具有强迫密码保护的无线通信设备及方法

摘要

一种无线通信设备及它的操作方法，包括：如果被激活，则对访问存储于其中的数据和/或正常的设备操作进行密码保护，并进一步包括强迫密码校验逻辑，如果输入了强迫密码，则强迫密码校验逻辑便自动引起强迫消息发送。优选地，发送该强迫消息而不保留这个发送的任何用户可访问的指示。另外优选的是，如果在输入了强迫密码之后输入普通密码，则密码校验逻辑自动引起强迫结束消息的发送。可以在设备的数据存储器的强迫密码部分中输入多个不同的强迫密码。

说明书

技术领域

本发明通常涉及对存储数据的访问和/或正常设备操作具有密码保护的无线通信设备。

背景技术

对于无线通信设备(例如，蜂窝电话、移动电子邮件设备等等)和其它电子设备或系统(例如，计算机，计算机系统、计算机服务账号、计算机程序等等)来说，对存储数据的访问和/或正常设备操作的密码保护是众所周知的。家庭警报系统典型地也被密码保护。例如，通常只由房屋主人和授权客人知道的秘密密码来“发起”或“解除”警报。

现在，大多数的家庭报警也包括强迫密码特征。强迫密码在一些方式中与普通密码不同(例如，可能改变一个字符，例如，如果普通密码是1 2 3 4 5，则强迫密码可能是1-2-3-4-4)。如果房屋主人处于被迫的境地(例如，窃贼潜入房屋并在要求解除或关闭警报系统时威肋要人身伤害)，业主可以输入强迫密码来代替普通密码。当警报系统识别出强迫密码的项时，它自动向报警服务(或“911”)发送紧急呼叫，通知在哪个特别的住宅需要立即援助。当然，这样的强迫发信号通知默默地发生，以便现场敏感的攻击者可能不知道它已经发生了。实际上，这使房屋主人以默默的方式请求帮助。

移动无线通信设备(例如，蜂窝电话，带有无线接口的便携式计算机，无线电子邮件收发信机等等)在一些时候也是密码保护的。换句话说，除非输入合法的用户秘密密码(假定用户已经激活了密码保护特征)，否则对存储在该无线通信设备内数据的访问和/或正常的设备操作被阻止。然而，这种密码保护的无线通信设备在以前不具有强迫密码特征。

发明内容

现在我们已经认识到强迫密码特征在移动无线通信设备中可以是有价值的。例如，具有密码保护的移动无线通信设备的合法用户也可能处于被迫的境地，并且实际上被逼迫输入密码，为未被授权的用户提供对存储数据的访问和/或正常操作。如果这样的事情发生，立刻提供本发明的用于这种移动无线通信设备的强迫密码特征。由用户输入强迫密码仍然会解锁移动无线通信设备例如，以便攻击者意识不到已经输入了强迫密码。然而，无论何时输入强迫密码，移动无线通信设备会识别出该强迫密码，并默默地向适当的人或机构发送“求救”消息。

一种典型的无线通信设备(及它的相关操作方法)包括，如果被激活，对访问存储于其中的数据进行密码保护，并进一步包括密码校验逻辑，如果该密码校验逻辑被激活，则防止用户访问某些设备数据，且该密码校验逻辑包括如果在允许访问某些设备数据和/或操作之前输入了强迫密码则自动地引起强迫消息发送的强迫密码校验逻辑。

在典型的无线通信设备中，强迫密码校验逻辑引起强迫消息发送，而不保留这种发送的任何用户可访问的指示。另外，如果在输入了强迫密码之后输入普通密码，优选地密码校验逻辑自动地引起发送强迫结束消息。

典型的无线通信设备/方法可以进一步包括强迫密码输入逻辑，其允许用户把至少一个强迫密码输入进该设备内数据存储器的强迫密码部分。强迫密码输入逻辑也可以允许用户把多个不同的强迫密码输入进该设备内数据存储器的强迫密码部分。

典型的强迫密码校验逻辑可以把输入的密码与多个预先存储的密码相比较，以确定是否输入了该多个预先存储密码中的任何一个。例如，可以确定输入的密码是否构成了普通密码的预定更改版本，以确定是否输入了强迫密码。这种普通密码的预定更改版本可以包括普通密码中数字的置换。或者作为选择，普通密码的预定更改版本可以仅仅是带有至少一个附加数字作为其前缀和/或后缀的普通密码。这种附加的一个数字(多个数字)可以是预定的一个值(多个值)。该预定的一个值(多个值)可以由用户预先存储于该设备内数据存储器的所述强迫密码部分中。

典型的强迫密码校验逻辑也可以确定输入的密码是否构成由用户预先输入进数据存储器的强迫密码部分的强迫密码的预定更改版本—这与基于普通密码和/或其他以前的用户或工厂输入仅仅执行自动算法操作相反。再者，预先输入的强迫密码的预定更改版本可以仅仅是预先输入的带有至少一个附加数字作为其前缀和/或后缀的强迫密码。输入的附加的一个数字(多个数字)可以是预定的一个值(多个值)。该预定的一个值(多个值)可以由用户预先存储于该设备内数据存储器的强迫密码部分中。

在以下描述的典型实施例中，给用户选项以设置至少一个强迫密码。也提供选项以删除以前存储的所有强迫密码，以便如果用户已经忘记了强迫密码中的一些则允许用户重新开始。

在一些实施例中，有利的是，允许存储不止一个的强迫密码。由于具有多个强迫密码，用户可以能够对即使不但询问普通密码而且询问强迫密码的内行的攻击者隐瞒至少一个强迫密码。即使这个内行的攻击者可能猜测有不止一个的用户密码，他也不可能会知道可能存在多少强迫密码。因此，甚至当用户处于被攻击者强迫的境地时，通过提供可以随意的给攻击者而不暴露普通密码的仅仅两个或多个强迫密码就可能安抚攻击者。因此，不管攻击者使用哪个密码，如果使用任何一个强迫密码则会引起发送默默的“求救”消息。

虽然存储多个强迫密码可能是有利的，但由于存储较大数量的强迫密码可能存在安全性问题，仅仅存储一个强迫密码也可以是优选的。

一个或多个强迫密码的定义可以通过人工输入任意数字和/或通过由用户人工输入的普通密码或一个或多个原型强迫密码的算法改变来完成。根据本发明的无线通信设备包括密码校验逻辑，该密码校验逻辑防止访问某些设备数据和/或操作，并包括如果输入了代替普通密码的强迫密码便自动引起强迫消息发送的强迫密码校验逻辑。

强迫密码可以以可能几乎无约束的方式来定义，只要其本质上正好与普通设备密码一样“强大”。确定合适强迫密码的方式的一些例子总结如下：

·普通密码与其它数字串的组合

·前缀(加前缀)

·后缀(加后缀)

·手工输入强迫密码和它的变形(包括它与其它数字串的结合(参见上文))

·与其它数字串的的组合

·普通密码的置换

优选地是，默默的强迫消息将发送到预定的(即，早先指定的)电子邮件地址以告警收件人特定的帐户/业主/设备处于被迫的境地。优选地，发送这个强迫电子邮件消息，而不显现在任何普通消息记录中，以帮助确保攻击者不能确定该设备已被置于强迫模式。例如，该强迫消息可能包含PIN(个人身份识别号码)、业主信息与身份、当前时间(在一些预定或指定的时区内)和任何其它想要的信息。这种电子由附的格式可以是在设备上硬编码的，或者由适当的计算机程序编码和用户输入(例如，根据业主机构的IT policy-其也有可能会指定用于强迫消息的电子邮件地址等等)来另外定义。

在优选的典型实施例中，在输入了强迫密码并已发送了强迫密码之后，下次输入普通密码时，适当的强迫结束消息也将自动地发送到该收件人，以指示该强迫模式结束。

本发明可以用硬件、软件或硬件与软件的结合体现。本发明也可以提供一种在无线通信设备中提供附加密码保护的方法，该方法包括通过如果输入了代替普通密码的强迫密码便自动引起强迫消息发送来对访问数据和/或正常设备操作进行密码保护。该典型实施例至少部分地通过物理程序存储介质体现的可执行计算机程序编码实现。

附图说明

结合随后连同附图的典型实施例的详细描述，将更容易理解或意识到本发明这些和其它目标以及优点，附图如下：

图1是根据本发明典型实施例包含具有强迫密码保护的移动无线通信设备的典型无线电子邮件通信系统的总体系统示意图；

图2是包含在典型移动无线通信设备内的硬件的简化示意图；

图3是典型的可以用于图2的移动通信设备的设备控制程序的简化示意流程图；

图4是典型的可以用于图2的设备中提供设置直到N_max个强迫密码选项的计算机软件(即，程序逻辑)的简化示意流程图；

图5是典型的可以用于图2的设备中以提供包括强迫密码校验逻辑的密码校验逻辑的计算机软件(即，程序逻辑)的简化示意流程图；

图6描述可以用算法(例如，基于用户输入的普通和/或强迫密码)或手工方式确定强迫密码的几个典型方式；和

图7描述根据本发明可以使用的强迫密码格式的一个例子。

具体实施方式

图1是根据本发明可以在其中使用无线通信设备100的典型通信系统的概观。本领域普通技术人员将会理解可以有成百上千种不同的系统拓扑。也可以有许多的消息发送器和接收器。图1中示出的简单的典型系统仅仅用于说明的目的，并显示了可能的当前最流行的互联网电子邮件环境。

图1示出了电子邮件发送器10、互联网12、消息服务器系统14、无线网关16、无线基础结构18、无线网络20和移动通信设备100。

例如，电子邮件发送器10可以连接到位于公司内部并在其上系统用户具有帐户的ISP(互联网服务提供器)、可能连接到局域网(LAN)、以及连接到互联网12、或通过例如America Online^TM(AOL)一样的大的ASP(应用服务提供器)连接到互联网12。那些本领域普通技术人员将会理解虽然电子邮件传送一般通过图1中示出的连接到互联网的配置来完成，但图1中示出的系统还可以连接到广域网(WAN)而不是连接到互联网。

例如，消息服务器14可以在公司防火墙内部的网络计算机上、在ISP或ASP系统内部的计算机上或类似计算机上实现，且该消息服务器14充当用于通过互联网12交换电子邮件的主接口。虽然其它的消息收发系统可能不需要消息服务器系统14，但被配置的用于接收并可能发送电子邮件的移动设备100将通常与在消息服务器的帐户相关联。可能两个最通用的消息服务器是MicrosoftExchange^TM和Lotus Domino^TM。这些产品经常与路由并递送邮件的互联网邮件路由器结合使用。这些中间组成部分在图1中未示出，因为它们在以下描述的发明中不直接起作用。例如服务器14一样的消息服务器典型地扩展到不仅仅用于发送并接收电子邮件；它们还包括已经预定义了数据式日历、日程表、任务列表、电子邮件和文件的数据库格式的动态数据库引擎。

无线网关16和基础结构18在互联网12与无线网络20之间提供链路。无线基础结构18确定用于定位指定用户的最可能的网络并当用户在地区或网络之间漫游时追踪用户。然后通过无线传输、典型地在射频(RF)上把消息从无线网络20中的基站递送到移动设备100。特定网络20实际上可以是任一通过其可以与移动通信设备交换消息的无线网络。

如图1所示，组成的电子邮件消息22由位于互联网12某处的电子邮件发送器10发送。这个消息22典型地使用传统的简单邮件传输协议(SMTP)、RFC822报头和多用途网际邮件扩充(MIME)本体部分来定义邮件消息的格式。这些技术对那些本领域普通技术人员来说是熟知的。消息22到达消息服务器14，并通常存储于消息存储器内。大多数已知的消息收发系统支持所谓的“拉伸”消息访问方案，其中移动设备100必须请求存储的消息由消息服务器转发到移动设备100。一些系统提供使用与移动设备1 00相关联的特定电子邮件地址寻址这些消息的自动路由。在优选实施例中，例如，当接收寻址到与属于移动设备100用户的家用计算机或办公计算机一样的主系统相关联的消息服务器帐户的消息时，把该消息从消息服务器14转发到移动设备100。

不管把消息转发到移动设备100的特定机制，消息22、或可能的它的翻译版本或者重新格式化的版本被发送到无线网关16。无线基础结构18包括到无线网络20的一系列连接。这些连接可以是使用整个互联网中使用的TCP/IP协议的综合业务数字网(ISDN)、帧中继或T1连接。如这里所使用的，术语“无线网络”旨在包含三种不同类型的网络，它们是(1)数据中心无线网络，(2)语音中心无线网络和(3)能够通过相同物理基站既支持语音通信又支持数据通信的双模式网络。组合的双模式网络包括，但不局限于(1)码分多址(CDMA)网络，(2)群组专用移动通信系统或全球移动通信系统(GSM)与通用分组无线电业务(GPRS)网络，和(3)象增强数据速率GSM演进技术(EDGE)一样的未来的第三代(3G)网络和通用移动通信系统(UMTS)。一些老的数据中心网络的例子包括Mobitex^TM无线网络和DataTAC^TM无线网络。老的语音中心数据网络的例子包括象GSM一样的个人通信系统(PCS)网络和TDMA系统。

如图2中所描述的，移动通信设备100包括用于到/从无线网络20无线通信的适当的RF天线102。提供传统的RF、解调/调制与解码/编码电路104。如本领域普通技术人员将会理解的，这种电路可能包括许多数字信号处理器(DSP)、微处理器、滤波器、模拟与数字电路等等。然而，由于这种电路在本领域是众所周知的，因此不作进一步的描述。

移动通信设备100将典型地包括主控CPU106，其在程序存储器108内的存储程序的控制下工作(且其有到数据存储器110的入口)。CPU106也与传统键盘112、显示器114(例如，LCD)和音频传感器或扬声器116通信。数据存储器110a的一部分可用于存储一个或多个强迫密码(DPW)。适当的计算机程序可执行代码存储于程序存储器108的部分中以构成以下描述的密码校验逻辑和强迫密码校验逻辑。

控制CPU106将典型地受例如图3中描述的主控制程序的支配。这里，一旦在300加电或打开，如果已经激活密码保护，则在301访问标记1A被复位以阻碍访问存储的数据和正常操作(且也可能基于包括其它传统的家庭管理杂务)，控制将传给密码校验逻辑子程序302。一旦从密码校验逻辑302退出，在304作出关于是否允许访问的判决。如果不，则通过306输入用于密码输入的等待循环。另一方面，如果输入了适当的密码，则允许访问，然后在308进入正常操作(包括对存储数据的访问)。在其它事情中，在典型实施例中的这些正常操作将包括设置到N_max个强迫密码的选项(且N_max甚至可以从一个设备变化到下一个设备，以便攻击者将不太可能知道可能存在多少个强迫密码)。

在优选实施例中，存储于设备100中的一个密码(多个密码)仅仅作为实际的一个密码(多个密码)的密码杂乱版本(多个版本)。当输入密码时，密码被相似地杂乱并与存储的杂乱密码比较。在以下描述的典型实施例中，使用可以“置位”或“复位”的标记以指示状态信息。将会理解的是，在预定的数据存储器字段中杂乱的可接受密码的存在或不存在可以构成这样的置位或复位标记值。

在图4中使用任何期望的手工选择菜单选项程序描述了强迫密码设置选项逻辑。在402给用户一个选项以删除现存的强迫密码。如果选择了这个选项，则在404也允许用户选择删除所有以前存储的强迫密码的另外的选项。如果选择了这个选项，则在406所有现存的强迫密码被删除。如果在404没有选择删除所有强迫密码的选项，则在408允许用户选择要删除的特定强迫密码，然后在410删除该密码。此后，在412给用户另一个选项，以可能地删除另外的也是以前存储的强迫密码。

在完成任何期望的删除处理之后，在414逻辑校验以查看存储的强迫密码数量是否已经等于最大数N_max。如果是，则在416提供适当的用户显示消息，且在418退出子程序。然而，如果在存储器中仍然有更多的存储空间来接收强迫密码，则在420给用户选项去这样做。如果选择了该选项，则在控制返回到在414用于可能输入的另一个强迫密码的验证之前在422手工输入(可能输入两次以用于确认)期望的新强迫密码。这样，在这个典型实施例中，用户可以手工设置到N_max个强迫密码(当然，当移动通信设备100被制造并分配到用户时，N_max可以设置为1)。

在这个典型的实施例中，首先给用户呈现一个选项，以删除现存的密码，然后给用户呈现一个选项，以增加强迫密码。当然这些选项中的每一个可以在单个菜单中同时呈现给用户，从该菜单中可以直接选择任何想要的选项(即，而不用经过多个顺序的选项选择)。

如图5所示，在500输入密码校验逻辑，并在502作出验证，以确定输入的密码是否是普通密码(NPW)。如果不是普通密码，则在504作进一步的验证以查看输入的密码是否等于N_max个可接受的强迫密码中的任何一个。如果不，则在506继续阻碍访问存储数据和正常操作，并在508退出子程序。

如果在504发现可接受的强迫密码存在，则在5 10发送强迫消息到预定的(即，以前指定的)电子邮件收件人，以告警收件人特定的帐户/业主/设备正处于被强迫的境地。如图5中所指出的，为了不提供任何用户可访问的已经发送消息的指示，优选地没有任何正常的消息记录来发送强迫消息。这是因为如果不这样做则攻击者可能发现该设备已设置为强迫模式。然而，在典型的实施例中，在512置位专用的允许访问标记1B，该标记可以在内部使用(即，没有任何用户访问)以指示该设备处于强迫模式。

虽然可以有强迫模式标记1B的许多内部用途，在图5描述了典型实施例中的一个用途，在502的验证确定是否已经输入了普通密码。如果输入了普通密码，则在514作出验证以查看是否已经置位了强迫模式标记1B。如果已经置位，则在516发送强迫结束消息。此外，如图5逻辑中所描述的，当输入了普通密码时，不管是否已经置位了强迫模式标记1B，在518置位允许访问标记1A(即，普通访问标记)。当然，当在516发送强迫结束消息时强迫标记1B被复位。强迫模式标记1B也用于允许或禁止访问强迫密码配置选项，例如强迫密码设置选项。如果置位了强迫模式标记1B，则禁止对强迫密码配置选项的访问。这防止了攻击者确定设置的强迫密码的数量或定义强迫密码的方式。如果还没有置位强迫模式标记1B，则允许对强迫密码配置选项的访问。

在一些实施中，可以不存在强迫模式标记1B。如果在504输入可接受的强迫密码，则在510发送强迫消息，而不在512置位强迫模式标记1B。由于不使用强迫模式标记1B，因此在514不执行验证，且在516不发送强迫结束消息。

在图7中描述了强迫消息的一个例子。地址字段700可以由用户或用户机构预先设置(即，作为从服务器下载的或者另外在移动通信设备100安装和发行期间由机构或它的职工在设备100输入该设备的机构定义的IT Policy规则的一部分)。当然，收件人应该是想要监控关于强迫消息的输入电子邮件消息的个体或机构-且准备好在接收到消息的情况下采取适当的行动。该强迫消息也可以包括PIN702(个人身份识别号码)、业主身份识别704、发送强迫消息的时间706、置位的强迫标记1B(以指示这是强迫消息而不是强迫结束消息)和特定用户或用户机构可能想要的任何其它信息。除了强迫结束消息会包括强迫标记1B的复位值而不是置位值来指示在前的强迫周期结束之外，强迫结束消息可以有相似的格式和内容。

图6提供了几个定义强迫密码的适当方式的例子。最简单的例子1使用如所希望的由用户手动输入的单个DPW。例如，如果普通密码是“Mike”，强迫密码可以是例如“water”一样的任何不相关的字符串。

图6中的第二个例子描述了一种简单的手工输入的多个强迫密码，其中，用户能够输入任何期望的任意字符串作为强迫密码(例如，“water”和“fire”)。

图6中描述的第三个例子把强迫密码定义为带有后缀和/或前缀数字的普通密码。强迫密码的这个定义可以是由适当逻辑通过算法来自动确定，或者作为选择，强迫密码可以包含由用户手工输入的期望的特定前缀和/或后缀。

图6中第四个例子简单地把强迫密码定义为带有作为后缀或前缀(或前缀和后缀)的任何附加字符(即，实际上“通配符”)的普通密码。

图6中的第五个例子把强迫密码定义为普通密码的前n个数字和最后n个数字的置换。例如，如果普通密码是“password”，且n等于2，则强迫密码可能是“APSSWODR”。在全部的这个描述中，应该理解“数字”的值可以是任何可接受可使用的字母、数字、符号或其它位值。

图6中的第六个例子把强迫密码定义为普通密码数字的倒序置换。在图6中描述了另一个普通密码的典型置换以定义强迫密码作为例子7，其中，普通密码的数字轮转n次(在图6所示的例子中n＝2)。

在如应用于无线通信设备100的典型实施例中，可以有设置强迫密码的选项(在远离应用列表的选项屏幕下面)。用户可以有像N_max一样多的强迫密码。为了输入新的强迫密码，用户手工输入它(然后可能被要求对此确认)。也可以有删除所有强迫密码的选项。这会允许如果用户忘记某些强迫密码时开始更新。

用户可能想要不止一个强迫密码的一个原因是尽力防止内行的攻击者询问普通密码和强迫密码而不是仅仅询问普通密码。如果仅仅有一个强迫密码，则攻击者有50％的可能性猜对哪个是普通密码。由于对一个用户拥有强迫密码的数量没有理论上的限制，攻击者不知道要问多少个。如果攻击者询问普通密码和强迫密码，用户可以有两个强迫密码，可以把这两个密码给攻击者，从而不暴露真正的密码。

在一些实施中允许以一个强迫密码开始可能是最好的。N个强迫密码帮助阻止内行的攻击者，但是可能出现安全存储多个密码的问题。

另一种定义强迫密码的方式是仅仅接受普通密码与一些其它字符串的组合。例如，如果普通密码是“mike”，则强迫密码可以是“mike”后面跟有一些数字。这样“mike1”、“mike2”、“mike32”、“mike47854”等等将都被接受为强迫密码。这些附加的数字(但是不局限于数字，仅仅用于说明)可以只做后缀、或前缀、或两者。

作为另一个变形，强迫密码可以设置的与一些字符串相等，然后设备将接受该字符串或该字符串的变形作为强迫密码。这样，如果强迫密码是“neil”，则该设备接受“neil”、“neil1”、“neil123”等作为强迫密码。

普通密码的置换也可以用作强迫密码。一些例子是：

a.改变前n个字符和/或最后n个字符的次序(如果改变前两个字符与最后两个字符的次序，则password＝＞apsswodr)。应该留神像“hhelpp”一样的密码。

b.把密码向后打字(这样，help＝＞pleh)。这里，必须留神回文。

c.把字符轮转几次(这样，如果轮转两次，则password＝＞rdpasswo)，这里，必须留神所有相同的数字值的密码)。

d.其它类型的置换也可以是可接受的。

那些已经考虑的仅仅是例子。但重要的，强迫密码恰恰像设备密码一样“强壮”。否则攻击者能够正好猜对强迫密码并访问该设备。强迫通知可能已经发送，但是攻击者将仍然访问该设备上的信息。

一旦设置了强迫密码，就可以使用该密码。如果有人输入强迫密码中的一个而进入锁定的屏幕，然后该设备将默默地发送电子邮件到指定的电子邮件帐户，向监控那个帐户的任何人告警该设备处于强迫的境地。将要发送的这个电子邮件将不出现在消息列表中(否则攻击者可能知道该设备处于强迫模式)。

该电子邮件会包含关于该设备的身份识别信息：PIN、业主信息-如果存在、当前时间(本地时间或转换为GMT)、和任何其它需要的信息。电子邮件格式可以是在设备上硬编码的或者由IT Policy设置。电子邮件要发送到的邮件地址也可以由IT Policy指定。

只要把强迫密码输入密码输入屏幕，就会发送这个电子邮件。同样，在设备处于强迫模式之后第一次输入普通密码时也将发送通知电子邮件(以指示强迫模式结束)。

虽然结合当前认为最实用且优选的实施例来描述本发明，但要理解的是本发明不局限于这些公开的实施例，而相反是旨在覆盖包含在附带的权利要求范围之内的所有改变、更改和等同配置。