具有无线网络域的安全无线电子商务系统的制作方法

专利名称：具有无线网络域的安全无线电子商务系统的制作方法
技术领域：
本发明涉及安全电子商务发布和销售，具有以一种比以前更简单、更快速和更廉价的方法提供软件增强和新特征的能力。安全电子商务把三个重要功能结合在一起可重编程软件或其它内容(也通称为“产品”，包括服务)；无线数据服务；和安全(加密&验证)。
背景技术：
安全电子商务使用电话中已经可用的无线数据服务的便利性为客户提供一种在它们的电话中增加或改变特征的方法。而且，客户可以在几分钟内实现这些目的，适于客户的家庭或商务使用。
安全电子商务提供了很多优点，其中包括用于软件专用特征的更简便的发布、销售和收入收取；灵活和可升级的电话平台一这减小了过时；防止服务窃取和克隆的能力；在软件修补程序更新的情况下减小担保成本；无线重编程的便利性。

发明内容
在一个方面，本发明提供一种在无线电子商务系统中进行交易的方法，其中该系统包括一个具有根公共密钥证书的无线网络运营商认证机构和至少一个具有独立于根公共密钥证书的数字证书的属性机构，其中属性机构可以由一个无线客户设备经过一个无线网络来访问。数字证书被从属性机构传送到无线设备，在无线网络运营商的授权下，无线客户设备使用无线客户设备中预装载的数字证书和根密钥证书对属性机构进行验证。通过无线网络把一个属性(软件、服务、权利/许可或其它内容项目)传送到无线客户设备，并最终在无线客户设备启用。
可以通过从无线客户设备向属性机构传送一个第二数字证书并使用来自认证机构的根公共密钥证书验证该第二数字证书，来对属性的支付进行交易。
在另一个方面，本发明提供一种在无线电子商务系统中进行交易的方法，包括在无线客户设备和第一属性机构之间建立一个无线通信；通过无线网络把第一属性传送到无线客户设备；产生一个可由第二属性机构验证的电子凭证；在无线客户设备和第二属性机构之间建立无线通信；向第二属性机构请求第二属性；在第二属性机构识别该电子凭证；把第二属性从第二属性机构传送到无线设备。
可以通过第一属性机构和第二属性机构之间的一个连接把电子凭证从第一属性机构传送到第二属性机构，或者可以包括通过无线客户把电子凭证从第一属性机构传送到第二属性机构。
还描述了一个无线电子商务系统。
缩略语表AA属性机构API 应用编程接口CA认证机构DER 区别编码规则(ASN.1)EC椭圆曲线GSM 全球移动通信系统ID标识符ME移动设备PER 压缩编码规则(ASN.1)PIN 个人识别号码PK公共密钥PKI 公共密钥基础结构RA 注册机构RSA RSA(Rivest，Shamir，Adleman)公共密钥算法SHA-1安全散列算法1SIM 用户标识模块SMS 短消息服务WAP 无线应用协议WIM 无线标识模块WML 无线标记语言WMLScript无线标记语言脚本WDP 无线数据报协议WTLS 无线传输层安全图2是表示

图1的无线客户设备的软件安装和启动步骤的流程图。
图3是表示在现场把软件下载到无线设备或者在现场启用无线设备中的软件的过程的流程图。
图4是根据本发明第二方面的安全无线电子商务系统的方框图。
图5是表示图4的系统的操作步骤的流程图。
附图详细说明总体安全模型采用加密API和提供基层安全特征的底层加密工具箱，在其上可以建立其它堆栈层，例如无线传输层安全(WTLS)API，证书标准化，和诸如无线应用协议(WAP)浏览器的无线应用程序。图1显示系统的各个实体和关系。
客户通过使用无线电话11或其它无线设备以及陆线电话12或可访问因特网的计算机(拨号，以太网，电缆等等)13，与安全电子商务系统10连接。系统10内的各种服务器15，16，17，18执行安全电子商务的任务。无论是直接通过因特网连接13访问，还是使用一个常规电话12与接线员交谈，客户可以把一个命令输入到万维网服务器16上的安全电子商务系统10。
万维网服务器16与证书机构服务器15通信以颁发一个新的产品证书。该证书将保证仅有目标电话11将能够获得和使用新特征。因为该电话最初包含一个来自软件服务器17的产品证书(在制造厂中时)，在电话的使用期限中将保持一个审计跟踪，或责任。根据证书的内容，电话11不能操作它不被允许的软件。系统10还包含该电话的证书的一个拷贝，因此它具有一个该电话的权能的记录。
证书机构服务器15是一个在安全电子商务系统中产生并发布公共密钥证书和许可证书的服务器。
许可证书允许诸如无线电话之类的设备操作指定的软件产品。在离开制造厂之前并且随后在购买新软件时给每个生产的设备颁发许可证书。许可证书包括该设备的序列号作为数据的一部分，在由CA数字地签署该数据时，数据将把使用权软件许可仅赋予具有该序列号的电话，而在设计中使序列号是不可改变的。因此，这些证书只能由目标方使用，任何其它方都无法使用。
公共密钥证书使得设备能够通过CA建立信任。CA数字地签署该证书，声明一个由其序列号表示的给定设备具有与其相关联的以下公共密钥。
万维网服务器16是用于安全电子商务系统的前端服务器。它可以是一系列服务器(即，订单输入，计费，订单处理等等)，但是在概念上被认为是一个实体。该服务器包含订单输入系统，客户通过该系统输入订单。可以通过万维网进行在线定购或利用电话通过接线员进行定购。该服务器通过首先验证用户的信息(用户名，设备序列号，信用卡等等)来完成订单输入。然后，万维网服务器把一个对新许可证书的请求发送到CA。CA把许可证书发送到该设备。许可证书可以由CA“推出”或者在该设备的要求下发送。现在，该设备持有新的许可证书，并已经被授权使用新软件。
软件服务器17使系统提供者/运营商销售的所有软件产品可用。它可以是一系列服务器，包括各种制造厂服务器，但是在概念上被认为是一个实体。软件服务器17的功能是数字地签署软件产品，并使软件产品和相应证书(已知为产品证书)可下载。
WAP代理服务器18的功能是把HTML句法翻译为WML句法(因特网到WAP协议)，反之亦然。
证书是安全电子商务系统的基石，数字证书的描述可以在以下出处找到美国国家标准草案X9.68-199x“用于移动、基于帐户和高交易量金融系统的数字证书”，来自美国银行家联合标准部，1120Connecticut Avenue，NW Washington DC 20036。
安全电子商务系统10中的各种协议和技术针对证书进行操作(或者读取/分析证书，或者增加/修改/删除证书)。系统中的每个设备(服务器16，17和18和无线设备11)具有一个或多个证书。它们都具有一个置信根证书，该证书是来自CA服务器15的CA的公共密钥证书。这种情况下，就可以部署安全电子商务系统。
下面是对基本证书类型和在电话使用期限中证书的使用的描述。
公共密钥证书包含把无线设备11联系到它的公共密钥的信息。这是通过把相关数据进行散列而完成的。该证书包括上述数据以及散列结果。任何希望验证该公共密钥是否属于该设备的人只需对该数据再次进行散列，并验证它匹配于与证书一起存储的散列结果。
此外，散列由一个认证机构数字地签署。在该模型中，CA是置信的认证机构。即，用CA的专用密钥签署前述散列结果。任何具有用于CA的公共密钥的人将能够验证该加密的散列。随后，如果验证的散列结果匹配于用户计算的证书数据的散列，这告诉用户(i)由于CA的公共密钥能够正确地验证签署的散列，该证书一定已经由置信的CA签署，(ii)因为对象的专用密钥可以验证由公共密钥签署的数据，该证书属于该对象。
许可证书包含把无线设备11与某些访问权利相关联的信息。具体地说，许可证书至少包含用于软件产品和设备序列号的字段。软件产品字段包含一个产品标识符。该标识符给予该设备一个许可来使用该产品。如果一个设备中嵌入的内部序列号匹配于许可证书的序列号，该设备将能够运行指定的软件产品。如在公共密钥证书中一样，许可证书中的数据被散列并由CA签署。由于该设备不能针对CA的签名检验该证书(除非CA受到损害)，该设备将不能验证伪造的许可证书。
产品证书把一个内容项目或主体(例如软件产品名)与一个指纹相关联。在此情况下，指纹是软件产品的散列。因此，任何具有一个软件产品及其产品证书的人可以通过把用户计算的该软件的散列与证书中存储的散列结果进行比较来验证软件的完整性。与在公共密钥证书中一样，产品证书中的散列结果由Motorola CA数字地签署。因此，当用户把计算的散列与产品证书的散列结果进行比较时，一个匹配意味着该软件产品与Motorola CA已经数字签署的产品是同样的。
已经描述了各种基础结构设备和证书在系统中所起的作用，现在将说明安全电子商务系统的部署方式。
以下部分使用一个设备所发生的例子简单描述系统如何工作。选择一个电话的示例，包括在制造厂中设置电话时发生什么，在用户启动和使用电话时发生什么，以及在用户希望获得一个新特征时发生什么。
制造厂中的每个电话在发货之前具有某些内置的唯一特性。物理地，电话必须包含(i)可用于运行不可改变的证书验证代码的ROM(ii)可用于存储证书的EEPROM(对证书存储区域的访问必须被限制)和(iii)不可改变的唯一序列号(或者在ROM，激光刻蚀的、一次写入存储器，等等中)。
在制造厂，为电话产生一个公共密钥证书(图2的步骤100)。这可以由软件服务器17，CA服务器15，或由电话自身产生。CA服务器15数字地签署证书并保留其一个拷贝(步骤101)。安装具有其自身的公共密钥证书以及CA的公共密钥证书的电话(102)。(作为根认证机构的CA签署它自己的证书)。密钥假设是指在制造厂内有一个置信网络。在该环境中，电话的公共密钥证书的产生，它由CA的签署，以及证书和CA的公共密钥向电话中的传送被认为是安全的。
在制造厂还颁发一个或多个许可证书(步骤104)。制造厂向CA服务器15(或者在CA服务器15的根机构下的软件服务器17)发送一个请求以签署许可证书(步骤105)。制造厂提供CA信息以及电话的序列号，其中该CA信息是关于该电话应该具有哪些软件许可或产品的信息。许可证书包括以下信息(i)CA的标识(颁发者)；(ii)电话(主体)的序列号；(iii)该电话被许可运行的软件产品的列表；(iv)上述组件的一个签署的(用CA的专用密钥加密的)提要(软件散列)。在步骤106，把许可证书安装在电话中。
许可证书可以在一个证书中包含多个许可，或者可以有多个许可证书，每个证书一个许可。两种方法都是允许的。CA自身将保留电话的许可证书的一个拷贝。
现在，电话进入软件编程阶段。电话必须根据定购的内容包含各种量的软件，-一些基本版本加上一些(可选的)附加特征。制造厂必须把正确的软件包安装到电话中。软件包包括软件自身加上一个产品证书(或者更通常的，一个内容项目证书)。软件服务器17为作为CA的同一根机构下的每个软件产品产生一个产品证书(步骤110)。软件和产品证书都被存储在软件服务器17上。软件服务器17负责管理软件产品并使它们可用于下载。在步骤112安装软件包及其证书(即数字签署的软件)。
证书的目的是把软件产品与特定名称(例如软件产品名和主要版本名)相联系(即关联)。这种关联的形式可以是与产品名的证书相关联的产品名的一个查找列表和一个标识所允许的新产品名的预定义规则(例如允许版本1.0和版本2.0之间的所有未来版本浏览器的浏览器版本1.x)。证书包含软件的名称以及软件产品的散列。如何希望检验该软件的完整性的人可以对该软件进行散列并把它与产品证书中找到的一个散列进行比较。证书由软件服务器签署。软件服务器自身具有一个由CA签署的公共密钥证书，如此保持了一条置信线。
产品证书包括以下信息(i)软件服务器的标识(颁发者)；(ii)软件产品名(主体)；(iii)软件产品的散列；和(iv)上述组件的签署的(用软件服务器的专用密钥加密的)提要。
软件服务器17保留产品证书的一个拷贝。应该注意，CA16还可以执行软件服务器17的功能，在此情况下CA将负责所有三种类型的证书。
电话离开制造厂时安装有(i)CA的公共密钥证书；(ii)电话的公共密钥证书；(iii)一个或多个许可证书；和(iv)一个或多个产品证书。
每当用户启动电话时就发生一系列步骤。首先，电话的启动软件检验它所有的产品证书(步骤130)。即，为电话中的每个软件产品计算散列，并与证书中存储的散列进行比较。而且，必须建立对CA的置信线。由于产品证书是由软件服务器而不是由CA签署的，电话将从CA获得软件服务器的公共密钥证书(这应该只发生一次，之后电话将把软件服务器的公共密钥证书存储在存储器中)。接着，电话的启动软件检验(步骤135)它所有的许可证书。这是在电话的不可改变的序列号和与产品相关联的许可证书中存储的序列号之间进行比较。如果它们匹配，那么允许电话操作许可证书中标识的软件产品。该证书中标识的软件产品必须匹配于产品证书中的软件产品名字段。在两个步骤中，电话的启动软件把证书的数字签名与CA的公共密钥证书(在制造厂中安装)进行比较以保证不安装伪造的证书。
在用户希望修改电话的情况下，例如启用一个选项或者购买一个新特征(见下面的例子)，与软件产品自身及其产品证书一起获得一个新的许可证书。发生以下步骤。首先，用户通过万维网服务器16购买该特征。通过电话或万维网访问，用户把必要的信息提供给万维网服务器16，包括姓名、地址、信用卡号码、电话的序列号、和希望购买的产品(步骤16)。万维网服务器16验证该信息并产生一个也被给予用户的订单票。假设已经检验了客户信用，万维网服务器16把电话的序列号连同所购买软件产品的名称发送到CA服务器15，以获得一个新的许可证书。使该许可证书可下载到电话(步骤204)。用户可以启动一个序列以获得该证书。电话检验该新许可证书。如果在制造厂中安装软件产品但是没有被启用(没有许可证书)，它将被启用(步骤220)。如果在电话中没有发现软件产品，将发送一个请求到软件服务器以获得该产品(步骤226)。
作为一个可选步骤，软件服务器17可以被配置为仅向验证的用户发送加密的软件产品，以便防止无线网络的过载和防止未授权用户获得软件代码(尽管在没有有效许可证书的情况下电话不能运行该软件)。这是通过经WAP代理服务器18在软件服务器17和电话11之间建立一个WTLS连接而完成的。每一方具有一个由一个公共CA签署的公共密钥证书，使得它们信任对方的证书。使用一个密钥交换算法，导出一个密钥并将其用于对软件产品和产品证书加密。然后，软件服务器在空中把软件产品和产品证书发送到电话，电话检验该产品证书，然后该购买完成。
注意到在该模型中，如果下载被中断或者软件是坏的，用户可以重新尝试下载任何次数。
在电话必须被送到一个修理店的情况下，安全电子商务系统中有多个特征可以使对电话的更新或修改是不费力的。例如，如果由于某种原因，把一个不同的电话发给用户，修理店应该把现有电话的所有内容(软件和产品证书)转移到新电话中。在为新电话的序列号产生一组新许可证书之前，该新电话将不能运行软件。修理店使用它的公共密钥证书作为证据向CA表明它具有的权利，从而向CA请求新许可证书。CA记录现有电话的许可证书。为新电话颁发新许可证书，并把现有电话的许可证书放到一个证书撤回列表中。如果由于某种原因，修理店需要把软件复制到新电话中，并且无法从现有电话中复制该软件，仍然可以如前所述从软件服务器下载该软件(和产品证书)。
通过实现该安全电子商务系统，可以对于客户以及时有效的方式把新特征、更新的软件、和软件修补程序传送到电话。客户可以从执行任务的容易性和其实现所需的几乎是即时循环时间中获利。而且，系统中内建的安全特征将减小服务窃取或克隆的发生。
下面的例子帮助解释在某些真实世界环境中在安全电子商务环境中可用的潜在解决方案。示例1-获取当前不存在于电话中的应用程序一个用户正在海外旅行并希望在它们的电话上使用一个话音激励的德语/英语翻译器。该用户可以从厂家或销售商处购买该德语/英语翻译器软件产品。该用户将把该应用程序下载到电话中，并且在电话上本地地，而不是通过服务提供者的基础结构操作该德语/英语翻译器。如果用户计划经常使用该特征，上述做法的成本效率更高。用户会有一种拥有感。只要用户持有该电话，它就拥有该软件。该软件在电话中本地操作。用户不经过空中使用该特征，从而消除了任何潜在的服务终止条件，带宽或通过量问题，或未预期的基础结构故障时间。用户为该特征向厂家或销售商而不是服务提供者付费。示例2-增强电话特征一个用户希望通过下载软件(如果在购买时电话不包含该软件)或通过使得能使用电话中存储的特征，能够使用现在在电话上可用的新的万维网浏览器。用户连接万维网服务器16(或1-800号码)，根据指令购买电话的附加选项，并等待一小段时间来下载或者启用具有新的万维网浏览器功能的软件。用户通过在进行购买后几分钟内使用该特征而获得了即时的满意。因为通过电子下载把该特征提供给用户所需的系统开销较低，所以该特征的成本较低。因为证书机构通过CA服务器15验证该交易，事实上可以消除服务窃取。示例3-软件修补程序更新把一个软件修补程序发布到要在现有电话中安装的区域(例如，在免费的保证下)。指示用户如何启动该电话来开始一个包含该更新软件的下载。另一个选项是，服务提供者可以在电话正在服务时自动地更新电话，而无需用户知道该升级。用户不需要把该单元实际返回给修理厂。用户电话的更新是按照分钟而不是在修理厂中花费的天数来进行的。软件下载的一个即时电子记录被保留在系统10中，而不是依靠现场维修报告。某些升级可以无需用户的同意而自动进行，从而消除任何服务中断。其成本是最小的，因为在该过程中不涉及任何修理厂。示例4-计量服务一个用户希望在往返于工作的期间使用他汽车中的音频书。该用户可以从一个服务提供者那里购买一个音频书。利用一个允许计量服务(或者每本书或者每分钟)的安全数据服务连接来获得使用权。在其它选项中，双向通信允许用户暂停/继续传输。这是一个在没有安全电子商务的情况下不能实现的新服务类型。
因此，已经描述的无线电子商务系统具有到无线网络19的无线网关18，具有一个唯一客户标识符的无线客户设备11利用无线网络19能够进行通信。已经描述了至少一个服务器能够耦合到无线网关，把内容项目传送到无线设备并保持这些内容项目的数字内容证书和用于许可这些内容项目的数字许可证书。在优选实施例中，服务器17传送内容，CA服务器15保持数字许可证书。该至少一个服务器为与该系统相关联的每个无线客户保持一个用于该客户的许可记录和一个与每个许可相关联的内容项目的记录。换句话说，CA服务器15保持一个数据库或列表，其中把无线客户ID与每个客户ID的许可(或许可证书)相关并包括与许可相关联的内容项目(例如软件产品)。
已经描述了当一个新内容项目与一个与客户标识符相关联的现有数字许可证书相关联时，无线客户能够请求该新项目内容的数字许可证书验证。最好通过把内容重新装载到一个具有第二标识符的第二无线客户，把具有第一标识符的第一无线客户的内容复制到第二无线客户；在至少一个服务器中，用第二标识符与第一客户许可和第一客户内容项目的相应记录之间的一个新关联代替第一标识符与第一客户许可和第一客户内容项目的相应记录之间的第一关联；并为第二客户验证第一客户许可和第一客户内容项目，从而第二客户能够承担第一客户的功能。
还描述了一种操作无线电子商务系统的方法，包括保持至少一个服务器，用于内容项目的数字内容证书，和用于与内容项目相关联的许可的数字许可证书；在该至少一个服务器为与系统相关联的每个无线客户保持一个用于该客户的许可的记录和一个与每个许可相关联的内容项目的记录；通过无线网关在至少一个服务器和无线客户设备之间建立通信；把内容项目传送到系统内具有唯一标识符的无线设备；利用至少一个服务器验证内容项目；验证一个与内容项目相关联的许可；在验证了内容项目和许可时，在无线客户处启用该内容项目。
当一个用于内容项目的名称与一个与无线设备的唯一标识符相关联的数字许可证书预关联时，最好验证该内容项目的许可。另选地，该内容项目的名称满足与无线设备的唯一标识符相关联的数字许可证书的预定义规则，例如，它落入一个所允许版本号的范围，表明它是一个与数字许可证书预关联的内容项目的升级。
所述的安全电子商务系统提供了一种解决方案，使得能够在无线网络上进行软件销售。该系统是为客户提供电子商务服务的强健的、高效的、和用户友好的方法。
所述系统具有一个无线应用协议(WAP)服务器或网关18，但是应该理解，可以使用任何无线网络网关，WAP仅是一种方便的协议。现在描述系统的另选方面，其也在WAP协议环境中，应该理解，可以使用其它协议。
现在描述安全无线电子商务系统的WAP服务器和WAP层的进一步细节。在1998年4月30日的WAP论坛的文件“无线应用协议架构规范”[WAPARCH]中描述了传输、安全、事务、会话、和应用层中的一组WAP协议。WAP安全功能包括1998年4月30日的WAP论坛的无线传输层安全[WAPWTLS]和可使用无线标记语言脚本[WMLScript]访问的应用层安全。WAP中提供的安全可以是多种级别。在最简单的情况中，使用匿名密钥交换来用于服务器和客户之间的一个加密信道的产生；在下一级中，服务器提供一个向回映射到客户信任的一个实体的证书；最后，客户自身可以拥有一个专用密钥和公共密钥证书，使得它能够向网络中的其它实体标识其自身。下面更详细地描述用于实现服务器和客户的验证所需的置信关系的基础结构和过程。此处所用的术语“服务器”不限于一个专用WAP网关，而可以包括使用WAP协议的第三方和内容/服务提供者。可以在URLhttp∥www.wapforum.org/找到上述和其它WAP协议层的规范。
除了上述文件以外，可以参考以下内容1998年4月30日的WAP论坛的“无线控制消息协议规范”[WAPWCMP]；1999年3月12日的WAP论坛的WAP标识模块规范[WIM]；1999年3月1日的ANSI草案，用于移动、基于帐户的和高交易量的金融系统的数字证书[X968]；1998年2月，IEEE P1363/D1a(草案版本1a)[P1363]，“用于公共密钥加密的标准规范”，URLhttp∥grouper.ieee.org/groups/1363/；1993年11月，PKCS#1RSA加密标准，版本1.5[PKCS1]，RSA实验室；1998年11月，PKCS#15和加密令牌信息标准[PKCS15]，工作草案版本1.0，RSA实验室。
为了描述电子商务系统的进一步方面，描述以下内容安全域；该系统中要发布/保护的属性；分配给域的属性所有权(应注意，某些属性由多于一个域拥有)；和用于域成员的登记和验证和属性的分配的基础结构。
“域”或“安全域”是一个在单个机构控制下并使用一个定义的内部命名方案，算法和策略的公共密钥基础结构。域机构为一个具有全球唯一名称的域根认证机构流动。这允许域产生协定并连接在一起以形成一个全球PKI。通过认证一个实体在域内拥有的公共密钥而被登记到域中的该实体是一个“域成员”。以下是可能的WAP域，它们中的一些或全部将被提及制造厂；网络；运营商；无线服务提供者；内容/服务提供者(例如，银行业务域)；置信的第三方域(例如，一个独立的认证代理或机构)；设备拥有者(汽车运输运营商域)；和设备用户(个人域)。
“属性”是一个特性(可以被认为是一个名称)或一个权利(即，一个允许，例如允许使用一个所购买的服务)。属性的例子是拥有的对象(例如目录和文件，硬件和接口)和拥有的权利/允许(例如进行呼叫；建立网络连接；发送SMS消息；读取/写入/更新文件和目录；配置设备硬件；访问网络管理站。
为了实现该安全基础结构，WAP公共密钥系统10登记并验证WAP域成员，并发布属性。注意到，“发布”一词包括“发布到购买者”；即，用户可以正在购买属性，例如使用内容或服务。
WAP PKI基础结构包括通过交叉认证联系在一起的多个自主安全域。这种交叉认证是服务提供者和系统运营商之间的服务漫游协定的一部分。交叉认证过程由两个域根CA使用来相互颁发交叉证书；从而授权相互的根证书(密钥)。交叉证书通常包含一个或多个中间域检验服务器的地址，并且还可以包含与交叉认证协定有关的其它信息。对于无线技术行业，交叉认证可以与漫游协定的产生类似。在一个安全域中，该域的算法、命名方案和策略由该域的拥有者确定。在交叉认证过程期间，各个域在互操作性问题上达成一致，并配置检验服务器以允许进行证书检验。
WAP操作的类别是类别0仅匿名验证；类别1仅服务器验证；类别2服务器和客户验证。此处不关注类别0，因为它不涉及PKI。类别1涉及服务器到客户的验证。这些服务器可以由无线服务提供者拥有，或者可以是在网络中提供服务的第三方服务器。通过把这些第三方服务器包括在WAP PKI中，无线服务提供者表示对这些服务的批准的特殊状态或标记。类别2操作允许一个客户(移动用户)登记为域中的一个成员并获得在该域中的利益。这可能涉及与第三方的特殊协定，例如折扣或特殊服务。可以向域成员颁发与它们的域专用密钥相联系的小属性证书，该证书表示所购买的服务或特殊权利已经被准许。
属性证书有两种类型(i)购买的服务或产品证书，就好象每月的订购，并且不需要特殊撤消程序；和(ii)系统操作允许，这是被颁发以允许用户的特殊系统配置权利的属性。后一种属性可以由无线服务提供者职员使用或者被颁发给授权用户。
以上已经说明了几个域。现在描述这些域中的某些域的使用。
设备拥有者域是一个无需涉及无线服务提供者、用于设置设备用户和用户概况/特权的域。这可以通过以下方式完成，即，让服务提供者给予设备拥有者一个服务提供者域标识和属性以便修改它们的帐户配置。或者，设备拥有者可以成为服务提供者域中的一个属性机构。尽管在大的汽车运输公司中设备拥有者需要给职员颁发证书以便允许他们有某些权利，设备拥有者最好有他自己的域，但是设备拥有者不是一定需要他自己的域。尽管由于对于所需的功能可以有更简单的装置(使用服务提供者域)，不期望最初就采用设备拥有者域，该系统还是提供了设备拥有者域。
制造厂域用于设备自举，设备OS代码升级和特征。
无线服务提供者域和/或网络运营商域可以用于WAP网关认证，内容提供者认证，用户特征发布，用户识别(与帐户联系)，WTA脚本，空中系统修改，向职员发布证书以允许系统配置。内容/服务提供者域可以用于有安全意识的实体(例如银行)运行它们自己的域，进行交叉认证以利用服务提供者域操作，或者直接登记无线用户。
注意到，一个用户可以是任何域中的一个成员(具有一个认证的密钥)。一个域被用于颁发证书以许可一个系统中的其它方；可以以一种简单方式在设备上控制该许可。
此处参考图4的进一步讨论的焦点将针对服务提供者，网络运营商，和制造厂域。
图4表示一个CA400(实施为一个服务器)。认证机构是一个响应于来自合法注册机构的验证请求而颁发/更新/撤回带有公共密钥的证书的实体。CA持有一个专用密钥，该密钥用于签署带有域成员密钥的证书。CA由一个无线服务提供者或网络运营商管理，通过无线网络控制器401控制和操作无线网络并通过计费计算机402产生客户帐单。
显示了多个属性机构404，405和406(显示了三个，但是可以有很多)。属性机构是一个实体，产生把属性分配给域成员的证书。其例子可以是移动电话制造厂404，书商405和无线软件提供者406。
AA可以通过无线网关420与终端用户(客户)设备450通信。
客户设备450最好(但不是必须)具有一个客户标识模块(SIM)452。这是无线系统中的一个智能卡，含有用户标识和验证信息。SIM卡还可以用于运行需要安全环境的应用程序。客户设备最好还具有WAP标识模块(WIM)，以便为与WAP安全层的使用有关的服务和数据存储服务提供一个接口。WIM使用PKCS15作为对象格式。WIM可以是到SIM卡452的一个接口层，或者它可以是在其上具有自带WIM接口的SIM或其它卡，或者是无线设备450上的一个软件令牌。
图4的所有项目属于域500，域500在本实施例中是一个无线网络运营商域。域500可以具有较高的注册机构，该注册机构是一个被授权请求向CA或AA颁发/撤回/更新证书的实体。注册机构在功能上可以被考虑为与一个帐户管理器类似，并负责成员登记和/或属性分配。登记过程是，通过颁发包含一个用户公共密钥的域证书，使得在一个域中认证该密钥。
服务器400是一个检验服务器。检验服务器是一个被配置以便检验域成员的证书的服务器。进行交叉认证的域被期望提供可访问的检验服务器，这些检验服务器获得并检验证书链。当存在具有本地命名方案的域时，这种服务是重要的。由于这些方案可能不能被一个外部域所理解，有必要提供检验服务。被配置以与一个或多个外部域通信的检验服务器是一个域间检验服务器。此外，检验服务器可以为那些是域成员但是自身不具有获得并检验一个证书链的能力的薄客户提供本地域检验。
有可能在系统中存储多个无线服务提供者域。如果一个客户利用WIM标识卡(其上具有个人和密钥信息)在一个系统中切换提供者，会出现某些问题。如果用户仅仅从新提供者获得另一个卡，那么所有个人信息将丢失。因此，最好的作法是(但不是必须的)，把服务提供者专用信息从独立于服务提供者的个人信息中分离出来。最好是，还提供一个装置以由用户产生一个将用于初始化一个新WIM卡的WIM软件令牌。
对于一些希望向移动用户销售服务或内容的商业公司，具有它们自己的安全域是有利的。从风险管理原因考虑，这对于某些金融服务是必须的。这些域的密钥和应用程序必须与其它域分离，使得拥有者确信不可能有任何篡改。尽管有可能在WIM中存储来自任何域的证书和密钥，这种分离可以以无需进行描述的多种方式实现。除了对存储对象的分离以外，设备必须确保域应用程序不被篡改。
任何域成员都可能成为一个属性机构。无线服务提供者把系统管理属性发布到销售商，这些销售商被纳入它们的域中以销售它们的属性-即，销售一个购买的服务票(例如，用于上述新软件，或者用于其它内容或服务)。
有三种类型的有效负载紧凑有效负载，组织有效负载(其中的WAP有效负载是一种类型)，和域专用有效负载(仅在本地域中有效)。
为了使操作AA服务器404-406的销售商定义用于它们销售的服务/内容的简单属性，需要一个方法来表示一个给定属性有效负载是一个销售商有效负载并表示该特定销售商。由于预期有效负载不会由销售商以外的任何人所理解，有效负载的实际结构不重要。有三种识别销售商属性有效负载的方法(i)如果销售商具有一个组织标识符，它可以在该标识符下定义它的类型；(ii)销售商标识符可以在WAP OID之下被分配；(iii)域可以为它们的域专用有效负载定义和采用一个销售商ID方案。
属性证书最好是有时间限制的，即，具有期满时间并要进行定期更新。在检验一个证书的任意时间，如果数字地嵌入该证书的期满时间已经期满，则该检验失败。
一个移动客户在第一次使用时或者周期性地利用网络检查一个销售商服务器(404-406)的有效性。客户(无线设备450或SIM 452可以被认为是一个客户)为此目的通过无线网关402联系检验服务器。此外，无线服务提供者可以开设一个网站，列举出域销售商的状态。这种站点还可以指示出该销售商是否已经不再是一个置信的域成员；即，是否由于某种原因使它们的证书被撤回了。
现在参考图5描述销售商(即，AA)或具有AA的能力的其它网络单元把内容传送到一个客户并接收该内容的付费的步骤。
最初，一个客户(450或452)在步骤510通过无线网关420与AA服务器404建立连接。AA在步骤515把一个数字证书传送到客户。该客户在步骤520验证该AA证书。在客户处进行的该验证过程与已经描述的其它证书验证方式相同，并且是可以实现的，因为客户已经安装了CA400的公共密钥证书。其使用该公共密钥证书来验证AA。该验证的原因是，因为客户希望确定该AA被无线服务提供者所信任。这将使用户确信，将由AA传送的内容在被传送到无线设备450时将正常工作，其不会造成中断，所要支付的费用与广告中相同，可以进行升级，等等。有很多原因都使用户可能希望确保AA被无线服务提供者认证。
接着，在客户和AA之间发生交换以向AA传送用于客户要接收的内容的付费。该交易可以以各种方式进行。AA通知客户他所要接收的内容的费用是多少，客户授权对该费用的支付(如果用户如此选择的话)。例如，客户可以提供信用卡详细信息(步骤535)，AA服务器可以建立与一个信用卡服务器的连接以执行一个交易(步骤530)。另选地，客户可以把电子现金传送到AA服务器(步骤535)(这无需描述)。在一个更优选的替代方式中，客户可以把一个证书传送到在无线服务提供者域500中认证(即被CA 400认证并具有CA400的公共密钥证书)的AA(步骤540)。AA服务器在步骤545验证该证书(使用已经存储在AA服务器中的根公共密钥证书)，并且AA已经准备好把内容项目(属性)传送到客户。在把内容项目传送到客户时(步骤550)，AA命令CA对客户按预定费用计费(步骤555)，并且CA400命令计费计算机401把该费用加到客户的帐单上(步骤560)。同时(步骤570)在客户处启用该内容项目。
内容项目的启用可以有多种形式，例如执行一个软件应用程序或对一个软件应用程序的升级或修补程序，或显示一个报纸，或提供一个股票报价服务，或开通对一个流式视频服务或音乐服务的无线万维网访问，或传送电子机票或音乐会票，或很多其它例子。实际上，各种AA404，405，406都提供一个具有公共计费机制的虚拟无线购物中心，该计费机制是无线服务提供商的计费机制。
如果执行步骤535或525，并不是绝对需要AA进行客户的证书的在线证书检验(步骤540和545)，但是最好这样作。作为一个对验证AA证书的步骤(步骤520)的替代，客户可以仅检查上一个公布的AA列表(或AA撤回列表)。而且，该域提供一个用于在撤回一个客户证书时通知销售商的服务，因此作为步骤545的替代，AA可以检查该列表。当然，如果利用电子现金或信用卡对客户收费，则省略步骤555和560。
尽管几个域可能是有用的，不必要使用户通过获得一个用户密钥而成为这些域的成员。在一个电话的情况下，如前所述，如果希望向用户直接销售设备特征升级，制造厂可以对用户登记。但是，这也可以通过通过服务提供者域的发布或对设备标识符的分配来完成。在制造厂域中管理用户密钥是较不可取的。该域最好用于验证来自制造厂的特征和升级脚本。
如果网络运营商运行一个安全域，可能需要客户密钥，但是仅对于要被授权执行来自移动设备的网络操作的客户(即，网络运营商职员)。对网络运营商的一般客户验证不是绝对必须的。
无线服务提供者把密钥分配给用户的情况受到特别关注。当购买服务使，在WIM卡中分配客户密钥。无线服务提供者域中的客户密钥允许该域的一个成员断言一个与提供者帐户相联系的标识。然后，服务提供者或它授权的第三方可以在该域中销售内容/服务。客户密钥还允许某些客户(假如，服务提供者职员)使用该系统来向网络表示它具有网络操作许可。
对于除了无线提供者以外的需要单独安全域的服务和内容提供者，最好颁发客户密钥并将其存储在WIM中。允许域指定与它们的网络一致的任何命名方案，并且这些域负责确保该方案在内部是一致的。一个域的内部目录服务必须被配置以解析本地域名。名称可以是多种类型，包括电子邮件地址，IP地址，DNS名称，和帐户号码。采用(或订立合同来采用)一个域的商业公司可以配置该命名机制以适合它们的商业和系统需要。
AA404，405和406可以通过链路408和409在相互之间进行通信以交换电子凭证。例如，AA404可以向其客户广告，购买它的服务将为客户赢得对AA405提供的服务的信用量。当一个客户从AA404购买一个内容项目时，AA404产生一个自动凭证，将其传送到AA405，用ID和归于该客户的信用量来标识客户。当客户建立到AA405的连接时，向客户通知该特定客户所赢得的从AA405的费用中扣除的折扣。如果该客户从AA405购买一个服务，AA405可以向AA404收取该折扣凭据的值或其一部分。本领域技术人员知道，该方案可以有很多变型。例如，可以在CA400的计费计算机累积点数，这些点数可以在AA404-406中的任何一个处使用。另选地，可以把凭证传送到客户450或452而不是在AA之间传送，使得客户可以把凭证传送到虚拟无线商店中的下一个AA。使用已经描述的对于域500的所有成员公用的公共密钥证书，特别容易实现这后一种方案，因为域中的任何AA都很容易验证该凭证的可靠性。
现在为完整起见，给出整个安全电子商务系统的进一步的其它细节。
目录被组织为域机构名->完全合格的本地描述名->密钥散列，证书散列，或密钥ID或域机构名->密钥散列，证书散列。在一个域中，域机构名是隐式的。一个完全合格的本地名是一个在该域中唯一的本地名；在某些情况下，这是证书中的颁发者和主体名的组合(主体相对于颁发者)。为实体名单独使用证书或密钥散列(没有描述名部分)是较不优选的，因为其会在目录查找和证书链检验中产生困难。
在根之下的颁发者具有的名称包括一个证书散列和一个可选描述名，一个密钥散列和一个可选描述名，或一个整数密钥标识符和一个描述名。使用整数密钥标识符和描述名可以提供更短的和更易读的名称。
检验器具有用于在一个交易需要处理一个证书链时获得必要证书路径的装置。在很多情况下，结尾实体证书自身将不被发送，仅发送一个或多个名称以允许检验器获得任何需要的证书。在一个域中，通过使用一个确定性路径命名方案可以使上述过程简单，其中该命名方案允许直接从(颁发者，主体)对获得证书检验路径。如果该命名方案不在一个证书的内部进行上述过程，那么必须提供一个在该证书外部的装置来获得正确的路径。为了进行交叉认证的域之间的检验，建议一个域提供一个用于它的证书的安全检验服务。如果一个域要内部地检验来自其它域的证书，那么它必须理解其它域中使用的命名方案和算法。
在某些情况下，一个CA可能具有在一个给定时间列出的多于一个有效证书。这可能在CA的一个预定的重新启动(re-key)期间发生。当试图跟随一个证书链，在某个点该链允许多个可能性时，可能会产生一个问题。有几种方法来解决该问题(i)试错法，由于需要检查用于一个匹配的多个签名，这种方法效率较低；(ii)使用包含一个用于CA和AA的密钥或证书散列的名称类型。这解决了不确定性，但是使名称更长；(iii)使用具有描述名的密钥标识符。后一种方法是优选方法。
假设一些设备不能处理用于域内检验的证书链，在X9.68中定义了一个检验服务。通过在一个域中提供检验服务器来实现该服务。这些服务器的地址可以被表示为CA证书中的有效负载或者以其它方式配置。该服务的客户必须能够检验响应上的签名，因此它必须具有检验服务器证书或能够检验该证书。一个薄客户接收其希望检验的证书以及该证书的域机构的一个指示；该域是它自己的。客户把一个检验请求发送到一个检验服务器。该服务器发回一个签署的检验响应。
对于域间检验，域使得某些服务可用于其它域。一个交叉证书通过提供一个用于提供这些服务的服务器的地址表示可以从哪里获得这些服务。检验服务在一个检验客户(其可以是一个域内检验服务器)和一个域间检验服务器之间操作。一个域间检验服务器被预期能够联系和检验来自另一个域的检验服务器的响应的可靠性(签名)。注意到，这意味着域间检验服务器必须能够使用来自其它域的算法。域间检验服务器是多个域的成员，因此能够验证其它域的签名。一个薄客户接收它希望检验的证书以及该证书的域机构；该证书域不是它自己的。该客户把一个检验请求发送到一个域检验服务器。注意到，这些服务器可以在根证书中被表示为有效负载或被存储在别处。检验服务器注意到该域是外部的。它确定是否存在一个具有所表示的域的交叉证书。如果没有，把一个检验失败响应返回到该客户。(注意到，如果客户知道一个域间检验服务器的地址，可以略过该第三步骤)。如果存在一个交叉证书并且该服务器是一个域间检验服务器，它自己处理该请求；否则，它签署一个检验请求并将其发送到交叉证书中列出的一个域间检验服务器。该域间检验服务器验证该请求并自己验证该证书或者把该请求传递到其它域中的一个内部检验服务器。把该结果签署并返回到该客户最初联系的检验服务器。该检验服务器验证该响应，自己签署该响应，并将其返回到客户。
检验服务允许来自一个域的一个实体请求来自另一个域的一个证书被验证。需要返回一个无效应答，除非该服务器可以确定该证书当前是有效的。最好提供该失败的原因。
每个域选择要在内部使用的用于数字签名、数据加密、密钥加密和密钥协定的算法。而且，由域根CA密钥尺寸给出该域中可以使用的最大密钥尺寸。域成员必须具有实现具有最大密钥尺寸的域算法的加密软件/硬件。而且，一个域成员必须具有安全装载并存储的域根CA证书或一个压缩形式的域根CA证书信息。
定义一个域，以便为效率原因固定其中使用的算法。当一个域选择具有给定根密钥尺寸的RSA时，算法和密钥尺寸对于该域中的每个客户是已知的。这使得为一个移动客户支持另一个算法的效果是明显的一该客户加入的每个新域是潜在的一个新算法。实际上，出于安全原因，某些域甚至可能不允许使用其它域代码，即使该算法是相同的。
一个域根CA表示在该域中实际的算法，内部命名方案和策略。策略包括以下信息域对联系到帐户的成员标识进行什么保证，对于在域中颁发属性证书的第三方进行什么程序和保证。而且，保持用于每个交叉认证协定的特定策略。
交叉认证的过程是一个在其中两个自主安全域给予对方正式认可的过程。这是通过由每个域产生并签署一个包含其它域根证书(或其散列)的交叉证书对象来数字地完成的。而且，可以包含域间检验服务器的地址和合同协定的指示。
对于具有在服务定购时被个人化的SIM或WIM智能卡的系统中的服务提供者域，成员登记包括在WIM卡上存储成员证书和密钥。
对于不具有智能卡的系统，把密钥和证书存储在一个WIM软件令牌中。成员密钥由释义信息保护。这种信息与存储的用于该设备的一个保密值连接，并经过一个安全散列，以便产生用于保护用户专用密钥的加密/解密密钥。
成员证书也保持有该成员的帐户，并被输入到服务提供者成员目录中。在某些系统中，实际的成员证书可能不被存储在WIM自身上而是仅保持在系统中。对于这种使用，成员证书可以被用作一个用于帐户信息的安全容器，并且一个客户仅需把它的标识提供给系统；系统获得所需的证书。对于除了服务提供者以外的域，登记过程需要定义一个把密钥存储在WIM中的安全方式，并且每个域对信息有保证。
系统自举涉及域根证书和客户密钥的装载。注意到，除了客户签名密钥以外，还装载用于数据加密、密钥加密，和密钥协定的密钥。用于客户的签名密钥必须仅用于签名。用于其它目的的密钥也被装载。最初，制造厂域根证书被装载到移动设备中。该证书用于使能其它域根证书的安全装载(如果需要的话)。在不具有安全服务提供者供应方案的系统中，制造厂向服务提供者提供证书，给予服务提供者一个供应属性。该属性允许服务提供者在电话中安装它们的根证书。
有必要安全地装载和存储域证书。最初，设备制造厂证书如上所述被装载到设备中。接着，装载服务提供者和网络运营商证书。一旦装载了有效的服务提供者和网络运营商证书，这些域获得对它们的域拥有的属性的控制。制造厂域失去对它在所提供的设备中不拥有的任何属性的控制。
对于具有SIM卡的系统，无线服务提供者根证书和客户密钥和证书在被颁发到用户之前在卡上发布。用于产生和联系客户密钥的装置保证对于一个卡只可能有一个联系，并且签名密钥不能由服务提供者或它们的职员确定。个人化过程把用于一个卡的公共密钥(和专用密钥)联系到一个个人帐户。
对于不具有标识卡的系统，使用制造厂根证书装载服务提供者和网络运营商证书以确保装载过程。制造厂把证书颁发给服务提供者，允许它们签署密钥装载脚本。该设备必须确保仅使用一个正确认证的请求来装载一个域根证书。
在计划的重新启动期间，每个CA或AA仅仅重新颁发证书。一个设备必须能够接受由证书的拥有者签署的证书的证书改变顺序。
当除了根以外的CA或AA密钥被损害时，来自根的消息可以命令WIM用一个新密钥替换该密钥。为此目的使用根意味着较低级的CA不需要具有它们自己的灾难恢复密钥，只有根需要一个用于此目的的密钥。
当一个根密钥被损害时，希望能有适当的程序来允许恢复而无需所有域成员的重新登记。为此原因，每个域最好具有一个用于安全存储在WIM中的域的灾难恢复公共密钥以及域根公共密钥。该专用灾难恢复密钥必须被保持在一个单独系统中，该系统不与任何网络连接，除非正在进行灾难恢复。希望该密钥的位置物理地与域根密钥分离。灾难恢复消息是用于命令WIM自动地替换一个根密钥的消息。需要当前根密钥和灾难恢复密钥都签署根公共密钥改变消息。在接收一个其中一个签名被检查而另一个签名无效的请求时，必须导致WIM被禁止。还需要支持一个由灾难恢复密钥签署的、完全禁止SIM/WIM卡的消息。总之，灾难恢复过程是(i)由当前根密钥和灾难密钥签署的根改变消息；(ii)完全禁止WIM的消息可以由根或灾难恢复密钥签署；(iii)一个部分无效请求的接收必须导致WIM被禁止。
一个成员设备具有与其相关联的、可以用于交易或认证的密钥。这些密钥通常由一个PIN码和某个“最大尝试数”停用协议保护。当报告一个设备被偷，并且该报告自身已经以某种方式被认证了时，如果某人试图使用该被偷的设备，希望该系统能够导致一个卡远程地清除密钥。
因此，已经描述了一个在无线电子商务系统中进行交易的方法，其中该系统包括一个具有根公共密钥证书的无线网络运营商认证机构和至少一个具有独立于根公共密钥证书的数字证书的属性机构，其中属性机构可以由一个无线客户设备经过一个无线网络来访问。根据所述方法，在无线客户设备(450或452)和属性机构(404，405或405)之间建立无线通信。数字证书被从属性机构传送到无线设备，在无线网络运营商的授权下，无线客户设备使用无线客户设备中预装载的数字证书和根公共密钥证书对属性机构进行验证。通过无线网络把一个属性传送到无线客户设备，并最终在无线客户设备启用该属性。
可以通过从无线客户设备向属性机构传送一个第二数字证书并使用来自认证机构的根公共密钥证书验证该第二数字证书，来对属性的支付进行交易。最好把一个指令从属性机构传送到无线网络运营商的一个计费计算机，以把一个项目增加到用于该无线客户设备的一个无线网络运营商帐单。
可以由无线网络运营商把第二数字证书预装载到用户标识模块中，或者可以在无线网络运营商的授权下把第二数字证书预装载到一个无线通信器中。
还描述了一种在无线电子商务系统中进行交易的方法，该系统包括一个具有根公共密钥证书的无线网络运营商认证机构和至少第一和第二属性机构，属性机构具有独立于根公共密钥证书的第一和第二数字证书，其中属性机构可以由一个无线客户设备经过一个无线网络来访问。该方法包括在无线客户设备和第一属性机构之间建立一个无线通信；通过无线网络把第一属性传送到无线客户设备；产生一个可由第二属性机构验证的电子凭证；在无线客户设备和第二属性机构之间建立无线通信；向第二属性机构请求第二属性；在第二属性机构识别电子凭证；从第二属性机构把第二属性传送到无线设备。产生可以由第二属性机构验证的电子凭证的步骤可以包括通过第一属性机构和第二属性机构之间的一个连接把电子凭证从第一属性机构传送到第二属性机构，或者可以包括通过无线客户把电子凭证从第一属性机构传送到第二属性机构。
还描述了一种无线电子商务系统，包括一个具有根公共密钥证书的无线网络运营商认证机构服务器；可耦合到无线网络运营商认证机构服务器的至少一个属性机构服务器，具有独立于根公共密钥证书的数字证书；具有预装载到其中的根公共密钥证书的无线客户设备；把无线客户设备耦合到至少一个属性机构服务器的无线网络；无线客户设备中的验证装置，用于使用预装载到无线客户设备中的根公共密钥证书对无线客户设备验证数字证书；用于发送的、与属性机构服务器相关联的装置(例如，服务器18或网关420)和用于通过无线网络接收一个属性的装置(例如，无线设备450中的无线电接收机)；用于在无线客户设备处启用该属性的装置。
权利要求
1.一种在无线电子商务系统中进行交易的方法，该系统包括一个具有根公共密钥证书的无线网络运营商认证机构和至少一个具有独立于根公共密钥证书的数字证书的属性机构，其中属性机构可以由一个无线客户设备经过一个无线网络来访问，该方法包括在无线客户设备和属性机构之间建立无线通信；把数字证书从属性机构传送到无线设备；在无线网络运营商的授权下，无线客户设备使用无线客户设备中预装载的数字证书和根公共密钥证书对属性机构进行验证；通过无线网络把一个属性传送到无线客户设备；在无线客户设备启用该无线属性。
2.根据权利要求1的方法，进一步包括以下步骤执行一个交易，由此无线客户设备授权对来自属性机构的属性的支付。
3.根据权利要求2的方法，其中执行一个交易的步骤包括把第二数字证书从无线客户设备传送到属性机构，并使用来自认证机构的根公共密钥证书验证第二数字证书。
4.根据权利要求3的方法，进一步包括从属性机构向无线网络运营商的一个计费计算机传送一个指令，以把一个项目增加到用于该无线客户设备的无线网络运营商帐单。
5.根据权利要求3的方法，其中无线客户设备具有一个用户标识模块，并且第二数字证书由无线网络运营商预装载到用户标识模块中。
6.根据权利要求3的方法，其中无线客户设备是一个无线通信器，第二数字证书在无线网络运营商的授权下被预装载到无线通信器中。
7.一种在无线电子商务系统中进行交易的方法，该系统包括一个具有根公共密钥证书的无线网络运营商认证机构和至少第一和第二属性机构，属性机构具有独立于根公共密钥证书的第一和第二数字证书，其中属性机构可以由一个无线客户设备经过一个无线网络来访问，该方法包括在无线客户设备和第一属性机构之间建立一个无线通信；通过无线网络把第一属性传送到无线客户设备；产生一个可由第二属性机构验证的电子凭证；在无线客户设备和第二属性机构之间建立无线通信；向第二属性机构请求第二属性；在第二属性机构识别电子凭证；从第二属性机构把第二属性传送到无线设备。
8.根据权利要求7的方法，其中产生可以由第二属性机构验证的电子凭证的步骤包括通过第一属性机构和第二属性机构之间的一个连接把电子凭证从第一属性机构传送到第二属性机构。
9.根据权利要求8的方法，其中电子凭证标识出该凭证所有效的无线客户。
10.根据权利要求7的方法，其中产生可以由第二属性机构验证的电子凭证的步骤包括通过无线客户把电子凭证从第一属性机构传送到第二属性机构。
11.一种无线电子商务系统，包括具有根公共密钥证书的无线网络运营商认证机构服务器；可耦合到无线网络运营商认证机构服务器的至少一个属性机构服务器，具有独立于根公共密钥证书的数字证书；具有预装载到其中的根公共密钥证书的无线客户设备；把无线客户设备耦合到至少一个属性机构服务器的无线网络；无线客户设备中的验证装置，用于使用预装载到无线客户设备中的根公共密钥证书对无线客户设备验证数字证书；用于发送的、与属性机构服务器相关联的装置和用于通过无线网络接收属性、与无线客户设备相关联的装置；用于在无线客户设备处启用该属性的装置。
全文摘要
一种在无线电子商务系统中进行交易的方法,其中该系统包括一个具有根公共密钥证书的无线网络运营商认证机构(15)和至少一个具有独立于根公共密钥证书的数字证书的属性机构(404,405,406),其中属性机构可以由一个无线客户设备(11)经过一个无线网络来访问。数字证书被从属性机构传送到无线设备,在无线网络运营商的授权下,无线客户设备使用无线客户设备中预装载的数字证书和根密钥证书对属性机构进行验证。通过无线网络把一个属性(软件、服务、权利/许可或其它内容项目)传送到无线客户设备,并最终在无线客户设备启用。
文档编号G06Q30/00GK1345514SQ00805563
公开日2002年4月17日 申请日期2000年2月22日 优先权日1999年3月26日
发明者罗伯特L·盖格, 林志翰, 拉吉夫·梅达 申请人:摩托罗拉公司