在移动通信设备上实施安全策略的系统.pdf

本发明涉及一种在移动通信设备(115)上实施安全策略的系统，移动通信设备(115)与客户身份模块(120)在操作上相关联地用于移动通信网络(105)中。具有客户机-服务器体系结构的系统包括由移动通信网络运营商(110)操作的服务器(140)，和驻留在移动通信设备上的客户机(135)，其中将在移动通信设备上实施安全策略。服务器适于确定将在移动通信设备上应用的安全策略，并将待应用的安全策略发送到移动通信设备。客户机适于从服务器接收并应用安全策略。服务器包括鉴权将被发送到移动通信设备的安全策略的服务器鉴权功能(327)；客户机还通过使用驻留在客户身份模块上的客户机鉴权功能(435)，评定从服务器接收的安全策略的真实性。

1.  一种在移动通信设备(115)上实施安全策略的系统，所述移动通信设备(115)与客户身份模块(120)在操作上相关联地用于移动通信网络(105)中，所述系统具有客户机-服务器体系结构，并且包括：
由移动通信网络运营商(110)操作的服务器(140)；
驻留在移动通信设备上的客户机(135)，其中将在所述移动通信设备上实施安全策略；
其中所述服务器确定将在所述移动通信设备上应用的安全策略，并将待应用的安全策略发送到所述移动通信设备，其中所述服务器包括用于鉴权将被发送到所述移动通信设备的安全策略的服务器鉴权功能(327)；并且其中所述客户机从所述服务器接收待应用的安全策略，并应用所述接收的安全策略，所述客户机还通过使用驻留在所述客户身份模块上的客户机鉴权功能(435)，评定从所述服务器接收的安全策略的真实性，
其特征在于，
所述服务器鉴权功能用于：
-计算用于允许评定将被发送到所述移动通信设备的安全策略的真实性的鉴权信息，并将所述鉴权信息添加到所述安全策略中；以及
-通过计算用于允许评定将被发送到所述移动通信设备的传输经鉴权的安全策略的消息的真实性的消息鉴权信息并将所述消息鉴权信息添加到所发送的消息中来鉴权所述消息；并且
所述客户机鉴权功能用于：
-通过对于从所述服务器接收的消息计算消息鉴权信息，来评定从服务器接收的消息的真实性；
-比较所计算的消息鉴权信息和包含在所接收的消息中的消息鉴权信息；
-对于从所述服务器接收的安全策略计算鉴权信息；和
-比较所计算的鉴权信息和包含在所接收的安全策略中的鉴权信息。

2.  按照权利要求1所述的系统，其中所述鉴权信息还用于允许评定将被发送到所述移动通信设备的安全策略的完整性。

3.  按照权利要求1所述的系统，其中所述消息鉴权信息还用于允许评定将被发送到所述移动通信设备的消息的完整性。

4.  按照权利要求1或2所述的系统，其中所述鉴权信息包含关于与将被发送到所述移动通信设备的安全策略对应的数据块计算的消息鉴权码。

5.  按照权利要求1或2所述的系统，其中所述消息鉴权信息包含在整个消息上计算的消息鉴权码。

6.  按照权利要求4或5所述的系统，其中所述服务器鉴权功能用于利用与客户身份模块共享的秘密加密密钥，计算所述消息鉴权码，并且所述客户机鉴权功能用于利用相同的秘密加密密钥，重新计算所述消息鉴权码。

7.  按照权利要求6所述的系统，其中所述客户机包括：
-用于管理从所述服务器接收的消息的管理器模块(405)；
-将由所述移动通信设备应用的安全策略的本地数据库(420)；和
-用于在所述移动通信设备上实施选择的安全策略的实施器模块(425)。

8.  按照权利要求7所述的系统，其中所述管理器模块用于在从所述服务器接收到包含待应用的安全策略的消息时，调用所述客户机鉴权功能，并在所述消息和所述安全策略被评定为真实的情况下，将所接收的安全策略保存在所述本地数据库中。

9.  按照权利要求8所述的系统，其中所述消息是指令述客户机应用已经存储在所述本地数据库中的指定安全策略的策略应用消息。

10.  按照权利要求9所述的系统，其中当从所述服务器接收到所述策略应用消息时，所述管理器模块用于在所述本地数据库中识别所述指定安全策略，调用所述客户机鉴权功能，以便使用鉴权信息来评定所识别的安全策略的完整性，并在完整性被评定的情况下，将所识别的安全策略传递给所述实施器模块，以应用所述安全策略。

11.  按照权利要求7-10中的任何一个所述的系统，其中所述消息是指令所述向客户机更新已存储在所述本地数据库中的指定安全策略的更新消息，所述更新消息包括用于更新指定策略的更新信息，以及由所述服务器鉴权功能对于更新的安全策略所计算的鉴权信息。

12.  按照权利要求9所述的系统，其中当从所述服务器接收到所述更新消息时，所述管理器模块用于在所述本地数据库中识别所述指定安全策略，根据所述更新信息更新所述安全策略，并调用客户机鉴权功能，根据包含在更新消息中的鉴权信息，评定更新的安全策略的真实性。

13.  按照任何一个前述权利要求所述的系统，其中所述服务器包括事件收集和管理功能(315，325)，所述事件收集和管理功能(315，325)用于从在所述移动通信设备外的系统和在所述移动通信设备内的系统中的一个或两者收集和管理事件，并响应于所收集的事件，确 定将在所述移动通信设备上应用的安全策略。

14.  按照权利要求13所述的系统，其中所述事件收集和管理功能用于与选自包括下述的组中的一个或多个平台交互作用：
-用于根据异常检测，早期检测恶意软件攻击的早期检测平台(150)；
-用于确定所述移动通信设备的地理定位的一个或多个地理定位平台(320)；
-防欺诈系统；
-入侵检测系统；
-用于检测移动通信设备的用户在规定区域内的存在的存在检测系统；和
-环境感知平台。

15.  一种在移动通信设备(115)上实施安全策略的方法，其中所述移动通信设备(115)与客户身份模块(120)在操作上相关联地用于所述移动通信网络(105)中，所述方法包含：
-使所述移动通信网络确定将在移动通信设备上应用的安全策略，并将所述安全策略发送到所述移动通信设备，所述发送安全策略包括：鉴权将被发送到所述移动通信设备的安全策略；和
-使所述移动通信设备接收并实施所述安全策略，所述使所述移动通信设备接收和实施安全策略包括：使所述移动通信设备使用驻留在所述客户身份模块上的鉴权功能，评定所接收的安全策略的真实性，
其特征在于，
所述鉴权安全策略包括：
-计算用于允许评定所述安全策略的真实性的鉴权信息，并将所述鉴权信息添加到所述安全策略中，并且
所述将所述安全策略发送到所述移动通信设备包括：
-通过计算用于允许评定将被发送到所述移动通信设备并传输经鉴权的安全策略的消息的真实性的消息鉴权信息并将所述消息鉴权信息添加到所发送的消息中来鉴权所述消息；并且
所述使所述移动通信设备评定所接收的安全策略的真实性包括：
-通过对于接收的消息计算消息鉴权信息，来评定接收的消息的真实性；
-比较所计算的消息鉴权信息和包含在所接收的消息中的消息鉴权信息；
-对于接收的安全策略计算鉴权信息；和
-比较所计算的鉴权信息和包含在所接收的安全策略中的鉴权信息。

16.  一种用于与客户身份模块(120)在操作上相关联地用于移动通信网络(105)中的移动通信设备(115)，其中所述移动通信设备用于从所述移动通信网络接收将被实施的安全策略，并应用所述接收的安全策略，所述移动通信设备还通过使用驻留在操作上与其相关联的所述客户身份模块上的鉴权功能(435)，评定从所述移动通信网络接收的安全策略的真实性，
其特征在于，
所述鉴权功能用于：
-通过对于从所述移动通信网络接收并传输将被实施的安全策略的消息计算消息鉴权信息，来评定接收的消息的真实性；
-比较所计算的消息鉴权信息和包含在所接收的消息中的消息鉴权信息；
-对于从所述移动通信网络接收的安全策略计算鉴权信息；和
-比较所计算的鉴权信息和包含在所接收的安全策略中的鉴权信息。

17.  一种客户身份模块(120)，所述客户身份模块在操作上与 移动通信设备(115)相关联，从而在所述移动通信网络(105)中实现移动通信设备的使用，所述客户身份模块实现用于评定所述移动通信设备接收的安全策略的真实性的鉴权功能，
其中所述鉴权功能用于：
-通过对于从所述移动通信网络接收并传输安全策略的消息计算消息鉴权信息，来评定接收的消息的真实性；
-比较所计算的消息鉴权信息和包含在所接收的消息中的消息鉴权信息；
-对于从所述移动通信网络接收的安全策略计算鉴权信息；和
-比较所计算的鉴权信息和包含在所接收的安全策略中的鉴权信息。

在移动通信设备上实施安全策略的系统
本申请是申请日为2006年3月27日、申请号为200680054653.1、发明名称为“在移动通信设备上实施安全策略的系统”的发明专利申请的分案申请。
技术领域
本发明一般涉及无线通信领域。更具体地说，本发明一般涉及在适合于在移动通信网络中使用的移动通信设备上实施安全策略的系统和方法。
背景技术
近年来，移动通信终端已提高其数据处理能力，以便除了能够实现普通的个人间通信之外，还能够支持更多，更丰富的服务；另一方面，已用无线通信能力增强以前的诸如个人数字助理(PDA)之类的便携式数据处理设备。从而，许多移动通信终端目前可以被看作实际的数据处理系统，比如个人计算机(PC)，趋势是朝着进一步增大处理能力的方向发展。
作为不受欢迎的副作用，类似于任何其它数据处理设备，无线通信设备已成为计算机病毒、特洛伊木马、蠕虫和恶意软件的攻击目标。
恶意软件会导致欺诈、数据的破坏或丢失、未经授权的访问、服务的不可用性、隐私的侵犯，对于移动终端的用户和移动通信网络运营商来说，这都会转化成重大的经济损失。
为了降低移动通信设备受到攻击的风险，提出了实施特定安全策略的方法和系统。
安全策略实施系统负责在移动通信设备上实现和保证所需安全策略的执行。安全策略通常由安全管理员创建，包括定义有益于使对 普通移动设备和保存于其中的数据的安全性，以及移动网络运营商的安全性，和/或雇用移动设备的用户或被移动设备的用户访问的公司企业的安全性的威胁可能性降至最小的容许行为的规则。
安全策略可按照考虑的具体情况由不同的行动者定义。例如，在消费者情况下，安全策略可由移动通信设备的最终用户定义，在企业/公司情况下，可由关于雇员的移动通信设备的安全管理员定义，可由移动通信网络运营商定义，或者由移动通信设备的制造商定义，等等。
通常，在企业/公司情况下，按照集中的方式实现和管理安全策略，以便建立均匀统一的安全域。US2005/0055578公开一种管理和实施安全策略，并监视移动设备的状态的客户机/服务器体系结构。在该文献中，描述了通过服务器计算机系统，比如企业网络内的服务器计算机系统对于客户机移动计算设备上的数据，或者单独的移动计算设备上的数据的保护。描述了提供根据与移动设备所工作的网络环境相关的位置而实施的不同安全策略的安全工具。描述了检测移动设备的位置的方法。该安全工具还提供根据安全特征实施不同的策略。安全特征的示例包括通过其传送数据的连接的类型(有线连接或无线连接)，防病毒软件的操作，或者网络适配器卡的类型。不同的安全策略提供可根据与移动设备相关的检测位置和/或有效安全特征而调整的实施机制。所提供的实施机制的示例是自适应端口阻塞，文件隐藏和文件加密。
WO2005/064498公开一种利用动态生成的安全简表，在移动设备上实施安全策略的系统和方法。用于实施安全参数的系统和方法从与移动设备相关的来源收集信息。根据收集的信息，确定移动设备的身份状态，所述身份状态唯一地识别移动设备，将其与其它移动设备区分开。当移动设备与计算节点源连接时，或者当移动设备访问网络内的资源时，可确定该移动设备的身份状态。生成基于移动设备的身份状态的安全策略，并将该安全策略应用于该移动设备。
发明内容
申请人已经注意到本领域中现有的在移动通信设备上实现和实施安全策略的解决方案并不很令人满意。这样的解决方案实际上基本以软件为基础。因此，它们易于攻击：例如，将在移动通信设备上实施的安全策略可能被攻击者，例如病毒操控，并被修改，以便在移动通信设备上产生与安全管理员预期的动作不同的动作；这会危害通信、用户和应用数据，鉴权凭证等的安全。
申请人已经解决了改进由移动通信设备的安全策略实施平台保证的安全的程度的问题。
申请人已经发现，通过提供一种适合于保证将被实施的安全策略的真实性和完整性的机制，能够实现更高的安全级别。特别地，申请人发现使用硬件令牌，尤其是移动通信设备用户的SIM(客户身份模块)和由SIM提供的功能，保证要实施的安全策略的真实性和完整性应是有利的；如在本领域中已知的，并且就本发明的目的来说，SIM是以IC(集成电路)智能卡的形式实现的，并且是需要与任何移动通信设备关联，以便能够访问和使用移动通信网络，比如GSM(全球移动通信系统)网络，或UMTS(通用移动电信系统)网络(及符合相似标准的网络)的服务的模块。就本发明的目的来说，术语SIM应被解释成包含操作上必须与移动通信设备相关联(比如可拆卸的)，并且适合于允许识别和/或鉴权移动通信网络中的移动通信设备的用户的任何模块，例如呈卡形式的模块；特别地，术语SIM还包含USIM(UMTS SIM)。
SIM一般配有至少一个数据处理器(例如，微处理器)，其中所述数据处理器包含至少一个数据处理逻辑(中央处理器-CPU)和至少一个存储器，以及适合于允许将由数据处理器执行的程序装入存储器的接口。
SIM已被证明是一种非常可靠的保证真实性的方式。SIM实现固有的安全机制，比如受保护的存储区，防篡改屏蔽和传感器，加密功能等等。除了严格与移动通信网络中的操作相关的功能之外，SIM还实现移动网络运营商专有的意图实现客户可利用的增值服务的相 对简单的应用程序。特别地，ETSI(欧洲电信标准协会)在文献GSM11.14中陈述了一种称为SAT(SIM应用工具包)的标准，SAT定义如何在SIM上实现相对简单的应用程序。驻留在SIM上的这些应用程序可进一步由网络运营商按照OTA(空中下载)模式远程管理，例如更新。
按照本申请，所有这些使SIM非常有益于实现高度安全的安全策略实施平台，尤其是保证待实施的安全策略的真实性和完整性。
事实上，由于实施针对SIM的专门攻击所需的设备和技能的缘故，这使针对SIM的专门攻击一般相当昂贵。
将SIM用于与在移动通信设备上实现和实施安全策略相关的目的还使移动通信网络运营商能够在安全策略实施架构中扮演主动角色。特别地，移动通信网络运营商可开发一种安全策略实施平台，其中网络运营商扮演还适合于保护移动通信网络和所提供服务的安全提供者的角色。这被认为是非常理想的，因为针对移动通信网络的几种攻击(例如使用安装在移动设备上的恶意软件进行的服务拒绝-DoS和分布式DoS-DDoS-攻击)可通过用户的移动通信终端而实施。
从而，按照本发明的一个方面，提供一种如在所附权利要求1中陈述的系统，用于在移动通信设备上实施安全策略，其中所述移动通信设备与客户身份模块在操作上相关联地用于移动通信网络中。
所述系统具有客户机-服务器体系结构，包括由移动通信网络运营商操作的服务器，以及驻留在移动通信设备上的客户机，其中将在所述移动通信设备上实施安全策略。
所述服务器适合于确定将在所述移动通信设备上应用的安全策略，并将待应用的安全策略发送到所述移动通信设备，所述客户机适合于从服务器接收待应用的安全策略，并应用接收的安全策略。
所述服务器包括适于鉴权将被发送到移动通信设备的安全策略的服务器鉴权功能，所述客户机还适于通过使用驻留在客户身份模块上的客户机鉴权功能，评定从服务器接收的安全策略的真实性。
按照本发明的系统建立一种安全策略实施平台，该平台适于通过 使用基于SIM的机制来证明待应用的安全策略的真实性和完整性，保证移动设备应用所需的安全策略，所述基于SIM的机制固有地比纯粹基于软件的机制更安全。
在一个优选实施例中，策略实施平台适于利用OTA机制，动态地修改移动设备上的安全策略。特别地，可响应移动通信网络的状态，异步地修改安全策略，以便使在普通移动通信设备上实现的安全级别适应于网络的安全状态。
另外，由移动通信设备应用的安全策略的修改可由对移动通信设备本地产生的，例如由在移动设备上运行的其它安全相关应用，比如防恶意软件(防病毒)应用，个人防火墙等本地产生的信令触发。
这样，安全策略实施平台还允许移动通信网络的运营商修改在移动通信设备上应用的安全策略，以便保护移动通信网络，和网络运营商提供的服务免受可能的攻击。
通过使用来自网络核心，或者移动网络的其它平台或与移动网络连接的其它平台的信令，动态地激活移动设备上的特定安全策略，可以建立一种能够早期阻止恶意软件的扩散的自适应安全策略实施平台。
按照本发明的第二方面，提供一种如在所附权利要求22中陈述的方法，用于在移动通信设备上实施安全策略，其中所述移动通信设备与客户身份模块在操作上相关联地用于移动通信网络中。所述方法包括：
-使移动通信网络确定将在移动通信设备上应用的安全策略，并将该安全策略发送到移动通信设备，
-使移动通信设备接收并实施该安全策略。
所述发送安全策略包括鉴权将被发送到移动通信设备的安全策略，所述使移动通信设备接收并实施该安全策略包括使移动通信设备通过使用驻留在客户身份模块上的鉴权功能，评定接收的安全策略的真实性。
按照本发明的第三方面，提供一种如在所附权利要求39中陈述 的移动通信设备，该移动通信设备与客户身份模块在操作上相关联地用于移动通信网络中。该移动通信设备适于从移动通信网络接收将实施的安全策略，并应用接收的安全策略。该移动通信设备还适于通过使用驻留在操作上与之关联的客户身份模块上的鉴权功能，评定从移动通信网络接收的安全策略的真实性。
按照本发明的第四方面，提供一种如在所附权利要求48中陈述的客户身份模块，该客户身份模块在操作上与移动通信设备相关联，从而在移动通信网络中实现移动通信设备的使用。该客户身份模块实现适合于评定移动通信设备接收的安全策略的真实性的鉴权功能。
附图说明
参考附图，根据仅仅作为非限制性示例而提供的本发明的实施例的下述详细说明，本发明的特征和优点将变得明显，其中：
图1示意表示其中应用按照本发明的一个实施例的安全策略实施平台的移动通信网络的场景；
图2利用功能块，示意表示适合于用在图1的移动通信网络中的移动通信设备；
图3利用功能块，更详细地示意表示图1的安全策略实施平台的服务器端；
图4利用功能块，更详细地示意表示适合与图3的服务器端合作的图1的安全策略实施平台的客户机端；
图5仍然示意地，不过更详细地表示客户机端的策略管理模块；
图6仍然示意地，不过更详细地表示客户机端的策略实施模块；
图7示意表示在本发明的一个实施例中，增加到用于将安全策略从平台服务器传送给平台客户机，或者反之亦然的SMS消息中的例证首标；
图8A和8B是描述平台的操作的示意的简化流程图，描绘了所涉及各实体的主要动作。
具体实施方式
参见附图，图1描述其中应用按照本发明的一个实施例的安全策略实施平台的移动通信网络的场景。
移动通信网络105是或者包括例如GSM网络，GPRS(通用分组无线系统)网络，EDGE(增强数据速率的GSM演进)网络，UMTS网络，遵从相似标准的网络或者基于专有技术的移动网络。移动通信网络105的详细结构未被示出，也不进行详细说明，因为为本领域的技术人员公知，并且与描述的本发明实施例的理解无关。
移动通信网络105由移动网络运营商110经营。
移动通信网络105可被移动通信设备，例如移动电话机、具有移动通信能力的PDA、智能电话机、具有GSM/GPRS/EDGE/UMTS适配器的便携式计算机、或者等同设备的用户访问。附图中，示出了普通的移动通信设备115。
为了访问并登录到移动通信网络105中，移动通信设备的用户需要预先与移动网络运营商110，或者与和移动网络运营商110具有漫游协议的另一移动网络运营商签约。依据所述签约，移动网络运营商110向客户提供SIM 120，SIM 120是设计成与移动通信设备115在操作上相关联，使移动通信设备115能够工作和登录到(被识别和/或被鉴权)移动通信网络105的IC智能卡。移动通信设备115与SIM120的关联使移动通信设备115能够在移动通信网络05中工作，并在图1中被表示成123。
在移动通信网络105具有支持数据分组通信的分组交换基础结构，比如GPRS的情况下，移动通信网络105可与诸如因特网之类的公共分组数据网络(图1中示意出，并表示成125)，和/或一个或多个专用分组数据网络，例如一个或多个企业的专用LAN，比如附图中所示的LAN 130交互作用。
移动通信设备115可装备照相机、蓝牙接口、Wi-Fi接口、IrDA(红外数据协会)接口中的一个或多个；它可以安装有几个应用，例如包括虚拟专用网络的客户机、个人防火墙、数据加密应用。
参见图2，图2中表示了例证的移动通信设备115的主要功能块的示意图。这里举例考虑的移动通信设备115包括适合于发射/接收的天线205，射频收发器210，GSM/GPRS/EDGE/UMTS模块215，SMS/MMS模块117，编码/解码单元220，扬声器225，摄像机230，麦克风235，屏幕240，键盘245，具有与之相关的存储器260(RAM、ROM和闪速EEPROM)的处理器(或者说CPU，中央处理器)255。移动通信设备115与SIM 120的关联是通过适当的电接触来实现的。
天线205和射频收发器210按照惯例允许往来于移动通信网络105的无线电基站的通信。扬声器225和麦克风235按照惯例将电信号转换成移动通信设备115的用户听得见的对应语音信号，反之亦然。键盘245按照惯例允许用户手动地与移动通信设备交互作用，拨打电话号码和发送与选择菜单选项，或者地址簿中电话号码的选择相关的命令，等等。屏幕240例如可以是LCD(液晶显示器)，并且适合于显示视频片断。摄像机230，例如CCD(电荷耦合器件)照相机，按照惯例适合于捕捉视频或静止图像。GSM/GPRS/EDGE/UMTS模块215按照惯例包括适合于支持与GSM/GPRS/EDGE/UMTS标准相应的通信的装置；例如，对于GPRS通信来说，模块215包括分组化/去分组化装置和缓冲器，能够将来自移动网络的无线电块(radio block)封装在分组中，或者从上面的协议层提供的分组中取出无线电块，以便通过射频收发器210和天线205传送给移动通信网络。编码/解码单元220(例如，H.263视频编解码器)与扬声器225、麦克风235、屏幕240和摄像机230连接；按照惯例，编码/解码单元220管理由摄像机捕捉的，或者将显示在屏幕上的视频，和/或由麦克风捕捉的或将被传送给扬声器的音频分量的编码/解码。SMS/MMS模块117管理SMS/MMS消息的接收/传送。处理器255监督包括在移动通信设备115中的不同模块的操作和活动。与处理器255结合的存储器260包括至少一个用于管理与移动通信网络和/或与通信网络的其它用户的通信的软件应用。
移动通信设备115还可包括管理Wi-Fi网络中的通信的Wi-Fi 通信模块265，管理按照蓝牙标准的通信的蓝牙模块270，管理IrDA通信的IrDA模块275，管理ZigBee通信的ZigBee模块280，和适合于管理按照不同标准的通信，特别是(但不限于)短程通信的其它通信模块中的一个或多个。
注意到尽管在图2中，不同的单元利用相对于存储器260的独立实体表示，不过至少一些所示单元可以至少部分地利用保存在存储器260中，并且当被处理器255执行时执行相同功能的软件程序来实现。例如，编码/解码单元和/或GPRS模块被表示成独立的实体，不过也可以至少部分地利用驻留在存储器中，并由移动通信设备的处理器执行的软件程序来实现。特别地，可完全地以软件形式来实现，但是被描述成不同实体的单元可包括VPN(虚拟专用网络)客户机模块285，个人防火墙模块290，防恶意软件模块295(比如安装在移动通信设备115上的防病毒应用)。移动通信设备的操作由附图中未示出的操作系统管理。
本领域技术人员业已知晓，SIM 120还包括至少一个数据处理器，例如微处理器，包括至少一个CPU，非易失性存储器，比如闪速EEPROM、RAM，与移动通信设备115连接的接口组件。由于本身已知，因此未示出SIM的详细结构。
返回参见图1，安全策略实施平台具有客户机-服务器结构，包括适合于相互通信和合作的客户机端135和服务器端140。
平台的服务器端140(下面称为平台服务器)位于移动网络运营商110。平台服务器140管理各种活动，包括将在用户的移动通信设备中实现的安全策略的定义，需要实现特定安全策略的条件的定义，安全策略在中央安全策略数据库143中的存储，以及采用多种可用通信信道中的一种或多种，将安全策略传送给移动通信设备。
平台的客户机端135(下面称为平台客户机)位于移动通信设备115，包括安装在移动通信设备115上，并由移动通信设备115执行的专用客户机软件。平台客户机135特别适合于与平台服务器140通信以便接收安全策略和其它信令，本地保存接收的安全策略，对移动 通信设备115本地实施安全策略。
后面提供平台客户机135和服务器140的详细说明。
平台服务器140包括适合于从多个不同来源，捕捉可用于安全策略实施平台的操作的事件，尤其是可用于确定最好应该应用哪些安全策略的事件的事件收集功能145。事件收集功能145可从预警平台150(根据异常检测机制工作的，适合于在恶意软件被基于模式-例如病毒签名-检测工作的其它机制，比如防病毒机制拦截之前，检测恶意软件的攻击的平台)，环境感知平台155，网络入侵检测系统160，防欺诈系统165，企业的存在检测系统170，以及其它可能的来源(总体表示成175)捕捉事件。
平台服务器140适合于与移动通信设备通信，尤其适合于利用几种通信信道中的一种或几种，向移动通信设备发送要实施的安全策略，所述通信信道包括移动通信网络105的SMS(短消息收发服务)消息和/或MMS(多媒体消息收发服务)消息，通过利用移动通信网络105的GPRS基础结构建立的TCP/IP连接发送的数据分组，ZigBee通信信道，蓝牙通信信道，IrDA通信信道。
对于本说明来说，“安全策略”意味以一条或者通常多条，比如一组规则为特征的策略。特别地(但不限于)，可通过向称为“属性”(按照NIST-国家标准技术研究所采用的命名法)的元素赋予特定值，构成组成普通安全策略的规则。根据赋予策略中的属性的特定值，驻留在移动通信设备115中的平台客户机135能够管理用户和应用在访问使移动设备可用的资源和服务方面的授权和/或特权。
按照本发明的一个实施例，可利用XML(可扩展置标语言)定义策略。这种情况下，策略可被表述成一系列的属性和赋予属性的特定值，比如：
<PolicyEntry attribute1＝"value1"attribute2＝"value2"…>，
并且能够构成一行或多行的属性赋值，以定义策略。
仅仅作为一个非限制性示例，安全策略领域的技术人员已知，NIST定义必须被用于定义安全策略的至少三种属性：“动作”属性， “来源”属性和“目标”属性(不过，本发明并不应局限于NIST的定义)。
动作属性代表将由负责策略实施的实体管理的控制。对于动作属性，NIST定义了三种值：“接口”、“套接字”和“文件”。接口属性值指示在OSI栈的通信物理层的控制(例如，在普通的通用计算机中，这些控制包括评定串行端口、红外端口、对智能卡或对存储卡的访问是否被允许的控制)。套接字属性值指示在OSI传输层的控制。文件属性值指示在OSI应用层的控制：它允许将对特定文件的访问仅仅限制于某些应用软件；策略可被进一步修改，指示每个单一的读取、写入和执行许可。
来源属性规定适合于限制动作属性的赋值可能性的值；对其指定来源属性的对象可包括IP地址，文件名等。就套接字动作来说，来源属性包括例如指示允许因特网业务流的端口号，批准用户连接的地址范围等等的几个子参数。
目标属性进一步规定完成该动作的接口单元或基准。
仅仅作为一个非限制性示例，按照这里描述的本发明实施例的安全策略实施平台可以管理的安全策略可包括：驻留在用户的移动通信设备上的VPN客户机(假定包括在VPN模块285中)的激活和配置策略；个人防火墙290的激活/去激活/配置策略；摄像机230的激活/去激活策略；蓝牙接口270、IrDA接口275、Wi-Fi接口265的激活/去激活/配置策略；GPRS/EDGE/UMTS功能215的激活/去激活/配置策略；本地保存在移动通信设备115的数据的加密(例如，本地文件系统的加密或文件/文件夹的加密)策略；可能在移动通信设备115上实现的数据备份服务的激活/去激活/配置策略；安装在移动通信设备115上的特定应用的激活/去激活策略，或者禁止在移动通信设备115上安装新应用的策略。上面的列举是非穷尽的。
按照本发明的一个实施例，普通安全策略由属于两种规则类别：XML格式的规则，和配置文件格式的规则之一的一条或多条规则构成。
将XML格式用于安全策略规则被认为是更可取的，因为操作系 统常常允许按照自然XML格式定义策略，另外还由于一些不断出现的标准，比如OMA设备管理；例如，假定安装在移动通信设备115上、管理移动通信设备115的操作的操作系统是Windows可能借助XML配置VPN模块285的VPN客户机，GPRS连接的配置，Wi-Fi接口265的配置等等。
考虑到其配置不支持XML的应用的存在，使用配置文件格式的安全策略规则。配置文件格式的安全策略从而允许作用于依赖特定文件的应用配置。例如，这允许作用于将其配置保存在文本文件(比如Microsoft环境中具有扩展名“.ini”的文件)中，而不是二进制文件的第三方(third-part)应用的设置。
普通安全策略可由标识符，例如字母数字标识符识别，并且按照本发明的一个实施例，借助适合于保证平台客户机135和平台服务器140具有检查安全策略的真实性和完整性的可能性的适当机制，在完整性和真实性方面保护普通安全策略；特别地，如后所述，在本发明的一个实施例中，采用加密的消息鉴权码(MAC)机制。已知，加密MAC是可用于鉴权诸如消息之类的数据块的一条较短的信息。MAC由MAC算法生成，MAC算法接受秘密密钥和待鉴权的任意长度的数据块作为输入，并输出MAC(有时称为标记)。MAC值通过允许验证者(他也拥有该秘密密钥)检测数据块内容的任何变化，保护该数据块的完整性和真实性。MAC算法能够由其它基本加密算法，比如加密散列函数(就HMAC来说)，或者由块密码算法(OMAC，CBC-MAC和PMAC)构成。
策略可由特定的XML标记，比如下面的policy id标记引入：
<Policy id＝"POLICYNAME"mac＝"POLICYMAC">
   …body of the policy
</Policy>
属性id＝"POLICYNAME"指示识别该策略的字母数字代码，而属性mac＝"POLICYMAC"包含对于安全策略计算的，例如利用base64编码进行编码的MAC。
如前所述，安全策略由一条或多条规则构成，每条规则包含必须在其上实施该安全策略的系统(在此情况下，移动通信设备115)的设置或配置。为了相互区分安全策略，按照本发明的一个实施例，提供一种适合于指定一般规则的内容的方法。为此，引入另一个XML标记，该标记允许确定包含在策略中的规则：
<Rule id＝"RULENAME"type＝"RULETYPE">
   …body of the rule
</Rule>
属性id＝"RULENAME"可以是识别特定规则的整数，而属性type＝"RULETYPE"指示定义的规则的类型。规则类型属性可取下述值之一：
-type属性值“XML”：该属性值识别XML形式的安全策略规则；
-type属性值“FILE”：该属性值识别配置文件形式的安全策略规则。
注意到通过以均包含与在其上必须实施安全策略的系统(移动通信设备115)的相同功能相关的设置和配置的规则恰当地构成安全策略，可使安全策略的维护，例如更新更容易。例如，移动通信设备上的VPN功能285的激活由最好被归入相同规则中的几个配置(VPN客户机的配置，通信接口的配置等等)构成。这样，可利用与单一规则相同的粒度更新安全策略。
为了管理必须持续预先未确定的一段时间而被认为某一安全策略有效的情况，可以提供临时安全策略。临时安全策略可重新定义某些安全策略规则的行为。例如，考虑其中发现和公布(例如在安全公告板上)可能影响移动通信设备的某一组件，并且还未发布对其的补救措施(例如补丁)的新威胁或新弱点的情况。可在移动通信设备上实施实现工作区(workaround)的临时安全策略，该临时安全策略适合于提供可能通过去激活或限制由所涉及的组件提供的功能，适于至少限制可能的损害的临时解决方案。一旦该问题被解决，并且补救措施可用于该威胁，那么使临时安全措施被去激活。如后所述，在按照 本发明的一个实施例的平台中，移动通信设备上临时安全策略的激活和去激活是借助平台服务器(具体地说，来自平台服务器的命令)实现的。
平台服务器140和平台客户机135通过经由可用的通信信道之一交换适当格式的消息，进行相互通信。
在本发明的一个例证的但非限制性实施例中，在平台服务器140和平台客户机135之间交换的普通消息是由适合于描述由消息传送的安全策略的类型的多个XML标记，加上可能的控制信息构成的。
普通消息可被封装在如下定义的预定XML标记，例如“Message”标记内：

属性mac＝"MESSAGEMAC"包含对于整个消息计算的，例如借助base64编码进行编码的MAC，表示消息的保护机制，具体地说目的在于保护消息真实性和完整性的加密完整性检查。
例如，存在于从服务器端140接收的消息中的MAC被驻留在移动通信设备115上的平台的客户机端135用于核实消息真实性和完整性，如后详细所述。
在本发明的一个实施例中，“Message”标记还包括属性time＝"YYYYMMDDhhmmss"，其值指示分派该消息的日期和时间(特别地，将分派该消息的日期和时间已被传给OSI传输层)。“time”属性的值"YYYYMMDDhhmmss"例如是年(4位格式)，月(2位格式)，日(2位格式)，小时(2位格式)，分钟(2位格式)和秒(2位格式)的级联；不过其它格式也是可能的。如果平台服务器140的本地时钟和平台客户机135的本地时钟被同步，那么“time”属性的值可被用于进行对接收消息的进一步检查。
在平台服务器140和平台客户机135之间可以交换不同类型的消 息。例如，在本发明的一个实施例中，能够交换四种不同类型的消息：“Action”消息，“Request”消息，“Reply”消息和“Notify”消息。这些消息的其中一个的发送者和接收者可以是平台服务器140或平台客户机135。
Action消息涉及必须由消息接收者执行的动作。Request消息涉及要求消息接收者利用答复消息回应的请求；Notify消息被用于通知消息发送者的某种状况。
消息的类型是由例如特定的XML标记定义的；例如，就Action消息来说，使用下述标记：
<Action type＝"ACTION">
…body of the action
</Action>
属性type被用于识别要采取的动作的类型；例如，在本发明的一个实施例中，对应于type属性的四个值，设计四种动作：
-type属性值“STORE”：这指令平台客户机135本地保存由消息传送、并且包含在动作的主体中的安全策略；
-type属性值“DELETE”：这指令平台客户机135删除在动作的主体中指定的(可能一个或多个)安全策略(在动作的主体中只需要包括策略的标识符)；
-type属性值“UPDATE”：这指令平台客户机135根据动作的主体的内容，更新安全策略(动作的主体需要包括安全策略的标识符，及安全策略的需要被更新的一条或多条规则)；
-type属性值“APPLY”：这指令平台客户机135应用包括在动作的主体中的安全策略(假定先前已借助STORE动作消息，将要应用的策略分派给平台客户机135，在动作的主体中指定安全策略的标识符就已足够)。
就APPLY动作消息来说，还可提供子标记，例如<Expire time＝"YYYYMMDDhhmmss">，以允许指定能够应用在动作的主体中指定的安全策略的截止日期和时间。该标记可具有下述形式：

日期和时间可如前所述那样被格式化。当规定的应用安全策略的日期和时间到期时，平台客户机135可应用先前有效的安全策略；假如先前有效的策略对移动通信设备115来说不再本地可用，或者不再完整(例如归因于移动通信设备115的故障，用户错误，或者恶意攻击，推断利用策略MAC，如后所述)，那么平台客户机135可应用默认安全策略，并通知平台服务器140。默认的安全策略例如是在特定情况下，比如在特定移动通信设备上首次执行平台客户机135时，或者当在移动通信设备不存在任何策略时，或者在关键性错误的情况下，以及在类似情形下应用的保守安全策略。
就Request消息来说，使用下面的标记：
<Request type＝"REQUEST">
    …body of the request
</Request>
属性type被用于识别请求的类型。在本发明的一个实施例中，设计两种请求：
-type属性值“KNOWN”：这识别(从平台服务器140到平台客户机135的)发送(在平台客户机135)本地保存的所有安全策略的请求；
-type属性值“ACTIVE”：这识别(从平台服务器140到平台客户机135的)发送目前(在平台客户机135)应用的安全策略的请求；
就Reply消息来说，使用下述标记：
<Reply type＝"REPLY">
    …body of the reply
</Reply>
属性type被用于识别答复的类型。在本发明的一个实施例中，设计两种答复：
-type属性值“KNOWN”：这识别对(从平台服务器140到平台客户机135的)发送(在平台客户机135)本地保存的所有安全策略的请求的答复；所有本地保存的安全策略被整体传送。
-type属性值“ACTIVE”：这识别对(从平台服务器140到平台客户机135的)发送目前(在平台客户机135)应用的安全策略的请求的答复；目前的有效安全策略被整体传送。
最后，就Notify消息来说，使用下述标记：
<Notify type＝"NOTIFICATION">
    …body of the notification
</Notify>
属性type被用于识别通知的类型。在本发明的一个实施例中，设计两种通知：
-type属性值“ANOMALY”：这识别涉及异常的通知；
-type属性值“ERROR”：这识别涉及错误状况的通知。
为了识别异常或错误状况的原因，可以引入另一标记，如下所示：
<NotifyInfo message_id＝"#"[policy_id＝"ID"[rule_id＝"#"]]>
    …error code
</NotifyInfo>
属性message_id＝"#"的值识别产生错误状况的消息(这样的标识符由OSI传输层传给平台服务器或者平台客户机的负责管理消息的模块)。属性policy_id＝"ID"和rule_id＝"#"是可选的，用于识别错误代码所涉及的安全策略和相应的规则。
下表再假定在本发明的例证实施例中，可由平台服务器140和平台客户机135交换的可能消息。

现在参见图3，图中示意但更详细地表示了安全策略实施平台的平台服务器140。
策略定义模块组件305允许安全管理员310，即安全策略实施平台的管理员(负责网络的管理和移动通信设备的管理的人)定义将被分发送到并在已就该服务与移动通信运营商110签约的移动通信设备上实施的安全策略。特别地，策略定义模块305允许管理员310创建 新的安全策略，修改现有的安全策略，例如修改、增加、删除安全规则，删除安全策略，定义必须启动特定安全策略的条件。系统管理员310可以通过利用已知web浏览器之一，经web接口访问策略定义模块305，并执行上述动作。这允许某一类型的客户，比如企业/公司自主地创建和管理他们希望在其雇员或者参观其建筑物的人们的移动通信终端上实施的安全策略。
优选地，安全策略实施平台支持管理员根据与特定的目标移动通信设备无关的规则定义安全策略；策略定义模块305适合于将管理员310创建的安全策略转化成所希望的目标特有和支持的格式；这样，移动通信终端的特性受策略定义模块305管理，并且对管理员310来说是透明的。
如前所述，在平台服务器140，安全策略被保存在中央安全策略数据库143中；数据库143还被用于保存导致安全策略被分发到移动通信设备和/或在移动通信设备上被启动的条件的定义。优选地，数据库143还保存预计已存在于移动通信设备上的安全策略。策略定义模块305与数据库143交互作用，以便保存新创建的安全策略，取回待修改或待删除的现有安全策略，以及保存安全策略的应用条件。数据库143还被用于保存和被管理的移动通信设备(例如，由IMEI代码识别的移动通信设备)，以及相关的软件平台(Windows Mobile，Symbian，SavaJe等)和版本(例如，Windows Mobile 5.0，Pocket PC2003第二版，Symbian Series 80，Symbian Series 60等)有关的所有信息。这些数据是将高级策略(例如“将蓝牙接口设置成不可发现模式”)转换成目标移动通信设备装备的特定软件平台理解的特定XML标记所必需的(尽管在较高的层面，安全策略可能相同，不过就不同的软件平台，例如操作系统来说，具体的命令/语法可能不同)。
例如，数据库143被构造成基于SQL(结构化查询语言)的支持多个来源的同时访问的关系数据库。
事件收集功能145由事件收集器模块组件315实现，事件收集器模块组件315具有捕捉可用于策略实施平台的操作的所有事件的功 能。特别地，事件收集器模块315与几个模块/平台交互作用，包括早期检测平台150，环境感知平台155，适合于地理定位移动通信设备的定位平台，例如包括GSM定位平台，Wi-Fi定位平台，蓝牙定位平台，GPS(全球定位系统)定位平台的系统320，以及网络入侵检测系统(IDS)，防欺诈系统，企业的存在检测器系统，和其它可能来源(整体表示成175)，例如包括安全公告板，软件更新公告板。
事件收集器模块315可以适合于捕捉涉及移动通信设备的地理定位，移动通信设备的用户的环境(除了定位之外，用户的环境信息可以包括例如诸如温度之类的环境参数，或者用户设备的IP地址，等等)，IDS的通知，关键应用的软件更新的可用性通知，新发现的威胁/弱点的通知，实施客户企业/公司接收的特定安全策略的明确请求的事件；事件收集器模块315最好还适合于接收移动通信设备上安全策略的违反的通知，来自移动通信设备的错误消息，可能还有有益于安全策略平台的具体实现的任何其它事件。事件收集器模块315适合于过滤从不同来源捕捉的事件，以确定哪些事件相关，哪些事件不相关。
事件收集器模块315与事件管理器模块组件325交互作用。事件管理器模块325适合于解释由事件收集器模块315捕捉、过滤和转发到它的事件，以便根据从事件收集器模块315捕捉的事件得到的具体情况，确定哪个/哪些策略是待应用的较好安全策略。事件管理器模块325由来自事件控制器模块315的一个或多个事件的接收所激活。如前所述，当创建安全策略时，还利用收集的事件间的关联规则定义和保存触发安全策略的应用的条件；事件管理器模块325适合于根据从事件收集器模块315接收的事件，推断在某一时间的具体条件，并根据保存在中央数据库143中的信息，建立将在某一移动通信设备上实施的安全策略。在建立安全策略时，既考虑到特定的移动通信设备软件平台，又考虑到用户的特定类别(消费者，企业/公司)，这些特定类别的用户通常提出不同的安全要求。事件管理器模块325还适合于使用鉴权和完全性功能327，利用与包含在目标移动通信设备115中 的SIM 120共享的保密加密密钥，计算策略的MAC，并将其插入安全策略中供真实性和完整性检查之用。
一旦事件管理器模块25确定哪个安全策略是将应用在特定移动通信设备上的较好安全策略，事件管理器模块325就准备将被分派给该移动通信设备的消息，并联系策略通信模块组件330，向其提供待分派的消息。特别地，事件管理器模块325按照上面说明的格式准备上述消息之一，特别地，鉴权和完整性功能327利用与包含在移动通信设备中的SIM共享的加密密钥(和用于加密策略MAC的密钥相同的密钥，或者不同的密钥)计算消息MAC，并将其插入消息中供真实性和完整性检查之用。
策略通信模块330将从事件管理器模块325收到的消息分派到受策略实施平台控制的移动通信设备。具体地说，策略通信模块330根据特定移动通信设备支持的、并且目前该移动通信设备可以使用的通信信道，选择将用于向移动通信设备115分派该消息的通信信道。为此，策略通信模块330可与用于定位移动通信设备的环境感知平台155交互作用，收集和该移动通信设备在当前环境中能够使用的通信信道有关的信息。策略通信模块330还可根据待分派的消息的性质，以及根据消息长度，选择通信信道；如果必须传送大量的数据，那么诸如GPRS或Wi-Fi之类的分组交换通道(如果可用的话)例如优于SMS。
策略通信模块330与适合于管理多个可用通信信道340的通信设备的通信设备管理平台335交互作用。
策略通信模块330还适合于管理环境感知平台155表明受移动通信设备115支持的一个或多个通信信道的临时不可用性的情况；在这些情况下，策略通信模块330可适合于通过不同的通信信道重试消息传输，即使与初始或者先前选择的信道相比效率较低。在移动通信设备造成目前不能被任何通信信道触及的情况下，策略通信模块330适合于每隔一定时间，重试该消息传输预定的次数；如果在多次重试之后，策略通信模块330仍然不能发送消息，那么可发出对于管理员310的通知。
策略通信模块330还可与移动通信网络运营商110的设计成允许客户的SIM 120的远程OTA管理，尤其是在符合SAT标准的SIM上实现的应用的远程OTA管理的OTA SIM管理平台345，尤其是SAT管理平台交互作用。
图4中更详细地表示了安全策略实施平台的客户机端135的示意图。
平台客户机135的主要组件是策略管理模块405，移动通信设备的多个通信接口415a-415e的连接器模块410，本地安全策略数据库420，安全策略实施模块425。
策略管理模块405负责(通过连接器模块410)从平台的服务器端140接收的安全策略和命令/消息的管理。
连接器模块410包括负责连接策略管理模块405和存在于移动通信设备115上的多个通信接口415a-415e，比如SMS接口415a，MMS接口415b，GSM/GPRS/EDGE/UMTS接口415c，蓝牙接口415d，ZigBee接口415e的连接器；可存在其它通信接口，比如IrDA接口。
策略管理模块405与其中保存将在移动通信设备上实施的安全策略的本地安全策略数据库420交互作用。特别地，本地安全策略数据库420可被实现成SQL关系数据库管理系统；实际的解决方案可以采用SQLite，SQLite是一种实现易于与任何基于Windows(R)，Linux，PocketPC的应用结合的轻便SQL数据库管理系统的C库；不过，也可实现其它数据库管理系统。
策略管理模块405与负责移动通信设备上安全策略的实施的策略实施模块425合作。
最好还提供日志模块组件430，用于(例如在数据库420中)在明文格式的日志文件中存储与平台客户机135的操作有关的信息，具体地说，策略管理模块405和策略实施模块425的操作有关的信息，更具体地说，有助于技术支持人员理解策略管理模块405和策略实施模块425的可能不正常工作的原因的信息。
如图5中所示，策略管理模块405可包括四个主要的组件模块： 与连接器模块410连接的接口组件505；连接本地安全策略数据库420的接口组件510；连接策略实施模块425的接口组件515；和连接日志模块430的接口组件520。
面对连接器模块410的接口组件505负责与专用于传送从平台服务器140接收的消息的连接器交互作用，传送例如安全策略。平台最好支持安全策略的多个传送模式，比如SMS、MMS、GPRS、UMTS、Wi-Fi、蓝牙、ZigBee、IrDA、及移动通信设备115和安全策略实施平台支持的任何通信信道。不过，采用的特定传输模式的细节由连接器模块410中的连接器处理，并且对策略管理模块405来说是透明的；换句话说，策略管理模块405并不直接管理通信的低级方面，而是被转发连接器模块410接收的消息。特别地，当收到来自于平台服务器140的消息时，连接器模块410通知策略管理模块405，以致接口组件505能够接管负责该消息。
接口组件505检查普通接收的消息的真实性；为此，接口组件505与SIM 120交互作用，并使用驻留于其中的鉴权功能435，具体地说SAT鉴权功能435。
特别地，接口组件505调用由策略管理模块405托付的、存在于SIM 120中的SAT鉴权功能435，检查包括在“Message”标记中的属性“mac＝MESSAGEMAC”，如前所述，属性“mac＝MESSAGEMAC”包含对于平台服务器140分派的整个消息计算的MAC(的base64编码)。SAT鉴权功能435通过对于接收的整个消息重新计算MAC，并比较计算的MAC与包括在接收消息中的值，执行所述检查，并将结果传递给接口组件505。为了计算MAC，SAT鉴权功能使用按照受保护方式保存在SIM中的、与当准备该消息时平台服务器140的事件管理器模块325最初用于计算MAC的加密密钥相同的加密密钥(即，平台服务器的鉴权功能和在SIM中实现的鉴权功能共享密钥)。
如果检查结果显示消息不真实或者不完整，那么接口组件505适合于拒绝消息，并导致向平台服务器140发送对应的通知(通知消息的传送由连接器模块410负责)。
接口组件505还适合于通过查看属性time的值，检查接收消息的时间戳记，并在确定该消息过于陈旧的情况下(可以定义预先确定的时间窗口)的情况下，丢弃该消息，这种情况下，接口组件505可以调用连接器模块410发送对应的通知消息。
接口组件505还适合于分析接收的消息，以便确定消息的性质(例如，区别Action消息和Request消息)。
在接口组件505确定接收的消息是Request消息的情况下，通过利用接口组件510连接本地安全策略数据库420，接口组件505适合于从本地数据库420取回将传送给平台服务器140的安全策略；特别地，接口组件505在Reply消息中包括安全策略标识符和对应的策略MAC，以使服务器平台140能够确定保存在平台客户机135的安全策略的真实性，以及确定该安全策略是否需要被更新。
在接口组件505确定接收的消息是Action消息的情况下，接口组件505适合于确定需要采取哪种动作。
特别地，如果接口组件505确定请求的动作是保存在接收的消息内传送的安全策略(type属性的值STORE)，那么接口组件505适合于从消息中提取安全策略，并调用接口组件510以便将安全策略保存在本地安全策略数据库420中。这是通过在将接收的策略保存在本地策略数据库420之前，调用驻留在SIM 120上的SAT鉴权功能435检查该策略的真实性和完整性来实现的。
如果接口组件505确定请求的动作是更新已保存在本地数据库420中的安全策略(type属性的值UPDATE)，那么接口组件505通过调用接口组件510，更新本地数据库420中的指定策略规则；这可涉及修改、增加和/或删除以前的规则。随后，接口组件505确定包括在更新策略消息中的MAC是否对应于对于整个更新策略计算的MAC。为此，更新策略消息可包含将应用于特定安全策略的变化，和对于最终的(更新的)安全策略包括未被改变(从而未被重传)的规则计算的MAC。这种方法提供更好的带宽消耗，并且检测保存在客户机的策略和保存在服务器组件的策略之间的同步问题。
如果接口组件505确定请求的动作是删除保存在本地数据库420中的安全策略(type属性的值DELETE)，那么接口组件505调用接口组件510，向其传达哪个安全策略要被删除。
如果接口组件505确定请求的动作是应用保存在本地数据库420中的安全策略(type属性的值APPLY)，那么接口组件505调用与策略实施模块425连接的接口组件515，向其传达哪个安全策略将被应用。优选地，在调用策略实施模块425之前，策略管理模块405调用SIM上的鉴权功能435以检查策略MAC，以保证将要应用的安全策略是真实和完整的(恶意软件攻击确实可能损害保存在本地数据库420中的安全策略)。
在其操作过程中，接口组件505适合于管理错误状况；可能遇到的错误是：
-就接收的保存安全策略的请求来说，指定的策略已存在于本地数据库420中的事实；
-就接收的更新安全策略的请求来说，指定的安全策略不存在于本地数据库420中，或者更新的安全策略的MAC不正确的事实；
-就接收的删除安全策略的请求来说，指定的安全策略不存在于本地数据库420中的事实；
-就接收的应用安全策略的请求来说，指定的安全策略不存在于本地数据库420中，或者指定的安全策略的MAC不正确的事实。
在所有这些情况下，策略管理模块405适合于向服务器端140分派通知。
接口组件515负责与策略实施模块425交互作用，以便向其发送待应用的安全策略。
相对于本地数据库420的接口组件510负责将从服务器端140接收的、并通过接口组件505的安全策略在本地数据库中存档。优选地，接口组件510是负责本地数据库420的管理的唯一模块，以致平台客户机135的希望访问本地数据库420的每个其它功能组件必须调用策略管理模块405的接口组件510；优选地，接口组件510支持对 本地数据库420的多个同时访问。因此，使本地数据库420的具体结构对于其余功能组件来说是透明的，可以在不影响其余功能组件的操作的情况下，修改数据库结构。
连接日志模块430的接口组件520向策略管理模块405的剩余组件提供服务，并从所述剩余组件接收将保存在日志文件中的、与策略管理模块405的各个组件的操作有关的信息。
策略实施模块425的主要任务是实施安全策略。特别地，策略实施模块425应用策略实施模块405不时向其传送的安全策略，并控制应用的安全策略不被移动通信设备115的用户，或者在移动通信设备115上运行的应用(可能是恶意软件)违反。
由策略管理模块405传给策略实施模块425的待应用的安全策略的完整性和真实性由安全策略和相应MAC一起直接被传送的事实来保证；这样，通过调用SIM 120上的鉴权功能来核实MAC的正确性，能够检测对安全策略的任何改变。如上所述，这是由策略管理模块405，可能还由策略实施模块425(当被调用以实施安全策略时)来完成的。
如图6中所示，策略实施模块425还包括四个主要的组件模块：策略分析器组件605，策略核实器组件610，策略应用组件615和连接日志模块430的接口组件620。
策略分析器组件605负责解释从策略管理模块405接收的安全策略，理解构成安全策略的规则。特别地，策略分析器组件605适合于从保存在本地数据库420中、按XML格式描述的安全策略中提取单一安全规则，并按照适于应用所述单一安全规则并核实其应用的形式组织它们。策略分析器组件605还适合于确定构成安全策略的每个单一规则的性质。
如果策略分析器组件605断定待应用的安全策略被确定为是正确的，那么该安全策略被转发送到策略应用组件615以便应用。
相反，如果确定安全策略不正确(例如，在句法或语义上，不正确地构成安全策略)，那么策略分析器组件605不将安全策略发送给 策略应用组件615，而是通知策略管理模块405的接口515，以及日志接口组件620。这种情况下，策略分析器组件605可能适合于指令策略应用组件615应用默认策略(例如，适合于禁用被认为对移动通信设备115及保存于其中的数据的安全来说有危险的所有服务，比如蓝牙、Wi-Fi等等)。
策略应用组件61适合于从策略分析器组件605接收要应用的安全策略。根据其类型，应用构成安全策略的单一规则：例如，就Microsoft XML格式的规则来说，策略应用组件615适合于使用标准API函数DMProcessConfigXML(…)，所讨论的规则被传给该标准API函数。
在应用规则的过程中，发生错误的情况下，策略应用组件615将该事件通知策略管理模块405的接口515，和日志接口组件620。这种情况下，策略应用组件615可能适合于应用默认策略，代替产生错误的策略。
策略核实器组件610负责控制有效安全策略不被违反。为此，可以对能够借助策略实施平台控制的每种设置和/或配置定义特定的核实进程。例如，蓝牙功能的激活可与目的在于控制蓝牙接口被激活或不被激活的核实进程相关联。
这便于更灵活地管理安全规则的控制。
为了进一步提高灵活性，可按照这样的方式模块化地构成策略核实器组件610，以致每个核实进程可以是在需要重大修改的情况下，集成到该组件中的插件。
最好每隔一定时间间隔进行有效安全策略的检查。如果检测到策略的一条或多条安全规则的违反，那么策略核实器组件610适合于：
-按照在有效安全策略中规定的内容，重置系统配置(设置和/或配置)；
-向平台服务器140分派通知消息，以通知异常；
-在移动通信设备的屏幕上显现指示该规则不应被违反的消息。
连接日志模块430的接口组件620向策略管理模块525的剩余组 件提供服务，从所述剩余组件接收将保存在日志文件中的、和策略管理模块525的各个组件的操作相关的信息。
连接器模块410负责从多个通信接口接收从平台服务器140接收的消息，将从平台服务器140接收的消息转发到所述多个通信接口，或者将从平台客户机135的策略管理模块405接收的消息转发到所述多个通信接口。
下面，仅仅作为一个示例，描述了包括在连接器模块410中的用于管理借助SMS消息的通信的SMS传输连接器的操作。
SMS通信信道可由平台的服务器端140用于保存在移动通信设备上的安全策略的OTA更新。SMS信道保证移动通信设备被联系上，并且SMS信道相当快速，并且管理简单。不过，普通的SMS协议不保证SMS消息实际被分派，也不保护按照发出SMS消息的相同顺序递送SMS消息。从而，通过简单地将带有安全策略的更新的文件分割成用不同SMS消息发送的两个或更多组块，发送该文件是不谨慎的。
下面，描述了可以克服上述局限的例证协议。
特别地，如图7中示意所示，定义将被引入用于传送例如安全策略的更新的每条SMS消息中的消息首标。消息首标被构造成使消息接收者(移动通信设备115上的客户机135)可以正确地重构安全策略的文件。
SMS消息首标的长度例如为64位，包括例如5个字段：协议标识符字段705，版本字段710，选项字段715，序列号字段720和组标识符字段725。
协议标识符字段705是识别协议的位序列；版本字段710识别协议的版本；选项字段715指定选项；序列号字段720保存识别一系列SMS消息内的特定SMS消息的编号；组标识符字段725保存特定的SMS消息所属的消息组的标识符。
业已知道，普通SMS消息可以包括多达140字节的数据；在上面提及的8字节的消息首标的情况下，每条SMS消息中留下132字 节来传输数据。假定序列号字段720占用16位，普通消息可被分割成多达65535条SMS消息，每条SMS消息传送132字节的数据，总计8650620字节的数据(大约8MBytes)。不过，为了避免移动通信设备的可能拥塞，最好不发送由许多片断构成的过长消息。
对于符合该协议的每条SMS具有恒定值的协议标识符字段705的存在使移动通信设备可以区分二进制形式的普通SMS消息，和来自平台服务器140的传送安全策略的SMS消息；从而，移动通信设备可以处理SMS消息，而不向用户显示收到通知。
组标识符字段725使接收消息的移动通信设备115可以区分与不同传输相关的消息。事实上，移动通信设备可能同时收到两个或者更多的SMS消息序列，组标识符允许确定普通SMS消息属于哪一组，以便正确地重新组成和某一安全策略相关的文件。就待发送的每个SMS消息序列来说，组标识符字段725可以保存由消息发送者(例如，平台服务器140)产生的(16位)伪随机码。
序列号字段720包含适合于SMS消息的接收者确定特定的SMS消息位于消息序列中的何处的编号。消息接收者还可使用该字段启动计时器：例如，当收到某一序列的第一SMS消息(例如，由序列号字段720中的值1指示)时，计时器被触发；如果在预定时间间隔之后，该消息序列仍未完成，那么消息接收者可丢弃已收到的该序列的所有消息，并要求消息发送者重新发送整个序列。
为了确定哪条消息是序列的最后SMS消息，使用选项字段715。选项字段715可以由两个字段构成：1位的更多片断字段715-1，和用于协议的可能演变的7位的辅助字段715-2。更多片断字段715-1可被用作通知当前消息是序列的最后消息的标记(例如，设置成“0”的位)。当SMS消息的接收者确定更多片断字段715-1被设置成“0”时，它确定该序列的所有消息都已被收到(为此，检查某一组的所有接收的SMS消息的序列号)，并且序列是完整的。重复的消息可被丢弃。如果序列是完整的，那么重构安全策略的文件。相反，如果确定序列不完整，那么消息接收者可要求消息发送者重新发送该序列的SMS 消息。
注意到由于SMS协议的性质，更好的是避免发送过长的文件；例如，如果任何备选的通信信道为可用的话，那么最好不借助SMS发送保存策略的Action消息，或者Reply消息。
策略实施模块425对移动通信设备115的指定功能、服务、应用、模块应用安全策略，即，在策略规则中规定的设置和/或配置；这些包括由操作系统控制的特征和存在于移动通信设备115上的第三方应用的特征，总体用440表示，它可包括用XML形式445规定的设置和/或配置，和用配置文件形式450规定的设置和/或配置。平台客户机135特有的功能、服务、应用也可通过安全策略来实现和控制；总体由455表示的这些功能例如可以包括控制用户对移动通信设备的物理访问的功能460，和加密移动通信设备115的文件系统、或者文件或文件夹的功能465。
例如，控制用户对移动通信设备的物理访问的功能460可以适合于增加管制用户对移动通信设备，比如移动电话机的物理访问的常规保护机制，在引导设备时，和/或在设备持续预定时间不活动之后，这样的常规机制通常要求输入用户定义的口令；编码版本的口令通常保存在移动通信设备上。按照本发明的一个实施例，为了提高安全性，口令受保护地保存在SIM 120中；在设备引导时，和/或在预定的不活动时间之后，在安全平台客户机135中实现的功能460可要求输入PIN(个人标识号)，例如6位数字。PIN随后和移动通信设备的标识符，例如移动电话机的IMEI一起被传给SIM的鉴权功能435。鉴权功能435检查PIN正确性，并且通过使用移动通信设备标识符，它还可以检查该设备是否有权与SIM交互作用(这可通过检查IMEI和SIM的IMSI标识符的组合是否有效来实现)。功能460适合于在预定次数(例如，可由安全管理员310配置)的错误PIN输入之后，锁住SIM。这样，SIM和移动通信设备都被锁住(为了解锁SIM和移动通信设备，客户或授权用户被要求联系由网络运营商管理的解锁服务)。
文件系统/文件加密功能465适合于加密整个文件系统，或者单个文件或文件夹；在管理外部的可拆卸配套存储器，比如存储卡的移动通信设备方面，这是特别有用的；这样，能够创建安全的数据档案。文件可利用由SIM生成的会话加密密钥加密。可向加密文件添加首标，所述首标包括利用包含在SIM，例如在鉴权功能435中的主密钥加密的加密版本的会话密钥。这样，主密钥决不会被传到受保护的SIM存储器之外。在加密期间，加密功能465调用在SIM中实现的加密功能，例如SAT应用，例如鉴权功能435以明文和加密(clear and ciphered)形式获得用于加密的会话密钥。在解密期间，加密功能465读取加密文件的首标，找出加密的会话密钥，文件首标被传给SIM上的SAT加密功能，SAT加密功能(利用保密主密钥)提供明文的会话密钥。加密功能465使用会话密钥对文件解密。可以使用任意一种已知加密算法：AES、RC6、Blowfish、3DES、或者任何其它的块或流对称加密算法。
只要保证正确地执行平台客户机135，就可以保证在移动通信设备115上实施和核实所需的安全策略。从而，应保证每当打开移动通信设备115时，平台客户机135总是在运行，平台客户机135不能被用户或者被某种恶意软件终止，并且平台客户机135不能被卸载。
为此，当打开移动通信设备时，平台客户机135可以被启动；在Microsoft平台上，这可通过设置适当的注册关键字(HKEY_LOCAL_MACHINE\Init)来实现。为了防止客户机135被终止，可以设计一种监视器设备驱动器，该监视器设备驱动器具有确定平台客户机135的进程是否正在执行中的功能；如果监视器确定平台客户机并未在执行，那么它运行平台客户机135。作为设备驱动器的该监视器不是能够被终止的自主应用，而是在管理移动通信设备的所有设备驱动器的“device.exe”进程的存储空间中被执行。为了终止该监视器，需要终止device.exe进程，不过这样移动通信设备115的负责管理各个外设的所有设备驱动器也会被终止，从而使移动通信设备不可用。优选地，平台客户机135定期向平台服务器140发送利用SIM 120的鉴权功能435生成的MAC恰当签名的心跳消息，从而网络运营商能够容易地检测移动通信设备115的错用。为了安全起见，包含在驻留于SIM上的SAT应用中、并被平台客户机用于签名心跳消息的加密密钥不同于用于核实安全策略和消息的真实性和完整性的那些加密密钥。
上面描述的策略实施平台允许按照依赖于移动通信设备所处环境的方式，修改在移动通信设备上可用的安全策略。为此，使用来自环境感知平台155的信息。环境感知平台155可用于请求应用，比如平台服务器140的事件收集器模块315可以获得与移动通信设备115和/或相应用户的当前环境有关的信息。例如，环境可由多个数据表征，比如：移动通信设备定位(从GSM，和/或UMTS，和/或Wi-Fi，和/或蓝牙的定位系统得到)，移动通信设备的类型(制造商，安装的操作系统，屏幕的类型等等)，可用的通信信道(Wi-Fi，蓝牙，GPRS，EDGE，UMTS等)，诸如移动通信设备的IP地址之类的其它数据。
当不断移动的移动通信设备115的用户进入指定区域，例如限制区时，环境感知平台155通知事件收集器模块315，事件收集器模块315可通过判定特定于该环境的、必须在移动通信设备115上应用的新的安全策略而作出反应；从而，平台服务器140可向移动通信设备115发送请求应用所需安全策略的Action消息。
上面描述的安全策略实施平台适合于支持不同类型的用户/使用者。
第一种支持的用户可以是使用者用户：这种情况下，假定用户不具有管理他/她的移动通信设备的安全所必需的技能水平，安全策略实施平台为管理由移动通信网络运营商预先确定的一组安全策略创造条件。这种安全策略的内容完全由网络运营商负责，网络运营商按照对用户来说透明的方式，例如借助SMS或MMS消息修改/更新安全策略，如前所述。使用者用户最好被允许在任何时候，利用在平台客户机135中提供的图形用户界面选择一组预定定义的安全级别之一，而不必处理对应于不同安全级别的安全策略的细节。例如，可以设计 三种不同的安全级别(不过，安全级别的数目可以更少或更多，并且可使之取决于特定用户)：基本安全级别，中等安全级别和高安全级别。基本安全级别适合于具有足够技能，希望对其移动通信设备保持相对较高控制的用户。中等安全级别适合于保证一定的安全水平，同时仍然给用户留下一定的自由度，例如将蓝牙接口设置成“隐藏”，允许向外的连接但是封闭向内的连接，等等。高安全级别适合于希望使风险降至最低的用户，例如使被认为危险的所有那些功能，比如蓝牙接口和相关服务无效，阻塞向内和向外的连接，禁止应用的自动运行，禁止应用访问消息接发(SMS，MMS)功能，等等。
第二种用户可由企业/公司客户代表：这种情况下，通过移动通信网络运营商提供的平台服务器140的管理接口，企业的雇员的移动通信设备的控制可以完全或者部分委托给企业。例如，企业可能希望阻止移动通信设备的用户修改预定的设置，企业可被持续告知所拥有的移动通信终端的状态，并且可被允许实时地决定在某些移动通信设备上应用哪些安全策略。平台服务器140可具有企业能够通过其监视在拥有的移动通信设备上应用的安全策略的接口(例如，基于web的接口)。
移动通信网络运营商通过收集和处理由平台服务器140的事件收集功能聚集的数据，保持网络和移动通信设备的状态的完全控制。根据所述数据，网络运营商可通过动态修改在所控制的移动通信设备上应用的安全策略而作出反应。可根据从多个不同的平台捕捉的预定类型的事件，修改安全策略。例如，可响应借助安全策略实施平台与之交互作用的已知定位系统确定的、或者根据管制限制区的访问的访问控制系统(例如，证章，生物统计装置)得到的移动通信设备的当前地理位置(住宅，办公室，旅馆等)，修改安全策略，或者安全策略修改可由来自由网络运营商管理的、或者由驻留于移动通信设备上的主机管理的入侵检测/防止系统的信令触发。此外，应用的安全策略的修改可以是从其它安全系统，比如防欺诈系统接收的信令的结果，或者新的恶意软件攻击的存在检测的结果。
仅仅作为示例，下面列举能够导致安装在移动通信设备上的安全策略的修改和/或应用的事件的可能类别。
一种类别的事件包括用户驱动的事件，借助该事件，移动通信设备115的用户(例如使用者用户)个人选择要应用的安全策略；这种情况下，用户可在由网络运营商创建的一组预定安全策略中判定要应用的安全策略。网络运营商也可根据来自它自己的系统或者第三方系统的信令，按照对用户来说完全透明的方式，更新特定安全策略的内容(例如OTA)。用户仅仅选择所需的安全级别，不需要了解将被应用的安全策略的细节，如前所述。
定位驱动的事件可以根据利用已知的GSM/UMTS、Wi-Fi、蓝牙、ZigBee、GPS定位平台，物理访问控制系统等等确定的移动通信设备的地理定位，触发安全策略的自动OTA修改和/或应用。例如，当移动通信设备进入企业的限制区时，安全策略可变化(例如，这种情况下，安全策略可触发数据的加密，禁用照相机，对VPN功能的设置等等)。移动通信设备所处区域的限制级别可被显示在屏幕上。
时间驱动的事件可根据时间，导致指定安全策略的自动OTA修改和/或应用；这种情况下，可根据时间和星期几等，应用不同的安全策略。这对具有预定工作日和工作时间的企业用户有用，以便在工作时间之内/之外启用/禁用移动通信设备的特定应用和/或功能。
终端驱动的事件可响应由安装在移动通信设备上的安全系统产生的信令，导致某些安全策略的自动OTA修改和/或应用；这种情况下，可根据来自防恶意软件应用，入侵检测系统，个人防火墙等的信令，激活预定的安全策略。例如，服务器140接收的经由蓝牙攻击的通知是由安装在移动通信设备上的防恶意软件应用295、个人防火墙290、入侵检测系统发出，并且可以触发为在该移动通信设备上临时禁用蓝牙连接性而提供的安全策略的应用，或者保证更高安全级别的限制性更强的策略的应用。
网络驱动的事件可响应来自移动通信网络的信令，导致预定安全策略的自动OTA修改和/或应用。这种情况下，根据来自不同系统/ 平台，比如防欺诈系统(适合于检测移动通信网络的无线电资源的使用方面的异常)，入侵检测系统(适合于检测经由软件实施的入侵)，入侵防止系统(适合于检测和阻止软件攻击)，网络防恶意软件(适合于检测移动通信网络上的恶意软件)，防垃圾邮件系统(适合于过滤垃圾电子邮件/消息)，防网络钓鱼(phishing)系统(适合于检测目的在于实施银行诈骗的网络钓鱼攻击)，蜜罐(honeypot)/蜜网(honeynet)系统(适合于通过使用为供黑客访问，以便研究其行为方式而设置的假因特网网站和设备，检测和分析软件攻击)，安全公告板等等的信令，确定要应用的安全策略。所有这些信令可以来自移动通信网络，和/或网络运营商，和/或企业用户。这些信令提供可用于确定要应用的更好的安全策略，和将在其上应用这样的安全策略的目标移动通信设备的信息。例如，安全公告板的关于特定软件应用的新弱点或新漏洞利用(exploit)(一段利用弱点制造某种损害的恶意代码)的发布的通知可触发适合于禁止未经数字签名(例如，基于Microsoft，Symbian，OMTP等提出的安全架构)的应用而访问该软件应用的安全策略的应用。作为另一示例，移动通信网络的入侵检测系统可检测与某一协议相关的异常业务流(例如，归因于新的蠕虫扩散)；这种情况下，可应用目的在于重新配置移动通信设备的个人防火墙，以便禁止这种业务流的安全策略。
合作者驱动的事件可响应由经由短程连接，例如经由蓝牙、ZigBee、NFC等与普通移动通信设备连接的其它移动通信设备接收的信令，根据由该普通移动通信设备上的平台客户机135操作的选择，导致预定安全策略的自动应用。就具有短程传播(例如通过蓝牙连接)的恶意软件，闪速蠕虫(由于预先检测易受攻击的主机，因此能够快速传染的蠕虫)来说，这是有益的；这种情况下，集中通知几乎没有无效，因为过于缓慢。就例如由DoS或DDoS攻击导致的移动通信网络的拥塞来说，或者如果移动通信设备在移动通信网络的覆盖范围之外，这种方法也是有益的。
下面，将参考图8说明前面描述的安全策略实施平台的操作，图 8中示意地描述了由平台服务器和平台客户机执行的动作的流程。
平台服务器140(特别地，事件收集器模块315)监听来自不同可能来源的、可能与安全策略实施相关的事件(判定框805)。
当事件被传递给事件收集器模块315时(判定框805的Y分支)，事件收集器模块315过滤该事件，确定与安全策略实施的关联(方框810)。如果该事件是不相关的(判定框815，N分支)，那么忽略该事件。
如果事件是相关的(判定框815，Y分支)，那么事件管理器模块325分析该事件(方框820)，确定要应用的适当安全策略(方框825)，和在其上应用该安全策略的移动通信设备(方框830)。
事件管理器模块325随后通过询问安全策略数据库143，确定选择的安全策略是否已存在于选择的移动通信设备上(判定框835)。
如果确定在移动通信设备上不存在该安全策略(判定框835的N分支)，那么事件管理器模块325准备将分派给移动通信设备的消息，该消息包括选择的安全策略(方框840)；如前所述，用MAC保护该安全策略。
随后利用鉴权功能327鉴权该消息(方框845)，鉴权后的消息被发送到移动通信设备(方框850)。为了发送该消息，策略连接模块330选择最适当的通信信道，并根据选择的通信信道和消息长度，该消息实际上可被分成两个或多个单独传送的片断。
当移动通信设备收到该消息时(方框865)，平台客户机135(特别地，策略管理模块405)检查收到的消息和传送的安全策略的真实性和完整性(方框870)。为此，驻留在SIM 120上的鉴权功能435被调用，并被要求核实消息MAC(以及策略MAC)的正确性(方框875)。如果真实性和完整性被确认，那么该安全策略被保存在本地数据库420中(方框880)。
在向移动通信设备发送选择的安全策略之后，或者如果平台服务器确定选择的安全策略已存在于选择的移动通信设备上(判定框835的Y分支，和连接符840)，平台服务器140的事件管理器模块325 准备一条消息，该消息带有应用指定安全策略的指令(方框885)。利用鉴权功能327鉴权该消息(方框887)，该消息随后被发送给移动通信设备(方框889)。
当移动通信设备收到该消息时(方框891)，策略管理模块405检查接收的消息的真实性和完整性(方框893)。为此，驻留在SIM 120上的鉴权功能435被调用，并被要求核实消息MAC(以及策略MAC)的正确性(方框895)如果来自服务器的消息的真实性被确认，那么策略管理模块405在本地数据库420内查找在消息中指定的安全策略。一旦在本地数据库420中识别出要应用的安全策略，策略管理模块405就调用鉴权功能435，以便再次使用和安全策略保存在一起的策略MAC，评估保存的安全策略的完整性。一旦真实性和完整性被确认，就应用该安全策略，并(由策略实施模块425)控制其实施(方框897)。
在按照上面所述的本发明实施例的平台中，操作上与移动通信设备相关的SIM对检查安全策略的真实性和完整性的功能的使用是一个主要优点；事实上，SIM实现自然的安全机制，比如受保护的存储区，防篡改屏蔽和传感器等，加密功能，由于实施针对SIM的专门攻击所需的设备和技能的缘故，这使针对SIM的专门攻击一般相当昂贵。
此外，通过使用基于SIM的鉴权机制，通过远程利用SAT平台和OTA更新机制，移动通信网络运营商能够安全地管理和更新SIM上的加密密钥。由于在平台服务器140的SAT平台345，借助OTA机制能够实现这种加密密钥管理(撤消、更新等)。
由于安全策略是和相应的MAC一起传送和保存的，因此在移动通信设备本地保存的安全策略的真实性和完整性被保证；这样，通过调用SIM鉴权功能，核实相应的MAC，可检测对安全策略的任何改变。
通过说明本发明的例证实施例，公开了本发明，不过为了满足可能的需要，本领域的技术人员易于作出对所述实施例的修改，以及备 选实施例，而不会因此脱离在所附权利要求书中限定的保护范围。
例如，在备选实施例中，与MAC比较的不同手段可被用于保护安全策略和/或传送安全策略的消息，比如数字签名的机制。
另外，在本发明的备选实施例中，策略和/或消息可被进一步加密，而不是被明文传送和保存。
安全策略规则可按照除XML外的各种备选方式来定义。