[发明专利]在移动通信设备上实施安全策略的系统

权利要求书

1.一种在移动通信设备(115)上实施安全策略的系统，所述移动通信设备(115)与客户身份模块(120)在操作上相关联地用于移动通信网络(105)中，所述系统具有客户机-服务器体系结构，并且包括：

由移动通信网络运营商(110)操作的服务器(140)；

驻留在移动通信设备上的客户机(135)，其中将在所述移动通信设备上实施安全策略；

其中所述服务器确定将在所述移动通信设备上应用的安全策略，并将待应用的安全策略发送到所述移动通信设备，其中所述服务器包括用于鉴权将被发送到所述移动通信设备的安全策略的服务器鉴权功能(327)；并且其中所述客户机从所述服务器接收待应用的安全策略，并应用所述接收的安全策略，所述客户机还通过使用驻留在所述客户身份模块上的客户机鉴权功能(435)，评定从所述服务器接收的安全策略的真实性，

其特征在于，

所述服务器鉴权功能用于：

-计算用于允许评定将被发送到所述移动通信设备的安全策略的真实性的鉴权信息，并将所述鉴权信息添加到所述安全策略中；以及

-通过计算用于允许评定将被发送到所述移动通信设备的传输经鉴权的安全策略的消息的真实性的消息鉴权信息并将所述消息鉴权信息添加到所发送的消息中来鉴权所述消息；并且

所述客户机鉴权功能用于：

-通过对于从所述服务器接收的消息计算消息鉴权信息，来评定从服务器接收的消息的真实性；

-比较所计算的消息鉴权信息和包含在所接收的消息中的消息鉴权信息；

-对于从所述服务器接收的安全策略计算鉴权信息；和

-比较所计算的鉴权信息和包含在所接收的安全策略中的鉴权信息。

2.按照权利要求1所述的系统，其中所述鉴权信息还用于允许评定将被发送到所述移动通信设备的安全策略的完整性。

3.按照权利要求1所述的系统，其中所述消息鉴权信息还用于允许评定将被发送到所述移动通信设备的消息的完整性。

4.按照权利要求1或2所述的系统，其中所述鉴权信息包含关于与将被发送到所述移动通信设备的安全策略对应的数据块计算的消息鉴权码。

5.按照权利要求1或2所述的系统，其中所述消息鉴权信息包含在整个消息上计算的消息鉴权码。

6.按照权利要求4或5所述的系统，其中所述服务器鉴权功能用于利用与客户身份模块共享的秘密加密密钥，计算所述消息鉴权码，并且所述客户机鉴权功能用于利用相同的秘密加密密钥，重新计算所述消息鉴权码。

7.按照权利要求6所述的系统，其中所述客户机包括：

-用于管理从所述服务器接收的消息的管理器模块(405)；

-将由所述移动通信设备应用的安全策略的本地数据库(420)；和

-用于在所述移动通信设备上实施选择的安全策略的实施器模块(425)。

8.按照权利要求7所述的系统，其中所述管理器模块用于在从所述服务器接收到包含待应用的安全策略的消息时，调用所述客户机鉴权功能，并在所述消息和所述安全策略被评定为真实的情况下，将所接收的安全策略保存在所述本地数据库中。

9.按照权利要求8所述的系统，其中所述消息是指令述客户机应用已经存储在所述本地数据库中的指定安全策略的策略应用消息。

10.按照权利要求9所述的系统，其中当从所述服务器接收到所述策略应用消息时，所述管理器模块用于在所述本地数据库中识别所述指定安全策略，调用所述客户机鉴权功能，以便使用鉴权信息来评定所识别的安全策略的完整性，并在完整性被评定的情况下，将所识别的安全策略传递给所述实施器模块，以应用所述安全策略。

11.按照权利要求7-10中的任何一个所述的系统，其中所述消息是指令所述向客户机更新已存储在所述本地数据库中的指定安全策略的更新消息，所述更新消息包括用于更新指定策略的更新信息，以及由所述服务器鉴权功能对于更新的安全策略所计算的鉴权信息。

12.按照权利要求9所述的系统，其中当从所述服务器接收到所述更新消息时，所述管理器模块用于在所述本地数据库中识别所述指定安全策略，根据所述更新信息更新所述安全策略，并调用客户机鉴权功能，根据包含在更新消息中的鉴权信息，评定更新的安全策略的真实性。