專利名稱:防止未經(jīng)授權(quán)擅自使用及/或竄改軟件之裝置與方法
技術(shù)領(lǐng)域:
本發(fā)明有關(guān)如權(quán)利要求1所述的可預(yù)防或至少可阻礙未經(jīng)授權(quán)擅自使用軟件之計(jì)算機(jī)系統(tǒng)���。此外,本發(fā)明有關(guān)如權(quán)利要求10前言所述之計(jì)算機(jī)系統(tǒng)����,如權(quán)利要求14所述之計(jì)算機(jī)系統(tǒng),如權(quán)利要求17前言所述之醫(yī)療裝置操作方法���,如權(quán)利要求18前言所述之裝置�����,尤其是醫(yī)療裝置�����,之軟件或應(yīng)用程序更換或補(bǔ)充方法����,以及如權(quán)利要求19前言所述之
直ο
背景技術(shù):
通常,現(xiàn)在的醫(yī)療及其它設(shè)備或裝置(以下使用“裝置”及“設(shè)備”二詞時系為同義)����,都包含大量的裝置軟件。為了更高的安全要求���,必須預(yù)防對這種軟件的竄改��,以便安全確保軟件原始的設(shè)計(jì)功能�����。此外��,軟件必須視為一種重要的經(jīng)濟(jì)資產(chǎn)��,因此也有必要防止未經(jīng)授權(quán)擅用軟件���。于實(shí)務(wù)中����,或因已開發(fā)進(jìn)步的版本�����,或因使用軟件操作的裝置應(yīng)設(shè)置額外的功能�, 或因其它原因,通常需要使用新發(fā)布的版本更新裝置軟件�����。以醫(yī)療裝置而言�����,每當(dāng)有新的或更好的治療方法可用時�,即有必要更新其軟件并應(yīng)利用新軟件實(shí)施新的治療方法�����。然而��,對應(yīng)的設(shè)備當(dāng)時已位于使用者或終端使用者現(xiàn)場?���;诮?jīng)濟(jì)的理由,現(xiàn)有技術(shù)通過例如電子郵件����、因特網(wǎng)下載、或通過郵件或快遞配送諸如存儲卡或光盤等存儲介質(zhì)的方式來提供新軟件���。配送過程中無法經(jīng)常獲得完全的保護(hù)����,因此可能產(chǎn)生非法盜拷��,而珍貴的方法也可能被重建方式加以分析����,導(dǎo)致相當(dāng)重大的經(jīng)濟(jì)損失。此外��,也無法確定設(shè)備在所謂的軟件更新或升級之后��,是否恰好無法適用新版軟件�,不論無意或故意�,因而無法使用新軟件操作它��。
于茲以舉例方式參照附圖解說本發(fā)明�,附圖中以相同參考標(biāo)號指稱相同或類似的元件。圖1顯示一種根據(jù)本發(fā)明具有計(jì)算機(jī)系統(tǒng)的裝置����,該計(jì)算機(jī)系統(tǒng)包括一包含解密算法及解碼密鑰的啟動程序,一包含可載入式軟件的程序存儲器�,及一主存儲器;圖2顯示二個裝置�,其各包含一計(jì)算機(jī)系統(tǒng),兩計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)相同但解碼密鑰不同�;圖3顯示一種根據(jù)本發(fā)明具有計(jì)算機(jī)系統(tǒng)的裝置,該計(jì)算機(jī)系統(tǒng)包含用以更換或補(bǔ)充應(yīng)用程序的接口�,及另一包含解碼密鑰的存儲介質(zhì);以及圖4顯示一種根據(jù)本發(fā)明具有計(jì)算機(jī)系統(tǒng)的裝置�����,該計(jì)算機(jī)系統(tǒng)包括一包含應(yīng)用程序的控制器芯片及一裝置接口�。
發(fā)明內(nèi)容
本發(fā)明之目的在于說明一種防止未經(jīng)授權(quán)擅自使用及/或竄改軟件之裝置與方法。
本發(fā)明之目的可經(jīng)由具有權(quán)利要求1所述特征的計(jì)算機(jī)系統(tǒng)來實(shí)現(xiàn)���。根據(jù)本發(fā)明��,其中提出一種計(jì)算機(jī)系統(tǒng)�����,此計(jì)算機(jī)系統(tǒng)包括一啟動程序�,其具有至少一種用于一可載入式軟件之非可讀解密算法��,及至少一組用于此軟件的非可讀解碼密鑰�。此計(jì)算機(jī)系統(tǒng)優(yōu)選地可用于醫(yī)療裝置或設(shè)備中,用以更換可載入式軟件�����。此計(jì)算機(jī)系統(tǒng)可包括前述可載入式軟件�。然而,此計(jì)算機(jī)系統(tǒng)亦可只是準(zhǔn)備為接收(載入)可載入式軟件����,而未將前述軟件包括為計(jì)算機(jī)系統(tǒng)的一部份。根據(jù)本發(fā)明�,所稱計(jì)算機(jī)系統(tǒng)可表示包括數(shù)個部份或全部獨(dú)立的計(jì)算機(jī)及/或元件所構(gòu)成的計(jì)算機(jī)系統(tǒng)或數(shù)據(jù)處理裝置。計(jì)算機(jī)系統(tǒng)亦可實(shí)施為一獨(dú)立式計(jì)算機(jī)����。啟動程序亦可稱為啟動載入器���,是一種存儲在計(jì)算機(jī)系統(tǒng)控制器內(nèi)的軟件程序, 通常是計(jì)算機(jī)系統(tǒng)開機(jī)時首先執(zhí)行的程序����。迄今為止,啟動程序主要是負(fù)責(zé)載入操作系統(tǒng)或應(yīng)用程序����,其方法是使所有允許操作系統(tǒng)載入存儲器-亦稱為主存儲器或內(nèi)部存儲器 (隨機(jī)存取存儲器)_的必要步驟依序起始。操作系統(tǒng)啟動后�����,啟動程序隨之終止�,由操作系統(tǒng)核心接管計(jì)算機(jī)系統(tǒng)的控制,以初始化硬件元件并初始化應(yīng)用程序�����。簡易且較早期的計(jì)算機(jī)系統(tǒng)并不包含啟動程序���,而是從一個燒錄的存儲器元件(例如可消除式可編程只讀存儲器EPR0M)直接啟動操作系統(tǒng)或其它程序代碼����,而此存儲器元件直接連接至計(jì)算機(jī)系統(tǒng)控制器的總線�。相反地,現(xiàn)代的控制器則具有啟動程序��,并有多種類型可用�。以下,在本發(fā)明某些具體實(shí)施例中�����,啟動程序亦表示包括啟動程序之計(jì)算機(jī)系統(tǒng)的控制器或存儲介質(zhì)����。以本發(fā)明范圍內(nèi)而言,“控制器”表示計(jì)算機(jī)系統(tǒng)內(nèi)的一種硬件元件��,其可包括各種不同的電子元件��,例如控制器芯片及存儲器芯片��。以本發(fā)明范圍內(nèi)而言����,“控制器芯片”表示控制器的中心元件,可對控制器操作(或者調(diào)節(jié)或監(jiān)看)的各種硬件元件發(fā)出控制(控制命令)���。單一控制器上可有一或多個控制器芯片���,這些控制器芯片例如由一個主控制器芯片控制����。以本發(fā)明范圍內(nèi)的意義而言���,“軟件”目前應(yīng)表示可執(zhí)行的程序����;然而���,根據(jù)本發(fā)明����,此詞亦包括鏈接庫����,例如直接鏈接程序庫(Direct Link Libraries, DLL);或是具有預(yù)定義結(jié)構(gòu)��,例如預(yù)設(shè)登錄檔(default registry),或其它已知數(shù)據(jù)結(jié)構(gòu)的檔案��。根據(jù)本發(fā)明�,軟件一詞亦表示任何解密算法或解碼密鑰。解密算法可以被配置為一加密算法之對應(yīng)體����。加密算法與解密算法通常成對存在��。這些算法可為完全相同��。根據(jù)本發(fā)明一具體實(shí)施例�����,這些算法的差異僅在于它們執(zhí)行的順序�。然而,這些算法亦可具有根本上的差異��。以本發(fā)明范圍內(nèi)而言�,根據(jù)本發(fā)明一具體實(shí)施例,應(yīng)假定軟件是預(yù)先用非特定算法在不同位置內(nèi)加密的�����,此為現(xiàn)有技術(shù)中已知且慣用的方法。軟件可在計(jì)算機(jī)系統(tǒng)的啟動程序內(nèi)解密�,或是利用例如醫(yī)療設(shè)備內(nèi)的啟動程序使用存儲的算法,亦即解密算法�����,而加以解密����。解密算法被配置為非可讀,作為防止未經(jīng)授權(quán)擅用解密算法的保護(hù)措施�,這可以有助于增強(qiáng)安全性。解密算法可為現(xiàn)有技術(shù)中公知的��,若屬此種情況��,則不需要將它存儲在封鎖區(qū)內(nèi)����, 然而仍可任選地存儲于該處。在此情況時���,密鑰優(yōu)選地具有防讀保護(hù)�����,例如可將其存儲在一非可讀區(qū)域內(nèi)�����?���;蛘撸饷芩惴蔀橐环N內(nèi)部研發(fā)的算法��,因此非現(xiàn)有技術(shù)中公知的�����;或者�����,解密算法可以這種算法為基礎(chǔ)�����。若屬后者���,優(yōu)選地是將其存儲在一非可讀區(qū)域內(nèi),借以對其進(jìn)行保護(hù)。根據(jù)本發(fā)明����,軟件解密或解碼需要一解碼密鑰,其亦存放在或存儲在啟動程序內(nèi)����, 因此為非可讀。此一解碼密鑰目前可表示一種專用于對應(yīng)軟件解碼的密鑰�����。解碼密鑰可與現(xiàn)有技術(shù)的公用編碼密鑰及例如經(jīng)由因特網(wǎng)進(jìn)行數(shù)據(jù)交換用的非公用解碼密鑰有所不同���。根據(jù)本發(fā)明���,“可載入式”軟件至少表示一種最初以任何所需形式或格式呈現(xiàn)的軟件,此種軟件例如可存儲在一光驅(qū)(⑶-ROM)上�����,或可經(jīng)由因特網(wǎng)聯(lián)機(jī)而從一中央計(jì)算機(jī)/ 服務(wù)器擷取��,并可例如使用任何所需形式存儲于或載入一計(jì)算機(jī)系統(tǒng)����,諸如存儲于或載入一程序存儲器或內(nèi)部存儲器�。根據(jù)本發(fā)明�����,以非可讀形式呈現(xiàn)的軟件可表示至少一種僅在特定條件下才能從存儲器元件讀取的軟件�。此種軟件例如可利用一“閃存”(flash)讀取。所述特定條件是經(jīng)由對前述存儲器元件中的某些存儲器位址配置特定值而確定的���。凡本領(lǐng)域技術(shù)人員皆具備程序設(shè)計(jì)技術(shù)中對特定存儲器位址配置數(shù)值的詳細(xì)知識�����。對特定存儲器位置任選地配置數(shù)值的類似存儲器芯片中,其范例之一是LPC24XX 型具有讀碼防護(hù)功能的芯片���,例如恩智普半導(dǎo)體公司(NXP Semiconductors)的“LPC2400 Flash”����。此種芯片包括一讀碼防護(hù)(Code Read ftOtection�����,“CPR”)機(jī)制,允許程序設(shè)計(jì)者于芯片上配置存儲器數(shù)值時�����,對一固定的存儲器位置(“0X000001FC”)配置不同的值����,以產(chǎn)生不同的安全層次。為達(dá)這一目的�����,例如可限制或阻止對芯片或芯片上閃存的存取���,及/ 或使用“在線燒錄”(In-system programming, ISP)功能�����。類似上述由恩智普半導(dǎo)體公司出品的控制器�,可用某種方式配置這些安全層次���, 以于存取軟件時����,存在數(shù)種彼此不同的基本可能性。 因此����,舉例而言,可在上述由恩智普半導(dǎo)體公司出品的控制器內(nèi)����,選擇一個CRP 1 選項(xiàng),其中阻止經(jīng)由JTAGCJoint Test Action Group���,聯(lián)合測試行動小組)引腳存取芯片�。 利用特定的ISP命令與限制�,可以作局部閃存更新。此外����,在上述由恩智普半導(dǎo)體公司出品的控制器內(nèi),還可以選擇一個CRP2選項(xiàng)���, 其中阻止經(jīng)由JTAG引腳存取芯片,并禁用某些ISP命令����,諸如“read memory”(讀取存儲器)O此外�����,亦可在上述控制器內(nèi)選擇其它讀碼防護(hù)(CRP)選項(xiàng)�����。關(guān)于此點(diǎn)及前述有關(guān)事項(xiàng)�����,請參照恩智普半導(dǎo)體公司提供之對應(yīng)手冊UM10237�,30章LPC2400 Flash, 2007o其內(nèi)容于茲以參照方式完全并入本文��。根據(jù)本發(fā)明一具體實(shí)施例����,前述控制器之特征在于一控制器芯片,其上可保存可讀或非可讀軟件����。根據(jù)本發(fā)明另一具體實(shí)施例,前述控制器之特征在于具有另一額外的存儲器(或存儲器元件�、存儲器芯片),其上可保存可讀或非可讀軟件�����。本發(fā)明各項(xiàng)優(yōu)異的發(fā)展或?qū)嵤├謩e構(gòu)成各附屬權(quán)利要求的主題�。在一優(yōu)選實(shí)施例中,解密算法及解碼密鑰二者都在計(jì)算機(jī)系統(tǒng)初始運(yùn)作前即已被編程至啟動程序內(nèi)�����。其優(yōu)點(diǎn)在于使用者或終端使用者從一開始即可使用所有必要的先決條件����。前述軟件不論是程序、鏈接庫或文件�����,其所有使用選項(xiàng)都可立即加以利用���。尤其在醫(yī)療設(shè)備之情況�,各種無法預(yù)見之事件�����,諸如不同的急性病征��,可能產(chǎn)生必須立即存取特定程序的情況��。本發(fā)明中從一開始已將此等狀況列入考慮����。在另一優(yōu)選實(shí)施例中,解碼密鑰是單獨(dú)配置的����,因此與其它相同結(jié)構(gòu)的設(shè)備,尤其是醫(yī)療設(shè)備��,所使用的解碼密鑰��,有所不同�����。如此可對每個單一設(shè)備單獨(dú)而明確地配置解碼密鑰����。其優(yōu)點(diǎn)在于,如在醫(yī)療設(shè)備的情況中�,可以確實(shí)避免因混淆而可能導(dǎo)致重大后果的風(fēng)險。此外,并可確保唯有各個設(shè)備專設(shè)的軟件才能使用其各自的解碼密鑰解密�����;以此方式�, 進(jìn)而可阻止獲得授權(quán)者一但購買軟件后在其它設(shè)備擁有者之間進(jìn)行未經(jīng)授權(quán)的流通。因此���,至少可避免使用者規(guī)避購買另一軟件授權(quán)���。在另一優(yōu)選實(shí)施例中,前述軟件包括特別為醫(yī)療設(shè)備各自應(yīng)用而開發(fā)或利用的應(yīng)用程序�����。根據(jù)本發(fā)明��,這些應(yīng)用程序與其它軟件程序不同之處在于��,它們在其它計(jì)算機(jī)系統(tǒng)上沒有合理的用途�����,只能用在當(dāng)初編譯后所要專用的計(jì)算機(jī)系統(tǒng)上�。此外�,它們經(jīng)常與特定的設(shè)備硬件元件耦合���。盡管如此,利用這種軟件操作的設(shè)備�,若其利用與結(jié)構(gòu)未以例如本發(fā)明公開的方式加以保護(hù)時,可以使用前述應(yīng)用程序加以限制并選擇性地復(fù)制���;在此情況時�����, 使用根據(jù)本發(fā)明之解密算法與解碼密鑰仍是明智與有利的����。以下說明中�,除經(jīng)本領(lǐng)域技術(shù)人員確認(rèn)不相適用,否則有關(guān)“應(yīng)用程序”的說明將同樣適用于“軟件”����。在另一優(yōu)選實(shí)施例中,所述加密應(yīng)用程序優(yōu)選地放在��,存儲在計(jì)算機(jī)系統(tǒng)的程序存儲器內(nèi)����。通常��,有多種應(yīng)用程序的存儲選項(xiàng)可供考慮��,包括存儲于計(jì)算機(jī)系統(tǒng)本身的硬件內(nèi)及存儲于額外的外部存儲介質(zhì)上����。存儲在固定的預(yù)定硬件程序存儲器內(nèi)時�,其優(yōu)點(diǎn)在于, 由于該程序存儲器可根據(jù)各自的應(yīng)用而明確地配置��,所以能用結(jié)構(gòu)化方式進(jìn)一步處理�,傳送至其它存儲介質(zhì),及/或解密�����。這種配置方式可顧及存儲器大小�����、存儲器之實(shí)體質(zhì)量及其它技術(shù)要求���,例如存取速度���。在另一優(yōu)選實(shí)施例中�����,所述計(jì)算機(jī)系統(tǒng)包括至少一個接口����,以允許使用例如“更新”或“升級”的方式來更換或補(bǔ)充應(yīng)用程序���。其優(yōu)點(diǎn)在于可使用確實(shí)且簡易的方式傳送完整軟件的版本或單一軟件的更新。該軟件的傳送可方便地經(jīng)由未保全���,亦即未加密的傳輸路徑執(zhí)行����?��?尚械倪x項(xiàng)包括經(jīng)由因特網(wǎng)下載�����,從制造商或程序設(shè)計(jì)者透過電子郵件發(fā)送至客戶或使用者�����,或者也可發(fā)送至位于現(xiàn)場的服務(wù)技術(shù)人員���,此外還可經(jīng)由存儲卡�����、光驅(qū)等傳輸����。傳輸當(dāng)時或傳輸之后并不需要解密����,并可省略此程序;此軟件其實(shí)是以加密形式存儲在程序存儲器內(nèi)��。在此情況下����,也不需要對應(yīng)現(xiàn)有技術(shù)中的多種在線更新而在外部服務(wù)器進(jìn)行身份辨識,因?yàn)閭鬏斿e誤軟件或偽造軟件時��,啟動程序的解碼密鑰會摒棄它們�����。在另一優(yōu)選實(shí)施例中,初始即已加密的應(yīng)用程序藉由對應(yīng)裝置的協(xié)助���,可由計(jì)算機(jī)系統(tǒng)從程序存儲器傳送至啟動程序內(nèi)并解碼�����,然后再傳送至另一存儲器內(nèi)�����。精確程序可以執(zhí)行如下啟動之后,計(jì)算機(jī)系統(tǒng)代表啟動程序內(nèi)的命令開始運(yùn)轉(zhuǎn)���,并開始讀入以加密形式置于程序存儲器內(nèi)的程序����。然后�,利用解密算法及解碼密鑰將數(shù)據(jù)解碼,并在指定的情況下���,將數(shù)據(jù)存儲在另一存儲器內(nèi)��。完成該程序后����,解密后的應(yīng)用程序即開始執(zhí)行。所述另一存儲器�����,通常為主存儲器或內(nèi)部存儲器�����,并包括一非永久性(揮發(fā)性)存儲器�,即隨機(jī)存取存儲器(RAM),此種存儲器在失效或電源中斷后并不保存或保持其內(nèi)容�。之后,即不可能讀出程序�����,對于未經(jīng)授權(quán)者亦是如此��。
7
另一種方式中��,亦可直接從程序存儲器執(zhí)行該程序。在此情況時�����,所述程序存儲器或所述控制器須包含一解碼單元����。其中,程序存儲器也可例如使用諸如FPGA(現(xiàn)場可編程邏輯門陣列Field Programmable Gate Array)的可程序設(shè)計(jì)邏輯實(shí)現(xiàn)�。更換后或補(bǔ)充后的應(yīng)用程序,其解碼密鑰與用于保護(hù)對主存儲器安全傳送的解碼密鑰�,可能不同。第一種密鑰可經(jīng)由一外部存儲器(存儲卡�����、電子標(biāo)簽RFID)等提供���,而用于保護(hù)安全傳送的內(nèi)部密鑰則為一中央處理單元(CPU)專用的數(shù)字,是于生產(chǎn)期間燒錄或存儲在啟動程序內(nèi)的�。兩種方法都可以而且最好都在讀出前先予以防護(hù)。因此��,不同設(shè)備的程序存儲器�����,即使其內(nèi)包含的應(yīng)用程序相同,在讀出時還是不同��。在軟件更新期間��,先使用統(tǒng)一的密鑰將收到的應(yīng)用程序解碼至主存儲器內(nèi)����,然后再使用CPU專用密鑰存儲到程序存儲器內(nèi)。在另一優(yōu)選實(shí)施例中�,將非上行位址(non-ascending addresses)寫入含有解密程序的主存儲器。此順序例如可與一隨機(jī)數(shù)字鏈接�����,至少某些登錄可以雙重進(jìn)行��,或在寫入主存儲器時執(zhí)行中斷���,以阻礙經(jīng)由邏輯分析儀等進(jìn)行的評估��。此程序結(jié)束時���,另一子例程 (routine)可確保所有位址都包含正確的數(shù)據(jù)(例如,經(jīng)由測試空存儲器位置的方式)。載入程序之后�����,主存儲器內(nèi)的程序的各個部份彼此間具有正確的順序���。從計(jì)算機(jī)系統(tǒng)開啟電源與最后操作準(zhǔn)備就序之間的時間長度被維持在合理的限度內(nèi)����,以免使用者無法接受���。在另一優(yōu)選實(shí)施例中�,在程序存儲器內(nèi)加密的程序并不以原始的順序存儲����,而是以隨機(jī)方式再細(xì)分成多個區(qū)塊。啟動程序可存儲細(xì)分區(qū)塊的對應(yīng)順序����。只有啟動程序可知道正確的順序或次序��。本發(fā)明的目的進(jìn)而可經(jīng)由具有權(quán)利要求10所述特征的計(jì)算機(jī)系統(tǒng)來實(shí)現(xiàn)����。根據(jù)本發(fā)明���,于茲提出另一種具有啟動程序的計(jì)算機(jī)系統(tǒng),用以達(dá)成相同的目的��。 此計(jì)算機(jī)系統(tǒng)具有一存儲介質(zhì)��,此存儲介質(zhì)優(yōu)選地可為前述之啟動程序�,或是包括一啟動程序,啟動程序中則包含至少一種非可讀����、無法復(fù)制、或有防拷保護(hù)的軟件解密算法����;此計(jì)算機(jī)系統(tǒng)具有至少一組用于此軟件的非可讀或有防拷保護(hù)的解碼密鑰,該密鑰存放在與該啟動程序不同或者不包括該啟動程序的存儲介質(zhì)內(nèi)���。解碼密鑰可經(jīng)由例如一解碼密鑰讀取器而提供�����。解碼密鑰可存儲于智能卡��、電子標(biāo)簽(RFID tag)等�。存放解碼密鑰的存儲介質(zhì)具有防拷保護(hù)。為了將軟件解碼�����,必須使用解碼密鑰與存儲于啟動程序內(nèi)的解密算法����。在另一優(yōu)選實(shí)施例中,所述解密算法并非存儲在啟動程序內(nèi)�����,而是存儲在一程序存儲器內(nèi)��。在此情況時�,其優(yōu)點(diǎn)是解密算法不需要防讀保護(hù)。本文中�����,解密算法亦可為現(xiàn)有技術(shù)中公知的���;若屬此種情況時���,則不需要將解密算法存儲在一封鎖區(qū)內(nèi),然而仍可任選地存儲于該處�。在此情況時,密鑰優(yōu)選地具有防讀保護(hù)�,例如可將其存儲在一非可讀區(qū)域內(nèi)?����;蛘?���,解密算法可為一種內(nèi)部研發(fā)的算法,亦即非現(xiàn)有技術(shù)中公知的�����;或者�,解密算法可以這種算法為基礎(chǔ)。若屬后者���,優(yōu)選地是將其存儲在例如非可讀區(qū)域內(nèi)��,借以對其保護(hù)����。本發(fā)明的目的亦可經(jīng)由具有權(quán)利要求14所述特征的計(jì)算機(jī)系統(tǒng)來實(shí)現(xiàn)。根據(jù)本發(fā)明��,于茲提出另一計(jì)算機(jī)系統(tǒng)���,其中將軟件存儲在一控制器芯片內(nèi)���。基于安全理由防止未經(jīng)授權(quán)擅自讀取���,此軟件是以非可讀方式被存儲的���。其優(yōu)點(diǎn)在于不需要額外的硬件元件來將軟件存儲在計(jì)算機(jī)系統(tǒng)內(nèi),因?yàn)槭褂每刂破餍酒瑏泶鎯浖?�,不論控制器芯片如何呈現(xiàn)���。因此����,整個系統(tǒng)可有更簡單�����、更小巧、成本更低的結(jié)構(gòu)�����。以本發(fā)明若干具體實(shí)施例的范圍而言�,“非可讀”表示(產(chǎn)品出廠后�,亦即離開生產(chǎn)環(huán)境后)不再可能使用存儲元件從其中讀取已編程與保存的軟件。因此�����,必須使用執(zhí)行此功能的專屬存儲元件���。在前述計(jì)算機(jī)系統(tǒng)之一優(yōu)選的實(shí)施例中����,根據(jù)本發(fā)明�,所述軟件系以未加密形式使用適當(dāng)裝置存儲在控制器芯片內(nèi)。鑒于軟件是無法被讀取的��,所以此實(shí)施例是可行的�����。此實(shí)施例的優(yōu)點(diǎn)在于,由于程序的程序設(shè)計(jì)與可執(zhí)行性進(jìn)一步簡化���,所以在啟動程序前���,不需要任何解密。如此有利于增加程序的載入速度�����。在前述計(jì)算機(jī)系統(tǒng)之另一優(yōu)選實(shí)施例中�����,其包括一外部裝置接口��,用以整體改變或更換應(yīng)用程序或軟件��。所謂改變是指例如軟件更新�����。更新解碼在控制器芯片內(nèi)部進(jìn)行。 控制器芯片內(nèi)現(xiàn)有的程序存儲器在此程序中完成更新���。經(jīng)由本發(fā)明計(jì)算機(jī)系統(tǒng)各個方面與優(yōu)選實(shí)施例而可獲得的優(yōu)點(diǎn)包括�����,例如��,軟件盜拷防護(hù)。這里����,其實(shí)可以省略加密,因此可經(jīng)由對公眾開放的配送路徑(亦即包括例如因特網(wǎng)中的下載選項(xiàng)或經(jīng)由電子郵件的配送)����,取得軟件而不會產(chǎn)生擔(dān)心的情況,如此有助于省下進(jìn)行控制時為了復(fù)雜而且最后經(jīng)常枉費(fèi)的嘗試所付出的成本與氣力��。在某些具體實(shí)施例中�,會由于加密而防止軟件的讀取與潛在的竄改。藉由本發(fā)明��,可利于進(jìn)一步確保軟件在設(shè)備中運(yùn)行時給予軟件必要的安全防護(hù)�����。本發(fā)明另一優(yōu)點(diǎn)在于,軟件的傳輸實(shí)際上可任選地在聯(lián)機(jī)時或離線時執(zhí)行���。用于傳輸?shù)拇鎯橘|(zhì)可隨機(jī)選取��。根據(jù)本發(fā)明��,不需要在服務(wù)器或傳送者的位置進(jìn)行事前的身份辨識���。解密算法是無法從啟動程序讀出的。如此有助于提供盜拷或“破解”防護(hù)�。本發(fā)明之目的亦可經(jīng)由具有權(quán)利要求17所述特征之裝置或設(shè)備操作方法來實(shí)現(xiàn);同樣可經(jīng)由具有權(quán)利要求18所述特征的軟件更換或補(bǔ)充方法來實(shí)現(xiàn)�����,而前述軟件尤其是指具有權(quán)利要求16所述特征之裝置或設(shè)備上使用的應(yīng)用程序��。本發(fā)明之目的更可經(jīng)由具有權(quán)利要求19所述特征的裝置來實(shí)現(xiàn)�。本發(fā)明的方法與裝置可以提供與本發(fā)明之計(jì)算機(jī)系統(tǒng)完全相同的優(yōu)點(diǎn)。因此���,為了避免重復(fù)����,請?zhí)貏e參照先前有關(guān)本發(fā)明計(jì)算機(jī)系統(tǒng)的論述。
具體實(shí)施例方式圖1顯示根據(jù)本發(fā)明的一裝置1�,裝置1被配置為一醫(yī)療設(shè)備或其它類別之設(shè)備, 并具有一計(jì)算機(jī)系統(tǒng)3��。計(jì)算機(jī)系統(tǒng)3包括一控制器5�,其中包含一啟動程序7 ;—程序存儲器9���,其中包含一軟件11�����,例如一應(yīng)用程序;及一主存儲器13���,其可被配置為一內(nèi)部存儲器�����。 啟動程序7內(nèi)存儲一非可讀解密算法14及一非可讀解碼密鑰15�����?�?刂破?�、程序存儲器9 及主存儲器13這三種元件為互連,以達(dá)例如數(shù)據(jù)交換的目的���。 圖2顯示二個結(jié)構(gòu)相同的裝置1’����、1”�,此二裝置被配置為醫(yī)療設(shè)備,各自包括一計(jì)算機(jī)系統(tǒng)3�。兩計(jì)算機(jī)系統(tǒng)3繼而各包含控制器5、程序存儲器9及主存儲器13三個元件���, 而其差異至少在于二個不同的解碼密鑰15’���、15”。 圖3顯示一醫(yī)療設(shè)備1����,其具有一計(jì)算機(jī)系統(tǒng)3 ;計(jì)算機(jī)系統(tǒng)3包括一接口 19����,以供更換或補(bǔ)充一應(yīng)用程序21�����。圖3所示計(jì)算機(jī)系統(tǒng)3與先前各圖所示的計(jì)算機(jī)系統(tǒng)相同�����,繼而包括一控制器5�����、一程序存儲器9及一主存儲器13�����??梢钥闯鰣D3所示的控制器5包括一解密算法14但無解碼密鑰�。取而代之的是另一進(jìn)一步設(shè)置的存儲介質(zhì)23����,其中存儲一具有防拷保護(hù)之解碼密鑰27。存儲介質(zhì)23可與控制器5連接�。 圖4顯示一具有計(jì)算機(jī)系統(tǒng)3的醫(yī)療設(shè)備1�����,該計(jì)算機(jī)系統(tǒng)3包括至少一個控制器芯片四��,其內(nèi)含有一軟件11��,尤其是一應(yīng)用程序��。計(jì)算機(jī)系統(tǒng)3內(nèi)�,可再包含一主存儲器 13�。此外,圖4更顯示一軟件31及一外接裝置接口 33��,以允許使用已知方式以軟件31替換控制器芯片四內(nèi)含的軟件11���。
權(quán)利要求
1.一種計(jì)算機(jī)系統(tǒng)(3)����,其具有一啟動程序(7)����,并運(yùn)用至少一種可載入式軟件(11) 來使用一裝置(1),尤其是一醫(yī)療裝置��;其中所述啟動程序(7)包括至少一種用于所述軟件 (11)的非可讀解密算法(14);其特征在于所述啟動程序(7)進(jìn)而包括至少一組非可讀解碼密鑰(15)����。
2.如權(quán)利要求1所述的計(jì)算機(jī)系統(tǒng)(3),其中所述解密算法(14)及所述解碼密鑰(15) 在所述計(jì)算機(jī)系統(tǒng)C3)包含該啟動程序(7)的區(qū)段進(jìn)行初始操作前�,即已被編程到所述啟動程序(7)內(nèi)。
3.如權(quán)利要求1或2中任一項(xiàng)所述的計(jì)算機(jī)系統(tǒng)(3)�����,其中所述解碼密鑰(15’)與其它醫(yī)療裝置(1’�����、1”)及/或設(shè)備群組所用的解碼密鑰(15”)有所不同��,除此之外����,所述裝置及/或設(shè)備群組具有完全相同的結(jié)構(gòu)。
4.如前面權(quán)利要求中任一項(xiàng)所述的計(jì)算機(jī)系統(tǒng)(3)����,其中所述軟件(11)為一應(yīng)用程序����。
5.如前面權(quán)利要求中任一項(xiàng)所述的計(jì)算機(jī)系統(tǒng)(3)��,其具有一程序存儲器(9)��,所述應(yīng)用程序出現(xiàn)在其中�����,尤其是以加密形式存儲于其內(nèi)����。
6.如前面權(quán)利要求中任一項(xiàng)所述的計(jì)算機(jī)系統(tǒng)(3)����,其具有至少一接口(19),用以更換及/或補(bǔ)充所述軟件或應(yīng)用程序�����。
7.如前面權(quán)利要求中任一項(xiàng)所述的計(jì)算機(jī)系統(tǒng)(3)���,其各具有一裝置����,用以從所述程序存儲器(9)將加密的軟件(11),尤其是所述應(yīng)用程序��,傳送至所述啟動程序(7)內(nèi)�����,以利用解密算法(14)及解碼密鑰(1 對所述軟件(11)解碼�����,并于后續(xù)將所述軟件(11)存儲于另一存儲器內(nèi)����,尤其是一主存儲器(1 內(nèi)。
8.如前面權(quán)利要求中任一項(xiàng)所述的計(jì)算機(jī)系統(tǒng)(3)�����,其具有一裝置��,可對另一存儲器寫入非上行位址���,用以傳送所述軟件(11)����,尤其是所述應(yīng)用程序���,至所述另一存儲器內(nèi)���,尤其是一主存儲器(1 內(nèi)。
9.如前面權(quán)利要求中任一項(xiàng)所述計(jì)算機(jī)系統(tǒng)(3)����,其具有一裝置,可使用與所述程序存儲器(9)內(nèi)原始的區(qū)塊細(xì)分不相對應(yīng)的方式���,存儲所述軟件(11)����,尤其是所述應(yīng)用程序����。
10.一種計(jì)算機(jī)系統(tǒng)(3),其具有一啟動程序(7)�����,并運(yùn)用至少一種可載入式軟件(11), 尤其是一應(yīng)用程序����,來使用一裝置(1),尤其是一醫(yī)療裝置���;其特征在于至少一存儲介質(zhì)�����,被設(shè)計(jì)成或包括一啟動程序(7)��,其上存儲至少一種用于所述軟件 (11)的解密算法(14)���;以及至少另一存儲介質(zhì)(23),其與所述啟動程序(7)或包括所述啟動程序(7)的存儲介質(zhì)有所不同�����;且所述存儲介質(zhì)上存儲至少一組非可讀或有防拷保護(hù)的解碼密鑰07)���。
11.如權(quán)利要求10所述的計(jì)算機(jī)系統(tǒng)(3)����,其中用于所述軟件(11)的解密算法(14) 是有防拷保護(hù)的或?yàn)榉强勺x的。
12.如權(quán)利要求10或11所述的計(jì)算機(jī)系統(tǒng)(3)���,其中所述存儲介質(zhì)03)為所述啟動程序(7)��。
13.如權(quán)利要求10至12中任一項(xiàng)所述的計(jì)算機(jī)系統(tǒng)(3)�,其中一程序存儲器(9)包含至少一種用于所述軟件(11)的解密算法(14)�。
14.一種計(jì)算機(jī)系統(tǒng)(3)����,其具有一控制器芯片(四),并使用至少一種軟件(11)��,尤其是一應(yīng)用程序�����,來操作一裝置(1)�,尤其是一醫(yī)療裝置;其中所述軟件(11)是以非可讀方式存儲在所述控制器芯片09)內(nèi)��。
15.如權(quán)利要求14所述的計(jì)算機(jī)系統(tǒng)(3)��,其中所述軟件(11)是以未加密形式存儲的�。
16.如權(quán)利要求14或15所述的計(jì)算機(jī)系統(tǒng)(3),其具有一外部裝置接口(33),用以改變存儲的軟件(11)或用另一軟件(31)替換存儲的軟件(11)�����。
17.一種操作一裝置(1)��,尤其是操作一醫(yī)療裝置的方法�����; 其特征在于以下步驟使用如權(quán)利要求1至16中任一項(xiàng)所述的計(jì)算機(jī)系統(tǒng)(3)���。
18.一種用于更換或補(bǔ)充一裝置(1)���,尤其是一醫(yī)療裝置之軟件(11)的方法; 其特征在于以下步驟使用如權(quán)利要求1至16中任一項(xiàng)所述的計(jì)算機(jī)系統(tǒng)(3)�。
19.一種裝置(1),其特征在于一種如權(quán)利要求1至16中任一項(xiàng)所述的計(jì)算機(jī)系統(tǒng)⑶�。
20.如權(quán)利要求19所述的裝置(1),其被配置為一醫(yī)療裝置�����。
21.如權(quán)利要求20所述的裝置(1)����,其被配置為一血液治療裝置���。
全文摘要
本發(fā)明提出一種計(jì)算機(jī)系統(tǒng)(3),其具有一啟動程序(7)��,并運(yùn)用至少一種可載入式軟件(11)來使用一裝置(1)���,尤其是一醫(yī)療裝置�����;其中該啟動程序(7)包括至少一種用于該軟件(11)的非可讀解密算法(14)。該啟動程序(7)進(jìn)而包括至少一組非可讀解碼密鑰(15)�,或者該計(jì)算機(jī)系統(tǒng)(3)進(jìn)而包括至少另一存儲介質(zhì)(23),其與啟動程序(7)不同����,且其上存儲至少一組具有防拷保護(hù)之解碼密鑰(27)。本發(fā)明進(jìn)而說明一種計(jì)算機(jī)系統(tǒng)(3)�,其具有一控制芯片(29),并使用至少一種軟件(11)����,尤其是一應(yīng)用程序����,來操作一裝置(1)�,尤其是一醫(yī)療裝置;其中該軟件(11)以非可讀方式存儲在該控制器芯片(29)內(nèi)�。本發(fā)明進(jìn)而說明各種對應(yīng)的方法。
文檔編號G06F21/57GK102369535SQ201080014649
公開日2012年3月7日 申請日期2010年2月2日 優(yōu)先權(quán)日2009年2月3日
發(fā)明者托馬斯·史達(dá)爾, 杰爾貞·舒安克 申請人:費(fèi)森尼斯醫(yī)療德國公司