专利名称:把数据装入移动终端的制作方法
技术领域:
本发明涉及把数据装入移动终端的方法。本发明还涉及把数据装入移动终端的系统。本发明还涉及在这样的系统中使用的装入站和移动终端。
诸多移动终端,诸如移动电话和其他移动电子设备,包括对所述移动终端正确运行至关重要的软件和其他数据。因此,为了维持移动终端的完整性,只把经过批准的软件和数据装入移动终端是非常重要的。例如,在服务状态下,为了安装或升级控制移动终端的软件,可以更新移动终端的闪存。
美国专利No.6,167,521公开了一种把新的代码装入装置的由当局控制的逻辑子区域中的方法。按照所述先有技术的方法,当局准备一条包含新代码和某些参数(所述参数规定对新代码运行的执行环境的要求)的消息。当局把所产生的消息发送给所述装置,后者接收到所述消息时,执行对所述当局的验证并检验这些参数对当前执行环境是否有效。若有效,则所述装置把所接收的新代码装入相应的逻辑子区域。
但是,上述先有技术方法涉及这样一个问题,若检验失败,则必须重新发送整条消息,因此,使所述软件装入方法效率低下,若发送是通过低带宽的信道或有噪音的信道完成的,则情况尤为如此。
采用以下把数据装入移动终端的方法可以解决上述和其他问题。所述方法包括以下步骤-移动终端从装入站接收数据,所述数据包括有效负载数据和标题数据;和-移动终端以基于标题数据的检验过程为条件接收所述数据,所述方法的特征在于所述接收数据的步骤还包括以下步骤
-移动终端从装入站接收包括标题数据的标题消息;-移动终端检验所述接收到的标题数据;-若标题数据检验成功,则至少接收包含有效负载数据的第一有效负载消息。
因此,由于只有标题数据检验成功才接收有效负载数据,所以接收不正确的数据的危险显著减小。因此,装入过程效率较高,因为较少出现有效负载的重发。
本发明的另一个优点是,它要求较少的移动终端内的存储空间,因为在检验过程中不要求存储有效负载数据的存储空间。在诸如移动终端等存储能力有限的装置中,这点特别有利。
有效负载数据可以是移动终端要发送的任何类型的数据。按照本发明的方法尤其适用于保密敏感数据,例如,控制移动终端操作的软件、软件更新或其他程序代码工具,因为接收由差错或对手造成的不正确的软件或过程数据会使移动终端误动作或根本就不工作。例如,这样的软件的实例包括应用程序软件和在应用程序之前装入并组织应用程序下载的先期装入软件。数据的其他实例包括内部RAM(IRAM)数据,诸如直接装入IRAM的软件。
标题数据可以包括版本信息、对执行环境的要求和/或兼容移动终端、处理器、芯片组、存储器等的型号、操作系统的类型和/或版本或已经装入移动终端的其他软件等等。标题数据还可以包括制造商标识符、软件提供商标识符、用户标识符或诸如此类、访问控制清单等。
在本发明一个推荐的实施例中,标题数据包括第一密码数据项,而移动终端接收数据的步骤包括根据第一密码数据项执行密码检验过程的步骤。因此,可以在实际接收有效负载数据之前鉴定发布要接收的有效负载数据的当局,从而进一步减少错误地发送有效负载数据的危险,并提高所述方法的效率。
密码数据项最好包括密码校验和,其中密码校验和这一术语涉及一个值,消息发送者根据所述消息所包含的数据和密钥计算所述值,并和数据一起发送给接收者。于是,密码校验和可以由接收者用来鉴定所述数据是否已被篡改。数据的接收者重新计算密码校验和,并与随数据一起送来的密码校验和比较;若它们匹配,则接收者可以相信,在传送过程中所述数据没有被篡改。因此,密码校验和的一个重要特性是不必知道密钥,恶意的窃听者能够构造一条带有相应的有效检验和但改变了的消息的机会极微。例如,为了计算密码校验和,可以计算所述消息的消息摘要,例如,用单向散列函数,后者产生所述消息的压缩表示,其中重现与给定的消息摘要对应的消息或求出能够产生相同消息摘要的两条不同的消息,在计算上是不可行的。在传输中消息的任何改变都会以极高的几率得出不同的消息摘要,而对签字的检验将失败。这样的函数的实例包括加密散列算法(SHA-1)、MD4、MD5等。最好对得出的消息摘要进行加密,或者针对所述消息摘要计算签名,以便产生密码校验和。最好采用诸如Ron Rivest,Adi Shamir和Leonard Adleman研制的RSA方法、数字签名算法(DSA)等基于非对称、公开密钥的加密方法。作为替代,可以采用消息鉴定代码(MAC)方案等对称加密方法,对所述消息摘要而不是所述消息进行签名/加密,往往可以改进过程的效率,因为消息摘要在大小上一般比所述消息小得多。
因此,检验过程可以包括(但不限于)检验移动终端的执行环境与标题数据规定的参数的兼容、访问控制参数的检验和基于密码数据项的密码检验,例如,包括完整性检查和标题数据来源的鉴定。
本发明的优点是,它对移动终端的未经许可的重新编程提供保护。
在另一个推荐的实施例中,把有效负载数据分成若干个有效负载数据块,接收有效负载数据的步骤还包括接收若干条有效负载消息,每条消息包括所述多个有效负载数据块中的一个;在存储介质中存储所述接收的若干个有效负载数据块中的每一个。因此,一次只接收一个有效负载数据块,移动终端中要求的中间存储空间得以进一步减小。
在本发明的另一个推荐的实施例中,在将其发送给移动终端之前处理有效负载数据。例如,为了避免被窃听,对所述数据进行加密和/或对数据进行压缩,以缩短传输时间、减轻带宽要求和对移动终端的中间存储能力的要求,减小密码校验和的计算复杂性。相应地,所述方法还包括以移动终端接收数据的步骤为条件处理有效负载数据(例如对压缩数据进行解压)的步骤。
另外,当存储介质分成若干个各自具有预定大小的存储块而且若干个有效负载数据块中的每一个都具有与存储块的大小对应的大小时,这是特别有利的。这样的存储器的实例是闪存,亦称”闪速RAM”,一种持续不断地加电的非易失存储器,它可以以被称作块的存储单位进行擦除和重新编程。
在本发明另一个推荐的实施例中,把有效负载数据分成若干个有效负载数据块;所述方法还包括接收相应的若干个消息摘要的步骤,所述若干个消息摘要与所述若干个有效负载数据块中相应的各有效负载数据块有关;接收有效负载数据的步骤还包括接收若干个有效负载消息的步骤,每条有效负载消息包括所述若干个有效负载数据块中的一个;以及对于所述若干个有效负载数据块中的每一个,所述移动终端接收数据的步骤还包括以下步骤-移动终端以基于各消息摘要中相应的一个的密码检验过程为条件,接收有效负载数据块,-处理所接收的有效负载数据块;-把处理过的有效负载数据块存入存储介质。
因此,不是把未经处理的数据下载入存储介质,随后将其装入RAM,对其进行处理,将其再次存储,而按照本实施例的方法对于每个数据块只要求一个存储动作,因此提高了装入过程的效率。
在本发明的再一个推荐的实施例中,用于接受第二有效负载数据块之后接收的第一有效负载数据块的步骤的密码检验过程还基于用于接收第二有效负载数据块的前一个步骤的密码检验过程的结果。因此,密码检验过程是递增地进行的,其中数据块的消息摘要取决于所有以前的数据块和/或它们相应的消息摘要或至少其中的一部分,从而加强了装入过程的安全性,因为所有数据块是彼此连接的。
在本发明的再一个推荐的实施例中,有效负载数据包括装入移动终端的现有数据的更新;所述方法还包括只装入不同于相应的现有数据块的有效负载数据块的步骤。因此,要发送的数据量可以大大减少。例如,若有效负载数据包括对已经装入的软件的软件补丁,则改变往往只包括少量的存储块,只下载受影响的块与下载整个软件新版本相比效率要高得多。
在本发明的一个推荐的实施例中,第一密码数据项包括用当局的秘密密钥加密的第一消息摘要;而移动终端接收数据的步骤包括以下步骤-计算所接收的标题数据和所接收的有效负载数据的第二消息摘要;-利用所述当局的公开密钥对第一消息摘要进行解密;以及-把解密后的第一消息摘要与算出的第二消息摘要比较。
在本发明另一个推荐的实施例中,标题数据还包括准备由移动终端作为分配有效负载数据的当局的公开密钥用于检验过程的签名密钥。
当标题数据还包括第二密码数据项,而检验标题数据的步骤包括根据第二密码数据项对标题数据进行密码检验时,所述方法的安全性进一步提高,因为标题是单独检查的。
本发明可以用不同的途径实现,包括上述方法和下面将要描述的方法、系统、计算机程序、计算机可读介质和各种产品装置,每一种在首先指出的方法方面都产生一个或多个好处和优点,每一个都有一个或多个推荐的实施例与联系首先指出的方法而描述的推荐应当指出,上述和下面将要描述的方法的特征可以用软件实现,并通过执行计算机可执行指令在数据处理系统或其他装置中执行。指令可以是从存储介质或通过网络从其他计算机装入诸如RAM等存储器的程序代码工具。作为替代方案,所描述的特征可以不用软件而用硬件电路实现,或与软件结合实现。
本发明还涉及把数据上载到移动终端中的方法,所述方法包括装入站把数据发送给移动终端的步骤,所述数据包括有效负载数据和供移动终端在接收数据时在检验过程中使用的标题数据;其特征在于发送数据的步骤还包括发送标题消息的步骤,所述标题消息包括准备由移动终端在发送包括有效负载数据的至少第一有效负载消息之前用于检验过程的标题数据,允许移动终端拒绝接收有效负载数据。
在一个推荐的实施例中,所述方法还包括以下步骤-接收来自移动终端的关于发送有效负载数据的请求;-响应所接收的请求,把有效负载数据发送给移动终端。
因此,只有在移动终端确认了接收到并成功检验标题数据时才发送有效负载数据,从而避免有效负载数据的不必要的发送。
在另一个推荐的实施例中,所述方法还包括以下步骤-处理准备上载到移动终端中的有效负载;-产生关于处理后的有效负载数据的密码数据项;和-作为标题数据的一部分发送密码数据项。
因此,由于密码数据项是在处理后的数据的基础上(例如在压缩后的数据的基础上)产生的,所以,所述接收移动终端可以在进一步处理之前(例如在对其进行解压之前)检验所述数据,从而可以提高所述方法的效率,因为在接收机处不出现不正确数据的不必要的处理。
本发明还涉及用于把数据装入移动终端的系统,所述系统包括装入站和移动终端,-所述装入站包括第一发射装置,用以向移动终端发送数据,所述数据包括有效负载数据和标题数据;-移动终端包括第一接收装置,用以从装入站接收所述数据;知-处理装置,适合于以基于标题数据的检验过程为条件接收数据;其特征在于-所述装入站适合于在发送有效负载数据之前发送包括标题数据的标题消息;-移动终端适合于从装入站接收标题消息,以便检验所述接收的标题数据,并且若标题数据检验成功,则使所述第一接收装置接收有效负载数据。
装入站这一术语包括任何电子装置,其中包括计算机,诸如固定式或便携式PC、固定式或便携式无线电通信设备。
移动终端这一术语包括所有的便携式无线电通信设备和其他手持式或便携式装置。便携式无线电通信设备这一术语包括移动电话、传呼机、通信机,亦即电子管理机、智能电话、个人数字助理(PDA)、手持式计算机等。
接收装置和发射装置这一术语包括任何适当的通信装置,其中通信装置这一术语包括适合于启动装入站和移动终端之间例如通过有线或无线链路的数据通信的电路和/或装置。这样的通信装置的实例包括网络接口、网络卡、无线电发射机/接收机、电缆调制解调器、电话调制解调器、综合业务数字网(ISDN)适配器、数字用户线路(DSL)适配器、卫星收发器、以太网适配器等。例如,移动终端可以通过有线连接或通过短程无线电通信链路利用电磁信号,诸如红外线,亦即IrDa端口、基于无线电的通信,例如通过蓝牙收发机等连接到装入站。数据还可以通过空中装入,亦即通过移动终端的无线电接口将其连接到无线电远程通信网络,诸如蜂窝数字分组数据(CDPD)网络、全球移动通信系统(GSM)网络、码分多址(TDMA)网络、通用分组无线电业务(GPRS)网络、诸如UMTS网络等的第三代网络。
处理装置这一术语包括通用或专用可编程微处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、可编程逻辑阵列(PLA)、现场可编程门阵列(FPGA)等或它们的组合。
本发明还涉及移动终端,它包括-接收装置,用以从装入站接收数据,所述数据包括有效负载数据和标题数据;和-处理装置,适合于以基于标题数据的检验过程为条件接收数据;其特征在于-接收装置还适合于从装入站接收包括标题数据的标题消息;和-处理装置还适合于检验所接收的标题数据,并且若标题数据检验成功,则使接收装置接收有效负载数据。
本发明还涉及把数据上载到移动终端中的装入站,所述装入站包括用以把数据发送给移动终端的发送装置,所述数据包括有效负载数据和移动终端在接收数据时的检验过程中使用的标题数据;其特征在于所述发送装置还适合于在发送有效负载数据之前发送包括准备由移动终端检验的标题数据的标题消息,使移动终端可以拒绝接收所述有效负载数据。
在推荐的实施例中,装入站包括-第一装置,它包括用以存储秘密密钥的安全存储器和用以产生密码数据项的第二处理装置;以及-第二装置,它包括第二处理装置,用以产生包括所产生的密码数据项的标题数据。
当第一装置是智能卡时,设置可拆卸地连接到(例如插入)第二装置的安全存储器,从而允许容易而可靠地管理密钥和配置装入站。
本发明还涉及包括程序代码工具的计算机程序,所述程序代码工具在移动终端或装入站上运行时适合于执行上述方法之一和下文中的各个步骤。所述计算机程序可以被包括在计算机可读介质中。所述计算机程序还可以以载波上的数据信号,例如以通过通信网络发送的数字信号的形式具体体现。
存储介质和计算机可读介质这一术语包括磁带、光盘、数字视频光盘(DVD)、小光盘(CD或CDROM)、小盘、硬盘、软盘、铁电存储器、电可擦除可编程只读存储器(EEPROM)、闪存、EPROM、只读存储器(ROM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、铁磁存储器、光存储器、电荷耦合器件、智能卡、PCMCIA卡等。
下面将参照附图,联系推荐的实施例比较充分地解释本发明。附图中
图1表示用于把数据装入移动终端的系统的方框图;图2表示移动终端实例的方框图;图3举例说明按照本发明实施例的数据格式;图4举例说明用于本发明实施例的分级密钥结构;图5表示按照本发明实施例把数据装入移动终端的方法的流程图;图6表示按照本发明实施例的用于把数据装入移动终端的系统的方框图;图7a-c举例说明按照本发明实施例的数据格式的实例;以及图8a-b表示按照本发明实施例把数据装入移动终端的方法实例的流程图。
图1表示用于把数据装入移动终端的系统的方框图。所述系统包括装入站101和移动终端105。装入站包括存储介质104,用以存储准备装入移动终端的有效负载数据、正如联系图3和7a-b所描述的准备发送给移动终端的附加信息、用以计算密码校验和和/或用以处理有效负载的其他属性的一个或多个秘密密钥。装入站还包括处理装置103,它适合于例如通过从存储介质104装入的程序来处理有效负载数据,例如,压缩和/或加密有效负载数据和/或将其分成块。处理装置103还适合于产生标题数据,包括产生一个或多个密码校验和。另外,所述处理装置适合于控制有效负载数据和标题数据向移动终端105的传送。处理装置103可以包括通用或专用可编程微处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、可编程逻辑阵列(PLA)、现场可编程门阵列(FPGA)等或它们的组合。装入站还包括通信装置102,所述通信装置102包括适合于使装入站能够通过诸如直接数据链路、通信网络等有线或无线通信链路109与移动终端进行数据通信的电路和/或装置。这样的通信装置的实例包括网络接口、网络卡、无线电发射机/接收机、蓝牙收发器、红外线端口、IrDa端口、电缆调制解调器、电话调制解调器、综合业务数字网(ISDN)适配器、数字用户线路(DSL)适配器、卫星收发器、以太网适配器等。相应地,通信链路109可以是利用电磁波的短程无线通信链路。这样的通信链路的实例包括蓝牙连接或基于射频、红外线、微波等的其他连接。通信链路还可以是有线连接,例如,串行连接、USB连接等。在再一个实施例中,连接可以通过诸如局域网、蜂窝网、互联网等通信网络建立。装入站101还可以包括诸如网络接口、软盘驱动器、CD驱动器等其他接口110,使装入站能够接收准备装入装入站的有效负载数据。可以通过通信网络(例如互联网)从有效负载提供商(例如软件提供商)或通过诸如CD、软盘、存储卡等存储介质接收所述有效负载数据。接收的有效负载数据可能在检验过程和/或其他处理之后,存储在存储介质104上。装入站是传统的适当编程的计算机,例如,PC,包括适当的通信接口。下面将结合图6描述装入站的推荐的实施例。
在另一个实施例中,装入站从远程计算机,例如,个人计算机、工作站、网络服务器等接收有效负载数据和标题信息。例如,可以通过计算机网络(例如互联网、局域网、企业网、外部网等)或通过任何适当的装置(例如通过诸如软盘、CD ROM等计算机可读介质)接收所述数据。在所述实施例中,标题产生、消息摘要的计算和加密由远程计算机而不是装入站完成。装入站,例如,个人计算机,与移动终端合作执行数据装入移动终端的操作,例如,通过串行连接、红外线端口、蓝牙或其他无线电连接等。因此,在所述实施例中,装入站仅仅执行初始传送标题信息的任务,随后最好以单独的有效负载数据块的形式发送有效负载数据。
移动终端105包括相应的通信装置106,所述通信装置106包括适合于使移动终端可以与装入站交换数据的电路和/或装置。移动终端还包括处理装置107,例如通用或专用可编程微处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、可编程逻辑阵列(PLA)、现场可编程门阵列(FPGA)等或其组合。处理装置107适合于通过从移动终端的存储介质108装入的软件从装入站接收标题数据和有效负载数据,以便分析和检验标题信息,并把有效负载数据装入存储介质108。若可用,则处理装置107进一步适合于处理有效负载数据,例如,将其解压或解密。
图2表示移动终端实例的方框图。如上所述,移动终端101包括处理装置107,用以控制移动终端的功能。移动终端还包括无线电接口205,带有天线206,用以向无线电网络(例如蜂窝网络)发射和从其中接收数据。移动终端还包括用户接口204,例如显示器,诸如LCD等、小键盘或其他输入装置,诸如触摸屏等。如果装入与要求从用户输入例如口令、个人身份识别号(PIN)等的交互式鉴定/批准程序结合,则在装入过程中使用用户接口。移动终端还包括用户身份模块(SIM)207,后者包括用以存储用户身份信息、电话号码和其他有关用户向蜂窝网络运营商签定合同的信息的存储器。移动终端还包括存储介质108,后者包括RAM段203、ROM段202和包括闪存的段201。从移动终端接收的有效负载数据可以装入存储器的闪存段和/或RAM段。作为替代或附加,移动终端的存储介质可以包括其他存储器类型,诸如EPROM,EEPROM等或其他存储介质类型,诸如光盘、数字视频盘(DVD)、小光盘(CD或CD ROM)、小盘、硬盘、铁磁存储器、光学存储器、电荷耦合器件、PCMCIA卡等。相应地,有效负载可以装入任何一种替代存储器类型和/或存储介质。在本发明的一个实施例中,从装入站接收的有效负载数据装入SIM 207的存储器。最后,如上所述,移动终端包括通信装置106,例如,蓝牙收发器、IrDa端口、USB适配器、电缆连接器等。作为替代,可以使用无线电接口205来通过空中经蜂窝网络接收数据。例如,移动终端可以是便携式通信设备,其中无线电通信设备这一术语包括所有的设备,诸如移动电话、传呼机、通信机,亦即电子管理机、智能电话、个人数字助理(PDA)、手持式计算机等。
图3举例说明按照本发明实施例的数据格式。所述数据包括标题段301和有效负载段302。有效负载段302包括准备装入移动终端的实际有效负载数据。有效负载数据可以包括软件、诸如应用软件、用以组织和/或控制装入其他软件的预装入器软件、移动终端操作系统的一部分等。作为替代或附加,有效负载数据可以包括其他数据,例如存入移动终端RAM段203、SIM 207和移动终端其他类型存储介质的数据。正如将要联系图7a-b所描述的,有效负载还可以分成更小的段。标题部分301包括有关有效负载的信息、有关移动终端的信息、决定移动终端应如何处理数据的控制参数和加密信息。按照图3的实施例,标题数据分成由移动终端制造商控制的制造商标题303和由有效负载提供商控制的有效负载标题304。制造商标题303包括密码校验和(CCS)303a,后者包括用装入站的秘密密钥加密的消息摘要。密码校验和303a可以由移动终端用来检验标题301的完整性和可靠性。制造商标题还包括硬件信息303b,诸如移动终端芯片组类型。制造商标题还可以包括有关有效负载提供商的信息303c,诸如提供商ID等。显然,作为替代或附加,制造商标题中可以包括其他类型的信息。例如,标题可以包括移动终端在随后有效负载的检验过程中使用的签名密钥。有效负载标题304包括由移动终端用来检验所接收的有效负载数据的密码校验和304a。有效负载标题还包括有效负载的信息304b,诸如软件版本、有关移动终端兼容类型的信息,例如,预定制造商和/或预定型号等的移动终端。有效负载标题还包括证书304c,诸如移动终端在检验过程中用来检验当前或今后有效负载的一个或多个公开密钥。另外,有效负载标题304包括通知移动终端有关接收的有效负载装入何处,例如,装入哪个存储器段、在哪个地址等的目的地信息304d。有效负载标题304还包括命令段304e,所述命令段304e可以包含在存储器的各个单独寻址区域中的访问控制清单、命令、装入选项、诸如所用压缩的类型、有效负载是否应该连续地存储等。显然,作为替代或附加,有效负载标题中可以包括其他类型的信息。还应该明白,可以采用标题信息的其他划分,包括标题根本不划分的实施例。标题303和304可以作为一条消息发送,或各自分开发送。还应该明白,标题可以在按照所用的通信协议,例如,通信栈较低层在发送之前进一步分成更小的分组。相应地,标题可以在通信栈的较低层次上在接收机处重新结合。按照本发明,至少标题303在发送有效负载之前在一条消息中发送。有效负载标题304可以由有效负载提供商产生,由装入站连同有效负载一起接收。或者,有效负载标题可以由装入站根据由有效负载提供商提供的信息产生。
图4举例说明与本发明一个实施例配合使用的分级密钥结构。所述安全机制实现信任链(chain of trust)。所述机制向移动终端制造商或其他适当的当局提供对移动终端的控制。但是,同时,所述机制允许把对装入什么软件或数据的控制委托给一个或多个软件提供商。所述机制基于公开密钥密码学。制造商的公开根密钥401存储在移动终端105中,例如,在存储器108的ROM段202、在处理单元107的专用片上存储器等。然后可以用所述根密钥401来检验准备安装在移动终端105中(例如存储介质108的闪存段201中)的软件提供商的公开密钥402。所述公开密钥是利用所述制造商的与所述公开密钥对应的秘密密钥加密或签名的。例如,作为标题数据301的一部分或在单独的装入过程中,移动终端接收到加密的公开密钥402时,在装入移动终端之前用公开根密钥来检验公开密钥402的可靠性。另外,在移动终端每次启动时,可以用公开根密钥401来检验公开密钥402的证书。一旦安装了,公开密钥402随后可以用来检验所接收的用软件提供商相应的秘密密钥签名的有效负载数据403。因此,按照所述实施例,为了可靠地安装所述软件,软件提供商不必访问制造商秘密密钥,制造商也不必访问软件提供商的秘密密钥。因此,利用公开密钥的优点是,可以容易地实现分级密钥结构。本实施例的另一个优点是,例如,在所述移动终端中可以安装对应于不同的有效负载提供商的几个公开密钥402。另外,对应于公开根密钥401的秘密根密钥只用来对公开密钥402进行加密或签名,而不用来对实际有效负载进行签名,以此提供对根密钥的高度保护。应当指出,上述结构可以扩展,例如,通过引入附加的密钥层。
图5表示按照本发明实施例的数据装入方法的流程图。在初始步骤500中,装入站101准备有效负载。所述步骤包括对有效负载的压缩,以便获得更有效的传输和较低的密码校验和的计算复杂性。作为替代或附加,为了在传输过程中减少被非法窃听的危险,装入站可以对有效负载进行加密。随后在步骤501,装入站产生包括软件信息的标题信息、对执行环境的要求等。所述步骤还包括计算一个或多个密码校验和,例如,对整个标题计算的消息摘要,并用装入站的秘密密钥或另一个密码校验和加密。在所述步骤中,计算消息摘要的任何适当的加密方法均可采用,诸如MD-5、SHA-1等,最好结合诸如RSA、DSA等公开密钥加密方法。作为替代或附加,标题可以包括对标题和有效负载计算的密码校验和。在步骤502,把产生的标题发送给移动终端。在步骤503接收到标题之后,移动终端在步骤504检验标题信息是否正确。所述检验可以包括利用存储在移动终端中的公开密钥检查整个标题的密码校验和。检验过程还可以包括软件版本的检验、把兼容执行环境与移动终端的执行环境比较,例如,比较CPU类型、移动终端类型、操作系统等。若标题信息没有检验成功,则放弃装入过程,从而避免不正确的软件的不必要的传送。在这种情况下,可能触发重新传输,例如,采用另一个软件版本等。若标题信息检验成功,则在步骤505移动终端向装入站发送实际传输有效负载的请求。在步骤506接收到请求时,在步骤507装入站启动有效负载的传输。另外,在步骤507,可以发送目的地信息,指示移动终端把所接收的数据存于何处。在本发明另一个实施例中,移动终端可以不发送请求。在这种情况下,装入站可以,例如,在发送标题后预定时间之后自动启动有效负载的发送。若标题没有检验成功,则移动终端就可以在接收到有效负载时简单地将其抛弃,从而避免存储无效的数据/软件,以及可能覆盖现有的数据/软件。但是,在一个推荐的实施例中,有效负载的传输由来自移动终端的请求触发,从而避免不必要的传输。当接收到有效负载(在步骤509)时,移动终端在随后的步骤510中检验有效负载。这个检验步骤可以包括对整个标题和有效负载计算的密码校验和的检验,或者采用检验所接收的数据的可靠性和/或完整性的加密方法。若有效负载检验成功,则在步骤510,可以对有效负载进一步处理,例如,解压并存储在所接收的目的地信息所指出的目标存储区域。另外,向装入站发送确认信息,通知装入站,有效负载已接收成功。因此当装入站在步骤512接收到所述信息时,装入过程完成。或者,移动终端可以不返回确认。例如,代之以在移动终端的显示器上显示一条消息,以此向用户指示装入过程已经完成。
尤其是,若有效负载包括软件,则特别有利的是,只在检验后才处理所接收的有效负载,例如,解压,因为这保证了在检验完毕之前,所述软件不会以可执行的形式存储。若同样的存储区域既在检验之前用作中间存储器,又作为最终存储区域,随后由此装入可执行软件,以便执行,则这就更加有利。例如,所述接收到的软件可以未经处理存储在闪存中,随后从闪存装入以便检验和处理。检验成功时,相关的闪存块可以删除,经过检验的软件可以处理并装入同一闪存块,但现在以可执行的形式装入。
图6表示按照本发明一个实施例的用于把数据装入移动终端的系统和相应的加密功能的方框图。所述系统包括装入站101和移动终端105,例如,联系图2所描述的移动终端。移动终端包括处理装置107,处理装置107提供计算通过通信装置106从装入站接收的标题数据和有效负载数据的消息摘要的功能610。处理装置107还包括用于从所接收的标题和所接收的有效负载数据提取和解密密码校验和的功能611,产生相应的解密的消息摘要。所述解密可以利用例如RSA算法并根据存储于移动终端的存储介质108的段614的公开密钥来进行。另外,处理装置107提供用于比较计算的和解密的消息摘要以便检验所接收的标题/数据的可靠性和完整性的功能621。若计算的消息摘要和解密的消息摘要不同,则接收到的标题/数据不同于原来的标题/数据,或者所述标题/数据不是用与解密用的公开密钥对应的秘密密钥签名的。因而,拒绝接收到的标题/有效负载。若标题检验成功,则处理装置107使一条消息返回到装入站,请求发送有效负载。最后,处理装置提供用于进一步处理所述接收到的有效负载,诸如将其解压和存入存储器108的相应段615的功能613。上述功能可以用软件实现,或者所描述的特征可以不用软件而用硬接线电路或与软件结合实现。装入站101包括基本装置601,例如,适当编程的个人计算机,或其他适当的装置和加密模块604。所述基本装置包括存储器603,用来存储准备装入移动终端的有效负载数据,例如软件;以及通信电路102,用来与移动终端交换数据,例如,正如联系图1所描述的。基本装置601还包括处理装置602,用以提供为所存储的有效负载产生标题的功能609和对整个有效负载和相应的标题计算一个或多个消息摘要的功能608。加密模块604包括处理装置606,用以根据存储在加密模块的加密存储器605中的秘密密钥,例如利用RSA算法或其他适当的加密方法加密算出的消息摘要。基本装置601的处理装置602还包括用于控制通过基本装置的通信电路102向移动终端发送结果标题和有效负载的功能607。在一个实施例中,以智能卡的形式实现加密装置,而基本装置601装有读卡机,或者在加密装置和基本装置之间可以使用其他接口。本实施例的一个优点是,装入站可以容易地用新的秘密密钥配置,而秘密密钥安全地存储在加密装置中。
应当指出,可以使用装入站不同模块的实施例。例如,加密装置也可以计算消息摘要。
图7a-c举例说明按照本发明一个实施例的数据格式的实例。在图7a-c的实例中,有效负载包括准备装入移动终端闪存的软件。如上所述,闪存是一种被持续地供电的非易失存储器类型,它可以以被称之为块的存储器单位擦除和重新编程。它是电可擦除可编程只读存储器(EEPROM)的变种。但是,尽管EEPROM是在字节的水平上擦除和重写的,但是闪存可以写到块的尺寸,使之容易更新。例如,块可以是64千字节大。图7a-c中的有效负载302分为对应于移动终端闪存的块尺寸的P1,P2,...,PN的相等大小的N块。每块预先用目的地信息D1,D2,...,DN固定,指示应该存储所述接收到的有效负载数据块的闪存中的目标块的块地址。目的地信息可以包括块数目和地址。在连续块的情况下,只需要第一块P1的起始地址。在这种情况下,D1可以提供起始地址,而其余的Di可以设置为0或被忽略。标题信息最好包括移动终端应如何解释目的地清单。在一个替代的实施例中,目的地信息可以被包括在标题中,从而保证在把数据装入所述目的地之前,目的地信息经过密码检验。若有效负载包括准备装入IRAM的软件,以便避免未经许可地覆盖现有软件,则这是特别有利的。
若有效负载的尺寸不是块尺寸的整倍数,则数据,例如用0填充。现参见图7a,标题段301包括与制造商相关的标题段301a,带有相应的标题密码校验和301b,标题密码校验和301b包括对整个标题信息301a算出的加密消息摘要,亦即CCSH=RSAK1(SHA1(HM)),亦即按照加密散列算法(SHA-1)算出的标题段301a的消息摘要,并利用RSA算法用装入站的秘密密钥k1,最好用制造商的秘密密钥加密。在一个实施例中,对消息摘要MDH=SHA1(HM)进行填充,以便达到RSA操作的适当长度,亦即CCSH=RSAK1(SHA1(HM)|填充),式中的’|’符号表示位串的串联。填充可以按照适当的填充方案,例如,PKCS#1填充完成。在一个实施例中,还对准备用于对移动终端上的有效负载消息摘要解密的公开密钥计算标题密码校验和。301a中的标题信息可以包括与移动终端类型相关而与有效负载的实际内容无关的信息。标题301还包括与有效负载有关的标题301c,后者包括诸如软件版本、兼容执行环境规格、指示移动终端在处理有效负载过程中用的参数的命令段。例如,所述信息可以包括有效负载数据块的块数目N和关于所述有效负载数据块是否对应于一系列连续块或者它们是不是单独的分散的块。所述参数还可以包括有关是否压缩和压缩类型和/或是否加密和加密类型的信息、有效负载的长度等。最后,标题包括密码校验和301d,密码校验和301d包括有效负载标题的消息摘要MDPL的加密清单和N个消息摘要,亦即CCSPL=RSAK2(MDPL|MD1|MD2|...|MDN),每条消息摘要MD1,MD2,...,MDN与相应的一个块P1,...,PN相关。所述清单用软件提供商的秘密密钥K2加密。在一个实施例中,MD1是对整个标题段301a-c计算的,目的地信息D1和第一有效负载数据块P1,亦即MD1=SHA1(HM|CCSH|HPL|D1|P1),式中’|’符号表示位串的串联。其余的消息摘要,亦即MD2,...,MDN作相应的计算,亦即Mdi=SHA1(HM|CCSH|HPL|D1|P1|...|Di|Pi),i=2,...,N
应当指出,可以不用不同的秘密密钥来计算CCSH和块密码校验和,而分别采用相同的秘密密钥。例如,若整个标题信息301由一个当局产生,则可以采用所述当局的秘密密钥。
还应当指出,消息摘要MD1,...,MDN-1可以截短,例如,截短为一个字节,以便缩小标题的尺寸。这意味着成功尝试插入伪块的几率增大,例如,在截短为一个字节的情况下,增大到1/16的几率。但是,在最后检查MDN的过程中可能注意到这样的修改。
现参照图7b,所述数据格式包括标题段301和有效负载段302,如上所述,带有N个有效负载数据块。另外,所述数据格式包括段703,后者包括有效负载数据块P1,...,PN-1的截短的块消息摘要MD*1,...,MD*N-1。如上所述,消息摘要可以按照下式计算MD1=SHA1(HM|CCSH|HPL|D1|P1|...|Di|Pi),i=1,...,N-1正如联系图7a所描述的,块消息摘要最好截短为一个字节,正如用星号’*’表示的。标题段301包括与制造商相关的标题段301a,正如联系图7a所描述的,带有相应的标题密码校验和301b。正如联系图7a所描述的,标题301还包括与有效负载有关的标题301c。最后,标题包括密码校验和,后者包括有效负载标题301b的消息摘要MDPL的加密清单、最后一个有效负载数据块PN的全块消息摘要MDN和消息摘要302清单的消息摘要MDL,即CCSPL=RSAk2(MPL|MDN|MDL)。例如,每一个消息摘要可以包括20字节。所述清单利用软件提供商的秘密密钥k2加密。具体地说,即使以前的块消息摘要MD*1,...,MD*N-1被截短,非截短块消息摘要MDN也允许所述接收到的数据进行可靠的最后检验。
本实施例的一个优点是,只有清单302的消息摘要MDL和消息摘要MDN才需要加密,而不是所有的块消息摘要MD*1,...,MD*N-1都需要加密,从而大大减小了消息的尺寸。块数目N多时,这特别有利。
现参照图7c,不是把消息摘要清单的块密码校验和包括在标题中,而可以把加密的消息摘要CCSi=RSAk2(MDi)加到各个块的前头。但是,图7a-b的实施例的一个优点是,为了取出消息摘要,只需要完成一个解密步骤,从而减少计算要求。按照所述实施例,标题包括标题段301f,后者既包括制造商有关的信息又包括与有效负载有关的信息。因此,相应的标题密码校验和301g是对整个标题段301f计算的。
图8a-c表示按照本发明一个实施例的分别对应于图7a-b的数据格式的把数据装入移动终端的方法实例的流程图。参见图8a,在初始步骤800,装入站101压缩有效负载并产生标题信息,例如,联系图7a描述的标题信息。在另一个实施例中,有效负载可以由有效负载提供商压缩,而装入站接收压缩形式的有效负载。在步骤801,与移动终端105建立通信链路,利用适当的通信协议把标题301发送给移动终端。移动终端在步骤802接收标题信息,并提取图7a的各个标题段301a-301d,亦即HM和CCSH、HPL的数据以及消息摘要MDPL,MD1,...,MDN的加密清单CCSPL。利用存储在移动终端中的相应的公开密钥对所述接收到的CCSPL进行解密,并提取有效负载的消息摘要和块消息摘要MD1,...,MDN。另外,移动终端检验所述标题信息。这个检验过程包括若干个不同的检查,例如-对所述接收到的整个标题信息计算标题消息摘要,并提取包括于标题的CCSH,并用存储在移动终端的相应的公开密钥进行解密。若这两个值相同,则所述标题被接受为有效并来自可信赖的信源。
-检验消息摘要MDPL,-把附加参数,诸如芯片组的类型、移动终端的类型等与所述移动终端的实际执行环境比较。
若检验失败,则放弃装入过程。若检验成功,则在步骤804从移动终端向装入站发送确认信号,确认接收到标题。在另一个实施例中,移动终端可以向装入站发送有效负载的请求。应当指出,在一个替代的实施例中,标题可以作为两条或多条消息发送和检验。例如,最初发送包括制造商标题的标题段301a-b。检验所述信息之后可以发送和检验有效负载标题301c-d。接收到确认信号(步骤805)时,在步骤806装入站开始发送有效负载数据块Pi,i=1,...,N,每一个有效负载数据块的前头加有相应的目的地信息Di最初把计数器设置为i=1。在步骤807,从装入站为移动终端发送块Pi和目的地信息Di。在步骤808,移动终端接收块Pi和目的地信息Di,将其装入RAM中。在RAM中已经可以得到从标题信息提取的相应的MDi。在步骤809,检查块消息摘要MDi。由此,消息摘要的计算对应于装入站中的计算,亦即在图7a的实例中MDi=SHA1(HM|CCSH|HPL|D1|P1|...|Di|Pi),对于i=1,...,N随后,把计算和解密的MDi值彼此比较。若它们不同,则拒绝接收所述块,并在步骤810请求重发,除非超过了允许重发的预定最大数目。在这种情况下,放弃装入过程。
若消息摘要相等,则对块Pi进行解压并将其存储在目的地信息Di所指示的闪存的一块中。若当前块不是最后一块,亦即i<N,则在步骤812通过请求向移动终端发送下一块,确认块Pi的成功装入。接收到请求时(步骤813),从步骤807开始,装入站把相应的计数器加一(步骤814),通过发送下一块进行叠代。当最后一块成功装入时,在步骤816向装入站发送最后的确认信号。接收到最后的确认(步骤817)时,装入站结束装入过程。
现参照图8b,如上所述,装入站101在步骤800压缩有效负载,并产生联系图7b描述的标题信息。在另一个实施例中,有效负载由有效负载提供商压缩,装入站接收压缩形式的有效负载。在步骤801,与移动终端105建立通信链路,利用适当的通信协议向移动终端发送标题301。移动终端在步骤802接收到标题信息,并提取图7b的各个标题段301a-c和301e。对整个接收的标题信息HM计算标题的消息摘要,并把算出的消息摘要与通过解密所接收的CCSH提取的相应值比较。若两值相同,则所述标题被接受为有效,并源自可信赖的信源。此外,利用存储在移动终端中相应的公开密钥对所接收的CCSPL进行解密,取出消息摘要MDPL、MDN和MDL。可以用MDPL检验有效负载标题HPL301c,而把其余的两个消息摘要存储在RAM中以备后用。另外,移动终端还可以如上所述地检验标题信息。若检验失败,则放弃装入过程。若检验成功,则在步骤804从移动终端向装入站发送确认信号,确认接收到标题。接收到确认信号(步骤805)时,装入站在步骤820开始发送截短块消息摘要MD*1,...,MD*N-1的清单703。接收到所述清单时,移动终端在步骤821通过计算相应的消息摘要并把结果与以前接收的MDL值比较,检验所述接收到的清单。若它们不同,则拒绝所述清单,在步骤822请求重发,除非已经超过约定的重发最大次数。在这种情况下,放弃装入过程。若所述清单检验成功,则在步骤823向装入站发送确认。接收到确认信号(步骤824)时,装入站在步骤807开始发送有效负载数据块Pi,i=1,...,N,每个有效负载数据块的前头加有相应的目的地信息Di最初,将计数器设置为i=1。在步骤807,从装入站向移动终端发送块Pi和目的地信息Di。在步骤808,移动终端接收到块Pi和目的地信息Di,并把它们装入RAM。在RAM中已经可以得到从接收到的清单中提取的相应的MD*i。在步骤809,检查块消息摘要。于是,计算消息摘要,对应于装入站的计数器并把截短的MD*i位与算出的消息摘要的相应位比较。若它们不同,则拒绝接收所述块,在步骤810请求重发,除非已经超过预定的最大允许重发次数。在这种情况下,放弃装入过程。若截短的消息摘要相等,则对块Pi进行解压,并按照目的地信息将其存储在闪存的一个块中。若当前块不是最后的一块,亦即i<N,则在步骤812通过向移动终端发送对下一块的相应的请求来确认块Pi的成功装入。接收到所述请求(步骤813)时,装入站从步骤807开始使相应的计数器加一(步骤814)。若当前块是最后一块PN,则检查块消息摘要的步骤809涉及相应的消息摘要的计算,例如,按照MDN=SHA1(HM|CCSH|HPL|D1|P1|...|DN|PN)在这种情况下,把算出的消息摘要与作为标题信息一部分接收的MDN(可能是未截短的)值比较。结果,MDN的计算涉及以前所有的有效负载数据块,所以以前由于消息摘要MD*1,...,MD*N-1的截短而错误接受的块P1,...,PN-1中的一块,在此刻都可以被查出。当最后一块PN成功装入时,在步骤816向装入站发送最后的确认信号。接收到所述最后确认时,装入站结束装入过程。
或者,可以把目的地信息和有效负载消息摘要与各个块相联系,而不是作为初始标题的一部分而发送。这相当于图7c实例的数据格式。
图8a-b的实施例的一个优点是,所接收的有效负载的每一块都只需要刷新一次,亦即在成功检验之后和可能的进一步处理之后,由此提高了所述方法的效率。另外,每一块闪存只写入一次(若新的数据检验成功),从而避免用无效的更新覆盖以前的数据。
还应当指出,计算密码校验和、消息摘要等的其他方法,诸如MD-4、MD-5或其他技术,诸如循环冗余检查也可以采用。
在一个实施例中,用于加密标题消息摘要和块消息摘要的密钥是分级信任链中不同的密钥,当局根据所述分级信任链控制不同的标题信息和有效负载。例如,按照图4的实例,根密钥401用来解密标题密码校验和,而同时公开密钥可以用来解密块消息摘要。
本实施例的一个优点是,它允许对现有软件或其他有效负载的差动更新。例如,若更新后的软件版本在某些存储器块上不同于老的版本,则上述方法允许把所述装入过程限于装入受影响的块,刷新由目的地信息Di指定的相应的存储块中的受影响的块。包括被改变的块的补丁的产生可以是在发送标题之前由装入站完成的处理的一部分。
另外,下载可以限于实际要求的补丁。所用的压缩算法可以针对补丁优化,从而减少数据量。通常,补丁是软件中的分散的变化。因此,可以以位串的形式表示软件更新,所述位串中零表示没有变化,而1表示变化。在这种表示中,典型的补丁更新对应于几乎零串。因此,对于这种类型的信息串,可以优化用于软件更新串的压缩算法,从而产生非常有效的软件补丁下载方法。
权利要求
1.一种把数据装入移动终端(105)的方法,所述方法包括以下步骤-所述移动终端从装入站(101)接收数据,所述数据包括有效负载数据(302)和标题数据(301);以及-所述移动终端以基于所述标题数据的检验过程为条件接收所述数据;其特征在于所述接收数据的步骤还包括以下步骤-所述移动终端从所述装入站接收(503,802)包括所述标题数据的标题消息;-所述移动终端检验(504,802)所述接收的标题数据;-若对所述标题数据检验成功,则接收(508,808)包括所述有效负载的至少第一有效负载消息。
2.如权利要求1所述的方法,其特征在于所述标题数据包括第一密码数据项(303a,301b,301d,301e),而所述移动终端接收所述数据的步骤包括执行基于所述第一密码数据项的密码检验过程。
3.如权利要求1或2所述的方法,其特征在于把所述有效负载数据分成若干有效负载数据块(P1,...,PN),而所述接收有效负载数据的步骤还包括接收若干条有效负载消息的步骤,每条有效负载消息包括所述有效负载数据块之一;以及把所述接收的若干个有效负载数据块中的每一个存入存储介质。
4.如权利要求2所述的方法,其特征在于把所述有效负载分成若干个有效负载数据块(P1,...,PN),所述方法还包括接收与所述若干个有效负载数据块中相应的一些有效负载数据块有关的相应的若干消息摘要(703)的步骤(821);所述接收有效负载数据的步骤还包括接收若干条有效负载消息的步骤,每条所述有效负载消息包括所述若干个有效负载数据块中一个;以及对于所述若干个有效负载数据块中的每一个,所述移动终端接收所述数据的所述步骤还包括-所述移动终端以基于所述各消息摘要中相应的一个的密码检验过程为条件,接收所述有效负载数据块;-处理所述接收的有效负载数据块;-把所述处理后的有效负载数据块存储在存储介质中。
5.如权利要求4所述的方法,其特征在于用于接收第二有效负载数据块之后接收的第一有效负载数据块的接收步骤的密码检验过程还基于用于前一个接收所述第二有效负载数据块的步骤的密码检验过程的结果。
6.如权利要求3至5中任何一个所述的方法,其特征在于把所述存储介质分成若干个存储块,每个存储块具有预定的大小;而所述若干个有效负载数据块中每一个的块大小对应于所述存储块的大小。
7.如权利要求6所述的方法,其特征在于所述有效负载数据包括装入所述移动终端的现有数据的更新;而所述方法还包括只装入不同于相应的现有数据块的有效负载数据块的步骤。
8.如权利要求2至7中任何一个所述的方法,其特征在于所述第一密码数据项包括用当局的秘密密钥加密的第一消息摘要;而所述移动终端接收数据的所述步骤包括以下步骤-计算所述接收的标题数据和所述接收的有效负载数据的第二消息摘要;-用所述当局的公开密钥对所述第一消息摘要进行解密;以及-把所述解密的第一消息摘要与所述算出的第二消息摘要进行比较。
9.如权利要求2至8中任何一个所述的方法,其特征在于所述标题数据还包括准备由所述移动终端在检验过程中用作发布所述有效负载的当局的公开密钥的签名密钥。
10.如权利要求1至9中任何一个所述的方法,其特征在于所述标题数据还包括第二密码数据项,而所述检验标题数据的步骤包括根据所述第二密码数据项执行对所述标题数据的密码检验的步骤。
11.如权利要求1至10中任何一个所述的方法,其特征在于所述方法还包括以所述移动终端接收数据的步骤为条件处理所述有效负载数据的步骤。
12.如权利要求11所述的方法,其特征在于所述有效负载数据是以压缩的形式接收的;而所述处理步骤包括对所述有效负载数据进行解压缩的步骤。
13.如权利要求1至12中任何一个所述的方法,其特征在于所述方法还包括以检验所述标题数据的步骤的结果为条件,向所述装入站发送接收所述有效负载数据的请求的步骤。
14.如权利要求1至13中任何一个所述的方法,其特征在于所述有效负载数据包括程序代码工具。
15.如权利要求1至14中任何一个所述的方法,其特征在于所述有效负载数据包括软件补丁。
16.一种把数据上载到移动终端(105)中的方法,所述方法包括由装入站(101)向所述移动终端发送所述数据的步骤,所述数据包括有效负载数据(302)和接收所述数据时由所述移动终端用于检验过程的标题数据(301);其特征在于所述发送数据的步骤还包括以下步骤(502,801)在发送包括所述有效负载数据的至少第一有效负载消息(507,807)之前发送包括准备由所述移动终端检验的所述标题数据的标题消息,允许所述移动终端拒绝接收所述有效负载数据。
17.如权利要求16所述的方法,其特征在于所述方法还包括以下步骤接收来自所述移动终端的关于发送所述有效负载数据的请求;响应所述接收到的请求,把所述有效负载数据发送到所述移动终端。
18.如权利要求16或17所述的方法,其特征在于所述方法还包括以下-处理准备上载到所述移动终端中的所述有效负载数据;-为所述处理后的有效负载数据产生密码数据项;和-把所述密码数据项作为所述标题数据的一部分发送。
19.如权利要求16至18中任何一个所述的方法,其特征在于所述方法还包括以下步骤-把所述有效负载数据分成一系列有效负载数据块,每个有效负载数据块具有与所述移动终端的准备存储所述有效负载数据的存储器块大小相应的预定大小;以及-发送若干有效负载消息,每个有效负载消息包括所述若干个有效负载数据块中的一个。
20.如权利要求19所述的方法,其特征在于所述方法还包括以下步骤-产生一系列消息摘要,使每条消息摘与所述若干个有效负载数据块中的一个相关;以及-发送所述一序列消息摘要。
21.如权利要求19或20所述的方法,其特征在于所述有效负载数据包括装入所述移动终端的现有数据的更新;以及所述方法还包括只发送不同于现有数据块的有效负载数据块的步骤。
22.一种用于把数据装入移动终端(105)的系统,所述系统包括装入站(101)和所述移动终端,-所述装入站包括第一发送装置(102),用以向所述移动终端发送数据,所述数据包括有效负载数据和标题数据;-所述移动终端包括第一接收装置(106),用以从所述装入站接收所述数据;以及-处理装置(107),它适合于以基于所述标题数据的检验过程为条件,接收所述数据;其特征在于-所述装入站适合于在发送所述有效负载数据之前发送包括所述标题数据的标题消息;-所述移动终端适合于从所述装入站接收所述标题消息,以便检验所述接收的标题数据,并且若对所述标题数据的检验成功,则使所述第一接收装置接收所述有效负载数据。
23.一种移动终端(105),它包括-接收装置(106),用以从装入站(101)接收数据,所述数据包括有效负载数据(302)和标题数据(301);以及-处理装置(107),它适合于以基于所述标题数据的检验过程为条件接受所述接收的数据;其特征在于-所述接收装置还适合于从所述装入站接收包括所述标题数据的标题消息;以及-所述处理装置还适合于检验所述接收的标题数据,并且若对所述标题数据的检验成功,则使所述接收装置接收所述有效负载数据。
24.一种用于把数据上载到移动终端(105)中的装入站(101),所述装入站包括用于把数据发送到所述移动终端的发送装置(102),所述数据包括有效负载数据(302)和所述移动终端在接受数据时用于检验过程中的标题数据(301);其特征在于所述发送装置还适合于在发送所述有效负载数据之前发送包括准备由所述移动终端检验的所述标题数据的标题消息,使所述移动终端可以拒绝接收所述有效负载数据。
25.如权利要求24所述的装入站,其特征在于所述装入站包括-第一装置(604),它包括用以存储秘密密钥的安全存储器(603)和用以产生密码数据项的第二处理装置(606);以及-第二装置(601),它包括用以产生包括所述产生的密码数据项的所述标题数据的第二处理装置(602)。
26.如权利要求25所述的装入站,其特征在于所述第一装置是智能卡。
27.一种计算机程序,它包括程序代码工具,后者适合于当在移动终端上执行时完成按照权利要求1至15中任何一个的方法的步骤。
28.如权利要求27所述的计算机程序,其特征在于所述计算机程序被包括计算机可读介质中。
29.如权利要求27所述的计算机程序,其特征在于以载波上的数据信号的形式实现所述计算机程序。
30.一种计算机程序,它包括程序代码工具,后者适合于当在装入站上执行时完成按照权利要求16至21中任何一个的方法的步骤。
31.如权利要求30所述的计算机程序,其特征在于所述计算机程序被包括计算机可读介质中。
32.如权利要求30所述的计算机程序,其特征在于以载波上的数据信号的形式实现所述计算机程序现。
全文摘要
公开了一种把诸如软件等数据装入移动终端的方法,其中所述数据从装入站装入,而所述数据包括有效负载数据和标题数据。所述移动终端以基于所述标题数据的校验过程接受所述数据。接收数据的步骤还包括所述移动终端从装入站接收包括所述标题数据的标题消息,移动终端校验所接收的标题数据,若标题数据校验成功,则接收包括有效负载数据的至少第一有效负载消息。
文档编号G06F21/00GK1615463SQ02827146
公开日2005年5月11日 申请日期2002年12月20日 优先权日2002年1月18日
发明者H·奥斯托夫, B·施梅茨, C·格尔曼 申请人:艾利森电话股份有限公司