专利名称:用于控制移动设备上的消息附件处理功能的系统和方法
技术领域:
0001这里描述的实施例一般地涉及消息(如电子邮件消息)
的处理,更具体地,涉及针对移动设备上用于查看的消息附件的处理 的系统和方法。
背景技术:
0002各种移动设备适于允许用户在其移动设备上以某种形式 査看与消息附件相关的数据。这些移动设备中的一些没有配备本机的 附件查看器。在这种情况下,典型地,首先由远程服务器处理消息附 件。该远程服务器检索并且潜在地重新格式化附件数据,然后将其发 送到移动设备。然后,移动设备接收的附件数据可以由位于移动设备 上的应用来处理,并且在需要时进行呈现。
0003例如,寻址到移动设备的用户的消息可以到达消息服务 器,然后可以被路由到消息管理服务器。该消息管理服务器可以被配 置为在消息数据被发送到移动设备前将与消息相关的数据转换成对无 线设备友好的格式。然而,为了节约带宽,在特定实现方式中,消息 管理服务器不向移动设备发送消息附件。
0004作为替代,消息管理服务器可以分析消息并向移动设备 提供指示存在该消息的一个或更多个附件的数据。随后,移动设备的 用户可以请求指定的附件。该请求被发送到消息管理服务器或附件服 务器,该附件服务器被配置为处理该消息、检索所请求的附件,并将 与该附件相关的数据(例如文本,图像)发送到该移动设备(典型地 以对设备友好的格式)。
发明內容0005在一个较宽的方面,提供了用于控制移动设备上的消息 附件处理功能的系统和方法。所述方法可以包括在移动设备处从一 个或更多个远程服务器接收消息的至少一部分,所述消息包括己加密 的消息数据,所述消息的所述至少一部分包括与所述消息相关联的已 加密的会话密钥;确定附件处理控制标识了多个附件处理控制模式中 的哪一个,所述多个附件处理控制模式包括第一附件处理控制模式, 所述第一附件处理控制模式允许在所述移动设备处接收到所述消息的 所述至少一部分之后,在无需用户干预的情况下,将已解密的会话密
钥从所述移动设备发送到一个或更多个远程服务器;以及对所述已加
密的会话密钥进行解密,以确定己解密的会话密钥,而且,如果所述 附件处理控制标识了所述第一附件处理控制模式,则将已解密的会话 密钥发送到所述一个或更多个远程服务器。
0006这里描述的一些实施例使用移动台。移动台一般地包括 具有高级数据通信能力的双向通信设备,该能力具有与其他设备通信 的能力,在这里一般也将移动台称为移动设备。移动设备可以包括用 于语音通信的能力。基于移动设备所提供的功能,其可以被称为数据 消息设备、双向寻呼机、具有数据消息能力的蜂窝电话、无线因特网 装置或数据通信设备(具有或不具有电话能力)。移动设备可以通过收 发机站台的网络与其他设备通信。
0007为了更好地理解这里所描述的实施例,并更清楚地显示
如何将其付诸实践,现在以示例的方式参考附图,附图中
图1是一个示例性实现方式中的移动设备的框图; 图2是图1的移动设备的通信子系统组件的框图; 图3是无线网络的节点的框图4是示意了一个示例性配置中的主机系统的组件的框图5是示出了证书链的示例的框图6是示意了已编码消息的示例的组件的框图7是示意了根据至少一个实施例的用于控制移动设备上的消息附件处理功能的方法的流程图;以及
图8是示意了根据至少另一个实施例的用于控制移动设备上的消 息附件处理功能的方法的流程图。
具体实施例方式
0008为了帮助读者理解移动设备的结构以及其如何与其他设 备通信,参考图1至3。
0009首先参考图1, 一个示例性实现方式中的移动设备的框 图整体示为100。移动设备100包括多个组件,其中控制组件是微处 理器102。微处理器102控制移动设备100的总体操作。通信功能, 包括数据和语音通信,是通过通信子系统104来执行的。通信子系统 104从无线网络200接收消息并发送消息到无线网络200。在移动设备 100的一个示例性实现方式中,通信子系统104可以根据全球移动通 信系统(GSM)和通用分组无线服务(GPRS)标准来配置。GSM/GPRS 无线网络在世界上广泛使用,预期这些标准可以由增强数据GSM环 境(EDGE)、通用移动通信服务(UMTS)和超移动宽带(UMB)等 进行补充或最终取代。新的标准仍在定义中,然而,相信它们将与这 里描述的网络性态具有相似性,本领域的技术人员也可以理解,本公 开的实施例旨在使用任何其他合适的将来发展的标准。将通信子系统 104与网络200连接的无线链路代表一个或更多个不同的射频(RF) 信道,这些信道根据专为GSM/GPRS通信而定义的协议来操作。使用 更新的网络协议,这些信道能够支持电路交换语音通信和分组交换数 据通信。
0010尽管在移动设备100的一个示例性实现方式中,与移动 设备100相关的无线网络是GSM/GPRS无线网络,然而,在实现方式 变型中,其他无线网络也可以与移动设备IOO相关联。可以使用的不 同类型的无线网络包括,例如以数据为中心的无线网络、以语音为 中心的无线网络、以及能通过相同的物理基站同时支持数据和语音通 信的双模网络。组合的双模网络包括但不限于码分多址接入(CDMA) 或CDMA2000网络、GSM/GPRS网络(如上面所提到的)、以及未来的如EDGE和UMTS的第三代(3G)网络。 一些较早的以数据为中 心的网络的示例包括MobitexTM无线网络和DataTACTM无线网络。 较早的以语音为中心的数据网络的示例包括如GSM和时分多接入 (TDMA)系统的个人通信系统(PCS)网络。
0011其他可以被采用的网络通信技术可以包括,例如集成 数字增强网络(iDENTM)、演进数据优化(EV-DO)和高速下行分组 接入(HSDPA)等。
0012微处理器102也与另外的子系统交互,例如随机存取存 储器(RAM) 106、闪存存储器108、显示器110、辅助输入/输出(I/O) 子系统112、串行端口 114、键盘116、扬声器118、麦克风120、短 距离通信子系统122和其他子系统124。
0013移动设备100的一些子系统执行通信相关的功能,而其 他子系统可以提供"常驻"或设备上的功能。通过示例方式,显示器 110和键盘116也可以用作与通信相关的功能(如输入文本消息以在 网络200上传送)和设备常驻功能(例如计算器和任务列表)。微处理 器102使用的操作系统软件典型地存储于永久存储器,如闪存存储器 108,其可选地可以是只读存储器(ROM)或类似的存储单元(未示 出)。本领域的技术人员将意识到,操作系统、具体设备应用或其部分 可以被临时载入易失性存储器(如RAM 106)中。
0014在所需的网络注册或激活过程完成后,移动设备100可 以通过网络200发送和接收通信信号。网络接入与移动设备100的订 户或用户相关。为了识别用户,移动设备IOO可以提供用户识别模块 ("SIM")卡126插入SIM接口 128以与网络通信。SIM 126是其中 一种用于识别移动设备100的用户并将移动设备100个人化的传统"智 能卡"。如果没有SIM126,移动设备IOO将不能完全操作用于与网络 200通信。通过将SIM 126插入SIM接口 128,用户可以访问所有订 阅的服务。服务可以包括但不限于网页浏览和通知,如电子邮件、 语音邮件、短消息服务(SMS)和多媒体消息服务(MMS)。更高级 服务可以包括但不限于销售点、现场服务和销售人员自动化。SIM 126包括处理器和用于存储信息的存储器。 一旦SIM 126插入SIM接口 128,其就被耦合至微处理器102。为了识别用户,SIM126包括一 些用户参数,如国际移动用户标识(IMSI)。使用SIM 126的优势是 不需要使用任何单独的物理移动设备来绑定用户。SIM 126也可以存 储移动设备的附件用户信息,包括记事本(或日历)信息和最近呼叫 信息。
0015移动设备100可以是由电池供电的设备,可以包括用于 接收一个或更多个可充电电池130的电池接口 132。电池接口 132可 以与调节器(未示出)耦合,帮助电池130提供电源V+给移动设备 100。尽管现有的技术使用电池,但是未来的技术,如微型燃料电池可 以给移动设备100提供能量。在一些实施例中,移动设备100可以是 由太阳能供电的。
0016除了其操作系统的功能外,微处理器102还能够在移动 设备IOO上执行软件应用。控制基本的设备操作的应用集合,包括数 据和语音通信应用,可以在移动设备100的制造过程中安装到移动设 备100上。可以加载到移动设备100上的另一个应用是个人信息管理 器(PIM)。 PIM具有组织和管理用户感兴趣的数据项目(例如但不限 于电子邮件、日历事件、语音邮件、约会、和任务项目)的功能。 PIM应用具有通过无线网络200发送和接收数据项目的能力。PIM数 据项可以通过无线网络200与无线设备用户的所存储的或与主计算机 系统相关的相应数据项目进行无缝集成、同步和更新。对于这些项目, 该功能在移动设备IOO上创建了镜像的主计算机。这在主计算机系统
是移动设备用户的办公计算机系统时特别有利。
0017附加应用也可以通过网络200、辅助1/0子系统112、串 行端口 114、短距离通信子系统122或任何其他合适的子系统124加 载到移动设备100上。这种在应用安装上的灵活性增加了移动设备100 的功能并且可以提供增强的设备上的功能、与通信相关的功能或两者 兼有。例如,安全通信应用可以实现使用移动设备IOO来执行的电子 商务功能和其它这样的金融交易。
0018串行端口 114使得用户能够通过外部设备或软件应用来 设置偏好,并且通过提供下载至移动设备IOO的信息或软件(不通过无线通信网络)来扩展移动设备100的能力。例如,可选的下载路径 可以用于通过直接并从而可靠以及可信的连接来将加密密钥加载到移 动设备100上,从而提供的安全的设备通信。
0019短距离通信子系统122在不使用网络200的情况下,提 供了移动设备IOO和不同的系统或设备间的通信。例如,子系统122 可以包括红外设备和用于短距离通信的相关电路和组件。短距离通信 的示例包括由红外数据协会(IrDA )开发的标准、Bluetooth 和由IEEE 开发的802.11标准族(Wi-Fi )。
0020在使用中,所接收的信号,如文本消息、电子邮件消息、 或网页下载由通信子系统104处理并且输入至微处理器102。然后, 微处理器102处理所接收的信号,以输出到显示器110或者可选地输 出到辅助I/O子系统112。用户也可以制作如电子邮件消息的数据项 目,例如使用键盘116结合显示器110并可能地结合辅助I/O子系统 112。辅助子系统112可以包括如下设备触摸屏、鼠标、轨迹球、红 外指纹检测器或者带有动态按钮按压能力的滚轮。键盘116可以包括 字母数字键盘和/或电话类型的小键盘。所制作的项目可以通过通信子 系统104在网络200上传送。
0021对于语音通信,除了所接收的信号可以被处理和输出到 扬声器118,以及要发送的信号由麦克风120产生之外,移动设备IOO 的总体操作基本相似。可选的语音或音频I/0子系统,如语音消息记 录子系统也可以在移动设备100上实现。尽管语音或音频信号输出主 要通过扬声器118来完成,但是显示器110也可以用于提供附加信息, 如主叫方身份、语音呼叫的持续时间、或其他与语音呼叫相关的信息。
0022现在参考图2,图2示出了图1的通信子系统部件104 的框图。通信子系统104包括接收机150、发射机152、 一个或更多个 嵌入或内部天线单元154、 156、本地振荡器(LO) 158、以及如数字 信号处理器(DSP) 160的处理模块。
0023通信子系统104的具体设计取决于希望移动设备100在 其中运行的网络200;因此,应理解,图2所示的设计仅作为一个示 例。天线154通过网络200所接收的信号输入到接收机150,接收机150可以执行如信号放大、频率下转换、滤波、信道选择以及模数(A/D) 转换的普通接收机功能。所接收信号的A/D转换允许更复杂的通信功 能,如要由DSP160执行的解调和解码。以类似的方式,要发送的信 号由DSP160处理,包括调制和编码。这些DSP处理过的信号输入到 发射机152以进行数模(D/A)转换、频率上转换、滤波、放大并通 过天线156在网络200上传送。DSP 160不仅处理通信信号,而且提 供接收机和发射机控制。例如,应用于接收机150和发射机152中的 通信信号的增益可以通过DSP160实现的自动增益控制算法来自适应 控制。
0024移动设备100和网络200之间的无线链路可以包括一个 或更多个不同的信道(典型地是不同的RF信道)以及移动设备100 和网络200之间使用的相关协议。RF信道是有限的资源,典型地,这 是因为总带宽的限制以及移动设备100的有限的电池电能。
0025当移动设备IOO完全操作时,典型地,仅当发射机152 向网络200发送时才接通或开启发射机152,否则将其关闭以节约资 源。类似地,接收机150可以周期性地关闭以节约电能,直到在指定 的时间段期间需要其接收信号或信息(如果有需要)。
0026现在参考图3,无线网络的节点的框图如202所示。实 际上,网络200包括一个或更多个节点202。移动设备100与无线网 络202中的节点202通信。在图3的示例实现方式中,节点202按照 GPRS和GSM技术进行配置;然而,在其他实施例中,如上所述,也 可以实现不同的标准。节点202包括基站控制器(BSC) 204 (具有相 关的塔台206)、增加用于在GSM中支持GPRS的分组控制单元(PCU) 208、移动交换中心(MSC) 210、归属位置寄存器(HLR) 212、访 问位置寄存器(VLR) 214、服务GPRS支持节点(SGSN) 216、网 关GPRS支持节点(GGSN) 218和动态主机配置协议(DHCP) 220。 该组件列表并不意味着GSM/GPRS网络中的每个节点202的穷尽的组 件列表,而是通常用于通过网络200进行通信的组件列表。
0027在GSM网络中,MSC 210与BSC 204耦合并且与如公 共交换电话网(PSTN) 222的陆地线路耦合以满足电路交换要求。通过PCU208, SGSN216和GGSN218到公共或私有网络(因特网)224 (这里一般也称为共享网络基础设施)的连接代表用于具有GPRS能 力的移动设备的数据路径。在扩展为具有GPRS能力的GSM网络中, BSC204也包括分组控制单元(PCU) 208,其连接到SGSN 216来控 制分段、无线信道分配并满足分组交换要求。为了跟踪移动设备的位 置以及电路交换和分组交换管理的可用性,HLR 212在MSC 210和 SGSN216间共享。MSC210控制对VLR214的访问。
0028站台206是固定的收发机站台。站台206和BSC 204 — 起形成了固定的收发机装置。该固定的收发机装置提供了对特定的覆 盖区域(通常称为"小区")的无线网络覆盖。该固定的收发机装置在 其小区中通过站台206发送通信信号到移动设备并且从移动设备接收 通信信号。在其控制器的控制下,该固定的收发机装置通常执行如调 制之类的功能,并且可能地执行信号的编码和/或加密,所述信号是根 据特定的(通常是预定的)通信协议和参数要发送到移动台的信号。 如果需要,该固定的收发机装置类似地解调和可能解码和解密从其小 区中的移动设备IOO接收到的任何通信信号。不同节点间的通信协议 和参数可能变化。例如, 一个节点可以采用不同的调制方案并且以不 同于其他节点的频率来操作。
0029对于注册到特定网络的所有移动设备100,如用户简档 之类的永久配置数据存储在HLR212中。HLR212还包括每个已注册 的移动设备的位置信息,可以对其进行查询来确定移动设备的当前位 置。MSC210负责一组位置区并且将当前位于其所负责的位置区中的 移动设备的数据存储在VLR 214中。此外VLR 214也包括正在访问其 他网络的移动设备的信息。VLR214中的信息包括从HLR212发送到 VLR21'4的部分永久移动设备数据以用于快速接入。通过将附加信息 从远程HLR212节点移动到VLR214,可以减少这些节点间的业务量, 使得可以以更快的响应时间来提供语音和数据服务,并且同时需要使 用更少的计算资源。
0030SGSN 216和GGSN 218是为在GSM中支持GPRS (即
支持分组交换数据)而增加的单元。通过保持跟踪记录每个移动设备100的位置,SGSN216和MSC210具有无线网络200中的类似职责。 SGSN 216也执行安全功能以及网络200的数据业务量的接入控制。 GGSN 218提供与外部分组交换网络的联网连接,并通过网络200中 运行的因特网协议(IP)骨干网连接到一个或更多个SGSN 216。在正 常的操作期间,给定的移动设备100执行"GPRS附着"来获取IP地址 并接入数据服务。由于使用了综合业务数字网(ISDN)地址来路由呼 入和呼出的通话,因此,这通常不在电路交换语音信道中出现。当前, 具有GPRS能力的网络使用私有的、动态分配的IP地址,因此需要连 接到GGSN 218的DHCP服务器220。有许多动态IP分配机制,包括 使用远程用户拨入认证服务(RADIUS)服务器和DHCP服务器的结 合。 一旦GPRS附着完成,就建立了从移动设备100通过PCU208和 SGSN 216到GGSN 218中的接入点节点(APN)的逻辑连接。APN 代表IP隧道的逻辑端点,该IP隧道可以访问直接与因特网兼容的服 务或私有网络连接连接。每个移动设备IOO必须被分配给一个或更多 个APN,并且没有首先执行对授权其使用的APN的GPRS附着的情 况下,移动设备IOO不能交换数据,在这一范围内,APN还代表用于 网络200的安全机制。APN可以被认为与因特网域名相似,如 "myconnection.wireless.com"。
0031一旦GPRS附着完成,就创建了隧道,使用IP分组中支 持的任何协议在标准IP分组中交换所有业务量。这包括如与虚拟专用 网(VPN) —起使用的一些IP安全(IPsec)连接的情况下的IP上的 IP (IP over IP)之类的隧道方法。这些隧道也被称为分组数据协议
(PDP)上下文,网络200中存在有限数量的隧道可用。为了最大化 PDP上下文的使用,网络200将为每个PDP上下文运行空闲定时器来 确定是否缺少活动性。当移动设备IOO不使用其PDP上下文时,可以 撤销该PDP上下文的分配,将该IP地址返回到由DHCP服务器220 管理的IP地址池中。
0032现在参考图4,图4示意了一个示例性配置中的主机系 统的组件的框图。主机系统250典型地是公司的办公室或其他局域网
(LAN),但是例如,在实现方式的变型中,也可以代之以是家庭办公计算机或某些其它私有系统。在图4所示的示例中,主机系统250 被描述为移动设备100的用户所属的组织的LAN。
0033LAN 250包括多个网络组件,由LAN连接器260将其 互相连接。例如,具有用于用户的移动设备100的辅助托架(cradle) 264的用户台式计算机262a位于LAN 250中。移动设备100的托架 264可以通过例如串行端口或通用串行总线(USB)耦合到计算机 262a。其他计算机262b也可以位于LAN 250中,并且每个可以配备 也可以不配备用于移动设备的辅助托架264。托架264帮助从用户计 算机262a加载信息(例如PIM数据、用于促进移动设备100与LAN 250之间的安全通信的私有对称加密密钥)到移动设备100,并且尤其 适用于在初始化移动设备100以进行使用时经常执行的批量信息更 新。下载信息到移动设备100可以包括在交换消息中使用的证书。
0034本领域的技术人员可以理解,用户计算机262a、 262b 典型地也将连接到图4中没有显式示出的其他外围设备。此外,为了 方便说明,图4中只示出了LAN 250的网络组件子集,对于该示例配 置,本领域的技术人员可以理解,LAN250包括图4中没有显式示出 的附加组件。更一般地,LAN250可以代表组织的较大网络(未示出) 的较小部分,并且可以包括不同组件和/或以与图4的示例所示不同的 拓扑来布置。
0035在这个示例中,移动设备100通过无线网络200的节点 202和如服务供应商网络或公共因特网之类的共享网络基础设施224 来与LAN250通信。可通过一个或更多个路由器(未示出)来提供对 LAN 250的接入,并且LAN 250的计算设备可以在防火墙或代理服务 器266之后运行。
0036在实现方式的变型中,LAN 250包括无线VPN路由器 (未示出),以促进LAN 250和移动设备IOO之间的数据交换。无线 VPN路由器的概念在无线产业中是新的,并且意味着VPN连接可以 通过特定的无线网络直接建立到无线设备100。使用无线VPN路由器 的可能性最近才可用,并且当新的因特网协议(IP)版本6 (IPV6) 进入基于IP的无线网络时可以使用。这个新的协议将提供足够的IP地址来为每个移动设备提供专有IP地址,使得可以在任何时候将信息 推送给移动设备。使用无线VPN路由器的优势是,它是现成的VPN 组件,不需要使用独立的无线网关和独立的无线基础设施。VPN连接
可以包括例如传输控制协议(TCP) /IP或用户数据报协议(UDP)
/IP连接来在这个实现方式的变型中直接将消息传送到移动设备100。
0037期望发送给移动设备100的用户的消息首先由LAN 250 的消息服务器268接收。这样的消息可以源自多个源中的任一个。例 如,消息可以由发送者从LAN 250中的计算机262b、从连接到无线 网络200或不同的无线网络的不同无线设备(未示出)、或从不同的计 算设备或其他能发送消息的设备,经由共享的网络基础设施224,并 且例如可能地通过应用服务提供商(ASP)或因特网服务提供商(ISP) 来发送。
0038消息服务器268典型地担当组织中和共享网络基础设施 224上的消息(尤其是电子邮件消息)交换的主要接口。组织中己经 被设置以发送和接收消息的每个用户典型地与由消息服务器268管理 的用户帐户相关联。消息服务器268的一个示例是Mircosoft Exchange 服务器。在一些实现方式中,LAN 250可以包括多个消息 服务器268。消息服务器268也适于提供消息管理之外的附加功能, 例如包括管理与日历和任务列表相关的数据。
0039当消息服务器268接收到消息时,它们典型地被存储到 消息存储单元(未显式示出)中,随后可以从消息存储单元中检索消 息并将其传送给用户。例如,用户的计算机262a上运行的电子邮件客 户端应用可以请求与消息服务器268上存储的该用户的帐户相关的电 子邮件消息。然后,典型地,可以从消息服务器268中检索这些消息, 并将其本地存储到计算机262a上。
0040当操作移动设备100时,用户可能希望将检索到的电子 邮件消息传送到手持设备。移动设备IOO上运行的电子邮件客户端应 用也可以从消息服务器268请求与用户帐户相关的消息。该电子邮件 客户端可以被配置为(通过用户或管理员来配置,可能根据组织的信 息技术(IT)策略)按照用户的指示、以某个预定时间间隔、或者当出现某个预定事件时提出这个请求。在一些实现方式中,向移动设备 100分配其自己的电子邮件地址,当消息服务器268接收到指定寻址
到移动设备100的消息时,将其自动重定向到移动设备100。
0041为了促进移动设备100和LAN 250的组件之间的消息和 与消息相关的数据的无线通信,可以提供多个无线通信支持组件270。 例如,在这个示例实现方式中,无线通信支持组件270包括消息管理 服务器272。消息管理服务器272具体用于提供由移动设备处理的消 息(如电子邮件消息)的管理支持。 一般地,当消息仍然存储在消息 服务器268上时,消息管理服务器272可以用于控制何时、是否以及 如何发送消息到移动设备100。消息管理服务器272也促进在移动设 备100上制作的消息的处理,该消息被发送到消息服务器268以待随 后传送。
0042例如,消息管理服务器272可以监视用户的"邮箱"(例 如,与消息服务器268上的用户帐户相关的消息存储单元)以确定新 电子邮件消息;将用户可定义的过滤器应用于新消息以确定是否或者 如何将该消息中继到用户的移动设备100;压縮并加密新消息(例如, 使用诸如数据加密标准(DES)或三重DES的加密技术)并且经由共 享网络基础设施224和无线网络200将其推送到移动设备100;以及 接收在移动设备100上制作的消息(例如使用三重DES加密的消息), 将所制作的消息解密并解压縮,如果需要,将所制作的消息重新格式 化,使其表现出源自用户的计算机262a,并且将所制作的消息重新路 由到消息服务器268以便传送。
0043消息管理服务器272可以定义(例如由管理员根据IT 策略来定义)并加强与将由移动设备100发送和/或接收的消息相关特 定的属性或限制。这些可能包括例如移动设备100是否可以接收已 加密的和/或己签名的消息、最小的加密密钥大小、发出的消息是否必 须加密和/或签名、以及从移动设备100发送的所有安全消息的拷贝是 否要发送到预定的拷贝地址。
0044消息管理服务器272也可以适于提供其他控制功能,如 仅将存储于消息服务器268的特定消息信息或消息的预定部分(例如"块")推送到移动设备100。例如,当首先由移动设备100从消息服
务器268检索消息时,消息管理服务器272适于仅将消息的第一部分 推送到移动设备100,该部分具有预定大小(例如2KB)。然后,用户 可以请求由消息管理服务器272以类似大小的块将消息的更多部分 (可能多达最大的预定消息大小)传送给移动设备100。
0045相应地,消息管理服务器272实现了更好地控制通信至 移动设备100的数据类型和数据量,并且能够帮助将潜在的带宽或其 他资源的浪费最小化。
0046本领域的技术人员可以理解,消息管理服务器272不需 要在LAN250或其他网络中的独立物理服务器上实现。例如, 一些或 所有与消息管理服务器272相关的功能可以与消息服务器268或LAN 250中的一些其他服务器集成。此外,LAN 250可以包括多个消息管 理服务器272,尤其是在支持大量移动设备的实现方式的变型中。
0047这里描述的实施例一般涉及已编码消息的处理,例如己 加密的电子邮件消息。尽管简单邮件传送协议(SMTP)RFC 822首部、 和多用途因特网邮件扩展(MIME)本体部分可以用于定义不需要编 码的典型电子邮件消息的格式,但是,安全/MIME (S/MIME)—— MIME协议的一种版本可以在己编码消息的通信中(即在安全消息应 用中)使用。S/MIME能够实现端到端的认证和保密性,并且在从消 息的发起者发送消息直到其被解码并被消息接收者读取的时间中保护 数据的完整性和私有性。其他己知的标准和协议可以用于促进安全的 消息通信,例如Pretty Good Privacy (PGP)、 OpenPGP、和其他本 领域己知标准和协议。
0048安全的消息协议(如S/MIME)依靠公开和私有加密密 钥来提供保密性和完整性,并依靠公开密钥基础设施(PKI)来通信 提供认证和授权的信息。使用私有密钥/公开密钥对中的私有密钥进行 编码的数据只能使用该对中的对应公开密钥来解码;使用私有密钥/ 公开密钥对中的公开密钥进行编码的数据只能使用该对中的对应私有 密钥来解码。期望私有密钥信息永远不会成为公开的,而公开密钥信 息可以共享。0049例如,如果发送者希望以加密的形式发送消息给接收者, 则使用该接收者的公开密钥来加密消息,然后,只能使用接收者的私 有密钥进行解密。可选地,在一些编码技术中,产生一次性会话密钥
并用于加密消息体,典型地使用对称加密技术(例如三重DES)。然 后可以使用接收者的公开密钥来加密该会话密钥(例如使用如RSA的
公开密钥加密算法),然后,只能使用接收者的私有密钥来进行解密。 然后,己解密的会话密钥可以用于解密消息体。消息首部可以用于指 定特定的加密方案,必须使用该加密方案来解密该消息。基于公开密 钥密码的其他加密技术可以在实现方式的变型中使用。然而,在每个 这些情形中,只有接收者的私有密钥可以用于实现该消息的解密,并 且按照这种方式可以维持消息的保密性。
0050作为另一示例,发送者可以使用数字签名来对消息进行 签名。数字签名一般包括使用发送者的私有密钥来编码的消息摘要(例 如消息的散列(hash)),然后将其添加到输出消息中。为了在接收消 息时验证消息的数字签名,接收者使用与发送者相同的技术(例如使 用相同的标准的散列算法)来获得所接收的消息的摘要。为了获得所 接收到的消息的匹配的摘要,接收者也可以使用发送者的公开密钥来 将数字签名解码。如果所接收到的消息的摘要不匹配,这暗示消息内 容在传输中已经改变和/或消息不是源自其公开密钥被用于验证的发 送者。数字签名算法以这种方式来设计,即只有知道发送者的私有密 钥的人才能够对签名进行编码,接收者则使用发送者的公开密钥来正 确地解码签名。因此,通过以这种方式来验证数字签名,可以维持发 送者的认证和消息的完整性。
0051可以对已编码消息进行加密、签名、或者同时加密和签 名。在这些操作中使用的公开密钥的真实性是使用证书来验证的。证 书是由认证权威机构(CA)发布的数字文档。证书用于认证用户与其 公开密钥之间的联系,并且实质上提供了用户的公开密钥的真实性的 信任等级。证书包括关于证书持有者的信息,其中证书内容典型地根 据所接受的标准(例如X.509)来格式化。
0052考虑图5,其中示出了证书链300的示例。发布给"JohnSmith"的证书310发布给个体的证书的示例,它可以被称为终端实体 证书。终端实体证书310典型地标识了证书持有者312 (也就是本示 例中的John Smith)和证书的发布者314 (本示例中是ABC),并且包 括发布者的数字签名316和证书持有者的公开密钥318。证书310也 可以包括标识证书持有者的其他信息和属性(例如电子邮件地址、组 织名称、组织的单位名称、位置等)。当个体制作要发送给接收者的消 息时,通常在消息中包括该个体的证书310。
0053证书中所标识的证书持有者也被称为该证书的"主题 (subject)"。从给定的证书持有者的观点,发布给他或她的证书可以 被称为"个人证书",其中该证书典型地包括他的或她的公开密钥。因 此,在图5的示例中,证书310可以被认为是John Smith的个人证书, 而John Smith是证书310的主题。
0054对于可信的公开密钥,其发布组织必须是可信的。可信 的CA (证书权威机构或认证权威机构)与用户的公开密钥之间的关 系可以通过一系列相关的证书(也称为证书链)来表示。可以识别并 跟随该证书链来确定证书的有效性。
0055例如,在图5的示例证书链300中,假定由John Smith 发送的消息的接收者可能希望验证附着到所接收的消息的证书310的 信任状态。例如为了验证接收者的计算设备(例如图4的计算机262a) 的信任状态,获得发布者ABC的证书320,并使用该证书320来验证 证书310是否确实由发布者ABC签名。证书320可能已经存储于接 收者的计算设备上的证书存储单元中,或者可能需要从证书源(例如 图4的轻量级目录访问协议(LDAP)服务器284或一些其他公共或 私有的LDAP服务器)检索。如果证书320已经存储于接收者的计算 设备中,并且该证书己经被接收者指定为可信的,则因为该证书310 链接到己存储的可信的证书,因此其被认为是可信的。
0056然而,在图5的示例中,当验证证书310的信任状态时, 证书330也是需要的。证书330是自签名的(self-signed),被称为"根 证书"。相应地,证书320可以被称为证书链300中的"中间证书";任 何链接到根证书的证书(假定链接到根证书的证书链被确定为用于特定的终端实体证书)可以包括0、 1或多个中间证书。如果证书330
是由可信的源发布的根证书(来自大的认证权威机构,如Verisign或 Entrust),则因为证书310链接到可信的证书,则证书310可以被认为 是可信的。这暗示着消息的发送者和接收者都信任根证书330的源。 如果特定的证书不能连接到可信的证书,则该证书可以被认为是"不可 信的"。
0057证书服务器存储有关证书的信息以及标识已经被撤销的 证书的列表。可以访问这些证书服务器以获得证书并验证证书的真实 性和撤销状态。例如,LDAP服务器可以用于获得证书,在线证书状 态协议(OCSP)服务器可以用于验证证书的撤销状态。
0058标准的电子邮件安全协议典型地促进了非移动计算设备 (例如图4的计算机262a、 262b;远程桌面设备)之间的安全消息传 送。再参考图4,为了可以从移动设备100读取从发送者接收的签名 消息,并将已加密的消息发送给那些发送者,移动设备100适于存储 证书和相关联的其他个体的公开密钥。例如,存储在用户的计算机 262a上的证书可以通过托架264从计算机262a下载到移动设备100。
0059存储于计算机262a上并被下载到移动设备100上的证书 不局限于与个体相关联的证书,而是也可以包括例如发布给CA的证 书。存储于计算机262a和/或移动设备100中的一些证书也可以由用 户显式地指定为"可信的"。相应地,当用户在移动设备IOO上接收到 证书时,可以通过将该证书与移动设备IOO上存储的一个证书进行匹 配来在移动设备IOO上对其进行验证并且将其指定为可信的,或者将 其确定为链接到可信的证书。
0060移动设备IOO也可以适于存储与用户相关联的公开密钥 /私有密钥对中的私有密钥,使得移动设备100的用户可以对在移动设 备100上制作的输出消息进行签名,以及对发送给该用户的、使用用 户的公开密钥加密的消息进行解密。例如,可以通过托架264从用户 的计算机262a下载私有密钥到移动设备100。私有密钥可以在计算机 262a和移动设备IOO间交换,使得用户可以共享用于访问消息的一个 标识和一种方法。0061用户计算机262a、 262b可以获得来自多个源的证书,将 其存储在计算机262a、 262b和/或移动设备(例如移动设备100)上。 例如,这些证书源可以是私有的(例如专用于组织中)或公共的,可 以位于本地或远程,可以从组织内的私有网络或通过因特网访问。在 图4所示的示例中,与组织相关联的多个PKI服务器280位于LAN250 中。PKI服务器280包括用于发布证书的CA服务器282、用于搜索和 下载证书(例如针对组织中的个体)的LDAP服务器284、以及用于 验证证书的撤销状态的OCSP服务器286。
0062例如,用户计算机262a可以从LDAP服务器284检索 证书,该证书可以通过托架264下载到移动设备100。然而,在实现 方式的变型中,移动设备IOO可以直接访问LDAP服务器284 (即本 文中"通过空中"来访问),并且移动设备100可以通过移动数据服务器 288搜索和检索各个证书。类似地,移动数据服务器288适于允许移 动设备100直接查询OCSP服务器286来验证证书的撤销状态。
0063在实现方式的变型中,移动设备只能访问所选择的PKI 服务器280 (例如,只允许从用户的计算机262a、 262b下载证书,而 允许移动设备IOO检查证书的撤销状态)。
0064在实现方式的变型中,只有(如IT管理员例如可能根据 IT策略来指定的)登记到特定用户的移动设备才能够访问PKI服务器 280。
0065其他证书源(未示出)可以包括例如Windows②证书存 储单元,存储在LAN 250上或LAN 250之外的其他安全证书以及智 能卡。
0066现在参考图6,图6是示意了可以由消息服务器(例如 图4的消息服务器268)接收的已编码消息示例的组件的框图,其整 体示为350。已编码消息350典型地包括一个或更多个以下组件首 部部分352、己编码本体部分354、可选地一个或更多个已编码附件 356、 一个或更多个已加密的会话密钥358、签名和与签名相关的信息 360、以及脚注362。例如,首部部分352典型地包括寻址信息,如"至 (To)"、"来自(From)"、和"CC"地址,也可以包括例如消息长度指示符、以及发送者的加密和签名方案标识符。实际的消息内容通常
包括消息体或数据部分354,并可能包括一个或更多个附件356,发送
者可能使用会话密钥来对其进行加密。如果使用会话密钥,则该密钥 典型地使用每个接收者对应的公开密钥为每个期望接收者进行加密,
并且在消息中在358包括该会话密钥。如果对消息进行了签名,则还 包括签名和与签名相关的信息360。例如,这可以包括发送者的证书。
0067图6所示的已编码消息的格式仅作为示例提供,本领域 的技术人员可以理解,已编码消息可以以其他格式存在。例如,根据 所使用的特定消息方案,已编码消息的组件可以以不同于图6所示的 顺序出现,根据已编码消息是否被加密、签名或两者兼有,已编码消 息可以包括更少的、附加的、或不同的组件。
0068这里描述的实施例一般涉及控制移动设备上的消息附件 处理功能的系统和方法。
0069考虑前面描述的示例,其中消息管理服务器分析期望发 送给移动设备的用户的消息,并且提供数据给移动设备,该数据指示 存在一个或更多个附着到该消息的附件。然后,用户可以考虑该数据 (即消息的"附件结构"),并且随后请求指定的附件。尽管这种配置适 合于未加密的消息,但是,如果该消息包括例如已经被发送者加密的 附件时,则很难以这种方式正确处理该消息。
0070例如,消息管理服务器可以接收S/MIME消息并期望对 其进行分析,使其能将标识该消息的附件结构的数据发送给移动设备。 然而,如果己经使用与移动设备的用户相关联的公开密钥对整个消息 的内容进行了加密,则典型地该消息管理服务器不能解密并分析该消 息的内容,这是因为其不拥有用户的私有密钥,该私有密钥通常只在 移动设备上可用。
0071更具体地,由于己加密消息的内容一般作为单个己加密 块呈现给消息管理服务器,因此消息管理服务器甚至不能确定该消息 是否包括附件。可以要求消息管理服务器将整个己加密块转发到移动 设备以用于进一步的处理,而不需要首先确定该消息的附件结构。
0072相应地,与附件相关联的数据可能不经意地被发送到移动设备,但是,通常希望(例如出于带宽的考虑)只发送针对用于指 定请求的那些附件的数据。
0073此外,因为对于能发送给移动设备的给定消息的数据量 是有限制的,所以移动设备可能甚至不能以接收整个己加密块来进行 处理以便其自己检索附件,其中典型地在接近消息的末尾提供该附件。
0074解决这些问题中的至少一些问题的一个选择包括提供向
远程服务器(例如消息管理服务器)提供移动设备用户的私有密钥的 拷贝,使得该远程服务器可以对要发送给用户的消息进行解密,并且 以已知的方式标识要提供给用户的这样的消息的附件结构。然而,因 为这将包括使用户放弃私有密钥的控制,所以与这样的选择相关联的 安全风险一般被认为是不利的。此外,在一些环境中,简单地,私有 密钥不能被发送给服务器。例如,如果该密钥存储于智能卡上,则不 能从物理卡中对其进行拷贝。
0075如参考图6所注意到的,已加密的S/MIME消息、或例 如己加密的PGP/MIME消息,可以包括会话密钥,己经使用所期望的 消息接收者的公开密钥对该会话密钥进行加密。使用该会话密钥来对 该消息的本体和附件进行加密。
0076如果这样的已加密消息寻址到移动设备的用户,并且移 动设备从如消息管理服务器的远程服务器接收该消息,则该移动设备 可以使用该用户的私有密钥来解密该消息以获得会话密钥。由于会话 密钥典型地在接近消息的起始处提供,即使例如该移动设备仅接收整 个消息的一小部分,这也可能可以在多数情况下完成。然后,该会话 密钥可以被发送回该消息管理服务器,该消息管理服务器一般能够访 问整个原始消息。由于现在己经提供会话密钥,则消息管理服务器可 以继续解密消息内容、确定该消息的附件结构(例如由消息的附件名 称来标识的附件的数目及其类型),并且相应地将该附件结构发送给该 移动设备。在考虑到该消息地附件结构之后,该用户可以请求一个或 更多个指定的附件。例如,消息管理服务器或附件服务器可以响应于 该请求来提供附件数据(例如未加密的文本和图像)给移动设备。
0077通过仅向消息管理服务器提供用于给定消息的已解密的会话密钥而不是用户的私有密钥,可以提供更大的安全性,这是因为 该会话密钥只能用于解密特定消息的内容。
0078然而,用户可以不希望由移动设备接收(即整体或部分 地接收)的所有消息的会话密钥在所有的情况下都被发送到远程服务 器。根据具体消息、以及用户可能期望附属于该消息的附件,用户可 能希望控制是否应当将该消息的已解密的会话密钥提供给远程服务 器。
0079这里描述的实施例具体地涉及一种系统和方法,其中消 息的会话密钥仍由移动设备发送到远程服务器(例如消息管理服务 器),使得远程服务器可以处理该消息并确定该消息的附件结构,但是, 该用户能够控制多经常和/或在哪些情况下为此目的将该已解密的会 话密钥提供给远程服务器。
0080例如,根据本公开的各种实施例,移动设备的用户、或 管理员(例如通过安全策略)能够通过设置附件处理控制来标识合适 的附件处理控制模式,从而控制与这样附件处理功能相关联的安全等 级。所标识的模式确定在何种条件下将该己解密的会话密钥发送到远 程服务器。
0081在一个较宽的方面,提供了用于控制移动设备上的消息 附件处理功能的系统和方法,所述方法包括在移动设备处从一个或 更多个远程服务器(例如消息管理服务器)接收消息(例如S/MIME 消息)的至少一部分,所述消息包括已加密的消息数据,所述消息的 所述至少一部分包括与所述消息相关联的已加密的会话密钥;确定附 件处理控制标识了多个附件处理控制模式中的哪一个,所述多个附件 处理控制模式包括第一附件处理控制模式(例如"自动"模式),所述第 一附件处理控制模式允许在所述移动设备处接收到所述消息的所述至 少一部分之后,在无需用户干预的情况下,将已解密的会话密钥从所 述移动设备发送到一个或更多个远程服务器;以及对所述已加密的会 话密钥进行解密,以确定己解密的会话密钥,而且,如果所述附件处 理控制标识了所述第一附件处理控制模式,则将已解密的会话密钥发 送到所述一个或更多个远程服务器。0082在另一个较宽的方面,多个附件处理控制模式还包括第 二附件处理控制模式(例如"手动"模式),所述第二附件处理控制模式 允许在移动设备处接收到所述消息的所述至少一部分后, 一旦在移动 设备处接收到发送已解密的会话密钥的用户输入,就将已解密的会话
密钥从所述移动设备发送到一个或更多个远程服务器;以及其中,所
述方法还包括对所述已加密的会话密钥进行解密,以确定已解密的 会话密钥,而且,如果所述附件处理控制标识了所述第二附件处理控 制模式,则一旦在所述移动设备处接收到发送已解密的会话密钥的用 户输入,就将已解密的会话密钥发送到一个或更多个远程服务器。
0083在另一个较宽的方面,其中,多个附件处理控制模式还
包括第三附件处理控制模式(例如"无效"模式),所述第三附件处理控 制模式防止已解密的会话密钥从移动设备发送到一个或更多个远程服
务器;以及其中,所述方法还包括如果所述附件处理控制标识了所
述第三附件处理控制模式,则防止将已解密的会话密钥发送到一个或 更多个远程服务器。
0084相应地,在一个示例实施例中,可以允许用户设置附件 处理控制,以标识预先标识的附件处理控制模式。例如,可以提供"自 动"模式。如果选择这种模式,则移动设备将自动解密其接收(整体或 部分地)的任何己加密消息的会话密钥,并且将已解密的会话密钥发 送给一个或更多个远程服务器,以获取该消息的附件结构。仅当选择 这种模式时,该移动设备在接收到已加密的消息后自动请求该附件结 构(不需要用户干预)。相应地,这种模式下的操作需要最少的用户干 预量,但是也可能增加用户的安全风险。
0085作为另一个示例,可以提供"手动"模式。如果选择这种 模式,则仅在用户手动请求附件结构后,移动设备才将己解密的会话 密钥发送到一个或更多个远程服务器以获取消息的附件结构。例如, 用户可以打开已加密消息的第一部分并且怀疑该消息具有附件(例如 基于移动设备已经解密的消息文本,或者基于消息首部中所标识的消 息类别)。然后,用户可以显式地请求该消息的附件结构(例如通过选 择由消息应用提供的对应的菜单项)。这种模式下的操作包括一些用户干预,但是向用户提供了机会来确定向远程服务器提供对消息的访问 是否可能涉及安全风险。
0086作为另一个示例,可以提供"无效"模式。如果选择这种 模式,则移动设备将不提供已解密的会话密钥给一个或更多个远程服 务器以获得该附件结构。这种模式下的操作从用户的角度来看是最安 全的,这是因为不向远程服务器提供消息的已解密的会话密钥,并且 远程服务器相应地不能访问该消息的内容。然而,用户可能不能查看 已加密的消息附件,尤其是在移动设备没有配备本机附件查看器的情 况下。
0087在实施例的变型中,(例如管理员)可以根据管理移动 设备的使用的安全策略(例如IT策略)来设置附件处理控制。
0088在另一个较宽的方面,移动设备被配置为使得将附件处 理控制设置为标识多个附件处理控制模式中的己(正确)配置子集中 的一个。
0089在一个示例实施例中,该已配置子集是根据管理移动设 备的使用的安全策略来配置的。例如,管理员可能希望控制附件处理 控制模式,使其在移动设备上可用(例如用于由用户来设置)。可以提 供IT策略来将可用的附件处理控制模式限制为仅"手动"或"无效"中的 一个。在这种方式中,管理员可以确保在没有用户的显式授权的情况 下,决不会自动将已解密的会话密钥发送给远程服务器。
0090在另一个较宽的方面,所述方法还包括.'通过对所述消 息应用一个或更多个过滤准则来确定是否满足例外条件,其中,所述 设备被配置为将所述附件处理控制设置为基于是否满足例外条件来标 识附件处理控制模式。
0091在一个示例实施例中,另一种附件处理控制模式可以定 义为"过滤的自动"操作模式。例如,用户或管理员可以定义一个或更 多个过滤准则(例如规则),使得除非满足预定例外条件集合中的至少 一个(在这种情况下该移动设备代之以根据不同的模式(例如"手动") 来操作),该移动设备根据"自动"操作模式来操作。
0092例如,例外条件可能包括这样的规则即消息的一个或更多部分包括预先标识的字。如果满足该条件,则将不会自动获取附 件结构,并提示用户来确认会话密钥的发送。作为另一个示例,例外 条件可能包括这样的规则即消息源自预先标识的发送者。如果满足 该条件,则将不会自动获取附件结构,并提示用户来确认会话密钥的 发送。作为另一个示例,例外条件可能包括这样的规则即消息与预 先标识的类别(例如可以针对与用户相关联的组织来定义)相关联。 如果满足该条件,则将不会自动获取附件结构,并提示用户来确认会 话密钥的发送。
0093相反,在实施例的变型中,可以定义一个或更多个规则, 使得仅当满足预定条件集合中的至少一个时,移动设备才将根据"自 动"操作模式来操作。
0094在实施例的变型中,过滤准则可以与每个不同的附件处
理控制模式相关联,使得移动设备根据特定操作模式来操作,其中该 特定操作模式取决于针对给定模式而满足的过滤准则。
0095在另一个较宽的方面,所述方法还包括接收标识消息的 附件的附件请求;将所述附件请求从移动设备发送到一个或更多个远 程服务器(例如包括附件服务器);所述一个或更多个远程服务器被配 置为从所述一个或多个远程服务器使用已解密的会话密钥来解密的消 息数据中检索所标识的附件,并且将与附件相关联的数据以解密形式 发送到移动设备;以及移动设备以解密形式接收与所述附件相关联的 数据。
0096下面将更详细地描述各种实施例的这些或其他方面和特性。
0097现在参考图7,示意了根据至少一个实施例的控制移动 设备上的消息附件处理功能的方法的流程图整体示为400。下面描述 的关于方法400的一些特征的更多细节已经在本说明书的前面描述 过。
0098方法400在移动设备上执行(例如图1的移动设备100)。 在一个实施例中,至少一些动作是由消息应用来执行的,该应用在移 动设备在执行并位于该移动设备上。该消息应用不需要是独立的应用,该消息应用的功能可以在移动设备上执行并位于移动设备上的一个或 更多个应用中实现。
0099在410,设置附件处理控制,以标识多个附件处理控制
模式中的一个。该附件处理控制由用户设置、或者根据管理移动设备
的使用的安全策略(例如由管理员根据IT策略来设置)。
00100在一个示例实施例中,多个附件处理控制模式可能包 括"自动"模式、"手动"模式、以及"无效"模式,其属性如本说明书之 前所描述。在一些实施例中,多个附件处理控制模式可能包括如这里 描述的"过滤的自动"模式。
00101这些模式的名称仅仅是以示例的方式提供的,本领域 的技术人员能够理解,可以在任何给定的实现方式中使用各种变型。 本领域的技术人员也可以理解,这些模式仅以示例的方式提供,并且 在任何给定的实现方式中提供的模式可以包括这些模式中的全部、一 些或一个也不包括,并且可以包括一个或更多个除了这里所描述的之 外的模式。
00102在420,移动设备接收已加密消息的至少一部分。该部 分包括使用与该移动设备的用户相关联的公开密钥(例如由该消息的 发送者)加密过的会话密钥,所述用户是该消息的期望接收者。
00103作为示例,在420接收的数据可以以一个或更多个数 据块来提供,如由消息管理服务器(例如图4的消息管理服务器272, 其已经从图4的消息服务器268接收己加密消息)发送给该移动设备 一样。
00104在430,在移动设备上对在420所接收的部分中的己加 密的会话密钥进行解密。在实施例的变型中,如下面将要进一步描述 的,直到对由附件处理控制所标识的附件处理控制模式的确定做出后, 才执行该操作。此外,在实施例的变型中,根据由附件处理控制所标 识的特定附件处理控制模式,可以不执行在430所描述的动作。
00105在440,确定附件处理控制模式是否被标识为"自动"模 式。如果是,则该方法的流程自动继续到450。
00106在450,在附件结构请求中,将在430中所解密的会话密钥发送给远程服务器(例如图4的消息管理服务器272)。
00107当在440中确定附件处理控制模式标识为"自动"模式 时,在发送已解密的会话密钥之前,移动设备不提示用户手动授权将 已解密的会话密钥发送给远程服务器。在420接收消息部分并在320 解密会话密钥之后,在不需要用户干预的情况下,自动发送包括己解 密的会话密钥(以及标识消息的数据和可能的其他数据)的附件结构 请求。
00108在450中将已解密的会话密钥发送到远程服务器之后, 在460,从远程服务器接收标识消息的附件结构的数据。然后在470 在移动设备上输出该附件结构。
00109在操作中,如果在接收附件结构之后,移动设备接收 到请求该消息的指定附件的用户输入,则执行480到500所描述的动 作。在480,移动设备接收标识一个或更多个附件的附件请求作为输 入。然后,在490,将该附件请求从移动设备发送到远程服务器,例 如附件服务器。如果该远程服务器需要再次解密该消息以提取与所请 求的附件相关联的数据,则该附件请求也可以包括针对该消息的会话 密钥。
00110可以由消息管理服务器来提供附件服务器的功能。可选 地,可以在不同的设备上提供附件服务器,根据系统配置,可以经由 消息管理服务器来路由附件请求。
00111在500,响应于用户请求,在移动设备上从远程服务器 接收与该附件相关联的数据,并且该数据可以依所需在移动设备上作 为输出来呈现。在500所接收的数据典型地是对设备友好的,并且可 以作为文本和图像来提供,该文本和图像可以由位于该移动设备上并 且在该移动设备上执行的消息应用来处理。
00112再次参考440,如果确定该附件处理控制模式未标识为 "自动"模式,则该方法的流程进行到510。
00113在510,确定该附件处理控制模式是否标识为"手动"模 式。如果是,则该方法的流程进行到520,在520,该移动设备提示用 户确认是否应当将在430中解密的会话密钥发送到消息管理服务器。可选地,在实施例的变型中,该设备可以给用户提供菜单项来触发会 话密钥的发送,而不是每次接收到己加密消息都显式地提示用户。
00114如在530所确定的,如果响应于该提示,接收将已解密 的会话密钥发送到消息管理服务器的指示作为移动设备的输入,或者 可选地,如果用户选择激活所提供的菜单项,则如前面所描述的,该
方法的流程进行到450。然而,如果响应于该提示,未接收将已解密
的会话密钥发送到消息管理服务器的指示作为该移动设备的输入(即 用户拒绝允许发送针对该特定消息的已解密的会话密钥),或者可选 地,如果用户没有选择激活所提供的菜单项,则如下面所述,该方法
的流程代之以进行到540。
00115再次参考510,如果确定该附件处理控制模式未标识为 "手动"模式,则该方法的流程进行到540。
00116在540,以己知的方式继续处理在420接收的消息(或 者其部分)。在本实施例中,如果执行540中的动作,则该附件处理控 制模式被视为标识为"无效"模式。显然,不将己解密的会话密钥发送 到消息管理服务器。相应地,如果未向该移动设备发送该消息的附件, 则该移动设备将不能从消息管理服务器请求附件数据。即使该消息的 附件已经被发送给该移动设备,当该移动设备没有配备附件查看器时, 该移动设备也不能在该移动设备上处理该附件。
00117现在参考图8,示意了根据至少一个其他的实施例的控 制移动设备上的消息附件处理功能的方法的流程图整体示为400b。参 考图7的方法400,关于方法400b的一些特征的细节较早在本说明书 中描述过。
00118方法400b与方法400类似,除了其涉及提供附加的"过 滤的自动"模式的实施例。这个模式的名称仅以示例的方式提供,本领 域的技术人员可以理解,在任何给定的实现方式中都可以采用变型。
00119如前面所注意到的,用户或管理员可以定义过滤准则(例 如规则),使得移动设备根据"自动"模式操作进行操作,除非满足多个 预定例外条件中的至少一个。如果满足例外条件,则移动设备将根据 不同的模式(例如"手动")来操作。00120在一个示例实施例中,如果在400确定该附件处理控 制模式未标识为"自动"模式,则方法400b的流程代之以进行到442。
00121在442,确定该附件处理控制模式是否标识为"过滤的 自动"模式。如果是,则该方法的流程进行到444,在444,确定是否 满足至少一个预定例外条件。例如这将需要确定消息的一个或更多个 部分中是否包括预先标识的字。作为另一个示例,可以确定该消息是 否源自预先标识的发送者。作为另一个示例,可以确定该消息是否与 预先标识的类别相关联(例如可以针对与该用户相关联的组织来定 义)。可以应用这些例外条件的组合。
00122如果确定满足例外条件,则该方法的流程进行到520, 在520,如前面参考方法400所描述的,移动设备提示用户确认是否 可以将在430中解密的会话密钥发送到消息管理服务器。如果确定不 满足任何例外条件,则如前面参考方法400所描述的,该方法的流程 代之以进行到450。如关于方法400所注意到的,该设备可以向用户 提供菜单项来触发会话密钥的发送,而不是每次接收到已加密消息都 显式地提示用户。
00123再次参考442,如果确定该附件处理控制模式未标识为 "过滤的自动"模式,则如前面参考方法400所描述的,该方法的流程 进行到510。
00124在图8中所标识而上面关于图8未显式描述的其他动 作的细节较早在关于图7的方法400的说明书中的部分描述过。类似 的动作以类似的参考标号来标识。
00125在实施例的变型中,可以定义一个或更多个规则,使 得仅当满足预定条件集合中的至少一个时,该移动设备才根据"自动" 操作模式来操作。
00126本领域的技术人员可以理解,方法400和方法400b的
特定动作可以重复进行。例如,当移动设备接收另一个消息时,420 到500中所描述的动作可以重复进行。作为另外的示例,当该附件处 理控制被设置为不同的附件处理控制模式时,410中描述的动作也可 以重复进行。00127根据这里描述的任何实施例的控制消息附件处理功能 的方法可以作为存储于计算机可读介质上的可执行的软件指令来提 供,所述介质可以包括传送类型的介质。
00128如这里所使用的,"和/或"一词旨在代表包括性的或。 即"X和/或Y"意为X或Y或两者兼有。此外,"X、 Y、禾口/或Z"应意 为X或Y或Z或其任意组合。
00129本公开参考了多个实施例。然而,本领域的技术人员 可以理解,在不被脱离所附权利要求所限定的本发明的范围的情况下, 可以做出其他变型和修改。
权利要求
1、一种用于控制移动设备(100)上的消息附件处理功能的方法,所述方法包括在移动设备(100)处从一个或更多个远程服务器(272)接收(420)消息的至少一部分,所述消息包括已加密的消息数据,所述消息的所述至少一部分包括与所述消息相关联的已加密的会话密钥;确定(440、442、510)附件处理控制标识了多个附件处理控制模式中的哪一个,所述多个附件处理控制模式包括第一附件处理控制模式,所述第一附件处理控制模式允许在所述移动设备处接收到所述消息的所述至少一部分之后,在无需用户干预的情况下,将已解密的会话密钥从所述移动设备发送到一个或更多个远程服务器;以及对所述已加密的会话密钥进行解密(430),以确定已解密的会话密钥,而且,如果所述附件处理控制标识了所述第一附件处理控制模式,则将已解密的会话密钥发送(450)到所述一个或更多个远程服务器(272)。
2、 如权利要求1所述的方法,还包括从一个或更多个远程服 务器(272)接收(460)标识所述消息的附件结构的数据,并提供(470) 所述附件结构作为输出。
3、 如权利要求1或2所述的方法,其中,所述多个附件处理控 制模式还包括第二附件处理控制模式,所述第二附件处理控制模式允 许在所述移动设备(100)处接收到所述消息的所述至少一部分后,一 旦在所述移动设备(100)处接收到发送己解密的会话密钥的用户输入, 就将已解密的会话密钥从所述移动设备(100)发送到一个或更多个远 程服务器(272);其中,所述方法还包括对所述己加密的会话密钥 进行解密(272),以确定已解密的会话密钥,而且,如果所述附件处 理控制标识了所述第二附件处理控制模式,则一旦在所述移动设备(IOO)处接收到发送己解密的会话密钥的用户输入,就将已解密的会 话密钥发送(450)到一个或更多个远程服务器(272)。
4、 如权利要求3所述的方法,其中,所述多个附件处理控制模 式还包括第三附件处理控制模式,所述第三附件处理控制模式防止已解密的会话密钥从所述移动设备(100)发送到一个或更多个远程服务器(272);其中,所述方法还包括如果所述附件处理控制标识了所 述第三附件处理控制模式,则防止将已解密的会话密钥发送到一个或更多个远程服务器(272)。
5、 如之前任一权利要求所述的方法,其中,所述附件处理控制 是根据在所述移动设备(100)处接收到的用户输入来设置的。
6、 如之前任一权利要求所述的方法,其中,所述附件处理控制 是根据管理所述移动设备(100)的使用的安全策略来设置的。
7、 如之前任一权利要求所述的方法,其中,所述附件处理控制 被设置为标识多个附件处理控制模式中的已配置子集中的一个。
8、 如权利要求7所述的方法,其中,所述己配置子集是根据管 理所述移动设备(100)的使用的安全策略来配置的。
9、 如之前任一权利要求所述的方法,还包括通过对所述消息 应用一个或更多个过滤准则来确定(444)是否满足例外条件,其中, 所述移动设备(100)被配置为将所述附件处理控制设置为基于是否满 足例外条件来标识附件处理控制模式。
10、 如权利要求9所述的方法,其中,所述通过对所述消息应用 一个或更多个过滤准则来确定(444)是否满足例外条件至少包括以下 之一确定消息的一个或更多部分是否包括预先标识的字;确定消息 是否源自预先标识的发送者;以及确定消息是否与预先标识的类别相 关联。
11、 如权利要求2或者从属于权利要求2时的权利要求3至10 中的任一项所述的方法,还包括接收(480)附件请求,所述附件请求标识消息的附件; 将所述附件请求从移动设备发送(490)到一个或更多个远程服 务器(272);以及在移动设备(100)处以解密形式接收与所述附件相关联的数据 (500)。
12、 如权利要求1至11中任一项所述的方法,其中,所述消息是安全多用途因特网邮件扩展"S/MIME"消息或Pretty Good Privacy "PGP" MIME。
13、 一种计算机可读介质,包括在计算设备(100)的处理器上 可执行的指令,以使得计算设备(100)执行如之前任一权利要求所述 的方法的步骤。
14、 一种移动设备(100),至少包括处理器和存储器,其中,所 述移动设备(100)被配置为执行应用模块,所述应用模块被编程为使 得所述移动设备(100)执行权利要求1至12中任一项所述的方法的步骤o
15、 一种用于控制移动设备(100)上的消息附件处理功能的系 统,所述系统包括移动设备(100)和一个或更多个远程服务器(272), 其中,所述移动设备(100)至少包括处理器(102)和存储器(106), 所述移动设备(100)被配置为执行应用模块,所述应用模块被编程为 使得所述移动设备(100)执行权利要求1至12中任一项所述的方法 的步骤。
16、 如权利要求15所述的系统,其中,所述一个或更多个远程 服务器(272)中的至少一个被配置为使用从所述移动设备(100) 接收的已解密的会话密钥来解密已加密的消息数据,确定所述消息的 附件结构,并且将标识所述消息的附件结构的数据发送给所述移动设 备(100)。
17、 如权利要求15或16所述的系统,其中,所述一个或更多个 远程服务器(272)中的至少一个包括消息管理服务器。
18、 如权利要求16或从属于权利要求16时的权利要求17所述 的系统,其中,所述一个或更多个远程服务器(272)中的至少一个被 配置为从使用己解密的会话密钥来解密的消息数据中检索由用户标 识的附件,并且将与所述附件相关联的数据以解密形式发送到所述移 动设备(100)。
19、 如权利要求15至18中任一项所述的系统,其中,所述一个 或更多个远程服务器中的至少一个包括附件服务器。
全文摘要
这里描述了一种用于控制移动设备上的消息附件处理功能的系统和方法。可以设置附件处理控制来标识所选择的多种附件处理控制模式中的一种。根据所标识的附件处理控制模式,可以或不可以自动向远程服务器发送针对附件结构的请求,所述针对附件结构的请求包括已加密消息的已解密的会话密钥。这可以向用户提供更多对在确定消息的附件结构时远程服务器可以访问的已加密消息的内容的控制。
文档编号H04W4/12GK101420664SQ20081018425
公开日2009年4月29日 申请日期2008年9月23日 优先权日2007年9月24日
发明者迈克尔·G·柯卡普, 迈克尔·K·布朗, 迈克尔·S·布朗 申请人:捷讯研究有限公司