内容保护入场券系统和方法

专利名称：内容保护入场券系统和方法
技术领域：
本发明主要涉及通信领域，具体涉及保护无线通信设备上的内容。
背景技术：
许多移动设备包含被认为是“敏感”的数据，例如电子邮件消息、联系人的姓名和电子邮件地址、会议的时间和地点等的内容。结果，当设备处于“锁定”状态中时，现有方法用于通过将这些数据以加密的形式存储在用户的文件系统中来保护用户的敏感数据。
如果当用户的设备被锁定时用户数据完全加密，那么当设备被锁定时，设备上的应用程序不能访问数据。否则，如果在任意时间用户的文件系统中出现没有加密的数据，那么不能认为设备是真正安全地被“锁定”。
当设备进入“锁定”状态时，这有效地强制设备上的所有应用程序停止其操作，因为它们将不再能够访问它们的数据。例如，如果应用程序正在对敏感数据列表进行排序，那么在设备解锁之前将不能继续进行排序操作。因为要在确定任意操作在何时可以发生时考虑设备的“锁定状态”以及因为能够在任意时间(例如超时或用户手动地)启动设备锁定，这将在相当大的程度上增加应用程序的复杂度。

发明内容
根据这里提供的内容，提供了用于提供对敏感数据的访问的系统和方法。作为系统和方法的例子，当应用程序需要执行需要访问敏感数据的动作时，应用程序获得“入场券”(ticket)以便访问数据。只要应用程序持有入场券，它就能够访问敏感数据。
方法和系统的另一个例子包括请求入场券以接收入场券来访问存储在设备上的数据。从设备接收入场券并用于访问存储在设备上的数据。
另一个例子包括响应访问敏感数据的请求和响应与设备相关的锁定状态而向请求方发出入场券。使用入场券数据存储器来跟踪已经发出入场券的请求方。在准备锁定设备时能够请求请求方释放任意已发出的入场券。设备接收释放每一个已发出的入场券的通知，然后能够响应接收每一个已发出的入场券的释放的通知来锁定设备，其中锁定使设备不能执行应用程序直到设备解锁为止。
另一个例子包括具有可以由设备处理器来执行的锁定指令的内容保护系统。锁定指令被配置为接收将设备置于锁定状态的设备锁定请求。可以由设备处理器执行的入场券指令能够被配置为接收入场券请求。入场券能够用于访问存储在设备上的敏感数据。入场券指令被配置为基于设备是否被锁定和基于锁定指令是否已经接收到设备的设备锁定请求来向请求方提供入场券。入场券指令被配置为响应确定设备被锁定或已经接收到设备锁定请求而持有请求，并且当设备解锁时响应入场券请求。
可以理解的是，公开的系统和方法能够在多个方面进行修改。因此，下文提出的附图和描述被当作实质上是说明性的而不是限制性的。


图1是可以使用无线通信设备的示例通信系统的概图。
图2是包括多个网络和多个移动通信设备的另一个示例通信系统的框图。
图3和4是示出了对敏感内容的访问进行管理的框图。
图5是示出了用于管理对存储在设备上的敏感内容的访问的操作方案的流程图。
图6是示出了涉及敏感内容的请求方的操作方案的流程图。
图7是示例移动设备的框图。
具体实施例方式
图1是可以使用无线通信设备的示例通信系统的概图。本领域的技术人员可以理解，可以有数以百计的不同的拓扑，然而图1中所示的系统有助于表明已编码的消息处理系统的操作以及本申请中描述的方法。图中也可以有多个消息发送器和接收方。图1中所示的简单系统仅为了说明的目的，并示出了或许是最普遍的因特网电子邮件环境，其中通常没有使用安全措施。
图1示出了电子邮件发送器10、因特网20、消息服务器系统40、无线网关85、无线基础结构90、无线网络105和移动通信设备100。
例如，电子邮件发送器系统10可以连接到位于公司内部的ISP(因特网服务提供商)，系统10的用户在该ISP上拥有帐户，可能是连接到局域网(LAN)，连接到因特网20，或通过例如美国在线(AOL)的大型ASP(应用程序服务提供商)连接到因特网20。本领域的技术人员可以理解，尽管通常通过图1中所示的因特网连接的布置来实现电子邮件的传输，图1中示出的系统可以改为连接到广域网(WAN)而不是因特网。
例如，消息服务器40可以在企业防火墙内的网络计算机或是ISP或ASP等系统内的计算机上实现，并且作为因特网20上电子邮件交换的主接口。尽管其它消息系统可能不需要消息服务器系统40，配置用于接收或发送电子邮件的移动设备100通常将与消息服务器上的帐户相关联。或许两个最普遍的消息服务器是Microsoft ExchangeTM和LotusDominoTM。这些产品经常用于与路由并递送邮件的因特网邮件路由器连接。图1中没有示出这些中间组件，因为它们没有在下文描述的安全消息处理中直接地扮演角色。例如服务器40的消息服务器典型地向外延伸，不仅是电子邮件的发送和接收；它们还包括具有预定数据库格式的动态数据库存储器引擎，所述预定数据库格式可以用于例如日历、to-do列表、任务列表、电子邮件和文件的数据。
无线网关85和基础结构90提供了因特网20与无线网络105之间的链路。无线基础结构90确定用于定位给定用户的最合适的网络，并且当用户在国家或网络之间漫游时跟踪用户。然后通过无线传输将消息递送到移动设备100，典型地是以射频(RF)从无线网络105中的基站传输到移动设备100。特殊的网络105可以是任意虚拟的无线网络，在其上可以利用移动通信设备来交换消息。
如图1所示，位于因特网20上某处的电子邮件发送器10发送构成的电子邮件消息15。这个消息15通常是完全明确的，并使用传统的简单邮件传输协议(SMTP)、RFC322报头和多用途因特网邮件扩展(MIME)主体部分来定义邮件消息的格式。这些技术对本领域的技术人员来说是公知的。消息15到达消息服务器40并通常存储在消息存储器中。许多公知的消息系统支持被称为“拉”消息访问方案，其中移动设备100必须请求将已存储的消息由消息服务器转寄到移动设备100。一些系统提供了对使用与移动设备100相关的特定电子邮件地址来寻址的消息的自动路由。在下文更详细描述的优选实施例中，被寻址到与主机系统相关联的消息服务器帐户的消息在被接收时从消息服务器40被重定向到移动设备100，其中所述主机系统可以是如属于移动设备100的用户的家庭计算机或办公室计算机。
不考虑用于控制将消息转寄到移动设备100的特定机制，消息15或可能是其转换的或重定格式的版本被发送到无线网关85。无线基础结构90包括与无线网络105的一系列连接。这些连接可以是综合服务数字网(ISDN)、帧中继或使用因特网上所用的TCP/IP协议的T1连接。在这里使用的术语“无线网络”将包括三种不同类型的网络，它们是(1)数据中心无线网络；(2)语音中心无线网络；和(3)能够在同一物理基站上同时支持语言和数据通信的双模网络。组合的双模网络包括但不限于(1)码分多址(CDMA)网络；(2)全球移动通信系统(GSM)和通用分组无线业务(GPRS)网络；和(3)未来第3代(3G)网络，例如增强型数据业务(EDGE)和通用移动通信系统(UMTS)。一些较早的数据中心网络的例子包括MobitexTM无线网络和DataTACTM无线网络。较早的语音中心的数据网络包括例如GSM和TDMA系统的个人通信系统(PCS)网络。
图2是包括多个网络和多个移动通信设备的另一个示例通信系统的框图。图2中的系统实质上与图1中的系统相似，但包括主机系统30、重定向程序45、移动设备支架65、无线虚拟个人网络(VPN)路由器75、附加无线网络110和多个移动通信设备100。结合上文对图1的描述，图2示出了示例网络拓扑的概图。尽管这里描述的编码的消息处理系统和方法可以应用于具有多个不同的拓扑的网络，图2中的网络对于理解上文简要描述的自动电子邮件重定向系统是有帮助的。
中央主机系统30典型地可能是企业办公室和其它LAN，还可以是家庭办公室计算机或一些其它私有系统，消息在中央主机系统30进行交换。主机系统30的内部有运行在主机系统的防火墙内的一些计算机上的消息服务器40，消息服务器40用作主机系统与因特网20交换电子邮件的主接口。在图2中的系统中，重定向程序45启用了从服务器40到移动通信设备100的数据项重定向。尽管为了描述的方便将重定向程序45示出为驻留在与消息服务器40相同的机器上，然而不需要使其必须驻留在消息服务器上。重定向程序45和消息服务器40被设计用于合作并相互作用，从而允许将信息推到移动设备100。在这个装置中，重定向程序45获取特定用户的机密和非机密企业信息并使其通过企业的防火墙重定向到移动设备100。对重定向软件45的更多详细描述可以在标题为“System and Method for Pushing Information From A Host SystemTo A Mobile Data Communication Device Having A Shared ElectronicAddres s”、在2001年4月17日公告授权给立即申请的受让人、美国专利6,219,694(“‘694专利”)中找到，其内容一并在此作为参考。这种推技术可以使用无线的友好编码、压缩和加密技术来将所有信息递送到移动设备，从而有效地扩展安全防火墙以包括与主机系统30有关的每一个移动设备100。
如图2中所示，可以有多个选择路径来为移动设备100获取信息。一种将消息加载到移动设备100上的方法是通过指定的端口50并使用设备支架65实现的。这个方法对于移动设备100与主机系统30或系统30内的计算机35进行初始化时经常执行的大量消息更新将是有用的。其它主要的数据交换的方法是使用无线网络来递送信息的无线广播。如图2中所示，这可以通过无线VPN路由器75或通过传统因特网连接95连接到无线网关85和无线基础结构90来实现，如上文所述。无线VPN路由器75的概念在无线领域中是新的，并且意味着VPN连接可以直接通过特定的无线网络110连接到移动设备100来建立。使用无线VPN路由器75的可能性只是最近才变得可能，并且当新的因特网协议(IP)版本6(IPV6)进入基于IP的无线网络时能够使用无线VPN路由器。这个新的协议将提供足够的IP地址来向每个移动设备100提供IP地址，从而能够在任意时间将信息推到移动设备100。使用无线VPN路由器75的主要优点是它可以是现成的VPN组件，从而它不需要使用单独的无线网关85和无线基础结构90。优选地，VPN连接将是将消息直接递送到移动设备100的传输控制协议(TCP)/IP或用户数据报协议(UDP)/IP连接。如果无线VPN75不可用，那么连接到因特网20的链路95是最常用的连接装置，上文已经描述。
在图2中的自动重定向系统中，从电子邮件发送器10离开的构成的电子邮件消息15到达消息服务器40同，并被重定向程序45重定向到移动设备100。当发生这个重定向时，消息15被重新封装(如80处所示)，然后可以向原始消息15应用可能的专有压缩和加密算法。这样，在移动设备100上读取的消息的安全性不比在例如防火墙内的桌面工作站35上读取的消息的安全性差。在重定向程序45与移动设备100之间交换的所有消息优选地使用这种消息重新封装的技术。外部封装的另一个目的是维持原始消息中除了发送方和接收方的地址的寻址信息。这允许将消息回复到达适合的目的地，而且还允许“来自”字段反射移动用户的桌面地址。使用来自移动设备100的用户的电子邮件地址允许已接收的消息表现为好像消息是原始地来自用户桌面系统35而不是移动设备100。
参考端口50和支架65与移动设备100的连接性，这个连接路径为启用大型项目的一次数据交换提供了许多优点。对于个人数字助理(PDA)和同步领域的技术人员来说，在这种链路上交换的最普通的数据是个人信息管理(PIM)数据55。当第一次进行交换时，这个数据的数量将会很大，甚至是巨大的，并且需要很大的带宽来加载到移动设备100上，在移动设备100，这个数据能够在通路上使用。这个串行链路还可以用于其它目的，包括建立例如S/MIME、PGP特殊个人密钥的个人安全密钥111、用户的证书及其证书失效列表(CRL)60。优选地交换个人密钥，从而桌面35和移动设备100共享一个个性特征和一种方法来访问所有的邮件。通常在这样的链路上交换证书和CRL，因为它们表示了设备所需的用于S/MIME、PGP和其它公共密钥安全方法的大量数据。
图3示出了用于管理对敏感数据的访问的方法。当应用程序200需要执行需要访问敏感数据205的动作时，应用程序200需要“入场券”210(例如令牌等)来保证其访问数据205。应用程序200从移动设备请求入场券210，例如通过设备的操作系统215。如果设备100处于解锁状态，操作系统215将向应用程序200返回入场券210。如果设备处于锁定状态，操作系统215将阻止应用程序200继续运行直到设备解锁为止，这时设备将向应用程序200返回入场券210并允许应用程序200继续运行。
只要应用程序200持有入场券210，它将能够访问敏感数据205。即使用户请求将设备锁定，应用程序200将继续对数据205进行访问直到应用程序200释放其入场券210为止。然而在已经释放入场券210后，数据205将是不可访问的，好像设备处于锁定状态一样。例如，如果应用程序200需要对其数据进行排序，它能够从操作系统215请求入场券210，一旦具有了入场券210，能够确保应用程序200将会完成排序操作，这时应用程序200能够释放入场券210。随后的排序操作将在应用程序200请求入场券210时被阻止，直到设备下一次被解锁为止。
因此，图3中的例子示出的系统允许应用程序200完成正在执行的动作，并允许应用程序通知操作系统215它们已经完成了动作，从而操作系统215能够可靠地宣称用户的设备是“锁定的”。当已经给出设备将要处于锁定状态的指示时，要求应用程序200释放它们的入场券210。应用程序200能够继续持有入场券210直到它完成了对敏感数据的访问(例如完成了执行包括敏感数据的解密操作)为止。
如图4所示，操作系统250能够对入场券数据存储器255保持跟踪，应用程序260具有入场券数据存储器255中的入场券265；在设备上的所有应用程序260已经释放入场券265之前，将不会认为设备是完全锁定的。一旦被完全释放，操作系统250能够可靠地宣称设备上没有应用程序260对敏感数据270进行访问，并因此能够向用户指示设备被安全地锁定。
应用程序260可以在任意时间自由地获得入场券。然而，可以配置系统使应用程序260基于接收设备将要进入锁定状态的通知来获得入场券。
这里公开的系统和方法仅通过示例来呈现，并不意味着限制了本发明的范围。上文描述的系统和方法的其它变化对本领域的技术人员来说将是明显的，并且被认为在本发明的范围内。例如，这里描述的系统和方法可以与多种不同的操作方案来使用，例如图5中示出的操作方案。
图5示出了在步骤280处开始的操作方案。在步骤282处，接收到来自请求方的请求。这个请求指示了请求方将访问敏感内容。如上所述，敏感数据可以尤其是电子邮件消息、联系人的姓名和电子邮件地址、会议的时间和地点的内容。请求方可以是驻留在设备上的应用程序，例如请求访问电子邮件消息的电子邮件应用程序。
在步骤284处，响应对敏感内容的访问的请求而发出入场券。入场券使请求方能够获得对存储在设备数据存储器中的敏感内容的访问。当设备处于未锁定状态时，入场券可以由设备处理器发出。然而，当设备被锁定时，设备处理器能够持有入场券请求直到设备解锁为止。
如步骤286所示，设备使用入场券来管理对敏感内容的访问。在这个操作方案中，通过控制对数据存储器上的敏感内容的访问来管理对敏感内容的访问。然后设备处理器可以在使请求方能够访问敏感内容之前请求占有入场券。
请求方能够根据图6中示出的操作方案来获得入场券。操作方案在步骤290处开始。在步骤292处，请求方请求入场券以访问敏感内容。如上所述，请求方可以是应用程序，例如，请求访问存储在数据存储器上的消息的电子邮件应用程序。应该注意的是，入场券请求可以隐含在访问敏感信息请求之中。
在步骤294，请求方接收入场券。入场券被配置为使请求方有能力访问存储在设备上的敏感内容。如步骤296处所示，请求方被配置为使用入场券来获得对敏感内容的访问。例如，当期望访问敏感内容时，请求方可以向设备处理器提供入场券，设备处理器检查入场券并确定请求方是否拥有从数据存储器访问敏感信息的有效入场券。例如可以对敏感信息进行加密，这样设备处理器基于确定请求方拥有有效入场券来提供对敏感内容的访问。操作方案在步骤298处结束。应该理解的是，这个方案的过程中的步骤和步骤的顺序可以改变、修改和/或增加，并仍能达到期望的结果。
作为这里公开的系统和方法的宽范围内的另一个例子，系统和方法可以与多个不同的计算机和设备一同使用，例如图7中示出的无线移动通信设备。参考图7，移动设备100是双模移动设备并包括收发机311、微处理器338、显示器322、非易失存储器324、随机存取存储器(RAM)326、一个或多个辅助输入/输出(I/O)设备328、串行端口330、键盘332、扬声器334、麦克风336、短距离无线通信子系统340和其它设备子系统342。
收发机311包括接收机312、发送机314、天线316和318、一个或多个本机振荡器313和数字信号处理器(DSP)320。天线316和318可以是多元件天线的天线元件，并优选地是嵌入式天线。然而，这里描述的系统和方法绝不限于天线的具体类型或无线通信设备。
移动设备100优选地是具有语音和数据通信能力的双向通信设备。因此，例如移动设备100可以在例如任意模拟或数字蜂窝网络的语音网络上通信，也可以在数据网络上通信。通过通信塔319在图7中示出了语音和数据网络。这些语音和数据网络可以是使用单独的基础结构的单独的通信网络(例如基站、网络控制器等)，或者可以被集成到单一的无线网络中。
收发机311用于与网络319通信，包括接收机312、发送机314、一个或多个本机振荡器313和DSP 320。DSP 320用于向/从收发机316和318发送/接收信号，并且还向接收机312和发送机314提供控制信息。如果在单一频率上或相近空间的频率集上发生语音和数据通信，那么单一本机振荡器可以与接收机312和发送机314结合使用。可选择地，例如如果利用不同的频率进行语音通信和数据通信，那么多个本机振荡器313能够用于产生多个对应于语音和数据网络319的频率。通过DSP 320与微处理器338之间的链路，向/从收发机311传输包括语音和数据信息的信息。
收发机311的详细设计(例如频率波段、组件选择、功率电平等)将取决于移动设备100将在其中操作的通信网络319。例如，将在北美市场中操作的移动设备100可以包括收发机311，收发机311被设计用于与多个语音通信网络(例如Mobitex或DataTAC移动数据通信网络、AMPS、TDMA、CDMA、PCS等)中任意一个进行操作；而将在欧洲使用的移动设备100可以被配置为与GPRS数据通信网络和GSM语音通信网络进行操作。移动设备100也可以利用其它类型的数据和语音网络(单独的和集成的)。
取决于网络或网络319的类型，移动设备100的访问需求可以不同。例如，在Mobitex和DataTAC数据网络中，移动设备使用与每一个移动设备相关的唯一的识别号在网络上登记。然而在GPRS数据网络中，网络访问与移动设备的订户或用户相关。GPRS设备典型地需要订户识别模块(“SIM”)，从而在GPRS网络上操作移动设备。本地或非网络通信功能(如果有的话)在没有SIM设备时或许是可操作的，但除了例如‘911’紧急呼叫的任意的法律上必需的操作，移动设备将不能执行包括在数据网络319上通信的任意功能。
在任意必需的网络登记或激活过程已经完成后，移动设备100可以在网络319上发送和接收包括语音和数据信号的通信信号。天线316从通信网络319接收到的信号被路由到接收机312，该接收机312提供信号放大、下变频转换、滤波、信道选择等，还可能提供模拟到数字的转换。已接收信号的模拟到数字转换允许使用DSP 320来执行例如信号解调和解码的更加复杂的通信功能。相似地，将要发送到网络319的信号被DSP 320处理(例如包括调制和编码)，然后提供给发射机314进行数字到模拟转换、上变频转换、滤波、放大并通过天线318发送到通信网络319。
除了处理通信信号之外，DSP 320还提供收发机控制。例如，通过DSP 320中实现的自动增益控制算法可以适合地控制施加到接收机312和发射机314中的通信信号的增益等级。DSP 320中也可以实现其它收发机控制算法以提供对收发机311更加完善的控制。
微处理器338优选地管理并控制移动设备100的全部操作。这里可以使用许多类型的微处理器或微控制器，或可选择地使用单一的DSP320来执行微处理器338的功能。通过收发机311中的DSP 320来执行至少包括数据和语音通信的低级通信功能。另外，例如语音通信应用程序324A和数据通信应用程序324B的高级通信应用程序可以存储在非易失存储器324中，以便由微处理器338来执行。例如，语音通信模块324A可以提供可操作的高级用户接口，从而通过网络319在移动设备100与多个其它语音或双模设备之间发送和接收语音呼叫。相似地，数据通信模块324B可以提供可操作的高级用户接口，从而通过网络319在移动设备100与多个其它数据设备之间发送和接收例如电子邮件消息、文件、管理者信息、短文本消息等的数据。
微处理器338还与其它设备子系统进行交互，例如显示器322、RAM326、辅助输入/输出(I/O)子系统328、串行端口330、键盘332、扬声器334、麦克风336、短距离通信子系统340和通常被指定为342的任意其它设备子系统。
一些图7中示出的子系统执行通信相关的功能，而其它子系统可以提供“驻留”或设备上功能。特别地，例如键盘332和显示器322的一些子系统可以同时用于通信相关的功能(例如输入文本消息在数据通信网络上发送)和设备驻留的功能(例如计算器或任务列表或其它PDA类型的功能)。
微处理器338使用的操作系统软件优选地存储在例如非易失存储器324的持久存储器中。非易失存储器324可以实现为例如Flash存储器组件或备用电池RAM。除了控制移动设备310的低级功能的操作系统之外，非易失存储器324包括能够由微处理器338(和/或DSP 320)执行的多个软件模块324A-324N，包括语音通信模块324A、数据通信模块324B和用于执行多个其它功能的多个其它操作模块324。这些模块由微处理器338来执行，并且在用户与移动设备100之间提供高级接口。这个接口典型地包括显示器322提供的图形组件和辅助I/O 328、键盘332、扬声器334和麦克风336提供的输入/输出组件。操作系统、特定的设备应用程序或模块或它们的一部分可以暂时加载到例如RAM 326的易失存储器中，以便执行更快的操作。此外，已接收的通信信号在被永久地写入位于例如Flash存储器324的持久存储器的文件系统之前，也可以暂时存储到RAM 326。
可以加载到移动设备100的典型应用程序模块324N是提供PDA功能(例如日程表、约会和任务项)的个人信息管理器(PIM)应用程序。这个模块324N也可以与语音通信模块324A进行交互以管理电话呼叫、语音邮件等，并且可以与数据通信模块进行交互以管理电子邮件通信和其它数据传输。可选择地，语音通信模块324A和数据通信模块324B中的所有功能可以集成到PIM模块中。
非易失存储器324优选地也提供文件系统，从而为设备上的PIM数据项的存储提供了便利。PIM应用程序优选地包括通过无线网络319由其自身或与语音和数据通信模块324A、324B相结合以发送和接收数据项的能力。PIM数据项通过无线网络319优选地与存储在主机计算机系统或与主机计算机系统相关的对应数据项集进行无缝集成、同步和更新，从而创建了与特定用户相关的数据项的镜像系统。
至少表示了部分已解码数据项和完全已解码的数据项的上下文对象优选地存储在移动设备100中的易失和非持久存储器中(例如RAM326)。这些信息也可以改为存储在非易失存储器324中，例如当存储间隔相对短从而信息在存储后不久就被从存储器移除时。然而，优选地将这个信息存储在RAM 326或另一易失和非持久存储器中，已确保当移动设备100失去供电时信息从存储器消除。例如，这阻止了未授权方通过将存储器芯片从移动设备100中取出来获得任意存储的已解码或部分已解码的信息。
通过将设备100放置在将移动设备100的串行端口330与计算机系统后设备的串行端口相连的接口支架中，移动设备100可以手动地与主机系统进行同步。串行端口330也可以用于使用户能够通过外部设备或软件应用程序来设置偏好，或者下载其它应用程序模块324N以便安装。这个有线下载路径可以用于将加密密钥加载到设备上，这是比通过无线网络319来交换加密信息更为安全的方法。除了或替代串行端口330之外的其它有线下载路径的接口可以设置在移动设备100中。例如，USB端口可以向类似装备的个人计算机提供接口。
附加应用程序模块324N可以通过网络319、辅助I/O子系统328、串行端口330、短距离通信子系统340或任意其它适合的子系统342来加载到移动设备100上，并且由非易失存储器324或RAM 326中的用户来安装。这种应用程序安装的灵活性增加了移动设备100的功能并可以提供增强的设备上功能、通信相关的功能或两者都有。例如，安全通信应用程序可以启用将使用移动设备100来执行的电子商务功能和其它这样的金融交易。
当移动设备100在数据通信模式中操作时，例如文本消息和网页下载的已接收信号由收发机模块311进行处理并且被提供给微处理器338，微处理器338还优选地对已接收信号进行上述的多级处理，从而将结果输出到显示器322或可选择地输出到辅助I/O设备328。移动设备100地用户也可以使用键盘332来组合例如电子邮件消息的数据项。所述键盘332优选地是按照QWERTY风格来排列的完整的字符数字键盘，但是也可以使用例如公知的DVORA风格的其它类型的完整的字符数字键盘。多个辅助I/O设备328进一步增强了移动设备100的用户输入，所述多个辅助I/O设备328可以包括指轮输入设备、触摸板、多种开关、摇杆输入开关等。用户输入的组合的数据项可以通过收发机模块311在通信网络319上发送。
当移动设备100在语音通信模式中操作时，移动设备100的所有操作本质上与数据模式中相似，除了已接收信号优选地输出到扬声器334且由麦克风336产生将要发送的语音信号。例如语音消息记录子系统的可选择的语音或音频I/O子系统也可以实现在移动设备100上。虽然语音或音频信号输出优选地主要通过扬声器334来实现，显示器322也可以用于提供呼叫方身份的指示、语音呼叫的持续时间或语音呼叫相关的信息。例如，与语音通信模块和操作系统软件相连的微处理器338可以检测进入的语音呼叫的呼叫者身份信息并将其显示在显示器322上。
移动设备100中还包括短距离通信子系统340。子系统340可以包括红外设备和相关的电路与组件、或者例如BluetoothTM模块或802.11模块的短距离RF通信模块，从而提供与相似能力的系统和设备的通信。本领域的技术人员可以理解，“Bluetooth”和“802.11”是指来自电气和电子工程师协会的、分别关于无线个人区域网络和无线局域网的可用的规范集。
所述系统和方法的数据可以存储在一个或多个数据存储器中。数据存储器可以是多种不同类型的存储设备和编程构造，例如RAM、ROM、Flash存储器、编程数据结构、编程变量等。要注意的是，数据结构描述了在计算机程序使用的数据库、程序、存储器或其它计算机可读媒质中组织和存储数据所使用的格式。
所述系统和方法可以设置在包括计算机存储装置(例如CD-ROM、软盘、RAM、flash存储器、计算机硬盘等)的多种不同类型的计算机可读媒质上，所述计算机可读媒质包含了由处理器来执行所述方法的操作和实现这里描述的系统所使用的指令。
这里描述的计算机组件、软件模块、功能和数据结构可以直接或间接地彼此相连，从而允许它们操作所需的数据流动。还要注意的是，模块或处理器包括但不限于执行软件操作的代码单元，并且能够实现为例如子程序单元的代码、代码的软件功能单元、对象(在面向对象的范例中)、Java程序、计算机脚本语言或不同类型的计算机代码。
权利要求
1.一种用于管理对设备上的敏感数据的访问的方法，包括步骤请求入场券以获得对存储在设备上的数据的访问；从设备接收入场券；以及使用已接收的入场券来访问存储在设备上的数据。
2.根据权利要求1所述的方法，其中数据是存储在设备上的敏感数据。
3.根据权利要求2所述的方法，其中敏感数据是至少从包含电子邮件消息内容、联系人姓名和电子邮件地址或会议的时间和地点的组中选择的数据。
4.根据权利要求1所述的方法，其中数据包括加密数据。
5.根据权利要求4所述的方法，还包括步骤响应接收入场券对已加密的数据进行解密。
6.根据权利要求5所述的方法，还包括步骤接收释放入场券的请求。
7.根据权利要求6所述的方法，还包括步骤释放入场券，从而允许设备进入锁定状态。
8.根据权利要求7所述的方法，其中，在已经释放入场券后，请求方不再能够访问已加密的内容。
9.根据权利要求1所述的方法，其中请求方是在设备上执行的应用程序。
10.根据权利要求9所述的方法，还包括步骤当设备处于锁定状态时，接收对入场券请求的拒绝。
11.根据权利要求10所述的方法，还包括步骤当设备处于锁定状态时，阻止应用程序执行。
12.根据权利要求11所述的方法，还包括步骤当设备解锁时应用程序继续执行。
13.根据权利要求1所述的方法，还包括在从设备处理器请求入场券之前接收设备处理器正进入锁定状态的通知。
14.根据权利要求1所述的方法，还包括步骤允许应用程序完成它们正在进行中的动作，并允许应用程序通知设备的操作系统它们已经完成了动作，从而设备能够进入锁定状态。
15.根据权利要求1所述的方法，其中设备是无线移动通信设备。
16.存储在一个或多个计算机可读介质上的计算机软件，所述计算机软件包括用于执行权利要求1所述方法的程序代码。
17.一种用于管理对无线移动通信设备上的敏感数据的访问的方法，所述方法包括步骤从请求方接收请求，其中请求指向对存储在无线移动通信设备上的敏感数据的访问；响应访问敏感数据的请求和与无线移动通信设备相关的锁定状态，向请求方发出入场券；使用入场券数据存储器跟踪具有已发出的入场券的请求方；响应拥有入场券，管理对敏感数据的访问；在准备锁定设备时，请求请求方释放任意的已发出入场券；接收释放每一个已发出的入场券的通知；以及响应接收释放每一个已发出的入场券的通知来锁定设备，这样设备不能执行应用程序，直到设备解锁为止。
18.根据权利要求17所述的方法，还包括步骤解锁设备；以及在设备解锁后响应入场券请求。
19.一种内容保护系统，被配置为对存储在无线移动通信设备上的敏感内容的访问进行管理，所述系统包括可由设备处理器执行的锁定指令；其中锁定指令被配置为接收使设备处于锁定状态的设备锁定请求；以及可由设备处理器执行的入场券指令；其中入场券指令被配置为接收入场券请求；其中入场券用于访问存储在设备上的敏感数据；其中入场券指令被配置为基于设备是否被锁定和基于锁定指令是否已经接收到设备的设备锁定请求来向请求方提供入场券；其中入场券指令被配置为响应确定设备被锁定或已经接收到设备锁定请求而持有请求，并且当设备解锁时响应入场券请求。
20.根据权利要求19所述的内容保护系统，还包括入场券数据存储器，用于跟踪具有入场券的任意请求方。
21.根据权利要求20所述的内容保护系统，其中入场券指令还被配置为响应接收设备锁定请求的锁定指令来请求释放已发出的入场券。
全文摘要
提出了一种用于调节对设备上的敏感数据的访问的方法和系统。为了获得对设备上所存储的数据的访问，可以请求入场券。从该设备接收入场券，并且使用接收到的入场券来访问该设备上所存储的数据。
文档编号G06K5/00GK1997974SQ200580018949
公开日2007年7月11日 申请日期2005年2月25日 优先权日2004年4月30日
发明者赫伯特·A·利特尔, 尼尔·P·亚当斯, 迈克尔·S·布朗, 乔纳森·F·哈默, 迈克尔·G·科卡普 申请人:捷讯研究有限公司