專利名稱:提供對移動(dòng)裝置本地服務(wù)的訪問控制的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動(dòng)裝置,尤其涉及對移動(dòng)裝置的本地服務(wù)的安全訪問。
無線網(wǎng)絡(luò)通常用于從網(wǎng)絡(luò)中的一個(gè)位置發(fā)送消息到網(wǎng)絡(luò)中的目標(biāo)位置。這些消息包含要提供給目標(biāo)位置的數(shù)據(jù)。在某些情況下,該消息是來自源位置的信息請求的響應(yīng)。在另一些情況下,該消息是在沒有任何特定請求的情況下發(fā)送到目標(biāo)位置的通知消息。無線網(wǎng)絡(luò)通常包括多種移動(dòng)裝置。此外,無線網(wǎng)絡(luò)所耦合的網(wǎng)絡(luò)通常包括存儲(chǔ)多種信息的許多遠(yuǎn)程服務(wù)器。
移動(dòng)裝置規(guī)定成(即,配置成)以特定方式操作。該規(guī)定可以預(yù)設(shè)在移動(dòng)電話中,該規(guī)定可由用戶進(jìn)行設(shè)定,或者該規(guī)定可以在移動(dòng)裝置連接到無線網(wǎng)絡(luò)時(shí)進(jìn)行設(shè)定。通常,移動(dòng)裝置在該移動(dòng)裝置連接到無線網(wǎng)絡(luò)后用無線電規(guī)定。移動(dòng)裝置的規(guī)定確定如何操作移動(dòng)裝置的多種功能。通常,移動(dòng)裝置具有一組提供移動(dòng)裝置的基本功能的本地服務(wù)。這樣的基本功能的例子包括設(shè)定或更新無線話音和數(shù)據(jù)協(xié)議參數(shù)、地址登記和各種其它可用于使移動(dòng)裝置的某種通話(telephony)和數(shù)據(jù)特征有效或無效的參數(shù)。
通過無線進(jìn)行的移動(dòng)裝置的規(guī)定,意味著通過訪問網(wǎng)絡(luò)的規(guī)定信息,獲取本地服務(wù)參數(shù)或?qū)⒈镜胤?wù)參數(shù)設(shè)定在該移動(dòng)裝置中,以控制其操作。例如,移動(dòng)裝置可從網(wǎng)絡(luò)上的特定的遠(yuǎn)程服務(wù)器請求規(guī)定信息,然后,該移動(dòng)裝置可根據(jù)從該特定的遠(yuǎn)程服務(wù)器獲取的規(guī)定信息而規(guī)定。該特定的遠(yuǎn)程服務(wù)器通常是用于由移動(dòng)裝置享用的特定服務(wù)的服務(wù)提供器。這樣,該服務(wù)提供器含有通過無線規(guī)定一移動(dòng)裝置的必要的規(guī)定信息。
通常,從特定的遠(yuǎn)程服務(wù)器獲取的規(guī)定信息是可執(zhí)行或二進(jìn)制代碼。該可執(zhí)行或二進(jìn)制代碼包括使移動(dòng)裝置修改本地服務(wù)參數(shù),以設(shè)定或改變移動(dòng)裝置的某些功能的接口、數(shù)據(jù)或操作??蓤?zhí)行或二進(jìn)制代碼的例子包括腳本、JAVA應(yīng)用程序和壓縮標(biāo)記語言數(shù)據(jù)文件。
從傳統(tǒng)上講,因?yàn)榭赏ㄟ^網(wǎng)絡(luò)從遠(yuǎn)程服務(wù)器規(guī)定一移動(dòng)裝置,就有了有關(guān)移動(dòng)裝置未授權(quán)規(guī)定的問題。在開放的無線網(wǎng)絡(luò)環(huán)境中,有可能由任何遠(yuǎn)程地點(diǎn)或服務(wù)提供器訪問通過移動(dòng)裝置提供的本地服務(wù)。例如,遠(yuǎn)程地點(diǎn)或服務(wù)提供器可規(guī)定移動(dòng)裝置改變由該移動(dòng)裝置支持的本地服務(wù)參數(shù)。結(jié)果,移動(dòng)裝置的本地服務(wù)容易受到來自黑客(hacker)的惡意攻擊等以及其它可使移動(dòng)裝置不能操作或在不需要的狀態(tài)下操作的類似事件。例如,可從未經(jīng)意的遠(yuǎn)程服務(wù)器將病毒代碼不需要地下載到移動(dòng)裝置,結(jié)果擦除或破壞了當(dāng)前存儲(chǔ)在移動(dòng)裝置中的本地服務(wù)參數(shù),使移動(dòng)裝置不再能正確操作。
這樣,就有了對保證安全訪問移動(dòng)裝置的本地服務(wù)參數(shù)的需求。
廣義上來講,本發(fā)明涉及限制訪問移動(dòng)裝置的本地服務(wù)的技術(shù)。本地服務(wù)的功能包括修改無線話音/數(shù)據(jù)協(xié)議、配置或系統(tǒng)參數(shù)、書簽(bookmarks)、地址、客戶規(guī)定信息和可以使移動(dòng)裝置的某些通話和數(shù)據(jù)特征有效或無效的其它參數(shù)。移動(dòng)裝置包括(但不限于)移動(dòng)計(jì)算裝置、蜂窩電話、掌上型計(jì)算機(jī)裝置和個(gè)人數(shù)字助理(Personal Digital Assistant,PDA)。移動(dòng)裝置能夠與網(wǎng)絡(luò)上的一個(gè)或多個(gè)服務(wù)提供器或遠(yuǎn)程服務(wù)器進(jìn)行無線通信。本發(fā)明提供對移動(dòng)裝置的本地服務(wù)的安全訪問,以使僅有授權(quán)的服務(wù)(例如,來自授權(quán)的服務(wù)器或網(wǎng)點(diǎn))能夠遠(yuǎn)程調(diào)用或更新移動(dòng)裝置的本地服務(wù)。按照本發(fā)明,在允許訪問移動(dòng)裝置的本地服務(wù)之前,檢查尋求訪問的遠(yuǎn)程服務(wù)的身份(identity),以判斷該遠(yuǎn)程服務(wù)是否被授權(quán)了這樣的訪問。如果該遠(yuǎn)程服務(wù)為授權(quán)的,則允許訪問,并且該遠(yuǎn)程服務(wù)能夠執(zhí)行或更新移動(dòng)裝置的本地服務(wù)。相反,如果遠(yuǎn)程服務(wù)為非授權(quán)的,則拒絕訪問,以使移動(dòng)裝置所提供的本地服務(wù)不易受到來自未授權(quán)的遠(yuǎn)程服務(wù)的攻擊或破壞,這些未授權(quán)的遠(yuǎn)程服務(wù)來自未經(jīng)意的服務(wù)器或網(wǎng)點(diǎn)。
本發(fā)明能夠以多種方式來實(shí)施,包括方法、計(jì)算機(jī)可讀介質(zhì)、設(shè)備和系統(tǒng)。下面將討論本發(fā)明的幾個(gè)實(shí)施例。
作為保證安全訪問移動(dòng)裝置的本地服務(wù)的方法,本發(fā)明的一個(gè)實(shí)施例包括步驟通過一網(wǎng)絡(luò)接收來自一計(jì)算機(jī)的消息,該消息具有與其有關(guān)的服務(wù)標(biāo)識(shí)(identity);判斷所述消息是否尋求對所述移動(dòng)裝置的本地服務(wù)的訪問;至少當(dāng)判斷步驟判斷出所述消息尋求對所述移動(dòng)裝置的本地服務(wù)的訪問時(shí),將與所述消息有關(guān)的服務(wù)標(biāo)識(shí)與一個(gè)或多個(gè)授權(quán)的服務(wù)標(biāo)識(shí)進(jìn)行比較;以及,僅當(dāng)所述比較步驟表明與所述消息有關(guān)的服務(wù)標(biāo)識(shí)與至少一個(gè)或多個(gè)授權(quán)的服務(wù)標(biāo)識(shí)相匹配時(shí),允許所述消息訪問所述移動(dòng)裝置的本地服務(wù)。
作為具有計(jì)算機(jī)程序代碼的計(jì)算機(jī)可讀介質(zhì),所述計(jì)算機(jī)程序代碼用于保證安全訪問一移動(dòng)裝置的本地服務(wù),本發(fā)明的一個(gè)實(shí)施例包括用于通過一網(wǎng)絡(luò)從一計(jì)算機(jī)接收可執(zhí)行代碼的計(jì)算機(jī)程序代碼,所述可執(zhí)行代碼具有與其有關(guān)的服務(wù)標(biāo)識(shí);用于執(zhí)行所述可執(zhí)行代碼的計(jì)算機(jī)程序代碼;以及,用于在除了與所述可執(zhí)行代碼有關(guān)的服務(wù)標(biāo)識(shí)和至少一個(gè)或多個(gè)授權(quán)的服務(wù)標(biāo)識(shí)相匹配的情況之外,阻止所述可執(zhí)行代碼在執(zhí)行期間訪問所述移動(dòng)裝置的所述本地服務(wù)的計(jì)算機(jī)程序代碼。
作為一種能夠通過無線鏈接連接到一計(jì)算機(jī)網(wǎng)絡(luò)的移動(dòng)裝置,本發(fā)明的一個(gè)實(shí)施例包括一顯示屏,顯示圖形和文本;一消息緩沖器,暫時(shí)存儲(chǔ)來自所述計(jì)算機(jī)網(wǎng)絡(luò)上的一計(jì)算機(jī)的消息,所述消息具有與其有關(guān)的服務(wù)標(biāo)識(shí);一應(yīng)用程序,使用來自所述計(jì)算機(jī)網(wǎng)絡(luò)上的從所述計(jì)算機(jī)接收的所述消息;一本地服務(wù)數(shù)據(jù)區(qū),存儲(chǔ)本地服務(wù)數(shù)據(jù),該本地服務(wù)數(shù)據(jù)控制所述移動(dòng)裝置的操作;一授權(quán)存儲(chǔ)區(qū),存儲(chǔ)允許訪問所述本地服務(wù)數(shù)據(jù)區(qū)的授權(quán)的服務(wù)標(biāo)識(shí);以及一訪問控制器,控制訪問所述本地服務(wù)數(shù)據(jù)區(qū),以使所述本地服務(wù)數(shù)據(jù)不能由使用所述消息的所述應(yīng)用程序改變,除非與所述消息有關(guān)的服務(wù)標(biāo)識(shí)與至少一個(gè)授權(quán)的服務(wù)標(biāo)識(shí)相匹配。
作為一種無線通信系統(tǒng),本發(fā)明的一個(gè)實(shí)施例包括一有線網(wǎng)絡(luò),具有多個(gè)服務(wù)器計(jì)算機(jī);一無線電信公司公用通信網(wǎng)(wireless carrier network),可操作地連接到所述有線網(wǎng)絡(luò);以及多個(gè)無線移動(dòng)裝置,支持某些本地服務(wù)。提供于所述無線移動(dòng)裝置上的所述某些本地服務(wù)用于確定系統(tǒng)參數(shù)。通過所述無線電信公司公用通信網(wǎng)將來自所述有線網(wǎng)絡(luò)的所述服務(wù)器計(jì)算機(jī)的消息提供給所述無線移動(dòng)裝置。每一個(gè)所述無線移動(dòng)裝置在接收到一個(gè)所述消息時(shí)進(jìn)行操作,以阻止所述一個(gè)消息訪問每一個(gè)所述無線移動(dòng)裝置的系統(tǒng)參數(shù),除非與所述一個(gè)消息有關(guān)的服務(wù)標(biāo)識(shí)與至少一個(gè)或多個(gè)授權(quán)的服務(wù)標(biāo)識(shí)相匹配。
本發(fā)明有很多優(yōu)點(diǎn)。本發(fā)明的一個(gè)優(yōu)點(diǎn)是,可以安全方式通過無線規(guī)定移動(dòng)裝置的本地服務(wù)。本發(fā)明的另一個(gè)優(yōu)點(diǎn)是,對移動(dòng)裝置的本地服務(wù)參數(shù)的訪問能夠受到保護(hù),以不受黑客或未經(jīng)意的網(wǎng)點(diǎn)的攻擊。
從下面參照附圖以舉例方式對本發(fā)明原理的詳細(xì)描述中,本發(fā)明的其它方面和優(yōu)點(diǎn)將變得更加明白。
通過下面參照附圖的詳細(xì)描述,本發(fā)明將更容易理解。附圖中,相同的標(biāo)號(hào)表示相同的結(jié)構(gòu)單元,其中
圖1是根據(jù)本發(fā)明的一個(gè)實(shí)施例的無線通信網(wǎng)絡(luò)的方框圖2是根據(jù)本發(fā)明的一個(gè)實(shí)施例的移動(dòng)裝置初始化處理的流程圖;圖3A和3B是根據(jù)本發(fā)明的一個(gè)實(shí)施例的移動(dòng)裝置消息處理的流程圖;圖4A和4B是根據(jù)本發(fā)明的另一個(gè)實(shí)施例的移動(dòng)裝置消息處理的流程圖;圖5是根據(jù)本發(fā)明的一個(gè)實(shí)施例的網(wǎng)關(guān)處理的流程圖;圖6是用于本發(fā)明的典型通信系統(tǒng)的方框圖;圖7A是適用于圖6所示的典型通信系統(tǒng)的網(wǎng)關(guān)的方框圖;和圖7B是適用于圖6所示的典型通信系統(tǒng)的移動(dòng)裝置的方框圖。
本發(fā)明涉及用于保證對一無線數(shù)據(jù)網(wǎng)絡(luò)的移動(dòng)裝置的本地服務(wù)的安全訪問的技術(shù)。本發(fā)明提供控制訪問移動(dòng)裝置的本地服務(wù)(例如,本地服務(wù)參數(shù))的技術(shù),以使僅有授權(quán)的服務(wù)(例如,授權(quán)的網(wǎng)點(diǎn))能夠遠(yuǎn)程改變移動(dòng)裝置的本地服務(wù)。本發(fā)明因此能防止未授權(quán)的服務(wù)(例如,黑客或未授權(quán)的網(wǎng)點(diǎn))改變移動(dòng)裝置的本地服務(wù)。
下面將參照圖1-7B討論本發(fā)明的實(shí)施例。然而,本領(lǐng)域的技術(shù)人員容易理解,這里對于附圖所給出的詳細(xì)解釋僅僅是為了說明的目的,本發(fā)明的范圍遠(yuǎn)遠(yuǎn)超出這些有限的實(shí)施例。
圖1是根據(jù)本發(fā)明的實(shí)施例的無線通信網(wǎng)絡(luò)100的方框圖。無線通信網(wǎng)絡(luò)100包括一移動(dòng)裝置102,該移動(dòng)裝置102通過無線網(wǎng)絡(luò)106與一網(wǎng)關(guān)(或代理服務(wù)器)104通信。網(wǎng)關(guān)104也耦合到網(wǎng)絡(luò)108。網(wǎng)絡(luò)108可以是專用網(wǎng)絡(luò)(private network)或公共網(wǎng)絡(luò),可以是有線的也可以是無線的。大型公共網(wǎng)絡(luò)的例子是因特網(wǎng)。網(wǎng)絡(luò)108包括或耦合到多個(gè)遠(yuǎn)程服務(wù)器,包括遠(yuǎn)程服務(wù)器110和遠(yuǎn)程服務(wù)器112。
網(wǎng)關(guān)104通常是計(jì)算機(jī)系統(tǒng),該系統(tǒng)進(jìn)行操作,以將信息發(fā)送到移動(dòng)裝置102和網(wǎng)絡(luò)108并且從移動(dòng)裝置102和網(wǎng)絡(luò)108接收信息。雖然在圖1中僅示出了一個(gè)移動(dòng)裝置102,應(yīng)當(dāng)認(rèn)識(shí)到,無線通信網(wǎng)絡(luò)100可以容納巨大數(shù)量的移動(dòng)裝置。無線網(wǎng)絡(luò)106通常使用無線傳輸,以便與移動(dòng)裝置102通信。無線網(wǎng)絡(luò)106可以使用許多不同的網(wǎng)絡(luò)和通信協(xié)議。無線網(wǎng)絡(luò)比如包括(下面列舉一些)蜂窩數(shù)字分組數(shù)據(jù)(CDPD)、全球移動(dòng)通信系統(tǒng)(GSM)、碼分多址(CDMA)和時(shí)分多址(TDMA),每一個(gè)這些無線網(wǎng)絡(luò)具有不同的數(shù)據(jù)傳送特性,比如等待時(shí)間、帶寬、協(xié)議和連接方法。例如,協(xié)議可以是因特網(wǎng)協(xié)議(IP)、短消息系統(tǒng)(SMS)和未構(gòu)造的補(bǔ)充服務(wù)數(shù)據(jù)(UnstructuredSupplementary Service Data,USSD),并且連接方法可以包括分組切換或電路切換。
遠(yuǎn)程服務(wù)器110和112通常為耦合到網(wǎng)絡(luò)108的計(jì)算機(jī)。通常,服務(wù)器提供通過網(wǎng)絡(luò)108可訪問的資源。這些遠(yuǎn)程服務(wù)器110和112可提供的一種服務(wù)是用于移動(dòng)裝置102的規(guī)定信息。換言之,移動(dòng)裝置102可訪問遠(yuǎn)程服務(wù)器110或遠(yuǎn)程服務(wù)器112,以提取使移動(dòng)裝置102通過無線被規(guī)定的規(guī)定信息。例如,在移動(dòng)裝置102事先規(guī)定為以CDMA方式操作的情況下,當(dāng)遠(yuǎn)程服務(wù)器112檢測到移動(dòng)裝置102處于CDMA不再有效的位置時(shí),現(xiàn)在由遠(yuǎn)程服務(wù)器112中的授權(quán)的服務(wù)規(guī)定為以CSM方式操作。通常,由授權(quán)的服務(wù)通過特定的遠(yuǎn)程服務(wù)器對移動(dòng)裝置102進(jìn)行的規(guī)定,可提供移動(dòng)裝置102上的服務(wù),這些服務(wù)對應(yīng)于所述遠(yuǎn)程服務(wù)器或其上屬(owner)或分支所提供的服務(wù)。用于規(guī)定移動(dòng)裝置102的規(guī)定信息通常作為從遠(yuǎn)程服務(wù)器112或110發(fā)送的消息或者由移動(dòng)裝置102請求的消息獲得。最好,提供信息的格式是可在無線網(wǎng)絡(luò)106中最有效地傳輸?shù)母袷?。有許多不同的格式,比如ASCII數(shù)據(jù)、二進(jìn)制數(shù)據(jù)、可執(zhí)行或目標(biāo)代碼,每一種格式都適用于一特定的無線網(wǎng)絡(luò)。根據(jù)一個(gè)實(shí)施例,該格式是可執(zhí)行代碼。在接收到可執(zhí)行代碼中的規(guī)定信息時(shí),移動(dòng)裝置102執(zhí)行隨后使移動(dòng)裝置被相應(yīng)規(guī)定的可執(zhí)行代碼。在一個(gè)實(shí)施例中,可執(zhí)行代碼包括一個(gè)或多個(gè)壓縮的手持設(shè)備標(biāo)記語言卡片組(Handheld Device Markup Language Decks)或HDML卡片組。每一個(gè)卡片組包括多個(gè)卡,每一個(gè)卡對應(yīng)于移動(dòng)裝置的屏幕顯示?;蛘?,移動(dòng)裝置102的用戶可以提供有屏幕顯示中的列表選項(xiàng),以執(zhí)行或更新想要的本地服務(wù)。HDML的規(guī)范,題為“HDML 2.0語言基準(zhǔn)”,在此通過引用其全文而將其包括并納入此文。
例如,用于移動(dòng)裝置的一個(gè)本地服務(wù)可以是電話簿。為使用電話簿,移動(dòng)裝置將訪問遠(yuǎn)程服務(wù)器,以獲得用于使用電話簿的規(guī)定信息,或者在用戶執(zhí)行命令之后更新電話簿中的信息。通常,規(guī)定信息是可下載和可執(zhí)行的可執(zhí)行代碼,并隨后使用移動(dòng)裝置上的本地服務(wù),以建立使用電話簿的移動(dòng)裝置。規(guī)定信息也可以包括電話簿或者其匯接局(link)。
如上所述,傳統(tǒng)的無線通信網(wǎng)絡(luò)不提供對其移動(dòng)裝置的本地服務(wù)的保護(hù)。換言之,可對移動(dòng)裝置的本地服務(wù)進(jìn)行非授權(quán)的訪問。結(jié)果,通過規(guī)定移動(dòng)裝置,未經(jīng)意的人們可以使移動(dòng)裝置不能操作或變得無用。例如,黑客可以通過本地服務(wù)的遠(yuǎn)程調(diào)用將病毒植入移動(dòng)裝置。
根據(jù)本發(fā)明,移動(dòng)裝置僅允許某些遠(yuǎn)程服務(wù)訪問該裝置的本地服務(wù),使該裝置修改或更新系統(tǒng)參數(shù),以使該裝置相應(yīng)地進(jìn)行工作。以這種方式,本地服務(wù)得到了安全保護(hù),不會(huì)受到未授權(quán)的干擾,這些未授權(quán)的干擾可導(dǎo)致不可操作性或移動(dòng)裝置的有價(jià)值信息的不可恢復(fù)的損失。本發(fā)明的操作提供對本地服務(wù)信息的這種保護(hù),下面將討論本發(fā)明的操作。
圖2是根據(jù)本發(fā)明的一個(gè)實(shí)施例的移動(dòng)裝置初始化處理200的流程圖。移動(dòng)裝置初始化處理200是由移動(dòng)裝置執(zhí)行的,該移動(dòng)裝置比如為圖1所示的移動(dòng)裝置102。
移動(dòng)裝置初始化處理200首先在移動(dòng)裝置102和網(wǎng)關(guān)104之間建立安全連接(步驟202)。執(zhí)行在移動(dòng)裝置和網(wǎng)關(guān)之間的安全連接(或?qū)υ?的建立,以使移動(dòng)裝置與網(wǎng)絡(luò)上的遠(yuǎn)程服務(wù)器(例如,網(wǎng)絡(luò)108上的遠(yuǎn)程服務(wù)器110和112)安全通信。通常,由于是專用網(wǎng)絡(luò)而使得這種連接是安全的,或者,這種連接是通過加密來使其安全的。于是,一旦建立了安全連接,就可從網(wǎng)關(guān)104將包括授權(quán)的服務(wù)標(biāo)識(shí)的規(guī)定信息和其它安全數(shù)據(jù)下載到移動(dòng)裝置102(步驟204)。所述安全連接防止了隨后在網(wǎng)關(guān)104和移動(dòng)裝置102之間傳送的信息被截取或更改。建立安全連接或通信對話的另外的詳細(xì)描述提供在共同轉(zhuǎn)讓的美國專利申請No.08/966,988中,該專利申請的題目為“在無線數(shù)據(jù)網(wǎng)絡(luò)中進(jìn)行安全輕松的事務(wù)處理的方法和系統(tǒng)(Method and System forSecure Lightweight Transactions in Wireless Data Networks”,由廖漢青等人所著,該申請?jiān)诖藚⒄掌淙亩ㄔ诖宋闹小T诓襟E204之后,完成并結(jié)束移動(dòng)裝置初始化處理200。
圖3A和3B是根據(jù)本發(fā)明的一個(gè)實(shí)施例的移動(dòng)裝置消息處理300的流程圖。該移動(dòng)裝置消息處理300例如是由圖1所示的移動(dòng)裝置102執(zhí)行的。因?yàn)橄⑼ǔJ菑木W(wǎng)絡(luò)提供給移動(dòng)裝置的任何數(shù)據(jù)塊,在通過無線規(guī)定移動(dòng)裝置的情況下,消息通常包含要由移動(dòng)裝置上執(zhí)行的可執(zhí)行代碼。由移動(dòng)裝置對可執(zhí)行代碼的執(zhí)行可調(diào)用實(shí)際進(jìn)行該移動(dòng)裝置的規(guī)定的該裝置的本地服務(wù)??蓤?zhí)行代碼的格式的變化很廣,包括腳本、JAVA、HDML卡片組、ASCII數(shù)據(jù)、庫函數(shù)等。
移動(dòng)裝置消息處理300首先以確定步驟302開始,該步驟判斷是否從網(wǎng)絡(luò)接收了一消息。例如,來自網(wǎng)絡(luò)的消息可以通過網(wǎng)關(guān)提供給移動(dòng)裝置。只要確定步驟302判斷出還沒有從網(wǎng)絡(luò)接收到消息,則移動(dòng)裝置消息處理300等待接收這樣的消息。然而,一旦已從網(wǎng)絡(luò)接收到消息,則移動(dòng)裝置消息處理300繼續(xù)。
一旦移動(dòng)裝置消息處理300繼續(xù),則確定步驟304判斷該消息是否請求本地服務(wù)訪問。這里,確定步驟304判斷已從網(wǎng)絡(luò)接收的消息是否請求對移動(dòng)裝置的本地服務(wù)的訪問。對本地服務(wù)的訪問意味著調(diào)用移動(dòng)裝置所提供的本地服務(wù),該訪問可以修改(例如,增加、刪除、更改)存儲(chǔ)在移動(dòng)裝置中的系統(tǒng)參數(shù)/數(shù)據(jù),以使移動(dòng)裝置相應(yīng)地進(jìn)行操作。由確定步驟304進(jìn)行的判斷可以多種方式實(shí)施。實(shí)施該判斷的一種方式是掃描該消息,以判斷其是否包括表明可訪問移動(dòng)裝置的本地服務(wù)的標(biāo)志或其它標(biāo)識(shí)符。另一種方式是開始執(zhí)行該消息(即,可執(zhí)行代碼),然后對任何請求都監(jiān)視該執(zhí)行,以訪問本地服務(wù)。
在任何情況下,當(dāng)確定步驟304判斷出該消息不請求訪問本地服務(wù)時(shí),執(zhí)行傳統(tǒng)的消息處理(步驟306)。傳統(tǒng)的消息處理對本領(lǐng)域技術(shù)人員是很熟悉的,因此不再對其討論。在步驟306之后,移動(dòng)裝置消息處理300返回,以重復(fù)確定步驟302和其后的步驟,以處理從網(wǎng)絡(luò)接收的后續(xù)的消息。
另一方面,當(dāng)確定步驟304判斷出該消息確實(shí)請求訪問移動(dòng)裝置的本地服務(wù)時(shí),在步驟308獲取該消息的服務(wù)標(biāo)識(shí)。通常,服務(wù)標(biāo)識(shí)用于識(shí)別消息的來源。消息的服務(wù)標(biāo)識(shí)可以有多種形式。例如,該服務(wù)標(biāo)識(shí)可以是域名、全部或部分通用資源定位器(URL)、因特網(wǎng)協(xié)議(IP)地址、電話號(hào)碼、文本串的形式或上述形式的組合。然而,服務(wù)標(biāo)識(shí)可以是消息的一部分,或者可以由移動(dòng)裝置根據(jù)移動(dòng)裝置所具有的對該消息的信息/知識(shí)而推知。例如,一個(gè)消息本身可以不包括任何形式的服務(wù)標(biāo)識(shí),但移動(dòng)裝置可從該消息已與另一個(gè)確切含有服務(wù)標(biāo)識(shí)的消息鏈接的事實(shí)中推知服務(wù)標(biāo)識(shí)。
一旦在步驟308中獲得了服務(wù)標(biāo)識(shí),則在步驟310中將該消息的服務(wù)標(biāo)識(shí)與授權(quán)的服務(wù)標(biāo)識(shí)進(jìn)行比較。在一個(gè)實(shí)施例中,授權(quán)的服務(wù)標(biāo)識(shí)本地存儲(chǔ)在移動(dòng)裝置內(nèi)。在這樣的實(shí)施例中,授權(quán)的服務(wù)標(biāo)識(shí)在初始化期間(見圖2)從網(wǎng)絡(luò)(例如,網(wǎng)關(guān)104)上安全下載。然而,在其它實(shí)施例中,一些或所有的授權(quán)的服務(wù)標(biāo)識(shí)都可以相對于移動(dòng)裝置遠(yuǎn)程提供,或者由用戶通過鍵盤和顯示屏交互輸入。
接下來,確定步驟312根據(jù)在步驟310的比較結(jié)果,判斷是否發(fā)現(xiàn)所述消息的服務(wù)標(biāo)識(shí)與授權(quán)的服務(wù)標(biāo)識(shí)匹配。當(dāng)確定步驟312判斷出沒有發(fā)現(xiàn)匹配時(shí),拒絕該消息訪問移動(dòng)裝置的本地服務(wù)。這里,拒絕該消息訪問的原因是該消息不能由授權(quán)的服務(wù)標(biāo)識(shí)來證實(shí)。通過在這種情況下拒絕訪問本地服務(wù),移動(dòng)裝置的本地服務(wù)受到保護(hù),不能接受未授權(quán)的訪問。另一方面,當(dāng)確定步驟312判斷出發(fā)現(xiàn)了匹配時(shí),則在步驟316中執(zhí)行該消息(即,可執(zhí)行代碼),從而該消息能夠訪問移動(dòng)裝置的本地服務(wù)。于是,在步驟316中對消息的執(zhí)行結(jié)果是允許訪問移動(dòng)裝置的本地服務(wù),以通過本地服務(wù)更新、增加、刪除或者更改移動(dòng)裝置中的系統(tǒng)參數(shù)/數(shù)據(jù)。在步驟314和316之后,移動(dòng)裝置消息處理300返回,以重復(fù)確定步驟302和后續(xù)的步驟,以處理從網(wǎng)絡(luò)接收的后續(xù)的消息。
圖4A和4B是根據(jù)本發(fā)明的另一個(gè)實(shí)施例的移動(dòng)裝置消息處理400的流程圖。該移動(dòng)裝置消息處理400例如是由圖1所示的移動(dòng)裝置102執(zhí)行的。再次說明,消息通常是從網(wǎng)絡(luò)提供給移動(dòng)裝置的任何數(shù)據(jù)塊,并具有包括標(biāo)題部分和主體部分的格式,該標(biāo)題部分包括目標(biāo)信息,并且該主體部分包括數(shù)據(jù)信息。在通過無線規(guī)定移動(dòng)裝置的情況下,消息通常包含要由移動(dòng)裝置上執(zhí)行的可執(zhí)行代碼。由移動(dòng)裝置對可執(zhí)行代碼的執(zhí)行可調(diào)用該裝置的本地服務(wù),以進(jìn)行該移動(dòng)裝置的規(guī)定。在此實(shí)施例中,移動(dòng)裝置通過網(wǎng)關(guān)耦合到網(wǎng)絡(luò)。
移動(dòng)裝置消息處理400首先以確定步驟402開始,該步驟判斷是否從網(wǎng)關(guān)接收了一消息。該消息來自網(wǎng)絡(luò)上的一遠(yuǎn)程服務(wù)器(即,網(wǎng)點(diǎn)),并通過網(wǎng)關(guān)提供給移動(dòng)裝置。只要確定步驟402判斷出還沒有從網(wǎng)關(guān)接收到消息,則移動(dòng)裝置消息處理400等待接收這樣的消息。然而,一旦已從網(wǎng)絡(luò)接收到消息,則移動(dòng)裝置消息處理400繼續(xù)。
一旦移動(dòng)裝置消息處理400繼續(xù),則確定步驟404判斷該消息是否請求本地服務(wù)訪問。這里,確定步驟404判斷已從網(wǎng)關(guān)接收的消息是否請求對移動(dòng)裝置的本地服務(wù)的訪問。對本地服務(wù)的訪問意味著調(diào)用移動(dòng)裝置所提供的本地服務(wù),該訪問可以修改(例如,增加、刪除、更改)存儲(chǔ)在移動(dòng)裝置中的系統(tǒng)參數(shù)/數(shù)據(jù),以使移動(dòng)裝置相應(yīng)地進(jìn)行操作。由確定步驟404進(jìn)行的判斷可以多種方式實(shí)施。實(shí)施該判斷的一種方式是掃描該消息,以判斷其是否包括表明可訪問移動(dòng)裝置的本地服務(wù)的標(biāo)志或其它標(biāo)識(shí)符。例如,在稱為卡片組的HDML消息的情況下,標(biāo)識(shí)符“device”可識(shí)別對移動(dòng)裝置的本地服務(wù)。實(shí)施該判斷的另一種方式是開始執(zhí)行該消息(即,可執(zhí)行代碼),然后對任何請求都監(jiān)視該執(zhí)行,以訪問本地服務(wù)。下面的例子表示嵌入消息中的編譯和鏈接后的版本<pre listing-type="program-listing"><![CDATA[Service_request() { ... devicenetwork_change(CDPD,GSM); devicereset_retransmission_time(initial_time,subsequent_time[]); ... }]]></pre>該例子中的規(guī)定信息請求當(dāng)前規(guī)定在CDPD網(wǎng)絡(luò)中操作的移動(dòng)裝置現(xiàn)在被規(guī)定在GSM網(wǎng)絡(luò)中操作,并且該移動(dòng)裝置還規(guī)定成在特定時(shí)間段轉(zhuǎn)發(fā)消息。在這個(gè)例子中,Network_change()和reset_retransmission_time()對應(yīng)于移動(dòng)裝置的本地服務(wù)。
在任何情況下,當(dāng)確定步驟404判斷出該消息不請求訪問本地服務(wù)時(shí),執(zhí)行傳統(tǒng)的消息處理(步驟406)。傳統(tǒng)的消息處理對本領(lǐng)域技術(shù)人員是很熟悉的,因此不再對其討論。在步驟406之后,移動(dòng)裝置消息處理400返回,以重復(fù)確定步驟402和其后的步驟,以處理從網(wǎng)關(guān)接收的后續(xù)的消息。
另一方面,當(dāng)確定步驟404判斷出該消息確實(shí)請求訪問移動(dòng)裝置的本地服務(wù)時(shí),在步驟408從該消息的標(biāo)題部分獲取該消息的服務(wù)標(biāo)識(shí)。這里,從遠(yuǎn)程服務(wù)器到達(dá)網(wǎng)關(guān)的消息已經(jīng)在消息的標(biāo)題部分具有服務(wù)標(biāo)識(shí),或者,在消息送到移動(dòng)裝置之前將服務(wù)標(biāo)識(shí)添加到消息的標(biāo)題部分。在任何一種情況下,移動(dòng)裝置都能夠在步驟408從消息的標(biāo)題部分獲取消息的服務(wù)標(biāo)識(shí)。通常,服務(wù)標(biāo)識(shí)用于識(shí)別消息的來源。消息的服務(wù)標(biāo)識(shí)可以有多種形式。例如,該服務(wù)標(biāo)識(shí)可以是域名、全部或部分URL、IP地址、電話號(hào)碼、文本串的形式或上述形式的組合。
一旦在步驟408中獲得了服務(wù)標(biāo)識(shí),則在步驟410中選擇一適當(dāng)?shù)脑L問控制表。提供多個(gè)不同的訪問控制表的優(yōu)點(diǎn)是,對不同的本地服務(wù)、不同的移動(dòng)裝置或不同的應(yīng)用程序,訪問控制可以不同。例如,訪問控制表可以是全球表,或者,訪問控制表可以適合于特定的應(yīng)用程序或本地服務(wù),或它們的某些組合。例如,在HDML的情況下,訪問控制表可以提供給每一個(gè)本地服務(wù)HDML卡片組,并且,訪問控制表可以由HDML中的ACCESSPATH和ACCESSDOMAIN完成。
一旦選擇了適當(dāng)?shù)脑L問控制表,則在步驟412中將消息的服務(wù)標(biāo)識(shí)與該適當(dāng)?shù)脑L問控制表中的授權(quán)的服務(wù)標(biāo)識(shí)進(jìn)行比較。在此實(shí)施例中,訪問控制表在初始化期間從網(wǎng)關(guān)下載后(見圖2)局部存儲(chǔ)在移動(dòng)裝置中。
接下來,確定步驟414根據(jù)在步驟412的比較結(jié)果,判斷是否發(fā)現(xiàn)所述消息的服務(wù)標(biāo)識(shí)與所述適當(dāng)?shù)脑L問控制表中的授權(quán)的服務(wù)標(biāo)識(shí)匹配。當(dāng)確定步驟414判斷出發(fā)現(xiàn)匹配時(shí),確定步驟416判斷移動(dòng)裝置和遠(yuǎn)程服務(wù)器之間的連接是否安全。通常,網(wǎng)關(guān)通過檢測連接的狀態(tài)來獲知移動(dòng)裝置和網(wǎng)關(guān)之間的連接(經(jīng)無線網(wǎng)絡(luò))為安全。此外,網(wǎng)關(guān)也能夠判斷網(wǎng)關(guān)和遠(yuǎn)程服務(wù)器之間的連接是否為安全。例如,可以利用如安全插接層(Secure Sockets Layer,SSL)或安全HTTP(secure HTTP)協(xié)議之類的安全協(xié)議來建立連接,也可以不利用此類協(xié)議建立連接??傊?,可以利用加密或通過使用專用網(wǎng)絡(luò)而使這些連接安全。
當(dāng)確定步驟416判斷出連接安全時(shí),在步驟418中執(zhí)行消息(即,可執(zhí)行代碼),從而該消息能夠訪問移動(dòng)裝置的本地服務(wù)。在這種情況下,消息的服務(wù)標(biāo)識(shí)(例如,來源)為授權(quán)的,并且判斷連接為安全的,于是,允許該消息訪問移動(dòng)裝置的本地服務(wù)。這種安全連接防止了非授權(quán)的消息作為授權(quán)的服務(wù)標(biāo)識(shí)產(chǎn)生的消息冒充通過,并且,防止了消息在傳輸期間被截取和更改。在步驟418之后,移動(dòng)裝置消息處理400返回,以重復(fù)確定步驟402和后續(xù)的步驟,以處理從網(wǎng)關(guān)接收的后續(xù)的消息。
另一方面,當(dāng)確定步驟414判斷出沒有發(fā)現(xiàn)匹配時(shí),確定步驟420判斷是否想要遠(yuǎn)程校驗(yàn)。如果想要遠(yuǎn)程校驗(yàn),移動(dòng)裝置消息處理400從允許的授權(quán)中心請求校驗(yàn)(步驟422)。這里,允許的授權(quán)中心駐留在網(wǎng)絡(luò)上。在一個(gè)實(shí)施例中,移動(dòng)裝置將請求消息授權(quán)的一請求送到允許的授權(quán)中心,然后等待該允許的授權(quán)中心的回答。接下來,確定步驟424判斷消息的服務(wù)標(biāo)識(shí)是否已由所述的允許的授權(quán)中心校驗(yàn)。如果校驗(yàn)了消息的服務(wù)標(biāo)識(shí),則處理進(jìn)到確定步驟416,以便當(dāng)消息的服務(wù)標(biāo)識(shí)與所述的適當(dāng)?shù)脑L問控制表中的一個(gè)項(xiàng)目匹配時(shí),隨后處理該消息。或者,當(dāng)確定步驟424判斷出允許的授權(quán)中心不能校驗(yàn)消息的服務(wù)標(biāo)識(shí)時(shí),拒絕該消息訪問移動(dòng)裝置的本地服務(wù)(步驟426)。這里,拒絕該消息訪問是因?yàn)樵撓⒉荒苡蛇m當(dāng)?shù)脑L問控制表中的授權(quán)的服務(wù)標(biāo)識(shí)或允許的授權(quán)中心來證實(shí)。通過在這種情況下拒絕訪問本地服務(wù),移動(dòng)裝置的本地服務(wù)受到保護(hù),不接受未授權(quán)的訪問。在步驟426之后,移動(dòng)裝置消息處理400返回,以重復(fù)確定步驟402及其后的步驟,以處理從網(wǎng)關(guān)接收的后續(xù)的消息。
此外,當(dāng)確定步驟416判斷出連接不安全時(shí),拒絕所述消息訪問移動(dòng)裝置的本地服務(wù)(步驟426)。這里,拒絕該消息訪問是因?yàn)榕袛喑鲞B接不安全。通過在這種情況下拒絕訪問本地服務(wù),移動(dòng)裝置的本地服務(wù)受到保護(hù),不接受未授權(quán)的訪問。
圖5是根據(jù)本發(fā)明的一個(gè)實(shí)施例的網(wǎng)關(guān)處理500的流程圖,該網(wǎng)關(guān)處理500處理來自移動(dòng)裝置的請求,以從一服務(wù)器下載規(guī)定信息。例如,網(wǎng)關(guān)處理500由圖1所示的網(wǎng)關(guān)104執(zhí)行。
網(wǎng)關(guān)處理500首先以確定步驟502開始。確定步驟502判斷是否已從移動(dòng)裝置接收到一請求。該請求可嵌入發(fā)送到遠(yuǎn)程服務(wù)器的消息中,或者獨(dú)立作為一個(gè)消息發(fā)送到通過網(wǎng)絡(luò)耦合到網(wǎng)關(guān)的遠(yuǎn)程服務(wù)器。例如,信息請求可以是諸如可執(zhí)行代碼的數(shù)據(jù)塊。當(dāng)確定步驟502判斷出還沒有從移動(dòng)裝置接收到請求時(shí),網(wǎng)關(guān)處理500等待接收這樣的請求。然而,一旦確定步驟502判斷出已經(jīng)從移動(dòng)裝置接收到請求時(shí),網(wǎng)關(guān)處理500繼續(xù)。
一旦網(wǎng)關(guān)處理500有了要處理的請求,則在步驟504中將該請求送到遠(yuǎn)程服務(wù)器。接下來,確定步驟506判斷是否已從遠(yuǎn)程服務(wù)器接收響應(yīng)。這里,網(wǎng)關(guān)處理500等待接收來自遠(yuǎn)程服務(wù)器的對在步驟504中送到遠(yuǎn)程服務(wù)器的請求的響應(yīng)。所等待的響應(yīng)是請求的信息(例如,數(shù)據(jù)塊)。當(dāng)沒有接收到響應(yīng)時(shí),確定步驟506使網(wǎng)關(guān)處理500等待響應(yīng)。然而,經(jīng)常使用超時(shí)狀態(tài),以防止網(wǎng)關(guān)處理500在過量的時(shí)間內(nèi)等待響應(yīng)的接收。一旦確定步驟506判斷出已從遠(yuǎn)程服務(wù)器接收到響應(yīng),則在步驟508中校驗(yàn)或附加提供該響應(yīng)的遠(yuǎn)程服務(wù)器的服務(wù)標(biāo)識(shí)。如果已經(jīng)接收的響應(yīng)包括一服務(wù)標(biāo)識(shí),該服務(wù)標(biāo)識(shí)可以是該服務(wù)的來源信息的一部分,則校驗(yàn)該服務(wù)標(biāo)識(shí)。這里,校驗(yàn)可保證響應(yīng)的服務(wù)標(biāo)識(shí)與遠(yuǎn)程服務(wù)器的服務(wù)標(biāo)識(shí)相同,其中請求事先發(fā)送到該遠(yuǎn)程服務(wù)器。或者,當(dāng)接收的響應(yīng)不包括服務(wù)標(biāo)識(shí)時(shí),附加遠(yuǎn)程服務(wù)器的服務(wù)標(biāo)識(shí),其中請求事先發(fā)送到該遠(yuǎn)程服務(wù)器。此外,網(wǎng)關(guān)可通過第三方校驗(yàn)或基于驗(yàn)證(authentication)的認(rèn)證(certificate)來校驗(yàn)遠(yuǎn)程服務(wù)器的服務(wù)標(biāo)識(shí)。
接下來,確定步驟510判斷正使用的連接是否安全。這里,相關(guān)的連接可以是從移動(dòng)裝置到遠(yuǎn)程服務(wù)器或其某些部分的虛擬連接。在任何情況下,當(dāng)確定步驟510判斷出連接不安全時(shí),在步驟512復(fù)位安全指示器。另一方面,當(dāng)確定步驟510判斷出連接安全時(shí),在步驟514設(shè)定安全指示器。在步驟512或者514之后,在步驟516中將響應(yīng)送到請求的移動(dòng)裝置。此時(shí),網(wǎng)關(guān)處理500結(jié)束發(fā)出代表移動(dòng)裝置的請求并將響應(yīng)從遠(yuǎn)程服務(wù)器送到移動(dòng)裝置的處理過程。由網(wǎng)關(guān)送到移動(dòng)裝置的響應(yīng)包括服務(wù)標(biāo)識(shí)和安全指示器。移動(dòng)裝置處理消息,以將對該移動(dòng)裝置的訪問僅限制到授權(quán)的身份。在步驟516之后,網(wǎng)關(guān)處理500返回,以重復(fù)確定步驟502和其后的步驟,以處理從移動(dòng)裝置接收的每個(gè)后續(xù)請求。
或者,可在移動(dòng)裝置沒有請求的情況下,將消息由遠(yuǎn)程服務(wù)器提供給網(wǎng)關(guān)。在這種情況下,確定步驟503僅從遠(yuǎn)程服務(wù)器接收消息。在步驟503后,網(wǎng)關(guān)處理500如前所述繼續(xù)進(jìn)行步驟508-516。
返回前面參照圖2所述的移動(dòng)裝置初始化200,該初始化處理也可以給移動(dòng)裝置提供附加信息。例如,網(wǎng)關(guān)可將正使用的服務(wù)標(biāo)識(shí)的類型、安全指示器的類型(例如,HTTPS或消息標(biāo)題中的安全標(biāo)志)、對不同的訪問控制表的選擇標(biāo)準(zhǔn)、適當(dāng)?shù)牡谌叫r?yàn)實(shí)體及其地址、和/或消息格式和消息中的服務(wù)標(biāo)識(shí)的位置通知給移動(dòng)裝置。如前所述,服務(wù)標(biāo)識(shí)的類型可包括域名、全部或部分URL、IP地址、電話號(hào)碼、文本串或它們的組合。對服務(wù)標(biāo)識(shí)的類型的進(jìn)一步改進(jìn)也是有可能的,例如,URL服務(wù)標(biāo)識(shí)可以是從全部的URL(即,域名加路徑)到僅僅為URL的域名中的任何一個(gè)。
用于移動(dòng)裝置的第三方校驗(yàn)實(shí)體可以提供備用位置(fallback location),用于獲得消息的服務(wù)標(biāo)識(shí)的授權(quán)。如上所述,移動(dòng)裝置初始化可將校驗(yàn)實(shí)體及其地址通知給移動(dòng)裝置。然后,例如,如圖4A和4B所示,可以試著由一個(gè)或多個(gè)適當(dāng)?shù)牡谌叫r?yàn)實(shí)體進(jìn)行遠(yuǎn)程校驗(yàn)。校驗(yàn)為遠(yuǎn)程進(jìn)行是因?yàn)樗鼘σ苿?dòng)裝置來說是外部進(jìn)行的,并且通常是在位于網(wǎng)絡(luò)上的一個(gè)遠(yuǎn)程服務(wù)器上進(jìn)行的。通常,第三方校驗(yàn)實(shí)體存儲(chǔ)在移動(dòng)裝置中,比如在訪問控制表中。如果遠(yuǎn)程校驗(yàn)成功,則消息被認(rèn)為是授權(quán)的。此外,在進(jìn)行成功的遠(yuǎn)程驗(yàn)證之后,存儲(chǔ)在移動(dòng)裝置(例如,訪問控制表)中的授權(quán)的服務(wù)實(shí)體的適當(dāng)列表可被更新,以包括由第三方校驗(yàn)實(shí)體所校驗(yàn)的消息的服務(wù)標(biāo)識(shí)。
此外,盡管上面討論的通信系統(tǒng)通常包括一網(wǎng)關(guān)(或代理服務(wù)器),應(yīng)當(dāng)認(rèn)識(shí)到,本發(fā)明可在沒有這樣的網(wǎng)關(guān)或代理服務(wù)器的情況下,通過直接將無線網(wǎng)絡(luò)耦合到計(jì)算機(jī)網(wǎng)絡(luò)而操作。在這種情況下,移動(dòng)裝置可在比較服務(wù)標(biāo)識(shí)之前校驗(yàn)消息的服務(wù)標(biāo)識(shí)。校驗(yàn)可以由移動(dòng)裝置通過諸如基于驗(yàn)證的認(rèn)證之類的手段來進(jìn)行。
圖6是用于本發(fā)明的典型通信系統(tǒng)600的方框圖。通信系統(tǒng)600包括有線部分602和無線部分604。有線部分602包括網(wǎng)絡(luò)606和網(wǎng)關(guān)608。在一個(gè)實(shí)施例中,網(wǎng)絡(luò)606是表示大量互連的計(jì)算機(jī)的因特網(wǎng)。在另一實(shí)施例中,網(wǎng)絡(luò)606是計(jì)算機(jī)的內(nèi)部網(wǎng)或?qū)S镁W(wǎng)絡(luò)。
網(wǎng)關(guān)608進(jìn)行操作,以便從有線部分602和無線部分604提供入口(gateway)。網(wǎng)關(guān)608通常執(zhí)行協(xié)議轉(zhuǎn)換和其它帳務(wù)管理和校驗(yàn)操作。網(wǎng)關(guān)608用作無線部分604的無線通信和有線部分602的有線通信之間的基本轉(zhuǎn)換點(diǎn)。網(wǎng)關(guān)608接收來自電信公司公用通信網(wǎng)614的輸入內(nèi)容請求,并在需要時(shí)進(jìn)行協(xié)議轉(zhuǎn)換。網(wǎng)關(guān)608包括存儲(chǔ)帳務(wù)、配置和其它信息的帳務(wù)信息存儲(chǔ)區(qū)610。網(wǎng)關(guān)608也包括客戶訪問控制表612,用于通信系統(tǒng)600的各個(gè)遠(yuǎn)程無線計(jì)算裝置。無線部分604包括電信公司公用通信網(wǎng)614和至少一個(gè)遠(yuǎn)程無線計(jì)算裝置616。根據(jù)本發(fā)明,網(wǎng)關(guān)608還接收來自網(wǎng)絡(luò)606的消息,并將該消息送到適當(dāng)?shù)倪h(yuǎn)程計(jì)算裝置。
遠(yuǎn)程計(jì)算裝置616比如是移動(dòng)電話、個(gè)人數(shù)字助理(PDA)或便攜式通用計(jì)算機(jī)。遠(yuǎn)程無線計(jì)算裝置616包括用于顯示信息屏或信息頁的顯示器618、遠(yuǎn)程無線瀏覽器620和導(dǎo)航(navigation)按鈕622和624。遠(yuǎn)程無線瀏覽器620通常是在遠(yuǎn)程計(jì)算裝置616上執(zhí)行的一應(yīng)用程序。遠(yuǎn)程無線瀏覽器620提供要在顯示器618上顯示的信息屏或信息頁。導(dǎo)航按鈕622和624允許用戶通過從顯示在顯示器618上的菜單或列表中進(jìn)行選擇而進(jìn)行導(dǎo)航。遠(yuǎn)程無線計(jì)算裝置616可包括字母數(shù)字鍵盤(未示出),該鍵盤允許用戶輸入關(guān)于移動(dòng)電話616的字母數(shù)字信息,但這不一定是必需的,字母數(shù)字信息也可以利用顯示在顯示器618上的拔號(hào)屏輸入,該顯示器618上具有利用導(dǎo)航按鈕622和624做成的選項(xiàng)。用戶通過與遠(yuǎn)程無線瀏覽器620交互通信,可以訪問位于網(wǎng)絡(luò)606上的信息。此外,遠(yuǎn)程無線計(jì)算裝置616包括一訪問控制表626。訪問控制表626存儲(chǔ)允許訪問的授權(quán)的服務(wù)標(biāo)識(shí)符,從而修改存儲(chǔ)在遠(yuǎn)程無線計(jì)算裝置616中的本地服務(wù)(即,各種操作參數(shù))。
通常,無線部分604包括多個(gè)遠(yuǎn)程無線瀏覽器620,每一個(gè)遠(yuǎn)程無線瀏覽器620都在不同的遠(yuǎn)程計(jì)算裝置上執(zhí)行。配置和其它信息存儲(chǔ)在帳務(wù)信息存儲(chǔ)區(qū)610中,該帳務(wù)信息存儲(chǔ)區(qū)610能夠?yàn)槊恳粋€(gè)遠(yuǎn)程無線瀏覽器620存儲(chǔ)服務(wù)限制、安全限制、參考信息、屏幕配置信息等。帳務(wù)信息存儲(chǔ)區(qū)610能夠存儲(chǔ)遠(yuǎn)程無線瀏覽器620所感興趣的數(shù)據(jù)或數(shù)據(jù)頁。所存儲(chǔ)的數(shù)據(jù)或數(shù)據(jù)頁可作為先前從網(wǎng)絡(luò)606請求的信息的高速緩沖存儲(chǔ)器(cache)操作,或者,可作為在網(wǎng)關(guān)608中的信息服務(wù)器操作。例如,作為信息服務(wù)器,存儲(chǔ)頁可表示由遠(yuǎn)程無線瀏覽器顯示的頁。
圖7A是適用于圖6所示的典型通信系統(tǒng)600的網(wǎng)關(guān)700的方框圖。例如,網(wǎng)關(guān)700可表示通常是一服務(wù)器計(jì)算機(jī)的圖6所示的網(wǎng)關(guān)608。為避免使本發(fā)明的各方面不好理解,不再詳細(xì)描述網(wǎng)關(guān)700中的公知的方法、過程、部件和電路。
根據(jù)一個(gè)實(shí)施例,網(wǎng)關(guān)700包括耦合到電信公司公用通信網(wǎng)614的用戶數(shù)據(jù)報(bào)協(xié)議(User Datagram Protocol,UDP)接口702、耦合到網(wǎng)絡(luò)606的HTTP接口704和耦合于UDP接口702和HTTP接口704之間的服務(wù)器模塊706。服務(wù)器模塊706執(zhí)行傳的服務(wù)器處理和協(xié)議轉(zhuǎn)換處理。尤其是,協(xié)議轉(zhuǎn)換處理包括UDP和HTTP之間的協(xié)議轉(zhuǎn)換。應(yīng)當(dāng)理解,UDP接口702和HTTP接口704特別用于相應(yīng)的協(xié)議,即,網(wǎng)絡(luò)606中的HTTP和電信公司公用通信網(wǎng)614中的UDP,并在相應(yīng)協(xié)議改變時(shí)與其它協(xié)議接口相應(yīng)替換。服務(wù)器模塊706也執(zhí)行與參照圖3A和4所述的消息碎片(message fragmentation)和傳送有關(guān)的處理。此外,為在服務(wù)器706進(jìn)行其處理時(shí)幫助該服務(wù)器706,代理服務(wù)器700包括隨機(jī)存儲(chǔ)存儲(chǔ)器(RAM)708和只讀存儲(chǔ)器(ROM)710。在其它事情中,RAM 708存儲(chǔ)裝置標(biāo)識(shí)符、用戶標(biāo)記符、配置信息、訪問控制表和初始本地服務(wù)信息。在一個(gè)實(shí)施例中,這樣的信息作為數(shù)據(jù)庫存儲(chǔ)在RAM 710中。此外,RAM 710可表示圖6所示的帳務(wù)信息存儲(chǔ)區(qū)610和客戶訪問控制表。
圖7B是適用于圖6所示的典型通信系統(tǒng)600的移動(dòng)裝置750的方框圖。例如,移動(dòng)裝置750對應(yīng)于操作圖6A所示的遠(yuǎn)程無線瀏覽器620的遠(yuǎn)程計(jì)算裝置616。
移動(dòng)裝置750包括通過RF收發(fā)信機(jī)753耦合到電信公司公用通信網(wǎng)614的UDP接口752,以接收輸入和輸出信號(hào)。裝置標(biāo)識(shí)符(ID)存儲(chǔ)754將裝置ID提供給UDP接口752。裝置ID識(shí)別與特定的移動(dòng)裝置750有關(guān)的特定代碼。此外,移動(dòng)裝置750包括客戶模塊756,該客戶模塊756執(zhí)行由移動(dòng)裝置750所執(zhí)行的許多處理任務(wù),包括與電信公司公用通信網(wǎng)714和網(wǎng)關(guān)608建立通信對話、從網(wǎng)絡(luò)606請求和接收數(shù)據(jù)(例如,頁)、在遠(yuǎn)程計(jì)算裝置的顯示器上顯示信息和接收用戶輸入??蛻裟K756耦合到UDP接口752,用于建立通信對話和請求及接收數(shù)據(jù)??蛻裟K756還執(zhí)行與接收從網(wǎng)關(guān)計(jì)算機(jī)608、700發(fā)送的消息有關(guān)的處理,包括檢驗(yàn)授權(quán)訪問本地服務(wù)。客戶756控制顯示驅(qū)動(dòng)器758在顯示器760上向用戶顯示信息。此外,客戶模塊756耦合到輸入裝置762、ROM 764和RAM 766。最好,在其它事件中,客戶模塊756操作網(wǎng)絡(luò)瀏覽器,比如手持設(shè)備標(biāo)記語言(HDML)網(wǎng)絡(luò)瀏覽器。輸入裝置762允許移動(dòng)裝置750的用戶輸入數(shù)據(jù),從而在控制和使用移動(dòng)裝置750中進(jìn)行選擇。ROM 764存儲(chǔ)預(yù)定數(shù)據(jù)并處理用于客戶模塊756的指令。RAM 766用于為接收的輸入數(shù)據(jù)和發(fā)送的輸出數(shù)據(jù)提供臨時(shí)數(shù)據(jù)存儲(chǔ)。RAM 766還用于存儲(chǔ)訪問控制表(例如,訪問控制表626)和本地服務(wù)信息(參數(shù))。
雖然采用UDP和HTTP協(xié)議在圖7A和7B中描述了網(wǎng)關(guān)700和移動(dòng)裝置750的實(shí)施例,應(yīng)當(dāng)認(rèn)識(shí)到,可以提供和使用其它協(xié)議和其它協(xié)議組。對網(wǎng)關(guān)700和移動(dòng)裝置750的設(shè)計(jì)和結(jié)構(gòu)的其它詳細(xì)描述包含在美國專利申請No.08/570,210中,該專利申請的題目為“交互式雙向數(shù)據(jù)通信網(wǎng)絡(luò)的方法和結(jié)構(gòu)”,由Alain Rossmann所著,該申請?jiān)诖藚⒄掌淙亩ㄔ诖宋闹小?br>
下面將提供根據(jù)本發(fā)明的消息授權(quán)的典型例子。在此例中,服務(wù)標(biāo)識(shí)是URL并且網(wǎng)絡(luò)使用HTTP協(xié)議,安全連接使用HTTPS。下面將參照圖2、3A和3B討論該典型例子。
首先,在移動(dòng)裝置和網(wǎng)關(guān)之間建立安全連接(步驟202)。一旦建立了連接,則將訪問控制表從網(wǎng)關(guān)下載到移動(dòng)裝置(步驟204)。訪問控制表包含授權(quán)的服務(wù)標(biāo)識(shí)符。訪問控制表的一個(gè)例子提供于下面的表1,其中,每一條輸入項(xiàng)都是服務(wù)開始的域名。
表1
然后,一旦接收到移動(dòng)裝置的消息(步驟302),則對該消息進(jìn)行估計(jì),以判斷是否要激活本地服務(wù)訪問控制(步驟304)。例如,在一個(gè)實(shí)施例中,在消息中使用URL方案(scheme)“device”,以表明想要訪問本地服務(wù)的時(shí)候。假定消息包含命令“devicesetregisters”,該命令操作設(shè)定移動(dòng)裝置中的某些參數(shù)寄存器。
接下來,獲得消息的服務(wù)標(biāo)識(shí)(步驟308)。在此例中,假定用于識(shí)別消息來源的消息的源URL為“https//www.uplanet.corn/provision_service/set_phone_register”,并且該服務(wù)標(biāo)識(shí)定義為包含在URL中的域名。在此情況下的服務(wù)標(biāo)識(shí)是域名uplanet.com。從URL中提取出用于消息的服務(wù)標(biāo)識(shí)(例如,uplanet.com),然后將其與訪問控制表中的授權(quán)的服務(wù)標(biāo)識(shí)進(jìn)行比較,以查找匹配(步驟310和312)。如果發(fā)現(xiàn)匹配,則授權(quán)消息訪問移動(dòng)裝置的本地服務(wù)(步驟316);否則,拒絕消息訪問(步驟314)。在此例中,消息的源URL中的域名與訪問控制表(表1)中的項(xiàng)目進(jìn)行比較。這里,表1的訪問控制表中的第一項(xiàng)與消息的服務(wù)標(biāo)識(shí)匹配(例如,uplanet.com)。因此,在此例中,授權(quán)消息訪問移動(dòng)裝置的本地服務(wù)。
此外,可以注意到,此例中消息的源URL以“https”開始,它表示到遠(yuǎn)程服務(wù)器的連接是安全的。因此,在圖4A和4B的情況下,滿足確定步驟416。如果此例中消息的源URL不是以“http”開始,則確定步驟416即便在服務(wù)標(biāo)識(shí)本身為授權(quán)的情況下,也可阻止消息訪問移動(dòng)裝置的本地服務(wù)。安全連接要求防止消息被破壞或假冒。
本發(fā)明有許多優(yōu)點(diǎn)。本發(fā)明的一個(gè)優(yōu)點(diǎn)是移動(dòng)裝置的本地服務(wù)可通過無線以安全方式規(guī)定。本發(fā)明的另一個(gè)優(yōu)點(diǎn)是對移動(dòng)裝置的本地服務(wù)的訪問能夠受到保護(hù),不受黑客或未經(jīng)意的網(wǎng)點(diǎn)的破壞。
從所述說明書中可發(fā)現(xiàn)本發(fā)明的許多特征和優(yōu)點(diǎn),因此,打算由所附的權(quán)利要求書覆蓋本發(fā)明的所有這些特征。此外,由于本領(lǐng)域技術(shù)人員可對本發(fā)明進(jìn)行許多修改和變化,因而不打算將本發(fā)明限制于所示和所描述的具體結(jié)構(gòu)。因此,適當(dāng)?shù)男薷暮推涞刃锒颊J(rèn)為落入本發(fā)明的范圍中。
權(quán)利要求
1.一種用于限制訪問一移動(dòng)裝置的本地服務(wù)的方法,所述方法包括(a)通過一網(wǎng)絡(luò)接收來自一計(jì)算裝置的消息,該消息具有與其有關(guān)的服務(wù)標(biāo)識(shí);(b)判斷所述消息是否尋求對所述移動(dòng)裝置的本地服務(wù)的訪問;(c)至少當(dāng)所述判斷步驟(b)判斷出所述消息尋求對所述移動(dòng)裝置的本地服務(wù)的訪問時(shí),將與所述消息有關(guān)的服務(wù)標(biāo)識(shí)與一個(gè)或多個(gè)授權(quán)的服務(wù)標(biāo)識(shí)進(jìn)行比較;和(d)僅當(dāng)所述比較步驟(c)表明與所述消息有關(guān)的服務(wù)標(biāo)識(shí)與至少一個(gè)或多個(gè)授權(quán)的服務(wù)標(biāo)識(shí)相匹配時(shí),允許所述消息訪問所述移動(dòng)裝置的本地服務(wù)。
2.如權(quán)利要求1所述的方法,其中所述本地服務(wù)屬于提供在所述移動(dòng)裝置上的服務(wù)。
3.如權(quán)利要求1所述的方法,其中所述消息包含可執(zhí)行代碼。
4.如權(quán)利要求3所述的方法,其中所述允許步驟(d)包括當(dāng)與所述消息有關(guān)的服務(wù)標(biāo)識(shí)與至少一個(gè)名多個(gè)授權(quán)的服務(wù)標(biāo)識(shí)相匹配時(shí),處理所述消息。
5.如權(quán)利要求1所述的方法,其中所述消息的服務(wù)標(biāo)識(shí)屬于提供該消息的網(wǎng)絡(luò)上的所述計(jì)算裝置。
6.如權(quán)利要求1所述的方法,其中所述消息的服務(wù)標(biāo)識(shí)是通用資源定位器。
7.如權(quán)利要求1所述的方法,其中所述消息的服務(wù)標(biāo)識(shí)是從域名推導(dǎo)出的一串、一通常資源定位器、一網(wǎng)絡(luò)地址、一字母數(shù)字文本串和一電話號(hào)碼。
8.如權(quán)利要求1所述的方法,其中所述判斷步驟(d)進(jìn)行操作,以掃描所述消息的至少一個(gè)部分,從而判斷所述消息是否尋求對所述移動(dòng)裝置的本地服務(wù)的訪問。
9.如權(quán)利要求1所述的方法,其中所述消息包括可執(zhí)行代碼,該可執(zhí)行代碼使所述本地服務(wù)被處理,以使所述移動(dòng)裝置中的存儲(chǔ)的系統(tǒng)參數(shù)被修改,從而更改所述移動(dòng)裝置的操作,并且其中所述允許步驟(d)包括當(dāng)與所述消息有關(guān)的服務(wù)標(biāo)識(shí)與至少一個(gè)或多個(gè)授權(quán)的服務(wù)標(biāo)識(shí)相匹配時(shí),執(zhí)行所述消息,并且其中所述存儲(chǔ)的參數(shù)通過執(zhí)行所述消息而更改。
10.一種能夠通過無線鏈路連接到一數(shù)據(jù)網(wǎng)絡(luò)的移動(dòng)裝置,所述移動(dòng)裝置包括一顯示屏,顯示圖形和文本的;一消息緩沖器,暫時(shí)存儲(chǔ)來自所述數(shù)據(jù)網(wǎng)絡(luò)上的一計(jì)算機(jī)的消息,所述消息具有與其有關(guān)的服務(wù)標(biāo)識(shí);一應(yīng)用程序,使用從所述數(shù)據(jù)網(wǎng)絡(luò)上接收的所述計(jì)算機(jī)的所述消息;一本地服務(wù)數(shù)據(jù)區(qū),存儲(chǔ)本地服務(wù)數(shù)據(jù),該本地服務(wù)數(shù)據(jù)控制所述移動(dòng)裝置的操作;一授權(quán)存儲(chǔ)區(qū),存儲(chǔ)允許訪問所述本地服務(wù)數(shù)據(jù)區(qū)的授權(quán)的服務(wù)標(biāo)識(shí);以及一訪問控制器,控制訪問所述本地服務(wù)數(shù)據(jù)區(qū),以使所述本地服務(wù)數(shù)據(jù)不能由所述應(yīng)用程序改變,除非與所述消息有關(guān)的服務(wù)標(biāo)識(shí)與至少一個(gè)授權(quán)的服務(wù)標(biāo)識(shí)相匹配。
11.如權(quán)利要求10所述的移動(dòng)裝置,其中所述應(yīng)用程序是允許用戶從所述數(shù)據(jù)網(wǎng)絡(luò)檢索信息的一瀏覽器應(yīng)用程序。
12.如權(quán)利要求11所述的移動(dòng)裝置,其中,所述瀏覽器應(yīng)用程序處理所述消息。
13.如權(quán)利要求12所述的移動(dòng)裝置,其中所述授權(quán)的存儲(chǔ)區(qū)存儲(chǔ)一訪問控制表,所述訪問控制表包括允許訪問所述本地服務(wù)數(shù)據(jù)區(qū)的授權(quán)的服務(wù)標(biāo)識(shí)。
14.如權(quán)利要求13所述的移動(dòng)裝置,其中,當(dāng)與所述消息有關(guān)的所述服務(wù)標(biāo)識(shí)不與存儲(chǔ)在所述訪問控制表中的至少一個(gè)授權(quán)的服務(wù)標(biāo)識(shí)相匹配時(shí),所述訪問控制器構(gòu)造成從位于計(jì)算機(jī)網(wǎng)絡(luò)上的第三方校驗(yàn)實(shí)體請求所述消息的服務(wù)標(biāo)識(shí)的校驗(yàn),并且,當(dāng)所述第三方校驗(yàn)實(shí)體提供的校驗(yàn)表明由所述移動(dòng)裝置支持的本地服務(wù)可以由所述應(yīng)用程序更改時(shí),允許訪問所述本地服務(wù)數(shù)據(jù)區(qū)。
15.如權(quán)利要求14所述的移動(dòng)裝置,其中所述訪問控制表還包括一第三方校驗(yàn)實(shí)體。
16.如權(quán)利要求13所述的移動(dòng)裝置,其中,當(dāng)所述第三方校驗(yàn)實(shí)體提供對關(guān)于先前不與存儲(chǔ)在所述訪問控制表中的授權(quán)的服務(wù)標(biāo)識(shí)相匹配的消息的服務(wù)標(biāo)識(shí)的校驗(yàn)時(shí),與所述消息有關(guān)的服務(wù)標(biāo)識(shí)添加到存儲(chǔ)在所述訪問控制表中的授權(quán)的服務(wù)標(biāo)識(shí),
17.一種無線通信系統(tǒng),包括一有線網(wǎng)絡(luò),具有多個(gè)服務(wù)器計(jì)算機(jī);一無線電信公司公用通信網(wǎng),可操作地連接到所述有線網(wǎng)絡(luò);多個(gè)無線移動(dòng)裝置,其每一個(gè)都支持某些本地服務(wù),所述某些本地服務(wù)用于確定系統(tǒng)參數(shù),所述系統(tǒng)參數(shù)獨(dú)立地設(shè)定在每一個(gè)所述無線移動(dòng)裝置中,其中,通過所述無線電信公司公用通信網(wǎng)將來自所述有線網(wǎng)絡(luò)的所述服務(wù)器計(jì)算機(jī)的消息提供給所述無線移動(dòng)裝置,和其中,每一個(gè)所述無線移動(dòng)裝置在接收到一個(gè)所述消息時(shí)進(jìn)行操作,以阻止所述一個(gè)消息訪問所述每一個(gè)所述無線移動(dòng)裝置的系統(tǒng)參數(shù),除非與所述一個(gè)消息有關(guān)的服務(wù)標(biāo)識(shí)與至少一個(gè)或多個(gè)授權(quán)的服務(wù)標(biāo)識(shí)相匹配。
18.如權(quán)利要求17所述的系統(tǒng),其中所述授權(quán)的服務(wù)標(biāo)識(shí)存儲(chǔ)在所述無線移動(dòng)裝置中。
19.如權(quán)利要求17所述的系統(tǒng),其中,每一個(gè)所述無線移動(dòng)裝置還在接收到一個(gè)所述消息時(shí)進(jìn)行操作,以便當(dāng)所述無線移動(dòng)裝置和提供所述一個(gè)消息的所述有線網(wǎng)絡(luò)的所述服務(wù)器計(jì)算機(jī)之間的連接確定為不安全時(shí),防止所述一個(gè)消息訪問所述所述無線移動(dòng)裝置的系統(tǒng)參數(shù)。
20.如權(quán)利要求17所述的系統(tǒng),其中,所述多個(gè)無線移動(dòng)裝置中的每一個(gè)都具有一訪問控制表,該訪問控制表包含所述多個(gè)授權(quán)的服務(wù)標(biāo)識(shí)。
21.如權(quán)利要求17所述的系統(tǒng),其中,所述系統(tǒng)還包括一代理服務(wù)器,耦合于所述有線網(wǎng)絡(luò)和所述無線電信公司公用通信網(wǎng)之間,所述代理服務(wù)器負(fù)責(zé)校驗(yàn)所述一個(gè)消息是否來自所述多個(gè)服務(wù)器計(jì)算機(jī)中的授權(quán)的一個(gè)。
22.如權(quán)利要求21所述的系統(tǒng),其中,所述多個(gè)無線移動(dòng)裝置中的每一個(gè)都具有一訪問控制表,該訪問控制表包含所述多個(gè)授權(quán)的服務(wù)標(biāo)識(shí),當(dāng)所述無線移動(dòng)裝置和所述代理服務(wù)器之間的通信對話安全并且得到驗(yàn)證時(shí),所述訪問控制表能夠由所述代理服務(wù)器更新。
全文摘要
公開了一種保證安全訪問無線通信系統(tǒng)的移動(dòng)裝置的本地服務(wù)的技術(shù)。該技術(shù)控制訪問移動(dòng)裝置的本地服務(wù),以使僅有授權(quán)的服務(wù)能夠遠(yuǎn)程更改該本地服務(wù)。在允許訪問本地服務(wù)之前,檢驗(yàn)尋求訪問的網(wǎng)點(diǎn)身份,以判斷該網(wǎng)點(diǎn)是否被授權(quán)了這樣的訪問。如果網(wǎng)點(diǎn)為授權(quán)的,則允許訪問,并且網(wǎng)點(diǎn)能夠修改或更改移動(dòng)裝置的本地服務(wù)。另一方面,當(dāng)網(wǎng)點(diǎn)為非授權(quán)的時(shí),拒絕該網(wǎng)點(diǎn)訪問本地服務(wù),以使網(wǎng)點(diǎn)所提供的本地服務(wù)不受到未經(jīng)意的網(wǎng)點(diǎn)的破壞。
文檔編號(hào)H04L29/06GK1246773SQ9911037
公開日2000年3月8日 申請日期1999年7月16日 優(yōu)先權(quán)日1998年7月17日
發(fā)明者廖漢青, 彼得·F·金, 小布魯斯·K·馬丁 申請人:電話通有限公司