KR20070089970A - Use of configurations in device with multiple configurations - Google Patents
Use of configurations in device with multiple configurations Download PDFInfo
- Publication number
- KR20070089970A KR20070089970A KR1020077014843A KR20077014843A KR20070089970A KR 20070089970 A KR20070089970 A KR 20070089970A KR 1020077014843 A KR1020077014843 A KR 1020077014843A KR 20077014843 A KR20077014843 A KR 20077014843A KR 20070089970 A KR20070089970 A KR 20070089970A
- Authority
- KR
- South Korea
- Prior art keywords
- access
- configuration data
- application
- management
- data set
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
- G06F15/177—Initialisation or configuration control
Abstract
Description
본 발명은 다중 구성들을 구비하는 장치들에서 구성들의 사용을 설정하는 것에 관한 것이며, 특히 하나 또는 그 이상의 외부적 관리 장치들에 의해 관리될 수 있는 구성 데이터 세트들로 액세스 제어를 설정하는 것에 관한 것이다.The present invention relates to setting use of configurations in devices with multiple configurations, and in particular to setting access control with configuration data sets that can be managed by one or more external management devices. .
이동 기지국들과 같은 상이한 데이터 처리 장치들이 더 복잡해짐에 따라, 장치 관리(device management)의 중요성이 더 주장되었다. 장치들은 인터넷 액세스 지점들과 관련된 셋팅들과 같은 여러 상이한 셋팅들을 요구하고, 사용자가 그것들을 수동으로 설정하는 것은 힘들고, 어렵다. 이러한 문제를 해결하기 위해서, 회사 정보 시스템의 관리자 또는 원격 조작 장치(teleoperator)가 장치 내에서 적절한 구성을 설정할 수 있도록 하기 위해서, 장치 관리 솔루션들이 개발되었다. 일반적으로 장치 관리는 장치를 사용하지 않는 사람이 장치의 구성을 변화시킬 수 있는, 예를 들어, 장치에 의해 사용되는 셋팅들 또는 심지어 프로토콜을 변화시키는 동작들을 말한다. 장치-특정 셋팅들에 더하여, 사용자가 장치의 셋팅들을 개인적으로 수정할 수 있는 사용자 프로파일들, 로고들, 호출음들, 및 메뉴들과 같은 사용자-특정 데이터를 전송하는 것이 가능하며, 또한 상기 수정은 장치 관리와 관련하여 자동적으로 수행된다.As different data processing devices such as mobile base stations become more complex, the importance of device management has been further asserted. Devices require several different settings, such as settings associated with Internet access points, and it is difficult and difficult for a user to set them manually. In order to solve this problem, device management solutions have been developed to allow an administrator or teleoperator of a company information system to set up an appropriate configuration within the device. In general, device management refers to operations by which a person who does not use a device can change the configuration of the device, for example, settings or even protocols used by the device. In addition to device-specific settings, it is possible to transmit user-specific data, such as user profiles, logos, ring tones, and menus, in which the user can personally modify the settings of the device. It is done automatically in relation to management.
장치 관리 표준들의 하나는 OMA (Open Mobile Alliance) DM (Device management)이며, 이것은 부분적으로 SyncML (Synchronization Markup Language) 프로토콜에 기반한다. 예를 들어, 개인용 컴퓨터(PC)는 장치 관리 프로토콜 내의 장치 관리 서버로서 동작할 수 있으며, 그리고 이동 기지국은 장치 관리 클라이언트로서 동작할 수 있다. 장치 관리 클라이언트 내에서 관리되는 아이템들은 관리 대상들에 따라 설정된다. 관리 대상들은 장치 관리 클라이언트 내의 서버 관리 명령들에 의해서 관리될 수 있는 요소들이다. 관리 대상은 예를 들어, 배경 이미지 또는 화면 보호 장치와 같은 다수의 또는 많은 요소들일 수 있다. OMA 장치 관리에 있어서, 관리 대상들은 관리 트리 내에서 설정된다.One of the device management standards is Open Mobile Alliance (OMA) Device management (DM), which is based in part on the Synchronization Markup Language (SyncML) protocol. For example, a personal computer (PC) may operate as a device management server in a device management protocol, and the mobile base station may operate as a device management client. Items managed in the device management client are set according to the management targets. The management objects are elements that can be managed by server management commands in the device management client. The object to be managed may be many or many elements, for example a background image or a screen saver. In OMA device management, management objects are set in the management tree.
어떤 전형적인 관리가능한 아이템들은, 예를 들어 GPRS(General Packet Radio Service) 접속 셋팅들(connection settings)과 같은 오퍼레이터 특정 접속 셋팅들(operator specific connection settings)을 포함한다. OMA DM 과정들에 의해서, 구성들(configurations)로 언급될 수 있는 셋팅들의 이러한 오퍼레이터 특정 세트들은 사용자 단말기 장치에서 오퍼레이터 제어 관리 서버에 의해서 유지될 수 있다. 예를 들어, 서비스 제공자의 WAP 서비스들을 사용하기 위한 WAP(Wireless Application Protocol) 셋팅들은 단말기 장치에 대한 구성 컨텍트(context)로서 공급될 수 있다.Some typical manageable items include operator specific connection settings such as, for example, General Packet Radio Service (GPRS) connection settings. By OMA DM procedures, these operator specific sets of settings, which may be referred to as configurations, may be maintained by an operator control management server at the user terminal device. For example, Wireless Application Protocol (WAP) settings for using the service provider's WAP services may be supplied as a configuration context for the terminal device.
관리되는 어떤 아이템들은 화면 보호 장치 및 호출음들과 같은 사용자 특정 정보 및 사용자 제어 정보 정보를 포함할 수 있다. 더욱이, 장치들은, 예를 들어 파일 시스템, 인트라넷 페이지들 및 전자 메일 시스템들과 같이 통합 정보 시스템에 액세스하기 위해서 사용될 수 있다. 이러한 목적을 위해서, 장치들을 이러한 통합 정보 시스템 장치들로의 액세스를 구성하기 위해서 하나 또는 그 이상의 구성들을 포함할 필요가 있다. 보안 목적들을 위해서, 회사의 IT 담당자들이 이러한 셋팅들을 제어할 수 있도록 하는 것이 바람직하다. 그러므로, 장치들은 상이한 관리 당사자들로부터 다중 구성들을 포함할 수 있으며, 인가된 관리 당사자에만 특정 구성에 액세스할 수 있도록 하는 것이 가능해야 한다. "SyncML Device Management Protocol', 버전 1.1.2, 12월 12일, 2003년, 41 페이지의 OMA 사양에서 규정된 OMA DM 프로토콜에 따라서, 관리 세션의 셋-업 상태에서 관리 서버는 관리 서버로부터 수신된 인증서에 기반하여 인증된다. 더욱이, OMA 사양 "SyncML Management Tree and Description", 버전 1.1.2, 12월 2일, 2003년, 44 페이지에서 설명된 바와 같이, 관리 트리의 노드는 식별자들의 리스트 및 각 식별자와 관련된 액세스 권리들을 포함하는 액세스 제어 리스트(ACL)에 의해서 규정될 수 있다. 챕터 7.7.1에 설명된 바와 같이, ACL에 의해서 인증된 액세스 권리들은 노드를 획득, 추가, 대체, 및/또는 제거하기 위해서 인가된 관리 서버 식별자들을 정의한다. 따라서, 상이한 액세스 권리들은 여러 장치 관리 서버들에 제공될 수 있으며, 비자격의 관리 서버들로부터의 장치 관리 명령들은 관리 트리 상에서 수행되지 않는다. 그러나, 관리 트리 노드들로의 관리 서버들의 액세스를 제어하는 능력 외에, 장치 내에 구성들의 사용을 제한하려는 일반적 요구가 존재한다. 예를 들어, 회사들은 통합 데이터 및 서비스들을 보호하기 위해서, 더 나은 방식으로 회사 IT 서비스들에 액세스하기 위 해서 사용되는 단말기들을 제어하기를 원한다. Some items that are managed may include user specific information and user control information information such as screen savers and ring tones. Moreover, devices can be used to access an integrated information system, such as file systems, intranet pages, and e-mail systems, for example. For this purpose, it is necessary to include one or more configurations in order to configure the devices to access such integrated information system devices. For security purposes, it is desirable to allow the company's IT staff to control these settings. Therefore, the devices may include multiple configurations from different management parties, and it should be possible to allow only authorized management parties to access a particular configuration. In accordance with the OMA DM protocol specified in the "SyncML Device Management Protocol", version 1.1.2, December 12, 2003, OMA specification on page 41, in the set-up state of a management session, the management server receives a message from the management server. Furthermore, as described in the OMA specification "SyncML Management Tree and Description", Version 1.1.2, December 2, 2003, page 44, a node in the management tree is a list of identifiers and each May be defined by an access control list (ACL) that includes access rights associated with the identifier, as described in chapter 7.7.1, access rights authenticated by an ACL acquire, add, replace, and / or a node. Define authorized management server identifiers for removal, so different access rights can be provided to multiple device management servers, and device management commands from non-qualified management servers However, in addition to the ability to control the management servers' access to management tree nodes, there is a general need to limit the use of configurations within the device, for example, companies protect integrated data and services. To do this, you want to control the terminals used to access corporate IT services in a better way.
이제 방법, 장치 관리 시스템, 데이터 처리 장치들, 및 컴퓨터 프로그램 생성물이 제공되며, 이것은 독립항들에서 설명된 것에 의해서 특징지워진다. 본 발명의 어떤 실시예들이 종속항들에서 설명된다.A method, a device management system, data processing devices, and a computer program product are now provided, which are characterized by what is described in the independent claims. Certain embodiments of the invention are described in the dependent claims.
본 발명의 양상에 따라, 다중 구성 데이터 세트들을 구비하는 장치는 구성 데이터 세트에 액세스하는 애플리케이션의 권리를 정의하기 위해서 외부 관리 요소에 의해 생성 및/또는 제어되는 액세스 제어 정보를 포함한다. 액세스 제어 정보는 구성 데이터 세트로 액세스를 요구하는 애플리케이션으로부터의 표시에 응답하여 체크된다. 만약 액세스 제어 정보에 기반한 애플리케이션이 구성 데이터 세트에 액세스할 자격이 있다면, 구성 데이터 세트로의 액세스가 상기 애플리케이션에 대하여 설정된다.In accordance with an aspect of the present invention, an apparatus having multiple configuration data sets includes access control information generated and / or controlled by an external management element to define a right of an application to access the configuration data set. Access control information is checked in response to an indication from an application requesting access to the configuration data set. If an application based on access control information is entitled to access the configuration data set, access to the configuration data set is established for that application.
용어 "구성 데이터 세트"은 일반적으로 장치의 하나 또는 그 이상의 기능들 또는 장치 내의 애플리케이션에 직접적 또는 간접적으로 영향을 미치는 구성 정보를 포함하는 데이터의 세트로 언급된다. 예를 들어, 구성 데이터 세트는 장치로부터 설정된 접속에 기반한 IP 주소 또는 서버의 도메인 이름을 포함할 수 있다.The term “configuration data set” is generally referred to as a set of data that includes configuration information that directly or indirectly affects one or more functions of an apparatus or an application within the apparatus. For example, the configuration data set may include an IP address or domain name of a server based on a connection established from the device.
본 발명은 구성 데이터로의 애플리케이션들의 액세스를 제어하는 것이 가능하다. 특히, 액세스 권리들은 외부 요소에 의해 규정 및/또는 제어될 수 있다. 장치는 상이한 제어 특질들을 갖는 다중 구성 데이터 세트들을 포함할 수 있다. 예를 들어, 통합 정보 시스템에 대하여 액세스 셋팅들을 규정하는 구성 데이터 세트는 회사의 IT 담당자에 의해 동작되는 구성 관리 소프트웨어에 의해 제어될 수 있다.The invention makes it possible to control the access of applications to configuration data. In particular, access rights can be defined and / or controlled by external elements. The apparatus may include multiple configuration data sets with different control characteristics. For example, a configuration data set that defines access settings for an integrated information system can be controlled by configuration management software operated by a company's IT staff.
실시예에 따라, 적어도 하나의 서비스 컨텍트가 장치에 저장되며, 서비스 컨텍트는 적어도 구성 데이터 세트를 포함한다. 서비스 컨텍트로의 액세스는 액세스 제어 정보에 기초하여, 외부 관리 요소에 의해 서비스 컨텍트와 관련된 액세스 제어 정보 내에 예정된 애플리케이션에 대하여만 허용된다. 장치내의 애플리케이션에 의해 저장된 사용자 관련 데이터들과 같이, 셋팅들과 관련되지 않는 데이터를 포함할 수 있는 여러 용도의 컨텍트들이 장치에서 제공될 수 있다.According to an embodiment, at least one service contact is stored on the device, the service contact comprising at least a configuration data set. Access to the service contact is allowed only for applications scheduled in the access control information associated with the service contact by an external management element based on the access control information. Various uses of contacts may be provided at the device that may include data not related to settings, such as user related data stored by an application in the device.
이제 본 발명은 어떤 실시예들과 첨부된 도면을 참조하여 더 상세하게 설명되며,The invention is now described in more detail with reference to certain embodiments and the accompanying drawings,
도1은 관리 시스템을 도시하며, 1 shows a management system,
도2는 다중 구성들을 구비한 장치를 도시하며, 2 shows an apparatus with multiple configurations,
도3은 본 발명의 실시예에 따른 방법을 도시하며; 및3 illustrates a method according to an embodiment of the present invention; And
도4a와 도4b는 본 발명의 실시예에 따른 방법을 도시한다.4A and 4B illustrate a method according to an embodiment of the present invention.
아래에서 본 발명의 일 실시예가 OMA 장치 관리를 지원하는 시스템에 대하여 설명될 것이다; 그러나, 본 발명은 관리 장치 내의 구성들이 외부 관리 요소에 의해서 관리될 수 있는 어떤 장치 관리 시스템에 적용될 수 있다는 점에 유의하라.In the following, an embodiment of the present invention will be described with respect to a system supporting OMA device management; However, note that the present invention can be applied to any device management system in which the components in the management device can be managed by an external management element.
도1은 네트워크 시스템을 도시한다. 네트워크 서버 또는 PC가 전형적으로 서버 S로서 제공된다. 예를 들어, 이동 기지국, PC, 랩탑 컴퓨터, PDA((Personal Digital Assistant) 장치, 또는 그것들의 모듈은 단말기 TE로서 제공될 수 있다. 아래 실시예들에서, 장치 관리에 대하여, 단말기 TE가 장치 관리 클라이언트로서 제공되고, 서버 S가 장치 관리 서버로서 제공된다고 가정한다. 서버 S는 여러 클라이언트들 TE를 관리할 수 있다.1 shows a network system. A network server or PC is typically provided as server S. For example, a mobile base station, a PC, a laptop computer, a personal digital assistant (PDA) device, or a module thereof may be provided as the terminal TE. In the following embodiments, with respect to the device management, the terminal TE is the device management. It is assumed that it is provided as a client and that the server S is provided as a device management server, which can manage several clients TE.
도1의 제1 실시예에서, 클라이언트 TE와 관리 서버들 S는 근거리통신망(local area network:LAN)에 접속된다. 네트워크 LAN에 접속된 클라이언트 TE는 네트워크 LAN에서 장치들과 통신하기 위해서, 네트워크 카드와 데이터 전송을 제어하는 소프트웨어와 같은 기능을 포함한다. 근거리 통신망 LAN은 근거리 통신망의 임의의 유형일 수 있으며, TE는 또한 방화벽(firewall:FW)을 사용하여 전형적으로 인터넷을 통하여 서버 S에 접속될 수 있다. 단말기 TE는 또한 액세스 포인트(access point:SP)를 통하여 무선으로 근거리통신망 LAN에 접속될 수 있다.In the first embodiment of Fig. 1, the client TE and management servers S are connected to a local area network (LAN). A client TE connected to a network LAN includes functions such as software to control the network card and data transmission, in order to communicate with the devices in the network LAN. The local area network LAN can be any type of local area network, and the TE can also be connected to server S, typically through the Internet, using a firewall (FW). The terminal TE may also be connected to the local area network wirelessly via an access point (SP).
제2 실시예에서, 클라이언트 TE는 이동 네트워크(mobile network:MNW)를 통하여 서버 S와 통신한다. 네트워크(MNW)에 접속된 단말기(TE)는 네트워크(MNW)와 무선으로 통신하기 위해서 이동 기지국 기능을 포함한다. 또한 이동 네트워크(MNW)와 서버 S 사이에, 근거리통신망 LAN과 같은 다른 네트워크들이 있을 수 있다. 이동 네트워크 MNW는 어떤 무선 네트워크일 수 있는데, 예를 들어 GSM 서비스들을 지원하는 네트워크; GPRS(General Packet Radio Service) 서비스들을 지원하는 네트워크; 3GPP(3rd Generation Partnership Project)의 네트워크 사양에 따른 네트워크, 무선 근거리 통신망 WLAN, 개인 네트워크, 또는 여러 네트워크들의 조합과 같은 제3 세대 이동 네트워크일 수 있다. 상기 예들에 추가적으로, 다른 네트워크 구 성요소들 없이 무선 또는 유선 접속을 사용함으로써, 단말기들 TE 사이에서의 관리 접속, 단말기 TE와 서버 S 사이에서의 다이렉트 관리 접속과 같은 많은 다른 장치 관리 구성들이 또한 가능하다. In a second embodiment, the client TE communicates with the server S via a mobile network (MNW). The terminal TE connected to the network MNW includes a mobile base station function for wirelessly communicating with the network MNW. There may also be other networks between the mobile network (MNW) and the server S, such as a local area network LAN. The mobile network MNW can be any wireless network, for example a network supporting GSM services; A network supporting General Packet Radio Service (GPRS) services; It may be a third generation mobile network such as a network according to the network specification of the 3rd Generation Partnership Project (3GPP), a wireless local area network WLAN, a private network, or a combination of several networks. In addition to the above examples, by using a wireless or wired connection without other network components, many other device management configurations are also possible, such as a management connection between terminals TE and a direct management connection between terminal TE and server S. .
단말기 TE와 서버 S는 메모리, 사용자 인터페이스, 데이터 전송을 위한 I/O 수단, 및 하나 또는 그 이상의 프로세스들을 포함하는 중앙 처리 유닛을 포함한다. 메모리는 중앙 처리 유닛을 제어하는 어플리케이션들을 저장하고, 다른 정보가 저장되는 비활성 부분과 임시 데이터 처리에서 사용되는 활성 부분을 갖는다. Terminal TE and server S comprise a central processing unit comprising a memory, a user interface, I / O means for data transfer, and one or more processes. The memory stores the applications controlling the central processing unit, and has an inactive part in which other information is stored and an active part used in temporary data processing.
중앙 처리 유닛에서 실행되는 컴퓨터 프로그램 코드 부분들은 서버 S로 하여금 단말기 TE에서 서비스 컨텍트들을 설정하고 관리하는 본 발명의 수단을 실행시키도록 하며, 이것의 몇 실시예들이 도4a와 관련하여 도시되었다. 단말기 TE의 중앙 처리 유닛에서 실행되는 컴퓨터 프로그램 코드 부분들은 또한 단말기 TE로 하여금 단말기들로의 구성들을 설정하고, 단말기 TE에서 구성들의 사용을 설정하는 본 발명의 수단을 실행시키도록 하며, 이것의 몇 실시예들이 도2, 도3, 도4a, 및 도4b와 관련하여 도시되었다. 하나 또는 그 이상의 요소들이 본 발명의 기능들을 수행할 수 있음에 유의하라. 예를 들어, 도3에 도시된 몇몇의 특징들은 단말기 TE 내의 특정 액세스 제어기에 의해서 수행되며, 몇몇 다른 특징들은 단말기 TE 내의 어플리케이션에 의해서 수행된다. 컴퓨터 프로그램은 어떤 저장 매체에 저장될 수 있으며, 이것으로부터 장치 TE의 메모리로 로드될 수 있으며; S는 컴퓨터 프로그램을 구동시킨다. 또한 컴퓨터 프로그램은 예를 들어, TCP/IP 프로토콜 스택을 사용하여 네트워크를 통하여 로드될 수 있다. 또한, 본 발명의 수단을 실행시키기 위해서 하 드웨어 솔루션들 또는 하드웨어와 소프트웨어 솔류션들의 조합을 사용하는 것이 가능하다. 일 실시예에서, 장치 TE를 제어하기 위한 칩 유닛 또는 어떤 다른 유형의 모듈 및/또는 S는 장치 TE 및/또는 S로 하여금 본 발명의 기능을 수행하도록 할 수 있다. 서비스 컨텍트 특정 정보를 포함하는 데이터 구조는 예를 들어, 서버 S에서 단말기 TE까지의 데이터 전송 네트워크를 통하여 전송될 수 있으며, 단말기 TE의 메모리에 저장될 수 있다.Computer program code portions executed in the central processing unit cause server S to execute the inventive means of establishing and managing service contacts at terminal TE, some embodiments of which are shown in connection with FIG. 4A. The computer program code portions executed in the central processing unit of the terminal TE also cause the terminal TE to implement the means of the present invention to set up the configurations to the terminals and to set up the use of the configurations at the terminal TE. Embodiments are shown in connection with FIGS. 2, 3, 4A, and 4B. Note that one or more elements may perform the functions of the present invention. For example, some of the features shown in FIG. 3 are performed by a particular access controller in terminal TE, and some other features are performed by an application in terminal TE. The computer program can be stored in any storage medium, from which it can be loaded into the memory of the device TE; S runs a computer program. The computer program can also be loaded over the network, for example using the TCP / IP protocol stack. It is also possible to use hardware solutions or a combination of hardware and software solutions to implement the means of the present invention. In one embodiment, the chip unit or any other type of module and / or S for controlling the device TE may cause the device TE and / or S to perform the functions of the present invention. The data structure including the service contact specific information may be transmitted, for example, via a data transmission network from the server S to the terminal TE, and may be stored in the memory of the terminal TE.
일 실시예에서, 단말기 TE와 서버 S는 OMA 장치 관리(DM)를 지원하도록 설정된다. OMA 관리 클라이언트로서 제공되는 단말기 TE는 클라이언트에서 관리 세션(session)과 관련된 기능들을 다루는 클라이언트 에이전트 기능을 포함한다. 장치 관리 서버로서 제공되는 서버 S는 관리 세션을 관리하는 서버 에이전트 또는 서버 마스터를 포함한다. 그러나, 이러한 기능들의 어플리케이션은 어떤 특정 장치들에 제한되지 않으며, 클라이언트와 서버의 기능들은 단일의 물리적 장치에서 실행이 가능하다는 점에 유의하라. TE의 메모리에 저장된 하나 또는 그 이상의 관리 트리(tree)들은 단말기 TE에서 관리가능한 대상들을 나타낸다. 관리 트리는 노드들로 구성되고, 하나 또는 그 이상의 노드들 중에서 또는 하나의 노드 중에 적어도 하나의 파라미터에서 형성된 적어도 하나의 관리 대상을 정의한다. 노드는 개별적 파라미터, 서브 트리, 또는 데이터 수집일 수 있다. 노드는 노드에서 배경 이미지 파일과 같은 구성 값 또는 파일일 수 있는 적어도 하나의 파라미터를 포함할 수 있다. 노드의 콘텐츠(contents)들은 또한 다른 노드에 링크될 수 있다. 각 노드는 URI(uniform resource identifier)에 의해서 어드레스될 수 있다. 인가된 장치 관 리 서버는 관리 트리에 노드들의 콘텐츠들을 (동적으로) 추가하고 변화시킬 수 있다.In one embodiment, the terminal TE and the server S are set up to support OMA device management (DM). The terminal TE, which serves as an OMA management client, includes a client agent function that handles functions related to the management session at the client. Server S, which serves as a device management server, includes a server agent or server master that manages management sessions. However, note that the application of these functions is not limited to any particular device, and that the client and server functions can be executed on a single physical device. One or more management trees stored in the TE's memory represent objects manageable in the terminal TE. The management tree is composed of nodes, and defines at least one management object formed from at least one parameter among one or more nodes or one node. Nodes can be individual parameters, subtrees, or data collection. The node may include at least one parameter, which may be a configuration value or file, such as a background image file at the node. The contents of a node may also be linked to other nodes. Each node may be addressed by a uniform resource identifier (URI). The authorized device management server can (dynamically) add and change the contents of nodes in the management tree.
도2는 다중 구성들을 구비한 단말기 TE 환경(200)을 도시한다. 환경(200)은 하나 또는 그 이상의 서비스 컨텍트들(203)에 제공된다. 서비스 컨텍트(203)는 액세스가 제어되는 단말기 TE 내의 영역으로서 간주될 수 있다. 따라서 단말기 TE 내의 서비스 컨텍트 특정 저장 영역에 저장된 정보는 서비스 컨텍트(203)를 규정하거나 형성할 수 있다. 일 실시예에서, 서비스 컨텍트들(203)은 예를 들어 인터넷 액세스 서비스와 같은 서비스들에 액세스하기 위해 사용되는 단말기 TE 내의 상이한 구성들을 나타낸다. 서비스 컨텍트(203)로부터 화살표에 의해 도시된 것과 같이, 구성을 나타내는 서비스 컨텍트(203)는 인증서들(206), 셋팅들(205), 및/또는 서비스 컨텍트에 대한 특정한 어떤 다른 유형의 데이터(208)을 포함할 수 있다. 도2에 도시된 바와 같이, 서비스 컨텍트(203)에 속하는 정보는 다중 저장 위치들, 또는 단일의 저장 위치에 저장될 수 있다. 예를 들어, 서비스 컨텍트(203)는 파일 시스템(207)에 저장된 민감한 사용자 데이터, 서버 컨텍트 정보를 위한 특정 저장소가 될 수 있는 중앙 저장소(204)에 저장된 셋팅들(205) 및 인증서들(206)을 포함하거나, 이들과 관련될 수 있다. 서비스 컨텍트(203)에 속하는 데이터(208)는 단말기 TE에서 수신되는 어떤 데이터일 수 있으며, 애플리케이션(202)에 의해서 발생될 수 있다. 예를 들어, 사용자는 서비스 컨텍트(203)에 속하는 데이터(208)로서 저장된 달력 엔트리를 입력할 수 있다.2 shows a
보안 실행 환경(201)은 서비스 컨텍트(203) 정보로의 액세스를 제어할 수 있 으며, 서비스 컨텍트 콘텐츠들을 포함하는 저장소의 위치들은 안전하게 될 수 있다. 비록 도2에서는 도시되지 않았으나, 실행 환경(201)은 서비스 컨텍트 정보로의 액세스를 제어하도록 구성된 액세스 제어기를 포함할 수 있다. 서비스 컨텍트 관리자(211)의 일 실시예에서, 외부 관리 요소는 서비스 컨텍트(203)에 속하는 정보에 액세스하는 애플리케이션들(202)에 대하여 권리들을 부여할 수 있다. 외부 관리 요소(211)에 의해 발생 및/또는 제어되는 액세스 제어 정보(ACI)(212)는 서비스 컨텍트들(203)에 액세스하는 권리들을 정의하기 위해서 단말기 TE 내에 저장될 수 있다. 더욱이, 실행 환경(201)은 서비스 컨텍트(203)와 서비스 컨텍트 정보를 포함하는 하나 또는 그 이상의 저장 위치들에 액세스하는 인가된 애플리케이션 사이에서 데이터 전송을 안전하게 수행할 수 있다. 일 실시예에서, 적어도 어떤 보안 서비스들이 단말기 TE의 동작 시스템에 의해서 설정된다.The secure execution environment 201 may control access to service contact 203 information, and the locations of the repository containing the service contact contents may be secured. Although not shown in FIG. 2, execution environment 201 may include an access controller configured to control access to service contact information. In one embodiment of the
애플리케이션들(202)은 단말기 환경(200)의 보안 실행 환경(201) 내에서 실행될 수 있다. 만약, 액세스 제어 정보(212)가 애플리케이션(202)을 인에이블(enable)시키면, 단말기 TE의 사용자에 대한 서비스를 개시하기 위해서 애플리케이션(202)에 대하여 하나 또는 그 이상의 서비스 컨텍트들(203)로의 액세스가 설정된다. 이러한 액세스 제어 정보(212)는 단말기 TE에서 많은 다른 방식들로 정의될 수 있다. 예를 들어, 서비스 컨텍트(203)에 액세스할 자격을 부여하는 파일 식별 요소들은 단말기 TE 내에 저장될 수 있으며, 단말기 TE는 파일 내에서 직접적 또는 간접적으로 식별된 요소들에 대하여만 서비스 컨텍트(203)로 액세스를 제공하도록 구성된다. 액세스 제어 정보(212)는 예를 들어 서비스 컨텍트 접속 제어 기능들을 실행시키는 소프트웨어 구성요소에 대한 파라미터들로서 단말기 TE에서 정의될 수 있다. 따라서, 단말기 TE는 서비스 컨텍트(203)에 액세스하는 자격을 정의하기 위해서 액세스 제어 규칙들에 제공될 수 있다. 액세스 제어 정보 파일은 애플리케이션 식별자들의 리스트 또는 애플리케이션 소스 식별자들의 리스트일 수 있다. 그러나, 애플리케이션 식별자들을 대신하여 또는 이것들에 추가적으로, 액세스 제어 정보는, 애플리케이션 그룹들 또는 애플리케이션 실행 환경들과 같은 단말기 TE에서 다른 요소들의 액세스 제어 정보를 규정할 수 있다. 액세스 제어 정보(212)는 서비스 컨텍트 또는 특정한 서비스 컨텍트 그룹일 수 있다. 예를 들어, 액세스 제어 정보(212)는 상이한 이용 상황들에 대하여 맞춰진 공동 액세스를 위하여 복수의 상이한 프로파일들을 포함할 수 있다. 일 실시예에서, 이러한 관리 액세스 제어 정보는(212)는 서비스 컨텍트 정보에 속한다. The applications 202 can run in the secure execution environment 201 of the
본 발명에 따라, 애플리케이션(202)의 인증서(206)는 애플리케이션(202)과 관련된 식별자를 신뢰할 수 있게 정의하기 위해서 체크된다. 그 후 이러한 식별자에 기반하여, 단말기 TE는 애플리케이션(202)이 서비스 컨텍트(203)에 액세스할 자격이 있는지 여부를 체크하도록 구성된다. 이러한 인증서들(206)은 서비스 컨텍트 정보 내에(예를 들어 중앙 저장소(204) 내의 인증서) 및/또는 예를 들어 파일 시스템(207) 내의 애플리케이션(202) 데이터 내인 서비스 컨텍트(203) 밖에서 저장될 수 있다. 인증서(206)는 단말기 TE 내의 적어도 하나의 애플리케이션과 관련된다. 인증서(206)는 관련된 애플리케이션의 완전성 및 출처를 증명하기 위해서, 일반적인 인증 기관 또는 애플리케이션 개발자와 같은 신뢰할 만한 제3의 관계자에 의해 서 발행되고 디지털로 서명된다. 인증서(206)는 애플리케이션의 설치 동안에 액세스 제어 정보(212)로부터 개별적으로 단말기 TE에 대하여 얻어질 수 있으며, 또는 관리 요소로부터 서비스 컨텍트 정보 또는 액세스 제어 정보의 일부를 형성할 수 있다. 일 실시예에서 인증서(206)는 특정 서비스 컨텍트(203)에 액세스하는 애플리케이션(206)의 권리를 체크하기 위해서 액세스 제어 절차 동안에 얻어질 수 있음에 유의해야 한다. 인증서(206)는 아래의 것들 중에서 적어도 몇몇을 포함할 수 있다: 수령인이 인증서가 인증된 것이라는 것을 확인할 수 있도록 인증서 홀더의 이름, 일련 번호, 만료일, 인증서 홀더의 공개키의 복사본 및 발행자의 디지털 서명 중 몇몇을 포함할 수 있다. In accordance with the present invention, the
도2에서 파선으로 도시된 바와 같이, 서비스 컨텍트들(203)은 외부적으로 인증된 관리 요소(211)에 의해서 관리될 수 있다. 이것은 서비스 컨텍트(203)에 속하는 정보의 모두 또는 일부가 외부적 관리 요소(211)에 의해서 판독, 추가, 수정 및/또는 제거될 수 있다는 것을 의미할 수 있다. 일 실시예에서, OMA DM은 서비스 컨텍트들(203)을 관리하는데 적용될 수 있다. 서비스 컨텍트(203) 정보의 적어도 몇몇은 관리 트리에 저장될 수 있으며, 이것은 OMA 관리 서버(S)로부터 장치 관리 명령들에 기반하여 장치 관리 에이전트에 의해 수정될 수 있다.As shown by dashed lines in FIG. 2, service contacts 203 may be managed by an externally authenticated
도3은 단말기 TE 내의 서비스 컨텍트들을 사용하기 위한 실시예의 방법을 도시한다. 단계(301)에서, 애플리케이션(2020에 의한 서비스를 개시할 필요가 있을 수 있으며, 따라서 애플리케이션(202)은 서비스 셋-업 또는 어떤 다른 목적을 위해서 하나 또는 그 이상의 서비스 컨텍트들(203) 아래에 저장된 정보를 요구한다. 이 것은 전형적으로 사용자 입력에 기반하여 발생하나, 서비스는 또한 외부 장치로부터의 명령들과 같은 어떤 다른 트리거(trigger)에 기반하여 개시될 수 있다. 서비스에 대하여 이용가능한 서비스 컨텍트들(203)은 단계(302)에서 체크될 수 있다. 만약 체크(302,303)가 하나 이상의 이용가능한 서비스 컨텍트를 나타내면, 바람직한 서비스 컨텍트(203)가 선택된다(305). 예를 들어, 단말기 TE는 우선 순위로 서비스 컨텍트들(203)을 표시하는 우선 리스트를 저장할 수 있다. 디폴트 서비스 컨텍트(203)는 단계(305)에서 선택될 수 있다. 그렇지 않으면, 이용가능한 서비스 컨텍트(203)이 선택된다(304). 애플리케이션(202), 또는 애플리케이션 관리자는 단계(301 내지 305)를 수행하기 위해서 적합하게 될 수 있다. 비록 도3에 도시되지 않았지만, 서비스 컨텍트 선택 과정은 서비스 컨텍트를 선택하기 위해서 및/또는 서비스 컨텍트의 선택을 확인하기 위해서 단말기 TE의 사용자를 촉구하는 것을 포함할 수 있음에 유의하라. 3 illustrates an embodiment method for using service contacts in a terminal TE. In
그 후 방법은 단계(306)로 진행하며, 선택된 서비스 컨텍트로의 액세스가 요청되거나, 그렇지 않으면 서비스 컨텍트 특정 데이터로 액세스하는 요구가 표시된다. 관리 요소로부터의 액세스 제어 정보 및/또는 관리 요소에 의해 제어된 액세스 제어 정보(212)에 기반하여, 애플리케이션(202)이 서비스 컨텍트(203)에 액세스되도록 인가되는지 체크된다. 관련된 액세스 제어 정보(212)는 TE의 메모리로부터 얻어질 수 있으며, 또는 일 실시예에서 단말기 TE는 외부 관리 요소(212)와 같은 외부적 요소로부터 액세스 제어 정보를 요청하고 수신하도록 설정될 수 있다. 관리 요소는 서비스 컨텍트 관리자(211)이거나, 예를 들어 인증서(206)를 발행하는 요소 와 같은 어떤 다른 요소일 수 있다. 만약 애플리케이션(202)이 인증되지 않으면, 애플리케이션(202)에 대한 액세스는 서비스 컨텍트(203)에 의해 거부된다(308). The method then proceeds to step 306 where an access to the selected service contact is requested or otherwise a request to access service contact specific data is indicated. Based on the access control information from the management element and / or the
실시예에 따라, 단계(307)은 두 개의 서브 단계들을 포함한다. 첫 째는 서비스 컨텍트(203)에 액세스를 요구하는 애플리케이션(202)과 관련된 인증서(206)가 체크된다. 인증서(206)를 체크함으로써, 애플리케이션(202)의 완전성 및/또는 출처가 보장되는 것이 가능하다. 두 번째 서브 단계에서, 애플리케이션(202)의 인증서(206)로부터 얻어진 식별자가 예정된 액세스 제어 정보(212) 내의 식별자들과 비교된다. 일 실시예에서, 인증서(206)로부터 애플리케이션 출처 식별자는 제2 서브 단계에서, 액세스 제어 정보(212) 내의 예정된 애플리케이션 출처 식별자들과 비교될 수 있다. 본 발명의 액세스 제어 정보(212)는 서비스 컨텍트(203)를 사용하기 위해서 인가되는 이러한 애플리케이션들, 애플리케이션들의 그룹들 또는 애플리케이션 소스들을 규정한다. 따라서, 만약 애플리케이션(202)의 인증서(206)로부터의 식별자가 액세스 제어 정보(212)에서 발견되면, 애플리케이션은 인가된다.According to an embodiment,
만약 애플리케이션(202)이 체크(307)에 기반하여 인가되면, 애플리케이션은 서비스 컨텍트(203)와 관련된 정보에 액세스(309)할 수 있으며, 그 후 애플리케이션(202)은 관련된 서비스 컨텍트 정보에 기반하여 서비스를 개시(310)할 수 있다.If the application 202 is authorized based on the
일 실시예에서, 서비스 컨텍트(203)는 서비스에 액세스하기 위해서 단말기 TE에서 하나 또는 그 이상의 네트워크 자원까지 접속을 구성하도록 요구되는 셋팅들을 포함하거나 이와 관련된다. 따라서, 애플리케이션(202)은 이러한 셋팅들을 사용하여 단계(310)에서 접속될 수 있다. 이러한 셋팅들은 전자 서버와 전자 계좌와 같은 인트라넷 자원들을 통합하는 액세스를 규정할 수 있다. 그러나, 또한 많은 다른 서비스들이 이러한 서비스 컨텍트(203)가 사용될 수 있도록 하기 위해 존재한다.In one embodiment, service contact 203 includes or is associated with settings required to establish a connection from terminal TE to one or more network resources to access a service. Thus, the application 202 can be connected at
실시예에서, 단말기 TE는 서비스 컨텍트(203)에 속하거나 이와 관련된 액세스 제어 애플리케이션 (특정) 데이터(208)를 포함하며, 따라서 애플리케이션 데이터(208)에 액세스는 외부적 관리 요소(211)에 의해 인가된 애플리케이션들(202)만을 위해서 설정될 수 있다. 이러한 애플리케이션 데이터(208)는 전형적으로, 사용자 입력에 기반하여 단말기 TE에서 애플리케이션(202)에 의해 저장되거나 관련된 사용자일 수 있다. 단계(310)에서, 통합 전자메일들을 포함하는 파일과 같이 애플리케이션 데이터(208)는 애플리케이션(202)(상기 예에서 전자 메일 클라이언트 애플리케이션)에 의해 디스플레이되거나 더 처리되는 것이 가능할 수 있다.In an embodiment, the terminal TE includes access control application (specific)
서비스 컨텍트(203)는 애플리케이션(202)을 사용할 때, 선택되거나 정의될 수 있다. 서비스 컨텍트(203)는 애플리케이션(202)이 활성화될 때 및/또는 새로운 콘텐츠가 서비스 컨텍트 정보로서 규정될 때 선택될 수 있다. 예를 들어, 전자 메일 애플리케이션이 활성화될 때, 사용자는 원하는 프로파일 또는 전자 메일 계좌를 선택하고, 이러한 프로파일 또는 전자 메일 계좌와 관련된 서비스 컨텍트가 또한 선택된다. 따라서, 그 후 애플리케이션(202)이 서비스 컨텍트(203)에 액세스를 요구할 때, 단계(302 내지 305)는 불필요하나, 예를 들어 원거리 전자 메일 서버로 접속하기 위해서 서비스 컨텍트(203)와 관련된 정보가 사용될 수 있다. 다른 실시예에서, 서비스 컨텍트(203)는 전자 메일 메시지와 같은 사용자 데이터 아이템을 위하여 규정될 수 있다. 이러한 서비스 컨텍트(203)는 데이터 아이템의 저장과 관련하여 선택될 수 있다. 예를 들어, 사용자가 전자 메일 설정을 끝마치고, 아이템을 저장하기 위해서 선택할 때, (전자 메일 애플리케이션에 대한) 이용가능한 서비스 컨텍트(203)가 사용자에게 보여진다. 그 후, 사용자는 데이터 아이템이 관련된 서비스 컨텍트(203)를 선택할 수 있으며, 따라서 데이터 아이템의 저장 위치를 선택하는 것이 가능하고, 상기 데이터 아이템은 이에 따라 저장된다. 그 후, 데이터 아이템은 어떤 다른 서비스 컨텍트(203) 특정 데이터로서 사용될 수 있다. 즉 데이터 아이템으로의 액세스는 인가된 애플리케이션(202)에 대하여만 허용된다.The service contact 203 may be selected or defined when using the application 202. The service contact 203 may be selected when the application 202 is activated and / or when new content is defined as service contact information. For example, when an e-mail application is activated, the user selects the desired profile or e-mail account, and the service contacts associated with that profile or e-mail account are also selected. Thus, when the application 202 then requests access to the service contact 203,
일 실시예에서, 서비스 컨텍트(203)로의 액세스는 특정 액세스 제어기 요소와 같은 보안 실행 환경(201)에서 보안 과정에 의해 제어된다(단계 307 내지 309). 또한 실행 환경(201)이 애플리케이션(202)에 대한 서비스 컨텍트(203)를 체크(303)하고 선택(304,305)하는 것이 가능하다. 특정 서비스 컨텍트 선택기가 보안 실행 환경(201)에 제공될 수 있다.In one embodiment, access to the service contact 203 is controlled by a security process in a secure execution environment 201, such as a particular access controller element (steps 307-309). It is also possible for the execution environment 201 to check 303 and select 304, 305 the service contact 203 for the application 202. Specific service contact selectors may be provided to the secure execution environment 201.
다른 실시예에서, 서비스 컨텍트(203)로의 액세스를 요구하는 애플리케이션(202)에 대하여 이용가능한 서비스 컨텍트(203)는 이미 단계(302)에서 체크된다. 이러한 실시예에서, 애플리케이션(202)의 인증서가 액세스를 허용하는(또는 애플리케이션이 어떤 다른 수단에 의해 액세스 인증을 갖는) 서비스 컨텍트(203)만이 서비스로 고려된다. 이러한 실시예에서, 서비스 컨텍트(203)로의 액세스는 오직 인가된 애플리케이션들(202)에 의해서만 시도되고, 따라서 불필요한 요청들은 예방된다.In another embodiment, the service contacts 203 available to the application 202 requesting access to the service contacts 203 are already checked in
도4a와 도4b는 실시예에 따라 서버 S에 의해 단말기 TE에서 서비스 컨텍트(203)를 설정 및/또는 수정하기 위한 방법을 도시한다. 도4a에서, 장치 관리 서버로서 기능하는 서버 S의 특징들이 도시되었다. 단계(401)에서, 관리 단말기 장치 TE에서 새로운 서비스 컨텍트(203)를 생성 및/또는 존재하는 서비스 컨텍트(203)를 수정할 필요가 있다. 다른 실시예에서, 서비스 컨텍트(203)와 관련된 액세스 제어 정보(212)를 추가하거나 수정할 필요가 있다.4A and 4B illustrate a method for establishing and / or modifying a service contact 203 at terminal TE by server S according to an embodiment. In Fig. 4A, the features of server S which functions as a device management server are shown. In
장치 관리 세션은 서버S 내의 관리 서버 기능과 단말기 TE 내의 장치 관리 클라이언트 기능 사이에서 설정된다(402). OMA 사양 "SyncML Device Management Protocol', version 1.1.2, 2003년 12월 12일, 41 페이지에서 설명된 통상적인 OMA DM 세션 설정 기능들이 사용될 수 있다.A device management session is established between the management server function in server S and the device management client function in terminal TE (402). The normal OMA DM session setup functions described in the OMA specification "SyncML Device Management Protocol", version 1.1.2, December 12, 2003, page 41 can be used.
예를 들어 접속 셋팅(205) 및/또는 액세스 제어 정보(212)와 같은 서비스 컨텍트 관련 정보는 하나 또는 그 이상의 관리 명령들 내에 규정된다(403). 본 실시예에서, 장치 관리 명령(들) 내의 서비스 컨텍트 정보의 적어도 일부는 하나 또는 그 이상의 서비스 컨텍트 특정 장치 관리 트리 노드들에 어드레스된다. 관리 명령은 단말기 TE에 전송된다(404).Service contact related information, such as, for example,
도4b는 서비스 컨텍트 관련 정보를 수신하는 단말기 TE에서 기능들을 도시한다. 단계(410)에서, 장치 관리 명령은 장치 관리 서버(S)로부터 수신된다. 액세스 제어 정보를 포함하는 서비스 컨텍트 관련 데이터는 단말기 TE에 저장될 수 있다. 특히, 단계(411)에서 단말기 TE 내의 장치 관리 클라이언트는 수신된 장치 관리 명령에 기반하여 요구된 동작들을 정의한다. 그 후, 단말기 TE 내의 장치 관리 트리 는 서비스 컨텍트(203)와 관련된 새롭고 및/또는 수정된 정보에 의해서 수정될 수 있다. 예를 들어, 새로운 노드는 노드를 수정하는 오직 인가된 장치 관리 서버로서 서버 S를 정의하는 ACL 리스트에 추가될 수 있다. 관리 트리는 관리 정보에 뷰(view)로서 단지 제공될 수 있으며, 관리 정보는 관리 트리 밖에 저장될 수 있다.4B illustrates functions at terminal TE receiving service contact related information. In
만약 서비스 컨텍트(203)가 처음으로 생성되고, 장치 관리가 단말기 TE에 대하여 마련되어 있지 않으면, OMA 클라이언트 프러비저닝 방법(OMA client provisioning methods)은 서비스 컨텍트 특정 관리 명령들에 앞서 먼저 장치 관리를 개시하고 구성하도록 사용될 수 있다. 따라서, 단계(402 및 410)에서, 프러비저닝을 설정하기 위한 접속이 사용될 수 있다.If the service contact 203 is created for the first time and device management is not provided for the terminal TE, then the OMA client provisioning methods initiate device management prior to service contact specific management commands. Can be used to construct. Thus, in
관리 트리는, 비록 액세스 제어 정보(212)가 서비스 컨텍트(203)의 일부가 아니라도, 액세스 제어 정보(212)에 대하여 하나 또는 그 이상의 노드들을 포함할 수 있다. 상술한 것과 유사한 방식으로, 액세스 제어 정보(212)에 대한 노드에 어드레스되는 장치 관리 명령을 사용함으로써, 액세스 제어 정보(212)의 수정, 삭제, 또는 추가를 설정하는 것이 가능하다. 따라서, 외부적 관리 요소는 관리 장치 TE 내에서 액세스 제어 구성을 쉽게 변화시킬 수 있다. 도4a와 도4b는 단지 예시적이라는 것에 유의하라. 예를 들어, 장치 관리 명령은 관리 세션의 설정에 앞서 형성될 수 있다. 일 실시예에서, 서비스 컨텍트(203)는 단말기 TE 내의 인가된 관계자, 예를 들어 사용자에 의하여 생성되거나, 수정될 수 있다. 도3과 관련하여 이미 설명한 바와 같은 유사한 과정들, 즉 단계(306-309)가 서비스 컨텍트 정보에 액세스 할 때, 사용될 수 있다. 따라서, 서비스 컨텍트(203) 정보를 수정하기 위해 장치 관리 메커니즘들을 적용하는 것은 불필요하다.The management tree may include one or more nodes for the
일 실시예에서, 서비스 컨텍트 관리자(211) 또는 서비스 제공자는 단말기 TE에서 적합한 서비스 컨텍트가 위치하는가 및/또는 적절하게 사용되는가를 도4a 서버 S의 실시예에서 체크할 수 있다. 따라서, 서비스 제공자는 셋팅들을 정확하게 위치시키고, 신뢰할만한 출처로부터의 애플리케이션들만이 사용되는가를 체크할 수 있다. 이러한 체크는 서비스 컨텍트 데이터를 포함하는 노드들에서 OMA DM GET 명령들을 사용함으로써 실행될 수 있다. 이러한 실시예는 단계(404 및 412) 이후에 또는 예를 들어, 단말기 TE 내의 애플리케이션으로부터 서비스 요청을 수신한 후의 어떤 다른 시점에서 수행될 수 있다. In one embodiment, the
단계들(402,403,410,411)에서, 장치 관리 프로토콜의 메카니즘들 및 그것에 대하여 정의된 메시지들을 이용하는 것이 가능하다; OMA 장치 관리 프로토콜 및 다른 명령들의 더 상세한 설명을 위해서, 예를 들어 OMA 사양 "SyncML Device Management Protocol', version 1.1.2, 12월 12일 2003년, 41 페이지, 및 OMA 사양 "SyncML Representation Protocol Device Management Usage", version 1.1.2, 6월 12일 2003년, 39페이지를 참조할 수 있다.In
실시예에 따라, 서비스 컨텍트(203)의 콘텐츠들은 액세스 제어 정보(212)에 기반한 상이한 액세스 제어 규칙 및/또는 액세스 권리 레벨들과 관련될 수 있다. 다른 실시예에서, 상이한 액세스 규칙들이 서비스 컨텍트(203)의 상이한 부분들에 적용된다. 예를 들어, 통합 전자 메일 서버로의 접속을 규정하는 서비스 컨텍 트(203)의 셋팅들(205)은 (서비스 컨텍트(203)를 액세스하도록 인가된 애플리케이션(202)에 의해서) 판독될 수 있으나, 수정되지는 않으며, 반면에 서비스 컨텍트(203)와 관련된 파일 시스템(207) 내의 데이터(208)로의 액세스는 판독 및 수정이 가능할 수 있다. 이러한 실시예에서, 서비스 컨텍트(203)의 콘텐츠들은 액세스 제어에 대하여 구별될 수 있다. According to an embodiment, the contents of the service contact 203 may be associated with different access control rules and / or access rights levels based on the
상술한 실시예에서와 같이 적용될 수 있는 어떤 규칙들은:(서비스 컨텍트 데이터의 모두 또는 단지 특정 부분을) 판독하는 권리, 제거하는 권리, 추가하는 권리가 있을 수 있다. 액세스 제어 규칙들 및/또는 권리 레벨들은 액세스 제어 정보(212) 또는 어떤 다른 저장소 내에서 규정될 수 있다. 일 실시예에서, 액세스 방침들은(policies) XACML (Extensible Access Markup Language)에 의해서 규정된다. 만약 OMA DM이 적용되면, 액세스 제어 리스트들은 관련된 서비스 컨텍트 관련 데이터에 액세스하도록 인가된 하나 또는 그 이상의 외부 장치 관리 서버들을 결정하기 위해서 관리 트리 내에서 규정될 수 있다. 즉 외부 관리 요소들은 OMA DM 액세스 제어 리스트들에 의해 규정될 수 있다.Some rules that may be applied as in the embodiment described above may be: (right to read all or only a specific portion of the service contact data), right to remove, right to add. Access control rules and / or rights levels may be defined within
대안적 또는 보완적 실시예에서, 상이한 액세스 제어 규칙들은 액세스 제어 정보(212)에 기반하여 서비스 컨텍트들(203)의 상이한 사용자들과 관련된다. 이러한 실시예에서, 상이한 애플리케이션들(202)에 대한 상이한 액세스 권리들을 적용하는 것이 가능하며, 예를 들어 단말기 TE의 사용자들에 대하여 상이한 액세스 권리들을 작용하는 것이 가능하다. 예로서, 서비스 컨텍트(203)(또는 그것의 일부)는 단말기 TE의 사용자 또는 단말기 TE의 가입자 및 서비스 컨텍트(203)를 생성 및/또 는 제어하는 외부 관리 요소에 의해서만 수정되도록 설정될 수 있다.In an alternative or complementary embodiment, different access control rules are associated with different users of the service contacts 203 based on the
일 실시예에서, 단말기 TE의 사용자 또는 가입자는 항상 단말기 TE로부터 서비스 켄턱스(203)를 제거하거나 삭제할 자격이 있다. 서비스 컨텍트(203)는 서비스를 확보하도록 요구되기 때문에, 서비스 컨텍트(203)가 삭제된 후에는 서비스에 액세스하기 위해서 단말기 TE가 사용될 수 없다. 따라서, 서비스 컨텍트(203)의 어떤 관리자(211)에 대하여 전면적 제어 권한을 줄 필요가 없으며, 사용자들은 그들의 단말기들을 제어하는 권리를 포기할 필요가 없다. 어떤 단말기에 서비스 컨텍트가 강요될 필요는 없으나, 사용자/가입자는 서비스를 사용하기를 원할 수 있으며, 따라서 단말기 TE에 서비스 컨텍트를 받아들일 수 있다. 서비스 컨텍트(203)는 인가된 관리 요소(211)에 의해서만 수정되도록 설정될 수 있기 때문에. 서비스 컨텍트(203)를 수정하기 위한 사용자의 액세스를 예방하는 것이 가능하다.In one embodiment, the user or subscriber of the terminal TE is always entitled to remove or delete the service tax 203 from the terminal TE. Since the service contact 203 is required to secure the service, the terminal TE cannot be used to access the service after the service contact 203 is deleted. Thus, there is no need to give full control to any
다른 실시예에서, 사용자가 서비스 컨텍트들(203)을 삭제한 것을 인가된 관리 요소(211)에 알리는 능력이 제공된다. 사용자 입력에 기반하여 서비스 컨텍트(203)의 삭제를 다루는 피처 또는 애플리케이션(203)은 단말기 TE로부터 서비스 컨텍트(203)의 삭제를 알리는 메시지를 인가된 관리 요소(211)에 전송하도록 구성될 수 있다. 다른 실시예에서, 인가된 관리 요소(211)는 삭제된 서비스 컨텍트들을 검출하기 위해서 단말기 TE 내에 (보이도록 인가된) 서비스 컨텍트들(203)을 체크하도록 구성된다. 예를 들어, 주기적 체크가 서비스 컨텍트 데이터를 포함하는 노드들 상에서 OMA DM 과정들에 의해 수행될 수 있다.In another embodiment, the ability to notify authorized
상술한 실시예들은 또한 그것들의 어떤 조합으로 적용될 수 있음에 유의하 라. 기술이 발전함에 따라, 본 발명의 기본 아이디어는 많은 다른 방식들로 실행될 수 있다는 것은 당해 기술 분야에서 숙련된 자에게 명백하다. 따라서, 본 발명 및 그것의 실시예들은 상술한 예들로 제한되지 않으며, 청구항들의 범위 내에서 변화될 수 있다.Note that the embodiments described above can also be applied in any combination thereof. As the technology evolves, it is apparent to those skilled in the art that the basic idea of the present invention can be implemented in many different ways. Accordingly, the invention and its embodiments are not limited to the examples described above but may vary within the scope of the claims.
Claims (20)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020077014843A KR100913976B1 (en) | 2007-06-28 | 2004-12-30 | Use of configurations in device with multiple configurations |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020077014843A KR100913976B1 (en) | 2007-06-28 | 2004-12-30 | Use of configurations in device with multiple configurations |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20070089970A true KR20070089970A (en) | 2007-09-04 |
KR100913976B1 KR100913976B1 (en) | 2009-08-25 |
Family
ID=38688645
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020077014843A KR100913976B1 (en) | 2007-06-28 | 2004-12-30 | Use of configurations in device with multiple configurations |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100913976B1 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8204934B2 (en) | 2007-12-31 | 2012-06-19 | Intel Corporation | Techniques to enable firewall bypass for open mobile alliance device management server-initiated notifications in wireless networks |
KR101294940B1 (en) * | 2011-11-30 | 2013-08-08 | 포항공과대학교 산학협력단 | System for protecting information on mobile platform and method for the same |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006507580A (en) * | 2002-11-21 | 2006-03-02 | ノキア コーポレイション | Method and apparatus for defining an object enabling setting of a device management tree for a mobile communication device |
-
2004
- 2004-12-30 KR KR1020077014843A patent/KR100913976B1/en active IP Right Grant
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8204934B2 (en) | 2007-12-31 | 2012-06-19 | Intel Corporation | Techniques to enable firewall bypass for open mobile alliance device management server-initiated notifications in wireless networks |
KR101294940B1 (en) * | 2011-11-30 | 2013-08-08 | 포항공과대학교 산학협력단 | System for protecting information on mobile platform and method for the same |
Also Published As
Publication number | Publication date |
---|---|
KR100913976B1 (en) | 2009-08-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8140650B2 (en) | Use of configurations in device with multiple configurations | |
US11501057B2 (en) | Enabling file attachments in calendar events | |
EP1233636B1 (en) | System and method for over the air configuration security | |
US8565726B2 (en) | System, method and device for mediating connections between policy source servers, corporate repositories, and mobile devices | |
US8621574B2 (en) | Opaque quarantine and device discovery | |
US6591095B1 (en) | Method and apparatus for designating administrative responsibilities in a mobile communications device | |
US9300476B2 (en) | Management of certificates for mobile devices | |
US8935384B2 (en) | Distributed data revocation using data commands | |
US20110167470A1 (en) | Mobile data security system and methods | |
US7340057B2 (en) | Method and apparatus for distributing authorization to provision mobile devices on a wireless network | |
CN108701175B (en) | Associating user accounts with enterprise workspaces | |
CA2498317C (en) | Method and system for automatically configuring access control | |
KR100913976B1 (en) | Use of configurations in device with multiple configurations | |
EP1854260A1 (en) | Access rights control in a device management system | |
JP6240253B2 (en) | Configuration usage in devices with multiple configurations | |
JP5977018B2 (en) | Configuration usage in devices with multiple configurations | |
CN113660283A (en) | Validity authentication method and device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20120802 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20130801 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20150717 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20160720 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20170719 Year of fee payment: 9 |
|
FPAY | Annual fee payment |
Payment date: 20180718 Year of fee payment: 10 |