專利名稱:推消息處理方法�、用于實(shí)現(xiàn)推消息處理方法的系統(tǒng)及設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)���,尤其涉及一種推消息處理方法��、用于實(shí)現(xiàn)推消息處理方法 的系統(tǒng)及設(shè)備���。
背景技術(shù):
移動網(wǎng)絡(luò)的推消息(PUSH消息)業(yè)務(wù)是移動網(wǎng)絡(luò)中的基礎(chǔ)業(yè)務(wù)�����。移動網(wǎng)絡(luò)運(yùn)營商(或者增值業(yè)務(wù)提供商)可以通過PUSH消息業(yè)務(wù)�,向移動網(wǎng)絡(luò)終 端發(fā)送控制類型的消息。例如�����,當(dāng)移動終端用戶(發(fā)方用戶)向另外的移動終端用戶(收 方用戶)發(fā)送多媒體消息(MMS)時(shí),移動網(wǎng)絡(luò)運(yùn)營系統(tǒng)會向收方用戶終端發(fā)送提取MMS消 息的PUSH消息�,收方用戶終端根據(jù)PUSH消息的提示,到約定的網(wǎng)絡(luò)地址提取MMS消息����。另 外,移動網(wǎng)絡(luò)的增值業(yè)務(wù)提供商�,向收方用戶發(fā)送多媒體廣告信息鏈接信息,收方用戶終端 接收到相關(guān)信息后�,根據(jù)信息的約定,啟動終端中的廣告播放應(yīng)用軟件����,廣告播放應(yīng)用軟件 按約定的信息播放廣告。PUSH消息處理系統(tǒng)包括消息發(fā)送系統(tǒng)(設(shè)備)�����、消息遞送系統(tǒng)及消息接收設(shè)備���。 移動網(wǎng)絡(luò)運(yùn)營商(或者增值業(yè)務(wù)提供商)通過消息發(fā)送系統(tǒng)(設(shè)備)生成并發(fā)送PUSH消 息給消息遞送系統(tǒng)����,消息遞送系統(tǒng)將PUSH消息推送給消息接收設(shè)備如收方用戶終端。但是PUSH消息的發(fā)送也存在通信安全問題�,如PUSH消息是否來自惡意發(fā)送者, PUSH消息本身是否安全等?���,F(xiàn)有技術(shù)中,申請?zhí)枮?00610137955. 7的中國專利申請《一種用于驗(yàn)證PUSH消息 及其發(fā)送方身份的方法》�,通過推送發(fā)起者(PUSH Initiator,PI)的IP地址或PI在證書認(rèn) 證中心(Certificate Authority, CA)登記獲得的數(shù)字證書驗(yàn)證PI的身份,并通過PUSH消 息的數(shù)字簽名驗(yàn)證PUSH消息的完整性�,以防止通信過程中的任何攻擊,實(shí)現(xiàn)PUSH消息發(fā)送 過程中的安全性�。另外,為了保證安全����,移動網(wǎng)絡(luò)的運(yùn)營商通常不開放PUSH消息的發(fā)送權(quán),以針對 現(xiàn)有PUSH消息處理技術(shù)和標(biāo)準(zhǔn)中沒有統(tǒng)一安全控制機(jī)制的情況��,確定PUSH消息發(fā)送安全?,F(xiàn)有技術(shù)存在的缺陷至少在于上述方法雖然都能夠保證PUSH消息發(fā)送過程中 的安全性,但是都無法保證PUSH消息的處理安全可控��。如一個(gè)實(shí)體(例如��,移動網(wǎng)絡(luò)運(yùn)營 商�、增值業(yè)務(wù)提供商,稱為發(fā)方實(shí)體)向另一個(gè)實(shí)體(例如�,移動業(yè)務(wù)用戶,稱為收方實(shí)體) 發(fā)送PUSH消息����,當(dāng)應(yīng)用客戶端為惡意應(yīng)用客戶端時(shí),在PUSH消息的觸發(fā)下����,會執(zhí)行諸如將 消息接收設(shè)備中的重要資料發(fā)送出去等攻擊行為。
發(fā)明內(nèi)容
本發(fā)明提供一種推消息處理方法�����、用于實(shí)現(xiàn)推消息處理方法的系統(tǒng)及設(shè)備���,用以 解決現(xiàn)有技術(shù)中消息接收設(shè)備處理推消息的安全性低的問題���,實(shí)現(xiàn)推消息處理安全性的提高。本發(fā)明提供一種推消息處理方法�����,包括
消息接收設(shè)備接收消息發(fā)送系統(tǒng)發(fā)送的包含推應(yīng)用標(biāo)識的推消息�;消息接收設(shè)備根據(jù)所述推應(yīng)用標(biāo)識匹配相應(yīng)的應(yīng)用客戶端����,判斷匹配的應(yīng)用客戶 端是否已注冊�,以及所述匹配的應(yīng)用客戶端生成的推消息響應(yīng)能力文件是否獲得簽名;若所述匹配的應(yīng)用客戶端已注冊���,且其推消息響應(yīng)能力文件獲得簽名�����,啟動所述 匹配的應(yīng)用客戶端處理接收到的推消息���;若所述匹配的應(yīng)用客戶端未注冊,或其推消息響 應(yīng)能力文件未獲得簽名�,則拒絕處理接收到的推消息。本發(fā)明還提供一種用于實(shí)現(xiàn)上述推消息處理方法的消息安全管理系統(tǒng)�����,包括應(yīng)用管理與服務(wù)模塊��,用于對應(yīng)用客戶端的推消息響應(yīng)能力文件進(jìn)行簽名�����,對所 述應(yīng)用客戶端進(jìn)行注冊���,并驗(yàn)證所述應(yīng)用客戶端的推消息響應(yīng)能力文件的簽名��;可信應(yīng)用列表管理與服務(wù)模塊����,用于建立并維護(hù)可信應(yīng)用列表�,所述可信應(yīng)用列 表為通過注冊和簽名的應(yīng)用客戶端信息列表。本發(fā)明還提供一種用于實(shí)現(xiàn)上述推消息處理方法的消息接收設(shè)備�,包括消息接收客戶端,用于接收消息發(fā)送系統(tǒng)發(fā)送的包含推應(yīng)用標(biāo)識的推消息��;消息安全管理客端����,與所述消息接收客戶端相連,用于根據(jù)所述消息接收客戶端 接收的推消息中的推應(yīng)用標(biāo)識��,匹配相應(yīng)的應(yīng)用客戶端����,判斷匹配的應(yīng)用客戶端是否已注 冊,以及所述匹配的應(yīng)用客戶端生成的推消息響應(yīng)能力文件是否獲得簽名�,若所述匹配的 應(yīng)用客戶端已注冊且生成的推消息響應(yīng)能力文件獲得簽名���,則調(diào)用并啟動所述匹配的應(yīng)用 客戶端處理所述推消息;應(yīng)用客戶端�,與所述消息安全管理客戶端相連,用于在所述消息安全管理客戶端 的調(diào)用下�,啟動并處理所述消息接收客戶端接收的推消息。本發(fā)明還提供一種推消息處理系統(tǒng)��,包括消息發(fā)送系統(tǒng)��、消息遞送系統(tǒng)�,其中,還 包括上述消息安全管理系統(tǒng)及上述消息接收設(shè)備���;所述消息安全管理系統(tǒng)與所述消息發(fā)送系統(tǒng)�����、消息遞送系統(tǒng)及消息接收設(shè)備通信 連接����;所述消息發(fā)送系統(tǒng)通過所述消息遞送系統(tǒng)��,將生成的包含推應(yīng)用標(biāo)識的推消息發(fā) 送給所述消息接收設(shè)備,所述消息接收設(shè)備用于根據(jù)所述推應(yīng)用標(biāo)識匹配相應(yīng)的應(yīng)用客戶 端�����,判斷匹配的應(yīng)用客戶端是否已注冊�,以及所述匹配的應(yīng)用客戶端生成的推消息響應(yīng)能 力文件是否獲得簽名�����;若所述匹配的應(yīng)用客戶端已注冊且生成的推消息響應(yīng)能力文件獲得 簽名�,則調(diào)用并啟動所述匹配的應(yīng)用客戶端處理所述推消息。本發(fā)明還提供一種用于上述推消息處理系統(tǒng)中申請身份證書的方法����,包括消息發(fā)送系統(tǒng)、消息遞送系統(tǒng)或消息接收設(shè)備向消息安全管理系統(tǒng)發(fā)送申請信 息����,申請身份證書,所述申請信息至少包括用戶名��、用戶密碼���、用戶描述及服務(wù)類型���;所述消息安全管理系統(tǒng)根據(jù)所述申請信息生成身份證書及對應(yīng)的密鑰��,反饋給所 述消息發(fā)送系統(tǒng)����、消息遞送系統(tǒng)或消息接收設(shè)備�。本發(fā)明還提供一種用于上述推消息處理系統(tǒng)中應(yīng)用客戶端簽名的方法,包括應(yīng)用客戶端生成至少包括推應(yīng)用標(biāo)識及應(yīng)用客戶端標(biāo)識的推消息響應(yīng)能力文件; 所述應(yīng)用客戶端發(fā)送所述推消息響應(yīng)能力文件的簽名請求�����;消息安全管理系統(tǒng)支持簽名請求的情況下��,計(jì)算所述推消息響應(yīng)能力文件的文件 摘要�����;所述消息安全管理系統(tǒng)采用自身證書私鑰加密所述文件摘要�;
所述消息安全管理系統(tǒng)將加密的文件摘要加入所述推消息響應(yīng)能力文件中;所述 消息安全管理系統(tǒng)將簽名結(jié)果及加入了加密的文件摘要的推消息響應(yīng)能力文件反饋給所 述應(yīng)用客戶端��。本發(fā)明還提供一種用于上述推消息處理系統(tǒng)中應(yīng)用客戶端注冊的方法�,包括應(yīng) 用客戶端安裝到消息接收設(shè)備時(shí),向消息安全管理客戶端提交注冊請求信息����,所述注冊請 求信息中包含推消息響應(yīng)能力文件����;所述消息安全管理客戶端審核所述注冊請求信息中的推消息響應(yīng)能力文件�����;若審 核通過�����,則所述消息安全管理客戶端查詢和更新可信應(yīng)用列表�����,所述可信應(yīng)用列表為通過 消息安全管理系統(tǒng)注冊和簽名的應(yīng)用客戶端的信息列表�;若審核未通過�,則結(jié)束注冊,反饋 注冊失敗結(jié)果�����;若所述可信應(yīng)用列表中包含有提交注冊請求信息的應(yīng)用客戶端的信息�,則所述消 息安全管理客戶端記錄所述提交注冊請求信息的應(yīng)用客戶端的注冊信息,并反饋?zhàn)猿晒?結(jié)果;若所述可信應(yīng)用列表未包含所述提交注冊請求信息的應(yīng)用客戶端的信息����,則反饋?zhàn)?冊失敗結(jié)果。本發(fā)明提供的推消息處理方法����、用于實(shí)現(xiàn)推消息處理方法的系統(tǒng)及設(shè)備,通過在 推應(yīng)用標(biāo)識匹配的應(yīng)用客戶端已注冊且推消息響應(yīng)能力文件獲得簽名的情況下�����,啟動匹配 的應(yīng)用客戶端處理接收到的推消息�,否則拒絕處理推消息,保證了處理推消息的應(yīng)用客戶 端的安全可靠性�����,使得處理推消息的應(yīng)用客戶端安全可控����,提高了推消息處理的安全性。
圖1為本發(fā)明實(shí)施例提供的推消息處理方法的流程圖�����;圖2為本發(fā)明實(shí)施例提供的消息安全管理系統(tǒng)的結(jié)構(gòu)示意圖;圖3為本發(fā)明實(shí)施例提供的可用于實(shí)現(xiàn)上述推消息處理方法的消息接收設(shè)備的 結(jié)構(gòu)示意圖���;圖4為本發(fā)明實(shí)施例提供的推消息處理系統(tǒng)的結(jié)構(gòu)示意圖��;圖5為本發(fā)明實(shí)施例提供的推消息處理系統(tǒng)中消息發(fā)送系統(tǒng)的結(jié)構(gòu)示意圖����;圖6為本發(fā)明實(shí)施例提供的推消息處理系統(tǒng)中消息遞送系統(tǒng)的結(jié)構(gòu)示意圖��;圖7為本發(fā)明實(shí)施例提供的推消息處理系統(tǒng)中申請身份證書的方法實(shí)施例的流 程圖���;圖8為本發(fā)明實(shí)施例提供的推消息處理系統(tǒng)中消息發(fā)送系統(tǒng)申請身份證書的信 令流程圖�;圖9為本發(fā)明實(shí)施例提供的推消息處理系統(tǒng)中應(yīng)用客戶端簽名的方法實(shí)施例的 流程圖;圖10為與圖9對應(yīng)的信令流程圖�����;圖IlA為本發(fā)明實(shí)施例提供的推消息處理系統(tǒng)中應(yīng)用客戶端注冊的方法實(shí)施例 的流程圖�;圖IlB為與圖IlA相對應(yīng)的信令流程圖;圖12為本發(fā)明實(shí)施例提供的推消息處理系統(tǒng)遞送推消息的流程圖�;圖13為本發(fā)明實(shí)施例提供的推消息處理系統(tǒng)中消息接收設(shè)備處理推消息的流程圖。
具體實(shí)施例方式為使本發(fā)明實(shí)施例的目的�、技術(shù)方案和優(yōu)點(diǎn)更加清楚���,下面將結(jié)合本發(fā)明實(shí)施例 中的附圖,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚��、完整地描述����,顯然,所描述的實(shí)施例是 本發(fā)明一部分實(shí)施例�����,而不是全部的實(shí)施例����?���;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員 在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例���,都屬于本發(fā)明保護(hù)的范圍�。圖1為本發(fā)明實(shí)施例提供的推消息處理方法的流程圖���。如圖1所示���,推消息處理 方法包括步驟11、消息接收設(shè)備接收消息發(fā)送系統(tǒng)發(fā)送的包含推(PUSH)應(yīng)用標(biāo)識的推消 息���;步驟12���、消息接收設(shè)備根據(jù)所述推應(yīng)用標(biāo)識匹配相應(yīng)的應(yīng)用客戶端,判斷匹配的 應(yīng)用客戶端是否已注冊���,以及所述匹配的應(yīng)用客戶端生成的推消息響應(yīng)能力文件是否獲得 簽名�;步驟13�、若所述匹配的應(yīng)用客戶端已注冊�����,且其推消息響應(yīng)能力文件獲得簽名��,啟 動所述匹配的應(yīng)用客戶端處理接收到的推消息;若所述匹配的應(yīng)用客戶端未注冊�����,或其推 消息響應(yīng)能力文件未獲得簽名�����,則拒絕處理接收到的推消息���。本實(shí)施例中,消息接收設(shè)備通過在推應(yīng)用標(biāo)識匹配的應(yīng)用客戶端已注冊且推消息 響應(yīng)能力文件獲得簽名的情況下�����,啟動匹配的應(yīng)用客戶端處理接收到的推消息���,否則拒絕 處理推消息,保證了處理推消息的應(yīng)用客戶端的安全可靠性����,使得處理推消息的應(yīng)用客戶 端安全可控,提高了推消息處理的安全性���。上述步驟11中�,推消息還可進(jìn)一步包括應(yīng)用客戶端標(biāo)識,此時(shí)��,步驟12中����,消息接 收設(shè)備根據(jù)所述推應(yīng)用標(biāo)識匹配相應(yīng)的應(yīng)用客戶端包括消息接收設(shè)備根據(jù)所述推應(yīng)用標(biāo) 識及應(yīng)用客戶端標(biāo)識匹配相應(yīng)的應(yīng)用客戶端�����。當(dāng)推應(yīng)用標(biāo)識匹配有多個(gè)應(yīng)用客戶端時(shí)�,可通過應(yīng)用客戶端標(biāo)識直接匹配出消息 發(fā)送系統(tǒng)期望使用的應(yīng)用客戶端,來處理推消息�。其中,推應(yīng)用標(biāo)識是指在PUSH消息應(yīng)用規(guī)范中���,用于標(biāo)識應(yīng)用客戶端程序的應(yīng)用 標(biāo)識串(文本字符串)���。推應(yīng)用標(biāo)識由開放移動聯(lián)盟(OMA)組織維護(hù)。同一個(gè)應(yīng)用客戶端��, 可以同時(shí)響應(yīng)多個(gè)推應(yīng)用標(biāo)識���。應(yīng)用客戶端標(biāo)識是指用于標(biāo)識應(yīng)用客戶端的識別串����,可以使用全球用戶標(biāo)識 (GUID)作為應(yīng)用客戶端標(biāo)識�����。上述步驟11中�,消息發(fā)送系統(tǒng)發(fā)送的包含推應(yīng)用標(biāo)識的推消息,還可包括消息摘 要�����,該消息摘要可為經(jīng)過所述消息發(fā)送系統(tǒng)簽名的摘要�。當(dāng)消息摘要為經(jīng)過所述消息發(fā)送系統(tǒng)簽名的摘要時(shí),上述步驟12之前還可進(jìn)一 步包括消息接收設(shè)備根據(jù)所述推消息經(jīng)過所述消息發(fā)送系統(tǒng)簽名的摘要即摘要簽名驗(yàn)證 所述消息發(fā)送系統(tǒng)的身份���,若驗(yàn)證通過����,則消息接收設(shè)備根據(jù)所述推應(yīng)用標(biāo)識匹配相應(yīng)的 應(yīng)用客戶端����;若驗(yàn)證未通過,則拒絕處理所述推消息。保證在消息發(fā)送方不可靠的情況下���, 避免處理接收到的推消息���,減輕了消息接收設(shè)備的處理負(fù)荷,提高了處理推消息的效率及 安全性�����。
基于上述實(shí)施例中推消息處理方法的思想���,本發(fā)明實(shí)施例提供了可用于實(shí)現(xiàn)上述 推消息處理方法的消息安全管理系統(tǒng)及消息安全管理客戶端���,其中消息安全管理系統(tǒng)對應(yīng) 用客戶端進(jìn)行安全管理,負(fù)責(zé)確保應(yīng)用客戶端的安全可靠性��,消息安全管理客戶端安裝在 消息接收設(shè)備中�����,用于協(xié)助消息安全管理系統(tǒng)確保應(yīng)用客戶端的安全可靠性��。圖2為本發(fā)明實(shí)施例提供的消息安全管理系統(tǒng)的結(jié)構(gòu)示意圖����,如圖2所示,消息安 全管理系統(tǒng)包括應(yīng)用管理與服務(wù)模塊21及可信應(yīng)用列表管理與服務(wù)模塊22���。應(yīng)用管理與服務(wù)模塊21用于對應(yīng)用客戶端的推消息響應(yīng)能力文件進(jìn)行簽名��,對 所述應(yīng)用客戶端進(jìn)行注冊�����,并驗(yàn)證所述應(yīng)用客戶端的推消息響應(yīng)能力文件的簽名�����。其中�����,應(yīng) 用客戶端可直接向消息安全管理系統(tǒng)發(fā)起注冊和簽名的申請��,也可通過消息發(fā)送系統(tǒng)轉(zhuǎn)發(fā) 向消息安全管理系統(tǒng)發(fā)送注冊和前面的申請�����?����?尚艖?yīng)用列表管理與服務(wù)模塊22用于建立并維護(hù)通過注冊和簽名的應(yīng)用客戶 端信息列表���,為便于描述����,將通過注冊和簽名的應(yīng)用客戶端信息列表命名為可信應(yīng)用列表 (下同)�����。當(dāng)應(yīng)用客戶端注冊及簽名PUSH消息響應(yīng)能力文件時(shí)���,消息安全管理系統(tǒng)修改和 維護(hù)可信應(yīng)用列表�。只有通過注冊和簽名服務(wù)的應(yīng)用客戶端信息才被寫入可信應(yīng)用列表����。 消息安全管理客戶端可定期(或不定期)地從消息安全管理系統(tǒng)中下載可信應(yīng)用列表,以 用于消息接收設(shè)備中安裝應(yīng)用客戶端的注冊��,并用于調(diào)用并啟動可靠的應(yīng)用客戶端處理推 消息��,詳見下述消息接收設(shè)備實(shí)施例以及應(yīng)用客戶端注冊���、推消息處理實(shí)施例中的描述�。本實(shí)施例中,消息安全管理系統(tǒng)為PUSH消息處理系統(tǒng)的安全基礎(chǔ)設(shè)施�,可作為消 息遞送系統(tǒng)的新增功能設(shè)置于消息遞送系統(tǒng),也可單獨(dú)設(shè)置���。本發(fā)明實(shí)施例提供的消息安全管理系統(tǒng)還可進(jìn)一步包括證書管理與服務(wù)模塊23, 用于根據(jù)消息發(fā)送系統(tǒng)����、消息遞送系統(tǒng)或消息接收設(shè)備發(fā)送的申請信息,為消息發(fā)送系統(tǒng)��、 消息遞送系統(tǒng)或消息接收設(shè)備的申請信息提供身份證書及對應(yīng)的密鑰��,并驗(yàn)證所述消息發(fā) 送系統(tǒng)�����、消息遞送系統(tǒng)或消息接收設(shè)備的身份證書��,以進(jìn)一步確保推消息處理系統(tǒng)中發(fā)送����、 遞送及接收各個(gè)環(huán)節(jié)的功能實(shí)體的安全可靠性���。尤其對于消息發(fā)送系統(tǒng),只要通過向消息 安全管理系統(tǒng)申請獲取身份證書及對應(yīng)的密鑰�����,并通過消息安全管理系統(tǒng)的身份驗(yàn)證����,便 可成為推消息的發(fā)送方,既保證了發(fā)送方的安全性���,又保證了推消息發(fā)送的開放性����。其中�����,申請信息至少包括用戶名�����、用戶密碼�、用戶描述及服務(wù)類型等信息����。所述身 份證書至少包括證書格式與版本����、證書編碼方法、簽名算法���、摘要算法�����、證書序列號、證書 主題����、證書的簽名機(jī)構(gòu)標(biāo)識及證書摘要。證書格式與版本可以采用X. 509格式�����;證書編碼方 法可以使用BASE64 �����;簽名算法可以使用RSA算法;摘要算法可以采用縮微圖算法(SHA-I)����; 證書序列號由消息安全管理系統(tǒng)生成,可以是隨機(jī)數(shù)�����;證書主題��,可以包括國家標(biāo)識���、申請 者類型等�����;證書的簽名機(jī)構(gòu)標(biāo)識即消息安全管理系統(tǒng)的標(biāo)識����;證書摘要用于檢測證書��。身 份證書對應(yīng)的公鑰存儲在身份證書中����,身份證書對應(yīng)的私鑰存儲在相應(yīng)功能實(shí)體如消息發(fā) 送系統(tǒng)�����、消息遞送系統(tǒng)��、消息接收設(shè)備等的安全存儲地點(diǎn)����,并可以以加密的方式存儲����。圖3為本發(fā)明實(shí)施例提供的可用于實(shí)現(xiàn)上述推消息處理方法的消息接收設(shè)備的 結(jié)構(gòu)示意圖,如圖3所示��,消息接收設(shè)備包括消息接收客戶端31�、消息安全管理客戶端32及 應(yīng)用客戶端33�。消息接收客戶端31用于接收消息發(fā)送系統(tǒng)發(fā)送的包含推應(yīng)用標(biāo)識的推消息,具 體地���,消息發(fā)送系統(tǒng)發(fā)送的推消息可通過消息遞送系統(tǒng)轉(zhuǎn)發(fā)給消息接收客戶端31����。
消息接收客戶端31接收到PUSH消息后�����,把PUSH消息推送給消息安全管理客戶端 32,由消息安全管理客戶端32對PUSH消息進(jìn)行后續(xù)處理�����。并且�����,消息接收客戶端31還用 于接收消息安全管理客戶端32的處理結(jié)果��。消息安全管理客戶端32與所述消息接收客戶端31相連����,用于根據(jù)所述消息接收 客戶端31接收的推消息中的推應(yīng)用標(biāo)識,匹配相應(yīng)的應(yīng)用客戶端�����,判斷匹配的應(yīng)用客戶端 是否已注冊����,以及所述匹配的應(yīng)用客戶端生成的推消息響應(yīng)能力文件是否獲得簽名,若所 述匹配的應(yīng)用客戶端已注冊且生成的推消息響應(yīng)能力文件獲得簽名,則調(diào)用并啟動所述匹 配的應(yīng)用客戶端處理所述推消息��。如果推消息中包含應(yīng)用客戶端標(biāo)識���,則處理方式詳見上 述方法實(shí)施例中的說明����,或進(jìn)一步詳見下文中的描述����。應(yīng)用客戶端33可有多個(gè),以用于不同推消息的處理����,當(dāng)然,一個(gè)推消息也可以由 不同的應(yīng)用客戶端來處理�。匹配的應(yīng)用客戶端33在消息安全管理客戶端32的調(diào)用下,啟 動并處理消息安全管理客戶端32傳遞的PUSH消息內(nèi)容即消息接收客戶端31接收的推消 肩���、ο應(yīng)用客戶端33在分發(fā)到消息接收設(shè)備之前,需要向消息安全管理系統(tǒng)注冊�,并請 求消息安全管理系統(tǒng)對應(yīng)用客戶端33生成的PUSH消息響應(yīng)能力文件進(jìn)行簽名。應(yīng)用客戶端33在消息接收設(shè)備中安裝時(shí)��,需要向消息安全管理客戶端32提交的 注冊請求信息,注冊PUSH消息響應(yīng)能力���。注冊請求信息至少包括簽名后的推消息響應(yīng)能 力文件�����、應(yīng)用客戶端安裝路徑及應(yīng)用客戶端主程序的全路徑���。消息安全管理客戶端32根據(jù) 所注冊請求信息對提交該注冊請求信息的應(yīng)用客戶端進(jìn)行注冊。以進(jìn)一步保證消息接收設(shè) 備中的應(yīng)用客戶端都是安全可信的����,從而提高消息接收設(shè)備中推消息處理的安全性。在注冊時(shí)����,應(yīng)用客戶端33需要向消息安全管理客戶端32提供由消息安全管理系 統(tǒng)簽名的PUSH消息響應(yīng)能力文件。如果應(yīng)用客戶端33未生成PUSH消息響應(yīng)能力文件�����,或者該能力文件未被消息安 全管理系統(tǒng)簽名�,或者應(yīng)用客戶端33未在消息接收設(shè)備中注冊,則該應(yīng)用客戶端33將不具 備接收和處理PUSH消息的能力�,也就是說�����,消息安全管理客戶端32不會調(diào)用該應(yīng)用客戶端 33處理PUSH消息����。消息安全管理客戶端32可以看作是消息安全管理系統(tǒng)在消息接收設(shè)備中的延 伸����,協(xié)同消息安全管理系統(tǒng),解決PUSH消息的安全問題�����。當(dāng)消息接收客戶端31接收的推消息中摘要被簽名時(shí)����,消息安全管理客戶端32還 用于根據(jù)所述消息接收客戶端31接收的推消息的摘要簽名,對發(fā)送所述推消息的消息發(fā) 送系統(tǒng)進(jìn)行身份驗(yàn)證����,若身份驗(yàn)證通過,則匹配相應(yīng)的應(yīng)用客戶端,調(diào)用并啟動匹配的應(yīng)用 客戶端33處理所述推消息���;若身份驗(yàn)證未通過���,則拒絕處理所述推消息。當(dāng)消息接收客戶端31接收的推消息中包含有應(yīng)用客戶端標(biāo)識��,表明消息發(fā)送方 已選擇了處理該推消息的應(yīng)用客戶端��,則所述消息安全管理客戶端32還可用于通過所述 應(yīng)用客戶端標(biāo)識直接匹配相應(yīng)的應(yīng)用客戶端�����,以滿足消息發(fā)送系統(tǒng)的要求�。在消息安全管理客戶端32審核是否接受應(yīng)用客戶端的注冊請求時(shí),可協(xié)同消息 安全管理系統(tǒng)����。只有在消息安全管理系統(tǒng)注冊過的應(yīng)用客戶端才可以被消息安全管理客戶 端32接受注冊。消息安全管理客戶端32可定期(或不定期)地從消息安全管理系統(tǒng)獲取可信應(yīng)用列表�����,以作為消息安全管理客戶端32是否接受應(yīng)用客戶端注冊請求的重要依據(jù)��。本發(fā)明實(shí)施例提供的消息接收設(shè)備還可包括身份申請模塊34���,用于向消息安全 管理系統(tǒng)申請并獲取身份證書及對應(yīng)的密鑰���,以保證推消息處理系統(tǒng)中的消息接收設(shè)備也
安全可靠�。本實(shí)施例中�����,消息接收設(shè)備通過消息安全管理客戶端接收來自于消息接收客戶端 31推送的PUSH消息����。消息安全管理客戶端32根據(jù)PUSH消息的推應(yīng)用標(biāo)識,在消息接收設(shè) 備的已注冊的應(yīng)用客戶端列表中�����,查找匹配的應(yīng)用客戶端�����,找到并啟動匹配的應(yīng)用客戶端�����, 并把PUSH消息中的內(nèi)容傳遞給啟動的匹配的應(yīng)用客戶端���。其中����,已注冊的應(yīng)用客戶端列表 為消息接收設(shè)備中已安裝的應(yīng)用客戶端的列表�����。顯然�����,信息保存在該應(yīng)用客戶端列表中的 應(yīng)用客戶端��,其信息必然相應(yīng)地保存在可信應(yīng)用列表中���。而信息保存在可信應(yīng)用列表中的 應(yīng)用客戶端不一定被安裝到消息接收設(shè)備中�����,因此�����,當(dāng)消息安全管理客戶端調(diào)用應(yīng)用客戶 端處理推消息時(shí)��,還要根據(jù)已注冊的客戶端應(yīng)用列表查看所要調(diào)用的應(yīng)用客戶端是否已被 安裝�����,否則�����,即使該應(yīng)用客戶端信息保存在可信應(yīng)用列表中也不可用����。消息接收設(shè)備中也可 沒有該已注冊的應(yīng)用客戶端列表,這種情況下�����,可通過消息安全管理客戶端在本地可信應(yīng) 用列表中保存的該應(yīng)用客戶端信息中�����,增加已安裝的標(biāo)識���,來表示可信的應(yīng)用客戶端是否 安裝在消息接收設(shè)備中�,也即本地可信應(yīng)用列表中還包含有應(yīng)用客戶端是否安裝在本地的 信息�����。當(dāng)PUSH消息還包含應(yīng)用客戶端標(biāo)識時(shí),則消息安全管理客戶端32可直接根據(jù)應(yīng)用 客戶端標(biāo)識����,在已注冊的應(yīng)用客戶端列表中找到并啟動匹配的應(yīng)用客戶端,處理接收到的 推消息�,保證了應(yīng)用客戶端的安全性以及消息處理的安全性�����,并且��,消息接收設(shè)備處理推消 息的應(yīng)用客戶端可由消息發(fā)送系統(tǒng)來控制��。本發(fā)明實(shí)施例提供的推消息處理系統(tǒng)通過引入上述實(shí)施例提供的消息安全管理 系統(tǒng)����、消息安全管理客戶端及消息接收設(shè)備,來實(shí)現(xiàn)上述推消息處理方法��。圖4為本發(fā)明實(shí)施例提供的推消息處理系統(tǒng)的結(jié)構(gòu)示意圖��。如圖4所示����,推消息處 理系統(tǒng)包括消息發(fā)送系統(tǒng)41��、消息遞送系統(tǒng)42�、消息安全管理系統(tǒng)43及消息接收設(shè)備44����。消息安全管理系統(tǒng)43與所述消息發(fā)送系統(tǒng)41、消息遞送系統(tǒng)42及消息接收設(shè)備 44通信連接�。所述消息發(fā)送系統(tǒng)41通過所述消息遞送系統(tǒng)42,將生成的包含推應(yīng)用標(biāo)識的推 消息發(fā)送給所述消息接收設(shè)備44�����,所述消息接收設(shè)備44用于根據(jù)所述推應(yīng)用標(biāo)識匹配相 應(yīng)的應(yīng)用客戶端�,判斷匹配的應(yīng)用客戶端是否已注冊,以及所述匹配的應(yīng)用客戶端生成的 推消息響應(yīng)能力文件是否獲得簽名�;若所述匹配的應(yīng)用客戶端已注冊且生成的推消息響應(yīng) 能力文件獲得簽名,則調(diào)用并啟動所述匹配的應(yīng)用客戶端處理所述推消息���。消息安全管理系統(tǒng)43可為上述圖2所示實(shí)施例提供的任一種消息安全管理系統(tǒng)�����, 是推消息處理系統(tǒng)中的核心服務(wù)系統(tǒng)�����,具有PUSH消息安全相關(guān)的管理功能���,包括應(yīng)用客 戶端的注冊簽名服務(wù)�����、可信應(yīng)用列表管理與服務(wù)等��。進(jìn)一步地��,還可提供其它功能實(shí)體的身 份證書及密鑰管理與服務(wù)。消息發(fā)送系統(tǒng)41用于向用戶發(fā)送PUSH消息�����,具體可通過消息遞送系統(tǒng)42向消息 接收設(shè)備44發(fā)送PUSH消息��,同時(shí)也可以提供PUSH消息中約定的服務(wù)功能�����。例如�����,消息發(fā) 送系統(tǒng)41向用戶發(fā)送的PUSH消息中,包含邀請用戶訪問約定的網(wǎng)頁的信息�,則消息發(fā)送系 統(tǒng)可以向用戶提供支持所述網(wǎng)頁的WEB服務(wù)。當(dāng)消息發(fā)送系統(tǒng)41僅用于實(shí)現(xiàn)上述功能時(shí)�,
12可用現(xiàn)有推消息處理系統(tǒng)中的消息發(fā)送系統(tǒng)替代。當(dāng)消息發(fā)送系統(tǒng)41具有消息發(fā)送���、身份 證書獲取等功能時(shí)�����,如圖5所示�,圖5為本發(fā)明實(shí)施例提供的推消息處理系統(tǒng)中消息發(fā)送系 統(tǒng)的結(jié)構(gòu)示意圖���。消息發(fā)送系統(tǒng)41可包括消息發(fā)送模塊51��、應(yīng)用服務(wù)模塊52及身份申 請模塊53�。消息發(fā)送模塊51用于向消息遞送系統(tǒng)發(fā)送生成的推消息����。消息發(fā)送系統(tǒng)生成的 PUSH消息中,包含推應(yīng)用標(biāo)識�����,詳見上述實(shí)施例中的說明,用于消息接收設(shè)備根據(jù)推應(yīng)用標(biāo) 識匹配可用來處理推消息的一個(gè)或多個(gè)應(yīng)用客戶端�。消息發(fā)送系統(tǒng)41生成的PUSH消息中包含的服務(wù),可以由應(yīng)用服務(wù)模塊52提供�����, 也可以由其它應(yīng)用系統(tǒng)提供��。例如��,PUSH消息中包含訪問某TOB網(wǎng)頁的服務(wù)���,該WEB網(wǎng)頁 可由消息發(fā)送系統(tǒng)的WEB應(yīng)用服務(wù)提供���,也可以由其它WEB應(yīng)用服務(wù)提供�。身份申請模塊53用于向消息安全管理系統(tǒng)申請并獲取身份證書及對應(yīng)的密鑰, 身份證書詳見上述實(shí)施例中的說明��。消息發(fā)送系統(tǒng)41還可進(jìn)一步包括應(yīng)用客戶端管理與服務(wù)模塊54��,用于協(xié)同應(yīng)用 客戶端向所述消息安全管理系統(tǒng)43對所述應(yīng)用客戶端的推消息響應(yīng)能力文件進(jìn)行簽名���, 并用于協(xié)同所述應(yīng)用客戶端向所述消息安全管理系統(tǒng)43進(jìn)行注冊��。應(yīng)用客戶端管理與服務(wù)模塊54還用于記錄向消息安全管理系統(tǒng)43進(jìn)行注冊和簽 名的應(yīng)用客戶端的信息����,以便于發(fā)送推消息時(shí)從記錄的應(yīng)用客戶端的信息中選擇相應(yīng)的應(yīng) 用客戶端,并將選擇的應(yīng)用客戶端的應(yīng)用客戶端標(biāo)識設(shè)置在推消息中�,指示消息接收設(shè)備 44啟動選擇的應(yīng)用客戶端處理推消息,以保證消息處理的安全性�����。消息發(fā)送系統(tǒng)41還可進(jìn)一步包括摘要簽名模塊55����,用于使用所述身份申請模塊 53獲取的身份證書及對應(yīng)的密鑰,對所述消息發(fā)送系統(tǒng)41生成的推消息的消息摘要進(jìn)行 簽名����,以便于消息安全管理系統(tǒng)43、消息接收設(shè)備44能夠確認(rèn)發(fā)送推消息的消息發(fā)送系統(tǒng) 41的身份����,保證推消息的發(fā)送方是安全可信的。消息發(fā)送系統(tǒng)41還可包括客戶端標(biāo)識附加模塊56�����,用于在所述消息發(fā)送系統(tǒng)41 生成的推消息中,設(shè)置用于指示消息接收設(shè)備44啟動對應(yīng)的應(yīng)用客戶端處理所述推消息 的應(yīng)用客戶端標(biāo)識���,以保證消息接收設(shè)備44用來處理推消息的應(yīng)用客戶端����,是發(fā)送推消息 的消息發(fā)送系統(tǒng)已知的�����,推消息的處理是安全的��。即消息發(fā)送模塊51發(fā)送的推消息中還可 以包含應(yīng)用客戶端標(biāo)識��,這樣����,消息發(fā)送系統(tǒng)41可以明確指明生成的PUSH消息由指定的應(yīng) 用客戶端處理。消息發(fā)送系統(tǒng)41不局限于上述結(jié)構(gòu)���,也可以是對現(xiàn)有消息發(fā)送系統(tǒng)(設(shè)備)的能 力擴(kuò)展,只要在現(xiàn)有消息發(fā)送系統(tǒng)的基礎(chǔ)上增加如下功能即可消息發(fā)送系統(tǒng)(設(shè)備)具 有向消息安全管理系統(tǒng)申請系統(tǒng)(設(shè)備)的證書及對應(yīng)的密鑰���,并支持相關(guān)證書及密鑰算 法的功能�����;具有協(xié)同注冊應(yīng)用客戶端及應(yīng)用客戶端的PUSH響應(yīng)能力文件��,并記錄應(yīng)用客戶 端的信息的功能��;具有在生成PUSH消息時(shí)���,在PUSH消息中附帶應(yīng)用客戶端標(biāo)識����;具有生成 PUSH消息時(shí)���,在PUSH消息中附帶PUSH消息摘要���,該消息摘要使用消息發(fā)送系統(tǒng)(設(shè)備)的 證書及對應(yīng)的私鑰簽名的功能。消息遞送系統(tǒng)42用于接收消息發(fā)送系統(tǒng)41發(fā)送的PUSH消息��,并按發(fā)送要求�,把 該P(yáng)USH消息推送給消息接收設(shè)備44。如圖6所示����,消息遞送系統(tǒng)42的主要功能包括業(yè) 務(wù)管理���、消息處理、消息接收����、消息遞送。
消息遞送系統(tǒng)42可以是對現(xiàn)有PUSH消息處理體系中的消息遞送系統(tǒng)的改進(jìn)�。如 消息遞送系統(tǒng)42在現(xiàn)有PUSH消息遞送系統(tǒng)的遞送PUSH消息之前,向消息安全管理系統(tǒng)43 請求對該P(yáng)USH消息及發(fā)送者做審核�,通過審核的PUSH消息才可以被推送給消息接收設(shè)備 44。消息遞送系統(tǒng)42還可以存儲遞送的PUSH消息�����。在所述PUSH消息中��,包含消息發(fā) 送者(消息發(fā)送系統(tǒng))對PUSH消息的摘要簽名���,當(dāng)消息安全管理系統(tǒng)43作為消息遞送系 統(tǒng)42的一部分設(shè)置在消息遞送系統(tǒng)42中時(shí)���,消息遞送系統(tǒng)42本身可通過該摘要簽名確認(rèn) 消息的發(fā)送者,以增強(qiáng)消息遞送系統(tǒng)對PUSH消息的跟蹤和監(jiān)控能力。消息遞送系統(tǒng)42可以是對現(xiàn)有消息遞送系統(tǒng)的能力擴(kuò)展�����,即在現(xiàn)有消息遞送系 統(tǒng)的基礎(chǔ)上增加了如下功能可以向消息安全管理系統(tǒng)43申請系統(tǒng)的證書及對應(yīng)的密鑰��, 并支持相關(guān)證書及密鑰算法的功能�;在遞送PUSH消息時(shí)��,先通過消息安全管理系統(tǒng)43審 核�,并根據(jù)后者的審核結(jié)果確定是否進(jìn)一步遞送PUSH消息的功能;記錄遞送的PUSH消息��, 并能根據(jù)PUSH消息的摘要簽名���,查找和驗(yàn)證PUSH消息的實(shí)際發(fā)送實(shí)體的功能��。消息遞送系統(tǒng)42還可以在現(xiàn)有消息遞送系統(tǒng)的基礎(chǔ)上增加身份申請模塊61���,用 于向所述消息安全管理系統(tǒng)43發(fā)送申請信息,并用于從所述消息安全管理系統(tǒng)43獲取身 份證書及對應(yīng)的密鑰��,以保證消息遞送系統(tǒng)的可靠性��,提高推消息在遞送環(huán)節(jié)的安全性。所 述申請信息至少包括用戶名�、用戶密碼、用戶描述及服務(wù)類型��,所述身份證書至少包括 證書格式與版本�、證書編碼方法、簽名算法����、摘要算法、證書序列號�����、證書主題���、證書的簽名 機(jī)構(gòu)標(biāo)識及證書摘要���。消息遞送系統(tǒng)42在遞送PUSH消息之前,向消息安全管理系統(tǒng)43請求對該P(yáng)USH 消息及發(fā)送者做審核�,通過消息安全管理系統(tǒng)43審核的PUSH消息才可以被推送給消息接 收設(shè)備44,保證了消息來源的可靠性����,增強(qiáng)了消息安全管理系統(tǒng)43對PUSH消息的跟蹤和監(jiān) 控能力�。消息接收設(shè)備44也稱為用戶終端�,用于接收和處理PUSH消息。消息接收設(shè)備44 中的消息接收客戶端接收消息����,然后通知消息安全管理客戶端����,由消息安全管理客戶端調(diào) 用約定的應(yīng)用客戶端處理PUSH消息,即根據(jù)推消息中的應(yīng)用客戶端標(biāo)識調(diào)用相應(yīng)的應(yīng)用 客戶端處理該推消息�。消息接收設(shè)備44可為上述圖3所示實(shí)施例提供的任一種消息接收 設(shè)備。上述實(shí)施例提供的推消息處理系統(tǒng)可通過消息發(fā)送系統(tǒng)生成PUSH消息�����,把PUSH 消息推送給消息遞送系統(tǒng)��,通過消息安全管理系統(tǒng)或消息遞送系統(tǒng)審核收到的PUSH消息����, 然后把通過審核的PUSH消息推送給消息接收設(shè)備;消息接收設(shè)備接收到PUSH消息后����,查找 和啟動PUSH消息中約定的應(yīng)用客戶端����,然后把PUSH消息內(nèi)容推送給被啟動的應(yīng)用客戶端���。 啟動的應(yīng)用客戶端根據(jù)PUSH消息內(nèi)容���,訪問約定的應(yīng)用服務(wù)系統(tǒng)。圖7為本發(fā)明實(shí)施例提供的推消息處理系統(tǒng)中申請身份證書的方法實(shí)施例的流 程圖�����。如圖7所示�����,消息發(fā)送系統(tǒng)41���、消息遞送系統(tǒng)42或消息接收設(shè)備44向消息安全管理 系統(tǒng)43申請身份證書的方法包括步驟71��、消息發(fā)送系統(tǒng)41�����、消息遞送系統(tǒng)42或消息接收設(shè)備44向消息安全管理 系統(tǒng)43發(fā)送申請信息�����,申請身份證書����。所述申請信息詳見上述實(shí)施例的說明,至少包括用 戶名����、用戶密碼����、用戶描述及服務(wù)類型;
步驟72���、所述消息安全管理系統(tǒng)43根據(jù)所述申請信息生成身份證書及對應(yīng)的密 鑰�����,反饋給消息發(fā)送系統(tǒng)41����、消息遞送系統(tǒng)42或消息接收設(shè)備44����。身份證書詳見上述實(shí)施 例的說明����,至少包括證書格式與版本��、證書編碼方法��、簽名算法���、摘要算法���、證書序列號、證 書主題����、證書的簽名機(jī)構(gòu)標(biāo)識及證書摘要。所述消息安全管理系統(tǒng)43根據(jù)所述申請信息生成身份證書及對應(yīng)的密鑰之前還 包括所述消息安全管理系統(tǒng)43根據(jù)所述申請信息驗(yàn)證所述消息發(fā)送系統(tǒng)41����、消息遞 送系統(tǒng)42或消息接收設(shè)備44的身份,若驗(yàn)證未通過����,則拒絕所述消息發(fā)送系統(tǒng)41�、消息遞 送系統(tǒng)42或消息接收設(shè)備44的申請��;若驗(yàn)證通過��,則判斷所述消息發(fā)送系統(tǒng)41��、消息遞送 系統(tǒng)42或消息接收設(shè)備44是否已注冊�,因?yàn)檎埱蠓娇赡芤焉暾堖^多次,若所述消息發(fā)送系 統(tǒng)41��、消息遞送系統(tǒng)42或消息接收設(shè)備44已注冊����,即如果請求方已成功申請過(即成功注 冊過)�����,說明請求方的身份證書及對應(yīng)的密鑰之前已生成過�����,則消息安全管理系統(tǒng)43直接 反饋已生成的身份證書及對應(yīng)的密鑰���;若所述消息發(fā)送系統(tǒng)41����、消息遞送系統(tǒng)42或消息接 收設(shè)備44未注冊,則注冊消息發(fā)送系統(tǒng)41�����、消息遞送系統(tǒng)42或消息接收設(shè)備44�,生成并存 儲相應(yīng)的身份證書及對應(yīng)的密鑰。以消息發(fā)送系統(tǒng)41向消息安全管理系統(tǒng)43申請身份證書及對應(yīng)的密鑰為例��,具 體步驟如圖8所示包括步驟81����、消息發(fā)送系統(tǒng)41向消息安全管理系統(tǒng)43發(fā)送申請信息,以申請身份證書 及對應(yīng)的密鑰�。消息發(fā)送系統(tǒng)41向消息安全管理系統(tǒng)43發(fā)送的申請信息包括消息發(fā)送系統(tǒng)的 用戶名、用戶密碼��、用戶描述�����、服務(wù)類型等信息�����。步驟82、消息安全管理系統(tǒng)43檢查��,并生成身份證書及對應(yīng)的密鑰���。所述消息安全管理系統(tǒng)43根據(jù)所述申請信息驗(yàn)證所述消息發(fā)送系統(tǒng)41的身份���, 若驗(yàn)證未通過,則拒絕所述消息發(fā)送系統(tǒng)41的申請����,轉(zhuǎn)至步驟83反饋拒絕提供身份證書的 申請結(jié)果及相關(guān)原因;若驗(yàn)證通過����,則消息安全管理系統(tǒng)檢查所述消息發(fā)送系統(tǒng)41是否存 在有效注冊,即檢查該消息發(fā)送系統(tǒng)41是否已成功申請到身份證書及對應(yīng)的密鑰��,如果存 在有效注冊�,則消息安全管理系統(tǒng)43直接反饋已生成的所述消息發(fā)送系統(tǒng)41的身份證書 以及對應(yīng)的密鑰����,并執(zhí)行步驟83,直接向所述消息發(fā)送系統(tǒng)41反饋生成的身份證書及對應(yīng) 的密鑰�����。如果所述消息發(fā)送系統(tǒng)41不存在有效注冊,則注冊消息發(fā)送系統(tǒng)41��,生成并存儲 消息發(fā)送系統(tǒng)41的身份證書及對應(yīng)的密鑰��,則轉(zhuǎn)至步驟83反饋提供身份證書的申請結(jié)果���。步驟83���、消息安全管理系統(tǒng)43向消息發(fā)送系統(tǒng)41反饋申請結(jié)果。若消息安全管 理系統(tǒng)43為消息發(fā)送系統(tǒng)41提供身份證書及密鑰�,消息安全管理系統(tǒng)43向消息發(fā)送系統(tǒng) 41反饋生成的身份證書及對應(yīng)的密鑰;若消息安全管理系統(tǒng)43確定不為消息發(fā)送系統(tǒng)41 提供身份證書及密鑰��,則消息安全管理系統(tǒng)43向消息發(fā)送系統(tǒng)41反饋拒絕提供身份證書 的申請結(jié)果及相關(guān)原因����。消息遞送系統(tǒng)42申請身份證書及對應(yīng)的密鑰的步驟類似于上述步驟81 步驟 83,申請主體改為消息遞送系統(tǒng)即可�。同樣地,消息接收設(shè)備44申請身份證書及對應(yīng)的密 鑰的步驟類似于上述步驟81 步驟83�,申請主體改為消息接收設(shè)備即可。
圖9為本發(fā)明實(shí)施例提供的推消息處理系統(tǒng)中應(yīng)用客戶端簽名的方法實(shí)施例的 流程圖。如圖9所示�����,應(yīng)用客戶端簽名的方法包括步驟91���、應(yīng)用客戶端生成至少包括推應(yīng)用標(biāo)識及應(yīng)用客戶端標(biāo)識的推消息響應(yīng)能 力文件�。推應(yīng)用標(biāo)識及應(yīng)用客戶端標(biāo)識詳見上述實(shí)施例中的說明���。步驟92�����、所述應(yīng)用客戶端發(fā)送所述推消息響應(yīng)能力文件的簽名請求�����。應(yīng)用客戶端可直接向消息安全管理系統(tǒng)43發(fā)起簽名請求����,也可與消息發(fā)送系統(tǒng) 41綁定�����,或者應(yīng)用客戶端與消息發(fā)送系統(tǒng)41是一個(gè)體系�,則通過消息發(fā)送系統(tǒng)41發(fā)起簽 名請求,如圖10所示�,步驟101中所述應(yīng)用客戶端向消息發(fā)送系統(tǒng)41發(fā)送簽名請求,步驟 102中�,消息發(fā)送系統(tǒng)41將簽名請求轉(zhuǎn)發(fā)給消息安全管理系統(tǒng)43。除推消息響應(yīng)能力文件外�,應(yīng)用客戶端的簽名請求還可以包括版權(quán)、大小��、應(yīng)用 描述等信息�����。消息發(fā)送系統(tǒng)41利用獲得的身份證書與消息安全管理系統(tǒng)43建立安全通信通道 (例如����,HTTPS),在安全的環(huán)境下交互信息���,把應(yīng)用客戶端的簽名請求發(fā)送給消息安全管理 系統(tǒng)43����。步驟93����、消息安全管理系統(tǒng)43支持簽名請求的情況下����,計(jì)算所述推消息響應(yīng)能力 文件的文件摘要���。消息安全管理系統(tǒng)43審核消息發(fā)送系統(tǒng)41��,以及應(yīng)用客戶端的簽名請求����,決定是 否支持相關(guān)請求����。如果消息安全管理系統(tǒng)43不支持相關(guān)請求,則反饋處理結(jié)果及拒絕原 因����。如果消息安全管理系統(tǒng)43支持相關(guān)請求,則以所述推消息響應(yīng)能力文件的內(nèi)容 為基礎(chǔ)����,采用約定的摘要算法(例如SHA-1),計(jì)算所述推消息響應(yīng)能力文件的文件摘要����。步驟94、消息安全管理系統(tǒng)43采用自身證書私鑰加密所述文件摘要����,即以自身證 書對應(yīng)的私鑰加密所述能力文件摘要,生成新的能力文件摘要��。步驟95����、消息安全管理系統(tǒng)43將加密的文件摘要加入所述推消息響應(yīng)能力文件 中,即把新生成的能力文件摘要加入到所述推消息響應(yīng)能力文件中的約定位置��,如加入到 推消息響應(yīng)能力文件的尾部等位置����。步驟96、消息安全管理系統(tǒng)43將簽名結(jié)果及加入了加密的文件摘要的推消息響 應(yīng)能力文件反饋給所述應(yīng)用客戶端���。具體地�,當(dāng)應(yīng)用客戶端直接向消息安全管理系統(tǒng)43請求簽名時(shí)��,則消息安全管理 系統(tǒng)43直接將簽名結(jié)果及加入了加密的文件摘要的推消息響應(yīng)能力文件發(fā)送給所述應(yīng)用 客戶端����;當(dāng)應(yīng)用客戶端通過消息發(fā)送系統(tǒng)41請求簽名時(shí)�,消息安全管理系統(tǒng)43向消息發(fā)送 系統(tǒng)41反饋所述能力文件的簽名處理結(jié)果��,再由消息發(fā)送系統(tǒng)41轉(zhuǎn)發(fā)給應(yīng)用客戶端��。此 時(shí),如果消息安全管理系統(tǒng)43返回簽名后的推消息響應(yīng)能力文件����,則本發(fā)明實(shí)施例提供的 應(yīng)用客戶端簽名的方法還可進(jìn)一步包括步驟97�����、所述消息發(fā)送系統(tǒng)41存儲所述加入了加密的文件摘要的推消息響應(yīng)能 力文件����,即存儲簽名后的推消息響應(yīng)能力文件�����。這樣,消息發(fā)送系統(tǒng)41在生成、發(fā)送推消息 時(shí)���,可以使用存儲的能力文件信息,以選擇處理推消息的應(yīng)用客戶端��,保證推消息處理的安 全性����。上述步驟97可在步驟96的執(zhí)行過程中執(zhí)行�����,也可在步驟96之后執(zhí)行�����。
上述步驟96之后�,還可進(jìn)一步包括步驟98、所述應(yīng)用客戶端將加入了加密的文件摘要的推消息響應(yīng)能力文件作為自 身一部分�����,分發(fā)給消息接收設(shè)備44��。上述步驟97與步驟98無順序要求���,可同時(shí)執(zhí)行,也可先執(zhí)行步驟97后執(zhí)行步驟 98,或者先執(zhí)行步驟98再執(zhí)行步驟97。若消息安全管理系統(tǒng)43拒絕簽名��,消息發(fā)送系統(tǒng)41向應(yīng)用客戶端反饋消息安全 管理系統(tǒng)43的拒絕服務(wù)信息�����。應(yīng)用客戶端被安裝到消息接收設(shè)備44�����。應(yīng)用客戶端在安裝時(shí),需要向消息接收設(shè) 備44的消息安全管理客戶端注冊自己的能力信息�����。應(yīng)用客戶端只有成功注冊后,才可以被 消息安全管理客戶端調(diào)用���,以處理PUSH消息�。圖IlA為本發(fā)明實(shí)施例提供的推消息處理系 統(tǒng)中應(yīng)用客戶端注冊的方法實(shí)施例的流程圖���。圖IlB為與圖IlA相對應(yīng)的信令流程圖�����。如 圖11A�、圖IlB所示���,應(yīng)用客戶端注冊的方法包括步驟111、應(yīng)用客戶端安裝到消息接收設(shè)備44時(shí)��,向消息安全管理客戶端提交注 冊請求信息�,所述注冊請求信息中包含推消息響應(yīng)能力文件����。提交的注冊請求信息至少包括所述簽名后的推消息響應(yīng)能力文件��、應(yīng)用客戶端 安裝路徑���、應(yīng)用客戶端主程序的全路徑(包括路徑和主程序的全名)�����。還可以包括主程序啟 動的方法�����,例如�,主程序執(zhí)行時(shí)參數(shù)的寫法等����。步驟112、消息安全管理客戶端判斷應(yīng)用客戶端是否已注冊��。具體地�,消息安全管理客戶端檢查該應(yīng)用客戶端是否已注冊的依據(jù)可以是應(yīng)用客 戶端主程序的全路徑、以及簽名后的能力文件是否已存在。如果已存在�����,并且與注冊請求信 息相同����,則轉(zhuǎn)到步驟116�����,直接向應(yīng)用客戶端反饋?zhàn)猿晒Φ男畔?���,以避免?yīng)用客戶端重復(fù) 注冊,且提高注冊請求處理效率���。對于應(yīng)用客戶端均未注冊的情況����,本步驟112可以省去��。步驟113�����、所述消息安全管理客戶端審核所述注冊請求信息中的推消息響應(yīng)能力 文件。由于消息安全管理客戶端有消息安全管理服務(wù)系統(tǒng)43的證書及公鑰���,消息安全 管理客戶端可以按消息安全管理服務(wù)系統(tǒng)43的摘要計(jì)算方法��,以應(yīng)用客戶端提交的推消 息響應(yīng)能力文件為基礎(chǔ)�,生成能力文件的文件摘要A�。另外,消息安全管理客戶端從應(yīng)用客戶端提交的推消息響應(yīng)能力文件中���,提取推 消息響應(yīng)能力文件的文件摘要B���。消息安全管理客戶端使用消息安全管理系統(tǒng)43的公鑰,解密文件摘要B��,得到文 件摘要C��。消息安全管理客戶端比較文件摘要A與文件摘要C�。如果兩者相同,則認(rèn)為應(yīng)用客 戶端提交的能力文件是合法和有效的����,審核通過�����;否則�����,認(rèn)為是不合法的或者無效的�����,審核 未通過,轉(zhuǎn)向步驟116��,向應(yīng)用客戶端反饋?zhàn)哉埱筇幚硎〖霸?�,S卩����,若審核未通過,則 結(jié)束注冊��,反饋?zhàn)允〗Y(jié)果���。步驟114�、若審核通過,則所述消息安全管理客戶端查詢和更新可信應(yīng)用列表�,所 述可信應(yīng)用列表詳見上述實(shí)施例的說明,為通過消息安全管理系統(tǒng)注冊和簽名的應(yīng)用客戶 端的信息列表�����。所述可信應(yīng)用列表是消息安全管理系統(tǒng)43中可信應(yīng)用列表在消息接收設(shè)備44中的備份��。所述可信應(yīng)用列表由消息安全管理系統(tǒng)43生成與維護(hù)�����。在所述可信應(yīng)用列表中��, 存儲消息安全管理系統(tǒng)43信任的(即經(jīng)消息安全管理系統(tǒng)43審核的)應(yīng)用客戶端信息���, 相關(guān)信息包括應(yīng)用客戶端的推應(yīng)用標(biāo)識���、應(yīng)用客戶端標(biāo)識、簽名后的能力文件�����,以及應(yīng)用 客戶端的其它信息�����。應(yīng)用客戶端在請求消息安全管理系統(tǒng)43簽名推消息響應(yīng)能力文件時(shí),如果消息 安全管理系統(tǒng)43接受應(yīng)用客戶端的請求���,則會在自己的可信應(yīng)用列表中添加所述應(yīng)用客 戶端的信息�����。消息安全管理客戶端定期查看和下載消息安全管理系統(tǒng)43中的可信應(yīng)用列表����, 維護(hù)消息接收設(shè)備44中的可信應(yīng)用列表�����。消息安全管理客戶端還可在需要時(shí)(例如�,可信 應(yīng)用列表不存在��,或者過期等情況下)�����,向消息安全管理系統(tǒng)43提交申請�,下載最新的可信 應(yīng)用列表��。消息安全管理客戶端與消息安全管理系統(tǒng)43之間可以采用HTTPS等協(xié)議交互 數(shù)據(jù)�。消息安全管理客戶端查詢本地已有的可信應(yīng)用列表中是否包含有提交注冊請求 信息的應(yīng)用客戶端的信息���,若不存在����,則從消息安全管理系統(tǒng)下載最新的可信應(yīng)用列表對 本地進(jìn)行更新���,并在更新后的可信應(yīng)用列表再次查詢包含有提交注冊請求信息的應(yīng)用客戶 端的信息���。步驟115、若所述可信應(yīng)用列表中包含有提交注冊請求信息的應(yīng)用客戶端的信息����, 即請求注冊的應(yīng)用客戶端可信,則所述消息安全管理客戶端記錄所述提交注冊請求信息的 應(yīng)用客戶端的注冊信息���,并繼續(xù)執(zhí)行步驟116���,反饋?zhàn)猿晒Y(jié)果;若所述可信應(yīng)用列表未 包含所述提交注冊請求信息的應(yīng)用客戶端的信息�,則轉(zhuǎn)至步驟116����,反饋?zhàn)允〗Y(jié)果����。步驟116、消息安全管理客戶端向應(yīng)用客戶端反饋?zhàn)哉埱蟮奶幚斫Y(jié)果�����。如果消息安全管理客戶端接受應(yīng)用客戶端的注冊請求�����,則反饋?zhàn)猿晒Y(jié)果的信 息給應(yīng)用客戶端���;否則,消息安全管理客戶端反饋?zhàn)允〉男畔?。本發(fā)明實(shí)施例提供的應(yīng)用客戶端注冊的方法還可進(jìn)一步包括步驟117、所述消息安全管理客戶端記錄安全管理的日志信息����,并定期向所述消息 安全管理系統(tǒng)43提交日志信息。圖12為本發(fā)明實(shí)施例提供的推消息處理系統(tǒng)遞送推消息的流程圖�。如圖12所示��, 消息發(fā)送系統(tǒng)41生成PUSH消息��,遞送給消息遞送系統(tǒng)42�,消息遞送系統(tǒng)42通過消息安全 管理系統(tǒng)43審核是否可以遞送���,如果可以����,則消息遞送系統(tǒng)42把消息推送給消息接收設(shè)備 44�。消息遞送的主要步驟包括步驟121、消息發(fā)送系統(tǒng)41生成PUSH消息�����。所述PUSH消息中�,至少包含推應(yīng)用標(biāo)識。如果消息發(fā)送系統(tǒng)41希望指定處理所 述PUSH消息的應(yīng)用客戶端�,則可以在所述PUSH消息中加入應(yīng)用客戶端標(biāo)識。 所述PUSH消息中�,還包含根據(jù)PUSH消息內(nèi)容生成的PUSH消息摘要。通過所述 PUSH消息摘要��,則可以認(rèn)定所述PUSH消息是所述消息發(fā)送系統(tǒng)所生成��。這是標(biāo)識PUSH消息 所屬的重要方法。該P(yáng)USH消息摘要由消息發(fā)送系統(tǒng)41根據(jù)約定的摘要算法(例如����,SHA-1) 生成,然后使用消息發(fā)送系統(tǒng)41的私鑰加密該P(yáng)USH消息摘要�����,并把加密后的摘要作為PUSH 消息的組成部分����。所述PUSH消息的格式,可以采用現(xiàn)有PUSH消息規(guī)范體系的約定�。
步驟122、消息發(fā)送系統(tǒng)41將所述PUSH消息發(fā)送給消息遞送系統(tǒng)42����,請求其進(jìn)一步發(fā)送。消息發(fā)送系統(tǒng)41與消息遞送系統(tǒng)42之間����,可以采用HTTPS等協(xié)議交互數(shù)據(jù)�。由于PUSH消息與消息接收設(shè)備44的安全,以及業(yè)務(wù)運(yùn)營系統(tǒng)的運(yùn)營安全密切相 關(guān)�����,因此,消息遞送系統(tǒng)42在遞送所述PUSH消息之前��,可以請求消息安全管理系統(tǒng)43審核 所述消息發(fā)送系統(tǒng)是否有能力發(fā)送所述PUSH消息����。步驟123、消息遞送系統(tǒng)42向消息安全管理系統(tǒng)43請求檢查和處理PUSH消息�����。 如對PUSH消息的發(fā)送者進(jìn)行身份驗(yàn)證����。步驟124、消息安全管理系統(tǒng)43檢查和處理PUSH消息��。步驟125�����、消息安全管理系統(tǒng)43向消息遞送系統(tǒng)42反饋PUSH消息的處理結(jié)果����。當(dāng)消息安全管理系統(tǒng)43設(shè)置在消息遞送系統(tǒng)42中��,作為消息遞送系統(tǒng)42的部分 功能時(shí)�,可省略步驟123至步驟125��,由消息遞送系統(tǒng)42檢查和處理PUSH消息�。步驟126、在步驟125中反饋的處理結(jié)果為通過時(shí)����,消息遞送系統(tǒng)42把所述PUSH 消息推送給消息接收設(shè)備44。消息遞送系統(tǒng)42可按現(xiàn)有PUSH消息推送的規(guī)范體系�,把PUSH消息推送給消息接 收設(shè)備44。步驟126是異步的�。步驟127、消息遞送系統(tǒng)42向消息發(fā)送系統(tǒng)41反饋PUSH消息遞送結(jié)果���。消息遞送系統(tǒng)42可按現(xiàn)有PUSH消息推送的規(guī)范體系�����,向消息發(fā)送系統(tǒng)41反饋處 理結(jié)果�����。步驟127是異步的�。圖13為本發(fā)明實(shí)施例提供的推消息處理系統(tǒng)中消息接收設(shè)備處理推消息的流程 圖�����。如圖13所示�����,消息接收設(shè)備44的消息接收客戶端接收到PUSH消息后����,把PUSH消息推 送給消息安全管理客戶端處理。消息安全管理客戶端根據(jù)PUSH消息中的推應(yīng)用標(biāo)識和應(yīng) 用客戶端標(biāo)識��,查找和啟動目標(biāo)應(yīng)用客戶端���,通過目標(biāo)應(yīng)用客戶端處理所述PUSH消息���。消 息接收設(shè)備處理PUSH消息的主要步驟包括步驟131、消息接收客戶端接收PUSH消息���。消息接收客戶端接收PUSH消息的方法�����,可按現(xiàn)有PUSH消息遞送和接收技術(shù)處理����。步驟132、消息接收客戶端把接收到的PUSH消息推送給消息安全管理客戶端�����。所述PUSH消息中�,至少包含所述推應(yīng)用標(biāo)識,如果不包含���,則轉(zhuǎn)至步驟136�,反饋 無法處理所述PUSH消息��。步驟133���、消息安全管理客戶端從本地可信應(yīng)用列表查找匹配的應(yīng)用客戶端�。當(dāng)消息接收設(shè)備44中存儲有已注冊的應(yīng)用客戶端列表時(shí)���,本步驟可省略,而直接 執(zhí)行下一步驟134。當(dāng)消息接收設(shè)備44中沒有該已注冊的應(yīng)用客戶端列表��,而是將已安裝 的應(yīng)用客戶端信息標(biāo)識在本地可信應(yīng)用列表中時(shí),執(zhí)行本步驟�,首先判斷目標(biāo)應(yīng)用客戶端 是否可靠。消息安全管理客戶端在本地可信應(yīng)用列表中查找匹配所述推應(yīng)用標(biāo)識的應(yīng)用客 戶端信息�����。通過相關(guān)查找���,找到的應(yīng)用客戶端可能存在,也可能不存在�����,還可能同時(shí)存在多 個(gè)�����。如果不存在��,則轉(zhuǎn)到步驟136��,反饋無應(yīng)用客戶端可以操作所述PUSH消息���。如果所述PUSH消息中��,還包含所述應(yīng)用客戶端標(biāo)識�����,則消息安全管理客戶端進(jìn)一 步匹配所述應(yīng)用客戶端標(biāo)識�。如果找到同時(shí)匹配所述推應(yīng)用標(biāo)識和所述應(yīng)用客戶端標(biāo)識的 應(yīng)用客戶端,則轉(zhuǎn)至步驟134�,如果未找到匹配所述應(yīng)用客戶端標(biāo)識的應(yīng)用客戶端,則可以根據(jù)業(yè)務(wù)需要進(jìn)一步處理�����,例如�,終止調(diào)用,或者選擇其一個(gè)調(diào)用等��。步驟134���、消息安全管理客戶端檢查目標(biāo)應(yīng)用客戶端的有效性�。具體地����,消息安全管理客戶端進(jìn)一步檢查目標(biāo)應(yīng)用客戶端是否實(shí)際存在�,即消息 安全管理客戶端通過已注冊的應(yīng)用客戶端列表檢查該目標(biāo)應(yīng)用客戶端是否已安裝在消息 接收設(shè)備44���。當(dāng)消息接收設(shè)備中存儲有已注冊的應(yīng)用客戶端列表時(shí)����,如果目標(biāo)應(yīng)用客戶端 已安裝���,則已注冊的應(yīng)用客戶端列表中有目標(biāo)應(yīng)用客戶端的信息,也即目標(biāo)應(yīng)用客戶端實(shí) 際存在����。如果不存在,則轉(zhuǎn)至步驟136���,反饋無有效應(yīng)用客戶端處理所述PUSH消息�。當(dāng)消息接收設(shè)備中安裝的應(yīng)用客戶端信息標(biāo)識在本地可信應(yīng)用列表中時(shí)���,執(zhí)行上 述步驟133時(shí)如果目標(biāo)應(yīng)用客戶端的信息已保存在本地可信應(yīng)用列表中����,則進(jìn)一步執(zhí)行本 步驟����,判斷本地可信應(yīng)用列表中目標(biāo)應(yīng)用客戶端信息中是否包含目標(biāo)應(yīng)用客戶端已安裝的 標(biāo)識����,如果包含已安裝標(biāo)識����,說明目標(biāo)應(yīng)用客戶端實(shí)際存在;如果未包含已安裝標(biāo)識�����,說明 目標(biāo)應(yīng)用客戶端不存在��,則轉(zhuǎn)至步驟136��,反饋無有效應(yīng)用客戶端處理所述PUSH消息����。步驟135、消息安全管理客戶端按約定的規(guī)則啟動目標(biāo)應(yīng)用客戶端��。具體地��,消息安全管理客戶端按目標(biāo)應(yīng)用客戶端注冊時(shí)約定的方法啟動目標(biāo)應(yīng)用 客戶端,并把所述PUSH消息發(fā)送給目標(biāo)應(yīng)用客戶端處理���。步驟136�����、消息安全管理客戶端向消息接收客戶端反饋消息處理結(jié)果�。步驟137����、消息安全管理客戶端記錄消息處理日志,并定期向消息安全管理系統(tǒng) 43提交��。步驟137是異步的�,可選的�����。本發(fā)明上述實(shí)施例不僅適用于移動網(wǎng)絡(luò)����,也適用于其它網(wǎng)絡(luò),例如��,寬帶固網(wǎng)��、互 聯(lián)網(wǎng)等,在兼容現(xiàn)有PUSH消息處理技術(shù)的基礎(chǔ)上��,增強(qiáng)了推消息處理的安全性和開放性��。本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述方法實(shí)施例的全部或部分步驟可以通過 程序指令相關(guān)的硬件來完成�����,前述的程序可以存儲于一計(jì)算機(jī)可讀取存儲介質(zhì)中�����,該程序 在執(zhí)行時(shí)�,執(zhí)行包括上述方法實(shí)施例的步驟;而前述的存儲介質(zhì)包括R0M�、RAM、磁碟或者 光盤等各種可以存儲程序代碼的介質(zhì)�。最后應(yīng)說明的是以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案,而非對其限制�����;盡 管參照前述實(shí)施例對本發(fā)明進(jìn)行了詳細(xì)的說明�,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解其依然 可以對前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改,或者對其中部分技術(shù)特征進(jìn)行等同替 換;而這些修改或者替換����,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的精 神和范圍。
20
權(quán)利要求
1.一種推消息處理方法�,其特征在于,包括消息接收設(shè)備接收消息發(fā)送系統(tǒng)發(fā)送的包含推應(yīng)用標(biāo)識的推消息�����;消息接收設(shè)備根據(jù)所述推應(yīng)用標(biāo)識匹配相應(yīng)的應(yīng)用客戶端�����,判斷匹配的應(yīng)用客戶端是 否已注冊����,以及所述匹配的應(yīng)用客戶端生成的推消息響應(yīng)能力文件是否獲得簽名;若所述匹配的應(yīng)用客戶端已注冊�����,且其推消息響應(yīng)能力文件獲得簽名��,啟動所述匹配 的應(yīng)用客戶端處理接收到的推消息��;若所述匹配的應(yīng)用客戶端未注冊���,或其推消息響應(yīng)能 力文件未獲得簽名���,則拒絕處理接收到的推消息。
2.根據(jù)權(quán)利要求1所述的推消息處理方法�,其特征在于,消息接收設(shè)備接收消息發(fā)送 系統(tǒng)發(fā)送的包含推應(yīng)用標(biāo)識的推消息包括消息接收設(shè)備接收消息發(fā)送系統(tǒng)發(fā)送的包含推 應(yīng)用標(biāo)識及應(yīng)用客戶端標(biāo)識的推消息�����;消息接收設(shè)備根據(jù)所述推應(yīng)用標(biāo)識匹配相應(yīng)的應(yīng)用客戶端包括消息接收設(shè)備根據(jù)所 述推應(yīng)用標(biāo)識及應(yīng)用客戶端標(biāo)識匹配相應(yīng)的應(yīng)用客戶端��。
3.根據(jù)權(quán)利要求2所述的推消息處理方法���,其特征在于�����,所述應(yīng)用客戶端標(biāo)識為全球 用戶標(biāo)識�����。
4.根據(jù)權(quán)利要求1-3任一項(xiàng)所述的推消息處理方法���,其特征在于�,消息發(fā)送系統(tǒng)發(fā)送 的包含推應(yīng)用標(biāo)識的推消息還包括消息摘要�,所述消息摘要為經(jīng)過所述消息發(fā)送系統(tǒng)簽名 的摘要;消息接收設(shè)備根據(jù)所述推應(yīng)用標(biāo)識匹配相應(yīng)的應(yīng)用客戶端之前還包括根據(jù)所述推消息中經(jīng)過所述消息發(fā)送系統(tǒng)簽名的摘要驗(yàn)證所述消息發(fā)送系統(tǒng)的身份�����, 若驗(yàn)證通過����,則消息接收設(shè)備根據(jù)所述推應(yīng)用標(biāo)識匹配相應(yīng)的應(yīng)用客戶端;若驗(yàn)證未通過����, 則拒絕處理所述推消息。
5.一種用于實(shí)現(xiàn)上述權(quán)利要求1-4任一項(xiàng)所述推消息處理方法的消息安全管理系統(tǒng)���, 其特征在于�����,包括應(yīng)用管理與服務(wù)模塊,用于對應(yīng)用客戶端的推消息響應(yīng)能力文件進(jìn)行簽名����,對所述應(yīng) 用客戶端進(jìn)行注冊�����,并驗(yàn)證所述應(yīng)用客戶端的推消息響應(yīng)能力文件的簽名�����;可信應(yīng)用列表管理與服務(wù)模塊�����,用于建立并維護(hù)可信應(yīng)用列表��,所述可信應(yīng)用列表為 通過注冊和簽名的應(yīng)用客戶端信息列表��。
6.根據(jù)權(quán)利要求5所述的消息安全管理系統(tǒng)�����,其特征在于�����,還包括證書管理與服務(wù)模塊����,用于根據(jù)消息發(fā)送系統(tǒng)、消息遞送系統(tǒng)或消息接收設(shè)備發(fā)送的 申請信息��,為所述消息發(fā)送系統(tǒng)���、消息遞送系統(tǒng)或消息接收設(shè)備提供身份證書及對應(yīng)的密 鑰����,并驗(yàn)證所述消息發(fā)送系統(tǒng)�、消息遞送系統(tǒng)或消息接收設(shè)備的身份證書。
7.根據(jù)權(quán)利要求6所述的消息安全管理系統(tǒng)����,其特征在于,所述申請信息至少包括用 戶名�����、用戶密碼�、用戶描述及服務(wù)類型;所述身份證書至少包括證書格式與版本��、證書編碼方法����、簽名算法、摘要算法��、證書序 列號����、證書主題、證書的簽名機(jī)構(gòu)標(biāo)識及證書摘要�。
8.根據(jù)權(quán)利要求5 7任一項(xiàng)所述的消息安全管理系統(tǒng),其特征在于��,還包括消息處理日志接收模塊�����,用于接收消息接收設(shè)備發(fā)送的消息處理日志�。
9.一種用于實(shí)現(xiàn)上述權(quán)利要求1-4任一項(xiàng)所述推消息處理方法的消息接收設(shè)備,其特 征在于����,包括消息接收客戶端,用于接收消息發(fā)送系統(tǒng)發(fā)送的包含推應(yīng)用標(biāo)識的推消息�����;消息安全管理客戶端,與所述消息接收客戶端相連��,用于根據(jù)所述消息接收客戶端接 收的推消息中的推應(yīng)用標(biāo)識����,匹配相應(yīng)的應(yīng)用客戶端,判斷匹配的應(yīng)用客戶端是否已注冊�����, 以及所述匹配的應(yīng)用客戶端生成的推消息響應(yīng)能力文件是否獲得簽名����,若所述匹配的應(yīng)用 客戶端已注冊且生成的推消息響應(yīng)能力文件獲得簽名,則調(diào)用并啟動所述匹配的應(yīng)用客戶 端處理所述推消息���,應(yīng)用客戶端�����,與所述消息安全管理客戶端相連���,用于在所述消息安全管理客戶端的調(diào) 用下,啟動并處理所述消息接收客戶端接收的推消息。
10.根據(jù)權(quán)利要求9所述的消息接收設(shè)備��,其特征在于�,所述消息安全管理客戶端還用 于接收安裝時(shí)的應(yīng)用客戶端提交的注冊請求信息,并根據(jù)所述注冊請求信息對提交該注冊 請求信息的應(yīng)用客戶端進(jìn)行注冊�����。
11.根據(jù)權(quán)利要求10所述的消息接收設(shè)備�����,其特征在于�,所述注冊請求信息至少包括 簽名后的推消息響應(yīng)能力文件�、應(yīng)用客戶端安裝路徑及應(yīng)用客戶端主程序的全路徑。
12.根據(jù)權(quán)利要求9所述的消息接收設(shè)備�����,其特征在于��,所述消息安全管理客戶端還用 于根據(jù)推消息中的摘要簽名驗(yàn)證所述推消息的發(fā)送方的身份����,若身份驗(yàn)證通過,則匹配相 應(yīng)的應(yīng)用客戶端,若身份驗(yàn)證未通過�,則拒絕處理所述推消息。
13.根據(jù)權(quán)利要求9所述的消息接收設(shè)備��,其特征在于�,所述推消息中包含有應(yīng)用客戶 端標(biāo)識,所述消息安全管理客戶端還用于通過所述應(yīng)用客戶端標(biāo)識直接匹配相應(yīng)的應(yīng)用客 戶端�。
14.根據(jù)權(quán)利要求9 13任一項(xiàng)所述的消息接收設(shè)備,其特征在于���,所述消息安全管理 客戶端還用于記錄消息處理日志��,并定期向消息安全管理系統(tǒng)發(fā)送消息處理日志��。
15.根據(jù)權(quán)利要求9 13任一項(xiàng)所述的消息接收設(shè)備����,其特征在于�,還包括身份申請模塊,用于向消息安全管理系統(tǒng)申請并獲取身份證書及對應(yīng)的密鑰�。
16.根據(jù)權(quán)利要求9 13任一項(xiàng)所述的消息接收設(shè)備,其特征在于��,所述消息安全管理 客戶端還用于從消息安全管理系統(tǒng)下載可信應(yīng)用列表���,所述可信應(yīng)用列表為通過消息安全 管理系統(tǒng)注冊和簽名的應(yīng)用客戶端的信息列表���。
17.一種推消息處理系統(tǒng)����,包括消息發(fā)送系統(tǒng)��、消息遞送系統(tǒng)����,其特征在于�����,還包括上 述權(quán)利要求5-7任一項(xiàng)所述的消息安全管理系統(tǒng)及上述權(quán)利要求9-12任一項(xiàng)所述的消息 接收設(shè)備����;所述消息安全管理系統(tǒng)與所述消息發(fā)送系統(tǒng)、消息遞送系統(tǒng)及消息接收設(shè)備通信連接����;所述消息發(fā)送系統(tǒng)通過所述消息遞送系統(tǒng),將生成的包含推應(yīng)用標(biāo)識的推消息發(fā)送給 所述消息接收設(shè)備����,所述消息接收設(shè)備用于根據(jù)所述推應(yīng)用標(biāo)識匹配相應(yīng)的應(yīng)用客戶端��, 判斷匹配的應(yīng)用客戶端是否已注冊���,以及所述匹配的應(yīng)用客戶端生成的推消息響應(yīng)能力文 件是否獲得簽名;若所述匹配的應(yīng)用客戶端已注冊且生成的推消息響應(yīng)能力文件獲得簽 名�,則調(diào)用并啟動所述匹配的應(yīng)用客戶端處理所述推消息。
18.根據(jù)權(quán)利要求17所述的推消息處理系統(tǒng)�����,其特征在于��,所述消息發(fā)送系統(tǒng)���、消息遞 送系統(tǒng)及消息接收設(shè)備中的任意一個(gè)或組合還包括身份申請模塊����,用于向所述消息安全管理系統(tǒng)發(fā)送申請信息���,并用于從所述消息安全管理系統(tǒng)獲取身份證書及對應(yīng)的密鑰��,所述申請信息至少包括用戶名����、用戶密碼、用戶描 述及服務(wù)類型����,所述身份證書至少包括證書格式與版本、證書編碼方法���、簽名算法����、摘要算 法��、證書序列號��、證書主題���、證書的簽名機(jī)構(gòu)標(biāo)識及證書摘要。
19.根據(jù)權(quán)利要求17所述的推消息處理系統(tǒng)����,其特征在于,所述消息發(fā)送系統(tǒng)還包括 應(yīng)用客戶端管理與服務(wù)模塊�,用于協(xié)同應(yīng)用客戶端向所述消息安全管理系統(tǒng)對所述應(yīng)用客戶端的推消息響應(yīng)能力文件進(jìn)行簽名���,協(xié)同所述應(yīng)用客戶端向所述消息安全管理系統(tǒng) 進(jìn)行注冊。
20.根據(jù)權(quán)利要求19所述的推消息處理系統(tǒng)�,其特征在于,所述應(yīng)用客戶端管理與服 務(wù)模塊還用于記錄進(jìn)行簽名和注冊的應(yīng)用客戶端的信息����。
21.根據(jù)權(quán)利要求18所述的推消息處理系統(tǒng),其特征在于���,所述消息發(fā)送系統(tǒng)還包括 摘要簽名模塊�,用于使用所述身份申請模塊獲取的身份證書及對應(yīng)的密鑰�,對所述消息發(fā)送系統(tǒng)生成的推消息的消息摘要進(jìn)行簽名。
22.根據(jù)權(quán)利要求17-21任一項(xiàng)所述的推消息處理系統(tǒng)�,其特征在于,所述消息發(fā)送系 統(tǒng)還包括客戶端標(biāo)識附加模塊����,用于在所述消息發(fā)送系統(tǒng)生成的推消息中,設(shè)置用于指示消息 接收設(shè)備啟動對應(yīng)的應(yīng)用客戶端處理所述推消息的應(yīng)用客戶端標(biāo)識����。
23.一種用于上述權(quán)利要求17 22任一項(xiàng)所述的推消息處理系統(tǒng)中申請身份證書的 方法,其特征在于����,包括消息發(fā)送系統(tǒng)��、消息遞送系統(tǒng)或消息接收設(shè)備向消息安全管理系統(tǒng)發(fā)送申請信息����,申 請身份證書����,所述申請信息至少包括用戶名、用戶密碼���、用戶描述及服務(wù)類型��;所述消息安全管理系統(tǒng)根據(jù)所述申請信息生成身份證書及對應(yīng)的密鑰�,反饋給所述消 息發(fā)送系統(tǒng)��、消息遞送系統(tǒng)或消息接收設(shè)備��。
24.根據(jù)權(quán)利要求23所述的申請身份證書的方法��,其特征在于�����,所述消息安全管理系 統(tǒng)根據(jù)所述申請信息生成身份證書及對應(yīng)的密鑰之前還包括所述消息安全管理系統(tǒng)根據(jù)所述申請信息驗(yàn)證所述消息發(fā)送系統(tǒng)�����、消息遞送系統(tǒng)或消 息接收設(shè)備的身份���,若驗(yàn)證未通過���,則拒絕所述申請信息驗(yàn)證所述消息發(fā)送系統(tǒng)、消息遞送 系統(tǒng)或消息接收設(shè)備的申請����;若驗(yàn)證通過,則判斷所述消息發(fā)送系統(tǒng)�����、消息遞送系統(tǒng)或消息 接收設(shè)備是否已注冊�,若所述消息發(fā)送系統(tǒng)、消息遞送系統(tǒng)或消息接收設(shè)備已注冊���,則直接 反饋已生成的身份證書及對應(yīng)的密鑰���;若所述消息發(fā)送系統(tǒng)�����、消息遞送系統(tǒng)或消息接收設(shè) 備未注冊�,則注冊所述消息發(fā)送系統(tǒng)�����、消息遞送系統(tǒng)或消息接收設(shè)備�����,生成并存儲相應(yīng)的身 份證書及對應(yīng)的密鑰���。
25.根據(jù)權(quán)利要求23或24所述的申請身份證書的方法��,其特征在于�,所述身份證書至 少包括證書格式與版本��、證書編碼方法���、簽名算法���、摘要算法、證書序列號�����、證書主題���、證書 的簽名機(jī)構(gòu)標(biāo)識及證書摘要����。
26.一種用于上述權(quán)利要求17 22任一項(xiàng)所述的推消息處理系統(tǒng)中應(yīng)用客戶端簽名 的方法����,其特征在于,包括應(yīng)用客戶端生成至少包括推應(yīng)用標(biāo)識及應(yīng)用客戶端標(biāo)識的推消息響應(yīng)能力文件����; 所述應(yīng)用客戶端發(fā)送所述推消息響應(yīng)能力文件的簽名請求;消息安全管理系統(tǒng)支持簽名請求的情況下��,計(jì)算所述推消息響應(yīng)能力文件的文件摘要�����;所述消息安全管理系統(tǒng)采用自身證書私鑰加密所述文件摘要; 所述消息安全管理系統(tǒng)將加密的文件摘要加入所述推消息響應(yīng)能力文件中��; 所述消息安全管理系統(tǒng)將簽名結(jié)果及加入了加密的文件摘要的推消息響應(yīng)能力文件 反饋給所述應(yīng)用客戶端�。
27.根據(jù)權(quán)利要求26所述的應(yīng)用客戶端簽名的方法,其特征在于��,所述應(yīng)用客戶端發(fā) 送所述推消息響應(yīng)能力文件的簽名請求包括所述應(yīng)用客戶端通過消息發(fā)送系統(tǒng)���,將所述推消息響應(yīng)能力文件的簽名請求發(fā)送給所 述消息安全管理系統(tǒng)�����;所述消息安全管理系統(tǒng)將簽名結(jié)果及加入了加密的文件摘要的推消息響應(yīng)能力文件 反饋給所述應(yīng)用客戶端包括所述消息安全管理系統(tǒng)將簽名結(jié)果及加入了加密的文件摘要的推消息響應(yīng)能力文件���, 通過所述消息發(fā)送系統(tǒng)反饋給所述應(yīng)用客戶端。
28.根據(jù)權(quán)利要求27所述的應(yīng)用客戶端簽名的方法����,其特征在于,還包括 所述消息發(fā)送系統(tǒng)存儲所述加入了加密的文件摘要的推消息響應(yīng)能力文件��。
29.根據(jù)權(quán)利要求26-28任一項(xiàng)所述的應(yīng)用客戶端簽名的方法��,其特征在于���,所述消息 安全管理系統(tǒng)將簽名結(jié)果及加入了加密的文件摘要的推消息響應(yīng)能力文件反饋給所述應(yīng) 用客戶端之后還包括所述應(yīng)用客戶端將加入了加密的文件摘要的推消息響應(yīng)能力文件作為自身一部分��,分 發(fā)給消息接收設(shè)備��。
30.一種用于上述權(quán)利要求17 22任一項(xiàng)所述的推消息處理系統(tǒng)中應(yīng)用客戶端注冊 的方法��,其特征在于����,包括應(yīng)用客戶端安裝到消息接收設(shè)備時(shí)�,向消息安全管理客戶端提交注冊請求信息,所述 注冊請求信息中包含推消息響應(yīng)能力文件�����;所述消息安全管理客戶端審核所述注冊請求信息中的推消息響應(yīng)能力文件���; 若審核通過�,則所述消息安全管理客戶端查詢和更新可信應(yīng)用列表��,所述可信應(yīng)用列 表為通過消息安全管理系統(tǒng)注冊和簽名的應(yīng)用客戶端的信息列表�����;若審核未通過,則結(jié)束 注冊��,反饋?zhàn)允〗Y(jié)果�;若所述可信應(yīng)用列表中包含有提交注冊請求信息的應(yīng)用客戶端的信息,則所述消息 安全管理客戶端記錄所述提交注冊請求信息的應(yīng)用客戶端的注冊信息���,并反饋?zhàn)猿晒Y(jié) 果�����;若所述可信應(yīng)用列表未包含所述提交注冊請求信息的應(yīng)用客戶端的信息�,則反饋?zhàn)?失敗結(jié)果����。
31.根據(jù)權(quán)利要求30所述的應(yīng)用客戶端注冊的方法,其特征在于�,所述消息安全管理 客戶端審核所述注冊請求信息中的推消息響應(yīng)能力文件之前還包括判斷所述應(yīng)用客戶端是否已注冊,若已注冊���,則直接向所述應(yīng)用客戶端反饋?zhàn)猿晒?結(jié)果���;若未注冊,則審核所述注冊請求信息��。
32.根據(jù)權(quán)利要求30或31所述的應(yīng)用客戶端注冊的方法,其特征在于��,還包括所述消息安全管理客戶端記錄安全管理的日志信息�����,并定期向所述消息安全管理系統(tǒng) 提交日志信息�����。
全文摘要
本發(fā)明公開了一種推消息處理方法��、用于實(shí)現(xiàn)推消息處理方法的系統(tǒng)及設(shè)備�,推消息處理方法包括消息接收設(shè)備接收消息發(fā)送系統(tǒng)發(fā)送的包含推應(yīng)用標(biāo)識的推消息�;消息接收設(shè)備根據(jù)所述推應(yīng)用標(biāo)識匹配相應(yīng)的應(yīng)用客戶端,判斷匹配的應(yīng)用客戶端是否已注冊�����,以及所述匹配的應(yīng)用客戶端生成的推消息響應(yīng)能力文件是否獲得簽名�;若所述匹配的應(yīng)用客戶端已注冊,且其推消息響應(yīng)能力文件獲得簽名�����,啟動所述匹配的應(yīng)用客戶端處理接收到的推消息;若所述匹配的應(yīng)用客戶端未注冊���,或其推消息響應(yīng)能力文件未獲得簽名����,則拒絕處理接收到的推消息�。使得處理推消息的應(yīng)用客戶端安全可控,提高了推消息處理的安全性��。
文檔編號H04W4/12GK102006567SQ20101054559
公開日2011年4月6日 申請日期2010年11月15日 優(yōu)先權(quán)日2010年11月15日
發(fā)明者加雄偉 申請人:中國聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司