JP4555195B2 - 証明書を検索し取り出すシステムおよび方法における証明書のマッチングの提供 - Google Patents

証明書を検索し取り出すシステムおよび方法における証明書のマッチングの提供 Download PDF

Info

Publication number
JP4555195B2
JP4555195B2 JP2005250982A JP2005250982A JP4555195B2 JP 4555195 B2 JP4555195 B2 JP 4555195B2 JP 2005250982 A JP2005250982 A JP 2005250982A JP 2005250982 A JP2005250982 A JP 2005250982A JP 4555195 B2 JP4555195 B2 JP 4555195B2
Authority
JP
Japan
Prior art keywords
certificate
message
user
sender
computing device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2005250982A
Other languages
English (en)
Other versions
JP2006074779A (ja
Inventor
ピー. アダムス ネイル
エス. ブラウン マイケル
エー. リトル ハーバート
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BlackBerry Ltd
Original Assignee
Research in Motion Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=34929517&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=JP4555195(B2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Research in Motion Ltd filed Critical Research in Motion Ltd
Publication of JP2006074779A publication Critical patent/JP2006074779A/ja
Application granted granted Critical
Publication of JP4555195B2 publication Critical patent/JP4555195B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/12Messaging; Mailboxes; Announcements

Description

本発明は、概して、電子メールのメッセージなどのメッセージの処理に関し、より詳しくは、コード化されたメッセージの処理に用いられる証明書を検索し取り出すシステムおよび方法に関する。
電子メール(「eメール」)のメッセージは、周知のプロトコルのうちの1つを用いてコード化され得る。それらのプロトコル(例えば、Secure Multiple Internet Mail Extensions(「S/MIME」))には、公開および秘密の暗号化鍵に頼ることにより、機密保持および完全性を提供し、また、PKI(Public Key Infrastructure)に頼ることにより、認証および承認を提供する情報を伝達するものもある。秘密鍵/公開鍵のペアの秘密鍵を用いて暗号化されたデータは、そのペアの対応する公開鍵を用いてのみ解読され得て、その逆も同様である。メッセージのコード化に用いられる公開鍵の真偽は、証明書を用いて確認される。特に、コンピュータデバイスのユーザーが、特定の個人にメッセージを送る前にメッセージの暗号化を望む場合において、ユーザーは、その個人に対する証明書を必要とすることになる。その証明書は、通常、その個人の公開鍵と、識別に関連する別の情報とからなる。同様に、コンピュータデバイスのユーザーが署名されたメッセージの送信者の認証を望む場合において、ユーザーは送信者に対する証明書を必要とすることになる。
必要な証明書がユーザーのコンピュータデバイスに記憶されていない場合においては、まず、証明書を取り出す必要がある。特定の証明書を検索し取り出すことは、ユーザーに、コンピュータデバイスに表示された検索フォームにおいて証明書が必要な個人の名前および/または電子メールアドレスを、実際に入力させることにより、認証サーバーに照会することを通常含むプロセスである。一般的に、検討のためにその検索により捜し出された証明書をコンピュータデバイスに一時的にダウンロードし、捜し出された証明書のリストがユーザーに対して表示され得る。次いで、将来における使用を目的として、リスト中の選択された証明書は、コンピュータデバイスの不揮発性記憶装置における記憶のために、ユーザーにより実際に識別され得る。
ユーザーのコンピュータデバイスがモバイル機器である場合における実現を考える。メッセージサーバーにおいてメッセージが受信され、モバイル機器へのダウンロードが利用可能になると、帯域幅を保つために、通常、所定サイズの連続的なデータブロックにおいてのみ、モバイル機器にメッセージが送信される。より具体的には、メッセージの第1のブロック(例えば、2KBのデータ)がモバイル機器にダウンロードされ、ユーザーがさらにメッセージの受信を望む場合において、モバイル機器がメッセージ全てをダウンロード済みであるか、またはメッセージのダウンロードに対する所定の制限に達するまで、ユーザーは、モバイル機器へのさらなるブロックのダウンロードを要求することができる。
受信したメッセージが例えば署名されたS/MIMEメッセージである場合において、メッセージの完全性を確認し、送信者の識別を認証するために、送信者の証明書が必要とされる。必要な証明書がメッセージに添付され得る場合もあり、通常、証明書はメッセージの最後に添付されている。もしくは、必要な証明書はメッセージに添付されていなくてもよいが、署名に用いられた証明書を識別する1つ以上の証明書の識別子が提供されており、通常、これも先と同様にメッセージの最後に添付される。次いで、証明書が既に記憶されている場合においてモバイル機器の証明書の記憶装置から、もしくは上述のように証明書をダウンロードすることが可能な認証サーバーから、識別された証明書を取り出すことができる。
メッセージに対する証明書または証明書の識別子を得るためには、通常、メッセージ全体をモバイル機器にダウンロードする必要がある。あいにく、単に証明書の情報を取り出すためにメッセージ全体をダウンロードすることは、タイムコンシューミングかつ高いタスクであり得る(例えば、帯域幅に対して)。一方、メッセージの小部分のみしかモバイル機器にダウンロードされていない場合、またはメッセージが長すぎて課せられた制限のためにモバイル機器にダウンロードできない場合においては、ある確実性で、受信したメッセージの完全性を確認し、送信者の識別を認証するために必要とされる証明書を識別することは不可能であり得る。
本発明の実施形態は、概して、より効率的に証明書を検索し取り出すシステムおよび方法に向けられており、そのシステムおよび方法では、ユーザーのコンピュータデバイス(例えば、モバイル機器)に送信者のメッセージ全てをダウンロードする必要なしに必要な証明書を識別することができる。特に、そのシステムおよび方法により、1つ以上の認証サーバーの検索において捜し出された証明書からの必要な証明書の決定が容易になる。
本発明の1つの広範な局面において、ユーザーに受信される送信者からのメッセージに関する証明書を検索し取り出す方法が提供される。そのメッセージは、メッセージに関連した送信者証明書を識別するデータを備えており、そのメッセージから、一意的に送信者証明書を識別する証明書識別用データが生成され得る。その方法は、コンピュータデバイスにおいてメッセージの少なくとも一部分と証明書識別用データとを受信する工程と;送信者に関連した証明書に対する証明書検索要求を提供する工程と;1つ以上の認証サーバーに検索を行う工程であって、少なくとも1つのクエリを1つ以上の認証サーバーに提示することにより、証明書探索要求を満たす捜し出された証明書の取り出しを要求する、工程と;1つ以上の認証サーバーから少なくとも1つの捜し出された証明書を取り出す工程と;証明書識別用データを用いて、捜し出され取り出された証明書の各々を処理することにより、捜し出された証明書の各々が、メッセージに関連した送信者証明書であるか否かを決定する工程と;決定する工程において決定されるように、捜し出された証明書が、メッセージに関連した送信者証明書である場合において、捜し出された証明書をコンピュータデバイスに記憶する工程とを包含する。
別の広範な局面において、生成された証明書識別用データには、送信者証明書のシリアル番号と発行者データとが含まれる。また、処理する工程は、捜し出され取り出された証明書の各々を解析することにより、各シリアル番号と発行者データとを得ることと、各シリアル番号および発行者データを証明書識別用データと比較することとを包含する。
別の広範な局面において、生成された証明書識別用データには、送信者証明書の少なくとも一部のハッシュが含まれる。また、処理する工程は、捜し出され取り出された証明書の各々にハッシュアルゴリズムを適用することにより、各ハッシュを得ることと、各ハッシュを証明書識別用データと比較することとを包含する。
本発明の別の広範な局面において、ユーザーに受信される送信者からのメッセージに関する証明書を検索し取り出すシステムが提供される。そのメッセージは、メッセージに関連した送信者証明書を識別するデータを備えている。そのシステムは、メッセージから証明書識別用データを生成するように適合されたメッセージ管理サーバーであって、証明書識別用データは一意的に送信者証明書を識別する、メッセージ管理サーバーと;メッセージ管理サーバーから、少なくともメッセージの一部分と証明書識別用データとを受信するように適合されたモバイル機器と;モバイル機器から送信者に関連した証明書の検索要求を受信し、検索要求を満たす捜し出された証明書に対して1つ以上の認証サーバーに照会することにより1つ以上の認証サーバーへの検索を実行し、1つ以上の認証サーバーから捜し出された証明書を取り出すように適合されたモバイルデータサーバーとを備えている。また、そのモバイル機器およびモバイルデータサーバーのうちの少なくとも1つは、モバイルデータサーバーにおいて取り出されたその捜し出された証明書の各々を処理することにより、証明書識別用データを用いて、捜し出されたデータの各々が、メッセージに関連した送信者証明書であるか否かを決定するように、さらに適合されている。また、そのモバイル機器は、1つ以上の証明書記憶装置を提供することにより、メッセージに関連した送信者証明書であると決定される捜し出された証明書を記憶する。
別の広範な局面において、ユーザーに受信される送信者からのメッセージに関する証明書を検索し取り出す方法が提供される。そのメッセージは、メッセージに関連した送信者証明書を識別するデータを備えている。その方法は、送信者証明書を識別する受信済みメッセージ内のそのデータから送信者証明書に対する証明書識別用データを生成する工程であって、証明者識別用データは一意的に送信者証明書を識別する、工程と;コンピュータデバイスにおいて証明書識別用データを受信する工程と;コンピュータデバイスに記憶された複数の証明書の各々に関連する証明書識別用データを生成し、記憶された複数の証明書の各々に対して生成された証明書識別用データを送信者証明書に対して生成された証明者識別用データと比較することにより、送信者証明書にマッチする記憶された証明書を識別することによって、コンピュータデバイスに送信者証明書が記憶されたか否かを決定する工程とを包含する。
本発明は、さらに以下の手段を提供する。
(項目1)
ユーザーにより受信された送信者からのメッセージに関連する証明書を検索し取り出す方法であって、該メッセージは該メッセージに関連した送信者証明書を識別するデータを備えており、該方法は、
コンピュータデバイスにおいて、該送信者証明書を識別する該受信されたメッセージのデータから生成された該送信者証明書に対する証明書識別用データを受信する工程であって、該証明書識別用データが一意的に該送信者証明書を識別する、工程と、
検索を実行することにより、該コンピュータデバイスまたはサーバーに記憶された証明書を捜し出す工程と、
該証明書識別用データを用いて、該捜し出された証明書の各々を処理することにより、処理されている該証明書が、該受信されたメッセージに関連した該送信者証明書であるかを決定する工程と
を包含する、方法。
(項目2)
a)上記コンピュータデバイスにおいて上記メッセージの少なくとも一部分と証明書識別用データとを受信する工程と、
b)上記送信者に関連した証明書に証明書検索要求を提供する工程と、
c)1つ以上の認証サーバーに検索を行う工程であって、該1つ以上の認証サーバーに少なくとも1つのクエリを入力することにより、該証明書検索要求を満たす捜し出された証明書の取り出しを要求する、工程と、
d)該1つ以上の認証サーバーから少なくとも1つの捜し出された証明書を取り出す工程と、
e)該証明書識別用データを用いて、工程d)において取り出された該捜し出された証明書の各々を処理することにより、該捜し出された証明書の各々が該メッセージに関連した該送信者証明書であるかを決定する、工程と、
f)工程e)において決定されるように、該捜し出された証明書が該メッセージに関連した該送信者証明書である場合において、該コンピュータデバイスに捜し出された証明書を記憶する工程と
を包含する、項目1に記載の方法。
(項目3)
上記コンピュータデバイスがモバイル機器である、項目2に記載の方法。
(項目4)
工程c)とd)とが、上記モバイル機器に接続された第2のコンピュータデバイスにおいて実行される、項目3に記載の方法。
(項目5)
上記第2のコンピュータデバイスがモバイルデータサーバーである、項目4に記載の方法。
(項目6)
工程e)も上記第2のコンピュータデバイスにおいて実行され、
該第2のコンピュータデバイスから上記モバイル機器に、工程f)の上記捜し出された証明書をダウンロードする工程をさらに包含する、項目4または5に記載の方法。
(項目7)
工程e)が上記モバイル機器において実行され、
上記第2のコンピュータデバイスから該モバイル機器に、工程d)において取り出された上記捜し出された証明書をダウンロードする工程をさらに包含する、項目4または5に記載の方法。
(項目8)
ユーザーに、工程d)において取り出された上記捜し出された証明書のリストを上記コンピュータデバイスにおいて表示する工程をさらに包含し、
該リストが、工程e)において決定されるように、もしある場合には、いずれの証明書が上記メッセージに関連した上記送信者証明書であるかを示す、項目2〜7のいずれか1項に記載の方法。
(項目9)
上記リストから証明書の1つ以上のユーザー選択を受信することと、上記コンピュータデバイスの証明書記憶装置に、選択された証明書を記憶することとをさらに包含する、項目8に記載の方法。
(項目10)
工程b)の前において、上記送信者証明書が上記コンピュータデバイスに記憶されたかを決定する工程をさらに包含する、項目2〜9のいずれか1項に記載の方法。
(項目11)
上記コンピュータデバイスにおいて上記証明書識別用データを受信する工程と、
該コンピュータデバイスに記憶された複数の証明書の各々に関連した証明書識別データを生成し、該複数の記憶された証明書の各々に対して生成された証明書識別用データと該送信者証明書に対して生成された該証明書識別用データとの比較をすることにより該送信者証明書にマッチする記憶された証明書を識別することによって、該送信者証明書が該コンピュータデバイスに記憶されたかを決定する工程と
を包含する、項目1に記載の方法。
(項目12)
上記証明書に対する証明書識別用データが上記送信者証明書に対するシリアル番号と発行者データとを含んでおり、上記捜し出された証明書の各々を解析することにより、該証明書に対する該シリアル番号と発行者データとの各々が得られ、該得られたシリアル番号と発行者データとが該証明書識別用データと比較される、項目2〜11のいずれか1項に記載の方法。
(項目13)
上記証明書に対する証明書識別用データが上記送信者証明書の少なくとも一部分のハッシュを含んでおり、上記捜し出された証明書の各々が該証明書に適応されるハッシュアルゴリズムを有することにより、該証明書に対する各ハッシュが得られ、各ハッシュが該証明書識別用データと比較される、項目2〜11のいずれか1項に記載の方法。
(項目14)
ユーザーにより受信された送信者からのメッセージに関連する証明書を検索し取り出すシステムであって、該メッセージは該メッセージに関連した送信者証明書を識別し、該システムは、
g)該メッセージから証明書識別用データを生成するように適合されたメッセージ管理サーバーであって、該証明書識別用データは一意的に該送信者証明書を識別する、メッセージ管理サーバーと、
h)該メッセージ管理サーバーから、該メッセージの少なくとも一部分と、該証明書識別用データとを受信するように適合されたモバイル機器と、
i)該送信者に関連した証明書に対する該モバイル機器からの検索要求を受信し、該検索要求を満たす捜し出された証明書に対して1つ以上の認証サーバーに照会することにより、該1つ以上の認証サーバーに対する検索を行い、該1つ以上の認証サーバーから捜し出された証明書を取り出すように適合されたモバイルデータサーバーと
を備えており、
該モバイル機器と該モバイルデータサーバーのうちの少なくとも1つが、該モバイルデータサーバーにおいて取り出された該捜し出された証明書の各々を処理することにより、該証明書識別用データを用いて、該捜し出された証明書の各々が該メッセージに関連した該送信者証明書であるかを決定するようにさらに適合されており、該モバイル機器が、該メッセージに関連した該送信者証明書であると決定された捜し出された証明書を記憶するために、1つ以上の証明書記憶装置を提供する、システム。
(項目15)
コンピュータデバイスにおいて実行されるソフトウェアアプリケーションであって、該アプリケーションはコンピュータ読取り可能な媒体に記憶された複数の命令を備えており、該命令が項目1〜13のいずれか1項に記載の上記方法の上記工程を実行する、ソフトウェアアプリケーション。
(摘要)
コード化されたメッセージの処理に用いられ得る証明書を検索し取り出すシステムおよび方法を提供する。一つの広い局面において、メッセージ管理サーバーは、メッセージに関連した証明書を一意的に識別するメッセージから、証明書識別用データを生成する。証明書識別用データを用いることにより、証明書検索要求に応答して1つ以上の認証サーバーから取り出された所定の捜し出された証明書が、メッセージに関連した証明書であるか否かを決定することができる。ユーザーのコンピュータデバイス(例えば、モバイル機器)における決定を容易にするために証明書識別用データのみが必要とされ、この決定をするためにユーザーがコンピュータデバイスにメッセージ全てをダウンロードする必要性が軽減される。
本発明の実施形態をさらに理解することと、本発明を実行に移し得る方法をさらに明確に示すこととを目的として、以下では、例証として、添付の図面を参照する。
本発明には、移動局を用いる実施形態もある。移動局は、別のコンピュータシステムと通信可能である高度なデータ通信性能を有する双方向通信装置であり、本明細書においては、移動局を概してモバイル機器と称する。モバイル機器は、音声通信性能も含み得る。モバイル機器により提供される機能により、モバイル機器は、データメッセージング装置、双方向ページャ、データメッセージング性能を有する携帯電話、無線インターネット用装置、または(電話性能を備えるかまたは備えない)データ通信装置と称され得る。モバイル機器は、送受信局のネットワークを介して別の装置と通信する。
モバイル機器の構造、および別の機器との通信の方法の理解を助けるために、図1〜3を参照する。
図1を参照すると、一実現例におけるモバイル機器のブロック図が、概ね100として示されている。モバイル機器100は複数の要素を備え、制御要素がマイクロプロセッサ102である。マイクロプロセッサ102は、モバイル機器100の全ての操作を制御する。データ通信と音声通信とを含めた通信機能は、通信サブシステム104を介して実行される。通信サブシステム104は、無線ネットワーク200にメッセージを送受信する。モバイル機器100のこの実現例において、通信サブシステム104は、GSM(Global System for Mobile Communication)およびGPRS(General Packet Radio Services)規格に基づいて構成されている。GSM/GPRS無線ネットワークは、世界中で用いられているが、EDGE(Enhanced Data GSM Environment)およびUMTS(Universal Mobile Telecommunications Service)に最終的には取って代わられると考えられている。新たな規格も定められている。それらは、本明細書において記載するネットワーク様式と類似点があると思われる。また、当業者には、本発明が将来開発される全ての適切な規格における使用を意図しているということは理解されるであろう。通信サブシステム104をネットワーク200に接続する無線リンクは、1つ以上の異なる無線周波数(RF)チャネルを表し、それは、GSM/GPRS通信に規定された定義済みのプロトコルに従って動作する。それらのチャネルは、新たなネットワークプロトコルを用いて、回路交換音声通信とパケット交換データ通信とをともにサポートすることができる。
モバイル機器100に関連する無線ネットワークは、モバイル機器100の一実現例においてはGSM/GPRS無線ネットワークであるが、別の無線ネットワークも別の実現形態におけるモバイル機器100に関連し得る。用いられ得る別のタイプの無線ネットワークには、例えば、データ中心(data−centric)無線ネットワークと、音声中心(voice−centric)無線ネットワークと、実在する同一基地局において音声通信およびデータ通信をともにサポートすることができるデュアルモードネットワークとが含まれる。結合型デュアルモードネットワークには、CDMA(Code Division Multiple Access)またはCDMA2000ネットワークと、上記のGSM/GPRSネットワークと、EDGEおよびUMTSのような未来の第3世代(3G)ネットワークとが含まれるが、それらに限定されない。以前からあるデータ中心ネットワークの例には、Mobitex(登録商標)ラジオネットワーク、およびDataTAC(登録商標)ラジオネットワークが含まれる。以前からある音声中心ネットワークの例には、GSMと類似しているPCS(Personal Communication Systems)ネットワーク、およびTDMA(Time Division Multiple Access)システムが含まれる。
マイクロプロセッサ102も、ランダムアクセスメモリ(RAM)106と、フラッシュメモリ108と、ディスプレイ110と、補助入力/出力(I/O)サブシステム112と、シリアルポート114と、キーボード116と、スピーカ118と、マイクロフォン120と、短距離通信サブシステム122と、別の装置124となどの追加のサブシステムと相互作用する。
モバイル機器100のサブシステムには通信に関連した機能をするものもあり、別のサブシステムは「レジデント」または装置における機能を提供し得る。例えば、ディスプレイ110およびキーボード116は、通信に関連した機能(例えば、ネットワーク200上における伝送のためのテキストメッセージの入力)、および装置に関連した機能(例えば、電卓またはタスクリスト)として用いられ得る。マイクロプロセッサ102により用いられるオペレーティングシステムのソフトウェアは、通常、フラッシュメモリ108(もしくは、図示していないが読出専用メモリ(ROM)または類似した記憶要素)などの永続的な記憶装置に記憶される。当業者には、オペレーティングシステム、特定の装置のアプリケーション、またはそれらの一部分が、RAM106などの揮発性記憶装置に一時的に取り込まれ得るということは理解されるであろう。
モバイル機器100は、所望のネットワーク登録または起動手段が完了した後において、ネットワーク200上で通信信号を送受信し得る。ネットワークアクセスは、加入者(subscriber)すなわちモバイル機器100のユーザーに関連する。加入者を識別することを目的として、モバイル機器100は、加入者識別モジュール(Subscriber Identity Module)、すなわち「SIM」カード126をSIMインターフェース128に挿入することを要求し、それにより、ネットワークと通信する。SIM126は、モバイル機器100の加入者を識別するため、かつ、別のものからモバイル機器100を個人化するために用いられる従来の「スマートカード」のタイプの1つである。SIM126なしでは、モバイル機器100は、ネットワーク200との通信に対して完全には動作可能ではない。SIMインターフェース128にSIM126を挿入することにより、加入者は、契約したサービス全てにアクセスすることができる。そのサービスには、ウェブブラウジングと、電子メール、音声メール、SMS(Short Message Service)およびMMS(Multimedia Messaging Services)などのメッセージングとが含まれ得る。さらに高度なサービスには、販売時点管理(point of sale)、フィールドサービス、および販売員のオートメーションが含まれ得る。SIM 126は、プロセッサと、情報を記憶するメモリとを含む。SIM126がSIMインターフェース128に挿入されると、SIM126はマイクロプロセッサ102に結合される。加入者を識別するために、SIM126は、IMSI(International Mobile Subscriber Identity)などのユーザーパラメータを含んでいる。SIM126を用いることの有利な点は、加入者が、実在する単一モバイル機器に縛られる必要はないということである。SIM126は、モバイル機器に対する追加の加入者情報も記憶し得る。その追加情報には、データブック(または、カレンダー)情報および最近の通話情報が含まれる。
モバイル機器100は、バッテリ駆動の機器であり、1つ以上の充電式バッテリ130を受けるバッテリインターフェース132を含む。バッテリインターフェース132は、レギュレータ(図示せず)に結合されており、レギュレータは、モバイル機器100へのバッテリ130による入力電圧V+の提供を補助する。今日の技術ではバッテリを用いるが、未来の技術、例えばマイクロ燃料電池は、モバイル機器100に入力電圧を供給し得る。
オペレーティングシステムの機能に加えて、マイクロプロセッサ102は、モバイル機器100におけるソフトウェアアプリケーションの実行を可能にする。データおよび音声通信アプリケーションを含めた基本的な装置の動作を制御するアプリケーションのセットは、通常、製造中においてモバイル機器100にインストールされる。モバイル機器100に取り込まれ得る別のアプリケーションは、PIM(personal information manager)であろう。PIMは、加入者が関心のあるデータアイテムを整理し管理する機能を有する。そのデータアイテムは、例えば、電子メール、カレンダー行事、音声メール、約束、およびタスクアイテムであるが、それらに限定されない。PIMアプリケーションは、無線ネットワーク200を介してデータアイテムを送受信することができる。PIMデータアイテムは、無線ネットワーク200を介して、シームレスにまとめられ得、同期され得、更新さ得て、モバイル機器の加入者の対応するデータアイテムは記憶され、および/またはホストコンピュータシステムに関連づけられる。この機能により、そのようなアイテムに対して、モバイル機器100にミラーホストコンピュータ(mirrored host computer)が生成される。それは、ホストコンピュータシステムがモバイル機器の加入者のオフィスコンピュータシステムである場合において、特に有利であり得る。
追加のアプリケーションも、ネットワーク200、補助I/Oサブシステム112、シリアルポート114、短距離通信サブシステム122または別の適切なサブシステム124を介して、モバイル機器100に取りこまれ得る。このアプリケーションのインストールの柔軟性により、モバイル機器100の機能が増え、機能強化された装置における機能または通信に関連した機能、または両機能が提供され得る。例えば、安全な通信アプリケーションにより、電子商取引の機能、およびモバイル機器100を用いて行われる別の金融取引が可能になり得る。
シリアルポート114により、加入者が外部装置またはソフトウェアアプリケーションを介して好みを設定することが可能になる。シリアルポート114は、無線通信ネットワークを介する以外の方法でモバイル機器100に情報またはソフトウェアのダウンロードを提供することによって、モバイル機器100の性能を拡張する。代替ダウンロードパスを用いることにより、例えば、直接、それ故に確実かつ信頼のおける接続を介してモバイル機器100に暗号化鍵を取り込み、それによって安全な装置通信が提供され得る。
短距離通信サブシステム122は、ネットワーク200を用いることなく、モバイル機器100と、異なるシステムまたは装置との通信を提供する。例えば、サブシステム122は、赤外線装置と、関連した回路と、短距離通信用の要素とを含み得る。短距離通信の例には、IrDA(Infrared Data Association)により開発された規格と、Bluetoothと、IEEEにより開発された規格の802.11のファミリーとが含まれ得る。
使用中において、テキストメッセージ、電子メールメッセージ、またはウェブページのダウンロードなどの受信された信号は、通信サブシステム104により処理され得て、マイクロプロセッサ102に入力され得る。次いで、マイクロプロセッサ102は、ディスプレイ110に、もしくは補助I/Oサブシステム112に出力するために、受信された信号を処理し得る。例えば、加入者は、ディスプレイ110とともにキーボード116を用いて、場合によっては補助I/Oサブシステム112を用いて、電子メールメッセージなどのデータアイテムを構成し得る。補助サブスステム112は、タッチスクリーン、マウス、トラックボール、赤外線指紋検出器、またはボタンを動的に押すことが可能なローラーホイールなどの装置を含み得る。キーボード116は、アルファニューメリックキーボード、および/または電話機型キーパッドである。構成されたアイテムは、サブシステム104を介してネットワーク200上に伝送され得る。
音声通信に対するモバイル機器100の全般的な動作も実質的には類似するが、受信された信号がスピーカ118に出力され得て、マイクロフォン120により伝送用信号が生成され得るという点が異なる。代替の音声またはオーディオI/Oサブシステム(例えば、音声メッセージ録音サブシステム)は、モバイル機器100に実装され得る。音声またはオーディオ信号出力は、主にスピーカ118を介して得られるが、ディスプレイ110も、追加情報(例えば、発呼者の識別、音声呼出しの時間、または別の音声呼び出しに関連する情報)を提供するために用いられ得る。
図2を参照すると、図1の通信サブシステム要素104のブロック図が示されている。通信サブシステム104は、受信器150と、送信器152と、1つ以上の内蔵または内部アンテナ要素154、156と、LO(Local Oscillator)158と、DSP(Digital Signal Processor)160などの処理モジュールとを備える。
通信サブシステム104の具体的な設計は、モバイル機器100が動作するように意図されているネットワーク200に依存する。従って、図2に示した設計が一例としてのみの役目をするということは、理解されるべきである。ネットワーク200を介してアンテナ154により受信された信号は、受信器150に入力される。受信器150は、通常の受信器の機能(例えば、信号増幅、周波数ダウンコンバージョン、フィルタリング、チャネル選択、およびアナログデジタル(A/D)変換)を実行し得る。受信された信号のA/D変換により、DSP160においてより複雑な通信機能(例えば、復調および解読)を実行することが可能になる。同様の態様で、DSP160により、後に伝送される信号が処理(変調とコード化とを含む処理)される。DSPにより処理された信号は、デジタルアナログ(D/A)変換、周波数アップコンバージョン、フィルタリング、増幅およびネットワーク200上へのアンテナ156を介した伝送のために、送信器152に入力される。DSP160は、通信信号を処理するだけではなく、受信器および送信器の制御を提供する。例えば、受信器150および送信器152において通信信号に印加されたゲインは、DSP160に実装されたゲイン自動制御アルゴリズムを介して、適合的に制御され得る。
モバイル機器100とネットワーク200との間の無線リンクは、1つ以上の異なったチャネル(典型的には異なったRFチャネル)と、モバイル機器100とネットワーク200との間において用いられる関連したプロトコルとを含み得る。RFチャネルは、一般的には全体の帯域幅の制限およびモバイル機器100の有限なバッテリ電力の制限が原因で、保つ必要のある有限の資源である。
モバイル機器100が完全に動作可能になると、送信器152は、通常、鍵がかけられ、またはネットワーク200に送信するときのみにおいて作動し、それ以外のときにおいては、資源を保つために停止される。同様に、電力を保つために、受信器150は、信号または情報を受信する必要があるまで、たとえあるとしても定められた期間の間中、周期的に停止される。
図3を参照すると、無線ネットワークのノードのブロック図が202として示されている。実施中において、ネットワーク200は、1つ以上のノード202を含む。モバイル機器100は、無線ネットワーク200内においてノード202と通信する。図3の実現例において、ノード202は、GPRS(General Packet Radio Service)およびGSM(Global System for Mobile)技術に基づいて構成されている。ノード202は、関連するタワー局206を備えたBSC(base station controller)204と、GSMにおけるGPRSのサポートのために追加されたPCU(Packet Control Unit)208と、MSC(Mobile Switching Center)210と、HLR(Home Location Register)212と、VLR(Visitor Location Registry)214と、SGSN(Serving GPRS Support Node)216と、GGSN(Gateway GPRS Support Node)218と、DHCP(Dynamic Host Configuration Protocol)220とを含む。この要素のリストは、GSM/GPRSネットワーク内の全てのノード202の要素を網羅するリストを意図したものではなく、ネットワーク200を介する通信に通常用いられる要素のリストである。
GSMネットワークにおいて、MSC210は、BSC204と、PSTN(Public Switched Telephone Network)222などの電話ネットワークとに結合されており、それにより、回路交換要求が満たされる。パブリックまたはプライベートネットワーク(インターネット)224(本明細書においては、概ね共有ネットワークインフラストラクチャとも称される)へのPCU208と、SGSN216と、GGSN218との接続は、GPRS可能なモバイル機器のデータパスを表す。GPRSの性能に拡張されたGSMネットワークにおいて、BSC204は、SGSN216に接続することにより、セグメンテーションおよび無線チャネル割当を制御し、かつパケット交換要求を満たすPCU(Packet Control Unit)208も含む。モバイル機器の位置を探知するために、また、回路交換管理およびパケット交換管理の双方を利用可能にするために、HLR212は、MSC210とSGSN216とに共有されている。VLR214へのアクセスは、MSC210により制御されている。
局206は、固定された送受信局である。局206とBSC204とにより、固定された送受信局の設備が形成される。固定された送受信局の設備により、無線ネットワークの受信地域に、通常「セル」と称される特定の受信地域を提供する。固定された送受信設備は、局206を介して、セル内においてモバイル機器と通信信号を送受信する。固定された送受信設備は、制御器の制御下において、通常はあらかじめ定められている特定の通信プロトコルおよびパラメータに従って、モバイル機器に後に伝送される信号の変調、および、おそらくコード化および/または暗号化などの機能を通常実行する。同様に、必要に応じて、固定された送受信設備は、セル内においてモバイル機器100から受信した通信信号を復調し、おそらく復号し、解読する。通信プロトコルおよびパラメータは、ノードごとに異なり得る。例えば、一ノードは、別のノードと異なる変調方法を用い得て、異なる周波数で動作し得る。
特定のネットワークに登録された全てのモバイル機器100に対して、ユーザープロフィールなどの永続性のコンフィギュレーションデータがHLR212に記憶される。HLR 212は、登録されたモバイル機器の各々の位置情報も含んでおり、照会することによりモバイル機器の現在の位置を決定することができる。MSC210は、位置領域のグループを担い、VLR214の責任の領域におけるモバイル機器の現在のデータを記憶する。さらに、VLR214は、別のネットワークにアクセスするモバイル機器の情報も含んでいる。VLR214における情報には、アクセスを高速にするために、HLR212からVLR214へと伝送される永続性のモバイル機器のデータの一部が含まれる。追加情報を遠隔のHLR212ノードからVLR214へと移すことにより、それらのノード間のトラフィック量が低減され得る。それにより、音声サービスおよびデータサービスの応答時間はさらに短くなり得て、同時に、必要とするコンピュータ資源の使用量が減り得る。
SGSN216とGGSN218とは、GSM内におけるGPRSサポート(すなわち、パケット交換データサポート)のために追加された要素である。SGSN216およびMSC210は、各モバイル機器100の位置の経過を追い続けることにより、無線ネットワーク200内において類似の責任を有する。SGSN216は、セキュリティ機能、およびネットワーク200上のデータトラフィックのアクセス制御を行う。GGSN218は、外部のパケット交換ネットワークとのインターネットワーク接続を提供し、ネットワーク200内において動作するIP(Internet Protocol)基幹ネットワークを介して、1つ以上のSGSN216に接続する。通常動作の間において、所定のモバイル機器100は、IPアドレスを取得し、データサービスにアクセスするために、「GPRS接続」を実行する必要がある。回路スイッチ音声チャネルでは、その必要はない。それは、入ってくるセルと出ていくセルとを経路指定するためにISDN(Integrated Services Digital Network)アドレスを用いるためである。今日では、GPRS可能なネットワークは全て、プライベートな動的に割当てられたIPアドレスを用いており、それ故に、DHCPサーバー220がGGSN 218に接続されている必要がある。動的にIPを割当てるメカニズムは多数あり、RADIUS(Remote Authentication Dial−In User Service)サーバーとDHCPサーバーとを組み合わせたものを用いるメカニズムも含まれる。GPRS接続が完全になると、モバイル機器100からPCU208とSGSN216とを介してGGSN 218内のAPN(Access Point Node)への論理接続が構築される。APNは、直接インターネットに互換性のあるサービスまたはプライベートネットワーク接続にアクセスすることができるIPトンネルの論理的な終端を表す。各モバイル機器100が1つ以上のAPNに指定される必要があり、かつ使用が認められたAPNに第1のGPRS接続を行わずにモバイル機器100がデータを交換することができない限り、APNは、ネットワーク200のセキュリティメカニズムも表す。APNは、「myconnection.wireless.com」などのインターネットのドメインネームに類似すると考えられ得る。
GPRS接続が完了すると、トンネルが生成され、IPパケットにおいてサポートされ得る任意のプロトコルを用いて、全てのトラフィックが標準的なIPパケット内において交換される。それは、VPN(Virtual Private Network)とともに用いられるIPセキュリティ(IPsec)接続にはよくあるように、トンネル方法(例えば、IP over IP)を含む。そのトンネルは、PDP(Packet Data Protocol)コンテクストとも称され、ネットワーク200において利用可能な数は限られている。PDPコンテクストを最大限利用するために、ネットワーク200は、各PDPコンテクストに対してアイドルタイマーを動かし、動きがないかを決定する。モバイル機器100がPDPコンテクストを用いない場合において、PDPコンテクストは、解放され得て、IPアドレスは、DHCPサーバー220により管理されるIPアドレスプールに戻され得る。
図4を参照すると、一構成例におけるホストシステムの要素を図示するブロック図が示されている。ホストシステム250は、通常はコーポレートオフィスまたは別のLAN(local area network)であるが、別の実現形態においては、例えば、ホームオフィスコンピュータまたは別のプライベートシステムであり得る。図4に示されるこの例において、モバイル機器100のユーザーが属する組織のLANとして、ホストシステム250が示されている。
LAN250は、LAN接続260により相互に接続された複数のネットワーク要素を含む。例えば、ユーザーのモバイル機器100の付属のクレイドル264を備えたユーザーのデスクトップコンピュータ262aがLAN250上にある。例えばシリアル接続またはUSB(Universal Serial Bus)接続により、モバイル機器100のクレイドル264はコンピュータ262aに結合され得る。別のユーザーコンピュータ262bもLAN 250上にあり、各々は、モバイル機器の付属のクレイドル264を備えてもよいし、備えなくてもよい。クレイドル264により、ユーザーコンピュータ262aからモバイル機器100への情報(例えば、PIMデータ、モバイル機器100とLAN250との安全な通信を容易にする対称暗号化秘密鍵)の取り込みが容易になる。クレイドル264は、使用のためのモバイル機器100の初期化において行われることが多いバルク情報更新に特に有用であり得る。モバイル機器100にダウンロードされる情報は、メッセージの交換に用いられる証明書を含み得る。当業者には、ユーザーコンピュータ262aおよび262bが、通常、図4に明示されていない周辺装置にも接続され得るということは、理解されるであろう。
本発明の実施形態は、概して電子メールメッセージなどのメッセージの処理に関し、本発明の実施形態には、概ね上記メッセージのモバイル機器100への通信およびモバイル機器100からの通信に関するものもある。従って、開示を簡略化するために、図4にはLAN250のネットワーク要素のサブセットのみを示しており、当業者には、このシンプルな構成に対して図4に明示されていない追加の要素をLAN250が含み得るということは、理解されるであろう。より一般的には、LAN250は、組織の大きなネットワーク(図示せず)の小部分を表し得、図4の例に示されているものと異なった要素を含み得、および/または異なったトポロジーに配置され得る。
この例において、無線ネットワーク200のノード202、およびサービスプロバイダネットワークまたは公開のインターネットなどの共有ネットワークインフラストラクチャ224を介して、モバイル機器100はLAN250と通信する。LAN250へのアクセスは、1つ以上のルート(図示せず)を介して提供され得る。LAN250のコンピュータデバイスは、ファイアウォールまたはプロキシサーバ266の背後から動作し得る。
別の実現形態において、LAN250とモバイル機器100とにおけるデータ交換を容易にするために、LAN250は無線VPNルーター(図示せず)を備える。無線VPNルーターの概念は、無線業界においては新しく、特定の無線ネットワークを直接介するモバイル機器100へのVPN接続を構築することができるということを暗示する。無線VPNルーターの使用の見込みは、最近になってはじめて利用可能になり、新たなIP(Internet Protocol)バージョン6(IPV6)がIPベースの無線ネットワークへと達する場合において、無線VPNルーターを用いることができる。この新たなプロトコルにより、IPアドレスを全てのモバイル機器の専用にするに十分なIPアドレスが提供され得る。それにより、常にモバイル機器に情報をプッシュすることができる。無線VPNルーターを用いることの有利な点は、それが既成のVPN要素であり得て、個々の無線ゲートウェイおよび個々の無線インフラストラクチャを用いる必要がない。この別の実現形態において、好適には、VPN接続は、モバイル機器100に直接メッセージを送るためのTCP(Transmission Control Protocol)/IP接続、またはUDP(User Datagram Protocol)/IP接続であり得る。
モバイル機器100のユーザーに向けられたメッセージは、最初にLAN250のメッセージサーバー268により受信される。上記メッセージは、複数のソースのいずれからら生じ得る。例えば、LAN250内のコンピュータ262bから、または無線ネットワーク200もしくは別の無線ネットワークに接続された別のモバイル機器(図示せず)から、またはメッセージを送信することのできる別のコンピュータデバイスもしくは別の装置から、共有のネットワークインフラストラクチャ224を介して、および、おそらくASP(application service provider)またはISP(Internet service provider)を介して、送信者によってメッセージが送信され得る。
メッセージサーバー268は、通常、組織内および共有のネットワークインフラストラクチャ224上において、メッセージ、特に電子メールメッセージの交換のための一次インターフェースの機能を果たす。メッセージを送受信するようにセットアップ済みの組織における各ユーザーは、通常、メッセージサーバー268により管理されたユーザーアカウントに関連付けられている。メッセージサーバー268の一例には、Microsoft Exchange(登録商標)サーバーがある。LAN250が複数のメッセージサーバー268を含み得る実現形態もある。メッセージサーバー268は、メッセージ管理を越えた追加機能を提供するようにも適合され得る。その機能には、例えば、カレンダーおよびタスクリストに関連したデータの管理が含まれる。
メッセージサーバー268によってメッセージが受信されると、通常、メッセージはメッセージ記憶装置(明示せず)に記憶される。それ以降、そのメッセージ記憶装置からメッセージを取り出しユーザーに送信することができる。例えば、ユーザーのコンピュータ262aにおいて作動する電子メールクライアントアプリケーションは、メッセージサーバー268に記憶されたユーザーアカウントに関連した電子メールメッセージを要求し得る。次いで、それらのメッセージは、通常、メッセージサーバー268から取り出され得て、コンピュータ262aに局所的に記憶され得る。
モバイル機器100の操作中において、ユーザーは、ハンドヘルドに送信するために電子メールメッセージを取り出すことを望み得る。モバイル機器100において作動する電子メールクライアントアプリケーションは、メッセージサーバー268にユーザーアカウントに関連したメッセージを要求し得る。電子メールクライアントは、(ユーザーまたは管理者により、おそらく組織のIT(information technology)ポリシーに従って)所定の時間間隔で、または所定のイベントが生じたときにおいて、ユーザーの指示でこの要求を行うように構成され得る。モバイル機器100には自身の電子メールアドレスが割り当てられており、モバイル機器100に明確にアドレス指定されているメッセージは、メッセージサーバー268によりそれらが受信されたときに、モバイル機器100に自動的にリダイレクトされる、実現形態もある。
モバイル機器100とLAN250の要素との間におけるメッセージおよびメッセージに関連したデータの無線通信を容易にするために、複数の無線通信サポート要素270が提供され得る。この実現例において、無線通信サポート要素270は、例えばメッセージ管理サーバー272を含む。メッセージ管理サーバー272は、特に、後にモバイル機器により処理されるメッセージ(例えば電子メールメッセージ)の管理のサポートを提供するために用いられる。一般的に、メッセージが依然としてメッセージサーバー268に記憶されている間において、メッセージ管理サーバー272は、メッセージをモバイル機器100に送信する時、条件、および態様を制御するために用いられ得る。メッセージ管理サーバー272は、後の送信のためにメッセージサーバー268に送られるモバイル機器100上に構成されたメッセージの処理を容易にする。
例えば、メッセージ管理サーバー272は以下の動作をし得る。その動作とは、新たな電子メールメッセージに対するユーザーの「メールボックス」(例えば、メッセージサーバー268上のユーザーアカウントに関連したメッセージ記憶装置)をモニターすること;ユーザーが任意に定義可能なフィルタを新たなメッセージに適用することにより、メッセージをユーザーのモバイル機器100にリレーする条件および態様を決定すること;例えばDES(Data Encryption Standard)またはトリプルDESを用いて新たなメッセージを圧縮し暗号化し、共有のネットワークインフラストラクチャ224および無線ネットワーク200を介してそれをモバイル機器100にプッシュすること;および、モバイル機器100上に構成されたメッセージ(例えば、トリプルDESを用いて暗号化されたメッセージ)を受信し、その構成されたメッセージを解読し、解凍し、必要に応じて、その構成されたメッセージがユーザーのコンピュータ262aから作り出されたように見えるようにその構成されたメッセージを再フォーマットし、その構成されたメッセージを新たなルートで送信用のメッセージサーバー268に送ることである。
モバイル機器100から送信され、および/またはモバイル機器100に受信されるメッセージに関連したある種の特性および制限は、例えばITポリシーに従う管理者により、定められ得て、メッセージ管理サーバー272により実行され得る。それらには、例えば、モバイル機器100が暗号化および/または符号化メッセージを受信し得るか否かと、暗号化鍵の最小サイズと、出ていくメッセージを暗号化しおよび/または符号化する必要があるか否かと、モバイル機器100から送信された全ての安全なメッセージのコピーを所定のコピーアドレスに送信すべきか否かとが含まれ得る。
メッセージ管理サーバー272は、別の制御機能を提供するように適合され得る。その機能は、例えば、あるメッセージ情報またはメッセージサーバー268に記憶されたメッセージの所定部分(例えば、「ブロック」)をモバイル機器100に単にプッシュすることである。例えば、モバイル機器100によって初めてメッセージサーバー268からメッセージが取り出されたときにおいて、メッセージ管理サーバー272は、モバイル機器100にメッセージの第1の部分のみをプッシュするように適合され、その部分は所定サイズである(例えば、2KB)。次いで、ユーザーはさらにメッセージを要求することができ、メッセージ管理サーバー272によって、そのメッセージはモバイル機器100に、類似したサイズのブロックで送信され、おそらくメッセージサイズの最大サイズがあらかじめ定められている。
従って、メッセージ管理サーバー272は、モバイル機器100に伝達されるデータタイプおよびデータ量の優れた制御を容易にし、帯域幅または別の資源の潜在的な浪費を最小限にする助けをすることができる。
当業者には、メッセージ管理サーバー272がLAN250または別のネットワークにおいて実在する個々のサーバーに実装される必要はないということは理解されるであろう。例えば、メッセージ管理サーバー272に関連した機能の一部または全ては、メッセージサーバー268と、またはLAN250の別のサーバーと一体化され得る。さらに、LAN250は、特に多数のモバイル機器をサポートする必要のある別の実現形態において、複数のメッセージ管理サーバー272を含み得る。
本発明の実施形態は、概して、暗号化されおよび/または署名された電子メールメッセージなどのコード化されたメッセージの処理に関する。SMTP(Simple Mail Transfer Protocol)、RFC822ヘッダ、およびMIME(Multipurpose Internet Mail Extensions)のボディパートは、コード化を必要としない典型的な電子メールメッセージの規格を定義するために用いられ得るが、MIMEプロトコルの一バージョンであるSecure/MIME(S/MIME)は、コード化されたメッセージの通信(換言すると、安全なメッセージングアプリケーション)に用いられ得る。S/MIMEは、end−to−endの認証および機密保持を可能にし、メッセージの作成者がメッセージを送信した時点から解読されメッセージの受信者に読み取られるまでデータの完全性および秘密を保護する。安全なメッセージの通信を容易にするために、別の周知の規格およびプロトコル(例えば、PGP(Pretty Good Privacy(登録商標))、OpenPGP、および当業者に周知の別のもの)が用いられ得る。
S/MIMEなどの安全なメッセージングプロトコルは、公開および秘密の暗号化鍵に頼ることにより、機密保持および完全性を提供し、PKI(Public Key Infrastructure)に頼ることにより、認証および承認を提供する情報を伝達する。秘密鍵/公開鍵のペアの秘密鍵を用いて暗号化されたデータは、そのペアの対応する公開鍵を用いてのみ解読され得て、その逆も同様である。公開鍵の情報は共有されるが、秘密鍵の情報は絶対に公開されない。
例えば、送信者が暗号化された形式で受信者にメッセージを送信することを望む場合において、受信者の公開鍵を用いてメッセージを暗号化する。そのメッセージは、受信者の秘密鍵を用いてのみ解読可能である。もしくは、いくつかのコード化手法において、通常は対称的な暗号化手法(例えば、トリプルDES)を用いて、一回限りのセッション鍵が、生成され、メッセージのボディを暗号化するために用いられる。次いで、セッション鍵は、例えばRSAなどの公開鍵暗号化アルゴリズムにより、受信者の公開鍵を用いて暗号化される。そのセッション鍵は、受信者の秘密鍵を用いてのみ解読可能である。解読されたセッション鍵を用いることにより、メッセージのボディを解読し得る。メッセージを解読するために用いる必要のある特定の暗号化方法を特定するために、メッセージのヘッダが用いられ得る。別の実現形態において、公開鍵暗号化方法に基づく別の暗号化手法が用いられ得る。しかし、いずれの場合においても、受信者の秘密鍵のみがメッセージの解読を容易にするために用いられ得る。このようにして、メッセージの機密性を保つことができる。
さらなる例として、送信者は、デジタル署名を用いてメッセージに署名し得る。デジタル署名は、送信者の秘密鍵を用いて暗号化されたメッセージのダイジェスト(例えば、メッセージのハッシュ)であり、それは、出ていくメッセージに追加され得る。受信時におけるメッセージの署名を確認するために、受信者は、送信者と同じ手法を用いて(例えば、同じ標準的なハッシュアルゴリズムを用いて)、受信したメッセージのダイジェストを得る。どれが受信したメッセージにマッチするダイジェストであるかを得るために、受信者は送信者の公開鍵を用いてデジタル署名を解読する。受信したメッセージのダイジェストがマッチしない場合において、マッチしないということは、メッセージの中身が伝送中において変化され、および/または、照合に用いた公開鍵がメッセージを作成した送信者の公開鍵でないということを示唆する。この態様でデジタル署名を照合することにより、送信者の認証およびメッセージの完全性を維持することができる。
コード化されたメッセージは、暗号化され得るか、または署名され得るか、または暗号化されかつ署名され得る。この作業において用いられる公開鍵の真偽は、証明書を用いて確認される。証明書は、認証局(CA)により発行されたデジタル文書である。証明書は、ユーザーとその公開鍵との関連性を認証するために用いられ、基本的に、ユーザーの公開鍵の信頼性の信頼レベルを提供する。証明書は、証明書の所有者の情報を含んでおり、通常、一般に認められた規格(例えば、X.509)にしたがって証明書の内容の形式が合わされる。
例示的な証明チェーン300が示されている図5について検討する。「John Smith」に対して発行された証明書310は、個人に対して発行された証明書の一例であり、エンドエンティティ証明書(end entity certificate)とも称され得る。エンドエンティティ証明書310は、通常、証明書の所有者312(この例においてはJohn Smith)と証明書の発行者314とを識別し、発行者のデジタル署名316と証明書の所有者の公開鍵318とを含む。証明書310は、通常、証明書の所有者を識別する別の情報と属性(例えば、電子メールアドレス、組織名、組織的なユニット名、位置など)を含み得る。その個人が受信者に送るメッセージを作成すると、通例、メッセージとともに個人の証明書310が含まれる。
信頼された公開鍵に対して、それが発行する構成は信頼される必要がある。信頼されたCAとユーザーの公開鍵との関係は、一連の関連した証明書(証明書チェーンと称される)により表され得る。証明書チェーンに従うことにより、証明書の有効性が決定され得る。
例えば、図5に示された例示的な証明書チェーン300において、John Smithが送信を意図したメッセージの受信者は、受信したメッセージに添付の証明書310の信頼状態を確認することを望み得る。例えば受信者のコンピュータデバイス(例えば、図4のコンピュータ262a)において証明書310の信頼状態を確認するために、発行者ABCの証明書320が得られ、証明書320を用いることにより、証明書310が確かに発行者ABCにより署名されていることを確認する。証明書320は、既にコンピュータデバイスの証明書記憶装置に記憶され得る。または、証明書情報源(例えば、図4のLDAPサーバー284、または別のパブリックまたはプライベートLDAPサーバー)からそれを取り出す必要があり得る。証明書320が既に受信者のコンピュータデバイスに記憶されており、受信者によってその証明書が信頼を受けたと示された場合において、記憶され信頼を受けた証明書につながっているために、証明書310は信頼を受けていると見なされる。
しかし、図5に示された例において、証明書330は、証明書310の信頼性の確認を必要とされる。証明書330は自己署名(self−sign)されており、「ルート証明書」と称される。従って、証明書320は、証明書チェーン300において「中間証明書」と称され得る。ルート証明書へのチェーンが特定のエンドエンティティ証明書に対して決定され得るということを仮定すると、ルート証明書への任意の所定の証明書チェーンは、中間証明書を、含まなくてもよく、または1個、または複数個含み得る。証明書330が信頼(例えば、VerisignまたはEntrustなどの大きな認証局からの信頼)を受けた発行源により発行されたルート証明書である場合において、証明書310は、信頼を受けた証明書につながっているために、信頼を受けていると見なされ得る。メッセージの送信者と受信者とがともにルート証明書330の発行源を信頼しているということを暗示している。信頼を受けた証明書に証明書をつなぐことができない場合において、その証明書は、「信頼を受けていない」と見なされ得る。
認証サーバーは、証明書と、取り消された証明書を識別するリストとを記憶している。これらの認証サーバーにアクセスすることにより、証明書を得ることができ、また、証明書の真偽および取り消し状態を確認することができる。例えば、証明書を得るためにLDAP(Lightweight Directory Access Protocol)サーバーが用いられ得て、証明書の取り消し状態を確認するためにOCSP(Online Certificate Status Protocol)サーバーが用いられ得る。
標準的な電子メールセキュリティプロトコルは、通常、非モバイルコンピュータデバイス(例えば、図4のコンピュータ262aおよび262b;遠隔の卓上型装置)間の安全なメッセージの伝送を容易にする。再度図4を参照すると、送信者により受信された署名付きのメッセージがモバイル機器100から読まれ、かつ暗号化されたメッセージがその送信者に送信されるようにするために、モバイル機器100は、別の個人の証明書と、関連した公開鍵とを記憶するように適合される。ユーザーのコンピュータ262aに記憶された証明書は、通常、例えばクレイドル264を介して、コンピュータ262aからモバイル機器100へとダウンロードされ得る。
コンピュータ262aに記憶され、モバイル機器100にダウンロードされる証明書は、個人に関連した証明書に限らず、例えばCAに発行された証明書も含み得る。コンピュータ262aおよび/またはモバイル機器100に記憶された特定の証明書も、ユーザーによって「信頼を受けた」と明示的に示され得る。従って、モバイル機器100のユーザーにより証明書が受信された場合において、その証明書を、モバイル機器100に記憶されており、信頼を受けていると示されている証明書、もしくは信頼を受けている証明書につながれていると決定された証明書とマッチングすることにより、モバイル機器100において照合され得る。
モバイル機器100は、ユーザーに関連した公開鍵/秘密鍵のペアの秘密鍵を記憶するように適合され得る。それにより、モバイル機器100のユーザーは、モバイル機器100において作成され、かつ出ていくメッセージに署名をすることができ、また、ユーザーの公開鍵により暗号化されたユーザーに送信されるメッセージを解読することができる。例えば、クレイドル264を介してユーザーのコンピュータ262aからモバイル機器100へと秘密鍵がダウンロードされ得る。ユーザーが一識別とメッセージにアクセスする一方法とを共有し得るように、好適には、秘密鍵はコンピュータ262aとモバイル機器100との間において交換される。
ユーザーコンピュータ262aおよび262bは、コンピュータ262a、および262b、および/またはモバイル機器(例えば、モバイル機器100)の記憶装置の代わりに、複数の情報源から証明書を得ることができる。例えば、それらの証明書情報源は、プライベート(例えば、一組織内における使用専用)またはパブリックであり得、局所的または遠隔にあり得、組織のプライベートネットワーク内からまたはインターネットを介してアクセス可能であり得る。図4に示された例において、組織に関連した複数のPKIサーバー280は、LAN250上にある。PKIサーバー280は、証明書を発行するCAサーバー282と、証明書(例えば、組織内の個人に対する)を検索しダウンロードするために用いられるLDAPサーバー284と、証明書の取り消し状態を確認するために用いられるOCSPサーバー286とを含む。
ユーザーコンピュータ262aにより、証明書は、例えばクレイドル264を介してモバイル機器100にダウンロードされるようにLDAPサーバー284から取り出され得る。しかし、別の実現形態において、LDAPサーバー284は、モバイル機器100により直接(すなわち、この状況では「電波を介して」)アクセスされ得、モバイル機器100は、モバイルデータサーバー288を介して個々の証明書を検索し取り出し得る。同様に、モバイルデータサーバー288は、証明書の取り消し状態を確認するためにモバイル機器100が直接OCSPサーバー286に照会することができるように適合され得る。
当業者には、モバイルデータサーバー288がLAN250の別の要素の個々のコンピュータデバイスにある必要はないということと、別の実現形態において、LAN250の別の要素として同一のコンピュータデバイスにモバイルデータサーバー288が提供され得るということとは、理解されるであろう。さらに、別の実現形態において、モバイルデータサーバー288の機能は、LAN250の別の要素(例えば、メッセージ管理サーバー272)の機能と一体化され得る。
別の実現形態において、選択されたPKIサーバー280のみがモバイル機器にアクセス可能になされ得る(例えば、証明書の取り消し状態はモバイル機器100からのチェックが許可されているが、証明書のダウンロードはユーザーのコンピュータ262aおよび262bからのみ許可されている)。
別の実現形態において、あるPKIサーバー280は、例えば、おそらくITポリシーに従って、IT管理者により指定されたように、特定のユーザーに登録されたモバイル機器へのみアクセス可能になされ得る。
証明者の別の情報源(図示せず)は、例えば、ウィンドウズ(登録商標)証明書記憶装置、LAN250上またはLAN250外の別の安全な証明書記憶装置、およびスマートカードを含み得る。
図6を参照すると、メッセージサーバー(例えば、図4のメッセージサーバー268)に受信され得るようなコード化されたメッセージの一例の要素を図示するブロック図が概ね350として示されている。コード化されたメッセージ350は、通常、ヘッダ部分352と、コード化されたボディ部分354と、選択が任意の1つ以上のコード化された添付ファイル356と、1つ以上の暗号化されたセッション鍵358と、署名および署名に関連した情報360とを1つ以上含む。例えば、ヘッダ部分352は、通常、「To」、「From」、「CC」アドレスなどのアドレス情報を含み、例えばメッセージ長インジケータと、送信者の暗号化および署名方法の識別子とを含み得る。実際のメッセージの中身は、通常、メッセージボディ、すなわちデータ部分354、およびおそらく1つ以上の添付ファイル356を含み、それは、セッション鍵を用いて送信者により暗号化され得る。セッション鍵を用いる場合において、その鍵は、各受信者に対するそれぞれの公開鍵を用いて、意図された受信者の各々に対して暗号化され、358においてメッセージに含まれる。メッセージが署名された場合において、署名および署名に関連した情報360も含められる。それは、例えば、送信者の証明書を含められ得る。
図6に示されるようなコード化されたメッセージに対する規格は、例としてのみ提供されたものであり、当業者には、本発明の実施形態が別の規格のコード化されたメッセージに適用可能であり得るということは、理解されるであろう。具体的に用いるメッセージング方法に依存して、コード化されたメッセージの要素は、図6に示されたものと別の順序で現われ得る。コード化されたメッセージの要素は、少ないかまたは多くあり得、または別の要素を含み得て、それは、コード化されたメッセージが暗号化されたか、または署名されたか、または暗号化されかつ署名されたかに依存し得る。
本発明の実施形態は、概して、証明書を検索し取り出すシステムおよび方法に向けられている。一実施形態において、モバイル機器(例えば、図4のモバイル機器100)にあり、かつモバイル機器に対して実行される証明書検索アプリケーションは、1つ以上の認証サーバー(例えば、図4のLDAPサーバー284)に対して証明書の検索を開始するようにプログラムされる。この実施形態において、モバイル機器は、中間コンピュータデバイス(例えば、図4のモバイルデータサーバー288)を介して、認証サーバーから証明書を検索し取り出す。
図4を参照して、モバイル機器100の証明書検索アプリケーションが、モバイルデータサーバー288を介してLDAPサーバー284から個々の証明書を検索し取り出す実現例について検討する。検索要求は証明書検索アプリケーションにより受け取られる。その要求は、通常、ユーザーにより証明書を捜し出すことが望まれている個人の名、姓、および電子メールアドレスを提供するユーザーによる要求である。例えば、名前のうちの数文字を入力し、その文字を接頭語として含む名前を含んで発行される証明書を全て返すという検索クエリを構成することによって、または、入力フィールドにワイルドカードまたはブランクな項目を用いることにより、検索を拡張することによって、ある検索要求は拡大され得る。次いで、検索要求は、モバイル機器100からモバイルデータサーバー288へと伝達され、モバイルデータサーバー288は、要求された証明書に関してLDAPサーバー284を照会する。この実現例において、捜し出された証明書は、モバイルデータサーバー288により取り出され、取り出された証明書の各々に関連する特定の検索結果データ(例えば、それぞれ証明書が発行された個人(または実体)の俗名および電子メールアドレス)はモバイル機器100に伝達され、それにより、ユーザーへと表示するために、検索結果のデータからリストが生成され得る。次いで、ユーザーは、リストからモバイル機器100にダウンロードし記憶する特定の証明書を選択することができる。次いで、その選択は、モバイルデータサーバー288に伝達され、モバイルデータサーバー288から、選択された証明書がモバイル機器100にダウンロードされる。
モバイル機器100のユーザーが送信者から署名付きメッセージを受信すると、メッセージの完全性を確認し、送信者の識別を確認するために、送信者の証明書が要求される。本明細書および添付の特許請求の範囲において、この証明書は、「送信者証明書」または「送信者の証明書」と言及され得る。モバイル機器100にあり、そこで実行されるメッセージングアプリケーションを介して、ユーザーが見ることを目的として、受信されたメッセージの一部のみがモバイル機器100にダウンロードされる状況を検討する。受信されたメッセージのその部分は、同様に、ヘッダ情報(例えば、図6のヘッダ352)を含み、通常、その情報から少なくとも送信者の電子メールアドレスを得ることができる。しかし、モバイル機器100により受信されたメッセージのその部分は、送信者の証明書、または必要な証明書を識別するために用いられ得る識別子を含まなくてもよい。それは、そのような署名に関連した情報は、通常、メッセージの末端の付近に付けられているためである(例えば、図6の署名および署名に関連した情報360を参照のこと)。
モバイル機器100上の証明書検索アプリケーションは、送信者の証明書をダウンロードするために作動され得る(例えば、メッセージを見ているときにおいて、アクセス可能にされた適切なメニューオプションを選択するユーザーにより作動される)。ダウンロードされたヘッダ情報から送信者の電子メールアドレスを得ることができるために、証明書検索アプリケーションは、モバイルデータサーバー288を介して、1つ以上の認証サーバー(例えば、LDAPサーバー284)上のマッチする電子メールアドレスを有する証明書の検索を自動的に開始し得る。特に、メッセージに送信者の証明書が添付されていない場合において、証明書検索アプリケーションを用いて認証サーバーから証明書を取り出す必要があり得る。
しかし、その検索により、指定された電子メールアドレスにマッチする複数の証明書が捜しだされ得る。従来技術のシステムにおいて、メッセージに関連した必要な証明書を正確に識別するために必要な情報を含んでいるメッセージの部分がモバイル機器100にダウンロードされていない場合において、検索において捜し出された複数の証明書を識別するリストから正確な証明書を確かに選択することができないかもしれない。次いで、ユーザーは正確な証明書を推測する必要があり得るか、または、モバイル機器の記憶装置の捜し出された証明書の全てをダウンロードする必要があり得、それは、時間および帯域幅を浪費する。電子メール以外のデータがメッセージから取り出され、証明書検索を実行するために用いられる場合において、類似した問題が生じ得る。
従って、本発明の実施形態は、概して、1つ以上の認証サーバーの検索において捜し出された複数の証明書から、ユーザーのコンピュータデバイス(例えば、モバイル機器)にメッセージ全体がダウンロードされていない場合でさえ、メッセージに関連した証明書の決定を容易にすることができる方法に関する。
図7Aを参照すると、本発明の一実施形態における、証明書を検索し取り出す方法の工程を示すフローチャートが、概ね400として示されている。
工程410において、コンピュータデバイス(例えば、図4のモバイル機器100)のユーザーに向けられたメッセージが、メッセージサーバー(例えば、図4のメッセージサーバー268)において受信される。一実現例において、メッセージ管理サーバー(例えば、図4のメッセージ管理サーバー272)は、メッセージサーバーに記憶された受信済みのメッセージの第1の部分をモバイル機器にプッシュする。メッセージ管理サーバーは、ユーザーが要求したときにおいて、おそらくメッセージサイズの最大サイズがあらかじめ定められており、受信されたメッセージのさらなる部分を送ることができる。モバイル機器に送られたメッセージ部分は、通常、ヘッダ情報(例えば、図6のヘッダ352)を含み、それは、通常メッセージの最初に提供される。
本発明の実施形態において、メッセージ管理サーバーは、送られるメッセージ部分(例えば、メッセージのヘッダ)に、証明書識別用データを追加する。証明書が受信済みのメッセージに伴う場合において、メッセージ管理サーバーは、証明書を処理することにより証明書識別用データを生成することができる。一実施形態において、メッセージ管理サーバーは、少なくとも証明書の一部におけるハッシュにハッシュアルゴリズムを適用する。次いで、そのハッシュは、証明書識別用データとして用いられ、モバイル機器に送られたメッセージ部分(例えば、ヘッダ)に追加される。一実現形態において、ハッシュを生成するために証明書の全体がハッシュされる。しかし、別の実現形態において、ハッシュが一意的にかつ正確に同一の証明書を識別する確率はハッシュされた部分またはフィールドに依存して低くなり得るが、ハッシュを生成するために証明書の1つ以上の特定の部分またはフィールドがハッシュされ得る。
別の実施形態において、証明書を解析することにより証明書のシリアル番号および発行者を識別することによって、メッセージ管理サーバーは、受信したメッセージに伴う証明書を処理する。次いで、このシリアル番号および発行者のデータは、証明者識別用データとして用いられ、モバイル機器に送られるメッセージ部分(例えば、ヘッダ)に追加される。
同様に、送信者の証明書が受信済みのメッセージに伴わない場合において、メッセージ管理サーバーは、例えば、メッセージにおける署名に関連した情報を解析することにより、メッセージに関連した送信者の証明書を識別するデータ(例えば、メッセージの署名に用いられる証明書のシリアル番号および発行者)を取り出し得る。次いで、このデータは証明書識別用データとして用いられ、モバイル機器に送られるメッセージ部分(例えば、ヘッダ)に追加される。
アプリケーションによっては、証明書識別用データとして証明書からのシリアル番号および発行者データを用いることは、実際の証明書のハッシュを用いる場合(図5を参照して記載されたようにして証明書が確認され得る場合)と比べて、安全性にかけると見なされ得る。それは、シリアル番号および発行者データが偽造されやすくあり得るためである。しかし、証明書識別用データのいずれかのタイプを用いることは、所望される安全性のレベルに依存するが、別の実現形態において有用であり得る。
生成された証明書識別用データを用いることにより、受信済みメッセージに関連した送信者の証明書が一意的に識別され得る。それは、受信済みメッセージの実際の署名および署名に関連した情報(例えば、図6の署名および署名に関連した情報360)がモバイル機器に送られていない場合において、特に有用であり得る。
工程420において、モバイル機器にあり、そこにおいて実行されるメッセージングアプリケーションは、受信されたメッセージの1つ以上の部分を受信し、それはメッセージ管理サーバーからの証明書識別用データを含む。ユーザーの要求に応答して、受信されたメッセージの追加部分は、メッセージ管理サーバーから取り出され得る。
選択は任意であるが、工程430において、メッセージングアプリケーションは、メッセージ管理サーバーから受信された証明書識別用データを用いることにより、受信されたメッセージに関連した証明書が、モバイル機器の1つ以上の指定済みの証明書記憶装置において既に記憶されたか否かを決定することができる。証明書が既に記憶されたか否かに対応するしるしは、例えば、表示されたメッセージ部分により提供され得るか、または、メッセージが、ユーザーにより受信されたメッセージのリストにおいて識別されるエントリのそばに提供され得る。
例えば、証明書識別用データがハッシュを備える実施形態では、工程430において、メッセージングアプリケーションは、モバイル機器の1つ以上の指定された証明書の記憶装置に記憶された各証明書に対してハッシュを生成し、生成されたハッシュの各々と証明書識別用データとして提供されたハッシュとを比較することにより、証明書が既にモバイル機器に記憶されたか否かを決定する。この工程において記憶された証明書のハッシュを生成するときに、工程410において用いたものと同一のハッシュアルゴリズムを(証明書全体がハッシュされていない場合においては、記憶された証明書の同一の部分またはフィールドに)適用する。従って、所定の生成され記憶された証明書ハッシュが、メッセージ管理サーバーから受信されたハッシュとマッチする場合において、そのマッチは、決定されたと判断される。
もしくは、証明書識別用データがシリアル番号および発行者データを備える場合においては、工程430において、メッセージングアプリケーションは、モバイル機器の1つ以上の指定された証明書記憶装置に記憶された証明書の各々に関連したシリアル番号と発行者データとを、証明書識別用データとして提供されたシリアル番号と発行者データと、比較することにより、証明書がモバイル機器に既に記憶されたか否かを決定する。
別の実現形態において、工程430は、メッセージングアプリケーション以外のモバイル機器にありそこにおいて実行されるアプリケーション(例えば、証明書検索アプリケーション)により実行され得る。
工程440において、モバイル機器にありそこにおいて実行される証明書検索アプリケーションにより、証明書に対する検索要求がなされる。例えば、その検索要求はユーザーにより開始され得て、ユーザーは、証明書検索アプリケーションを起動するメッセージングアプリケーションにより提供されたメニューオプションを選択する。もしくは、メッセージングアプリケーションまたはモバイル機器上の別のアプリケーションが、証明書検索アプリケーションを自動的に起動し得る(例えばメッセージを受信したときにおいて、おそらく工程430において証明書がモバイル機器に既に記憶されていないと決定された後において)。
一実現例においては、工程440において証明書検索を要求するときにおいて、証明書検索アプリケーションは、モバイルデータサーバー(例えば、図4のモバイルデータサーバー288)を介して、少なくとも1つの認証サーバー(例えば、図4のLDAPサーバー284)に検索要求を伝送する。その検索要求は、通常電子メールアドレスと、おそらく受信されたメッセージの送信者に関連した少なくとも1つの名前とを含むデータを備える。しかし、当業者には、本発明の範囲を逸脱することなく、種々の検索クエリが構成され得るということは理解されるであろう。
工程450において、モバイルデータサーバーは、工程440においてモバイル機器の証明書検索アプリケーションによりなされた検索要求を満たす証明書に対して、少なくとも1つの認証サーバーに照会する。その検索クエリの結果として捜し出された証明書は、モバイルデータサーバーにより少なくとも1つの認証サーバーから取り出される。
工程460において、その捜し出された証明書は、モバイルデータサーバーからモバイル機器にダウンロードされる。ダウンロードされた証明書は、通常、さらなる処理をするために、モバイル機器に一時的に記憶される。
工程470において、証明書検索アプリケーションにより、工程460においてモバイル機器にダウンロードされたその捜し出された証明書を処理することにより、もしある場合は、捜し出された証明書が、受信したメッセージに添付された証明書識別用データにより識別されたその受信したメッセージに関連した証明書にマッチするか否かを決定する。
証明書識別用データがハッシュを備える実施形態において、証明書検索アプリケーションは、捜し出された証明書の各々に対してハッシュを生成し、生成されたハッシュの各々と、証明書識別用データとして提供されたハッシュとを比較することにより、適切なマッチを決定する。この工程においてその記憶された証明書のハッシュを生成するときにおいて、工程410において用いられたものと同一のハッシュアルゴリズムを適用する。従って、所定の捜し出された証明書の生成されたハッシュが、証明書識別用データとして提供されたハッシュとマッチする場合において、そのマッチは、決定されたと判断される。
もしくは、証明書識別用データがシリアル番号と発行者データとを備える実施形態において、証明書検索アプリケーションは、捜し出された証明書の各々に関連したシリアル番号と発行者データとを、証明書識別用データとして提供されたシリアル番号と発行者データと、比較し、それにより適切なマッチを決定する。
選択は任意であるが、工程480において、工程460においてダウンロードされたその捜し出された証明書を識別するリストは、インジケータまたはそのリストにおける証明書のマッチングを識別するために用いられる別の強調表示を用いて、ユーザーに表示され得る。次いで、ユーザーは、将来の使用のためにモバイル機器の証明書記憶装置において後に記憶されるマッチした証明書(および、おそらく別の捜し出された証明書)の選択を促され得る。
工程490において、マッチした証明書は、モバイル機器の証明書記憶装置に記憶される。一実施形態において、ユーザーが工程480においてその選択を促されることなく、この工程は、証明書検索アプリケーションにより自動的に実行され得る。
別の実施形態において、マッチした証明書は、例えば記憶の前または後において、その信頼状態を確認するために有効にされ得る(工程は図示せず)。
図7Bを参照すると、本発明の別の実施形態における証明書を検索し取り出す方法における工程を図示するフローチャートが、概ね400bとして示されている。証明書検索アプリケーションがモバイルデータサーバーに証明書識別データを(例えば、検索要求とともに)パスし得るという点を除いて、方法400bは方法400と類似している。それにより、モバイルデータサーバーは、検索において捜し出された証明書を全てではなく、マッチした証明書のみをモバイル機器に返すことができる。
具体的には、本発明のこの実施形態においては、工程440において、モバイル機器において最初に受信されたメッセージ管理サーバーからの証明書識別用データは、検索要求とともにモバイルデータサーバーに送られる。
工程460bにおいて、モバイルデータサーバーは、その捜し出された証明書を処理することによって、工程440においてモバイル機器からのモバイルデータサーバーにおいて受信された証明書識別用データにより識別されるように、いずれの捜し出された証明書が、受信されたメッセージに関連した証明書にマッチするかを決定する。次いで、マッチした証明書のみがこの工程においてモバイル機器にダウンロードされ、それは、それに続く工程490におけるモバイル機器の証明書記憶装置における記憶のために行われる。ユーザーは、記憶の前に、マッチした証明書の記録の許可を促され得る(工程は図示せず)。
図7Bに示された残りの工程に関する詳細は、図7Aを参照して提供される。
本発明の別の実施形態において、一意的に証明書を識別するために用いられ得る別のデータが、証明書識別用データとして用いられ得る。
本発明の別の実施形態において、捜し出された証明書は、1つ以上の認証サーバーから取り出され得、モバイルデータサーバーまたは別の中間コンピュータデバイスを介した伝送なく、モバイル機器にダウンロードされ得る。
本発明の実施形態について、モバイル機器を参照して説明してきた。しかし、モバイル機器以外のコード化されたメッセージを受信するように適合された装置に適応され得る実施形態もある。
本発明の実施形態において証明書を検索し取り出す方法の工程は、コンピュータ読取り可能媒体(伝送型の媒体を含み得る)に記憶された実行可能なソフトウェア命令として提供され得る。
複数の実施形態に関して本発明を説明してきた。しかし、当業者には、添付の特許請求の範囲において定義される本発明の範囲を逸脱することなく別の変更および修正がなされ得るということは、理解されるであろう。
一実現例におけるモバイル機器のブロック図である。 図1のモバイル機器の通信サブシステム要素のブロック図である。 無線ネットワークのノードのブロック図である。 一構成例におけるホストシステムの要素を図示するブロック図である。 証明書チェーンの一例を示すブロック図である。 コード化されたメッセージの一例の要素を示すブロック図である。 本発明の一実施形態における証明書を検索し取り出す方法の工程を示すフローチャートである。 本発明の別の実施形態における証明書を検索し取り出す方法の工程を示すフローチャートである。
符号の説明
100 モバイル機器
102 マイクロプロセッサ
104 通信サブシステム
106 RAM
108 フラッシュメモリ
110 ディスプレイ
112 補助I/Oサブシステム
114 シリアルポート
116 キーボード
118 スピーカ
120 マイクロフォン
122 短距離通信
124 別の装置
126 SIM
128 SIMインターフェース
130 充電式バッテリ
132 バッテリインターフェース
150 受信器
152 送信器
154、156 アンテナ
158 LO
160 DSP
200 無線ネットワーク
202 ノード
204 BSC
206 タワー局
208 PCU
210 MSC
212 HLR
214 VLR
216 SGSN
218 GGSN
220 DHCP
222 PSTN
224 パブリックまたはプライベートネットワーク
250 ホストシステム
260 LAN接続
262a、262b コンピュータ
264 クレイドル
266 プロキシサーバ
268 メッセージサーバー
270 無線通信サポート要素
272 メッセージ管理サーバー
280 PKIサーバー
282 CAサーバー
284 LDAPサーバー
286 OCSPサーバー
288 モバイルデータサーバー
300 証明チェーン
310、320、330 証明書
312 証明書の所有者
314 証明書の発行者
316 デジタル署名
318 公開鍵
350 メッセージ
352 ヘッダ部分
354 ボディ部分
356 添付ファイル
358 セッション鍵
360 署名および署名に関連した情報

Claims (18)

  1. 送信者のコンピュータデバイスからユーザーのコンピュータデバイスに送信されたメッセージに関連する証明書を検索し、取り出す方法であって、前記メッセージは、前記メッセージに関連付けられた送信者証明書を識別するデータを含み、
    前記方法は、
    前記ユーザーのコンピュータデバイスにおいて、メッセージマネジメントサーバを介して、前記送信者のコンピュータデバイスから前記メッセージの少なくとも一部を受信する工程と、
    前記ユーザーのコンピュータデバイスにおいて、前記送信者証明書のための証明書識別データを受信する工程であって、前記証明書識別データは、前記メッセージマネジメントサーバーによって、前記メッセージ内の前記送信者証明書を識別するデータから生成され、前記証明書識別データは、前記送信者証明書を一意的に識別する、工程と、
    前記ユーザーのコンピュータデバイスが、検索を実行することにより、前記ユーザーのコンピュータデバイス上に格納された証明書の所在位置を突き止める工程と、
    前記証明書識別データを用いて、前記ユーザーのコンピュータデバイス上で所在位置が突き止められた各証明書を処理することにより、前記ユーザーのコンピュータデバイスが、前記ユーザーのコンピュータデバイス上で所在位置が突き止められた処理中の前記証明書が前記メッセージに関連付けられた前記送信者証明書であるか否かを決定する工程と
    を含む、方法。
  2. 前記ユーザーのコンピュータデバイスが、前記送信者に関連付けられた証明書の証明書検索要求を1つ以上の認証サーバーに送信する工程と、
    前記ユーザーのコンピュータデバイスが、前記1つ以上の認証サーバー上で検索を実行する工程であって、前記証明書検索要求を満たす証明書を取り出すことを要求するために、少なくとも1つのクエリが1つ以上の認証サーバーに提示される、工程と、
    前記ユーザーのコンピュータデバイスが、前記1つ以上の認証サーバーから、前記証明書検索要求を満たす少なくとも1つの証明書を取り出す工程と、
    前記ユーザーのコンピュータデバイスが、前記証明書識別データを用いて、前記証明書検索要求を満たすそれぞれの取り出された証明書を処理することにより、前記証明書検索要求を満たすそれぞれの証明書が前記メッセージに関連付けられた前記送信者証明書であるか否かを決定する工程と、
    前記証明書検索要求を満たすそれぞれの証明書が前記メッセージに関連付けられた前記送信者証明書であると決定された場合には、前記ユーザーのコンピュータデバイスが、前記証明書検索要求を満たすそれぞれの証明書を前記ユーザーのコンピュータデバイス上に格納する工程と
    をさらに含む、請求項1に記載の方法。
  3. 前記ユーザーのコンピュータデバイスは、モバイルデバイスを含む、請求項1または請求項2のいずれかに記載の方法。
  4. 1つ以上の認証サーバー上で検索を実行する工程と、前記1つ以上の認証サーバーから前記証明書検索要求を満たす少なくとも1つの証明書を取り出す工程とは、前記モバイルデバイスに結合された第2のコンピュータデバイスにおいて実行される、請求項2に従属する場合の請求項3に記載の方法。
  5. 前記第2のコンピュータデバイスは、モバイルデータサーバーを含む、請求項4に記載の方法。
  6. 前記証明書識別データを用いて、前記証明書検索要求を満たすそれぞれの取り出された証明書を処理することにより、前記証明書検索要求を満たすそれぞれの証明書が前記メッセージに関連付けられた前記送信者証明書であるか否かを決定する工程は、前記第2のコンピュータデバイスにおいてもまた実行され、前記方法は、前記メッセージに関連付けられた前記送信者証明書であると決定された前記証明書検索要求を満たすそれぞれの証明書を前記第2のコンピュータデバイスから前記モバイルデバイスにダウンロードする工程をさらに含む、請求項4または請求項5のいずれかに記載の方法。
  7. 前記証明書識別データを用いて、前記証明書検索要求を満たすそれぞれの取り出された証明書を処理することにより、前記証明書検索要求を満たすそれぞれの証明書が前記メッセージに関連付けられた前記送信者証明書であるか否かを決定する工程は、前記モバイルデバイスにおいて実行され、前記方法は、1つ以上の認証サーバーから取り出された前記証明書検索要求を満たすそれぞれの証明書を前記第2のコンピュータデバイスから前記モバイルデバイスにダウンロードする工程をさらに含む、請求項4または請求項5のいずれかに記載の方法。
  8. 前記1つ以上の認証サーバーから取り出された前記証明書検索要求を満たす前記少なくとも1つの証明書のリストを前記ユーザーのコンピュータデバイス上に表示することをさらに含み、前記リストは、前記証明書検索要求を満たす証明書のどれが(もしあれば)前記メッセージに関連付けられた前記送信者証明書であると決定されたものであるかを示す、請求項2〜7のいずれか1項に記載の方法。
  9. 前記リストから、前記証明書検索要求を満たす前記少なくとも1つの証明書の1つ以上のユーザー選択を受信することと、前記証明書検索要求を満たす前記少なくとも1つの証明書の1つ以上のユーザー選択を前記ユーザーのコンピュータデバイス上の証明書格納部に格納することとをさらに含む、請求項8に記載の方法。
  10. 前記証明書識別データを用いて、前記ユーザーのコンピュータデバイス上で所在位置が突き止められたそれぞれの証明書を処理することにより、前記ユーザーのコンピュータデバイス上で所在位置が突き止められた前記証明書が前記メッセージに関連付けられた前記送信者証明書であるか否かを決定することは、前記送信者に関連付けられた証明書の証明書検索要求を提供する工程に先立って実行される、請求項2または請求項2に従属する場合の請求項3〜9のいずれか1項に記載の方法。
  11. 前記証明書識別データを用いて、前記ユーザーのコンピュータデバイス上で所在位置が突き止められたそれぞれの証明書を処理することにより、前記ユーザーのコンピュータデバイス上で所在が突き止められた前記証明書が前記メッセージに関連付けられた前記送信者証明書であるか否かを決定することは、
    前記ユーザーのコンピュータデバイス上で所在位置が突き止められたそれぞれの証明書に関連付けられた証明書識別データを生成する工程と、
    前記ユーザーのコンピュータデバイス上で所在位置が突き止められたそれぞれの証明書の前記生成された証明書識別データと、前記ユーザーのコンピュータデバイスにおいて受信された前記証明書識別データとを比較することにより、前記送信者証明書に一致する格納された証明書を識別する工程と
    を含む、請求項1〜10のいずれか1項に記載の方法。
  12. 前記証明書検索要求を満たすそれぞれの取り出された証明書を処理することにより、前記証明書検索要求を満たす取り出された証明書が前記メッセージに関連付けられた前記送信者証明書であるか否かを決定することは、
    前記証明書検索要求を満たすそれぞれの取り出された証明書に関連付けられた証明書識別データを生成する工程と、
    前記証明書検索要求を満たすそれぞれの取り出された証明書に対して生成された証明書識別データと、前記ユーザーのコンピュータデバイスにおいて受信された前記証明書識別データとを比較することにより、前記送信者証明書に一致する前記証明書検索要求を満たす取り出された証明書を識別する工程と
    を含む、請求項2または請求項2に従属する場合の請求項3〜11のいずれか1項に記載の方法。
  13. 前記送信者証明書の前記証明書識別データは、前記送信者証明書の連続番号および発行人データを含み、前記証明書検索要求を満たすそれぞれの証明書は、前記証明書検索要求を満たす前記証明書の連続番号および発行人データを取得するように分解され、前記証明書検索要求を満たすそれぞれの証明書に対して取得された連続番号および発行人データは、前記送信者証明書の前記証明書識別データと比較される、請求項2または請求項2に従属する場合の請求項3〜12のいずれか1項に記載の方法。
  14. 前記送信者証明書の前記証明書識別データは、前記送信者証明書の少なくとも一部のハッシュを含み、前記証明書検索要求を満たすそれぞれの証明書は、証明書に適用されるハッシュアルゴリズムを有し、前記ユーザーのコンピュータデバイスまたはメッセージマネジメントサーバが、前記証明書検索要求を満たす証明書のそれぞれのハッシュを取得し、証明書検索要求を満たすそれぞれの証明書に対して取得されたハッシュは、前記送信者証明書の前記証明書識別データと比較される、請求項2または請求項2に従属する場合の請求項3〜12のいずれか1項に記載の方法。
  15. 前記送信者証明書の前記証明書識別データは、前記送信者証明書の連続番号および発行人データを含み、前記ユーザーのコンピュータデバイス上で所在位置が突き止められたそれぞれの証明書は、前記ユーザーのコンピュータデバイス上で所在位置が突き止められたそれぞれの証明書の連続番号および発行人データを取得するように分解され、前記ユーザーのコンピュータデバイス上で所在位置が突き止められたそれぞれの証明書に対して取得された連続番号および発行人データは、前記送信者証明書の前記証明書識別データと比較される、請求項1〜14のいずれか1項に記載の方法。
  16. 前記送信者証明書の前記証明書識別データは、前記送信者証明書の少なくとも一部のハッシュを含み、前記ユーザーのコンピュータデバイス上で所在位置が突き止められたそれぞれの証明書は、前記ユーザーのコンピュータデバイス上で所在位置が突き止められたそれぞれの証明書のハッシュを取得するように、証明書に適用されるハッシュアルゴリズムを有し、前記ユーザーのコンピュータデバイス上で所在位置が突き止められたそれぞれの証明書に対して取得されたハッシュは、前記送信者証明書の前記証明書識別データと比較される、請求項1〜14のいずれか1項に記載の方法。
  17. 送信者のコンピュータデバイスからユーザーのコンピュータデバイスによって受信されたメッセージに関連する証明書を検索し、取り出すシステムであって、前記メッセージは、前記メッセージに関連付けられた送信者証明書を識別するデータを含み、
    前記システムは、
    前記メッセージに関連付けられた送信者証明書を識別する前記データから証明書識別データを生成するように構成されているメッセージマネジメントサーバーであって、前記証明書識別データは、前記送信者証明書を一意的に識別する、メッセージマネジメントサーバーと、
    前記メッセージマネジメントサーバーから前記メッセージの少なくとも一部と前記証明書識別データとを受信するように構成されているモバイルデバイスを含むユーザーのコンピュータデバイスと、
    前記ユーザーのモバイルデバイスから前記送信者に関連付けられた証明書の検索要求を受信し、前記検索要求を満たす所在位置が突き止められた証明書求めて1つ以上の認証サーバーにクエリすることによって1つ以上の認証用サーバー上での検索を実行し、前記1つ以上の認証サーバーから所在位置が突き止められた証明書を取り出すように構成されているモバイルデータサーバーと
    を含み、
    前記モバイルデバイスおよび前記モバイルデータサーバーのうちの少なくとも一方は、前記モバイルデータサーバーにおいて取り出されたそれぞれの所在位置が突き止められた証明書を処理することにより、前記証明書識別データを用いて、所在位置が突き止められたそれぞれの証明書が前記メッセージに関連付けられた前記送信者証明書であるか否かを決定するようにさらに構成されており、
    前記モバイルデバイスは、前記メッセージに関連付けられた前記送信者証明書であると決定された所在位置が突き止められた証明書を格納する1つ以上の証明書格納部を提供するように構成されている、システム。
  18. ユーザーのコンピュータデバイス上で実行されるソフトウェアアプリケーションであって、
    前記アプリケーションは、コンピュータ読み取り可能な格納媒体に格納され、前記アプリケーションは、請求項1〜16のいずれか1項に記載の方法の工程を実行するための手段として前記ユーザーのコンピュータデバイスを機能させる、ソフトウェアアプリケーション。
JP2005250982A 2004-09-01 2005-08-31 証明書を検索し取り出すシステムおよび方法における証明書のマッチングの提供 Active JP4555195B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP04104195A EP1633100B1 (en) 2004-09-01 2004-09-01 Providing certificate matching in a system and method for searching and retrieving certificates

Publications (2)

Publication Number Publication Date
JP2006074779A JP2006074779A (ja) 2006-03-16
JP4555195B2 true JP4555195B2 (ja) 2010-09-29

Family

ID=34929517

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005250982A Active JP4555195B2 (ja) 2004-09-01 2005-08-31 証明書を検索し取り出すシステムおよび方法における証明書のマッチングの提供

Country Status (12)

Country Link
EP (2) EP1633100B1 (ja)
JP (1) JP4555195B2 (ja)
KR (2) KR20060050904A (ja)
CN (1) CN100566236C (ja)
AT (2) ATE426989T1 (ja)
AU (1) AU2005204221B2 (ja)
BR (1) BRPI0503638B1 (ja)
CA (1) CA2517209C (ja)
DE (2) DE602004014761D1 (ja)
HK (1) HK1087273A1 (ja)
SG (1) SG120288A1 (ja)
TW (1) TWI329445B (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8296829B2 (en) 2004-09-01 2012-10-23 Research In Motion Limited Providing certificate matching in a system and method for searching and retrieving certificates
US8566582B2 (en) 2004-09-02 2013-10-22 Blackberry Limited System and method for searching and retrieving certificates
US8589677B2 (en) 2004-09-01 2013-11-19 Blackberry Limited System and method for retrieving related certificates
US8943156B2 (en) 2006-06-23 2015-01-27 Blackberry Limited System and method for handling electronic mail mismatches

Families Citing this family (54)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8243636B2 (en) 2003-05-06 2012-08-14 Apple Inc. Messaging system and service
NL1023423C2 (nl) 2003-05-14 2004-11-16 Nicolaas Theunis Rudie Van As Systeem en methode voor onderbreking van, en koppeling van een boodschap aan, alle vormen van digitaal berichtenverkeer (zoals SMS en MMS), met toestemming van de verzender.
GB0321337D0 (en) 2003-09-11 2003-10-15 Massone Mobile Advertising Sys Method and system for distributing advertisements
US7356539B2 (en) 2005-04-04 2008-04-08 Research In Motion Limited Policy proxy
US7877387B2 (en) 2005-09-30 2011-01-25 Strands, Inc. Systems and methods for promotional media item selection and promotional program unit generation
US8291215B2 (en) 2006-05-04 2012-10-16 Research In Motion Limited System and method for processing certificates located in a certificate search
EP1852801A1 (en) 2006-05-04 2007-11-07 Research In Motion Limited Updating certificate status in a system and method for processing certificates located in a certificate search
EP1852800A1 (en) * 2006-05-04 2007-11-07 Research In Motion Limited System and method for processing certificates located in a certificate search
GB2435565B (en) 2006-08-09 2008-02-20 Cvon Services Oy Messaging system
EP1890270B1 (en) 2006-08-16 2012-06-13 Research In Motion Limited Hash of a certificate imported from a smart card
US8341411B2 (en) 2006-08-16 2012-12-25 Research In Motion Limited Enabling use of a certificate stored in a smart card
US8712382B2 (en) 2006-10-27 2014-04-29 Apple Inc. Method and device for managing subscriber connection
GB2435730B (en) 2006-11-02 2008-02-20 Cvon Innovations Ltd Interactive communications system
GB2436412A (en) 2006-11-27 2007-09-26 Cvon Innovations Ltd Authentication of network usage for use with message modifying apparatus
GB2440990B (en) 2007-01-09 2008-08-06 Cvon Innovations Ltd Message scheduling system
GB2438475A (en) 2007-03-07 2007-11-28 Cvon Innovations Ltd A method for ranking search results
WO2008107510A1 (en) 2007-03-07 2008-09-12 Cvon Innovations Ltd An access control method and system
GB2445630B (en) 2007-03-12 2008-11-12 Cvon Innovations Ltd Dynamic message allocation system and method
JP4584276B2 (ja) * 2007-03-14 2010-11-17 日本電信電話株式会社 デジタル証明書検索装置、方法及びプログラム
GB2441399B (en) 2007-04-03 2009-02-18 Cvon Innovations Ltd Network invitation arrangement and method
GB2448190A (en) 2007-04-05 2008-10-08 Cvon Innovations Ltd Data delivery evaluation system
US8671000B2 (en) 2007-04-24 2014-03-11 Apple Inc. Method and arrangement for providing content to multimedia devices
GB2443582C (en) 2007-05-18 2009-09-03 Cvon Innovations Ltd Characteristic identifying system and method.
US8935718B2 (en) 2007-05-22 2015-01-13 Apple Inc. Advertising management method and system
US20080307226A1 (en) * 2007-06-07 2008-12-11 Alcatel Lucent Verifying authenticity of e-mail messages
GB2450144A (en) 2007-06-14 2008-12-17 Cvon Innovations Ltd System for managing the delivery of messages
GB2436993B (en) 2007-06-25 2008-07-16 Cvon Innovations Ltd Messaging system for managing
GB2452789A (en) 2007-09-05 2009-03-18 Cvon Innovations Ltd Selecting information content for transmission by identifying a keyword in a previous message
GB2453810A (en) 2007-10-15 2009-04-22 Cvon Innovations Ltd System, Method and Computer Program for Modifying Communications by Insertion of a Targeted Media Content or Advertisement
GB2455763A (en) 2007-12-21 2009-06-24 Blyk Services Oy Method and arrangement for adding targeted advertising data to messages
US20100031028A1 (en) * 2008-07-31 2010-02-04 Research In Motion Limited Systems and methods for selecting a certificate for use with secure messages
EP2383955B1 (en) 2010-04-29 2019-10-30 BlackBerry Limited Assignment and distribution of access credentials to mobile communication devices
US8898217B2 (en) 2010-05-06 2014-11-25 Apple Inc. Content delivery based on user terminal events
US9367847B2 (en) 2010-05-28 2016-06-14 Apple Inc. Presenting content packages based on audience retargeting
US8504419B2 (en) 2010-05-28 2013-08-06 Apple Inc. Network-based targeted content delivery based on queue adjustment factors calculated using the weighted combination of overall rank, context, and covariance scores for an invitational content item
US8990103B2 (en) 2010-08-02 2015-03-24 Apple Inc. Booking and management of inventory atoms in content delivery systems
US8996402B2 (en) 2010-08-02 2015-03-31 Apple Inc. Forecasting and booking of inventory atoms in content delivery systems
US8510658B2 (en) 2010-08-11 2013-08-13 Apple Inc. Population segmentation
US8751513B2 (en) 2010-08-31 2014-06-10 Apple Inc. Indexing and tag generation of content for optimal delivery of invitational content
US8640032B2 (en) 2010-08-31 2014-01-28 Apple Inc. Selection and delivery of invitational content based on prediction of user intent
US8983978B2 (en) 2010-08-31 2015-03-17 Apple Inc. Location-intention context for content delivery
US8510309B2 (en) 2010-08-31 2013-08-13 Apple Inc. Selection and delivery of invitational content based on prediction of user interest
TW201220804A (en) * 2010-11-09 2012-05-16 Chunghwa Telecom Co Ltd comprising the steps of generating change information; transmitting; signing and issuing the latest message; transmitting to each web domain; sending a request message by a user end; and receiving a response message by the user end
EP2761311B1 (en) * 2011-09-30 2020-01-08 Hewlett-Packard Development Company, L.P. Authentication systems and methods
CN102740228A (zh) * 2012-06-21 2012-10-17 北京小米科技有限责任公司 一种位置信息共享方法、装置及系统
US9141504B2 (en) 2012-06-28 2015-09-22 Apple Inc. Presenting status data received from multiple devices
KR101498120B1 (ko) * 2012-10-10 2015-03-05 박규영 클라우드 공인인증 시스템 및 그 방법
CN104158567B (zh) * 2014-07-25 2016-05-18 天地融科技股份有限公司 蓝牙设备间的配对方法和系统、数据交互方法和系统
CN107786341B (zh) * 2017-10-11 2019-11-29 Oppo广东移动通信有限公司 证书加载方法及移动终端和计算机可读存储介质
WO2019143794A1 (en) * 2018-01-17 2019-07-25 Visa International Service Association System and method for rapid activation and provisioning of an electronic payment device
CN112150158A (zh) * 2019-06-28 2020-12-29 华为技术有限公司 一种区块链交易交付验证方法及装置
CN114143010A (zh) * 2021-11-25 2022-03-04 上海派拉软件股份有限公司 数字证书获取方法、装置、终端、系统和存储介质
US11962455B2 (en) 2021-11-29 2024-04-16 T-Mobile Usa, Inc. Prioritizing multiple issues associated with a wireless telecommunication network
KR102429325B1 (ko) * 2022-05-02 2022-08-04 에스엠테크놀러지(주) 병렬형 인증서 검증 시스템 및 그 동작 방법

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001197055A (ja) * 2000-01-07 2001-07-19 Nippon Steel Corp 認証代行装置、認証代行方法、認証代行サービスシステム、及びコンピュータ読取可能な記録媒体
JP2001265216A (ja) * 2000-03-16 2001-09-28 Nippon Telegr & Teleph Corp <Ntt> 公開鍵証明書の掲載方法および公開鍵証明書の掲載装置
JP2002163395A (ja) * 2000-11-27 2002-06-07 Hitachi Software Eng Co Ltd 電子証明書有効性確認支援方法とそれを用いる情報処理装置
JP2003046499A (ja) * 2001-08-03 2003-02-14 Nec Corp 通信システムおよびユーザ端末およびicカードおよび認証システムおよび接続および通信の制御システムおよびプログラム
JP2003348078A (ja) * 2002-05-27 2003-12-05 Hitachi Ltd 位置認証システムおよびその方法
JP2004179724A (ja) * 2002-11-25 2004-06-24 Mitsubishi Electric Corp サーバ装置及び証明書検証方法及びプログラム及びプログラムを記録したコンピュータ読み取り可能な記録媒体

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020147905A1 (en) * 2001-04-05 2002-10-10 Sun Microsystems, Inc. System and method for shortening certificate chains
US20030074555A1 (en) * 2001-10-17 2003-04-17 Fahn Paul Neil URL-based certificate in a PKI
WO2003079627A2 (en) 2002-03-20 2003-09-25 Research In Motion Limited System and method for supporting multiple certificate status providers on a mobile communication device

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001197055A (ja) * 2000-01-07 2001-07-19 Nippon Steel Corp 認証代行装置、認証代行方法、認証代行サービスシステム、及びコンピュータ読取可能な記録媒体
JP2001265216A (ja) * 2000-03-16 2001-09-28 Nippon Telegr & Teleph Corp <Ntt> 公開鍵証明書の掲載方法および公開鍵証明書の掲載装置
JP2002163395A (ja) * 2000-11-27 2002-06-07 Hitachi Software Eng Co Ltd 電子証明書有効性確認支援方法とそれを用いる情報処理装置
JP2003046499A (ja) * 2001-08-03 2003-02-14 Nec Corp 通信システムおよびユーザ端末およびicカードおよび認証システムおよび接続および通信の制御システムおよびプログラム
JP2003348078A (ja) * 2002-05-27 2003-12-05 Hitachi Ltd 位置認証システムおよびその方法
JP2004179724A (ja) * 2002-11-25 2004-06-24 Mitsubishi Electric Corp サーバ装置及び証明書検証方法及びプログラム及びプログラムを記録したコンピュータ読み取り可能な記録媒体

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8296829B2 (en) 2004-09-01 2012-10-23 Research In Motion Limited Providing certificate matching in a system and method for searching and retrieving certificates
US8561158B2 (en) 2004-09-01 2013-10-15 Blackberry Limited Providing certificate matching in a system and method for searching and retrieving certificates
US8589677B2 (en) 2004-09-01 2013-11-19 Blackberry Limited System and method for retrieving related certificates
US8566582B2 (en) 2004-09-02 2013-10-22 Blackberry Limited System and method for searching and retrieving certificates
US8943156B2 (en) 2006-06-23 2015-01-27 Blackberry Limited System and method for handling electronic mail mismatches

Also Published As

Publication number Publication date
BRPI0503638B1 (pt) 2019-02-19
KR20060050904A (ko) 2006-05-19
SG120288A1 (en) 2006-03-28
TWI329445B (en) 2010-08-21
HK1087273A1 (en) 2006-10-06
DE602004014761D1 (de) 2008-08-14
DE602004020285D1 (de) 2009-05-07
EP1633100B1 (en) 2008-07-02
EP1633100A1 (en) 2006-03-08
ATE426989T1 (de) 2009-04-15
KR101072942B1 (ko) 2011-10-17
EP1936920B1 (en) 2009-03-25
AU2005204221B2 (en) 2008-01-24
KR20070089113A (ko) 2007-08-30
CA2517209A1 (en) 2006-03-01
EP1936920A1 (en) 2008-06-25
BRPI0503638A (pt) 2007-05-15
JP2006074779A (ja) 2006-03-16
ATE400131T1 (de) 2008-07-15
CN1744489A (zh) 2006-03-08
TW200629858A (en) 2006-08-16
CA2517209C (en) 2011-07-26
AU2005204221A1 (en) 2006-03-16
CN100566236C (zh) 2009-12-02

Similar Documents

Publication Publication Date Title
JP4555195B2 (ja) 証明書を検索し取り出すシステムおよび方法における証明書のマッチングの提供
US8561158B2 (en) Providing certificate matching in a system and method for searching and retrieving certificates
US8589677B2 (en) System and method for retrieving related certificates
US8566582B2 (en) System and method for searching and retrieving certificates
US8301878B2 (en) System and method for enabling bulk retrieval of certificates
US7613304B2 (en) System and method for sending encrypted messages to a distribution list
JP4530953B2 (ja) 証明書を検索し取り出すシステムおよび方法
US20060036849A1 (en) System and method for certificate searching and retrieval
CA2538443C (en) System and method for sending encrypted messages to a distribution list
CA2516754C (en) System and method for retrieving related certificates

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090120

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090420

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20090420

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20090420

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100319

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100614

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100706

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100715

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130723

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4555195

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250