DE60208067T2

DE60208067T2 - Mehrstufiges system und verfahren zur verarbeitung der kodierten nachrichten

Info

Publication number: DE60208067T2
Application number: DE60208067T
Authority: DE
Inventors: A. Herbert LITTLE; S. Michael BROWN; K. Michael BROWN
Original assignee: Research in Motion Ltd
Current assignee: BlackBerry Ltd
Priority date: 2001-10-25
Filing date: 2002-10-24
Publication date: 2006-08-17
Anticipated expiration: 2022-10-25
Also published as: JP2005506803A; EP1438814B1; CA2464361A1; DE60219222D1; WO2003036887A1; ATE313194T1; DE60208067D1; BRPI0213542B1; CN100373893C; JP4875745B2; CA2464361C; DE60219222T2; BR0213542A; JP2007133867A; CN1608367A; US8194857B2; US20050009502A1; ATE358380T1; EP1438814A1; HK1064236A1

Description

QUERVERWEIS AUF EINE VERWANDTE ANMELDUNG
Diese Anmeldung hat einen Prioritätsanspruch auf die vorläufige U.S.-Anmeldung Nr. 60/330,608 (mit dem Titel „Multiple-Stage System and Method for Processing Encoded Messages", angemeldet am 25. Oktober 2001). Unter Bezugnahme ist die vollständige Offenbarung, einschließlich der Zeichnungen, der vorläufigen U.S.-Anmeldung Nr. 60/330,608 hier integriert.
HINTERGRUND
1. Gebiet der Erfindung
Die vorliegende Erfindung betrifft im Allgemeinen das Gebiet der Kommunikation und insbesondere eine Verarbeitung von codierten Nachrichten, wie E-Mail-Nachrichten.
2. Beschreibung des Standes der Technik
In vielen bekannten Nachrichtenaustauschschemen wird eine Signatur, eine Verschlüsselung oder beides üblicherweise verwendet, um die Integrität und Vertraulichkeit einer von einem Sender zu einem Empfänger übertragenen Information sicherzustellen. In einem E-Mail-System kann zum Beispiel der Sender einer E-Mail-Nachricht die Nachricht entweder signieren, die Nachricht verschlüsseln oder die Nachricht sowohl signieren als auch verschlüsseln. Diese Aktionen kön nen unter Verwendung solcher Standards wie S/MIME (Secure Multipurpose Internet Mail Extensions), PGP^TM (Pretty Good Privacy^TM), OpenPGP und vieler anderer sicherer E-Mail-Standards durchgeführt werden. Beispiele dieser Techniken werden in den Patentdokumenten WO 01/71608 und WO 00/31931 offenbart.
Wenn eine verschlüsselte bzw. chiffrierte Nachricht empfangen wird, muss sie entschlüsselt bzw. dechiffriert werden, bevor sie angezeigt oder sonst wie verarbeitet wird. Eine Entschlüsselung ist eine Prozessor-intensive Operation, die auf einer mobilen Vorrichtung mit begrenzten Verarbeitungsressourcen dazu neigt, eine relativ lange Zeit im Bereich von mehreren Sekunden in Anspruch zu nehmen. Derartige Zeitverzögerungen können für viele Benutzer von mobilen Vorrichtungen inakzeptabel sein. Auch wenn die Nachricht nicht verschlüsselt ist, kann sie derart codiert sein, dass eine Verarbeitung erforderlich sein kann, bevor die Nachricht dem Benutzer angezeigt wird. Zwei Beispiele derartiger Codierung sind die Base-64-Codierung, die im Allgemeinen verwendet wird, um in einer E-Mail-Nachricht eingebettete Binärdaten auf dem Internet zu übertragen, und die ANSI.1-Codierung, die für viele Internet- und Sicherheitsstandards erforderlich ist. Die zu diesen Typen der Codierung gehörende Decodierung kann ebenfalls eine Zeitverzögerung verursachen, die für viele Benutzer von mobilen Vorrichtungen inakzeptabel sein kann.
Da der Inhalt von verschlüsselten Nachrichten im Allgemeinen auch nach dem Empfang sicher bleiben soll, werden derartige Nachrichten normalerweise in einem Langzeitspeicher nur in verschlüsselter Form gespeichert und es müssen jedes Mal Entschlüsselungsoperationen durchgeführt werden, wenn eine verschlüsselte Nachricht geöffnet wird. Ebenso sind, wenn ein Benutzer bittet, eine Signatur für eine Nachricht zu verifizieren, die ursprünglichen Nachrichteninhalte typischerweise erforderlich, um die Operation durchzuführen, so dass Nachrichten oft in ihrer codierten Form gespeichert werden. Folglich muss jedes Mal, wenn eine derartige codierte Nachricht zum Beispiel geöffnet oder angezeigt wird, die Decodierungsoperation ebenso wiederholt werden.
Es gibt folglich einen allgemeinen Bedarf für ein schnelleres und weniger Prozessor-intensives Nachrichtenverarbeitungssystem und -verfahren.
ZUSAMMENFASSUNG
Gemäß den hier offenbarten Lehren ist vorzugsweise ein Verfahren und ein System zur Verarbeitung von Nachrichten in einem Nachrichtenempfänger vorgesehen. Das Verfahren und das System empfangen eine codierte Nachricht, decodieren die Nachricht zumindest teilweise, speichern die teilweise decodierte Nachricht in einem Speicher und zeigen an, dass die codierte Nachricht empfangen wurde. Die gespeicherte teilweise decodierte Nachricht wird dann, wenn erforderlich, weiter decodiert und für eine nachfolgende Verarbeitung der empfangenen Nachricht verwendet.
Ein Verfahren zur Verarbeitung codierter bzw. verschlüsselter Nachrichten in einer drahtlosen mobilen Kommunikationsvorrichtung gemäß einem Aspekt der Erfindung weist die Schritte auf: Empfangen einer codierten Nachricht in der drahtlosen mobilen Kommunikationsvorrichtung, wobei eine Vielzahl von Decodierungsoperationen mit der codierten Nachricht durchzuführen sind, bevor die decodierte bzw. entschlüsselte Nachricht in der drahtlosen mobilen Kommunikationsvorrichtung verwendet wird; Durchführen einer ersten Decodierungsoperation mit der codierten Nachricht, um so eine teilweise decodierte Nachricht zu erzeugen, wobei die erste Decodierungsoperation zumindest eine der Decodierungsoperationen durchführt, die mit der codierten Nachricht durchzuführen sind; Speichern der teilweise decodierten Nachricht in einem Speicher der drahtlosen mobilen Kommunikationsvorrichtung; Empfangen einer Aufforderung, auf die empfangene Nachricht zuzugreifen; Abrufen der teilweise decodierten Nachricht aus dem Speicher; und Durchführen einer zweiten Decodierungsoperation mit der teilweise decodierten Nachricht, um so eine decodierte Nachricht zur Verwendung in der drahtlosen mobilen Kommunikationsvorrichtung zu erzeugen.
Ein System zur Verarbeitung codierter Nachrichten in einer drahtlosen mobilen Kommunikationsvorrichtung gemäß einem weiteren Aspekt der Erfindung weist auf Mittel zum Empfangen einer codierten Nachricht in der drahtlosen mobilen Kommunikationsvorrichtung, wobei eine Vielzahl von Decodierungsoperationen mit der codierten Nachricht durchzuführen sind, bevor die decodierte bzw. entschlüsselte Nachricht in der drahtlosen mobilen Kommunikationsvorrichtung verwendet wird; Mittel zum Durchführen einer ersten Decodierungsoperation mit der codierten Nachricht, um so eine teilweise decodierte Nachricht zu erzeugen, wobei die erste Decodierungsoperation zumindest eine der Decodierungsoperationen durchführt, die mit der codierten Nachricht durchzuführen sind; Mittel zum Speichern der teilweise decodierten Nachricht in einem Speicher der drahtlosen mobilen Kommunikationsvorrichtung; Mittel zum Abrufen der teilweise decodierten Nachricht aus dem Speicher; und Mittel zum Durchführen einer zweiten Decodierungsoperation mit der teilweise decodierten Nachricht, um so eine decodierte Nachricht zur Verwendung in der drahtlosen mobilen Kommunikationsvorrichtung zu erzeugen.
In einem weiteren Ausführungsbeispiel der Erfindung weist eine Computersoftware, die in einem Computer-lesbaren Medium gespeichert ist, auf einen Programmcode zur Durchführung eines Verfahrens, das eine codierte Nachricht in einer drahtlosen mobilen Kommunikationsvorrichtung verarbeitet, wobei das Verfahren die Schritte aufweist: Durchführen einer ersten Decodierungsoperation mit der codierten Nachricht, um so eine teilweise decodierte Nachricht zu erzeugen, wobei die erste Decodierungsoperation zumindest eine der Decodierungsoperatio nen durchführt, die mit der codierten Nachricht durchzuführen sind; Speichern der teilweise decodierten Nachricht in einem Speicher der drahtlosen mobilen Kommunikationsvorrichtung; Abrufen der teilweise decodierten Nachricht aus dem Speicher als Antwort auf eine Aufforderung, auf die empfangene Nachricht zuzugreifen; und Durchführen einer zweiten Decodierungsoperation mit der teilweise decodierten Nachricht, um so eine decodierte Nachricht zur Verwendung in der drahtlosen mobilen Kommunikationsvorrichtung zu erzeugen.
Gemäß einem weiteren Ausführungsbeispiel der Erfindung weist ein System, das eine codierte Nachricht in einer drahtlosen mobilen Kommunikationsvorrichtung verarbeitet, wobei eine Vielzahl von Decodierungsoperationen mit der codierten Nachricht durchzuführen sind, bevor die Nachricht in der drahtlosen mobilen Kommunikationsvorrichtung verwendet wird, auf: eine erste Decodierungsstufe mit einer Datenzugriffsverbindung zu der codierten Nachricht, wobei die erste Decodierungsstufe eine erste Decodierungsoperation mit der codierten Nachricht durchführt, um so eine teilweise decodierte Nachricht zu erzeugen, wobei die erste Decodierungsstufe zumindest eine der Vielzahl von Decodierungsoperationen durchführt, einen Speicher, der die teilweise decodierte Nachricht speichert, und eine zweite Decodierungsstufe mit einer Datenzugriffsverbindung zu der in dem Speicher gespeicherten teilweise decodierten Nachricht, wobei die zweite Decodierungsstufe eine zweite Decodierungsoperation mit der teilweise decodierten Nachricht durchführt, um so eine decodierte Nachricht zur Verwendung in der drahtlosen mobilen Kommunikationsvorrichtung zu erzeugen.
Wie zu sehen sein wird, ist die Erfindung für andere und unterschiedliche Ausführungsbeispiele geeignet und ihre verschiedenen Details sind geeignet für Modifikationen in vielerlei Hinsicht, ohne von dem „Geist" der Erfindung abzuweichen. Demgemäß sollen die Zeichnungen und die Beschreibung der bevorzugten Ausführungsbeispiele, die im Folgenden dargelegt werden, als veranschaulichend und nicht als einschränkend betrachtet werden.
KURZE BESCHREIBUNG DER ZEICHNUNGEN
1 ist ein Überblick über ein beispielhaftes Kommunikationssystem, in dem eine drahtlose Kommunikationsvorrichtung verwendet werden kann.
2 ist eine Blockdarstellung eines weiteren beispielhaften Kommunikationssystems mit mehreren Netzwerken und mehreren mobilen Kommunikationsvorrichtungen.
3 stellt ein Beispielsystem zur Übertragung von Nachrichten dar, die durch Verschlüsselung und möglicherweise Signierung unter Verwendung von S/MIME- oder ähnlicher Techniken codiert wurden.
3a zeigt ein allgemeines codiertes Nachrichtenformat.
4 ist ein Ablaufdiagramm, das die erste Stufe eines Verfahrens zur Verarbeitung codierter Nachrichten darstellt.
5 ist ein Ablaufdiagramm einer zweiten Stufe eines Nachrichtenverarbeitungsverfahrens für codierte Nachrichten.
6 und 7 sind Blockdarstellungen, welche die Verarbeitung von Nachrichten unter Einbeziehung einer mobilen Vorrichtung darstellen.
8 ist eine Blockdarstellung, die ein beispielhaftes Kommunikationssystem zeigt.
9 ist eine Blockdarstellung eines alternativen beispielhaften Kommunikationssystems.
10 ist eine Blockdarstellung eines weiteren alternativen Kommunikationssystems.
11 ist eine Blockdarstellung einer beispielhaften mobilen Vorrichtung.
DETAILLIERTE BESCHREIBUNG DER ZEICHNUNGEN
Eine Codierung umfasst solche Operationen wie Signieren, Verschlüsselung, Codierung, wie eine Base-64- oder ANSI.1-Codierung, allgemeiner eine Codierung durch eine andernfalls reversible Transformation von Daten, oder jegliche Kombination daraus. Ähnlich umfasst eine „Decodierung" folglich Verarbeitungsoperationen, die erforderlich sind, um jede auf eine Nachricht angewendete Codierung umzukehren oder zu reversieren.
1 ist ein Überblick eines beispielhaften Kommunikationssystems, in dem eine drahtlose Kommunikationsvorrichtung verwendet werden kann. Für Fachleute ist offensichtlich, dass es hunderte unterschiedliche Topologien geben kann, aber das in 1 gezeigte einfache System hilft, die Operation der Verarbeitungssysteme und -verfahren für codierte Nachrichten, die in der vorliegenden Anmeldung beschrieben werden, zu demonstrieren. Es kann auch viele Nachrichtensender und -empfänger geben. Das in 1 gezeigte einfache System ist nur für darstellende Zwecke und zeigt möglicherweise die am meisten vorherrschende Internet-E-Mail-Umgebung, in der im Allgemeinen keine Sicherheit verwendet wird.
1 zeigt einen E-Mail-Sender 10, das Internet 20, ein Nachrichtenserversystem 40, ein drahtloses Gateway 85, drahtlose Infrastruktur 90, ein drahtloses Netzwerk 105 und eine mobile Kommunikationsvorrichtung 100.
Ein E-Mail-Sendersystem 10 kann zum Beispiel mit einem ISP (Internet service provider) verbunden sein, bei dem ein Benutzer des Systems 10 einen Account bzw. ein Konto besitzt, kann sich in einem Unternehmen befinden, möglicherweise mit einem lokalen Netzwerk (LAN – local area network) verbunden sein und mit dem Internet 20 verbunden sein oder mit dem Internet 20 über einen großen ASP (application service provider) verbunden sein, wie America Online (AOL). Für Fachleute dürfte offensichtlich sein, dass die in 1 gezeigten Systeme stattdessen mit einem Weitverbundnetz (WAN – wide area network) außer dem Internet verbunden sein können, obwohl E-Mail-Übertragungen im Allgemeinen durch über das Internet verbundene Anordnungen, wie in 1 gezeigt bewerkstelligt werden.
Der Nachrichtenserver 40 kann zum Beispiel auf einem Netzwerkcomputer innerhalb der Firewall eines Unternehmens, auf einem Computer in einem ISP- oder ASP-System oder Ähnlichem implementiert werden und wirkt als die Hauptschnittstelle für einen E-Mail-Austausch über das Internet 20. Obwohl andere Nachrichtensysteme nicht unbedingt ein Nachrichtenserversystem 40 erfordern können, gehört eine mobile Vorrichtung 100, die zum Empfangen und möglicherweise Senden von E-Mail konfiguriert ist, zu einem Account auf einem Nachrichtenserver. Die zwei vielleicht gebräuchlichsten Nachrichtenserver sind Microsoft Exchange^TM und Lotus Domino^TM. Diese Produkte werden oft in Verbindung mit Internet-Mail-Routern verwendet, die Mail weiterleiten und ausliefern. Diese dazwischenliegenden Komponenten werden in 1 nicht gezeigt, da sie nicht unmittelbar eine Rolle spielen bei der unten beschriebenen sicheren Nachrichtenverarbeitung. Nachrichtenserver, wie der Server 40, erstrecken sich typischerweise über nur das Senden und Empfangen von E-Mails hinaus; sie umfassen auch dynamische Datenbankspeichermaschinen, die vordefinierte Datenbankformate für Daten wie Kalender, Vorhabenlisten (to-do-Listen), Aufgabenlisten, E-Mail und Dokumentation haben.
Das drahtlose Gateway 85 und die Infrastruktur 90 bieten eine Verbindung zwischen dem Internet 20 und dem drahtlosen Netzwerk 105. Die drahtlose Infrastruktur 90 bestimmt das wahrscheinlichste Netzwerk zur Lokalisierung eines Benutzers und verfolgt den Benutzer, wenn er sich zwischen Ländern oder Netzwerken bewegt (roaming). Ein Nachricht wird dann an die mobile Vorrichtung 100 über eine drahtlose Übertragung, typischerweise auf einer Hochfrequenz (RF -radiofrequency), von einer Anschluss-Station in dem drahtlosen Netzwerk 105 an die mobile Vorrichtung 100 geliefert. Das bestimmte Netzwerk 105 kann im Grunde genommen jedes drahtlose Netzwerk sein, über das Nachrichten mit einer mobilen Kommunikationsvorrichtung ausgetauscht werden können.
Wie in 1 gezeigt, wird eine abgefasste E-Mail-Nachricht 15 von dem E-Mail-Sender 10 gesendet, der sich irgendwo in dem Internet 20 befindet. Diese Nachricht 15 ist normalerweise völlig im Klartext und verwendet herkömmliches SMTP (Simple Mail Transfer Protocol), RFC822-Header und MIME(Multipurpose Internet Mail Extension)-Teile, um das Format der Mail-Nachricht zu definieren. Diese Techniken sind für Fachleute alle weithin bekannt. Die Meldung 15 kommt an dem Nachrichtenserver 40 an und wird normalerweise in einem Nachrichtenspeicher gespeichert. Die meisten bekannten Nachrichtensysteme unterstützen ein so genanntes „Abfrage(pull)"-Nachrichtenzugriffsschema, in dem die mobile Vorrichtung 100 anfordern muss, dass gespeicherte Nachrichten von dem Nachrichtenserver an die mobile Vorrichtung 100 weitergeleitet wer den. Einige Systeme sehen ein automatisches Routing derartiger Nachrichten vor, die unter Verwendung einer spezifischen E-Mail-Adresse adressiert sind, die zu der mobilen Vorrichtung 100 gehört. In einem bevorzugten Ausführungsbeispiel, das im Folgenden detaillierter beschrieben wird, werden Nachrichten, die an einen Nachrichtenserver-Account adressiert sind, der zu einem Hostsystem gehört, wie einem Homecomputer oder Bürocomputer, der dem Benutzer einer mobilen Vorrichtung 100 gehört, von dem Nachrichtenserver 40 an die mobile Vorrichtung 100 umgeleitet, wenn sie empfangen werden.
Unabhängig von den spezifischen Mechanismen, welche das Weiterleiten von Nachrichten an die mobile Vorrichtung 100 steuern, wird die Nachricht 15, oder möglicherweise eine übersetzte oder neu formatierte Version davon, an das drahtlose Gateway 85 gesendet. Die drahtlose Infrastruktur 90 umfasst eine Serie von Verbindungen zu dem drahtlosen Netzwerk 105. Diese Verbindungen können diensteintegrierende Digitalnetz-(ISDN – integrated services digital network), Rahmenvermittlungs(frame relay)- oder T1-Verbindungen sein, die das im Internet verwendete TCP/IP-Protokoll verwenden. Wie er hier verwendet wird, soll der Begriff „drahtloses Netzwerk" drei unterschiedliche Typen von Netzwerken umfassen, nämlich (1) Daten-zentrische drahtlose Netzwerke, (2) Sprach-zentrische drahtlose Netzwerke und (3) Dualmodus-Netzwerke, die sowohl Sprach- als auch Datenkommunikation über dieselben physikalischen Anschluss-Stationen unterstützen können. Kombinierte Dualmodus-Netzwerke umfassen, sind aber nicht darauf beschränkt, (1) CDMA(code division multiple access)-Netzwerke, (2) die GSM(Global System for Mobile Communications oder groupe special mobile)- und die GPRS(General Packet Radio Service)-Netzwerke, und (3) zukünftige 3G(third-generation)-Netzwerke, wie EDGE (Enhanced Data Rates for Global Evolution) und UMTS (Universal Mobile Telecommunications Systems). Einige ältere Beispiele von Daten-zentrischen Netzwerken umfassen das Mobitex^TM-Funknetzwerk und das DataTAC^TM-Funknetzwerk. Beispiele älterer Sprach zentrischer Datennetzwerke umfassen PCS(Personal Communications Systems)-Netzwerke, wie GSM, und TDMA-Systeme.
2 ist eine Blockdarstellung eines weiteren beispielhaften Kommunikationssystems mit mehreren Netzwerken und mehreren mobilen Kommunikationsvorrichtungen. Das System von 2 ist im Wesentlichen gleich zu dem System von 1, umfasst aber ein Hostsystem 30, ein Umleitungsprogramm (Redirector Program) 45, eine Anschluss-Station (cradle) 65 für die mobile Vorrichtung, einen Router 75 für ein drahtloses virtuelles privates Netzwerk (VPN – Virtual Private Network) und ein zusätzliches drahtloses Netzwerk 110 und mehrere mobile Kommunikationsvorrichtungen 100. Wie oben in Verbindung mit 1 beschrieben, stellt 2 einen Überblick einer beispielhaften Netzwerktopologie dar. Obwohl die hier beschriebenen Verarbeitungssysteme und -verfahren für codierte Nachrichten auf Netzwerke mit vielen unterschiedlichen Topologien angewendet werden können, ist das Netzwerk von 2 nützlich beim Verständnis eines automatischen E-Mail-Umleitungssystems, das oben kurz erwähnt wurde.
Das zentrale Hostsystem 30 ist typischerweise ein LAN eines Unternehmensbüros oder ein anderes LAN, aber kann stattdessen ein Heimarbeitscomputer oder ein anderes privates System sein, in dem Mail-Nachrichten ausgetauscht werden. In dem Hostsystem 30 ist es der Nachrichtenserver 40, der auf einem Computer innerhalb der Firewall des Hostsystems läuft, der als die Hauptschnittstelle für das Hostsystem zum Austausch von E-Mail mit dem Internet 20 wirkt. In dem System von 2 ermöglicht das Umleitungsprogramm 45 eine Umleitung von Datenelementen von dem Server 40 an eine mobile Kommunikationsvorrichtung 100. Obwohl das Umleitungsprogramm 45 zur einfacheren Darstellung als sich in derselben Maschine wie der Nachrichtenserver 40 befindend gezeigt wird, besteht keine Notwendigkeit, dass es sich auf dem Nachrichtenserver befinden muss. Das Umleitungsprogramm 45 und der Nachrichtenserver 40 sind zur Kooperation und zur Interaktion ausgebildet, um das Verschieben (pushing) von Information an die mobilen Vorrichtungen 100 zu ermöglichen. In dieser Anordnung empfängt das Umleitungsprogramm 45 vertrauliche und nicht-vertrauliche Unternehmensinformation für einen bestimmten Benutzer und leitet sie durch die Firewall des Unternehmens an die mobilen Vorrichtungen 100. Eine detailliertere Beschreibung der Umleitungssoftware 45 ist zu finden in dem allgemein erteilten U.S.-Patent 6,219,694 („das '694"-Patent) mit dem Titel „System and Method for Pushing Information From A Host System To A Mobile Data Communication Device Having A Shared Electronic Address", das der Anmelderin der vorliegenden Anmeldung am 17.April 2001 erteilt wurde, und in den U.S.-Patent-Anmeldungen S/N 09/401,868, S/N 09/545,963, S/N 09/528,495, S/N 09/545,962 und S/N 09/649,755, die durch Bezugnahme hiermit alle in die vorliegende Anmeldung aufgenommen sind. Diese Pushing-Technik kann eine drahtlose „freundliche" Codierungs-, Komprimierungs- und Verschlüsselungstechnik verwenden, um die gesamte Information an eine mobile Vorrichtung zu liefern, wodurch tatsächlich die Sicherheits-Firewall ausgeweitet wird, um jede mobile Vorrichtung 100 zu umfassen, die zu dem Hostsystem 30 gehört.
Wie in 2 gezeigt wird, kann es viele alternative Pfade zum Übertragen von Information an die mobile Vorrichtung 100 geben. Ein Verfahren zum Laden von Information auf die mobile Vorrichtung 100 ist über einen mit 50 bezeichneten Anschluss unter Verwendung einer Anschluss-Station 65. Dieses Verfahren kann nützlich sein für Masseninformationsaktualisierungen, die oft bei einer Initialisierung einer mobilen Vorrichtung 100 mit dem Hostsystem 30 oder einem Computer 35 in dem System 30 durchgeführt werden. Das andere Hauptverfahren zum Datenaustausch ist über die Luft (drahtlos) unter Verwendung von drahtlosen Netzwerken, um die Information zu liefern. Wie in 2 gezeigt, kann dies durch einen drahtlosen VPN-Router 75 oder durch eine herkömmliche Internetverbindung 95 an ein drahtloses Gateway 85 und eine drahtlose Infrastruktur 90 erreicht werden, wie oben beschrieben. Das Konzept eines drahtlosen VPN-Routers 75 ist in der drahtlosen Industrie neu und impliziert, dass eine VPN-Verbindung direkt durch ein spezifisches drahtloses Netzwerk 110 mit einer mobilen Vorrichtung 100 hergestellt werden kann. Die Möglichkeit der Verwendung eines drahtlosen VPN-Routers 75 ist erst seit kurzem verfügbar und kann verwendet werden, wenn die neue Internetprotokoll(IP – Internet Protocol)-Version 6 (IPV6) in IP-basierten drahtlosen Netzwerken ankommt. Dieses neue Protokoll sieht ausreichend IP-Adressen vor, um jeder mobilen Vorrichtung 100 eine IP-Adresse zuzuweisen und es somit möglich zu machen, zu jeder Zeit eine Information an die mobile Vorrichtung 100 zu verschieben. Ein großer Vorteil einer Verwendung dieses drahtlosen VPN-Routers 75 liegt darin, dass es eine standardmäßige VPN-Komponente sein kann, somit wäre es nicht erforderlich, dass ein getrennter drahtloser Gateway 85 und eine getrennte drahtlose Infrastruktur 90 verwendet wird. Eine VPN-Verbindung wäre vorzugsweise eine TCP/IP(Transmission Control Protocol/Internet Protocol)- oder UDP/IP(User Datagram Protocol/Internet Protocol)-Verbindung, um die Nachricht direkt an die mobile Vorrichtung 100 zu liefern. Wenn eine drahtlose VPN 75 nicht verfügbar ist, ist eine Verbindung 95 zu dem Internet 20 der gebräuchlichste verfügbare Verbindungsmechanismus und dieser wurde oben beschrieben.
In dem automatischen Umleitungssystem von 2 kommt eine verfasste E-Mail-Nachricht 15, die den E-Mail-Sender 10 verlässt, an dem Nachrichtenserver 40 an und wird von dem Umleitungsprogramm 45 an die mobile Vorrichtung 100 umgeleitet. Wenn diese Umleitung stattfindet, wird die Nachricht 15 neu verpackt (re-enveloped), wie bei 80 angezeigt wird, und dann können eine möglicherweise proprietäre Komprimierung und ein Verschlüsselungsalgorithmus auf die ursprüngliche Nachricht 15 angewendet werden. Auf diese Weise sind die Nachrichten, die auf der mobilen Vorrichtung 100 gelesen werden, nicht weniger sicher, als wenn sie auf einer Desktop-Workstation, wie 35, innerhalb der Firewall gelesen würden. Alle Nachrichten, die zwischen dem Umleitungsprogramm 45 und der mobilen Vorrichtung 100 ausgetauscht werden, verwenden vorzugsweise diese Technik zur Neuverpackung von Nachrichten. Ein weiteres Ziel dieses äu ßeren Umschlags ist, die Adressierungsinformation der ursprünglichen Nachricht beizubehalten, außer der Adresse des Senders und des Empfängers. Dies ermöglicht, dass Antwortnachrichten das richtige Ziel erreichen, und ermöglicht, dass das „von"-Feld die Desktop-Adresse des mobilen Benutzers widerspiegelt. Eine Verwendung der E-Mail-Adresse des Benutzers von der mobilen Vorrichtung 100 ermöglicht der empfangenen Nachricht, so zu erscheinen, als ob die Nachricht von dem Desktop-System 35 des Benutzers statt von der mobilen Vorrichtung 100 stammte.
Zurück zu der Verbindungsfähigkeit des Anschlusses 50 und der Anschluss-Station 65 mit der mobilen Vorrichtung 100, bietet dieser Verbindungspfad viele Vorteile, um einen einmaligen Datenaustausch von großen Elementen zu ermöglichen. Fachleuten in dem Gebiet von PDAs (personal digital assistants) und Synchronisierung ist bekannt, dass die gängigsten Daten, die über diese Verbindung ausgetauscht werden, PIM(personal information management)-Daten 55 sind. Wenn diese Daten das erste Mal ausgetauscht werden, neigen sie zu großer Quantität, umfangreicher Beschaffenheit und erfordern eine große Bandbreite, um auf die mobile Vorrichtung 100 geladen zu werden, wo sie unterwegs verwendet werden können. Diese serielle Verbindung kann auch für andere Zwecke verwendet werden, einschließlich dem Anlegen eines privaten Sicherheitsschlüssels 210, wie einen spezifischen S/MIME- oder PGP-Privatschlüssel, das Zertifikat (Cert) des Benutzers und ihre Zertifikats-Widerrufs-Verzeichnisse (CRLs – certificate revocation lists) 60. Der private Schlüssel wird vorzugsweise ausgetauscht, so dass der Desktop 35 und die mobile Vorrichtung 100 eine Identität (personality) und ein Verfahren zum Zugriff auf die gesamte Mail teilen. Das Cert und die CRLs werden normalerweise über eine derartige Verbindung ausgetauscht, da sie eine große Datenmenge repräsentieren, die von der Vorrichtung für S/MIME-, PGP- und andere öffentliche Schlüssel-Sicherheitsverfahren erforderlich ist.
Obwohl die hier beschriebenen Verarbeitungssysteme und -verfahren für codierte Nachrichten in keinster Weise abhängig sind von einem vorherigen Laden (preloading) von Information von einem Hostcomputer oder einem Computer 35 in einem Hostsystem 30 über eine Anschlussanordnung, kann ein derartiges vorheriges Laden von typischerweise umfangreicher Information, wie Certs und CRLs, eine Übertragung von codierten Nachrichten, insbesondere derjenigen, die verschlüsselt und/oder signiert wurden oder eine zusätzliche Information zur Verarbeitung benötigen, an die mobilen Vorrichtungen 100 erleichtern. Wenn ein alternativer Mechanismus, wie S/MIME- oder PGP-E-Mail-Nachrichten zum Beispiel, zur Übertragung derartiger Nachrichten an eine mobile Vorrichtung verfügbar ist, dann können diese Nachrichten wie hier beschrieben verarbeitet werden.
Nach der Beschreibung mehrerer typischer Kommunikationsnetzwerkanordnungen wird nun die Übertragung und Verarbeitung von sicheren E-Mail-Nachrichten detaillierter beschrieben.
E-Mail-Nachrichten, die unter Verwendung von S/MIME- und PGP-Techniken erzeugt werden, können eine verschlüsselte Information, eine digitale Signatur auf den Inhalten der Nachricht oder beides umfassen. In signierten S/MIME-Operationen erstellt der Sender eine Zusammenfassung (digest) einer Nachricht und signiert die Zusammenfassung unter Verwendung des privaten Schlüssels des Senders. Eine Zusammenfassung ist im Wesentlichen eine Prüfsumme, CRC (checksum), oder eine andere vorzugsweise nicht reversible Operation, wie ein Hash auf der Nachricht, die dann signiert wird. Die signierte Zusammenfassung wird an die abgehende Nachricht angehängt, eventuell zusammen mit dem Cert des Senders und eventuell anderen erforderlichen Certs und CRLs. Der Empfänger dieser signierten Nachricht muss ebenso eine Zusammenfassung der Nachricht erstellen, diese Zusammenfassung mit der an der Nachricht angehängten Zusammenfassung vergleichen, den öffentlichen Schlüssels des Senders abrufen und die Signatur auf der angehängten Zusammenfassung verifizieren. Wenn der Inhalt der Nachricht verändert wurde, dann sind die Zusammenfassungen unterschiedlich oder die Signatur auf der Zusammenfassung wird nicht richtig verifiziert. Wenn die Nachricht nicht verschlüsselt ist, verhindert die Signatur nicht, dass jeder die Inhalte der Nachricht sehen kann, stellt aber sicher, dass die Nachricht nicht unerlaubt geändert wurde und von der tatsächlichen Person ist, die in dem „von"-Feld der Nachricht angegeben ist.
Der Empfänger kann die Cert und CRLs ebenfalls verifizieren, wenn sie an die Nachricht angehängt wurden. Eine Zertifikatskette ist ein Cert zusammen mit einer Anzahl von anderen Certs, die zur Verifizierung erforderlich sind, dass das ursprüngliche Cert authentisch ist. Während der Verifizierung der Signatur auf einer signierten Nachricht erlangt der Empfänger der Nachricht typischerweise auch eine Zertifikatskette für das signierende Cert und verifiziert, dass jedes Cert in der Kette von dem nächsten Cert in der Kette signiert wurde, bis ein Cert gefunden wird, das von einem Wurzelzertifikat (root cert) von einer zuverlässigen Quelle signiert wurde, möglicherweise von einem großen öffentlichem Schlüsselserver (PKS – Public Key Server), der zu einer Zertifizierungsautorität (CA – certificate authority), wie beispielsweise Verisign oder Entrust, gehört, die beide bekannte Unternehmen in dem Bereich der öffentlichen Schlüssel-Kryptographie sind. Sobald ein derartiges Wurzelzertifikat gefunden ist, kann eine Signatur verifiziert und gesichert werden, da sowohl der Sender als auch der Empfänger der Quelle des Wurzelzertifikats vertrauen.
In verschlüsselten S/MIME-Nachrichtenoperationen wird ein einmaliger Sitzungsschlüssel erzeugt und verwendet, um den Textteil (body) der Nachricht zu verschlüsseln, typischerweise mit einer symmetrischen Chiffre wie Triple-DES. Der Sitzungsschlüssel wird dann verschlüsselt unter Verwendung des öffentlichen Schlüssels des Empfängers, typischerweise mit einem „öffentlicher Schlüssel"-Verschlüsselungsalgorithmus, wie RSA. Wenn eine Nachricht an mehr als einen Empfänger adressiert ist, wird derselbe Sitzungsschlüssel unter Verwendung des öffentlichen Schlüssels jedes Empfängers verschlüsselt. Der verschlüsselte Nachrichtentextteil sowie alle verschlüsselten Sitzungsschlüssel werden an jeden Empfänger gesendet. Jeder Empfänger muss dann seinen eigenen Sitzungsschlüssel lokalisieren, möglicherweise basierend auf einer erzeugten Empfänger-Info-Zusammenfassung der Empfänger, die an die Nachricht angehängt werden kann, und den Sitzungsschlüssel unter Verwendung seines privaten Schlüssels entschlüsseln. Sobald der Sitzungsschlüssel entschlüsselt ist, wird er verwendet, um den Textteil der Nachricht zu entschlüsseln. Der S/MIME-Empfänger-Info-Anhang kann auch das bestimmte Verschlüsselungsschema spezifizieren, das verwendet werden muss, um die Nachricht zu entschlüsseln. Diese Information wird normalerweise in dem Header der S/MIME-Nachricht platziert.
Für Fachleute dürfte offensichtlich sein, dass sich diese Operationen auf ein Anschauungsbeispiel von S/MIME-Messaging und dessen zugehörige Codierungsoperationen beziehen, d.h. Verschlüsselung und/oder Signierung. Jedoch ist die vorliegende Erfindung in keinster Weise darauf beschränkt. Verschlüsselung und Signierung sind nur zwei Beispiele des Typs von Codierungsoperationen, auf welche die hier beschriebenen Systeme und Verfahren angewendet werden können.
Unter Bezugnahme nun auf 3 wird eine codierte Nachrichtenübertragung detaillierter beschrieben. 3 zeigt ein Beispielsystem zur Übertragung von Nachrichten, die durch Verschlüsselung und möglicherweise Signierung unter Verwendung von S/MIME- oder ähnlicher Techniken codiert wurden.
In 3 erstellt ein Benutzer X an System 10 eine Mail-Nachricht 15 und entscheidet, die Nachricht zu verschlüsseln und zu signieren. Um dies zu erreichen erzeugt das System 10 zuerst einen Sitzungsschlüssel und verschlüsselt die Nachricht. Dann wird der öffentliche Schlüssel für jeden Empfänger entweder aus dem lokalen Speicher oder einem „öffentlicher Schlüssel"-Server (PSK) (nicht gezeigt) zum Beispiel in dem Internet 20 abgerufen, wenn eine „öffentlicher Schlüssel"-Kryptographie verwendet wird. Andere Kryptographieschemen können stattdessen verwendet werden, obwohl eine „öffentlicher Schlüssel"-Kryptographie gewöhnlich verwendet wird, insbesondere wenn ein System eine große Anzahl von möglichen Korrespondenten umfasst. In einem wie in 3 gezeigten System kann es Millionen von E-Mail-Systemen wie 10 geben, die ab und zu Nachrichten mit anderen E-Mail-Systemen austauschen möchten. Die „öffentlicher Schlüssel"-Kryptographie sieht eine effiziente Schlüsselverteilung unter einer derart großen Anzahl von Korrespondenten vor. Für jeden Empfänger wird der Sitzungsschlüssel verschlüsselt, wie bei A, B und C für drei beabsichtigte Empfänger gezeigt wird, und an die Nachricht angehängt vorzugsweise zusammen mit dem Empfänger-Info-Abschnitt. Sobald die Verschlüsselung abgeschlossen ist, wird eine Zusammenfassung der neuen Nachricht erzeugt, einschließlich der verschlüsselten Sitzungsschlüssel, und diese Zusammenfassung wird unter Verwendung des privaten Schlüssels des Senders signiert. In dem Fall, in dem die Nachricht zuerst signiert wird, wird eine Zusammenfassung der Nachricht ohne die verschlüsselten Sitzungsschlüssel erzeugt. Diese Zusammenfassung, zusammen mit allen signierten Komponenten, wird unter Verwendung eines Sitzungsschlüssels verschlüsselt und jeder Sitzungsschlüssel wird weiter unter Verwendung des öffentlichen Schlüssels jedes Empfängers, wenn eine „öffentlicher Schlüssel"-Kryptographie verwendet wird, oder eines anderen zu jedem Empfänger gehörenden Schlüssels verschlüsselt, wenn der Sender E-Mail mit einem oder mehreren Empfänger(n) durch eine wechselseitige Kryptographie-Anordnung sicher austauschen kann.
Diese verschlüsselte und signierte Nachricht 200 mit den Sitzungsschlüsseln 205 und der Cert-Information 305 wird an den Nachrichtenserver 40 gesendet, der auf einem Computersystem läuft. Wie oben beschrieben kann der Nachrichtenserver 40 die Nachricht verarbeiten und in die Mailbox des dazugehörigen Benutzers platzieren. Abhängig von dem E-Mail-Zugriffsschema der mobilen Vorrichtung kann die mobile Vorrichtung 100 die E-Mail von dem Nachrichtenserver 40 anfordern oder die Umleitungssoftware 45 (siehe 2) kann die neue Nachricht erfassen und den Umleitungsvorgang beginnen, um die neue E-Mail-Nachricht an jeden Empfänger weiterzuleiten, der eine mobile Vorrichtung 100 hat. Alternativ können die E-Mail-Nachricht und -Anhänge möglicherweise direkt an eine mobile Vorrichtung 100 gesendet werden, statt oder zusätzlich zu dem Senden an ein Nachrichtenserversystem. Jeder der oben beschriebenen Übertragungsmechanismen, einschließlich über das Internet 20 durch ein drahtloses Gateway und eine Infrastruktur 85/90 und ein oder mehrere drahtlose(s) Netzwerke) 110 oder über das Internet 20 und das drahtlose Netzwerk 110 unter Verwendung eines drahtlosen VPN-Routers 75 (in 2, nicht gezeigt in 3), kann verwendet werden, um die E-Mail-Nachricht und -Anhänge an eine Vorrichtung 100 weiterzuleiten. Andere Übertragungsmechanismen, die momentan bekannt sind oder in Zukunft verfügbar sein werden, können ebenfalls verwendet werden, um die Nachricht und Anhänge an eine mobile Vorrichtung 100 zu senden.
3 zeigt den Empfang der gesamten Nachricht an jeder mobilen Vorrichtung 100. Bevor die Nachricht an die mobile Vorrichtung 100 gesendet wird, können die Signatur- oder Verschlüsselungsabschnitte der Nachricht stattdessen neu organisiert werden und nur die notwendigen Teile an jede mobile Vorrichtung 100 gesendet werden, wie detailliert in den U.S.-Patentanmeldungen S/N 60/297,681, angemeldet am 12. Juni 2001, und S/N 60/365,535, angemeldet am 20. März 2002 von der Anmelderin der vorliegenden Erfindung und durch Bezugnahme hier in ihrer Gesamtheit aufgenommen, beschrieben wird. Diese früheren Anmeldungen offenbaren mehrere Schemen zum Umordnen sicherer Nachrichten und Begrenzen der Menge an Information, die an eine mobile Vorrichtung gesendet wird. Zum Beispiel bestimmt gemäß einem Schema, das in den obigen Anmeldungen beschrieben wird, das Nachrichtenserversystem den geeigneten Sitzungsschlüssel für jede mobile Vorrichtung und sendet nur diesen verschlüsselten Sitzungsschlüssel mit der Nachricht an die mobile Vorrichtung. Die obigen Anmeldungen offenbaren auch Techniken zum Begrenzen von Signatur-bezogener Information, die mit einer verschlüsselten und signierten Nachricht an eine mobile Vorrichtung gesendet werden muss, wenn das Nachrichtenserversystem die digitale Signatur verifiziert und das Ergebnis der Verifizierung der digitalen Signatur an die mobile Vorrichtung sendet. Folglich, obwohl 3 vollständige bzw. ganze Nachrichten mit allen verschlüsselten Sitzungsschlüsseln und Signatur-bezogenen Anhängen an jeder mobilen Vorrichtung 100 zeigt, erfordern die vorliegenden Verarbeitungstechniken für verschlüsselte Nachrichten nicht, dass vollständige Nachrichten an die mobile Vorrichtung 100 weitergeleitet werden. Verschlüsselte Sitzungsschlüssel für andere Empfänger und Signaturinformation zum Beispiel kann an jeder mobilen Vorrichtung 100 empfangen werden, muss aber nicht unbedingt.
Wenn die Nachricht nicht signiert ist, derart, dass die Signatur von X und andere Signatur-bezogene Information, einschließlich die CRLs von X, das Cert und andere Zertifikatsketten von X, kein Teil der Nachricht sind, oder die Nachricht signiert wurde, bevor sie verschlüsselt wurde, dann wird, wenn ein Benutzer einer mobilen Vorrichtung 100 die Nachricht öffnet, der zugehörige verschlüsselte Sitzungsschlüssel gefunden und entschlüsselt. Wenn jedoch die Nachricht signiert wurde, nachdem sie verschlüsselt wurde, dann wird vorzugsweise die Signatur zuerst verifiziert und der korrekte Sitzungsschlüssel wird dann gefunden und entschlüsselt. Wie für Fachleute angemerkt werden soll, umfasst eine Sitzungsschlüssel-Entschlüsselung im Allgemeinen die weitere Sicherheitsoperation der Eingabe eines Passworts oder einer Passphrase, die vorzugsweise nur dem Benutzer einer mobilen Vorrichtung 100 bekannt ist.
Wie oben beschrieben, muss, bevor eine codierte Nachricht dem Benutzer angezeigt werden kann, sie zuerst decodiert werden (möglicherweise einschließlich einer Entschlüsselung der Nachricht), und die Decodierungsschritte können lange dauern, bis sie abgeschlossen sind. Gemäß einer neuen Verarbeitungstechnik werden Decodierungsschritte, die ohne eine Aktion oder eine Eingabe von einem Be nutzer durchgeführt werden können, durchgeführt, bevor der Benutzer über den Empfang der Nachricht informiert wird. Die resultierende teilweise oder möglicherweise vollständig decodierte Nachricht kann dann als ein Kontextobjekt in einem Speicher gespeichert werden. Bei Abschluss dieser Decodierungsschritte wird der Benutzer informiert, dass die Nachricht empfangen wurde. Das gespeicherte Kontextobjekt kann dann abgerufen werden und wenn erforderlich weiter decodiert werden, wenn die decodierte Nachricht zur Anzeige oder für eine weitere Verarbeitung erforderlich ist.
Zum Beispiel betrachte man eine Nachricht, die codiert wird, indem sie signiert, aber nicht verschlüsselt wird. Die Inhalte der Nachricht sind in diesem Fall nicht geheim, aber sie wurden trotzdem auf eine Weise codiert. Da eine Signaturverifizierung oft keine Eingabe eines geheimen Passworts oder Passcodes durch einen Benutzer erfordert, kann die Nachricht decodiert werden und die Signatur auf der Nachricht kann verifiziert werden, bevor der Benutzer merkt, dass eine Nachricht angekommen ist. Das resultierende Kontextobjekt, in diesem Beispiel die vollständige decodierte Nachricht, wird dann vorzugsweise in einem Speicherbereich, wie in einem Arbeitsspeicher (RAM), auf einer mobilen Vorrichtung 100 gespeichert. Wenn die Signaturverifizierung abgeschlossen ist, wird der Benutzer benachrichtigt, dass eine neue Nachricht angekommen ist, zum Beispiel durch Anzeige eines Symbols auf einem Anzeigebildschirm der mobilen Vorrichtung oder durch Erzeugen einer anderen Anzeige für eine neue Nachricht. Wenn der Benutzer die empfangene Nachricht anzuzeigen wünscht, wird die gespeicherte decodierte Nachricht einfach aus dem Speicher abgerufen, ohne dass eine weitere Decodierung erforderlich ist. Es ist zu beachten, dass es wichtig sein kann, die ursprüngliche codierte Nachricht zu behalten, so dass eine Signaturverifizierung nochmals unter Verwendung der ursprünglichen Codierung durchgeführt werden kann, wenn erforderlich.
Als ein weiteres Beispiel wird eine codierte Nachricht betrachtet, die verschlüsselt und dann signiert wird. In diesem Fall kann die Signatur decodiert und möglicherweise automatisch ohne eine Aktion oder Eingabe von dem Benutzer verifiziert werden. Eine Entschlüsselung erfordert jedoch normalerweise, dass ein Benutzer ein Passwort oder einen Passcode eingibt. Folglich wird in diesem Beispiel die Signatur decodiert und möglicherweise verifiziert, wenn die Nachricht empfangen wird, das resultierende Kontextobjekt wird in einem Speicher gespeichert und der Benutzer wird benachrichtigt, dass eine neue Nachricht empfangen wurde. Wenn der Benutzer die neue Nachricht anzuzeigen wünscht, wird das Kontextobjekt aus dem Speicher abgerufen. Da die Decodierung und Verifikation der Signatur für das Kontextobjekt bereits abgeschlossen ist, muss nur die Entschlüsselungsoperation durchgeführt werden, bevor die neue Nachricht angezeigt wird. Die wahrnehmbare Zeitverzögerung, die zur Anzeige oder Verarbeitung einer neuen codierten Nachricht gehört, kann dadurch signifikant reduziert werden. Obwohl sowohl die Signaturverifizierung als auch die Entschlüsselungsoperationen durchgeführt werden, wird die Signaturverifizierung vorzugsweise im Hintergrund durchgeführt, bevor der Benutzer merkt, dass die Nachricht empfangen wurde, und wird somit von dem Benutzer nicht als eine Decodierungsverzögerung wahrgenommen.
Als ein letztes Beispiel wird eine codierte Nachricht betrachtet, die signiert und dann verschlüsselt wird. In diesem Fall können die verschlüsselten Daten nicht entschlüsselt werden, ohne den Benutzer nach einem Passwort oder einen Passcode zu fragen. Jedoch kann viel der vorausgehenden Arbeit durchgeführt werden, die zur Decodierung und Entschlüsselung der Nachricht gehört, einschließlich zum Beispiel Decodierungsoperationen, die zur Übertragungscodierung und dem Abrufen von erforderlichen Entschlüsselungsschlüsseln gehört. Das Kontextobjekt, das soweit wie möglich aus dieser vorausgehenden Arbeit resultiert, wird in einem Speicher gespeichert und der Benutzer wird benachrichtigt, dass die neue Nachricht empfangen wurde. Wenn der Benutzer die neue Nachricht anzuzeigen wünscht, wird das Kontextobjekt aus dem Speicher abgerufen. Da die vorausgehende Entschlüsselungsarbeit bereits durchgeführt wurde, müssen nur der verbleibende Teil der Entschlüsselungsarbeit und die Signaturdecodierung und -verifizierung noch durchgeführt werden. Die wahrnehmbare Zeitverzögerung, die zur Anzeige oder Verarbeitung einer neuen codierten Nachricht gehört, kann dadurch signifikant reduziert werden. Obwohl sowohl die Entschlüsselungs- als auch die Signaturverifizierungsoperationen durchgeführt werden, wird ein Großteil der Entschlüsselung vorzugsweise im Hintergrund durchgeführt, bevor der Benutzer merkt, dass die Nachricht empfangen wurde, und wird somit von dem Benutzer nicht als eine Decodierungsverzögerung wahrgenommen.
Somit wird gemäß diesem Aspekt der vorliegenden Erfindung die Decodierung einer codierten Nachricht in mehrere Stufen unterteilt. Die erste Stufe wird im Hintergrund durchgeführt, bevor ein Benutzer informiert wird, dass eine Nachricht empfangen wurde. Alle Operationen, die ohne eine Eingabe oder andere Aktion durch einen Benutzer durchgeführt werden können, sind vorzugsweise Teil der ersten Verarbeitungsstufe. Nachdem die erste Verarbeitungsstufe abgeschlossen ist, wird ein Kontextobjekt, das aus der ersten Stufe der Verarbeitung resultiert, in einem Speicher gespeichert und der Benutzer wird über den Empfang einer neuen Nachricht informiert. Wenn der Benutzer auf die neue Nachricht zur Anzeige oder für eine weitere Verarbeitung zugreift, wird die zweite Stufe der Verarbeitung aufgerufen. Die zweite Stufe umfasst alle Decodierungsoperationen, die erforderlich sind, um die Decodierung der neuen Nachricht abzuschließen. Statt die gesamte Decodierung durchzuführen, wenn auf eine neue Nachricht zugegriffen wird, wie in bekannten Messaging(Nachrichtenübertragungs-)-Schemen, ruft die zweite Verarbeitungsstufe gemäß diesem Aspekt der Erfindung das gespeicherte Kontextobjekt ab und führt weitere erforderliche Decodierungsoperationen durch. Der Benutzer ist sich dabei der Operationen der ersten Stufe oder der zugehörigen Zeitverzögerungen nicht bewusst.
Es ist für Fachleute offensichtlich, dass es vorzugsweise keine feste Abgrenzung zwischen den ersten und zweiten Verarbeitungsstufen gibt. Wenn eine neue codierte Nachricht empfangen wird, fährt der Empfänger soweit wie möglich mit den Decodierungsoperationen fort, bevor der Benutzer benachrichtigt wird, dass die Nachricht empfangen wurde. In dem obigen ersten Beispiel wird die Signatur während der ersten Stufe verifiziert und schlisset die Decodierung der empfangenen Nachricht ab. Andere Operationen der ersten Stufe können zum Beispiel eine Verarbeitung der Base-64-Codierung oder MIME-Codierung umfassen, die normalerweise keine Benutzereingabe erfordern. In dem zweiten Beispiel wird eine Signaturverifizierung während der ersten Stufe durchgeführt und das resultierende Kontextobjekt wird gespeichert zur Verwendung in der zweiten Stufe, die eine Entschlüsselung des Nachrichteninhalts umfasst. In dem dritten Beispiel wird soviel wie möglich der vorausgehenden Prozesse, die an der Entschlüsselung beteiligt sind, während der ersten Stufe durchgeführt und das resultierende Kontextobjekt wird gespeichert zur Verwendung in der zweiten Stufe, die den Rest der Entschlüsselung und Signaturverifizierung umfasst.
In einigen Ausführungsbeispielen kann zum Beispiel bevorzugt werden, dass Kontextobjekte nicht für längere Zeit in dem RAM gespeichert werden, wenn Signaturen jedes Mal verifiziert werden müssen, wenn eine neue CRL auf eine mobile Vorrichtung geladen wird. Somit kann als mögliche Option ein Kontextobjekt für eine Nachricht nur für eine kurze Zeit gespeichert werden, nach der sie automatisch aus dem RAM entfernt wird. Die Länge dieser kurzen Zeitdauer kann zum Beispiel von dem Benutzer oder von einem Systemadministrator konfiguriert werden; einige dieser Konfigurationen werden im Folgenden beschrieben.
3a zeigt ein allgemeines codiertes Nachrichtenformat und ist nützlich bei der Darstellung des Konzepts einer temporären Nachrichtenspeicherung. Die codierte Nachricht 350 umfasst einen Header-Abschnitt 352, einen codierten Textteil 354, einen codierten Nachrichtenanhang oder mehrere codierte Nachrichtenanhänge 356, einen oder mehrere verschlüsselte Sitzungsschlüssel 358 und eine Signatur und eine Signatur-bezogene Information 360, wie CRLs und Certs. Obwohl das in 3 gezeigte Nachrichtenformat eine signierte und verschlüsselte Nachricht betrifft, umfassen codierte Nachrichten verschlüsselte Nachrichten, signierte Nachrichten, verschlüsselte und signierte Nachrichten oder sonst wie codierte Nachrichten.
Für Fachleute sei angemerkt, dass der Header-Abschnitt 352 typischerweise eine Adressierungsinformation, wie „an"-, „von"- und „Kopie (CC)"-Adressen, sowie möglicherweise Nachrichtenlängenanzeigen, Senderverschlüsselungs- und Signaturschema-Identifizierer, wenn erforderlich, und Ähnliches aufweist. Der tatsächliche Nachrichteninhalt umfasst normalerweise einen Nachrichtentext oder -datenteil 354 und möglicherweise einen Dateianhang oder mehrere Dateianhänge 356, die von dem Sender unter Verwendung eines Sitzungschlüssels verschlüsselt werden können. Wenn ein Sitzungsschlüssel verwendet wird, wird er typischerweise für jeden vorgesehenen Empfänger verschlüsselt und in der Nachricht, wie bei 358 gezeigt, aufgenommen. Abhängig von dem bestimmten Nachrichtenübertragungsmechanismus, der verwendet wird, um die Nachricht an einen Empfänger, wie die mobile Vorrichtung 100 (1–3), zu senden, kann die Nachricht nur den spezifischen verschlüsselten Sitzungsschlüssel für diesen Empfänger oder alle Sitzungsschlüssel umfassen. Wenn die Nachricht signiert ist, wird eine Signatur und Signatur-bezogene Information 360 aufgenommen. Wenn die Nachricht vor der Verschlüsselung signiert wird, zum Beispiel gemäß einer Variante von S/MIME, wird auch die Signatur verschlüsselt.
Wie im Folgenden detaillierter beschrieben wird und gemäß einem Aspekt der Erfindung decodiert, wenn die codierte Nachricht entschlüsselt wird, ein Empfänger den Nachrichtentext in einer ersten Stufe der Verarbeitung, bevor ein Benutzer benachrichtigt wird, dass die Nachricht empfangen wurde, und speichert das resultierende Kontextobjekt, in diesem Fall den decodierten Nachrichteninhalt, so dass es später betrachtet und/oder verarbeitet werden kann, ohne die Decodierungsoperationen der ersten Stufe zu wiederholen. Wie aus dem Obigen offensichtlich ist, ist es möglich, dass alle erforderlichen Decodierungsoperationen derart in der ersten Stufe durchgeführt werden können, dass, wenn auf die codierte Nachricht zugegriffen werden soll, das Kontextobjekt aus dem Speicher abgerufen wird. Wenn die Nachricht verschlüsselt ist, werden die Decodierungsoperationen, die keine Benutzereingabe erfordern, in einer ersten Verarbeitungsstufe durchgeführt, ein resultierendes Kontextobjekt wird in dem Speicher gespeichert und der Benutzer wird benachrichtigt, dass die Nachricht empfangen wurde. In diesem Anschauungsbeispiel wird angenommen, dass ein Benutzer ein Passwort oder eine Passphrase eingegeben muss, bevor eine verschlüsselte Nachricht entschlüsselt werden kann. Wenn auf die Nachricht zugegriffen wird, beginnt die zweite Verarbeitungsstufe und der Benutzer wird nach einem Passwort oder einer Passphrase gefragt. Das gespeicherte Kontextobjekt wird abgerufen und ein geeigneter Schlüssel wird verwendet, um einen verschlüsselten Inhalt in dem Kontextobjekt zu entschlüsseln. Wenn Sitzungsschlüssel verwendet werden, lokalisiert und entschlüsselt der Empfänger einen entsprechenden verschlüsselten Sitzungsschlüssel, verwendet den entschlüsselten Sitzungsschlüssel, um einen verschlüsselten Inhalt einer Nachricht und/oder eines Anhangs zu entschlüsseln, und decodiert dann, wenn notwendig, zum Beispiel den Nachrichtentext, wenn der Nachrichtentext Base-64-codiert wurde.
Das in 3a gezeigte Format ist nur für erläuternde Zwecke und es versteht sich, dass die vorliegende Erfindung auf codierte Nachrichten mit anderen Formaten anwendbar ist. Zum Beispiel sind, wie oben beschrieben, die hier beschriebenen Verarbeitungssysteme und -techniken auf signierte oder nicht signierte, verschlüsselte oder nicht verschlüsselte und anderweitig codierte Nachrichten derart anwendbar, dass eine empfangene Nachricht nicht unbedingt die Abschnitte umfassen muss, welche eine Verschlüsselung und/oder Signierung betreffen. Zusätzlich können die bestimmten Nachrichtenkomponenten in einer anderen Reihenfol ge erscheinen, als in 3a gezeigt wird. Abhängig von dem verwendeten Nachrichtenschema kann eine Nachricht weniger, zusätzliche oder unterschiedliche Nachrichtenabschnitte oder -komponenten umfassen.
Der temporäre Speicherbereich, in dem die Kontextobjekte gespeichert werden, befindet sich vorzugsweise in einem flüchtigen und nicht-bleibenden Speicher. Ein Kontextobjekt kann zum Beispiel nur für eine bestimmte Zeitdauer gespeichert werden, die vorzugsweise von einem Benutzer festgesetzt wird. Eine einzelne Speicherzeitdauer für Kontextobjekte kann für alle Nachrichten gesetzt und auf alle Nachrichten angewendet werden, obwohl spezifischere Einstellungen ebenso in Betracht gezogen werden. Nachrichten, die normalerweise von bestimmten Sendern ankommen oder von Sendern, deren E-Mail-Adressen zum Beispiel denselben Domänenamen haben, können eine spezifische relativ kurze Kontextobjektnachrichtenspeicherzeitdauer aufweisen, wohingegen Kontextobjekte von codierten E-Mails, die von anderen Sendern empfangen wurden, möglicherweise persönliche Kontakte, für eine längere Zeitdauer gespeichert werden können. Alternativ kann ein Benutzer jedes Mal nach einer Speicherzeitdauer gefragt werden, wenn eine Nachricht geöffnet oder geschlossen wird.
Ein bestimmtes die Kontextobjektspeicherung steuerndes Kriterium wird vorzugsweise gemäß dem gewünschten Sicherheitsgrad von codierten Nachrichten an einer mobilen Vorrichtung bestimmt. Eine Speicherung der Kontextobjekte stellt einen Kompromiss zwischen Bedienbarkeit und Sicherheit dar. Längere Speicherintervalle verbessern die Eignung auf Kosten einer verringerten Sicherheit, da das Kontextobjekt einer codierten Nachricht möglicherweise beibehalten werden kann, nachdem das Cert des Senders widerrufen wurde, zum Beispiel, wenn eine Signaturverifizierung während einer ersten Verarbeitungsstufe durchgeführt wurde, als die Nachricht zuerst empfangen wurde. Wenn eine Entschlüsselung ebenfalls während der ersten Verarbeitungsstufe durchgeführt wird, dann stellt ein längeres Kontextobjektspeicherintervall ein weiteres Sicherheitsrisiko dar, da ein entschlüsselter Inhalt möglicherweise für einen nicht autorisierten Benutzer länger verfügbar ist. Ein kürzeres Nachrichtenspeicherintervall reduziert die Zeit, während der auf Kontextobjekte zugegriffen werden kann. Wenn jedoch ihr entsprechendes Kontextobjekt aus dem Speicher entfernt wird, müssen die erste und die zweite Verarbeitungsstufenoperation wiederholt werden, wenn auf eine codierte Nachricht zugegriffen wird. Andere Speicherverwaltungstechniken, wie ein „zuletzt verwendet (LRU – least recently used)"- Ersatzschema oder ein Überschreiben des ältesten Kontextobjekts, können ebenfalls verwendet werden, so dass eine Kontextobjektspeicherung abhängig ist von Speicherressourcen statt von Zeitintervalleinstellungen.
4 ist ein Ablaufdiagramm, das die erste Stufe eines Verfahrens zur Verarbeitung codierter Nachrichten darstellt. Schritt 402 zeigt den Empfang einer neuen Nachricht an. Wenn die empfangene Nachricht von dem Sender signiert wurde, wie in Schritt 404 festgestellt wird, dann versucht die mobile Vorrichtung, die Signatur zu verifizieren. Die Signaturverifizierung ist eine Funktion, die typischerweise als Teil der ersten Verarbeitungsstufe durchgeführt werden kann, obwohl für Fachleute angemerkt werden soll, dass dies nicht immer der Fall ist. Gemäß einer Variation von S/MIME zum Beispiel kann ein Nachricht vor einer Verschlüsselung signiert werden, so dass eine Nachricht zuerst entschlüsselt werden muss, bevor eine Signaturverifizierung durchgeführt werden kann. In dem beispielhaften Ablaufdiagramm von 4 wird jedoch eine Signaturverifizierung als ein Vorgang der ersten Stufe gezeigt.
Wenn die Signatur in Schritt 406 richtig verifiziert wurde durch Feststellen einer Übereinstimmung zwischen Zusammenfassungen (digests), wie zum Beispiel oben beschrieben, geht die Verarbeitung zu Schritt 410 weiter. Ansonsten wird dem Benutzer in Schritt 408 angezeigt, dass die Signaturverifizierung nicht erfolgreich war. Abhängig von dem bestimmten implementierten Signaturschema oder möglicherweise als Antwort auf eine Benutzerauswahl zur Beendigung der Verarbeitung kann eine Nachricht nicht weiter verarbeitet werden, wenn die Signatur nicht verifiziert werden kann, und die Verarbeitung endet bei Schritt 418. Unter bestimmten Umständen kann der Benutzer jedoch wünschen, weiterhin die Nachricht zu sehen oder anderweitig zu verarbeiten, obwohl die Zusammenfassungen nicht übereinstimmen und folglich der Nachrichteninhalt verändert worden sein kann, nachdem der Sender die Nachricht signierte.
Wenn die Nachricht nicht signiert wurde (oder eine Signaturverifizierung kann nicht ohne eine Benutzereingabe zur Entschlüsselung der Nachricht zum Beispiel durchgeführt werden), die Signatur verifiziert wurde oder eine Verarbeitung nach einem misslungenen Signaturverifizierungsversuch weitergehen soll, bestimmt die mobile Vorrichtung in Schritt 410, ob eine weitere Decodierung möglich ist ohne Eingabe oder Aktion von dem Benutzer. Wenn die Nachricht verschlüsselt wurde und zum Beispiel ein Passwort oder eine Passphrase zur Entschlüsselung erfordert, dann ist möglich, dass keine weitere Verarbeitung der empfangenen Nachricht in der ersten Stufe durchgeführt werden kann oder dass nur ein Teil des Entschlüsselungsschritt in der ersten Stufe durchgeführt werden kann. Das Kontextobjekt, das aus der ersten Stufe der Verarbeitung resultiert, wird dann in Schritt 414 in einem Speicher gespeichert, der Benutzer wird in Schritt 416 informiert, dass eine neue Nachricht empfangen wurde, und die Verarbeitung der ersten Stufe endet bei Schritt 418. Wenn jedoch eine weitere Decodierung ohne eine Benutzereingabe möglich ist, wenn die Nachricht nicht verschlüsselt wurde, sondern zum Beispiel ihr Inhalt Base-64-codiert ist, dann werden weitere Decodierungsoperationen in Schritt 412 durchgeführt und das resultierende Kontextobjekt wird in Schritt 414 in einem Speicher gespeichert. Eine Verarbeitung der ersten Stufe wird abgeschlossen, wenn der Benutzer von dem Empfang der Nachricht in Schritt 416 benachrichtigt wird, und die Verarbeitung endet bei Schritt 418.
Obwohl 4 ein neues Konzept zum temporären Speichern einer decodierten Nachricht zeigt, wird ein Vorteil einer derartigen Speicherung von decodierten Nachrichten aus der folgenden Beschreibung von 5 offensichtlich. 5 ist ein Ablaufdiagramm einer zweiten Stufe eines Nachrichtenverarbeitungsverfahrens für codierte Nachrichten.
In Schritt 502 wird von einem Benutzer auf eine codierte Nachricht zugegriffen. Gemäß einem Aspekt der Erfindung wird in Schritt 504 bestimmt, ob ein Kontextobjekt, das aus einem ersten Verarbeitungsschritt resultiert, in dem Speicher verfügbar ist. Wenn dem so ist, wird das Kontextobjekt in Schritt 505 aus dem Speicher abgerufen. Ansonsten, wenn ein Kontextobjekt zum Beispiel überschrieben oder aus dem Speicher gelöscht wurde, wird in Schritt 506 die erste Verarbeitungsstufe wiederholt. In einigen Umständen kann, auch wenn ein Kontextobjekt in dem Speicher verfügbar ist, ein Benutzer oder eine Software auf der mobilen Vorrichtung vorzugsweise auf einer Wiederholung einiger oder aller Verarbeitungsoperationen der ersten Stufe bestehen. Dies kann zum Beispiel nützlich sein, wenn eine Signaturverifizierung eine Operation der ersten Stufe ist und eine neue CRL auf die mobile Vorrichtung geladen wurde, seit die erste Verarbeitungsstufe für die Nachricht durchgeführt wurde. Alternativ kann das Auftreten eines Ereignisses oder eine Benutzeraktion die Verarbeitungsoperationen der ersten Stufe für eine oder alle Nachricht(en) aufrufen, für die ein Kontextobjekt momentan existiert, wodurch solche erzwungenen Operationen der ersten Stufe vermieden werden, wenn auf eine Nachricht zugegriffen wird.
Nachdem das Kontextobjekt abgerufen wurde oder die Operationen der ersten Stufe wiederholt wurden, wird in Schritt 508 bestimmt, ob eine weitere Decodierung erforderlich ist. Wenn alle erforderlichen Decodierungsschritte als Teil der ersten Stufe durchgeführt wurden, dann wird die verarbeitete Nachricht oder das entsprechende Kontextobjekt aus dem Speicher abgerufen, in Schritt 514 angezeigt oder verarbeitet und die zweite Verarbeitungsstufe endet in Schritt 516. Diese Situation kann zum Beispiel auftreten, wenn eine empfangene Nachricht nicht entschlüsselt ist und alle Decodierungsoperationen können durchgeführt werden ohne eine Eingabe oder eine andere Aktion von dem Benutzer. Wenn jedoch festgestellt wird, dass eine weitere Decodierung erforderlich ist, kann der Benutzer nach einer erforderlichen Information, wie ein Passwort oder eine Passphrase, gefragt werden (510) und die weiteren Decodierungsoperationen werden durchgeführt (512). Die resultierende decodierte Nachricht wird dann in Schritt 514 angezeigt oder verarbeitet und die zweite Verarbeitungsstufe endet bei 516.
Wenn ein Kontextobjekt in dem Speicher verfügbar ist, kann eine erste Verarbeitungsstufe und die zugehörige Verarbeitungszeit vermieden werden. Verarbeitungsoperationen der ersten Stufe werden im Hintergrund durchgeführt, bevor der Benutzer benachrichtigt wird, dass eine Nachricht empfangen wurde, derart, dass diese Verarbeitung und die inhärente Verarbeitungszeit von dem Benutzer nicht wahrzunehmen sind.
Obwohl die erste Verarbeitungsstufe in 5 als ein eigener Schritt 506 gezeigt wird, der durchgeführt wird, bevor die weitere Decodierungsbestimmung in Schritt 508 gemacht wird, müssen die ersten Operationsstufen nicht notwendigerweise getrennt durchgeführt werden, wenn sie wiederholt werden. Wie oben beschrieben, gibt es vorzugsweise keine feste Abgrenzung zwischen den ersten und zweiten Verarbeitungsstufen. Die erste Stufe endet vorzugsweise, wenn alle Decodierungsoperationen abgeschlossen sind, die ohne eine Benutzereingabe durchgeführt werden können. Die zweite Stufe führt dann alle verbleibenden Decodierungsoperationen durch und „beginnt" tatsächlich dort, wo die erste Stufe endet. Deswegen wird der getrennte Schritt 506 in 5 primär für veranschaulichende Zwecke getrennt dargestellt. Wenn kein Kontextobjekt existiert oder Operationen der ersten Stufe wiederholt werden müssen, umfasst die zweite Verarbeitungsstufe typischerweise alle Verarbeitungsoperationen, einschließlich aller erster Verarbeitungsstufen.
Es ist auch möglich, dass die Abgrenzung zwischen den ersten und zweiten Verarbeitungsstufen nur bis zu einem bestimmten Punkt variabel ist. Zum Beispiel können bestimmte spezifische Operationen als Operationen der zweiten Stufe bestimmt werden, so dass die spezifischen Operationen und alle nachfolgenden Operationen, die abhängig sind von dem Resultat einer der spezifischen Operationen, immer in der zweiten Verarbeitungsstufe durchgeführt werden. In derartigen Ausführungsbeispielen kann eine erste Verarbeitungsstufe noch immer so weit wie möglich fortschreiten, aber nur bis zu einem Punkt, an dem bestimmte Operationen der zweiten Stufe durchgeführt werden müssen. Wenn eine Benutzereingabe nicht notwendigerweise der begrenzende Faktor bei der Bestimmung ist, wann die erste Verarbeitungsstufe endet, wie in diesem Beispiel, muss der Schritt 510 in 5 nicht erforderlich sein, damit die zweite Verarbeitungsstufe beginnt.
Für Fachleute sollte auch angemerkt werden, dass ein Verarbeitungsverfahren für codierte Nachrichten nicht notwendigerweise alle der in 4 und 5 gezeigten Schritte umfassen muss oder weitere Schritte und Operationen zusätzlich zu diesen umfassen kann, abhängig von den Typen einer Codierung, die von einem Nachrichtensender beispielsweise angewendet werden. Andere Variationen der oben beschriebenen Verfahren sind für Fachleute offensichtlich und werden als solche in dem Umfang der Erfindung liegend angesehen.
Nach der detaillierten Beschreibung mehrerer bevorzugter Ausführungsbeispiele der vorliegenden Erfindung, einschließlich der bevorzugten Betriebsverfahren, versteht es sich, dass diese Operation mit anderen Elementen und Schritten ausgeführt werden kann. Die obigen bevorzugten Ausführungsbeispiele werden nur auf beispielhafte Weise dargestellt und sollen den Umfang der hier beschriebenen Erfindung nicht einschränken.
Zum Beispiel können, obwohl sie primär in dem Kontext einer mobilen Kommunikationsvorrichtung beschrieben werden, die oben beschriebenen Verarbeitungssysteme und -verfahren für codierte Nachrichten eine Prozessorlast und Zeitverzögerungen reduzieren, die zu einem Betrachten oder anderweitigen Zugreifen auf codierte Nachrichten gehört, für die Decodierungsoperationen der ersten Stufe durchgeführt wurden. Operationen zur Decodierung von Nachrichten neigen dazu, sehr viel geringere Zeitverzögerungen auf Desktop-Computersystemen nach sich zu ziehen, die typischerweise schnellere und sehr viel leistungsstärkere Prozessoren haben als kleinere in der Hand gehaltene und tragbare Vorrichtungen. Der zu derartigen Prozessor-intensiven Decodierungsoperationen gehörende Stromverbrauch ist in Desktop- oder anderen größeren Computersystemen mit nahezu unbegrenzten Stromquellen weniger ein Problem. Jedoch können die oben beschriebenen Systeme und Verfahren trotzdem in derartigen Systemen implementiert werden.
Als weitere Beispiele des weiten Umfangs der hier beschriebenen Systeme und Verfahren zeigen die 6 und 7 weitere Situationen, in denen codierte Nachrichten von einer mobilen Vorrichtung gehandhabt werden. 6 zeigt ein Beispiel, in dem ein drahtloses Verbindungssystem 606 eine Nachricht 604, die an einen oder mehrere Nachrichtenempfänger adressiert ist, von einem Sender 602 überträgt. In diesem Beispiel ist die Nachricht 604 des Senders eine codierte Nachricht.
Das drahtlose Verbindungssystem 606 kann ein Hostsystem 608 bei seiner Übertragung der Nachricht 604 an eine mobile Vorrichtung 614 verwenden. Das drahtlose Verbindungssystem 606 kann eine Authentisierungs- und/oder Verschlüsselungsnachrichtenverarbeitung mit der Nachricht 604 des Senders durchführen oder das drahtlose Verbindungssystem 606 kann des Typs sein, der keine Authentisierungs- und/oder Verschlüsselungsnachrichtenverarbeitung durchführt. Die codierte Nachricht 604 wird dann an die mobile Vorrichtung 614 übertragen.
Die mobile Vorrichtung 614 ruft mehrere Decodierungsstufen (616 und 618) zu unterschiedlichen Zeiten auf, um die codierte Nachricht 604 effizienter zu verarbeiten.
Unter Bezugnahme auf 7 bestimmt die mobile Vorrichtung, ob die codierte Nachricht 604 zumindest teilweise decodiert werden kann. Wenn bestimmt wird, dass die codierte Nachricht 604 nicht teilweise decodiert werden kann, wird eine Anzeige vorgesehen, dass die codierte Nachricht 604 empfangen wurde. Ansonsten wird die codierte Nachricht 604 teilweise decodiert durch eine erste Decodierungsstufe 616. Die teilweise decodierte Nachricht 700 wird in einem Speicher 702 gespeichert. Optional gibt es an diesem Punkt eine Anzeige, dass eine neue Nachricht empfangen wurde. Nach einer Anforderung 704, auf die Nachricht zuzugreifen, wird die teilweise decodierte Nachricht aus dem Speicher 702 abgerufen und weiter decodiert durch die zweite Decodierungsstufe 618. Die decodierte Nachricht 706 wird für eine weitere Verarbeitung zur Verfügung gestellt.
Weitere Beispiele des weiten Umfangs der hier offenbarten Systeme und Verfahren werden in den 8–10 dargestellt. Die 8–10 beschreiben zusätzliche Verwendungen der Systeme und Verfahren in unterschiedlichen beispielhaften Kommunikationssystemen. 8 ist eine Blockdarstellung, die ein beispielhaftes Kommunikationssystem zeigt. In 8 wird gezeigt ein Computersystem 802, ein WAN 804, ein Unternehmens-LAN 806 hinter einer Sicherheits-Firewall 808, eine drahtlose Infrastruktur 810, drahtlose Netzwerke 812 und 814 und mobile Vorrichtungen 816 und 818. Das Unternehmens-LAN 806 umfasst einen Nachrichtenserver 820, ein drahtloses Verbindungssystem 828, einen Datenspeicher 817 mit zumindest einer Vielzahl von Mailboxen 819, ein Desktopcomputersystem 822 mit einer Kommunikationsverbindung direkt zu einer mobilen Vorrichtung, wie durch eine physikalische Verbindung 824 an eine Schnittstelle oder Verbinder 826, und einen drahtlosen VPN-Router 832. Der Betrieb des Systems in 8 wird im Folgenden unter Bezugnahme auf die Nachrichten 833, 834 und 836 beschrieben.
Das Computersystem 802 kann zum Beispiel ein Laptop-, ein Desktop- oder ein Palmtop-Computersystem sein, das zur Verbindung mit dem WAN 804 konfiguriert ist. Ein derartiges Computersystem kann mit dem WAN 804 über einen ISP oder ASP verbunden werden. Alternativ kann das Computersystem 802 ein Netzwerk-verbundenes Computersystem sein, das wie das Computersystem 822 auf das WAN 804 über ein LAN oder anderes Netzwerk zugreift. Viele moderne mobile Vorrichtungen sind fähig für eine Verbindung mit einem WAN über verschiedene Infrastruktur- und Gateway-Anordnungen, so dass das Computersystem 802 auch eine mobile Vorrichtung sein kann.
Das Unternehmens-LAN 806 ist ein darstellendes Beispiel eines zentralen Serverbasierten Messaging-Systems, das für eine drahtlose Kommunikation freigegeben/eingerichtet ist. Das Unternehmens-LAN 806 kann als „Hostsystem" bezeichnet werden, da es sowohl einen Datenspeicher 817 mit Mailboxen 819 für Nachrichten aufweist sowie möglicherweise weitere Datenspeicher (nicht gezeigt) für andere Datenelemente, die an die mobilen Vorrichtungen 816 und 818 gesendet oder davon empfangen werden können, und das drahtlose Verbindungssystem 828, den drahtlosen VPN-Router 832 oder möglicherweise andere Komponenten, die eine Kommunikation zwischen dem Unternehmens-LAN 806 und einer oder mehrerer mobiler Vorrichtung(en) 816 und 818 ermöglichen. Allgemeiner ausgedrückt, kann ein Hostsystem ein oder mehrere Computer sein, an dem oder mit denen ein drahtloses Verbindungssystem arbeitet. Das Unternehmens-LAN 806 ist ein bevorzugtes Ausführungsbeispiel eines Hostsystems, in dem das Hostsystem ein Servercomputer ist, der in einer Netzwerkumgebung eines Unternehmens läuft, die hinter zumindest einer Sicherheits-Firewall 808 arbeitet und durch diese geschützt ist. Andere mögliche zentrale Hostsysteme umfassen ISP, ASP und andere Diensteanbieter- oder Mail-Systeme. Obwohl sich das Desktopcomputersystem 824 und die Schnittstelle/der Verbinder 826 außerhalb eines derartigen Hostsystems befinden können, können drahtlose Kommunikationsoperationen ähnlich sein zu den im Folgenden beschriebenen.
Das Unternehmens-LAN 806 implementiert das drahtlose Verbindungssystem 828 als eine zugehörige, eine drahtlose Kommunikation ermöglichende Komponente, die normalerweise ein Softwareprogramm, eine Softwareanwendung oder eine Softwarekomponente ist, die mit zumindest einem oder mehreren Nachrichtenserver(n) arbeiten. Das drahtlose Verbindungssystem 828 wird verwendet, um von dem Benutzer ausgewählte Information an eine oder mehrere mobile Vorrichtung(en) 816 und 818 über ein oder mehrere drahtlose Netzwerke) 812 und 814 zu senden oder von diesen zu empfangen. Das drahtlose Verbindungssystem 828 kann eine getrennte Komponente eines Messaging-Systems sein, wie in 8 gezeigt, oder kann stattdessen teilweise oder vollständig in andere Kommunikationssystemkomponenten integriert sein. Zum Beispiel kann der Nachrichtenserver 820 ein Softwareprogramm, eine Softwareanwendung oder eine Softwarekomponente integrieren, die das drahtlose Verbindungssystem 828, Teile davon oder einen Teil oder die gesamte Funktionalität davon implementieren.
Der Nachrichtenserver 820, der auf einem Computer hinter der Firewall 808 läuft, wirkt als die Hauptschnittstelle für das Unternehmen zum Austausch von Nachrichten, einschließlich zum Beispiel elektronische Mail, Kalenderdaten, Voice-Mail, elektronische Dokumente und andere PIM-Daten, mit dem WAN 804, das typischerweise das Internet ist. Die bestimmten dazwischenliegenden Operationen und Computer hängen ab von dem spezifischen Typ von Nachrichtenliefermechanismen und -netzwerken, über die Nachrichten ausgetauscht werden, und werden deswegen in 8 nicht gezeigt. Die Funktionalität des Nachrichtenservers 820 kann sich über ein Senden und Empfangen von Nachrichten hinaus erstrecken und solche Merkmale wie dynamische Datenbankspeicherung für Daten vorsehen, wie Kalender, Vorhabenlisten, Aufgabenlisten, E-Mail und Dokumentation, wie oben beschrieben wurde.
Nachrichtenserver, wie 820, führen normalerweise eine Vielzahl von Mailboxen 819 in einem oder mehreren Datenspeicher(n), wie 817, für jeden Benutzer mit einem Account auf dem Server. Der Datenspeicher 817 umfasst Mailboxen 819 für eine Anzahl („n") von Benutzer-Accounts. Von dem Nachrichtenserver 820 empfangene Nachrichten, die einen Benutzer, einen Benutzer-Account, eine Mailbox oder möglicherweise eine andere zu einem Benutzer, einem Account oder einer Mailbox 819 gehörende Adresse als einen Nachrichtenempfänger identifizieren, werden in der entsprechenden Mailbox 819 gespeichert. Wenn eine Nachricht an mehrere Empfänger oder an ein Verteilungsverzeichnis adressiert ist, dann werden Kopien derselben Nachricht typischerweise in mehr als einer Mailbox 819 gespeichert. Alternativ kann der Nachrichtenserver 820 eine einzelne Kopie einer derartigen Nachricht in einem Datenspeicher speichern, der für alle Benutzer zugänglich ist, die einen Account auf dem Nachrichtenserver haben, und einen Zeiger oder anderen Identifikator in der Mailbox 819 jedes Empfängers speichern. In typischen Messaging-Systemen greift jeder Benutzer auf seine oder ihre Mailbox 819 und deren Inhalte unter Verwendung eines Messaging-Clients zu, wie Microsoft Outlook oder Lotus Notes, der normalerweise auf einem PC arbeitet, wie dem Desktopcomputersystem 822, das in dem LAN 806 verbunden ist. Obwohl in 8 nur ein Desktopcomputersystem 822 gezeigt wird, ist für Fachleute offensichtlich dass ein LAN typischerweise viele Desktop-, Notebook- und Laptop-Computersysteme enthält. Jeder Messaging-Client greift normalerweise auf die Mailbox 819 über den Nachrichtenserver 820 zu, obwohl in einigen Systemen ein Messaging-Client einen direkten Zugriff auf den Datenspeicher 817 und eine darauf gespeicherte Mailbox 819 durch das Desktopcomputersystem 822 ermöglichen kann. Nachrichten können auch von dem Datenspeicher 817 auf einen lokalen Datenspeicher (nicht gezeigt) auf dem Desktopcomputersystem 822 heruntergeladen werden.
In dem Unternehmens-LAN 806 arbeitet das drahtlose Verbindungssystem 828 in Verbindung mit dem Nachrichtenserver 820. Das drahtlose Verbindungssystem 828 kann sich in demselben Computersystem befinden wie der Nachrichtenserver 820 oder kann stattdessen auf einem anderen Computersystem implementiert sein. Eine Software, die das drahtlose Verbindungssystem 828 implementiert, kann ebenfalls teilweise oder vollständig mit dem Nachrichtenserver 820 integriert sein. Das drahtlose Verbindungssystem 828 und der Nachrichtenserver 820 sind vorzugsweise ausgebildet, zu kooperieren und zusammenzuarbeiten, um das Verschieben (pushing) von Information an die mobilen Vorrichtungen 816, 818 zu ermöglichen. In einer derartigen Anordnung ist das drahtlose Verbindungssystem 828 vorzugsweise konfiguriert, eine Information, die in einem oder mehreren zu dem Unternehmens-LAN 806 gehörenden Datenspeicher(n) gespeichert ist, an eine oder mehrere mobile Vorrichtung(en) 816, 818 durch die Firewall 808 des Unternehmens und über das WAN 804 und eines der drahtlosen Netzwerke 812, 814 zu senden. Zum Beispiel kann ein Benutzer, der einen Account und eine zugehörige Mailbox 819 in dem Datenspeicher 817 hat, auch eine mobile Vorrichtung, wie 816, haben. Wie oben beschrieben werden Nachrichten, die von dem Nachrichtenserver 820 empfangen werden und einen Benutzer, einen Account oder die Mailbox 819 identifizieren, von dem Nachrichtenserver 820 in einer entsprechenden Mailbox 819 gespeichert. Wenn ein Benutzer eine mobile Vorrichtung hat, wie 816, werden Nachrichten, die von dem Nachrichtenserver 810 empfangen und in der Mailbox 819 des Benutzers gespeichert werden, vorzugsweise von dem drahtlosen Verbindungssystem 828 erfasst und an die mobile Vorrichtung 816 des Benutzers gesendet. Dieser Typ einer Funktionalität stellt eine „Verschiebe(push)"-Nachrichtensendetechnik dar. Das drahtlose Verbindungssystem 828 kann stattdessen eine „Abfrage(pull)"-Technik einsetzen, wobei in einer Mailbox 819 gespeicherte Elemente an eine mobile Vorrichtung 816, 818 gesendet werden als Antwort auf eine Anforderungs- oder Zugriffsoperation, die unter Verwendung der mobilen Vorrichtung getätigt wurde, oder eine Kombination aus beiden Techniken.
Die Verwendung einer drahtlosen Verbindung 828 ermöglich folglich, dass ein Messaging-System mit einem Nachrichtenserver 820 derart erweitert werden kann, dass die mobile Vorrichtung 816, 818 jedes Benutzers Zugriff auf die gespeicherten Nachrichten des Nachrichtenservers 820 hat. Obwohl die hier beschriebenen Systeme und Verfahren nicht nur auf „push"-basierte Techniken beschränkt sind, kann eine detailliertere Beschreibung von „push"-basiertem Messaging in den U.S.-Patenten und -Anmeldungen gefunden werden, die unter Bezugnahme hier aufgenommen sind. Diese „push"-Technik verwendet eine drahtlosverträgliche Codierungs-, Komprimierungs- und Verschlüsselungstechnik, um die gesamte Information an eine mobile Vorrichtung zu liefern, wodurch tatsächlich die Unternehmens-Firewall 808 ausgedehnt wird, um die mobilen Vorrichtungen 816, 818 zu umfassen.
Wie in 8 gezeigt, gibt es mehrere Pfade zum Austausch von Infomation mit einer mobilen Vorrichtung 816, 818 von dem Unternehmens-LAN 806. Ein möglicher Informationsübertragungspfad ist durch die physikalische Verbindung 824, wie ein serieller Anschluss, unter Verwendung einer Schnittstelle oder eines Verbinders 826. Dieser Pfad kann zum Beispiel nützlich sein für Masseninformationsaktualisierungen, die oft bei der Initialisierung einer mobilen Vorrichtung 816, 818 oder regelmäßig wiederkehrend durchgeführt werden, wenn ein Benutzer einer mobilen Vorrichtung 816, 818 an einem Computersystem in dem LAN 806 arbeitet, wie dem Computersystem 822. Zum Beispiel werden, wie oben beschrieben, PIM-Daten gewöhnlich über eine derartige Verbindung ausgetauscht, zum Beispiel ein serieller Anschluss, der mit einer geeigneten Schnittstelle oder einem Verbinder 826 verbunden ist, wie eine Anschluss-Station, in die oder auf die eine mobile Vorrichtung 816, 818 platziert werden kann. Die physikalische Verbindung 824 kann auch verwendet werden, um eine andere Information von einem Desktopcomputersystem 822 an eine mobile Vorrichtung 816, 818 zu übertragen, einschließlich private Sicherheitsschlüssel („private Schlüssel"), wie zu dem Desktopcomputersystem 822 gehörende private Verschlüsselungs- oder Signaturschlüssel, oder andere relativ umfangreiche Information, wie Certs und CRLs, die in einigen sicheren Messaging-Schemen, wie S/MIME und PGP, verwendet werden.
Ein Austausch privater Schlüssel unter Verwendung einer physikalischen Verbindung 824 und des Verbinders oder der Schnittstelle 826 ermöglicht dem Desktopcomputersystem 822 und der mobilen Vorrichtung 816 oder 818 des Benutzers zumindest eine Identität zum Zugriff auf die gesamte verschlüsselte und/oder signierte Mail gemeinsam zu benutzen. Das Desktopcomputersystem 822 und die mobilen Vorrichtung 816 oder 818 des Benutzers können dadurch auch private Schlüssel gemeinsam benutzen, so dass entweder das Hostsystem 822 oder die mobile Vorrichtung 816 oder 818 die sicheren Nachrichten verarbeiten kann, die an die Mailbox oder den Account des Benutzers auf dem Nachrichtenserver 820 adressiert sind. Die Übertragung von Certs und CRLs über eine derartige physikalische Verbindung kann wünschenswert sein, da sie eine große Menge von Daten darstellen, die für S/MIME, PGP und andere öffentliche Schlüssel-Sicherheitsverfahren erforderlich sind. Ein eigenes Cert des Benutzers, eine Kette von Cert(s), die zur Verifizierung des Certs und des CRLs des Benutzers verwendet wird, sowie Certs, Cert-Ketten und CRLs für andere Benutzer können von dem Desktopcomputersystem 822 des Benutzers auf eine mobile Vorrichtung 816, 818 geladen werden. Dieses Laden von Certs und CRLs anderer Benutzer auf eine mobile Vorrichtung 816, 818 ermöglicht dem Benutzer einer mobilen Vorrichtung, andere Entitäten oder Benutzer zu wählen, mit denen er sichere Nachrichten austauschen möchte, und die umfangreiche Information auf die mobile Vorrichtung vorher über eine physikalische Verbindung zu laden statt über die Luft, wodurch Zeit und drahtlose Bandbreite gespart wird, wenn eine sichere Nachricht von derartigen anderen Benutzern empfangen wird oder an diese gesendet wird oder wenn der Status eines Certs bestimmt werden soll.
In bekannten drahtlosen Messaging-Systemen des „Synchronisierungs"-Typs wurde ebenfalls ein physikalischer Pfad verwendet, um Nachrichten von zu einem Nachrichtenserver 820 gehörenden Mailboxen 819 an die mobilen Vorrichtungen 816 und 818 zu übertragen.
Ein weiteres Verfahren zum Datenaustausch mit einer mobilen Vorrichtung 816, 818 ist über die Luft durch das drahtlose Verbindungssystem 828 und unter Verwendung der drahtlosen Netzwerke 812, 814. Wie in 8 gezeigt, kann dies einen drahtlosen VPN-Router 832, wenn in dem Netzwerk 806 verfügbar, oder alternativ eine herkömmliche WAN-Verbindung zu der drahtlosen Infrastruktur 810 umfassen, die eine Schnittstelle zu einem oder mehreren drahtlosen Netzwerken 812, 814 vorsieht. Der drahtlose VPN-Router 832 sieht eine Herstellung einer VPN-Verbindung direkt durch ein spezifisches drahtloses Netzwerk 812 mit einer drahtlosen Vorrichtung 816 vor. Ein derartiger drahtloser VPN-Router 832 kann in Verbindung mit einem statischen Adressierungsschema, wie IPV6, verwendet werden.
Wenn kein drahtloser VPN-Router 832 verfügbar ist, ist eine Verbindung zu einem WAN 804, normalerweise dem Internet, ein weithin verwendeter Verbindungsmechanismus, der von dem drahtlosen Verbindungssystem 828 eingesetzt werden kann. Um die Adressierung der mobilen Vorrichtung 816 und andere erforderlichen Schnittstellenfunktionen zu handhaben, wird vorzugsweise eine drahtlose Infrastruktur 810 verwendet. Die drahtlose Infrastruktur 810 kann auch ein wahrscheinlichstes drahtloses Netzwerk bestimmen zur Lokalisierung eines bestimmten Benutzers und Überwachung von Benutzern, wenn sie sich zwischen Ländern oder Netzwerken bewegen (roaming). In drahtlosen Netzwerken, wie 812 und 814, werden Nachrichten normalerweise an und von mobile(n) Vorrichtungen 816, 818 über Hochfrequenz-Übertragungen zwischen Anschluss-Stationen (nicht gezeigt) und den mobilen Vorrichtungen 816, 818 übertragen.
Eine Vielzahl von Verbindungen zu den drahtlosen Netzwerken 812 und 814 können vorgesehen werden, einschließlich zum Beispiel ISDN, Rahmenvermittlungs(Frame Relay)- oder T1-Verbindungen, die das im Internet verwendete TCP/IP-Protoll verwenden. Die drahtlosen Netzwerken 812 und 814 können verschiedene, eindeutige Netzwerke und Netzwerke ohne Beziehung darstellen oder sie können das selbe Netzwerk in verschiedenen Ländern darstellen und können einer von unterschiedlichen Typen von Netzwerken darstellen, einschließlich, aber nicht darauf beschränkt, von Daten-zentrischen drahtlosen Netzwerken, Sprach-zentrischen drahtlosen Netzwerken und Dualmodus-Netzwerken, die sowohl Sprach- als auch Datenkommunikation über dieselbe oder ähnliche Infrastruktur unterstützen können, wie oben beschrieben.
In einigen Implementierungen kann mehr als ein Informationsaustauschmechanismus über die Luft in dem Unternehmens-LAN 806 vorgesehen werden. In dem beispielhaften Kommunikationssystem von 8 zum Beispiel sind die mobilen Vorrichtungen 816, 818, die zu den Benutzern mit Mailboxen 819 gehören, die wiederum zu Benutzer-Accounts auf dem Nachrichtenserver 820 gehören, konfiguriert, auf unterschiedlichen drahtlosen Netzwerken 812 und 814 zu arbeiten. Wenn das drahtlose Netzwerk 812 eine IPv6-Adressierung unterstützt, dann kann der drahtlose VPN-Router 832 von dem drahtlosen Verbindungssystem 818 verwendet werden, um Daten mit einer mobilen Vorrichtung 816 auszutauschen, die in dem drahtlosen Netzwerk 812 in Betrieb ist. Das drahtlose Netzwerk 814 kann jedoch ein anderer Typ von drahtlosem Netzwerk sein, wie das Mobitex-Netzwerk, in dem Fall kann eine Information mit einer mobilen Vorrichtung 818, die in dem drahtlosen Netzwerk 814 in Betrieb ist, von dem drahtlosen Verbindungssystem 828 stattdessen über eine Verbindung zu dem WAN 804 und der drahtlosen Infrastruktur ausgetauscht werden.
Der Betrieb des Systems in 8 wird nun beschrieben unter Verwendung des Beispiels einer E-Mail-Nachricht 833, die von dem Computersystem 802 gesendet wird und an zumindest einen Empfänger adressiert ist, der sowohl einen Account und eine Mailbox 819 oder einen ähnlichen zu dem Nachrichtenserver 820 gehörenden Datenspeicher als auch eine mobile Vorrichtung 816 oder 818 hat. Die E-Mail-Nachricht 833 ist jedoch nur zu illustrativen Zwecken vorgesehen. Der Austausch von anderen Typen von Information zwischen dem Unternehmens-LAN 806 wird vorzugsweise auch von dem drahtlosen Verbindungssystem 828 ermöglicht.
Die E-Mail-Nachricht 833, die von dem Computersystem 802 über das WAN 804 gesendet wird, kann völlig im Klartext sein oder mit einer digitalen Signatur signiert sein und/oder verschlüsselt sein, abhängig von dem bestimmten verwendeten Messaging-Schema. Wenn zum Beispiel das Computersystem 802 zur sicheren Nachrichtenübertragung unter Verwendung von S/MIME fähig ist, dann kann die E-Mail-Nachricht 833 signiert, verschlüsselt oder beides sein.
E-Mail-Nachrichten wie 833 verwenden normalerweise herkömmliches SMTP, RFC822-Header und MIME-Teile, um das Format der Mail-Nachricht zu definieren. Diese Techniken sind für Fachleute alle weithin bekannt. Die E-Mail-Nachricht 833 kommt an dem Nachrichtenserver 820 an, der bestimmt, in welche Mailboxen 819 die E-Mail-Nachricht 833 gespeichert werden soll. Wie oben beschrieben, kann eine Nachricht, wie die E-Mail-Nachricht 833, einen Benutzernamen, einen Benutzer-Account, einen Mailbox-Identifikator oder einen anderen Typ von Identifikator umfassen, der von dem Nachrichtenserver 820 einem bestimmten Account oder einer zugehörigen Mailbox 819 zugeordnet werden kann. Für eine E-Mail-Nachricht 833 werden Empfänger typischerweise identifiziert unter Verwendung von E-Mail-Adressen, die einem Benutzer-Account und somit einer Mailbox 819 entsprechen.
Das drahtlose Verbindungssystem 828 sendet oder spiegelt (mirrors) über ein drahtloses Netzwerk 812 oder 814 bestimmte Benutzer-gewählte Datenelemente oder Teile von Datenelementen von dem Unternehmens-LAN 806 an die mobile Vorrichtung 816 oder 818 des Benutzers, vorzugsweise bei der Feststellung, dass ein oder mehrere auslösende(s) Ereignis(se) aufgetreten ist/sind. Ein auslösendes Ereignis umfasst, ist aber nicht darauf beschränkt, eines oder mehrere der Folgenden: Aktivierung des Bildschirmschoners an dem vernetzten Computersystem 822 des Benutzers, Trennung der mobilen Vorrichtung 816 oder 818 des Benutzers von der Schnittstelle 826 oder Empfang einer von einer mobilen Vorrichtung 816 oder 818 an das Hostsystem gesendeten Anweisung, mit dem Senden von einer oder mehrerer in dem Hostsystem gespeicherter Nachricht(en) zu beginnen. Somit kann das drahtlose Verbindungssystem 828 die auslösenden Ereignisse erfassen, die zu dem Nachrichtenserver 820, wie Empfang einer Anweisung, oder zu einem oder mehreren vernetzten Computersystem(en) 822 gehören, einschließlich die oben beschriebenen Bildschirmschoner- und Trennungs-Ereignisse. Wenn ein drahtloser Zugriff auf die Unternehmensdaten für eine mobile Vorrichtung 816 oder 818 in dem Unternehmens-LAN 806 aktiviert wurde, werden, wenn das drahtlose Verbindungssystem 828 das Auftreten eines auslösenden Ereignisses für einen Benutzer der mobilen Vorrichtung erfasst, zum Beispiel von dem Benutzer gewählte Datenelemente vorzugsweise an die mobile Vorrichtung des Benutzers gesendet. In dem Beispiel der E-Mail-Nachricht 833 wird, sobald ein auslösendes Ereignis erfasst wurde, die Ankunft der Nachricht 833 an dem Nachrichtenserver 820 von dem drahtlosen Verbindungssystem 828 erfasst. Dies kann zum Beispiel erreicht werden durch Überwachen oder Abfragen von zu dem Nachrichtenserver 820 gehörenden Mailboxen 819 oder wenn der Nachrichtenserver 820 ein Microsoft-Exchange-Server ist, kann das drahtlose Verbindungssystem 828 sich für Nachrichten-Synchronisierungen (advise syncs) registrieren, die von der Microsoft-MAPI (Messaging Application Programming Interface) geliefert werden, um somit Benachrichtigungen zu erhalten, wenn eine neue Nachricht in der Mailbox 819 gespeichert wird.
Wenn ein Datenelement, wie die E-Mail-Nachricht 833, an eine mobile Vorrichtung 816 oder 818 gesendet werden soll, verpackt das drahtlose Verbindungssystem 828 das Datenelement vorzugsweise auf eine Weise neu, die für die mobile Vorrichtung transparent ist, so dass eine Information, die an die mobile Vorrichtung gesendet wird und von ihr empfangen wird, ähnlich erscheint zu der Information, die an dem Hostsystem, LAN 806 in 8, gespeichert und zugänglich ist. Ein bevorzugtes Neuverpackungsverfahren umfasst ein Verpacken von empfangenen Nachrichten, die über ein drahtloses Netzwerk 812, 814 gesendet werden sollen, in einem elektronischen Umschlag, welcher der drahtlosen Netzwerkadresse der mobilen Vorrichtung 816, 818 entspricht, an welche die Nachricht gesendet werden soll. Alternativ können andere Neuverpackungsverfahren verwendet werden, wie spezielle TCP/IP-Verpackungstechniken. Eine derartige Neuverpackung führt vorzugsweise auch dazu, dass von einer mobilen Vorrichtung 816 oder 818 gesendete E-Mail-Nachrichten erscheinen, als ob sie von einem Account oder einer Mailbox 819 des entsprechenden Hostsystems kommen würden, auch wenn sie von einer mobilen Vorrichtung verfasst und gesendet werden. Ein Benutzer einer mobilen Vorrichtung 816 oder 818 kann dadurch effektiv eine einzelne E-Mail-Adresse von dem Account oder einer Mailbox 819 des Hostsystems und der mobilen Vorrichtung gemeinsam benutzen.
Eine Neuverpackung der E-Mail-Nachricht 833 wird bei 834 und 836 gezeigt. Neuverpackungstechniken können für alle verfügbaren Übertragungspfade ähnlich sein oder können abhängen von dem bestimmten Übertragungspfad, entweder die drahtlose Infrastruktur 810 oder der drahtlose VPN-Router 832. Zum Beispiel wird die E-Mail-Nachricht 833 vorzugsweise komprimiert und verschlüsselt, entweder bevor oder nachdem sie bei 834 neu verpackt wird, um dadurch effektiv eine sichere Übertragung an die mobile Vorrichtung 818 vorzusehen. Eine Komprimierung reduziert die zum Senden der Nachricht erforderliche Bandbreite, wohingegen eine Verschlüsselung eine Vertraulichkeit von Nachrichten oder anderer Information sicherstellt, die an die mobilen Vorrichtungen 816 und 818 gesendet werden. Im Gegensatz dazu können über einen VPN-Router 832 übertragene Nachrichten nur komprimiert und nicht verschlüsselt werden, da eine von dem VPN-Router 832 hergestellte VPN-Verbindung an sich schon sicher ist. Nachrichten werden auf diese Weise sicher entweder über die Verschlüsselung an dem drahtlosen Verbindungssystem 828, das zum Beispiel als ein nicht-standardmäßiger VPN-Tunnel oder eine VPN-ähnliche Verbindung betrachtet werden kann, oder über den VPN-Router 832 an die mobilen Vorrichtungen 816 und 818 gesendet. Ein Zugriff auf die Nachrichten unter Verwendung einer mobilen Vorrichtungen 816 und 818 ist somit nicht weniger sicher als ein Zugriff auf die Mailboxen in dem LAN 806 unter Verwendung des Desktopcomputersystems 822.
Wenn eine neu verpackte Nachricht 834 oder 836 über die drahtlose Infrastruktur 810 oder über den drahtlosen VPN-Router 832 an einer mobilen Vorrichtung 816 und 818 ankommt, entfernt die mobile Vorrichtung 816 und 818 den äußeren elektronischen Umschlag von der neu verpackten Nachricht 834 oder 836 und führt alle erforderlichen Dekomprimierungs- und Entschlüsselungsoperationen durch. Nachrichten, die von einer mobilen Vorrichtung 816 und 818 gesendet werden und an einen oder mehrere Empfänger adressiert sind, werden vorzugsweise ähnlich neu verpackt und möglicherweise komprimiert und verschlüsselt und an ein Hostsystem gesendet, wie das LAN 806. Das Hostsystem entfernt dann den elektronischen Umschlag von der neu verpackten Nachricht, entschlüsselt und dekomprimiert die Nachricht, wenn gewünscht, und leitet die Nachricht an die adressierten Empfänger.
Ein weiteres Ziel der Verwendung eines äußeren Umschlags liegt darin, zumindest einen Teil der Adressierungsinformation in der ursprünglichen E-Mail-Nachricht 833 beizubehalten. Obwohl der äußere Umschlag, der zum Leiten von Information an die mobilen Vorrichtungen 816, 818 verwendet wird, unter Ver wendung einer Netzwerkadresse einer oder mehrerer mobiler Vorrichtung(en) adressiert wird, umkapselt der äußere Umschlag vorzugsweise die gesamte E-Mail-Nachricht 833, einschließlich zumindest einem Adressenfeld, möglicherweise in komprimierter und/oder verschlüsselter Form. Dies ermöglicht, dass ursprüngliche „an"-, „von"- und „Kopie (CC)"-Adressen der E-Mail-Nachricht 833 angezeigt werden können, wenn der äußere Umschlag entfernt wird und die Nachricht auf einer mobilen Vorrichtung 816 oder 818 angezeigt wird. Die Neuverpakkung ermöglicht auch, dass Antwortnachrichten an adressierte Empfänger geliefert werden, wobei das „von"-Feld eine Adresse des Accounts oder der Mailbox des Benutzers der mobilen Vorrichtung auf dem Hostsystem darstellt, wenn der äußere Umschlag einer neu verpackten abgehenden Nachricht, die von einer mobilen Vorrichtung gesendet wird, von dem drahtlosen Verbindungssystem 828 entfernt wird. Die Verwendung der Account- oder Mailbox-Adresse des Benutzers von der mobilen Vorrichtung 816 oder 818 ermöglicht, dass eine von der mobilen Vorrichtung gesendete Nachricht erscheint, als würde die Nachricht von der Mailbox 819 oder dem Account des Benutzers auf dem Hostsystem stammen anstatt von der mobilen Vorrichtung.
9 ist eine Blockdarstellung eines alternativen beispielhaften Kommunikationssystems, in dem eine drahtlose Kommunikation von einer Komponente ermöglicht wird, die zu einem Operator eines drahtlosen Netzwerks gehört. Wie in 9 gezeigt, umfasst das System ein Computersystem 802, ein WAN 804, ein Unternehmens-LAN 807, das sich hinter einer Sicherheits-Firewall 808 befindet, eine Netzbetreiber-Infrastruktur 840, ein drahtloses Netzwerk 811 und mobile Vorrichtungen 813 und 815. Das Computersystem 802, das WAN 804, die Sicherheits-Firewall 808, der Nachrichtenserver 820, der Datenspeicher 817, die Mailboxen 819 und der VPN-Router 835 sind im Wesentlichen dieselben wie die auf gleiche Weise bezeichneten Komponenten in 8. Da jedoch der VPN-Router 835 mit der Netzbetreiber-Infrastruktur 840 kommuniziert, muss es in 9 nicht unbedingt ein drahtloser VPN-Router sein. Die Netzbetreiber-Infrastruktur 840 ermöglicht einen drahtlosen Informationsaustausch zwischen dem LAN 807 und den mobilen Vorrichtungen 813, 815, die jeweils zu den Computersystemen 842 und 852 gehören und konfiguriert sind, in dem drahtlosen Netzwerk 811 zu arbeiten. In dem LAN 807 wird eine Vielzahl von Desktopcomputersystemen 842, 852 gezeigt, die jeweils eine physikalische Verbindung 846, 856 mit einer Schnittstelle oder einem Verbinder 848, 858 haben. Ein drahtloses Verbindungssystem 844, 854 arbeitet auf oder in Verbindung mit jedem Computersystem 842, 852.
Die drahtlosen Verbindungssysteme 844, 854 sind ähnlich zu dem oben beschriebenen drahtlosen Verbindungssystem 828, da sie ermöglichen, dass Datenelemente, wie E-Mail-Nachrichten und andere Elemente, die in den Mailboxen 819 gespeichert sind, und möglicherweise Datenelemente, die in einem lokalen oder Netzwerk-Datenspeicher gespeichert sind, von dem LAN 807 zu einer oder mehreren mobilen Vorrichtung(en) 813, 815 gesendet werden. In 9 jedoch sieht die Netzbetreiber-Infrastruktur 840 eine Schnittstelle zwischen den mobilen Vorrichtungen 813, 815 und dem LAN 807 vor. Wie oben wird der Betrieb des in 9 gezeigten Systems im Folgenden in Zusammenhang mit einer E-Mail-Nachricht als ein darstellendes Beispiel eines Datenelements beschrieben, das an eine mobile Vorrichtung 813, 815 gesendet werden kann.
Wenn eine E-Mail-Nachricht 833, die an einen oder mehrere Empfänger mit einem Account auf dem Nachrichtenserver 820 adressiert ist, von dem Nachrichtenserver 820 empfangen wird, wird die Nachricht oder möglicherweise ein Zeiger zu einer einzelnen Kopie der in dem zentralen Mailbox- oder Datenspeicher gespeicherten Nachricht in der Mailbox 819 jedes derartigen Empfängers gespeichert. Sobald die E-Mail-Nachricht 833 oder der Zeiger in der Mailbox 819 gespeichert wurde, kann darauf unter Verwendung einer mobilen Vorrichtung 813 oder 815 zugegriffen werden. In dem in 9 gezeigten Beispiel wurde die E-Mail-Nachricht 833 an die Mailboxen 819 adressiert, die zu beiden Desktopcom putersystem 842 und 852 und somit beiden mobilen Vorrichtungen 813 und 815 gehören.
Wie für Fachleute offensichtlich sein dürfte, sind Kommunikationsnetzwerkprotokolle, die gewöhnlich in verdrahteten Netzwerken wie dem LAN 807 und/oder dem WAN 804 verwendet werden, nicht geeignet für drahtlose Netzwerkkommunikationsprotokolle, die in drahtlosen Netzwerken wie 811 verwendet werden, oder mit ihnen kompatibel. Zum Beispiel sind Kommunikationsbandbreite, Protokoll-Overhead und Netzwerk-Latenz, die bei einer drahtlosen Netzwerkkommunikation von primärer Wichtigkeit sind, in verdrahteten Netzwerken weniger wichtig, die typischerweise eine sehr viel höherer Kapazität und Geschwindigkeit haben als drahtlose Netzwerke. Folglich können die mobilen Vorrichtungen 813 und 815 normalerweise nicht direkt auf den Datenspeicher 817 zugreifen. Die Netzbetreiber-Infrastruktur 840 liefert eine Brücke zwischen dem drahtlosen Netzwerk 811 und dem LAN 807.
Die Netzbetreiber-Infrastruktur 840 ermöglicht einer mobilen Vorrichtung 813, 815, eine Verbindung über das WAN 804 mit dem LAN 807 herzustellen, und kann zum Beispiel von einem Operator des drahtlosen Netzwerks 811 oder einem Diensteanbieter betrieben werden, der einen drahtlosen Kommunikationsdienst für die mobilen Vorrichtungen 813 und 815 bietet. In einem „Abfrage (pull)"-basierten System kann die mobile Vorrichtung 813, 815 eine Kommunikationssitzung mit der Netzbetreiber-Infrastruktur 840 herstellen unter Verwendung eines mit einem drahtlosen Netzwerk kompatiblen Kommunikationsschemas, vorzugsweise einem sicheren Schema, wie WTLS (Wireless Transport Layer Security), wenn eine Information vertraulich bleiben soll, und einem drahtlosen Webbrowser, wie ein WAP(Wireless Application Protocol)-Browser. Der Benutzer kann dann (über eine manuelle Auswahl oder vorher ausgewählte Standardeinstellungen in der sich in der mobilen Vorrichtung befindlichen Software) eine oder die gesamte Information oder nur neue Information anfordern, die in einer Mailbox 819 in dem Datenspeicher 817 in dem LAN 807 gespeichert ist. Die Netzbetreiber-Infrastruktur 840 stellt dann eine Verbindung oder Sitzung mit einem drahtlosen Verbindungssystem 844, 854 unter Verwendung zum Beispiel von HTTPS (Secure Hyper Text Transfer Protocol) her, wenn noch keine Sitzung aufgebaut wurde. Wie oben kann eine Sitzung zwischen der Netzbetreiber-Infrastruktur 840 und einem drahtlosen Verbindungssystem 844, 854 hergestellt werden über eine typische WAN-Verbindung oder durch den VPN-Router 835, wenn verfügbar. Wenn Zeitverzögerungen zwischen dem Empfang einer Anforderung von einer mobilen Vorrichtung 813, 815 und dem Liefern von angeforderter Information zurück an die Vorrichtung minimiert werden sollen, können die Netzbetreiber-Infrastruktur 840 und die drahtlosen Verbindungssysteme 844, 854 derart konfiguriert werden, dass eine Kommunikationsverbindung offen bleibt, wenn sie hergestellt wurde.
In dem System von 9 werden Anforderungen, die von der mobilen Vorrichtung A 813 und B 815 stammen, jeweils an die drahtlosen Verbindungssysteme 844 und 854 gesendet. Bei Empfang einer Anforderung für Information von der Netzbetreiber-Infrastruktur 840 ruft ein drahtloses Verbindungssystem 844, 854 eine angeforderte Information aus dem Datenspeicher ab. Für die E-Mail-Nachricht 833 ruft das drahtlose Verbindungssystem 844, 854 die E-Mail-Nachricht 833 aus der geeigneten Mailbox 819 ab, typischerweise durch einen Messaging-Client, der in Verbindung mit dem Computersystem 842, 852 arbeitet, der auf eine Mailbox 819 entweder über den Nachrichtenserver 820 oder direkt zugreifen kann. Alternativ kann ein drahtloses Verbindungssystem 844, 854 konfiguriert sein, direkt oder über den Nachrichtenserver 820 selbst auf Mailboxen 819 zuzugreifen. Ebenso können andere Datenspeicher, sowohl Netzwerkdatenspeicher ähnlich zu dem Datenspeicher 817 als auch lokale zu jedem Computersystem 842, 852 gehörende Datenspeicher für ein drahtloses Verbindungssystem 844, 854 zugreifbar sein und somit für eine mobile Vorrichtung 813, 815.
Wenn die E-Mail-Nachricht 833 an die Accounts oder Mailboxen 819 des Nachrichtenservers adressiert ist, die sowohl zu den Computersystemen 841 und 852 als auch zu den mobilen Vorrichtungen 813 und 815 gehört, dann kann die E-Mail-Nachricht 833 an die Netzbetreiber-Infrastruktur 840 gesendet werden, wie bei 860 und 862 gezeigt, die dann eine Kopie der E-Mail-Nachricht an jede mobile Vorrichtung 813 und 815 sendet, wie bei 864 und 866 gezeigt wird. Eine Information kann zwischen dem drahtlosen Verbindungssystem 844, 854 und der Netzbetreiber-Infrastruktur 840 entweder über eine Verbindung zu dem WAN 804 oder über den VPN-Router 835 übertragen werden. Wenn die Netzbetreiber-Infrastruktur 840 mit den drahtlosen Verbindungssystemen 844, 854 und den mobilen Vorrichtungen 813, 815 über verschiedene Protokolle kommuniziert, können von der Netzbetreiber-Infrastruktur 840 Übersetzungsoperationen durchgeführt werden. Neuverpackungstechniken können ebenfalls zwischen den drahtlosen Verbindungssystemen 844, 854 und der Netzbetreiber-Infrastruktur 840 und zwischen jeder mobilen Vorrichtung 813, 815 und der Netzbetreiber-Infrastruktur 840 verwendet werden.
Von einer mobilen Vorrichtung 813, 815 gesendete Nachrichten oder andere Information können auf eine ähnliche Weise verarbeitet werden, wobei die Information zuerst von einer mobilen Vorrichtung 813, 815 zu der Netzbetreiber-Infrastruktur 840 übertragen wird. Die Netzbetreiber-Infrastruktur 840 kann dann zum Beispiel die Information an ein drahtloses Verbindungssystem 844, 854 zur Speicherung in einer Mailbox 819 und Lieferung an adressierte Empfänger von dem Nachrichtenserver 820 senden oder kann alternativ die Information an die adressierten Empfänger senden.
Die obige Beschreibung des Systems in 9 betrifft „Abfrage (pull)"-basierte Operationen. Das drahtlose Verbindungssystem 844, 854 und die Netzbetreiber-Infrastruktur können stattdessen konfiguriert sein, Datenelemente an die mobilen Vorrichtungen 813 und 815 zu verschieben (push). Ein kombiniertes push/pull- System ist ebenfalls möglich. Zum Beispiel kann eine Benachrichtigung über eine neue Nachricht oder ein Verzeichnis von Datenelementen, die momentan in einem Datenspeicher in dem LAN 807 gespeichert sind, an eine mobile Vorrichtung 813, 815 verschoben (pushed) werden und dann verwendet werden, um Nachrichten oder Datenelemente von dem LAN 807 über die Netzbetreiber-Infrastruktur 840 anzufordern.
Wenn zu den Benutzer-Accounts in dem LAN 807 gehörende mobile Vorrichtungen konfiguriert sind, in unterschiedlichen drahtlosen Netzwerken zu arbeiten, dann kann jedes drahtlose Netzwerk eine zugehörige drahtlose Netzwerkinfrastrukturkomponente ähnlich zu 840 aufweisen.
Obwohl getrennte zugewiesene drahtlose Verbindungssysteme 844, 854 für jedes Computersystem 842, 852 in dem System von 9 gezeigt werden, können eines oder mehrere der drahtlosen Verbindungssysteme 844, 854 vorzugsweise konfiguriert sein, in Verbindung mit mehr als einem Computersystem 842, 852 zu arbeiten oder auf einen Datenspeicher oder eine Mailbox 819 zuzugreifen, die zu mehr als einem Computersystem gehören. Zum Beispiel kann dem drahtlosen Verbindungssystem 844 Zugriff gewährt werden zu den Mailboxen 819, die sowohl zu dem Computersystem 842 als auch zu dem Computersystem 852 gehören. Anforderungen nach Datenelementen von einer der beiden mobilen Vorrichtungen A 813 oder B 815 können dann von dem drahtlosen Verbindungssystem 844 verarbeitet werden. Dies Konfiguration kann nützlich sein, um eine drahtlose Kommunikation zwischen dem LAN 807 und den mobilen Vorrichtungen 813 und 815 zu ermöglichen, ohne dass ein Desktopcomputersystem 842, 852 für jeden Benutzer einer mobilen Vorrichtung laufen muss. Ein drahtloses Verbindungssystem kann stattdessen in Verbindung mit dem Nachrichtenserver 820 implementiert werden, um eine drahtlose Kommunikation zu ermöglichen.
10 ist eine Blockdarstellung eines weiteren alternativen Kommunikationssystems. Das System umfasst ein Computersystem 802, ein WAN 804, ein Unternehmens-LAN 809, das sich hinter einer Sicherheits-Firewall 808 befindet, ein Zugriffs-Gateway 880, einen Datenspeicher 882, drahtlose Netzwerke 884 und 886 und mobile Vorrichtungen 888 und 890. Das LAN 809, das Computersystem 802, das WAN 804, die Sicherheits-Firewall 808, der Nachrichtenserver 820, der Datenspeicher 817, die Mailboxen 819, das Desktopcomputersystem 822, die physikalische Verbindung 824, die Schnittstelle oder der Verbinder 826 und der VPN-Router 835 sind im Wesentlichen dieselben wie die entsprechenden oben beschriebenen Komponenten. Das Zugriffs-Gateway 880 und der Datenspeicher 882 sehen für die mobilen Vorrichtungen 888 und 890 einen Zugang zu in dem LAN 809 gespeicherten Datenelemente vor. In 10 arbeitet ein drahtloses Verbindungssystem 878 auf oder in Verbindung mit dem Nachrichtenserver 820, obwohl ein drahtloses Verbindungssystem stattdessen auf oder in Verbindung mit einem oder mehreren Desktopcomputersystem(en) in dem LAN 809 arbeiten kann.
Das drahtlose Verbindungssystem 878 sieht die Übertragung von in dem LAN 809 gespeicherten Datenelementen an eine oder mehrere mobile Vorrichtungen 888, 890 vor. Diese Datenelemente umfassen vorzugsweise E-Mail-Nachrichten, die in den Mailboxen 819 in dem Datenspeicher 817 gespeichert sind, sowie möglicherweise andere Elemente, die in dem Datenspeicher 817 oder einem anderen Netzwerkdatenspeicher oder einem lokalen Datenspeicher eines Computersystems, wie 822, gespeichert sind.
Wie oben beschrieben wird eine E-Mail-Nachricht 833, die an einen oder mehrere Empfänger mit einem Account auf dem Nachrichtenserver 820 adressiert ist und von dem Nachrichtenserver 820 empfangen wird, in der Mailbox 819 eines jeden solchen Empfängers gespeichert. In dem System von 10 weist der externe Datenspeicher 882 vorzugsweise eine ähnliche Struktur wie der Datenspeicher 817 auf und bleibt mit diesem synchronisiert. Eine PIM-Information oder Daten, die in dem Datenspeicher 822 gespeichert sind, sind vorzugsweise unabhängig modifizierbar von der PIM-Information oder den Daten, die in dem Hostsystem gespeichert sind. In dieser bestimmten Konfiguration kann die unabhängig modifizierbare Information in dem externen Datenspeicher 882 eine Synchronisierung einer Vielzahl von Datenspeichern beibehalten, die zu einem Benutzer gehören (d.h. Daten auf einer mobilen Vorrichtung, Daten auf einem Personalcomputer zuhause, Daten auf dem Unternehmens-LAN, usw.). Diese Synchronisierung kann erreicht werden zum Beispiel durch Aktualisierungen, die von dem drahtlosen Verbindungssystem 878 an den Datenspeicher 882 gesendet werden zu bestimmten Zeitintervallen, jedes mal, wenn ein Eintrag zu dem Datenspeicher 817 hinzugefügt oder darin geändert wird, zu bestimmten Tageszeiten oder wenn initiiert an dem LAN 809, durch den Nachrichtenserver 820 oder ein Computersystem 822, an dem Datenspeicher 822 oder möglicherweise von einer mobilen Vorrichtung 888, 890 durch das Zugriffs-Gateway 880. In dem Fall der E-Mail-Nachricht 833 kann eine Aktualisierung, die einige Zeit, nachdem die E-Mail-Nachricht 833 empfangen wird, an den Datenspeicher 882 gesendet wird, anzeigen, dass die Nachricht 833 in einer bestimmten Mailbox 819 in dem Speicher 817 gespeichert wurde, und eine Kopie der E-Mail-Nachricht wird in einem entsprechenden Speicherbereich in dem Datenspeicher 882 gespeichert. Wenn die E-Mail-Nachricht 833 zum Beispiel in den den mobilen Vorrichtungen 888 und 890 entsprechenden Mailboxen 819 gespeichert wurde, werden eine oder mehrere Kopie(n) der E-Mail-Nachricht an entsprechende Speicherbereiche oder Mailboxen in dem Datenspeicher 882 gesendet, in 10 bei 892 und 894 gezeigt, und darin gespeichert. Wie gezeigt, können Aktualisierungen oder Kopien der in dem Datenspeicher 817 gespeicherten Information über eine Verbindung zu dem WAN 804 oder den VPN-Router 835 an den Datenspeicher 882 gesendet werden. Zum Beispiel kann das drahtlose Verbindungssystem 878 Aktualisierungen oder gespeicherte Information an eine Ressource in dem Datenspeicher 882 über eine HTTP-Post-Anforderung senden. Alternativ kann ein sicheres Protokoll, wie HTTPS oder SSL (Secure Sockets Layer), verwendet werden. Für Fachleute dürfte offensicht lich sein, dass eine einzelne Kopie eines Datenelements, das an mehr als einem Ort in einem Datenspeicher in dem LAN 809 gespeichert ist, stattdessen an den Datenspeicher 882 gesendet werden kann. Diese Kopie des Datenelements kann dann entweder an mehr als einem entsprechenden Ort in dem Datenspeicher 882 gespeichert werden oder eine einzelne Kopie kann in dem Datenspeicher 882 gespeichert werden, wobei ein Zeiger oder anderer Identifikator des gespeicherten Datenelements an jedem entsprechenden Ort in dem Datenspeicher 882 gespeichert wird.
Das Zugriffs-Gateway 880 ist tatsächlich eine Zugriffs-Plattform, da es den mobilen Vorrichtungen 888 und 890 einen Zugriff auf den Datenspeicher 882 ermöglicht. Der Datenspeicher 882 kann als eine auf dem WAN 804 zugängliche Ressource konfiguriert sein und das Zugriffs-Gateway 880 kann ein ISP-System oder ein WAP-Gateway sein, über welche die mobilen Vorrichtungen 888 und 890 mit dem WAN 804 eine Verbindung herstellen können. Ein WAP-Browser oder ein anderer Browser, der mit den drahtlosen Netzwerken 884 und 886 kompatibel ist, kann dann verwendet werden, um auf den Datenspeicher 882, der mit dem Datenspeicher 817 synchronisiert ist, zuzugreifen und gespeicherte Datenelemente entweder automatisch oder als Antwort auf eine Anforderung von einer mobilen Vorrichtung 888, 890 herunterzuladen. Wie bei 896 und 898 gezeigt wird, können Kopien der E-Mail-Nachricht 833, die in dem Datenspeicher 817 gespeichert wurde, an die mobilen Vorrichtungen 888 und 890 gesendet werden. Ein Datenspeicher (nicht gezeigt) in jeder mobilen Vorrichtung 888, 890 kann dadurch mit einem Teil, wie einer Mailbox 819, eines Datenspeichers 817 in einem Unternehmens-LAN 809 synchronisiert werden. Änderungen eines Datenspeichers einer mobilen Vorrichtung können ähnlich in den Datenspeichern 882 und 817 wiedergegeben werden.
11 ist eine Blockdarstellung einer beispielhaften mobilen Vorrichtung. Die mobile Vorrichtung 100 ist eine mobile Dualmodus-Vorrichtung und umfasst ei nen Transceiver 1111, einen Mikroprozessor 1138, eine Anzeige 1122, einen nichtflüchtigen Speicher 1124, einen Arbeitsspeicher (RAM – random access memory) 1126, eine oder mehrere unterstützende Ein-Ausgabe(I/O – input/output)-Vorrichtung(en) 1128, einen seriellen Anschluss 1130, eine Tastatur 1132, einen Lautsprecher 1134, ein Mikrofon 1136, ein drahtloses Nahbereichs-Kommunikationsteilsystem 1140 und andere Vorrichtungsteilsysteme 1142.
Der Transceiver 1111 umfasst einen Empfänger 1112, einen Sender 1114, Antennen 1116 und 1118, einen oder mehrere Oszillator(en) 1113 und einen digitalen Signalprozessor (DSP) 1120. Die Antennen 1116 und 1118 können Antennenelemente einer Multielement-Antenne sein und sind vorzugsweise eingebettete Antennen. Jedoch sind die hier beschriebenen Systeme und Verfahren in keinster Weise auf einen bestimmten Antennentyp oder gar auf drahtlose Kommunikationsvorrichtungen beschränkt.
Die mobile Vorrichtung 100 ist vorzugsweise eine Zweiweg-Kommunikationsvorrichtung mit Sprach- und Daten-Kommunikationsfähigkeiten. Somit kann die mobile Vorrichtung 100 zum Beispiel über ein Sprachnetzwerk kommunizieren, wie ein analoges oder digitales zellulares Netzwerk, und kann ebenso über ein Datennetzwerk kommunizieren. Die Sprach- und Datennetzwerke werden in 11 von dem Kommunikationsturm 1119 dargestellt. Diese Sprach- und Datennetzwerke können getrennte Kommunikationsnetzwerke sein, die eine getrennte Infrastruktur verwenden, wie Anschluss-Stationen, Netzwerksteuereinrichtungen, usw., oder sie können in ein einziges drahtloses Netzwerk integriert sein.
Der Transceiver 1111 wird verwendet, um mit dem Netzwerk 1119 zu kommunizieren, und umfasst den Empfänger 1112, den Sender 1114, den einen oder die mehreren Oszillator(en) 1113 und den DSP 1120. Der DSP 1120 wird verwendet, um Signale an die Transceiver 1116 und 1118 zu senden und davon zu empfangen und sieht auch eine Steuerungsinformation für den Empfänger 1112 und den Sender 1114 vor. Wenn die Sprach- und Datenkommunikationen auf einer einzelnen Frequenz oder nah beieinander liegenden Sätzen von Frequenzen stattfinden, dann kann ein einzelner lokaler Oszillator 1113 in Verbindung mit dem Empfänger 1112 und dem Sender 1114 verwendet werden. Alternativ, wenn unterschiedliche Frequenzen für zum Beispiel eine Sprachkommunikation und eine Datenkommunikation verwendet werden, dann kann ein Vielzahl von lokalen Oszillatoren 1113 verwendet werden, um eine Vielzahl von Frequenzen entsprechend den Sprach- und Datennetzwerken 1119 zu erzeugen. Eine Information, die sowohl Sprach- als auch Dateninformation umfasst, wird über eine Verbindung zwischen dem DSP 1120 und dem Mikroprozessor 1138 an den und von dem Transceiver 1111 kommuniziert.
Das detaillierte Design des Transceivers 1111, wie Frequenzband, Komponentenauswahl, Leistungspegel, usw., ist abhängig von dem Kommunikationsnetzwerk 1119, in dem die mobile Vorrichtung 100 funktionieren soll. Zum Beispiel kann eine mobile Vorrichtung 100, die vorgesehen ist, in einem nordamerikanischen Markt zu funktionieren, einen Transceiver 1111 umfassen, der ausgebildet ist, mit einem einer Vielzahl von Sprachkommunikationsnetzen zu arbeiten, wie die mobilen Mobitex- oder DataTAC-Datenkommunikationsnetze, AMPS, TDMA, CDMA, PCS, usw., während eine mobile Vorrichtung 100, die zur Verwendung in Europa vorgesehen ist, konfiguriert sein kann, mit dem GPRS-Datenkommunikationsnetz und dem GSM- Sprachkommunikationsnetz zu arbeiten. Andere Typen von Daten- und Sprachnetzen, sowohl getrennte als auch integrierte, können ebenso mit einer mobilen Vorrichtung 100 verwendet werden.
Abhängig von dem Typ des Netzwerks oder der Netzwerke 1119 können die Zugriffsanforderungen für die mobile Vorrichtung 100 ebenfalls variieren. Zum Beispiel werden in den Mobitex- und DataTAC-Datennetzwerken mobile Vorrich tungen an dem Netzwerk registriert unter Verwendung einer eindeutigen Identifikationsnummer, die zu jeder mobilen Vorrichtung gehört. In GPRS-Datennetzen jedoch gehört ein Netzwerkzugriff zu einem Teilnehmer oder Benutzer einer mobilen Vorrichtung. Eine GPRS-Vorrichtung erfordert typischerweise ein Teilnehmeridentitätsmodul („SIM" – subscriber identity module), das erforderlich ist, damit eine mobile Vorrichtung in einem GPRS-Netzwerk arbeiten kann. Lokale oder netzfreie Kommunikationsfunktionen (wenn vorhanden) können ohne die SIM-Vorrichtung funktionieren, aber eine mobile Vorrichtung kann keine Funktionen ausführen, die eine Kommunikation über das Datennetzwerk 1119 umfasst, außer vom Gesetz vorgeschriebene Operationen, wie der „911"-Notruf.
Nachdem alle erforderlichen Netzwerkregistrierungs- oder Aktivierungsvorgänge abgeschlossen sind, kann die mobile Vorrichtung 100 Kommunikationssignale, einschließlich sowohl Sprach- als auch Datensignale, über die Netzwerke 1119 senden und empfangen. Signale, die von der Antenne 1116 von dem Kommunikationsnetzwerk 1119 empfangen werden, werden an den Empfänger 1112 geleitet, der eine Signalverstärkung, Frequenz-Abwärtswandlung, ein Filtern, eine Kanalauswahl, usw., vorsieht und auch eine Analog-Digital-Umwandlung vorsehen kann. Eine Analog-Digital-Umwandlung des empfangenen Signals ermöglicht komplexere Kommunikationsfunktionen, wie eine unter Verwendung des DSPs 1120 durchzuführende digitale Demodulation und Decodierung. Auf ähnliche Weise werden an das Netzwerk 1119 zu übertragende Signale von dem DSP 1120 verarbeitet, einschließlich zum Beispiel einer Modulation und Codierung, wobei die Signale dann an den Sender 1114 geliefert werden zur Digital-Analog-Umwandlung, Frequenz-Aufwärtswandlung, zum Filtern, zur Verstärkung und Übertragung an das Kommunikationsnetzwerk 1119 über die Antenne 1118.
Zusätzlich zur Verarbeitung der Kommunikationssignale sieht der DSP 1120 auch eine Transceiver-Steuerung vor. Zum Beispiel können die Verstärkungspegel, die auf die Kommunikationssignale in dem Empfänger 1112 und dem Sender 1114 anwendet werden, durch in dem DSP 1120 implementierte Algorithmen zur automatischen Verstärkungsregelung adaptiv gesteuert werden. Andere Transceiversteuerungsalgorithmen können ebenso in dem DSP 1120 implementiert werden, um eine anspruchsvollere Steuerung des Transceivers 1111 vorzusehen.
Der Mikroprozessor 1138 verwaltet und steuert vorzugsweise die gesamte Operation der mobilen Vorrichtung 100. Viele Typen von Mikroprozessoren oder Mikrosteuerungen können hier verwendet werden oder alternativ kann ein einzelner DSP 1120 verwendet werden, um die Funktionen des Mikroprozessors 1138 auszuführen. Kommunikationsfunktionen auf niedriger Ebene, einschließlich zumindest von Daten- und Sprachkommunikation, werden durch den DSP 1120 in dem Transceiver 1111 durchgeführt. Andere Kommunikationsanwendungen auf hoher Ebene, wie eine Sprachkommunikationsanwendung 1124A und eine Datenkommunikationsanwendung 1124B, können in dem nichtflüchtigen Speicher 1124 zur Ausführung durch den Mikroprozessor 1138 gespeichert werden. Zum Beispiel kann das Sprachkommunikationsmodul 1124A eine Benutzerschnittstelle auf hoher Ebene vorsehen, die betriebsfähig ist, Sprachanrufe zwischen der mobilen Vorrichtung 100 und einer Vielzahl von anderen Sprach- oder Dualmodus-Vorrichtungen über das Netzwerk 1119 zu senden und zu empfangen. Ähnlich kann das Datenkommunikationsmodul 1124B eine Benutzerschnittstelle auf hoher Ebene vorsehen, die betriebsfähig ist, Daten, wie E-Mail-Nachrichten, Dateien, Organizer-Information, Kurztextnachrichten, usw. zwischen der mobilen Vorrichtung 100 und einer Vielzahl von anderen Datenvorrichtungen über die Netzwerke 1119 zu senden und zu empfangen.
Der Mikroprozessor 1138 arbeitet auch mit anderen Vorrichtungsteilsystemen zusammen, wie mit der Anzeige 1122, dem RAM 1126, den unterstützenden Ein-Ausgabe(I/O – input/output)-Teilsystemen 1128, dem seriellen Anschluss 1130, der Tastatur 1132, dem Lautsprecher 1134, dem Mikrofon 1136, dem Nahbe reichs-Kommunikationsteilsystem 1140 und den anderen Vorrichtungsteilsystemen, die allgemein als 1142 bezeichnet werden.
Einige der in 11 gezeigten Teilsysteme führen Kommunikations-bezogene Funktionen durch, während andere Teilsysteme „residente" Funktionen oder Funktionen in der Vorrichtung vorsehen. Einige Teilsysteme, wie die Tastatur 1132 und die Anzeige 1122, können sowohl für Kommunikations-bezogene Funktionen, wie Eingabe einer Textnachricht zur Übertragung über ein Datenkommunikationsnetz, als auch für Vorrichtungs-residente Funktionen, wie einen Kalkulator oder ein Aufgabenverzeichnis oder andere Funktionen des PDA-Typs, verwendet werden.
Eine von dem Mikroprozessor 1138 verwendete Betriebssystemsoftware wird vorzugsweise in einem bleibenden Speicher, wie dem nichtflüchtigen Speicher 1124, gespeichert. Der nichtflüchtige Speicher 1124 kann zum Beispiel als eine Flash-Speicher-Komponente oder als ein Batterie-unterstützter RAM implementiert werden. Zusätzlich zu dem Betriebssystem, welches Funktionen der mobilen Vorrichtung 1110 auf niedriger Ebene steuert, umfasst der nichtflüchtige Speicher 1124 eine Vielzahl von Softwaremodulen 1124A–1124N, die von dem Mikroprozessor 1138 (und/oder dem DSP 1120) ausgeführt werden können, einschließlich ein Sprachkommunikationsmodul 1124A, ein Datenkommunikationsmodul 1124B und eine Vielzahl von anderen Betriebsmodulen 1124N zur Durchführung einer Vielzahl von anderen Funktionen. Diese Module werden von dem Mikroprozessor 1138 ausgeführt und sehen eine Schnittstelle auf hoher Ebene zwischen einem Benutzer und der mobilen Vorrichtung 100 vor. Diese Schnittstelle umfasst typischerweise eine graphische Komponente, die durch die Anzeige 1122 vorgesehen wird, und eine Ein-Ausgabe-Komponente, die durch die unterstützende Ein-Ausgabe 1128, die Tastatur 1132, den Lautsprecher 1134 und dem Mikrofon 1136 vorgesehen wird. Das Betriebssystem, spezifische Vorrichtungsanwendungen oder -module oder Teile davon können temporär für einen schnelleren Betrieb in einen flüchtigen Speicher geladen werden, wie den RAM 1126. Weiter können empfangene Kommunikationssignale ebenfalls temporär in dem RAM 1126 gespeichert werden, bevor sie permanent in ein Dateisystem geschrieben werden, das sich in einem beständigen Speicher befindet, wie dem Flash-Speicher 1124.
Ein beispielhaftes Anwendungsmodul 1124N, das auf die mobile Vorrichtung 100 geladen werden kann, ist eine PIM(personal information manager)-Anwendung, die eine PDA-Funktionalität vorsieht, wie Kalenderereignisse, Termine und Aufgabenelemente. Dieses Modul 1124 kann ebenfalls mit dem Sprachkommunikationsmodul 1124A interagieren zum Verwalten von Telefonanrufen, Voice-Mails, usw., und kann auch mit dem Datenkommunikationsmodul interagieren zum Verwalten von E-Mail-Kommunikation und anderer Datenübertragungen. Alternativ kann die gesamte Funktionalität des Sprachkommunikationsmoduls 1124A und des Datenkommunikationsmoduls 1124B in das PIM-Modul integriert werden.
Der nichtflüchtige Speicher 1124 sieht vorzugsweise auch ein Dateisystem vor, um das Speichern von PIM-Datenelementen auf der Vorrichtung zu erleichtern. Die PIM-Anwendung umfasst vorzugsweise die Möglichkeit, Datenelemente entweder alleine oder in Verbindung mit den Sprach- und Datenkommunikationsmodulen 1124A, 1124B über die drahtlosen Netzwerke 1119 zu senden und zu empfangen. Die PIM-Datenelemente werden vorzugsweise über die drahtlosen Netzwerke 1119 nahtlos integriert, synchronisiert und aktualisiert, wobei ein entsprechender Satz von Datenelementen in einem Hostcomputersystem gespeichert wird oder damit verbunden ist, wodurch ein gespiegeltes System für Datenelemente erzeugt wird, die zu einem bestimmten Benutzer gehören.
Kontextobjekte, die zumindest teilweise decodierte Datenelemente darstellen, sowie vollständig decodierte Datenelemente werden auf der mobilen Vorrichtung 100 vorzugsweise in einem flüchtigen und nicht-beständigen Speicher, wie dem RAM 1126, gespeichert. Eine derartige Information kann stattdessen zum Beispiel in dem nichtflüchtigen Speicher 1124 gespeichert werden, wenn die Speicherintervalle relativ kurz sind, so dass die Information aus dem Speicher entfernt wird, kurz nachdem sie gespeichert wurde. Jedoch ist ein Speichern dieser Information in dem RAM 1126 oder einem anderen flüchtigen und nicht-beständigen Speicher bevorzugt, um sicherzustellen, dass die Information aus dem Speicher gelöscht wird, wenn die mobile Vorrichtung 100 keine Stromversorgung mehr hat. Dies verhindert, dass eine nicht autorisierte Person eine gespeicherte decodierte oder teilweise decodierte Information zum Beispiel durch Entfernen eines Speicherchips aus der mobilen Vorrichtung 100 erlangt.
Die mobile Vorrichtung 100 kann manuell mit einem Hostsystem synchronisiert werden durch Platzieren der Vorrichtung 100 in eine Schnittstellen-Anschluss-Station (cradle), die den seriellen Anschluss 1130 der mobilen Vorrichtung 100 mit dem seriellen Anschluss eines Computersystems oder einer Vorrichtung verbindet. Der serielle Anschluss 1130 kann auch verwendet werden, um einem Benutzer zu ermöglichen, durch eine externe Vorrichtung oder Softwareanwendung Präferenzen zu setzen oder andere Anwendungsmodule 1124N für eine Installation herunterzuladen. Dieser verdrahtete Pfad zum Herunterladen kann verwendet werden, um einen Verschlüsselungsschlüssel auf die Vorrichtung zu laden, wobei es sich um ein sichereres Verfahren handelt als ein Austausch von Verschlüsselungsinformation über das drahtlose Netzwerk 1119. Schnittstellen für andere verdrahtete Pfade zum Herunterladen können in einer mobilen Vorrichtung 100 vorgesehen werden zusätzlich zu oder statt dem seriellen Anschluss 1130. Zum Beispiel kann ein USB-Anschluss eine Schnittstelle zu einem ähnlich ausgestatteten Personalcomputer vorsehen.
Zusätzliche Anwendungsmodule 1124N können auf die mobile Vorrichtung 100 durch die Netzwerke 1119, durch ein unterstützendes Ein-Ausgabe-Teilsystem 1128, durch den seriellen Anschluss 1130, durch das Nahbereichs-Kommunikationsteilsystem 1140 oder durch ein anderes geeignetes Teilsystem 1142 geladen werden und von einem Benutzer in dem nichtflüchtigen Speicher 1124 oder dem RAM 1126 gespeichert werden. Eine derartige Flexibilität bei der Installierung von Anwendungen erhöht die Funktionalität der mobilen Vorrichtung 100 und kann verbesserte Funktionen der Vorrichtung, Kommunikationsbezogene Funktionen oder beides vorsehen. Zum Beispiel können sichere Kommunikationsanwendungen ermöglichen, dass Funktionen für elektronischen Handel und andere derartige Finanztransaktionen unter Verwendung der mobilen Vorrichtung 100 durchgeführt werden können.
Wenn die mobile Vorrichtung 100 in dem Datenkommunikationsmodus arbeitet, wird ein empfangenes Signal, wie eine Textnachricht oder ein Webseiten-Download, von dem Transceiver-Modul 1111 verarbeitet und an den Mikroprozessor 1138 geliefert, der vorzugsweise das empfangene Signal in mehreren Stufen weiter verarbeitet, wie oben beschrieben, zur letztendlichen Ausgabe an die Anzeige 1122 oder alternativ an eine unterstützende Ein-Ausgabe-Vorrichtung 1128. Ein Benutzer der mobilen Vorrichtung 100 kann auch Datenelemente, wie E-Mail-Nachrichten, unter Verwendung der Tastatur 1132 verfassen, die vorzugsweise eine vollständige alphanumerische Tastatur in dem QWERTY-Typ ist, obwohl andere Typen von vollständigen alphanumerischen Tastaturen verwendet werden können, wie der bekannte DVORAK-Typ. Eine Benutzereingabe in die mobile Vorrichtung 100 wird durch eine Vielzahl von unterstützenden Ein-Ausgabe-Vorrichtungen 1128 weiter verbessert, die eine Eingabevorrichtung mit Einstellrad, ein Touchpad, eine Vielzahl von Schaltern, ein Wippeingabeschalter, usw. umfassen können. Die verfassten Datenelemente, die von dem Benutzer eingegeben werden, können dann über die Kommunikationsnetze 1119 über das Transceiver-Modul 1111 übertragen werden.
Wenn die mobile Vorrichtung 100 in einem Sprachkommunikationsmodus arbeitet, ist der Gesamtbetrieb der mobilen Vorrichtung im Wesentlichen ähnlich zu dem Datenmodus, außer, dass empfangene Signale vorzugsweise an den Lautsprecher 1134 ausgegeben werden und Sprachsignale zur Übertragung von einem Mikrofon 1136 erzeugt werden. Alternative Sprach- oder Audio-Ein-Ausgabe-Teilsysteme, wie ein Sprachnachrichten aufzeichnendes Teilsystem, können ebenfalls in der mobilen Vorrichtung 100 implementiert werden. Obwohl eine Sprach- oder Audiosignalausgabe vorzugsweise primär durch den Lautsprecher 1134 erreicht wird, kann auch die Anzeige 1122 verwendet werden, um eine Anzeige der Identität eines Anrufers, der Dauer eines Sprachanrufs oder anderer Sprachanrufbezogener Information zu liefern. Zum Beispiel kann der Mikroprozessor 1138 in Verbindung mit dem Sprachkommunikationsmodul und der Betriebssystemsoftware die Anruferidentifikationsinformation eines ankommenden Sprachanrufs erfassen und auf der Anzeige 1122 anzeigen.
Ein Nahbereichs-Kommunikationsteilsystem 1140 ist ebenfalls in der mobilen Vorrichtung 100 vorgesehen. Das Teilsystem 1140 kann zum Beispiel eine Infrarot-Vorrichtung und zugehörige Schaltungen und Komponenten oder ein Nahbereichs-HF-Kommunikationsmodul, wie ein Bluetooth^TM-Modul oder ein 802.11-Modul,umfassen, um eine Kommunikation mit ähnlich aktivierten Systemen und Vorrichtungen zu ermöglichen. Für Fachleute dürfte offensichtlich sein, dass „Bluetooth" und „802.11" Sätze von Spezifikationen betreffen, die von dem „Institute of Electrical and Electronics Engineers" verfügbar ist und jeweils drahtlose persönliche Bereichsnetzwerke und drahtlose lokale Netzwerke betreffen.

Claims

Verfahren zum Verarbeiten codierter Nachrichten in einer drahtlosen mobilen Kommunikationsvorrichtung, welches die folgenden Schritte umfasst: Empfangen einer codierten Nachricht in der drahtlosen mobilen Kommunikationsvorrichtung, wobei eine Vielzahl von Decodierungsoperationen mit der codierten Nachricht durchzuführen sind bevor die decodierte Nachricht in der drahtlosen mobilen Kommunikationsvorrichtung verwendet wird; Durchführen einer ersten Decodierungsoperation mit der codierten Nachricht, um so eine teilweise decodierte Nachricht zu erzeugen, wobei die erste Decodierungsoperation wenigstens eine der Decodierungsoperationen ausführt, die mit der codierten Nachricht durchzuführen sind; Speichern der teilweise decodierten Nachricht in einem Speicher der drahtlosen mobilen Kommunikationsvorrichtung; Empfangen einer Aufforderung, auf die empfangene Nachricht zuzugreifen; Abrufen der teilweise decodierten Nachricht aus dem Speicher; und Durchführen einer zweiten Decodierungsoperation mit der teilweise decodierten Nachricht, um so eine decodierte Nachricht zur Verwendung in der drahtlosen mobilen Kommunikationsvorrichtung zu erzeugen.
Verfahren nach Anspruch 1, wobei ein Benutzer die Aufforderung, auf die empfangene Nachricht zuzugreifen, erstellt hat.
Verfahren nach Anspruch 1, wobei die codierte Nachricht eine verschlüsselte Nachricht ist, welche einen verschlüsselten Inhalt und einen verschlüsselten Einmalschlüssel umfasst.
Verfahren nach Anspruch 3, wobei die Vielzahl der Decodierungsoperationen, welche mit der codierten Nachricht durchzuführen sind, das Dechiffrieren des verschlüsselten Einmalschlüssels und das Dechiffrieren des verschlüsselten Inhalts der Nachricht unter Verwendung des entschlüsselten Einmalschlüssels umfasst.
Verfahren nach Anspruch 4, wobei die codierte Nachricht unter Verwendung eines sicheren Email-Chiffrierstandards verschlüsselt wurde.
Verfahren nach Anspruch 4, wobei die codierte Nachricht unter Verwendung von Secure Multipurpose Internet Mail Extensions (S/MIME)-Techniken verschlüsselt wurde.
Verfahren nach Anspruch 4, wobei die codierte Nachricht unter Verwendung von Pretty Good Privacy(PGP)-Techniken verschlüsselt wurde.
Verfahren nach Anspruch 4, wobei die codierte Nachricht unter Verwendung von OpenPGP-Techniken verschlüsselt wurde.
Verfahren nach Anspruch 1, wobei die codierte Nachricht eine signierte Nachricht ist, welche eine digitale Signatur umfasst.
Verfahren nach Anspruch 9, wobei die Vielzahl der Decodierungsoperationen, welche mit der codierten Nachricht durchzuführen sind, das Überprüfen der digitalen Signatur der signierten Nachricht umfasst.
Verfahren nach Anspruch 1, wobei die codierte Nachricht signiert und dann verschlüsselt wurde.
Verfahren nach Anspruch 11, wobei die codierte Nachricht einen verschlüsselten Inhalt und einen verschlüsselten Einmalschlüssel umfasst, und wobei die Vielzahl der Decodierungsoperationen, die mit der codierten Nachricht durchzuführen sind, das Dechiffrieren des verschlüsselten Einmalschlüssels und das Dechiffrieren des verschlüsselten Inhalts der Nachricht unter Verwendung des entschlüsselten Einmalschlüssels umfasst.
Verfahren nach Anspruch 12, wobei der verschlüsselte Inhalt eine digitale Signatur umfasst, und wobei die Vielzahl der Decodierungsoperationen, die mit der codierten Nachricht durchzuführen sind, das Überprüfen der digitalen Signatur der codierten Nachricht umfasst.
Verfahren nach Anspruch 1, wobei die codierte Nachricht verschlüsselt und dann signiert wurde, und einen verschlüsselten Inhalt, einen verschlüsselten Einmalschlüssel und eine digitale Signatur umfasst.
Verfahren nach Anspruch 14, wobei die Vielzahl der Decodierungsoperationen, die mit der codierten Nachricht durchzuführen sind, das Dechiffrieren des verschlüsselten Einmalschlüssels und das Dechiffrieren des verschlüsselten Inhalts der Nachricht unter Verwendung des entschlüsselten Einmalschlüssels umfasst.
Verfahren nach Anspruch 15, wobei die Vielzahl der Decodierungsoperationen, welche mit der codierten Nachricht durchzuführen sind, das Überprüfen der digitalen Signatur der codierten Nachricht umfasst.
Verfahren nach Anspruch 1, wobei Base-64-Codieren durchgeführt wurde, um die codierte Nachricht zu erzeugen.
Verfahren nach Anspruch 1, wobei ASN.1-Codieren durchgeführt wurde, um die codierte Nachricht zu erzeugen.
Verfahren nach Anspruch 1, welches weiter den folgenden Schritt umfasst: Anzeigen, dass die codierte Nachricht bereits in der drahtlosen mobilen Kommunikationsvorrichtung empfangen wurde.
Verfahren nach Anspruch 1, welches weiter den folgenden Schritt umfasst: Anzeigen nach dem Durchführen der ersten Decodierungsoperation, dass die codierte Nachricht in der drahtlosen mobilen Kommunikationsvorrichtung empfangen wurde.
Verfahren nach Anspruch 1, wobei die erste Decodierungsoperation Decodierungsoperationen umfasst, welche ohne die Erfordernis einer Handlung durch einen Benutzer durchgeführt werden können, und wobei die erste De codierungsoperation durchgeführt wird, bevor der Benutzer über den Empfang der Nachricht benachrichtigt wird.
Verfahren nach Anspruch 1, welches weiter die folgenden Schritte umfasst: Bestimmen, ob die codierte Nachricht dazu geeignet ist, teilweise decodiert zu werden; und Durchführen der ersten Decodierungsopartion, um so die teilweise decodierte Nachricht zu erzeugen, wenn die codierte Nachricht dazu geeignet ist, teilweise decodiert zu werden.
Verfahren nach Anspruch 1, welches weiter die folgenden Schritte umfasst: Empfangen einer zweiten codierten Nachricht in der drahtlosen mobilen Kommunikationsvorrichtung; Bestimmen, ob die zweite codierte Nachricht dazu geeignet ist, teilweise decodiert zu werden; und Speichern der zweiten codierten Nachricht im Speicher ohne eine erste Decodierungsoperation mit der zweiten codierten Nachricht durchzuführen, wenn die zweite codierte Nachricht nicht dazu geeignet ist, teilweise decodiert zu werden.
Verfahren nach Anspruch 23, welches weiter die folgenden Schritte umfasst: Bestimmen, ob eine dritte empfangene codierte Nachricht dazu geeignet ist, teilweise decodiert zu werden; Speichern der dritten codierten Nachricht im Speicher ohne eine erste Decodierungsoperation durchzuführen, welche eine teilweise decodierte Nach richtenversion der dritten codierten Nachricht erzeugen würde, wenn die dritte empfangene codierte Nachricht nicht dazu geeignet ist, teilweise decodiert zu werden; und Anzeigen, dass die dritte codierte Nachricht in der drahtlosen mobilen Kommunikationsvorrichtung empfangen wurde.
Verfahren nach Anspruch 1, wobei die codierte Nachricht dadurch codiert wird, dass sie signiert aber nicht verschlüsselt wird, und wobei die erste Decodierungsoperation das Überprüfen einer Signatur für die codierte Nachricht umfasst.
Verfahren nach Anspruch 1, wobei die Nachricht dadurch codiert wird, dass sie verschlüsselt und dann signiert wird, wobei die erste Decodierungsoperation das Überprüfen einer Signatur für die codierte Nachricht umfasst, und wobei die zweite Decodierungsoperation das Dechiffrieren der teilweise decodierten Nachricht umfasst.
Verfahren nach Anspruch 26, wobei die Zeitverzögerung, die mit dem Bereitstellen der empfangenen Nachricht für den Benutzer als Antwort auf die Aufforderung zuzugreifen verbunden ist, reduziert wird gemäß der Durchführung der ersten Decodierungsoperation vor dem Speichern der teilweise decodierten Nachricht im Speicher.
Verfahren nach Anspruch 1, wobei die Nachricht durch Signieren codiert und dann verschlüsselt wird, wobei die erste Decodierungsoperation Decodierungsoperationen umfasst, welche der Übertragungscodierung und dem Abrufen wenigstens eines Dechiffrierschlüssels zugeordnet sind, und wobei die zweite Decodierungsoperation das Dechiffrieren der teilweise decodierten Nachricht und das Überprüfen der Signatur mit der entschlüsselten Nachricht umfasst.
Verfahren nach Anspruch 28, wobei die Zeitverzögerung, welche mit dem Bereitstellen der empfangenen Nachricht für den Benutzer in Antwort auf die Aufforderung zuzugreifen, verbunden ist, reduziert wird gemäß der Durchführung der ersten Decodierungsoperation vor dem Speichern der teilweise decodierten Nachricht im Speicher.
Verfahren nach Anspruch 1, wobei die erste Decodierungsoperation im Hintergrund durchgeführt wird, bevor ein Benutzer informiert wird, dass die Nachricht bereits empfangen wurde.
Verfahren nach Anspruch 1, wobei der Speicher ein flüchtiger und kein permanenter Speicher ist.
Verfahren nach Anspruch 1, wobei der Speicher ein Speicher mit Direktzugriff (RAM) ist.
Verfahren nach Anspruch 1, wobei die teilweise decodierte Nachricht im Speicher als ein Kontextobjekt im Speicher gespeichert wird.
Verfahren nach Anspruch 33, wobei das Kontextobjekt aus dem Speicher abgerufen wird, so dass das Kontextobjekt weiter decodiert werden kann, um so ein decodiertes Kontextobjekt zu erzeugen.
Verfahren nach Anspruch 34, wobei das decodierte Kontextobjekt einem Benutzer der drahtlosen mobilen Kommunikationsvorrichtung angezeigt wird.
Verfahren nach Anspruch 33, wobei das Kontextobjekt im Speicher für eine vorgewählte Zeit gespeichert wird.
Verfahren nach Anspruch 36, wobei die vorgewählte Zeit durch einen Benutzer der drahtlosen mobilen Kommunikationsvorrichtung gewählt wird.
Verfahren nach Anspruch 36, wobei die vorgewählte Zeit auf einem Absender der verschlüsselten Nachricht basiert.
Verfahren nach Anspruch 36, wobei die vorgewählte Zeit auf einem vorgewählten Sicherheitslevel basiert.
Verfahren nach Anspruch 1, wobei die erste Decodierungsoperation für die teilweise decodierte Nachricht wiederholt wird nachdem die Nachricht aus dem Speicher abgerufen wurde.
Verfahren nach Anspruch 1, welches weiter die folgenden Schritte umfasst: Bestimmen, ob eine codierte Nachricht bereits teilweise decodiert wurde; und Durchführen der zweiten Decodierungsoperation mit der teilweise decodierten Nachricht, wenn die codierte Nachricht bereits teilweise decodiert wurde.
Verfahren nach Anspruch 1, wobei die codierte Nachricht eine Information zur Nachricht umfasst, welche codiert wurde, und wobei eine Vielzahl von Decodierungsoperationen mit der codierten Nachricht durchzuführen sind, bevor die Information zur Nachricht in der drahtlosen mobilen Kommunikationsvorrichtung verwendet wird.
Verfahren nach Anspruch 42, wobei die Information zur Nachricht einen Nachrichtenkörper umfasst.
Verfahren nach Anspruch 42, wobei die Information zur Nachricht einen Nachrichtenanhang umfasst.
Verfahren nach Anspruch 1, wobei die codierte Nachricht einen Kopfbereich enthält, einen codierten Körperbereich, wenigstens einen verschlüsselten Einmalschlüssel und eine digitale Signatur.
Verfahren nach Anspruch 1, wobei die codierte Nachricht von der drahtlosen mobilen Kommunikationsvorrichtung über eine drahtlose Infrastruktur und ein drahtloses Netzwerk empfangen wird.
Verfahren nach Anspruch 46, wobei ein Nachrichtenserver die codierte Nachricht über die drahtlose Infrastruktur und das drahtlose Netzwerk an die drahtlose mobile Kommunikationsvorrichtung übermittelt.
Verfahren nach Anspruch 47, wobei der Nachrichtenserver die codierte Nachricht von einem Nachrichtenabsender empfängt.
Verfahren nach Anspruch 48, wobei die drahtlose mobile Kommunikationsvorrichtung in einem Zugangsprogramm zum Zugriff auf Nachrichten auffordert, dass gespeicherte Nachrichten durch den Nachrichtenserver an die drahtlose mobile Kommunikationsvorrichtung weitergeleitet werden.
Verfahren nach Anspruch 48, wobei der Nachrichtenserver die codierte Nachricht an die drahtlose mobile Kommunikationsvorrichtung weiterleitet, wenn die codierte Nachricht im Nachrichtenserver empfangen wird, und wobei die codierte Nachricht durch den Nachrichtenabsender unter Verwendung einer speziellen Emailadresse adressiert wird, welche der drahtlosen mobilen Kommunikationsvorrichtung zugeordnet ist.
Verfahren nach Anspruch 48, wobei der Nachrichtenserver die codierte Nachricht an die drahtlose mobile Kommunikationsvorrichtung weitersendet.
Verfahren nach Anspruch 48, wobei der Nachrichtenserver Mittel zum Weitersenden der codierten Nachricht an die drahtlose mobile Kommunikationsvorrichtung umfasst.
Verfahren nach Anspruch 52, wobei, bevor die codierte Nachricht an die drahtlose mobile Kommunikationsvorrichtung weitergesendet wird, ein Weitersendungsprogramm die codierte Nachricht neu kuvertiert bzw. verpackt, um so die Information zur Adresse der codierten Nachricht beizubehalten.
Verfahren nach Anspruch 53, wobei das Weitersendungsprogramm die codierte Nachricht neu kuvertiert bzw. verpackt, um so eine Antwort auf die Nachricht zu ermöglichen, die durch die drahtlose mobile Kommunikationsvorrichtung erzeugt wird, um den Nachrichtenabsender zu erreichen.
Verfahren nach Anspruch 1, wobei eine Information zum Zertifikat eines Benutzers der drahtlosen mobilen Kommunikationsvorrichtung übermittelt wird durch ein Informationsübermittlungsmittel der drahtlosen mobilen Kommunikationsvorrichtung.
Verfahren nach Anspruch 55, wobei das Informationsübermittlungsmittel der drahtlosen mobilen Kommunikationsvorrichtung ein drahtloses Kommunikationsmodul umfasst.
Verfahren nach Anspruch 56, wobei das drahtlose Kommunikationsmodul ausgewählt wird aus der Gruppe bestehend aus: eine Infrarotvorrichtung, ein Bluetooth-Modul und ein 802.11-Modul.
Verfahren nach Anspruch 1, wobei Zertifikatsperrlisten an die drahtlose mobile Kommunikationsvorrichtung übermittelt werden durch ein Infor mationsübermittlungsmittel der drahtlosen mobilen Kommunikationsvorrichtung.
Verfahren nach Anspruch 58, wobei das Informationsübermittlungsmittel der drahtlosen mobilen Kommunikationsvorrichtung einen seriellen Anschluss oder einen Universal Serial Bus (USB)-Anschluss umfasst.
Verfahren nach Anspruch 58, wobei das Informationsübermittlungsmittel der drahtlosen mobilen Kommunikationsvorrichtung eine Infrarotvorrichtung, ein Bluetooth-Modul oder ein 802.11-Modul umfasst.
Verfahren nach Anspruch 1, wobei die codierte Nachricht durch die drahtlose mobile Kommunikationsvorrichtung durch Mittel zum Bereitstellen einer drahtlosen Infrastruktur und durch Mittel zum Bereitstellen eines drahtlosen Netzwerkes erhalten werden.
Verfahren nach Anspruch 61, wobei Mittel zum Bereitstellen eines Nachrichtenservers die codierte Nachricht durch das Mittel zum Bereitstellen der drahtlosen Infrastruktur an die drahtlose mobile Kommunikationsvorrichtung übermitteln.
Verfahren nach Anspruch 62, wobei das Mittel zum Bereitstellen eines Nachrichtenservers die codierte Nachricht von einem Nachrichtenabsender empfängt.
Verfahren nach Anspruch l, wobei ein Nachrichtenserver die codierte Nachricht durch eine drahtlose Infrastruktur und ein drahtloses Netzwerk an die drahtlose mobile Kommunikationsvorrichtung übermittelt, wobei die codierte Nachricht eine Vielzahl von verschlüsselten Einmalschlüsseln umfasst, wobei der Nachrichtenserver den verschlüsselten Einmalschlüssel, der der drahtlosen mobilen Kommunikationsvorrichtung zugeordnet ist, festlegt, und wobei der Nachrichtenserver die codierte Nachricht neu so strukturiert, dass die codierte Nachricht an die drahtlose mobile Kommunikationsvorrichtung gesendet wird, ohne dass sie wenigstens einen verschlüsselten Einmalschlüssel enthält, der nicht der drahtlosen mobilen Kommunikationsvorrichtung zugeordnet ist.
Verfahren nach Anspruch 64, wobei die codierte Nachricht eine digitale Signatur umfasst, und wobei der Nachrichtenserver die digitale Signatur überprüft und an die drahtlose mobile Kommunikationsvorrichtung ein Ergebnis der Überprüfung der digitalen Signatur sendet.
Verfahren nach Anspruch 1, wobei ein Benutzer der Vorrichtung eine Information zur Sicherheit während der zweiten Decodierungsoperation eingibt, um so einen verschlüsselten Einmalschlüssel entschlüsselt zu erhalten.
Verfahren nach Anspruch 66, wobei die Information zur Sicherheit ein Passwort umfasst.
System zur Verarbeitung codierter Nachrichten in einer drahtlosen mobilen Kommunikationsvorrichtung, welches folgendes umfasst: Mittel zum Empfangen einer codierten Nachricht in der drahtlosen mobilen Kommunikationsvorrichtung, wobei eine Vielzahl von Decodierungsoperationen mit der codierten Nachricht durchzuführen sind bevor die decodierte Nachricht in der drahtlosen mobilen Kommunikationsvorrichtung verwendet wird; Mittel zum Durchführen einer ersten Decodierungsoperation mit der codierten Nachricht, um so eine teilweise decodierte Nachricht zu erzeugen, wobei die erste Decodierungsoperation wenigstens eine der Decodierungsoperationen durchführt, welche mit der codierten Nachricht durchzuführen sind; Mittel zum Speichern der teilweise decodierten Nachricht in einem Speicher der drahtlosen mobilen Kommunikationsvorrichtung; Mittel zum Abrufen der teilweise decodierten Nachricht aus dem Speicher; und Mittel zum Durchführen einer zweiten Decodierungsoperation mit der teilweise decodierten Nachricht, um so eine decodierte Nachricht zur Anwendung in der drahtlosen mobilen Kommunikationsvorrichtung zu erzeugen.
Computersoftware, die in einem Computer-lesbaren Medium gespeichert wird, wobei die Computersoftware einen Programmcode zur Durchführung eines Verfahrens umfasst, welcher eine codierte Nachricht in einer drahtlosen mobilen Kommunikationsvorrichtung verarbeitet, wobei besagtes Verfahren die folgenden Schritte umfasst: Durchführen einer ersten Decodierungsoperation mit der codierten Nachricht, um so eine teilweise decodierte Nachricht zu erzeugen, wobei die erste Decodierungsoperation wenigstens eine der Decodierungsoperationen ausführt, welche mit der codierten Nachricht auszuführen sind; Speichern der teilweise decodierten Nachricht im Speicher der drahtlosen mobilen Kommunikationsvorrichtung; Abrufen der teilweise decodierten Nachricht aus dem Speicher als Antwort auf eine Aufforderung, auf die empfangene Nachricht zuzugreifen; Ausführen einer zweiten Decodierungsoperation mit der teilweise decodierten Nachricht, um so eine decodierte Nachricht zur Verwendung in der drahtlosen mobilen Kommunikationsvorrichtung zu erzeugen.