在释放的运行时环境中建筑控制软件的防操纵的安装

摘要

为了安装建筑控制软件(S)提供一种方法(100)，该方法包括下列步骤：把运行时环境(LU)的标识(LUi)从运行时环境(LU)传送给(110)软件交付实例(AI)，由软件交付实例(AI)产生(130)文件(D)，其中该文件(D)包括所传送的标识(LUi)和要安装的软件(S)或该要安装的软件(S)的散列(H(S))，由该软件交付实例(AI)借助于软件交付实例(AI)的密钥(Kai)对所产生的文件(D)进行签名(140)，把被签名的文件(Kai(D))从软件交付实例(AI)传送(150)给运行时环境(LU)，当且仅当该运行时环境(LU)的标识(LUi)与在被签名的文件(Kai(D))中实际传送的标识(LUi′)一致时才在该运行时环境(LU)中安装(170)和/或释放该要安装的软件(S)。此外，提出用于安装建筑控制软件的相应装置。

说明书

技术领域

本发明涉及用于安装建筑控制软件的方法。该方法可以不仅在软件的第一 次安装中而且在通过改写、更换或打补丁来更新软件或数据时被应用。

此外，本发明还涉及作为软件交付实例的装置和作为运行时环境的装置。 最后提及的被设置用于作为运行时环境起作用的装置可以包括多于一个的设 备。例如，要安装的软件可以为了事后在第一设备上的实施而被安装和/或释放。 与此独立的第二设备可以准备好从软件交付实例调用要安装的软件和/或从软件 交付实例获得对已经安装的软件的释放，并把该软件和/或释放移交给该第一设 备。例如，该第一设备可以是建筑控制装置。该第二设备典型地是服务PC或服 务智能手机。

背景技术

已知一种方法，在该方法中建筑控制装置定期地与服务器接触，以便从该 服务器调用更新的建筑控制软件。

发明内容

本发明所基于的任务在于，提供一种方法，利用该方法能够防操纵地只在 如下运行时环境中加载或只在如下运行时环境中激活建筑控制软件，该建筑控 制软件被设置用于该运行时环境。例如，这可以是确定的运行时环境，要加载 或要激活的建筑控制软件已针对该运行时环境被支付。

按照本发明，这个任务通过提供一种用于安装建筑控制软件的方法来解决， 该方法包括下列步骤：

●把运行时环境的标识从该运行时环境传送给软件交付实例；

●由该软件交付实例产生文件，其中该文件包括所传送的标识和要安装的软 件或该要安装的软件的散列；

●由该软件交付实例借助于该软件交付实例的密钥对所产生的文件进行签 名；

●把被签名的文件从该软件交付实例传送给该运行时环境；

●由该运行时环境比较该运行时环境的标识与在该被签名的文件中实际传 送的标识是否一致；和

●当且仅当该比较得出了该运行时环境的标识与在该被签名的文件中实际 传送的标识一致时，才在该运行时环境中安装和/或释放该要安装的软件。

关于装置，该任务通过以下方式来解决，即该装置准备好用作根据本发明 的方法之一的软件交付实例和/或运行时环境。

通过当且仅当该比较得出了该运行时环境的标识与在该被签名的文件中实 际传送的标识一致时才发生该要安装的软件在该运行时环境中的安装和/或释放 来保证：可以只在如下运行时环境中加载或只在如下运行时环境中激活建筑控 制软件，该建筑控制软件被设置用于该运行时环境。

适宜的是，为了把运行时环境的标识从该运行时环境传送给软件交付实例， 应用借助于对称的加密方法和/或借助于非对称的加密方法的鉴权。利用加密方 法可以端对端地、即不取决于所利用的传输路径的可靠性检查所传送的标识的 可靠性。借助于非对称的加密方法的鉴权与借助于对称的加密方法的鉴权相比 有如下优点，即尤其是在参与的运行时环境的数量大时简化密钥交换，因为用 于检查该可靠性的密钥可以在公共数据库中被管理并且(例如在一般可访问的网 页上)被公开。在此，该公共数据库具有公证人功能并且因此必须本身是可靠的。

此外，适宜的是，为了把运行时环境的标识从运行时环境传送给软件交付 实例，应用借助于对称的加密方法和/或借助于非对称的加密方法的加密。利用 加密方法可以端对端地、即不取决于所利用的传输路径的防窃听性实现用于传 送标识的防窃听保护。借助于非对称的加密方法的加密与借助于对称的加密方 法的加密有如下优点，即尤其是在参与的运行时环境的数量大时简化密钥交换， 因为可以在不损害防窃听性的情况下公开用于加密的密钥。

优选的是，该方法还包括下列步骤：检验该运行时环境以传送给软件交付 实例的标识引起要安装的软件的下载、安装或利用的授权。由此可以避免由如 下运行时环境下载软件，该运行时环境由于缺少硬件和/或软件前提、由于缺少 适当的合同关系、由于法律规定、由于未支付、由于滥用危险和/或由于其他原 因而未被授权下载该软件。尤其优选的是，检验授权的步骤包括偿付能力检查 和/或支付过程。由此可以在下载该软件之前保证为下载和/或为使用该要下载的 软件所规定的报酬的提供。

一个改进方案规定，运行时环境的标识和该要安装的软件分开被签名以产 生被签名的文件，或运行时环境的标识和该要安装的软件的散列分开被签名以 产生该被签名的文件。由此被签名的标识可以节省资源地在不考虑要安装的软 件的被签名的部分的情况下被检查。

一个替代的改进方案规定，包含该运行时环境的标识和该要安装的软件的 散列或包含运行时环境的标识和要安装的软件的文件由该软件交付实例作为整 体进行签名。由此可以排除不同交易的被签名的文件部分的不适当的组合。

特别优选的是，运行时环境的标识与所期望的软件版本的名称一起从运行 时环境传送给软件交付实例。由此该软件交付实例可以支持运行时环境特定的 和/或过程特定的软件版本的下载。

适宜的是，在要安装的软件的安装步骤中执行下列子步骤：将该要安装的 软件从软件交付实例下载到该运行时环境，产生下载的软件的散列，把该下载 的软件的散列与来自所传送的被签名的文件的散列进行比较，以及当且仅当该 比较得出了该下载的软件的散列与在被签名的文件中所传送的那个散列一致时 才在该运行时环境中使用该下载的软件。

附图说明

根据附图对本发明更详细地进行说明，在附图中：

图1示出用于软件更新的方法的消息交换图。

具体实施方式

随后更详细地描述的实施例是本发明的优选的实施方式。

在图1中根据消息交换图所示出的用于安装建筑控制软件S的方法100包 括下列步骤。在第一步骤110中，可靠地和/或防窃听地把运行时环境LU的标 识LUi传送给软件交付实例AI。为此可以应用借助于对称的加密方法和/或借助 于非对称的加密方法的鉴权。例如，把运行时环境LU的标识LUi传送到软件 交付实例AI可以借助于电子邮件(例如借助于PGP方法加密)或通过互联网网页 (例如借助于安全的超文本传输协议(例如借助于HTTPS)进行。与所利用的传送 方法的类型无关地假定，运行时环境LU的标识LUi是唯一的并且不能被运行 时环境LU的用户改变(HTTPS＝Hypertext Transfer Protocol Secure(超文本传输 协议安全)。典型地，该运行时环境LU的标识LUi是硬件的序列号(例如移动 站的IMEI)或运行时环境LU的软件(IMEI＝International Mobile Station Equipment  Identity(国际移动站设备标识))。

典型地，软件S的调用受确定的前提约束，诸如受交易条件的接受或受购 买价、使用费或更新费的缴纳约束。在这种情况下适宜的是，该方法100还包 括下列第二步骤120：检验120运行时环境LU以被传送给该软件交付实例AI 的标识LUi引起要安装的软件S的下载150、安装170或利用的授权。

在第三步骤130中，由软件交付实例AI产生文件D，其中该文件D包括所 传送的标识LUi和该要安装的软件S和/或该要安装的软件的散列H(S)。在第四 步骤140中，软件交付实例AI借助于软件交付实例AI的密钥Kai对所产生的 文件D进行签名。借助于签名Kai的检验可以确认该文件D是否被改变了。在 第五步骤150中，被签名的文件Kai(D)从软件交付实例AI被传送给该运行时环 境LU。在第六步骤160中，运行时环境LU比较该运行时环境LU的标识LUi 是否与在该被签名的文件Kai(D)中实际传送的标识LUi′一致。在第七步骤170 中，当且仅当该比较160得出了该运行时环境LU的标识LUi与在该被签名的 文件Kai(D)中实际传送的标识LUi′一致时，才在该运行时环境LU中安装和/或 针对使用释放该要安装的软件S。

一种实施方式规定，该运行时环境LU的标识LUi和要安装的软件S分开 被签名以产生该被签名的文件Kai(D)，或该运行时环境LU的标识LUi和要安 装的软件S的散列H(S)分开被签名以产生该被签名的文件D。

另一实施方式规定，包含该运行时环境LU的标识LUi和该要安装的软件S 的散列H(S)或包含该运行时环境LU的标识LUi和该要安装的软件S的文件D 由软件交付实例AI作为整体进行签名。

尤其优选的是，该运行时环境LU的标识LUi与所期望的软件版本V的名 称B(V)一起从运行时环境LU被传送给软件交付实例AI。

优选的是，在安装和/或释放该要安装的软件S的步骤170中执行下列子步 骤：把该要安装的软件S从软件交付实例AI下载172到该运行时环境LU；产 生173下载的软件S′的散列H(S′)；把下载的软件S′的散列H(S′)与来自所传送的 被签名的文件Kai(D)的散列H(S)进行比较174，以及当且仅当比较174得出了 下载的软件S′的散列H(S′)与在该被签名的文件Kai(D)中所传送的那个散列H(S) 一致时，才使用176和/或释放下载的软件S′。

通过这个方法100可以保证，只有当更新事先被支付了时才可以在运行时 环境LU中利用更新软件。

附图标记列表

100    用于安装软件S的方法

110    传送运行时环境的标识

120    检验运行时环境LU的授权

130    由软件交付实例AI产生文件D

140    对所产生的文件D进行签名

150    把被签名的文件D传送给运行时环境LU

160    把标识LUi与标识LUi′进行比较

170    安装要安装的软件S

172    下载要安装的软件S

173    产生下载的软件S的散列H(S)

174    把散列H(S)与散列H′(S)进行比较

176    使用下载的软件

AI     软件交付实例

B(V)   软件版本V的名称

D      文件

H(S)    要下载的软件S的散列

H(S′)  下载的软件S′的散列

Kai     软件交付实例AI的密钥

Kai(D)  被签名的文件

LU      运行时环境

LUi     运行时环境LU的标识

LUi′   在被签名的文件Kai(D)中传送的运行时环境LU的标识

S       软件

S′     下载的软件

V       软件版本