[发明专利]对数据指令的更新

说明书

技术领域

本发明涉及根据更新数据安全地更新电子设备的数据指令。

背景技术

很多电子设备包括处理器和用于执行各种功能的数据指令或软件。设备越复杂，数据指令就越多。包括用于实现各种功能的数据指令的这种设备的一个例子是移动电话，它已经经历了从简单的基于语音的装置到更复杂的多媒体功能的演变，例如，包括语音识别、媒体播放器、消息收发应用、web浏览器以及集成的相机功能，所有这些功能都需要数据指令。

为了提供更复杂的功能，数据指令的复杂度增加了。同时，市场对具有更强功能的新产品的需要也在增加。这就给制造商带来了关于电子设备中包括的数据指令的质量和完整性的挑战。由于数据指令复杂度的增加，当设备被投放市场时出现有缺陷的数据指令的可能性增加。

FOTA(空中固件，Firmwar  Over the Air)是在电子设备投放市场后更新其数据指令的升级或更新技术。当要更新一组数据指令时，产生更新数据，所述更新数据也称为增量(delta)数据或增量文件。更新数据包含新数据指令和电子设备上存在的数据之间的不同。因而，向电子设备发送的是更新数据而不是完整的新数据指令集。随后，可以用更新数据的内容更新电子设备上存在的数据指令。

FOTA升级系统包括三个主要部件：

-位于数据指令提供者处的增量文件生成工具，所述数据指令提供者通常是要接收更新数据的电子设备的制造商；

-FOTA服务器，更新数据在其上被发布；

-客户端，即包括要更新的数据指令的电子设备。

FOTA服务器可以发送更新通知到电子设备以触发更新过程。可替换地，可以从包含要更新的数据指令的电子设备人工触发该过程。随后，更新数据被下载到电子设备上。这可以通过两个步骤完成。首先，电子设备和服务器可以协商下载哪个更新数据。然后，该更新数据被下载并存储到电子设备中。最后，可以将电子设备重启到只有升级客户端在运行的模式，所述升级客户端可以用更新数据中的内容升级包含数据指令的存储器。

采用FOTA更新的一个问题是提供足够的安全性。已知的是提供服务器和客户端验证。例如，电子设备可以只与电子设备中所识别出的服务器建立FOTA会话，例如通过出现在“白名单”。例如，服务器可以由它的域地址来标识。

可以用TLS(传输层安全)来实现FOTA协议安全性，所述TLS对服务器和电子设备之间的通信链路给予了机密性和完整性保护。为了实现服务器验证，CA(认证机构，Certificate Authority)必须已经向FOTA服务器发出了服务器认证并且CA根认证必须被安装在电话上。客户端验证有类似的需求；CA必须已经向电子设备发出了客户端认证并且CA根认证必须安装在FOTA服务器上。

真正的客户端验证需要向各个电子设备发出单独的客户端认证。这是一个非常昂贵的过程。

就移动终端的情况来说，根认证所属的移动终端的制造商能够控制FOTA服务器。该服务器能够被内部运行或者外包至现有的CA。

当FOTA服务器由运营商控制时，可能有两种配置：

-运营商信任由制造商使用的CA并且接受由制造商发出的服务器认证；

-运营商不信任制造商使用的CA并且想要自己控制根认证。

除了需要向运营商控制的FOTA服务器发出服务器认证之外，第一种情况或多或少地与制造商自己运行FOTA服务器的情况相同。

在第二种情况中，根认证由运营商生成，因此它必须是可定制的。为了支持这种情况下的客户端验证，制造商必须直接从运营商获取客户端认证或者得到中间的CA认证以便能够自己发出客户端认证。

采用现有的安全机制有多种缺陷。

首先，对于更新数据缺少端到端的安全性。一旦增量文件被存储在服务器上，根据服务器的安全级别，它就被暴露给了潜在的黑客攻击。因而，增量文件的提供者不得不依赖于服务器上使用的安全性系统。如果更新数据被更改，则黑客能够更改电子设备中的结果数据指令使得电子设备变得不可操作。另外，可以使用更新数据在电子设备中插入或启动病毒攻击。

此外，更新数据的一个问题是缺少控制对数据指令的更新的策略机制。这种机制可以控制允许特定的更新数据被安装到特定的电子设备上。

发明内容

本发明的一个目的是为更新数据提供增强的安全性，所述更新数据用于更新电子设备中存储的数据指令的至少一部分。