。この場合、装置上のメモリに情報が書き込まれないため、署名済みの所有者情報または所有者管理情報が、装置へと送信されない。代わりに、消去コマンドまたは消去要求を装置へと送信することができる。消去は、挿入モジュール44によってサポートされるさらなる機能であってよい。
再び図3を参照すると、所有者情報を所有者情報保存所36から消去すべき場合、消去コマンドまたは消去要求に対してデジタル署名が行なわれ、挿入モジュール44へと送信される。新しい所有者情報または所有者管理情報の場合と同様、署名済みのコマンドまたは要求は、インターフェイス/コネクタ50または無線送受信器48のいずれかによって携帯装置30へと送信できる。挿入モジュール44は、所有者のデジタル署名公開鍵を使用し、デジタル署名が検証された場合にのみコマンドを実行し、あるいは要求を完遂する。そうでない場合、コマンドまたは要求は無視され、エラーまたは失敗の通知を、携帯装置30のUI46でユーザに表示でき、コマンドまたは要求を送信した送信元のシステムまたは装置へと返すことができ、あるいは両方を実行できる。次いで、さらなるエラーまたは失敗処理のルーチンを、送信元のシステムまたは装置において実行できる。
署名にもとづく所有者管理の仕組みにおいては、所有者情報が所有者のデジタル署名公開鍵を含んでいるため、好ましくは所有者情報の消去が厳重に管理される。例えば、所有者システムの管理者のみに、消去コマンドまたは消去要求を送信する権限を与えることができる。したがって、携帯装置30への署名済みコマンドまたは要求の送信は、好ましくは、管理者コンピュータ・システムまたはアカウント、所有者情報挿入具、あるいは所有者の管理する消去具に限定される。例えば、挿入具64などの挿入具を、やはりインターフェイス/コネクタ52へと接続される消去コマンド生成器または消去コマンド保存所を設けることによって、既存の所有者情報を携帯装置30から削除するように構成することができる。あるいは、所有者情報の消去を、そのような消去コマンド生成器または消去コマンド保存所と携帯装置30へのインターフェイスとを備える特別な所有者管理の消去具を使用して、達成することができる。好ましくは、所有者管理情報の消去も、同様のやり方で管理される。
所有者管理システムが、消去の機能およびおそらくは所有者情報および所有者管理情報に関する他の管理機能をサポートするように構成されている場合、所有者のデジタル署名秘密鍵へのアクセスは、デジタル署名および電子装置への送信が可能な情報、要求、およびコマンドを管理するため、好ましくは規制される。デジタル署名秘密鍵またはデジタル署名生成機能は、例えば特定のコンピュータ・システムまたは管理者ログイン・アカウントにとってのみアクセス可能である。
図3に示すように、携帯装置30の他のシステムも、メモリ32へのアクセスを有している。好ましくは、いかなる装置システムも、適切に署名された情報またはコマンドを提示することなく所有者情報または所有者管理情報を挿入、変更、または削除できてはならない。したがって、所有者情報保存所36および認証記録保存所38など、所有者情報または所有者管理情報を保存するあらゆるデータ保存所は、好ましくは保護されたメモリ領域に位置している。好ましくは、挿入モジュール44のみが、所有者情報および所有者管理情報の挿入および消去についてデジタル署名にもとづく管理が維持されるよう、これらの保存所への書き込みおよび消去のアクセスを有している。他の装置システムは、所有者情報および所有者管理情報について読み出しのみのアクセスを有している。考えられる一実装例においては、メモリ32へとアクセス可能なあらゆるシステムまたは構成要素が、メモリ32内のあらゆる位置からのメモリ読み出し操作を許容するように構成される一方で、所有者情報または所有者管理情報を保存しているメモリ位置へのあらゆる書き込みまたは消去の操作を、当該操作が挿入モジュール44によって発せられ、あるいは挿入モジュールによって認証されたものでない限り、拒絶するように構成されている。他の実装例においては、すべてのメモリ・アクセス操作を管理するためメモリ・マネージャ(図示せず)が設けられる。そのようなメモリ・マネージャは、所有者情報保存所または所有者管理情報保存所に関係するすべての書き込みおよび消去操作を、操作の実行に先立つデジタル署名のチェックおよび認証のため、挿入モジュール44へと導くように構成されている。これにより、所有者情報および所有者管理情報を、他の装置システムによって読み出すことが可能であるが、好ましくは、挿入、変更、または消去は、デジタル署名が検証されたときのみ可能である。
前記公開鍵デジタル署名操作が、説明のための例としてのみ意図されていることを理解すべきである。他のデジタル署名の仕組み、または他のデータ完全性チェックおよび供給元の認証の仕組みを、所有者管理情報またはコマンドの完全性および供給元を検証するため、代わりに用いることができる。
携帯装置30において、所有者管理情報は、認証記録保存所38に保存された認証レコードに含まれている。認証レコードは、携帯装置30へのインストールが許されている特定のソフトウェア・アプリケーションを指定しており、さらに携帯装置30にインストールしなければならない必要なソフトウェア・アプリケーションを指定してもよい。このような認証レコードは、許可されたソフトウェア・アプリケーションのみを装置にロードできるようにするため、電子装置の所有者に、携帯装置30をユーザがどのように利用するかに関して比較的厳重な管理を提供できる。
ソフトウェア・アプリケーションのロードの操作は、携帯装置30においてアプリケーション・ローダ42によって可能にされる。挿入モジュール44に関してすでに述べたとおり、アプリケーション・ローダ42が、インターフェイス/コネクタ50に接続されるものとして示されているが、実際には、プロセッサ40を介してアプリケーション・ローダ42とインターフェイス/コネクタ50または無線送受信器48の間で、情報を交換することができる。
所有者情報および所有者管理情報と同様、ソフトウェア・アプリケーションを、インターフェイス/コネクタ50または無線送受信器48を介して携帯装置30で受信することができる。携帯装置30上で動作するように構成されたソフトウェア・アプリケーションについて考えられる1つの供給源は、インターフェイス/コネクタ50と互換のインターフェイス/コネクタを備えるユーザのコンピュータ・システムである。コンピュータ・システムが例えば企業のLANに接続されたとき、携帯装置30の所有企業によって提供されるソフトウェア・アプリケーションを、LAN上のファイル・サーバまたはLAN上の他の保存所から引き出すことができ、携帯装置へと伝送することができる。これに加え、あるいはこれに代えて、コンピュータ・システムが携帯装置30のためのソフトウェア・アプリケーションを、ローカルの保存所、またはインターネット基盤の供給源などコンピュータ・システムが通信できる他の供給源から取得してもよい。
アプリケーション・ローダ42は、好ましくは、ソフトウェア・アプリケーションを受信したとき常に、所有者管理情報が携帯装置30に保存されているか否かを判断するように構成される。携帯装置30上に所有者管理情報が存在しない場合、携帯装置30について所有者の管理は設定されておらず、ソフトウェア・アプリケーションがインストールされる。ソフトウェア・アプリケーションのインストールは、通常は、受信したアプリケーション・ファイルのメモリ32内のソフトウェア・アプリケーション保存所34への保存、ソフトウェア・アプリケーション保存所34への保存のためのファイルの抽出、またはおそらくはインストール用プログラムまたはユーティリティの実行などの操作を含んでいる。後に所有者管理情報が携帯装置30へと挿入された場合、携帯装置30上にあるすべてのソフトウェア・アプリケーションが許可されたソフトウェア・アプリケーションであることを確実にするため、好ましくは既存のソフトウェア・アプリケーションがアプリケーション・ローダ42または挿入モジュール44のいずれかによってチェックされる。許可されていないアプリケーション・ソフトウェアはすべて、携帯装置30から消去され、あるいは他の方法で動作不可能にされる。
或る環境においては、所有者情報が電子装置上に挿入されているが、所有者管理情報が未だ挿入されていない場合が存在する。後に挿入される所有者管理情報が許可しないソフトウェア・アプリケーションを携帯装置30へとロードすることがないよう、所有者管理情報が挿入されるまでは装置機能の限られた部分集合のみが実行を許されるよう携帯装置30を事実上無効にしてもよい。あるいは、アプリケーション・ローダ42を、ソフトウェア・アプリケーションが受信されたときに携帯装置30上に所有者情報が存在するか否かを判断するように構成できる。所有者情報が見つかった場合、所有者管理情報が設定されて携帯装置30について使用されると予想され、アプリケーション・ローダ42が、所有者管理情報が挿入されているか否かを判断する。所有者情報は見つかったが、所有者管理情報が見つからない場合、アプリケーション・ローダ42は、受信したソフトウェア・アプリケーションをロードしない。次いで、受信したソフトウェア・アプリケーションを受信時に保存した仮のメモリ位置から追放するなど、エラー処理の操作を実行することができ、携帯装置30のメモリ・リソースが許容するのであれば、受信したソフトウェア・アプリケーションを実行不可能にして携帯装置30に保存することができる。次いで、このようにして保存されたすべてのソフトウェア・アプリケーションは、所有者管理情報が携帯装置30へと挿入されたときにアプリケーション・ローダ42によって処理される。この実施の形態においては、携帯装置30上にソフトウェア・アプリケーションが保存されているが、所有者管理情報が携帯装置30上に挿入され、当該ソフトウェア・アプリケーションのインストールが許されていることが確認されるまでは、使用することができない。このようなソフトウェア・アプリケーションによる占有のために利用できるメモリ空間の大きさは、好ましくは限られており、未チェックであっておそらくは認証されないソフトウェア・アプリケーションを保存することによって利用可能なメモリ空間が使い尽くされることはない。
アプリケーション・ローダ42が、携帯装置30に所有者管理情報が挿入されたことを確認しているとき、アプリケーション・ローダ42は、受信したソフトウェア・アプリケーションについて携帯装置30へのインストールが許されているか否かを判断する。所有者管理情報が、許可されたソフトウェア・アプリケーションのリストを含んでいる場合、アプリケーション・ローダ42はそのリストを探索し、受信したソフトウェア・アプリケーションが許可されているソフトウェア・アプリケーションのうちの1つであるか否かを判断する。許可されているソフトウェア・アプリケーションのリストは、好ましくは、例えばソフトウェア・アプリケーションのソース・コードまたは実行可能コードのハッシュなど、許可されているソフトウェア・アプリケーションを一意に特定する情報を含んでいる。ソフトウェア・アプリケーションの開発者は、あらゆるソフトウェア・アプリケーションについて自由にファイル名を選択できるため、ファイル名では信頼できる認証チェックを提供できないであろう。しかしながら、所有者が許可するソフトウェア・アプリケーションのそれぞれについてハッシュを生成し、そのハッシュを携帯装置30へと挿入する所有者管理情報に含ませるならば、許可されたソフトウェア・アプリケーションの或る特定のバージョンのみを携帯装置30にインストールできるようになる。アプリケーション・ローダ42は、受信したあらゆるソフトウェア・アプリケーションのハッシュを生成し、生成したハッシュが所有者管理情報内のハッシュと一致する場合にのみ、そのソフトウェア・アプリケーションをインストールする。異なる電子装置で異なるハッシュ生成アルゴリズムをサポートするため、装置所有者は、ソフトウェア・アプリケーションのそれぞれについて2つ以上のハッシュを生成し、各ハッシュを自身の所有する各電子装置へと挿入される所有者管理情報に含ませる。次いで、電子装置が、複数ある種々のハッシュ生成アルゴリズムのいずれかを使用し、受信したソフトウェア・アプリケーションのハッシュを生成する。もちろん、ハッシュ以外の固有の変換も、所有者管理情報を生成して、受信したソフトウェア・アプリケーションのインストールが許されているか否かを判断するために使用できる。
さらに、所有者管理情報は、電子装置の所有者が必須であると設定するソフトウェア・アプリケーションを一意に特定する必要ソフトウェア・アプリケーションのリストを含むことができる。必要ソフトウェア・アプリケーションのリストは、所有者に対し、自身の所有するすべての電子装置が、例えば電子メッセージングまたは保安用通信などの特定の中心的な機能をサポートしていることを保証する。必要ソフトウェア・アプリケーション・リスト内のソフトウェア・アプリケーションは、アプリケーションの許可の文脈においてすでに説明したとおり、1つ以上のハッシュによって一意に特定できる。プロセッサ40、アプリケーション・ローダ42、挿入モジュール44、あるいはさらなる装置構成要素またはシステムを、必要ソフトウェア・アプリケーションのそれぞれが間違いなく携帯装置30上に存在し、必要ソフトウェア・アプリケーションのそれぞれのハッシュが必要ソフトウェア・アプリケーション・リスト内のハッシュと一致していることを、定期的にチェックするように構成できる。必要ソフトウェア・アプリケーションが携帯装置上に存在しない場合、あるいはソフトウェア・アプリケーションが改変された場合に生じうるが、必要ソフトウェア・アプリケーションのハッシュが必要ソフトウェア・アプリケーション・リスト内のハッシュと一致しない場合、携帯装置30または少なくともその機能のいくつかが、使用不可能にされる。
必要ソフトウェア・アプリケーションについてさらなる管理を提供するため、そのようなアプリケーションに関係する消去または他の操作が管理される。そのような機能のデジタル署名にもとづく管理が、必要ソフトウェア・アプリケーションに影響を及ぼすあらゆる消去または書き込みコマンドについてデジタル署名を要求することで実装される。携帯装置30上のシステムから、あるいはインターフェイス/コネクタ50または無線送受信器48を介してリモートのシステムから、消去または書き込みのコマンドを受信したとき、プロセッサ40またはメモリ・マネージャ(図示せず)などの他の装置システムが、当該コマンドがソフトウェア・アプリケーション保存所34に関係するものであるか否かを判断する。そのような書き込みまたは消去のコマンドは、デジタル署名が携帯装置30に保存されている所有者のデジタル署名公開鍵を使用して検証されない限りは、実行されない。ソフトウェア・アプリケーションを、デジタル署名を要求することなく装置システムによって実行してもよいが、そのように望む場合、必要ソフトウェア・アプリケーションは、デジタル署名が検証されたときにのみ変更または消去されるようにできる。すでに述べたように、デジタル署名は、データ完全性および供給元認証機構について考えることができる1つの代表例である。
図4は、所有者情報を電子装置へと挿入する方法を示したフロー図である。この方法は、電子装置所有者が所有者情報を設定するステップ72から出発する。これは、例えば所有者の名称または識別子の選択、および所有者のデジタル署名秘密/公開鍵の組の生成または取得などの操作を含んでいる。次いで、ステップ74において、所有者情報にデジタル署名が行なわれ、電子装置へと送信される。
ステップ76において、例えば所有者情報保存所をチェックすることによって、すでに電子装置に所有者情報が存在しているか否かが判断される。例えば所有者情報の最初の挿入時など、電子装置に所有者情報が存在していない場合、ステップ84において、この所有者情報を電子装置のメモリへと保存することによって所有者情報が電子装置へと挿入される。所有者情報が最初に電子装置へと挿入される場合には、デジタル署名は必ずしも必要ではない。すでに述べたように、最初の所有者情報の挿入は、好ましくは所有者または所有者システム管理者によって直接実行され、あるいは少なくとも所有者または所有者システム管理者の認証のもとで実行される。
電子装置上にすでに所有者情報が存在する場合には、ステップ78において、所有者情報に組み合わされている電子署名がチェックされる。ステップ80における判定において、デジタル署名が検証できない場合、その所有者情報を電子装置に挿入することはできず、ステップ82においてエラー処理が惹起される。すでに述べたように、エラー処理は、電子装置のUI上へのエラーまたは失敗の表示、および挿入具または所有者情報の送信元であるシステムへのエラーまたは失敗メッセージの送信などの操作を含むことができる。デジタル署名が検証された場合、ステップ84において、所有者情報が電子装置へと挿入される。
ひとたび所有者情報が電子装置へと挿入されると、所有者による管理を確立するため電子装置に所有者管理情報が挿入される。図5は、電子装置への所有者管理情報の挿入の方法を示したフロー図である。
ステップ92において、所有者が電子装置についてどのような管理を望むかに応じて、所有者管理情報が設定される。すでに述べたとおり、所有者管理情報は、例えば許可されるソフトウェア・アプリケーションのリストおよび必要とされるソフトウェア・アプリケーションのリストを含むことができる。次いで、ステップ94において、所有者管理情報に対して署名が行われ、電子装置へと送信される。続いてステップ96において、所有者管理情報のデジタル署名がチェックされる。ステップ98において、デジタル署名が検証されるか否かが判断される。図4のステップ82に関連してすでに説明したものと同様の操作を含んでいるエラー処理が、ステップ100にて実行される。所有者のデジタル署名公開鍵を含んでいる所有者情報が前もって電子装置に挿入されていない場合、あるいは所有者管理情報が電子装置に挿入されている所有者のデジタル署名公開鍵に対応するデジタル署名秘密鍵を使用して署名されていない場合、ステップ98においてデジタル署名が検証されない。
ステップ98でデジタル署名が検証された場合、次いでステップ101において、例えば受信した所有者管理情報のバージョン番号が既存の所有者管理情報のバージョン番号よりも大きいか否かを判断することによって、受信した所有者管理情報が最新であるか否かが判断される。デジタル署名が検証され、かつ受信した所有者管理情報が最新である場合、ステップ102において、例えば当該情報を電子装置上の適切なデータ保存所に保存することによって、所有者管理情報が電子装置へと挿入される。そうでない場合、ステップ100においてエラー処理が実行される。
さらに、他の操作が、デジタル署名の検証に依存していてもよい。例えば、所有者情報保存所、所有者管理情報保存所、またはソフトウェア・アプリケーション保存所へとデータを書き込むため、あるいは所有者情報保存所、所有者管理情報保存所、またはソフトウェア・アプリケーション保存所からデータを消去するためのコマンドまたは要求を、当該コマンドまたは要求の実行前に関連のデジタル署名を検証すべく、同様に処理することができる。
次いで、所有者管理情報が、電子装置を管理すべく使用される。図6は、電子装置の所有者による管理の方法を示したフロー図である。ステップ110において、電子装置にて動作要求が受信される。動作要求は、例えば、インストールのためのソフトウェア・アプリケーションの受信、電子装置上で動作中のソフトウェア・アプリケーションからの機能の呼び出し、およびユーザ、ソフトウェア・アプリケーション、または電子装置上のシステムによる操作実行の試みなどが含まれる。そのような要求は、ユーザ、ソフトウェア・アプリケーション、または装置システムによって発することができ、あるいはおそらくはリモート・システムまたは装置によって発することができる。ステップ112での判定において、電子装置上に所有者情報が存在しない場合、すなわち所有者による管理が設定されておらず、ステップ122において動作が実行される。ソフトウェア・アプリケーションの受信の例では、ステップ122は、電子装置への当該ソフトウェア・アプリケーションのインストールを含んでいる。
所有者情報が存在する場合、ステップ114において、所有者管理情報が存在するか否かが判断される。所有者情報は存在するが所有者管理情報は存在しない場合、ステップ116においてエラー処理の動作が実行される。すでに述べたように、所有者情報が存在するか否かをステップ112で判断し、次いでステップ114で所有者管理情報が存在しないことを確認したときにステップ116でエラー処理へと戻ることによって、電子装置に所有者情報が挿入されているが所有者管理情報は未だ挿入されていない場合に、ソフトウェア・アプリケーションのロードおよびインストールなどの特定の操作を防止することができる。ステップ116は、電子装置のユーザへのエラー・メッセージの提示、および受信した動作要求供給元へのエラー通知の返送などの動作を含むことができる。あるいは、所有者管理情報の挿入前については所有者が装置の動作を規制しようと望んでいない場合、ステップ114における否の判定に応答する初期設定の動作として、ステップ122へと戻ることが可能である。
電子装置に所有者情報および所有者管理情報の両者が挿入されている場合、ステップ118において、当該動作が許されているか否かが判断される。ソフトウェア・アプリケーションの受信の場合には、ステップ118は、ソフトウェア・アプリケーションのインストールが許されているか否かの判断、およびおそらくはソフトウェア・アプリケーションが許可されているソフトウェア・アプリケーションであるか否かの判断を含んでいる。当該動作が許されている場合、ステップ122で動作が実行される。そうでなければ、ステップ120においてエラー処理が実行される。すでに述べたとおり、所有者管理情報は、電子装置の動作およびソフトウェア・アプリケーションについて許可および規制を含むことができ、さらに必要とされるソフトウェア・アプリケーションまたはモジュールのリストを含むことができ、このリストを、必要とされるソフトウェア・アプリケーションが確実に電子装置上に存在するようにするため、折々にチェックすることができる。例えば、電子装置を、或る種の動作要求を受信したときにステップ118において必要ソフトウェア・アプリケーションをチェックし、すべての必要ソフトウェア・アプリケーションが発見されたときにのみステップ122で動作を実行するように構成できる。
以上の説明が、あくまで例としての好ましい実施の形態に関するものであることは、理解できるであろう。当業者であれば、前記のシステムおよび方法について多数の変形を加えることができ、そのような変形は、明示されているか否かにかかわらず、ここに開示の本発明の技術的範囲に包含される。
例えば、所有者情報および所有者管理情報の操作の保安を、デジタル署名以外の手段によって行なうことができる。所有者情報、所有者管理情報、および規制されているコマンドまたは要求についてデジタル署名をチェックする代わりに、電子装置が、前もって挿入された所有者に関連付けられた暗号化キーを使用して、暗号化問題を発することができる。暗号化キーは、所有者の公開鍵であってよく、あるいは所有者と電子装置の間で共有される秘密鍵であってよい。所有者情報または所有者管理情報の挿入あるいは消去などの操作は、問題への有効な応答が返された場合にのみ実行される。問題への有効な応答は、対応する暗号化キーを使用しなければ生成できないことを、当業者であれば理解できるであろう。あるいは、例えば所有者情報および所有者管理情報がセキュア・チャネルを介して電子装置へと送信された場合に、データの完全性および供給元の認証を仮定することができる。装置が、セキュア・チャネルを介して受信した情報を適切に複合化した場合、情報が有効であり、公認の供給元から送信されたものと仮定できる。この後者の仕組みにおいては、供給元と装置とが、公開/秘密鍵の組または共通の対称鍵を共有している。
さらに、前記システムおよび方法が実装される電子装置は、図2および図3に示したよりも小数の、あるいは多数の構成要素を含むことができ、あるいは追加の構成要素を含むことができる。図7は、そのような電子装置の一例としての無線携帯通信装置のブロック図である。しかしながら、本明細書に開示のシステムおよび方法を、携帯情報端末(PDA)およびデスクトップ・コンピュータなど多数の他の種類の装置において使用できることを、理解すべきである。
携帯装置500は、好ましくは少なくとも音声通信およびデータ通信の能力を有している2方式の通信装置である。携帯装置500は、好ましくは、インターネット上の他のコンピュータ・システムと通信する能力を有している。携帯装置によって提供される機能に応じて、この携帯装置を、データ・メッセージング装置、双方向ポケットベル、データ・メッセージング能力付き携帯電話機、無線インターネット装置、または(電話機能付き、または電話機能なしの)データ通信装置と呼ぶことができる。すでに述べたとおり、そのような装置を、ここでは広く携帯装置と称する。
携帯装置500は、送受信器511、マイクロプロセッサ538、ディスプレイ522、不揮発性メモリ524、ランダム・アクセス・メモリ(RAM)526、補助入力/出力(I/O)装置528、シリアル・ポート530、キーボード532、スピーカ534、マイクロホン536、および短距離無線通信サブシステム540を備えており、さらに他の装置サブシステム542を備えることができる。送受信器511は、好ましくは、送信および受信アンテナ516、518、受信器(Rx)512、送信器(Tx)514、1つ以上の局所発振器(LO)513、およびデジタル信号プロセッサ(DSP)520を備えている。携帯装置500は、不揮発性メモリ524内に、音声通信モジュール524A、データ通信モジュール524B、および複数の他の機能を実行するための複数の他の機能モジュール524Nなど、マイクロプロセッサ538(および/またはDSP520)で実行できる複数のソフトウェア・モジュール524A〜524Nを備えている。
携帯装置500は、好ましくは音声通信およびデータ通信の能力を有する2方式の通信装置である。したがって、例えば、携帯装置500は、いずれかのアナログまたはデジタル携帯電話ネットワークなど、音声ネットワークを介して通信を行なうことができ、さらにデータ・ネットワークを介して通信を行なうことができる。音声およびデータ・ネットワークは、図7において通信タワー519で示されている。これらの音声およびデータ・ネットワークは、基地局およびネットワーク・コントローラなど別個のインフラストラクチャを使用する別個の通信ネットワークであってよく、あるいはただ1つの無線ネットワークに統合されていてもよい。したがって、ネットワーク519と称する場合、音声およびデータを司るただ1つのネットワークおよび別個のネットワークの両方を包含するものと解釈すべきである。
通信サブシステム511が、ネットワーク519との通信のために使用される。送信器514へと通信信号を伝送し、受信器512から通信信号を受け取るため、また送信器514および受信器512と制御情報を交換するため、DSP520が使用される。音声およびデータ通信が、ただ1つの周波数または間隔の小さい一連の周波数にて行なわれる場合、ただ1つのLO513を送信器514および受信器512に組み合わせて使用できる。一方、音声通信とデータ通信とで異なる周波数が利用される場合、あるいは携帯装置500が2つ以上のネットワーク519と通信できる場合、ネットワーク519において使用される周波数に対応する周波数を生成すべく、複数のLO513を使用することができる。図7には2本のアンテナ516、518が描かれているが、ただ1本のアンテナ構造で携帯装置500を使用することも可能である。音声情報およびデータ情報の両者を含む情報が、DSP520とマイクロプロセッサ538との間のリンクを介して、通信モジュール511へと通信され、通信モジュール511から通信される。
周波数帯域、構成要素の選択、および出力レベルなど、通信サブシステム511の詳細設計は、携帯装置500が動作しようとする通信ネットワーク519によって決まる。例えば、北米市場での動作を意図する携帯装置500は、MobitexまたはDataTAC移動体データ通信ネットワークにて動作するように設計され、さらにAMPS、TDMA、CDMA、PCSなどの種々の音声通信ネットワークのいずれかにて動作するように設計された通信サブシステム511を備えることができ、一方、ヨーロッパでの使用を意図する携帯装置500は、GPRSデータ通信ネットワークおよびGSM音声通信ネットワークにて動作するように構成できる。別個であっても統合されていてもよいが、他の種類のデータおよび音声ネットワークも、携帯装置500で使用することができる。
携帯装置500についての通信ネットワーク・アクセス要件も、ネットワーク519の種類に応じて変化する。例えば、MobitexまたはDataTACデータ・ネットワークにおいては、携帯装置が、それぞれの装置に関連付けられた固有の識別番号を使用してネットワークに登録されている。一方、GPRSデータ・ネットワークにおいては、ネットワーク・アクセスは、加入者または携帯装置500のユーザに関連付けられている。GPRS装置は、通常は、携帯装置500をGPRSネットワーク上で動作させるために必要な加入者識別モジュール(「SIM」)を必要とする。SIMなしでは、ローカルまたは非ネットワークの通信機能(存在するならば)は機能しうるが、「911番」緊急呼び出しなどの法的に求められるあらゆる動作を除き、携帯装置500でネットワーク519を介しての通信を含む機能を実行することはできない。
必要なあらゆるネットワーク登録およびアクティベーション手順が完了したのち、携帯装置500は、好ましくは音声信号およびデータ信号の両者を含む通信信号を、ネットワーク519を経由して送信および受信することができる。アンテナ516によって受信された通信ネットワーク519からの信号は、受信器512へと導かれ、受信器512が、信号の増幅、周波数のダウン・コンバージョン、フィルタ処理、およびチャンネル選択などをもたらし、さらにアナログ‐デジタル変換をもたらすことができる。受信信号のアナログ‐デジタル変換によって、DSP520を使用してデジタル復調および復号化などのさらに複雑な通信機能が実行可能になる。同様にして、ネットワーク519へと送信される信号も、例えば変調および符号化を含む処理をDSP520によって行なうことができ、次いでデジタル‐アナログ変換、周波数アップ・コンバージョン、フィルタ処理、増幅、およびアンテナ518を介しての通信ネットワーク519への送信のため、送信器514へともたらされる。音声およびデータ通信の両者のためにただ1つの送受信器511が示されているが、他の実施の形態においては、携帯装置500が、音声信号の送受信のための第1の送受信器およびデータ信号の送受信のための第2の送受信器、あるいは第1の周波数帯で動作するように構成された第1の送受信器および第2の周波数帯で動作するように構成された第2の送受信器など、複数の別個の送受信器を備えてもよい。
通信信号の処理の他に、さらにDSP520は、受信器および送信器の制御を提供する。例えば、受信器512および送信器514にて通信信号に加えられる利得レベルを、DSP520に実装された自動利得制御アルゴリズムによって、適応的に制御することができる。送受信器511についてより高度な制御を提供するため、他の送受信器制御アルゴリズムも、DSP520に実装することが可能である。
好ましくは、マイクロプロセッサ538が、携帯装置500の全体の動作を管理および制御する。ここで、多くの種類のマイクロプロセッサまたはマイクロコントローラを使用することができ、あるいは、マイクロプロセッサ538の機能を実行するために、ただ1つのDSP520を使用することも可能である。少なくともデータおよび音声通信を含む低レベルの通信機能が、送受信器511のDSP520によって実行される。音声通信アプリケーション524Aおよびデータ通信アプリケーション524Bを含む高レベルの通信アプリケーションは、マイクロプロセッサ538による実行のため不揮発性メモリ524に保存されている。例えば、音声通信モジュール524Aが、携帯装置500と複数の他の音声装置との間でネットワーク519を介して音声コールを送信および受信すベく動作できる高レベルのユーザ・インターフェイスを提供できる。同様に、データ通信モジュール524Bが、携帯装置500と複数の他のデータ装置との間でネットワーク519を介して電子メール・メッセージ、ファイル、計画情報、および短文メッセージなどのデータを送信および受信するように動作できる高レベルのユーザ・インターフェイスを提供できる。
さらにマイクロプロセッサ538は、ディスプレイ522、RAM526、補助I/O装置528、シリアル・ポート530、キーボード532、スピーカ534、マイクロホン536、短距離通信サブシステム540、および広く符号542で示されている任意の他の装置サブシステム542など、他の装置サブシステムとやり取りをする。例えば、モジュール524A〜Nがマイクロプロセッサ538によって実行され、携帯装置のユーザと携帯装置との間に高レベルのインターフェイスを提供できる。このインターフェイスは、通常は、ディスプレイ522によってもたらされるグラフィカルな構成要素、ならびに補助I/O装置528、キーボード532、スピーカ534、またはマイクロホン536によってもたらされる入力/出力の構成要素を含んでいる。このようなインターフェイスは、図3においてUI46として広く示されている。
図7に示したサブシステムのいくつかが、通信関連の機能を実行する一方で、他のサブシステムで、「常駐」すなわち装置上の機能を提供することができる。キーボード532およびディスプレイ522などのいくつかのサブシステムを、データ通信ネットワークを介して伝送するためのテキスト・メッセージの入力などの通信関連機能、および計算器または業務リストあるいは他のPDA型の機能などの装置常駐機能の両者に使用できることは、明らかである。
マイクロプロセッサ538が使用するオペレーティング・システム・ソフトウェアは、好ましくは不揮発性メモリ524などの永続性の保存所に保存される。オペレーティング・システムおよび通信モジュール524A〜Nの他に、不揮発性メモリ524は、データを保存するためのファイル・システムを備えることができる。さらに不揮発性メモリ524は、所有者情報および所有者管理情報のためのデータ保存所を備えることができる。より高速な動作のため、オペレーティング・システム、特定の装置アプリケーションまたはモジュール、あるいはそれらの一部を、RAM526などの揮発性の保存所に一時的にロードすることができる。さらに、受信した通信信号も、不揮発性メモリ524内に位置するファイル・システムへと恒久的に書き込む前に、RAM526に一時的に保存することができる。不揮発性メモリ524は、例えばフラッシュ・メモリ、不揮発性RAM、または電池バックアップ式RAMによって実装することができる。
携帯装置500へとロードすることができる典型的なアプリケーション・モジュール524Nは、カレンダー上の出来事、約束、および業務項目などのPDA機能を提供するPIMアプリケーションである。このモジュール524Nが、電話の発呼や音声メールなどを管理するため音声通信モジュール524Aとやり取りを行なってもよく、さらには、電子メール通信または他のデータ伝送を管理するためデータ通信モジュール524Bとやり取りを行なってもよい。あるいは、音声通信モジュール524Aおよびデータ通信モジュール524Bのすべての機能を、PIMモジュールに統合してもよい。
不揮発性メモリ524は、好ましくは装置へのPIMデータ項目の保存を容易にするためのファイル・システムを提供する。好ましくは、PIMアプリケーションは、自分自身で、あるいは音声およびデータ通信モジュール524A、524Bとの組み合わせにおいて、無線ネットワーク519を介してデータ項目を送信および受信する能力を有している。好ましくは、PIMデータ項目は、無線ネットワーク519を介して、ホスト・コンピュータ・システムに保存または関連付けられた対応するデータ項目一式とシームレスに統合、同期、および更新され、特定のユーザに関連付けられたデータ項目の鏡像コピー・システムを形成する。
携帯装置500は、携帯装置500のシリアル・ポート530をホスト・システムのシリアル・ポートに接続するインターフェイス・クレードルに携帯装置500を置くことによって、手動でホスト・システムと同期される。シリアル・ポート530は、所有者情報および所有者管理情報を携帯装置500へと挿入するためにも使用でき、携帯装置500へのインストールのため他のアプリケーション・モジュール524Nをダウンロードするためにも使用することができる。さらに、この有線によるダウンロード経路を、セキュア通信において使用するため携帯装置500に暗号化キーをロードするために使用でき、これは、無線ネットワーク519を介した暗号情報の交換よりも安全な方法である。
所有者情報、所有者管理情報、および追加のアプリケーション・モジュール524Nは、ネットワーク519を通じ、補助I/Oサブシステム528を通じ、短距離通信サブシステム540を通じ、あるいは他の任意の適切なサブシステム542を通じて、携帯装置500へとロードすることができ、ユーザによって不揮発性メモリ524またはRAM526にインストールすることができる。アプリケーションのインストールにおけるこのような柔軟性は、携帯装置500の機能性を向上させ、装置上の機能または通信関連の機能あるいは両者について、向上をもたらすことができる。例えば、セキュア通信アプリケーションによって、電子商取引機能および他の同様の金融取引機能を、携帯装置500を使用して実行できるようにすることが可能である。
携帯装置500がデータ通信モードで動作しているとき、テキスト・メッセージまたはウェブ・ページのダウンロードなどの受信信号が、送受信器511で処理されてマイクロプロセッサ538に供給され、好ましくはマイクロプロセッサ538が、ディスプレイ522あるいは補助I/O装置528への出力のため、受信信号をさらに処理する。送受信器511によって受信された所有者情報、所有者管理情報、所有者情報または所有者管理情報に関するコマンドまたは要求、ならびにソフトウェア・アプリケーションは、すでに述べたとおりに処理される。さらに、携帯装置500のユーザは、電子メール・メッセージなどのデータ項目を、好ましくはQWERTY配列で割り付けられた完全な文字数字キーボードであるキーボード532を使用して作成できるが、公知のDVORAK配列などの他の形式の完全な文字数字キーボードも、同様に使用可能である。携帯装置500へのユーザの入力は、親指ホイール入力装置、タッチパッド、種々のスイッチ、およびロッカー入力スイッチなどが含まれうる複数の補助I/O装置528によって、さらに向上させることができる。次いで、ユーザによって入力されて作成されたデータ項目は、送受信器511によって通信ネットワーク519を介して送信される。
携帯装置500が音声通信モードで動作しているとき、携帯装置500の全体の動作は、受信された信号がスピーカ534へと出力され、送信のための音声信号がマイクロホン536によって生成される点を除き、データ・モードと事実上同様である。さらに、上述のセキュア・メッセージング技法は、音声通信には必ずしも適用する必要はない。さらに、音声メッセージ記録サブシステムなどの他の音声または聴覚I/O装置を、携帯装置500に実装してもよい。音声または聴覚信号の出力は、スピーカ534によって達成されるが、通話相手の識別子、音声通話の継続時間、あるいは他の音声通話関連情報についての表示を提供するため、さらにディスプレイ522を使用してもよい。例えば、マイクロプロセッサ538が、音声通信モジュール524Aおよびオペレーティング・システム・ソフトウェアと協働し、届いた音声通話呼び出しについて呼び出し者の識別情報を検出し、ディスプレイ522に表示することができる。
携帯装置500は、さらに短距離通信サブシステム540を備えることができる。例えば、このサブシステム540は、赤外線装置ならびに関連の回路および構成要素、あるいはブルートゥースまたは802.11短距離無線通信モジュールを、同様の能力を有するシステムおよび装置との通信を提供するため、備えることができる、このようにして、すでに述べた所有者情報の挿入、所有者管理情報の挿入、およびアプリケーションのロードの操作を、携帯装置500において、シリアル・ポート530または他の短距離通信サブシステム540を介して実行可能にすることができる。
図7は、前記所有者管理システムおよび方法を実装することができる電子装置について、特定の例を示している。当業者であれば、図7に示したものよりも多数の、小数の、あるいは異なる構成要素を有している他の電子装置について、このようなシステムおよび方法を実装することができ、したがって、それらは本発明の技術的範囲に包含されるべきものである。例えば、図7においてはSIMカードが明示されていないが、SIMカードを有する電子装置に所有者管理システムおよび方法を実装することが考えられることを、理解すべきである。現在のところSIMカードはメモリ要素を備えているため、所有者情報または所有者管理情報あるいは両者をSIMカードに挿入し、SIMカードが電子装置に取り付けられたときに電子装置についての所有者管理を維持するために使用することができる。この場合、所有者情報を挿入することによってSIMカードにブランドを付すことができ、次いで所有者管理情報を、SIMカードまたはSIMカードが取り付けられた電子装置に挿入することができる。
本発明の前記実施の形態は、例示のみを目的とするものである。当業者であれば、添付の特許請求の範囲によってのみ定められる本発明の技術的範囲を離れることなく、個々の実施の形態に対して変更、修正、および変形を行なうことが可能である。
本発明は、電子装置の管理作業に向けられている。
Claims (1)
- 電子装置を制御する方法であって、本願明細書に記載の方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US43261002P | 2002-12-12 | 2002-12-12 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004557718A Division JP4713156B2 (ja) | 2002-12-12 | 2003-12-12 | 電子装置の所有者管理のシステムおよび方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2009284505A true JP2009284505A (ja) | 2009-12-03 |
Family
ID=32507971
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004557718A Expired - Lifetime JP4713156B2 (ja) | 2002-12-12 | 2003-12-12 | 電子装置の所有者管理のシステムおよび方法 |
| JP2009165034A Withdrawn JP2009284505A (ja) | 2002-12-12 | 2009-07-13 | 電子装置の所有者管理のシステムおよび方法 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004557718A Expired - Lifetime JP4713156B2 (ja) | 2002-12-12 | 2003-12-12 | 電子装置の所有者管理のシステムおよび方法 |
Country Status (9)
| Country | Link |
|---|---|
| US (3) | US7793355B2 (ja) |
| EP (1) | EP1573473A2 (ja) |
| JP (2) | JP4713156B2 (ja) |
| KR (1) | KR100764585B1 (ja) |
| CN (1) | CN1748191B (ja) |
| AU (1) | AU2003292922B2 (ja) |
| BR (1) | BR0317233A (ja) |
| CA (1) | CA2509358C (ja) |
| WO (1) | WO2004053618A2 (ja) |
Families Citing this family (56)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7260369B2 (en) | 2005-08-03 | 2007-08-21 | Kamilo Feher | Location finder, tracker, communication and remote control system |
| US7815100B2 (en) | 2004-04-30 | 2010-10-19 | Research In Motion Limited | System and method of owner application control of electronic devices |
| US7793355B2 (en) * | 2002-12-12 | 2010-09-07 | Reasearch In Motion Limited | System and method of owner control of electronic devices |
| CA2516580C (en) * | 2003-02-21 | 2011-01-25 | Research In Motion Limited | System and method of multiple-level control of electronic devices |
| US7574608B2 (en) * | 2004-03-04 | 2009-08-11 | International Business Machines Corporation | Security screening of electronic devices by device-reported data |
| CN1951060B (zh) | 2004-04-30 | 2011-11-30 | 捷讯研究有限公司 | 处理数据传输的系统和方法 |
| US20090198714A1 (en) * | 2004-08-02 | 2009-08-06 | Clairvoyance Corporation | Document processing and management approach for reflecting changes in one representation of a document to another representation |
| US8078216B2 (en) * | 2004-10-13 | 2011-12-13 | Intel Corporation | Wireless device content information theft protection system |
| US8347078B2 (en) | 2004-10-18 | 2013-01-01 | Microsoft Corporation | Device certificate individualization |
| US20100048170A1 (en) * | 2004-11-02 | 2010-02-25 | T-Mobile International Ag & Co. Kg | Software application security access management in mobile communication devices |
| GB2422919B (en) * | 2004-11-02 | 2009-05-27 | T Mobile Int Ag & Co Kg | Software application security access management in mobile communication devices |
| US8336085B2 (en) | 2004-11-15 | 2012-12-18 | Microsoft Corporation | Tuning product policy using observed evidence of customer behavior |
| US9450966B2 (en) * | 2004-11-29 | 2016-09-20 | Kip Sign P1 Lp | Method and apparatus for lifecycle integrity verification of virtual machines |
| US7487358B2 (en) * | 2004-11-29 | 2009-02-03 | Signacert, Inc. | Method to control access between network endpoints based on trust scores calculated from information system component analysis |
| US8327131B1 (en) | 2004-11-29 | 2012-12-04 | Harris Corporation | Method and system to issue trust score certificates for networked devices using a trust scoring service |
| US8266676B2 (en) * | 2004-11-29 | 2012-09-11 | Harris Corporation | Method to verify the integrity of components on a trusted platform using integrity database services |
| US7979702B2 (en) * | 2004-12-29 | 2011-07-12 | Intel Corporation | Protecting privacy of networked devices containing management subsystems |
| US8799428B2 (en) * | 2004-12-30 | 2014-08-05 | Intel Corporation | Automated provisioning of new networked devices |
| US7614082B2 (en) | 2005-06-29 | 2009-11-03 | Research In Motion Limited | System and method for privilege management and revocation |
| US10009956B1 (en) | 2017-09-02 | 2018-06-26 | Kamilo Feher | OFDM, 3G and 4G cellular multimode systems and wireless mobile networks |
| JP4361894B2 (ja) * | 2005-09-15 | 2009-11-11 | 株式会社エヌ・ティ・ティ・ドコモ | 外部メモリ管理装置、及び外部メモリ管理方法 |
| US8045958B2 (en) | 2005-11-21 | 2011-10-25 | Research In Motion Limited | System and method for application program operation on a wireless device |
| DE602006006787D1 (de) | 2006-02-27 | 2009-06-25 | Research In Motion Ltd | Verfahren zum Personalisieren einer standardisierten IT-Richtlinie |
| US8353048B1 (en) | 2006-07-31 | 2013-01-08 | Sprint Communications Company L.P. | Application digital rights management (DRM) and portability using a mobile device for authentication |
| CN101155260A (zh) | 2006-09-30 | 2008-04-02 | 华为技术有限公司 | 电子设备的控制方法、鉴权方法和服务器 |
| US8001390B2 (en) * | 2007-05-09 | 2011-08-16 | Sony Computer Entertainment Inc. | Methods and apparatus for secure programming and storage of data using a multiprocessor in a trusted mode |
| US8001592B2 (en) * | 2007-05-09 | 2011-08-16 | Sony Computer Entertainment Inc. | Methods and apparatus for accessing resources using a multiprocessor in a trusted mode |
| KR100915227B1 (ko) * | 2007-11-08 | 2009-09-02 | 한국전자통신연구원 | 무선 단말기 및 그의 전용화 구현 방법 |
| US20100235306A1 (en) * | 2008-08-11 | 2010-09-16 | Seth Wagoner | Adaptive timelog system |
| US8856879B2 (en) | 2009-05-14 | 2014-10-07 | Microsoft Corporation | Social authentication for account recovery |
| US9124431B2 (en) | 2009-05-14 | 2015-09-01 | Microsoft Technology Licensing, Llc | Evidence-based dynamic scoring to limit guesses in knowledge-based authentication |
| US8695058B2 (en) * | 2009-05-20 | 2014-04-08 | Mobile Iron, Inc. | Selective management of mobile device data in an enterprise environment |
| US20100299152A1 (en) * | 2009-05-20 | 2010-11-25 | Mobile Iron, Inc. | Selective Management of Mobile Devices in an Enterprise Environment |
| CN101917682A (zh) * | 2010-08-25 | 2010-12-15 | 宇龙计算机通信科技(深圳)有限公司 | 一种移动终端的信息发送方法、系统及移动终端 |
| US9497220B2 (en) | 2011-10-17 | 2016-11-15 | Blackberry Limited | Dynamically generating perimeters |
| US9161226B2 (en) | 2011-10-17 | 2015-10-13 | Blackberry Limited | Associating services to perimeters |
| US9613219B2 (en) | 2011-11-10 | 2017-04-04 | Blackberry Limited | Managing cross perimeter access |
| US8799227B2 (en) | 2011-11-11 | 2014-08-05 | Blackberry Limited | Presenting metadata from multiple perimeters |
| US20130121490A1 (en) * | 2011-11-15 | 2013-05-16 | Martin Boliek | Method and apparatus for trust based data scanning, capture, and transfer |
| US9369466B2 (en) | 2012-06-21 | 2016-06-14 | Blackberry Limited | Managing use of network resources |
| US9529982B2 (en) * | 2012-09-07 | 2016-12-27 | Samsung Electronics Co., Ltd. | Method and apparatus to manage user account of device |
| US9075955B2 (en) | 2012-10-24 | 2015-07-07 | Blackberry Limited | Managing permission settings applied to applications |
| US8656016B1 (en) | 2012-10-24 | 2014-02-18 | Blackberry Limited | Managing application execution and data access on a device |
| US9626008B2 (en) * | 2013-03-11 | 2017-04-18 | Barnes & Noble College Booksellers, Llc | Stylus-based remote wipe of lost device |
| CN109063467A (zh) | 2013-05-27 | 2018-12-21 | 华为终端(东莞)有限公司 | 系统功能调用的方法、装置及终端 |
| US10009359B2 (en) * | 2015-06-09 | 2018-06-26 | Intel Corporation | System, apparatus and method for transferring ownership of a device from manufacturer to user using an embedded resource |
| US20160364787A1 (en) * | 2015-06-09 | 2016-12-15 | Intel Corporation | System, apparatus and method for multi-owner transfer of ownership of a device |
| US9892276B2 (en) * | 2015-11-11 | 2018-02-13 | International Business Machines Corporation | Verifiable data destruction in a database |
| US20170178072A1 (en) * | 2015-12-22 | 2017-06-22 | Intel Corporation | System, Apparatus And Method For Transferring Ownership Of A Smart Delivery Package |
| US10833863B2 (en) | 2016-02-29 | 2020-11-10 | Intel Corporation | Device provisioning service |
| US11144911B2 (en) | 2016-06-20 | 2021-10-12 | Intel Corporation | Technologies for device commissioning |
| CN107548090B (zh) * | 2016-06-29 | 2021-07-02 | 上海尚往网络科技有限公司 | 用于确定无线热点组的所有者的方法与设备 |
| US10705820B2 (en) * | 2017-02-02 | 2020-07-07 | Ford Global Technologies, Llc | Method and apparatus for secure multi-cycle vehicle software updates |
| US11314858B2 (en) * | 2018-10-10 | 2022-04-26 | Comcast Cable Communications, Llc | Event monitoring |
| CN112069490B (zh) * | 2020-08-27 | 2023-08-15 | 北京百度网讯科技有限公司 | 一种提供小程序能力的方法、装置、电子设备及存储介质 |
| US20230009032A1 (en) * | 2021-07-12 | 2023-01-12 | Dell Products, L.P. | Systems and methods for authenticating the identity of an information handling system |
Family Cites Families (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4941175A (en) * | 1989-02-24 | 1990-07-10 | International Business Machines Corporation | Tamper-resistant method for authorizing access to data between a host and a predetermined number of attached workstations |
| US5560008A (en) * | 1989-05-15 | 1996-09-24 | International Business Machines Corporation | Remote authentication and authorization in a distributed data processing system |
| AU628264B2 (en) * | 1990-08-14 | 1992-09-10 | Oracle International Corporation | Methods and apparatus for providing a client interface to an object-oriented invocation of an application |
| US7162635B2 (en) * | 1995-01-17 | 2007-01-09 | Eoriginal, Inc. | System and method for electronic transmission, storage, and retrieval of authenticated electronic original documents |
| US5944821A (en) * | 1996-07-11 | 1999-08-31 | Compaq Computer Corporation | Secure software registration and integrity assessment in a computer system |
| KR100232400B1 (ko) | 1996-09-04 | 1999-12-01 | 윤종용 | 음란/폭력물 차단 기능을 구비한 컴퓨터 및 그 제어 방법 |
| IL121550A (en) * | 1997-08-14 | 2003-07-31 | Diversinet Corp | System and method for handling permits |
| US6167521A (en) * | 1997-08-29 | 2000-12-26 | International Business Machines Corporation | Securely downloading and executing code from mutually suspicious authorities |
| US6061794A (en) * | 1997-09-30 | 2000-05-09 | Compaq Computer Corp. | System and method for performing secure device communications in a peer-to-peer bus architecture |
| US6134593A (en) * | 1997-09-30 | 2000-10-17 | Cccomplete, Inc. | Automated method for electronic software distribution |
| US6141754A (en) * | 1997-11-28 | 2000-10-31 | International Business Machines Corporation | Integrated method and system for controlling information access and distribution |
| US6065120A (en) * | 1997-12-09 | 2000-05-16 | Phone.Com, Inc. | Method and system for self-provisioning a rendezvous to ensure secure access to information in a database from multiple devices |
| US6134659A (en) * | 1998-01-07 | 2000-10-17 | Sprong; Katherine A. | Controlled usage software |
| US6513117B2 (en) * | 1998-03-04 | 2003-01-28 | Gemstar Development Corporation | Certificate handling for digital rights management system |
| US7080409B2 (en) * | 1998-11-10 | 2006-07-18 | Dan Eigeles | Method for deployment of a workable public key infrastructure |
| US6480961B2 (en) * | 1999-03-02 | 2002-11-12 | Audible, Inc. | Secure streaming of digital audio/visual content |
| AU4068100A (en) | 1999-04-06 | 2000-10-23 | Microsoft Corporation | Method and system for controlling execution of computer programs |
| AU4274801A (en) | 2000-03-22 | 2001-10-03 | Vasara Research Inc. | Communication system |
| WO2001078395A1 (en) | 2000-04-06 | 2001-10-18 | Koninklijke Philips Electronics N.V. | Object-conditional access system |
| US6922782B1 (en) * | 2000-06-15 | 2005-07-26 | International Business Machines Corporation | Apparatus and method for ensuring data integrity of unauthenticated code |
| US20010056533A1 (en) | 2000-06-23 | 2001-12-27 | Peter Yianilos | Secure and open computer platform |
| JP3808297B2 (ja) * | 2000-08-11 | 2006-08-09 | 株式会社日立製作所 | Icカードシステム及びicカード |
| JP2002091598A (ja) | 2000-09-19 | 2002-03-29 | Nippon Computer Co Ltd | 情報処理システム及びその方法、並びにコンピュータ上で動作する情報処理プログラムを記録した記録媒体 |
| JP2002170063A (ja) | 2000-12-01 | 2002-06-14 | Ntt Communications Kk | 電子価値取引システムおよび方法、電子価値取引端末装置、電子価値取引センタ装置 |
| JP4137370B2 (ja) | 2000-12-19 | 2008-08-20 | 株式会社リコー | セキュア電子メディア管理方法 |
| US7099663B2 (en) | 2001-05-31 | 2006-08-29 | Qualcomm Inc. | Safe application distribution and execution in a wireless environment |
| GB2378780B (en) | 2001-08-14 | 2003-07-09 | Elan Digital Systems Ltd | Data integrity |
| JP2003085321A (ja) * | 2001-09-11 | 2003-03-20 | Sony Corp | コンテンツ利用権限管理システム、コンテンツ利用権限管理方法、および情報処理装置、並びにコンピュータ・プログラム |
| US7167919B2 (en) | 2001-12-05 | 2007-01-23 | Canon Kabushiki Kaisha | Two-pass device access management |
| US7793355B2 (en) * | 2002-12-12 | 2010-09-07 | Reasearch In Motion Limited | System and method of owner control of electronic devices |
| US8365306B2 (en) * | 2005-05-25 | 2013-01-29 | Oracle International Corporation | Platform and service for management and multi-channel delivery of multi-types of contents |
-
2003
- 2003-12-10 US US10/732,132 patent/US7793355B2/en active Active
- 2003-12-12 JP JP2004557718A patent/JP4713156B2/ja not_active Expired - Lifetime
- 2003-12-12 KR KR1020057010726A patent/KR100764585B1/ko active IP Right Grant
- 2003-12-12 EP EP03788723A patent/EP1573473A2/en not_active Ceased
- 2003-12-12 WO PCT/CA2003/001944 patent/WO2004053618A2/en active Application Filing
- 2003-12-12 CA CA2509358A patent/CA2509358C/en not_active Expired - Lifetime
- 2003-12-12 CN CN2003801096622A patent/CN1748191B/zh not_active Expired - Lifetime
- 2003-12-12 BR BR0317233-3A patent/BR0317233A/pt not_active Application Discontinuation
- 2003-12-12 AU AU2003292922A patent/AU2003292922B2/en not_active Expired
-
2009
- 2009-07-13 JP JP2009165034A patent/JP2009284505A/ja not_active Withdrawn
-
2010
- 2010-08-26 US US12/869,589 patent/US8302185B2/en not_active Expired - Lifetime
-
2012
- 2012-09-07 US US13/606,814 patent/US20130007877A1/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| JP4713156B2 (ja) | 2011-06-29 |
| WO2004053618A2 (en) | 2004-06-24 |
| CN1748191B (zh) | 2010-05-12 |
| US20040255169A1 (en) | 2004-12-16 |
| WO2004053618A3 (en) | 2004-09-02 |
| BR0317233A (pt) | 2005-11-01 |
| CA2509358C (en) | 2012-04-03 |
| US7793355B2 (en) | 2010-09-07 |
| KR100764585B1 (ko) | 2007-10-09 |
| AU2003292922B2 (en) | 2009-01-08 |
| US20100325741A1 (en) | 2010-12-23 |
| AU2003292922A1 (en) | 2004-06-30 |
| CN1748191A (zh) | 2006-03-15 |
| CA2509358A1 (en) | 2004-06-24 |
| JP2006523966A (ja) | 2006-10-19 |
| US8302185B2 (en) | 2012-10-30 |
| KR20050085597A (ko) | 2005-08-29 |
| US20130007877A1 (en) | 2013-01-03 |
| EP1573473A2 (en) | 2005-09-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4713156B2 (ja) | 電子装置の所有者管理のシステムおよび方法 | |
| US10474841B2 (en) | System and method of owner application control of electronic devices | |
| US8429410B2 (en) | System and method of installing software applications on electronic devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100701 |
|
| A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20110325 |