DE60315434T2

DE60315434T2 - Zertifikatinformationsspeichersystem und verfahren

Info

Publication number: DE60315434T2
Application number: DE60315434T
Authority: DE
Inventors: Neil P. Waterloo Adams; Herbert A. Waterloo Little; Michael G. Waterloo Kirkup
Original assignee: Research in Motion Ltd
Current assignee: BlackBerry Ltd
Priority date: 2002-03-20
Filing date: 2003-03-20
Publication date: 2008-04-24
Anticipated expiration: 2023-03-21
Also published as: CA2479619C; US20110271115A1; AU2003213910A1; WO2003079628A1; EP1488595A1; CN100563242C; US9807082B2; EP1488595B1; HK1071644A1; KR20050002877A; KR100634861B1; JP2005521142A; US20050149442A1; ATE369689T1; JP2010049702A; CN1799240A; CA2479619A1; DE60315434D1

Description

HINTERGRUND
Technisches Gebiet
Diese Anmeldung betrifft im Allgemeinen das Gebiet einer sicheren elektronischen Nachrichtenübermittlung bzw. Messaging und insbesondere ein Speichern einer kryptographischen Information, die in einer elektronischen Nachricht enthalten ist, in einem Speicher einer Computervorrichtung.
Beschreibung des Zustands der Technik
Bekannte sichere Messaging-Clients, wie E-Mail-Software-Anwendungen, die auf einer Computervorrichtung arbeiten, unterhalten getrennte Datenspeicher oder Datenspeicherbereiche für die Speicherung einer sicheren Messaging-Information getrennt von einer anderen Information. Die Patentanmeldung US20010054149 beschreibt ein System zum Extrahieren einer Information aus digitalen Zertifikaten, die an einem Terminal empfangen werden. Diese Information und die ID des digitalen Zertifikats werden mit den Gegenstücken verglichen, die in einer entfernten Datenbank gespeichert sind. Eine Aktualisierung kann durchgeführt werden, wenn beide Informationen nicht identisch sind. Eine derartige sichere Messaging-Information kann digitale Zertifikate, öffentliche Schlüssel und dergleichen umfassen. Die andere Information kann eine Kontaktinformation, wie ein Adressbuch, eine Zeitplaninformation, wie Kalendererinnerungen und Termine, und dergleichen umfassen. Ein digitales Zertifikat kann eine Information umfassen, die für andere Typen von gespeicherter Information relevant ist. Zum Beispiel umfasst ein digitales Zertifikat normalerweise den öffentlichen Schlüssel einer Einheit sowie eine Identitätsinformation, die mit dem öffentlichen Schlüssel mit einer oder mehreren digitalen Signaturen verbunden ist. Wenn ein digitales Zertifikat auf ein System geladen wird zur Verwendung durch einen Messaging-Client, muss ein Benutzer, wenn die Kontaktinformation der Entität nicht bereits in einem Adressenspeicher gespeichert ist, der durch den Messaging-Client zugänglich ist, entweder manuell eine Kontaktinformation für die Entität, die in dem digitalen Zertifikat identifiziert wird, in ein Adressbuch oder ähnliche Kontaktliste hinzufügen, die auf dem Messaging-Client gespeichert ist, oder jedes Mal manuell eine Adresse für die Entität eingeben, wenn eine Nachricht an diese Entität gesendet werden soll.
ZUSAMMENFASSUNG
Verfahren zum Speichern einer digitalen Zertifikatsinformation aus einem digitalen Zertifikat, das an einem Messaging-Client empfangen wird, weist gemäß einem Aspekt der Erfindung die Schritte auf Extrahieren der digitalen Zertifikatsinformation aus dem digitalen Zertifikat, Bestimmen, ob die extrahierte digitale Zertifikatsinformation in einem Datenspeicher auf dem Messaging-Client gespeichert ist, und Speichern der extrahierten digitalen Zertifikatsinformation in dem Datenspeicher, wenn die extrahierte digitale Zertifikatsinformation nicht in dem Datenspeicher gespeichert ist.
Bin System zum Speichern digitaler Zertifikatsinformation an einem Messaging-Client gemäß einem anderen Aspekt der Erfindung weist auf ein digitales Zertifikats-Lade-Modul, das konfiguriert ist, um digitale Zertifikate zu empfangen, und ein digitales Zertifikatsinformations-Injektor-Modul, das konfiguriert ist, eine digitale Zertifikatsinformation aus einem digitalen Zertifikat zu extrahieren, nachdem das digitale Zertifikat von dem digitalen Zertifikats-Lade-Modul empfangen wurde, um zu bestimmen, ob die extrahierte digitale Zertifikatsinformation in einem Eintrag in einem ersten Datenspeicher gespeichert ist, und um die extrahierte digitale Zertifikatsinformation in dem ersten Datenspeicher zu speichern, wenn die extrahierte digitale Zertifikatsinformation nicht in dem Eintrag in dem ersten Datenspeicher gespeichert ist.
KURZE BESCHREIBUNG DER ZEICHNUNGEN
1 ist ein Blockdiagramm eines Messaging-Systems.
2 ist ein Blockdiagramm, das ein Messaging-System und einen sicheren E-Mail-Nachrichten-Austausch darstellt.
3 ist ein Blockdiagramm einer mobilen Vorrichtung mit einem digitalen Zertifikatsinformationsspeichersystem.
4 ist ein Flussdiagramm, das ein Verfahren zum Speichern einer digitalen Zertifikatsinformation darstellt.
5 ist ein Flussdiagramm, das ein Verfahren zum Erzeugen und Senden von Nachrichten, die einer digitalen Zertifikatsinformation unterliegen, die in dem digitalen Zertifikatsinformationsspeichersystem gespeichert ist.
6 ist ein Flussdiagramm, das ein Verfahren zum Durchführen von Operationen hinsichtlich digitaler Zertifikate darstellt, die auf „digitale Zertifikats"-bezogenen Ereignissen basieren.
7 ist ein strukturelles Blockdiagramm des digitalen Zertifikatsinformationsspeichersystems.
8 ist ein Blockdiagramm einer drahtlosen mobilen Kommunikationsvorrichtung.
9 ist ein Blockdiagramm, das ein beispielhaftes Kommunikationssystem zeigt.
10 ist ein Blockdiagramm eines alternativen Kommunikationssystems.
11 ist ein Blockdiagramm eines weiteren alternativen Kommunikationssystems.
DETAILLIERTE BESCHREIBUNG
Sichere Nachrichten umfassen Nachrichten, die mit digitaler Signatur signiert, verschlüsselt oder anderweitig verarbeitet wurden, um eines oder mehrere von Datenvertraulichkeit, Datenintegrität und Benutzerauthentisierung sicherzustellen. Zum Beispiel kann eine sichere Nachricht eine Nachricht sein, die durch einen Nachrichtensender signiert, verschlüsselt, verschlüsselt und dann signiert, oder signiert und dann verschlüsselt wurde. Diese Operationen können entsprechend einem bekannten Standard ausgeführt werden, wie dem S/MIME(Secure Multipurpose Internet Mail Extension)-Standard.
1 ist ein Blockdiagramm eines Messaging-Systems. Es gibt viele unterschiedliche Messaging-System-Topologien und das System, das in der 1 gezeigt wird, ist eines von vielen, die mit den hier offenbarten Systemen und Verfahren verwendet werden können.
Das System 10 umfasst ein Weitbereichsnetzwerk (WAN – wide area network) 12, mit dem ein Computersystem 14, ein drahtloses Netzwerk-Gateway 16 und ein lokales Firmen-Netzwerk (LAN – local area network) 18 verbunden sind. Das drahtlose Netzwerk-Gateway 16 ist auch mit einem drahtlosen Kommunikationsnetzwerk 20 verbunden, in dem eine drahtlose mobile Kommunikationsvorrichtung 22, im Folgenden primär als eine mobile Vorrichtung bezeichnet, konfiguriert ist, zu arbeiten.
Das Computersystem 14 repräsentiert einen Desktop- oder Laptop-PC, der für eine Verbindung mit dem WAN 12 konfiguriert ist. Das WAN 12 kann ein privates Netzwerk oder ein größeres öffentlich zugängliches Netzwerk sein, wie das Internet. PCs, wie das Computersystem 14, greifen normalerweise auf das Internet zu durch ein Internetdiensteanbieter (ISP – internet service provider), einen Anwendungsdiensteanbieter (ASP – application service provider) oder dergleichen.
Das Firmen-LAN 18 ist ein Beispiel eines Netzwerk-basierten Messaging-Clients. Wie gezeigt, befindet sich ein Firmen-LAN 18 normalerweise hinter einer Sicherheits-Firewall 24. Innerhalb des Firmen-LANs 30 befindet sich ein Nachrichtenserver 26 , der auf einen Computer innerhalb der Firewall 24 läuft, der als die Hauptschnittstelle funktioniert für die Firma, Nachrichten sowohl innerhalb des LANs 18 als auch mit anderen externen Messaging-Clients über das WAN 20 auszutauschen. Zwei der am weitesten verbreiteten Nachrichtenserver 26 sind die Microsoft^TM-Exchange- und Lotus Domino^TM-Serverprodukte. Diese Server werden oft in Verbindung mit den Internet-Mail-Routern verwendet, die Mail leiten und liefern. Ein Nachrichtenserver 26 kann über das nur Senden und Empfangen von Nachrichten hinaus erweitert werden, und liefert eine derartige Funktionalität wie dynamische Datenbankspeichermaschinen, die vordefinierte Datenbankformate haben für Daten wie Kalender, Auftragslisten, Aufgabenlisten, E-Mail und Dokumentation.
Der Nachrichtenserver 26 bietet einem oder mehreren Netzwerk-Computersystem(en) 28 in dem LAN 18 Messaging-Fähigkeiten. Ein typisches LAN umfasst mehrere Computersysteme, die im Allgemeinen als Computersysteme 28 gezeigt werden, von denen jedes einen Messaging-Client implementiert, meistens als Software-Anmeldung wie Microsoft Outlook^TM für Messaging-Funktionen. In dem Netzwerk 18 werden Nachrichten durch den Nachrichtenserver 26 empfangen, verteilt an die passenden Mailboxen für Benutzerkonten, die in der empfangenen Nachricht adressiert werden, und können von einem Benutzer durch einen Computer in dem oder den mehreren Computersystem(en) 28 erreicht werden. Obgleich Messaging-Clients in dem LAN 18 auf den Computersystemen 28 arbeiten, gibt es auch bekannte Messaging-Clients, die in Verbindung mit handgehaltenen bzw. tragbaren Vorrichtungen und anderen Systemen oder Vorrichtungen mit elektronischen Messaging-Fähigkeiten arbeiten. Wie der Nachrichtenserver 26 kann ein Messaging-Client auch zusätzliche Nicht-Messaging-Funktionen haben.
Das drahtlose Netzwerk-Gateway 16 liefert eine Schnittstelle zu einem drahtlosen Netzwerk 20, durch das Nachrichten mit einer mobilen Vorrichtung 22 ausgetauscht werden können. Derartige Funktionen, wie das Adressieren einer mobilen Vorrichtung 22, Codieren oder anderweitiges Umwandeln von Nachrichten für eine drahtlose Übertragung und andere erforderliche Schnittstellenfunktionen werden durch das drahtlose Netzwerk-Gateway 16 durchgeführt. Wenn das drahtlose Netzwerk-Gateway 16 für einen Betrieb in Verbindung mit mehr als einem drahtlosen Netzwerk 20 konfiguriert ist, kann das drahtlose Netzwerk-Gateway 16 auch ein wahrscheinlichstes Netzwerk zum Lokalisieren eines gegebenen Benutzers bestimmen und Benutzer verfolgen, wenn sie zwischen Ländern oder Netzwerken roamen.
Jedes Computersystem mit Zugang zu dem WAN 12 kann Nachrichten mit einer mobilen Vorrichtung 22 durch das drahtlose Netzwerk-Gateway 16 austauschen. Alternativ können auch private drahtlose Netzwerk-Gateways, wie drahtlose VPN(virtual private network)-Router implementiert werden, um eine private Schnittstelle zu einem drahtlosen Netzwerk, wie 20, vorzusehen. Zum Beispiel liefert ein drahtloses VPN, das in dem LAN 18 implementiert ist, eine private Schnittstelle von dem LAN 18 zu einer oder mehreren mobilen Vorrichtung(en) durch das drahtlose Netzwerk 20.
Eine derartige private Schnittstelle zu drahtlosen Vorrichtungen über das drahtlose Netzwerk-Gateway 16 und/oder das drahtlose Netzwerk 20 kann effektiv erweitert werden auf Entitäten außerhalb des LANs 18 durch Vorsehen eines Nachrichten-Weiterleitungs- oder Umleitungssystems, das mit dem Nachrichtenserver 26 arbeitet. In diesem Typ eines Systems werden ankommende Nachrichten, die durch den Nachrichtenserver 26 empfangen werden und an einen Benutzer adressiert sind, der eine mobile Vorrichtung 22 hat, durch die drahtlose Netzwerkschnittstelle, entweder zum Beispiel ein drahtloser VPN-Router, der Gateway 16 oder eine andere Schnittstelle, an das drahtlose Netzwerk 20 und die mobile Vorrichtung 22 des Benutzers umgeleitet. Ein beispielhaftes Um- bzw. Weiterleitungs(redirector)-System, das auf dem Nachrichtenserver 26 arbeitet, kann eines des Typs sein, der offenbart wird in dem U.S.-Patent Nr. 6,219, 694 , mit dem Titel "SYSTEM AND METHOD FOR PUSHING INFORMATION FROM A HOST SYSTEM TO A MOBILE DATA COMMUNICATION DEVICE HAVING A SHARED ELECTRONIC ADDRESS", wobei die gesamte Offenbarung durch Bezugnahme hier enthalten ist.
In drahtlosen Netzwerken, wie 20, werden Nachrichten normalerweise an und von mobilen Vorrichtungen, wie die mobile Vorrichtung 22, über RF-Übertragungen zwischen Basisstationen in dem drahtlosen Netzwerk 20 und mobilen Vorrichtungen geliefert. Moderne drahtlose Netzwerke versorgen typischerweise Tausende von Teilnehmer, wobei jeder Teilnehmer eine mobile Vorrichtung hat. Das drahtlose Netzwerk 20 kann eines von vielen unterschiedlichen Typen von drahtlosen Netzwerken sein, wie ein Daten-zentrisches drahtloses Netzwerk, ein Sprachzentrisches drahtloses Netzwerk oder ein Dualmode-Netzwerk sein, das sowohl Sprach- als auch Daten-Kommunikation über dieselben physikalischen Basisstationen unterstützen kann. Dualmode-Netzwerke umfassen, sind aber nicht darauf begrenzt, neuentwickelte CDMA(Code Division Multiple Access)-Netzwerke, GSM (Groupe Special Mobile oder das Global System for Mobile Communications) und GPRS (General Packet Radio Service) und zukünftige Netzwerke der dritten Generation (3G), wie EDGE (Enhanced Data rates for Global Evolution) und UMTS (Universal Mobile Telecommunications Systems). GPRS ist ein Daten-Overlay auf das drahtlose GSM-Netzwerk und funktioniert in praktisch jedem Land in Europa. Zusätzlich zu diesen illustrativen drahtlosen Netzwerken können auch andere drahtlose Netzwerke verwendet werden.
Andere Beispiele von Daten-zentrischen Netzwerken umfassen, sind aber nicht darauf begrenzt, das Mobitex^TM-Funknetzwerk („Mobitex") und das DataTAC^TM-Funknetzwerk („DataTAC"). Beispiele älterer Sprach-zentrischer Datennetzwerke umfassen PCS(Personal Communication Systems)-Netzwerke, wie CDMA, GSM, und TDMA (Time Division Multiple Access).
Die mobile Vorrichtung 22 kann eine Datenkommunikationsvorrichtung, eine Sprachkommunikationsvorrichtung oder eine Mehrfachmodus-Vorrichtung sein, die fähig ist für Sprach-, Daten- und andere Typen von Kommunikation. Eine beispielhafte mobile Vorrichtung 22 wird ausführlich weiter unten und mit Bezugnahme auf 8 beschrieben.
Möglicherweise ist der am weitesten verbreitete Typ von Messaging, der momentan verwendet wird, E-Mail. In einem standardmäßigen E-Mail-System wird eine E-Mail-Nachricht durch einen E-Mail-Sender gesendet, möglicherweise durch einen Nachrichtenserver und/oder ein Diensteanbietersystem, und typischerweise durch das Internet an einen oder mehrere Nachrichten-Empfänger geleitet. E-Mail-Nachrichten werden normalerweise nicht verschlüsselt gesendet und verwenden herkömmliches SMTP(Simple Mail Transfer Protocol), RFC822-Header und MIME-Hauptteile, um das Format der E-Mail-Nachricht zu definieren. Wie kurz oben beschrieben, kann eine Nachricht, die an einen adressierten Nachrichtenempfänger geleitet wird, an eine mobile Vorrichtung umgeleitet werden. Da eine drahtlose Verbindung physikalisch nicht genauso gesichert werden kann wie eine verdrahtete Verbindung, werden Nachrichten häufig verschlüsselt für eine Übertragung durch ein drahtloses Netzwerk. Eine gesamte Nachrichtensicherheit kann weiter erhöht werden, wenn ein sicherer Übertragungsmechanismus auch zwischen dem Nachrichtensender und jedem Empfänger verwendet wird.
In den letzten Jahren wurden sichere Messaging-Techniken entwickelt, um sowohl den Inhalt als auch die Integrität von Nachrichten, wie E-Mail-Nachrichten, zu schützen. S/MIME und PGP^TM (Pretty Good Privacy^TM) sind zwei öffentliche sichere E-Mail-Messaging-Protokolle, die eine Verschlüsselung vorsehen, um einen Dateninhalt zu schützen, und ein Signieren, um die Integrität bzw. Unversehrtheit einer Nachricht zu schützen, und eine Senderauthentisierung durch einen Nachrichtenempfänger.
2 ist ein Blockdiagramm, das ein Messaging-System und einen sicheren E-Mail-Nachrichtenaustausch darstellt. Das Messaging-System in der 2 zeigt Komponenten, die in einem beispielhaften E-Mail-Nachrichtenaustausch zwischen zwei Messaging-Clients beteiligt sind, die an einem E-Mail-Sender 30 und an einer mobilen Vorrichtung 22 arbeiten. Viele andere Komponenten können in dem gesamten Messaging-System vorhanden sein und bei der Weiterleitung der Nachricht von dem Sender 30 an den Empfänger, die mobile Vorrichtung 22, beteiligt sein, werden aber in der 2 nicht gezeigt, um eine Überfüllung in der Zeichnung zu vermeiden. 2 zeigt auch eine verschlüsselte und signierte Nachricht als ein Beispiel einer sicheren Nachricht. Die Systeme und Verfahren, die hier offenbart werden, sind auch auf Messaging-Clients anwendbar, die auch andere Typen von sicheren Nachrichten senden und empfangen können. Messaging-Clients können konfiguriert sein, entweder sichere oder nicht sichere Nachrichten zu senden, zum Beispiel als Reaktion auf standardmäßige Konfigurationseinstellungen oder eine Pro-Nachricht-Auswahl durch einen Benutzer an einem Sendersystem.
Das System in der 2 umfasst einen E-Mail-Sender 30, der konfiguriert ist für einen Zugang zu einem WAN 32. Das drahtlose Gateway 34 sieht eine Schnittstelle zu dem drahtlosen Netzwerk 36 vor, in dem die mobile Vorrichtung 22 ausgebildet ist, betrieben zu werden.
Der E-Mail-Sender 30 kann zum Beispiel ein PC, wie das System 14 in der 1, oder ein Netzwerk-verbundener Computer sein, wie 28. Der E-Mail-Sender 30 kann auch eine mobile Vorrichtung sein, auf der E-Mail-Nachrichten erstellt und gesendet werden können. Das WAN 32, das drahtlose Gateway 34, das drahtlose Netzwerk 36 und die mobile Vorrichtung 22 sind im Wesentlichen die selben wie ähnlich bezeichnete Komponenten in der 1.
Gemäß sicheren Messaging-Schemen, wie S/MIME und PGP, wird eine Nachricht 40 verschlüsselt unter Verwendung eines einmaligen Sitzungsschlüssels, der durch den E-Mail-Sender 30 gewählt wird. Der Sitzungsschlüssel wird verwendet, um den Nachrichtenhauptteil zu verschlüsseln und wird dann selbst verschlüsselt unter Verwendung des öffentlichen Schlüssels jedes adressierten Nachrichtenempfängers, an den die Nachricht gesendet werden soll. Auf diese Weise verschlüsselt, umfasst die Nachricht 40 einen verschlüsselten Nachrichtenhauptteil 44 und einen verschlüsselten Sitzungsschlüssel 46. In diesem Typ eines Nachrichtenverschlüsselungsschemas muss ein Nachrichtensender, wie der E-Mail-Sender 30, einen Zugang zu dem öffentlichen Schlüssel jeder Entität haben, zu der eine verschlüsselte Nachricht gesendet werden soll.
Ein sicherer E-Mail-Nachrichtensender, wie 30, signiert normalerweise eine Nachricht, indem er eine Zusammenfassung (digest) der Nachricht nimmt und die Zusammenfassung unter Verwendung des privaten Schlüssels des Senders signiert. Eine Zusammenfassung kann zum Beispiel erzeugt werden durch Durchführen einer Prüfsumme, einer CRC (cyclic redundancy check), eines Zusammenfassungsalgorithmus, wie MD5 (Message Digest Algorithm 5), eines Hash-Algorithmus, wie SHA-1 (Secure Hashing Algorithm 1), oder eine andere vorzugsweise nicht reversible Operation auf der Nachricht. In dem in der 2 gezeigten Beispiel werden sowohl der verschlüsselte Nachrichtenhauptteil 44 als auch der verschlüsselte Sitzungsschlüssel 46 verwendet, um eine Zusammenfassung zu erzeugen. Diese Zusammenfassung wird dann von dem Sender 30 unter Verwendung des privaten Schlüssels des Senders signiert. Der private Signaturschlüssel wird zum Beispiel verwendet, um eine Verschlüsselung oder eine andere Umwandlungsoperation auf der Zusammenfassung durchzuführen, um die Zusammenfassungssignatur zu erzeugen. Eine digitale Signatur, einschließlich der Zusammenfassung und der Zusammenfassungssignatur, wird dann an die abgehende Nachricht hinzugefügt, wie bei 42 gezeigt wird. Ein digitales Zertifikat des Senders, das den öffentlichen Schlüssel des Senders und eine Senderidentitätsinformation umfasst, die mit dem öffentlichen Schlüssel mit einer oder mehreren digitalen Signaturen verbunden ist, und möglicherweise alle verketteten digitalen Zertifikate und CRLs (Certificate Revocation Lists), die zu dem digitalen Zertifikat des Senders gehören, und alle verketteten digitalen Zertifikate können ebenfalls an die sichere Nachricht 40 angehängt werden.
In S/MIME werden digitale Signaturen, sowie alle digitalen Zertifikate und CRLs, wenn enthalten, normalerweise am Anfang einer Nachricht platziert, wie in 2 gezeigt. Nachrichten gemäß anderen sicheren Messaging-Schemen können Nachrichten-Komponenten in einer anderen Reihenfolge als gezeigt platzieren oder zusätzliche und/oder unterschiedliche Komponenten umfassen. Zum Beispiel umfasst eine sichere Nachricht 40 mindestens eine Adressierung und möglicherweise eine andere Header-Information, die möglicherweise signiert sein kann, die aber meistens typischerweise nicht verschlüsselt ist.
Wenn die sichere E-Mail-Nachricht von dem E-Mail-Sender 30 gesendet wird, wird sie durch das WAN 32 an das drahtlose Gateway 34 geleitet. Wie oben beschrieben, kann der E-Mail-Sender 30 die Nachricht 40 direkt an ein drahtloses Gateway 34 senden, oder die Nachricht 40 kann stattdessen an ein Computersystem geliefert werden, das zu der mobilen Vorrichtung 22 gehört, und dann an die mobile Vorrichtung 22 durch das drahtlose Gateway 34 weitergeleitet werden. Alternativ kann die Nachricht an die mobile Vorrichtung 22 durch das drahtlose Netzwerk 36 durch einen drahtlosen VPN-Router geleitet oder umgeleitet werden.
Der Empfänger solch einer signierten Nachricht, die mobile Vorrichtung 22 in dem in der 2 gezeigten Beispiel, kann die digitale Signatur 42 verifizieren. Um die digitale Signatur 42 zu verifizieren, verwendet die mobile Vorrichtung einen „digitale Signatur"-Überprüfungsalgorithmus, der dem Signaturerzeugungs algorithmus entspricht, der von dem Nachrichtensender verwendet wird, der in einem Nachrichten-Header oder in der digitalen Signatur 42 spezifiziert werden kann, und den öffentlichen Schlüssel des Senders. Wenn eine sichere Nachricht das digitale Zertifikat des Senders umfasst, dann kann der öffentliche Schlüssel des Senders aus dem digitalen Zertifikat extrahiert werden. Der öffentliche Schlüssel des Senders kann stattdessen zum Beispiel aus einem lokalen Speicher abgerufen werden, wenn der öffentliche Schlüssel aus einer früheren Nachricht von dem Sender extrahiert wurde, und in einem Schlüsselspeicher in dem lokalen Speicher des Empfängers gespeichert werden oder das digitale Zertifikat des Senders wird in dem lokalen Speicher gespeichert. oder aus einem „öffentlicher Schlüssel"-Server (PKS – Public Key Server). Ein PKS ist ein Server, der normalerweise zu einer Zertifikatsautorität (CA – Certificate Authority) gehört, von der ein digitales Zertifikat für eine Entität, einschließlich der öffentliche Schlüssel der Entität, verfügbar ist. Ein PKS kann sich innerhalb eines Firmen-LANs, wie dem LAN 18 von der 1, oder sonst wo in dem WAN 32, Internet oder anderem Netzwerk oder System befinden, durch das Nachrichtenempfänger eine Kommunikation mit dem PKS aufbauen können.
Obgleich „digitale Signatur"-Algorithmen und Zusammenfassungsalgorithmen öffentlich bekannt sein können, signiert ein Sender eine ursprüngliche Nachricht unter Verwendung seines eigenen privaten Schlüssels. Folglich kann ein Entität, die eine ursprüngliche Nachricht ändert, keine digitale Signatur erzeugen, die mit dem öffentlichen Schlüssel des Senders verifiziert werden kann. Wenn eine gesendete Nachricht durch einen Angreifer verändert wird, nachdem sie von einem Sender signiert wurde, dann scheitert die digitale Signaturverifizierung basierend auf dem öffentlichen Schlüssel des Senders. Diese maSubjekttischen Operationen verhindern nicht, dass jemand die Inhalte der sicheren Nachricht sieht, stellen aber sicher, dass die Nachricht nicht verändert wurde, da sie durch den Sender signiert wurde, und dass die Nachricht von der Person signiert wurde, wie in dem „Von (From)"-Feld der Nachricht angezeigt.
Wenn die digitale Signatur 42 verifiziert wurde oder manchmal selbst, wenn eine digital Signaturverifizierung scheitert, wird der verschlüsselte Nachrichtenhauptteil 44 dann entschlüsselt, bevor er angezeigt oder weiter verarbeitet werden kann. Ein Nachrichtenempfänger verwendet seinen privaten Schlüssel, um den verschlüsselten Sitzungsschlüssel 46 zu entschlüsseln, und verwendet dann den entschlüsselten Sitzungsschlüssel, um den verschlüsselten Nachrichtenhauptteil 44 zu entschlüsseln und dadurch die ursprüngliche Nachricht wiederherzustellen. Eine Entschlüsselung erfordert typischerweise eine Tätigkeit von Seiten eines Benutzers, wie Eingabe eines Kennworts oder einer Kennphrase. Normalerweise wird eine verschlüsselte Nachricht an einem empfangenden Messaging-Client nur in seiner verschlüsselten Form gespeichert. Jedes Mal, wenn die Nachricht angezeigt oder anderweitig verarbeitet werden soll, wird sie zuerst entschlüsselt. Für Fachleute ist offensichtlich, dass eine Entität mehr als ein dazugehöriges kryptographisches Schlüsselpaar haben kann, wie ein privates/öffentliches Signatur-Schlüsselpaar und ein privates/öffentliches Verschlüsselungs-Schlüsselpaar. So kann die mobile Vorrichtung 22 einen privaten Schlüssel verwenden, um den verschlüsselten Nachrichtenhauptteil 44 zu entschlüsseln, und einen anderen privaten Schlüssel, um eine abgehende sichere Nachricht digital zu signieren.
Eine verschlüsselte Nachricht, die an mehr als einen Empfänger adressiert ist, umfasst eine verschlüsselte Version des Sitzungsschlüssels für jeden Empfänger, der unter Verwendung des öffentlichen Schlüssels des Empfängers verschlüsselt wurde. Jeder Empfänger führt dieselben „digitale Signatur"-Verifizierungsoperationen durch, entschlüsselt aber einen anderen der verschlüsselten Sitzungsschlüssel unter Verwendung seines eigenen privaten Schlüssels.
Folglich muss in einem sicheren Messaging-System ein sendender Messaging-Client einen Zugang zu dem öffentlichen Schlüssel jedes Empfängers haben, an den eine verschlüsselte Nachricht gesendet werden soll. Ein empfangender Messaging-Client muss fähig sein, den öffentlichen Schlüssel des Senders abzurufen, der für einen Messaging-Clients durch verschiedene Mechanismen verfügbar sein kann, um eine digitale Signatur in einer signierten Nachricht zu verifizieren.
Öffentliche Schlüssel werden im Allgemeinen in digitalen Zertifikaten vorgesehen. Wie oben beschrieben, umfasst ein digitales Zertifikat für eine bestimmte Entität typischerweise den öffentlichen Schlüssel der Entität und eine Identifizierungsinformation, die mit dem öffentlichen Schlüssel mit einer digitalen Signatur verbunden ist. Mehrere Typen von digitalen Zertifikaten sind momentan weit verbreitet und umfassen zum Beispiel digitale X.509-Zertifikate, die typischerweise in S/MIME verwendet werden. PGP verwendet digitale Zertifikate mit einem etwas anderen Format. Andere digitale Zertifikate, wie ein digitales Zertifikat gemäß einem proprietären Standard, können ebenfalls verwendet werden.
Die digitale Signatur in einem digitalen Zertifikat wird durch den Aussteller des digitalen Zertifikats erzeugt, und kann durch einen Nachrichtenempfänger, im Wesentlichen wie oben beschrieben verifiziert werden. Ein digitales Zertifikat kann eine Ablaufzeit oder Gültigkeitsperiode umfassen, aus der ein Messaging-Client feststellt, ob das digitale Zertifikat abgelaufen ist. Eine Verifizierung der Gültigkeit eines digitalen Zertifikats kann auch ein Verfolgen eines Zertifikatspfads durch eine digitale Zertifikats-Kette umfassen, die das digitale Zertifikat eines Benutzers und andere digitale Zertifikate umfasst, um zu verifizieren, dass das digitale Zertifikat des Benutzers authentisch ist. Ein digitales Zertifikat kann auch mit einer CRL verglichen werden, um sicherzugehen, dass das digitale Zertifikat nicht widerrufen wurde.
Wenn die digitale Signatur in einem digitalen Zertifikat für eine bestimmte Entität gültig ist, das digitale Zertifikat nicht abgelaufen ist oder widerrufen wurde, und der Aussteller entweder des digitalen Zertifikats oder eines verketteten digitalen Zertifikats vertrauenswürdig ist, dann wird angenommen, dass der öffentliche Schlüssel in dem digitalen Zertifikat der öffentliche Schlüssel der Entität ist, für die das digitale Zertifikat ausgestellt wurde, auch als das Subjekt des digitalen Zertifikats bezeichnet.
Digitale Zertifikate können für einen Messaging-Clients von mehreren Quellen verfügbar sein. Wenn ein digitales Zertifikat an eine empfangene Nachricht angehängt ist, kann das digitale Zertifikat aus der Nachricht extrahiert werden und in einem Speicher an dem Messaging-Client gespeichert werden. Andernfalls können digitale Zertifikate von einem PKS auf einem LAN, dem Internet oder einem anderem Netzwerk angefordert und heruntergeladen werden, mit dem ein Anforderer eine Kommunikation herstellen kann. Es wird auch erwogen, dass ein Messaging-Client digitale Zertifikate von anderen Quellen als einem PKS laden kann. Zum Beispiel sind viele moderne mobile Vorrichtungen für eine Verbindung mit einem PC konfiguriert. Durch das Verbinden einer mobilen Vorrichtung mit einem PC, um digitale Zertifikate über eine physikalische Verbindung, wie ein serieller Anschluss oder ein USB-Anschluss, herunterzuladen, kann eine über-die-Luft-Übertragung von digitalen Zertifikaten reduziert werden. Wenn solch eine physikalische Verbindung verwendet wird, um digitale Zertifikate für Entitäten zu laden, an die ein Benutzer erwartet, verschlüsselte Nachrichten zu senden, dann müssen diese digitalen Zertifikate nicht heruntergeladen werden, wenn verschlüsselte Nachrichten an eine dieser Entitäten gesendet werden sollen. Ein Benutzer kann ähnlich digitale Zertifikate für alle Entitäten laden, von denen ein Empfang von signierten Nachrichten erwartet wird, so dass digitale Signaturen verifiziert werden können, selbst wenn eine dieser Entitäten ihr digitales Zertifikat nicht an eine signierte Nachricht anhängt.
Wenn ein digitales Zertifikat gespeichert wurde und durch einen Messaging-Clients zugänglich ist, benötigen bekannte Messaging-Clients einen manuellen Kontaktinformationseintrag für die Subjekt-Entität jedes digitalen Zertifikats, außer diese Information wurde bereits für die Subjekt-Entität gespeichert. Wenn mehrere digitale Zertifikate auf eine mobile Vorrichtung heruntergeladen werden, kann ein manueller Eintrag der Kontaktinformation, die zu jedem digitalen Zertifikat gehört, besonders lästig werden. Eine andere Information in einem digitalen Zertifikat, wie die Ablaufzeit oder Gültigkeitsperiode des digitalen Zertifikats, kann ebenfalls für Messaging-Client-Operationen wichtig sein und deren manueller Eintrag kann ähnlich unbequem sein.
In einem Ausführungsbeispiel wird eine digitale Zertifikatsinformation aus jedem digitalen Zertifikat extrahiert, wenn es auf eine mobile Vorrichtung 22 geladen wird und in einem Adressbuch oder einem ähnlichen Kontaktinformationsspeicher oder möglicherweise einem anderen Datenspeicher auf der mobilen Vorrichtung 22 gespeichert wird.
3 ist ein Blockdiagramm einer mobilen Vorrichtung 22 mit einem digitalen Zertifikatsinformationsspeichersystem. Eine beispielhafte mobile Vorrichtung 22 wird detaillierter mit Bezug auf 8 beschrieben.
Wie in 3 gezeigt, weist eine mobile Vorrichtung 22, die ein digitales Zertifikatsinformationsspeichersystem enthält, einen Speicher 52, eine digitale Zertifikats-Ladevorrichtung 60, einen Kontaktinformations-Injektor 62, eine Tastatur und Benutzerschnittstelle (UI – user interface) 64, einen drahtlosen Transceiver 66 und einen seriellen oder USB(universal serial bus)-Anschluss 68 auf. Der Speicher 52 umfasst vorzugsweise eine Vielzahl von unterschiedlichen Speicherbereichen oder Datenspeichern, in 3 gezeigt als ein digitaler Zertifikats-Speicher 54, ein Adressbuch 56, in dem eine Kontaktinformation gespeichert ist, ein Speicher 57 für die extrahierte digitale Zertifikatsinformation, in dem eine andere digitale Zertifikatsinformation gespeichert ist, und einen Anwendungs- Daten-Speicherbereich 58. Andere Daten können ebenfalls in dem Speicher 52 gespeichert werden.
Der Speicher 52 ist ein schreibbarer Speicher wie ein RAM- oder Flash-Speicher, in den andere Vorrichtungskomponenten Daten schreiben können. Der digitale Zertifikats-Speicher 54 ist ein Speicherbereich, der zum Speichern von digitalen Zertifikaten auf der Vorrichtung 22 vorgesehen ist. Digitale Zertifikate können in dem digitalen Zertifikats-Speicher 54 in dem Format gespeichert werden, in dem sie empfangen werden, oder können alternativ in ein Speicherformat ausgewertet oder anderweitig übersetzt werden, bevor sie in den Speicher 54 geschrieben werden. Das Adressbuch 56 ist ein Kontaktinformationsspeicher, der eine Kontaktinformation für Entitäten speichert, mit denen ein Benutzer der mobilen Vorrichtung 22 Nachrichten austauschen kann. Das Adressbuch kann auch eine physikalische Adresse, Mailadresse und andere Kontaktinformation zusätzlich zu oder anstelle von Information speichern, die zum Messaging unter Verwendung der mobilen Vorrichtung 22 verwendet wird. Der Speicher 57 für extrahierte digitale Zertifikatsinformation ist konfiguriert, um andere Information von digitalen Zertifikate zu speichern, die in dem digitalen Zertifikats-Speicher gespeichert sind, um eine einfachere oder schnellere Verarbeitung einer bestimmten digitalen Zertifikatsinformation oder die Verwendung einer digitalen Zertifikatsinformation durch andere Systeme oder Software-Anwendungen zu ermöglichen, die auf der mobilen Vorrichtung 22 installiert sind. Zum Beispiel kann eine Ablaufzeit oder eine Gültigkeitsperiode aus einem digitalen Zertifikat extrahiert und verwendet werden, um einen Termin oder eine Erinnerung für einen Benutzer der mobilen Vorrichtung 22 zu erzeugen, um dadurch eine Anzeige für den Benutzer vorzusehen, wenn ein gespeichertes digitales Zertifikat abgelaufen ist oder nicht länger gültig ist. Der Anwendungs-Daten-Speicher 58 speichert Daten, die zu Software-Anwendungen auf der mobilen Vorrichtung 22 gehören, und stellt ein illustratives Beispiel von anderer Information dar, die in dem Speicher 52 gespeichert werden kann. Der Speicher 52 kann auch durch andere Vorrichtungssysteme verwendet werden, zusätzlich zu denen, die in der 3 gezeigt werden.
Die digitale Zertifikats-Ladevorrichtung 60, die typischerweise als ein Software-Modul oder -Anwendung implementiert wird, verwaltet das Laden von digitalen Zertifikaten auf die mobile Vorrichtung 22. Wie oben beschrieben, kann eine mobile Vorrichtung digitale Zertifikate von verschiedenen Quellen erlangen. Die digitale Zertifikats-Ladevorrichtung 60 ist folglich mit Kommunikationsmodulen verbunden, wie dem drahtlosen Transceiver 66 und dem seriellen oder USB-Anschluss 68, durch die digitale Zertifikate möglicherweise angefordert und empfangen werden können. Wenn zum Beispiel eine sichere Nachricht von einer Entität empfangen wird oder an diese gesendet wird, für die kein digitales Zertifikat in dem digitalen Zertifikats-Speicher 54 gespeichert wurde, kann die mobile Vorrichtung 22 das digitale Zertifikat von einem PKS durch den drahtlosen Transceiver 66 anfordern und auch das digitale Zertifikat von einer digitalen Zertifikats-Quelle als Reaktion auf die Anforderung durch den drahtlosen Transceiver 66 empfangen. Der serielle oder USB-Anschluss 68 kann ebenfalls in Verbindung mit einem ähnlich ausgerüsteten PC verwendet werden, um digitale Zertifikate auf die mobile Vorrichtung 22 herunterzuladen.
Der digitale Zertifikatsinformations-Injektor 62 überwacht vorzugsweise den digitalen Zertifikats-Speicher 54, um neue digitale Zertifikate zu erfassen, wenn sie in dem digitalen Zertifikats-Speicher 54 gespeichert werden. Alternativ kann die digitale Zertifikats-Ladevorrichtung 60 konfiguriert sein, den digitalen Zertifikatsinformations-Injektor 62 zu informieren, wenn ein digitales Zertifikat auf die Vorrichtung 22 geladen wird. Nach der Bestimmung, dass ein neues digitales Zertifikat in dem digitalen Zertifikats-Speicher 54 gespeichert wurde, extrahiert der digitale Zertifikatsinformation-Injektor 62 eine Information aus dem digitalen Zertifikat. Wenn eine Kontaktinformation extrahiert wird, speichert der digitale Zertifikatsinformations-Injektor 62 die extrahierte Kontaktinformation in das Adress buch 56, entweder durch Erzeugen eines neuen Eintrags in dem Adressbuch 56 unter Verwendung der extrahierten Kontaktinformation oder durch Speichern der extrahierten Kontaktinformation zu einem existierenden Eintrag in dem Adressbuch 56.
Bevor ein neuer Adressbucheintrag erzeugt wird, prüft der digitale Zertifikatsinformations-Injektor 62 vorzugsweise das Adressbuch 56, um festzustellen, ob die Kontaktinformation oder möglicherweise ein Teil davon bereits in einem Eintrag in dem Adressbuch 56 existiert oder nicht. Wenn zum Beispiel ein betreffender Name in einem digitalen Zertifikat unter Verwendung einer E-Mail-Adresse spezifiziert wird, kann der digitale Zertifikatsinformations-Injektor 62 das Adressbuch 56 nach der E-Mail-Adresse durchsuchen und nur einen neuen Adressbucheintrag erzeugen, wenn die E-Mail-Adresse nicht in dem Adressbuch 56 gefunden wird. Wenn ein Eintrag in dem Adressbuch 56 für ein digitales Zertifikats-Subjekt existiert, wenn eine weitere Kontaktinformation in einem digitalen Zertifikat geliefert und durch den digitalen Zertifikats-Information-Injektor 62 extrahiert wird, prüft der digitale Zertifikatsinformations-Injektor 62 vorzugsweise den existierenden Eintrag für das Subjekt, um festzustellen, ob die weitere Kontaktinformation auch in dem Adressbucheintrag existiert. Wenn nicht, wird der existierende Eintrag vorzugsweise durch Speichern der weiteren Kontaktinformation zu dem existierenden Eintrag aktualisiert. Somit kann der digitale Zertifikats-Informations-Injektor 62 das Adressbuch 56 aktualisieren durch Entweder Hinzufügen eines neuen Eintrags unter Verwendung der extrahierten Information oder durch Speichern einer extrahierten Information zu einem existierenden Eintrag.
Der digitale Zertifikats-Information-Injektor 62 kann ähnlich eine andere Information aus digitalen Zertifikaten extrahieren, die auf die mobile Vorrichtung 22 geladen werden zur Speicherung in einem anderen Speicher oder Speicherbereich 57. Zum Beispiel, wie kurz oben beschrieben wird, können digitale Zertifikate eine Ablauf- oder Gültigkeits-Information des digitalen Zertifikats umfassen, die verwendet werden kann, um einen Termin oder eine Erinnerung für einen Benutzer der mobilen Vorrichtung 22 zu erzeugen, um den Benutzer zu warnen, wenn ein digitales Zertifikat abläuft oder ungültig ist oder abzulaufen droht oder ungültig wird. In diesem Beispiel extrahiert der digitale Zertifikatsinformations-Injektor 62 vorzugsweise einen Subjektnamen des digitalen Zertifikats und eine Ablauf- oder Gültigkeitsinformation und prüft den Speicher 57 für extrahierte digitale Zertifikatsinformation, zum festzustellen, ob bereits ein Eintrag für das Subjekt besteht. Wenn nicht, dann wird ein neuer Eintrag, d.h. eine neue Erinnerung oder ein Termin, in dem Speicher 57 unter Verwendung der extrahierten digitalen Zertifikatsinformation erzeugt. Wenn ein Eintrag für das Subjekt in dem Speicher 57 existiert, dann kann die Ablauf- oder Gültigkeitsinformation in dem existierenden Eintrag geprüft werden, um festzustellen, ob sie dieselbe wie die extrahierte Information ist. Wenn nicht, dann aktualisiert der digitale Zertifikatsinformations-Injektor 62 vorzugsweise den existierenden Eintrag mit der extrahierten Information. Dies ist zum Beispiel nützlich, wenn ein neues digitales Zertifikat geladen wurde, um ein digitales Zertifikat zu ersetzen, die noch nicht abgelaufen ist. Folglich kann, wie oben, der digitale Zertifikatsinformations-Injektor 62 den Speicher 57 aktualisieren entweder durch Hinzufügen eines neuen Eintrags unter Verwendung der extrahierten Information oder durch Speichern einer extrahierten Information zu einem existierenden Eintrag.
Eine andere Information in einem digitalen Zertifikat kann ähnlich extrahiert und in dem Speicher 52 auf der mobilen Vorrichtung 22 gespeichert werden. Die Typen einer digitalen Zertifikatsinformation, die extrahiert und gespeichert werden, können konfigurierbar sein durch einen Benutzer der mobilen Vorrichtung zum Beispiel durch Einrichten von Einstellungen, die dem digitalen Zertifikatsinformations-Injektor 62 zugeordnet sind.
In einem anderen Ausführungsbeispiel greift der digitale Zertifikatsinformations-Injektor 62 auf den digitalen Zertifikats-Speicher 54 zu, um eine digitale Zertifi katsinformation zu extrahieren. Das spezifische Schema der Extraktion einer digitalen Zertifikatsinformation aus einem gespeicherten digitalen Zertifikat hängt von dem Format ab, in dem die digitalen Zertifikate in dem digitalen Zertifikats-Speicher 54 gespeichert sind. Wenn digitale Zertifikate in dem digitalen Zertifikats-Speicher 54 in dem Format gespeichert sind, in dem sie empfangen werden, ruft der digitale Zertifikatsinformations-Injektor 62 ein digitales Zertifikat aus dem digitalen Zertifikats-Speicher ab und wertet das digitale Zertifikat aus oder übersetzt anderweitig das digitale Zertifikat in ein passendes Format, so dass die digitale Zertifikatsinformation identifiziert und extrahiert werden kann. Wenn empfangene digitale Zertifikate durch die digitale Zertifikats-Ladevorrichtung 60 derart ausgewertet oder übersetzt werden, dass die ausgewerteten Daten in dem digitalen Zertifikats-Speicher 54 gespeichert werden, dann kann der digitale Zertifikatsinformations-Injektor 62 nur relevante Informationsfelder aus den ausgewerteten Daten in dem digitalen Zertifikats-Speicher 54 lesen, wie erforderlich, um Felder in Einträgen in den anderen Datenspeichern 56, 57 zu füllen. In dem letzteren Beispiel kann die digitale Zertifikats-Ladevorrichtung 60 konfiguriert sein, die digitale Zertifikatsinformation von einem digitalen Zertifikat an den digitalen Zertifikatsinformations-Injektor 62 zu leiten, der dann die digitale Zertifikatsinformation in dem Adressbuch 56 oder dem Speicher 57 für eine extrahierte digitale Zertifikatsinformation speichert, wie oben beschrieben wurde.
Eine Implementierung eines digitalen Zertifikatsinformationsspeichersystems, wie in der 3 gezeigt, schließt vorzugsweise nicht einen Adressbuch- oder anderen Informations-Eintrag über Eingabemittel aus, wie der Tastatur/UI 64. Wenn ein Benutzer weitere Kontaktinformation zu einem existierenden Adressbucheintrag hinzufügen oder eine Information darin andern möchte oder manuell einen neuen Adressbucheintrag hinzufügen möchte, sieht zum Beispiel die Tastatur/UI 64 oder möglicherweise eine andere Eingabevorrichtung ein manuelles Eingeben und Editieren der Kontaktinformation vor, wie es gelegentlich erforderlich sein kann.
Obgleich ein einzelner Speicher 52 in der 3 gezeigt wird, kann eine mobile Vorrichtung 22 mehrere unterschiedliche Speichereinheiten umfassen, so dass die Speicher 54, 56, 57, 58 in getrennten Speichereinheiten implementiert werden können. Jedoch ist der gesamte Betrieb eines digitalen Zertifikatsinformationsspeichersystems in einem System mit mehreren Speichern im Wesentlichen wie oben beschrieben.
Die Systeme und die Verfahren, die hier offenbart werden, sind nicht auf die Implementierung in einer mobilen Vorrichtung 22 eingeschränkt, welche die Speicheranordnung hat, die in der 3 gezeigt wird. Zum Beispiel können weitere Datenspeicher vorgesehen und konfiguriert sein zum Speichern von Information, die aus digitalen Zertifikaten extrahiert wurde. Der Speicher 57 für extrahierte digitale Zertifikatsinformation ist vorgesehen als ein allgemeines Beispiel eines Speichers für eine digitale Zertifikatsinformation, außer einer Kontaktinformation. Ähnlich können weniger Datenspeicher für eine Extraktion und Speicherung einer digitalen Zertifikatsinformation vorgesehen werden, so dass nur ein Typ einer digitalen Zertifikatsinformation, zum Beispiel eine Kontaktinformation, automatisch gespeichert wird.
Während die digitale Zertifikats-Ladevorrichtung 60 und der digitale Zertifikatsinformations-Injektor 62 als getrennt Blöcke in der 3 darstellt werden, können die digitale Zertifikats-Ladevorrichtung 60 und der digitale Zertifikatsinformations-Injektor 62 als ein einzelnes Software-Modul oder als getrennte Software-Module implementiert werden.
Ein digitales Zertifikatsinformationsspeichersystem kann auch Anwendungsdaten in dem Anwendungsdatenspeicher 58 erzeugen oder aktualisieren. In dem obigen Beispiel des Erzeugens oder Modifizieren einer Erinnerung oder eines Termins basierend auf einer Ablauf- oder Gültigkeitsinformation, die aus einem digitalen Zertifikat extrahiert wurde, wird eine derartige Erinnerung oder Termin typischerweise durch eine Terminplanungs- oder Kalender-Software-Anwendung auf der mobilen Vorrichtung 22 verwendet.
Eine digitale Zertifikatsinformationsspeicherung kann auch auf andere Typen von Systemen als eine mobile Vorrichtung 22 anwendbar sein. Zum Beispiel auf einem Desktop- oder Laptop-PC spart, obwohl eine Dateneingabe dazu neigt, einfacher als auf der mobilen Vorrichtung 22 zu sein, eine Extraktion und Speicherung der digitalen Zertifikatsinformation die Zeit und die Mühe, die mit einer manuellen Eingabe der digitalen Zertifikatsinformation für jedes digitale Zertifikat verbunden ist, das auf einem System gespeichert ist.
4 ist ein Flussdiagramm, das ein Verfahren zum Speichern einer digitalen Zertifikatsinformation darstellt. Das Verfahren beginnt in Schritt 70, wenn ein digitales Zertifikat auf eine Vorrichtung geladen wird, wie wenn ein Speichern eines digitalen Zertifikats in einen digitalen Zertifikats-Speicher erfasst wird. In Schritt 72 wird eine digitale Zertifikatsinformation aus dem digitalen Zertifikat extrahiert. Um eine Erzeugung von doppelten Einträgen in einem Datenspeicher zu vermeiden, wird vorzugsweise in Schritt 74 bestimmt, ob die digitalen Zertifikatsinformation oder ein Teil davon, wie eine E-Mail-Adresse oder ein Subjektname, bereits in einem Eintrag in dem Datenspeicher existiert oder nicht. Wenn die digitale Zertifikatsinformation bereits in dem Datenspeicher existiert, dann wird in Schritt 75 der existierende Eintrag vorzugsweise geprüft, um festzustellen, ob eine weitere extrahierte digitale Zertifikatsinformation, wenn vorhanden, in dem Eintrag existiert oder nicht. Wie oben beschrieben, kann ein Subjektname des digitalen Zertifikats in Schritt 74 verwendet werden, um nach einem Eintrag in einem Datenspeicher zu prüfen, während ein existierender Eintrag in Schritt 75 geprüft werden kann, um festzustellen, ob eine andere extrahierte Information, wie eine Ablaufzeit oder Gültigkeitsperiode, bereits in dem existierenden Eintrag gespeichert wurde. In Schritt 77 wird, wenn die weitere extrahierte Information nicht in dem existierenden Eintrag gefunden wird, der existierende Eintrag aktualisiert durch Hinzufügen der weiteren extrahierten Information.
Wenn die Information, die aus dem digitalen Zertifikat extrahiert wird, eine Kontaktinformation ist, kann eine sichere Messaging-Markierung bzw. Messaging-Flag in dem Adressbucheintrag gesetzt werden, das die extrahierte Kontaktinformation umfasst oder damit aktualisiert wurde in Schritt 79. Solch ein Flag zeigt an, dass ein entsprechendes digitale Zertifikat für den Kontakt gespeichert ist. Ein Benutzer kann, wenn er eine Nachricht an den Kontakt adressiert, dadurch einfach feststellen, ob ein digitales Zertifikat für den Kontakt empfangen und geladen wurde oder nicht, und somit, ob sichere Nachrichten an den Kontakt gesendet werden können oder nicht, ohne zuerst das digitale Zertifikat für den Kontakt von einer digitalen Zertifikats-Quelle von außerhalb zu erlangen. Dieses Flag oder ein weiteres Flag oder ein Anzeiger können auch verwendet werden, um zu veranlassen, dass sichere Nachrichten an einen Kontakt entsprechend einem vorzugsweise konfigurierbare standardmäßigen sicheren Messaging-Modus gesendet werden. Alternativ kann, wenn eine Nachricht an einen Kontakt mit einem gesetzten sicheren Messaging-Flag adressiert wird, ein Benutzer aufgefordert werden, einen Messaging-Modus zu wählen, einschließlich zum Beispiel einen Klartext-Modus (keine Sicherheit) oder einen von mehreren signierten und/oder verschlüsselten sicheren Modi.
Wenn eine extrahierte digitale Zertifikatsinformation nicht in einem existierenden Datenspeichereintrag gefunden wird, was zu einer negativen Feststellung in Schritt 74 führt, wird ein neuer Eintrag automatisch in Schritt 78 erzeugt und Felder in dem neuen Eintrag werden gefüllt unter Verwendung der extrahierten Information in Schritt 80. In Schritt 82 wird dann ein sicheres Messaging-Flag für einen neuen Adressbucheintrag gesetzt, wie oben beschrieben. Der neue Eintrag kann dann ähnlich zu anderen Einträgen in dem Datenspeicher oder möglicherweise ähnlichen Einträgen in einem anderen Datenspeicher verwendet werden und kann zum Beispiel editiert, gelöscht, an andere Benutzern weitergeleitet, angezeigt werden und dergleichen. In dem Fall eines neuen Adressbucheintrags kann der neue Eintrag auch verwendet werden, um abgehende Nachrichten zu adressieren oder eine Senderadresse in einer empfangenen Nachricht mit einem bekannten Namen zu ersetzen.
5 ist ein Flussdiagramm, das ein Verfahren zum Erzeugen und Senden von Nachrichten abhängig von einer digitalen Zertifikatsinformation darstellt, die in dem digitalen Zertifikatsinformationsspeichersystem gespeichert ist. Das Verfahren beginnt in Schritt 90, in dem eine Nachricht an der mobilen Vorrichtung 22 erzeugt wird und an einen oder mehrere Empfänger adressiert wird. Die Nachricht kann adressiert werden, indem der Benutzer manuell eine E-Mail-Adresse aus einem Adressbuchspeicher 56 wählt, oder durch Antworten auf eine Nachricht, die zum Beispiel vorher an der mobilen Vorrichtung 22 empfangen wurde.
In Schritt 92 stellt die mobile Vorrichtung 22 fest, ob eine digitale Zertifikatsinformation in dem digitalen Zertifikats-Speicher 54 (oder in dem Speicher 57 der extrahierten digitalen Zertifikatsinformation) für die entsprechende Entität gespeichert ist, an welche die Nachricht adressiert ist. Die Bestimmung kann gemacht werden durch Prüfen eines sicheren Messaging-Flags, das zu dem adressierten Empfänger gehört, oder durch Durchsuchen des digitalen Zertifikats-Speichers 54 (oder des Speichers 57 der extrahierten digitalen Zertifikatsinformation) nach der elektronischen Adresse der Empfängers. Wenn keine digitale Zertifikatsinformation in dem digitalen Zertifikats-Speicher 54 gespeichert ist, dann wird eine Liste von „keine Zertifikatsinformation"-Optionen angezeigt, wie in Schritt 94 gezeigt. Eine der „keine Zertifikatsinformation"-Optionen wird dann von einem Benutzer gewählt, wie in Schritt 96 gezeigt gewählt. Illustrativ umfassen die angezeigten und optional gewählten „keine Zertifikatsinformation"-Optionen eine Option, ein digitales Zertifikat des adressierten Empfängers anzufordern, wie in Schritt 98 gezeigt, die Nachricht abzubrechen, wie in Schritt 100 gezeigt, oder die Nachricht zu senden, wie in Schritt 102 gezeigt.
Wenn die Option gewählt ist, ein digitales Zertifikat des adressierten Empfängers anzufordern, wie in Schritt 98 gezeigt, dann wird die Nachricht an der mobilen Vorrichtung 22 gespeichert und die mobile Vorrichtung 22 sendet eine Anforderung an einen Anbieter von digitalen Zertifikaten für das digitale Zertifikat des adressierten Empfängers der Nachricht. Bei Empfang des digitalen Zertifikats kann der Benutzer aus einer von mehreren Sicherheitsoperationen wählen, wie zum Beispiel Verschlüsseln der Nachricht oder eines Sitzungsschlüssels unter Verwendung des öffentlichen Schlüssels des adressierten Empfängers.
Wenn die Option, die Nachricht abzubrechen, gewählt wird, wie in Schritt 100 gezeigt, dann wird die Messaging-Operation abgebrochen und die erzeugte Nachricht wird nicht gesendet.
Wenn die Option, die Nachricht zu senden, gewählt wird, wie in Schritt 102, dann wird die Nachricht im Klartext gesendet. Selbstverständlich kann der Benutzer die Nachricht unter Verwendung eines privaten Schlüssels digital signieren und kann weiter das digitale Zertifikat des Benutzers an die abgehende Nachricht anhängen.
In Schritt 92 bestimmt, wenn die mobile Vorrichtung 22 feststellt, dass eine digitale Zertifikatsinformation in dem digitalen Zertifikats-Speicher 54 gespeichert ist, die mobile Vorrichtung 22 in Schritt 104, ob das digitale Zertifikat ein gültiges digitales Zertifikat ist. Wenn das digitale Zertifikat ungültig ist, dann wird der Schritt 94 ausgeführt, und die nachfolgenden Schritte 96, 98, 100 und 102 können ebenfalls ausgeführt werden, wie durch den Benutzer bestimmt.
Wenn die mobile Vorrichtung in Schritt 104 feststellt, dass das digitale Zertifikat ein gültiges digitales Zertifikat ist, dann bestimmt die mobile Vorrichtung, ob ein standardmäßiges Sende-Flag gesetzt wurde, wie in Schritt 106 gezeigt.
Wenn das standardmäßige Sende-Flag gesetzt ist, dann wird die Nachricht gesendet, wie in Schritt 102 gezeigt. Das Setzen des standardmäßigen Sende-Flags kann manuell durch Benutzer durchgeführt werden, oder kann automatisch sein. Ein automatisches Setzen des standardmäßigen Sende-Flags kann verbunden sein mit dem Setzen des sicheren Messaging-Flags. In einem Ausführungsbeispiel führt das sichere Messaging-Flag auch die Funktion des standardmäßigen Sende-Flags durch. In einem anderen Ausführungsbeispiel sind das standardmäßige Sende-Flag und das sichere Messaging-Flag getrennte Flags, die unabhängig gesetzt werden können, oder wie oben beschrieben.
Das Senden einer Nachricht über das standardmäßige Sende-Flag kann auch eine Ausführung anderer Operationen umfassen, wie digitales Signieren der Nachricht mit dem privaten Schlüssel des Benutzers, Anhängen des digitalen Zertifikats des Benutzers an die Nachricht, oder Verschlüsseln der Nachricht mit dem öffentlichen Schlüssel des adressierten Empfängers.
Wenn die mobile Vorrichtung 22 feststellt, dass kein standardmäßiges Sende-Flag gesetzt wurde, dann kann eine Liste von Zertifikatsinformations-Optionen angezeigt werden, wie in Schritt 108 gezeigt. Eine der Zertifikatsinformations-Optionen kann von einem Benutzer gewählt werden, wie in Schritt 110 gezeigt. Illustrativ umfassen die angezeigten und optional gewählten Zertifikatsinformations-Optionen eine Option, eine Sicherheitsoperation auf der Nachricht durchzuführen, wie in Schritt 112 gezeigt, oder die Nachricht zu senden, wie in Schritt 102 gezeigt.
Wenn die Option gewählt ist, eine Sicherheitsoperation auf der Nachricht durchzuführen, wie in Schritt 112 gezeigt, kann eine oder mehrere Sicherheitsoperation(en) auf der Nachricht durchgeführt werden, bevor die Nachricht gesendet wird, wie ein digitales Signieren der Nachricht mit dem privaten Schlüssel des Benutzers, Anhängen des digitalen Zertifikats des Benutzers an die Nachricht oder Verschlüsseln der Nachricht mit dem öffentlichen Schlüssel des adressierten Empfängers.
Wenn die Option zum Senden der Nachricht gewählt ist, wie in Schritt 102 gezeigt, dann wird die Nachricht im Klartext gesendet. Selbstverständlich kann der Benutzer die Nachricht unter Verwendung eines privaten Schlüssels digital signieren und kann weiter das digitale Zertifikat des Benutzers an die abgehende Nachricht anhängen.
Der in der 5 dargestellte Prozess kann auch für eine Vielzahl von Empfängern einer einzelnen Nachricht angepasst werden, wie wenn der Benutzer an alle Empfänger einer Nachricht antwortet, die vorher an der mobilen Vorrichtung 22 empfangen wurde, oder eine neue Nachricht an mehr als einen Empfänger adressiert.
6 ist ein Flussdiagramm, das ein Verfahren zum Durchführen von Operationen hinsichtlich des digitalen Zertifikats darstellt, basierend auf Ereignissen, die digitale Zertifikate betreffen. In Schritt 120 erfasst das System das Auftreten eines digitalen Zertifikats-Ereignisses. Ein digitales Zertifikats-Ereignis ist ein Ereignis oder eine Operation, die ein digitales Zertifikat umfasst, wie Empfangen von digitalen Zertifikats-Daten zur Speicherung in dem digitalen Zertifikats-Speicher, das Auftreten eines zugehörigen Kalenderdatums oder das Zugreifen auf ein digitales Zertifikat, entweder durch den Benutzer oder durch ein Anwendungsprogramm.
Wenn das digitale Zertifikats-Ereignis ein digitales Zertifikats-Speicher-Ereignis ist, dann werden in Schritt 122 Daten, die das digitale Zertifikat betreffen, in dem digitalen Zertifikats-Speicher gespeichert und Kalenderdaten, welche die digitalen Zertifikats-Daten betreffen, wie ein Ablaufdatum des digitalen Zertifikats, werden in einem Kalender-Anwendungs-Speicher gespeichert.
Wenn das digitale Zertifikats-Ereignis ein Kalender-Ereignis ist, dann prüft in Schritt 124 die Kalender-Anwendung nach dem Ablauf von Gültigkeitsperioden der digitalen Zertifikate basierend auf dem Ablaufdatum, das in dem Kalender-Anwendungs-Speicher gespeichert ist. Ein Kalender-Ereignis kann auftreten, wenn die mobile Vorrichtung eingeschaltet wird und ein residentes Kalender-Anwendungsprogramm prüft die Kalenderdaten auf Ablaufdaten, oder kann alternativ das Auftreten eines Kalender-Ereignisses für ein gegebenes Ablaufdatum sein. In Schritt 126 stellt das System fest, ob ungültige (aufgrund von Ablauf) digitale Zertifikate zu finden sind basieren auf den Kalenderdaten. Wenn ungültige digitale Zertifikate gefunden werden, dann wird der Benutzer über die ungültigen digitalen Zertifikate in Schritt 128 benachrichtigt.
Wenn das digitale Zertifikats-Ereignis ein digitaler Zertifikats-Zugriff ist, dann stellt das System fest, ob das digitale Zertifikat, auf das zugegriffen wird, gültig ist, wie in Schritt 130 gezeigt. Ein Zugriff auf ein digitales Zertifikat kann stattfinden, wenn ein Benutzer der mobilen Vorrichtung eine Nachricht an eine Adresse adressiert, die zu einem digitalen Zertifikat gehört, das in dem digitalen Zertifikats-Speicher gespeichert ist, wie oben beschrieben, oder wenn der Benutzer auf den digitalen Zertifikats-Speicher zugreift und ein bestimmtes digitales Zertifikat wählt. In Schritt 132 stellt das System fest, ob das digitale Zertifikat gültig ist, basierend auf den digitalen Zertifikats-Daten, die in dem digitalen Zertifikats-Speicher gespeichert sind, eine Gültigkeits- oder Ablaufinformation oder ein CRL zum Beispiel. Wenn das digitale Zertifikat ungültig ist, dann wird in Schritt 132 der Benutzer von dem ungültigen digitalen Zertifikat benachrichtigt.
7 ist ein strukturelles Blockdiagramm eines automatischen digitalen Zertifikatsinformations-Managersystems. Ein digitaler Zertifikatsinformations-Manager 150, vorzugsweise eine Software-Anwendung, ist auf der mobilen Vorrichtung 22 gespeichert und ausführbar. In einem Ausführungsbeispiel weist der digitale Zertifikatsinformation-Manager 150 illustrativ die digitale Zertifikats-Ladevorrichtung 60 und den digitalen Zertifikatsinformations-Injektor 62 und verwandte Komponenten auf, wie unter Bezug auf 3 beschrieben wird.
Der digitale Zertifikatsinformation-Manager 150 ist betriebsfähig, Eingabe-Ereignisse 152 digitaler Zertifikate, digitale Zertifikats-Zugriffs-Ereignisse 154 und Kalender-Ereignisse 156 zu überwachen und Antwortfunktionen durchführen. Wenn zum Beispiel der digitale Zertifikatsinformations-Manager 150 ein digitales Zertifikats-Eingabe-Ereignis 152 erfasst, wie Empfangen einer Nachricht 152a, die ein digitales Zertifikat aufweist, oder Empfangen von zu speichernden digitalen Zertifikats-Daten 152b, dann wird eine entsprechende digitale Zertifikats-Eingabe-Ereignis-Funktion durchgeführt. Beispielhafte entsprechende digitale Zertifikats-Eingabe-Ereignis-Funktionen umfassen eine Speicherung von digitalen Zertifikats-Daten in dem digitalen Zertifikats-Speicher, Auswerten von digitalen Zertifikats-Daten, Setzen eines Messaging-Flags hinsichtlich des digitalen Zertifikats oder Aktualisierung von Anwendungsspeichern der mobilen Vorrichtung, wie ein Kalender-Anwendungs- oder Adressbuch-Anwendungs-Speicher.
Wenn der digitale Zertifikatsinformation-Manager 150 ein digitales Zertifikats-Zugriffs-Ereignis 154 feststellt, wie ein Adressieren einer Nachricht 154a an eine Adresse mit einem zugehörigen digitalen Zertifikat, das in dem digitalen Zertifikats-Speicher gespeichert ist, Zugreifen auf den digitalen Zertifikats-Speichers 154b und Wählen eines digitalen Zertifikats, oder Zugreifen auf ein digitales Zertifikat durch eine Software-Anwendung 154c der mobile Vorrichtung, dann wird eine entsprechende digitale Zertifikats-Zugriffs-Ereignisfunktion durchgeführt. Beispielhafte entsprechende digitale Zertifikats-Zugriffs-Ereignisfunktionen umfassen eine Gültigkeitsprüfung des digitalen Zertifikats und Anfordern eines neuen digitalen Zertifikats, Benachrichtigen eines Benutzers in dem Fall eines ungültigen digitalen Zertifikats oder Durchführen einer Sicherheitsoperation, wie Signieren der Nachricht, Verschlüsseln der Nachricht und dergleichen.
Wenn der digitale Zertifikatsinformations-Manager 150 ein Kalender-Ereignis 156 erfasst, wie das Auftreten eines Ablaufdatums des digitalen Zertifikats, dann wird der Benutzer über den Ablauf des digitalen Zertifikats benachrichtigt.
8 ist ein Blockdiagramm einer drahtlosen mobilen Kommunikationsvorrichtung, als ein Beispiel einer Vorrichtung, in der die Systeme und die Verfahren, die hier offenbart werden, implementiert werden können. Die mobile Vorrichtung 600 ist vorzugsweise eine Zweiwegkommunikationsvorrichtung, die zumindest Sprach- als auch Datenkommunikationsfähigkeiten hat. Die mobile Vorrichtung 600 hat vorzugsweise die Fähigkeit, mit anderen Computersystemen auf dem Internet zu kommunizieren. Abhängig von der Funktionalität, die von der mobilen Vorrichtung vorgesehen ist, kann die mobile Vorrichtung als eine Daten-Messaging-Vorrichtung, ein Zweiwegpager, ein mobiles Telefon mit Daten-Messaging-Fähigkeiten, eine drahtlose Internet-Vorrichtung oder eine Datenkommunikationsvorrichtung (mit oder ohne Telephoniefähigkeiten) bezeichnet werden. Wie oben erwähnt, werden derartige Vorrichtungen hier im Allgemeinen einfach als mobile Vorrichtungen bezeichnet.
Die mobile Vorrichtung 600 umfasst einen Transceiver 611, einen Mikroprozessor 638, eine Anzeige 622, ein Flash-Speicher 624, ein Arbeitsspeicher (RAM – random access memory) 626, Hilfs-Eingabe/Ausgabe(Input/Output)-Vorrichtungen 628, ein serieller Anschluss 630, eine Tastatur 632, ein Lautspre cher 634, ein Mikrophon 636, ein drahtloses Nahbereichs-Kommunikations-Teilsystem 640 und andere Vorrichtungs-Teilsysteme 642. Der Transceiver 611 umfasst Sende- und Empfangs-Antennen 616, 618, einen Empfänger (Rx) 612, einen Sender (Tx) 614, einen oder mehrere lokale Oszillator(en) (LOs) 613 und einen digitalen Signalprozessor (DSP – digital signal processor) 620. In dem Flash-Speicher 624 umfasst die mobile Vorrichtung 600 eine Vielzahl von Software-Modulen 624A-624N, die durch den Mikroprozessor 638 (und/oder den DSP 620) ausgeführt werden können, einschließlich ein Sprachkommunikationsmodul 624A, ein Datenkommunikationsmodul 624B und eine Vielzahl anderer Betriebsmodule 624N zur Ausführung einer Vielzahl anderer Funktionen.
Die mobile Vorrichtung 600 ist vorzugsweise eine Zweiweg-Kommunikationsvorrichtung, die Sprach- und Datenkommunikationsfähigkeiten hat. So kann zum Beispiel die mobile Vorrichtung 600 über ein Sprachnetzwerk, wie ein analoges oder digitales zellulares Netzwerk, kommunizieren und kann auch über ein Datennetzwerk kommunizieren. Die Sprach- und Datennetzwerke werden in der 8 dargestellt durch den Kommunikationsturm 619. Diese Sprach- und Datennetzwerke können getrennte Kommunikationsnetzwerke mit Verwendung getrennter Infrastruktur sein, wie Basisstationen, Netzwerksteuervorrichtungen, usw. sein, oder sie können in ein einzelnes drahtloses Netzwerk integriert sein. Referenzen zu dem Netzwerk 619 sollten somit interpretiert werden als Umfassend sowohl ein einzelnes Sprach- und Datennetzwerk als auch getrennte Netzwerke.
Das Kommunikations-Teilsystem 611 wird verwendet, um mit dem Netzwerk 619 zu kommunizieren. Der DSP 620 wird verwendet, um Kommunikationssignale an und von dem Sender 614 und Empfänger 612 zu senden und zu empfangen und kann auch eine Steuerungsinformation mit dem Sender 614 und Empfänger 612 austauschen. Wenn die Sprach- und Datenkommunikation an einer einzelnen Frequenz oder einem nah beieinander liegenden Satz von Frequenzen stattfindet, dann kann ein einzelner LO 613 in Verbindung mit dem Sender 614 und dem Empfänger 612 verwendet werden. Alternativ, wenn unterschiedliche Frequenzen für eine Sprachkommunikation und eine Datenkommunikation verwendet werden, dann kann eine Vielzahl von LOs 613 verwendet werden, um eine Vielzahl von Frequenzen zu erzeugen, die dem Netzwerk 619 entsprechen. Obgleich zwei Antennen 616, 618 in der 8 dargestellt werden, kann die mobile Vorrichtung 600 mit einer einzelnen Antennenstruktur verwendet werden. Eine Information, die sowohl eine Sprach- als auch Dateninformation umfasst, wird an das und von dem Kommunikations-Modul 611 über eine Verbindung zwischen dem DSP 620 und dem Mikroprozessor 638 kommuniziert.
Das detaillierte Design des Kommunikations-Teilsystems 611, wie Frequenzband, Teilvorwähler, Komponentenauswahl, Leistungspegel, usw., ist abhängig von dem Kommunikationsnetzwerk 619, in dem die mobile Vorrichtung 600 funktionieren soll. Zum Beispiel kann eine mobile Vorrichtung 600, die in einem nordamerikanischen Markt funktionieren soll, ein Kommunikationsteilsystem 611 umfassen, das ausgebildet ist, mit den mobilen Mobitex- oder DataTAC-Datenkommunikationsnetzwerken zu arbeiten, und ebenfalls ausgebildet ist, mit einer Vielzahl von Sprachkommunikationsnetzwerken zu arbeiten, wie AMPS, TDMA, CDMA, PCS, usw., während eine mobile Vorrichtung 600, die für eine Verwendung in Europa vorgesehen ist, konfiguriert sein kann, um mit dem GPRS-Datenkommunikationsnetzwerk und dem GSM-Sprachkommunikationsnetzwerk zu arbeiten. Andere Typen von Daten- und Sprach-Netzwerken, sowohl getrennt als auch integriert, können mit der mobilen Vorrichtung 600 ebenfalls verwendet werden.
Abhängig von dem Typ des Netzwerks 619 können auch die Zugriffsanforderungen für die mobile Vorrichtung 600 variieren. Zum Beispiel werden in den Mobitex- und DataTAC-Datennetzwerken mobile Vorrichtungen auf dem Netzwerk registriert unter Verwendung einer eindeutigen Identifikationsnummer, die zu jeder Vorrichtung gehört. In GPRS-Datennetzwerken jedoch ist ein Netzwerkzugang mit einem Teilnehmer oder Benutzer der mobilen Vorrichtung 600 verbunden. Eine GPRS-Vorrichtung erfordert typischerweise ein Teilnehmeridentitätsmodul („SIM” – subscriber identity module), das erforderlich ist, um die mobile Vorrichtung 600 in einem GPRS-Netzwerk zu betreiben. Lokale oder nicht-Netzwerk-Kommunikationsfunktionen (wenn vorhanden) können ohne das SIM betriebsfähig sein, aber die mobile Vorrichtung 600 kann keine Funktionen durchführen, die eine Kommunikation über das Netzwerk 619 erfordert, außer vom Gesetz erforderliche Operationen, wie ein „911 "-Notruf.
Nachdem alle erforderlichen Netzwerkregistrierungs- oder -aktivierungsverfahren beendet sind, kann die mobile Vorrichtung 600 Kommunikationssignale, vorzugsweise einschließlich sowohl Sprach- als auch Datensignale, über das Netzwerk 619 senden und empfangen. Signale, die durch die Antenne 616 von dem Kommunikationsnetzwerk 619 empfangen werden, werden an den Empfänger 612 geleitet, der solche Operationen vorsieht, wie Signalverstärkung, Frequenzabwärtswandlung, Filtern, Kanalauswahl und analog-zu-digitaler Umwandlung. Eine Analog-Digital-Umwandlung des empfangenen Signals ermöglicht kompliziertere Kommunikationsfunktionen, wie digitale Demodulation und Entschlüsselungs, die unter Verwendung des DSP 620 durchgeführt werden. In einer ähnlichen Weise werden Signale, die an das Netzwerk 619 zu übertragen sind, verarbeitet, einschließlich zum Beispiel Modulation und Codierung durch das DSP 620, und werden dann an den Sender 614 geliefert für eine Digital-Analog-Umwandlung, Frequenzaufwärtswandlung, Filterung, Verstärkung und Übertragung an das Kommunikationsnetzwerk 619 über die Antenne 618. Obgleich ein einzelner Transceiver 611 in der 8 gezeigt wird sowohl für Sprach- als auch Datenkommunikation, ist es möglich, dass die mobile Vorrichtung 600 zwei getrennte Transceiver umfassen kann, einen erster Transceiver zum Senden und Empfangen von Sprachsignalen und ein zweiter Transceiver zum Senden und Empfangen von Datensignalen. Mehrere Transceiver können ebenso in einer mo bilen Vorrichtung vorgesehen werden, die ausgebildet ist, in mehr als einem Kommunikationsnetzwerk oder mehreren Frequenzbändern zu arbeiten.
Zusätzlich zur Verarbeitung der Kommunikationssignale sieht der DSP 620 auch eine Empfänger- und Sendersteuerung vor. Zum Beispiel können die Verstärkungspegel, die auf Kommunikationssignale in dem Empfänger 612 und Sender 614 angewendet werden, adaptiv gesteuert werden durch AGC(automatic gain control)-Algorithmen, die in dem DSP 620 implementiert sind. Andere Transceiver-Steuerungsalgorithmen können ebenso in dem DSP 620 implementiert werden, um eine weiter entwickeltere Steuerung des Transceivers 611 vorzusehen.
Der Mikroprozessor 638 verwaltet und steuert vorzugsweise den gesamten Betrieb der mobilen Vorrichtung 600. Viele Typen von Mikroprozessoren oder Mikrosteuervorrichtungen können hier verwendet werden, oder alternativ kann ein einzelner DSP 620 verwendet werden, um die Funktionen des Mikroprozessors 638 auszuführen. Kommunikationsfunktionen auf niedriger Ebene, einschließlich von zumindest Daten- und Sprachkommunikation, werden durch den DSP 620 in dem Transceiver 611 durchgeführt. Andere Kommunikations-Anwendungen auf hoher Ebene, wie eine Sprachkommunikation-Anwendung 624A und eine Datenkommunikation-Anwendung 624B, können in dem Flash-Speicher 624 gespeichert werden zur Ausführung durch den Mikroprozessor 638. Zum Beispiel kann das Sprachkommunikations-Modul 624A eine Benutzerschnittstelle auf hoher Ebene vorsehen, die betriebsfähig ist, Sprachanrufe zwischen der mobilen Vorrichtung 600 und einer Vielzahl von anderen Sprachvorrichtungen über das Netzwerk 619 zu senden und zu empfangen. Ähnlich kann das Datenkommunikationsmodul 624B eine Benutzerschnittstelle auf hoher Ebene vorsehen, die betriebsfähig ist zum Senden und Empfangen von Daten, wie E-Mail-Nachrichten, Dateien, Organizer-Information, Kurztextnachrichten, usw., zwischen der mobilen Vorrichtung 600 und einer Vielzahl von anderen Datenvorrichtungen über das Netzwerk 619. Auf der mobilen Vorrichtung 600 können eine sichere Messaging- Software-Anwendung, die Software-Module enthält, die zum Beispiel der digitalen Zertifikats-Ladevorrichtung 60 und dem digitalen Zertifikatsinformations-Injektor 62 in der 3 entsprechen, in Verbindung mit dem Datenkommunikationsmodul 624B arbeiten, um die oben beschriebenen Techniken zu implementieren.
Der Mikroprozessor 638 interagiert auch mit anderen Vorrichtungs-Teilsystemen, wie der Anzeige 622, dem Flash-Speicher 624, dem RAM 626, den Hilfs-Eingabe/Ausgabe(I/O)-Teilsystemen 628, dem seriellen Anschluss 630, der Tastatur 632, dem Lautsprecher 634, dem Mikrophon 636, dem Nahbereichs-Kommunikations-Teilsystem 640 und jedem der anderen Vorrichtungs-Teilsysteme, die allgemein als 642 bezeichnet werden. Zum Beispiel werden die Module 624A-N durch den Mikroprozessor 638 ausgeführt und können eine Schnittstelle auf hoher Ebene zwischen einem Benutzer und der mobilen Vorrichtung 600 vorsehen. Diese Schnittstelle umfasst typischerweise eine graphische Komponente, die durch die Anzeige 622 vorgesehen wird, und eine Eingabe/Ausgabe-Komponente, die durch die Hilfs-Eingabe/Ausgabe 628, die Tastatur 632, den Lautsprecher 634 oder das Mikrophon 636 vorgesehen wird. Derartige Schnittstellen werden im Allgemeinen als die Tastatur/UI 64 in der 3 bezeichnet.
Einige der Teilsysteme, die in der 8 gezeigt werden, führen Kommunikationsbezogene Funktionen durch während andere Teilsysteme "residente" Funktionen oder Funktionen in der Vorrichtung vorsehen können. Besonders einige Teilsysteme, wie die Tastatur 632 und die Anzeige 622, werden sowohl für Kommunikations-bezogene Funktionen, wie Eingabe einer Textnachricht zur Übertragung über ein Datenkommunikationsnetzwerk, als auch für Vorrichtungs-residente Funktionen verwendet, wie ein Kalkulator oder eine Aufgabenliste oder andere Funktionen des PDA-Typs.
Eine Betriebssystemsoftware, die von dem Mikroprozessor 638 verwendet wird, wird vorzugsweise in einem nicht-volatilen Speicher gespeichert, wie dem Flash-Speicher 624. Zusätzlich zu dem Betriebssystem und den Kommunikationsmodulen 624A-N kann der Flash-Speicher 624 auch ein Dateisystem für die Speicherung von Daten umfassen. Ein Speicherbereich wird auch vorzugsweise in dem Flash-Speicher 624 vorgesehen, um digitale Zertifikate, Adressbucheintragen, Erinnerungs- oder Termin-Information und möglicherweise andere Information zu speichern. Das Betriebssystem, spezifische Vorrichtungs-Anwendungen oder -Module oder Teile davon, können temporär in einem volatilen Speicher geladen werden, wie RAM 626, für einen schnelleren Betrieb. Ferner können auch empfangene Kommunikationssignale temporär in dem RAM 626 gespeichert werden, bevor sie permanent in ein Dateisystem geschrieben werden, das sich in dem Flash-Speicher 624 befindet.
Ein beispielhaftes Anwendungsmodul 624N, das auf die Dual-Mode-Vorrichtung 600 geladen werden kann, ist eine PIM(personal information manager)-Anwendung, die eine PDA-Funktionalität vorsieht, wie Kalender-Ereignisse, Terminen und Aufgabenelemente. Solch ein Modul kann eine Ablauf- oder Gültigkeitsperiode-Information verwenden, die aus einem digitalen Zertifikat extrahiert wird und in einem passenden Datenspeicher, zum Beispiel in dem Flash-Speicher 624 oder in dem RAM 626, gespeichert wird, um eine Erinnerung an den Ablauf eines digitalen Zertifikats oder Ähnliches an einen Benutzer der mobilen Vorrichtung 600 zu liefern. Dieses Modul 624N kann auch mit dem Sprachkommunikationsmodul 624A interagieren zur Verwaltung von Telefonanrufen, Voice-Mail, usw., und kann auch mit dem Datenkommunikationsmodul 624B interagieren zur Verwaltung einer E-Mailkommunikation und anderer Datenübertragungen. Alternativ kann die gesamte Funktionalität des Sprachkommunikationsmoduls 624A und des Datenkommunikationsmoduls 624B in dem PIM-Modul integriert werden.
Der Flash-Speicher 624 sieht vorzugsweise ein Dateisystem vor, um das Speichern von PIM-Datenelementen auf der Vorrichtung zu erleichtern. Die PIM-Anwendung umfasst vorzugsweise die Fähigkeit, Datenelemente zu senden und zu empfangen, entweder selbst oder in Verbindung mit den Sprach- und Datenkommunikationsmodulen 624A, 624B über das drahtlose Netzwerk 619. Die PIM-Datenelemente sind vorzugsweise nahtlos integriert, synchronisiert und aktualisiert, über das drahtlose Netzwerk 619, mit einem entsprechenden Satz von Datenelementen, die an einem Host-Computer-System gespeichert sind oder zu diesem gehören, wodurch ein gespiegeltes System für Datenelemente erzeugt wird, die zu einem bestimmten Benutzer gehören.
Obgleich als Flash-Speicher 624 gezeigt, ist für Fachleute offensichtlich, dass andere Typen von nicht-volatilem Speicher, wie zum Beispiel ein Batterieunterstützter RAM, zusätzlich zu dem oder anstelle des Flash-Speichers 624 verwendet werden können.
Die mobile Vorrichtung 600 kann auch manuell mit einem Hostsystem synchronisiert werden durch Platzieren der mobilen Vorrichtung 600 in eine Schnittstellen-Station (cradle), die den seriellen Anschluss 630 der mobilen Vorrichtung 600 mit dem seriellen Anschluss des Hostsystems verbindet. Der serielle Anschluss 630 kann auch verwendet werden, um einem Benutzer zu ermöglichen, Einstellungen über eine externe Vorrichtung oder Softwareanwendung zu machen, andere Anwendungsmodule 624N zur Installation herunterzuladen und digitale Zertifikate auf eine Vorrichtung zu laden, wie oben beschrieben. Dieser verdrahtete Herunterladepfad kann verwendet werden, um einen Verschlüsselungsschlüssel auf die Vorrichtung zu laden, was ein sichereres Verfahren ist als ein Austausch von Verschlüsselungsinformation über das drahtlose Netzwerk 619.
Zusätzliche Anwendungsmodule 624N können über das Netzwerk 619, über ein Hilfs-E/A-Teilsystem 628, über den seriellen Anschluss 630, über das Nahbereichs-Kommunikationsteilsystem 640 oder über jedes andere geeignete Teilsystem 642 auf die mobile Vorrichtung 600 geladen werden und von einem Benutzer in dem Flash-Speicher 624 oder dem RAM 626 installiert werden. Eine derartige Flexibilität bei der Installation von Anwendungen erhöht die Funktionalität der mobilen Vorrichtung 600 und kann verbesserte Funktionen in der Vorrichtung, Kommunikations-bezogene Funktionen oder beides liefern. Zum Beispiel können sichere Kommunikationsanwendungen ermöglichen, dass Funktionen des elektronischen Handels und andere derartige finanzielle Transaktionen unter Verwendung der mobilen Vorrichtung 600 durchgeführt werden können.
Wenn die mobile Vorrichtung 600 in einem Datenkommunikationsmodus arbeitet, wird ein empfangenes Signal, wie eine Textnachricht oder eine heruntergeladene Webseite, von dem Transceiver 611 verarbeitet und an den Mikroprozessor 638 geliefert, der vorzugsweise das empfangene Signal weiter verarbeitet zur Ausgabe an die Anzeige 622 oder alternativ an eine Hilfs-E/A-Vorrichtung 628. Ein digitales Zertifikat, das von dem Transceiver 611 empfangen wird, als Antwort auf eine Anforderung an einen PKS oder angehängt an eine sichere Nachricht zum Beispiel, wird wie oben beschrieben verarbeitet, um das digitale Zertifikat zu einem digitalen Zertifikats-Speicher in dem Flash-Speicher 624 hinzuzufügen, wenn es noch nicht gespeichert wurde, und um eine digitale Zertifikats-Information zu extrahieren und in einem oder mehreren Datenspeicher(n) in dem Flash-Speicher 624 zu speichern, falls erforderlich. Ein Benutzer der mobilen Vorrichtung 600 kann auch Datenelemente, wie E-Mail-Nachrichten, erstellen unter Verwendung der Tastatur 632, die vorzugsweise eine vollständige alphanumerische Tastatur des QWERTY-Typs ist, obwohl andere Typen von vollständigen alphanumerischen Tastaturen verwendet werden können, wie der bekannte DVORAK-Typ. Eine Benutzereingabe in die mobile Vorrichtung 600 wird weiter verbessert durch eine Vielzahl von Hilfs-E/A-Vorrichtungen 628, die eine Thumbwheel- Eingabevorrichtung, ein Touchpad, eine Vielzahl von Schaltern, einen Wippeingabeschalter, usw. umfassen können. Die von dem Benutzer eingegebenen erstellten Datenelemente können dann über das Kommunikationsnetzwerk 619 über den Transceiver 611 gesendet werden.
Wenn die mobile Vorrichtung 600 in einem Sprachkommunikationsmodus arbeitet, ist der gesamte Betrieb der mobilen Vorrichtung 600 im Wesentlichen ähnlich zu dem Datenmodus, außer, dass die empfangenen Signale vorzugsweise an den Lautsprecher 634 ausgegeben werden und Sprachsignale zur Übertragung von einem Mikrofon 636 erzeugt werden. Zusätzlich müssen die sicheren Messaging-Techniken, die oben beschrieben werden, nicht unbedingt auf Sprachkommunikation angewendet werden. Alternative Sprach- oder Audio-E/A-Teilsysteme, wie ein Aufzeichnungsteilsystem für Sprachnachrichten, können ebenfalls auf der mobilen Vorrichtung 600 implementiert werden. Obwohl die Ausgabe der Sprach- oder Audiosignale vorzugsweise primär durch den Lautsprecher 634 erreicht wird, kann auch die Anzeige 622 verwendet werden, um eine Anzeige der Identität eines anrufenden Teilnehmers, die Dauer eines Sprachanrufs oder andere Sprachbezogene Information zu liefern. Zum Beispiel kann der Mikroprozessor 638 in Verbindung mit dem Sprachkommunikationsmodul 624A und der Betriebssystemsoftware die Anruferidentifikationsinformation eines ankommenden Sprachanrufs erfassen und auf der Anzeige 622 anzeigen.
Das Nahbereichs-Kommunikationsteilsystem 640 kann eine Infrarot-Vorrichtung und zugehörige Schaltungen und Komponenten oder ein drahtloses Nahbereichs-Kommunikationsmodul, wie ein Bluetooth^TM-Modul oder ein 802.11-Modul umfassen, um eine Kommunikation mit ähnlich aktivierten Systemen und Vorrichtungen vorzusehen. Für Fachleute ist offensichtlich, dass „Bluetooth" und „802.11" Sätze von Spezifikationen betreffen, die von dem „Institute of Electrical and Electronics Engineers (IEEE)" verfügbar sind, und jeweils drahtlose Privatbereichsnetzwerke und drahtlose LANs betreffen.
Variationen des Systems und des Verfahrens, die hier offenbart werden, können ebenfalls verwendet werden. Obwohl zum Beispiel eine drahtlose mobile Kommunikationsvorrichtung in den 3 und 5 gezeigt wird und als ein möglicher Messaging-Client beschrieben wird, können das System und das Verfahren, die hier offenbart werden, auch in anderen Messaging-Clients implementiert werden, einschließlich Desktop- und Laptop-Computer-Systeme, vernetzte Computersysteme und andere Typen von Messaging-Clients.
Das Speichersystem für eine digitale Zertifikats-Information kann auch derart konfigurierbar sein, dass neue Datenspeichereinträge nur unter bestimmten Bedingungen erzeugt werden, abhängig von einer Kommunikationsfunktionalität eines Messaging-Clients oder Benutzereinstellungen. Wenn zum Beispiel ein Messaging-Client ein E-Mail-Client ist, aber ein digitales Zertifikat keine E-Mail-Adresse enthält, dann kann ein Kontaktinformationsspeichersystem derart konfiguriert werden, dass kein neuer Adressbucheintrag erzeugt wird, da eine Information, die für Messaging-Operationen erforderlich ist, nicht aus dem digitalen Zertifikat verfügbar ist.
Die 9-11 beschreiben zusätzliche Kommunikationssysteme, in denen ein Speichersystem für eine digitale Zertifikatsinformation verwendet werden kann. 9 ist ein Blockdiagramm, das ein beispielhaftes Kommunikationssystem zeigt. In der 9 wird ein Computersystem 802, ein WAN 804, ein Firmen-LAN 806 hinter einem Sicherheits-Firewall 808, eine drahtlose Infrastruktur 810, drahtlose Netzwerke 812 und 814 und mobile Vorrichtungen 816 und 818 gezeigt. Das Firmen-LAN 806 umfasst einen Nachrichtenserver 820, ein drahtloses Verbindungssystem 828, einen Datenspeicher 817 mit mindestens einer Vielzahl von Mailboxen 819, ein Desktopcomputersystem 822 mit einer Kommunikationsverbindung direkt zu einer mobilen Vorrichtung, wie durch eine physikalische Ver bindung 824 zu einer Schnittstelle oder einem Verbinder 826, und einen drahtlosen VPN-Router 832. Der Betrieb des Systems in der 9 wird im Folgenden unter Bezugnahme auf die Nachrichten 833, 834 und 836 beschrieben.
Das Computersystem 802 ist zum Beispiel ein Laptop-, ein Desktop- oder ein Palmtop-Computersystem, das konfiguriert ist für eine Verbindung mit dem WAN 804. Solch ein Computersystem kann mit dem WAN 804 über ein ISP oder ein ASP verbunden werden. Alternativ kann das Computersystem 802 ein Netzwerkverbundenes Computersystem sein, das, wie das Computersystem 822 zum Beispiel, auf das WAN 804 zugreift über ein LAN oder anderes Netzwerk. Viele moderne mobile Vorrichtungen sind für eine Verbindung zu einem WAN durch verschiedene Infrastruktur- und Gateway-Anordnungen aktiviert, so dass das Computersystem 802 ebenfalls eine mobile Vorrichtung sein kann.
Das Firmen-LAN 806 ist ein illustratives Beispiel eines zentralen Server-basierten Messaging-Systems, das für drahtlose Kommunikationen aktiviert wurde. Das Firmen-LAN 806 kann als ein "Hostsystem" bezeichnet werden, da es sowohl einen Datenspeicher 817 mit Mailboxen 819 für Nachrichten hostet, sowie möglicherweise weitere Datenspeicher (nicht gezeigt) für andere Datenelemente, die an die mobilen Vorrichtungen 816 und 818 gesendet oder von diesen empfangen werden können, und das drahtlose Verbindersystem 828, den drahtlosen VPN-Router 832, oder möglicherweise andere Komponenten, die eine Kommunikation zwischen dem Firmen-LAN 806 und einer oder mehreren mobilen Vorrichtung(en) 816 und 818 ermöglichen. Im Allgemeinen ist ein Host-System ein oder mehrere Computer, der/die an dem, mit dem oder in Verbindung zu dem drahtlosen Verbindersystem arbeitet/arbeiten. Das Firmen-LAN 806 ist ein bevorzugtes Ausführungsbeispiel eines Host-Systems, in dem das Host-System ein Servercomputer ist, der in einer Firmen-Netzwerk-Umgebung läuft, die hinter zumindest einer Sicherheits-Firewall 808 arbeitet und von dieser geschützt ist. Andere mögliche zentrale Host-Systeme umfassen ISP, ASP und andere Diensteanbieter- oder Mailsysteme. Obgleich sich das Desktopcomputersystem 824 und die Schnittstelle/der Verbinder 826 außerhalb derartiger Host-Systeme befinden können, können drahtlose Kommunikationsoperationen ähnlich zu den unten beschriebenen sein.
Das Firmen-LAN 806 implementiert das drahtlose Verbindersystem 828 als eine zugehörige drahtlose Kommunikations-ermöglichende Komponente, die normalerweise ein Software-Programm, eine Software-Anwendung oder eine Software-Komponente ist, die mit mindestens einem Nachrichtenserver 820 arbeitet. Das drahtlose Verbindersystem 828 wird verwendet, um Benutzer-gewählte Information an eine oder mehrere mobile Vorrichtungen 816 und 818 zu senden und Information von dieser/diesen zu empfangen, über ein oder mehrere drahtlose Netzwerke 812 und 814. Das drahtlose Verbindersystem 828 kann eine getrennte Komponente eines Messaging-Systems sein, wie in 9 gezeigt, oder kann stattdessen teilweise oder vollständig in anderen Kommunikationssystem-Komponenten enthalten sein. Zum Beispiel kann der Nachrichtenserver 820 ein Software-Programm, eine Anwendung oder Komponente enthalten, die das drahtlose Verbindersystem 828 implementieren, Teile davon oder einiges oder die gesamte Funktionalität.
Der Nachrichtenserver 820, der auf einen Computer hinter der Firewall 808 läuft, dient als die Hauptschnittstelle für das Unternehmen, um Nachrichten auszutauschen, einschließlich zum Beispiel elektronische Mail, Kalenderdaten, Voice-Mail, elektronische Dokumente und andere PIM-Daten mit einem WAN 804, wie dem Internet. Die bestimmten dazwischenliegenden Operationen und Computer sind abhängig von dem spezifischen Typ von Nachrichtenliefermechanismen und Netzwerken, über die Nachrichten ausgetauscht werden, und werden folglich in der 9 nicht gezeigt. Die Funktionalität des Nachrichtenservers 820 kann über ein Senden und Empfangen von Nachrichten hinaus reichen, und solche Eigenschaften liefern wie dynamischer Datenbankspeicher für Daten wie Kalender, Todo-Listen, Aufgabenlisten, E-Mail- und Dokumentation, wie oben beschrieben.
Nachrichtenserver, wie 820, unterhalten normalerweise eine Vielzahl von Mailboxen 819 in einem oder mehreren Datenspeicher(n), wie 817, für jeden Benutzer, der ein Konto auf dem Server hat. Der Datenspeicher 817 umfasst Mailboxen 819 für eine Anzahl („n") von Benutzerkonten. Nachrichten, die durch den Nachrichtenserver 820 empfangen werden, die einen Benutzer, ein Benutzerkonto, eine Mailbox oder möglicherweise eine andere Adresse, die zu einem Benutzer, einem Konto oder einer Mailbox 819 gehört, als einen Nachrichtenempfänger identifizieren, werden typischerweise in der entsprechenden Mailbox 819 gespeichert. Wenn eine Nachricht an mehrere Empfänger oder eine Verteilungsliste adressiert ist, dann können Kopien derselben Nachricht in mehr als einer Mailbox 819 gespeichert werden. Alternativ kann der Nachrichtenserver 820 eine einzelne Kopie einer derartigen Nachricht in einem Datenspeicher speichern, der für alle Benutzer zugänglich ist, die ein Konto auf dem Nachrichtenserver 820 haben, und einen Zeiger oder anderen Identifizierer in der Mailbox 819 jedes Empfängers speichern. In typischen Messaging-Systemen greift dann jeder Benutzer auf seine oder ihre Mailbox 819 und deren Inhalte zu unter Verwendung eines Messaging-Clients, wie Microsoft Outlook oder Lotus Notes, der normalerweise auf einem PC arbeitet, wie dem Desktopcomputersystem 822, das in dem LAN 806 verbunden ist. Obgleich nur ein Desktopcomputersystem 822 in der 9 gezeigt wird, ist für Fachleute offensichtlich, dass ein LAN typischerweise viele Desktop-, Notebook- und Laptop-Computer-Systeme enthält. Jeder Messaging-Client greift normalerweise auf eine Mailbox 819 zu durch den Nachrichtenserver 820, obgleich in einigen Systemen ein Messaging-Client einen Direktzugriff zu dem Datenspeicher 817 und einer darauf gespeicherten Mailbox 819 durch das Desktopcomputersystem 822 ermöglichen kann. Nachrichten können auch von dem Datenspeicher 817 auf einen lokalen Datenspeicher auf dem Desktopcomputersystem 822 heruntergeladen werden.
Innerhalb des Firmen-LANs 806 arbeitet das drahtlose Verbindersystem 828 in Verbindung mit dem Nachrichtenserver 820. Das drahtlose Verbindersystem 828 kann sich auf dem gleichen Computersystem wie der Nachrichtenserver 820 befinden oder kann stattdessen auf einem anderen Computersystem implementiert werden. Die Software, die das drahtlose Verbindersystem 828 implementiert, kann auch teilweise oder vollständig mit dem Nachrichtenserver 820 integriert werden. Das drahtlose Verbindersystem 828 und der Nachrichtenserver 820 sind vorzugsweise ausgebildet, um zusammenzuarbeiten und zu interagieren, um das Verschieben einer Information an die mobilen Vorrichtungen 816, 818 zu ermöglichen. In solch einer Installation ist das drahtlose Verbindersystem 828 vorzugsweise konfiguriert, eine Information, die in einem oder mehreren Datenspeichern gespeichert ist, die zu dem Firmen-LAN 806 gehören, an eine oder mehrere der mobilen Vorrichtungen 816, 818 zu senden, durch die Firmen-Firewall 808 und über das WAN 804 und eines der drahtlosen Netzwerke 812, 814. Zum Beispiel kann ein Benutzer, der ein Konto und eine zugehörige Mailbox 819 in dem Datenspeicher 817 hat, auch eine mobile Vorrichtung haben, wie 816. Wie oben beschrieben, werden Nachrichten, die von dem Nachrichtenserver 820 empfangen werden, die einen Benutzer, ein Konto oder die Mailbox 819 identifizieren, durch den Nachrichtenserver 820 in einer entsprechenden Mailbox 819 gespeichert. Wenn ein Benutzer eine mobile Vorrichtung, wie 816, hat, werden Nachrichten, die durch den Nachrichtenserver 820 empfangen und in der Mailbox 819 des Benutzers gespeichert werden, vorzugsweise durch das drahtlose Verbindersystem 828 erfasst und an die mobile Vorrichtung 816 des Benutzers gesendet. Dieser Typ einer Funktionalität stellt eine "Verschiebe(push)"-Nachrichtensendetechnik dar. Das drahtlose Verbindersystem 828 kann stattdessen eine "Holen(pull)"-Technik einsetzen, wobei Elemente, die in einer Mailbox 819 gespeichert sind, an eine mobile Vorrichtung 816 oder 818 gesendet werden als Antwort auf eine Anforderung oder eine Zugriffsoperation durch die mobile Vorrichtung oder einer Kombination aus beiden Techniken.
Die Verwendung eines drahtlosen Verbinders 828 ermöglicht dadurch, dass ein Messaging-System, einschließlich eines Nachrichtenservers 820, erweitert wird, so dass die mobile Vorrichtung 816, 818 jedes Benutzers Zugriff zu gespeicherten Nachrichten des Nachrichtenserver 820 hat. Obgleich die Systeme und Verfahren, die hier beschrieben werden, nicht nur auf eine verschiebe-basierte Technik beschränkt sind, kann eine detaillierte Beschreibung eines verschiebe-basierten Messagings in dem U.S.-Patent gefunden werden, das oben unter Bezugnahme enthalten ist. Diese Verschiebetechnik verwendet eine drahtlose-geeignete Codierungs-, Komprimierungs- und Verschlüsselungstechnik, um die gesamte Information an eine mobile Vorrichtung zu liefern, wodurch effektiv die Firmen-Firewall 808 erweitert wird, um die mobilen Vorrichtungen 816 und 818 zu umfassen.
Wie in 9 gezeigt, gibt es mehrere Pfade zum Austausch einer Information mit einer mobilen Vorrichtung 816, 818 von dem Firmen-LAN 806. Ein möglicher Informationsübertragungspfad ist durch die physikalische Verbindung 824, wie ein serieller Anschluss, unter Verwendung einer Schnittstelle oder eines Verbinders 826. Dieser Pfad ist zum Beispiel nützlich für Masseninformationsaktualisierungen, die häufig bei einer Initialisierung einer mobilen Vorrichtung 816, 818 durchgeführt werden oder regelmäßig, wenn ein Benutzer einer mobilen Vorrichtung 816, 818 an einem Computersystem in dem LAN 806 arbeitet, wie dem Computersystem 822. Zum Beispiel werden, wie oben beschrieben, PIM-Daten allgemein über eine derartige Verbindung ausgetauscht, wie ein serieller Anschluss, der mit einer Aufnahmevorrichtung verbunden ist, in die oder auf die eine mobile Vorrichtung 816, 818 platziert werden kann. Die physikalische Verbindung 824 kann auch verwendet werden, um eine andere Information von einem Desktopcomputersystem 822 an eine mobile Vorrichtung 816, 818 zu übertragen, einschließlich privater Sicherheitsschlüssel („private Schlüssel"), wie private Verschlüsselungs- oder digitale Signatur-Schlüssel, die zu dem Desktopcomputersystem 822 gehören, oder eine andere verhältnismäßig umfangreiche Information, wie digitale Zertifikate und CRLs.
Ein privater Schlüsselaustausch unter Verwendung der physikalischen Verbindung 824 und des Verbinders oder der Schnittstelle 826 ermöglicht dem Desktopcomputer-System 822 eines Benutzers und der mobilen Vorrichtung 816 oder 818, zumindest eine Identität zum Zugriff auf die gesamte verschlüsselte und/oder signierte Mail gemeinsam zu verwenden. Das Desktopcomputersystem 822 des Benutzers und die mobile Vorrichtung 816 oder 818 können dadurch auch private Schlüssel gemeinsam verwenden, so dass entweder das Host-System 822 oder die mobile Vorrichtung 816 oder 818 sichere Nachrichten verarbeiten kann, die an die Mailbox oder an das Konto des Benutzers auf dem Nachrichtenserver 820 adressiert sind. Die Übertragung von digitalen Zertifikaten und des CRLs über solch eine physikalische Verbindung ist wünschenswert, da sie eine große Menge der Daten darstellt, die erforderlich ist für S/MIME, PGP und andere öffentliche Schlüssel-Sicherheitsverfahren. Das eigene digitale Zertifikat eines Benutzers, eine Kette von digitalen Zertifikaten, die verwendet werden, um das digitale Zertifikat des Benutzers zu verifizieren, und ein CRL, sowie digitale Zertifikate, digitale Zertifikats-Ketten und CRLs für andere Benutzer, können auf eine mobile Vorrichtung 816, 818 von dem Desktopcomputersystem 822 des Benutzers geladen werden. Dieses Laden von digitalen Zertifikaten und des CRLs anderer Benutzer auf eine mobile Vorrichtung 816, 818 ermöglicht einem Benutzer der mobilen Vorrichtung, andere Entitäten oder Benutzer zu wählen, mit denen er sichere Nachrichten austauschen kann, und die umfangreiche (bulky) Information auf die mobile Vorrichtung durch eine physikalische Verbindung statt über die Luft vorzuladen, wodurch Zeit und drahtlose Bandbreite gespart wird, wenn eine sichere Nachricht von anderen Benutzern empfangen wird oder an diese gesendet wird oder wenn der Status eines digitalen Zertifikats festgestellt werden soll basierend auf einer oder mehreren CRLs. CRL-basierte Statusüberprüfungen können auch vermieden werden, wenn die hier beschriebenen Systeme und Verfahren eingesetzt werden.
In bekannten drahtlosen Messaging-Systemen des "Synchronisierungs"-Typs wurde auch ein physikalischer Pfad verwendet, um Nachrichten von Mailboxen 819, die zu einem Nachrichtenserver 820 gehören, an mobile Vorrichtungen 816 und 818 zu übertragen.
Ein weiteres Verfahren für einen Datenaustausch mit den mobilen Vorrichtungen 816 und 818 ist über-die-Luft, durch das drahtlose Verbindersystem 828 und unter Verwendung der drahtlosen Netzwerke 812 und 814. Wie in der 8 gezeigt, kann dies einen drahtlosen VPN-Router 832 umfassen, wenn in dem Netzwerk 806 vorhanden, oder alternativ eine herkömmliche WAN-Verbindung zu der drahtlosen Infrastruktur 810, die eine Schnittstelle zu einem oder mehreren drahtlosen Netzwerken, wie 814, vorsieht. Der drahtlose VPN-Router 832 sieht eine Erzeugung einer VPN-Verbindung direkt durch ein spezifisches drahtloses Netzwerk 812 zu einer drahtlosen Vorrichtung 816 vor. Solch ein drahtloser VPN-Router 832 kann in Verbindung mit einem statischen Adressierungsschema verwendet werden. Wenn zum Beispiel das drahtlose Netzwerk 812 ein IP-basiertes drahtloses Netzwerk ist, dann würde IPV6 ausreichend IP-Adressen vorsehen, um eine IP-Adresse jeder mobilen Vorrichtung 816 zuzuweisen, die konfiguriert ist, in dem Netzwerk 812 zu arbeiten, und ermöglicht folglich, jederzeit eine Information an eine mobile Vorrichtung 816 zu verschieben. Ein primärer Vorteil der Verwendung eines drahtlosen VPN-Routers 832 ist, dass es eine Standard-VPN-Komponente sein kann, die keine drahtlose Infrastruktur 810 erfordern würde. Eine VPN-Verbindung kann eine TCP/IP- oder UDP/IP-Verbindung verwenden, um Nachrichten direkt an eine und von einer mobilen Vorrichtung 816 zu liefern.
Wenn kein drahtloser VPN-Router 832 verfügbar ist, dann ist eine Verbindung zu einem WAN 804, normalerweise das Internet, eine allgemein verwendeter Verbindungsmechanismus, der durch das drahtlose Verbindersystem 828 eingesetzt werden kann. Um die Adressierung der mobilen Vorrichtung 816 und alle anderen erforderlichen Schnittstellenfunktionen zu handhaben, wird vorzugsweise eine drahtlose Infrastruktur 810 verwendet. Die drahtlose Infrastruktur 810 kann auch ein wahrscheinlichstes drahtloses Netzwerk zur Lokalisierung eines gegebenen Benutzers bestimmen und Benutzer verfolgen, wenn sie zwischen Ländern oder Netzwerken roamen. In drahtlosen Netzwerken, wie 812 und 814, werden Nachrichten normalerweise an und von mobile(n) Vorrichtungen über RF-Übertragungen zwischen Basisstationen und den mobilen Vorrichtungen geliefert.
Eine Vielzahl von Verbindungen zu drahtlosen Netzwerken 812 und 814 können vorgesehen werden, einschließlich zum Beispiel ISDN-, Frame Relay- oder T1-Verbindungen unter Verwendung des TCP/IP-Protokolls, das im Internet verwendet wird. Die drahtlosen Netzwerke 812 und 814 können eindeutige, einzigartige und nicht verwandte Netzwerke repräsentieren oder sie können das selbe Netzwerk in unterschiedlichen Ländern repräsentieren und können eines von unterschiedlichen Typen von Netzwerken sein, einschließlich von, aber nicht darauf begrenzt, Daten-zentrischen drahtlosen Netzwerke, Sprach-zentrischen drahtlosen Netzwerke und Dual-Mode-Netzwerken, die sowohl Sprach- als auch Datenkommunikation über die selbe oder ähnliche Infrastruktur unterstützen können, wie die oben beschriebenen.
In einigen Implementierungen kann mehr als ein über-die-Luft-Informationsaustauschmechanismus in dem Firmen-LAN 806 vorgesehen werden. In der 9 mm Beispiel sind die mobilen Vorrichtungen 816 und 818, die zu Benutzern mit Mailboxen 819 gehören, die zu Benutzerkonten auf dem Nachrichtenserver 820 gehören, konfiguriert, um auf unterschiedlichen drahtlosen Netzwerke 812 und 814 zu arbeiten. Wenn das drahtlose Netzwerk 812 eine IPv6-Adressierung unterstützt, dann kann der drahtlose VPN-Router 832 durch das drahtlose Verbindersystem 828 verwendet werden, um Daten mit einer mobilen Vorrichtung 816 auszutauschen, die in dem drahtlosen Netzwerk 812 arbeitet. Das drahtlose Netzwerk 814 kann jedoch ein anderer Typ eines drahtlosen Netzwerks sein, wie das Mobitex-Netzwerk, in diesem Fall wird eine Information stattdessen mit der mobilen Vorrichtung 818 ausgetauscht, die in dem drahtlosen Netzwerk 814 arbeitet, über eine Verbindung zu dem WAN 804 und der drahtlosen Infrastruktur 810.
Der Betrieb des Systems in der 9 wird jetzt beschrieben unter Verwendung eines Beispiels einer E-Mail-Nachricht 833, die von dem Computersystem 802 gesendet wird und an mindestens einen Empfänger adressiert ist, der sowohl ein Konto als auch eine Mailbox 819 oder einen ähnlichen Datenspeicher hat, der zu dem Nachrichtenserver 820 und einer mobilen Vorrichtung 816 oder 818 gehört. Jedoch ist die E-Mail-Nachricht 833 mir für illustrative Zwecken bestimmt. Der Austausch anderer Typen von Information zwischen dem Firmen-LAN 806 ist vorzugsweise auch durch das drahtlose Verbindersystem 828 möglich.
Die E-Mail-Nachricht 833, die von dem Computersystem 802 über das WAN 804 gesendet, kann vollständig im Klartext sein oder mit einer digitalen Signatur signiert und/oder verschlüsselt sein, abhängig von dem bestimmten verwendeten Messaging-Schema. Wenn zum Beispiel das Computersystem 802 für sicheres Messaging unter Verwendung von S/MIME aktiviert ist, dann kann die E-Mail-Nachricht 833 signiert werden, verschlüsselt werden oder beides.
E-Mail-Nachrichten, wie 833, verwenden normalerweise herkömmliches SMTP, RFC822-Header und MIME-Hauptteile, um das Format der E-Mail-Nachricht zu definieren. Diese Techniken sind alle in der Technik weithin bekannt. Die E-Mail-Nachricht 833 kommt an dem Nachrichtenserver 820 an, der feststellt, in welche Mailboxen 819 die E-Mail-Nachricht 833 gespeichert werden soll. Wie oben beschrieben, kann eine Nachricht, wie die E-Mail-Nachricht 833, einen Benutzernamen, ein Benutzerkonto, einen Mailbox-Identifizierer oder einen anderen Typ von Identifizierer umfassen, der einem bestimmten Konto oder einer zugehörigen Mailbox 819 durch das Nachrichtenserver 820 zugeordnet wird. Für ein E-Mail- Nachricht 833 werden Empfänger typischerweise unter Verwendung von E-Mail-Adressen identifiziert, die einem Benutzerkonto und folglich einer Mailbox 819 entsprechen.
Das drahtlose Verbindersystem 828 sendet oder spiegelt über das drahtlose Netzwerk 812 oder 814 bestimmte Benutzer-gewählte Datenelemente oder Teile von Datenelementen von dem Firmen-LAN 806 an die mobile Vorrichtung 816 oder 818 des Benutzers, vorzugsweise bei Erfassen, dass ein oder mehrere auslösende(s) Ereignis(se) aufgetreten ist/sind. Ein auslösendes Ereignis umfasst, ist aber nicht darauf begrenzt, eines oder mehrere der Folgenden: Bildschirmschoner-Aktivierung an einem vernetzen Computersystem 822 eines Benutzers, Trennung der mobilen Vorrichtung 816 oder 818 des Benutzers von der Schnittstelle 826 oder Empfang eines Befehls, der von einer mobilen Vorrichtung 816 oder 818 an das Host-System gesendet wird, um das Senden einer oder mehrerer Nachrichten zu beginnen, die an dem Host-System gespeichert sind. So kann das drahtlose Verbindersystem 828 Auslöse-Ereignisse erfassen, die zu dem Nachrichtenserver 820 gehören, wie Empfang eines Befehls, oder zu einem oder mehreren vernetzten Computersystemen 822 gehören, einschließlich die Bildschirmschoner- und Trennungs-Ereignisse, die oben beschrieben werden. Wenn ein drahtloser Zugang zu Firmen-Daten für eine mobile Vorrichtung 816 oder 818 an dem LAN 806 aktiviert wurde, zum Beispiel, wenn das drahtlose Verbindersystem 828 das Auftreten eines auslösenden Ereignisses für eine mobile Vorrichtung des Benutzers erfasst, werden Datenelemente, die von dem Benutzer gewählt werden, vorzugsweise an die mobile Vorrichtung des Benutzers gesendet. In dem Beispiel der E-Mail-Nachricht 833, unter der Annahme, dass ein auslösendes Ereignis erfasst wurde, wird die Ankunft der Nachricht 833 an dem Nachrichtenserver 820 durch das drahtlose Verbindersystem 828 erfasst. Dieses kann zum Beispiel erreicht werden durch Überwachen oder Abfragen von Mailboxen 819, die zu dem Nachrichtenserver 820 gehören, oder, wenn der Nachrichtenserver 820 ein Microsoft Exchange Server ist, dann kann sich das drahtlose Verbindersystem 828 für An weisungs-Synchronisierungen (advise syncs) registrieren, die von der Microsoft MAPI (Messaging Application Programming Interface) vorgesehen werden, um somit Benachrichtigungen zu empfangen, wenn eine neue Nachricht in einer Mailbox 819 gespeichert wird.
Wenn ein Datenelement, wie die E-Mail-Nachricht 833, an eine mobile Vorrichtung 816 oder 818 gesendet werden soll, verpackt das drahtlose Verbindersystem 828 vorzugsweise das Datenelement auf eine Weise neu, die für die mobile Vorrichtung 816 oder 818 transparent ist, so dass eine Information, die an die mobile Vorrichtung 816 oder 818 gesendet wird oder von dieser empfangen wird, ähnlich erscheint zu der Information, wie sie gespeichert und zugänglich ist an dem Host-System, dem LAN 806 in der 9. Ein bevorzugtes Neuverpackungs-Verfahren umfasst das Verpacken empfangener Nachrichten, die über ein drahtloses Netzwerk 812 oder 814 gesendet werden sollen, in einem elektronischen Umschlag, welcher der drahtlosen Netzwerkadresse der mobilen Vorrichtung 816 oder 818 entspricht, an welche die Nachricht gesendet werden soll. Alternativ können andere Neuverpackungsverfahren verwendet werden, wie spezielle TCP/IP-Verpackungstechniken. Derartiges Neuverpacken führt vorzugsweise auch dazu, dass E-Mail-Nachrichten, die von einer mobilen Vorrichtung 816 oder 818 gesendet werden, erscheinen, als würden sie von einem entsprechenden Host-System-Konto oder -Mailbox 819 kommen, obwohl sie von einer mobilen Vorrichtung erstellt und gesendet werden. Ein Benutzer einer mobilen Vorrichtung 816 oder 818 kann dadurch tatsächlich eine einzelne E-Mail-Adresse zwischen einem Host-System-Konto oder -Mailbox 819 und der mobilen Vorrichtung teilen.
Ein Neuverpacken der E-Mail-Nachricht 833 wird bei 834 und 836 gezeigt. Neuverpackungstechniken können ähnlich sein für alle verfügbaren Übertragungspfade oder können abhängig sein von dem bestimmten Übertragungspfad, entweder die drahtlose Infrastruktur 810 oder der drahtlose VPN-Router 832. Zum Beispiel wird die E-Mail-Nachricht 833 vorzugsweise komprimiert und verschlüsselt, vor oder nach einer Neuverpackung bei 834, um somit eine sichere Übertragung an die mobile Vorrichtung 818 vorzusehen. Eine Komprimierung reduziert die Bandbreite, die erforderlich ist, um die Nachricht zu senden, während eine Verschlüsselung die Vertraulichkeit aller Nachrichten oder anderer Information sicherstellt, die an die mobilen Vorrichtungen 816 und 818 gesendet werden. Demgegenüber können Nachrichten, die über einen VPN-Router 832 übertragen werden, nur komprimiert und nicht verschlüsselt werden, da ein VPN-Verbindung, die durch den VPN-Router 832 hergestellt wird, in sich selbst sicher ist. Nachrichten werden dadurch sicher an die mobilen Vorrichtungen 816 und 818 gesendet, entweder über eine Verschlüsselung an dem drahtlosen Verbindersystem 828, das zum Beispiel als Nicht-Standard-VPN-Tunnel, oder als eine VPN-ähnliche Verbindung angesehen werden kann, oder den VPN-Router 832. Ein Zugreifen auf Nachrichten unter Verwendung einer mobilen Vorrichtung 816 oder 818 ist folglich nicht weniger sicher als ein Zugreifen auf Mailboxen auf dem LAN 806 unter Verwendung des Desktopcomputersystems 822.
Wenn eine neuverpackte Nachricht 834 oder 836 an einer mobilen Vorrichtung 816 oder 818 ankommt, über die drahtlose Infrastruktur 810 oder über den drahtlosen VPN-Router 832, entfernt die mobile Vorrichtung 816 oder 818 den äußeren elektronischen Umschlag von der neuverpackten Nachricht 834 oder 836 und führt erforderliche Dekomprimierungs- und Entschlüsselungs-Operationen durch. Nachrichten, die von einer mobilen Vorrichtung 816 oder 818 gesendet werden und an einen oder mehrere Empfänger adressiert sind, werden vorzugsweise ähnlich neuverpackt und möglicherweise komprimiert und verschlüsselt und an ein Host-System gesendet, wie das LAN 806. Das Host-System kann dann den elektronischen Umschlag von der neuverpackten Nachricht entfernen, die Nachricht entschlüsseln und dekomprimieren, wenn gewünscht, und die Nachricht an die adressierten Empfänger leiten.
Ein weiteres Ziel der Verwendung eines äußeren Umschlags ist, mindestens einen Teil der Adressierungsinformation in der ursprünglichen E-Mail-Nachricht 833 beizubehalten. Obwohl der äußere Umschlag, der verwendet wird, um eine Information an mobile Vorrichtungen 816, 818 zu leiten, unter Verwendung einer Netzwerkadresse von einer oder mehreren mobilen Vorrichtung(en) adressiert wird, kapselt der äußere Umschlag vorzugsweise die gesamte ursprüngliche E-Mail-Nachricht 833 ein, einschließlich zumindest ein Adressenfeld, möglicherweise in komprimierter und/oder verschlüsselter Form. Dies ermöglicht, dass ursprüngliche „An (To)"-, „Von (From)"- und „CC"-Adressen der E-Mail-Nachricht 833 angezeigt werden, wenn der äußere Umschlag entfernt wird und die Nachricht auf einer mobilen Vorrichtung 816 oder 818 angezeigt wird. Das Neuverpacken ermöglicht auch, dass Antwortnachrichten an adressierte Empfänger geliefert werden, wobei das „Von"-Feld eine Adresse des Kontos oder der Mailbox auf dem Host-System des Benutzers der mobilen Vorrichtung reflektiert, wenn der äußere Umschlag einer neuverpackten abgehenden Nachricht, die von einer mobilen Vorrichtung gesendet wird, durch das drahtlose Verbindersystem 828 entfernt wird. Eine Verwendung der Konto- oder Mailbox-Adresse des Benutzers durch die mobile Vorrichtung 816 oder 818 ermöglicht, dass eine Nachricht, die von einer mobilen Vorrichtung gesendet wird, erscheint, als wenn die Nachricht von der Mailbox 819 des Benutzers oder dem Konto an dem Host-System statt der mobilen Vorrichtung stammte.
10 ist ein Blockdiagramm eines alternativen Kommunikationssystems, in dem eine drahtlose Kommunikation durch einen Komponente ermöglicht wird, die zu einem Operator bzw. Betreiber eines drahtlosen Netzwerkes gehört. Wie in 10 gezeigt, umfasst das System ein Computersystem 802, ein WAN 804, ein Firmen-LAN 807, das sich hinter einer Sicherheits-Firewall 808 befindet, eine Netzwerk-Operator-Infrastruktur 840, ein drahtloses Netzwerk 811 und mobile Vorrichtungen 813 und 815. Das Computersystem 802, das WAN 804, die Sicherheits-Firewall 808, der Nachrichtenserver 820, der Datenspeicher 817, die Mailboxen 819 und der VPN-Router 835 sind im Wesentlichen dieselben wie die ähnlich beschrifteten Komponenten in der 9. Da jedoch der VPN-Router 835 mit der Netzwerk-Operator-Infrastruktur 840 kommuniziert, muss in dem System der 10 nicht notwendigerweise ein drahtloser VPN-Router sein. Die Netzwerk-Operator-Infrastruktur 840 ermöglicht einen drahtlosen Informationsaustausch zwischen dem LAN 807 und den mobilen Vorrichtungen 813 und 815, die jeweils zu den Computersystemen 842 und 852 gehören und konfiguriert sind, um in dem drahtlosen Netzwerk 811 zu arbeiten. In dem LAN 807 wird eine Vielzahl von Desktopcomputersystemen 842 und 852 gezeigt, jeweils mit einer physikalischen Verbindung 846 oder 856 zu einer Schnittstelle oder einem Verbinder 848 oder 858. Ein drahtloses Verbindersystem 844 oder 854 arbeitet auf oder in Verbindung mit jedem Computersystem 842 und 852.
Die drahtlosen Verbindersysteme 844 und 854 sind ähnlich zu dem drahtlosen Verbindersystem 828, das oben beschrieben wird, da sie ermöglichen, dass Datenelemente, wie E-Mail-Nachrichten und andere Elemente, die in Mailboxen 819 gespeichert sind, und möglicherweise Datenelemente, die in einem lokalen oder Netzwerk-Datenspeicher gespeichert sind, von dem LAN 807 an eine oder mehrere der mobilen Vorrichtungen 813 und 815 gesendet werden. In der 10 sieht jedoch die Netzwerk-Operator-Infrastruktur 840 eine Schnittstelle zwischen den mobilen Vorrichtungen 813 und 815 und dem LAN 807 vor. Wie oben wird der Betrieb des Systems, das in der 10 gezeigt wird, im Folgenden im Kontext einer E-Mail-Nachricht als ein illustratives Beispiel eines Datenelements beschrieben, das an eine mobile Vorrichtung 813 oder 815 gesendet werden kann.
Wenn eine E-Mail-Nachricht 833, die an einen oder mehrere Empfänger adressiert ist, die ein Konto auf dem Nachrichtenserver 820 haben, von dem Nachrichtenserver 820 empfangen wird, wird die Nachricht oder möglicherweise ein Zeiger zu einer einzelnen Kopie der Nachricht, die in einem zentralen Mailbox- oder Datenspeicher gespeichert ist, in der Mailbox 819 jedes derartigen Empfängers gespeichert. Sobald die E-Mail-Nachricht 833 oder der Zeiger in einer Mailbox 819 gespeichert wurde, kann vorzugsweise auf sie/ihn zugegriffen werden unter Verwendung einer mobilen Vorrichtung 813 oder 815. In dem in der 10 gezeigten Beispiel wurde die E-Mail-Nachricht 833 an die Mailboxen 819 adressiert, die sowohl zu den Desktopcomputersystemen 842 und 852 gehören und folglich zu beiden mobilen Vorrichtungen 813 und 815.
Wie für Fachleute offensichtlich ist, sind Kommunikationsnetzwerkprotokolle, die allgemein verwendet werden in verdrahteten Netzwerken, wie dem LAN 807 und/oder dem WAN 804, nicht geeignet für oder kompatibel zu drahtlosen Netzwerkkommunikationsprotokollen, die in drahtlosen Netzwerken, wie 811, verwendet werden. Zum Beispiel sind Kommunikations-Bandbreite, Protokoll-Overhead und Netzwerklatenz, die primäre Anliegen bei einer drahtlosen Netzwerkkommunikation sind, weniger bedeutend in verdrahteten Netzwerken, die typischerweise eine viel höhere Kapazität und Geschwindigkeit haben als drahtlose Netzwerke. Folglich können die mobilen Vorrichtungen 813 und 815 normalerweise nicht direkt auf den Datenspeicher 817 zugreifen. Die Netzwerk-Operator-Infrastruktur 840 sieht eine Brücke zwischen dem drahtlosen Netzwerk 811 und dem LAN 807 vor.
Die Netzwerk-Operator-Infrastruktur 840 ermöglicht einer mobilen Vorrichtung 813 oder 815, eine Verbindung zu dem LAN 807 durch das WAN 804 herzustellen, und kann zum Beispiel von einem Operator des drahtlosen Netzwerks 811 oder einem Diensteanbieter betrieben werden, der einen drahtlosen Kommunikationsdienst für mobile Vorrichtungen 813 und 815 vorsieht. In einem Holen(pull)-basierten System stellt eine mobile Vorrichtung 813 oder 815 eine Kommunikationssitzung mit der Netzwerk-Operator-Infrastruktur 840 her unter Verwendung eines mit dem drahtlosen Netzwerk kompatiblen Kommunikationsschemas, vorzugsweise ein sicheres Schema, wie WTLS (Wireless Transport Layer Security), wenn eine Information vertraulich bleiben soll, und eines drahtlosen Webbrow sers, wie ein WAP(Wireless Application Protocol)-Browser. Ein Benutzer fordert dann, durch manuelle Auswahl oder durch vorgewählte Standards in der Software, die sich in der mobilen Vorrichtung befindet, eine oder die gesamte Information oder zum Beispiel nur neue Information an, die in einer Mailbox 819 in dem Datenspeicher 817 an dem LAN 807 gespeichert ist. Die Netzwerk-Operator-Infrastruktur 840 stellt eine Verbindung oder eine Sitzung mit einem drahtlosen Verbindersystem 844 her, unter Verwendung zum Beispiel von HTTPS (Secure Hypertext Transfer Protocol), wenn noch keine Sitzung hergestellt wurde. Wie oben kann eine Sitzung zwischen der Netzwerk-Operator-Infrastruktur 840 und einem drahtlosen Verbindersystem 844 oder 854 über eine typische WAN-Verbindung oder durch den VPN-Router 835, wenn vorhanden, hergestellt werden. Wenn Zeitverzögerungen zwischen dem Empfang einer Anforderung von einer mobilen Vorrichtung 813 oder 815 und dem Liefern einer angeforderten Information zurück an die Vorrichtung minimiert werden sollen, können die Netzwerk-Operator-Infrastruktur 840 und das drahtlose Verbindersysteme 844 und 854 derart konfiguriert werden, dass eine Kommunikationsverbindung offen bleibt, wenn sie hergestellt wurde.
In dem System von 10 werden Anforderungen, die von der mobilen Vorrichtung A 813 und B 815 stammen, an die drahtlosen Verbindersysteme 844 beziehungsweise 854 gesendet. Bei Empfang einer Anforderung für eine Information von der Netzwerk-Operator-Infrastruktur 840 ruft ein drahtloses Verbindersystem 844 oder 854 die angeforderte Information aus einem Datenspeicher ab. Für die E-Mail-Nachricht 833 ruft das drahtlose Verbindersystem 844 oder 854 die E-Mail-Nachricht 833 aus der geeigneten Mailbox 819 ab, typischerweise durch einen Messaging-Client, der in Verbindung mit dem Computersystem 842 oder 852 arbeitet, das auf eine Mailbox 819 entweder über den Nachrichtenserver 820 oder direkt zugreift. Alternativ kann ein drahtloses Verbindersystem 844 oder 854 konfiguriert sein, auf Mailboxen 819 selbst zuzugreifen, direkt oder durch den Nachrichtenserver 820. Auch andere Datenspeicher, sowohl Netzwerkdatenspei cher, die ähnlich zu dem Datenspeicher 817 sind, als auch lokale Datenspeicher, die zu jedem Computersystem 842 und 852 gehören, können für ein drahtloses Verbindersystem 844 oder 854 zugänglich sein und folglich für eine mobile Vorrichtung 813 oder 815.
Wenn die E-Mail-Nachricht 833 an die Nachrichtenserver-Konten oder -Mailboxen 819 adressiert ist, die zu den Computersystemen 842 und 852 und den Vorrichtungen 813 und 815 gehören, dann wird die E-Mail-Nachricht 833 an die Netzwerk-Operator-Infrastruktur 840 gesendet, wie bei 860 und 862 gezeigt, die dann eine Kopie der E-Mail-Nachricht an jede mobile Vorrichtung 813 und 815 sendet, wie bei 864 und 866 angezeigt. Eine Information wird zwischen den drahtlosen Verbinder-Systemen 844 und 854 und der Netzwerk-Operator-Infrastruktur 840 entweder über eine Verbindung zu dem WAN 804 oder dem VPN-Router 835 übertragen. Wenn die Netzwerk-Operator-Infrastruktur 840 mit den drahtlosen Verbindersystemen 844 und 854 und den mobilen Vorrichtungen 813 und 815 über unterschiedliche Protokolle kommuniziert, können Übersetzungsoperationen durch die Netzwerk-Operator-Infrastruktur 840 durchgeführt werden. Neu- bzw. Umverpackungstechniken können ebenfalls zwischen den drahtlosen Verbindersystemen 844 und 854 und der Netzwerk-Operator-Infrastruktur 840 und zwischen jeder mobilen Vorrichtung 813 und 815 und der Netzwerk-Operator-Infrastruktur 840 verwendet werden.
Nachrichten oder eine andere Information, die von einer mobilen Vorrichtung 813 oder 815 gesendet werde, kann in einer ähnlichen Weise verarbeitet werden, wobei eine derartige Information zuerst von einer mobilen Vorrichtung 813 oder 815 an die Netzwerk-Operator-Infrastruktur 840 übertragen wird. Die Netzwerk-Operator-Infrastruktur 840 sendet dann die Information an ein drahtloses Verbindersystem 844 oder 854 zum Speichern in einer Mailbox 819 und Lieferung an adressierte Empfänger durch den Nachrichtenserver 820 zum Beispiel, oder kann alternativ die Information an die adressierten Empfänger liefern.
Die obige Beschreibung des Systems in der 10 betrifft Holen(pull)-basierte Operationen. Die drahtlosen Verbindersysteme 844 und 854 und die Netzwerk-Operator-Infrastruktur können stattdessen konfiguriert sein, Datenelemente an mobile Vorrichtungen 813 und 815 zu verschieben (push). Ein kombiniertes Verschieben/Holen-System ist ebenfalls möglich. Zum Beispiel kann eine Benachrichtigung einer neuen Nachricht oder einer Liste von Datenelementen, die momentan in einem Datenspeicher in dem LAN 807 gespeichert sind, an eine mobile Vorrichtung 813 oder 815 verschoben werden, die dann verwendet werden kann, um Nachrichten oder Datenelemente von dem LAN 807 über die Netzwerk-Operator-Infrastruktur 840 anzufordern.
Wenn die mobilen Vorrichtungen, die zu Benutzer-Konten auf dem LAN 807 gehören, konfiguriert sind, um in unterschiedlichen drahtlosen Netzwerken zu arbeiten, dann kann jedes drahtlose Netzwerk eine zugehörige drahtlose Netzwerkinfrastrukturkomponente haben, ähnlich zu 840.
Obgleich getrennte zugewiesene drahtlose Verbindersysteme 844 und 854 für jedes Computersystem 842 und 852 in dem System der 10 gezeigt werden, ist eines oder mehrere der drahtlosen Verbindersysteme 844 und 854 vorzugsweise konfiguriert, in Verbindung mit mehr als einem der Computersysteme 842 und 852 zu arbeiten, oder auf einen Datenspeicher oder eine Mailbox 819 zuzugreifen, die zu mehr als einem Computersystem gehört. Zum Beispiel kann dem drahtlosen Verbindersystem 844 ein Zugriff auf die Mailboxen 819 bewilligt werden, die sowohl zu dem Computersystem 842 als auch dem Computersystem 852 gehören. Anforderungen für Datenelemente von einer mobilen Vorrichtung A 813 oder B 815 werden dann durch das drahtlose Verbindersystem 844 verarbeitet. Diese Konfiguration ist nützlich, um eine drahtlose Kommunikation zwischen dem LAN 807 und den mobilen Vorrichtungen 813 und 815 zu ermöglichen, ohne dass er forderlich ist, dass ein Desktopcomputersystem 842 und 852 für jeden Benutzer der mobilen Vorrichtung läuft. Ein drahtloses Verbindersystem kann stattdessen in Verbindung mit dem Nachrichtenserver 820 implementiert werden, um eine drahtlose Kommunikation zu ermöglichen.
11 ist ein Blockdiagramm eines weiteren alternativen Kommunikationssystems. Das System umfasst ein Computersystem 802, ein WAN 804, ein Firmen-LAN 809, das sich hinter einer Sicherheits-Firewall 808 befindet, ein Zugriffs-Gateway 880, ein Datenspeicher 882, drahtlose Netzwerke 884 und 886, und mobile Vorrichtungen 888 und 890. Das Computersystem 802, das WAN 804, die Sicherheits-Firewall 808, der Nachrichtenserver 820, der Datenspeicher 817, die Mailboxen 819, das Desktopcomputersystem 822, die physikalische Verbindung 824, die Schnittstelle oder der Verbinder 826 und der VPN-Router 835 sind im Wesentlichen dieselben wie die entsprechenden Komponenten, die oben beschrieben werden. Das Zugriffs-Gateway 880 und der Datenspeicher 882 geben den mobilen Vorrichtungen 888 und 890 einen Zugriff zu Datenelementen, die in dem LAN 809 gespeichert sind. In der 11 arbeitet ein drahtloses Verbindersystem 878 auf oder in Verbindung mit dem Nachrichtenserver 820, obgleich ein drahtloses Verbindersystem stattdessen auf oder in Verbindung mit einem oder mehreren Desktopcomputersystemen 822 in dem LAN 809 arbeiten kann.
Das drahtlose Verbindersystem 878 sieht eine Übertragung von Datenelementen, die an dem LAN 809 gespeichert sind, an eine oder mehrere der mobilen Vorrichtungen 888 und 890 vor. Diese Datenelemente umfassen vorzugsweise E-Mail Nachrichten, die in Mailboxen 819 in dem Datenspeicher 817 gespeichert sind, sowie möglicherweise andere Elemente, die in dem Datenspeicher 817 oder einem anderen Netzwerkdatenspeicher oder einem lokalen Datenspeicher eines Computersystems, wie 822, gespeichert sind.
Wie oben beschrieben, wird eine E-Mail-Nachricht 833, die an einen oder mehrere Empfänger adressiert ist, der/die ein Konto auf dem Nachrichtenserver 820 hat/haben, und von dem Nachrichtenserver 820 empfangen wird, in der Mailbox 819 von jedem derartigen Empfänger gespeichert. In dem System der 11 hat der externe Datenspeicher 882 vorzugsweise eine ähnliche Struktur zu dem Datenspeicher 817 und bleibt mit diesem synchronisiert. Eine PIM-Information oder Daten, die in dem Datenspeicher 882 gespeichert sind, sind vorzugsweise unabhängig modifizierbar zu der PIM-Information oder den Daten, die an dem Host-System gespeichert sind. In dieser bestimmten Konfiguration kann die unabhängig modifizierbare Information an dem externen Datenspeicher 882 eine Synchronisierung einer Vielzahl von Datenspeichern beibehalten, die zu einem Benutzer gehören (d.h. Daten auf einer mobilen Vorrichtung, Daten auf einem Personalcomputer zu Hause, Daten an dem Firmen-LAN, usw.). Diese Synchronisierung kann zum Beispiel erreicht werden durch Aktualisierungen, die durch das drahtlose Verbindersystem 878 in bestimmten Zeitabständen an den Datenspeicher 882 gesendet werden, jedes Mal wird ein Eintrag in dem Datenspeicher 817 hinzugefügt oder geändert, zu bestimmten Tageszeiten, oder wenn initiiert an dem LAN 809, durch den Nachrichtenserver 820 oder ein Computersystem 822, an den Datenspeicher 882 oder möglicherweise durch eine mobile Vorrichtung 888 oder 890 durch das Zugriffs-Gateway 880.
In dem Fall der E-Mail-Nachricht 833 zum Beispiel zeigt eine Aktualisierung, die einige Zeit, nachdem die E-Mail-Nachricht 833 empfangen wurde, an den Datenspeicher 882 gesendet wird, dass die Nachricht 833 in einer bestimmten Mailbox 819 in dem Speicher 817 gespeichert wurde, und eine Kopie der E-Mail-Nachricht wird in einem entsprechenden Speicherbereich in dem Datenspeicher 882 gespeichert. Wenn die E-Mail-Nachricht 833 in den Mailboxen 819 entsprechend den mobilen Vorrichtungen 888 und 890 gespeichert wurde, werden eine oder mehrere Kopie(n) der E-Mail-Nachricht, angezeigt bei 892 und 894 in der 11, an entsprechende Speicherbereiche oder Mailboxen in dem Datenspeicher 882 ge sendet und darin gespeichert. Wie gezeigt, können Aktualisierungen oder Kopien der gespeicherten Information in dem Datenspeicher 817 an den Datenspeicher 882 über eine Verbindung zu dem WAN 804 oder dem VPN-Router 835 gesendet werden. Zum Beispiel kann das drahtlose Verbindersystem 878 Aktualisierungen oder eine gespeicherte Information an eine Ressource in dem Datenspeicher 882 über eine HTTP-Post-Anforderung senden. Alternativ kann ein sicheres Protokoll, wie HTTPS oder SSL (Secure Socket Layer), verwendet werden. Für Fachleute ist offensichtlich, dass eine einzelne Kopie eines Datenelements, das an mehr als einer Position in einem Datenspeicher an dem LAN 809 gespeichert ist, stattdessen an den Datenspeicher 882 gesendet werden kann. Dieser Kopie des Datenelements kann dann entweder in mehr als einer entsprechenden Position in dem Datenspeicher 882 gespeichert werden oder eine einzelne Kopie kann in dem Datenspeicher 882 gespeichert werden, wobei ein Zeiger oder anderer Identifizierer des gespeicherten Datenelements an jeder entsprechenden Position in dem Datenspeicher 882 gespeichert wird.
Das Zugriffs-Gateway 880 ist gewissermaßen eine Zugriffs-Plattform, da es für die mobilen Vorrichtungen 888 und 890 einen Zugriff auf den Datenspeicher 882 liefert. Der Datenspeicher 882 kann als eine Ressource konfiguriert werden, die auf dem WAN 804 zugänglich ist, und das Zugriffs-Gateway 880 kann ein ISP-System oder WAP-Gateway sein, durch das die mobilen Vorrichtungen 888 und 890 mit dem WAN 804 verbunden werden. Ein WAP-Browser oder ein anderer Browser, der zu den drahtlosen Netzwerken 884 und 886 kompatibel ist, kann dann verwendet werden, um auf den Datenspeicher 882 zuzugreifen, der mit dem Datenspeicher 817 synchronisiert ist, und gespeicherte Datenelemente entweder automatisch oder als Antwort auf eine Anforderung von einer mobilen Vorrichtung 888 oder 890 herunterzuladen. Wie bei 896 und 898 gezeigt, werden Kopien der E-Mail-Nachricht 833, die in dem Datenspeicher 817 gespeichert wurde, an die mobilen Vorrichtungen 888 und 890 gesendet. Ein Datenspeicher auf jeder mobilen Vorrichtung 888 und 890 wird dadurch mit einem Teil, wie einer Mail box 819, eines Datenspeichers 817 auf einem Firmen-LAN 809 synchronisiert. Änderungen an einem Datenspeicher einer mobilen Vorrichtung werden ähnlich in den Datenspeichern 882 und 817 reflektiert.
Die Ausführungsbeispiele, die hier beschrieben werden, sind Beispiele von Strukturen, Systemen oder Verfahren mit Elementen, die den Elementen der Erfindung entsprechen, die in den Ansprüchen rezitiert wird. Diese schriftliche Beschreibung kann Fachleuten ermöglichen, Ausführungsbeispiele mit alternativen Elementen herzustellen und zu verwenden, die ebenfalls den Elementen der Erfindung entsprechen, die in den Ansprüchen rezitiert wird. Der beabsichtigte Umfang der Erfindung umfasst folglich andere Strukturen, Systeme oder Verfahren, die sich nicht von der wortgetreuen Sprache der Ansprüche unterscheiden, und umfasst weiter andere Strukturen, Systeme oder Verfahren mit unerheblichen Unterschieden von der wortgetreuen Sprache der Ansprüche.

Claims

Verfahren zum Speichern einer digitalen Zertifikatsinformation aus einem digitalen Zertifikat, das an einem Messaging-Client empfangen wird, wobei das Verfahren die Schritte aufweist: Extrahieren der digitalen Zertifikatsinformation aus dem digitalen Zertifikat; Bestimmen, ob die extrahierte digitale Zertifikatsinformation in einem Datenspeicher auf dem Messaging-Client gespeichert ist; und Speichern der extrahierten digitalen Zertifikatsinformation in dem Datenspeicher, wenn die extrahierte digitale Zertifikatsinformation nicht in dem Datenspeicher gespeichert ist.
Verfahren gemäß Anspruch 1, wobei der Schritt des Speicherns der extrahierten digitalen Zertifikatsinformation in dem Datenspeicher die Schritte aufweist: Erzeugen eines neuen Eintrags in dem Datenspeicher; und Speichern der extrahierten digitalen Zertifikatsinformation in dem neuen Eintrag in dem Datenspeicher.
Verfahren gemäß Anspruch 1, wobei der Schritt des Speicherns der extrahierten digitalen Zertifikatsinformation in dem Datenspeicher den Schritt des Speicherns der extrahierten digitalen Zertifikatsinformation in einem existierenden Eintrag in dem Datenspeicher aufweist.
Verfahren gemäß Anspruch 1, wobei die extrahierte digitale Zertifikatsinformation einen Objektidentifizierer und zusätzliche digitale Zertifikatsinformation aufweist, und wobei der Schritt des Bestimmens, ob die extrahierte digitale Zertifikatsinformation in einem Datenspeicher am Messaging-Client gespeichert ist, die Schritte aufweist: Bestimmen, ob der Objektidentifizierer in einem existierenden Eintrag in dem Datenspeicher gespeichert ist; und Bestimmen, ob die zusätzliche digitale Zertifikatsinformation in dem existierenden Eintrag in dem Datenspeicher gespeichert ist, wenn der Objektidentifizierer in einem existierenden Eintrag in dem Datenspeicher gespeichert ist, wobei der Schritt des Speicherns der extrahierten digitalen Zertifikatsinformation in dem Datenspeicher den Schritt des Speicherns der zusätzlichen digitalen Zertifikatsinformation in dem existierenden Eintrag in dem Datenspeicher aufweist, wenn die zusätzliche digitale Zertifikatsinformation nicht in dem existierenden Eintrag in dem Datenspeicher gespeichert ist.
Verfahren gemäß Anspruch 4, das weiter den Schritt aufweist: Erzeugen eines neuen Eintrags in dem Datenspeicher, wenn der Objektidentifizierer nicht in einem existierenden Eintrag in dem Datenspeicher gespeichert ist, wobei der Schritt des Speicherns der extrahierten digitalen Zertifikatsinformation in dem Datenspeicher weiter den Schritt des Speicherns des Objektidentifizierers und der zusätzlichen digitalen Zertifikatsinformation in dem neuen Eintrag in dem Datenspeicher aufweist.
Verfahren gemäß Anspruch 1, wobei das digitale Zertifikat ein digitales X.509-Zertifikat ist.
Verfahren gemäß Anspruch 1, das weiter die Schritte aufweist: Speichern des digitalen Zertifikats in einem digitalen Zertifikatsspeicher an dem Messaging-Client bei Empfang des digitalen Zertifikats; und Erzeugen eines Signals, dass das digitale Zertifikat in dem digitalen Zertifikatsspeicher gespeichert wurde.
Verfahren gemäß Anspruch 7, wobei der Schritt des Extrahierens der digitalen Zertifikatsinformation aus dem digitalen Zertifikat den Schritt des Auswertens des digitalen Zertifikats aufweist, um die digitale Zertifikatsinformation zu extrahieren.
Verfahren gemäß Anspruch 7, wobei: der Schritt des Speicherns des digitalen Zertifikats in einem digitalen Zertifikatsspeicher an dem Messaging-Client die Schritte aufweist: Auswerten des digitalen Zertifikats, um ausgewertete digitale Zertifikatsdaten zu erzeugen; und Speichern der ausgewerteten digitalen Zertifikatsdaten in dem digitalen Zertifikatsspeicher; und der Schritt des Extrahierens der digitalen Zertifikatsinformation aus dem digitalen Zertifikat den Schritt des Abrufens der digitalen Zertifikatsinformation aus den ausgewerteten digitalen Zertifikatsdaten aufweist.
Verfahren gemäß Anspruch 1, wobei: das digitale Zertifikat einen Objektidentifizierer umfasst, der eine Entität identifiziert, die zu dem digitalen Zertifikat gehört; und der Schritt des Extrahieren der digitalen Zertifikatsinformation aus dem digitalen Zertifikat den Schritt des Extrahierens des Objektidentifizierers aus dem digitalen Zertifikat aufweist.
Verfahren gemäß Anspruch 10, wobei der Objektidentifizierer eine E-Mail-Adresse aufweist.
Verfahren gemäß Anspruch 11, wobei der Datenspeicher ein Adressbuch aufweist.
Verfahren gemäß Anspruch 2, wobei: der Datenspeicher ein Adressbuch aufweist; und der Schritt des Erzeugens eines neuen Eintrags in dem Datenspeicher weiter den Schritt des Setzens eines sicheren Messaging-Flags aufweist, das zu dem neuen Eintrag gehört, um anzuzeigen, dass ein zu dem neuen Eintrag gehörendes digitales Zertifikat empfangen wurde.
Verfahren gemäß Anspruch 13, das weiter die Schritte aufweist: Erzeugen einer Nachricht an dem Messaging-Client; Zugreifen auf den neuen Eintrag in dem Datenspeicher, um die Nachricht an einen Empfänger zu adressieren; und Bestimmen, ob eine Sicherheitsoperation auf der Nachricht durchzuführen ist, basierend auf dem sicheren Messaging-Flag, das zu dem neuen Eintrag gehört.
Verfahren gemäß Anspruch 14, wobei die Sicherheitsoperation eine Verschlüsselungsoperation ist.
Verfahren gemäß Anspruch 14, wobei der Schritt des Bestimmens, ob eine Sicherheitsoperation auf der Nachricht durchzuführen ist, basierend auf dem sicheren Messaging-Flag, das zu dem neuen Eintrag gehört, die Schritte aufweist: Bestimmen, ob ein sicheres Messaging-Flag, das zu dem neuen Eintrag gehört, gesetzt ist; und Auffordern eines Benutzers des Messaging-Clients, zu bestimmen, ob eine Sicherheitsoperation auf der Nachricht durchzuführen ist, bei der Feststellung, dass ein zu dem neuen Eintrag gehörendes sicheres Messaging-Flag gesetzt ist.
Verfahren gemäß Anspruch 3, wobei: der Datenspeicher ein Adressbuch aufweist; und der Schritt des Speicherns der extrahierten digitalen Zertifikatsinformation in einem existierenden Eintrag in dem Datenspeicher weiter die Schritte aufweist: Bestimmen, ob ein sicheres Messaging-Flag, das zu dem existierenden Eintrag gehört, gesetzt wurde; und Setzen des sicheren Messaging-Flags, um anzuzeigen, dass die digitale Zertifikatsinformation in dem existierenden Eintrag gespeichert wurde, bei einer Feststellung, dass ein sicheres Messaging-Flag, das zu dem existierenden Eintrag gehört, nicht gesetzt wurde.
Verfahren gemäß Anspruch 17, das weiter die Schritte aufweist: Erzeugen einer Nachricht an dem Messaging-Client; Zugreifen auf den existierenden Eintrag in dem Datenspeicher, um die Nachricht an einen Empfänger zu adressieren; und Bestimmen, ob eine Sicherheitsoperation auf der Nachricht durchzuführen ist, basierend auf dem sicheren Messaging-Flag, das zu dem neuen Eintrag gehört.
Verfahren gemäß Anspruch 18, wobei der Schritt des Bestimmens, ob eine Sicherheitsoperation auf der Nachricht durchzuführen ist, basierend auf dem sicheren Messaging-Flag, das zu dem existierenden Eintrag gehört, die Schritte aufweist: Bestimmen, ob ein sicheres Messaging-Flag, das zu dem existierenden Eintrag gehört, gesetzt ist; und Auffordern eines Benutzers des Messaging-Clients, zu bestimmen, ob eine Sicherheitsoperation auf der Nachricht durchzuführen ist, bei der Feststellung, dass ein zu dem existierenden Eintrag gehörendes sicheres Messaging-Flag gesetzt ist.
Verfahren gemäß Anspruch 1, wobei: die extrahierte digitale Zertifikatsinformation einen Objektidentifizierer und eine digitale Zertifikatsgültigkeitsinformation aufweist; und der Schritt des Bestimmens, ob die extrahierte digitale Zertifikatsinformation in einem Datenspeicher an dem Messaging-Client gespeichert ist, die Schritte aufweist: Bestimmen, ob der Objektidentifizierer in einem existierenden Eintrag in dem Datenspeicher gespeichert ist; und Bestimmen, ob die digitale Zertifikatsgültigkeitsinformation in dem existierenden Eintrag in dem Datenspeicher gespeichert ist bei einer Feststellung, dass der Objektidentifizierer nicht in einem existierenden Eintrag in dem Datenspeicher gespeichert ist; und der Schritt des Speicherns der digitalen Zertifikatsinformation in dem Datenspeicher die Schritte aufweist: Erzeugen eines neuen Eintrags in dem Datenspeicher und Speichern des Objektidentifizierers und der digitalen Zertifikatsgültigkeitsinformation in dem neuen Eintrag in dem Datenspeicher, wenn der Objektidentifizierer nicht in einem existierenden Eintrag in dem Datenspeicher gespeichert ist; und Speichern der digitalen Zertifikatsgültigkeitsinformation in dem existierenden Eintrag in dem Datenspeicher, wenn der Objektidentifizierer in einem existierenden Eintrag in dem Datenspeicher gespeichert ist.
Verfahren gemäß Anspruch 20, das weiter die Schritte aufweist: Bestimmen, ob ein digitales Zertifikat ungültig ist, basierend auf dem Objektidentifizierer und der digitalen Zertifikatsgültigkeitsinformation; und Benachrichtigen eines Benutzers des Messaging-Clients, dass das digitale Zertifikat ungültig ist bei einer Feststellung, dass ein digitales Zertifikat ungültig ist.
Verfahren gemäß Anspruch 21, wobei die digitale Zertifikatsgültigkeitsinformation eine Gültigkeitsperiode definiert.
Verfahren gemäß Anspruch 21, wobei die digitale Zertifikatsgültigkeitsinformation eine Ablaufzeit definiert.
Verfahren gemäß Anspruch 1, wobei der Messaging-Client auf einer drahtlosen mobilen Kommunikationsvorrichtung implementiert ist.
Eine Verfahren gemäß Anspruch 1, wobei der Messaging-Client eine mobile Kommunikationsvorrichtung ist, und weiter aufweist: Empfangen übertragener digitaler Zertifikatsdaten an der mobilen Kommunikationsvorrichtung; und Vergleichen der übertragenen digitalen Zertifikatsdaten mit den digitalen Zertifikatsdaten, die in einem Speicher in der mobilen Kommunikationsvorrichtung gespeichert sind; und wobei der Schritt des Speicherns der extrahierten digitalen Zertifikatsinformation in dem Datenspeicher, wenn die extrahierte digitale Zertifikatsinformation nicht in dem Datenspeicher gespeichert ist, aufweist ein Aktualisieren des Speichers, um übertragene digitalen Zertifikatsdaten zu umfassen, die nicht in dem Speicher gespeichert sind.
Verfahren gemäß Anspruch 25, wobei der Schritt des Vergleichens der übertragenen digitalen Zertifikatsdaten mit den gespeicherten digitalen Zertifikatsdaten, die in dem Speicher gespeichert sind, die Schritte aufweist: Auswahl eines digitalen Zertifikatsidentifizierer, der zu den übertragenen digitalen Zertifikatsdaten gehört; und Bestimmen, ob der digitale Zertifikatsidentifizierer in dem Speicher gespeichert ist.
Verfahren gemäß Anspruch 26, wobei der Schritt des Aktualisieren des Speichers, um die übertragenen digitalen Zertifikatsdaten zu umfassen, die nicht in dem Speicher gespeichert sind, die Schritte aufweist: bei der Bestimmung, dass der digitale Zertifikatsidentifizierer nicht in dem Speicher gespeichert ist: Speichern des digitalen Zertifikatsidentifizierers in dem Speicher; Speichern der übertragenen digitalen Zertifikatsdaten in dem Speicher; und Zuordnen der übertragenen digitalen Zertifikatsdaten dem digitalen Zertifikatsidentifizierer.
Verfahren gemäß Anspruch 27, das weiter die Schritte aufweist: Setzen eines sicheren Messaging-Identifizierers in dem Speicher; und Zuordnen des sicheren Messaging-Identifizierers dem digitalen Zertifikatsidentifizierer.
Verfahren gemäß Anspruch 28, wobei der Speicher ein Adressbuchspeicher ist und der digitale Zertifikatsidentifizierer eine E-Mail-Adresse ist.
Verfahren gemäß Anspruch 29, das weiter die Schritte aufweist: Erzeugen einer Nachricht an der mobilen Kommunikationsvorrichtung; Adressieren der Nachricht an die E-Mail-Adresse; und Bestimmen, ob eine Sicherheitsoperation auf der Nachricht durchzuführen ist, basierend auf dem sicheren Messaging-Identifizierers.
Verfahren gemäß Anspruch 30, wobei der Schritt des Bestimmens, ob eine Sicherheitsoperation auf der Nachricht durchzuführen ist, basierend auf dem sicheren Messaging-Identifizierers, die die Schritte aufweist: Bestimmen, ob der sichere Messaging-Identifizierer gesetzt ist; Auffordern eines Benutzers der mobilen Kommunikationsvorrichtung, die Sicherheitsoperation zu wählen, wenn der sichere Messaging-Identifizierer gesetzt ist.
Verfahren gemäß Anspruch 25, das weiter die Schritte aufweist: Auswahl eines Gültigkeitsereignisses für ein digitales Zertifikat basierend auf den digitalen Zertifikatsdaten, die in dem Speicher gespeichert sind; und Benachrichtigen eines Benutzers bei Auftreten des Gültigkeitsereignisses.
Verfahren gemäß Anspruch 32, wobei das Gültigkeitsereignis der Ablauf einer Gültigkeitsperiode des digitalen Zertifikats ist.
Verfahren gemäß Anspruch 32, wobei der Schritt der Auswahl eines Gültigkeitsereignisses für ein digitales Zertifikat basierend die auf den digitalen Zertifikatsdaten, die in dem Speicher gespeichert sind, die Schritte aufweist: Speichern von Gültigkeitsereignisdaten in einem zweiten Speicher; und regelmäßiges Zugreifen auf den zweiten Speicher, um festzustellen, ob das Gültigkeitsereignis aufgetreten ist.
Verfahren gemäß Anspruch 34, wobei der zweite Speicher ein Kalenderereignisspeicher ist und das Gültigkeitsereignis ein Ablauf des digitalen Zertifikats ist.
System zum Speichern digitaler Zertifikatsinformation an einem Messaging-Client, wobei das System aufweist: ein digitales Zertifikats-Lade-Modul, das konfiguriert ist, um digitale Zertifikate zu empfangen; und ein digitales Zertifikats-Information-Injektor-Modul, das konfiguriert ist, eine digitale Zertifikatsinformation aus einem digitalen Zertifikat zu extrahieren, nachdem das digitale Zertifikat von dem digitalen Zertifikats-Lade-Modul empfangen wurde, um zu bestimmen, ob die extrahierte digitale Zertifikatsinformation in einem Eintrag in einem ersten Datenspeicher gespeichert ist, und um die extrahierte digitale Zertifikatsinformation in dem ersten Datenspeicher zu speichern, wenn die extrahierte digitale Zertifikatsinformation nicht in dem Eintrag in dem ersten Datenspeicher gespeichert ist.
System gemäß Anspruch 36, wobei das digitale Zertifikats-Informations-Injektor-Modul weiter konfiguriert ist, einen neuen Eintrag in dem ersten Datenspeicher bei der Feststellung zu erzeugen, dass die extrahierte digitale Zertifikatsinformation nicht in einem Eintrag in dem ersten Datenspeicher gespeichert ist.
System gemäß Anspruch 37, wobei: die extrahierte digitale Zertifikatsinformation einen Objektidentifizierer und zusätzliche digitale Zertifikatsinformation aufweist; und das digitale Zertifikats-Information-Injektor-Modul weiter konfiguriert ist: zu bestimmen, ob der Objektidentifizierer in einem Eintrag in dem ersten Datenspeicher gespeichert ist, und bei Feststellung, dass der Objektidentifizierer nicht in einem Eintrag in dem ersten Datenspeicher gespeichert ist, einen neuen Eintrag in dem ersten Datenspeicher zu erzeugen und den Objektidentifizierer und die zusätzliche digitale Zertifikatsinformation in dem neuen Eintrag in dem ersten Datenspeicher zu speichern; und bei Feststellung, dass der Objektidentifizierer in einem Eintrag in dem ersten Datenspeicher gespeichert ist, zu bestimmen, ob die zusätzliche digitale Zertifikatsinformation in dem Eintrag in dem ersten Datenspeicher gespei chert ist, und die zusätzliche digitale Zertifikatsinformation in dem Eintrag in dem ersten Datenspeicher zu speichern bei der Feststellung, dass die zusätzliche digitale Zertifikatsinformation nicht in dem ersten Datenspeicher gespeichert ist.
System gemäß Anspruch 36, das weiter einen zweiten Datenspeicher aufweist, wobei das digitale Zertifikats-Lade-Modul konfiguriert ist, digitale Zertifikate in dem zweiten Datenspeicher zu speichern.
System gemäß Anspruch 39, wobei das digitale Zertifikats-Lade-Modul weiter konfiguriert ist, ein Speichern eines empfangenen digitalen Zertifikats in dem zweiten Datenspeicher zu erfassen und das empfangene digitale Zertifikat bei einer derartigen Erfassung aus dem zweiten Datenspeicher abzurufen.
System gemäß Anspruch 39, wobei: das digitale Zertifikats-Lade-Modul konfiguriert ist, das digitale Zertifikats-Informations-Injektor-Modul zu benachrichtigen, wenn ein empfangenes digitales Zertifikat in dem zweiten Datenspeicher gespeichert wurde; und das digitale Zertifikats-Informations-Injektor-Modul konfiguriert ist, bei einer derartigen Benachrichtigung das empfangene digitale Zertifikat aus dem zweiten Datenspeicher abzurufen.
System gemäß Anspruch 36, wobei: das System weiter einen digitalen Zertifikats-Speicher aufweist; das digitale Zertifikats-Lade-Modul konfiguriert ist, digitale Zertifikate zu analysieren, um analysierte digitale Zertifikatsdaten zu erzeugen, und die analysierten digitalen Zertifikatsdaten in dem digitalen Zertifikats-Speicher zu speichern; und das digitale Zertifikats-Informations-Injektor-Modul konfiguriert ist, die digitale Zertifikatsinformation aus den analysierten digitalen Zertifikatsdaten abzurufen, die in dem digitalen Zertifikats-Speicher gespeichert sind.
System gemäß Anspruch 36, wobei das digitale Zertifikats-Lade-Modul konfiguriert ist, die digitale Zertifikatsinformation an das digitale Zertifikats-Informations-Injektor-Modul zu liefern.
System gemäß Anspruch 36, wobei der Messaging-Client eine drahtlose mobile Kommunikationsvorrichtung ist.
System gemäß Anspruch 36, wobei das digitale Zertifikats-Informations-Injektor-Modul weiter konfiguriert ist, eine digitale Zertifikatsinformation für ein digitales Zertifikat aus dem zweiten Datenspeicher zu extrahieren, zu bestimmen, ob die digitale Zertifikatsinformation, die aus dem zweiten Datenspeicher extrahiert wurde, in einem Eintrag in dem ersten Datenspeicher gespeichert ist, und die extrahierte digitale Zertifikatsinformation in dem ersten Datenspeicher zu speichern bei der Feststellung, dass die digitale Zertifikatsinformation, die aus dem zweiten Datenspeicher extrahiert wurde, nicht in einem Eintrag in dem ersten Datenspeicher gespeichert ist.
System gemäß Anspruch 45, wobei der erste Datenspeicher einen Adressbuchspeicher, der eine Kontaktinformation speichert, und einen Terminspeicher aufweist, der eine Termininformation speichert.