KR20070089970A - Use of configurations in device with multiple configurations - Google Patents

Use of configurations in device with multiple configurations Download PDF

Info

Publication number
KR20070089970A
KR20070089970A KR1020077014843A KR20077014843A KR20070089970A KR 20070089970 A KR20070089970 A KR 20070089970A KR 1020077014843 A KR1020077014843 A KR 1020077014843A KR 20077014843 A KR20077014843 A KR 20077014843A KR 20070089970 A KR20070089970 A KR 20070089970A
Authority
KR
South Korea
Prior art keywords
access
configuration data
application
management
data set
Prior art date
Application number
KR1020077014843A
Other languages
Korean (ko)
Other versions
KR100913976B1 (en
Inventor
마르쿠 풀키넨
마르티 린드루스
Original Assignee
노키아 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 노키아 코포레이션 filed Critical 노키아 코포레이션
Priority to KR1020077014843A priority Critical patent/KR100913976B1/en
Publication of KR20070089970A publication Critical patent/KR20070089970A/en
Application granted granted Critical
Publication of KR100913976B1 publication Critical patent/KR100913976B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • G06F15/177Initialisation or configuration control

Abstract

The invention relates to a method for arranging use of configurations in a device with multiple configuration data sets manageable by one or more external managing entities. The device comprises access control information originated and/or controlled by an external managing entity for defining a right to access a configuration data set. The access control information is checked in response to an indication from an application requiring access to a configuration data set. If the application is, on the basis of the access control information, entitled to access the configuration data set, access to the configuration data set is arranged for the application.

Description

다중 구성들을 구비한 장치에서 구성들의 사용{Use of configurations in device with multiple configurations}Use of configurations in device with multiple configurations

본 발명은 다중 구성들을 구비하는 장치들에서 구성들의 사용을 설정하는 것에 관한 것이며, 특히 하나 또는 그 이상의 외부적 관리 장치들에 의해 관리될 수 있는 구성 데이터 세트들로 액세스 제어를 설정하는 것에 관한 것이다.The present invention relates to setting use of configurations in devices with multiple configurations, and in particular to setting access control with configuration data sets that can be managed by one or more external management devices. .

이동 기지국들과 같은 상이한 데이터 처리 장치들이 더 복잡해짐에 따라, 장치 관리(device management)의 중요성이 더 주장되었다. 장치들은 인터넷 액세스 지점들과 관련된 셋팅들과 같은 여러 상이한 셋팅들을 요구하고, 사용자가 그것들을 수동으로 설정하는 것은 힘들고, 어렵다. 이러한 문제를 해결하기 위해서, 회사 정보 시스템의 관리자 또는 원격 조작 장치(teleoperator)가 장치 내에서 적절한 구성을 설정할 수 있도록 하기 위해서, 장치 관리 솔루션들이 개발되었다. 일반적으로 장치 관리는 장치를 사용하지 않는 사람이 장치의 구성을 변화시킬 수 있는, 예를 들어, 장치에 의해 사용되는 셋팅들 또는 심지어 프로토콜을 변화시키는 동작들을 말한다. 장치-특정 셋팅들에 더하여, 사용자가 장치의 셋팅들을 개인적으로 수정할 수 있는 사용자 프로파일들, 로고들, 호출음들, 및 메뉴들과 같은 사용자-특정 데이터를 전송하는 것이 가능하며, 또한 상기 수정은 장치 관리와 관련하여 자동적으로 수행된다.As different data processing devices such as mobile base stations become more complex, the importance of device management has been further asserted. Devices require several different settings, such as settings associated with Internet access points, and it is difficult and difficult for a user to set them manually. In order to solve this problem, device management solutions have been developed to allow an administrator or teleoperator of a company information system to set up an appropriate configuration within the device. In general, device management refers to operations by which a person who does not use a device can change the configuration of the device, for example, settings or even protocols used by the device. In addition to device-specific settings, it is possible to transmit user-specific data, such as user profiles, logos, ring tones, and menus, in which the user can personally modify the settings of the device. It is done automatically in relation to management.

장치 관리 표준들의 하나는 OMA (Open Mobile Alliance) DM (Device management)이며, 이것은 부분적으로 SyncML (Synchronization Markup Language) 프로토콜에 기반한다. 예를 들어, 개인용 컴퓨터(PC)는 장치 관리 프로토콜 내의 장치 관리 서버로서 동작할 수 있으며, 그리고 이동 기지국은 장치 관리 클라이언트로서 동작할 수 있다. 장치 관리 클라이언트 내에서 관리되는 아이템들은 관리 대상들에 따라 설정된다. 관리 대상들은 장치 관리 클라이언트 내의 서버 관리 명령들에 의해서 관리될 수 있는 요소들이다. 관리 대상은 예를 들어, 배경 이미지 또는 화면 보호 장치와 같은 다수의 또는 많은 요소들일 수 있다. OMA 장치 관리에 있어서, 관리 대상들은 관리 트리 내에서 설정된다.One of the device management standards is Open Mobile Alliance (OMA) Device management (DM), which is based in part on the Synchronization Markup Language (SyncML) protocol. For example, a personal computer (PC) may operate as a device management server in a device management protocol, and the mobile base station may operate as a device management client. Items managed in the device management client are set according to the management targets. The management objects are elements that can be managed by server management commands in the device management client. The object to be managed may be many or many elements, for example a background image or a screen saver. In OMA device management, management objects are set in the management tree.

어떤 전형적인 관리가능한 아이템들은, 예를 들어 GPRS(General Packet Radio Service) 접속 셋팅들(connection settings)과 같은 오퍼레이터 특정 접속 셋팅들(operator specific connection settings)을 포함한다. OMA DM 과정들에 의해서, 구성들(configurations)로 언급될 수 있는 셋팅들의 이러한 오퍼레이터 특정 세트들은 사용자 단말기 장치에서 오퍼레이터 제어 관리 서버에 의해서 유지될 수 있다. 예를 들어, 서비스 제공자의 WAP 서비스들을 사용하기 위한 WAP(Wireless Application Protocol) 셋팅들은 단말기 장치에 대한 구성 컨텍트(context)로서 공급될 수 있다.Some typical manageable items include operator specific connection settings such as, for example, General Packet Radio Service (GPRS) connection settings. By OMA DM procedures, these operator specific sets of settings, which may be referred to as configurations, may be maintained by an operator control management server at the user terminal device. For example, Wireless Application Protocol (WAP) settings for using the service provider's WAP services may be supplied as a configuration context for the terminal device.

관리되는 어떤 아이템들은 화면 보호 장치 및 호출음들과 같은 사용자 특정 정보 및 사용자 제어 정보 정보를 포함할 수 있다. 더욱이, 장치들은, 예를 들어 파일 시스템, 인트라넷 페이지들 및 전자 메일 시스템들과 같이 통합 정보 시스템에 액세스하기 위해서 사용될 수 있다. 이러한 목적을 위해서, 장치들을 이러한 통합 정보 시스템 장치들로의 액세스를 구성하기 위해서 하나 또는 그 이상의 구성들을 포함할 필요가 있다. 보안 목적들을 위해서, 회사의 IT 담당자들이 이러한 셋팅들을 제어할 수 있도록 하는 것이 바람직하다. 그러므로, 장치들은 상이한 관리 당사자들로부터 다중 구성들을 포함할 수 있으며, 인가된 관리 당사자에만 특정 구성에 액세스할 수 있도록 하는 것이 가능해야 한다. "SyncML Device Management Protocol', 버전 1.1.2, 12월 12일, 2003년, 41 페이지의 OMA 사양에서 규정된 OMA DM 프로토콜에 따라서, 관리 세션의 셋-업 상태에서 관리 서버는 관리 서버로부터 수신된 인증서에 기반하여 인증된다. 더욱이, OMA 사양 "SyncML Management Tree and Description", 버전 1.1.2, 12월 2일, 2003년, 44 페이지에서 설명된 바와 같이, 관리 트리의 노드는 식별자들의 리스트 및 각 식별자와 관련된 액세스 권리들을 포함하는 액세스 제어 리스트(ACL)에 의해서 규정될 수 있다. 챕터 7.7.1에 설명된 바와 같이, ACL에 의해서 인증된 액세스 권리들은 노드를 획득, 추가, 대체, 및/또는 제거하기 위해서 인가된 관리 서버 식별자들을 정의한다. 따라서, 상이한 액세스 권리들은 여러 장치 관리 서버들에 제공될 수 있으며, 비자격의 관리 서버들로부터의 장치 관리 명령들은 관리 트리 상에서 수행되지 않는다. 그러나, 관리 트리 노드들로의 관리 서버들의 액세스를 제어하는 능력 외에, 장치 내에 구성들의 사용을 제한하려는 일반적 요구가 존재한다. 예를 들어, 회사들은 통합 데이터 및 서비스들을 보호하기 위해서, 더 나은 방식으로 회사 IT 서비스들에 액세스하기 위 해서 사용되는 단말기들을 제어하기를 원한다. Some items that are managed may include user specific information and user control information information such as screen savers and ring tones. Moreover, devices can be used to access an integrated information system, such as file systems, intranet pages, and e-mail systems, for example. For this purpose, it is necessary to include one or more configurations in order to configure the devices to access such integrated information system devices. For security purposes, it is desirable to allow the company's IT staff to control these settings. Therefore, the devices may include multiple configurations from different management parties, and it should be possible to allow only authorized management parties to access a particular configuration. In accordance with the OMA DM protocol specified in the "SyncML Device Management Protocol", version 1.1.2, December 12, 2003, OMA specification on page 41, in the set-up state of a management session, the management server receives a message from the management server. Furthermore, as described in the OMA specification "SyncML Management Tree and Description", Version 1.1.2, December 2, 2003, page 44, a node in the management tree is a list of identifiers and each May be defined by an access control list (ACL) that includes access rights associated with the identifier, as described in chapter 7.7.1, access rights authenticated by an ACL acquire, add, replace, and / or a node. Define authorized management server identifiers for removal, so different access rights can be provided to multiple device management servers, and device management commands from non-qualified management servers However, in addition to the ability to control the management servers' access to management tree nodes, there is a general need to limit the use of configurations within the device, for example, companies protect integrated data and services. To do this, you want to control the terminals used to access corporate IT services in a better way.

이제 방법, 장치 관리 시스템, 데이터 처리 장치들, 및 컴퓨터 프로그램 생성물이 제공되며, 이것은 독립항들에서 설명된 것에 의해서 특징지워진다. 본 발명의 어떤 실시예들이 종속항들에서 설명된다.A method, a device management system, data processing devices, and a computer program product are now provided, which are characterized by what is described in the independent claims. Certain embodiments of the invention are described in the dependent claims.

본 발명의 양상에 따라, 다중 구성 데이터 세트들을 구비하는 장치는 구성 데이터 세트에 액세스하는 애플리케이션의 권리를 정의하기 위해서 외부 관리 요소에 의해 생성 및/또는 제어되는 액세스 제어 정보를 포함한다. 액세스 제어 정보는 구성 데이터 세트로 액세스를 요구하는 애플리케이션으로부터의 표시에 응답하여 체크된다. 만약 액세스 제어 정보에 기반한 애플리케이션이 구성 데이터 세트에 액세스할 자격이 있다면, 구성 데이터 세트로의 액세스가 상기 애플리케이션에 대하여 설정된다.In accordance with an aspect of the present invention, an apparatus having multiple configuration data sets includes access control information generated and / or controlled by an external management element to define a right of an application to access the configuration data set. Access control information is checked in response to an indication from an application requesting access to the configuration data set. If an application based on access control information is entitled to access the configuration data set, access to the configuration data set is established for that application.

용어 "구성 데이터 세트"은 일반적으로 장치의 하나 또는 그 이상의 기능들 또는 장치 내의 애플리케이션에 직접적 또는 간접적으로 영향을 미치는 구성 정보를 포함하는 데이터의 세트로 언급된다. 예를 들어, 구성 데이터 세트는 장치로부터 설정된 접속에 기반한 IP 주소 또는 서버의 도메인 이름을 포함할 수 있다.The term “configuration data set” is generally referred to as a set of data that includes configuration information that directly or indirectly affects one or more functions of an apparatus or an application within the apparatus. For example, the configuration data set may include an IP address or domain name of a server based on a connection established from the device.

본 발명은 구성 데이터로의 애플리케이션들의 액세스를 제어하는 것이 가능하다. 특히, 액세스 권리들은 외부 요소에 의해 규정 및/또는 제어될 수 있다. 장치는 상이한 제어 특질들을 갖는 다중 구성 데이터 세트들을 포함할 수 있다. 예를 들어, 통합 정보 시스템에 대하여 액세스 셋팅들을 규정하는 구성 데이터 세트는 회사의 IT 담당자에 의해 동작되는 구성 관리 소프트웨어에 의해 제어될 수 있다.The invention makes it possible to control the access of applications to configuration data. In particular, access rights can be defined and / or controlled by external elements. The apparatus may include multiple configuration data sets with different control characteristics. For example, a configuration data set that defines access settings for an integrated information system can be controlled by configuration management software operated by a company's IT staff.

실시예에 따라, 적어도 하나의 서비스 컨텍트가 장치에 저장되며, 서비스 컨텍트는 적어도 구성 데이터 세트를 포함한다. 서비스 컨텍트로의 액세스는 액세스 제어 정보에 기초하여, 외부 관리 요소에 의해 서비스 컨텍트와 관련된 액세스 제어 정보 내에 예정된 애플리케이션에 대하여만 허용된다. 장치내의 애플리케이션에 의해 저장된 사용자 관련 데이터들과 같이, 셋팅들과 관련되지 않는 데이터를 포함할 수 있는 여러 용도의 컨텍트들이 장치에서 제공될 수 있다.According to an embodiment, at least one service contact is stored on the device, the service contact comprising at least a configuration data set. Access to the service contact is allowed only for applications scheduled in the access control information associated with the service contact by an external management element based on the access control information. Various uses of contacts may be provided at the device that may include data not related to settings, such as user related data stored by an application in the device.

이제 본 발명은 어떤 실시예들과 첨부된 도면을 참조하여 더 상세하게 설명되며,The invention is now described in more detail with reference to certain embodiments and the accompanying drawings,

도1은 관리 시스템을 도시하며, 1 shows a management system,

도2는 다중 구성들을 구비한 장치를 도시하며, 2 shows an apparatus with multiple configurations,

도3은 본 발명의 실시예에 따른 방법을 도시하며; 및3 illustrates a method according to an embodiment of the present invention; And

도4a와 도4b는 본 발명의 실시예에 따른 방법을 도시한다.4A and 4B illustrate a method according to an embodiment of the present invention.

아래에서 본 발명의 일 실시예가 OMA 장치 관리를 지원하는 시스템에 대하여 설명될 것이다; 그러나, 본 발명은 관리 장치 내의 구성들이 외부 관리 요소에 의해서 관리될 수 있는 어떤 장치 관리 시스템에 적용될 수 있다는 점에 유의하라.In the following, an embodiment of the present invention will be described with respect to a system supporting OMA device management; However, note that the present invention can be applied to any device management system in which the components in the management device can be managed by an external management element.

도1은 네트워크 시스템을 도시한다. 네트워크 서버 또는 PC가 전형적으로 서버 S로서 제공된다. 예를 들어, 이동 기지국, PC, 랩탑 컴퓨터, PDA((Personal Digital Assistant) 장치, 또는 그것들의 모듈은 단말기 TE로서 제공될 수 있다. 아래 실시예들에서, 장치 관리에 대하여, 단말기 TE가 장치 관리 클라이언트로서 제공되고, 서버 S가 장치 관리 서버로서 제공된다고 가정한다. 서버 S는 여러 클라이언트들 TE를 관리할 수 있다.1 shows a network system. A network server or PC is typically provided as server S. For example, a mobile base station, a PC, a laptop computer, a personal digital assistant (PDA) device, or a module thereof may be provided as the terminal TE. In the following embodiments, with respect to the device management, the terminal TE is the device management. It is assumed that it is provided as a client and that the server S is provided as a device management server, which can manage several clients TE.

도1의 제1 실시예에서, 클라이언트 TE와 관리 서버들 S는 근거리통신망(local area network:LAN)에 접속된다. 네트워크 LAN에 접속된 클라이언트 TE는 네트워크 LAN에서 장치들과 통신하기 위해서, 네트워크 카드와 데이터 전송을 제어하는 소프트웨어와 같은 기능을 포함한다. 근거리 통신망 LAN은 근거리 통신망의 임의의 유형일 수 있으며, TE는 또한 방화벽(firewall:FW)을 사용하여 전형적으로 인터넷을 통하여 서버 S에 접속될 수 있다. 단말기 TE는 또한 액세스 포인트(access point:SP)를 통하여 무선으로 근거리통신망 LAN에 접속될 수 있다.In the first embodiment of Fig. 1, the client TE and management servers S are connected to a local area network (LAN). A client TE connected to a network LAN includes functions such as software to control the network card and data transmission, in order to communicate with the devices in the network LAN. The local area network LAN can be any type of local area network, and the TE can also be connected to server S, typically through the Internet, using a firewall (FW). The terminal TE may also be connected to the local area network wirelessly via an access point (SP).

제2 실시예에서, 클라이언트 TE는 이동 네트워크(mobile network:MNW)를 통하여 서버 S와 통신한다. 네트워크(MNW)에 접속된 단말기(TE)는 네트워크(MNW)와 무선으로 통신하기 위해서 이동 기지국 기능을 포함한다. 또한 이동 네트워크(MNW)와 서버 S 사이에, 근거리통신망 LAN과 같은 다른 네트워크들이 있을 수 있다. 이동 네트워크 MNW는 어떤 무선 네트워크일 수 있는데, 예를 들어 GSM 서비스들을 지원하는 네트워크; GPRS(General Packet Radio Service) 서비스들을 지원하는 네트워크; 3GPP(3rd Generation Partnership Project)의 네트워크 사양에 따른 네트워크, 무선 근거리 통신망 WLAN, 개인 네트워크, 또는 여러 네트워크들의 조합과 같은 제3 세대 이동 네트워크일 수 있다. 상기 예들에 추가적으로, 다른 네트워크 구 성요소들 없이 무선 또는 유선 접속을 사용함으로써, 단말기들 TE 사이에서의 관리 접속, 단말기 TE와 서버 S 사이에서의 다이렉트 관리 접속과 같은 많은 다른 장치 관리 구성들이 또한 가능하다. In a second embodiment, the client TE communicates with the server S via a mobile network (MNW). The terminal TE connected to the network MNW includes a mobile base station function for wirelessly communicating with the network MNW. There may also be other networks between the mobile network (MNW) and the server S, such as a local area network LAN. The mobile network MNW can be any wireless network, for example a network supporting GSM services; A network supporting General Packet Radio Service (GPRS) services; It may be a third generation mobile network such as a network according to the network specification of the 3rd Generation Partnership Project (3GPP), a wireless local area network WLAN, a private network, or a combination of several networks. In addition to the above examples, by using a wireless or wired connection without other network components, many other device management configurations are also possible, such as a management connection between terminals TE and a direct management connection between terminal TE and server S. .

단말기 TE와 서버 S는 메모리, 사용자 인터페이스, 데이터 전송을 위한 I/O 수단, 및 하나 또는 그 이상의 프로세스들을 포함하는 중앙 처리 유닛을 포함한다. 메모리는 중앙 처리 유닛을 제어하는 어플리케이션들을 저장하고, 다른 정보가 저장되는 비활성 부분과 임시 데이터 처리에서 사용되는 활성 부분을 갖는다. Terminal TE and server S comprise a central processing unit comprising a memory, a user interface, I / O means for data transfer, and one or more processes. The memory stores the applications controlling the central processing unit, and has an inactive part in which other information is stored and an active part used in temporary data processing.

중앙 처리 유닛에서 실행되는 컴퓨터 프로그램 코드 부분들은 서버 S로 하여금 단말기 TE에서 서비스 컨텍트들을 설정하고 관리하는 본 발명의 수단을 실행시키도록 하며, 이것의 몇 실시예들이 도4a와 관련하여 도시되었다. 단말기 TE의 중앙 처리 유닛에서 실행되는 컴퓨터 프로그램 코드 부분들은 또한 단말기 TE로 하여금 단말기들로의 구성들을 설정하고, 단말기 TE에서 구성들의 사용을 설정하는 본 발명의 수단을 실행시키도록 하며, 이것의 몇 실시예들이 도2, 도3, 도4a, 및 도4b와 관련하여 도시되었다. 하나 또는 그 이상의 요소들이 본 발명의 기능들을 수행할 수 있음에 유의하라. 예를 들어, 도3에 도시된 몇몇의 특징들은 단말기 TE 내의 특정 액세스 제어기에 의해서 수행되며, 몇몇 다른 특징들은 단말기 TE 내의 어플리케이션에 의해서 수행된다. 컴퓨터 프로그램은 어떤 저장 매체에 저장될 수 있으며, 이것으로부터 장치 TE의 메모리로 로드될 수 있으며; S는 컴퓨터 프로그램을 구동시킨다. 또한 컴퓨터 프로그램은 예를 들어, TCP/IP 프로토콜 스택을 사용하여 네트워크를 통하여 로드될 수 있다. 또한, 본 발명의 수단을 실행시키기 위해서 하 드웨어 솔루션들 또는 하드웨어와 소프트웨어 솔류션들의 조합을 사용하는 것이 가능하다. 일 실시예에서, 장치 TE를 제어하기 위한 칩 유닛 또는 어떤 다른 유형의 모듈 및/또는 S는 장치 TE 및/또는 S로 하여금 본 발명의 기능을 수행하도록 할 수 있다. 서비스 컨텍트 특정 정보를 포함하는 데이터 구조는 예를 들어, 서버 S에서 단말기 TE까지의 데이터 전송 네트워크를 통하여 전송될 수 있으며, 단말기 TE의 메모리에 저장될 수 있다.Computer program code portions executed in the central processing unit cause server S to execute the inventive means of establishing and managing service contacts at terminal TE, some embodiments of which are shown in connection with FIG. 4A. The computer program code portions executed in the central processing unit of the terminal TE also cause the terminal TE to implement the means of the present invention to set up the configurations to the terminals and to set up the use of the configurations at the terminal TE. Embodiments are shown in connection with FIGS. 2, 3, 4A, and 4B. Note that one or more elements may perform the functions of the present invention. For example, some of the features shown in FIG. 3 are performed by a particular access controller in terminal TE, and some other features are performed by an application in terminal TE. The computer program can be stored in any storage medium, from which it can be loaded into the memory of the device TE; S runs a computer program. The computer program can also be loaded over the network, for example using the TCP / IP protocol stack. It is also possible to use hardware solutions or a combination of hardware and software solutions to implement the means of the present invention. In one embodiment, the chip unit or any other type of module and / or S for controlling the device TE may cause the device TE and / or S to perform the functions of the present invention. The data structure including the service contact specific information may be transmitted, for example, via a data transmission network from the server S to the terminal TE, and may be stored in the memory of the terminal TE.

일 실시예에서, 단말기 TE와 서버 S는 OMA 장치 관리(DM)를 지원하도록 설정된다. OMA 관리 클라이언트로서 제공되는 단말기 TE는 클라이언트에서 관리 세션(session)과 관련된 기능들을 다루는 클라이언트 에이전트 기능을 포함한다. 장치 관리 서버로서 제공되는 서버 S는 관리 세션을 관리하는 서버 에이전트 또는 서버 마스터를 포함한다. 그러나, 이러한 기능들의 어플리케이션은 어떤 특정 장치들에 제한되지 않으며, 클라이언트와 서버의 기능들은 단일의 물리적 장치에서 실행이 가능하다는 점에 유의하라. TE의 메모리에 저장된 하나 또는 그 이상의 관리 트리(tree)들은 단말기 TE에서 관리가능한 대상들을 나타낸다. 관리 트리는 노드들로 구성되고, 하나 또는 그 이상의 노드들 중에서 또는 하나의 노드 중에 적어도 하나의 파라미터에서 형성된 적어도 하나의 관리 대상을 정의한다. 노드는 개별적 파라미터, 서브 트리, 또는 데이터 수집일 수 있다. 노드는 노드에서 배경 이미지 파일과 같은 구성 값 또는 파일일 수 있는 적어도 하나의 파라미터를 포함할 수 있다. 노드의 콘텐츠(contents)들은 또한 다른 노드에 링크될 수 있다. 각 노드는 URI(uniform resource identifier)에 의해서 어드레스될 수 있다. 인가된 장치 관 리 서버는 관리 트리에 노드들의 콘텐츠들을 (동적으로) 추가하고 변화시킬 수 있다.In one embodiment, the terminal TE and the server S are set up to support OMA device management (DM). The terminal TE, which serves as an OMA management client, includes a client agent function that handles functions related to the management session at the client. Server S, which serves as a device management server, includes a server agent or server master that manages management sessions. However, note that the application of these functions is not limited to any particular device, and that the client and server functions can be executed on a single physical device. One or more management trees stored in the TE's memory represent objects manageable in the terminal TE. The management tree is composed of nodes, and defines at least one management object formed from at least one parameter among one or more nodes or one node. Nodes can be individual parameters, subtrees, or data collection. The node may include at least one parameter, which may be a configuration value or file, such as a background image file at the node. The contents of a node may also be linked to other nodes. Each node may be addressed by a uniform resource identifier (URI). The authorized device management server can (dynamically) add and change the contents of nodes in the management tree.

도2는 다중 구성들을 구비한 단말기 TE 환경(200)을 도시한다. 환경(200)은 하나 또는 그 이상의 서비스 컨텍트들(203)에 제공된다. 서비스 컨텍트(203)는 액세스가 제어되는 단말기 TE 내의 영역으로서 간주될 수 있다. 따라서 단말기 TE 내의 서비스 컨텍트 특정 저장 영역에 저장된 정보는 서비스 컨텍트(203)를 규정하거나 형성할 수 있다. 일 실시예에서, 서비스 컨텍트들(203)은 예를 들어 인터넷 액세스 서비스와 같은 서비스들에 액세스하기 위해 사용되는 단말기 TE 내의 상이한 구성들을 나타낸다. 서비스 컨텍트(203)로부터 화살표에 의해 도시된 것과 같이, 구성을 나타내는 서비스 컨텍트(203)는 인증서들(206), 셋팅들(205), 및/또는 서비스 컨텍트에 대한 특정한 어떤 다른 유형의 데이터(208)을 포함할 수 있다. 도2에 도시된 바와 같이, 서비스 컨텍트(203)에 속하는 정보는 다중 저장 위치들, 또는 단일의 저장 위치에 저장될 수 있다. 예를 들어, 서비스 컨텍트(203)는 파일 시스템(207)에 저장된 민감한 사용자 데이터, 서버 컨텍트 정보를 위한 특정 저장소가 될 수 있는 중앙 저장소(204)에 저장된 셋팅들(205) 및 인증서들(206)을 포함하거나, 이들과 관련될 수 있다. 서비스 컨텍트(203)에 속하는 데이터(208)는 단말기 TE에서 수신되는 어떤 데이터일 수 있으며, 애플리케이션(202)에 의해서 발생될 수 있다. 예를 들어, 사용자는 서비스 컨텍트(203)에 속하는 데이터(208)로서 저장된 달력 엔트리를 입력할 수 있다.2 shows a terminal TE environment 200 with multiple configurations. Environment 200 is provided to one or more service contacts 203. The service contact 203 may be considered as an area in the terminal TE whose access is controlled. Thus, the information stored in the service contact specific storage area in the terminal TE may define or form the service contact 203. In one embodiment, the service contacts 203 represent different configurations within the terminal TE used to access services such as, for example, an internet access service. As shown by the arrow from the service contact 203, the service contact 203 representing the configuration may include certificates 206, settings 205, and / or any other type of data specific to the service contact 208. ) May be included. As shown in FIG. 2, information pertaining to service contact 203 may be stored in multiple storage locations, or in a single storage location. For example, service contact 203 may have sensitive user data stored in file system 207, settings 205 and certificates 206 stored in central repository 204, which may be a specific repository for server contact information. Or may be associated with them. The data 208 belonging to the service contact 203 can be any data received at the terminal TE and can be generated by the application 202. For example, a user may enter a stored calendar entry as data 208 belonging to service contact 203.

보안 실행 환경(201)은 서비스 컨텍트(203) 정보로의 액세스를 제어할 수 있 으며, 서비스 컨텍트 콘텐츠들을 포함하는 저장소의 위치들은 안전하게 될 수 있다. 비록 도2에서는 도시되지 않았으나, 실행 환경(201)은 서비스 컨텍트 정보로의 액세스를 제어하도록 구성된 액세스 제어기를 포함할 수 있다. 서비스 컨텍트 관리자(211)의 일 실시예에서, 외부 관리 요소는 서비스 컨텍트(203)에 속하는 정보에 액세스하는 애플리케이션들(202)에 대하여 권리들을 부여할 수 있다. 외부 관리 요소(211)에 의해 발생 및/또는 제어되는 액세스 제어 정보(ACI)(212)는 서비스 컨텍트들(203)에 액세스하는 권리들을 정의하기 위해서 단말기 TE 내에 저장될 수 있다. 더욱이, 실행 환경(201)은 서비스 컨텍트(203)와 서비스 컨텍트 정보를 포함하는 하나 또는 그 이상의 저장 위치들에 액세스하는 인가된 애플리케이션 사이에서 데이터 전송을 안전하게 수행할 수 있다. 일 실시예에서, 적어도 어떤 보안 서비스들이 단말기 TE의 동작 시스템에 의해서 설정된다.The secure execution environment 201 may control access to service contact 203 information, and the locations of the repository containing the service contact contents may be secured. Although not shown in FIG. 2, execution environment 201 may include an access controller configured to control access to service contact information. In one embodiment of the service contact manager 211, the external management element may grant rights to the applications 202 accessing information belonging to the service contact 203. The access control information (ACI) 212 generated and / or controlled by the external management element 211 may be stored in the terminal TE to define the rights to access the service contacts 203. Moreover, execution environment 201 may securely perform data transfer between service contact 203 and authorized applications that access one or more storage locations that include service contact information. In one embodiment, at least certain security services are established by the operating system of the terminal TE.

애플리케이션들(202)은 단말기 환경(200)의 보안 실행 환경(201) 내에서 실행될 수 있다. 만약, 액세스 제어 정보(212)가 애플리케이션(202)을 인에이블(enable)시키면, 단말기 TE의 사용자에 대한 서비스를 개시하기 위해서 애플리케이션(202)에 대하여 하나 또는 그 이상의 서비스 컨텍트들(203)로의 액세스가 설정된다. 이러한 액세스 제어 정보(212)는 단말기 TE에서 많은 다른 방식들로 정의될 수 있다. 예를 들어, 서비스 컨텍트(203)에 액세스할 자격을 부여하는 파일 식별 요소들은 단말기 TE 내에 저장될 수 있으며, 단말기 TE는 파일 내에서 직접적 또는 간접적으로 식별된 요소들에 대하여만 서비스 컨텍트(203)로 액세스를 제공하도록 구성된다. 액세스 제어 정보(212)는 예를 들어 서비스 컨텍트 접속 제어 기능들을 실행시키는 소프트웨어 구성요소에 대한 파라미터들로서 단말기 TE에서 정의될 수 있다. 따라서, 단말기 TE는 서비스 컨텍트(203)에 액세스하는 자격을 정의하기 위해서 액세스 제어 규칙들에 제공될 수 있다. 액세스 제어 정보 파일은 애플리케이션 식별자들의 리스트 또는 애플리케이션 소스 식별자들의 리스트일 수 있다. 그러나, 애플리케이션 식별자들을 대신하여 또는 이것들에 추가적으로, 액세스 제어 정보는, 애플리케이션 그룹들 또는 애플리케이션 실행 환경들과 같은 단말기 TE에서 다른 요소들의 액세스 제어 정보를 규정할 수 있다. 액세스 제어 정보(212)는 서비스 컨텍트 또는 특정한 서비스 컨텍트 그룹일 수 있다. 예를 들어, 액세스 제어 정보(212)는 상이한 이용 상황들에 대하여 맞춰진 공동 액세스를 위하여 복수의 상이한 프로파일들을 포함할 수 있다. 일 실시예에서, 이러한 관리 액세스 제어 정보는(212)는 서비스 컨텍트 정보에 속한다. The applications 202 can run in the secure execution environment 201 of the terminal environment 200. If the access control information 212 enables the application 202, access to one or more service contacts 203 for the application 202 to initiate a service for the user of the terminal TE. Is set. This access control information 212 can be defined in many different ways at the terminal TE. For example, file identification elements that qualify for access to the service contact 203 may be stored in the terminal TE, where the terminal TE may only service element 203 for those elements identified directly or indirectly in the file. Is configured to provide access. The access control information 212 may be defined at the terminal TE as parameters for, for example, a software component that executes service contact connection control functions. Thus, the terminal TE may be provided in access control rules to define the entitlement to access the service contact 203. The access control information file may be a list of application identifiers or a list of application source identifiers. However, instead of or in addition to the application identifiers, the access control information may define other elements of access control information in the terminal TE, such as application groups or application execution environments. The access control information 212 may be a service contact or a specific service contact group. For example, access control information 212 may include a plurality of different profiles for joint access tailored for different usage situations. In one embodiment, this management access control information 212 belongs to service contact information.

본 발명에 따라, 애플리케이션(202)의 인증서(206)는 애플리케이션(202)과 관련된 식별자를 신뢰할 수 있게 정의하기 위해서 체크된다. 그 후 이러한 식별자에 기반하여, 단말기 TE는 애플리케이션(202)이 서비스 컨텍트(203)에 액세스할 자격이 있는지 여부를 체크하도록 구성된다. 이러한 인증서들(206)은 서비스 컨텍트 정보 내에(예를 들어 중앙 저장소(204) 내의 인증서) 및/또는 예를 들어 파일 시스템(207) 내의 애플리케이션(202) 데이터 내인 서비스 컨텍트(203) 밖에서 저장될 수 있다. 인증서(206)는 단말기 TE 내의 적어도 하나의 애플리케이션과 관련된다. 인증서(206)는 관련된 애플리케이션의 완전성 및 출처를 증명하기 위해서, 일반적인 인증 기관 또는 애플리케이션 개발자와 같은 신뢰할 만한 제3의 관계자에 의해 서 발행되고 디지털로 서명된다. 인증서(206)는 애플리케이션의 설치 동안에 액세스 제어 정보(212)로부터 개별적으로 단말기 TE에 대하여 얻어질 수 있으며, 또는 관리 요소로부터 서비스 컨텍트 정보 또는 액세스 제어 정보의 일부를 형성할 수 있다. 일 실시예에서 인증서(206)는 특정 서비스 컨텍트(203)에 액세스하는 애플리케이션(206)의 권리를 체크하기 위해서 액세스 제어 절차 동안에 얻어질 수 있음에 유의해야 한다. 인증서(206)는 아래의 것들 중에서 적어도 몇몇을 포함할 수 있다: 수령인이 인증서가 인증된 것이라는 것을 확인할 수 있도록 인증서 홀더의 이름, 일련 번호, 만료일, 인증서 홀더의 공개키의 복사본 및 발행자의 디지털 서명 중 몇몇을 포함할 수 있다. In accordance with the present invention, the certificate 206 of the application 202 is checked to reliably define an identifier associated with the application 202. Based on this identifier, the terminal TE is then configured to check whether the application 202 is entitled to access the service contact 203. Such certificates 206 may be stored within service contact information (eg, a certificate in central repository 204) and / or outside service contact 203, for example within application 202 data in file system 207. have. Certificate 206 is associated with at least one application in terminal TE. Certificate 206 is issued and digitally signed by a trusted third party, such as a general certification authority or application developer, to prove the completeness and origin of the associated application. The certificate 206 may be obtained for the terminal TE separately from the access control information 212 during installation of the application, or may form part of the service contact information or access control information from the management element. It should be noted that in one embodiment, the certificate 206 may be obtained during an access control procedure to check the right of the application 206 to access a particular service contact 203. The certificate 206 may include at least some of the following: the name, serial number, expiration date, copy of the certificate holder's public key, and the digital signature of the issuer so that the recipient can verify that the certificate is authentic. It may include some of them.

도2에서 파선으로 도시된 바와 같이, 서비스 컨텍트들(203)은 외부적으로 인증된 관리 요소(211)에 의해서 관리될 수 있다. 이것은 서비스 컨텍트(203)에 속하는 정보의 모두 또는 일부가 외부적 관리 요소(211)에 의해서 판독, 추가, 수정 및/또는 제거될 수 있다는 것을 의미할 수 있다. 일 실시예에서, OMA DM은 서비스 컨텍트들(203)을 관리하는데 적용될 수 있다. 서비스 컨텍트(203) 정보의 적어도 몇몇은 관리 트리에 저장될 수 있으며, 이것은 OMA 관리 서버(S)로부터 장치 관리 명령들에 기반하여 장치 관리 에이전트에 의해 수정될 수 있다.As shown by dashed lines in FIG. 2, service contacts 203 may be managed by an externally authenticated management element 211. This may mean that all or part of the information belonging to the service contact 203 may be read, added, modified and / or removed by the external management element 211. In one embodiment, the OMA DM may be applied to manage service contacts 203. At least some of the service contact 203 information may be stored in the management tree, which may be modified by the device management agent based on device management commands from the OMA management server (S).

도3은 단말기 TE 내의 서비스 컨텍트들을 사용하기 위한 실시예의 방법을 도시한다. 단계(301)에서, 애플리케이션(2020에 의한 서비스를 개시할 필요가 있을 수 있으며, 따라서 애플리케이션(202)은 서비스 셋-업 또는 어떤 다른 목적을 위해서 하나 또는 그 이상의 서비스 컨텍트들(203) 아래에 저장된 정보를 요구한다. 이 것은 전형적으로 사용자 입력에 기반하여 발생하나, 서비스는 또한 외부 장치로부터의 명령들과 같은 어떤 다른 트리거(trigger)에 기반하여 개시될 수 있다. 서비스에 대하여 이용가능한 서비스 컨텍트들(203)은 단계(302)에서 체크될 수 있다. 만약 체크(302,303)가 하나 이상의 이용가능한 서비스 컨텍트를 나타내면, 바람직한 서비스 컨텍트(203)가 선택된다(305). 예를 들어, 단말기 TE는 우선 순위로 서비스 컨텍트들(203)을 표시하는 우선 리스트를 저장할 수 있다. 디폴트 서비스 컨텍트(203)는 단계(305)에서 선택될 수 있다. 그렇지 않으면, 이용가능한 서비스 컨텍트(203)이 선택된다(304). 애플리케이션(202), 또는 애플리케이션 관리자는 단계(301 내지 305)를 수행하기 위해서 적합하게 될 수 있다. 비록 도3에 도시되지 않았지만, 서비스 컨텍트 선택 과정은 서비스 컨텍트를 선택하기 위해서 및/또는 서비스 컨텍트의 선택을 확인하기 위해서 단말기 TE의 사용자를 촉구하는 것을 포함할 수 있음에 유의하라. 3 illustrates an embodiment method for using service contacts in a terminal TE. In step 301, it may be necessary to initiate a service by the application 2020, such that the application 202 is stored under one or more service contacts 203 for service set-up or some other purpose. This is typically based on user input, but the service can also be initiated based on some other trigger, such as commands from an external device. 203 may be checked in step 302. If the checks 302 and 303 indicate one or more available service contacts, the preferred service contact 203 is selected 305. For example, the terminal TE first A priority list may be stored that indicates service contacts 203 by rank, and default service contact 203 may be selected in step 305. Yes. If not, an available service contact 203 is selected 304. The application 202, or application manager, may be adapted to perform steps 301-305. Although not shown in Figure 3, the service Note that the contact selection process may include prompting the user of the terminal TE to select a service contact and / or confirm the selection of the service contact.

그 후 방법은 단계(306)로 진행하며, 선택된 서비스 컨텍트로의 액세스가 요청되거나, 그렇지 않으면 서비스 컨텍트 특정 데이터로 액세스하는 요구가 표시된다. 관리 요소로부터의 액세스 제어 정보 및/또는 관리 요소에 의해 제어된 액세스 제어 정보(212)에 기반하여, 애플리케이션(202)이 서비스 컨텍트(203)에 액세스되도록 인가되는지 체크된다. 관련된 액세스 제어 정보(212)는 TE의 메모리로부터 얻어질 수 있으며, 또는 일 실시예에서 단말기 TE는 외부 관리 요소(212)와 같은 외부적 요소로부터 액세스 제어 정보를 요청하고 수신하도록 설정될 수 있다. 관리 요소는 서비스 컨텍트 관리자(211)이거나, 예를 들어 인증서(206)를 발행하는 요소 와 같은 어떤 다른 요소일 수 있다. 만약 애플리케이션(202)이 인증되지 않으면, 애플리케이션(202)에 대한 액세스는 서비스 컨텍트(203)에 의해 거부된다(308). The method then proceeds to step 306 where an access to the selected service contact is requested or otherwise a request to access service contact specific data is indicated. Based on the access control information from the management element and / or the access control information 212 controlled by the management element, it is checked whether the application 202 is authorized to access the service contact 203. Associated access control information 212 may be obtained from the memory of the TE, or in one embodiment, the terminal TE may be configured to request and receive access control information from an external element such as an external management element 212. The management element may be the service contact manager 211 or some other element, for example, an element that issues a certificate 206. If the application 202 is not authenticated, access to the application 202 is denied by the service contact 203 (308).

실시예에 따라, 단계(307)은 두 개의 서브 단계들을 포함한다. 첫 째는 서비스 컨텍트(203)에 액세스를 요구하는 애플리케이션(202)과 관련된 인증서(206)가 체크된다. 인증서(206)를 체크함으로써, 애플리케이션(202)의 완전성 및/또는 출처가 보장되는 것이 가능하다. 두 번째 서브 단계에서, 애플리케이션(202)의 인증서(206)로부터 얻어진 식별자가 예정된 액세스 제어 정보(212) 내의 식별자들과 비교된다. 일 실시예에서, 인증서(206)로부터 애플리케이션 출처 식별자는 제2 서브 단계에서, 액세스 제어 정보(212) 내의 예정된 애플리케이션 출처 식별자들과 비교될 수 있다. 본 발명의 액세스 제어 정보(212)는 서비스 컨텍트(203)를 사용하기 위해서 인가되는 이러한 애플리케이션들, 애플리케이션들의 그룹들 또는 애플리케이션 소스들을 규정한다. 따라서, 만약 애플리케이션(202)의 인증서(206)로부터의 식별자가 액세스 제어 정보(212)에서 발견되면, 애플리케이션은 인가된다.According to an embodiment, step 307 comprises two substeps. First, the certificate 206 associated with the application 202 requesting access to the service contact 203 is checked. By checking the certificate 206, it is possible for the integrity and / or origin of the application 202 to be guaranteed. In a second substep, the identifier obtained from the certificate 206 of the application 202 is compared with the identifiers in the intended access control information 212. In one embodiment, the application origin identifier from the certificate 206 may be compared with the predetermined application origin identifiers in the access control information 212 in a second substep. The access control information 212 of the present invention defines such applications, groups of applications, or application sources that are authorized to use the service contact 203. Thus, if an identifier from the certificate 206 of the application 202 is found in the access control information 212, the application is authorized.

만약 애플리케이션(202)이 체크(307)에 기반하여 인가되면, 애플리케이션은 서비스 컨텍트(203)와 관련된 정보에 액세스(309)할 수 있으며, 그 후 애플리케이션(202)은 관련된 서비스 컨텍트 정보에 기반하여 서비스를 개시(310)할 수 있다.If the application 202 is authorized based on the check 307, the application may access 309 information related to the service contact 203, and the application 202 may then service based on the associated service contact information. May initiate 310.

일 실시예에서, 서비스 컨텍트(203)는 서비스에 액세스하기 위해서 단말기 TE에서 하나 또는 그 이상의 네트워크 자원까지 접속을 구성하도록 요구되는 셋팅들을 포함하거나 이와 관련된다. 따라서, 애플리케이션(202)은 이러한 셋팅들을 사용하여 단계(310)에서 접속될 수 있다. 이러한 셋팅들은 전자 서버와 전자 계좌와 같은 인트라넷 자원들을 통합하는 액세스를 규정할 수 있다. 그러나, 또한 많은 다른 서비스들이 이러한 서비스 컨텍트(203)가 사용될 수 있도록 하기 위해 존재한다.In one embodiment, service contact 203 includes or is associated with settings required to establish a connection from terminal TE to one or more network resources to access a service. Thus, the application 202 can be connected at step 310 using these settings. These settings may define access integrating intranet resources such as electronic servers and electronic accounts. However, many other services also exist to allow this service contact 203 to be used.

실시예에서, 단말기 TE는 서비스 컨텍트(203)에 속하거나 이와 관련된 액세스 제어 애플리케이션 (특정) 데이터(208)를 포함하며, 따라서 애플리케이션 데이터(208)에 액세스는 외부적 관리 요소(211)에 의해 인가된 애플리케이션들(202)만을 위해서 설정될 수 있다. 이러한 애플리케이션 데이터(208)는 전형적으로, 사용자 입력에 기반하여 단말기 TE에서 애플리케이션(202)에 의해 저장되거나 관련된 사용자일 수 있다. 단계(310)에서, 통합 전자메일들을 포함하는 파일과 같이 애플리케이션 데이터(208)는 애플리케이션(202)(상기 예에서 전자 메일 클라이언트 애플리케이션)에 의해 디스플레이되거나 더 처리되는 것이 가능할 수 있다.In an embodiment, the terminal TE includes access control application (specific) data 208 belonging to or associated with the service contact 203, so that access to the application data 208 is authorized by an external management element 211. It may be set only for the designated applications 202. Such application data 208 may typically be a user stored or associated by application 202 at terminal TE based on user input. In step 310, application data 208, such as a file containing unified emails, may be capable of being displayed or further processed by application 202 (an email client application in the above example).

서비스 컨텍트(203)는 애플리케이션(202)을 사용할 때, 선택되거나 정의될 수 있다. 서비스 컨텍트(203)는 애플리케이션(202)이 활성화될 때 및/또는 새로운 콘텐츠가 서비스 컨텍트 정보로서 규정될 때 선택될 수 있다. 예를 들어, 전자 메일 애플리케이션이 활성화될 때, 사용자는 원하는 프로파일 또는 전자 메일 계좌를 선택하고, 이러한 프로파일 또는 전자 메일 계좌와 관련된 서비스 컨텍트가 또한 선택된다. 따라서, 그 후 애플리케이션(202)이 서비스 컨텍트(203)에 액세스를 요구할 때, 단계(302 내지 305)는 불필요하나, 예를 들어 원거리 전자 메일 서버로 접속하기 위해서 서비스 컨텍트(203)와 관련된 정보가 사용될 수 있다. 다른 실시예에서, 서비스 컨텍트(203)는 전자 메일 메시지와 같은 사용자 데이터 아이템을 위하여 규정될 수 있다. 이러한 서비스 컨텍트(203)는 데이터 아이템의 저장과 관련하여 선택될 수 있다. 예를 들어, 사용자가 전자 메일 설정을 끝마치고, 아이템을 저장하기 위해서 선택할 때, (전자 메일 애플리케이션에 대한) 이용가능한 서비스 컨텍트(203)가 사용자에게 보여진다. 그 후, 사용자는 데이터 아이템이 관련된 서비스 컨텍트(203)를 선택할 수 있으며, 따라서 데이터 아이템의 저장 위치를 선택하는 것이 가능하고, 상기 데이터 아이템은 이에 따라 저장된다. 그 후, 데이터 아이템은 어떤 다른 서비스 컨텍트(203) 특정 데이터로서 사용될 수 있다. 즉 데이터 아이템으로의 액세스는 인가된 애플리케이션(202)에 대하여만 허용된다.The service contact 203 may be selected or defined when using the application 202. The service contact 203 may be selected when the application 202 is activated and / or when new content is defined as service contact information. For example, when an e-mail application is activated, the user selects the desired profile or e-mail account, and the service contacts associated with that profile or e-mail account are also selected. Thus, when the application 202 then requests access to the service contact 203, steps 302 to 305 are unnecessary, but the information associated with the service contact 203 is lost, for example to connect to a remote e-mail server. Can be used. In another embodiment, service contact 203 may be defined for a user data item, such as an e-mail message. This service contact 203 may be selected in connection with the storage of the data item. For example, when a user finishes setting up e-mail and chooses to save an item, available service contacts 203 (for the e-mail application) are shown to the user. The user can then select the service contact 203 with which the data item is associated, thus making it possible to select a storage location for the data item, which data item is stored accordingly. The data item can then be used as some other service contact 203 specific data. That is, access to data items is allowed only for authorized applications 202.

일 실시예에서, 서비스 컨텍트(203)로의 액세스는 특정 액세스 제어기 요소와 같은 보안 실행 환경(201)에서 보안 과정에 의해 제어된다(단계 307 내지 309). 또한 실행 환경(201)이 애플리케이션(202)에 대한 서비스 컨텍트(203)를 체크(303)하고 선택(304,305)하는 것이 가능하다. 특정 서비스 컨텍트 선택기가 보안 실행 환경(201)에 제공될 수 있다.In one embodiment, access to the service contact 203 is controlled by a security process in a secure execution environment 201, such as a particular access controller element (steps 307-309). It is also possible for the execution environment 201 to check 303 and select 304, 305 the service contact 203 for the application 202. Specific service contact selectors may be provided to the secure execution environment 201.

다른 실시예에서, 서비스 컨텍트(203)로의 액세스를 요구하는 애플리케이션(202)에 대하여 이용가능한 서비스 컨텍트(203)는 이미 단계(302)에서 체크된다. 이러한 실시예에서, 애플리케이션(202)의 인증서가 액세스를 허용하는(또는 애플리케이션이 어떤 다른 수단에 의해 액세스 인증을 갖는) 서비스 컨텍트(203)만이 서비스로 고려된다. 이러한 실시예에서, 서비스 컨텍트(203)로의 액세스는 오직 인가된 애플리케이션들(202)에 의해서만 시도되고, 따라서 불필요한 요청들은 예방된다.In another embodiment, the service contacts 203 available to the application 202 requesting access to the service contacts 203 are already checked in step 302. In this embodiment, only the service contact 203 to which the certificate of the application 202 allows access (or the application has access authentication by some other means) is considered a service. In this embodiment, access to the service contact 203 is only attempted by authorized applications 202 and thus unnecessary requests are prevented.

도4a와 도4b는 실시예에 따라 서버 S에 의해 단말기 TE에서 서비스 컨텍트(203)를 설정 및/또는 수정하기 위한 방법을 도시한다. 도4a에서, 장치 관리 서버로서 기능하는 서버 S의 특징들이 도시되었다. 단계(401)에서, 관리 단말기 장치 TE에서 새로운 서비스 컨텍트(203)를 생성 및/또는 존재하는 서비스 컨텍트(203)를 수정할 필요가 있다. 다른 실시예에서, 서비스 컨텍트(203)와 관련된 액세스 제어 정보(212)를 추가하거나 수정할 필요가 있다.4A and 4B illustrate a method for establishing and / or modifying a service contact 203 at terminal TE by server S according to an embodiment. In Fig. 4A, the features of server S which functions as a device management server are shown. In step 401, it is necessary to create a new service contact 203 and / or modify an existing service contact 203 at the management terminal device TE. In other embodiments, it may be necessary to add or modify access control information 212 associated with service contacts 203.

장치 관리 세션은 서버S 내의 관리 서버 기능과 단말기 TE 내의 장치 관리 클라이언트 기능 사이에서 설정된다(402). OMA 사양 "SyncML Device Management Protocol', version 1.1.2, 2003년 12월 12일, 41 페이지에서 설명된 통상적인 OMA DM 세션 설정 기능들이 사용될 수 있다.A device management session is established between the management server function in server S and the device management client function in terminal TE (402). The normal OMA DM session setup functions described in the OMA specification "SyncML Device Management Protocol", version 1.1.2, December 12, 2003, page 41 can be used.

예를 들어 접속 셋팅(205) 및/또는 액세스 제어 정보(212)와 같은 서비스 컨텍트 관련 정보는 하나 또는 그 이상의 관리 명령들 내에 규정된다(403). 본 실시예에서, 장치 관리 명령(들) 내의 서비스 컨텍트 정보의 적어도 일부는 하나 또는 그 이상의 서비스 컨텍트 특정 장치 관리 트리 노드들에 어드레스된다. 관리 명령은 단말기 TE에 전송된다(404).Service contact related information, such as, for example, connection settings 205 and / or access control information 212, is defined 403 in one or more management commands. In this embodiment, at least some of the service contact information in the device management command (s) is addressed to one or more service contact specific device management tree nodes. The management command is sent to the terminal TE (404).

도4b는 서비스 컨텍트 관련 정보를 수신하는 단말기 TE에서 기능들을 도시한다. 단계(410)에서, 장치 관리 명령은 장치 관리 서버(S)로부터 수신된다. 액세스 제어 정보를 포함하는 서비스 컨텍트 관련 데이터는 단말기 TE에 저장될 수 있다. 특히, 단계(411)에서 단말기 TE 내의 장치 관리 클라이언트는 수신된 장치 관리 명령에 기반하여 요구된 동작들을 정의한다. 그 후, 단말기 TE 내의 장치 관리 트리 는 서비스 컨텍트(203)와 관련된 새롭고 및/또는 수정된 정보에 의해서 수정될 수 있다. 예를 들어, 새로운 노드는 노드를 수정하는 오직 인가된 장치 관리 서버로서 서버 S를 정의하는 ACL 리스트에 추가될 수 있다. 관리 트리는 관리 정보에 뷰(view)로서 단지 제공될 수 있으며, 관리 정보는 관리 트리 밖에 저장될 수 있다.4B illustrates functions at terminal TE receiving service contact related information. In step 410, the device management command is received from the device management server (S). The service contact related data including the access control information may be stored in the terminal TE. In particular, in step 411 the device management client in terminal TE defines the requested operations based on the received device management command. The device management tree in terminal TE may then be modified by new and / or modified information associated with service contact 203. For example, a new node may be added to the ACL list that defines server S as the only authorized device management server that modifies the node. The management tree may only be provided as a view to the management information, and the management information may be stored outside the management tree.

만약 서비스 컨텍트(203)가 처음으로 생성되고, 장치 관리가 단말기 TE에 대하여 마련되어 있지 않으면, OMA 클라이언트 프러비저닝 방법(OMA client provisioning methods)은 서비스 컨텍트 특정 관리 명령들에 앞서 먼저 장치 관리를 개시하고 구성하도록 사용될 수 있다. 따라서, 단계(402 및 410)에서, 프러비저닝을 설정하기 위한 접속이 사용될 수 있다.If the service contact 203 is created for the first time and device management is not provided for the terminal TE, then the OMA client provisioning methods initiate device management prior to service contact specific management commands. Can be used to construct. Thus, in steps 402 and 410, a connection can be used to set up provisioning.

관리 트리는, 비록 액세스 제어 정보(212)가 서비스 컨텍트(203)의 일부가 아니라도, 액세스 제어 정보(212)에 대하여 하나 또는 그 이상의 노드들을 포함할 수 있다. 상술한 것과 유사한 방식으로, 액세스 제어 정보(212)에 대한 노드에 어드레스되는 장치 관리 명령을 사용함으로써, 액세스 제어 정보(212)의 수정, 삭제, 또는 추가를 설정하는 것이 가능하다. 따라서, 외부적 관리 요소는 관리 장치 TE 내에서 액세스 제어 구성을 쉽게 변화시킬 수 있다. 도4a와 도4b는 단지 예시적이라는 것에 유의하라. 예를 들어, 장치 관리 명령은 관리 세션의 설정에 앞서 형성될 수 있다. 일 실시예에서, 서비스 컨텍트(203)는 단말기 TE 내의 인가된 관계자, 예를 들어 사용자에 의하여 생성되거나, 수정될 수 있다. 도3과 관련하여 이미 설명한 바와 같은 유사한 과정들, 즉 단계(306-309)가 서비스 컨텍트 정보에 액세스 할 때, 사용될 수 있다. 따라서, 서비스 컨텍트(203) 정보를 수정하기 위해 장치 관리 메커니즘들을 적용하는 것은 불필요하다.The management tree may include one or more nodes for the access control information 212 even though the access control information 212 is not part of the service contact 203. In a manner similar to that described above, it is possible to set modification, deletion, or addition of the access control information 212 by using the device management command addressed to the node for the access control information 212. Thus, the external management element can easily change the access control configuration in the management device TE. 4A and 4B are merely exemplary. For example, the device management command may be formed prior to setting up the management session. In one embodiment, the service contact 203 may be created or modified by an authorized party in the terminal TE, for example a user. Similar procedures as already described with respect to FIG. 3, i.e., steps 306-309, may be used when accessing service contact information. Thus, it is unnecessary to apply device management mechanisms to modify service contact 203 information.

일 실시예에서, 서비스 컨텍트 관리자(211) 또는 서비스 제공자는 단말기 TE에서 적합한 서비스 컨텍트가 위치하는가 및/또는 적절하게 사용되는가를 도4a 서버 S의 실시예에서 체크할 수 있다. 따라서, 서비스 제공자는 셋팅들을 정확하게 위치시키고, 신뢰할만한 출처로부터의 애플리케이션들만이 사용되는가를 체크할 수 있다. 이러한 체크는 서비스 컨텍트 데이터를 포함하는 노드들에서 OMA DM GET 명령들을 사용함으로써 실행될 수 있다. 이러한 실시예는 단계(404 및 412) 이후에 또는 예를 들어, 단말기 TE 내의 애플리케이션으로부터 서비스 요청을 수신한 후의 어떤 다른 시점에서 수행될 수 있다. In one embodiment, the service contact manager 211 or service provider may check in the embodiment of FIG. 4A server S whether a suitable service contact is located and / or used appropriately at terminal TE. Thus, the service provider can locate the settings correctly and check whether only applications from trusted sources are used. This check can be executed by using OMA DM GET commands at the nodes containing the service contact data. This embodiment may be performed after steps 404 and 412 or at some other point in time, for example, after receiving a service request from an application in the terminal TE.

단계들(402,403,410,411)에서, 장치 관리 프로토콜의 메카니즘들 및 그것에 대하여 정의된 메시지들을 이용하는 것이 가능하다; OMA 장치 관리 프로토콜 및 다른 명령들의 더 상세한 설명을 위해서, 예를 들어 OMA 사양 "SyncML Device Management Protocol', version 1.1.2, 12월 12일 2003년, 41 페이지, 및 OMA 사양 "SyncML Representation Protocol Device Management Usage", version 1.1.2, 6월 12일 2003년, 39페이지를 참조할 수 있다.In steps 402, 403, 410, 411, it is possible to use the mechanisms of the device management protocol and the messages defined for it; For a more detailed description of the OMA device management protocol and other commands, see, for example, the OMA specification "SyncML Device Management Protocol", version 1.1.2, December 12, 2003, page 41, and the OMA specification "SyncML Representation Protocol Device Management". Usage ”, version 1.1.2, June 12, 2003, page 39.

실시예에 따라, 서비스 컨텍트(203)의 콘텐츠들은 액세스 제어 정보(212)에 기반한 상이한 액세스 제어 규칙 및/또는 액세스 권리 레벨들과 관련될 수 있다. 다른 실시예에서, 상이한 액세스 규칙들이 서비스 컨텍트(203)의 상이한 부분들에 적용된다. 예를 들어, 통합 전자 메일 서버로의 접속을 규정하는 서비스 컨텍 트(203)의 셋팅들(205)은 (서비스 컨텍트(203)를 액세스하도록 인가된 애플리케이션(202)에 의해서) 판독될 수 있으나, 수정되지는 않으며, 반면에 서비스 컨텍트(203)와 관련된 파일 시스템(207) 내의 데이터(208)로의 액세스는 판독 및 수정이 가능할 수 있다. 이러한 실시예에서, 서비스 컨텍트(203)의 콘텐츠들은 액세스 제어에 대하여 구별될 수 있다. According to an embodiment, the contents of the service contact 203 may be associated with different access control rules and / or access rights levels based on the access control information 212. In other embodiments, different access rules apply to different portions of service contact 203. For example, the settings 205 of the service contact 203 that define a connection to the integrated email server may be read (by the application 202 authorized to access the service contact 203), While not modified, access to data 208 in file system 207 associated with service contact 203 may be readable and correctable. In such an embodiment, the contents of the service contact 203 may be differentiated for access control.

상술한 실시예에서와 같이 적용될 수 있는 어떤 규칙들은:(서비스 컨텍트 데이터의 모두 또는 단지 특정 부분을) 판독하는 권리, 제거하는 권리, 추가하는 권리가 있을 수 있다. 액세스 제어 규칙들 및/또는 권리 레벨들은 액세스 제어 정보(212) 또는 어떤 다른 저장소 내에서 규정될 수 있다. 일 실시예에서, 액세스 방침들은(policies) XACML (Extensible Access Markup Language)에 의해서 규정된다. 만약 OMA DM이 적용되면, 액세스 제어 리스트들은 관련된 서비스 컨텍트 관련 데이터에 액세스하도록 인가된 하나 또는 그 이상의 외부 장치 관리 서버들을 결정하기 위해서 관리 트리 내에서 규정될 수 있다. 즉 외부 관리 요소들은 OMA DM 액세스 제어 리스트들에 의해 규정될 수 있다.Some rules that may be applied as in the embodiment described above may be: (right to read all or only a specific portion of the service contact data), right to remove, right to add. Access control rules and / or rights levels may be defined within access control information 212 or some other repository. In one embodiment, access policies are defined by Extensible Access Markup Language (XACML). If OMA DM is applied, access control lists may be defined within the management tree to determine one or more external device management servers authorized to access the associated service contact related data. That is, external management elements may be defined by OMA DM access control lists.

대안적 또는 보완적 실시예에서, 상이한 액세스 제어 규칙들은 액세스 제어 정보(212)에 기반하여 서비스 컨텍트들(203)의 상이한 사용자들과 관련된다. 이러한 실시예에서, 상이한 애플리케이션들(202)에 대한 상이한 액세스 권리들을 적용하는 것이 가능하며, 예를 들어 단말기 TE의 사용자들에 대하여 상이한 액세스 권리들을 작용하는 것이 가능하다. 예로서, 서비스 컨텍트(203)(또는 그것의 일부)는 단말기 TE의 사용자 또는 단말기 TE의 가입자 및 서비스 컨텍트(203)를 생성 및/또 는 제어하는 외부 관리 요소에 의해서만 수정되도록 설정될 수 있다.In an alternative or complementary embodiment, different access control rules are associated with different users of the service contacts 203 based on the access control information 212. In this embodiment, it is possible to apply different access rights for different applications 202, for example to act different access rights for the users of the terminal TE. By way of example, the service contact 203 (or a portion thereof) may be configured to be modified only by the user of the terminal TE or the external management element that creates and / or controls the subscriber and service contact 203 of the terminal TE.

일 실시예에서, 단말기 TE의 사용자 또는 가입자는 항상 단말기 TE로부터 서비스 켄턱스(203)를 제거하거나 삭제할 자격이 있다. 서비스 컨텍트(203)는 서비스를 확보하도록 요구되기 때문에, 서비스 컨텍트(203)가 삭제된 후에는 서비스에 액세스하기 위해서 단말기 TE가 사용될 수 없다. 따라서, 서비스 컨텍트(203)의 어떤 관리자(211)에 대하여 전면적 제어 권한을 줄 필요가 없으며, 사용자들은 그들의 단말기들을 제어하는 권리를 포기할 필요가 없다. 어떤 단말기에 서비스 컨텍트가 강요될 필요는 없으나, 사용자/가입자는 서비스를 사용하기를 원할 수 있으며, 따라서 단말기 TE에 서비스 컨텍트를 받아들일 수 있다. 서비스 컨텍트(203)는 인가된 관리 요소(211)에 의해서만 수정되도록 설정될 수 있기 때문에. 서비스 컨텍트(203)를 수정하기 위한 사용자의 액세스를 예방하는 것이 가능하다.In one embodiment, the user or subscriber of the terminal TE is always entitled to remove or delete the service tax 203 from the terminal TE. Since the service contact 203 is required to secure the service, the terminal TE cannot be used to access the service after the service contact 203 is deleted. Thus, there is no need to give full control to any administrator 211 of service contact 203, and users do not have to give up the right to control their terminals. There is no need for a service contact to be imposed on any terminal, but the user / subscriber may want to use the service and thus accept the service contact on the terminal TE. Because the service contact 203 can be set to be modified only by the authorized management element 211. It is possible to prevent a user's access to modify service contact 203.

다른 실시예에서, 사용자가 서비스 컨텍트들(203)을 삭제한 것을 인가된 관리 요소(211)에 알리는 능력이 제공된다. 사용자 입력에 기반하여 서비스 컨텍트(203)의 삭제를 다루는 피처 또는 애플리케이션(203)은 단말기 TE로부터 서비스 컨텍트(203)의 삭제를 알리는 메시지를 인가된 관리 요소(211)에 전송하도록 구성될 수 있다. 다른 실시예에서, 인가된 관리 요소(211)는 삭제된 서비스 컨텍트들을 검출하기 위해서 단말기 TE 내에 (보이도록 인가된) 서비스 컨텍트들(203)을 체크하도록 구성된다. 예를 들어, 주기적 체크가 서비스 컨텍트 데이터를 포함하는 노드들 상에서 OMA DM 과정들에 의해 수행될 수 있다.In another embodiment, the ability to notify authorized management element 211 that a user has deleted service contacts 203 is provided. The feature or application 203 dealing with the deletion of the service contact 203 based on the user input may be configured to send a message to the authorized management element 211 informing the deletion of the service contact 203 from the terminal TE. In another embodiment, authorized management element 211 is configured to check service contacts 203 (authorized to be seen) in terminal TE to detect deleted service contacts. For example, periodic checks may be performed by OMA DM procedures on nodes containing service contact data.

상술한 실시예들은 또한 그것들의 어떤 조합으로 적용될 수 있음에 유의하 라. 기술이 발전함에 따라, 본 발명의 기본 아이디어는 많은 다른 방식들로 실행될 수 있다는 것은 당해 기술 분야에서 숙련된 자에게 명백하다. 따라서, 본 발명 및 그것의 실시예들은 상술한 예들로 제한되지 않으며, 청구항들의 범위 내에서 변화될 수 있다.Note that the embodiments described above can also be applied in any combination thereof. As the technology evolves, it is apparent to those skilled in the art that the basic idea of the present invention can be implemented in many different ways. Accordingly, the invention and its embodiments are not limited to the examples described above but may vary within the scope of the claims.

Claims (20)

하나 또는 그 이상의 외부 관리 요소들에 의해 관리가능한 다중 구성 데이터 세트들을 구비한 장치에서 구성들의 사용을 설정하는 장치 관리 시스템에 대한 방법에 있어서, 복수의 애플리케이션들은 상기 시스템이 구성 데이터 세트에 액세스하는 권리를 정의하기 위해 외부 관리 요소에 의해 생성 및/또는 제어되는 액세스 제어 정보를 포함하는 것을 특징으로 하며, 상기 방법은:CLAIMS 1. A method for a device management system that sets up the use of configurations in a device having multiple configuration data sets manageable by one or more external management elements, the plurality of applications having the right to access the configuration data set by the system. And access control information generated and / or controlled by an external management element to define the method. 구성 데이터 세트로의 액세스를 요구하는 애플리케이션으로부터의 표시에 응답하여 상기 액세스 제어 정보를 체크하는 단계; 및Checking the access control information in response to an indication from an application requiring access to a configuration data set; And 상기 액세스 제어 정보에 기반하여 상기 애플리케이션이 상기 구성 데이터 세트에 액세스할 자격이 있다는 것에 응답하여, 상기 애플리케이션에 대하여 상기 구성 데이터 세트로의 액세스를 설정하는 단계를 포함하는 것을 특징으로 하는 방법.In response to said application being entitled to access said configuration data set based on said access control information, establishing access to said configuration data set for said application. 제1항에 있어서, 적어도 하나의 서비스 컨텍트가 상기 장치 내에 저장되고, 상기 서비스 컨텍트는 적어도 상기 구성 데이터 세트를 포함하고, 상기 서비스 컨텍트로의 액세스는 상기 액세스 제어 정보에 기반하여 상기 외부 관리 요소에 의해 상기 서비스 컨텍트와 관련된 액세스 제어 정보 내에 예정된 애플리케이션에 대하여 허용되는 것을 특징으로 하는 방법.The device of claim 1, wherein at least one service contact is stored in the device, the service contact includes at least the configuration data set, and access to the service contact is based on the access control information to the external management element. For a predetermined application in access control information associated with the service contact. 제1항에 있어서, 상기 애플리케이션에 대하여 이용가능한 복수의 구성 데이터 세트들에 응답하여 상기 에플리케이션에 대한 구성 데이터 세트의 선택을 설정하는 것을 특징으로 하는 방법.2. The method of claim 1, wherein the selection of a configuration data set for the application is set in response to a plurality of configuration data sets available for the application. 전술한 어느 한 항에 있어서, 상기 구성 데이터 세트의 적어도 일부에 기반하여 상기 애플리케이션에 의한 서비스를 설정하는 것을 특징으로 하는 방법.The method of any one of the preceding claims, wherein a service is set up by the application based on at least a portion of the configuration data set. 전술한 어느 한 항에 있어서, In any one of the foregoing, 상기 외부 관리 요소의 장치 관리 서버와 상기 장치 간의 프로비저닝을 설정하기 위해서 장치 관리 세션 또는 접속을 설정하는 단계;Establishing a device management session or connection to establish provisioning between the device management server of the external management element and the device; 프러비저닝 동안에 상기 장치 관리 세션 또는 상기 접속에 의해 상기 구성 데이터 세트 및/또는 상기 액세스 제어 정보를 전송하는 단계; 및Transmitting the configuration data set and / or the access control information by the device management session or the connection during provisioning; And 상기 장치 내에 상기 구성 데이터 세트 및/또는 상기 액세스 제어 정보를 저장하는 단계;에 의해서Storing the configuration data set and / or the access control information in the device; 상기 구성 데이터 세트 및/또는 상기 액세스 제어 정보를 상기 장치 내에 설정하는 것을 특징으로 하는 방법.Setting the configuration data set and / or the access control information in the device. 장치 관리 서버와 관리되는 장치 관리 클라이언트를 포함하는 장치 관리 시스템에 있어서, 상기 장치 관리 시스템은 적어도 하나의 노드를 포함하는 관리 구조에 의해 적어도 하나의 장치 관리 클라이언트를 관리하도록 설정되며, 상기 시스 템은 구성 데이터 세트에 액세스하는 권리를 정의하기 위해 외부 관리 요소로부터 생성 및/또는 제어되는 액세스 제어 정보를 저장하도록 설정되는 것을 특징으로 하며,A device management system comprising a device management server and a managed device management client, wherein the device management system is configured to manage at least one device management client by a management structure comprising at least one node, the system being And store access control information generated and / or controlled from an external management element to define a right to access a configuration data set, 상기 시스템은 구성 데이터 세트로의 액세스를 요구하는 애플리케이션으로부터의 표시에 응답하여 액세스 제어 정보를 체크하도록 설정되며,The system is configured to check the access control information in response to an indication from an application requiring access to the configuration data set, 상기 액세스 제어 정보에 기반하여 상기 애플리케이션이 상기 구성 데이터 세트에 액세스할 자격이 있다는 것에 응답하여, 상기 시스템이 상기 구성 데이터 세트로의 액세스에 상기 애플리케이션을 제공하도록 설정되며, 및In response to the application being entitled to access the configuration data set based on the access control information, the system is configured to provide the application to access to the configuration data set, and 상기 시스템은 상기 데이터 세트의 적어도 일부에 기반하여 상기 애플리케이션에 의해 서비스를 설정하도록 구성되는 것을 특징으로 하는 장치 관리 시스템.And the system is configured to set up a service by the application based on at least a portion of the data set. 장치 관리 시스템에 대한 데이터 처리 장치에 있어서, 상기 장치는 하나 또는 그 이상의 외부 관리 요소들에 의해 관리가능한 다중 구성 데이터 세트들을 저장하는 수단 및 복수의 애플리케이션을 포함하며, 상기 데이터 처리 장치는:A data processing apparatus for a device management system, the apparatus comprising means for storing multiple configuration data sets manageable by one or more external management elements and a plurality of applications, the data processing apparatus comprising: 구성 데이터 세트에 액세스하는 권리를 정의하기 위해서 액세스 제어 정보를 저장하는 메모리,A memory that stores access control information to define a right to access a configuration data set, 구성 데이터 세트로 액세스를 요구하는 애플리케이션으로부터의 표시에 응답하여 상기 액세스 제어 정보를 체크하는 수단, 및Means for checking said access control information in response to an indication from an application requesting access to a configuration data set, and 상기 액세스 제어 정보에 기반하여 상기 애플리케이션이 상기 구성 데이터 세트에 액세스할 자격이 있다는 것에 응답하여 상기 애플리케이션에 대하여 상기 구성 데이터 세트에 액세스를 구성하는 수단을 포함하는 것을 특징으로 하는 데이터 처리 장치.Means for configuring access to the configuration data set for the application in response to the application being entitled to access the configuration data set based on the access control information. 제7항에 있어서, 상기 데이터 처리 장치는 상기 구성 데이터 세트에 액세스하는 상기 애플리케이션으로부터의 요청에 응답하여 상기 액세스 제어 정보를 체크하도록 구성되는 것을 특징으로 하는 데이터 처리 장치.8. The data processing apparatus of claim 7, wherein the data processing apparatus is configured to check the access control information in response to a request from the application to access the configuration data set. 제7항 또는 제8항에 있어서, 상기 데이터 처리 장치는 상기 구성 데이터 세트의 적어도 일부에 기반하여 상기 애플리케이션에 의한 서비스를 설정하는 수단을 포함하는 것을 특징으로 하는 데이터 처리 장치.9. The data processing apparatus of claim 7 or 8, wherein the data processing apparatus includes means for setting up a service by the application based on at least a portion of the configuration data set. 제7항 내지 제9항 중 어느 한 항에 있어서, 적어도 상기 구성 데이터 세트를 포함하는 적어도 하나의 서비스 컨텍트는 상기 데이터 처리 장치 내에 저장되고, 그리고10. The method of any of claims 7-9, wherein at least one service contact comprising at least the configuration data set is stored in the data processing apparatus, and 상기 데이터 처리 장치는, 만약 상기 애플리케이션이 상기 서비스 컨텍트와 관련된 액세스 제어 정보에 기반하여 인가되면, 상기 애플리케이션으로 하여금 상기 액세스 제어 정보에 기반하여 상기 서비스 컨텍트에 액세스하는 것을 허용하도록 설정되는 것을 특징으로 하는 데이터 처리 장치.The data processing device is configured to allow the application to access the service contact based on the access control information if the application is authorized based on access control information associated with the service contact; Data processing unit. 제10항에 있어서, 상기 서비스 컨텍트는 상기 데이터 처리 장치의 애플리케 이션에 의해 저장된 사용자 관련 데이터를 더 포함하는 것을 특징으로 하는 데이터 처리 장치.The data processing apparatus of claim 10, wherein the service contact further includes user related data stored by an application of the data processing apparatus. 제7항 내지 제11항 중 어느 한 항에 있어서, 상기 구성 데이터 세트는 서비스에 액세스하기 위해 상기 장치에서 하나 또는 그 이상의 네트워크 자원들까지 접속을 설정하도록 요구되는 셋팅들을 포함하며, 그리고The apparatus of claim 7, wherein the configuration data set includes settings required to establish a connection to one or more network resources at the device to access a service, and 상기 데이터 처리 장치는 상기 셋팅들에 기반하여 하나 또는 그 이상의 네트워크 자원들에 접속을 설정하도록 구성되는 것을 특징으로 하는 데이터 처리 장치.The data processing device is configured to establish a connection to one or more network resources based on the settings. 제7항 내지 제12항 중 어느 한 항에 있어서, 상기 데이터 처리 장치는 상기 애플리케이션에 대하여 이용가능한 복수의 구성 데이터 세트들에 응답하여 상기 애플리케이션에 대한 구성 데이터 세트의 선택을 설정하는 수단을 포함하는 것을 특징으로 하는 데이터 처리 장치.13. The apparatus according to any of claims 7 to 12, wherein the data processing device comprises means for setting a selection of a configuration data set for the application in response to a plurality of configuration data sets available for the application. A data processing device, characterized in that. 제7항 내지 제13항 중 어느 한 항에 있어서, 상기 구성 데이터 세트에 액세스하도록 인가된 상기 애플리케이션 사이에서의 데이터 전송, 및 상기 구성 데이터 세트를 포함하는 저장 위치가 보호되는 것을 특징으로 하는 데이터 처리 장치.14. Data processing as claimed in any of claims 7 to 13, wherein data transfer between the applications authorized to access the configuration data set, and the storage location containing the configuration data set are protected. Device. 제7항 내지 제14항 중 어느 한 항에 있어서, 구성 데이터 세트로의 액세스는 상기 액세스 제어 정보 내의 예정된 식별자들과 상기 애플리케이션과 관련된 인증 서 내의 식별자 사이에서의 비교에 기반하여 제어되며, 상기 애플리케이션의 출처를 인증하는 것을 특징으로 하는 데이터 처리 장치.15. The method of any of claims 7-14, wherein access to a configuration data set is controlled based on a comparison between predetermined identifiers in the access control information and an identifier in a certificate associated with the application. A data processing device, characterized in that the source of authentication. 제7항 내지 제15항 중 어느 한 항에 있어서, 상기 데이터 처리 장치는 OMA 장치 관리 표준에 따라 장치 관리 클라이언트를 포함하며,16. The device according to any one of claims 7 to 15, wherein the data processing device comprises a device management client in accordance with an OMA device management standard, 상기 데이터 처리 장치는 장치 관리 서버로부터의 장치 관리 명령에 기반하여 구성 데이터 세트를 상기 데이터 처리 장치 내의 관리 트리의 노드에 추가 및/또는 수정하도록 구성된 것을 특징으로 하는 데이터 처리 장치.And the data processing device is configured to add and / or modify a configuration data set to a node of a management tree in the data processing device based on a device management command from a device management server. 장치 관리 시스템에 대한 데이터 처리 장치에 있어서, 상기 데이터 처리 장치는 관리 명령들을 관리 장치에 전송하는 수단을 포함하며, A data processing apparatus for a device management system, the data processing apparatus comprising means for sending management commands to the management apparatus, 상기 데이터 처리 장치는 상기 관리 장치 내의 구성 데이터 세트에 액세스하기 위해 관리 장치 내의 애플리케이션의 권리를 정의하기 위한 액세스 제어 정보를 제어하는 수단을 포함하는 것을 특징으로 하는 데이터 처리 장치.And the data processing device comprises means for controlling access control information for defining a right of an application in a management device to access a set of configuration data in the management device. 제17항에 있어서, 상기 데이터 처리 장치는 상기 관리 장치를 이용하여 장치 관리 세션을 설정하도록 설정되며,18. The apparatus of claim 17, wherein the data processing device is set to establish a device management session using the management device, 상기 데이터 처리 장치는 상기 관리 장치의 관리 트리 내의 상기 액세스 제어 정보 및/또는 상기 구성 데이터 세트를 나타내는 노드에 어드레스되는 장치 관리 명령을 형성하도록 설정되며, 그리고The data processing apparatus is set to form a device management command addressed to a node representing the access control information and / or the configuration data set in the management tree of the management apparatus, and 상기 데이터 처리 장치는 상기 장치 관리 명령을 상기 관리 장치에 전송하도록 설정되는 것을 특징으로 하는 데이터 처리 장치.And the data processing device is set to send the device management command to the management device. 제17항 또는 제18항에 있어서, 상기 데이터 처리 장치는 OMA 장치 관리 표준에 따라 장치 관리 서버인 것을 특징으로 하는 데이터 처리 장치.19. The data processing apparatus of claim 17 or 18, wherein the data processing apparatus is a device management server according to an OMA device management standard. 데이터 처리 장치의 메모리로 다운로드될 수 있는 컴퓨터 프로그램 생성물에 있어서, 상기 컴퓨터 프로그램 생성물은 상기 데이터 처리 장치의 프로세서에서 실행될 때, 상기 데이터 처리 장치로 하여금:A computer program product that can be downloaded to a memory of a data processing device, wherein the computer program product, when executed in a processor of the data processing device, causes the data processing device to: 구성 데이터 세트로 액세스를 요구하는 애플리케이션으로부터의 표시에 응답하여 구성 데이터 세트에 액세스하는 권리를 정의하는 액세스 제어 정보를 체크하고, 그리고Check access control information that defines a right to access the configuration data set in response to an indication from an application requesting access to the configuration data set, and 상기 액세스 제어 정보에 기반하여 상기 애플리케이션이 상기 구성 데이터 세트에 액세스할 자격이 있다는 것에 응답하여, 상기 애플리케이션에 대한 상기 구성 데이터 세트로 액세스하도록 설정하는,In response to said application being entitled to access said configuration data set based on said access control information, setting to access said configuration data set for said application, 컴퓨터 프로그램 코드를 포함하는 것을 특징으로 하는 컴퓨터 프로그램 생성물.A computer program product comprising computer program code.
KR1020077014843A 2007-06-28 2004-12-30 Use of configurations in device with multiple configurations KR100913976B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020077014843A KR100913976B1 (en) 2007-06-28 2004-12-30 Use of configurations in device with multiple configurations

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020077014843A KR100913976B1 (en) 2007-06-28 2004-12-30 Use of configurations in device with multiple configurations

Publications (2)

Publication Number Publication Date
KR20070089970A true KR20070089970A (en) 2007-09-04
KR100913976B1 KR100913976B1 (en) 2009-08-25

Family

ID=38688645

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020077014843A KR100913976B1 (en) 2007-06-28 2004-12-30 Use of configurations in device with multiple configurations

Country Status (1)

Country Link
KR (1) KR100913976B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8204934B2 (en) 2007-12-31 2012-06-19 Intel Corporation Techniques to enable firewall bypass for open mobile alliance device management server-initiated notifications in wireless networks
KR101294940B1 (en) * 2011-11-30 2013-08-08 포항공과대학교 산학협력단 System for protecting information on mobile platform and method for the same

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006507580A (en) * 2002-11-21 2006-03-02 ノキア コーポレイション Method and apparatus for defining an object enabling setting of a device management tree for a mobile communication device

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8204934B2 (en) 2007-12-31 2012-06-19 Intel Corporation Techniques to enable firewall bypass for open mobile alliance device management server-initiated notifications in wireless networks
KR101294940B1 (en) * 2011-11-30 2013-08-08 포항공과대학교 산학협력단 System for protecting information on mobile platform and method for the same

Also Published As

Publication number Publication date
KR100913976B1 (en) 2009-08-25

Similar Documents

Publication Publication Date Title
US8140650B2 (en) Use of configurations in device with multiple configurations
US11501057B2 (en) Enabling file attachments in calendar events
EP1233636B1 (en) System and method for over the air configuration security
US8565726B2 (en) System, method and device for mediating connections between policy source servers, corporate repositories, and mobile devices
US8621574B2 (en) Opaque quarantine and device discovery
US6591095B1 (en) Method and apparatus for designating administrative responsibilities in a mobile communications device
US9300476B2 (en) Management of certificates for mobile devices
US8935384B2 (en) Distributed data revocation using data commands
US20110167470A1 (en) Mobile data security system and methods
US7340057B2 (en) Method and apparatus for distributing authorization to provision mobile devices on a wireless network
CN108701175B (en) Associating user accounts with enterprise workspaces
CA2498317C (en) Method and system for automatically configuring access control
KR100913976B1 (en) Use of configurations in device with multiple configurations
EP1854260A1 (en) Access rights control in a device management system
JP6240253B2 (en) Configuration usage in devices with multiple configurations
JP5977018B2 (en) Configuration usage in devices with multiple configurations
CN113660283A (en) Validity authentication method and device

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120802

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20130801

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20150717

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20160720

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20170719

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20180718

Year of fee payment: 10