欧美在线观看视频网站,亚洲熟妇色自偷自拍另类,啪啪伊人网,中文字幕第13亚洲另类,中文成人久久久久影院免费观看 ,精品人妻人人做人人爽,亚洲a视频

安全推送消息的制作方法

文檔序號(hào):7942935閱讀:252來(lái)源:國(guó)知局
專利名稱:安全推送消息的制作方法
安全推送消息
背景技術(shù)
在無(wú)線通信中,裝置可以根據(jù)無(wú)線應(yīng)用協(xié)議(WAP)向無(wú)線裝置(例如,蜂窩電 話、便攜式數(shù)字助理等)推送單向的消息。根據(jù)WAP,推送消息涉及兩個(gè)階段。在第 一階段中,如由WAP規(guī)范164(WAP-164)或WAP-247所規(guī)定的,裝置根據(jù)推送訪問(wèn)協(xié)議 (PAP push access protocol)向推送代理網(wǎng)關(guān)發(fā)送消息。在第二階段中,如由WAP-189 或WAP-235所規(guī)定的,推送代理網(wǎng)關(guān)可以根據(jù)推送空間傳輸(OTA over-the-air)協(xié)議來(lái) 向無(wú)線裝置中繼消息。

發(fā)明內(nèi)容
根據(jù)一個(gè)方面,一種方法包括從管理員裝置接收安全推送消息。該方法還包括 通過(guò)將管理員碼、標(biāo)識(shí)客戶裝置的客戶裝置標(biāo)識(shí)符以及與用戶預(yù)訂的業(yè)務(wù)相關(guān)聯(lián)的訂戶 信息結(jié)合來(lái)產(chǎn)生第一密鑰。此外,該方法還包括對(duì)第一密鑰進(jìn)行散列(hash)處理以產(chǎn)生 第二密鑰,使用該第二密鑰對(duì)安全推送消息內(nèi)部的數(shù)據(jù)塊進(jìn)行簽名以產(chǎn)生電子簽名,并 基于該電子簽名來(lái)驗(yàn)證該安全推送消息。另外,該方法還包括從所述安全推送消息獲取將設(shè)置在客戶裝置內(nèi)部的參數(shù)。另外,所述獲取所述參數(shù)的步驟包括從所述安全推送消息內(nèi)部獲取可擴(kuò)展標(biāo)記 語(yǔ)言數(shù)據(jù)。另外,該方法還包括將所述安全推送消息中包含的臨時(shí)值(nonce)與存儲(chǔ)在所 述客戶裝置中的臨時(shí)值進(jìn)行比較,以確定所述安全推送消息是否與回放式攻擊(replay attack)相關(guān)聯(lián)。另外,接收所述安全推送消息的步驟包括根據(jù)無(wú)線應(yīng)用協(xié)議(WAP)接收所述安 全推送消息。另外,該方法還包括從所述管理員裝置接收所述管理員碼,并使得所述客戶裝 置能夠接收安全推送消息,包括驗(yàn)證個(gè)人解鎖碼(PUK : personal unblocking code)或者在 成功驗(yàn)證了所述PUK時(shí)在所述客戶裝置中存儲(chǔ)所述管理員碼中的至少一種。另外,驗(yàn)證所述PUK的步驟包括將從所述管理員裝置接收的所述PUK與從所述 客戶裝置的可移動(dòng)存儲(chǔ)器獲取的PUK進(jìn)行比較。另外,該方法還包括根據(jù)包含在所述安全推送消息中的命令來(lái)執(zhí)行任務(wù)。另外,該方法還包括向所述管理員裝置發(fā)送回復(fù),以指示成功執(zhí)行了所述任 務(wù)。另外,驗(yàn)證所述安全推送消息的步驟包括將所述電子簽名與包含在所述安全推 送消息中的電子簽名進(jìn)行比較。根據(jù)另一個(gè)方面,一種裝置包括可移動(dòng)存儲(chǔ)器和處理器。該可移動(dòng)存儲(chǔ)器包括 訂戶信息。該處理器可被配置為從第一裝置接收安全推送消息,并從所述可移動(dòng)存儲(chǔ)器 檢索所述訂戶信息。此外,該處理器還可被配置為將與所述第一裝置相關(guān)聯(lián)的第一碼的 散列值、客戶裝置標(biāo)識(shí)符以及所述訂戶信息相結(jié)合以獲取第一值。此外,該處理器可被配置為對(duì)所述第一數(shù)值進(jìn)行散列處理以產(chǎn)生密鑰,使用該密鑰和所述安全推送消息的一 部分來(lái)產(chǎn)生電子簽名,以及通過(guò)將所述電子簽名與包含在所述安全推送消息中的電子簽 名進(jìn)行比較來(lái)驗(yàn)證所述安全推送消息。另外,該裝置還包括蜂窩電話、個(gè)人計(jì)算機(jī)或者便攜式數(shù)字助理。另外,所述可移動(dòng)存儲(chǔ)器包括訂戶信息模塊(SIM subscriberinformation module)卡。另外,所述處理器還可被配置為在成功驗(yàn)證了所述安全推送消息時(shí)向所述管理 員裝置發(fā)送回復(fù)。另外,所述回復(fù)可包括包含在所述安全推送消息中的所述臨時(shí)值。另外,所述客戶裝置標(biāo)識(shí)符可包括國(guó)際移動(dòng)設(shè)備身份碼(IMEI: International Mobile Equipment Identity)。另外,所述訂戶信息可包括電話號(hào)碼、個(gè)人解鎖碼(PUK)或者國(guó)際移動(dòng)設(shè)備身 份碼(IMSI)中的至少一種。另外,所述處理器可被進(jìn)一步配置為將所述安全推送消息中的臨時(shí)值與存儲(chǔ)在 所述裝置中的臨時(shí)值進(jìn)行比較,以確定所述安全推送消息是否與攻擊相關(guān)聯(lián)。另外,所述安全推送消息可包括數(shù)據(jù)、通過(guò)對(duì)所述安全推送消息的一部分進(jìn)行 簽名而產(chǎn)生的電子簽名、隨機(jī)數(shù)、時(shí)間戳或者用來(lái)指示包含在所述安全推送消息中的數(shù) 據(jù)格式的數(shù)據(jù)類型值中的至少一種。根據(jù)另一個(gè)方面,一種裝置包括用來(lái)對(duì)命令進(jìn)行格式化的單元以及用來(lái)將所述 管理員碼、與客戶裝置相關(guān)聯(lián)的客戶裝置標(biāo)識(shí)符以及與用戶預(yù)訂的業(yè)務(wù)相關(guān)聯(lián)的訂戶信 息相結(jié)合以產(chǎn)生第一密鑰的單元。此外,該裝置可包括用來(lái)使用所述第一密鑰和所述命 令來(lái)產(chǎn)生電子簽名的單元、用來(lái)將所述電子簽名和所述經(jīng)格式化的命令相結(jié)合以產(chǎn)生安 全推送消息的單元,以及用來(lái)向所述客戶裝置發(fā)送所述安全推送消息的單元。


附圖被結(jié)合到本說(shuō)明書中且構(gòu)成本說(shuō)明書的一部分,附圖例示了本文所述的一 種或更多種實(shí)施方式,并與說(shuō)明書一起用于解釋本發(fā)明。在附圖中圖1是其中可以實(shí)施本文所述的概念的示例性網(wǎng)絡(luò)的圖;圖2A和圖2B是圖1的示例性裝置的前視圖和后視圖;圖3是示例性裝置的框圖;圖4是圖1的示例性客戶裝置的功能框圖;圖5是圖1的示例性管理員裝置的功能框圖;圖6是圖1的示例性數(shù)據(jù)庫(kù)裝置的功能框圖;圖7是圖6的示例性數(shù)據(jù)庫(kù)的框圖;圖8是示例性推送消息的框圖;圖9是獲取并存儲(chǔ)用來(lái)產(chǎn)生電子簽名的信息的示例性處理的流程圖;圖10示出了圖9的示例性處理的示例;圖11是使得客戶裝置能夠接收推送消息的示例性處理的流程圖;圖12示出圖11的示例性處理的示例;
5
圖13是發(fā)送推送消息的示例性處理的流程圖;圖14是接收推送消息的示例性處理的流程圖;以及圖15描述了示出圖9、圖11、圖13和圖14中的示例性處理的場(chǎng)景。
具體實(shí)施例方式以下參照附圖來(lái)進(jìn)行詳細(xì)說(shuō)明。不同附圖中相同的附圖標(biāo)記用來(lái)表示相同的或 類似的元件。在本文使用時(shí),術(shù)語(yǔ)“推送消息”是指從為了發(fā)送該消息而在裝置與一 個(gè)或者更多個(gè)其它裝置之間發(fā)起通信的所述裝置發(fā)送的消息。此外,以下將說(shuō)明的術(shù)語(yǔ)
“管理員碼”以及“管理員碼的散列值”在適當(dāng)?shù)那闆r下可以交換使用。例如,發(fā)送管 理員碼的裝置也可以發(fā)送該管理員碼的散列值。概述下文中,發(fā)送器可以向客戶裝置發(fā)送安全推送消息。為了客戶裝置的安全,該 安全推送消息承載了用來(lái)在客戶裝置處確認(rèn)(例如,驗(yàn)證)該安全推送消息的電子簽名。在發(fā)送安全推送消息之前,發(fā)送器通過(guò)利用密鑰對(duì)消息進(jìn)行簽名來(lái)產(chǎn)生電子簽 名。該消息包括安全推送消息的實(shí)質(zhì)部分(例如,有效載荷)。該密鑰包括由客戶裝置 用來(lái)驗(yàn)證安全推送消息的碼。針對(duì)客戶裝置,利用該碼來(lái)驗(yàn)證安全推送消息可以以多種方式保護(hù)客戶裝置。 例如,利用該碼,客戶裝置可以驗(yàn)證發(fā)送器。在另一種示例中,利用該碼可以檢驗(yàn)安 全推送消息的期望接收者是該客戶裝置,并且檢驗(yàn)該客戶裝置包括正確的組件。例如, 利用該代碼可以檢驗(yàn)所述安全推送消息用于包含了特定的用戶身份識(shí)別模塊(SIM: Subscriber IdentityModule)卡的裝置。以上,針對(duì)客戶裝置,利用安全推送消息的電子簽名中的碼可以以多種方式驗(yàn) 證安全推送消息。通過(guò)這種方式,安全推送消息可以提供高級(jí)別的安全性。安全推送消 息的格式可以很簡(jiǎn)單靈活,并且可以被很方便地修改以兼容接收/發(fā)送安全推送消息的 不同類型的應(yīng)用/裝置。示例性網(wǎng)絡(luò)和裝置圖1示出了本文說(shuō)明的概念。如圖所示,網(wǎng)絡(luò)100包括客戶裝置102、管理員裝 置104、網(wǎng)關(guān)106和數(shù)據(jù)庫(kù)裝置108。根據(jù)具體實(shí)現(xiàn),相比圖1所示的這些,網(wǎng)絡(luò)100可 包括附加的、更少的或者不同的裝置。例如,網(wǎng)絡(luò)100可以包括多個(gè)客戶裝置102。裝置102可包括能夠或者適于與其它裝置通信或交互的如下裝置,例如,具有 超寬帶或者藍(lán)牙通信功能的無(wú)線電話或移動(dòng)電話;將蜂窩無(wú)線電話與數(shù)據(jù)處理、傳真和 /或數(shù)據(jù)通信功能相結(jié)合的個(gè)人通信系統(tǒng)(PCS personal communications system)終端; 與無(wú)線外圍設(shè)備(例如,無(wú)線鍵盤、揚(yáng)聲器等)通信的電子記事本、便攜式計(jì)算機(jī)和/或 個(gè)人計(jì)算機(jī);包括電話的個(gè)人數(shù)字助理(PDA);全球定位系統(tǒng)裝置和/或其它類型的定 位裝置;游戲裝置或控制臺(tái);外圍設(shè)備(例如,無(wú)線雙耳式耳機(jī));數(shù)字照相機(jī);或者 其它類型的計(jì)算或通信裝置。管理員裝置104包括用來(lái)管理和/或控制客戶裝置102的任意裝置。管理員裝 置104的示例包括服務(wù)器、個(gè)人計(jì)算機(jī)、便攜式計(jì)算機(jī)和/或具有足夠管理/控制一個(gè)或 更多個(gè)客戶裝置102的存儲(chǔ)器、處理速度和/或帶寬的任何其它類型的裝置。
網(wǎng)關(guān)106可以包括這樣的裝置,客戶裝置102可經(jīng)由該裝置與網(wǎng)絡(luò)100中的裝置 進(jìn)行通信。在一種實(shí)現(xiàn)中,如由無(wú)線應(yīng)用協(xié)議(WAP)規(guī)范164(WAP_164)或WAP-247 所規(guī)定的,網(wǎng)關(guān)106可以根據(jù)推送訪問(wèn)協(xié)議從管理員裝置104接收推送消息。此外,如由 WAP規(guī)范189 (WAP-189)或WAP-235所規(guī)定的,網(wǎng)關(guān)106可以根據(jù)推送空間傳輸(OTA over-the-air)協(xié)議來(lái)向客戶裝置102發(fā)送來(lái)自管理員裝置104的推送消息。數(shù)據(jù)庫(kù)裝置108可包括有關(guān)于客戶裝置102的信息的數(shù)據(jù)庫(kù)。在一些實(shí)現(xiàn)中, 該數(shù)據(jù)庫(kù)可包含在管理員裝置104中,并且在這樣的情況中,網(wǎng)絡(luò)100可不包括獨(dú)立的數(shù) 據(jù)庫(kù)裝置108。以上,管理員裝置104可經(jīng)由電纜110來(lái)配置客戶裝置102。另選地,管理員裝 置104可經(jīng)由無(wú)線通信來(lái)配置客戶裝置102。在該配置期間,管理員裝置104可以獲取 專用于客戶裝置102的信息,在數(shù)據(jù)庫(kù)裝置108的數(shù)據(jù)庫(kù)中存儲(chǔ)該信息,并且在客戶裝置 102中存儲(chǔ)管理員碼。一旦配置了客戶裝置102,則管理員裝置104可以從數(shù)據(jù)庫(kù)裝置108檢索與客戶 裝置102相關(guān)的信息,通過(guò)基于該信息對(duì)消息進(jìn)行簽名來(lái)產(chǎn)生電子簽名,并且將該消息 與該電子簽名相結(jié)合來(lái)產(chǎn)生安全推送消息。隨后,管理員裝置104可以向客戶裝置102 發(fā)送該安全推送消息。當(dāng)客戶裝置102接收到該安全推送消息時(shí),客戶裝置102可以基于該電子簽名來(lái) 驗(yàn)證該安全推送消息。如果客戶裝置102能夠驗(yàn)證該安全推送消息,則客戶裝置102向 管理員裝置104發(fā)送響應(yīng),以指示客戶裝置102已經(jīng)成功地接收和/或驗(yàn)證了該安全推送 消息。根據(jù)該實(shí)現(xiàn),客戶裝置102可以根據(jù)該安全推送消息的內(nèi)容來(lái)執(zhí)行特定任務(wù)。 例如,客戶裝置102可以設(shè)置與客戶裝置102中的應(yīng)用相關(guān)的參數(shù),更新固件,重新設(shè)置 與預(yù)訂業(yè)務(wù)相關(guān)聯(lián)的參數(shù),設(shè)置安全參數(shù)等。圖2A和圖2B分別是客戶裝置102的前視圖和后視圖。在此實(shí)現(xiàn)中,客戶裝置 102可以采用便攜式電話(例如,蜂窩電話)的形式。如圖2A和圖2B所示,裝置102 包括揚(yáng)聲器202、顯示器204、控制按鈕206、鍵盤208、麥克風(fēng)210、傳感器212、棱鏡 組件214、外殼216和可移動(dòng)存儲(chǔ)器218 (例如,SIM卡)。揚(yáng)聲器202可向客戶裝置102 的用戶提供聽覺信息。顯示器204可向用戶提供視覺信息,諸如呼叫方的圖像、視頻圖 像或者圖片??刂瓢粹o206允許用戶與客戶裝置102交互,使得客戶裝置102執(zhí)行諸如 發(fā)起或接收電話呼叫的一種或者更多種操作。鍵盤208包括標(biāo)準(zhǔn)電話鍵盤。麥克風(fēng)210 可以從用戶接收聽覺信息。傳感器212可以收集用來(lái)幫助用戶采集圖像的信息(例如, 聲學(xué)的、紅外的信息等),并向客戶裝置102提供該信息。棱鏡組件214可包括對(duì)來(lái)自給 定或選定的范圍的光線進(jìn)行處理的裝置,使得以期望的方式來(lái)采集該范圍內(nèi)的圖像。外 殼216可以為客戶裝置102的部件提供外罩,從而保護(hù)這些部件不受外部元素影響??梢苿?dòng)存儲(chǔ)器218可以存儲(chǔ)與用戶(例如,業(yè)務(wù)訂戶)相關(guān)聯(lián)的信息。可移動(dòng) 存儲(chǔ)器218中的信息(例如,國(guó)際移動(dòng)用戶識(shí)別(IMSI:)碼、電話號(hào)碼、個(gè)人解鎖碼 (PUK)等)可以用來(lái)識(shí)別用戶和/或該用戶預(yù)訂的業(yè)務(wù)。在一種實(shí)現(xiàn)中,用戶可以通過(guò) 將可移動(dòng)存儲(chǔ)器218從客戶裝置102傳送到其它裝置來(lái)在不改變預(yù)訂的情況下使客戶裝置 102與其它裝置進(jìn)行交換。
7
圖3是裝置300的框圖,該裝置300可對(duì)應(yīng)于客戶裝置102、管理員裝置104、 網(wǎng)關(guān)106或者數(shù)據(jù)庫(kù)裝置108。如圖所示,裝置300可包括處理器302、存儲(chǔ)器304、輸 入/輸出組件306、網(wǎng)絡(luò)接口 308和通信通路310。在不同的實(shí)現(xiàn)中,相比圖3所示,裝 置300可包括附加的、更少的或者不同的組件。例如,裝置300可包括附加的網(wǎng)絡(luò)接口, 諸如用來(lái)接收和發(fā)送分組的接口。處理器302可包括處理器、微處理器、應(yīng)用專用集成電路(ASIC Application Specific Integrated Circuit)、現(xiàn)場(chǎng)可編程門陣列(FPGA FieldProgrammable GateArray)和
/或能夠控制裝置300的其它處理邏輯。存儲(chǔ)器304可包括靜態(tài)存儲(chǔ)器(例如只讀存儲(chǔ)器 (ROM))和/或動(dòng)態(tài)存儲(chǔ)器(例如,隨機(jī)存取存儲(chǔ)器(RAM)或機(jī)載緩存),用來(lái)存儲(chǔ)數(shù) 據(jù)和機(jī)器可讀的指令。存儲(chǔ)器304還可包括存儲(chǔ)裝置,例如,軟盤、CD ROM、CDa/ 寫(R/W)盤和/或閃存,以及其它類型的存儲(chǔ)裝置。輸入/輸出組件306可包括顯示屏幕、鍵盤、鼠標(biāo)、揚(yáng)聲器、麥克風(fēng)、數(shù)字化視 頻光盤(DVD)寫入器、DVD讀取器、通用串行總線(USB)以及/或者將物理事件或現(xiàn) 象轉(zhuǎn)換為與裝置300相關(guān)的數(shù)字信號(hào)和/或?qū)⑴c裝置300相關(guān)的數(shù)字信號(hào)轉(zhuǎn)換為物理事件 或現(xiàn)象的其它類型的組件。網(wǎng)絡(luò)接口 308可包括使得裝置300能夠與其它裝置和/或系統(tǒng)進(jìn)行通信的任何收 發(fā)機(jī)式的裝置。例如,網(wǎng)絡(luò)接口 308可包括用來(lái)經(jīng)由網(wǎng)絡(luò)(例如,互聯(lián)網(wǎng)、地面無(wú)線網(wǎng) (例如,WLAN)、基于衛(wèi)星的網(wǎng)絡(luò)、WPAN等)進(jìn)行通信的裝置。另外地或者另選地, 網(wǎng)絡(luò)接口 308可包括調(diào)制解調(diào)器、到LAN的以太網(wǎng)接口和/或用來(lái)將裝置300連接到其 它裝置的接口 /連接(例如,藍(lán)牙接口)。通信通路310可以提供接口,裝置300的組件可以通過(guò)該接口相互進(jìn)行通信。圖4是客戶裝置102的功能框圖。如圖所示,客戶裝置102可包括WAP邏輯402 和安全推送消息客戶端404。盡管圖4中沒有示出,但是客戶裝置102可包括附加的功 能性組件,例如,圖3所示的組件、操作系統(tǒng)(例如,Symbian OS、PalmOS、Windows Mobile OS、Blackberry OS等)、應(yīng)用程序(例如,即時(shí)通訊工具客戶端、電子郵件客戶 端等)、用于除WAP之外的無(wú)線或有線通信協(xié)議的邏輯等。WAP邏輯402可以根據(jù)WAP來(lái)對(duì)通過(guò)無(wú)線通信鏈路發(fā)送或接收的消息進(jìn)行處 理。例如,當(dāng)客戶裝置102和網(wǎng)關(guān)106以無(wú)線方式通信時(shí),客戶裝置102和網(wǎng)關(guān)106可 以根據(jù)WAP-164或WAP-247來(lái)交換消息。安全推送消息客戶端404可以對(duì)從管理員裝置104接收的安全推送消息進(jìn)行驗(yàn) 證。當(dāng)安全推送消息客戶端404驗(yàn)證安全推送消息時(shí),安全推送消息客戶端404執(zhí)行與 該安全推送消息相關(guān)的一組任務(wù)(例如,在客戶裝置102中設(shè)置安全參數(shù))并向管理員裝 置106發(fā)送響應(yīng),以指示客戶裝置102已經(jīng)驗(yàn)證了該安全推送消息。在一些實(shí)現(xiàn)中,安全推送消息客戶端404可以提供應(yīng)用程序/用戶接口,以接 收、存儲(chǔ)和/或檢索與處理安全推送消息相關(guān)的信息。例如,當(dāng)管理員裝置104請(qǐng)求客 戶裝置102提供客戶裝置標(biāo)識(shí)符(例如,國(guó)際移動(dòng)設(shè)備身份碼(IMEI))時(shí),安全推送消息 客戶端404可以向管理員裝置104提供該客戶裝置標(biāo)識(shí)符。在另一種示例中,安全推送 消息客戶端404可以在客戶裝置102內(nèi)的安全位置中存儲(chǔ)由管理員裝置104發(fā)送的代碼。圖5是管理員裝置104的功能框圖。如圖所示,管理員裝置104可包括WAP邏輯502和安全推送消息服務(wù)器504。盡管圖5中沒有示出,但是,管理員裝置104可包括 附加的功能性組件,例如,圖3所示的組件、操作系統(tǒng)(例如,Windows、Linux、Mac OSTM等)、應(yīng)用程序(例如,電子郵件服務(wù)器、文件傳輸協(xié)議(FTP)服務(wù)器等)、數(shù)據(jù) 庫(kù)、用于除WAP之外的無(wú)線或有線通信協(xié)議的邏輯等。WAP邏輯502可以根據(jù)WAP來(lái)對(duì)通過(guò)無(wú)線通信鏈路發(fā)送或接收的消息進(jìn)行處 理。例如,當(dāng)管理員裝置104和網(wǎng)關(guān)106通過(guò)有線網(wǎng)絡(luò)通信時(shí),管理員裝置104和網(wǎng)關(guān) 106可以根據(jù)WAP-189或WAP-235來(lái)交換消息。安全推送消息服務(wù)器504可以經(jīng)由無(wú)線網(wǎng)絡(luò)或網(wǎng)關(guān)106來(lái)向客戶裝置102發(fā)送安 全推送消息。給定來(lái)自應(yīng)用程序、用戶或管理員的消息或有效載荷,安全推送消息服務(wù) 器504可以產(chǎn)生密鑰、電子簽名和安全推送消息。安全推送消息服務(wù)器504可以基于從客戶裝置102、客戶裝置102中的組件(例 如,可移動(dòng)存儲(chǔ)器218)和管理員處獲取的碼(例如,IMEI)產(chǎn)生該密鑰。根據(jù)該實(shí)現(xiàn), 附加的碼或信息可以用來(lái)產(chǎn)生該密鑰。一旦產(chǎn)生了密鑰,安全推送消息服務(wù)器504可以 基于該密鑰和消息來(lái)產(chǎn)生電子簽名。擁有該電子簽名和密鑰,安全推送消息服務(wù)器504可以產(chǎn)生該安全推送消息, 并向客戶裝置102發(fā)送該安全推送消息。在一種實(shí)現(xiàn)中,安全推送消息服務(wù)器504可以通 過(guò)將該電子簽名附加到該消息和/或其它信息(例如,時(shí)間戳)來(lái)產(chǎn)生該安全推送消息。除了產(chǎn)生并向客戶裝置102發(fā)送安全推送消息之外,安全推送消息服務(wù)器504還 可以獲取并存儲(chǔ)產(chǎn)生該密鑰所需要的信息。在一種實(shí)現(xiàn)中,在配置客戶裝置102時(shí),安 全推送消息服務(wù)器504可以從客戶裝置102獲取客戶裝置標(biāo)識(shí)符,從還沒有安裝在客戶裝 置102中的可移動(dòng)存儲(chǔ)器218獲取訂戶信息,并從管理員獲取管理員碼。此外,安全推 送消息服務(wù)器504可以在數(shù)據(jù)庫(kù)中存儲(chǔ)客戶裝置標(biāo)識(shí)符、該信息以及該管理員碼。圖6是數(shù)據(jù)庫(kù)裝置108的功能框圖。如圖所示,數(shù)據(jù)庫(kù)裝置108可包括數(shù)據(jù)庫(kù) 602,該數(shù)據(jù)庫(kù)602存儲(chǔ)用于產(chǎn)生密鑰的信息,并且,該密鑰用于產(chǎn)生電子簽名。在不同 的實(shí)現(xiàn)中,數(shù)據(jù)庫(kù)602可包含在管理員裝置104中。此外,盡管圖6中沒有示出,但是, 數(shù)據(jù)庫(kù)裝置108可包括附加的功能性組件,例如,圖3所示的組件、操作系統(tǒng)(例如, Windows、Linux等)、應(yīng)用程序等。數(shù)據(jù)庫(kù)602可以包括與生成電子簽名相關(guān)聯(lián)的信息。當(dāng)管理員裝置104獲取用 于生成電子簽名或密鑰的信息和/或碼時(shí),管理員裝置104可以在數(shù)據(jù)庫(kù)602中存儲(chǔ)該信 息/碼。另外,管理員裝置104也可以從數(shù)據(jù)庫(kù)602檢索該信息/代碼,例如,以產(chǎn)生 安全推送消息或向客戶裝置102發(fā)送碼。圖7是數(shù)據(jù)庫(kù)602的框圖。如圖7所示,數(shù)據(jù)庫(kù)602可包括記錄702-1至 702-M(下文統(tǒng)稱為記錄702并分稱為記錄702-x)。如圖所示,各個(gè)記錄702_x可包括 客戶裝置標(biāo)識(shí)符字段704、訂戶信息字段706和管理員碼字段708。根據(jù)該實(shí)現(xiàn),相比圖 7所示,記錄702-x可包括附加的、更少的或者不同的字段??蛻粞b置標(biāo)識(shí)符字段704可包括與客戶裝置相關(guān)聯(lián)的標(biāo)識(shí)符(例如,IMEI)。訂 戶信息字段706可包括訂戶信息,諸如IMSI碼、電話號(hào)碼、PUK等。在一種實(shí)現(xiàn)中, 管理員裝置104可以從客戶裝置102的組件(例如,SIM卡)獲取訂戶信息,并在記錄 702-x中存儲(chǔ)該訂戶信息。管理員碼字段708可包括由管理員提供的碼或者該管理員碼的散列值。當(dāng)管理員出于安全目的改變?cè)摯a時(shí),可以更新管理員碼字段708以反映該變 化。圖8是示例性安全推送消息802的框圖。如圖所示,安全推送消息802可包括 數(shù)據(jù)塊804和簽名塊806。數(shù)據(jù)塊804可包括與內(nèi)容相關(guān)的字段。簽名塊806可包括用 于數(shù)據(jù)塊804的電子簽名的字段。如圖所示,數(shù)據(jù)塊804可包括版本字段808、保護(hù)機(jī)制(PM protectionmechanism)字段810、臨時(shí)值長(zhǎng)度字段812、臨時(shí)值字段814、時(shí)間字段816、 數(shù)據(jù)類型字段818、數(shù)據(jù)長(zhǎng)度字段820和數(shù)據(jù)字段822。簽名塊806可包括簽名長(zhǎng)度字段 824和簽名字段826。版本字段808可包括與安全推送消息802的具體格式相關(guān)聯(lián)的版本號(hào)(例如,版 本1、版本2等)。PM字段810可以指示用來(lái)產(chǎn)生簽名、對(duì)數(shù)據(jù)進(jìn)行加密或者執(zhí)行產(chǎn)生 簽名并且對(duì)數(shù)據(jù)進(jìn)行加密的組合的具體方法。臨時(shí)值長(zhǎng)度字段812可以指示臨時(shí)值字段 814的長(zhǎng)度。臨時(shí)值字段814可以包括臨時(shí)值(例如,隨機(jī)數(shù))。時(shí)間字段816可包括 在管理員裝置104處生成安全推送消息802的時(shí)間。數(shù)據(jù)類型字段818可以指示數(shù)據(jù)字段822中的數(shù)據(jù)的格式,下文進(jìn)行解釋。例 如,在一種實(shí)現(xiàn)中,如果數(shù)據(jù)類型字段818包括XML DATA TYPE,則數(shù)據(jù)字段822可能 承載可擴(kuò)展標(biāo)記語(yǔ)言(XML)數(shù)據(jù)。在這種情況下,XML數(shù)據(jù)可以被規(guī)范化(例如,將 XML表示標(biāo)準(zhǔn)化),使得對(duì)XML數(shù)據(jù)進(jìn)行簽名所得到的電子簽名是唯一的??梢岳萌缦卤磉_(dá)式來(lái)總結(jié)數(shù)據(jù)類型字段818和數(shù)據(jù)字段822之間的關(guān)系如果(DATA_TYPE= “ XML_DATA_TYPE ” )
DATA = C14N (XML_Data)否則DATA = RAW_Data (1).在表達(dá)式(1)中,DATA_TYPE表示數(shù)據(jù)類型字段818的內(nèi)容,DATA表示數(shù)據(jù) 字段822的內(nèi)容,C14N(XML_Data)表示XML_Data(例如,XML格式的數(shù)據(jù))的規(guī)范 化(例如,歸一化)。RAW_Data表示其它類型的數(shù)據(jù),諸如,二進(jìn)制數(shù)據(jù)、文本數(shù)據(jù)、 超文本標(biāo)記語(yǔ)言(HTML: hypertextmarkup language)數(shù)據(jù)等。數(shù)據(jù)長(zhǎng)度字段820可包括數(shù)據(jù)字段822的長(zhǎng)度。數(shù)據(jù)字段822可包括內(nèi)容(例 如,有效載荷)。簽名長(zhǎng)度字段824可指示簽名字段826的長(zhǎng)度。簽名字段824可包括數(shù)據(jù)塊804 的電子簽名。在一種實(shí)現(xiàn)中,簽名字段826可包括由如下表達(dá)式提供的值SIG = S (DATA_BLOCK,KEY)(2).在表達(dá)式(2)中,SIG表示簽名字段826的內(nèi)容,DATA_BLOCK表示數(shù)據(jù)塊804 的內(nèi)容,KEY表示基于記錄702-x中的信息構(gòu)造的密鑰,而S (DATA_BLOCK,KEY)表 示基于KEY來(lái)對(duì)DATA_BLOCK進(jìn)行簽名。在一種實(shí)現(xiàn)中,可以通過(guò)附加IMSI、IMEI和管理員碼來(lái)產(chǎn)生初始密鑰然后對(duì)初 始密鑰進(jìn)行散列處理來(lái)產(chǎn)生表達(dá)式(2)中的KEY。在這種情況中,KEY、IMSI、IMEI 和管理員碼之間的關(guān)系可以提供如下KEY = H (IMSI Il IMEI Il ADMIN_CODE)(3).
在表達(dá)式(3)中,KEY是表達(dá)式(2)中的KEY,ADMIN_CODE可以表示管理 員碼字段708的內(nèi)容。IMSI Il IMEI Il ADMIN_CODE可以表示通過(guò)根據(jù)具體數(shù)學(xué)運(yùn)算將 IMSK IMEI和ADMIN_CODE相結(jié)合所形成的初始密鑰。例如,在一種實(shí)現(xiàn)中,可以 通過(guò)連接 IMSI、IMEI 和 ADMIN_CODE 來(lái)形成該初始密鑰。H (IMSI Il IMEI Il ADMIN_ CODE)表示 IMSI Il IMEI Il ADMIN_CODE 的散列值。盡管圖8示出了按照特定序列設(shè)置的字段808-826,但是,在其它實(shí)現(xiàn)中,可以 按照不同的次序來(lái)設(shè)置字段808-826。此外,取決于實(shí)現(xiàn),相比圖8所示,安全推送消息 802可包括更少的、附加的或者不同的字段。對(duì)裝置進(jìn)行配置以發(fā)送/接收安全推送消息的示例性處理圖9是示例性處理902的流程圖,該示例性處理902獲取用來(lái)產(chǎn)生安全推送消息 的電子簽名的信息,并在數(shù)據(jù)庫(kù)中存儲(chǔ)該信息,圖10示出了與處理902相關(guān)聯(lián)的示例。 假設(shè)管理員物理上擁有客戶裝置102和組件和/或與客戶裝置102和組件相接觸。包括 訂戶信息的組件(例如,SIM卡1002)可以安裝或者不安裝在客戶裝置102中。處理902可以從塊904開始,在塊904處,獲取來(lái)自客戶裝置102的組件的訂戶 信息(塊904)。圖10示出了獲取訂戶信息。如圖10所示,管理員裝置104可以從SIM 卡1002獲取訂戶信息(例如,PUK、IMSI、電話號(hào)碼等)。在一種實(shí)現(xiàn)中,管理員裝置 104可以經(jīng)由用戶接口從管理員接收該訂戶信息??梢垣@取客戶裝置標(biāo)識(shí)符(塊906)。如圖10所示,管理員裝置104可以從客戶 裝置102獲取IMEI。可以獲取管理員碼(塊908)。例如,安全推送消息服務(wù)器504可以經(jīng)由用戶接 口從管理員接收該管理員碼。在其它實(shí)現(xiàn)中,安全推送消息服務(wù)器504可以自動(dòng)產(chǎn)生管 理員碼。訂戶信息、客戶裝置標(biāo)識(shí)符和管理員碼可以存儲(chǔ)在數(shù)據(jù)庫(kù)中(塊910)。例如, 如圖10所示,管理員裝置104可以在安放在數(shù)據(jù)庫(kù)裝置108中的數(shù)據(jù)庫(kù)602中存儲(chǔ)訂戶 信息(例如,IMSI、PUK、電話號(hào)碼等)、IMEI和管理員碼。在其它實(shí)現(xiàn)中,管理員裝 置104可以在安放在管理員裝置104中的數(shù)據(jù)庫(kù)中存儲(chǔ)訂戶信息、IMEI和管理員碼。圖11是使得客戶裝置能夠接收推送消息的示例性處理1102的流程圖,而圖12 示出了與處理1102相關(guān)的示例。假設(shè)在處理902中從其獲取預(yù)訂信息的組件是安裝在客 戶裝置102中(例如,SIM卡1002安裝在客戶裝置102中)??蛻粞b置102和管理員裝 置104可經(jīng)由無(wú)線或有線通信鏈路相互進(jìn)行通信。處理1102從塊1104開始,在塊1104處,客戶裝置標(biāo)識(shí)符和訂戶信息的一部分 可用來(lái)檢索管理員碼和訂戶信息的其它部分(塊1104)。例如,如圖12所示,管理員裝 置104可以發(fā)送包括訂戶信息的所述一部分(例如,電話號(hào)碼)和客戶裝置標(biāo)識(shí)符(例 如,IMEI)、IMSI等的數(shù)據(jù)庫(kù)查詢。如進(jìn)一步所示的,管理員裝置104可以響應(yīng)于該查 詢從數(shù)據(jù)庫(kù)裝置108接收該訂戶信息的其它部分(例如,PUK)和該管理員碼。該訂戶信息的所檢索出的部分和該管理員碼可被發(fā)送到客戶裝置102(塊 1106)。如圖12所示,管理員裝置104可以向客戶裝置102發(fā)送PUK和管理員碼。管理員碼可存儲(chǔ)在客戶裝置102中(塊1108)。在一些實(shí)現(xiàn)中,當(dāng)客戶裝置102 接收該訂戶信息的所檢索出的部分(例如,PUK)時(shí),客戶裝置102可以將所接收到部分與在所安裝的組件(例如,安裝在客戶裝置102中的SIM卡1002)內(nèi)部獲得的該訂戶信息 的部分進(jìn)行比較。如果所接收的部分與從所安裝的組件獲取的部分相匹配,則客戶裝置 102在客戶裝置102內(nèi)部的安全存儲(chǔ)位置存儲(chǔ)該管理員碼。在一種實(shí)現(xiàn)中,訂戶不能訪問(wèn) 該存儲(chǔ)位置。由于訂戶也不能訪問(wèn)該存儲(chǔ)位置處的管理員碼,所以,除非用戶關(guān)閉客戶 裝置102,否則,訂戶不能修改該管理員碼,以防止客戶裝置102根據(jù)在客戶裝置102處 接收的安全推送消息來(lái)執(zhí)行任務(wù)。在處理902和1102中,僅客戶裝置102、管理員裝置104和/或數(shù)據(jù)庫(kù)裝置108 可以訪問(wèn)客戶裝置標(biāo)識(shí)符、訂戶信息和管理員碼。此外,管理員可以在方便的時(shí)候(例 如,當(dāng)能夠經(jīng)由無(wú)線通信鏈路到達(dá)客戶裝置102時(shí))根據(jù)處理1102來(lái)改變(替換)客戶 裝置102中的管理員碼。發(fā)送推送消息的示例性處理圖13是發(fā)送推送消息的示例性處理1302的流程圖。假設(shè)管理員裝置104經(jīng)由無(wú) 線或有線通信鏈路與客戶裝置102進(jìn)行通信。處理1302從塊1304開始,在塊1304處, 可以對(duì)消息(例如,針對(duì)客戶裝置102的命令)進(jìn)行格式化。在一些實(shí)現(xiàn)中,安全推送消息服務(wù)器504可以根據(jù)預(yù)設(shè)的格式化方案或者由管 理員選擇的格式化方案來(lái)對(duì)消息進(jìn)行格式化。例如,基于安全推送消息服務(wù)器504和/ 或安全推送消息客戶端404的具體實(shí)現(xiàn)細(xì)節(jié),可以根據(jù)HTML或者XML語(yǔ)法來(lái)對(duì)消息進(jìn) 行格式化。如果根據(jù)XML語(yǔ)法來(lái)對(duì)消息進(jìn)行格式化,則可以將經(jīng)格式化的消息規(guī)范化(例 如,歸一化)。通過(guò)將經(jīng)格式化的數(shù)據(jù)規(guī)范化,安全推送消息服務(wù)器504可以確保該消息 被唯一地表示,并且針對(duì)該經(jīng)格式化的數(shù)據(jù)生成了唯一的電子簽名。在一種實(shí)現(xiàn)中,可以如下表示XML格式化的消息的規(guī)范化形式<command><name/><data/></command> (4).在表達(dá)式(4)中,<name/>*<data/>可以提供名稱-數(shù)值對(duì)。例如,假設(shè)XML 格式的消息包括進(jìn)入電子郵件服務(wù)器的域名(其為“pop3.talktome.com”)。則該XML 格式的消息可采用如下形式〈command〉<name>設(shè)置進(jìn)入電子郵件服務(wù)器的域名</name><data>pop3.talktome.com</data>〈/command〉(5)當(dāng)安全推送消息客戶端404接收到有效的、包括表達(dá)式(5)的安全推送消息時(shí), 安全推送消息404可以將客戶裝置102內(nèi)部的進(jìn)入電子郵件服務(wù)器的域名的名稱設(shè)置為 pop3.talktome.com。一般地說(shuō),XML格式的消息包括一個(gè)或者更多個(gè)<name/>*<data/>對(duì)。此 外,安全推送消息客戶端404響應(yīng)于<name/>和<data/>對(duì)的接收所采取的動(dòng)作可能取決 于與安全推送消息客戶端404和安全推送消息服務(wù)器504相關(guān)的實(shí)現(xiàn)細(xì)節(jié)。
在一些情況中,管理員裝置104可以不對(duì)消息進(jìn)行格式化,因此,避免了與數(shù) 據(jù)格式化相關(guān)的存儲(chǔ)器密集或處理密集的操作。在這樣的情況下,數(shù)據(jù)類型字段818可 被設(shè)置為RAW_Data,如表達(dá)式(1)所示。可以獲取時(shí)間(塊1306)。例如,安全推送消息服務(wù)器504可以額從管理員裝置 104的操作系統(tǒng)請(qǐng)求當(dāng)前時(shí)間。假設(shè)時(shí)間是“1208439990”。數(shù)值“1208439990”表 示自1970年1月1日午夜的格林尼治時(shí)間(UTC Coordinated Universal Time)以來(lái)的秒 數(shù)。在此情況中,1970年1月1日之后的1208439990秒等同于2008年4月17日下午 1:46:30??梢垣@取臨時(shí)值(塊1308)。例如,安全推送消息服務(wù)器504可以通過(guò)調(diào)用偽隨 機(jī)數(shù)生成器來(lái)獲取臨時(shí)值。可以生成數(shù)據(jù)塊804(塊1310)。例如,安全推送消息服務(wù)器504可以通過(guò)獲取 版本字段808、PM字段810、臨時(shí)值長(zhǎng)度字段812、臨時(shí)值字段814、時(shí)間字段816、數(shù) 據(jù)類型字段818、數(shù)據(jù)長(zhǎng)度字段820和數(shù)據(jù)字段822的值,并將這些值相結(jié)合來(lái)生成數(shù)據(jù) 塊 804??梢栽诎踩扑拖⒎?wù)器504內(nèi)部預(yù)設(shè)版本號(hào)字段808和PM字段810的值。 可以預(yù)先確定臨時(shí)值長(zhǎng)度字段812的值(例如,20字節(jié)),或者另選地,可以通過(guò)對(duì)表示 在塊1308處獲取的臨時(shí)值所需要的字節(jié)數(shù)進(jìn)行計(jì)數(shù)來(lái)獲取臨時(shí)值長(zhǎng)度字段812的值。時(shí) 間字段816可以承載在塊1306處獲取的日期??梢愿鶕?jù)用來(lái)在塊1304處對(duì)消息進(jìn)行格式化的具體格式化方案來(lái)獲取數(shù)據(jù)類型 字段818。例如,如果將該消息格式化為XML消息,則數(shù)據(jù)類型字段818可包括XML_ DATA_TYPE。數(shù)據(jù)長(zhǎng)度820可包括數(shù)據(jù)字段822中的字節(jié)數(shù)。數(shù)據(jù)字段822可包括經(jīng) 格式化的數(shù)據(jù)。可以生成密鑰(塊1312)。在一種實(shí)現(xiàn)中,管理員裝置104中的安全推送消息服 務(wù)器504可以使用客戶裝置標(biāo)識(shí)符和/或訂戶信息的一部分(例如,電話號(hào)碼)來(lái)執(zhí)行該 訂戶信息的其它部分(例如,IMSI、PUK等)以及管理員碼的數(shù)據(jù)庫(kù)查找。當(dāng)安全推送消息服務(wù)器504從數(shù)據(jù)庫(kù)接收到訂戶信息的其它部分、客戶裝置標(biāo) 識(shí)符以及管理員碼時(shí),安全推送消息服務(wù)器504可以生成密鑰。在一種實(shí)現(xiàn)中,安全推 送消息服務(wù)器504可以基于表達(dá)式(3)通過(guò)將IMSI、IMEI和管理員碼相結(jié)合并對(duì)結(jié)合的 結(jié)果進(jìn)行散列處理來(lái)生成該密鑰??梢陨珊灻?塊1314)。例如,安全推送消息服務(wù)器504可以根據(jù)表達(dá)式(2) 通過(guò)利用在塊1312處生成的密鑰對(duì)數(shù)據(jù)塊804進(jìn)行簽名來(lái)根據(jù)表達(dá)式(2)生成該簽名??梢陨砂踩扑拖?塊1316)。在一種實(shí)現(xiàn)中,安全推送消息服務(wù)器504可 以獲取簽名字段826的長(zhǎng)度(即,來(lái)自字段824的值),并將在塊1314處生成的簽名附加 到該長(zhǎng)度以獲取簽名塊806。此外,安全推送消息服務(wù)器504可以將簽名塊806附加到在 塊1310處生成的數(shù)據(jù)塊804,以生成安全推送消息??梢园l(fā)送安全推送消息(塊1318)。在一些實(shí)現(xiàn)中,安全推送消息504可以根據(jù) 具體通信協(xié)議來(lái)發(fā)送安全推送消息。在發(fā)送該安全推送消息時(shí),安全推送消息的數(shù)據(jù)塊 804的數(shù)據(jù)字段822中的初始消息(例如,表達(dá)式(5))可能不需要驗(yàn)證,因?yàn)楹灻麎K806 中的有效電子簽名可以確保整個(gè)安全推送消息的完整性。
接收推送消息的示例性處理圖14是發(fā)送安全推送消息的示例性處理1402的流程圖。假設(shè)管理員已經(jīng)根據(jù) 處理902配置了客戶裝置102,并且管理員裝置104已經(jīng)生成安全推送消息并向客戶裝置 102發(fā)送了該安全推送消息。在一種實(shí)現(xiàn)中,可以根據(jù)WAP來(lái)發(fā)送該安全推送消息。處理1402從塊1404開始,在塊1404中,可以接收安全推送消息(塊1404)。 例如,客戶裝置102可以接收在塊1318處從管理員裝置104發(fā)送的安全推送消息。可以從客戶裝置102內(nèi)獲取構(gòu)造密鑰的信息(塊1406)。在一種實(shí)現(xiàn)中,安全 推送消息客戶端404可以檢索已經(jīng)在塊1108處存儲(chǔ)在客戶裝置102中(圖11)的管理員 碼、客戶裝置102的IMEI(例如,客戶裝置標(biāo)識(shí)符)和來(lái)自客戶裝置102內(nèi)部的組件(例 如,SIM卡218或1002)的訂戶信息??梢詷?gòu)造密鑰(塊1408)。在一些實(shí)現(xiàn)中,安全推送消息客戶端404可以通過(guò)將 管理員碼、訂戶信息和客戶標(biāo)識(shí)符相結(jié)合來(lái)構(gòu)造密鑰。在一種實(shí)現(xiàn)中,安全推送消息客 戶端404可以根據(jù)表達(dá)式(3)來(lái)構(gòu)造密鑰??梢源_定安全推送消息是否有效(塊1410)。例如,為了驗(yàn)證安全推送消息,安 全推送消息客戶端404可以從在塊1404處接收的安全推送消息中獲取數(shù)據(jù)塊804和簽名 塊806,基于在塊1408處構(gòu)造的密鑰來(lái)對(duì)所獲取的數(shù)據(jù)塊804進(jìn)行簽名,并且將簽名塊 804中的簽名字段826的值與經(jīng)簽名的數(shù)據(jù)塊804進(jìn)行比較。如果經(jīng)簽名數(shù)據(jù)塊804等于 簽名字段826的值,則安全推送消息客戶端404可以確定該安全推送消息有效。否則, 安全推送消息客戶端404可以確定該安全推送消息無(wú)效。如前所述,由于基于僅通過(guò)與客戶裝置102的物理接觸而獲取的信息(例如,管 理員碼、IMSI、IMEI等)來(lái)構(gòu)造密鑰,驗(yàn)證該安全推送消息可以指示發(fā)送者的真實(shí)性。在塊1410處,如果將安全推送消息確定為有效消息,則處理1402進(jìn)行到塊 1412。否則,處理1402終止。可以獲取安全推送消息的數(shù)據(jù)塊804中的字段808-822的值(塊1412)。在一 種實(shí)現(xiàn)中,安全推送消息客戶端404可以從該安全推送消息的數(shù)據(jù)塊804獲取版本字段 808、PM字段810、臨時(shí)值長(zhǎng)度字段812、臨時(shí)值字段814、時(shí)間字段816、數(shù)據(jù)類型字 段818、數(shù)據(jù)長(zhǎng)度字段820和數(shù)據(jù)字段822各自的值。可以確定臨時(shí)值字段814和時(shí)間字段816的值是否有效(塊1414)。例如,安全 推送消息客戶端404可以將臨時(shí)值字段814中的臨時(shí)值和時(shí)間字段816中的時(shí)間戳與客戶 裝置102中存儲(chǔ)的先前的臨時(shí)值字段值/時(shí)間字段值進(jìn)行比較。如果該臨時(shí)值和時(shí)間戳 與先前的臨時(shí)值字段/時(shí)間字段值中的任何一個(gè)相匹配,則可以確定該臨時(shí)值和時(shí)間戳 無(wú)效。也就是說(shuō),相同的臨時(shí)值和/或時(shí)間戳表明該消息是復(fù)制的消息。通過(guò)檢查該臨 時(shí)值和時(shí)間戳,安全推送消息客戶端404可以保護(hù)客戶裝置102不受回放攻擊或其它類型 的攻擊的影響。如果臨時(shí)值字段814和/或時(shí)間字段816的值有效,則處理1402進(jìn)行到塊1416。 否則,處理1402終止。在塊1416中,可以在客戶裝置102中存儲(chǔ)臨時(shí)字段814和時(shí)間字段816的值(塊 1416)。安全推送消息客戶端404稍后可使用所存儲(chǔ)的值來(lái)在客戶裝置102接收安全推送 消息時(shí)確定臨時(shí)值/時(shí)間戳的有效性。
可以根據(jù)安全推送消息來(lái)執(zhí)行任務(wù)(塊1418)。在一種實(shí)現(xiàn)中,安全推送消息客 戶端404可基于數(shù)據(jù)字段822的值來(lái)執(zhí)行具體任務(wù)。例如,假設(shè)數(shù)據(jù)類型字段818的值 是XML_DATA_TYPE,并從上述表達(dá)式(5)獲取數(shù)據(jù)字段822的值?;?lt;name/>和 <data/>標(biāo)簽內(nèi)的值“設(shè)置進(jìn)入郵件服務(wù)器的域名”和“pop3.talktome.com”,安全推送 消息客戶端404可以將進(jìn)入郵件服務(wù)器的域名設(shè)置為pop3.talktome.com。在一些情況中,數(shù)據(jù)字段822中的數(shù)據(jù)可包括原始數(shù)據(jù)。在這樣的情況下,安 全推送消息客戶端404可以避免與對(duì)經(jīng)格式化的數(shù)據(jù)進(jìn)行掃描相關(guān)的存儲(chǔ)器密集或者處 理密集的操作??梢园l(fā)送回復(fù)(塊1420)。在一種示例中,安全推送消息客戶端404可以向管理 員裝置104發(fā)送臨時(shí)值字段814的值和狀態(tài)碼(例如,指示是否成功完成了任務(wù)、安全推 送消息是否有效等的代碼)。示例參照?qǐng)D15,如下示例示出上述處理902、1102、1302和1402。在該示例中,假 設(shè)Bill配置了便攜式計(jì)算機(jī)1504 (管理員裝置104)、配置了 John的蜂窩電話1502 (客戶 裝置102),并通過(guò)全球移動(dòng)通信系統(tǒng)(GSM)/通用移動(dòng)通信系統(tǒng)(UMTS)從便攜式計(jì)算 機(jī)1504向蜂窩電話1502發(fā)送了安全推送消息。蜂窩電話1502接收安全推送消息并執(zhí)行 任務(wù)。在該示例中,還假設(shè)初始時(shí)Bill擁有蜂窩電話1502、用于蜂窩電話1502的SIM 卡以及便攜式計(jì)算機(jī)1504,并選擇“Johnphone”作為管理員碼。假設(shè)在蜂窩電話1502
中沒有安裝SIM卡。Bill經(jīng)由SIM卡讀取器從SIM卡獲取IMSI、PUK和電話號(hào)碼(訂戶信息),并 從蜂窩電話1502獲取IMEI (客戶裝置標(biāo)識(shí)符)。Bill在數(shù)據(jù)庫(kù)裝置1508中存儲(chǔ)IMSI、 PUK> 電話號(hào)碼、IMEI 禾Π “Johnphone”。Bill在John的電話中安裝SIM卡并將John的蜂窩電話1502返還給John。稍
后,在認(rèn)識(shí)到忘了在蜂窩電話1502中存儲(chǔ)管理員碼時(shí),Bill經(jīng)由有線通信鏈路向蜂窩電 話1502發(fā)送PUK和管理員碼。蜂窩電話1502通過(guò)驗(yàn)證PUK來(lái)核實(shí)該管理員碼來(lái)自Bill, 并在蜂窩電話1502內(nèi)的安全存儲(chǔ)位置(例如,John不能訪問(wèn)的存儲(chǔ)器位置)中存儲(chǔ)管理員碼。假設(shè)經(jīng)過(guò)了幾星期,John呼叫Bill,解釋John丟失了蜂窩電話1502并關(guān)閉了蜂 窩電話1502的個(gè)人識(shí)別碼(PIN)保護(hù)特性。在本文所使用時(shí),術(shù)語(yǔ)“PIN保護(hù)特性” 可以指蜂窩電話的安全特性,當(dāng)開始該特性時(shí),可在蜂窩電話可以與SIM卡一起使用之 前要求用戶輸入該P(yáng)IN。因?yàn)殛P(guān)閉了蜂窩電話1502上的PIN保護(hù)特性,所以,任何發(fā)現(xiàn) 蜂窩電話1502的人都可以訪問(wèn)John在SIM卡中的預(yù)訂信息。Bill決定嘗試開啟John的蜂窩電話1502中的PIN保護(hù)。在便攜式計(jì)算機(jī)1504 中,Bill經(jīng)由用戶界面輸入將發(fā)送到蜂窩電話1502的具體命令(例如,“開啟PIN保 護(hù)”)。便攜式計(jì)算機(jī)1504按照規(guī)范的XML語(yǔ)法將該命令格式化。如圖15所示,便攜式計(jì)算機(jī)1504接觸數(shù)據(jù)庫(kù)裝置1508,發(fā)送與該SIM相關(guān)的 電話號(hào)碼以及蜂窩電話1502的IMEI。便攜式筆記本1504從數(shù)據(jù)庫(kù)裝置1508接收IMSI 和管理員碼。
當(dāng)便攜式計(jì)算機(jī)1504從數(shù)據(jù)庫(kù)裝置1508接收到訂戶信息時(shí),便攜式計(jì)算機(jī)1504 生成數(shù)據(jù)塊804,生成密鑰,并使用該密鑰來(lái)生成簽名塊806。此外,便攜式計(jì)算機(jī)1504 將數(shù)據(jù)塊804和簽名塊806相結(jié)合,以產(chǎn)生安全推送消息。隨后,如圖15所示,便攜式 計(jì)算機(jī)1504經(jīng)由GSM/UMTS 1506向蜂窩電話1502發(fā)送該安全推送消息。如圖15進(jìn)一步所示,蜂窩電話1502從便攜式計(jì)算機(jī)1504接收安全推送消息。 蜂窩電話1502中的安全推送消息客戶端404構(gòu)造密鑰,并驗(yàn)證該安全推送消息。此外, 安全推送消息客戶端404驗(yàn)證該安全推送消息中的臨時(shí)值字段814/時(shí)間字段816的值, 并在客戶裝置102中存儲(chǔ)所述值。安全推送消息客戶端404對(duì)數(shù)據(jù)字段822中的XML格式的命令進(jìn)行掃描,并開 啟蜂窩電話1502中的PIN保護(hù)特性,以防止對(duì)于蜂窩電話1502內(nèi)的SIM卡中的信息的 未經(jīng)授權(quán)的訪問(wèn)。結(jié)論以上描述提供了對(duì)實(shí)施方式的說(shuō)明,但并不是窮舉性的也不是為了將實(shí)施限制 為所公開的具體形式。根據(jù)上述教導(dǎo)可以得到修改和變型,或者可以從對(duì)本教導(dǎo)的實(shí)踐 來(lái)獲得修改和變型。如上所述,盡管已經(jīng)參照?qǐng)D9、圖11、圖13和圖14所示的示例性處理說(shuō)明了一 系列塊,但是,在其它實(shí)現(xiàn)中可以修改這些塊的順序。此外,獨(dú)立塊可以表示并行于其 它塊執(zhí)行的動(dòng)作。很明顯,可以在附圖所示的實(shí)施中以很多不同的軟件、固件和硬件形式來(lái)實(shí)現(xiàn) 本文所述的方面。用來(lái)實(shí)現(xiàn)這些方面的實(shí)際軟件代碼或?qū)S每刂朴布⒉幌拗票景l(fā)明。 因此,在不參照具體軟件代碼的情況下說(shuō)明了這些方面的操作和行為,可理解,可以基 于本文的說(shuō)明來(lái)設(shè)計(jì)軟件和控制硬件以實(shí)現(xiàn)這些方面。應(yīng)當(dāng)強(qiáng)調(diào),當(dāng)在本說(shuō)明書中使用時(shí),術(shù)語(yǔ)“包括/包含”指的是存在所述的特 征、要件、步驟、操作或組件,但并不排除存在或添加一個(gè)或更多個(gè)其它特征、要件、 步驟、單元、組件和/或它們的組合。此外,這些實(shí)現(xiàn)的一些部分被描述為執(zhí)行一種或者更多種功能的“邏輯”。該 邏輯包括硬件(諸如處理器、微處理器、應(yīng)用專用集成電路或者現(xiàn)場(chǎng)可編程門陣列)、軟 件或者硬件和軟件的組合。盡管已經(jīng)在權(quán)利要求中敘述和/或在說(shuō)明書中公開了特征的具體組合,但是, 這些組合不是為了限制本發(fā)明。實(shí)際上,可以按照沒有在權(quán)利要求中具體敘述和/或沒 有在說(shuō)明書中具體公開的方式來(lái)組合很多這些特征。除非明確指出,否則,本申請(qǐng)使用的元件、動(dòng)作或指令都不應(yīng)當(dāng)被理解為對(duì)于 本文說(shuō)述的實(shí)施方式是關(guān)鍵的或?qū)嵸|(zhì)性的。并且,如本文所使用,冠詞“一”旨在包括 一個(gè)或者更多個(gè)項(xiàng)。當(dāng)是指一個(gè)項(xiàng)時(shí),使用術(shù)語(yǔ)“一個(gè)”或者類似語(yǔ)言。此外,除非 明確指出,否則,短語(yǔ)“基于(based ση)”旨在表示“至少部分基于”。
權(quán)利要求
1.一種方法,所述方法包括 從管理員裝置接收安全推送消息;通過(guò)將管理員碼、標(biāo)識(shí)客戶裝置的客戶裝置標(biāo)識(shí)符以及與用戶預(yù)訂的業(yè)務(wù)相關(guān)聯(lián)的 訂戶信息相結(jié)合來(lái)產(chǎn)生第一密鑰;對(duì)所述第一密鑰進(jìn)行散列處理以產(chǎn)生第二密鑰;使用所述第二密鑰對(duì)所述安全推送消息內(nèi)部的數(shù)據(jù)塊進(jìn)行簽名以產(chǎn)生電子簽名;以及基于所述電子簽名來(lái)驗(yàn)證所述安全推送消息。
2.根據(jù)權(quán)利要求1所述的方法,所述方法還包括從所述安全推送消息中獲取將在所述客戶裝置內(nèi)部設(shè)置的參數(shù)。
3.根據(jù)權(quán)利要求2所述的方法,其中,獲取所述參數(shù)包括 從所述安全推送消息內(nèi)部獲取可擴(kuò)展標(biāo)記語(yǔ)言數(shù)據(jù)。
4.根據(jù)權(quán)利要求1所述的方法,所述方法還包括將所述安全推送消息中包含的臨時(shí)值與存儲(chǔ)在所述客戶裝置中的臨時(shí)值進(jìn)行比較, 以確定所述安全推送消息是否與回放式攻擊相關(guān)聯(lián)。
5.根據(jù)權(quán)利要求1所述的方法,其中,接收所述安全推送消息包括 根據(jù)無(wú)線應(yīng)用協(xié)議WAP接收所述安全推送消息。
6.根據(jù)權(quán)利要求1所述的方法,所述方法還包括 從所述管理員裝置接收所述管理員碼;以及使得所述客戶裝置能夠接收安全推送消息,這包括如下步驟中的至少一個(gè) 驗(yàn)證個(gè)人解鎖碼PUK;或者在成功驗(yàn)證了所述個(gè)人解鎖碼PUK時(shí)在所述客戶裝置中存儲(chǔ)所述管理員碼。
7.根據(jù)權(quán)利要求6所述的方法,其中,驗(yàn)證所述個(gè)人解鎖碼PUK包括將從所述管理員裝置接收的所述PUK與從所述客戶裝置的可移動(dòng)存儲(chǔ)器獲取的PUK 進(jìn)行比較。
8.根據(jù)權(quán)利要求1所述的方法,所述方法還包括 根據(jù)包含在所述安全推送消息中的命令來(lái)執(zhí)行任務(wù)。
9.根據(jù)權(quán)利要求8所述的方法,其中,所述方法還包括 向所述管理員裝置發(fā)送回復(fù),以指示成功執(zhí)行了所述任務(wù)。
10.根據(jù)權(quán)利要求1所述的方法,其中,驗(yàn)證所述安全推送消息包括 將所述電子簽名與包含在所述安全推送消息中的電子簽名進(jìn)行比較。
11.一種裝置,所述裝置包括可移動(dòng)存儲(chǔ)器,其包括訂戶信息; 處理器,其被配置為 從第一裝置接收安全推送消息; 從所述可移動(dòng)存儲(chǔ)器檢索所述訂戶信息;將與所述第一裝置相關(guān)聯(lián)的第一碼、客戶裝置標(biāo)識(shí)符以及所述訂戶信息相結(jié)合以獲 取第一值;對(duì)所述第一值進(jìn)行散列處理以產(chǎn)生密鑰;使用所述密鑰和所述安全推送消息的一部分來(lái)產(chǎn)生電子簽名;以及 通過(guò)將所述電子簽名與包含在所述安全推送消息中的電子簽名進(jìn)行比較來(lái)驗(yàn)證所述 安全推送消息。
12.根據(jù)權(quán)利要求11所述的裝置,其中,所述裝置包括 蜂窩電話;個(gè)人計(jì)算機(jī);或者 便攜式數(shù)字助理。
13.根據(jù)權(quán)利要求11所述的裝置,其中,所述可移動(dòng)存儲(chǔ)器包括 訂戶信息模塊SIM卡。
14.根據(jù)權(quán)利要求11所述的裝置,其中,所述處理器還被配置為 在成功驗(yàn)證了所述安全推送消息時(shí)向所述管理員裝置發(fā)送回復(fù)。
15.根據(jù)權(quán)利要求14所述的裝置,其中,所述回復(fù)包括 包含在所述安全推送消息中的臨時(shí)值。
16.根據(jù)權(quán)利要求11所述的裝置,其中,所述客戶裝置標(biāo)識(shí)符包括 國(guó)際移動(dòng)設(shè)備身份碼IMEI。
17.根據(jù)權(quán)利要求11所述的裝置,其中,所述訂戶信息包括如下信息中的至少一種電話號(hào)碼;個(gè)人解鎖碼PUK ;或者國(guó)際移動(dòng)設(shè)備身份碼IMSI。
18.根據(jù)權(quán)利要求11所述的裝置,其中,所述處理器還被配置為將所述安全推送消息中的臨時(shí)值與存儲(chǔ)在所述裝置中的臨時(shí)值進(jìn)行比較,以確定所 述安全推送消息是否與攻擊相關(guān)聯(lián)。
19.根據(jù)權(quán)利要求11所述的裝置,其中,所述安全推送消息包括如下信息中的至少一種數(shù)據(jù);通過(guò)對(duì)所述安全推送消息的一部分進(jìn)行簽名而產(chǎn)生的電子簽名; 隨機(jī)數(shù); 時(shí)間戳;或者用來(lái)指示包含在所述安全推送消息中的數(shù)據(jù)格式的數(shù)據(jù)類型值。
20.—種裝置,所述裝置包括 用來(lái)對(duì)命令進(jìn)行格式化的單元;用來(lái)將管理員碼、與客戶裝置相關(guān)聯(lián)的客戶裝置標(biāo)識(shí)符以及與用戶預(yù)訂的業(yè)務(wù)相關(guān) 聯(lián)的訂戶信息相結(jié)合以產(chǎn)生第一密鑰的單元;用來(lái)使用所述第一密鑰和所述命令來(lái)產(chǎn)生電子簽名的單元;用來(lái)將所述電子簽名和所述經(jīng)格式化的命令相結(jié)合以產(chǎn)生安全推送消息的單元;以及用來(lái)向所述客戶裝置發(fā)送所述安全推送消息的單元。
全文摘要
一種裝置可以從管理員裝置接收安全推送消息。此外,該裝置可以通過(guò)將管理員碼、標(biāo)識(shí)客戶裝置的客戶裝置標(biāo)識(shí)符以及與用戶預(yù)訂的業(yè)務(wù)相關(guān)聯(lián)的訂戶信息結(jié)合來(lái)產(chǎn)生第一密鑰。此外,該裝置可以對(duì)第一密鑰進(jìn)行散列處理以產(chǎn)生第二密鑰,并使用該第二密鑰對(duì)安全推送消息內(nèi)部的數(shù)據(jù)塊進(jìn)行簽名以產(chǎn)生電子簽名。此外,該裝置可以基于該電子簽名來(lái)驗(yàn)證該安全推送消息。
文檔編號(hào)H04L29/06GK102017567SQ200880129018
公開日2011年4月13日 申請(qǐng)日期2008年11月10日 優(yōu)先權(quán)日2008年5月12日
發(fā)明者米蘭·萊克奇, 納德·帕夫洛維奇 申請(qǐng)人:索尼愛立信移動(dòng)通訊有限公司
網(wǎng)友詢問(wèn)留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1
玉环县| 东方市| 乌鲁木齐县| 丹巴县| 渭源县| 梁河县| 襄垣县| 德保县| 凯里市| 枞阳县| 彭泽县| 肇庆市| 遵义县| 大渡口区| 社会| 松滋市| 玉田县| 潜山县| 华蓥市| 陕西省| 台州市| 崇州市| 东光县| 庆云县| 通山县| 苍梧县| 陈巴尔虎旗| 平乐县| 平舆县| 仪征市| 惠安县| 丰城市| 钦州市| 新昌县| 瑞安市| 镇坪县| 西城区| 靖江市| 乐至县| 繁峙县| 上蔡县|