專利名稱：用于無(wú)線客戶機(jī)操作、管理和維護(hù)系統(tǒng)的客戶端安全管理的制作方法
背景技術(shù)：
在資源管理方面，諸如蜂窩電話的手持無(wú)線設(shè)備通常被認(rèn)為是網(wǎng)絡(luò)的末端，并且對(duì)這些設(shè)備的管理很少或根本沒(méi)有。例如，使這些設(shè)備免于由使用不恰當(dāng)?shù)匕踩虿话踩珶o(wú)線LAN或WiFi網(wǎng)絡(luò)的造成惡意入侵的安全保護(hù)措施根本就沒(méi)有存在過(guò)。
與此相反，在個(gè)人計(jì)算機(jī)(″PC″)環(huán)境中，“終端元件”是帶有許多內(nèi)建安全級(jí)別的完善復(fù)雜設(shè)備(例如，服務(wù)器、臺(tái)式PC、膝上型計(jì)算機(jī)等等)。在PC環(huán)境中，豐富的平臺(tái)管理模型和實(shí)現(xiàn)具有能夠更好地服務(wù)于管理者和并保護(hù)最終用戶的安全特性。
這兩個(gè)環(huán)境，即無(wú)線和PC世界，通過(guò)提供蜂窩通信和計(jì)算加強(qiáng)應(yīng)用程序的新型設(shè)備融合在一起。隨著日益復(fù)雜和昂貴的無(wú)線設(shè)備中計(jì)算和通信功能的融合，對(duì)無(wú)線世界中的安全特性和安全管理方法的要求也日益迫切。
這樣，就需要無(wú)線設(shè)備具備本地及遠(yuǎn)程管理這些安全特性并能夠檢測(cè)和阻止入侵的能力。


在說(shuō)明書的結(jié)論部分尤其指出并明確聲明了本發(fā)明的主題。然而通過(guò)參考隨后的詳細(xì)描述并結(jié)合閱讀附圖可以最佳地理解作為組織和操作方法的本發(fā)明以及它的對(duì)象、特征和優(yōu)點(diǎn)，所述附圖包括圖1示出了與無(wú)線通信設(shè)備相結(jié)合的本發(fā)明的安全特性；圖2根據(jù)本發(fā)明示出了用于具有對(duì)無(wú)線客戶機(jī)進(jìn)行安全管理的操作、管理和維護(hù)(OA&M)塊的實(shí)施例；圖3示出了安全管理系統(tǒng)的安全政策、訪問(wèn)控制和監(jiān)視器組件；圖4示出了安全政策對(duì)象和接口的細(xì)節(jié)；圖5是根據(jù)本發(fā)明示出了對(duì)其應(yīng)用安全管理的多個(gè)被管理對(duì)象集合級(jí)別的框圖；圖6示出了訪問(wèn)控制的對(duì)象和接口的細(xì)節(jié)；以及圖7示出了監(jiān)視器的對(duì)象和接口的細(xì)節(jié)。
可以理解為了圖示的簡(jiǎn)明，在圖中示出的元件不必按比例畫出。例如為了描述清楚，某些元件的尺寸可相對(duì)于其他元件加以放大。此外出于合適的考慮，可以重復(fù)圖中的編號(hào)用于指明對(duì)應(yīng)的或類似的元件。
具體實(shí)施例方式
在隨后的描述中將闡明許多特定的細(xì)節(jié)以對(duì)本發(fā)明有全面了解。然而本領(lǐng)域普通技術(shù)人員應(yīng)該理解無(wú)需這些特定細(xì)節(jié)也可以實(shí)現(xiàn)本發(fā)明。在其他的實(shí)例中，就不詳細(xì)描述已知的方法、步驟、組件和電路以避免淡化本發(fā)明。
在隨后的說(shuō)明和權(quán)利要求中，會(huì)使用術(shù)語(yǔ)“耦合”和“連接”以及它們的變體。應(yīng)該理解這些術(shù)語(yǔ)并不相互同義。相反地在某些實(shí)施例中，“連接”用于指示相互直接物理或電氣連接的兩個(gè)或更多元素。而“耦合”則意味著直接物理或電氣連接的兩個(gè)或更多元素。然而，“耦合”也指不相互直接連接，但仍然相互協(xié)作或交互的兩個(gè)或更多元素。
無(wú)線通信設(shè)備10具有從一個(gè)或多個(gè)天線接收或發(fā)送調(diào)制信號(hào)的收發(fā)機(jī)12。提供模擬前端收發(fā)機(jī)作為獨(dú)立射頻(RF)集成模擬電路，或者可選地嵌入處理器14作為混合模式集成電路。接收到的調(diào)制信號(hào)是下變頻的濾波信號(hào)，并在隨后被轉(zhuǎn)換成數(shù)字信號(hào)。用于由處理器14處理的基帶信號(hào)的數(shù)字?jǐn)?shù)據(jù)可以通過(guò)接口18轉(zhuǎn)移用于存儲(chǔ)器設(shè)備20的存儲(chǔ)。存儲(chǔ)器設(shè)備20連接至處理器14用于存儲(chǔ)處理器14所需的數(shù)據(jù)和/或指令。在某些實(shí)施例中，存儲(chǔ)器設(shè)備20可以是易失性存儲(chǔ)器，而在可選實(shí)施例中，存儲(chǔ)器設(shè)備20可以是非易失性存儲(chǔ)器。
在圖1中示出的用于無(wú)線通信設(shè)備10的體系結(jié)構(gòu)包括可用于無(wú)線產(chǎn)品的本發(fā)明的安全特性。同樣地，處理器14包括用于無(wú)線客戶機(jī)的操作、管理和維護(hù)(OA&M)系統(tǒng)16。OA&M表示跨越無(wú)線手持平臺(tái)的廣泛功能性分類。操作指為無(wú)線通信設(shè)備10的最終用戶提供服務(wù)以及支持這些服務(wù)所需的相關(guān)功能的活動(dòng)，所述相關(guān)功能諸如(資源和服務(wù)的)供應(yīng)、性能管理、賬戶管理和記賬。管理涉及發(fā)出請(qǐng)求服務(wù)級(jí)別的組件管理，這樣就與諸如服務(wù)質(zhì)量(QoS)、性能管理以及可應(yīng)用通信量管理的概念相關(guān)聯(lián)。維護(hù)可以被細(xì)分為出錯(cuò)性維護(hù)和預(yù)防性維護(hù)。糾錯(cuò)性維護(hù)包括故障檢測(cè)和恢復(fù)，而預(yù)防性維護(hù)則包括跟蹤并警示未決或可能的故障條件并由此重構(gòu)平臺(tái)資源。OA&M系統(tǒng)16包括各種管理系統(tǒng)或帶有硬件、軟件代碼以及一個(gè)或多個(gè)對(duì)象以執(zhí)行希望功能的“管理器”。
為無(wú)線通信設(shè)備10準(zhǔn)備的體系結(jié)構(gòu)也可以在各種其他的應(yīng)用中使用，其中所聲明的主題可以并入微控制器、通用微處理器、數(shù)字信號(hào)處理器(DSP)、精簡(jiǎn)指令集計(jì)算(RISC)、復(fù)雜指令集計(jì)算(CISC)以及其他電子組件。OA&M系統(tǒng)16可以并入這些設(shè)備并且包括管理平臺(tái)資源(例如，設(shè)備、設(shè)備或網(wǎng)絡(luò)組件、外圍設(shè)備等等)的分層系統(tǒng)方法。要在無(wú)線通信設(shè)備10的手持平臺(tái)上管理的資源通常被稱為被管理資源并且在軟件中被示例作為被管理對(duì)象(MO)。
圖2示出了基于其在無(wú)線通信設(shè)備10內(nèi)關(guān)系而描述的OA&M系統(tǒng)1 6的一個(gè)實(shí)施例。應(yīng)該指出OA&M系統(tǒng)16應(yīng)該位于無(wú)線通信設(shè)備10上，或者可選地，OA&M系統(tǒng)16的一部分可以常駐于網(wǎng)絡(luò)上的一個(gè)位置。OA&M系統(tǒng)16可以包括賬目管理塊210、性能管理塊212、事件管理塊214、配置管理塊216、通知管理塊218、故障管理塊220、被管理對(duì)象數(shù)據(jù)庫(kù)222和安全管理塊224。雖然示出并描述的OA&M系統(tǒng)16具有全部這些塊，但是其他實(shí)施例可以包括更少的塊而不背離本發(fā)明所聲明的主題。
賬目管理塊210可以記錄記賬相關(guān)的信息以及結(jié)合遠(yuǎn)程記賬功能記錄的通信會(huì)話細(xì)節(jié)。
性能管理塊212可以為最終用戶和商業(yè)級(jí)別應(yīng)用定義功能，其中設(shè)計(jì)商業(yè)級(jí)別應(yīng)用以實(shí)現(xiàn)局域和網(wǎng)絡(luò)性能、物理和邏輯配置、預(yù)防性維護(hù)、服務(wù)停機(jī)避免以及服務(wù)供應(yīng)商發(fā)送質(zhì)量的測(cè)量以及客戶機(jī)應(yīng)用操作的最高級(jí)別。
事件管理塊214提供用于俘獲和遞送平臺(tái)事件(諸如被管理對(duì)象內(nèi)任何即時(shí)改變)的模型。這些事件是平臺(tái)監(jiān)視、性能調(diào)節(jié)、故障管理、電源管理和建立配置的基礎(chǔ)。
配置管理塊216為定義并保存配置數(shù)據(jù)提供各種操作?？梢蕴砑訑?shù)據(jù)以創(chuàng)建新資源，刪除數(shù)據(jù)來(lái)移除無(wú)用資源并且還可修改與現(xiàn)存資源相關(guān)聯(lián)的數(shù)據(jù)用于資源優(yōu)化。
通知管理塊218可用于分組事件細(xì)節(jié)并將其遞送給感興趣的系統(tǒng)組件。這些信息例如可包括生成事件的被管理對(duì)象(MO)、它的分類和例示、事件時(shí)間以及與特定MO、它的功能和與平臺(tái)內(nèi)其他(如果可適用)MO之間的關(guān)系相關(guān)聯(lián)的可選信息。
故障管理塊220可以在提醒和故障出現(xiàn)時(shí)檢測(cè)到它們并且一旦接收就通知其他組件、子系統(tǒng)或管理員；隔離故障并限制故障的影響；使用測(cè)試?yán)?、診斷和互相關(guān)技術(shù)來(lái)確定故障原因；使用維護(hù)例程(或人類介入)修復(fù)或移除故障。
被管理對(duì)象數(shù)據(jù)庫(kù)222可以包括文件、表格或與OA&M系統(tǒng)1 6的每個(gè)被管理對(duì)象相對(duì)應(yīng)的其他表示。被管理對(duì)象表示由OA&M系統(tǒng)16管理的平臺(tái)資源。為了幫助理解本發(fā)明，應(yīng)該注意“被管理資源”和“被管理對(duì)象”之間的意思差別。被管理資源是在人們希望管理(即創(chuàng)建、修改、發(fā)現(xiàn)或檢查)的系統(tǒng)內(nèi)的那些現(xiàn)實(shí)物。在某些實(shí)施例中，這些被管理資源可以包括各種硬件和軟件組件(或其他的部分)，例如可具體包括處理器14、存儲(chǔ)器設(shè)備20、其他半導(dǎo)體設(shè)備、操作程序、通信程序、其他軟件或固件組件等等。
為了有效管理這些資源，通常可將這些資源具體實(shí)現(xiàn)為被管理對(duì)象。所以，被管理對(duì)象是通常用在軟件中對(duì)被管理對(duì)象的抽象，并表示包含在被管理資源內(nèi)的數(shù)據(jù)和關(guān)系。
應(yīng)該注意到雖然可使用單個(gè)被管理對(duì)象表示單個(gè)被管理資源，但在通常情況下并不這樣做，因?yàn)楸还芾碣Y源通常很復(fù)雜并且需要分解成多個(gè)對(duì)象。此外，還存在額外的被管理對(duì)象，例如用于表示被管理資源組件之間或分開的被管理資源之間的關(guān)系。在圖5中可以顯見這一復(fù)雜性。在圖4和圖6中，上述觀點(diǎn)可以幫助理解由1到N的實(shí)際被管理對(duì)象表示的標(biāo)記為“MO”的單個(gè)塊。
本領(lǐng)域普通技術(shù)人員顯而易見的是被管理對(duì)象的形式可以多種多樣并且可以在特定的(標(biāo)準(zhǔn)化或?qū)＠?方案規(guī)則下存在，但是這些實(shí)施例都不會(huì)影響在此描述的本發(fā)明的實(shí)踐。
根據(jù)聲明的主題，安全管理塊224是OA&M系統(tǒng)16的集成部分并且為無(wú)線手持設(shè)備提供平臺(tái)管理安全子系統(tǒng)。安全管理塊224通常保護(hù)OA&M被管理資源不受篡改或防止其數(shù)據(jù)被不信任方或未授權(quán)控制操作公開。
圖3示出了安全管理塊224控制下安全管理系統(tǒng)300的三個(gè)組件；即安全政策塊310、訪問(wèn)控制塊312和監(jiān)視塊314。安全政策塊310為被管理對(duì)象處的被管理資源的驗(yàn)證和加密和被管理對(duì)象屬性級(jí)別制定政策。安全訪問(wèn)控制塊312提供訪問(wèn)被管理資源許可的驗(yàn)證、委托和定義的機(jī)制。安全監(jiān)視塊314為安全提醒提供報(bào)告機(jī)制，報(bào)告事件(諸如提供被管理對(duì)象修改或訪問(wèn)、新的管理驗(yàn)證以及關(guān)于獲取訪問(wèn)使用的任何安全密鑰的信息)。這些提醒的傳播依賴于OA&M系統(tǒng)的提醒管理設(shè)備。使用無(wú)線通信設(shè)備10內(nèi)的這些組件，就可驗(yàn)證資源的信任用戶，保護(hù)對(duì)資源的訪問(wèn)控制以及加密潛在可訪問(wèn)的數(shù)據(jù)。
現(xiàn)參考圖4，根據(jù)本發(fā)明的一個(gè)實(shí)施例示出了被管理對(duì)象和安全政策塊310接口的框圖。安全政策塊310對(duì)被管理對(duì)象應(yīng)用訪問(wèn)控制機(jī)制并為被管理對(duì)象數(shù)據(jù)加密開關(guān)平臺(tái)設(shè)置政策。用于安全政策塊310的應(yīng)用程序接口(API)是一組用于建立軟件應(yīng)用程序的例程、協(xié)議和工具，并且包括安全政策(SecurityPolicy)接口410、安全政策(SecurityPolicy)412、屬性安全(AttributeSecurity)414以及被管理對(duì)象416(來(lái)自配置管理塊216)(參見圖2)。
安全政策塊310允許出于驗(yàn)證和加密的目的調(diào)整安全政策，使之可用于與政策對(duì)象相關(guān)聯(lián)的整個(gè)被管理對(duì)象或被管理對(duì)象的個(gè)體屬性。應(yīng)該注意到單個(gè)被管理對(duì)象可以是表示被管理資源的被管理對(duì)象的集合根。在此情況下，資源的安全管理實(shí)際可以在三個(gè)粒度級(jí)上出現(xiàn)，即被管理對(duì)象集合、個(gè)體被管理對(duì)象和個(gè)體被管理對(duì)象屬性。用于被管理對(duì)象或被管理對(duì)象集合驗(yàn)證和加密的安全政策可由與被管理對(duì)象416相關(guān)聯(lián)的安全政策對(duì)象表示。
安全政策412包括用于每個(gè)驗(yàn)證和加密的政策屬性，這些屬性可簡(jiǎn)單地由“關(guān)(Off)”和“開(On)”表示，或者由對(duì)特定被管理對(duì)象應(yīng)用更復(fù)雜政策的常規(guī)表示。安全政策412還包括覆蓋用于個(gè)人被管理對(duì)象的驗(yàn)證加密政策的屬性，這些屬性指示實(shí)施的政策對(duì)被管理對(duì)象或集合來(lái)講是本地的還是從系統(tǒng)或被管理對(duì)象集合處繼承的。
對(duì)于某些實(shí)施例中屬性級(jí)別上更細(xì)致的安全規(guī)范，可在使用其自身的驗(yàn)證和加密設(shè)置創(chuàng)建個(gè)體屬性安全對(duì)象的屬性安全414內(nèi)列出個(gè)體屬性。個(gè)體設(shè)置在任何時(shí)候都可被全局政策一并覆蓋。被管理對(duì)象416可以包括具有創(chuàng)建、初始化、刪除、修改和詢問(wèn)能力的名稱屬性、分類屬性、親子相關(guān)和狀態(tài)屬性。
圖5是示出了可根據(jù)本發(fā)明對(duì)其應(yīng)用管理安全的被管理對(duì)象集合的多個(gè)級(jí)別的框圖。在圖中，每個(gè)框代表一個(gè)被管理對(duì)象。必須使用一個(gè)或多個(gè)被管理對(duì)象來(lái)表示被管理資源。在使用多于一個(gè)被管理對(duì)象表示被管理資源的情況下，被管理對(duì)象就以某種方式(諸如由本圖中對(duì)象之間線條所示)彼此相關(guān)聯(lián)。被管理對(duì)象表示的不同實(shí)施例可以允許或限制(或不允許或限制)這些關(guān)聯(lián)，例如可以是樹形層級(jí)關(guān)聯(lián)、循環(huán)關(guān)聯(lián)、集合關(guān)聯(lián)或其他關(guān)聯(lián)。本圖旨在解釋涉及被管理資源表示的本發(fā)明應(yīng)用的不同級(jí)別。
圖中的示例被管理資源是安裝用于在管理平臺(tái)上運(yùn)行的服務(wù)應(yīng)用程序。該服務(wù)具有記錄日志以及核算賬目的子功能。橢圓描繪了單個(gè)屬性540、單個(gè)被管理對(duì)象530、表示核算賬目子功能的被管理對(duì)象集合520以及服務(wù)應(yīng)用程序的整個(gè)被管理資源510的輪廓，并且還描繪了本發(fā)明可用的安全政策(驗(yàn)證和加密)的四個(gè)可能應(yīng)用級(jí)別。
當(dāng)應(yīng)用于整個(gè)服務(wù)應(yīng)用程序514的“根”對(duì)象時(shí)，安全政策的范圍將該政策應(yīng)用于表示應(yīng)用程序的整個(gè)一組被管理對(duì)象集合。當(dāng)該安全政策用于整個(gè)被管理資源的一個(gè)諸如524的子集時(shí)，這就是單個(gè)被管理對(duì)象集合政策。而更具體的安全政策可以特定用于敏感的個(gè)體被管理對(duì)象，諸如534。安全政策最特殊的應(yīng)用也可出現(xiàn)在單個(gè)屬性級(jí)別，諸如在本示例圖中由日志執(zhí)行被管理對(duì)象內(nèi)的最大日志長(zhǎng)度(MaxLogSize)屬性544所表示的那樣。
圖6示出了安全訪問(wèn)控制塊312(參見圖3)的對(duì)象和接口的細(xì)節(jié)。安全訪問(wèn)控制塊312包括所有者接口610、設(shè)備所有者列表612、安全控制臺(tái)(SecurityConsole)接口614、安全控制臺(tái)616、控制點(diǎn)(ControlPoint)618、訪問(wèn)控制列表(ACL)項(xiàng)目620、證書高速緩存(CertificateCache)622、輪廓管理器(ProfileManager)624和實(shí)現(xiàn)許可輪廓作為方便設(shè)備的輪廓(Profile)626。安全控制臺(tái)616接口可以對(duì)控制點(diǎn)618的生命周期以及進(jìn)行控制并系統(tǒng)內(nèi)ACL項(xiàng)目620對(duì)象的創(chuàng)建進(jìn)行控制。輪廓管理器624接口可以支配集合在單個(gè)輪廓626內(nèi)的多個(gè)控制點(diǎn)618。這樣，輪廓626和所有相關(guān)控制點(diǎn)618和ACL項(xiàng)目620等等可以作為單個(gè)項(xiàng)目被接合、定義、安裝或移除。可以通過(guò)安全政策412(參見圖4)及通過(guò)安全控制臺(tái)616的動(dòng)作的訪問(wèn)控制做出訪問(wèn)控制的決定的組合。
用于所有者接口610的API允許初始安全控制臺(tái)616變?yōu)槠脚_(tái)所有者并委托后續(xù)權(quán)限。如果該設(shè)備已經(jīng)被擁有，則簽名失效并不經(jīng)處理就拒絕請(qǐng)求。所有者接口610內(nèi)的TakeOwnership()允許安全控制臺(tái)616獲取用于該平臺(tái)的公共密鑰并經(jīng)由公共簽名密鑰聲明無(wú)主的安全知曉設(shè)備的所有權(quán)。成功TakeOwnership()動(dòng)作的結(jié)果是安全控制臺(tái)616被列表作為設(shè)備所有者(見612中的所有者)。所有者是被授權(quán)能夠編輯設(shè)備訪問(wèn)控制列表(ACL)項(xiàng)目620的控制點(diǎn)618。安全控制臺(tái)的接口可以為控制點(diǎn)618分配名稱并準(zhǔn)許它們對(duì)被管理資源的許可。一旦準(zhǔn)許安全控制臺(tái)616對(duì)設(shè)備的所有權(quán)，該安全控制臺(tái)就通過(guò)權(quán)限委托將所有權(quán)準(zhǔn)許給其他的安全控制臺(tái)。
設(shè)備所有者612的列表是被許可編輯設(shè)備ACL項(xiàng)目620的這些簽名密鑰的列表或安全無(wú)用信息(hash)。默認(rèn)給予這些簽名密鑰的每一個(gè)完全許可以修改被管理對(duì)象。典型地，設(shè)備僅有單個(gè)所有者。所有者可以根據(jù)它們相應(yīng)的ACL項(xiàng)目620指派被準(zhǔn)許少于全部所有者特權(quán)的控制點(diǎn)618。該方案允許對(duì)被管理資源不同區(qū)域的訪問(wèn)分離。
每個(gè)ACL項(xiàng)目620包括簽名密鑰以及一個(gè)或多個(gè)準(zhǔn)許許可。許可可由設(shè)備生產(chǎn)商或資源提供商來(lái)限定并包括一組允許動(dòng)作。ACL項(xiàng)目620可以限制授權(quán)從一個(gè)控制點(diǎn)618委托至另一個(gè)并基于時(shí)間日期的限制來(lái)限制這些授權(quán)的有效持續(xù)時(shí)間。這些特征由ACL項(xiàng)目620中的屬性委托、權(quán)限和有效性表示。于是，因?yàn)榭梢栽谥圃鞎r(shí)間或隨后安裝諸如設(shè)備組件、軟件、用戶優(yōu)先權(quán)等等的被管理資源，所以可以在ACL項(xiàng)目620內(nèi)創(chuàng)建響應(yīng)于管理這些資源權(quán)限的項(xiàng)目。
因?yàn)闊o(wú)線客戶機(jī)平臺(tái)具有受ACL項(xiàng)目620保護(hù)的大量資源或?qū)傩?，所以安全控制臺(tái)616可以轉(zhuǎn)換ACL項(xiàng)目并使用證書高速緩存622中的證書代替它以準(zhǔn)許對(duì)控制點(diǎn)618的許可。因?yàn)闊o(wú)線通信設(shè)備10對(duì)這些項(xiàng)目的存儲(chǔ)能力有限，所以就高速緩存這些證書并在訪問(wèn)被管理資源時(shí)將其與一控制點(diǎn)相關(guān)來(lái)進(jìn)行使用。
圖7示出了安全監(jiān)視塊314(參見圖3)的對(duì)象和接口細(xì)節(jié)。安全監(jiān)視塊314可以包括安全通知(SecurityNotification)接口710、安全通知712、回叫(callback)通知714、提醒對(duì)象716和警報(bào)718。安全通知712是一種預(yù)定點(diǎn)，用于涉及安全報(bào)警，維持這些報(bào)警集合并為這些報(bào)警添加報(bào)告功能的安全。安全管理監(jiān)視功能假設(shè)存在OA&M故障和警告管理系統(tǒng)。它提供安全范疇的OA&M通知。由安全通知的應(yīng)急程度就可料想扣押該報(bào)警的能力。安全警報(bào)可以在客戶機(jī)OA&M系統(tǒng)內(nèi)被定義并經(jīng)由通過(guò)ID和類型跟蹤每個(gè)警報(bào)的報(bào)警對(duì)象716的列表而被附連至安全監(jiān)視器。安全通知接口提供報(bào)告當(dāng)前安全子系統(tǒng)警報(bào)的機(jī)制。通過(guò)OA&M報(bào)警子系統(tǒng)所呼叫的Notify()回叫來(lái)遞送警報(bào)。
到現(xiàn)在應(yīng)該顯見的是，業(yè)已呈現(xiàn)了一種通過(guò)保護(hù)OA&M被管理資源免于被篡改或保護(hù)其數(shù)據(jù)免于向不信任方或未授權(quán)控制操作公開而用于提供無(wú)線通信設(shè)備內(nèi)安全保護(hù)的方法和體系結(jié)構(gòu)。由本發(fā)明提供的保護(hù)允許資源的信任用戶得到驗(yàn)證，提供對(duì)這些資源的訪問(wèn)控制以及為那些是或傾向于是“暢行無(wú)阻”的數(shù)據(jù)提供加密。
本發(fā)明的某些關(guān)鍵特性是為處于各個(gè)粒度級(jí)別的無(wú)線客戶機(jī)設(shè)備上的被管理資源定義安全的能力，所述粒度級(jí)別包括從整個(gè)設(shè)備到子系統(tǒng)到軟件和硬件組件、服務(wù)和應(yīng)用，直至上述各對(duì)象的個(gè)體屬性。此外，它還包括訪問(wèn)控制管理機(jī)制以及用于這些在可以被一次添加給多個(gè)被管理資源的輪廓內(nèi)的被管理資源的加密規(guī)范。本發(fā)明還包括通過(guò)監(jiān)視系統(tǒng)“健康狀況”的能力，而這是通過(guò)將其與整個(gè)OA&M設(shè)備系統(tǒng)內(nèi)的提醒能力相聯(lián)系得以實(shí)現(xiàn)的。
因?yàn)槭殖衷O(shè)備的相關(guān)環(huán)境限制，本發(fā)明允許這些安全方面通過(guò)例如準(zhǔn)許驗(yàn)證和加密粒度被有效實(shí)現(xiàn)。在無(wú)線設(shè)備中對(duì)添加安全的控制被提供給作為單個(gè)被管理資源子部分的特定被管理對(duì)象的獨(dú)立屬性。此外，本發(fā)明還提供有效管理訪問(wèn)控制表示和管理這些訪問(wèn)控制表示集合的輪廓的機(jī)制。
雖然在此示出并描述了本發(fā)明的某些特性，但是本領(lǐng)域普通技術(shù)人員可以領(lǐng)悟許多修改、代替、改變和等效。因此應(yīng)該理解所附權(quán)利要求意欲覆蓋所有這些修改和變換，它們都落在本發(fā)明的真正精神之內(nèi)。
權(quán)利要求
1.一種用于無(wú)線設(shè)備的安全管理，包括用于定義和維護(hù)配置數(shù)據(jù)的配置管理；被管理的對(duì)象數(shù)據(jù)庫(kù)；以及在所述無(wú)線設(shè)備中用于保證不同粒度級(jí)別上的訪問(wèn)的安全管理。
2.如權(quán)利要求1所述的無(wú)線設(shè)備的安全管理，其特征在于，所述不同的粒度級(jí)別包括將安全政策應(yīng)用于與政策對(duì)象相關(guān)聯(lián)的整個(gè)被管理的對(duì)象數(shù)據(jù)庫(kù)。
3.如權(quán)利要求1所述的無(wú)線設(shè)備的安全管理，其特征在于，所述不同的粒度級(jí)別包括將安全政策應(yīng)用于特定的被管理的對(duì)象數(shù)據(jù)庫(kù)。
4.如權(quán)利要求1所述的無(wú)線設(shè)備的安全管理，其特征在于，所述不同的粒度級(jí)別包括將安全政策應(yīng)用于表示整個(gè)被管理資源的特定被管理對(duì)象集合。
5.如權(quán)利要求1所述的無(wú)線設(shè)備的安全管理，其特征在于，所述不同的粒度級(jí)別包括將安全政策應(yīng)用于表示被管理資源的子集的特定被管理對(duì)象集合。
6.如權(quán)利要求1所述的無(wú)線設(shè)備的安全管理，其特征在于，所述不同的粒度級(jí)別包括將安全政策應(yīng)用于特定的被管理對(duì)象。
7.如權(quán)利要求1所述的無(wú)線設(shè)備的安全管理，其特征在于，所述不同的粒度級(jí)別包括將安全政策應(yīng)用于被管理對(duì)象的特定屬性。
8.如權(quán)利要求1所述的無(wú)線設(shè)備的安全管理，其特征在于，所述安全管理包括對(duì)平臺(tái)資源進(jìn)行所述管理的分層系統(tǒng)方法。
9.如權(quán)利要求8所述的無(wú)線設(shè)備的安全管理，其特征在于，在所述無(wú)線設(shè)備上被管理的所述平臺(tái)資源在軟件內(nèi)被示例作為被管理對(duì)象。
10.一種無(wú)線設(shè)備，包括在所述無(wú)線設(shè)備上的操作、管理和維護(hù)(OA&M)系統(tǒng)，它對(duì)被管理對(duì)象應(yīng)用訪問(wèn)控制機(jī)制并設(shè)置用于被管理對(duì)象數(shù)據(jù)庫(kù)加密的政策。
11.如權(quán)利要求10所述的無(wú)線設(shè)備，其特征在于，所述OA&M系統(tǒng)常駐于所述無(wú)線設(shè)備上。
12.如權(quán)利要求10所述的無(wú)線設(shè)備，其特征在于，所述OA&M系統(tǒng)的一部分常駐于所述無(wú)線設(shè)備上，而另一部分則常駐于網(wǎng)絡(luò)位置上。
13.如權(quán)利要求10所述的無(wú)線設(shè)備，其特征在于，所述被管理對(duì)象數(shù)據(jù)庫(kù)的加密包括所述整個(gè)被管理對(duì)象、特定被管理對(duì)象或者被管理對(duì)象的特定屬性。
14.一種手持設(shè)備內(nèi)的安全系統(tǒng)，包括在所述手持設(shè)備上的操作、管理和維護(hù)(OA&M)系統(tǒng)，其中所述OA&M系統(tǒng)指定被管理資源的一個(gè)或多個(gè)所有者。
15.如權(quán)利要求14所述的安全系統(tǒng)，其特征在于，所述OA&M系統(tǒng)能夠把權(quán)限從一個(gè)所有者委托給另一個(gè)所有者。
16.如權(quán)利要求14所述的安全系統(tǒng)，其特征在于，所述OA&M系統(tǒng)具有撤消所有權(quán)的能力。
17.如權(quán)利要求14所述的安全系統(tǒng)，其特征在于，所述OA&M系統(tǒng)具有指定復(fù)雜許可組的能力。
18.如權(quán)利要求14所述的安全系統(tǒng)，其特征在于，所述OA&M系統(tǒng)收集在輪廓中表示的所有者規(guī)范以同時(shí)應(yīng)用于多個(gè)被管理資源。
19.如權(quán)利要求14所述的安全系統(tǒng)，其特征在于，所述OA&M系統(tǒng)把特權(quán)輪廓和訪問(wèn)控制信息轉(zhuǎn)換為安全證書。
20.一種方法，包括提供在無(wú)線設(shè)備上的操作、管理和維護(hù)(OA&M)系統(tǒng)，其中所述OA&M系統(tǒng)指定被管理資源的一個(gè)或多個(gè)所有者；以及監(jiān)視利用所述OA&M系統(tǒng)內(nèi)的警報(bào)能力的安全子系統(tǒng)的健康功能。
21.如權(quán)利要求20所述的方法，其特征在于，還包括維護(hù)在安全通知內(nèi)的警報(bào)集合以提供關(guān)于所述警報(bào)的報(bào)告。
22.如權(quán)利要求20所述的方法，其特征在于，還包括提供在所述無(wú)線設(shè)備上所述OA&M系統(tǒng)內(nèi)的安全通知接口以提供報(bào)告所述警報(bào)的機(jī)制。
23.一種在無(wú)線設(shè)備中用于安全政策的應(yīng)用程序接口(API)，包括允許調(diào)整涉及驗(yàn)證和加密的安全政策的安全政策。
24.如權(quán)利要求23所述的API，其特征在于，將所述驗(yàn)證和加密應(yīng)用于與政策對(duì)象相關(guān)聯(lián)的整個(gè)被管理對(duì)象。
25.如權(quán)利要求23所述的API，其特征在于，將所述驗(yàn)證和加密應(yīng)用于與政策對(duì)象相關(guān)聯(lián)的被管理對(duì)象的個(gè)體屬性。
全文摘要
一種操作、管理和維護(hù)(OA& M)系統(tǒng)16為無(wú)線客戶機(jī)設(shè)備10上處于各個(gè)粒度級(jí)別的被管理資源提供安全，所述粒度級(jí)別包括從整個(gè)設(shè)備到子系統(tǒng)到軟件和硬件組件、服務(wù)和應(yīng)用，直至上述各對(duì)象的個(gè)體屬性。
文檔編號(hào)G06F21/00GK1890667SQ200480036851
公開日2007年1月3日 申請(qǐng)日期2004年12月1日 優(yōu)先權(quán)日2003年12月18日
發(fā)明者C·巴爾 申請(qǐng)人:英特爾公司