CN1985461A

CN1985461A - 用于将证书与消息地址关联的系统和方法

Info

Publication number: CN1985461A
Application number: CNA2005800084152A
Authority: CN
Inventors: 尼尔·P·亚当斯; 迈克尔·S·布朗; 赫伯特·A·利特尔
Original assignee: Research in Motion Ltd
Current assignee: BlackBerry Ltd
Priority date: 2005-06-24
Filing date: 2005-11-17
Publication date: 2007-06-20
Anticipated expiration: 2025-11-17
Also published as: EP1754335A1; US8402523B2; CA2553024A1; DE602005017388D1; US20130160091A1; WO2006136001A1; EP1754335A4; US7735123B2; CN100574180C; US8914860B2; ATE447269T1; CA2553024C; US20060294368A1; US20100235893A1; EP1754335B1

Abstract

本发明涉及一种将消息地址与证书关联的系统和方法，其中识别了一个或多个次要消息地址并将其与用户选择的证书关联。次要消息地址存储在驻留在诸如移动设备等的计算设备上的安全数据存储器中的数据结构中。当使用特定的证书将消息加密并发送到个人时，只要被发送的消息的地址匹配与证书关联的消息地址中的一个，则就不检查地址的不匹配。与证书关联的消息地址包括包含在该证书本身中的任何消息地址(“主要消息地址”)，以及随后与该证书关联的任何次要消息地址。

Description

用于将证书与消息地址关联的系统和方法

相关申请的交叉参考

[0001]本申请要求于2005年6月24日提交的美国临时申请No.60/693,413的优先权，其全部内容合并在此作为参考。

技术领域

[0002]本发明的实施例总地涉及诸如电子邮件消息等的消息处理，更具体地，涉及用于将在编码消息的处理中所使用的消息地址与证书关联的系统和方法。

背景技术

[0003]电子邮件(“e-mail”)消息可以使用很多公知的协议中的一种来进行编码。一些这样的协议，例如安全多用互联网邮件扩展协议(S/MIME)协议等依靠公共和私人加密密钥来提供机密性和完整性，并依靠公共密钥基础设施(PKI)通信提供了鉴权和授权的信息。使用私人/公共密钥对的私人密钥编码的数据只能由使用该对的相应的公共密钥解码，而使用私人密钥/公共密钥对的公共密钥编码的数据也只能使用该对的相应的私人密钥进行解码。在消息编码中所使用的公共密钥的真实性可以使用证书来进行验证。具体地，如果计算设备的用户希望在消息发送到特定个人之前对该消息加密，则用户需要对那个人的证书。该证书通常包括那个人的公共密钥，以及其他相关的身份信息。类似地，如果计算设备的用户接收到了由特定个人已数字签名的消息，则如果该用户想核实消息中的数字签名，那么该用户需要那个人的适当的证书(包括公共密钥)。

[0005]通常，在公知的电子邮件应用程序中，如果想要使用特定的证书来对用户想要发送给他人的消息加密，并且该证书中包含了电子邮件地址，但包含在该证书中的电子邮件地址与消息要被发送到的电子邮件地址不匹配，则通常会返回给用户一个表示地址不匹配的错误消息。作为地址不匹配的结果，该消息既不会被加密也不会被发送。

附图说明

[0005]为了更好的理解这里所描述的系统和方法的实施例，并更加清晰地显示它们是如何有效地工作，现将以实例的方式结合附图进行描述：

图1是在一个示例性实施中的移动设备的结构图；

图2是图1的移动设备的通信子系统组件的结构图；

图3是无线网络节点的结构图；

图4是显示在一个示例性的结构中的主机系统的组件的结构图；

图5是显示证书链实例的结构图；

图6是显示编码的消息的实例的组件的结构图；

图7是显示根据至少一个实施例的将消息地址与证书关联的方法中的步骤的流程图；

图8是显示与证书关联的消息地址列表的示例性对话框；和

图9是显示根据至少一个其他实施例的将消息地址与证书关联的方法中的步骤的流程图。

具体实施方式

[0006]参考前述实例，在消息被加密并被发送给他人的情况下，在特定条件中，可能需要允许使用不包含电子邮件地址的证书来加密消息，该证书匹配消息要被发送到的人的电子邮件地址。

[0007]现描述与证书关联的消息地址(例如，电子邮件地址)的方法和系统的实施例。更具体地，这些实施例可以用来便利于将由计算设备(例如，移动设备)的用户选择的一个或多个证书中的每个与一个或多个次要消息地址关联。

[0008]因此，在消息使用特定证书加密并发送给他人的实例中，只要被发送的消息的消息地址与证书关联的任何消息地址匹配，就不再检测地址的不匹配。被考虑来与证书关联的消息地址包括在证书自身中包含的任何消息地址以及已经与该证书关联的任何次要消息地址。

[0009]在一个广义方面，本发明提供了一种由计算设备的用户识别的将证书与消息地址关联的方法，其中该方法包括步骤：从计算设备的用户接收识别用户选择的证书的第一输入数据，其中该用户选择的证书包含零个或与更多个其关联的主要消息地址(primary message address)；接收识别了与用户选择的证书关联的一个或多个次要消息地址的第二输入数据；通过在数据结构中存储一个或多个次要消息地址，将用户选择的证书与该一个或多个次要消息地址关联，以便与一个或多个次要消息地址关联的用户选择的证书是可识别的；其中，数据结构驻留在计算设备的安全数据存储器中。

[0010]在另一个广义方面，次要消息地址与在相同数据结构中的用户选择的证书一起存储在计算设备的安全数据存储器中。

[0011]在另一个广义方面，在计算设备上的安全数据存储器是密码保护的。

[0012]在另一个广义方面，计算设备为移动设备。

[0013]现将参照移动设备来描述系统和方法的一些实例。移动设备为具有能与其他计算机系统通信能力的高级数据通信能力的的双向通信设备。移动设备可以具有语音通信的能力。依靠移动设备所提供的功能，其可以作为数据消息传递设备、双向寻呼机、具有数据消息传递能力的移动电话、无线互联网设备或数据通信设备(具有或没有通话能力)。移动设备可以通过收发器站的网络与其他设备通信。

[0014]为了帮助读者理解移动设备的结构以及它如何与其他设备通信，现参考图1到3来描述。

[0015]首先参考图1，在一个示例性实施中，移动设备的结构图通常由100所示。移动设备100包括多个组件，控制组件是微处理器102。微处理器102控制移动设备100的全部操作。包括数据和语音通信的通信功能通过通信子系统104执行。通信子系统104从无线网络200接收消息并将消息发送到无线网络200。在移动设备100的示例性实施中，通信子系统104根据移动通信全球系统(GSM)和通用分组无线业务(General Packet Radio Service，GPRS)标准来构建。GSM/GPRS无线网络在全球范围内使用并且可以预料这些标准最终会被增强型数据GSM环境(Enhanced Data GSM Environment，EDGE)和通用移动电信服务(Universal Mobile Telecommunications Service，UMTS)代替。仍然可以定义新的标准，但可以相信的是，它们会类似于这里所描述的网络行为，并且本领域的技术人员可以理解的是，本发明可以使用今后所发展的适当的任意标准。连接了通信子系统与网络200的无线链路表示了一个或多个不同的射频(RF)信道，并根据所定义的具体用于GSM/GPRS通信的协议的操作。根据较新的网络协议，这些信道既能够支持线路交换的语音通信又能支持分组交换的数据通信。

[0016]虽然在移动设备100的一个示例性实施中与移动设备100关联的无线网络为GSM/GPRS无线网络，但在不同的实施中与移动设备100关联的网络也可以是其他的无线网络。例如，可以使用的不同类型的无线网络包括以数据为中心的无线网络、以语音为中心的网络和通过相同的物理基站既能支持语音通信又能支持数据通信的双模网络。组合的双模式网络包括，但不限于，码分多址(Code Division Multiple Access，CDMA)或CDMA2000网络、GSM/GPRS网络(如上所述的)和诸如EDGE和UMTS的第三代(3G)网络。一些老一些的以数据为中心的网络的实例包括Mobitex^TM无线电网络和DataTAC^TM无线电网络。老一些的以语音为中心的网络的实例包括诸如GSM和.时分多址(TimeDivision Multiple Access，TDMA)系统的个人通信系统(PCS)。

[0017]微处理器102还与诸如随机存取存储器(RAM)106、闪存存储器108、显示器110、辅助输入/输出(I/O)子系统112、串行端口114、键盘116、扬声器118、麦克风120、短程通信122和其他设备124的附加子系统交互。

[0018]移动设备100的一些子系统执行通信相关的功能，但其他的子系统也可以提供“驻留”或在设备上的功能。通过实例的方式，显示器110和键盘116既可以用于诸如通过网络200输入用于传递的文本消息等的通信相关功能，又可以用于诸如计算器或任务列表等的设备驻留功能。微处理器102所使用的操作系统软件通常存储在诸如闪存存储器108的永久存储器中，可替换地永久存储器也可以是只读存储器(ROM)或类似的存储元件(未示出)。本领域的技术人员可以理解的是，操作系统、特定设备的应用程序、或其中的一部分，可以暂时加载到诸如RAM106的易失性存储器中。

[0019]在完成所需的网络注册或激活程序后，移动设备100可以通过网络200发送并接收通信信号。网络接入与移动设备100的用户或使用者关联。为了识别用户，并与网络通信，移动设备100需要将用户识别模块或“SIM”卡126插入到SIM接口128中。SIM126是一种传统类型的“智能卡(smatr card)”用以确定移动设备100的用户并在一些设置中使移动设备100个性化。没有SIM126，移动设备100就不能完全地进行与网络200的通信操作。通过在SIM接口128中插入SIM126，用户可以访问所有的定制服务。服务可以包括：网络浏览和诸如电子邮件、语音邮件等的通信，短消息服务(SMS)，和多媒体消息服务(MMS)的服务。更高级的服务可以包括：销售点、野战勤务、和.销售自动化。SIM126包括处理器和用于存储信息的存储器。一旦SIM126插入在SIM接口128中，其就能与微处理器102耦合。为了识别用户，SIM126包含了一些诸如国际移动用户身份(IMSI)的用户参数。使用SIM126的优点是用户无需被任意的单一物理移动设备绑定。SIM126可以为移动设备存储诸如记事本(或日历)信息以及最近呼叫的信息等的附加用户信息。

[0020]移动设备100为电池供电的设备并包括有用来容纳一个或多个可充电电池130的电池接口132。电池接口132耦合到稳压器(未示出)，该稳压器帮助电池130提供电源V+给移动设备100。虽然当前的技术使用电池，但诸如微型燃料电池等今后的技术也可以为移动设备100供电。

[0021]除了其操作系统功能外，微处理器102还能在移动设备100上执行软件应用程序。包括数据和语音通信应用程序等控制基本设备操作的一组应用程序通常在移动设备100的制造中就安装在其上。可以加载到移动设备100上的另一种应用程序是个人信息管理器(PIM)。PIM具有组织和管理用户感兴趣的数据项的功能，这些数据项可以是但不限于，电子邮件、日程安排事件、语音邮件、约会和人物项。PIM应用程序具有通过无线网络200发送并接收数据项的功能。PIM数据项通过无线网络200可以与移动设备用户的存储的数据项和/或与主机系统关联的数据项无缝地集成、同步和更新。这个功能在相对于这些项的移动设备100上创建了镜象的主计算机。这在主计算机系统是移动设备用户的办公室计算机系统时是很有益处的。

[0022]附加的应用程序还可以通过网络200、辅助I/O子系统112、串行端口114、短程通信子系统122，或其他任意适当的子系统124而加载到移动设备100。这种在应用程序安装上的便利性增加了移动设备的功能同时还能提供增强了的在设备上(on-device)的功能、通信相关的功能或这两者。例如，安全通信应用程序可以激活电子商务功能以及使用移动设备100所执行的其它这类金融交易。

[0023]串行端口114可以让用户通过外部设备或软件应用程序设定首选项并给移动设备100提供信息或软件下载而拓展了移动设备100的能力，而不是通过无线通信网络。例如，可使用替换的下载路径来通过直接且可靠可信的连接将密钥加载到移动设备100，以提供安全的设备通信。

[0024]短程通信子系统122能为在移动设备100和不同的系统或设备之间提供无需使用网络200的通信。例如，子系统122可以包括红外设备和用于短程通信相关的电路和元件。短程通信的实例包括由红外线数据协会(IrDA)所发展起来的标准、蓝牙、和由IEEE所发展的802.11标准族。

[0025]在使用中，所接收的例如文本消息、电子邮件消息或下载的网页的信号通过通信子系统104处理并输入到微处理器102中。然后，微处理器102处理接收到的信号以输出到显示器110或可替换地输出到辅助I/O子系统112。用户还可以通过例如与显示器连接的键盘116和辅助I/O子系统112创建诸如电子邮件消息等的数据项。辅助子系统112可以包括诸如触摸屏、鼠标、轨迹球、红外指纹检测器、或具有动态按钮按压能力的滚轮等的设备。键盘116为字母数字键盘和/或电话型键盘。所编辑的项可以通过通信子系统104在网络200中传输。

[0026]对于语音通信，除了接收到的信号会输出到扬声器118，并且传输的信号由麦克风129所产生外，移动设备100的其他全部操作都是类似的。诸如语音消息记录子系统等的可替换的语音或声音I/O子系统，也可以在移动设备100中执行。虽然语音或音频信号的输出主要通过扬声器118来完成，但显示器110也可以用来提供附加的信息，诸如呼叫方的身份，语音呼叫的时间、或其他语音呼叫相关的信息。

[0027]现参考图2，其显示了图1的通信子系统组件104的结构图。通信子系统104包括接收器150、发射器152、一个或多个内嵌或内部的天线组件154和156、本机振荡器(LO)158和例如数字信号处理器(DSP)的处理模块160。

[0028]通信子系统104的具体设计取决于在网络200中的移动设备100想要如何操作，因此应当理解的是，在图2中的设计仅为示例性的作用。由天线154通过网络200所接收的信号被输入到接收器150中，接收器150执行诸如信号放大、降频转换、滤波、信道选择和模拟到数字(A/D)转换等这类接收器共同的功能。接收到的信号的A/D转换使得在DSP160中执行诸如解调和解码等的更复杂的通信功能。以类似的方式，通过DSP160来处理要被传送的信号，这种处理包括了调制和编码。这些DSP所处理的信号被输入到发射器152以进行数字到模拟转换(D/A)、升频转换、滤波、放大以及经由天线156通过网络200的传输。DSP 160不仅处理通信信号，而且还提供用于接收器和发射器的控制。例如，在接收器150和发射器152中提供给通信信号的增益可以通过在DSP160中所执行的自动控制增益算法来适当地控制。

[0029]在移动设备100和网络200间的无线链路可以包含一条或多条不同的信道(其通常为不同的RF信道)和在移动设备100和网络200间使用的相关协议。通常由于在整个带宽中的限制以及移动设备100的有限的电池电源，因此RF信道为必须保留的有限资源。

[0030]当移动设备100完全工作时，发射器152通常仅在其向网络200发送时健控或打开而在其他的时间中均关闭以节约资源。类似地，接收器150周期性地关闭以节约电源直到其在指定的时间周期中需要接收信号或信息(如果需要的话)。

[0031]现参考图3，无线网络的节点的结构图如202所示。实际上，网络200包括一个或多个节点202。移动设备100与无线网络200中的节点202通信。在图3的示例性实施中，节点202根据通用分组无线业务(GPRS)和全球移动通信系统(GSM)技术来构建。节点202包括具有关联的塔站206的基站控制器(BSC)204，为在GSM中支持GRPS而添加的分组控制单元(PCU)208、移动交换中心(MSC)210、本地位置寄存器(HLR)212、拜访地位置寄存器(VLR)214、业务GRPS支持节点(SGSN)216、网关GPRS支持节点(GGSN)218和动态主机配置协议(DHCP)220。这份组件列表并不就是在GSM/GPRS网络中的每个节点202的组件的穷举性组件列表，而只能说是在通过网络200的通信中所使用的常见组件列表。

[0032]在GSM网络中，MSC210耦合到BSC204和例如公共交换电话网络(PSTN)222的路线网络以满足电路交换的需要。从PCU208、SGSN216和GGSN218到公共或专用网络(互联网)224(在这里通称为共享网络设施)的连接代表了用于具有GPRS能力的移动设备的数据路径。在拓展有GPRS能力的GSM网络中，BSC204还可以包含连接到SGSN216的分组控制单元(PCU)208，以控制分割、无线信道分配，并满足分组交换的需要。为了跟踪移动设备的位置以及电路交换和分组交换管理的可用性，HLR212在MSC210和SGSN216间共享。通过MSC210控制对VLR214的接入。

[0033]基站206为固定收发器基站。基站206和BSC204一起形成固定收发器装置。固定的收发器装置为通常称为“小区”的特定覆盖区域提供了无线网络覆盖。固定收发器装置在其小区内通过基站206将通信信号发送到移动设备并从移动设备接收通信信号。固定收发器装置通常执行如下功能，即在其控制器的控制下，根据特定的、通常为预定的通信协议和参数对要发送给移动设备的信号的调制并可能地编码和/或加密。类似地，如果需要，固定收发器装置还在其小区内对从移动设备100接收的任意通信信号进行解调，也可能解码和解密。通信协议和参数可以在不同的节点间变化。例如，一个节点可以采用不同的调制方案，并可以工作在与其它节点不同的频率上。

[0034]对于在特定网络注册的所有移动设备100，在HLR212中存储有诸如用户简介等的永久配置数据。HLR212还包含有每个注册的移动设备的位置信息并能被询问以确定移动设备当前的位置。MSC210负责位置区域组并在VLR214的存储当前在它负责的区域中的移动设备的数据。此外，VLR214还包含正在访问其他网络的移动设备的信息。在VLR214中的信息包括为了更快的访问而从HRL212传送到VLR214的永久的移动设备数据的一部分参数。通过将附加信息从远程HLR212节点移动到VLR214，能减少在这些节点间的业务量，以便语音和数据服务能以更快的响应时间提供同时还能请求使用更少的计算资源。

[0035]SGSN216和GGSN218为支持GPRS所添加的元件；即在GSM中支持分组交换数据。SGSN216和MSC210在网络200内通过持续跟踪每个移动设备100的位置具有类似的职责。SGSN216还为网络200上的数据量执行安全功能和接入控制。GGSN218通过在网络200内运行的因特网协议(IP)骨干网络而提供与外部分组交换网络的因特网连接，并连接到一个或多个SGSN216。在正常的运行期间，给定的移动设备100必须执行“GPRS附着”以获得IP地址并接入数据业务。当综合业务数字网(ISDN)的地址用于路由入出呼叫时，这个要求并不出现在电路交换语音信道中。当前，所有具有GPRS能力的网络都使用专用、动态指定的IP地址，因此需要DHCP服务器220连接到GGSN218。有很多机制来进行动态的IP指定，这包括使用远程鉴权拨入用户服务(RADIUS)服务器和DHCP服务器的组合。一旦GPRS附着完成，则移动设备100通过PCU208和SGSN216建立到GGSN218中的接入点节点(APN)的逻辑连接。APN表示了既能接入直接的互联网兼容业务又能接入专用网络连接的IP通道的逻辑末端。APN还表示了用于网络200的安全机制，在其中每个移动设备100都必须被指定一个或多个APN，而且在没有首先执行对其能授权使用的APN的GPRS附着之前，移动设备100就不能交换数据。APN可以认为是类似于例如“myconnection.wire1ess.com”的互联网域名。

[0036]一旦GPRS附着完成，则创建通道并且所有的业务在使用IP分组能支持的任意协议的标准IP分组内交换。这包括与虚拟专用网络(VPN)一起使用的一些IP安全(IPsec)连接一样的如IP over IP的隧道方法。这些通道也称为分组数据协议(PDP)的上下文并在网络200中具有限制的可用数量。为了最大化的使用PDP上下文，网络200为每个PDP上下文运行空闲定时器，以确定是否缺乏动作。当移动设备100未使用PDP上下文时，PDP上下文被重新指定并且IP地址返回到由DHCP服务器220所管理的IP地址池。

[0037]现参考图4，其显示了在一个实例配置中的主机系统的组件的结构图。主机系统250通常为公司办公室或其他局域网(LAN)，但在不同的实施中，也可以是家庭办公计算机或其他的私人系统。在图4所示的该实例中，主机系统250被描述为移动设备100的用户所属的组织的LAN。

[0038]LAN250包括通过LAN连接器260而彼此连接的多个网络组件。例如，具有用于用户的移动设备100的附属支架264的用户桌面计算设备(“桌面计算机”)262a也位于LAN250上。用于移动设备100的支架264可以通过串行或通用串行总线(USB)连接器耦合到计算机262a。其他的用户计算机262b也位于LAN250上，并且每个计算机都可以装配或不装配用于移动设备的附属支架264。支架264有助于从用户计算机262a到移动设备100的信息加载(例如，PIM数据、便于在移动设备100和LAN250间的安全通信的私人对称加密密钥)，并可以具体地用于在初始化移动设备100的使用中经常执行的大批量信息更新。下载到移动设备100的信息可以包括在消息交换中所使用的证书。从用户桌面计算机262a到用户移动设备100的下载信息的处理也可以称为同步。

[0039]本领域的技术人员应当理解的是，用户计算机262a、262b通常还连接到其他在图4中未明确显示出的外部设备中。此外，为显示方便，在图4中仅显示LAN250的网络元件的子集，本领域的技术人员可以理解的是，对于该实例的配置，LAN250还可以包括在图4中未明确显示的附加组件。更具体地，LAN250可以表示该结构的较大网络的较小部分[未示出]，并且可以包括不同的组件和/或与图4中的实例具有不同的拓扑结构。

[0040]在本实例中，移动设备100通过无线网络200和诸如服务提供商网络或公共因特网的共享网络构架224的节点202与LAN250通信。LAN250的接入可以通过一个或多个路由器[未示出]来提供，并且LAN250的计算设备可以在防火墙或代理服务器266面后运行。

[0041]在不同的实施中，LAN250包括无线VPN路由器[未示出]，以便于在LAN250和移动设备100间的数据交换。无线VPN路由器的概念新近才出现于无线工业中，并用来表示通过特定的无线网络直接与移动设备100建立的VPN连接。使用无线VPN路由器的可行性最近才得以实现，并在第6版本的互联网协议(IPV6)应用到基于IP的无线网络时才使用。这种新的协议提供了足够的IP地址，以便为每个移动设备贡献一个IP地址，从而可以在任意时间将信息传送给移动设备。使用无线VPN路由器的优点是，它可以使用现成的VPN组件，而无需使用分离的无线网关和分离的无线基础结构。在这个变体实施中，VPN连接优选地为传输控制协议(TCP)/IP或用户数据报协议(UDP)/IP连接，以直接将消息发送到移动设备100。

[0042]打算给移动设备100的用户使用的消息最初由LAN250的消息服务器接收。这样的消息可以从任意数量的源产生。例如，消息可以经由共享的网络构架224，并可能通过例如应用服务提供商(ASP)或互联网服务提供商(ISP)从LAN250中的计算机262b、从连接到网络200或不同无线网络的不同移动设备[未示出]或从不同的计算设备或能发送消息的其他设备的发送器发送。

[0043]消息服务器268典型地就像在组织中和通过共享的网络构架224用作交换消息、特别是电子邮件消息的主接口。在已经建立了发送和接收消息的组织中的每个用户通常都与由消息服务器268管理的用户帐户关联。消息服务器268的一个实例是微软的Exchange^TM服务器。在一些实施中，LAN250可以包括多个消息服务器268。消息服务器268还可以适用来提供超出消息管理的附加功能，例如包括与日历和任务列表关联的数据的管理。

[0044]当消息服务器268接收到消息时，消息通常存储在消息存储器中[未示出]，并且这些消息可以顺序地从消息存储器中检索出来并发送给用户。例如，在用户计算机262a上操作的电子邮件客户应用程序可以请求与存储在消息服务器268上的用户帐户关联的电子邮件消息。然后，这些消息通常从消息服务器268检索出来并本地存储在计算机262a上。

[0045]当操作移动设备100时，用户可能希望具有为传送给该手持设备而检索的电子邮件。在移动设备100上运行的电子邮件客户应用程序可能也从消息服务器268请求与用户帐户相关的消息。电子邮件客户端可以被构建(可以根据组织的信息技术(IT)原则，由用户或管理员构建)，在用户方向以预定的时间间隔，或在某一预定的事件发生时产生这个请求。在一些实施中，移动设备100被指定了自身的电子邮件地址，特殊寻址到移动设备100的消息在其由消息服务器268接收时被自动地重定向到移动设备100。

[0046]为了便于在移动设备100和LAN250的组件间的消息及消息相关数据的无线通信，可以提供很多无线通信支持组件270。例如，在本实例的实施中，无线通信支持组件270包括消息管理服务器272。消息管理服务器272专门用来提供对由移动设备所处理的诸如电子邮件消息等消息管理的支持。总地来说，虽然消息还是存储在消息服务器268中，但可以使用消息管理服务器272来控制消息何时、是否、及如何发送到移动设备100。消息管理服务器272还方便了在移动设备100上编辑的消息的处理，该消息被发送到消息服务器268，用于后面的发送。

[0047]例如，消息管理服务器272可以：为新的电子邮件消息而监控用户的“邮箱”(例如，在消息服务器268上与用户帐户关联的消息存储器)；将用户可定义的过滤器加到新消息，以确定该消息是否及如何中继给用户的移动设备100；压缩并加密新消息(例如，使用诸如数据加密标准(DES)或三倍DES)并通过共享的网络构架224和无线网络200将其推送(push)到移动设备100；和接收在移动设备100上编辑的消息(例如，使用三倍DES加密)，解密并解压该编辑的消息，如果需要重新格式化编辑的消息，以便其可以从用户的计算机262a产生，以及将编辑的消息重新路由给用于发送的消息服务器268。

[0048]由移动设备100所要发送和/或接收的消息关联的特定属性或限制由消息管理服务器272定义(例如，由根据IT原则的管理员)和实现。例如，这些可以包括移动设备100是否可以接收加密的和/或签名的消息、最小密钥的大小、送出的消息是否必须加密和/或签名，以及从移动设备100发送的所有安全的消息副本是否要发送到预定的副本地址。

[0049]消息管理服务器272还可以适用来提供其他的控制功能，例如仅将存储在消息服务器268上的消息的特定消息信息或预定部分(例如，“块”)推送给移动设备100。例如，当消息最初由移动设备100从消息服务器268检索时，消息管理服务器272适用来仅将消息的第一部分推送给移动设备，该第一部分为预定的大小(例如，2KB)。用户接着可以请求让消息管理服务器272给移动设备100以类似大小的块发送消息的更多部分，这可以取决于最大的预定消息大小。

[0050]因此，消息管理服务器272能更方便地控制与移动设备100通信的数据类型和数据量，并能使带宽或其他资源的潜在浪费最小化。

[0051]本领域的技术人员可以理解的是，消息管理服务器272并不需要在LAN250或其他网络的分离的物理服务器中执行。例如，与消息管理服务器272相关的一些或所有功能可以集成到消息服务器268，或与LAN250中的其他服务器中集成。而且，LAN250可以包括多个消息管理服务器272，特别是在需要支持大量移动设备的实施中。

[0052]在这里所描述的系统的示例性实施例中，证书被用在诸如电子邮件等编码消息的加密和/或签名处理中。虽然简单邮件传输协议(SMTP)、RFC882报头、和多用途因特网邮件扩展(Multipurpose InternetMail Extension，MIME)主体部分可以用来定义通常的电子邮件消息的格式而无需编码、但安全/MIME(S/MIME)、MIME协议版本也可以用在编码消息的通信中(即，在安全消息应用程序中)。S/MIME能够端到端鉴权和保密，并从消息创建者发送消息到该消息由消息的接受者解码并读取的时间段内，提供了数据完整性和私密性。诸如Pretty GoodPrivacyTM(PGP)和诸如OpenPGP的PGP的变形以及现有技术中其他公知的标准和协议也可以用来便利安全消息通信。

[0053]诸如S/MIME的安全消息协议依靠公共和私人密钥来提供保密性和完整性，并依靠公共密钥基础设施(Public Key Infrastructure，PKI)来提供鉴权和授权的通信信息。使用私人密钥/公共密钥对的私人密钥加密的数据只能使用相应的该对的公共密钥来解密，反之亦然。规定私人密钥从不公开，而公共密钥是共享的。

[0054]例如，如果发送者希望以加密的形式给接收者发送消息，则接收者的公共密钥可以用来加密消息，但仅能使用接收者的私人密钥来解密。替换地，在一些编码技术中，产生一次会话的密钥并用来加密消息的主体，通常使用对称加密技术(例如，三倍DES)。然后，使用接收者的公共密钥加密(例如，使用诸如RSA的公共密钥加密算法)该会话密钥，其仅能使用接收者的私人密钥进行解密。然后，解密的会话密钥可以用来解密消息的主体。该消息的报头可以用来指定解密该消息所必须使用的具体加密方案。在不同的实施中也可以使用基于公共密钥密码术的其他加密技术。但在这些情况的每个中，只用接收者的私人密钥可以用来轻易地对消息进行成功的解密，并且以这种方式，保持了消息的机密性。

[0055]作为实例，发送者可以使用数字信号来对消息签名。数字签名是使用发送者的私人密钥所编码的消息的摘要(例如，消息的hash)，其接着被添加到呼出消息。为了验证接收时消息的数字签名，接收者使用与发送者相同的技术(例如，使用相同标准的HASH算法)来获得接收到的消息的摘要。为了获得与所接收到的消息匹配的摘要，接收者还使用发送者的公共密钥来解码数字签名。如果所接收到的消息的签名并不匹配，则表明消息内容在传输中已经改变和/或该消息并不是源于其公共密钥用来验证的发送者。数字签名算法设计的方式为，只有具有发送者私人密钥的人才应当可以对签名编码，而只有使用发送者的公共密钥的接收者才能正确地解码。因此，通过以这种方式验证数字签名，可以保持发送者的鉴权和消息的完整性。

[0056]编码的消息可以被加密、被签名、或既被加密又被签名。根据诸如S/MIME等的特定消息协议，使用在这些操作中的公共密钥的真实性可以使用证书来验证其有效性。证书是由证书授权中心(CA)所发布的数字文档。证书用来鉴权用户和他们的公共密钥间的关联，并提供用户公共密钥真实性的可信水平。证书包含了有关证书持有者的信息，并且证书的内容通常根据所接受的标准(例如，X.509)而格式化。证书通常由证书授权中心数字化签名。

[0057]在基于PGP的系统中，使用类似于S/MIME证书的PGP密钥，这是因为其包含了包括有公共密钥和密钥持有者或所属者信息的公共信息。然而，与S/MIME证书不同，PGP密钥通常并非由证书授权中心发布，而且在PGP密钥的真实性中的可信水平通常需要验证可信的个人是否确保了给定PGP密钥的真实性。

[0058]对于本说明书以及权利要求，术语“证书”通常用来描述提供公共密钥所用的结构，以便编码和解码消息以及有关密钥持有者的信息。并可以认为包括了通常所公知的“PGP密钥”和其他类似的结构。

[0059]参考图5，其显示了示例性证书链300。发布给“John Smith”的证书310是发布给个人的证书的实例，其可以作为终端实体证书(end entitycertificate)。终端实体证书310通常识别证书持有者312(例如，在本实例中为John Smith)和证书314的发布者，并包括了发布者的数字签名316以及证书持有者的公共密钥318。证书310通常还包括其他信息以及识别证书持有者的属性(例如，电子邮件地址、组织名称、组织的单位名称、位置等)。当个人编辑要发送给接收者的消息时，习惯上包括具有消息的个人证书310。

[0060]对于要相信的公共密钥，其发布组织必须是可信的。在可信的CA和用户公共密钥间的关系可以用一系列相关的证书来代表，这也称之为证书链。证书链可以用来确定证书的有效性。

[0061]例如，在图5所示的示例性的证书链300中，声称由John Smith发送的消息的接收者可能希望验证附在所接收到的消息中的证书310的可信状态。例如，为了在接收者的计算设备(例如，图4中的计算机262a)上验证证书310的可信状态，获得了发布者ABC的证书320，证书320被用来验证证书310是否由发布者ABC所签名。证书320可以已经存储在计算设备中的证书存储器中，或也可以从证书存储器或其他源(例如，图4的LDAP服务器284或一些其他的公共或私人的LDAP服务器)中检索。如果证书320已经存储在了接收者的计算设备中并且该证书已经由接收者指定为可信的，则由于证书310链接了已存储的可信的证书，因此它也是可信的。

[0062]然而，在图5所示的实例中，证书330需要验证证书310的可信状态。证书330自签名，并作为“根证书”。因此，证书320可以作为在证书链300中的“中间证书”；任意为根证书给定的证书链，假定给根证书的链可以确定具体的终端实体证书，并可以包含零个、一个、或多个中间证书。如果证书330是由可信来源(例如，从诸如Verisign或Entrust等大的证书中心来的)所发布的根证书，则由于证书310链接了可信的证书，因此就认为它是可信的。这就暗示了，消息的发送者和接收者都相信根证书300的来源。如果证书不能链接到可信的证书，在该证书可以认为是“不可信的”。

[0063]证书服务器存储了有关证书以及确定已经废除的证书的列表的信息。可以访问这些证书服务器以获得证书并验证证书的真实性和废除状态。例如，可以使用轻量级口录访问协议(LDAP)服务器获得证书，并可以使用在线证书状态协议(OCSP)验证证书废除状态。

[0064]标准的电子邮件安全协议通常方便了在非移动计算设备间(例如，图4中的计算机262a、262b；远程桌面设备)的消息传送。再回到图4，为了将发送者所接收的签名消息能从移动设备100读出以及加密的消息能被发送(例如发送给那些发送者)，则移动设备100要适于存储证书和其他个人的相关公共密钥。存储在用户计算机262a上的证书通常通过诸如支架264从计算机262a下载到移动设备100。

[0065]存储在计算机262a上并下载到移动设备100的证书并不限于与个人相关的证书，还可以包括发布给CA的证书。在计算机262a和/或移动设备100中存储的某些证书还可以由用户明确地指定为“可信”。因此，当由用户接收证书到移动设备100上时，其可以通过将该证书与存储在移动设备100上的一个证书进行匹配来在移动设备100上验证并指定为可信，或确定是否链接了可信的证书。

[0066]移动设备100还可以适用来存储与用户关联的公共密钥/私人密钥对的私人密钥，以便移动设备100的用户可以在移动设备100上对编辑的呼出消息签名，并解密发送到由用户公共密钥加密的用户的信息。私人密钥可以通过例如支架264从用户计算机262a下载到移动设备100。私人密钥优选地在计算机262a和移动设备100间交换，以便用户为访问消息可以共享一个身份和一种方法。

[0067]用户计算机262a、262b可以从多个来源获取证书，并在计算机262a、262b和/或移动设备(例如移动设备100)上存储。这些证书源可以是私人的(例如在一个组织中为使用而指定的)或公共的，也可以是本地或远程驻留，还可以在组织的专用网络或通过诸如因特网等访问。在图4所示的实例中，与组织关联的多个PKI服务器280驻留在LAN250中。PKI服务器280包括用于发布证书的CA服务器282、用来搜寻并下载证书(例如，为组织中的个人)的LDAP服务器284，和用来验证证书废除状态的OCSP服务器286。

[0068]证书可以通过诸如用户计算机262a从LDAP服务器284检索，并经由支架264下载到移动设备100。然而，在不同的实施中，LDAP服务器284可以被移动设备100直接访问(即，在本文中是“空中下载”)，并且移动设备100可以通过移动数据服务器288搜寻并检索个人证书。类似地，移动数据服务器288可以适用来让移动设备100直接询问OCSP服务器286以验证证书的废除状态。

[0069]在不同的实施中，只有所选择的PKI服务器280可以访问移动设备(例如，只允许证书从用户计算机262a、262b下载，同时允许从移动设备100检查证书的废除状态)。

[0070]在可变实施中，某些PKI服务器280可以只访问特定用户所注册的移动设备，例如，通过IT管理员，也可能根据IT原则而指定。

[0071]证书的其他来源(未示出)可以包括诸如视窗证书存储器、在LAN250上或LAN250外的其他安全证书存储器、以及智能卡。

[0072]现参考图6，其总地用350显示了可以由消息服务器(例如图4中的消息服务器268)所接收的编码的消息的实例组成的结构图。编码消息350通常包括以下中的一个或多个：包头部分352、编码主体部分254、可选地一个或多个编码的附件356、一个或多个加密会话密钥358和签名及签名相关的信息360。例如，包头部分352通常包括诸如“to”、“from”等的寻址信息，和“CC”消息地址，并且还可以包括诸如消息长度指示符，发送者加密和签名机制标识符。实际的消息内容通常包括消息主体或数据部分354以及可能的一个或多个附件356，其可以由发送者使用会话密钥而加密。如果使用会话密钥，则通常使用为每个接收者各自的公共密钥为每个有意的接收者加密，并包括在358处的消息中。如果该消息已签名了，则就包括了签名和签名相关的信息360。这可能包括发送者的证书。

[0073]在图6中所示的编码消息的格式仅是示例性的，本领域的技术人员应当理解的是，编码消息也可以存在其他的格式。取决于所使用的具体的消息机制，编码消息的组成可以与图6中所示的不同顺序出现，并且编码消息可以包括更多的、或附加的、或不同的组成，这取决于编码消息是否是加密的、或签名的、或既加密又签名。例如，加密的会话密钥358可以出现在消息主体或数据部分354和消息附件356之前。

[0074]在这里所描述的系统和方法的实例中，消息地址(例如，电子邮件地址)都与证书关联。更具体地，可以使用这些实例来便于使一个或多个次要消息地址与由计算设备(例如，移动设备)的用户所选择的一个或多个证书的每一个关联。

[0075]当用户希望给个人发送加密的消息(例如，电子邮件消息)时，一般需要被发送消息的那个人的证书。电子邮件应用程序或其他的消息应用程序必须以某种方式确定所需的证书是否可得(例如，在本地证书存储器中)。

[0076]如果本地存储了多个证书，则该应用程序必须确定使用这些证书中的哪个来加密该消息。由于多数证书通常都包含该证书所有者的电子邮件地址，因此公知的电子邮件应用程序通常通过将在证书中的电子邮件地址数据与要被发送的消息的电子邮件地址匹配来确定所需的证书。要被发送的消息的电子邮件地址通常在电子邮件消息的包头部分(例如图6中的包头部分352)中识别。

[0077]在一些实例中，电子邮件应用程序可能不能定位消息要被发送到的那个人的证书，尽管已努力从可以得到的证书的搜索中定位包含该人的电子邮件地址。如果执行了查找但没有定位到具有匹配的电子邮件的证书，则该应用程序可以提示用户给出收件任地址。用户可以选择无加密地发送该消息，并取消正在发送的消息，或识别应当用来加密的特定证书。

[0078]然而，根据一些公知的电子邮件应用程序，如果已经指定了用来加密的特定证书(例如，通过用户或应用程序)并且试图用该特定证书来对用户想要发送给他人的消息加密，但包含电子邮件地址的那个证书并不与消息要被发送到的电子邮件地址匹配，则通常会返回给用户一个表示地址不匹配的错误消息。取决于应用程序的设定，如果检测到了地址不匹配，则该消息既不加密也不发送。

[0079]此外，在一些实例中，可以尝试用在证书中根本不包含任何电子邮件地址的证书。在这些情况下，公知的电子邮件应用程序通常还是会返回给用户一个表示不匹配的错误消息，并且既不加密也不发送该消息。

[0080]然而，在一些情况下，可能需要允许使用不包含与消息要被发送到的那个人的电子邮件地址匹配的电子邮件的证书来加密消息。

[0081]例如，一些证书可能在该证书中根本不包含任何电子邮件地址，但可能是有效的并能够用来加密消息。这种情况可能发生在证书最初发布时没有提供要与证书持有者关联的电子邮件地址数据，或发布者发布这样的证书并不需要这样的数据。之后，如果证书持有者希望将新的电子邮件数据添加到证书中，则就不能通过简单地修改在证书中的数据而适当地完成，因为证书发布者的数字签名(例如图5的316)在证书验证时不能成功地验证。通常需要发布包含新的电子邮件地址或地址的新证书。

[0082]作为另一个实例，如果证书持有者的电子邮件地址包含在他或她的证书中，但电子邮件地址已经改变了，由于证书已经发布了，因此在证书中的电子邮件地址不能简单地修改来反映变化。类似地，如果个人希望为在多个电子邮件地址接收到的消息使用相同的证书，则由于以上解释的原因，附加的电子邮件地址不能简单地附加到原始证书的电子邮件地址数据中。通常需要新的证书来合并改变了的或添加的电子邮件地址数据。。

[0083]因此，这里所描述的系统和方法的实施例允许附加的消息地址与已有的证书关联，即使要被发送的消息的消息地址与在证书中包含的消息地址不匹配，则消息应用程序可以使用证书来加密消息。而不需要发布集成了附加消息地址的新证书。

[0084]在一个广义方面，附加消息地址存储在驻留于计算设备的安全数据存储器上的数据结构中。当消息要被加密并使用特定证书发送到个人时，基于要被发送的消息的地址，通过消息应用程序适当地定位证书，并且，只要要被发送的消息的地址与该证书关联的消息地址中的任意一个匹配，消息应用程序就不会检测地址的不匹配。由消息应用程序所考虑的与证书关联的消息地址包括已经发布过的包含在证书中的任一消息地址(在本说明书和权利要求中也称之为“主要消息地址”)，以及随后存储在数据结构中并与证书关联的附加消息地址(在本说明书和权利要求中也称之为“次要消息地址”)。

[0085]在一个实施例中，安全数据存储器是在计算设备上的密钥存储或证书存储器。包含与证书关联的次要消息地址的数据结构与证书一起存储在密钥存储器中。

[0086]数据结构与证书链接，或可以包含证书的参考，以便可以识别与次要消息地址关联的证书。替换地，在另一个实施例中，次要消息和关联的证书可以一起存储在数据结构中，并驻留在安全数据存储器中。

[0087]在以上的情况中，一旦次要消息地址和关联的证书都存储在计算设备的安全数据存储器中，则与证书关联的次要消息地址就可以认为是证书本身的主要部分。

[0088]安全数据存储器阻止了恶意软件应用程序对存储在其中的数据的非授权访问。在一个实施例中，安全数据存储器为需要用户的授权来执行对存储在其上的数据进行预定操作的数据存储器。例如，安全数据存储器可以是密码保护的，以便计算设备的用户在执行如下操作前必须输入正确的密码：(i)在数据结构中存储新的次要消息地址，(ii)修改在数据结构中的次要消息地址，和/或(iii)删除在数据结构中存储的次要消息地址。根据特殊实施，如浏览当前存储在数据结构中的次要消息地址的特定操作可以不需要首先输入正确的密码。

[0089]一些公知的系统允许用户将证书与个人关联的具体接触记录邦定在一起。然而，当对消息加密并发送给他人时，这种公知的系统仍然要求邦定的证书包含与消息要被发送到的电子邮件地址匹配的电子邮件地址。此外，与这里所描述的与证书关联的消息地址的实施例相反(不能反过来)，由于接触记录相对于受保护的证书数据的相同程度的非授权修改是不被保护的，因此公知的系统相对来说更不安全。

[0090]由这里所描述的系统和方法的实施例所提供的保护确保了恶意应用程序未经计算设备的用户的同意不能改变与证书关联的次要消息地址列表。

[0091]这里所描述的系统和方法的实例还允许计算机设备的用户选择特定的证书，并将它们与特定用户的地址关联。这可以从用户的观点看可以使发送消息的处理更有效，并且当用户操作诸如移动设备等的计算设备时特别有益。例如，一旦用户确信特定证书持有者的电子邮件地址已经改变了，则他能简单地将新电子邮件地址添加到与证书持有者的原始证书关联的次要消息地址列表中。然后，在计算设备上的电子邮件或其他消息应用程序可以使用原始证书对用新的电子邮件地址发送给证书持有者的消息加密。

[0092]如果试图使用特定的证书来对以新的电子邮件地址发送给证书持有者的消息加密，但该新的电子邮件地址并没有包含在证书中或与该证书关联，则将检测到地址的不匹配。每当消息要被发送的地址与包含在证书中的地址不匹配时，一些公知的系统可以适用来提示用户在证书存储器中人工搜索证书的列表，以便寻找可能包含了新的电子邮件地址的不同证书。这种处理可能是冗长且很耗时的，特别是对于诸如移动设备的计算设备来说。通过允许次要消息地址与证书关联，，即便该次要消息地址实际上并未包含在该证书中，可以不再检测地址不匹配，且可以接受使用该证书来加密消息。因此，在这些情况下，可以避免响应地址不匹配的检测而执行手动搜索不同的证书。

[0093]各种实施例的这些及其他的特征将参考图7更详细的描述。

[0094]参考图7，其显示了在一个实施例中的将消息地址与证书关联的方法的步骤的流程图。在本说明书中，以上已经详细的描述了方法400的各个步骤。

[0095]在方法400中，通过实例的方式，所描述的步骤可以通过执行并驻留在计算设备上的密钥存储器浏览器应用程序来执行。密钥存储器应用程序是编程来显示在计算设备上的密钥存储器或证书存储器中的所有证书的应用程序。然而，在不同的实施例中，PIM、消息传递应用程序或其他的应用程序都可以编程来执行该方法的步骤。该方法还可以在多个在计算设备上执行并驻留在计算机设备上的多个的共同协作的应用程序上实施。

[0096]在其上应用程序执行并驻留这里所描述的方法的实施例的步骤的计算设备可以是移动设备。

[0097]在步骤410给用户显示在计算设备(例如图1的移动设备100)上的密钥存储器中当前的证书列表。该密钥存储器可以是中央密钥存储器，也可以是在计算设备上由用户选择的多个密钥存储器中的一个，或基于密钥存储器浏览器应用程序的构造而识别为默认的密钥存储器。

[0098]在步骤420，从识别了特定证书的用户接收输入数据，如由用户从在步骤410中所显示的列表所选择的一样，证书与至少一个或多个次要消息地址(例如，电子邮件地址)关联。“关联地址”菜单选项可以让用户选择以便于此步骤的执行。

[0099]证书通常在证书自身中包含一个电子邮件地址，并且在一些情况下还会包含多于一个的电子邮件地址。这些包含在证书中的电子邮件地址在此作为主要消息地址。一些证书可能没有包含任何的电子邮件地址，并且在此情况下，证书没有任何与之关联的主要消息地址。

[00100]次要消息地址可以考虑作为在证书发布后与证书关联的任意消息地址。在本实施例中，只有当消息地址不再是主要消息地址时，为了避免不必要的复制，编程密钥存储器浏览器应用程序来使消息地址与作为次要消息地址的证书关联。然而，在不同的系统中，即便消息地址已经包含在证书中，也允许消息地址与作为次要消息地址的证书关联。

[00101]在步骤430，可选地，给用户显示在步骤420中选择的与证书关联的主要消息地址(例如包含在所选择证书中的电子邮件地址)列表。可以理解的是，这些主要消息地址在证书(例如图5中的316)中的发布者的签名有效的情况下通常都不以任何方式改变。

[00102]在步骤440，可选地，给用户显示在步骤420中选择的与证书关联的当前次要消息地址的列表。当证书首先被输入到手持设备中时，次要消息列表最初是空的。如下所述，用户将消息地址添加到该列表中。用户随后还能对该列表进行消息地址的编辑和/或删除(未明确地显示)。

[00103]在步骤450，从识别了在步骤420所选择的与证书关联的一个或多个新次要消息地址的用户接收输入数据。例如，输入窗口具有一个或多个域，在其中用户可以手动输入要与能被提供来接收输入数据的证书关联的附加的消息地址。替换地，可以显示可选的消息地址的列表，从中用户可以选择要与证书关联的消息地址。该列表可以由包含在接触记录中的消息地址而创建，或从用户“收件箱”或其他消息文件夹中的消息而得到。

[00104]在步骤460，提示用户输入密码的应用程序需要将新的消息地址与用户选择的证书进行关联。如果没有从用户接收到正确的密码，则在步骤462拒绝将新消息地址与用户选择的证书关联的请求。

[00105]否则，在步骤470，由在步骤450所接收的输入数据识别的次要消息地址被存储在数据结构中，以便可以识别与次要消息地址要被关联的用户选择的证书。

[00106]例如，用户选择的证书和与其关联的次要消息地址可以一起存储在数据对象中。与证书关联的主要消息地址的单独列表，包括了从证书中抽取的消息地址数据，并且如果需要，其也可以与用户选择的证书一起在数据结构中创建并存储[步骤中未示出]。作为进一步的实例，次要消息地址可以存储为列表、或存储在表格或阵列中，其包括了指向关联的用户选择的证书的指针或参考。在一些情况中，如果应用程序能确定哪个特定的次要消息地址可以与哪个特定的证书关联，则用于一个关联的证书的次要消息地址可以与用于其他关联的证书的次要消息地址一起存储在相同的数据结构中。本领域的技术人员可以理解的是，也可以有其他的结构。

[00107]在一个实施例中，次要消息地址和主要消息地址可以存储在同一个密钥存储器中，且该密钥存储器是安全数据存储器。在密钥存储器中的数据被保护来免受未授权的修改。密钥存储器通常保留来仅存储证书，但根据本实施例，其也可以存储次要消息地址。例如，密钥存储器数据可以由用户密码保护，以便在添加新的次要消息地址(例如，步骤460)，或执行其他预定操作(例如，修改和/或删除存储在密钥存储器中的次要消息地址)前必须接收到用户的授权。如早先已注意的，这种保护确保了恶意应用程序在没有用户同意的情况下不能改变与给定证书关联的次要消息地址。

[00108]可以理解的是，次要消息地址和关联的用户选择的证书可以存储在共同包括有安全数据存储器的单独的物理元件中。

[00109]在步骤480，可选地，给用户显示与在步骤420所选择的与证书关联的主要消息地址列表和次要消息列表的更新列表。仅通过图示的方式，在图8中显示了在一个实例的实施中与证书关联的主要和次要地址消息列表的对话框。

[00110]在图8的实例对话框中， johndoe@companyabc.com是与特定证书关联的主要消息地址。发送到johndoe@companyabc.net或从johndoe@companyabc.net发送的消息可以分别重定向相同的用户或源于相同的用户。然而，消息地址johndoe@companyabc.net在特定的证书中并不被识别。因此，在本实施例中，该地址作为次要消息地址与证书关联，以便要发送到次要消息地址的消息可以使用相同的证书编码，而从该次要消息地址接收到的消息可以使用相同的证书解码。

[00111]随后，在步骤490，由用户对电子邮件或其他消息加密并将加密的消息发送给个人。该应用程序可以为匹配电子邮件地址而搜索安全数据存储器，作为已经与证书关联的主要消息地址或次要消息地址。如果发现了匹配，那么，该应用程序可以使用定位的证书来加密呼出的消息。

[00112]可选地，如步骤492所示，电子邮件或其他消息应用程序还可以尝试在从个人接收到的消息上验证数字签名。该应用程序可以为匹配电子邮件地址而搜索安全数据存储器，作为已经与证书关联的主要消息地址或次要消息地址。如果发现了匹配，则该应用程序可以使用定位的证书来验证在接收到的消息上的签名。然而，在其他的系统中，可以使用不同的标准来定位正确的证书，以验证在所接收到的消息上的数字签名，诸如通常由所接收到的消息中的签名信息所提供的签名证书的序列号和发布者。用于地址不匹配的检查可以在验证签名后执行，作为附加的安全措施，基于接收到的消息提供的发送者的地址，向用户指明该消息是否用属于所接收到的消息的发送者的证书签了名。

[00113]在上述描述的实施例中，方法400的步骤在计算设备中执行。然而，在不同的实施例中，方法400的步骤在移动设备中执行，而在另一个不同的实施例中，该步骤中的至少一些在桌面计算机中执行。桌面计算机可以与计算设备或移动设备同步，以便次要消息地址和关联的证书可以最终存储在安全数据存储器中。这个不同实施例的实例参考图9进行描述。

[00114]参考图9，在另一个实施例中，显示了将证书与消息地址关联的方法的步骤的流程图，流程图用400b表示。

[00115]方法400b类似于方法400，除了步骤410至480在桌面计算设备中执行，齐区别在于步骤470。桌面计算设备可以是膝上型设备或其他可以与移动设备同步的计算设备，这取决于具体的系统实施。如步骤470b所示，次要消息地址与关联的证书一起存储在桌面计算设备的安全数据存储器(例如，密钥存储器)中。在步骤482，桌面计算设备接着可以与移动设备同步(例如，通过图4的支架264)，以便在桌面计算设备的安全数据存储器中的次要消息地址和证书数据可以复制或移动到移动设备上的安全数据存储器中。步骤490和492也可以在方法400b中执行。

[00116]在不同的实施例中，当从LDAP服务器(例如图4的LDAP服务器284)下载了新的证书，并且如果由LDAP服务器返回的LDAP入口的电子邮件地址属性与在下载的证书中所包含的电子邮件地址不同，在移动设备或桌面计算设备上的应用程序可以适用来自动地将次要消息地址与证书关联。在这种情况下，与在证书中所包含的电子邮件地址不同的LDAP入口的电子邮件地址从入口中抽取出来并与证书关联作为次要消息地址。

[00117]在以上的描述以及权利要求中，术语“列表”被解释的很广泛。例如，当所描述的信息作为“列表”显示时，“列表”并不应当限于数据表示的具体格式。具体地，信息并不需要作为登录栏来显示，但可替换地可以用其他的显示格式来表示。

[00118]这里描述的方法的步骤可以提供为在计算机可读介质上的可执行的软件指令，其还可以包括传输型介质。

[00119]本发明已经根据多个实施例进行了描述。但本领域的技术人员应当理解的是，在不背离所附权利要求所定义的本发明的范围的情况下可以有其他的变化和改变。

Claims

1、一种将消息地址与计算设备的用户识别的证书关联的方法，该方法包括步骤：

a)从计算设备的用户接收识别了用户选择的证书的第一输入数据，其中，用户选择的证书包含零个或多个与其关联的主要消息地址；

b)接收识别了与用户选择的证书关联的一个或多个次要消息地址的第二输入数据；和

c)通过将一个或多个次要消息地址存储在数据结构中，将一个或多个次要消息地址与用户选择的证书关联，以便用户选择的证书与一个或多个次要消息地址的关联是可识别的；

其中，数据结构驻留在计算设备上的安全数据存储器中。

2、根据权利要求1的方法，其中，存储了一个或多个次要消息地址的数据

结构和用户选择的证书的数据结构都存储在计算设备上的安全数据存储器中。

3、根据权利要求2的方法，其中，用户选择的证书存储在数据结构中。

4、根据权利要求1的方法，还包括将具有用户选择的证书的消息加密的步骤，其中，消息要被发送到的消息地址匹配与用户选择的证书关联的主要或次要消息地址中的一个。

5、根据权利要求1的方法，还包括在从具有用户选择的证书的发送者所接收的消息上验证数字签名的步骤，其中，从接收消息的发送者来的消息地址匹配与用户选择的证书关联的主要或次要消息地址中的一个。

6、根据权利要求1的方法，其中安全数据存储器为数据存储器，其在执行从以下组中所选择的操作之前需要先接收用户的授权：

i)在数据结构中存储一个或多个新的次要消息地址；

ii)修改存储在数据结构中的一个或多个次要消息地址；

iii)删除一个或多个存储在数据结构中的次要消息地址。

7、根据权利要求6的方法，其中安全数据存储器由至少一个用户密码来保护，以便在用户正确输入至少一个用户密码时能接收用户的授权。

8、根据权利要求6的方法，还包括显示存储在数据结构中的次要消息地址列表的步骤。

9、根据权利要求1的方法，还包括在接收第一输入数据的步骤之前，用户从显示的证书列表中识别用户选择的证书的步骤。

10、根据权利要求1的方法，还包括在接收第二输入数据的步骤之前，用户从显示的消息地址的列表中识别一个或多个次要消息地址的步骤。

11、根据权利要求1的方法，其中方法的所有步骤都在计算设备上执行。

12、根据权利要求1的方法，其中计算设备为移动设备。

13、根据权利要求12的方法，其中方法的至少一些步骤在桌面计算机上执行，其中方法还包括将桌面计算机与移动设备同步，以便一个或多个次要消息地址存储在驻留在移动设备上的安全数据存储器上的数据结构中。

14、根据权利要求1的方法，其中第二输入数据由用户输入。

15、根据权利要求1的方法，其中第二输入数据从LDAP记录中抽取。

16、一种计算机可读介质，其中存储有多条指令，这些指令用于如权利要求1中那样执行将消息地址与由计算设备的用户识别的证书关联的方法。

17、一种计算设备，其适用来执行将消息地址与由计算设备的用户所识别的证书关联的方法，该方法包括步骤：

a)从计算设备的用户接收识别了用户选择的证书的第一输入数据，其中用户选择的证书包含零个或多个与其关联的主要消息地址；

c)通过将一个或多个次要消息地址存储在数据结构中，将一个或多个次要消息地址与用户选择的证书关联，以便用户选择的证书与一个或多个次要消息地址的关联是可识别的；其中数据结构驻留在计算设备上的安全数据存储器中。

18、一种用来将消息地址与由计算设备的用户所识别的证书关联的系统，其中该系统包括桌面计算机和与之连接的移动设备，其中由桌面计算机执行以下步骤：

c)通过将一个或多个次要消息地址存储在数据结构中，将一个或多个次要消息地址与用户选择的证书关联，以便用户选择的证书与一个或多个次要消息地址的关联证书是可识别的；和

d)与移动设备同步，以便由第二输入数据所识别的一个或多个次要消息地址可以从第一数据结构复制，并存储在驻留在移动设备上的安全数据存储器中的第二数据结构中。

19、根据权利要求18的系统，其中，存储了一个或多个次要消息地址的第二数据结构和用户选择的证书的数据结构都存储在移动设备上的安全数据存储器中。

20、根据权利要求19的系统，其中用户选择的证书存储在第二数据结构中。

21、根据权利要求18的系统，其中在同步步骤中，用户选择的证书从桌面计算设备复制到在移动设备上的安全数据存储器中。