由物主控制电子设备的系统和方法

专利名称：由物主控制电子设备的系统和方法
技术领域：
本系统涉及电子设备，特别是由设备的物主(owner)对这些设备的控制操作。
背景技术：
在公司环境中，经常向雇员提供对在执行工作功能中使用的办公物资和设备的接入而配备有权使用用于工作目的的办公设备。标准设备通常包括至少一台个人计算机(PC)，还可以包括无线移动通信设备和其它类型的电子设备。虽然这些设备本意主要是用于业务或与工作有关的目的，但是有些使用者有时将办公设备用于个人目的。如果个人使用不与正常工作使用冲突、不会引起额外成本、并且遵守公司政策，那么雇主可以在一定程度上容忍私人使用办公设备。
在这些类情况中，电子设备的使用者不是设备的物主，并且使用者和物主对可容许的设备使用有不同的理解。例如，可以在公司政策中规定希望雇员遵守的可容许使用，但是在公司政策声明之外，公司设备的物主经常对电子设备是否被过度使用没有任何控制权。根据一种已知的控制电子设备操作的方案，物主可以在设备上加载一个政策文件来限制操作类型或设备可以执行的软件应用。然而，这种方案有时被使用者通过删除物主的政策文件或用包括比物主政策文件限制少的使用者政策文件替换物主的政策文件而破解。因此，就需要物主能对电子设备进行控制的系统和方法。

发明内容
物主控制电子设备的系统包括构成的物主信息存储器，用于存储包括数据完整性和/或源鉴权信息的物主信息，和构成的物主控制信息存储器，用于存储控制电子设备操作的物主控制信息。数据完整性用来检验所接收的物主控制信息的完整性和/或源鉴权信息用于对源进行鉴权。
一种物主控制电子设备的方法，包括步骤在电子设备上存储具有数据完整性和/或原始资料鉴权信息的物主信息，在电子设备接收物主控制信息，以及检验所接收的物主控制信息的完整性和/或确定要授权的原始资料是否已被授权。
可以向电子设备提供清除命令，其中清除命令是数字签署的并且指示将要从电子设备上清除物主信息。
通过下面的详细描述，物主控制系统和方法的其它特点将变得更加明显。


图1是显示其中使用电子设备的通信系统的方框图。
图2是说明在电子设备中插入物主信息和物主控制信息的系统的方框图。
图3是电子设备实施了物主控制的系统和方法的方框图。
图4是说明在电子设备中插入物主信息的方法的流程图。
图5是说明在电子设备中插入物主控制信息的方法的流程图。
图6显示了物主控制电子设备的方法的流程图。
图7是作为电子设备实例的无线移动通信设备的方框图。
具体实施例方式
图1是显示使用了电子设备的通信系统的方框图。通信系统10包括耦合到计算机系统14，无线网网关16和局域网(LAN)18的广域网(WAN)12。无线网网关16还连接到无线移动通信设备22(“移动设备”)被配置用以操作的无线通信网20。
计算机系统14是与例如WAN 12、因特网通信的台式或笔记本个人计算机(PC)。诸如计算机系统14这样的PC一般通过因特网服务提供商(ISP)、应用服务提供商(ASP)等接入因特网。
LAN 18是一个由多台计算机28连接成网络的典型的工作环境的例子。它一般位于安全防火墙24的后面。在LAN 18中，在防火墙24后面的一台计算机上运行的消息服务器26作为公司在LAN 18内交换消息和通过WAN 12与其它外部消息客户端交换消息的主要接口。已知的消息服务器包括，例如，MicrosoftTMExchange Server和Lutos DominoTM。LAN 18包括多台计算机系统28，每台都采用了象Microsoft OutlookTM、LotusNotesTM、Yahoo！TMMessenger、AOL Instant Messenger，或其它客户端-服务器或对等的消息客户端，或具有多种结构的类似的消息客户端。由消息服务器26接收到的消息被分发到接收消息中注明的用户帐号的邮箱中，然后用户通过计算机系统28上运行的消息客户端访问这些消息。所举例子并没有暗示只能采用客户端-服务器这种结构，事实上也可以使用其它结构。
虽然在LAN 18中只显示了一台消息服务器26，但是本领域技术人员可以理解，LAN可以包括支持联网计算机系统28之间共享的资源的其它类型的服务器，并且消息服务器26还可以提供象，例如日历、待办事项、任务表、电子邮件和文档这些数据的动态数据库存储的附加功能，并且不限于。仅作为说明的目的描述消息服务器26和电子消息。物主控制系统和方法可用于广泛的电子设备领域，并不仅限于具有发消息能力的电子设备。
无线网关16提供到无线网20的接口，消息通过无线网20可以与移动设备22进行交换。无线网关16执行象移动设备22寻址、为了无线传输对消息编码或变换这样的功能，或任何其它接口功能。无线网关16还可以和一个以上的无线网20进行操作，这时无线网关16还为定位给定移动设备22而确定最合适的网络，并且当用户在国家或网络间漫游时跟踪移动设备22。
移动设备22可以是，例如，数据通信设备、话音通信设备、象具有数据和话音通信功能的许多现代蜂窝电话这样的双模通信设备、能够进行话音、数据和其它类型通信的多模设备、可进行无线通信的个人数字助理(PDA)，或带有无线调制解调器的笔记本或台式计算机系统。
任何接入WAN 12的计算机系统都可以通过无线网网关16与移动设备22交换消息。另外，也可以采用象无线虚拟专网(VPN)路由器这样的专用无线网网关提供到无线网的专用接口。LAN 18中采用的无线VPN提供通过无线网20从LAN 18到一个或多个象22这样的移动设备的专用接口。通过提供与消息服务器26操作的消息转发或重新定向系统，到移动设备22的专用接口还可以有效扩展到LAN 18以外的实体。在编号为6,219,694的美国专利中揭示了这种消息重新定向系统，该专利结合在本申请中作为参考。在这种系统中，由消息服务器26接收到的输入消息找到移动设备22的用户，通过例如，无线VPN路由器、无线网关16、或其它接口发送到无线网接口无线网20和用户的移动设备22。到消息服务器26上的用户邮箱的其它可用接口可以是无线应用协议(WAP)网关。通过WAP网关，消息服务器26上的用户邮箱中的消息列表，和每条消息或每条消息的一部分可以发送到移动设备22。
无线网络20一般通过基站和设备之间的RF传输从或向诸如移动设备22之类的通信设备传递消息。无线网络20可以是，例如，以数据为中心的无线网络、以话音为中心的无线网络，或者能够在同一平台上既支持话音也支持数据通信的双模网络。近期开发的网络包括码分多址(CDMA)网络和通用分组无线业务(GPRS)网络。被称作第三代(3G)的网络，象基于全球演进的增强数据传输速率(EDGE)和通用移动通信系统(UMTS)也正在开发中。较早的以数据为中心的网络包括，但不限于MobitexTM无线网络(“Mobitex”)和DataTACTM无线网络(“DataTAC”)。以话音为中心的数据网络，诸如包括全球移动通信系统(GSM)和时分多址(TDMA)系统在内的个人通信系统(PCS)网络已经在北美和全世界运行了许多年。
在系统10中，拥有LAN 18的公司可以为雇员提供计算机系统28和移动设备22。当发给雇员的计算机系统28是笔记本计算机时，计算机系统28既可以在公司LAN 18内使用，也可以在公司LAN 18之外使用。当计算机系统在LAN 18内操作时，可以通过为计算机系统28配置允许和限制、用户的网络帐户，或两种同时采用来限制非本地操作，在这种方式中不是由使用者配置允许和限制。然而，如果使用者在LAN 18外使用计算机，通过将计算机按14所示连接到WAN 12，那么有时可以旁路在LAN 18位置上的基于网络的控制。
为了维护对诸如计算机系统28或移动设备22这样的电子设备的控制，物主可以直接在设备上建立本地设置。这种本地设置只有当设备上的设置保持完整时才控制设备操作。这种控制机制的一个常见问题是用户可以删除、替换、或修改本地设置。
图2是说明在电子设备中插入物主信息和物主控制信息的系统的方框图。图2中的系统包括电子设备210、物主信息插入点220、和物主控制信息插入点230。当物主控制插入点230可以被替换称作控制点时，物主信息插入点220可以替换为标签点。电子设备210中配备了物主信息存储器212、物主控制信息存储器214、和接口/连接器216。物主信息插入点220包括物主信息源224和接口/连接器222。物主控制信息插入点230同样包括物主信息源234和接口/连接器232。
物主信息存储器212存储用于识别电子设备210的物主诸如物主姓名或其它鉴别信息之类的信息。物主控制信息存储器214存储用来控制电子设备210的操作的信息。可以在，例如，要安装并且在电子设备210上执行的已授权软件应用程序列表中的授权记录中指定物主控制信息。下面更详细地描述使用物主控制信息控制电子设备的操作。物主信息源224和物主控制信息源234可以是本地存储装置、存储物主信息和物主控制信息的远程存储装置可以通过其接入的通信模块、或物主信息和物主控制信息可以通过其进入的可能的用户接口。
接口/连接器222与接口/连接器216兼容，以便在物主信息插入点220和电子设备210之间建立通信链路，从而能够将物主信息从物主信息源224传送到电子设备210。接口/连接器232同样可以通过接口/连接器232和216之间建立的通信链路将物主控制信息从物主控制信息源234传送到电子设备210上。接口/连接器216、222和232可以建立有线通信链路，其中接口/连接器可以是例如串口，或象接口/连接器是红外模块的红外链接的无线通信链路。要传送到设备上的物主信息和物主控制信息被分别插入或存储在物主信息存储器212和物主控制信息存储器214中。
物主控制插入点220与电子设备210的物主关联。雇主向使用者提供电子设备210，例如，物主控制插入点220可以是由公司计算机系统管理员或IT部门控制的计算机系统或设备。通过接口/连接器222在物主信息插入点220和电子设备210之间建立通信链路然后将物主信息插入物主信息存储器212来以物主信息“标注”电子设备210。除非有其它要求，一旦物主信息插入到移动设备210后，最好只能由物主或物主授权方改变物主信息或在电子设备210上插入或改变物主控制信息。
因为一旦物主信息插入后就限制在电子设备210上插入物主控制信息，所有无需由电子设备210的物主控制物主控制信息插入点230。当物主对物主控制信息插入点230维持控制时，可以在相同的计算机系统或设备上实施插入点220和230，并且共享相同的接口/连接器。然而，如图2所示的分开的插入点220和230允许电子设备的物主将物主控制信息插入委派给可信实体。如果利用，例如下面会更详细描述的数字签名控制物主控制信息的插入，那么物主首先标记电子设备210，然后向使用者提供电子设备210和经数字签名的物主控制信息。在这种情况下，物主控制信息插入点230可以是之后用来将经数字签名的物主控制信息插入到电子设备210的使用者的计算机系统。
在大部分的实施中，物主信息插入点220和物主控制信息控制点230包括与电子设备210中的接口/连接器216兼容的同一类型的接口/连接器222和232。然而，电子设备210可以替换为包括多个接口/连接器，这样可以在物主信息插入点220和物主控制信息插入点230采用不同类型的接口/连接器。虽然图2中只显示了一个物主控制信息插入点220和物主控制信息插入点230，但是一个完整的插入系统可以每种都包括多个插入点。例如，在大公司中，公司的计算机系统管理员可以从计算机系统的管理员，或任何管理功能可以访问的公司的计算机系统那里得到授权执行物主信息插入操作，于是就提供了多个物主信息插入点220。类似地，如上所述，当物主允许使用者在电子设备上插入经数字签名的物主控制信息后，每个使用者的计算机系统可以作为物主控制信息插入点230。
图3是实施了物主控制的系统和方法的电子设备的方框图。在图3中，电子设备是适合在无线网络中操作的电子设备30。另外，图3中所示的是用来向移动设备30插入物主信息的插入工具64。
对于本领域技术人员来说，很明显，图3中仅示出了物主控制系统中包含的部件。移动设备通常还包括图3所示以外的其它部件。另外，移动设备30可以作为物主希望强制某种使用政策的电子设备的示例。物主还可以希望控制其它类型的电子设备的使用，例如，移动电话和PDA。
如图3所示，移动设备30包括存储器32、处理器40、应用加载器(装入程序)42、插入模块44、用户接口(UI)46、无线收发机48、和接口/连接器50。存储器32最好包括软件应用存储器34、物主信息存储器36、授权记录存储器38、以及与图3所示以外的其它设备系统关联的其它可能的数据存储器。
存储器32是诸如RAM或闪存之类其它设备部件可以写入数据的可写存储器。然而，最好是限制对软件应用存储器34、物主信息存储器36、和授权记录存储器38的写入和清除存取。如下所述，例如，移动设备30的使用者可以从存储器34、36、和38得到数据，但是对这些存储器的写入和清除操作是被控制的。软件应用存储器34包括已经安装在移动设备30上的软件应用程序，还可以包括，例如，电子消息应用程序、个人信息管理(PIM)应用程序、游戏、以及其它应用程序。物主信息存储器36存储如物主姓名或其它鉴别信息、数字完整性和如与物主的数字签名私钥关联的数字签名公钥这样的源鉴权信息。移动设备30的物主指定对移动设备30的使用许可和限制的物主控制信息存储在授权记录存储器38的授权记录中。
处理器40连接到无线收发信机48，这样就可以使移动设备30通过无线网络进行通信。下面将更详细描述的应用加载器42和插入模块44被连接到接口/连接器50，从而允许通过合作的接口/连接器52与插入工具64进行通信。
UI46包括一个或多个象键盘或键区、显示器、或从移动设备30的用户接受输入或向移动设备30的用户提供输出的其它部件的UI部件。虽然图3中只显示了一个模块，但是很明显，移动设备30通常包括一个以上的UI，因此UI46代表一个或多个用户接口。
插入工具64包括物主信息存储器60和通过其与移动设备30进行信息交换的接口/连接器52，因此代表物主信息插入点220(图2)。如上所述，一般由电子设备的物主控制诸如插入工具64之类的物主信息插入点。因此，插入工具64例如被实施在由授权的管理员使用的管理员计算机系统上，以便为移动设备30提供服务或其它配置。因为任何使用者通常都可以使用联网的计算机系统，因此根据当前“登录”计算机系统的特定用户，插入工具64可以改为访问公司网络上的任何计算机系统。
物主信息存储器60存储要插入到移动设备30上的物主信息，并且可以被实施在，例如，象RAM芯片、闪存设备、或硬盘驱动器之类的本地存储部件上。当在联网的计算机系统或其它联网的设备上实施插入工具64时，物主信息存储器60可以是象通过网络连接可以访问插入工具64的文件服务器这样的远程存储系统。物主信息存储器60可以用组合象智能卡读卡机、存储卡读卡机、软盘驱动器、或CD或DVD驱动器这样的存储读卡机来代替。
通过接口/连接器50和52之间建立的通信链路在插入工具64和移动设备30之间传送信息。接口/连接器50和52可以是多种兼容的数据传输部件中的任何一种，包括例如象红外数据协会(IrDA)端口这样的光数据传输接口，其它短程无线通信接口，或象串口或通用串行总线(USB)端口和连接这样的有线接口。已知的短程无线通信接口包括，例如，分别按照蓝牙或802.11规范的“蓝牙”模块和802.11模块。本领域技术人员可以理解，蓝牙和802.11分别代表与无线LAN和无线个人区域网络有关的、来自电气和电子工程师协会(IEEE)的规范集。因此，插入工具64和移动设备30之间的通信链路可以是无线连接或物理的有线连接。
因为插入工具64和移动设备30之间的通信不需要利用物理连接来完成，所以把移动设备连接到插入工具的参考包括通过物理连接或无线传送方案建立通信。因此，可以通过连接移动设备30的串口和插入工具64，定位移动设备30，使得其光端口在插入工具64的类似端口的视线内，或者通过一些其它方式连接和排列移动设备30和插入工具64来交换数据，使移动设备30连接到插入工具64。在移动设备和插入工具之间建立通信时所包含的特定操作取决于在移动设备和插入工具中都可用的接口和/或连接器的类型。
使用者操作移动设备30之前，利用插入工具64将物主信息插入到移动设备30来帮助移动设备30的物主做标记。这可以通过，例如，物主在将移动设备30提供给使用者之前，或者在使用移动设备之前配置时可以通过预先加载物主信息来完成。在前一种实例中，物主保持对移动设备30的物理控制，直到加载了物主信息，而在后一种实例中，使用者已经拥有移动设备30但是最好在由物主配置前，或者至少是控制下，不能使用设备。
可以利用插入工具64执行在移动设备30上预先加载物主信息。如上简述，插入工具64可以是与物主系统管理员关联的计算机系统，或者是可以由移动设备使用者或管理员使用的计算机系统。根据物主信息预先加载方案，由移动设备使用者或管理员操作插入工具64。
当移动设备30连接到插入工具64后，从物主信息存储器60获得的物主信息通过接口/连接器52和50传送到移动设备30，并且通过存储物主信息的移动设备30上的插入模块44传递到存储器32中物主信息存储器36。
虽然图3中所示的插入模块44连接到接口/连接器50，但是该模块一般是由处理器40执行的软件模块或应用程序来实现的。这样，实际上通过将数据由处理器40路由到接口/连接器50来完成数据传送到接口/连接器50或从接口/连接器传送。在这种情况下，可以在物主信息被传送到移动设备30之前由插入工具64指导处理器40来启动插入模块44。另外，也可以在接收到物主信息的任何时候配置处理器40来启动插入模块44。插入工具64也可以是类似的由计算机系统上的处理器(未示出)或运行插入工具64的设备执行的软件模块或应用程序。
预先加载到移动设备30上的物主信息可以包括数据完整性和/或原始资料鉴权信息，例如对应由物主在信息发送到移动设备30之前对信息进行数字签名所使用的数字签名私钥的数字签名公钥的加密系统。预先加载数据完整性和/或原始资料鉴权信息能够使物主的控制操作具有更高的安全性，下面会结合数字签名的情况更详细地描述。物主信息还可以包括，例如，姓名或与移动设备30的物主关联的其它标识符。
在使用数字签名验证数据完整性和鉴权数据源的物主控制方案中，当物主的数字签名公钥已经插入到移动设备30上的物主信息存储器36后，指定对移动设备30允许和/或限制的物主控制信息被插入到移动设备30。虽然在图3中显示了物主信息插入点、插入工具64，但是从图2和上述内容能够很明显地看出，物主控制信息通常在通过在设备上插入物主信息标注设备后才插入到电子设备。为与移动设备30一起使用而配置的物主控制信息插入工具(未示出)与插入工具64类似，包括物主控制信息存储器和与接口/连接器50兼容的接口/连接器。物主控制信息被插入到移动设备30并且以授权记录的形式存储在授权记录存储器38中。在授权记录中，移动设备30的物主指定由使用者授权在移动设备30上安装的软件应用程序列表，以及必须在移动设备30上安装的所需软件应用程序的列表。
为了防止使用者插入欺诈的物主控制信息来破解物主控制，最好在物主控制信息传送到移动设备30之前利用物主的数字签名私钥对物主控制信息进行数字签名。插入模块44最好配置成在物主控制信息被存储在移动设备30之前能验证数字签名。如果数字签名验证失败，那么物主控制信息不存储在移动设备30上。
数字签名方案通常包括某种数字签名信息的变换来提供对信息完整性和所签署信息源的授权的验证。例如，根据一种已知的数字签名技术，利用不可逆的摘要算法(digest algorithm)或变换首先生成要进行数字签名的信息摘要。已知的摘要算法包括安全散列算法1(SHA-1)和消息-摘要算法5(MD5)。也可以使用其它为每种唯一输入产生唯一摘要的摘要技术。然后利用数字签名私钥和签名算法进一步变换摘要以产生数字签名。在数字签名验证中，使用对应私钥的数字签名公钥。
在物主控制和物主控制信息的情况下，在移动设备30上插入物主的数字签名公钥作为物主信息一部分可以为物主控制信息提供基于数字签名的安全性。如果在传送到移动设备30前所有物主控制信息都进行数字签名，那么利用只有物主知道的物主数字签名私钥插入模块44可以验证物主控制信息实际上已经被签名，并且物主控制信息自签名以来没有被修改过。这样，只把从移动设备30的物主产生的物主控制信息存储到移动设备30并在移动设备30上使用。
物主控制信息插入工具从物主控制信息存储器中获得物主控制信息，物主控制信息存储器可以是可访问插入工具的远程数据存储、本地存储或如上所述某些形式的存储器读卡机。根据物主希望授权给电子设备的一套软件应用程序或功能集来建立物主控制信息，并且一旦建立，通常不希望相对频繁地修改。然后可以利用物主数字签名私钥通过安全的计算机系统或只有管理员才能访问的软件成分对这种物主控制信息进行数字签名。在这种情况下，签名后的物主控制信息存储在管理员的计算机系统和可能的其它的计算机系统可以访问的位置，并且在需要时由物主控制信息插入工具获得。然后，物主控制信息插入工具将签名后的物主控制信息传送给移动设备30。根据物主控制信息变化或希望它变化的频率，为了提供对签名后的物主控制信息的本地访问，签名后的物主控制信息可以进一步发布给网络上的每一个计算机系统。当产生并签署新的物主控制信息后，所签署的新的物主控制信息最好代替所有现有物主控制信息的拷贝，下面会更详细地描述。物主控制信息的广泛发布使得能够更容易地访问物主控制信息，而当新的物主控制建立后，物主控制信息共享的远程存储对更新的需求更少。
还可以支持为物主控制信息插入工具上的物主控制信息产生的数字签名。然而，在本实例中，需要物主控制信息插入工具有权访问物主的数字签名私钥。除非有其它需求，通常最好只由安全计算机系统或部件执行对物主控制信息的数字签名，这样能限制可以访问物主数字签名私钥的计算机系统的数量。
当签名后的物主控制信息发送到插入模块44后，执行数字签名的验证操作。如果数字签名通过验证，那么将物主控制信息存储在移动设备30上的授权记录存储器38中。否则，不存储物主控制信息。在数字签名验证失败的情况下，会在象显示器这样的UI46上向使用者输出出错或类似提示，错误信息可以返回物主控制信息插入工具，并且也可以向物主控制信息插入工具的使用者输出失败提示。当物主控制信息插入失败后，可以在物主控制信息插入工具、移动设备，或两者上执行重试或其它出错处理操作。
在给出本实例中物主数字签名公钥的重要性后，为了确保在移动设备30上插入准确的物主控制信息，最好由管理员执行或至少授权任何移动设备30的至少第一个物主信息插入操作。这样可以防止使用者通过在移动设备30上插入物主数字签名公钥以外的数字签名公钥来破解物主控制。
例如，当物主希望扩大或进一步限制移动设备的使用而使物主控制信息改变时，最好替换现有的物主控制信息。如上所述，最好对新的物主控制信息进行数字签名，并且所签署的新的物主控制信息被发布到一个或多个在移动设备上所获得的插入位置。
可以使用任何一种向电子设备依次发布已签名的新物主控制信息的机制。当新的物主控制信息被发布到每个物主控制信息插入工具时，插入工具可以配置成能检测新物主控制信息的接收，并且在移动设备30下一次连接到物主控制信息插入工具时向移动设备30传送新的物主控制信息。如上所述，移动设备的使用者可以控制象物主控制信息插入工具这样的物主控制信息插入点230(图2)。许多现代电子设备都能被配置成与计算机系统同步。在这些系统中，可以通过对使用者的计算机系统实施物主信息控制插入工具来支持这种类型的物主控制信息发布。然后在下一次电子设备与计算机系统同步时将新的物主控制信息传送到电子设备。
另外，如图1所示，也可以由物主经，例如，LAN 18、WAN 12和无线网网关16通过无线网络将新的物主控制信息发送到所有所拥有的移动设备。这些已签名的物主控制信息可以被直接或通过一个或多个物主控制信息插入工具发送到所拥有的移动设备。虽然物主的数字签名公钥最好一开始就通过接口/连接器52和50传送给移动设备30，但是象无线或公共通信网络链路这些无法在物理上加密或保护的其它通信链路也可以用来向能在这种链路上通信的电子设备依次传送已签名的控制信息。当物主的数字签名公钥插入到移动设备30时，插入模块44可以验证任何所接收的已签名物主控制信息的完整性和源身份，是否是通过接口/连接器50或无线收发机48接收的。例如，在这种类型的实施中，物主控制信息插入工具可以包括除物主信息插入工具64以外的到移动设备30的不同类型接口。
本例中物主控制信息的初始化存储，以及现有物主控制信息的替换取决于插入模块44对数字签名的验证。本领域技术人员可以理解，在替换现有信息之前还可以执行其它的校验。为了防止重新攻击，即电子设备接收到旧的物主控制信息，物主控制信息最好包括版本信息。只有当接收到的物主控制信息比现有物主控制信息新时，才替换现有物主控制信息。通常，新的物主控制信息具有更高的版本号。
虽然如上所述利用插入工具64将物主信息插入到移动设备30，但是当物主的数字签名私/公钥对改变时，可以利用数字签名技术在移动设备30上更新现有物主信息的变化。为此，插入工具64可以包括安全性没有接口/连接器52高的其它类型的通信模块(未示出)，例如象无线收发机或网络连接器。在这种情况下，任何更新都取决于利用现有物主信息中数字签名公钥对数字签名的验证。
前面的描述主要涉及在象移动设备30这样的电子设备的存储器上写入物主信息和物主控制信息。然而，物主还希望清除物主信息和物主控制信息，而不是用新信息替换现有信息。在这种情况下，因为信息没有写入设备上的存储器，所以不会有已签名的物主信息或物主控制信息发送到设备。取而代之的是可以将清除命令或请求发送给设备。清除可以是插入模块44支持的另外功能。
再次参见图3，如果要从物主信息存储器36清除物主信息，那么对清除命令或请求进行数字签名，然后将它发送给插入模块44。对于新物主信息或物主控制信息，可以通过接口/连接器50或无线收发机48将已签名的命令或请求发送给移动设备30。利用物主的数字签名公钥，只有当数字签名通过验证后，插入模块44才执行命令或完成请求。否则，可以忽略命令或请求，并且在移动设备30的UI46上向使用者显示出错或失败提示，返回到发送该命令或请求的发送系统或设备。然后在发送系统或设备上可以执行进一步的出错或失败处理进程。
由于物主信息在基于签名的物主控制方案中包括物主的数字签名公钥，因此最好严密地控制物主信息的清除。例如，只有物主的系统管理员才能授权发送清除命令或请求。因此最好限制管理员的计算机系统或帐号、物主信息插入工具、或由物主控制的清除工具向移动设备30发送已签名的命令或请求。例如，象插入工具64这样的插入工具也可以通过提供清除命令发生器或也与接口/连接器52耦合的存储器来实现从移动设备30清除现有物主信息。也可以利用特定的、结合了这种清除命令发生器或存储器的物主控制的清除工具，以及到移动设备30的接口完成物主信息的清除。最好用类似的方式控制对物主控制信息的清除。
一旦物主控制系统被配置成支持清除和其它可能的物主信息和物主控制信息管理功能，为了控制可以被数字签名并发送到电子设备的信息、请求和命令，最好控制对物主的数字签名私钥的访问权限。例如，只能由指定的计算机系统或管理员的登录帐号访问数字签名私钥或数字签名生成功能。
如图3所示，移动设备30上的其它系统可以访问存储器32。在没有提交正确的签名信息或命令前，最好没有设备能够插入、改变、或清除物主信息或物主控制信息。诸如存储物主信息或物主控制信息的物主信息存储器36和授权记录存储器38之类的任何数据存储器最好位于被保护的存储区域。最好只有插入模块44具有对这些存储器的写入和清除访问权限，这样就可以维护对插入和清除物主信息和物主控制信息基于数字签名的控制。其它设备系统对物主信息和物主控制信息只有读取的访问权限。在一种可能的实施中，存储器32可以通过其访问的任何系统或部件被配置成允许从存储器32中的任何位置对存储器进行读操作，但是拒绝对存储物主信息或物主控制信息的存储器位置的任何写入或清除操作，除非操作来源于插入模块44或经插入模块44授权。在另一种实施中，也可以提供存储管理器来管理所有对存储器的访问操作。这种存储管理器被配置成在完成操作前可以指导任何对插入模块44的涉及物主信息或物主控制信息存储器的写入或清除操作来进行数字签名的校验和授权。于是，其它设备系统可以读取物主信息和物主控制信息，但是最好只有在数字签名通过验证后才能执行插入、修改或清除。
应该理解，上述公钥数字签名操作只作为示例。可以用其它的数字签名方案、或其它数据完整性校验和原始资料鉴权方案来代替验证物主控制信息或命令的完整性和原始资料。
在移动设备30中，授权记录存储器38中存储的授权记录包括物主控制信息。授权记录指定被授权安装在移动设备30上的特定的软件应用程序，还可以指定移动设备30上必须安装的所需软件应用程序。由于只有授权的软件应用程序才能加载到设备上，因此这种授权记录向电子设备的物主提供了使用者应如何使用移动设备的相对严格的控制。
通过应用程序加载器42可以在移动设备30上启动软件应用程序的加载操作。如上面针对有关插入模块44的描述，虽然所示应用程序加载器42被连接到接口/连接器50，但是实际上是通过处理器40在应用程序加载器42和接口/连接器50或无线收发机48之间交换信息。
象物主信息和物主控制信息一样，可以由移动设备30通过接口/连接器50或无线收发机48接收软件应用程序。一种为在移动设备30上操作而配置的软件应用程序可能的源是配备了与接口/连接器50兼容的接口/连接器的使用者的计算机系统。例如，当计算机系统连接到公司LAN上时，可以从LAN上的文件服务器或LAN上的其它存储器获得公司移动设备30的物主所提供的软件应用程序，然后发送给移动设备。计算机系统还可以或代替从计算机系统可以与之通信的本地存储器或象基于因特网源的其它资源为移动设备30获得软件应用程序。
应用程序加载器42最好被配置成每当接收到软件应用程序时能够确定移动设备30上是否存储了物主控制信息。如果移动设备30上没有物主控制信息，那么不为移动设备30建立物主控制，并且安装软件应用程序。软件应用程序的安装通常包括这些步骤将接收到的应用程序文件存储到存储器32上的软件应用程序存储器34、提取存储到软件应用程序存储器34的文件、还可能执行安装程序或工具。如果物主控制信息被依次插入到移动设备30，那么最好由应用程序加载器42或插入模块44检验现有软件应用程序，以便保证移动设备30上的所有软件应用程序都是经过授权的软件应用程序。任何未经授权的软件应用程序都从移动设备30上清除或呈报不可操作。
在某些环境下，物主信息可能已经被插入到电子设备，而物主控制信息将要被插入。为了防止随后要插入物主控制信息的移动设备30上加载的软件应用程序没有被授权，可以完全禁止移动设备30，只允许执行有限的设备功能子集，直到插入了物主控制信息。另外，也可以将应用程序加载器42配置成当接收到软件应用程序时可以确定移动设备30上是否有物主信息。在找到指示将建立物主控制信息并且用于移动设备30的物主信息的情况下，应用程序加载器42则确定是否已经插入了物主控制信息。在找到物主信息而不是物主控制信息的情况下，应用程序加载器42则不加载接收到的软件应用程序。然后，可以执行出错处理操作，例如从接收后存储它的任何临时存储位置上清除接收到的软件的应用程序，并且如果移动设备30上的存储资源允许，那么用这种方式在移动设备30上存储所接收的不可执行的软件应用程序。然后，当物主控制信息插入到移动设备30时，由应用程序加载器42处理用这种方式存储的任何软件应用程序。在本实施例中，虽然软件应用程序存储在移动设备30上，但是直到物主控制信息插入移动设备30，并且确认软件应用程序被授权安装为止，它们都不能使用。最好限制这些软件应用程序可能占用的存储空间，这样就不会因为存储未检验和可能未被授权的软件应用程序而耗尽可用的存储空间。
当应用程序加载器42确定物主控制信息已经插入到移动设备30时，应用程序加载器42则确定所接收的软件应用程序是否被授权安装到移动设备30上。如果物主控制信息包括授权的软件应用程序列表，应用程序加载器42则搜索该以列表确定所接收的软件应用程序是否是其中一个被授权的软件应用程序。被授权的软件应用程序列表最好包括唯一标识授权软件应用程序的信息，例如，象软件应用程序源代码或可执行代码的散列。由于软件应用程序开发人员可以为任何软件应用程序随意选择文件名，因此文件名可能无法提供可靠的授权检验。但是，如果物主生成每个授权的软件应用程序的散列并且在插入到移动设备30的ONWER控制信息包含该散列，那么只有授权后的软件应用程序的特定版本才可以安装到移动设备30。应用程序加载器42生成任何接收到的软件应用程序的散列，并且仅当所生成的散列与物主控制信息中的散列匹配时才安装软件应用程序。为了支持不同电子设备上不同的散列算法，设备物主为每个软件应用程序生成一个以上的散列并且在插入到每个所拥有的电子设备上的物主控制信息中包括每个散列。然后，一个电子设备可以使用任一种不同的散列算法来生成所接收软件应用程序的散列。当然，也可以采用除散列外的其它唯一变换来生成物主控制信息并且确定所接收的软件应用程序是否被授权安装。
物主控制信息还可以包括唯一标识电子设备的物主强制建立的软件应用程序的所需软件应用程序列表。所需软件应用程序列表允许物主确保每个所拥有的电子设备都支持某种核心功能，例如，电子消息和安全通信。如上面针对授权应用程序的情况所描述的，可以由一个或多个散列唯一标识所需软件应用程序列表中的软件应用程序。处理器40、应用程序加载器42、插入模块44、或其它设备部件或系统的配置可以周期性检验以确保移动设备30上存在每个所需的软件应用程序，并且每个所需软件应用程序的散列与所需软件应用程序列表中的散列匹配。当设备上没有所需的软件应用程序，或当软件应用程序发生改变后它的散列与所需软件应用程序列表中的散列不匹配时，移动设备30或至少它的一些功能会呈现不可用。
为了提供对所需软件应用程序的进一步控制，应控制针对这些应用程序的清除或其它操作。通过获得有关会影响所需软件应用程序的任何清除或写入命令的数字签名来实现对这些功能的基于数字签名的控制。当从移动设备30的系统或通过接口/连接器50或无线收发机48从远程系统接收到清除或写入命令后，处理器40或其它设备系统，如存储管理器(未示出)确定命令是否包含软件应用程序存储器34。除非利用移动设备30上存储的物主的数字签名公钥验证数字签名，否则不执行这种写入或清除命令。虽然设备系统无须数字签名就可以执行软件应用程序，但是如果有这种要求，那么只有当数字签名被验证后才可以改变或清除所需的软件应用。如上所述，数字签名代表一个可能的数据完整性和原始资料鉴权机制。
图4是说明将物主信息插入到电子设备的方法的流程图。图4中的方法从电子设备的物主建立物主信息的步骤72开始。它包括例如象选择物主姓名或标识符然后产生或获得物主数字签名私/公钥对这样的步骤。然后在步骤74，对物主信息进行数字签名并且将它发送到电子设备。
在步骤76，通过检验物主信息存储器，确定电子设备上是否已经存在物主信息。如果电子设备上不存在物主信息，例如，当初始化物主信息插入时，那么在步骤84，通过将物主信息存储到电子设备的存储器上将物主信息插入到电子设备。当物主信息初始化插入到电子设备时，不需要电子签名。如上所述，最好由物主或物主的系统管理员直接或至少在授权下执行物主信息插入的初始化。
在电子设备上已经存在物主信息的情况下，在步骤78检验与物主信息关联的数字签名。如果数字签名没有通过，那么在步骤80确定物主信息不能插入到电子设备上，并且在步骤82调用出错处理进程。如上所述，出错处理进程可以包括在电子设备的UI上显示出错或失败提示并且将出错或失败消息发送到插入工具或发送物主信息的系统。当数字签名验证通过后，在步骤84将物主信息插入到电子设备。
一旦物主信息插入到电子设备后，物主控制信息也插入到电子设备来设置物主控制。图5是说明向电子设备插入物主控制信息的方法的流程图。
在步骤92，根据物主希望如何控制电子设备来建立物主控制信息。如上所述，物主控制信息可以包括例如已授权的软件应用程序列表和所需的软件应用程序列表。然后，在步骤94，签署物主控制信息并且发送到电子设备。接着，在步骤96，检验物主控制信息的数字签名。在步骤98确定数字签名是否通过验证。在步骤100，执行与图4中步骤82所述类似的出错处理操作。如果包含物主数字签名公钥的物主信息还没有插入到电子设备，或者利用对应插入到电子设备的物主数字签名公钥的数字签名私钥还没有签署物主控制信息，那么，在步骤98不会通过对数字签名的验证。
如果在步骤98通过了对数字签名的验证，接下来，在步骤101则通过例如，所接收的物主控制信息的版本号是否大于现有物主控制信息版本号来确定所接收的物主控制信息是否正确。当数字签名验证被通过并且所接收的物主控制信息正确时，则在步骤102通过例如，在电子设备上的适当数据存储器存储信息完成将物主控制信息插入到电子设备的操作。否则，在步骤100执行出错处理进程。
其它操作也可以依据对数字签名的验证。例如，在命令或请求完成前，可以类似于验证关联的数字签名一样处理向物主信息存储器、物主控制信息存储器、或软件应用程序存储器写入数据或从物主信息存储器、物主控制信息存储器、或软件应用程序存储器清除数据的命令或请求。
然后，利用物主控制信息控制电子设备。图6显示了物主控制电子设备的方法的流程图。在步骤110中，由电子设备接收操作请求。操作请求包括，例如，接收要安装的软件应用程序、从电子设备上执行的软件应用程序的功能调用、电子设备上的使用者的尝试、软件应用程序、或者系统试图执行的操作等。这些请求可以来自于使用者、软件应用程序、设备系统、或可能的远程系统或设备。如果在步骤112确定电子设备上不存在物主信息，那么就不建立物主控制并且在步骤122执行操作。在接收到的软件应用程序的例子中，步骤122包含在电子设备上安装软件应用程序。
在存在物主信息时，则在步骤114确定是否存在物主控制信息。如果只存在物主信息，而没有物主控制信息，那么在步骤116执行出错处理操作。如上所述，当物主信息已经插入到电子设备，而物主控制信息还没有插入时，在步骤112确定是否存在物主信息，并且当在步骤114确定不存在物主控制信息时，在步骤116切换到出错处理进程可以阻止某些操作，如软件加载或安装。步骤116可以包括如向电子设备的使用者显示出错消息并且向发出操作请求的源返回出错提示的操作。另外，当在物主控制信息插入前，物主不希望限制对设备的操作时，那么响应在步骤114的否定的缺省操作可以返回到步骤122。
当物主信息和物主控制信息都插入到电子设备时，在步骤118确定是否允许操作。对于所接收的软件应用程序，步骤118包括确定是否允许软件应用程序的安装，以及软件应用程序是否是被授权的软件应用程序。在允许操作的情况下，在步骤122执行操作。否则，在步骤120执行出错处理进程。如上所述，物主控制信息不仅可以包括对电子设备操作和软件应用程序的允许和限制，还可以包括被不时地检验以保证电子设备上存储所有所需软件应用程序的所需软件应用程序或模块列表。例如，电子设备可以被配置成当接收到某种类型的操作请求时，在步骤118能检验所需软件应用程序，并且仅当找到所有所需的软件应用程序后才在步骤122执行操作。
应该理解，上面所述仅涉及作为例子的优选实施例。本领域技术人员在本发明范围内可以对上述系统和方法进行各种修改，无论是否对本发明作了清楚的描述。
例如，可以用数字签名以外的其它方法来保证物主信息和物主控制信息的操作。电子设备可以利用前面插入的与物主关联的密钥发出密码查问来代替检验有关物主信息、物主控制信息、和受限命令或请求的数字签名。密钥可以是物主的公钥或物主和电子设备之间共享的密钥。只有当返回有效的查问应答后才执行象物主信息或物主控制信息的插入或清除这样的操作。本领域技术人员可以理解，只能用对应的密钥生成有效的查问应答。例如，在安全通道上将物主信息和物主控制信息发送到电子设备时可以假设数据完整性和源的鉴权。如果设备对通过安全通道接收到的信息进行正确地解密，那么假设信息是有效的，并且是由授权的源发送的。在后一种方案中，源和设备共享公/私钥对，或公共对称密钥。
另外，可以用比图2和图3中所示包括更少、更多或附加部件来实现上述电子设备的系统和方法。图7是作为这种电子设备实例的无线移动通信设备的方框图。但是，应该理解，这里揭示的系统和方法可以采用许多不同类型的、如个人数字助理(PDA)和台式计算机这样的设备。
移动设备500最好是至少具有语音和数据通信能力的双工通信设备。移动设备500最好具有与因特网上其它计算机系统通信的能力。根据移动设备提供的功能，移动设备可以使用数据发消息设备、双向寻呼机、具有数据消息功能的蜂窝电话、无线因特网工具、或数据通信设备(具有或没有电话功能)。如上所述，这些设备通常都可以作为移动设备。
移动设备500包括收发信机511、微处理器538、显示器522、非易失性存储器524、随机存取存储器(RAM)526、辅助输入/输出(I/O)设备528、串行端口530、键盘532、扬声器534、话筒536、短程无线通信子系统540、还可以包括其它设备子系统542。收发信机511最好包括发射和接收天线516、518，接收机(Rx)512，发射机(Tx)514，一个或多个本机振荡器(LO)513，和数字信号处理器(DSP)520。在非易失性存储器524中，移动设备500包括可以由微处理器538(和/或DSP 520)执行的多种软件模块524A-524N，包括语音通信模块524A、数据通信模块524B和多种用来执行多种其它功能的其它操作模块524N。
移动设备500最好是具有语音和数据通信功能的双向设备。这样，例如，移动设备500可以在诸如任何模拟或数字蜂窝网络之类的话音网络上通信，并且也可以在数据网络上通信。图7利用通信塔519描绘了话音和数据网络。可以利用象基站、网络控制器等这些独立的结构将这些话音和数据网络分成独立的通信网络，或者也可以将它们集成为一个无线网。因此引用网络519应该解释为包含单一话音和数据的网络以及独立网络。
通信子系统511用来与网络519进行通信。DSP 520用来向发射机514发送通信信号和从接收机512接收通信信号，还与发射机514和接收机512交换控制信息。如果话音和数据通信发生在单一频率，或密集频率集，那么单一LO 513可用于连接发射机514和接收机512。另外，话音通信对数据通信使用不同频率，或者移动设备500可以在一个以上的网络519进行通信，那么可以用多个LO 513产生符合网络519上使用的频率。虽然图7中描述了两个天线516、518，但是移动设备500可以是单天线结构。包含话音和数据信息的信息通过DSP 520和微处理器538之间的链路与通信模块511进行通信。
诸如频带、部件选择、功率登记等通信子系统511的详细设计取决于操作移动设备500所在的移动通信网络519。例如，在北美市场操作的移动设备500可以包括为了在Mobitex或DataTAC移动数据通信网络上操作而设计的通信子系统511，也可以为了在象AMPS、TDMA、CDMA、PCS等这样的各种话音通信网络上操作而设计的通信子系统511，而用于欧洲的移动设备500的配置可以在GPRS数据通信网络和GSM话音通信网络操作。移动设备500也可以使用独立或集成的其它类型的数据和话音网络。
通信网络对移动设备500的接入需求也随着网络519的类型而改变。例如，在Mobitex和DataTAC的数据网络中，利用与每个设备关联的唯一的标识号在网络中注册移动设备。但是，在GPRS数据网络中，网络的访问权与用户或移动设备500的使用者关联。GPRS设备通常需要为了在GPRS网络上操作移动设备500所需的用户身份模块(“SIM”)。没有SIM卡也可以操作本机或非网络通信功能(如果有的话)，但是除了法定的必要操作，如“911”紧急呼叫，移动设备500不能在网络519上执行包含通信的功能。
在所有所需的网络注册或激活过程完成后，移动设备500可以通过网络519发送和接收最好包括话音和数据信号的通信信号。由天线516从通信网络519接收到的信号被路由到提供信号放大、频率下行转换、过滤、通道选择等的，并且还可以提供模拟向数字转换的接收机512。对所接收信号的模数转换允许利用DSP 520执行象数字解调和解码这样更复杂的通信功能。在类似的方式中，发送到网络519的信号由DSP 520进行包括调制和编码的处理，然后提供给发射机514做数模转换、频率上行变换、过滤、放大，并通过天线518发射到通信网络519。在另一个可替换的实施例中，虽然所示的一个收发信机511是用于话音和数据通信二者，但是移动设备500可以包括多个不同的发射机，如用来发射和接收话音信号的第一发射机、和用来发射和接收数据信号的第二发射机，或为在第一频带内操作而配置的第一发射机，和为在第二频带内操作而配置的第二发射机。
除了处理通信信号，DSP 520还提供对接收机和发射机的控制。例如，施加在接收机512和发射机514上通信信号的增益等级可以采用DSP 520上实施的自动增益控制算法来控制。为了提供对收发信机511更精密的控制，可以在DSP 520上采用其它收发信机控制算法。
微处理器538最好管理和控制移动设备500的全部操作。这里可以采用许多类型的微处理器或微控制器，或者作为替换，采用一个DSP 520来执行微处理器538的功能。低级通信功能，包括至少数据和话音通信，通过收发信机511中的DSP 520执行。高级通信功能，包括话音通信应用524A和数据通信应用524B被存储在非易失性存储器524中由微处理器538执行。例如，话音通信模块524A可以提供能够在网络519上操作移动设备500和多种其它话音设备之间发送和接收话音呼叫的高级用户接口。类似地，数据通信模块524B可以提供能够在网络519上操作移动设备500和多种其它话音设备之间发送和接收数据，如电子邮件消息、文件、组织信息、短消息等的高级用户接口。
微处理器538还与其它设备子系统交互，如显示器522、RAM 526、辅助I/O设备528、串行端口530、键盘532、扬声器534、话筒536、短程通信子系统540和通常设计为象542这样的其它设备子系统。例如，微处理器538执行模块524A-N，它们可以提供移动设备使用者和移动设备之间的高级界面。该界面通常包括通过显示器522提供的图形元素、和通过辅助I/O设备528、键盘532、扬声器534、或话筒536提供的输入/输出元素。这些接口通常设计成图3中的UI46。
图7中所示的一些子系统执行与通信有关的功能，而其它子系统可以提供“驻留”或设备内置的功能。应该指出，有些子系统，如键盘532和显示器522既可以用于和通信有关的功能，如输入在数据通信网上传输的文本消息，也可以用于驻留在设备上的功能，如计算器或任务列表或其它PDA类的功能。
微处理器538使用的操作系统软件最好存储在象非易失性存储器524这样的永久存储器中。除了操作系统和通信模块524A-N，非易失性存储器524可以包括存储数据的文件系统。非易失性存储器524还可以包括用于物主信息和物主控制信息的数据存储器。为了加快操作，操作系统、指定的设备应用或模块、或它们的部分可以临时加载到易失性存储器中，如RAM 526。此外，所接收的通信信号在永久性写入位于非易失性存储器524上的文件系统之前，也可以临时存储在RAM 526上。非易失性存储器524可以采用例如，闪存、非易失RAM、或电池支持的RAM。
可以加载到移动设备500上的应用模块524N的一个实例是提供如日历事件、约会、和任务项等PDA功能的PIM应用。该模块524N还可以与用来管理电话呼叫、话音邮件等的话音通信模块524N交互，也可以与用来管理电子邮件通信和其它数据传输的数据通信模块524B交互。作为替换，话音通信模块524A和数据通信模块524B的所有功能都可以集成到PIM模块中。
非易失性存储器524最好提供文件系统来完成PIM数据项在设备上的存储。PIM应用最好包括由它自己，或与话音和数据通信模块524A、524B结合通过无线网络519发送和接收数据项的能力。PIM数据项最好通过无线网络519，利用对应存储或与计算机主机系统关联的相应数据项集无缝地集成、同步和更新，这样可以为与特定用户关联的数据项产生镜像系统。
通过将移动设备500放置在将移动设备500的串口530耦合到主机系统串口的接口托架来人工同步移动设备和主机系统。串口530还可以被用来将物主信息和物主控制信息插入到移动设备500并且下载安装在移动设备500上的其它应用程序模块524N。这个有线下载路径可以进一步用来在移动设备上加载安全通信时使用的密钥，它是一种比通过无线网络519交换加密信息更安全的方法。
物主信息、物主控制信息和附加的应用模块524N可以通过网络519、通过辅助I/O子系统528、通过短程通信子系统540、或通过任何其它合适的子系统加载到移动设备500上，并且由用户安装在非易失性存储器524或RAM 526上。应用程序安装中的这些灵活性增强了移动设备500的功能并且可以提供增强的设备内置功能、和通信有关的功能。例如，安全通信应用程序可以启动电子商务功能以及其它利用移动设备500执行的金融交易。
当移动设备500在数据通信模式下操作时，象文本消息或网页下载这样的接收信号由收发信机511进行处理，并且提供给微处理器538，微处理器538最好进一步处理所接收的信号，以输出给显示器522，或者，作为替换，输出给辅助I/O设备528。按如上所述的方式处理由收发信机511接收的物主信息、物主控制信息、与物主信息或物主控制信息相关的命令或请求、以及软件应用程序。移动设备500的使用者还可以利用键盘532编写数据项，虽然也可以使用象已知的DVORAK形式的其它类型的完全字母数字键盘，但是键盘532最好是QWERTY形式排列的完全的字母数字键盘。还可以利用象指轮输入装置、触垫、各种开关、摇杆输入开关等多种辅助I/O设备528进一步增强使用者对移动设备500的输入方式。然后，由使用者输入的所编写的数据项通过通信网络519经由收发信机511发射。
当在话音通信模式下操作移动设备500时，除了所接收的信号输出到扬声器534，并且由话筒536生成传输用的话音信号外，移动设备500的整个操作实质上与数据模式类似。另外，话音通信可能不需要采用上述的安全消息技术。另外，也可以在移动设备500上采用象话音消息录制子系统这样的话音或音频I/O装置。虽然话音或音频信号输出是通过扬声器534完成的，但是显示器522也可以用来提供主叫方身份提示、话音通话时长、或其它话音通话的有关信息。例如，与话音通信模块524A和操作系统软件结合的微处理器538可以检测呼入话音呼叫的主叫方身份信息并且将它显示在显示器522上。
移动设备500上还可以包括短程通信子系统540。例如，子系统540可以包括红外装置和相关的电路和元件，或蓝牙或802.11短程无线通信模块来提供与类似系统和设备之间的通信。这样，通过串口530或其它短程通信子系统540可以在移动设备500上实现上述物主信息插入、物主控制信息插入、和应用程序加载操作。
图7代表采用上述物主控制系统和方法的电子设备的特定实例。本领域技术人员可以理解，可以用比图7所示的元件更多、更少或不同的其它电子设备上实现这些的系统和方法，并且因此认为这些实施被包含在本发明的范围内。例如，虽然图7中未明确显示SIM卡，但是应该知道，可以考虑利用SIM卡实现电子设备中的物主控制系统和方法。由于当前SIM卡与存储部件合为一体，因此当电子设备上安装了SIM卡后，物主信息、物主控制信息可以插入到SIM卡中来保持物主对电子设备的控制。在这种情况下，可以通过将物主信息插入到SIM卡来标记SIM卡，并且可以将物主控制信息插入到SIM卡或安装了SIM卡的电子设备中。
权利要求
1.一种由物主控制电子设备的方法，包括步骤在电子设备接收包括物主识别信息的物主信息；在电子设备接收物主控制信息；利用所接收的物主识别信息检验所接收的物主控制信息的完整性；和根据物主控制信息完整性检验，确定是否在电子设备上使用所接收的物主控制信息。
2.根据权利要求1所述的方法，其中物主识别信息包括用来检验所接收的物主控制信息的完整性的数据完整性信息。
3.根据权利要求2所述的方法，其中物主信息的数据完整性信息是数字签名。
4.根据权利要求1所述的方法，其中物主识别信息包括用来鉴权物主控制信息的源的源鉴权信息。
5.根据权利要求4所述的方法，其中根据被鉴权的物主控制信息的源来确定是否使用所接收的物主控制信息。
6.根据权利要求5所述的方法，其中所述源是被授权的源。
7.根据权利要求6所述的方法，其中被授权的源是电子设备的物主。
8.根据权利要求6所述的方法，其中被授权的源是作为作用物主利益的源。
9.根据权利要求1所述的方法，还包括利用数字签名检验物主识别信息的完整性的步骤。
10.根据权利要求9所述的方法，其中由针对物主信息的加密算法的应用程序产生数字签名。
11.根据权利要求10所述的方法，其中加密算法包括对称密钥的使用。
12.根据权利要求10所述的方法，其中加密算法包括非对称密钥的使用。
13.根据权利要求1所述的方法，其中物主控制信息包括电子设备允许使用的功能或软件应用程序的描述。
14.根据权利要求1所述的方法，其中物主控制信息包括电子设备被禁止使用的功能或软件应用程序的描述。
15.根据权利要求1所述的方法，其中物主控制信息包括电子设备允许在修改方法下使用的功能或软件应用程序的描述。
16.根据权利要求1所述的方法，还包括根据电子设备上是否存在物主信息来确定是否在电子设备上执行操作的步骤。
17.根据权利要求1所述的方法，还包括根据电子设备上是否存在物主控制信息来确定是否在电子设备上执行操作的步骤。
18.根据权利要求1所述的方法，还包括根据物主控制信息中包含的操作允许列表来确定是否在电子设备上执行操作的步骤。
19.根据权利要求1所述的方法，还包括步骤在电子设备接收清除命令；其中清除命令指示将要从电子设备上清除物主信息；其中清除命令是经数字签名的；根据检验的经数字签名的清除命令的完整性来确定是否执行清除命令。
20.根据权利要求1所述的方法，其中物主控制信息包括被授权的软件应用程序列表；其中被授权的软件应用程序列表通过软件应用程序的散列来识别被授权的软件应用程序；其中根据利用软件应用程序的散列进行的完整性检验在电子设备上使用软件应用程序。
21.根据权利要求1所述的方法，其中电子设备是无线移动通信设备
22.根据权利要求1所述的方法，其中电子设备是台式计算机。
23.根据权利要求1所述的方法，其中电子设备是个人数字助理。
24.根据权利要求1所述的方法，还包括步骤利用电子设备上存储的、并且与电子设备的物主关联的加密密钥发出密码查问；根据所发出的密码查问的确定结果来确定是否在电子设备上执行操作。
25.根据权利要求24所述的方法，其中加密密钥是物主的公钥或物主和电子设备之间共享的保密密钥。
26.一种利用通信通道发送的数据信号，其中数据信号包括根据权利要求1所述的物主信息。
27.一种能够使电子设备执行如权利要求1所述的方法的计算机可读介质。
28.一种由物主控制电子设备的系统，包括物主信息存储器，用于存储具有数据完整性信息的物主信息；物主控制信息存储器，用于存储用来控制电子设备的操作的物主控制信息；其中所存储的数据完整性信息用来检验物主控制信息的完整性；其中根据物主控制信息的完整性的检验来确定是否在电子设备上使用所接收的物主控制信息。
29.根据权利要求28所述的系统，还包括插入模块，用于接收物主控制信息。
30.一种由物主控制电子设备的装置，包括用于在电子设备接收包括物主识别信息的物主信息的装置；用于在电子设备接收物主控制信息的装置；利用所接收的物主识别信息检验所接收的物主控制信息的完整性的装置；和根据物主控制信息的完整性检验来确定是否在电子设备上使用所接收的物主控制信息的装置。
全文摘要
提供一种由物主控制电子设备的系统和方法。在电子设备上存储诸如数据完整性和源鉴权信息之类的物主识别信息。所接收的物主控制信息存储在所接收的物主控制信息的完整性通过验证和/或利用物主识别信息对源经过鉴权的电子设备上。在一个实施例中，物主识别信息包括一个物主签名私钥。
文档编号G06F21/00GK1748191SQ200380109662
公开日2006年3月15日 申请日期2003年12月12日 优先权日2002年12月12日
发明者赫伯特·A·利特尔, 大卫·R·克拉克 申请人:捷讯研究有限公司