提供多证书验证协议的系统及方法

专利名称：提供多证书验证协议的系统及方法
技术领域：
本发明一般而言涉及远程计算装置与服务器之间的安全通信。更特定而言，本发明涉及在提供远程计算装置与服务器之间的强有力验证中使用的客户端安全证书的创建、维持、撤销及更新。
背景技术：
技术的进步已经产生了体积更小、功能更强的个人计算装置举例而言，当前存在各种可携式个人计算装置，包括诸如可携式无线电话、个人数字助理(PDA)及传呼装置等无线计算装置，所述装置均为小型、质轻及便于用户携带的装置。更具体而言，可携式无线电话(例如)进一步包含在无线网络上传递语音包及数据包的蜂窝式电话。此外，诸多制造得相对大的此类蜂窝式电话增加了计算能力，且因此变成相当于小型个人计算机及手持式PDA。通常，这些小型但更强大的个人计算装置受到严重的资源限制。举例而言，屏幕尺寸、可用存储器的量及文件系统的空间、输入及输出能力和处理能力的量可各自受限于装置的小尺寸。由于此等严重的资源限制，举例而言，通常期望将驻存于此等个人计算装置(客户端计算装置)上的软件应用程序及其他信息维持在有限尺寸及数量。
这些个人计算装置中的某些个人计算装置利用应用程序编程接口(“API”)(有时其被称作运行时环境及软件平台)，所述应用程序编程接口安装在其本地计算机平台上且举例而言用来通过提供对装置具体资源的统一化调用来简化此等装置的操作。此外，也已知某些API可使软件开发商能够创造可完全执行于此等装置上的软件应用程序。另外，已知此等API通常以操作方式位于计算装置系统软件与软件应用程序之间以使计算装置的计算功能更适合于软件应用程序而无需软件开发商具有具体的计算装置系统源码。此外，已知某些类似的API使用安全密码键信息提供此等个人装置(亦即，客户端)与远程装置(亦即，服务器)之间的安全通信机制。
此API的实例(某些实例将在下文中予以更详细论述)包含那些由位于加利福尼亚州圣地亚哥市的Qualcomm公司开发的Wireless二进制运行时环境(BREW)的当前公开可用版本。BREW有时被阐述为存在于计算装置(通常为无线蜂窝式电话)操作系统上的薄镶面，除其它特点外，其还为基于个人计算装置的特定硬件特点提供接口。BREW的其他特征至少在于其能够相对于对此等装置资源的需求且相对于消费者为包含BREWAPI的装置所支付的价格，以相对低成本提供在此等个人计算装置上的一个优点。已知与BREW相关联的其它特点包含其可为无线服务运营商、软件开发商及计算装置消费者提供各种益处的端到端软件分布平台。至少一种此类当前可用的端到端软件分布平台包含分布于整个服务器-客户端架构上的逻辑，其中举例而言，服务器可实施记帐、安全及应用程序分布功能，且其中举例而言，客户端可实施应用程序执行、安全及用户接口功能。
关于提供客户端计算装置与服务器之间的强有力验证，当前，某些系统是通过将对应的密码(加密)算法或程序并入对应的客户端计算装置机服务器上来提供此类安全通信。这样作是为了允许服务器来验证客户端装置。此处，此等系统通常将类似的密码算法提供在服务器上以解译从明显对应的服务器所接收的证书是否来自可靠的已验证源。此等系统的特征在于根据(举例而言)所有可用于每一客户端计算装置上的信息产生证书类型的信息。已知此地系统包含诸如可能丢失安全通信的某些弱点，这是因为当密码算法存在于对应客户端计算装置中的任一者上时，对所述密码算法的任一个拷贝的未授权存取。举例而言，由于此等密码算法通常是根据通常维持于对应客户端计算装置机/或服务器上的可用信息产生证书信息，因此存在此弱点。因此，当此等算法所使用的密码算法及数据两者可自由使用时，任一实体(其成功解译在任一此类装置中如何产生证书)现在几乎拥有允许此实体有选择地破坏原本存在于此等系统内的安全通信的信息且伪装成经验证且有效的客户端计算装置。
已知提供客户端计算装置与服务器之间的安全通信的其它系统至少部分地是通过在制造时即将安全证书安装于客户端计算装置上来如此作。在一实例中，服务提供商将安全证书提供给计算装置制造商以使所述制造商可在制造过程期间将个别安全证书安装在单独的客户端计算装置上。虽然此等系统通常并不具有上述那些系统(例如，在每一手持装置上维持密码算法的那些系统)的某些弱点，但此等证书安装系统的确具有其自己的独特问题及弱点。举例而言，此等证书安装系统通常难以实施，这是因为通常需要给原本通常为构成制造过程的一系列静态步骤添加动态步骤。更具体而言，与表示在每一计算装置上实施相同作业的典型静态步骤不同，相反，新的动态步骤表示新的步骤，其中在每一单独客户端计算装置上实施不同的作业(添加唯一证书)。举例而言，此与以相同方式在每一单独客户端计算装置上安装相同显示器的典型静态步骤极不相同。另外，此等系统的至少一个弱点包含对安全证书列表的未授权存取的潜在发生，而此可能会使未授权实体欺骗原本经授权装置的身份。
在其它系统中，部分地通过经授权代理人安装或编程电话来提供安全通信。通常，此等编程发生于制造及装运客户端计算装置之后。在一实例中，安全证书是在销售装置时且在销售装置的地点处安装在客户端计算装置上。此处，在至少一个实例中，经授权代理人将来自唯一安全码列表的码输入至客户端计算装置内。在其它示例中，使用自动阅读器将个别安全码传送至每一客户端计算装置。虽然，此过程可避免某些与在制造时编程此等客户端计算装置相关联的困难，例如，将动态制造步骤添加至通常为静态步骤的过程，但此过程仍包含其自己的困难及弱点。举例而言，一个弱点是对安全证书列表的未授权存取的问题，而此会使未授权实体欺骗原本经授权装置的身份。
当前可用安全通信系统的一般特点还在于在对应客户端装置上使用证书的硬连线或硬编码方面。此等系统的此硬连线/硬编码方面需要无论何时发生诸如泄密的情况，均由服务技工为客户端装置提供实际服务，举例而言，在所述情况下需要替换、添加及/或另外更新任何一个或多个证书。此由服务技工提供实际服务的要求成本极大，特别是当需要妥善处理大量客户端装置时。
因此，有利的情况是提供一种客户端-服务器系统，其包含为一般安全通信技术所固有的多数安全通信优点(例如，那些与安全证书的使用相关联的优点)，同时也避免此等现有系统的其它较不有利的方面，例如，与将密码算法存储于客户端计算装置上相关联的问题，而此需要在制造时安装安全证书或在销售点位置处编程安全证书及万一泄密即更新或替换这些证书的能力。

发明内容
本文所揭示的实施例解决上述需要，举例而言，所述实施例包含一个或多个其中使用方法、软件及设备提供客户端计算装置与服务器之间的安全通信的实施例。至少一个实施例包含经由网络接收所述客户端计算装置的特征。此实施例也包含产生多个证书，所述多个证书中的至少一个证书基于所述客户端计算装置的所接收的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所接收的特征及类属键两者。此实施例还包含经由网络发送所述多个证书。
至少一个实施例包含经由网络发送所述客户端计算装置的特征。此实施例也包含经由网络接收多个证书，所述多个证书中的至少一个证书基于所述客户端计算装置的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的特征及类属键两者。
至少一个实施例包含经由网络从所述客户端计算装置发送所述客户端计算装置的特征。此实施例也包含经由网络在所述服务器处接收所述客户端计算装置的特征。此实施例还包含产生多个证书，所述多个证书中的至少一个证书基于所述客户端计算装置的所接收的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所接收的特征及类属键两者。此实施例也包含经由网络从所述服务器发送所述多个证书。此实施例也包含经由网络在所述客户端计算装置处接收所述多个证书。
至少一个实施例包含经配置以经由网络接收所述客户端计算装置的特征的逻辑。此实施例也包含经配置以产生多个证书的逻辑，所述多个证书中的至少一个证书基于所述客户端计算装置的所接收的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所接收的特征及类属键两者。此实施例还包含经配置以经由网络发送所述多个证书的逻辑。
至少一个实施例包含经配置以经由网络发送所述客户端计算装置的特征的逻辑。此实施例还包含经配置以经由网络接收多个证书的逻辑，所述多个证书中的至少一个证书基于所述客户端计算装置的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的特征及类属键两者。
至少一个实施例包含客户端计算装置，其包含经配置以经由网络发送所述客户端计算装置的特征及经由网络接收多个证书的逻辑。此实施例也包含服务器，其包含经配置以经由网络接收所述客户端计算装置的特征、产生所述多个证书(所述多个证书中的至少一个证书基于所述客户端计算装置的所接收的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所接收的特征及类属键两者)及经由网络发送所述多个证书的逻辑。
至少一个实施例包含可运行以经由网络接收所述客户端计算装置的特征的码。此实施例也包含可运行以产生多个证书的码，所述多个证书中的至少一个证书基于所述客户端计算装置的所接收的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所接收的特征及类属键两者。此实施例还包含可运行以经由网络发送所述多个证书的码。
至少一个实施例包含可运行以经由网络发送所述客户端计算装置的特征的码。此实施例也包含可运行以经由网络接收多个证书的码，所述多个证书中的至少一个证书基于所述客户端计算装置的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的特征及类属键两者。
至少一个实施例包含用于经由网络接收所述客户端计算装置的特征的装置。此实施例也包含用于产生多个证书的装置，所述多个证书中的至少一个证书基于所述客户端计算装置的所接收的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所接收的特征及类属键两者。此实施例还包含用于经由网络发送所述多个证书的装置。
至少一个实施例包含用于经由网络发送所述客户端计算装置的特征的装置。至少一个实施例包含用于经由网络接收多个证书的装置，所述多个证书中的至少一个证书基于所述客户端计算装置的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的特征及类属键两者。
至少一个实施例包含经由网络接收包含多个证书的信号，所述多个证书中的至少一个证书基于所述客户端计算装置的所接收的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所接收的特征及类属键两者。至少一个实施例包含根据对所述多个证书中的任一证书的选择性验证确定所述信号的可靠性。
至少一个实施例包含经由网络发送包含多个证书的信号，所述多个证书中的至少一个证书基于所述客户端计算装置的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的特征及类属键两者。
至少一个实施例包含经由网络从所述客户端计算装置发送包含多个证书的信号，所述多个证书中的至少一个证书基于所述客户端计算装置的所接收的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所接收的特征及类属键两者。此实施例也包含经由网络在所述服务器处接收所述信号。此实施例还包含根据对所述多个证书中的任一证书的选择性验证在所述服务器处确定所述信号的可靠性。
至少一个实施例包含经配置以经由网络接收包含多个证书的信号的逻辑，所述多个证书中的至少一个证书基于所述客户端计算装置的所接收的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所接收的特征及类属键两者。此实施例包含经配置以根据对所述多个证书中的任一证书的选择性验证确定所述信号的可靠性的逻辑。
至少一个实施例包含经配置以经由网络发送包含多个证书的信号的逻辑，所述多个证书中的至少一个证书基于所述客户端计算装置的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的特征及类属键两者。
至少一个实施例包含客户端计算装置，所述客户端计算装置包含经配置以经由网络发送包含多个证书的信号的逻辑，所述多个证书中的至少一个证书基于所述客户端计算装置的所接收的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所接收的特征及类属键两者。此实施例还包含服务器，所述服务器包含经配置以经由网络接收所述信号及根据对所述多个证书中的任一证书的选择性验证确定所述信号的可靠性的逻辑。
至少一个实施例包含可运行以经由网络接收包含多个证书的信号的码，所述多个证书中的至少一个证书基于所述客户端计算装置的所接收的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所接收的特征及类属键两者。此实施例也包含可运行以根据对所述多个证书中的任一证书的选择性验证确定所述信号的可靠性的码。
至少一个实施例包含可运行以经由网络发送包含多个证书的信号的码，所述多个证书中的至少一个证书基于所述客户端计算装置的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的特征及类属键两者。
至少一个实施例包含用于经由网络接收包含多个证书的信号的装置，所述多个证书中的至少一个证书基于所述客户端计算装置的所接收的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所接收的特征及类属键两者。至少一个此实施例也包含用于根据对所述多个证书中的任一证书的选择性验证确定所述信号的可靠性的装置。
至少一个实施例包含用于经由网络发送包含多个证书的信号的装置，所述多个证书中的至少一个证书基于所述客户端计算装置的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的特征及类属键两者。
至少一个实施例包含经由网络接收包含所述客户端计算装置的特征的信号。此实施例也包含产生多个证书，所述多个证书中的至少一个证书基于所述客户端计算装置的所接收的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所接收的特征及类属键两者。此实施例还包含经由网络发送包含所述多个证书的信号。此实施例也包含经由网络接收包含所述多个证书的信号。此实施例也包含根据对所接收的多个证书中的任一证书的选择性验证确定所接收的信号的可靠性。
至少一个实施例包含经由网络发送包含所述客户端计算装置的特征的信号。此实施例也包含经由网络接收包含多个证书的信号，所述多个证书中的至少一个证书基于所述客户端计算装置的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的特征及类属键两者。此实施例还包含经由网络发送包含所接收的多个证书的信号。
至少一个实施例包含经配置以经由网络接收包含所述客户端计算装置的特征的信号的逻辑。此实施例也包含经配置以产生多个证书的逻辑，所述多个证书中的至少一个证书基于所述客户端计算装置的所接收的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所接收的特征及类属键两者。此实施例还包含经配置以经由网络发送包含所述多个证书的信号的逻辑。此实施例也包含经配置以经由网络接收包含所述多个证书的信号的逻辑。此实施例也包含经配置以根据对所接收的多个证书中的任一证书的选择性验证确定所接收的包含多个证书的信号的可靠性的逻辑。
至少一个实施例包含经配置以经由网络发送包含所述客户端计算装置的特征的信号的逻辑。此实施例也包含经配置以经由网络接收包含多个证书的信号的逻辑，所述多个证书中的至少一个证书基于所述客户端计算装置的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的特征及类属键两者此实施例还包含经配置以经由网络发送包含所接收的多个证书的信号的逻辑。
至少一个实施例包含可运行以经由网络接收包含所述客户端计算装置的特征的信号的码。此实施例也包含可运行以产生多个证书的码，所述多个证书中的至少一个证书基于所述客户端计算装置的所接收的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所接收的特征及类属键两者。此实施例还包含可运行以经由网络发送包含所述多个证书的信号的码。此实施例也包含可运行以经由网络接收包含所发送的多个证书的信号的码。此实施例也包含可运行以根据对所接收的多个证书中的任一证书的选择性验证确定所接收的包含所接收的多个证书的信号的可靠性的码。
至少一个实施例包含可运行以经由网络发送包含所述客户端计算装置的特征的信号的码。此实施例也包含可运行以经由网络接收包含多个证书的信号的码，所述多个证书中的至少一个证书基于所述客户端计算装置的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的特征及类属键两者。此实施例还包含可运行以经由网络发送包含所接收的多个证书的信号的码。
至少一个实施例包含用于经由网络接收包含所述客户端计算装置的特征的信号的装置。此实施例也包含用于产生包含多个证书的信号的装置，所述多个证书中的至少一个证书基于所述客户端计算装置的所接收的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所接收的特征及类属键两者。此实施例还包含用于经由网络发送包含所述多个证书的信号的装置。此实施例也包含用于经由网络接收包含所发送的多个证书的信号的装置。此实施例也包含用于根据对所接收的多个证书中的任一证书的选择性验证确定所接收的包含所接收的多个证书的信号的可靠性的装置。
至少一个实施例包含用于经由网络发送包含所述客户端计算装置的特征的信号的装置。此实施例也包含用于经由网络接收包含多个证书的信号的装置，所述多个证书中的至少一个证书基于所述客户端计算装置的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的特征及类属键两者。此实施例还包含用于经由网络发送包含所接收的多个证书的信号的装置。
至少一个实施例的至少一种优点包含用于创建证书的数据与用于解译所述证书的密码算法在不同装置之间的分离。至少一个实施例的至少一种优点包含引入一种无需在制造时安装安全证书的安全通信方法。至少一个实施例的至少一种优点包含引入一种无需在销售点位置处编程安全证书的安全通信方法。至少一个实施例的至少一种优点包含引入无需个人采取明显的动作以将安全证书引入至客户端计算装置的安全通信。
至少一个实施例的至少一种优点包含与客户端计算装置相距遥远的装置可动态地改变关于如何验证通信的过程的能力。至少一个实施例的至少一种优点包含远程服务器在客户端计算装置处起动关于安全证书的重新安装过程的能力。至少一个实施例的至少一种优点包含通过在动态安全通信过程中使用多个证书来提供灵活性。至少一个实施例的至少一种优点包含客户端计算装置的远程装置可在系统运行期间在客户端计算装置上增补、替换及/或删除证书的能力。
在阅读整个申请案之后将显见本发明的其它方面、优点及特点，所述申请案包含以下部分


具体实施方式
及权利要求书。

结合附图参照下文详细说明，将更易了解本文所述实施例的上述方面及伴随优点，附图中图1是客户端计算装置与服务器之间的安全通信系统的一个实施例的高级示意图；
图2是客户端计算装置与服务器之间的安全通信系统的一个实施例的半高级示意图；图3是在客户端计算装置与服务器之间的安全通信系统中使用的客户端计算装置的一个实施例的方块图；图4是在客户端计算装置与服务器之间的安全通信系统中使用的服务器的一个实施例的方块图；图5是图解说明客户端计算装置与服务器之间的安全通信系统的一个实施例的流程图；图6是图解说明客户端计算装置与服务器之间的安全通信系统的一个实施例的流程图；图7是图解说明客户端计算装置与服务器之间的安全通信系统的一个实施例的流程图；图8是图解说明使用信号来起始客户端计算装置计算装置与服务器之间的安全通信的过程的一个实施例的示意图；图9是图解说明使用信号来重新起始客户端计算装置计算装置与服务器之间安全通信的过程的一个实施例的示意图；图10图解说明提供客户端计算装置与服务器之间的安全通信的方法的一个实施例；图11图解说明提供客户端计算装置与服务器之间的安全通信的方法的一个实施例；及图12图解说明提供客户端计算装置与服务器之间的安全通信的方法的一个实施例。
具体实施例方式
本文所用“实例性”一词意指“用作实例、示例或例证”。本文中阐述为‘实例性“的任何实施例均未必被理解为好于或优于其它实施例。此外，可根据(例如)计算装置的元件所实施的动作序列阐述许多实施例。应了解本文所阐述的各种动作可由专用电路(例如，专用集成电路(ASIC))、可由一个或多个处理器执行的程序指令或两者的组合来实施。此外，也可将本文所述实施例另外视为完全包含在任一形式的计算机可读存储媒体中，所述计算机可读存储媒体中已存储相应的计算机指令组，当被执行时所述计算机指令组可使相关联的处理器实施本文所述的功能。因此，本发明的各种方面可以诸多不同的形式来实施，所有这些形式均涵盖于所主张标的物的范畴内。除此之外，对于本文所述的每一实施例，任何此等实施例的对应形式于本文中均可阐述为(例如)配置用于实施某一动作的“逻辑”或用于实施所阐述动作的“码”。
以下详细说明阐述用于提供客户端计算装置与服务器之间的安全通信的方法、系统、软件及设备。在至少一个实施例中，无线客户端计算装置通过将客户端计算装置的特征提供至服务器以在网络上的应用程序下载服务器内注册且其中服务器提供至少一个基于客户端计算装置的特征的证书及至少一个基于服务器信息的其它证书。
在一个或多个实施例中，用于提供客户端计算装置与服务器之间的安全通信的系统与执行于计算装置上的运行时环境(API)一起运行。此一个运行时环境(API)是由位于加利福尼亚圣地亚哥的QUALCOMM公司开发的二进制无线运行时环境(BREW)软件平台的新版本。在下文说明中的至少一个实施例中，用于提供客户端计算装置与服务器之间的安全通讯的系统构建于执行运行时环境(API)的计算装置(例如，BREW软件平台的新版本)上。然而，用于提供客户端计算装置与服务器之间的安全通讯的系统的一个或多个实施例适合与其他类型的运行时执行环境(API)一起使用，所述运行时环境(例如)可运行以控制应用程序于无线客户端计算装置上的执行。
图1图解说明用于在诸如蜂窝式电话102的无线装置上删除及重新载入软件应用程序组件的系统100的一个实例性实施例，蜂窝式电话102跨越无线网络104与至少一个应用程序下载服务器106通信，应用程序下载服务器106跨越通至无线网络104的无线通信门户或其它数据存取有选择地将软件应用程序及组件传输至无线装置。如此处所示，无线装置可为蜂窝式电话102、个人数字助理108、传呼器110(此处将其显示为双向文本传呼器)，或甚至为具有无线通讯门户且可另外具有通至网络或因特网的有线连接114的单独计算机平台112。因此，可在包含无线通讯门户的任一形式的远程模块上实施所述发明性系统，包含但不限于无线调制解调器、PCMCIA卡、存取终端机、个人计算机、存取终端机、不带显示或键盘的电话、或其任一组合或子组合。
此处，图中显示应用程序下载服务器106处在网络116上以使其它计算机元件与无线网络104通信。存在第二服务器120及独立服务器122，且每一服务器可跨越无线网络104给无线装置102、108、110、112提供单独的服务及处理。较佳也存在至少一个存储应用程序数据库118，其保存可由无线装置102、108、110、112下载的软件应用程序。本发明涵盖不同的实施例，所述实施例设置逻辑以于一个或多个应用程序下载服务器106、第二服务器120及独立服务器122处实施安全通讯。
在图2中，显示更全面图解说明系统100的方块图，其包含无线网络104的组件及实例性实施例各元件的相互关系。系统100仅具实例性，并可包含诸如无线客户端计算装置102、108、110、112等远程模块可借此在彼此之间或在经由无线网络104连接的组件之间达成无线通讯的任何系统，包含但不限于无线网络载波及/或服务器等。应用程序下载服务器106及存储应用程序数据库118连同任何其它服务器(例如，蜂窝式电信服务所需的服务器120)均通过数据链路(例如，因特网、安全LAN、WAN或其它网络)与载波网络200通信。在所显示的实施例中，服务器120包含服务器安全121，其包含经配置以在载波网络200上提供安全通信的逻辑。此服务器安全模块121与设置在客户端计算装置(例如，无线装置102、108、110、112)上的客户端安全模块一起运行以提供安全通信。
载波网络200控制发送至消息接发服务控制器(“MSC”)202的消息(以数据包形式发送)。载波网络200可通过网络、因特网及/或POTS(“常规普通电话系统”)与MSC202通讯。通常，载波网络200与MSC202之间的网络或因特网连接传送数据，而POTS传送语音信息。MSC202连接至多个基站(“BTS”)204。以类似于载波网络的方式，MSC202通常是通过用于数据传送的网络及/或因特网及用于语音信息的POTS两者连接至BTS204。BTS204最终通过短消息接发服务(“SMS”)或其它所属技术领域已知的无线传输方法以无线方式将消息广播至诸如蜂窝式电话102的无线装置。
诸如蜂窝式电话102的无线装置(此处为无线客户端计算装置)具有计算机平台206，其可接收并执行从应用程序下载服务器106所传输的软件应用程序。计算机平台50包含专用集成电路(“ASIC”208)、或其它处理器、微处理器、逻辑电路、或其它数据处理装置。ASIC208是在制造无线装置时安装且在正常情况下不能升级。ASIC208或其他处理器可执行应用程序编程接口(“API”)210层，所述层可与无线装置的存储器212中的任何驻存程序界接。存储器212可由只读或随机存取存储器(RAM及ROM)、EPROM、EEPROM、快闪卡、或任一计算机平台常用的存储器构成。API210也包含客户端安全模块214，其包含经配置以在载波网络200提供安全通讯的逻辑。此客户端安全模块214与客户端安全模块121一起运行来提供安全通信。计算机平台206也包含本地数据库214，其可将尚未有效使用的应用程序保存在存储器212内。本地数据库216通常为快闪存储单元，但也可为所属技术领域中众所周知的辅助存储装置，例如，磁性媒体、EPROM、光学媒体、磁带、或软磁盘或硬磁盘。
因此，诸如蜂窝式电话102的无线客户端计算装置可从应用程序下载服务器106下载一个或多个软件应用程序(例如，游戏、新闻、股票监视程序及类似程序)并在所述应用程序不使用时将其保存在本地数据库216上，且在用户需要时将本地数据库216上存储的驻存应用程序上载至存储器212供在API210上执行。此外，无线网络104上的通讯至少部分地会因客户端安全模块214与服务器安全模块121之间的交互作用及运行而以一安全方式实施。如同本文进一步阐述的那样，所述发明性系统及方法提供无线网络104上的此安全通信。
图3图解说明可运行以提供与远程服务器的安全通信的客户端计算装置300的一个实例性实施例。举例而言，如本文中所使用“客户端计算装置”包含一个或多个执行驻存配置逻辑的处理电路，其中此等计算装置包含(举例而言)微处理器、数字信号处理器(DSP)、微控制器、可携式无线电话、个人数字助理(PDA)及传呼装置、或任何包含经配置以至少实施本文所述针对安全通信的作业的处理器及逻辑的硬件、软件及/或固件的适当组合。至少一个远程服务器针对至少此等安全通信来服务客户端计算装置。
如实例性实施例中所示，客户端计算装置300包含存储器302、网络I/O接口304、处理器306及总线308。尽管存储器302显示为RAM存储器，但其它实施例包含如同存储器302一样提供配置逻辑存储的所有已知类型的存储器。另外，尽管存储器302显示为一种类型的存储器的一个接续单元，但其它实施例可使用多个位置及多种类型的存储器作为存储器302。网络I/O接口304可向经由总线308耦合至网络的装置提供输入及输出。处理器306处理经由总线308提供的指令及数据。在至少一个实施例中，处理器306为ASIC208的部分。
客户端计算装置300的特征310、证书312、经由网络发送客户端计算装置300的特征310的逻辑314、及经由网络接收多个证书312的逻辑316均位于存储器302内，所述多个证书中的至少一个证书基于客户端计算装置的所接收的特征310及唯一客户端密钥(320)两者，且所述多个证书中的至少一个证书基于客户端计算装置的所接收的特征310及类属键(322)两者。在至少一个实施例中，客户端计算装置300的特征310包含以下各项中的任何一项或多项客户端计算装置300电话号码、客户端计算装置300系统识别号(SID)、客户端计算装置300BREW版本、客户端计算装置300硬件ID(例如，电子序号(ESN))、客户端计算装置300固件版本、运营商ID、可移除式用户身份模块(RUIM)卡ID、可移动式目录号(MDN)、移动信息号(MIN)、装置网络地址(例如，IP地址)、服务订户记帐帐号(例如，国际移动订户身份(BVISI))、客户端计算装置300密钥(例如，A键)、用户ID及个人识别号(PIN)。在其它实施例中，可将其它信息用作客户端计算装置300的特征310，其中此信息可用于识别客户端计算装置300。如以上所例示，客户端计算装置300的特征310有时包含对此客户端计算装置300实质上并非唯一的但当与其它特征310结合时可用于唯一地识别特定客户端计算装置300的特征310。此外，在至少一个实施例中，通过对客户端计算装置300的特征310及客户端密钥实施单向密码作业来配制至少一个基于客户端计算装置的所接收的特征310及唯一客户端密钥(320)两者的证书。在某些实施例中，使用相同或不同的密码算法来配制其它证书，而在其它实施例中，某些证书并非使用密码算法配置而成。
在至少一个实施例中，所述系统包含在验证跨越无线网络104发送的信号中使用的证书312。此等证书312仅在已初始发送客户端计算装置300的特征310且也接收到对应证书312后存在于存储器302内。虽然其它实施例使用附加的证书312，但在一个实施例中，证书312由一个基于所发送的客户端计算装置300的特征310及唯一客户端密钥(320)两者的证书320、及另一基于客户端计算装置的特征310及类属键(322)两者的证书322所构成。使用多个证书以便可视需要将此等证书中的任一个或多个证书用于验证对应的信号。如此，举例而言，远程服务器可有选择地挑选证书312来检验对客户端计算装置300所发送信号的验证。
在一个实施例中，基于其中一个此种证书与特定服务器106、120、122相关联的类属键使用多个证书312，而另一证书基于其中一个此种证书与多服务器群(例如，多个与网络运营商的一个或多个应用程序下载服务器相关联的服务器群群组)内的特定服务器群(例如，与网络运营商的应用程序下载服务器相关联的服务器群)相关联的类属键，而另一证书基于其中此证书与特定服务器群所归属的多服务器群相关联的类属键。在此等实施例的每一实施例中，类属键与客户端计算装置300的特征312一起用来产生唯一证书。在此等系统中，举例而言，如果特定服务器群或与其相关联的数据库受到损失，则与所述服务器群相关联的剩余服务器可继续接收并通过根据与多服务器群/客户端计算装置300组合相关联的证书有选择地挑选以仅验证证书320来验证从特定客户端计算装置300所发送的信号。
此处，由于特定服务器群的损失，因此在验证过程中忽略与特定服务器群/客户端计算装置300相关联的证书。如此，至少一个实施例包含选择性使用多个证书312以有选择地验证信号以使原本与证书312中的一个证书相关联的数据或设备(例如，服务器及服务器群)的任何特定损失均不会对继续验证从特定客户端计算装置300发送的信号的安全过程造成毁灭性影响。如此，取决于与服务器及/或服务器群相关的组件的可用性或不可用性，可有选择地应用变化的验证强度以验证从客户端计算装置300发送的信号。
另一选择为，在至少一个实施例中，有选择地使用一子组的多个证书312来验证信号，即使除所述子组的多个证书外还有更多证书为有效且可供使用。在此一实施例中，选择性使用一子组的可用且有效的多个证书312是根据所期望的特定验证强度的确定而实施。在一个实施例中，此验证强度是根据相比其它方案与特定验证方案相关联的相对费用而确定。在一个实施例中，相对费用部分地根据与对应交易相关联的价值(例如，收入总额)，而此与所述信号的验证相关联的成本有关(例如，时间、处理成本等)。举例而言，在系统处理表示具有一美元对应低值交易的信号时，所述系统有选择地将其用于验证信号的验证强度基于一组的(例如，子组)多个有效证书312，而所述组(子组)比所述系统在验证另一组(例如，子组)与表示具有一百美元对应高值交易的信号相关联的多个有效证书312中使用的要小。此外，由于在验证中估计的多个有效证书的数量可变化(亦即，用于高收入交易的要比用于低收入交易的多)，因此可由所述系统来检验某些交易(亦即，低收入交易)(亦即，那些需要使用少于多个证书312的交易)而不检验其它交易(亦即，那些需要使用多于多个证书312的交易)。也就是说，根据一组(举例而言)四个证书来确定验证可导致验证一个信号/交易而一组(举例而言)四个证书可导致不验证另一信号/交易。如此，至少一个实施例提供动态验证过程，其中可在不同时间时使用所发送的证书312组中的不同证书(例如，在量上或在所使用的证书上不同)来验证来自任一特定客户端计算装置300的相同或不同的信号。
在至少一个实施例中，所述系统包含逻辑314以经由网络发送客户端计算装置300的特征310及唯一客户端密钥(320)。在至少一个实施例中，发送此客户端计算装置300的特征310的目的在于使远程接收装置接收此信息，其中此信息的全部或部分将在根据所发送的客户端计算装置300的特征310及唯一客户端密钥(320)产生证书320中使用。在一个实施例中，此远程接收装置为服务器120。
在至少一个实施例中，所述系统包含逻辑316以经由网络接收多个证书312，所述多个证书中的至少一个证书基于客户端计算装置300的特征310及唯一客户端密钥(320)两者，且所述多个证书中的至少一个证书基于客户端计算装置300的特征310及类属键(322)两者。在至少一个实施例中，从远程发送装置发送所述多个证书312，其中所述证书是根据客户端计算装置300的特征310(先前从客户端计算装置300发送的)及根据键(其唯一与所述远程发送装置相关联)两者产生的。在一个实施例中，此远程发送装置为服务器106、120、122。在一个实施例中，所接收的多个证书312被存储于存储器302内以供随后包含于从计算装置发送的信号内。在某些实施例中，根据随后接收的包含删除、增补及/或替换所存储证书的命令的信号，用新证书有选择地替换存储的多个证书312。
图4图解说明服务器400的一个实例性实施例，服务器400可运行以实施与客户端计算装置300的安全通信。如本文中所使用“服务器”包含(举例而言)执行于计算装置上给执行于相同或单独计算装置300上的另一逻辑提供服务的逻辑。在一个实施例中，服务器400包含运行于来自客户端计算装置300的单独计算装置上的逻辑且通过网络耦合至客户端计算装置300。在一个实施例中，此网络至少部分地为无线网络104。在至少一个所述实施例中，服务器400响应于从客户端计算装置接收包含客户端计算装置300的特征310的信号给客户端计算装置提供多个证书312。在至少一个实施例中，服务器400可为关于图1显示及阐述的服务器106、120、122中的任一者。
如实例性实施例中所示，服务器400包含存储器402、网络I/O接口404、处理器406及总线408。尽管存储器402显示为RAM存储器，但其它实施例包含可如存储器402一样提供配置逻辑存储的所有已知类型的存储器。此外，尽管存储器402显示为一种类型的存储器的一个接续单元，但其它实施例可使用多个位置及多种类型的存储器作为存储器402。网络I/O接口404可向经由总线408耦合至网络的装置提供输入及输出。处理器406可处理经由总线408提供的指令及数据。
客户端计算装置300的特征310、证书312、客户端密钥409、类属键410、经由网络接收客户端计算装置300的特征的逻辑412、产生多个证书312的逻辑414(所述多个证书中的至少一个证书基于客户端计算装置300的所接收的特征310及唯一客户端密钥409两者，且所述多个证书中的至少一个证书基于客户端计算装置300的所接收的特征310及类属键410两者)、及经配置以经由网络发送多个证书312的逻辑415均位于存储器402内。在至少一个实施例中，唯一客户端密钥409表示与特定客户端计算装置300相关联且另外不与任何其它装置、客户端、服务器等相关联的唯一键。在至少一个实施例中，服务器在与特定客户端计算装置300相关联的注册时产生此唯一客户端密钥409。对于每一与服务器400相关联的客户端计算装置300，存在单独且唯一的客户端密钥409，所述客户端密钥存储于服务器400内或另外可存取至服务器400。在一个实施例中，此等唯一客户端密钥409存储于位于服务器400上的数据库内。在某些实施例中，不根据客户端密钥409产生证书且如此，唯一依赖于基于一个或多个类属键410的证书。举例而言，若服务器400不可用数据库来存储多个唯一客户端密钥409，则情况即如此。
在至少一个实施例中，类属键410包含与服务器相关联的服务器键416。服务器键410包含与特定服务器相关联的唯一键。此服务器键410可结合客户端计算装置300的特征310以产生基于服务器的证书。在另一实施例中，类属键410包含与服务器群相关联的服务器群键418。此服务器群键418可结合客户端计算装置300的特征310以产生基于服务器群的证书。在另一实施例中，类属键410包含与特定群组的多个服务器群相关联的多个服务器群键420。此等多个服务器群键420可结合客户端计算装置300的特征310以产生基于多个服务器群的证书。
在至少一个实施例中，所述系统包含逻辑412以经由网络接收客户端计算装置300的特征310。在至少一个实施例中，出于根据所发送的客户端计算装置300的特征310及唯一客户端密钥409产生证书320的目的，接收客户端计算装置300的此等特征310，其中将使此证书320返回至发送装置以供在验证从此装置发送的后续信号中使用。在一个实施例中，此发送装置为客户端计算装置300。在至少一个实施例中，此客户端计算装置300可为图1中阐述及显示的任一无线装置102、108、110、112。
在至少一个实施例中，所述系统包含逻辑414以产生多个证书312，所述多个证书中的至少一个证书基于客户端计算装置300的所接收的特征310及唯一客户端密钥409两者，且所述多个证书中的至少一个证书基于客户端计算装置300的所接收的特征310及类属键410两者。在一个实施例中，客户端计算装置300的所接收的特征310是从远程装置发送的。在一个实施例中，此远程发送装置为服务器106、120、122。在一个实施例中，所产生的多个证书312存储于存储器302内以便随后包含于从与客户端注册信号相关联的服务器400发送的信号内。在至少一个实施例中，使用存储的多个证书312与嵌于输入信号中的证书比较以确定输入信号的可靠性。在某些实施例中，有选择地修改存储的多个证书312(亦即，用新证书替换)且将此等包含相关联命令(例如，删除、增补及替换)的修改传输至远程装置，以允许所述远程装置修改其对应的证书。
在至少一个实施例中，用于产生多个证书312(所述多个证书中的至少一个证书基于客户端计算装置300的所接收的特征310及唯一客户端密钥409两者，且所述多个证书中的至少一个证书基于客户端计算装置300的所接收的特征310及类属键410两者)的逻辑414包含附加的逻辑(未显示)，所述附加逻辑可运行以根据与服务器400相关的情况产生更多或更少的证书。在此一实施例中，服务器400检测证书的损失及/或某些证书是否已失密，且响应于此运行以产生随后将发送至客户端计算装置300的替换证书。在另一实施例中，服务器400响应于从客户端计算装置300接收第一组证书312(其中服务器400无法检验所有此等证书)且进一步响应于从客户端计算装置300接收第二组证书312(其中服务器400现在可检验此第二组证书312)，服务器400因此运行以产生新证书312。在另一实施例中，服务器400响应于从客户端计算装置300接收第一组(弱的)证书312(其中服务器400仅能检验受限制组的证书312)，服务器400因此运行以产生一个或多个要发送至客户端计算装置300的新证书312，以此作为强化从客户端计算装置300传输的所述组的证书312的方式。
图5图解说明用于提供安全通信的方法500的一个实例性实施例。方法500开始于开始步骤502处。在一个实施例中，若客户端计算装置300检测自身的启动，则所述过程以步骤504继续。接下来，在步骤506中，且响应于客户端计算装置300的启动检测，客户端计算装置300运行以检索客户端计算装置300的特征310。一旦完成检索，在步骤508中，客户端计算装置300运行以经由网络发送客户端计算装置300的特征310。接下来，在步骤510中，服务器400运行以接收所发送的客户端计算装置300的特征310。一旦服务器400已接收到所发送的客户端计算装置300的特征310，则系统如此运行以在步骤512中使服务器400根据客户端计算装置300的特征310及唯一客户端密钥409产生证书320。同样，一旦服务器400已接收到所发送的客户端计算装置300的特征310，则系统如此运行以在步骤514中使服务器400根据客户端计算装置300的特征310及类属键410产生至少一个证书322。
一旦产生了证书312，则在步骤516中服务器400运行以将证书312发送至客户端计算装置300。在步骤516中发送证书312后，系统在步骤518中如此运行以使客户端计算装置接收证书312。接下来，在步骤520中，系统如此运行以使客户端计算装置300将证书312存储于存储器302内。方法500的最终步骤为步骤522。在至少一个实施例中，以安全模式实施方法500的一个或多个步骤。举例而言，在一个实施例中，于客户端计算装置处在安全模式下实施步骤506、508、516、518及520。此安全模式运行以防止不期望的未授权程序或未授权实体对数据的窥探。在一个实施例中，安全模式包含安全文件系统的使用。此等安全模式作业可为所属技术领域中周知的任何数量的当前周知的技术。
图6图解说明用于提供安全通信的方法600的一个实例性实施例。方法600开始于开始步骤602处且以步骤604继续，其中系统运行以在服务器400处确定是否需要请求客户端计算装置300进行注册。此注册需要可基于服务器400确定的任何数量的因素。举例而言，服务器400可检测与客户端计算装置300通信的问题，且响应于此，可确定是否需要此注册。同样地，服务器400可检测影响安全通信的其它问题，且响应于此，确定是否需要客户端计算装置300的注册(亦即，确定服务器键已失密且因此起始重新注册所有客户端计算装置的过程)。在确定需要请求客户端计算装置300进行注册后，在步骤606中，服务器400给客户端计算装置300发送注册请求。响应于此，在步骤608中，客户端计算装置300接收注册客户端计算装置300的请求。一旦接收到注册请求，则客户端计算装置300遵循上述包含步骤506、508、510、512、514、516、518、520及522的步骤并实施相关联的功能。
图7图解说明用于提供安全通信的方法700的一个实例性实施例。更具体而言，方法700针对发送包含所存储证书312的消息。方法700开始于开始步骤702且以步骤704继续，其中客户端计算装置300运行以根据客户端计算装置300的特征310及唯一客户端密钥409从存储器302中检索所存储的证书320。方法700也包含步骤706，其中客户端计算装置300根据客户端计算装置300的特征310及类属键410从存储器302中检索至少一个存储的证书322。一旦检索到所存储的证书312，则在步骤708中，客户端计算装置300运行以在网络上发送包含证书312的信号。响应于发送包含证书312的信号，在步骤710中，服务器400接收此信号。接下来，在步骤712中，服务器400运行以从所述信号中检索证书312。一旦检索到证书312，则服务器400运行以在步骤714中将所检索的证书312与所期望的证书进行比较。在一个实施例中，所期望的证书存储于服务器400上且用于当接收到对应信号时与所检索的证书312进行比较。接下来，响应于步骤714的比较(其产生客户端计算装置300的所期望证书与从所接收信号中检索的证书之间的匹配)，在步骤716中，服务器400继续以将相关联的信号处理为经授权的信号。方法700结束于节点718处。
图8图解说明用于提供客户端计算装置300与服务器400之间的安全通信的过程800的一个实例性实施例。如图所示，三个阶段(阶段1802、阶段2804及阶段n 806)演示客户端计算装置300与服务器400之间的连续传输，以在无线网络104上建立并开始安全传输。在阶段1802处，客户端计算装置300传输包含注册命令810及客户端计算装置300的特征310的信号808。响应于信号808，在服务器处实施包含证书312的产生的处理后，服务器400在阶段2 804处将包含存储命令814的对应信号812与所产生的证书312一起传输。在至少一个实施例中，此等信号以分级形式位于所述信号内。响应于信号812，在客户端计算装置300处实施其中将所发送证书312存储于客户端计算装置300的存储器302内的处理后，客户端计算装置300在阶段n 806处产生信号816，所述信号包含某种类型的命令818、客户端计算装置300的特征310、所接收的证书312及投送数据(未显示)。在至少一个实施例中，信号816中始终存在客户端计算装置300的特征310及所接收的证书312。信号816表示从客户端计算装置300发送至服务器400的标准安全信号，而客户端计算装置300及服务器400各自在服务器处使用至少证书312而获得授权。
图9图解说明用于提供客户端计算装置300与服务器400之间的安全通信的过程900的一个实例性实施例。如图所示，三个阶段(阶段m902、阶段m+1 904及阶段m+2 906)演示客户端计算装置300与服务器400之间的连续传输，以在已经起始的安全传输交互作用期间在无线网络104上重新建立安全传输(重新注册)。一个实施例响应于泄密及/或其它其中期望远程更新客户端证书的情况而起始重新注册序列。在阶段m 902处，服务器400传输包含注册命令810的信号908。响应于信号908，在客户端计算装置300处实施包含检索客户端计算装置300的特征310的处理后，客户端计算装置300在阶段m+1904处将包含注册命令810的对应信号910与客户端计算装置300的特征310及所产生的证书312一起传输。响应于信号910，在服务器处实施其中至少根据所发送的客户端计算装置300的特征310产生新证书912的处理后，服务器400在阶段n 906处发送包含某一存储命令814的信号914及所产生的证书912。信号914表示类似于在阶段2处图8中所示信号的信号，其中信号812表示将所产生的证书从服务器400发送至客户端计算装置300以建立新的安全传输配置。在某些实施例中，无需包含存储命令814，因为仅接收所述证书组足以起始对此等证书912的存储。
图10图解说明用于提供客户端计算装置300与服务器400之间的安全通信的方法1000的一个实例性实施例。方法1000开始于开始步骤1002处。在一个实施例中，若所述方法包含检测客户端计算装置300的启动，则所述过程以任选步骤1004继续。同样，在一个实施例中，若所述方法包含经由网络发送客户端计算装置300的请求注册信号，则包含任选步骤1006。步骤1008包含于至少一个实施例中，其中所述方法进一步包含经由网络接收客户端计算装置300的特征310。步骤1008之后为步骤1010，其中所述过程包含产生多个证书312，多个证书320中的至少一个证书基于客户端计算装置300的所接收的特征310及唯一客户端密钥，且多个证书322中的至少一个证书基于客户端计算装置300的所接收的特征310及类属键410。接下来，步骤1012包含经由网络发送多个证书312。步骤1012之后为结束步骤1014。
除以上步骤外，方法1000也包含任选步骤1016、1018、1020及1022，每一任选步骤均可视需要与现有步骤结合使用。若所述方法进一步运行，则任选步骤1016修改步骤1008，其中客户端计算装置300的特征包含以下各项中的至少一项客户端计算装置电话号码、客户端计算装置的客户端计算装置电话号码、SID、客户端计算装置BREW版本、客户端计算装置硬件ID、客户端计算装置固件版本、运营商ID、RUIM卡ID、MDN、MIN、装置网络地址、服务订户记帐帐号、客户端计算装置密钥、用户ID及PIN。若所述方法进一步运行，则任选步骤1018修改步骤1010，其中类属键410对服务器是唯一的。接下来，若所述方法进一步运行，则任选步骤1020修改步骤1020，其中类属键410对服务器群是唯一的。接下来，若所述方法进一步运行，则任选步骤1022修改步骤1020，其中类属键410对多个服务器群是唯一的。
图11图解说明用于提供客户端计算装置300与服务器400之间的安全通信的方法1100的一个实例性实施例。方法1100开始于开始步骤1102处。在一个实施例中，若所述方法包含检测客户端计算装置300的启动，则所述过程以任选步骤1104继续。同样，在一个实施例中，包含任选步骤1006，其中所述方法包含经由网络接收客户端计算装置300的请求注册信号。若所述方法包含经由网络发送客户端计算装置300的特征310，则至少一个实施例中包含步骤1108。步骤1108之后为步骤1110，其中所述方法运行以经由网络接收多个证书322，所述多个证书中的至少一个证书基于客户端计算装置的特征310及唯一客户端密钥409两者，且所述多个证书中的至少一个证书基于客户端计算装置的特征310及类属键410两者。步骤1110之后为步骤1112。
除以上步骤外，方法1100也包含任选步骤1114、1116、1118及1120，每一任选步骤均可视需要与现有步骤结合使用。若所述方法进一步运行，则任选步骤1114修改步骤1108，其中客户端计算装置300的特征包含以下各项中的至少一项客户端计算装置电话号码、客户端计算装置的客户端计算装置电话号码、SID、客户端计算装置BREW版本、客户端计算装置硬件ID、客户端计算装置固件版本、运营商ID、RUIM卡ID、MDN、MIN、装置网络地址、服务订户记帐帐号、客户端计算装置密钥、用户ID及PIN。若所述方法进一步运行，则任选步骤1116修改步骤1110，其中类属键410对服务器是唯一的。接下来，若所述方法进一步运行，则任选步骤1118修改步骤1110，其中类属键410对服务器群是唯一的。接下来，若所述方法进一步运行，则任选步骤1120修改步骤1110，其中类属键410对多个服务器群是唯一的。
图12图解说明用于提供客户端计算装置300与服务器400之间的安全通信的方法1200的一个实例性实施例。方法1200开始于开始步骤1202处。在一个实施例中，若所述方法包含检测客户端计算装置300的启动，则所述过程以任选步骤1204继续。在一个实施例中，包含任选步骤1206，其中所述方法经由网络发送客户端计算装置300的请求注册信号。在一个实施例中，包含另一任选步骤1208，其中所述方法运行以经由网络接收客户端计算装置300的请求注册信号。一个实施例包含步骤1210，其中所述方法运行以经由网络发送客户端计算装置300的特征310。步骤1210之后为步骤1212，其中所述方法运行以经由网络接收客户端计算装置300的特征310。步骤1212之后为步骤1214，其中所述方法运行以产生多个证书322，所述多个证书中的至少一个证书基于客户端计算装置300的所接收的特征310及唯一客户端密钥409两者，且所述多个证书中的至少一个证书基于客户端计算装置300的所接收的特征310(及每一客户端的唯一键)及类属键410两者。步骤1214之后为步骤1216，其中所述方法运行以经由网络发送多个证书312。步骤1216之后为步骤1218，其中所述方法运行以经由网络接收多个证书312。步骤1218之后为结束步骤1220。
除以上步骤外，方法1200也包含任选步骤1222、1224、1226及1228，每一任选步骤均可视需要与现有步骤结合使用。若所述方法进一步运行，则任选步骤1222修改步骤1210，其中客户端计算装置300的特征包含以下各项中的至少一项客户端计算装置电话号码、客户端计算装置的客户端计算装置电话号码、SID、客户端计算装置BREW版本、客户端计算装置硬件ID、客户端计算装置固件版本、运营商ID、RUIM卡ID、MDN、MIN、装置网络地址、服务订户记帐帐号、客户端计算装置密钥、用户ID及PIN。若所述方法进一步运行，则任选步骤1224修改步骤1214，其中类属键410对服务器是唯一的。接下来，若所述方法进一步运行，则任选步骤1226修改步骤1214，其中类属键410对服务器群是唯一的。接下来，若所述方法进一步运行，则任选步骤1228修改步骤1214，其中类属键410对多个服务器群是唯一的。
所属领域的技术人员应进一步了解，结合本文所揭示实施例阐述的各种例示性逻辑块、配置、模块、电路、及算法步骤可构建为电子硬件、计算机软件、或两者的组合。为清晰地图解说明此硬件与软件的互换性，上文大致基于其功能来阐述各种例示性组件、块、配置、模块、电路、及步骤。此种功能性实施为硬件还是软件取决于特定应用及施加于整个系统上的设计制约条件。所属领域的技术人员均可针对每一特定应用以不同方式实施所述功能性，但不应将此等实施决定解释为导致背离本发明的范畴。
本文结合本发明具体实施例所描述的方法与算法步骤可直接在硬件、由处理器执行的软件模块中或两者的组合中具体实施。软件模块可驻存于RAM存储器、快闪存储器、ROM存储器、PROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬磁盘、可抽换磁盘、CD-ROM、或所属技术领域中已知的任一其他形式的存储媒体中。实例性存储媒体耦接至处理器，以使所述处理器可从存储媒体读取信息及向存储媒体写入信息。另一选择为，存储媒体可整合至处理器中。处理器和存储媒体可驻存于ASIC中，ASIC可驻存于计算装置或用户终端机中。在替代实施例中，处理器及存储媒体可作为离散组件驻存于计算装置或用户终端机中。
提供上述有关所揭示实施例的说明旨在使任一所属领域的技术人员均能够制作或使用本发明。所属领域的技术人员将易于了解所述实施例的各种修改方式，且本文所定义的一般原理也可适用于其它实施例，此并未背离本发明的精神或范畴。因此，本文并非意欲将本发明限定于本文所示实施例，而是赋予其与本文所揭示原理及新颖特征相一致的最宽广范畴。
权利要求
1.一种用于提供客户端计算装置与服务器之间的安全通信的方法，所述客户端计算装置及服务器耦合至网络，所述方法包括经由所述网络接收所述客户端计算装置的特征；产生多个证书，所述多个证书中的至少一个证书基于所述客户端计算装置的所述接收的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所述接收的特征及类属键两者；及经由所述网络发送所述多个证书。
2.如权利要求1所述的方法，其中所述类属键对服务器是唯一的。
3.如权利要求1所述的方法，其中所述类属键对服务器群是唯一的。
4.如权利要求1所述的方法，其中所述类属键对多个服务器群是唯一的。
5.如权利要求1所述的方法，其中所述客户端计算装置的所述特征包含以下各项中的至少一项客户端计算装置电话号码、客户端计算装置的客户端计算装置电话号码、SID、客户端计算装置BREW版本、客户端计算装置硬件ID、客户端计算装置固件版本、运营商ID、RUIM卡ID、MDN、MIN、装置网络地址、服务订户记帐帐号、客户端计算装置密钥、用户ID及PIN。
6.如权利要求1所述的方法，其进一步包括经由所述网络发送请求注册所述客户端计算装置的信号；其中所述客户端计算装置的所述特征的所述接收响应于所述发送请求注册所述客户端计算装置的所述信号而运行。
7.如权利要求1所述的方法，其中所述客户端计算装置的所述特征的所述接收是响应于所述客户端计算装置的启动而运行。
8.一种用于提供客户端计算装置与服务器之间的安全通信的方法，所述远程客户端计算装置及服务器耦合至网络，所述方法包括经由所述网络发送所述客户端计算装置的特征；及经由所述网络接收多个证书，所述多个证书中的至少一个证书基于所述客户端计算装置的所述特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所述特征及类属键两者。
9.如权利要求8所述的方法，其中所述类属键对服务器是唯一的。
10.如权利要求8所述的方法，其中所述类属键对服务器群是唯一的。
11.如权利要求8所述的方法，其中所述类属键对多个服务器群是唯一的。
12.如权利要求8所述的方法，其中所述客户端计算装置的所述特征包含以下各项中的至少一项客户端计算装置电话号码、客户端计算装置的客户端计算装置电话号码、SID、客户端计算装置BREW版本、客户端计算装置硬件ID、客户端计算装置固件版本、运营商ID、RUIM卡ID、MDN、MIN、装置网络地址、服务订户记帐帐号、客户端计算装置密钥、用户ID及PIN。
13.如权利要求8所述的方法，其进一步包括经由所述网络接收请求注册所述客户端计算装置的信号；其中所述客户端计算装置的所述特征的所述发送响应于所述接收请求注册所述客户端计算装置的所述信号而运行。
14.如权利要求8所述的方法，其进一步包括检测所述客户端计算装置的所述启动；其中所述客户端计算装置的所述特征的所述发送响应于检测所述客户端计算装置的所述启动而运行。
15.一种用于提供客户端计算装置与服务器之间的安全通信的方法，所述远程客户端计算装置及服务器耦合至网络，所述方法包括经由所述网络从所述客户端计算装置发送所述客户端计算装置的特征；经由所述网络在所述服务器处接收所述客户端计算装置的所述特征；产生多个证书，所述多个证书中的至少一个证书基于所述客户端计算装置的所述接收的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所述接收的特征及类属键两者；经由所述网络从所述服务器发送所述多个证书；及经由所述网络在所述客户端计算装置处接收所述多个证书。
16.如权利要求15所述的方法，其中所述类属键对以下各项中的至少一项是唯一的服务器、服务器群及多个服务器群。
17.如权利要求15所述的方法，其中所述客户端计算装置的所述特征包含以下各项中的至少一项客户端计算装置电话号码、客户端计算装置的客户端计算装置电话号码、SID、客户端计算装置BREW版本、客户端计算装置硬件ID、客户端计算装置固件版本、运营商ID、RUIM卡ID、MDN、MIN、装置网络地址、服务订户记帐帐号、客户端计算装置密钥、用户ID及PIN。
18.一种用于处理通过网络与客户端计算装置的安全通信的服务器，其包括经配置以经由所述网络接收所述客户端计算装置的特征的逻辑；经配置以产生多个证书的逻辑，所述多个证书中的至少一个证书基于所述客户端计算装置的所述接收的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所述接收的特征及类属键两者；及经配置以经由所述网络发送所述多个证书的逻辑。
19.如权利要求18所述的服务器，其中所述类属键对服务器是唯一的。
20.如权利要求18所述的服务器，其中所述类属键对服务器群是唯一的。
21.如权利要求18所述的服务器，其中所述类属键对多个服务器群是唯一的。
22.如权利要求18所述的服务器，其中所述客户端计算装置的所述特征包含以下各项中的至少一项客户端计算装置电话号码、客户端计算装置的客户端计算装置电话号码、SID、客户端计算装置BREW版本、客户端计算装置硬件ID、客户端计算装置固件版本、运营商ID、RUIM卡ID、MDN、MIN、装置网络地址、服务订户记帐帐号、客户端计算装置密钥、用户ID及PIN。
23.一种用于处理通过网络与服务器的安全通信的客户端计算装置，其包括经配置以经由所述网络发送所述客户端计算装置的特征的逻辑；及经配置以经由所述网络接收多个证书的逻辑，所述多个证书中的至少一个证书基于所述客户端计算装置的所述特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所述特征及类属键两者。
24.如权利要求23所述的客户端计算装置，其中所述类属键对服务器是唯一的。
25.如权利要求23所述的客户端计算装置，其中所述类属键对服务器群是唯一的。
26.如权利要求23所述的客户端计算装置，其中所述类属键对多个服务器群是唯一的。
27.如权利要求23所述的客户端计算装置，其中所述客户端计算装置的所述特征包含以下各项中的至少一项客户端计算装置电话号码、客户端计算装置的客户端计算装置电话号码、SID、客户端计算装置BREW版本、客户端计算装置硬件ID、客户端计算装置固件版本、运营商ID、RUIM卡ID、MDN、MIN、装置网络地址、服务订户记帐帐号、客户端计算装置密钥、用户ID及PIN。
28.一种用于提供客户端计算装置与服务器之间的安全通信的系统，所述远程客户端计算装置及服务器耦合至网络，所述系统包括客户端计算装置，其包含经配置以执行如下作业的逻辑经由所述网络发送所述客户端计算装置的特征；及经由所述网络接收多个证书；及服务器，其包含经配置以执行如下作业的逻辑经由所述网络接收所述客户端计算装置的所述特征；产生所述多个证书，所述多个证书中的至少一个证书基于所述客户端计算装置的所述接收的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所述接收的特征及类属键两者；及经由所述网络发送所述多个证书。
29.一种体现于计算机可读媒体上的计算机程序，所述计算机程序能够提供客户端计算装置与服务器之间的安全通信，所述远程客户端计算装置及服务器耦合至网络，所述计算机程序包括可运行以经由所述网络接收所述客户端计算装置的特征的代码；可运行以产生多个证书的代码，所述多个证书中的至少一个证书基于所述客户端计算装置的所述接收的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所述接收的特征及类属键两者；及可运行以经由所述网络发送所述多个证书的代码。
30.如权利要求29所述的计算机程序，其中所述类属键至少对以下各项是唯一的服务器、服务器群及多个服务器群。
31.一种体现于计算机可读媒体上的计算机程序，所述计算机程序能够提供客户端计算装置与服务器之间的安全通信，所述远程客户端计算装置及服务器耦合至网络，所述计算机程序包括可运行以经由所述网络发送所述客户端计算装置的特征的代码；及可运行以经由所述网络接收多个证书的代码，所述多个证书中的至少一个证书基于所述客户端计算装置的所述特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所述特征及类属键两者。
32.如权利要求31所述的计算机程序，其中所述类属键对以下各项中的至少一项是唯一的服务器、服务器群及多个服务器群。
33.一种用于处理通过网络与客户端计算装置的安全通信的服务器，其包括用于经由所述网络接收所述客户端计算装置的特征的装置；用于产生多个证书的装置，所述多个证书中的至少一个证书基于所述客户端计算装置的所述接收的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所述接收的特征及类属键两者；及用于经由所述网络发送所述多个证书的装置。
34.如权利要求33所述的服务器，其中所述类属键对以下各项中的至少一项是唯一的服务器、服务器群及多个服务器群。
35.一种用于处理通过网络与服务器的安全通信的客户端计算装置，其包括用于经由所述网络发送所述客户端计算装置的特征的装置；及用于经由所述网络接收多个证书的装置，所述多个证书中的至少一个证书基于所述客户端计算装置的所述特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所述特征及类属键两者。
36.如权利要求35所述的客户端计算装置，其中所述类属键对以下各项中的至少一项是唯一的服务器、服务器群及多个服务器群。
37.一种用于提供客户端计算装置与服务器之间的安全通信的方法，所述远程客户端计算装置及服务器耦合至网络，所述方法包括经由所述网络接收包含多个证书的信号，所述多个证书中的至少一个证书基于所述客户端计算装置的所述接收的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所述接收的特征及类属键两者；及根据对所述多个证书中任一证书的选择性验证，确定所述信号的可靠性。
38.如权利要求37所述的方法，其中使用所述多个证书中基于所述客户端计算装置的所述接收的特征及唯一客户端密钥两者的所述至少一个证书来确定所述信号的可靠性。
39.如权利要求37所述的方法，其中所述类属键对服务器是唯一的。
40.如权利要求39所述的方法，其中使用所述多个证书中基于所述客户端计算装置的所述接收的特征及对服务器是唯一的所述类属键两者的所述至少一个证书来确定所述信号的可靠性。
41.如权利要求37所述的方法，其中所述类属键对服务器群是唯一的。
42.如权利要求41所述的方法，其中使用所述多个证书中基于所述客户端计算装置的所述接收的特征及对服务器群是唯一的所述类属键两者的所述至少一个证书来确定所述信号的可靠性。
43.如权利要求37所述的方法，其中所述类属键对多个服务器群是唯一的。
44.如权利要求43所述的方法，其中使用所述多个证书中基于所述客户端计算装置的所述接收的特征及对多个服务器群是唯一的所述类属键两者的所述至少一个证书来确定所述信号的可靠性。
45.如权利要求37所述的方法，其中所述客户端计算装置的所述特征包含以下各项中的至少一项客户端计算装置电话号码、客户端计算装置的客户端计算装置电话号码、SID、客户端计算装置BREW版本、客户端计算装置硬件ID、客户端计算装置固件版本、运营商ID、RUIM卡ID、MDN、MIN、装置网络地址、服务订户记帐帐号、客户端计算装置密钥、用户ID及PIN。
46.一种用于提供客户端计算装置与服务器之间的安全通信的方法，所述远程客户端计算装置及服务器耦合至网络，所述方法包括经由所述网络发送包含多个证书的信号，所述多个证书中的至少一个证书基于所述客户端计算装置的所述特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所述特征及类属键两者。
47.如权利要求46所述的方法，其中所述类属键至少对以下各项是唯一的服务器、服务器群及多个服务器群。
48.如权利要求46所述的方法，其中所述客户端计算装置的所述特征包含以下各项中的至少一项客户端计算装置电话号码、客户端计算装置的客户端计算装置电话号码、SID、客户端计算装置BREW版本、客户端计算装置硬件ID、客户端计算装置固件版本、运营商ID、RUIM卡ID、MDN、MIN、装置网络地址、服务订户记帐帐号、客户端计算装置密钥、用户ID及PIN。
49.如权利要求46所述的方法，其中包含于所述信号中的所述多个证书是先前经由所述网络接收到的。
50.一种用于提供客户端计算装置与服务器之间的安全通信的方法，所述远程客户端计算装置及服务器耦合至网络，所述方法包括经由所述网络从所述客户端计算装置发送包含多个证书的信号，所述多个证书中的至少一个证书基于所述客户端计算装置的所述接收的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所述接收的特征及类属键两者；经由所述网络在所述服务器处接收所述信号；及基于对所述多个证书中任一证书的选择性验证，在所述服务器处确定所述信号的可靠性。
51.如权利要求50所述的方法，其中使用所述多个证书中基于所述客户端计算装置的所述接收的特征及唯一客户端密钥两者的所述至少一个证书来确定所述接收的信号的可靠性。
52.如权利要求50所述的方法，其中所述类属键对服务器是唯一的且使用所述多个证书中基于所述客户端计算装置的所述接收的特征及对服务器是唯一的所述类属键两者的所述至少一个证书来确定所述信号的可靠性。
53.如权利要求50所述的方法，其中所述类属键对服务器群是唯一的且使用所述多个证书中基于所述客户端计算装置的所述接收的特征及对服务器群是唯一的所述类属键两者的所述至少一个证书来确定所述信号的可靠性。
54.如权利要求50所述的方法，其中所述类属键对多个服务器群是唯一的且使用所述多个证书中基于所述客户端计算装置的所述接收的特征及对多个服务器群是唯一的所述类属键两者的所述至少一个证书来确定所述信号的可靠性。
55.如权利要求50所述的方法，其中所述客户端计算装置的所述特征包含以下各项中的至少一项客户端计算装置电话号码、客户端计算装置的客户端计算装置电话号码、SID、客户端计算装置BREW版本、客户端计算装置硬件ID、客户端计算装置固件版本、运营商ID、RUIM卡ID、MDN、MIN、装置网络地址、服务订户记帐帐号、客户端计算装置密钥、用户ID及PIN。
56.一种用于提供通过网络与客户端计算装置的安全通信的服务器，其包括经配置以经由所述网络接收包含多个证书的信号的逻辑，所述多个证书中的至少一个证书基于所述客户端计算装置的所述接收的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所述接收的特征及类属键两者；及经配置以基于对所述多个证书中任一证书的选择性验证来确定所述信号的可靠性的逻辑。
57.如权利要求56所述的服务器，其中经配置以确定所述信号的可靠性的所述逻辑经配置以使用所述多个证书中基于所述客户端计算装置的所述接收的特征及唯一客户端密钥两者的所述至少一个证书。
58.如权利要求56所述的服务器，其中所述类属键对服务器是唯一的。
59.如权利要求58所述的服务器，其中经配置以确定所述信号的可靠性的所述逻辑经配置以使用所述多个证书中基于所述客户端计算装置的所述接收的特征及对服务器是唯一的所述类属键两者的所述至少一个证书。
60.如权利要求56所述的服务器，其中所述类属键对服务器群是唯一的。
61.如权利要求60所述的服务器，其中经配置以确定所述信号的可靠性的所述逻辑经配置以使用所述多个证书中基于所述客户端计算装置的所述接收的特征及对服务器群是唯一的所述类属键两者的所述至少一个证书。
62.如权利要求56所述的服务器，其中所述类属键对多个服务器群是唯一的。
63.如权利要求62所述的服务器，其中经配置以确定所述信号的可靠性的所述逻辑经配置以使用所述多个证书中基于所述客户端计算装置的所述接收的特征及对多个服务器群是唯一的所述类属键两者的所述至少一个证书。
64.如权利要求56所述的服务器，其中所述客户端计算装置的所述特征包含以下各项中的至少一项客户端计算装置电话号码、客户端计算装置的客户端计算装置电话号码、SID、客户端计算装置BREW版本、客户端计算装置硬件ID、客户端计算装置固件版本、运营商ID、RUIM卡ID、MDN、MIN、装置网络地址、服务订户记帐帐号、客户端计算装置密钥、用户ID及PIN。
65.一种用于处理通过网络与服务器的安全通信的客户端计算装置，其包括经配置以经由所述网络发送包含多个证书的信号的逻辑，所述多个证书中的至少一个证书基于所述客户端计算装置的所述特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所述特征及类属键两者。
66.如权利要求65所述的客户端计算装置，其中所述类属键对以下各项中的至少一项是唯一的服务器、服务器群及多个服务器群。
67.如权利要求65所述的客户端计算装置，其中所述客户端计算装置的所述特征包含以下各项中的至少一项客户端计算装置电话号码、客户端计算装置的客户端计算装置电话号码、SID、客户端计算装置BREW版本、客户端计算装置硬件ID、客户端计算装置固件版本、运营商ID、RUIM卡ID、MDN、MIN、装置网络地址、服务订户记帐帐号、客户端计算装置密钥、用户ID及PIN。
68.如权利要求65所述的客户端计算装置，其中包含于所述信号中的所述多个证书是先前经由所述网络接收到的。
69.一种用于提供客户端计算装置与服务器之间的安全通信的系统，所述远程客户端计算装置及服务器耦合至网络，所述系统包括客户端计算装置，其包含经配置以执行如下作业的逻辑经由所述网络发送包含多个证书的信号，所述多个证书中的至少一个证书基于所述客户端计算装置的所述接收的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所述接收的特征及类属键两者；及服务器，其包含经配置以执行如下作业的逻辑经由所述网络接收所述信号；及基于对所述多个证书中任一证书的选择性验证来确定所述信号的可靠性。
70.一种体现于计算机可读媒体上的计算机程序，所述计算机程序能够提供客户端计算装置与服务器之间的安全通信，所述远程客户端计算装置及服务器耦合至网络，所述计算机程序包括可运行以经由所述网络接收包含多个证书的信号的代码，所述多个证书中的至少一个证书基于所述客户端计算装置的所述接收的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所述接收的特征及类属键两者；及可运行以基于对所述多个证书中任一证书的选择性验证来确定所述信号的可靠性的代码。
71.如权利要求70所述的计算机程序，其中所述信号的可靠性是使用所述多个证书中基于所述客户端计算装置的所述接收的特征及唯一客户端密钥两者的所述至少一个证书确定的。
72.如权利要求70所述的计算机程序，其中所述类属键对服务器群是唯一的。
73.一种体现于计算机可读媒体上的计算机程序，所述计算机程序能够提供客户端计算装置与服务器之间的安全通信，所述远程客户端计算装置及服务器耦合至网络，所述计算机程序包括可运行以经由所述网络发送包含多个证书的信号的代码，所述多个证书中的至少一个证书基于所述客户端计算装置的所述特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所述特征及类属键两者。
74.如权利要求73所述的计算机程序，其中所述类属键至少对以下各项是唯一的服务器、服务器群及多个服务器群。
75.一种用于处理通过网络与客户端计算装置的安全通信的服务器，其包括用于经由所述网络接收包含多个证书的信号的装置，所述多个证书中的至少一个证书基于所述客户端计算装置的所述接收的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所述接收的特征及类属键两者；及用于基于对所述多个证书中任一证书的选择性验证来确定所述信号的可靠性的装置。
76.如权利要求75所述的服务器，其中经配置以确定所述信号的可靠性的所述逻辑经配置以使用所述多个证书中基于所述客户端计算装置的所述接收的特征及唯一客户端密钥两者的所述至少一个证书。
77.如权利要求75所述的服务器，其中所述类属键对服务器群是唯一的。
78.一种用于处理通过网络与服务器的安全通信的客户端计算装置，其包括用于经由所述网络发送包含多个证书的信号的装置，所述多个证书中的至少一个证书基于所述客户端计算装置的所述特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所述特征及类属键两者。
79.如权利要求78所述的客户端计算装置，其中所述类属键至少对以下各项是唯一的服务器、服务器群及多个服务器群。
80.一种用于提供客户端计算装置与服务器之间的安全通信的方法，所述客户端计算装置及服务器耦合至网络，所述方法包括经由所述网络接收包含所述客户端计算装置的所述特征的信号；产生多个证书，所述多个证书中的至少一个证书基于所述客户端计算装置的所述接收的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所述接收的特征及类属键两者；经由所述网络发送包含所述多个证书的信号；经由所述网络接收包含所述多个证书的信号；及基于对所述接收的多个证书中任一证书的选择性验证来确定所述接收的信号的可靠性。
81.一种用于提供客户端计算装置与服务器之间的安全通信的方法，所述远程客户端计算装置及服务器耦合至网络，所述方法包括经由所述网络发送包含所述客户端计算装置的特征的信号；经由所述网络接收包含多个证书的信号，所述多个证书中的至少一个证书基于所述客户端计算装置的所述特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所述特征及类属键两者；及经由所述网络发送包含所述接收的多个证书的信号。
82.一种用于处理通过网络与客户端计算装置的安全通信的服务器，所述服务器包括经配置以经由所述网络接收包含所述客户端计算装置的特征的信号的逻辑；经配置以产生多个证书的逻辑，所述多个证书中的至少一个证书基于所述客户端计算装置的所述接收的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所述接收的特征及类属键两者；经配置以经由所述网络发送包含所述多个证书的信号的逻辑；经配置以经由所述网络接收包含所述多个证书的信号的逻辑；及经配置以基于对所述接收的多个证书中任一证书的选择性验证来确定所述接收的包含多个证书的信号的可靠性的逻辑。
83.一种用于处理通过网络与服务器的安全通信的客户端计算装置，其包括经配置以经由所述网络发送包含所述客户端计算装置的特征的信号的逻辑；经配置以经由所述网络接收包含多个证书的信号的逻辑，所述多个证书中的至少一个证书基于所述客户端计算装置的所述特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所述特征及类属键两者；及经配置以经由所述网络发送包含所述接收的多个证书的信号的逻辑。
84.一种嵌入计算机可读媒体上的计算机程序，所述计算机程序能够提供客户端计算装置与服务器之间的安全通信，所述远程客户端计算装置及服务器耦合至网络，所述计算机程序包括可运行以经由所述网络接收包含所述客户端计算装置的特征的信号的代码；可运行以产生多个证书的码，所述多个证书中的至少一个证书基于所述客户端计算装置的所述接收的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所述接收的特征及类属键两者；可运行以经由所述网络发送包含所述多个证书的信号的代码；可运行以经由所述网络接收包含所述发送的多个证书的信号的代码；及可运行以基于对所述接收的多个证书中任一证书的选择性验证来确定包含所述接收的多个证书的所述接收的信号的可靠性的代码。
85.一种嵌入计算机可读媒体上的计算机程序，所述计算机程序能够提供客户端计算装置与服务器之间的安全通信，所述远程客户端计算装置及服务器耦合至网络，所述计算机程序包括可运行以经由所述网络发送包含所述客户端计算装置的特征的信号的代码；可运行以经由所述网络接收包含多个证书的信号的代码，所述多个证书中的至少一个证书基于所述客户端计算装置的所述特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所述特征及类属键两者；及可运行以经由所述网络发送包含所述接收的多个证书的信号的代码。
86.一种用于处理通过网络与客户端计算装置的安全通信的服务器，其包括用于经由所述网络接收包含所述客户端计算装置的特征的信号的装置；用于产生包含多个证书的信号的装置，所述多个证书中的至少一个证书基于所述客户端计算装置的所述接收的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所述接收的特征及类属键两者；用于经由所述网络发送包含所述多个证书的信号的装置；用于经由所述网络接收包含所述发送的多个证书的信号的装置；及用于基于对所述接收的多个证书中任一证书的选择性验证来确定包含所述接收的多个证书的所述接收的信号的可靠性的装置。
87.一种用于处理通过网络与服务器的安全通信的客户端计算装置，其包括用于经由所述网络发送包含所述客户端计算装置的特征的信号的装置；用于经由所述网络接收包含多个证书的信号的装置，所述多个证书中的至少一个证书基于所述客户端计算装置的所述特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所述特征及类属键两者及用于经由所述网络发送包含所述接收的多个证书的信号的装置。
全文摘要
本发明涉及一种用于提供远程计算装置与服务器之间的安全通信的系统及方法。网络装置通过网路发送客户端计算装置的特征。网络装置通过网络接收所述客户端计算装置的特征。产生多个证书，其中所述多个证书中的至少一个证书基于所述客户端计算装置的所接收的特征及唯一客户端密钥两者，且所述多个证书中的至少一个证书基于所述客户端计算装置的所接收的特征及类属键两者。网络装置通过网络发送所述多个证书。网络装置经由网络接收所述多个证书。
文档编号G06K9/00GK101091156SQ200580044935
公开日2007年12月19日 申请日期2005年10月27日 优先权日2004年10月29日
发明者劳伦斯·伦德布拉德, 伊万·休·麦克莱恩, 杰拉尔德·查尔斯·霍雷尔 申请人:高通股份有限公司