用于提供应用程序凭证的方法和装置的制作方法

专利名称：用于提供应用程序凭证的方法和装置的制作方法
技术领域：
本发明大致涉及凭证系统，且具体而言，涉及用于为验证和安全的目的提供应用程序凭证到在一设备上运行的应用程序的方法和装置。
背景技术：
技术的进步已导致广阔的数据网络的发展和推广应用。这些网络包括公共数据网络(诸如因特网)，和专用网络(诸如无线电信网络)。这些网络的用户有能力访问作为网络资源可用的多种多样的信息和服务。
无线网络环境中有对网络资源有越来越大的需要一实例。在无线环境中，各种无线设备(诸如无线电话，个人数字助理(PDA)和传呼设备)经无线网络通讯。无线网络也可包括网络服务器，其运行以提供各种网络资源到无线设备。此外，无线网络也可耦合到一公共网络(诸如因特网)使得公共网络上的资源对无线网络上的无线设备可用。
通常，一无线设备可自一无线网络下载一应用程序。所述应用程序可免费下载由无线设备的用户购买，所述用于有效地获得在一段有限固定或基于使用计的截止时期内的使用所述应用程序或内容的权利。在执行期间，所述应用程序可试图自数据服务器检索专有数据。举例而言，应用程序可为新闻检索应用程序，且在运行期间，应用程序自一专有新闻数据服务器请求新闻数据。在传输数据前，数据服务器需要校验应用程序经验证以接收数据。因此应用程序需要验证到数据服务器。
然而，有力验证不可能，除非在设备与不同于每一设备的服务器之间存在共享密钥。如果情况并非如此，那么应用程序的反向工程将显示足够的信息以获得对服务器的访问。享密钥应分配于带外，且不在设备与服务器之间的网络连接上。一途径为在制造或销售时供应一独立的密钥给每一设备。此为一些系统怎样运作以验证语音呼叫。然而，此技术不按大量应用程序规定，不为在设备购买后下载的应用程序工作，且应用程序卖方可能不可使用制造或销售过程。
另一技术为发布独立的密码给每一设备用户，在这些用户处使用语音邮件、电子邮件、纸上邮件或一些其他带外方式来分配密码。此可提供部分解决办法，然而，此技术导致更多的用户责任、应用程序或内容开发者的更多总开支和对创建、分配和维持每一用户所使用的每一应用程序的密码的需要。
因此，所需要的是一种系统，其提供可由在一设备上运行的应用程序使用以验证其对来自专有数据服务器的数据的请求的应用程序凭证，其中所述应用程序凭证提供有力验证，而无需为每一设备具有多个密码。

发明内容
在一个或一个以上实施例中，描述了一凭证系统，其提供凭证到在一设备上运行的应用程序。在一实施例中，在一设备上运行的一应用程序在发送到凭证系统的对凭证的请求中提供一应用程序标识符。凭证系统使用应用程序标识符和主凭证以产生一由应用程序使用的应用程序凭证。在获得应用程序凭证后，应用程序发送对数据的一请求到一数据服务器，且所述请求包括应用程序凭证和应用程序标识符。所述数据服务器接收请求且包括对服务器凭证的请求中的应用程序标识符，其被发送到一凭证服务器。所述凭证服务器具有主凭证的一拷贝。所述凭证服务器使用应用程序标识符和主凭证以产生服务器凭证，其被传输回数据服务器。数据服务器接着将应用程序凭证与服务器凭证相比较，且如果其相匹配，那么服务器发送所请求的数据到应用程序。因此，应用程序可能验证到数据服务器而无需使用特定密码。
在另一实施例中，数据服务器传输在对凭证校验的请求中的应用程序标识符和应用程序凭证到凭证服务器。凭证服务器使用应用程序标识符和主凭证产生一服务器凭证。所述凭证服务器将应用程序凭证与服务器凭证相比较且确定这两个凭证是否相匹配。如果所述凭证匹配，那么凭证服务器传输一肯定指示到数据服务器，借此批准数据服务器传输所请求的数据到应用程序。
在一实施例中，一种方法提供一应用程序凭证到一在一设备上运行的应用程序，其中所述应用程序凭证由应用程序使用以验证到一数据服务器。所述方法包含接收一请求以产生应用程序凭证，其中所述请求包括一应用程序标识符。所述方法也包含使用所述应用程序标识符和一与所述设备相关联的主凭证产生应用程序凭证。
在另一实施例中，提供装置，其运作以提供应用程序凭证到在设备上运行的应用程序，其中所述应用程序凭证由应用程序使用以验证到一数据服务器。所述装置包含接收逻辑，其运作以接收对应用程序凭证的请求，其中所述请求包括一应用程序标识符。所述装置也包含产生逻辑，其运作以使用所述应用程序标识符和一主凭证产生应用程序凭证。
在另一实施例中，提供装置，其运作以提供应用程序凭证到在设备上运行的应用程序，其中所述应用程序凭证由应用程序使用以验证到一数据服务器。所述装置包含用于接收对应用程序凭证的请求的构件，其中所述请求包括一应用程序标识符。所述装置也包含用于使用所述应用程序标识符和一主凭证产生应用程序凭证的构件。
在另一实施例中，提供一计算机可读媒体，其包含指令，所述指令在由设备中的一处理器执行时，提供一应用程序凭证到在设备上运行的应用程序，其中所述应用程序凭证由应用程序使用以验证到一数据服务器。所述计算机可读媒体包含用于接收对应用程序凭证的请求的指令，其中所述请求包括一应用程序标识符。所述计算机可读媒体也包含用于使用所述应用程序标识符和一主凭证产生应用程序凭证的指令。
在另一实施例中，提供一种方法，其用于操作一凭证服务器以验证在一设备上运行的应用程序，其中所述应用程序传输对数据的请求到一数据服务器且所述请求包含一应用程序凭证。所述方法包含接收一在对服务器凭证的请求中的应用程序标识符，且使用所述应用程序标识符和一主凭证产生服务器凭证。所述方法也包含传输所述服务器凭证到数据服务器，其中如果所述服务器凭证和所述应用程序凭证匹配，那么应用程序通过验证。
本发明的其他方面、优势和特征将在评论下文陈述的


具体实施方式
和权利要求书后变得显而易见。

本文所描述的实施例的上述方面和伴随的优势通过在结合附图参考下文具体描述将变得更显而易见，其中图1展示一包含提供应用程序凭证到在一无线设备上运行的应用程序的凭证系统的一实施例的数据网络；图2展示一说明图1的无线设备的一实施例的功能方块图，其包括凭证系统的一实施例，其运作以提供应用程序凭证到在设备上运行的应用程序；图3展示用于操作一凭证系统以提供应用程序凭证到在一设备上运行的应用程序的方法的一实施例；图4展示包括凭证系统的一实施例的数据服务器的一功能方块图，其验证自在一设备上运行的应用程序接收的对数据的请求；图5展示用于操作凭证系统中的数据服务器以验证由在一设备上运行的应用程序提供的一应用程序凭证的方法的一实施例；图6展示数据服务器的另一实施例的功能方块图，其包括验证自在一设备上运行的应用程序接收的对数据的请求的凭证系统的一实施例；
图7展示凭证服务器的一实施例，其在凭证系统中运作以验证提供到在设备上运行的应用程序的一应用程序凭证；图8展示用于操作凭证系统中的一凭证服务器以验证由在一设备上运行的应用程序提供的应用程序凭证的方法的一实施例；以及图9展示凭证服务器另一实施例的功能方块图，其包括验证自在一设备上运行的应用程序接收的对数据的请求的凭证系统的一实施例。
具体实施例方式
以下详细描述描述了一种凭证系统，其提供凭证到一在一设备上运行的应用程序。设备可为任何类型的计算设备，诸如桌上型计算机、服务器或其他类型的计算机。所述系统也适于与携带式设备一起使用，诸如平板电脑、PDA、无线电话、电子邮件设备、传呼机或任何其他类型的携带式设备。因此，尽管系统适于与各种设备一起使用，为清晰的目的，在此参考无线设备描述本发明的实施例。
所述设备包括一在制造过程中或通过使用保护主凭证不被公开揭露的某其他安全程序安装于设备中的主凭证的拷贝。所述主凭证也为凭证服务器所知。
在一个或一个以上实施例中，所述凭证系统与在设备上执行的用于简化设备操作的运行时环境相互作用，诸如通过为设备特定资源提供通用呼叫。一种此类运行时环境为由加利福尼亚的圣地亚哥QUALCOMM，Inc.开发的Binary Runtime Environment forWirelessTM(BREWTM)软件平台。在以下描述中，将假设设备正执行一运行时环境，诸如BREW软件平台。然而，凭证系统的一个或一个以上实施例适于与其他类型的运行时环境一起使用以给在各种有线和无线设备上运行的应用程序提供应用程序凭证到。
图1展示包含给在一设备上运行的应用程序的凭证系统提供应用程序凭证的一实施例的一数据网络100。网络100包含一经由无线通讯信道106与一数据网络104通讯的无线设备102。网络100可为任何类型的数据网络且包含有线和无线组件两者。网络100还包含凭证服务器108，其运作以为无线设备102和与网络104通讯的其他实体提供服务。举例而言，无线设备102可为无线电话，且所述凭证服务器108可为给设备102提供电信服务的全国性电信网络的一部分。数据服务器110也与网络104通讯。数据服务器110运作以给与无线网络104通讯的设备提供数据(诸如多媒体内容或其他类型的数据)。
在一实施例中，设备102包括一在制造期间或通过使用某一其他安全程序安装于设备中的主凭证114。主凭证114可为不公开的任何类型的适合凭证，以允许设备102验证到其他实体(诸如凭证服务器108)。设备102还包含凭证产生逻辑116。所述凭证产生逻辑116产生一基于特定输入信息的凭证。在一实施例中，所述逻辑116使用一“单向”产生技术使得所产生的凭证不能被解码或反转以确定用以产生所述凭证的输入信息。举例而言，逻辑116可使用一散列函数产生所述凭证。
在运作期间，凭证系统运作以通过执行一个或一个以上以下步骤提供应用程序凭证到在设备102上运行的应用程序。
1.一在设备102上运行的应用程序118自凭证系统请求一应用程序凭证。所述应用程序包括在对应用程序凭证的请求中的一应用程序标识符(ID)。所述对应用程序凭证的请求展示于128。
2.所述凭证系统使用应用程序ID和主凭证114来产生用于应用程序118的应用程序凭证。所述应用程序凭证返回到应用程序118，如130所示。
3.所述应用程序118发送应用程序凭证，且视情况发送ID，连同一用以获得数据的请求到数据服务器110。所述用以获得数据的请求展示于120。
4.数据服务器110在对服务器凭证的请求中发送ID到凭证服务器108。对服务器凭证的请求展示于122。
5.凭证服务器108使用ID和主凭证114以使用位于凭证服务器108的凭证产生逻辑116产生服务器凭证。所得服务器凭证返回到数据服务器110，如在124所示。
6.数据服务器110将应用程序凭证与服务器凭证相比较，且如果两者匹配，那么应用程序对数据的请求120通过验证且数据服务器110传输所请求的数据，如126所示。
因此，因为应用程序凭证对每一用户可变化，所以系统运作以验证用户和应用程序两者。
图2展示说明设备102的一实施例的功能方块图200，其包括提供应用程序凭证到在设备102上运行的应用程序的凭证系统的一实施例。
设备102包含一应用程序/ID签名检验器202、凭证产生逻辑206、一主凭证204、一应用程序210、一应用程序ID 212和一数字签名214。所述主凭证204存储于安全非易失性存储器或其他安全逻辑中使得其受保护而不被擦除和非批准揭露。签名214由某应用程序签名服务或管理机构创建且将应用程序210与应用程序ID 212结合。在一个或一个以上实施例中，任何类型的修改检测技术可用于替代签名214。
应用程序/ID签名检验器202检测用数字签名编码的信息是否经修改。其也允许电话听筒以有力方式知道应用程序的确为分配有特定应用程序ID者。举例而言，通过提供应用程序210、ID 212和签名214到检验器202，检验器202可确定应用程序210和/或ID 212在数字签名创建后是否已经改变或修改。在一个或一个以上实施例中，检验器202通过任何类型的修改检测技术运作。
凭证产生逻辑206基于在其输入处接收的信息产生凭证。产生逻辑206使用一“单向”技术以产生凭证使得凭证不可解码或反转以确定用以创建其的信息。
在一实施例运作期间，应用程序210具有一相关应用程序ID 212和一签名214。签名214将应用程序210与ID 212结合。所述签名可由应用程序开发者或由不同于应用程序开发者的第三方产生。应用程序210运作以自一数据服务器(例如，图1中的数据服务器110)检索数据。然而，为了检索数据，应用程序210需要获得一应用程序凭证以验证到数据服务器。以下方法描述在一实施例中，凭证系统如何提供一应用程序凭证到应用程序210，使得应用程序210可验证到数据服务器，例如服务器110。
图3展示用于操作一凭证系统以提供应用程序凭证到在一设备上运行的应用程序的方法300的一实施例。举例而言，所述方法300将参考图2所示的设备102描述。假设应用程序210在设备102上运行且应用程序210需要应用程序凭证验证到一数据服务器以检索数据。
在方块302，设备运作以确定应用程序210和/或其ID 212是否已经修改或错误地关联。在一实施例中，应用程序210、ID 212和签名214被发送到检验器202，如路径224所示。检验器202运作以使用任何已知技术校验应用程序210和/或ID 212是否已经修改。
在方块304，应用程序自凭证系统请求一应用程序凭证使得应用程序可验证到数据服务器以检索数据。在一实施例中，应用程序的ID 212提供到凭证产生逻辑206，在对应用程序凭证的请求中如路径216所示。应注意应用程序的ID 212在检验后提供使得应用程序不可提供任意的ID以获得用于其他应用程序的凭证。
在方块306，一应用程序凭证产生以用于应用程序。在一实施例中，产生逻辑206使用应用程序ID 212和主凭证204产生应用程序凭证208。举例而言，在一实施例中，产生逻辑206使用散列函数以产生应用程序凭证208，使得应用程序凭证208不可被解码或反转以发现主凭证204。应用程序凭证208接着返回到应用程序210，如路径218所示。因为应用程序凭证208是使用“单向”技术产生，所以主凭证204不会有被发现或揭露的危险。
在方块308，应用程序凭证由应用程序使用以验证到一数据服务器以检索用于设备的数据。举例而言，应用程序210在对数据的请求中传输凭证208到数据服务器，如路径220所示。请求可也包括应用程序的ID 212。举例而言，请求被传输到图1中的数据服务器110。数据服务器110已可访问应用程序的ID，且所以设备可无需传输ID到数据服务器。
在方块310，假设应用程序的数据请求通过验证；所请求的数据自数据服务器被传输到应用程序210，如路径222所示。举例而言，数据服务器110自应用程序210接收请求且运作以在传输所请求的数据前验证应用程序。由数据服务器执行的验证过程的更多详细描述提供于此文件的另一部分中。
所述方法300希望为说明性的而不限制本文所描述的各种实施例的运作。举例而言，所属领域的技术人员将易于了解对任何所描述的方法可进行细小的改变、添加或删除。此外，所描述的方法步骤在不偏离所描述的实施例的范畴的情况下可经组合、重新配置或重新排序。
图4展示数据服务器110的功能方块图400，其包括验证自在一设备上运行的应用程序接收的对数据的请求的凭证系统的一实施例。举例而言，服务器110自应用程序210接收对数据的请求且所述请求包括应用程序凭证208和应用程序ID 212。在服务器110验证请求后，其提供所请求的数据到应用程序210。所述服务器110包含一内容服务器404、内容/数据406、凭证和匹配逻辑402。
在一实施例中，凭证匹配逻辑414运作以接收应用程序凭证和服务器凭证且将其比较。比较结果418发送到内容服务器404。通常在凭证的值相等时所述结果418将被通过。应用程序凭证208与服务器凭证414的本质差别为前者在末端用户设备上产生而后者在服务器上产生。
应注意到服务器110的配置仅为适于实施凭证系统的一实施例的一配置。也可能在本发明范畴内使用其他服务器或服务器配置实施凭证系统。
图5展示用于操作凭证系统中的一数据服务器以验证由在一设备上运行的应用程序提供的一应用程序凭证的方法500的一实施例。举例而言，所述方法500将参考图4中展示的服务器110来描述。假设应用程序210为在设备102上运行的，且应用程序210自凭证系统获得应用程序凭证208。应用程序210将在对数据的请求中的应用程序凭证208和应用程序ID 212提交到数据服务器110。
在方块502，数据服务器自在一设备上运行的应用程序接收对数据的请求。所述对数据的请求包含应用程序凭证208和应用程序ID 212。
在方块504，数据服务器自凭证服务器请求服务器凭证。举例而言，应用程序ID 212和验证标记408在对服务器凭证的请求中发送(如410和412所示)到凭证服务器。举例而言，请求传输到所述凭证服务器108。
在方块506，服务器凭证自凭证服务器接收。举例而言，凭证服务器108使用应用程序ID 212和存储于凭证服务器108的主凭证204的拷贝产生服务器凭证414。服务器凭证414使用与用于产生应用程序凭证208相同的凭证产生技术产生。
在方块508，执行一测试以确定服务器凭证414是否与应用程序凭证208匹配，借此验证应用程序210作为数据请求者。举例而言，匹配逻辑402使用任何类型的匹配技术将两个凭证相比。如果这两个凭证匹配，那么在匹配输出418处提供肯定指示。结果，应用程序的210数据请求通过验证且内容服务器404运作以传输内容/数据406到应用程序210以满足应用程序的数据请求。如果这两个凭证不匹配，那么在匹配输出418处提供否定指示且内容服务器404不回应于数据请求提供任何数据。
所述方法500希望为说明性的且不限制本文所描述的各种实施例的运作。举例而言，所属领域的技术人员将易于了解对任何所描述的方法可进行细小的改变、添加或删除。此外，所描述的方法步骤在不偏离所描述的实施例的范畴的情况下可经组合、重新配置或重新排序。
图6展示数据服务器110另一实施例的功能方块图600，其包括验证自在一设备上运行的应用程序接收的对数据的请求的凭证系统的一实施例。在图6所示的实施例中，服务器110包括一凭证转送器602，其将ID 212、验证标记408和应用程序凭证208(展示于410、412和604)转送到凭证服务器。凭证服务器产生一服务器凭证且将服务器凭证与应用程序凭证208相比较。如果应用程序凭证与服务器凭证匹配，那么凭证服务器传输一特许权606给数据服务器110。所述特许权被转送(经由路径418)到内容服务器404，其接着运作以传输内容/数据406给正请求的应用程序210。因此，在图6所示的实施例中，所述凭证服务器运作以将应用程序凭证与服务器凭证比较，其中在图4的实施例中，数据服务器110执行此比较。
图7展示凭证服务器108的一实施例，其在凭证系统中运作以验证一提供给在一设备上运行的应用程序的应用程序凭证。凭证服务器108包含校验逻辑702，主凭证204和凭证产生逻辑706。
图8展示用于操作凭证系统中的一凭证服务器以验证由在一设备上运行的应用程序提供的应用程序凭证的方法800的一实施例。举例而言，所述方法800将参考图7中所示的凭证服务器108来描述。假设数据服务器110已发送一请求到凭证服务器108以获得可与应用程序凭证208匹配的服务器凭证。由凭证服务器108的接收的对服务器凭证的请求包括应用程序ID 212和验证标记408。
在方块802，凭证服务器108自数据服务器接收请求以获得一服务器凭证。举例而言，数据服务器110传输一请求到凭证服务器108以获得一服务器凭证，且所述请求包括应用程序ID 212和验证标记408。
在方块804，凭证服务器108使用验证标记408来在校验逻辑702验证请求。此验证用以确保为给定应用程序ID 212自数据服务器作出请求，所述数据服务器被允许访问属于由应用程序ID 212指示的应用程序的服务器凭证414。
在方块806，在请求经校验后，凭证产生逻辑706使用应用程序ID 212和主凭证204以产生服务器凭证414。在多数实施例中凭证产生706逻辑将在功能上与末端设备102上的逻辑206相同。
在方块808，凭证服务器传输服务器凭证414到数据服务器(如路径704所示)使得数据服务器可使用服务器凭证来验证一来自在一设备上运行的应用程序的数据请求。
所述方法800意在说明而非限制本文所描述的各种实施例的运作。举例而言，所属领域的技术人员明显看出可对任何所描述的方法进行小的改变、添加或删除。此外，在不偏离所描述实施例的范畴的情况下可对所描述的方法步骤进行组合、重新布置或重新排序。
图9展示凭证服务器108的另一实施例的功能方块图900，其包括对从一设备上运行的应用程序接收的数据的请求进行验证的凭证系统的一实施例。在图9所示的实施例中，服务器108接收应用程序凭证208且包括凭证匹配逻辑902。
在运作期间，凭证产生逻辑706产生服务器凭证414，其接着在凭证匹配逻辑902处与应用程序凭证208进行比较。如果应用程序凭证208与服务器凭证414匹配，那么凭证服务器传输特许权606到数据服务器110。因此，在图9所示的实施例中，凭证服务器108运作以将应用程序凭证208与服务器凭证414比较，其中在图7的实施例中，数据服务器110执行此比较。
实施方案上述系统包含可体现于各种实施方案中的互连功能元件。举例而言，任何所描述的元件可包含CPU、处理器、门阵列、硬件逻辑、存储器、软件或硬件与软件的任何组合。每一系统进一步包含逻辑以执行机器可读指令以执行本文所描述的功能。
在一个或一个以上实施例中，机器可读指令存储于对接到任何所描述系统的计算机可读媒体上，使得指令可下载至系统内供执行以执行所描述的功能。计算机可读媒体包含可含有供本文所述系统执行的指令的软盘、硬盘、快闪存储器、RAM、ROM、CDROM或任何其他类型的计算机可读媒体。
描述了一凭证系统，其包括用以给在一设备上运行的应用程序提供凭证的方法和装置。所述系统适合与所有类型的设备一起使用且尤其适用于与无线设备(诸如手机)一起使用以给需验证到数据服务器或其他系统的应用程序提供应用程序凭证。
因此，尽管已在本文中说明且描述了用于一凭证系统的方法和装置的一个或一个以上实施例，但应了解可不偏离实施例的精神或本质特征而对实施例作出各种改变。因此，本文的揭示和描述希望为说明而非限制本发明的范畴，所述范畴在上文权利要求书中陈述。
权利要求
1.一种用于为在一设备上运行的一应用程序提供一应用程序凭证的方法，其中所述应用程序凭证由所述应用程序使用以验证到一数据服务器，所述方法包含接收一请求以产生所述应用程序凭证，其中所述请求包括一应用程序标识符；和使用所述应用程序标识符和一与所述设备相关联的主凭证产生所述应用程序凭证。
2.根据权利要求1所述的方法，其中产生所述应用程序凭证的所述步骤包含一单向产生技术，使得所述应用程序标识符和所述主凭证不能从所述应用程序凭证中被发现。
3.根据权利要求1所述的方法，其进一步包含使用一修改检测和验证技术来确定所述应用程序或所述应用程序标识符是否已被修改且证明所述应用程序与所述应用程序标识符相关联。
4.根据权利要求3所述的方法，其中所述修改检测技术由一不同于所述应用程序的提供者的服务器产生。
5.根据权利要求4所述的方法，其中所述修改检测技术为一数字签名。
6.根据权利要求1所述的方法，其中所述设备为一无线设备。
7.一种运作以给在所述设备上运行的一应用程序提供一应用程序凭证的装置，其中所述应用程序凭证由所述应用程序使用以验证到一数据服务器，所述装置包含接收逻辑，其运作以接收对所述应用程序凭证的一请求，其中所述请求包括一应用程序标识符；和产生逻辑，其运作以使用所述应用程序标识符和一主凭证产生所述应用程序凭证。
8.根据权利要求7所述的装置，其中所述产生逻辑使用一单向凭证产生技术，使得所述应用程序标识符和所述主凭证不能从所述应用程序凭证被发现。
9.根据权利要求8所述的装置，其进一步包含一修改检测和验证技术，其运作以确定所述应用程序或所述应用程序标识符是否已被修改且证明所述应用程序与所述应用程序标识符相关联。
10.根据权利要求9所述的装置，其中所述修改检测技术由一不同于所述应用程序的提供者的服务器产生。
11.根据权利要求10所述的装置，其中所述修改检测技术为一数字签名。
12.根据权利要求7所述的装置，其中所述设备为一无线设备。
13.一种运作以给在所述设备上运行的一应用程序提供一应用程序凭证的装置，其中所述应用程序凭证由所述应用程序使用以验证到一数据服务器，所述装置包含用于接收对所述应用程序凭证的一请求的构件，其中所述请求包括一应用程序标识符；和用于使用所述应用程序标识符和一主凭证产生所述应用程序凭证的构件。
14.根据权利要求13所述的装置，其进一步包含用于使用一单向产生技术产生所述应用程序凭证使得所述应用程序标识符和所述主凭证不能从所述应用程序凭证被发现的构件。
15.根据权利要求13所述的装置，其进一步包含用于使用一修改检测和验证技术来确定所述应用程序或应用程序标识符是否已被修改且证明所述应用程序与所述应用程序标识符相关联的构件。
16.根据权利要求15所述的装置，其中所述修改检测技术由一不同于所述应用程序的提供者的服务器产生。
17.根据权利要求16所述的装置，其中所述修改检测技术为一数字签名。
18.一种包含指令的计算机可读媒体，所述指令在由一设备中的一处理器执行时给在所述设备上运行的一应用程序提供一应用程序凭证，其中所述应用程序凭证由所述应用程序使用以验证到一数据服务器，所述计算机可读媒体包含用于接收对所述应用程序凭证的一请求的指令，其中所述请求包括一应用程序标识符；和用于使用所述应用程序标识符和一主凭证产生所述应用程序凭证的指令。
19.根据权利要求18所述的计算机可读媒体，其包含用于使用一修改检测和验证技术来确定所述应用程序或所述应用程序标识符是否已被修改且证明所述应用程序与所述应用程序标识符相关联的指令。
20.根据权利要求19所述的计算机可读媒体，其中所述修改检测技术由一不同于所述应用程序的提供者的服务器产生。
21.根据权利要求20所述的计算机可读媒体，其中所述修改检测技术为一数字签名。
22.根据权利要求18所述的计算机可读媒体，其进一步包含用于使用一单向产生技术产生所述应用程序凭证使得所述应用程序标识符和所述主凭证不能从所述应用程序凭证中被发现的指令。
23.根据权利要求18所述的计算机可读媒体，其中所述设备为一无线设备。
24.一种用于操作一凭证服务器以验证在一设备上运行的一应用程序的方法，其中所述应用程序将对数据的一请求传输到一数据服务器且所述请求包含一应用程序凭证，所述方法包含接收对一服务器凭证的一请求中的一应用程序标识符；使用所述应用程序标识符和一主凭证产生所述服务器凭证；和传输所述服务器凭证到所述数据服务器，其中如果所述服务器凭证和所述应用程序凭证匹配，那么所述应用程序通过验证。
25.根据权利要求24所述的方法，其进一步包含接收一验证标记，其证明所述请求与所述应用程序标识符相关联。
26.根据权利要求24所述的方法，其进一步包含接收所述应用程序凭证；将所述应用程序凭证与所述服务器凭证相比；和如果所述应用程序凭证与所述服务器凭证匹配，传输一特许权到所述数据服务器以满足所述数据请求。
27.根据权利要求24所述的方法，其中所述产生步骤包含使用一单向产生技术产生所述服务器凭证，使得所述应用程序标识符和所述主凭证不能从所述服务器凭证被发现。
28.一种用于与一凭证服务器一起使用以验证在一设备上运行的一应用程序的装置，其中所述应用程序将对数据的一请求传输到一数据服务器且所述请求包含一应用程序凭证，所述装置包含第一接收逻辑，其运作以接收对一服务器凭证的一请求中的一应用程序标识符；产生逻辑，其运作以基于所述应用程序标识符和一主凭证产生所述服务器凭证；和传输逻辑，其运作以传输所述服务器凭证到所述数据服务器，其中所述数据服务器将所述服务器凭证与所述应用程序凭证相比以验证所述应用程序。
29.根据权利要求28所述的装置，其进一步包含接收一验证标记，其证明所述请求与所述应用程序标识符相关联。
30.根据权利要求28所述的装置，其中所述产生逻辑包含逻辑以使用一单向产生技术产生所述服务器凭证，使得所述应用程序标识符和所述主凭证不能从所述服务器凭证被发现。
31.根据权利要求28所述的装置，其进一步包含第二接收逻辑，其运作以接收所述应用程序凭证；和匹配逻辑，其运作以将所述应用程序凭证与所述服务器凭证相比，且如果所述应用程序凭证与所述服务器凭证匹配，传输一特许权到所述数据服务器以满足所述数据请求。
32.一种用于与一凭证服务器一起使用以验证在一设备上运行的一应用程序的装置，其中所述应用程序将对数据的一请求传输到一数据服务器且所述请求包含一应用程序凭证，所述装置包含用于接收对一服务器凭证的一请求中的一应用程序标识符的构件；用于基于所述应用程序标识符和一主凭证产生所述服务器凭证的构件；和用于传输所述服务器凭证到所述数据服务器的构件，其中所述数据服务器将所述服务器凭证与所述应用程序凭证相比以验证所述应用程序。
33.根据权利要求32所述的装置，其进一步包含接收一验证标记，其证明所述请求与所述应用程序标识符相关联。
34.根据权利要求32所述的装置，其中所述用于产生的构件包含用于使用一单向产生技术产生所述服务器凭证使得所述应用程序标识符和所述主凭证不能从所述服务器凭证被发现的构件。
35.根据权利要求32所述的装置，其进一步包含用于接收所述应用程序凭证的构件；和用于将所述应用程序凭证与所述服务器凭证相比的构件；和用于在所述应用程序凭证与所述服务器凭证匹配的情况下传输一特许权到所述数据服务器以满足所述数据请求的构件。
36.一种包含指令的计算机可读媒体，所述指令在由一凭证服务器中的一处理器执行时运作以验证在一设备上运行的一应用程序，其中所述应用程序将对数据的一请求传输到一数据服务器且所述请求包含一应用程序凭证，所述计算机可读媒体包含用于接收对一服务器凭证的一请求中的所述应用程序标识符的指令；用于基于所述应用程序标识符和一主凭证产生所述服务器凭证的指令；和用于传输所述服务器凭证到所述数据服务器的指令，其中所述数据服务器将所述服务器凭证与所述应用程序凭证相比以验证所述应用程序。
37.根据权利要求36所述的计算机可读媒体，其进一步包含接收一验证标记，其证明所述请求与所述应用程序标识符相关联。
38.根据权利要求36所述的计算机可读媒体，其中所述用于产生的指令包含用于使用一单向产生技术产生所述服务器凭证的指令，使得所述应用程序标识符和所述主凭证不能从所述服务器凭证中被发现。
39.根据权利要求36所述的计算机可读媒体，其进一步包含用于接收所述应用程序凭证的指令；和用于将所述应用程序凭证与所述服务器凭证相比的指令；和用于在所述应用程序凭证与所述服务器凭证匹配的情况下传输一特许权到所述数据服务器以满足所述数据请求的指令。
40.一种用于处理一与在一设备上运行的一应用程序相关联的应用程序凭证的方法，其中所述应用程序凭证由所述应用程序使用以验证到一数据服务器，所述方法包含接收一请求以产生所述应用程序凭证，其中所述请求包括一应用程序标识符；使用所述应用程序标识符和一主凭证产生所述应用程序凭证；将对数据的一请求传输到一数据服务器，其中所述请求包含所述应用程序凭证；自一凭证服务器请求一服务器凭证，其中所述对所述服务器凭证的请求包含所述数据服务器借以验证其自身的所述应用程序标识符和一标记；使用所述应用程序标识符和所述主凭证产生所述服务器凭证；传输所述服务器凭证到所述数据服务器；将所述服务器凭证与所述应用程序凭证相比，其中如果所述两个凭证匹配，所述应用程序就通过验证；和传输所述数据到所述应用程序。
41.根据权利要求40所述的方法，其中所述应用程序凭证和所述服务器凭证使用一单向产生技术产生，使得所述应用程序标识符和所述主凭证不能被发现。
42.根据权利要求40所述的方法，其进一步包含使用一修改和验证技术来确定所述应用程序标识符是否已被修改且证明所述应用程序与所述应用程序标识符相关联。
43.根据权利要求42所述的方法，其中所述修改检测技术为一数字签名。
44.根据权利要求40所述的方法，其进一步包含在所述凭证服务器处接收一验证标记，其证明所述请求与所述应用程序标识符相关联。
45.根据权利要求40所述的方法，其中所述设备为一无线设备。
全文摘要
本发明提供用于为一在一设备上运行的应用程序提供应用程序凭证的方法和装置。在一实施例中，一种方法给在一设备上运行的一应用程序提供一应用程序凭证，其中所述应用程序凭证由所述应用程序使用以验证到一数据服务器。所述方法包含接收一请求以产生所述应用程序凭证，其中所述请求包括一应用程序标识符。所述方法还包含使用所述应用程序标识符和一与所述设备相关联的主凭证产生所述应用程序凭证。
文档编号H04L29/06GK1875564SQ200480032049
公开日2006年12月6日 申请日期2004年10月28日 优先权日2003年10月29日
发明者劳伦斯·伦德布雷德 申请人:高通股份有限公司