TW200841667A - Providing secure inter-application communication for a mobile operating environment - Google Patents

Providing secure inter-application communication for a mobile operating environment Download PDF

Info

Publication number
TW200841667A
TW200841667A TW096146419A TW96146419A TW200841667A TW 200841667 A TW200841667 A TW 200841667A TW 096146419 A TW096146419 A TW 096146419A TW 96146419 A TW96146419 A TW 96146419A TW 200841667 A TW200841667 A TW 200841667A
Authority
TW
Taiwan
Prior art keywords
application
handshake
response
data
random number
Prior art date
Application number
TW096146419A
Other languages
English (en)
Inventor
Kenny Fok
Jihyun Hwang
Eric Chi Chung Yip
Mikhail A Lushin
Original Assignee
Qualcomm Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qualcomm Inc filed Critical Qualcomm Inc
Publication of TW200841667A publication Critical patent/TW200841667A/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephone Function (AREA)

Description

200841667 九、發明說明: 【發明所屬之技術領域】 以下描述大體而言係關於行動裝置應用及無線通信,且 更特定言之,係關於提供在一或多個行動平臺上操作之行 動應用之間的安全資料交換。 本專利申請案主張2006年12月5日所申請之名為「在單 一平台上之兩個應用間建立一可信賴的通信方法和裝置 (METHOD AND APPARATUS FOR ESTABLISHING A TRUSTED COMMUNICATION BETWEEN TWO APPLICATIONS ON A SINGLE PLATFORM)」的美國臨時 申請案第60/868,701號及2007年3月14日所申請之名為「應 用間通信之方法和裝置(METHOD AND APPARATUS FOR INTER APPLICATIONS COMMUNICATION)」的美國臨時 申請案第60/894,897號之優先權,該等案已讓與給其受讓 人,且在此以引用之方式明確地併入本文中。 【先前技術】 近年來,蜂巢式通信技術及蜂巢式通信裝置中已出現各 種進展。進展中之一些(諸如,相機及視訊記錄技術至該 等裝置上之整合、電子郵件及短訊息服務至行動通信中之 併入及其類似物)涉及軟體及/或硬體應用。此等應用對已 風行之通信裝置(例如,蜂巢式電話)添加增加之靈活性、 處理功率、通信能力等等。因此,該等裝置已在消費者市 場中變得較風行,推動較大量消費者購買該等裝置,或升 級至包括新應用及技術之裝置。 此外,各種類型之惡意軟體(malware)通常妨礙電子通 127396.doc 200841667 t °某些惡意軟體相對較無害,僅監視使用者之活動以輔 助開發新產品及編譯商章 市场朿略以使得此等產品引起 4費者之興趣。雖然監視式 之資料、生m %%式通吊不對刼作環境或所儲存 梦而:但其總體可消耗電子裝置之處理資源。 ;而’某些惡意軟體可主動地損害裝置操作環境,亞化資 料,竊取密碼、使用者資訊等等。其可藉由各種_而才 作’但通常或將自身寫入裝置上之真正程式中幾;= =為該等程式或其類似物。歸因於惡意軟體之效:身 用於m子操作環境巾之通信之各 裝置亦不例外地受到由 仃動 之危程式及其他惡意軟體造成 危險且通,文盈於安全通信。雖然行動 【發明内容】 下文呈現一或多個實施例之簡化概 施例之基本理解疋奴t、對該專實 、七 立不解此概述不為所有預期實施例之廣泛 …且忍欲既不識別所有實施例之重要 繪任何或所有實施例之範#。 要素亦不描 =之=例之某些概念以作為猶後呈現之更詳細描 安ΠΠ提供用,在行動操作環境中執行之行動應用之 握、1 °。作為實例,最初行動應用可起始交 握握包括該最初應用之唯—識別符及用於❹ /或”由該最初行動應用接收之回應期信 機數。接收者應用可參考該唯—識別符 用清單來驗證該最初應用。若驗月之最初應 …土也 且1嘴一識別符,則續桩 』用該隨機數及可用以簽署及/或證明提交給接收 127396.doc 200841667 =應用之後續通信的第二隨機數來回應該交握。除上述内 谷之外,最初應用及接收者應用可分別延遲請求及/或回 應直至接收或發送對應回應或請求為止。因此,可進行應 用之間的同步通信。
根據本揭示案之額外態樣,對於連續通信,可使經產生 以用於識別起始或接收者應用之隨機數遞增。回應應含有 用=待驗證之回應之隨機數的適t遞增量。因&,本揭示 案提供在返通信’其中由隨機數之遞增量來識別每一往 返’且每一往返在起始後續往返之前完成。 、/艮據另外其他態樣,可將隨機數雜凑及/或截斷以便混 >有該等數且提供對未經授權之應用之額外安全性。此外, 因為雜湊函數與其他加密/解密機制相比需要非常低之處 理,所以本揭示案可以與習知技術相比涉及相對較低之功 ;'肖耗之有效方式提供行動應用之間的安全資料轉移。根 據另外其他態樣’行動應用可在單—操作裝置(諸如,蜂 巢式電話)上或在由行動網路、傳輸控制協定/網際網路協 定(TCP/IP)網料等連接之遠端操4乍裝置(諸#,獨立蜂巢 式電話或其類似物)上執行。 根據其他態樣’揭示-㈣於提供行動操作環境中之鹿 用之間的資料之傳輸之方法。該方法可包括:起始盥行: 應用之交握,該交握包括最初行動應用之唯—識別符及經 產生以用於該交握之隨機數;及接收該交握之回應,該n 應包括第:數及第二數’該第二數由該行動應用隨機:: 生。該方法可進-步包括:驗證該第一數是否為經產生以 用於交握之該隨機數及在該第—數被驗證為該隨機數時將 127396.doc 200841667 包括第二數之遞增量之資料事件發送至行動應用。此外, 該方法亦可包括:在發送第二資料事件之前等待來自行動 應用之至少包括第二數之遞增量的資料事件回鹿。
根據額外態樣,揭示一種用於提供行動操作環境中之鹿 用之間的資料之傳輸之設備。該設備可包括:安全會話模 組,其經組態以起始與接收者應用之交握,其中該交握包 括最初應用之唯一山及隨機數。另外,該設備可包=:= 證模組,其經組態以接收對該交握之回應,其中該回應包 括回應數及第4機數;且判定該回應數是否為該隨機數 或該第二隨機數之遞增量。此外,該設備可包括:通信模 、-且其經組恶以該回應數被驗證為該隨機數或第二隨機數 之遞增量時將包括第二隨機數之遞增量之資料事件發送至 該接收者應用。此外,該設備亦可包括:傳輸管理模組, 其經組態以使該通信模組能夠在接收到來自接收者應用之 至少包括第二數之遞增量之資料事件回應時發送第二資料 事件。 根據另外其他_樣,揭示提供行動操作環境巾之應用之 :的資料之傳輸之至少一處理器。該(等)處理器可包括: 第杈、且其起始與行動應用之交握,該交握包括最初行 =應1之唯-識別符及經產生以用於該交握之隨機數;及 ^板、、且該第一拉組接收對該交握之回應,該回應包括 第數及第—數,該第二數由該行動應用隨機地產生。此 卜等)處理裔可包括··第三模组,其驗證該第一數是 Γ產生㈣於錢之謂機數;A第四診,其在該 弟數被驗證為該隨機數時將包括第二數之遞增量之資料 I27396.doc 200841667 事件發送至行動應用。除上述内容之外,該(等)處理器可 包括:第五模組,其在使第二資料事件能夠被發送之前等 待來自行動應用之至少包括弟二數之遞增量的資料事件回 應。 根據另外其他態樣,描述一種提供行動操作環境中之應 用之間的資料之傳輸之設備。該設備可包括:用於起始與 行動應用之交握之構件,該交握包括最初行動應用之唯一 識別符及經產生以用於該交握之隨機數;及用於接收對該 交握之回應之構件,該回應包括第一數及第二數,該第二 數由該行動應用隨機地產生。另外,該設備亦可包括··用 於驗證該第一數是否為經產生以用於交握之該隨機數之構 件;及用於在該第一數被驗證為該隨機數時將包括第二數 之遞增量之資料事件發送至行動應用之構件。此外,該設 備可包括:用於延遲發送第二資料事件直至接收到來自行 動應用之至少包括第二數之遞增量的資料事件回應為止之 構件。 根據至少一態樣,揭示一種電腦程式產品,其包括含有 用於提供行動環境應用之資料傳輸安全性之指令的電腦可 讀媒體。該電腦可讀媒體可包括:第一指令集,其經組態 以使一電腦起始與行動應用之交握,該交握包括最初行動 應用之唯一識別付及經產生以用於該交握之隨機數。此 外’該電腦可讀媒體可包括:第二指令集,其經組態以使 一電腦接收對該交握之回應,該回應包括第一數及第二 數,該第二數由該行動應用隨機地產生。此外,該電腦可 讀媒體可包括:第三指令集’其經組態以使一電腦在該第 127396.doc -11 - 200841667 一數被驗證為該隨機數時將包括第二數之遞增量之資料辜 件發送至行動應用。除上叶L 貝枓事 除上述内各之外,該電腦可讀媒體亦 可包括·第四才曰令集,其經組態以使一電腦在使第二資料 事件能夠被發送之前等待來自行動應用之至少包括第二數 之遞增量的資料事件回應。 根據4夕個其他態樣,描述一種用於提供行動操作環 , 帛中之應用之間的資料傳輸之方法。該方法可包括:接收 來自最初應用之交握請求,該交握請求包括該最初應用之 • 唯一1D或由該最初應用產生之隨機數;及相對於可信最初 應用識別符清單來參考該唯—ID。此外,該方法可包括: 在該唯一ID匹配該可信最初應用識別符清單中之一ι〇時將 父握回應發送至最初應用;及接收資料事件請求。此外, 該方法可進—步包括:在接收到額外資料事件請求之前回 應該貧料事件請求。 根據額外態樣,揭示一種提供行動操作環境中之應用之 間的貧料傳輸之設備。該設備可包括:安全性模組,其經 鲁 組態以接收來自最初應用之交握請求,該交握請求包括該 最初應用之唯一 ID或由該最初應用產生之隨機數。另外, 該設備可包括:參考模組,其經組態以相對於一可信最初 - 應用識別符清單來驗證該唯一 ID ;及介面模組,其經組態 以在該唯一 ID匹配該可信最初應用識別符清單中之一 1〇時 將交握回應發送至最初應用且經組態以接收資料事件請 求。除上述内容之外,該設備亦可包括··管理模組,其經 組態以需要介面在接收額外資料事件請求之前回應該資料 事件請求。 127396.doc -12- 200841667 根據另外其他態樣’描述提供行動操作環境 間的資料傳輸之至少一處理器。該(等)處理器可包括:; 一核組,其接收來自最初應用之交握請求,該交握請求包 2該㈣應用之唯—ID或由該最初應用產生之隨機數;及 第-挺組,其相對於一可信最初應用識別符清單來參考該 唯-ID。另外,該(等)處理器可包括:第三模•且,其在該 唯匹配°亥可&最初應用識別符清單中之- ID時將交握 回應毛达至取初應用;及第四模組,其接收資料事件嗜
求。^卜,該(等)處理器可包括:第五模組,其在接收到 頒外貝料事件請求之前回應該資料事件請求。 根據4多個額外態樣,揭示一種提供行動操作環境中 之應用之間㈣料傳輸之設^該設備可包括:用於接收 來自最初應用之交握請求之構件,該交握請求包括該最初 應用之唯-ID或由該最初應用產生之隨機數;及用於相對 於一可信最初應用識別符清單來參考該唯-ID之構件。另 外該。又備可包括:用於在該唯一 m匹配該可信最初應用 識別符清單中之—ID時將交握回應發送至最初應用之構 件;及用於接收資料事件請求之構件。此外,該設備亦可 包括:用於延遲接收額夕卜資料事件冑求直至接收到對該資 料事件請求之回應為止之構件。 ' 根據其他態樣’描述—種電腦程式產品,其包括含有用 於提供行動操作環境中之應用之間的資料傳輸之指令的電 腦可讀媒體。具體言之’該電腦可讀媒體可包括:第一指 令集’其經組態以使-電腦接收來自最初應用之交握請 求,該交握請求包括該最初應用之唯―戦由該最初應用 127396.doc •13· 200841667 產生之隨機數。該電腦可讀媒體亦可包括:第二指令集, 其經組態以使一電腦相對於一可信最初應用識別符清單來 參考該唯一ID ;及第三指令集,其經組態以使一電腦在該 唯一 ID匹配該可信最初應用識別符清單中之一出時將交握 回應發送至最初應用。此外,該電腦可讀媒體亦可包括: 第四指令集,其經組態以使一電腦接收資料事件請求;及 第五指令集,其經組態以使一電腦在接收到額外資料事件 請求之前回應該資料事件請求。
為了實現上述及有關目的,該或該等態樣包含在下文中 全面描述且在申請專利範圍中特定指出之特徵。以下描述 及隨附圖式詳細閣述該或該等態樣之某些說明性態樣。然 而,此等態樣僅指示可使用各種態樣之原理之各種方式的 少數且所描述之態樣意欲包括所有該等態樣及其均等物。 【實施方式】 現將參看諸圖式來描述各種態樣,其中貫穿圖式之相同 參考數字用於指代相同元件。在以下描述巾,出於說明之 目的’闡述眾多特定細節以便提供對—或多個態樣之徹底 理可顯而易見的是’可在不存在此等特定細節 之h况下Λ〜該(等)態樣。在其他例子中,以方塊圖形式 展示熟知結構及裝置以便促進描述-或多個態樣。 本揭不案提供行動環境中之應用之間的安全有效且計算 =氣、之通&。然而’存在用於保護電子通信之各種習知 解!^,等白知機制通常利用複雜且計算上密集之加密及 錢=法。、該等機制歸因於計算要求而消耗相對較大量 卜率而,行動操作環境歸因於對電池功率之依賴 127396.doc -14- 200841667 =益於低功率消耗。雖然已修改某些應用以用於行動 一二之t功率消耗,但該等修改在保護通信中較鬆懈。 :、*係知因於系統處理及記憶體技術之進展及預期進 、乂。舉例而言’該等進展已致使許多應用研究者避免修改 信協定以減小功率、;肖耗來支援處理器大小、並列處二、 圮憶體大小及其類似物之預期進展。 亦矛i用往返概念來揭示應用間通信。具體言之,應用可 在起始及/或處理後續請求/回應之前等待完成並行請求或 • 目f。往返通信在同步環境中可尤其有效。諸如傳輸控制 協定/網際網路協定(TCP/IP)之公共習知通信通常在等待來 自目標應用之回應之前傳輸一串資料封包。此外,在安全 TCP/IP通信中,解密及/或理解所接收之資料常取決於接 收傳輸中之所有資料封包。若損失一資料封包,則大量經 傳輸之資料可能不可用。相反,本揭示案提供在損失資料 或安全識別符時藉由起始或接收者應用來重新傳輸請求及/ 或回應。此種系統顯著不同於網際網路及大多數專用企業 馨内部網路以及其他訊息傳遞及/或共用記憶體環境中所利 用之廣泛成功的TCP/IP架構。因此,本文中所描述之往返 及重新傳輸架構與習知通信架構相反且不同於習知通信架 構’習知通信架構因為其成功及風行性而導致研究遠離本 文中所描述之有效、同步且低功率之安全資料交換。 除上述内容之外,揭示一種應用間通信架構,其使用由 特定應用產生之隨機數來識別及/或鑑定由另一應用提供 之通信。舉例而言,起始行動應用可產生隨機數且將此隨 機數提供給接收者應用。對該起始行動應用之後續回應應 127396.doc -15- 200841667 包括該隨機數或其識別特定往返之遞增量以識別通信來自 接收者且不是電子欺騙程式或其他惡意軟體。根㈣他態 樣,可利用計算上不密集之雜凑函數(例如m、 SHA-224、SHA_256、職_386、隨_512、sha 2、訊息 摘錄廣开法5[MD5],或其類似物)來加密該(等)隨機數以 在不需要密集且高功率之加密/解密演算法之 等隨機數混亂。此外,损雲I,叮;▲以士 Λ …卜子見而要,可由起始應用與接收者應 曰、、疋通#介面將該(等)經雜湊之隨機數截斷。因 種用於提供有益於行動環境之安全應用間通信 之機制。 下文描述本揭示案之各種態樣。應顯W見的是,本文 =/示::廣泛形式來實施且本文中所揭示之任何特定 或功能僅為代表性的。基於本文中之該等教示, 術者應瞭解’本文中所揭示之態樣可獨立於其 …:式合此等態樣中之兩者或兩 者以上。舉例而言,可择用太、 Μ * # ^ 中所闡述之任何數目之態 傷及/或實踐一方法。此外,可使用除本文 述之歲樣中之一或多者之外的或不同於本文中所闡 =二之一或多者的其他結構及/或功能性來實施- :;二=:方法。作為實例,在-或多個行動應用 、上操作且在該等應用之間建立安全通信 之:=描=文中所描述之方法、裝置、系統及設備* 盆“此項技術者應瞭解,類似技術亦可適用於 具他通信環境。 如本揭示㈣所使用,術語"組件"、,,系統,,及其類似物 127396.doc •16- 200841667 意欲指電腦相關實體’其為硬體、軟體、執行中之軟體、 韌體、中間軟體、微碼,及/或其任何組合。舉例而古, 組件可為(但不限於)在處理器上執行之程序、處理器、物 件、可執行體、執行緒、程式,及/或電腦。一或多個組 件可常駐於程序及/或執行緒内且組件可位於一電腦上及/ 或分布於兩個或兩個以上電腦之間。另外,此等組件可自 上面儲存有各種資料結構之各種電腦可讀媒體執行。該等 組件可(諸如)根據具有一或多個資料封包(例如,來自在局 部系統、分布式系統中與另一組件相互作用及/或在諸如 網際網路之網路上借助於信號與其他系統相互作用之一組 件的資料)之信號借助於局部及/或遠端程序而通信。此 外,如熟習此項技術者將瞭解,本文中所描述之系統之組 件可由額外組件重新配置及/或補充以便促進達成關於其 而描述之各種態樣、目標、優點等等,且本文中所描述之 系統之組件不限於給定圖式中所闡述之精確組態。 此外,本文中結合所揭示之實施例而描述之各種說明性 邏輯、邏輯區塊、模組及電路可用以下各物實施或執行: 經設計以執行本文中所描述之功能之通用處理器、數位信 旎處理器(DSP)、特殊應用積體電路(ASIC)、場可程式化 閘陣列(FPGA)或其他可程式化邏輯裝置、離散閘或電晶體 邏輯、離散硬體組件,或其任何合適組合。通用處理器可 為微處理器,但替代地,處理器可為任何習知處理器、控 制器、微控制器或狀態機。處理器亦可被實施為計算裝置 之組合,例如,DSP與微處理器之組合、複數個微處理器 127396.doc -17- 200841667 之組合、一或多個微處理器以及一 DSP核心之細人 、Ί &,或任 何其他該組態。此外,至少一處理器可包含可操作以執^ 本文中所描述之步驟及/或動作中之一或多去的一 ^ 4 或多個 模組。 • 此外,本文中結合行動通信裝置(或,例如,行動袭置) 來描述各種態樣。行動通信裝置亦可被稱為系統、用戶單 元、用戶台、行動台、行動體、行動裝置、蜂巢式裝置、 多模式裝置、遠端台、遠端終端機、存取終端機、使用者 _ 終端機、使用者代理、使用者裝置、或使用者設備,或其 類似物。用戶台可為蜂巢式電話、無線電話、會話起始協 定(SIP)電話、無線區域迴路(wll)台、個人數位助理 (PDA)、具有無線連接能力之掌上型裝置,或連接至無線 數據機或促進與處理裝置之無線通信之類似機構的其他處 理裝置。 此外,本文中所描述之各種態樣或特徵可使用標準程式 φ 設計及/或工程技術而實施為方法、設備或製造物品。另 外’本文中結合所揭示之態樣而描述之方法或演算法的步 驟及/或動作可直接實施於硬體中、實施於由處理器執行 • 之軟體模組中’或兩者之組合中。此外,在某些態樣中, 方法或演算法之步驟及/或動作可作為程式碼及/或指令之 至少一或任何組合或集合而常駐於可併入電腦程式產品中 之機器可讀媒體及/或電腦可讀媒體上。另外,如本文中 所使用之術语"製造物品"意欲包含可自任何電腦可讀裝 置載體或媒體存取之電腦程式。舉例而言,電腦可讀媒 127396.doc •18- 200841667 j可包括(但不限於)磁性儲存裝置(例如,硬碟、軟碟、磁 ^……)、光碟(例如,緊密光碟(CD)、數位多功能碟片 (DVD)······)、智慧卡及快閃記憶體裝置(例如,卡、棒、 保雄磁碟······)。此外,本文中所描述之各種儲存媒體可表 不用於儲存資訊之一或多個裝置及/或其他機器可讀媒 體。術語”機器、可讀媒體,,可包括(但不限於)能夠儲存、、含 有及/或載運指令及/或資料之無、線通道及各種其他媒體。 除上述内容之外,本文中使用詞”例示性”來意謂充當實 ^例子或說明。本文中被描料”例示性”之任何態樣或 ^十未必被解釋與其他態樣或設計相比而較佳或有利。實 情為,詞例示性之使用意欲以具體方式呈現概念。如本申 請案中所使用,術語"或"意欲意謂包括性”或,,而非排他性 ”或””。亦即,除非另外指定,或自上下文顯而易見,否 則’ "X使用A或B,,意欲意謂自然包括性排列中之任一者。 亦即’在此實例中,X可使用A,或者χ可使用b,或者χ 可㈣Α與Β,且因此在上述例子中之任_者下均滿足鼓 述X使用A或B”。此外,除非另外指定 H ^ F力M曰疋或自上下文顯而易 見針對單數形式,否則,如本申这 咎貝』如本甲印案及隨附申請專利範圍 中所使用之詞"一"通常應被解釋為意謂"一或多個"。 如本文中所使用,術語"推斷”通常仙自如經由事件及/ 或貪料而俘獲之-組觀察推理或推斷系統、環境及/或使 用者之狀態之過程。舉例而言,推斷 斷了用於識別特定情形 或動作或可產生狀態之機率分布。拖 邛推斷可為機率性的―亦 即,所涉及之狀態基於資料及事件 <考慮的機率分布之計 U7396.doc -19- 200841667 件之=亦1^用於由—組事件及㈤f料組成較高階事
件之技術。該推斷導致自一組觀察到之事件 J 之事件資料構造新事件 if飞所儲存 A爭忏次動作,而不論事件是否在 緊密接近地相關,且不論事件及 二 事件及資料源。 戍右干個
參看圖1,描緣實例系統100之方塊圖,實例系統100提 :用於行動操作環境⑽)中之-或多個行動應用之安全通 仏系統100可包括經指定以起始與其他應用…句之交握 ^話之最初應用1〇2。最初應用1〇2可為經組態以在行動作 業系統(106)上操作之任何合適之應用。最初應用⑽之實 例可包括診斷收集應用(例如,服務品質[Q〇s]應用)、通信 應用(例> ’電子郵件、即時訊息[IM]、短訊息服務 [SMS]、,吾音呼叫建立及/或維護、網際網路語音協定 [VoIP]建立及/或維護、鈴音下載或播放應用、網路劉覽器 應用(諸如,無線應用協s[WAP]),或其類似物)、或其組 合,或其類似物。行動操作環境可為用於儲存及執行行動 應用且在該等應用之間轉移資料之任何合適之環境,該環 境包括(例如)如下文所描述之無線二進位執行環境(brew) 或其類似物。 最初應用102可起始與至少一其他應用(1〇4)建立安全通 k會話之父握。雖然本揭示案之大部分涉及兩個應用之間 的單一通信’但應用(1〇2)可並行維護與多個其他應用 (104)之多個安全通信會話。可利用交握在最初應用1〇2與 接收者應用104之間建立可信,,通道”。因此,可在該可信 127396.doc • 20 - 200841667 通道上利用(例如)識別資料、指令等等之位址指標而在最 初應用與接收者應用之間交換任意資料(例如,二進 等)。 ^ 可由最初應用1G2藉由發送交握請求而起始交握,該交 握請求至少包括最初應用1〇2之唯一識別符或經產生以用 於交握之隨機數,或兩者。該唯一識別符為與最初應用相 關敎應用ID,其可由接收者應用利用以驗證最初應用是 否可仏通g ’作業系統(1〇6)可需要滿足某些標準以用於 經設計以在作業系統⑽)上執行之應用。—種該要求可為 併有可信最初應用之唯一識別符清單。具有此清單之接收 者應用104可接著驗證所接收之交握請求是否由經授權以 作出請求之應用發送。接收者⑽)可接著信任該應用且參 與與該應用之通信。 除最初應用之唯—識別符之外,交握請求亦可包括經產 生以用於交握之隨機數(例如,32位元、16位元、64位 兀’等等)。可將該隨機數發送至預期接收者應用且將其 併入由接收者應用104發送至最初應用1〇2之回應中。因 此,包括該隨機數(或,例如,下文所論述的該隨機數之 可預測之變化)之回應可被識別為發源於預期接收者。根 據額外態樣’可利用特定雜凑函數(例如,SHA-1、ShA-2 或其類似物)而將隨機數雜湊及/或截斷以用於在特定通信 介面(106)上傳輸。經雜湊之隨機數可更難以解密,進而提 供顯著保護免受電子欺編攻擊。截斷可用於利用支援不同 大小之數之各種協定及/或通信介面⑽)來傳輪隨機數。 127396.doc •21 - 200841667 牛例而。’右識別父握會話之所產生之隨機數為32位元 且與接收者應用(1〇4)通信之介面僅致能16位元資料轉移’ 則可將32位元隨機數雜凑且接著將其截斷為16位元 輸。接收者可接著將隨機數雜凑及/或截斷且將其與所 :之經雜凑及/或經截斷之數相比較以驗證通信之發送者 是否為交握之起始者(1〇2)。 、 接收者應用104可接收交握請求且驗證發送者〇叫是否 :可信最初應用。特定言之,可自交握請求操取唯—識別 符且將該唯一識別符與一可信最初應用識別符清單相比 較。若所擷取之識㈣匹配該清單上之__朗符,則可將 交握回應發送至發送者⑽),進*在發送者⑽)與接收 者(104)之間建立安全通道。若所操取之識別符不匹配該清 單上之一識別符,則可忽略該交握及任何後續通信直至接 收到經驗證之交握為止。 此外,接收者應用104可擷取並儲存交握請求内所包括 之隨機數。作為特定實例,可將隨機數儲存於暫時記憶體 (未描繪)中以使得惡意程式較難以擷取隨機數並電子欺騙 接收者應用(104)之識別碼。當驗證交握請求内所包括之唯 一識別符時(上文所論述),接收者應用1〇4可發送包括該隨 機數之交握回應。特定言之,藉由包括該隨機數,接收者 應用1〇4可與最初應用1〇2關聯。根據特定態樣,接收者應 用104可將隨機數雜湊及/或截斷以使電子欺騙接收者應用 (104)之識別碼(例如,傳至最初應用1〇2的經產生且因此經 組態以信任隨機數的識別碼)較困難及/或使經雜湊之數與 127396.doc -22- 200841667 特疋通信介面(106)較相容,如上所述。 此外’接收者應用1〇4亦可產生第二隨機數且將第二隨 機數包括於交握回應中。該第二隨機數可由最初應用1〇2 利用以參與與接收者應用104之後續通信。如上所述,最 初應用120之後續通信可將第二隨機數雜湊及/或截斷以保 護第二隨機數之完整性。 根據其他態樣,在接收到來自接收者應用1 〇4之交握回 應之後’最初應用102可將資料事件發送至接收者應用 104。该貧料事件可(例如)涉及適合於行動環境之任何資料 或貧料結構,併有對資料之請求、或對執行指令(例如, 收集診斷資訊、併有組態參數,等等)之請求、或其組 合’或其類似物。該請求可將資料包括於請求自身内,或 可利用位址指標來識別共用記憶體中之資料,等等。除資 料/指令之外,資料事件可併有由接收者應用產生以識別 及/或證明資料事件之發送者為最初應用102之第二隨機數 (例如’其中第二隨機數被雜湊及/或截斷)。 根據特定態樣,最初應用102可避免發送額外資料事件 (例如不同於並行資料事件)/含有額外指令、資料請求等 等,直至接收到並行資料事件回應為止。藉由等待特定回 應,建立通信彳主返之概念。往返涉及雙向通信;舉例而 吕’往返可需要最初應用之請求以及接收者之回應或需要 接收者之請求以及最初應用之回應。往返概念亦致能在預 期時間週期内未接收到之資料的重新傳輸。舉例而言,可 利用關於交握請求及交握回應而量測的最初應用ι〇2與接 127396.doc -23- 200841667 收者應用104之間的資料介面1〇6上之通信延遲來建立預期 回應計時器。當發送資料請求、交握或其類似物時,應用 (102、1〇4)可設定指示對傳輸之回應之預期時間的預期回 應計時器。若在回應之預期時間(視需要)以及臨限變化時 間(例如,回應之預期時間之某一分數或倍數)内未接收到 回應’則可認為接收者應用1〇4係非回應的。 作為上述内容之特定實施例,對於每一往返通信,可使 隨機數遞增。舉例而言,若最初應用接收到包括第二隨機 數之交握回應,則後續資料事件請求(例如,請求診斷資 訊)可一度使隨機數遞增(例如,識別第一往返通信)且發送 經遞增之隨機數(例如,經雜湊及/或經截斷)以及該資料事 件明求。接收者應用1 04可藉由亦使隨機數遞增(且,例 如,視需要,將隨機數雜湊及截斷)且將結果與資料事件 内所包括之隨機數相比較而驗證資料事件之發送者。因 此,系統100提供安全、往返通信以及用於識別往返之機 制。其他或另外,若隨機數比較不匹配,則可忽略所接收 之通信。若隨機數比較對於預定及/或可組態之次數的所 接收之通信(例如,3)不匹配,則可忽略後續請求/回應直 至最初應用102與接收者應用104之間重新起始交握(進而 在應用(102、1〇4)之間重新建立安全通道)為止。 若未接收到對請求之回應(例如,在回應時間或回應時 間加上臨限值内),則應用(102、104)可重新起始請求。歸 因於往返要求,應用(1〇2、1〇4)可假定:不存在至少關於 非回應之應用(1〇2、1〇4)之其他未處理請求。若接收到對 127396.doc •24- 200841667 f新起始之請求之回應,則合料可處理請 預疋及/或可組態之攻數夕士主七 又人數之句求(例如,由最初應用1〇2盥 收者應用104之間的咨祖入品’、设 <間的貝枓介面106中之預期或判定的封包損 失建立)’至少直至接收到對該等請求中之一者之回 止。另外,若在預定及/或可組態之次數之重新起始 求之後未接收相應,則應用⑽、1G4)可停止發 且間早地等待回應,或,若應用(1G2、iG4)為最初應用 1〇2 ’則可發送交握重新起始以判定接收者應用104是否仍 可用因此’不同於許多習知資料轉移機制,可重新發送 及/或重新請求損失之請求及/或隨機數,^必重新發送 詩瞭解損失之封包所需之額外資料封包(例如,如關於 安全TCP/IP環境中之封包損失所展出)。因此,本揭示案 藉由允許對未接㈣之該請求之喊的單—請求之重新傳 輸而提供封包損失環境中之資料之有效的重新傳輸。 根據另外其他態樣’系統100可提供在行動作業系統 (106)上執行之應用之間的交握之重新起始。舉例而言,若 可組態之次數之資料事件請求不會得到回應,則最初應用 102可重新起始交握。該交握可至少包括最初應用1〇2之唯 一識別符以及經產生以用於交握會話之隨機數(或,例 如,用於建立新的交握會話之新的隨機數)。以此方式, 可在接收者應用104損失由最初應用產生之隨機數時重新 建立通彳§。根據特定實施例,交握可被重新起始可組態及/ 或預定之次數。該次數可基於介面(1〇6)中之判定之及/或 127396.doc -25- 200841667 預期之封包損失、受惡意軟體干擾之似然性、或其一組 己’或其類似物。 除上述内容之外,若在臨限時間週期内未自接收者應用 1〇4接收到資料,則最初應用102可重新起始交握。其他或 另外,可在第一次起始交握之後的預設之時間週期或該預 設之時間週期之整數倍(例如,1小時、2小時、3小時,等 等)重新起始該交握。根據另外其他態樣,若自裝置之使 用者介面接收到交握”開始”命令(例如,使用者執行起始交 握之診斷及/或使用者介面[υΐΓ幫助,,功能,等等),則可 重新起始交握。通常,交握之重新起始可限於可組態之次 數。因此,若發送3次交握重新起始而無回應,則(例如)交 握可簡單地終止及/或不繼續(例如)經受交握之使用者起 始因此,即使在損失經提供以用於會話之隨機數等等之 情況下,亦可重新建立及/或繼續應用間通信。 應瞭解,系統100可利用任何合適之行動作業系統及/或 資料介面106來進行應用(102、1〇4)之間的通信。根據一實 施例,BREW作業系統可包含作業系統/資料介面1〇6。更 具體言之,BREW表示由Calif〇rnia之San Dieg〇之
Qualcomm,Inc·開發的 Runtime Environment f〇r wireless⑧ (BREW)軟體。可利用(例如)操作以控制無線計算裝置上之 應用之執行的其他執行環境。作業系統/資料介面〗〇6可包 括2許由裝置之處理引擎(未描繪)處理模組之常駐版本或 可遠端存取之版本的一類軟體擴展。此等軟體類擴展可與 該裝置上之處理子系統通信且可致能資料讀取與命令。舉 127396.doc •26· 200841667 例而ϋ ’軟體擴展可代表調用軟體擴展之應用(102)來發送 命令。模組可接著在資料介面106上將子系統之回應轉遞 至接收者應用(丨〇4)。無線裝置上之每一常駐應用、 104)或杈组可建立新軟體擴展之執行個體以獨立於其他應 用(102、104)或模組而與子系統通信。 圖2描緣可起始在行動操作環境中執行之應用之間的安 全通信之樣本系統200的方塊圖。系統2〇〇可包括起始應用 2〇2,其經组態以建立與一或多個其他接收者應用之交握 θ話(例如,見下文圖3)。起始應用2〇2可利用一或多個經 雜養及/或經截斷之隨機數來識別及/或證明通信之發送 者。此外,起始應用2〇2可利用往返發送及接收資料事件 而通信,進而在損失資料及/或損失識別符之狀況下建立 每一事件之重新傳輸。因此,與習知架構相比,提供有 效、低功率且安全之通信架構。 起始應用202可包括安全會話模組2〇4,纟經組態以至少 φ 起始與接收者應用(未描繪)之交握,其中該交握包括起始 應用202之唯id及隨機數。可利用該隨機數來識別由該 接收者應用起始之後績通信。如本文中所描述,可將隨機 ‘ 數雜湊及/或截斷(例如,由與起始應用逝祕之雜凑模組 、 216)以使付電子欺騙及類似攻擊對於安全通信而言困難。 根據額外實施例,若未接收到交握回應,或者,若發送許 多次貧料事件請求而未接收到資料事件回應,則安全會話 模組204可重新起始交握。交握之重新起始可促進安全會 話之重新建立,作將盘奋丄尤丄 -將與會讀相關之隨機數重新提供給接收 127396.doc -27- 200841667 者應用(例如,若接收者應用損失該隨機數且因此不可驗 證及/或回應所接收之事件)。 根據額外實施例,安全會話模組204可在若干情況下重 新起始父握。第一,若在臨限時間週期内未自接收者應用 接收到資料。此種交握可為再新通信並判定(例如)是否仍 與起:應用202麵接。此外,若再新時間期滿,則可重新 起始交握(例如,如上文所論述)。其他或另外,若自裝置 使用者介面接收到命令(例如,若使用者請求起始交握), 則可重新起始交握。 根據另外其他實施例,安全會話模組2〇4可起始交握終 止。舉例而言’若通信巾所接收之隨機數未被適當驗證為 由起始應用202產生之隨機數或隨機數之遞增量(例如,指 :試圖損害安全通信之潛在未經授權之實體),則可出現 乂握終止。此外’若在起始預定次數之交握請求之後未接 收到交握回應,則可起始交握終止。舉例而言,此結果可 指示接收者應用不與起始應用通信地耦接。作為另一實 例,若起始應用判定完成通信會話,則可發送終止。、 f始應用202内亦包括驗證模組2〇6。驗證模組2〇6可經 組態以接收由安全會話模組2〇4起始之對交握之回應。該 回應可包括回應數及第二隨機數。驗證模組2〇6可擷取= 回應數且將其與隨機數相比較以便判定通信是否由接收者 應用發送。特定言之’合適時,驗證模組2〇6可將隨機數 雜湊及/或截斷,且將結果與回應數相比較。若結果匹 配’則可將回應數驗證為隨機數。 127396.doc -28- 200841667 除上述内容之外,起始應用202亦可包括通信模組2〇8, 其經組恶以在驗證模組2〇6使回應數與隨機數(或,例如, 識別特定往返會話之隨機數之適當遞增量)匹配時將資料 事件請求發送至接收者應用。另外,若未自接收者應用接 . ㈣對資料事件之回應、,料信《組2G8可重新傳輸資料 事件。根據特定態樣,資料事件請求可包括該第二隨機數 之遞增量。此外,該遞增量可與遵循交握及交握回應之特 定往返通信相關(例如,第一遞增量用於第一往返資料事 件,第二遞增量用於第二往返資料事件,等等卜遞增量 可用於進一步保護通信免於未經授權方。舉例而言,若未 經授權之程式獲得對隨機數或第二隨機數之存取,則含有 該數之資料事件内未包括隨機數之適當遞增量時起始應用 2〇2仍將丟棄此資料事件。因為未經授權之程式將較^可 能自交握以來-直監視通信,所以可能較不可能解密並行 往返執行個體並獲得起始應用2〇2之信任。 • #始應用逝亦可包括傳輸管理模組21G,其經組態以使 該通信模組能夠在接收到來自接收者應用之至少包括第二 數之遞增量之資料事件回應時發送第=資料料。換= • 之,管理模組210可防止通信模組發送額外資料事件直至 #收到資料事件回應為止,讀實施本文巾所論述之往返 通㈣策。因此,可由起始應用2G2起始損失之隨機數及/ 或貧料事件請求以促進行動操作環境之可靠通信。 根據額外態樣,系統200可包括傳輸可靠性模組叫,傳 輸可靠性模組218可與起始應用202連接。傳輸可靠性模組 127396.doc -29- 200841667 218可經組態以判定由起始應用202利用之通信介面(例 如上文圖1之操作環境/資料介㈣6)之封包損失頻率及/ 或似然性。封包損失判定可由起始應用2〇2利用以判定在 未接收到回應時的資料事件重新傳輸及/或交握重新傳輸 事件之適當次數。特定言之,當判定適當之重新傳輸時, 應用⑽)可考慮封包損失之似㈣;若封包損失較高,則 可建立相對較高次數之重新傳輸。若封包損失較低,則可 建立相對較低次數之重新傳輸。 除上述内今之外,系統200可包括計時組件212,其經組 恶以计异最初應用與接收者應用之間的預期時間。舉例而 言’該預期時間可至少部分基於用於接收對由安全會話 組204起始之交握之回應所需 "、 口粑所而的時間。另外,若在預期回 應時間(例如’視需要而被修改臨限週期,諸如,回應時 間之分數或倍數)内未接收到對資料事件或後續交握之回 應’則通信模組2〇8或安全會話模組2(Μ可分別重新傳輸資 料事件或交握。 根據另外其他態樣,系統200可包括處理緩衝器,處理 緩衝器使起始應用202能夠在安全通信上緩衝傳入之回應 及/或請求。因此,不需要Φ齡山虚m ΜΜ、 个而要中斷由應用(202)並行執行之操 作來處理回應/請求。實情為,回應/請求内之資料可被複 製至該處理緩衝器中1 可τ且在稍後之時間週期加以定址。因 此,雖然接收到並杆處55 f , 仃恳理要求,但可由系統200進行同步 處理。 圖3說明可回應在行動操作環境中執行之應用之間的安 127396.doc -30· 200841667 全通信之樣本系統的方塊圖。系統300包括接收者庫用 3〇2 ’接收者應用逝可至少接收交握請求,擷取並驗證發 送應用之1〇,且在該發送應用為可信最初應用時起始交握 回應。因此,系統300可參與行動操作環境中之安 信。 接收者應用302可至少包括安全性模組3〇4,安全性模电 304經組態以接收來自最初應用(未描繪,但見上文圖^處 之202)之父握請求。該交握請求可包括最初應用之唯一 IQ 攀及/或由最初應用產生之隨機數。此外,接收者應用3〇2可 包括參考模組306,其經組態以驗證最初應用之唯—ι〇。 舉例而言,參考模組可將唯一 ID與可信最初應用識別符清 單3 12相比較。該清單(3 12)可包括與接收者應用3〇2應信任 且接受來自其之交握之應用相關聯的所有唯一 m。因此, 可藉由參考清單312來驗證最初應用之唯一 id。 接收者應用302亦包括介面模組308,其經組態以在表考 馨模組306驗證了唯一 ID時將交握回應發送至最初應用,如 上所述。根據某些實施例,該交握回應可包括隨機數或該 數之經雜湊且經截斷之版本(例如,由如本文中所描述之 • 雜湊模組314產生)及/或由接收者應用302產生以識別由接 • 收者應用302發送之回應請求之通信及/或回應的第二隨機 數。此外,介面模組308可經組態以接收、回應並起始資 料事件請求(例如,請求資料、指令之效能,等等)。資料 事件請求(例如)可至少包括隨機數之遞增量,該遞增量識 別往返通信且隨機數識別關於由安全性模組3 〇4接收之交 127396.doc -31 - 200841667 握之通信。同樣,關於由介面模組308(及(例如)接收者應 用302)起始之資料事件請求之回應可至少包括隨機數之遞 增置(例如,包括於該資料事件請求内)及/或最初應用之唯 -其他或另外,資料事件回應可包括被接收者應用請 求之貪料、或指令之結果、或其組合,或其類似物。 根據額外態樣,接收者應用302亦可包括管理模組31〇, 其經組態以需要介面模組308在接收到額外資料事件請求 之前回應先前接收之資料事件請求。因此,管理模組31〇 可強制執行接收者應用302與最初應用之間的往返通信政 策,如本文中所描述。此外,管理模組31〇可准許介面模 組308回應資料事件請求且將第二隨機數之遞增量及/或接 收者應用302之應用id包括於該回應内。該回應可識別用 於起始應用之適當往返且進一步可借助於該應用m而提供 應用(302)之資訊。或者,管理模組31〇可准許介面模組)^^ 發送包括隨機數之遞增量(例如,用於識別發源於接收者 應用之通信並識別該通信之適當往返)之資料事件請求以 及對資料之請求及/或待由最初應用執行之指令。 根據一或多個其他態樣,管理模組31〇可促進緩衝傳入 之指令以便避免接收者應用3〇2處之並行程序之中斷。具 體言之,管理模組3 10可分配適合於資料事件請求中所含 有之指令之資料緩衝器316,可將資料請求内所包括之資 料複製至資料緩衝器316。此外,管理模組31〇可設定程序 計時器,程序計時器至少部分基於用於完成當前程序所需 之估計之時間。除上述内容之外,管理模組31〇亦可防止 127396.doc -32- 200841667 接收者應用302處理資料事件内所包括之資料直至程序計 時器期滿為止。因此,管理模組31〇可促進用於接收者應 用302之指令之同步執行。 根據某些實施例,管理模組310可指導介面模組3〇8忽略 一或多個資料事件請求。舉例而言,若隨機數或其遞增量 針對適當往返通信不為匹配,則可懷疑通信之完整性。因 此苔理模組31 〇可能需要在給予該通信任何回應之前起 始具有可驗證之可信唯一 ID之新的交握。 根據額外實施例,管理模組3 1〇經進一步組態以接收交 握重新起始訊息,該交握重新起始訊息包括(例如)新的隨 機數及或者該唯一 ID或者第二唯一 m。管理模組31〇可將 該新的隨機數儲存於暫時緩衝器(3 16)中直至驗證了該唯一 ID/該第二唯一 ID為止。若該m被驗證為可信應用,則可 核準該交握,在此狀況下,新的隨機數可替換由最初應用 發送之先前隨機數。若不可驗證ID,則可不核準該交握, 且將新的隨機數自暫時緩衝器(3 16)刪除。因此,管理模組 3 10可在不損失先如父握之經驗證之參數的情況下處理新 近起始之交握。 根據其他態樣,若未接收到對由介面模組3〇8發送之資 料事件請求之回應,則介面模組3〇8可將該請求重新發送 可組態之次數(例如,取決於經判定之封包損失,等等)。 若在預定次數之重新發送請求之後未接收到回應,則管理 模組可防止介面模組308發送其他請求直至接收到後續交 握(例如,包括可驗證之最初應用類ID之交握)為止二^ 127396.doc -33- 200841667 ^管理模组31G亦可限制花費於試圖自非回應最初應用 得到回應之處理資源以促進行動操作環境中之應用之較有 效但仍可靠的資料交換。 圖4說明可執行行動應用且提供該等應用之間的安全且 低功率之傳輸之實例行動裝置400。特定言之,行動裝置 〇〇可提供促進行動應用(414、416)之間的通信之公共平臺 (408 410、412)’及/或可提供用於第一應用⑷4、416) 與3有第—應用(414、416)之遠端裝置(未描繪,但見下文 圖5)無線地連接之平臺,其中介人無線電網路、核心行動 網路及/或卩網路或其類似物提供遠端裝置(4〇〇、5〇钓、 504b)之間的通鉦介面。因此,系統*⑽可提供由單一裝置 (4〇〇)或遠端網路裝置(4〇〇、5〇乜、5〇4b)之處理及通信架 構(例如,處理器408、記憶體410、通信政策412及合適之 匯/;,L排結構[s])輕接之行動應用之間的安全通信。 行動裝置400包括:至少一天線4〇2(例如,包含輸入介 面之傳輸接收器或該等接收器之群組),其接收信號(例 如,關於行動應用資料轉移、交握、交握回應、資料事 件、資料事件回應、交握終止,等等);及接收器404,其 對該所接收之^號執行典型動作(例如,攄波、放大、降 頻轉換等等)。具體言之,天線402可接收如本文中所描述 之對交握請求之回應、資料事件請求,或其類似物(例 如’包括由在行動裝置4〇〇處執行之至少一應用產生之隨 機數、由對應應用產生之隨機數、對資料事件之回應,等 等)。 〜 127396.doc -34- 200841667 天線402及接收器404亦可與解調變器406耦接,解調變 器406可解調變所接收之符號且將符號提供給處理器408以 用於評估。處理器408可分析由行動裝置(未描繪)之天線 402或使用者輸入介面接收之資訊,及/或產生用於由傳輸 器420傳輸之資訊。此外,處理器408可控制及/或參考行 動裝置400之一或多個組件(4〇6、412、414、416、418)。 此外’處理器408可執行如本文中所描述之提供行動應用 之安全應用間資料轉移之一或多個模組、應用或其類似物 (412、414、416)。 行動裝置400可另外包括記憶體41〇,記憶體410操作性 地耦接至處理器408且可儲存待傳輸、接收之資料及其類 似物。記憶體410可儲存與通信政策412有關之資訊,該資 訊用於進行常駐於行動裝置4〇〇上及/或分布於遠端介面上 (例如’見下文圖5)之行動應用(414、4 16)之間的安全通 信。特定言之,如本文中所描述的用於產生、遞增、雜湊 及/或截斷隨機數且將該(等)數傳輸至目標應用(414、416) 以用於識別及安全目的之規則以及用於進行往返通信、重 新發送未經確認之通信、起始及重新起始交握之規則或其 類似物可包括於通信政策412内。另外,如本文中所描 述’記憶體410可包括:最初應用414,其經組態以至少起 始與額外應用⑷6)之交握請求(例如,併有上文圖2處所描 繪=某些或所有模組);及/或第二應用416,其經組態以接 收交握請求且驗證最初應用414是否為可信應用(例如,併 有上文圖3處所描繪之某些或所有模組)。 127396.doc -35- 200841667 應瞭解,本文中所描述之資料儲存器(例如,記憶體 410)可為揮發性記憶體或非揮發性記憶體,或可包括揮發 性與非揮發性記憶體。作為說明且並非限制,非揮發性記 憶體可包括唯讀記憶體(ROM)、可程式化ROM(PROM)、 電可程式化ROM(EPROM)、電可擦PROM(EEPROM)或快 閃記憶體。揮發性記憶體可包括充當外部快取記憶體之隨 機存取記憶體(RAM)。作為說明且並非限制,RAM可以許 多形式使用,諸如,同步RAM(SRAM)、動態 RAM(DRAM)、同步 DRAM(SDRAM)、雙資料速率 SDRAM(DDR SDRAM)、增強型 SDRAM(ESDRAM)、同步 鏈路 DRAM(SLDRAM)及直接 Rambus RAM(DRRAM)。本 發明之系統及方法之記憶體410意欲包含(但不限於)此等及 任何其他合適類型之記憶體。 行動裝置400再進一步包含:調變器418 ;及傳輸器 420,傳輸器將所產生之信號(例如,由處理器408及調變 器41 8產生)傳輸至(例如)基地台、存取點、另一存取終端 機、遠端代理等等。雖然被描繪為與處理器408分離,但 應瞭解,最初應用414及/或第二應用416可為處理器408或 許多處理器(未圖示)之部分。 圖5描繪根據某些態樣之用於提供在遠端裝置(504a、 504b)上操作之行動應用(未描繪,但見上文圖4之414及 416)的安全通信之樣本網路500。系統500可包含一或多個 扇區中之一或多個基地台502,該或該等基地台502接收、 127396.doc • 36- 200841667 傳輸、重複等等傳至彼此及/或傳至一或多個行動裝置 (504a、504b)之無線通信信號。如所說明的,每一基地台 5〇2可對特定地理區域(被說明為標記為5〇6a、5〇6b、5〇6c 及506d之四個地理區域)提供通信覆蓋。如熟習此項技術 者將瞭解,每一基地台502可包含傳輸器鏈及接收器鏈, 傳輸器鏈及接收器鏈中之每一者又可包含與信號傳輸及接
收相關聯之複數個組件(例如,如下文圖6處所描繪的處理 器、調變器、多工器、解調變器、解多工器、天線等 等)。行動裝置504可為(例如)蜂巢式電話、智慧型電話、 膝上型電腦、掌上型通信裝置、掌上型計算裝置、衛星無 線電、全球定位系統、PDA及/或用於在無線網路5〇〇上通 信之任何其他合適之裝置。系統5〇〇可結合本文中所描述 之各種態樣使用以便促進在遠端裝置(例如,行動裝置 5〇4a、504b,或網路500之操作組件,諸如下文圖6處所描 述)上操作之行動應用之間的安全通信。 根據一或多個特定態樣,基地台5〇2通常為與行動裝置 50如、5〇仆通信之固定台且可被稱為存取點、節點b或某 -其他術語。行動裝置5〇4a、觸通常分散於整個系統 500中’且每-者(504a、5〇4b)可為固定裝置、行動裝置或 半行動裝置(例如,膝上型電腦卜行動裝置可在㈣給定 時刻在下行鏈路(例如’自基地台502傳輸至裝置5〇4a、 獅之資料)及上行鏈路(例如,自行動裝置_、雜傳 輸^基地台502之資料)上與零個、—個或多個基地台5〇2 通仏。對於集中式架構,系統控制器(例#,無線電網路 127396.doc -37 - 200841667 控制器[RNC] ’或其類似物,未描繪)可I馬接至基地台502 且對與基地台502相關聯之通信、協定、診斷收集或類似 操作提供協調及控制。對於分布式架構,基地台5〇2可視 需要而相互通信。 圖6說明根據其他態樣的包括可促進及/或參與行動應用 之安全遠端通信之基地台6〇2的實例系統60〇。系統6〇()包 含基地台602(例如,存取點、——),基地台602具有··接 收器610,其經由複數個接收天線606而接收來自一或多個 行動裝置604之信號;及傳輸器622,其經由傳輸天線6〇8 而將仏號傳輸至該或該等行動裝置604。接收器61 〇可接收 來自接收天線606之資訊且可進一步包含信號接收器(未圖 示)該^號接收器接收與未經接收的或不可解密之資料 封包有關之反饋資料。此外,接收器61〇與解調變器612操 作性地相關聯,解調變器612解調變所接收之資訊。處理 器614可分析由解調器612提供之解調變之符號。處理器 614進一步耦接至記憶體616,記憶體616可儲存如本文中 所描述之促進及/或參與安全遠端通信之應用。 J而CT應用6 18可為經組態以起始交握且將資料事 件請求⑽如,與料資訊、㈣分析料㈣)發送至行 動裝置604上操作之接收者應用之最初應用(例如,應用 ^ 8可併有上文圖2處結合起始安全行動應用交握及參與安 全通信而描繪之某些或所有模組)。或者,應用618可為可 純交握請求錢定如本文中所描述之起始最初應用之二 人應用(例如’應用618可併有上文圖3處結合接收及回應 127396.doc -38- 200841667 交握及參與安全通信而描繪之某些或所有模組)。應用6i8 可進〃匕括用於產生及/或驗證識別應用618為行動裝置 604上之對應應用(或反之亦然)之隨機數的規則,或識別特 定往返通信之該(等)隨機數之遞增量。另外,如本文中所 描述,該等規則可指定用於重新傳輸未經確認之傳輸、重 新起始交握請求及/或回應、及終止交握之政策。因此, 應用618可參與到與常駐於行動裝置604上之-或多個應用 之安全行動通信,及/或與執行本文中所闡述之各種動作 及功邊有關的任何其他合適之活動。 應理解,本文中所描述之實施例可以硬體、軟體、動 體、中間軟體、微碼、或其任何組合來實施。對於硬體實 鈿例,可在以下各物内實施處理單元:經設計以執行本文 中所描述之功能之一或多個特殊應用積體電路(asic)、數 位信號處理器(DSP)、數位信號處理裝置(DSpD)'可程式 化邏輯裝置(PLD)、場可程式化閘陣列(fpga)、處理器、 控制器、微控制器、微處理器、其他電子單元,或其組 合。 當以軟體、韌體、中間軟體或微碼、程式碼或碼段實施 該等實施例時,可將該等實施例儲存於機器可讀媒體(諸 如儲存組件)中。碼段可表示程序、函數、子程式、程 弋$用程式、子常用程式、模組、套裝軟體、類,或指 7、貝料結構或程式敍述之任何組合。碼段可藉由傳遞及/ 或接收資訊、資料、引數、參數或記憶體内容而叙接至 另一碼段或硬體電路。可使用包括記憶體共用、訊息傳 127396.doc -39- 200841667 遞符n己傳遞、網路傳輸等等之任何合適之方 轉遞或傳輸資訊、?!數、參數、資料等等。:來傳遞、 對於軟體實施例,本 所Μ夕从〜, 中所描述之技術可用執行本文中 田此之模組(例如,程序、函數等等)來實 體程式碼可儲存於記憶體單元中且 u°軟 no - — ^ 為執仃。記1咅 早兀可實把於處理器内或處理器外,在實 = 狀況下,記憶體單元可經由如此項技術中已 = 而通信地耦接至處理器。 種方式 參看圖7至圖12,括修齒组# 7- ^ 中操作之;《用之nH ' 7部分在行動操作環境 ::用之…„有關的方法。雖然,出於解釋之 目的,以-系列動作展示並描述該等方 ΠΓ該等方法不受動作之次序限制。舉例而言; 據一或夕個態樣,某些動作可以不同於本文中展示並描述 之次序的次序發生及/或與其他動作同時發生。此外,孰 習此項技術者將理解並瞭解,可或者以—㈣相互關& 狀悲或事件(諸如’在一狀態圖中)來表示方法。此外,根 據-或多個態樣’未必需要所有所說明之動作來實乂 法。 、 參看圖7,圖7描緣用於起始行動操作 之間的安全通信之實例方法700。在7。2處,方法7 = 始與行動應用之交握,該交握包括最初行動應用之唯一識 別符及經產生以用於該交握之隨機數。該最初應用可㈣ 態以利用訊息傳遞架構、或共用記憶體、或其合適组合或 類似資料轉移平臺之合適組合經由行動作業系統(例如, 127396.doc -40 - 200841667 brew操作或其類似物)而與行動應用通信。可利用交握中 所指定之唯一識別符來將最初應用識別為可信應用。另一 方面,該隨機數可由行動應用利用以與最初應用關聯。因 此,最初應用處所接收之含有隨機數(及/或,例如,其適 當遞增量)之通信可與行動應用相關聯。作為上述内容= 必然結果,若最初應用處所接收之通信不包括隨機數(及/ 或’例如’其適當遞增量),則可假定該通信不與交 關聯且因此不安全。
在704處,方法可接收交握回應。特定言之,該交握 回應可包括第-數及由行動應用產生之第二隨機數。作為 特定實例,最初應用可將該第二隨機數(及/或,例如,盆 適當遞增量)包括於傳輸至行動應用之資料事件中。第I 隨機數可最初應用識別/證明為起始與行動應用之安全: 握會話之可信應用。 在706處,方法7〇〇可驗證參考數字7〇4處與交握回應— :接收之第一數是否為隨機數或其適當遞增量。舉例而 言’可將第-數與隨機數相比較以查看其是否均等。或 者,若第-數為隨機數之雜凑(例如,SHa•卜嶋_2等 等)及,斷(例如,32位元至16位元,或其類似物),則 可將匕機數雜湊、截斷,且將其與第—數相比較。若第一 了 &機數(或,例如’其雜湊及/或截斷)匹配,則最初應 可將交握回應敎為發源於行動應項,且可儲存第二隨 機數以用於與交握相關聯之後續資料事件請求。若第一數 與隨機數不匹配,則可廢棄第二隨機數。 127396.doc -41- 200841667 :處:法可將資料事件發送至行動應用。” =:包括用於識別/證明最初應用(例如,:: 初應用與行動應用及/或交握會話之特定往返、…取 _外資料、請求:行 或其類似物之資《塊(及,例如,===中之結果 丨+ A 1, > 識別該貧料區塊之大 位'=曰標、識別該資料區塊在共用記憶體中
::二等等)。因此’可利用由方法70〇描述之安全通 〆獲传貝料及/或控制/組態安全環境中之其他應用。 在710處,可延遲與參考數字7〇2處起始之交握合話相關 聯且與隨機數及/或其遞增量相關聯之第二資料事件直至 純到對資料事件之回應為止。因此,方法可在一或 夕個仃動應用之間實施往返通信。具體言之,往返通信可 包括:或多個所起始之事件及對該等事件之所接收之回 應2其中每件/回應對係對應識別往㈣信之經遞增 之^機數。因此’可提供涉及行動操作環境之相對較低之 功率消耗(例如,與計算上密集之加密/解密機制相反,利 用雜凑函數來加密)的同步通信。 圖8况明根據一態樣之用於重新發送資料事件以完成往 L通彳"之樣本方法800。在802處,方法800可在兩個應用 之間建立安全通信交握,該兩個應用中之至少一者為行動 jTQ 入夕 ^ Μ 。該交握及其回應可包括用於識別後續資料請求之起 始的 $ /丨> -A* » y 一所產生之隨機數。另外,可利用隨機數之雜 奏函數及/或截斷來編碼隨機數以便節省行動處理功率。 127396.doc -42- 200841667 因此’方法_可提供有效且安全之應用間資料轉移。 :據額外態樣,方法_亦可改良該等應 可祕。舉例而言,在_處,方法80。可發送資料事:輪 该貧料事件可包括將起始行㈣㈣接收 之隨機數(或,例如,其適當遞增量)。另外,該資== 可包括對接收者應用之操作(例如,資料
作、分析等物求。在叫,關於是否接收料資= 件之回應而作㈣定。具體言之,該衫可❹回應計時 為’該回應計時器至少部分基於該等應用之間的判定的及/ 或預期之往返回應時間(例如,在交握會話期間所量測), 且=需要包括該回應時間之額外分數及/或倍數。作為特 定實例’若在特定回應計時器期滿之前未接收到回應,則 方法800可進行至參考數字議。若在回應計時器期滿之前 接收到資料事件之回應,則方法8〇〇可進行至8ι〇,在“Ο 處,繼續交握通信。 在參考數字808處,方法800可將資料事件重新發送可組 態之次數(例如,與應用之間的資料封包損失之判定的及/ 或預期之似然性有關)至少直至接收到資料事件回應為 止。在812處,方法800可關於是否因該(可組態之)次數之 重新發送之請求而接收到資料事件回應來作出另一判定。 若接收到資料事件回應,則方法8〇〇可進行至81〇,在81〇 處,繼續通信。若未接收到適當回應,則方法8〇〇可進行 至參考數字814。 在814處,方法800可將交握重新起始可組態之次數至少 127396.doc -43- 200841667 應為止。作為實例,若接收者應用損失 識別交握會話之隨機齡^ 〜用相夭 隧機數(或,例如,儲存隨機數 變得惡化),則接收者雍田1 u體 者應用可能不能夠鑑定在參考數字804 及808處傳輸之資料事件。因此,如本文中所描述,接收 者應用可忽略該等請求。藉由在參考數字814處起始交 握,可將隨機數或新的隨機數以及最初應用之唯-識別符 重新提交給接收者“。因&,可分別再新或更新交握。
在參考數816處’方法800可判定是否接收到對交握之回 應。若如此,則方法_可進行至㈣,在㈣處,繼續通 例如’重新傳輸/傳輸資料事件或後續資料事件)。若 否,則方法800可進行至818,在818處,可發送交握終 止。在818處,可假定接收者應用不再與發送應用通信地 耦接:或接收者已變得被惡意程式損害,或通信政策惡 化’等等。交握終止可包括擦除與交握相關聯之所有資 料,諸如,隨機數、最初及/或接收者應用之山、通信中 所涉及之資料,及其類似物。如所描述的,方法_可藉 由在起始其他資料請求之前重新發送損失之/未經鑑定^ 資料請求而提供可靠的同步通信。因此,可立即校正傳輸 中之誤差且了避免几餘之重新傳輸(例如,如安全Tcpip 通信中所展現)。 圖9描繪用於使行動應用之間的安全通信中之往返通信 遞增之實例方法900。在902處,方法9〇〇可發送至少包= 隨機數之交握起始。該隨機數可由接收者應用利用以安全 地將通信識別為發源於該接收者(例如,因為該隨機數僅 127396.doc -44- 200841667 被發送至接收者應 _ ID , 心 。父握可進一步包括起始應用之唯 ID’如本文中所描述。 〈唯 :處’可接收對交握之回應,幘,可關 隨機數或其適當版本(例如,經雜湊及/或經截 =本)而作出判定。若否,則方法_可進行至㈣, ^ 發送交握終止,且視需要,可刪除與交握會話
有關之所有資料(包括隨機數、所接收之數、經傳輸之資 枓專專)。若適當數包括於參考數字9〇4處所接收之回庫 内,則方法9〇0可進行至908,在_中,引吏所接收之隨 機數遞增且將其併入發送至接收者應用之資料事件内。姐 遞增之隨機數可識別並行往返通信會話,如本文中所描 述。 在912處,關於對資料事件之回應(若接收到回應)是否 包括隨機數之適當遞增量而作出判定。若否,則方法9〇〇 進行至910,在910中,可起始交握終止。特定言之,可假 定··若接收到不適當之遞增量,則資料事件回應係由未經 授權之應用發送(例如,隨機數被損害)或接收者應用之安 全通信政策已變得惡化,或其類似物。若,在參考數字 912處,接收到隨機數之適當遞增量,則方法9〇〇可進行至 914,在914中,將隨機數之額外遞增量包括於後續資料事 件内。在916處,可關於對後續資料事件之回應(若接收到 回應)是否包括隨機數之適當之額外遞增量而作出另一判 定。若如此,則方法900可進行至918,在918中,以由方 法900描述之及/或如本文中之其他處所描述之方式繼續通 127396.doc -45- 200841667 处未判疋適當遞增量,則方法9 910,在910中,可叔私u 」進订至 了起始上文所述之交握終止。如所y诚 的,方法900可提供墦别六 斤描达 s 、 八S又握_話之經遞增之隨機數的循 環分析以及適當資料畫彳生& 、田貝枓事件在返以保護行動應用之間的通 信0
圖10說明用於回應行動操作環境中之行動應用之間的安 ㈣信之樣本方法咖。在贈處,可接收聽請求。該 交握請求可包括起始應用之唯—識別符及/或識別該交握 之隨機數,如本文中所描述。在刪處,可相對於可作最 初應用聯單來參考該唯—朗符(若接㈣)。若發 接收之唯一識別符之間的匹配,則方法900可進行至 1006。若否,則方法900可終止(未描繪)。在1〇〇6處若相 對於該可彳a應用清單驗證了該唯一 m,則可發送對交握之 回應。在1008處,可接收資料事件請求。該資料事件請求 可包括(例如)第二隨機數,第二隨機數包括於交握回應内 以識別與交握會話相關聯的後續傳入通信(例如,其中該 會話係由參考數字1〇02處所接收之交握請求及參考數字 1006處所發送之交握回應建立)。在1〇1〇處,可延遲額外 資料事件請求之接收至少直至在資料事件請求被回應為止 (例如,在接收額外資料事件請求之前發送對資料事件請 求之回應)。因此,方法1〇〇〇可強加用於安全通信之往返 通信政策,其併有由起始及接收者應用產生之隨機數。此 外,可將該等隨機數雜湊並截斷以用低處理要求及功率成 本提供額外安全性。因此,方法1000提供尤其有益於行動 127396.doc -46- 200841667 操作環境之用於回應並參與安全應用間通信之機制。 圖11描繪用於緩衝後續資料事件請求直至針對安全應用 間資料轉移而完成初始請求及往返通信為止之實例方法 1100。在1102處,可如本文中所描述而建立安全行動應用 交握。在1104處,可接收資料事件請求。另外,在 處,可分配資料緩衝器以用於儲存包括於資料事件請求内 之及/或由資料事件請求指定之資料。舉例而言,該請求 可包括指令、組態參數、待分析之資料、待執行之行動通 信診斷(例如,QoS函數)等等。在11〇8處,可將參考數字 1104處所接收之資料事件請求内所包括之資料複製至參考 數字1106處所分配之資料緩衝器中。在111〇處,可設定程 序計時器。舉例而t,該㈣料器可指示用於完成在接 收者應用處執行之任何並行處理之預期時間。程序時間可 致能處理資料事件請求中所純之資料之延豸,直至完成 並打程序為止。在1112處,方法11〇〇可避免處理(及(例如) 接收’其中接收包括處理)資料事件請求内所接收之資料 至少直至程序計時器期滿為止。因此,在處理⑷如接 收,其中接收包括處理)當前指令之前,可完成並回應由 :用接收之先前指令。方法11〇〇提供藉由緩衝後續指令、 明求等等直至可a成先前程序為止而促進同步環境中之往 返通信之機制。 圖12說明用於接收行動應用之間的安全通信中之重新起 始之交握的實例方法12⑽。在咖處,可如本文中所描述 建立包括識別通仏方(且,例如’能夠識別後續往返通 127396.doc -47- 200841667 ^ )之至少一隨機數之安全行動應用交握。此外,該交握 亦可包括最初應用之唯一ID,其可將該應用識別為可信實 體。在麗處,可接收交握重新起始,其包括新的隨機二 及該唯一ID或新的唯一ID。在12〇6處’可將新的隨機數儲 存於暫時緩衝器中直至驗證新的隨機數為止。該驗證可包 括接收由接收交握重新起始之應用建立之資料,或藉由接 收用於、經成功發送之資料之包括新的隨機數的確認回應
(ACK)。因此,接收交握重新起始之應用可試圖自來自惡 意及/或未經授權之源之惡意或未經授權之資料濾出合法 資料。 在1208處,可如本文中所描述而驗證新的唯-ID。舉例 而言,可關於可信最初應用唯一m清單而參考新的唯一 ID。若發現匹配’則新的唯可接著朗特定可信最初 應用。若未發現匹配,則可假定新的唯_m與未經授權之 應用相關%。在121〇處,關於新的唯一⑴是否被驗證而作 出判疋’如上所述。若否,則方法120G進行至1214,在 1214中’刪除新隨機數且不發送交握回應。若新的唯一I。 被驗證,則方法1200可進行至咖’在咖中,可用新的 W數替換隨機數以識別應用之間的後續通信。如所描述 的方法1200提供藉此可在館存新的隨機數及唯一出及釋 放及/或擦除先前隨德叙 思機數及/或唯一 ID之前驗證交握的 制。因此’可減拉钟 * … t4圖耨由用假隨機數替換隨機數而中斷 安全通信之電子欺騙攻擊。 圖13提供根據本揭 询不案之恶樣之用於終止交握的實例方 127396.doc -48- 200841667 法1300之流程圖。在1302處,方法13〇〇可建立安全行動應 用父握’其至少包括弟一隨機數及/或起始應用之唯一 ID。該第一隨機數可識別:由該起始應用接收之交握ACK 來自該交握之目標。另外’該唯一 ID可指示該目標··起始 應用經授權以將交握發送至該目標。 在1304處,可接收交握ACK,其至少包括該第一隨機數 及/或第二隨機數。可以與第一隨機數被發送之形式相同 之开》式或以加岔开> 式或以雜溱形式或其類似物接收第一隨 機數,如本文中所描述。所接收之第一數(或其合適之經 雜湊或經加岔之版本)與弟一隨機數之比較可識別該Ack 合法。若ACK不合法,則可發送交握重新起始,及/或可 如本文中所描述而結束通信。 在1306處,可起始終止事件,其至少包括唯一1]〇及第二 隨機數之一版本。該版本可為(例如)第二隨機數之遞增 量。該版本亦可為該數之經雜湊或經加密之形式,或其類 似物。在1308處,可設定ACK計時器以建立用於終止事件 之ACK之返程時間。舉例而言,該ACK計時器可基於與安 全行動應用交握及交握ACK相關聯之往返時間。在丨'31〇 處,接收終止ACK。該終止ACK可至少包括第:隨機數或 其合適版本,或目標應用之應用JD,或兩者。 在1312處,關於是否滿足ACK計時器而作出判定。具體 言之,是否在由ACK計時器設定之時框内接收到:止 ACK。若否,則方法13〇〇進行至1314,在i3i4中退 握且忽略其他通信直至如所進行之成功交握(例如,如: 127396.doc •49· 200841667 考數字1302處所描述)為止。退出交握可包括避免用於交 握之資料事件傳輸,將在交握下產生之所有隨機數調零^ 及/或釋放關於交握中所涉及之應用之特定資料。 若在參考數字1312處滿足計時器,則方法13〇〇進行至 1316,在1316中,終止事件繼續。在1318處,關於參考數 字1310處的與終止ACK—起接收之第二隨機數之版本是否 被正確重複、遞增、雜湊或加密或其合適組合而作出判 定。若與終止ACK —起接收之第二隨機數適當,則方法 1300可進行至1320,在1320中,取消ACK計時器且完成交 握終止。完成交握終止可包括將經產生以用於交握之數調 零及釋放關於交握中所涉及之應用之資料。若在參考數字 131 8處判定第二隨機數不適當,則方法13〇〇可改為進行至 1322 ’在1322中,如參考數字1314處所描述而退出交握。 圖14及圖1 5提供根據所主張之標的物之特定態樣的樣本 系統(1400、1450)之方塊圖。具體言之,系統14〇〇可提供 起始及參與行動操作環境中之安全應用間通信。舉例而 e,系統1400可包括用於起始交握之模組14〇2。具體言 之,模組1402可起始與行動應用之交握,該交握包括最初 行動應用之唯一識別符及經產生以用於該交握之隨機數。 另外,系統1400可包括用於接收回應之模組14〇4。模組 1404可特定地接收對由模組14〇2起始之交握之回應,其中 該回應包括第一數及第二數。該第二數可(例如)由行動應 用(例如,該交握之判定的目標)隨機地產生且可經利用以 簽署及/或證明自最初應用發送至行動應用之請求。 127396.doc -50- 200841667 除上述内容之外,系統14〇〇可包括用於驗證資料之模組 1406。杈組14〇6可驗證作為交握回應之部分而接收之第一 數是否為經產生以用於交握之隨機數(或,例如,其經雜 溱及/或經截斷之版本,或其遞增量,或兩者)。亦包括用 • 於發送貝料事件之模組1408。模組1408可在由模組1406將 • 第一數驗證為隨機數時起始資料事件並將資料事件發送至 灯動應用,該資料事件包括第二隨機數之遞增量(例如, 由行動應用產生)。此外’系統1400亦可包括用於延遲第 二資料事件之模組141〇。模組1410可延遲系統14〇〇對第二 貧料事件之處理及/或傳輸至少直至自行動應用接收到至 少包括第二隨機數之遞增量的資料事件回應為止。因此, 系統1400可強制執行安全通信環境中之往返同步通信政 策,其至少併有隨機產生之數以識別及/或證明應用間資 料請求。 ' 除上述内谷之外,系統15〇〇可包括用於接收交握請求之 • 模組1502。特定言之,模組15〇2可接收來自最初應用之交 握請求,該交握請求至少包括該最初應用之唯一⑴或由該 最初應用產生之隨機數,或兩者。此外,系統15〇〇可包括 • 肖於參考ID之模組15G4,模組15()4可相對於可信最初應用 識別符清單來參考所接收之唯一m(若存在)。可利用此參 考來區別可信應用與未經授權或未被信任之應用。此外, 系統1500可包括用於發送交握回應之模組15〇6。模組15〇6 可在唯一 ID匹配該可信最初應用識別符清單中之唯一 Π)(如由模組H04所判定)時將交握回應發送至最初應用。 127396.doc -51- 200841667 除上述内容之外,系統1500亦可包括用於接收資料事件請 求之模組1508,及用於延遲該請求之接收(例如,其中除 了如本文中所描述之緩衝及/或設定程序計時器以外,接 收可包括對所接收之資料進行的某一形式之資料處理)之 模組。具體言之,模組1510可延遲額外資料請求之接收直 至由系統1500起始對資料事件請求之回應為止。因此,可 強制執行往返政策,亦致能行動應用之間的資料轉移中的 損失之請求之重新傳輸及/或交握事件之重新起始。因 此,可提供用於封包損失環境中之同步通信之有效的資料 轉移架構,其中資料不會因—或多個損失之封包而損失或 無用。 上述内容包括一或多個態樣之實例。當然,出於描述上 述態樣之目的不可能描述組件或方法之每一可能組合,但 一般熟習此項技術者可認識到,各種態樣之許多其他組合 及排列係可能的。因此,所描述之態樣意欲包含在隨附申 請專利範圍之料内之所有該等改變、修改及變化。此 外’就術語"包括"用於實施方式或申請專利範圍中而言, 該術語意欲以類似於術語”包含”之方式(如"包含"用作請求 項中之過渡詞時所解釋)而為包括性的。 【圖式簡單說明】 圖1說明可提供行動應狀間的安全、低功率通信之樣 本系統之方塊圖。 圖2描緣可起始在行動操作環境中執行之應用之間的安 全通信之樣本系統的方塊圖。 127396.doc -52- 200841667 圖3描、纟會可河虛 — 全…在仃動操作環境中執行之應用之間的安 王料之樣本系統的方塊圖。 ]的女 圖4說明可热> ,.,^ T仃動應用且提供該等應用之間的安全且 低功率之傳輸之實例行動1置。 ]的女王且 行::::根」i某些態樣的用於提供在遠端裝置上操作之 應用之文全通信的樣本網路。 圖6說明根攄j:你能接 %樣之用於促進行動制之安全遠端 通#的實例基地台。 艾王遮鲕 圖7描緣用於起妒 全通信之實例方法㈣"境中之行動應用之間的安 =說明根據-態樣之用於重新發送資料事件以完成往 返通h之樣本方法。 圖9描繪用於使行動應 π心间的女全通仏中之往返通信 遞增之實例方法。 圖1〇說明料回應行動操作環境中之行動應用之間的安 全通信之樣本方法。 ▲圖u描繪用於緩衝後續請求直至完成初始請求及往返通 信為止之實例方法。 圖12說明用於接收者行動應用之間的安全通信中之重新 起始之交握的實例方法。 圖13說明用於終止交握之實例方法。 圖14及圖15分別說明用於起始及接收行動操作環境中之 安全通信之系統的樣本方塊圖。 【主要元件符號說明】 127396.doc •53- 200841667 100 102 104 106 200 202 204 206 208 210 212 216 218 300 302 304 306 308 310 312 314 316 400 實例系統 最初應用/起始者/發送者 其他應用/接收者應用/接收者 行動操作環境/行動作業系統/特定通信介面/ 資料介面 樣本糸統 起始應用 安全會話模組 驗證模組 通信模組 傳輸管理模組 計時組件 雜凑模組 傳輸可靠性模組 樣本糸統 接收者應用 安全性模組 參考模組 介面模組 管理模組 可信最初應用識別符清單 雜湊模組 資料緩衝器/暫時緩衝器 實例行動裝置/遠端裝置/遠端網路裝置 127396.doc -54- 200841667
402 天線 404 接收器 406 解調變器/組件 408 處理器/公共平臺 410 記憶體/公共平臺 412 通信政策/公共平臺/組件 414 最初應用/第一應用/第一 416 禾—應用/行私 額外應用/第-應用/第二應 ^ 418 調變器/組件 ^ 420 傳輸器 500 樣本網路 502 基地台 504a 行動裝置/遠端裝置/遠端網路裝置 504b 行動裝置/遠端裝置/遠端網路裝置 506a 地理區域 506b 地理區域 506c 地理區域 506d 地理區域 600 實例系統 602 基地台 604 行動裝置 606 接收天線 608 傳輸天線 610 接收器 應用/組件 應用/組件 127396.doc -55- 200841667 解調變器 處理器 記憶體 應用 調變器 傳輸器 樣本糸統 模組 模組 模組 模組 模組 樣本系統 模組 模組 模組 模組 模組 127396.doc •56

Claims (1)

  1. 200841667 、申請專利範圍: 一種用於提供一行動操作環 輸之方法,其包含: 之應用之間的資料之傳 起始一與一行動應用之交 應用之-唯—識料及—經產包括—最初行動 數; 生以用於該交握之隨機 又握之一回應,該回應至少包括 第 接收並驗證對 二數; 握之該㈣被驗料,將—諸事件發送至 :^,該資料事件包括該第二數或該第二數之- 凍結該最初應用之執行直 之重#命 芏接收到一來自該行動應用 之貝枓事件回應為止,該 μ p * Λ貝㈣件回應至少包括該第二 數或該弟二數之該版本。 2·如請求項1之方法,其進一 .^ 匕1 2 3在未自該行動應用接 收到该資料事件回應時重新傳輸該資料事件。 127396.doc 1 . =:1之方法,其進-步包含執行-可組態之次數 之-貝料事件重新傳輸直至接㈣該資料事件回應為止。 2 .:請求们之方法’其進一步包含判定該行動應用與該 敢初行動應用之間的一介面中 η #包抽失頻率或似然 建立該可組態之次數之資料事件重新傳輸。 3 ::求項3之方法’其進一步包含當在執行該可組態之 -人數之資料事件重新傳輸之後未接㈣該資料事件回應 時重新起始該交握。 200841667 6. 如請求们之方法’其進—步包含當在—臨限週期内未 自該行動應用接收到斜續$据 牧叹剞釘通又握之該回應或該資料事件回 應時重新起始該交握。 7. 如請求们之方法’其進一步包含進行以 少一者·· 及主 冑用一雜湊函數來變換該隨機數或產生該第二數之該 版本; ㈣隨機數或該第:數截斷以實行大於-應用介面可 另外適應之數之數的傳輸; 使該第二數遞增以產生該第二數之該版本;或 將該第二數加密以產生該第二數之該版本。 8. 如清求項1之方法,甘、在 . 八進一步包含在該第一數未被驗證 為5亥隨機數時起始一交握終止。 求項1之方法’其進一步包含使用一單一行動裝置 如=並通信地福接該行動應用與該最初行動應用: • 法其進一步包含使用一第一I詈氺妙 子並執行該最初行動應用且使用一遠離該第一裝一 位之第:裝置來儲存並執行該行動應用,其中該第^ 信地輕接。 彳線,屑路或一無線網路或兩者通 η·如請求項1之方法,其進一步包含: 間計算-預期回庫時間… 之間所需的時 收到該資料事件曰 在該預期回應時間内未接 貝科事件回應時進行以下各者中之至少_者: 127396.doc -2. 200841667 終止與該行動應用之通信直至起始並驗證了 一後續 交握為止;或 重新傳輸該資料事件。 12 · -種用於提供—行動操作環境中之應用m料之傳 輸之設備,其包含: 一安全會話模組,其經組態以起始一 之交握’其中該交握包括-最初應用之—唯—⑴及^ 機數; % 一驗證模組,其經組態以接收並驗證對該交握之一回 應,該回應至少包括一第二數; ^ u果組’其經組態以在對該交握之該回應被驗證 w將t料事件發送至該接收者應用,該資料事件包括 該第二數或該第二數之一版本;及 一傳輸管理模組,其經組態幻東結該最初應用之執行 直至接收到-來自該行動應用之資料事件回應為止,該 資料事件回應至少包括該第二數或該第二數之該版本。 13.如請求項12之設備,其中該通信模組在未自該接收者應 用接收到該資料事件回應時重新傳輸該資料事件。 Η.如請求項12之設備,其進一步包含—傳輸可靠性模組, 其經組態以狀該最初應用與該接收者應用之間的一封 包損失似㈣或頻率且基於該經判定之封包損失來建立 用於未經確認之資料事件的一次數之重新傳輸。 15.如請求項Μ之設備’其中該安全會話模組當在次 數之重新傳輸之後未接收到該資料事件回應時重新起始 127396.doc 200841667 該交握。 16.如請求項12之設備,其中 , 甲莓女全會話模組在發生以下各 者中之至少一者時重新起始該交握: 在一臨限週期内未自該行 動應用接收到對該交握之該 回應或該資料事件回應; 一交握再新時間期滿;或 自一裝置使用者介面接收到-交握起始命令。 η.如請求項12之設備,其進—步包含—雜湊模組,該雜凑 模組經組態以進行以下各者中之至少一者: 、 將該隨機數雜凑、截斷、加密或遞增或其-組合;或 將該弟二數雜淳L、哉齡》 » 矣㈣、加密或遞增或其-組合以產 生該第二數之該版本。 A如請求項12之設備,其中該安全會話模組經組態以在發 生乂下各者中之至少一者時起始一交握終止: 第一數未被驗證為該隨機數; ❿ 未接收到對一預定次數之交握之一交握回應;或 完成一通信會話。 .如請求们2之設備,其卜單—行動裝置執行並通信地 耦接該行動應用與該最初行動應用。 20·如明求項12之設襟,其中經由_有線網路或—無線網路 而通信地純之-第—遠端處理裝置及—第二遠端處理 裝置分別執行該接收者應用及該最初應用, 處理裝置及該第二遠端處理裝置中之至少一者為弟一:: 裝置。 127396.doc 200841667 21.如請求項12之設備’其進-步包含_計時組件,皇則且 態以至少部分基於接收與起始該交握之間的_時間來吁 算該最初應用與該接收者應用之間的—預期回應時間, 其中該通信模組當在該預期回應時間内未接收到該資料 事件回應時重新傳輸該資料事件。
    22. 如請求項12之設備,其進一步包含一處理緩衝器,其經 組態以使該最初應用能夠在不中斷該最初應用之其他操 作之情況下接收並緩衝一資料事件回應或一交握回應 23. —種提供一行動操作環境中之應用之間的資料之傳輸之 處理器,其包含: 一第一模組,其起始一與一行動應用之交握,該交握 包括一最初行動應用之一唯一識別符及一經產生以用於 該交握之隨機數; 一第二模組,其接收並驗證對該交握之一回應,該回 應至少包括一第二數; 第二模纟且’其在對該交握之該回應被驗證時將一資 料事件發送至該行動應用,該資料事件包括該第二數或 該第二數之一版本;及 一第四模組,其凍結該最初行動應用之執行直至接收 到一至少包括該第二數之遞增量的資料事件回應為止。 24· —種提供一行動操作環境中之應用之間的資料之傳輪之 設備,其包含: 用於起始一與一行動應用之交握之構件,該交握包括 最初行動應用之一唯一識別符及一經產生以用於該交 127396.doc 200841667 握之隨機數; 用於接收並驗證對該交握之一回廡之播I 〜傅仟,該回應至 少包括一第二數; 用於在對該交握之該回應被驗證時將一咨 丁灯貝枓事件發送 至該行動應用之構件,該資料事件包括該第二數或該第 二數之一版本;及 用於珠結該最初行動應用之執行直至接收到一至,卜勺 括該第二數之遞增量的資料事件回應為止之構件。 25· —種電腦程式產品,其包含: 一電腦可讀媒體,其含有用於提供行動環境應用之資 料傳輸安全性之指令,該電腦可讀媒體包含: 一第一指令集,其經組態以使一電腦起始一與一行 動應用之交握,該交握包括一最初行動應用之一唯一識 別符及一經產生以用於該交握之隨機數; 一第二指令集,其經組態以使一電腦接收並驗證對 該交握之一回應,該回應至少包括一第二數; 一第三指令集,其經組態以使一電腦在對該交握之 該回應被驗證時將一資料事件發送至該行動應用,該資 料事件包括該第二數或該第二數之一版本;及 一第四指令集,其經組態以使一電腦凍結該最初行 動應用之執行直至接收到一至少包括該第二數或該第二 數之該版本的資料事件回應為止。 26. —種用於提供—行動操作環境中之應用之間的資料傳輸 之方法,其包含: 127396.doc 200841667 接收一來自一最初應用之交握請求,該交握請求包括 該最初應用之一唯一m或一由該最初應用產生之隨機 數; 思 相對於一可信最初應用識別符清單來參考該唯一比; 在该唯一 ID匹配該可信最初應用識別符清單中之—山 時將一交握回應發送至該最初應用; 接收一資料事件請求;及 在接收或處理額外資料事件請求之前回應該資料事件 請求。 27·如請求項26之方法,其進一步包含將該隨機數或一經產 生以識別發源於一接收者應用之通信之第二隨機數或兩 者包括於該交握回應内。 28·如請求項27之方法,其進一步包含: 分配一用於該資料事件之資料緩衝器; 將該資料事件内所包括之資料複製至該資料緩衝器; 至少部分基於一用於完成一當前程序之估計之時間來 設定一程序計時器;及 避免處理該資料事件内所包括之該資料直至該程序計 時器期滿為止。 2 9 ·如請求項2 7之方法,盆;隹^_丰4人& ,、進一 v包έ接收該資料事件請求 内之該弟二隨機數之一遞增量。 30.如請求項27之方法,盆谁一舟白人 外 八進步包含將該第二隨機數之一 遞增置或該接收者岸用一虛 應用之應用ID或兩者包括於對該資 料事件請求之一回應内。 127396.doc 200841667 31· 2請求項26之方法,其進一步包含將該隨機數之一遞增 里以及回應該資料請求事件之資料包括於對該資料事件 請求之一回應内。 32·如睛求項26之方法,其進一步包含在該資料事件請求不 包括該第二隨機數之一當前遞增量時,忽略該資料事件 明求及後續貪料事件請求直至接收到一具有一可信唯一 ID之後續交握事件為止。 33.如請求項26之方法,其進一步包含: 接收父握重新起始訊息,其包括一新的隨機數及該 唯一 ID或一第二唯一 ; 將該新的隨機數儲存於一暫時緩衝器中; 驗證該唯一 ID或該第二唯一⑴是否匹配該可信最初應 用識別符清單中之一 ID ;及 以下各者中之一者:在該唯一ID或該第二唯一ID被驗 g時用該新的隨機數替換該隨機數或在該唯一出或該第 一唯一 ID未被驗證時自該暫時緩衝器清除該新的隨機 數。 34·如請求項26之方法,其進一步包含: 將一接收者資料事件請求發送至該最初應用;及 延遲發送一第二接收者資料事件請求至少直至接收到 對該接收者資料事件請求之一回應為止。 35·如明求項34之方法,其進一步包含接收一來自該最初應 用之回應,該回應包括該隨機數之遞增量或該最初應用 之该唯一 ID或兩者。 127396.doc 200841667 法,其進一步 3 6 ·如晴求項3 4之方 少一者: 包含進行以下各者 中之至 :“接收者貝料事件請求重新發送—可組態之次數, =接㈣對該接收者:#料事件請求之—回應;或 田2③可組態之次數之請求之後未接收到對該接 收者貧料事件請求之回應時,避免發送該接收者資料事 輸直至接收到-至少具有-經驗證之最初應用㈣ 之後續父握為止。 37· -種提供—行動操作環境中之應用之間的資料傳輸之設 備,其包含: 一 -安全性模組,其經組態以接收一來自一最初應用之 交握請求,該交握請求包括該最初應用之一唯一ID或一 由該最初應用產生之隨機數; 一參考模組,其經組態以相對於一可信最初應用識別 符清單來驗證該唯一 ID ; 幻面模組,其經組態以在該唯一 ID匹配該可信最初 應用識別符清單中之一 ID時將一交握回應發送至該最初 應用且經組態以接收一資料事件請求;及 一管理模組,其經組態以需要該介面模組在接收到額 外資料事件請求之前回應該資料事件請求。 3 8.如請求項37之設備,其中該交握回應包括該隨機數、或 一經產生以識別回應一接收者應用之通信之第二隨機 數,或兩者。 39·如請求項38之設備,其中該管理模組經進一步組態以進 I27396.doc -9- 200841667 行以下各者中之至少一者: 分配一用於該資料事件之資料緩衝器; 將該資料事件内所包括之資料複製至該資料緩衡^. 至少部分基於一用於完成一當前程序之估 态, 設定一程序計時器;及 、間來 防止接收者應用處理該資料事件内所包括= 直至該程序計時器期滿為止。 該資料
    4〇.如請求項38之設備,其中該資料事件請求至少 機數之一遞增量。 Μ & 41.如明求項38之設備,其中該管理模組准許對該資料事件 請求之一回應,該回應包括該第二隨機數之一遞增量或 該接收者應用之一應用ID或兩者。 42』請求項37之設備,其中該管理模組准許該介面模組發 =一包括該隨機數之一遞增量之資料事件請求以及對資 料之一睛求或一用於由該最初應用執行之指令或兩者。 43·如印求項37之設備,#中該管理模組在該資料事件請求 不包括該第二隨機數之一當前遞增量時,忽略該資料事 件味求及後續資料事件請求直至接收到_具有一可信唯 一10之後續交握事件為止。 44·如明求項37之設備,其中該管理模组經進一步組態以進 行以下各者中之至少一者: 接收父握重新起始訊息,其包括_新的隨機數及該 唯ID或者一第二唯一 id ; 將該新的隨機數儲存於一暫時緩衝器中; 127396.doc 200841667 驗也該唯-ID或該第二唯一 1〇是否匹配該可信最初應 用識別符清單中之一 ID ;或 、下各者中之一者:在該唯一1〇或該第二唯一 被驗 證時用該新的隨機數替換該隨機數或在該唯—贼該第 唯1D未被驗證時自該暫時緩衝器清除該新的隨機 數。 45·如請求項37之設備,其中·· 該介面模組將一接收者資料事件請求發送至該最初應 用;且 該管理模組延遲發送一第二接收者資料事件請求至少 直至該介面接收到對該接收者資料事件請求之一回應為 止。 46. 如請求項45之設備’其中由該介面模組接收之對該接收 者貧料事件請求之該回應包括該隨機數之遞增量或該最 初應用之該唯一 ID或兩者。 47. 如請求項46之設備,其中發生以下各者中之至少一者: 該介面模組將該接收者資料事件請求重新發送一可袓 態之次數,除非接收到對該接收者資料事件請求之_、、 應;或 回 當在發送-可組態之次數之請求之後未接 收者資料事件請求之回應時,該管理模組防止該介面 t 送該接收者資料事件請求直至接收到一至少具 7< X 證之最初應用類ID之後續交握為止。 ”—經驗 伙一種提供一行動操作環境中之應用之間的資料傳輪之處 127396.doc -11 - 200841667 理器,其包含·· 第一杈組’其接收-來自-最初應用之交握請求, 該交握請求包括該最初應用之—唯一贼—由該最初應 用產生之隨機數; 第一板組,其相對於一可信最初應用識別符清單來 參考該唯一 ID ; H其在該唯—1!)匹配該可信最初應用識別 U中《ID時將_交握回應發送至該最初應用; 第四杈組,其接收一資料事件請求;及 -第五模組,其在接收到額外資料事件請求之前回應 該資料事件請求。 〜 49· -種提供一行動操作環境中之應用之間的資料傳輸之設 備,其包含: 用於接收一來自一最初應用之交握請求之構件,該交 握凊求包括該最初應用之一唯 . ^ ID或一由該最初應用產 生之隨機數; 用於相對於一可信最初應用識別符清單來參考該唯一 ID之構件; 用於在該唯一ID匹配該可信最初應用識別符清單之一 ID時將一父握回應發送至該最初應用之構件; 用於接收一資料事件請求之構件;及 用於延遲接收額外資料事件請求直至起始對 件請求之一回應為止之構件。 、/、事 5〇· —種電腦程式產品,其包含: 127396.doc 12· 200841667 -電腦可讀媒體,其含有用於提供一行動操作環境中 之應用之間的資料傳輸之指令,該電腦可讀媒體包含· 一第一指令集,其經組態以使一電腦接收一來自一 最初應用之交握請求,該交握請求包括該最初應用之一 唯一 ID或一由該最初應用產生之隨機數; 一第二指令集,其經組態以使一電腦相對於一可信 最初應用識別符清單來參考該唯一 ; 一第三指令集,其經組態以使一電腦在該唯一 113匹 配該可信最初應用識別符清單中之一山時將一交握回應 發送至該最初應用; 一第四指令集,其經組態以使一電腦接收一資料事 件請求;及 一第五指令集,其經組態以使一電腦在接收到額外 貝料事件請求之前回應該資料事件請求。
    127396.doc •13-
TW096146419A 2006-12-05 2007-12-05 Providing secure inter-application communication for a mobile operating environment TW200841667A (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US86870106P 2006-12-05 2006-12-05
US89489707P 2007-03-14 2007-03-14
US11/947,738 US8225093B2 (en) 2006-12-05 2007-11-29 Providing secure inter-application communication for a mobile operating environment

Publications (1)

Publication Number Publication Date
TW200841667A true TW200841667A (en) 2008-10-16

Family

ID=39471793

Family Applications (1)

Application Number Title Priority Date Filing Date
TW096146419A TW200841667A (en) 2006-12-05 2007-12-05 Providing secure inter-application communication for a mobile operating environment

Country Status (7)

Country Link
US (1) US8225093B2 (zh)
EP (1) EP2115935A2 (zh)
JP (1) JP5043957B2 (zh)
KR (1) KR101122853B1 (zh)
CN (1) CN101548503B (zh)
TW (1) TW200841667A (zh)
WO (1) WO2008070686A2 (zh)

Families Citing this family (145)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1924977A1 (en) * 2005-08-15 2008-05-28 John Roujinsky Method and system for obtaining feedback from at least one recipient via a telecommunication network
GB0603781D0 (en) * 2006-02-24 2006-04-05 Nokia Corp Application verification
KR101366803B1 (ko) * 2007-04-16 2014-02-24 삼성전자주식회사 Http를 이용한 통신 방법 및 장치
US8326814B2 (en) 2007-12-05 2012-12-04 Box, Inc. Web-based file management system and service
US7899058B2 (en) * 2008-03-12 2011-03-01 Telefonaktiebolaget L M Ericsson (Publ) Using a hash value as a pointer to an application class in a communications device
US8660268B2 (en) * 2008-04-29 2014-02-25 Red Hat, Inc. Keyed pseudo-random number generator
US8285746B2 (en) * 2008-06-16 2012-10-09 Canon U.S.A., Inc. Securing data from a shared device
US9258113B2 (en) 2008-08-29 2016-02-09 Red Hat, Inc. Username based key exchange
US8614965B2 (en) * 2008-10-24 2013-12-24 Nec Corporation Packet loss frequency measuring system, packet loss frequency measuring method, and program
KR101012872B1 (ko) 2009-09-16 2011-02-08 주식회사 팬택 플랫폼 보안 장치 및 방법
US9225526B2 (en) * 2009-11-30 2015-12-29 Red Hat, Inc. Multifactor username based authentication
US8271031B2 (en) 2009-12-30 2012-09-18 Sap Ag Communication between integrated device and mobile application client on mobile personal communication device
US9448790B2 (en) 2010-04-26 2016-09-20 Pivotal Software, Inc. Rapid updating of cloud applications
US9772831B2 (en) 2010-04-26 2017-09-26 Pivotal Software, Inc. Droplet execution engine for dynamic server application deployment
US8813065B2 (en) 2010-04-26 2014-08-19 Vmware, Inc. Microcloud platform delivery system
US8627426B2 (en) * 2010-04-26 2014-01-07 Vmware, Inc. Cloud platform architecture
US8572706B2 (en) 2010-04-26 2013-10-29 Vmware, Inc. Policy engine for cloud platform
US9160408B2 (en) * 2010-10-11 2015-10-13 Sunpower Corporation System and method for establishing communication with an array of inverters
US8745716B2 (en) * 2010-11-17 2014-06-03 Sequent Software Inc. System and method for providing secure data communication functionality to a variety of applications on a portable communication device
KR101141164B1 (ko) * 2010-11-17 2012-05-02 삼성에스디에스 주식회사 어플리케이션간 메시지 교환 시스템 및 방법
WO2012099617A1 (en) 2011-01-20 2012-07-26 Box.Net, Inc. Real time notification of activities that occur in a web-based collaboration environment
KR101250661B1 (ko) * 2011-02-08 2013-04-03 주식회사 팬택 모바일 플랫폼 보안 장치 및 방법
US8527196B2 (en) * 2011-03-23 2013-09-03 Denso International America, Inc. System and method for determining routes to desired locations
US9015710B2 (en) 2011-04-12 2015-04-21 Pivotal Software, Inc. Deployment system for multi-node applications
US9015601B2 (en) 2011-06-21 2015-04-21 Box, Inc. Batch uploading of content to a web-based collaboration environment
US9063912B2 (en) 2011-06-22 2015-06-23 Box, Inc. Multimedia content preview rendering in a cloud content management system
US9978040B2 (en) 2011-07-08 2018-05-22 Box, Inc. Collaboration sessions in a workspace on a cloud-based content management system
WO2013009337A2 (en) 2011-07-08 2013-01-17 Arnold Goldberg Desktop application for access and interaction with workspaces in a cloud-based content management system and synchronization mechanisms thereof
US9170798B2 (en) 2012-03-02 2015-10-27 Vmware, Inc. System and method for customizing a deployment plan for a multi-tier application in a cloud infrastructure
US9197718B2 (en) 2011-09-23 2015-11-24 Box, Inc. Central management and control of user-contributed content in a web-based collaboration environment and management console thereof
WO2013062599A1 (en) 2011-10-26 2013-05-02 Box, Inc. Enhanced multimedia content preview rendering in a cloud content management system
US9098474B2 (en) 2011-10-26 2015-08-04 Box, Inc. Preview pre-generation based on heuristics and algorithmic prediction/assessment of predicted user behavior for enhancement of user experience
US8990307B2 (en) 2011-11-16 2015-03-24 Box, Inc. Resource effective incremental updating of a remote client with events which occurred via a cloud-enabled platform
US9773051B2 (en) 2011-11-29 2017-09-26 Box, Inc. Mobile platform file and folder selection functionalities for offline access and synchronization
US9019123B2 (en) 2011-12-22 2015-04-28 Box, Inc. Health check services for web-based collaboration environments
US9904435B2 (en) 2012-01-06 2018-02-27 Box, Inc. System and method for actionable event generation for task delegation and management via a discussion forum in a web-based collaboration environment
US9026784B2 (en) * 2012-01-26 2015-05-05 Mcafee, Inc. System and method for innovative management of transport layer security session tickets in a network environment
US11232481B2 (en) 2012-01-30 2022-01-25 Box, Inc. Extended applications of multimedia content previews in the cloud-based content management system
US9965745B2 (en) 2012-02-24 2018-05-08 Box, Inc. System and method for promoting enterprise adoption of a web-based collaboration environment
US9052961B2 (en) 2012-03-02 2015-06-09 Vmware, Inc. System to generate a deployment plan for a cloud infrastructure according to logical, multi-tier application blueprint
US9047133B2 (en) 2012-03-02 2015-06-02 Vmware, Inc. Single, logical, multi-tier application blueprint used for deployment and management of multiple physical applications in a cloud environment
US10031783B2 (en) 2012-03-02 2018-07-24 Vmware, Inc. Execution of a distributed deployment plan for a multi-tier application in a cloud infrastructure
US9195636B2 (en) 2012-03-07 2015-11-24 Box, Inc. Universal file type preview for mobile devices
US9054919B2 (en) 2012-04-05 2015-06-09 Box, Inc. Device pinning capability for enterprise cloud service and storage accounts
US9575981B2 (en) 2012-04-11 2017-02-21 Box, Inc. Cloud service enabled to handle a set of files depicted to a user as a single file in a native operating system
US9331995B2 (en) * 2012-04-23 2016-05-03 Sap Se Secure configuration of mobile application
GB2514947B (en) 2012-05-04 2015-06-17 Box Inc Repository redundancy implementation of a system which incrementally updates clients with events that occured via a cloud-enabled platform
US9690635B2 (en) 2012-05-14 2017-06-27 Qualcomm Incorporated Communicating behavior information in a mobile computing device
US9324034B2 (en) 2012-05-14 2016-04-26 Qualcomm Incorporated On-device real-time behavior analyzer
US9609456B2 (en) 2012-05-14 2017-03-28 Qualcomm Incorporated Methods, devices, and systems for communicating behavioral analysis information
US9298494B2 (en) 2012-05-14 2016-03-29 Qualcomm Incorporated Collaborative learning for efficient behavioral analysis in networked mobile device
US9202047B2 (en) 2012-05-14 2015-12-01 Qualcomm Incorporated System, apparatus, and method for adaptive observation of mobile device behavior
US9691051B2 (en) 2012-05-21 2017-06-27 Box, Inc. Security enhancement through application access control
US8914900B2 (en) 2012-05-23 2014-12-16 Box, Inc. Methods, architectures and security mechanisms for a third-party application to access content in a cloud-based platform
US9027108B2 (en) 2012-05-23 2015-05-05 Box, Inc. Systems and methods for secure file portability between mobile applications on a mobile device
US8515865B1 (en) * 2012-05-26 2013-08-20 At&T Intellectual Property I, L.P. Methods, systems, and products for charging batteries
US9348652B2 (en) 2012-07-02 2016-05-24 Vmware, Inc. Multi-tenant-cloud-aggregation and application-support system
US9021099B2 (en) 2012-07-03 2015-04-28 Box, Inc. Load balancing secure FTP connections among multiple FTP servers
US9712510B2 (en) 2012-07-06 2017-07-18 Box, Inc. Systems and methods for securely submitting comments among users via external messaging applications in a cloud-based platform
US9792320B2 (en) 2012-07-06 2017-10-17 Box, Inc. System and method for performing shard migration to support functions of a cloud-based service
GB2505072A (en) 2012-07-06 2014-02-19 Box Inc Identifying users and collaborators as search results in a cloud-based system
US9473532B2 (en) 2012-07-19 2016-10-18 Box, Inc. Data loss prevention (DLP) methods by a cloud service including third party integration architectures
JP5631940B2 (ja) * 2012-07-23 2014-11-26 株式会社東芝 情報処理装置、方法、プログラム
US9794256B2 (en) 2012-07-30 2017-10-17 Box, Inc. System and method for advanced control tools for administrators in a cloud-based service
US8868574B2 (en) 2012-07-30 2014-10-21 Box, Inc. System and method for advanced search and filtering mechanisms for enterprise administrators in a cloud-based environment
CN102843681A (zh) * 2012-08-15 2012-12-26 腾讯科技(深圳)有限公司 信息交互方法和装置
EP2885877B1 (en) * 2012-08-15 2018-02-28 Ikanos Communications, Inc. Robust handshake procedure in cross-talk environments
US9319897B2 (en) 2012-08-15 2016-04-19 Qualcomm Incorporated Secure behavior analysis over trusted execution environment
US9747440B2 (en) 2012-08-15 2017-08-29 Qualcomm Incorporated On-line behavioral analysis engine in mobile device with multiple analyzer model providers
US9495537B2 (en) 2012-08-15 2016-11-15 Qualcomm Incorporated Adaptive observation of behavioral features on a mobile device
US9330257B2 (en) 2012-08-15 2016-05-03 Qualcomm Incorporated Adaptive observation of behavioral features on a mobile device
US9369520B2 (en) 2012-08-19 2016-06-14 Box, Inc. Enhancement of upload and/or download performance based on client and/or server feedback information
US8745267B2 (en) 2012-08-19 2014-06-03 Box, Inc. Enhancement of upload and/or download performance based on client and/or server feedback information
US9558202B2 (en) 2012-08-27 2017-01-31 Box, Inc. Server side techniques for reducing database workload in implementing selective subfolder synchronization in a cloud-based environment
US9135462B2 (en) 2012-08-29 2015-09-15 Box, Inc. Upload and download streaming encryption to/from a cloud-based platform
US9117087B2 (en) * 2012-09-06 2015-08-25 Box, Inc. System and method for creating a secure channel for inter-application communication based on intents
US9195519B2 (en) 2012-09-06 2015-11-24 Box, Inc. Disabling the self-referential appearance of a mobile application in an intent via a background registration
US9311071B2 (en) 2012-09-06 2016-04-12 Box, Inc. Force upgrade of a mobile application via a server side configuration file
US9292833B2 (en) 2012-09-14 2016-03-22 Box, Inc. Batching notifications of activities that occur in a web-based collaboration environment
US10200256B2 (en) 2012-09-17 2019-02-05 Box, Inc. System and method of a manipulative handle in an interactive mobile user interface
US9553758B2 (en) 2012-09-18 2017-01-24 Box, Inc. Sandboxing individual applications to specific user folders in a cloud-based service
US10915492B2 (en) 2012-09-19 2021-02-09 Box, Inc. Cloud-based platform enabled with media content indexed for text-based searches and/or metadata extraction
US8938796B2 (en) 2012-09-20 2015-01-20 Paul Case, SR. Case secure computer architecture
US9521130B2 (en) * 2012-09-25 2016-12-13 Virnetx, Inc. User authenticated encrypted communication link
US9959420B2 (en) 2012-10-02 2018-05-01 Box, Inc. System and method for enhanced security and management mechanisms for enterprise administrators in a cloud-based environment
US9495364B2 (en) 2012-10-04 2016-11-15 Box, Inc. Enhanced quick search features, low-barrier commenting/interactive features in a collaboration platform
US9705967B2 (en) 2012-10-04 2017-07-11 Box, Inc. Corporate user discovery and identification of recommended collaborators in a cloud platform
US9665349B2 (en) 2012-10-05 2017-05-30 Box, Inc. System and method for generating embeddable widgets which enable access to a cloud-based collaboration platform
GB2507191B (en) 2012-10-17 2015-03-04 Box Inc Remote key management in a cloud-based environment
US9756022B2 (en) 2014-08-29 2017-09-05 Box, Inc. Enhanced remote key management for an enterprise in a cloud-based environment
US10235383B2 (en) 2012-12-19 2019-03-19 Box, Inc. Method and apparatus for synchronization of items with read-only permissions in a cloud-based environment
US9684870B2 (en) 2013-01-02 2017-06-20 Qualcomm Incorporated Methods and systems of using boosted decision stumps and joint feature selection and culling algorithms for the efficient classification of mobile device behaviors
US10089582B2 (en) 2013-01-02 2018-10-02 Qualcomm Incorporated Using normalized confidence values for classifying mobile device behaviors
US9686023B2 (en) 2013-01-02 2017-06-20 Qualcomm Incorporated Methods and systems of dynamically generating and using device-specific and device-state-specific classifier models for the efficient classification of mobile device behaviors
US9396245B2 (en) 2013-01-02 2016-07-19 Box, Inc. Race condition handling in a system which incrementally updates clients with events that occurred in a cloud-based collaboration platform
US9953036B2 (en) 2013-01-09 2018-04-24 Box, Inc. File system monitoring in a system which incrementally updates clients with events that occurred in a cloud-based collaboration platform
EP2755151A3 (en) 2013-01-11 2014-09-24 Box, Inc. Functionalities, features and user interface of a synchronization client to a cloud-based environment
US10599671B2 (en) 2013-01-17 2020-03-24 Box, Inc. Conflict resolution, retry condition management, and handling of problem files for the synchronization client to a cloud-based platform
US9742559B2 (en) 2013-01-22 2017-08-22 Qualcomm Incorporated Inter-module authentication for securing application execution integrity within a computing device
US9491187B2 (en) 2013-02-15 2016-11-08 Qualcomm Incorporated APIs for obtaining device-specific behavior classifier models from the cloud
KR102038964B1 (ko) 2013-03-18 2019-11-26 삼성전자주식회사 어플리케이션 간의 상호 인증 방법 및 장치
US9270674B2 (en) 2013-03-29 2016-02-23 Citrix Systems, Inc. Validating the identity of a mobile application for mobile application management
US9461905B2 (en) * 2013-05-02 2016-10-04 Raytheon Company Method for indirect link characterization and quality measurement of a digital network
US10846074B2 (en) 2013-05-10 2020-11-24 Box, Inc. Identification and handling of items to be ignored for synchronization with a cloud-based platform by a synchronization client
US10725968B2 (en) 2013-05-10 2020-07-28 Box, Inc. Top down delete or unsynchronization on delete of and depiction of item synchronization with a synchronization client to a cloud-based platform
US9633037B2 (en) 2013-06-13 2017-04-25 Box, Inc Systems and methods for synchronization event building and/or collapsing by a synchronization component of a cloud-based platform
US9805050B2 (en) 2013-06-21 2017-10-31 Box, Inc. Maintaining and updating file system shadows on a local device by a synchronization client of a cloud-based platform
US10229134B2 (en) 2013-06-25 2019-03-12 Box, Inc. Systems and methods for managing upgrades, migration of user data and improving performance of a cloud-based platform
US10110656B2 (en) 2013-06-25 2018-10-23 Box, Inc. Systems and methods for providing shell communication in a cloud-based platform
BR112016000036B1 (pt) * 2013-07-10 2023-05-09 Sony Corporation Dispositivo de recep«ão, e, mtodo para recep«ão de um dispositivo de recep«ão e para transmissão
US9535924B2 (en) 2013-07-30 2017-01-03 Box, Inc. Scalability improvement in a system which incrementally updates clients with events that occurred in a cloud-based collaboration platform
US10509527B2 (en) 2013-09-13 2019-12-17 Box, Inc. Systems and methods for configuring event-based automation in cloud-based collaboration platforms
US9535909B2 (en) 2013-09-13 2017-01-03 Box, Inc. Configurable event-based automation architecture for cloud-based collaboration platforms
US9213684B2 (en) 2013-09-13 2015-12-15 Box, Inc. System and method for rendering document in web browser or mobile device regardless of third-party plug-in software
US9704137B2 (en) 2013-09-13 2017-07-11 Box, Inc. Simultaneous editing/accessing of content by collaborator invitation through a web-based or mobile application to a cloud-based collaboration platform
US8892679B1 (en) 2013-09-13 2014-11-18 Box, Inc. Mobile device, methods and user interfaces thereof in a mobile device platform featuring multifunctional access and engagement in a collaborative environment provided by a cloud-based platform
GB2518298A (en) 2013-09-13 2015-03-18 Box Inc High-availability architecture for a cloud-based concurrent-access collaboration platform
US10866931B2 (en) 2013-10-22 2020-12-15 Box, Inc. Desktop application for accessing a cloud collaboration platform
JP6456923B2 (ja) * 2014-03-31 2019-01-23 フェリカネットワークス株式会社 情報処理装置、情報処理方法、及びプログラム
US10652240B2 (en) * 2014-05-29 2020-05-12 Entersekt International Limited Method and system for determining a compromise risk associated with a unique device identifier
US10530854B2 (en) 2014-05-30 2020-01-07 Box, Inc. Synchronization of permissioned content in cloud-based environments
US9602514B2 (en) 2014-06-16 2017-03-21 Box, Inc. Enterprise mobility management and verification of a managed application by a content provider
US10250698B2 (en) * 2014-08-25 2019-04-02 Futurewei Technologies, Inc. System and method for securing pre-association service discovery
US10038731B2 (en) 2014-08-29 2018-07-31 Box, Inc. Managing flow-based interactions with cloud-based shared content
US10574442B2 (en) 2014-08-29 2020-02-25 Box, Inc. Enhanced remote key management for an enterprise in a cloud-based environment
US9894119B2 (en) 2014-08-29 2018-02-13 Box, Inc. Configurable metadata-based automation and content classification architecture for cloud-based collaboration platforms
EP3197384A4 (en) * 2014-09-23 2018-05-16 Surgical Safety Technologies Inc. Operating room black-box device, system, method and computer readable medium
US9998360B2 (en) * 2014-11-17 2018-06-12 Honeywell International Inc. Minimizining message propagation times when brief datalink interruptions occur
WO2016116890A1 (en) * 2015-01-22 2016-07-28 Visa International Service Association Method and system for establishing a secure communication tunnel
CN107615395B (zh) * 2015-03-26 2021-02-05 外科安全技术公司 用于事件和差错预测的手术室黑盒设备、系统、方法和计算机可读介质
CN105321321B (zh) * 2015-11-03 2019-05-17 惠州市鸿业电力信息科技有限公司 保证北斗卫星天线与设备之间数据传输准确的方法和系统
US10980941B2 (en) * 2016-03-31 2021-04-20 Dexcom, Inc. Methods for providing an alert or an alarm to a user of a mobile communications device
US10601595B2 (en) 2016-05-04 2020-03-24 Avaya Inc. Secure application attachment
CN106339203B (zh) * 2016-08-10 2018-10-19 钱庆照 一种随机数据生成方法
US10262146B2 (en) * 2016-12-15 2019-04-16 Vmware, Inc. Application-to-application messaging over an insecure application programming interface
SG11201907306QA (en) * 2017-02-17 2019-09-27 Connect2Me Pte Ltd Device and method for controlling target unit, and device and method for execution of instruction from instructing unit
CN106982210B (zh) * 2017-03-28 2021-01-15 联想(北京)有限公司 一种数据下载方法和电子设备
CN106953728B (zh) * 2017-03-28 2020-08-25 联想(北京)有限公司 一种数据传输方法和电子设备
US11063762B1 (en) 2018-02-22 2021-07-13 Allscripts Software, Llc Computing system for inter-application communication
US10884815B2 (en) 2018-10-29 2021-01-05 Pivotal Software, Inc. Independent services platform
CA3123212A1 (en) 2018-12-19 2020-06-25 Dexcom, Inc. Intermittent monitoring
US20210306858A1 (en) * 2020-03-25 2021-09-30 Jpmorgan Chase Bank, N.A. Method and system for detecting instrumentation tools
US11728998B2 (en) * 2020-10-22 2023-08-15 EMC IP Holding Company LLC Authenticating communications between physical ports using knowledge of shared secrets
US11595490B2 (en) * 2021-04-14 2023-02-28 Ubkang (Qingdao) Technology Co., Ltd. Methods and systems for implementing a function for an application using a middleware
US20240031436A1 (en) * 2022-07-19 2024-01-25 Centurylink Intellectual Property Llc Dynamic storage and forwarding of data

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6463154B1 (en) * 1998-08-28 2002-10-08 Lucent Technologies Inc. Method for determining temporary mobile identifiers and managing use thereof
US6801941B1 (en) * 1999-08-12 2004-10-05 Sarnoff Corporation Dynamic wireless internet address assignment scheme with authorization
GB2357227B (en) 1999-12-08 2003-12-17 Hewlett Packard Co Security protocol
US7216225B2 (en) 2000-05-24 2007-05-08 Voltaire Ltd. Filtered application-to-application communication
AU2001287427A1 (en) * 2000-08-25 2002-03-04 Research In Motion Limited System and method for implementing an enhanced transport layer security protocol
JP2002132722A (ja) 2000-10-30 2002-05-10 Nippon Telegr & Teleph Corp <Ntt> 代行認証方法、その各装置、その装置の処理方法、及びプログラム記録媒体
JP2003208409A (ja) 2002-01-15 2003-07-25 Mitsubishi Electric Corp 認証システム及び認証方法
CA2387328C (en) * 2002-05-24 2012-01-03 Diversinet Corp. Mobile terminal system
JP2005244668A (ja) 2004-02-26 2005-09-08 Sanyo Electric Co Ltd 通信装置および通信方法
US20060136901A1 (en) 2004-12-22 2006-06-22 Sony Ericsson Mobile Communications Ab Mobile financial transaction management system and method
JPWO2008096396A1 (ja) * 2007-02-02 2010-05-20 パナソニック株式会社 無線通信装置および暗号鍵更新方法
TWI410105B (zh) * 2008-12-01 2013-09-21 Inst Information Industry 無線網路架構之行動台、存取台、閘道裝置、基地台及其握手方法
GB2482829B (en) * 2009-04-30 2013-05-01 Peertribe Sa A method and system for wireless connecting a mobile device to a service provider through a hosting wireless access node

Also Published As

Publication number Publication date
JP2010511965A (ja) 2010-04-15
CN101548503A (zh) 2009-09-30
EP2115935A2 (en) 2009-11-11
WO2008070686A2 (en) 2008-06-12
US20080215883A1 (en) 2008-09-04
KR20090094362A (ko) 2009-09-04
US8225093B2 (en) 2012-07-17
CN101548503B (zh) 2013-06-19
WO2008070686A3 (en) 2008-08-07
KR101122853B1 (ko) 2012-04-20
JP5043957B2 (ja) 2012-10-10

Similar Documents

Publication Publication Date Title
TW200841667A (en) Providing secure inter-application communication for a mobile operating environment
KR101786132B1 (ko) 저-지연 피어 세션 구축
US11451614B2 (en) Cloud authenticated offline file sharing
US20190220603A1 (en) Fast and secure protocol to bootstrap a blockchain by restoring the blockchain state using trusted execution environment
US8392968B2 (en) Stateless cryptographic protocol-based hardware acceleration
JP4875097B2 (ja) 無線ネットワーク内の安全なアーキテクチャのための機器および方法
US20230421394A1 (en) Secure authentication of remote equipment
TW201208329A (en) Methods and apparatuses facilitating synchronization of security configurations
US20200162245A1 (en) Method and system for performing ssl handshake
CN110719248A (zh) 用户数据报协议报文的转发方法及装置
WO2011022915A1 (zh) 一种基于预共享密钥的网络安全访问控制方法及其系统
Schepers et al. Practical side-channel attacks against WPA-TKIP
Zhang et al. FKR: An efficient authentication scheme for IEEE 802.11 ah networks
WO2018028359A1 (zh) 业务处理方法、装置、存储介质及电子装置
Vanhoef et al. Testing and Improving the Correctness of Wi-Fi Frame Injection
WO2013090308A2 (en) Method and apparatus for authenticating a message
Xiang et al. Breaking the Trust Circle in HarmonyOS by Chaining Multiple Vulnerabilities
CN116545995A (zh) 基于HTTPS的Portal认证方法、系统、设备及存储介质
Zhang Design of efficient and secure authentication schemes in IEEE 802.11 ah networks
ES2578938T3 (es) Método, aparato y producto de programa informático para proporcionar sincronización inteligente
Zhuo et al. A new authentication and key exchange protocol in WLAN
Tihon et al. " Secure MultiPath TCP: design and implementation