CN101091176A - 在具有多个配置的设备中的配置使用 - Google Patents
在具有多个配置的设备中的配置使用 Download PDFInfo
- Publication number
- CN101091176A CN101091176A CNA2004800447946A CN200480044794A CN101091176A CN 101091176 A CN101091176 A CN 101091176A CN A2004800447946 A CNA2004800447946 A CN A2004800447946A CN 200480044794 A CN200480044794 A CN 200480044794A CN 101091176 A CN101091176 A CN 101091176A
- Authority
- CN
- China
- Prior art keywords
- configuration data
- data set
- equipment
- data processing
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Abstract
本发明涉及一种在具有可由一个或多个外部管理实体管理的多个配置数据集的设备中安排对配置的使用的方法。所述设备包括用于定义对访问配置数据集的权限的、由外部管理实体产生和/或控制的访问控制信息。响应于来自需要对配置数据集进行访问的应用的指示,而检查所述访问控制信息。如果基于所述访问控制信息,所述应用被授权访问所述配置数据集,则为所述应用安排对所述配置数据集的访问。
Description
技术领域
本发明涉及安排在具有多个配置的设备中对配置的使用,更具体地说,涉及安排对可由一个或多个外部管理实体管理的配置数据集的访问控制。
背景技术
随着诸如移动站的不同数据处理设备变得更加复杂,设备管理的意义变得更加显著。设备需要多个不同的设置,例如与互联网接入点有关的设置,但用户手动对其进行设置是非常费劲和困难的。为了解决这个问题,已经开发了设备管理方案,从而使得公司信息系统的管理员或远程操控员可以在设备中设置适当的配置。设备管理通常是指人们不使用设备就可以改变设备的配置的行动;例如改变设置或甚至设备所使用的协议。除了设备特定设置之外,还能够发送用户特定的数据,例如用户简档、标识、振铃音以及菜单,用户可以用其来对设备的设置进行个性化修改,或所述修改结合设备管理而自动发生。
设备管理标准之一是OMA(开放移动联盟)DM(设备管理),其部分地基于SyncML(同步标记语言)协议。例如,个人计算机(PC)可以充当设备管理协议中的设备管理服务器,而移动站可以充当设备管理客户机。在设备管理客户机中管理项目被安排为管理对象。管理对象是可以由设备管理客户机中的服务器管理命令来管理的实体。管理对象可以是例如多个实体或大型实体,例如背景图像或屏保。在OMA设备管理中,所述管理对象被安排在管理树中。
一些典型的可管理项目包括运营商特定的连接设置,例如GPRS(通用分组无线服务)连接设置。通过OMA DM过程,可以由运营商控制的管理服务器来维护用户终端设备中的这些运营商特定的设置集合(也可以称之为配置)。例如,可以将用于使用服务提供商的WAP(无线应用协议)服务的WAP设置提供为对于终端设备的配置上下文(context)。
一些受管理的项目可以包括用户特定的和受控的信息,例如屏保和振铃音。进一步地,可以将所述设备用于访问公司信息系统,例如文件系统、内部网页面以及其中的电子邮件系统。为此,所述设备需要包括用于安排对这些公司信息系统服务的访问的一个或多个配置。为了安全性的原因,公司IT人员期望能够控制这些设置。因此,设备可以包括来自不同管理方的多个配置,并且应该使得仅被授权的管理方能够访问特定配置。根据OMA规范“SyncML Device Management Protocol(SyncML设备管理协议)”版本1.1.2,2003年11月12日,第41页OMA DM中指定的OMA DM协议,在管理会话的建立阶段,基于从管理服务器接收的认证来授权管理服务器。进一步地,如OMA规范“SyncML Management Tree andDescription(SyncML管理树和说明)”,版本1.1.2,2003年11月2日,第44页所示,可以由访问控制列表(ACL)来指定管理树的节点,ACL包括标识符以及关联于每一标识符的访问权限的列表。如7.7.1章中所描述的那样,由ACL准予的访问权限定义了被授权进行获取、添加、替代和/或移除节点的管理服务器标识符。因此,可以将不同的访问权限授予各个设备管理服务器,并且不对管理树执行来自未批准的管理服务器的设备管理命令。然而,除了控制管理服务器对管理树节点的访问的能力之外,通常还需要限制在设备中对配置的使用。例如,公司期望以较好的方式控制用于访问公司IT服务的终端,以保护公司数据和服务。
发明内容
现提供一种方法、一种设备管理系统、数据处理设备以及一种计算机程序产品,其特征由独立权利要求中所阐述的内容进行表述。在从属权利要求中描述了本发明的一些实施例。
根据本发明一方面,具有多个配置数据集的设备包括由外部管理实体产生和/或控制的访问控制信息,用于定义应用对配置数据集进行访问的权限。响应于来自需要对配置数据集进行访问的应用的指示,检查所述访问控制信息。如果基于所述访问控制信息所述应用被授权访问所述配置数据集,则为所述应用安排对所述配置数据集的访问。
术语“配置数据集”通常是指包括对设备中的应用或设备的一个或多个功能具有直接或间接影响的配置信息的数据集合。例如,所述配置数据集可以包括服务器的域名和IP地址,基于所述域名和IP地址来从所述设备安排连接。
本发明使得有可能控制应用对配置数据的访问。更具体地说,可以由外部实体来规定和/或控制访问权限。设备可以包括具有不同访问控制特性的多个配置数据集。例如,可以由公司IT人员所操作的配置管理软件来控制用于规定对公司信息系统的访问设置的配置数据集。
根据实施例,将至少一个服务上下文存储在所述设备中,其中,所述服务上下文至少包括配置数据集。仅当由外部管理实体在与服务上下文相关联的访问控制信息中预先确定所述应用时,才基于所述访问控制信息允许所述应用对所述服务上下文的访问。于是,可以在设备中提供各种使用上下文,其可能还包括与非设置值有关的数据,例如由应用存储在所述设备中的与用户有关的数据。
附图说明
通过一些实施例并参考附图,现更详细地描述本发明,其中:
图1示出管理系统;
图2示出具有多个配置的设备;
图3示出根据本发明实施例的方法;以及
图4a和4b示出根据本发明实施例的方法。
具体实施方式
以下将在支持OMA设备管理的系统中描述本发明的一个实施例;然而,应注意的是,可以将本发明应用于可以由外部管理实体来对受管理的设备中的配置进行管理的任意设备管理系统中。
图1示出组成网络的系统。网络服务器或PC通常充当服务器S。例如,移动站、PC、膝上电脑、PDA(个人数字助理)设备或其模块都可以充当终端TE。在下面的实施例中,假定对于设备管理,终端TE充当设备管理客户机,而服务器S充当设备管理服务器。服务器S可以管理多个客户机TE。
在图1的第一示例中,客户机TE和管理服务器S被连接到局域网LAN。连接到网络LAN的客户机TE包括用于与网络LAN中的设备进行通信的功能单元,诸如网络卡和软件控制数据传输。局域网LAN可以是任意类型的局域网,TE也可以典型地使用防火墙FW通过互联网连接到服务器S。终端TE还可以通过接入点AP无线地连接到局域网LAN。
在第二实施例中,客户机TE通过移动网络MNW与服务器S通信。连接到网络MNW的终端TE包括用于与网络MNW进行无线通信的移动站功能。在移动网络MNW与服务器S之间,还可以存在其他网络,例如局域网LAN。移动网络MNW可以是任意无线网络,例如支持GSM服务的网络、支持GPRS(通用分组无线服务)的网络、诸如根据3GPP(第三代战略伙伴项目)的网络规范的网络的第三代移动网络、无线局域网WLAN、专用网络或几个网络的组合。除了上述示例之外,还可能存在许多其他设备管理配置,例如通过使用无线或有线连接在没有其他网络元件的情况下的终端TE之间的管理连接或终端TE和服务器S之间的直接管理连接。
终端TE和服务器S包括存储器、用户接口、用于数据传输的I/O装置以及包括一个或多个处理器的中央处理单元。所述存储器具有:非易失性部分,用于存储控制所述中央处理单元的应用以及其他要存储的信息;以及易失性部分,用于临时数据处理。
在所述中央处理单元中执行的计算机程序代码部分可以使服务器S实现用于建立和管理终端TE中的服务上下文的创造性方法,其某些实施例结合图4a示出。在终端TE的中央处理单元中执行的计算机程序代码可以使得终端TE也实现创造性方法,其用于将配置安排到终端中并安排在终端TE中的对配置的使用,其某些实施例结合图2、3、4a和4b示出。应注意,一个或多个实体可以执行创造性功能。例如,图3所示的一些特征由终端TE中的特定访问控制器来执行,而其他一些特征由终端TE中的应用来执行。可以将计算机程序存储在任意存储介质中,可以从所述存储介质中将所述计算机程序加载到设备TE的存储器中;S运行所述计算机程序。可以例如使用TCP/IP协议栈通过网络来加载所述计算机程序。还能够使用硬件解决方案或硬件和软件解决方案的结合来实现创造性方法。在一个实施例中,用于控制设备TE和/或S的芯片单元或其他类型的模块可以使得设备TE和/或S执行创造性功能。包括服务上下文特定信息的数据结构可以在数据传输网络上被传送--例如从服务器S到终端TE,并被存储在终端TE的存储器中。
在一个实施例中,终端TE和服务器S被安排为支持OMA设备管理(DM)。充当OMA设备管理客户机的终端TE包括客户机代理功能单元,其掌管与客户机中的管理会话有关的功能。充当设备管理服务器的服务器S包括服务器代理或服务器主机功能单元,对管理会话进行管理。然而,应注意,这些功能单元的应用不受限于任意具体设备,并且甚至能够在单个物理设备中实现客户机和服务器功能单元。存储在TE的存储器中的一个或多个管理树表示终端TE中的可管理对象。所述管理树由节点构成,并且定义由一个或多个节点形成的至少一个管理对象或节点的至少一个参数。所述节点可以是单独的参数、子树或数据集合。所述节点可以包括至少一个参数,该参数可以是配置值或文件,例如节点中的背景图像文件。还可以将节点的内容链接到另一节点。可以由统一资源标识符(URI)来对每一节点进行寻址。授权的设备管理服务器可以(动态)添加和改变管理树中的节点内容。
图2示出具有多个配置的终端TE环境200。环境200设置有一个或多个服务上下文203。可以将服务上下文203看作终端TE中的区域,对该区域的访问受控。因此,存储在终端TE中的服务上下文特定存储区域中的信息可以规定或形成服务上下文203。在一个实施例中,服务上下文203表示终端TE中用于访问服务(例如互联网访问服务)的不同配置。如出自服务上下文203的箭头所示,表示配置的服务上下文203可以包括对于所述服务上下文特定的凭证206、设置205、和/或一些其他类型的数据208。如图2所示,属于服务上下文203的信息可以被存储在多个存储位置,或被存储在单个存储位置。例如,服务上下文203可以包括或关联于存储在文件系统207中的敏感用户数据208,存储在中央储存库204中的设置205和凭证206,中央储存库204可以是用于服务上下文信息的特定存储部分。属于服务上下文203的数据208可以是在终端TE中接收的或由应用202产生的任意数据。例如,用户可以输入日历项,该日历项被存储为属于服务上下文203的数据208。
安全执行环境201可以控制对服务上下文203信息的访问,并且包括服务上下文内容的存储位置可以被保护。虽然图2中未示出,但执行环境201可以包括访问控制器,其被安排为控制对服务上下文信息的访问。在服务上下文管理器211的一个实施例中,外部管理实体可以为应用202授权,以访问属于服务上下文203的信息。由外部管理实体(211)产生和/或控制的访问控制信息(ACI)212可以被存储在终端TE中,以用于定义对访问服务上下文203的权限。进一步地,执行环境201可以注意保护在被授权访问服务上下文203的应用202与包括服务上下文信息的一个或多个存储位置之间的数据传送。在一个实施例中,由终端TE的操作系统来安排至少一些安全服务。
可以在终端环境200的安全执行环境201内部执行应用202。如果访问控制信息212允许,则为应用202安排对一个或多个服务上下文203的访问,以为终端TE的用户发起服务。在终端TE中,可以以多种方式来定义这个访问控制信息212。例如,可以将标识被授权访问服务上下文203的实体的文件存储在终端TE中,并且可以将终端TE安排为:仅为在所述文件中直接或间接标识的实体提供对服务上下文203的访问。例如,可以在终端TE中将访问控制信息212定义为用于实现服务上下文访问控制功能的软件组件的参数。因此,终端TE设置有用于定义对访问服务上下文203的授权的访问控制规则。所述访问控制信息文件可以是应用标识符的列表或应用源标识符的列表。然而,代替应用标识符或除了应用标识符之外,所述访问控制信息可以规定终端TE中的其他实体(例如应用群组或应用执行环境)的访问控制信息。访问控制信息212可以是服务上下文或服务上下文群组特定的。例如,访问控制信息212可以包括为不同使用情形而特制的用于共同访问的多个不同简档。在一个实施例中,这个管理性访问控制信息212属于服务上下文信息。
根据实施例,对应用202的认证206进行检查,以便可靠地定义与应用202关联的标识符。基于这个标识符,于是终端TE被安排为检查应用202是否被授权访问服务上下文203。可以将这些认证206存储在服务上下文信息中(例如中央存储库204中的认证206)和/或服务上下文203的外部(例如文件系统207中的应用202中)。认证206与终端TE中的至少一个应用202关联。认证206已经被发放,并通过可信的第三方--例如普通认证机构或应用开发者--对其进行数字签名,以提供关联的应用202的来源和真实性。可以例如在应用的安装期间从访问控制信息212分开地获得用于终端TE的认证206,或认证206甚至可以形成来自管理实体的访问控制信息或服务上下文信息的一部分。应注意,在一个实施例中,可以在访问控制过程期间得到认证206,以检查认证206访问特定服务上下文203的权限。认证206可以包括以下项中的至少一些:认证持有者的名称、序列号、有效期时间、认证持有者的公钥的拷贝、以及发放者的数字签名,从而使得接受者可以证实所述认证是可信的。
还如图2中的虚线所示,可以由外部授权的管理实体211来管理服务上下文203。这说明可以由外部管理实体211读取、添加、修改和/或移除属于服务上下文203的一些或全部信息。在一个实施例中,将OMA DM应用于管理服务上下文203。可以将服务上下文203信息中的至少一些存储在管理树中,所述管理树由设备管理代理基于来自OMA设备管理服务器(S)的设备管理命令来修改。
图3示出在终端TE中使用服务上下文的实施例的方法。在步骤301,可能存在由应用202发起服务的需要,从而使得应用202需要在一个或多个服务上下文203下存储的信息以用于服务建立或一些其他目的。这种需要通常是基于用户输入而引起的,但是还可以基于一些其他触发--例如来自外部设备的命令--而发起服务。在步骤302可以检查对所述服务可用的服务上下文203。如果在检查步骤302、303显示多于一个的可用的服务上下文203,则在步骤305选择优选的服务上下文203。例如,终端TE可以存储按优选顺序来表示服务上下文203的优选列表。可以在步骤305选择默认的服务上下文203。否则,在步骤304选择可用的服务上下文203。应用202或应用管理器可以被调整为执行在步骤301至305。虽然图3中未示出,但注意,服务上下文选择过程可以包括提示所述终端TE的用户选择服务上下文和/或确认所述服务上下文的选择。
于是,该方法进入步骤306,其中,请求对所选服务上下文的访问,或否则指示对访问服务上下文特定数据的需要。基于由管理实体产生和/或控制的访问控制信息212,在步骤307检查是否授权应用202访问服务上下文203。可以从TE的存储器获得有关的访问控制信息212,或者在一个实施例中,可以将终端TE配置为从外部实体(例如外部管理实体212)请求和接收访问控制信息。所述管理实体可以是服务上下文管理器211或一些其他实体,例如已经发放认证206的实体。如果没有授权应用202,则在步骤308拒绝应用202访问服务上下文203。
根据实施例,步骤307包括两个子步骤。首先,检查与需要访问服务上下文203的应用202关联的认证206。通过检查认证206,能够确保应用202的源和/或真实性。在第二子步骤中,对从应用202的认证206获得的标识符与预定的访问控制信息212中的标识符进行比较。在一个实施例中,在第二子步骤中可以对来自认证206的应用源标识符与访问控制信息212中的预定的应用源标识符进行比较。本实施例中的访问控制信息212规定了被授权使用服务上下文203的这些应用、应用的群组或应用源。因此,如果可以在访问控制信息212中找到来自应用202的认证206的标识符,则所述应用是被授权的。
如果基于步骤307的检查应用202是被授权的,则所述应用可以在步骤309访问与服务上下文203相关联的信息,于是应用202可以基于所述相关联的服务上下文信息来发起步骤310。
在一个实施例中,服务上下文203包括或关联于这样的设置,该设置用于安排从所述终端TE到一个或多个网络资源的连接以访问服务。因此,应用202可以在步骤310使用这些设置来建立连接。这些设置可以规定对公司内部网资源--例如电子邮件服务器和电子邮件帐户--的访问。然而,服务上下文203可以被用于许多其他服务。
在实施例中,终端TE包括属于或关联于服务上下文203的访问受控应用(特定)数据208,从而使得仅为外部管理实体211所授权的应用202安排对应用数据208的访问。该应用数据208通常是与用户有关的,并由应用202基于用户输入将其存储在终端TE中。在步骤310,应用数据208(例如包括公司电子邮件的文件)可以被显示,并可能被应用202(该示例中的电子邮件客户机应用)进行进一步处理。
当使用应用202时,可以选择或定义服务上下文203。当激活应用202和/或当要将新的内容规定为服务上下文信息时,可以选择服务上下文203。例如当激活电子邮件应用时,用户选择期望的简档或电子邮件帐户,从而还选择与所述简档或电子邮件帐户相关联的服务上下文。因此,当应用202稍后需要访问服务上下文203信息时,无需步骤302至305,但可以使用在相关联的服务上下文203中的信息,例如用于建立到远程电子邮件服务器的连接。在另一实施例中,可以为用户数据项(例如电子邮件消息)规定服务上下文203。可以结合数据项的存储来选择服务上下文203。例如,当用户已经完成了对电子邮件项的准备并选择存储所述项时,向用户示出(用于所述电子邮件应用的)可用的服务上下文203。于是,用户可以选择所述数据项将关联的服务上下文203,并且因此能够选择所述数据项的存储位置,并相应地存储所述数据项。稍后,可以将所述数据项用作任意其他服务上下文203特定的数据,即仅允许被授权的应用202对所述数据项进行访问。
在一个实施例中,由安全执行环境201(例如特定访问控制器实体)中的安全过程来控制对服务上下文203的访问(步骤307至309)。还可行的是,执行环境201在步骤303检查并在步骤304、305选择用于应用202的服务上下文203。可以在安全执行环境201中设置特定服务上下文选择器。
在另一实施例中,已经在步骤302检查了需要对服务上下文203进行访问的应用202的可用服务上下文203。在该实施例中,仅为服务被考虑应用202的认证允许访问的服务上下文203(或应用通过其他方式而具有访问授权的服务上下文203)。在该实施例中,仅由授权的应用202尝试对服务上下文203的访问,因此避免了不必要的请求。
图4a和4b示出根据实施例的由服务器S在终端TE中建立和/或修改服务上下文203的方法。在图4a中,示出了充当设备管理服务器的服务器S的特征。在步骤401,在受管理的终端设备TE中,存在对创建新的服务上下文203和/或修改现有服务上下文203的需要。在另一实施例中,存在对添加或修改与服务上下文203有关的访问控制信息212的需要。
于是,在步骤402,在服务器S中的设备管理服务器功能单元和终端TE中的设备管理客户机功能单元之间安排设备管理会话。可以利用OMA规范“SyncML Device Management Protocol(SyncML设备管理协议)”版本1.1.2,2003年12月12日,第41页中示出的传统OMA DM会话建立功能。
在步骤403,在一个或多个设备管理命令中,规定与服务上下文有关的信息--例如连接设置205--和/或访问控制信息。在该实施例中,将设备管理命令中的至少一些服务上下文信息寻址到一个或多个服务上下文特定的设备管理树节点。在步骤404,将管理命令传送到终端TE。
图4b示出在终端TE中接收与服务上下文有关的信息的功能。在步骤410,从设备管理服务器(S)接收设备管理命令。可以将包括访问控制信息的与服务上下文有关的数据存储在终端TE中。更具体地说,在步骤411,终端TE中的设备管理客户机基于接收到的设备管理命令来定义所需的行动。于是,可以由新的和/或修改的与服务上下文203有关的信息来修改终端TE中的设备管理树。例如,可以将新的节点添加到ACL列表,其将服务器S定义为以修改所述节点唯一授权的设备管理服务器。应注意,所述管理树可以仅充当对管理信息的示图,由此可以将受管理的信息存储在管理树的外部。
如果首次创建服务上下文203,并且对终端TE尚未规定设备管理,则可以首先利用OMA客户机提供方法,来启动和配置在服务上下文特定的管理命令之前的设备管理。因此,在步骤402和410,可以利用用于安排提供的连接。
即使访问控制信息212不是服务上下文203的一部分,所述管理树也可以包括用于访问控制信息212的一个或多个节点。按照与上面所示相似的方式,通过利用寻址到用于访问控制信息212的节点的设备管理命令,能够安排对访问控制信息212的修改、删除或添加。因此,外部管理实体可以容易地改变受管理的设备TE中的访问控制配置。应注意,图4a和4b仅仅是示例性的。例如,可以在建立管理会话之前形成设备管理命令。在一个实施例中,可以由终端TE中的授权方(例如用户)来创建或修改服务上下文203。当访问服务上下文信息时,可以使用如已经结合图3示出的相似过程,步骤306-309。因此,无需将设备管理机制应用于修改服务上下文203信息。
在一个实施例中,服务上下文管理器211或服务提供商,在图4a的实施例中的服务器S,可以检查合适的服务在合适的位置和/或在终端TE中被适当地使用。因此,所述服务提供商可以检查正确的设置在合适的位置并且仅使用来自信任的源的应用。可以通过对包括所述服务上下文数据的节点使用OMA DM GET命令来实现这种检查。可以在步骤404和412之后,或在一些其他时间点,例如在从终端TE中的应用202接收到服务请求之后实现该实施例。
在步骤402、403、410和411,能够使用设备管理协议的机制以及为其定义的消息;例如,对于OMA设备管理协议以及其他命令的更详细的描述,可以参考OMA规范”SyncML Device Management Protocol(SyncML设备管理协议)”版本1.1.2,2003年12月12日,第41页以及OMA规范“SyncML Representation Protocol Device Management Usage(SyncML表示协议设备管理使用)”版本1.1.2,2003年6月12日,第39页。
根据实施例,可以基于访问控制信息212将服务上下文203的内容关联于不同的访问控制规则和/或访问权限等级。在进一步的实施例中,将不同的访问规则被应用于服务上下文203的不同部分。例如,规定对公司电子邮件服务器的连接的服务上下文203的设置205可以被(被授权访问服务上下文203的应用202)读取,但被修改,而与服务上下文203关联的文件系统207中的数据208的访问可以读取并修改。在该实施例中,可以在访问控制方面区分服务上下文203的内容。
可以被应用作为上述实施例的一些示例性规则是:读取(服务上下文数据的全部或仅特定部分)的权限、移除的权限以及添加的权限。可以在访问控制信息212中或一些其他存储部分规定访问控制规则和/或权限等级。在一个实施例中,由XACML(可扩展访问标记语言)规定访问策略。如果应用了OMA DM,则可以在管理树中规定访问控制列表,该管理树用于确定被授权访问关联的与服务上下文有关的数据的一个或多个外部设备管理服务器,即可以由OMA DM访问控制列表规定外部管理实体。
在替换或补充实施例中,基于访问控制信息212将不同的访问控制规则关联于服务上下文203的不同用户。例如,在该实施例中,能够为终端TE的不同应用202和用户应用不同的访问权限。作为示例,可以将服务上下文203(或其一部分)设置为仅可由终端TE的用户或订户以及产生和/或控制服务上下文203的外部管理实体来修改。
在一个实施例中,总是批准所述终端TE的用户或订户从所述终端TE中移除或删除服务上下文203。由于获得服务需要服务上下文203,因此,在已经删除服务上下文203之后,不能将所述终端TE用于访问服务。因此,对于服务上下文203的任意管理者211,不需给出完全的控制,并且用户并不一定必须放弃控制其终端的权限。无需将服务上下文强制给任意终端,但是用户/订户可以期望使用服务并且因此将服务上下文接受到终端TE。由于可以将服务上下文203自身设置为仅可由授权的管理实体(211)来修改,因此能够防止用户的访问修改服务上下文203。
在进一步的实施例中,提供向授权的管理实体211通知用户删除了的服务上下文203的能力。用于处理基于用户输入的服务上下文203删除的服务上下文203的特征可以被配置为向被授权的管理实体211发送消息以通知从终端TE中删除了服务上下文203。在另一实施例中,被授权的管理实体211被配置为检查终端TE中的服务上下文203(其被授权查看),以检测删除的服务上下文203。例如,可以由OMA DM过程对包括服务上下文数据的节点执行周期性检查。
应注意,还可以将上述实施例以其任意组合形式来应用。对本领域技术人员明显的是,在技术进步的同时,可以以许多不同的方式来实现本发明的基本构思。因此,本发明及其实施例不受限于上述示例,而是可以在权利要求的范围内改变。
Claims (20)
1.一种用于设备管理系统的方法,所述方法用于安排在具有多个配置数据集以及多个应用的设备中的配置使用,其中所述多个配置数据集可由一个或多个外部管理实体管理,其特征在于,所述系统包括用于定义对配置数据集的访问权限的、由外部管理实体产生和/或控制的访问控制信息,所述方法包括:
响应于来自需要对配置数据集进行访问的应用的指示,检查所述访问控制信息,以及
响应于所述应用在所述访问控制信息的基础上被授权访问所述配置数据集,而为所述应用安排对所述配置数据集的访问。
2.如权利要求1所述的方法,其特征在于,将至少一个服务上下文存储在所述设备中,其中,所述服务上下文至少包括所述配置数据集,并且如果所述应用被所述外部管理实体在与所述服务上下文相关联的访问控制信息中预先定义,则基于所述访问控制信息允许所述应用访问所述服务上下文。
3.如权利要求1所述的方法,其特征在于,响应于所述应用可用多个配置数据集,来为所述应用安排对配置数据集的选择。
4.如前面任意一项权利要求所述的方法,其特征在于,基于所述配置数据集的至少一部分而由所述应用来安排服务。
5.如前面任意一项权利要求所述的方法,其特征在于,通过以下步骤来将所述配置数据集和/或关于其的访问控制信息安排到所述设备中:
在所述设备和所述外部管理实体的设备设备管理服务器之间建立用于提供安排的设备管理会话或连接,
通过所述用于进行提供的设备管理会话或连接,来发送所述配置数据集和/或所述访问控制信息,以及
将所述配置数据集和/或所述访问控制信息存储在所述设备中。
6.一种设备管理系统,其包括将被管理的设备管理客户机和设备管理服务器,所述设备管理系统被安排为通过包括至少一个节点的管理结构来管理至少一个设备管理客户机,其特征在于,所述系统被安排为存储由外部管理实体产生和/或控制的访问控制信息,以用于定义对配置数据集的访问权限,
所述系统被安排为:响应于来自需要对配置数据集进行访问的应用的指示,检查所述访问控制信息,
响应于所述应用在所述访问控制信息的基础上被授权访问所述配置数据集,所述系统被安排为向所述应用提供对所述配置数据集的访问,以及
所述系统被安排为基于所述配置数据集的至少一部分由所述应用来安排服务。
7.一种用于设备管理系统的数据处理设备,所述设备包括用于存储可由一个或多个外部管理实体管理的多个配置数据集的装置以及多个应用,其特征在于,所述数据处理设备包括:
存储用于定义对配置数据集的访问权限的访问控制信息的存储器,
响应于来自需要对配置数据集进行访问的应用的指示而检查所述访问控制信息的装置;以及
响应于所述应用在所述访问控制信息的基础上被授权访问所述配置数据集而为所述应用安排对所述配置数据集的访问的装置。
8.如权利要求7所述的数据处理设备,其特征在于,所述数据处理设备被安排为响应于来自对所述配置数据集进行访问的应用的请求而检查所述访问控制信息。
9.如权利要求7或8所述的数据处理设备,其特征在于,所述数据处理设备包括基于所述配置数据集的至少一部分由所述应用安排服务的装置。
10.如权利要求7至9中的任意一项所述的数据处理设备,其特征在于,至少包括所述配置数据集的至少一个服务上下文被存储在所述数据处理设备中,并且
所述数据处理设备被安排为如果所述应用基于与所述服务上下文关联的访问控制信息而被授权,则允许所述应用基于所述访问控制信息来访问所述服务上下文。
11.如权利要求10所述的数据处理设备,其特征在于,所述服务上下文进一步包括由所述数据处理设备的应用所存储的与用户有关的数据。
12.如权利要求7至11中的任意一项所述的数据处理设备,其特征在于,所述配置数据集包括用于安排从所述设备到一个或多个网络资源的连接以访问服务所需的设置,以及
所述数据处理设备被安排为基于所述设置建立到一个或多个网络资源的连接。
13.如权利要求7至12中的任意一项所述的数据处理设备,其特征在于,所述数据处理设备包括这样的装置,其用于响应于所述应用可用多个配置数据集,来为所述应用安排对配置数据集的选择。
14.如权利要求7至13中的任意一项所述的数据处理设备,其特征在于,在被授权访问所述配置数据集的应用和包括所述配置数据集的存储位置之间的数据传输被保护。
15.如权利要求7至14中的任意一项所述的数据处理设备,其特征在于,基于在所述访问控制信息中的预定标识符与认证中的标识符之间的比较,来控制对配置数据集的访问,其中所述认证关联于所述应用并证明所述应用的源。
16.如权利要求7至15中的任意一项所述的数据处理设备,其特征在于,所述数据处理设备包括根据OMA设备管理标准的设备管理客户机,以及
所述数据处理设备被安排为,基于从设备管理服务器到所述数据处理设备中的管理树节点的设备管理命令,来添加和/或修改配置数据集。
17.一种用于设备管理系统的数据处理设备,所述数据处理设备包括用于将管理命令发送给受管理设备的装置,其特征在于,
所述数据处理设备包括用于控制访问控制信息的装置,其中所述控制访问控制信息用于定义在所述受管理设备中的应用访问所述受管理设备中的配置数据集的权限。
18.如权利要求17所述的数据处理设备,其特征在于,所述数据处理设备被安排为建立与所述受管理设备的设备管理会话,
所述数据处理设备被安排为形成设备管理命令,其被寻址到在受管理设备的管理树中表示配置数据集和/或访问控制信息的节点,以及
所述数据处理设备被安排为将所述设备管理命令发送给所述受管理设备。
19.如权利要求17或18所述的数据处理设备,其特征在于,所述数据处理设备是根据OMA设备管理标准的设备管理服务器。
20.一种可下载到数据处理设备的存储器中的计算机程序产品,其特征在于,所述计算机程序产品包括当被运行在所述数据处理设备的处理器中时使所述数据处理设备执行以下操作的计算机程序代码:
响应于来自需要对配置数据集进行访问的应用的指示,检查用于定义对配置数据集的访问权限的访问控制信息,以及
响应于所述应用在所述访问控制信息的基础上被授权访问所述配置数据集,而为所述应用安排对所述配置数据集的访问。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/FI2004/000810 WO2006070045A1 (en) | 2004-12-30 | 2004-12-30 | Use of configurations in device with multiple configurations |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101091176A true CN101091176A (zh) | 2007-12-19 |
| CN100489827C CN100489827C (zh) | 2009-05-20 |
Family
ID=36614536
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004800447946A Active CN100489827C (zh) | 2004-12-30 | 2004-12-30 | 利用访问控制信息使用具有多个配置的设备中的配置的方法、系统和设备 |
Country Status (10)
| Country | Link |
|---|---|
| US (1) | US8140650B2 (zh) |
| EP (1) | EP1839182B1 (zh) |
| JP (1) | JP2008527475A (zh) |
| CN (1) | CN100489827C (zh) |
| BR (1) | BRPI0419267B1 (zh) |
| CA (1) | CA2592702C (zh) |
| ES (1) | ES2625789T3 (zh) |
| PL (1) | PL1839182T3 (zh) |
| TW (1) | TWI296777B (zh) |
| WO (1) | WO2006070045A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101911594A (zh) * | 2007-12-31 | 2010-12-08 | 英特尔公司 | 使无线网络中由开放移动联盟设备管理服务器发起的通知能绕过防火墙的技术 |
| CN102356681A (zh) * | 2009-03-17 | 2012-02-15 | 高通股份有限公司 | 无线通信系统中处理不一致控制信息的方法和装置 |
| CN102906758A (zh) * | 2010-04-29 | 2013-01-30 | 日本电气株式会社 | 访问管理系统 |
| CN103514386A (zh) * | 2012-06-22 | 2014-01-15 | 纬创资通股份有限公司 | 应用程序的权限控管方法、电子装置及计算机可读取媒体 |
Families Citing this family (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070180127A1 (en) * | 2003-11-11 | 2007-08-02 | Nokia Corporation | Preconfigured syncml profile categories |
| KR100941540B1 (ko) * | 2005-06-02 | 2010-02-10 | 엘지전자 주식회사 | 장치관리 시스템 및 그 시스템에서의 설정-값 세팅 방법 |
| US20070027971A1 (en) * | 2005-07-26 | 2007-02-01 | Sunil Marolia | Device management network with notifications comprising multiple choice prompts |
| US7870490B2 (en) * | 2005-11-15 | 2011-01-11 | Microsoft Corporation | On-the-fly device configuration and management |
| CN101163309B (zh) * | 2006-10-13 | 2012-07-04 | 华为技术有限公司 | 一种实现信息锁定的方法、系统和装置 |
| EP2087644B1 (en) * | 2006-10-16 | 2013-04-24 | Hewlett-Packard Development Company, L.P. | Retrieval of Performance Indicator from an Electronic Device |
| GB0620927D0 (en) | 2006-10-20 | 2006-11-29 | Vodafone Plc | Device management |
| FR2911022A1 (fr) * | 2006-12-29 | 2008-07-04 | France Telecom | Procede permettant d'imposer une politique de securite a une application telechargeable accedant a des ressources du reseau |
| KR101281931B1 (ko) * | 2007-04-06 | 2013-08-26 | 삼성전자주식회사 | 트랩 mo의 디바이스 관리 보안 시스템 및 방법 |
| US8819814B1 (en) * | 2007-04-13 | 2014-08-26 | United Services Automobile Association (Usaa) | Secure access infrastructure |
| US8327456B2 (en) * | 2007-04-13 | 2012-12-04 | Microsoft Corporation | Multiple entity authorization model |
| US7792979B1 (en) * | 2007-06-29 | 2010-09-07 | Emc Corporation | Object tree walking |
| US8375136B2 (en) * | 2007-08-08 | 2013-02-12 | Innopath Software, Inc. | Defining and implementing policies on managed object-enabled mobile devices |
| US8443451B2 (en) * | 2008-03-27 | 2013-05-14 | George Madathilparambil George | Manually controlled application security environments |
| US20090260050A1 (en) * | 2008-04-14 | 2009-10-15 | George Madathilparambil George | Authenticating device for controlling application security environments |
| US10372924B2 (en) * | 2008-05-12 | 2019-08-06 | George Madathilparambil George | Master device for controlling application security environments |
| CN101686458B (zh) * | 2008-09-28 | 2013-06-12 | 华为技术有限公司 | 一种终端配置和管理方法及终端装置 |
| CN101730099B (zh) * | 2008-10-14 | 2013-03-20 | 华为技术有限公司 | 基于权限控制的终端管理方法及装置 |
| US9614685B2 (en) | 2009-03-09 | 2017-04-04 | Nokia Technologies Oy | Methods, apparatuses, and computer program products for facilitating synchronization of setting configurations |
| EP2271008A1 (en) * | 2009-06-30 | 2011-01-05 | Nxp B.V. | Automatic configuration in a broadcast application apparatus |
| US9021108B2 (en) * | 2010-09-27 | 2015-04-28 | Blackberry Limited | Method, system and apparatus for enabling access of a first mobile electronic device to at least one network accessible by a second mobile electronic device |
| US9064111B2 (en) * | 2011-08-03 | 2015-06-23 | Samsung Electronics Co., Ltd. | Sandboxing technology for webruntime system |
| US8893225B2 (en) | 2011-10-14 | 2014-11-18 | Samsung Electronics Co., Ltd. | Method and apparatus for secure web widget runtime system |
| US8756669B2 (en) * | 2012-06-20 | 2014-06-17 | Futurewei Technologies, Inc. | Security mode for mobile communications devices |
| US9225715B2 (en) * | 2013-11-14 | 2015-12-29 | Globalfoundries U.S. 2 Llc | Securely associating an application with a well-known entity |
| US9554323B2 (en) | 2013-11-15 | 2017-01-24 | Microsoft Technology Licensing, Llc | Generating sequenced instructions for connecting through captive portals |
| US10382305B2 (en) | 2013-11-15 | 2019-08-13 | Microsoft Technology Licensing, Llc | Applying sequenced instructions to connect through captive portals |
| US9369342B2 (en) * | 2013-11-15 | 2016-06-14 | Microsoft Technology Licensing, Llc | Configuring captive portals with a cloud service |
| US9392438B2 (en) | 2014-09-24 | 2016-07-12 | Motorola Solutions, Inc. | Method and apparatus to manage user/device profiles for public safety applications |
| KR101856930B1 (ko) * | 2016-08-29 | 2018-05-11 | 현대자동차주식회사 | 유에스비 액세서리의 유에스비 통신 제어 방법 |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6272632B1 (en) * | 1995-02-21 | 2001-08-07 | Network Associates, Inc. | System and method for controlling access to a user secret using a key recovery field |
| US7058696B1 (en) * | 1996-11-22 | 2006-06-06 | Mangosoft Corporation | Internet-based shared file service with native PC client access and semantics |
| WO2002071786A1 (fr) * | 2001-03-02 | 2002-09-12 | Fujitsu Limited | Systeme de communication mobile et dispositif constitutif |
| NZ531131A (en) * | 2001-08-13 | 2005-12-23 | Qualcomm Inc | Using permissions to allocate device resources to an application |
| EP1451975B1 (en) * | 2001-12-03 | 2018-01-24 | Nokia Technologies Oy | Apparatus and associated method for retrieving mobile node logic tree information |
| US20030212684A1 (en) | 2002-03-11 | 2003-11-13 | Markus Meyer | System and method for adapting preferences based on device location or network topology |
| JP2003283494A (ja) * | 2002-03-27 | 2003-10-03 | Ntt Docomo Inc | 通信端末のアクセス制御方法、認定プログラム提供装置、管理装置および通信端末 |
| ATE385094T1 (de) * | 2002-04-30 | 2008-02-15 | Nokia Corp | Verfahren und einrichtung zur verwaltung des baumdatenaustauschs |
| TWI231900B (en) * | 2002-08-19 | 2005-05-01 | Ntt Docomo Inc | Communication terminal providing function against connection with specific website and method thereof and memory media memorizing the program |
| JP3869347B2 (ja) * | 2002-10-18 | 2007-01-17 | 株式会社エヌ・ティ・ティ・ドコモ | 入出力制御システム、入出力制御方法、入出力制御プログラム |
| WO2004046963A1 (en) * | 2002-11-21 | 2004-06-03 | Nokia Corporation | Method and device for defining objects allowing to establish a device management tree for mobile communication devices |
| US20040123147A1 (en) | 2002-12-19 | 2004-06-24 | Christopher White | Control of security or ease-of-use sensitivity for a wireless communication device |
| FI116426B (fi) * | 2003-05-02 | 2005-11-15 | Nokia Corp | Laitteenhallinnan aloittaminen hallintapalvelimen ja asiakkaan välillä |
| JP4202829B2 (ja) * | 2003-06-04 | 2008-12-24 | 京セラ株式会社 | メール送信機能を有する電話機 |
| US20050091346A1 (en) * | 2003-10-23 | 2005-04-28 | Brijesh Krishnaswami | Settings management infrastructure |
| US20060173974A1 (en) * | 2005-02-02 | 2006-08-03 | Victor Tang | System and method for providing mobile access to personal media |
| US20070174429A1 (en) * | 2006-01-24 | 2007-07-26 | Citrix Systems, Inc. | Methods and servers for establishing a connection between a client system and a virtual machine hosting a requested computing environment |
| JP4821405B2 (ja) * | 2006-03-29 | 2011-11-24 | 富士ゼロックス株式会社 | ファイルアクセス制御装置及びファイル管理システム |
| JP4583435B2 (ja) * | 2007-12-19 | 2010-11-17 | 株式会社三菱東京Ufj銀行 | スタンド |
-
2004
- 2004-12-30 PL PL04805205T patent/PL1839182T3/pl unknown
- 2004-12-30 WO PCT/FI2004/000810 patent/WO2006070045A1/en active Application Filing
- 2004-12-30 CN CNB2004800447946A patent/CN100489827C/zh active Active
- 2004-12-30 JP JP2007548846A patent/JP2008527475A/ja not_active Withdrawn
- 2004-12-30 US US11/794,421 patent/US8140650B2/en active Active
- 2004-12-30 BR BRPI0419267A patent/BRPI0419267B1/pt active IP Right Grant
- 2004-12-30 CA CA2592702A patent/CA2592702C/en active Active
- 2004-12-30 ES ES04805205.4T patent/ES2625789T3/es active Active
- 2004-12-30 EP EP04805205.4A patent/EP1839182B1/en active Active
-
2005
- 2005-12-27 TW TW094146608A patent/TWI296777B/zh active
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101911594A (zh) * | 2007-12-31 | 2010-12-08 | 英特尔公司 | 使无线网络中由开放移动联盟设备管理服务器发起的通知能绕过防火墙的技术 |
| CN101911594B (zh) * | 2007-12-31 | 2014-07-23 | 英特尔公司 | 使无线网络中由开放移动联盟设备管理服务器发起的通知能绕过防火墙的方法、系统和装置 |
| CN102356681A (zh) * | 2009-03-17 | 2012-02-15 | 高通股份有限公司 | 无线通信系统中处理不一致控制信息的方法和装置 |
| CN102356681B (zh) * | 2009-03-17 | 2014-10-29 | 高通股份有限公司 | 无线通信系统中处理不一致控制信息的方法和装置 |
| CN102906758A (zh) * | 2010-04-29 | 2013-01-30 | 日本电气株式会社 | 访问管理系统 |
| CN103514386A (zh) * | 2012-06-22 | 2014-01-15 | 纬创资通股份有限公司 | 应用程序的权限控管方法、电子装置及计算机可读取媒体 |
| US9189608B2 (en) | 2012-06-22 | 2015-11-17 | Wistron Corp. | Permission management method for applications, electronic device thereof, and computer readable medium |
| CN103514386B (zh) * | 2012-06-22 | 2016-07-06 | 纬创资通股份有限公司 | 应用程序的权限控管方法及电子装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| TWI296777B (en) | 2008-05-11 |
| TW200634628A (en) | 2006-10-01 |
| BRPI0419267B1 (pt) | 2017-05-16 |
| EP1839182A1 (en) | 2007-10-03 |
| CA2592702A1 (en) | 2006-07-06 |
| US8140650B2 (en) | 2012-03-20 |
| BRPI0419267A (pt) | 2007-12-18 |
| ES2625789T3 (es) | 2017-07-20 |
| US20080104207A1 (en) | 2008-05-01 |
| CN100489827C (zh) | 2009-05-20 |
| EP1839182B1 (en) | 2017-04-12 |
| JP2008527475A (ja) | 2008-07-24 |
| PL1839182T3 (pl) | 2017-08-31 |
| CA2592702C (en) | 2014-07-29 |
| WO2006070045A1 (en) | 2006-07-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100489827C (zh) | 利用访问控制信息使用具有多个配置的设备中的配置的方法、系统和设备 | |
| CN100533440C (zh) | 基于对共享式数据的访问权限来提供服务 | |
| JP4722056B2 (ja) | 個別化およびアイデンティティ管理のための方法および装置 | |
| US7860525B2 (en) | System, method, and computer program product for service and application configuration in a network device | |
| EP1953950B1 (en) | A method for protecting network service application account, the system, and the apparatus thereof | |
| KR100644616B1 (ko) | 마크업 랭귀지 기반의 단일인증 방법 및 이를 위한 시스템 | |
| EP1983683B1 (en) | A method and system for managing XML document | |
| KR101565828B1 (ko) | 자기통제 강화형 디지털 아이덴터티 공유 장치 및 그 방법 | |
| CN1540550A (zh) | 电子钥匙系统以及电子钥匙使用方法 | |
| WO2005088909A1 (ja) | アクセス制御システム、並びにそれに用いられるアクセス制御装置、及びリソース提供装置 | |
| CN101164278A (zh) | 可扩展标记语言xml文档管理方法及系统 | |
| US8516602B2 (en) | Methods, apparatuses, and computer program products for providing distributed access rights management using access rights filters | |
| US20070162980A1 (en) | SYSTEM AND METHOD FOR PROVIDING CONTENT SECURITY IN UPnP SYSTEMS | |
| Wullems et al. | Towards context-aware security: An authorization architecture for intranet environments | |
| JP2020188353A (ja) | 情報処理装置、情報処理システム及びプログラム | |
| JP2005217679A (ja) | 通信相手の認証を行う認証サーバ | |
| EP2395450A1 (en) | Information management system | |
| JP4559648B2 (ja) | 認証システム、および認証サーバ | |
| KR100913976B1 (ko) | 다중 구성들을 구비한 장치에서 구성들의 사용 | |
| JP2010218302A (ja) | コンテンツアクセス制御システム、コンテンツサーバ及びコンテンツアクセス制御方法 | |
| JP6240253B2 (ja) | 複数のコンフィギュレーションを有する装置内におけるコンフィギュレーションの使用法 | |
| JP5977018B2 (ja) | 複数のコンフィギュレーションを有する装置内におけるコンフィギュレーションの使用法 | |
| JP2002063632A (ja) | 自動販売機管理システム | |
| KR20010093940A (ko) | 개인 정보 제공 방법 및 이를 수행하기 위한 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20160121 Address after: Espoo, Finland Patentee after: Technology Co., Ltd. of Nokia Address before: Espoo, Finland Patentee before: Nokia Oyj |