專利名稱:用于檢驗數(shù)字證書狀態(tài)的系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明一般地涉及安全電子消息傳送領(lǐng)域����,并且特別涉及檢驗數(shù)字證書的狀態(tài)。
背景技術(shù):
包括例如運行在桌面計算機系統(tǒng)上的電子郵件軟件應(yīng)用的已知安全消息客戶端保持數(shù)據(jù)存儲器��,或至少一個專用的數(shù)據(jù)存儲區(qū)用于安全消息信息�,諸如數(shù)字證書。數(shù)字證書通常包括一個實體的公鑰及用一個或多個數(shù)字簽名捆綁到公鑰的標識信息��。在安全多用途因特網(wǎng)郵件擴展(S/MIME)消息傳送中����,例如,使用公鑰驗證所接收的安全消息上的數(shù)字簽名���,并且加密用于加密要發(fā)送的消息的會話密鑰。在其它安全消息方案中���,可以使用公鑰加密數(shù)據(jù)或消息�����。如果公鑰當需要用于加密或數(shù)字簽名驗證時而在消息客戶端中得不到時���,那么在能夠執(zhí)行這些操作之前,數(shù)字證書被加載到消息客戶端上。
通常�,針對證書注銷表(CRL)檢驗數(shù)字證書,以確定是否數(shù)字證書已經(jīng)被其發(fā)行者注銷�����。當數(shù)字證書首先被接收到時�����,并且之后周期地�,例如當接收到新CRL時,通常執(zhí)行該檢驗��。然而�,CRL趨于相對龐大,這樣CRL傳送到消息客戶端消耗相當大的通信資源�,并且在消息客戶端處的CRL的存儲可能消耗有效的存儲器空間?���;贑RL的注銷狀態(tài)檢驗也是處理器集中式的和費時的。這些影響在運行于無線移動通信設(shè)備上的消息客戶端中特別明顯���,這些消息客戶端運行在有限帶寬的無限通信網(wǎng)絡(luò)內(nèi)�����,并且可能具有有限的處理和存儲器資源���。此外��,只有當分發(fā)新CRL時��,在基于CRL的系統(tǒng)中更新注銷狀態(tài)����。
用于數(shù)字證書注銷狀態(tài)檢驗的另一方案涉及查詢保持數(shù)字證書注銷狀態(tài)信息的遠端系統(tǒng)�����。這種類型的方案需要傳送較少的信息�����,減少了在消息客戶端處執(zhí)行的操作的復(fù)雜性�,以檢驗數(shù)字證書的注銷狀態(tài)����,并且還提供了與基于CRL方案有關(guān)更及時的數(shù)字證書注銷狀態(tài)信息。在線證書狀態(tài)協(xié)議(OCSP)是這種方案的一個示例。然而����,無線通信系統(tǒng)帶寬限制和等待時間使得這些已知方案不適合于運行在無線移動通信設(shè)備上的安全消息客戶端。
發(fā)明內(nèi)容
按照本發(fā)明的一個方面��,一種根據(jù)存儲在狀態(tài)提供器系統(tǒng)中的狀態(tài)數(shù)據(jù)來確定數(shù)字證書的狀態(tài)的系統(tǒng)����,包括客戶端系統(tǒng),包括客戶端模塊��,該客戶端模塊可操作用于產(chǎn)生和提供對應(yīng)于數(shù)字證書狀態(tài)請求的狀態(tài)請求數(shù)據(jù)用于從客戶端系統(tǒng)傳輸����,并且響應(yīng)于該狀態(tài)請求,接收用于數(shù)字證書的數(shù)字證書狀態(tài)數(shù)據(jù)��;和代理系統(tǒng)���,包括代理模塊��,該代理模塊可操作用于接收從所述客戶端系統(tǒng)傳送的狀態(tài)請求數(shù)據(jù)�����,并且響應(yīng)于此�����,產(chǎn)生用于所述數(shù)字證書狀態(tài)的查詢數(shù)據(jù)����,和提供所述查詢數(shù)據(jù)用于從代理系統(tǒng)傳送到狀態(tài)提供器系統(tǒng),和進一步可操作用于從所述狀態(tài)提供器系統(tǒng)接收狀態(tài)數(shù)據(jù)����,基于接收的狀態(tài)數(shù)據(jù)產(chǎn)生所述數(shù)字證書狀態(tài)數(shù)據(jù),和提供所述數(shù)字證書狀態(tài)數(shù)據(jù)用于傳送到客戶端系統(tǒng)����。
按照本發(fā)明的另一方面,一種用于處理用于客戶端系統(tǒng)的數(shù)字證書狀態(tài)檢驗服務(wù)的系統(tǒng)��,包括代理系統(tǒng)����,包括代理模塊���,可操作用于從客戶端系統(tǒng)接收針對數(shù)字證書的第一數(shù)字證書狀態(tài)檢驗服務(wù)請求數(shù)據(jù)����,并且響應(yīng)于此,產(chǎn)生第二數(shù)字證書狀態(tài)檢驗服務(wù)請求數(shù)據(jù)和提供所述第二數(shù)字證書狀態(tài)檢驗服務(wù)請求數(shù)據(jù)��,用于傳送到數(shù)字證書狀態(tài)檢驗服務(wù)提供器系統(tǒng)��,并且進一步可操作用于從所述數(shù)字證書狀態(tài)檢驗服務(wù)提供器系統(tǒng)接收第一數(shù)字證書狀態(tài)檢驗服務(wù)數(shù)據(jù)���,基于接收的所述第一數(shù)字證書狀態(tài)檢驗服務(wù)數(shù)據(jù)���,產(chǎn)生第二數(shù)字證書狀態(tài)檢驗服務(wù)數(shù)據(jù),和提供所述第二數(shù)字證書狀態(tài)檢驗服務(wù)數(shù)據(jù)���,用于傳送到客戶端系統(tǒng)�����,其中�,所述第二數(shù)字證書狀態(tài)檢驗服務(wù)數(shù)據(jù)包括從所述服務(wù)提供器系統(tǒng)接收的第一數(shù)字證書狀態(tài)檢驗服務(wù)數(shù)據(jù)的子集��。
在本發(fā)明的另一個實施例中�����,一種用于處理用于數(shù)字證書的數(shù)字證書狀態(tài)檢驗服務(wù)的系統(tǒng),所述數(shù)字證書狀態(tài)檢驗服務(wù)由數(shù)字證書狀態(tài)檢驗服務(wù)提供器系統(tǒng)提供�,該系統(tǒng)可操作用于接收用于數(shù)字證書狀態(tài)檢驗服務(wù)請求的查詢數(shù)據(jù),該系統(tǒng)包括客戶端系統(tǒng)�����,該客戶端系統(tǒng)包括客戶端模塊����,可操作用于準備并且提供傳輸對應(yīng)于數(shù)字證書的數(shù)字證書狀態(tài)檢驗服務(wù)的第一數(shù)字證書狀態(tài)檢驗服務(wù)請求數(shù)據(jù),和響應(yīng)于第一數(shù)字證書狀態(tài)檢驗服務(wù)請求數(shù)據(jù)��,接收第一數(shù)字證書狀態(tài)檢驗服務(wù)數(shù)據(jù)�,其中,所述第一數(shù)字證書狀態(tài)檢驗服務(wù)請求數(shù)據(jù)包括針對數(shù)字證書狀態(tài)檢驗服務(wù)請求的查詢數(shù)據(jù)的子集���。
按照本發(fā)明的另一方面��,一種用于處理用于數(shù)字證書的數(shù)字證書狀態(tài)檢驗服務(wù)的方法����,所述數(shù)字證書狀態(tài)檢驗服務(wù)由數(shù)字證書狀態(tài)檢驗服務(wù)提供器系統(tǒng)提供����,該系統(tǒng)可操作用于接收針對數(shù)字證書狀態(tài)檢驗服務(wù)請求的查詢數(shù)據(jù)�����,所述方法包括步驟接收數(shù)據(jù)項,確定是否所述數(shù)據(jù)項包括數(shù)字證書�,如果所述數(shù)據(jù)項包括數(shù)字證書,產(chǎn)生包括所述查詢數(shù)據(jù)的子集的數(shù)字證書狀態(tài)檢驗服務(wù)請求數(shù)據(jù)�,提供所述數(shù)字證書狀態(tài)檢驗服務(wù)請求數(shù)據(jù),用于傳送到代理系統(tǒng)���,和響應(yīng)于所述數(shù)字證書狀態(tài)檢驗服務(wù)請求數(shù)據(jù)�,從所述代理系統(tǒng)接收數(shù)字證書狀態(tài)檢驗服務(wù)數(shù)據(jù)�。
在本發(fā)明的另一個實施例中,一種處理客戶端系統(tǒng)和代理系統(tǒng)之間的數(shù)字證書狀態(tài)請求的方法���,該方法包括步驟在所述代理系統(tǒng)接收從所述客戶端系統(tǒng)傳送的數(shù)字證書狀態(tài)請求數(shù)據(jù)����,響應(yīng)于接收所述數(shù)字證書狀態(tài)請求數(shù)據(jù)��,產(chǎn)生針對所述數(shù)字證書狀態(tài)的查詢數(shù)據(jù)����,傳送所述查詢數(shù)據(jù)到狀態(tài)提供器系統(tǒng)����,響應(yīng)于所述查詢數(shù)據(jù)��,在所述代理系統(tǒng)從所述狀態(tài)提供器系統(tǒng)接收狀態(tài)數(shù)據(jù)��,基于接收的所述狀態(tài)數(shù)據(jù)����,產(chǎn)生數(shù)字證書狀態(tài)數(shù)據(jù),和傳送所述數(shù)字證書狀態(tài)數(shù)據(jù)到所述客戶端系統(tǒng)��。
圖1是一個示例消息系統(tǒng)的方框圖�。
圖2是圖示在消息系統(tǒng)中的安全電子郵件消息交換的方框圖。
圖3是實現(xiàn)數(shù)字證書注銷狀態(tài)檢驗系統(tǒng)的一個系統(tǒng)的方框圖����。
圖4A是圖示檢驗數(shù)字證書注銷狀態(tài)的方法的流程圖。
圖4B是圖示檢驗數(shù)字證書注銷狀態(tài)的另一方法的流程圖��。
圖5是實現(xiàn)具有多代理系統(tǒng)客戶端模塊的數(shù)字證書注銷狀態(tài)檢驗系統(tǒng)的系統(tǒng)的方框圖����。
圖6是無線移動通信設(shè)備的方框圖。
圖7是圖示數(shù)字證書狀態(tài)請求的處理的功能方框圖。
圖8是展示一個通信系統(tǒng)的方框圖�����。
圖9是可選的通信系統(tǒng)的方框圖����。
圖10是另一可選的通信系統(tǒng)的方框圖��。
具體實施例方式
安全消息是由消息發(fā)送器或者可能由消息發(fā)送器和消息接收器之間的中間系統(tǒng)已經(jīng)進行處理的消息�����,以保證一個或多個數(shù)據(jù)保密性����,數(shù)據(jù)整體性和用戶驗證。安全消息傳送的通用技術(shù)包括利用數(shù)字簽名對消息進行簽名�,和/或加密消息。例如�,安全消息可以是按照諸如安全多用途因特網(wǎng)郵件擴展(S/MIME)的各種變體的已簽名、加密�、先加密然后簽名或先簽名然后加密的消息。
消息客戶端(messaging client)允許它在其上運行的一個系統(tǒng)接收并且可能也發(fā)送消息�����。消息客戶端可以運行在計算機系統(tǒng)、手持設(shè)備�����、或帶有通信能力的任何其它系統(tǒng)或設(shè)備上���。很多消息客戶端還具有附加的非消息傳送功能�����。
圖1是一個示例消息系統(tǒng)的方框圖���。系統(tǒng)10包括廣域網(wǎng)絡(luò)(WAN)12;其連接到計算機系統(tǒng)14���;無線網(wǎng)絡(luò)網(wǎng)關(guān)16和公司局域網(wǎng)絡(luò)(LAN)18����。無線網(wǎng)絡(luò)網(wǎng)關(guān)16還連接到無線通信網(wǎng)絡(luò)20��,其中��,配置無線移動通信設(shè)備22(“移動設(shè)備”)以進行操作。
一個示例的移動設(shè)備22可以是在美國專利6,278,442�,標題為“HAND-HELD ELECTRONIC DEVICE WITH A KEYBOARD OPTIMIZED FOR USEWITH THE THUMBS”中公開的類型,其全部公開通過引用被包含于此���。計算機系統(tǒng)14是被配置用于對WAN 12進行通信的桌上型或膝上型PC�����。WAN 12可以是大的網(wǎng)絡(luò)��,諸如因特網(wǎng)。PC諸如計算機系統(tǒng)14通常通過因特網(wǎng)服務(wù)提供商(ISP)���,應(yīng)用服務(wù)提供商(ASP)等訪問因特網(wǎng)�����。
公司LAN 18圖示為位于安全防火墻24的后面的基于網(wǎng)絡(luò)的消息客戶端的例子��。在公司LAN 18內(nèi)�,運行在防火墻24后的計算機上的消息服務(wù)器26�,作為主要接口,用于公司在LAN18內(nèi)交換信息��、和通過WAN12與其它外部消息客戶端交換消息。兩個所知的最普通的消息服務(wù)器26是MicrosoftTMExchange Server和Lotus DominoTM�����。這些服務(wù)器通常與路由和傳遞郵件的因特網(wǎng)郵件路由器一起使用�。消息服務(wù)器26還可以提供附加功能,諸如用于涉及日歷���、to-do表����、任務(wù)表�����、電子郵件和文檔的數(shù)據(jù)的動態(tài)數(shù)據(jù)庫存儲�。
消息服務(wù)器26向連接到LAN18的聯(lián)網(wǎng)計算機系統(tǒng)28提供消息傳送能力。典型的LAN18包括多個計算機系統(tǒng)28�����,每個均實現(xiàn)一消息客戶端����,諸如Microsoft OutlookTM���,Lotus NotesTM等。在LAN 18內(nèi)�,消息由消息服務(wù)器26接收,分布給在接收的消息中所尋址的用戶帳戶的合適信箱�����,然后通過運行在計算機系統(tǒng)28上的消息客戶端而由用戶訪問�����。
無線網(wǎng)關(guān)16給無線網(wǎng)絡(luò)20提供接口��,通過該接口����,可與移動設(shè)備22交換消息��。移動設(shè)備22例如可以包括數(shù)據(jù)通信設(shè)備����、語音通信設(shè)備、雙模式通信設(shè)備(諸如具有數(shù)據(jù)和語音通信功能的移動電話)�、能夠用于無線通信的個人數(shù)字助理(PDA)����、或與膝上或桌面型計算機系統(tǒng)或某些其它設(shè)備一起工作的無線調(diào)制解調(diào)器�����。前面已經(jīng)描述了一個示例的移動設(shè)備22����,下面參照圖6進一步描述。
這些功能��,諸如移動設(shè)備22的尋址����、用于無線傳輸?shù)南⒌木幋a或其它轉(zhuǎn)換和任何其它需要的接口功能,可以由無線網(wǎng)絡(luò)網(wǎng)關(guān)16來執(zhí)行����。可以配置無線網(wǎng)關(guān)16�,以便與多于一個的無線網(wǎng)絡(luò)20操作,在該情況下����,無線網(wǎng)關(guān)16也可以確定用于定位給定的用戶的最可能的網(wǎng)絡(luò)���,并且當用戶在國家或網(wǎng)絡(luò)之間漫游時,可跟蹤其移動設(shè)備�。
任何訪問WAN 12的計算機系統(tǒng)可以通過無線網(wǎng)絡(luò)網(wǎng)關(guān)16與移動設(shè)備22交換消息?����;蛘?�,也可以實現(xiàn)專有無線網(wǎng)絡(luò)網(wǎng)關(guān)���,諸如無線虛擬專有網(wǎng)絡(luò)(VPN)路由器��,以給無線網(wǎng)絡(luò)提供專有接口����。例如�,在LAN 18中實現(xiàn)的無線VPN可以通過無線網(wǎng)絡(luò)20�����,提供從LAN 18到一個或多個無線移動設(shè)備諸如22的專有接口�����。通過提供與消息服務(wù)器26操作的消息轉(zhuǎn)發(fā)或重定向系統(tǒng),這種通過無線網(wǎng)絡(luò)網(wǎng)關(guān)16和/或無線網(wǎng)絡(luò)20到無線設(shè)備的專有接口被有效地擴展到LAN 18外部的實體����。在該類型的系統(tǒng)中,由消息服務(wù)器26接收并且尋址到與移動設(shè)備諸如22的用戶相關(guān)的一個信箱或數(shù)據(jù)存儲器的輸入消息通過無線網(wǎng)絡(luò)接口�,例如無線VPN路由器、無線網(wǎng)絡(luò)網(wǎng)關(guān)16或其它接口��,發(fā)送到無線網(wǎng)絡(luò)20及到用戶移動設(shè)備22����。在消息服務(wù)器26上運行的示例重定向器系統(tǒng)可以具有在美國專利6,219,694中公開的類型,該專利標題為“SYSTEM AND METHODFOR PUSHING INFORMATION FROM A HOST SYSTEM TO A MOBILE DATACOMMUNICATION DEVICE HAVING A SHARED ELECTRONIC ADDRESS”��,其全部公開通過引用包含在此�。
到消息服務(wù)器26上的用戶信箱的另一可選接口是無線應(yīng)用協(xié)議(WAP)網(wǎng)關(guān)。通過WAP網(wǎng)關(guān)���,可以將在消息服務(wù)器26上的用戶信箱中的消息列表�、或可能每個消息或每個消息的一部分發(fā)送到移動設(shè)備22�����。
無線網(wǎng)絡(luò)通常通過無線網(wǎng)絡(luò)中的基站和移動設(shè)備之間的RF傳輸,傳遞消息給移動設(shè)備或從移動設(shè)備傳遞消息�����。無線網(wǎng)絡(luò)20例如可以是數(shù)據(jù)中心型無線網(wǎng)絡(luò)�����、語音中心型無線網(wǎng)絡(luò)����、或通過相同的基礎(chǔ)設(shè)施能夠同時支持語音和數(shù)據(jù)通信的雙模式網(wǎng)絡(luò)。示出的無線網(wǎng)絡(luò)包括碼分多址(CDMA)網(wǎng)絡(luò)�,移動特別小組或全球移動通信系統(tǒng)(GSM)和通用分組無線業(yè)務(wù)(GPRS)、以及諸如用于全球演進的增強型數(shù)據(jù)率(EDGE)和通用移動電信系統(tǒng)(UMTS)等第三代(3G)網(wǎng)絡(luò)���。GPRS是在現(xiàn)有的GSM無線網(wǎng)絡(luò)上的數(shù)據(jù)覆蓋的數(shù)據(jù)中心型的����。
某些老的數(shù)據(jù)中心網(wǎng)絡(luò)的例子�����,包括但不限于MobitexTM無線網(wǎng)絡(luò)(“Mobitex”)�����,和DataTACTM無線網(wǎng)絡(luò)(“DataTAC”)����。語音中心型數(shù)據(jù)網(wǎng)絡(luò)的例子包括個人通信系統(tǒng)(PCS)網(wǎng)絡(luò),象CDMA����、GSM和已經(jīng)使用了多年的時分多址(TDMA)系統(tǒng)。
也許當前使用的最普遍的消息是電子郵件���。在標準的電子郵件系統(tǒng)中���,電子郵件消息由電子郵件發(fā)送器發(fā)送,很可能通過消息服務(wù)器和/或服務(wù)提供者系統(tǒng)發(fā)送��、并且典型地�,經(jīng)因特網(wǎng)路由到一個或多個消息接收器。電子郵件消息通常用明文發(fā)送���,并且使用傳統(tǒng)的簡單郵件傳遞協(xié)議(SMTP)�����、RFC822報頭和MIME主體部分����,來定義電子郵件消息的格式。
在近些年�����,安全消息技術(shù)已經(jīng)得到發(fā)展����,以保護消息諸如電子郵件消息的內(nèi)容和完整性。S/MIME和Pretty Good PrivacyTM(PGpTM)是兩個公鑰安全電子郵件消息協(xié)議��,用于加密和簽名�,從而保護消息的完整性,以及用于由消息接收器進行的發(fā)送器驗證�����。安全消息除了被加密和/或簽名之外����,還可以被編碼���,壓縮或另外處理。
圖2是圖示在消息傳送系統(tǒng)中安全電子郵件消息交換的方框圖��。系統(tǒng)包括連接到WAN 32和無線網(wǎng)關(guān)34的電子郵件發(fā)送者30��,其提供了WAN 32和無線網(wǎng)絡(luò)34之間的接口�����。移動設(shè)備38適合于運行在無線網(wǎng)絡(luò)36內(nèi)���。在圖2還示出了數(shù)字證書注銷狀態(tài)信息提供器37和代理系統(tǒng)39,二者連接到WAN 32��。
電子郵件發(fā)送器30是PC諸如圖1中的系統(tǒng)14����、或聯(lián)網(wǎng)的計算機諸如圖1中的計算機系統(tǒng)28、或電子郵件消息A在其上構(gòu)成和發(fā)送的另一移動設(shè)備���。WAN32�����、無線網(wǎng)關(guān)34��、無線網(wǎng)絡(luò)36和移動設(shè)備38實際上與圖1中類似標記的組件相同�����。
按照安全消息方案�,諸如S/MIME和PGP,使用由電子郵件發(fā)送器30選擇的一次性會話密鑰來加密消息�。使用會話密鑰加密消息體,然后使用消息將要被發(fā)送到的每個所尋址的消息接收器的公鑰�����,進行自身加密��。如在40示出的���,用該方法加密的消息包括加密的消息體44和加密的會話密鑰46�����。在這種類型的消息加密方案中�,消息發(fā)送器諸如電子郵件發(fā)送器30必須具有對加密的消息要發(fā)送到其的每個實體的公鑰的訪問能力���。
按照一個已知的數(shù)字簽名方案��,安全電子郵件發(fā)送器30通常通過獲取消息的摘要并且使用發(fā)送器的私鑰簽名摘要�����,來對消息進行簽名���。例如可以通過對消息執(zhí)行檢驗和、循環(huán)冗余檢驗(CRC)���、或某些其它優(yōu)選的非可逆操作諸如散列�,來產(chǎn)生摘要��。然后�����,由發(fā)送器使用發(fā)送器私鑰來簽名該摘要�����。該私鑰可用于對摘要執(zhí)行加密或其它轉(zhuǎn)換操作�,以產(chǎn)生摘要簽名�。然后���,將包括摘要和摘要簽名的數(shù)字簽名附加到輸出消息�����。此外��,發(fā)送器30的數(shù)字證書���,其包括發(fā)送器公鑰和利用一個或多個數(shù)字簽名捆綁到公鑰的發(fā)送器標識信息、及可能的任何鏈式數(shù)字證書�、和與發(fā)送器數(shù)字證書及任何鏈式證書相關(guān)的CRL,也可以被附加到安全消息上�。
由電子郵件發(fā)送者30發(fā)送的安全電子郵件消息40包括數(shù)字簽名42、以及均被簽名的加密的消息體44和加密的會話密鑰46�。發(fā)送器的數(shù)字證書、任何鏈式數(shù)字證書和一個或多個CRL也可以被包括在消息40中��。在S/MIME安全消息技術(shù)中���,數(shù)字證書����、CRL和數(shù)字簽名通常被放置在消息的開始,并且在文件附件中包括消息體�����。由其它安全消息方案產(chǎn)生的消息可以以與所示的不同的順序放置消息組件�����,或包括附加的和/或不同的組件�����。例如��,安全消息諸如40可以包括尋址信息��,諸如“To(到)”和“From(從)”電子郵件地址和其它報頭信息���。
當從電子郵件發(fā)送器30發(fā)送安全電子郵件消息40時,它通過WAN32和無線網(wǎng)關(guān)34路由到無線網(wǎng)絡(luò)36和移動設(shè)備38����。電子郵件發(fā)送者30和移動設(shè)備38之間的傳輸路徑還可以包括附加的或與圖2所示的不同的組件。例如��,安全電子郵件消息40可以尋址到與消息服務(wù)器或數(shù)據(jù)服務(wù)器相關(guān)的信箱或數(shù)據(jù)存儲器,所述消息服務(wù)器或數(shù)據(jù)服務(wù)器已經(jīng)能夠無線地轉(zhuǎn)發(fā)或發(fā)送接收的消息和數(shù)據(jù)到移動設(shè)備38���。另外�����,中間系統(tǒng)也可以存儲和/或路由安全消息到移動設(shè)備38���。如先前描述并且在美國專利6,219,694中公開的示例重定向系統(tǒng)是一個這種系統(tǒng)的例子。
此外���,消息可以通過其它傳輸機制而不是無線網(wǎng)關(guān)34���,路由或轉(zhuǎn)發(fā)到移動設(shè)備38。例如�,路由到無線網(wǎng)絡(luò)36可以利用以下方式來實現(xiàn)使用與電子郵件發(fā)送者30相關(guān)的無線VPN路由器、或在中間計算機系統(tǒng)處接收消息然后轉(zhuǎn)發(fā)到移動設(shè)備38的情況下�����,與中間計算機系統(tǒng)或服務(wù)器相關(guān)的無線VPN路由器���。
無論簽名的消息直接發(fā)送到移動設(shè)備38還是重定向到移動設(shè)備38����,當接收到簽名的消息時,移動設(shè)備38通過產(chǎn)生消息體44和加密的會話密鑰46的摘要��,從數(shù)字簽名42提取摘要(digest)�,比較產(chǎn)生的摘要與從數(shù)字簽名42提取的摘要,和驗證在數(shù)字簽名42中的摘要簽名�,可以驗證數(shù)字簽名42。由安全消息接收者使用的摘要算法與由消息發(fā)送者使用的算法相同����,并且例如可以在消息報頭中或可能在數(shù)字簽名42中被指定。一個通用的摘要算法是所說的安全散列算法1(SHA1)�����,盡管也可以使用其它摘要算法���,諸如消息摘要算法5(MD5)。
為了驗證數(shù)字簽名42�����,消息接收器檢索發(fā)送者公鑰,并且通過對摘要簽名執(zhí)行逆向變換���,對數(shù)字簽名42中的摘要驗證簽名����。例如�����,如果消息發(fā)送者通過使用發(fā)送者私鑰加密摘要產(chǎn)生摘要簽名�,那么接收者使用發(fā)送者公鑰解密摘要簽名,以恢復(fù)原始摘要���。如果安全消息包括發(fā)送者數(shù)字證書�����,或發(fā)送者數(shù)字證書已經(jīng)存儲在移動設(shè)備38處的數(shù)據(jù)存儲器中�,那么可以從接收的或存儲的數(shù)字證書中提取發(fā)送者公鑰���。作為替代�,如果從來自發(fā)送者的較早消息提取公鑰并且存儲在接收者本地存儲器中的密鑰存儲單元中,則可以從本地存儲單元獲取發(fā)送者的公鑰。或者���,可以從公鑰服務(wù)器(PKS)請求發(fā)送者數(shù)字證書��。PKS是通常與證書授權(quán)(CA)相關(guān)的服務(wù)器���,從證書授權(quán)中���,可得到一個實體的數(shù)字證書,包括實體的公鑰�����。PKS可駐留在公司LAN�����,諸如圖1的LAN 18內(nèi)��,或在消息接收者可以通過其與PKS建立通信的WAN 32��、因特網(wǎng)或其它網(wǎng)絡(luò)或系統(tǒng)上的任何位置���。可能地,還可以將發(fā)送者的數(shù)字證書從PC或其他計算機系統(tǒng)加載到移動設(shè)備39上��。
摘要算法最好是產(chǎn)生針對每個唯一輸入的唯一輸出的非可逆函數(shù)�。因此,如果原始消息被改變或被破壞�����,那么由接收者產(chǎn)生的摘要將不同于從數(shù)字簽名提取的摘要�,因此簽名驗證失敗。然而�����,因為摘要算法是公知的���,實體可能會改變安全消息���,產(chǎn)生被改變的消息的新摘要,和轉(zhuǎn)發(fā)改變的消息到任何所尋址的消息接收者�。在該情況下,基于改變的消息在接收器處產(chǎn)生的摘要將與由改變消息的實體添加的新摘要相匹配����。摘要簽名檢驗想要在這種情況下防止數(shù)字簽名的驗證���。即使產(chǎn)生的和新摘要將會匹配,由于發(fā)送者使用其自己的私鑰來簽名原始摘要���,改變消息的實體不能產(chǎn)生能夠利用發(fā)送者公鑰來驗證的新摘要簽名�。因此���,盡管在改變的消息中的摘要相匹配���,但是,由于摘要簽名驗證將失敗����,將不驗證所述數(shù)字簽名。
這些數(shù)學操作不防止任何人看到安全消息的內(nèi)容��,但是保證消息沒有被篡改���,因為它由發(fā)送者簽名��,并且保證消息由在消息的“From(來自)”字段中所指示的人簽名����。
還應(yīng)該理解�����,作為替代����,可以使用其它數(shù)字簽名產(chǎn)生和驗證算法。上述的摘要和逆向轉(zhuǎn)換方案是一個數(shù)字簽名方案的例子����。本發(fā)明決不限于此。
當數(shù)字簽名42已經(jīng)被驗證���,或者某些時候����,即使數(shù)字簽名驗證失敗�����,那么在被顯示或進一步由運行在圖2中的移動設(shè)備38上的接收消息客戶端處理之前�,加密的消息主體44被解密。接收消息客戶端使用其私鑰來解密被加密的會話密鑰46�,然后使用解密會話密鑰來解密被加密的消息主體44�,并且由此恢復(fù)原始消息�。
被尋址到多于一個接收者的加密消息包括使用接收者的公鑰加密的針對每個接收者的會話密鑰的加密版本。每個接收者執(zhí)行相同的數(shù)字簽名驗證操作��,但是��,使用其自己的私鑰來解密不同的一個加密會話密鑰�。
因此,在安全消息系統(tǒng)中��,發(fā)送消息客戶端應(yīng)該能夠訪問加密消息將發(fā)送到其的任何接收者的公鑰�。接收消息客戶端必須能夠獲得發(fā)送者的公鑰,這可通過各種機制對消息客戶端有效���,以便驗證簽名消息中的數(shù)字簽名�。盡管移動設(shè)備38是安全消息40的接收者�,但是,移動設(shè)備38可以能夠進行雙向通信��,并且因此可能需要用于消息發(fā)送和消息接收二個操作的公鑰����。
公鑰通常設(shè)置在數(shù)字證書中。如上所述���,針對任何特定的實體的數(shù)字證書典型地包括實體公鑰和利用數(shù)字簽名捆綁到公鑰上的標識信息���。幾個類型的數(shù)字證書當前在被廣泛使用,包括例如典型地用于S/MIME中的X.509數(shù)字證書�����。PGP使用具有稍微不同格式的數(shù)字證書���。在此公開的系統(tǒng)和方法可以結(jié)合這些類型的數(shù)字證書的任何一個����、以及其它類型的數(shù)字證書�����、當前已知類型以及將來可以開發(fā)的其它類型來使用���。
數(shù)字證書中的數(shù)字簽名由數(shù)字證書的發(fā)行者產(chǎn)生���,并且能夠由消息接收者檢驗。數(shù)字證書某些時候包括過期時間(expiry time)或有效期�,根據(jù)其���,消息客戶端確定數(shù)字證書是否已經(jīng)過期。數(shù)字證書的有效性的驗證也可涉及通過數(shù)字證書鏈來跟蹤認證路徑�����,證書鏈包括用戶的數(shù)字證書��、和驗證用戶數(shù)字證書是可信的其它可能的數(shù)字證書���。
還可以檢驗數(shù)字證書以保證它還沒有被注銷�。如上所述����,可以通過查詢CRL或通過請求來自數(shù)字證書注銷狀態(tài)信息源的數(shù)字證書狀態(tài)信息,來檢驗數(shù)字證書注銷狀態(tài)�。在圖2的系統(tǒng)中,移動設(shè)備38的用戶可以針對存儲在移動設(shè)備38處的任何數(shù)字證書�,向注銷狀態(tài)信息提供器37提交注銷狀態(tài)請求。然后���,提供器37返回針對該數(shù)字證書的注銷狀態(tài)信息給移動設(shè)備38��。
OCSP是提供用于不需要CRL而確定數(shù)字證書注銷狀態(tài)的一個方案����。例如已經(jīng)在RFC 2560和在因特網(wǎng)草案“在線數(shù)字證書狀態(tài)協(xié)議,版本2”(二者可從因特網(wǎng)工程任務(wù)組(IETF)得到)中定義了OCSP版本�����。OCSR是最廣泛使用的數(shù)字證書注銷狀態(tài)檢驗協(xié)議之一���,因此,在此用作這些方案的一個示例����。然而,在此描述的系統(tǒng)和方法也可以用于涉及從遠端源中獲取注銷狀態(tài)信息的其它類型的數(shù)字證書注銷狀態(tài)檢驗方案�����。
按照OCSP�����,提交請求給通常稱為OCSP響應(yīng)器的狀態(tài)信息提供器��。一旦接收到合適格式的請求,OCSP響應(yīng)器返回響應(yīng)給請求器�。OCSP請求至少包括OCSP協(xié)議版本號、服務(wù)請求�����、和與該請求相關(guān)的目標數(shù)字證書的標識����。
版本號標識請求所遵從的OCSP的版本。服務(wù)請求指定正在被請求的服務(wù)的類型�。對于OCSP版本2,已經(jīng)定義了在線注銷狀態(tài)(ORS)�、派遣路徑有效(DPV)和派遣路徑發(fā)現(xiàn)(DPD)服務(wù)。通過ORS服務(wù)�����,消息客戶端獲得數(shù)字證書的注銷狀態(tài)信息����。DPV和DPD服務(wù)有效地派遣數(shù)字證書有效路徑相關(guān)的處理給遠端系統(tǒng)。
通常�����,使用數(shù)字證書發(fā)行者的區(qū)別名(DN)的散列、以及數(shù)字證書的序列號���,在OCSP請求中識別目標數(shù)字證書��。然而��,由于多個數(shù)字證書發(fā)行者可以使用相同的DN�,以發(fā)行者公鑰的散列的形式的另外的標識信息也包括在該請求中�����。因此�,在OCSP請求中的目標數(shù)字證書信息包括散列算法標識符�����、使用散列算法產(chǎn)生的數(shù)字證書發(fā)行者的DN的散列��、也是使用散列算法產(chǎn)生的發(fā)行者公鑰的散列�����、和目標數(shù)字證書的序列號���。
該請求可以或可以不由請求器進行簽名����。另外可選的信息也可以包括在請求中,并且由OCSP響應(yīng)器處理�����。
當消息客戶端操作在移動設(shè)備22上時��,OCSP可以是理想的�����,因為它相對于基于CRL的注銷狀態(tài)檢驗����,減少了檢驗數(shù)字證書的注銷狀態(tài)需要的處理和存儲器資源。然而�,OCSP請求可能會相對較長,并且由此消耗了移動設(shè)備上可用的通常有限的無線通信資源和電能���。代理系統(tǒng)39�����,連同適當能力的移動設(shè)備38���,用于優(yōu)化OCSP和涉及移動設(shè)備的遠端系統(tǒng)的類似協(xié)議����,這正如在下面進一步詳細描述的���。
圖3是實現(xiàn)數(shù)字證書注銷狀態(tài)檢驗系統(tǒng)的系統(tǒng)方框圖���。該移動設(shè)備38包括存儲器52、消息系統(tǒng)60�����、代理系統(tǒng)客戶端模塊62�、用戶接口(UI)64和無線收發(fā)器66����。存儲器52最好包括用于數(shù)字證書存儲單元54的存儲區(qū)域,以及諸如其中存儲消息聯(lián)系信息的地址本56的可能的其它數(shù)據(jù)存儲單元��、和存儲與安裝在移動設(shè)備38上的軟件應(yīng)用相關(guān)的數(shù)據(jù)的應(yīng)用數(shù)據(jù)存儲單元58��。數(shù)據(jù)存儲單元56和58是可以在移動設(shè)備38上的存儲器52中實現(xiàn)的存儲單元的示例。存儲器52也可以由除了圖3中所示的那些之外的其它設(shè)備系統(tǒng)來使用��,以存儲其它類型的數(shù)據(jù)���。
存儲器52是示例的其它設(shè)備組件可以向其中寫入數(shù)據(jù)的可寫存儲單元��,諸如RAM�。數(shù)字證書存儲單元54是專用于在移動設(shè)備38上存儲數(shù)字證書的存儲區(qū)���。數(shù)字證書可以以它們被接收的格式�,存儲在數(shù)字證書存儲單元54中���,或者可選地���,在寫到存儲單元54之前被解析或另外轉(zhuǎn)換成存儲格式。
消息系統(tǒng)60連接到無線收發(fā)器65����,由此啟動通過無線網(wǎng)絡(luò)36的通信。在大多數(shù)實現(xiàn)中����,消息系統(tǒng)60可以是以軟件應(yīng)用來實現(xiàn)的消息客戶端�。
最好也作為軟件應(yīng)用或組件實現(xiàn)的代理系統(tǒng)客戶模塊62連接到消息系統(tǒng)60�、無線收發(fā)機66、數(shù)字證書存儲單元54和UI 64���。正如下面詳細描述的���,可以使用代理系統(tǒng)客戶端模塊62來檢驗針對存儲在數(shù)字證書存儲單元54中的任何數(shù)字證書的注銷狀態(tài),以及由消息系統(tǒng)60接收但還沒有存儲在數(shù)字證書存儲單元54中的數(shù)字證書的注銷狀態(tài)����。
UI 64可以包括如鍵盤或小鍵盤、顯示器����、或從移動設(shè)備38的用戶接收輸入或提供輸出給移動設(shè)備38的用戶的其它組件這樣的UI組件。盡管在圖3中示為單個方框����,移動設(shè)備典型地包括多于一個UI,和由此UI 64代表一個或多個用戶接口����。
無線網(wǎng)絡(luò)36��、無線網(wǎng)關(guān)34、WAN 32和注銷狀態(tài)信息提供器37基本上與圖2中類似標出的組件相同�����。
代理系統(tǒng)39包括代理系統(tǒng)服務(wù)模塊68和狀態(tài)提供器客戶端模塊70����。代理系統(tǒng)39圖示包括連接到WAN 32和可操作用于從移動設(shè)備38或某些其它客戶端系統(tǒng)接收加密項目狀態(tài)請求的一個或多個計算機,并且代表移動設(shè)備38�����,執(zhí)行狀態(tài)請求和伴隨的處理步驟�����。在一個實施例中�,代理系統(tǒng)39是代表移動設(shè)備38來執(zhí)行狀態(tài)請求的中間計算機。該中間計算機進一步可操作用于向移動設(shè)備的地址提供狀態(tài)請求�。在另一個實施例中,代理系統(tǒng)39包括代理服務(wù)器���,該代理服務(wù)器除了代表移動設(shè)備38執(zhí)行狀態(tài)請求以外����,也可以操作用于執(zhí)行代理服務(wù)器功能,諸如提供安全���、管理控制和高速緩存�。
配置代理系統(tǒng)服務(wù)模塊68�,以便與代理系統(tǒng)客戶端模塊62交換信息,并且狀態(tài)客戶端模塊70適合于與注銷狀態(tài)提供器37交換信息���。這些組件的每一個����,狀態(tài)提供器客戶端模塊70和代理系統(tǒng)服務(wù)模塊68最好是操作在代理系統(tǒng)39處的軟件應(yīng)用或模塊�����。這些軟件應(yīng)用可以以單個計算機程序來實現(xiàn)����,或可選地,可以是獨立地執(zhí)行分離程序��。
在運行中����,如上所述,移動設(shè)備38上的消息系統(tǒng)60通過無線網(wǎng)絡(luò)36接收和可能發(fā)送安全消息��。當要對在接收的安全消息上的簽名進行驗證或要利用加密的會話密鑰發(fā)送消息時���,消息系統(tǒng)60可從數(shù)字證書中檢索到針對實體(或接收到的消息的發(fā)送者或要發(fā)送的消息的接收者)的公鑰����。然而�,在使用該公鑰之前,消息系統(tǒng)60或其用戶可能希望檢驗包含該公鑰的數(shù)字證書是有效的并且還沒有被注銷����。
例如在以預(yù)定的或用戶配置的間隔,或當通過UI 64由用戶調(diào)用時�����,在利用安全消息接收數(shù)字證書的情況下��,可以自動執(zhí)行數(shù)字證書驗證操作�。
不同類型的數(shù)字證書檢驗操作也可以取決于不同的控制。例如���,當數(shù)字證書首先被加載進移動設(shè)備38上時�����,可以自動檢驗數(shù)字證書的有效性和注銷狀態(tài)���,如果數(shù)字證書是有效的并且沒有被注銷����,那么可以假定數(shù)字證書直到過期時間或在數(shù)字證書中指定的有效期內(nèi)是有效的��,而此后可以每星期一次�����,檢驗其注銷狀態(tài)以保證在其過期之前沒有被注銷���。
如上所述��,對遠端信息提供器諸如37的數(shù)字證書狀態(tài)信息請求可能相對較長���,并且因此對于在移動設(shè)備38或其它帶寬受限的通信系統(tǒng)中的實現(xiàn)并不是最優(yōu)的。代理系統(tǒng)客戶端和服務(wù)模塊62和68適合于減少從移動設(shè)備38發(fā)送以請求數(shù)字證書的狀態(tài)信息的信息量����。
當移動設(shè)備38的用戶希望檢驗數(shù)字證書的注銷狀態(tài)時��,通過在UI64諸如象鍵盤上輸入合適的命令����,可以調(diào)用代理系統(tǒng)客戶端模塊62或可能協(xié)同代理系統(tǒng)客戶端模塊62一起操作的軟件應(yīng)用�。用戶也可以例如使用數(shù)字證書的序列號或主題名�,指定要檢驗的特定數(shù)字證書?��;蛘?�,代理系統(tǒng)客戶端模塊62可以訪問數(shù)字證書存儲單元54��,以顯示給用戶當前存儲的數(shù)字證書的列表�,從該表中�,用戶可以選擇一個或多個要檢驗的數(shù)字證書。
然后���,代理系統(tǒng)客戶端模塊62最好或者從所選擇的數(shù)字證書中提取��、或者通過UI 64從用戶中獲得由代理系統(tǒng)服務(wù)模塊68進行數(shù)字證書注銷狀態(tài)檢驗所需的任何信息�。因為代理系統(tǒng)39提供移動設(shè)備38和狀態(tài)信息提供器37之間的接口,代理系統(tǒng)客戶端模塊62和代理系統(tǒng)服務(wù)模塊68之間的請求和響應(yīng)不需要遵循在狀態(tài)提供器客戶端模塊70和狀態(tài)信息提供器37之間使用的協(xié)議����。因此,盡管狀態(tài)提供器37和狀態(tài)提供器客戶端模塊70可以支持0CSP或類似協(xié)議����,但是,代理系統(tǒng)服務(wù)模塊68和客戶端模塊62最好支持涉及較少數(shù)據(jù)交換諸如較小請求的��、更為無線友好的協(xié)議��。
由代理系統(tǒng)客戶端模塊62提取或獲得的特定信息依賴于在代理系統(tǒng)客戶端模塊62和代理系統(tǒng)服務(wù)模塊68之間實現(xiàn)的通信協(xié)議�。代理系統(tǒng)客戶端模塊62最好從數(shù)字證書存儲單元54中的數(shù)字證書中提取數(shù)字證書主題名、序列號���、發(fā)行者名字���、和其它數(shù)字證書信息。如果數(shù)字證書首先被解析����,然后將解析的數(shù)據(jù)存儲在數(shù)字證書存儲單元54中,那么這種信息可以由代理系統(tǒng)客戶端模塊62從數(shù)字證書存儲單元54中的解析數(shù)據(jù)中提取����。如果需要另外的信息�����,用戶可被提示以輸入數(shù)據(jù)���。
當所有需要的信息已經(jīng)被提取或者另外由代理系統(tǒng)客戶端模塊62獲得時,格式化請求并且發(fā)送到代理系統(tǒng)服務(wù)模塊68����。該請求的內(nèi)容還取決于在代理系統(tǒng)服務(wù)模塊68和客戶端模塊62之間使用的通信協(xié)議����。如果支持多于一個類型的服務(wù),那么該請求可以指定請求哪個類型的服務(wù)��。在某些實現(xiàn)中���,僅有單一服務(wù)可被支持��,這樣�����,沒有服務(wù)類型需要被指定�。
由代理系統(tǒng)服務(wù)模塊68接收的信息最好傳遞到狀態(tài)提供器客戶端模塊70。然后�����,由狀態(tài)提供器客戶端模塊70使用該信息以格式化對狀態(tài)信息提供器37的請求����。如果注銷狀態(tài)信息提供器37和狀態(tài)提供器客戶端模塊70例如支持OCSP,則將由代理系統(tǒng)服務(wù)模塊68提供的信息以及任何進一步需要的信息格式化成OCSP請求�。在某些情況下,由代理系統(tǒng)服務(wù)模塊68提供的信息包括所有需要的信息��,而在其它情況下��,可以從其它源中提取進一步的信息��。例如���,在配置代理系統(tǒng)39以存儲保持數(shù)字證書發(fā)行者與序列號和/或主題名之間的對應(yīng)關(guān)系的映射表等元素的情況下��,那么���,狀態(tài)提供者客戶端模塊70可以只基于從代理系統(tǒng)客戶端模塊62由代理系統(tǒng)服務(wù)模塊68接收的序列號或主題名����,格式化針對正確的注銷狀態(tài)信息提供器37的狀態(tài)請求�。
在圖3中,假定注銷狀態(tài)信息提供器37支持ORS等服務(wù)�����。一旦接收到請求���,當提供器37及客戶端模塊70支持OCSP時作為OCSP響應(yīng)器的注銷狀態(tài)信息提供器37檢驗該請求�,以保證對適當?shù)馗袷交?、所請求的服?wù)是被配置而提供的服務(wù)��、并且該請求包括所請求的服務(wù)需要的所有信息�����。如果這些條件不滿足����,那么提供器37返回一個差錯消息給客戶端模塊70。然后�����,客戶端模塊70執(zhí)行差錯處理,提供任何丟失的需要的信息�,并且可能通過代理系統(tǒng)服務(wù)模塊68從移動設(shè)備38中請求丟失的信息,或返回差錯消息給代理系統(tǒng)服務(wù)模塊68����,代理系統(tǒng)服務(wù)模塊68然后格式化并且發(fā)送差錯消息給代理系統(tǒng)客戶端模塊62,作為對其初始服務(wù)請求的響應(yīng)��。其它條件��,諸如當提供器37接收到未簽名的請求但被配置為期望簽名的請求時����,或當提供器服務(wù)不能響應(yīng)時,可能導(dǎo)致被返回到提供器客戶端模塊70的差錯消息���。
如果所述請求滿足上述條件�����,那么確定的響應(yīng)返回到提供器客戶端模塊70���。確定的響應(yīng)可以包括多個狀態(tài)指示之一���,諸如,當目標數(shù)字證書還沒有注銷時“有效”等指示���,當目標數(shù)字證書已經(jīng)被注銷時的“注銷”指示�����,或如果狀態(tài)提供器37沒有目標數(shù)字證書的記錄或不知道目標數(shù)字證書時的“未知”指示��。
此外����,還可以操作代理系統(tǒng)客戶端模塊62���,當發(fā)送請求后等待數(shù)字證書的狀態(tài)時�����,將數(shù)字證書劃分為“等待(pending)”。然后�,在代理系統(tǒng)客戶端模塊62從代理系統(tǒng)39接收到相應(yīng)的狀態(tài)指示之后,數(shù)字證書的狀態(tài)從等待改變到有效����、注銷或未知之一����。如果數(shù)據(jù)項目包括帶有等待����、注銷或未知狀態(tài)的數(shù)字簽名,還可以配置代理系統(tǒng)客戶端模塊62���,以便通過在移動設(shè)備38上的I/O設(shè)備提醒用戶確認要對該數(shù)據(jù)項目執(zhí)行的動作�。
將由狀態(tài)信息提供器37返回到狀態(tài)提供器客戶端模塊70的響應(yīng)傳遞到代理系統(tǒng)服務(wù)模塊68�����,其準備并發(fā)送響應(yīng)到代理系統(tǒng)客戶端模塊62��。當來自提供器37的響應(yīng)被簽名�,并且代理系統(tǒng)客戶端模塊62或移動設(shè)備38上的另一組件被配置來驗證狀態(tài)響應(yīng)簽名時,那么來自狀態(tài)提供器37的整個響應(yīng)或可能其簽名的部分�����,最好實質(zhì)上未改變地轉(zhuǎn)發(fā)到代理系統(tǒng)客戶端模塊62。然而����,如果代理系統(tǒng)服務(wù)模塊68或狀態(tài)提供器客戶端模塊70代表移動設(shè)備38檢驗狀態(tài)響應(yīng)簽名,那么僅響應(yīng)的一部分���,例如狀態(tài)指示和數(shù)字證書序列號或主題名����,最好由代理系統(tǒng)服務(wù)模塊68提取��,并且格式化成響應(yīng)��,然后將其發(fā)送到代理系統(tǒng)客戶端模塊62�。然后,來自代理系統(tǒng)服務(wù)模塊68的響應(yīng)由代理系統(tǒng)客戶端模塊62處理�����,以確定是否該數(shù)字證書已經(jīng)被注銷���。
代理系統(tǒng)客戶端模塊62的存在最好不排除按照已知技術(shù)的數(shù)字證書有效性和注銷狀態(tài)檢驗�。這樣�,涉及遠端系統(tǒng)諸如狀態(tài)信息提供器37的數(shù)字證書狀態(tài)檢驗是對移動設(shè)備38能夠進行的其它狀態(tài)檢驗操作的補充。
盡管圖3的實施例將無線網(wǎng)關(guān)34���、代理系統(tǒng)39和注銷狀態(tài)提供器37作為在WAN 32上作為分離的系統(tǒng)的通信進行了描述�,但是�����,這些系統(tǒng)也可以被組合�。例如,在可選的實施例中�����,包括代理系統(tǒng)服務(wù)模塊68和狀態(tài)提供器客戶端模塊70的軟件應(yīng)用在無線網(wǎng)關(guān)34上存儲并且執(zhí)行�。
在另一個實施例中,包括代理系統(tǒng)服務(wù)模塊68和狀態(tài)提供器客戶端模塊70的軟件應(yīng)用在注銷狀態(tài)提供器37上存儲并且執(zhí)行����。在另一個實施例中,包括代理系統(tǒng)服務(wù)模塊68和狀態(tài)提供器客戶端模塊70的軟件應(yīng)用在消息服務(wù)器26(圖1)上存儲并且執(zhí)行��。當然���,也可以使用能夠?qū)崿F(xiàn)在此公開的客戶端/代理數(shù)字證書狀態(tài)系統(tǒng)的功能的�、針對分布在一個或多個網(wǎng)絡(luò)上的計算機系統(tǒng)的其它配置和通信路徑。
在另一個可選實施例中��,無線網(wǎng)關(guān)34是可操作的����,以確定是否數(shù)據(jù)項,諸如要發(fā)送到移動設(shè)備38的S/MIME消息��,利用數(shù)字簽名進行簽名或包括數(shù)字證書���。如果這樣����,那么����,無線網(wǎng)關(guān)34事先查詢注銷狀態(tài)提供器37,以獲得用于S/MIME消息的簽名者的數(shù)字證書狀態(tài)�����。
在S/MIME消息發(fā)送到移動設(shè)備38之前����,最好獲得數(shù)字證書狀態(tài)��,在該情況下���,在無線網(wǎng)關(guān)34處存儲S/MIME消息����。如果數(shù)字證書不有效或過期,無線網(wǎng)關(guān)34可以進一步可操作用于丟棄S/MIME消息�,或可選地,可以利用數(shù)字證書不是有效的或過期的通知�,發(fā)送S/MIME消息給移動設(shè)備38。
圖4A提供了圖示檢驗數(shù)字證書注銷狀態(tài)的方法的流程圖����。在步驟80,標識要執(zhí)行狀態(tài)檢驗的任何數(shù)字證書��。如上所述�,該步驟能夠自動執(zhí)行或數(shù)字證書能夠由用戶選擇。然后在步驟82��,準備初始請求并且發(fā)送到代理系統(tǒng)����。在步驟84����,代理系統(tǒng)準備和發(fā)送服務(wù)請求給狀態(tài)信息提供器諸如OCSP響應(yīng)器�。然后,狀態(tài)信息提供器檢驗該請求�,以保證它被合適地格式化、在該例中為數(shù)字證書注銷狀態(tài)的所請求的服務(wù)得到提供器支持�����、并且所有需要的信息包括在請求中�����。這些檢驗在步驟86被執(zhí)行���。
如果請求不滿足這些條件�����,那么在步驟88���,向代理系統(tǒng)返回差錯消息。在步驟90�,也可以返回給移動設(shè)備一個差錯消息�����?;蛘咴诓襟E90可以執(zhí)行差錯處理���,例如,當該請求不包括所有需要的信息時�,獲得進一步的信息,之后��,在步驟84可以準備新的服務(wù)請求和發(fā)送到提供器�����。
當在步驟86中該請求滿足所述條件時��,在步驟94����,狀態(tài)信息提供器返回狀態(tài)指示給代理系統(tǒng),以響應(yīng)來自代理系統(tǒng)的服務(wù)請求���。然后�����,在步驟96��,代理系統(tǒng)返回來自狀態(tài)信息提供器的整個響應(yīng)���、或至少響應(yīng)的一部分給移動設(shè)備��,作為對來自移動設(shè)備的初始服務(wù)請求的響應(yīng)����。
盡管上述的系統(tǒng)和方法涉及數(shù)字證書注銷狀態(tài)檢驗���,數(shù)字證書有效性檢驗的示例��,按照OCSP的DPV和DPD服務(wù)或其它協(xié)議����,例如����,可以通過代理系統(tǒng)客戶端模塊和服務(wù)模塊,類似地優(yōu)化用于移動設(shè)備和其他類型的處理受限、存儲器受限或通信資源受限的系統(tǒng)�。也可以使得代理系統(tǒng)39能夠提供其代理服務(wù)給多個移動設(shè)備。
圖4B提供了圖示檢驗數(shù)字證書注銷狀態(tài)的另一方法的流程圖���。在該方法中�,無線網(wǎng)關(guān)34(圖3)執(zhí)行先前描述的代理程序�,并且進一步可操作用于確定要傳送到移動設(shè)備38的數(shù)據(jù)項諸如S/MIME消息是否包括數(shù)字證書。如果是這樣����,無線網(wǎng)關(guān)34事先查詢注銷狀態(tài)信息提供器37。
在步驟200�,無線網(wǎng)關(guān)34接收要發(fā)送到移動設(shè)備38的數(shù)據(jù)項�。在步驟202,無線網(wǎng)關(guān)確定是否所述數(shù)據(jù)項包括數(shù)字證書����。如果該數(shù)據(jù)項不包括數(shù)字證書,那么如在步驟216所示的�,發(fā)送數(shù)據(jù)項到移動設(shè)備38。
然而�,如果數(shù)據(jù)項包括數(shù)字證書,那么如在步驟204中所示的���,則無線網(wǎng)關(guān)34存儲數(shù)據(jù)項和準備發(fā)送到狀態(tài)提供器的服務(wù)請求�。
在步驟206中接收狀態(tài)信息,并且在步驟208���,無線網(wǎng)關(guān)34確定是否該數(shù)字證書狀態(tài)是有效的����、被注銷的�、還是未知的。如果數(shù)字證書是有效的�,那么如在步驟210和216中所示的,無線網(wǎng)關(guān)34將有效指示符附加到該數(shù)據(jù)項���,然后該數(shù)據(jù)項重定向給移動設(shè)備38�����。如果數(shù)字證書被注銷�����,那么如在步驟212和216中所示的�,無線網(wǎng)關(guān)34將注銷指示符附加到該數(shù)據(jù)項�����,然后該數(shù)據(jù)項發(fā)送給移動設(shè)備38。如果數(shù)字證書是未知的�����,那么在步驟214和216中��,無線網(wǎng)關(guān)34將未知指示符附加到該數(shù)據(jù)項��,然后該數(shù)據(jù)項發(fā)送給移動設(shè)備38�����。
這樣�����,一旦接收到包括數(shù)字證書的數(shù)據(jù)項�,移動設(shè)備通過參考附加到數(shù)據(jù)項的有效�����、注銷或未知指示符�����,立即確定數(shù)字證書的狀態(tài)。
在一個可選的實施例中����,無線網(wǎng)關(guān)34事先查詢注銷狀態(tài)信息提供器,但是用一個指示符例如指示數(shù)字證書狀態(tài)已經(jīng)被查詢的“等待”指示符�����,轉(zhuǎn)發(fā)所述接收的數(shù)據(jù)項給移動設(shè)備��。然后�����,當從狀態(tài)信息提供器接收到狀態(tài)指示時���,將證書狀態(tài)的進一步指示發(fā)送給移動設(shè)備�����。
在另一個實施例中���,消息服務(wù)器26(圖1)還包括如上所述的重定向系統(tǒng)�。重定向系統(tǒng)執(zhí)行代理程序�,并且進一步可操作用于確定是否要發(fā)送到移動設(shè)備38的數(shù)據(jù)項包括數(shù)字證書。如果是這樣���,重定向系統(tǒng)事先查詢注銷狀態(tài)提供器37以獲得數(shù)字證書狀態(tài)����,和執(zhí)行如參照無線網(wǎng)關(guān)34和圖4B描述的類似處理步驟�。
在另一個實施例中,移動設(shè)備和代理系統(tǒng)包括多個客戶端和服務(wù)模塊���。圖5是實現(xiàn)具有多個代理系統(tǒng)客戶端模塊的數(shù)字證書注銷狀態(tài)檢驗系統(tǒng)的系統(tǒng)方框圖�。在圖5中�,存儲器102、數(shù)據(jù)存儲單元104���、106和108�����、消息系統(tǒng)110、UI 114���、無線收發(fā)器116���、無線網(wǎng)絡(luò)118�、無線網(wǎng)關(guān)120和WAN 122基本上與在圖3中類似標出的組件相同���。
移動設(shè)備100包括含有代理系統(tǒng)客戶端模塊N 113和代理系統(tǒng)客戶端模塊A 111和可能其它代理系統(tǒng)客戶端模塊的客戶端模塊112����。代理系統(tǒng)128包括相應(yīng)的代理系統(tǒng)服務(wù)模塊A和N�、132和136。代理系統(tǒng)128還包括狀態(tài)提供器客戶端模塊A和N����、130和134,所述模塊被配置用于分別與狀態(tài)信息提供器A 124和狀態(tài)信息提供器N 126通信�����。
圖5所示的系統(tǒng)基本上如上所述操作�����。當一個或多個數(shù)字證書的狀態(tài)諸如注銷狀態(tài)要被檢驗時�,每個代理系統(tǒng)客戶端模塊111和113最好提取或另外獲得在對其各代理系統(tǒng)服務(wù)模塊132和136的服務(wù)請求中需要的信息�����。然后�,狀態(tài)提供器客戶端模塊130和134使用來自移動設(shè)備38的服務(wù)請求的信息���、和可能在代理系統(tǒng)128處可得到的信息�,以準備對狀態(tài)信息提供器124和126的服務(wù)請求���。然后���,由狀態(tài)信息提供器124和126返回的響應(yīng)、或至少其一部分��,如果需要��,被重新格式化�,并且返回到在移動設(shè)備100處的代理系統(tǒng)客戶端模塊111和113。
每個代理系統(tǒng)客戶端模塊111和113可以適合于收集請求信息并且處理用于不同的遠端數(shù)字證書狀態(tài)檢驗協(xié)議的響應(yīng)信息��。然而���,由代理系統(tǒng)客戶端模塊111和113收集的信息可以被組合成對代理系統(tǒng)128的單個服務(wù)請求���。然后,每個代理系統(tǒng)服務(wù)模塊132和136從對其相關(guān)的狀態(tài)信息提供器124和126的服務(wù)請求所需要的服務(wù)請求中提取信息��。由狀態(tài)提供器系統(tǒng)124和126返回到狀態(tài)提供器客戶端模塊130和134的響應(yīng)或者分開地或者以單個響應(yīng)����,返回到代理系統(tǒng)客戶端模塊111和113。例如��,當狀態(tài)信息提供器124和126的一個或兩個簽名其響應(yīng)時����,配置代理系統(tǒng)客戶端模塊132和136驗證響應(yīng)簽名,然后分開的響應(yīng)按照它們各自的協(xié)議最好返回到代理系統(tǒng)客戶端模塊111和113���。然而如果響應(yīng)沒有被簽名���,響應(yīng)可以被組合成單個響應(yīng)。
圖5中所示的多客戶端模塊系統(tǒng)當用戶希望檢驗整個數(shù)字證書鏈的有效性和/或注銷狀態(tài)時����,特別有用,所述數(shù)字證書鏈包括從不同的狀態(tài)信息提供器得到狀態(tài)信息的數(shù)字證書����。在已知系統(tǒng)中��,在所述鏈中對每個數(shù)字證書的分開的請求�,必須被發(fā)送到狀態(tài)信息提供者���。然而����,在圖5的系統(tǒng)中����,只有單個請求需要從移動設(shè)備100發(fā)送,以從任何數(shù)目的狀態(tài)信息提供器獲得狀態(tài)信息���。此外���,由所有代理系統(tǒng)客戶端模塊和服務(wù)模塊請求的公共信息需要僅在發(fā)送到代理系統(tǒng)128的初始服務(wù)請求中包括一次,由此減少了在初始服務(wù)請求中的冗余��。
圖6是無線移動通信設(shè)備的方框圖�。移動設(shè)備600最好是至少具有語音和數(shù)據(jù)通信能力的雙向通信設(shè)備。移動設(shè)備600最好具有與因特網(wǎng)上的其它計算機系統(tǒng)通信的能力。根據(jù)移動設(shè)備提供的功能���,移動設(shè)備可稱為數(shù)據(jù)消息傳送設(shè)備��、雙向?qū)ず魴C、帶有數(shù)據(jù)消息傳送能力的移動電話���、無線因特網(wǎng)設(shè)備或數(shù)據(jù)通信設(shè)備(帶有或不帶有電話功能)��。如上所述�����,這種設(shè)備在此簡單統(tǒng)稱為移動設(shè)備��。
移動設(shè)備600包括收發(fā)器611���、微處理器638、顯示器622��、快閃存儲器624�����、隨機存取存儲器(RAM)626、輔助輸入/輸出(I/O)設(shè)備628���、串行口630�、鍵盤632��、揚聲器634����、麥克風636和短距離無線通信子系統(tǒng)640、以及其它設(shè)備子系統(tǒng)642�����。收發(fā)器611包括發(fā)送和接收天線616��、618��、接收器(Rx)612�、發(fā)送器(Tx)614、一個或多個本地振蕩器(LO)613�����、和數(shù)字信號處理器(DSP)620��。在快閃存儲器624內(nèi),移動設(shè)備600包括多個可由微處理器638(和/或DSP 620)執(zhí)行的軟件模塊624A-624N����,包括語音通信模塊624A、數(shù)據(jù)通信模塊624B和多個用于執(zhí)行多個其它功能的其它操作模塊624N����。
移動設(shè)備600最好是具有語音和數(shù)據(jù)通信能力的雙向通信設(shè)備。于是�����,例如�����,移動設(shè)備600可以在語音網(wǎng)絡(luò)諸如任何模擬或數(shù)字蜂窩網(wǎng)絡(luò)上的任一個上進行通信��,也可以在數(shù)據(jù)網(wǎng)絡(luò)上通信�。語音和數(shù)據(jù)網(wǎng)絡(luò)在圖6中由通信塔619表示����。這些語音和數(shù)據(jù)網(wǎng)絡(luò)可以是使用分離的基礎(chǔ)設(shè)施諸如基站、網(wǎng)絡(luò)控制器等的分離的通信網(wǎng)絡(luò)���,或它們可以集成為一個單個的無線網(wǎng)絡(luò)���。因此對網(wǎng)絡(luò)619的引用應(yīng)解釋為包括單個語音和數(shù)據(jù)網(wǎng)絡(luò)和分離的網(wǎng)絡(luò)��。
通信子系統(tǒng)611用于與網(wǎng)絡(luò)619的通信�����。DSP 620用于向和從發(fā)送器614和從接收器612發(fā)送和接收通信信號�,并且也可以與發(fā)送器614和接收器612交換控制信息���。如果語音和數(shù)據(jù)通信發(fā)生在單個頻率上��,或近間隔的頻率組上��,那么單個LO 613可以與發(fā)送器614和接收器612一起使用���。或者���,如果不同頻率用于語音和數(shù)據(jù)通信�,那么能夠使用多個LO產(chǎn)生對應(yīng)于網(wǎng)絡(luò)619的多個頻率��。盡管在圖6中示出了兩個天線616、618����,移動設(shè)備600能夠使用單天線結(jié)構(gòu)。包括語音和數(shù)據(jù)信息二者的信息����,經(jīng)DSP 620和微處理器638之間的鏈路與通信模塊611交互通信。
通信子系統(tǒng)611的詳細設(shè)計諸如頻帶����、分量選擇和功率電平等取決于移動設(shè)備600將運行其中的通信網(wǎng)絡(luò)619。例如��,打算運行于北美市場的移動設(shè)備600可包括通信子系統(tǒng)611���,該子系統(tǒng)設(shè)計運行于Mobitex或DataTAC移動數(shù)據(jù)通信網(wǎng)絡(luò),并且也設(shè)計運行于各種語音通信網(wǎng)絡(luò)諸如AMPS�����,TDMA��,CDMA�,PCS等����,而打算用在歐洲的移動設(shè)備600可被配置運行于GPRS數(shù)據(jù)通信網(wǎng)絡(luò)和GSM語音通信網(wǎng)絡(luò)�����。其它類型的數(shù)據(jù)和語音網(wǎng)絡(luò)�,分離的和集成的,也可以用于移動設(shè)備600�����。
根據(jù)網(wǎng)絡(luò)619的類型����,對于移動設(shè)備600的訪問需要也可改變。例如���,在Mobitex和DataTAC數(shù)據(jù)網(wǎng)絡(luò)中��,移動設(shè)備使用與每個設(shè)備相關(guān)的唯一標識號注冊在網(wǎng)絡(luò)上�。然而����,在GPRS數(shù)據(jù)網(wǎng)絡(luò)中����,網(wǎng)絡(luò)訪問與移動設(shè)備600的訂戶或用戶相關(guān)���。GPRS設(shè)備典型地需要用戶標識模塊(“SIM”)�����,需要它��,以便移動設(shè)備500運行于GPRS網(wǎng)絡(luò)上��。沒有SIM�����,本地或非網(wǎng)絡(luò)通信功能(如果有)可能是可運行的,但是移動設(shè)備600將不能執(zhí)行涉及在網(wǎng)絡(luò)619上通信的任何功能���,除了任何合法需要的操作諸如‘911’緊急呼叫之外�。
在已經(jīng)完成任何需要的網(wǎng)絡(luò)注冊或激活過程之后��,移動設(shè)備600可經(jīng)網(wǎng)絡(luò)619發(fā)送和接收通信信號�����,最好包括語音和數(shù)據(jù)兩種信號。由天線616從通信網(wǎng)絡(luò)619接收的信號被路由到接收器612����,該接收器設(shè)有信號放大、降頻轉(zhuǎn)換�、濾波、信道選擇和模擬到數(shù)字轉(zhuǎn)換的操作��。接收信號的模擬到數(shù)字轉(zhuǎn)換允許更復(fù)雜的通信功能��,諸如將使用DSP 620執(zhí)行的數(shù)字解調(diào)和解碼��。以類似方式�����,處理將發(fā)送到網(wǎng)絡(luò)619的信號���,包括例如由DSP 620執(zhí)行的調(diào)制和編碼�����,然后提供給發(fā)送器614用于數(shù)字模擬轉(zhuǎn)換�����、升頻變換��、濾波�、放大和經(jīng)天線618發(fā)送給通信網(wǎng)絡(luò)619。盡管圖6中所示的單個接收器611用于語音和數(shù)據(jù)二種通信��,移動設(shè)備611能夠包括兩個不同的收發(fā)器���,用于發(fā)送和接收語音信號的第一收發(fā)器和用于發(fā)送和接收數(shù)據(jù)信號的第二收發(fā)器�。也可以在移動設(shè)備中提供多個收發(fā)器�����,該移動設(shè)備用于操作于多于一個通信網(wǎng)絡(luò)或多個頻帶內(nèi)�����。
除了處理通信信號之外�,DSP 620還可設(shè)有接收器和發(fā)送器控制���。例如����,應(yīng)用到接收器612和發(fā)送器614中的通信信號的增益電平也可以通過在DSP 620中實現(xiàn)的自動增益控制算法得到自適應(yīng)控制。其它收發(fā)器控制算法也能夠在DSP 620中實現(xiàn)�,以便提供更復(fù)雜的收發(fā)器611的控制。
微處理器638最好管理和控制移動設(shè)備600的整個操作���。這里��,可以使用很多類型的微處理器或微控制器��,或者�,可選地��,能夠使用單個DSP 620執(zhí)行微處理器638的功能���。低級通信功能����,包括至少數(shù)據(jù)和語音通信�,通過收發(fā)器611中的DSP 620執(zhí)行。其它高級通信功能���,諸如語音通信應(yīng)用624A和數(shù)據(jù)通信應(yīng)用624B�,也可以存儲在快閃存儲器624中,用于由微處理器638執(zhí)行���。例如���,語音通信模塊624A可提供高級用戶接口,該接口可操作用于經(jīng)網(wǎng)絡(luò)619在移動設(shè)備600和多個其它語音設(shè)備之間發(fā)送和接收語音呼叫�。類似地,數(shù)據(jù)通信模塊624B可提供高級用戶接口���,可操作用于經(jīng)網(wǎng)絡(luò)619在移動設(shè)備600和多個其它數(shù)據(jù)設(shè)備之間發(fā)送和接收數(shù)據(jù)�����,諸如電子郵件消息�����、文件��、組織者信息�、短文本消息等���。在移動設(shè)備600上�,安全消息軟件應(yīng)用�,例如包含對應(yīng)于消息系統(tǒng)60和代理系統(tǒng)客戶端模塊62或客戶端模塊113和111的軟件模塊,可與數(shù)據(jù)通信模塊624B一起運行��,以實現(xiàn)上述的技術(shù)�����。
微處理器638還與其它設(shè)備子系統(tǒng)交互��,這些子系統(tǒng)諸如是顯示器622���、快閃存儲器624�、RAM 626��、輔助輸入/輸出(I/O)子系統(tǒng)628����、串行口630、鍵盤632�、揚聲器634、麥克風636��、短距離通信子系統(tǒng)640和統(tǒng)一表示為642的任何其它設(shè)備子系統(tǒng)。例如�����,模塊624A-N由微處理器638執(zhí)行����,并且可提供用戶和移動設(shè)備600之間的高級接口。該接口典型包括通過顯示器622提供的圖形組件和通過輔助I/O 628�����、鍵盤632����、揚聲器634或麥克風636提供的輸入/輸出組件。這些接口在圖3和5中總的表示為UI 64和114����。
圖6中所示的某些子系統(tǒng)執(zhí)行與通信相關(guān)的功能,而其它子系統(tǒng)可提供“駐留”或設(shè)備內(nèi)置功能��。明顯的是���,某些子系統(tǒng)諸如鍵盤632和顯示器622可以用于通信相關(guān)功能����,諸如輸入文本消息用于經(jīng)數(shù)據(jù)通信網(wǎng)絡(luò)傳送,以及設(shè)備駐留功能�����,諸如計算器或任務(wù)列表或其它PDA型功能�����。
微處理器638使用的操作系統(tǒng)軟件最好存儲在非易失存儲器諸如快閃存儲器624中��。除了操作系統(tǒng)和通信模塊624A-N之外����,快閃存儲器624還可以包括用于存儲數(shù)據(jù)的文件系統(tǒng)����。最好還在快閃存儲器624中提供存儲區(qū)域以存儲數(shù)字證書,地址本條目��,和消息通信需要的其它可能的信息��,如圖3和5中的數(shù)據(jù)存儲單元54����,56和58����。操作系統(tǒng)����、特定的設(shè)備應(yīng)用或模塊或其部分,可以臨時加載到易失存儲器諸如RAM626用于較快操作�。此外,在永久將它們寫到位于快閃存儲器624中的文件系統(tǒng)之前��,接收的通信信號也可以臨時存儲到RAM 626��。
可以加載到雙模式設(shè)備600的示例應(yīng)用模塊624N是個人信息管理器(PIM)應(yīng)用���,其提供PDA功能��,諸如日歷事件�、約會和任務(wù)項���。該模塊624N還能與語音通信模塊624A交互���,用于管理電話呼叫�����,語音郵件等���,也可以與數(shù)據(jù)通信模塊624B交互,用于管理電子郵件通信和其它數(shù)據(jù)傳輸�����?��;蛘撸Z音通信模塊624A和數(shù)據(jù)通信模塊624B的所有功能可以集成到PIM模塊中��。
快閃存儲器624最好提供文件系統(tǒng)���,以方便在該設(shè)備上PIM數(shù)據(jù)項的存儲���。PIM應(yīng)用最好包括經(jīng)無線網(wǎng)絡(luò)619,或者通過其自身或者結(jié)合語音和數(shù)據(jù)通信模塊624A和624B來發(fā)送和接收數(shù)據(jù)項的能力����。PIM數(shù)據(jù)項通過無線網(wǎng)絡(luò)619����,最好與所存儲的或與主計算機系統(tǒng)相關(guān)的相應(yīng)的數(shù)據(jù)項集合無縫地集成���、同步和更新�����,由此�����,為與特定的用戶相關(guān)的數(shù)據(jù)項建立鏡像系統(tǒng)���。
盡管示為快閃存儲器624,本領(lǐng)域技術(shù)人員將理解除了閃存儲器624之外或代替快閃存儲器624�,可以使用其它類型的非易失存儲器,諸如電池支持RAM�。
通過將移動設(shè)備600放置在連接移動設(shè)備600的串行口630到主系統(tǒng)的串行口的接口底座中,移動設(shè)備600還能與計算機系統(tǒng)人工同步�。串行口630還可以用于使用戶能夠通過外部設(shè)備或軟件應(yīng)用程序設(shè)定優(yōu)選項,以下載其它應(yīng)用模塊624N用于安裝��,并且可能加載數(shù)字證書到設(shè)備上?�?梢允褂迷撚芯€下載路徑��,以將加密密鑰加載到設(shè)備上�,這個是比通過無線網(wǎng)絡(luò)619交換加密信息更安全的方法。
附加的應(yīng)用模塊624N可通過網(wǎng)絡(luò)619�、通過輔助I/O子系統(tǒng)628、通過串行口630�����、通過短距離通信子系統(tǒng)640或通過任何其它合適的子系統(tǒng)642被加載到移動設(shè)備600上�,并且由用戶安裝在快閃存儲器624或RAM 626中。這種在應(yīng)用安裝方面的靈活性增加了移動設(shè)備600的功能��,并且能夠提供增強的設(shè)備內(nèi)置功能�、通信相關(guān)功能或二者�。例如,安全通信應(yīng)用可以使得電子商務(wù)功能和其它金融交易能夠使用移動設(shè)備600執(zhí)行�。
當移動設(shè)備600運行于數(shù)據(jù)通信模式時,接收的信號諸如文本消息或網(wǎng)頁下載��,由收發(fā)器611處理并且提供給微處理器638���,其最好進一步處理接收的信號用于輸出到顯示器622���,或可選地輸出到輔助I/O設(shè)備628�。由收發(fā)器611接收的數(shù)字證書��,例如響應(yīng)對一PKS的請求或附加到一安全消息上的����,將按如上所述進行處理,以將其加到快閃存儲器624中的數(shù)字證書存儲單元(如果它還沒有被存儲)����。這樣的數(shù)字證書的有效性和/或注銷狀態(tài)也可以如上所述被檢驗。移動設(shè)備600的用戶也可以使用鍵盤632編輯數(shù)據(jù)項�����,諸如電子郵件信息�����,鍵盤632最好是QWERTY型的完整字母數(shù)字鍵盤布局�����,盡管也能使用其它類型的完整字母數(shù)字鍵盤諸如已知的DVORAK型。對移動設(shè)備600的用戶輸入利用多個輔助I/O設(shè)備628而得到進一步增強��,該輔助設(shè)備可包括指輪輸入設(shè)備�����、觸板��、各種開關(guān)�、搖桿輸入開關(guān)等。然后用戶輸入的編輯的數(shù)據(jù)項可經(jīng)收發(fā)器611在通信網(wǎng)絡(luò)619上被發(fā)送�。
當移動設(shè)備600操作在語音通信模式中時,移動設(shè)備600的整個操作基本上類似于數(shù)據(jù)模式���,除了接收的信號最好輸出到揚聲器634和用于發(fā)送的語音信號由麥克風636產(chǎn)生之外����。此外����,上述的安全消息技術(shù)可以不一定必須應(yīng)用于語音通信����。可選的語音或音頻I/O子系統(tǒng)諸如語音消息記錄子系統(tǒng),也可以在移動設(shè)備600上實現(xiàn)���。盡管語音或音頻信號輸出最好基本通過揚聲器634完成�����,也可以使用顯示器622提供呼叫方標識的指示���、語音呼叫的持續(xù)時間或其它語音呼叫相關(guān)的功能。例如���,微處理器638結(jié)合語音通信模塊624A和操作系統(tǒng)軟件�����,可以檢測輸入的語音呼叫的呼叫方標識信息并且將其顯示在顯示器622上���。
短距離通信子系統(tǒng)640可以包括紅外設(shè)備及相關(guān)電路和組件或諸如藍牙模塊或802.11模塊的短距離無線通信模塊,以提供與類似能力的系統(tǒng)和設(shè)備的通信�。本領(lǐng)域技術(shù)人員將理解,“藍牙”和“802.11”指從電氣和電子工程師協(xié)會得到的規(guī)范組����,分別涉及無線個人區(qū)域網(wǎng)絡(luò)和無線LAN���。
上述描述僅以示例方式涉及優(yōu)選實施例,可以實現(xiàn)其它實施例�����。例如�,盡管數(shù)字證書狀態(tài)檢驗主要結(jié)合無線移動通信設(shè)備進行了描述。在此公開的系統(tǒng)和方法也可以應(yīng)用到運行在其它平臺上的消息客戶端��,包括那些運行在桌面和膝上型計算機系統(tǒng)的�����、聯(lián)網(wǎng)的計算機工作站和可希望涉及遠端系統(tǒng)的數(shù)字證書檢驗的其它類型的消息客戶端��。
盡管上述描述也主要涉及OCSP����,通過結(jié)合遠端系統(tǒng)和代理系統(tǒng)客戶端模塊運行的中間系統(tǒng),可以類似優(yōu)化其它協(xié)議����。這些其它協(xié)議不限于數(shù)字證書狀態(tài)檢驗協(xié)議?��?梢耘渲么硐到y(tǒng)和代理系統(tǒng)客戶端模塊提供除了數(shù)字證書狀態(tài)檢驗服務(wù)之外的其它服務(wù)�。
圖7提供了圖示數(shù)字證書狀態(tài)請求的處理的功能性方框圖500����。盡管數(shù)字證書狀態(tài)請求的處理示于圖7中,其它類型的狀態(tài)請求也可以按照圖7描述的被處理����。客戶端系統(tǒng)具有要由外部系統(tǒng)����,諸如運行實現(xiàn)一個或多個代理系統(tǒng)服務(wù)模塊和狀態(tài)提供器客戶端模塊的代理系統(tǒng)程序504的代理系統(tǒng),來提供服務(wù)的狀態(tài)信息需求502�����。
將數(shù)字證書狀態(tài)請求發(fā)送到運行在代理系統(tǒng)上的代理系統(tǒng)程序504��。發(fā)送到代理系統(tǒng)程序504的數(shù)字證書狀態(tài)請求遵循客戶端/代理協(xié)議���。正如參照代理系統(tǒng)服務(wù)模塊68和狀態(tài)提供器客戶端模塊70描述的�����,代理系統(tǒng)程序504可操作用于代表客戶端系統(tǒng)來接收數(shù)字證書狀態(tài)請求和執(zhí)行狀態(tài)請求和后續(xù)處理步驟�����??蛻舳?代理協(xié)議可以遵循已知的通信協(xié)議或可替換為一個專有協(xié)議。
然后���,代理系統(tǒng)程序504準備數(shù)字證書狀態(tài)請求��,例如在映射表514中�,包括在來自客戶端系統(tǒng)的請求中的信息和在代理系統(tǒng)處可得到的可能信息���,該數(shù)字證書狀態(tài)請求要按照狀態(tài)查詢協(xié)議發(fā)送到運行狀態(tài)提供器程序506的狀態(tài)提供器系統(tǒng)�����。狀態(tài)查詢協(xié)議可以遵循一個已知的狀態(tài)協(xié)議��,諸如OCSP�����,或取而代之可以是一個專有協(xié)議���。在一個實施例中��,客戶端/代理協(xié)議是第一協(xié)議諸如專有協(xié)議,和狀態(tài)查詢協(xié)議是第二協(xié)議����,諸如OCSP。
然后�����,狀態(tài)提供器程序506處理該查詢和狀態(tài)提供器系統(tǒng)提供數(shù)字證書狀態(tài)數(shù)據(jù)給代理系統(tǒng)程序504���。數(shù)字證書狀態(tài)數(shù)據(jù)示例地包括一個數(shù)字證書狀態(tài)指示符���。如果數(shù)字證書包括一個數(shù)字證書鏈,那么相應(yīng)數(shù)目的數(shù)字證書狀態(tài)指示符被提供給代理系統(tǒng)程序504��。此外���,狀態(tài)提供器程序506可能需要來自代理系統(tǒng)程序504的附加信息�����,這樣�,代理系統(tǒng)程序504和狀態(tài)提供器程序506之間的多通信可能發(fā)生。相應(yīng)地�����,多通信508和510表示在代理系統(tǒng)程序504和狀態(tài)提供器程序506之間���。
一旦完成數(shù)字證書狀態(tài)請求�����,代理系統(tǒng)程序504準備用于傳送回到客戶端系統(tǒng)的數(shù)字證書狀態(tài)數(shù)據(jù)���。在一個實施例中,代理系統(tǒng)程序504選擇要發(fā)送到客戶端系統(tǒng)的�����、從狀態(tài)提供器程序506接收的整組狀態(tài)答復(fù)數(shù)據(jù)�。在另一個實施例中,代理系統(tǒng)程序只選擇將發(fā)送到客戶端系統(tǒng)的單狀態(tài)指示符���,諸如有效����、無效、未知或注銷�����。例如�,如果在數(shù)字證書鏈中的一個數(shù)字證書由狀態(tài)提供器程序506發(fā)現(xiàn)是無效的��,那么代理系統(tǒng)程序504可以只選擇要發(fā)送到客戶端系統(tǒng)的無效狀態(tài)指示符���?;蛘?����,代理系統(tǒng)程序504可以選擇要發(fā)送到客戶端系統(tǒng)的無效狀態(tài)指示符����、并且還選擇指定在數(shù)字證書鏈中哪個數(shù)字證書是無效的數(shù)據(jù)。也可以推導(dǎo)出要發(fā)送回到客戶端系統(tǒng)的其它數(shù)據(jù)組合��。
客戶端系統(tǒng)和代理系統(tǒng)存儲保持數(shù)字證書發(fā)行者和序列號和/或主題名之間的對應(yīng)關(guān)系的相應(yīng)映射表512和514等元素。然后客戶端系統(tǒng)可以只提供用于相應(yīng)的數(shù)字證書的唯一指示符�����,諸如序列號或主題名�����。然后代理系統(tǒng)程序504可以只基于從客戶端系統(tǒng)接收的序列號或主題名�����,按照用于運行狀態(tài)提供器程序506的狀態(tài)提供器系統(tǒng)的狀態(tài)查詢協(xié)議����,格式化數(shù)字證書狀態(tài)請求。類似地���,如果需要���,由代理系統(tǒng)返回到客戶端系統(tǒng)的唯一標識符由客戶端系統(tǒng)使用映射表512進行解析。這樣�,如果客戶端系統(tǒng)包括可操作經(jīng)無線網(wǎng)絡(luò)與代理系統(tǒng)通信的移動設(shè)備,映射表512和514保持了RF網(wǎng)絡(luò)相對有限的帶寬����。
在圖8-10示出了在此公開的系統(tǒng)和方法的寬范圍的其它例子����。圖8-10描述了不同的示例通信系統(tǒng)內(nèi)的系統(tǒng)和方法的另外應(yīng)用���。
圖8是展示通信系統(tǒng)的方框圖����。在圖8中�,示出了計算機系統(tǒng)802、WAN 804���、安全防火墻808之后的公司LAN 806、無線基礎(chǔ)設(shè)施810����、無線網(wǎng)絡(luò)812和814、和移動設(shè)備816和818���。公司LAN 806包括消息服務(wù)器820�、無線連接器系統(tǒng)828��、包括至少多個信箱819的數(shù)據(jù)存儲單元817、桌面計算機系統(tǒng)822(具有直接到移動設(shè)備的通信鏈路��,諸如通過物理連接824到接口或連接器826)���、和無線VAN路由器832����。下面將參考消息833��、834和836描述圖8中的系統(tǒng)的操作��。
計算機系統(tǒng)802例如可以是被配置連接到WAN 804的膝上����、桌面或掌上型計算機系統(tǒng)。這樣的計算機系統(tǒng)可以通過ISP或ASP連接到WAN804��?�;蛘?,計算機系統(tǒng)802可以是聯(lián)網(wǎng)的計算機系統(tǒng),例如計算機系統(tǒng)822���,其通過LAN或其它網(wǎng)絡(luò)訪問WAN 804�。很多現(xiàn)代的移動設(shè)備能夠通過各種基礎(chǔ)設(shè)施和網(wǎng)關(guān)配置連接到WAN,這樣計算機系統(tǒng)802也可以是一移動設(shè)備�。
公司LAN 806是已經(jīng)能夠用于無線通信的、中央型��、基于服務(wù)器的消息系統(tǒng)的例子����。公司LAN 806可以稱為“主系統(tǒng)”,因為它主持帶有用于消息的信箱819的數(shù)據(jù)存儲單元817����,及可能地用于可以發(fā)送到移動設(shè)備816和818或從移動設(shè)備816和818接收的其它數(shù)據(jù)項的另外的數(shù)據(jù)存儲單元(未示出),和無線連接器系統(tǒng)828��,無線VAN路由器832�����,或能夠進行公司LAN 806和一個或多個移動設(shè)備816和818之間的通信的其它可能的組件�����。用更通用的術(shù)語�����,主系統(tǒng)可以是無線連接器系統(tǒng)在其上運行或與無線連接器系統(tǒng)一起運行或相關(guān)運行的一個或多個計算機��。公司LAN 806是主系統(tǒng)的一個優(yōu)選實施例����,其中主系統(tǒng)是在至少一個安全通信防火墻808之后操作并且由其保護的公司網(wǎng)絡(luò)環(huán)境內(nèi)運行的服務(wù)器計算機。其它可能的中央主系統(tǒng)包括ISP��、ASP和其它服務(wù)提供商或郵件系統(tǒng)�。盡管桌面計算機系統(tǒng)824和接口/連接器826可以位于這些主系統(tǒng)之外,無線通信操作可以類似于下面描述的那些�����。
公司LAN 806將無線連接器系統(tǒng)828作為相關(guān)無線通信功能組件實現(xiàn)�,其將通常是軟件程序、軟件應(yīng)用或建立與至少一個消息服務(wù)器820工作的軟件組件����。使用無線連接器系統(tǒng)828,通過一個或多個無線網(wǎng)絡(luò)812和814發(fā)送用戶選擇的信息到一個或多個移動設(shè)備816和818��,并且從這些移動設(shè)備接收信息��。無線連接器系統(tǒng)828可以是消息系統(tǒng)的分離的組件�����,如圖8所示,或者可以是部分或全部包含于其它通信系統(tǒng)組件中����。例如,消息服務(wù)器820可以包含實現(xiàn)無線連接器系統(tǒng)828��、無線連接器系統(tǒng)828的一部分���、或某些功能或全部功能的軟件程序���、應(yīng)用或組件。
運行在防火墻808后面的計算機上的消息服務(wù)器820充當主接口��,用于公司與諸如因特網(wǎng)的WAN 804交換消息����,該消息包括例如電子郵件、日歷數(shù)據(jù)���、語音郵件、電子文檔和其它PIM數(shù)據(jù)���。具體中間的操作和計算機將取決于經(jīng)其交換消息的消息傳遞機制和網(wǎng)絡(luò)的特定類型�����,因此沒有在圖8中示出����。消息服務(wù)器820的功能可以擴展到超過消息發(fā)送和接收,如上所述�,提供諸如動態(tài)數(shù)據(jù)庫存儲,用于數(shù)據(jù)如日歷��、to-do表���、任務(wù)表��、電子郵件和文檔這些特征�����。
消息服務(wù)器諸如820通常在一個或多個數(shù)據(jù)存儲單元諸如817中����,保持多個信箱819��,用于在服務(wù)器上具有帳戶的每個用戶。數(shù)據(jù)存儲單元817包括信箱819���,用于多個(“n個”)用戶帳戶����。標識用戶��、用戶帳號�����、信箱或與用戶�、帳號或信箱819相關(guān)的其它可能的地址作為消息接收者的、由消息服務(wù)器820接收的消息����,通常被存儲在相應(yīng)的信箱819內(nèi)。如果將消息尋址到多個接收者或分布表�,那么相同消息的復(fù)制件可被存儲在多于一個信箱819內(nèi)?����;蛘撸⒎?wù)器820可以在一數(shù)據(jù)存儲單元中存儲該消息的單個復(fù)制件��,該數(shù)據(jù)存儲單元對于具有在消息服務(wù)器820上的帳戶的所有用戶是可訪問的���,并且在每個接收者的信箱819中存儲指針或其它標識符。在典型的消息系統(tǒng)中�,每個用戶于是可以使用通常運行于連接在LAN 806內(nèi)的PC諸如桌面計算機系統(tǒng)822上的消息客戶端(諸如Microsoft Outlook或Lotus Notes),訪問他或她的信箱819和其內(nèi)容��。盡管在圖8中僅示出了一個桌面計算機系統(tǒng)822�,本領(lǐng)域技術(shù)人員應(yīng)理解LAN將通常包含很多桌面、筆記本和膝上計算機系統(tǒng)�。每個消息客戶通常通過消息服務(wù)器820訪問信箱819,盡管在某些系統(tǒng)中���,消息客戶能夠直接訪問由桌面計算機系統(tǒng)822在其上進行存儲的信箱819和數(shù)據(jù)存儲單元817���。消息也可以從數(shù)據(jù)存儲單元817下載到桌面計算機系統(tǒng)822上的本地數(shù)據(jù)存儲單元(未示出)中。
在公司LAN 806內(nèi)�����,無線連接器系統(tǒng)828結(jié)合消息服務(wù)器820操作�����。無線連接器系統(tǒng)828可駐留在與消息服務(wù)器820相同的計算機系統(tǒng)上,或作為替代�,可以在不同的計算機系統(tǒng)上實現(xiàn)。實現(xiàn)無線連接器系統(tǒng)828的軟件也可以部分或全部地與消息服務(wù)器820集成�。最好設(shè)計無線連接器系統(tǒng)828和消息服務(wù)器820合作并且交互操作,以允許將信息推到移動設(shè)備816���、818�。在這樣的安裝中���,最好配置無線連接器系統(tǒng)828��,將存儲在一個或多個與公司LAN 806相關(guān)的數(shù)據(jù)存儲單元中的信息通過公司防火墻808和經(jīng)WAN 804和無線網(wǎng)絡(luò)812����,814之一����,發(fā)送到一個或多個移動設(shè)備816、818���。例如�����,在數(shù)據(jù)存儲單元817中具有一個帳戶和相關(guān)信箱819的用戶也可以具有移動設(shè)備諸如816�����。如上所述���,標識用戶、帳號或信箱819的由消息服務(wù)器820接收的消息由消息服務(wù)器820存儲到相應(yīng)的信箱819��。如果用戶具有移動設(shè)備����,諸如816,由消息服務(wù)器820接收并且存儲到用戶信箱819的消息最好由無線連接器系統(tǒng)828檢驗�����,并且發(fā)送到用戶的移動設(shè)備816�����。該類型的功能代表“推”消息發(fā)送技術(shù)�����。作為替代,無線連接器系統(tǒng)828可以采用“拉”技術(shù)�,其中,存儲在信箱819中的項目響應(yīng)使用移動設(shè)備進行的請求或訪問操作��,被發(fā)送到移動設(shè)備816�、818,或這兩種技術(shù)的某些組合���。
因此�����,無線連接器828的使用使得包括消息服務(wù)器820的消息系統(tǒng)能夠被擴展����,這樣每個用戶的移動設(shè)備816��,818具有對消息服務(wù)器820的存儲消息的訪問能力����。盡管在此描述的系統(tǒng)和方法不僅限于基于推的技術(shù),但是��,基于推消息傳送的更詳細描述可被發(fā)現(xiàn)于上述被引用參考的美國專利和申請中。該推技術(shù)使用無線友好編碼�、壓縮和加密技術(shù),以將所有信息傳遞到移動設(shè)備��,于是�,有效地擴展了公司防火墻808以使其包括移動設(shè)備816和818。
如圖8所示���,有多個路徑用于從公司LAN 806與移動設(shè)備816,818交換信息��。一個可能的信息傳送路徑是使用接口或連接器826���,通過物理連接824�����,諸如串行口�����。該路徑能夠是有用的�,例如用于在移動設(shè)備816���,818初始化上經(jīng)常執(zhí)行的����、或當移動設(shè)備816,818的用戶工作于LAN 806上的計算機系統(tǒng)諸如計算機系統(tǒng)822時周期執(zhí)行的龐大信息更新����。例如,如上所述��,PIM數(shù)據(jù)通常通過這樣的連接�����,例如連接到一個移動設(shè)備816�,818可以放入或放上的底座的串行口,被進行交換���。物理連接824也可以用于從桌面計算機系統(tǒng)822到移動設(shè)備816���,818傳送其它信息,包括私有安全密鑰(私鑰)��,諸如與桌面計算機系統(tǒng)822相關(guān)的私有加密或數(shù)字簽名密鑰���、或其它諸如數(shù)字證書和CRL等相對較大的信息����。
使用物理連接824和連接器或接口826的私鑰交換允許用戶的桌面計算機系統(tǒng)822和移動設(shè)備816或818共享至少一個標識,用于訪問所有加密和/或簽名的郵件����。用戶的桌面計算機系統(tǒng)822和移動設(shè)備816或818由此也能夠用于共享私鑰,這樣主系統(tǒng)822或移動設(shè)備816或818能夠處理尋址到消息服務(wù)器820上的用戶信箱或帳戶的安全消息��。需要經(jīng)過這種物理連接傳送證書和CRL���,因為它們代表S/MIME、PGP和其它公鑰安全方法需要的大量數(shù)據(jù)����。用戶自己的數(shù)字證書、用于驗證用戶數(shù)字證書的一連串證書和CRL��、及用于其它用戶的數(shù)字證書����、數(shù)字證書鏈和CRL可以從用戶桌面計算機系統(tǒng)822加載到移動設(shè)備816、818上��。該其它用戶數(shù)字證書和CRL到移動設(shè)備816,818的加載允許移動設(shè)備用戶選擇其它的實體或用戶(這些實體或用戶可能與移動設(shè)備用戶正在交換安全消息)�,并且通過物理連接(代替無線)將大信息預(yù)加載到移動設(shè)備上,于是�����,節(jié)省了當從這些其它用戶接收到安全消息或安全消息發(fā)送到這些用戶時�����,或當數(shù)字證書的狀態(tài)將被基于一個或多個CRL確定時的時間和無線帶寬��。在采用在此描述的系統(tǒng)和方法的情況下�,也能避免基于CRL的狀態(tài)檢驗。
在已知的“同步”型無線消息系統(tǒng)中����,物理路徑也已經(jīng)用來從與消息服務(wù)器820相關(guān)的信箱819到移動設(shè)備816和818傳送消息。
用于與移動設(shè)備816�、818數(shù)據(jù)交換的另一方法是通過無線方式,通過無線連接器系統(tǒng)828和使用無線網(wǎng)絡(luò)812����、814。如圖8所示,這能夠涉及無線VPN路由器832(如果在網(wǎng)絡(luò)806中存在的話)�����,或可選地����,涉及到無線基礎(chǔ)設(shè)施810的傳統(tǒng)WAN連接,其提供到一個或多個無線網(wǎng)絡(luò)諸如814的接口�。無線VPN路由器832用于創(chuàng)建直接通過特定無線網(wǎng)絡(luò)812到無線設(shè)備816的VPN連接。這種無線VPN路由器832可以與靜態(tài)尋址方案一起使用���。例如�,如果無線網(wǎng)絡(luò)812是基于IP的無線網(wǎng)絡(luò)�����。那么IPV6將提供足夠的IP地址以分配一個IP地址給被配置操作在網(wǎng)絡(luò)812內(nèi)的每個移動設(shè)備816�����,由此能夠在任何時間���,將信息推到移動設(shè)備816。使用無線VPN路由器832的主要優(yōu)點是它是不需要無線基礎(chǔ)設(shè)施810的現(xiàn)成的VPN組件�。VPN連接可以使用TCP/IP或UDP/IP連接��,直接傳遞消息到移動設(shè)備816和從移動設(shè)備816傳遞信息�。
如果無線VPN路由器832不是可用的�,那么與WAN 804(通常是一因特網(wǎng))的連接,是可由無線連接器系統(tǒng)828使用的常使用的連接機制�����。為了處理移動設(shè)備816的尋址和任何其它需要的接口功能�,最好使用無線基礎(chǔ)設(shè)施810。無線基礎(chǔ)設(shè)施810也可以確定用于定位一個給定的用戶的最可能的無線網(wǎng)絡(luò)���,并且當用戶在國家或網(wǎng)絡(luò)之間漫游時跟蹤用戶��。在無線網(wǎng)絡(luò)諸如812和814中��,消息通常經(jīng)基站和移動設(shè)備之間的RF傳輸�,傳遞到移動設(shè)備或從該移動設(shè)備傳遞���。
可以提供到無線網(wǎng)絡(luò)812和814的多個連接�����,包括例如利用在整個因特網(wǎng)中使用的TCP/IP協(xié)議的ISDN���、幀中繼或T1連接�。無線網(wǎng)絡(luò)812和814能夠表示清楚的��、唯一的和不相關(guān)的網(wǎng)絡(luò)�����,或它們能夠表示不同國家中的相同網(wǎng)絡(luò)���,并且可以是下列不同類型的網(wǎng)絡(luò)的任何一個����,這些網(wǎng)絡(luò)包括但不限于數(shù)據(jù)為核心的無線網(wǎng)絡(luò)�、語音為核心的無線網(wǎng)絡(luò)、和能夠支持經(jīng)相同或類似基礎(chǔ)設(shè)施諸如上述描述的那些中的語音和數(shù)據(jù)通信的雙模式網(wǎng)絡(luò)�。
在某些實現(xiàn)中,可以在公司LAN 806中提供多于一個無線信息交換機制���。例如,在圖8例子中�,配置與用戶相關(guān)的移動設(shè)備816、818,以使其運行在不同的無線網(wǎng)絡(luò)812和814中��,所述用戶具有與消息服務(wù)器820上的用戶帳戶相關(guān)的信箱819�����。如果無線網(wǎng)絡(luò)812支持IPv6尋址����,那么無線VPN路由器832可由無線連接器828使用,以與運行在無線網(wǎng)絡(luò)812內(nèi)的任何移動設(shè)備816交換數(shù)據(jù)��。然而�,無線網(wǎng)絡(luò)814可以是不同類型的無線網(wǎng)絡(luò),諸如Mobitex網(wǎng)絡(luò)���,在該情況下����,作為替代��,信息可經(jīng)到WAN 804和無線基礎(chǔ)設(shè)施810的連接�,與運行于無線網(wǎng)絡(luò)814內(nèi)的移動設(shè)備818交換。
現(xiàn)在����,使用從計算機系統(tǒng)802發(fā)送并且尋址到具有帳號和信箱819或與消息服務(wù)器820和移動設(shè)備816或818相關(guān)的數(shù)據(jù)存儲單元的至少一個接收者的電子郵件消息833的例子����,描述圖8中的系統(tǒng)的操作�。然而,電子郵件消息833僅用于示例���。公司LAN 806之間的其它類型信息的交換最好也能由無線連接器系統(tǒng)828進行����。
從計算機系統(tǒng)802經(jīng)WAN 804發(fā)送的電子郵件消息833根據(jù)使用的具體消息傳送方案�,可以是明文的或用數(shù)字簽名進行簽名的和/或被加密的。例如����,如果使用S/MIME使得計算機系統(tǒng)802能夠用于安全消息傳送,那么電子郵件消息833可以被簽名����、加密、或簽名并加密���。
電子郵件消息諸如833通常使用傳統(tǒng)SMTP��,RFC822報頭和MIME主體部分以定義電子郵件消息的格式��。這些技術(shù)對于本領(lǐng)域技術(shù)人員全部公知的�����。電子郵件消息833到達消息服務(wù)器820����,其確定電子郵件消息833應(yīng)該存儲進哪個信箱819���。如上所述�,消息諸如電子郵件消息833可以包括用戶名�、用戶帳戶、信箱標識符或可由消息服務(wù)器820映射到特定的帳戶或相關(guān)信箱819的其它類型的標識符�。對于電子郵件消息833,接收者通常使用對應(yīng)于用戶帳戶和由此的一個信箱819的電子郵件地址被識別�����。
無線連接器系統(tǒng)828最好一旦檢測到已經(jīng)發(fā)生了一個或多個觸發(fā)事件���,通過無線網(wǎng)絡(luò)812或814���,從公司LAN 806到用戶移動設(shè)備816或818發(fā)送或鏡像某些用戶選擇的數(shù)據(jù)項或數(shù)據(jù)項的一部分��。觸發(fā)事件包括但不限于下列情況的一個或多個在用戶聯(lián)網(wǎng)的計算機系統(tǒng)822上的屏幕保護程序的激活���;用戶移動設(shè)備816或818從接口826斷開;或接收從移動設(shè)備816或818發(fā)送到主系統(tǒng)以開始發(fā)送存儲在主系統(tǒng)上的一個或多個消息的命令��。這樣�����,無線連接器系統(tǒng)828可以檢測與消息服務(wù)器820相關(guān)的觸發(fā)事件����,諸如命令的接收,或與一個或多個聯(lián)網(wǎng)的計算機系統(tǒng)822相關(guān)的觸發(fā)事件�,包括上述的屏幕保護程序和斷開事件。當在LAN 806已經(jīng)激活針對移動設(shè)備816或818的公司數(shù)據(jù)的無線訪問時����,例如,當無線連接器系統(tǒng)828檢測到對于移動設(shè)備用戶發(fā)生了觸發(fā)事件時���,由用戶選擇的數(shù)據(jù)項最好發(fā)送到用戶移動設(shè)備�����。在電子郵件消息833的例子中�����,假定一旦已經(jīng)檢測到觸發(fā)事件�����,由無線連接器系統(tǒng)828檢測在消息服務(wù)器820處消息833的到達��。這個例如可以通過監(jiān)視或詢問與消息服務(wù)器820相關(guān)的信箱819完成���,或者如果消息服務(wù)器820是微軟交換服務(wù)器(Microsoft Exchange server),那么����,無線連接器系統(tǒng)828可以登記由微軟消息應(yīng)用編程接口(MAPI)提供的建議同步,由此當新消息存儲到信箱819時接收通知����。
當一數(shù)據(jù)項諸如電子郵件消息833將要發(fā)送到移動設(shè)備816或818時,無線連接器系統(tǒng)828最好以對移動設(shè)備816或818透明的方式重新打包數(shù)據(jù)項����,這樣�����,發(fā)送到移動設(shè)備816或818或由移動設(shè)備816或818接收的信息類似于存儲在主系統(tǒng)���、并且在主系統(tǒng)處(圖8中的LAN 806)可訪問的信息。一個優(yōu)選的重新打包的方法包括在對應(yīng)于消息將發(fā)送到其的移動設(shè)備816或818的無線網(wǎng)絡(luò)地址的電子信封中��,打包將通過無線網(wǎng)絡(luò)812或814發(fā)送的所接收的消息���?�;蛘?,可以使用其它重新打包的方法���,諸如專用TCP/IP打包技術(shù)��。這種重新打包的方法最好還導(dǎo)致從移動設(shè)備816或818發(fā)送的電子郵件消息����,似乎來自一個相應(yīng)的主系統(tǒng)帳戶或信箱819,即使它們從移動設(shè)備編寫并且發(fā)送�。因此,移動設(shè)備816或818的用戶最好在主系統(tǒng)帳戶或信箱819和移動設(shè)備之間���,可以有效地共享單個電子郵件地址���。
電子郵件消息833的重新打包在834和836處指示。重新打包技術(shù)對于任何可用的傳送路徑可以是類似的�,或可以取決于具體的傳送路徑,無線基礎(chǔ)設(shè)施810或無線VPN路由器832����。例如��,電子郵件消息833最好被壓縮和加密�����,在834處被重新打包之前或之后����,由此,有效地提供到移動設(shè)備818的安全傳送��。壓縮減少了發(fā)送消息需要的帶寬,而加密保證了發(fā)送到移動設(shè)備816和818的任何消息或其它信息的保密性���。相反�����,經(jīng)VPN路由器832傳送的消息可能僅被壓縮�����,但不加密�,因為由VPN路由器832建立的VPN連接是固有安全的�。由此,經(jīng)在無線連接器系統(tǒng)828處的加密��,例如可被考慮一非標準的VPN隧道或類VPN連接�,或者經(jīng)VPN路由器832,消息安全發(fā)送到移動設(shè)備816和818�����。由此�,使用移動設(shè)備816或818訪問消息與使用桌面計算機系統(tǒng)822訪問LAN 806處信箱同樣安全。
當重新打包的消息834或836經(jīng)無線基礎(chǔ)設(shè)施810或經(jīng)無線VPN路由器832到達移動設(shè)備816或818時�,移動設(shè)備816或818從重新打包的消息834或836移去外面的電子信封,并且執(zhí)行任何需要的解壓縮和解密操作。從移動設(shè)備816或818發(fā)送并且尋址到一個或多個接收者的消息最好被類似重新打包��,并且可能壓縮和加密�,和發(fā)送到主系統(tǒng)諸如LAN806。然后�����,主系統(tǒng)從重新打包的消息移去電子信封�����,如果需要����,解密和解壓縮消息�����,并且將消息路由到被尋址的接收者��。
使用外部信封的另一目的是至少保持在原始電子郵件消息833中的某些尋址信息���。盡管用來路由信息到移動設(shè)備816�����、818的外部信封使用一個或多個移動設(shè)備的網(wǎng)絡(luò)地址而被尋址�,外部信封最好將整個原始的電子郵件消息833,包括至少一個地址字段����,可能以壓縮和/或加密的形式,進行封裝���。這使得當外部信封被去除并且消息顯示在移動設(shè)備816或818上時��,電子郵件消息833的原始的“To(到)”“From(從)”和“CC(抄送)”地址得到顯示�����。當從移動設(shè)備發(fā)送的重新打包的輸出消息的外部信封由無線連接器系統(tǒng)828移去時�����,重新打包也使得利用反映主系統(tǒng)上移動設(shè)備用戶帳戶或信箱的地址的“From”字段�,將答復(fù)消息傳遞到所尋址的接收者�����。使用來自移動設(shè)備816或818的用戶帳戶或信箱地址使得從移動設(shè)備發(fā)送的消息仿佛是來自主系統(tǒng)上用戶信箱819或帳戶的消息,而不是來自移動設(shè)備���。
圖9是可選的通信系統(tǒng)例子的方框圖�����,其中無線通信由與無線網(wǎng)絡(luò)的運營者相關(guān)的組件啟動��。如圖9所示�����,該系統(tǒng)包括計算機系統(tǒng)802�����、WAN 804��、位于安全防火墻808后面的公司LAN 807��、網(wǎng)絡(luò)運營者基礎(chǔ)設(shè)施840、無線網(wǎng)絡(luò)811��、和移動設(shè)備813和815�。計算機系統(tǒng)802�、WAN 804��、安全防火墻808����、消息服務(wù)器820、數(shù)據(jù)存儲單元817��、信箱819和VPN路由器835實際上與圖8中相同標記的組件相同��。然而�,由于VPN路由器835與網(wǎng)絡(luò)運營者基礎(chǔ)設(shè)施840通信,它不必一定是圖9的系統(tǒng)中的無線VPN路由器����。網(wǎng)絡(luò)運營者基礎(chǔ)設(shè)施840能夠?qū)崿F(xiàn)分別與計算機系統(tǒng)842和852相關(guān)并且配置運行在無線網(wǎng)絡(luò)811中的LAN 807和移動設(shè)備813、815之間的無線信息交換��。在LAN 807中�,示出了多個桌面計算機系統(tǒng)842、852���,每個具有到接口或連接器848或858的物理連接846或856�����。無線連接器系統(tǒng)844或854運行在每個計算機系統(tǒng)842和852上或與每個計算機系統(tǒng)842和852一起工作�����。
無線連接器系統(tǒng)844和854類似于上述的無線連接器系統(tǒng)828�,因為它使得數(shù)據(jù)項諸如電子郵件消息和存儲在信箱819中的其它項、以及可能存儲在本地或網(wǎng)絡(luò)數(shù)據(jù)存儲單元中的數(shù)據(jù)項���,能夠從LAN 807發(fā)送到一個或多個移動設(shè)備813����、815��。然而在圖9中���,網(wǎng)絡(luò)運營者基礎(chǔ)設(shè)施840提供移動設(shè)備813和815和LAN 807之間的接口��。如同上面��,下面將以電子郵件消息作為可以發(fā)送到移動設(shè)備813和815的數(shù)據(jù)項的例子�����,描述圖9所示的系統(tǒng)的操作���。
當由消息服務(wù)器820接收尋址到具有消息服務(wù)器820上的帳戶的一個或多個接收者的電子郵件消息833時,消息或可能是存儲在中央信箱或數(shù)據(jù)存儲單元中的消息的單個復(fù)制件的指針����,被存儲在每個這種接收者的信箱819中。一旦電子郵件消息833或指針已經(jīng)存儲在信箱819中���,它最好能夠使用移動設(shè)備813或815被訪問����。在圖9示出的例子中�,電子郵件消息833已經(jīng)被尋址到與桌面計算機系統(tǒng)842和852以及由此與相應(yīng)的移動設(shè)備813和815相關(guān)的信箱819。
正如本領(lǐng)域技術(shù)人員理解的�,通常用在有線網(wǎng)絡(luò)諸如LAN 807和/或WAN 804中的通信網(wǎng)絡(luò)協(xié)議不適合于或不匹配在無線網(wǎng)絡(luò)諸如811中使用的無線網(wǎng)絡(luò)通信協(xié)議。例如�,在無線網(wǎng)絡(luò)通信中主要關(guān)心的通信帶寬、協(xié)議開銷和網(wǎng)絡(luò)等待時間����,在有線網(wǎng)絡(luò)中不重要,有線網(wǎng)絡(luò)比無線網(wǎng)絡(luò)典型地具有更高容量和速度�。因此,移動設(shè)備813和815通常不能直接訪問數(shù)據(jù)存儲單元817��。網(wǎng)絡(luò)運營者基礎(chǔ)設(shè)施840提供無線網(wǎng)絡(luò)811和LAN 807之間的橋接。
網(wǎng)絡(luò)運營者基礎(chǔ)設(shè)施840使得移動設(shè)備813或815能夠通過WAN 804建立到LAN 807的連接�,并且例如可以由無線網(wǎng)絡(luò)811的運營者或為移動設(shè)備813和815提供無線通信服務(wù)的服務(wù)提供商來操作。在基于拉的系統(tǒng)中�,使用無線網(wǎng)絡(luò)匹配通信方案,當信息應(yīng)該保持保密時最好使用安全方案諸如無線傳輸層安全(WTLS)�����、和無線網(wǎng)絡(luò)瀏覽器諸如無線應(yīng)用協(xié)議(WAP)瀏覽器���,移動設(shè)備813或815可以建立與網(wǎng)絡(luò)運營者基礎(chǔ)設(shè)施840的通信會話�。然后����,用戶可以請求(通過人工選擇或駐留在移動設(shè)備里的軟件中的預(yù)選擇缺省)存儲在LAN 807處的數(shù)據(jù)存儲單元817中的信箱819中的任何或所有信息或例如僅僅新信息。然后如果沒有會話已經(jīng)建立��,例如使用安全超文本傳輸協(xié)議(HTTPS)���,網(wǎng)絡(luò)運營者基礎(chǔ)設(shè)施840建立與無線連接器系統(tǒng)844或854的連接或會話�����。如上所述�����,可以經(jīng)典型的WAN連接或通過VPN路由器835(如果有的話)進行網(wǎng)絡(luò)運營者基礎(chǔ)設(shè)施840和無線連接器系統(tǒng)844或854之間的會話��。當接收來自移動設(shè)備813或815的請求和傳遞所請求的信息回到設(shè)備之間的時間延遲將被最小化時����,可以配置網(wǎng)絡(luò)運營者基礎(chǔ)設(shè)施840和無線連接器系統(tǒng)844和854���,使得通信連接一旦被建立保持開通��。
在圖9的系統(tǒng)中�,來自移動設(shè)備A 813和B 815的請求將分別發(fā)送到無線連接器系統(tǒng)844和854��。一旦接收到來自網(wǎng)絡(luò)運營者基礎(chǔ)設(shè)施840的信息請求��,無線連接器系統(tǒng)844或854從數(shù)據(jù)存儲單元中獲得所請求的信息�����。對于電子郵件信息833�,無線連接器系統(tǒng)844或854通常通過結(jié)合計算機系統(tǒng)842或852操作的消息客戶端(或者經(jīng)消息服務(wù)器820或者直接可訪問信箱819),從適當?shù)男畔?19獲取電子郵件消息833?��;蛘?�,可以配置無線連接器系統(tǒng)844或854�,直接或通過消息服務(wù)器820訪問信箱819本身���。此外����,其它數(shù)據(jù)存儲單元�����,類似于數(shù)據(jù)存儲單元817的網(wǎng)絡(luò)數(shù)據(jù)存儲單元和與每個計算機系統(tǒng)842���,852相關(guān)的本地數(shù)據(jù)存儲單元��,對于無線連接器系統(tǒng)844����、854來說可以訪問����,并且由此對于移動設(shè)備813��,815可以訪問�。
如果電子郵件消息833尋址到與計算機系統(tǒng)842和852及設(shè)備813和815兩者相關(guān)的消息服務(wù)器帳戶或信箱819�,那么電子郵件消息833可發(fā)送到網(wǎng)絡(luò)運營者基礎(chǔ)設(shè)施840,如在860和862示出的那樣�����,然后發(fā)送電子郵件消息的復(fù)制件到每個移動設(shè)備813和815���,如在864和866指示的。信息經(jīng)到WAN 804的連接或VPN路由器835��,在無線連接器系統(tǒng)844和854和網(wǎng)絡(luò)運營者基礎(chǔ)設(shè)施840之間傳送�。當網(wǎng)絡(luò)運營者基礎(chǔ)設(shè)施840經(jīng)不同的協(xié)議與無線連接器系統(tǒng)844、854和移動設(shè)備813���,815通信時�,可由網(wǎng)絡(luò)運營者基礎(chǔ)設(shè)施840執(zhí)行轉(zhuǎn)換操作�。重新打包技術(shù)也可以在無線連接器系統(tǒng)844、854和網(wǎng)絡(luò)運營者基礎(chǔ)設(shè)施840之間��、以及每個移動設(shè)備813和815和網(wǎng)絡(luò)運營者基礎(chǔ)設(shè)施840之間使用。
要從移動設(shè)備813或815發(fā)送的消息或其它信息能夠以類似方式得到處理���,這些信息首先從移動設(shè)備813或815傳送到網(wǎng)絡(luò)運營者基礎(chǔ)設(shè)施840��。然后����,網(wǎng)絡(luò)運營者基礎(chǔ)設(shè)施840發(fā)送信息到無線連接器系統(tǒng)844或854��,用于存儲在信箱819中�����,并且例如通過消息服務(wù)器820傳遞到任何所尋址的接收者���,或者可選地將信息傳遞到尋址的接收者����。
圖9中的系統(tǒng)的上述描述涉及基于拉的操作�。作為替代,無線連接器系統(tǒng)844和854和網(wǎng)絡(luò)運營者基礎(chǔ)設(shè)施可配置為將數(shù)據(jù)項推到移動設(shè)備813和815�����。也能夠是一組合的推/拉系統(tǒng)。例如�����,當前存儲在LAN807處的數(shù)據(jù)存儲單元中的數(shù)據(jù)項列表或新消息的通知可以推到移動設(shè)備813���、815����,然后可以用來經(jīng)網(wǎng)絡(luò)運營者基礎(chǔ)設(shè)施840���,從LAN 807請求消息或數(shù)據(jù)項。
如果與LAN 807上的用戶帳戶相關(guān)的移動設(shè)備被配置操作于不同的無線網(wǎng)絡(luò)內(nèi)����,然后,每個無線網(wǎng)絡(luò)可以具有類似于840的相關(guān)無線網(wǎng)絡(luò)基礎(chǔ)設(shè)施組件��。
盡管在圖9的系統(tǒng)中�,為每個計算機系統(tǒng)842和852示出了分離的專用的無線連接器系統(tǒng)844和854。最好配置一個或多個無線連接器系統(tǒng)844和854����,以與多于一個計算機系統(tǒng)842和852一起操作�����,或訪問與多于一個計算機系統(tǒng)相關(guān)的數(shù)據(jù)存儲單元或信箱819��。例如����,無線連接器系統(tǒng)844可被授權(quán)訪問與計算機系統(tǒng)842和計算機系統(tǒng)852二者相關(guān)的信箱819�。然后,來自移動設(shè)備A 813或B 815對數(shù)據(jù)項的請求可以由無線連接器系統(tǒng)844處理�。該配置可用于啟動LAN 807和移動設(shè)備813和815之間的通信,不需要針對每個移動設(shè)備用戶運行桌面計算機系統(tǒng)842和852����。作為替換,無線連接器系統(tǒng)可以與消息服務(wù)器820一起實現(xiàn)��,以能夠進行無線通信�����。
圖10是另一個可選的通信系統(tǒng)的方框圖���。該系統(tǒng)包括計算機系統(tǒng)802���、WAN 804����、位于安全防火墻808后面的公司LAN 809�、訪問網(wǎng)關(guān)880、數(shù)據(jù)存儲單元882����、無線網(wǎng)絡(luò)884和886、和移動設(shè)備888和890�。計算機系統(tǒng)802、WAN 804���、安全防火墻808�����、消息服務(wù)器820、數(shù)據(jù)存儲單元817�����、信箱819�、桌上型計算機系統(tǒng)822�����、物理連接824�����、接口或連接器826和VPN路由器835實質(zhì)上與上述相應(yīng)的組件相同���。訪問網(wǎng)關(guān)880和數(shù)據(jù)存儲單元882給移動設(shè)備888和890提供對存儲在LAN 809處的數(shù)據(jù)項的訪問。在圖10中�����,無線連接器系統(tǒng)878運行于消息服務(wù)器820上或與消息服務(wù)器820一起操作����,盡管作為替換,無線連接器系統(tǒng)可以運行于LAN 809中的一個或多個桌面計算機系統(tǒng)上或與LAN 809中的一個或多個桌面計算機系統(tǒng)一起工作�����。
無線連接器系統(tǒng)878用于存儲在LAN 809上的數(shù)據(jù)項到一個或多個移動設(shè)備888和890的傳送��。這些數(shù)據(jù)項最好包括����,存儲在數(shù)據(jù)存儲單元817上的信箱819中的電子郵件消息��、以及存儲在數(shù)據(jù)存儲單元817或另一網(wǎng)絡(luò)數(shù)據(jù)存儲單元或計算機系統(tǒng)諸如822的本地數(shù)據(jù)存儲單元中的可能的其它數(shù)據(jù)項����。
如上所述����,尋址到具有消息服務(wù)器820上的帳戶的一個或多個接收者并且由消息服務(wù)器820接收的電子郵件消息833可以存儲到每個這樣的接收者的信箱819中。在圖10的系統(tǒng)中���,外部數(shù)據(jù)存儲單元882最好具有與數(shù)據(jù)存儲單元817類似的結(jié)構(gòu)����,并且保持與數(shù)據(jù)存儲單元817同步���。存儲在數(shù)據(jù)存儲單元882中的PIM信息或數(shù)據(jù)最好可獨立修改存儲在主系統(tǒng)上的PIM信息或數(shù)據(jù)��。在該種具體配置中,在外部數(shù)據(jù)存儲單元882處獨立可修改的信息可保持與用戶相關(guān)的多個數(shù)據(jù)存儲單元(例如移動設(shè)備上的數(shù)據(jù)����、家中個人計算機上的數(shù)據(jù)����、公司LAN上的數(shù)據(jù))的同步����。該同步可按照如下方式完成例如,可通過以一定的時間間隔���、每次數(shù)據(jù)存儲單元817中的一項被添加或改變時�、在一天的某些時候���、或當在LAN 809啟動時���,由無線連接器系統(tǒng)878發(fā)送到數(shù)據(jù)存儲單元882的更新,通過消息服務(wù)器820或計算機系統(tǒng)822��,在數(shù)據(jù)存儲單元882處����,或可能通過移動設(shè)備888,890經(jīng)由訪問網(wǎng)關(guān)880��。
在電子郵件消息833的清況下,接收電子郵件消息833之后的某時間發(fā)送到數(shù)據(jù)存儲單元882的更新指示消息833已經(jīng)存儲在存儲單元817中的某一信箱819中���,并且電子郵件消息的復(fù)制件將被存儲到數(shù)據(jù)存儲單元882中的相應(yīng)的存儲區(qū)域中�����。當電子郵件消息833已經(jīng)存儲在對應(yīng)于移動設(shè)備888和890的信箱819中時�����,在圖10中以892和894指示的電子郵件消息的一個或多個復(fù)制件將被發(fā)送到并且存儲到數(shù)據(jù)存儲單元882中的相應(yīng)的存儲區(qū)域或信箱中����。正如示出的���,在數(shù)據(jù)存儲單元817中存儲信息的更新或復(fù)制可通過到WAN 804的連接或VPN路由器835的連接發(fā)送到數(shù)據(jù)存儲單元882����。例如���,無線連接器系統(tǒng)878可經(jīng)HTTP投寄請求���,投寄更新或存儲的信息到數(shù)據(jù)存儲單元882中的資源����?����;蛘?��,可以使用安全協(xié)議,諸如HTTPS或安全套接字層(SSL)����。本領(lǐng)域技術(shù)人員將理解,存儲在LAN 809處的數(shù)據(jù)存儲單元中多于一個位置的數(shù)據(jù)項的單個復(fù)制件可以被替換為發(fā)送到數(shù)據(jù)存儲單元882�����。然后����,數(shù)據(jù)項的該復(fù)制件,利用存儲在數(shù)據(jù)存儲單元882中的每個相應(yīng)位置中的所存儲數(shù)據(jù)項的指針或其它標識符�����,能夠存儲在數(shù)據(jù)存儲單元882中多于一個相應(yīng)的位置,或者單個復(fù)制件可存儲在數(shù)據(jù)存儲單元882中�。
訪問網(wǎng)關(guān)880是一個有效的訪問平臺,因為它為移動設(shè)備888和890提供了對數(shù)據(jù)存儲單元882的訪問����。數(shù)據(jù)存儲單元882可以配置為在WAN 804上可訪問的資源,并且訪問網(wǎng)關(guān)880可以是ISP系統(tǒng)或WAP網(wǎng)關(guān)����,通過其,移動設(shè)備888和890可以連接到WAN 804���。然后�����,與無線網(wǎng)絡(luò)884和886兼容的WAP瀏覽器或其它瀏覽器可被用于訪問與數(shù)據(jù)存儲單元817同步的數(shù)據(jù)存儲單元882��,并且或者自動地或者響應(yīng)于來自移動設(shè)備888或890的請求�����,下載存儲的數(shù)據(jù)項�����。如在896和898示出的�����,存儲在數(shù)據(jù)存儲單元817中的電子郵件消息833的復(fù)制件�,可發(fā)送到移動設(shè)備888和890���。由此����,在每個移動設(shè)備888�����,890上的數(shù)據(jù)存儲單元(未示處)可以與公司LAN 809上的數(shù)據(jù)存儲單元817的一部分諸如信箱819同步��。移動設(shè)備數(shù)據(jù)存儲單元的變化可類似地反映在數(shù)據(jù)存儲單元882和817中�。
在此描述的實施例是具有對應(yīng)于在權(quán)利要求中列舉的發(fā)明單元的組件的系統(tǒng)和方法。該書面說明書可以使得本領(lǐng)域普通技術(shù)人員能夠制造和使用具有同樣對應(yīng)于權(quán)利要求中列舉的發(fā)明單元的可選組件的實施例���。由此本發(fā)明的打算范圍包括不同于權(quán)利要求的文字語言的其它結(jié)構(gòu)�����、系統(tǒng)或方法���,并且進一步包括具有與權(quán)利要求的文字語言無實質(zhì)區(qū)別的其它結(jié)構(gòu)����,系統(tǒng)或方法�����。
權(quán)利要求
1.一種從存儲在狀態(tài)提供器系統(tǒng)中的狀態(tài)數(shù)據(jù)確定數(shù)字證書的狀態(tài)的系統(tǒng)��,包括客戶端系統(tǒng)���,包括客戶端模塊����,該客戶端模塊可操作產(chǎn)生和提供對應(yīng)于數(shù)字證書狀態(tài)請求的狀態(tài)請求數(shù)據(jù)�����,用于從客戶端系統(tǒng)傳輸�,并且響應(yīng)于該狀態(tài)請求,接收用于數(shù)字證書的數(shù)字證書狀態(tài)數(shù)據(jù)���;和代理系統(tǒng)�����,包括代理模塊����,該代理模塊可操作接收從所述客戶端系統(tǒng)傳送的狀態(tài)請求數(shù)據(jù),并且響應(yīng)于此���,產(chǎn)生用于所述數(shù)字證書狀態(tài)的查詢數(shù)據(jù),和提供所述查詢數(shù)據(jù)�����,用于從代理系統(tǒng)傳送到狀態(tài)提供器系統(tǒng)�����,和進一步可操作從所述狀態(tài)提供器系統(tǒng)接收狀態(tài)數(shù)據(jù)����,基于接收的狀態(tài)數(shù)據(jù)產(chǎn)生所述數(shù)字證書狀態(tài)數(shù)據(jù),和提供所述數(shù)字證書狀態(tài)數(shù)據(jù)����,用于傳送到客戶端系統(tǒng)�����。
2.如權(quán)利要求1所述的系統(tǒng)���,其特征在于,所述客戶端系統(tǒng)包括移動設(shè)備�,該移動設(shè)備包括存儲器子系統(tǒng),并且可操作經(jīng)無線網(wǎng)絡(luò)與代理系統(tǒng)通信�����,經(jīng)無線網(wǎng)絡(luò)接收數(shù)據(jù)項�,和在所述存儲器子系統(tǒng)中存儲所述數(shù)據(jù)項。
3.如權(quán)利要求2所述的系統(tǒng)����,其特征在于,所述數(shù)字證書狀態(tài)數(shù)據(jù)包括從所述狀態(tài)提供器系統(tǒng)接收的狀態(tài)數(shù)據(jù)的子集�。
4.如權(quán)利要求3所述的系統(tǒng),其特征在于���,所述狀態(tài)請求數(shù)據(jù)包括所述查詢數(shù)據(jù)的子集�����。
5.如權(quán)利要求4所述的系統(tǒng)��,其特征在于���,所述查詢數(shù)據(jù)包括在線證書狀態(tài)協(xié)議(OCSP)查詢��。
6.如權(quán)利要求2所述的系統(tǒng)��,其特征在于���,所述客戶端模塊進一步可操作用于確定是否數(shù)據(jù)項包括數(shù)字證書���,一旦確定所述數(shù)據(jù)項包括所述數(shù)字證書�,產(chǎn)生對應(yīng)于數(shù)字證書狀態(tài)請求的狀態(tài)請求數(shù)據(jù)和提供傳輸�。
7.如權(quán)利要求6所述的系統(tǒng),其特征在于���,所述移動設(shè)備進一步包括輸入/輸出(I/O)設(shè)備�,以及所述客戶端模塊進一步可操作以將數(shù)字證書狀態(tài)劃分為等待、有效���、注銷或未知之一��,并且在I/O設(shè)備上顯示相應(yīng)的等待����、有效���、注銷或未知狀態(tài)指示符���。
8.如權(quán)利要求7所述的系統(tǒng),其特征在于��,在對應(yīng)于接收的數(shù)據(jù)項的數(shù)字證書的數(shù)字證書狀態(tài)被劃分為等待���、注銷或未知之一的情況下����,所述客戶端模塊進一步可操作以通過I/O設(shè)備查詢用戶���,用于確認以傳送涉及接收的數(shù)據(jù)項的答復(fù)數(shù)據(jù)項���。
9.如權(quán)利要求2所述的系統(tǒng)�,其特征在于����,從所述代理系統(tǒng)發(fā)送的所述數(shù)字證書狀態(tài)數(shù)據(jù)包括有效指示符、注銷指示符�、和未知指示符。
10.如權(quán)利要求9所述的系統(tǒng)����,其特征在于,所述客戶端模塊進一步可操作用于在傳送所述狀態(tài)請求數(shù)據(jù)之后��,將數(shù)字證書狀態(tài)劃分為等待�����,并且一旦接收到從代理系統(tǒng)傳送的數(shù)字證書狀態(tài)數(shù)據(jù)�,將數(shù)字證書狀態(tài)重劃分為有效��、注銷或未知之一���。
11.如權(quán)利要求2所述的系統(tǒng)��,其特征在于��,所述數(shù)字證書狀態(tài)數(shù)據(jù)包括指示數(shù)字證書的有效期的有效期數(shù)據(jù)����,并且在數(shù)字證書的有效期內(nèi),所述客戶端模塊進一步可操作以周期產(chǎn)生和提供對應(yīng)于狀態(tài)請求的狀態(tài)請求數(shù)據(jù)���,用于傳送到代理系統(tǒng)����。
12.如權(quán)利要求2所述的系統(tǒng)��,其特征在于��,所述代理系統(tǒng)可操作以重定向數(shù)據(jù)項到所述移動設(shè)備�,并且所述代理模塊進一步可操作以確定是否所述數(shù)據(jù)項包括數(shù)字證書,一旦確定所述數(shù)據(jù)項包括所述數(shù)字證書���,產(chǎn)生和提供對應(yīng)于數(shù)字證書狀態(tài)請求的狀態(tài)請求數(shù)據(jù)���,用于傳送到狀態(tài)提供器系統(tǒng),和響應(yīng)于所述狀態(tài)請求來接收針對數(shù)字證書的數(shù)字證書狀態(tài)數(shù)據(jù)�。
13.如權(quán)利要求12所述的系統(tǒng)�����,其特征在于����,所述代理系統(tǒng)進一步可操作用于在代理系統(tǒng)處存儲所述數(shù)據(jù)項���,直到接收到響應(yīng)于狀態(tài)請求的數(shù)字證書的數(shù)字證書狀態(tài)數(shù)據(jù)�����,并且在將所述數(shù)據(jù)項重定向到所述移動設(shè)備之前����,附加所述數(shù)字證書狀態(tài)數(shù)據(jù)到所述數(shù)據(jù)項���。
14.如權(quán)利要求3所述的系統(tǒng)�,其特征在于�,所述數(shù)字證書包括數(shù)字證書的數(shù)字證書鏈,并且所述狀態(tài)請求數(shù)據(jù)包括對應(yīng)于在所述數(shù)字證書鏈中的每個數(shù)字證書的數(shù)據(jù)��。
15.如權(quán)利要求1所述的系統(tǒng)����,其特征在于,所述代理系統(tǒng)包括計算機����,該計算機包括計算機處理系統(tǒng)、計算機存儲器子系統(tǒng)�、和計算機通信子系統(tǒng),并且所述系統(tǒng)還包括存儲在所述計算機存儲器子系統(tǒng)中的代理映射表���,所述代理映射表被配置來存儲數(shù)字證書和相應(yīng)的數(shù)字證書標識符��,并且將所述數(shù)字證書映射到相應(yīng)的數(shù)字證書標識符�����,并且所述代理模塊進一步可操作用于通過選擇基于其相應(yīng)的數(shù)字證書標識符的數(shù)字證書�,產(chǎn)生所述查詢數(shù)據(jù)�����。
16.如權(quán)利要求15所述的系統(tǒng)����,其特征在于��,所述客戶端系統(tǒng)包括移動設(shè)備����,所述移動設(shè)備包括移動處理系統(tǒng)���、移動存儲器子系統(tǒng)�、和移動通信子系統(tǒng)����,并且所述系統(tǒng)還包括存儲在所述移動存儲器子系統(tǒng)中的客戶端映射表,所述客戶端映射表被配置來存儲數(shù)字證書和相應(yīng)的數(shù)字證書標識符�,并且將所述數(shù)字證書映射到相應(yīng)的數(shù)字證書標識符,并且所述客戶端模塊進一步可操作用于通過選擇一個數(shù)字證書和提供傳輸相應(yīng)的數(shù)字證書標識符��,來產(chǎn)生所述狀態(tài)請求數(shù)據(jù)����。
17.如權(quán)利要求16所述的系統(tǒng),其特征在于����,所述計算機包括可操作來提供代理服務(wù)的代理服務(wù)器。
18.如權(quán)利要求16所述的系統(tǒng)����,其特征在于,所述計算機包括中間計算機��。
19.一種用于處理針對客戶端系統(tǒng)的數(shù)字證書狀態(tài)檢驗服務(wù)的系統(tǒng)����,包括代理系統(tǒng),包括代理模塊��,可操作從客戶端系統(tǒng)接收針對數(shù)字證書的第一數(shù)字證書狀態(tài)檢驗服務(wù)請求數(shù)據(jù)�����,并且響應(yīng)于此�,產(chǎn)生第二數(shù)字證書狀態(tài)檢驗服務(wù)請求數(shù)據(jù)和提供所述第二數(shù)字證書狀態(tài)檢驗服務(wù)請求數(shù)據(jù),用于傳送到數(shù)字證書狀態(tài)檢驗服務(wù)提供器系統(tǒng)�,并且進一步可操作從所述數(shù)字證書狀態(tài)檢驗服務(wù)提供器系統(tǒng)接收第一數(shù)字證書狀態(tài)檢驗服務(wù)數(shù)據(jù),基于接收的所述第一數(shù)字證書狀態(tài)檢驗服務(wù)數(shù)據(jù)����,產(chǎn)生第二數(shù)字證書狀態(tài)檢驗服務(wù)數(shù)據(jù),和提供所述第二數(shù)字證書狀態(tài)檢驗服務(wù)數(shù)據(jù)����,用于傳送到客戶端系統(tǒng)��,其中�,所述第二數(shù)字證書狀態(tài)檢驗服務(wù)數(shù)據(jù)包括從所述服務(wù)提供器系統(tǒng)接收的第一數(shù)字證書狀態(tài)檢驗服務(wù)數(shù)據(jù)的子集�。
20.如權(quán)利要求19所述的系統(tǒng),其特征在于����,所述代理模塊進一步可操作用于基于從所述服務(wù)提供器系統(tǒng)接收的第一數(shù)字證書狀態(tài)檢驗服務(wù)數(shù)據(jù),將數(shù)字證書的狀態(tài)劃分為有效����、注銷或未知,和在所述第二數(shù)字證書狀態(tài)檢驗服務(wù)數(shù)據(jù)中包括指示所述數(shù)字證書的狀態(tài)的數(shù)據(jù)�。
21.如權(quán)利要求20所述的系統(tǒng),其特征在于��,所述第二數(shù)字證書狀態(tài)檢驗服務(wù)請求數(shù)據(jù)包括在線證書狀態(tài)協(xié)議(OCSP)查詢���。
22.一種用于處理針對數(shù)字證書的數(shù)字證書狀態(tài)檢驗服務(wù)的系統(tǒng)�����,所述數(shù)字證書狀態(tài)檢驗服務(wù)由數(shù)字證書狀態(tài)檢驗服務(wù)提供器系統(tǒng)提供�,該系統(tǒng)可操作接收針對數(shù)字證書狀態(tài)檢驗服務(wù)請求的查詢數(shù)據(jù),所述系統(tǒng)包括客戶端系統(tǒng)�����,包括客戶端模塊�����,可操作用于準備并且提供傳輸對應(yīng)于數(shù)字證書的數(shù)字證書狀態(tài)檢驗服務(wù)的第一數(shù)字證書狀態(tài)檢驗服務(wù)請求數(shù)據(jù)�����,和響應(yīng)于第一數(shù)字證書狀態(tài)檢驗服務(wù)請求數(shù)據(jù)��,接收第一數(shù)字證書狀態(tài)檢驗服務(wù)數(shù)據(jù)���,其中,所述第一數(shù)字證書狀態(tài)檢驗服務(wù)請求數(shù)據(jù)包括針對數(shù)字證書狀態(tài)檢驗服務(wù)請求的查詢數(shù)據(jù)的子集����。
23.如權(quán)利要求22所述的系統(tǒng),其特征在于�,所述客戶端模塊進一步可操作用于確定是否接收的數(shù)據(jù)項包括數(shù)字證書,并且在所述數(shù)據(jù)項包括數(shù)字證書的情況下�����,產(chǎn)生對應(yīng)于數(shù)字證書的第一數(shù)字證書狀態(tài)檢驗服務(wù)請求數(shù)據(jù)并且提供傳輸。
24.如權(quán)利要求23所述的系統(tǒng)�����,其特征在于���,所述客戶端系統(tǒng)進一步包括輸入/輸出(I/O)設(shè)備���,并且所述客戶端模塊進一步可操作用于將數(shù)字證書狀態(tài)劃分為有效、注銷或未知之一��,并且在所述I/O設(shè)備上顯示相應(yīng)的有效�����、注銷或未知狀態(tài)指示符�。
25.如權(quán)利要求24所述的系統(tǒng),其特征在于���,如果在接收的數(shù)據(jù)項中的數(shù)字證書的數(shù)字證書狀態(tài)被劃分為注銷或未知之一��,則所述客戶端模塊進一步可操作用于通過I/O設(shè)備查詢用戶�����,用于確認以傳送涉及接收的數(shù)據(jù)項的答復(fù)數(shù)據(jù)項����。
26.如權(quán)利要求23所述的系統(tǒng),其特征在于�,所述客戶端模塊進一步可操作用于在傳送所述第一數(shù)字證書狀態(tài)檢驗服務(wù)請求數(shù)據(jù)之后,將數(shù)字證書狀態(tài)劃分為等待�����,一旦接收到第一數(shù)字證書狀態(tài)檢驗服務(wù)數(shù)據(jù)����,將數(shù)字證書狀態(tài)重劃分為有效�����、注銷或未知之一�����。
27.如權(quán)利要求22所述的系統(tǒng)�,其特征在于,所述第一數(shù)字證書狀態(tài)檢驗服務(wù)數(shù)據(jù)包括指示數(shù)字證書的有效期的有效期數(shù)據(jù),其中��,所述第一數(shù)字證書狀態(tài)檢驗服務(wù)請求數(shù)據(jù)包括對應(yīng)于所述數(shù)字證書的數(shù)字證書狀態(tài)請求的狀態(tài)請求數(shù)據(jù)�����,并且在數(shù)字證書的有效期內(nèi)�����,所述客戶端模塊進一步可操作用于周期地產(chǎn)生對應(yīng)于數(shù)字證書狀態(tài)請求的狀態(tài)請求數(shù)據(jù)并且傳送�。
28.如權(quán)利要求30所述的系統(tǒng),其特征在于����,所述客戶端系統(tǒng)是移動電子郵件通信設(shè)備。
29.一種用于處理針對數(shù)字證書的數(shù)字證書狀態(tài)檢驗服務(wù)的方法��,所述數(shù)字證書狀態(tài)檢驗服務(wù)由數(shù)字證書狀態(tài)檢驗服務(wù)提供器系統(tǒng)提供�,該系統(tǒng)可操作接收針對數(shù)字證書狀態(tài)檢驗服務(wù)請求的查詢數(shù)據(jù),所述方法包括步驟接收數(shù)據(jù)項��;確定是否所述數(shù)據(jù)項包括數(shù)字證書��;在所述數(shù)據(jù)項包括數(shù)字證書的情況下����,產(chǎn)生包括所述查詢數(shù)據(jù)的子集的數(shù)字證書狀態(tài)檢驗服務(wù)請求數(shù)據(jù)��;提供所述數(shù)字證書狀態(tài)檢驗服務(wù)請求數(shù)據(jù)���,用于傳送到代理系統(tǒng);和響應(yīng)于所述數(shù)字證書狀態(tài)檢驗服務(wù)請求數(shù)據(jù)���,從所述代理系統(tǒng)中接收數(shù)字證書狀態(tài)檢驗服務(wù)數(shù)據(jù)�。
30.如權(quán)利要求29所述的方法�����,其特征在于�,所述數(shù)字證書狀態(tài)檢驗服務(wù)數(shù)據(jù)指示數(shù)字證書的狀態(tài)作為有效�、注銷或未知之一,并且其中����,所述方法進一步包括步驟在傳送所述數(shù)字證書狀態(tài)檢驗服務(wù)請求數(shù)據(jù)給代理系統(tǒng)之后,將數(shù)字證書狀態(tài)劃分為等待����;和基于所述數(shù)字證書狀態(tài)檢驗服務(wù)數(shù)據(jù)����,將數(shù)字證書狀態(tài)重劃分為有效�、注銷或未知之一。
31.如權(quán)利要求29所述的方法�,其特征在于還包括步驟基于所述數(shù)字證書狀態(tài)檢驗服務(wù)數(shù)據(jù),確定所述數(shù)字證書的有效期�;和在有效期內(nèi),周期地依次產(chǎn)生和提供針對數(shù)字證書的數(shù)字證書狀態(tài)檢驗服務(wù)請求數(shù)據(jù)��,用于傳送到所述代理系統(tǒng)����。
32.如權(quán)利要求30所述的方法,其特征在于�,所述數(shù)字證書包括數(shù)字證書的數(shù)字證書鏈,并且產(chǎn)生數(shù)字證書狀態(tài)檢驗服務(wù)請求數(shù)據(jù)的步驟包括以下步驟產(chǎn)生對應(yīng)于在數(shù)字證書鏈中的每個數(shù)字證書的服務(wù)請求數(shù)據(jù)����。
33.如權(quán)利要求32所述的方法,其特征在于還包括步驟映射所述數(shù)字證書到數(shù)字證書標識符���,并且產(chǎn)生數(shù)字證書狀態(tài)檢驗服務(wù)請求數(shù)據(jù)的步驟包括以下步驟選擇所述數(shù)字證書標識符����,用于傳送到所述代理系統(tǒng)。
34.如權(quán)利要求29所述的方法�,其特征在于,所述數(shù)字證書狀態(tài)檢驗服務(wù)包括從下列組中選擇的一個或多個服務(wù)在線注銷狀態(tài)(ORS)服務(wù)����、派遣路徑有效(DPV)服務(wù)、和派遣路徑發(fā)現(xiàn)(DPD)服務(wù)�����。
35.一種處理客戶端系統(tǒng)和代理系統(tǒng)之間的數(shù)字證書狀態(tài)請求的方法��,該方法包括步驟在所述代理系統(tǒng)����,接收從所述客戶端系統(tǒng)傳送的數(shù)字證書狀態(tài)請求數(shù)據(jù);響應(yīng)于所述數(shù)字證書狀態(tài)請求數(shù)據(jù)的接收�����,產(chǎn)生針對所述數(shù)字證書狀態(tài)的查詢數(shù)據(jù)�����;傳送所述查詢數(shù)據(jù)到狀態(tài)提供器系統(tǒng)��;響應(yīng)于所述查詢數(shù)據(jù)����,在所述代理系統(tǒng),從所述狀態(tài)提供器系統(tǒng)中接收狀態(tài)數(shù)據(jù)���;基于接收的所述狀態(tài)數(shù)據(jù)��,產(chǎn)生數(shù)字證書狀態(tài)數(shù)據(jù)��;和傳送所述數(shù)字證書狀態(tài)數(shù)據(jù)到所述客戶端系統(tǒng)����。
36.如權(quán)利要求35所述的方法����,其特征在于,所述數(shù)字證書狀態(tài)數(shù)據(jù)是從所述狀態(tài)提供器接收的狀態(tài)數(shù)據(jù)的子集�����。
37.如權(quán)利要求35所述的方法����,其特征在于�����,所述數(shù)字證書狀態(tài)請求數(shù)據(jù)包括所述查詢數(shù)據(jù)的子集����。
38.如權(quán)利要求37所述的方法���,其特征在于��,針對所述數(shù)字證書狀態(tài)的所述查詢數(shù)據(jù)包括在線證書狀態(tài)協(xié)議(OCSP)查詢數(shù)據(jù)���。
全文摘要
提供了一種處理數(shù)字證書狀態(tài)檢驗的方法和系統(tǒng)。在代理系統(tǒng)處��,接收從客戶端系統(tǒng)傳送來的數(shù)字證書狀態(tài)請求數(shù)據(jù)���。代理系統(tǒng)響應(yīng)數(shù)字證書狀態(tài)請求數(shù)據(jù)的接收����,產(chǎn)生針對數(shù)字證書狀態(tài)的查詢數(shù)據(jù)��。將查詢數(shù)據(jù)傳送到狀態(tài)提供器系統(tǒng)���,并且在代理系統(tǒng)處��,接收響應(yīng)查詢數(shù)據(jù)而來自狀態(tài)提供器系統(tǒng)的狀態(tài)數(shù)據(jù)�。由代理系統(tǒng)產(chǎn)生基于接收到的狀態(tài)數(shù)據(jù)的數(shù)字證書狀態(tài)數(shù)據(jù)����,并且將其傳送到客戶端系統(tǒng)。
文檔編號H04L29/06GK1672380SQ03810928
公開日2005年9月21日 申請日期2003年3月20日 優(yōu)先權(quán)日2002年3月20日
發(fā)明者赫伯特·A·利特爾, 斯蒂芬·E·揚胡寧 申請人:捷訊研究有限公司