ES2420758T3

ES2420758T3 - Sistema y método para un control seguro de los recursos de dispositivos de comunicación móvil inalámbrica

Info

Publication number: ES2420758T3
Application number: ES03787555T
Authority: ES
Inventors: Russell N. Owen; Herbert A. Little; David P. Yach; Michael Shenfield
Original assignee: Research in Motion Ltd
Current assignee: BlackBerry Ltd
Priority date: 2002-08-19
Filing date: 2003-08-19
Publication date: 2013-08-26
Anticipated expiration: 2023-08-19
Also published as: US20140171023A1; EP1535444A1; CA2838205A1; CA2496165A1; US20190273742A1; AU2003257336A1; EP1535444B1; CN1689302B; US8893266B2; CA2838205C; HK1079361A1; US9391992B2; US20180316678A1; US10999282B2; US8661531B2; US20160323285A1; CA2838180A1; CA2496165C; CN1689302A; CA2838180C

Abstract

Un sistema para controlar de forma segura un dispositivo de comunicación móvil inalámbrica (30, 52), quecomprende: una pluralidad de dominios (54, 58, 62, 64, 68) residentes o radicados en un dispositivo de comunicaciónmóvil inalámbrica (30, 52), de tal manera que cada dominio (54, 58, 62, 64, 68) incluye al menos un recurso(48, 46, 50, 40, 32) del dispositivo de comunicación móvil inalámbrica (30, 52); y un controlador (40) de dominio, configurado para recibir una petición para llevar a cabo una operación queafecta al menos a uno de los recursos (48, 46, 50, 40, 32), a fin de determinar si la petición se ha originadocon una entidad que tiene una relación de confianza con el dominio (54, 58, 62, 64, 68) que incluye el almenos un recurso afectado (48, 46, 50, 40, 32), y para permitir que se complete la operación en el caso deque la petición se haya originado con una entidad que tiene una relación de confianza con el dominio (54, 58,62, 64, 68) que incluye el al menos un recurso afectado (48, 46, 50, 40, 32).

Description

Sistema y método para un control seguro de los recursos de dispositivos de comunicación móvil inalámbrica

CAMPO TÉCNICO Esta invención se refiere generalmente a dispositivos de comunicación móvil inalámbrica y, en particular, al aporte de seguridad a tales dispositivos.

TÉCNICA ANTERIOR Cuando se introdujeron por primera vez los computadores personales (PCs –“personal computers”), uno de sus mayores atractivos era que la máquina era controlada por su usuario. Esto estaba en estrecha relación con el modelo de computadora central o principal, en el que múltiples usuarios compartían una única máquina. Los recursos de una computadora central o principal eran cuidadosamente compartidos entre los usuarios por el sistema operativo. En un PC que tiene un único usuario en todo momento, este tipo de división o reparto de recursos no era necesario. A medida que el PC comenzó a desplazar la computadora principal de empresa, sin embargo, comenzaron a aparecer de nuevo los problemas de control. Los departamentos de Tecnología de Información (IT – “Information Technology”) de las empresas percibieron cada vez más el PC de sobremesa como parte de la infraestructura corporativa. Esto provocó tensión entre una de las metas iniciales de la revolución del PC, que el usuario controle su propia computadora, y el nuevo papel que jugaban en la empresa. Este conflicto continúa hoy en día y se plantea de forma habitual en las compañías de todo el mundo.

Una tensión similar existe con las computadoras de mano y otras computadoras portátiles, tales como los dispositivos de comunicación móvil inalámbrica. Sin embargo, la situación con las computadoras de mano es más compleja por diversas razones. Puesto que las computadoras de mano están llegando a ser relativamente baratas, muchos usuarios adquieren tales dispositivos para uso personal. No puede decirse que dichos dispositivos, adquiridos por el usuario, sean propiedad de una empresa de la que el usuario es un empleado, pero con frecuencia llegan a contener datos de la empresa tales como contactos, entradas de calendario y correo electrónico. Incluso cuando una computadora de mano es adquirida por un empleador de la empresa y se proporciona a un empleado, es probable que la computadora de mano se utilice fuera de las instalaciones de la empresa. Esto puede requerir un acceso externo a la infraestructura de la empresa. El hecho de permitir a un dispositivo no asegurado acceder a la red de la empresa ofrece potenciales brechas en la seguridad. Por otra parte, cuando una computadora de mano es habilitada para las comunicaciones inalámbricas, un portador se convierte en otra parte interesada con respecto a la computadora de mano. El portador posee y hace funcionar una red de comunicación inalámbrica en la que la computadora de mano se ha configurado para operar, y, por tanto, puede desear ejercer un control sobre el tráfico de la red. Así mismo, el portador puede desear ampliar sus ingresos mediante el ofrecimiento de servicios adicionales a las computadoras de mano. Un portador puede, por tanto, estar en malos términos con un departamento de IT de la empresa por lo que respecta al control de la computadora de mano, en particular en el caso de que los controles del departamento de IT puedan incrementar, potencialmente, el tráfico de red o afectar a la capacidad del portador para ofrecer estos servicios y, de este modo, reducir sus ingresos.

En consecuencia, persiste la necesidad de un sistema y un método para un control seguro de un dispositivo de comunicación inalámbrica, que permita a cada partícipe individual, incluyendo el usuario, el propietario de la empresa o el operador del sistema corporativo, el portador y, posiblemente, otros partícipes, controlar sus bienes o activos en el dispositivo sin que ello afecte a los otros partícipes.

El documento US 2002/0031230 A1 divulga un método y un aparato de seguridad para la gestión de clave criptográfica centrada en web, denominado PXa3 (Autentificación, Autorización y Administración Extensible Precisa –“Precise eXtensible Authentication, Authorization and Administration”). El modelo PXa3 se sirve de un perfil de seguridad único o exclusivo para un usuario/a de red y del (de los) dominio(s) de miembro al (a los) que pertenece. Un servidor de PXa3 mantiene o conserva todas las claves y certificados privados, el perfil de seguridad del usuario, incluyendo los credenciales y los datos de adscripción de autentificación opcional. El servidor mantiene un perfil de seguridad para cada usuario, y los administradores simplemente transmiten actualizaciones de credenciales y otras actualizaciones de mantenimiento periódicas para el usuario a través de sus cuentas de miembro basadas en el servidor de PXa3. Los administradores de dominio y de grupo de trabajo también llevan a cabo tareas administrativas a través de una conexión al sitio web de PXa3, en lugar de hacerlo en una estación de trabajo local. Un perfil de seguridad del miembro, que contiene permisos de acceso de algoritmo, credenciales, valores de dominio y de mantenimiento, una clave de encriptación o cifrado de encabezamiento de archivo, modelos o plantillas biométricas opcionales, y políticas o criterios específicos del dominio, está contenido en uno de estos dos lugares: bien en una ficha criptográfica extraíble (por ejemplo, una tarjeta inteligente), o bien en un perfil basado en el servidor central, que es mantenido para cada miembro y está disponible como “soft token” o “marca de software” [dispositivo de seguridad de autentificación por dos factores] susceptible de ser descargada a través de cualquier conexión a la Internet.

EXPOSICIÓN DE LA INVENCIÓN De acuerdo con un aspecto de la invención, un sistema para el control seguro de un dispositivo de comunicación

móvil inalámbrica comprende una pluralidad de dominios que residen en el dispositivo de comunicación móvil inalámbrica, de tal modo que cada dominio incluye un bien o activo de dispositivo móvil, perteneciente al dispositivo de comunicación móvil inalámbrica, y un controlador de dominio configurado para recibir una petición para llevar a cabo una operación que afecta al menos a uno de los activos, a fin de determinar si la petición se ha originado con una entidad que tiene una relación de confianza con el dominio que incluye el al menos un activo afectado, y para permitir que se complete la operación en el caso de que la petición se haya originado con una entidad que tiene una relación de confianza con el dominio que incluye el al menos un activo afectado.

De acuerdo con otro aspecto de la invención, un método para un control seguro de un dispositivo de comunicación móvil inalámbrica comprende segregar o separar bienes o activos de dispositivo móvil, pertenecientes al dispositivo de comunicación móvil inalámbrica, en una pluralidad de dominios, de manera que cada dominio incluye al menos un recurso del dispositivo de comunicación móvil inalámbrica, recibir una petición para llevar a cabo una operación que afecta a al menos uno de los recursos, determinar si la operación es permitida por el dominio que incluye el recurso afectado, y permitir que se complete la operación en el caso de que la operación sea permitida por el dominio que incluye el recurso afectado.

Características adicionales de los sistemas y métodos de control seguro se describirán o resultarán evidentes en el curso de la siguiente descripción detallada.

BREVE DESCRIPCIÓN DE LOS DIBUJOS

La Figura 1 es un diagrama de bloques que muestra un sistema de comunicación en el que pueden utilizados

dispositivos de comunicación móvil inalámbrica.

La Figura 2 es un diagrama de bloques de un dispositivo de comunicación móvil inalámbrica proporcionado a

modo de ejemplo, en el cual pueden ponerse en práctica un sistema y un método para un control seguro.

La Figura 3 es un diagrama de bloques que ilustra múltiples dominios de un dispositivo de comunicación móvil

inalámbrica.

La Figura 4 es un diagrama de flujo que muestra un método para un control seguro de un dispositivo de

comunicación móvil inalámbrica.

La Figura 5 es un diagrama de bloques de un dispositivo de comunicación móvil inalámbrico proporcionado a

modo de ejemplo.

MEJOR MODO DE LLEVAR A CABO LA INVENCIÓN La Figura 1 es un diagrama de bloques que muestra un sistema de comunicación en el cual pueden utilizarse dispositivos de comunicación móvil inalámbrica. El sistema de comunicación 10 incluye una Red de Área Extensa (WAN –“Wide Area Network”) 12, acoplada o conectada a un sistema informático 14, una pasarela 16 de red inalámbrica y una Red de Área Local (LAN –“Local Area Network”) 18 de empresa. La pasarela 16 de red inalámbrica está también conectada a una red de comunicación inalámbrica 20, para operar en el interior de la cual se ha configurado un dispositivo de comunicación móvil inalámbrica (“dispositivo móvil”) 22.

El sistema informático 14 puede ser un PC de sobremesa o portátil que se ha configurado para comunicarse con la WAN 12, por ejemplo, la Internet. Los PCs tales como el sistema informático 14 normalmente acceden a la Internet a través de un Proveedor de Servicios de Internet (ISP –“Internet Service Provider”), un Proveedor de Servicios de Aplicación (ASP –“Application Service Provider”) o un sistema similar.

La LAN 18 de empresa constituye un ejemplo de un entorno de trabajo típico en el que múltiples computadoras 28 están conectadas en una red. Esta está normalmente situada detrás de un cortafuego de seguridad 24. Dentro de la LAN 30 de empresa, un servidor 26 de mensajes, que opera en una computadora situada detrás del cortafuego 24, actúa como la interfaz primaria para que la empresa intercambie mensajes, tanto dentro de la LAN 18 como con otros clientes de mensajería externos, a través de la WAN 12. Servidores de mensajes conocidos incluyen, por ejemplo, el MicrosoftTM Exchange Server y el Lotus DominoTM. Estos servidores se utilizan a menudo en combinación con dispositivos de encaminamiento de correo por la Internet para encaminar y entregar el correo. El servidor 26 de mensajes puede también proporcionar capacidades funcionales adicionales, tales como el almacenamiento dinámico en base de datos de datos como calendarios, listas de quehaceres, listas de tareas, correo electrónico y documentación. Si bien tan solo se ha mostrado un servidor 26 de mensajes en la LAN 18, los expertos de la técnica apreciarán que una LAN puede incluir otros tipos de servidores para el soporte de recursos, que son compartidos entre los sistemas informáticos 28 conectados a la red. El servidor 26 de mensajes y la mensajería, o intercambio de mensajes, electrónica se describen únicamente para propósitos ilustrativos. Los sistemas y métodos de control del propietario o titular son aplicables a un amplio abanico de dispositivos electrónicos y no están, en ningún modo, limitados a dispositivos electrónicos con capacidades de mensajería.

El servidor 26 de mensajes proporciona capacidades de mensajería a los sistemas informáticos 26 conectados a la red y acoplados a la LAN 18. Una LAN convencional 18 incluye múltiples sistemas informáticos 28, cada uno de los cuales implementa un cliente de mensajería, tal como el Microsoft OutlookTM, el Lotus NotesTM, etc. Dentro de la LAN 18, los mensajes son recibidos por el servidor 26 de mensajes, se distribuyen a los buzones apropiados para las cuentas de usuario que figuran como dirección en el mensaje recibido, y se accede entonces a ellos por parte de un

usuario a través de un cliente de mensajería que opera en un sistema informático 28.

La pasarela inalámbrica 16 proporciona una interfaz con una red inalámbrica 20, a través de la cual pueden intercambiarse mensajes con un dispositivo móvil 22. El dispositivo móvil 22 puede consistir, por ejemplo, en un dispositivo de comunicación de datos, un dispositivo de comunicación de voz, un dispositivo de comunicación de modo dual, tal como muchos teléfonos celulares de módem, o moduladores-desmoduladores, que tienen capacidades funcionales de comunicación tanto de datos como de voz, un dispositivo de modo múltiple con capacidad para voz, datos y otros tipos de comunicaciones, un asistente personal digital (PDA –“personal digital assistant”) habilitado para comunicaciones inalámbricas, o un sistema informático portátil o de sobremesa con un módem inalámbrico. Más adelante se describe en detalle un dispositivo móvil proporcionado a modo de ejemplo.

Funciones tales como el direccionamiento del dispositivo móvil 22, la codificación o la transformación de otro modo de los mensajes para su transmisión inalámbrica, así como cualesquiera otras funciones de interfaz, pueden ser llevadas a cabo por la pasarela inalámbrica 16. La pasarela inalámbrica 16 puede haberse configurado para operar con más de una red inalámbrica 20, en cuyo caso la pasarela inalámbrica 16 puede también determinar una red más probable para localizar un dispositivo móvil 22 dado y, posiblemente, efectuar un seguimiento de los dispositivos móviles conforme los usuarios se desplazan de modo itinerante entre países o redes.

Cualquier sistema informático con acceso a la WAN 12 puede intercambiar mensajes con el dispositivo móvil 22 a través de la pasarela 16 de red inalámbrica. Alternativamente, pueden también implementarse pasarelas de red inalámbrica privada tales como los dispositivos de encaminamiento de Red Privada Virtual (VPN –“Virtual Private Network”) inalámbrica, a fin de proporcionar una interfaz privada con una red inalámbrica. Por ejemplo, una VPN inalámbrica implementada en la LAN 18 puede proporcionar una interfaz privada desde la LAN 18 a uno o más dispositivos móviles tales como el 22, a través de la red inalámbrica 20. Semejante interfaz privada con un dispositivo móvil 22, a través de la pasarela 16 de red inalámbrica y/o de la red inalámbrica 20, puede también ser extendida de manera eficaz a entidades situadas fuera de la LAN 18, al proporcionar un sistema de remisión o redireccionamiento de mensajes que funciona con el servidor 26 de mensajes. Semejante sistema de redireccionamiento de mensajes se ha divulgado en la Patente de los EE.UU. Nº 6.219.694. En este tipo de sistema, los mensajes entrantes recibidos por el servidor 26 de mensajes y dirigidos a un usuario de un dispositivo móvil 22, son enviados a través de la interfaz de red inalámbrica, ya sea esta un dispositivo de encaminamiento de VPN inalámbrico, una pasarela inalámbrica 16 u otra interfaz, por ejemplo, a la red inalámbrica 20 y al dispositivo móvil 22 del usuario. Otra interfaz alternativa con un buzón de usuario situado en un servidor 26 de mensajes puede consistir en una pasarela de Protocolo de Aplicación Inalámbrica (WAP –“Wireless Application Protocol”). A través de una pasarela de WAP, es posible enviar al dispositivo móvil 22 una lista de mensajes contenidos en un buzón de usuario situado en el servidor 26 de mensajes, y, posiblemente, cada mensaje o una porción de cada mensaje.

Una red inalámbrica 20 entrega, normalmente, mensajes hacia y desde dispositivos de comunicación tales como el dispositivo móvil 22, a través de transmisiones de RF [radiofrecuencia] entre estaciones de base y dispositivos. La red inalámbrica 20 puede consistir, por ejemplo, en una red inalámbrica centrada en datos, una red inalámbrica centrada en voz o una red de modo dual que puede dar soporte a comunicaciones tanto de voz como de datos a través de la misma infraestructura. Redes recientemente desarrolladas incluyen redes de Acceso Múltiple por División en Código (CDMA –“Code Division Multiple Access”), redes del Groupe Special Mobile o del Sistema Global para Comunicaciones Móviles (GSM –“Global System for Mobile Communications”) y del Servicio General de Radio en Paquetes (GPRS –“General Packet Radio Service”), y redes de la tercera generación (3G) como las de velocidades de Datos Mejoradas para la Evolución Global (EDGE –“Enhanced Data rates for Global Evolution”) y los Sistemas de Telecomunicaciones Móviles Universales (UMTS –“Universal Mobile Telecommunications Systems”), que están actualmente en desarrollo. El GPRS es un añadido suplementario de datos sobre la red inalámbrica de GSM ya existente, el cual se utiliza y está en funcionamiento en prácticamente todos los países de Europa. Algunos ejemplos antiguos de redes centradas en datos incluyen la Red de Radio MobitexTM (“Mobitex”) y la Red de Radio DataTACTM, si bien no están limitadas por estas. Ejemplos de redes de datos centradas en voz conocidas incluyen redes de Sistemas de Comunicación Personal (PCS –“Personal Communication Systems”), como los sistemas GSM y de Acceso Múltiple por División en el Tiempo (TDMA –“Time Division Multiple Access”) que han venido estando disponibles en Norteamérica y en todo en mundo desde hace algunos años.

En el sistema 10, una compañía que posee la LAN corporativa 18 puede proporcionar un sistema informático 28 y un dispositivo móvil 22 a un empleado. Los partícipes en este ejemplo incluyen el usuario del dispositivo móvil 22, la compañía que posee la LAN corporativa 18, y un portador que hace funcionar la red inalámbrica 20. Como se ha descrito anteriormente, cada uno de estos partícipes puede tener un interés en el control del dispositivo móvil 22 o de ciertos recursos o activos residentes o radicados en el dispositivo móvil 22.

La Figura 2 es un diagrama de bloques de un dispositivo de comunicación móvil inalámbrica proporcionado a modo de ejemplo, en el que pueden ponerse en práctica un sistema y un método para un control seguro. Deberá resultar evidente para los expertos de la técnica que únicamente se han mostrado en la Figura 2 los componentes implicados en un sistema de control seguro. El dispositivo móvil 30 incluirá, por lo común, componentes adicionales, dependiendo del tipo y capacidad funcional del dispositivo móvil 30.

Como se ha mostrado en la Figura 2, un dispositivo móvil 30 comprende una memoria 32, un controlador 40 de dominio, un transceptor, o transmisor-receptor, inalámbrico 48, una interfaz de usuario (UI –“user interface”) 46, y una interfaz o conectador 50. La memoria 32 incluye un dispositivo de almacenamiento 31 de claves, un dispositivo de almacenamiento 33 de aplicaciones de software, configurado para almacenar aplicaciones de software, un dispositivo 34 de almacenamiento de mensajes, destinado a almacenar mensajes electrónicos, un dispositivo de almacenamiento 35 de contactos, destinado a información de contactos, un dispositivo de almacenamiento 36 de políticas o criterios de dominio, un dispositivo de almacenamiento de datos permanente 37, una tabla 38 de “conductos” de comunicación y un dispositivo de almacenamiento 39 de propiedades. Estos dispositivos de almacenamiento son ilustrativos de los tipos de dispositivos de almacenamiento de información que pueden proporcionarse en la memoria 32. Pueden proporcionarse también otros dispositivos de almacenamiento de información en lugar de los que se han mostrado en la Figura 2, o además de ellos.

La memoria 32 es un dispositivo de almacenamiento susceptible de inscribirse en él, tal como una RAM [memoria de acceso aleatorio –“random access memory”] en la que otros componentes del dispositivo pueden inscribir datos. Dentro de la memoria 32, el dispositivo de almacenamiento 31 de claves almacena claves criptográficas que pueden ser utilizadas por el controlador de dominio para implementar criterios de dominio. El dispositivo de almacenamiento 33 de aplicaciones de software incluye aplicaciones de software que han sido instaladas en el dispositivo móvil 30, y puede incluir, por ejemplo, una aplicación de software de mensajería, o intercambio de mensajes, electrónica, una aplicación de software de gestión de información personal (PIM –“personal information management”), juegos, así como otras aplicaciones de software o programación. El dispositivo de almacenamiento 34 de mensajes almacena mensajes electrónicos asociados con una o más aplicaciones o servicios de software de mensajería para los que el dispositivo móvil 30 ha sido habilitado. El dispositivo de almacenamiento 30 de contactos también almacena información normalmente asociada con tales aplicaciones y servicios de software de mensajería, incluyendo los nombres de los contactos, números de teléfono y de fax, direcciones de correo electrónico, direcciones de correo y datos similares. En el dispositivo de almacenamiento 36 de políticas o criterios de dominio, se almacenan criterios de control de relación como socio con el dominio (“criterios de dominio”), que especifican los criterios utilizados para determinar en qué dominio ha de colocarse una aplicación de software, propiedad u otra información. Los datos permanentes, o datos que perduran a la terminación de una aplicación de software que los crea, son almacenados en el dispositivo de almacenamiento permanente 37. Los conductos de comunicación, que se describen con mayor detalle más adelante, son bienes o activos de comunicación del dispositivo móvil y se listan en la tabla 38 de conductos de comunicación. Como también se describirá más adelante, la tabla 38 de conductos de comunicación puede también incluir, o hacer referencia a, una interfaz de programación de aplicación (API –“Application Programming Interface”) 41 través de la cual pueden enviarse los datos a un conducto de comunicación y recibirse desde este. Las propiedades representan datos de configuración y son almacenadas en el registro de almacenamiento 39 de propiedades. Otros datos asociados con el dispositivo móvil 30 o con aplicaciones de software instaladas en el dispositivo móvil 30 pueden ser almacenados en los dispositivos de almacenamiento de datos que se muestran en la Figura 2, en dispositivos adicionales de almacenamiento de datos de la memoria 32 pero que no se han mostrado en la Figura 2, o, posiblemente, en un componente de memoria independiente situado en el dispositivo móvil 30.

El transceptor inalámbrico 48 habilita el dispositivo móvil 30 para comunicaciones a través de una red inalámbrica, tal y como se ha descrito anteriormente en combinación con la Figura 1. El dispositivo móvil 30 se ha habilitado también para comunicaciones con un PC similarmente equipado u otro dispositivo, incluyendo otro dispositivo móvil, a través de la interfaz / conectador 50. En la Figura 2, el controlador 40 de dominio está acoplado o conectado a la memoria 32, al transceptor inalámbrico 48, a la UI 46 y a la interfaz / conectador 50. Como se describirá con mayor detalle más adelante, el acceso a tales activos o recursos del dispositivo móvil es controlado por el controlador 40 de dominio. El controlador 40 de dominio se pondrá en práctica, probablemente, con la mayor frecuencia como un módulo de software o sistema operativo que es ejecutado por un procesador del dispositivo móvil (no mostrado). Por ejemplo, en el caso de que el dispositivo móvil 30 sea un dispositivo móvil con capacidad para JavaTM y que incluye una Máquina Virtual Java (JVM –“Java Virtual Machine”) como su sistema operativo, la capacidad funcional del controlador 40 de dominio puede ser incorporada dentro de la JVM o implementada como un componente de software que es ejecutado por la JVM. El control de dominio en el nivel del sistema operativo proporciona una seguridad del dominio más fluida y fiable que la del control del dominio en el nivel de aplicación de software.

La UI 46 puede incluir componentes de UI tales como un teclado o placa de teclas, un dispositivo de presentación visual u otros componentes que pueden aceptar entradas procedentes de un usuario del dispositivo móvil 30 o proporcionar salidas hacia el mismo. Si bien se ha mostrado como un bloque único en la Figura 2, ha de resultar evidente que un dispositivo móvil 30 incluye, por lo común, más de una UI, y que la UI 46 está destinada, por lo tanto, a representar una o más interfaces de usuario.

La interfaz / conectador 50 hace posible la transferencia de información entre el dispositivo móvil 30 y un PC u otro dispositivo a través de un enlace de comunicación establecido entre la interfaz / conectador 50 y una interfaz o conectador compatible existente en el PC u otro dispositivo. La interfaz / conectador 50 puede ser cualquiera de una pluralidad de componentes de transferencia de datos, incluyendo, por ejemplo, una interfaz de transferencia de

datos ópticos tal como un acceso o puerta según la Asociación de Datos Infrarrojos (IrDA –“Infrared Data Association”), alguna otra interfaz de comunicaciones inalámbricas de corto alcance, o una interfaz con instalación de cables, o cableada, tal como una puerta, y su conexión, en serie o de Bus en Serie Universal (USB –“Universal Serial Bus”). Interfaces de comunicaciones inalámbricas de corto alcance conocidas incluyen, por ejemplo, módulos “Bluetooth” y módulos 802.11, de conformidad, respectivamente, con las especificaciones Bluetooth y 802.11. Resultará evidente para los expertos de la técnica que Bluetooth y 802.11 denotan conjuntos de especificaciones disponibles en el Instituto de Ingenieros Eléctricos y Electrónicos (IEEE –“Institute of Electrical and Electronics Engineers”) y relativas a las LANs inalámbricas y a las redes de área personal inalámbricas, respectivamente. Puesto que las comunicaciones entre el dispositivo móvil 30 y otos sistemas o dispositivos a través de la interfaz / conectador 50 no tienen que ser, necesariamente, por medio de una conexión física, las alusiones a la conexión de un dispositivo móvil a un PC u otro dispositivo o sistema incluyen establecer comunicaciones a través, ya sea de conexiones físicas, ya sea de esquemas de transferencia inalámbricos. De esta forma, el dispositivo móvil 30 puede ser conectado a un PC, por ejemplo, emplazando el dispositivo móvil 30 en un acoplador del dispositivo móvil, conectado a una puerta en serie existente en el PC, mediante la colocación del dispositivo móvil 30 de un modo tal, que una puerta óptica del mismo se encuentre en una línea de mira de una puerta similar del PC, o mediante la conexión física o disposición del dispositivo móvil 30 y del PC de alguna otra manera, de tal modo que los datos puedan ser intercambiados. Las operaciones concretas implicadas en el establecimiento de comunicaciones entre un dispositivo móvil y otro sistema o dispositivo dependerán de los tipos de interfaces y/o conectadores de que se disponga tanto en el dispositivo móvil como en el otro sistema o dispositivo.

Como se ha descrito anteriormente, múltiples partícipes pueden tener intereses en el control de los activos o recursos del dispositivo móvil. En el dispositivo móvil 30, los activos o recursos incluyen el transceptor inalámbrico 48, la UI 46, la interfaz / conectador 50, el procesador 40 y cualquiera de los dispositivos de almacenamiento o información existente en la memoria 32. Algunos de estos bienes o activos, tales como la UI 46, pueden ser utilizables por cualquier aplicación de software o sistema existente en el dispositivo móvil 30, en tanto en cuanto uno

o más de los partícipes puede desear ejercer un control más férreo sobre otros activos, incluyendo el transceptor inalámbrico 48, la interfaz / conectador 50 y la información almacenada en la memoria 32, por ejemplo.

A fin de proporcionar un control seguro por múltiples partícipes del dispositivo móvil 30, los activos pueden ser asignados a dominios, tal como se muestra en los dispositivos de almacenamiento de la memoria 32. El dispositivo de almacenamiento 1 de claves incluye claves criptográficas para los dominios B y C. El dispositivo de almacenamiento 33 de aplicaciones de software, el dispositivo de almacenamiento 36 de criterios de dominio, el dispositivo de almacenamiento 37 de datos permanentes y la tabla 38 de conductos de comunicación incluyen, respectivamente, aplicaciones de software, criterios de dominio, datos permanentes y conductos de comunicación asociados con los dominios A, B y C. El dispositivo de almacenamiento 34 de mensajes y el dispositivo de almacenamiento 35 de contactos incluyen mensajes y contactos asociados con los dominios B y C. En este ejemplo, solo los dominios B y C tienen aplicaciones o servicios de software de mensajería asociados que se sirven del dispositivo de almacenamiento 34 de mensajes y del dispositivo de almacenamiento 35 de contactos. El dominio C incluye un conducto de comunicación, pero no, en este ejemplo, para los propósitos de mensajería electrónica. Es también posible que no todos los dominios de un dispositivo móvil incluyan un conducto de comunicación. Esto puede ocurrir, por ejemplo, cuando un dominio incluye tan solo aplicaciones de software que proporcionan funciones locales del dispositivo móvil que no requieren comunicaciones hacia o desde el dispositivo móvil.

Un dominio es una colección de objetos que comparten un nivel de confianza común y que pueden ser poseídos y controlados por partícipe de un dispositivo móvil, tal como un usuario del dispositivo móvil, un propietario del dispositivo móvil, un portador o un proveedor de servicios. El emplazamiento de un objeto en un dominio significa que se confía en el objeto y que su uso puede ser restringido o limitado para otros miembros del dominio. Cada dominio tiene una política o criterios de dominio que controlan qué objetos pueden llegar a ser miembros de un dominio, como se describe con mayor detalle más adelante. Al crear dominios y asignar uno o más dominios del dispositivo móvil a cada partícipe, todos los partícipes pueden mantener un cierto nivel de control sobre bienes o activos del dispositivo móvil que forman parte del dominio o dominios del partícipe. El controlador 40 de dominio gestiona cada dominio existente en el dispositivo móvil 30 y mantiene un control sobre el acceso a los activos o recursos del dominio con el fin de asegurarse de que los requisitos de confianza son satisfechos antes de que se conceda tal acceso.

Por ejemplo, la mayor parte de los dispositivos móviles pueden adquirirse en cualquiera de diversos comercios detallistas. Una vez comprado, un usuario del dispositivo móvil puede, preferiblemente, ejecutar una aplicación de software preinstalada que permite al usuario introducir información de tarjeta de crédito y otra información de facturación que se utiliza para aprovisionar los servicios de comunicación de red inalámbrica. Los expertos de la técnica apreciarán que la provisión inicial de tales servicios en un nuevo dispositivo puede, en lugar de ello, implicar interacciones con un servicio al cliente de portador o de proveedor de servicios representativo, a través de un teléfono o una página web de la Internet. La información de facturación es enviada a un servidor de facturación de portador inalámbrico, el cual verifica la información de facturación y envía un mensaje de registro al dispositivo móvil. El mensaje de registro es procesado o tratado en el dispositivo móvil para establecer un dominio de portador en el dispositivo móvil.

El dominio de portador puede incluir activos tales como un explorador que puede ser utilizado para acceder a información y servicios de Internet a través de la red de comunicación inalámbrica del portador. El usuario puede entonces utilizar el explorador existente en el dominio del portador para suscribirse a un servicio de chateo o conversación, descargar la aplicación de software necesaria desde la Internet, y emplazar la aplicación de software descargada en el dominio del portador. Otros servicios de dominio, tales como, por ejemplo, una frecuencia de copia de salvaguardia del dominio, que especifica cuán a menudo deben salvaguardarse los datos del dominio, puede también haberse configurado por parte del usuario para el dominio de portador. La copia para salvaguardia de dominio implica generalmente la transferencia de datos del dominio, lo que posiblemente incluye aplicaciones de software, propiedades y datos permanentes, a un sistema externo. Tal operación de copia para salvaguardia permite a un usuario, propietario u otro partícipe del dispositivo restituir un dominio en el caso de que el dominio se llegue a corromper o degenerar, por ejemplo. Si bien el usuario puede configurar algunos ajustes para el dominio de portador existente en el dispositivo móvil, el portador mantiene un control final sobre el dominio de portador, tal y como se describe con mayor detalle más adelante.

El usuario puede también instalar otras aplicaciones de software y aprovisionar servicios adicionales utilizando el dispositivo móvil. Un servicio de mensajería, o intercambio de mensajes, electrónica que da soporte al intercambio de mensajes entre el dispositivo móvil y un correo electrónico personal u otra cuenta de mensajería, es uno de los servicios que pueden ser de interés para un usuario del dispositivo móvil. Un componente de aplicación de software de PC de tal dispositivo, cuando se instala en un PC configurado para acceder a la cuenta de mensajería personal, establece un dominio de usuario en el dispositivo móvil si no se ha establecido ya uno. Cualesquiera aplicaciones de software de dispositivo móvil que sean necesarias para utilizar el servicio, son entonces descargadas e instaladas en el dispositivo móvil, y emplazadas dentro del dominio del usuario. Dicho servicio podría también sincronizar mensajes almacenados, contactos y, posiblemente, datos adicionales asociados con la cuenta de mensajería personal entre el PC y el dispositivo móvil, creando mensajes, contactos y datos en el dominio del usuario. Puesto que el servicio de mensajería electrónica y, por tanto, el dominio del usuario tienen acceso a un medio de comunicación a través del cual son intercambiados los mensajes con el PC, el dominio del usuario podría también dar soporte a la exploración en la Internet. Utilizando el explorador de web, el usuario puede entonces descargar e instalar otras aplicaciones de software para el dominio del usuario. En el caso de que la aplicación de software sea, por ejemplo, un programa de recordatorio de cumpleaños, este programa puede acceder a todos los contactos que se encuentren dentro del dominio del usuario y crear recordatorios para sus cumpleaños. El dominio del usuario puede tener también ajustes configurables por el usuario, tales como una frecuencia de copia de salvaguardia del dominio.

En el caso de que el usuario o usuaria desee utilizar el dispositivo móvil también para propósitos de trabajo, puede enviar un mensaje, por ejemplo, un correo electrónico, al departamento de IT de su empleador. El correo electrónico incluye el tipo de dispositivo móvil y su dirección de red. El departamento de IT envía entonces un mensaje de creación de dominio al dispositivo móvil. Cuando el mensaje de creación de dominio es recibido en el dispositivo móvil, el usuario puede, en primer lugar, ser instado, utilizando una UI 46 (Figura 2), a aceptar este nuevo dominio. Se crea entonces el nuevo dominio del empleador. Habiendo creado el dominio del empleador en el dispositivo, el departamento de IT descarga al dispositivo información tal como el directorio de la compañía y una aplicación de software de Gestión de Relaciones con los Clientes (CRM –“Customer Relationship Management”). Como se ha descrito anteriormente para los dominios de portador y personal, el dominio del empleador puede incluir ajustes que controlan el comportamiento y las características del dominio, tales como la frecuencia de copia de salvaguardia del dominio. Se ha contemplado, sin embargo, que al menos el dominio del empleador pueda ser férrea o estrechamente controlado, de tal modo que la configuración del dominio del empleador es establecida por el empleador.

La introducción de dominios en este ejemplo tiene algunos beneficios importantes respecto al control del dispositivo y a la seguridad. Por ejemplo, el programa de recordatorio de cumpleaños existente en el dominio del usuario no puede acceder al directorio de la compañía existente en el dominio del empleador, incluso aunque ambos se hayan almacenado en el mismo dispositivo móvil. También, la sincronización de los datos del dominio del usuario, tales como los contactos personales, entre el dispositivo móvil y un PC de usuario se alcanza a través de un conducto de comunicación del dominio del usuario asociado con el servicio de mensajería personal, de tal modo que ningún dato de empresa procedente del dominio del empleador es salvaguardado hacia el PC del usuario cuando se salvaguarda el dominio del usuario. De forma similar, cualquier sincronización o copia de salvaguardia de los datos del dominio del empleador se lleva a cabo a través del conducto de comunicación del dominio del empleador, de tal manera que los contactos personales del usuario no son copiados en el servidor de la empresa.

Además, ninguna de las aplicaciones de software existentes en el dominio del portador o en el dominio del usuario puede acceder al conducto de comunicación del dominio del empleador. Tan solo las aplicaciones de software presentes en el dominio del empleador pueden acceder a datos de la empresa que normalmente residen por detrás de un cortafuego de seguridad existente en la red corporativa del empleador. Esto impide que aplicaciones de software del tipo de “caballo de Troya” comprometan la seguridad de la red del empleador. El departamento de IT del empleador evita que el usuario instale aplicaciones de software en el dominio del empleador, tal y como se

describe con mayor detalle más adelante. El usuario sigue pudiendo instalar aplicaciones de software en el dominio del usuario, pero no se confía en estas por parte del empleador.

El portador puede inhabilitar o aumentar en rango las aplicaciones de software existentes en el dominio del portador, pero no puede tener ningún efecto en las aplicaciones de software existentes en otros dominios. El portador puede, por supuesto, impedir el tráfico desde el dispositivo móvil por su red de comunicación, pero cualquier dispositivo móvil puede ser habilitado para funcionar en múltiples redes de comunicación diferentes que se hacen funcionar por diferentes portadores.

Las aplicaciones de software por encima del usuario, o suprausuario, proporcionadas por el fabricante del dispositivo móvil, por ejemplo, o por alguna otra fuente en la que confían todos los dominios, constituyen miembros de múltiples dominios y, por tanto, presentan una visión unificada de los datos a través de los múltiples dominios. Esto es de utilidad en aplicaciones de software tales como una aplicación de software de Agenda o Libro de Direcciones, utilizada para ver y gestionar un dispositivo de almacenamiento de contactos existente en un dispositivo móvil. Tales aplicaciones de software suprausuario tienen acceso a múltiples dominios, pero también respetan, preferiblemente, la seguridad de cada dominio. Por ejemplo, una aplicación de software de sincronización puede acceder a todos los datos pero tan solo salvaguarda datos de dominio a través del conducto de dominio apropiado. Con el fin de evitar la duplicación del código de aplicación de software suprausuario en un dispositivo móvil, las aplicaciones de software suprausuario pueden encontrarse fuera de los dominios a los que tienen acceso y asumir de manera efectiva una relación como socio con el dominio de vez en cuando, según se necesite. Las aplicaciones de software suprausuario pueden, en consecuencia, residir en un dominio suprausuario particular o, posiblemente, en una parte de un dispositivo de almacenamiento de aplicaciones de software que no está asociado con ningún dominio particular.

El dispositivo móvil 30 (Figura 2) implica una segregación de los diversos dispositivos de almacenamiento contenidos la memoria 32 en diferentes áreas de almacenamiento de dominio. Sin embargo, ha de apreciarse que la implementación de dominios en un dispositivo móvil puede ser mucho más flexible de lo que sería evidente a partir de la Figura 2. Por ejemplo, las entradas en cualquiera de los dispositivos de almacenamiento de la memoria 32 no necesitan estar ordenadas por dominio. El dispositivo de almacenamiento 33 de aplicaciones de software puede incluir una primera aplicación de software en el dominio A, seguida por otra aplicación de software en el dominio C y, a continuación, por una tercera aplicación de software que está también en el dominio A. Incluso aunque las aplicaciones de software del dominio A no ocupen, en este ejemplo, posiciones contiguas en el dispositivo de almacenamiento 33 de aplicaciones de software, estas están, sin embargo, asociadas con el dominio A.

La Figura 3 es un diagrama de bloques que ilustra múltiples dominios existentes en un dispositivo de comunicación móvil inalámbrica. La Figura 2 muestra dominios desde el punto de vista de componentes del dispositivo físico, en tanto que la Figura 3 ilustra el efecto práctico de los dominios en los bienes o activos del dispositivo móvil. Por lo tanto, el dispositivo móvil real puede ser el mismo en las Figuras 2 y 3, si bien el control seguro basado en el dominio de un dispositivo móvil puede ponerse de manifiesto de un modo más evidente en la Figura 3 y en la descripción que sigue de la misma.

El dispositivo móvil 52 de la Figura 3 incluye un dominio 54 de empleador, un dominio 62 de portador y un dominio 64 de usuario, cada uno de los cuales incluye aplicaciones de software, un conducto de comunicación y propiedades. El dominio 54 de empleador y el dominio 64 de usuario también incluyen contactos y mensajes. El dominio 54 de empleador y el dominio 64 de usuario son asegurados, respectivamente, utilizando la clave 56 de empleador y una clave 66 de usuario, tal y como se describirá con mayor detalle más adelante. Como resultará evidente de una comparación de las Figuras 2 y 3, el dominio 62 de portador, el dominio 54 de empleador y el dominio 64 de usuario son similares a los dominios A, B y C, respectivamente. Se han mostrado también en la Figura 3 un dominio por defecto 58, que contiene aplicaciones de software y propiedades, y un dominio 68 de propiedades, que incluye al menos algunas de las propiedades almacenadas en el dispositivo de almacenamiento 39 de propiedades (Figura 2).

El emplazamiento de una aplicación de software en un dominio le proporciona a este acceso a activos del dominio, más notablemente al (a los) conducto(s) de comunicación del dominio y a datos del dominio tales como datos permanentes y propiedades. En el dominio 54 del empleador, por ejemplo, la aplicación de software de CRM y la aplicación de software de mensajería de empresa tienen acceso al conducto de comunicación de la empresa, a datos tales como los contactos de la empresa y a mensajes asociados con una cuenta de mensajería de la empresa, así como a propiedades contenidas en el dominio 54 del empleador. Las bibliotecas contenidas en un dominio son, de la misma manera, accesibles tan solo desde aplicaciones de software contenidas en ese dominio.

Algunas aplicaciones de software pueden ser miembros de más de un dominio. Esto concede el acceso de la aplicación de software a datos contenidos en múltiples dominios. En la Figura 3, tanto el dominio 54 del empleador como el dominio 64 del usuario incluyen una aplicación de software de mensajería. En este caso, es deseable tener una única aplicación de software de mensajería suprausuario que sea miembro de, o tenga acceso a, ambos dominios. Sin embargo, los propietarios de ambos dominios tendrán que confiar en tal aplicación de software. Puesto que el usuario del dispositivo móvil tiene control sobre el dominio 64 de usuario, podría muy fácilmente

concedérsele, por parte del usuario, a una aplicación de software en la que se tiene confianza por parte de otro dominio, el acceso al dominio 64 del usuario. Cuando están implicados otros dominios distintos del dominio 64 del usuario, cada propietario de dominio tiene que confiar en una aplicación de software suprausuario y conceder a dicha aplicación de software el acceso a su dominio respectivo.

Los criterios de provisión de aplicación de software son establecidos, preferiblemente, según una pauta por cada dominio, de tal forma que el propietario del dominio puede controlar qué aplicaciones de software pueden ser cargadas dentro de un dominio. Existen diversos métodos para controlar / asignar una aplicación de software a un dominio. Estos se explican con mayor detalle más adelante.

Un conducto de comunicación consiste en unos medios de comunicación entre el dispositivo móvil y alguna entidad externa. Una capa de transporte física particular, tal como el Bus en Serie Universal (USB –“Universal Serial Bus”), una puerta en serie, 802.11 y GPRS, puede representar diversos conductos de comunicación lógicos dependiendo de la pasarela y del otro extremo. Por ejemplo, puede utilizarse una radio de GPRS para comunicarse tanto con la pasarela de WAP de portador existente en el dominio 62 de portador, como con una pasarela de empresa, a través del conducto de comunicación de la empresa existente en el dominio 54 del empleador. En este caso, tanto la pasarela de WAP como el conducto de comunicación de la empresa representan conductos de comunicación independientes incluso aunque utilicen el mismo medio de transporte físico. Una razón para esta separación es que, incluso aunque se utilice el mismo medio de transporte físico, las pasarelas son controladas por partícipes independientes.

El emplazamiento de un conducto de comunicación en un dominio significa que el propietario del dominio confía en ese conducto de comunicación. Esto es normalmente debido a su control de la pasarela o de las claves de encriptación o cifrado que se utilizan para las comunicaciones por el conducto de comunicación. En el caso del conducto de comunicación de la empresa, el conducto de comunicación incluye a menudo una pasarela a través de un cortafuego de seguridad de la empresa, de tal manera que el acceso al conducto de comunicación representa una posible vía de llegada de ataques contra la infraestructura de la empresa. Al emplazar el conducto de comunicación dentro de un dominio que controla, una entidad corporativa tal como un empleador restringe el acceso al conducto de comunicación y reduce la probabilidad de ataques.

Como se ha descrito anteriormente, se dice que cualesquiera datos que perduren o sobrevivan a la terminación de la aplicación de software que los creó, son permanentes. En una arquitectura informática más tradicional, los datos permanentes son inscritos en un disco o en una base de datos. La información contenida en la memoria principal es, normalmente, no permanente y desaparece cuando se sale de la aplicación de software, ortodoxamente o de otra manera, a menos que la aplicación de software adopte una acción específica para conservar los datos inscribiéndolos en un dispositivo de almacenamiento permanente. Como la mayoría de computadoras, los dispositivos móviles tienen dispositivos de almacenamiento permanente y no permanente. Los datos permanentes son, a menudo, compartidos entre aplicaciones de software. Tal compartimiento de los datos o integración de aplicaciones de software tiene como resultado características útiles y convenientes, pero también introduce la posibilidad de robo o corrupción de los datos por parte de aplicaciones de software inescrupulosas.

Los dominios hacen posibles los beneficios de la integración de aplicaciones de software al tiempo que mitigan los riesgos para los datos importantes. Por defecto, todos los datos permanentes creados por una aplicación desoftware son emplazados en el mismo dominio que la aplicación de software. Únicamente las aplicaciones de software contenidas en el mismo dominio pueden acceder a estos datos permanentes. Esto permite al propietario del dominio asegurarse de que solo puedan acceder a los datos permanentes las aplicaciones de software en las que se tiene confianza. Las aplicaciones de software en las que no se confía siguen pudiendo ser cargadas en un dispositivo móvil sin comprometer la integridad o la seguridad de los datos.

Las propiedades son datos permanentes que representan información de configuración que es bien global o bien específica de dominio o de aplicación de software. A diferencia de la mayoría de los datos permanentes, las propiedades permiten una resolución más fina del control de acceso. Por ejemplo, es posible definir una propiedad que pueda ser leída por una aplicación de software, pero no modificada por esta. Las propiedades pueden ser emplazadas en un dominio y utilizadas para almacenar la configuración del usuario o para establecer criterios.

Pueden existir diversos modos de añadir, modificar, almacenar, salvaguardar y restituir datos de configuración en un dispositivo móvil. En general, los esquemas de manejo de datos de configuración conocidos se refieren a datos de configuración que son globales para el dispositivo móvil. El manejo de datos de configuración según una pauta por cada aplicación se deja, normalmente, a la aplicación de software. Sin embargo, es deseable un mecanismo basado en el dominio, en el nivel del sistema, para manejar los datos de configuración de aplicación de software, por ejemplo, para emplazar información acerca de la aplicación de software en una posición segura, de tal manera que pueda ser utilizada para definir criterios de provisión de dominio. Cuando los datos de configuración son eliminados del control de la aplicación de software, no es necesario confiar en la aplicación de software para establecer sus propios criterios de provisión o para gestionar su propio ciclo de vida de aplicación.

Además de dar soporte a la provisión de aplicaciones de software, las propiedades proporcionan un conjunto consistente de servicios de configuración de aplicación de software al desarrollador de aplicaciones de software. Estos servicios de configuración de aplicación de software incluyen la copia para salvaguardia y la restitución automáticas de las propiedades, la generación automática de una interfaz de usuario para propiedades de edición, el acceso programático a propiedades, un método seguro par intercambiar adiciones o cambios de propiedades a través del aire desde un dispositivo móvil, así como un mecanismo de almacenamiento de propiedades fuera de línea, o en desconexión, seguro y a prueba de manipulación indebida. También, al definir las propiedades en un ámbito global, las propiedades pueden ser utilizadas para controlar la configuración de un dispositivo móvil, no solo las aplicaciones de software existentes en dicho dispositivo.

Las propiedades reciben el nombre de datos tipificados. Estos son parecidos a los recursos, excepto por que están destinados a ser editados, en tanto que los recursos de aplicación de software se definen, habitualmente, cuando se crea una aplicación de software y, normalmente, no se cambian. El nombre es un identificador que una aplicación de software puede utilizar para referirse a una propiedad, y el tipo indica un tipo de datos de la propiedad. Las propiedades pueden también tener una descripción, aparte del nombre. La separación de la descripción del nombre permite que una edición de las propiedades se internacionalice sin tener que volver a compilar una aplicación de software.

La siguiente propiedad identifica un servidor con el que interactúa una aplicación de software:

Nombre: Servidor Tipo: Cadena Valor: http://sap.servidor.net/crm. Descripción: Servidor de CRM.

Esta propiedad puede ser utilizada por una aplicación de software de CRM en un dispositivo móvil que accede a datos existentes en un servidor de la empresa. La aplicación de software de CRM está cargada en el dominio 54 del empleador, en la Figura 3. La propiedad del servidor, requerida por la aplicación de software de CRM, es también emplazada o creada en el dominio 54 del empleador.

Las propiedades tienen, preferiblemente, control de acceso. No todas las propiedades pueden ser leídas o modificadas por todas las aplicaciones de software o partícipes presentes en un dispositivo móvil. Por ejemplo, la aplicación de software de CRM es capaz de leer el nombre del servidor de CRM contenido en el campo de valor de la propiedad del servidor, pero no puede modificarlo. Adicionalmente, la capacidad para modificar el URL de servidor puede ser reservada para el empleador o el departamento de IT de la empresa. Esto es particularmente importante cuando las propiedades de la aplicación están ligadas a los recursos del sistema. Por ejemplo, si un cortafuego de seguridad de dispositivo móvil se sirve de una propiedad de aplicación para permitir o denegar el acceso a una pasarela de empresa a través del conducto de comunicación de la empresa, entonces sería importante impedir que la aplicación de software modificase esta propiedad. En este caso, la aplicación de software no puede generar una interfaz de usuario con el fin de permitir la edición de esta propiedad, puesto que no puede modificar la propiedad. Por esta razón, es importante hacer que una aplicación en la que se confía genere la interfaz de usuario para la edición de propiedades de aplicación. Esta aplicación de software en la que se confía, o Editor de Propiedad, garantiza que las propiedades son etiquetadas apropiadamente, a fin de impedir que un usuario sea inducido equivocadamente a modificar una propiedad, y que se hacen cumplir las reglas de control de acceso. Cada propiedad puede tener reglas de control de acceso para cada aplicación de software, así como para cada uno de los partícipes existentes en un dispositivo móvil. Puesto que pueden estar incluidas propiedades en cada dominio existente en un dispositivo móvil, se ha implementado, preferiblemente, un Editor de Propiedad en forma de aplicación de software suprausuario y, con ello, se concede el acceso a las propiedades existentes en múltiples dominios.

Por ejemplo, la siguiente propiedad permite a una aplicación de software leer la propiedad pero no modificarla o escribir en ella. Un usuario o un dominio es capaz tanto de leer la propiedad como de inscribir en ella. Los derechos globales están, normalmente, asociados con un propietario del dispositivo móvil que no es necesariamente el usuario, tal como cuando el dispositivo móvil fue proporcionado a un usuario por un empleador. En este ejemplo, los derechos globales incluyen la lectura de la propiedad pero no la escritura o inscripción en ella.

Nombre: Acceso de HTTP Tipo: Booleano Valor: falso Descripción: Permitir el Acceso de HTTP Aplicación: +leer, -escribir Usuario: +leer, +escribir Dominio: +leer, +escribir Global: +leer, -escribir

Las propiedades se definen, preferiblemente, dentro de un ámbito. Ámbitos válidos, como se muestra en el dispositivo de almacenamiento 39 de propiedades de la Figura 2, pueden incluir el global, el de dominio y el de aplicación. Cuando una aplicación de software solicita una lista de propiedades, obtiene todas las propiedades globales legibles, todas las propiedades legibles contenidas en el dominio de la aplicación de software, suponiendo que la aplicación de software es un miembro de un dominio, y todas las propiedades de aplicación legibles para la aplicación de software. En general, cualesquiera propiedades legibles que puedan afectar a la aplicación de software se proporcionan en dicha lista. Las propiedades emplazadas dentro de un dominio pueden incluir propiedades de aplicación para las aplicaciones de software contenidas en el dominio, así como propiedades del dominio. Las propiedades globales se emplazan en un dominio 68 de propiedades independiente, que es, preferiblemente, accesible a todas las aplicaciones de software de dispositivo móvil, con independencia del dominio en el que existe cada aplicación de software.

Las reglas de acceso pueden ser también aplicadas para controlar la creación de nuevas propiedades de cualquier ámbito particular. Por ejemplo, la siguiente definición de ámbito global indica que pueden crearse propiedades globales por parte de un usuario, pero no por una aplicación de software:

Ámbito: Global Aplicación: -crear Usuario: +crear.

Las propiedades del ámbito de dominio para un dominio particular pueden ser definidas, por ejemplo, como:

Ámbito: Dominio Nombre: Empleador Aplicación: +crear Usuario: -crear,

lo que significa que las aplicaciones de software existentes en el dominio del empleador pueden crear nuevas propiedades en ese dominio. Un usuario no puede crear nuevas propiedades de dominio del empleador en este ejemplo.

Las aplicaciones de software tienen acceso programático a las propiedades reales y, posiblemente, a la modificación y a la creación de propiedades. Es posible crear nuevas propiedades en cualquiera de los ámbitos de la aplicación de software sometidos a reglas de acceso del ámbito. Por defecto, las nuevas propiedades creadas por una aplicación de software tienen, preferiblemente, ámbito de aplicación.

Como se ha descrito anteriormente, una aplicación de software en la que se confía, un Editor de Propiedad, genera una interfaz de usuario para editar propiedades. Puesto que las aplicaciones de software pueden ser capaces de modificar y crear propiedades, debe existir un modo de invocar o apelar de forma programática al Editor de Propiedad. Por ejemplo, cada aplicación de software puede tener un elemento de menú denominado “Opciones”, que puede ser seleccionado para invocar al Editor de Propiedad. Cuando es invocado desde dentro de una aplicación de software, el editor de propiedad no presenta visualmente propiedades que no puedan ser leídas por la aplicación de software. Las propiedades que no pueden ser modificadas por la aplicación de software son presentadas visualmente en un modo de solo lectura.

El Editor de Propiedad puede agrupar propiedades dentro de múltiples páginas basándose en el ámbito de las propiedades, por ejemplo, para reducir las señales parásitas. Puede ser necesario permitir que la aplicación de software defina grupos de propiedades como una sugerencia para el Editor de Propiedad en el caso de que existan demasiadas propiedades que ajustar en una sola página.

Como otros datos de dominio, las propiedades pueden, preferiblemente, ser salvaguardadas y restituidas a través de uno o más conductos de comunicación, tal como a través de una puerta en serie o por el aire. En referencia a la Figura 2, las operaciones de copia para salvaguardia y restitución pueden llevarse a cabo utilizando el transceptor inalámbrico 48 o la interfaz / conectador 50.

La copia para salvaguardia a través de una interfaz o conectador, tal como una puerta en serie, puede se iniciada por un PC u otro dispositivo con el que se comunique un dispositivo móvil. Todas las propiedades de aplicación pueden ser salvaguardadas por defecto, de tal manera que no es necesario ningún código de disposición en serie en las aplicaciones de software. Asimismo, cualesquiera datos de propiedad, y otros datos de dominio, que se hayan almacenado en un disco pueden ser firmados digitalmente y cifrados antes de ser enviados al dispositivo móvil. Esto impide la manipulación indebida de los datos de propiedad como un modo de eludir los mecanismos de control de acceso.

La copia para salvaguardia y la restitución por vía aérea pueden ser iniciadas bien por un dispositivo móvil o bien por un servidor o sistema distante o remoto. La copia para salvaguardia y la restitución iniciadas por un dispositivo móvil

son importantes para los medios de transporte que no dan soporte al envío de datos a un dispositivo sin haber solicitado primero dichos datos. Por ejemplo, si el dispositivo únicamente puede acceder a una red distante o remota a través de una pasarela de WAP, el usuario inicia una copia de salvaguardia del dispositivo. Esto puede realizarse mediante una acción explícita del usuario o mediante el ajuste de un temporizador. La restitución a través del aire permite restituir propiedades hasta el último estado guardado. De nuevo, esto puede ser explícitamente iniciado por el usuario como parte de la tarea de recuperación del dispositivo.

La copia para salvaguardia y la restitución iniciadas por el servidor constituyen formas de control remoto o a distancia de un dispositivo móvil. Cuando el recorrido hasta el dispositivo permite una comunicación iniciada por el servidor, las propiedades pueden ser controladas completamente desde un servidor remoto. Las acciones del servidor remoto pueden incluir, por ejemplo, crear una propiedad, modificar una propiedad, borrar una propiedad, obtener una lista de propiedades (globalmente o de forma específica para aplicación de software), y obtener una lista de aplicaciones de software en un dispositivo móvil.

Un propósito de los dominios es definir un conjunto limitado de objetos con una relación de confianza común. En general, no se concede a entidades externas ningún acceso a aplicaciones de software de dominio o a datos, pero se confía por completo en todos los miembros de un dominio. Como se ha descrito anteriormente, sin embargo, las propiedades tienen un nivel adicional de control de acceso. Si bien ciertas aplicaciones de software pueden abarcar varios dominios, tales aplicaciones de software tan solo pueden acceder a un dominio si se confía en este y se ha concedido el acceso al dominio por parte del propietario de ese dominio.

Las operaciones fundamentales del dominio que se controlan son la creación y el borrado de dominios, la gestión de aplicaciones de software (instalación y borrado), la gestión de propiedades (creación, lectura y modificación), y el acceso a datos permanentes (creación, lectura, modificación). Puede conseguirse un control de resolución más fina introduciendo dominios, subdominios o bibliotecas de dominio adicionales.

Un subdominio es un dominio que se extiende dentro de otro dominio. Los miembros de un subdominio tienen inherentemente todos los privilegios del dominio progenitor. Un ejemplo de subdominio sería un subdominio de recursos humanos (HR –“human resources”) dentro del dominio 54 del empleador. Todas las aplicaciones de software contenidas dentro del dominio 54 del empleador, incluyendo las del dominio de HR, pueden acceder al directorio de empresa situado en una red corporativa a través del conducto de datos de la empresa, pero solo las aplicaciones de software contenidas en el dominio de HR pueden ser capaces de acceder a la información personal existente en la red de la empresa. Esto permite diferentes niveles de confianza dentro de un dominio, a la vez que se comparten algunos recursos comunes.

Si una biblioteca de códigos es un miembro de un dominio, entonces puede ser utilizada para conceder a aplicaciones de software situadas fuera del dominio el acceso restringido a los datos del dominio. Esto permite al propietario de un dominio escribir sus propias reglas de control de acceso y utilizarlas para conceder un acceso limitado a los datos del dominio a través de la biblioteca. Por defecto, las bibliotecas de dominio no permiten que aplicaciones de software que no son de dominio realicen llamadas a bibliotecas de dominio, sino que el propietario del dominio podría relajar esta restricción de acuerdo con una pauta por cada biblioteca. En este sentido, una biblioteca de dominio que es accesible para aplicaciones de software situadas fuera de un dominio, es análoga a un controlador de dominio en tanto en cuanto controla el acceso a los activos o recursos del dominio asociados con la biblioteca. Semejante biblioteca de dominio permite la implementación de una resolución más fina del control del acceso al dominio, o reglas de acceso más complejas para un dominio particular o para activos o recursos específicos contenidos dentro de un dominio.

Para que las operaciones de un dominio sean seguras, los criterios del dominio controlan el modo como los objetos llegan a ser miembros de un dominio. Existen diversos criterios de dominio posibles diferentes, cada uno de los cuales se basa en una entidad de confianza diferente.

Quizá el criterio de dominio más simple sea permitir que los objetos se emplacen, ellos mismos, en un dominio. Esto se basa en la poca probabilidad que existe de que una entidad en la que no se confía sepa acerca del dominio. La información recibida en un dispositivo móvil se emplaza dentro de un dominio indicado en la información recibida o, posiblemente, en la información de control recibida con la información.

Otro esquema relativamente simple consiste en confiar en el conducto de comunicación. Esto significa que cualquier cosa que se reciba a través de un conducto de comunicación de un dominio es emplazada en ese dominio. Esto funciona bien cuando el propietario del dominio puede controlar el conducto, como es el caso, por ejemplo, con el dominio 62 del portador. Haciendo referencia tanto a la Figura 2 como a la Figura 3, en las que el dominio A de la Figura 2 se corresponde con el dominio 62 de portador de la Figura 3, este tipo de criterio de dominio se especifica como se muestra en el dispositivo de almacenamiento 36 de criterios de dominio. Cuando se recibe información a través de la pasarela de WAP (conducto A), el controlador 40 de dominio determina si esta pertenece al dominio A, el dominio 62 del portador, y emplaza la información en ese dominio. El controlador 40 de dominio accede al dispositivo de almacenamiento 36 de criterios de dominio para determinar si el dominio para el conducto de

comunicación a través del cual se ha recibido la información está configurado para un criterio de dominio de confiar en el conducto. El controlador 40 de dominio puede determinar el dominio para el conducto de comunicación consultando la tabla 38 de conductos de comunicación. En el caso de que la API 41 se haya proporcionado para transferir datos entre el controlador 40 de dominio y cualquier conducto de comunicación de la tabla 38 de conductos de comunicación, la tabla de conductos de comunicación puede indicar al controlador 40 de dominio el dominio al que pertenece el conducto de comunicación. Es también posible que la información recibida pueda incluir un indicador del dominio en el que ha de ser emplazada. El controlador 40 de dominio accede entonces al dispositivo de almacenamiento 36 de criterios de dominio para determinar los criterios de dominio en juego para ese dominio.

Un método más robusto de seguridad de dominio se basa en la criptografía. En un sistema de clave pública, cada dominio tiene unas claves pública y privada asociadas. Cualquier cosa que se añada a un dominio ha de ser firmadadigitalmente utilizando la clave privada del dominio. Únicamente las firmas digitales generadas utilizando la clave privada del dominio pueden ser verificadas utilizando la clave pública del dominio, tal como las claves B y C, 56 y 66. Esto permite que llegue información de dominio a través de cualquier conducto.

Por ejemplo, un empleador desearía normalmente asegurarse de que la creación y el control del dominio 54 del empleador son seguros. Se establece, preferiblemente, una conexión segura entre el dispositivo móvil 52 y el sistema del empleador antes de que se envíe un mensaje de crear dominio al dispositivo móvil 52. Una conexión segura puede ser establecida a través de la encriptación o cifrado del mensaje de crear dominio u otras técnicas criptográficas, o utilizando un protocolo de comunicación segura entre el sistema del empleador y el dispositivo móvil

52. El cifrado puede implicar operaciones criptográficas de clave pública, o criptografía del tipo de “secreto compartido”. Pueden utilizarse también técnicas de creación de dominio seguras por parte de otros partícipes con el fin de crear de forma segura dominios en el dispositivo móvil.

A fin de asegurarse de que toda la información para el dominio del empleado es auténtica, tanto cuando se crea el dominio del empleador como cuando se van a emplazar, de forma subsiguiente, en el domino del empleador aplicaciones de software o datos, la información destinada al dominio del empleador es firmada digitalmente utilizando una clave privada de firma del empleador, y el dispositivo móvil 52 verifica entonces la firma digital antes de emplazar los datos y las aplicaciones de software en el dominio del empleador.

Los esquemas de firma digital generalmente implican alguna clase de transformación de información firmada digitalmente con el fin de hacer posible la comprobación de la integridad de la información y la autentificación de una fuente de la información firmada. Por ejemplo, de acuerdo con un esquema de firma digital, se genera primeramente un condensado o compendio de información que se ha de firmar digitalmente, utilizando un algoritmo o transformación de condensación no reversible. Algoritmos de condensación conocidos incluyen el Algoritmo de Desmenuzamiento Seguro 1 (SHA-1 –“Secure Hashing Algorithm 1”) y el Algoritmo de Condensación de Mensajes 5 (MD5 –“Message-Digest Algorithm 5”). Pueden utilizarse también otras técnicas de condensación que dan lugar a una condensación única o exclusiva para cada entrada única. El condensado es entonces transformado adicionalmente utilizando una clave privada de firma del firmante y un algoritmo de firma para generar una firma digital. A fin de hacer posible la verificación de la firma digital, los algoritmos de firma son, normalmente, reversibles, pero solo cuando se utiliza una clave pública de firma correspondiente a la clave privada de firma. Si la información firmada ha sido modificada después de haberse firmado, o si la firma digital se generó utilizando cualquier clave diferente de la clave privada de firma del firmante, entonces la verificación de la firma utilizando la clave pública de firma del firmante, falla.

En el contexto del control de dominio seguro en el dispositivo móvil 52, un propietario de dominio firma digitalmente cualquier información destinada a un dominio existente en el dispositivo móvil 52, utilizando una clave privada de firma. En el dispositivo móvil 52, la información no es emplazada en el dominio a menos que la firma digital se verifique utilizando para el dominio la clave pública 56 o 66 de firma del propietario del dominio. Haciendo referencia de nuevo a ambas Figuras 2 y 3, y específicamente al dominio 54 del empleador (dominio B), cuando se recibe por parte del dispositivo móvil 30 información firmada digitalmente, el controlador 40 de dominio determina el dominio para el que está destinada la información. El controlador 40 de dominio puede determinar el dominio apropiado accediendo a la tabla 38 de conductos de comunicación, o basándose en una indicación de dominio, ya sea procedente de la API 41 de la tabla 38 de conductos de comunicación, ya sea contenida en la información recibida. Puesto que los criterios de dominio criptográficos o de “confiar en la clave” facilitan la recepción de datos para un dominio particular por otros medios distintos del (de los) conducto(s) de comunicación de ese dominio, una indicación de dominio en la información recibida puede ser particularmente útil en combinación con este tipo de criterio de dominio. Una vez que se ha identificado el dominio apropiado, el controlador 40 de dominio recupera entonces la clave correspondiente para el dominio, la clave B en este ejemplo, desde el dispositivo de almacenamiento 31 de claves. La información es emplazada en el dominio en que se ha verificado la firma digital utilizando la clave B. La información recibida puede ser desechada o, posiblemente, emplazada en el dominio por defecto 58, en caso de que no se haya verificado la firma digital. Las operaciones del controlador 40 del dominio son similares para otros dominios que tienen un criterio de dominio de confiar en la clave, tales como el dominio 64 del usuario (dominio C).

Como apreciarán los expertos en la técnica de la criptografía de clave pública, cuando una clave pública no se ha almacenado en un dispositivo móvil, esta se obtiene de un repositorio de clave pública, si no está disponible en el dispositivo de almacenamiento 31 de clave cuando se necesita. Ha de apreciarse también que son posibles otros mecanismos de control de acceso criptográfico que utilizan interpelaciones y respuestas criptográficas o claves secretas compartidas, por ejemplo.

Cuando falla la verificación de la firma digital para las aplicaciones de software o datos recibidos, o las aplicaciones de software o los datos no han sido firmados, las aplicaciones de software o los datos pueden ser emplazados en un dominio por defecto 58. El dominio por defecto 58 incluye aplicaciones de software y propiedades, y, posiblemente, permite el acceso a activos o recursos del dispositivo sin restricciones. Un dominio por defecto tal como el 58 puede también proporcionar un almacenamiento temporal de aplicaciones de software y datos sin firmar o inadecuadamente firmados. Cualesquiera aplicaciones de software y datos contenidos en el dominio por defecto 58 pueden ser entonces emplazados en un dominio controlado por el usuario, en un momento posterior. Con el fin de impedir la denegación de ataques del tipo de servicio que se aprovechen del dominio por defecto 58, los recursos disponibles para el dominio por defecto 58 son, preferiblemente, limitados. Al limitar la cantidad de memoria que los objetos del dominio por defecto 58 pueden ocupar, por ejemplo, la inundación de un dispositivo móvil con información sin firmar o inadecuadamente firmada no puede agotar la cantidad de memoria disponible para otros dominios existentes en el dispositivo móvil en un grado tal, que se vuelva el dispositivo móvil, o las aplicaciones de software contenidas en otros dominios, inoperantes.

Como política o criterio de dominio alternativo adicional, cuando se crea un dominio, este puede incluir una lista de acceso establecida por el propietario del dominio, que describe todos los miembros permisibles. Esta funciona bien con aplicaciones de software, pero se vuelve compleja cuando se requiere un control de los datos permanentes. Podría ser apropiado aquí un esquema híbrido en el que los datos fueran verificados por algún otro método.

Si un propietario de dominio confía en el tenedor del dispositivo, o si el tenedor del dispositivo es el propietario del dominio, entonces cada nuevo objeto puede ser emplazado en el dominio por medio de alguna interfaz de usuario existente en el dispositivo, dependiendo de una instancia dirigida al usuario. De acuerdo con este criterio de dominio, cuando una aplicación de software u otros datos de dominio son recibidos en un dispositivo móvil, el usuario bien acepta la aplicación de software o los datos y los emplaza en un dominio, o bien rechaza la aplicación de software o los datos.

Puede tener sentido utilizar diferentes técnicas de seguridad para diferentes tipos de objetos. Por ejemplo, la creación de dominios puede ser controlada criptográficamente. Sin embargo, una vez que se ha establecido un dominio, este puede confiar en el conducto del dominio para cambios de dominio adicionales. Los diferentes dominios pueden también hacer uso de diferentes medidas de seguridad. Puesto que el dominio 64 del usuario está controlado por el usuario del dispositivo móvil 52, el usuario puede ser instado a aceptar o rechazar aplicaciones de software y datos para el dominio 64 del usuario, en tanto que el dominio 54 del empleado y el dominio 62 del portador, como se muestra, utilizan, respectivamente, un criterio de dominio criptográfico y un criterio de dominio de confiar en el conducto.

Con respecto a la creación de nuevos dominios, pueden también aplicarse diferentes mecanismos de control. Como se ha descrito anteriormente, es posible crear nuevos dominios en respuesta a peticiones procedentes de un partícipe, posiblemente sometidas a aceptación por parte del usuario. La creación de un dominio puede verse restringida adicionalmente por la confianza en el fabricante del dispositivo móvil. El fabricante del dispositivo puede establecer dominios cuando se fabrica el dispositivo móvil. Cuando un componente particular de un dispositivo móvil se ha configurado para almacenar información, ese componente puede entonces fabricarse con ciertos dominios. Está técnica se aplica, por ejemplo, a los dispositivos móviles de GPRS, que requieren un Módulo de Identidad de Abonado, o SIM (“Subscriber Identity Module”) para funcionar. Pueden configurarse dominios en un SIM por un fabricante del SIM, por el propietario o por otro partícipe, antes de que se proporcione el SIM a un usuario.

La Figura 4 es un diagrama de flujo que muestra un método para un control seguro de un dispositivo de comunicación móvil inalámbrica. El método comienza en la etapa 70, en la que una petición de llevar a cabo una operación es recibida en el dispositivo móvil. El dispositivo móvil 30 (Figura 2), por ejemplo, puede recibir dicha petición a través del transceptor, o transmisor-receptor, inalámbrico 48, procedente de una UI 46, a través de la interfaz / conectador 50, o desde una aplicación de software que se ejecuta en el dispositivo móvil 30. Una petición recibida se hace pasar entonces a un controlador 40 de dominio (Figura 2), el cual determina en qué dominio están situados los activos o recursos afectados por la operación solicitada. Haciendo referencia de nuevo a la Figura 2, si la petición es una petición de acceso a memoria por parte de una aplicación de software para leer el registro 1 del dispositivo de almacenamiento 37 de datos permanentes, entonces el controlador 40 de dominio determina que el registro 1 pertenece a un dominio A. En la Figura 2, se almacena un identificador o indicador de dominio con cada registro del dispositivo de almacenamiento 37 de datos permanentes. Los objetos de otros dispositivos de almacenamiento pueden incluir, de forma similar, dicho identificador de dominio con el fin de permitir al controlador de dominio determinar el dominio al que pertenece el objeto. Para dominios con criterios de dominio criptográfico o de confiar en la clave, los datos de dominio firmados digitalmente, los cuales pueden incluir aplicaciones de

software, propiedades, datos permanentes u otra información, que son recibidos por el dispositivo móvil 30, pueden ser almacenados en forma firmada. El controlador 40 de dominio puede entonces confirmar que se ha confiado en un objeto particular verificando la firma digital almacenada con el objeto utilizando la clave criptográfica apropiada. El controlador 40 de dominio puede también haberse configurado para establecer y mantener, o al menos consultar, una lista de control de acceso que especifica las asociaciones entre dominios y los objetos a los que se ha concedido el acceso a los dominios. Diferentes dominios de un dispositivo móvil pueden también utilizar diferentes esquemas para indicar la relación como socio con el dominio, siempre y cuando el controlador de dominio situado en dispositivo móvil se haya configurado para manejar dichos esquemas diferentes.

En la etapa 74, el controlador de dominio determina si se permite la operación solicitada. Esta determinación implica determinar el dominio desde el que se ha originado la petición recibida. Como se ha descrito anteriormente, se confía en cada miembro de un dominio y este tiene acceso a activos contenidos en ese dominio. La operación solicitada se completa en la etapa 76, en la que la operación es permitida. En el ejemplo anterior de petición procedente de una aplicación de software para leer un registro 1, la operación de lectura se completa en el caso de que la aplicación de software que la solicita esté en el dominio A, el mismo dominio que el del registro que se va a leer. El controlador 40 de dominio puede determinar, o, posiblemente, confirmar, el dominio desde el que se ha originado una petición, sustancialmente como se ha descrito anteriormente en el contexto de la determinación del dominio al que pertenece un activo. En el caso de que la operación no se permita, la operación es denegada en la etapa 78, y las operaciones de tratamiento de errores, si es que hay alguna, se llevan a cabo en la etapa 80. Las operaciones de tratamiento de errores de la etapa 80 pueden incluir, por ejemplo, devolver una indicación de error o fallo al objeto solicitante y presentar visualmente un mensaje de error a un usuario del dispositivo móvil.

La determinación de la etapa 74 puede incluir operaciones adicionales o alternativas más allá de determinar si la petición recibida se ha originado en el mismo dominio que el de los activos de dominio afectados por la operación solicitada. Una determinación del “mismo dominio” no representa sino un ejemplo del modo como puede ser verificada una relación de confianza. En el caso de una aplicación de software suprausuario, la aplicación de software podría no pertenecer a ningún dominio particular. Por lo tanto, en lugar de determinar un dominio de origen, un controlador de dominio determina si se confía en la aplicación de software suprausuario y si se le ha concedido a esta el acceso a los activos del dominio afectado por parte del propietario del dominio. También, como se ha descrito anteriormente, las propiedades pueden tener reglas de acceso adicionales. De esta forma, cando una operación solicitada afecta a propiedades, pueden aplicarse criterios o pautas adicionales en la etapa 74 para determinar si la operación es permitida. Los criterios de dominio pueden ser también examinados por un controlador de dominio en la etapa 74, en el caso de que la petición recibida se refiera a nuevos datos de dominio que hayan de ser emplazados en un dominio existente. Si la petición es para crear un mensaje de dominio, entonces la etapa 74 puede implicar la interacción con un usuario para aceptar o rechazar un nuevo dominio.

Si bien el método de la Figura 4 se ha descrito fundamentalmente en el contexto de una operación de lectura, como ejemplo de una operación controlada, ha de ser evidente que otras operaciones pueden ser similarmente controladas. Los activos de dominio permanecen, con ello, protegidos de objetos de otros dominios, y puede accederse a ellos únicamente por parte de objetos en los que se confía y contenidos en el mismo dominio o por aplicaciones de software suprausuario en las que confían múltiples dominios. Cuando los datos se han de enviar utilizando un conducto de comunicación particular del dominio, por ejemplo, el controlador de dominio determina, en primer lugar, si se le ha concedido a un objeto o dominio que trata de enviar los datos, el acceso al conducto de comunicación por parte del propietario del dominio, tal como mediante la determinación de si el objeto o dominio remitente se encuentra en el mismo dominio que el conducto de comunicación. El controlador 40 de dominio accede a la tabla 38 de conductos de comunicación con el fin de determinar a qué dominio pertenece un conducto de comunicación, y, a continuación, enviar datos al conducto de comunicación a través de la API 41 en el caso de que el objeto remitente se encuentre en ese mismo dominio o se le haya concedido el acceso al conducto de comunicación de ese dominio por parte del propietario del dominio.

El método que se ha mostrado en la Figura 4 se refiere al control de un dispositivo móvil basándose en los dominios. Se utilizan propiedades globales, de dominio o de aplicación para establecer controles adicionales, tal y como se ha descrito anteriormente. El tratamiento de una petición para una operación puede, por lo tanto, también o en lugar de ello, implicar la comprobación de tales propiedades para determinar si se permite una operación. Si bien una aplicación de software podría tener acceso a un conducto de comunicación de un dominio, una propiedad de aplicación podría indicar que la aplicación de software ha expirado, o una propiedad global puede especificar que la aplicación de software no puede enviar datos desde el dispositivo móvil. Aunque se han incluido propiedades en los dominios mostrados en las Figuras 2 y 3, y estas afectan a operaciones asociadas con los dominios, el control basado en propiedad puede ser implementado separadamente del control basado en dominio. Por ejemplo, en el caso de que se haya de llevar a cabo una operación por parte de una aplicación de software, puede accederse, en primer lugar, a las propiedades de aplicación asociadas con la aplicación de software con el fin de determinar si se le permite la operación a la aplicación de software. Se envía entonces una petición de la operación a un controlador de dominio únicamente si las propiedades de la aplicación permiten la operación por parte de la aplicación de software. En este ejemplo, las propiedades de la aplicación proporcionan un primer nivel de control, y los dominios proporcionan un nivel adicional de control. Ha de apreciarse, sin embargo, que es posible implementar en un

dispositivo móvil, bien un control basado en propiedad o bien un control basado en dominio. Aunque estos esquemas de control se complementan mutuamente, pueden, en lugar de ello, ser independientes.

Habiendo descrito dominios, propiedades y mecanismos de seguridad relacionados, se describirán ahora servicios y usos basados en dominio y en propiedad.

Puesto que un dominio describe un conjunto de datos y, posiblemente, un conducto de comunicación, el conducto de comunicación se utiliza para llevar a cabo una operación de copia de salvaguardia en un dominio. Esto implica enviar todos los datos de dominio, incluyendo propiedades y aplicaciones de software, por el conducto de comunicación, a un sistema o servidor de salvaguardia. De forma similar, como parte de un plan de recuperación del dispositivo, el sistema o servidor de salvaguardia se utiliza para restablecer el dominio en el dispositivo móvil y para restablecer la totalidad de los datos. En este caso, el dominio define lo que ha de ser salvaguardado, así como el camino o recorrido de comunicación de confianza que se ha de utilizar. Los dominios que no incluyen un conducto de comunicación pueden ser salvaguardados a través de otro conducto o medio de transporte de datos disponible que no haya sido asignado a un dominio. Las técnicas de firma y de cifrado digitales, cuando se utilizan durante las operaciones de copia de salvaguardia y restitución, garantizan la seguridad y la integridad de los datos del dominio.

Es también posible emplazar objetos procedentes de múltiples dominios en clases de recipiente individuales. Cuando una aplicación de software solicita un dispositivo de iteración en tal clase, esta enumera únicamente los elementos del dominio apropiado. Las aplicaciones de software suprausuario, tales como una aplicación de Libro de Direcciones, han de ser capaces de solicitar un dispositivo de iteración para un dominio particular. Esto hace que sea fácil escribir una aplicación de software en la que el usuario solicita una vista específica de dominio sobre los datos. Por ejemplo, el Libro de Direcciones puede haberse configurado para presentar visualmente tan solo contactos del dominio 54 del empleador.

Las aplicaciones de software suprausuario que abarcan dominios también asumen la relación como socio con el dominio durante un periodo finito de tiempo. Esto permite a una aplicación de software suprausuario actuar en representación de un dominio sin tener que duplicar código que hace cumplir el control de acceso del dominio. Un ejemplo en el que esto podría ser de utilidad es en una aplicación de software de sincronización de datos. Cuando esta está salvaguardando un dominio, dicha aplicación de software asume una relación como socio en ese dominio. Esto permite que el sistema operativo subyacente se asegure de que los datos de dominio tan solo se han inscrito en el conducto de comunicación del dominio.

Uno de los usos fundamentales de los dominios es proporcionar seguridad a los datos. Al emplazar una aplicación de software en un dominio, el acceso a los datos de esa aplicación de software se ve restringido para otras aplicaciones de software contenidas en ese dominio. Los niveles de seguridad dentro de una única organización pueden ser representados por múltiples dominios o por subdominios. En el caso de que la imposición del cumplimiento de los criterios de dominio se lleve a cabo por un sistema del dispositivo móvil tal como una JVM y no por una aplicación de software, es menos probable que una mala programación de la parte del desarrollador dé como resultado una brecha en la seguridad.

Los dominios son también de utilidad en la provisión de aplicaciones de software por vía aérea para dispositivos móviles. En el caso de que cada partícipe se haya provisto de un dominio respectivo, las aplicaciones de software instaladas en uno de los dominios no afectan a activos del dispositivo móvil, aplicaciones de software o datos de otros dominios. De esta forma, ni un portador que proporciona servicios de comunicación a un dispositivo móvil ni un empleador como propietario de un dispositivo móvil necesitan preocuparse de que aplicaciones de software de usuario que están instaladas en un dominio de usuario del dispositivo móvil, afectarán a activos, aplicaciones de software o datos del dominio del portador, o a activos, aplicaciones de software o datos de la empresa. La provisión de aplicación de software puede también incluir la carga de datos de configuración para una aplicación de software, en la forma de propiedades de aplicación. Otros aspectos de aplicaciones de software existentes en un dispositivo móvil son también controlables utilizando propiedades de aplicación. Un propietario de dominio, tal como un proveedor de servicios, puede especificar que una aplicación de software pueda ser ejecutada únicamente un número específico de veces, únicamente un número específico de veces en un cierto periodo de tiempo, o únicamente un número específico de veces antes de que se apliquen los cargos por el servicio. Al emplazar propiedades dentro de dominios, un partícipe mantiene un control seguro sobre los activos del dominio, incluyendo las aplicaciones de software dentro del dominio.

Exactamente igual que las propiedades pueden ser correlacionadas con el acceso a recursos del dispositivo móvil, tal como el acceso de HTTP y el acceso telefónico, por ejemplo, estas pueden ser también correlacionadas con información de estado del dispositivo, incluyendo información sobre la memoria disponible y la fecha y la hora del último restablecimiento del dispositivo móvil. Esto permite la indagación a distancia del estado del dispositivo móvil. Dicha indagación puede ser iniciada por un servidor de gestión del dispositivo o desencadenada por un temporizador existente en el dispositivo móvil. Al indagar en estas propiedades correlacionadas del sistema, un servidor puede gestionar a distancia el dispositivo móvil. Algunas de estas propiedades serán locales con respecto a un dominio, tales como un número máximo de destinatarios por mensaje, y algunas serán globales con respecto al dispositivo,

por ejemplo, la longitud mínima de una palabra de paso.

La Figura 5 es un diagrama de bloques de un dispositivo de comunicación móvil inalámbrica proporcionado a modo de ejemplo. El dispositivo móvil 500 es, preferiblemente, un dispositivo de comunicación en ambos sentidos que tiene al menos capacidades de comunicación de voz y de datos. El dispositivo móvil 500 tiene, preferiblemente, la capacidad de comunicarse con otros sistemas informáticos por la Internet. Dependiendo de la capacidad funcional proporcionada por el dispositivo móvil, puede hacerse referencia al dispositivo móvil como un dispositivo de mensajería de datos, un localizador portátil o busca en ambos sentidos, un teléfono celular con capacidades de mensajería de datos, una aplicación de Internet inalámbrica o un dispositivo de comunicación de datos (con o sin capacidades de telefonía). Como se ha mencionado anteriormente, se hace referencia generalmente en esta memoria a tales dispositivos simplemente como dispositivos móviles.

El dispositivo móvil 500 incluye un transceptor 511, un microprocesador 538, un dispositivo de presentación visual 522, una memoria Flash o de acceso por impulsos 524, una RAM 526, dispositivos de entrada / salida (E/S –“I/O (input / output)”) 528, un acceso o puerta en serie 530, un teclado 532, un altavoz 534, un micrófono 536, un subsistema de comunicaciones de corto alcance 540, y puede también incluir otros subsistemas 524 de dispositivo. El transceptor 511 incluye, preferiblemente, antenas de transmisión y de recepción, 516, 518, un receptor (Rx) 512, un transmisor (Tx) 514, uno o más osciladores locales (Los) 513 y un procesador de señal digital (DSP –“digital signal processor”) 520. Dentro de la memoria Flash 524, que puede, alternativamente, ser otro tipo de dispositivo de almacenamiento no volátil tal como una RAM apoyada o respaldada por batería, el dispositivo móvil 500 incluye, preferiblemente, una pluralidad de módulos de software 524A-524N que pueden ser ejecutados por el microprocesador 538 (y/o por el DSP 520), incluyendo un módulo de comunicación de voz 524A, un módulo de comunicación de datos 524B y una pluralidad de otros módulos operativos 524N para llevar a cabo una pluralidad de funciones.

El dispositivo móvil 500 es, preferiblemente, un dispositivo de comunicación en ambos sentidos que tiene capacidades de comunicación de voz y de datos. De esta forma, por ejemplo el dispositivo móvil 500 puede comunicarse a través de una red de voz, tal como cualquiera de entre redes celulares analógicas o digitales, y puede también comunicarse por una red de datos. Las redes de voz y de datos se han representado en la Figura 5 por medio de la torre de comunicación 519. Estas redes de voz y de datos pueden ser redes de comunicación independientes que utilizan infraestructura independiente, tal como estaciones de base, controladores de red, etc., o bien pueden estar integradas en una única red inalámbrica. Las referencias a la red 519 deben, por tanto, interpretarse de modo que abarquen tanto una única red de voz y de datos como redes independientes.

El subsistema de comunicación 511 se utiliza para comunicarse con la red 519. El DSP 520 se utiliza para enviar y recibir señales de comunicación hacia y desde el transmisor 514 y el receptor 512, y puede también intercambiar información de control con el transmisor 514 y con el receptor 512. Si las comunicaciones de datos y de voz se producen a una única frecuencia, o en un conjunto de frecuencias estrechamente separadas, entonces puede utilizarse un único LO 513 en combinación con el transmisor 514 y con el receptor 512. Alternativamente, si se utilizan frecuencias diferentes para comunicaciones de voz frente a las comunicaciones de datos, entonces puede utilizarse una pluralidad de LOs 513 para generar una pluralidad de frecuencias correspondientes a la red 519. Si bien en la Figura 5 se han representado dos antenas 516, 518, el dispositivo móvil 500 puede ser utilizado con una estructura de una única antena. La información, que incluye tanto información de datos como de voz, es comunicada hacia y desde el módulo de comunicación 511 a través de un enlace entre el DSP 520 y el microprocesador 538.

El diseño detallado del subsistema de comunicación 511, tal como la banda de frecuencias, la selección de componentes, el nivel o magnitud de potencia, etc., dependerá de la red de comunicación en la que el dispositivo móvil 500 esté destinado a operar. Por ejemplo, un dispositivo móvil 500 destinado a operar en un mercado norteamericano puede incluir un subsistema de comunicación 511 diseñado para operar con las redes móviles de comunicación de datos Mobitex o DataTAC, y también diseñado para operar con cualquiera de una variedad de redes de comunicación de voz, tales como el AMPS (Servicio de Telefonía Móvil Avanzado –“Advanced Mobile Phone Service”), TDMA, CDMA, PCS, etc., en tanto que un dispositivo móvil 500 destinado a utilizarse en Europa puede estar configurado para operar con la red de comunicación de datos de GPRS o con la red de comunicación de voz de GSM. Pueden también utilizarse con el dispositivo móvil 500 otros tipos de redes de datos y de voz, tanto independientes como integradas.

Dependiendo del tipo de red 519, los requisitos de acceso para el dispositivo móvil 500 pueden también variar. Por ejemplo, en las redes de datos Mobitex y DataTAC, los dispositivos móviles se registran en la red utilizando un número de identificación único o exclusivo asociado con cada dispositivo. En las redes de datos de GPRS, sin embargo, el acceso de red está asociado con un abonado o usuario del dispositivo móvil 500. Un dispositivo de GPRS requiere, por lo común, un SIM para hacer funcionar el dispositivo móvil 500 en una red de GPRS. Las funciones de comunicación locales o que no son de red (si las hay) pueden ser operables sin el SIM, pero el dispositivo móvil 500 será incapaz de llevar a cabo ninguna función que implique comunicaciones a través de la red 519, aparte de cualesquiera operaciones que se requieran por ley, tales como las llamadas de emergencia al ‘911’. Como se ha descrito anteriormente, pueden establecerse dominios en un SIM antes de que este sea proporcionado

al usuario, y se pueden añadir dominios adicionales a un SIM después de que este se haya instalado en un dispositivo móvil. Cuando un dispositivo de GPRS también incluye un componente de memoria, los dominios pueden existir en el componente de memoria y en el SIM. Pueden implementarse diferentes tipos de control de dominio y de criterios de dominio, dependiendo de la posición de un dominio.

Una vez que se han completado cualesquiera procedimientos de registro o de activación de red requeridos, el dispositivo móvil 500 puede enviar y recibir señales de comunicación, que preferiblemente incluyen señales tanto de voz como de datos, por la red 519. Las señales recibidas por la antena 516 desde la red de comunicación 519 son encaminadas al receptor 512, el cual se encarga de la amplificación de señal, de la conversión en sentido descendente de la frecuencia, de la filtración, de la selección de canal, de la conversión de analógica a digital, etc. La conversión de analógica a digital de la señal recibida permite funciones de comunicación más complejas, tales como la desmodulación y la descodificación digitales que se llevan a cabo utilizando el DSP 520. De una manera similar, las señales que se han de transmitir a la red 519 son procesadas o tratadas, incluyendo su modulación y codificación, por ejemplo, por el DSP 520, y a continuación son proporcionadas al transmisor 514 para su conversión de digitales a analógicas, su conversión en sentido ascendente de la frecuencia, su filtración, su amplificación y su transmisión a la red de comunicación 519 a través de la antena 518. Aunque se ha mostrado en la Figura 5 un único transceptor 511 tanto para comunicaciones de voz como de datos, es posible que el dispositivo móvil 500 pueda incluir dos transceptores distintos, tales como un primer transceptor para transmitir y recibir señales de voz, y un segundo transceptor para transmitir y recibir señales de datos, o un primer transceptor configurado para funcionar dentro de una primera banda de frecuencias, y un segundo transceptor configurado para funcionar dentro de una segunda banda de frecuencias.

Además de tratar las señales de comunicación, el DSP 520 puede también encargarse del control del receptor y del transmisor. Por ejemplo, los niveles o magnitudes de ganancia aplicadas a las señales de comunicación en el receptor 512 y en el transmisor 514 pueden ser controladas de forma adaptativa por medio de algoritmos de control de ganancia automático implementados en el DSP 520. Pueden también implementarse en el DSP 520 otros algoritmos de control de transceptor con el fin de proporcionar un control más sofisticado del transceptor 511.

El microprocesador 538 preferiblemente gestiona y controla el funcionamiento global del dispositivo móvil 500. Pueden utilizarse aquí muchos tipos de microprocesadores o microcontroladores, o, alternativamente, puede emplearse un único DSP 520 para llevar a cabo las funciones del microprocesador 538. Las funciones de comunicación de bajo nivel, incluyendo al menos las comunicaciones de datos y de voz, se llevan a cabo a través del DSP 520, en el transceptor 511. Otras aplicaciones de software de comunicación de alto nivel, tales como una aplicación de software de comunicación de voz 524A y una aplicación de software de comunicación de datos 524B, pueden haberse almacenado en la memoria Flash 524 para ser ejecutadas por el microprocesador 538. Por ejemplo, el módulo de comunicación de voz 524A puede proporcionar una interfaz de usuario de alto nivel susceptible de hacerse funcionar para transmitir y recibir llamadas de voz entre el dispositivo móvil 500 y una pluralidad de otros dispositivos de voz a través de la red 519. Similarmente, el módulo de comunicación de datos 524B puede proporcionar una interfaz de usuario de alto nivel susceptible de hacerse funcionar para enviar y recibir datos, tales como mensajes de correo electrónico, archivos, información del organizador, mensajes de texto cortos, etc., entre el dispositivo móvil 500 y una pluralidad de otros dispositivos de datos a través de la red 519.

El microprocesador 538 también interactúa con otros subsistemas del dispositivo, tales como el dispositivo de presentación visual 522, la memoria Flash 524, la memoria de acceso aleatorio (RAM –“random access memory”) 526, los subsistemas de entrada / salida (E/S) auxiliares 528, la puerta en serie 530, el teclado 532, el altavoz 534, el micrófono 536, un subsistema de comunicaciones de corto alcance 540 y cualesquiera otros subsistemas del dispositivo, designados en general con la referencia 542. Por ejemplo, los módulos 524A-N son ejecutados por el microprocesador 538 y pueden proporcionan una interfaz de alto nivel entre un usuario del dispositivo móvil y el dispositivo móvil. Esta interfaz incluye, por lo común, un componente gráfico proporcionado a través del dispositivo de presentación visual 522, y un componente de entrada / salida proporcionado a través de la E/S auxiliar 528, el teclado 532, el altavoz 534 o el micrófono 536. Dichas interfaces se han designado generalmente como UI 46 en la Figura 2.

Algunos de los sistemas que se muestran en la Figura 5 llevan a cabo funciones relacionadas con la comunicación, en tanto que otros subsistemas pueden proporcionar funciones “residentes” o radicadas en el dispositivo. En particular, algunos subsistemas, como el teclado 532 y el dispositivo de presentación visual 522, pueden ser utilizados tanto para funciones relacionadas con la comunicación, tales como la introducción de un mensaje de texto para su transmisión a través de una red de comunicación de datos, como para funciones residentes en el dispositivo, tales como una calculadora o una lista de tareas, u otras funciones del tipo de PDA.

El software de sistema operativo utilizado por el microprocesador 538 se almacena, preferiblemente, en un dispositivo de almacenamiento permanente tal como una memoria Flash 524. Además del sistema operativo y de los módulos de comunicación 524A-N, la memoria Flash 524 puede también incluir un sistema de archivos para almacenar datos. La memoria flash 524 puede también incluir dispositivos de almacenamiento de datos para aplicación, dominio y propiedades globales. El sistema operativo, las aplicaciones o módulos de software de

dispositivo específicos, o partes de los mismos, pueden cargarse temporalmente en un dispositivo de almacenamiento volátil, tal como una RAM 526, para un funcionamiento más rápido. Además, las señales de comunicación recibidas pueden también ser almacenadas temporalmente en la RAM 526, antes de inscribirlas de forma permanente en un sistema de archivos ubicado en la memoria Flash 524. Si bien el dispositivo 500 incluye una memoria Flash 524 como dispositivo de almacenamiento no volátil, ha de apreciarse que la memoria Flash representa un ejemplo de memoria no volátil. Otras disposiciones de memoria, tales como, por ejemplo, una RAM respaldada por batería, pueden utilizarse en lugar de la memoria Flash 524.

Un ejemplo de módulo de aplicación de software 524N que puede ser cargado en el dispositivo móvil 500, lo constituye una aplicación de software de PIM que proporciona capacidad funcional de PDA, tal como acontecimientos de calendario, citas y elementos de tarea. Este módulo 524N puede también interactuar con el módulo de comunicación de voz 524A para gestionar llamadas de voz, mensajes de voz, etc., y puede también interaccionar con el módulo de comunicación de datos 524B para gestionar comunicaciones de correo electrónico y otras transmisiones de datos. Alternativamente, toda la capacidad funcional del módulo de comunicación de voz 524A y del módulo de comunicación de datos 524B puede estar integrada dentro del módulo de PIM.

La memoria Flash 524 proporciona, preferiblemente, un sistema de archivos para facilitar el almacenamiento de elementos de datos de PIM en el dispositivo. La aplicación de software de PIM incluye, preferiblemente, la facultad de enviar y recibir elementos de datos, ya sea por sí misma, ya sea en combinación con los módulos de comunicación de voz y de datos, 524A, 524B, a través de la red inalámbrica 519. Los elementos de datos de PIM son, preferiblemente, integrados sin discontinuidades, sincronizados y actualizados, a través de la red inalámbrica 519, de manera que un conjunto correspondiente de elementos de datos se almacena o asocia con un sistema informático anfitrión o principal, por lo que se crea un sistema que es imagen especular para los elementos de datos asociados con un usuario particular.

El dispositivo móvil 500 puede también ser sincronizado manualmente con un sistema anfitrión mediante el emplazamiento del dispositivo móvil 500 en un acoplador de interfaz, el cual acopla la puerta en serie 530 del dispositivo móvil 500 a la puerta en serie del sistema anfitrión. La puerta en serie 530 puede ser también utilizada para descargar otros módulos de aplicación de software 524N, propiedades y datos a uno o más dominios del dispositivo móvil 500. Este recorrido de descarga por cable puede ser utilizado, adicionalmente, para cargar una clave de cifrado en el dispositivo móvil 500 para su uso en comunicaciones seguras, lo que constituye un método más seguro que intercambiar información de cifrado a través de la red inalámbrica 519.

Módulos de aplicación de software 524N, propiedades y datos adicionales pueden también ser cargados en dominios existentes en el dispositivo móvil 500 a través de la red 519, a través de un subsistema de E/S auxiliar 528, a través del subsistema de comunicaciones de corto alcance 540 o a través de cualquier otro subsistema adecuado 542, e instalados por un usuario en la memoria Flash 524 o en la RAM 526. Semejante flexibilidad en la instalación de aplicaciones de software aumenta la capacidad funcional del dispositivo móvil 500 y puede proporcionar funciones radicadas en el dispositivo mejoradas, funciones relacionadas con la comunicación mejoradas, o ambas. Por ejemplo, aplicaciones de software de comunicación seguras pueden hacer posible que funciones de comercio electrónico y otras transacciones financieras semejantes se lleven a cabo utilizando el dispositivo móvil 500.

Cuando el dispositivo móvil 500 está funcionando en un modo de comunicación de datos, una señal recibida, tal como un mensaje de texto o una descarga de página web, será tratada por el transceptor 511 y proporcionada al microprocesador 538, el cual tratará, preferiblemente, de forma adicional la señal recibida para suministrarla como salida al dispositivo de presentación visual 522 o, alternativamente, a un dispositivo de E/S auxiliar 528. Un usuario del dispositivo móvil 500 puede también componer elementos de datos, tales como mensajes de correo electrónico, utilizando el teclado 532, que es, preferiblemente, un teclado alfanumérico completo dispuesto en el estilo o configuración QWERTY, si bien pueden utilizarse también otros estilos de teclados alfanuméricos completos como el conocido estilo DVORAK. La introducción por parte del usuario en el dispositivo móvil 500 se ha mejorado adicionalmente con una pluralidad de dispositivos de E/S auxiliares 528, los cuales pueden incluir un dispositivo de entrada de rueda selectora, un cuadro o placa de teclas, una diversidad de conmutadores, un conmutador de entrada basculante, etc. Los elementos de datos que se han compuesto e introducido por el usuario pueden entonces ser transmitidos por la red de comunicación 519 a través del transceptor 511. En el caso de que el módulo de comunicación de datos 524B se encuentre en un dominio particular, los elementos de datos compuestos y recibidos serán, preferiblemente, almacenados en ese dominio, y los elementos de datos compuestos también serán enviados a través del conducto de datos del dominio.

Cuando el dispositivo móvil 500 está funcionando en un modo de comunicación de voz, el funcionamiento global del dispositivo móvil 500 es sustancialmente similar al modo de datos, excepto por que las señales recibidas son, preferiblemente, suministradas como salida al altavoz 534, las señales de voz para transmisión son generadas por un micrófono 536, y es posible utilizar un conducto de datos de dominio y unos activos diferentes. Pueden también implementarse en el dispositivo móvil 500 subsistemas de voz o audio 1/0 alternativos, tales como un subsistema de grabación de mensajes de voz. Aunque la salida de las señales de voz o audio se consigue, de preferencia, fundamentalmente a través del altavoz 534, puede utilizarse también el dispositivo de presentación visual 522 para proporcionar una indicación de la identidad de una parte llamante, la duración de una llamada de voz u otra información relacionada con una llamada de voz. Por ejemplo, el microprocesador 538, en combinación con el módulo de comunicación de voz 524A y con el software de sistema operativo, puede detectar la información de identificación del llamante de una llamada de voz entrante, y presentarla visualmente en el dispositivo de

5 presentación visual 522.

Puede haberse incluido también un subsistema de comunicaciones de corto alcance 540 en el dispositivo móvil 500. Por ejemplo, el subsistema 540 puede incluir un dispositivo de infrarrojos y circuitos y componentes asociados, o bien un módulo de comunicaciones inalámbricas de corto alcance Bluetooth u 802.11, para hacer posible la

10 comunicación con sistemas y dispositivos similarmente habilitados. De esta forma, pueden hacerse posibles en el dispositivo móvil 500 la inserción de información por el propietario, la inserción de información de control por el propietario, así como operaciones de carga de aplicaciones de software según se ha descrito anteriormente, a través de la puerta en serie 530 u otro subsistema de comunicaciones de corto alcance 540.

15 Se apreciará que la anterior descripción se refiere a realizaciones preferidas proporcionadas a modo de ejemplo únicamente.

APLICABILIDAD INDUSTRIAL La invención proporciona seguridad mejorada para dispositivos de comunicación móvil inalámbrica.

Claims

REIVINDICACIONES

1.

Un sistema para controlar de forma segura un dispositivo de comunicación móvil inalámbrica (30, 52), que comprende:

una pluralidad de dominios (54, 58, 62, 64, 68) residentes o radicados en un dispositivo de comunicación móvil inalámbrica (30, 52), de tal manera que cada dominio (54, 58, 62, 64, 68) incluye al menos un recurso (48, 46, 50, 40, 32) del dispositivo de comunicación móvil inalámbrica (30, 52); y un controlador (40) de dominio, configurado para recibir una petición para llevar a cabo una operación que afecta al menos a uno de los recursos (48, 46, 50, 40, 32), a fin de determinar si la petición se ha originado con una entidad que tiene una relación de confianza con el dominio (54, 58, 62, 64, 68) que incluye el al menos un recurso afectado (48, 46, 50, 40, 32), y para permitir que se complete la operación en el caso de que la petición se haya originado con una entidad que tiene una relación de confianza con el dominio (54, 58, 62, 64, 68) que incluye el al menos un recurso afectado (48, 46, 50, 40, 32).
2.

El sistema de acuerdo con la reivindicación 1, que comprende adicionalmente un dispositivo de almacenamiento

(31) de claves destinado a almacenar claves criptográficas (56, 66) asociadas con el dominio (54, 58, 62, 64, 68) que incluye el al menos un recurso afectado (48, 46, 50, 40, 32), de tal manera que el controlador (40) de dominio está configurado para determinar si la petición se ha originado con una entidad que tiene una relación de confianza con el dominio (54, 58, 62, 64, 68), utilizando las claves criptográficas (56, 66).
3.

El sistema de acuerdo con la reivindicación 1, en el cual el controlador (40) de dominio está configurado para determinar si la petición se ha originado con una entidad que tiene una relación de confianza con el dominio (54, 58, 62, 64, 68) que incluye el al menos un recurso afectado (48, 46, 50, 40, 32), mediante la determinación de si el dominio (54, 58, 62, 64, 68) que incluye el al menos un recurso afectado también incluye la entidad.
4.

El sistema de acuerdo con la reivindicación 1, en el cual al menos un dominio de la pluralidad de dominios (54, 58, 62, 64, 68) incluye, adicionalmente, una aplicación de software.
5.

El sistema de acuerdo con la reivindicación 4, en el que el al menos un dominio (54, 58, 62, 64, 68) comprende una pluralidad de dominios subordinados, o subdominios, y en el cual el dispositivo de comunicación móvil inalámbrica (30, 52) incluye, adicionalmente, una aplicación de software por encima del usuario, o suprausuario, que tiene una relación de confianza con más de uno de la pluralidad de subdominios.
6.

El sistema de acuerdo con la reivindicación 5, en el cual cada uno de los más de uno de la pluralidad de subdominios incluye la aplicación de software suprausuario.
7.

El sistema de acuerdo con la reivindicación 1, en el cual el controlador (40) de dominio está configurado, adicionalmente, para recibir información y para emplazar la información dentro de un dominio (54, 58, 62, 64, 68).
8.

El sistema de acuerdo con la reivindicación 1, en el que el al menos un recurso (48, 46, 50, 40, 32) se ha seleccionado de entre el grupo consistente en: conductos de comunicación, datos permanentes, propiedades y aplicaciones de software.
9.

El sistema de acuerdo con la reivindicación 1, que comprende, adicionalmente, un dispositivo de almacenamiento de datos para almacenar propiedades, y en el cual el controlador (40) de dominio está configurado, adicionalmente, para determinar si la operación es permitida por las propiedades contenidas en el dispositivo de almacenamiento de datos, y para permitir que se complete la operación cuando la operación es permitida por las propiedades contenidas en el dispositivo de almacenamiento de datos.
10.

El sistema de acuerdo con la reivindicación 9, en el cual cada propiedad es global, específica del dominio, o específica de una aplicación de software de dispositivo móvil, existente en el dispositivo de comunicación móvil inalámbrica (30, 52).
11.

El sistema de acuerdo con la reivindicación 1, en el cual la pluralidad de dominios (54, 58, 62, 64, 68) comprende al menos uno de entre: un dominio (54) de empleador, un dominio (62) de portador, un dominio (64) de usuario, un dominio por defecto (58), o un dominio (68) de propiedades.
12.

El sistema de acuerdo con la reivindicación 1, en el cual al menos uno de los recursos (48, 46, 50, 40, 32) comprende una aplicación de software que tiene acceso a múltiples dominios o una aplicación de software que presenta una vista unificada de los datos a través de múltiples dominios.
13.

El sistema de acuerdo con la reivindicación 1, en el cual la pluralidad de dominios (54, 58, 62, 64, 68) comprende un dominio (54) de empleador y un dominio (64) de usuario; de tal manera que los datos del dominio (54) de empleador son enviados utilizando un conducto de comunicación asociado con el dominio (54) de empleador, y

los datos del dominio (64) de usuario son enviados utilizando un conducto de comunicación asociado con el dominio

(64) de usuario.
14.

El sistema de acuerdo con la reivindicación 1, en el cual la petición procede de una aplicación de software.
15.

Un método para un control seguro de un dispositivo de comunicación móvil inalámbrica (30, 52), que comprende:

separar o segregar recursos (48, 46, 50, 40, 32) del dispositivo de comunicación móvil inalámbrica (30, 52) en una pluralidad de dominios (54, 58, 62, 64, 68), de tal manera que cada dominio (54, 58, 62, 64, 68) incluye al menos un recurso (48, 46, 50, 40, 32) del dispositivo de comunicación móvil inalámbrica (30, 52); recibir (70) una petición para llevar a cabo una operación que afecta al menos a uno de los recursos (48, 46, 50, 40, 32); determinar (74) si la operación es permitida por el dominio (54, 58, 62, 64, 68) que incluye el recurso afectado (48, 46, 50, 40, 32); y permitir que se complete la operación en el caso de que la operación sea permitida por el dominio (54, 58, 62, 64, 68) que incluye el recurso afectado (48, 46, 50, 40, 32). 16.-El método de acuerdo con la reivindicación 15, en el cual la etapa de determinar comprende la etapa de determinar si la petición se ha originado con una entidad que tiene una relación de confianza con el dominio (54, 58, 62, 64, 68) que incluye el al menos un recurso afectado (48, 46, 50, 40, 32).
17.

El método de acuerdo con la reivindicación 16, en el cual la etapa de determinar si la petición se ha originado con la entidad que tiene la relación de confianza con el dominio (54, 58, 62, 64, 68) que incluye el al menos un recurso afectado (48, 46, 50, 40, 32), comprende la etapa de determinar si el dominio (54, 58, 62, 64, 68) que incluye el al menos un recurso afectado, también incluye la entidad.
18.

El método de acuerdo con la reivindicación 16, en el que la petición se origina desde una aplicación de software, y en el cual la etapa de determinar si la petición originada con la entidad que tiene la relación de confianza con el dominio (54, 58, 62, 64, 68) que incluye el al menos un recurso afectado (48, 46, 50, 40, 32), comprende la etapa de verificar una firma digital de la aplicación de software utilizando una clave criptográfica (56, 66) asociada con el dominio (54, 58, 62, 64, 68).
19.

El método de acuerdo con la reivindicación 15, que comprende, adicionalmente, las etapas de:

recibir información; y asociar la información con al menos uno de la pluralidad de dominios (54, 58, 62, 64, 68).
20.

El método de acuerdo con la reivindicación 19, en el cual la etapa de asociar comprende la etapa de determinar con qué dominios (54, 58, 62, 64, 68) se ha de asociar la información de acuerdo con los criterios de dominio.
21.

El método de acuerdo con la reivindicación 20, en el cual los criterios de dominio especifican que la información se ha de asociar con dominios (54, 58, 62, 64, 68) basándose en uno o más de entre: una fuente de información, un indicador de un dominio contenido en la información, un conducto de comunicación por el que es recibida la información, una firma digital de la información, una lista de acceso que describe información de dominio permitida, y una entrada desde un usuario del dispositivo de comunicación móvil inalámbrica (30, 52).
22.

El método de acuerdo con la reivindicación 15, que comprende, adicionalmente, la etapa de:

determinar si la operación es permitida por las propiedades almacenadas en el dispositivo de comunicación móvil inalámbrica (30, 52), de tal manera que la etapa de permitir comprende la etapa de permitir que se complete la operación en el caso de que la operación sea tanto por el dominio (54, 58, 62, 64, 68) como por las propiedades.
23.

El método de acuerdo con la reivindicación 22, en el cual la etapa de determinar si la operación es permitida por las propiedades almacenadas en el dispositivo de comunicación móvil inalámbrica (30, 52), comprende la etapa de comprobar propiedades globales para el dispositivo de comunicación móvil inalámbrica (30, 52) y propiedades de dominio para el dominio (54, 58, 62, 64, 68) que incluye el al menos un recurso afectado (48, 46, 50, 40, 32).
24.

El método de acuerdo con la reivindicación 23, en el que la petición se origina desde una aplicación de software, y en el cual la etapa de determinar si la operación es permitida por las propiedades almacenadas en el dispositivo de comunicación móvil inalámbrica (30, 52), comprende, adicionalmente, la etapa de comprobar propiedades de aplicación para la aplicación de software.
25.

El método de acuerdo con la reivindicación 15, en el cual la pluralidad de dominios (54, 58, 62, 64, 68) comprende al menos uno de entre: un dominio (54) de empleador, un dominio (62) de portador, un dominio (64) de usuario, un dominio por defecto (58), o un dominio (68) de propiedades.
26.

El método de acuerdo con la reivindicación 15, en el cual al menos uno de los recursos (48, 46, 50, 40, 32) comprende una aplicación de software que tiene acceso a múltiples dominios o una aplicación de software que presenta una vista unificada de los datos a través de múltiples dominios.
27.

El método de acuerdo con la reivindicación 15, en el cual la pluralidad de dominios (54, 58, 62, 64, 68) comprende un dominio (54) de empleador y un dominio (64) de usuario; de tal manera que los datos del dominio (54) de empleador son enviados utilizando un conducto de comunicación asociado con el dominio (54) de empleador, y los datos del dominio (64) de usuario son enviados utilizando un conducto de comunicación asociado con el dominio

10 (64) de usuario.
28. El método de acuerdo con la reivindicación 15, en el cual la petición procede de una aplicación de software.