JP2005521142A - 証明情報記憶装置および証明情報記憶方法 - Google Patents

証明情報記憶装置および証明情報記憶方法 Download PDF

Info

Publication number
JP2005521142A
JP2005521142A JP2003577495A JP2003577495A JP2005521142A JP 2005521142 A JP2005521142 A JP 2005521142A JP 2003577495 A JP2003577495 A JP 2003577495A JP 2003577495 A JP2003577495 A JP 2003577495A JP 2005521142 A JP2005521142 A JP 2005521142A
Authority
JP
Japan
Prior art keywords
digital certificate
information
storage device
data storage
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
JP2003577495A
Other languages
English (en)
Inventor
ニール ピー. アダムス,
ハーバート エー. リトル,
マイケル ジー. カークアップ,
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BlackBerry Ltd
Original Assignee
Research in Motion Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Research in Motion Ltd filed Critical Research in Motion Ltd
Publication of JP2005521142A publication Critical patent/JP2005521142A/ja
Ceased legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates

Abstract

デジタル証明書からのデジタル証明データをコンピュータ機器に格納するシステムと方法を提供する。コンピュータ機器がデジタル証明書を受信したときに、そのデジタル証明書の中のデジタル証明データが、コンピュータ機器の第一メモリストア中に格納されているかどうかを判定する。第一メモリストアに該デジタル証明データが格納されていないと判定したならば、そのデジタル証明データを第一メモリストアに格納する。デジタル証明書からデジタル証明情報を抽出するステップと、抽出したデジタル証明情報がメッセージ通信クライアントのデータ記憶装置に格納されているかどうかを判定するステップと、抽出したデジタル証明情報がデータ記憶装置に格納されていない場合には、その抽出したデジタル証明情報をそのデータ記憶装置に格納するステップとを含む方法が提供される。

Description

本出願は、全般的には機密保護電子メッセージ通信に関し、特に、電子メッセージ中に含まれる暗号情報をコンピュータ機器のメモリに格納することに関するものである。
背景
本出願は、その開示内容全体を本願明細書に引用したものとする、2002年3月20日に出願された米国仮特許出願番号60/365、516の利益を請求するものである。
最新技術の説明
コンピュータ機器上で作動するeメール・ソフトウエア・アプリケーションのような、よく知られている機密保護メッセージ通信クライアントは、機密保護メッセージ通信情報を格納するため、他の情報と別のデータ記憶装置又はデータ記憶領域を維持している。このような機密保護メッセージ通信情報には、デジタル証明書、公開鍵及び同類のものが含まれる。他の情報には、アドレス帳のような接触先情報、備忘メモ及び約束の日程表のようなスケジュール情報や同類のものが含まれる。デジタル証明書には、他の種類の格納情報と関連する情報が含まれる。例えば、デジタル証明書には、通常、エンティティの公開鍵、及び、一つ以上のデジタル署名とともに、その公開鍵につながる身元情報が含まれている。メッセージ通信クライアントがデジタル証明書をシステムにロードして使用する際に、そのクライアントがアクセスできるアドレス記憶装置にエンティティへの接触先情報が既に格納されていない場合には、ユーザは、そのデジタル証明書中に識別されたエンティティとの接触先情報を、メッセージ通信クライアントに格納されたアドレス帳又は類似の接触先リストに手動で追加するか、あるいは、エンティティにメッセージを送信するたびに、そのエンティティのアドレスを手で入力しなければならない。
要約
デジタル証明書からデジタル証明情報を抽出し、抽出したデジタル証明情報がメッセージ通信クライアントの記憶装置に格納されているかどうかを判定し、抽出したデジタル証明情報が記憶装置に格納されていない場合には、該抽出デジタル証明情報をその記憶装置に格納するというステップを含む本発明の特徴にしたがって、メッセージ通信クライアントが受信したデジタル証明書からのデジタル証明情報を格納する方法。
デジタル証明書を受信するように構成されたデジタル証明書ローダ・モジュールと、デジタル証明書ローダ・モジュールがデジタル証明書を受信した後、デジタル証明書からデジタル証明情報を抽出し、抽出したデジタル証明情報が第一データ記憶装置の中のエントリに格納されているかどうかを判定し、該抽出デジタル証明情報が第一データ記憶装置の中のエントリに格納されていない場合には、その抽出デジタル証明情報を第一データ記憶装置の中のエントリに格納するように構成されたデジタル証明情報インジェクタ・モジュールとを含む本発明の他の特徴にしたがって、メッセージ通信クライアントにデジタル証明情報を格納するためのシステム。
本発明のさらなる特徴にしたがって、移動通信機器中に格納されたデジタル証明データを管理する方法であって、移動通信機器に伝送されてきたデジタル証明データを受信し、その伝送デジタル証明データを、移動通信機器中のメモリストアに格納されているデジタル証明データと対比し、メモリストアに格納されていない伝送デジタル証明データについては、メモリストアを更新してこれを格納するというステップを含む方法。
詳細な説明
機密保護メッセージには、データの守秘、データの完全性及びユーザ認証のうちの一つ以上を確実にするため、デジタル署名がされ、暗号化され、あるいは別な方法で処理されたメッセージが含まれる。例えば、機密保護メッセージが、送り手により署名された、暗号化された、暗号化され次に署名された、あるいは、署名され次に暗号化されたメッセージの形をとることがある。これらの処理は、セキュア・マルチパーパス・インターネットメール・エクステンション(S/MIME)規格のようなよく知られた規格にしたがって実行することができる。
図1は、メッセージ通信システムの構成図である。メッセージ通信システムには多くの様々な方式があり、図1に示したシステムは、この文書で開示するシステムと方法を使用することのできる多くの方式の一つである。
システム10は、広域通信網(WAN)12を含み、これにはコンピュータ装置14、無線ネットワーク・ゲートウェイ16、及び企業の構内通信網(LAN)18が接続されている。また、無線ネットワーク・ゲートウェイ16は、無線通信ネットワーク20にも接続されており、この中で、無線移動通信機器(以降、主として移動機器という)が動作するように構成されている。
コンピュータ装置14は、WAN12に接続するよう構成されたデスクトップ又はラップトップのパソコンを表している。このWAN12は、私的ネットワークであってもインターネットのようなもっと大きい公にアクセス可能なネットワークであってもよい。コンピュータ装置14のようなパソコンは、通常、インターネット・サービス・プロバイダ(ISP)、アプリケーション・サービス・プロバイダ(ASP)や類似業者を通してインターネットにアクセスする。
企業LAN18は、ネットワーク基盤のメッセージ通信クライアントの一例である。図のように、企業LAN18は、通常、保安ファイアウォール24の後ろ側に配置される。企業LAN30の中に、ファイアウォール24内にあるコンピュータのため運用されるメッセージ・サーバ26があり、LAN18内部でのメッセージ交換、及びWAN20経由で様々な外部のメッセージ通信クライアントとのメッセージ交換の双方のための企業の主要インタフェースとして機能している。メッセージ・サーバ26として最も一般的な二つサーバは、マイクロソフト(登録商標)・エックスチェンジとロータス・ドミノ(登録商標)サーバ製品である。これらのサーバは、多くの場合、メールのルートを決めて配信するインターネットのルータとつないで使用される。メッセージ・サーバ26を、単なるメッセージの送信及び受信を超えて機能拡張し、日程表、やることリスト、課題リスト、eメール及び文書作成のようなデータのため、あらかじめ定めたデータベース・フォーマットを持つダイナミック・データベース格納エンジンのような機能を備えることができる。
メッセージ・サーバ26は、LAN18内の一つ以上のコンピュータ装置28にメッセージ通信能力を提供する。一般的なLANには、コンピュータ装置28として一般化して示したような複数のコンピュータ装置が含まれ、そのそれぞれが、メッセージ通信機能のため、ほとんどの場合マイクロソフト・アウトルック(登録商標)のようなのソフトウエア・アプリケーションとしてメッセージ通信クライアントを実行する。ネットワーク18では、メッセージ・サーバ26がメッセージを受信し、受信したメッセージの中で宛先指定されたユーザ・アカウントのため適切なメールボックスに配信し、一つ以上のコンピュータ装置28のうちの一つのコンピュータを通してユーザがそれにアクセスする。LAN18中のメッセージ通信クライアントは、コンピュータ装置28上で動作するが、電子メッセージ通信能力を備えた携帯機器や他の装置や機器とともに動作するよく知られたメッセージ通信クライアントもある。メッセージ・サーバ26と同様に、メッセージ通信クライアントもメッセージ通信以外の機能を保有することができる。
無線ネットワーク・ゲートウェイ16は、無線ネットワーク20にインタフェースを提供し、これを通して移動機器22とメッセージの交換をすることができる。無線ネットワーク・ゲートウェイ16は、移動機器22へのアドレス指定、無線送信のためのメッセージのコード化又は他の方法による変換、及び、他の必要ないっさいのインタフェース機能といった機能を実施する。無線ネットワーク・ゲートウェイ16を、複数の無線ネットワーク20とつなげて動作するように構成している場合には、無線ネットワーク・ゲートウェイ16は、所定のユーザの所在を確認できる可能性の最も高いネットワークを判断し、ユーザが国や各ネットワーク間を移動するのを追跡することもできる。
WAN12とのアクセスを保持するいっさいのコンピュータ装置は、無線ネットワーク・ゲートウェイ16を通して、移動機器22とメッセージを交換できる。他の方法として、無線バーチャル・プライベート・ネットワーク(VPN)ルータのような私的無線ネットワーク・ゲートウェイを実行して、20のような無線ネットワークに私的なインタフェースを提供することもできる。例えば、LAN18中で実行される無線VPNは、無線ネットワーク20を通して、LAN18から一つ以上の移動機器への私的インタフェースを提供する。
このような、無線ネットワーク・ゲートウェイ16及び/又は無線ネットワーク20を経由する無線機器への私的インタフェースは、メッセージ・サーバ26とともに動作するメッセージ転送又は出力先変更システムを備えることによって、LAN18外部のエンティティに効果的に拡大適用することができる。この種のシステムにおいては、メッセージ・サーバ26が受信して、移動機器22を保持するユーザに転送する着信メッセージは、例えば、無線VPNルータ、ゲートウェイ16又は他のインタフェースのいずれかの無線ネットワーク・インタフェースを通して、無線ネットワーク20と移動機器22を保有するユーザに向け出力先変更される。メッセージ・サーバ26上で動作する模範的な出力先変更システムは、この文書にその全体を開示して参考提示する合衆国特許番号6,219,694、題名「ホスト装置から共有電子アドレスを保持する移動データ通信機器へ情報をプッシュするためのシステムと方法」に発表された種類のものであろう。
20のような無線ネットワークでは、通常、無線ネットワーク20内の基地局と移動機器の間のRF送信を通してメッセージがやりとりされる。近代的無線ネットワークは一般的に数千の加入者にサービス提供しており、それぞれの加入者が移動機器を保有している。無線ネットワーク20は、データ中心の無線ネットワーク、音声中心の無線ネットワーク又は/及び同一の実地基地局で音声及びデータ通信の双方に対応できるデュアル・モード・ネットワークのような様々な多くの無線ネットワークの一つであってよい。デュアル・モード・ネットワークには、これらに限定はされないが、最近開発されたコード・ディビジョン・マルチプル・アクセス(CDMA)ネットワーク、グループ・スペシアル・モービル又はグローバル・システム・フォア・モービル・コミュニケーション(GSM)、及びジェネラル・パケット・ラジオ・サービス(GPRS)、ならびに、エンハンスド・データ・レーツ・フォア・グローバル・エボリューション(EDGE)及びユニバーサル・モービル・テレコミュニケーションズ・システムズ(UMTS)のような将来の第三世代(3G)ネットワークが含まれる。GRPSは、GSM無線ネットワークへのデータ・オーバーレイであり、欧州のほとんど全ての国で運用されている。これら例示した無線ネットワークに加えて、他の無線ネットワークを使用することもできる。
データ中心のネットワークの他の例として、これに限定はされないが、モビテックス(登録商標)ラジオ・ネットワーク(「モビテックス」)及びデータタック(登録商標)ラジオ・ネットワーク(「データタック」)がある。旧来の音声中心のデータ・ネットワークの例としては、CDMA、GSMのようなパーソナル・コミュニケーション・システムズ(PCS)、及びタイム・ディビジョン・マルチプル・アクセス(TDMA)がある。
移動機器22は、データ通信機器、音声通信機器、又は、音声、データ及び他の種類の通信能力を持つ多重モード機器のいずれであってもよい。典型的な移動機器22についての更なる詳細は、図8と関連させて後記する。
おそらく、今日使われている最も一般的な種類のメッセージ通信はeメールである。標準的なeメール・システムでは、eメールの送り手が、おそらくメッセージ・サーバ及び/又はサービス・プロバイダの装置を通してeメールメッセージを送信し、一般的にはインターネットを通して一人又は複数のメッセージ受け手に送られる。eメールメッセージは、通常は暗号化されずに送信され、eメール・メッセージのフォーマットを定義するために、旧来のシンプル・メール・トランスファー・プロトコル(SMTP)、RFC822ヘッダ及びMIMEの本体部分が使用される。前に簡単に記述したように、宛先指定されたメッセージ受け手に送られるメッセージを、移動機器に出力先変更することができる。無線連結では、物理的に有線接続と同じような方法で機密保護はできないので、無線ネットワークを通して伝送するメッセージはしばしば暗号化される。メッセージの送り手と各受け手の間で機密保護伝送メカニズムを併用すれば、全体的なメッセージの機密保護はさらに向上する。
近年、eメールメッセージのようなメッセージの内容と完全性の双方を保護するための機密保護メッセージ通信技法が発展してきた。S/MIME及びプレティ・グッド・プライバシー(登録商標)(PGP(登録商標))は、データ内容を保護するための暗号化及びメッセージの完全性を保護するための署名を提供し、受け手による送り手認証を提供する二つの公開された機密保護eメールメッセージ通信プロトコルである。
図2は、メッセージ通信システムと機密保護eメール交換を図示した構成図である。図2中のメッセージ通信システムは、eメール送り手30と移動機器22で動作している二つのメッセージ通信クライアントの間でのeメール交換の事例に関与するコンポーネントを図示したものである。全体的なメッセージ通信システムの中に、及び送り手から受け手の移動機器22にメッセージを送る経路に関与する、他に多くのコンポーネントが存在するが、図面の混雑を避けるために図2には示していない。また、図2には機密保護メッセージの一例として、暗号化され署名されたメッセージが示されている。本文書で開示するシステムと方法は、他の種類の機密保護メッセージを送信、受信することのできるメッセージ通信クライアントにも同様に応用できる。送り手システムのユーザが、例えば、デフォルト構成設定するか、又はメッセージ毎にいずれかを選定することによって、メッセージ通信クライアントを、機密保護あるいは非機密保護メッセージのどちらかを送信するように構成することができる。
図2のシステムには、WAN32にアクセスするように構成されたeメール送り手30が含まれる。無線ゲートウェイ34は、移動機器22がその中で動作するよう適合された無線ネットワーク36へのインタフェースを提供する。
eメール送り手30は、例えば、図1中の装置14のようなパソコンでもよく、28のようなネットワークに接続されたコンピュータでもよい。また、このeメール送り手がeメールメッセージを作成し送信することのできる移動機器であってもよい。WAN32、無線ゲートウェイ34、無線ネットワーク36及び移動機器22は、図1中に同様に標示されたコンポーネントと実質的には同一である。
S/MIME及びPGPのような機密保護メッセージ通信仕組みにしたがって、メッセージ40は、eメール送り手30が選択した一回ごとのセッション鍵を使って暗号化される。このセッション鍵はメッセージ本体をを暗号化するのに使用され、その後、メッセージを送る各宛先のメッセージ受け手の公開鍵を使ってそれ自体が暗号化される。このような方法で暗号化されたメッセージ40には、暗号化されたメッセージ本体44と暗号化されたセッション鍵46が含まれる。この種類の暗号化仕組みにおいては、eメール送り手30のようなメッセージの送り手は、暗号化したメッセージを送信する各エンティティの公開鍵へのアクセスを保持していなければならない。
30のような機密保護eメールメッセージの送り手は、通常、メッセージのダイジェストを作成し、送り手の秘密鍵を使用してそのダイジェストに署名することによって、メッセージに署名する。ダイジェストは、例えば、メッセージに、検査合計、巡回冗長検査(CRC)、メッセージ・ダイジェスト・アルゴリズム(MD5)のようなダイジェスト・アルゴリズム、セキュア・ハッシング・アルゴリズム(SHA−1)のようなハッシュ・アルゴリズム、又は、好ましくは、他の不可逆な処置を実行することによって作成することができる。図2に示した例では、暗号化されたメッセージ本体44及び暗号化されたセッション鍵の双方がダイジェストの作成に使用されている。次に、送り手30が送り手の秘密鍵を使ってこのダイジェストに署名する。この署名秘密鍵は、例えば、ダイジェストに暗号化や他の変換処置を施して、ダイジェスト署名を作成するために使用される。次に、ダイジェスト及びダイジェスト署名を含むデジタル署名が、42に示すように、発信メッセージに添付される。送り手のデジタル証明書には、送り手の公開鍵、及び、一つ以上のデジタル署名とともに、その公開鍵につながる身元情報が含まれており、場合によっては、送り手のデジタル証明書及び任意の連鎖デジタル証明書に関連するいっさいの連鎖デジタル証明書及び認証廃棄リスト(CRL)を機密保護メッセージ40に添付することもできる。
S/MIMEでは、通常、デジタル署名、ならびに、もし含まれる場合にはいっさいのデジタル証明書及びCRLを、図2に示すようにメッセージの冒頭に配置する。他の機密保護メッセージ通信仕組みに従ったメッセージは、図示した順と違う順序でメッセージコンポーネントを配置することがあり、また、追加及び/又は異なるコンポーネントが含まれることもある。例えば、機密保護メッセージ40には、少なくとも宛先及び、おそらくは、署名されることはあるが一般的にはほとんどが暗号化されていない他のヘッダ情報が含まれている。
送り手30から機密保護eメールメッセージを送信する場合、それはWAN32を通して無線ゲートウェイ34に送られる。前記したように、eメール送り手30は、メッセージ40を直接無線ゲートウェイ34に送信することもでき、その代わりに、メッセージ40を移動機器22に結合しているコンピュータ装置に転送し、そこで無線ゲートウェイ34を通して出力先を移動機器22に変更することもできる。代わりの方法として、無線VPNルータ経由で無線ネットワーク36を通して、メッセージを移動機器22に送信又は出力先変更することができる。
このような署名されたメッセージの受け手、図2に示す事例では移動機器22、は、デジタル署名42を検証することができる。デジタル署名42を検証するために、移動機器のユーザは、メッセージの送り手が使用した署名作成アルゴリズムに対応するデジタル署名確認アルゴリズム及び送り手の公開鍵を使用するが、送り手のアルゴリズムを、メッセージのヘッダの中又はデジタル署名42の中に記入しておくことができる。機密保護メッセージに送り手のデジタル証明書が含まれている場合には、送り手の公開鍵をそのデジタル証明書から抽出することができる。その代わりに、送り手の公開鍵を、例えば、その公開鍵が送り手の以前のメッセージから抽出され、受け手のローカル記憶装置中の鍵記憶領域に格納されている場合、又は、送り手の以前のデジタル証明書がローカル記憶装置に格納されている場合にはそのローカル記憶装置から、あるいは、公開鍵・サーバ(PKS)から読み出すことができる。PKSは、通常、認証局(CA)とつながれたサーバで、CAからは公開鍵を含むエンティティのデジタル証明書を入手できる。PKSは、図1のLAN18のような企業LAN内に所在することもあり、又はWAN、インターネット、あるいは、メッセージの受け手がそれを通してPKSとの交信を確立できる他のネットワークやシステムのどこかに所在することもある。
デジタル署名アルゴリズム及びダイジェスト・アルゴリズムは公に知られているが、送り手は、自分自身の秘密鍵を使用して元のメッセージに署名する。したがって、元のメッセージを変更したエンティティは、送り手の公開鍵で検証できるデジタル署名を作成することができない。送り手が署名した後で、送信されたメッセージがアタッカーに変更された場合、送り手の公開鍵に基づくデジタル署名検証はできなくなる。これらの数学的操作は、誰もが機密保護メッセージ内容を見ることを防げるものでなく、送り手の署名がされているのでそのメッセージが改ざんされていないこと、及びそのメッセージがメッセージの「From」欄に示された人により署名されたものであることを確実にするものである。
デジタル署名42が検証された場合、また時としては、デジタル署名検証が機能しない場合であっても、表示や次の処理を行う前に、暗号化されたメッセージ本体の解読が行われる。メッセージの受け手は、自己の秘密鍵を使って、暗号化されたセッション鍵46を解読し、その解読されたセッション鍵46を使って、暗号化されたメッセージ本体44を解読し、これにより元のメッセージを再生する。一般的には、解読にあたって、パスワードやパスフレーズの入力のようなユーザ側の処置が必要である。通常、暗号化メッセージは、暗号化された書式のままで受け手メッセージ通信クライアントに格納されることになる。そのメッセージを表示又は別の処理をするたびに、まずそれを解読する。当業者は、一つのエンティティが、署名用秘密/公開鍵ペア及び暗号化用秘密/公開鍵ペアのような複数の関連暗号化鍵のペアを保持することがあるのをよく理解していよう。そこで、移動機器22は、暗号化されたメッセージ本体44を解読するために一つの秘密鍵を使用し、発信する機密保護メッセージにデジタル署名するためにこれと異なる秘密鍵を使用することができる。
複数の受け手に宛てられた暗号化メッセージには、それぞれの受け手のためのセッション鍵の暗号バージョンが含まれ、各受け手の公開鍵を使用して暗号化されている。各受け手は同じデジタル署名検証作業を実行するが、自分自身の秘密鍵を使用して、各々異なる暗号化セッション鍵の一つを解読する。
したがって、機密保護メッセージ通信システムにおいては、送り手メッセージ通信クライアントは、暗号メッセージを送信するいっさいの受け手の公開鍵へのアクセスを保持していなければならない。受け手メッセージ通信クライアントは、署名されたメッセージ中のデジタル署名を検証するために送り手の公開鍵を入手しなければならないが、メッセージ通信クライアントは、様々なメカニズムを通してこれを入手することができる。
公開鍵は、普通、デジタル証明書に含まれている。前記のように、一般的には、どのような特定のエンティティについてのデジタル証明書にも、そのエンティティの公開鍵及びそのデジタル署名用の公開鍵につながる身元情報が含まれている。現在、例えばS/MIMEで一般的に使用されるX509型のデジタル証明書を含め、いくつかの種類のデジタル証明書が普及している。PGPでは、やや異なったフォーマットのデジタル証明書が使われる。専用規格に従ったデジタル証明書のような、他のデジタル証明書を使うこともできる。
デジタル証明書中のデジタル署名は、そのデジタル証明書の発行者によって作成され、前記のように、メッセージの受け手はしっかりと確認できる。デジタル証明書には、失効期日又は有効期間を含めることができ、これにより、メッセージ通信クライアントはデジタル証明書が期限切れかどうかを判定する。デジタル証明書の有効性の検証には、デジタル証明書連鎖を通して認証経路を追跡することが含まれることもあり、これには、ユーザのデジタル証明書及びそのユーザのデジタル証明書が真正であることを検証するための他のデジタル証明書が含まれる。また、デジタル証明書をCRLと照合して、そのデジタル証明書が無効になっていないことを確実にすることもできる。
特定のエンティティについてのデジタル証明書中のデジタル署名が有効であれば、そのデジタル証明書は期限切れでなく、取り消しもされておらず、該デジタル証明書又は連鎖デジタル証明書の発行者を信用することができ、そのデジタル証明書中の公開鍵が、そのデジタル証明書が発行されたエンティティ(デジタル証明書の対象体ともいう)の公開鍵と判断される。
メッセージ通信クライアントはいくつかの発行元からデジタル証明書を入手できる。受信したメッセージにデジタル証明書が添付されている場合、そのデジタル証明書をメッセージから抽出し、受け手メッセージ通信クライアントのメモリストアに格納することができる。他の方法として、LAN、インターネット又は要求者が交信を確立している他のネットワーク上のPKSにデジタル証明書を要求してダウンロードすることができる。また、メッセージ通信クライアントが、PKS以外の発行元からデジタル証明書をロードすることも考えられる。例えば、最近の多くの移動機器はパソコンと接続できるように構成されている。移動機器をパソコンと接続して、シリアルポートやUSBポートのような物理的接続を経由してデジタル証明書をダウンロードすることにより、無線によるデジタル証明書の伝送を減らすことができる。暗号化メッセージを送信することをユーザが予期している各エンティティのデジタル証明書をロードするためこのような物理的接続を使用するならば、これらのどのエンティティに暗号化メッセージを送信する時にも、デジタル証明書をダウンロードする必要はなくなる。ユーザは、同様にして、そこから署名メッセージを受信することが予期されるいっさいのエンティティのデジタル証明書をロードしておき、たとえそれらのエンティティの一つが、デジタル証明書を署名メッセージに添付していなくても、その署名を検証することができる。
デジタル証明書が格納されており、メッセージ通信クライアントがそれにアクセスできる場合には、よく知られたメッセージ通信クライアントは、各デジタル証明書の対象エンティティとの接触先情報が格納されていなければ、その対象エンティティとの接触先情報を手動で入力するよう要求する。複数のデジタル証明書を一つの移動機器にダウンロードする場合、個々のデジタル証明書に関連する接触先情報を手動入力することがわずらわしいことがある。また、デジタル証明書の失効期日又は有効期間のようなデジタル証明書の他の情報もメッセージ通信クライアントの作業のために重要であり、その手動入力が厄介なことがある。
一つの実施例では、個々のデジタル証明書が移動機器22上にロードされた際に、デジタル証明情報を抽出して、移動機器22上のアドレス帳又は類似の接触先情報記憶領域、場合によってはその他のデータ記憶領域に格納する。
図3はデジタル証明情報記憶領域を備えた移動機器22の構成図である。典型的な移動機器22の更なる詳細を、図8と関連して記述する。
図3に示すように、デジタル証明情報を記憶システムを組み込んだ移動機器22は、メモリ52、デジタル証明書ローダ60、接触先情報インジェクタ62、キーボード及びユーザ・インタフェース(UI)64、無線トランシーバ66、及び整理ある又は汎用シリアルバス(USB)ポート68で構成されている。メモリ52には、好ましくは、デジタル証明書記憶領域54、接触先情報を格納するアドレス帳56、他のデジタル証明情報を格納するための抽出デジタル証明情報記憶領域57、及びアプリケーション・データ記憶領域58として、図3に示す複数の異なる記憶領域又はデータ記憶装置が含まれている。この他のデータもメモリ52に格納することができる。
メモリ52は、機器の他のコンポーネントがデータを書き込めるRAM又はフラッシュメモリのような書込み可能記憶装置である。デジタル証明書記憶領域54は、デジタル証明書を機器22に格納するための専用記憶領域である。デジタル証明書は、受信したままのフォーマット、あるいは、それに代えて、記憶領域54に書き込む前に、構文解析、又は他の方法で保存フォーマットに変換してから、記憶領域54に格納してもよい。アドレス帳56は、移動機器22のユーザが、メッセージを交換することのあるエンティティについての接触先情報を格納する接触先情報記憶領域である。このアドレス帳には、移動機器22を使用してメッセージ通信をするために用いられる情報に加えて、あるいはそれに代えて、実際の住所、メールアドレス及び他の接触先情報をも格納できる。抽出デジタル証明情報記憶領域57は、特定のデジタル証明情報をより簡単、迅速に処理し、移動機器の他の装置や機器上にインストールされたソフトウエア・アプリケーションが、デジタル証明情報をより簡単、迅速に使用することができるようにするため、デジタル証明書記憶領域に記憶されたデジタル証明書からの各種情報を格納するように構成されている。例えば、失効期日又は有効期間をデジタル証明書から抽出して、移動機器22のユーザが約束や備忘メモを作成するのに使い、これにより、格納されているデジタル証明書がいつ期限が切れるか、無効となるかの情報をユーザに提示することができよう。アプリケーション・データ記憶領域58は、移動機器22上のソフトウエア・アプリケーションに関連するデータ格納するもので、メモリ52に格納できる各種情報の一つの説明事例を表している。また、図3に示した機器のシステムに加えて他のシステムがメモリ52を使うこともできる。
デジタル証明書ローダ60は、一般的にはソフトウエア・モジュールやアプリケーションとして実行されるもので、デジタル証明書の移動機器22上へのロードを管理する。前記したように、移動機器は様々な発行元からデジタル証明書を入手することができる。したがって、デジタル証明書ローダ60を無線トランシーバ66及びシリアル及びUSBポート68のような通信モジュールとつなぎ、これらを通してデジタル証明書を要求し、受信することができよう。例えば、デジタル証明書記憶領域54にそのデジタル証明書が格納されていないエンティティから機密保護メッセージを受信又はこれに送信する場合、移動機器22は、無線トランシーバ66を通してPKSにデジタル証明書を要求することができ、また、無線トランシーバ66を通して、要求に応じてデジタル証明書発行元からデジタル証明書を受信することができる。また、シリアル又はUSBポート68を同じ様に装備されたパソコンにつなげて使用し、デジタル証明書を移動機器22上にダウンロードすることもできる。
デジタル証明情報インジェクタ62が、デジタル証明書記憶領域54を監視して、好ましくは、新しいデジタル証明書がデジタル証明書記憶領域54に格納されるのを検出する。これに代えて、機器22上にデジタル証明書がロードされた時に、デジタル証明書ローダ60が、そのことをデジタル証明情報インジェクタに通知するように構成することができる。新しいデジタル証明書がデジタル証明書記憶領域54に格納されたと判定したならば、デジタル証明情報インジェクタ62はそのデジタル証明書から情報を抽出する。接触先情報が抽出された場合には、デジタル証明情報インジェクタ62は、抽出された接触先情報を使ってアドレス帳56に新しいエントリを設けるか、あるいは抽出された接触先情報をアドレス帳56の既存エントリに格納するかして、抽出した接触先情報をアドレス帳56に格納する。
新しいアドレス帳56にエントリを設ける前に、デジタル証明情報インジェクタ62が、アドレス帳56を確認して、好ましくは、その接触先情報又はそのどれかの部分がすでにアドレス帳56のエントリの一つに存在しているかどうかを判定する。例えば、デジタル証明書中の対象名称がeメールアドレスを使って表記されている場合、デジタル証明情報インジェクタ62が、アドレス帳56中のeメールアドレスを検索して、そのeメールアドレスがアドレス帳56中に見つからない場合にだけ新しいアドレス帳エントリを設けるようにすることができる。デジタル証明書対象体のエントリがアドレス帳56に存在する場合であって、デジタル証明情報インジェクタ62が抽出したデジタル証明書に追加の接触先情報が含まれていて、デジタル証明情報インジェクタ62がそれを抽出している場合には、デジタル証明情報インジェクタ62が、その既存の対象体エントリを確認して、好ましくは、該追加接触先情報もそのアドレス帳エントリに存在するかどうかを判定する。もし存在ない場合には、好ましくは、その追加接触先情報を既存のエントリに格納して、その既存エントリを更新する。このようにして、デジタル証明情報インジェクタ62は、抽出された情報を使ってアドレス帳56に新しいエントリを追加するか、あるいは抽出された情報を既存のエントリに格納するかして、アドレス帳56更新することができる。
デジタル証明情報インジェクタ62は、同様にして、移動機器22にロードされたデジタル証明書から他の情報を抽出し、異なる記憶装置や記憶領域57に格納することができる。例えば、前に簡単に記述したように、デジタル証明書には、移動機器のユーザが約束や備忘メモを策定するために使うことのできる失効又は有効性情報を含めることができ、デジタル証明書が終了又は無効になるか、あるいはそうなりそうな時にユーザに警告することができる。この例では、デジタル証明情報インジェクタ62がデジタル証明書の対象体名称及び失効又は有効性情報を抽出し、好ましくは、抽出デジタル証明情報記憶領域57を確認して、その対象体のためのエントリがすでに存在するかどうかを判定する。存在しない場合には、抽出されたデジタル証明情報を使って、新しいエントリ、すなわち新しい備忘メモや約束欄を記憶領域57中に作成する。その対象体のエントリがすでに記憶領域57中に存在する場合には、その既存のエントリ中の失効又は有効性情報を確認して、それが抽出した情報と同一かどうかを判定することができる。同一でない場合には、好ましくは、デジタル証明情報インジェクタ62が抽出した情報によりその既存のエントリを更新する。これは、例えば、新しいデジタル証明書をロードして、まだ失効期日の来ていないデジタル証明書と置き換える場合に有用である。このようにして、前記のように、デジタル証明情報インジェクタ62は、抽出した情報を使って新しいエントリを追加するか、あるいは既存のエントリに抽出した情報を格納することにより、記憶領域57を更新することができる。
同様にして、デジタル証明書中の他の情報を抽出して、移動機器22上のメモリ52に格納することができる。移動機器のユーザが、例えば、デジタル証明情報インジェクタ62に関連する設定を調整することによって、抽出して格納すべきデジタル証明情報の種類を構成できる。
別の実施例では、デジタル証明情報インジェクタ62が、デジタル証明書記憶領域54にアクセスしてデジタル証明情報を抽出する。格納されたデジタル証明書からデジタル証明情報を抽出するための個別の仕組みは、デジタル証明書をデジタル証明書記憶領域54に格納する際のフォーマットいかんによる。デジタル証明書が、受信したままのフォーマットでデジタル証明書記憶領域54に格納されている場合には、デジタル証明情報インジェクタ62は、デジタル証明書をデジタル証明書記憶領域から読み出し、そのデジタル証明情報が識別、抽出できるように、デジタル証明書を適切なフォーマットに構文解析、又は他の方法で変換する。デジタル証明書ローダ60が、受信したデジタル証明書を構文解析又は変換して、構文解析されたデータがデジタル証明書記憶領域54に格納されている場合には、デジタル証明情報インジェクタ62は、他のデータ記憶領域56、57中のエントリ欄への記入の必要に応じて、デジタル証明書記憶領域54の中の構文解析されたデータから関連する情報欄だけを読み取ることになる。後者の例において、デジタル証明書ローダ60は、デジタル証明書からのデジタル証明情報をデジタル証明情報インジェクタ62に手渡すことができ、そこで、デジタル証明情報インジェクタ62が、前記のように、そのデジタル証明情報をアドレス帳56や抽出デジタル証明情報記憶領域57に格納する。
図3に示すようなデジタル証明情報格納システムの構築では、好ましくは、キーボード/UI64のような入力手段を経由するアドレス帳や他の情報の入力を排除しないようにする。ユーザが、既存のアドレス帳エントリの情報への接触先情報の追加、又はその変更、あるいは、新しいアドレス帳エントリを手動で追加することを望む場合に、時折の必要に応じて、例えば、キーボード/UI64、あるいは他の入力機器が、手動による接触先情報の入力及び編集を提供する。
図3には、単一のメモリ52を示してあるが、移動機器22には、いくつかの異なるメモリ・ユニットを含めることができ、記憶領域54,56,57,58を別々のメモリ・ユニットに構築することができる。しかしながら、複数のメモリ・システムにおけるデジタル証明情報保存システムの全体的動作は、実質的には前記と同様である。
この文書で開示するシステムと方法は、図3に示すメモリ配置を持つ移動機器のような構造に限定されるものでない。例えば、デジタル証明書から抽出された情報の格納のために、追加のデータ記憶装置を具備、構成することができる。抽出されたデジタル証明情報の記憶領域57は、接触先情報以外のデジタル証明情報のための記憶装置の一般的な例を意図したものである。同様に、もっと少ない個数のデータ記憶領域でデジタル証明情報の抽出と格納をすることができ、例えば、一種類だけのデジタル証明情報、接触先情報を自動的に格納することができる。
図3では、デジタル証明書ローダ60とデジタル証明情報インジェクタ62は別のブロックとして図示されているが、デジタル証明書ローダ60とデジタル証明情報インジェクタ62を単一のソフトウエア・モジュールとしても、あるいは別々のソフトウエア・モジュールとしても実施できる。
また、デジタル証明情報格納システムを、アプリケーション・データ記憶領域58の中に作成したり、これを更新したりすることもできる。デジタル証明書から抽出された失効又は有効性情報に基づいて、備忘メモや約束を作成し又は修正する上記の例では、一般的には、移動機器22上の、予定表や日程表ソフトウエア・アプリケーションがそのような備忘メモや約束を使用することになろう。
また、デジタル証明情報格納は、移動機器22以外の種類のシステムにも適用することができる。例えば、デスクトップやラップトップ・パソコンにおいては、移動機器22よりも、どちらかといえばデータ入力が容易であり、システムに格納された各デジタル証明書についてのデジタル証明情報の手動入力に要する時間と手間は少なくて済む。
図4は、デジタル証明情報を格納する方法を図示した流れ図である。この方法は、ステップ70から始まるが、この時点は、デジタル証明書がデジタル証明書記憶領域に格納されたことが検出された時のような、デジタル証明書が機器上にロードされた時点である。ステップ72では、デジタル証明書からデジタル証明情報が抽出される。データ記憶領域中に重複したエントリを作成することを防止するために、好ましくは、ステップ74で、該デジタル証明情報、又はeメールアドレスやエンティティの名前のようなその一部情報が、すでにそのデータ記憶領域のエントリに存在していないかどうかを判定する。そのデジタル証明情報がすでに記憶領域に存在する場合には、好ましくは、その既存のエントリを点検して、そのエントリに何か追加すべきデジタル証明情報がないかどうかを判定する。前記したように、ステップ74では、データ記憶領域中のエントリを点検するためにデジタル証明書のエンティティの名前を使うことができ、ステップ75では、既存のエントリを点検して、失効期日や有効期間のような他の抽出情報がすでにその既存のエントリに格納されているかどうかを判定することができる。抽出された追加情報がその既存エントリに発見されない場合には、ステップ77において、その追加抽出情報を加えることによって既存のエントリが更新される。
デジタル証明書から抽出された情報が接触先情報である場合には、ステップ79において、抽出された接触先情報を含めるかあるいはこれによる更新がされたアドレス帳のエントリに機密保護メッセージのフラグを設定することができる。このようなフラグは、該接触先に対応するデジタル証明書が格納されていることを示すものである。これにより、ユーザが接触先にメッセージを送信する時に、その接触先についてのデジタル証明書を受信してロードしているか、また、外部のデジタル証明書発行元からその接触先についてのデジタル証明書を事前に入手することなく、機密保護メッセージをその接触先に送信することができるかどうかを容易に判断することができる。このフラグ又は追加フラグ又は標識を使って、好ましくは、設定可能なデフォルト機密保護メッセージ通信モードにしたがって、機密メッセージを接触先に送信するようにすることもできる。他の方法として、機密保護メッセージ通信フラグを設定したメッセージを接触先に送信するときはいつでも、例えば、平文モード(機密保護なし)、又は、署名及び/又は暗号化機密保護モードのどれか一つを選択するように、ユーザが指示を受けるようにすることもできる。
抽出したデジタル証明情報が、データ記憶装置のどの既存エントリにも発見されず、ステップ74での判定が否定となった場合には、ステップ78において、自動的に新しいエントリが作成され、ステップ80で、抽出された情報が新しいエントリの記入欄に格納される。そこで、ステップ82で、新しいアドレス帳のエントリに前記したような機密保護フラグが設定される。この新しいエントリを、データ記憶装置中の他のいっさいのエントリ、又は、場合によっては、他のデータ記憶装置の類似のエントリと同様に使用することができ、また、例えば、編集、削除、他のユーザへの転送、表示及び類似の処理をすることができる。アドレス帳の新エントリの場合には、その新しいエントリを、発信するメッセージのアドレス指定や受信したメッセージ中の送り手のアドレスをなじみのある名前と置き換えるために使うこともできる。
図5は、デジタル証明情報記憶システムの中に格納されたデジタル証明情報の対象となるメッセージを作成し送信する方法を図示した流れ図である。この方法は、ステップ90から始まり、ここでは始動機器22でメッセージが作成され、一人以上の受け手に宛てられる。ユーザは、例えば、手動でアドレス帳記憶領域56からeメールアドレスを選定するか、又は、以前に移動機器22が受信したメッセージに返信することによって、メッセージの宛先指定をすることができる。
ステップ92では、移動機器22が、メッセージを宛てる相手方エンティティについてのデジタル証明情報がデジタル証明書記憶領域54(又は抽出デジタル証明情報記憶領域57)に格納されているかどうかを判定する。この判定は、宛先となる受け手につながる機密保護メッセージ通信フラグを点検するか、あるいは、デジタル証明書記憶領域54(又は抽出デジタル証明情報記憶領域57)の中の受け手の電子アドレスを検索することによって行うことができる。デジタル証明情報が、デジタル証明書記憶領域54に格納されていない場合には、ステップ94に示すように、「証明書情報不在」オプションのリストが表示される。そこで、ユーザは、ステップ96に示すように、「証明書情報不在」オプションの一つを選定する。説明図のように、「証明書情報不在」オプションの表示と任意選定には、ステップ98に示すような宛先受け手のデジタル証明書を要求、ステップ100で示すようなメッセージの中止、又はステップ102で示すようなメッセージ送信のオプションが含まれている。
ステップ98に示すような宛先受け手のデジタル証明書を要求するオプションが選定された場合には、メッセージは移動機器22中に格納され、移動機器22は、メッセージ宛先受け手のデジタル証明書のデジタル証明書発行元に要求を送信する。そのデジタル証明書を受信したならば、ユーザは、例えば、メッセージの暗号化や宛先受け手の公開鍵を使ったセッション鍵のようないくつかの機密保護処置の一つを選定することができる。
ステップ100に示すようなメッセージを廃棄するオプションが選定された場合には、メッセージ通信作業は中止され、作成されたメッセージは送信されない。
ステップ102に示すようなメッセージを送信するオプションが選定された場合には、メッセージは制限を受けずに送信される。当然、ユーザは、秘密鍵を使ってメッセージにディジタル署名をすることができ、さらに、ユーザのデジタル証明書を発信するメッセージに添付することができる。
ステップ92において、移動機器22が、デジタル証明情報がデジタル証明書記憶領域54に格納されていると判定した場合には、移動機器22は、ステップ104において、そのデジタル証明書が有効なデジタル証明書かどうかを判定する。そのデジタル証明書が有効でない場合には、ステップ94が実行され、ユーザの決定により、引き続きステップ96、98、100、及び102が実行されることになる。
移動機器22が、ステップ104において、該デジタル証明書が有効なデジタル証明書であると判定した場合には、移動機器は、ステップ106に示すように、デフォルト送信フラグが設定されているかどうかを判定する。
デフォルト送信フラグが設定がされている場合には、ステップ102に示すように、メッセージは送信される。デフォルト送信フラグの設定は、ユーザが手動設定することができ、自動設定にすることもできる。デフォルト送信フラグの自動設定を、機密保護メッセージ通信フラグと関連付けることもできる。一つの実施例においては、機密保護メッセージ通信フラグが、デフォルト送信フラグの機能をも実行する。他の実施例においては、デフォルト送信フラグ及び機密保護メッセージ通信フラグは、別々に設定、又は前記のように設定できる別のフラグである。
デフォルト送信フラグによるメッセージの送信には、ユーザの秘密鍵によるメッセージへのディジタル署名、メッセージへのユーザのデジタル証明書の添付、又は、宛先受け手の公開鍵によるメッセージの暗号化のような他の処理の実行を含めることができる。
移動機器22がデフォルト送信フラグが設定されていないと判定した場合には、ステップ108に示すように、「証明書情報」オプションのリストが表示される。そこで、ユーザは、ステップ110に示すように、「証明書情報」オプションの一つを選定する。説明図のように、「証明書情報」オプションの表示と任意選定には、ステップ112に示すようなメッセージへの機密保護処置の実施、又はステップ102で示すようなメッセージ送信のオプションが含まれている。
ステップ112で示すようなメッセージへの機密保護処置の実施オプションが選定された場合には、メッセージを送信する前に、ユーザの秘密鍵によるメッセージへのディジタル署名、メッセージへのユーザのデジタル証明書の添付、又は、宛先受け手の公開鍵によるメッセージの暗号化のような、メッセージに対する一つ以上の機密保護処置を実施することができる。
ステップ102に示すようなメッセージを送信するオプションが選定された場合、メッセージは制限を受けずに送信される。当然、ユーザは、秘密鍵を使ってメッセージにディジタル署名をすることができ、さらに、ユーザのデジタル証明書を発信するメッセージに添付することができる。
図5に描かれたプロセスは、ユーザが、前に移動機器22で受信したメッセージの全ての受け手に返事をする場合、あるいは、新しいメッセージを複数の受け手に送信する場合のような、単一のメッセージの複数の受け手にも、適用することができる。
図6は、デジタル証明書に関連するイベントに基づいてデジタル証明書に関連する作業を実行する方法を図示した流れ図である。ステップ120では、システムが、デジタル証明書に関連するイベントの発生を検出する。デジタル証明書イベントとは、ユーザ又はアプリケーションプログラムいずれかによる、デジタル証明書記憶領域に格納すべきデジタル証明データの受信、関連予定日程の発生、又はデジタル証明書へのアクセスのような、デジタル証明書に関わるイベント又は作業である。
デジタル証明書イベントがデジタル証明書格納イベントの場合には、ステップ122において、デジタル証明書関連データは、デジタル証明書記憶領域に格納され、デジタル証明書の失効期日のようなそのデジタル証明書に関連する日程データは、日程アプリケーション記憶領域内に格納される。
デジタル証明書イベントが日程イベントの場合には、ステップ124において、日程アプリケーションが、日程アプリケーション記憶領域内に格納されている有効期限データに基づいて、デジタル証明書の有効期間の終了日を確認する。日程イベントは、移動機器に電源が入れられ、常駐の日程アプリケーション・プログラムが日程データの失効期日を確認するときに発生するか、あるいは、所定の失効データの日程イベントの発生によるものがある。ステップ126において、このシステムは、日程データに基づいて、無効な(失効日経過により)デジタル証明書が見つからないか判定する。無効なデジタル証明書が発見された場合には、ステップ128において、ユーザにそれら無効なデジタル証明書の通知が行われる。
デジタル証明書イベントがデジタル証明書へのアクセスの場合には、システムが、ステップ130に示すように、アクセスされたデジタル証明書が有効かどうかを判定する。デジタル証明書へのアクセスは、前記のように、移動機器のユーザが、デジタル証明書記憶領域に格納されたデジタル証明書に関連するアドレスにメッセージを宛先指定するとき、あるいは、ユーザがデジタル証明書記憶領域にアクセスし、特定のデジタル証明書を選定するときに発生する。ステップ132において、システムは、例えば、デジタル証明書記憶領域の中に格納されたデジタル証明データ、有効性や失効情報、又はCRLに基づいて、デジタル証明書が有効かどうかを判定する。デジタル証明書が有効でない場合には、ステップ132において、ユーザーにその無効なデジタル証明書の通知がされる。
図7は、自動デジタル証明情報マネージャー・システムの構造的構成図である。デジタル証明情報マネージャー150は、好ましくは、ソフトウエア・アプリケーションであり、移動機器22上に格納され、実行可能となっている。一つのの実施例において、デジタル証明情報マネージャー150は、図3に関して記述したように、説明例では、デジタル証明書ローダ62とデジタル証明情報インジェクタ62及び関連するコンポーネントを含んでいる。
デジタル証明情報マネージャー150は、デジタル証明書インプット・イベント、デジタル証明書へのアクセスイベント154及び日程イベント156の監視を実施でき、これらに対応する機能を実行できる。例えば、デジタル証明情報マネージャー150が、格納すべきデジタル証明書を含むメッセージの受信152a又はデジタル証明データの受信152bのような、デジタル証明書インプット・イベント152を検出した場合には、デジタル証明書インプット・イベントへの対応機能が実行される。デジタル証明書インプット・イベントへの典型的な対応機能には、デジタル証明データをデジタル証明書記憶領域に格納すること、デジタル証明データを構文解析すること、デジタル証明書に関連するメッセージ通信フラグを設定すること、また、日程アプリケーションやアドレス帳アプリケーション記憶領域のような移動機器22のアプリケーション記憶領域を更新することが含まれる。
デジタル証明情報マネージャー150が、デジタル証明書記憶領域に格納されているデジタル証明書に関連するアドレスへのメッセージの宛先指定154a、デジタル証明書記憶領域154bへのアクセス及びデジタル証明書の選定、あるいは移動機器ソフトウエア・アプリケーション154cによるデジタル証明書へのアクセスのような、デジタル証明書へのアクセス・イベント154を検出した場合には、デジタル証明書アクセス・イベントへの対応機能が実行される。デジタル証明書アクセス・イベントへの典型的な対応機能には、デジタル証明書の有効性の確認、及び新規のデジタル証明書の要求、デジタル証明書が無効な場合のユーザへの通知、また、メッセージの署名、メッセージの暗号化及び類似処置のような機密保護処置の実施が含まれる。
デジタル証明情報マネージャー150が、デジタル証明書の失効期日の発生のような日程イベント156を検出した場合には、そのデジタル証明書の失効がユーザに通知される。
図8は、その中で本文書に開示したシステムと方法が実行できる機器の一例としての、無線移動通信機器の構成図である。この移動機器600は、好ましくは、少なくとも音声及びデータ通信能力を保持する双方向通信機器である。移動機器600は、好ましくは、インターネット上にある他のコンピュータ装置と交信する能力を保持している。移動機器に備えられた機能によって、この移動機器は、データメッセージ通信機器、双方向ページャ、データメッセージ通信能力を持つ携帯電話、無線インターネット機器、又はデータ通信機器(通話能力の有無に関わらず)と呼ばれることになろう。前記したように、このような機器を、この文書では、単に移動機器と包括的に呼称する。
移動機器600には、トランシーバ611、マイクロプロセッサ638、ディスプレー622、フラッシュメモリ624、ランダムアクセス・メモリ(RAM)626、補助入力/出力(I/O)装置628、シリアルポート630、キーボード632、スピーカー634、マイクロフォン636、短距離無線通信サブシステム640、及び他の機器サブシステム643が含まれる。トランシーバ611には、送信アンテナ及び受信アンテナ616、618、受信装置(Rx)612、送信装置(Tx)614、一つ以上の局部発振器(LO)613、及びディジタル信号プロセッサ(DSP)620が含まれている。移動機器600は、フラッシュメモリ624の中に、音声通信モジュール624A、データ通信モジュール624B、及び他の複数の機能を遂行するための他の複数の運用可能なモジュール624Nを含め、マイクロプロセッサ638(及び/又はDSP620)上で実行できる複数のソフトウエア・モジュール624A−624Nを保持している。
移動機器600は、好ましくは、音声及びデータ通信能力を持つ双方向通信機器である。しかして、例えば、移動機器600は、いっさいのアナログ及びディジタル・セルラー・ネットワークのような音声ネットワーク上で通信でき、また、データ・ネットワークでも通信できる。図8上では、音声及びデータ・ネットワークは、通信塔619として描かれている。これらの音声及びデータ・ネットワークは、基地局、ネットワーク制御装置等のような別々のインフラストラクチャを使用する通信ネットワークでもよく、これらが統合された単一の無線ネットワークでもよい。したがって、ネットワーク619の参照図は、音声及びデータの単一ネットワークか、それとも別々のネットワークかの次元を超えて解釈すべきものである。
ネットワーク619と通信するために、通信サブシステム611が使われる。DSP620は、送信装置614への、及び受信装置612からの通信信号を送受信するために使用されており、また、送信装置614及び受信装置612と制御情報の交換もできる。音声及びデータ通信が、単一の周波数、又は狭い間隔の周波数セットで行われる場合、単一のLO613を、送信装置614及び受信装置612とつなげて使用することができる。あるいは、音声通信とデータ通信に異なる周波数を使う場合には、複数のLO613を使い、ネットワーク619に対応する複数の周波数を発生させることができる。図8には二つのアンテナ616、618が描かれているが、単一アンテナ構造の移動機器600を使用することができる。音声及びデータ情報両方を含む情報は、DSP620とマイクロプロセッサ638の間のリンクを経由して通信モジュール611が送受信する。
周波数帯、部品選定、出力レベル等のような、通信サブシステム611の詳細設計は、その中で移動機器600を動作させようと意図している通信ネットワーク613によって決まる。例えば、北米市場での運用を意図された移動機器600には、モビテックスやデータタック移動データ通信ネットワークの下で動作するよう設計され、また、AMPS、TDMA、CDMA、PCS等のような多様な音声通信ネットワークのいずれかの下で動作するよう設計された通信サブシステムが含まれようし、欧州用に意図された移動機器600は、GPRSデータ通信ネットワーク及びGMS音声通信ネットワークの下で動作するよう構成されることになろう。他の種類の、分離された及び統合された両方のデータ及び音声ネットワークに対してもこの移動機器600を使用することができる。
ネットワーク619の種類によっては、移動機器600に対するアクセス要求事項は異なってくる。例えば、モビテックスやデータタック・データ通信ネットワークにおいては、移動機器は、それぞれの機器と結び付く固有の識別番号を使って、使用ネットワークに登録される。しかしながら、GPRSデータネットワークにおいては、ネットワークへのアクセスは、移動機器600の加入者及びユーザに結び付けられている。GPRS機器には、一般的に、加入者識別モジュール(「SIM」)が必要であり、これは、その移動機器600をGPRSネットワーク上で動作させるために必要なものである。SIMがなくとも、ローカル又はネットワーク外の通信機能(もしあれば)は動作できるが、「911」緊急電話のような法的に要求されている動作を除いて、SIMがなければ、移動機器600はネットワーク619経由の通信を必要とするいっさいの機能を実施できないことになる。
必要ないっさいのネットワーク登録や起動手続きが完了すれば、移動機器600は、好ましくは音声及びデータ信号の両方を含めて、ネットワーク619上で通信信号の送信及び受信をすることができる。通信ネットワーク619からアンテナ616に受信された信号は、受信装置612に送られ、そこで、信号増幅、周波数低減変換、ろ波、チャネル選定、及びアナログ・ディジタル変換のような操作が行われる。受信信号のアナログ・ディジタル変換により、DSP620を使って実行するデジタル復調及び復号のような、さらに複雑な通信機能が実施できる。同様な方法で、ネットワーク612に送信する信号に対し、DSP620によって、例えば変調及び符号化を含めた処理が行われ、それが送信装置614に送られ、そこでディジタル・アナログ変換、周波数上昇変換、ろ波、増幅されてアンテナ経由で通信ネットワーク619へ送信される。図8には、音声及びデータ通信両方のための単一のトランシーバ611が示されているが、移動機器600に、二つの区別されたトランシーバを内蔵し、一番目のトランシーバを音声信号の送受信用、二番目のトランシーバをデータ信号の送受信用とすることができる。移動機器に複数のトランシーバを備えて、複数の通信ネットワーク上で、又は、複数の周波数帯域で動作するように適合することもできる。
通信信号の処理に加えて、DSP60は、受信装置と送信装置の制御を実施する。例えば、受信装置612及び送信装置614上の通信信号に適用される利得レベルを、DSP620中で実行される自動利得制御アルゴリズムによって適応制御することができる。また、トランシーバ611のさらに高度な制御を行うために、様々なトランシーバ制御アルゴリズムをDSP620上で実行することもできる。
マイクロプロセッサ638が、好ましくは、移動機器600の全体的な動作を管理し制御する。これには多くの種類のマイクロプロセッサやマイクロコントローラを使用することができ、また他の方法として、単一のDSP620を使用して、マイクロプロセッサ638の機能を実施させることもできる。少なくともデータ及び音声通信を含む低レベルの通信機能は、トランシーバ611内のDSP620により実行される。音声通信アプリケーション624A、及びデータ通信アプリケーション624Bのような他の高レベル通信アプリケーションをフラッシュメモリ624の中に格納し、マイクロプロセッサ638に実行させることができる。例えば、音声通信モジュール624Aは、移動機器600と、ネットワーク619経由で他の多くの音声機器との間の音声電話を送受信するために使用する高レベルのユーザ・インタフェースを提供することができる。同様に、データ通信モジュール624Bは、eメールメッセージ、ファイル、オーガナイザ情報、短いテキスト・メッセージ等のようなデータを、移動機器600と、ネットワーク619経由で他の多くのデータ機器との間で送受信するために使用する高レベルのユーザ・インタフェースを提供することができる。移動機器600上で、例えば、図3中のデジタル証明書ローダ60及びデジタル証明情報インジェクタ62に対応するソフトウエア・モジュールを組み入れた機密保護メッセージ通信ソフトウエア・アプリケーションを、前記した技法を実行するために、データ通信モジュール614Bとつなげて動作させることができる。
また、マイクロプロセッサ638は、ディスプレー622、フラッシュメモリ624、RAM626補助入力/出力(I/O)サブシステム628、シリアルポート630、キーボード632、スピーカー634、マイクロフォン636、短距離通信サブシステム640、及び、包括的に642として表された他のいっさいの機器サブシステムといった、他の機器サブシステムと対話する。例えば、モジュール624A−624Nは、は、マイクロプロセッサ638により実行され、ユーザと移動機器600の間に高レベルのインタフェースを提供することができる。このインタフェースには、一般的に、ディスプレー622を通して提供される画像コンポーネント、及び、補助I/O628、キーボード632、スピーカー634やマイクロフォン636を通して提供される入力/出力コンポーネントが含まれる。このようなインタフェースは、図3中では、キーボード/UIとして包括的に示されている。
図8に示すサブシステムのいくつかは、通信関連の機能を実行し、他のサブシステムは、「常駐」又はオンデバイス諸機能を提供することができる。とりわけ、キーボード632及びディスプレー622のようないくつかのサブシステムは、データ通信ネットワークを通して送信するテキスト・メッセージの入力といった通信関連機能、及び、計算器やタスク・リスト又は他のPDA類機能といった機器常駐機能の両方のために使用される。
マイクロプロセッサ638が使用するオペレーティング・システム・ソフトウエアは、好ましくは、フラッシュメモリ624のような不揮発性メモリ格納する。オペレーティング・システム及び通信モジュール624A−Nに加えて、フラッシュメモリ624には、格納データのファイル・システムをも含めることができる。フラッシュメモリ624の中には、好ましくは、デジタル証明書、アドレス帳エントリ、備忘メモや約束情報、及び場合によって他の情報を格納するための記憶領域を設ける。動作を速めるために、オペレーティング・システム、機器の個別のアプリケーションやモジュールやその一部をRAM626のような揮発性記憶装置に一時的にロードすることができる。さらに、受信した通信信号を、フラッシュメモリ中に所在するファイル・システムに恒久的に書き込む前に、それらを一時的にRAM626に格納することもできる。
デュアル・モード機器600にロードすることのできる典型的なアプリケーション・モジュール624Nには、日程イベント、約束及び課題項目のようなPDA機能を備えた個人情報マネージャー(PIM)アプリケーションがある。このようなモジュールは、デジタル証明書から抽出され、例えばフラッシュメモリ624やRAM626中の適切なデータ記憶領域中に格納された失効日や有効期間を使用して、移動機器600のユーザに、デジタル証明書の失効日や類似の備忘メモを提供することができる。このモジュール624Nは、電話、音声メール等を管理するために、音声通信モジュール642Aと対話することもでき、また、eメール通信及びその他の送信を管理するためにデータ通信モジュール642Bと対話することもできる。他の方法として、音声通信モジュール642A及びデータ通信モジュール642Bの機能の全てをPIMの中に統合することもできる。
フラッシュメモリ624には、好ましくは、該機器のPIMデータ項目の格納を容易にするためのファイル・システムを備える。PIMアプリケーションには、好ましくは、それ自体で、又は音声及びデータ通信モジュール624A、624Bと連動して、無線ネットワーク619を経由してデータ項目を送受信する能力を含める。このPIMデータ項目は、好ましくは、無線ネットワーク619を経由して、ホスト・コンピュータ装置に格納された、又は結び付けられた対応データ項目のセットと途切れなく統合され、同期化され、更新され、それにより、特定のユーザに関連するデータ項目のためのミラー・システムを作成する。
フラッシュメモリ624として示してあるが、当業者は、例えば電池でバックアップされたRAMのような他の種類の不揮発性の記憶装置を、フラッシュメモリ624に加えて又はこれに代えて使用できることをよく理解しているであろう。
また、移動機器600をインタフェース・クレードルにセットし、移動機器600のシリアルポート630をホスト装置のシリアルポートにつなげて、手動でホスト装置と同期化することもできる。ユーザは、このシリアルポート630を使って好みの設定をし、外部の機器又はソフトウエア・アプリケーションを通して、他のアプリケーション・モジュール642Nをダウンロードしてインストールしたり、デジタル証明書を、前記のように機器上にダウンロードすることもできる。この有線ダウンロード経路を使って暗号化鍵を移動機器にロードすることができ、これは、無線ネットワーク619経由で暗号化情報を交換するよりも安全な方法である。
ユーザは、追加アプリケーション・モジュール624Nを、ネットワーク619通して、又は補助I/Oサブシステム628を通して、又はシリアルポート630を通して、又は短距離通信サブシステム640を通して、又は他のいっさいの適切なサブシステム642を通して移動機器600にロードし、フラッシュメモリ624又はRAM626にインストールことができる。このようなアプリケーション・インストールの柔軟性は、移動機器600の機能性を増大し、より増強されたオンデバイス機能、通信関連機能、又はその両方を提供することができる。例えば、機密保護通信アプリケーションにより、電子商取引機能及び他の類似の経済的取引を移動機器600を使って実施することが可能になる。
移動機器600がデータ通信モードで動作しているときは、テキストメッセージやウエブページのダウンロードのような受信信号はトランシーバ611で処理され、マイクロプロセッサ638に提供され、好ましくは、そこでさらに処理がされてから、ディスプレー622、あるいは、補助I/O機器628に出力される。例えば、PKSへの要求に応じてトランシーバ611が受信した、又は機密保護メッセージに添付されたデジタル証明書は、前記のように処理され、そのデジタル証明書が、すでに格納されていなければ、フラッシュメモリ624中のデジタル証明書記憶領域に追加され、デジタル証明情報が抽出され、必要に応じ、フラッシュメモリ624中の一つ以上のデータ記憶領域に格納される。また、移動機器600のユーザは、よく知られたDVORAKスタイルのような他の完全英数字キーボードを使うこともできるが、好ましくは、QWERTYスタイルにレイアウトされた完全英数字キーボード632を使って、eメールメッセージのようなデータ項目を作成することができる。移動機器600へのユーザ入力は、多数の補助I/O機器628によってさらに増強され、その中には、指回し円形入力機器、タッチパッド、各種のスイッチ、ロッカー入力スイッチ等を含めることができる。ユーザが入力した作成データ項目は、トランシーバ611を経由して通信ネットワーク上に送信することができる。
移動機器600が音声通信モードで動作しているときの移動機器600の全体的な動作は、受信した信号を、好ましくは、スピーカー634から出力すること及び送信する音声信号がマイクロフォン636によって生成されることを除いて、実質的にはデータ・モードのときと同様である。これに加えて、前記の機密保護メッセージ通信技法は、必ずしも音声通信に適用されないことがある。音声メール記録システムのような他の音声又はオーディオI/Oサブシステムを移動機器600の上で実行することもできる。音声又はオーディオ信号出力は、好ましくは、主としてスピーカー634により実施されるが、通話相手の身元、音声電話の経過時間や他の音声電話関連の情報の表示を提供するために、ディスプレー622も使うことができる。例えば、マイクロプロセッサ638を、音声通信モジュール624A及びオペレーティング・システム・ソフトウエアとつないで、着信電話の通話元の識別情報を検出し、それをディスプレー622に表示することができる。
短距離通信サブシステム640に、赤外線装置及び関連する回路と部分品やブルーツース(登録商標)モジュールや802.11モジュールのような短距離無線通信モジュールを含めて、同じ様に装備された装置や機器との交信を提供することができる。当業者は、「ブルーツース」及び「802.11」が、米国電気電子技術者協会から入手できる、無線パーソナル・エリア・ネットワーク及び無線LANに関する規格セットのそれぞれをいったものであることはよく知っていよう。
この文書で開示したシステムと方法の変形体を使用することもできる。例えば、無線移動通信機器を図3及び図5に示して、一つの可能なメッセージ通信クライアントとして記述しているが、この文書に開示したシステムと方法は、デスクトップ及びラップトップ・コンピュータ装置、ネットワーク接続されたコンピュータ装置及び他の種類のメッセージ通信クライアントを含めた、記述外のメッセージ通信クライアントでも実施することができる。
デジタル証明情報格納システムを設定可能構成にすることもでき、新しいデータの格納エントリが、メッセージ通信クライアントの通信機能性又はユーザの選好によって、ある条件の下でだけ作成されるようにすることができる。例えば、メッセージ通信クライアントがeメール・クライアントであるが、デジタル証明書にeメールアドレスが含まれていない場合、メッセージ通信作業に必要な情報がそのデジタル証明書から利用できないので、接触先情報格納システムが新しいアドレス帳エントリを作成しないように構成することができる。
図9から11までは、その中でデジタル証明情報の格納システムを使用することのできる追加の通信システムを記載している。図9は、通信システムの一例を示す構成図である。図9の中には、コンピュータ装置802、WAN804,保安ファイアウォール808の後ろ側に企業LAN806、無線インフラストラクチャ810、無線ネットワーク812及び814、ならびに、移動機器816及び818が示されている。企業LAN806には、メッセージ・サーバ820、無線コネクタ・システム828、少なくとも複数個のメールボックス819を含むデータ記憶装置817、インタフェース又はコネクタ826への物理的接続824を通すような移動機器への直接リンクを持つデスクトップ・コンピュータ装置、及び、無線VANルータ832が示されている。図9中のシステムの運用は、メッセージ833、834及び836に関連して、以下に記述する。
例えば、コンピュータ装置802は、WAN804への接続するよう構成されたラップトップ、デスクトップ、又はパームトップコンピュータである。このようなコンピュータ装置802は、ISP又は ASPを経由してWAN804に接続することができる。代わりに、コンピュータ装置802が、例えばコンピュータ装置822のような、LAN又は他のネットワークを通してWAN804にアクセスするネットワークにつながれたコンピュータ装置であってもよい。最近の移動機器の多くは、様々なインフラストラクチャ及びゲートウエー構成を通してWANへの接続ができるようになっており、コンピュータ装置802が移動機器であってもよい。
企業LAN806は、無線通信ができるようにした中央型、サーバ基盤のメッセージ通信システムの説明例である。企業LANを「ホスト・システム」ということもでき、その中で、該システムは、メッセージ用メールボックス819を持つデータ記憶装置817、及び、おそらくは、他のデータ項目用の追加データ記憶装置(図示していない)の双方を管理しており、これらメッセージは、移動機器816と818、及び無線コネクタ・システム828、無線VPNルータ806、また、おそらくは、企業LAN806と一つ以上の移動機器816及び818との間の通信を可能にする他のコンポーネントへ送信され又はこれらから受信される。もっと一般的にいえば、ホスト・システムは、無線コネクタ・システムがそれらと共に又はそれらと関連して動作している一つ以上のコンピュータである。この企業LAN806は、ホスト・システムの好適な実施例の一つであり、この中のホスト・システムは、少なくとも一つの保安ファイアウオール808の後ろ側でこれに保護され運営されている企業ネットワーク環境の中で動作しているサーバ・コンピュータである。考えられる他の中央ホスト・システムには、ISP、ASP及び他のサービス・プロバイダ又はメール・システムが含まれる。デスクトップ・コンピュータ装置624及びインタフェース/コネクタ826をこのようなホスト・システムの外側に配置することはできるが、無線通信の運用は、以下に述べると同様なものとなろう。
企業LAN806は、関連する無線通信を可能にするコンポーネントとして無線コネクタ・システム828を実行するが、これは、通常、少なくとも一つのメッセージ・サーバ820とともに働くように構築されたソフトウエア・プログラム、ソフトウエア・アプリケーション又はソフトウエア・コンポーネントである。無線コネクタ・システム828は、ユーザが選定した情報を、一つ以上の無線ネットワーク812及び814を経由して一つ以上の移動機器816と818に送信し、また、それらから情報を受信するために使用される。無線コネクタ・システム828は、図9に示すようにメッセージ通信システムの別個のコンポーネントであってもよく、また、それに代えて、その一部又は全体が、他の通信システム・コンポーネントに組み入れられていてもよい。例えば、メッセージ・サーバ820に、無線コネクタ・システム828、その一部、又は、その機能のいくつかあるいは全部を実行するソフトウエア・プログラム、アプリケーション又はコンポーネントを組み入れることができる。
ファイアウオール808の後ろ側で動作しているメッセージ・サーバ820は、企業がインターネットのようなWANと、例えば電子メール、日程データ、音声メール、電子文書、及び他のPIMデータを含むメッセージを交換するための主要インタフェースとしての役割を果たしている。この中間に置かれる特定の作業及びコンピュータは、メッセージ配送メカニズム及びそれを通してメッセージが送信されるネットワークの個別の種類いかんにより、したがって図9には示していない。メッセージ・サーバ820の機能を、前記したように、日程表、やることリスト、課題リスト、eメール及び文書といったデータのためのダイナミック・データベース記憶装置のような機構を設けることによって、メッセージの送受信を超えて拡張することができる。
820のようなメッセージ・サーバは、通常、そのサーバにアカウントがある各ユーザのために、817のような一つ以上のデータ記憶装置の中に複数個のメールボックスを維持する。データ記憶装置817は、いくつかの(「n」)ユーザ・アカウントのためのメールボックス819を含んでいる。メッセージ・サーバ820が受信したメッセージは、サーバが、メッセージの受け手のユーザ、ユーザ・アカウント、メールボックスや、おそらくは、これらユーザ、アカウント又はメールボックス819に関連する他のアドレスを識別し、一般的には、これに対応するメールボックス819に格納する。メッセージが複数の受け手又は配布リストに宛てられている場合には、同じメッセージのコピーが複数のメールボックス819に格納される。これに代えて、メッセージ・サーバ820は、そのようなメッセージの単一のコピーを、メッセージ・サーバ820にアカウントがある全てのユーザがアクセスできるデータ記憶領域に格納し、メールボックス819のそれぞれの受け手のメールボックス819にポインタ又は他の識別記号を格納することができる。標準的なメッセージ通信システムにおいては、通常、ユーザがLAN806に連結されたデスクトップ・コンピュータ装置822のようなパソコン上で動作する、マイクロソフト・アウトルックやロータスノーツといったメッセージ通信クライアントを使って、自分のメールボックス819及びその内容にアクセスする。図9には一つだけのデスクトップ・コンピュータ装置822しか図示していないが、当業者は、LANには、一般的に多くのデスクトップ、ノート型及びラップトップ・コンピュータ装置が含まれていることをよく理解していよう。各メッセージ通信クライアントは、通常、メッセージ・サーバ820を通してメールボックス819にアクセスするが、ある種のシステムでは、メッセージ通信クライアントが、デスクトップ・コンピュータ装置822がデータ記憶装置817とそこに格納されたメールボックス819へ直接アクセスできるようにしているものもある。メッセージをデータ記憶装置817からデスクトップ・コンピュータ装置のローカルデータ記憶装置にダウンロードすることもできる。
企業LAN806内では、無線コネクタ・システム828は、メッセージ・サーバ820とともに動作する。無線コネクタ・システム828は、メッセージ・サーバ820と同じコンピュータ装置に常駐させることもでき、これに代えて、他のコンピュータ装置上で実行することもできる。無線コネクタ・システム828を実行するソフトウエアの一部又は全体をメッセージ・サーバ820と統合することもできる。無線コネクタ・システム828及びメッセージ・サーバ820を、好ましくは、情報を移動機器816,818にプッシュすることができるように、協力し対話するように設計する。このような設定においては、無線コネクタ・システム828を、好ましくは、企業LAN806と結ばれた一つ以上のデータ記憶装置に格納された情報を、企業ファイアウォール808を通り、WAN804、及び無線ネットワーク812の814の一つを経由して一つ以上の移動機器816,818に送信するよう構成する。例えば、データ記憶装置817中にアカウントとそれに関連するメールボックス819を保持するユーザは、816のような移動機器を持つこともできる。前記のように、メッセージを受信したメッセージ・サーバ820はユーザ、アカウントやメールボックス819を識別し、それを対応するメールボックス819に格納する。ユーザが816のような移動機器を保持している場合、メッセージ・サーバ820が受信し、そのユーザのメールボックス819に格納したメッセージは、好ましくは、無線コネクタ・システム828によって検出され、ユーザの移動機器816に送信される。この種の機能は「プッシュ」メッセージ送信技法を表している。無線コネクタ・システム828は、代わりに、「プル」技法を採用することもでき、これでは、メールボックス819に格納された項目は、移動機器を使用して行われた要求又はアクセス操作に応じて、移動機器816又は818に送信される、あるいは、両方の技法の組み合わせを採用することもできる。
無線コネクタ・システム828の使用により、メッセージ・サーバ820を含むメッセージ通信システムを、各ユーザの移動機器816,818がメッセージ・サーバ820に格納されたメッセージにアクセスできるように拡張できる。この文書に記述したシステムと方法は、単にプッシュ・ベースの技法に制限されるものではないが、プッシュ・ベースのメッセージ通信の詳細説明が、前記に参照提示した合衆国特許に記載されている。この「プッシュ」技法では、無線で扱いやすいコード化、圧縮及び暗号化技法を使用して、全ての情報を移動機器に配信し、それにより、企業のファイアウォール808を効果的に拡張して移動機器816及び818をその中に含める。
図9に示すように、企業LAN806から移動機器816及び818と情報交換するためにいくつかの経路がある。有力な一つの情報伝送経路は、インタフェースやコネクタ826を使用して、シリアルポートのような物理的接続を通すものである。この経路は、例えば、多くの場合、移動機器816、818を初期化する際、又は、移動機器816、818のユーザが、コンピュータ装置822のようなLAN806内のコンピュータ装置で仕事をしている折に定期的に実施される大量の情報更新のためには有用である。例えば、前記のように、PIMデータは、普通、その中又は上に移動機器816,818をセットすることのできるクレードルにつながれたシリアルポートのような接続を通して交換される。また、物理的接続824を使用して、コンピュータ装置822から移動機器816,818に、デスクトップコンピュータ装置822に結び付いた秘密暗号鍵やデジタル署名鍵のような秘密安全保護鍵(「秘密鍵」)、又は、デジタル証明書及びCRLのような他の比較的大量の情報を含め、他の情報を転送することもできる。
物理的接続824及びコネクタ又はインタフェース826を使用した秘密鍵の交換により、ユーザのデスクトップコンピュータ装置822と移動機器816又は818が、全ての暗号化された及び/又は署名されたメールにアクセスするために、少なくとも一つの身元を共有することができる。また、これにより、ユーザのデスクトップコンピュータ装置822と移動機器816又は818は、ホスト装置822又は移動機器816や818のいずれかで、ユーザのメールボックスやメッセージ・サーバ820上のアカウントに宛てられた機密保護メッセージを処理できるように、秘密鍵を共有することもできる。このような物理的接続を通したデジタル証明書及びCRLの転送は、S/MIME、PGP及び他の公開鍵機密保護方法に必要な大量のデータを代表することにおいて望ましいものである。ユーザ自身のデジタル証明書、ユーザのデジタル証明書を検証するため使用されるデジタル証明書の連鎖及びCRL、ならびに、他のユーザのデジタル証明書、デジタル証明書連鎖及びCRLを、ユーザのデスクトップコンピュータ装置822から移動機器816,818上にロードすることができる。この、他のユーザのデジタル証明書及びCRLの移動機器816,818上へのロードにより、移動機器のユーザは、機密保護メッセージを交換する可能性のある他のエンティティ又はユーザを選定し、無線の代わりに物理的接続を通して移動機器上に大量の情報を事前ロードすることができ、これにより、そのような他のユーザから機密保護メッセージを受信し、又はこれに送信する際、あるいは、CRLに基づきデジタル証明書のステイタスを判定する際に、時間と無線帯域幅を節約することができる。また、この文書に記述したシステムと方法を採用した場合には、CRLベースのステイタス確認を省くことができる。
よく知られた「同期化」タイプの無線メッセージ通信システム中で、メッセージ・サーバ820とつながったメールボックス819から、移動機器816及び818にメッセージを転送するために物理的パスも使われている。
移動機器816及び818とデータ交換するための他の方法は、無線コネクタ・システム828を通し、無線ネットワーク812及び814を使用する無線通信である。図8に示すように、これには、無線VPNルータ832がネットワーク806中で利用できる場合、これを使うか、又は、その代わりに、814のような、一つ以上の無線ネットワークへのインタフェースを提供する無線インフラストラクチャ810への従来型のWAN接続を使うことができる。無線VPNルータ832は、特定の無線ネットワーク812を直接通して、無線機器816へのVPN接続の創設を提供する。このような無線VPNルータ832を静的宛先指定の仕組みとつなげて使用することができる。例えば、無線ネットワーク812がIPベースの無線ネットワークの場合には、IPV6が、ネットワーク812内で動作するよう構成されたあらゆる移動機器816にIPアドレスを提供するのに十分な数のIPアドレスを提供し、それにより、いつでも、移動機器816に向けて情報をプッシュすることが可能になる。無線VPNルータ832を使用する主な利点は、それが無線インフラストラクチャ810を必要とせず、すぐに使えるVPNコンポーネントにできることにある。VPN接続では、TCP/IP又はUDP/IP接続を使って、移動機器816との間で直接メッセージを送受信することができる。
無線VPNルータ832が利用できない場合には、通常インターネットであるWANへのリンクが、無線コネクタ・システム828が採用することのできる接続メカニズムとして通例使用される。移動機器816の宛て先指定及び他のいっさいの必要なインタフェース機能を取り扱うために、好ましくは、インフラストラクチャ810を使用する。無線インフラストラクチャ810も、所定ユーザの居場所を見つけるために、もっとも可能性の高い無線ネットワークを判定し、ユーザが国やネットワーク間を移動するのにしたがって、彼らを追跡することができる。812及び814のような無線ネットワークでは、通常、メッセージは基地局と移動機器の間のRF送信を通して、移動機器との交信が行われる。
例えば、インターネット全体にわたって使われているTCP/IPプロトコルを使用するISDN、フレームリレーやTI接続を含めて、無線ネットワーク812及び814には、何通りかの接続方式を備えることができる。無線ネットワーク812及び814は、別個で、独自の相互関係のないネットワークを表すこともできるし、また、これらを違った国にある同一のネットワークを表すこともでき、これに限定はされないが、前記したネットワークのどれかのような、データ中心の無線ネットワーク、音声中心のネットワーク、及び、同一又は類似のインフラストラクチャで音声及びデータ通信両方に対応しているデュアル・モード・ネットワーク含めて、各種のネットワークのどれかを表すこともできる。
いくつかの実施では、企業LAN806内に一つ以上の無線情報交換メカニズムを備えることができる。例えば、図9では、メッセージ・サーバ820上のアカウントにつながるメールボックス919を保持するユーザと結ばれた移動機器816と818が、異なる無線ネットワーク812と814で動作するように構成されている。無線ネットワーク812がIPv6宛て先指定に対応している場合には、無線コネクタ・システム828が無線VPNルータ832を使って、ネットワーク812内で動作しているいっさいの移動機器816とデータを交換することができる。しかしながら、無線ネットワーク814が、モビテックス・ネットワークのような異なる種類の無線ネットワークのことがあり、このような場合には、代わりに、WAN804及び無線インフラストラクチャ810への接続を経由して、無線ネットワーク814内で動作している移動機器818と情報交換することになる。
ここでは、図9中のシステムの運用を、コンピュータ装置802から送信され、メッセージ・サーバ820につながるアカウント及びメールボックス819又は類似のデータ記憶装置、ならびに、移動機器816又は818、の双方を保持する少なくとも一人の受け手に宛てられたeメールメッセージ833を例に使って説明する。
ただし、このeメールメッセージ833は説明目的だけを意図したものである。好ましくは、無線コネクタ・システム828を通して、企業LAN806と移動機器との間で他の種類の情報交換もできるようにする。
コンピュータ装置802からWAN804経由で送信されるeメールメッセージ833は、使用された特定のメッセージ通信仕組みいかんによって、完全な平文でもよく、又は、ディジタル署名及び/又は暗号化されていてもよい。例えば、コンピュータ装置802でS/MIMEを使った機密保護メッセージ通信が可能な場合には、eメールメッセージ833に、署名、暗号化、又はその双方を行うことができる。
833のようなeメールメッセージは、通常、従来のSMTP、RFC32ヘッダ、及びMIME本体部分を使用してeメールメッセージのフォーマットを定義する。これらの技法は、当業者にはよく知られている。メッセージ・サーバ820にeメールメッセージ833が着信すると、サーバは、どのメールボックス819にそのメッセージ833を格納すべきかを判定する。前記のように、eメールメッセージ833のようなメッセージには、ユーザの名前、ユーザのアカウント、メールボックス識別記号、又は、メッセージ・サーバ820が特定のアカウントやそれに結ばれたメールボックス819に標識した他の種類の識別記号が含まれている。eメールメッセージ833の受け手は、一般的には、ユーザ・アカウントとそのメールボックス819に対応するeメールアドレスを使用して識別される。
無線コネクタ・システム828は、好ましくは、一つ以上のトリガー・イベントが発生したことを検出したならば、特定のユーザ選定データ項目又はデータ項目の一部を、企業LAN806から無線ネットワーク812又は814を経由して、ユーザの移動機器816又は818へ送信又はミラーする。トリガ・ーイベントには、これだけに限らないが、次の一つ以上の事項が含まれる。ユーザのネットワーク接続コンピュータ装置822のスクリーンセイバーの起動、ユーザの移動機器816又は818とインタフェース826との接続切断、又は、移動機器816又は818から、ホスト装置に格納されている一つ以上のメッセージの送付を開始せよとのコマンドをホスト装置が受信。 このようにして、無線コネクタ・システム828は、コマンドの受信のような、メッセージ・サーバ820に関連する、又は、前記のようなクリーンセーバ及び切断イベントを含め、一つ以上のネットワーク接続コンピュータ装置に関連するトリガー・イベントの発生を検出することができる。例えば、無線コネクタ・システム828が、移動機器ユーザについてのトリガー・イベントの発生を検出し、移動機器816又は818のため、企業データへの無線アクセスがLAN806で起動された場合には、好ましくは、そのユーザが選定したデータ項目がユーザの移動機器に送信される。eメールメッセージ833の例では、トリガー・イベントが検出されたとすれば、メッセージ・サーバ820へのメッセージ833の着信は無線コネクタ・システム828によって検出される。このことは、例えば、メッセージ・サーバ820に結び付くメールボックス919の監視又はこれへの照会によって遂行でき、また、メッセージ・サーバ820がマイクロソフト・エックスチェンジ・サーバの場合には、無線コネクタ・システム828は、マイクロソフト・メセージング・アプリケーション・プログラミング・インタフェース(MAPI)が提供するアドバイスシンクに登録することができ、これにより、新しいメッセージがメールボックス819に収納されたときに通知を受けることができる。
eメールメッセージ833のようなデータ項目を移動機器816又は818に送信する場合、無線コネクタ・システム828は、好ましくは、移動機器816又は818に送信されこれに受信される情報が、図9中のLAN806のホスト装置に格納されアクセス可能な情報と同じように見えるように、移動機器816又は818に対しトランスペアレントな方法で、そのデータ項目を再パッケージする。一つの好ましい再パッケージの方法として、無線ネットワーク812又は814経由で送信すべき着信メッセージを、メッセージ送付先の移動機器816又は818の無線ネットワーク・アドレスに対応した電子エンベロープで包むことがある。あるいは、特殊用途TCP/IPラップ技法のようなほかのパッケージ方法を使うこともできる。また、このような再パッケージもまた、好ましくは、結果としてたとえ移動機器816又は818で作成され、そこから送信されたものであったとしても、対応するホスト装置のアカウント又はメールボックス819から来たように見える、移動機器から送信されるeメールメッセージとなる。これにより、移動機器816又は818のユーザは、ホスト装置のアカウントやメールボックス819と移動機器の間で、単一のeメールアドレスを効果的に共用することができる。
eメールメッセージ833の再パッケージを、834と836に示す。再パッケージ手法を、いっさいの利用可能な伝送経路について同じようにすることも、また、無線インフラストラクチャ810又は無線VPNルータ832のいずれかの特有の伝送経路によって変えることもできる。例えば、eメールメッセージ833は、好ましくは、834における再パッケージの前、又は後に圧縮され、暗号化され、これにより移動機器818への安全な伝送を提供する。圧縮することにより、メッセージの送信に必要な帯域幅が削減され、暗号化することにより、移動機器816及び818に送信されるいっさいのメッセージや他の情報の守秘が確実になる。これに対し、VPNルータ832を経由して伝送されるメッセージは、VPNルータ832が設定するVPNが本質的に秘密なので、圧縮だけを行い、暗号化をしないこともできよう。これにより、メッセージは、例えば、無線コネクタ・システム828、これは非標準VANトンネル又はVAN類似接続と見なすことができるが、もしくは、VANルータ832で暗号化され、移動機器816及び818に機密保護送信される。このようにして、移動機器816又は818を用いてのメッセージへのアクセスは、デスクトップコンピュータ装置822を用いてLAN806内でメールボックスにアクセスするのに比べ安全性は劣らない。
再パッケージされたメッセージ834又は836が、無線インフラストラクチャ810を経由、又は無線VPNルータ832を経由して移動機器816又は818に到達したとき、移動機器816又は818は、再パッケージされたメッセージ834又は836から外部の電子エンベロープを除去し、そこで、必要ないっさいの解凍及び解読作業を実施する。移動機器816又は818から送信され、一人以上の受け手に当てられたメッセージは、好ましくは、同様に再パッケージされ、おそらくは圧縮及び暗号化され、そこで、LAN806のようなホスト装置に送信される。ホスト装置は、再パッケージされたメッセージから電子エンベロープを除去し、必要に応じて、そのメッセージの解読、解凍を行い、それを宛先受け手に回送することができる。
外部エンベロープを使用する上での他の目標は、元のeメールメッセージ833の中の宛先情報の少なくともいくつかを維持することである。情報を移動機器816,818に送るために使用される外部エンベロープは、一つ以上の移動機器のネットワーク・アドレスを使って宛先指定されているが、外部エンベロープは、好ましくは、おそらくは圧縮及び/又は暗号化された書式による少なくとも一つのアドレス欄を含め、元のeメールメッセージ833全体をカプセル化する。このことにより、外部エンベロープが除去されたとき、eメールメッセージ833中の「To」、「From」及び「CC」アドレス、及びメッセージ内容を移動機器816又は818上に表示することができる。また、この再パッケージにより、無線コネクタ・システム828が、移動機器から送られてきた再パッケージ発信メッセージの外部エンベロープを除去したとき、その移動機器ユーザのホスト装置上のアカウントやメールボックスを反映した「From」欄とともに、返信メッセージを、宛てられた受け手に配送することができる。移動機器816又は818からのユーザのアカウントやメールボックスアドレスを使用することにより、移動機器から送信されたメッセージを、あたかも移動機器からでなく、ホスト装置上のそのユーザのメールボックス819やアカウントから発信されたように見せることができる。
図10は、他の通信システムの構成図で、この中では無線ネットワークの運営者と結ばれたコンポーネントが、無線通信をできるようにしている。図10に示すように、このシステムには、コンピュータ装置802、WAN804、保安ファイアウォール808の後ろ側に所在する企業LAN807、ネットワークオペレータ・インフラストラクチャー840、無線ネットワーク811及び移動機器813と815が含まれている。コンピュータ装置802、WAN804、保安ファイアウォール808、メッセージ・サーバ820、データ記憶装置817、メールボックス819及びVANルータ835は、実質的には、同様に標識をされた図9中のコンポーネントと同じである。ただし、図10においては、VPNルータ835がネットワークオペレータ・インフラストラクチャー840と交信しているので、これが必ずしも無線VANルータである必要はない。ネットワークオペレータ・インフラストラクチャー840が、LAN807と、それぞれコンピュータ装置842及び852に結び付いており、無線ネットワーク811の中で動作するよう構成された移動機器813及び815との間で無線情報交換ができるようにしている。LAN807中には、複数個のコンピュータ装置842及び852が示され、それぞれが、インタフェース/コネクタ848又は858と物理的接続846又は856を保持している。無線コネクタ・システム844又は854が、コンピュータ装置842及び852それぞれにつながって作動している。
無線コネクタ・システム844及び854は、前記の無線コネクタ・システム828と類似のものであり、これらは、同様に、メールボックス819に格納されたeメールメッセージ及び他の項目、また、おそらくはローカル又はネットワーク記憶装置に格納されたデータ項目を、LAN807から一つ以上の移動機器813及び815に送信できるようにしている。ただし、図10では、ネットワークオペレータ・インフラストラクチャー840が、移動機器813及び815と、LAN807の間のインタフェースを提供している。前記のような図10に示すシステムの運用を、移動機器813及び815に送信できるデータ項目の説明事例としてeメールメッセージと関連させて以下に記述する。
メッセージ・サーバ820上にアカウントを持つ一人以上の受け手に宛てられたeメールメッセージ833をメッセージ・サーバ820が受信した場合、該メッセージ、又は、おそらくは、中央メールボックス又は記憶装置に収納されたそのメッセージの単一コピーに対するポインタが、このようなそのそれぞれの受け手のメールボックス819に格納される。これらメッセージ833又はポインタがメールボックス819に格納されたならば、好ましくは、移動機器813又は815を使ってこれにアクセスすることとができる。図10に示す例では、eメールメッセージ833は、デスクトップコンピュータ装置824及び852の双方、したがって移動機器813及び815の双方に結び付いたメールボックス819に宛てられている。
当業者は、LAN807及び/又はWAN804のような有線ネットワークで広く使われている通信ネットワーク・プロトコルは、811のような無線ネットワーク内で使用されている無線ネットワークプロトコルに適切でなく、両立しないことをよく理解しているであろう。例えば、通信帯域幅、プロトコルオーバーヘッド、及びネットワーク待ち時間、これらは、無線ネットワーク通信では主要関心事項であるが、有線ネットワークは、一般的に無線ネットワークより相当に高い容量と速度を保持しており、これらの重要性は無線より低い。したがって、通常、移動機器813及び815がデータ記憶装置817に直接アクセスすることはできない。ネットワークオペレータ・インフラストラクチャー840が、無線ネットワーク811とLAN807の間の架橋を提供している。
ネットワークオペレータ・インフラストラクチャー840は、移動機器813や815が、WAN804を通してLAN807との接続を確立できるようにしており、これを、例えば、無線ネットワーク811のオペレータが運営しても、あるいは、移動機器813と815に無線通信サービスを提供しているサービス・プロバイダが運営してもよい。プル・ベースのシステムにおいては、移動機器813又は815は、無線ネットワークと両立性のある通信仕組み、好ましくは、情報を秘密にする必要のある場合にはワイヤレス・トランスポート・レイヤー・セキュリティ(WTLS)のような機密保護の仕組み、及びワイヤレス・アプリケーション・プロトコル(WAP)ブラウザのような無線ウエブ・ブラウザを使用して、ネットワークオペレータ・インフラストラクチャー840と通信セッションを確立する。そこでユーザは、手動での選定、又は移動機器に常駐しているソフトウエア中に事前選定されたデフォルトを通して、例えば、LAN807のデータ記憶装置817の中のメールボックス819に格納されているどれかの又は全ての情報、あるいは新しい情報だけを要求する。ネットワークオペレータ・インフラストラクチャー840は、セッションが既に確立されていない場合には、例えば、セキュア・ハイパーテキスト・トランスファ・プロトコル(HTTPS)を使用して、無線コネクタ・システム844、854との接続やセッションを確立する。前記のように、ネットワークオペレータ・インフラストラクチャー840と無線コネクタ・システム844又は854の間のセッションを、標準的なWAN接続経由で、あるいは、利用可能な場合にはVANルータ835を通して設定することができる。移動機器813又は815からの要求を受信してから、要求された情報をその機器に返信するまでの時間遅延を最短化したい場合には、ネットワークオペレータ・インフラストラクチャー840と無線コネクタ・システム844及び854を、いったん通信接続が確立されたならば、そのままオープン状態に留まるように構成することができる。
図10のシステムでは、移動機器A813及びB815から発信された要求は、それぞれ、無線コネクタ・システム844及び854に送信される。ネットワークオペレータ・インフラストラクチャー840から情報要求を受信したならば、無線コネクタ・システム844又は854は、データ記憶装置から要求された情報を読み出す。eメールメッセージ833に関しては、無線コネクタ・システム844又は854は、一般的には、コンピュータ装置842や852とつながって動作しているメッセージ通信クライアント、これは、メッセージ・サーバ820を介して、又は直接にメールボックス819にアクセスできるが、これを通して、適切なメールボックス819からeメールメッセージ833を読み出す。これに代えて、無線コネクタ・システム844又は854を、直接に、又はメッセージ・サーバ820を通してメールボックス819そのものにアクセスするよう構成することもできる。また、無線コネクタ・システム844又は854は、他のデータ記憶装置、データ記憶装置817と同様なネットワークのデータ記憶装置と、コンピュータ装置842と852につながれたローカ・ルデータ記憶装置との双方にアクセスすることでき、したがって移動機器813や815もアクセスできる。
eメールメッセージ833が、コンピュータ装置843及び853と、機器813及び815との双方に結ばれたメッセージ・サーバ・アカウント又はメールボックス819に宛てられている場合、そのeメールメッセージ833は、860と862に示すように、ネットワークオペレータ・インフラストラクチャー840に送信され、それが、864と866に示すように、そのeメールコピーを各移動機器813及び815に送信する。情報は、WAN804又はVPNルータ835いずれかへの接続を経由して、無線コネクタ・システム844及び854と、ネットワークオペレータ・インフラストラクチャー840との間で伝送される。ネットワークオペレータ・インフラストラクチャー840が、無線コネクタ・システム844及び854と、また、異なるプロトコルで移動機器813及び815と交信する場合には、ネットワークオペレータ・インフラストラクチャー840がその変換処理を実行することができる。また、再パッケージ手法を、無線コネクタ・システム844と854とネットワークオペレータ・インフラストラクチャー840との間で、また、各移動機器813又は815と、ネットワークオペレータ・インフラストラクチャー840との間で使用することができる。
移動機器813又は815から送信されるメッセージや他の情報は、類似の方法で処理することができ、まず、そのような情報は、移動機器813又は815からネットワークオペレータ・インフラストラクチャー840に送信される。そこで、その情報はネットワークオペレータ・インフラストラクチャー840によって無線コネクタ・システム844又は854に送信され、メールボックス819に格納されて、例えば、メッセージ・サーバ820がそれを宛て先指定されたいっさいの受け手に配信するか、それに代えて、無線コネクタ・システムがその情報を宛てられた受け手に配信することもできる。
上記の図10の説明は、プル・ベースの運用に関するものである。これに代えて、無線コネクタ・システム844と854、及びネットワークオペレータ・インフラストラクチャーを、データ項目を移動機器813及び815にプッシュするように構成することができる。プッシュ/プルの組み合わせも可能である。例えば、新しいメッセージや現在LAN807のデータ記憶装置に格納されているデータ項目のリストを移動機器813又は815にプッシュすることができ、それを使って、ネットワークオペレータ・インフラストラクチャー840経由でLAN807から、メッセージやデータを要求することができる。
LAN807上のユーザ・アカウントに連結している移動機器が、異なる複数無線ネットワークの中で動作するように構成されている場合、それぞれの無線ネットワークが、840と類似の関連無線ネットワーク・インフラストラクチャを保持していてもよい。
図10のシステムの中では、各コンピュータ装置842及び845に対する、別個で専用の無線コネクタ・システム844及び854が示されているが、一つ以上の無線コネクタ・システム844及び854が、好ましくは、複数のコンピュータ装置842及び852と結ばれて動作し、又は、複数のコンピュータ装置につながるデータ記憶装置やメールボックス819にアクセスするよう構成する。例えば、無線コネクタ・システム844に、コンピュータ装置842及びコンピュータ装置852の双方につながれたメールボックス819へのアクセスを認可することができる。さすれば、移動機器A813又はB815どちらからのデータ項目要求も無線コネクタ・システム844が処理することになる。この構成は、デスクトップコンピュータ装置842及び852に、それぞれの移動機器ユーザのための作動を要求せずに、LAN807と、移動機器813及び815との間で無線通信ができるようにするために有用である。これに代えて、無線コネクタ・システムをメッセージ・サーバ820と連動させて実行し、無線通信をすることができる。
図11は、他の異なる通信システムの構成図である。このシステムには、コンピュータ装置802、WAN804、保安ファイアウォール808の後ろ側に所在する企業LAN809、アクセス・ゲートウェイ880、データ記憶装置882、無線ネットワーク884と886、及び、移動機器888と890が含まれている。コンピュータ装置802、WAN804、保安ファイアウォール808、メッセージ・サーバ820、データ記憶装置817、メールボックス819、デスクトップコンピュータ装置822、物理的接続824、インタフェース又はコネクタ826及びVANルータ835は、実質的には、前記の対応するコンポーネントと同じである。アクセス・ゲートウェイ880及びデータ記憶装置882は、移動機器888と890に、LAN809のデータ項目記憶装置へのアクセスを提供する。図11の中では、無線コネクタ・システム878は、メッセージ・サーバ820上又はこれと連動して動作するが、これに代えて、無線コネクタ・システムを、LAN809の中の一つ以上のデスクトップコンピュータ装置822上又はこれとつなげて動作させることができる。
無線コネクタ・システム878は、一つ以上の移動機器888及び890への、LAN809に格納されたデータ項目の転送を提供する。これらのデータには、好ましくは、データ記憶装置817中のメールボックス819に格納されたeメールメッセージ、及び、おそらくデータ記憶装置817又は他のネットワークのデータ記憶装置や822のようなローカル記憶装置に格納された他の項目が含まれる。
前記のように、メッセージ・サーバ820にアカウントを保持する一人以上の受け手に宛てられ、メッセージ・サーバ820が受信したeメールメッセージ833は、このような受け手それぞれのメールボックス819に格納される。図11のシステムでは、外部のデータ記憶装置882は、好ましくは、データ記憶装置817と同様の構造を持ち、これと常に同期化されている。データ記憶装置882に格納されたPIM情報やデータは、好ましくは、ホスト装置に格納されたPIM情報やデータと別個に変更することができる。この特定の構成では、外部データ記憶装置882上の別個に修正可能な情報を、ユーザに結ばれた複数個のデータ記憶装置(すなわち、移動機器上のデータ、自宅にあるパソコン上のデータ、企業LANのデータ等)の間で同期化を維持することができる。この同期化は、例えば、無線コネクタ・システム878が、所定の時間間隔で、又はデータ記憶装置817のエントリが追加されたり変更されたりするたびに、又は日々の特定の時間に、あるいは、LAN809でメッセージ・サーバ820又はコンピュータ装置822が提起したときに、データ記憶装置882で提起されたときに、又は、おそらくは、機器888や890がアクセス・ゲートウェイ880を通して提起したときに、更新情報をデータ記憶装置882に送信することによって達成できる。
例えば、このeメールメッセージ833の場合においては、eメールメッセージ833を受信してからしばらく後にデータ記憶装置882に送信される更新情報が、該メッセージ833が記憶装置817中の所定メールボックス819に格納されていること、ならびに、そのeメールメッセージのコピーが、データ記憶装置882中の対応する記憶領域に格納されていることを表示する。eメールメッセージが、移動機器888及び890に対応するメールボックス819に格納されている場合には、図11の892及び894に示すような、一つ以上のeメールメッセージのコピーが、データ記憶装置882に送信され、その中の対応する記憶領域又はメールボックスに格納されることになる。図示するように、更新情報又はデータ記憶装置817中に格納されている情報のコピーを、WANへの接続又はVPNルータ835を経由して、記憶装置882に送信することができる。例えば、無線コネクタ・システム878は、HTTP更新要求を通して、更新情報や格納された情報をデータ記憶装置882中のリソースに送信することができる。これに代えて、HTTPSやセキュア・ソケッツ・レイヤー(SSL)のような機密保護プロトコルを使用することができる。当業者は、LAN809のデータ記憶装置の複数の場所に格納されたデータ項目を単一のコピーにしてデータ記憶装置882に送信して格納することができることをよく理解していよう。このデータ項目のコピーを、データ記憶装置882中の対応する複数の場所に格納するか、あるいは、単一コピーとしてデータ記憶装置882中に格納し、格納されたデータ項目のポインタ又は識別記号をデータ記憶装置882中の対応するそれぞれの場所に格納することができる。
アクセス・ゲートウェイ880は、それが移動機器888及び890にデータ記憶装置882へのアクセスを提供することにおいて、効果的なアクセス・プラットフォームである。データ記憶装置882をWAN804上のアクセス可能なリソースとして構成し、ISPシステム又はWAPゲートウェイを、そこを通して移動機器888及び890をWAN804に接続するアクセス・ゲートウェイ880とすることができる。WAPブラウザ又は無線ネットワーク884及び886と両立性のある他のブラウザをデータ記憶装置882にアクセスするために使用することができ、これによりこの装置をデータ記憶装置817と同期化させ、自動的に、あるいは移動機器888や890からの要求に応じて、817の格納データをダウンロードする。896及び898に図示するように、データ記憶装置817に格納されていたeメールメッセージ833のコピーが、移動機器888及び890に送信される。これにより、移動機器888及び890それぞれの中のデータ記憶装置と、企業LAN809内のデータ記憶装置817のメールボックス819のような部分とが同期化される。移動機器に格納されたデータに対する変更も、同様にしてデータ記憶装置882及び817に反映される。
この文書に記述した実施例は、クレームに詳記された本発明の構成要素に対応する構成要素を持つ構造、システムと方法の事例である。本書面説明は、当業者が、クレームに詳記された本発明の構成要素と対応する同様な代替構成要素を持つ実施例を作成、使用することを可能にしている。したがって、本発明の意図された適用範囲には、クレームの字義通りの文言と異ならない他の構造、システムと方法が含まれ、さらに、クレームの字義通りの文言と実質的に差異のない他の構造、システムと方法が含まれる。
図1は、メッセージ通信システムの構成図である。 図2は、メッセージ通信システムと機密保護eメールメッセージ交換を図示した構成図である。 図3は、デジタル証明情報記憶領域を備えた移動機器の構成図である。 図4は、デジタル証明情報を格納する方法を図示した流れ図である。 図5は、デジタル証明情報記憶領域に格納されたデジタル証明情報の対象となるメッセージの作成及び送信方法を図示した流れ図である。 図6は、デジタル証明書に関連するイベントに基づき、デジタル証明書に関連する操作を実行する方法を図示した流れ図である。 図7は、デジタル証明情報格納システムの構造的構成図である。 図8は、移動無線通信機器の構成図である。 図9は、通信システムの一つの例を示した構成図である。 図10は、他の通信システムの構成図である。 図11は、別の通信システムの構成図である。

Claims (46)

  1. メッセージ通信クライアントが受信したデジタル証明書からのデジタル証明情報を格納する方法であって、
    デジタル証明書からデジタル証明情報を抽出するステップと、
    抽出したデジタル証明情報がメッセージ通信クライアントのデータ記憶装置に格納されているかどうかを判定するステップと、
    抽出したデジタル証明情報がデータ記憶装置に格納されていない場合には、その抽出したデジタル証明情報をそのデータ記憶装置に格納するステップとを含む方法。
  2. 請求項1に記載の方法であって、前記抽出されたデジタル証明情報をデータ記憶装置に格納するステップは、
    データ記憶装置に新しいエントリを作成するステップと、
    データ記憶装置の中のそのエントリに抽出したデジタル証明情報を格納する
    ステップとを含む方法。
  3. 請求項1に記載の方法であって、前記抽出されたデジタル証明情報をデータ記憶装置に格納するステップは、データ記憶装置の中の既存のエントリに、抽出したデジタル証明情報を格納するステップを含む方法。
  4. 請求項1に記載の方法であって、デジタル証明情報に対象識別記号及び追加デジタル証明情報が含まれており、抽出したデジタル証明情報がメッセージ通信クライアントのデータ記憶装置に格納されているかどうかを判定するステップは、
    対象識別記号がデータ記憶装置の中の既存のエントリに格納されているかどうかを判定するステップと、
    対象識別記号が、データ記憶装置の中の既存のエントリに格納されている場合には、追加デジタル証明情報が、データ記憶装置の中のその既存のエントリに格納されているかどうかを判定するステップとを含み、
    前記データ記憶装置の中に抽出したデジタル証明情報を格納するステップは、追加デジタル証明情報がデータ記憶装置中の既存のエントリに格納されていない場合には、その追加デジタル証明情報をデータ記憶装置中のその既存のエントリに格納するステップを含む方法。
  5. 請求項4に記載の方法であって、
    データ記憶装置の中の既存のエントリに対象識別記号が格納されていない場合には、新しいエントリを作成するステップをさらに含み、
    前記抽出されたデジタル証明情報をデータ記憶装置に格納するステップは、対象識別記号と追加デジタル証明情報とをデータ記憶装置の中のその新しいエントリに格納するステップをさらに含む方法。
  6. 請求項1に記載の方法であって、デジタル証明書がX509デジタル証明書である方法。
  7. 請求項1に記載の方法であって、
    デジタル証明書を受信したならば、メッセージ通信クライアントのデジタル証明書記憶領域にそのデジタル証明書を格納するステップと、
    該デジタル証明書がデジタル証明書記憶領域に格納されたとの信号を生成する
    ステップとをさらに含む方法。
  8. 請求項7に記載の方法であって、前記デジタル証明書からデジタル証明情報を抽出するステップは、デジタル証明書を構文解析して、デジタル証明情報を抽出するステップを含む方法。
  9. 請求項7に記載の方法であって、
    前記メッセージ通信クライアントのデジタル証明書記憶領域へデジタル証明書を格納するステップは、
    デジタル証明書を構文解析して、構文解析されたデジタル証明データを作成するステップと、
    その構文解析されたデジタル証明書をデジタル証明書記憶領域に格納する
    ステップとを含み、
    前記デジタル証明書からデジタル証明情報を抽出するステップは、構文解析されたデジタル証明データからデジタル証明情報を取り出すステップを含む方法。
  10. 請求項1に記載の方法であって、
    デジタル証明書が、そのデジタル証明書に関連するエンティティを識別する対象識別記号を含み、
    前記デジタル証明書からデジタル証明情報を抽出するステップは、該デジタル証明書から対象識別記号を抽出するステップを含む方法。
  11. 請求項10に記載の方法であって、対象識別記号がeメールアドレスを含む方法。
  12. 請求項11に記載の方法であって、データ記憶装置がアドレス帳を含む方法。
  13. 請求項2に記載の方法であって、
    前記データ記憶装置がアドレス帳を含み、
    前記データ記憶装置に新しいエントリを作成するステップは、新しいエントリに関連する機密保護メッセージ通信フラグを設定して、その新しいエントリに関連するデジタル証明書が受信されたことを表示するステップをさらに含む方法。
  14. 請求項13に記載の方法であって、
    メッセージ通信クライアントでメッセージを作成するステップと、
    データ記憶装置の中の新しいエントリにアクセスして、そのメッセージを受け手に宛先指定するステップと、
    新しいエントリに関連した機密保護メッセージ通信フラグに基づき、そのメッセージに機密保護処置を実施するかどうかを判定するステップとをさらに含む方法。
  15. 請求項14に記載の方法であって、機密保護処置が暗号化処置である方法。
  16. 請求項14に記載の方法であって、前記新しいエントリに関連する機密保護メッセージ通信フラグに基づき、そのメッセージに機密保護処置を実施するかどうか判定するステップは、
    新しいエントリに結び付く機密保護メッセージ通信フラグが設定されているかどうかを判定するステップと、
    新しいエントリに関連した機密保護メッセージ通信フラグが設定されていると判定した際に、メッセージ通信クライアントのユーザに、メッセージに機密保護処置を実施するかどうか決定するよう指示するステップとを含む方法。
  17. 請求項3に記載の方法であって、
    前記データ記憶装置がアドレス帳を含み、
    前記データ記憶装置の中の既存のエントリに抽出したデジタル証明情報を格納するステップは、
    その既存のエントリに関連する機密保護メッセージ通信フラグが設定されているかどうか判定するステップと、
    その既存のエントリに関連する機密保護メッセージ通信フラグが設定されていないと判定したならば、機密保護メッセージ通信フラッグを設定して、デジタル証明情報がその既存のエントリに格納されたことを表示するステップとをさらに含む方法。
  18. 請求項17に記載の方法であって、
    メッセージ通信クライアントでメッセージを作成するステップと、
    記憶装置の中の既存のエントリにアクセスして、そのメッセージを受け手に宛先指定するステップと、
    その既存のエントリに関連する機密保護メッセージ通信フラグに基づいて、メッセージに機密保護処置を実施するかどうかを判定するステップとをさらに含む方法。
  19. 請求項18に記載の方法であって、前記既存のエントリに関連する機密保護メッセージ通信フラグに基づいて、メッセージに機密保護処置を実施するかどうかを判定するステップは、
    既存のエントリに関連する機密保護メッセージ通信フラグが設定されているかどうかを判定するステップと、
    その既存のエントリに関連する機密保護メッセージ通信フラグが設定されていると判定した際に、メッセージ通信クライアントのユーザに、メッセージに機密保護処置を実施するかどうか決定するよう指示するステップとを含む方法。
  20. 請求項1に記載の方法であって、
    前記抽出されたデジタル証明情報に、対象識別記号及びデジタル証明書有効性情報が含まれており、
    前記抽出されたデジタル証明情報をメッセージ通信クライアントのデータ記憶装置に格納するかどうかを判定するステップは、
    該対象識別記号が、そのデータ記憶装置の中の既存のエントリに格納されているかどうかを判定するステップと、
    該対象識別記号が、データ記憶装置の中の既存のエントリに格納されていないと判定した際に、該デジタル証明書有効性情報が、そのデータ記憶装置の中の既存のエントリに格納されているかどうかを判定するステップとを含み、
    前記データ記憶装置にデジタル証明情報を格納するステップは、
    データ記憶装置の既存のエントリに該対象識別記号が格納されていない場合には、データ記憶装置に新しいエントリを作成して、その新しいエントリに該対象識別記号及び該デジタル証明書有効性情報を格納するステップと、
    データ記憶装置の既存のエントリに該対象識別記号が格納されている場合には、データ記憶装置のその既存エントリにデジタル証明書有効性情報を格納する
    ステップとを含む方法。
  21. 請求項20に記載の方法であって、
    対象識別記号及びデジタル証明書有効性情報に基づいて、デジタル証明書が無効かどうかを判定するステップと、
    デジタル証明書が無効であると判定した際に、メッセージ通信クライアントのユーザに、そのデジタル証明書が無効であることを通知する
    ステップとをさらに含む方法。
  22. 請求項21に記載の方法であって、デジタル証明書有効性情報に有効期間が定められている方法。
  23. 請求項21に記載の方法であって、デジタル証明書有効性情報に失効期日が定められている方法。
  24. 請求項1に記載の方法であって、メッセージ通信クライアントが、移動通信機器上で実行される方法。
  25. メッセージ通信クライアントにデジタル証明情報を格納するためのシステムであって、
    デジタル証明書を受信するように構成されたデジタル証明書ローダ・モジュールと、
    デジタル証明書ローダ・モジュールがデジタル証明書を受信した後、そのデジタル証明書からデジタル証明情報を抽出し、該抽出デジタル証明情報が第一データ記憶装置の既存のエントリに格納されているかどうかを判定し、その抽出デジタル証明情報が第一データ記憶装置の既存のエントリに格納されていない場合には、その抽出デジタル証明情報を第一データ記憶装置に格納するように構成されたデジタル証明情報インジェクタ・モジュール
    とを含むシステム。
  26. 請求項25に記載のシステムであって、前記デジタル証明情報インジェクタ・モジュールが、抽出されたデジタル証明情報が第一データ記憶装置の中のエントリに格納されていないと判定した際に、その第一データ記憶装置に新しいエントリを作成するように、さらに構成されたシステム。
  27. 請求項26に記載のシステムであって、
    抽出されたデジタル証明情報が対象識別記号と追加デジタル証明情報を含み、
    前記デジタル証明情報インジェクタ・モジュールが、
    該対象識別記号が第一データ記憶装置の中のエントリに格納されているかどうかを判定し、その対象識別記号が第一データ記憶装置の中のエントリに格納されていないと判定した際に、その第一データ記憶装置の中に新しいエントリを作成して、第一データ記憶装置中のその新しいエントリに該対象識別記号と追加デジタル証明情報を格納し、
    その対象識別記号が第一データ記憶装置の中のエントリに格納されていると判定した際に、第一データ記憶装置中のそのエントリに該追加デジタル証明情報が格納されているかどうかを判定し、第一データ記憶装置に該追加デジタル証明情報が格納されていないと判定した際に、該追加デジタル証明情報を第一データ記憶装置中のそのエントリに格納する
    ようにさらに構成されたシステム。
  28. 請求項25に記載のシステムであって、第二データ記憶装置をさらに含み、前記デジタル証明書ローダ・モジュールが、デジタル証明書をその第二データ記憶装置に格納するように構成されたシステム。
  29. 請求項28に記載のシステムであって、前記デジタル証明情報インジェクタ・モジュールが、第二データ記憶装置へ格納された受信デジタル証明書を検出し、そのような検出をした際に、その受信デジタル証明書を取り出すようにさらに構成されたシステム。
  30. 請求項28に記載のシステムであって、前記デジタル証明書ローダ・モジュールが、受信したデジタル証明書が第二データ記憶装置に格納されたときに、デジタル証明情報インジェクタ・モジュールに通知するように構成されたシステム。
  31. 請求項25に記載のシステムであって、
    該システムが、デジタル証明書記憶領域をさらに含み、
    前記デジタル証明書ローダ・モジュールが、デジタル証明書を構文解析し、構文解析されたデジタル証明データを作成し、その構文解析されたデジタル証明データをデジタル証明書記憶領域に格納するように構成され、
    前記デジタル証明情報インジェクタ・モジュールが、デジタル証明書記憶領域に格納された構文解析されたデジタル証明データからデジタル証明情報を取り出すよう構成された
    システム。
  32. 請求項25に記載のシステムであって、前記デジタル証明書ローダ・モジュールが、前記デジタル証明情報インジェクタ・モジュールにデジタル証明情報を提供するように構成されたシステム。
  33. 請求項25に記載のシステムであって、前記メッセージ通信クライアントが無線移動通信機器であるシステム。
  34. 請求項28に記載のシステムであって、前記デジタル証明情報インジェクタ・モジュールが、第二データ記憶装置からデジタル証明書のデジタル証明情報を抽出し、第二データ記憶装置から抽出したデジタル証明情報が、第一データ記憶装置の中のエントリに格納されているかどうかを判定し、第二データ記憶装置から抽出したデジタル証明情報が第一データ記憶装置の中のエントリに格納されていないと判定した際に、その抽出したデジタル証明情報を第一データ記憶装置に格納するようにさらに構成されたシステム。
  35. 請求項34に記載のシステムであって、前記第一データ記憶装置が、接触先情報を格納するアドレス帳記憶領域、及び約束情報を格納する約束記憶領域を含むシステム。
  36. 移動通信機器に格納されたデジタル証明データを管理する方法であって、
    伝送されてきたデジタル証明データを、移動通信機器に受信するステップと、
    その伝送デジタル証明データを、その移動通信機器中のメモリストアに格納されたデジタル証明データと対比するステップと、
    メモリストアを更新して、メモリストアに格納されていない伝送ディジタル証明データを格納するステップとを含む方法。
  37. 請求項36に記載の方法であって、前記伝送されてきたデジタル証明データをメモリストアに格納されたデジタル証明データと対比するステップは、
    該伝送ディジタル証明データに関連するデジタル証明識別記号を選定し、
    そのデジタル証明識別記号がメモリストアに格納されているかどうかを判定するステップを含む方法。
  38. 請求項37に記載の方法であって、メモリストアを更新してメモリストアに格納されていない伝送ディジタル証明データを格納するステップは、
    デジタル証明識別記号がメモリストアに格納されていないと判定した際に、そのデジタル証明識別記号をメモリストアに格納するステップと、
    伝送されてきたデジタル証明データをメモリストアに格納するステップと、
    その伝送デジタル証明データをデジタル証明識別記号に関連づける
    ステップとを含む方法。
  39. 請求項38に記載の方法であって、
    メモリストア中に機密保護メッセージ通信識別記号を設定するステップと、
    その機密保護メッセージ通信識別記号をデジタル証明識別記号に関連づける
    ステップとをさらに含む方法。
  40. 請求項39に記載の方法であって、メモリストアがアドレス帳記憶装置であり、デジタル証明識別記号がeメールアドレスである方法。
  41. 請求項40に記載の方法であって、
    移動通信機器でメッセージを作成するステップと、
    そのメッセージをeメールアドレスにアドレス指定するステップと、
    機密保護メッセージ通信識別記号に基づいて、そのメッセージに機密保護処置を実施するかどうかを判定するステップとをさらに含む方法。
  42. 請求項41に記載の方法であって、機密保護メッセージ通信識別記号に基づいて、そのメッセージに機密保護処置を実施するかどうかを判定するステップは、
    機密保護メッセージ通信識別記号が設定されているかどうかを判定するステップと、
    機密保護メッセージ通信識別記号が設定されている場合には、移動通信機器のユーザに、メッセージに機密保護処置を選定するよう指示する
    ステップとを含む方法。
  43. 請求項36に記載の方法であって、
    前記メモリストアに格納されたデジタル証明データに基づいて、デジタル証明書に対する有効性イベントを選定するステップと、
    該有効性イベントの発生をユーザに通知する
    ステップとをさらに含む方法。
  44. 請求項43に記載の方法であって、有効性イベントがデジタル証明書の有効期間の終了である方法。
  45. 請求項43に記載の方法であって、前記メモリストアに格納されたデジタル証明データに基づいて、デジタル証明書に対する有効性イベントを選定するステップは、
    有効性イベント・データを第二メモリストアに格納するステップと、
    定期的にその第二メモリストアにアクセスして、有効性イベントが発生していないかどうかを判定するステップとを含む方法。
  46. 請求項45に記載の方法であって、第二メモリストアが日程イベント記憶装置であり、有効性イベントがデジタル証明書の失効である方法。
JP2003577495A 2002-03-20 2003-03-20 証明情報記憶装置および証明情報記憶方法 Ceased JP2005521142A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US36551602P 2002-03-20 2002-03-20
PCT/CA2003/000406 WO2003079628A1 (en) 2002-03-20 2003-03-20 Certificate information storage system and method

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2009243910A Division JP2010049702A (ja) 2002-03-20 2009-10-22 証明情報記憶装置および証明情報記憶方法

Publications (1)

Publication Number Publication Date
JP2005521142A true JP2005521142A (ja) 2005-07-14

Family

ID=28042028

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2003577495A Ceased JP2005521142A (ja) 2002-03-20 2003-03-20 証明情報記憶装置および証明情報記憶方法
JP2009243910A Withdrawn JP2010049702A (ja) 2002-03-20 2009-10-22 証明情報記憶装置および証明情報記憶方法

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2009243910A Withdrawn JP2010049702A (ja) 2002-03-20 2009-10-22 証明情報記憶装置および証明情報記憶方法

Country Status (11)

Country Link
US (2) US20050149442A1 (ja)
EP (1) EP1488595B1 (ja)
JP (2) JP2005521142A (ja)
KR (1) KR100634861B1 (ja)
CN (1) CN100563242C (ja)
AT (1) ATE369689T1 (ja)
AU (1) AU2003213910A1 (ja)
CA (1) CA2479619C (ja)
DE (1) DE60315434T2 (ja)
HK (1) HK1071644A1 (ja)
WO (1) WO2003079628A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008048353A (ja) * 2006-08-21 2008-02-28 Murata Mach Ltd 電子メール通信装置
JP2008527833A (ja) * 2005-01-07 2008-07-24 エルジー エレクトロニクス インコーポレーテッド 認証方法、暗号化方法、復号方法、暗号システム及び記録媒体

Families Citing this family (68)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3926792B2 (ja) 2001-06-12 2007-06-06 リサーチ イン モーション リミテッド モバイルデータ通信デバイスと交換するためのセキュアなeメールを圧縮するシステムおよび方法
IL159340A0 (en) * 2001-06-12 2004-06-01 Research In Motion Ltd System and method for processing encoded messages for exchange with a mobile data communication device
CN100410927C (zh) 2001-06-12 2008-08-13 捷讯研究有限公司 证书管理和传送系统及方法
WO2003007570A1 (en) 2001-07-10 2003-01-23 Research In Motion Limited System and method for secure message key caching in a mobile communication device
EP1417814B1 (en) * 2001-08-06 2008-10-29 Research In Motion Limited System and method for processing encoded messages
ATE405077T1 (de) * 2003-11-26 2008-08-15 Totemo Ag Verfahren und vorrichtung zur verschlüsselung von elektronischer post
JP4682530B2 (ja) * 2004-04-23 2011-05-11 富士ゼロックス株式会社 証明書圧縮装置、証明書伸張装置、およびプログラム
US7412719B2 (en) * 2004-05-20 2008-08-12 International Business Machines Corporation Architecture and design for central authentication and authorization in an on-demand utility environment using a secured global hashtable
EP1610518A1 (en) * 2004-06-21 2005-12-28 Ehsan Aboual Chamat Authentication system and security device
US20060036849A1 (en) * 2004-08-09 2006-02-16 Research In Motion Limited System and method for certificate searching and retrieval
US9094429B2 (en) 2004-08-10 2015-07-28 Blackberry Limited Server verification of secure electronic messages
US7631183B2 (en) 2004-09-01 2009-12-08 Research In Motion Limited System and method for retrieving related certificates
US7549043B2 (en) * 2004-09-01 2009-06-16 Research In Motion Limited Providing certificate matching in a system and method for searching and retrieving certificates
US7640428B2 (en) 2004-09-02 2009-12-29 Research In Motion Limited System and method for searching and retrieving certificates
DE602004013000T2 (de) * 2004-09-02 2009-05-07 Research In Motion Ltd., Waterloo System und Methode zum Suchen und Abrufen von Zertifikaten
US7778228B2 (en) * 2004-09-16 2010-08-17 The Boeing Company “Wireless ISLAND” mobile LAN-to-LAN tunneling solution
US7715560B2 (en) * 2004-11-17 2010-05-11 Inventec Appliances Corp. Systems and methods for hiding a data group
US7730143B1 (en) * 2004-12-01 2010-06-01 Aol Inc. Prohibiting mobile forwarding
DE602005001315T2 (de) * 2005-01-28 2008-02-14 Research In Motion Ltd., Waterloo Automatische Integration von Inhalt aus mehreren Datenspeichern mittels eines Mobilkommunikationsgeräts
US7739500B2 (en) * 2005-03-07 2010-06-15 Microsoft Corporation Method and system for consistent recognition of ongoing digital relationships
US7822200B2 (en) * 2005-03-07 2010-10-26 Microsoft Corporation Method and system for asymmetric key security
US7613304B2 (en) 2005-03-08 2009-11-03 Research In Motion Limited System and method for sending encrypted messages to a distribution list
CN101248444A (zh) 2005-07-25 2008-08-20 西尔弗布鲁克研究有限公司 具有标识布局的编码数据的产品项目
US20070043663A1 (en) * 2005-08-16 2007-02-22 Mark Simpson E-payment advice system
JP4783112B2 (ja) * 2005-10-11 2011-09-28 株式会社日立製作所 署名履歴保管装置
KR100902627B1 (ko) * 2005-10-14 2009-06-15 리서치 인 모션 리미티드 마스터 암호화 키들을 보호하는 시스템 및 방법
KR100755536B1 (ko) * 2005-12-15 2007-09-06 주식회사 팬택앤큐리텔 복제단말기에 대한 ip 할당 방지시스템
US20070143596A1 (en) * 2005-12-15 2007-06-21 International Business Machines Corporation Untrusted certificate store for secure e-mail
US8090361B2 (en) 2006-05-26 2012-01-03 At&T Intellectual Property I, Lp Methods and systems for monitoring computer systems using wireless devices
US7814161B2 (en) * 2006-06-23 2010-10-12 Research In Motion Limited System and method for handling electronic mail mismatches
JP2008079091A (ja) * 2006-09-22 2008-04-03 Fujitsu Ltd 電子証明書を用いる認証システム
US8572373B2 (en) * 2006-11-30 2013-10-29 Red Hat, Inc. Method, apparatus and system for secure electronic mail
JP2008165307A (ja) * 2006-12-27 2008-07-17 Murata Mach Ltd 電子メール通信装置
KR20080109521A (ko) * 2007-06-13 2008-12-17 엘지전자 주식회사 데이터 방송 신호를 처리하는 방법 및 수신하는 장치
US8547957B2 (en) * 2007-07-23 2013-10-01 Savi Technology, Inc. Method and apparatus for providing security in a radio frequency identification system
US20090216678A1 (en) * 2008-02-25 2009-08-27 Research In Motion Limited System and method for facilitating secure communication of messages associated with a project
US8108777B2 (en) 2008-08-11 2012-01-31 Microsoft Corporation Sections of a presentation having user-definable properties
US20100075283A1 (en) * 2008-09-18 2010-03-25 Raymond Rees Device and method for training underground storage tank operators
US8296563B2 (en) 2008-10-22 2012-10-23 Research In Motion Limited Method of handling a certification request
US8255685B2 (en) 2009-03-17 2012-08-28 Research In Motion Limited System and method for validating certificate issuance notification messages
US8776192B2 (en) * 2009-11-17 2014-07-08 At&T Intellectual Property I, L.P. Methods, systems, and computer program products for automatically verifying and populating digital certificates in an encryption keystore
US9203831B2 (en) * 2009-11-25 2015-12-01 Red Hat, Inc. SSL client authentication
JP5429880B2 (ja) * 2010-08-10 2014-02-26 Necビッグローブ株式会社 アプリケーション配布システム、アプリケーション配布方法、端末及びプログラム
US8555067B2 (en) 2010-10-28 2013-10-08 Apple Inc. Methods and apparatus for delivering electronic identification components over a wireless network
US9450759B2 (en) 2011-04-05 2016-09-20 Apple Inc. Apparatus and methods for controlling distribution of electronic access clients
US8887257B2 (en) 2011-04-26 2014-11-11 David T. Haggerty Electronic access client distribution apparatus and methods
US9027141B2 (en) * 2012-04-12 2015-05-05 Netflix, Inc. Method and system for improving security and reliability in a networked application environment
US9571465B1 (en) * 2014-09-18 2017-02-14 Amazon Technologies, Inc. Security verification by message interception and modification
CN106464667B (zh) 2015-02-09 2020-01-10 华为技术有限公司 一种证书管理方法、设备及系统
CN105184138B (zh) * 2015-08-13 2019-01-22 深圳市广和通无线股份有限公司 无线通讯模块及其证书加载和配置校验方法
US10311042B1 (en) * 2015-08-31 2019-06-04 Commvault Systems, Inc. Organically managing primary and secondary storage of a data object based on expiry timeframe supplied by a user of the data object
KR20180066148A (ko) 2015-10-21 2018-06-18 후아웨이 테크놀러지 컴퍼니 리미티드 네트워크 기능 가상화 아키텍처에서의 인증서 관리 방법 및 디바이스
US10412098B2 (en) * 2015-12-11 2019-09-10 Amazon Technologies, Inc. Signed envelope encryption
US9705859B2 (en) * 2015-12-11 2017-07-11 Amazon Technologies, Inc. Key exchange through partially trusted third party
KR20180083690A (ko) * 2017-01-13 2018-07-23 에이치피프린팅코리아 주식회사 스크린 세이버를 실행하는 화상 형성 장치 및 스크린 세이버를 실행하는 화상 형성 장치를 제어하는 방법
US11170084B2 (en) 2018-06-28 2021-11-09 Private Identity Llc Biometric authentication
US11138333B2 (en) 2018-03-07 2021-10-05 Private Identity Llc Systems and methods for privacy-enabled biometric processing
US10938852B1 (en) 2020-08-14 2021-03-02 Private Identity Llc Systems and methods for private authentication with helper networks
US11392802B2 (en) 2018-03-07 2022-07-19 Private Identity Llc Systems and methods for privacy-enabled biometric processing
US11502841B2 (en) 2018-03-07 2022-11-15 Private Identity Llc Systems and methods for privacy-enabled biometric processing
US11394552B2 (en) 2018-03-07 2022-07-19 Private Identity Llc Systems and methods for privacy-enabled biometric processing
US11265168B2 (en) * 2018-03-07 2022-03-01 Private Identity Llc Systems and methods for privacy-enabled biometric processing
US10721070B2 (en) 2018-03-07 2020-07-21 Private Identity Llc Systems and methods for privacy-enabled biometric processing
US11489866B2 (en) 2018-03-07 2022-11-01 Private Identity Llc Systems and methods for private authentication with helper networks
US11210375B2 (en) 2018-03-07 2021-12-28 Private Identity Llc Systems and methods for biometric processing with liveness
US11789699B2 (en) 2018-03-07 2023-10-17 Private Identity Llc Systems and methods for private authentication with helper networks
KR102089852B1 (ko) * 2018-04-16 2020-04-23 주식회사 스마트엠투엠 블록체인 기반의 보안 자격증명 배포를 위한 장치 및 방법
CN115250186B (zh) * 2021-04-12 2024-04-16 顺丰科技有限公司 网络连接认证方法、装置、计算机设备和存储介质

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5958005A (en) * 1997-07-17 1999-09-28 Bell Atlantic Network Services, Inc. Electronic mail security
JP3942267B2 (ja) * 1998-04-21 2007-07-11 東芝テック株式会社 電子メールシステム
US6990578B1 (en) * 1999-10-29 2006-01-24 International Business Machines Corp. Method and apparatus for encrypting electronic messages composed using abbreviated address books
US6781972B1 (en) * 2000-03-31 2004-08-24 Lucent Technologies Inc. Method and system for subscriber-configurable communications service
JP2001352338A (ja) 2000-06-08 2001-12-21 Nec Corp サーバ、ネットワークシステム及びメール伝送方法
JP4554771B2 (ja) * 2000-06-20 2010-09-29 パナソニック株式会社 正当性認証システム、個人証発行システム及び個人証
AU2001271489A1 (en) * 2000-06-27 2002-01-08 Peoplestreet, Inc. Systems and methods for managing contact information
US20030041110A1 (en) * 2000-07-28 2003-02-27 Storymail, Inc. System, Method and Structure for generating and using a compressed digital certificate
WO2002021413A2 (en) * 2000-09-05 2002-03-14 Zaplet, Inc. Methods and apparatus providing electronic messages that are linked and aggregated
GB0027280D0 (en) * 2000-11-08 2000-12-27 Malcolm Peter An information management system
US7069310B1 (en) * 2000-11-10 2006-06-27 Trio Systems, Llc System and method for creating and posting media lists for purposes of subsequent playback
US7003551B2 (en) * 2000-11-30 2006-02-21 Bellsouth Intellectual Property Corp. Method and apparatus for minimizing storage of common attachment files in an e-mail communications server
US7412599B1 (en) * 2000-12-07 2008-08-12 Entrust Technologies Limited Administrative remote notification system and method
CN100410927C (zh) * 2001-06-12 2008-08-13 捷讯研究有限公司 证书管理和传送系统及方法
US7496604B2 (en) * 2001-12-03 2009-02-24 Aol Llc Reducing duplication of files on a network
US20030199282A1 (en) * 2002-01-15 2003-10-23 Cezary Marcjan Mobile telephone active messaging system
US7051049B2 (en) * 2002-02-21 2006-05-23 International Business Machines Corporation Real-time chat and conference contact information manager

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008527833A (ja) * 2005-01-07 2008-07-24 エルジー エレクトロニクス インコーポレーテッド 認証方法、暗号化方法、復号方法、暗号システム及び記録媒体
JP2008048353A (ja) * 2006-08-21 2008-02-28 Murata Mach Ltd 電子メール通信装置

Also Published As

Publication number Publication date
KR20050002877A (ko) 2005-01-10
CN1799240A (zh) 2006-07-05
EP1488595A1 (en) 2004-12-22
AU2003213910A1 (en) 2003-09-29
DE60315434D1 (de) 2007-09-20
KR100634861B1 (ko) 2006-10-17
CA2479619C (en) 2008-05-20
WO2003079628A1 (en) 2003-09-25
EP1488595B1 (en) 2007-08-08
HK1071644A1 (en) 2005-07-22
CN100563242C (zh) 2009-11-25
US9807082B2 (en) 2017-10-31
DE60315434T2 (de) 2008-04-24
JP2010049702A (ja) 2010-03-04
US20050149442A1 (en) 2005-07-07
ATE369689T1 (de) 2007-08-15
US20110271115A1 (en) 2011-11-03
CA2479619A1 (en) 2003-09-25

Similar Documents

Publication Publication Date Title
EP1488594B1 (en) System and method for supporting multiple certificate status providers on a mobile communication device
CA2479619C (en) Certificate information storage system and method
EP1488597B1 (en) System and method for checking digital certificate status
US8423763B2 (en) System and method for supporting multiple certificate status providers on a mobile communication device
US8539226B2 (en) Certificate management and transfer system and method
JP3926792B2 (ja) モバイルデータ通信デバイスと交換するためのセキュアなeメールを圧縮するシステムおよび方法
JP2007318809A (ja) モバイルデータ通信デバイスと交換するために暗号化されたメッセージを処理する方法
JP2010134940A (ja) エンコードされたメッセージの処理のための多段階システムおよびその方法

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080714

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20081010

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20081010

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20081010

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20081112

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20081113

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20081120

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20081210

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20081217

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090114

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090622

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091022

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20091028

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20091116

A045 Written measure of dismissal of application [lapsed due to lack of payment]

Free format text: JAPANESE INTERMEDIATE CODE: A045

Effective date: 20100318