專利名稱:向接收設(shè)備發(fā)送可執(zhí)行代碼的方法和執(zhí)行該代碼的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及向一個(gè)帶有安全模塊的接收設(shè)備發(fā)送可執(zhí)行代碼����,以及在安全模塊中 處理和執(zhí)行該代碼�����,所述安全模塊包含一個(gè)與存儲(chǔ)器相關(guān)連的微控制器。更精確地說(shuō)��,本發(fā) 明旨在最大程度地限制存儲(chǔ)器可執(zhí)行部分的必要容量���,同時(shí)還容許執(zhí)行大型程序。 本發(fā)明尤其可以應(yīng)用在有條件接收電視領(lǐng)域的安全模塊中����。
背景技術(shù):
一部分現(xiàn)有安全模塊的存儲(chǔ)器屬于以下三種類型中的至少一種RAM、ROM�、EEPROM 類型的存儲(chǔ)器。通常����,RAM存儲(chǔ)器分為兩部分。其中一部分稱為可執(zhí)行存儲(chǔ)器���,可以保存可 執(zhí)行代碼���;另一部分稱為不可執(zhí)行存儲(chǔ)器,其中的代碼被禁止執(zhí)行��。具體對(duì)安全模塊的存儲(chǔ)器而言���,大容量的可執(zhí)行存儲(chǔ)器會(huì)導(dǎo)致安全問(wèn)題����。事實(shí)上, 心懷惡意者違規(guī)執(zhí)行代碼有時(shí)可以獲取安全模塊中保存的信息��,而這些信息還被認(rèn)為處于 安全狀態(tài)���。尤其����,這樣的信息可能是解密密鑰��。知道了這樣的密鑰例如就可以使用有條件 接收的內(nèi)容���。為了避免這樣的信息被盜取���,最好是選用小容量的可執(zhí)行存儲(chǔ)器。這種選擇的弊 病在于不能保存比可執(zhí)行存儲(chǔ)器容量更大的可執(zhí)行程序���,從而限制了程序的大小���。因此必 須在存儲(chǔ)器容量相關(guān)的安全性與選擇可以保存的可執(zhí)行程序之間作出折衷����。文檔Dl描述了一種方法��,根據(jù)這種方法����,將可執(zhí)行程序傳輸?shù)揭粋€(gè)設(shè)備�,例如收 費(fèi)電視的解碼器。根據(jù)這種方法�,可執(zhí)行程序被分割為多個(gè)塊,然后這些塊被傳輸至解碼 器�����。解碼器帶有兩個(gè)處理器���。所接收到的消息被傳輸?shù)狡渲幸粋€(gè)處理器��,這個(gè)處理器這是 安全處理器�����,負(fù)責(zé)驗(yàn)證塊的完整性和真實(shí)性��。對(duì)于不正確的塊可以采取相應(yīng)對(duì)策��。在完整 性和真實(shí)性正確的情況下����,塊被轉(zhuǎn)移到存儲(chǔ)器中保存或轉(zhuǎn)移到另一個(gè)處理器執(zhí)行塊中包含 的指令。該文檔沒(méi)有說(shuō)明處理器的可執(zhí)行存儲(chǔ)器的容量��,只是描述了執(zhí)行代碼之前的驗(yàn)證 步驟���。因此���,該文檔沒(méi)有解決當(dāng)前技術(shù)的問(wèn)題。事實(shí)上�����,沒(méi)有什么辦法阻止使用真實(shí)的可執(zhí) 行代碼�,即成功通過(guò)了真實(shí)性和完整性驗(yàn)證步驟的代碼,也沒(méi)有什么辦法阻止違規(guī)執(zhí)行該 代碼�����。這種違規(guī)執(zhí)行可能為心懷惡意者提供有用的信息,而且正因?yàn)槭钦鎸?shí)代碼�,對(duì)心懷惡 意者就更加有用。本發(fā)明旨在減輕當(dāng)前設(shè)備的弊病���,通過(guò)采用其中可執(zhí)行存儲(chǔ)器容量小的存儲(chǔ)器從 而更加安全��,同時(shí)容許執(zhí)行大型程序�����,具體說(shuō)就是比可執(zhí)行存儲(chǔ)器容量大的程序����。
發(fā)明內(nèi)容
本發(fā)明的目的通過(guò)一種向與接收設(shè)備本地連接的安全模塊發(fā)送可執(zhí)行代碼的方 法來(lái)實(shí)現(xiàn)�,所述安全模塊包括微控制器和存儲(chǔ)器�,所述存儲(chǔ)器包括至少一個(gè)用來(lái)保存能夠 被所述微控制器執(zhí)行的指令的可執(zhí)行區(qū)域,和至少一個(gè)不可執(zhí)行區(qū)域����,在所述不可執(zhí)行區(qū) 域中微控制器不能執(zhí)行指令,所述代碼發(fā)送方法的特征在于包括如下步驟
a)將可執(zhí)行代碼分割為多個(gè)塊����;b)向所述塊中加入該塊的至少一個(gè)管理代碼以形成擴(kuò)展塊,該擴(kuò)展塊的大小至多 等于存儲(chǔ)器可執(zhí)行區(qū)域的大小�;c)將擴(kuò)展塊的內(nèi)容導(dǎo)入用于被在接收設(shè)備中處理的類型的消息中,以使得可執(zhí)行 代碼全部被包含在多個(gè)消息中�����;d)向接收設(shè)備發(fā)送消息���,所述消息包含不同于第一擴(kuò)展塊的擴(kuò)展塊之一�����,第一擴(kuò) 展塊包含可執(zhí)行程序的開始部分����;e)處理所述消息以便從中提取擴(kuò)展塊�����;f)將可執(zhí)行代碼和所接收塊的所述至少一個(gè)管理代碼存儲(chǔ)在存儲(chǔ)器的可執(zhí)行區(qū) 域�����;g)執(zhí)行所述擴(kuò)展塊的至少一個(gè)管理代碼�,該管理代碼使得將所述塊的內(nèi)容轉(zhuǎn)移到 存儲(chǔ)器的不可執(zhí)行區(qū)域����;h)重復(fù)步驟d)至g)直至除第一塊以外的所有擴(kuò)展塊都被存儲(chǔ)在存儲(chǔ)器的所述不 可執(zhí)行區(qū)域����;i)向接收設(shè)備發(fā)送包含第一擴(kuò)展塊的消息;j)處理所述消息以便從中提取擴(kuò)展塊���;k)將所接收塊的可執(zhí)行代碼存儲(chǔ)在存儲(chǔ)器的可執(zhí)行區(qū)域�����。本發(fā)明的目的還通過(guò)一種由與接收設(shè)備本地連接的安全模塊執(zhí)行可執(zhí)行代碼的 方法實(shí)現(xiàn)�,所述安全模塊包括微控制器和存儲(chǔ)器���,所述存儲(chǔ)器包括至少一個(gè)用來(lái)保存能夠 被所述微控制器執(zhí)行的指令的可執(zhí)行區(qū)域��,和至少一個(gè)不可執(zhí)行區(qū)域,在所述不可執(zhí)行區(qū) 域中微控制器不能執(zhí)行指令��,所述可執(zhí)行代碼已經(jīng)根據(jù)前述方法發(fā)送��,所述執(zhí)行可執(zhí)行代 碼的方法的特征在于包括如下步驟a)執(zhí)行存儲(chǔ)在存儲(chǔ)器的可執(zhí)行區(qū)域中的可執(zhí)行代碼���;b)執(zhí)行至少一個(gè)管理代碼�����,該管理代碼使得將一個(gè)塊從不可執(zhí)行存儲(chǔ)器轉(zhuǎn)移到可 執(zhí)行存儲(chǔ)器�����,所述塊是跟隨剛執(zhí)行的塊的一個(gè)塊�����;c)重復(fù)步驟a)和b)直至代碼執(zhí)行結(jié)束�。根據(jù)本發(fā)明,可執(zhí)行程序的最大規(guī)模不取決于可執(zhí)行存儲(chǔ)器的容量��,而取決于存 儲(chǔ)器的總?cè)萘?��,即存?chǔ)器的可執(zhí)行部分和不可執(zhí)行部分����。因此�����,可以具有大的存儲(chǔ)器容量, 從而容許使用大規(guī)模的可執(zhí)行代碼����,同時(shí)又限制了存儲(chǔ)器可執(zhí)行部分的容量,從而保證良 好的安全性����,降低了心懷惡意者訪問(wèn)該存儲(chǔ)器中保存的保密信息的風(fēng)險(xiǎn)。附圖概述通過(guò)參考附圖及一個(gè)具體實(shí)施方式
的詳細(xì)描述��,可以更好地理解本發(fā)明及其優(yōu) 點(diǎn)�����。附圖中
圖1表示本發(fā)明的方法的第一步驟��,對(duì)應(yīng)于準(zhǔn)備發(fā)送可執(zhí)行代碼���;圖2a至2g說(shuō)明了發(fā)送待執(zhí)行代碼的各步驟中存儲(chǔ)器的狀態(tài)����;圖3a至3d表示執(zhí)行可執(zhí)行代碼的各步驟中存儲(chǔ)器的狀態(tài)��;圖4以方框圖表示根據(jù)本發(fā)明的可執(zhí)行代碼發(fā)送方法����;圖5說(shuō)明根據(jù)本發(fā)明的可執(zhí)行代碼執(zhí)行方法。本發(fā)明的實(shí)施方式
本發(fā)明可以分為兩部分��。第一部分涉及向接收設(shè)備發(fā)送可執(zhí)行代碼���,所述接收設(shè)備與一個(gè)安全模塊本地連接�,該安全模塊包含一個(gè)微控制器和一個(gè)存儲(chǔ)器�����。第二部分涉及 在安全模塊中執(zhí)行所述代碼����。參照附圖,以一種實(shí)施方式描述了本發(fā)明�,根據(jù)該實(shí)施方式,向接收設(shè)備發(fā)送了一 段“大規(guī)?�!钡目蓤?zhí)行代碼��。尤其是�����,所述接收設(shè)備包括一個(gè)帶微控制器的安全模塊,該微 控制器負(fù)責(zé)執(zhí)行代碼�。安全模塊還帶有一個(gè)分為兩部分的存儲(chǔ)器一個(gè)可執(zhí)行存儲(chǔ)器,其中 的可執(zhí)行代碼被授權(quán)執(zhí)行�����;一個(gè)不可執(zhí)行存儲(chǔ)器��,禁止其中的代碼的執(zhí)行���。就本發(fā)明而言�, “大規(guī)?��!钡囊馑际强蓤?zhí)行代碼的大小(容積)大于可執(zhí)行存儲(chǔ)器的容量或可用的可執(zhí)行存 儲(chǔ)器容量��。本發(fā)明還在收費(fèi)電視的環(huán)境中得以描述��,可執(zhí)行代碼例如可以是用于接收有條件 接收數(shù)據(jù)的更新代碼�����。當(dāng)然應(yīng)該注意到其它應(yīng)用也可以采用本方法�,這些應(yīng)用都涉及以消 息的形式向微處理器發(fā)送可執(zhí)行代碼。就本發(fā)明而言���,可執(zhí)行代碼在一個(gè)消息中發(fā)送,該消息通?�?梢允?EMM (Entitlement Management Message�����,即授權(quán)管理消息)類型的管理消息��。一般而言�,這 些消息的尺寸是固定的,或者有授權(quán)的最大尺寸�����,不可能超過(guò)這個(gè)最大尺寸�,如果超過(guò),那 么該消息將不能被處理�����。這一尺寸根據(jù)設(shè)備的類型而定��,或根據(jù)采用的消息的類型和相關(guān) 標(biāo)準(zhǔn)而定。在本發(fā)明的發(fā)送方法的第一步驟中��,完整的可執(zhí)行代碼(如圖1的左邊部分以及 圖4的標(biāo)號(hào)10所表示的)被分割成尺寸比管理消息的最大授權(quán)尺寸小的塊���。根據(jù)一種優(yōu) 選的實(shí)施方式��,塊的尺寸小于或等于要保存代碼的可執(zhí)行存儲(chǔ)器的容量�����。實(shí)際上���,這種塊的 尺寸被確定為使得當(dāng)其被加入下文所述的附加成分以后,塊本身與加入的成分的總尺寸仍 然小于或等于可用的可執(zhí)行存儲(chǔ)器的尺寸�。這一分割成塊的步驟由圖4的標(biāo)號(hào)11表示。所述方法的下一步驟為向每個(gè)塊加入至少一個(gè)管理該塊的代碼�。在實(shí)踐中,最好 加兩個(gè)管理代碼�,其中一個(gè)代碼放在塊首,另一個(gè)放在塊尾�����?�?蓤?zhí)行代碼塊與管理塊在下文 中稱為擴(kuò)展塊。管理代碼可以包含多個(gè)指令���,放在塊的不同位置����,并且塊與塊之間不同�。尤 其是�,第一塊(即包含可執(zhí)行程序起始部分的塊)的管理代碼在原則上與最后塊(即包含 程序的最后的指令的塊)的管理代碼不同。介于第一塊與最后塊之間的各塊可以全部相 同����,或者彼此不同。作為實(shí)例�����,第一塊可以包含管理代碼CHK��,CHK負(fù)責(zé)驗(yàn)證塊或整個(gè)程序的真實(shí)性和 /或完整性�����。下文中將詳細(xì)解釋這一驗(yàn)證的運(yùn)行方式�。第一塊還可以包含管理代碼�,由復(fù)制 下一塊的命令CP NXT構(gòu)成�����,下文中也將描述這一命令��。圖4的標(biāo)號(hào)12表示管理代碼的加 入�����。在圖4的步驟13中���,每個(gè)擴(kuò)展塊(即包含可執(zhí)行代碼和至少一個(gè)管理代碼的塊) 被處理����,以便形成管理消息EMM����。這些消息很小,可以被發(fā)送到接收設(shè)備���。管理消息的發(fā)送以這樣的方式進(jìn)行包含可執(zhí)行程序的第一塊的消息�,即應(yīng)該首 先執(zhí)行的塊����,最后發(fā)送�?�?蓤?zhí)行程序的其它塊的發(fā)送順序不重要���。通常���,管理消息EMM循環(huán) 地發(fā)送多次,從而意味著順序不再清楚了�����。最后的消息包括驗(yàn)證其它消息的存在及其完整 性的手段��。如果驗(yàn)證結(jié)果是肯定的�����,則方法繼續(xù)��;否則���,需要等待在以后的發(fā)送循環(huán)中接收 還缺少的消息���。
在一個(gè)具體的實(shí)施實(shí)例中,具體說(shuō)就是圖1表示的實(shí)例中����,本發(fā)明的可執(zhí)行代碼 分成四塊,編號(hào)1至4�。每個(gè)塊中加入兩個(gè)管理代碼,然后每個(gè)塊連同其管理代碼一起被導(dǎo) 入管理消息EMM中�。塊1被導(dǎo)入最后的消息即標(biāo)注為EMM4的消息。塊2例如被導(dǎo)入消息 EMMl�����,塊3被導(dǎo)入EMM3����,|fe 4被導(dǎo)入EMM2。當(dāng)向帶微控制器例如解碼器的接收設(shè)備(例如接收設(shè)備與安全模塊相連)發(fā)送可 執(zhí)行代碼時(shí)��,首先發(fā)送的是授權(quán)消息EMM1����,對(duì)應(yīng)于圖4中的步驟14。在所選的實(shí)例中����,該 EMMl包含可執(zhí)行代碼塊2�����。消息EMMl被相關(guān)設(shè)備接收后就被處理�,以便從中提取塊2的內(nèi) 容及所包含的管理代碼����,這一步驟對(duì)應(yīng)于圖4的標(biāo)號(hào)15。這些內(nèi)容被放在存儲(chǔ)器的可執(zhí)行部分���,只有可執(zhí)行部分能接收并處理這種塊����。圖 4的步驟16對(duì)應(yīng)于將塊2的內(nèi)容記錄到可執(zhí)行存儲(chǔ)器中�。圖2a說(shuō)明了接收并保存塊2后 存儲(chǔ)器的狀態(tài)�。
在圖2a至2g中,上面部分標(biāo)注為Ex�,表示可執(zhí)行存儲(chǔ)器。下面部分標(biāo)注為N. ex, 表示不可執(zhí)行存儲(chǔ)器或該不可執(zhí)行存儲(chǔ)器的一部分��。因此���,在圖2a中��,可執(zhí)行部分包含塊 2連同其管理代碼�����,而不可執(zhí)行存儲(chǔ)器或至少其一部分是空的和/或可用的��。在隨后的步驟中�,即圖4中標(biāo)注17的步驟中,塊2的管理代碼被執(zhí)行��。該代碼在 圖1和2中記作M0V��,其作用是將塊2的內(nèi)容從可執(zhí)行存儲(chǔ)器移到或復(fù)制到不可執(zhí)行存儲(chǔ)器 中��。這一操作的結(jié)果由圖2b表示��。塊被移到的位置可以在步驟11對(duì)應(yīng)的準(zhǔn)備塊時(shí)預(yù)先確定����。也可以根據(jù)不可執(zhí)行 存儲(chǔ)器中可用的位置來(lái)選定。也可以考慮其它的手段�,例如將存儲(chǔ)器劃分成擴(kuò)展塊大小的 區(qū)域。于是每個(gè)塊被放在為此目的而保留的區(qū)域之一中。當(dāng)可執(zhí)行存儲(chǔ)器的內(nèi)容被移走或復(fù)制后�����,可執(zhí)行存儲(chǔ)器重新清空或者至少可以重 新使用了����,如圖2b所示。移動(dòng)存儲(chǔ)器的內(nèi)容通常是用復(fù)制操作實(shí)現(xiàn)的����。在本文的描述中,術(shù) 語(yǔ)移動(dòng)和復(fù)制被認(rèn)為相似�。進(jìn)行測(cè)試以便驗(yàn)證所發(fā)送的消息是否是最后消息。這一測(cè)試對(duì) 應(yīng)于圖4的步驟18��。在實(shí)踐中�,從原則上講驗(yàn)證最后消息的測(cè)試不由外部機(jī)制進(jìn)行。反之�, 測(cè)試由消息自身的管理代碼進(jìn)行。如前所述����,測(cè)試就是驗(yàn)證是否所有要求的消息都存在�,以 及其真實(shí)性和/或完整性。為了繼續(xù)敘述���,假設(shè)測(cè)試結(jié)果為否���,即還需要發(fā)送其它消息���。于是,下一個(gè)管理消息(實(shí)例中的EMM2)被發(fā)送至接收器�。該管理消息包含可執(zhí) 行代碼塊4及相關(guān)的管理代碼。接收到消息后�����,程序塊被提取出來(lái)��,然后被保存在存儲(chǔ)器的 可執(zhí)行部分��,如圖2c所示��。然后����,通過(guò)執(zhí)行管理代碼的MOV部分,可執(zhí)行存儲(chǔ)器的內(nèi)容(塊4)被移動(dòng)或復(fù)制 到存儲(chǔ)器的不可執(zhí)行區(qū)域中�����。圖2d說(shuō)明了塊4的內(nèi)容被移動(dòng)到該存儲(chǔ)器的確定地址的情況。對(duì)于包含可執(zhí)行代碼塊3的管理消息EMM3���,所述方法以相似方式繼續(xù)進(jìn)行�。管理 消息EMM3被發(fā)送至可執(zhí)行存儲(chǔ)器中���,如圖2e所示����;然后被移動(dòng)到存儲(chǔ)器的空閑不可執(zhí)行區(qū) 域��,如圖2f所示�����。然后����,最后消息EMM4被發(fā)送。該最后消息包含在實(shí)例中記作1的第一代碼塊����。該 消息被接收器接收后就被處理,以便從中提取其內(nèi)容并將這些內(nèi)容保存在存儲(chǔ)器的可執(zhí)行 部分�����。與其它消息相反��,這一塊不包含移動(dòng)命令作為管理代碼�����。因此����,該塊的內(nèi)容不被移動(dòng)到存儲(chǔ)器的不可執(zhí)行區(qū)域,而是留在可執(zhí)行存儲(chǔ)器中����。對(duì)于塊1,圖4的步驟18的測(cè)試得 到的結(jié)果是肯定的���。存儲(chǔ)器如圖2g所示�。圖5表示根據(jù)上述方法發(fā)送的可執(zhí)行代碼的執(zhí)行方法��。圖3a至3d表示執(zhí)行該可 執(zhí)行代碼的不同步驟中存儲(chǔ)器的內(nèi)容��。圖5中標(biāo)號(hào)20表示執(zhí)行方法的開始。圖3a表示存儲(chǔ)器的內(nèi)容���。要注意的是該內(nèi) 容與圖2g表示的內(nèi)容相同�??蓤?zhí)行存儲(chǔ)器包含塊1及其管理代碼。管理代碼之一包含全部的控制指令CHK�。 控制指令CHK使得驗(yàn)證可執(zhí)行程序或指令塊的真實(shí)性和/或完整性。例如驗(yàn)證可以是計(jì)算 簽名或從與塊1的可執(zhí)行代碼或全部塊相關(guān)的指令形成的完整圖形(figure)����,然后,所計(jì) 算出的簽名與塊本身包含的簽名比較�。顯然,任何其它的驗(yàn)證方法都可以應(yīng)用于本發(fā)明�。圖 5的標(biāo)號(hào)21表示此驗(yàn)證。在實(shí)踐中�����,通常驗(yàn)證程序整體的完整性���,不必逐一驗(yàn)證每個(gè)塊的完整性��,盡管不排 除后一方案�����。顯然�����,從原理上講���,如果某個(gè)塊損壞了或缺失了,對(duì)程序整體的驗(yàn)證將能檢測(cè) 出這一錯(cuò)誤�����。
如果成功通過(guò)了驗(yàn)證步驟����,可執(zhí)行存儲(chǔ)器就正常執(zhí)行保存在塊1中的指令,對(duì)應(yīng) 于圖5的步驟22���。完成這一執(zhí)行后就驗(yàn)證塊是否包含結(jié)束標(biāo)志這樣的管理代碼��。圖5的標(biāo) 注23表示這一驗(yàn)證步驟���。為了繼續(xù)敘述����,假設(shè)這一測(cè)試的結(jié)果為否�����。塊1末尾的管理代碼 被讀取��。該代碼包含復(fù)制下一塊的指令CP NXT0執(zhí)行該管理代碼之后(對(duì)應(yīng)于圖5的步 驟24)���,可執(zhí)行存儲(chǔ)器的內(nèi)容被要執(zhí)行的下一塊替換�����。在實(shí)例中�����,下一塊就是塊2���。保存該 下一塊的地址可以包含在一個(gè)表中、前一塊中����,或者可以以任何其它適當(dāng)?shù)姆绞秸业?�,例?利用塊標(biāo)識(shí)符�。圖3b表示復(fù)制塊后存儲(chǔ)器的狀態(tài)�。根據(jù)該圖,可執(zhí)行存儲(chǔ)器包含塊2��。顯然�����,構(gòu)成 管理代碼一部分并放在該塊起始部分的移動(dòng)指令不應(yīng)該被執(zhí)行�����。一個(gè)解決方案就是當(dāng)從可 執(zhí)行存儲(chǔ)器擴(kuò)展塊向可執(zhí)行存儲(chǔ)器復(fù)制時(shí)��,不復(fù)制移動(dòng)指令����。還可以例如借助一個(gè)標(biāo)記跳 過(guò)這些指令�����,該標(biāo)記在第一次執(zhí)行這些指令(圖4的步驟17)后改變狀態(tài)����。還可以當(dāng)將塊 移動(dòng)到不可執(zhí)行存儲(chǔ)器中時(shí)刪除這些指令�����。根據(jù)本發(fā)明的一個(gè)特殊變型�����,如果塊2的管理代碼包含真實(shí)性和/或完整性驗(yàn)證 代碼���,則所述方法轉(zhuǎn)至圖5的步驟21 ;否則��,轉(zhuǎn)至步驟22��。因此���,塊2的內(nèi)容在此步驟中被執(zhí)行��,然后驗(yàn)證該塊是否包含結(jié)束指令�����。存儲(chǔ)器原先保存塊2的區(qū)域可能是空的或可重新利用的�����。塊1已經(jīng)不在存儲(chǔ)器中 了�����。如前所述���,塊2包含管理代碼CP NXT,管理代碼CP NXT使得將下一塊的內(nèi)容復(fù)制 到可執(zhí)行存儲(chǔ)器中��。圖3c表示復(fù)制下一塊后存儲(chǔ)器的狀態(tài)。塊3原先保存在不可執(zhí)行存儲(chǔ)器���,現(xiàn)在被 移動(dòng)到可執(zhí)行存儲(chǔ)器中����。塊2被清除���。如前文所述那樣處理塊3����。最后,將最后塊4復(fù)制到 可執(zhí)行存儲(chǔ)器中�。如前文所述那樣執(zhí)行塊4的代碼。該最后塊的管理代碼包含結(jié)束標(biāo)記END�。結(jié)束 標(biāo)記例如可以是一個(gè)將指令執(zhí)行控制權(quán)交還給操作系統(tǒng)的指令。在程序結(jié)束時(shí)(圖5的步 驟23)�����,該結(jié)束標(biāo)記或指令被檢測(cè)到��,程序結(jié)束�����。程序結(jié)束時(shí)����,可以清除可執(zhí)行存儲(chǔ)器,以便不再保存�����、也不能再訪問(wèn)程序的任何部分����。解釋本發(fā)明用了一個(gè)將可執(zhí)行代碼分為四塊的實(shí)例�。顯然���,塊的數(shù)量可以不同��,尤
其可以更多�。在描述本發(fā)明時(shí)用到的消息類型是管理消息EMM���。還可以采用其它類型的消息�����,尤 其是專有格式的���。塊中導(dǎo)入的管理代碼用于在發(fā)送代碼和執(zhí)行代碼時(shí)管理存儲(chǔ)器中的指令的轉(zhuǎn)移。 不過(guò)這些管理代碼并非良好實(shí)施所述方法所必需�。具體而言�����,與塊內(nèi)容的真實(shí)性和/或完 整性驗(yàn)證相關(guān)的代碼可以刪除�,不過(guò)刪除后會(huì)損害安全性和/或可靠性。在用來(lái)描述根據(jù)本發(fā)明的代碼發(fā)送方法的實(shí)施方式中�,可執(zhí)行代碼是同時(shí)發(fā)送 的,即該代碼在另一可執(zhí)行代碼被發(fā)送之前被完全處理。在實(shí)踐中���,可以發(fā)送與多個(gè)可執(zhí)行 代碼相對(duì)應(yīng)的消息�����。因?yàn)橄⑼ǔJ茄h(huán)發(fā)送的�����,多個(gè)可執(zhí)行代碼的多個(gè)塊可能在相互重 疊的期間內(nèi)發(fā)送�����。在這種情況下�����,可以往消息中加入一個(gè)標(biāo)識(shí)符指明某個(gè)消息屬于哪個(gè)可 執(zhí)行代碼����?��?梢赃^(guò)濾這些消息��,以便一次只處理一個(gè)可執(zhí)行代碼����;或者反之,將這些消息保 存在存儲(chǔ)器的不同位置����。根據(jù)對(duì)本發(fā)明的描述,管理代碼與可執(zhí)行代碼塊相關(guān)聯(lián)�����,以便形成擴(kuò)展塊��。根據(jù)本發(fā)明的一種具體實(shí)施方式
��,管理代碼可以不由可執(zhí)行代碼形成��,而只由標(biāo) 記形成��,每個(gè)標(biāo)記與一個(gè)特定指令相對(duì)應(yīng)���。在這種情況下,這些標(biāo)記被負(fù)責(zé)根據(jù)標(biāo)記值執(zhí)行 前述操作的安全模塊解釋��。借助所述方法,一方面可以提供小容量的可執(zhí)行存儲(chǔ)器����,從而可以提高安全性,減 少受到攻擊的風(fēng)險(xiǎn)��;另一方面可以發(fā)送和執(zhí)行大規(guī)模的程序����,程序的規(guī)模不受可執(zhí)行存儲(chǔ) 器容量的限制。
權(quán)利要求
一種向與接收設(shè)備本地連接的安全模塊發(fā)送可執(zhí)行代碼的方法��,所述安全模塊包括微控制器和存儲(chǔ)器���,所述存儲(chǔ)器包括至少一個(gè)用來(lái)保存能夠被所述微控制器執(zhí)行的指令的可執(zhí)行區(qū)域�����,和至少一個(gè)不可執(zhí)行區(qū)域���,在不可執(zhí)行區(qū)域中所述微控制器不能執(zhí)行指令,所述方法的特征在于包括如下步驟a)將可執(zhí)行代碼分割為多個(gè)塊�;b)向所述塊中加入該塊的至少一個(gè)管理代碼以形成擴(kuò)展塊,該擴(kuò)展塊的大小至多等于存儲(chǔ)器可執(zhí)行區(qū)域的大??���;c)將擴(kuò)展塊的內(nèi)容導(dǎo)入用于被在接收設(shè)備中處理的類型的消息中���,以使得可執(zhí)行代碼全部被包含在多個(gè)消息中���;d)向接收設(shè)備發(fā)送消息,所述消息包含不同于第一擴(kuò)展塊的擴(kuò)展塊之一�����,第一擴(kuò)展塊包含可執(zhí)行程序的開始部分��;e)處理所述消息以便從中提取擴(kuò)展塊��;f)將可執(zhí)行代碼和所接收塊的所述至少一個(gè)管理代碼存儲(chǔ)在存儲(chǔ)器的可執(zhí)行區(qū)域���;g)執(zhí)行所述擴(kuò)展塊的至少一個(gè)管理代碼����,該管理代碼使得將所述塊的內(nèi)容轉(zhuǎn)移到存儲(chǔ)器的不可執(zhí)行區(qū)域���;h)重復(fù)步驟d)至g)直至除第一塊以外的所有擴(kuò)展塊都被存儲(chǔ)在存儲(chǔ)器的所述不可執(zhí)行區(qū)域�����;i)向接收設(shè)備發(fā)送包含第一擴(kuò)展塊的消息�����;j)處理所述消息以便從中提取擴(kuò)展塊���;k)將所接收塊的可執(zhí)行代碼存儲(chǔ)在存儲(chǔ)器的可執(zhí)行區(qū)域。
2.根據(jù)權(quán)利要求1的方法��,其特征在于被發(fā)送的消息是管理消息EMM類型的���。
3.根據(jù)權(quán)利要求1的方法���,其特征在于對(duì)于多個(gè)使用者而言,消息是相同的�����。
4.根據(jù)權(quán)利要求1的方法���,其特征在于對(duì)于每個(gè)使用者而言��,消息是唯一的�、不同的。
5.根據(jù)權(quán)利要求1的方法��,其特征在于擴(kuò)展塊的大小小于可執(zhí)行存儲(chǔ)器的大小�。
6.根據(jù)權(quán)利要求1的方法,其特征在于所述管理代碼包含的指令具有如下作用中的 至少一項(xiàng)驗(yàn)證至少一個(gè)可執(zhí)行代碼塊的真實(shí)性和/或完整性�����;將可執(zhí)行存儲(chǔ)器的塊的內(nèi) 容移動(dòng)或復(fù)制到不可執(zhí)行存儲(chǔ)器�����;將不可執(zhí)行存儲(chǔ)器的塊的內(nèi)容移動(dòng)到可執(zhí)行存儲(chǔ)器�;程 序結(jié)束標(biāo)記;刪除先前執(zhí)行過(guò)的管理代碼����。
7.根據(jù)權(quán)利要求1的方法,其特征在于管理代碼由至少一個(gè)標(biāo)記構(gòu)成�����;并且管理代碼 的執(zhí)行包括執(zhí)行與該標(biāo)記關(guān)聯(lián)的可執(zhí)行代碼的步驟。
8.一種由與接收設(shè)備本地連接的安全模塊執(zhí)行可執(zhí)行代碼的方法����,所述安全模塊包括 微控制器和存儲(chǔ)器,所述存儲(chǔ)器包括至少一個(gè)用來(lái)保存能夠被所述微控制器執(zhí)行的指令的 可執(zhí)行區(qū)域�����,和至少一個(gè)不可執(zhí)行區(qū)域����,在所述不可執(zhí)行區(qū)域中微控制器不能執(zhí)行指令��,所 述可執(zhí)行代碼已經(jīng)根據(jù)權(quán)利要求1的方法發(fā)送�,所述執(zhí)行可執(zhí)行代碼的方法的特征在于包 括如下步驟a)執(zhí)行存儲(chǔ)在存儲(chǔ)器的可執(zhí)行區(qū)域中的可執(zhí)行代碼;b)執(zhí)行至少一個(gè)管理代碼�,該管理代碼使得將一個(gè)塊從不可執(zhí)行存儲(chǔ)器轉(zhuǎn)移到可執(zhí)行 存儲(chǔ)器,所述塊是跟隨剛執(zhí)行的塊的一個(gè)塊���;c)重復(fù)步驟a)和b)直至代碼執(zhí)行結(jié)束����。
9.根據(jù)權(quán)利要求8的方法��,其特征在于包括在首次執(zhí)行存儲(chǔ)在存儲(chǔ)器的可執(zhí)行區(qū)域中 的代碼之前驗(yàn)證該代碼的完整性和/或真實(shí)性的步驟。
10.根據(jù)權(quán)利要求9的方法�����,其特征在于包括在以后執(zhí)行存儲(chǔ)在存儲(chǔ)器的可執(zhí)行區(qū)域 中的代碼之前驗(yàn)證該代碼的完整性和/或真實(shí)性的步驟�����。
11.根據(jù)權(quán)利要求9或10的方法�,其特征在于驗(yàn)證完整性和/或真實(shí)性的步驟包括將 根據(jù)要執(zhí)行的指令計(jì)算得的完整圖形和/或簽名與塊中存儲(chǔ)的簽名進(jìn)行比較的比較步驟。
12.根據(jù)權(quán)利要求8的方法���,其特征在于至少一個(gè)塊包含執(zhí)行結(jié)束的指令����,該指令使 代碼的執(zhí)行結(jié)束��。
全文摘要
本發(fā)明涉及一種向與接收設(shè)備本地連接的安全模塊發(fā)送可執(zhí)行代碼的方法��,所述安全模塊包括微控制器和存儲(chǔ)器�����。所述存儲(chǔ)器包括至少一個(gè)用來(lái)保存能夠被所述微控制器執(zhí)行的指令的可執(zhí)行區(qū)域����,和至少一個(gè)不可執(zhí)行區(qū)域�����,在不可執(zhí)行區(qū)域中所述微控制器不能執(zhí)行指令�����,所述方法的特征在于包括如下步驟將可執(zhí)行代碼分割為多個(gè)塊�;向所述塊中加入該塊的至少一個(gè)管理代碼以形成擴(kuò)展塊���;將擴(kuò)展塊的內(nèi)容導(dǎo)入用于被在接收設(shè)備中處理的類型的消息中,以使得可執(zhí)行代碼全部被包含在多個(gè)消息中���;向接收設(shè)備發(fā)送消息�,所述消息包含不同于第一擴(kuò)展塊的擴(kuò)展塊之一��;處理所述消息以便從中提取擴(kuò)展塊��;將可執(zhí)行代碼和所接收塊的所述至少一個(gè)管理代碼存儲(chǔ)在存儲(chǔ)器的可執(zhí)行區(qū)域�;執(zhí)行所述擴(kuò)展塊的至少一個(gè)管理代碼,該管理代碼使得將所述塊的內(nèi)容轉(zhuǎn)移到存儲(chǔ)器的不可執(zhí)行區(qū)域�;重復(fù)前面步驟直至除第一塊以外的所有擴(kuò)展塊都被存儲(chǔ)在存儲(chǔ)器中�;向接收設(shè)備發(fā)送包含第一擴(kuò)展塊的消息�;處理所述消息以便從中提取擴(kuò)展塊;將所接收塊的可執(zhí)行代碼存儲(chǔ)在存儲(chǔ)器的可執(zhí)行區(qū)域�。本發(fā)明還涉及一種執(zhí)行該代碼的方法。
文檔編號(hào)H04N5/00GK101822038SQ200880105402
公開日2010年9月1日 申請(qǐng)日期2008年7月9日 優(yōu)先權(quán)日2007年7月10日
發(fā)明者J·科納斯, L·格拉代茜 申請(qǐng)人:納格拉影像股份有限公司