專利名稱:用于通信設(shè)備接入的分布式授權(quán)系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域�,并且更具體涉及一種分布式授權(quán)系統(tǒng)�,在該系統(tǒng)中通過板上應(yīng)用程序?qū)σ苿訂卧蠑?shù)據(jù)的接入,例如蜂窩電話或其它設(shè)備上的電話簿、硬件標(biāo)識符或其它數(shù)據(jù),可以由在遠(yuǎn)程服務(wù)器或其它資源上執(zhí)行的授權(quán)處理來管理�。
背景技術(shù):
許多蜂窩電話和其它通信設(shè)備目前以各種方式可編程。例如�����,許多蜂窩電話包含可編輯電話簿以允許常用或重要號碼的便利存儲和撥號��。其它蜂窩電話或其它設(shè)備具有Web瀏覽����、文件共享和其它增強(qiáng)功能,不管是通過圖形用戶接口����、語音命令還是其它接口。而且��,包括集成定位能力的蜂窩電話正變得可以使用���,例如通過GPS或其它定位服務(wù)跟蹤�、記錄并傳遞手機(jī)位置����。其它服務(wù)正在并將會使用。諸如那些利用Java編程語言的空中編程(OAP)標(biāo)準(zhǔn)增強(qiáng)了這些服務(wù)的提供���,基于隨需或其它���。
但是��,蜂窩電話或其它設(shè)備的增強(qiáng)可編程能力伴隨著風(fēng)險��。手機(jī)和其它設(shè)備具有存儲能力和智能�,可以存儲各種敏感信息或個人信息�,例如,手機(jī)的國際移動設(shè)備身份碼(IMEI)數(shù)據(jù)���、用戶身份識別模塊(SIM)ID或其它相關(guān)數(shù)據(jù)�、號碼分配模塊(NAM)數(shù)據(jù)�����、移動識別碼(MIN)數(shù)據(jù)���、電子序列號(ESN)數(shù)據(jù)���,電話簿、位置跟蹤或其它信息�����?��?梢越邮躂ava或其它空中代碼的設(shè)備可能由于惡意代碼而出現(xiàn)安全風(fēng)險����,例如病毒、偽游戲或鈴聲�、或其它代碼或數(shù)據(jù)。一旦惡意程序侵入該設(shè)備���,用戶的敏感硬件���、電話簿、定位或其它數(shù)據(jù)就可能暴露和受到安全威脅��。
當(dāng)面向用戶的安全措施可以合并時�����,例如在允許接入硬件�、電話簿或其它數(shù)據(jù)前在手機(jī)接口要求輸入密碼,空中和其它威脅可以繼續(xù)測試移動設(shè)備和其數(shù)據(jù)的完整性����,包括通過以相對低級別嵌入設(shè)備內(nèi)的低級代碼,例如應(yīng)用編程接口(API)和其它開放端口或接口��。在通信設(shè)備上需要更好的核心級別安全��。也存在其它問題��。
發(fā)明內(nèi)容
克服了本領(lǐng)域中的這些和其它問題的本發(fā)明一方面涉及一種用于接入通信設(shè)備的分布式授權(quán)系統(tǒng)和方法,其中可以配備其它通信設(shè)備的蜂窩手機(jī)以接收通過Java或其它應(yīng)用程序?qū)γ舾邪迳蠑?shù)據(jù)的請求�����。不是嘗試在設(shè)備本身內(nèi)本地鑒別用戶或處理接入給定級別的數(shù)據(jù)�����,根據(jù)本發(fā)明����,授權(quán)過程可以經(jīng)由遠(yuǎn)程服務(wù)器或其它資源初始化�����。在實施例中�,通信設(shè)備可以提出API以在內(nèi)部執(zhí)行程序,通過它們可以進(jìn)行對敏感數(shù)據(jù)的所有請求����。API可以傳遞那些請求,例如�,經(jīng)由空中接口向遠(yuǎn)程支持服務(wù)器請求授權(quán)。在實施例中��,可以根據(jù)許可接入列表進(jìn)行授權(quán),列舉具有接入被請求級數(shù)據(jù)權(quán)利的有效程序或過程�����。當(dāng)一個請求生效時�����,可以把許可返回到通信設(shè)備以允許請求代碼獲得期望數(shù)據(jù)����。
結(jié)合附圖描述本發(fā)明,其中相同的編號表示相同的元件���,在附圖中圖1根據(jù)本發(fā)明的一個實施例說明分布式授權(quán)體系結(jié)構(gòu)�����;
圖2根據(jù)本發(fā)明的一個實施例說明保存授權(quán)參數(shù)的說明性表格���;圖3根據(jù)本發(fā)明的一個實施例說明通信設(shè)備上的用戶接口,顯示授權(quán)通知��;圖4根據(jù)本發(fā)明的一個實施例說明授權(quán)處理的流程圖。
具體實施例方式
圖1說明一種分布式授權(quán)體系結(jié)構(gòu)��,本發(fā)明的一個實施例可以以此結(jié)構(gòu)工作��。如該圖所示����,通信設(shè)備102可以與授權(quán)服務(wù)器118無線通信,以初始化和確認(rèn)在通信設(shè)備102上運行的應(yīng)用程序所做出的接入設(shè)備專用數(shù)據(jù)110的請求���。例如,通信設(shè)備102可以是或包括蜂窩電話���,諸如配備IEEE 802.11b或其它無線接口的個人數(shù)字助理(PDA)或個人信息管理器(PIM)的網(wǎng)絡(luò)無線設(shè)備��,膝上型電腦或配備802.11b或其它無線接口的其它便攜式電腦�,或者其它通信或用戶設(shè)備�����。通信設(shè)備102可以經(jīng)由天線112與授權(quán)服務(wù)器118通信���,例如在800/900MHz�����、1.9GHz�����、2.4GHz或其它頻帶����,或者通過光鏈接或其它鏈接。
例如�����,設(shè)備專用數(shù)據(jù)110可以是或包括IMEI數(shù)據(jù)����、來自SIM卡的數(shù)據(jù)、芯片級數(shù)據(jù)��、電話簿或聯(lián)系列表或其它個人化用戶設(shè)置����、位置跟蹤、電子錢包�、行程安排���、蜂窩服務(wù)或其它賬單、諸如短信服務(wù)(SMS)或其它文本的消息或其它消息�����、或者其它硬件相關(guān)的基于用戶的或其它信息�����。設(shè)備專用數(shù)據(jù)110可以保存在通信設(shè)備102中����,例如電子可編程存儲器(EPROM)�����,閃存卡���,或者其它電子�����、光或其它媒介��。
通信設(shè)備102可以執(zhí)行一個或更多應(yīng)用程序104����,例如Java應(yīng)用程序,它在實施例中可以包括Java Micro Edition應(yīng)用程序�、C或C++或其它程序或代碼。例如���,在實施例中��,應(yīng)用程序104可以是或包括聯(lián)系調(diào)度應(yīng)用程序����、電話簿應(yīng)用程序�、Web瀏覽應(yīng)用程序、財務(wù)應(yīng)用程序����、個人信息管理器(PIM)應(yīng)用程序、或者其它應(yīng)用程序或服務(wù)���。在實施例中�,應(yīng)用程序104可以遵照或使用Java移動信息設(shè)備框架(MIDP)標(biāo)準(zhǔn)實現(xiàn)�,應(yīng)用程序可以把它當(dāng)作MIDlet或其它語言或環(huán)境��。在實施例中���,應(yīng)用程序104可以在空中經(jīng)由天線112接收,或者從其它源接收或保存�����,例如電纜連接下載��。
應(yīng)用程序104可以與應(yīng)用編程接口106交互�����,應(yīng)用編程接口106又與授權(quán)服務(wù)器118和在通信設(shè)備102上執(zhí)行的本地層通信����。應(yīng)用編程接口106可以向應(yīng)用程序104提供編程接口以仲裁對通信設(shè)備102上設(shè)備專用數(shù)據(jù)110的請求和執(zhí)行其它任務(wù)����。在實施例中,應(yīng)用編程接口106可以向數(shù)據(jù)和對象類提供可應(yīng)用接口����,例如網(wǎng)絡(luò)�、用戶接口�、數(shù)據(jù)屬性和數(shù)據(jù)內(nèi)容以及其它資源。本地層108可以在實施例中以通信設(shè)備102中相對低的級別工作�����,并作用于由應(yīng)用編程接口106傳遞的請求�,以獲得設(shè)備專用數(shù)據(jù)110。例如�,本地層108可以在實施例中執(zhí)行監(jiān)控、文件和存儲器管理以及其它任務(wù)��。
當(dāng)應(yīng)用程序104提出對設(shè)備專用數(shù)據(jù)110的接入請求時��,為了確保該數(shù)據(jù)的完整性并防止對該信息的未授權(quán)或惡意接入����,應(yīng)用編程接口106可以在允許釋放任何設(shè)備專用數(shù)據(jù)110之前在用于外部處理的系統(tǒng)級別限制該接入請求114。
特別地�,當(dāng)應(yīng)用編程接口106從應(yīng)用程序104接收到對設(shè)備專用數(shù)據(jù)110的請求時,應(yīng)用編程接口106可以與授權(quán)服務(wù)器118通信以授權(quán)接入請求114�����。應(yīng)用編程接口106可以經(jīng)由天線116或者其它無線或有線接口與授權(quán)服務(wù)器118通信�。應(yīng)用編程接口106可以發(fā)送接入請求114����,例如包含設(shè)備專用數(shù)據(jù)110請求數(shù)據(jù)的類型�����、應(yīng)用程序104的名字或其它識別信息����、諸如前一個接入的時間等接入?yún)?shù)、密碼(如果請求的話)����、或者與向授權(quán)服務(wù)器118請求接入114部分或所有設(shè)備專用數(shù)據(jù)110相關(guān)的其它數(shù)據(jù)。
授權(quán)服務(wù)器118可以維護(hù)一組授權(quán)參數(shù)120���,根據(jù)這些參數(shù)處理接入設(shè)備專用數(shù)據(jù)110的接入請求114�。例如�,如圖2所示,授權(quán)參數(shù)120可以保持在授權(quán)表124中����,該表可以保存在授權(quán)服務(wù)器118中或由授權(quán)服務(wù)器118接入���。授權(quán)表124可以包含一組應(yīng)用程序標(biāo)識符126(APP IDENTIFIER1���,APP IDENTIFIER2...APP IDENTIFIERN�����,N任意)���,在實施例中標(biāo)識符可以包括應(yīng)用程序名字列表或其它標(biāo)識符,例如“phonebook.MID”�����、“contactlist.c”�����、“positiontrack.exe”或者其它名字或標(biāo)記�。授權(quán)表124同樣也可以包含一組由應(yīng)用程序名字或其它標(biāo)記建立聯(lián)系的關(guān)聯(lián)接入級別128,可以指示是否可以允許給定應(yīng)用程序104接入設(shè)備專用數(shù)據(jù)110��,以及在實施例中可以準(zhǔn)許以哪個級別或者怎樣的特權(quán)(例如�,讀取、編輯或其它)接入。
當(dāng)授權(quán)服務(wù)器118對照授權(quán)參數(shù)120使應(yīng)用程序的等待接入請求114生效時�����,授權(quán)服務(wù)器118可以向通信設(shè)備102發(fā)送一個授權(quán)消息122����。例如,授權(quán)消息122可以包含代碼��、標(biāo)記或應(yīng)用程序104可以接入設(shè)備專用數(shù)據(jù)110的其它指示����。在實施例中,授權(quán)消息122可以包含附加域或變量��,通過它們可以管理對設(shè)備專用數(shù)據(jù)110的接入�����,例如指示應(yīng)用程序104是否可以具有對設(shè)備專用數(shù)據(jù)110讀取���、修改�、擦除或執(zhí)行其它操作權(quán)利的特權(quán)域或標(biāo)記�����。授權(quán)消息122同樣也可以包含超時域�,它設(shè)置應(yīng)用程序104可以接入期望數(shù)據(jù)的時間長度,在此之后授權(quán)終止����。也可以有其它安全參數(shù)。例如��,在實施例中�����,授權(quán)可以允許單個應(yīng)用程序104�����,或多個應(yīng)用程序�,或不同時期不同應(yīng)用程序。在實施例中�����,授權(quán)消息122中反映的對接入設(shè)備專用數(shù)據(jù)110的授權(quán)可以對數(shù)據(jù)的不同部分以不同級別進(jìn)行���,取決于數(shù)據(jù)的敏感度�����、做出接入請求114的應(yīng)用程序104的性質(zhì)以及其它因素���。
當(dāng)通信設(shè)備102接收到授權(quán)消息122并且期望接入得到允許時�����,應(yīng)用編程接106可以把接入請求114傳遞給可以接收設(shè)備專用數(shù)據(jù)110的被請求數(shù)據(jù)的本地層108�。然后本地層108可以傳遞接收到的設(shè)備專用數(shù)據(jù)110并把該數(shù)據(jù)傳遞給應(yīng)用編程接106以發(fā)送給應(yīng)用程序104���。然后應(yīng)用程序104可以接收并讀取整個設(shè)備專用數(shù)據(jù)110中的被請求部分�,從而操作或修改該數(shù)據(jù)�����。在實施例中�����,應(yīng)用程序104也可以接收授權(quán)以把修改后的數(shù)據(jù)保存到設(shè)備專用數(shù)據(jù)110中�,通過天線112的空中接口發(fā)送設(shè)備專用數(shù)據(jù)110����,或者執(zhí)行其它操作�,取決于接收到授權(quán)的類型或級別、網(wǎng)絡(luò)安全和其它參數(shù)�����。
當(dāng)授權(quán)服務(wù)器118對照授權(quán)參數(shù)120不能授權(quán)接入請求114時���,授權(quán)消息122可以包含一個拒絕標(biāo)記或應(yīng)用程序104不可以接入部分或任何設(shè)備專用數(shù)據(jù)110的其它指示。在這種情況下���,如圖3所示�,在實施例中通信設(shè)備102可以通知用戶拒絕應(yīng)用程序或服務(wù)接入設(shè)備專用或敏感信息����。正如說明的,該通知可以是通過所示的文本或圖形用戶接口130給出的彈出式消息��、口頭消息或其它方式���。例如���,該通知可以幫助用戶決定運行通信設(shè)備102上的殺毒或其它應(yīng)用程序���,或者采取其它行動。在實施例中��,拒絕對設(shè)備專用數(shù)據(jù)110的接入可以觸發(fā)應(yīng)用程序104的自動記錄��、自動傳輸殺毒或其它應(yīng)用程序給通信設(shè)備102�、或者其它行為。
根據(jù)本發(fā)明的一個實施例����,通信設(shè)備分布式授權(quán)的全部處理如圖4所示。在步驟402中��,應(yīng)用程序104可以經(jīng)由應(yīng)用編程接口106和本地層108以API或其它級別請求通信設(shè)備102設(shè)備專用數(shù)據(jù)110的一部分或多部分���。在步驟404中�,接入請求114可以發(fā)送到授權(quán)服務(wù)器118���,例如經(jīng)由空中協(xié)議�����,它可以使用諸如安全套接層(SSL)�、超文本傳輸協(xié)議安全(HTTPS)或其它協(xié)議或接口等安全或其它協(xié)議通信。在實施例中���,該請求可以密封數(shù)據(jù)�,例如應(yīng)用程序104的名字或其它標(biāo)識符�、設(shè)備專用數(shù)據(jù)110中被請求數(shù)據(jù)的類型和其它信息。
在步驟406中��,授權(quán)服務(wù)器118可以對照授權(quán)參數(shù)120或其它安全域或模型核對應(yīng)用程序104的接入請求���,做出授權(quán)判決并傳遞授權(quán)消息122給通信設(shè)備102。授權(quán)消息122可以包含準(zhǔn)許�����、拒絕����、推遲接入請求114,需要進(jìn)一步信息或可以采取其它行動的指示��。在步驟408中�����,一旦接收到授權(quán)服務(wù)器118的準(zhǔn)許判決,本地層108可以讀取已經(jīng)授權(quán)應(yīng)用程序104接入的設(shè)備專用數(shù)據(jù)110的一部分或多部分���。在步驟410中���,本地層108可以把已經(jīng)授權(quán)應(yīng)用程序104接入的設(shè)備專用數(shù)據(jù)110的一部分或多部分傳遞給應(yīng)用編程接口106。在步驟412中�,應(yīng)用編程接口106可以把被請求設(shè)備專用數(shù)據(jù)110傳遞給應(yīng)用程序104。然后處理可以重復(fù)�����,返回到較早點���,繼續(xù)進(jìn)一步處理或者結(jié)束�。
上文根據(jù)本發(fā)明對于接入通信設(shè)備分布式授權(quán)系統(tǒng)和方法的描述是說明性的�����,本領(lǐng)域技術(shù)人員可以在配置和實現(xiàn)上做改變��。例如��,本發(fā)明一般描述為以單個授權(quán)服務(wù)器118形式實現(xiàn),但是在實施例中可以使用一個和多個服務(wù)器或其它資源����。相似地,本發(fā)明一般描述為依照一組授權(quán)參數(shù)120測試授權(quán)����,但是在實施例中作為授權(quán)依據(jù)的安全數(shù)據(jù)可以由多個本地或遠(yuǎn)程數(shù)據(jù)存儲構(gòu)成。
同樣�,本發(fā)明一般描述為具有中間本地層108的通信設(shè)備102,但是在實施例中通信設(shè)備102可以在沒有該類本地層的情況下工作���,例如把一些功能分布到授權(quán)服務(wù)器118或者其它。相反�,通信設(shè)備102可以包含或操作其它或多個監(jiān)控層。描述為單數(shù)的其它硬件�����、軟件或其它資源可以以多個或分布式資源實現(xiàn)���,而描述為分布式的其它硬件�、軟件或其它資源同樣可以實現(xiàn)為集成資源�����。因此本發(fā)明的范圍僅受權(quán)利要求的限制。
權(quán)利要求
1.一種用于處理對接入通信設(shè)備上數(shù)據(jù)的請求的系統(tǒng)���,包括設(shè)備專用數(shù)據(jù)��;至少一個應(yīng)用程序�,該至少一個應(yīng)用程序生成對設(shè)備專用數(shù)據(jù)的接入請求��;與遠(yuǎn)程授權(quán)設(shè)備的接口��;和在通信設(shè)備上執(zhí)行的應(yīng)用編程接口�����,該應(yīng)用編程接口與該至少一個應(yīng)用程序和設(shè)備專用數(shù)據(jù)接口�����,該應(yīng)用編程接口經(jīng)由接口把對設(shè)備專用數(shù)據(jù)的接入請求傳遞給遠(yuǎn)程授權(quán)設(shè)備以請求授權(quán)判決���。
2.根據(jù)權(quán)利要求1的系統(tǒng)���,其中�,設(shè)備專用數(shù)據(jù)包括國際移動設(shè)備身份碼信息���、用戶身份識別模塊信息�����、號碼分配模塊信息����、移動識別碼信息���、電子序列號信息�����、芯片級信息��、電話簿信息、聯(lián)系列表信息�、位置跟蹤信息、電子錢包信息���、行程安排信息���、賬單信息和消息信息中的至少一種����。
3.根據(jù)權(quán)利要求1的系統(tǒng)�,其中,到遠(yuǎn)程授權(quán)設(shè)備的接口包括無線接口���。
4.根據(jù)權(quán)利要求1的系統(tǒng)��,其中�,通信設(shè)備包括蜂窩電話和網(wǎng)絡(luò)數(shù)字信息設(shè)備中的至少一種����。
5.根據(jù)權(quán)利要求1的系統(tǒng),其中�����,遠(yuǎn)程授權(quán)設(shè)備包括服務(wù)器����。
6.根據(jù)權(quán)利要求1的系統(tǒng),其中,遠(yuǎn)程授權(quán)設(shè)備包括授權(quán)參數(shù)的存儲��。
7.根據(jù)權(quán)利要求6的系統(tǒng)��,其中����,授權(quán)參數(shù)的存儲包括至少一組授權(quán)應(yīng)用程序標(biāo)識符。
8.根據(jù)權(quán)利要求7的系統(tǒng)���,其中�����,授權(quán)參數(shù)進(jìn)一步包括與授權(quán)應(yīng)用程序標(biāo)識符關(guān)聯(lián)的授權(quán)級別�。
9.根據(jù)權(quán)利要求1的系統(tǒng)���,其中����,至少一個應(yīng)用程序包括經(jīng)由無線接口接收到的應(yīng)用程序�����。
10.根據(jù)權(quán)利要求1的系統(tǒng)���,其中����,授權(quán)判決包括準(zhǔn)許接入設(shè)備專用數(shù)據(jù)����、拒絕接入設(shè)備專用數(shù)據(jù)、推遲接入設(shè)備專用數(shù)據(jù)和要求進(jìn)一步信息用于進(jìn)一步授權(quán)判決中的至少一種����。
全文摘要
根據(jù)本發(fā)明,蜂窩電話或其它通信設(shè)備(102)可以截取應(yīng)用程序(104)的接入敏感設(shè)備專用數(shù)據(jù)(110)請求(114)�����,例如經(jīng)由空中編程(OAP)接收到的應(yīng)用程序����。該設(shè)備專用數(shù)據(jù)(110)可以包括硬件標(biāo)識符,例如IMEI或其它序列號或用戶身份識別值����,個人化設(shè)置���,例如電話簿、聯(lián)系列表��、消息或其它信息���??梢越厝?yīng)用程序(104)接入該類型數(shù)據(jù)的請求(114)��,例如�����,通過在通信設(shè)備(102)上執(zhí)行的應(yīng)用編程接口(106)��。應(yīng)用編程接口(106)可以把請求(114)和識別請求應(yīng)用程序的信息一起傳遞給遠(yuǎn)程授權(quán)服務(wù)器(118)���。該設(shè)備可以比較應(yīng)用程序標(biāo)識符或其它信息與授權(quán)接入設(shè)備專用數(shù)據(jù)(110)的應(yīng)用程序列表或表格(120)�����。準(zhǔn)許����、拒絕、推遲或其它判決可以傳遞回該設(shè)備��,從而允許或拒絕接入����。例如�,對這種數(shù)據(jù)的請求(114)發(fā)送到遠(yuǎn)程主機(jī)服務(wù)器(118)可以防止病毒、惡意應(yīng)用程序?qū)γ舾袛?shù)據(jù)的接入或破壞或者其它類型的無線侵入�。
文檔編號H04L29/06GK1732674SQ200380108025
公開日2006年2月8日 申請日期2003年12月16日 優(yōu)先權(quán)日2002年12月31日
發(fā)明者李偉青, 林志翰, 羅納爾·R·史密斯 申請人:摩托羅拉公司(在特拉華州注冊的公司)