NSIDE electronics、Infineon TechnologiesAG等制得的并且已经由EMVCo列出为可用于欧洲万事达-VISA(EMV)信用卡的合格产品的那些SPU。备选地,SPU(104)与用于EMV信用卡的合格产品的等同之处在于,它们符合由EMVCo或其他标准组织制定的相似的安全需求,并且SPU(104)还可实现第七层应用防火墙(layer seven applicat1n firewall)。在某些实施方案中,证书存储模块(100)可以是硬件安全模块。
[0062]如上文所提到的那样,本发明的实施方案提出,证书存储模块(100)通过多种方式耦接到移动设备上。例如,在本发明的某些实施方案中,证书存储模块(100)可固化在移动设备的硬件中。证书存储模块(100)可设置为位于移动设备的印刷电路板上的一个或多个集成电路,并且可与移动设备的通信总线进行通信。
[0063]在另一实施方案中,证书存储模块(100)可设于或集成到与移动设备耦接并进行通信的通信部件中。通信部件例如可以是通用集成电路卡(UICC),例如订户身份模块(SIM)等。证书存储模块(100)可与通信部件的电触点进行电子通信,以使得当通信部件耦接到移动设备并与移动设备进行电子通信时,证书存储模块(100)也能与移动设备进行通
?目Ο
[0064]通过将证书存储模块(100)耦接到移动设备上,根据本发明的实施方案的证书存储模块(100)可接收经由移动设备的用户接口的用户输入,并凭借移动设备通过移动网络与远程访问服务器进行通信。
[0065]在本发明的另一实施方案中,证书存储模块可设于标签中。在本发明的这种实施方案中,证书存储模块(100)的移动设备接口(108)可耦接到与移动设备(例如,移动电话)配合的一组电触点(142)上,并可提供可包含时钟信号及一个或多个数据输入/输出(1/0)信号的一组信号,以在PPU(102)与移动设备之间发送并接收命令及信息。证书存储模块(100)可包括耦接到与通信部件(例如,通信卡(例如,S頂卡))配合的一组电触点
(144)上的通信设备接口(109),并提供可包含时钟信号及一个或多个数据输入/输出(1/0)信号的一组信号,以在PPU(102)与通信部件之间发送并接收命令及信息。
[0066]图2A示出了证书存储标签(150)的立体图,其中可设有根据本发明的实施方案的证书存储模块(100)。证书存储标签(150)可附接到移动设备的通信部件上。示例性的通信部件包括订户身份模块(SIM)卡、智能卡或记忆卡。示例性的移动设备包括移动电话、平板电脑、笔记本电脑、个人数字助理等。在所示的实施方案中,通信部件为迷你SIM卡(152)。
[0067]图2B示出了图2A的证书存储标签(150)的截面图。标签(150)包含设置在标签
(150)的顶面上的用于与移动设备配合的第一电触点组(154),以及设置在标签(150)的底面上的用于与S頂卡(152)的电触点(156)配合的第二电触点组(158)。本发明的实施方案还提出,标签(150)限制为在一个S頂卡(152)上使用。例如,标签(150)可与具有特定的ICCID或頂SI码的S頂卡(152)兼容。这意味着,标签(150)不能从其S頂卡(152)上移除并设置到另一个S頂卡上。备选地,标签(150)可限制针对特定移动网络运营商的S頂卡,或可限制针对对应于特定MSISDN的SIM卡。应当理解的是,用语“设于(或设置于/位于)”包括本发明的那些将证书存储模块(100)设置在证书存储标签(150)的外部表面上或与之相似的实施方案。
[0068]根据上文所述的多个实施方案的证书存储模块(100)可相应地配置为拦截那些通过移动通信网络从远程访问服务器发送给移动设备的、具有数字证书请求的消息。证书存储模块(100)可由此配置为通过将由用户凭借电子设备输入的密码与所存储的密码偏移量进行比较而获取用户验证。如果密码与偏移量相对应,那么证书存储模块(100)配置为从SPU(104)向PPU(102)释放出请求的数字证书,以用于从该处与远程访问服务器进行通信。
[0069]图3示出了根据本发明的实施方案的系统(300)的示意图。系统(300)包括多个移动设备(312,314,316)以及多个通信设备(322,324,326),该多个移动设备及多个通信设备中的每一个均由系统(302,304,306)的多个用户中之一来操作。该系统还包括其中存储有至少一个用户档案数据库(342)的远程访问服务器(340)。多个通信设备(322,324,326)以及多个移动设备(312,314,316)均与远程访问服务器(340)进行通信。这种通信可通过加密通道来执行,该加密通道例如可以是互联网协议安全(IPSec)、安全套接层(SSL)、传输层安全(TLS)或安全壳(SSH)加密通道。
[0070]多个移动设备(312,314,316)中的每一个均可以是任何适合的移动设备,该任何适合的移动设备的例子包括移动电话、平板电脑、个人数字助理、智能电话、笔记本电脑等。多个移动设备中的每一个各自具有与其耦接的证书存储模块(332,334,336)。
[0071]在如图3所示的系统(300)的实施方案中,多个证书存储模块中的每一个均设于附接或耦接到相应的移动设备的通信部件上的证书存储标签中。然而,从其他实现方式中可以看到,证书存储模块直接设于移动设备中、设于移动设备的SIM卡中等情况。移动设备(312,314,316)中的每一个均可通过该移动设备的通信地址唯一性而被寻址到。
[0072]本发明的实施方案提出,可在移动设备(312,314,316)中的每一个上设置移动软件应用程序,其允许用户与耦接到该移动设备上的证书存储模块(332,334,336)配合工作。软件应用程序可提供:用户接口,以使待与存储在证书存储模块(332,334,336)中的偏移量进行比较的密码能便于输入到移动设备(312,314,316)中;列表,用户可从其中选定数字证书;数字证书请求的通知等。用户接口可包含菜单,据此菜单可初始化这些通信中的至少某些项。本发明的实施方案还提出,这种接口由S頂应用工具包协议(通常称作为STK协议)方式等提供。
[0073]示例性的通信设备(322,324,326)包括台式电脑、笔记本电脑、移动电话、平板电脑或任何其他适合的通信设备。通信设备(322,324,326)中的每一个至少配置为发送并接收数据消息,并向远程访问服务器(340)请求数字证书。通信设备(322,324,326)中的每一个还可配置为对数据消息进行数字式签署或加密。
[0074]用语“数据消息”可包括例如选自以下群组中的任何数字文件:电子邮件或其他数字消息;数字图像;计算机文档;计算机文件夹或目录;计算机程序等。
[0075]本发明的实施方案提出,移动设备(例如,312)以及通信设备(例如,322)为相同的设备。例如,用户(例如,302)可使用具有与其耦接的证书存储模块(332)的单个设备来向远程访问服务器(340)请求数字证书,授权从证书存储模块(332)释放数字证书,以及接收数字证书。
[0076]远程访问服务器(340)为服务器计算机,该服务器计算机至少配置为从通信设备(例如,322)端接收数字证书请求,并查询数据库以识别与该通信设备(322)相关联的证书存储模块(332)或移动设备(312)的通信地址。远程访问服务器(340)还配置为通过移动设备(312)并使用通信地址来向证书存储模块(332)请求数字证书,并随后从证书存储模块(332)处接收数字证书。随后,远程访问服务器(340)配置为将数字证书传输给通信设备(322)。远程访问服务器(340)与证书存储模块(332,334,336)之间的通信可通过与该证书存储模块(332,334,336)相对应的移动设备(312,314,316)来进行。数字证书请求会被发送给移动设备(例如,312),并且由其中的证书存储模块(332)拦截。远程访问服务器可另外设置有路由功能,以将从通信设备处接收的数字证书请求引导至相应的证书存储模块。备选地,这种路由功能可由独立的路由服务器或路由目录提供。
[0077]证书存储模块(332,334,336)中的每一个均包括SPU以及PPU,并且配置为能安全地存储一个或多个数字证书。证书存储模块(332,334,336)还配置为从远程访问服务器(340)处接收数字证书请求。证书存储模块(332,334,336)配置为通过耦接有证书存储模块的移动设备(312,314,316)来请求并接收用户授权。在成功授权之后,证书存储模块(例如,332)配置为将相关的数字证书传送给远程访问服务器(340)。证书存储模块(332,334,336)中的每一个均可通过与其相关联的移动设备(312,314,316)所对应的通信地址而被寻址到。
[0078]图3还示出了认证中心(350),其与远程访问服务器(340)进行通信并配置为生成并确认数字证书。
[0079]在本发明的某些实施方案中,证书存储模块(332,334,336)可通过与其耦接的移动设备(312,314,316)直接与相应的通信设备(322,324,326)进行通信。这种配置允许数字证书在不经由远程访问服务器传输的情况下,就能通过与其耦接的移动设备(312,314,316)从证书存储模块(332,334,336)直接发送给相应的通信设备(322,324,326)。
[0080]图4A示出了图3所示的系统(300)的使用情况,其中,用户(402)在该系统上进行注册。获得了证书存储模块(432)并想要使用他或她的证书存储模块(432)来数字式签署和/或加密他或她的电子邮件或其他数据消息的用户(402)在远程访问服务器(440)上注册(470)他或她的证书存储模块(432)的证书存储标识符,以及与该用户的证书存储模块(432)相关联的移动设备的通信地址。
[0081]远程访问服务器(440)由此将该标识符存储(471)在用户档案数据库中。除此之夕卜,用户还在远程访问服务器(440)上确认他或她想要发送并接收数字式加密和/或签署电子邮件的电子邮件地址,用户想要发送并接收数字式加密和/或签署电子邮件的意愿也存储在用户档案数据库中。远程访问服务器(440)由此允许用户向参与的认证中心(450)请求数字证书,或允许用户使用预先存在