安全網(wǎng)關(guān)通信對相關(guān)申請的引用本申請要求保護于2011年7月20日提交的標(biāo)題為“用于安全移動通信的系統(tǒng)和方法”的美國臨時專利申請第61/510,023號的優(yōu)先權(quán)，該專利申請的內(nèi)容通過引用出于所有目的整體合并于此。本申請涉及于2012年7月20日提交的標(biāo)題為“具有加密擴展設(shè)備的移動銀行業(yè)務(wù)系統(tǒng)”的共同擁有的專利合作條約(PCT)申請第PCT/US2012/047645號，該申請的內(nèi)容通過引用出于所有目的整體合并于此。背景安全問題往往成為阻礙移動銀行業(yè)務(wù)的廣泛采用和發(fā)展的絆腳石。大多數(shù)移動設(shè)備缺少安全地發(fā)送端對端加密通信的能力。結(jié)果，可能以明碼文本的形式發(fā)送諸如個人標(biāo)識號碼(PIN)和主賬戶號碼(PAN)等的敏感信息，這產(chǎn)生了這樣的敏感信息可能被惡意人員截獲并用于欺詐目的的弱點。盡管可以由移動網(wǎng)絡(luò)運營商提供一些安全措施，例如，在基站處提供加密能力，但由這樣的解決方案提供的保護仍然受到限制，這是因為在傳送期間的某一時刻仍以明碼文本形式發(fā)送通信。其他解決方案要求重新配置用戶的移動設(shè)備，例如，通過空中(OTA)配置，且這樣的解決方案在部署和運行成本兩個方面可能都是昂貴的。因此，移動運營商必須把這種成本轉(zhuǎn)嫁給他們的客戶或者自己消化這種成本。因而，總擁有成本(TCO)往往也是阻礙移動銀行業(yè)務(wù)的上升和發(fā)展的絆腳石。如果沒有一種具有成本效益和有效的方式來安全地發(fā)送和接收與移動設(shè)備的通信，移動銀行業(yè)務(wù)運營商都注定要產(chǎn)生虧損，或未能完全推出自己的移動銀行服務(wù)。雖然移動網(wǎng)絡(luò)運營商努力尋找一個符合成本效益和高效率的解決方案，使移動設(shè)備能夠安全地發(fā)送加密的通訊，但移動銀行業(yè)務(wù)的安全弱點并不僅僅局限于空中通信的潛在截取。在移動網(wǎng)絡(luò)和支付處理網(wǎng)絡(luò)之間的接口也容易受到惡意人員的入侵的攻擊，這是因為這兩個網(wǎng)絡(luò)中使用的安全協(xié)議通常是不同的，并且其中一個網(wǎng)絡(luò)上的設(shè)備的身份對另一網(wǎng)絡(luò)上的設(shè)備來說并不總是已知。結(jié)果，惡意人士可以嘗試通過偽裝成另一網(wǎng)絡(luò)的一部分在接口處連接到一個網(wǎng)絡(luò)。例如，可以建立與彼此的連接的單向網(wǎng)絡(luò)設(shè)備使用同步和確認消息的三方握手。網(wǎng)絡(luò)設(shè)備可以通過把同步消息發(fā)送給目標(biāo)設(shè)備發(fā)起連接。響應(yīng)于接收到同步消息，目標(biāo)設(shè)備回送同步確認消息。然后，發(fā)起設(shè)備把確認消息發(fā)送給目標(biāo)設(shè)備。一旦接收到確認消息，就在兩個網(wǎng)絡(luò)設(shè)備之間建立連接。為了入侵系統(tǒng)，惡意人員不必知道將接受連接的目標(biāo)設(shè)備的身份或目標(biāo)設(shè)備的端口。惡意人員可以通過發(fā)送出隨機同步消息并等待同步確認消息應(yīng)答來執(zhí)行端口掃描，以判斷網(wǎng)絡(luò)上有什么設(shè)備以及設(shè)備的哪些端口可以接受連接。當(dāng)惡意人員接收到同步確認消息時，惡意人員可以從同步確認消息得知目標(biāo)設(shè)備的身份并獲得目標(biāo)設(shè)備的網(wǎng)絡(luò)參數(shù)。然后，惡意人員可以通過對目標(biāo)設(shè)備發(fā)起攻擊來入侵目標(biāo)設(shè)備的網(wǎng)絡(luò)。本發(fā)明的各實施例個別地和共同地解決這些問題和其他問題。簡要概述本發(fā)明的各實施例公開了一種網(wǎng)關(guān)設(shè)備和其中執(zhí)行以便防止未經(jīng)授權(quán)的客戶端設(shè)備連接到該網(wǎng)關(guān)設(shè)備的主機網(wǎng)絡(luò)的方法。根據(jù)各種實施例，網(wǎng)關(guān)設(shè)備不立刻響應(yīng)被發(fā)送給網(wǎng)關(guān)設(shè)備的個體客戶端消息。相反，網(wǎng)關(guān)設(shè)備僅響應(yīng)于預(yù)先確定的客戶端消息序列，該預(yù)先確定的客戶端消息序列僅為網(wǎng)關(guān)設(shè)備和經(jīng)授權(quán)客戶端設(shè)備知曉。因為網(wǎng)關(guān)設(shè)備將不響應(yīng)于隨機客戶端消息，且未經(jīng)授權(quán)的設(shè)備可以正確地猜測預(yù)先確定的客戶端消息序列的可能性很低，所以可以降低惡意人員可以例如通過使用端口掃描技術(shù)攻入到主機網(wǎng)絡(luò)的風(fēng)險。根據(jù)至少一種實施例，一種網(wǎng)關(guān)設(shè)備中的方法用于在通信上耦合到網(wǎng)關(guān)設(shè)備的客戶端接口的客戶端設(shè)備和通信上耦合到網(wǎng)關(guān)設(shè)備的主機接口的服務(wù)器之間建立通信信道，該方法包括在客戶端接口上接收客戶端消息，并避免從客戶端接口發(fā)送客戶端響應(yīng)消息，直到在客戶端接口上接收到預(yù)先確定的客戶端消息序列。網(wǎng)關(guān)設(shè)備也從主機接口發(fā)送預(yù)先確定的服務(wù)器消息序列。通信信道用于在客戶端設(shè)備和服務(wù)器之間發(fā)送用戶消息，在網(wǎng)關(guān)設(shè)備在客戶端接口上接收預(yù)先確定的客戶端消息序列并且在主機接口上接收到服務(wù)器響應(yīng)消息(該服務(wù)器響應(yīng)消息僅在網(wǎng)關(guān)設(shè)備已經(jīng)發(fā)送預(yù)先確定的服務(wù)器消息序列之后才被接收到)之后，建立該通信信道。根據(jù)至少一種實施例，網(wǎng)關(guān)設(shè)備包括具有客戶端端口的客戶端接口、具有主機端口的主機接口、耦合到客戶端接口和主機接口的處理器和存儲可以由處理器執(zhí)行的可執(zhí)行程序代碼的機器可讀存儲介質(zhì)。在由處理器執(zhí)行時，可執(zhí)行程序代碼引起處理器在客戶端接口上接收來自客戶端設(shè)備的客戶端消息，并避免從客戶端接口發(fā)送客戶端響應(yīng)消息，直到在客戶端接口上接收到預(yù)先確定的客戶端消息序列?？蓤?zhí)行程序代碼也可以引起處理器從主機接口向服務(wù)器發(fā)送預(yù)先確定的服務(wù)器消息序列，并建立在客戶端設(shè)備和服務(wù)器之間傳輸用戶消息的通信信道。在客戶端接口上接收到預(yù)先確定的客戶端消息序列并且在主機接口上接收到服務(wù)器響應(yīng)消息之后，建立通信信道，其中僅在已經(jīng)發(fā)送了預(yù)先確定的服務(wù)器消息序列之后接收到該服務(wù)器響應(yīng)消息。附圖簡述圖1闡釋根據(jù)本發(fā)明的一種實施例的通信網(wǎng)絡(luò)環(huán)境。圖2闡釋根據(jù)本發(fā)明的一種實施例的網(wǎng)關(guān)設(shè)備。圖3闡釋根據(jù)本發(fā)明的示例性實施例用于建立通信信道的消息交換。圖4闡釋根據(jù)本發(fā)明的另一示例性實施例用于建立通信信道的消息交換。圖5A闡釋根據(jù)本發(fā)明的一種實施例的消息序列。圖5B闡釋根據(jù)本發(fā)明的另一實施例的消息序列。圖5C闡釋根據(jù)本發(fā)明的又一種實施例的消息序列。圖6A闡釋根據(jù)本發(fā)明的示例性實施例的消息序列。圖6B闡釋根據(jù)本發(fā)明的另一示例性實施例的消息序列。圖6C闡釋根據(jù)本發(fā)明的又一種示例性實施例的消息序列。圖7闡釋根據(jù)本發(fā)明的一種實施例的用于建立通信信道的方法的流程圖。圖8闡釋根據(jù)本發(fā)明的一種實施例用于認證被用來建立通信信道的客戶端設(shè)備的方法的流程圖。圖9闡釋根據(jù)本發(fā)明的一種實施例用于認證被用來建立通信信道的主機設(shè)備的方法的流程圖。圖10闡釋根據(jù)本發(fā)明的一種實施例的用戶設(shè)備。圖11闡釋根據(jù)本發(fā)明的各種實施例的計算機系統(tǒng)。詳細描述本發(fā)明的各實施例公開了一種網(wǎng)關(guān)設(shè)備和在其中執(zhí)行以便防止未經(jīng)授權(quán)的客戶端設(shè)備連接到該網(wǎng)關(guān)設(shè)備的主機網(wǎng)絡(luò)的方法。根據(jù)各種實施例，網(wǎng)關(guān)設(shè)備不立刻響應(yīng)于被發(fā)送給該網(wǎng)關(guān)設(shè)備的單個客戶端消息。相反，網(wǎng)關(guān)設(shè)備僅響應(yīng)于預(yù)先確定的客戶端消息序列，該預(yù)先確定的客戶端消息序列僅由網(wǎng)關(guān)設(shè)備和經(jīng)授權(quán)客戶端設(shè)備知曉。因為網(wǎng)關(guān)設(shè)備將不響應(yīng)于隨機客戶端消息，且未經(jīng)授權(quán)的設(shè)備可以正確地猜測預(yù)先確定的客戶端消息序列的可能性很低，可以降低惡意人員例如通過使用端口掃描技術(shù)攻入到主機網(wǎng)絡(luò)的風(fēng)險。此外，在一些實施例中，也可以使用預(yù)先確定的服務(wù)器消息序列來建立在主機網(wǎng)絡(luò)的網(wǎng)關(guān)設(shè)備和服務(wù)器之間的連接。這給網(wǎng)關(guān)設(shè)備提供了認證在通信兩端上的設(shè)備的能力，以便確保通過網(wǎng)關(guān)設(shè)備發(fā)送的通信的發(fā)送者和接收者兩者都是得到允許相互通信的經(jīng)授權(quán)設(shè)備。在一些實施例中，通過網(wǎng)關(guān)設(shè)備建立的通信信道可以是攜帶經(jīng)加密的消息的安全通信信道。網(wǎng)關(guān)設(shè)備可以提供密碼能力，以便解密從一個網(wǎng)絡(luò)上的設(shè)備接收到的傳入消息，并再次加密消息或再次劃分(re-zone)消息以便在另一網(wǎng)絡(luò)上傳送。網(wǎng)關(guān)設(shè)備也可以生成和驗證用于網(wǎng)關(guān)設(shè)備接收和/或傳送的消息的消息認證碼或散列碼。應(yīng)理解，盡管下面提供的一些解釋和描述可以做出對支付處理網(wǎng)絡(luò)或無線提供商/移動運營商網(wǎng)絡(luò)的特定引用，但本發(fā)明的各實施例不限于這樣的網(wǎng)絡(luò)。應(yīng)明白，下面提供的解釋和描述提供可以適用于和應(yīng)用于與其他類型的通信網(wǎng)絡(luò)建立通信信道。在此所使用的“網(wǎng)絡(luò)”或“通信網(wǎng)絡(luò)”是在網(wǎng)絡(luò)內(nèi)可以直接地或通過一個或多個中間設(shè)備相互通信的一組互連設(shè)備。網(wǎng)絡(luò)可以與另一網(wǎng)絡(luò)隔開，且在這樣的環(huán)境中，一個網(wǎng)絡(luò)的設(shè)備不能與其他網(wǎng)絡(luò)的通信設(shè)備通信。網(wǎng)絡(luò)也可以被連接到另一網(wǎng)絡(luò)，且在這樣的環(huán)境中，一個網(wǎng)絡(luò)的設(shè)備可以與其他網(wǎng)絡(luò)的設(shè)備通信。在此所使用的“通信信道”是允許設(shè)備交換消息的在兩個設(shè)備之間的連接。通信信道可以包括通信上耦合在兩個設(shè)備之間的一個或多個中間設(shè)備。兩個設(shè)備可以相互耦合卻沒有在兩個設(shè)備之間的通信信道。例如，兩個設(shè)備可以通過防火墻耦合，其中，防火墻阻擋從一個設(shè)備到另一設(shè)備的所有通信。在這樣的配置中，即使一個設(shè)備耦合到另一設(shè)備，在兩個設(shè)備之間也不存在通信信道。在此所使用的“消息”是從發(fā)送者設(shè)備發(fā)送到接收者設(shè)備的通信?！翱蛻舳讼ⅰ被蚱渥兎N是在客戶端設(shè)備和網(wǎng)關(guān)設(shè)備之間發(fā)送的消息，且任一設(shè)備可以是發(fā)送者設(shè)備而其他設(shè)備是接收者設(shè)備。“服務(wù)器消息”或其變種是在主機設(shè)備和網(wǎng)關(guān)設(shè)備之間發(fā)送的消息，且任一設(shè)備可以是發(fā)送者設(shè)備而其他設(shè)備是接收者設(shè)備?！坝脩粝ⅰ笔潜话l(fā)送給用戶設(shè)備或從用戶設(shè)備發(fā)送以便傳輸用戶數(shù)據(jù)或信息的消息。根據(jù)本發(fā)明的各實施例，每一消息可以例如在消息的首部中包括源標(biāo)識符、目的地標(biāo)識符、源端口標(biāo)識符、目的地端口標(biāo)識符、同步標(biāo)志和確認標(biāo)志。在一些實施例中，每一消息也可以包括初始序列號和確認序列號。源標(biāo)識符標(biāo)識消息的發(fā)送者設(shè)備，且可以是例如發(fā)送者設(shè)備的IP地址。目的地標(biāo)識符標(biāo)識消息的預(yù)期接收者設(shè)備，且可以是例如接收者設(shè)備的IP地址。源端口標(biāo)識符標(biāo)識與從其發(fā)送消息的發(fā)送者設(shè)備的邏輯端口相關(guān)聯(lián)的端口號。目的地端口標(biāo)識符標(biāo)識與向其發(fā)送消息的接收者設(shè)備的邏輯端口相關(guān)聯(lián)的端口號。當(dāng)消息被描述為從設(shè)備X的端口A發(fā)送給設(shè)備Y的端口B時，應(yīng)理解，該消息包括標(biāo)識設(shè)備X的源標(biāo)識符、標(biāo)識設(shè)備Y的目的地標(biāo)識符、標(biāo)識與設(shè)備X的端口A相關(guān)聯(lián)的端口號的源端口標(biāo)識符以及標(biāo)識與設(shè)備Y的端口B相關(guān)聯(lián)的端口號的目的地端口標(biāo)識符。當(dāng)消息序列被描述為具有一定序列或順序的源端口標(biāo)識符時，應(yīng)理解，按發(fā)送者設(shè)備的邏輯端口的特定序列或順序從發(fā)送者設(shè)備發(fā)送消息序列中的消息。當(dāng)消息序列被描述為具有一定序列或順序的目的地端口標(biāo)識符時，意味著按接收者設(shè)備的邏輯端口的特定序列或順序把消息序列中的消息發(fā)送給接收者設(shè)備。消息的同步標(biāo)志和確認標(biāo)志被用來標(biāo)識消息是否是同步消息、同步確認消息或確認消息。同步消息是被用來發(fā)起與設(shè)備的通信信道的消息，并且由同步標(biāo)志被設(shè)定且確認標(biāo)志未被設(shè)定來標(biāo)識。同步確認消息是被用來確認同步消息的接收的消息，并且由同步標(biāo)志被設(shè)定且確認標(biāo)志被設(shè)定來標(biāo)識。確認消息是被用來確認不同于同步消息的消息的接收(例如，確認同步確認消息的接收)的消息，并且由同步標(biāo)志未被設(shè)定且確認標(biāo)志被設(shè)定來標(biāo)識。在一些實施例中，消息也可以包括初始序列號和確認序列號，初始序列號和確認序列號可以用來判斷一個消息是否響應(yīng)于先前的消息而被發(fā)送。例如，可以從發(fā)送者設(shè)備發(fā)送具有初始序列號X的消息，且接收者設(shè)備可以發(fā)送具有確認序列號X+1的應(yīng)答消息，以便指示該消息是響應(yīng)于來自發(fā)送者設(shè)備的具有初始序列號X的消息而發(fā)送的。因而，如果發(fā)送者設(shè)備發(fā)送多個消息且在應(yīng)答中接收到僅一個消息，則通過把應(yīng)答消息的確認序列號與來自發(fā)送者設(shè)備的消息的初始序列號進行比較，可以判斷應(yīng)答消息響應(yīng)于來自發(fā)送者設(shè)備的哪一消息。圖1闡釋根據(jù)一種實施例的通信網(wǎng)絡(luò)環(huán)境100。通信網(wǎng)絡(luò)環(huán)境100包括客戶端網(wǎng)絡(luò)150(例如，移動運營商網(wǎng)絡(luò)、無線服務(wù)提供商網(wǎng)絡(luò)或提供到商家的連接性的因特網(wǎng)協(xié)議(IP)網(wǎng)絡(luò)等等)和主機網(wǎng)絡(luò)130(例如，支付處理網(wǎng)絡(luò))?？蛻舳司W(wǎng)絡(luò)150是為多個設(shè)備提供通信互連的通信網(wǎng)絡(luò)，這些設(shè)備包括用戶設(shè)備160和客戶端設(shè)備170。用戶設(shè)備160是個人通信設(shè)備，例如移動電話或其他類型的便攜式通信設(shè)備(例如，個人數(shù)字助理、諸如平板計算機或膝上型計算機等的便攜式計算設(shè)備、或可以發(fā)送和接收通信的便攜式多功能設(shè)備，例如便攜式媒體播放器/讀取器、便攜式游戲設(shè)備等等)。用戶設(shè)備160也可以是個人計算機、IP電話或通信上耦合到客戶端網(wǎng)絡(luò)150的其他類型的有線通信設(shè)備?？蛻舳嗽O(shè)備170是客戶端網(wǎng)絡(luò)150的網(wǎng)絡(luò)設(shè)備，該網(wǎng)絡(luò)設(shè)備向客戶端網(wǎng)絡(luò)150提供到諸如主機網(wǎng)絡(luò)130等的其他網(wǎng)絡(luò)的連接。例如，在用戶設(shè)備160是移動電話的一種示例性實施例中，客戶端網(wǎng)絡(luò)150可以包括短消息業(yè)務(wù)中心(SMSC)以便處理來自用戶設(shè)備160的SMS消息。在這樣的實施例中，客戶端設(shè)備170可以是SMSC連接器設(shè)備，該SMSC連接器設(shè)備在客戶端網(wǎng)絡(luò)150和外部網(wǎng)絡(luò)之間中繼SMS消息。在其他實施例中，客戶端設(shè)備170可以是與外部網(wǎng)絡(luò)連接的客戶端網(wǎng)絡(luò)150的其他類型的網(wǎng)絡(luò)設(shè)備。主機網(wǎng)絡(luò)130是在多個主機設(shè)備之間提供互連的通信網(wǎng)絡(luò)，這些主機設(shè)備包括諸如服務(wù)器120等的服務(wù)器和網(wǎng)關(guān)設(shè)備110。在一種示例性實施例中，主機網(wǎng)絡(luò)130可以是諸如支付處理網(wǎng)絡(luò)等的安全網(wǎng)絡(luò)，該安全網(wǎng)絡(luò)實現(xiàn)用于數(shù)據(jù)傳送和存儲的高級安全標(biāo)準(zhǔn)，例如與支付卡行業(yè)(PCI)安全標(biāo)準(zhǔn)兼容的那些安全標(biāo)準(zhǔn)。服務(wù)器120可以是與支付處理實體相關(guān)聯(lián)的服務(wù)器計算機，支付處理實體例如是收單機構(gòu)、發(fā)卡機構(gòu)或其他金融或銀行機構(gòu)。網(wǎng)關(guān)設(shè)備110是主機網(wǎng)絡(luò)130的網(wǎng)絡(luò)設(shè)備，該網(wǎng)絡(luò)設(shè)備提供把主機網(wǎng)絡(luò)130連接到諸如客戶端網(wǎng)絡(luò)150等的外部網(wǎng)絡(luò)的接口。網(wǎng)關(guān)設(shè)備110可以充當(dāng)防火墻，以便防止外部網(wǎng)絡(luò)上的設(shè)備對主機網(wǎng)絡(luò)130的未經(jīng)授權(quán)的訪問。網(wǎng)關(guān)設(shè)備110可以施加訪問控制來判斷允許哪一外部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)的設(shè)備與諸如服務(wù)器120等的主機網(wǎng)絡(luò)130的其他設(shè)備通信。此外，由于在主機網(wǎng)絡(luò)130和諸如客戶端網(wǎng)絡(luò)150等的外部網(wǎng)絡(luò)之間各安全協(xié)議(且也可能還有通信協(xié)議)可以不同，網(wǎng)關(guān)設(shè)備110也可以提供協(xié)議轉(zhuǎn)換或協(xié)議變換功能，以便確保在主機網(wǎng)絡(luò)130中的設(shè)備和外部網(wǎng)絡(luò)中的設(shè)備之間的互操作性。應(yīng)明白，盡管網(wǎng)關(guān)設(shè)備110被示出為通信上耦合到客戶端網(wǎng)絡(luò)150的客戶端設(shè)備170和主機網(wǎng)絡(luò)130的服務(wù)器120，但網(wǎng)關(guān)設(shè)備110也可以通信上耦合到客戶端網(wǎng)絡(luò)150的其他類型的設(shè)備和主機網(wǎng)絡(luò)130的其他類型的設(shè)備。此外，在客戶端設(shè)備170和網(wǎng)關(guān)設(shè)備110之間也可以存在一個或多個中間網(wǎng)絡(luò)設(shè)備，以及/或者在網(wǎng)關(guān)設(shè)備110和服務(wù)器120之間也可以存在一個或多個中間網(wǎng)絡(luò)設(shè)備。網(wǎng)關(guān)設(shè)備圖2闡釋根據(jù)本發(fā)明的各種實施例的網(wǎng)關(guān)設(shè)備210。網(wǎng)關(guān)設(shè)備210包括訪問控制模塊212、連接到諸如客戶端網(wǎng)絡(luò)150等的外部網(wǎng)絡(luò)的客戶端接口216以及連接到諸如主機網(wǎng)絡(luò)130等的網(wǎng)關(guān)設(shè)備210的主機網(wǎng)絡(luò)的主機接口218。網(wǎng)關(guān)設(shè)備210也可以包括協(xié)議轉(zhuǎn)換模塊213和硬件安全模塊(HSM)240。網(wǎng)關(guān)設(shè)備210可以包括被耦合到存儲機器可執(zhí)行代碼的存儲器的一個或多個處理器，這些機器可執(zhí)行代碼實現(xiàn)網(wǎng)關(guān)設(shè)備210的一個或多個組件，例如訪問控制模塊212和/或協(xié)議轉(zhuǎn)換模塊213?？蛻舳私涌?16包括多個客戶端端口217(1)-217(n)。應(yīng)注意，客戶端端口217(1)-217(n)是邏輯端口，且客戶端接口216可以配置有任何數(shù)量的客戶端端口217(1)-217(n)?？蛻舳硕丝?17(1)-217(n)中的每一個與客戶端接口216上的端口號相關(guān)聯(lián)，且每一客戶端端口可以被用來向通信上耦合到客戶端接口216的客戶端設(shè)備發(fā)送消息以及從其接收消息。主機接口218包括多個主機端口219(1)-219(n)。應(yīng)注意，主機端口219(1)-219(n)是邏輯端口，且主機接口218可以配置有任何數(shù)量的主機端口219(1)-219(n)。主機端口219(1)-219(n)中的每一個與主機接口218上的端口號相關(guān)聯(lián)，且每一主機端口可以向通信上耦合到主機接口217的主機網(wǎng)絡(luò)上的設(shè)備發(fā)送消息和從其接收消息。應(yīng)理解，在一些實施例中，可以在相同的物理接口上實現(xiàn)帶有客戶端端口217(1)-217(n)的客戶端接口216和帶有主機端口219(1)-21(n)的主機接口218。訪問控制模塊212建立、控制和管理在通信上耦合到客戶端接口216的客戶端設(shè)備(例如，客戶端設(shè)備170)和通信上耦合到主機接口218的主機設(shè)備(例如，服務(wù)器120)之間的通信信道。訪問控制模塊可以通過網(wǎng)關(guān)設(shè)備210在客戶端端口和主機端口之間建立連接，以便在客戶端設(shè)備和主機設(shè)備之間實現(xiàn)通信信道。訪問控制模塊212包括其中存儲的一組訪問規(guī)則，這些訪問規(guī)則指定外部網(wǎng)絡(luò)的哪些客戶端設(shè)備得到授權(quán)與網(wǎng)關(guān)設(shè)備210的主機網(wǎng)絡(luò)的哪些主機設(shè)備通信。該組訪問規(guī)則也可以指定通過網(wǎng)關(guān)設(shè)備210建立的每一通信信道可以攜帶或支持什么類型的通信量(即通信協(xié)議)。根據(jù)本發(fā)明的各實施例，該組訪問規(guī)則包括預(yù)先確定的消息序列，網(wǎng)關(guān)設(shè)備310可以使用這些預(yù)先確定的消息序列認證通信上耦合到客戶端接口216的客戶端設(shè)備，以判斷客戶端設(shè)備是否得到允許與主機設(shè)備通信的經(jīng)授權(quán)客戶端設(shè)備。預(yù)先確定的消息序列可以是客戶端設(shè)備、一種類型的客戶端設(shè)備、一組客戶端設(shè)備或客戶端網(wǎng)絡(luò)專用的。換句話說，可以是每個客戶端設(shè)備、每種類型的客戶端設(shè)備、每組客戶端設(shè)備或每個客戶端網(wǎng)絡(luò)都有預(yù)先確定的消息序列。預(yù)先確定的消息序列可以是網(wǎng)關(guān)設(shè)備210期望在客戶端設(shè)備經(jīng)過認證并得到允許與主機設(shè)備通信之前從經(jīng)授權(quán)客戶端設(shè)備接收到的預(yù)先確定的消息序列，或者可以是網(wǎng)關(guān)設(shè)備210發(fā)送出去的、并且期望直到網(wǎng)關(guān)設(shè)備210已經(jīng)完成發(fā)送整個預(yù)先確定的消息序列之前經(jīng)授權(quán)客戶端設(shè)備都忽略的預(yù)先確定的消息序列，或者可以是兩者的組合。例如，如果在客戶端接口216上接收到的來自外部網(wǎng)絡(luò)的客戶端設(shè)備的消息序列匹配訪問規(guī)則中為該客戶端設(shè)備所指定的預(yù)先確定的消息序列，那么，客戶端設(shè)備可以得到認證和判斷為經(jīng)授權(quán)客戶端設(shè)備。然后，訪問控制模塊212可以通過網(wǎng)關(guān)設(shè)備210在該客戶端設(shè)備和主機網(wǎng)絡(luò)上的主機設(shè)備之間建立通信信道。如果在客戶端接口216上接收到的消息的序列不匹配訪問規(guī)則中指定的預(yù)先確定的消息序列，那么，可以確定該客戶端設(shè)備是未經(jīng)授權(quán)的客戶端設(shè)備，且訪問控制模塊212可以拒絕為該客戶端設(shè)備建立通信信道，并拒絕該客戶端設(shè)備訪問主機網(wǎng)絡(luò)。替代地或另外，如果網(wǎng)關(guān)設(shè)備210把預(yù)先確定的消息序列發(fā)送給客戶端設(shè)備，且客戶端設(shè)備不響應(yīng)于該消息，直到網(wǎng)關(guān)設(shè)備210已經(jīng)完成把整個預(yù)先確定的消息序列發(fā)送給該客戶端設(shè)備，那么，該客戶端設(shè)備可以得到認證且判斷為經(jīng)授權(quán)客戶端設(shè)備。然后，訪問控制模塊212可以通過網(wǎng)關(guān)設(shè)備210在該客戶端設(shè)備和主機網(wǎng)絡(luò)上的主機設(shè)備之間建立通信信道。如果該客戶端設(shè)備在網(wǎng)關(guān)設(shè)備210已經(jīng)完成發(fā)送整個預(yù)先確定的消息序列之前響應(yīng)于來自網(wǎng)關(guān)設(shè)備210的消息，那么，可以確定該客戶端設(shè)備是未經(jīng)授權(quán)的客戶端設(shè)備，且訪問控制模塊212可以拒絕為該客戶端設(shè)備建立通信信道，并拒絕該客戶端設(shè)備訪問主機網(wǎng)絡(luò)。該組訪問規(guī)則也可以包括預(yù)先確定的消息序列，網(wǎng)關(guān)設(shè)備210可以使用這些預(yù)先確定的消息序列認證通信上耦合到主機接口218的主機設(shè)備，以判斷主機設(shè)備是否是得到允許從客戶端設(shè)備接收消息并與其通信的經(jīng)授權(quán)主機設(shè)備。預(yù)先確定的消息序列可以是主機設(shè)備、一種類型的主機設(shè)備或主機網(wǎng)絡(luò)的一組主機設(shè)備專用的。換句話說，可以是每個主機設(shè)備、每種類型的主機設(shè)備或每組主機設(shè)備都有預(yù)先確定的消息序列。預(yù)先確定的消息序列可以是在主機設(shè)備得到允許與客戶端設(shè)備通信之前網(wǎng)關(guān)設(shè)備210期望從經(jīng)授權(quán)主機設(shè)備接收的預(yù)先確定的消息序列，或者可以是網(wǎng)關(guān)設(shè)備210發(fā)送出去的、并且期望直到網(wǎng)關(guān)設(shè)備210已經(jīng)完成發(fā)送整個預(yù)先確定的消息序列之前經(jīng)授權(quán)主機設(shè)備都忽略的預(yù)先確定的消息序列，或者可以是兩者的組合。例如，如果在主機接口216上從主機網(wǎng)絡(luò)的主機設(shè)備上接收到的消息序列匹配訪問規(guī)則中為該主機設(shè)備所指定的預(yù)先確定的消息序列，那么，可以確定該主機設(shè)備是得到允許與客戶端設(shè)備通信的經(jīng)授權(quán)主機設(shè)備。然后，訪問控制模塊212可以通過網(wǎng)關(guān)設(shè)備210在該主機設(shè)備和客戶端設(shè)備之間建立通信信道。如果在主機接口216上接收到的消息序列不匹配訪問規(guī)則中指定的預(yù)先確定的消息序列，那么，可以確定該主機設(shè)備是不允許其與客戶端設(shè)備通信的未經(jīng)授權(quán)的主機設(shè)備，且訪問控制模塊212可以拒絕在該主機設(shè)備和客戶端設(shè)備之間建立通信信道。替代地或另外，如果網(wǎng)關(guān)設(shè)備210把預(yù)先確定的消息序列發(fā)送給主機設(shè)備，且主機設(shè)備不響應(yīng)于消息，直到網(wǎng)關(guān)設(shè)備210已經(jīng)完成把整個預(yù)先確定的消息序列發(fā)送給該主機設(shè)備，那么，可以確定該主機設(shè)備是可以與客戶端設(shè)備通信的經(jīng)授權(quán)主機設(shè)備。然后，訪問控制模塊212可以通過網(wǎng)關(guān)設(shè)備210在該主機設(shè)備和客戶端設(shè)備之間建立通信信道。如果該主機設(shè)備在網(wǎng)關(guān)設(shè)備210已經(jīng)完成發(fā)送整個預(yù)先確定的消息序列之前就響應(yīng)于來自網(wǎng)關(guān)設(shè)備210的消息，那么，可以確定該主機設(shè)備是不允許其與客戶端設(shè)備通信的未經(jīng)授權(quán)的主機設(shè)備，且訪問控制模塊212可以拒絕在該主機設(shè)備和客戶端設(shè)備之間建立通信信道。訪問規(guī)則中的預(yù)先確定的消息序列中的每一個可以由消息的消息內(nèi)容定義。例如，每一預(yù)先確定的消息序列可以包括帶有在每一消息的首部中的首部字段中所指示的具體的源和/或目的地端口標(biāo)識符的一個或多個消息，以及/或者每一消息的首部中的標(biāo)志所指示的一種或多種類型的消息(例如，同步消息、同步確認消息和/或確認消息等等)和/或帶有具體的有效載荷或數(shù)據(jù)模式的消息。預(yù)先確定的消息序列中的每一個也可以由消息的時序定義；即是說，每一預(yù)先確定的消息序列可以具有關(guān)于相對于其他消息何時接收或發(fā)送每一消息的時序限制。例如，預(yù)先確定的消息序列可以是其中最后的消息是在接收第一消息的一段時間內(nèi)被接收到的消息序列(例如，在2秒內(nèi)接收整個消息序列)。預(yù)先確定的消息序列可以是其中每一消息是在一個時間間隔內(nèi)被接收到的(例如，每200毫秒接收一個消息)的消息序列，或每一消息是在先前的消息之后特定一段時間內(nèi)被接收到(例如，第二消息是在離開第一消息100毫秒內(nèi)被接收到，第三消息是在離開第二消息50毫秒內(nèi)被接收到等等)。預(yù)先確定的消息序列也可以是其中網(wǎng)關(guān)設(shè)備期望經(jīng)授權(quán)設(shè)備忽略一段時間的消息序列(例如，直到接收最后消息之后2秒之前，客戶端設(shè)備應(yīng)不響應(yīng))。此外，預(yù)先確定的消息序列中的每一個可以由消息內(nèi)容和時序的組合來定義，且每一預(yù)先確定的消息序列可以具有與其他預(yù)先確定的消息序列不同的消息內(nèi)容和/或不同的時序。網(wǎng)關(guān)設(shè)備210也可以包括協(xié)議轉(zhuǎn)換模塊213，協(xié)議轉(zhuǎn)換模塊213存儲關(guān)于網(wǎng)關(guān)設(shè)備可以支持的任何數(shù)量的通信協(xié)議以及外部網(wǎng)絡(luò)和網(wǎng)關(guān)設(shè)備210的主機網(wǎng)絡(luò)的安全協(xié)議的信息。協(xié)議轉(zhuǎn)換模塊213可以與訪問控制模塊212一起用來把在客戶端接口216和主機接口218之間的通信信道上發(fā)送的消息從一種通信協(xié)議轉(zhuǎn)換到另一通信協(xié)議，以提供在外部網(wǎng)絡(luò)的客戶端設(shè)備和網(wǎng)關(guān)設(shè)備210的主機網(wǎng)絡(luò)的主機設(shè)備之間的互操作性。協(xié)議轉(zhuǎn)換模塊213也可以與訪問控制模塊212和HSM240聯(lián)合使用以實現(xiàn)安全協(xié)議，以便把來自外部網(wǎng)絡(luò)的消息改編為符合網(wǎng)關(guān)設(shè)備210的主機網(wǎng)絡(luò)的安全協(xié)議。例如，在一些實施例中，主機網(wǎng)絡(luò)的安全協(xié)議可以指定在主機網(wǎng)絡(luò)中傳送的所有消息都受到消息認證碼和/或散列碼保護。如果來自外部網(wǎng)絡(luò)的消息缺少消息認證碼和/或散列碼，則協(xié)議轉(zhuǎn)換模塊213可以與訪問控制模塊212和HSM240聯(lián)合使用以生成消息認證碼和/或散列碼，并把它們附加到從外部網(wǎng)絡(luò)接收到的消息。在一些實施例中，網(wǎng)關(guān)設(shè)備210也包括聯(lián)邦信息處理標(biāo)準(zhǔn)(FederalInformationProcessingStandard，F(xiàn)IPS)兼容的HSM240。HSM240可以包括一個或多個加密處理器和存儲機器可執(zhí)行代碼的存儲器，這些機器可執(zhí)行代碼實現(xiàn)加密/解密模塊244、消息認證碼/散列模塊242和密鑰存儲246。HSM240提供安全密鑰管理相關(guān)功能，例如密鑰產(chǎn)生、密鑰的安全限制和能力的配置、密鑰備份和恢復(fù)、安全密鑰存儲和密鑰的撤銷和銷毀。HSM240也可以提供防止篡改的機制，該機制提供如果在任何網(wǎng)關(guān)210外做出訪問或篡改HSM240的嘗試就破壞HSM240中的組件和其中存儲的密鑰的高風(fēng)險。加密/解密模塊244可以存儲和執(zhí)行各種加密算法，例如高級加密標(biāo)準(zhǔn)(AES)、數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)、三重數(shù)據(jù)加密標(biāo)準(zhǔn)/算法(TDES/TDEA)、Blowfish、Serpent、Twofish、國際數(shù)據(jù)加密算法(IDEA)、Rivest,Shamir,&Adleman(RSA)、數(shù)字簽名算法(DSA)、Tiny加密算法(TEA)、擴展TEA(XTEA)和/或其他密碼或加密算法。響應(yīng)于來自訪問控制模塊212的加密和解密請求，加密/解密模塊244可以查找所請求的加密算法，從密鑰存儲246獲得任何必要的密鑰，執(zhí)行加密/解密請求，并用經(jīng)加密的/被解密數(shù)據(jù)應(yīng)答訪問控制模塊212。密鑰模塊246存儲在由加密/解密模塊244執(zhí)行的各種加密算法中使用的一組密碼或加密密鑰。加密密鑰可以包括對稱密鑰和/或不對稱密鑰。密鑰模塊246也可以存儲一組種子密鑰，種子密鑰用來在諸如AES等的某些加密算法中初始化加密/解密模塊244，或用來生成在諸如RSA和DSA等的某些加密算法中使用的隨機數(shù)字。沒有在HSM240生產(chǎn)期間中所使用的主密鑰，存儲在密鑰模塊246中的加密密鑰和/或種子密鑰不會被外部源更改。HSM240也可以包括消息認證碼(MAC)/散列模塊242，以便為被發(fā)送給網(wǎng)關(guān)設(shè)備210以及從其發(fā)送的消息生成和驗證MAC和/或散列?？梢詾橄⒒蛳⒌囊徊糠稚蒑AC或散列，以使得接收者可以驗證消息的數(shù)據(jù)完整性和可靠性。在一些實施例中，從外部網(wǎng)絡(luò)接收到的消息可以包括MAC或散列碼。MAC/散列模塊242可以在將消息發(fā)送給網(wǎng)關(guān)設(shè)備210的主機網(wǎng)絡(luò)中的服務(wù)器之前驗證所接收到的信息的MAC或散列碼。如果消息的MAC或散列代碼不能得到驗證，則廢棄該消息以便防止未經(jīng)授權(quán)的消息進入主機網(wǎng)絡(luò)。應(yīng)明白，在一些實施例中，網(wǎng)關(guān)設(shè)備210可以包括或不包括HSM240，且可以使用網(wǎng)關(guān)設(shè)備210的處理器和存儲器來實現(xiàn)HSM240的一個或多個組件。例如，在一種示例性實施例中，網(wǎng)關(guān)設(shè)備210可以包括MAC/散列模塊242，MAC/散列模塊242不是HSM的一部分，而是用網(wǎng)關(guān)設(shè)備210的處理器和存儲器來實現(xiàn)的，并且/或者網(wǎng)關(guān)設(shè)備210可以包括加密/解密模塊244，加密/解密模塊244不是HSM的一部分，而是用網(wǎng)關(guān)設(shè)備210的處理器和存儲器來實現(xiàn)的。使用同步消息序列來建立通信信道的示例性實施例為便于理解，現(xiàn)在將參考具體的實施例描述通過網(wǎng)關(guān)設(shè)備在客戶端網(wǎng)絡(luò)的客戶端設(shè)備和主機網(wǎng)絡(luò)的主機設(shè)備之間建立通信信道的過程。應(yīng)理解，根據(jù)這一示例性實施例描述的特定的消息序列只是根據(jù)本發(fā)明的各實施例使用消息序列來建立通信信道的一個示例，且其他實施例可以使用在其中公開的任何其他消息序列。圖3示出闡釋根據(jù)一種示例性實施例交換消息以便通過網(wǎng)關(guān)設(shè)備310在客戶端網(wǎng)絡(luò)的客戶端設(shè)備370和主機網(wǎng)絡(luò)的服務(wù)器320之間建立通信信道的圖。圖3中帶圓圈的數(shù)字指示傳送消息的順序。應(yīng)理解，在各種實施例中，在客戶端設(shè)備370和網(wǎng)關(guān)設(shè)備310之間交換消息與在網(wǎng)關(guān)設(shè)備310和服務(wù)器320之間交換消息獨立地發(fā)生，且也可以并發(fā)地發(fā)生，且在客戶端設(shè)備370和服務(wù)器320經(jīng)過認證且確定為經(jīng)授權(quán)設(shè)備之后建立在客戶端設(shè)備370和服務(wù)器320之間的通信信道?？蛻舳嗽O(shè)備370是網(wǎng)關(guān)設(shè)備310的主機網(wǎng)絡(luò)外部的客戶端網(wǎng)絡(luò)的一部分。客戶端設(shè)備370包括設(shè)備端口接口376，設(shè)備端口接口376可以具有任何數(shù)量的邏輯設(shè)備端口377(1)-377(n)以便與其他設(shè)備(例如，網(wǎng)關(guān)設(shè)備310)連接，且設(shè)備端口377(1)-377(n)中的每一個與設(shè)備端口接口376上的設(shè)備端口號相關(guān)聯(lián)。網(wǎng)關(guān)設(shè)備310(例如，圖2的網(wǎng)關(guān)設(shè)備210)和服務(wù)器320是主機網(wǎng)絡(luò)的一部分。網(wǎng)關(guān)設(shè)備310包括客戶端接口316和主機接口318，客戶端接口316包括多個邏輯客戶端端口317(1)-317(n)以便與客戶端網(wǎng)絡(luò)的客戶端設(shè)備(例如，客戶端設(shè)備370)連接，主機接口318包括多個邏輯主機端口319(1)-319(n)以便與主機網(wǎng)絡(luò)的主機設(shè)備(例如，服務(wù)器320)連接?？蛻舳硕丝?17(1)-317(n)中的每一個與客戶端接口316上的客戶端端口號相關(guān)聯(lián)，且主機端口319(1)-319(n)中的每一個與主機接口319上的主機端口號相關(guān)聯(lián)。服務(wù)器320包括服務(wù)器端口接口328，服務(wù)器端口接口328具有多個邏輯服務(wù)器端口329(1)-329(n)以便與主機網(wǎng)絡(luò)的其他設(shè)備(例如，網(wǎng)關(guān)設(shè)備310)連接。服務(wù)器端口329(1)-329(n)中的每一個與服務(wù)器端口接口328上的服務(wù)器端口號相關(guān)聯(lián)。通過把客戶端同步消息發(fā)送給網(wǎng)關(guān)設(shè)備310，客戶端設(shè)備370發(fā)起建立到主機網(wǎng)絡(luò)的主機設(shè)備(例如，服務(wù)器320)的通信信道的過程。網(wǎng)關(guān)設(shè)備310被配置為避免響應(yīng)于從外部客戶端網(wǎng)絡(luò)的客戶端設(shè)備接收的客戶端同步消息，除非已經(jīng)接收到預(yù)先確定的客戶端同步消息序列。預(yù)先確定的客戶端同步消息序列僅為網(wǎng)關(guān)設(shè)備310和得到允許與主機網(wǎng)絡(luò)的主機設(shè)備(例如，服務(wù)器320)通信的經(jīng)授權(quán)設(shè)備(例如，客戶端設(shè)備370)知曉。因為網(wǎng)關(guān)設(shè)備310不響應(yīng)于從外部客戶端網(wǎng)絡(luò)的客戶端設(shè)備接收到的客戶端同步消息，除非已經(jīng)接收到預(yù)先確定的客戶端同步消息序列，未經(jīng)授權(quán)的客戶端設(shè)備不可能通過使用端口掃描技術(shù)發(fā)送出隨機同步消息來發(fā)現(xiàn)和連接到網(wǎng)關(guān)設(shè)備310。在一些實施例中，預(yù)先確定的客戶端同步消息序列可以是在客戶端接口316的客戶端端口上按預(yù)先確定的客戶端端口順序接收到的客戶端同步消息序列。換句話說，預(yù)先確定的客戶端同步消息序列可以是帶有預(yù)先確定的順序的目的地端口標(biāo)識符的客戶端同步消息的序列。作為示例，預(yù)先確定的客戶端同步消息序列可以是如下所示：(1)在網(wǎng)關(guān)設(shè)備310的客戶端端口317(1)上接收到的客戶端同步消息；(2)在網(wǎng)關(guān)設(shè)備310的客戶端端口317(n)上接收到的客戶端同步消息；以及(3)在網(wǎng)關(guān)設(shè)備310的客戶端端口317(2)上接收到的客戶端同步消息。應(yīng)理解，預(yù)先確定的客戶端同步消息序列在其他實施例中可以包括任何數(shù)量的客戶端同步消息且可以按任何客戶端端口順序接收。通過把客戶端同步消息381發(fā)送到網(wǎng)關(guān)設(shè)備310，客戶端設(shè)備370發(fā)起建立到網(wǎng)關(guān)310的通信信道的過程?？蛻舳送较?81包括源端口標(biāo)識符以及目的地端口標(biāo)識符，該源端口標(biāo)識符帶有與客戶端設(shè)備370的設(shè)備端口377(3)相關(guān)聯(lián)的設(shè)備端口號，該目的地端口標(biāo)識符帶有與網(wǎng)關(guān)設(shè)備310的客戶端端口317(1)相關(guān)聯(lián)的端口號。應(yīng)注意，根據(jù)這一具體實施例，預(yù)先確定的客戶端同步消息序列不指定應(yīng)當(dāng)從客戶端設(shè)備370的任何具體設(shè)備端口發(fā)送客戶端同步消息。因而，可以從客戶端設(shè)備370的設(shè)備端口377(1)-377(n)中的任何發(fā)送客戶端同步消息381。當(dāng)網(wǎng)關(guān)設(shè)備310在客戶端端口317(1)上接收到客戶端同步消息381時，網(wǎng)關(guān)設(shè)備310最初不響應(yīng)于客戶端同步消息381，這是因為還沒有接收到預(yù)先確定的客戶端同步消息序列。然后，客戶端設(shè)備370把第二客戶端同步消息382從設(shè)備端口377(3)發(fā)送到網(wǎng)關(guān)設(shè)備310的客戶端端口317(n)。網(wǎng)關(guān)設(shè)備310也不響應(yīng)于第二客戶端同步消息382，這是因為網(wǎng)關(guān)設(shè)備310還沒有接收到用來認證客戶端設(shè)備370的整個預(yù)先確定的客戶端同步消息序列。接下來，客戶端設(shè)備370把第三客戶端同步消息383從客戶端設(shè)備370的設(shè)備端口377(3)發(fā)送到網(wǎng)關(guān)設(shè)備310的客戶端端口317(2)。當(dāng)網(wǎng)關(guān)設(shè)備310接收客戶端同步消息383時，通過把所接收的客戶端同步消息381、382和383的序列與被存儲在網(wǎng)關(guān)設(shè)備310的訪問規(guī)則中的預(yù)先確定的客戶端同步消息序列進行比較，網(wǎng)關(guān)設(shè)備310可以認證客戶端設(shè)備370。如果從客戶端設(shè)備370正確接收了網(wǎng)關(guān)設(shè)備310期望從經(jīng)授權(quán)客戶端設(shè)備接收的預(yù)先確定的客戶端同步消息序列，那么，網(wǎng)關(guān)設(shè)備310確定客戶端設(shè)備370是得到允許與主機網(wǎng)絡(luò)的主機設(shè)備(例如，服務(wù)器320)通信的經(jīng)授權(quán)客戶端設(shè)備。然后，網(wǎng)關(guān)設(shè)備310用客戶端同步確認消息384應(yīng)答客戶端設(shè)備370?？蛻舳送酱_認消息384包括目的地端口標(biāo)識符以及源端口標(biāo)識符，該目的地端口標(biāo)識符帶有與客戶端同步消息序列所源自的客戶端設(shè)備370的設(shè)備端口377(3)相關(guān)聯(lián)的設(shè)備端口號，該源端口標(biāo)識符帶有與網(wǎng)關(guān)設(shè)備310的客戶端端口317(4)相關(guān)聯(lián)的端口號。在一些實施例中，客戶端同步確認消息384的源端口標(biāo)識符可以由網(wǎng)關(guān)設(shè)備310用來向客戶端設(shè)備370指出網(wǎng)關(guān)設(shè)備310的客戶端端口中的哪一個將接受連接以便為客戶端設(shè)備370建立通信信道。一旦在設(shè)備端口377(3)上接收到客戶端同步確認消息384，客戶端設(shè)備370就把客戶端確認消息385從設(shè)備端口377(3)發(fā)送到網(wǎng)關(guān)設(shè)備310的客戶端端口317(4)。當(dāng)網(wǎng)關(guān)設(shè)備310接收到客戶端確認消息385時，在網(wǎng)關(guān)設(shè)備310的客戶端端口317(4)上把客戶端設(shè)備370認證為經(jīng)授權(quán)客戶端設(shè)備，且可以在客戶端設(shè)備370和服務(wù)器320之間建立通信信道，以待服務(wù)器320的認證。根據(jù)本發(fā)明的一些實施例，也可以使用僅對網(wǎng)關(guān)設(shè)備310和得到允許與客戶端設(shè)備通信的經(jīng)授權(quán)主機設(shè)備(例如，服務(wù)器320)已知的預(yù)先確定的消息序列建立在網(wǎng)關(guān)設(shè)備310和服務(wù)器320之間的通信信道。這給網(wǎng)關(guān)設(shè)備310提供了認證通信的兩端上的設(shè)備以便確保通過網(wǎng)關(guān)設(shè)備310傳送的通信的發(fā)送者和接收者兩者都是得到授權(quán)相互通信的設(shè)備。在一些實施例中，可以使用按預(yù)先確定的服務(wù)器端口順序從網(wǎng)關(guān)設(shè)備310的主機接口318發(fā)送到服務(wù)器320的服務(wù)器端口接口328的預(yù)先確定的服務(wù)器同步消息序列建立在網(wǎng)關(guān)設(shè)備310和服務(wù)器320之間的通信信道。換句話說，預(yù)先確定的服務(wù)器同步消息序列可以是帶有預(yù)先確定的目的地端口標(biāo)識符序列的服務(wù)器同步消息序列。作為示例，預(yù)先確定的服務(wù)器同步消息序列可以如下所示：(1)被發(fā)送給服務(wù)器320的服務(wù)器端口329(n)的服務(wù)器同步消息；(2)被發(fā)送給服務(wù)器320的服務(wù)器端口329(4)的服務(wù)器同步消息；以及(3)被發(fā)送給服務(wù)器320的服務(wù)器端口329(n)的服務(wù)器同步消息。應(yīng)理解，在其他實施例中，預(yù)先確定的服務(wù)器同步消息序列可以包括不同的數(shù)量的服務(wù)器同步消息且可以按不同的服務(wù)器端口順序接收。通過把服務(wù)器同步消息391發(fā)送到網(wǎng)關(guān)設(shè)備310，網(wǎng)關(guān)設(shè)備310發(fā)起建立到服務(wù)器320的通信信道的過程。服務(wù)器同步消息391包括源端口標(biāo)識符以及目的地端口標(biāo)識符，該源端口標(biāo)識符帶有與網(wǎng)關(guān)設(shè)備310的主機端口319(2)相關(guān)聯(lián)的主機端口號，該目的地端口標(biāo)識符帶有與服務(wù)器320的服務(wù)器端口329(n)相關(guān)聯(lián)的服務(wù)器端口號。當(dāng)服務(wù)器320在服務(wù)器端口329(n)上接收到服務(wù)器同步消息391時，服務(wù)器320最初不響應(yīng)于服務(wù)器同步消息391。然后，網(wǎng)關(guān)設(shè)備310把第二服務(wù)器同步消息392從主機端口319(2)發(fā)送到服務(wù)器320的服務(wù)器端口329(4)。因為還沒有接收到服務(wù)器320期望從網(wǎng)關(guān)設(shè)備310得到的預(yù)先確定的服務(wù)器同步消息序列，服務(wù)器320也不響應(yīng)于第二客戶端同步消息392。接下來，網(wǎng)關(guān)設(shè)備310將第三服務(wù)器同步消息393從主機端口319(2)發(fā)送到服務(wù)器320的客戶端端口329(n)。當(dāng)服務(wù)器320接收服務(wù)器同步消息393時，服務(wù)器320用同步確認消息394應(yīng)答網(wǎng)關(guān)設(shè)備310，這是因為從網(wǎng)關(guān)設(shè)備310正確地接收到了預(yù)期的預(yù)先確定的服務(wù)器同步消息序列。預(yù)先確定的服務(wù)器同步消息序列也可以由網(wǎng)關(guān)設(shè)備310用來認證服務(wù)器320，這是因為經(jīng)授權(quán)主機設(shè)備將不響應(yīng)于任何服務(wù)器同步消息，直到已經(jīng)從網(wǎng)關(guān)設(shè)備310發(fā)送整個預(yù)先確定的服務(wù)器同步消息序列。因而，如果在網(wǎng)關(guān)設(shè)備310已經(jīng)完成發(fā)送整個預(yù)先確定的服務(wù)器同步消息序列之前，網(wǎng)關(guān)設(shè)備310從主機設(shè)備接收到服務(wù)器同步確認消息，那么，網(wǎng)關(guān)設(shè)備310可以確定主機設(shè)備不是經(jīng)授權(quán)的主機設(shè)備，這是因為經(jīng)授權(quán)的主機設(shè)備在接收整個預(yù)先確定的服務(wù)器同步消息序列之前不會發(fā)送服務(wù)器同步確認消息。返回參見圖3，服務(wù)器同步確認消息394包括目的地端口標(biāo)識符以及源端口標(biāo)識符，該目的地端口標(biāo)識符帶有與服務(wù)器同步消息序列所起源的網(wǎng)關(guān)設(shè)備320的主機端口319(2)相關(guān)聯(lián)的主機端口號，該源端口標(biāo)識符帶有與服務(wù)器320的服務(wù)器端口329(n)相關(guān)聯(lián)的服務(wù)器端口號。在一些實施例中，服務(wù)器同步確認消息394的源端口標(biāo)識符可以由服務(wù)器320用來向網(wǎng)關(guān)設(shè)備310指出服務(wù)器320的服務(wù)器端口中的哪一個將接受到網(wǎng)關(guān)設(shè)備310的連接以便建立通信信道。一旦在主機端口319(2)上接收到服務(wù)器同步確認消息394，網(wǎng)關(guān)設(shè)備310就把服務(wù)器確認消息395從主機端口319(2)發(fā)送到服務(wù)器320的服務(wù)器端口329(2)。然后，在網(wǎng)關(guān)設(shè)備310的主機端口319(2)上把服務(wù)器320認證為經(jīng)授權(quán)主機設(shè)備，且可以在客戶端設(shè)備370和服務(wù)器320之間建立通信信道，以待客戶端設(shè)備370的認證。一旦客戶端設(shè)備370和服務(wù)器320兩者均被網(wǎng)關(guān)設(shè)備310認證為被允許相互通信的經(jīng)授權(quán)設(shè)備，則網(wǎng)關(guān)設(shè)備310通過網(wǎng)關(guān)設(shè)備310在客戶端設(shè)備370和服務(wù)器320之間建立通信信道。然后，客戶端設(shè)備370可以通過網(wǎng)關(guān)設(shè)備310在已建立的通信信道上向服務(wù)器320發(fā)送消息和從其接收消息。在上面的示例中，用于認證設(shè)備和在設(shè)備之間建立通信信道的預(yù)先確定的消息序列是預(yù)先確定的同步消息序列。在其他實施例中，用于認證設(shè)備和在設(shè)備之間建立通信信道的預(yù)先確定的消息序列可以替代地或另外包括預(yù)先確定的同步確認消息序列和/或預(yù)先確定的確認消息序列。使用同步消息序列和同步確認消息序列來建立通信信道的示例性實施例圖4示出闡釋根據(jù)另一示例性實施例交換消息以便通過網(wǎng)關(guān)設(shè)備310在客戶端網(wǎng)絡(luò)的客戶端設(shè)備370和主機網(wǎng)絡(luò)的服務(wù)器320建立通信信道的圖。在這一具體實施例中，在設(shè)備之間建立通信信道的預(yù)先確定的消息序列包括預(yù)先確定的同步消息序列和預(yù)先確定的同步確認消息序列兩者。作為示例，用來認證客戶端設(shè)備370的預(yù)先確定的消息序列可以是如下所示：(1)在網(wǎng)關(guān)設(shè)備310的客戶端端口317(1)上接收到的客戶端同步消息；(2)在網(wǎng)關(guān)設(shè)備310的客戶端端口317(n)上接收到的客戶端同步消息；(3)在網(wǎng)關(guān)設(shè)備310的客戶端端口317(2)上接收到的客戶端同步消息；(4)被發(fā)送給客戶端設(shè)備370的設(shè)備端口377(2)的客戶端同步確認消息；以及(5)被發(fā)送給客戶端設(shè)備370的設(shè)備端口377(1)的客戶端同步確認消息。根據(jù)這一具體實施例，如果接收到上面的客戶端同步消息序列，且如果直到整個預(yù)先確定的客戶端同步確認消息序列已經(jīng)被發(fā)送給客戶端設(shè)備370之前客戶端設(shè)備370不響應(yīng)于客戶端同步確認消息，則把客戶端設(shè)備370認證為經(jīng)授權(quán)客戶端設(shè)備。如果在上面的消息序列期間在客戶端設(shè)備370和網(wǎng)關(guān)設(shè)備310之間傳送了任何附加中間消息，或者如果相應(yīng)的設(shè)備沒有接收到整個消息序列(客戶端同步消息序列和客戶端同步確認消息序列兩者)，那么網(wǎng)關(guān)設(shè)備310可以拒絕客戶端設(shè)備370訪問網(wǎng)關(guān)設(shè)備310的主機網(wǎng)絡(luò)。應(yīng)理解，預(yù)先確定的消息序列不限于上面給定的特定示例，且在其他實施例中，預(yù)先確定的消息序列可以包括按不同的客戶端端口順序接收的不同數(shù)量的客戶端同步消息和/或發(fā)送給不同順序的設(shè)備端口的不同數(shù)量的客戶端同步確認消息。此外，替代地或另外，預(yù)先確定的消息序列可以包括預(yù)先確定的客戶端確認消息序列。通過把客戶端同步消息481發(fā)送給網(wǎng)關(guān)設(shè)備310，客戶端設(shè)備370發(fā)起建立到網(wǎng)關(guān)310的通信信道的過程?？蛻舳送较?81包括源端口標(biāo)識符以及目的地端口標(biāo)識符，該源端口標(biāo)識符帶有與客戶端設(shè)備370的設(shè)備端口377(3)相關(guān)聯(lián)的設(shè)備端口號，該目的地端口標(biāo)識符帶有與網(wǎng)關(guān)設(shè)備310的客戶端端口317(1)相關(guān)聯(lián)的客戶端端口號。當(dāng)網(wǎng)關(guān)設(shè)備310在客戶端端口317(1)上接收到客戶端同步消息481時，網(wǎng)關(guān)設(shè)備310最初不響應(yīng)于客戶端同步消息481。然后，客戶端設(shè)備370將第二客戶端同步消息482從設(shè)備端口377(3)發(fā)送到網(wǎng)關(guān)設(shè)備310的客戶端端口317(n)。因為網(wǎng)關(guān)設(shè)備310還沒有接收到預(yù)先確定的客戶端同步消息序列，所以網(wǎng)關(guān)設(shè)備310也不響應(yīng)于第二客戶端同步消息482。接下來，根據(jù)預(yù)先確定的客戶端同步消息序列，客戶端設(shè)備370把第三客戶端同步消息483從客戶端設(shè)備370的設(shè)備端口377(3)發(fā)送到網(wǎng)關(guān)設(shè)備310的客戶端端口317(2)。當(dāng)網(wǎng)關(guān)設(shè)備310接收到客戶端同步消息483時，響應(yīng)于已經(jīng)接收到預(yù)先確定的客戶端同步消息序列，網(wǎng)關(guān)設(shè)備310用客戶端同步確認消息384應(yīng)答客戶端設(shè)備370?？蛻舳送酱_認消息384包括源端口標(biāo)識符，該源端口標(biāo)識符帶有與網(wǎng)關(guān)設(shè)備310的客戶端端口317(4)相關(guān)聯(lián)的客戶端端口號，該客戶端端口號可以由網(wǎng)關(guān)設(shè)備310用來向客戶端設(shè)備370指出網(wǎng)關(guān)設(shè)備310的哪一客戶端端口將接受來自客戶端設(shè)備370的連接以便建立通信信道。根據(jù)這一示例性實施例的預(yù)先確定的客戶端同步確認消息序列，客戶端同步確認消息384也包括目的地端口標(biāo)識符，該目的地端口標(biāo)識符帶有與客戶端設(shè)備370的設(shè)備端口377(2)相關(guān)聯(lián)的設(shè)備端口號。一旦在設(shè)備端口377(2)上接收到客戶端同步確認消息384，客戶端設(shè)備370最初不響應(yīng)于客戶端同步確認消息384，這是因為客戶端設(shè)備370還沒有接收到預(yù)先確定客戶端同步確認消息序列。如果網(wǎng)關(guān)設(shè)備310在網(wǎng)關(guān)設(shè)備發(fā)送客戶端同步確認消息385之前響應(yīng)于客戶端同步確認消息384接收到來自客戶端設(shè)備的客戶端確認消息，則網(wǎng)關(guān)設(shè)備310可以確定該客戶端設(shè)備不是經(jīng)授權(quán)客戶端設(shè)備，這是因為直到預(yù)先確定的客戶端同步確認消息序列已經(jīng)被接收之前，經(jīng)授權(quán)客戶端設(shè)備不會發(fā)送客戶端確認消息。接下來，根據(jù)預(yù)先確定的客戶端同步確認消息序列，網(wǎng)關(guān)設(shè)備把客戶端同步確認消息485從客戶端端口317(4)發(fā)送到客戶端設(shè)備370的設(shè)備端口377(1)。一旦接收到客戶端同步確認消息485，響應(yīng)于已經(jīng)接收到預(yù)先確定的客戶端同步確認消息序列，客戶端設(shè)備370用客戶端確認消息486應(yīng)答網(wǎng)關(guān)設(shè)備310?？蛻舳舜_認消息486包括源端口標(biāo)識符，該源端口標(biāo)識符帶有與客戶端設(shè)備370的設(shè)備端口377(n)相關(guān)聯(lián)的設(shè)備端口號，該設(shè)備端口號可以由客戶端設(shè)備370用來向網(wǎng)關(guān)設(shè)備310指出客戶端設(shè)備370的哪一設(shè)備端口將被用于連接到網(wǎng)關(guān)設(shè)備310以便建立通信信道?？蛻舳舜_認消息486也包括目的地端口標(biāo)識符，該目的地端口標(biāo)識符帶有與客戶端確認消息486和487起源于其中的網(wǎng)關(guān)設(shè)備310的客戶端端口317(4)相關(guān)聯(lián)的客戶端端口號。當(dāng)網(wǎng)關(guān)設(shè)備310接收到客戶端確認消息486時，在網(wǎng)關(guān)設(shè)備310上的客戶端端口317(4)上把客戶端設(shè)備370認證為經(jīng)授權(quán)客戶端設(shè)備，且可以在客戶端設(shè)備370和服務(wù)器320之間建立通信信道，以待服務(wù)器320的認證。根據(jù)本發(fā)明的一些實施例，可以使用預(yù)先確定的消息序列來建立在網(wǎng)關(guān)設(shè)備310和服務(wù)器320之間的通信信道，該預(yù)先確定的消息序列包括預(yù)先確定的服務(wù)器同步消息序列和/或預(yù)先確定的服務(wù)器同步確認消息序列和/或預(yù)先確定的服務(wù)器確認消息序列。認證服務(wù)器320向網(wǎng)關(guān)設(shè)備310提供在通信的兩端上認證設(shè)備的能力，以便確保通過網(wǎng)關(guān)設(shè)備310傳送的通信的發(fā)送者設(shè)備和接收者設(shè)備兩者是被授權(quán)相互通信的設(shè)備。在如圖4中所示出的示例性實施例中，在網(wǎng)關(guān)設(shè)備310和服務(wù)器320之間建立通信信道的預(yù)先確定的消息序列包括預(yù)先確定的同步消息序列和預(yù)先確定的同步確認消息序列兩者。作為示例，被用于認證服務(wù)器320的預(yù)先確定的消息序列可以包括以下：(1)在服務(wù)器320的服務(wù)器端口329(4)上接收到的服務(wù)器同步消息；(2)在服務(wù)器320的服務(wù)器端口329(1)上接收到的服務(wù)器同步消息；(3)在服務(wù)器320的服務(wù)器端口329(n)上接收到的服務(wù)器同步消息；(4)在網(wǎng)關(guān)設(shè)備310的主機端口319(n)上接收到的服務(wù)器同步確認消息；以及(5)在網(wǎng)關(guān)設(shè)備310的主機端口319(4)上接收到的服務(wù)器同步確認消息。在這一示例性實施例中，如果直到整個預(yù)先確定的服務(wù)器同步消息序列已經(jīng)被發(fā)送給服務(wù)器320之前服務(wù)器320不響應(yīng)于服務(wù)器同步消息，且如果從服務(wù)器320接收到上面的預(yù)先確定的服務(wù)器同步確認消息序列，則服務(wù)器320被認證為與客戶端設(shè)備通信的經(jīng)授權(quán)主機設(shè)備。如果在上面的消息序列期間在網(wǎng)關(guān)設(shè)備310和服務(wù)器320之間傳送了任何附加中間消息，或者如果相應(yīng)的設(shè)備沒有接收到整個消息序列(服務(wù)器同步消息序列和服務(wù)器同步確認消息序列兩者)，那么網(wǎng)關(guān)設(shè)備310可以拒絕服務(wù)器320向客戶端設(shè)備370發(fā)送消息或從其接收消息。應(yīng)理解，預(yù)先確定的消息序列不限于上面給定的特定示例，且在其他實施例中，預(yù)先確定的消息序列可以包括被發(fā)送給服務(wù)器320上的不同順序的服務(wù)器端口的不同數(shù)量的服務(wù)器同步消息和/或在網(wǎng)關(guān)設(shè)備310上不同順序的主機端口上接收的不同數(shù)量的服務(wù)器同步確認消息。此外，替代地或另外，預(yù)先確定的消息序列可以包括預(yù)先確定的服務(wù)器確認消息序列。通過把服務(wù)器同步消息491發(fā)送給服務(wù)器320，網(wǎng)關(guān)設(shè)備310發(fā)起認證服務(wù)器320的過程。根據(jù)這一示例性實施例的預(yù)先確定的服務(wù)器同步消息序列，服務(wù)器同步消息491包括源端口標(biāo)識符以及目的地端口標(biāo)識符，該源端口標(biāo)識符帶有與網(wǎng)關(guān)設(shè)備310的主機端口319(2)相關(guān)聯(lián)的主機端口號，該目的地端口標(biāo)識符帶有與服務(wù)器320的服務(wù)器端口329(4)相關(guān)聯(lián)的服務(wù)器端口號。當(dāng)服務(wù)器320在服務(wù)器端口329(4)上接收服務(wù)器同步消息491時，服務(wù)器320最初不響應(yīng)于服務(wù)器同步消息491。然后，根據(jù)預(yù)先確定的服務(wù)器同步消息序列，網(wǎng)關(guān)設(shè)備310將第二客戶端同步消息492從主機端口319(2)發(fā)送到服務(wù)器320的服務(wù)器端口329(n)。因為服務(wù)器320并未接收到預(yù)先確定的服務(wù)器客戶端同步消息序列中的全部消息，所以服務(wù)器320也不響應(yīng)于這種第二服務(wù)器同步消息492。接下來，網(wǎng)關(guān)設(shè)備310把第三服務(wù)器同步消息493從主機端口319(2)發(fā)送到服務(wù)器320的服務(wù)器端口329(n)。當(dāng)服務(wù)器320接收到服務(wù)器同步消息493時，響應(yīng)于已經(jīng)接收到預(yù)先確定的服務(wù)器同步消息序列，服務(wù)器320用服務(wù)器同步確認消息494應(yīng)答網(wǎng)關(guān)設(shè)備310。如果網(wǎng)關(guān)設(shè)備310在網(wǎng)關(guān)設(shè)備310發(fā)送服務(wù)器同步消息493之前響應(yīng)于服務(wù)器同步消息491或492從主機設(shè)備(例如，主機網(wǎng)絡(luò)的服務(wù)器)接收到服務(wù)器同步確認消息，則網(wǎng)關(guān)設(shè)備310可以確定該主機設(shè)備不是經(jīng)授權(quán)主機設(shè)備，這是因為直到已經(jīng)接收到預(yù)先確定的服務(wù)器同步消息序列之前，經(jīng)授權(quán)主機設(shè)備不會發(fā)送服務(wù)器同步確認消息。返回參見圖4，服務(wù)器同步確認消息394包括源端口標(biāo)識符，該源端口標(biāo)識符帶有與服務(wù)器320的服務(wù)器端口329(1)相關(guān)聯(lián)的服務(wù)器端口號，該服務(wù)器端口號可以由服務(wù)器320用來向網(wǎng)關(guān)設(shè)備310指出服務(wù)器320的哪一服務(wù)器端口將接受與網(wǎng)關(guān)設(shè)備310的連接以便建立通信信道。在這一示例性實施例中，根據(jù)預(yù)先確定的服務(wù)器同步確認消息序列，服務(wù)器同步確認消息394也包括目的地端口標(biāo)識符，該目的地端口標(biāo)識符帶有與網(wǎng)關(guān)設(shè)備310的主機端口319(n)相關(guān)聯(lián)的主機端口號。一旦在主機端口319(n)上接收到服務(wù)器同步確認消息394，網(wǎng)關(guān)設(shè)備310最初不響應(yīng)于同步確認消息394，這是因為網(wǎng)關(guān)設(shè)備310還沒有接收到預(yù)先確定的服務(wù)器同步確認消息序列。接下來，根據(jù)預(yù)先確定的服務(wù)器同步確認消息序列，服務(wù)器320把第二同步確認消息495從服務(wù)器端口329(1)發(fā)送到網(wǎng)關(guān)設(shè)備310的主機端口319(4)。一旦接收到服務(wù)器同步確認消息495，響應(yīng)于已經(jīng)接收到預(yù)先確定的服務(wù)器同步確認消息序列中的所有消息，網(wǎng)關(guān)設(shè)備310用服務(wù)器確認消息496應(yīng)答服務(wù)器320。應(yīng)注意，如果網(wǎng)關(guān)設(shè)備310從未接收服務(wù)器同步確認消息495，或者在預(yù)先確定的時間量內(nèi)無法接收到它，那么，網(wǎng)關(guān)設(shè)備310可以確定該服務(wù)器可能是未經(jīng)授權(quán)的主機設(shè)備并拒絕建立到服務(wù)器320的通信信道。返回參見圖4，服務(wù)器確認消息496包括源端口標(biāo)識符，該的源端口標(biāo)識符帶有與網(wǎng)關(guān)設(shè)備310的主機端口319(3)相關(guān)聯(lián)的端口號，該端口號可以由網(wǎng)關(guān)設(shè)備310用來向服務(wù)器320指出網(wǎng)關(guān)設(shè)備310的哪一主機端口將接受到服務(wù)器320的連接以便建立通信信道。服務(wù)器確認消息496也包括目的地端口標(biāo)識符，該目的地端口標(biāo)識符帶有與服務(wù)器同步確認消息494和495從中起源的服務(wù)器320的服務(wù)器端口329(1)相關(guān)聯(lián)的服務(wù)器端口號。然后，服務(wù)器320在網(wǎng)關(guān)設(shè)備310的主機端口319(2)上被認證為經(jīng)授權(quán)主機設(shè)備，且在客戶端設(shè)備370和服務(wù)器320之間建立通信信道，以待客戶端設(shè)備370的認證。一旦客戶端設(shè)備370和服務(wù)器320兩者被網(wǎng)關(guān)設(shè)備310認證為是被允許相互通信的經(jīng)授權(quán)設(shè)備，網(wǎng)關(guān)設(shè)備310就通過網(wǎng)關(guān)設(shè)備310在客戶端設(shè)備370和服務(wù)器320之間建立通信信道。然后，客戶端設(shè)備370可以通過網(wǎng)關(guān)設(shè)備310在已建立的通信信道上向服務(wù)器320發(fā)送消息和從其接收消息。根據(jù)各種實施例，在客戶端設(shè)備370和服務(wù)器320之間建立的通信信道可以是攜帶經(jīng)加密的用戶消息或受到消息認證碼或散列碼保護的用戶消息的安全通信信道。這提供了額外的安全級別，以確保只有源自用戶設(shè)備的有效消息才會從客戶端設(shè)備370發(fā)送到服務(wù)器320。例如，來自用戶設(shè)備的用戶消息可以以經(jīng)加密形式由客戶端設(shè)備370接收，并且/或者把MAC/散列碼附加到用戶消息。在客戶端設(shè)備370把這些用戶消息轉(zhuǎn)發(fā)給網(wǎng)關(guān)設(shè)備310時，網(wǎng)關(guān)設(shè)備310不會未經(jīng)審查就自動地把這些用戶消息轉(zhuǎn)發(fā)給服務(wù)器320。相反，網(wǎng)關(guān)設(shè)備310可以使用對應(yīng)于用戶設(shè)備用來加密消息的密鑰的對稱密鑰或不對稱密鑰來解密用戶消息，以判斷用戶消息是否起源于經(jīng)授權(quán)用戶設(shè)備。如果解密揭示了用戶消息是不期望的或未知的格式，則網(wǎng)關(guān)設(shè)備310可以拋棄用戶消息以便防止未經(jīng)授權(quán)的或不期望的消息達到服務(wù)器320。網(wǎng)關(guān)設(shè)備310也可以在所接收的用戶消息上生成MAC/散列碼并驗證在所接收的用戶消息中的MAC/散列碼匹配所生成的代碼。如果所生成的MAC/散列碼不匹配所接收的MAC/散列碼，則網(wǎng)關(guān)設(shè)備310可以拋棄用戶消息以便防止未經(jīng)授權(quán)的或不期望的消息達到服務(wù)器320。此外，根據(jù)主機網(wǎng)絡(luò)安全協(xié)議，通過重新加密用戶消息和/或添加或代替用戶消息的MAC/散列碼，網(wǎng)關(guān)設(shè)備310也可以重新劃分用戶消息以供在主機網(wǎng)絡(luò)中傳送。在一種示例性實施例中，服務(wù)器320可以是金融或銀行業(yè)務(wù)實體的服務(wù)器，且主機網(wǎng)絡(luò)是支付處理網(wǎng)絡(luò)。在一種實施例中，客戶端設(shè)備310可以通信上耦合到無線提供商網(wǎng)絡(luò)或移動運營商網(wǎng)絡(luò)，且客戶端設(shè)備310傳送給服務(wù)器320的用戶消息是起源于諸如移動電話等的移動設(shè)備的用戶消息，例如短消息服務(wù)(SMS)消息或非結(jié)構(gòu)化補充業(yè)務(wù)數(shù)據(jù)(USSD)消息。在另一實施例中，客戶端設(shè)備310可以通信上耦合到商家的網(wǎng)絡(luò)，且客戶端設(shè)備310傳送給服務(wù)器320的用戶消息是起源于諸如移動電話等的移動設(shè)備的用戶消息，例如移動設(shè)備已經(jīng)發(fā)送給商家的銷售點(POS)終端的射頻(RF)通信或近場通信(NFC)通信。這些和其他實施例中的用戶消息可以是諸如支付事務(wù)/授權(quán)請求等的與支付交易相關(guān)聯(lián)的消息。消息序列的附加實施例盡管在以上對各種實施例的描述中，已經(jīng)按照以預(yù)先確定的目的地端口順序所接收的消息序列(或換句話說，具有預(yù)先確定的目的地端口標(biāo)識符順序的消息序列)描述了預(yù)先確定的消息序列，但被用來認證設(shè)備的預(yù)先確定的消息序列不限于此。在其他實施例中，替代地或另外，預(yù)先確定的消息序列可以包括預(yù)先確定的順序的源端口標(biāo)識符或以預(yù)先確定的源端口順序發(fā)送。圖5A-C均闡釋根據(jù)各種實施例可以由網(wǎng)關(guān)設(shè)備510用來認證發(fā)送者設(shè)備590的預(yù)先確定的消息序列。盡管預(yù)先確定的消息序列被示出為包括三個消息，但應(yīng)明白，預(yù)先確定的消息序列可以包括任何數(shù)量的消息，例如，兩個或更多個消息、五個或更個多消息、或十個或更多個消息。發(fā)送者設(shè)備590可以是客戶端網(wǎng)絡(luò)的客戶端設(shè)備、諸如網(wǎng)關(guān)設(shè)備510的主機網(wǎng)絡(luò)的服務(wù)器等的主機設(shè)備、或嘗試通過網(wǎng)關(guān)設(shè)備510建立通信信道的其他類型的設(shè)備。發(fā)送者設(shè)備590包括帶有用于連接到網(wǎng)關(guān)設(shè)備510的邏輯發(fā)送者端口的發(fā)送者端口接口595。網(wǎng)關(guān)設(shè)備510可以是根據(jù)以上所描述的任何實施例的網(wǎng)關(guān)設(shè)備。網(wǎng)關(guān)設(shè)備510包括至少一個帶有用于連接到發(fā)送者設(shè)備590的邏輯網(wǎng)關(guān)端口的網(wǎng)關(guān)端口接口515。在發(fā)送者設(shè)備590是客戶端網(wǎng)絡(luò)的客戶端設(shè)備的各實施例中，網(wǎng)關(guān)端口接口515可以是客戶端端口接口，且網(wǎng)關(guān)端口可以是邏輯客戶端端口。在發(fā)送者設(shè)備590是主機網(wǎng)絡(luò)中的服務(wù)器或其他類型的設(shè)備的各實施例中，網(wǎng)關(guān)端口接口515可以是主機端口接口，且網(wǎng)關(guān)端口可以是邏輯主機端口。圖5A闡釋根據(jù)一種實施例從發(fā)送者設(shè)備590發(fā)送到網(wǎng)關(guān)設(shè)備510的預(yù)先確定的消息序列。該預(yù)先確定的消息序列可以是例如預(yù)先確定的客戶端同步消息序列、預(yù)先確定的服務(wù)器同步確認消息序列或預(yù)先確定的客戶端確認消息序列。從發(fā)送者設(shè)備590的相同發(fā)送者端口發(fā)送預(yù)先確定的消息序列，該發(fā)送者端口可以是發(fā)送者端口接口595上的任何一個發(fā)送者端口，且該預(yù)先確定的消息序列被發(fā)送給網(wǎng)關(guān)設(shè)備510上的預(yù)先確定的順序的網(wǎng)關(guān)端口并在其上被接收到。預(yù)先確定的順序的網(wǎng)關(guān)端口可以是任何順序的網(wǎng)關(guān)端口，且多于一個的消息可以被發(fā)送給相同的網(wǎng)關(guān)端口。因而，根據(jù)如圖5A中所示出的實施例，預(yù)先確定的消息序列可以包括具有以下內(nèi)容的消息：標(biāo)識發(fā)送設(shè)備590的發(fā)送者端口的相同的源端口標(biāo)識符，以及標(biāo)識網(wǎng)關(guān)設(shè)備510的預(yù)先確定的順序的網(wǎng)關(guān)端口的預(yù)先確定的順序的目的地端口標(biāo)識符。圖5B闡釋根據(jù)另一實施例從發(fā)送者設(shè)備590發(fā)送到網(wǎng)關(guān)設(shè)備510的預(yù)先確定的消息序列。預(yù)先確定的消息序列可以是例如預(yù)先確定的客戶端同步消息序列、預(yù)先確定的服務(wù)器同步確認消息序列或預(yù)先確定的客戶端確認消息序列。從發(fā)送者設(shè)備590的預(yù)先確定的順序的發(fā)送者端口發(fā)送預(yù)先確定的消息序列。預(yù)先確定的順序的發(fā)送者端口可以是發(fā)送者端口接口595上的任何順序的發(fā)送者端口，且可以從相同的發(fā)送者端口發(fā)送多于一個的消息。預(yù)先確定的順序的消息中的每一消息被發(fā)送給網(wǎng)關(guān)設(shè)備510的相同的網(wǎng)關(guān)端口并在其上被接收到，該網(wǎng)關(guān)端口可以是網(wǎng)關(guān)設(shè)備510的網(wǎng)關(guān)端口接口595上的任何一個網(wǎng)關(guān)端口。因而，根據(jù)如圖5B中所示出的實施例，預(yù)先確定的消息序列可以包括具有以下內(nèi)容的消息：標(biāo)識發(fā)送者設(shè)備590的預(yù)先確定的順序的發(fā)送者端口的預(yù)先確定的順序的源端口標(biāo)識符，以及標(biāo)識網(wǎng)關(guān)設(shè)備510的網(wǎng)關(guān)端口的相同的目的地端口標(biāo)識符。圖5C闡釋根據(jù)進一步的實施例從發(fā)送者設(shè)備590發(fā)送到網(wǎng)關(guān)設(shè)備510的預(yù)先確定的消息序列。該預(yù)先確定的消息序列可以是例如預(yù)先確定的客戶端同步消息序列、預(yù)先確定的服務(wù)器同步確認消息序列或預(yù)先確定的客戶端確認消息序列。從發(fā)送者設(shè)備590的預(yù)先確定的順序的發(fā)送者端口發(fā)送預(yù)先確定的消息序列。發(fā)送者端口的預(yù)先確定的順序可以是發(fā)送者端口接口595上的發(fā)送者端口的任何順序，且可以從相同的發(fā)送者端口發(fā)送多于一個的消息。預(yù)先確定的消息序列被發(fā)送給網(wǎng)關(guān)設(shè)備510的預(yù)先確定順序的網(wǎng)關(guān)端口并在其上被接收到。發(fā)送者網(wǎng)關(guān)的預(yù)先確定的順序可以是網(wǎng)關(guān)端口接口515上的網(wǎng)關(guān)端口的任何順序，且多于一個的消息可以被發(fā)送給和相同的網(wǎng)關(guān)端口并在其上被接收到。因而，根據(jù)如圖5C中所示出的實施例，預(yù)先確定的消息序列可以包括具有以下內(nèi)容的消息：標(biāo)識發(fā)送者設(shè)備590的預(yù)先確定的順序的發(fā)送者端口的預(yù)先確定的順序的源端口標(biāo)識符，以及標(biāo)識網(wǎng)關(guān)設(shè)備510的預(yù)先確定的順序的網(wǎng)關(guān)端口的預(yù)先確定的順序的目的地端口標(biāo)識符。圖6A-C均闡釋根據(jù)各種實施例可以由網(wǎng)關(guān)設(shè)備610用來認證接收者設(shè)備690的預(yù)先確定的消息序列。盡管預(yù)先確定的消息序列被示出為包括三個消息，但應(yīng)明白，預(yù)先確定的消息序列可以包括任何數(shù)量的消息，例如兩個或更多個消息、五個或更多個消息或十個或更多個消息。接收者設(shè)備690可以是客戶端網(wǎng)絡(luò)的客戶端設(shè)備，諸如網(wǎng)關(guān)設(shè)備610的主機網(wǎng)絡(luò)的服務(wù)器等的主機設(shè)備或網(wǎng)關(guān)設(shè)備610嘗試與其建立通信信道的其他類型的設(shè)備。接收者設(shè)備690包括帶有用于連接到網(wǎng)關(guān)設(shè)備610的邏輯接收者端口的接收者端口接口695。網(wǎng)關(guān)設(shè)備610可以是根據(jù)以上所描述的任何實施例的網(wǎng)關(guān)設(shè)備。網(wǎng)關(guān)設(shè)備610包括帶有用于連接到接收者設(shè)備690的邏輯網(wǎng)關(guān)端口的至少一個網(wǎng)關(guān)端口接口615。在接收者設(shè)備690是客戶端網(wǎng)絡(luò)的客戶端設(shè)備的各實施例中，網(wǎng)關(guān)端口接口615可以是客戶端端口接口，且網(wǎng)關(guān)端口可以是邏輯客戶端端口。在接收者設(shè)備690是主機網(wǎng)絡(luò)中的服務(wù)器或其他類型的設(shè)備的各實施例中，網(wǎng)關(guān)端口接口515可以是主機端口接口，且網(wǎng)關(guān)端口可以是邏輯主機端口。圖6A闡釋根據(jù)一種實施例從網(wǎng)關(guān)設(shè)備610發(fā)送到接收者設(shè)備690的預(yù)先確定的消息序列。該預(yù)先確定的消息序列可以是例如預(yù)先確定的服務(wù)器同步消息序列、預(yù)先確定的客戶端同步確認消息序列或預(yù)先確定的服務(wù)器確認消息序列。從網(wǎng)關(guān)設(shè)備610的相同的網(wǎng)關(guān)端口發(fā)送預(yù)先確定的消息序列，該網(wǎng)關(guān)端口可以是網(wǎng)關(guān)端口接口615上的任何一個網(wǎng)關(guān)端口，且該預(yù)先確定的消息序列被發(fā)送到接收者設(shè)備690上的預(yù)先確定的順序的接收者端口并在其上被接收到。預(yù)先確定的順序的接收者端口可以是任何順序的接收者端口，且多于一個的消息可以被發(fā)送到相同的接收者端口。因而，根據(jù)如圖6A中所示出的實施例，預(yù)先確定的消息序列可以包括具有以下內(nèi)容的消息：標(biāo)識網(wǎng)關(guān)設(shè)備610的網(wǎng)關(guān)端口的相同的源端口標(biāo)識符，以及標(biāo)識接收者設(shè)備590的預(yù)先確定的順序的接收者端口的預(yù)先確定的順序的目的地端口標(biāo)識符。圖6B闡釋根據(jù)另一實施例從網(wǎng)關(guān)設(shè)備610發(fā)送到接收者設(shè)備690的預(yù)先確定的消息序列。該預(yù)先確定的消息序列可以是例如預(yù)先確定的服務(wù)器同步消息序列、預(yù)先確定的客戶端同步確認消息序列或預(yù)先確定的服務(wù)器確認消息序列。從網(wǎng)關(guān)設(shè)備610的預(yù)先確定的順序的網(wǎng)關(guān)端口發(fā)送預(yù)先確定的消息序列。預(yù)先確定的網(wǎng)關(guān)端口的順序可以是網(wǎng)關(guān)端口接口615上的網(wǎng)關(guān)端口的任何順序，且可以從相同的網(wǎng)關(guān)端口多于一個的消息。預(yù)先確定的順序的消息中的每一消息被發(fā)送到接收者設(shè)備690的相同的接收者端口并在其上被接收到，該接收者端口可以是接收者設(shè)備690的接收者端口接口695上的任何一個接收者端口。因而，根據(jù)如圖6B中所示出的實施例，預(yù)先確定的消息序列可以包括具有以下內(nèi)容的消息：標(biāo)識網(wǎng)關(guān)設(shè)備610的預(yù)先確定的順序的網(wǎng)關(guān)端口的預(yù)先確定的順序的源端口標(biāo)識符，以及標(biāo)識接收者設(shè)備690的接收者端口的相同的目的地端口標(biāo)識符。圖6C闡釋根據(jù)進一步的實施例從網(wǎng)關(guān)設(shè)備610發(fā)送到接收者設(shè)備690的預(yù)先確定的消息序列。預(yù)先確定的消息序列可以是例如預(yù)先確定的服務(wù)器同步消息序列、預(yù)先確定的客戶端同步確認消息序列或預(yù)先確定的服務(wù)器確認消息序列。從網(wǎng)關(guān)設(shè)備610的預(yù)先確定的順序的網(wǎng)關(guān)端口發(fā)送預(yù)先確定的消息序列。預(yù)先確定的網(wǎng)關(guān)端口的順序可以是網(wǎng)關(guān)端口接口615上的網(wǎng)關(guān)端口的任何順序，且可以從相同的網(wǎng)關(guān)端口發(fā)送多于一個的消息。預(yù)先確定的消息序列被發(fā)送到接收者設(shè)備690的預(yù)先確定的順序的接收者端口并在其上被接收到。預(yù)先確定的順序的接收者端口可以是接收者端口接口695上的任何順序的接收者端口，且多于一個的消息可以被發(fā)送到相同的接收者端口并在其上被接收到。因而，根據(jù)如圖6C中所示出的實施例，預(yù)先確定的消息序列可以包括具有以下內(nèi)容的消息：標(biāo)識網(wǎng)關(guān)設(shè)備610的預(yù)先確定的順序的網(wǎng)關(guān)端口的預(yù)先確定的順序的源端口標(biāo)識符，以及標(biāo)識接收者設(shè)備690的預(yù)先確定的順序的接收者端口的預(yù)先確定的順序的目的地端口標(biāo)識符。應(yīng)明白，在各種實施例中，被用于通過網(wǎng)關(guān)設(shè)備在設(shè)備之間認證和建立通信信道的預(yù)先確定的消息序列可以包括以上所描述的實施例中的一個或多個的組合。例如，被用于在兩個設(shè)備之間認證和建立通信信道的預(yù)先確定的消息序列可以包括預(yù)先確定的同步消息序列的組合，該同步消息序列包括：(1)帶有相同的源端口標(biāo)識符和預(yù)先確定的順序的目的地端口標(biāo)識符的同步消息序列；以及(2)帶有預(yù)先確定的順序的源端口標(biāo)識符和相同的目的地端口標(biāo)識符的同步消息序列。被用于在兩個設(shè)備之間認證和建立通信信道的預(yù)先確定的消息序列也可以包括各種預(yù)先確定的同步消息序列、和/或各種預(yù)先確定的同步確認消息序列、和/或各種預(yù)先確定的確認消息序列的組合。用于建立通信信道的方法圖7闡釋根據(jù)各種實施例用于在通信上耦合到網(wǎng)關(guān)設(shè)備的客戶端接口的客戶端設(shè)備和諸如通信上耦合到網(wǎng)關(guān)設(shè)備的主機接口的服務(wù)器等的主機設(shè)備之間建立通信信道的流程圖700。應(yīng)理解，可以與主機接口的框742-750獨立地和/或并發(fā)地執(zhí)行客戶端接口的框722-730。在網(wǎng)關(guān)設(shè)備上的客戶端接口上，在框722，網(wǎng)關(guān)設(shè)備在網(wǎng)關(guān)設(shè)備的客戶端接口上接收來自客戶端設(shè)備的客戶端消息。在框724，網(wǎng)關(guān)設(shè)備判斷是否已經(jīng)接收到預(yù)先確定的客戶端消息序列，例如通過將與在框722接收的客戶端消息組合的任何先前接收的客戶端消息的序列與網(wǎng)關(guān)設(shè)備的訪問規(guī)則中編程的、該網(wǎng)關(guān)設(shè)備期望從經(jīng)授權(quán)客戶端設(shè)備接收的預(yù)先確定的客戶端消息序列比較。預(yù)先確定的客戶端消息序列可以是以上所描述的預(yù)先確定的客戶端消息序列中的任何一個或其組合。在一種示例性實施例中，預(yù)先確定的客戶端消息序列可以是預(yù)先確定的客戶端同步消息序列。如果網(wǎng)關(guān)設(shè)備判斷還沒有接收到預(yù)先確定的客戶端消息序列，那么，在框726，網(wǎng)關(guān)設(shè)備避免響應(yīng)于客戶端消息，且該過程繼續(xù)回到框722。如果網(wǎng)關(guān)設(shè)備判斷已經(jīng)接收到整個預(yù)先確定的客戶端消息序列，那么，在框728，網(wǎng)關(guān)設(shè)備發(fā)送客戶端響應(yīng)消息。在一種示例性實施例中，客戶端響應(yīng)消息可以是客戶端同步確認消息。然后，在框730，網(wǎng)關(guān)設(shè)備把客戶端設(shè)備認證為是被允許與主機網(wǎng)絡(luò)的主機設(shè)備通信的經(jīng)授權(quán)客戶端設(shè)備，這是因為已經(jīng)從客戶端設(shè)備接收到預(yù)先確定的客戶端消息序列。在網(wǎng)關(guān)設(shè)備的主機接口上，通過從主機接口發(fā)送預(yù)先確定的服務(wù)器消息序列，網(wǎng)關(guān)設(shè)備發(fā)起認證并建立到諸如網(wǎng)關(guān)設(shè)備的主機網(wǎng)絡(luò)的服務(wù)器等的主機設(shè)備的連接的過程。在框742，網(wǎng)關(guān)設(shè)備開始發(fā)送預(yù)先確定的服務(wù)器消息序列。預(yù)先確定的服務(wù)器消息序列可以是以上所描述的預(yù)先確定的服務(wù)器消息序列中的任何一個或其組合。在一種示例性實施例中，預(yù)先確定的服務(wù)器消息序列可以是預(yù)先確定的服務(wù)器同步消息序列。在框744，網(wǎng)關(guān)設(shè)備在主機接口上接收到來自服務(wù)器的服務(wù)器響應(yīng)消息。在框746，網(wǎng)關(guān)設(shè)備判斷是否僅在網(wǎng)關(guān)設(shè)備已經(jīng)完成發(fā)送整個預(yù)先確定的服務(wù)器消息序列之后接收到服務(wù)器響應(yīng)消息。換句話說，網(wǎng)關(guān)設(shè)備判斷在網(wǎng)關(guān)設(shè)備發(fā)送出預(yù)先確定的服務(wù)器消息序列期間是否接收到該服務(wù)器響應(yīng)消息且網(wǎng)關(guān)設(shè)備是否沒有接收到任何其他服務(wù)器響應(yīng)消息。如果網(wǎng)關(guān)設(shè)備判斷在完成網(wǎng)關(guān)設(shè)備發(fā)送出預(yù)先確定的服務(wù)器消息序列之前接收到該服務(wù)器響應(yīng)消息，那么，在框750，網(wǎng)關(guān)設(shè)備可以拒絕建立到服務(wù)器的通信信道。在一些實施例中，在框746，除了判斷是否僅在網(wǎng)關(guān)設(shè)備已經(jīng)完成發(fā)送整個預(yù)先確定的服務(wù)器消息序列之后接收到服務(wù)器響應(yīng)消息，網(wǎng)關(guān)設(shè)備也可以判斷是否響應(yīng)于預(yù)先確定的服務(wù)器消息序列的最后的服務(wù)器消息而接收到該服務(wù)器響應(yīng)消息，例如，通過把服務(wù)器響應(yīng)消息中的確認序列號與預(yù)先確定的服務(wù)器消息序列的最后的服務(wù)器消息的初始序列號進行比較。如果確認序列號等于初始序列號加上一，則響應(yīng)于最后的服務(wù)器消息而接收到服務(wù)器響應(yīng)消息。如果網(wǎng)關(guān)設(shè)備判斷不是響應(yīng)于預(yù)先確定的服務(wù)器消息序列的最后的服務(wù)器消息而接收到服務(wù)器響應(yīng)消息，則在框750，網(wǎng)關(guān)設(shè)備也可以拒絕建立與服務(wù)器的通信信道。如果網(wǎng)關(guān)設(shè)備判斷僅在網(wǎng)關(guān)設(shè)備已經(jīng)完成發(fā)送出整個預(yù)先確定的服務(wù)器消息序列之后接收到服務(wù)器響應(yīng)消息，那么，在框748，網(wǎng)關(guān)設(shè)備把服務(wù)器認證為是得到允許與客戶端設(shè)備通信的經(jīng)授權(quán)主機設(shè)備，這是因為直到預(yù)先確定的服務(wù)器消息序列已經(jīng)被發(fā)送到服務(wù)器之前服務(wù)器不響應(yīng)于服務(wù)器消息。在框790，在已經(jīng)認證了客戶端和服務(wù)器兩者時，網(wǎng)關(guān)設(shè)備通過網(wǎng)關(guān)設(shè)備在客戶端設(shè)備和服務(wù)器之間建立通信信道。在一些實施例中，在建立通信信道之前，服務(wù)器可以向網(wǎng)關(guān)設(shè)備發(fā)送密鑰質(zhì)詢。該密鑰質(zhì)詢可以包括隨機數(shù)和讓網(wǎng)關(guān)設(shè)備使用密鑰來加密該隨機數(shù)的請求，該密鑰僅為被允許把用戶消息發(fā)送給服務(wù)器的經(jīng)授權(quán)設(shè)備所得知。密鑰可以是在網(wǎng)關(guān)設(shè)備中預(yù)先加載的對稱密鑰或不對稱密鑰。一旦從服務(wù)器接收到密鑰質(zhì)詢，網(wǎng)關(guān)設(shè)備就使用在網(wǎng)關(guān)設(shè)備中預(yù)先加載的所請求的密鑰加密所接收的隨機數(shù)，并把經(jīng)加密的隨機數(shù)發(fā)送給服務(wù)器。然后，服務(wù)器就使用對應(yīng)于該密鑰的對稱密鑰或不對稱密鑰來解密所接收的經(jīng)加密的隨機數(shù)。如果結(jié)果匹配服務(wù)器先前已經(jīng)發(fā)送給網(wǎng)關(guān)設(shè)備的隨機數(shù)，那么，建立服務(wù)器通信信道。如果結(jié)果匹配服務(wù)器先前已經(jīng)發(fā)送給網(wǎng)關(guān)設(shè)備的隨機數(shù)，那么，在框790建立通信信道。如果結(jié)果不匹配服務(wù)器先前已經(jīng)發(fā)送的隨機數(shù)，則服務(wù)器可以拒絕連接到網(wǎng)關(guān)設(shè)備。如果客戶端設(shè)備包括密碼能力，則也可以在客戶端設(shè)備和網(wǎng)關(guān)設(shè)備之間使用相似的密鑰質(zhì)詢。圖8闡釋根據(jù)替代的實施例用于認證客戶端設(shè)備以便通過網(wǎng)關(guān)設(shè)備在客戶端設(shè)備和服務(wù)器之間建立通信信道的流程圖800。通過把客戶端同步消息發(fā)送給網(wǎng)關(guān)設(shè)備，客戶端設(shè)備發(fā)起建立通信信道的過程。在框822，網(wǎng)關(guān)設(shè)備在網(wǎng)關(guān)設(shè)備的客戶端接口上接收客戶端同步消息。在框824，網(wǎng)關(guān)設(shè)備判斷是否已經(jīng)接收到網(wǎng)關(guān)設(shè)備期望從經(jīng)授權(quán)客戶端設(shè)備接收的預(yù)先確定的客戶端同步消息序列。如果還沒有從客戶端設(shè)備接收到預(yù)先確定的客戶端同步消息序列，那么，在框826，網(wǎng)關(guān)設(shè)備避免響應(yīng)于在框822中接收到的客戶端同步消息并且不發(fā)出客戶端同步確認消息，且該過程返回到框822。如果網(wǎng)關(guān)設(shè)備判斷已經(jīng)從客戶端設(shè)備接收到預(yù)先確定的客戶端同步消息序列，那么，在框828，網(wǎng)關(guān)設(shè)備開始從客戶端接口把預(yù)先確定的客戶端同步確認消息序列發(fā)送給客戶端設(shè)備。接下來，在框830，網(wǎng)關(guān)設(shè)備在客戶端接口上接收來自客戶端設(shè)備的客戶端確認消息。在框832，網(wǎng)關(guān)設(shè)備判斷是否僅在網(wǎng)關(guān)設(shè)備已經(jīng)完成發(fā)送出整個預(yù)先確定客戶端同步確認消息序列之后接收到客戶端確認消息。換句話說，網(wǎng)關(guān)設(shè)備判斷在網(wǎng)關(guān)設(shè)備發(fā)送出預(yù)先確定的客戶端同步確認消息序列期間是否接收到客戶端確認消息且網(wǎng)關(guān)設(shè)備沒有接收到任何其他客戶端確認消息。如果網(wǎng)關(guān)設(shè)備判斷在完成網(wǎng)關(guān)設(shè)備發(fā)送出預(yù)先確定的服務(wù)器消息序列之前接收到客戶端確認消息，那么，在框836，網(wǎng)關(guān)設(shè)備可以拒絕建立與客戶端設(shè)備的通信信道。在一些實施例中，在框830，除了判斷是否僅在網(wǎng)關(guān)設(shè)備已經(jīng)完成發(fā)送整個預(yù)先確定的客戶端同步確認消息序列之后接收到客戶端確認消息，網(wǎng)關(guān)設(shè)備也可以判斷是否響應(yīng)于預(yù)先確定的客戶端同步確認消息序列的最后的客戶端同步確認消息而接收到該客戶端確認消息，例如，通過將客戶端確認消息中的確認序列號與預(yù)先確定的客戶端同步確認消息序列的最后的客戶端同步確認消息的初始序列號進行比較。如果確認序列號等于初始序列號加上一，則響應(yīng)于最后的客戶端同步確認消息而接收到客戶端確認消息。如果網(wǎng)關(guān)設(shè)備判斷不是響應(yīng)于預(yù)先確定的客戶端同步確認消息序列的最后的客戶端同步確認消息而接收到客戶端確認消息，則在框836，網(wǎng)關(guān)設(shè)備也可以拒絕建立與客戶端設(shè)備的通信信道。如果網(wǎng)關(guān)設(shè)備判斷僅在完成網(wǎng)關(guān)設(shè)備發(fā)送出預(yù)先確定的客戶端同步確認消息序列之后接收到客戶端確認消息，那么，在框834，網(wǎng)關(guān)設(shè)備將客戶端設(shè)備認證為是被允許與主機網(wǎng)絡(luò)的主機設(shè)備通信的經(jīng)授權(quán)客戶端設(shè)備。然后，可以通過網(wǎng)關(guān)設(shè)備在客戶端設(shè)備和主機設(shè)備之間建立通信信道，以待主機設(shè)備的認證。圖9闡釋根據(jù)替代的實施例用于認證服務(wù)器以便通過網(wǎng)關(guān)設(shè)備在客戶端設(shè)備和服務(wù)器之間建立通信信道的流程圖900。在框942，網(wǎng)關(guān)設(shè)備開始從主機接口把預(yù)先確定的服務(wù)器同步消息序列發(fā)送到服務(wù)器。在框944，網(wǎng)關(guān)設(shè)備在主機接口上接收來自服務(wù)器的服務(wù)器同步確認消息。在框946，網(wǎng)關(guān)設(shè)備判斷是否僅在網(wǎng)關(guān)設(shè)備已經(jīng)完成發(fā)送整個預(yù)先確定的服務(wù)器同步消息序列之后接收到服務(wù)器同步確認消息。換句話說，網(wǎng)關(guān)設(shè)備判斷在網(wǎng)關(guān)設(shè)備發(fā)送出預(yù)先確定的服務(wù)器同步消息序列期間是否接收到服務(wù)器同步確認消息且網(wǎng)關(guān)設(shè)備沒有接收到任何其他服務(wù)器同步確認消息。如果網(wǎng)關(guān)設(shè)備判斷在網(wǎng)關(guān)設(shè)備完成發(fā)送出預(yù)先確定的服務(wù)器同步消息序列之前接收到服務(wù)器同步確認消息，那么，在框950，網(wǎng)關(guān)設(shè)備可以拒絕在服務(wù)器和客戶端設(shè)備之間建立通信信道。在一些實施例中，在框946，除了判斷是否僅在網(wǎng)關(guān)設(shè)備已經(jīng)完成發(fā)送整個預(yù)先確定的服務(wù)器同步消息序列之后接收到服務(wù)器同步確認消息，網(wǎng)關(guān)設(shè)備也可以判斷是否響應(yīng)于預(yù)先確定的服務(wù)器同步消息序列的最后的服務(wù)器同步消息而接收到服務(wù)器同步確認消息，例如，通過將服務(wù)器同步確認消息中的確認序列號與預(yù)先確定的服務(wù)器同步消息序列的最后的服務(wù)器同步消息的初始序列號進行比較。如果確認序列號等于初始序列號加上一，則響應(yīng)于最后的服務(wù)器同步消息而接收到服務(wù)器同步確認消息。如果網(wǎng)關(guān)設(shè)備判斷不是響應(yīng)于預(yù)先確定的服務(wù)器同步消息序列的最后的服務(wù)器同步消息而接收到服務(wù)器同步確認消息，則在框950，網(wǎng)關(guān)設(shè)備也可以拒絕建立到服務(wù)器的通信信道。如果網(wǎng)關(guān)設(shè)備判斷僅在網(wǎng)關(guān)設(shè)備已經(jīng)完成發(fā)送出預(yù)先確定的服務(wù)器同步消息序列之后接收到服務(wù)器響應(yīng)消息，則該過程繼續(xù)進行到框952。在框952，網(wǎng)關(guān)設(shè)備接收另一服務(wù)器同步確認消息。在框954，網(wǎng)關(guān)設(shè)備判斷是否已經(jīng)接收到預(yù)先確定的服務(wù)器同步確認消息序列。如果還沒有接收到預(yù)先確定的服務(wù)器同步確認消息序列，那么，在框956，網(wǎng)關(guān)設(shè)備避免響應(yīng)于在框952所接收到的服務(wù)器同步確認消息，且該過程繼續(xù)回到框952。如果網(wǎng)關(guān)設(shè)備判斷已經(jīng)接收到預(yù)先確定的服務(wù)器同步確認消息序列，那么，在框958，網(wǎng)關(guān)設(shè)備從主機接口把服務(wù)器確認消息發(fā)送到服務(wù)器。在框960，網(wǎng)關(guān)設(shè)備把服務(wù)器認證為是被允許與客戶端設(shè)備通信的經(jīng)授權(quán)主機設(shè)備。然后，可以通過網(wǎng)關(guān)設(shè)備在服務(wù)器和客戶端設(shè)備之間建立通信信道，以待客戶端設(shè)備的認證。盡管已經(jīng)參考發(fā)起與網(wǎng)關(guān)設(shè)備的通信信道或連接的客戶端設(shè)備以及發(fā)起與主機設(shè)備的通信信道或連接的網(wǎng)關(guān)設(shè)備描述了以上各實施例，但應(yīng)理解，以上所描述的通信信道是雙向通信信道，且在一些實施例中，使用在此描述的任何消息序列，網(wǎng)關(guān)設(shè)備可以發(fā)起與客戶端設(shè)備的通信信道或連接，且服務(wù)器可以發(fā)起與網(wǎng)關(guān)設(shè)備的通信信道或連接。此外，盡管已經(jīng)把預(yù)先確定的消息序列描述為按順序接收，但在一些替代的實施例中，只要在傳送預(yù)先確定的消息序列期間接收到預(yù)先確定的消息序列中的所有消息且在設(shè)備之間沒有交換任何附加的居間消息，就可以看作是正確地接收到預(yù)先確定的消息序列。換句話說，在這些替代的實施例中，即使是無序接收消息，也可以看作是正確地接收到預(yù)先確定的消息序列。這樣的實現(xiàn)可以被用來補償具有可以引起在接收者設(shè)備處無序接收到消息的不可預(yù)測的網(wǎng)絡(luò)延遲時間的網(wǎng)絡(luò)環(huán)境。通過使用根據(jù)在此公開的本發(fā)明的各實施例的方法、設(shè)備和系統(tǒng)來在客戶端網(wǎng)絡(luò)上的中繼來自用戶設(shè)備的用戶消息的客戶端設(shè)備和支付處理網(wǎng)絡(luò)上的服務(wù)器之間建立通信信道，可以降低惡意人員例如通過使用端口掃描技術(shù)攻入支付處理網(wǎng)絡(luò)的風(fēng)險。因而，本發(fā)明的各實施例可以允許在諸如移動電話等的用戶設(shè)備和支付處理網(wǎng)絡(luò)之間進行諸如PIN和PAN等的敏感信息的安全的端對端傳送，以便使得移動銀行業(yè)務(wù)的用戶樹立起他們的信息受到保護的信心。用戶設(shè)備圖10示出根據(jù)以上所描述的一些實施例的用戶設(shè)備1000。用戶設(shè)備1000包括用于接納諸如SIM卡等的通信組件的通信組件讀取器1025。用戶設(shè)備1000也包括顯示器1012、輸入元素1014、諸如易失性和非易失性存儲器等的計算機可讀介質(zhì)1024、處理器1010和至少一個天線1020。另外，通信設(shè)備1000可以包括雙接口，該雙接口包括用于通過直接接觸或通過可以耦合到第二天線的集成芯片傳遞信息的接觸式接口(未示出)和非接觸接口1016兩者。另外，用戶設(shè)備1000能夠通過蜂窩式網(wǎng)絡(luò)、無線提供商網(wǎng)絡(luò)或諸如GSM等的移動運營商網(wǎng)絡(luò)、通過天線1020進行通信，例如以便發(fā)送和接收短消息服務(wù)(SMS)消息或非結(jié)構(gòu)化補充業(yè)務(wù)數(shù)據(jù)(USSD)消息。因而，用戶設(shè)備1000能通過短距離NFC、射頻(RF)和蜂窩式連接等夠無線地傳送和接收信息。在一些實施例中，用戶設(shè)備1000可以具有發(fā)送經(jīng)加密的消息和/或通信和/或受到消息認證碼或散列碼保護的消息的密碼能力。計算機系統(tǒng)圖11是可以被用來實現(xiàn)以上所描述的任何設(shè)備(例如，網(wǎng)關(guān)設(shè)備、客戶端設(shè)備、主機設(shè)備、服務(wù)器等等)的計算機系統(tǒng)的框圖。圖11中所示出的子系統(tǒng)經(jīng)由系統(tǒng)總線1145互連。示出了可選的附加子系統(tǒng)，例如打印機1144、鍵盤1148、固定盤1149、耦合到顯示適配器1182的監(jiān)視器1146和其他。外圍設(shè)備和耦合到I/O控制器1141的輸入/輸出(I/O)設(shè)備可以由任何數(shù)量的本領(lǐng)域中已知的裝置例如串行端口1184連接到計算機系統(tǒng)。例如，串行端口1184或外部接口1181可以被用來把計算機裝置連接到諸如因特網(wǎng)等的廣域網(wǎng)、鼠標(biāo)輸入設(shè)備或掃描儀。經(jīng)由系統(tǒng)總線1145的互連允許中央處理器1143與每一子系統(tǒng)通信并控制來自系統(tǒng)存儲器1142或固定盤1149的指令的執(zhí)行以及在各子系統(tǒng)之間的信息交換。系統(tǒng)存儲器1142和/或固定盤1149可以實現(xiàn)包含引起處理器執(zhí)行在此描述的方法的指令的非暫態(tài)計算機可讀介質(zhì)。在某些實現(xiàn)中，以上相對于各圖所描述的各個框(或步驟)可以組合、取消或重排序。使用諸如例如Java、C++或Perl等的任何合適的計算機語言，使用例如常規(guī)的或?qū)ο竺嫦虻募夹g(shù)，可以把本申請中描述的軟件組件或功能中的任何可以實現(xiàn)為由處理器執(zhí)行的軟件代碼。軟件代碼可以被存儲為計算機可讀介質(zhì)上的一系列指令或命令，計算機可讀介質(zhì)例如隨機存取存儲器(RAM)、只讀存儲器(ROM)、諸如硬盤驅(qū)動器或軟盤等的磁介質(zhì)、或諸如CD-ROM等的光學(xué)介質(zhì)。任何這樣的計算機可讀介質(zhì)可以駐留在單個計算裝置上或在其之內(nèi)，且可以是出現(xiàn)在在系統(tǒng)或網(wǎng)絡(luò)內(nèi)的不同的計算裝置上或在其之內(nèi)?？梢杂密浖蛴布騼烧叩慕M合中的控制邏輯的形式來實現(xiàn)本發(fā)明?？梢栽谛畔⒋鎯橘|(zhì)中把控制邏輯存儲為適于引導(dǎo)信息處理設(shè)備執(zhí)行本發(fā)明的各實施例中公開的一組步驟的多個指令?；谠诖颂峁┑谋竟_內(nèi)容和教導(dǎo)，本領(lǐng)域中的普通技術(shù)人員將明白實現(xiàn)本發(fā)明的其他方式和/或方法。對“一”、“一個”或“該”的任何陳述預(yù)期意指“一個或多個”，除非明確地指示與此相反。上面描述是說明性的而非限制性的。在審閱本公開內(nèi)容時，本領(lǐng)域中的技術(shù)人員將明顯看出本發(fā)明的許多變更。因此，不應(yīng)參照以上描述而確定本發(fā)明的范圍，而是應(yīng)當(dāng)參照待決的權(quán)利要求以及它們的完全范圍或等效物來確定本發(fā)明的范圍。