在释放的运行时环境中建筑控制软件的防操纵的安装的制作方法

在释放的运行时环境中建筑控制软件的防操纵的安装的制作方法
【技术领域】
[0001]本发明涉及用于安装建筑控制软件的方法。该方法可以不仅在软件的第一次安装中而且在通过改写、更换或打补丁来更新软件或数据时被应用。
[0002]此外，本发明还涉及作为软件交付实例的装置和作为运行时环境的装置。最后提及的被设置用于作为运行时环境起作用的装置可以包括多于一个的设备。例如，要安装的软件可以为了事后在第一设备上的实施而被安装和/或释放。与此独立的第二设备可以准备好从软件交付实例调用要安装的软件和/或从软件交付实例获得对已经安装的软件的释放，并把该软件和/或释放移交给该第一设备。例如，该第一设备可以是建筑控制装置。该第二设备典型地是服务PC或服务智能手机。
【背景技术】
[0003]已知一种方法，在该方法中建筑控制装置定期地与服务器接触，以便从该服务器调用更新的建筑控制软件。

【发明内容】

[0004]本发明所基于的任务在于，提供一种方法，利用该方法能够防操纵地只在如下运行时环境中加载或只在如下运行时环境中激活建筑控制软件，该建筑控制软件被设置用于该运行时环境。例如，这可以是确定的运行时环境，要加载或要激活的建筑控制软件已针对该运行时环境被支付。
[0005]按照本发明，这个任务通过提供一种用于安装建筑控制软件的方法来解决，该方法包括下列步骤:
[0006]?把运行时环境的标识从该运行时环境传送给软件交付实例；
[0007]籲由该软件交付实例产生文件，其中该文件包括所传送的标识和要安装的软件或该要安装的软件的散列；
[0008]籲由该软件交付实例借助于该软件交付实例的密钥对所产生的文件进行签名；
[0009]籲把被签名的文件从该软件交付实例传送给该运行时环境；
[0010]籲由该运行时环境比较该运行时环境的标识与在该被签名的文件中实际传送的标识是否一致；和
[0011]?当且仅当该比较得出了该运行时环境的标识与在该被签名的文件中实际传送的标识一致时，才在该运行时环境中安装和/或释放该要安装的软件。
[0012]关于装置，该任务通过以下方式来解决，即该装置准备好用作根据本发明的方法之一的软件交付实例和/或运行时环境。
[0013]通过当且仅当该比较得出了该运行时环境的标识与在该被签名的文件中实际传送的标识一致时才发生该要安装的软件在该运行时环境中的安装和/或释放来保证:可以只在如下运行时环境中加载或只在如下运行时环境中激活建筑控制软件，该建筑控制软件被设置用于该运行时环境。
[0014]适宜的是，为了把运行时环境的标识从该运行时环境传送给软件交付实例，应用借助于对称的加密方法和/或借助于非对称的加密方法的鉴权。利用加密方法可以端对端地、即不取决于所利用的传输路径的可靠性检查所传送的标识的可靠性。借助于非对称的加密方法的鉴权与借助于对称的加密方法的鉴权相比有如下优点，即尤其是在参与的运行时环境的数量大时简化密钥交换，因为用于检查该可靠性的密钥可以在公共数据库中被管理并且(例如在一般可访问的网页上)被公开。在此，该公共数据库具有公证人功能并且因此必须本身是可靠的。
[0015]此外，适宜的是，为了把运行时环境的标识从运行时环境传送给软件交付实例，应用借助于对称的加密方法和/或借助于非对称的加密方法的加密。利用加密方法可以端对端地、即不取决于所利用的传输路径的防窃听性实现用于传送标识的防窃听保护。借助于非对称的加密方法的加密与借助于对称的加密方法的加密有如下优点，即尤其是在参与的运行时环境的数量大时简化密钥交换，因为可以在不损害防窃听性的情况下公开用于加密的密钥。
[0016]优选的是，该方法还包括下列步骤:检验该运行时环境以传送给软件交付实例的标识引起要安装的软件的下载、安装或利用的授权。由此可以避免由如下运行时环境下载软件，该运行时环境由于缺少硬件和/或软件前提、由于缺少适当的合同关系、由于法律规定、由于未支付、由于滥用危险和/或由于其他原因而未被授权下载该软件。尤其优选的是，检验授权的步骤包括偿付能力检查和/或支付过程。由此可以在下载该软件之前保证为下载和/或为使用该要下载的软件所规定的报酬的提供。
[0017]一个改进方案规定，运行时环境的标识和该要安装的软件分开被签名以产生被签名的文件，或运行时环境的标识和该要安装的软件的散列分开被签名以产生该被签名的文件。由此被签名的标识可以节省资源地在不考虑要安装的软件的被签名的部分的情况下被检查。
[0018]一个替代的改进方案规定，包含该运行时环境的标识和该要安装的软件的散列或包含运行时环境的标识和要安装的软件的文件由该软件交付实例作为整体进行签名。由此可以排除不同交易的被签名的文件部分的不适当的组合。
[0019]特别优选的是，运行时环境的标识与所期望的软件版本的名称一起从运行时环境传送给软件交付实例。由此该软件交付实例可以支持运行时环境特定的和/或过程特定的软件版本的下载。
[0020]适宜的是，在要安装的软件的安装步骤中执行下列子步骤:将该要安装的软件从软件交付实例下载到该运行时环境，产生下载的软件的散列，把该下载的软件的散列与来自所传送的被签名的文件的散列进行比较，以及当且仅当该比较得出了该下载的软件的散列与在被签名的文件中所传送的那个散列一致时才在该运行时环境中使用该下载的软件。
【附图说明】
[0021]根据附图对本发明更详细地进行说明，在附图中:
[0022]图1示出用于软件更新的方法的消息交换图。
【具体实施方式】
[0023]随后更详细地描述的实施例是本发明的优选的实施方式。
[0024]在图1中根据消息交换图所示出的用于安装建筑控制软件S的方法100包括下列步骤。在第一步骤110中，可靠地和/或防窃听地把运行时环境LU的标识LUi传送给软件交付实例Al。为此可以应用借助于对称的加密方法和/或借助于非对称的加密方法的鉴权。例如，把运行时环境LU的标识LUi传送到软件交付实例Al可以借助于电子邮件(例如借助于PGP方法加密)或通过互联网网页(例如借助于安全的超文本传输协议(例如借助于HTTPS)进行。与所利用的传送方法的类型无关地假定，运行时环境LU的标识LUi是唯一的并且不能被运行时环境LU的用户改变(HTTPS = Hypertext Transfer ProtocolSecure (超文本传输协议安全)。典型地，该运行时环境LU的标识LUi是硬件的序列号(例如移动站的IMEI)或运行时环境LU的软件(IMEI = Internat1nal Mobile Stat1nEquipment Identity (国际移动站设备标识))。
[0025]典型地，软件S的调用受确定的前提约束，诸如受交易条件的接受或受购买价、使用费或更新费的缴纳约束。在这种情况下适宜的是，该方法100还包括下列第二步骤120:检验120运行时环境LU以被传送给该软件交付实例Al的标识LUi引起要安装的软件S的下载150、安装170或利用的授权。
[0026]在第三步骤130中，由软件交付实例Al产生文件D，其中该文件D包括所传送的标识LUi和该要安装的软件S和/或该要安装的软件的散列H(S)。在第四步骤140中，软件交付实例Al借助于软件交付实例Al的密钥Kai对所产生的文件D进行签名。借助于签名Kai的检验可以确认该文件D是否被改变了。在第五步骤150中，被签名的文件Kai (D)从软件交付实例Al被传送给该运行时环境LU。在第六步骤160中，运行时环境LU比较该运行时环境LU的标识LUi是否与在该被签名的文件Kai (D)中实际传送的标识LUi' —致。在第七步骤170中，当且仅当该比较160得出了该运行时环境LU的标识LUi与在该被签名的文件Kai (D)中实际传送的标识LUi' —致时，才在该运行时环境LU中安装和/或针对使用释放该要安装的软件S。
[0027]一种实施方式规定，该运行时环境LU的标识LUi和要安装的软件S分开被签名以产生该被签名的文件Kai (D)，或该运