專利名稱:用于使用動態(tài)證書來識別復制裝置的系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明大體上涉及保持網(wǎng)絡連接裝置之間的安全通信��。更明確地說�,本發(fā)明涉及通 過使用自動檢測技術(shù)識別復制裝置的存在來保持這些裝置之間的安全通信��。
背景技術(shù):
技術(shù)進步已產(chǎn)生了更小且功能更強大的個人計算裝置�。舉例來說,當前存在多種便 攜式個人計算裝置���,包含無線計算裝置�����,例如便攜式無線電話���、個人數(shù)字助理(PDA) 和尋呼裝置���,其每一者均較小、重量較輕且可易于由用戶攜帶�����。更明確地說��,例如���,便 攜式無線電話進一步包含經(jīng)由無線網(wǎng)絡傳送語音和數(shù)據(jù)包的蜂窩式電話��。此外��,許多此 類蜂窩式電話經(jīng)制造成計算能力得以有相對較大的增加���,且因此,正變得相當于小型個 人計算機和手持型PDA���。通常���,這些較小且功能較強大的個人計算裝置受到嚴格的資源 約束。舉例來說�,屏幕尺寸�、可用的存儲器和文件系統(tǒng)空間的量���、輸入和輸出容量的量�����, 以及處理能力每一者可能均受到裝置的較小尺寸的限制���。由于這些嚴格的資源約束,例 如�,通常需要維持有限大小和數(shù)量的軟件應用程序和駐存在這些個人計算裝置(客戶端 通信裝置)上的其它信息。
這些個人計算裝置中的一些利用應用程序編程接口 ("API"),其有時被稱為運行時 間環(huán)境和軟件平臺�����,且安裝在其本地計算機平臺上并用于(例如)例如通過提供對裝置 特定資源的一般調(diào)用來簡化這些裝置的操作�。此外���,還已知一些此類API為軟件開發(fā)者 提供創(chuàng)建可完全在這些裝置上執(zhí)行的軟件應用程序的能力���。另外,已知此類API通常在 操作上位于計算裝置系統(tǒng)軟件與軟件應用程序之間���,使得計算裝置計算功能可用于軟件 應用程序��,而不需要軟件開發(fā)者擁有特定的計算裝置系統(tǒng)源代碼����。此外,已知一些類似 的API提供用于使用保密證書來實現(xiàn)這些個人裝置(即�����,客戶端)與遠程裝置(即����,服 務器)之間的安全通信的機制。
此類API的實例(下文對其中的一些進行更詳細的論述)包含由California, San Diego 的Qualcomm, Inc.開發(fā)的Binary Runtime Environment for Wireless (BREW )的另卩些當 前公開可用的版本��。BREW⑧有時被描述為存在于計算裝置的(通常是無線蜂窩式電話) 操作系統(tǒng)上的薄飾面(thin veneer)�����,其特征尤其在于提供對特別存在于個人計算裝置上 的硬件功能件的接口�。 BREW③的特征進一步至少在于以下一個優(yōu)點其能夠相對于對此類裝置資源的需求且相對于消費者為含有BREW API的裝置而支付的價格以相對較低 的成本提供在此類個人計算裝置上。已知與BREW⑧關(guān)聯(lián)的其它特征包含其端對端軟件 分發(fā)平臺�,所述端對端軟件分發(fā)平臺為無線服務運營商、軟件開發(fā)者和計算裝置消費者 提供多種益處��。至少一個此類當前可用的端對端軟件分發(fā)平臺包含分發(fā)在服務器-客戶端 結(jié)構(gòu)上的邏輯,在所述結(jié)構(gòu)中服務器執(zhí)行(例如)記帳�、安全和應用程序分發(fā)功能,且 客戶端執(zhí)行(例如)應用程序執(zhí)行����、安全和用戶接口功能。
至于在網(wǎng)絡連接裝置之間(例如�����,網(wǎng)絡連接的客戶端與服務器之間)提供安全通信 方面��,許多系統(tǒng)通常部分地通過將保密信息(例如�����, 一個或一個以上證書)包含在從發(fā) 起裝置(例如��,客戶端通信裝置)發(fā)送到目的地裝置(例如�����,服務器)的傳輸中來實現(xiàn) 這種安全通信��。此處��,目的地裝置通過將傳輸中發(fā)送的保密信息的至少一部分與可由目 的地裝置訪問的此保密信息的相應版本進行比較來鑒定所述傳輸����。此外,許多此類系統(tǒng) 使用通常不保密的公共加密算法來對保密內(nèi)容進行加密��。盡管在許多系統(tǒng)中�����,所發(fā)送的 保密信息僅包含單個保密項��,但其它系統(tǒng)可能提供多個保密內(nèi)容作為保密信息�����。
遺憾的是����,這些使用保密信息來提供安全通信的系統(tǒng)通常不能辨別提供相同保密內(nèi) 容的任何兩個裝置。因此��,這些系統(tǒng)通常易受流氓客戶端裝置的攻擊���,所述流氓客戶端 裝置能夠通過提供用于識別有效客戶端裝置的有效保密信息而錯誤地使其自身被識別為 有效客戶端裝置來欺騙其它有效客戶端裝置����。因此,這些流氓客戶端裝置只需要通過窺 探來自有效客戶端裝置的通信或通過對客戶端裝置或服務器裝置進行攻擊��,或通過將允 許流氓客戶端裝置俘獲有效客戶端裝置的保密信息的其它方法�,便可俘獲一次保密信息。
用于提供安全通信的系統(tǒng)的一個實例是那些利用一次性密碼方案的系統(tǒng)��,在所述方 案中�,例如,客戶端裝置經(jīng)編程或另外被分配有種子值��,接著在運行中從所述種子值產(chǎn) 生一次性密碼��。此一次性密碼接著還被提供到相應的服務器���,使得服務器可通過將傳輸 內(nèi)的一次性密碼與和特定客戶端裝置關(guān)聯(lián)的一次性密碼進行匹配來識別來自所述客戶端 裝置的傳輸�����。這些系統(tǒng)中的至少一些系統(tǒng)在客戶端和服務器兩者處利用共同算法來創(chuàng)建 并驗證傳輸信號中發(fā)送的一次性密碼����。盡管利用一次性密碼方案的客戶端裝置通常提供 抗窺探攻擊的有效保護�����,但當客戶端裝置本身遭到泄密時��,這些客戶端裝置通常提供無 效的窺探保護��,且在服務器本身遭到泄密的情況下通常沒有能力恢復����。
用于提供安全通信的系統(tǒng)的另一實例是那些使用挑戰(zhàn)響應協(xié)議并共同使用短期(短 暫)密鑰來實現(xiàn)安全通信的系統(tǒng)。這些系統(tǒng)通常需要發(fā)送多個往返信號(round trip signal) (即�,需要多個發(fā)送和接收信號對)來實現(xiàn)所需的安全通信功能。已知如此使用多次往返需要服務器維持使第一次往返與后續(xù)往返相關(guān)聯(lián)的狀態(tài)信息���。如此使用多個往返信號 會造成此類多個信號的產(chǎn)生��、傳輸���、接收和處理所引起的固有成本方面的缺點。另一缺 點是與在服務器處維持狀態(tài)信息以處理所述多次往返方案相關(guān)聯(lián)的所有額外開銷和成 本�����。其它此類挑戰(zhàn)響應協(xié)議能夠在單次往返中實現(xiàn)所需的安全通信功能,但必須通過在 服務器裝置而并非客戶端裝置處啟始這種交易來實現(xiàn)�。
因此,為網(wǎng)絡連接裝置提供這樣一種安全通信系統(tǒng)是有利的�,即所述安全通信系統(tǒng) 包含檢測對經(jīng)授權(quán)裝置的復制或欺騙(例如,那些與一次性密碼方案或挑戰(zhàn)響應協(xié)議的 使用相關(guān)聯(lián)的對經(jīng)授權(quán)裝置的復制或欺騙)的能力���,同時還避免此類現(xiàn)有系統(tǒng)的其它較 不利方面?��,F(xiàn)有系統(tǒng)的此類較不有利方面通常包含(例如)此類系統(tǒng)中通常使用的代價 相對較高的處理要求,以及更明確地說��,例如那些與一次性密碼方案的使用相關(guān)聯(lián)的問 題(包含一旦密碼遭到泄密不允許進行恢復的能力)�,或那些與挑戰(zhàn)響應協(xié)議方案相關(guān)聯(lián) 的問題(例如,多個往返信號的使用�、服務器狀態(tài)信息的使用,和服務器啟始信號的使 用)��。
發(fā)明內(nèi)容
本文揭示的實施例解決了上述需求����,包含(例如)使用方法、軟件和設(shè)備來提供客 戶端通信裝置與服務器之間的安全通信的一個或一個以上實施例���。至少一個實施例包含 產(chǎn)生隨機偏移��。此實施例還包含通過將隨機偏移施加到服務器通信裝置動態(tài)證書來改變 所述服務器通信裝置動態(tài)證書�。此實施例還包含存儲服務器通信裝置動態(tài)證書。所述實 施例還包含經(jīng)由網(wǎng)絡發(fā)送包含隨機偏移的信號���。所述實施例還包含經(jīng)由網(wǎng)絡接收包含動 態(tài)證書的信號。并且�����,所述實施例包含確定服務器通信裝置動態(tài)證書與接收到的動態(tài)證 書之間的差異�。另外,此實施例還包含基于所述差異來檢測復制的通信裝置的存在��。
至少一個實施例包含經(jīng)由網(wǎng)絡接收包含隨機偏移的信號����。此實施例還包含通過將隨 機偏移施加到客戶端通信裝置動態(tài)證書來改變所述客戶端通信裝置動態(tài)證書。另外��,此 實施例還包含經(jīng)由網(wǎng)絡發(fā)送經(jīng)改變的客戶端通信裝置動態(tài)證書�����。
至少一個實施例包含產(chǎn)生隨機偏移��。此實施例還包含通過將隨機偏移施加到服務器
通信裝置動態(tài)證書糴改變所述服務器通信裝置動態(tài)證書。此實施例還包含通過將隨機偏 移施加到服務器通信裝置動態(tài)證書來改變所述服務器通信裝置動態(tài)證書����。此實施例還包 含經(jīng)由網(wǎng)絡發(fā)送包含隨機偏移的信號。所述實施例還包含經(jīng)由網(wǎng)絡接收包含隨機偏移的 信號�����。所述實施例還包含通過將隨機偏移施加到客戶端通信裝置動態(tài)證書來改變所述客 戶端通信裝置動態(tài)證書��。此外�,所述實施例還包含經(jīng)由網(wǎng)絡發(fā)送經(jīng)改變的客戶端通信裝置動態(tài)證書。并且��,此實施例包含經(jīng)由網(wǎng)絡接收包含經(jīng)改變的客戶端通信裝置動態(tài)證書 的信號���。所述實施例還包含確定服務器通信裝置動態(tài)證書與經(jīng)改變的客戶端通信裝置動 態(tài)證書之間的差異��。另外��,所述實施例還包含基于所述差異來檢測復制的通信裝置的存在���。
至少一個實施例包含經(jīng)配置以產(chǎn)生隨機偏移的邏輯。此實施例還包含經(jīng)配置以通過 將隨機偏移施加到服務器通信裝置動態(tài)證書來改變所述服務器通信裝置動態(tài)證書的邏 輯����。所述實施例還包含經(jīng)配置以存儲服務器通信裝置動態(tài)證書的邏輯�����。所述實施例還包 含經(jīng)配置以經(jīng)由網(wǎng)絡發(fā)送包含隨機偏移的信號的邏輯�。所述實施例還包含經(jīng)配置以經(jīng)由 網(wǎng)絡接收包含動態(tài)證書的信號的邏輯���。此外,所述實施例包含經(jīng)配置以確定服務器通信 裝置動態(tài)證書與接收到的動態(tài)證書之間的差異的邏輯����。另外,所述實施例包含經(jīng)配置以 基于所述差異來檢測復制的通信裝置的存在的邏輯�。
至少一個實施例包含經(jīng)配置以經(jīng)由網(wǎng)絡接收包含隨機偏移的信號的邏輯。此實施例 還包含經(jīng)配置以通過將隨機偏移施加到客戶端通信裝置動態(tài)證書來改變所述客戶端通信 裝置動態(tài)證書的邏輯����。另外,此實施例包含經(jīng)配置以經(jīng)由網(wǎng)絡發(fā)送經(jīng)改變的客戶端通信 裝置動態(tài)證書的邏輯����。
至少一個實施例包含包括經(jīng)配置以產(chǎn)生隨機偏移的邏輯的服務器。此實施例還包含 包括經(jīng)配置以通過將隨機偏移施加到服務器通信裝置動態(tài)證書來改變所述服務器通信裝 置動態(tài)證書的邏輯的服務器��。此實施例還包含包括經(jīng)配置以存儲服務器通信裝置動態(tài)證 書的邏輯的服務器。所述實施例還包含包括經(jīng)配置以經(jīng)由網(wǎng)絡發(fā)送包含隨機偏移的信號 的邏輯的服務器�����。所述實施例還包含包括經(jīng)配置以經(jīng)由網(wǎng)絡接收包含動態(tài)證書的信號的 邏輯的服務器����。所述實施例還包含包括經(jīng)配置以確定服務器通信裝置動態(tài)證書與接收到 的動態(tài)證書之間的差異的邏輯的服務器。此外��,所述實施例還包含包括經(jīng)配置以基于所 述差異來檢測復制的通信裝置的存在的邏輯的服務器�����。此實施例還包含包括經(jīng)配置以經(jīng) 由網(wǎng)絡接收包含隨機偏移的信號的邏輯的客戶端通信裝置���。此實施例還包含包括經(jīng)配置 以通過將隨機偏移施加到客戶端通信裝置動態(tài)證書來改變所述客戶端通信裝置動態(tài)證書 的邏輯的客戶端通信裝置����。另外����,所述實施例還包含包括經(jīng)配置以經(jīng)由網(wǎng)絡發(fā)送經(jīng)改變 的客戶端通信裝置動態(tài)證書的邏輯的客戶端通信裝置。
至少一個實施例包含可操作以產(chǎn)生隨機偏移的代碼�。此實施例還包含可操作以通過 將隨機偏移施加到服務器通信裝置動態(tài)證書來改變所述服務器通信裝置動態(tài)證書的代 碼��。此實施例還包含可操作以存儲服務器通信裝置動態(tài)證書的代碼�����。所述實施例還包含可操作以經(jīng)由網(wǎng)絡發(fā)送包含隨機偏移的信號的代碼�。所述實施例還包含可操作以經(jīng)由網(wǎng) 絡接收包含動態(tài)證書的信號的代碼�。此外,所述實施例進一步包含可操作以確定服務器 通信裝置動態(tài)證書與接收到的動態(tài)證書之間的差異的代碼����。另外�����,所述實施例包含可操 作以基于所述差異來檢測復制的通信裝置的存在的代碼��。
至少一個實施例包含可操作以經(jīng)由網(wǎng)絡接收包含隨機偏移的信號的代碼�。此實施例 還包含可操作以通過將隨機偏移施加到客戶端通信裝置動態(tài)證書來改變所述客戶端通信 裝置動態(tài)證書的代碼。另外�����,所述實施例包含可操作以經(jīng)由網(wǎng)絡發(fā)送經(jīng)改變的客戶端通 信裝置動態(tài)證書的代碼���。
至少一個實施例包含可操作以產(chǎn)生隨機偏移的代碼���。此實施例還包含可操作以通過 將隨機偏移施加到服務器通信裝置動態(tài)證書來改變所述服務器通信裝置動態(tài)證書的代 碼��。此實施例還包含可操作以存儲服務器通信裝置動態(tài)證書的代碼��。此實施例還包含可 操作以經(jīng)由網(wǎng)絡發(fā)送包含隨機偏移的信號的代碼��。所述實施例還包含可操作以經(jīng)由網(wǎng)絡 接收包含隨機偏移的信號的代碼����。所述實施例還包含可操作以通過將隨機偏移施加到客 戶端通信裝置動態(tài)證書來改變所述客戶端通信裝置動態(tài)證書的代碼�����。所述實施例還包含 可操作以經(jīng)由網(wǎng)絡發(fā)送經(jīng)改變的客戶端通信裝置動態(tài)證書的代碼�����。所述實施例還包含可 操作以經(jīng)由網(wǎng)絡接收包含經(jīng)改變的客戶端通信裝置動態(tài)證書的信號的代碼��。此外����,所述 實施例還包含可操作以確定服務器通信裝置動態(tài)證書與經(jīng)改變的客戶端通信裝置動態(tài)證 書之間的差異的代碼�����。另外��,所述實施例還包含可操作以基于所述差異來檢測復制的通 信裝置的存在的代碼�����。
至少一個實施例包含用于產(chǎn)生隨機偏移的裝置�。此實施例還包含用于通過將隨機偏 移施加到服務器通信裝置動態(tài)證書來改變所述服務器通信裝置動態(tài)證書的裝置��。此實施 例還包含用于存儲服務器通信裝置動態(tài)證書的裝置�。所述實施例還包含用于經(jīng)由網(wǎng)絡發(fā) 送包含隨機偏移的信號的裝置。所述實施例還包含用于經(jīng)由網(wǎng)絡接收包含動態(tài)證書的信 號的裝置�。此外,所述實施例還包含用于確定服務器通信裝置動態(tài)證書與接收到的動態(tài) 證書之間的差異的裝置�����。另外���,所述實施例包含用于基于所述差異來檢測復制的通信裝 置的存在的裝置。
至少一個實施例包含用于經(jīng)由網(wǎng)絡接收包含隨機偏移的信號的裝置。所述實施例還 包含用于通過將隨機偏移施加到客戶端通信裝置動態(tài)證書來改變所述客戶端通信裝置動 態(tài)證書的裝置����。另外,所述實施例還包含用于經(jīng)由網(wǎng)絡發(fā)送經(jīng)改變的客戶端通信裝置動 態(tài)證書的裝置�����。至少一個實施例包含包括用于產(chǎn)生隨機偏移的裝置的服務器���。此實施例進一步包含 包括用于通過將隨機偏移施加到服務器通信裝置動態(tài)證書來改變所述服務器通信裝置動 態(tài)證書的裝置的服務器����。此實施例進一步包含包括用于存儲服務器通信裝置動態(tài)證書的 裝置的服務器��。此實施例進一步包含包括用于經(jīng)由網(wǎng)絡發(fā)送包含隨機偏移的信號的裝置 的服務器����。此實施例進一步包含包括用于經(jīng)由網(wǎng)絡接收包含動態(tài)證書的信號的裝置的服 務器。此實施例進一步包含包括用于確定服務器通信裝置動態(tài)證書與接收到的動態(tài)證書 之間的差異的裝置的服務器�。此外,此實施例進一步包含包括用于基于所述差異來檢測 復制的通信裝置的存在的裝置的服務器����。另外���,所述實施例還包含包括用于經(jīng)由網(wǎng)絡接 收包含隨機偏移的信號的裝置的客戶端通信裝置。此實施例還包含包括用于通過將隨機 偏移施加到客戶端通信裝置動態(tài)證書來改變所述客戶端通信裝置動態(tài)證書的裝置的客戶 端通信裝置�����。另外�,所述實施例還包含-包括用于經(jīng)由網(wǎng)絡發(fā)送經(jīng)改變的客戶端通信裝置 動態(tài)證書的裝置的客戶端通信裝置。
與可用于檢測手持機復制和客戶端通信裝置欺騙的傳統(tǒng)散列鏈方法的操作缺點相 比����,至少一個實施例的至少一些優(yōu)點包含操作優(yōu)點��。舉例來說�����,至少一個實施例提供以 下優(yōu)點相對較輕重量�、單次往返、客戶端啟始方案�����,所述方案即使在攻擊者能夠獲得 對所有客戶端通信裝置的證書(包含整個客戶端通信裝置環(huán)境的瞬象)的訪問的情況下 也提供防止客戶端欺騙或復制的保護�。另一優(yōu)點是�����,對服務器的低處理和存儲額外開銷 要求�����。此處,服務器不必執(zhí)行任何迭代散列法,且其也不需要存儲額外的元數(shù)據(jù)來檢測 分歧����。在客戶端側(cè)使用動態(tài)證書提供對證書的最后"n"次更新的歷史����,其提供固有價值。 相比之下����,散列鏈將要求客戶端通信裝置將必須自身存儲至少每次使用的散列的數(shù)目的 歷史或所有所得的散列值。另外��,另一優(yōu)點是�����,有效載荷尺寸較小,其中所發(fā)送的信息 可在1到8個字節(jié)的級別���,而不是與散列鏈方法相關(guān)聯(lián)的大得多的有效載荷尺寸。
至少一個實施例的其它優(yōu)點包含挫敗重放攻擊的能力�,在所述重放攻擊中��,非授權(quán) 裝置試圖在相對較短時間量內(nèi)得到大量信號����。舉例來說,復制裝置可能試圖執(zhí)行均含有 經(jīng)復制的證書(例如,靜態(tài)和動態(tài)證書)的大量信號的突發(fā)�����,但如上文實施例所描述, 所提議的系統(tǒng)操作以檢測服務器通信裝置動態(tài)證書與相應的客戶端通信裝置動態(tài)證書之 間的分歧,且這樣做能夠?qū)⒋诵盘柾话l(fā)識別為存在復制裝置的指示,或識別為從隨后已 遭泄密的有效客戶端啟始基于重放的攻擊的指示���。此識別復制裝置的方法的優(yōu)點尤其在 于,其是對在單次往返方案中執(zhí)行復制裝置的此種檢測的現(xiàn)有技術(shù)方案的改進�����。
在檢閱包含
具體實施方式
和權(quán)利要求書的整個申請案之后將了解本發(fā)明的其它方面�����、優(yōu)點和特征�。
參照結(jié)合附圖作出的以下詳細描述將更容易了解本文描述的實施例的以上方面和附 隨優(yōu)點,附圖中
圖1是用于客戶端通信裝置與服務器之間的安全通信的系統(tǒng)的一個實施例的高級
圖2是用于客戶端通信裝置與服務器之間的安全通信的系統(tǒng)的一個實施例的半高級
圖3是說明用于客戶端通信裝置與服務器之間的安全通信的系統(tǒng)的一個實施例的流 程圖4是說明使用信號來實現(xiàn)客戶端通信裝置與服務器之間的安全通信的程序的一個 3施例的圖5是在用于客戶端通信裝置與服務器之間的安全通信的系統(tǒng)中使用的服務器的一 個實施例的方框圖6是在用于客戶端通信裝置與服務器之間的安全通信的系統(tǒng)中使用的客戶端通信 裝置的一個實施例的方框圖7是說明用于客戶端通信裝置與服務器之間的安全通信的系統(tǒng)的一個實施例的流 程圖���;且
圖8是說明用于客戶端通信裝置與服務器之間的安全通信的系統(tǒng)的一個實施例的流 程圖�。
具體實施例方式
本文使用詞"示范性"來表示"充當實例、例子或說明"����。本文描述為"示范性"的 任何實施例不必理解為比其它實施例優(yōu)選或有利。此外�,依據(jù)待由(例如)計算裝置的 元件執(zhí)行的動作的序列來描述許多實施例。將了解�,本文描述的各種動作可由特定電路 (例如,專用集成電路(ASIC))�����、由一個或一個以上處理器執(zhí)行的程序指令���,或由兩者 的組合執(zhí)行����。此外����,本文描述的實施例另外可認為完全實施在任何形式的計算機可讀存 儲媒體中�,其中所述計算機可讀存儲媒體中存儲有相應的計算機指令集,當執(zhí)行所述計 算機指令集時將促使相關(guān)聯(lián)的處理器執(zhí)行本文描述的功能����。因此����,可以許多不同形式實 施本發(fā)明的各方面�����,所有這些形式已預期在所主張的主題的范圍內(nèi)��。另外����,對于本文描 述的實施例中的每一者,相應形式的任何此類實施例在本文中可描述為(例如)"經(jīng)配置以執(zhí)行某一動作的邏輯"或"可操作以執(zhí)行所述動作的代碼"�����。
以下具體實施方式
描述用于提供客戶端通信裝置與服務器之間的安全通信的方法���、
系統(tǒng)���、軟件和設(shè)備。在至少一個實施例中��,服務器產(chǎn)生隨機偏移,通過將隨機偏移數(shù)施 加到動態(tài)證書來改變所述動態(tài)證書�,服務器存儲動態(tài)證書并將隨機偏移數(shù)發(fā)送到客戶端 通信裝置,客戶端通信裝置通過將隨機偏移數(shù)施加到動態(tài)證書來改變所述動態(tài)證書���,客 戶端通信裝置存儲經(jīng)改變的動態(tài)證書�����,客戶端通信裝置將經(jīng)改變的動態(tài)證書發(fā)送到服務 器��,服務器接收經(jīng)改變的動態(tài)證書并確定其所存儲的動態(tài)證書與所接收的動態(tài)證書之間 的差異�,服務器基于此差異確定是否存在復制裝置���。
在一個或一個以上實施例中�,用于提供客戶端通信裝置與服務器之間的安全通信的 系統(tǒng)結(jié)合在計算裝置上執(zhí)行的運行時間環(huán)境(API)而操作����。一個此類運行時間環(huán)境(API) 是由California, San Diego的QUALCOMM公司開發(fā)的Binary Runtime Environment for Wireless (BREW )軟件平臺的新版本。在以下描述內(nèi)容中的至少一個實施例中��,用 于提供客戶端通信裝置與服務器之間的安全通信的系統(tǒng)實施在執(zhí)行運行時間環(huán)境(API) (例如BREW⑧軟件平臺的新版本)的計算裝置上��。然而���,用于提供客戶端通信裝置與 服務器之間的安全通信的系統(tǒng)的一個或一個以上實施例適合與(例如)操作以控制應用 程序在無線客戶端通信裝置上的執(zhí)行的其它類型運行時間環(huán)境(API) —起使用����。
圖1說明用于提供客戶端通信裝置與服務器之間的安全通信的系統(tǒng)100的一個示范 性實施例的方框圖����,所述客戶端裝置例如為蜂窩式電話102,其經(jīng)由無線網(wǎng)絡104與至 少一個應用程序下載服務器106通信����,所述應用程序下載服務器106經(jīng)由無線通信端口 或到達無線網(wǎng)絡104的其它數(shù)據(jù)接入將軟件應用程序和組件選擇性地傳輸?shù)綗o線裝置。 如此處所示�����,無線裝置可以是蜂窩式電話102��、個人數(shù)字助理108����、尋呼機110 (此處展 示為雙向文本尋呼機),或甚至單獨的計算機平臺112��,其中所述計算機平臺112具有無 線通信端口且可另外具有到達網(wǎng)絡或因特網(wǎng)的有線連接114。因此�,本發(fā)明性系統(tǒng)可在包 含無線通信端口的任何形式的遠程模塊上執(zhí)行,所述遠程模塊包含(但不限于)無線調(diào) 制解調(diào)器����、PCMCIA卡、接入終端��、個人計算機�����、接入終端��、不帶顯示器或鍵區(qū)的電話��, 或其任何組合或子組合�����。
此處展示應用程序下載服務器106位于網(wǎng)絡116上�����,利用其它計算機元件與無線網(wǎng) 絡104通信��。存在第二服務器120和獨立服務器122,且每一服務器可經(jīng)由無線網(wǎng)絡104 向無線裝置102����、 108��、 110�、 112提供單獨的服務和處理。優(yōu)選地�,還存在至少一個經(jīng)存 儲應用程序數(shù)據(jù)庫118,其保存可由無線裝置102、 108���、 110�����、 112下載的軟件應用程序�����。
17預期存在不同實施例��,其設(shè)置邏輯以在應用程序下載服務器106����、第二服務器120和獨 立服務器122中的任何一者或一者以上處執(zhí)行安全通信。
圖2中���,展示一方框圖�,其更充分地說明系統(tǒng)100��,包含無線網(wǎng)絡104的組件和示 范性實施例的元件的相互關(guān)系�。系統(tǒng)IOO僅是示范性的,且可包含遠程模塊(例如�����,無 線客戶端通信裝置102����、 108、 110�����、 112)借以在彼此之間且/或在經(jīng)由無線網(wǎng)絡104連接 的組件之間進行無線通信的任何系統(tǒng)�,包含(但不限于)無線網(wǎng)絡運營商和/或服務器。 應用程序下載服務器106和經(jīng)存儲應用程序數(shù)據(jù)庫118���,連同需要用于提供蜂窩式電信服 務的任何其它服務器(例如����,服務器120) —起經(jīng)由數(shù)據(jù)鏈路(例如,因特網(wǎng)�、安全LAN、 WAN�����,或其它網(wǎng)絡)與載運網(wǎng)絡200通信�。在所示的實施例中�,服務器120含有服務器 鑒定模塊121,其含有經(jīng)配置以提供載運網(wǎng)絡200上的安全通信的邏輯���。此服務器鑒定 模塊121與位于客戶端通信裝置(例如����,無線裝置102����、 108、 110���、 112)上的客戶端鑒 定模塊結(jié)合操作以提供安全通信���。
載運網(wǎng)絡200控制發(fā)送到消息傳遞服務控制器("MSC") 202的消息(例如�,作為 數(shù)據(jù)包發(fā)送)�。載運網(wǎng)絡200通過網(wǎng)絡、因特網(wǎng)和/或POTS ("簡易普通電話系統(tǒng)")與 MSC202通信��。通常����,載運網(wǎng)絡200與MSC202之間的網(wǎng)絡或因特網(wǎng)連接傳遞數(shù)據(jù),而 POTS傳遞語音信息�����。MSC 202連接到多個基站("BTS") 204���。以與載運網(wǎng)絡類似的方 式����,MSC 202通常通過用于數(shù)據(jù)傳遞的網(wǎng)絡和/或因特網(wǎng)和用于語音信息的POTS兩者連 接到BTS 204��。 BTS 204最終通過短消息傳遞服務("SMS")或此項技術(shù)中已知的其它無 線方法將消息以無線方式廣播到無線裝置(例如�����,蜂窩式電話102)。
例如蜂窩式電話102等無線裝置(此處為客戶端通信裝置)具有計算機平臺206���, 其可接收并執(zhí)行從應用程序下載服務器106傳輸?shù)能浖贸绦?����。計算機平臺206包含 專用集成電路("ASIC" 208)�����,或其它處理器、微處理器�����、邏輯電路��,或其它數(shù)據(jù)處理 裝置���。ASIC 208在無線裝置的制造時間安裝且通常不可升級����。ASIC 208或其它處理器執(zhí) 行與無線裝置的存儲器212中任何駐存的程序介接的應用程序編程接口 ("API") 210層�。 存儲器212可包括只讀或隨機存取存儲器(RAM和ROM)�、 EPROM�����、快閃卡��,或計算 機平臺常用的任何存儲器�。API210還包含客戶端鑒定模塊214,其含有經(jīng)配置以提供載 運網(wǎng)絡200上的安全通信的邏輯��。此客戶端鑒定模塊214與服務器鑒定模塊121結(jié)合操 作以提供安全通信����。計算機平臺206還包含本地數(shù)據(jù)庫214,其可保存存儲器212中并 非活動使用的應用程序�。本地數(shù)據(jù)庫216通常為快閃存儲器單元,但可為此項技術(shù)中已 知的任何二級存儲裝置����,例如磁性媒體、EPROM����、光學媒體、磁帶�,或者軟盤或硬盤��。無線客戶端通信裝置(例如��,蜂窩式電話102)相應地從應用程序下載服務器106 下載一個或一個以上軟件應用程序(例如�,游戲���、新聞���、股票監(jiān)視器等),并在不使用時 將應用程序保存在本地數(shù)據(jù)庫216上����,且將本地數(shù)據(jù)庫216上經(jīng)存儲的駐存應用程序上 載到存儲器212,以便當用戶需要時在API210上執(zhí)行��。此外�����,由于客戶端鑒定模塊214 與服務器鑒定模塊121之間的交互和操作����,無線網(wǎng)絡104上的通信至少部分地以安全方 式執(zhí)行����。本發(fā)明性系統(tǒng)和方法在無線網(wǎng)絡104上提供這種安全通信����,如本文進一步描述�����。
圖3說明用于提供安全通信的方法300的一個示范性實施例����。方法300以步驟302 開始,在步驟302處�,客戶端通信裝置通過經(jīng)由網(wǎng)絡發(fā)送注冊信號來向遠程服務器啟始 注冊。接著���,在步驟304中�����,服務器接收注冊信號�。在步驟306中�,服務器產(chǎn)生動態(tài)證 書和靜態(tài)證書兩者,并使所述證書與遠程客戶端通信裝置關(guān)聯(lián)。在相同步驟中����,服務器 存儲所述證書以供將來參考。靜態(tài)證書是服務器產(chǎn)生以識別特定客戶端裝置的證書�����。此 靜態(tài)證書預期處于由客戶端通信裝置發(fā)送到服務器的未來信號中�����。服務器通過將所接收 的靜態(tài)證書與所存儲的靜態(tài)證書進行比較來使用靜態(tài)證書�����,以確認所接收的信號實際上 來自特定的客戶端通信裝置��。
動態(tài)證書盡管也能夠用于識別特定的客戶端通信裝置(即�,來自所述特定的客戶端 通信裝置的信號)����,但此動態(tài)證書將被周期性地改變或更新以增加安全通信能力�����。在一個 實施例中,動態(tài)證書是數(shù)字。其它實施例利用的動態(tài)證書是除了數(shù)字以外的另一類型的 識別符���,包含(例如)字母字符��、符號��、控制字符.�、數(shù)字系列�、符號系列�����、控制字符系 列�,或是能夠以可預測且可檢測的方式改變的多種其它識別符�����。在一個實施例中����,動態(tài) 證書是一系列二進制位����。不同實施例使用不同數(shù)目的位(例如8位、16位、32位和64 位)來表示動態(tài)證書,但其它實施例使用更多或更少數(shù)目的位���。通常使用的位的量較小 程度上基于安全要求且較大程度上基于待跟蹤的歷史的量����。
在步驟308中����,服務器產(chǎn)生含有動態(tài)證書和靜態(tài)證書的信號并將其發(fā)送到客戶端裝 置。此信號的發(fā)送也是步驟302中啟始的注冊步驟的一部分���。盡管展示步驟308中僅發(fā) 送兩個此類證書�����,但其它實施例發(fā)送不同類型的額外證書���。此外,盡管未圖示����,但其它 實施例也可包含在初始注冊歩驟期間發(fā)送可用于改變動態(tài)證書的偏移(隨機或以其它方 式)。響應于步驟308中的操作�����,在步驟310中,客戶端通信裝置接收含有動態(tài)證書和靜 態(tài)證書的信號����。在步驟312中��,客戶端通信裝置存儲動態(tài)證書和靜態(tài)證書以便在將來與 服務器的通信中使用���。此處,步驟312表示注冊過程的完成。
步驟314開始在客戶端通信裝置與服務器之間發(fā)送信號��,其中存儲在客戶端通信裝置中的證書包含在由客戶端通信裝置發(fā)送的信號中�,使得服務器可鑒定這些信號來自經(jīng) 授權(quán)的裝置����。響應于步驟314����,在步驟316中�,服務器接收由客戶端通信裝置發(fā)送的含 有靜態(tài)和動態(tài)證書的經(jīng)發(fā)送信號��。在歩驟318中�,服務器操作以通過將服務器處經(jīng)存儲 的證書與內(nèi)嵌在所接收的信號中的所接收的證書進行比較來鑒定所述信號。
在從客戶端裝置接收的動態(tài)證書與服務器處經(jīng)存儲的動態(tài)證書不匹配的情況下��,服 務器可據(jù)此確定存在原始特定客戶端通信裝置的復制裝置����?��?梢匀绱舜_定是因為,此結(jié) 果可指示經(jīng)更新的動態(tài)證書被發(fā)出到被認為是特定客戶端通信裝置的一個裝置,且具有 動態(tài)證書的早先版本的副本的另一裝置發(fā)出舊的未經(jīng)更新的動態(tài)證書�,試圖模仿其在早 先某一時間點從實際經(jīng)授權(quán)裝置復制的內(nèi)容�����。圖4中描述用于識別復制裝置的其它類似 情形�。此操作使?jié)撛诘墓粽叩墓ぷ髯兊脧碗s�����。即使在攻擊者能夠(例如)通過實體存 取��、通過使用惡意客戶端軟件或通過其它方式入侵注冊過程來獲得客戶端裝置的準確瞬 象的情況下����,此攻擊者仍必須提供動態(tài)證書的正確且經(jīng)更新的版本(其不斷地變化)或 冒著被識別為復制裝置的危險。
在一些實施例中�����,所述系統(tǒng)操作使得并非所有分歧(其中此類分歧是存儲在服務器 裝置處的動態(tài)證書與從客戶端通信裝置接收的動態(tài)證書之間的分歧)均表示存在復制裝 置����。 一些實施例操作以使得隨機偏移的預期損失或在不存在復制裝置的情況下偶爾發(fā)生 某些情況的系統(tǒng)操作的其它方面導致存儲在有效客戶端通信裝置處的動態(tài)證書與存儲在 服務器處的動態(tài)證書的分歧�����。 一些此類實施例預期在(例如)電話失去電力時�、通信信 號損失時�,或期望對存儲在客戶端裝置上的動態(tài)證書的更新由于除了存在復制裝置以外 的原因而不能執(zhí)行的其它情形的情況下,檢測此類存在分歧的動態(tài)證書內(nèi)容���。在預期(容 許)和處理存在分歧的動態(tài)證書的此類實施例中���, 一些此類實施例包含對于此分歧的固 定容限,且還允許客戶端通信裝置使其自身與服務器再同步��。上述鑒定操作包含的益處 是,不需要多次往返來檢測未經(jīng)授權(quán)的裝置。此處�����,服務器能夠在從客戶端通信裝置接 收到含有與存儲在服務器上的動態(tài)證書不匹配的動態(tài)證書的單程信號時立即作出確定���。
此原因在于�����,服務器不監(jiān)視客戶端通信裝置是否成功地接收并處理隨機偏移,而是依賴 于對分歧容限的單向檢測��。
在示范性實施例中����,來自服務器的連續(xù)傳輸包含發(fā)送單個位固定的隨機偏移,且其 中將此隨機偏移施加到存儲在客戶端裝置處的動態(tài)證書����,從而產(chǎn)生漢明差(Hamming Difference)。在另一實施例中�����,隨機偏移表示一識別符(例如���,數(shù)字)�����,其識別存儲在客 戶端裝置處的動態(tài)證書的哪一相應位應翻轉(zhuǎn)��。在此實施例中�����,將含有待翻轉(zhuǎn)的位的數(shù)字的隨機偏移施加到存儲在客戶端裝置處的動態(tài)證書���,從而產(chǎn)生相應的漢明差�。漢明距離 在存在許多具有分歧的位指示的情況下發(fā)生����,并表示與非一致動態(tài)證書不同的位的數(shù)目 或其它分歧度量單位。因此���,此漢明距離信息允許系統(tǒng)確定分歧何時或大概何時開始���。 同樣在示范性實施例中,且不同于基于散列鏈的方案��,服務器無需存儲先前使用的散列 值的較長歷史��,并接著試圖找出由客戶端通信裝置供應的值的匹配值��。此處�����,示范性實 施例使用基于算法的公式(即���, 一次翻轉(zhuǎn)一個位)���,其產(chǎn)生輸出使得可對所述輸出進行評 估以確定例如具有分歧的動態(tài)證書實際上何時開始的信息。
在服務器鑒定信號是來自經(jīng)授權(quán)的來源的情況下���,在步驟320中��,服務器產(chǎn)生隨機 偏移并將其施加到所存儲的動態(tài)證書�。在示范性實施例中��,動態(tài)證書和隨機偏移是32位 二進制數(shù)字���。同樣在此實施例中���,隨機偏移是以32位表示的二進制數(shù)字,其中此32位 中僅一個位是固定的���。在一個實施例中�,通過對兩個值進行逐位"或"運算來使用隨機 偏移執(zhí)行對動態(tài)證書的改變����。因此����,連續(xù)地改變動態(tài)證書(通過一次翻轉(zhuǎn)一個位)����,系統(tǒng) 能夠基于經(jīng)改變的動態(tài)證書與初始的未經(jīng)改變的動態(tài)證書(例如包含初始注冊過程中使 用的證書)的比較情況度來確定改變的次數(shù)。盡管一些實施例對在客戶端通信裝置與服 務器之間交換的每一信號執(zhí)行對動態(tài)證書的改變�,但其它實施例僅周期性地執(zhí)行所述改 變。
在步驟322中��,服務器將隨機偏移發(fā)送到客戶端通信裝置�。在步驟324中,作為響 應�,客戶端通信裝置接收所發(fā)送的隨機偏移。在步驟326中���,客戶端通信裝置通過施加 隨機偏移來更新動態(tài)證書�。在步驟328中�����,客戶端通信裝置為了將此動態(tài)證書包含在由 客戶端通信裝置發(fā)送到服務器的未來信號中而存儲所發(fā)送的動態(tài)證書。
圖4說明在多個客戶端通信裝置與一服務器之間交換一系列信號的一個實施例400�。 如圖所示, 一系列l(wèi)l個階段描述一組信號交換的一個實例���,其中這些階段包含階段l 402�����、階段2 404、階段3 406�����、階段4 408����、階段5 410、階段6 412��、階段7 414�、階段8 416、階段9 418��、階段10 420和階段11 422�。另外,圖解還展示客戶端1 424、客戶端2 426��、無線網(wǎng)絡104和服務器428�����。在圖解中����,客戶端1 424旨在表示經(jīng)授權(quán)裝置,而客 戶端2 426旨在表示客戶端1 424的復制裝置���。
階段1 402表示客戶端以及服務器兩者的初始注冊前的狀態(tài)����。此處�,展示客戶端1 424 的客戶端動態(tài)證書430不具有初始值,客戶端2 426的客戶端動態(tài)證書432也是如此�。 注冊過程開始于客戶端1 424將含有注冊命令436和空動態(tài)證書值438的信號434發(fā)送 到服務器428。服務器428含有初始服務器動態(tài)證書440 "1100 1000"��。響應于接收到階段1 402中發(fā)送的信號434,系統(tǒng)接著執(zhí)行階段2 404中所示的操作�����。
階段2 404展示服務器428回復客戶端1 424發(fā)送的注冊信號434,其中服務器428 在將包含此服務器動態(tài)證書440的副本連同存儲命令444的信號442發(fā)送到客戶端1 424 的同時維持其服務器動態(tài)證書440 "1100 1000"����。接收到信號442時,客戶端1 424操作 以將所發(fā)送的動態(tài)證書440存儲為客戶端動態(tài)證書430��。
階段3 406展示客戶端2 426 (復制客戶端1的內(nèi)容之后)將具有鑒定命令448和復 制的客戶端動態(tài)證書信息"1100 1000"的副本438的信號446發(fā)送到服務器428�。服務 器在不知道信號是來自客戶端1 424還是客戶端2 426的情況下接收信號446,并以所存 儲的服務器動態(tài)證書440來鑒定所發(fā)送的動態(tài)證書438�����。此處�����,所發(fā)送的動態(tài)證書438 與服務器動態(tài)證書440兩者均匹配���,因此,作為響應��,服務器將客戶端2鑒定為有效客 戶端通信裝置����。此處���,展示服務器428可如何將復制裝置不正確地識別為已發(fā)送特定信 號,但如下文進一步描述�����,所述系統(tǒng)操作以一般地識別復制裝置���,其中作為響應���,所述 系統(tǒng)進一步操作以排除任一客戶端為實際的復制裝置。響應于鑒定信號446����,系統(tǒng)接著 執(zhí)行階段4 408中所示的操作。
階段4 408展示客戶端2 426接收含有存儲命令444和隨機偏移451 "0000 0010"的 信號450��。當接收到信號450時�����,客戶端2將隨機偏移451施加到階段3 406所示的經(jīng)存 儲的客戶端動態(tài)證書以獲得狀態(tài)4 408所示的經(jīng)存儲的動態(tài)證書的數(shù)字結(jié)果"1100 1010"�, 其中斜體數(shù)位反映響應于經(jīng)存儲的客戶端動態(tài)證書的改變而受影響的位。應注意��,經(jīng)改 變的動態(tài)證書存儲在客戶端通信裝置中以供將來由客戶端通信裝置使用。
在至少一個實施例中��,信號450中發(fā)送的隨機偏移451表示二進制數(shù)字����,其指示待 翻轉(zhuǎn)的位的位置。舉例來說��,在一個實施例中����,指示翻轉(zhuǎn)相應存儲的動態(tài)證書的第三位 將意味著隨機偏移451將包含基數(shù)10 "3"的二進制表示("00000011"),且因此系統(tǒng)將 操作以將隨機偏移內(nèi)容"0000 0011"解譯為指示施加隨機偏移451以翻轉(zhuǎn)相應存儲的動 態(tài)證書的第三位的請求。在其它實施例中�,系統(tǒng)經(jīng)配置以解譯隨機偏移451的其它格式 化方案以確定應操縱動態(tài)證書的哪個或哪些相應位。
階段5 410展示客戶端2 426將具有鑒定命令448和客戶端動態(tài)證書的副本432的信 號452發(fā)送到服務器428�。服務器428接收信號452����,并通過成功地將所發(fā)送的動態(tài)證書 438與所存儲的服務器動態(tài)證書440進行比較來進一步鑒定所述信號。
階段6 412展示客戶端2 426接收含有存儲命令444和隨機偏移451 "0010 0000"的 信號454�。當接收到信號454時,客戶端2將隨機偏移451施加到階段5 410所示的所存儲的客戶端動態(tài)證書432以獲得階段4 408所示的所存儲的動態(tài)證書的數(shù)字結(jié)果"1110 1010",其中斜體數(shù)位反映響應于所存儲的客戶端動態(tài)證書的改變而受影響的位�。
階段7 414展示客戶端1 424 (已由客戶端2復制之后)將具有鑒定命令448和初始 客戶端動態(tài)證書信息"1100 1000"的副本438的信號456發(fā)送到服務器428。服務器在 不知道信號是來自客戶端1 424還是客戶端2 426的情況下接收信號456��,并試圖以所存 儲的服務器動態(tài)證書440來鑒定所發(fā)送的動態(tài)證書438。此處�,服務器428檢測到兩個 單獨位的失配,且據(jù)此確定兩個先前鑒定之間存在分歧的可能性很大�。此處,在一個實 施例中����,服務器428將客戶端1 424標記為是復制裝置或是復制的,而在另一實施例中�, 服務器428基于系統(tǒng)策略而給予客戶端1 424另一機會。系統(tǒng)策略的實例包含(例如)"在 對客戶端通信裝置進行標記之前最多允許3個連續(xù)失配(三次沖突即出局(3 strikes and your out))"或"最多允許最后10個請求中的2個不同步"�。在所示實施例中,使用三次 沖突即出局規(guī)則的系統(tǒng)給予客戶端1 424另一機會并允許繼續(xù)進行通信�����。
階段8 416展示客戶端1 424接收含有存儲命令444和隨機偏移451 " 1000 0000"的 信號458����。當接收到信號458時,客戶端1 424將隨機偏移451施加到階段7 414所示的 所存儲的客戶端動態(tài)證書430以獲得階段8 416所示的所存儲的動態(tài)證書的數(shù)字結(jié)果 "0100 1000"����,其中斜體數(shù)位反映響應于所存儲的客戶端動態(tài)證書的改變而受影響的位。
階段9 418展示客戶端2 426將具有鑒定命令448和客戶端2 426客戶端動態(tài)證書的 副本432的信號460發(fā)送到服務器428�����。服務器428在不知道信號是來自客戶端1 424還 是客戶端2 426的情況下接收信號460,并試圖以所存儲的服務器動態(tài)證書440來鑒定所 發(fā)送的動態(tài)證書438�。此處,服務器428檢測到一個位的失配����,且因為此分歧在本實施 例的策略內(nèi),所以服務器428將信號識別為經(jīng)授權(quán)的信號���。
階段10 420展示客戶端2 426接收含有存儲命令444和隨機偏移451 "0000 1000" 的信號462��。當接收到信號462時�,客戶端2 426將隨機偏移451施加到階段9 418所示 的所存儲的客戶端動態(tài)證書432以獲得階段4 408所示的所存儲的動態(tài)證書的數(shù)字結(jié)果 "1110 0010"�,其中斜體數(shù)位反映響應于所存儲的客戶端動態(tài)證書的改變而受影響的位。
階段11 422展示客戶端1 424將具有鑒定命令448和客戶端動態(tài)證書信息"0100 1000"的副本438的信號464發(fā)送到服務器428����。服務器在不知道信號是來自客戶端1 424 還是客戶端2 426的情況下接收信號464���,并試圖以所存儲的服務器動態(tài)證書440來鑒定 所發(fā)送的動態(tài)證書438���。此處����,服務器428檢測到三個單獨位的失配("0100 1000"與"0110 0010")���,且據(jù)此基于三次沖突(3個失配位)出局策略確定存在復制裝置的可能性很大����。此處����,服務器428將客戶端1 424標記為是復制裝置或是復制的。
圖5說明可操作以執(zhí)行與客戶端通信裝置的安全通信的服務器500的一個示范性實 施例�����。如本文所使用���,"服務器"包含(例如)在通信裝置上執(zhí)行的邏輯����,其向在同一或 分離的通信裝置上執(zhí)行的其它邏輯提供服務����。在一個實施例中�����,服務器500包含在與客 戶端通信裝置分離的通信裝置上操作的邏輯�,且經(jīng)由網(wǎng)絡耦合到客戶端通信裝置�����。在一 個實施例中�,此網(wǎng)絡至少部分是無線網(wǎng)絡104。在至少一個此實施例中����,服務器500響 應于接收來自客戶端通信裝置的注冊信號而向客戶端通信裝置提供至少一個動態(tài)證書。 在至少一個實施例中��,服務器500可以是參看圖1展示和描述的服務器106����、 120、 122 中的任一者���。
如示范性實施例所示,服務器500包含存儲器502、網(wǎng)絡1/0接口 504��、處理器506 和總線508����。盡管存儲器502展示為RAM存儲器,但其它實施例包含此類存儲器502���, 即(例如)已知提供用于經(jīng)配置的邏輯的經(jīng)存儲的所有已知類型的存儲器��。另外��,盡管 存儲器502展示為一種類型的存儲器的一個毗鄰單元����,但其它實施例使用多個位置和多 種類型的存儲器作為存儲器502����。網(wǎng)絡I/0接口 504經(jīng)由總線508向耦合到網(wǎng)絡的裝置提 供輸入和輸出。處理器506對經(jīng)由總線508提供的指令和數(shù)據(jù)進行操作����。
位于存儲器502中的是服務器通信裝置動態(tài)證書510、隨機偏移512�����、所接收的動 態(tài)證書514、差異516�����、經(jīng)配置以產(chǎn)生隨機偏移512的邏輯518��、經(jīng)配置以通過將隨機偏 移512施加到服務器通信裝置動態(tài)證書510來改變服務器通信裝置動態(tài)證書510的邏輯 520�、經(jīng)配置以存儲服務器通信裝置動態(tài)證書510的邏輯522、經(jīng)配置以經(jīng)由網(wǎng)絡發(fā)送包 含隨機偏移512的信號的邏輯524��、經(jīng)配置以經(jīng)由網(wǎng)絡接收包含動態(tài)證書514的信號的 邏輯526���、經(jīng)配置以確定服務器通信裝置動態(tài)證書510與接收到的動態(tài)證書514之間的 差異516的邏輯528�,和經(jīng)配置以基于差異516來檢測復制的通信裝置的存在的邏輯530����。
在至少一個實施例中,服務器通信裝置動態(tài)證書510包含多個二進制位532��。在另 一實施例中����,服務器通信裝置動態(tài)證書510包含32位二進制數(shù)字534�����。并且,在一個實 施例中��,隨機偏移512包含多個二進制位����,所述多個位中僅一個位是固定的(536)。并 且���,在一個實施例中�,差異516等于使用多個隨機偏移512的多個改變(538)�。此外, 至少一個實施例包含經(jīng)配置以產(chǎn)生服務器通信裝置動態(tài)證書510的任選邏輯540�。另外, 至少一個實施例包含經(jīng)配置以經(jīng)由網(wǎng)絡發(fā)送服務器通信裝置動態(tài)證書510的任選邏輯 542����。
圖6說明可操作以執(zhí)行與服務器的安全通信的客戶端通信裝置600的一個示范性實施例。如本文所使用�,"客戶端通信裝置"包含(例如)執(zhí)行駐存的經(jīng)配置的邏輯的一個 或一個以上處理電路,其中此類計算裝置包含(例如)微處理器�����、數(shù)字信號處理器(DSP)、 微控制器��、便攜式無線電話�����、個人數(shù)字助理(PDA)和尋呼裝置���,或含有處理器和經(jīng)配 置以至少執(zhí)行本文針對安全通信而描述的操作的邏輯的硬件�����、軟件和/或固件的任何適當 組合�??蛻舳送ㄐ叛b置600在至少此類安全通信方面由至少一個服務器(通常遠程定位) 服務。在一個實施例中���,此網(wǎng)絡至少部分是無線網(wǎng)絡104���。在至少一個此實施例中,客 戶端通信裝置600響應于從客戶端通信裝置600發(fā)送注冊信號而接收來自服務器的至少 一個動態(tài)證書�。在至少一個實施例中�,客戶端通信裝置600可以是參看圖l展示和描述 的無線裝置102���、 108����、 IIO和112中的任一者����。
如示范性實施例所示�����,客戶端通信裝置600包含存儲器602��、網(wǎng)絡1/0接口 604�����、處 理器606和總線608�。盡管存儲器602展示為RAM存儲器,但其它實施例包含此類存儲 器602�����,即(例如)已知提供用于經(jīng)配置的邏輯的經(jīng)存儲的所有已知類型的存儲器。另 外����,盡管存儲器602展示為一種類型的存儲器的一個毗鄰單元,但其它實施例使用多個 位置和多種類型的存儲器作為存儲器602����。網(wǎng)絡I/O接口 604經(jīng)由總線608向耦合到網(wǎng)絡 的裝置提供輸入和輸出。處理器606對經(jīng)由總線608提供的指令和數(shù)據(jù)進行操作���。
位于存儲器602中的是客戶端通信裝置動態(tài)證書610����,和隨機偏移612�、經(jīng)配置以 經(jīng)由網(wǎng)絡接收包含隨機偏移612的信號的邏輯614、經(jīng)配置以通過將隨機偏移612施加 到客戶端通信裝置動態(tài)證書610來改變客戶端通信裝置動態(tài)證書610的邏輯616��,和經(jīng) 配置經(jīng)由網(wǎng)絡發(fā)送經(jīng)改變的客戶端通信裝置動態(tài)證書610的邏輯618�����。
在至少一個實施例中���,客戶端通信裝置動態(tài)證書610包含多個二進制位620�。在另 一實施例中,客戶端通信裝置動態(tài)證書610包含32位二進制數(shù)字624�����。并且�,在一個實 施例中,隨機偏移612包含多個二進制位�����,所述多個位中僅一個位是固定的(626)�。并 且��,至少一個實施例包含經(jīng)配置以經(jīng)由網(wǎng)絡發(fā)送注冊信號的任選邏輯628��。另外�,至少 一個實施例包含經(jīng)配置以經(jīng)由網(wǎng)絡接收服務器通信裝置動態(tài)證書510的任選邏輯630。 另外����,至少一個實施例包含經(jīng)配置以存儲服務器通信裝置動態(tài)證書510作為客戶端通信 裝置動態(tài)證書610的任選邏輯632。
圖7說明用于提供安全通信的方法700的一個示范性實施例���。更明確地說���,方法700 針對發(fā)送含有動態(tài)證書的消息�。方法700在開始于起始步驟702,并在步驟704繼續(xù)�, 在步驟704處,服務器500操作以產(chǎn)生隨機偏移512�����。方法700還包含步驟706��,在步驟 706處���,服務器500操作以通過將隨機偏移512施加到服務器通信裝置動態(tài)證書510來改變所述服務器通信裝置動態(tài)證書510�。 一旦服務器通信裝置動態(tài)證書510已改變�,在 步驟708中,服務器500操作以存儲服務器通信裝置動態(tài)證書510���。接著���,在步驟710 中,服務器500操作以經(jīng)由網(wǎng)絡發(fā)送包含隨機偏移512的信號��。響應于發(fā)送包含隨機偏 移512的信號,在步驟712中��,服務器500操作以經(jīng)由網(wǎng)絡接收包含動態(tài)證書的信號��。 一旦接收到包含動態(tài)證書514的信號���,在步驟714中����,服務器500便操作以確定服務器 通信裝置動態(tài)證書510與接收到的動態(tài)證書514之間的差異516���。接下來���,響應于對產(chǎn) 生服務器通信裝置動態(tài)證書510與接收到的動態(tài)證書514之間的差異516的步驟714的 確定,在步驟716中�����,服務器500繼續(xù)基于差異516來檢測復制的通信裝置的存在�。
在至少一個實施例中�����,方法700進一步包含任選步驟720,在步驟720中�����,系統(tǒng)進 一步操作以產(chǎn)生服務器通信裝置動態(tài)證書510���。另外�,其它實施例進一步包含步驟722�, 在步驟722中,系統(tǒng)進一步操作以經(jīng)由網(wǎng)絡發(fā)送服務器通信裝置動態(tài)證書510�。并且, 在至少一個實施例中����,如步驟724所示修改步驟704,其中隨機偏移512包含多個二進 制位,所述多個位中僅一個位是固定的(536)����。另外,在至少一個實施例中�,如步驟726 所示修改步驟706,其中服務器通信裝置動態(tài)證書510包含多個二進制位(532)��。另外��, 在至少一個實施例中,如步驟728所示修改步驟706,其中服務器通信裝置動態(tài)證書510 是32位二進制數(shù)字(534)�。另外,在至少一個實施例中�,如步驟730所示修改步驟7114, 其中差異516等于使用多個隨機偏移的多個改變��。
圖8說明用于提供安全通信的方法800的一個示范性實施例����。更明確地說,方法800 針對發(fā)送含有動態(tài)證書的消息�����。方法800在開始于起始步驟802,并在步驟804繼續(xù)���, 在步驟804處�,客戶端通信裝置600操作以經(jīng)由網(wǎng)絡接收包含隨機偏移612的信號�。方 法800還包含步驟806,在步驟806處����,客戶端通信裝置600操作以通過將隨機偏移612 施加到客戶端通信裝置動態(tài)證書610來改變所述客戶端通信裝置動態(tài)證書610�。 一旦客 戶端通信裝置動態(tài)證書610已改變,在步驟808中,客戶端通信裝置600便操作以經(jīng)由 網(wǎng)絡發(fā)送經(jīng)改變的客戶端通信裝置動態(tài)證書600���。
在至少一個實施例中��,方法800進一步包含任選步驟812��,在步驟812中�,系統(tǒng)進 一步操作以經(jīng)由網(wǎng)絡發(fā)送注冊信號�����。另外��,其它實施例進一步包含步驟814�,在步驟814 中,系統(tǒng)進一步操作以經(jīng)由網(wǎng)絡接收服務器通信裝置動態(tài)證書510����。此外,在至少一個 實施例中���,包含另一步驟816,在步驟816中�����,系統(tǒng)操作以存儲服務器通信裝置動態(tài)證 書510作為客戶端通信裝置動態(tài)證書610�����。并且��,在至少一個實施例中��,如步驟818所 示修改步驟804�����,其中隨機偏移612包含多個二進制位�����,所述多個位中僅一個位是固定的(626)���。另外�����,在至少一個實施例中���,如步驟820所示修改步驟806,其中客戶端通 信裝置動態(tài)證書610包含多個二進制位(620)�����。另外����,在至少一個實施例中,如步驟822 所示修改步驟806����,其中客戶端通信裝置動態(tài)證書610是32位二進制數(shù)字(624)。
技術(shù)人員將進一步了解����,結(jié)合本文揭示的實施例描述的各種說明性邏輯區(qū)塊、配置���、 模塊��、電路和算法步驟可實施為電子硬件����、計算機軟件�,或兩者的組合��。為了清楚地說 明硬件與軟件的這種可互換性�����,上文已大體上依照各種說明性組件����、區(qū)塊����、配置、?!姥搿?電路和步驟的功能而描述了所述各種說明性組件����、區(qū)塊、配置�、模塊、電路和步驟����。此 功能實施為硬件還是軟件取決于特定應用和強加于整個系統(tǒng)的設(shè)計約束。熟練的技術(shù)人 員可針對每一特定應用以不同方式實施所述功能,但這些實施決策不應理解為導致與本 發(fā)明范圍的偏離�����。
結(jié)合本文揭示的實施例描述的方法或算法的步驟可直接包含在硬件中��、由處理器執(zhí) 行的軟件模塊中����,或兩者的組合中���。軟件模塊可駐存在RAM存儲器�����、快閃存儲器���、ROM 存儲器、PROM存儲器���、EPROM存儲器���、EEPROM存儲器、寄存器�����、硬盤、可移動磁 盤�、CD-ROM,或此項技術(shù)中已知的任何其它形式的存儲媒體中。示范性存儲媒體耦合 到處理器�����,使得處理器可從存儲媒體讀取信息和將信息寫入到存儲媒體���?����;蛘?�,存儲媒 體可與處理器成一體�����。處理器和存儲媒體可駐存在ASIC中���。ASIC可駐存在計算裝置或 用戶終端機中。或者����,處理器和存儲媒體可作為離散組件駐存在計算裝置或用戶終端中。
提供所揭示的實施例的先前描述以使所屬領(lǐng)域的技術(shù)人員能夠制作或使用本發(fā)明�����。 所屬領(lǐng)域的技術(shù)人員將易于了解對這些實施例的各種修改�,且本文定義的一般原理可在 不偏離本發(fā)明精神或范圍的情況下應用于其它實施例�����。因此����,不希望本發(fā)明限于本文展 示的實施例,而是本發(fā)明應符合與本文揭示的原理和新穎特征一致的最廣范圍��。
權(quán)利要求
1. 一種用于檢測復制的通信裝置的方法���,其包含產(chǎn)生隨機偏移�����;通過將所述隨機偏移施加到服務器通信裝置動態(tài)證書來改變所述服務器通信裝置動態(tài)證書�;存儲所述服務器通信裝置動態(tài)證書;經(jīng)由網(wǎng)絡發(fā)送包含所述隨機偏移的信號�����;經(jīng)由網(wǎng)絡接收包含動態(tài)證書的信號��;確定所述服務器通信裝置動態(tài)證書與所述接收到的動態(tài)證書之間的差異�;和基于所述差異來檢測復制的通信裝置的存在。
2. 根據(jù)權(quán)利要求l所述的方法�����,其進一步包含產(chǎn)生服務器通信裝置動態(tài)證書��;和 經(jīng)由網(wǎng)絡發(fā)送所述服務器通信裝置動態(tài)證書��。
3. 根據(jù)權(quán)利要求1所述的方法�����,其進一步包含其中所述服務器通信裝置動態(tài)證書包含多個二進制位����;且 其中所述隨機偏移包含多個二進制位���,而所述多個位中僅一個位是固定的。
4. 根據(jù)權(quán)利要求1所述的方法�����,其中所述差異等于使用多個隨機偏移的多個改變����。
5. 根據(jù)權(quán)利要求1所述的方法,其中所述服務器通信裝置動態(tài)證書是32位二進制數(shù) 字�����。
6. —種用于檢測復制的通信裝置的方法����,其包含經(jīng)由網(wǎng)絡接收包含隨機偏移的信號��;通過將所述隨機偏移施加到客戶端通信裝置動態(tài)證書來改變所述客戶端通信裝 置動態(tài)證書��;和經(jīng)由所述網(wǎng)絡發(fā)送所述經(jīng)改變的客戶端通信裝置動態(tài)證書�。
7. 根據(jù)權(quán)利要求6所述的方法,其進一步包含經(jīng)由網(wǎng)絡發(fā)送注冊信號���;經(jīng)由網(wǎng)絡接收服務器通信裝置動態(tài)證書����;和存儲所述服務器通信裝置動態(tài)證書作為客戶端通信裝置動態(tài)證書。
8. 根據(jù)權(quán)利要求6所述的方法��,其進一步包含其中所述客戶端通信裝置動態(tài)證書包含多個二進制位�;且 其中所述隨機偏移包含多個二進制位,而所述多個位中僅一個位是固定的�。
9. 根據(jù)權(quán)利要求6所述的方法,其中所述客戶端通信裝置動態(tài)證書是32位二進制數(shù) 字���。
10. —種用于檢測復制的通信裝置的方法���,其包含產(chǎn)生隨機偏移;通過將所述隨機偏移施加到服務器通信裝置動態(tài)證書來改變所述服務器通信裝 置動態(tài)證書����;存儲所述服務器通信裝置動態(tài)證書;經(jīng)由網(wǎng)絡發(fā)送包含所述隨機偏移的信號����;經(jīng)由網(wǎng)絡接收包含所述隨機偏移的信號;通過將所述隨機偏移施加到客戶端通信裝置動態(tài)證書來改變所述客戶端通信裝 置動態(tài)證書��;經(jīng)由所述網(wǎng)絡發(fā)送所述經(jīng)改變的客戶端通信裝置動態(tài)證書; 經(jīng)由網(wǎng)絡接收包含所述經(jīng)改變的客戶端通信裝置動態(tài)證書的信號��; 確定所述服務器通信裝置動態(tài)證書與所述經(jīng)改變的客戶端通信裝置動態(tài)證書之 間的差異�����;和基于所述差異來檢測復制的通信裝置的存在����。
11. 根據(jù)權(quán)利要求IO所述的方法,其進一步包含產(chǎn)生服務器通信裝置動態(tài)證書���;經(jīng)由網(wǎng)絡發(fā)送所述服務器通信裝置動態(tài)證書��;經(jīng)由網(wǎng)絡發(fā)送注冊信號���;經(jīng)由網(wǎng)絡接收所述服務器通信裝置動態(tài)證書��;和存儲所述服務器通信裝置動態(tài)證書作為客戶端通信裝置動態(tài)證書�����。
12. —種用于檢測復制的通信裝置的服務器���,其包含經(jīng)配置以產(chǎn)生隨機偏移的邏輯�����;經(jīng)配置以通過將所述隨機偏移施加到服務器通信裝置動態(tài)證書來改變所述服務 器通信裝置動態(tài)證書的邏輯�;經(jīng)配置以存儲所述服務器通信裝置動態(tài)證書的邏輯; 經(jīng)配置以經(jīng)由網(wǎng)絡發(fā)送包含所述隨機偏移的信號的邏輯�;經(jīng)配置以經(jīng)由網(wǎng)絡接收包含動態(tài)證書的信號的邏輯;經(jīng)配置以確定所述服務器通信裝置動態(tài)證書與所述接收到的動態(tài)證書之間的差 異的邏輯��;和經(jīng)配置以基于所述差異來檢測復制的通信裝置的存在的邏輯�。
13. 根據(jù)權(quán)利要求12所述的服務器,其進一步包含經(jīng)配置以產(chǎn)生服務器通信裝置動態(tài)證書的邏輯�����;和 經(jīng)配置以經(jīng)由網(wǎng)絡發(fā)送所述服務器通信裝置動態(tài)證書的邏輯�。
14. 根據(jù)權(quán)利要求12所述的服務器,其進一步包含其中所述服務器通信裝置動態(tài)證書包含多個二進制位����;且 其中所述隨機偏移包含多個二進制位,而所述多個位中僅一個位是固定的���。
15. 根據(jù)權(quán)利要求12所述的服務器��,其中所述差異等于使用多個隨機偏移的多個改變�。
16. 根據(jù)權(quán)利要求12所述的服務器,其中所述服務器通信裝置動態(tài)證書是32位二進制 數(shù)字���。
17. —種可在系統(tǒng)中操作以檢測復制的通信裝置的客戶端通信裝置��,其包含經(jīng)配置以經(jīng)由網(wǎng)絡接收包含隨機偏移的信號的邏輯���;經(jīng)配置以通過將所述隨機偏移施加到客戶端通信裝置動態(tài)證書來改變所述客戶 端通信裝置動態(tài)證書的邏輯;和經(jīng)配置以經(jīng)由所述網(wǎng)絡發(fā)送所述經(jīng)改變的客戶端通信裝置動態(tài)證書的邏輯�����。
18. 根據(jù)權(quán)利要求17所述的客戶端通信裝置��,其進一步包含經(jīng)配置以經(jīng)由網(wǎng)絡發(fā)送注冊信號的邏輯�; 經(jīng)配置以經(jīng)由網(wǎng)絡接收服務器通信裝置動態(tài)證書的邏輯;和 經(jīng)配置以存儲所述服務器通信裝置動態(tài)證書作為客戶端通信裝置動態(tài)證書的邏 輯��。
19. 根據(jù)權(quán)利要求17所述的客戶端通信裝置�����,其進一步包含-其中所述客戶端通信裝置動態(tài)證書包含多個二進制位��;且 其中所述隨機偏移包含多個二進制位�����,而所述多個位中僅一個位是固定的���。
20. 根據(jù)權(quán)利要求17所述的客戶端通信裝置�����,其中所述客戶端通信裝置動態(tài)證書是32 位二進制數(shù)字��。
21. —種用于檢測復制的通信裝置的系統(tǒng)��,其包含服務器�����,其包含經(jīng)配置以執(zhí)行以下操作的邏輯產(chǎn)生隨機偏移�;通過將所述隨機偏移施加到服務器通信裝置動態(tài)證書來改變所述服務器通信 裝置動態(tài)證書���;存儲所述服務器通信裝置動態(tài)證書���;經(jīng)由網(wǎng)絡發(fā)送包含所述隨機偏移的信號���;經(jīng)由網(wǎng)絡接收包含動態(tài)證書的信號;確定所述服務器通信裝置動態(tài)證書與所述接收到的動態(tài)證書之間的差異��;和 基于所述差異來檢測復制的通信裝置的存在����;以及 客戶端通信裝置,其包含經(jīng)配置以執(zhí)行以下操作的邏輯-經(jīng)由網(wǎng)絡接收包含所述隨機偏移的信號����;通過將所述隨機偏移施加到客戶端通信裝置動態(tài)證書來改變所述客戶端通信 裝置動態(tài)證書;和經(jīng)由所述網(wǎng)絡發(fā)送所述經(jīng)改變的客戶端通信裝置動態(tài)證書�����。
22. 根據(jù)權(quán)利要求21所述的系統(tǒng)���,其中所述服務器進一步包含經(jīng)配置以執(zhí)行以下操作的邏輯產(chǎn)生服務器通信裝置動態(tài)證書����;經(jīng)由網(wǎng)絡發(fā)送所述服務器通信裝置動態(tài)證書���; 所述客戶端通信裝置進一步包含經(jīng)配置以執(zhí)行以下操作的邏輯經(jīng)由網(wǎng)絡發(fā)送注冊信號����;經(jīng)由網(wǎng)絡接收所述服務器通信裝置動態(tài)證書���;和 存儲所述服務器通信裝置動態(tài)證書作為客戶端通信裝置動態(tài)證書�。
23. —種包含在計算機可讀媒體上的計算機程序�,所述計算機程序能夠檢測復制的通信 裝置,所述計算機程序包括可操作以產(chǎn)生隨機偏移的代碼�����;可操作以通過將所述隨機偏移施加到服務器通信裝置動態(tài)證書來改變所述服務 器通信裝置動態(tài)證書的代碼�;可操作以存儲所述服務器通信裝置動態(tài)證書的代碼; 可操作以經(jīng)由網(wǎng)絡發(fā)送包含所述隨機偏移的信號的代碼�; 可操作以經(jīng)由網(wǎng)絡接收包含動態(tài)證書的信號的代碼;可操作以確定所述服務器通信裝置動態(tài)證書與所述接收到的動態(tài)證書之間的差異的代碼��;和可操作以基于所述差異來檢測復制的通信裝置的存在的代碼�。
24. 根據(jù)權(quán)利要求23所述的計算機程序,其進一步包含可操作以產(chǎn)生服務器通信裝置動態(tài)證書的代碼���;和 可操作以經(jīng)由網(wǎng)絡發(fā)送所述服務器通信裝置動態(tài)證書的代碼��。
25. 根據(jù)權(quán)利要求23所述的計算機程序����,其進一步包含-其中所述服務器通信裝置動態(tài)證書包含多個二進制位;且 其中所述隨機偏移包含多個二進制位��,而所述多個位中僅一個位是固定的����。
26. 根據(jù)權(quán)利要求23所述的計算機程序,其中所述差異等于使用多個隨機偏移的多個 改變�。
27. 根據(jù)權(quán)利要求23所述的計算機程序,其中所述服務器通信裝置動態(tài)證書是32位二 進制數(shù)字���。
28. —種包含在計算機可讀媒體上的計算機程序�,所述計算機程序能夠使用隨機偏移來 改變動態(tài)證書����,所述計算機程序包括可操作以經(jīng)由網(wǎng)絡接收包含隨機偏移的信號的代碼;可操作以通過將所述隨機偏移施加到客戶端通信裝置動態(tài)證書來改變所述客戶 端通信裝置動態(tài)證書的代碼���;和可操作以經(jīng)由所述網(wǎng)絡發(fā)送所述經(jīng)改變的客戶端通信裝置動態(tài)證書的代碼�。
29. 根據(jù)權(quán)利要求28所述的計算機程序�,其進一步包含 可操作以經(jīng)由網(wǎng)絡發(fā)送注冊信號的代碼���; 可操作以經(jīng)由網(wǎng)絡接收服務器通信裝置動態(tài)證書的代碼;和可操作以存儲所述服務器通信裝置動態(tài)證書作為客戶端通信裝置動態(tài)證書的代 碼�。
30. 根據(jù)權(quán)利要求28所述的計算機程序,其進一步包含.-其中所述客戶端通信裝置動態(tài)證書包含多個二進制位��;且 其中所述隨機偏移包含多個二進制位����,而所述多個位中僅一個位是固定的��。
31. 根據(jù)權(quán)利要求28所述的計算機程序��,其中所述客戶端通信裝置動態(tài)證書是32位二 進制數(shù)字���。
32. —種包含在計算機可讀媒體上的計算機程序�,所述計算機程序能夠檢測復制的通信 裝置��,所述計算機程序包括可操作以產(chǎn)生隨機偏移的代碼�����;可操作以通過將所述隨機偏移施加到服務器通信裝置動態(tài)證書來改變所述服務 器通信裝置動態(tài)證書的代碼�����;可操作以存儲所述服務器通信裝置動態(tài)證書的代碼;可操作以經(jīng)由網(wǎng)絡發(fā)送包含所述隨機偏移的信號的代碼�;可操作以經(jīng)由網(wǎng)絡接收包含所述隨機偏移的信號的代碼;可操作以通過將所述隨機偏移施加到客戶端通信裝置動態(tài)證書來改變所述客戶端通信裝置動態(tài)證書的代碼��;可操作以經(jīng)由所述網(wǎng)絡發(fā)送所述經(jīng)改變的客戶端通信裝置動態(tài)證書的代碼�; 可操作以經(jīng)由網(wǎng)絡接收包含所述經(jīng)改變的客戶端通信裝置動態(tài)證書的信號的代碼;可操作以確定所述服務器通信裝置動態(tài)證書與所述經(jīng)改變的客戶端通信裝置動 態(tài)證書之間的差異的代碼�����;和可操作以基于所述差異來檢測復制的通信裝置的存在的代碼����。
33. 根據(jù)權(quán)利要求32所述的計算機程序,其進一步包含-產(chǎn)生服務器通信裝置動態(tài)證書����;經(jīng)由網(wǎng)絡發(fā)送所述服務器通信裝置動態(tài)證書;經(jīng)由網(wǎng)絡發(fā)送注冊信號���;經(jīng)由網(wǎng)絡接收所述服務器通信裝置動態(tài)證書���;和 存儲所述服務器通信裝置動態(tài)證書作為客戶端通信裝置動態(tài)證書�。
34. —種用于檢測復制的通信裝置的服務器���,其包含用于產(chǎn)生隨機偏移的裝置��;用于通過將所述隨機偏移施加到服務器通信裝置動態(tài)證書來改變所述服務器通信裝置動態(tài)證書的裝置�����;用于存儲所述服務器通信裝置動態(tài)證書的裝置����; 用于經(jīng)由網(wǎng)絡發(fā)送包含所述隨機偏移的信號的裝置�����;用于經(jīng)由網(wǎng)絡接收包含動態(tài)證書的信號的裝置��;用于確定所述服務器通信裝置動態(tài)證書與所述接收到的動態(tài)證書之間的差異的 裝置�����;用于基于所述差異來檢測復制的通信裝置的存在的裝置�。
35. 根據(jù)權(quán)利要求34所述的服務器�����,其進一步包含-用于產(chǎn)生服務器通信裝置動態(tài)證書的裝置;和 用于經(jīng)由網(wǎng)絡發(fā)送所述服務器通信裝置動態(tài)證書的裝置����。
36. 根據(jù)權(quán)利要求34所述的服務器,其進一步包含其中所述服務器通信裝置動態(tài)證書包含多個二進制位�;且 其中所述隨機偏移包含多個二進制位,而所述多個位中僅一個位是固定的�。
37. 根據(jù)權(quán)利要求34所述的服務器,其中所述差異等于使用多個隨機偏移的多個改變���。
38. 根據(jù)權(quán)利要求34所述的服務器�,其中所述服務器通信裝置動態(tài)證書是32位二進制 數(shù)字���。
39. —種可在系統(tǒng)中操作以檢測復制的通信裝置的客戶端通信裝置��,其包含用于經(jīng)由網(wǎng)絡接收包含隨機偏移的信號的裝置���;用于通過將所述隨機偏移施加到客戶端通信裝置動態(tài)證書來改變所述客戶端通 信裝置動態(tài)證書的裝置;和用于經(jīng)由所述網(wǎng)絡發(fā)送所述經(jīng)改變的客戶端通信裝置動態(tài)證書的裝置����。
40. 根據(jù)權(quán)利要求39所述的客戶端通信裝置����,其進一步包含-用于經(jīng)由網(wǎng)絡發(fā)送注冊信號的裝置���;用于經(jīng)由網(wǎng)絡接收服務器通信裝置動態(tài)證書的裝置��;和用于存儲所述服務器通信裝置動態(tài)證書作為客戶端通信裝置動態(tài)證書的裝置��。
41. 根據(jù)權(quán)利要求39所述的客戶端通信裝置����,其進一步包含其中所述客戶端通信裝置動態(tài)證書包含多個二進制位��;且 其中所述隨機偏移包含多個二進制位��,而所述多個位中僅一個位是固定的����。
42. 根據(jù)權(quán)利要求39所述的客戶端通信裝置�����,其中所述客戶端通信裝置動態(tài)證書是32 位二進制數(shù)字���。
43. —種用于檢測復制的通信裝置的系統(tǒng)��,其包含服務器��,其包含用于執(zhí)行以下操作的裝置 產(chǎn)生隨機偏移���;通過將所述隨機偏移施加到服務器通信裝置動態(tài)證書來改變所述服務器通信 裝置動態(tài)證書����;存儲所述服務器通信裝置動態(tài)證書�; 經(jīng)由網(wǎng)絡發(fā)送包含所述隨機偏移的信號;經(jīng)由網(wǎng)絡接收包含動態(tài)證書的信號�;確定所述服務器通信裝置動態(tài)證書與所述接收到的動態(tài)證書之間的差異;和 基于所述差異來檢測復制的通信裝置的存在���;以及 客戶端通信裝置�,其包含用于執(zhí)行以下操作的裝置 經(jīng)由網(wǎng)絡接收包含所述隨機偏移的信號�;通過將所述隨機偏移施加到客戶端通信裝置動態(tài)證書來改變所述客戶端通信 裝置動態(tài)證書;和經(jīng)由所述網(wǎng)絡發(fā)送所述經(jīng)改變的客戶端通信裝置動態(tài)證書�����。
44.根據(jù)權(quán)利要求43所述的系統(tǒng),其中所述服務器進一步包含用于執(zhí)行以下操作的裝置產(chǎn)生服務器通信裝置動態(tài)證書�;經(jīng)由網(wǎng)絡發(fā)送所述服務器通信裝置動態(tài)證書; 所述客戶端通信裝置進一步包含用于執(zhí)行以下操作的裝置-經(jīng)由網(wǎng)絡發(fā)送注冊信號���;經(jīng)由網(wǎng)絡接收所述服務器通信裝置動態(tài)證書����;和 存儲所述服務器通信裝置動態(tài)證書作為客戶端通信裝置動態(tài)證書��。
全文摘要
本發(fā)明提供一種用于提供客戶端通信裝置與服務器之間的安全通信的系統(tǒng)和方法���。服務器產(chǎn)生隨機偏移���。所述服務器通過將所述隨機偏移施加到服務器通信裝置動態(tài)證書來改變所述服務器通信裝置動態(tài)證書。所述服務器存儲所述服務器通信裝置動態(tài)證書��。所述服務器經(jīng)由網(wǎng)絡發(fā)送包含所述隨機偏移的信號����。所述服務器經(jīng)由網(wǎng)絡接收包含動態(tài)證書的信號�����。所述服務器確定所述服務器通信裝置動態(tài)證書與所述接收到的動態(tài)證書之間的差異。另外���,所述服務器基于所述差異來檢測復制的通信裝置的存在��。
文檔編號G06F12/14GK101443741SQ200580046476
公開日2009年5月27日 申請日期2005年11月15日 優(yōu)先權(quán)日2004年11月16日
發(fā)明者伊萬·休·麥克萊恩 申請人:高通股份有限公司