专利名称:测试启用应用的执行的制作方法
测试启用应用的执行
本申请是国际申请日为2002年8月15日、国际申请号PCT/US02/26034、 中国国家申请号为02818501.3、发明名称为"测试启用应用的执行"的申请的 分案申请。
相关申请的参照条目 本申请受益于临时申请号60312675,该申请提交于2001年8月15日,处 于等待期间,在此引入作为参考。
I. 本发明的领域
本发明涉及用于无线设备内的应用的处理,尤其涉及增加在无线设备上执 行的应用的安全性、安全以及完整性。
II. 背景
无线通信在近些年来经历了爆炸性的增长。由于用户和商业更多地依赖它 们的无线设备,诸如移动电话和个人数字助手(PDA),所以无线服务提供商即 电信公司试图提供在这些无线设备商的附加的功能。这附加的功能不仅会增加 对无线设备的需求还会增加在当前用户间的使用。增加功能,尤其是增加无线 设备可以接入的应用却是费用昂贵且复杂的,因此使得电信公司很难提供该种 功能。
另外,几乎不能保证某个应用一旦放置到无线设备上后,能正确执行。当 前应用能否在无线设备上执行的可靠性还是依赖于开发商、无线设备制造者和 /或电信公司。随着研发了更多的应用以及无线设备上的应用数的增加,无线 设备环境变得更具动态性。例如,无线设备可能在任何给定时间从大量的可用 应用中选择获取或执行多个不同的应用。因此,保证^f壬何给定的应用会被分发 到无线设备且被安全地被执行就变得非常难以控制了。
这一点非常令人担心,因为应用的不恰当的执行不仅会有损于无线设备, 还可能对电信公司网络和其它网络元件(包括其它无线设备)有损。例如, 一个 应用,如果没有限制,会控制一无线设备的功率控制并引起其它无线设备间的干扰并减少了服务无线设备的小区内的总体容量。
当前,无线设备制造商和电信公司都不能处理动态应用发送和执行环境下 的应用的测试和安全分发。因此,担心的是被分发到无线设备上并在执行的应 用可能会有损于无线设备、网络或网络上的其它无线设备。
另外,随着研发出更多的应用以及应用发射到无线设备的环境变得越来越 动态,还需要考虑其它安全因素。由于应用的数目和建立这些应用的开发商的 增长,希望能知道任何给定应用的来源即开发者的期望也随之增加。电信公司 或手机制造商会希望能有一定可靠性地知道他们可以确定应用的来源。
本发明的概述
与本发明一致的系统和方法通过使得应用能在设备上进行独立测试而克
服了现存系统的缺点。
在一实施例中, 一种用于在无线设备上执行应用的方法,包括接收与无线 设备相关联的许可,请求无线设备上的应用的执行,使用存储在无线设备上的规则 评估与无线设备相关联的许可以及如果许可评估和规则指明应用被允许执行,则执 行应用。该方法还包括请求在无线设备上执行第二应用,以及根据第二许可评估以 及指明第二应用可以被允许执行的规则执行第二应用。
在本发明的另一实施例, 一种访问无线设备上的应用的方法包括为无线设备 请求应用独立许可,接收与应用独立的许可,在无线设备上起始第一应用的访问, 评估无线设备上的与第一应用独立的许可,以及如果应用独立许可的许可指示允许 访问,则访问第一应用。
在本发明的另一实施例中,无线设备包括一个输入,用于接收与应用独立的 许可, 一个存储器,用于存储与应用独立的许可以及与无线设备相关的唯一标识符, 以及控制程序,用于通过评估与应用独立的许可和唯一标识符确定应用的访问。
在本发明的另一实施例中, 一种管理设备上的测试的方法包括接收测试实体 的简介信息,评估测试实体的简介信息,发送与设备相关的测试密钥,以及跟踪测 试密钥的分布。该测试密钥可以是启用测试的许可该方法还可能进一步包括分配与 测试密钥相关联的超时时期,其中在超时时测试密钥不再有效。本方法还包括在设 备上测试多个应用,其中测试多个应用包括在执行多个应用的每个之前评估测试密 钥。附图的简要说明
包括在此的附图作为描述的一部分对本发明的最优实施例进行说明,且连 同以上给出的一般描述以及以下给出的最优实施例的详细描述,用于描述本发 明的原理。在附图中
图1是描述本发明的示例实施例内的安全的应用分发和执行的高层处理的 流程图2是描述本发明的示例实施例可以实现的系统结构的框图3描述的是无线网络结构的框图,可能在其中实现本发明的示例实施例
中的安全应用分发处理系统;
图4是描述本发明的示例实施例内的无线设备和一些内部元件的框图; 图5是用于描述在本发明的示例实施例内用于建立数字签名的信息并将其
发送到无线设备的框图6是描述在本发明的示例实施例中在分发应用时由服务器使用的步骤的
流程图7是描述在本发明的示例实施例中当执行应用时无线设备使用的步骤的 流程图8描述了本发明的示例实施例可能实现的系统结构; 图9描述了在本发明的示例实施例中接收测试启用许可的处理的流程图; 图10示出了在本发明的示例实施例中执行带有存储在无线设备上的测试 启用许可的应用的过程。
最优实施例的详细描述 在本发明的示例和最优实施例的描述中会更详细地参考附图中的说明,附
图中相同的符号具有相同的标识。在连同附图考虑以下详述的描述后,本发明 的特征、性质和优点对于本领域的技术人员将变得更加明显。
引言
本发明通过提供测试应用的系统和方法提供安全和保险的应用分发和执 行,该种测试是为了保证它满足其执行环境的要求。另外,通过使用规则和许 可列表、应用移去以及修改检测技术(诸如数字签名),本发明提供一种机制, 它安全地分发并执行经测试或未经测试的应用,这是通过确定应用是否经修改、确定它是否有在给定无线设备环境上具有执行的许可、以及需要时将应用 移去而实现的。
对于本领域的技术人员可以意识到以上描述了一种简化描述的被分发并 被执行的应用文件类型。"应用"还可能包括带有可执行内容的文件,诸如 对象代码、脚本、java文件、书签文件(即PQA文件)、丽L脚本、字节代码以 及perl脚本。另外在此所称的"应用"还可能包括本质上不可执行的文件, 诸如可能需要打开的文档或需要访问的其它数据文件。
图l是描述本发明的示例实施例内的安全的应用分发和执行的高层处理的 流程图。本发明的一实施例使得研发商标识与应用相关,在应用要被执行的所 在环境内执行应用测试,分配许可,该许可用于规定哪些设备或系统可能执行 应用,并且如果应用要执行不合法或不期望的动作则提供应用移去。
最好系统和方法使用所有的这些技术以增加应用的安全分发和执行。然而 可以知道即使只使用这些技术的一个或多个也可以增加应用的安全分发和执 行。
高层处理开始于将研发商的标识与应用相关联(步骤100)。该过程可能通 过在分发时将研发商标识与应用相捆绑而执行。或者,相关联的研发商标识可 以连同对应的应用存储在系统的服务器上。最好研发商标识信息与应用信息一 起存储并与之相关联,使得它更易被标识。
然后测试应用是否有不恰当操作(步骤105)。应用可能在一种环境中操作,
在该环境中不恰当的操作不仅会影响操作所在的设备,还会影响其它连接或通 过网络连接到该设备的设备。最好对应用进行测试,使得它不会发生不恰当的 系统呼叫或对设备或其它操作期间与之相连的设备有负面影响。在一实施例 中,该测试是通过认证过程实现的,其中应用经测试以确定它是否符合预定的 规则。而且最好有独立于研发商的认证过程以测试应用。认证过程的独立性能 获得更准确和可靠的测试。
在执行应用前,检查应用以确定它是否被"允许"在设备上执行(步骤110)。 该检査可以通过使用许可和规则实现,如下所述,或者可以通过领域内技术人 员已知的其它许可机制实现。另外,最好在每次试图执行应用前检查应用。经 常检查的过程增加了应用执行的安全性。例如,它防止了带有特洛伊木马应用 的应用,该特洛伊木马应用可能通过另一应用而插入在设备上执行的该应用。
实现不恰当或不期望操作的应用然后从设备中移去(步骤115)。这防止了对应用进一步造成损害,且释放了设备内的存储以作其它使用。或者,应用不 需要从无线设备中被移去。移去应用可以指禁用应用但将应用保留在设备上。
图2是描述本发明的示例实施例可以实现的系统结构的框图。研发商200 建立在无线设备230上使用的应用。如上所述,本领域内的技术人员可以知道 虽然以上描述包括一种应用文件类型,但可以使用其它类型。而且,领域内的 技术人员也理解本发明可能与其它无线或非无线设备一起使用,且可能使用无 线或非无线网络或其组合。
一般,研发商200有一规范集,用以研发在无线设备230上执行的应用。 在一实施例中,无线设备包括软件平台以支持应用与无线设备的接口,诸如 QUALCOMM公司研发的Si 五fr7^,公司总部在California的San Diego。研发商 可能建立符合软件平台的应用,即^ i 『^软件、定义的标准和协定。
在一实施例中,研发商200连到中央服务器205,使得它可能通过电子途 径将应用发送到中央服务器205。在一实施例中,中央处理器是用于将应用分 发到无线设备的应用控制中央总部(ACCHQ)服务器。研发商200可能对应用进 行数字签名(以下将详述)以确定应用是否经修改。可以知道不一定需要到中央 服务器的物理连接。例如,研发商200可能诸如通过优先投递邮件将应用发送 到中央服务器205,存储在CD —R0M上。
另外,研发商将各种源标识信息发送到中央服务器205。该源标识信息可 能包括任何类型的信息,这些信息可能与标识研发商的应用相关联,诸如公司 名字、公司税务标识或其它标识信息。
中央服务器205或是自己或是使用认证服务器210,用于应用的分析和认 证。在一实施例中,认证服务器是应用控制中心(ACC)。在一实施例中,认证 服务器210分析应用以确定应用是否满足先前定义的认证准则,开发商使用该 规则作为研发应用的指导。认证准则可以是任何应用在在无线设备上执行前满 足的准则。该种准则可能包括(a)按研发商申明的应用功能,使得应用不会 损害无线设备的操作(例如,它不会使得电话出问题);(b)应用不会访问它不 该访问的数据或存储器(例如它不访问属于其它应用、操作系统或平台软件的 数据或文件);以及(c)它不会负面影响无线设备资源,诸如有害地垄断无线设 备的输入和输出。
中央服务器205还可能分配与应用相关联的一组许可。该许可列表由多个 因子决定,包括分析无线设备是否通过认证过程,应用准许在何种网络200上执行,以及无线设备是否支持应用。可能有许多因子用于确定许可列表,这由 本领域的技术人员在实现本发明时决定。
中央服务器205接收研发商标识信息并将其与研发商200建立的应用相 关。如果应用存在任何问题,则中央服务器会能识别应用的来源。在一实施例 中,研发商信息被送到无线设备230,使得相关可以由无线设备或其它连到无 线设备的系统实现。
在一实施例中,中央服务器还连到应用下载服务器(ADS)215。应用下载服 务器215用于通过无线网络220与无线设备接口以下载应用。中央服务器还可 能将许可列表以及与应用相关联的研发商标识发送到ADS,在此可以被存储直 到发送到无线设备。最好该应用、许可列表以及研发商标识经中央服务器数字 签名以防止被修改,增加安全性。
本领域的技术人员可以知道ADS可以用于连接到多个网络220用于将应 用、文件和其它信息发送到各个无线设备230。而且,无线和非无线网络可能 用于将应用许可列表和研发商标识发送到无线设备。
响应对应用的请求,ADS 215会将应用、许可列表、研发商标识以及数字 签名通过网络220发送到无线设备230。在一实施例中,无线设备230会包含 检査数签名的密钥以确定应用、许可列表和/或研发商信息是否经修改。
最好如果数字签名在本发明内使用,则中央服务器使用安全密钥以建立数 字签名并在无线设备上安装密钥以评估数字签名。通过使用安全密钥,无线设 备会具有更高的可靠性,即数字签名是由中央服务器建立的而不是冒名顶替者。
如果应用引起无线设备上的任何错误,或由于其它期望的理由,无线设备 可能初起动应用的移去。另外,应用可能根据来自ADS或中央服务器的请求而 从无线设备中移去。该应用移去过程还保护了无线设备环境不受损坏和/或具 有破坏性的应用的重复执行的影响。
图3描述的是无线网络结构的框图,可能在其中实现本发明的示例实施例 中的安全应用发送处理系统。中央服务器302是一个实体,它或是自己或是通 过与认证服务器结合对应用程序是否与预定义的编程标准和约定的兼容进行 认证。如先前描述的,可能建立这些编程标准使得应用能在^^『^软件平台 上执行,诸如^ 五『^平台。
在一实施例中,中央服务器数据库304包括一份记录,关于在任何时间下载到网络300内的每个无线设备330的每个应用程序的标识、对下载应用程序 的个人的电子服务号(ESN)以及对携带该应用程序的无线设备330唯一的移动 标识号(MIN)。或者,中央服务器数据库304包含网络300内的每个无线设备 的一份记录,关于无线设备模型、无线网络载体、使用无线设备330的区域或 任何其它有用信息,用于标识哪个无线设备330在携带哪个应用程序。另外, 中央服务器数据库还可能存储与应用相关联的该研发商标识信息。
中央服务器302还可能包括移去命令源322。移去命令源322是决定将一 个或多个指定目标的应用程序移去的个人或实体。移去命令源322还是构建移 去命令316的实体(以下将讨论),该命令将被广播到携带有指定目标的应用程 序的经标识的无线设备330。或者但不限于此,移去命令源322可能是涉及到 研发或发行指定目标的应用程序的个人或实体,或涉及到无线设备330的制造 的个人或实体以及/或涉及到网络300的任何部分的功能的个人或实体。
中央服务器302与一个或多个计算机服务器306通过网络308(诸如因特 网,最好是有安全保障的)通信,例如ADS。服务器306还与载波网络310通过 网络308通信,载波网络310与MSC 312通过因特网和POTS(普通电话系统)(在 图3中一起被标识为311)通信。载波网络310和MSC 312间的因特网连接311 传输数据,且POTS 311传输语音信息。MSC 312接着连到多个基站(BTS)314。 MSC 312还通过因特网311 (实现数据传输)以及POTS 311 (实现语音信息)连到 BTS。 BTS 314将消息以无线方式通过短消息服务(SMS)或任何其它通过空中的 方法发送到无线设备330。
本发明中的由BTS 314发送消息的例子是移去命令316。如在此进一步讨 论的,无线设备330响应接收到的移去命令316,其响应为卸载存储在无线设 备330上的指定目标的应用程序109。移去命令316由移去命令源322(这可能 是或可能不是同一决定起动移去指定目标的应用程序109的个人或实体)构建。 移去命令316由移去命令源322在网络300上发送以广播到无线设备330。
BTS314的广播消息的另一示例是移去消息318。如上所述,移去消息316 是广播到无线设备330的消息,该设备携带有指定目标的应用程序以及要卸载 指定目标的应用程序的指令。根据移去消息316,无线设备330自动与移去消 息源320通信。移去消息资源320将关于指定目标应用程序的标识的信息发送 到无线设备330。作为对接收到该消息的响应,无线设备330卸载指定目标的 应用程序。移去消息源320可能是与中央服务器302同样的实体。或者但不限于,移 去消息源320可能是涉及到研发或发行指定目标的应用程序109的个人或实 体,或涉及到无线设备330的制造的的个人或实体以及/或涉及到网络300的 任何部分的功能的个人或实体。
类似地,以上网络可能用于将应用、许可列表和来自中央服务器到各个服 务器306 (例如ADS)的相关联的数字签名通过MSC和BTS发送到无线设备330。
通过如上述实施例描述的移去消息,应用分发和执行的安全性也可以通过 提供一种对已损害的或不期望的应用进行卸载的机制而得以提高。本领域的技 术人员可以理解,前面描述的是由中央服务器起动的移去命令,而无线设备也 可以起动应用和其相关信息的移去或卸载。
图4是描述本发明的示例实施例内的无线设备和一些内部元件的框图。该 实施例是关于无线设备400的,它被用作不带限制的示例。本发明还可以在任 何形式的能通过网络通信的远程模块上实现,这包括但不限于无线和非无线设 备、诸如个人数字助手(PDA)、无线调制解调器、PCMCIA卡、接入终端、个人 计算机、不带显示或键盘的设备或任何以上的组合或子组合。这些远程模块的 例子还可能带有用户界面,诸如键盘、视频显示或音频显示。
图4示出的无线设备400有在无线设备400制造时安装的应用专用集成电 路(ASIC)。 ASIC是由包括在ASIC内的软件驱动的硬件组件。应用编程接口 (API) 410也在制造时安装在无线设备400内。在一实施例中,API表示BREW API 或软件平台。API 410是软件程序,用于与ASIC交互。API 410用作无线设备 400上安装的ASIC 415硬件和应用程序件的接口(以下将描述)。或者,无线设 备400可能包含任何形式的电路,它使得程序能以与无线设备400的硬件配置 兼容的方式操作。无线设备400还有存储器405。存储器405包括RAM和ROM, 然而或者可能是任何形式的存储器,诸如EPROM、 EEPROM或闪存卡插入。
无线设备的存储区域405可能用于存储接收的应用和许可列表425。另外, 存储区域405可能用于存储一个或多个"密钥"405。这些密钥可能使用签名 算法用于数字签名以确定经签名的信息是否被修改过。
规则435还可能被安装在无线设备400上。这些规则可能连同许可列表一 起用于确定应用是否被允许执行。例如,如果认证标记在许可列表内被设定(即 指明应用经过认证),则规则可能申明应用被允许执行。许可列表是否会有设 定的认证标记取决于它是否通过认证。通过将该规则应用到包含在许可列表内的信息,或授权或拒绝执行应用的许可。
无线设备400的制造商(未示出)在无线设备400被制造时将应用程序下载 到无线设备400的存储器405上。这些应用程序可能是任何潜在有用的程序, 或供无线设备用户娱乐的程序,诸如游戏、书或任何其它类型的数据或软件程 序。这些应用程序还可能在无线设备被制造后通过空中被下载到无线设备400 上。
制造商还可能在无线设备400被制造时将移去程序(未示出)下载到无线设 备400的存储器405上。移去程序还可能在无线设备400被制造后通过空中被 安装。
当移去程序由无线设备400执行时,它将从存储在无线设备400上存储的 应用中的一个卸载一个或多个指定目标的应用程序。指定目标的应用程序是由 于各种以下讨论的原因需要从无线设备400上卸载的应用程序。移去程序可能 附加地或另外经编程以禁用指定目标的应用程序或将其重新编程而使其能以 不同方式执行。
无线设备400有由制造商安装的本地数据库420。无线设备的API经编程 以用记录自动更新本地数据库420,该记录标识关于存储在无线设备400上的 每个应用程序的信息。本地数据库420包含对存储在无线设备402上的每个应 用程序唯一的签名标识的记录。另外,本地数据库420可能包含在无线设备400 的存储器405内的应用程序位置的记录以及任何其它有用信息,该信息用于跟 踪哪些应用程序被下载到无线设备400上,以及它们位于何处。
图5是用于描述在本发明的示例实施例内用于建立数字签名的信息并将其 发送到无线设备的框图。如领域内的技术人员己知的,数字签名可能用于跟踪 数字文件是否被修改。如所述,数字签名可以应用于任何数字文件,包括文档、 应用、数据库等。 一般,数字签名通过使用签名算法将密钥应用于文档而建立。 一般,数字签名连同文件一起被发送给接收人。文件和数字签名的接收人然后 能将密钥应用到接收到的文件,并用数字签名确定文件在传输到接收人期间是 否被修改。
用于建立并评估数字签名的密钥可以用于确定签名人的身份。例如,密钥 可以被生成用于建立某个实体的数字签名并被安全地保存。该实体可以分发其 对应的用于评估数字签名的密钥。如果密钥被安全地保存且没有遭到危险,则 接收人通过评估数字签名,不仅能知道信息是否经修改,还能知道签名人的身份。
或者,第三方实体可以为特定的实体以安全方式建立密钥。因此,带有与 特定实体相关的密钥的接收人能确定实体是否是签名人。
在本发明的一实施例中,数字签名515的生成是通过使用签名人的密钥
525(例如图2内中央服务器的密钥)、应用500、许可列表505以及研发商身份 信息510作为数字签名算法530的输入。结果是数字签名515,它取决于输入 内包含的信息。
在建立数字签名515之后,应用500、许可列表505、研发商身份信息510 以及和数字签名515被发送到无线设备520。无线设备然后可以使用数字签名 以确定是否任何应用或相关信息(例如许可列表和研发商身份信息)被修改过。 另外,使用上述的技术之一,诸如安全密钥,无线设备还能知道将该信息传输 到无线设备的签名人的身份的机密。
图6是描述在本发明的示例实施例中由服务器在分发应用时使用的步骤的 流程图。在该示例实施例中,处理开始于接收应用和数字签名(步骤600)。数 字签名是与应用相关的信息,使得可以确定应用是否在其被接收前被修改过。 另外,最好用于对数字签名签名的密钥由第三方分配以验证对应用签名的实体 或研发商是接收分配的密钥的研发商。
在接收了应用和数字签名之后,数字签名经评估以确定发送应用的研发商 是否是对应用签名的同一人(步骤605)。如果是第三方将密钥分配给研发商以 建立数字签名,则第三方还可能将评估数字签名的密钥分配给接收方,诸如分 配给图2描述的中央服务器。
研发商或任何对应用签名和/或建立应用的实体的标识然后经存储并与应 用相关联(步骤610)。存储可能是在表格、数据库或以一些其它方式使得以后 它可以在需要确定研发商身份时被检索。在一实施例中,研发商的标识的存储 被存储在无线设备内而不是服务器内。
接收到的应用然后经认证以确定它是否符合一定准则(步骤615)。在一实 施例中,应用可能被写入以在无线设备内使用的特定平台上执行,诸如 QUALCOMM公司研发的^i^『w平台,公司总部在California的San Diego。特 定的平台或设备可能有在设备上执行特定的应用前必须满足的要求。例如,平 台或设备可能要求应用不访问设备内的特定存储位置使得设备或位于存储器 内的其它应用的整体性不受损害。这些准则可以被规定且应用可以被测试以确定是否满足这些规则。
在认证后,分配与给定环境的应用相关联的许可(步骤620)。许可可能根
据许多因子被分配,这取决于本发明实现的环境。在一实施例,应用用于无线 设备。在该实施例中,分配许可可能取决于例如电信公司网络、无线设备要求、 认证测试的结果以及研发商、电信公司或其它测试环境。因此,许可列表的例 子可能为了指明应用通过认证测试,它可以位于特定的电信公司网络上。
服务器对应用、许可列表和研发商标识进行数字签名(步骤625)。在一实 施例中,该签名使用安全密钥实现,使得服务器的身份能由那些接收该数字签 名的信息方确定。服务器接收到的研发商的签名不需要被签名且也不需要将研 发商的签名发送到无线设备。
步骤625内建立的应用、许可列表、研发商标识和签名然后被发送到无线 设备(步骤630)。
图7是描述在本发明的示例实施例中当执行应用时无线设备使用的步骤的 流程图。在该实施例中,无线设备存储评估与应用相关的许可的规则(步骤 700)。本领域的技术人员可以理解,虽然本发明描述了规则/许可范例,但还 有许多范例可以用于将许可授权给特定设备或平台的应用,且这也属于本发明 的范围内。
无线设备然后接收应用、许可列表、研发商标识和数字签名(步骤705)。 在一实施例中,无线设备可能评估接收到的数字签名以确定签名人的身份。数 字签名还可用于确定应用、许可列表或研发商标识是否在被签名后被修改过。
无线设备然后接收执行应用的请求(步骤710)。该请求可能来自希望执行 程序的无线设备用户。或者,无线设备可以自己请求或来自发送到无线设备的 一些请求,或是通过网络或是通过到无线设备的直接连接。
在接收了请求后,在执行程序前无线设备评估数字签名以及与应用相关联 的许可列表(步骤720)。如上所述,在一实施例中,无线设备可能使用规则以 评估许可列表。如果通过评估数字签名确定应用、许可列表或研发商标识未经 修改,则无线设备使用存储的规则评估许可列表。如果没有修改且对许可列表 的规则评估指明应用被授权在无线设备上执行,则处理进行到在设备上执行应 用(步骤730)。
如果步骤720的评估指明在被签名后,应用、许可列表和研发商标识中一 个被修改过,或应用被拒绝在无线设备上执行的许可,则应用不被执行(步骤725)。处理进行到将应用从无线设备上移去(步骤750)。最好许可列表和研发 商标识也从无线设备中移去。
接着步骤730,应用的执行经监控以确定它是否执行不合法或不恰当的操 作(步骤735)。无线设备或无线设备使用的平台可能定义某些操作为不合法或 不恰当。这些操作可能包括访问受限的存储区域或其它程序或文件使用的存储 位置。另外,这些操作可能涉及到无线设备资源的有害使用,使得它们不仅会 影响无线设备,而且还会影响无线设备所附属的网络上的其它设备。
如果有不合法或不恰当的操作企图,则停止应用的执行(步骤745),且将 应用最好连同研发商标识和许可列表一起从无线设备上移去。如上所述,或者 移去处理可能涉及禁用应用,从而防止其被执行,同时将应用保留在无线设备 上。
如果没有不合法、不恰当或不希望的操作在步骤735中被执行,则应用被 允许继续执行(步骤740)。
测试启用的许可
应用可能在无线设备上执行。系统和方法,包括这些在此揭示的,描述了 一种将这些应用安全下载到无线设备的机制。当一般用户使用应用时,控制程 序可能包括在无线设备上以评估无线设备上的许可和规则以确定是否执行应 用。该"规则和许可"范例提供了一种机制,通过对没有在手机上执行许可的 应用进行限制而增加安全执行。
控制程序功能可能包括在操作系统、芯片逻辑内,或可能是分开的程序, 诸如QUALCOMM研发的API软件。
当建立应用时,可以理解为什么电信公司不希望任何人在其网络上测试应 用,也不希望任何研发应用的人使用电信公司网络在手机上执行应用(例如电 信公司可能考虑到应用会对网络有损害)。然而难点在于研发商会希望在实况 网络上完成对应用的测试,但可能不能获得执行应用的许可。
结果是,最好能帮助研发环境以建立系统和方法,用于使应用的研发简单 化,而同时提供给研发商在无线设备上执行的机会。
为帮助应用的研发,本发明的一实施例实现规则/许可方案,它评估无线 设备是否是研发努力的一部分,且根据许可位于的无线设备授权执行应用的许 可(或访问文档)。例如,指定无线设备作为测试无线设备,例如提供"测试启用的"许可,即无线设备测试启用许可以使得应用能在测试无线设备上执行。
符合本发明的系统和方法还提供服务器,它可以通过网页被访问,并管 理所有指定为测试启用的无线设备。服务器可能还有管理功能,这包括带有研 发商请求测试启用许可的简介,该种简介可能包括关于研发商的标识信息以及 在特定网络上研发商被允许有多少带有测试启用许可的无线设备。可以理解无 线设备可能与电信公司相关联。电信公司可能决定总研发商和每个研发商可以 指定多少无线设备为测试启用。跟踪该信息还可能包括在管理功能内。
管理功能还可能包括跟踪每个测试启用许可的超时日期。如果服务器提供 超时日期, 一旦超时,则测试启用许可可能在无线设备上中止。另外,管理功 能可能跟踪所有带有测试启用签名的未完成的无线设备以及每个的超时日期。
管理功能还允许控制将测试启用许可授权给无线设备的风险。被授权测试 启用许可使得设备能执行测试应用,这与它们是否经认证以在网络上运行无 关。由于这些应用可能对网络噪声损害,则这些应用的执行总有一定的风险。 然而,最好这些应用能在网络上被测试。结果是,管理功能允许测试,但同时 控制未经认证的应用的运行风险,这可以通过以下方式实现通过识别接收启 动许可的测试实体(即可以在给予测试启用许可前估计其技术水平和可信度, 测试实体可能经授权);通过跟踪测试启动许可(即保持跟踪谁有该许可);通 过限制被分发的测试启用许可数目,包括所有分发的测试启用许可和那些给予 特定测试实体的;并通过提供测试启用许可超时时间。管理功能可以使用其它
功能以帮助控制与测试启用许可相关的风险。
还可以理解虽然描述了无线设备内的应用的测试启用许可,本发明还可应 用于其它设备,包括有线线路和独立连接的设备。分配测试启用许可使得实体 能控制应用的测试或其软件和硬件上的其它组件,而同时控制与测试相关联的 风险。
在一实施例中,管理功能使用设备的电子序列号(ESN)以跟踪测试启用允 许。ESN对所有设备是唯一代码。然而,可能使用其它唯一代码。
图8描述了其中可实现本发明一示例性实施例的系统结构。服务器800包 含管理跟踪功能以及向无线设备分配测试启用许可的能力。测试启用许可可能 通过以下方式被访无线设备815拨入服务器,请求测试启用许可并通过网络 805将其接收回来。网络805可能是RF网络,类似于关于图3描述的。
或者,研发商可能使用个人计算机(PC)825以通过网络810访问服务器800。网络810可能类似于关于图3描述的纯陆地线路网络诸如因特网,或两 者的组合。
在一实施例中,研发商通过PC 825注册到服务器800 Web网站上。研发 商请求测试启用许可。在该实施例中,研发商输入他希望是测试启用的设备的 ESN。
如果授予测试启用许可,则研发商从服务器805接收测试启用许可。修改 检测技术诸如使用数字签名,可能用于检测测试启用许可的修改。如果检测到 修改,则许可被评估的规则可能包括该条件,从而引起测试启用条件的不符合, 即根据测试启用许可和规则条件不允许应用的执行。
研发商可能将测试启用许可以及数字签名以及任何其它参数,诸如从服务 器800接收来的超时日期,传输到无线设备820。该传输可能通过到PC的直接
连接实现。
可以理解的是有许i多将签名分发到接收测试启用许可的目标设备的机制, 包括在CD — ROM上接收并将其下载到目标设备815或820上。可能在接收测试 启用许可的目标设备和分发测试启用许可的服务器800之间没有交互动作。
无线设备820(815)可能因为有测试启用许可而执行位于无线设备上的应 用。由于包含在简介内的信息以及在测试启用许可上实现的附加跟踪,即使在 应用在无线设备815上被测试时发生了风险,820仍可能会对电信公司网络有 所损害,因为风险对于电信公司可能是可接受的,因为它可以限定网络上测试 启用设备的数目,可以指定研发商是否被允许任何测试启用许可,从而允许更 多受信托的研发商能有测试启用许可。
图9描述了在本发明的示例实施例中接收测试启用许可的处理的流程图。 研发商注册到测试启用许可可能被分发的服务器(步骤900)。研发商输入简介 信息(步骤905)。这可能包括研发商的类型、研发商标识材料、研发商意图研 发的应用的类型、研发商希望其上实现应用的网络以及与研发商相关联的ESN。 其它信息可能被插入以进一步跟踪测试启用许可以及研发商。
研发商请求测试启用许可(步骤910)。在一实施例中,研发商输入希望用 作测试设备的无线设备的唯一代码,诸如无线设备的ESN。
服务器然后确定研发商是否能接收测试启用许可。服务器可能使用的规则 包括ESN与哪个电信公司相关联(这可以通过在服务器处的表格内査询与ESN 相关联的电信公司实现,或从其它源接收而得,诸如电信公司或设备制造商),电信公司允许研发商有多少测试启用允许以及研发商是否试图超出分配给他 们得测试启用许可数。
如果确定研发商被允许测试启用允许,服务器将与由研发商输入的ESN相 关联的测试启用许可发送到研发商(步骤915)。该测试启用许可捆绑到ESN且 结果是只会允许应用在与ESN相关联的无线设备上的测试启用许可下执行应 用。如果同样的许可被移到另一无线设备,从而该无线设备拥有不同的ESN, 则测试启用许可在不满足规则情况下不会允许应用运行(可以理解可以授权其 它满足允许应用被执行的规则的其它许可)。
另外,数字签名可能被建立并连同测试启用许可一起被发送,使得可以确 定任何测试启用许可的修改。
另外,在本发明的一实施例中,超时日期被发送到与测试启用许可相关联 的研发商处。 一旦超时,则测试启用许可不再有效,且无线设备将不能使用该 许可以允许无线设备上的应用执行。而且,数字签名可能包括超时日期信息。
如果研发商通过PC访问服务器,则研发商然后可能将测试启用许可传输 到带有先前提交给服务器的ESN的无线设备(步骤920)。
服务器管理功能从该过程跟踪信息,包括哪个ESN被分配到测试启用许可,
它被分配到哪个研发商以及如果存在的话测试启用许可的超时日期。
由于测试启用许可与ESN相关并从而与无线设备相关,而不是与一个特定 应用相关,所以在一实施例中,带有ESN的无线设备能用一个测试启用许可执 行许多应用。
图10示出了在本发明的示例实施例中执行带有存储在无线设备上的测试 启用许可的应用的过程。在一实施例中,无线设备有控制程序,它要求在应用 被执行前被授予许可。对这些在控制程序平台执行的应用,包含在无线设备内 的规则用特定应用的许可或图8和9内讨论的测试启用许可经评估。当请求应 用执行时,控制程序使用无线设备内包含的规则和许可以确定是否允许执行应 用。
处理开始于在手机上接收规则和许可(步骤1000)。根据无线设备内包含的 规则实现测试启用许可的评估。(该规则还可能受到数字签名或一些其它修改 检测技术的控制以确定规则是否被修改过。可能使用一控制程序以帮助确定修 改。)与测试启用、认证和电信公司许可相关的规则的一个例子为
如果(许可二二测试启用且ESN匹配以及日期有效)运行应用
否则(如果(许可==通过的认证) 运行应用
否则(如果许可==电信公司以及电信公司ID匹配)
运行应用
否则 失败
该规则集合是条件语句列表。如在第一个"如果"语句中,如果一个许可 指明它已被给予了测试启用许可,则应用的运行条件为与测试启用许可相关联
的ESN是与试图执行应用的无线设备的相同且如果日期有效(即还未超时)。如 果在本例中不满足这些要求,则不会允许执行应用。(然而值得注意的是,如 果满足规则内的其它条件,例如应用通过认证,则仍可能执行应用)。
继续图10,处理进行到请求执行应用(步骤1010)。无线设备上的规则和 许可经评估以确定应用是否是测试启用的(步骤1015)。如果许可内的ESN与电 话的ESN匹配,且测试启用许可未超时(步骤1020),则应用被允许执行(步骤 1030)。
如果试图执行应用的无线设备不匹配许可内的ESN或已超时,则应用不允
许被执行(或或者,评估其它规则条件以确定应用可否如上描述被执行)(步骤 1025)。
在步骤130处,处理可能回到接收执行另一应用的请求处。另一应用可能 使用同样的测试启用许可而被执行,注意在该实施例中,测试启用许可不是根 据应用执行而授权一应用执行,而是根据它是否是测试启用设备(匹配ESN)且 未超时。因此,可能通过从服务器接收一个测试启用许可而在设备上测试几个 应用。
可以理解可能使用附加条件以及许可参数(例如研发商ID、控制程序版本 等)并将其加入规则条件声明以确定测试启用许可是否满足允许执行应用的规 则。
结论
符合本发明的系统和方法提供安全和保险的应用分发和执行,并控制提供与 应用测试相关联的测试环境的风险。建立测试启用许可并分发到选定的应用测试实体。管理功能用于帮助分发测试启用许可。风险控制的实现是通过在将测试启用 许可分发到测试实体前提供测试实体的标识的仔细审查,提供与测试启用许可相关 联的超时时间以及限制分发的测试启用许可数目。管理功能跟踪测试启用许可的发 送。
关于本发明的实现的以上描述在此为了说明和描述的目的。这里不是为了 穷举并且不是把本发明限制在所揭示的准确形式。可以根据以上原理进行修改 或变体或可以从本发明的实践中获得修改和变体。例如,描述的实现包括软件, 但本发明的一个实施例可能作为硬件和软件的组合或只用硬件实现。本发明还 可能用面向对象或非面向对象的编程系统实现。另外,虽然本发明的方面被描 述为存储在存储器内,本领域内的技术人员可以理解这些方面还可以被存储在 其它类型的计算机可读介质上,诸如辅助存储设备,诸如硬盘、软盘或CD — R0M;
因特网的载波或其它传播介质;或RAM或ROM的其它形式。本发明的范围由权 利要求书以及其等价定义。
权利要求
1. 一种用于执行无线设备上的应用的方法,包括在无线设备处接收一测试许可,所述测试许可指示无线设备被授权执行测试容量内的无线网络上的应用,所述测试许可与所述无线设备相关联;请求执行无线设备上的应用;评估所述无线设备是否包括所述测试许可;以及如果所述无线设备包括所述测试许可,则执行无线设备上的应用,其中所述应用在无线设备上独立于包括执行无线设备或无线网络上应用所必须的其他许可的应用而被执行。
2. 如权利要求l所述的方法,其特征在于,如果所述无线设备不包括所述测 试许可,则所述方法包括测试应用以确保所述应用满足在其中会执行所述应用的环境的要求; 确认所述应用在一被允许的设备上和一被允许的无线网络上被执行;以及 如果所述应用执行一非法的或不期望的动作则移去所述应用。
3. 如权利要求l所述的方法,还包括,在接收测试许可以前,从管理测试许 可的授权实体请求一个测试许可。
4. 如权利要求l所述的方法,其特征在于,请求测试许可还包括提交与代表 其作出请求的开发者实体有关的简介信息。
5. 如权利要求l所述的方法,其特征在于还包括 如果测试许可的评估指示不被允许访问,则拒绝执行应用。
6. 如权利要求l所述的方法,其特征在于,评估所述无线设备是否包括所述 测试许可还包括把和无线设备相关联的唯一标识符与从测试许可导出的信息相比较以确定无线设备是否被授权了所述测试许可。
7. 如权利要求l所述的方法,其特征在于,评估所述无线设备是否包括所述测试许可还包括评估一修改检测技术以确认测试许可的完整性。
8. 如权利要求7所述的方法,其特征在于,所述修改检测技术包括一数字签名。
9. 如权利要求l所述的方法,其特征在于,所述测试许可是应用独立的。
10. —种无线设备,包括一输入,用于接收一测试许可,所述测试许可指示无线设备被授权以执行测 试容量内无线网络上的应用,所述测试许可与所述无线设备相关联;一存储器,用于存储所述测试许可以及与所述无线设备相关联的唯一标识符;一控制程序,用于通过评估所述测试许可和所述唯一标识符来评估是否授权 对应用的访问,所述评估独立于包括访问应用所必要的的其他许可的应用;以及如果访问被授权,则访问所述应用以测试应用以确保所述应用满足在其中会执行所述应用的环境的要求;以及向所述应用分配其他许可以控制哪些设备或系统可执行所述应用。
11. 如权利要求10所述的无线设备,其特征在于,所述控制程序还用于通过 评估所述测试许可和所述唯一标识符来访问第二应用。
12. 如权利要求10所述的无线设备,其特征在于,所述唯一标识符是一电子 序列号("ESN")。
13. 如权利要求10所述的无线设备,其特征在于,所述控制程序还用于通过 分析与所述测试许可相关联的修改检测技术来确认测试许可的完整性。
14. 如权利要求13所述的无线设备,其特征在于,所述修改检测技术包括一 数字签名。
15. —种用于访问无线设备上的应用的系统,包括用于在无线设备处接收一测试许可的装置,所述测试许可指示无线设备被授 权执行测试容量内的无线网络上的应用,所述测试许可与所述无线设备相关联; 用于请求执行无线设备上的应用的装置;用于评估所述无线设备是否包括所述测试许可的装置;以及如果所述无线设备包括所述测试许可、则执行无线设备上的应用的装置,其 中所述应用在无线设备上独立于包括执行无线设备或无线网络上应用所必须的其 他许可的应用而被执行。
全文摘要
本发明涉及测试启用应用的执行。符合本发明的系统和方法提供安全和保险的应用分发和执行,并控制提供与应用测试相关联的测试环境的风险。建立测试启用许可并分发到选定的应用测试实体。管理功能用于帮助分发测试启用许可。风险控制的实现是通过在将测试启用许可分发到测试实体前提供对测试实体的标识的仔细审查,提供与测试启用许可相关联的超时时间以及限制被分发的测试启用许可数目。管理功能跟踪测试启用许可的分发。
文档编号H04B1/38GK101447011SQ200810178708
公开日2009年6月3日 申请日期2002年8月15日 优先权日2001年8月15日
发明者B·米尼尔, L·伦德布雷德, M·B·奥利弗, M·齐梅特里 申请人:高通股份有限公司