在釋放的運行時環(huán)境中建筑控制軟件的防操縱的安裝的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及用于安裝建筑控制軟件的方法。該方法可以不僅在軟件的第一次安裝中而且在通過改寫、更換或打補丁來更新軟件或數(shù)據(jù)時被應用。
[0002]此外，本發(fā)明還涉及作為軟件交付實例的裝置和作為運行時環(huán)境的裝置。最后提及的被設(shè)置用于作為運行時環(huán)境起作用的裝置可以包括多于一個的設(shè)備。例如，要安裝的軟件可以為了事后在第一設(shè)備上的實施而被安裝和/或釋放。與此獨立的第二設(shè)備可以準備好從軟件交付實例調(diào)用要安裝的軟件和/或從軟件交付實例獲得對已經(jīng)安裝的軟件的釋放，并把該軟件和/或釋放移交給該第一設(shè)備。例如，該第一設(shè)備可以是建筑控制裝置。該第二設(shè)備典型地是服務PC或服務智能手機。
【背景技術(shù)】
[0003]已知一種方法，在該方法中建筑控制裝置定期地與服務器接觸，以便從該服務器調(diào)用更新的建筑控制軟件。

【發(fā)明內(nèi)容】

[0004]本發(fā)明所基于的任務在于，提供一種方法，利用該方法能夠防操縱地只在如下運行時環(huán)境中加載或只在如下運行時環(huán)境中激活建筑控制軟件，該建筑控制軟件被設(shè)置用于該運行時環(huán)境。例如，這可以是確定的運行時環(huán)境，要加載或要激活的建筑控制軟件已針對該運行時環(huán)境被支付。
[0005]按照本發(fā)明，這個任務通過提供一種用于安裝建筑控制軟件的方法來解決，該方法包括下列步驟:
[0006]?把運行時環(huán)境的標識從該運行時環(huán)境傳送給軟件交付實例；
[0007]籲由該軟件交付實例產(chǎn)生文件，其中該文件包括所傳送的標識和要安裝的軟件或該要安裝的軟件的散列；
[0008]籲由該軟件交付實例借助于該軟件交付實例的密鑰對所產(chǎn)生的文件進行簽名；
[0009]籲把被簽名的文件從該軟件交付實例傳送給該運行時環(huán)境；
[0010]籲由該運行時環(huán)境比較該運行時環(huán)境的標識與在該被簽名的文件中實際傳送的標識是否一致；和
[0011]?當且僅當該比較得出了該運行時環(huán)境的標識與在該被簽名的文件中實際傳送的標識一致時，才在該運行時環(huán)境中安裝和/或釋放該要安裝的軟件。
[0012]關(guān)于裝置，該任務通過以下方式來解決，即該裝置準備好用作根據(jù)本發(fā)明的方法之一的軟件交付實例和/或運行時環(huán)境。
[0013]通過當且僅當該比較得出了該運行時環(huán)境的標識與在該被簽名的文件中實際傳送的標識一致時才發(fā)生該要安裝的軟件在該運行時環(huán)境中的安裝和/或釋放來保證:可以只在如下運行時環(huán)境中加載或只在如下運行時環(huán)境中激活建筑控制軟件，該建筑控制軟件被設(shè)置用于該運行時環(huán)境。
[0014]適宜的是，為了把運行時環(huán)境的標識從該運行時環(huán)境傳送給軟件交付實例，應用借助于對稱的加密方法和/或借助于非對稱的加密方法的鑒權(quán)。利用加密方法可以端對端地、即不取決于所利用的傳輸路徑的可靠性檢查所傳送的標識的可靠性。借助于非對稱的加密方法的鑒權(quán)與借助于對稱的加密方法的鑒權(quán)相比有如下優(yōu)點，即尤其是在參與的運行時環(huán)境的數(shù)量大時簡化密鑰交換，因為用于檢查該可靠性的密鑰可以在公共數(shù)據(jù)庫中被管理并且(例如在一般可訪問的網(wǎng)頁上)被公開。在此，該公共數(shù)據(jù)庫具有公證人功能并且因此必須本身是可靠的。
[0015]此外，適宜的是，為了把運行時環(huán)境的標識從運行時環(huán)境傳送給軟件交付實例，應用借助于對稱的加密方法和/或借助于非對稱的加密方法的加密。利用加密方法可以端對端地、即不取決于所利用的傳輸路徑的防竊聽性實現(xiàn)用于傳送標識的防竊聽保護。借助于非對稱的加密方法的加密與借助于對稱的加密方法的加密有如下優(yōu)點，即尤其是在參與的運行時環(huán)境的數(shù)量大時簡化密鑰交換，因為可以在不損害防竊聽性的情況下公開用于加密的密鑰。
[0016]優(yōu)選的是，該方法還包括下列步驟:檢驗該運行時環(huán)境以傳送給軟件交付實例的標識引起要安裝的軟件的下載、安裝或利用的授權(quán)。由此可以避免由如下運行時環(huán)境下載軟件，該運行時環(huán)境由于缺少硬件和/或軟件前提、由于缺少適當?shù)暮贤P(guān)系、由于法律規(guī)定、由于未支付、由于濫用危險和/或由于其他原因而未被授權(quán)下載該軟件。尤其優(yōu)選的是，檢驗授權(quán)的步驟包括償付能力檢查和/或支付過程。由此可以在下載該軟件之前保證為下載和/或為使用該要下載的軟件所規(guī)定的報酬的提供。
[0017]一個改進方案規(guī)定，運行時環(huán)境的標識和該要安裝的軟件分開被簽名以產(chǎn)生被簽名的文件，或運行時環(huán)境的標識和該要安裝的軟件的散列分開被簽名以產(chǎn)生該被簽名的文件。由此被簽名的標識可以節(jié)省資源地在不考慮要安裝的軟件的被簽名的部分的情況下被檢查。
[0018]一個替代的改進方案規(guī)定，包含該運行時環(huán)境的標識和該要安裝的軟件的散列或包含運行時環(huán)境的標識和要安裝的軟件的文件由該軟件交付實例作為整體進行簽名。由此可以排除不同交易的被簽名的文件部分的不適當?shù)慕M合。
[0019]特別優(yōu)選的是，運行時環(huán)境的標識與所期望的軟件版本的名稱一起從運行時環(huán)境傳送給軟件交付實例。由此該軟件交付實例可以支持運行時環(huán)境特定的和/或過程特定的軟件版本的下載。
[0020]適宜的是，在要安裝的軟件的安裝步驟中執(zhí)行下列子步驟:將該要安裝的軟件從軟件交付實例下載到該運行時環(huán)境，產(chǎn)生下載的軟件的散列，把該下載的軟件的散列與來自所傳送的被簽名的文件的散列進行比較，以及當且僅當該比較得出了該下載的軟件的散列與在被簽名的文件中所傳送的那個散列一致時才在該運行時環(huán)境中使用該下載的軟件。
【附圖說明】
[0021]根據(jù)附圖對本發(fā)明更詳細地進行說明，在附圖中:
[0022]圖1示出用于軟件更新的方法的消息交換圖。
【具體實施方式】
[0023]隨后更詳細地描述的實施例是本發(fā)明的優(yōu)選的實施方式。
[0024]在圖1中根據(jù)消息交換圖所示出的用于安裝建筑控制軟件S的方法100包括下列步驟。在第一步驟110中，可靠地和/或防竊聽地把運行時環(huán)境LU的標識LUi傳送給軟件交付實例Al。為此可以應用借助于對稱的加密方法和/或借助于非對稱的加密方法的鑒權(quán)。例如，把運行時環(huán)境LU的標識LUi傳送到軟件交付實例Al可以借助于電子郵件(例如借助于PGP方法加密)或通過互聯(lián)網(wǎng)網(wǎng)頁(例如借助于安全的超文本傳輸協(xié)議(例如借助于HTTPS)進行。與所利用的傳送方法的類型無關(guān)地假定，運行時環(huán)境LU的標識LUi是唯一的并且不能被運行時環(huán)境LU的用戶改變(HTTPS = Hypertext Transfer ProtocolSecure (超文本傳輸協(xié)議安全)。典型地，該運行時環(huán)境LU的標識LUi是硬件的序列號(例如移動站的IMEI)或運行時環(huán)境LU的軟件(IMEI = Internat1nal Mobile Stat1nEquipment Identity (國際移動站設(shè)備標識))。
[0025]典型地，軟件S的調(diào)用受確定的前提約束，諸如受交易條件的接受或受購買價、使用費或更新費的繳納約束。在這種情況下適宜的是，該方法100還包括下列第二步驟120:檢驗120運行時環(huán)境LU以被傳送給該軟件交付實例Al的標識LUi引起要安裝的軟件S的下載150、安裝170或利用的授權(quán)。
[0026]在第三步驟130中，由軟件交付實例Al產(chǎn)生文件D，其中該文件D包括所傳送的標識LUi和該要安裝的軟件S和/或該要安裝的軟件的散列H(S)。在第四步驟140中，軟件交付實例Al借助于軟件交付實例Al的密鑰Kai對所產(chǎn)生的文件D進行簽名。借助于簽名Kai的檢驗可以確認該文件D是否被改變了。在第五步驟150中，被簽名的文件Kai (D)從軟件交付實例Al被傳送給該運行時環(huán)境LU。在第六步驟160中，運行時環(huán)境LU比較該運行時環(huán)境LU的標識LUi是否與在該被簽名的文件Kai (D)中實際傳送的標識LUi' —致。在第七步驟170中，當且僅當該比較160得出了該運行時環(huán)境LU的標識LUi與在該被簽名的文件Kai (D)中實際傳送的標識LUi' —致時，才在該運行時環(huán)境LU中安裝和/或針對使用釋放該要安裝的軟件S。
[0027]一種實施方式規(guī)定，該運行時環(huán)境LU的標識LUi和要安裝的軟件S分開被簽名以產(chǎn)生該被簽名的文件Kai (D)，或該運