安全对等消息传递邀请架构

摘要

安全对等消息传递邀请架构。提供了一种用于在无线系统中的多个移动装置(10)之间提供即时对等消息传递的系统和方法。公开了一种邀请架构，其使得可以交换个人识别号码(PIN)而不必要求用户直接访问或提供他的或她的PIN。消息传递应用(160)在通过现有通信应用(162)将其关联PIN提供给位于另一移动装置(10)上的消息传递应用(160)之前对该PIN进行加密。该邀请架构自动管理该加密过程、任何必要密钥交换、对邀请和接受消息的编辑以及对PIN的解密和存储。

说明书

技术领域

本发明总体上涉及安全消息传递邀请架构(secure messaginginvitation architecture)，其用于移动装置，如蜂窝电话、灵巧电话、个人数据助理(PDA)、寻呼机、手持计算机、具备电话功能的膝上型计算机以及其他移动电子装置，更具体来说，本发明涉及一种用于移动装置的对等即时消息传递解决方案。

背景技术

即时消息传递(IM)是这样一种业务，即，其在另一人(如朋友或同事)在线时通知用户并允许他们相互实时地发送消息，而没有电子邮件解决方案中所固有的存储-转发延迟。通过即时消息传递，每个用户都创建一个他或她希望联络的其他用户的列表(通常被称为“伙伴列表”)。即时消息传递服务器跟踪保持其多个用户中的每一个的在线状态(通常称为现状信息)，当用户的伙伴列表中的某个人在线时，该业务通知该用户并使得可以与另一用户进行即时联系。

IM解决方案倍加迅速，并且不仅可以应用于陆线环境，而且可以应用于移动装置(如蜂窝电话、灵巧电话、个人数据助理(PDA)、寻呼机、具备电话功能的膝上型计算机以及其他移动电子装置)所使用的无线环境。无线环境为IM解决方案提供了强大的潜能，这取决于用户随身携带他们的移动装置的时间。可运行IM解决方案的可用移动装置数量非常巨大。

公知的是，在现有技术中，将IM客户端的移植到移动装置，以获得对众多可用IM业务中的一个IM业务的访问。这些业务包括AOL的即时信使(AIM)、ICQ、Yahoo！以及微软的MSN信使产品。这些产品具有由各IM服务器支撑的数千万用户，而且这些社团有时相互连接，从而产生了更大的社团。然而，陆线和台式IM解决方案缺乏经常处于移动状态的用户所希望和需要的，即，只有在他们可以与他们的移动装置在一起时的良好IM功能。此外，移动装置的小屏面和存储器往往使在试图使用IM过程中的人们得到失望的体验。这些人被迫接受现有IM解决方案的差性能和体验，因为他们想要或需要联系到操作传统台式IM解决方案的陆线用户并且没有其他可选途径。因此需要一种为无线移动电子装置设计的更好且更完善的消息传递解决方案(与IM相似，其使得能够进行即时消息传递)，其可以利用移动装置的“始终在线”特性的优点。

现有IM应用的另一问题是缺乏安全性。通过现有IM应用，很容易共享用户的身份，这意味着用户身份可能在未经允许的情况下被广泛地散布因而用户可能接收到来自未知或不希望的源的消息。这导致垃圾消息、兜售信息(spam)、病毒的滋生，以及其他安全性问题。而且难以核实或认证启始消息传递的邀请源，这可能导致冒名顶替和相关安全性问题。

另一通用无线消息传递标准是北美、尤其是欧洲、中国以及印度广泛使用的短信业务(SMS)。该业务也存在很多缺陷。首先，必须通过每个SMS用户的MS-ISDN或电话号码对他们执行寻址。该电话号码极容易散布，因此不可能核实发送方的真实性。其次，不存在隐身(impliedpresence)或任何实际传送信息，因此信息交换存在与其相关联的许多风险。而且SMS没有永久持续的对话概念，实际上没有SMS装置可以保持有关与另一方进行的SMS对话的长期状态信息。

发明内容

本申请描述了一种用于在移动装置之间提供即时对等消息传递的系统和方法。该系统和方法通过保持系统中的每个移动装置用户的基本地址标识的秘密性，提供了增强的安全性。公开了一种邀请架构，其使得可以交换个人识别号码(PIN)而不必要求用户直接访问或提供他的或她的PIN。消息传递应用在通过现有通信应用将其关联PIN提供给位于另一移动装置上的消息传递应用之前对该PIN进行加密。该邀请架构自动管理该加密过程、任何必要密钥交换、对邀请和接受消息的编辑以及对PIN的解密和存储。

在一个方面中，本申请提供了一种在第一移动装置与第二移动装置之间安全地交换个人识别号码的方法。在包括无线网络和耦合到该无线网络的择路服务器的系统中使用这些移动装置。每个移动装置都具有一个或更多个通信应用并且每个移动装置还具有消息传递应用。第一移动装置具有第一个人识别号码，第二移动装置具有第二个人识别号码。该方法包括以下步骤：对第一个人识别号码进行加密；通过所述通信应用中的一个从第一移动装置向第二移动装置发送加密第一个人识别号码；以及对该加密第一个人识别号码进行解密并把该第一个人识别号码存储在第二移动装置上的存储器中。该方法还包括以下步骤：对第二个人识别号码进行加密；通过所述通信应用中的一个从第二移动装置向第一移动装置发送加密第二个人识别号码；以及对该加密第二个人识别号码进行解密并把该第二个人识别号码存储在第一移动装置上的存储器中。在进行了这种PIN交换之后，通过消息传递应用在第一移动装置与第二移动装置之间交换对等消息。每个对等消息都含有一个个人识别号码，并且所述择路服务器根据这些个人识别号码对各对等消息进行择路。

在另一方面中，本申请提供了一种对等消息传递系统。该系统包括多个移动装置、无线网络以及耦合到该无线网络的择路服务器。每个移动装置都具有一个或更多个通信应用，并且每个移动装置都包括用于存储第一个人识别号码的存储器。每个移动装置还包括消息传递应用，其中，该消息传递应用包括加密组件、解密组件、联系人管理组件以及消息传递组件。加密组件用于对第一个人识别号码进行加密，并用于通过所述通信应用中的一个把经加密的第一个人识别号码嵌入到向另一移动装置发送的讯息中。解密组件用于通过所述通信应用中的一个从该另一移动装置接收到来的讯息并用于对加密的第二个人识别号码进行提取和解密，其中，该到来的讯息包括加密的第二个人识别号码。联系人管理组件用于通过所述通信应用中的一个对与另一移动装置的邀请和接受的交换进行自动管理。消息传递组件用于发送和接收对等消息，由此对等消息各包括一个人识别号码，并且其中择路服务器根据个人识别号码对这些对等消息进行择路。

在又一方面中，本申请提供了一种用于在无线网络上与其他移动装置进行对等消息传递的移动装置。该无线网络包括择路服务器。该移动装置包括：通信子系统，用于与该无线网络进行无线通信；存储器，用于存储第一个人识别号码；以及连接到该存储器和通信子系统的处理器，用于控制该通信子系统的操作。该移动装置还包括：通信应用，用于编辑讯息并将其发送给其他移动装置；和消息传递应用。该消息传递应用包括加密组件、解密组件、联系人管理组件以及消息传递组件。加密组件用于对第一个人识别号码进行加密，并用于通过所述通信应用中的一个把经加密的第一个人识别号码嵌入到向另一移动装置发送的讯息中。解密组件用于通过所述通信应用中的一个从该另一移动装置接收到来的讯息并用于对加密的第二个人识别号码进行提取和解密，其中，该到来的讯息包括加密的第二个人识别号码。联系人管理组件用于通过所述通信应用中的一个对与另一移动装置的邀请交换和接受进行自动管理。消息传递组件用于发送和接收对等消息，由此对等消息各包括一个人识别号码，并且其中择路服务器根据个人识别号码对这些对等消息进行择路。

根据以下详细说明和示出了一个或更多个实施例的附图，本领域的技术人员将清楚本申请的其他方面和特征。

附图说明

下面参照附图仅通过示例对多个实施例进行描述，附图中：

图1是提供移动装置间的即时对等消息传递的系统的框图；

图2是移动装置显示器的一部分的图，其示出了作为对等消息传递应用的一部分的示例性联系人数据库屏面；

图3是移动装置显示器的一部分的图，其示出了构成对等消息传递应用的一部分的示例性状态屏面；

图4示出了用于通知用户接收消息传递邀请的图形用户界面的示例

实施例；

图5按框图形式示出了设计成提供对等消息传递的移动装置；以及

图6按流程图形式示出了一种用于在移动消息传递系统中安全地交换个人识别号码的方法。

在所有图中，使用相似的标号标示相似的要素和特征。

具体实施方式

现在参照附图，图1是使得能够进行即时对等消息传递的系统5的框图。系统5包括多个移动站10，如图1所示的移动装置10A和10B，其可以是任何类型的无线移动电子通信装置，例如蜂窝电话、灵巧电话、个人数据助理(PDA)、寻呼机、手持计算机、具备电话功能的膝上型计算机。已知的是，每个移动装置10都可以配备各种应用，这些应用包括但是不限于使得能够与其他移动装置10进行通信的一种或更多种现有应用，如无线电话应用、电子邮件应用、短信业务(SMS)应用、多媒体消息传递业务(MMS)应用、增强型消息业务(EMS)应用以及其他具备因特网功能的消息传递应用(这里把其中每一种应用都称为“现有通信应用”)。此外，每个移动装置10都配备有用于实现这里所描述的对等消息传递解决方案的应用(这里称为“消息传递应用”)。这里所使用的术语“应用”应当单独或组合地包括一个或更多个程序、例程、子例程、函数调用或其他类型的软件或固件等。系统5还包括无线网络15，无线网络15可以是任何无线通信网络或互连网络的组合，其包括但是不限于Mobiltex^TM、DataTAC^TM、AMPS、TDMA、CDMA、GSM/GPRS、PCS、EDGE、UMTS或CDPD。已知的是，无线网络15包括多个基站，这些基站执行射频(RF)协议以支持与移动装置10A和10B进行数据和话音交换。择路服务器20耦合到无线网络15。择路服务器20可以是能够对数据分组进行择路的任何类型的择路设备，其包括但不限于TCP/IP路由器(如美国加利福尼亚州圣何塞市的Cisco Systems，Inc.销售的TCP/IP路由器)或网络地址转换服务器(NAT)。

系统5的每个移动装置10都被指配并存储有唯一的个人识别号码(PIN)。在制造移动装置10时或者通过其用户身份识别模块(SIM)可以指配用于各移动装置10的PIN并将其存储在其中。将每个PIN映射到无线网络15上的对应移动装置10的网络地址，该网络地址使得可以将数据择路到移动装置10。择路服务器20包括一个或更多个用于根据该映射对由移动装置10发送的消息进行择路的路由表。在一个示例性实施例中，该PIN实际上可以是网络地址本身，在另一示例性实施例中，该PIN可以是移动装置10的电话号码或移动装置10的唯一ID(如移动用户ISDN(MSISDN))，而网络地址可以是IP地址等。应当明白，这里使用的术语“个人识别号码”或“PIN”不应仅限于数字标识符，而应当被广泛地理解，并可以包括可用于使得能够进行对等消息传递的字母标识符、二进制标识符或其他标识符。

为了便于对两个移动装置10之间的对等消息传递会话的建立和维护进行描述，参照图1所示的移动装置10A和10B。然而，应当理解，相同的描述适用于任何两个移动装置10之间的对等消息传递会话。当移动装置10A的用户想要与另一移动装置10(如移动装置10B)建立对等消息传递会话时，移动装置10A使用移动装置10A和移动装置10B所共有的一个或更多个现有通信应用创建一邀请并将其发送给移动装置10B。优选地，使用在移动装置10A的显示器上为用户显示的合适的菜单和/或对话框，通过对等消息传递应用帮助并实现对该邀请的创建和发送。例如，在一个实施例中，用户通过选择与消息传递应用相关联的对话框或菜单中的邀请选项来启始邀请。可以提示用户提供用于通过现有通信应用对邀请进行择路的地址信息。例如，用户可以提供与移动装置10B相关联的邮件地址。然后，消息传递应用使得创建一电子邮件并通过电子邮件应用将其发送给移动装置10B。

每种情况下的邀请都由适合于特定现有通信应用的消息(如电子邮件、SMS、EMS或MMS消息或无线电话呼叫)组成，其包括某种形式的请求，该请求涉及移动装置10B的用户是否想要接受该邀请并通过移动装置10B和将该消息标识为邀请的指示符来建立与移动装置10A的对等消息传递会话，以进行对等消息传递。该指示符可以包括使得移动装置10B上的消息传递应用能够把消息识别为邀请的附件、嵌入文本或其他数据元素。将该消息传递应用设计成监视“收件箱”或注意接收与一个或更多个现有通信有关的消息。具体来说，该消息传递应用对到来消息进行监视以确定这些消息是否含有表示该消息是对等消息传递邀请的指示符。

当接收到这种邀请时，移动装置10B上的消息传递应用调用接受过程或例程。具体来说，该消息传递应用通知移动装置10B的用户已接收到邀请并征求来自用户的针对是否应当接受邀请的输入。该通知可以包括对移动装置10A的用户进行标识的信息，如可从该邀请获得的邮件地址或其他这种信息。在一个实施例中，可以按对话框、菜单、弹出窗口或其他图形用户界面(GUI)的形式通过消息传递应用把该通知呈现给移动装置10B的用户。在一个实施例中，通知窗口或界面可以包括可选按钮或其他图形输入特征，以允许移动装置10B的用户指示是否接受邀请。

如果移动装置10B的用户例如通过选择GUI上的“接受”按钮指示他或她接受该邀请因而希望建立对等消息传递会话，那么移动装置10B上的消息传递应用通过合适的现有通信应用使接受通信被发送给始发移动装置10A。例如，在一个实施例中，消息传递应用使得创建一接受电子邮件并通过电子邮件应用发送它。将移动装置10A上的消息传递应用设计成识别对接受消息(如接受电子邮件)的接收。

移动装置10A和10B除了使用现有通信应用交换邀请和接受以外，或者与此相结合地，还交换PIN。在一个实施例中，与接受消息一起发送移动装置10B的PIN。在一个实施例中，可以要么与邀请消息一起要么在接收接受消息之后与随后的确认消息一起发送移动装置10A的PIN。

根据本申请，尽管需要在移动装置之间交换PIN，但是保持了PIN的保密性和机密性。如果通过在不安全信道上发送用户PIN而使得另一用户普遍地可以获得该用户PIN，那么该另一用户很容易与大范围的用户一起共享该PIN或者对于未授权接受方来说很容易截获消息并获得该PIN。大部分现有通信应用(如电子邮件)都使用不安全的信道。结果，移动装置可能接收到来自获得了该移动装置的PIN的不希望的源的消息。因此，在本申请所公开的多个实施例中按加密形式交换PIN。

可以将加密PIN直接嵌入通过现有通信应用发送的消息内或者可以将其附加到消息中。例如，通过电子邮件应用，可以将加密PIN附加为二进制文件。应当理解，附加有二进制文件的电子邮件可能在经过防火墙和垃圾邮件过滤器时会碰到问题。因此，在另一实施例中，将加密PIN直接嵌入电子邮件主体内。在该实施例中，电子邮件的阅读者所看到的加密PIN是不可理解的文本符号序列，但是将消息传递应用设计成对加密PIN进行提取和解密。以下给出了涉及加密PIN的交换和相关密钥管理以及密钥交换操作的其他细节。

如将会理解的，一旦完成了上述步骤，移动装置10A将具有移动装置10B的PIN，并且移动装置10B将具有移动装置10A的PIN。现在，如果移动装置10A或10B希望向另一方发送对等消息，那么它使用对等消息传递应用准备对等消息，该对等消息除待发送消息信息外，优选地在消息头中还包括接受方移动装置10(根据情况可以是10A或10B)的PIN。然后通过无线网络15由移动装置10向择路服务器20发送该对等消息。择路服务器20从该对等消息获得所述PIN并使用它以通过存储于其中的择路表确定接受方移动装置10(根据情况可以是10A或10B)的网络地址，并使用确定的网络地址通过无线网络15将消息发送给接受方移动装置10(根据情况可以是10A或10B)。一旦接收到，就可以把该对等消息(具体来说，包含在其中的消息信息)显示给接受方移动装置10(根据情况可以是10A或10B)的用户。

下面参照图5，其示出了移动装置10的示例实施例的框图。在该示例实施例中，移动装置10是具有数据并且可能还有话音通信能力的双向移动通信装置10。在一示例实施例中，装置10具有与因特网上的其他计算机系统进行通信的能力。根据装置10提供的功能，在各种实施例中，该装置可以是数据通信装置、针对数据和话音通信设计的多模通信装置、移动电话、具备无线通信能力的PDA、或带有无线调制解调器的计算机系统以及其他装置。

装置10包括通信子系统111，通信子系统111包括接收机112、发送机114及关联组件，如一个或更多个(优选地，内嵌或内部的)天线单元116和118，以及处理模块(如数字信号处理器(DSP)120)。在某些实施例中，通信子系统包括本机振荡器(LO)113，在某些实施例中，通信子系统111和微处理器138共用一振荡器。通信领域的技术人员应当理解，通信子系统111的具体设计将取决于装置10将运行于其中的通信网络。

把由天线116通过无线网络15接收的信号输入给接收机112，该接收机112可以执行诸如信号放大、下变频、滤波、信道选择等的通用接收机功能，在某些实施例中，可以执行模数转换。按类似方式，通过DSP120对待发送信号进行例如包括调制和编码的处理，并将其输入给发送机114以进行数模转换、上变频、滤波、放大，并通过天线118在无线网络15上进行发送。

装置10包括用于控制该装置的整体操作的微处理器138。微处理器138与通信子系统111相交互，还与其他装置子系统相交互，这些装置子系统例如有图形子系统144、闪存124、随机存取存储器(RAM)126、用户身份识别模块(SIM)156、辅助输入/输出(I/O)子系统128、串行端口130、键盘或小键盘132、扬声器134、麦克风136、短程通信子系统140以及通常被设计的任何其他子系统成142。图形子系统144与显示器122相交互并将图形或文本呈现在显示器122上。

在一个示例实施例中，在诸如闪存124或类似存储单元的持久性存储器中存储有微处理器138所使用的操作系统软件154和各种软件应用158。本领域的技术人员应当理解，可以将操作系统154、软件应用158以及它们的多个部分临时加载到易失性存储器如RAM 126中。可以设想，也可以将接收的通信信号存储到RAM 126。

微处理器138除了具有其操作系统功能以外，优选地，还使得能够在该装置上执行软件应用158。在制造过程中，可以在装置10上安装预定的一组通信应用162。该通信应用162可以包括数据通信应用和/或话音通信应用。典型的数据通信应用可以包括用于允许用户接收、阅读、编辑以及发送文本型消息的电子消息传递模块。例如，该电子消息传递模块可以包括电子邮件应用、SMS应用、MMS应用和/或EMS应用。还可以通过网络15、辅助I/O子系统128、串行端口130、短程通信子系统140或任何其他合适的子系统142把其他软件应用158和/或通信应用162加载到装置10上，并由用户将其安装在RAM 126或非易失性存储器中以由微处理器138来执行。应用安装的这种灵活性增加了装置10的功能性，并且可以提供增强的装置上功能、通信相关功能或这两者。

在数据通信模式中，将由通信子系统111来处理诸如文本消息或网页下载的接收信号并将其输入给微处理器138，优选地，微处理器138进一步处理接收信号以通过图形子系统144将其输出给显示器122，或者另选地输出给辅助I/O装置128。装置10的用户还可以使用键盘132结合显示器122(可能还有辅助I/O装置128)在软件应用158或通信应用162内编辑数据项(例如，电子邮件消息)。然后可以通过通信子系统111在通信网络上发送这种编辑项。

通常在希望其可以与用户的台式计算机(未示出)同步的个人数据助理(PDA)型通信装置中实现图5所示的串行端口130，但是这是个可选装置组件。这种端口130使得用户可以通过外部装置或软件应用设置个人偏好(preference)，并且其通过提供经由无线通信网络以外的到装置10的信息或软件下载，将扩展该装置的能力。

短程通信子系统140是可以提供装置10与不同系统或装置(其不必是类似的装置)之间的通信的其他组件。例如，子系统140可以包括红外装置和相关电路和组件或Bluetooth^TM通信模块，以提供与具备类似功能的系统和装置之间的通信。装置10可以是手持装置。

装置10还包括消息传递应用160。消息传递应用160包括监视组件、邀请组件以及接受组件，可以把它们一起称为联系人管理组件。该联系人管理组件的作用是建立联系人或“伙伴”关系，即，根据对新联系人的邀请和接受的发送或接收更新和维护联系人信息。消息传递应用160还包括用于使用该联系人信息执行对等消息传递的消息传递组件。

把与移动装置10相关联的PIN存储在存储器中。例如，可以将其存储在SIM 156、RAM 126、固件或其他装置中。存储在装置10上的存储器中的还有与消息传递应用160相关联地使用的联系人信息。该联系人信息含有联系人名称和相关PIN。

消息传递应用160的邀请组件编辑邀请并将其发送给预期的联系人。装置10的用户指示消息传递应用160向另一装置发送邀请。该用户可以提供用于到达其他装置的地址，如电子邮件地址。邀请组件通过所述多个通信应用162中的一个生成并发送邀请消息，如电子邮件申请。

消息传递应用160的监视组件监视对来自另一移动装置10的邀请消息的接收。例如，监视组件可以监视电子邮件应用的收件箱以评估任何接收消息是否是消息传递邀请。消息传递邀请可以包括用于表示其为消息传递邀请的预定义文本、代码或某些其他数据要素。如果监视组件识别出邀请，那么它可以通知用户并提示用户接受或拒绝该邀请。例如，监视组件可以显示对话框或弹出窗口，其示出了与邀请发送方有关的信息并为用户提供了选项，如“接受”和“拒绝”按钮。如果用户表示接受该邀请，那么触发接受组件。

接受组件通过所述多个通信应用162中的一个(如电子邮件应用)自动生成并发送接受消息。

消息传递应用160包括用于执行加密、解密以及相关密钥管理功能以交互PIN的组件。可以将这些组件设置为邀请和接受组件的一部分或设置为与其相交互的独立组件。这些组件对以下功能进行管理：对驻留PIN的加密、对任何所需密钥值或会话密钥的生成或计算、通过所述多个通信应用162中的一个把加密PIN附加或嵌入到发送消息中、以及对通过所述多个通信应用162中的一个从其他移动装置10接收的加密PIN的解密。以下给出了与在邀请架构环境中的加密、解密以及密钥交换有关的其他细节。

再次参照图1。在一个实施例中，使用多个现有通信应用在多重通信路径上发送如上所述的邀请可以增强对等消息传递中的安全性。如将理解的，每个通信路径都将确认邀请发送方的不同地址标识，因此有助于确认邀请的真实性。例如，移动装置10A的用户通过使用电子邮件应用和SMS应用发送如上所述的邀请可以希望与移动装置10B的用户建立对等消息传递会话。在此情况下，当移动装置10B接收到该邀请消息时，移动装置10B的“收件箱”等将显示来自移动装置10A的两条消息，即，电子邮件邀请和SMS邀请。当这些消息到达时，移动装置10B的用户可能正在使用移动装置10B的任何应用(如日历应用、地址簿应用、浏览器应用或电话应用)进行工作，或者当前根本不在使用移动装置10B(尽管它是打开的)。按与移动装置10B接收的任何其他消息相同的方式(例如，通过发出嘟嘟声和/或振动)向用户通知邀请消息的到达。当移动装置10B的用户打开这两条消息中的任何一条时，将调用对等消息传递应用以处理该消息。通过为每条邀请消息配备任何形式的特殊指示符(用于指示这是对等消息传递会话的邀请)并通过对该对等应用进行编程以针对这种指示符监视所有到来消息，可以实现对该对等消息传递应用的自动调用。此外，每个邀请消息在对等消息传递应用中被创建时都包括被发送的邀请消息(在不同路径上)的数量的表示。在使用多个路径的情况下，如在本示例中，对等消息传递应用接着针对其他邀请消息扫描“收件箱”等。例如，如果首先打开电子邮件邀请消息，则对等消息传递应用将针对SMS邀请消息扫描“收件箱”等。如上所述，可以通过设置于其中的特殊指示符识别邀请消息。在发现其他邀请消息之前，本实施例中的对等消息传递应用不会为移动装置10B的用户提供接受邀请的能力。一旦发现其他邀请消息，移动装置10的用户就可以如上所述地接受邀请、拒绝邀请或推迟对接受或拒绝的决定。

下面参照图4，其示出了用于通知用户消息传递邀请接收的图形用户界面200的示例实施例。图形用户界面200包括覆盖或层叠在收件箱显示屏面202的顶部上的弹出对话框204。图4所示的弹出对话框204显示了发送方的名称、时间、日期并确认在发送邀请时使用了多个路径(其提供了关于源的某些真实性)。弹出对话框204还向用户呈现3个可选按钮，它们对应于接受邀请、拒绝邀请以及延迟决定接受还是拒绝邀请的选项。

再次参照图1和5。如上所述，在本申请所述的邀请架构中，使用所述多个现有通信应用中的一个秘密地交换移动装置10的相应PIN。发送移动装置在使用该通信应用发送其PIN之前对它进行加密。在接收移动装置处，对接收加密PIN进行解密。通过合适的密钥管理，把对未加密PIN的访问限制于相应两个移动装置上的消息传递应用。

存在许多可以用于本申请范围内的各种实施例的加密和密钥管理技术。而且，可以结合密钥值一起使用以把PIN转换成加密PIN的具体变换或功能可以包括宽范围的密码变换或功能。本领域的技术人员将理解，宽范围的这种功能是公知的，并且可以针对处理能力和与具体应用或系统相关联的任何时间约束选择这种功能。

在一个实施例中，消息传递应用160使用对称加密。对称加密是这样一种密码技术：其中，在密钥对中，在计算上很容易根据一个密钥确定另一密钥。在大部分对称加密方案中，密钥是相同的。对称加密依赖于密钥的秘密性。因此，通常安全地分发密钥对，并且不在不安全信道上分发。在一个实施例中，移动装置10A的用户使用相对安全的通道(如话音通道)向移动装置10B的用户提供密钥值或种子值，根据该密钥值或种子值可以导出密钥。例如，第一用户可以向第二用户提供第二用户在被提示时输入到移动装置10B中的口令或密码，。可以结合算法使用该口令或密码作为种子值以计算出用于加密或解密通信的密钥。

在另一实施例中，消息传递应用160使用公钥加密术。公钥加密术是这样一种具有加密变换和解密变换的密码技术，其中，根据加密变换在计算上确定解密变换是不可行的。换句话说，该加密功能是提供输出密文的陷阱门(trap-door)单向功能。即使知道该密文和加密密钥，也无法确定解密密钥因而无法获得未加密内容。

公钥加密术通过使每个移动装置10生成公钥-私钥对来起作用。各装置共享其公钥但是保护其私钥的秘密性。其他装置可以使用第一装置的公钥对针对该第一装置的消息进行加密，只有第一装置能够对该消息进行解密，这是因为只有第一装置具有对应的私钥。

在这里所描述的消息传递系统的环境下，消息传递应用160包括用于对密钥对生成和密钥交换进行管理的组件。可以根据随机种子值(例如，时间和日期或其他伪随机种子)生成密钥对。通过所述多个通信应用162中的一个把各移动装置10的公钥传送给其他移动装置10。例如，可以将公钥值嵌入或附加到从一个移动装置10A发送给其他移动装置10B的电子邮件中。在某些实施例中，启始移动装置10A上的消息传递应用160将其公钥K_a嵌入或附加到向接收移动装置10B发送的邀请消息中。接收移动装置10接着将其公钥K_b嵌入或附加到向启始移动装置10A发送的接受消息中。在一个实施例中，由消息传递应用160用以实现邀请和接受过程的通信应用162是电子邮件应用。在这种实施例中，可以将公钥附加到电子邮件作为二进制文件。另选地，可以把它们嵌入电子邮件文本的主体中。本领域的技术人员应当熟悉把公钥数据附加或嵌入到现有通信应用消息中的可能性范围。

下面参照图6，其按流程图形式示出了一种用于在移动消息传递系统中安全地交换PIN的方法300。图6所示的方法300涉及使用公钥加密方案的实施例。

方法300始于步骤302，其中通过第一装置10A(图1)的消息传递应用160(图5)生成第一公钥-私钥对E_A、D_A。可以由装置10A为装置10A所发送的每个邀请生成密钥对，或者可以只生成一次密钥对，或者只周期性地生成密钥对，并且可以将其用于一个以上的邀请消息传递过程。

在步骤310中，第二装置10B生成第二公钥-私钥对E_B、D_B。与步骤302相同，可以针对每个接收邀请重新执行步骤310，或者计算一次(或周期性地计算)，并将其用于一个以上的邀请消息传递过程。应当理解，可以把装置10所生成的公钥-私钥对E、D用于启始装置对邀请的发送过程或用于接收装置对邀请的响应过程。在某些实施例中，离线生成密钥对并在制造或配置时将其存储在装置10中。

装置10A的用户通过向消息传递应用160提供邀请命令触发邀请过程。可以由用户从菜单选择该邀请命令。可以要求用户提供该邀请的期望接收方的地址或其他的联系人信息。邀请命令调用消息传递应用160的邀请组件，该邀请组件在步骤304中编辑邀请消息。通过所述多个通信应用162中的一个，如电子邮件应用，编辑该消息。消息传递应用160确保所编辑的消息包括一指示符，该指示符用于告诉接收移动装置10B上的消息传递应用160该消息是邀请的事实。

在步骤306中，消息传递应用160把第一公钥E_A附加或嵌入到所编辑的邀请消息中。在一个实施例中，该消息是电子邮件消息，并将第一公钥E_A插入该电子邮件消息的文本主体中以使得该消息能够通过防火墙和垃圾邮件过滤器。

在步骤308中，通信应用把邀请消息发送给接收移动装置10B。在接收移动装置10B处，该消息出现在通信应用的“收件箱”中。在接收到该邀请消息时或者一旦用户打开该邀请消息，消息传递应用160的监视组件将其识别为邀请。因此，在步骤312中，触发消息传递应用160。

在步骤314中，消息传递应用160询问用户以确定用户希望接受邀请还是拒绝该邀请。如果用户拒绝该邀请，那么方法300结束。如果用户接受该邀请，那么在步骤316中消息传递应用160从邀请消息提取出第一公钥E_A。在步骤318中，消息传递应用160接着根据预定加密变换或功能使用提取的第一公钥E_A对第二移动装置10B的PIN(即，PIN_B)进行加密。在步骤320中消息传递应用160接着通过所述多个通信应用162中的一个(如电子邮件应用)编辑用于发送的接受消息。该接受消息包括加密PIN_B和第二公钥E_B。可以将加密PIN_B和第二公钥E_B嵌入或附加到接受消息中。然后在步骤322中把该接受消息发送给第一移动装置10A。

第一移动装置10A上的消息传递应用160在接收该接受消息时或在用户打开该接受消息时识别出该消息，并在步骤324中从该接受消息提取出第二公钥E_B。在步骤326中，消息传递应用160根据预定加密变换或功能对启始移动装置10A的PIN(即，PIN_A)进行加密。在步骤328中消息传递应用160接着通过所述多个通信应用162中的一个(如电子邮件应用)编辑用于发送的确认消息。该确认消息包括加密PIN_A，可以将加密PIN_A嵌入或附加到确认消息中。然后在步骤330中把该确认消息发送给第二移动装置10B。

如步骤332和334所示，各移动装置10分别使用其私钥D_A、D_B对其所接收的加密PIN进行解密。然后装置10与其他装置10的用户的联系人信息相关联地存储该解密PIN。因此，其他装置10的用户现在是消息传递应用160所使用的“伙伴列表”或联系人列表的一部分。现在，使用消息传递应用来编辑包括其他用户的PIN(用于进行择路)的消息，可以从一个用户直接向另一用户发送消息。

在又一实施例中，消息传递应用160使用Diffie-Hellman密钥协议建立在两个移动装置10之间共享的秘密密钥。该协议需要两个参数p和g，其中p是质数，g是小于p的数，它们具有这样的性质：对于在1与p-1之间(包括1和p-1)的每个数n，存在g的k次幂使得n＝g^k mod p。在本申请的对等消息传递系统中的消息传递应用160的环境下，第一消息传递应用生成私有值a和公有值g^a mod p，其中a为从1到p-2选择的整数。第二消息传递应用生成其自己的私有值b和公有值g^b mod p，其中b为从1到p-2选择的整数。如上结合图5所述，消息传递应用交换公有值，然后根据关系式k＝g^ba＝(g^a)^b mod p计算出共享会话密钥k。

在又一实施例中，本申请的邀请架构包括口令型认证过程。从第一移动装置向第二移动装置发送的邀请包括一问题。呈现给第二移动装置的用户的GUI对话框包括该问题的显示并为用户提供了选择或提交答案的机会。与从第二装置向第一装置发送的接受消息一起发送该问题。第一装置对包含在接受消息中的答案与存储在第一移动装置处的正确答案进行比较以验证第二移动装置用户的身份。第一移动装置的用户可以通过另选通信应用(如通过话音呼叫)为第二移动装置的用户提供正确答案。口令型认证过程提供了用于确保在正确的多方之间建立消息传递关系的增强的安全性。

再次参照图1。根据本申请的另一方面，各移动装置10的对等消息传递应用包括联系人数据库，该联系人数据库存储另一移动装置10的每个用户的姓名和/或其他识别信息以及对应的PIN，移动装置10的用户通过对等消息传递应用与该另一移动装置10的用户通信或者可能希望进行通信。因此该联系人数据库类似于作为IM应用的一部分的“伙伴列表”。每当用户与另一用户建立对等消息传递会话时，就可以将用户和PIN信息添加并存储到该联系人数据库中。用户也可以从联系人数据库有选择地删除条目。图2是移动装置10的显示器的一部分的图，其示出了作为对等消息传递应用的一部分的示例性联系人数据库屏面25并显示了存储在该联系人数据库中的联系人的列表30。如在图2中看到的，联系人数据库屏面25还提供了列表30所列出的每个联系人的状态信息35，该状态信息35涉及特定联系人参与对等消息传递会话的可能的可联系性，这被称为“隐性可联系性”。以下对该可联系性信息进行更详细的讨论。

根据本申请的再一方面，每个移动装置10(为清楚起见，称为“第一移动装置10”)周期性地(例如每10分钟，以使数据流量最小化)使用在第一移动装置10(为清楚起见，称为“其他移动装置10”)的联系人数据库中列出的多个用户中的每一个的存储PIN通过无线网络15和择路服务器20向这些用户中的每一个的移动装置10发送与其有关的可联系性信息。在一个具体实施例中，如果任何其他移动装置10关机或在覆盖范围之外，则择路服务器20把预留给这种其他移动装置10的多个可联系性信息消息排成队列，并且一旦该其他移动装置10打开或回到覆盖范围内就传送这些可联系性信息消息。根据第一移动装置10的当前操作状态得出该可联系性信息(其随时间变化)。可联系性信息旨在提供对第一移动装置10的用户活动的表示，以为联系人数据库中的其他移动装置10的各个用户提供这样的估计，即，第一移动装置10的用户有多大可能读到并回复发送给第一移动装置10的用户的对等消息。因而，由于系统5中的所有移动装置10(除非如下所述地被禁用了)都把它们的可联系性信息发送给它们的所有联系人，因此应当理解，系统5中的每个移动装置10都具有其联系人数据库中的其他用户中的每一个的可联系性信息。结果，任何移动装置10的用户都可以查询在移动装置10的联系人数据库中列出的任何联系人的可联系性信息，以得到关于特定联系人是否可能接收到对等消息并对其作出反应的意见，该信息可能影响关于到底发送对等消息与否的决定。

可联系性信息可以由通用状态指示符组成，如：“可联系”，例如表示移动装置10开机并在无线网络15的范围内并且不在使用可能阻止对等消息被收到的应用(如正在通过电话应用进行电话呼叫)；或“不可联系”，例如表示移动装置10关机或在无线网络15的范围以外。此外，可联系性信息可以涉及移动装置10的特定状态或正在发生的事件，如由置于移动装置10中的日历应用的条目所指示的不理睬来电呼叫、用户将移动装置10关机、第一移动装置10正在进行当前电话呼叫、第一移动装置10的用户正在开会，或者移动装置10的用户当前正在使用对等消息传递应用。如将理解的，可以将可联系性信息关联到移动装置10的每个动作和/或在移动装置10内可提供的每条信息，并可以从中得到该可联系性信息，并且以上列出的具体示例仅为示例性的而非限制性的。此外，根据与移动装置10的特定状态和/或在其上发生的事件有关的信息，通用状态指示符可以包括可联系性的多个级或程度。在这种情况下，可以按表示各种可联系性级或程度的标度报告可联系性信息，如“可联系-1级”、“可联系-2级”等。此外，如果移动装置10的给定用户不希望如此密切地跟踪他们的可联系性，他们可以选择性地防止他们的移动装置10发送可联系性信息。

图3是移动装置10的显示器的一部分的图，其示出了构成对等消息传递应用的一部分的示例性状态屏面40。状态屏面40是对等消息传递应用的主屏面并为移动装置10的用户提供了与对等消息传递应用有关的整体状态信息。具体来说，状态屏面40提供了有关各种组的信息，这些组包括当前对话组45、阻止通信人组50以及挂起(pending)对话组55。当前对话组45列出并提供了与所有对等消息传递会话(也被称为对话，移动装置10正在参与该对话)有关的信息。当前对话是指：移动装置10已向另一移动装置10发送如上所述的邀请并接着接收到如上所述的接受消息；或者另一移动装置10已向移动装置10发送如上所述的邀请并且移动装置10以如上所述的接受消息作为响应。阻止通信人组50提供了其他移动装置10的这种用户的列表，即，移动装置10的用户不再希望接收到来自这些用户的对等消息，他们的消息将被阻止并且不会显示给用户。优选地，由移动装置10向各阻止通信人发送“不可联系的”可联系性信息。另选地，通过从联系人数据库中删除这样的用户，即，移动装置10的用户不再希望接收到来自其他移动装置10的这些用户的对等消息，可以阻止来自这种其他用户的对等消息并且不把它们显示给用户；在此情况下，可以将对等消息传递应用调节成阻止来自联系人数据库所未列出的任何用户的消息。挂起对话组55提供了与移动装置10的所有当前挂起对话有关的信息。挂起对话是指：移动装置10已向另一移动装置10发送如上所述的邀请并且尚未接收到响应；或者另一移动装置10已向移动装置10发送如上所述的邀请并且移动装置10尚未响应。

可以选择性地扩展当前对话组45、阻止通信人组50以及挂起对话组55，其中显示附加信息，或者缩略附加信息，或者不显示附加信息。图3按扩展形式示出了当前对话组45、阻止通信人组50以及挂起对话组55中的每一个。通过输入装置(如多个键和/或旋转指轮(thumbwheel)，其作为移动装置10的一部分而被包括进来)向移动装置10提供输入，用户可以在扩展和缩略状态之间选择性地切换。在扩展状态下，当前对话组45为每个当前对话列出：(1)与其他移动装置10相关联的用户；(2)与其他移动装置10有关的可联系性信息；以及(3)最近发送或接收的消息的日期和/或时间。由于对等消息传递会话可以在很长时段(例如，数周或数月)内保持打开和活动状态，因此数据项(3)提供了针对哪个对话是最活动和最新的快速参考。在扩展状态下，挂起对话组55为每个挂起对话列出：(1)与其他移动装置10相关联的用户；和(2)与其他移动装置10有关的可联系性信息。如在图3中看到的，优选地，将表示可联系性信息的图标60置于当前对话组45和挂起对话组55中的每个条目的旁边，以便于用户参考。

尽管上述说明提到可以把PIN、密钥或其他数据要素嵌入或附加到由所述多个通信应用中的一个发送的消息中，但是应当理解，这里使用的术语“嵌入”或“附加”旨在被宽泛地解释成包括附加、嵌入或与消息一起传送或发送这种数据要素。