对数据指令的更新制造技术

用于根据更新数据更新电子设备（１）的数据指令的方法和电子设备。该方法包括获取用于更新数据指令的更新数据、与该更新数据相关联的元数据、以及与该更新数据和该元数据中的至少一个相关联的至少一个安全机制。然后，通过该安全机制验证该更新数据和该元数据中的任意一个是否被未经授权更改。还公开了用于产生所述更新数据和所述元数据的方法和装置。

【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及根据更新数据安全地更新电子设备的数据指令。
技术介绍
很多电子设备包括处理器和用于执行各种功能的数据指令或软 件。设备越复杂，数据指令就越多。包括用于实现各种功能的数据指令 的这种设备的一个例子是移动电话，它已经经历了从简单的基于语音的 装置到更复杂的多媒体功能的演变，例如，包括语音识别、媒体播放器、消息收发应用、web浏览器以及集成的相机功能，所有这些功能都需要 数据指令。为了提供更复杂的功能，数据指令的复杂度增加了。同时，市场对 具有更强功能的新产品的需要也在增加。这就给制造商带来了关于电子 设备中包括的数据指令的质量和完整性的挑战。由于数据指令复杂度的 增加，当设备被投放市场时出现有缺陷的数据指令的可能性增加。F0TA (空中固件，Firmware Over the Air)是在电子i殳备投放市 场后更新其数据指令的升级或更新技术。当要更新一组数据指令时，产 生更新数据，所述更新数据也称为增量(delta)数据或增量文件。更 新数据包含新数据指令和电子设备上存在的数据之间的不同。因而，向 电子设备发送的是更新数据而不是完整的新数据指令集。随后，可以用 更新数据的内容更新电子设备上存在的数据指令。FOTA升级系统包括三个主要部件-位于数据指令提供者处的增量文件生成工具，所述数据指令提供 者通常是要接收更新数据的电子设备的制造商； - FOTA服务器，更新数据在其上被发布； -客户端，即包括要更新的数据指令的电子设备。 FOTA服务器可以发送更新通知到电子设备以触发更新过程。可替换 地，可以从包含要更新的数据指令的电子设备人工触发该过程。随后， 更新数据被下载到电子设备上。这可以通过两个步骤完成。首先，电子 设备和服务器可以协商下载哪个更新数据。然后，该更新数据被下载并存储到电子设备中。最后，可以将电子设备重启到只有升级客户端在运 行的模式，所述升级客户端可以用更新数据中的内容升级包含数据指令 的存储器。采用F0TA更新的一个问题是提供足够的安全性。已知的是提供服务器和客户端验证。例如，电子设备可以只与电子设备中所识别出的服务器建立F0TA会话，例如通过出现在白名单。例如，服务器可以 由它的i或;也址来才示识。可以用TLS (传输层安全)来实现F0TA协议安全性，所述TLS对服 务器和电子设备之间的通信链路给予了机密性和完整性保护。为了实现 服务器验证，CA(认证机构，Certificate Authority )必须已经向F0TA 服务器发出了服务器认证并且CA根认证必须被安装在电话上。客户端 验证有类似的需求；CA必须已经向电子设备发出了客户端认证并且CA 根认证必须安装在FOTA服务器上。真正的客户端验证需要向各个电子设备发出单独的客户端认证。这 是一个非常昂贵的过程。就移动终端的情况来说，根认证所属的移动终端的制造商能够控制 F0TA服务器。该服务器能够被内部运行或者外包至现有的CA。当FOTA服务器由运营商控制时，可能有两种配置-运营商信任由制造商使用的CA并且接受由制造商发出的服务器 认证；-运营商不信任制造商使用的CA并且想要自己控制根认证。除了需要向运营商控制的FOTA服务器发出服务器认证之外，第一 种情况或多或少地与制造商自己运行FOTA服务器的情况相同。在第二种情况中，根认证由运营商生成，因此它必须是可定制的。 为了支持这种情况下的客户端验证，制造商必须直接从运营商获取客户 端认证或者得到中间的CA认证以便能够自己发出客户端认证。采用现有的安全机制有多种缺陷。首先，对于更新数据缺少端到端的安全性。 一旦增量文件被存储在 服务器上，根据服务器的安全级别，它就被暴露给了潜在的黑客攻击。 因而，增量文件的提供者不得不依赖于服务器上使用的安全性系统。如 果更新数据被更改，则黑客能够更改电子设备中的结果数据指令使得电 子设备变得不可操作。另外，可以使用更新数据在电子设备中插入或启 动病毒攻击。此外，更新数据的一个问题是缺少控制对数据指令的更新的策略机 制。这种机制可以控制允许特定的更新数据被安装到特定的电子设备 上。
技术实现思路
本专利技术的一个目的是为更新数据提供增强的安全性，所述更新数据 用于更新电子设备中存储的数据指令的至少一部分。根据第一方面， 一种用于根据更新数据更新电子设备的数据指令的方法包括获取用于更新数据指令的更新数据；获取与更新数据相关联的 元数据；获取与更新数据和元数据中的至少 一个相关联的至少 一个安全 机制；以及通过该安全机制验证该更新数据和该元lt据中的任意一个是 否已经被未经授权地更改。如果判定更新数据和元数据中的任意一个都没有被未经授权地更 改，则该方法还可以包括步骤读取元数据中包含的至少一个更新标 准；读取电子设备中存储的标识数据；以及确定该标识数据是否满足所 述更新标准。可以向撤销(revocation)状态中心发送撤销状态请求。可以从撤 销状态中心接收到撤销状态响应。然后，可以根据撤销状态响应确定安 全机制是否有效。可以响应更新数据指令的请求执行验证步骤。 更新数据可以被存储在未经授权就不能被访问的存储位置中。 更新数据和元数据可以从^^共数据文件获取。可替换地，可以从第 一数据文件获取更新数据，从第二数据文件获取元数据。可以从第一数 据文件获取用于标识更新数据的第一标识符，可以从第二数据文件获取 用于标识该更新数据的至少 一个第二标识符，该元数据可应用于其上。 然后，可以确定第一标识符是否匹配从第二数据文件获取的任意标识付。根据第二方面， 一种生成用于更新电子设备的数据指令的更新数据的方法包括生成用于更新数据指令的至少 一部分的更新数据；生成包含 用于该更新数据的至少一个更新标准的元数据；以及将安全机制附到更 新数据和元数据中的至少 一个上。用于生成更新数据的方法可以包括并入运营商ID、电子设备标识符、软件版本标识符、软件标识符、电子设备类型标识符、电子设备型 号标识符或者定制标识符中的任意一个作为更新标准。用于生成更新数据的方法还可以包括将撤销状态数据附到更新数 据和元数据中的至少 一个上。更新数据、元数据和安全机制可以被并入公共数据文件中。可替换 地，更新数据被并入第一数据文件、元数据被并入第二数据文件。还可 以在第 一 和第二数据文件的每 一 个中提供用于标识更新数据的标识对付。根据第三方面， 一种用于根据更新数据更新电子设备的数据指令的电子设备包括更新单元，它被配置用来获取用于更新数据指令的更新 数据；获取与更新数据相关联的元数据；获取与更新数据和元数据中的 至少 一个相关联的至少一个安全机制；通过该安全机制验证更新数据和 元数据中的任意一个是否被未经授权地更改。该电子设备可以被配置用来读取元数据中包含的至少 一个更新标 准；读取电子设备中存储的标识数据；以及确定该标识数据是否满足更 新标准。该电子设备可以另外包括验证单元，它被配置用来向撤销状态中 心发送撤销状态请求；从撤销状态中心接收撤销状态响应；以及从撤 销状态响应确定安全机制是否有效。该更新单元可被配置用来从公共数据文件获取更新数据和元数 据。可替换地，该更新单元可以被配置用来从第一数据文件获取更新 数据，从第二数据文件获取元数据；从第一数据文件获取用于标识更新 本文档来自技高网...

【技术保护点】
一种用于根据更新数据更新电子设备（１）的数据指令的方法，包括：　　　　获取用于更新数据指令的更新数据；　　　　获取与该更新数据相关联的元数据；　　　　获取与该更新数据和该元数据中的至少一个相关联的至少一个安全机制；以及　　　　通过该安全机制验证该更新数据和该元数据中的任意一个是否已经被未经授权地更改。

【技术特征摘要】
【国外来华专利技术】EP 2005-4-11 05007884.9;US 2005-4-21 60/673,6961、一种用于根据更新数据更新电子设备(1)的数据指令的方法，包括获取用于更新数据指令的更新数据；获取与该更新数据相关联的元数据；获取与该更新数据和该元数据中的至少一个相关联的至少一个安全机制；以及通过该安全机制验证该更新数据和该元数据中的任意一个是否已经被未经授权地更改。2、 根据权利要求1的方法，如果验证该更新数据和该元数据中的 任意一个都没有被未经授权地更改的话，则该方法还包括步骤读取该元数据中包含的至少一个更新标准； 读取电子设备(1)中存储的标识数据；以及 确定该标识数据是否满足所述更新标准。3、 根据权利要求1或2的方法，还包括 向撤销状态中心(145、 146)发送撤销状态请求； 从撤销状态中心接收撤销状态响应；以及根据该撤销状态响应确定该安全机制是否有效。4、 根据前述任一权利要求的方法，包括 响应更新数据指令的请求执行验证步骤。5、 根据前述任一权利要求的方法，包括将更新数据存储在未经授权就不能被访问的存储位置(12)上。6、 根据前述任一权利要求的方法，包括 从公共数据文件(100)中获取所述更新数据和所述元数据。7、 根据权利要求1到5中任意一个的方法，包括 从第一数据文件(110)获取所述更新数据，从第二数据文件(12 0)获取所述元数据；从第一数据文件获取用于标识该更新数据的第 一标识符； 从第二数据文件获取用于标识更新数据的至少一个第二标识符，该元数据可应用于其上；以及确定该第 一标识符是否匹配从第二数据文件获取的任意标识符。8、 一种产生用于更新电子设备的数据指令的更新数据的方法，包 括产生用于更新数据指令的至少 一部分的更新数据；产生包含用于该更新数据的至少 一个更新标准的元数据；以及将安全机制附到该更新数据和该元数据中的至少 一个上。9、 根据权利要求8的方法，包括并入运营商ID、电子设备标识符、 软件版本标识符、软件标识符、电子设备类型标识符、电子设备型号标 识符或定制标识符中的任意 一个作为更新标准。10、 根据权利要求8或9的方法，包括将撤销状态数据附到所述更 新数据和所述元数据中的至少 一个上。11、 根据权利要求8到10中任意一个的方法，包括将所述更新数 据、所述元数据和所述安全机制并入公共数据文件(1QQ)中。12、 根据权利要求8到11中任意一个的方法，包括将所述更新数 据并入第一数据文件(110)中，将所述元数据并入第二数据文件(120) 中，并在第一和第二数据文件的每一个中提供用于标识所述更新数据的 标识符。13、 一种用于根据更新数据更新电子装置(1)的数据...

【专利技术属性】
技术研发人员：S安德森，M利韦尔，P扬，
申请(专利权)人：索尼爱立信移动通讯股份有限公司，
类型：发明
国别省市：SE[瑞典]