以无线方式对具有独立升级软件的移动装置安全升级.pdf

本发明涉及一种对具有独立升级软件(28)的移动装置(4)进行安全升级的方法，在独立升级软件(28)未被激活时，所述移动装置(4)不能使用该独立升级软件(28)。所述方法包括步骤：将其唯一识别号码发送到移动装置管理设备；计算移动装置加密身份和管理设备加密身份；仅发送独立升级软件(28)和计算出的管理设备加密身份；所述移动装置计算激活加密身份和激活解密身份；将计算出的激活解密身份与所述激活加密身份进行比较；在得到肯定的比较结果的情况下，激活独立升级软件(28)以备所述移动装置(4)使用。

1.  一种对属于具有独立升级软件(28)的多个移动装置中的一个移动装置(4)进行安全升级的方法(30)，在独立升级软件(28)未被激活时，所述移动装置(4)不能使用该独立升级软件(28)；
为每一移动装置(4)提供：包含用来单独地将移动装置(4)与其它移动装置进行区分的唯一识别号码的装置处理器(8)、用于与移动装置管理设备(6)进行通信的装置通信接口(16)、包含当前装置操作软件并且被用来存储由移动装置管理设备(6)以无线方式发送过来的独立升级软件(28)的存储单元(10)、用于计算激活加密身份的移动装置加密处理器(14)和用于计算激活解密身份的解密处理器(12)；
所述移动装置管理设备(6)包括：管理设备处理器(20)、用于与移动装置进行通信的管理设备通信接口(24)和用于计算移动装置加密身份和管理设备加密身份的管理设备加密处理器(19)；
其中，针对每一移动装置(4)，所述方法(30)包括如下步骤：
将移动装置的唯一识别号码发送(34)到移动装置管理设备(6)；
所述移动装置管理设备(6)使用带密钥的hash函数根据独立升级软件(28)和唯一识别号码来计算(38)移动装置加密身份；并且使用仅被移动装置管理设备(6)所知的加密私钥根据所述移动装置加密身份来计算(40)管理设备加密身份；
以无线方式仅发送(42)独立升级软件(28)和计算出来的管理设备加密身份；
所述移动装置使用带密钥的hash函数根据所发送的独立升级软件(28)和其内部移动装置唯一识别号码计算(44)激活加密身份；
根据所发送的管理设备加密身份计算(46)激活解密身份；
将计算出来的激活解密身份与所述激活加密身份进行比较(48)；以及
在得到所述激活解密身份与所述激活加密身份的肯定的比较结果的情况下，激活(50)独立升级软件(28)以备所述移动装置(4)使用。

2.  如权利要求1所述的方法(30)，其中，在将所述移动装置(4)的唯一识别号码发送到移动装置管理设备(6)之前对其进行加密；并且在计算第一加密身份之前使用仅被移动装置管理设备(6)所知的私钥对经加密的唯一识别号码进行解密。

3.  如权利要求1或2所述的方法(30)，其中，在所述激活解密身份与所述激活加密身份为肯定的比较结果的情况下，通过使装置处理器(8)访问包含独立升级软件的存储单元(10)的存储地址，从而激活独立升级软件(28)。

4.  如权利要求1至3中任一项的方法(30)，其中，在所述激活解密身份与所述激活加密身份的为否定的比较结果的情况下，使装置处理器(8)访问包含当前装置操作软件的存储单元(10)的存储地址。

5.  一种包括多个移动装置和移动装置管理设备(6)的系统(2)；
每个移动装置(4)均包括：包含用来单独地将移动装置(4)与其它移动装置进行区分的唯一识别号码的装置处理器(8)、用于与移动装置管理设备(6)进行通信的装置通信接口(16)、包含当前装置操作软件并且被用来存储独立升级软件(28)的存储单元(10)、用于计算激活加密身份的移动装置加密处理器(14)和用于计算激活解密身份的解密处理器(12)；
所述移动装置管理设备(6)包括：管理设备处理器(20)、用于与移动装置(4)进行通信的管理设备通信接口(24)和用于计算移动装置加密身份和管理设备加密身份的管理设备加密处理器(19)；
其中，所述装置处理器(8)和管理设备处理器(20)被设计来实施根据权利要求1至4之一的对属于具有独立升级软件(28)的多个移动装置中的一个移动装置(4)进行安全升级的方法(30)。

6.  一种移动装置(4)，其包括：包含用来单独地将移动装置(4)与其它移动装置进行区分的唯一识别号码的装置处理器(8)、用于与移动装置管理设备(6)进行通信的装置通信接口(16)、包含当前装置操作软件并且被用来存储由移动装置管理设备(6)以无线方式发送过来的独立升级软件(28)的存储单元(10)、用于计算激活加密身份的移动装置加密处理器(14)和用于计算激活解密身份的解密处理器(12)；
其中，所述装置处理器(8)被设计来实施根据权利要求1至4之一的对属于具有独立升级软件(28)的多个移动装置中的一个移动装置(4)进行安全升级的方法(30)。

7.  一种移动装置管理设备(6)，其包括：管理设备处理器(20)、用于与移动装置(4)进行通信的管理设备通信接口(24)和用于计算移动装置加密身份和管理设备加密身份的管理设备加密处理器(19)；
其中，所述管理设备处理器(20)被设计来实施根据权利要求1至4之一的对属于具有独立升级软件(28)的多个移动装置中的一个移动装置(4)进行安全升级的方法(30)。

以无线方式对具有独立升级软件的移动装置安全升级
技术领域
本发明涉及以无线方式对属于具有独立升级软件的多个移动装置中的一个移动装置进行安全升级，在独立升级软件未被激活时，所述移动装置不能使用该独立升级软件。
背景技术
移动电话网络运营商和移动装置制造商不断地将安全特征添加到移动装置，以防止黑客攻击和复制软件，所述软件用来实现为顶级移动装置所保留的某些功能或应用。所述软件通常实现了具有全部特征的移动装置专有的选项或服务。所述软件随后被复制到功能受限的移动装置以提高该移动装置上的可用应用程序的数量。这导致了侵犯知识产权，以及移动装置提供商和移动电话网络运营商损失收入。
当移动电话网络运营商和移动装置制造商需要主动保护移动装置的软件内容时，它们同时需要能够以无线方式更新或升级已经被投入市场的移动装置的软件内容。以无线方式对装置中的软件或固件进行的更新被用于对驻留在装置中的现有代码的错误或问题进行校正，添加新特征或功能或修改驻留的应用程序。
当前通过使用开放移动联盟设备管理(OMA-DM)规范来实现以无线方式对设备中的软件或固件进行的更新。然而，OMA-DM只允许对设备型号所属的软件或固件进行升级。该固件升级对于属于型号相同的一组移动装置的每一移动装置来说是相同的。
这对于需要能够以无线方式更新或升级单独的目标移动装置的软件的移动装置提供商和移动电话网络运营商来说是不令人满意的。这允许处理单独的装置问题，允许以无线方式为单独的客户提供服务和应用，并且区分允许建立忠实客户基础的客户。
US 6832373描述了用更新数据包更新多个分布式电子装置的系统。更新服务器接收与电子装置的型号和电子装置当前所使用的软件的版本有关的信息，并且更新服务器随后将可用的通用更新数据包发送到电子装置。在发送期间对更新数据包加密，并且由电子装置在解密且验证发送期间未出现错误之后执行该更新数据包。然而，不能防止从该电子装置复制更新数据包且在另一电子装置上执行该更新数据包，并且独立移动装置不能专门被指定为更新数据包的目标。
因此，需要能够单独地升级移动装置的软件，而同时对移动装置中所包含的该软件提供足够的保护，以防止外部入侵和黑客攻击。
发明内容
本发明的一个目的是提供一种对属于具有独立升级软件的多个移动装置中的一个移动装置进行安全升级的方法。
在从属权利要求中给出了接口设备的其它特征。
附图说明
将结合附图根据以下更详细的描述来对本发明的上述目的、特征和其它优点进行最佳理解，其中：
图1是对属于具有独立升级软件的多个移动装置中的一个移动装置进行安全升级的系统的示意性框图；以及
图2是对属于具有独立升级软件的多个移动装置中的一个移动装置进行安全升级的方法的流程图。
附图中，相同的参考标号被用来指示相同的元件。
具体实施方式
根据本发明的对属于具有独立升级软件的多个移动装置中的一个移动装置进行安全升级的方法适于与以无线方式与多个移动装置进行通信以执行例如远程管理或装置配置的装置管理服务器、中央单元或基站一同使用。该方法适于与诸如移动电话机、个人数字助理(PDA)或通过传输协议连接到网络的任何装置之类的任何移动装置一起使用，所述传输协议诸如超文本传输协议(HTTP)、无线应用协议(WAP)或对象交换协议(OBEX)。
图1是根据本发明的对属于具有独立升级软件的多个移动装置中的一个移动装置4进行安全升级的系统2的示意性框图。
系统2包括多个移动装置4和移动装置管理设备6。当前实施例中的装置4例如是移动电话机，并且移动装置管理设备6使用射频通信以无线方式与移动装置的网络进行通信的中央服务器，并且移动装置管理设备6使用开放移动联盟设备管理规范执行中央移动装置管理。
系统2包括一对由非对称密钥加密系统RSA所使用的加密密钥(一个公钥和一个私钥)。公钥被存储在移动装置4中。私钥被安全地存储在设备6中。这对密钥可由网络运营商所拥有或由移动装置制造商所拥有。
每个移动装置4均包括具有唯一识别号码的装置处理器8、具有装置操作软件11的存储单元10、解密处理器12、移动装置加密处理器14、和适于以无线方式与移动装置管理设备6进行通信的装置通信接口16，所述唯一识别号码将该移动装置4与系统2的任何其它移动装置4唯一地区分开，并且将其从所述其它移动装置4中单独地识别出来。
装置处理器8是包括在半导体材料的衬底上制造的半导体电子器件的集成电路。装置处理器8适于控制存储单元10、解密处理器12、移动装置加密处理器14、和装置通信接口16以及在这些移动装置器件之间的通信。装置处理器8还以无线方式通过通信接口16与移动装置管理设备6通信。
该装置处理器8包括具有唯一识别号码的可编程只读存储器(PROM)或一次性可编程(OTP)存储器。唯一识别号码至少具有128比特，并且在制造装置处理器8期间被永久写入。唯一识别号码包含制造工厂的标识符、批号、晶片号码、和晶片上的处理器的位置。唯一识别号码是不能被修改或擦除的，并且可使用装置操作软件11在预定寄存器地址处读取该唯一识别号码。每一移动装置4中的每个装置处理器8均包含不同的唯一识别号码，并且没有两个装置处理器8具有相同的唯一识别号码。PROM(或OTP)还包含RSA公钥。该公钥在移动装置的制造期间被存储在PROM中。该公钥对于所有移动装置4是相同的。密钥长度将至少是1024比特。
存储单元10是包含装置操作软件11的非易失性闪存，每当移动装置被上电/打开时，就由所述装置处理器8执行所述装置操作软件11。装置操作软件11包括激活移动装置应用程序、功能、和服务从而使移动装置处于备用状态的指令。装置操作软件另外建立与通信网络18的通信、和在移动装置4与移动装置管理设备6之间的消息通信。
装置通信接口16包括能够使用射频通信的接收器-发射器。解密处理器12适于实现加密算法。在当前实施例中，采用了RSA公钥加密算法。RSA公钥加密算法是公知的并且将不被详细描述。其它细节可参见以下文献：在http://www.rsasecurity.com中可得到的PKCS#1：RSA Cryptography Standard。移动装置加密处理器14适于计算带密钥的hash函数(keyed hash function)，并且在当前实施例中，移动装置加密处理器14采用了带密钥的安全hash算法SHA-1。带密钥的安全hash算法SHA-1是公知的并且将不被详细描述。其它细节可参见以下文献FIPS-180-2：在http://csrc.iist.gov/中可得到的Secure Hash Standard(SHS)-2002。
移动装置管理设备6包含管理设备加密处理器19、管理设备处理器20、存储单元20、和管理设备通信接口24，该管理设备通信接口24包括能够使用射频与移动装置4通信的监视器-发射器。
管理设备处理器20适于控制管理设备加密处理器19、存储单元22、和管理设备通信接口24。管理设备处理器20还适于通过管理设备通信接口24与任一移动装置4进行通信。管理设备处理器20使用开放移动联盟设备管理(OMA-DM)规范实现中央移动装置管理。OMA-DM设置了移动装置和移动装置管理设备6之间的数据交换，其允许对移动装置进行远程配置和管理。可在以下文献中找到开放移动联盟设备管理的细节：SyncML Device Management BootstrapOMA-SyncML-DM-Bootstrap-V1_1_2-20031209-A.pdf，SyncMLRepresentation Protocol OMA-TS-SyncML-DataSyncRep-V1_2-20060316-C.pdf，SyncML Data Sync Protocol OMA-TS-DS_Protocol-V1_2-20060316-C.pdf，Device Management Conformance RequirementsOMA-SyncML-DMConReqs-V1_1_2-20030613-A.pdf，SyncMLRepresentation Protocol Device Management Usage OMA-SyncML-DMRepPro-V1_1_2-20030613-A.pdf，SyncML Device ManagementStandardized Objects OMA-SyncML-DMStdObj-V1_1_2-20031203-A.pdf和SyncML Device Management Tree and Description OMA-SyncML-DMTND-V1_1_2-20031202-A.pdf，这些文献全部都可以从http://www.openmobilealliance.org得到。
存储单元22包括具有升级软件28的硬盘驱动器22。升级软件包括例如实现了装置操作软件的升级版本的软件程序、目的是对一个移动装置4的专有错误进行纠正的软件补丁、最初未包括在移动装置4的初始版本中的新应用程序、已经在装置4上变得可用且可被实现的新功能或新服务。升级软件28的目的是用于多个移动装置中的个别移动装置4。例如，升级软件28的目的是对一个移动装置4的专有错误进行纠正。
管理设备加密处理器19适于实现RSA私钥加密算法，并且适于计算带密钥的安全hash算法SHA-1。为了避免盗版，RSA私钥被安全地存储在移动装置管理设备6内。在当前实施例中，私钥被安全地存储在存储单元22内。在替代实施例中，私钥被安全地存储在电子芯片或加密狗(dongle)中。
图2是对属于具有独立升级软件28的多个移动装置中的一个移动装置4进行安全升级的方法30的流程图。在独立升级软件未被移动装置4成功识别和激活时，移动装置4不能使用独立升级软件28。
移动装置4使用RSA加密算法和公钥来加密32其唯一识别号码，并且移动装置4将经加密的唯一识别号码发送34到移动装置管理设备6。在当前实施例中，可以通过使被发送到移动装置管理设备6的“DevInfo节点”的数据中包括经加密的装置唯一识别号码来实现，这一过程是OMA-DM会话的一部分。经加密的唯一识别号码可被插入DevInfo节点中可用的“EXT”扩展字段。
使用RSA算法和仅被移动装置管理设备6所知的私钥来解密36经加密的唯一识别号码。
移动装置管理设备6使用带密钥的SHA-1 hash函数根据独立升级软件28和唯一识别号码来计算38移动装置加密身份，其中，唯一识别号码被用作密钥。将带密钥的SHA-1 hash函数以二进制格式应用于独立升级软件28。在当前实施例中，带密钥的SHA-1 hash函数的结果是169比特的序列。所得到的移动装置加密身份是对独立的移动装置唯一的签名。
移动装置管理设备6其后使用RSA加密算法和仅被移动装置管理设备6所知的加密私钥来根据移动装置加密身份计算40管理设备加密身份。所得到的管理设备加密身份是对移动装置唯一的安全签名。
移动装置管理设备6仅将二进制格式的独立升级软件28以及计算出来的管理设备加密身份以无线方式发送42到移动装置4。
移动装置4使用带密钥的SHA-1 hash函数根据所发送的独立升级软件28以及处理器8中的被用作带密钥的SHA-1 hash函数的密钥的内部移动装置唯一识别号码来计算44激活加密身份。
移动装置4使用RSA加密算法和加密公钥根据所发送的管理设备加密身份来计算46激活解密身份。移动装置4将计算出的激活解密身份与激活加密身份进行比较48，并且在得到激活解密身份与激活加密身份的肯定的比较结果的情况下，激活50独立升级软件28以备移动装置4使用。通过使装置处理器8访问52在移动装置下一次打开时存储了独立升级软件28的存储单元10的存储地址，来激活独立升级软件28。在激活解密身份与激活加密身份的比较结果为否定的比较结果的情况下，使装置处理器8访问包含当前装置操作软件的存储单元10的存储地址。通过执行方法步骤44、46、48、50、和52或54来在每次启动移动装置4时检查被升级的软件的完整性。
在替换实施例中，在将移动装置4的唯一识别号码发送到移动装置管理设备6之前不对该唯一识别号码进行加密。
根据本发明的方法30允许从用于升级的多个移动装置中选择一个作为目标的独立移动装置4的软件，并且允许所述软件安全地升级，对被升级的软件加以保护以防止外部黑客攻击和复制。移动装置加密身份是对独立移动装置唯一的签名，移动装置加密身份允许独立升级软件28被以无线方式发送却仅由所期望的和作为目标的移动装置4使用。将防止全部其它移动装置使用独立升级软件28，因为使用它们的唯一识别号码计算激活加密身份将导致与激活解密身份不匹配。管理设备加密身份是对移动装置供应商或移动装置网络运营商唯一的签名，因此允许多个移动装置供应商或移动装置网络运营商安全地使用根据本发明的方法30。在黑客将独立升级软件28复制到他们的移动装置4上时，独立升级软件28保持不可用，因为所述黑客不知道用于形成所述管理设备加密身份的私钥。另外，黑客将不知道从中复制了独立升级软件28的移动装置的经加密的唯一识别号码。因此，同时实现了具有升级软件和对升级软件的黑客攻击和复制具有足够防护能力的独立移动装置的目标。