[发明专利]在移动通信设备上实施安全策略的系统

权利要求书

1、一种在移动通信设备(115)上实施安全策略的系统，所述移动通信设备(115)与客户身份模块(120)在操作上相关联地用于移动通信网络(105)中，所述系统具有客户机-服务器体系结构，并且包括：

由移动通信网络运营商(110)操作的服务器(140)；

驻留在移动通信设备上的客户机(135)，其中将在所述移动通信设备上实施安全策略；

其中所述服务器确定将在所述移动通信设备上应用的安全策略，并将待应用的安全策略发送到所述移动通信设备，其中所述客户机从服务器接收待应用的安全策略，并应用所述接收的安全策略，

其特征在于，

所述服务器包括用于鉴权将被发送到移动通信设备的安全策略的服务器鉴权功能(327)；和

所述客户机还通过使用驻留在客户身份模块上的客户机鉴权功能(435)，评定从服务器接收的安全策略的真实性。

2、按照权利要求1所述的系统，其中所述服务器鉴权功能计算用于允许评定将被发送到移动通信设备的安全策略的真实性的鉴权信息，并将所述鉴权信息添加到将被发送到移动通信设备的安全策略中。

3、按照权利要求2所述的系统，其中所述鉴权信息还用于允许评定将被发送到移动通信设备的安全策略的完整性。

4、按照权利要求2或3所述的系统，其中所述鉴权信息包含关于与将被发送到移动通信设备的安全策略对应的数据块计算的消息鉴权码或数字签名中的至少一个。

5、按照权利要求2、3或4所述的系统，其中所述客户机鉴权功能用于：

-对于从服务器接收的安全策略计算鉴权信息，和

-比较所述计算的鉴权信息和包含在所述接收的安全策略中的鉴权信息。

6、按照权利要求5所述的系统，其中所述服务器鉴权功能用于利用与客户机鉴权功能共享的秘密加密密钥，加密所述鉴权信息，所述客户机鉴权功能用于对包含在从所述服务器接收的安全策略中的鉴权信息解密。

7、按照权利要求6所述的系统，其中所述客户机包括：

-用于管理从所述服务器接收的消息的管理器模块(405)；

-将由所述移动通信设备应用的安全策略的本地数据库(420)；和

-用于在所述移动通信设备上实施选择的安全策略的实施器模块(425)。

8、按照权利要求7所述的系统，其中所述管理器模块用于在从所述服务器接收到包含待应用的安全策略的消息时，调用所述客户机鉴权功能，并在所述安全策略被评定为真实的情况下，将所述接收的安全策略保存在所述本地数据库中。

9、按照权利要求8所述的系统，其中所述接收的安全策略和相应的鉴权信息一起被保存。

10、按照权利要求9所述的系统，其中所述服务器还用于向客户机发送指令客户机应用已保存在所述本地数据库中的指定安全策略的策略应用消息。

11、按照权利要求10所述的系统，其中当从所述服务器接收到所述策略应用消息时，所述管理器模块用于在所述本地数据库中识别指定的安全策略，调用所述客户机鉴权功能，以便使用鉴权信息来评定所述识别的安全策略的完整性，并在完整性被评定的情况下，将所述识别的安全策略传递给所述实施器模块，以应用所述安全策略。

12、按照权利要求7-11中的任何一个所述的系统，其中所述服务器还用于向客户机发送指令客户机更新已保存在本地数据库中的指定安全策略的更新消息，所述更新消息包括用于更新指定策略的更新信息，以及由所述服务器鉴权功能对于更新的安全策略所计算的鉴权信息。

13、按照权利要求12所述的系统，其中当从所述服务器接收到更新消息时，所述管理器模块用于在本地数据库中识别指定的安全策略，根据更新信息更新所述安全策略，并调用客户机鉴权功能，根据包含在更新消息中的鉴权信息，评定更新的安全策略的真实性。

14、按照任何一个前述权利要求所述的系统，其中所述服务器鉴权功能还用于鉴权将被发送到移动通信设备的消息，所述客户机鉴权功能还用于评定从所述服务器接收的消息的真实性。