專利名稱:證書管理和傳送系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明大體上涉及安全電子消息領(lǐng)域��,并特別涉及安全消息和客戶之間證書的管理和傳送�。
背景技術(shù):
包括如在桌上型計(jì)算機(jī)系統(tǒng)中運(yùn)行的電子郵件軟件應(yīng)用程序等在內(nèi)的大部分已知安全消息客戶端都保持有數(shù)據(jù)存儲器,或至少保持有用于安全消息信息諸如證書(“Cert”)的專用數(shù)據(jù)存儲區(qū)��。證書通常包括一個實(shí)體的公用密鑰及用一個或多個數(shù)字簽名捆綁于公用密鑰的標(biāo)識信息�����。例如�����,在安全多用途因特網(wǎng)郵件擴(kuò)展(S/MIME)消息中���,使用公用密鑰驗(yàn)證所接收的安全消息上的數(shù)字簽名�,并且加密用于加密要發(fā)送的消息的會話密鑰。在其他安全消息方案中����,可以使用公用密鑰加密數(shù)據(jù)或消息。如果公用密鑰當(dāng)被要求用于加密或數(shù)字簽名認(rèn)證時在消息客戶端中不可用���,則在能夠執(zhí)行這些操作之前����,必須將證書加載到消息客戶端上��。通常�����,每個消息客戶端建立與證書源之間的通信�����,以獲得任何需要的證書���,并管理私人密鑰和自己的證書,而與其他消息客戶端無關(guān)�。然而��,當(dāng)用戶具有例如操作于桌上型和膝上型個人計(jì)算機(jī)(PC)和無線移動通信設(shè)備等多于一個消息客戶端時�����,則通常必須將證書從證書源加載到每個消息客戶端上�。
因此�,需要消息客戶端具有證書管理和簡化證書管理和加載的傳送機(jī)制。
具有證書管理以及加載系統(tǒng)和方法的相關(guān)需要�����。
發(fā)明內(nèi)容
提供了一種第一消息客戶端和第二消息客戶端之間的證書管理和傳送的方法�����。該方法可包括以下步驟建立第一消息客戶端和第二消息客戶端之間的通信�����,選擇存儲在第一消息客戶端上的一個或多個用于傳送到第二消息客戶端的證書�,并將所選擇的證書從第一消息客戶端傳送到第二消息客戶端。
還提供了一種用于第一消息客戶端和第二消息客戶端之間的證書管理和傳送的系統(tǒng)��。該系統(tǒng)可包括在第一消息客戶端處,第一存儲器����,包含配置用于存儲證書的第一證書存儲器;第一證書同步(sync)系統(tǒng)����,配置用于訪問第一證書存儲器;以及第一通信接口�。在第二消息客戶端處,該系統(tǒng)可包括第二存儲器��,包含配置用于存儲證書的第二證書存儲器�;第二證書同步系統(tǒng),配置用于訪問第二證書存儲器����;以及與第一通信接口匹配的第二通信接口。還可配置第一證書同步系統(tǒng)�����,當(dāng)?shù)谝幌⒖蛻舳撕偷诙⒖蛻舳酥g通過第一通信接口和第二通信接口建立通信鏈路時�����,從第一消息客戶端向第二消息客戶端傳送存儲在第一證書存儲器中的證書��。
還提供了另一種用于在計(jì)算機(jī)系統(tǒng)和無線移動通信設(shè)備之間傳送證書的系統(tǒng)����。該系統(tǒng)可包括與計(jì)算機(jī)系統(tǒng)相關(guān)的串行端口;連接到串行端口的移動設(shè)備底座(cradle)�����,所述移動設(shè)備底座具有接口���;以及與無線移動通信設(shè)備相關(guān)并與移動設(shè)備底座接口匹配的移動設(shè)備接口���。當(dāng)通過將無線移動通信設(shè)備放在移動設(shè)備底座中而建立計(jì)算機(jī)系統(tǒng)和無線移動通信設(shè)備之間的通信鏈路時,可以將存儲在計(jì)算機(jī)系統(tǒng)中的證書傳送到無線移動通信設(shè)備�。
還提供了一種無線移動通信設(shè)備,并且可包括無線收發(fā)器�;耦合到無線收發(fā)器的消息系統(tǒng);通信接口�;配置用于存儲證書的證書存儲器;以及耦合到證書存儲器和通信接口的證書同步系統(tǒng)��?����?膳渲迷撓⑾到y(tǒng)將通過無線收發(fā)器接收到的證書存儲到證書存儲器,并配置該證書同步系統(tǒng)將通過通信接口接收到的證書存儲到證書存儲器�。
圖1是示例消息系統(tǒng)的方框圖。
圖2是示出了消息系統(tǒng)中安全電子郵件消息交換的方框圖��。
圖3是實(shí)現(xiàn)證書管理和傳送系統(tǒng)的無線移動通信設(shè)備和相關(guān)計(jì)算機(jī)系統(tǒng)的方框圖���。
圖4是示出了消息客戶端之間證書管理和傳送的方法的流程圖����。
圖5是作為可實(shí)現(xiàn)按照本發(fā)明各方面的系統(tǒng)和方法的消息客戶端的示例的無線移動通信設(shè)備的方框圖��。
圖6是示出了示例通信系統(tǒng)的方框圖���。
圖7是可選示例通信系統(tǒng)的方框圖����。
圖8是另一可選通信系統(tǒng)的方框圖��。
具體實(shí)施例方式
安全消息是已經(jīng)由消息發(fā)送器�、或可能是消息發(fā)送器和消息接收器之間的中間系統(tǒng)處理的消息,以確保數(shù)據(jù)保密性����、數(shù)據(jù)完整性和用戶驗(yàn)證中的一個或多個。安全消息的普通技術(shù)包括用數(shù)字簽名簽署消息和/或加密消息�。例如,安全消息可以是按照安全多用途因特網(wǎng)郵件擴(kuò)展(S/MIME)的不同形式�,由消息發(fā)送器簽名、加密�����、加密然后簽名�、或簽名然后加密的消息。
消息客戶端允許其在上運(yùn)行的系統(tǒng)接收并可能發(fā)送消息��。消息客戶端可運(yùn)行于計(jì)算機(jī)系統(tǒng)��、手持設(shè)備或具有通信能力的任何其他系統(tǒng)或設(shè)備����。很多消息客戶端還具有附加的非消息功能。
圖1是示例消息系統(tǒng)的方框圖�。系統(tǒng)10包括與計(jì)算機(jī)系統(tǒng)14連接的廣域網(wǎng)絡(luò)(WAN)12、無線網(wǎng)絡(luò)網(wǎng)關(guān)16和公司局域網(wǎng)絡(luò)(LAN)18���。無線網(wǎng)絡(luò)網(wǎng)關(guān)16還連接到無線通信網(wǎng)絡(luò)20�����,在無線通信網(wǎng)絡(luò)20中�,配置有無線移動通信設(shè)備22(“移動設(shè)備”)運(yùn)行。
計(jì)算機(jī)系統(tǒng)14可以是桌上型或膝上型PC��,其被配置用于與如因特網(wǎng)等WAN 12通信��。諸如計(jì)算機(jī)系統(tǒng)14等PC通常通過因特網(wǎng)服務(wù)提供商(ISP)����,應(yīng)用服務(wù)提供商(ASP)等訪問因特網(wǎng)。
公司LAN 18是基于因特網(wǎng)的消息客戶端的示例���。其通常位于安全防火墻24的后面�����。在公司LAN 30內(nèi)���,運(yùn)行在防火墻24后面的計(jì)算機(jī)上的消息服務(wù)器26作為公司的主要接口,以交換LAN 18內(nèi)的消息和通過WAN 12與其他外部消息客戶端的消息��。例如���,兩個已知的消息服務(wù)器26包括MicrosoftTMExchange Server和Lotus DominoTM����。這些服務(wù)器通常與因特網(wǎng)郵件路由器一起使用,因特網(wǎng)郵件路由器通常使用基于UNIX的傳送郵件協(xié)議來路由和傳遞郵件���。消息服務(wù)器26也可以提供附加功能,如針對如日歷���、計(jì)劃表�����、任務(wù)表����、電子郵件和文檔數(shù)據(jù)等的動態(tài)數(shù)據(jù)存儲���。
消息服務(wù)器26向耦合到LAN 18的聯(lián)網(wǎng)計(jì)算機(jī)系統(tǒng)28提供消息傳遞能力��。典型的LAN 18包括多個計(jì)算機(jī)系統(tǒng)28�����,每個都實(shí)現(xiàn)一消息客戶端�,如Microsoft OutlookTM、Lotus NotesTM等����。在LAN 18內(nèi),由消息服務(wù)器26接收消息���,分布給在接收的消息中所尋址的用戶帳戶的適當(dāng)信箱�,然后由用戶通過運(yùn)行在計(jì)算機(jī)系統(tǒng)28上的消息客戶端進(jìn)行訪問����。
無線網(wǎng)關(guān)16向無線網(wǎng)絡(luò)20提供接口,通過該接口可與移動設(shè)備22交換消息��。例如���,移動設(shè)備22可以是數(shù)據(jù)通信設(shè)備�����、語音通信設(shè)備�����、如最現(xiàn)代的蜂窩電話等具有數(shù)據(jù)和語音通信功能的雙模式通信設(shè)備��、能夠用于無線通信的個人數(shù)字助理(PDA)或具有無線調(diào)制解調(diào)器的膝上型或桌上型計(jì)算機(jī)系統(tǒng)�����。
如移動設(shè)備22的尋址�����、.針對無線傳輸?shù)木幋a或其他轉(zhuǎn)換消息和其他所需的接口功能等功能可以由無線網(wǎng)關(guān)16執(zhí)行�����?���?梢耘渲脽o線網(wǎng)關(guān)16運(yùn)行于多于一個無線網(wǎng)絡(luò)20���,在該情況下�,無線網(wǎng)關(guān)16也可以確定最可能的網(wǎng)絡(luò)���,來定位給定的移動設(shè)備用戶��,并且當(dāng)用戶在國家或網(wǎng)絡(luò)之間漫游時��,對其進(jìn)行跟蹤��。
任何訪問WAN 12的計(jì)算機(jī)系統(tǒng)都可以通過無線網(wǎng)絡(luò)網(wǎng)關(guān)16與移動設(shè)備22交換消息��?;蛘撸部梢詫?shí)現(xiàn)如無線虛擬專用網(wǎng)絡(luò)(VPN)路由器等專用無線網(wǎng)絡(luò)網(wǎng)關(guān)����,向無線網(wǎng)絡(luò)提供專用接口。例如��,在LAN 18中實(shí)現(xiàn)的無線VPN可以通過無線網(wǎng)絡(luò)20提供從LAN 18到一個或多個無線移動通信設(shè)備22的專用接口����。這種通過無線網(wǎng)絡(luò)網(wǎng)關(guān)16和/或無線網(wǎng)絡(luò)20到無線移動通信設(shè)備22的專用接口也可以通過提供運(yùn)行于消息服務(wù)器26的消息轉(zhuǎn)發(fā)或重新定向系統(tǒng)有效地?cái)U(kuò)展到LAN18外部的實(shí)體。在美國專利6,219,694中公開了這種消息重新定向系統(tǒng)�����,該專利被引用包含于本申請中���。在該類型的系統(tǒng)中��,通過如無線網(wǎng)絡(luò)接口或者無線VPN路由器���、無線網(wǎng)關(guān)16或其他接口等將由消息服務(wù)器26接收并尋址于移動設(shè)備22的用戶的輸入消息發(fā)送到無線網(wǎng)絡(luò)20及用戶移動設(shè)備22���。與消息服務(wù)器26上的用戶信箱的另一可選接口可以是無線應(yīng)用協(xié)議(WAP)網(wǎng)關(guān)。通過WAP網(wǎng)關(guān)���,可以將消息服務(wù)器26上用戶信箱中的一列消息�����、并且可能每個消息或每個消息的一部分發(fā)送到移動設(shè)備22��。在下面進(jìn)一步詳細(xì)地描述了幾個通信系統(tǒng)的例子。
無線網(wǎng)絡(luò)20通常通過基站和移動設(shè)備22之間的RF傳輸�����,傳遞去往和來自移動設(shè)備20的消息����。例如,無線網(wǎng)絡(luò)20可以是(1)數(shù)據(jù)中心型無線網(wǎng)絡(luò),(2)語音中心型無線網(wǎng)絡(luò)�����,或(3)能夠通過相同的基礎(chǔ)設(shè)施支持語音和數(shù)據(jù)通信的雙模式網(wǎng)絡(luò)�。最近開發(fā)的網(wǎng)絡(luò)包括(1)碼分多址(CDMA)網(wǎng)絡(luò),(2)移動通信特別小組或全球移動通信系統(tǒng)(GSM)和通用分組無線業(yè)務(wù)(GPRS)����,二者均由CEPT標(biāo)準(zhǔn)委員會開發(fā),和(3)當(dāng)前正在開發(fā)的第三代(3G)網(wǎng)絡(luò)�����,如全球演變增強(qiáng)數(shù)據(jù)率(EDGE)和通用移動通信系統(tǒng)(UMTS)�����。
GPRS是在現(xiàn)有GSM無線網(wǎng)絡(luò)頂部的數(shù)據(jù)覆蓋(data overlay)�,實(shí)際上運(yùn)行于歐洲的每個國家。某些數(shù)據(jù)中心網(wǎng)絡(luò)的較老的示例�����,包括但不限于(1)MobitexTM無線電網(wǎng)絡(luò)(“Mobitex”)��,和(2)DataTACTM無線網(wǎng)絡(luò)(“DataTAC”)。已知的語音型數(shù)據(jù)網(wǎng)絡(luò)的例子包括如CDMA��,GSM等個人通信系統(tǒng)(PCS)網(wǎng)絡(luò)和已經(jīng)用于北美和世界范圍內(nèi)幾年的時分多址(TDMA)系統(tǒng)���。
移動設(shè)備22可以是數(shù)據(jù)通信設(shè)備����,語音通信設(shè)備或能夠進(jìn)行語音�����、數(shù)據(jù)和其他類型通信的多模式設(shè)備�。在下面進(jìn)一步詳細(xì)地描述了示例移動設(shè)備22。
也許當(dāng)前使用的最普遍的消息是電子郵件�����。在標(biāo)準(zhǔn)的電子郵件系統(tǒng)中��,電子郵件消息由電子郵件發(fā)送器發(fā)送�����,可能通過消息服務(wù)器和/或服務(wù)提供者系統(tǒng)�,并典型地經(jīng)因特網(wǎng)路由到一個或多個消息接收器。電子郵件消息通常以明文發(fā)送��,并使用傳統(tǒng)的簡單郵件傳遞協(xié)議(SMTP)�����、RFC822報(bào)頭和MIME主體部分定義電子郵件消息的格式���。
在近些年��,安全消息技術(shù)已經(jīng)得到發(fā)展以保護(hù)消息如電子郵件等消息的內(nèi)容和完整性�����。S/MIME和Pretty Good PrivacyTM(PGPTM)是兩中公用密鑰安全電子郵件消息協(xié)議����,設(shè)有加密以保護(hù)數(shù)據(jù)內(nèi)容����,和簽名以保護(hù)消息的完整性并由消息接收器提供發(fā)送器驗(yàn)證。除了加密和/或簽名之外��,也可以對安全消息進(jìn)行編碼�����、壓縮或其他處理。
圖2是示出了消息系統(tǒng)中安全電子郵件消息交換的方框圖��。該系統(tǒng)包括耦合到WAN 32和無線網(wǎng)關(guān)34的電子郵件發(fā)送器30�,無線網(wǎng)關(guān)34提供了WAN 32和無線網(wǎng)絡(luò)36之間的接口。移動設(shè)備3適合于8運(yùn)行在無線網(wǎng)絡(luò)36之內(nèi)��。圖2還示出了與移動設(shè)備38或移動設(shè)備38的用戶相關(guān)的計(jì)算機(jī)系統(tǒng)31�����,下面將詳細(xì)描述����。計(jì)算機(jī)系統(tǒng)31具有去往接口或連接器35的通信鏈路33,通過它可以與移動設(shè)備38交換信息���,正如由虛線39表示的那樣�。
電子郵件發(fā)送器30可以是PC�����,如圖1中的系統(tǒng)14�,或可以是聯(lián)網(wǎng)計(jì)算機(jī),如計(jì)算機(jī)28��。電子郵件發(fā)送器30也可以是在其上可以創(chuàng)建和發(fā)送電子郵件消息的移動設(shè)備����。WAN 32、無線網(wǎng)關(guān)34��、無線網(wǎng)絡(luò)36和移動設(shè)備38實(shí)際上與圖1中類似標(biāo)記的組件相同����。
按照如S/MIME和PGP等安全消息方案,使用由電子郵件發(fā)送器30選擇的一次性會話密鑰加密消息���。使用會話密鑰加密消息體����,然后使用消息將要被發(fā)送到其的每個尋址消息接收器的公用密鑰�,對其自身進(jìn)行加密。如40所示��,以這種方式加密的消息包括已加密消息體44和已加密會話密鑰46�����。在這種類型的消息加密方案中,如電子郵件發(fā)送器30等消息發(fā)送器必須可以使用對要將已加密消息發(fā)送到其的每個實(shí)體的公用密鑰��。
安全電子郵件消息發(fā)送器30通常通過獲取消息的摘要并使用發(fā)送器的私人密鑰簽名摘要����,對消息進(jìn)行簽名。例如可以通過執(zhí)行檢驗(yàn)和����、循環(huán)冗余檢驗(yàn)(CRC)或如對消息進(jìn)行散列等其他一些優(yōu)選的不可逆操作,產(chǎn)生摘要���。然后由發(fā)送器使用發(fā)送器私人密鑰簽名摘要��?����?梢允褂盟饺嗣荑€對摘要進(jìn)行加密或其他轉(zhuǎn)換操作以產(chǎn)生摘要簽名��。然后將包括摘要和摘要簽名的數(shù)字簽名附加到輸出消息�。此外����,也可以將包括發(fā)送器公用密鑰和與一個或多個數(shù)字簽名一起捆綁于公用密鑰的發(fā)送器標(biāo)識信息在內(nèi)的發(fā)送器證書��、及可能的任何鏈?zhǔn)阶C書和與發(fā)送器證書及任何鏈證書相關(guān)的證書廢除列表(CRL)附加到安全消息���。
由電子郵件發(fā)送器30發(fā)送的安全電子郵件消息40可以包括數(shù)字簽名42����、以及均已簽名的已加密消息體44和已加密會話密鑰。發(fā)送器證書���、任何鏈?zhǔn)阶C書和一個或多個CRL也可以包括在消息40中����。在S/MIME安全消息技術(shù)中����,通常將證書、CRL和數(shù)字簽名放置在消息的開始����,并將消息體包括在文件附件中。由其他安全消息方案產(chǎn)生的消息可以按照與所示出的不同的次序放置消息組件����,或者包括額外的和/或不同的組件�。例如�,安全消息40可以包括地址消息,諸如“到”和“來自”電子郵件地址和其他報(bào)頭信息��。
當(dāng)從電子郵件發(fā)送器30發(fā)送安全電子郵件消息40時��,通過WAN 32將其路由到計(jì)算機(jī)系統(tǒng)31����,大部分情況下,計(jì)算機(jī)系統(tǒng)31將是與用戶A的電子郵件地址相關(guān)的PC或訪問消息服務(wù)器上的信箱的聯(lián)網(wǎng)計(jì)算機(jī)工作站��。計(jì)算機(jī)系統(tǒng)31將安全消息40重新打包成電子信封并且將該重新打包的消息轉(zhuǎn)發(fā)到無線網(wǎng)關(guān)34��。然后��,將該重新打包的消息通過無線網(wǎng)絡(luò)36發(fā)送到移動設(shè)備38���。然后�,在移動設(shè)備38中���,將電子信封從重新打包的消息上移去�,以恢復(fù)原始的安全消息40,然后在移動設(shè)備38上進(jìn)一步處理該消息�。這種消息重新打包可能涉及如壓縮、加密和編碼等操作����,并且典型地將由運(yùn)行在計(jì)算機(jī)系統(tǒng)31上的軟件模塊或應(yīng)用程序執(zhí)行。然而����,若計(jì)算機(jī)系統(tǒng)31訪問消息服務(wù)器上接收的電子郵件����,則可以在消息服務(wù)器上或很可能與消息服務(wù)器相關(guān)聯(lián)操作的另一系統(tǒng)上執(zhí)行重新打包操作。在移動設(shè)備38處��,由解包系統(tǒng)或軟件模塊類似地執(zhí)行反向操作�。
盡管所示計(jì)算機(jī)系統(tǒng)31用作接收安全消息40、重新打包消息����、然后將重新打包的消息發(fā)送到圖2的示例系統(tǒng)中的移動設(shè)備38,其他的實(shí)現(xiàn)也是可能的����。例如,移動設(shè)備38可以是可直接尋址的,在該情況下��,將消息40路由到無線網(wǎng)關(guān)34�����,而不是計(jì)算機(jī)系統(tǒng)31����。然后,無線網(wǎng)關(guān)34執(zhí)行任何所需的地址翻譯�����,可能的編碼或類似功能�,并將消息通過無線網(wǎng)絡(luò)36發(fā)送到移動設(shè)備38。
此外��,可通過其他傳輸機(jī)制而不是無線網(wǎng)關(guān)34�,將消息路由或轉(zhuǎn)發(fā)到移動設(shè)備38。例如�����,可使用與電子郵件發(fā)送器30相關(guān)的無線VPN路由器����,或者在計(jì)算機(jī)系統(tǒng)31處接收消息然后轉(zhuǎn)發(fā)到移動設(shè)備38的情況下實(shí)現(xiàn)到無線網(wǎng)絡(luò)36的路由�����。
每個簽名消息的接收器�,圖2中的計(jì)算機(jī)系統(tǒng)31和移動設(shè)備38�����,通過產(chǎn)生消息體44的摘要和已加密會話密鑰46�����、從數(shù)字簽名42中提取摘要�����、比較所產(chǎn)生的摘要和從數(shù)字簽名中提取的摘要�����、并驗(yàn)證數(shù)字簽名42中的摘要簽名��,可以驗(yàn)證數(shù)字簽名42����。由安全消息接收器使用的摘要算法與由消息發(fā)送器使用的算法相同,并且例如可以在消息報(bào)頭或可能數(shù)字簽名42中指定���。一個通用的摘要算法是所說的安全散列算法1(SHA1)���,盡管也可以使用如消息摘要算法5(MD5)等其他摘要算法。
為了驗(yàn)證摘要簽名42����,消息接收器必須通過執(zhí)行對摘要簽名的反向變換,恢復(fù)發(fā)送器公用密鑰����,并驗(yàn)證數(shù)字簽名42中摘要的簽名。例如�����,如果消息發(fā)送器通過使用私人密鑰加密摘要產(chǎn)生摘要簽名�����,然后接收器將使用發(fā)送器的公用密鑰解密摘要簽名����,以恢復(fù)原始摘要��。如果安全消息包括發(fā)送器證書�����,則可以從證書中獲取發(fā)送器公用密鑰�����。發(fā)送器公用密鑰可以代替地從本地存儲器中獲取����,例如���,在從來自發(fā)送器的較早消息中獲取公用密鑰并存儲在接收器本地存儲器中的密鑰存儲器中的情況下?��?蛇x地��,公用密鑰可以從發(fā)送器證書中(如果存儲在本地存儲器中)獲取��,或從公用密鑰服務(wù)器(PKS)獲取���。PKS通常是與證書管理機(jī)構(gòu)(CA)相關(guān)的服務(wù)器���,從證書管理機(jī)構(gòu)得到包括實(shí)體的公用密鑰在內(nèi)的針對該實(shí)體的證書。PKS可以駐留在如18(圖1)等的公司LAN內(nèi)部���,或WAN 32����、因特網(wǎng)或其他網(wǎng)絡(luò)或系統(tǒng)上的任何地方����,通過其,消息接收器可以建立與PKS的通信�。發(fā)送器證書可以從相關(guān)的計(jì)算機(jī)系統(tǒng)31加載到移動設(shè)備38上,正如下面將詳細(xì)描述的那樣��。
摘要算法最好是對每個唯一的輸入產(chǎn)生唯一的輸出的非可逆函數(shù)����。因此,如果原始消息被改變或破壞�,則由接收器產(chǎn)生的摘要將不同于從數(shù)字簽名提取的摘要,從而簽名驗(yàn)證失敗�。因?yàn)檎惴ㄊ枪?�,然而�,?shí)體能夠改變安全消息����、產(chǎn)生被改變消息的新摘要,并將被改變的消息轉(zhuǎn)發(fā)到任何所尋址的消息接收器��。在該情況下�,基于被改變的消息而在接收器產(chǎn)生的摘要將匹配由改變了消息的實(shí)體所添加的新摘要。在這種情況下��,摘要簽名檢驗(yàn)用于防止數(shù)字簽名的驗(yàn)證�����。即使所產(chǎn)生的摘要和新摘要匹配��,由于發(fā)送器使用其自己的私人密鑰簽名原始摘要����,改變消息的實(shí)體不能產(chǎn)生能夠用發(fā)送器私人密鑰進(jìn)行驗(yàn)證的新摘要簽名����。因此�,盡管被改變消息中的摘要匹配����,由于摘要簽名驗(yàn)證失敗,數(shù)字簽名將不被驗(yàn)證���。
這些數(shù)學(xué)運(yùn)算不防止任何人看到安全消息的內(nèi)容��,但是因?yàn)樗砂l(fā)送器簽名�,并且消息由消息的‘來自’字段所指示的人簽名���,保證消息沒有被篡改�。
當(dāng)數(shù)字簽名42已經(jīng)被驗(yàn)證����,或者某些時候即使數(shù)字簽名驗(yàn)證失敗,則必須在能夠被顯示或進(jìn)一步由接收消息客戶端��、圖2中的計(jì)算機(jī)系統(tǒng)31和移動設(shè)備38進(jìn)行處理之前�,對已加密消息體44進(jìn)行解密。消息接收器使用其私人密鑰解密已加密會話密鑰46��,然后使用已解密會話密鑰解密已加密消息體44,并由此恢復(fù)原始消息��。
尋址于多于一個接收器的加密消息將包括使用接收器的公用密鑰加密的��、每個接收器的會話密鑰的加密版本���。每個接收器將執(zhí)行相同的數(shù)字簽名驗(yàn)證操作�����,但是將使用與其自己的私人密鑰對一個不同的已加密會話密鑰進(jìn)行解密�����。
因此�,在安全消息系統(tǒng)中�,發(fā)送消息客戶端必須可以使用對加密消息將發(fā)送到的任何接收器的公用密鑰。接收消息客戶端必須能夠獲得發(fā)送器的公用密鑰����,這可通過各種機(jī)制應(yīng)用于消息客戶端,以便驗(yàn)證已簽名消息中的數(shù)字簽名�。盡管移動設(shè)備38是安全消息40的接收器,可以使移動設(shè)備38用于雙向通信����,并因此需要公用密鑰用于消息發(fā)送和消息接收操作。
通常在證書中提供公用密鑰�����。如上所述�,對于任何特定的實(shí)體的證書典型地包括實(shí)體公用密鑰和利用數(shù)字簽名捆綁于公用密鑰的標(biāo)識信息。當(dāng)前廣泛使用幾類證書��,例如�����,包括典型用于S/MIME中的X.509證書�����。PGP使用稍微不同格式的證書�����。按照本發(fā)明各方面的系統(tǒng)和方法可以使用這些類型證書的任何一個�,以及其他類型的證書,當(dāng)前已知的類型和可能被開發(fā)的其他類型����。證書中的數(shù)字簽名由證書的發(fā)行者產(chǎn)生�,并能夠由消息接收器進(jìn)行檢驗(yàn)�����,基本如上所述�。證書某些時候包括過期時間或有效期,根據(jù)其����,消息客戶端可確定證書是否已經(jīng)過期。證書的有效驗(yàn)證也可涉及通過證書鏈跟蹤證書路徑��,證書鏈包括用戶的證書和可能的其他證書����,以驗(yàn)證用戶證書的真實(shí)性。證書還可以針對CRL檢驗(yàn)��,以確保證書沒有被注銷��。
如果對于特定實(shí)體的證書中的數(shù)字簽名是有效的����,證書沒有過期或注銷��,并且證書或鏈?zhǔn)阶C書的發(fā)行者是可信的���,則假定證書中的公用密鑰是發(fā)行證書的實(shí)體、也稱為證書主題的公用密鑰����。
證書可用于來自幾個源的消息客戶端���。當(dāng)證書附加于所接收到的消息時���,能夠從消息中提取證書,并由消息客戶端進(jìn)行存儲�����。另外�,可從LAN上的PKS、因特網(wǎng)或其他請求者可建立通信的網(wǎng)絡(luò)請求并下載證書����。或者���,按照本發(fā)明各方面的消息客戶端可以從其他源而不是PKS加載證書��。配置很多現(xiàn)在的移動設(shè)備�,以連接到PC。通過將這種設(shè)備連接到PC以通過如串行端口或USB口等物理連接下載證書�,可以減少證書的無線傳送。如果使用這種物理連接加載針對用戶希望發(fā)送加密消息的實(shí)體的證書�����,則當(dāng)加密消息發(fā)送到這些實(shí)體中的任何一個時��,不需要下載這些證書��。用戶可類似地加載針對將接收簽名的消息的實(shí)體的證書��,這樣可以驗(yàn)證數(shù)字簽名��,即使這些實(shí)體之一不將其證書附加到已簽名消息上��。
在已知的系統(tǒng)中����,任何證書都必須從證書源請求,并被存儲到每個消息客戶端中�。通常不在消息客戶端之間共享證書�,即使當(dāng)消息客戶端都與同一用戶相關(guān)時����。例如,在圖2所示的系統(tǒng)中�,如果用戶A在計(jì)算機(jī)系統(tǒng)31和移動設(shè)備38上需要另一實(shí)體用戶B的證書,則必須請求和加載兩次用戶B的證書����,一次針對計(jì)算機(jī)系統(tǒng)31���,另一次針對移動設(shè)備38����。然而��,使用證書管理和傳送系統(tǒng)�����,需要請求用戶B的證書��,并只加載在計(jì)算機(jī)系統(tǒng)31和移動設(shè)備38之一上�����。
圖3是實(shí)現(xiàn)證書管理和傳送系統(tǒng)的移動設(shè)備和相關(guān)的計(jì)算機(jī)系統(tǒng)的方框圖。在圖3中�,僅示出了直接涉及證書管理和傳送操作的組件。對本領(lǐng)域技術(shù)人員明顯的是���,移動設(shè)備和計(jì)算機(jī)系統(tǒng)將典型地包括其他組件�。計(jì)算機(jī)系統(tǒng)31和移動設(shè)備38是證書將在二者之間傳送的第一消息客戶端和第二消息的示例��。第一和第二消息客戶端也可能是兩個移動設(shè)備或兩個計(jì)算機(jī)系統(tǒng)��。
如圖3所示����,包含證書管理和傳送系統(tǒng)的移動設(shè)備38包括存儲器52,消息系統(tǒng)60���,證書同步(sync)系統(tǒng)62��,用戶接口(UI)64�����,無線收發(fā)器66���,和接口或連接器68��。存儲器52最好包括用于證書存儲的存儲區(qū)域54����,以及可能的其他數(shù)據(jù)存儲��,諸如其中存儲了消息聯(lián)系信息的地址本56��,和存儲與移動設(shè)備38上的軟件應(yīng)用程序相關(guān)的數(shù)據(jù)的應(yīng)用數(shù)據(jù)存儲器58����。數(shù)據(jù)存儲器56和58是可在移動設(shè)備38上的存儲器52中實(shí)現(xiàn)的存儲器的示例�。存儲器52也可以由除了圖3所示的那些之外的其他設(shè)備系統(tǒng)使用,以存儲其他類型的數(shù)據(jù)�。
存儲器52是諸如RAM等其他設(shè)備組件可以寫入數(shù)據(jù)的可寫存儲器。證書存儲器54是移動設(shè)備38上專用于存儲證書的存儲區(qū)�。證書可以按照它們被接收的格式存儲在證書存儲器54中,或者���,在被寫入存儲器54之前可以被解析或翻譯成存儲格式����。
將消息系統(tǒng)60通過無線網(wǎng)絡(luò)連接到無線收發(fā)器66,并且由此能夠用于通信���。將證書同步系統(tǒng)62連接到接口/連接器68�,以通過合作的接口/連接器35和連接39和33與計(jì)算機(jī)系統(tǒng)31通信�。
UI64可包括如鍵盤或小鍵盤、顯示器或可以從移動設(shè)備38的用戶接收輸入或提供輸出給移動設(shè)備38的用戶的其他組件等的UI組件���。盡管在圖3中作為單個塊示出��,顯然�,移動設(shè)備38典型地包括多于一個UI�����,因此��,UI 64用于表示一個或多個用戶接口����。
計(jì)算機(jī)系統(tǒng)31包括物理連接33,通過物理連接33����,可以將證書經(jīng)過接口或連接器35轉(zhuǎn)移到移動設(shè)備38��。盡管在圖3中作為外部組件示出�,可選擇的是���,接口/連接器35可以位于計(jì)算機(jī)系統(tǒng)31的內(nèi)部�����。與移動設(shè)備38一樣�����,計(jì)算機(jī)系統(tǒng)31包括證書同步系統(tǒng)70����,其在大部分實(shí)現(xiàn)方案中將是軟件應(yīng)用程序���。證書同步系統(tǒng)70與UI 71、連接器33和證書存儲器72接口��,UI 71可包括一個或多個輸入和輸出組件����。證書存儲器72可以是任何計(jì)算機(jī)存儲介質(zhì)���,例如,包括本地硬盤或其他存儲單元����。例如,也能夠在網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)系統(tǒng)之間共享作為公共信息的證書�����,從而���,存儲器72是外部的��,但可以訪問計(jì)算機(jī)系統(tǒng)31�,例如�����,在網(wǎng)絡(luò)文件服務(wù)器上�����。將消息系統(tǒng)70連接到證書存儲器72和通信子系統(tǒng)76。
實(shí)現(xiàn)了證書管理和傳送系統(tǒng)的消息客戶端仍然最好以傳統(tǒng)方式獲得證書�。此過程通過消息系統(tǒng)60���、74�、證書存儲器54����、72和通信系統(tǒng)、或者無線收發(fā)器66或者通信子系統(tǒng)76之間的連接表示在圖3中���。因此�����,當(dāng)移動設(shè)備38上的消息系統(tǒng)60需要已接收消息的發(fā)送器或要發(fā)送的消息的受信人的公用密鑰時�����,例如��,通過無線收發(fā)器66從PKS請求和接收證書。當(dāng)將證書附加于所接收到的消息時�����,消息系統(tǒng)60可以從消息中提取證書,并將證書存儲于證書存儲器54�。計(jì)算機(jī)系統(tǒng)31可以執(zhí)行類似的操作,以獲得任何所需的證書����。
如圖3所示的證書存儲和傳送系統(tǒng)的用戶最好還能通過在接口或連接器68和35之間建立的通信鏈路,從計(jì)算機(jī)系統(tǒng)31到移動設(shè)備38�,或從移動設(shè)備38到計(jì)算機(jī)系統(tǒng)31選擇和傳送證書。接口或連接器68和35可以是多個匹配的數(shù)據(jù)傳送組件中的任何一個��,例如���,包括如紅外數(shù)據(jù)協(xié)會(IrDA)端口等光數(shù)據(jù)傳送接口����、其他短距離無線通信接口或如串行或通用串行總線(USB)和連接等有線接口���。例如����,已知的短距離無線通信接口包括分別按照藍(lán)牙或802.11規(guī)范的“藍(lán)牙”模塊和802.11模塊��。對本領(lǐng)域技術(shù)人員明顯的是,藍(lán)牙和802.11表示來自電氣和電子工程師協(xié)會(IEEE)����、分別涉及無線LAN和無線個人區(qū)域網(wǎng)絡(luò)的規(guī)范集合。
由于計(jì)算機(jī)系統(tǒng)31和移動設(shè)備38之間的通信不必須是經(jīng)物理連接����,連接移動設(shè)備到相關(guān)計(jì)算機(jī)的參考包括通過物理連接或無線傳送方案來建立計(jì)算機(jī)系統(tǒng)和移動設(shè)備之間的通信。于是����,移動設(shè)備38能夠通過下列方式連接到計(jì)算機(jī)系統(tǒng)31通過將移動設(shè)備38放置在連接到計(jì)算機(jī)系統(tǒng)31上的串行端口的移動設(shè)備底座中,通過放置移動設(shè)備38使其光學(xué)端口位于計(jì)算機(jī)系統(tǒng)31的相似端口的視線上����,或以某些其他方式通過物理連接或安置移動設(shè)備38和計(jì)算機(jī)系統(tǒng)31使其可以交換數(shù)據(jù)。涉及建立移動設(shè)備和計(jì)算機(jī)系統(tǒng)之間通信的具體操作將取決于接口和/或連接器的類型�。
再次參照圖3,當(dāng)移動設(shè)備38連接到計(jì)算機(jī)系統(tǒng)31時����,證書同步系統(tǒng)70最好自動啟動。最好按照建立在計(jì)算機(jī)系統(tǒng)31����、移動設(shè)備38或兩者上的用戶具體設(shè)定�����,當(dāng)移動設(shè)備38連接到計(jì)算機(jī)系統(tǒng)31時,也可以自動執(zhí)行其他操作���。
證書同步系統(tǒng)70可以訪問證書存儲器72以確定哪些證書存儲在其中��。然后�����,證書同步系統(tǒng)70最好在計(jì)算機(jī)系統(tǒng)31的UI 71上����,最好是一個顯示屏上產(chǎn)生所存儲的證書列表����。例如,能夠以其存儲在證書存儲器72中的順序����、以使用頻率的順序、以發(fā)行證書的實(shí)體的名稱(即主題名稱)的字母順序或任何其他缺省或用戶配置的順序列出證書�。在該列表中�����,最好按照主題名稱識別證書�����,或如果在地址本或計(jì)算機(jī)系統(tǒng)31上的類似聯(lián)系信息存儲器中存儲有證書主題的聯(lián)系信息���,能夠可選地使用如常見名等聯(lián)系信息的一部分識別證書。
然后��,用戶可以使用鼠標(biāo)�����、鍵盤和可作為與計(jì)算機(jī)系統(tǒng)31相關(guān)的UI 71而實(shí)現(xiàn)的其他輸入設(shè)備����,選擇應(yīng)當(dāng)將哪個存儲在計(jì)算機(jī)系統(tǒng)31中的證書發(fā)送到移動設(shè)備38。然后��,將所選擇的證書經(jīng)連接和接口33�、35、39和68傳送到移動設(shè)備38。例如�,證書傳送操作可以是加操作,將選擇的證書添加到移動設(shè)備38上的證書存儲器54���、可以是更新操作���,例如將移動設(shè)備38上的證書存儲器54中的過期證書替換為所選擇的證書或?qū)⒉活l率使用的證書替換為更頻繁使用或期望頻繁使用的證書��、可以是替換全部操作��,其中將移動設(shè)備38上的證書存儲器54中的所有證書刪除并且將所選擇的證書存儲到證書存儲器54��。其他類型的證書傳送也是可能的��,并且使用證書同步系統(tǒng)70����、證書同步系統(tǒng)62或兩者是可選擇的或可配置的。
在移動設(shè)備38上���,證書由證書同步系統(tǒng)62接收����,并按照由用戶選擇的傳送操作的類型進(jìn)行處理,將傳送過來的證書存儲到證書存儲器54�。可以按下列方式將傳送過來的證書添加到存儲器中添加(加操作)或替換已經(jīng)存儲在證書存儲器54中的證書(更新操作)或已經(jīng)刪除在證書存儲器54中的證書之后(替換全部操作)����。當(dāng)將證書以該方式傳送到移動設(shè)備38時,通過其消息將被發(fā)送到移動設(shè)備38的消息發(fā)送器或中間系統(tǒng)不需要與安全消息一起將證書發(fā)送到移動設(shè)備38�。如果已經(jīng)將證書發(fā)送到移動設(shè)備38,中間系統(tǒng)(如果存在)也可以從接收到的安全消息中�、在其被發(fā)送到移動設(shè)備38之前取得證書和可能其他相對較大的信息。
由于移動設(shè)備38上的存儲器52是有限的����,如證書存儲器等數(shù)據(jù)存儲器可具有足夠的空間以僅存儲一定數(shù)目的證書。當(dāng)證書存儲器54滿后���,沒有新的證書能夠從計(jì)算機(jī)系統(tǒng)31傳送到證書存儲器54�����,除非覆寫或刪除一個或多個證書存儲器54中現(xiàn)有的證書���。證書存儲器54溢出能夠由移動設(shè)備證書同步系統(tǒng)62、計(jì)算機(jī)系統(tǒng)證書同步系統(tǒng)70或兩者進(jìn)行處理�。例如,移動設(shè)備38中的證書同步系統(tǒng)62可被配置以在證書存儲器54中實(shí)現(xiàn)最近最少使用(LRU)替換策略,由此當(dāng)證書存儲器54滿時�,如果將新證書加載到移動設(shè)備38,將自動覆寫最近最少使用的證書�。或者�,可以配置證書同步系統(tǒng)62,如果在移動設(shè)備38和計(jì)算機(jī)系統(tǒng)31連接時�����,存儲器54快變或已變滿時��,對證書同步系統(tǒng)70進(jìn)行告警�����。當(dāng)用戶設(shè)法將證書添加到已滿的證書存儲器54時�,告警也能夠或代替地返回到證書同步系統(tǒng)70��。在該情況下�����,則能夠經(jīng)U171提醒用戶�,選擇證書存儲器54中的證書是否應(yīng)該用所要添加的證書替換,并且如果這樣,能選擇應(yīng)該替換的證書��。這種方案也可允許用戶在證書存儲器54滿時退出添加操作�。
計(jì)算機(jī)系統(tǒng)31上的證書同步系統(tǒng)70也可以檢驗(yàn)證書存儲器72中的每個證書,以保證只將有效的證書傳送到移動設(shè)備38����。這可涉及對于每個證書檢驗(yàn)一個或多個CRL、過期時間或有效期�,并可能提交狀態(tài)查詢到外部系統(tǒng)(未示出)?���?蓮淖C書存儲器72中刪除任何已經(jīng)過期或不再有效的證書,并且最好不將其包括在由證書同步系統(tǒng)70產(chǎn)生的證書列表中��。檢驗(yàn)證書存儲器72中的過期或無效證書也可觸發(fā)為對過期或無效證書的主題名等字段中識別的實(shí)體請求新證書或觸發(fā)用戶提示�����,以選擇進(jìn)一步的動作���,如請求新證書或簡單刪除過期或無效證書而并不請求新證書��。
如果計(jì)算機(jī)系統(tǒng)31中的消息系統(tǒng)74或其他部件周期檢驗(yàn)所有已存儲證書的狀態(tài)��,則每次移動設(shè)備連接到計(jì)算機(jī)系統(tǒng)31時��,由證書同步系統(tǒng)70進(jìn)行的狀態(tài)檢驗(yàn)可以不是必須的����。在該情況下,能夠向用戶確保從計(jì)算機(jī)系統(tǒng)31傳送到移動設(shè)備38的證書在傳送時是有效的����。然而,主要由于CRL的大小��,當(dāng)必須從外部源請求證書狀態(tài)信息時�����,與證書狀態(tài)檢驗(yàn)和網(wǎng)絡(luò)等待時間相關(guān)的處理負(fù)載�����、對移動設(shè)備38的證書狀態(tài)檢驗(yàn)易于出現(xiàn)問題���,因此通常不執(zhí)行。盡管在傳送時有效�,在移動設(shè)備38上不可能總會檢驗(yàn)到在傳送時刻之后在證書存儲器54中過期����、被注銷或變?yōu)闊o效的證書�。
證書管理系統(tǒng)和方法可以減少在移動設(shè)備38的證書存儲器54中過期、被注銷或無效證書的問題�。證書同步系統(tǒng)62和70能夠在移動設(shè)備38和計(jì)算機(jī)系統(tǒng)31之間交換證書信息。最好將類似于上述的證書同步系統(tǒng)70的證書同步系統(tǒng)62配置為在移動設(shè)備38連接到計(jì)算機(jī)系統(tǒng)31時��,訪問證書存儲器54�,以至少產(chǎn)生存儲在證書存儲器54中的證書列表。取決于證書同步系統(tǒng)70所需的檢驗(yàn)證書狀態(tài)的信息����,可以將證書存儲器54中的證書的復(fù)制件,不只是證書列表����,傳遞到證書同步系統(tǒng)70。自動地或者響應(yīng)于來自證書同步系統(tǒng)70對證書同步系統(tǒng)62的請求����,將列表或全部證書傳遞到證書同步系統(tǒng)70。證書同步系統(tǒng)70使用列表或證書中的信息����、及任何URL�����、過期時間或有效期和按照需要的來自外部源的任何信息�,檢驗(yàn)每個證書的狀態(tài)��。
如果移動設(shè)備38上的證書過期��、被注銷或無效�����,證書同步系統(tǒng)70最好從其自己的證書存儲器72或外部證書源獲取新證書以替換過期的證書��?���;蛘撸商崾?經(jīng)UI71或64)用戶選擇是從證書存儲器54刪除證書還是應(yīng)該獲取新證書���。然后,證書同步系統(tǒng)62刪除或者用來自計(jì)算機(jī)系統(tǒng)31的新證書替換過期��、注銷或者無效的證書��。
移動設(shè)備38或計(jì)算機(jī)系統(tǒng)31最好對移動設(shè)備38上的證書保持至少最近的證書檢驗(yàn)記錄,這樣��,對存儲在移動設(shè)備38上的證書的證書檢驗(yàn)頻率是可控制的��。當(dāng)移動設(shè)備38連接到計(jì)算機(jī)系統(tǒng)31時����,訪問該證書檢驗(yàn)記錄以確定是否應(yīng)該檢驗(yàn)存儲在證書存儲器54中的證書。
證書同步系統(tǒng)62和70的協(xié)同操作還提供了進(jìn)一步的證書管理功能。由于證書同步系統(tǒng)70可以使用其自己的證書存儲器72以及可以通過證書同步系統(tǒng)62使用移動設(shè)備證書存儲器54,可以產(chǎn)生存儲在計(jì)算機(jī)系統(tǒng)31和移動設(shè)備38上的分離的證書列表并顯示給用戶����。于是,用戶能夠容易地確定已經(jīng)將哪些證書加載到移動設(shè)備38上����?���;蛘撸梢詮拇鎯υ谧C書存儲器72中的證書列表中去除存儲在移動設(shè)備證書存儲器54中的證書��,這樣���,只顯示那些沒有存儲在移動設(shè)備證書存儲器54中的����、在證書存儲器72中可用的證書,用于選擇和傳遞給移動設(shè)備38����。
如果將存儲在移動設(shè)備證書存儲器54中的證書列表顯示給計(jì)算機(jī)系統(tǒng)31上的用戶,用戶最好能夠管理移動設(shè)備存儲器54中的證書��。例如���,用戶可以從設(shè)備列表選擇刪除的證書���,并能夠確定在移動設(shè)備38上存儲了多少證書和在證書存儲器54上可能有多少空間剩余。
也可以將證書從移動設(shè)備38傳遞到計(jì)算機(jī)系統(tǒng)31���。如上所述���,計(jì)算機(jī)系統(tǒng)31和移動設(shè)備38可以從各種源獲取證書。例如�,當(dāng)計(jì)算機(jī)系統(tǒng)31和移動設(shè)備38單獨(dú)可尋址時,它們可以從不同的發(fā)送器接收安全信息��,于是需要不同的證書以處理消息���。還可能需要不同的證書����,以發(fā)送安全消息給不同的接收器�����。如果需要的證書不從計(jì)算機(jī)系統(tǒng)31傳送給證書存儲器54����,則移動設(shè)備38可以經(jīng)無線網(wǎng)絡(luò)從另外的源獲取證書。在該情況下���,移動設(shè)備證書存儲器54含有可能在計(jì)算機(jī)系統(tǒng)31的證書存儲器72中不可得到的證書���。這樣的證書可從移動設(shè)備38傳送到基本如上所述的計(jì)算機(jī)系統(tǒng)31。
類似地��,移動設(shè)備UI 64包括顯示屏和如鍵盤��、指輪等一個或多個輸入設(shè)備�,能夠由證書同步系統(tǒng)62控制證書管理和傳送操作。
當(dāng)證書管理操作完成時,移動設(shè)備38和計(jì)算機(jī)系統(tǒng)31二者最好翻轉(zhuǎn)到正常操作模式���。如果將證書同步系統(tǒng)62和70實(shí)現(xiàn)為軟件應(yīng)用程序�,在已經(jīng)傳送了所選擇的證書之后�����,可關(guān)閉應(yīng)用程序����,或可以改為自動結(jié)束。也可以配置證書同步系統(tǒng)62�����、70�����,僅當(dāng)一個或多個同步系統(tǒng)由用戶調(diào)用時開始�,而不是當(dāng)移動設(shè)備38連接到計(jì)算機(jī)系統(tǒng)31時自動開始。
圖4是消息客戶端之間證書管理和傳送方法的流程圖��。在圖4中����,移動設(shè)備和計(jì)算機(jī)系統(tǒng)用作實(shí)現(xiàn)證書管理和傳送的第一消息客戶端和第二消息客戶端的示例����,盡管如上結(jié)合圖3所示�����,也可以在移動設(shè)備之間或多個計(jì)算機(jī)系統(tǒng)之間交換證書�����。
該方法從步驟80開始����,移動設(shè)備連接到計(jì)算機(jī)系統(tǒng)��。步驟80涉及建立移動設(shè)備和計(jì)算機(jī)系統(tǒng)之間的通信���,例如經(jīng)如串行或USB連接等物理鏈路�����,或經(jīng)如光��、藍(lán)牙���、802.11等無線鏈路或經(jīng)其他短距離通信鏈路��。在步驟82�,計(jì)算機(jī)系統(tǒng)可檢驗(yàn)存儲在移動設(shè)備上的證書存儲器中的任何證書的狀態(tài)���,并可以為移動設(shè)備證書存儲器中每個過期�����、注銷或無效的證書獲取新證書��。步驟86可以是自動的或可以是根據(jù)用戶對當(dāng)發(fā)現(xiàn)存儲在移動設(shè)備上的一個或多個證書過期����、注銷或無效時而產(chǎn)生的提示或告警的響應(yīng)的���。
如果移動設(shè)備上沒有證書過期���、注銷或無效,當(dāng)對于任何這些證書已經(jīng)獲得或并未獲得新證書時�����,或如果對于存儲在移動設(shè)備上的證書沒有執(zhí)行狀態(tài)檢驗(yàn),則在步驟88�,產(chǎn)生存儲在計(jì)算機(jī)系統(tǒng)上的證書存儲器中的證書列表并顯示給用戶。如上所述���,可以將存儲在每個消息客戶端處的列表證書顯示給用戶��。然后,在步驟90�,用戶可從列表之一選擇一個或多個已存儲證書,并在步驟92��,將所選擇的證書從一個消息客戶端傳送到另一消息客戶端�����?�?梢詫τ诿總€選擇的證書�,重復(fù)步驟90和92?���;蛘?,用戶可在步驟90選擇多個證書�����,并在步驟92傳送每個證書�,而無需用戶方的進(jìn)一步動作。在步驟92的證書傳送可以從計(jì)算機(jī)系統(tǒng)到移動設(shè)備或從移動設(shè)備到計(jì)算機(jī)系統(tǒng)����。可根據(jù)需要重復(fù)證書選擇和傳送步驟90和92��,以執(zhí)行需要的證書傳送操作�����。證書存儲溢出處理是可配置的����,例如按照LRU替換策略,或響應(yīng)于進(jìn)一步的用戶選擇替換已存儲證書或退出證書傳送操作�。
由于計(jì)算機(jī)系統(tǒng)通常比移動設(shè)備具有更快和更強(qiáng)大的處理資源,并能夠使用去往PKS或其他證書源的更高速通信鏈路�。從遠(yuǎn)端源到計(jì)算機(jī)系統(tǒng)的證書加載是相對較快而簡單的操作。因此�����,在步驟92的大部分證書傳送將很可能是從計(jì)算機(jī)系統(tǒng)到移動設(shè)備的。然而�,當(dāng)將在計(jì)算機(jī)系統(tǒng)之間管理和/或共享證書時,也能夠進(jìn)行計(jì)算機(jī)系統(tǒng)之間的證書傳送����。例如,對于由LAN內(nèi)的計(jì)算機(jī)系統(tǒng)從外部源獲取的任何證書���,公司LAN內(nèi)計(jì)算機(jī)系統(tǒng)之間證書的共享將最小化與外部PKS或其他證書源之間的通信�。
如上所述����,在步驟92的證書傳送可以將選擇的證書添加到消息客戶端上的證書存儲器或替換消息客戶端上證書存儲器中的任何或所有證書���。盡管沒有在圖4中明顯示出�����,在步驟88產(chǎn)生和顯示存儲的證書列表之后��,也可以執(zhí)行除了證書傳送以外的其他證書管理操作����。例如,可以選擇證書刪除或其他操作而不是傳送到其他消息客戶端�。
圖5是作為實(shí)現(xiàn)本發(fā)明的消息客戶端的示例的無線移動通信設(shè)備的方框圖。移動設(shè)備500最好是具有語音和/或數(shù)據(jù)通信功能的雙向通信設(shè)備���。移動設(shè)備500最好具有與因特網(wǎng)上的其他計(jì)算機(jī)系統(tǒng)進(jìn)行通信的功能�。依據(jù)由移動設(shè)備所提供的功能�,該移動設(shè)備可以被稱為數(shù)據(jù)消息傳送設(shè)備、雙向?qū)ず魴C(jī)�、具有數(shù)據(jù)消息傳送功能的蜂窩電話、無線因特網(wǎng)設(shè)備或數(shù)據(jù)通信設(shè)備(具有或者不具有電話功能)�����。如上所述���,這種設(shè)備這里通常被簡稱為移動設(shè)備���。
移動設(shè)備500包括收發(fā)機(jī)511、微處理器538����、顯示器522����、閃速存儲器524���、RAM 526�����、輔助輸入/輸出(I/O)設(shè)備528��、串行端口530�����、鍵盤532��、揚(yáng)聲器534、麥克風(fēng)536��、短距離無線通信子系統(tǒng)540�,并且還可以包括其他設(shè)備子系統(tǒng)542。收發(fā)機(jī)511最好包括發(fā)射和接收天線516����、518�、接收機(jī)(Rx)512��、發(fā)射機(jī)(Tx)55���、一個或多個本地振蕩器(LO)513���、以及數(shù)字信號處理器(DSP)520。在閃速存儲器524內(nèi)���,設(shè)備100最好包括能夠由微處理器538(和/或DSP 520)執(zhí)行的多個軟件模塊524A-524N��,其中包括語音通信模塊524A���、數(shù)據(jù)通信模塊524B、以及用于執(zhí)行多個其他功能的其他操作模塊524N�。
移動通信設(shè)備500最好是具有語音和數(shù)據(jù)通信功能的雙向通信設(shè)備。因此�����,例如���,該移動設(shè)備可以通過如任何模擬或者數(shù)字蜂窩網(wǎng)絡(luò)等語音網(wǎng)絡(luò)進(jìn)行通信�����,也可以通過數(shù)據(jù)網(wǎng)絡(luò)進(jìn)行通信��。語音和數(shù)據(jù)網(wǎng)絡(luò)在圖5中由通信塔站519表示����。這些語音和數(shù)據(jù)網(wǎng)絡(luò)可以是使用如基站、網(wǎng)絡(luò)控制器等獨(dú)立基礎(chǔ)設(shè)施的獨(dú)立通信網(wǎng)絡(luò)����,或者可以將這些網(wǎng)絡(luò)集中到單一的無線網(wǎng)絡(luò)中。因此���,對網(wǎng)絡(luò)519的引用應(yīng)該被解釋為既包括單一的語音和數(shù)據(jù)網(wǎng)絡(luò)����,也包括獨(dú)立的網(wǎng)絡(luò)��。
通信子系統(tǒng)511用來與網(wǎng)絡(luò)519進(jìn)行通信��。DSP 520用于向和從發(fā)射機(jī)55和接收機(jī)512發(fā)送和接收通信信號����,并且還可以與發(fā)射機(jī)55和接收機(jī)512交換控制信息。如果語音和數(shù)據(jù)通信發(fā)生在單一的頻率或者距離較近的頻率組����,則使用單一的LO 513與發(fā)射機(jī)55和接收機(jī)512連接?�?蛇x的是�,如果針對語音通信與數(shù)據(jù)通信使用不同的頻率,則可以使用多個LO 513���,產(chǎn)生與網(wǎng)絡(luò)519相對應(yīng)的多個頻率����。雖然圖5中示出了兩個天線516�����、518����,但是移動設(shè)備500可以使用單一天線結(jié)構(gòu)。通過DSP520和微處理器538之間的鏈路�����,向和從通信模塊511,對包括語音和數(shù)據(jù)信息的信息進(jìn)行通信���。
如頻帶��、構(gòu)件選擇��、功率電平等通信子系統(tǒng)511的詳細(xì)設(shè)計(jì)將依賴于打算在其中操作移動設(shè)備500的通信網(wǎng)絡(luò)519��。例如����,打算在北美市場中進(jìn)行操作的移動設(shè)備500可以包括設(shè)計(jì)為按照Mobitex或DataTAC移動數(shù)據(jù)通信網(wǎng)絡(luò)進(jìn)行操作的�����、以及也設(shè)計(jì)為按照如AMPS����、TDMA、CDMA���、PCS等多種語音通信網(wǎng)絡(luò)中的任意一種進(jìn)行操作的通信子系統(tǒng)511�����,而打算在歐洲使用的移動設(shè)備500可以配置為按照GPRS數(shù)據(jù)通信網(wǎng)絡(luò)和GSM語音通信網(wǎng)絡(luò)進(jìn)行操作��。其他類型的數(shù)據(jù)和語音網(wǎng)絡(luò)�,無論單獨(dú)的還是集成的����,都可以用于移動設(shè)備500。
根據(jù)網(wǎng)絡(luò)519的類型����,對移動設(shè)備500的訪問要求也可以變化。例如����,在Mobitex和DataTAC數(shù)據(jù)網(wǎng)絡(luò)中,移動設(shè)備使用與每個設(shè)備相關(guān)的唯一標(biāo)識號在網(wǎng)絡(luò)上登記�����。然而����,在GPRS數(shù)據(jù)網(wǎng)絡(luò)中����,網(wǎng)絡(luò)接入與移動設(shè)備500的訂戶或用戶相關(guān)��。GPRS設(shè)備通常需要為了在GPRS網(wǎng)絡(luò)上操作移動設(shè)備500而需要的用戶標(biāo)識模塊(“SIM”)��。本地或非網(wǎng)絡(luò)通信功能(如果存在的話)能夠不需要SIM地進(jìn)行操作����,但是移動設(shè)備500將不能夠執(zhí)行除了如“911”緊急情況呼叫等任何法律要求的操作之外的涉及通過網(wǎng)絡(luò)519的通信的任何功能。
在已經(jīng)完成了任何所需的網(wǎng)絡(luò)登記或者啟動程序之后�����,移動設(shè)備500可以通過網(wǎng)絡(luò)519���,發(fā)送和接收通信信號�,最好同時包括語音和數(shù)據(jù)信號����。將由天線516從通信網(wǎng)絡(luò)519接收到的信號路由到接收機(jī)512,以提供信號放大�����、降頻轉(zhuǎn)換、濾波����、信道選擇等,并且還可以提供模數(shù)轉(zhuǎn)換���。接收信號的模數(shù)轉(zhuǎn)換允許使用DSP520進(jìn)行如數(shù)字解調(diào)和解碼等更為復(fù)雜的通信功能。按照相似的方式���,由DSP520對要傳送到網(wǎng)絡(luò)519的信號進(jìn)行處理�����,包括如調(diào)制和編碼等���,然后提供給發(fā)射機(jī)55進(jìn)行數(shù)模轉(zhuǎn)換、升頻轉(zhuǎn)換����、濾波、放大�,并通過天線518傳送到通信網(wǎng)絡(luò)519。雖然圖5示出了同時用于語音和數(shù)據(jù)通信的單一收發(fā)機(jī)511�,但是也可能的是����,移動設(shè)備500可以包括兩個不同的收發(fā)機(jī)����,用于發(fā)送和接收語音信號的第一收發(fā)機(jī)、以及用于發(fā)送和接收數(shù)據(jù)信號的第二收發(fā)機(jī)���。
除了處理通信信號之外����,DSP 520還可以提供接收機(jī)和發(fā)射機(jī)控制���。例如����,可以通過DSP 520中所實(shí)現(xiàn)的自動增益控制算法�����,適應(yīng)性地控制施加到接收機(jī)512和發(fā)射機(jī)55中的通信信號的增益水平��。也可以在DSP 520中實(shí)現(xiàn)其他收發(fā)機(jī)控制算法,以便對收發(fā)機(jī)511提供更高級的控制�����。
微處理器538最好管理和控制移動設(shè)備500的整個操作���。這里可以使用許多類型的微處理器或微控制器���,或者代替地,可以使用單一的DSP 520來執(zhí)行微處理器538的功能�����。通過收發(fā)機(jī)511中的DSP 520執(zhí)行至少包括數(shù)據(jù)和語音通信的低級通信功能�����。此外����,可以將如語音通信應(yīng)用程序524A和數(shù)據(jù)通信應(yīng)用程序524B等高級通信應(yīng)用程序存儲在閃速存儲器524中�,由微處理器538來執(zhí)行。例如��,語音通信模塊524A可以提供能操作用于通過網(wǎng)絡(luò)519在移動設(shè)備500和多個其他語音設(shè)備之間發(fā)送和接收語音呼叫的高級用戶接口��。相似地,數(shù)據(jù)通信模塊524B可以提供能操作用于通過網(wǎng)絡(luò)519在移動設(shè)備500和多個其他數(shù)據(jù)設(shè)備之間發(fā)送和接收如電子郵件消息��、文件��、組織者信息���、短文本消息等數(shù)據(jù)的高級用戶接口����。在移動設(shè)備500上��,例如并入了與圖3所示的消息傳送系統(tǒng)60和證書同步系統(tǒng)62相對應(yīng)的軟件模塊的安全消息傳送軟件應(yīng)用程序可以與數(shù)據(jù)通信模塊524B一同進(jìn)行操作�,以便實(shí)現(xiàn)上述技術(shù)。
微處理器538還與其他設(shè)備子系統(tǒng)相互作用����,所述其他設(shè)備子系統(tǒng)包括顯示器522、閃速存儲器524��、隨機(jī)存取存儲器(RAM)526����、輔助輸入/輸出(I/O)子系統(tǒng)528、串行端口530、鍵盤532���、揚(yáng)聲器534��、麥克風(fēng)536��、短距離通信子系統(tǒng)540��、以及被統(tǒng)稱為542的任何其他設(shè)備子系統(tǒng)��。例如����,模塊524A-N由微處理器538執(zhí)行���,并可以提供移動設(shè)備用戶和移動設(shè)備之間的高級接口。該接口通常包括通過顯示器522提供的圖形組件����、以及通過輔助I/O 528、鍵盤532���、揚(yáng)聲器534或麥克風(fēng)536提供的輸入/輸出組件���。這些接口通常被指定為圖3所示的UI 64����。
圖5所示的一些子系統(tǒng)執(zhí)行與通信相關(guān)的功能�����,而其他子系統(tǒng)可以提供“常駐”或與設(shè)備相關(guān)的功能���。注意��,如鍵盤532和顯示器522等一些子系統(tǒng)可以用于如輸入通過數(shù)據(jù)通信網(wǎng)絡(luò)傳輸?shù)奈谋鞠⒌扰c通信相關(guān)的功能�����、以及如計(jì)算器��、任務(wù)列表或其他PDA型功能等設(shè)備駐留功能��。
最好將微處理器538所使用的操作系統(tǒng)軟件存儲在如閃速存儲器524等永久存儲器中�。除了操作系統(tǒng)和通信模塊524A-N之外����,閃速存儲器524還可以包括用于存儲數(shù)據(jù)的文件系統(tǒng)�。最好還在閃速存儲器524中提供存儲區(qū)����,以存儲公用密鑰、私人密鑰和安全消息傳送所需的其他信息�,在圖3中表示為數(shù)據(jù)存儲器54、56和58�����?�?梢詫⒉僮飨到y(tǒng)�、特定的設(shè)備應(yīng)用程序或模塊、或者其中的一部分臨時地加載到如RAM 526等易失性存儲器中����,以進(jìn)行更快速的操作。而且��,在將接收到的通信信號永久寫入位于永久存儲器524中的文件系統(tǒng)之前�,也可以將這些信號暫時地存儲在RAM 526中��。
可以加載到雙模式設(shè)備500上的示例性應(yīng)用程序模塊524N是提供如日歷事件��、約會和任務(wù)項(xiàng)等PDA功能的個人信息管理器(PIM)應(yīng)用程序。該模塊524N還可以與語音通信模塊524A相互作用�����,以管理電話呼叫�����、語音郵件等���,還可以與數(shù)據(jù)通信模塊524B相互作用�����,以管理電子郵件通信和其他數(shù)據(jù)傳送���。可選擇的是�����,可以將語音通信模塊524A和數(shù)據(jù)通信模塊524B的所有功能集成到PIM模塊中�。
閃速存儲器524最好提供文件系統(tǒng),以便于PIM數(shù)據(jù)項(xiàng)在設(shè)備上的存儲��。PIM應(yīng)用程序最好包括通過無線網(wǎng)絡(luò)519、由其自身或與語音和數(shù)據(jù)通信模塊524A����、524B協(xié)同發(fā)送和接收數(shù)據(jù)項(xiàng)的功能。最好通過無線網(wǎng)絡(luò)519���,與存儲或與主機(jī)系統(tǒng)相關(guān)聯(lián)的數(shù)據(jù)項(xiàng)的相應(yīng)集合一起����,對PIM數(shù)據(jù)項(xiàng)進(jìn)行無縫集成��、同步和更新����,從而創(chuàng)建針對與特定用戶相關(guān)聯(lián)的數(shù)據(jù)項(xiàng)的鏡像系統(tǒng)。
移動設(shè)備500也可以通過將移動設(shè)備500放置在使移動設(shè)備500的串行端口530與主機(jī)系統(tǒng)的串行端口相連的接口插座中��,與主機(jī)系統(tǒng)進(jìn)行手動同步���。串行端口530也可以用來使用戶能夠通過外部設(shè)備或軟件應(yīng)用程序來設(shè)置優(yōu)選項(xiàng)����,以下載其他應(yīng)用程序模塊524N進(jìn)行安裝���,并管理與上述設(shè)備相關(guān)的證書����。該有線下載路徑還可以用來將加密密鑰加載到設(shè)備上��,這是一種比通過無線網(wǎng)絡(luò)519交換加密信息更為安全的方法�����。
可以通過網(wǎng)絡(luò)519�����、通過輔助I/O子系統(tǒng)528�、通過串行端口530、通過短距離通信子系統(tǒng)540��、或者通過任何其他適當(dāng)?shù)淖酉到y(tǒng)542����,將另外的應(yīng)用程序模塊524N加載到移動設(shè)備500上,并由用戶安裝在閃速存儲器524或者RAM 526中��。應(yīng)用程序安裝上的這種靈活性增加了移動設(shè)備500的功能性�,并且可以提供增強(qiáng)的與設(shè)備有關(guān)的功能���、與通信有關(guān)的功能或者同時提供增強(qiáng)的兩種功能。例如��,安全通信應(yīng)用程序可以使電子商務(wù)功能和其他這樣的金融交易能夠通過使用移動設(shè)備500來進(jìn)行���。
當(dāng)移動設(shè)備500正工作在數(shù)據(jù)通信模式下��,則將由收發(fā)機(jī)511處理如文本消息或網(wǎng)頁下載等接收到的信號����,并提供給微處理器538���,微處理器538最好進(jìn)一步處理接收到的信號��,以輸出到顯示器522����,或者代替地�����,輸出到輔助I/O設(shè)備528。例如���,響應(yīng)PKS或附加于安全信息的請求,將如上處理由收發(fā)機(jī)511接收到的證書�����,如果并未存儲�����,則將該證書添加到閃速存儲器524中的證書存儲器中����,而且如果需要,提取聯(lián)系信息���,并將其存儲在閃速存儲器524中的新地址本條目中��。移動設(shè)備500的用戶還可以通過使用鍵盤532組成如電子郵件消息等數(shù)據(jù)項(xiàng)���,鍵盤532最好是按照QWERTY方式布局的完全字母數(shù)字鍵盤,雖然也可以使用如已知的DVORAK方式等其他方式的完全字母數(shù)字鍵盤��。針對移動設(shè)備500的用戶輸入由多個輔助I/O設(shè)備528進(jìn)一步增強(qiáng),所述輔助I/O設(shè)備528可以包括拇指輪輸入設(shè)備���、觸摸板�����、各種開關(guān)�����、搖桿輸入開關(guān)等�����。然后�����,可以將由用戶輸入的組成數(shù)據(jù)項(xiàng)通過收發(fā)機(jī)511在通信網(wǎng)絡(luò)519上傳輸��。
當(dāng)移動設(shè)備500工作在語音通信模式下時�,移動設(shè)備500的整體操作與數(shù)據(jù)模式下大體相似�����,除了接收到的信號最好輸出到揚(yáng)聲器534和由麥克風(fēng)536產(chǎn)生用于傳送的語音信號之外。此外�,上述安全消息傳送技術(shù)可以不必應(yīng)用到語音通信中。代替地�����,還可以在移動設(shè)備500上實(shí)現(xiàn)如語音消息記錄子系統(tǒng)等語音或音頻I/O子系統(tǒng)�����。雖然最好主要通過揚(yáng)聲器534來實(shí)現(xiàn)語音或音頻信號輸出��,但是�,也可以使用顯示器522來提供呼叫方身份的指示��、語音呼叫的持續(xù)時間��、或者其他與語音呼叫相關(guān)的信息�����。例如�����,與語音通信模塊524A和操作系統(tǒng)軟件協(xié)同工作的微處理器538可以檢測語音呼入的主叫方標(biāo)識信息并將其顯示在顯示器522上。
也可以將短距離通信子系統(tǒng)540包括在移動設(shè)備500中����。例如,子系統(tǒng)540能夠包括紅外設(shè)備及相關(guān)電路和組件或藍(lán)牙或802.11短距離通信模塊��,以提供與類似啟動系統(tǒng)和設(shè)備的通信�����。這樣��,可通過串行端口530或其他短距離通信子系統(tǒng)540在移動設(shè)備500上啟動如上所述的證書管理和傳送操作�。可以使用多于一個這種接口�����,取決于利用其執(zhí)行移動設(shè)備證書管理和/或傳送操作的消息客戶端的類型�。對于移動設(shè)備到計(jì)算機(jī)系統(tǒng)的操作,可以使用串行端口530���,而對于移動設(shè)備到移動設(shè)備的操作����,可以使用另一個短距離通信子系統(tǒng)540。
盡管已經(jīng)參照圖2所示的通信系統(tǒng)描述了安全消息傳送的示例���,證書管理和傳送在其他類型的通信系統(tǒng)中也可以是有用的�?���!铩飯D6是示出了示例通信系統(tǒng)的方框圖。在圖6中�����,示出了計(jì)算機(jī)系統(tǒng)602��、WAN 604���、在安全防火墻608后的企業(yè)LAN 606、無線基礎(chǔ)設(shè)施610�����、無線網(wǎng)絡(luò)612和614��、以及無線移動通信設(shè)備(“移動設(shè)備”)616和618���。企業(yè)LAN 606包括消息服務(wù)器620���、無線連接器系統(tǒng)628����、至少包括多個郵箱619的數(shù)據(jù)存儲器66�����、具有如通過物理連接624到接口或連接器626等直接到達(dá)移動設(shè)備的通信鏈路的桌面計(jì)算機(jī)系統(tǒng)622����、以及無線虛擬專用網(wǎng)(VPN)路由器632。下面將參照消息633��、634和636��,對圖6中的系統(tǒng)操作進(jìn)行描述�。
與圖1所示的計(jì)算機(jī)系統(tǒng)14一樣,例如�,計(jì)算機(jī)系統(tǒng)602可以是膝上型、桌面型或掌上型計(jì)算機(jī)系統(tǒng)����,配置該計(jì)算機(jī)系統(tǒng)與WAN 604相連�。這種計(jì)算機(jī)系統(tǒng)可以通過ISP或ASP與WAN 604相連����。代替地,計(jì)算機(jī)系統(tǒng)602可以是與網(wǎng)絡(luò)相連的計(jì)算機(jī)系統(tǒng)�����,如計(jì)算機(jī)系統(tǒng)622�����,這種計(jì)算機(jī)系統(tǒng)通過LAN或其他網(wǎng)絡(luò)接入WAN 604�����。許多現(xiàn)有移動設(shè)備都能夠通過各種基礎(chǔ)設(shè)施和網(wǎng)關(guān)配置與WAN相連��,使得計(jì)算機(jī)系統(tǒng)602也可以是移動設(shè)備����。
企業(yè)LAN606是已經(jīng)能夠進(jìn)行無線通信的��、中央型�、基于服務(wù)器的消息傳送系統(tǒng)的示意性示例��?��?梢詫⑵髽I(yè)LAN 606稱為“主機(jī)系統(tǒng)”,這是由于它安裝有具有用于消息的郵箱619的數(shù)據(jù)存儲器617��,以及可能地用于可以發(fā)送到移動設(shè)備616和618和從移動設(shè)備616和618接收的其他數(shù)據(jù)項(xiàng)的另外的數(shù)據(jù)存儲器(未示出)��,和無線連接器系統(tǒng)628��,無線VPN路由器632����,或者能夠?qū)崿F(xiàn)企業(yè)LAN 606和一個或多個移動設(shè)備616和618之間的通信的可能的其他組件。按照更通常的術(shù)語�����,主機(jī)系統(tǒng)可以是與上述無線連接器系統(tǒng)一起或與其關(guān)聯(lián)操作的一個或多個計(jì)算機(jī)�。企業(yè)LAN 606是主機(jī)系統(tǒng)的一個優(yōu)選的實(shí)施例,其中���,主機(jī)系統(tǒng)是在至少一個安全通信防火墻608之后操作并由其保護(hù)的企業(yè)網(wǎng)絡(luò)環(huán)境內(nèi)運(yùn)行的服務(wù)器計(jì)算機(jī)�。其他可能的中央主機(jī)系統(tǒng)包括ISP��、ASP和其他服務(wù)供應(yīng)商或者郵件系統(tǒng)。雖然桌面計(jì)算機(jī)系統(tǒng)624和接口/連接器626可以位于這種主機(jī)系統(tǒng)的外部���,但無線通信操作可以與以下所述的相似����。
企業(yè)LAN 606將無線連接器系統(tǒng)628實(shí)現(xiàn)為關(guān)聯(lián)無線通信使能組件���,該無線連接器系統(tǒng)628通常為構(gòu)造其與至少一個或多個消息服務(wù)器一起工作的軟件程序���、軟件應(yīng)用程序、或者軟件組件�。無線連接器系統(tǒng)628用于通過一個或多個無線網(wǎng)絡(luò)612和614,向一個或多個移動設(shè)備616和618發(fā)送用戶選擇信息�,以及從一個或多個移動設(shè)備616和618接收信息。無線連接器系統(tǒng)628可以是如圖6所示的管理系統(tǒng)的單獨(dú)組件����,或者作為替代�����,可以部分地或者整個地并入到其他通信系統(tǒng)組件中�����。例如,消息服務(wù)器620可以包括實(shí)現(xiàn)了無線連接器系統(tǒng)628��、部分無線連接器系統(tǒng)628�、或者其部分和全部功能的軟件程序、應(yīng)用程序或組件���。
在位于防火墻608后的計(jì)算機(jī)上運(yùn)行的消息服務(wù)器620充當(dāng)企業(yè)的主接口��,與通常是因特網(wǎng)的WAN 604交換包括如電子郵件�����、日歷數(shù)據(jù)���、語音郵件、電子文檔����、以及其他個人信息管理(PIM)數(shù)據(jù)等在內(nèi)的消息。特定的中間操作和組件將取決于通過其交換消息的特定類型的消息傳遞機(jī)制和網(wǎng)絡(luò)����,因此在圖6中并未示出�����。消息服務(wù)器620的功能可以擴(kuò)展超出消息發(fā)送和接收����、提供如日歷�����、todo列表�����、任務(wù)列表�、電子郵件和文檔等數(shù)據(jù)的動態(tài)數(shù)據(jù)庫存儲等特征之外。
如620等消息服務(wù)器通常維護(hù)針對在服務(wù)器上具有帳戶的每個用戶的如66等一個或多個數(shù)據(jù)存儲器的多個郵箱619�。數(shù)據(jù)存儲器66包括針對多個(“n”個)用戶帳戶的郵箱619。由消息服務(wù)器620接收到的消息通常被存儲在相應(yīng)的郵箱619中��,其中����,消息服務(wù)器620將用戶、用戶帳戶���、郵箱或者可能與用戶���、帳戶或者郵箱619相關(guān)的另一地址識別為消息接收器。如果消息尋址于多個接收器或分配列表��,則將相同消息的拷貝存儲到多于一個郵箱619中�。可選擇地���,消息服務(wù)器620可以將這樣的消息的單一拷貝存儲在消息服務(wù)器上具有帳戶的所有用戶能夠訪問的數(shù)據(jù)存儲器中���,并將指針或其他標(biāo)識符存儲在每一個接收器的郵箱619中。在典型的消息傳送系統(tǒng)中����,每個用戶可以通過使用如Microsoft Outlook或者Lotus Notes等通常在如桌面計(jì)算機(jī)系統(tǒng)622等與LAN 606相連的PC上進(jìn)行操作的消息傳遞客戶端,訪問他或她的郵箱619及其中的內(nèi)容�。雖然圖6中只示出了一個桌面計(jì)算機(jī)系統(tǒng)622,但是本領(lǐng)域的技術(shù)人員將會意識到����,LAN通常包括多個桌面型���、筆記本型和膝上型計(jì)算機(jī)系統(tǒng)。每個消息傳送客戶端通常通過消息服務(wù)器620訪問郵箱619����,雖然在某些系統(tǒng)中,消息傳送客戶端可以實(shí)現(xiàn)由桌面型計(jì)算機(jī)系統(tǒng)622直接訪問數(shù)據(jù)存儲器617以及存儲在其上的郵箱619��。消息還可以從數(shù)據(jù)存儲器617中下載到位于桌面計(jì)算機(jī)系統(tǒng)622上的本地?cái)?shù)據(jù)存儲器(未示出)���。
在企業(yè)LAN 606內(nèi)部��,無線連接器系統(tǒng)628與消息服務(wù)器620協(xié)同操作���。無線連接器系統(tǒng)628可以駐留在與消息服務(wù)器620相同的計(jì)算機(jī)系統(tǒng)上,或者作為替代�����,可以在不同的計(jì)算機(jī)系統(tǒng)上實(shí)現(xiàn)���。實(shí)現(xiàn)無線連接器系統(tǒng)628的軟件也可以部分或者全部與消息服務(wù)器620集成在一起��。最好設(shè)計(jì)無線連接器系統(tǒng)628和消息服務(wù)器620可以協(xié)同操作并相互作用���,將信息推入(push)移動設(shè)備616���、618���。在這樣的結(jié)構(gòu)中�,最好配置無線連接器系統(tǒng)628�,將存儲在與企業(yè)LAN 606相關(guān)的一個或多個數(shù)據(jù)存儲器中的信息,通過企業(yè)防火墻608��,并經(jīng)由WAN 604以及無線網(wǎng)絡(luò)612和614之一發(fā)送到一個或多個移動設(shè)備616���、618��。例如�����,具有帳戶以及數(shù)據(jù)存儲器66中的相關(guān)郵箱619的用戶也可以具有如616等移動設(shè)備��。如上所述�����,消息服務(wù)器620將由用于識別用戶�、帳戶或者郵箱619的消息服務(wù)器620所接收到的消息存儲到相應(yīng)的郵箱619中。如果用戶具有如616等移動設(shè)備�,則無線連接器系統(tǒng)628最好對消息服務(wù)器620接收并存儲到用戶郵箱619中的消息進(jìn)行檢測,并發(fā)送到用戶的移動設(shè)備616���。這類功能代表了“推(push)”消息發(fā)送技術(shù)���。作為替代,該無線連接器系統(tǒng)628可以采用“拉(pull)”技術(shù)���,其中���,響應(yīng)使用移動設(shè)備所進(jìn)行的請求或訪問操作,將存儲在郵箱619中的項(xiàng)發(fā)送到移動設(shè)備616����、618,或者可以采用這兩種技術(shù)的某種組合����。
因此無線連接器628的使用使得包括消息服務(wù)器620的消息系統(tǒng)得以擴(kuò)展,從而每個用戶的移動設(shè)備616�����,618可以得到消息服務(wù)器620的已存儲消息。盡管在此描述的系統(tǒng)和方法不僅限于基于推的技術(shù)�����,可以在上述用于參考的美國專利6,219,694以及下列共同待審和共同擁有的美國專利申請中發(fā)現(xiàn)基于推消息的更詳細(xì)描述����,所有這些均涉及‘694專利美國專利申請S/N 09/401,868�、S/N 09/545,963、S/N09/528,495���、S/N 09/545,962和S/N 09/649,755����?����!?94專利和這些申請中的每一個包括附圖和權(quán)利要求均被引用包含于本申請中����。該推技術(shù)使用無線友好編碼��、壓縮和加密技術(shù)以將所有信息傳遞到移動設(shè)備����,從而有效地?cái)U(kuò)展了公司防火墻8����,以包括移動設(shè)備616,618��。
如圖6所示����,存在從公司LAN 606與移動設(shè)備616,618交換信息的幾個路徑�。一個可能的信息傳送路徑是使用接口或連接器626通過如串行端口等物理連接624。例如��,該路徑可以用于龐大信息��,如上述的證書和CRL�����,或者在移動設(shè)備616,618初始化經(jīng)常執(zhí)行的或當(dāng)移動設(shè)備616��,618的用戶工作于如計(jì)算機(jī)系統(tǒng)622等LAN 606上的計(jì)算機(jī)系統(tǒng)時周期執(zhí)行的更新�����。物理連接624也可以用于從桌上型計(jì)算機(jī)系統(tǒng)622向移動設(shè)備616����,618傳送其他信息,包括諸如與桌上型計(jì)算機(jī)系統(tǒng)相關(guān)的私有加密或簽名密鑰私人密鑰等���。
使用物理連接624和連接器或接口626的私人密鑰交換允許用戶的桌上型計(jì)算機(jī)622和移動設(shè)備616或618共享至少一個用于訪問所有加密和/或簽名信件的標(biāo)識��。用戶的桌上型計(jì)算機(jī)622和移動設(shè)備616或618由此也能夠用于管理和傳送私人密鑰,這樣主系統(tǒng)622或移動設(shè)備616或618能夠處理尋址到消息服務(wù)器620上的用戶信箱或帳戶的安全消息���。
在已知的“同步”型無線消息傳送系統(tǒng)中�,物理路徑也被用于將來自與消息服務(wù)器620相關(guān)的郵箱619的消息傳送到移動設(shè)備616和618��。
與移動設(shè)備616�、618進(jìn)行數(shù)據(jù)交換的另一方法是通過無線連接器系統(tǒng)628并使用無線網(wǎng)絡(luò)612、614在空中進(jìn)行�。如圖6所示,這可能會涉及無線VPN路由器632����、或去往用于向一個或多個無線網(wǎng)絡(luò)612�����、614提供接口的無線基礎(chǔ)設(shè)施610的傳統(tǒng)WAN連接����。無線VPN路由器632用于創(chuàng)建直接通過特定無線網(wǎng)絡(luò)612與無線設(shè)備616的VPN連接�����?��?梢耘c靜態(tài)尋址方案一起使用這種無線VPN路由器632���。例如,如果無線網(wǎng)絡(luò)612是基于因特網(wǎng)協(xié)議(IP)的無線網(wǎng)絡(luò)���,則新的IP版本6(IPV6)應(yīng)當(dāng)提供足夠的IP地址���,以專用于被配置用于在網(wǎng)絡(luò)612中操作的每個移動設(shè)備616的IP地址,從而,使其能夠隨時將信息推入移動設(shè)備616�����。使用無線VPN路由器632的主要優(yōu)點(diǎn)在于���,可以是不需要無線基礎(chǔ)設(shè)施610的現(xiàn)有VPN組件���。VPN連接可以使用IP傳輸控制協(xié)議(TCP/IP)或IP用戶數(shù)據(jù)報(bào)協(xié)議(UDP/IP)連接以將消息直接傳遞到移動設(shè)備616或從移動設(shè)備616直接傳遞消息。
如果無線VPN路由器632不可用�,則去往通常是因特網(wǎng)的WAN 604的鏈接是無線連接器系統(tǒng)628所采用的通用連接機(jī)制。為了處理移動設(shè)備616的尋址和任何其他所需接口功能�,最好使用無線基礎(chǔ)設(shè)施610。無線基礎(chǔ)設(shè)施610的一個示例是圖1中的網(wǎng)關(guān)16�����。無線基礎(chǔ)設(shè)施610也可以確定最可能的無線網(wǎng)絡(luò)用于定位給定的用戶�,并且當(dāng)用戶在國家或網(wǎng)絡(luò)之間漫游時跟蹤用戶��。在如612和614等無線網(wǎng)絡(luò)中����,消息通常經(jīng)基站(未示出)和移動設(shè)備616,618之間的RF發(fā)射傳遞到移動設(shè)備616,618或從該移動設(shè)備傳遞�。
可以提供到無線網(wǎng)絡(luò)612和614的多個連接,例如包括在整個因特網(wǎng)中使用的TCP/IP協(xié)議的幀中繼或T1連接����、綜合業(yè)務(wù)數(shù)字網(wǎng)絡(luò)(ISDN)。無線網(wǎng)絡(luò)612和614可以表示不同����、唯一和不相關(guān)的網(wǎng)絡(luò),或它們能夠表示不同國家中的相同網(wǎng)絡(luò)��,并且可以是與圖1中的無線網(wǎng)絡(luò)20相關(guān)聯(lián)的如上所述的任何一個不同類型的網(wǎng)絡(luò)��。
在某些實(shí)現(xiàn)方案中���,可以在公司LAN606中提供多于一個無線信息交換機(jī)構(gòu)���。例如,在圖6所示的示例通信系統(tǒng)中����,配置與用戶相關(guān)的移動設(shè)備616,618運(yùn)行在不同的無線網(wǎng)絡(luò)612和614中����,所述用戶具有與消息服務(wù)器620上的用戶帳戶相關(guān)的信箱619��。如果無線網(wǎng)絡(luò)612支持IPv6尋址��,則無線VPN路由器632可由無線連接器628使用以與運(yùn)行在無線網(wǎng)絡(luò)612內(nèi)的任何移動設(shè)備交換數(shù)據(jù)���。然而,無線網(wǎng)絡(luò)614可以是不同類型的無線網(wǎng)絡(luò)����,如Mobitex網(wǎng)絡(luò),在這種情況下���,作為替代���,可以由無線連接器系統(tǒng)628通過去往WAN 604和無線基礎(chǔ)設(shè)施610的連接,與在無線網(wǎng)絡(luò)614內(nèi)進(jìn)行操作的移動設(shè)備618交換信息����。
現(xiàn)在使用從計(jì)算機(jī)系統(tǒng)602發(fā)送并且尋址于具有帳號和信箱619或與消息服務(wù)器620和移動設(shè)備616或618相關(guān)的數(shù)據(jù)存儲器的至少一個接收器的電子郵件消息633的示例,描述圖6所示系統(tǒng)的操作�。然而���,電子郵件消息633僅用于示例�。公司LAN 606之間的其他類型信息的交換最好也能由無線連接器系統(tǒng)628實(shí)現(xiàn)。
從計(jì)算機(jī)系統(tǒng)602經(jīng)WAN 604發(fā)送的電子郵件消息633可以是根據(jù)使用的具體消息方案����,完全是明文的或用數(shù)字簽名進(jìn)行簽名的和/或加密的。例如��,如果使用S/MIME使計(jì)算機(jī)系統(tǒng)602能夠用于安全消息��,則可以如上所述對電子郵件消息633進(jìn)行簽名�����、加密或兩者����,并進(jìn)行處理。
如633等電子郵件消息通常使用傳統(tǒng)簡單郵件傳輸協(xié)議(SMTP)�,RFC822報(bào)頭和多用途因特網(wǎng)郵件擴(kuò)展(MIME)主體部分,以定義電子郵件消息的格式�����。這些技術(shù)對于本領(lǐng)域技術(shù)人員全部是公知的���。電子郵件消息633到達(dá)消息服務(wù)器620��,其確定應(yīng)該將電子郵件消息633存儲進(jìn)哪個信箱619��。如上所述���,如電子郵件消息633等消息可以包括用戶名��、用戶帳戶��、信箱標(biāo)識符或可以由消息服務(wù)器620映射到特定的帳戶或相關(guān)信箱619的其他類型的標(biāo)識符�����。對于電子郵件消息633����,接收器通常使用對應(yīng)于用戶帳戶和基于此的信箱619進(jìn)行識別��。
無線連接器系統(tǒng)628最好在檢測到已經(jīng)發(fā)生了一個或多個觸發(fā)事件時����,通過無線網(wǎng)絡(luò)612或614從公司LAN 606到用戶移動設(shè)備616或618發(fā)送或反射某些用戶選擇的數(shù)據(jù)項(xiàng)或數(shù)據(jù)項(xiàng)的一部分。觸發(fā)事件包括但不限于���,下列情況中的一個或多個在用戶聯(lián)網(wǎng)計(jì)算機(jī)系統(tǒng)上屏幕保護(hù)程序的激活��;用戶移動設(shè)備616或618從接口626斷開�;或接收從移動設(shè)備616或618發(fā)送到主系統(tǒng)的命令以開始發(fā)送存儲在主系統(tǒng)上的一個或多個消息����。從而,無線連接器系統(tǒng)628可以檢測與消息服務(wù)器620相關(guān)的觸發(fā)事件�����,如接收命令等����,或與一個或多個聯(lián)網(wǎng)計(jì)算機(jī)系統(tǒng)622相關(guān)的觸發(fā)事件,包括上述屏幕保護(hù)程序和斷開事件�。當(dāng)在LAN606已經(jīng)激活針對移動設(shè)備616或618而對公司數(shù)據(jù)的無線訪問時,例如���,當(dāng)無線連接器系統(tǒng)628檢測到發(fā)生了針對移動設(shè)備用戶的觸發(fā)事件時���,最好將用戶選擇的數(shù)據(jù)項(xiàng)發(fā)送到用戶移動設(shè)備。在電子郵件消息633的示例中�����,假定已經(jīng)檢測到觸發(fā)事件,由無線連接器系統(tǒng)628檢測消息服務(wù)器620處消息633的到達(dá)����。例如,此事件可以通過監(jiān)視或詢問與消息服務(wù)器620相關(guān)的信箱619完成���,或者如果消息服務(wù)器620是微軟交換服務(wù)器(Microsoft Exchange server)���,則無線連接器系統(tǒng)628可以為由微軟消息應(yīng)用編程接口(MAPI)所提供的建議同步(advise syncs)進(jìn)行登記,從而在將新消息存儲到信箱619時��,接收通知�����。
在將如電子郵件消息633等數(shù)據(jù)項(xiàng)發(fā)送到移動設(shè)備616或618時����,無線連接器系統(tǒng)628最好以對移動設(shè)備透明的方式重新打包數(shù)據(jù)項(xiàng),從而��,發(fā)送到移動設(shè)備或由移動設(shè)備接收的信息類似于存儲在主系統(tǒng)、圖6中的LAN 606上并且可訪問的信息��。一個優(yōu)選的重新打包的方法包括在對應(yīng)于消息將發(fā)送到的移動設(shè)備616���,618的無線網(wǎng)絡(luò)地址的電子信封中����,打包將通過無線網(wǎng)絡(luò)612�,614發(fā)送的所接收的消息���?��;蛘撸梢允褂闷渌匦麓虬姆椒ㄖT如特定用途TCP/IP打包技術(shù)���。這種重新打包的方法最好還導(dǎo)致從移動設(shè)備616或618發(fā)送的電子郵件消息�,似乎來自一個相應(yīng)的主系統(tǒng)帳戶或信箱619即使它們從移動設(shè)備編輯并且發(fā)送�����。因此移動設(shè)備616或618的用戶最好在主系統(tǒng)帳戶或信箱和移動設(shè)備之間可以有效地共享單個電子郵件地址���。
在634和636中指示對電子郵件消息633的重新打包�。重新打包技術(shù)對于任何有效的傳送路徑可以是類似的,或可以取決于具體的傳送路徑�、無線基礎(chǔ)設(shè)施610或無線VPN路由器632。例如��,最好在634處進(jìn)行重新打包之前或之后�����,對電子郵件消息進(jìn)行壓縮和加密�����,由此有效地提供了去往移動設(shè)備618的安全傳送�。壓縮減少了發(fā)送消息所需的帶寬,而加密保證了發(fā)送到移動設(shè)備616和618的任何消息或其他信息的保密性��。相反����,由于VPN路由器632所建立的VPN連接是內(nèi)在安全的,因此可以對通過VPN路由器632傳送過來的消息只進(jìn)行壓縮而不進(jìn)行加密�����。因此,通過可以被看作如非標(biāo)準(zhǔn)VPN隧道或類似VPN的連接等無線連接器系統(tǒng)628處的加密����、或者通過VPN路由器632,將消息安全地發(fā)送到移動設(shè)備616和618��。因而���,使用移動設(shè)備616或618訪問消息不會比在LAN 606處使用桌面計(jì)算機(jī)系統(tǒng)622訪問郵箱更不安全�。
當(dāng)重新打包的消息634或636通過無線基礎(chǔ)設(shè)施610或通過無線VPN路由器632到達(dá)移動設(shè)備616或618時�,移動設(shè)備616或618從重新打包過的消息634或636中去除外部電子信封����,并執(zhí)行任何所需的解壓縮和解密操作。最好按照相似的方式對從移動設(shè)備616或618發(fā)送的消息和尋址到一個或多個接收器的消息進(jìn)行重新打包�����,并且可能會進(jìn)行壓縮和加密����,并發(fā)送到如LAN 606等主機(jī)系統(tǒng)。然后���,主機(jī)系統(tǒng)可以從重新打包過的消息中去除電子信封�,如果需要的話對該消息進(jìn)行解密和解壓縮,并將該消息路由到所尋址的接收器��。
使用外部信封的另一目的是至少將某些尋址信息保持在原始電子郵件消息633中��。盡管用于將信息路由到移動設(shè)備616��,618的外部信封使用一個或多個移動設(shè)備的網(wǎng)絡(luò)地址進(jìn)行尋址�,外部信封最好能夠以壓縮和/或加密的形式,對包括至少一個地址字段的整個原始電子郵件消息633進(jìn)行封裝���。這允許在去除外部信封并將消息顯示在移動設(shè)備616或618上時���,顯示電子郵件消息633的原始“To(到)”“From(來自)”和“CC(抄送)”地址。當(dāng)由無線連接器系統(tǒng)628去除從移動設(shè)備發(fā)送的重新打包的輸出消息的外部信封時�,重新打包也允許利用反映了主系統(tǒng)上移動設(shè)備用戶帳戶或信箱的地址的“From”字段,將答復(fù)消息傳遞到所尋址的接收器���。使用來自移動設(shè)備616或618的用戶帳戶或信箱地址允許將從移動設(shè)備發(fā)送過來的消息顯示為好像是來自主系統(tǒng)上用戶信箱619或帳戶的消息而不是移動設(shè)備���。★★圖7是可選通信系統(tǒng)例子的方框圖�����,其中,由與無線網(wǎng)絡(luò)的運(yùn)營商相關(guān)聯(lián)的組件來實(shí)現(xiàn)無線通信�。如圖7所示,所述系統(tǒng)包括計(jì)算機(jī)系統(tǒng)702����、WAN 704、位于安全防火墻708后的企業(yè)LAN 707��、網(wǎng)絡(luò)運(yùn)營商基礎(chǔ)設(shè)施740�����、無線網(wǎng)絡(luò)711�、以及移動設(shè)備713和715�。計(jì)算機(jī)系統(tǒng)702、WAN 704�����、安全防火墻708�����、消息服務(wù)器720、數(shù)據(jù)存儲器77����、郵箱719、以及VPN路由器735實(shí)質(zhì)上與圖6中具有相似標(biāo)記的組件相同����。但是,由于VPN路由器735與網(wǎng)絡(luò)運(yùn)營商基礎(chǔ)設(shè)施740進(jìn)行通信�����,因此在圖7所示的系統(tǒng)中��,VPN路由器735不必是無線VPN路由器���。網(wǎng)絡(luò)運(yùn)營商基礎(chǔ)設(shè)施740能夠在LAN 707和分別與計(jì)算機(jī)系統(tǒng)742和752相關(guān)聯(lián)且配置其在無線網(wǎng)絡(luò)711內(nèi)進(jìn)行操作的移動設(shè)備713�、715之間進(jìn)行無線信息交換����。在LAN 707中,示出了多個桌面計(jì)算機(jī)系統(tǒng)742�、752,其中的每一個均具有去往接口或連接器748�、758的物理連接746���、756。無線連接器系統(tǒng)744����、754在每個計(jì)算機(jī)系統(tǒng)742、752上進(jìn)行操作�,或者與每個計(jì)算機(jī)系統(tǒng)742、752協(xié)同操作�。
無線連接器系統(tǒng)744、754與上述無線連接器系統(tǒng)728的相似之處在于����,它能夠?qū)⒋鎯υ卩]箱719中的電子郵件消息和其他項(xiàng)以及可能存儲在本地或網(wǎng)絡(luò)數(shù)據(jù)存儲器中的數(shù)據(jù)項(xiàng),從LAN 707發(fā)送到一個或多個移動設(shè)備713����、715。但是����,在圖7中���,網(wǎng)絡(luò)運(yùn)營商基礎(chǔ)設(shè)施740提供了移動設(shè)備713�、715和LAN707之間的接口。如上所述��,下面將在作為可以發(fā)送到移動設(shè)備713���、715的數(shù)據(jù)項(xiàng)的說明性示例的電子郵件消息的上下文中���,對圖7所示系統(tǒng)的操作進(jìn)行描述。
當(dāng)消息服務(wù)器720接收到尋址到在消息服務(wù)器720上具有帳戶的一個或多個接收器的電子郵件消息733時�,將消息、或者可能地指向存儲在數(shù)據(jù)存儲器的中央郵箱中的消息的單一拷貝的指針存儲到每個接收器的電子郵箱719中��。一旦已經(jīng)將電子郵件消息733或指針存儲到郵箱719中�����,則優(yōu)選的是���,可以使用移動設(shè)備713或715對其進(jìn)行訪問����。在圖18所示的示例中�,電子郵件消息733已經(jīng)被尋址到與桌面計(jì)算機(jī)系統(tǒng)742和752都相關(guān)并從而與移動設(shè)備713和715都相關(guān)的郵箱719中。
正如本領(lǐng)域的技術(shù)人員所清楚的那樣����,在如LAN 707和/或WAN 704等有線網(wǎng)絡(luò)中通常所使用的通信網(wǎng)絡(luò)協(xié)議并不適合或兼容于用在如711等無線網(wǎng)絡(luò)內(nèi)的無線網(wǎng)絡(luò)通信協(xié)議����。例如��,在無線網(wǎng)絡(luò)通信中主要關(guān)心的通信帶寬����、協(xié)議開銷和網(wǎng)絡(luò)等待時間在有線網(wǎng)絡(luò)中并不重要,所述有線網(wǎng)絡(luò)通常具有比無線網(wǎng)絡(luò)更高的容量和速度����。因此,移動設(shè)備713和715通常不能直接訪問數(shù)據(jù)存儲器77�����。網(wǎng)絡(luò)運(yùn)營商基礎(chǔ)設(shè)施740提供了無線網(wǎng)絡(luò)711和LAN 707之間的橋接���。
網(wǎng)絡(luò)運(yùn)營商基礎(chǔ)設(shè)施740使移動設(shè)備713�����、715能夠通過WAN 704建立去往LAN 707的連接���,而且,例如��,可以由無線網(wǎng)絡(luò)711的運(yùn)營商或?yàn)橐苿釉O(shè)備713和715提供無線通信服務(wù)的服務(wù)供應(yīng)商進(jìn)行操作���。在基于出棧的系統(tǒng)中���,移動設(shè)備713、715可以使用無線網(wǎng)絡(luò)兼容通信策略���,最好是如應(yīng)該對信息進(jìn)行保密時的無線傳輸層安全(WTLS)等安全策略�����、以及如無線應(yīng)用協(xié)議(WAP)瀏覽器等無線網(wǎng)絡(luò)瀏覽器���,建立與網(wǎng)絡(luò)運(yùn)營商基礎(chǔ)設(shè)施740的通信會話。然后��,用戶可以請求(通過手動選擇或者在駐留在移動設(shè)備中的軟件中預(yù)先選擇的默認(rèn)值)任何或所有信息���,或只是存儲在如LAN 707處的數(shù)據(jù)存儲器77中的郵箱719中的新信息�����。之后����,如果會話還沒有建立,則網(wǎng)絡(luò)運(yùn)營商基礎(chǔ)設(shè)施740使用如安全超文本傳送協(xié)議(HTTP)等�����,建立與無線連接器系統(tǒng)744�����、754之間的連接或會話����。如上所述,可以通過典型的WAN連接或者如果可用的話�,通過VPN路由器735來進(jìn)行網(wǎng)絡(luò)運(yùn)營商基礎(chǔ)設(shè)施740與無線連接器系統(tǒng)744、754之間的會話����。當(dāng)需要使從移動設(shè)備713��、715接收請求和向設(shè)備返回所請求的信息之間的時間延遲最小時�,可以對網(wǎng)絡(luò)運(yùn)營商基礎(chǔ)設(shè)施740和無線連接器系統(tǒng)744��、754進(jìn)行配置��,從而一旦通信連接已建立��,則該通信連接保持開啟���。
在圖7所示的系統(tǒng)中,從移動設(shè)備A 713和B 715發(fā)起的請求將分別發(fā)送到無線連接器系統(tǒng)744和754�。在接收到來自網(wǎng)絡(luò)運(yùn)營商基礎(chǔ)設(shè)施740的對信息的請求時,無線連接器系統(tǒng)744����、754從數(shù)據(jù)存儲器中恢復(fù)所請求的信息。針對電子郵件消息733�,無線連接器系統(tǒng)744、754典型地通過與可以直接訪問郵箱719或可以經(jīng)由消息服務(wù)器720的計(jì)算機(jī)系統(tǒng)742��、752協(xié)同操作的消息傳送客戶端����,從適當(dāng)?shù)泥]箱719中恢復(fù)電子郵件消息733。可選擇的是�,可以配置無線連接器系統(tǒng)744、754����,直接或通過消息服務(wù)器720對郵箱719自身進(jìn)行訪問。同時��,其他數(shù)據(jù)存儲器�,與數(shù)據(jù)存儲器77相似的網(wǎng)絡(luò)數(shù)據(jù)存儲器和與每個計(jì)算機(jī)系統(tǒng)742、752相關(guān)聯(lián)的本地?cái)?shù)據(jù)存儲器都可以對無線連接器系統(tǒng)744�����、754進(jìn)行訪問����,從而可以對移動設(shè)備713、715進(jìn)行訪問���。
如果電子郵件消息733尋址到與計(jì)算機(jī)系統(tǒng)742和752以及設(shè)備713和715都相關(guān)的消息服務(wù)器帳戶或郵箱719�����,則可以將電子郵件消息733如760和762所示發(fā)送到網(wǎng)絡(luò)運(yùn)營商基礎(chǔ)設(shè)施740�����,然后�����,網(wǎng)絡(luò)運(yùn)營商基礎(chǔ)設(shè)施740向每個移動設(shè)備713和715發(fā)送該電子郵件消息的拷貝�����,如764和766所示�?�?梢酝ㄟ^去往WAN 704的連接或者通過VPN路由器735��,在無線連接器系統(tǒng)744���、754和網(wǎng)絡(luò)運(yùn)營商基礎(chǔ)設(shè)施740之間傳送信息�。當(dāng)網(wǎng)絡(luò)運(yùn)營商基礎(chǔ)設(shè)施740通過不同的協(xié)議與無線連接器系統(tǒng)744�、754和移動設(shè)備713、715進(jìn)行通信時��,可以由網(wǎng)絡(luò)運(yùn)營商基礎(chǔ)設(shè)施740執(zhí)行轉(zhuǎn)換操作����。也可以在無線連接器系統(tǒng)744�、754和網(wǎng)絡(luò)運(yùn)營商基礎(chǔ)設(shè)施740之間����、以及在每個移動設(shè)備713、715和網(wǎng)絡(luò)運(yùn)營商基礎(chǔ)設(shè)施740之間使用重新打包技術(shù)��。
要從移動設(shè)備713�����、715發(fā)送的消息或其他信息可以按照相似的方式進(jìn)行處理����,將這樣的信息首先從移動設(shè)備713、715傳送到網(wǎng)絡(luò)運(yùn)營商基礎(chǔ)設(shè)施740�����。然后����,網(wǎng)絡(luò)運(yùn)營商基礎(chǔ)設(shè)施740可以將信息發(fā)送到無線連接器系統(tǒng)744、754��,以便存儲在郵箱719中,并由如消息服務(wù)器720等傳送到任何所尋址的接收器����,或者可以代替地將信息傳送到所尋址的接收器。
針對圖7所述系統(tǒng)的以上描述與基于推的操作有關(guān)�。作為替代,可以配置無線連接器系統(tǒng)744��、754和網(wǎng)絡(luò)運(yùn)營商基礎(chǔ)設(shè)施�,將數(shù)據(jù)項(xiàng)推入移動設(shè)備713和715。組合的推/拉系統(tǒng)也是可能的���。例如,可以將當(dāng)前存儲在LAN 707處的數(shù)據(jù)存儲器中的新消息通知或數(shù)據(jù)項(xiàng)列表推入移動設(shè)備713����、715,移動設(shè)備713���、715可以用于通過網(wǎng)絡(luò)運(yùn)營商基礎(chǔ)設(shè)施740從LAN 707請求消息或數(shù)據(jù)項(xiàng)��。
如果配置與LAN 707上的用戶帳戶相關(guān)的移動設(shè)備���,在不同的無線網(wǎng)絡(luò)內(nèi)操作����,則每個無線網(wǎng)絡(luò)都可以具有與740相似的關(guān)聯(lián)無線網(wǎng)絡(luò)基礎(chǔ)設(shè)施組件���。
雖然針對圖7所示的系統(tǒng)中的每個計(jì)算機(jī)系統(tǒng)742����、752����,示出了專用無線連接器系統(tǒng)744、754��,但是最好可以配置一個或多個無線連接器系統(tǒng)744�����、754�����,與多于一個的計(jì)算機(jī)系統(tǒng)742�����、752協(xié)同操作,或者對與多于一個的計(jì)算機(jī)系統(tǒng)相關(guān)聯(lián)的數(shù)據(jù)存儲器或郵箱719進(jìn)行訪問����。例如,可以允許無線連接器系統(tǒng)744對與計(jì)算機(jī)系統(tǒng)742和計(jì)算機(jī)系統(tǒng)752都相關(guān)的郵箱719進(jìn)行訪問�����。然后�����,可以由無線連接器系統(tǒng)744處理來自移動設(shè)備A 713或B 715的數(shù)據(jù)項(xiàng)請求���。這種結(jié)構(gòu)可以用于實(shí)現(xiàn)LAN 707與移動設(shè)備713和715之間的無線通信,而無需針對每個移動設(shè)備用戶而運(yùn)行的桌面計(jì)算機(jī)系統(tǒng)742����、752。作為替代�,可以與消息服務(wù)器系統(tǒng)協(xié)同實(shí)現(xiàn)無線連接器系統(tǒng),以實(shí)現(xiàn)無線通信���。
圖8是另一可選通信系統(tǒng)的方框圖���。該系統(tǒng)包括計(jì)算機(jī)系統(tǒng)802����、WAN 804�����、位于安全防火墻808后的企業(yè)LAN 809�、接入網(wǎng)關(guān)880、數(shù)據(jù)存儲器882�、無線網(wǎng)絡(luò)884和886、以及移動設(shè)備888和890��。在LAN 809中����,計(jì)算機(jī)系統(tǒng)802、WAN 804��、安全防火墻808��、消息服務(wù)器820�、數(shù)據(jù)存儲器817、郵箱819、桌面計(jì)算機(jī)系統(tǒng)822�、物理連接824、接口或連接器826�、以及VPN路由器835與上述對應(yīng)組件實(shí)質(zhì)上相同。接入網(wǎng)關(guān)880和數(shù)據(jù)存儲器882向移動設(shè)備888和890提供對存儲在LAN 809的數(shù)據(jù)項(xiàng)的訪問��。在圖8中��,無線連接器系統(tǒng)878在消息服務(wù)器820上進(jìn)行操作�����,或者與消息服務(wù)器820協(xié)同操作����,雖然作為替代,無線連接器系統(tǒng)可以在LAN 809中的一個或多個桌面計(jì)算機(jī)系統(tǒng)上進(jìn)行操作����,或者可以與LAN 809中的一個或多個桌面計(jì)算機(jī)系統(tǒng)協(xié)同操作。
無線連接系統(tǒng)878用于將存儲在LAN 809中的數(shù)據(jù)項(xiàng)傳送到一個或多個移動設(shè)備888���、890。這些數(shù)據(jù)項(xiàng)最好包括存儲在數(shù)據(jù)存儲器817的郵箱819中的電子郵件消息�����、以及可能存儲在數(shù)據(jù)存儲器817或另一網(wǎng)絡(luò)數(shù)據(jù)存儲器或如822等計(jì)算機(jī)系統(tǒng)的本地?cái)?shù)據(jù)存儲器中的其他項(xiàng)目。
如上所述����,可以將尋址到在消息服務(wù)器820上具有帳戶的一個或多個接收器、并由消息服務(wù)器820接收的電子郵件消息833存儲在每個接收器的郵箱819中���。在圖8所示系統(tǒng)中�����,外部數(shù)據(jù)存儲器882最好具有與數(shù)據(jù)存儲器817相似的結(jié)構(gòu)����,并與數(shù)據(jù)存儲器817保持同步�����。最好能夠獨(dú)立于存儲在主機(jī)系統(tǒng)處的PIM信息和數(shù)據(jù)地修改存儲在數(shù)據(jù)存儲器882處的PTM信息和數(shù)據(jù)�。在該特定結(jié)構(gòu)中,能夠在外部數(shù)據(jù)存儲器882處獨(dú)立修改的信息可以保持與用戶相關(guān)的多個數(shù)據(jù)存儲器的同步(即�����,移動設(shè)備上的數(shù)據(jù)、在家里的個人計(jì)算機(jī)上的數(shù)據(jù)���、在企業(yè)LAN上的數(shù)據(jù)等)���。例如,通過每次按照一定的天數(shù)對數(shù)據(jù)存儲器817中的條目進(jìn)行添加或改變時����、或者在由消息服務(wù)器820或計(jì)算機(jī)系統(tǒng)822在LAN 809處發(fā)起時、或者可能由移動設(shè)備888����、890通過接入網(wǎng)關(guān)880在數(shù)據(jù)存儲器882發(fā)起時,由無線連接器系統(tǒng)878按照一定的時間間隔向數(shù)據(jù)存儲器882發(fā)送更新�,實(shí)現(xiàn)所述同步。
例如�����,在電子郵件消息833的情況下�,在接收到電子郵件消息833一些時間之后發(fā)送到數(shù)據(jù)存儲器882的更新可以表示已經(jīng)將消息833存儲在存儲器817的特定郵箱819中,并將該電子郵件消息的拷貝存儲到數(shù)據(jù)存儲器882中相應(yīng)的存儲區(qū)域��。例如����,當(dāng)已經(jīng)將電子郵件消息833存儲在與移動設(shè)備888和890相對應(yīng)的郵箱819中時,則將圖8的892和894處所示的電子郵件消息的一個或多個拷貝發(fā)送并存儲在數(shù)據(jù)存儲器882中的相應(yīng)存儲區(qū)域或郵箱中�。如圖所示,可以將數(shù)據(jù)存儲器817中的已存儲信息的更新或拷貝��,通過去往WAN 804的連接或VPN路由器835�����,發(fā)送到數(shù)據(jù)存儲器882中����。例如,無線連接器系統(tǒng)878可以通過HTTP郵遞請求(post request)�,將更新或已存儲信息郵遞到數(shù)據(jù)存儲器882中的設(shè)備。代替地���,可以選擇如HTTPS或安全套接層協(xié)議(SSL)等安全協(xié)議�����。本領(lǐng)域的技術(shù)人員將會意識到��,作為替代����,可以將存儲位于LAN 809處的數(shù)據(jù)存儲器中多于一個的位置處的數(shù)據(jù)項(xiàng)的單一拷貝發(fā)送到數(shù)據(jù)存儲器882中。然后���,可以將該數(shù)據(jù)項(xiàng)的單一的拷貝存儲在數(shù)據(jù)存儲器882中多于一個的對應(yīng)位置��,或者可以按照在數(shù)據(jù)存儲器882中每一個對應(yīng)位置存儲的已存儲數(shù)據(jù)項(xiàng)的指針或者其他標(biāo)識符�,將單一的拷貝存儲在數(shù)據(jù)存儲器882中���。
因?yàn)榻尤刖W(wǎng)關(guān)880向移動設(shè)備888和890提供了對數(shù)據(jù)存儲器882的訪問�,接入網(wǎng)關(guān)880是有效的接入平臺�����。數(shù)據(jù)存儲器882可以配置為能夠在WAN 804上進(jìn)行訪問的資源���,并且接入網(wǎng)關(guān)880可以是通過其移動設(shè)備888和890能夠與WAN 804連接的ISP系統(tǒng)或WAP網(wǎng)關(guān)���。于是,與無線網(wǎng)絡(luò)884和886兼容的WAP瀏覽器或其他瀏覽器可以用于對與數(shù)據(jù)存儲器817同步的數(shù)據(jù)存儲器882進(jìn)行訪問����,并自動或者響應(yīng)來自移動設(shè)備888��、890的請求來下載已存儲數(shù)據(jù)項(xiàng)���。如896和898所示�����,可以將存儲在數(shù)據(jù)存儲器817中的電子郵件消息833的拷貝發(fā)送到移動設(shè)備888和890�����。從而���,在每個移動設(shè)備888�、890上的數(shù)據(jù)存儲器(未示出)可以與如郵箱819等位于企業(yè)LAN 809上的數(shù)據(jù)存儲器817的一部分同步����。可以將對移動設(shè)備數(shù)據(jù)存儲器的改變類似地反映在數(shù)據(jù)存儲器882和817中����。
將理解上述僅以舉例的方式涉及優(yōu)選實(shí)施例。本發(fā)明的很多變體對本領(lǐng)域技術(shù)人員是明顯的����,并且無論是否清楚地說明����,這些變體均包括在上述和所要求的本發(fā)明的范圍內(nèi)����。
例如,盡管在圖3-5中示出了無線移動通信設(shè)備����,并作為消息客戶端之一對其進(jìn)行了描述,本發(fā)明也可應(yīng)用于其他消息客戶端��,包括那些運(yùn)行于桌上型和膝上型計(jì)算機(jī)系統(tǒng)�����、聯(lián)網(wǎng)計(jì)算機(jī)工作站和它們之間希望進(jìn)行證書管理和傳送以允許證書的共享的其他類型的消息客戶端�����。
也可以預(yù)期在上述消息客戶端之間進(jìn)行管理和傳送其他與證書相關(guān)的信息����?����?梢灶愃频毓芾砗?或傳送CRL����、公用密鑰和私人密鑰����。
權(quán)利要求
1.一種第一消息客戶端和第二消息客戶端之間的證書(Cert)管理和傳送的方法��,該方法包括以下步驟建立第一消息客戶端和第二消息客戶端之間的通信��;選擇存儲在第一消息客戶端上的一個或多個用于傳送到第二消息客戶端證書�����;和將所選擇的證書從第一消息客戶端傳送到第二消息客戶端�����。
2.如權(quán)利要求1所述的方法���,其特征在于���,建立第一消息客戶端和第二消息客戶端之間通信的步驟包括經(jīng)通信鏈路建立通信�����;和所述通信鏈路是從下列組中選擇的物理通信鏈路和無線通信鏈路���。
3.如權(quán)利要求1所述的方法,其特征在于�,選擇存儲在所述第一消息客戶端上的一個或多個證書的步驟包括下列步驟產(chǎn)生存儲在所述第一消息客戶端上的證書列表;顯示所產(chǎn)生的證書列表��;和從所顯示的列表中選擇一個或多個證書��。
4.如權(quán)利要求3所述的方法���,其特征在于���,所述顯示步驟包括在第一消息客戶端上顯示所產(chǎn)生的列表;和所述選擇步驟包括經(jīng)與第一消息客戶端相關(guān)的用戶接口�,從所顯示的列表中選擇一個或多個證書。
5.如權(quán)利要求3所述的方法�,其特征在于,所述顯示步驟包括在第二消息客戶端上顯示所產(chǎn)生的列表;和所述選擇步驟包括經(jīng)與第二消息客戶端相關(guān)的用戶接口��,從所顯示的列表中選擇一個或多個證書�����。
6.如權(quán)利要求3所述的方法����,其特征在于,所述產(chǎn)生步驟包括下列步驟識別存儲在所述第一消息客戶端處的證書����;識別存儲在所述第二消息客戶端處的證書�����;以及產(chǎn)生僅存儲在第一消息客戶端而未存儲在第二消息客戶端處的證書的列表�����。
7.如權(quán)利要求1所述的方法�����,其特征在于還包括以下步驟將所選擇的證書存儲在所述第二消息客戶端上的數(shù)據(jù)存儲器中。
8.如權(quán)利要求7所述的方法���,其特征在于在建立通信步驟之后還包括下列步驟在第一消息客戶端檢驗(yàn)存儲在數(shù)據(jù)存儲器中的每個證書的狀態(tài)�,以檢測數(shù)據(jù)存儲器中過期的����、被注銷或無效的證書;在所述第一消息客戶端處�����,針對數(shù)據(jù)存儲器中每個所檢測到的過期的�����、被注銷或無效的證書��,獲得新證書��;和從所述第一消息客戶端向所述第二消息客戶端傳送每個新證書���。
9.如權(quán)利要求8所述的方法�,其特征在于在檢驗(yàn)步驟之后還包括當(dāng)檢測到過期�、被注銷或無效證書時提示用戶的步驟���,其中,所述獲得和傳送步驟響應(yīng)于所述用戶的輸入�����。
10.如權(quán)利要求8所述的方法���,其特征在于所述獲得步驟包括從公用密鑰服務(wù)器(PKS)獲得新證書��。
11.如權(quán)利要求1的方法�����,其特征在于還包括以下步驟選擇存儲在所述第二消息客戶端上的一個或多個用于傳送到所述第一消息客戶端的證書�����;和從所述第二消息客戶端向所述第一消息客戶端傳送選中的、存儲在所述第二消息客戶端上的一個或多個證書���。
12.如權(quán)利要求11所述的方法��,其特征在于��,選擇存儲在所述第一消息客戶端上的一個或多個證書的步驟包括下列步驟產(chǎn)生存儲在所述第一消息客戶端上的證書列表����;在所述第一消息客戶端上顯示所產(chǎn)生的證書列表;和經(jīng)與所述第一消息客戶端相關(guān)的用戶接口��,從所顯示的列表中選擇一個或多個證書����;以及選擇存儲在第二消息客戶端上的一個或多個證書的步驟包括下列步驟產(chǎn)生存儲在第二消息客戶端上的證書列表;在第一消息客戶端上顯示所產(chǎn)生的證書列表��;和經(jīng)與所述第一消息客戶端相關(guān)的用戶接口�����,從所顯示的列表中選擇一個或多個證書����。
13.如權(quán)利要求1所述的方法,其特征在于還包括以下步驟產(chǎn)生存儲在第二消息客戶端上的數(shù)據(jù)存儲器中的證書列表���;在第一消息客戶端上顯示所產(chǎn)生的證書列表�;經(jīng)與所述第一消息客戶端相關(guān)的用戶接口�,從所顯示的列表中選擇一個或多個從所述數(shù)據(jù)存儲器中刪除的證書�����;和從第二消息客戶端上的數(shù)據(jù)存儲器刪除所選擇的一個或多個證書���。
14.如權(quán)利要求1所述的方法,其特征在于�,所述第一消息客戶端和第二消息客戶端中的每一個均從下面組成的組中選擇桌上型計(jì)算機(jī)系統(tǒng),膝上型計(jì)算機(jī)系統(tǒng)和無線移動通信設(shè)備����。
15.一種用于第一消息客戶端和第二消息客戶端之間的證書(Cert)管理和傳送的系統(tǒng),該系統(tǒng)包括在第一消息客戶端處第一存儲器�����,包含配置用于存儲證書的第一證書存儲器���;第一證書同步(sync)系統(tǒng)��,配置用于訪問所述第一證書存儲器�;和第一通信接口�;以及在第二消息客戶端處第二存儲器���,包含配置用于存儲證書的第二證書存儲器���;第二證書同步系統(tǒng)����,配置用于訪問第二證書存儲器���;和與第一通信接口匹配的第二通信接口�,其中還可配置所述第一證書同步系統(tǒng)����,當(dāng)所述第一消息客戶端和第二消息客戶端之間通過所述第一通信接口和所述第二通信接口建立通信鏈路時,從所述第一消息客戶端向所述第二消息客戶端傳送存儲在第一證書存儲器中的證書�。
16.如權(quán)利要求15所述的系統(tǒng),其特征在于���,還配置所述第二證書同步系統(tǒng)�,將從所述第一消息客戶端傳送到所述第二消息客戶端的證書存儲到所述第二證書存儲器�����。
17.如權(quán)利要求16所述的系統(tǒng)�,其特征在于��,還包括位于第一消息客戶端處的用戶接口����,配置該用戶接口接受用戶輸入�,以選擇存儲在所述第一證書存儲器中的一個或多個證書,其中將所選擇的證書從所述第一消息客戶端傳送到所述第二消息客戶端��。
18.如權(quán)利要求17所述的系統(tǒng)��,其特征在于��,還配置所述第二證書同步系統(tǒng)��,當(dāng)所述第一消息客戶端和第二消息客戶端之間通過所述第一通信接口和所述第二通信接口建立通信鏈路時�����,從所述第二消息客戶端向所述第一消息客戶端傳送存儲在第二證書存儲器中的證書�。
19.如權(quán)利要求18所述的系統(tǒng),其特征在于��,還配置位于第一消息客戶端處的所述用戶接口接受用戶輸入�����,以選擇存儲在所述第二證書存儲器中的一個或多個證書��,其中將所選擇的證書從所述第二消息客戶端傳送到所述第一消息客戶端��。
20.如權(quán)利要求15所述的系統(tǒng)���,其特征在于��,還配置所述第一證書同步系統(tǒng)�����,檢驗(yàn)存儲在第二證書存儲器中的每個證書的狀態(tài)��,以檢測存儲在第二證書存儲器中的過期�、被注銷或無效的證書����;
21.如權(quán)利要求20所述的系統(tǒng),其特征在于���,還配置所述第一證書同步系統(tǒng)�����,針對第二證書存儲器中每個所檢測到的過期��、被注銷或無效的證書�,獲得新證書,并經(jīng)所述通信鏈路�����,從所述第一消息客戶端向所述第二消息客戶端傳送每個新證書����。
22.如權(quán)利要求15所述的系統(tǒng),其特征在于�,所述第一消息客戶端和第二消息客戶端中的每一個是從下面組成的組中選擇的桌上型計(jì)算機(jī)系統(tǒng),膝上型計(jì)算機(jī)系統(tǒng)和無線移動通信設(shè)備�。
23.如權(quán)利要求15所述的系統(tǒng),其特征在于�,所述第一消息客戶端和第二消息客戶端中的至少一個是從下列組成的組中選擇的無線移動通信設(shè)備數(shù)據(jù)通信設(shè)備、語音通信設(shè)備����、具有數(shù)據(jù)和語音兩種通信功能的雙模式通信設(shè)備、具有數(shù)據(jù)通信功能的蜂窩電話���、能夠用于無線通信的個人數(shù)字助理(PDA)����、和具有無線調(diào)制解調(diào)器的膝上型或桌上型計(jì)算機(jī)系統(tǒng)。
24.如權(quán)利要求15所述的系統(tǒng)�,其特征在于還包括在第一消息客戶端處第一消息系統(tǒng)����;和第一通信子系統(tǒng);以及在第二消息客戶端處第二消息系統(tǒng)��;和第二通信子系統(tǒng)��,其中�,配置所述第一消息系統(tǒng),將經(jīng)第一通信子系統(tǒng)接收到的證書存儲到第一證書存儲器�����,和配置所述第二消息系統(tǒng)���,將經(jīng)第二通信子系統(tǒng)接收的證書存儲到第二證書存儲器����。
25.如權(quán)利要求15所述的系統(tǒng),其特征在于由所述第一通信接口和第二通信接口建立所述第一消息客戶端和第二消息客戶端之間的物理鏈路����。
26.如權(quán)利要求25所述的系統(tǒng),其特征在于���,所述第一通信接口和第二通信接口是從下列組成的組中選擇的串行端口和通用串行總線(USB)端口���。
27.如權(quán)利要求15所述的系統(tǒng),其特征在于由所述第一通信接口和第二通信接口建立所述第一消息客戶端和第二消息客戶端之間的無線鏈路�。
28.如權(quán)利要求25所述的系統(tǒng),其特征在于����,所述第一通信接口和第二通信接口是從下列組成的組中選擇的紅外數(shù)據(jù)協(xié)會(IrDA)端口,藍(lán)牙模塊和802.11模塊�����。
29.一種用于在計(jì)算機(jī)系統(tǒng)和無線移動通信設(shè)備之間傳送證書(Cert)的系統(tǒng)�,該系統(tǒng)包括與計(jì)算機(jī)系統(tǒng)相關(guān)的串行端口;連接到串行端口的移動設(shè)備底座�����,該移動設(shè)備底座具有接口;和與無線移動通信設(shè)備相關(guān)并與移動設(shè)備底座的接口相匹配的移動設(shè)備接口�,其中,當(dāng)通過將無線移動通信設(shè)備放在所述移動設(shè)備底座中而建立計(jì)算機(jī)系統(tǒng)和無線移動通信設(shè)備之間的通信鏈路時����,將存儲在計(jì)算機(jī)系統(tǒng)中的證書傳送到無線移動通信設(shè)備。
30.一種無線移動通信設(shè)備���,包括無線收發(fā)器�;耦合到無線收發(fā)器的消息系統(tǒng)���;通信接口;證書存儲器��,配置其以存儲證書��;和證書同步(sync)系統(tǒng)��,耦合到所述證書存儲器和所述通信接口���,其中�����,配置該消息系統(tǒng)���,將通過無線收發(fā)器接收到的證書存儲到所述證書存儲器���,并配置所述證書同步系統(tǒng),將通過所述通信接口接收到的證書存儲到所述證書存儲器�����。
31.如權(quán)利要求30所述的無線移動通信設(shè)備�����,其特征在于還配置所述消息系統(tǒng)�����,從公用密鑰服務(wù)器(PKS)請求證書���。
32.如權(quán)利要求30所述的無線移動通信設(shè)備���,其特征在于,所述通信接口是從以下所組成的組中選擇的串行端口�、通用串行總線(USB)端口以及紅外數(shù)據(jù)協(xié)會(IrDA)端口����、藍(lán)牙模塊和802.11模塊�。
33.如權(quán)利要求30所述的無線移動通信設(shè)備,其特征在于�,所述無線移動通信設(shè)備是從以下所組成的組中選擇的數(shù)據(jù)通信設(shè)備、語音通信設(shè)備���、具有數(shù)據(jù)和語音兩種通信功能的雙模式通信設(shè)備��、具有數(shù)據(jù)通信功能的蜂窩電話���、能夠用于無線通信的個人數(shù)字助理(PDA)、和具有無線調(diào)制解調(diào)器的膝上型或桌上型計(jì)算機(jī)系統(tǒng)�。
全文摘要
公開了一種用于消息客戶端之間證書管理和傳送的方法和系統(tǒng)����。當(dāng)在第一消息客戶端和第二消息客戶端之間建立通信時,可以選擇一個或多個存儲在第一消息客戶端上的證書����,并將其傳送到第二消息客戶端。由此����,消息客戶端可以共享證書��。還可以提供如證書刪除�����、證書更新和證書狀態(tài)檢驗(yàn)等證書管理功能���。
文檔編號G06Q10/00GK1539111SQ02815382
公開日2004年10月20日 申請日期2002年6月12日 優(yōu)先權(quán)日2001年6月12日
發(fā)明者赫伯特·A·利特爾, 赫伯特 A 利特爾, P 亞當(dāng)斯, 尼爾·P·亞當(dāng)斯, P 塔普什卡, 大衛(wèi)·P·塔普什卡, S 布朗, 邁克爾·S·布朗, G 柯卡普, 邁克爾·G·柯卡普, A 戈德弗雷, 雅姆·A·戈德弗雷 申請人:捷訊研究有限公司