[发明专利]对软件版本的安装的授权

说明书

技术领域

公开了一种用于维护计数器的方法、产品装置以及设备。 

背景技术

像移动电话和其他数据处理设备这样的嵌入式系统依赖于正确软件的执行。而且，甚至用于相当小的系统的软件也变得日益复杂，从而增加了出错和非故意的特征的风险，特别是在软件生命周期期间的早期版本中。而且，早期软件版本的功能一般是受限的。因此，日益需要对存储在嵌入式设备中的软件从较旧版本到已更新版本的频繁更新。为了明了哪个版本被安装在设备中，所述设备一般维护一个版本计数器，该版本计数器的值对应于当前已安装的版本号。 

尽管用于保护静态和动态数据以防未授权操作的方法是已知的，例如如在国际专利申请WO 02/27441中所公开的那样，但是这种方法没有提供对软件版本的回滚的保护，例如它们并未阻止一个已经授权的用户利用重新安装较旧的软件版本来安装软件更新。 

然而，通常希望的是实施软件更新策略，其防止一个已经获得了具有初始软件版本的移动电话的用户执行超出初始版本的范围的回滚，即防止重新安装比初始版本旧的较旧软件版本。例如，这样一种未授权的回滚可能不是所希望的，因为较旧的软件版本可能包括允许不诚实的用户利用所述设备执行诸如中断SIM锁定等等之类的未授权的或不希望的操作的错误。 

因此，通常希望的是提供一种用于维护版本计数器的方法，其防止一个用户执行超出初始软件版本的范围的软件回滚，所述初始软件版本一般是用户获得处理设备时所具有的版本。 

国际专利申请WO 01/33317公开了一种访问控制系统，该系统用于验证在设备中存储的数据是受保护数据(例如被用来控制对其他受保护材料的访问的数据)最近的已授权版本。这个现有技术的访问控制系统包括计数器和安全存储单元，所述安全存储单元被配置成包含将所述计数器的内容绑定到正在被保 护的数据的参数。 

然而，尽管上述现有技术的系统提供了单向的版本计数器，但是上述现有技术系统的问题是它需要安全存储单元。例如，在嵌入式系统的情况下，这种安全存储单元一般被实施为安全的片上可重写的、非易失性存储器，其结合实施所述控制系统的ASIC逻辑来实施。然而，这种安全的可重写的、非易失性存储器的实现需要ASIC生产期间的附加步骤，从而增加了整个生产成本。 

发明内容

通过一种由处理设备维护版本计数器的方法来解决上述及其他问题，所述版本计数器指示存储在所述处理设备中的存储内容的版本，所述方法包括以第一和第二模式中的一种来选择性地操作所述处理设备，其中对以第一模式操作所述处理设备的访问限于授权的用户并且与对第二模式的访问分开控制。 

以第一模式操作处理设备的步骤包括： 

- 生成至少一个初始完整性保护值，其用于加密地保护在以第二模式操作处理设备期间所述版本计数器的初始计数器值的完整性；其中初始计数器值是从计数器值序列中选择的；以及 

- 将所述初始完整性保护值作为当前完整性保护值存储在存储介质中； 

以第二模式操作处理设备的步骤包括：将当前计数器值递增到后续的计数器值，该后续的计数器值在计数器值序列中是在当前计数器值之后；其中递增包括：从所述存储介质中删除用于加密地保护当前计数器值的完整性的当前完整性保护值。 

因此，提供一种不依赖于安全存储器的软件防回滚机制。 

特别是，因为从存储介质中删除了撤销的计数器值的完整性保护值，并且因为仅仅允许以分开保护的操作模式来计算完整性保护值，所以防止没有特定授权的常规用户重新生成撤销的计数器值。 

如上所述，在此处所述的处理设备的实施例中，所述处理设备能够以第一和第二模式中的一种来选择性地操作，其中对以第一模式操作处理设备的访问限于授权的用户并且与对第二模式的访问分开控制。因此，一个被授权以第二模式操作设备的用户未必也被授权以第一模式操作设备。选择性的操作例如可以通过提供所述设备可以被引导的两种模式、或者通过最初准许以第二模式访 问来实施，以及以成功的访问控制为条件来提供对以第一模式提供的附加功能的访问。 

可以以多种不同的方式来执行完整性保护值的删除，例如通过用更新的值来重写撤销的完整性保护值，通过用预定的数据项(例如零)来重写保护值，或者以任何其他防止用户随后从所述存储介质中检索删除的数据的合适的方式。