使用抗干预处理器分发程序的方法和系统的制作方法

专利名称：使用抗干预处理器分发程序的方法和系统的制作方法
技术领域：
本发明涉及一种通过公共网络例如因特网将加密的可执行程序分发至具有内装微处理器例如PC的硬件设备的方法和系统。
近年以来，微处理器的性能大有改进，因此微处理器能够在传统功能例如计算和图形处理之外还能重现和编辑视频图像和音频声音。通过在为终端用户(今后将称为PC)设计的系统中实施这类微处理器，用户能够在监视器上欣赏各种视频图像和音频声音。还有，通过将用于重现视频图像和音频声音的功能与PC的计算能力结合起来，可以改进游戏及类似内容的可应用性。这类微处理器不是为任何专用硬件设计的，它可以实施于不同硬件中，因此其优点是已经拥有PC的用户只需简单地改变微处理器以使之用于执行程序，就能够花费很少而欣赏视频图像和音频声音的重现和编辑功能。
当在PC上处理视频图像和音频声音时，产生一个保护原始图像和音乐的版权的问题。在MD或数字视频重放设备中，可以在这些设备中预先实施一个用于防止非法复制的机理来防止无限制的复制。通过拆卸和修改这些设备而试图进行非法复制的情况比较少，以及即使做出这些设备，也有全球性的努力来按照法律禁止制造和销售那些为非法复制而修改的设备。因此，由于使用硬件进行非法复制而造成的损害并不很严重。
然而，更多的是在PC上使用软件而不是硬件来实际地处理图像数据和音乐数据，而终端用户可以自由地修改PC上的软件。也即，如果用户具有一定知识水平，则很可能他会分析程序并且将可执行软件重写来进行非法复制。此外，不像硬件那样，如此产生的用于非法复制的软件能够通过媒体例如网络非常迅速地散布开来。
为解决这些问题，有过一些建议，使微处理器具有防止分析和修改程序的功能(R.Hartman，美国专利号5,224,166；T.Gilmont等，“用于支持软件私有权的硬件安全性”，Electronic Letters,Vol.35,No.24,pp.2096-2098,November1999；M.Hashimoto等，日本专利申请号2000-135010)。具体地，在由日本专利申请号2000-135010建议的微处理器中，在多任务环境下将组成程序的三类元素即指令、执行状态和数据全部加密，从而防止分析和修改程序。
在这些微处理器中，在处理器内部提供一个保密密钥和使用该保密密钥的解密功能，以使这些加密程序可供外部处理器读取，而可使用对应于该保密密钥的公共密钥来或者直接地或者间接地将这些程序解密和执行。与抗干预软件技术比较，使用这些微处理器可以使这些程序的分析和修改在原理上要难得多。以下将具有此功能的微处理器称为抗干预微处理器。
现在，在使用这些处理器的情况下，必须由程序供应商使用处理器的公共密钥来或者直接地或者间接地将程序加密后提供出来。然而，尚无已知的可用于安全地实现这类程序分发的方案。
因此本发明的一个目的是提供一种程序分发设备，能够用于通过网络安全地将程序分发至客户侧设备。
本发明的另外一个目的是提供一种客户侧设备，能够用于通过网络安全地接收分发的程序。
本发明的又一个目的是提供一种程序分发系统，能够用于通过网络安全地分发程序。
本发明还有一个目的是提供一种程序分发方法，用于通过公共网络安全地分发程序。
根据本发明的一个方面，提供了一种程序分发设备，用于通过网络将可执行程序分发至具有抗干预处理器的客户设备，该抗干预处理器事先配备有一个独一的保密密钥和一个独一的对应于该独一的保密密钥的公共密钥，该程序分发设备包括一个第一通信路径设置单元，配置为在程序分发设备与客户设备之间设置一条第一通信路径；一个第二通信路径设置单元，配置为在第一通信路径之上设置一条用于直接连接该程序分发设备与抗干预处理器的第二通信路径；一个加密处理单元，配置为将准备分发至客户设备的可执行程序加密从而产生一个加密程序；以及一个传输单元，配置为通过第二通信路径将加密程序传输至抗干预处理器。
根据本发明的另一个方面，提供了一种客户设备，用于通过网络接收由程序分发设备所分发程序，该客户设备包括一个抗干预处理器，事先配备有一个独一的保密密钥和一个独一的对应于该独一的保密密钥的公共密钥；一个第一通信路径设置单元，配置为在程序分发设备与客户设备之间设置一条第一通信路径；一个第二通信路径设置单元，配置为在第一通信路径之上设置一条用于直接连接该程序分发设备与抗干预处理器的第二通信路径；以及一个程序接收单元，配置为通过第二通信路径接收来自程序分发设备的加密程序。
根据本发明的另一个方面，提供了一种程序分发系统，包括一个连至网络的程序分发设备，用于通过网络分发可执行程序；以及一个连至网络的客户设备，用于通过网络接收由程序分发设备分发的可执行程序；其中客户设备具有一个抗干预处理器，事先配备有一个独一的保密密钥和一个独一的对应于该独一的保密密钥的公共密钥；一个客户侧第一通信路径设置单元，配置为在程序分发设备与客户设备之间设置一条第一通信路径；一个客户侧第二通信路径设置单元，配置为在第一通信路径之上设置一条用于直接连接该程序分发设备与抗干预处理器的第二通信路径；以及一个程序接收单元，配置为通过第二通信路径接收来自程序分发设备的加密程序；以及该程序分发设备具有一个服务器侧第一通信路径设置单元，配置为在程序分发设备与客户设备之间设置一条第一通信路径；一个服务器侧第二通信路径设置单元，配置为在第一通信路径之上设置一条用于直接连接该程序分发设备与抗干预处理器的第二通信路径；一个加密处理单元，配置为将准备分发至客户设备的可执行程序加密从而产生一个加密程序；以及一个传输单元，配置为通过第二通信路径将加密程序传输至抗干预处理器。
根据本发明的另一个方面，提供了一种用于通过网络将可执行程序自程序分发设备分发至具有抗干预处理器的客户设备的方法，该抗干预处理器事先配备有一个独一的保密密钥和一个独一的对应于该独一的保密密钥的公共密钥，该方法包括以下步骤；在程序分发设备与客户设备之间设置一条第一通信路径；在第一通信路径之上设置一条用于直接连接程序分发设备与抗干预处理器的第二通信路径；在程序分发设备处将准备分发至客户设备的可执行程序加密从而产生一个加密程序；以及通过第二通信路径将加密程序自程序分发设备传输至抗干预处理器。
结合附图进行的以下描述将使本发明的其他特征和优点更为明显。


图1是用于显示根据一个本发明实施例的程序分发系统的配置的框图。
图2是图1的程序分发设备中程序分发操作顺序的顺序图。
图3是图2的操作顺序中客户设备的处理过程的流程图。
图4是图2的操作顺序中程序分发设备(服务器)的处理过程的流程图。
图5是图2的操作顺序中微处理器的处理过程的流程图。
首先，简要地描述本发明的主要特征。
本发明提供了一种程序分发设备，用于通过网络将可执行程序分发至具有内装抗干预微处理器的客户设备，其中该微处理器事先配备有一个独一的保密密钥和一个独一的对应于该独一的保密密钥的公共密钥。此程序分发设备具有一个加密处理单元，它使用自客户设备的微处理器送来的独一公共密钥将程序加密，或者使用任意加保密密密钥将程序加密并且使用自客户设备的微处理器送来的独一公共密钥将该加保密密密钥加密。加密的密码密钥然后与加密的程序一起分发至客户设备。
在本发明的程序分发方法中，通过网络设置一条自客户设备至程序分发设备的第一通信路径。然后在第一通信路径之上设置一条用于直接将微处理器连至该程序分发设备的第二通信路径。通过第二通信路径将独一的公共密钥自微处理器送至程序分发设备。在程序分发设备处接收通过网络送来的该独一的公共密钥，以及该程序分发设备将程序加密。然后通过第二通信路径将加密的程序直接送至客户设备的微处理器。
以此方式分发的程序或者使用客户设备的微处理器的独一公共密钥进行加密，或者使用普通密钥进行加密，而此普通密钥又由微处理器的独一公共密钥加密。该程序直接传输至微处理器而不被任何计算机截留，并且只能由具有对应于此公共密钥的独一的保密密钥的微处理器来解密。以此方式，有可能有效地防止第三方非法解密。
现在参照图1至图5来详细地描述根据本发明的程序分发设备的一个实施例。
图1显示根据此实施例的程序分发系统，它基本上设计为将程序分发至一个具有内装抗干预微处理器的计算机系统。因此，准备分发的可执行程序或者使用对于微处理器是独一的保密密钥直接加密，或者使用任意普通密钥加密并且使用对于微处理器是独一的保密密钥将该普通密钥本身加密及将其依附于可执行程序上。在此情况下，不可能使用相同程序记录媒体的复制副本例如大批产生的CD-ROM来分发程序，以使程序通过网络来分发。
图1的程序分发系统90包括一个网络95，一个连至网络95以便通过网络95分发可执行程序的程序分发设备93，一个连至网络95以便通过网络95接收自程序分发设备93分发来的可执行程序的客户设备91。
程序分发设备93具有一个用于在程序分发设备93与客户设备91之间设置第一通信路径的第一通信路径设置单元932，一个用于通过第一通信路径对使用客户设备91的用户进行用户证实的用户证实单元933，一个用于设置直接连至配备于客户设备91内的微处理器的第二通信路径的第二通信路径设置单元934，一个用于通过第二通信路径对客户设备91的微处理器901进行证实的处理器证实单元935，一个使用对应于客户设备91的微处理器的密码密钥将可执行程序加密从而产生一个加密程序的程序加密处理单元936，一个用于通过第二通信路径将加密程序分发至客户设备91的网络接口931，以及一个付费处理单元937。
客户设备91具有一个其中事先配备有一个独一的保密密钥和公共密钥的微处理器901，一个网络接口903，一个用于在客户设备91与程序分发设备93之间设置第一通信路径的第一通信路径设置单元905，一个用于通过第一通信路径传输正在使用客户设备91的用户的用户ID的用户证实单元910，一个用于设置直接将微处理器901连至程序分发设备93的第二通信路径的第二通信路径设置单元906，一个用于传输证书至程序分发设备93的证书单元，其中该证书确认微处理器901的确具有只对此微处理器901是独一的保密密钥和公共密钥，一个用于通过第二通信路径接收加密的可执行程序的程序接收单元908，一个程序传输单元909，以及一个付费处理证实单元912。
可以在同一传输线的不同信道上，也可在不同传输线上设置第一和第二通信路径。在对微处理器901进行证实之后，通过直接连至微处理器901的第二通信路径将加密程序传输至微处理器901，以便保证程序分发的安全性以及防止用户的非法操作。
程序分发设备(服务器)93具有在世界上是独一的一对公共密钥K′p和保密密钥K′s以及作为准备分发的程序的原始形式的非加密程序文件。另一方面，客户设备91所具有的微处理器901中配备有一个专用于通过网络将程序下载的专用程序。下载用的程序既可在购买微处理器901时也可在购买包含微处理器901的系统时提供，也可使用任何方法例如邮寄来单独地分发至每个用户。
在下载程序内埋嵌着一些信息，例如对于微处理器901是独一的公共密钥Kp和证书。更具体地，这个用于确认微处理器901的公共密钥Kp是对应于实际存在的微处理器的证书是存于下载程序内的。提供此证书的目的在于防止用户通过使用不对应于实际微处理器901的公共密钥和保密密钥的已知集合而获得加密程序及使用已知保密密钥将加密程序解密，进而非法地获得普通文本程序内容。
该证书包含公共密钥Kp和一个值SKcert[Kp]，它是一个使用公共密钥Kp上的证书权威的密钥Kcert来预先计算的电子签字。Kcert的值由证书权威秘密地进行管理并且不包含于下载程序内。通过使用供证实用的公共密钥Kval来证实包含于证书中的公共密钥Kp和签字SKcert[Kp]，有可能证明Kp是由证书权威所赋予的无法使用已知密钥集合的恰当的公共密钥。
此证书可以事先在微处理器内提供。然而，在下载程序中存储带有有效期限的证书和销售微处理器时一起销售下载程序，可以进一步改进安全性。在此情况下，存有经常更新的证书的下载程序可以分送至微处理器的买主。
准备用于下载过程的保密密钥Ks是在下载程序的数据区内加密和存储的。将加密的保密密钥Ks解密时所需密钥作为常量分布式地埋嵌于下载程序代码内。准备由下载程序使用于证实过程中的保密密钥Ks与对微处理器901是独一的保密密钥Ks一样地具有相同的值，但它不是通过从微处理器901中读取保密密钥Ks而获得的，因为对微处理器901是独一的的保密密钥Ks不能由程序读出。
一般而言，证书权威CA应用于证明一定的主人具有具体公共密钥。在使用本系统的证书权威的情况下，或者在购买微处理器901时，或者稍后通过在线处理，将微处理器901和用户(购买者)的公共密钥的组合向证书权威登记。在此情况下，可以省略由程序分发设备对证书的证实。
然而，证书权威的使用对用户带来不方便，即用户必须将购买的微处理器901向证书权威登记。由于这个原因，在此实施例中将加密的证书存于下载程序中，以便单独由程序分发设备93和客户设备91实行证实操作。
注意到，在此实施例中假设程序分发设备83是值得信赖的，即程序分发设备93不会进行非法活动例如盗窃证书，并且事先由证书权威或类似机构确认以下事实程序分发设备93具有一对在世界中是独一的密钥K′p和K′s。
图2显示图1的程序分发设备90中程序分发处理的操作顺序。下面将程序分发设备93也称为服务器93。
在图2的操作顺序中，由相应的设备的第一通信路径设置单元在客户设备91与服务器93之间设置一条安全的第一通信路径(步骤1001)。更具体地，通过网络95自客户设备91分发一个开始通信请求至服务器93，并且实行密钥分享以便保持通信路径处于秘密状态中。这可由已知的密钥分享协议或DH(Diffie Hellman)方案来实现。随后通过以此方式设置的同时对于窃听而言是安全的这条通信路径实行客户设备91与服务器93之间的通信。
在设置第一通信路径之后，客户设备91请求将文件(程序)下载至服务器93(步骤1002)，以及服务器93在用户级别上执行的与客户设备91证实和付费处理操作。在下载过程中为对用户保持处理的秘密，至少一部分将于下面描述的客户设备91处的下载顺序将要使用加密代码来执行。此处将要使用加密代码来执行的部分将被描述为微处理器901的操作。
然后在第一通信路径之上设置一条用于直接连接客户设备91的微处理器901与服务器93的安全的第二通信路径(步骤1003)。
在本发明中，为防止用户非法地获得在下载过程中一部分处理过的数据，在处理期间准备放置于存储器内的不仅代码而且数据所具有的形式都是用户在下载程序内难以读取和理解的。此外，在步骤1003中执行服务器93与微处理器901之间的使用保密密钥的密码通信，以便改进防止用户非法操作的保护措施。
采取此措施是因为如果不采用保密密钥共享，则有可能发生以下情况用户通过非法操作在服务器93和微处理器901之间的通信消息内使用一个伪装公共密钥来替代微处理器901的公共密钥Kp从而获得加密程序，以及通过使用对应于伪装公共密钥的已知的保密密钥来将加密程序解密从而获得普通文本程序。通过使用保密密钥将服务器93与微处理器901之间的通信加用密码，有可能防止以上所述的用户非法操作。此处在微处理器901与服务器93之间的通信意味着受保护的通信，它使用一个由微处理器901中的抗干预程序与服务器93所共享的密码密钥来将通信进行加密。
在设置安全的第二通信路径之后，微处理器901和服务器93执行相互证实操作。也即，微处理器901生成一个随机数Rc，作为对服务器93的挑战，并且通过第二通信路径将此随机数Rc与对于微处理器901是独一的公共密钥Kp一起传输至服务器93(步骤1004)。在收到该挑战后，服务器93将一个使用服务器93的保密密钥K′s将随机数Rc加密而获得的签字SK's[Rc]与服务器93的挑战Rs和服务器93的公共密钥K′p一起传输至微处理器901(步骤1005)。注意到在图2中SK′s[Rc]标为S[Rc](K′s)以及类似标记用于其他类似表示。
微处理器901检查自服务器93传输来的签字SK′s[Rc]是否与使用服务器93的公共密钥K′p将Rc进行散列函数计算所得VK′p[Rc]重合。如果它们不重合，则服务器93的证实操作失败，因而将随后的处理过程中断。如果证实操作成功，则根据服务器93的挑战Rs计算一个响应SK′s[Rs]并且将它与证书E[Cert]一起传输至服务器93(步骤1006)。
服务器93将响应SK′s[Rs]与VK′p[Rs]进行比较，并且如果它们不重合则将处理过程中断。如果它们重合，则根据微处理器901的公共密钥Kp和证书权威的公共密钥Kval计算VKval[Kp]，并且将它与对应于自证书Cert获得的公共密钥的VKcert[Kp]进行比较。如果它们不重合，则证实操作失败，从而将处理过程中断。如果它们重合，则通过将EK′p[Cert]解密而获得证书Cert并且对它进行证实。如果证实操作失败，则将处理过程中断。
如果证实操作成功从而由证书确认微处理器901具有公共密钥Kp这一事实，则服务器93使用微处理器901的公共密钥Kp自可执行程序中产生加密程序EK′p[Prog]。在此处使用微处理器901的公共密钥Kp将程序的代码部分加密。在此加密操作中，由跳转表的具有普通文本形式的“.IAT(输入地址表)”部分将程序本身的“.text”部分加密。
服务器93然后通过第二通信路径将加密程序EK′p[Prog]与使用服务器93的保密密钥K′s所获得的签字SK′s[EK′p[Prog]]传输至微处理器901(步骤1007)。这些加密的程序和签字通过直接在微处理器901与服务器93之间建立起来的第二通信路径进行传输，从而使客户设备91无法窃听它们。
当完成程序的接收后，微处理器901向客户设备91通知下载完毕(步骤1008)。客户设备91然后向服务器93请求实行付费处理，以及服务器93向客户设备91传输一个收据Rcpt，一个使用服务器93的保密密钥K′s所获得收据的签字SK′p[Rcpt]和一个程序的签字SK′s[EK′p[Prog]](步骤1009)。客户设备91保持收到的收据及其签字，同时将自服务器93收到的程序签字SK′s[EK′p[Prog]]分发至微处理器901(步骤1010)。
微处理器901使用服务器93的公共密钥K＇p来证实自客户设备91收到的程序签字SK′s[EK′p[Prog]]，以及如果它是恰当的则微处理器901将加密的可执行程序EK′p[Prog]送至客户设备91(步骤1011)。在收到加密的可执行程序EK′p[Prog]后，客户设备91执行相对于服务器93的通信信道的结束处理过程(步骤1012)。
此后，微处理器901按照规定方式执行加密程序。
图3显示图2的操作顺序中客户设备91的处理过程。此处理过程已经基本上参照图2解释过，它如下进行首先，在客户设备91与服务器93之间设置第一通信路径(步骤1101)。然后提出相对于服务器93的程序下载请求，并且执行以上所述的证实处理过程(步骤1103)。然后实行微处理器901与服务器93之间的证实操作及将该程序传输至微处理器901(步骤1105)。然后自微处理器901接收一个接收完成通知(步骤1107)，使用服务器93实行付费处理过程(步骤1109)，以及自服务器93接收收据和签字(步骤1111)。然后将签字送至微处理器901(步骤1113)，自微处理器901接收加密程序(步骤1115)，以及结束客户设备91与服务器93之间的通信信道(步骤1117)。
图4显示图2的操作顺序中服务器93的处理过程，它如下进行。
首先，响应于来自客户设备91的请求而设置第一通信路径(步骤1201)。然后接收来自客户设备91的程序下载请求，以及为付费或类似目的而实行客户证实(步骤1203)。然后设置服务器93与微处理器901之间的第二通信路径(步骤1205)，以及自微处理器901接收挑战Rc和公共密钥Kp(步骤1207)。然后生成服务器侧挑战Rs和响应SK′s[Rc]并且将它们与服务器93的公共密钥K′p一起传输至微处理器901(步骤1209)。然后自微处理器901接收响应SK′s[Rs]和证书E[Cert](步骤1211)，以及对自微处理器901收到的SK′s[Rs]和E[Cert]进行证实(步骤1213)。当证实操作失败时，即将处理过程中断。当证实操作成功时，生成加密程序和对应于微处理器901的签字并且将它们传输至微处理器901(步骤1215)，以及结束服务器93与微处理器901之间的程序传输(步骤1217)。然后执行相对于客户设备91的付费处理过程并且传输收据和签字(步骤1219)，以及结束服务器93与客户设备91之间的通信信道(步骤1221)。
图5显示图2的操作顺序中微处理器901的处理过程，它如下进行。
首先，在微处理器901与服务器93之间设置第二通信路径(步骤1301)。然后生成挑战Rc并且将它与对于微处理器901是独一的公共密钥Kp一起传输至服务器93(步骤1303)。当传输成功时，自服务器93接收响应SK′s[Rc]、挑战Rs和公共密钥K′p(步骤1305)。然后判断该响应是否恰当(步骤1307)。如果它不恰当则将处理过程中断。如果它是恰当的，则生成相对于服务器93的响应和对应于服务器93的证书并且将它们传输(步骤1309)。然后自服务器93接收加密程序(步骤1311)，以及当接收完毕时，向客户设备91通知下载完成(步骤1313)。然后自客户设备91接收签字(步骤1315)并且证实该签字(步骤1317)。如果证实操作失败则将处理过程中断。如果证实操作成功，则将加密程序传输至客户设备91(步骤1319)。
在图2的操作顺序中，如果在完成付费处理过程之后由于下载程序的非正常结束而无法获得加密程序E[prog]，则客户有权根据所保留的收据来再次从服务器93下载该程序。在此情况下，将不再进行付费操作，但无法获得微处理器901的加密程序之外的其他程序。
还有，在图2的操作顺序中，服务器93可以使用普通密钥将程序加密而不用微处理器901的公共密钥。在此情况下，服务器93选择普通密钥Kx和加密算法，使用普通密钥Kx将程序加密，使用对于微处理器901是独一的公共密钥来将普通密钥Kx加密，以及在将服务器93与微处理器901之间的通信加用密码之后将该程序传输至微处理器901。在此处可以增加一个步骤，即在设置第二通信路径之后由服务器93向微处理器901查询在微处理器901中提供的加密/解密功能，从而使服务器93可以从可由微处理器901处理的加密算法中选择一个加密算法。
在此情况下，每个程序的临时使用的普通密钥可用于将执行代码解密以便将密钥长度缩短及将客户设备91的存储器中所构造的页表减小或者微处理器901的高速缓存缩小。
以上所述的下载过程也可用于处理秘密信息例如数据库或顾客信息。此下载过程也可扩展而应用于除可执行程序以外的任何音乐或视频数据，其中与执行程序的情况的唯一差别是在执行程序的情况下程序如此加密以致程序只能由目标微处理器执行。
根据本发明的程序分发设备，可以通过网络安全地和肯定地将加密程序自程序分发设备分发至客户设备。还有，通过使用准备在微处理器处执行的抗干预下载程序，可以直接在程序分发设备与微处理器之间安全地和有效地下载程序而不受第三方的干预。
还有，通过在计算机可读记录媒体中以加密形式记录程序代码部分及以非加密普通文本形式存储直接涉及外部程序的IAT区域，可以在执行程序期间正确地执行重定位操作。
应该注意到，以上实施例用于描述一个使用抗干预微处理器的示例，但很清楚本发明同样可以应用于使用抗干预处理器的一般情况。
还应该注意到，除以上所述以外，可以在不背离本发明的新颖和有利的特征的情况下对以上各实施例作出许多修改和变动。因此，所有这些修改和变动都会包括于所附权利要求书的范围之内。
权利要求
1．一种用于通过网络分发可执行程序至具有抗干预处理器的客户设备的程序分发设备，该抗干预处理器事先配备有独一的保密密钥和独一的对应于该独一保密密钥的公共密钥，该程序分发设备包括一个第一通信路径设置单元，配置为在程序分发设备与客户设备之间设置一条第一通信路径；一个第二通信路径设置单元，配置为在第一通信路径之上设置一条用于直接连接程序分发设备与抗干预处理器的第二通信路径；一个加密处理单元，配置为将准备分发至客户设备的可执行程序加密从而产生一个加密程序；及一个传输单元，配置为通过第二通信路径将加密程序传输至抗干预处理器。
2．权利要求1的程序分发设备，还包括一个用户证实单元，配置为使用通过第一通信路径自客户设备接收的正在使用客户设备的用户的用户ID来证实该用户。
3．权利要求1的程序分发设备，还包括一个处理器证实单元，配置为通过证实一个证书来证实该抗干预处理器，其中该证书确认该抗干预微处理器的确具有通过第二通信路径自客户设备接收的独一的保密密钥和独一的公共密钥。
4．权利要求1的程序分发设备，其中加密处理单元使用通过第二通信路径自抗干预处理器接收的独一公共密钥将可执行程序加密。
5．权利要求1的程序分发设备，其中加密处理单元使用普通密钥将可执行程序加密，以及使用通过第二通信路径自抗干预处理器接收的独一公共密钥将该普通密钥加密；及该传输单元通过第二通信路径将加密程序与加密的普通密钥一起传输至抗干预处理器。
6．权利要求1的程序分发设备，其中通过第二通信路径的通信是密码通信。
7．一种用于通过网络接收由程序分发设备所分发程序的客户设备，该客户设备包括一个抗干预处理器，事先配备有一个独一的保密密钥和一个独一的对应于该独一保密密钥的公共密钥；一个第一通信路径设置单元，配置为在程序分发设备与客户设备之间设置一条第一通信路径；一个第二通信路径设置单元，配置为在第一通信路径之上设置一条用于直接连接程序分发设备与抗干预处理器的第二通信路径；及一个程序接收单元，配置为通过第二通信路径接收来自程序分发设备的加密程序。
8．权利要求7的客户设备，还包括一个用户证实单元，配置为通过第一通信路径传输正在使用客户设备的用户的用户ID至程序分发设备而相对于该程序分发设备来证实该用户。
9．权利要求7的客户设备，还包括一个确认单元，配置为通过第二通信路径传输一个证书，其中该证书确认该抗干预处理器的确具有独一的保密密钥和独一的公共密钥，从而相对于程序分发设备而证实该抗干预处理器。
10．权利要求7的客户设备，其中程序接收单元接收使用自抗干预处理器通过第二通信路径通知至程序分发设备的独一的公共密钥而加密的加密程序。
11．权利要求7的客户设备，其中程序接收单元接收使用普通密钥加密的加密程序以及使用自抗干预处理器通过第二通信路径通知至程序分发设备的独一的公共密钥而加密的普通密钥。
12．权利要求7的客户设备，其中通过第二通信路径的通信是密码通信。
13．一种程序分发系统，包括一个连至网络的程序分发设备，用于通过网络分发可执行程序；及一个连至网络的客户设备，用于通过网络接收由程序分发设备分发的可执行程序；其中该客户设备具有一个抗干预处理器，事先配备有一个独一的保密密钥和一个独一的对应于该独一保密密钥的公共密钥；一个客户侧第一通信路径设置单元，配置为在程序分发设备与客户设备之间设置一条第一通信路径；一个客户侧第二通信路径设置单元，配置为在第一通信路径之上设置一条用于直接连接该程序分发设备与抗干预处理器的第二通信路径；及一个程序接收单元，配置为通过第二通信路径接收来自程序分发设备的加密程序；以及该程序分发设备具有一个服务器侧第一通信路径设置单元，配置为在程序分发设备与客户设备之间设置一条第一通信路径；一个服务器侧第二通信路径设置单元，配置为在第一通信路径之上设置一条用于直接连接程序分发设备与抗干预处理器的第二通信路径；一个加密处理单元，配置为将准备分发至客户设备的可执行程序加密从而产生一个加密程序；及一个传输单元，配置为通过第二通信路径将加密程序传输至抗干预处理器。
14．一种用于通过网络自程序分发设备分发可执行程序至具有抗干预处理器的客户设备的方法，该抗干预处理器事先配备有独一的保密密钥和独一的对应于该独一保密密钥的公共密钥，该方法包括以下步骤设置一条程序分发设备与客户设备之间的第一通信路径；在第一通信路径之上设置一条用于直接连接程序分发设备和抗干预处理器的第二通信路径；在程序分发设备处将准备分发至客户设备的可执行程序加密，从而产生一个加密程序；及通过第二通信路径将加密程序自程序分发设备传输至抗干预处理器。
15．权利要求14的方法，还包括以下步骤使用通过第一通信路径自程序分发设备接收的正在使用客户设备的用户的用户ID来证实该用户。
16．权利要求14的方法，还包括以下步骤通过证实一个通过第二通信路径自客户设备接收的证书而证实该抗干预处理器，其中该证书确认该抗干预处理器的确具有独一的保密密钥和独一的公共密钥。
17．权利要求14的方法，其中该产生步骤使用通过第二通信路径自抗干预处理器接收的独一的公共密钥将可执行程序加密。
18．权利要求1的程序分发设备，其中该产生步骤使用普通密钥将可执行程序加密，以及使用通过第二通信路径自抗干预处理器接收的独一的公共密钥将该普通密钥加密。该传输步骤通过第二通信路径将加密程序与加密的公共密钥一起传输至抗干预处理器。
19．权利要求14的方法，其中通过第二通信路径的通信是密码通信。
全文摘要
本发明公开了一种方案,用于通过网络将可执行程序自程序分发设备分发至具有抗干预处理器的客户设备,该抗干预处理器事先配备有一个独一的保密密钥和一个独一的对应于该独一保密密钥的公共密钥。在此方案中,在程序分发设备与客户设备之间设置一条第一通信路径,及在第一通信路径之上设置一条用于直接连接程序分发设备与抗干预处理器的第二通信路径。然后通过第二通信路径将加密程序自程序分发设备传输至抗干预处理器。
文档编号G06F21/10GK1309355SQ0110451
公开日2001年8月22日 申请日期2001年2月14日 优先权日2000年2月14日
发明者桥本幹生, 藤本谦作, 白川健治, 寺本圭一, 齐藤健 申请人:株式会社东芝