BRPI0503638B1 - Sistema e método para pesquisar e recuperar certificados, e meio legível por computador - Google Patents

Sistema e método para pesquisar e recuperar certificados, e meio legível por computador Download PDF

Info

Publication number
BRPI0503638B1
BRPI0503638B1 BRPI0503638-0A BRPI0503638A BRPI0503638B1 BR PI0503638 B1 BRPI0503638 B1 BR PI0503638B1 BR PI0503638 A BRPI0503638 A BR PI0503638A BR PI0503638 B1 BRPI0503638 B1 BR PI0503638B1
Authority
BR
Brazil
Prior art keywords
certificate
message
computing device
user
sender
Prior art date
Application number
BRPI0503638-0A
Other languages
English (en)
Inventor
Neil P. Adams
Michael S. Brown
Herbert A. Little
Original Assignee
Blackberry Limited
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=34929517&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=BRPI0503638(B1) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Blackberry Limited filed Critical Blackberry Limited
Publication of BRPI0503638A publication Critical patent/BRPI0503638A/pt
Publication of BRPI0503638B1 publication Critical patent/BRPI0503638B1/pt

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/12Messaging; Mailboxes; Announcements

Abstract

sistema e método para pesquisar e recuperar certificados, e aplicação de software para execução em um dispositivo de computação um sistema e método para pesquisar e recuperar certificados, que poderá ser utilizado no processamento de mensagens codificadas. em um aspecto amplo, um servidor de gerenciamento de mensagens gera dados de identificação de certificado de uma mensagem que identifica singularmente o certificado associado à mensagem. os dados de identificação do certificado podem então ser utilizados para determinar se um certificado localizado dado recuperado do um ou mais servidores de certificado em resposta a uma solicitação de busca de certificado, é o certificado associado à mensagem. apenas os dados de identificação do certificado são necessários para facilitar a determinação no dispositivo de computação do usuário (por exemplo, um dispositivo móvel), aliviando a necessidade de o usuário baixar a mensagem inteira para o dispositivo de computação para fazer a determinação.

Description

1/50
SISTEMA E MÉTODO PARA PESQUISAR E RECUPERAR CERTIFICADOS, E MEIO LEGÍVEL POR COMPUTADOR
A invenção relaciona-se genericamente ao processamento de mensagens, como mensagens de correspondência eletrônica e, mais especificamente, a um sistema e método para pesquisar e recuperar certificados utilizados no processamento de mensagens codificadas.
Histórico da invenção
As mensagens de correspondência eletrônica poderão ser codificadas utilizando um dentre um número de protocolos conhecidos. Alguns desses protocolos, por exemplo, como o Secure Multiple Internet Main Extensions (S/MIME Extensões de Correspondência de Internet Múltiplas Seguras) dependem de chaves de criptografia pública e privada para fornecer confidencialidade e integridade, e em uma Infraestrutura de Chave Pública (PKI) para comunicar informação que fornece autenticação e autorização. Os dados criptografados utilizando uma chave privada de um par de chaves privada/chave pública só pode ser descriptografados utilizando a chave pública correspondente do par, e viceversa. A autenticidade das chaves públicas utilizadas na codificação das mensagens é validade com a utilização de certificados. Em particular, se o usuário de um dispositivo de computação deseja criptografar uma mensagem antes da mensagem ser enviada para um indivíduo particular, o usuário necessitará de um certificado para aquele indivíduo. Esse certificado tipicamente compreenderá a chave pública do indivíduo, bem como outra informação relacionada com a identificação. De modo similar, se o usuário de um dispositivo de computação deseja autenticar o
Petição 870180136223, de 01/10/2018, pág. 14/16
2/50 « « • · • · • · *
• ·· ·· • · «
« « • · • · • * ·· · • · • · * ♦ · • · • · ♦ · « · • · «
usuário de um dispositivo de computação deseja autenticai ° remetente de uma mensagem assinada, o usuário necessitará de um certificado para aquele remetente.
dispositivo de computação do usuário, o certificado precisa primeiro ser recuperado. Pesquisar e recuperar um consultar um servidor de certificados ao certificado específico é um processo que geralmente βηνοίνθ fazer o usuário entrar manualmente com o nome e/ou o endereço de correspondência eletrônica do indivíduo para o qual o certificado selecionado em um formulário de pesquisa exibido no dispositivo de computação.
Geralmente/ certificados localizados na pesquisa são então temporariamente baixados para o dispositivo de computação para consideração, e uma lista de certificados localizados poderá então ser exposta ao usuário. Os certificados selecionados na lista poderão então ser identificados manualmente pelo usuário para armazenamento em um armazém não volátil do dispositivo de computação, para utilização potencial no futuro.
Considere uma implementação em que o dispositivo de computação do usuário é um dispositivo móvel. Quando a mensagem é recebida em um servidor de mensagens e é tornada disponível para baixar para o dispositivo móvel, a mensagem é tipicamente apenas transmitida para o dispositivo móvel em blocos de dados sucessivos de um tamanho predefinido, para conservar largura de banda. Mais especificamente, um primeiro bloco da mensagem (por exemplo, 2 KB de dados) é baixado para o dispositivo móvel, e se o usuário deseja receber mais da mensagem, o usuário pode solicitar que mais
3/50
• ♦ • · · « • · ♦ ··· • · • · · • • «
• · • • • · • · • • * • > • · • · * ♦ • •
·· • * • · — A. • · • ♦
• ♦ • ♦ « · • ·
♦ ♦· £
blocos sejam baixados para o dispositivo móvel, até a mensagem inteira ter sido baixada para o dispositivo móvel ou até que algum limite predefinido na baixa da mensagem ® atingido.
Se a mensagem recebida é uma mensagem S/MIME assinada, por exemplo, para verificar a integridade da mensagem θ autenticar a identidade do remetente, é necessário ° certificado do remetente. Em alguns casos, o certificado necessário poderá acompanhar a mensagem, com o certificado tipicamente sendo anexado ao final da mensagem* Alternativamente, o certificado necessário poderá não acompanhar a mensagem, mas um ou mais identificadores de certificado que identificam o certificado utilizado na assinatura é fornecido, também tipicamente ao final da mensagem. 0 certificado identificado pode então ser recuperado quer de um armazém de certificados no dispositivo móvel se o certificado já está nele armazenado, ou um servidor de certificados do qual o certificado pode ser baixado conforme observado acima.
Para obter o certificado ou os identificadores de certificado para uma mensagem, a mensagem inteira precisa tipicamente ser baixada para o dispositivo móvel· Infelizmente, baixar mensagens inteiras simplesmente para recuperar a informação do certificado pode ser uma tarefa absorvedora de tempo e onerosa (por exemplo, com relação à largura de banda) . Por outro lado, se apenas uma pequena parte da mensagem foi baixada para o dispositivo móvel, ou se a mensagem é grande demais e não pode ser baixada para o dispositivo móvel devido a um limite imposto, poderá não ser possível identificar o certificado que é necessário • ·
4/50
* * 4 * ;·· *· ·*·
• · * • · 4
• ♦ 4 ♦····*
• • · * • * • · ♦ * • 1* v »
para verificar a integridade da mensagem recebida θ autenticar a identidade do remetente com alguma certeza.
Sinopse da invenção
Versões da invenção são geralmente dirigidas a um sistema e método para buscar e recuperar certificados mais eficientemente, em que o certificado necessário pode Ser identificado sem precisar que a mensagem do remetente seja baixada em sua inteireza para o dispositivo de computação do usuário (por exemplo, um dispositivo móvel). Em particular, o sistema e método facilitam a determinação do certificado necessário de certificados localizados em uma busca de um ou mais servidores de certificados.
Em um amplo aspecto da invenção, é fornecido um método de pesquisar e de recuperar certificados relacionados a uma mensagem recebida pelo usuário de um remetente, a mensagem compreendendo dados que identificam o certificado do remetente a ela associada, em que os dados de identificação do certificado que identificam singularmente o certificado do remetente podem ser gerados da mensagem, e em que o método compreende as etapas de: receber pelo menos uma parte da mensagem e dados de identificação de certificado em um dispositivo de computação; fornecer uma solicitação de busca de certificado para certificados associados ao remetente; efetuar a busca em um ou mais servidores de certificado, em que pelo menos uma consulta é submetida ao um ou mais servidores de certificado para solicitar a recuperação de certificados localizados que satisfazem a solicitação de busca de certificados; recuperar pelo menos um certificado localizado do um ou mais servidores de certificado; processar cada um dos certificados localizados
5/50
* * #4 • ? · • · * • ♦ *
Φ Λ • · * *♦ M *
* * • 4 ♦ 4 4 * * « * ·
♦ * • 4 * 4 4 · • · • ·
• 4*4 ♦ · * • 4 * 4 * * * *
recuperados, utilizando os dados de identificação do certificado, para determinar se os respectivos certificados localizados são o certificado do remetente associado à mensagem; e armazenar o certificado localizado no dispositivo de computação, se o certificado localizado é o certificado do remetente associado à mensagem confotme determinado na etapa de determinar.
Em outro amplo aspecto, os dados de identificação do certificado gerado incluem um número de série e dados do emissor para o certificado do remetente; e a etapa de processamento compreende analisar cada certificado localizado recuperado para obter o respectivo número de série e dados do emissor, e comparar o respectivo número de série e dados do emissor com os dados de identificação do certificado.
Em outro amplo aspecto, os dados de identificação do certificado gerado incluem um somatório aleatório (hash) d© pelo menos uma parte do certificado do remetente; e a etapade processar compreende aplicar um algoritmo de hash a cada certificado localizado recuperado para obter o ha^h respectivo, e comparar o hash respectivo aos dados do identificação do certificado.
Em outro amplo aspecto da invenção, é fornecido um sistema para pesquisar e recuperar certificado^ relacionados a uma mensagem recebida pelo usuário de utn remetente, a mensagem compreendendo dados que identificam certificado do remetente a ela associado, o sistema
compreendendo: um servidor de gerenciamento de mensagens adaptado para gerar dados de identificação de certificado da mensagem, em que os dados de identificação do
6/50
* »9 rt 4 • 44 4 »»· 99 4 4 4
V· · • 4 4 · • 4« 4 · <; » 4 4 * · * « 4 W
* » • 4 4 • · • 4 * • • · • * • 4 9 · 4 • ♦ • r* * • 4 · *
certificado identificam singularmente o certificado do remetente; um dispositivo móvel adaptado para receber pelo menos uma parte da mensagem, e os dados de identificação do certificado, do servidor de gerenciamento de mensagens, e um servidor de dados móveis adaptado para receber uma de busca por certificados associados ao remetente do dispositivo móvel, efetuar a busca em um ou servidores de certificado por certificados localizados que
satisfazem a recuperar os certificados localizados do um ou mais servidores de certificados; em que pelo menos um do dispositivo móvel θ do servidor de dados móveis é ainda adaptado para processar cada certificado localizado recuperado no servidor de dados móveis para determinar, utilizando os dados de identificação do certificado, se o respectivo certificado localizado é o certificado do remetente associado à mensagem; e em que o dispositivo móvel fornece um ou mais armazéns de certificados para armazenar um certificado localizado determinado como sendo o certificado do remetente associado à mensagem.
Em outro amplo aspecto, é fornecido um método de pesquisar e de recuperar certificados relacionados a uma mensagem recebida pelo usuário de um remetente, a mensagem compreendendo dados que identificam o certificado do remetente a ela associado, em que o método compreende as etapas de: gerar dados de identificação de certificado para o certificado do remetente dos dados na mensagem recebida que identificam o certificado do remetente, em que os dados de identificação do certificado identificam singularmente o
7/50
9*9 ··· ·· ·♦· 9
9 9 • · 9 ♦ ·
* 9 99 ·· 9
9 * 9 • · • · (. ·
9 • 9 • · • · • · 9 · 9 *
··· 9
certificado do remetente; receber dados de identificação do certificado em um dispositivo de computação; e determinar se o certificado do remetente é armazenado no dispositivo de computação, ao gerar dados de identificação do certificado associado a cada um de uma pluralidade de certificados armazenados no dispositivo de computação, e comparar os dados de identificação de certificado gerados para cada um da pluralidade de certificados armazenados aos dados de identificação do certificado gerados para o certificado do remetente para identificar um certificado armazenado que cada com o certificado do remetente.
Descrição sucinta dos desenhos
Para uma melhor compreensão das versões da invenção, e mostrar mais claramente como ela poderá ser posta em funcionamento, referência será feita agora, por meio de exemplo, aos desenhos acompanhantes, nos quais:
A Figura 1 é um diagrama de blocos de um dispositivo móvel em uma implementação exemplo.
A Figura 2 é um diagrama de blocos de um componente do subsistema de comunicação do dispositivo móvel da Figura 1.
A Figura 3 é um diagrama de blocos de um nó de uma rede sem fio.
A Figura 4 é um diagrama de blocos que ilustra componentes de um sistema hospedeiro em uma configuração exemplo.
A Figura 5 é um diagrama de blocos que mostra um exemplo de uma cadeia de certificados.
A Figura 6 é um diagrama de blocos que ilustra componentes de um exemplo de uma mensagem codificada.
A Figura 7A é um fluxograma que ilustra as etapas em
8/50
• · · * • · • 09 0 •
• · • · • 0 • · • · ♦ · • • • 0 · - · • •
• · • • · • · • • · * · • · * • · • • 0 • < • •
• · · * 0
um método de pesquisar e de recuperar certificados em um ambiente da invenção. E
Ά Figura 7B é um fluxograma que ilustra as etapas em um método de pesquisar e recuperar certificados em outra versão da invenção.
Descrição detalhada das versões da invenção
Algumas versões da invenção fazem uso de uma estação móvel. A estação móvel é um dispositivo de comunicação bilateral com capacidade de comunicação de dados avançada tendo a capacidade de se comunicar com outros sistemas de
computador, e também é aqui referido geralmente como um dispositivo móvel. O dispositivo móvel também poderá incluir a capacidade para comunicação de voz. Dependendo da funcionalidade fornecida pelo dispositivo móvel, ele poderá ser referido como um dispositivo de mensagens de dados, um dispositivo de radiochamada bilateral, um telefone celular com capacidade de mensagens de dados, um aparelho de Internet sem fio, ou um dispositivo de comunicação de dados (com ou sem a capacidade de telefonia). O dispositivo móvel comunica-se com outros dispositivos através de uma rede de estações transceptoras.
Para auxiliar o leitor na compreensão da estrutura de um dispositivo móvel e como ele se comunica com outros dispositivos, referência é feita para as Figuras 1 a 3.
Referindo-se primeiro à Figura 1, é mostrado geralmente em 100 um diagrama de blocos de um dispositivo móvel em uma implementação exemplo. 0 dispositivo móvel 100 compreende um número de componentes, o componente controlador sendo o microprocessador 102. O microprocessador 102 controla a operação geral do
9/50 dispositivo móvel 100. Funções de comunicação, incluindo a comunicação de dados e de voz, são efetuadas através do subsistema de comunicação 104. O subsistema de comunicação 104 recebe mensagens e envia mensagens para uma rede sem 5 fio 200. Nesta implementação exemplo do dispositivo móvel
100, o subsistema de comunicação 104 é configurado de acordo com as normas Global System for Mobile Communication (GSM - Sistema Global para a Comunicação Móvel) e General Packet Radio Services (GPRS - Serviços de Rádio de Pacote
Geral). A rede sem fio GSM/GPRS é utilizada em todo o mundo e espera-se que essas normas sejam superadas eventualmente pela Enhanced Data GSM Environment (EDGE ~ Ambiente GSM de Dados Aprimorado) e Universal Mobile Telecommunications Service (UMTS - Serviço de Telecomunicação Móvel 15 Universal) . Novas normas ainda estão sendo definidas, mas acredita-se que elas terão similaridades com θ comportamento de rede aqui descrito, e também será compreendido pelas pessoas habilitadas na tecnologia que a invenção pretende utilizar qualquer outra norma adequada 2 0 que seja desenvolvida no futuro. O enlace sem fio que conecta o subsistema de comunicação 104 à rede 200 representa um ou mais canais de Frequência de Rádio (RF) diferentes, operando de acordo com protocolos definidos especificados para a comunicação GSM/GPRS. Com protocolos 25 de rede mais novos, esses canais são capazes de suportar tanto a comunicação de voz comutada por circuito como a comunicação de dados comutada por pacote.
Embora a rede sem fio associada ao dispositivo móvel
0 seja uma rede sem fio GSM/GPRS em uma implementação 30 exemplo do dispositivo móvel 100, outras redes sem fio
10/50 também poderão estar associadas ao dispositivo móvel 100 em implementações variantes. Diferentes tipos de redes sem fio que poderão ser incluídas, incluem, por exemplo, redes sem fio centradas em dados, redes sem fio centradas na voz, θ redes de modo dual que podem suportar tanto a comunicação de voz como a de dados pelas mesmas estações base físicas. Redes de modo dual combinadas incluem, sem a elas se limitar: redes Code Division Multiple Acess (CDMA - Acesso Múltiplo de Divisão por Código) ou CDMA2000, redes GSM/GPrS (como foi mencionado acima), e redes futuras de terceira
geração (3G) como EDGE e UMTS. Alguns exemplos mais antigos de redes centradas em dados incluem a Mobitex™ Radio Network e a DataTAC™ Radio Network. Exemplos de redes de dados centrados na voz mais antigas incluem as redes Personal Communication Systems (PCS - Sistemas de Comunicação Pessoal) como os sistemas GSM e Time Division Multiple Access (TDMA - Acesso Múltiplo de Divisão por Tempo) .
O microprocessador 102 também interage com subsistemas adicionais como a Memória de Acesso Aleatório (RAM) 106, a memória flash 108, a tela 110, subsistemas de entrada/saída (1/0) auxiliares 112, porta serial 114, teclado 116, altofalante 118, microfone 120, comunicação de curto alcance 122, e outros dispositivos 124.
Alguns dos subsistemas do dispositivo móvel 10 0 efetuam funções relacionadas à comunicação, enquanto outros subsistemas poderão fornecer funções residentes ou no dispositivo. Por meio de exemplo, a tela 110 e o teclado 116 poderão ser utilizados tanto para as funções relacionadas à comunicação, como entrar com uma mensagem de
11/50
« « ♦ ♦ ♦ • · · 9 · * • · · •
• · • · • 9
• · • · • · • · 9 ·
• · • • • « • • ♦ • » • · • · • · • 9 « •
• ♦ · *
• · • · ♦
texto para transmissão pela rede 200, e funções residentes no dispositivo como a calculadora ou a lista de tarefas· θ software de sistema operacional utilizado pelo microprocessador 102 é tipicamente armazenado em um armazém persistente como a memória flash 108, que poderá alternativamente ser uma memória de apenas leitura (ROM) ou elemento de armazenamento similar (não mostrado). Aqueles habilitados na tecnologia apreciarão que o sistema operacional, aplicações específicas de dispositivo, ou partes destes, poderão ser temporariamente carregados
dentro de um armazém volátil como a RAM 106.
O dispositivo móvel 100 poderá enviar e receber sinais de comunicação pela rede 2 00 após os procedimentos de registro ou de ativação na rede necessários forem terminados. O acesso à rede é associado a um assinante ou usuário de um dispositivo móvel 100. Para identificar o assinante, o dispositivo móvel 10 0 precisa de um Módulo de
Identidade do Assinante ou um cartão SIM 126 a ser inserida em uma interface SIM 128 para se comunicar com a rede, θ SIM 126 é um tipo de cartão inteligente convencional utilizado para identificar o assinante do dispositivo móvel 100 e personalizar o dispositivo móvel 100, entre outras coisas. Sem o SIM 126, o dispositivo móvel 100 não é integralmente operacional para comunicação com a rede 2 00 Ao inserir o SIM 126 dentro da interface SIM 128, o assinante pode acessar todos os serviços assinados. OS serviços poderiam incluir: varredura e mensagens da Wefc> como correspondência eletrônica, correspondência de voz. Serviço de Mensagens Curtas (SMS), e Serviços de Mensagens de Multimídia (*MMS). Serviços mais avançados poderão
12/50
• · · ♦ • · · • · ♦ * « * • ··· • • » ·
• ♦ • · • ·
• · • · • · • · • ·
• · • · — * • · ♦ · • ·
• • · ♦ • · • • e • « « • • · •
incluir: ponto de venda, serviço de campo e automação da equipe de vendas. 0 SIM 126 inclui um processador e memória para armazenar a informação. Uma vez inserido o SIM 126 etn uma interface SIM 12 8, ele é acoplado ao microprocessador 102. Para identificar o assinante, o SIM 126 contêm alguns parâmetros de usuário como uma Identidade de Assinante Móvel Internacional (IMSI) . Uma vantagem de utilizar o SIM 126 é que o assinante não é necessariamente limitado por qualquer um único dispositivo móvel físico. O SIM 126 poderá armazenar informação de assinante adicionais para o dispositivo móvel também, incluindo informação de livro de datas (ou de calendário) e informação de chamadas recentes O dispositivo móvel 100 é um dispositivo energizado por batería e inclui uma interface de batería 132 para receber uma ou mais baterias recarregáveis 130. A interface de batería 132 é acoplada a um regulador (não mostrado) que auxilia a batería 130 ao fornecer energia V+ para o dispositivo móvel 100. Embora a tecnologia atual faça uso de uma batería, futuras tecnologias como as microcélulas combustíveis poderão fornecer energia para o dispositivo
móvel 100.
microprocessador 102, além de de sistema operacional, permite de de software no dispositivo móvel
Um conj unto de aplicações que controlam as operações básicas do dispositivo, incluindo aplicações de voz, normalmente serão instaladas no dispositivo móvel
100 durante sua fabricação. Outra aplicação que poderá ser carregada no dispositivo móvel 100 seria um gerenciador de informação pessoal (PIM) . O PIM tem funcionalidade para
13/50
a ♦ ♦ φ • ·· • • > • 9 9 9
• · • · • ; • 9 9
• 9 • · 99 • · • · 9 9
• 9 • • · • ♦ • ♦ 9 « · • · • 9 * 9 9 • 9 · 9 9 9
• · · 9
organizar e gerenciar itens de dados de interesse para o assinante, como, mas sem a eles se limitar, correspondência eletrônica, eventos de calendário, correspondência de voz/ compromissos, e itens de tarefas. A aplicação PIM tem a capacidade de enviar e de receber itens de dados através da rede sem fio 200. Os itens de dados PIM poderão ser perfeitamente integrados, sincronizados e atualizados através da rede sem fio 2 00 com os itens de dados correspondentes do assinante do dispositivo móvel armazenados e/ou associados a um sistema de computador hospedeiro. Esta funcionalidade cria um computador hospedeiro espelhado no dispositivo móvel 100 com relação a esses itens. Isto pode ser particularmente vantajoso quando o sistema de computador hospedeiro é o sistema de computador do escritório do assinante do dispositivo móvel·
Aplicações adicionais também poderão ser carregadas no dispositivo móvel 100 através da rede 200, do subsistema de I/O auxiliar 112, da porta serial 114, do subsistema de comunicação de curto alcance 122, ou de qualquer out37O subsistema adequado 124. Esta flexibilidade na instalação de aplicações aumenta a funcionalidade do dispositivo móvel 10 0 e poderá fornecer funções aprimoradas no dispositivo, funções relacionadas com a comunicação, ou os dois. Pot exemplo, aplicações de comunicação segura poderão permiti^' que funções de comércio eletrônico e outras transações financeiras dessas sejam efetuadas utilizando o dispositivo móvel 100.
A porta serial 114 permite ao assinante fixará preferências através de um dispositivo externo ou aplicação de software e amplia a capacidade do dispositivo móvel 100
14/50 ao fornecer informação ou baixas de software para o dispositivo móvel 100 que não através da rede de comunicação sem fio. A via de baixa alternativa, Por exemplo, poderá ser utilizada para carregar uma chave de criptografia no dispositivo móvel 100 através de uma conexão direta, e assim confiável e confiada, para fornecer comunicação de dispositivo segura.
O subsistema de comunicação de curto alcance 122 fornece a comunicação entre o dispositivo móvel 100 e diferentes sistemas ou dispositivos, sem a utilização da rede 200. Por exemplo, o subsistema 122 poderá incluir um dispositivo infravermelho e circuitos e componentes associados para a comunicação de curto alcance. Exemplos de comunicação de curto alcance incluiríam normas desenvolvidas pela Infrared Data Association (IrDA) > Bluetooth, e a família 802.11 de normas desenvolvidas pela IEEE.
Em uso, um sinal recebido como uma mensagem de texto, uma mensagem de correspondência eletrônica, ou uma baixa de página da Web será processado pelo subsistema de comunicação 104 e entrado no microprocessador 102. O microprocessador 102 então processará o sinal recebido para saída para a tela 110 ou alternativa para o subsistema de I/O auxiliar 112. O assinante também poderá compor itens de dados, como mensagens de correspondência eletrônica, por exemplo, utilizando o teclado 116 em conjunto com a tela 110 e possivelmente o subsistema de I/O auxiliar 112. O subsistema auxiliar 112 poderá incluir dispositivos como: uma tela de toque, um mouse, uma esfera para movimentar o apontador, detector de impressões digitais de
15/50
• • • · · • ♦ • · • ·· • • • ·
• * • « • ♦
• • • * · • · « · * • ♦ · • • · » · * • * ♦ •
infravermelho, ou uma esfera rolante com capacidade de pressionamento de botão dinâmico. O teclado 116 é um teclado alfanumérico e/ou um teclado do tipo telefônico. O item composto poderá ser transmitido pela rede 200 através do subsistema de comunicação 104.
Para a comunicação de voz, a operação geral do dispositivo móvel 100 é substancialmente similar, exceto que os sinais recebidos seriam emitidos para o alto-falante 118, e os sinais para transmissão seriam gerados pelo microfone 120. Subsistemas de 1/0 de voz ou de áudio
alternativos, como o subsistema de gravação de mensagens de voz, também poderão ser implementados no dispositivo móvel 100. Embora o sinal de voz ou de áudio entrado seja feito principalmente através do alto-falante 118, a tela 110 também poderá ser utilizada para fornecer informação adicional, como a identidade da parte que chama, duração de uma chamada de voz, ou outra informação relacionada com a chamada de voz.
Com referência agora à Figura 2, é mostrado um diagrama de blocos dos componentes do subsistema de comunicação 104 da Figura 1. O subsistema de comunicação 104 compreende um receptor 150, um transmissor 152, um ou mais elementos de antena embutidos ou internos 154, 156, Osciladores Locais (LOs) 158, e um módulo de processamento como o Processador de Sinal Digital (DSP) 160.
projeto particular do subsistema de comunicação 104 é dependente da rede 2 00 em que o dispositivo móvel 10 0 pretende operar; assim, de ser compreendido que o projeto ilustrado na Figura 2 serve apenas como um exemplo. Os sinais recebidos pela antena 154 através da rede 2 00 são
16/50
• 4 • ♦ · • 44 *
• 4 • 4 • !
• 4 • · • 4 • ·
• 4 ♦ · • ·
* ♦ 4 • · • ·
• 44 4
• · · • 4 4 4
• • • • · * 4
• « • • * • · • • · * 4 *
entrados no receptor 150, que poderá efetuar funções comuns de receptor como amplificação de sinal, conversão descendente da freqüência, filtragem, seleção de canal/ e conversão de analógico para digital (A/D). A conversão A/D de um sinal recebido permite que funções de comunicação mais complexas como a demodulação e a decodificação sejam efetuadas no DSP 160. De maneira similar, os sinais a serem transmitidos são processados, incluindo a modulação a a codificação, pelo DSP 160. Esses sinais processados ρθ1° DSP são entrados no transmissor 152 para a conversão digital-para-analógico (D/A), conversão ascendente da freqüência, filtragem, amplificação e transmissão pela rede
200 através da antena 156. O DSP 160 não apenas processa os sinais de comunicação mas também fornece o controle do receptor e do transmissor. Por exemplo, os ganhos aplicados nos sinais de comunicação no receptor 150 e no transmissor
152 poderão ser seletivamente controlados através de um
algoritmo de controle de ganho automático implementado no
DSP 160.
O enlace sem fio entre o dispositivo móvel 100 e a
rede 200 poderá conter um ou mais canais diferenteS/ tipicamente canais RF diferentes, e protocolos associados utilizados entre o dispositivo móvel 100 e a rede 200. O canal RF é um recurso limitado que precisa ser conservado# tipicamente devido a limites na largura de banda geral e a energia de bateria limitada do dispositivo móvel 100.
Quando o dispositivo móvel 100 está inteiramente operacional, o transmissor 152 é tipicamente chaveado ou ligado apenas quando ele está enviando para a rede 200 e de outra forma está desligado para fontes de manutenção até ···
17/50 • ·* ele ser necessário para receber sinais ou informação (se houver) durante períodos de tempo designados.
Com referência agora à Figura 3, um diagrama de blocos de um nó de uma rede sem fio é mostrado como 202. Na 5 prática, a rede 200 compreende um ou mais nós 202. θ dispositivo móvel 100 comunica-se com o nó 202 dentro da rede 200. Na implementação exemplo da Figura 3, o nó 202 é configurado de acordo com as tecnologias General Packet Radio Service (GPRS - Serviço de Rádio de Pacote Geral) e 10 Global Systems for Mobile Communication (GSM - Comunicação
Móvel para Sistemas Globais) . O nó 202 inclui uma estação base de controle (BSC) com uma estação torre associada 206, Packet Control Unit (PCU - Unidade de controle de pacote) 2 08 acrescentado para apoio ao GPRS em GSM, um Centro de 15 Comutação Móvel (MSC) 210, um Registro de Localização
Residencial (HLR) 212, um Registro de Localização de Visitante (VLR) 214, Um Nó de Suporte GPRS Servidor (SGSN) 216, um Nó de Suporte GPRS de Portal (GGSN) 218, e um Protocolo de Configuração Hospedeiro Dinâmico (DHCP) 220·
Esta lista de componentes não pretende ser uma lista abrangente dos componentes de cada nó 2 02 dentro de uma rede GSM/GPRS, mas sim uma lista de componentes que são comumente utilizados em comunicação através de uma rede 200.
Em uma rede GSM, o MSC 210 é acoplado ao BSC 2 04 e a uma rede de linha terrestre, como a Rede de Telefonia Comutada Pública (PSTN) 222 para satisfazer requisitos comutados por circuito. A conexão através do PCU 208, do SGSN 216 e do GGSN 218 para a rede pública ou privada (Internet) 224 (também aqui referido geralmente como uma
18/50 • « · «
• * <* * 4
4·· »4
« « 4 ♦ 4 • « * » * 4 • • · • * * · •
ί- ·· •
• 9 infra-estrutura de rede partilhada) representa a via d® dados para os dispositivos móveis capazes de GPRS, BSC 204 também contem a Packet Control Unit (PCU) 208 que conecta ao SGSN 216 para controlar a segmentação, a alocação de canal de rádio e satisfazer requisitos comutados Por pacote. Para acompanhar a localização e a disponibilidade do dispositivo móvel tanto para o gerenciamento comutado por circuito como para o gerenciamento comutado por pacote, o HLR 212 é partilhado entre o MSC 210 e o SGSN 216. 0 acesso ao VLR 214 é controlado pelo MSC 210.
A estação 206 é uma estação transceptora fixa. A
estação 206 e o BSC 204 juntos formam o equipamento transceptor fixo. O equipamento transceptor fixo fornece cobertura de rede sem fio para uma área de cobertura particular comumente referida como uma célula. 0 equipamento transceptor fixo transmite sinais de comunicação e recebe sinais de comunicação de dispositivos móveis dentro de sua célula através da estação 206. ° equipamento transceptor fixo normalmente efetua funções como modulação e possivelmente codificação e/ou criptografação de sinais a serem transmitidos para ° dispositivo móvel de acordo com protocolos e parâmetros de comunicação particulares e comumente predeterminados, sob θ controle de sua controladora. 0 equipamento transceptor fixo de modo similar demodula e possivelmente decodifica e descriptografa, se necessário, qualquer sinal de comunicação recebido do dispositivo móvel 100 dentro de sua célula. Os protocolos e parâmetros de comunicação poderão variar entre nós diferentes. Por exemplo, um nó poderã empregar um esquema de modulação diferente e operar em
19/50
• ··* ·* ··· • · *
Φ * « · « # *
M · 0 « * »
V « • ·
4 • t * · « · • · • ♦ • ♦
freqüências diferentes do que outros nós.
Para todos os dispositivos móveis 100 registrados com uma rede específica, dados de configuração permanentes como o perfil do usuário são armazenados no HLR 212. 0 HLR 212 também contém informação de localização para cada dispositivo móvel registrado e pode ser consultado para determinar a localização atual de um dispositivo móvel. 0 MSC 210 é responsável por um grupo de áreas de localização e armazena os dados dos dispositivos móveis atualmente em sua área de responsabilidade no VLR 214. Ainda, o VLR 214 também contém informação sobre os dispositivos móveis que estão visitando outras redes. A informação no VLR 214 inclui parte dos dados permanentes do dispositivo móvel transmitidos do HLR 212 para o VLR 214 para acesso mais rápido. Ao deslocar informação adicional de um nó HLR 212 remoto para o VLR 214, a quantidade de tráfego entre esses nós pode ser reduzida de modo que os serviços de voz e de dados podem ser fornecidos com tempos de resposta mais rápidos e ao mesmo tempo exigindo menor uso dos recursos de computação.
O SGSN 216 e o GGSN 218 são elementos acrescentados para suporte de GPRS, a saber, suporte de dados comutados por pacote, dentro de GSM. O SGSN 216 e o MSC 210 possuem responsabilidades similares dentro da rede 200 ao manter o acompanhamento da localização de cada dispositivo móvel 100. O SGSN 216 também efetua funções de segurança e de controle de acesso para o tráfego de dados na rede 200. O GGSN 218 fornece conexões intertrabalho com redes comutadas por pacote externas e conecta-se a um ou mais SGSNs 216 através de uma rede de segundo plano (backbone) de
20/50
*·· ··· ♦·· ·· ··· • « • ·
• · • · * · • · • ·· «· • • • • ·
• • ··· • · • « • • · • •« • •· • • · • • · •
Protocolo da Internet (IP) operada dentro da rede 200. Durante a operação normal, um dispositivo móvel 100 dado precisa efetuar um GPRS Attach para adquirir um endereço IP e acessar serviços de dados. Este requisito não está presente em canais de voz comutados por circuito pois θ® endereços da Rede Digital de Serviços Integrados (ISDN) são utilizados para rotear chamadas de entrada e de saída. Atualmente, todas as redes capazes de GPRS utilizam endereços IP privados e dinamicamente designados, assim exigindo um servidor DHCP 220 conectado ao GGSN 218. Há
muitos mecanismos para a designação IP dinâmica, incluindo a utilização de uma combinação de servidor de Serviço de Usuário Discado de Autenticação Remota (RADIUS) e do servidor DHCP. Uma vez terminado o GPRS Attach, uma conexão lógica é estabelecida do dispositivo móvel 100, através do PCU 208, e SGSN 216 até um Nó de Ponto de Acesso (APN) dentro do GGSN 218. 0 APN representa uma extremidade lógica de um túnel IP que pode ou acessar serviços compatíveis de Internet direto ou conexões de rede privada. O APN também representa um mecanismo de segurança para a rede 2 00, pois na medida que cada dispositivo móvel 100 precisa ser designado a um ou mais APNs e os dispositivos móveis 100 não podem intercambiar dados sem primeiro efetuar um GPRS Attach a um APN que já foi autorizado a usar. O APN poderá ser considerado como sendo similar a um nome de domínio da Internet como myconnection.wireless.com.
Uma vez terminado o GPRS Attach, um túnel é criado e todo o tráfego é intercambiado dentro de pacotes IP padrão utilizando qualquer protocolo que pode ser suportado em pacotes IP. Isto inclui métodos de túnel como IP over IP
21/50 ··· « ··· ·♦ • · · ♦ · ♦· ·· · ·· • · · · · · ········ • · · * como no caso com algumas conexões IPSecurity (IPsec) utilizadas com Redes Privadas Virtuais (VPN). Esses túneis também são referidos como Contextos de Protocolo de Dados de Pacote (PDP) e há um número limitado deles disponível na rede 200. Para maximizar a utilização dos PDP Contexts, a rede 200 processará um cronômetro desocupado para cada PDp Context para determinar se há uma falta de atividade. Quando o dispositivo móvel 100 não está utilizando seu PDP Context, o PDP Context pode ser desalocado e o endereço IP retornado ao agrupamento de endereços IP gerenciado pel° servidor DHCP 220.
Com referência agora à Figura 4, é mostrado um diagrama de blocos que ilustra componentes de um sistema hospedeiro em uma configuração exemplo. O sistema hospedeiro 250 tipicamente será um escritório de empresa ou outra rede de área local (LAN) , mas poderá, em vez disso, ser um computador de escritório residencial ou algum outro sistema privado, por exemplo, em implementações variantes· Neste exemplo mostrado na Figura 4, o sistema hospedeiro 250 é representado como uma LAN de uma organização ao qual o usuário do dispositivo móvel 100 pertence.
A LAN 250 compreende um número de componentes de rede conectados uns aos outros pelas conexões LAN 260. Por exemplo, o computador de mesa do usuário 262a com um berço acompanhante 264 para o dispositivo móvel do usuário 100 está situado na LAN 250. O berço 264 para o dispositivo móvel 100 poderá ser acoplado ao computador 262a por uma conexão serial ou de Barramento Serial Universal (USB), por exemplo, Outros computadores usuários 262b também estão situados na LAN 250, e cada um deles poderá ou não estar • · *
• · • « *
22/50 ··· ·· • ·
• · equipado com um berço acompanhante 264 para o dispositivo móvel. 0 berço 264 facilita o carregamento de informação (por exemplo, dados PIM, chaves de criptografia simétrica privada para facilitar a comunicação segura entre o dispositivo móvel 100 e a LAN 250) do computador 262a para o dispositivo móvel 100, e poderá ser particularmente útil para atualizações de informação ao grosso muitas vezes efetuadas na inicialização do dispositivo móvel 100 para uso. A informação baixada para o dispositivo móvel 1°° poderá incluir certificados utilizados no intercâmbio de mensagens. Será compreendido por pessoas habilitadas na tecnologia que os computadores de usuários 262a, 262b tipicamente serão também conectados a outros dispositiv°s periféricos não explicitamente mostrados na Figura 4.
Versões da invenção relacionam-se genericamente ao processamento de mensagens, como as mensagens de correspondência eletrônica, e algumas versões relacionam-se genericamente à comunicação de tais mensagens de e para o dispositivo móvel 100. Assim, apenas um subconjunto de componentes de rede da LAN 2 50 são mostrados na Figura 4 para facilidade de exposição, e será compreendido por pessoas habilitadas na tecnologia que a LAN 250 compreenderá componentes adicionais não explicitamente mostrados na Figura 4, para esta configuração exemplar. Mais genericamente, a LAN 250 poderá representar uma parte menor de uma rede maior (não mostrada) da organização, e poderá compreender componentes diferentes e/ou estar disposta em diferentes topologias do que aquela mostrada no exemplo da Figura 4.
Neste exemplo, o dispositivo móvel 100 comunica-se com
Φ Φ φ
4
Φ Φ
Φ Φ Φ Φ
Φ Φ Φ
Φ
Φ
Φ 4
Φ Φ Φ Φ Φ Φ Φ Φ
ΦΦ
Φ
4
4
Φ
4 ·
Φ
Φ Φ 4 4
Φ
Φ 4 Φ •
Φ a LAN 250 através de um no 202 da rede sem fio 200 e uma infra-estrutura de rede partilhada 224 como uma rede de provedor de serviço ou a Internet pública. Acesso à LAN 250 poderá ser fornecido através de um ou mais roteadores (não mostrados) , e os dispositivos de computação da LAN 250 poderão operar por trás de uma parede de fogo ou de servidor substituto 266.
Em uma implementação variante, a LAN 250 compreende um roteador VPN sem fio (não mostrado) para facilitar o intercâmbio de dados entre a LAN 250 e o dispositivo móvel 100. O conceito do roteador VPN sem fio é novo na indústria
sem fio e implica que a conexão VPN pode ser estabelecida diretamente através de uma rede sem fio específica para o dispositivo móvel 100. A possibilidade de utilizar um roteador VPN sem fio só recentemente esteve disponível e podería ser utilizada quando o novo Protocolo da Internet (IP) Versão 6 (IPV6) chegar nas redes sem fio com base em IP. Este novo protocolo fornecerá endereços IP suficientes para dedicar um endereço IP para cada dispositivo móvel/ tornando possível empurrar informação para o dispositivo móvel a qualquer tempo. Uma vantagem de utilizar o roteador VPN sem fio é que ele poderia ser um componente VPN tirado das prateleiras, que não exige um portal sem fio separado θ infra-estrutura sem fio separada a ser utilizada. A conexão
VPN preferivelmente seria um Protocolo de Controle de Transmissão(TCP)/IP ou a conexão Protocolo de Datagrama do Usuário (UDP)/IP para entregar as mensagens diretamente para o dispositivo móvel 100 nesta implementação variante.
Mensagens pretendidas para o usuário do dispositivo móvel 100 são inicialmente recebidas por um servidor de
24/50
• · 99 ♦ 9 9 9 9 9 9 9 9 • 99 9
9 9 • 9 9 9 9 9 9 9 9 9
• · 9 9 9 9 9 9 9 9 9 9
9 * • 9 9 9 9 9 · 9 9 9
9 9 9 9 9 9 9 9 · 9 9 9 9 9 9
9 9 9 9 9 Ü 9 9 9
mensagens 268 da LAN 250. Essas mensagens poderão originar” se de qualquer um de um número de fontes. Por exemplo, a mensagem poderá ter sido enviada por um remetente de um computador
262b dentro da LAN 250, de um dispositivo móvel diferente (não mostrado) conectado à rede sem fio 200 oü a uma rede sem fio diferente, ou de um dispositivo de computação diferente ou outro dispositivo capaz de enviar mensagens, através da infra-estrutura de rede partilhada serviço de aplicação (ASP) ou de provedor de serviço de Internet
(ISP), por exemplo.
servidor de mensagem
68 age tipicamente como a interface primária para intercâmbio de mensagens, particularmente mensagens de correspondência eletrônica, dentro da organização e pela infra-estrutura de rede estabelecido para enviar e receber mensagens é tipicamente associado a uma conta de usuário gerenciada pelo servidor de mensagens 268. Um exemplo de um servidor de mensagens
68 é um Servidor
Microsoft
Exchange™. Em algumas implementações, a LAN 250 poderá compreender múltiplos servidores de mensagens 268. 0 servidor de mensagens 268 também poderá ser adaptado para fornecer funções adicionais além do gerenciamento de mensagens, incluindo o gerenciamento dos dados associados a calendários e listaS de tarefas, por exemplo.
mensagens 268, elas são tipicamente armazenadas em urn armazém de mensagens (não mostrado explicitamente) da qual mensagens podem ser subsequentemente recuperadas e
25/50
* 9 • 9 9 9 9 9 9 «99 • 9 • 9 9 9 * *
• 9 V • 9 9 9 9 9 9
• · 9 9 • • < 9 9 9 9 9 9 9 9 9 9 9 9 9 9 9 9 • 9 9 · ·· 9 ♦ 4 9 9 9 9 9 9 9 9 9 A
• 9 9 9 9 9 9 9 *
entregues aos usuários. Por exemplo, uma aplicação cliente de correspondência eletrônica que opera no computador 262a do usuário poderá solicitar as mensagens de correspondência eletrônica associadas à conta daquele usuário armazenadas em um servidor de mensagens 268. Essas mensagens então seriam tipicamente recuperadas do servidor de mensagens 2^8 e armazenadas localmente no computador 262a.
Quando da operação do dispositivo móvel 100, O usuário poderá desejar ter mensagens de correspondência eletrônica recuperadas para entrega ao aparelho de mão. Uma aplicação cliente de correspondência eletrônica que opere no dispositivo móvel 100 poderá também solicitar mensagens associadas à conta do usuário do servidor de mensagens 2 68. O cliente de correspondência eletrônica poderá Ser configurado (quer pelo usuário ou por um administrador, possivelmente de acordo com a política de tecnologia da informação (IT) da organização) para fazer esta solicitação
na direção do usuário, a algum intervalo de tempo predefinido, ou quando da ocorrência de algum evento predefinido. Em algumas implementações, o dispositivo móvel 100 é designado seu próprio endereço de correspondência eletrônica, e mensagens endereçadas especificamente para ° dispositivo móvel 100 são automaticamente redirecionadas para o dispositivo móvel 100 à medida que são recebidas pelo servidor de mensagens 268.
Para facilitar a comunicação sem fio de mensagens e dados relacionados a mensagens entre o dispositivo móvel 100 e componentes da LAN 250, um número de componentes d® suporte da comunicação sem fio 270 poderão ser fornecidos · Nesta implementação exemplar, os componentes de suporte da
26/50
• · · • 4 ♦ · comunicação sem fio 270 compreendem um servidor de gerenciamento de mensagens 272, por exemplo. O servidor de gerenciamento de mensagens 272 é utilizado para fornecer especificamente suporte para o gerenciamento de mensagens, como as mensagens de correspondência eletrônica, que devens ser manuseadas pelos dispositivos móveis. Geralmente, enquanto as mensagens ainda estão armazenadas no servidor de mensagens 268, o servidor de gerenciamento de mensagens 272 pode ser utilizado para controlar quando, se e como as mensagens devem ser enviadas para o dispositivo móvel 100. 0 servidor de gerenciamento de mensagens 272 também facilita o manuseio de mensagens compostas no dispositivo móvel 100, que são enviadas para o servidor de mensagens 268 para subsequente entrega.
Por exemplo, o servidor de gerenciamento de mensagens 272 poderá: monitorar a caixa de correio do usuário (por exemplo, o armazém de mensagens associado à conta do usuário no servidor de mensagens 268) por novas mensagens de correspondência eletrônica; aplicar filtros definidos pelo usuário às novas mensagens para determinar se e como as mensagens serão repassadas para o dispositivo móvel do usuário 100; comprimir e criptografar novas mensagens (por exemplo, utilizando uma técnica de criptografia como Data Encryption Standard (DES) ou Triple DES) e empurrá-las para o dispositivo móvel 100 através da infra-estrutura de rede partilhada 224 e da rede sem fio 200; e receber mensagens compostas no dispositivo móvel 100 (por exemplo# criptografadas utilizando Triple DES), descriptografar e descomprimir as mensagens compostas, reformatar ae mensagens compostas se desejado de modo que elas aparecerão «4 · · · • 44 • ··
27/50 • 4 • 4
4 haver originado do computador do usuário 262a f e reprogramar as mensagens compostas para o servidor de mensagens 268 para a entrega.
Certas propriedades ou restrições associadas às mensagens que deverão ser enviadas de e/ou recebidas pel° dispositivo móvel 100 podem ser definidas (por exemplo, por um administrador de acordo com a política de IT) e feita cumprir pelo servidor de gerenciamento de mensagens 272. Elas poderão incluir se o dispositivo móvel 100 poderá receber mensagens criptografadas e/ou assinadas, tamanho mínimo da chave de criptografia, se as mensagens de saída precisam ser criptografadas e/ou assinadas, e se cópias de todas as mensagens seguras enviadas do dispositivo móvel 100 são para serem enviadas para um endereço de cópia 15 predefinido, por exemplo.
O servidor de gerenciamento de mensagens 272 também poderá ser adaptado para fornecer outras funções de controle, como empurrar apenas certa informação de mensagem ou partes predefinidas (por exemplo, blocos) de u^a 20 mensagem armazenada no servidor de mensagens 268 para θ dispositivo móvel 100. Por exemplo, quando uma mensagem θ recuperada inicialmente pelo dispositivo móvel 100 do servidor de mensagens 268, o servidor de gerenciamento de mensagens 272 é adaptado para empurrar apenas a primeira 25 parte de uma mensagem para o dispositivo móvel 100, com a parte sendo de um tamanho predefinido (por exemplo, 2 KB) · O usuário pode então solicitar mais da mensagem, a sei entregue em blocos de tamanho similar pelo servidor de gerenciamento de mensagens 272 para o dispositivo móvel 3 0 100, possivelmente até um tamanho de mensagem predefinido
• · · «· ···
28/50 • ·«· « ««· · • « · * ♦ ♦ · « * « · ·« · · • · · · · · · • «*···· • · · · · · • · • · · • · · · • · máximo.
Assim, o servidor de gerenciamento de mensagens 272 facilita o melhor controle sobre o tipo de dados e a quantidade de dados que é comunicada para o dispositivo móvel 100 e pode ajudar a minimizar o desperdício potencial de largura de banda ou de outros recursos.
Será compreendido por pessoas habilitadas na tecnologia que o servidor de gerenciamento de mensagens 272 ser implementado em um servidor físico separado na LAN 250 ou totalidade das em outra rede. Por exemplo, algumas ou a o servidor de funções associadas com gerenciamento de mensagens
272 poderá ser integrada com o servidor de mensagens 268, ou algum outro servidor na LAN
250. Ademais, a LAN 250 poderá compreender múltiplos servidores de gerenc i amento de mensagens
272 particularmente variantes em que um grande número de dispositivos móveis precisa ser suportado.
Versões da relacionam-se geralmente ao processamento de mensagens codificadas, como mensagens de correspondência que são criptografadas e/ou
assinadas. Embora o Simple
Mail
Transfer Protocol (SMTP)r cabeçalhos RFC 822, e partes do corpo de Multipurpose Internet Mail Extensions (MIME) poderão ser utilizadas para definir o formato de uma mensagem de correspondência eletrônica típica que não exija codificação, Secure/MIME (S/MIME), uma versão do protocolo MIME, poderá ser utilizada na comunicação de mensagens codificadas (isto é.
em aplicações de mensagens seguras), S/MIME permite autenticação ponta-a-ponta e confidencialidade, e protege a integridade de dados e a privacidade da hora que o criador
29/50
♦ 44· • · · 4 44 4 ·· • 44 4
• · • 4 • 4 4 • 4
• · 4 · ·· • · 4 »· 4
• * • · • · t · 4 4 4
• 4 • 4 • · « 4 • · 4 4 • 4
♦ 4 4 « 4 4 4
da mensagem envia uma mensagem até ela ser decodificada θ lida pelo receptor da mensagem. Outras normas e protocolos conhecidos poderão ser empregados para facilitar a comunicação de mensagens seguras, como Pretty Good Privacy™ (PGP), OpenPGP, e outros conhecidos na tecnologia.
Protocolos de mensagens seguras como S/MIME dependem de chaves de criptografia pública e privada para fornecer confidencialidade e integridade, e em uma Infra-estrutura de Chave Pública (PKI) para comunicar informação que fornece autenticação e autorização. Os dados criptografados utilizando uma chave privada de um par de chaves privada/chave pública só pode ser descriptografados utilizando a chave pública correspondente do par, e viceversa. A informação de chave privada nunca é tornada pública, enquanto a informação de chave pública e partilhada.
Por exemplo, se um remetente deseja enviar uma mensagem para um receptor na forma criptografada, a chave pública do receptor é utilizada para criptografar a mensagem, que pode então ser descriptografada apenas utilizando a chave privada do receptor. Alternativamente, em algumas técnicas de codificação uma chave de sessão de uma só vez é gerada e utilizada para criptografar o corpo de uma mensagem, tipicamente com uma técnica de criptografia simétrica (por exemplo, Triple DES) . A chave de sessão é então criptografada utilizando a chave pública do receptor (por exemplo, com um algoritmo de criptografia de chave pública como RSA) , que pode então ser descriptografado apenas utili zando a chave privada do receptor. A chave de sessão descriptografada pode então ser
·· ··· · ··· , «···· ·
30/50 ······ ·· »· · · ·· · ·· ··· · · · ♦ · • · ····♦·»»··*·♦ • ··· ♦ · « , » · ·
4*
descríptografar
mensagem-
cabeçalho da mensagem poderá ser utilizado para especificar o esquema de criptografia particular que precisa ser utilizado para descríptografar a mensagem. Outras técnicas de criptografia com base na criptografia de chave pública poderão ser utilizadas em implementações variantes. entanto, em cada um desses casos, apenas a chave privada do receptor poderá ser utilizada para facilitar a descriptografia da mensagem, e desta forma, a confidencialidade das mensagens pode ser mantida.
Como mais um exemplo, o remetente poderá assinar a
mensagem utilizando uma assinatura digital. A assinatura digital é um resumo da mensagem (por exemplo, um hash da mensagem) criptografada utilizando a chave privada do remetente, que pode então ser apensada à mensagem de saída. Para verificar a assinatura da mensagem quando recebida/ ° receptor utiliza a mesma técnica que o remetente (p°r exemplo, utilizar o mesmo algoritmo de hash padrão) para obter um resumo da mensagem recebida. O receptor também utiliza a chave pública do remetente para descríptografar a assinatura digital, para obter o que deve ser um resumo casado para a mensagem recebida. Se os resumos da mensagem recebida não casam, isto sugere que ou o conteúdo da mensagem foi modificado durante o transporte e/ou a mensagem não se originou do remetente cuja chave púbHca foi utilizada para a verificação. Ao verificar a assinatura digital desta forma, a autenticação do remetente e da integridade da mensagem pode ser mantida.
Uma mensagem codificada poderá ser criptografada, assinada, ou tanto criptografada como assinada.
31/50 '4 4 ···· • 4 4 44 • 4 4444 • 4 4 44
4 4 4 « • · 4·
44444
4··
44*
44·· • · • ·· ·
• · •
4
4 autenticidade das chaves públicas ut i1i zadas nessas operações é validada utilizando certificados. O certificado é um documento digital emitido por uma autoridade de certificados (CA). Certificados são utilizados para
autenticar a associação entre usuários e suas chaves
públicas, e essencialmente fornece um nível de confiança na
autenticidade das chaves públicas dos usuários.
Certificados contêm informação a respeito do detentor do
certificado, com o conteúdo do certificado tipicamente
formatado de acordo com uma norma aceita (por exemplo,
X.509) .
Considere a Figura 5, em que uma cadeia de certificado de exemplo 300 é mostrada. 0 certificado 310 emitido para John Smith é um exemplo de um certificado emitido para um indivíduo, que poderá ser referido como o certificado de entidade final. 0 certificado de entidade final 310 tipicamente identifica o detentor do certificado 312 (isto é, John Smith neste exemplo) e o emitente do certificado 314, e inclui uma assinatura digital do emissor 316 e a chave pública do detentor do certificado 318. 0 certificado 310 também tipicamente incluirá outra informação e atributos que identificam o detentor do certificado (por exemplo, endereço de correspondência eletrônica, nome da organização, nome da unidade organizacional, localidade/ etc.). Quando o indivíduo compõe uma mensagem a ser enviada para o receptor, é costumeiro incluir o certificado do indivíduo 300 com a mensagem.
Para que uma chave pública seja confiada, sua organização emissora precisa ser confiada. A relação entre uma CA em quem se confia e a chave pública do usuário pode
32/50 ,A ser representada por uma série relacionados, • · • · • · • · «
de também referidos como uma ··· · ··« • · · · ♦· · · · • · · · ··♦··· • · « ·· ··· ::. :
» · certífiçados cadeia de certificados. A cadeia de certificados pode ser seguida para determinar a validade de um certificado.
Por exemplo, na cadeia de certificados de exemplo 300
mostrada na Figura 5, o receptor de uma mens ag em
supostamente enviada por John Smith poderá desej ar
verificar a situação de confiança do certificado 310
anexado à mensagem recebida. Para verificar a situação de confiança do certificado 310 no dispositivo de computação do receptor (por exemplo, o computador 2 62a da Figura 4) por exemplo, o certificado 320 do emissor ABC é obtido, θ utilizado para verificar se em verdade o certificado 310 foi assinado pelo emissor ABC. O certificado 320 já poderá estar armazenado em um armazém de certificados no dispositivo de computação, ou ele poderá precisar ser recuperado de uma fonte de certificados, por exemplo, ° servidor LDAP 284 da Figura 4 ou algum outro servidor LDAP público ou privado) . Se o certificado 32 0 já estiver armazenado no dispositivo de computação do receptor e ° certificado foi designado como confiável pelo receptor, então o certificado 310 é considerado como sendo confiável
pois ele encadeia até um certificado confiável armazenado.
No entanto, no exemplo mostrado na Figura 5, ° certificado 330 também é necessário para verificar a confiabilidade do certificado 310. O certificado 330 ê auto-assinado, e é referido como um certificado raiz · Assim, o certificado 320 poderá ser referido como o certificado intermediário na cadeia de certificados 300; qualquer cadeia de certificados dada para o certificado »4
33/50 raiz, supondo determinada certifiçados certificado
444
4 •
que a cadeia até o certificado raiz para um certificado poderá conter intermediários.
raiz emitido por zero,
Se uma i 4 •
possa
4 ·
• 4 •
ser de entidade final um, ou múltiplos certificado 330 é um fonte confiável (de uma ·· ·· como Verisigh ou Entrust, por exemplo), então o certificado 310 poderá ser considerado como sendo confiável, pois ele encadeia até um certificado confiável. A implicação é que tanto o remetente 10 como o receptor da mensagem confiam na fonte do certificado raiz 330. Se um certificado não puder ser encadeado até um
certificado confiável
como sendo não confiável.
Servidores de certificado armazenam informação sobre certificados e listas que identificam certificados que foram revogados. Esses servidores de certificados podem ser acessados para obter certificados e para verificar a autenticidade do certificado e a situação de revogação. Por exemplo, um servidor Lightweight Directory Access Protocol (LDAP - Protocolo de Acesso a Catálogo Leve) poderá ser utilizado para obter certificados, e um servidor Online Certificate Status Protocol (OCSP - Protocolo de Situação de Certificado Online) poderá ser utilizado para verificar a situação de revogação do certificado.
Protocolos de segurança de correspondência eletrônica padrão tipicamente facilitam a transmissão de mensagem segura entre dispositivos de computação não móveis (por exemplo, os computadores 262a, 262b da Figura 4;
dispositivos de mesa remotos). Com referência novamente à
0 Figura 4, para que as mensagens assinadas recebidas dos
34/50 remetentes possam ser lidas do dispositivo
0 0 0 0 0 0 0 0 • 00 0 00
0 *
0 • 0 0 0 0 0
000
0 0 •
• Φ *
· • · ·· • ·· •· • ·· • · ·« •·
100 e móvel
mensagens criptografadas serem enviadas para aqueles
remetentesj r o dispositivo móvel 100 é adaptado para
armazenar certificados e chaves públicas associadas de
outros indivíduos. Os certificados armazenados no
computador do usuário 262a tipicamente serão baixados do
computador 2 62a para o dispositivo móvel 100 através do
berço 264, por exemplo.
Os certificados armazenados no computador 262a e baixado para o dispositivo móvel 100 não são limitados a certificados associados a indivíduos mas poderão também incluir certificados para CAs, por exemplo. Certos certificados armazenados no computador 262a e/ou no dispositivo móvel 100 também podem ser explicitamente designados como confiáveis pelo usuário. Assim, quando nm certificado é recebido por um usuário no dispositivo móvel 100, ele pode ser verificado no dispositivo móvel 100 ao
casar o certificado com um armazenado no dispositivo móvel
100 e designado como confiável, ou de outra forma
determinado como sendo encadeado a um certificado
confiável.
O dispositivo móvel 100 também poderá ser adaptado para armazenar a chave privada do par chave pública/chave privada associado ao usuário, de modo que o usuário do dispositivo móvel 100 pode assinar mensagens de saída compostas no dispositivo móvel 100, e descriptograf mensagens enviadas para o usuário criptografadas com a chave pública do usuário. A chave privada poderá ser baixada para o dispositivo móvel 100 do computador do usuário 262a , por exemplo, através do berço 264. A chave
35/50 privadapreferivelmente
entre o computador
262a e o dispositivo móvel 100 de modo que o usuário poderá partilhar uma identidade e um método para acessar mensagens.
Os computadores de usuários 262a, 262b podem obter certificados de um número de fontes, para armazenamento nos computadores 262a, 262b e/ou nos dispositivos móveis (p°r exemplo, o dispositivo móvel 100) . Essas fontes de certificados poderão ser privadas (por exemplo, dedicadas para uso dentro de uma organização) ou públicas, poderão residir local ou remotamente, e poderão ser acessados de dentro da rede privada de uma organização ou através da Internet, por exemplo. No exemplo mostrado na Figura 4,
servidores PKI múltiplos 280 associados à organização
residem na LAN 250. Os servidores PKI 250 incluem um
servidor CA 282 para emitir certificados, um servidor LDAP
284 utilizado para pesquisar e baixar certificados (por exemplo, para indivíduos dentro da organização) , e 11111 servidor OCSP 286 utilizado para verificar a situação <de revogação de certificados.
Os certificados poderão ser recuperados do servidor LDAP 284 pelo computador do usuário 2 62a por exemplo, para serem baixados para o dispositivo móvel 100 através <do berço 2 64. No entanto, em uma implementação variante, ° servidor LDAP 284 poderá ser acessado diretamente (isto é » pelo ar neste contexto) pelo dispositivo móvel 100, θ ° dispositivo móvel 100 poderá pesquisar e recuperar certificados individuais através de um servidor de dados móvel 288. De modo similar, o servidor de dados móvel 2θ8 poderá ser adaptado para permitir que o dispositivo móvel
36/50
»♦· • < 4
* 4 4 4 • *
• 4 4 ♦ 4 4 4
» * 4 4 4 4
* • 4 4 <
* 4 4 4
♦ ♦4 ♦e
4*
100 consulte diretamente o servidor OCSP 286 para verificar a situação de revogação dos certificados.
Será compreendido por pessoas habilitadas na tecnologia que o servidor de dados móvel 288 não precisa residir fisicamente em um dispositivo de computação separado dos outros componentes da LAN 250, e que o servidor de dados móvel 288 poderá ser fornecido no mesmo dispositivo de computação como outro componente da LAN 250 em implementações variantes. Ademais, as funções do servidor de dados móvel 288 poderão ser integradas às funções de outro componente na LAN 250 (por exemplo, ° servidor de gerenciamento de mensagens 272) em implementações variantes.
Em implementações variantes, apenas servidores PKI selecionados 280 poderão ser tornados acessíveis aos dispositivos móveis (por exemplo, permitir que certificados sejam baixados apenas do computador do usuário 262a, 262b
enquanto permite que a situação de revogação do® certificados seja verificada do dispositivo móvel 100).
Em implementações variantes, certos servidores PKI 28θ poderão ser tornados acessíveis apenas para dispositivos móveis registrados a usuários particulares, conforme especificado por um administrador IT, possivelmente όθ acordo com uma política de IT, por exemplo.
Outras fontes de certificados (não mostradas) poderão incluir um armazém de certificados Windows, outro armazén1 de certificados seguros na rede ou fora da LAN 250, e cartões inteligentes, por exemplo.
Com referência agora à Figura 6, um diagrama de blocos que ilustra componentes de um exemplo de uma mensagem
37/50
• · · 9 9 49 * 4 9 • 99 9
tf 9 9 9 4 9 V • 9
9 9 4 ♦ 9 9 * 9 » » 9 T
« 4 9 9 9 • · 9
9 9 9 9 4 9 v * V 9 9 9
* · · * * 9 9
codificada, conforme poderá ser recebida por um servidor de mensagens (por exemplo, o servidor de mensagens 268 da Figura 4) , é mostrado geralmente como 350. A mensagem codificada 350 tipicamente inclui um ou mais do que segue: uma parte de cabeçalho 352, uma parte de corpo codificada 354, opcionalmente um ou mais anexos codificados 356, uma ou mais chaves de sessão criptografadas 358, e assinatura e informação relacionada à assinatura 3 60. Por exemplo, a parte de cabeçalho 352 tipicamente inclui informação de endereçamento como os endereços To, From e CC, e também poderão incluir indicadores de comprimento da
mensagem, e identificadores de criptografia do remetente θ do esquema de assinatura, por exemplo. O conteúdo efetivo da mensagem normalmente inclui um corpo de mensagem ou uma parte de dados 354 e possivelmente um ou mais anexos 356, que poderão ser criptografados pelo remetente utilizando uma chave de sessão. Se uma chave de sessão foi utilizada, ela é tipicamente criptografada para cada receptor pretendido utilizando a respectiva chave pública para cada receptor, e incluídos na mensagem em 358. Se a mensagem assinada, uma assinatura e informação relacionada a assinatura 360 também são incluídas. Isto poderá incluit, por exemplo, o certificado do remetente.
formato para uma mensagem codificada conforme mostrada na Figura 6 é fornecido por meio de exemplo apenas, e pessoas habilitadas na tecnologia compreenderão que versões da invenção serão aplicáveis a mensagenS codificadas de outros formatos. Dependendo do esquema de mensagem específico utilizado, os componentes de urna mensagem codificada poderão aparecer em uma ordem diferente
38/50 χ
daquela mostrada na Figura 6, e uma mensagem codificada * 9 ·« • · · • · ·· • · · • · · « * · • · * · •» ··· <
• · ·· • · * >· »
• · «
• * »
• · • · *
poderá incluir menos componentes, componentes adicionais ou diferentes componentes, que poderão depender de se a mensagem codificada é criptografada, assinada, ou os dois·
Versões da invenção são geralmente dirigidas a um sistema e método para pesquisar e recuperar certificados. Em uma versão, uma aplicação de pesquisa de certificado residente e executando no dispositivo móvel (por exemplo, o dispositivo móvel 100 da Figura 4) é programada para iniciar buscas de certificados em um ou mais servidores de certificados (por exemplo, o servidor LDAP 284 da Figura 4) . Nesta versão, o dispositivo móvel busca e recupera
certificados individuais de um servidor de certificados através de um dispositivo de computação intermediário (por exemplo, o servidor de dados móveis 288 da Figura 4).
Com referência à Figura 4, considere uma implementação exemplo em que a aplicação de busca de certificados uo dispositivo móvel 100 pesquisa e recupera certificados individuais do servidor LDAP 284 através do servidor de dados móveis 288. Uma solicitação de busca é recebida pela, aplicação de busca de certificados, tipicamente de um usuário que fornece o primeiro nome, o sobrenome, e um endereço de correspondência eletrônica de um indivíduo para quem o usuário deseja localizar um certificado. Certas solicitações de busca também poderão ser tornadas mais amplos, ao construir consultas de busca em que a entrada de apenas umas poucas letras de um nome retornará todos certificados emitidos com um nome que contém aquelas letras como prefixo, ou de outra forma utilizar cartas curingas oU entradas em branco nos campos de entrada para expandir uma
39/50 r
busca, por exemplo. A solicitação ·· • * • · ·· ·«* *
··· • ·· ·· • · • · • · • · • · «·· ·· ··· ·· <
• · · ·
·.· ·.· de busca então comunicada do dispositivo móvel 100 para o servidor de dados móveis 288, que então consulta o servidor LDAP 284 para o certificado solicitado. Nesta implementação de exemplo, os certificados localizados são recuperados pel° servidor de dados móveis 288, e dados do resultado da busca específicos relacionados a cada certificado recuperado, como o nome comum e o endereço de correspondência eletrônica do indivíduo (ou da entidade) ao qual ° respectivo certificado é emitido, é comunicado ao dispositivo móvel 100 de modo que uma lista pode ser gerada dos dados do resultado da busca para ser exposta ao usuário. O usuário pode então selecionar certificados específicos para baixar e armazenar no dispositivo móvel 100 da lista. As seleções são então comunicadas ao servidor de dados móveis 288, de onde os certificados selecionados são baixados para o dispositivo móvel 100.
Quando o usuário do dispositivo móvel 100 recebe uma mensagem assinada de um remetente, o certificado do remetente é necessário para verificar a integridade da mensagem e autenticar a identidade do remetente. Este certificado também poderá ser aqui referido na especificação e nas reivindicações como o certificado do remetente ou certificado remetente. Considere a situação em que apenas uma parte da mensagem recebida foi baixada para o dispositivo móvel 100, para visualização pelo usuário através de uma aplicação de mensagens que executa e reside no dispositivo móvel 100. A parte da mensagem recebida provavelmente inclui informação de cabeçalho (por exemplo, o cabeçalho 352 da Figura 6) do qual pelo menos °
40/50
• 4 4 · 4 • · · 444 4 · 4 4 * • • ·
• 4 • 4 • 4 • • 4 • 4 • 4 • 4 • 4 4 • • 4 4 4 4 4 4 4 4 4 • 4 • 4 · 4 4 4 4 4 • 4 4 • 4 4 * 4 • 4 • 4 4
• 4 4 4 4
endereço de correspondência eletrônica do remetente pode ser tipicamente obtido. No entanto, a parte da mensagem recebida pelo dispositivo móvel 100 pode não incluir o certificado do remetente ou identificadores que podem ser utilizados para identificar o certificado em tela, pois essa informação relacionada à assinatura é tipicamente anexado próximo do fim da mensagem (ver, por exemplo, a assinatura e a informação relacionada à assinatura 360 da Figura 6).
A aplicação de busca de certificados no dispositivo móvel 10 0 pode ser ativada (por exemplo, pelo usuário ao selecionar uma opção de menu apropriada tornada acessível quando a mensagem está sendo visualizada) para baixar θ certificado do remetente. Como o endereço de correspondência eletrônica do remetente pode ser obtido da informação de cabeçalho baixada, a aplicação de busca de certificados pode iniciar automaticamente uma busca pc>r certificados que tenham um endereço de correspondência eletrônica que case, em um ou mais servidores de certificados (por exemplo, o servidor LDAP 284) através do servidor de dados móveis 288. Em particular, quando a mensagem não é acompanhada do certificado do remetente, ° certificado poderá precisar ser recuperado de um servidor de certificados pela aplicação de busca de certificados.
Entretanto, múltiplos certificados que casam com ° endereço de correspondência especificado poderão ser localizados pela busca. Nos sistemas da tecnologia anterior, se a parte da mensagem que contém a informação necessária para identificar corretamente o certificado etn tela associado àquela mensagem não foi baixado para o
41/50
• ··· 4 4 4« 4 • 4 4 4 4 4 4 4 •
• 4 • 4 4 • 4 4 4 4 4 • « • « 4 4 4 4 4 * · 4 4
4 4 4 4 4 4 4 4 • * * 4 ·
4 4 4 · 4 4 4 4 W W A
• 4 4 4 4 4
dispositivo móvel 100, o usuário poderá não ser capaz de selecionar o certificado correto de uma lista que identifica os múltiplos certificados localizados na busca com certeza. 0 usuário então teria de adivinhar ° certificado correto, ou baixar todos os certificados localizados para armazenamento no dispositivo móvel, o que consome tempo e largura de banda. Problemas similares poderão surgir quando dados que não o do endereço de correspondência são recuperados de uma mensagem e utilizados para efetuar uma busca por certificados.
Assim, versões da invenção relacionam-se geralmente a métodos que podem facilitar a determinação do certificado associado a uma mensagem, de uma pluralidade de certificados localizados em uma busca de um ou mais servidores de certificados, mesmo quando a mensagem não foi baixada em sua inteireza no dispositivo de computação do usuário (isto é, dispositivo móvel).
Com referência à Figura 7A, é mostrado geralmente conto 4 00 um fluxograma que ilustra as etapas em um método do pesquisar e recuperar certificados em uma versão da invenção.
Na etapa 410, uma mensagem endereçada ao usuário de um dispositivo de computação (por exemplo, o dispositivo móvel 100 da Figura 4) é recebido no servidor de mensagem (por exemplo, o servidor de mensagens 268 da Figura 4) . Em uma implementação de exemplo, o servidor de gerenciamento do mensagens (por exemplo, o servidor de gerenciamento de mensagens 272 da Figura 4) empurra uma primeira parte da mensagem recebida armazenada no servidor de mensagens para o dispositivo móvel. O servidor de gerenciamento do
42/50
• · ··· 4 4 4 4 4 4 4 4 4 4 4 4 4 * 4 4 •
• 4 4 4 4 · 4 4
4 · 4 4 4 4 4 4 4 4 4 A * 4
• 4 • 4 ·· 4 4 4 • 4 4 4 • 4 4 4 4 4 4 4 • 4 4 4 • · 4 4 4 4 4 4 4 • 4
mensagens pode entregar outras partes da mensagem recebida por solicitação do usuário, possivelmente até um tamanho de mensagem máximo predefinido. As partes da mensagem entregues ao dispositivo móvel geralmente incluirão informação de cabeçalho (por exemplo, o cabeçalho 352 da Figura 6) , que é tipicamente fornecido no início de uma mensagem.
Em versões da invenção, o servidor de gerenciamento de mensagens acrescenta dados de identificação do certificado às partes da mensagem entregue (por exemplo, ao cabeçalho da mensagem) . Se o certificado acompanha a mensagem recebida, então o servidor de gerenciamento de mensage113 pode processar o certificado para gerar os dados de identificação do certificado. Em uma versão, o servidor de
gerenciamento de mensagens aplica um algoritmo de hash para obter um hash de pelo menos uma parte do certificado. 0 hash é então utilizado como o dado de identificação do certificado a ser acrescentado às partes da mensagem (por exemplo, o cabeçalho) que está sendo entregue ao dispositivo móvel. Em uma implementação, o certificado inteiro é feito um hash para gerar o hash. No entanto, implementações variantes, uma ou mais partes específicas ou campos do certificado poderão ser feitas hash para gerar o hash, embora a probabilidade de que o hash identificará singular e corretamente um certificado idêntico poderá set diminuída dependendo das partes ou campos com que se fez ° hash.
Em outra versão, o servidor de gerenciamento de mensagens processa o certificado que acompanha a mensagem recebida, ao analisar o certificado para identificar o
43/50
• · 9 9 · 9 9 9 9 ·· 9 9 9 • 9 9 9
φ Φ • 9 • • • 9 • 9 • 9 ♦ 9 9 • 9 9 · 9 ·· 9 « 9 9 •
• ♦ 9 • · 9 9 t · · * 9 9 9 9 9
• · 9 9 9 9 9 · · ·
• 9 · 9 9 · *
número de série e emissor do certificado. Este dado de número de série e de emissor é então utilizado como os dados de identificação do certificado a serem acrescentado às partes da mensagem (por exemplo, o cabeçalho) que estão sendo entregues para o dispositivo móvel.
De modo similar, quando o certificado do emissor não acompanha a mensagem recebida,o servidor de gerenciamento de mensagens poderá analisar a informação relacionada com a assinatura na mensagem para recuperar dados que identificam o certificado do remetente associado à mensagem, como o número de série e o emissor do certificado utilizado para assinar a mensagem, por exemplo. Esses dados são então utilizados como os dados de identificação do certificado a serem acrescentado às partes da mensagem (por exemplo, θ cabeçalho) que está sendo entregue para o dispositivo móvel.
Em algumas aplicações, a utilização dos dados <1° número de série e do emissor de um certificado como os dados de identificação do certificado podem ser considerados como sendo menos seguros, quando comparados com a utilização de um hash de um certificado efetivo (cujo certificado pode ser validado conforme descrito com referência à Figura 5), pois os dados de número de série θ de emissor poderão ser mais fáceis de falsificar, No entanto, a utilização de um desses tipos de dados de identificação do certificado poderá ser útil em
implementações variantes, dependendo do nível de segurança desejado.
Os dados de identificação de certificado gerados podem ser utilizados para identificar singularmente o certificado
44/50 * · • ·
do remetente associado à mensagem recebida. Isto poderá ser particularmente útil quando a efetiva assinatura θ informação relacionada com a assinatura da mensagem recebida (por exemplo, a assinatura e a informação relacionada com a assinatura 3 60 da Figura 6) não foi entregue para o dispositivo móvel.
Na etapa 420, uma aplicação de mensagens que reside e executa no dispositivo móvel recebe uma ou mais partes da mensagem recebida, que inclui os dados de identificação do certificado, do servidor de gerenciamento de mensagens· Partes adicionais da mensagem recebida poderão ser* recuperadas do servidor de gerenciamento de mensagens em resposta a uma solicitação do usuário.
Opcionalmente, na etapa 430, a aplicação de mensagens pode utilizar os dados de identificação do certificado recebidos do servidor de gerenciamento de mensagens para determinar se o certificado associado à mensagem recebida já está armazenado no dispositivo móvel em um ou mais armazéns de certificados designados do mesmo. Uma indicação correspondente de se o certificado já está ou não armazenado poderá ser fornecida com as partes da mensagem que estão sendo expostas, ou ao lado de uma entrada em que a mensagem é identificada em uma lista de mensagens recebidas pelo usuário, por exemplo.
Por exemplo, em uma versão em que os dados de identificação do certificado compreendem um hash, na etapa 430, a aplicação de mensagens gera um hash para cada certificado armazenado no dispositivo móvel em um ou mais armazéns de certificados designados do mesmo, e compara cada hash gerado ao hash fornecido como o dado de • 44
4 • 44
45/50 • · · · « · · · · • · ···· · « » · · • · · ♦ · · · ··· * *········» ···· · * · · identificação do certificado, para determinar se o certificado já está armazenado no dispositivo móvel. O mesmo algoritmo de hash empregado na etapa 410 é aplicado nesta etapa (nas mesmas partes ou campos dos certificados armazenados se todos os certificados não forem feitos hash) ao gerar os hashes dos certificados armazenados. Assim, se um hash gerado de um certificado de um dado armazém casa com o hash recebido do servidor de gerenciamento de mensagens, então um casamento é tido como havendo sido determinado.
Alternativamente, em uma versão em que o dado de
4
identificação do certificado compreende dados de número de série e de emitente, na etapa 430, a aplicação de mensagens compara os dados de número de série e do emissor associados a cada certificado armazenado no dispositivo móvel em um ou mais armazéns de certificados designado do mesmo, aos dados do número de série e do emitente fornecidos como os dados de identificação do certificado, para determinar se o certificado já está armazenado no dispositivo móvel.
Em implementações variantes, a etapa 430 poderá ser efetuada por uma aplicação que reside e executa no di sposit ivo móvel que não a aplicação de mensagens (por exemplo, por uma aplicação de busca de certificados).
Na etapa 440, uma solicitação de busca pelo certificado é feita por uma aplicação de busca de certificados que reside e executa no dispositivo móvel. Por exemplo, a solicitação de busca poderá ser iniciada pelo usuário, que seleciona uma opção de menu fornecida pela aplicação de mensagens que ativa a aplicação de busca de certificados. Alternativamente, a aplicação de mensagens ou
46/50
• 4 • 4 4 · 4 4 4 4 4 • · · · · • · · · · • · · · · · 4 44 4 • • · • • · 4 4 4 4 4 4 4 4 4
• · · • · · 4 4 4 4
automaticamente a aplicação de busca de certificados, quando do recebimento de uma mensagem, por exemplo, e possivelmente após determinar que o certificado já não está armazenado no dispositivo móvel na etapa 430.
Ao solicitar uma busca do certificado na etapa 440, a aplicação de busca de certificados transmite a solicitação de busca para pelo menos um servidor de certificados (por exemplo, o servidor LDAP 2 84 da Figura 4) através de um servidor de dados móveis (por exemplo, o servidor de dados móveis 288 da Figura 4) em uma implementação exemplar. A solicitação de busca compreende dados que tipicamente incluem um endereço de correspondência eletrônica, e possivelmente pelo menos um nome associado ao remetente da mensagem recebida. No entanto, será compreendido pelas pessoas habilitadas na tecnologia que uma variedade de consultas de busca poderão ser construídas sem desviar do escopo da invenção.
Na etapa 450, o servidor de dados móveis consulta o pelo menos um servidor de certificados por certificados que satisfazem a solicitação de busca que foi feita na etapa 440 pela aplicação de busca de certificados do dispositivo móvel. Os certificados localizados como resultado da consulta de busca são recuperados do pelo menos um servidor de certificados pelo servidor de dados móveis.
Na etapa 460, os certificados localizados são baixados para o dispositivo móvel do servidor de dados móveis. Os certificados baixados são tipicamente armazenados temporariamente no dispositivo móvel para sofrerem mais processamento.
47/50 • · *
···· •· * •· •4 4 •444
Na etapa 470, os certificados localizados baixados para o dispositivo móvel na etapa 460 são processados pela aplicação de busca de certificados, para determinar qual certificado localizado, se houver algum, casa com ° certificado associado à mensagem recebida, conforme identificado pelos dados de identificação do certificado que acompanham a mensagem recebida.
Em uma versão em que os dados de identificação do certificado compreendem um hash, a aplicação de busca de certificados gera um hash para cada certificado localizado, e compara cada hash gerado ao hash fornecido como o dado de identificação do certificado, para determinar o casamento apropriado. 0 mesmo algoritmo de hash empregado na etapa 410 é aplicado nesta etapa (nas mesmas partes ou campos dos certificados armazenados se todo o certificado não for* submetido a hash) ao gerar os hashes dos certificados armazenados. Assim, se um hash gerado de um certificado localizado dado casa com o hash fornecido como o dado d® identificação do certificado, então se considera que um casamento foi determinado.
Alternativamente, em uma versão em que os dados de identificação do certificado compreendem dados de número d® série e de emitente, a aplicação de busca de certificado^ compara os dados de número de série e de emissor associado^ a cada certificado localizado aos dados de número de série e de emissor fornecidos como os dados de identificação do certificado, para determinar um casamento apropriado.
Opcionalmente, na etapa 480, uma lista que identifica os certificados localizados baixados na etapa 460 poderá ser exposta para o usuário, com um indicador ou outra
48/50
4 4 ·· 4 «4« ·♦· ·· 444 4 4 4 4
• · 4 · 4 4 4 4 4 4 4 » * • ♦ 4 · • ··. 4 4 4 4 4
4 4 • 4 4 • · • · · • 4 4 4
4 4 4 4 4 4 • 4 4 4 • · • • ♦ * · • ♦ 4
técnica de destaque utilizada para identificar o certificado casado na lista. 0 usuário poderá então ser orientado a selecionar o certificado casado (e possivelmente outros certificados localizados) para serem armazenados em um armazém de certificados no dispositivo móvel para utilização futura.
Na etapa 490, o certificado casado é armazenado em um armazém de certificados no dispositivo móvel. Em uma versão, esta etapa poderá ser efetuada automaticamente pela aplicação de busca de certificados, sem orientar o usuário por sua seleção na etapa 480.
Em uma versão variante, o certificado casado também poderá ser validado (etapa não mostrada), para verificar sua situação de confiabilidade, por exemplo, antes ou após o armazenamento.
Com referência agora à Figura 7B, é mostrado geralmente como 4 00b um fluxograma que ilustra as etapas em um método de pesquisar e recuperar certificados em outra versão da invenção. O método 400b é similar ao método 400f exceto que a aplicação de busca de certificados poderá passar os dados de identificação do certificado para ° servidor de dados móveis (por exemplo, com a solicitação de busca) , de modo que o servidor de dados móveis pode retornar apenas o certificado casado para o dispositivo móvel, em vez de todos os certificados localizados na busca.
Especificamente, na etapa 440, os dados de identificação do certificado inicialmente recebidos no dispositivo móvel do servidor de gerenciamento de mensagens é encaminhado para o servidor de dados móveis com a
49/50
0 • 00 * ·«· ·· 00 0 • 0 0 0
« 0 • «I 0 0 0 0 0 • 0 0 · 0 0 • · • ··» 0 0 0 • 0
0 · 0 0 0 0 0 0 · λ. Λ Λ « 0 0 0
0 0 0 0 0 0 0 Φ * 0
000 * 0 0
solicitação de busca, nesta versão da invenção.
Na etapa 460b, o servidor de dados móveis processa os certificados localizados para determinar qual certificado localizado casa com o certificado associado à mensagem recebida, conforme identificado pelos dados de identificação do certificado recebidos no servidor de dados móveis do dispositivo móvel na etapa 440. Apenas o certificado casado é então baixado para o dispositivo móvel em um armazém de certificados no dispositivo móvel na etapa 490- °
usuário poderá ser orientado por permissão para gravar o certificado casado antes do armazenamento (etapa não
Em uma variante da invenção, os certificados localizados poderão ser recuperados de um ou mais servidores de certificados e baixados para o dispositivo móvel sem serem transmitidos através de um servidor de dados móveis ou outro dispositivo de computação intermediário.
referência a um foram descritas acima com dispositivo móvel. No entanto, algumas versões também poderão ser aplicadas a um dispositivo que é dispositivo móvel.
As etapas de um método de pesquisar e de recuperar certificados em como instruções de software executável armazenadas em mídia lida por computador, que poderão incluir mídia do tipo de transmissão.
A invenção foi descrita com relação a um número de
50/50 • · ··· · *·· a ♦»* * • · · » · · «» · ’ ♦ * · ««·« <► ♦ ♦. ·*, ** ♦·· a » » * · f · »·♦·*»*»· * · ·♦ · « * * ·
versões. Entretanto, será compreendido por pessoas habilitadas na tecnologia que outras variantes e modificações poderão ser feitas sem desviar do escopo da invenção conforme definido nas reivindicações aqui 5 apensadas.

Claims (15)

1. Método para pesquisar e recuperar certificados relacionados a uma mensagem enviada de um dispositivo de computação de remetente (262b) para um dispositivo de computação de usuário (100), a mensagem compreendendo dados que identificam um certificado do remetente associado a ela, o método sendo caracterizado por compreender as etapas de:
receber pelo menos parte da mensagem do dispositivo de computação de remetente (262b) no dispositivo de computação de usuário (100) através de um servidor de gerenciamento de mensagens (272);
no dispositivo de computação de usuário (100), receber dados de identificação de certificado para o certificado do remetente gerado pelo servidor de gerenciamento de mensagens (272) a partir dos dados na mensagem que identifica o certificado do emissor, em que os dados de identificação do certificado identificam singularmente o certificado do emissor;
efetuar uma busca para localizar certificados armazenados no dispositivo de computação de usuário (100); e processar cada certificado localizado no dispositivo de computação de usuário (100) utilizando os dados de identificação do certificado para determinar se o certificado localizado no dispositivo de computação de usuário (100) que está sendo processado é o certificado do remetente associado à mensagem.
2. Método, de acordo com a reivindicação 1, caracterizado por ainda compreender as etapas de:
Petição 870180136223, de 01/10/2018, pág. 7/16
2/7 fornecer uma solicitação de busca de certificado para os certificados associados ao remetente;
efetuar uma busca em um ou mais servidores de certificados (284), em que pelo menos uma consulta é 5 submetida para um ou mais servidores de certificado para solicitar a recuperação dos certificados que satisfazem a solicitação de busca de certificado;
recuperar pelo menos um certificado que satisfaz a solicitação de busca de certificado de um ou mais 10 servidores de certificados;
processar cada certificado recuperado que satisfaz a solicitação de busca de certificado, utilizando os dados de identificação do certificado, para determinar se o respectivo certificado que satisfaz a solicitação de busca 15 de certificado é o certificado do remetente associado à mensagem; e armazenar o respectivo certificado que satisfaz a solicitação de busca de certificado no dispositivo de computação de usuário, se o respectivo certificado que 20 satisfaz a solicitação de busca de certificado é determinado como sendo o certificado do remetente associado à mensagem.
3. Método, de acordo com a reivindicação 2, caracterizado pelo fato do dispositivo de computação de
25 usuário compreender um dispositivo móvel (100).
4. Método, de acordo com a reivindicação 3, caracterizado pelo fato do dispositivo de computação de usuário compreender um dispositivo móvel (100), e ainda em que as etapas de efetuar uma busca em um ou mais servidores
30 de certificados (284) e recuperar pelo menos um certificado
Petição 870180136223, de 01/10/2018, pág. 8/16
3/7 que satisfaz a solicitação de busca de certificado do um ou mais servidores de certificados serem efetuadas em um segundo dispositivo de computação (288) acoplado ao dispositivo móvel (100).
5. Método, de acordo com a reivindicação 4, caracterizado pelo fato do segundo dispositivo de computação compreender um servidor de dados móveis (288).
6. Método, de acordo com a reivindicação 4 ou 5, caracterizado pelo fato da etapa processar cada certificado recuperado que satisfaz a solicitação de busca de certificado, utilizando os dados de identificação do certificado, para determinar se o respectivo certificado que satisfaz a solicitação de busca de certificado é o certificado do remetente associado à mensagem ser também efetuada no segundo dispositivo de computação (288), e em que o método ainda compreende a etapa de baixar o respectivo certificado que satisfaz a solicitação de busca de certificado determinada como sendo o certificado associado à mensagem para o dispositivo móvel (100) a partir do segundo dispositivo de computação.
7. Método, de acordo com a reivindicação 4 ou 5, caracterizado pelo fato da etapa de processar cada certificado recuperado que satisfaz a solicitação de busca de certificado, utilizando os dados de identificação do certificado, para determinar se o respectivo certificado que satisfaz a solicitação de busca de certificado é o certificado do remetente associado à mensagem ser efetuada no dispositivo móvel (100), e em que o método ainda compreende a etapa de baixar os respectivos certificados que satisfazem a solicitação de busca de certificados
Petição 870180136223, de 01/10/2018, pág. 9/16
4/7 recuperados de um ou mais servidores de certificados (284) para o dispositivo móvel (100) do segundo dispositivo de computação (288).
8. Método, de acordo com qualquer uma das reivindicações 2 a 7, caracterizado por ainda compreender expor uma lista do pelo menos um certificado que satisfaz a solicitação de busca de certificados recuperados do um ou mais servidores de certificados (284) no dispositivo de computação de usuário (100), certificado que satisfaz a certificados, se houver algum, onde a lista indica qual solicitação de busca de é determinado como sendo o certificado do remetente associado à mensagem.
9. Método, de acordo com a reivindicação 8, caracterizado por ainda compreender receber um ou mais seleções do usuário do pelo menos um certificado que satisfaz a solicitação de busca de certificados da lista, e armazenar as uma ou mais seleções do pelo menos um certificado que satisfaz a solicitação de busca de certificados em um armazém de certificados no dispositivo de computação do usuário (100).
10. Método, de acordo com qualquer uma das reivindicações 2 a 9, caracterizado pelo fato do processamento de cada certificado localizado no dispositivo de computação de usuário (100) utilizando os dados de identificação do certificado para determinar se o certificado localizado no dispositivo de computação de usuário (100) é o certificado do remetente associado à mensagem é efetuado antes da etapa de fornecer uma solicitação de busca de certificado para certificados associados ao remetente.
Petição 870180136223, de 01/10/2018, pág. 10/16
5/7
11. Método, de acordo com qualquer uma das reivindicações 1 a 10, caracterizado pelo fato de que o processamento de cada certificado localizado no dispositivo de computação de usuário (100) utilizando os dados de
5 identificação do certificado para determinar se o certificado localizado no dispositivo de computação de usuário (100) é o certificado do remetente associado à mensagem compreende as etapas de:
gerar dados de identificação do certificado associados
10 a cada certificado localizado no dispositivo de computação de usuário (100), e comparar os dados de identificação do certificado gerados para cada certificado localizado no dispositivo de computação de usuário (100) com os dados de identificação 15 do certificado recebidos no dispositivo de computação de usuário (100) para identificar um certificado armazenado que casa com o certificado do remetente.
12. Método, de acordo com qualquer uma das reivindicações 1 a 11, caracterizado pelo fato dos dados de
20 identificação do certificado para o certificado do remetente incluírem um número de série e dados do emissor para o certificado do remetente;
em que cada certificado localizado no dispositivo de computação de usuário (100) é analisado para obter o 25 respectivo número de série e dados do emissor para o certificado localizado no dispositivo de computação de usuário (100), e em que o número de série e dados do emissor obtidos para cada certificado localizado no dispositivo de computação de usuário (100) são comparados 30 aos dados de identificação do certificado para o
Petição 870180136223, de 01/10/2018, pág. 11/16
6/7 certificado emissor.
13. Método, de acordo com qualquer uma das reivindicações 1 a 11, caracterizado pelo fato dos dados de identificação do certificado para o certificado do remetente incluírem um hash de pelo menos uma parte do certificado do remetente;
Em que cada certificado localizado no dispositivo de computação de usuário (100) tem um algoritmo de hash aplicado a ele para obter o respectivo hash para o certificado localizado no dispositivo de computação de usuário (100); e em que o hash obtido para cada certificado localizado no dispositivo de computação de usuário (100) é comparado aos dados de identificação do certificado para o certificado emissor.
14. Sistema (100, 200, 250) para pesquisar e recuperar certificados relacionados a uma mensagem recebida por um dispositivo de computação de usuário (100) de um dispositivo de computação de remetente (262b), a mensagem compreendendo dados que identificam o certificado do remetente associado a este, o sistema caracterizado por compreender:
um servidor de gerenciamento de mensagens (272) adaptado para gerar dados de identificação de certificado da mensagem, em que os dados de identificação do certificado identificam singularmente o certificado do remetente;
o dispositivo de computação de usuário (100) compreendendo um dispositivo móvel (100) adaptado para receber pelo menos uma parte da mensagem, e os dados de
Petição 870180136223, de 01/10/2018, pág. 12/16
7/7 identificação do certificado, do servidor de gerenciamento de mensagens (272); e um servidor de dados móveis (288) adaptado para receber uma solicitação de busca do dispositivo móvel do usuário (100) por certificados associados ao remetente, efetuar uma busca em um ou mais servidores de certificados (284) ao consultar os um ou mais servidores de certificados por certificados localizados que satisfaçam a solicitação de busca, e recuperar os certificados localizados dos um ou mais servidores de certificados;
em que pelo menos um dentre o dispositivo móvel (100) e o servidor de dados móveis (288) é ainda adaptado para processar cada certificado localizado recuperado no servidor de dados móveis (288) para determinar, utilizando os dados de identificação do certificado, se o respectivo certificado localizado é o certificado do remetente associado à mensagem; e em que o dispositivo móvel (100) é adaptado para fornecer um ou mais armazéns de certificados para armazenar um certificado localizado determinado como sendo o certificado do remetente associado à mensagem.
15. Meio legível por computador armazenando uma aplicação de software para execução em um dispositivo de computação de usuário (100), caracterizado por a aplicação
compreender meios de instrução de computador que, quando executados, fazem o dispositivo de computação de usuário (100) efetuar as etapas do método conforme definido em
qualquer uma das reivindicações de 1 a 13.
BRPI0503638-0A 2004-09-01 2005-09-01 Sistema e método para pesquisar e recuperar certificados, e meio legível por computador BRPI0503638B1 (pt)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP04104195A EP1633100B1 (en) 2004-09-01 2004-09-01 Providing certificate matching in a system and method for searching and retrieving certificates
EP04104195.5 2004-09-01

Publications (2)

Publication Number Publication Date
BRPI0503638A BRPI0503638A (pt) 2007-05-15
BRPI0503638B1 true BRPI0503638B1 (pt) 2019-02-19

Family

ID=34929517

Family Applications (1)

Application Number Title Priority Date Filing Date
BRPI0503638-0A BRPI0503638B1 (pt) 2004-09-01 2005-09-01 Sistema e método para pesquisar e recuperar certificados, e meio legível por computador

Country Status (12)

Country Link
EP (2) EP1633100B1 (pt)
JP (1) JP4555195B2 (pt)
KR (2) KR20060050904A (pt)
CN (1) CN100566236C (pt)
AT (2) ATE400131T1 (pt)
AU (1) AU2005204221B2 (pt)
BR (1) BRPI0503638B1 (pt)
CA (1) CA2517209C (pt)
DE (2) DE602004014761D1 (pt)
HK (1) HK1087273A1 (pt)
SG (1) SG120288A1 (pt)
TW (1) TWI329445B (pt)

Families Citing this family (58)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ES2297416T5 (es) 2003-05-06 2014-07-17 Apple Inc. Procedimiento de modificación de un mensaje, sistema de red de almacenamiento y retransmisión y sistema de mensajería de datos
NL1023423C2 (nl) 2003-05-14 2004-11-16 Nicolaas Theunis Rudie Van As Systeem en methode voor onderbreking van, en koppeling van een boodschap aan, alle vormen van digitaal berichtenverkeer (zoals SMS en MMS), met toestemming van de verzender.
GB0321337D0 (en) 2003-09-11 2003-10-15 Massone Mobile Advertising Sys Method and system for distributing advertisements
US7631183B2 (en) 2004-09-01 2009-12-08 Research In Motion Limited System and method for retrieving related certificates
US7549043B2 (en) 2004-09-01 2009-06-16 Research In Motion Limited Providing certificate matching in a system and method for searching and retrieving certificates
US7640428B2 (en) 2004-09-02 2009-12-29 Research In Motion Limited System and method for searching and retrieving certificates
US7356539B2 (en) 2005-04-04 2008-04-08 Research In Motion Limited Policy proxy
US7877387B2 (en) 2005-09-30 2011-01-25 Strands, Inc. Systems and methods for promotional media item selection and promotional program unit generation
EP1852801A1 (en) 2006-05-04 2007-11-07 Research In Motion Limited Updating certificate status in a system and method for processing certificates located in a certificate search
EP1852800A1 (en) * 2006-05-04 2007-11-07 Research In Motion Limited System and method for processing certificates located in a certificate search
US8291215B2 (en) * 2006-05-04 2012-10-16 Research In Motion Limited System and method for processing certificates located in a certificate search
US7814161B2 (en) 2006-06-23 2010-10-12 Research In Motion Limited System and method for handling electronic mail mismatches
GB2435565B (en) 2006-08-09 2008-02-20 Cvon Services Oy Messaging system
US8341411B2 (en) 2006-08-16 2012-12-25 Research In Motion Limited Enabling use of a certificate stored in a smart card
EP1890270B1 (en) 2006-08-16 2012-06-13 Research In Motion Limited Hash of a certificate imported from a smart card
WO2008049955A1 (en) 2006-10-27 2008-05-02 Cvon Innovations Ltd Method and device for managing subscriber connection
GB2435730B (en) 2006-11-02 2008-02-20 Cvon Innovations Ltd Interactive communications system
GB2436412A (en) 2006-11-27 2007-09-26 Cvon Innovations Ltd Authentication of network usage for use with message modifying apparatus
GB2440990B (en) 2007-01-09 2008-08-06 Cvon Innovations Ltd Message scheduling system
GB2438475A (en) 2007-03-07 2007-11-28 Cvon Innovations Ltd A method for ranking search results
WO2008107510A1 (en) 2007-03-07 2008-09-12 Cvon Innovations Ltd An access control method and system
GB2445630B (en) 2007-03-12 2008-11-12 Cvon Innovations Ltd Dynamic message allocation system and method
JP4584276B2 (ja) * 2007-03-14 2010-11-17 日本電信電話株式会社 デジタル証明書検索装置、方法及びプログラム
GB2441399B (en) 2007-04-03 2009-02-18 Cvon Innovations Ltd Network invitation arrangement and method
GB2448190A (en) 2007-04-05 2008-10-08 Cvon Innovations Ltd Data delivery evaluation system
US8671000B2 (en) 2007-04-24 2014-03-11 Apple Inc. Method and arrangement for providing content to multimedia devices
GB2443580B (en) 2007-05-18 2008-07-30 Cvon Innovations Ltd Access system and method
US8935718B2 (en) 2007-05-22 2015-01-13 Apple Inc. Advertising management method and system
US20080307226A1 (en) * 2007-06-07 2008-12-11 Alcatel Lucent Verifying authenticity of e-mail messages
GB2450144A (en) 2007-06-14 2008-12-17 Cvon Innovations Ltd System for managing the delivery of messages
GB2436993B (en) 2007-06-25 2008-07-16 Cvon Innovations Ltd Messaging system for managing
GB2452789A (en) 2007-09-05 2009-03-18 Cvon Innovations Ltd Selecting information content for transmission by identifying a keyword in a previous message
GB2453810A (en) 2007-10-15 2009-04-22 Cvon Innovations Ltd System, Method and Computer Program for Modifying Communications by Insertion of a Targeted Media Content or Advertisement
GB2455763A (en) 2007-12-21 2009-06-24 Blyk Services Oy Method and arrangement for adding targeted advertising data to messages
US20100031028A1 (en) * 2008-07-31 2010-02-04 Research In Motion Limited Systems and methods for selecting a certificate for use with secure messages
CA2738157C (en) 2010-04-29 2017-07-11 Research In Motion Limited Assignment and distribution of access credentials to mobile communication devices
US8898217B2 (en) 2010-05-06 2014-11-25 Apple Inc. Content delivery based on user terminal events
US9367847B2 (en) 2010-05-28 2016-06-14 Apple Inc. Presenting content packages based on audience retargeting
US8504419B2 (en) 2010-05-28 2013-08-06 Apple Inc. Network-based targeted content delivery based on queue adjustment factors calculated using the weighted combination of overall rank, context, and covariance scores for an invitational content item
US8990103B2 (en) 2010-08-02 2015-03-24 Apple Inc. Booking and management of inventory atoms in content delivery systems
US8996402B2 (en) 2010-08-02 2015-03-31 Apple Inc. Forecasting and booking of inventory atoms in content delivery systems
US8510658B2 (en) 2010-08-11 2013-08-13 Apple Inc. Population segmentation
US8640032B2 (en) 2010-08-31 2014-01-28 Apple Inc. Selection and delivery of invitational content based on prediction of user intent
US8751513B2 (en) 2010-08-31 2014-06-10 Apple Inc. Indexing and tag generation of content for optimal delivery of invitational content
US8983978B2 (en) 2010-08-31 2015-03-17 Apple Inc. Location-intention context for content delivery
US8510309B2 (en) 2010-08-31 2013-08-13 Apple Inc. Selection and delivery of invitational content based on prediction of user interest
TW201220804A (en) * 2010-11-09 2012-05-16 Chunghwa Telecom Co Ltd comprising the steps of generating change information; transmitting; signing and issuing the latest message; transmitting to each web domain; sending a request message by a user end; and receiving a response message by the user end
JP5745701B2 (ja) * 2011-09-30 2015-07-08 ヒューレット−パッカード デベロップメント カンパニー エル.ピー.Hewlett‐Packard Development Company, L.P. 認証システム及び方法
CN102740228A (zh) * 2012-06-21 2012-10-17 北京小米科技有限责任公司 一种位置信息共享方法、装置及系统
US9141504B2 (en) 2012-06-28 2015-09-22 Apple Inc. Presenting status data received from multiple devices
KR101498120B1 (ko) * 2012-10-10 2015-03-05 박규영 클라우드 공인인증 시스템 및 그 방법
CN104158567B (zh) * 2014-07-25 2016-05-18 天地融科技股份有限公司 蓝牙设备间的配对方法和系统、数据交互方法和系统
CN110912704B (zh) * 2017-10-11 2023-02-28 Oppo广东移动通信有限公司 证书加载方法及相关产品
US11443295B2 (en) 2018-01-17 2022-09-13 Visa International Service Association System and method for rapid activation and provisioning of an electronic payment device
CN112150158A (zh) * 2019-06-28 2020-12-29 华为技术有限公司 一种区块链交易交付验证方法及装置
CN114143010A (zh) * 2021-11-25 2022-03-04 上海派拉软件股份有限公司 数字证书获取方法、装置、终端、系统和存储介质
US11962455B2 (en) 2021-11-29 2024-04-16 T-Mobile Usa, Inc. Prioritizing multiple issues associated with a wireless telecommunication network
KR102429325B1 (ko) * 2022-05-02 2022-08-04 에스엠테크놀러지(주) 병렬형 인증서 검증 시스템 및 그 동작 방법

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4508331B2 (ja) * 2000-01-07 2010-07-21 新日鉄ソリューションズ株式会社 認証代行装置、認証代行方法、認証代行サービスシステム、及びコンピュータ読取可能な記録媒体
JP2001265216A (ja) * 2000-03-16 2001-09-28 Nippon Telegr & Teleph Corp <Ntt> 公開鍵証明書の掲載方法および公開鍵証明書の掲載装置
JP2002163395A (ja) * 2000-11-27 2002-06-07 Hitachi Software Eng Co Ltd 電子証明書有効性確認支援方法とそれを用いる情報処理装置
US20020147905A1 (en) * 2001-04-05 2002-10-10 Sun Microsystems, Inc. System and method for shortening certificate chains
JP3761432B2 (ja) * 2001-08-03 2006-03-29 日本電気株式会社 通信システムおよびユーザ端末およびicカードおよび認証システムおよび接続および通信の制御システムおよびプログラム
US20030074555A1 (en) * 2001-10-17 2003-04-17 Fahn Paul Neil URL-based certificate in a PKI
WO2003079627A2 (en) * 2002-03-20 2003-09-25 Research In Motion Limited System and method for supporting multiple certificate status providers on a mobile communication device
JP2003348078A (ja) * 2002-05-27 2003-12-05 Hitachi Ltd 位置認証システムおよびその方法
JP4323163B2 (ja) * 2002-11-25 2009-09-02 三菱電機株式会社 サーバ装置

Also Published As

Publication number Publication date
JP2006074779A (ja) 2006-03-16
JP4555195B2 (ja) 2010-09-29
CA2517209A1 (en) 2006-03-01
ATE426989T1 (de) 2009-04-15
DE602004020285D1 (de) 2009-05-07
ATE400131T1 (de) 2008-07-15
AU2005204221B2 (en) 2008-01-24
CN100566236C (zh) 2009-12-02
DE602004014761D1 (de) 2008-08-14
HK1087273A1 (en) 2006-10-06
EP1936920B1 (en) 2009-03-25
TWI329445B (en) 2010-08-21
TW200629858A (en) 2006-08-16
SG120288A1 (en) 2006-03-28
AU2005204221A1 (en) 2006-03-16
EP1633100A1 (en) 2006-03-08
EP1936920A1 (en) 2008-06-25
KR20060050904A (ko) 2006-05-19
EP1633100B1 (en) 2008-07-02
KR101072942B1 (ko) 2011-10-17
KR20070089113A (ko) 2007-08-30
CA2517209C (en) 2011-07-26
BRPI0503638A (pt) 2007-05-15
CN1744489A (zh) 2006-03-08

Similar Documents

Publication Publication Date Title
BRPI0503638B1 (pt) Sistema e método para pesquisar e recuperar certificados, e meio legível por computador
US8561158B2 (en) Providing certificate matching in a system and method for searching and retrieving certificates
US9621352B2 (en) System and method for verifying digital signatures on certificates
US8209530B2 (en) System and method for searching and retrieving certificates
US8291216B2 (en) Updating certificate status in a system and method for processing certificates located in a certificate search
CA2526863C (en) System and method for verifying digital signatures on certificates
US8914860B2 (en) System and method for associating message addresses with certificates
CA2517211C (en) System and method for searching and retrieving certificates
CA2587232C (en) Updating certificate status in a system and method for processing certificates located in a certificate search

Legal Events

Date Code Title Description
B25D Requested change of name of applicant approved

Owner name: BLACKBERRY LIMITED (CA)

B25G Requested change of headquarter approved

Owner name: BLACKBERRY LIMITED (CA)

B06T Formal requirements before examination [chapter 6.20 patent gazette]
B09A Decision: intention to grant [chapter 9.1 patent gazette]
B16A Patent or certificate of addition of invention granted [chapter 16.1 patent gazette]

Free format text: PRAZO DE VALIDADE: 10 (DEZ) ANOS CONTADOS A PARTIR DE 19/02/2019, OBSERVADAS AS CONDICOES LEGAIS. (CO) 10 (DEZ) ANOS CONTADOS A PARTIR DE 19/02/2019, OBSERVADAS AS CONDICOES LEGAIS