专利名称:用于证书翻转的方法及装置的制作方法
技术领域:
本发明涉及用于在装置中从第一受信证书(trusted certificate)到第 二受信证书进行证书翻转(certificate roll-over)的方法及装置。
背景技术:
在电子装置中,例如移动终端中,可以用PKI(公钥基础设施)方 案来增加接收自外部实体的信息的信任等级。
PKI方案包括数字受信证书,它由证书管理^/L构(CA)颁发,并可 以包括装置的名称或标识、序号、到期日和公钥。
受信证书由CA使用受信证书的私钥来签名,以防止对它的修改 或伪造。受信证书的签名的可靠性,以及证书的CA能否纟皮信任,能 够通过检验用来生成签名的证书而确定。此证书链最终结束于根证 书。
用于电子装置的软件包可以由制造商使用其根证书或与根证书 相关的受信证书的私钥来签署。签名可以是与软件包相关的数据的、 通过私钥生成的校验和。附有签名的软件包可以在例如制造装置时 安装在装置的存储器内。
附到软件包的签名可以用来验证计算机黑客是否对软件包打了 补丁 。软件包的数字签名可以使用来自与根证书相关的受信证书的 公钥来验证。如果验证失败,则软件包已经被"黑"。然而,验证 需要访问受信证书及其相关公钥。受信证书及其相关公钥可以预先 安装在电子装置内或在被索要时传送到电子装置。
如果确定软件包已经被"黑",就会生成经更新的软件包并分 发到电子装置。附在经更新的软件包上的数字签名,可以通过与第 二受信证书相关的私钥而生成。
更新软件可以分发到使用例如FOTA(固件空中升级)服务的电子 装置上。为验证经更新的软件包,第二受信证书及其相关公钥须被 分发到电子装置上。这可以通过例如将第二受信证书及其相关公钥 在消息中发送来完成。然而,使用其中i送证书的方案会涉及未授 权方代替授权方发送证书到电子装置上的风险。
一旦经更新的软件安装在电子装置中,就须进行证书翻转过程。 证书翻转过程确保第二受信证书代替先前使用的受信证书而被使 用。然后,可用笫二受信证书的7>钥来验证已更新的软件包的签名。
还需要做的就是撤销笫 一 受信证书,使得第 一 软件包不可重新 使用。撤销可以使用撤销机制,诸如CRL(证书撤销清单)或OCSP(在 线状态控制协议)等来实行。然而,这些撤销机制存在这样的问题, 即它们或者需要电子装置上的大容量存储空间(CRL),或者需要持续 的网络接入(OCSP)。
另外,如果受信证书已经失密,存在受信证书被翻转成被黑客 控制的新受信证书的风险。因此,需要低廉且快速的方法来使证书 在许多设备中进行翻转,同时获知没有它方已能够引入其自己的证 书。然而,已知的本领域内的证书翻转机制既不低廉也不快速。如 果受信证书必须被管理并分发到许多电子设备中,这一点就特别确 切。并且,也许不知道未授权方是否已能够将其自身的证书引入到 电子装置中。
发明内容
本发明的目的在于提供翻转机制以在电子装置中进行从第 一受 信证书到第二受信证书的翻转。
第一方面,用于在电子装置中从第一受信证书到第二受信证书
进行翻转的方法包括在电子装置中获取包含用来识别笫二受信证 书的标识数据的信息。预装在电子装置中的第二受信证书会基于标 识数据而祐L激活。
获取信息的步骤可以包括获取用来识别多个受信证书之一的标 识数据,这多个受信证书预装在受信证书阵列内,其中之一可以在 当时^支、激活。
获取步骤可以包括接收包含信息的消息。该消息可以是PUSH 消息(push message)。
激活步骤可以包括用第二受信证书的密钥来验证附在信息上的 签名。
获取步骤可以包括从信息中取到标识数据的值,并使用该值来 识别指向第二受信证书的指针或地址。
激活步骤还可以包括重发保护检查(replay protection check)。
激活步骤可以包括确定标识数据的值是否超过证书计数器值, 该值识别受信证书阵列中的第 一受信证书。仅在标识数据的值超过 证书计数器值时才激活笫二受信证书。
激活步骤可以包括检查标识数据的值是否超过预定的最大值。
激活步骤可以包括从存储器的存储区域访问第二受信证书,该 存储器只在电子装置的启动期间才是可写询。
第二方面,用于进行从第一受信证书到第二受信证书的翻转的 电子装置包括信息获取单元和翻转单元,前者适于获取包含用来识 别第二受信证书的标识数据的信息;,后者适于根据标识数据来激 活预先安装在电子装置中的第二受信证书。
信息获取单元适于获取用来识别多个受信证书之 一 的标识数 据,该多个受信证书预装在受信证书阵列内,其中之一可在当时激
信息获取单元可适于接收包含信息的消息。该消息可以是PUSH 消息。
翻转单元可适于用第二受信证书的密钥来验证附在信息上的签名。
信息获取单元可适于从信息中取到标识数据的值,而翻转单元 适于用该值来识别指向第二受信证书的指针或地址。 翻转单元可适于进行重发保护检查。
翻转单元可适于确定标识数据的值是否超过证书计数器值,该 值识别受信证书阵列内的第一受信证书,并仅在标识数据的值超过 证书计数器值时才激活第二受信证书。'
翻转单元可适于检查标识数据的值是否超过预定的最大值。
翻转单元可适于从存储器的存储区域访问第二受信证书,该存 储器只在电子装置的启动期间才是可写的。
第一受信证书和第二受信证书可为根证书。
电子装置可以是便携或手持的移动无线通信设备、移动无线终 端、移动电话、寻呼机、通信装置、电子管理器、智能电话、计算 机、SIM卡或智能卡。
第三方面,计算机程序产品包含计算机程序代码部件,在该计 算机程序代码部件由具有计算机功能的电子设备运行时,它就用来 执行根据本发明的方法。
本发明的其它实施例在从属权利要求.中规定。
本发明的优点在于,从第一受信证书到第二受信证书的翻转可 以进行得快速而成本低廉。其优点还在于翻转机制是安全的。
需要强调,在说明书中使用用语"包括/包含"时,其用来表明 所宣称的特征、整体、步骤或部件的存在,但不排除存在或增加一 个或多个其它的特征、整体、步骤.部件或其组合。
参考附图,本发明的更多目的、特征和优点将从下文的本发明
的详细实施例中变得显而易见,其中
图1是连接到网络的电子装置的正视图2是电子装置的方框图3a是生成翻转信息的流程图3b是用来从第一受信证书到第二受信证书进行翻转的方法的 流程图4a至图4b是带当前证书标志的受信证书阵列的示例的方框
图5a至图5b是带当前证书标志的受信证书阵列的另一示例的 方框图6a至图6b是带当前证书标志的受信证书阵列的另一示例的 方框图。
具体实施例方式
图1表示电子装置1。电子装置1可以是例如便携或手持的移动 无线通信设备、移动无线终端、移动电话、寻呼机、通信装置、电 子管理器、智能电话、计算机、SIM(用户识别模块)卡或智能卡。电 子装置可以是有线或无线的通信装置。它还可以连接到有线或无线 通信网络2,例如WAN(广域网)或远程通信网络,诸如GSM(全3求移 动通信系统)、WCDMA(宽带码分多址)或PDC(个人数字蜂窝)远程通 信网络。 -
服务器3可以连接到网络2。服务器3可以是CA服务器,适于 管理受信证书。可选地,服务器3由运营商控制,它管理(例如)证书 翻转。
根据本发明,电子装置1包括预先安装在存储器IO(图2)内的至 少第一受信证书和至少笫二受信证书。如果希望从第一受信证书到
第二受信证书进行翻转,则进行所述翻转的指示被传递给电子装置 1。
受信证书可以是根证书。可选地,受信证书可以是与根证书相 关并最终结束于根证书的证书链中的证书。
为了以可控的方式进行翻转,需要在电子装置1中获得翻转信 息,该信息包含用来识别需激活的笫二受信证书的标识数据。然后, 预先安装在电子装置中的笫二受信证书能够基于所述标识数据而激 活。将至少第一受信证书和至少第二受信证书预装在电子装置1中 会是有利的,因为在许多器件中翻转可以变得低廉而快速。另外, 受信证书不必传递到电子装置,将受信证书传递到电子装置不仅需 要大量网络资源,还需要管理新的受信证书。预装的受信证书还具 有安全的优点,因为它可以防止翻转到由计算机黑客传递并控制的 证书。
电子装置1可适于拒绝接受任何发送给它的证书。如果当前所 用的受信证书已被黑客窃密,则存在受信证书翻转成由计算机黑客 控制证书的风险,如果新证书基于现有技术来发送并安装的话。利 用本发明,可以确定没有他方能够引入其自身的证书,因为只可能 对预装的受信证书进行翻转。
翻转信息可以用多种方式传递到电子装置1上。例如,翻转信
息可以在PUSH消息内从服务器3发送给电子装置1。 PUSH消息可 以是例如SMS(短消息服务)、EMS(增强型消息服务)或MMS(多i某体 消息服务)消息。消息可以包括翻转信息和消息类型标志,后者用来 识别这是携带翻转信息的消息。可选地,翻转信息可以在WAN上传 递,例如在因特网上传递。还有一种方式是将包含翻转信息的可移 除存储器件插入电子装置1内。可移除的存储器件可以是例如记忆 棒、记忆卡或者SM(用户识别模块)卡或智能卡。因此,SIM卡或智 能卡可以用来实现电子装置1以及获取翻转信息。并且,还可以在 短距离无线链路中发送翻转信息,例如在蓝牙⑧或IR(红外)链路中。
还可以将电子装置1通过电线连接到服务器3,翻转信息可以在电线 上发送。
通过在电子装置中接收PUSH消息来获取翻转信息具有这样的 优点,即翻转信息可以同时从服务器3传递到许多电子装置。并且, PUSH消息能够成本低廉地被传递,因为它包含了相对少的数据,且 因此只需要相对少的网络资源。
在一个实施例中,电子装置1包括多个(例如5-10个)受信证书, 可用于或专用于相同目的。用于相同目的的根证书可以预装在根证 书(图4a至图4b、图5a至图5b、图6a至图6b)阵列中。 一个阵列的 根证书中可以只有一个在当时是有效的。可选地,阵列中也可以多
于 一 个的有效根证书在当时是有效的。阵列中的受信证书可终止于 相同的或不同的根证书。
在另一实施例中,电子装置1包括多于一个受信证书阵列,它 们可用于或专用于相同的目的。每个阵都包括至少第 一 受信证书 和至少第二受信证书,根据本发明,它们之间可以进行翻转。
在又一实施例中,电子装置1包括一个或多个受信证书阵列, 其可用于或专用于相同的目的。并且,电子装置可以包括一个或多 个单独受信证书,它们各自可以与任何阵列的受信证书同时有效。 一个或多个单独证书可以对阵列的受信证书为之有效的目的之外的 其它目的有效。
证书计数器(CC)15可用来识别当前有效的受信证书。CC的值可 识别当前有效受信证书在阵列内的位置。例如,如果在阵列内受信 证书数字3是有效的,则CC的值等于3。因此,翻转信息的标识数 据可以是标识符或数字,例如整数,它识别待激活的受信证书在阵 列内的位置。标识符可以映射到存储在电子装置中的证书表的指针 或地址。各指针或地址与受信证书在阵列内的顺序相关联。
为进一步增加安全性,可以提供翻转信息的完整性保护。数字 签名(例如校验和)可被附在翻转信息上。在使用翻转信息内的任
何数据之前,可以检查翻转信息的完整性。附在翻转信息上的数字
签名可以由服务器3使用在翻转信息中识别的受信证书的私钥生成。 例如,当前有效受信证书需要从证书[1]改变成证书[2]。因此,CC的 值会从CC-1更新到CC=2。证书[2]的私钥已经用来生成附在翻转信 息上的数字签名。所附的签名可以在电子装置1中通过生成所获得 的翻转信息的数字签名来验证,该数字签名使用了在翻转信息中识 别的受信证书的公钥。如果所获得的和所生成的签名匹配,翻转信 息就通过验证。当翻转信息通过验证后,它可以^皮应用。
当先前使用的受信证书不再有效时,它会变成无用的。存储先 前使用的受信证书的存储区或寄存器可能会通过修改证书的至少一
部分数据而被至少部分地重写。受信证书的数据可以例如从"r变成
"0"。
设置重发保护检查来防止先前使用的受信证书被重新使用,也 可增加安全性。在翻转信息被使用前,可以确定标识数据的值。然
后,可以确定存储在电子装置中的证书it数器值,例如CC=1。只有
当标识数据的值超过证书计数器值时,翻转程序才进行。在本例中,
标识数据的值"2"超过证书计数器值"1",可以开始从受信证书 "证书[l]"翻转到受信证书"证书[2]"的翻转程序。
在另 一 实施例中,由包括在翻转信息内的时间标记提供了重发 保护。电子装置1可以存储任何先前使用的和当前使用的受信证书 的时间标记。如果翻转信息的时间标记未超过^f壬何所存^l的时间标 记,翻转程序就不启动。可选地,所获得的时间标记可以与安全时 钟(secure clock)或计数器的值相比较。如果所获得的时间标记的 值超过安全时钟或计数器的值,并大于预定值,则翻转程序不启动。
在又一实施例中,由询问-回答程序提供了重发保护机制。电子 装置1询问服务器3,而服务器3发出应答。直到接收到正确的回答 才开始使用翻转信息。 '"
为确保将要被翻转到的受信证书确实已预装在电子装置中并存
在,可进行最大证书检查。预定的最大当前证书值max—C可存储在 电子装置1中。标识数据的值可以与max—C比较。如果标识数据的 值超过max一C,则翻转程序不进行。
图2表示电子装置1,其中可包括接收器11。该接收器适用于 与网络2通信。它可以是无线或有线接收的接收器。信息获取单元12 可以连接到接收器11上,并可从中获取翻转信息。电子装置可以包 括一个或多个存储器,它们合在一起以存储器10表示。存储器10 可以包括例如ROM(只读存储器)、RAM(随机存取存储器)、闪存和/ 或非易失性存储器。在存储器10中可以存储受信证书阵列。翻转单 元14适于执行翻转功能,这将在下文中介绍。证书计数器15存储 用来识别应用在电子装置1中的当前受信证书的值。处理器16,例 如CPU(中央处理单元),可以实现信息获取单元12、翻转单元14和/ 或证书计数器15,这些也可以通过软件来实现。可选地,翻转单元 14和/或证书计数器15也可以通过硬件来实现,诸如ASIC(专用集成 电路)或FPGA(现场可编程门阵列)。信息获取单元12,翻转单元14 和证书计数器15描述成分开的单元。然而,它们也可设置为单一单 元。
图3a表示用于在服务器3中生成和传递翻转信息的方法。在步 骤100中,确定了想要从证书[n]到证书[n+m]进行翻转。证书计数器 CC(未图示)可设置在服务器3中。服务器3中的证书计数器存储有 电子装置1中的当前应用受信证书的值或数字。因此,在电子装置1 和服务器3中CC的值都等于n,如果它们同步的话。m是增量。CC 的值可以在一个或多个步骤内增加。因此,在受信证书阵列内,从 第 一受信证书到直接跟随第 一受信证书的后面的受信证书的翻转可 以通过将CC的值加1来进行。可选地,从第一受信证书到后面的受 信证书(在受信证书阵列内未直接跟随第 一 受信证书的受信证书)的翻 转,可以通过将CC的值增加一个大于l.的数来进行。
在步骤101中,通过增加当前CC的值而在服务器3中设定证书 计数器的值,CC=n+m。
在步骤102中,生成翻转信息。用来识别证书[n+m]的标识数据 包括在所述信息中。标识数据可以是例如值n+m。
在步骤103中,翻转信息的签名生成并附于其上。翻转信息可 以包括例如值n+m。而签名由受信证书n+m的私钥生成。
在步骤104中,翻转信息被分发给电子装置1。翻转信息可以例 如在PUSH消息内发送给电子装置。电子装置1可以例如在服务器3 中通过标识符识别。另外,翻转信息可以包含用来识别翻转信息所 打算识别的电子装置的标识符。标识符可以是唯一标识符、诸如电 话数、IMSI(国际移动用户识别码)或IMEI(国际移动设备识别码)。可 选地,标识符也可以是组标识符。组标识符可以是例如电子装置1 的特定类型、型号或型号版本。可选地,组标识符也可以是例如用 来识别软件包的特定类型或版本的软件标识符,而该软件包被用在 电子装置1中。
在翻转信息在电子装置1中应用之前,可以检查翻转信息以确 定所述信息是否确实为电子装置所需要。检查可以通过验证接收到 的翻转信息标识符来进行。接收到的标识符可以通过例如将它与存 储在电子装置1中的标识符做比较来验证。
图3b表示用于从第一受信证书到第二受信证书进行翻转的方 法,该方法在电子装置1中实现。翻转信息在步骤110中通过获取 单元12来获得。翻转单元14可以接收通过接收器单元11转发来的 翻转信息。翻转单元14可以从翻转信息中取到用来识别应激活的受 信^正书的标识数据。
在步骤111中,翻转信息的签名被验证。标识数据用来寻找指 向待激活的受信证书"证书[n+m]"的指针或地址。从证书[n+m]中 取到它的公钥。证书[n+m]的公钥用来验证翻转信息的签名。如果在 步骤lll的回答为"是",则程序前进到步骤112。
在步骤112中,进行重发保护检查。其检查标识数据的值是否 超过电子装置1中的CC的值,也即是否CC<n+m。如果步骤112中 的答复为"是",则程序前进到步骤113。
在步骤113中,进行最大证书检查。确定标识数据的值是否小 于或等于max—C,也即是否泡hbx—C 。 max一C等于受信证书阵列 中的受信证书的数量。如果步骤113中的回答为"是",则程序前进到 步骤114。
在步骤114中,该翻转是通过从当,使用的(第一)根证书到新的 (第二)根证书的翻转而实现的。新受信证书可以通过设置CC=n+m而 激活。然后,CC附注第二受信证书以备将来可能进行的任何验证或 鉴别。
如果在步骤lll、 112和113中的回答为"否,,,则程序前进到 步骤115。在步骤115中,当前激活的受信证书通过例如在电子装置 1中保持当前CC的值而保持激活。在步骤114和115之后,程序可结束。
并不是所有根椐图3b中的实施例的步骤都需要执行。例如,不 必执行步骤111至步骤113中的任一步骤。可选地,步骤111至步 骤113中的任一步骤或其结合可以与步骤110、 114和115 —起执行。
图4a至图4b表示受信证书阵列(证书[l]-证书[p])的实施例, 其中p是阵列内受信证书的数量,可以例如为5。在本例中,在服务 器3和电子装置1中,均有CC=1。因此,CC=1涉及证书[l]。应进 行到证书[2]的根翻转。翻转信息生成并发送到电子装置1,例如图3a 至图3b中所示。因为11+111=2符合所有设定的标准,则翻转到证书[2], 且CC增加l, CC=1+1=2。因此,CC引用激活了的证书[2](图4b)。
图5a至图5b表示受信证书阵列内的证书翻转的另一实施例。 如果证书计数器在服务器3中和在电子装置1中因为某些原因而不 同步,仍有可能进行证书翻转。电子装置1接受任何大于当前CC的 值的标识数据的值。在本例中,在服务器3中CC的值为CC=2,但
在电子装置1中CC的值为CC=1。应进行到证书[3]的证书翻转。程 序根据图3a至图3b执行。当根据本方法的所有标准都符合时,在电 子装置1中CC的值从CC4(图5a)更新成CC-3(图5b)。这是本发明 的优点,因为服务器3中的CC的值和电子装置1中的CC的值会自 动同步而不需要任何同步过程,如果它们出现了不同步的话。
图6a至图6b表示当黑客试图重新翻转(roll-back)到旧的失密的 受信证书或先前使用的受信证书时的方法。图6a表示受信证书阵列, 其中在电子装置1中CC的值涉及证书[3]。包含标识数据的翻转信 息分发到电子装置1上,其中该翻转信息要求到证书[2]上的翻转。 然而,因为CC的值等于3大于2,结果错误,则值CC=3仍然保持。 因此,先前使用的受信证书不被激活。
翻转单元14可适于不再重新使用任何先前使用的受信证书。如 果受信证书与软件包一起用,这是有利的。翻转可以与用经更新的 软件包来更新电子装置1结合起来进行。可选地,翻转可以与软件 包的delta更新程序(delta叩dating procedure)结合起来进行。如果使 用的受信证书是不可再使用的,还可以确定先前的软件包也不再可 被使用。例如,如果先前的软件包已经被黑客窃密并带有病毒的话, 这会是有利的。先前的软件包的签名(用先前使用的受信证书的密钥 生成)不能匹配用新受信证书(到该证书的翻转已进行)的密钥生成的 签名。
可以对受信证书阵列和CC进行完整性保护。在一实施例中,受 信证书阵列和CC的完整性保护通过闪锁机制(flash lock down mechanism)来实现。CC的值和根证书阵列可以存储在存储器12的 数据区,该数据区只有在启动电子装置1时才可快速存取(flashable)。 当电子装置1启动时,命令发到闪存,使得携带受信证书阵列和CC 的值的闪存块(一个或多个)在启动完成之后是只读的。所述闪存块(一 个或多个)保持只读,直到下一次电子装置1启动,其中它们在启动 期间是可写的。当获取了翻转信息时,它可以临时地存储在存储器12内,直到电子装置12启动,其中可执行图3b中所示的程序。每次 电子装置1启动时,所述闪存块被解锁,并确定是否获得了任何翻 转信息。如果回答为"是",则进行从第一受信证书到第二受信证书的 翻转。然后,翻转信息可净皮验证,CC的值可更新成涉及第二受信证 书,然后笫二受信证书可4^激活。 一旦所述闪存块(一个或多个)已经 被更新,或它/它们不应被更新(未获得翻转信息),所述闪存块(一个 或多个)就可净皮再次锁上。
在另一实施例中,通过将证书阵列和CC存储在可锁存储器中而 对它们进行完整性保护,其中可锁存储器可以是例如OTP(—次性可 编程的)存储器或WORM(—次写入多次读出)存储器。当新翻转信息 被使用时,CC的值被写入可锁存储器的先前未使用的寄存器。当来 自可锁存储器的数据应被取到时,它从上次标记为已锁的寄存器读 出。未锁的寄存器表明它未被写入,即不包括任何数据。
受信证书阵列和CC的值的完整阵保护方案还具有这样的优点, 即独立于它们被传输的方式。完整性保护方案还能够扩展到其它类 型的数据,诸如任何安全性机制,例如受信证书下载(其中整个受信 证书都下载到电子装置上)或FOTA升级触发器(FOTA upgrade trigger)的下载。
在另一实施例中, 一经获得翻转信息就立即开始图3b所示的程序。
在一实施例中,服务器3的翻转信息和CC与SIM标识数据相 关联。服务器3可以是例如由运营商控制的,该运营商颁发用在电 子装置1中的SIM。当电子装置1连接到由运营商控制的网络时, 它就被注册,而运营商获知该电子装置1处于接通状态。然后一旦 检测到电子装置连接到网络,翻转信息就可被发送到电子装置1。其 优点是,正确传递的可能性很高。
本发明可用来实现与FOTA有关系的证书翻转。还可以与 DRM(数字版权管理)、JAVA或WAP(无线应用协议)一起使用。另夕卜,
它可用来禁用与旧(停用的)受信证书(它可能导致电子装置1不能使 用)相关的密钥签名的止任何类型的文件'或应用程序的下载或使用。 例如,用以使电子装置1的使用者能够使用一个、 一些或所有可用 的功能的软件包可能已经被"黑"。然后,希望更新被"黑"的软 件。然而,需要一些时间来准备软件的更新。在此期间,可以进行 从第一受信证书到第二受信证书的翻转。然后,任何附有使用第一 受信证书的密钥生成的签名的软件都可被锁。如果软件不验证就不 可被使用,就不可能验证它。用第二受信证书的密钥生成的软件签 名与该软件所附的签名不相符合。通过软件所提供的任何功能会保 持禁用,直到下载了用于所述功能的新软件包。新软件包都附有用 第二受信证书的密钥生成的签名。于是,已更新的软件的验证将会 成功。
本发明可以嵌入在能够执行本文所述方法和功能的计算机程序 产品中。本发明可以在该计算机程序产品在系统内加载并运行时执 行,其中该系统具有例如由处理器提供的计算机功能。计算机程序、 软件程序、程序产品或软件,在本文中指采用任何编程语言、代码 或符号的指令集的任何表达,其中该指令集旨在直接地或在转化为 另一种语言、代码或符号之后,使系统具有处理能力以执行特定功 能。
以上,已就本发明参考特定实施例作了介绍。然而在本发明的 范围内,上文未介绍的其它实施例也同样是可能的。在本发明的范 围内,也可提供不同于上文所介绍的、通过硬件或软件实行本方法 的其他的方法步骤。本发明的不同特征和步骤可以用上文未介绍的 其它方式加以结合。本发明的范围仅由呵附的权利要求书规定。
权利要求
1、一种在电子装置(1)中从第一受信证书到第二受信证书进行翻转的方法,包括如下步骤在电子装置中(1)获取包含了用来识别所述第二受信证书的标识数据的信息;以及基于所述标识数据,激活预装在所述电子装置(1)中的所述第二受信证书。
2、 根据权利要求1所述的方法,其特征在于,所述获取信息的步 骤包括获取用来识别预装在受信证书阵列内的多个受信证书之一的标 识数据,所述受信证书中的一个证书可在当时^f皮激活。
3、 根据权利要求1或2所述的方法,其特征在于,所述获取步骤 包括接收包含所述信息的消息。
4、 根据权利要求3所述的方法,其特征在于,所述消息是PUSH 消息。
5、 根据前述权利要求中任一项所述的方法,其特征在于,所述激 活步骤包括用所述第二受信证书的密钥来验证附在所述信息上的签 名。
6、 根据前述权利要求中任一项所述的方法,其特征在于,所述获 取步骤包括从所述信息中取到所述标识数据的值,并用所述值来识别 指向所述第二受信证书的指针或地址。
7、 根据前述权利要求中任一项所述的方法,其特征在于,所述激 活步骤包括重发保护检查。
8、 根据权利要求7所述的方法,其特征在于,所述激活步骤包括确定所迷标识数据的值是否超过在受信证书阵列内识别所述第一受信 证书的证书计数器值,只有在所述标识数据的所述值超过所述证书计数器值时才激活所述第二受信证书。
9、 根据前述权利要求中任一项所述的方法,其特征在于,所述激活步骤包括检查所述标识数据的值是否超过预定的最大值。
10、 根据前述权利要求中任一项所述的方法,其特征在于,所述 激活步骤包括从存储器(10)的存储区域中访问所述第二受信证书,所 述存储器(10)只在所述电子装置(1)的启动期间才是可写的。
11、 一种用于从第一受信证书到第二受信证书进行翻转的电子装 置(l),其中包括适于获取包含标识数据的信息的信息获取单元(l2),其中所述标 识数据用来识别所述第二受信证书;以及适于根据所述标识数据激活预先安装在电子装置(l)中的所述笫 二受信证书的翻转单元(14)。
12、 根据权利要求11所述的电子装置,其特征在于,所述信息获 取单元(12)适于获取用来识别多个受信证书之一的标识数据,所述多 个受信证书预装在受信证书阵列内,所述受信证书中的一个证书可在 当时一皮激活。
13、 根据权利要求11或12所述的电子装置,其特征在于,所述 信息获取单元(l 2)适于接收包含所述信息的消息。
14、 根据权利要求13所述的电子装置,其特征在于,所述消息是 PUSH消息。
15、 根据权利要求11至14中任一项所述的电子装置,其特征在 于,所述翻转单元(14)适于用所述第二受信证书的密钥来验证附在所 述信息上的签名。
16、 根据权利要求11至15中任一项所述的电子装置,其特征在 于,所述信息获取单元(12)适于从所述信息中取到所述标识数据的 值,而所述翻转单元(14)适于用所述值来识别指向所述第二受信证书 的指针或地址。
17、 根据权利要求11至16中任一项所述的电子装置,其特征在 于,所述翻转单元(14)适于进行重发保护检查。
18、 根据权利要求17所述的电子装置,其特征在于,所述翻转单 元(14)适于确定所述标识数据的值是否超过在受信证书阵列内识别所 述第 一 受信证书的证书计数器值,只有在所述标识数据的所述值超过 所述证书计数器值时才激活所述第二受信证书。
19、 根椐权利要求11至18中任一项所述的电子装置,其特征在 于,所述翻转单元(14)适于检查所述标识数据的所述值是否超过预定 的最大值。
20、 根据权利要求11至19中任一项所述的电子装置,其特征在 于,所述翻转单元(14)适于从存储器(10)的存储区域中访问所述第二受 信证书,所述存储器(10)只有在所述电子装置的启动期间才是可写 的。
21、 根据权利要求11至20中任一巧所述的电子装置,其特征在 于,所述第一受信证书和所述第二受信证书是根证书。
22、 根据权利要求11至21中任一项所述的电子装置,其特征在 于,所述电子装置是便携或手持的移动无线通信设备、移动无线终端、 移动电话、寻呼机、通信装置、电子管理器、智能电话、计算机、SIM 卡或智能卡。
23、 一种计算机程序产品,其中包括计算机程序代码部件,在所 述计算机程序代码部件由具有计算机功能的电子设备运行时,所述计 算机程序代码部件执行根据权利要求1至10中任一项所述的方法。
全文摘要
本发明涉及一种用于在电子装置中从第一受信证书到第二受信证书进行翻转的方法及电子装置。在电子装置中获取包含了用来识别第二受信证书的标识数据的信息。并且,预装在电子装置中的第二受信证书基于所述标识数据而激活。
文档编号H04L9/32GK101194461SQ200680020331
公开日2008年6月4日 申请日期2006年6月2日 优先权日2005年6月7日
发明者J·卡皮南, S·安德森 申请人:索尼爱立信移动通讯股份有限公司