BRPI0407722B1 - sistema e método de controle de múltiplos níveis de dispositivos eletrônicos - Google Patents

Abstract

"sistema e método de controle de múltiplos níveis de dispositivos eletrônicos". são fornecidos um sistema e método de controle de nível múltiplo de um dispositivo eletrônico. informação de autorização, que compreende integridade de dados e informação de autenticação para cada nível de uma pluralidade de níveis de autorização, é armazenada em um dispositivo eletrônico a ser controlado. quando informação controlada associada a um nível da pluralidade de níveis de autorização é recebida no dispositivo eletrônico de uma fonte, a integridade da informação controlada recebida é verificada e uma determinação sobre se a fonte é parte autorizada em um nível da pluralidade de níveis de autorização é feita, com base na integridade de dados e informação de autenticação para um nível da pluralidade de níveis de autorização. a informação controlada recebida é armazenada no dispositivo eletrônico onde a integridade da informação controlada recebida é verificada e a fonte é uma parte autorizada em um nível da pluralidade de níveis de autorização.

Description

SISTEMA E MÉTODO DE CONTROLE DE MÚLTIPLOS NÍVEIS DE DISPOSITIVOS ELETRÔNICOS REFERÊNCIA CRUZADA A APLICAÇÃO RELACIONADA

Esta aplicação reivindica o benefício, de acordo com 35 U.S.C. 1(119(a), do pedido de patente provisória dos Estados Unidos número 60/448.540, requerido em 21 de fevereiro de 2003, intitulado "SYSTEM MD METHOD OF MULTIPLE-LEVEL CONTROL OF ELECTRONIC DEVICES" (Sistema e método de controle de múltiplos níveis de dispositivos eletrônicos), cuja aplicação· é, por esta referência, aqui incorporada para todos os fins.

CAMPO TÉCNICO

Esta aplicação relaciona-se genericamente a dispositivos eletrônicos e, em particular, a controlar operações de tais dispositivos por múltiplas entidades, que podem ser diferentes de um usuário do dispositivo. FUNDAMENTOS DA TÉCNICA

Em um ambiente empresarial, empregados são muitas vezes providos de acesso aos suprimentos de escritório e equipamento a serem utilizados na realização de funções do trabalho. O equipamento padrão tipicamente inclui pelo menos um computador pessoal ' (PC), e também poderá incluir dispositivos de comunicação móvel sem fio e outros tipos de dispositivos eletrônicos. Embora esse equipamento seja essencialmente direcionado para fins empresariais ou relacionados ao trabalho, os usuários ocasionalmente fazem uso pessoal do equipamento de escritório. Os empregadores estão normalmente confortáveis com algum grau de uso pessoal desse equipamento, desde que o uso pessoal não interfira com as funções normais do trabalho, não incorra em custos adicionais, e se enquadre nas políticas da empresa.

Nesses tipos de situações, o usuário de um dispositivo eletrônico não é o proprietário do dispositivo, e o usuário e o proprietário poderão ter percepções diferentes de utilização aceitável do dispositivo. A utilização aceitável poderá ser especificada nas políticas da empresa, por exemplo, que se espera que os empregados sigam, mas o proprietário empresarial do dispositivo muitas vezes tem pouco, se tiver algum, controle sobre como os dispositivos eletrônicos são utilizados em última instância. De acordo com um esquema conhecido para controlar a operação de dispositivos eletrônicos, o proprietário carrega um arquivo de políticas no dispositivo para restringir o tipo de operações ou aplicações de software que poderão ser executados pelo dispositivo. Contudo, este tipo de esquema é às vezes frustrado quando o usuário ou apaga o arquivo de políticas do proprietário ou substitui o arquivo de políticas do proprietário por um arquivo de políticas do usuário que poderá incluir menos restrições que o arquivo de políticas do proprietário. Além disso, particularmente em grandes organizações, mais de uma entidade poderá ser políticas de uso que eles desejam gerenciar e fazer cumprir. Os esquemas de controle de dispositivos eletrônicos conhecidos não fornecem controle de dispositivo em múltiplos níveis. ' Portanto, permanece uma necessidade de um sistema e método de controle por múltiplos níveis de dispositivos eletrônicos.

DESCRIÇÃO DA INVENÇÃO

Um sistema de controle de múltiplos níveis de um dispositivo eletrônico compreende um depósito de informação de autorização configurado para armazenar informação de autorização que compreende integridade de dados e informação de autenticação para cada um de uma pluralidade de níveis de autorização, um depósito de informação controlado configurado para armazenar informação controlada para controlar a operação do dispositivo eletrônico, e um módulo de inserção configurado para receber informação controlada associada a um da pluralidade de níveis de autorização de uma fonte, verificar a integridade da informação controlada recebida e determinar se a fonte é uma parte autorizada no um da pluralidade de níveis de autorização com base na integridade de dados e informação de autenticação para o um da pluralidade de níveis de autorização, e armazenar a informação controlada recebida no depósito de informação controlada onde a integridade da informação controlada recebida é verificada e a fonte é uma parte autorizada no um da pluralidade de níveis de autorização.

Um método de controle de múltiplos níveis de dispositivos eletrônicos compreende as etapas de armazenar uma informação de autorização que compreende integridade de dados e informação de autenticação para cada um de uma pluralidade de níveis de autorização em um dispositivo eletrônico, receber informação controlada associada ao um da pluralidade de níveis de autorização no dispositivo eletrônico de uma fonte, ■ verificar a integridade da informação controlada recebida e determinar se a fonte é uma parte autorizada no um da pluralidade de níveis de autorização com base na integridade de dados e informação de autenticação para o um da pluralidade de níveis de autorização, e armazenar a informação controlada recebida no dispositivo eletrônico onde a integridade da informação controlada recebida é verificada e a fonte é uma parte autorizada no um da pluralidade de níveis de autorização.

Este método não é limitado à ordem de etapas ou à segregação de etapas descritas acima; em vez disso, a agregação de etapas, ou partes da mesma, dentro de uma única etapa, ou múltiplas outras etapas, ou a reordenação dessas etapas originais ou agregações são especificamente previstas. Além disso, uma ou mais das etapas descritas poderá ser armazenada como instruções executadas por computador em qualquer combinação adequada de mídia lida por computador. Em vez de, ou em acréscimo às instruções armazenadas, uma ou mais etapas, ou partes delas, poderão ser executadas por hardware de finalidade especial projetado para efetuar essas etapas.

Outros recursos de sistemas e métodos de controle de dispositivos eletrônicos serão descritos ou tornar-se-ão aparentes no decurso da seguinte descrição detalhada.

BREVE DESCRIÇÃO DOS DESENHOS A Figura 1 é um diagrama de blocos que mostra um sistema de comunicação em que dispositivos eletrônicos são utilizados. A Figura 2 é um diagrama de blocos que ilustra um sistema de inserir informação de autorização e de informação controlada em um dispositivo eletrônico. A Figura 3 é um diagrama de blocos de um dispositivo eletrônico em que o sistema e método de controle de múltiplos níveis são implementados. A Figura 4 é um diagrama de fluxo que ilustra um método de inserir informação de autorização em um dispositivo eletrônico. A Figura 5 é um diagrama de fluxo que ilustra um método de inserir informação controlada em um dispositivo eletrônico. A Figura 6 é um diagrama de fluxo que mostra um método de controlar um dispositivo eletrônico. A Figura 7 é um diagrama de blocos de um dispositivo de comunicação móvel sem fio como um exemplo de um dispositivo eletrônico.

MELHOR MODO PARA EFETUAR A INVENÇÃO A Figura 1 é um diagrama de blocos que mostra um sistema de comunicação em que dispositivos eletrônicos são utilizados. 0 sistema de comunicação 10 inclui uma Rede de Área Ampla (WAN) 12, acoplada a um sistema de computador 14, um portal de rede sem fio 16, e uma Rede de Área Local (LAN) empresarial 18. 0 portal de rede sem fio 16 também está conectado a uma rede de comunicação sem fio 20 em que o dispositivo de comunicação.móvel sem fio 22 ("dispositivo móvel") é configurado para operar. 0 sistema de computador 14 é um PC de mesa ou laptop, que é configurado para comunicar com a WAN 12, a Internet, por exemplo. Um PC como o sistema de computador 14 normalmente acessa a Internet através do Provedor de Serviço de Internet (ISP), Provedor de Serviço de Aplicação (ASP), ou assemelhado. A LAN empresarial 18 é um exemplo de um ambiente de trabalho típico, em que múltiplos computadores 28 estão conectados em uma rede. Normalmente ele está localizado por trás de uma parede de fogo de segurança 24. Dentro da LAN empresarial 18, um servidor de dados 26, operando em um computador por trás da parede de fogo 24, age como a interface principal para a empresa intercambiar dados tanto dentro da LAN 18, e com outros sistemas externos através da WAN 12. Um tipo de servidor de dados comumente utilizado em redes empresariais como a LAN 18 é o servidor de mensagens. Servidores de mensagens conhecidos, por exemplo, incluem Microsoft™ Exchange Server e Lotus Domino™. Quando o servidor de dados 26 é um servidor de mensagens, cada um dos sistemas de computador 28 na LAN 18 implementa um cliente de mensagens, como o Microsoft Outlook™, Lotus Notes™, etc. Neste caso, as mensagens recebidas pelo servidor de mensagens são distribuídas para caixas de correio para contas de usuário endereçadas nas mensagens recebidas, e são então acessadas pelo usuário através de um cliente de mensagens operando em um sistema de computador 28.

Embora apenas um servidor de dados 26 é mostrado na LAN 18, aqueles habilitados na tecnologia apreciarão que a LAN poderá incluir outros tipos de servidores que suportam recursos que são partilhados entre os sistemas de computador em rede 28. De modo similar, um único servidor de dados 26 poderá fornecer múltiplas funções, como mensagens eletrônicas, armazenamento de base de dados dinâmico para dados como calendários, listas de afazeres, listas de tarefas, correspondência eletrônica e documentação. Os sistemas e métodos de controle de dispositivo eletrônico conforme aqui descritos são aplicáveis a uma ampla gama de dispositivos e funções eletrônicos. 0 portal de rede sem fio 16 fornece uma interface para a rede sem fio 20, através do qual dados são intercambiados com o dispositivo móvel 22. Funções tais como endereçamento do dispositivo móvel 22, codificação ou de outra forma transformar mensagens para a transmissão sem fio, e qualquer outra função de interface são efetuadas pelo portal de rede sem fio 16. 0 portal de rede sem fio 16 poderá ser configurado para operar com mais de uma rede sem fio 20, em cujo caso ele também determina uma rede mais provável para localizar o dispositivo móvel 22 e possivelmente acompanha dispositivos móveis à medida que os usuários viajam entre países ou redes. O dispositivo móvel 22,'por exemplo, é um dispositivo de comunicação de dados, um dispositivo de comunicação de voz, um dispositivo de comunicação em modo dual como o telefone móvel tendo funcionalidade de comunicação tanto de dados como de voz, um dispositivo de múltiplos modos capaz de voz, dados e outros tipos de comunicação, um assistente digital pessoal (PDA) ativado para comunicação sem fio, ou um modem sem fio que opera em conjunto com um sistema de computador laptop ou de mesa.

Qualquer sistema de computador com acesso à WAN 12 poderá intercambiar mensagens com o dispositivo móvel 22 através do portal de rede sem fio 16. Alternativamente, portais de rede sem fio privada como os roteadores da Rede Privada Virtual sem fio (VPN) poderíam ser implementados para fornecer uma interface privada para a rede sem fio. Um roteador VPN sem fio implementado na LAN 18 fornece uma interface privada da LAN 18 para um ou mais dispositivos móveis como o 22 através da rede sem fio 20. A interface privada para o dispositivo móvel 22 também poderá ser efetivamente ampliada para entidades fora da LAN 18 ao fornecer um sistema de encaminhamento ou redirecionamento que opera com o servidor de dados 26. Esse sistema de redirecionamento é revelado Na Patente dos Estados Unidos número 6.219.694, que é aqui incorporada dentro desta aplicação por referência. Neste tipo de sistema, itens de dados de entrada recebidos pelo servidor de dados 26 e endereçados para o usuário de um dispositivo móvel 22 são enviados através da interface de rede sem fio, quer um roteador VPN sem fio, o portal sem fio 16, ou alguma outra interface, para a rede sem fio 20 e para o dispositivo móvel do usuário 22. Outra interface alternativa para o servidor de dados 26 é um portal Wireless Application Protocol (WAP - Protocolo de Aplicação Sem Fio). No exemplo acima do servidor de dados 26 sendo um servidor de mensagem, a lista de mensagens na caixa de correspondência do usuário em um servidor de mensagem, e possivelmente cada mensagem ou uma parte de cada mensagem, poderão ser enviadas para o dispositivo móvel 22 através do portal WAP.

Uma rede sem fio 20 normalmente comunica-se com dispositivos como o dispositivo móvel 22 através de transmissões RF entre estações base e dispositivos. A rede sem fio 20, por exemplo, poderá ser uma rede sem fio centrada em dados, uma rede sem fio centrada em voz, ou uma rede de modo dual que suporta tanto a comunicação por voz como por dados pela mesma infra-estrutura. Redes de modo dual recentemente desenvolvidas incluem redes Code Division Multiple Access (CDMA - Acesso Múltiplo por Divisão de Código) e redes General Packet Radio Service (GPRS -Serviços Gerais de Pacote por Rádio). As redes chamadas de terceira geração (3G) como Enhanced Data rates for Global Evolution (EDGE - Velocidades de Dados Melhoradas para a Evolução Global) e Universal Mobile Telecommunications Systems (UMTS - Sistema Universal de Telecomunicações Móveis) estão atualmente sendo desenvolvidas. Redes centrada em dados mais antigas incluem, mas sem a elas se limitar, a Rede de Rádio Mobitex™ (Mobitex), e a Rede de Rádio DataTAC™ (DataTAC). Redes de dados centradas na voz como as redes Sistema de Comunicação Pessoal (PCS), incluindo os sistemas Sistema Global para Comunicação Móvel (GSM) e Acesso Múltiplo por Divisão de Tempo (TDMA) estão disponíveis na América do Norte e em todo o mundo há vários anos.

No sistema 10, uma empresa que é proprietária da LAN corporativa 18 poderá fornecer um sistema de computador 28 e um dispositivo móvel 22 para o empregado. Quando o sistema de computador 28 emitido para o empregado é um computador laptop, por exemplo, ele poderia ser utilizado quer dentro ou fora da LAN corporativa 18. Quando o sistema de computador 28 está operando dentro da LAN 18, operações não locais poderão ser limitadas ao configurar permissões e restrições da rede para o sistema de computador 28, uma conta de rede para o usuário, ou os dois, de tal modo que elas não podem ser mudadas pelo usuário. Entretanto, se o usuário está utilizando um sistema de computador fora da LAN 28, ao conectar o sistema de computador na WAN 12 como é mostrado em 14, por exemplo, controles com base na rede no lugar da LM 18 podem, às vezes, ser contornados. 0 proprietário poderá, em vez disso, estabelecer parâmetros locais diretamente no dispositivo eletrônico como o sistema de computador ou um dispositivo móvel para manter o controle sobre o dispositivo. Esses parâmetros locais controlam as operações do dispositivo, mas apenas enquanto os parâmetros permanecerem intactos no dispositivo. Este tipo de mecanismo de controle está sujeito a ser frustrado pela substituição ou o apagamento dos parâmetros locais no dispositivo.

Para impedir o usuário ■ de apagar, modificar, ou substituir os parâmetros de controle locais ou outra informação que afete a operação de um dispositivo eletrônico, doravante referido principalmente como informação controlada, as operações que envolvem informação controlada poderíam ser limitadas a uma parte autorizada. Em um ambiente empresarial, um ou mais administradores de rede ou contas normalmente seriam autorizados a gerenciar políticas de controle empresarial em base de nível único. No entanto, este tipo de gerenciamento de controle de dispositivo não é viável em certos tipos de organização. Por exemplo, em grandes organizações, políticas de controle "global" relacionadas a certos tipos de operações ou utilizações podem ser desejadas para todos os dispositivos eletrônicos associados a organização, enquanto políticas de controle sob medida para outros tipos de operação podem não ser comum para todos os dispositivos. Empregados em um escritório empresarial poderão exigir acesso a funções que não estão disponíveis ou não são comumente utilizadas em outros escritórios empresariais em .diferentes países ou regiões, por exemplo. Neste caso, toda parte autorizada a estabelecer e mudar informação controlada precisa ser tornado ciente e confiado para seguir tanto as políticas de controle globais como as de controle sob medida. A distribuição de mudanças nas políticas de controle global assim torna-se mais um desafio neste tipo de gerenciamento de controle de dispositivo.

Um sistema e método de múltiplos níveis de controlar dispositivos eletrônicos reduz a dependência em uma única parte autorizada ou grupo de partes similarmente autorizadas para gerenciarem o controle de dispositivos eletrônicos. De acordo com aspectos aqui descritos, múltiplos níveis de autorização fornecem o controle de funções de dispositivos eletrônicos particulares ou tipos de funções por diferentes partes autorizadas, No exemplo acima de uma grande empresa tendo escritórios em que diferentes políticas de controle são desejadas, um primeiro e segundo níveis de autorização poderíam ser criados para gerenciar políticas de controle globais e políticas de controle sob medida, respectivamente. Os administradores da rede em cada escritório empresarial poderiam ser autorizados ao segundo nível, e um ou mais administradores ou gerentes mais experientes, na matriz empresarial, por exemplo, poderiam ser autorizados no primeiro nível.

Esse controle de múltiplos níveis também permite a divisão das funções de controle dependendo de outros critérios do que a amplidão de uso. Por exemplo, embora qualquer administrador de rede empresarial poderá ser confiado para gerenciar parâmetros de controle de dispositivos eletrônicos como o comprimento mínimo da senha ou a idade máxima da senha, controle mais rigoroso sobre aplicações de software instaladas poderão ser desejados. Neste caso, o controle da instalação de software poderá ser confiada a um administrador no primeiro nível de autorização, enquanto outras funções de controle poderão ser confiadas a partes autorizadas em um segundo nível de autorização. Também deve ser aparente que outros níveis de autorização também poderão ser estabelecidos. Um nível de autorização mestre ou principal completamente confiável em que as partes autorizadas têm permissões para estabelecer ou modificar qualquer informação controlada fornece um mecanismo para contornar outros níveis de autorização, como é descrito em maior detalhe abaixo. Níveis de autorização hierárquicos, níveis de autorização de pares, ou os dois, são possíveis. No exemplo acima de um primeiro nível de autorização para o controle da. instalação de aplicação de software e um segundo nível de autorização para outras funções de controle, o primeiro e o segundo níveis são níveis de pares, pois a autorização de uma parte em um dos níveis não permite que a parte efetue operações que exijam a autorização ao outro nível. Quando um nível de autorização mestre também ê fornecido, resulta uma estrutura hierárquica, com o primeiro e o segundo níveis de autorização sendo subordinados ao nível de autorização mestre. A Figura 2 é um diagrama de blocos que ilustra um sistema de inserir informação de autorização e informação controlada em um dispositivo', eletrônico. 0 sistema na Figura 2 inclui ura dispositivo eletrônico 210, um ponto de inserção de informação de autorização 220 para o nível de autorização X, e um ponto de inserção de informação controlada 230 para o nível de autorização X. Um depósito de informação de autorização 212, um depósito de informação controlada 214, e uma interface/conector 216 são fornecidos no dispositivo eletrônico 210, O ponto de inserção da informação de autorização 220 inclui uma fonte de informação de autorização 224 e; uma interface/conector 222. 0 ponto de inserção de informação controlada 230, de modo similar, inclui uma fonte de informação controlada 234 e uma interface/conector 232. 0 depósito de informação de autorização 212 armazena informação, como a chave pública de assinatura ou outra informação de integridade de dados ou de autenticação, por exemplo. A informação de autorização no depósito 212 é utilizada para determinar se a informação controlada recebida foi aprovada ou enviada para o dispositivo eletrônico 210 por uma parte autorizada, conforme descrito em maior detalhe abaixo. 0 depósito de informação controlada 214 armazena a informação controlada que afeta a operação do dispositivo eletrônico 210. As fontes 224 e 234, por exemplo, são dispositivos de memória local, leitoras como as unidades de disco ou leitoras de cartão de memória para ler informação de autorização e informação controlada de mídia de armazenamento removível, módulos de comunicação através dos quais dispositivos de memória remota armazenam informação de autorização e informação controlada são acessíveis, ou interfaces de usuário através dos quais informação de autorização e informação controlada são entradas. A interface/conector 222 é comparável com a interface/conector 216 para estabelecer um enlace de comunicação entre o ponto de inserção da informação de autorização 220 e o dispositivo eletrônico 210, para assim permitir que a informação de autorização seja transferida para o dispositivo eletrônico 210 da fonte de informação de autorização 224. A interface/conector 232 permite, de modo similar, a transferência da informação controlada da fonte de informação controlada 234 para o dispositivo eletrônico 210 através de um enlace de comunicação estabelecido entre a interface/conectores 232 e 216. A interface/conectores 216, 222 e 232 estabelecem enlaces de comunicação de fiação, quando a interface/conectores são portas seriais, por exemplo, ou enlaces de comunicação sem fio como os enlaces infravermelho em que a interface/conectores são módulos infravermelho. A informação de autorização e a informação controlada transferidos para o dispositivo eletrônico 210 são respectivamente inseridos ou armazenados no depósito de informação de autorização 212 e o depósito de informação controlada 214. 0 ponto de inserção da informação de autorização 220 é associado a uma parte autorizada ao nível de autorização X para controlar o dispositivo eletrônico 210. Quando o dispositivo eletrônico 210 é fornecido a um usuário por um empregado, por exemplo, o ponto de inserção da informação de autorização 220 poderá ser um sistema de computador ou dispositivo controlado por um administrador de sistema de computador empresarial ou um departamento de IT. 0 nível de autorização X é criado no dispositivo eletrônico 210 ao estabelecer um enlace de comunicação entre o ponto de inserção de informação de autorização 220 e o dispositivo eletrônico 210 através da interface/conectores 222 e 216 e depois inserir a informação de autorização para o nível de autorização X dentro do depósito de informação de autorização 212. Como é descrito em maior detalhe abaixo, uma vez a informação de autorização para o nível X tenha sido inserida no dispositivo eletrônico 210, somente uma parte autorizada ao nível de autorização X, ou um nível de autorização hierárquico mais alto se este existir, é capaz de inserir ou mudar a informação de autorização para o nível de autorização X ou controlar os recursos do dispositivo ou sua utilização associada ao nível de autorização X. , 1 A informação controlada, como foi descrito acima, poderá incluir parâmetros de controle, aplicações de software, e outra informação que afeta a operação do dispositivo eletrônico 210. Os parâmetros de controle especificam valores ou configurações de acordo com as políticas de utilização a serem feitas cumprir no dispositivo eletrônico 210. Por exemplo, os parâmetros de controle podem especificar um comprimento mínimo de senha e a idade máxima da senha, e que a proteção da senha precisa ser ativada. Quando esses recursos são associados a um nível de autorização X particular, então o nível de autorização X tem parâmetros' de controle que são inseridos no dispositivo eletrônico 210. No mesmo dispositivo eletrônico 210, o controle de instalação de aplicação de software pode ser associado a um nível de autorização Y diferente e com base em assinaturas digitais. Como o controle de instalação de aplicação de software com base na assinatura digital requer apenas uma chave de assinatura para verificar as assinaturas digitais nas aplicações de software recebidas, a informação de autorização para o nível de autorização Y, incluindo essa chave de assinatura, é inserida no dispositivo eletrônico 210, mas nenhum parâmetro de controle é necessário para o nível de autorização Y. Neste caso, o depósito de informação de autorização 212 armazena a informação de autorização para os níveis de autorização X e Y, enquanto o depósito de informação controlada 214 armazena parâmetros de controle apenas para o nível de autorização X. Para o nível de autorização Y, uma aplicação de software com assinatura digital subseqüentemente recebida compreende informação controlada que é armazenada no depósito de informação controlada, desde que seu sinal digital seja verificado, conforme descrito em maior detalhe abaixo. A inserção de informação controlada associada a um nível de autorização no dispositivo eletrônico é limitado uma vez a informação de autorização para aquele nível de autorização tenha sido inserida no dispositivo eletrônico. Assim, o ponto de inserção de informação controlada 230 não precisa necessariamente ser controlado por uma parte autorizada ao nível de autorização X. Quando um proprietário empresarial do dispositivo eletrônico 210 mantém controle sobre o ponto de inserção de informação controlada 230, os pontos de inserção 220 e 230 poderão ser implementados no mesmo sistema ou dispositivo de computação e partilhar a mesma interface/conector. No entanto, pontos de inserção separados 220 e 230 como é mostrado na Figura 2 permitem ao proprietário do dispositivo eletrônico 210 ou uma parte autorizada ao nível de autorização X delegar a inserção de informação controlada a qualquer outra parte que ou é autorizada ao mesmo nível de autorização X ou tem acesso à informação controlada autorizada por tal parte. Se a inserção da informação controlada é controlada utilizando assinaturas digitais, por exemplo, como é descrito em maior detalhe abaixo, a informação’dé. autorização para o nível de autorização X, incluindo uma chave de assinatura, é inserido no dispositivo eletrônico 210 por uma parte autorizada ao nível de autorização X. Apenas informação controlada assinada digitalmente para a qual uma assinatura digital é verificada utilizando a chave de assinatura pode então ser inserido no dispositivo eletrônico 210. Neste caso, a informação de autorização é inserida por uma parte autorizada, mas o ponto de inserção da informação controlada 230 poderia ser o sistema de computador do usuário, em que informação controlada digitalmente assinada para o nível de autorização X é fornecida para o usuário por uma parte autorizada. 0 usuário então insere a informação controlada digitalmente assinada no dispositivo eletrônico 210. Muito embora o usuário insere a informação controlada digitalmente assinada neste exemplo, a informação controlada é estabelecida e assinada por uma parte autorizada, não pelo usuário.

Na maioria das implementações, o ponto de inserção da informação de autorização 220 e o ponto de inserção da informação controlada 230 incluem o mesmo tipo de interface/conectores 222 e 232, compatíveis com a interface/conector 216 no dispositivo eletrônico 210. Entretanto, o dispositivo eletrônico 210 poderá alternatívamente incluir múltiplas interfaces/conectores, tal que diferentes tipos de interface/conector poderão ser implementados no ponto de inserção de informação de autorização 220 e o ponto de inserção de informação controlada 230. Embora apenas um único ponto de inserção de informação de autorização 220 e ponto de inserção de informação controlada 230 sejam mostrados na Figura 2, um sistema de inserção completo poderá incluir mais de um de cada tipo de ponto de inserção. Em uma empresa grande, por exemplo, administradores de do sistema de computador empresarial poderão ser autorizados a efetuar operações de inserção de informação de autorização de sistemas de computador do administrador, ou de qualquer sistema de computação empresarial do qual funções administrativas podem ser acessadas, assim fornecendo pontos de inserção de informação de autorização múltiplas 220. De modo similar, quando os usuários inserem informação controlada digitalmente assinada nos dispositivos eletrônicos, como foi descrito acima, o sistema de computador de cada usuário é utilizado como um ponto de inserção de informação controlada 230. , ■ A Figura 3 é um diagrama de blocos de um dispositivo eletrônico em que um sistema e método de controle de múltiplos níveis são implementados. Na Figura 3, o dispositivo eletrônico é um dispositivo móvel 30 adaptado para operar dentro de uma rede sem fio. Há também mostrado na Figura 3 uma ferramenta de inserção 64 utilizada para inserir informação de autorização no dispositivo móvel 30.

Deve ser aparente para aqueles versados na técnica que apenas os componentes envolvidos em um sistema de controle de dispositivos estão mostrados na Figura 3. Um dispositivo móvel tipicamente inclui outros componentes além daqueles mostrados na Figura 3. Outrossim, o dispositivo móvel 30 é um exemplo ilustrativo de um dispositivo eletrônico para o qual algum tipo de política de controle de utilização é desejável, 0 controle de múltiplos níveis também é aplicável a outros tipos de dispositivos eletrônicos, como telefones móveis, PDAs, e computadores pessoais, por exemplo. O dispositivo móvel 30 compreende uma memória 32, um processador 40, um carregador de aplicação 42, um módulo de inserção 44, uma interface ' de usuário (UI) 46, um transceptor sem fio 48, e uma interface ou conector 50. A memória 32 preferivelmente inclui uma área de armazenamento 34 para aplicações de software, um depósito de informação de autorização 36, um depósito de parâmetros de controle 38, bem como possivelmente outros armazéns de dados associados a outros sistemas de dispositivos além daqueles mostrados na Figura 3. A memória 32 é um depósito gravável como uma memória RAM ou flash dentro da qual outros componentes de dispositivo poderão gravar dados. No entanto, o acesso para gravar e apagar no depósito da aplicação de software 34, o depósito de informação de autorização 36, e o depósito de parâmetros de controle 38 são preferivelmente restritos. Por exemplo, o usuário do dispositivo móvel 30 poderá ser capaz de recuperar dados dos armazéns 34, 36, e 38, mas as operações de gravar e de apagar para esses armazéns são controladas, como é descrito abaixo. 0 depósito de aplicação de software 34 inclui aplicações de software que foram instaladas no dispositivo móvel 30, e poderão incluir, por exemplo, uma aplicação de mensagens eletrônicas, uma aplicação de gerenciamento de informação pessoal (PIM)jogos, bem como outras aplicações. 0 depósito de informação de autorização 36 armazena informação de autorização que á utilizada para verificar se a informação controlada recebida originou-se com ou foi pelo menos aprovada por uma parte apropriadamente autorizada. Outra informação, incluindo informação para identificar o proprietário do dispositivo móvel 3 0 ou as partes autorizadas para níveis de autorização ou informação de verificação da integridade de dados, por exemplo, também poderão ser armazenadas no depósito de informação de autorização 36. Parâmetros de controle, em que tais controles como permissões de utilização e restrições para o dispositivo móvel 30 poderão ser especificados, são armazenados no depósito de parâmetros de controle 38. 0 processador 40 é conectado ao transceptor sem fio 48 e assim permite ao dispositivo móvel 30 comunicação através de uma rede sem fio. O carregador de aplicação 42 e o módulo de inserção 44, descritos em maior detalhe abaixo, são conectados â interface/conector 50 para permitir a comunicação com a ferramenta de inserção 64, através da interface/conector cooperante 52. O carregador de aplicação 42 e o módulo de inserção 44 também são conectados ao processador 40 para fornecer uma outra via de comunicação para receber informação de autorização e informação controlada. A UI 46 inclui um ou mais componentes da UI, como o teclado ou dispositivo de digitação, um dispositivo expositor, ou outros componentes que aceitam entradas e fornecem saídas para o usuário do dispositivo móvel 30. Embora mostrado como um único bloco na Figura 3, deve ser aparente que o dispositivo móvel 30 tipicamente inclui mais de uma UI, e a UI 46, portanto,· pretende representar uma ou mais interfaces de usuário. A ferramenta de inserção 64 inclui um depósito de informação de autorização 60 e uma interface/conector 52 através do qual informação é intercambiada com o dispositivo móvel 30, e assim representa um ponto de inserção de informação de autorização 220 (Figura 2). Como foi descrito acima, o ponto de inserção de informação de autorização como a ferramenta de inserção 64 é normalmente controlado pelo proprietário do dispositivo eletrônico. Portanto, a ferramenta de inserção 64 é preferivelmente implementada em um sistema de computador administrador utilizado por um administrador autorizado para permitir serviços ou de outra forma configurar o dispositivo móvel 30. Como os sistemas de computador em rede podem ser tipicamente utilizados por qualquer usuário, a ferramenta de inserção 64 poderá, em vez de ser acessível a qualquer sistema de computador em uma rede empresarial, dependendo do usuário particular que está atualmente "registrado" no sistema de computador. Em tal sistema, uma ferramenta de inserção poderá ser utilizada para inserir informação de autorização para mais de um nível de autorização. A informação de autorização acessada no depósito de autorização 60 é então dependente do nível de autorização particular no qual a informação de autorização está sendo inserida no dispositivo móvel 30. Diferentes armazéns de informação de autorização físicos particulares poderíam, em vez de serem acessados com base no nível de autorização. Alternativamente, uma ferramenta de inserção separada poderá ser implementada para cada parte autorizada ou nível de autorização. 0 depósito de informação de autorização 60 armazena informação de autorização a ser inserida no dispositivo móvel 30, e poderá, por exemplo, ser implementada em um componente de memória local como uma pastilha RAM, um dispositivo de memória flash, ou uma unidade de disco rígido. Quando a ferramenta de inserção 64 é implementada em um sistema de computador em rede ou em outro dispositivo conectado à rede, o depósito de informação de autorização 50 poderá ser um sistema de memória remoto como o servidor que é acessível para a ferramenta de inserção 64 através de uma conexão de rede. O depósito de informação de autorização 60 poderá, em vez disso, incorporar uma leitora de memória como uma leitora de cartão inteligente, uma leitora de cartão de memória; uma porta Digital Segura (SD), uma unidade de disco flexível, ou uma unidade de CD ou de DVD, por exemplo. A informação de autorização é transferida entre a ferramenta de inserção 54 e o dispositivo móvel 30 através de um enlace de comunicação estabelecido entre a interface/conectores 50 e 52. A interface/conectores 50 e 52 poderíam ser qualquer um de uma pluralidade de componentes de transferência de dados compatível, incluindo, por exemplo, interfaces de transferência de dados ópticos como as portas da Infrared Data Association IrDA), outras interface de comunicação sem fio de curto alcance, ou interfaces de fiação como as portas de Barramento Serial Universal (USB) ou porta serial, e conexões. Interfaces de comunicação sem fio de curto alcance conhecidas, por exemplo, incluem módulos Bluetooth e módulos 802.11 de acordo com as especificações Bluetooth ou 802.11, respectivamente. Será aparente para aqueles habilitados na tecnologia que Bluetooth e 802.11 denotam conjuntos de especificações, disponíveis do Institute of Electrícal and Electronics Engineers (IEEE), relacionada a LANs sem fio e redes 'de', área pessoal sem fio, respectivamente. Portanto, um enlace de comunicação entre a ferramenta de inserção 64 e o dispositivo móvel 30 poderá ser uma conexão sem fio ou uma conexão de fiação física.

Como a comunicação entre a ferramenta de inserção 64 e o dispositivo móvel 30 não é necessariamente através de uma conexão física, referências a conectar o dispositivo móvel a uma ferramenta de inserção inclui estabelecer a comunicação através de conexões físicas ou esquemas de transferência sem fio. Assim, o dispositivo móvel 30 poderia ser conectado à ferramenta de inserção 64 ao conectar portas seriais no dispositivo móvel 30 e na ferramenta de inserção 64, aò posicionar o dispositivo móvel 30 tal que uma porta óptica do mesmo está em linha de visão de uma porta similar da ferramenta de inserção 64, ou ao conectar ou dispor o dispositivo móvel 30 e a ferramenta de inserção 64 em alguma outra maneira de modo que dados poderão ser intercambiados. As operações particulares envolvidas no estabelecimento de comunicação entre um dispositivo móvel e uma ferramenta de inserção são dependentes dos tipos de interfaces e/ou conectores disponíveis tanto no dispositivo móvel como na ferramenta de inserção. A informação de autorização é preferivelmente quer pré-carregada no dispositivo móvel 30 antes do dispositivo móvel 30 ser fornecido ao usuário, ou antes do dispositivo móvel 30 ser configurado para utilização. No primeiro exemplo, o usuário não tem controle físico do dispositivo móvel 30 até a informação de autorização ter sido carregada, e assim pelo menos um nível de autorização foi criado no dispositivo móvel 30, enquanto no último exemplo, o usuário tem a posse do dispositivo móvel 30 mas não é capaz de fazer uso do dispositivo até ele ser configurado, ou estar sob o controle, de pelo menos uma parte autorizada.

Quando o dispositivo móvel 30 tiver sido conectado na ferramenta de inserção 64, a informação de autorização é recuperada do depósito de informação de autorização 60 e transferida para o dispositivo móvel 30 através da interface/conectores 52 e 50, e passada para o módulo de inserção 44 no dispositivo móvel 30, que armazena a informação de autorização no depósito de informação de autorização 38 na memória 32.

Embora o módulo de inserção 44 seja mostrado na Figura 3 como sendo conectado à interface/conector 50, este módulo é preferivelmente implementado como um módulo de software ou aplicação que é executada pelo processador 40. Como tal, transferências de dados de e para a interface/conector 50 poderão ser efetivamente feitas pelo roteamento de dados através do processador 40 para a interface/conector 50. Neste caso, o processador 40 é instruído pela ferramenta de inserção 64 a iniciar o módulo de inserção 44 antes da informação de autorização ser transferida para o dispositivo móvel 30. Alternativamente, o processador 40 poderá ser configurado para iniciar o módulo de inserção 44 sempre que a informação de autorização é recebida. A ferramenta de inserção 64 poderá ser, de modo similar, um módulo ou aplicação de software que é executada por um processador em um sistema ou dispositivo de computador no qual a ferramenta de inserção 64 opera. A informação de autorização que é pré-carregada no dispositivo móvel 30 preferivelmente inclui pelo menos informação de integridade de dados e informação de autenticação de fonte, como uma chave pública de assinatura digital que corresponde a uma chave privada de assinatura digital utilizada pelas partés autorizadas a um determinado nível de autorização para assinar digitalmente informação antes dela ser transferida para o dispositivo móvel 30. O pré-carregamento da informação de autorização permite maior segurança nas operações de controle do dispositivo, conforme descrito em maior detalhe abaixo no contexto de assinaturas digitais.

Em um esquema de controle de dispositivo utilizando assinaturas digitais para verificar a integridade dos dados e autenticar a fonte dos dados, se uma chave pública de assinatura digital para um nível de autorização foi inserido dentro do depósito de informação de autorização 36 no dispositivo móvel 30, a informação controlada associada àquele nível de autorização poderá então ser inserida no dispositivo móvel 30. Por exemplo, uma ferramenta de inserção de informação controlada configurada para utilização com o dispositivo móvel 30 é similar à ferramenta de inserção 64, incluindo um depósito de informação controlada e uma interface/conector compatível com a interface/conector 50. Uma lista de aplicações de software que o usuário é autorizado a instalar no dispositivo móvel 30, uma lista de aplicações de software obrigatórias que precisam ser instaladas no dispositivo móvel 30, ou parâmetros de configuração do dispositivo, por exemplo, poderão ser especificados quando a informação controlada inclui parâmetros de controle. Como foi descrito acima, os parâmetros de controle representam um meio possível para controlar a operação de um dispositivo eletrônico. 0 nível de autorização poderá ou não ter parâmetros de controle associados. A informação controlada é recebida pelo dispositivo móvel 30 quer de uma ferramenta de inserção ou de outra fonte, pela interface/conector 50, o transceptor sem fio 48, ou qualquer outro subsistema ou componente de comunicação disponível. Por exemplo, os parâmetros de controle iniciais podem ser inseridos no dispositivo móvel utilizando uma ferramenta de inserção com uma interface compatível com a interface/conector 50, enquanto as aplicações de software ou os parâmetros de controle atualizados poderão ser recebidos por uma rede sem fio.

Para impedir o usuário de inserir parâmetros de controle falsos ou outra informação controlada para assim frustrar os controles do dispositivo, a informação controlada é preferivelmente assinada digitalmente utilizando uma chave privada de assinatura digital associada ao nível de autorização apropriado antes de ser transferida para o dispositivo móvel 30. 0 módulo de inserção 44 é configurado para verificar a assinatura digital antes da informação controlada ser armazenada no dispositivo móvel 30. Se a verificação da assinatura digital falhar, então a informação controlada não é armazenada no dispositivo móvel 30.

Esquemas de assinatura digital geralmente envolvem algum tipo de transformação da informação para fornecer a verificação da integridade da informação e da autenticação de uma fonte da informação assinada. De acordo com uma técnica de assinatura digital conhecida, um resumo da informação a ser assinada digitalmente é gerado utilizando um algoritmo de resumo não reversível ou transformação, como o Secure Hashing Algorithm (SHA-1) ou o algoritmo Message-Digest 5 (MD5). O resumo é então ainda transformado utilizando uma chave privada de assinatura digital e um algoritmo de assinatura para gerar uma assinatura digital. A chave pública de assinatura digital correspondente à chave privada é utilizada para verificar a assinatura digital.

No contexto de informação controlada, a inserção de uma chave pública de assinatura digital para o nível de autorização no dispositivo móvel 30 como parte da informação de autorização fornece a segurança com base na assinatura digital da informação controlada. A informação controlada é assinada digitalmente antes da transferência para o dispositivo móvel 30, e o módulo de inserção 44 então verifica se a informação controlada foi assinada utilizando a chave privada de assinatura digital para o nível de autorização correspondente, conhecido apenas das partes autorizadas naquele nível de autorização, e se a informação controlada não foi modificada após ser assinada, antes dela ser armazenada no dispositivo móvel 30. Assim, apenas a informação controlada que se origina, ou pelo menos é assinada, por uma parte apropriadamente autorizada, é armazenada e utilizada no dispositivo móvel 30. A informação controlada apropriadamente assinada na forma de parâmetros de controle é armazenada no depósito de parâmetros de controle 38. Outros tipos de informação controlada apropriadamente assinada são processadas de modo similar e armazenada no depósito de parâmetros de controle 38, no depósito de aplicação de software 34, ou possivelmente em outros armazéns do dispositivo móvel 30. A informação controlada é estabelecida com base em um conjunto de funções que uma parte autorizada deseja controlar em um dispositivo eletrônico, e tende não mudar com relativa freqüência uma vez estabelecida. Essa informação controlada é assinada digitalmente por um sistema de computador seguro ou um componente de software ao qual apenas as partes autorizadas a um determinado nível de autorização têm acesso, utilizando a chave privada de assinatura digital do nível de autorização. A informação controlada assinada é então■armazenada em uma localização que é acessível aos sistemas de computador do administrador e possivelmente outros sistemas de computador, e recuperado conforme necessário.

Uma ferramenta de inserção de informação controlada então transfere a informação controlada assinada para o dispositivo móvel 30. Dependendo da freqüência das mudanças na informação controlada ou na expectativa de que isso ocorra, a informação controlada assinada poderá ser ainda distribuída para cada sistema ■ de computador em uma rede para fornecer acesso local à informação controlada assinada. Quando uma nova informação controlada é gerada e assinada, a nova informação controlada assinada preferivelmente substitui quaisquer cópias existentes da informação controlada, conforme descrito em maior detalhe abaixo. A ampla distribuição da informação controlada fornece acesso mais facilitado à informação controlada, enquanto o armazenamento remoto partilhado da informação controlada exige menos atualizações quando uma nova informação controlada é estabelecida.

Também é possível suportar a geração de assinatura digital para a informação cóntrolada em uma ferramenta de inserção de informação controlada. No entanto, isto requer que a ferramenta de inserção da informação controlada tenha acesso à chave privada de assinatura digital para pelo menos um nível de autorização. A assinatura digital de informação controlada apenas pelas partes autorizadas é geralmente preferido pois ela limita o acesso às chaves privadas de assinatura digital.

Quando a informação controlada assinada é transferida para o módulo de inserção 44, ou para o carregador de aplicação 42 no caso de uma aplicação de software, são efetuadas operações de verificação da assinatura digital. Se a assinatura digital é verificada, então a informação controlada é armazenada no dispositivo móvel 30 no depósito de parâmetros de controle 38 ou no depósito de aplicações de software 34. Para a aplicação de software, qualquer operação de instalação necessária também preferivelmente é executada quando a assinatura digital é verificada. Quando a verificação da assinatura digital falhar, a informação controlada não é armazenada. Neste caso, um erro ou uma indicação semelhante poderá ser emitida para o usuário em uma UI 46 como um dispositivo de exposição, e uma mensagem de erro poderá ser retornada para a fonte da informação controlada, e nova tentativa ou outra operação de processamento de erro poderá ser efetuada na fonte de informação controlada, no dispositivo móvel 30, ou nos dois.

Dada a importância da chave de assinatura digital, pelo menos uma primeira operação de inserção de informação de autorização para qualquer nível de autorização é preferivelmente efetuado por uma parte autorizada naquele nível de autorização, para assegurar que apenas a informação controlada autorizada pode subseqüentemente ser inserida no dispositivo móvel 30. Isto impede o usuário de frustrar o controle do dispositivo ao inserir uma chave de assinatura digital que não a chave de assinatura digital para o nível de autorização no dispositivo móvel 30.

Quando da mudança na informação controlada, em que o proprietário deseja expandir ou limitar mais a utilização de um dispositivo eletrônico ou fornecer uma nova aplicação de software, por exemplo, a nova informação controlada é acrescentada ou substitui a informação controlada existente, desde que a informação controlada seja inserida ou aprovada por uma parte autorizada ao nível de autorização necessário. Por exemplo, uma versão existente dos parâmetros de controle é preferivelmente substituída quando novos parâmetros de controle para o mesmo nível de autorização são estabelecidos e inseridos no dispositivo eletrônico. De modo similar, uma nova versão de uma aplicação de software preferivelmente substitui uma versão existente da mesma aplicação de software já instalada no dispositivo eletrônico. Contudo, uma nova aplicação de software que não está instalada no dispositivo eletrônico é preferivelmente instalada sem substituir as aplicações de software existentes. Como foi descrito acima, a nova informação controlada é preferivelmente assinada digitalmente e a nova informação controlada assinada é distribuída para uma ou mais localidades das quais ela é recuperada para inserção nos dispositivos eletrônicos.

Qualquer um de vários mecanismos para a distribuição de nova informação controlada assinada para os dispositivos eletrônicos são possíveis. Quando a nova informação controlada é distribuída para cada ferramenta de inserção · de informação controlada, por exemplo, as ferramentas de inserção são preferivelmente configuradas para detectar o recebimento de nova informação, controlada, e transferir a nova informação controlada para o dispositivo móvel 30 da próxima vez que o dispositivo móvel 30 é conectado à ferramenta de inserção de informação controlada. Como foi descrito acima, o ponto de inserção da informação controlada 230 (Figura 2), poderá ser controlado pelo usuário do dispositivo eletrônico. Como muitos dispositivos eletrônicos são configurados para serem sincronizados com sistemas de computador, este tipo de distribuição da informação controlada poderá ser suportado pela implementação de uma ferramenta de inserção da informação controlada no sistema de computador do usuário. A nova informação controlada é então inserida no dispositivo eletrônico da próxima vez que o dispositivo eletrônico é sincronizado com o sistema de computador.

Alternativamente, a nova informação controlada assinada poderá ser enviada para dispositivos móveis através de uma rede sem fio, através da LAN 18, da WAN 12, e do portal de rede sem fio 16, como é mostrado na Figura 1, por exemplo. Essa informação controlada assinada podería ser enviada para dispositivos móveis quer diretamente ou através de uma ou mais ferramentas de inserção da informação controlada. Embora a chave pública de assinatura digital para um nível de autorização seja preferivelmente transferida inicialmente para um dispositivo eletrônico como o dispositivo móvel 30 através da interface/conectores 52 e 50, outros enlaces de comunicação que não podem ser assegurados ou protegidos fisicamente, como os enlaces de rede de comunicação pública ou sem fio, poderão ser utilizados para subseqüentemente transferir a informação controlada assinada para um dispositivo eletrônico que é ativado para comunicação por esses outros enlaces. Quando uma chave pública de assinatura digital para um nível de autorização foi inserida no .dispositivo móvel 30, então o módulo de inserção 44 ou o carregador de aplicação 42 é capaz de verificar tanto a integridade como a identidade da fonte da informação controlada assinada, quer ela seja recebida através da interface/conector 50 ou do transceptor sem fio 48. Neste tipo de implementação, por exemplo, a ferramenta de inserção da informação controlada poderá incluir um tipo diferente de interface para o dispositivo móvel 30 do que a ferramenta de inserção da informação de autorização 64. 0 armazenamento inicial da informação controlada, bem como a substituição da informação controlada existente, é assim dependente da verificação de uma assinatura digital pelo módulo de inserção 44 ou pelo carregador de aplicação 42. Aqueles versados na técnica apreciarão que outras verificações também poderão ser efetuadas pelo dispositivo eletrônico antes da informação existente ser substituída. Para prevenir ataques de reprodução, em que a informação controlada antiga é reenviada por um atacante e recebida pelo dispositivo eletrônico, a informação controlada preferivelmente inclui informação da versão. A informação controlada existente é substituída apenas quando a informação controlada recebida é mais nova do que a informação controlada existente. Geralmente, a informação controlada mais nova tem um número de versão mais alto.

Embora a informação de autorização é preferivelmente inserida no dispositivo móvel 30 utilizando a ferramenta de inserção 64 e a interface/conectores 50 e 52 conforme é descrito acima, a informação de autorização atualizada poderá alternativamente ser transferida para o dispositivo móvel 30 através de outras vias de comunicação. A informação de autorização, por exemplo, é atualizada quando a assinatura do par chave pública/chave privada para um nível de autorização é modificado. Para este fim, a ferramenta de inserção 64 ppderã incluir outros tipos de módulos de comunicação, como o transceptor sem fio ou o conector de rede, por exemplo, que são menos seguros que a interface/conectores 50 e 52. Quaisquer dessas atualizações são dependentes da verificação de uma assinatura digital utilizando a chave pública de assinatura digital na informação de autorização existente.

Quando a informação de autorização, bem como os parâmetros de controle associados, se houverem, foram inseridos no dispositivo móvel 30, as políticas de controle associadas a qualquer nível de autorização criado no dispositivo móvel 30 são feitas cumprir. O cumprimento da política de controle no dispositivo móvel 30 á suportado no carregador de aplicação 42, no módulo de inserção 44, e no sistema operacional executado pelo processador 40. 0 carregador de aplicação 42 controla a instalação de aplicação de software, o módulo de inserção 44 controla a inserção da informação de autorização e da informação controlada, e o sistema operacional do dispositivo móvel controla outras operações de. dispositivos, ao verificar os parâmetros de controle, por exemplo, para assegurar que as operações são permitidas. Também é previsto que uma aplicação ou módulo de software que ele próprio efetua o cumprimento das políticas de controle ao nível da autorização podería ser inserido dentro de um dispositivo eletrônico com informação de autorização. Quando o controle da instalação de aplicação de software for estabelecido com a injeção desse módulo de software junto com a informação de autorização, o carregador de aplicação 42, ou um módulo de controle de software que opera em conjunto com o carregador de aplicação 42, é inserido no dispositivo móvel 30 com a informação de autorização associada ao nível de autorização da instalação da aplicação de software. A descrição anterior relaciona-se essencialmente a gravar informação de autorização e informação controlada na memória em um dispositivo eletrônico como o dispositivo móvel 30. No entanto, o proprietário ou uma parte autorizada também poderão desejar apagar informação de autorização ou informação controlada, sem substituir a informação existente por nova informação. Neste caso, como a informação não está sendo gravada na memória do dispositivo, nenhuma informação de autorização assinada ou de informação controlada é enviada para o dispositivo. Em vez disso, um comando ou solicitação para apagar é enviado para o dispositivo. Apagar é mais uma função suportada pelo módulo de inserção 44 em algumas implementações.

Com referência agora à Figura 3, se a informação de autorização ou a informação controlada é para ser apagada do depósito de informação de autorização 36, então o comando ou a solicitação de apagar é assinada digitalmente e enviada para o módulo de inserção 44. Como com a nova informação de autorização ou a informação controlada, um comando ou solicitação assinada podería ser enviado para o dispositivo móvel 30 através quer da ínterface/conector 50 ou do transceptor sem fio 48. Por exemplo, a ferramenta de inserção 64 podería ser adaptada para apagar a informação de autorização existente do dispositivo móvel 30 ao fornecer um gerador ou depósito de comando de apagar que também é acoplado à interface/conector 52. Alternativamente, apagar a informação de autorização podería ser feita utilizando uma ferramenta de apagar especializada que incorpora esse gerador ou depósito de comando de apagar e uma interface para o dispositivo móvel 30. O apagamento da informação controlada é preferivelmente controlado de maneira similar. 0 módulo de inserção 44, utilizando a chave pública de assinatura digital na informação de autorização existente no dispositivo móvel 30, executa o comando ou completa a solicitação se uma assinatura digital é verificada. Em algum caso, a verificação da versão também ocorre antes da execução ou do término. Caso contrário, o comando ou a solicitação é preferivelmente ignorado, e uma indicação de erro ou de falha poderá ser exposta ao usuário em uma UI 46 no dispositivo móvel 30, retornado a um sistema ou dispositivo remetente que enviou o comando ou a solicitação, ou os dois. Outras rotinas de processamento de erro ou de falha poderão então ser efetuadas no sistema ou no dispositivo remetente. Da descrição anterior, deve ser aparente que a asseguração, e qualquer outra informação de autorização suportada e as funções de gerenciamento da informação controlada, exigem uma assinatura por uma parte autorizada ao nível de autorização particular associado à informação que está sendo apagada ou gerenciada, ou a um nível de autorização mais alto quando existir uma estrutura de nível de autorização hierárquico.

Como é mostrado na Figura 3, outros sistemas no dispositivo móvel 30 têm acesso à memória 32. Entretanto, esses sistemas de dispositivos não podem inserir, mudar, ou apagar a informação de autorização ou a informação controlada sem submeter informação ou comandos apropriadamente assinados. Qualquer depósito de dados, como o depósito de aplicação de software 34, depósito de informação de autorização 36, e o depósito de parâmetros de controle 38, que armazenam informação de autorização ou informação controlada são, portanto, preferivelmente localizados em áreas de memória protegida, como o exterior de um sistema de arquivos utilizados por outros sistemas de dispositivos. Apenas o módulo de inserção 44 e o carregador de aplicação 42 têm acesso de gravar e de apagar a estes armazéns, tal que o controle com base na assinatura digital da inserção e do apagamento da informação de autorização e da informação controlada é mantido. Outros sistemas de dispositivos têm acesso de apenas leitura para a informação de autorização e a informação controlada. Em uma versão, qualquer sistema ou componentes através dos quais a memória 32 é acessada são configurados para permitir operações de leitura da memória de qualquer' localização na memória 32, mas negam quaisquer operações de gravar ou de apagar nas localizações da memória para armazenar informação de autorização ou informação controlada a menos que as operações se originem ou sejam autorizadas pelo módulo de inserção 44 ou o carregador de aplicação 42. Em uma implementação alternativa, um gerenciador de memória (não mostrado) é fornecido para gerenciar todas as operações de acesso à memória, Tal gerenciador de memória é configurado para dirigir quaisquer operações de gravação ou de apagamento que envolvem armazéns de informação de autorização ou de informação controlada para o módulo de inserção 44 ou o carregador· de aplicação 42 para a verificação da assinatura digital e autorização antes de completar as operações. A informação de autorização e a informação controlada, assim, poderão ser lidas por outros sistemas de dispositivos, mas apenas poderão ser inseridos, mudados ou apagados quando uma assinatura digital é verificada. A Figura 4 é um diagrama de fluxo que ilustra um método de inserir informação de autorização em um dispositivo eletrônico. 0 método da Figura 4 tem início na etapa 72, quando a informação de autorização para um nível de autorização é estabelecido. Isto envolve operações como gerar ou obter uma assinatura digital de par chave privada/chave pública para o nível de autorização, por exemplo. A informação de autorização é então assinada digitalmente (se existir uma informação de autorização anterior) e enviada para o dispositivo eletrônico na etapa 74.

Na etapa 76, é feita a determinação sobre se a informação de autorização para o mesmo nível de autorização já existe no dispositivo eletrônico, ao conferir o depósito de informação de autorização, por exemplo. Quando não existir a informação de autorização no dispositivo eletrônico, como para a inserção inicial de informação de autorização, a informação de autorização é inserida no dispositivo eletrônico na etapa 84, ao armazenar a informação de autorização a uma memória no dispositivo eletrônico. Quando a informação de autorização está sendo inicialmente sendo inserida no dispositivo eletrônico, ela não precisa necessariamente ser assinada digitalmente. Como foi descrito acima, a inserção de informação de autorização inicial é preferivelmente efetuada diretamente ou pelo menos sob a autorização de uma parte autorizada ao nível de autorização que está sendo criado no dispositivo eletrônico, como o proprietário do dispositivo.

Uma assinatura digital associada à informação de autorização recebida é verificada na etapa 78 quando a informação de autorização já existir no dispositivo eletrônico. Se a assinatura digital não for verificada, conforme determinado na etapa 80, a informação de autorização não é inserida no dispositivo eletrônico, e o processamento de erros ê chamado na etapa 82. Como foi descrito acima, o processamento de erros poderá incluir operações tais como indicar um erro ou falha numa UI do dispositivo eletrônico e enviar uma mensagem de erro ou de falha para uma ferramenta ou sistema de inserção de onde a informação de autorização foi enviada. A informação de autorização é inserida no dispositivo eletrônico na etapa 84, quando a assinatura digital foi verificada. Embora não explicitamente mostrado na Figura 4, a inserção da informação de autorização também pode depender da versão ou da informação de sequência na informação de autorização existente e da recebida para impedir a inserção de informação de autorização 'desatualizada através de um ataque de reenvio. 0 método da Figura 4 é repetido para cada nível de autorização a ser criado no dispositivo eletrônico.

Após a informação de autorização para um nível de autorização tiver sido inserida no dispositivo eletrônico, a inserção de informação controlada para aquele nível de autorização é restrito, como é evidente das etapas 76, 78, e 80. Uma organização que implemente um esquema de controle de dispositivo eletrônico, portanto, também implementa medidas para proteger a confidencialidade da informação necessária para inserir a informação de autorização e a informação controlada em seus dispositivos eletrônicos, ao controlar o acesso a essa informação confidencial, e possivelmente o acesso às ferramentas de inserção utilizadas para inserir informação de autorização e informação controlada. Por exemplo, a informação confidencial como a chave privada de assinatura digital que é utilizada pela parte autorizada para inserir informação para o nível de autorização é preferivelmente conhecida ou acessível apenas às partes autorizadas naquele nível de autorização. No entanto, no 'evento improvável de que essa informação é obtida por uma parte não autorizada ou perdido por uma parte autorizada, o esquema de controle do dispositivo eletrônico poderá ser comprometido.

Quando uma parte não autorizada obtém uma chave privada de assinatura digital para um nível de autorização, por exemplo, então aquela parte não autorizada pode potencialmente inserir sua própria informação controlada nos dispositivos eletrônicos. Nesta situação, a parte autorizada ao nível de autorização preferivelmente gera ou obtém uma nova assinatura digital de par de chave pública/chave privada para substituir o par de chaves existente, estabelecer nova 'informação de autorização incluindo a nova chave pública para o nível de autorização, assinar digitalmente a nova informação de autorização utilizando a chave privada existente, e inserir a nova informação de autorização em cada dispositivo eletrônico que suporta aquele nível de autorização. Como uma medida de precaução, a nova informação controlada é então também preferivelmente inserida em cada um desses dispositivos eletrônicos para substituir qualquer informação controlada que pode ter sido inserida pela parte não autorizada.

Com a chave privada de assinatura digital, uma parte não autorizada também pode inserir sua própria informação de autorização, incluindo uma chave pública de assinatura digital que corresponde a sua própria chave privada, para o nível autorizado. Isto impede a parte autorizada de inserir nova informação de autorização conforme descrito acima, pois a assinatura digital na nova informação de autorização não pode ser verificada utilizando a chave pública inserida pela parte não autorizada. Uma situação similar surge quando as partes autorizadas perdem uma chave privada de assinatura digital. Nesses casos, uma estrutura de nível de autorização hierárquico é desejável pois o comprometimento de um nível de autorização mais baixo é retificado através de um nível de autorização mais alto. Em uma versão, o nível de autorização mestre é criado em cada dispositivo eletrônico em uma organização. Isto, por exemplo, poderá ser efetuado por um fabricante de dispositivo ao inserir uma chave pública de assinatura digital no dispositivo eletrônico. Esta chave pode ser gerada ou fornecida ao proprietário do dispositivo ou a uma entidade confiável pelo proprietário do dispositivo, ou retida pelo fabricante do dispositivo para permitir que o fabricante do dispositivo auxilie em operações de recuperação após informação confidencial ter sido comprometida. A retenção de tal chave pelo fabricante do dispositivo ou uma entidade confiável fora da empresa ou da organização do proprietário fornece recuperação do controle do dispositivo eletrônico mesmo se a informação confidencial para todos os outros níveis de autorização no dispositivo eletrônico é perdido ou obtido por uma parte não autorizada, Como a informação confidencial para o nível de autorização mestre á mantido era separado, nas dependências do fabricante ou de outra entidade externa confiável, a informação confidencial exigida para o nível de mestre permanece seguro, e pode então ser utilizado para restabelecer níveis de autorização e controle do dispositivo ao inserir nova informação de autorização em cada dispositivo eletrônico.

De acordo com outra versão, operações de recuperação dirigidas são efetuadas. Quando a informação confidencial para um nível de autorização é perdida mas não foi obtida uma parte não autorizada, o controle do dispositivo permanece efetivo. No entanto, nova informação autorizada ou informação controlada para aquele nível de autorização não pode ser inserido nos dispositivos eletrônicos, mesmo por uma parte autorizada naquele nível. Embora a informação confidencial para o nível de autorização tenha sido perdido, a informação de autorização existente para o mesmo nível de autorização ainda poderá estar disponível. Ao fornecer tanto a nova informação de autorização como a informação de autorização existente para uma parte autorizada . a um nível de autorização mais alto, a nova informação de autorização assinada pela parte autorizada mais alta é inserida apenas naqueles dispositivos nos quais a informação de autorização existente está armazenada. Neste caso, a nova informação de autorização assinada podería ser enviada para á totalidade dos dispositivos eletrônicos de um proprietário, mas é inserida apenas em cada dispositivo eletrônico se a autorização existente é encontrada. Esta funcionalidade é ativada, por exemplo, ao enviar uma aplicação de software que busca pela informação de autorização existente, juntamente com a nova informação de autorização. Se necessário sob as políticas de controle de dispositivo atuais, a aplicação de software também poderá ser assinada. A recuperação dirigida insere nova informação de autorização para um nível de autorização apenas nos dispositivos nos quais o nível de autorização foi criado anteriormente. Este mecanismo de recuperação também é efetivo quando informação confidencial foi obtida por uma parte não autoridade, desde que a informação autorizada não foi ainda mudada pela parte não autorizada.

Em referência à Figura 4, uma determinação negativa é feita na etapa 80 quando nova informação de autorização, assinada utilizando uma chave privada de assinatura digital correspondente a uma chave pública de assinatura digital que foi substituída por uma parte não autorizada ou uma chave associada a um nível de autorização mais alto, é recebida em um dispositivo eletrônico. No entanto, se o processamento de erro na etapa 82 inclui repetir as etapas 78 e 80 utilizando informação de autorização para cada nível de autorização mais alto, então o controle de dispositivo é eventualmente recuperado ao inserir nova informação de autorização, assinada utilizando uma chave privada associada a um nível de autorização mais alto, nos dispositivos eletrônicos. Um nível de autorização mestre para o qual informação confidencial, como uma chave privada de assinatura digital é mantida em separado da informação confidencial para outros níveis de autorização, assim fornece um outro mecanismo para a recuperação do controle do dispositivo quando a segurança dos níveis de autorização são quebrados.

Embora o mecanismo de recuperação envolva a intervenção pelo fabricante do dispositivo ou a entidade confiável, ele evita operações de recuperação alternativas, como reprogramar ou reconstruir cada dispositivo eletrônico, que são mais onerosas e inconvenientes tanto para o proprietário como para o fabricante ou parte confiável. 0 fabricante ou a .entidade confiável precisam apenas assinar digitalmente nova informação de autorização que é para ser inserida nos dispositivos eletrônicos onde um nível de autorização mestre é suportado. A inserção inicial da informação de autorização cria um nível de autorização no dispositivo eletrônico e restringe a inserção subseqüente da informação controlada para aquele nível de autorização no dispositivo eletrônico. A Figura 5 é um diagrama de fluxo que ilustra um método de inserir informação.controlada em um dispositivo eletrônico, Na etapa 92, a informação controlada é estabelecida, com base em como o dispositivo eletrônico é para ser controlado. A informação controlada, conforme descrito acima, poderá incluir parâmetros de controle, uma aplicação de software, ou outra informação que afeta a operação de um dispositivo eletrônico. A informação controlada é então assinada e enviada para o dispositivo eletrônico na etapa 94. A assinatura digital na informação controlada é então verificada na etapa 96. Na etapa 98, é determinado se a assinatura digital é verificada com base em informação de autorização para o nível de autorização correspondente. 0 processamento de erro, que poderá envolver operações similares àquelas descritas acima em conjunto com a etapa 82 na Figura 4, é efetuada na etapa 100 quando a assinatura digital não é verificada. Se a informação de autorização incluindo uma chave de assinatura digital não foi inserida anteriormente no dispositivo eletrônico, ou a informação controlada não foi assinada utilizando uma chave de assinatura digital que corresponde à chave de assinatura digital inserida no dispositivo eletrônico para o nível de autorização associado à informação controlada, então a assinatura digital não é verificada na etapa 98.

Quando a assinatura digital é verificada na etapa 98. á então determinado na etapa 101 se a informação controlada recebida é atual, como ao determinar se o número de versão da informação controlada recebida é maior que o número de versão da informação controlada existente. A informação controlada recebida é inserida no dispositivo eletrônico na etapa 102 quando a assinatura digital foi verificada e a informação controlada recebida é atual. A etapa 102 implica armazenar a informação controlada em um depósito de dados apropriado no dispositivo eletrônico e possivelmente efetuar procedimentos de instalação quando a informação controlada é uma aplicação de software, por exemplo. Caso contrário, o processamento de erro é efetuado na etapa 100.

Se a informação controlada é uma aplicação de software, um nível de autorização que controla a instalação da aplicação de software controla a operação do dispositivo eletrônico ao restringir a inserção da informação controlada, e assim as aplicações de software particulares que são instaladas no dispositivo. No caso de parâmetros de controle, contudo, a própria informação controlada, uma vez inserida, controla o dispositivo eletrônico. A Figura 6 é um diagrama de fluxo que mostra um método de controlar um dispositivo eletrônico. 0 método na Figura . 6 é um exemplo ilustrativo do controle do dispositivo eletrônico com base nos parâmetros de controle. Como é descrito acima, nem todo nível de autorização tem parâmetros de controle associados.

Na etapa 110, uma solicitação de operação é recebida no dispositivo eletrônico. As solicitações de operação incluem, por exemplo, uma chamada de função de uma aplicação de software que executa no dispositivo eletrônico, uma tentativa por um usuário, uma aplicação de software, ou um sistema no dispositivo eletrônico para efetuar uma operação, e assemelhados. Quando a instalação de aplicação de software é controlada utilizando parâmetros de controle que especificam uma lista de aplicações de software aprovadas, em vez do controle de instalação com base na inserção descrito acima em conjunto com a Figura 5, as solicitações de operação também incluem o recebimento de uma aplicação de software para instalação. Essas solicitações originam-se no usuário, na aplicação de software, no sistema do dispositivo, ou possivelmente em um sistema ou dispositivo remoto. Se a informação de autorização relevante para a solicitação de operação não existe no dispositivo eletrônico, como determinado na etapa 112, então nenhum nível de autorização foi estabelecido para aquela operação, e a operação é efetuada na etapa 122. No exemplo de uma aplicação de software recebida, a etapa 122. envolve a instalação da aplicação de software no dispositivo eletrônico.

Em uma versão alternativa, a ação predefinida quando de uma determinação negativa na etapa 112 é reverter para o processamento de erro. O dispositivo eletrônico configurado desta maneira é inoperável, ou tem apenas funcionalidade limitada, até que um nível de autorização seja criado no dispositivo. Este tipo de configuração é preferido quando o proprietário fornece dispositivos eletrônicos aos empregados antes da informação de autorização ser inserida.

Quando existe a informação de autorização, é determinado na etapa 114 se os parâmetros de controle associados também existem. Operações de processamento de erro, como apresentar uma mensagem de erro ao usuário do dispositivo eletrônico e retornar uma indicação de erro para a fonte da qual a solicitação de operação foi recebida, são efetuados na etapa 116 se a informação de autorização existe, mas os parâmetros de controle não existem. Esta situação ocorre, por exemplo, quando a informação de autorização foi inserida no dispositivo eletrônico para criar um nível de autorização associado à operação, mas parâmetros de controle ainda não foram inseridos. Neste caso, a existência de informação de autorização no dispositivo eletrônico indica que algum nível de controle sobre a operação ê pretendido, muito embora os parâmetros de controle ainda não tenham sido inseridos. As operações de determinar se os parâmetros de controle existem na etapa 112 e depois reverter para o processamento de erro na etapa 116 quando os parâmetros de controle não existem impede a execução das operações controladas após um nível de autorização ter sido criado, mas antes dos parâmetros de controle terem sido inseridos.

Alternatívamente, a ação predefínida em resposta a uma determinação negativa na etapa 114 podería ser reverter para a etapa 122, em que o proprietário ou parte autorizada, à sua discrição, não deseja restringir as operações do dispositivo antes dos parâmetros de controle serem inseridos. Este tipo de ação predefinida é útil quando um nível de autorização foi criado para suportar parâmetros de controle futuros que ainda não foram estabelecidos ou distribuídos.

Alguns tipos de operações solicitadas também podem ser parcialmente completadas como uma ação predefinida. Uma aplicação de software recebida, por exemplo, podería ser armazenada em um dispositivo eletrônico de tal modo que ele não é executável, e então verificado contra uma lista de aplicações de software permitidas quando os parâmetros de controle são subseqüentemente inseridos no dispositivo eletrônico. Embora aplicações de software são armazenadas em um dispositivo eletrônico nesta versão, eles não são utilizáveis até os parâmetros de controle serem inseridos no dispositivo eletrônico, e'é confirmado que as aplicações de software são autorizadas para instalação. A quantidade de espaço em memória tornado disponível para tal armazenamento da aplicação de software é preferivelmente limitado, de modo que o espaço de memória existente não é esgotado ao armazenar aplicações de software não verificadas e possivelmente não autorizadas. Em outra versão as aplicações de software recebidas são instaladas, verificadas contra parâmetros de controle quando os parâmetros de controle são inseridos, e depois removidos se não forem permitidos. Essa verificação das aplicações de software existentes e possivelmente de outros componentes do dispositivo eletrônico ou parâmetros de configuração quando os parâmetros de controle são inseridos também é útil após a recuperação do controle do dispositivo. Funções não autorizadas, parâmetros de configuração, e aplicações de software que foram ativadas ou instaladas por uma parte não autorizada ou antes da informação de autorização ou a informação controlada inserida por essa parte foi substituída, por exemplo, são então desativados, refixados, ou removidos a menos que eles cumpram com a nova informação de autorização e a informação controlada.

Quando tanto a informação de autorização como os parâmetros de controle foram inseridos no dispositivo eletrônico, é determinado na etapa 118 se a operação é permitida. No caso de uma aplicação de software recebida e de parâmetros de controle que especificam as aplicações de software aprovadas, a etapa 118 envolve determinar se a aplicação de software é uma das aplicações de software aprovadas. A operação solicitada é efetuada na etapa 122 quando a operação é permitida. Caso contrário, o processamento de erro é efetuado na etapa 120.

Como foi descrito acima, parâmetros de controle poderão incluir não apenas as permissões e restrições para operações do dispositivo eletrônico e aplicações de software, mas também uma lista de aplicações ou módulos de software necessários que poderão ser verificados de tempos em tempos para assegurar que todas as aplicações de software necessárias estão presente no dispositivo eletrônico. Por exemplo, um dispositivo eletrônico poderá ser configurado para verificar por aplicações de software necessárias na etapa 118 quando certos tipos de solicitação de operação são recebidos, e efetuar a operação na etapa 122 apenas quando todas as aplicações de software necessárias são encontradas. Esta funcionalidade permite ao proprietário empresarial impedir operações para acessar serviços de mensagens empresariais ou dados se uma aplicação de software de comunicação segura ou utilitário não ê instalada em um dispositivo eletrônico, por exemplo. 0 método mostrado na Figura 6 e descrito acima aplica-se a níveis de autorização tendo parâmetros de controle associados. Para níveis de autorização tendo nenhum parâmetro de controle, como o nível de autorização que fornece controle com base 'na assinatura digital da instalação da aplicação de software, as operações são controladas substancialmente conforme mostrado na Figura 5. Isto é, operações são permitidas ou negadas com base na informação de autorização para um nível de autorização particular. Comandos ou solicitações para gravar dados ou para apagar dados de um depósito de informação de autorização, um depósito de informação controlada, ou um depósito de aplicação de software também são preferivelmente controlada desta maneira, embora permissões e restrições para esses comandos ou solicitações poderíam, em vez disso, ser especificado nos parâmetros de controle.

Será apreciado que a descrição acima relaciona-se a versões preferidas apenas por meio de exemplo. Muitas variações nos sistemas e métodos descritos acima serão óbvios para aqueles conhecedores do ramo, e essas variações óbvias estão dentro do escopo da aplicação conforme descrita, quer ou não expressamente descrita aqui.

Por exemplo, a inserção de informação de autorização e da informação controlada poderá ser assegurada por esquemas outros que não o de assinatura digital por chave pública, ou por outros meios do que assinaturas digitais. Em vez de verificar as assinaturas . digitais na informação de autorização, da informação controlada, e de comandos ou solicitações restritas, o dispositivo eletrônico pode emitir um desafio criptográfico utilizando uma chave criptográfica inserida anteriormente associada a um proprietário do dispositivo eletrônico. A chave criptográfica podería ser uma chave pública do proprietário ou uma chave secreta partilhada entre o proprietário e o dispositivo eletrônico. Operações como a inserção da informação de autorização ou a inserção ou apagamento de informação controlada seria então efetuada quando uma resposta ao desafio válida é retornada. Como aqueles versados na técnica apreciarão, uma resposta de desafio válida só pode ser gerada utilizando uma chave criptográfica correspondente. A integridade de dados e a autenticação da fonte poderíam, em vez disso, serem supostos, por exemplo, quando a informação de autenticação ou a informação controlada são enviadas para o dispositivo eletrônico por um canal seguro. Se o dispositivo descriptografa apropriadamente a informação recebida através do canal seguro, então é suposto que a informação é válida e foi enviada por uma parte autorizada. Neste último esquema, a fonte e o dispositivo partilham um par de chave pública/chave privada, ou uma chave simétrica comum.

Quando a instalação da' aplicação de software é controlada com base nos parâmetros de controle que incluem uma lista de aplicações de software autorizadas, por exemplo, a lista é pesquisada para determinar se uma aplicação de software recebida é uma das aplicações de software autorizadas. Essa busca é efetuada pelo carregador de aplicação 42 na Figura 3 e incorporada na etapa 118 da Figura 6. Uma lista de aplicações de software autorizadas inclui informação que identifica singularmente as aplicações de software autorizadas, como o somatório aleatório (hash) do código fonte ou do código executável da aplicação de software, por exemplo. Como o desenvolvedor da aplicação de software está livre para escolher o nome do arquivo para qualquer aplicação de software, os nomes dos arquivos não fornecem uma verificação de autorização confiável. No entanto, se a parte autorizada ao nível de autorização associado ao controle de instalação da aplicação de software gera um hash de cada aplicação de software autorizada e inclui . o hash nos parâmetros de controle inseridos no dispositivo eletrônico, então apenas versões particulares das aplicações de software autorizadas podem ser instaladas no dispositivo eletrônico. 0 hash de qualquer aplicação de software recebido é gerado, e a aplicação de software recebida ê instalada apenas se o hash gerado casar com o hash nos parâmetros de controle. Para suportar diferentes algoritmos de hash em diferentes dispositivos eletrônicos, mais de um hash de cada aplicação de software poderá ser incluído nos parâmetros de controle. Qualquer um de um número de diferentes algoritmos de hash ê então utilizado para gerar um hash de uma aplicação de software recebida. Outras transformações singulares além de hashes também poderíam ser utilizadas para gerar informação controlada e determinar se as aplicações de software recebidas são autorizadas para instalação.

Parâmetros de controle também podem especificar uma lista de aplicações de software necessárias, identificando singularmente as aplicações de software obrigatórias que precisam ser instaladas no dispositivo eletrônico. A lista de aplicações de software necessárias permite que a parte autorizada assegure que cada dispositivo eletrônico sob seu controle suporta certas funções centrais, como mensagens eletrônicas e comunicação segura, por exemplo. Aplicações de software em uma lista de aplicações de software necessárias poderão ser identificadas singularmente por um ou mais hashes, conforme descrito acima no contexto de aplicações autorizadas. No dispositivo móvel 30 (Figura 3), o processador 40, o carregador de aplicação 42, o módulo de inserção 44, ou um outro componente ou sistema do dispositivo é configurado para verificar periodicamente para assegurar que cada aplicação de software necessária está presente, e que um hash de cada aplicação de software necessária casa com o hash na lista de aplicações de software necessárias. Quando uma aplicação de software necessária não está presente no dispositivo móvel 30 ou seu hash não casa com o hash na lista de aplicações de software necessárias, que ocorre quando a aplicação de software foi modificada, o dispositivo móvel 30, ou pelo menos algumas de suas funções, é tornado inutilizãvel.

Além disso, um dispositivo eletrônico em que os sistemas e métodos descritos acima são implementados poderá incluir menos, mais, ou componentes adicionais do que os mostrados nas Figuras 2 e 3. A Figura 7 é um diagrama de blocos de um dispositivo móvel como um exemplo de tal dispositivo eletrônico. O dispositivo móvel 500 é preferivelmente um dispositivo de comunicação bilateral tendo pelo menos capacidade de comunicação de voz e de dados, e preferivelmente também tem a capacidade de comunicar com outros sistemas de computador na Internet. Dependendo da funcionalidade fornecida pelo dispositivo móvel, ele poderá ser referido como um dispositivo de mensagens de dados, um dispositivo de radiochamada bilateral, um telefone móvel com capacidade de mensagens '.de dados, um aparelho de Internet sem fio, ou um dispositivo de comunicação de dados (com ou sem capacidade de telefonia). Como foi mencionado acima, esses dispositivos são aqui referidos geralmente simplesmente como dispositivos móveis. 0 dispositivo móvel 500 inclui um transceptor 511, um microprocessador 538, uma tela 522, memória não volátil 524, memória de acesso aleatório (RAM) 526, dispositivos de entrada e saída (E/S) auxiliares 528, uma porta serial 530, um teclado 532, um alto-falante 534, um microfone 536, um subsistema de comunicação sem fio de curto alcance 540, e outros subsistemas do dispositivo 542. 0 transceptor 511 inclui antenas de transmissão e de recepção 516, 518, um receptor (Rx) 512, um transmissor (Tx) 514, um ou mais osciladores locais (LOs) 513, e um processador de sinal digital (DSP) 520. Dentro da memória não volátil 524, o dispositivo móvel 500 inclui uma pluralidade de módulos de software 524A-524N que podem ser executados pelo microprocessador 538 (e/ou o DSP 520), incluindo um módulo de comunicação de voz 524A. um módulo de comunicação de dados 524B, e uma pluralidade de outros módulos operacionais 524N para realizar uma pluralidade de outras funções. 0 dispositivo móvel 500 é preferivelmente um dispositivo de comunicação bilateral tendo capacidade de comunicação de voz e de dados. Assim, por exemplo, o dispositivo móvel 500 poderá comunicar-se por uma rede de voz, como qualquer uma das redes analógicas ou celular digitais, e também poderá comunicar-se por uma rede de dados. As redes de voz e de dados são representadas na Figura 7 pela torre de comunicação 519. Essas redes de voz e de dados poderão ser redes de comunicação separadas utilizando infra-estrutura separada, como estações base, controladores de rede, etc., ou elas poderão ser integradas em uma única rede sem fio. Referências à rede 519, portanto, devem ser interpretadas como abrangendo tanto uma única rede de voz e de dados como redes separadas. O subsistema de comunicação 511 é utilizado para comunicar-se com a rede 519. O DSP 520 é utilizado para enviar e receber sinais de comunicação de e para o transmissor 514 e o receptor 512, e também intercambiar informação controlada com o transmissor 514 e com o receptor 512. Se a comunicação de voz e de dados ocorre em uma única freqüência, ou um conjunto com espaçamento de frequências próximo, então ^urn único LO 513 poderá ser utilizado em conjunto com o transmissor 514 e o receptor 512. Alternativamente, se diferentes frequências são utilizadas para a comunicação de voz verso a comunicação de dados ou o dispositivo móvel 500 é ativado para comunicação em mais de uma rede 519, então uma pluralidade de LOs 513 pode ser utilizada para gerar freqüências correspondentes àquelas utilizadas na rede 519. Embora duas antenas 515, 518 são representadas na Figura 7, o dispositivo móvel 500 podería ser utilizado com uma única estrutura de antena. A informação, que inclui tanto a informação de voz como a de dados, é comunicada de e para o módulo de comunicação 511 através de um enlace entre o DSP 520 e o microprocessador 538. O projeto detalhado do subsistema de comunicação 511, como a banda de freqüência, seleção de componentes, nível de energia, etc., é dependente da rede de comunicação 519 em que o dispositivo móvel 500 pretende operar. Por exemplo, o dispositivo móvel 500 que pretende operar no mercado da América do Norte poderá incluir um subsistema de comunicação 511 projetado para operar com as redes de comunicação de dados móvel ' Mobitex ou DataTAC e também projetado para operar com qualquer uma de uma variedade de redes de comunicação de voz, como AMPS, TDMA, CDMA, PCS, etc., enquanto o dispositivo móvel 500 que pretende ser utilizado na Europa poderá ser configurado para operar com a rede de comunicação de dados GPRS e a rede de comunicação de voz GSM. Outros tipos de redes de dados e de voz, tanto separadas como integradas, também poderão ser utilizadas com o dispositivo móvel 500.

Os requisitos de acesso à rede de comunicação para o dispositivo móvel 500 também variam dependendo do tipo de rede 519. Por exemplo, nas redes de dados Mobitex e DataTAC, os dispositivos móveis são registrados na rede utilizando um número de identificação singular associado a cada dispositivo. No entanto, nas redes de dados GPRS, o acesso às redes é associado ao assinante ou usuário do dispositivo móvel 500. Um dispositivo GPRS tipicamente requer um módulo de identidade do assinante (SIM), que é necessário para operar o dispositivo móvel 500 em uma rede GPRS. Funções de comunicação local ou não de rede (se houver alguma) poderá ser operada sem o SIM, mas o dispositivo móvel 500 é incapaz de realizar funções que envolvem a comunicação pela rede 519, que não as operações legalmente obrigatórias, como as chamadas de emergência "911".

Após os procedimentos obrigatórios de registro ou de ativação na rede terem sido completados, o dispositivo móvel 500 é capaz de enviar e de receber sinais de comunicação, preferivelmente incluindo tanto sinais de voz como de dados, pela rede 519. Os sinais recebidos pela antena 516 da rede de comunicação 519 são roteados para o receptor 512, que efetua funções como amplificação de sinal, conversão descendente da freqüência, filtragem, seleção de canal, e conversão analógico-digital. A conversão analógico-digital do-sinal recebido permite que funções de comunicação mais complexas, como a demodulação digital e a decodificação, sejam efetuadas utilizando o DSP 520. De maneira similar, os sinais a serem transmitidos para a rede 519 são processados, incluindo, por exemplo, a modulação e a codificação, pelo DSP 520 e são então fornecidos ao transmissor 514 para a conversão digital-analógico, conversão ascendente da freqüência, filtragem, amplificação e transmissão para a rede de comunicação 519 através da antena 518. Embora um único transceptor 511 é mostrado tanto para a comunicação de voz como a de dados, em versões alternativas, o dispositivo móvel 500 poderá incluir múltiplos transceptores distintos, como um primeiro transceptor para transmitir e receber sinais de voz, e um segundo transceptor para transmitir e receber sinais de dados, ou ura primeiro transceptor configurado para operar dentro de uma primeira banda de frequência, e um segundo transceptor configurado para operar dentro de uma segunda banda de freqüência.

Alem de processar os sinais de comunicação, o DSP 520 também fornece controle do receptor e do transmissor. Por exemplo, os níveis de ganho aplicados aos sinais de comunicação no receptor 512 e no transmissor 514 poderão ser controlados adaptativamente através de algoritmos de controle de ganho automáticos implementados no DSP 520. Outros algoritmos de controle do transceptor também poderíam ser implementados no DSP 520 para fornecer controle mais sofisticado do transceptor 511. 0 microprocessador 538 preferivelmente gerencia e controla a operação geral do dispositivo móvel 500. Muitos tipos de microprocessadores ou microcontroladores poderíam ser aqui utilizados ou, alternativamente, um único DSP 520 poderia ser utilizado para realizar as funções do microprocessador 538. Funções de comunicação de baixo nível, incluindo pelo menos comunicação de dados e de voz, são efetuadas através do DSP 520 no transceptor 511. Aplicações de comunicação de alto nível, incluindo a aplicação de comunicação de voz 524A, poderão fornecer uma interface de usuário de alto nível operada para transmitir e receber chamadas de voz entre o dispositivo móvel 500 e uma pluralidade de outros dispositivos de voz através da rede 519. De modo similar, o módulo de comunicação de dados 524B poderá fornecer uma interface de usuário de alto nível operada para enviar e receber dados, como mensagens de correspondência eletrônica, arquivos, informação de organizador, mensagens de texto curto, etc., entre o dispositivo móvel 500 e uma pluralidade de outros dispositivos de dados através da rede 519. 0 microprocessador 538 também interage com outros subsistemas de dispositivo, como a tela 522, RAM 525, dispositivos de E/S auxiliares 528, porta serial 530, teclado 532, alto-falante 534, microfone 536, subsistema de comunicação de curto alcance 540, e qualquer outro subsistema de dispositivo geralmente designado como 542. Por exemplo, os módulos 524A-N são executados pelo microprocessador 538 e poderão fornecer uma interface de alto nível entre o usuário do dispositivo móvel e o dispositivo móvel. Esta interface tipicamente inclui um componente gráfico fornecido através da tela 522 e um componente de entrada/saída fornecido através dos dispositivos de E/S 528 auxiliares, teclado 532, alto-falante 534, ou microfone 536. Essas interfaces são geralmente designadas como UI 46 na Figura 3.

Alguns dos subsistemas mostrados na Figura 7 efetuam funções relacionadas com a comunicação, enquanto outros subsistemas poderão fornecer funções "residentes" ou no dispositivo. Notadamente, alguns subsistemas como o teclado 532, e a tela 522 poderão ser utilizados tanto para funções relacionadas com a comunicação, como entrar com mensagem de texto para transmissão por uma rede de comunicação de dados, como funções residentes no dispositivo como uma calculadora ou lista de tarefas ou outras funções do tipo PDA. O software do sistema operacional utilizado pelo microprocessador 538 ê preferivelmente armazenado em um depósito persistente como a memória não volátil 524. Além do sistema operacional e os módulos de comunicação 524A-N, a memória não volátil 524 poderá também incluir armazéns de dados para a informação de autorização e a informação controlada. 0 sistema operacional, aplicações específicas de dispositivos ou módulos, ou partes destes, poderão ser carregados temporariamente em um depósito volátil, como a RAM 526 para operação mais rápida. Ademais, os sinais de comunicação recebidos também poderão ser temporariamente armazenados na RAM 526, antes de gravá-los permanentemente em um sistema de arquivos localizado na memória não volátil 524. A memória não volátil 524 poderá, por exemplo, ser implementada com memória flash, RAM não volátil, ou RAM assegurada por bateria.

Um módulo de aplicação exemplar 524N que poderá ser carregado no dispositivo móvel 500 é uma aplicação PIM que fornece funcionalidade de PDA, como eventos de calendário, compromissos, e itens de tarefa. Este módulo 524N também poderá interagir com o módulo de comunicação de voz 524A para gerenciar chamadas telefônicas, correspondências de voz, etc., e também poderá interagir com o módulo de comunicação de dados 524B para gerenciar comunicação de correspondência eletrônica e outras transmissões de dados. Alternativamente, toda a funcionalidade do módulo de comunicação de voz 524A e do módulo de comunicação de dados 524B poderão ser integrados dentro do módulo PIM.

A memória não volátil 524 preferivelmente fornece um sistema de arquivo para facilitar o armazenamento de itens de dados PIM no dispositivo. A aplicação PIM preferivelmente inclui a capacidade de enviar e de receber itens de dados, quer por ela própria ou em conjunto com os módulos de comunicação de voz e de dados, 524A, 524B, através da rede sem fio 519. Os itens de dados PIM são preferivelmente perfeitamente integrados, sincronizados e atualizados, através da rede sem fio 519, com um conjunto correspondente de itens de dados armazenados ou associados a um sistema de computador principal, assim criando um sistema espelhado para itens de dados associados a um usuário em particular, 0 dispositivo móvel 500 é sincronizado manualmente com o sistema principal ao colocar o dispositivo móvel 500 em um berço de interface, que acopla a porta serial 530 do dispositivo móvel 500 a uma porta serial do sistema principal. A porta serial 530 também poderá ser utilizada para inserir informação de autorização e informação controlada no dispositivo móvel 500 e baixar outros módulos de aplicação 524N para instalação no dispositivo móvel 500. Esta via de baixa fiada poderá ainda ser utilizada para carregar uma chave de criptografia no dispositivo móvel 500 para utilização em comunicação segura, que é um método mais seguro do que intercambiar informação de criptografia através da rede sem fio 519. A informação de autorização, a informação controlada, e os módulos adicionais de aplicação 524N poderão ser carregados no dispositivo móvel 500 através da rede 519, através de um subsistema de E/S 528 auxiliar, através do subsistema de comunicação de curto alcance 540, ou através de qualquer outro subsistema 542 adequado, e instalado pelo usuário na memória não volátil 524 ou na RAM 526. Essa flexibilidade na instalação da aplicação aumenta a funcionalidade do dispositivo móvel 500 e fornece funções aprimoradas no dispositivo, funções relacionadas com a comunicação, ou os dois. Por exemplo, aplicações de comunicação segura ativam funções de comércio eletrônico e outras transações financeiras dessas a serem efetuadas utilizando o dispositivo móvel 500.

Quando o dispositivo móvel 500 estiver operando no modo de comunicação de dados, um sinal recebido, como a mensagem de texto ou uma baixa de página da Web, é processada pelo transceptor 511 e fornecida para o microprocessador 538, que preferivelmente ainda processa o sinal recebido para saída na tela 522 ou, alternativamente, para um dispositivo de E/S auxiliar 528. A informação de autorização, a informação controlada e comandos ou solicitações relacionados à informação de autorização ou â informação controlada que são. recebidos pelo transceptor 511 são processados conforme foi descrito acima. O usuário do dispositivo móvel 500 também poderá compor itens de dados, como mensagens de correspondência eletrônica, utilizando o teclado 532, que é preferivelmente um teclado alfanumérico completo disposto no estilo QWERTY, embora outros estilos de teclados alfanuméricos completos como o estilo DVORAK conhecido também poderá ser utilizado. A entrada do usuário para o dispositivo móvel 500 ê ainda aprimorada com a pluralidade de dispositivos de E/S auxiliares 528, que poderão incluir um dispositivo de entrada por esfera de polegar, uma almofada de toque, uma variedade de comutadores, um comutador de entrada "rocker", etc. Os itens de dados compostos entrados pelo usuário são então transmitidos pela rede de comunicação 519 através do transceptor 511.

Quando o dispositivo móvel 500 estiver operando no modo de comunicação por voz, a operação geral do dispositivo móvel 500 é substancialmente similar ao modo de dados, exceto que os sinais recebidos são emitidos para o alto-falante 534 e os sinais de voz para transmissão são gerados por um microfone 536. Além disso, as técnicas de mensagens seguras descritas acima não precisam necessariamente ser aplicadas à comunicação de voz. Dispositivos de E/S de voz ou de áudio alternativos, como o subsistema de gravação de mensagens de voz, também poderão ser implementados no dispositivo móvel 500. Embora a saída do sinal de voz ou de áudio seja realizada através do alto-falante 534, a tela 522 também poderá ser utilizada para fornecer uma indicação da identidade da parte que chama, a duração da chamada de voz, ou outra informação relacionada com a chamada de voz. Por exemplo, o microprocessador 538, em conjunto com o módulo de comunicação de voz 524A e o software do sistema operacional poderão detectar a informação de identificação de quem chama de uma chamada de voz de entrada e apresentá-la na tela 522.

Um subsistema de comunicação de curto alcance 540 também é incluído no dispositivo móvel 500. Por exemplo, o subsistema 540 poderá incluir um dispositivo infravermelho e circuitos e componentes associados, ou um módulo de comunicação sem fio de curto alcance Bluetooth ou 802.11 para fornecer a comunicação com sistemas e dispositivos ativados de maneira similar. Assim, a inserção da informação de autorização e a inserção da informação controlada conforme descritas acima poderá ser ativada no dispositivo móvel 500 através da porta serial 530 ou outro subsistema de comunicação de curto alcance 540. A Figura 7 representa um exemplo específico de um dispositivo eletrônico no qual os sistemas e os métodos de controle de dispositivo descritos acima poderão ser implementados. A implementação desses sistemas e métodos, em outros dispositivos eletrônicos tendo mais, menos ou diferentes componentes do que aqueles mostrados na Figura 7, seria óbvia para alguém ,versado na técnica ao qual a aplicação pertence e ê, portanto, considerada como estando dentro do escopo da presente aplicação. Por exemplo, embora a placa SIM não tenha sido explicitamente mostrada na Figura 7, deve ser apreciado que a implementação de sistemas e métodos de controle em dispositivos eletrônicos com placas SIM é previsto. Como as placas SIM incorporam atualmente um componente de memória, a informação de autorização, a informação controlada, os as duas, poderão ser inseridas na placa SIM, quer antes da placa SIM ser fornecida para uso em um dispositivo eletrônico. Daí em diante, qualquer dispositivo eletrônico em que a placa SIM é instalada é controlado conforme é descrito acima.

Outrossim, os dados do sistema e dos métodos poderão ser armazenados como uma ou mais estruturas de dados na memória do computador e/ou em armazenamento dependendo da situação em tela. Os sistemas e métodos também poderão ter seus dados e software transmitidos em sinais de dados (por exemplo, sinais de dados "pacotizados") , ou através de sinais de portadora (por exemplo, sinais de portadora de Êreqüência de rádio) ou outras vias de comunicação (por exemplo, fibra óptica, infravermelho, etc.).

APLICABILIDADE INDUSTRIAL

Esta invenção fornece aparelho e métodos para controlar as operações de dispositivos eletrônicos por múltiplas entidades, que poderão ser diferentes do usuário do dispositivo.

REIVINDICAÇÃO

Claims (13)

1. Dispositivo móvel sem fio (22, 30, 210, 500), compreendendo: um microprocessador (538) e uma memória (32, 524, 526) , a memória compreendendo um conjunto de configurações de controle utilizado para controlar uma pluralidade de operações do dispositivo; caracterizado pelo fato de o microprocessador ser configurado para: receber (74) uma primeira chave de assinatura digital para autenticar assinaturas digitais em uma informação controlada compreendendo aplicações de software a serem instaladas no dispositivo, a primeira chave de assinatura digital sendo associada com um nivel de autorização selecionado de uma pluralidade de niveis de autorização; determinar (76) se a dita chave de assinatura digital para autenticar assinaturas digitais das aplicações de software a serem instaladas no dispositivo existe no dispositivo e, se não, armazenar (84) a primeira chave de assinatura digital recebida na memória; receber (94) uma aplicação de software a ser instalada no dispositivo; autenticar (96) a assinatura digital na aplicação de software recebida utilizando a primeira chave de assinatura digital; e instalar (102) a aplicação de software no dispositivo se a assinatura digital recebida na aplicação de software recebida for autenticada com sucesso (98); o microprocessador adicionalmente sendo configurado para: receber (74) uma nova chave de assinatura digital para autenticar assinaturas digitais em uma informação controlada compreendendo aplicações de software a serem instaladas no dispositivo, a nova chave de assinatura digital sendo associada com outro nivel de autorização selecionado de uma pluralidade de niveis de autorização; autenticar (78) a assinatura digital na nova chave de assinatura digital recebida utilizando a primeira chave de assinatura digital; e armazenar (84) a nova chave de assinatura digital na memória para substituir a primeira chave de assinatura digital se a assinatura digital recebida na nova chave de assinatura digital for autenticada com sucesso (80).

2. Dispositivo, de acordo com a reivindicação 1, caracterizado pelo fato de compreender adicionalmente uma segunda chave de assinatura digital armazenada na memória, em que a segunda chave de assinatura digital é diferente da primeira chave de assinatura digital, e que a segunda chave de assinatura digital é para autenticar verificar a autenticidade das configurações de controle usadas para controlar a pluralidade de operações do dispositivo.

3. Dispositivo, de acordo com qualquer uma das reivindicações 1 ou 2, caracterizado pelo fato de que o microprocessador é configurado para receber (74) de modo sem fio a nova chave de assinatura digital, por meio de uma interface (50, 216) no dispositivo.

4. Dispositivo, de acordo com qualquer uma das reivindicações 1 ou 3, caracterizado pelo fato de o microprocessador ser adicionalmente configurado para: receber uma aplicação de recuperação alvo que busca pela primeira chave de assinatura digital, e a nova chave de assinatura digital; e executar a aplicação de recuperação alvo que busca pela primeira chave de assinatura digital, em que a primeira chave de assinatura digital é substituída pela nova chave de assinatura digital se a primeira chave de assinatura digital for encontrada.

5. Dispositivo, de acordo com a reivindicação 1, caracterizado pelo fato de que o processador é configurado para receber de modo sem fio a aplicação de recuperação alvo que busca pela primeira chave de assinatura digital, por meio de uma interface (50, 216) no dispositivo.

6. Dispositivo, de acordo com qualquer uma das reivindicações 4 ou 5, caracterizado pelo fato de que uma chave do fabricante do dispositivo é armazenada o dispositivo, e em que o microprocessador é adicionalmente configurado para: autenticar a assinatura digital na aplicação de recuperação alvo recebida que busca pela primeira chave de assinatura digital utilizando a chave do fabricante do dispositivo; e executar a aplicação de recuperação alvo que busca pela primeira chave de assinatura digital somente se a assinatura digital na aplicação de recuperação alvo recebida que busca pela primeira chave de assinatura digital for autenticada com sucesso.

7. Dispositivo, de acordo com qualquer uma das reivindicações 1 a 6, caracterizado pelo fato de que o processador é configurado para receber (74) de modo sem fio ao menos uma da primeira chave de assinatura digital e a aplicação de software, por meio de uma interface (50, 216) no dispositivo.

8. Dispositivo, de acordo com qualquer uma das reivindicações 1 a 7, caracterizado pelo fato de que o processador é configurado para: se a assinatura digital é autenticada, determinar (101) se a aplicação de software recebida é atual; em que a aplicação de software recebida é instalada (102) se a aplicação de software recebida é determinada (101) como atual.

9. Dispositivo, de acordo com qualquer uma das reivindicações 1 a 8, caracterizado pelo fato a instalação das aplicações de software no dispositivo são prevenidas até que a primeira chave de assinatura digital seja armazenada na memória.

10. Método para controlar um dispositivo móvel sem fio (22, 30, 210, 500) que compreende um microprocessador (538) e uma memória (32, 524, 526), caracterizado pelo fato de o método compreender as etapas de: receber (74) uma primeira chave de assinatura digital para autenticar assinaturas digitais em uma informação controlada compreendendo aplicações de software a serem instaladas no dispositivo, a primeira chave de assinatura digital sendo associada com um nivel de autorização selecionado de uma pluralidade de níveis de autorização; verificar (76) se a dita chave de assinatura digital para autenticar assinaturas digitais das aplicações de software a serem instaladas no dispositivo existe no dispositivo e, se não, armazenar (84) a primeira chave de assinatura digital recebida na memória; receber (94) uma aplicação de software a ser instalada no dispositivo; autenticar (96) a assinatura digital na aplicação de software recebida utilizando a primeira chave de assinatura digital; e instalar (102) a aplicação de software no dispositivo se a assinatura digital recebida na aplicação de software recebida for autenticada com sucesso (98); o método adicionalmente compreendendo: receber (74) uma nova chave de assinatura digital para autenticar assinaturas digitais em uma informação controlada compreendendo aplicações de software a serem instaladas no dispositivo, a nova chave de assinatura digital sendo associada com outro nivel de autorização selecionado de uma pluralidade de niveis de autorização; autenticar (78) a assinatura digital na nova chave de assinatura digital recebida utilizando a primeira chave de assinatura digital; e armazenar (84) a nova chave de assinatura digital na memória para substituir a primeira chave de assinatura digital se a assinatura digital recebida na nova chave de assinatura digital for autenticada com sucesso (80).

11. Método, de acordo com a reivindicação 10, caracterizado pelo fato de que uma segunda chave de assinatura digital é armazenada na memória, em que a segunda chave de assinatura digital é diferente da primeira chave de assinatura digital, e que a segunda chave de assinatura digital é para autenticar assinaturas digitais em informações diferentes que as aplicações de software sendo inseridas no dispositivo.

12. Método, de acordo com qualquer uma das reivindicações 10 ou 11, caracterizado pelo fato de compreender adicionalmente: receber uma aplicação de recuperação alvo que busca pela primeira chave de assinatura digital, e a nova chave de assinatura digital; e executar a aplicação de recuperação alvo que busca pela primeira chave de assinatura digital, em que a primeira chave de assinatura digital é substituída pela nova chave de assinatura digital se a primeira chave de assinatura digital for encontrada.

13. Um meio de armazenamento de instruções executáveis por um microprocessador capaz de ser lido por computador caracterizado pelo fato de que quando executado configura o processador de modo a executar o método de acordo com qualquer uma das reivindicações de 10 a 12.