发明创造名称:计算装置的配置管理的方法和装置
外观设计名称:
决定号:41104
决定日:2019-07-22
委内编号:4W108512
优先权日:2000-10-26
申请(专利)号:01817947.9
申请日:2001-10-24
复审请求人:
无效请求人:苹果电脑贸易(上海)有限公司
授权公告日:2009-08-05
审定公告日:
专利权人:高通股份有限公司
主审员:易红春
合议组组长:董杰
参审员:牛晓丽
国际分类号:G06F1/00
外观设计分类号:
法律依据:专利法第22条第2、3款
决定要点:如果一项权利要求的技术方案已被对比文件公开,二者的技术领域相同,解决的技术问题与技术效果实质相同,则该权利要求不具备新颖性。
全文:
本专利的专利号为01817947.9,优先权日为2000年10月26日,申请日为2001年10月24日,授权公告日为2009年08月05日。本专利授权公告时的权利要求书如下:
“1. 一种计算设备的配置管理的方法,其特征在于包括:
通过接口提供要被加载到所述计算设备内的可用软件;
确定存储在与所述计算设备相关的存储设备内的常驻软件是否经过认证;
确定所述可用软件是否经过认证;
如果所述常驻软件未经认证则把用所述可用软件更新的所述常驻软件加载到所述存储设备;
如果所述常驻软件经过认证,则设定一认证标志。
2. 一种用于计算设备的配置管理的方法,其特征在于还包括以下步骤:
通过接口把要被加载到所述计算设备内的可用软件提供给所述计算设备;
确定存储在与所述计算设备相关的存储设备内的常驻软件是否经过认证;
确定所述可用软件是否经过认证;
如果所述常驻软件已经过认证而所述可用软件未经认证则拒绝所述可用软件;以及
如果所述常驻软件已经过认证并且所述可用软件也已经认证则加载所述可用软件。
3. 如权利要求2所述的方法,其特征在于,确定所述常驻软件是否经过认证包括:
确定是否已设置认证标志;
其中如果所述认证标志已被设置则确定所述常驻软件已经过认证;否则
确定所述常驻软件未经过认证。
4. 如权利要求3所述的方法,其特征在于,当确定所述可用软件经过认证时设置所述认证标志。
5. 如权利要求3所述的方法,其特征在于,所述认证标志由服务技术人员设置。
6. 如权利要求2所述的方法,其特征在于,所述确定所述常驻软件是否经过认证包括对所述常驻软件进行直接认证程序。
7. 如权利要求6所述的方法,其特征在于,所述直接认证程序包括执行循环冗余码校验。
8. 如权利要求6所述的方法,其特征在于,所述直接认证程序包括执行可靠哈希算法。
9. 一种用来执行计算设备的配置管理的装置,其特征在于包括:
用于把要被加载到所述计算设备内的可用软件提供给所述计算设备的接口;
用于存储常驻软件的存储设备和用于确定所述可用软件和所述常驻软件是否经过认证的一组可执行计算机指令;
用于执行所述可执行计算机指令组的处理器,以及用于:
如果所述常驻软件未经认证则把所述可用软件加载到所述计算设备内;以及
如果所述可用软件经过认证则设置认证标志。
10. 一种用于执行计算设备的配置管理的装置,其特征在于包括:
用于把要被加载到所述计算设备内的可用软件提供给所述计算设备的接口;
用于存储常驻软件的存储设备和用于确定所述可用软件和所述常驻软件是否经过认证的一组可执行计算机指令;
用于执行所述可执行计算机指令组的处理器,以及用于:
如果所述常驻软件已经认证而所述可用软件未经认证,则拒绝所述可用软件;以及
如果所述常驻软件已经过认证并且所述可用软件也经过认证,则加载所述可用软件。
11. 如权利要求10所述的装置,其特征在于:
所述存储设备还用于存储用来指示所述计算设备的认证状态的认证标志;以及
所述处理器还用于根据所述认证标志来确定所述常驻软件是否经过认证。
12. 如权利要求11所述的装置,其特征在于,当经认证的软件被加载到所述计算设备上时设置所述认证标志。
13. 如权利要求11所述的装置,其特征在于,所述认证标志由服务技术人员设置。
14. 如权利要求10所述的装置,其特征在于,所述处理器还用于对所述常驻软件进行直接认证程序以确定所述常驻软件是否经过认证。
15. 如权利要求14所述的装置,其特征在于,所述直接认证程序包括进行循环冗余码校验。
16. 如权利要求14所述的装置,其特征在于,所述直接认证程序包括执行可靠哈希算法。
17. 一种用于计算设备的配置管理的装置,其特征在于包括:
通过接口把要被加载到所述计算设备内的可用软件提供给所述计算设备的装置;
确定存储在与所述计算设备相关的存储设备内的常驻软件是否经过认证的装置;
确定所述可用软件是否经过认证的装置;
如果所述常驻软件未经认证则把所述可用软件加载到所述存储设备中的装置;以及
如果所述可用软件经过认证则设置认证标志的装置。
18. 一种用于实现计算设备的配置管理方法的装置,其特征在于包括:
通过接口把要被加载到所述计算设备内的可用软件提供给所述计算设备的装置;
确定存储在与所述计算设备相关的存储设备内的常驻软件是否经过认证的装置;
确定所述可用软件是否经过认证的装置;
如果所述常驻软件经过认证而所述可用软件未经认证则拒绝所述可用软件的装置;以及
如果所述常驻软件经过认证且所述可用软件也经过认证则加载所述可用软件的装置。”
请求人于2019年02月18日向国家知识产权局提出无效宣告请求,请求宣告本专利权利要求1-18全部无效,同时提交了如下对比文件作为证据:
对比文件1:EP0961193A2及其中文译文,公开日为1999年12月01日;
对比文件2:WO98/45768A1及其中文译文,公开日为1998年10月15日;
对比文件3:JP特开2000-137608A及其中文译文,公开日为2000年05月16日;
对比文件4:US5421006A及其中文译文,公开日为1995年05月30日;
对比文件5:US5859911A及其中文译文,公开日为1999年01月12日。
请求人认为:
1、权利要求2、6、8、10、14、16、18不具备新颖性,不符合专利法第22条第2款的规定。具体为:权利要求2、10、18相对于对比文件1、2、3不具备新颖性,权利要求6、14相对于对比文件1、2不具备新颖性,权利要求8、16相对于对比文件2不具备新颖性。
2、权利要求1-18不具备创造性,不符合专利法第22条第3款的规定。具体为:
(1)以对比文件1为最接近的现有技术
权利要求1相对于对比文件1和公知常识的结合、对比文件1和对比文件3的结合、对比文件1和对比文件5的结合不具备创造性。权利要求2相对于对比文件1和公知常识的结合不具备创造性,此外,即使权利要求2与对比文件1之间还存在其他区别特征,这些区别特征也已经被对比文件2和对比文件3之一公开,因此,权利要求2相对于对比文件1、对比文件2、3之一和公知常识的结合不具备创造性;或者这些区别特征已被对比文件4公开,因此权利要求2相对于对比文件1、对比文件4和公知常识的结合不具备创造性。权利要求9相对于对比文件1和公知常识的结合、对比文件1和对比文件3的结合、对比文件1和对比文件5的结合不具备创造性。权利要求10相对于对比文件1和公知常识的结合不具备创造性,此外,即使权利要求10与对比文件1之间还存在其他区别特征,这些区别特征也已经被对比文件2和对比文件3之一公开,因此权利要求10相对于对比文件1、对比文件2、3之一和公知常识的结合不具备创造性;或者这些区别特征已被对比文件4公开,因此权利要求10相对于对比文件1、对比文件4和公知常识的结合不具备创造性。权利要求17相对于对比文件1和公知常识的结合、对比文件1和对比文件3的结合、对比文件1和对比文件5的结合不具备创造性。权利要求18相对于对比文件1和公知常识的结合不具备创造性,此外,即使权利要求18与对比文件1之间还存在其他区别特征,这些区别特征也已经被对比文件2和对比文件3之一公开,因此,权利要求18相对于对比文件1、对比文件2、3之一和公知常识的结合不具备创造性;或者这些区别特征已被对比文件4公开,因此权利要求18相对于对比文件1、对比文件4和公知常识的结合不具备创造性。
(2)以对比文件2为最接近的现有技术
权利要求2相对于对比文件2和公知常识的结合不具备创造性,此外,即使权利要求2与对比文件2之间还存在其他区别特征,这些区别特征也己经被对比文件1和对比文件3之一公开,因此,权利要求2相对于对比文件2、对比文件1、3之一和公知常识的结合不具备创造性;或者这些区别特征也己经被对比文件4公开,因此权利要求2相对于对比文件2、对比文件4和公知常识的结合不具备创造性。权利要求10相对于对比文件2和公知常识的结合不具备创造性,此外,即使权利要求10与对比文件2之间还存在其他区别特征,这些区别特征也己经被对比文件1和对比文件3之一公开,因此,权利要求10相对于对比文件2、对比文件1、3之一和公知常识的结合不具备创造性;或者这些区别特征也己经被对比文件4公开,因此权利要求10相对于对比文件2、对比文件4和公知常识的结合不具备创造性。权利要求18相对于对比文件2和公知常识的结合不具备创造性,此外,即使权利要求18与对比文件2之间还存在其他区别特征,这些区别特征也己经被对比文件1和对比文件3之一公开,因此,权利要求18相对于对比文件2、对比文件1、3之一和公知常识的结合不具备创造性;或者这些区别特征已被对比文件4公开,因此权利要求18相对于对比文件2、对比文件4和公知常识的结合不具备创造性。
(3)以对比文件3为最接近的现有技术
权利要求2相对于对比文件3和公知常识的结合不具备创造性,此外,即使权利要求2与对比文件3之间还存在其他区别特征,这些区别特征也己经被对比文件1和对比文件2之一公开,因此,权利要求2相对于对比文件3、对比文件1、2之一和公知常识的结合不具备创造性;或者这些区别特征也己经被对比文件4公开,因此权利要求2相对于对比文件3、对比文件4和公知常识的结合不具备创造性。权利要求10相对于对比文件3和公知常识的结合不具备创造性,此外,即使权利要求10与对比文件3之间还存在其他区别特征,这些区别特征也己经被对比文件1和对比文件2之一公开,因此,权利要求10相对于对比文件3、对比文件1、2之一和公知常识的结合不具备创造性;或者这些区别特征也己经被对比文件4公开,因此权利要求10相对于对比文件3、对比文件4和公知常识的结合不具备创造性。权利要求18相对于对比文件3和公知常识的结合不具备创造性,此外,即使权利要求18与对比文件3之间还存在其他区别特征,这些区别特征也己经被对比文件1和对比文件2之一公开,因此,权利要求18相对于对比文件3、对比文件1、2之一和公知常识的结合不具备创造性;或者这些区别特征已被对比文件4公开,因此权利要求18相对于对比文件3、对比文件4和公知常识的结合不具备创造性。
(4)以对比文件4为最接近的现有技术
权利要求2相对于对比文件4、对比文件1-3之一和公知常识的结合不具备创造性。权利要求9相对于对比文件4、对比文件1-3之一和公知常识的结合不具备创造性。权利要求9相对于对比文件4、对比文件1、2之一和对比文件5的结合不具备创造性。权利要求10相对于对比文件4、对比文件1、2、3之一和公知常识的结合的结合不具备创造性。权利要求17相对于对比文件4、对比文件1-3之一和公知常识的结合不具备创造性。权利要求17相对于对比文件4、对比文件1、2之一和对比文件5的结合不具备创造性。权利要求18相对于对比文件4、对比文件1-3之一和公知常识的结合不具备创造性。
(5)从属权利要求
权利要求3的附加技术特征已被对比文件5公开,或者被对比文件5和公知常识的结合公开。权利要求4的附加技术特征已经被对比文件5公开,或是本领域公知常识。权利要求5的附加技术特征是本领域公知常识。权利要求6的附加技术特征已经被对比文件4公开。权利要求7的附加技术特征已经被对比文件5公开,或是本领域公知常识,或被对比文件5和公知常识的结合所公开。权利要求8的附加技术特征已经分别被对比文件4、对比文件5或者公知常识公开。权利要求11的附加技术特征已经被对比文件5公开或对比文件5和公知常识的结合公开。权利要求12、13的附加技术特征属于本领域公知常识。权利要求14的附加技术特征已经被对比文件4公开。权利要求15的附加技术特征已经被对比文件5公开,或是本领域公知常识,或被对比文件5和公知常识的结合所公开。权利要求16的附加技术特征已经分别被对比文件4、对比文件5或者公知常识公开。因此,在引用的权利要求不具备新颖性或创造性时,上述从属权利要求也不具备创造性。
经形式审查合格,国家知识产权局于2019年02月27日受理了上述无效宣告请求并将无效宣告请求书及证据副本转给了专利权人,同时成立合议组对本案进行审查。
请求人于2019年03月18日提交补充的意见陈述书和证据,证据如下(编号续前):
对比文件6:CN1235743A,公开日为1999年11月17日;
对比文件7:“一种简单实用的单向HASH函数”,《微计算机应用》,第20卷第1期,崔永臻等,公开日为1999年01月;
对比文件8:US5740441A及其中文译文,公开日为1998年04月14日。
请求人认为:(1)权利要求1相对于对比文件1、对比文件5、6、7、8之一和公知常识的结合也不具备创造性;权利要求1相对于对比文件1、对比文件3或5、对比文件5、6、7、8之一和公知常识的结合也不具备创造性。(2)权利要求2相对于对比文件1、对比文件5、6、7、8之一和公知常识的结合不具备创造性;权利要求2相对于对比文件2、对比文件5、6、7、8之一和公知常识的结合不具备创造性;权利要求2相对于对比文件3、对比文件5、6、7、8之一和公知常识的结合不具备创造性;权利要求2相对于对比文件1、对比文件2、3、4之一、对比文件5、6、7、8之一和公知常识的结合不具备创造性;权利要求2相对于对比文件2、对比文件1、3、4之一、对比文件5、6、7、8之一和公知常识的结合不具备创造性;权利要求2相对于对比文件3、对比文件1、2、4之一、对比文件5、6、7、8之一和公知常识的结合不具备创造性;权利要求2相对于对比文件4、对比文件1、2、3之一、对比文件5、6、7、8之一和公知常识的结合不具备创造性。(3)权利要求4的附加技术特征己经分别被对比文件5或8公开,或是本领域公知常识。(4)权利要求6的附加技术特征己经分别被对比文件1、2、3、4公开。(5)权利要求8的附加技术特征己经分别被对比文件4、5、6、7公开,或是本领域公知常识。(6)权利要求9相对于对比文件1、对比文件5、6、7、8之一和公知常识的结合不具备创造性;权利要求9相对于对比文件1、对比文件3或5、对比文件5、6、7、8之一和公知常识的结合不具备创造性;权利要求9相对于对比文件4、对比文件1、2、3之一、对比文件5、6、7、8之一和公知常识的结合不具备创造性;权利要求9相对于对比文件4、对比文件1、2之一、对比文件5和对比文件6、7、8之一的结合不具备创造性。(7)权利要求10相对于对比文件1、对比文件5、6、7、8之一和公知常识的结合不具备创造性;权利要求10相对于对比文件2、对比文件5、6、7、8之一和公知常识的结合不具备创造性;权利要求10相对于对比文件3、对比文件5、6、7、8之一和公知常识的结合不具备创造性;权利要求10相对于对比文件1、对比文件2、3、4之一、对比文件5、6、7、8之一和公知常识的结合不具备创造性;权利要求10相对于对比文件2、对比文件1、3、4之一、对比文件5、6、7、8之一和公知常识的结合不具备创造性;权利要求10相对于对比文件3、对比文件1、2、4之一、对比文件5、6、7、8之一和公知常识的结合不具备创造性;权利要求10相对于对比文件4、对比文件1、2、3之一、对比文件5、6、7、8之一和公知常识的结合不具备创造性。(8)权利要求12的附加技术特征己经分别被对比文件5或8公开,或是本领域公知常识。(9)权利要求14的附加技术特征己经分别被对比文件1、2、3、4公开。(10)权利要求16的附加技术特征己经分别被对比文件4、5、6、7公开,或是本领域公知常识。(11)权利要求17相对于对比文件1、对比文件5、6、7、8之一和公知常识的结合不具备创造性;权利要求17相对于对比文件1、对比文件3或5、对比文件5、6、7、8之一和公知常识的结合不具备创造性;权利要求17相对于对比文件4、对比文件1、2、3之一、对比文件5、6、7、8之一和公知常识的结合不具备创造性;权利要求17相对于对比文件4、对比文件1、2之一、对比文件5和对比文件6、7、8之一的结合不具备创造性。(12) 权利要求18相对于对比文件1、对比文件5、6、7、8之一和公知常识的结合不具备创造性;权利要求18相对于对比文件2、对比文件5、6、7、8之一和公知常识的结合不具备创造性;权利要求18相对于对比文件3、对比文件5、6、7、8之一和公知常识的结合不具备创造性;权利要求18相对于对比文件1、对比文件2、3、4之一、对比文件5、6、7、8之一和公知常识的结合不具备创造性;权利要求18相对于对比文件2、对比文件1、3、4之一、对比文件5、6、7、8之一和公知常识的结合不具备创造性;权利要求18相对于对比文件3、对比文件1、2、4之一、对比文件5、6、7、8之一和公知常识的结合不具备创造性;权利要求18相对于对比文件4、对比文件1、2、3之一、对比文件5、6、7、8之一和公知常识的结合不具备创造性。
请求人还于2019年03月18日提交了与前述补充意见陈述书内容相同的意见陈述书,但未提交附件。
合议组于2019年04月10日将请求人提交的上述补充意见及其附件转给专利权人。
专利权人针对上述无效宣告请求书于2019年04月12日提交了意见陈述书,同时表示对请求人提交的对比文件1-5的中文译文有异议,并提交了本方的对比文件1-5的中文译文。专利权人认为:对比文件1-5与本专利要解决的技术问题、采用的技术手段、实现的技术效果均不同,本专利具备新颖性和创造性。
合议组于2019年04月18日将专利权人提交的上述意见陈述书及其附件转给请求人,并于2019年05月24日向双方当事人发出口头审理通知书,定于2019年06月20日举行口头审理。
专利权人于2019年05月28日提交意见陈述书,认为:首先,对比文件6-8与本专利要解决的技术问题、采用的技术手段、实现的技术效果均不同,其次,无效宣告请求人并未给出具体的证据组合及使用方式,即在本次补充意见中并未指出对比文件5、6、7、8公开了权利要求1、2、9、10、17、18的哪些特征,因此本次补充意见并未实质性地给出权利要求1、2、9、10、17、18相对于所列出的组合不具有创造性的理由,最后,请求人提出的证据或证据组合未公开权利要求1、2、4、6、8-10、12、14、16-18的全部技术特征,现有技术整体上也不存在技术启示,因此权利要求1、2、4、6、8-10、12、14、16-18具有创造性。
合议组于2019年05月31日将专利权人提交的上述意见陈述书转给请求人。
请求人于2019年05月31日提交意见陈述书,认为:对比文件1-4的技术问题与本专利涉及的技术问题基本相同或相似,另外,权利要求2、6、10、14、18相对于对比文件1-3均不具备新颖性,权利要求8、16的附加技术特征被对比文件2公开,在其引用的权利要求不具备新颖性时,权利要求8、16也不具备新颖性。此外,请求人再次表示坚持认为权利要求1-18不具备创造性。另外,请求人认为对比文件5中的“signal”应作为动词使用,为“标示”、“通知”的含义。
合议组于2019年06月06日将请求人提交的上述意见陈述书转给专利权人。
口头审理如期举行,双方当事人均委托代理人出席了本次口头审理。在口头审理过程中,合议组调查并记录了如下事项:
1、请求人的无效理由、范围和证据与书面意见一致。
2、专利权人对对比文件1-8的真实性和公开日期无异议,对请求人提交的对比文件1-5的中文译文有异议,对对比文件8的中文译文无异议。对于专利权人提交的对比文件1-5的中文译文,请求人表示,仅对2019年05月31日提交的意见陈述书中所标明的对比文件5的部分中文译文有不同意见,认可专利权人提交的对比文件1-4及对比文件5其它部分的中文译文。专利权人表示可以认可请求人在2019年05月31日提交的意见陈述书中所标明的对比文件5的部分中文译文。
3、双方对本专利是否具备新颖性和创造性的理由与其书面意见基本一致。
至此,合议组认为本案事实已经清楚,可以作出审查决定。
二、决定的理由
1、审查基础
本决定的审查基础为本专利授权公告文本。
2、证据认定
专利权人对对比文件1-8的真实性和公开日期无异议,经审查,合议组对对比文件1-8的真实性予以认可。另外,对比文件1-8的公开日期在本专利的优先权日之前,可以作为现有技术评价本专利的新颖性和创造性。并且,对于对比文件1-4的公开内容,以专利权人提交的中文译文为准,对于对比文件8的公开内容,以请求人提交的中文译文为准,对于对比文件5的公开内容,涉及请求人在2019年05月31日提交的意见陈述书中所标明的对比文件5的部分中文译文以请求人的译文为准,其余部分以专利权人的译文为准。
3、关于专利法第22条第2、3款
专利法第22条第2款规定:新颖性,是指在申请日以前没有同样的发明或者实用新型在国内外出版物上公开发表过、在国内公开使用过或者以其他方式为公众所知,也没有同样的发明或者实用新型由他人向国务院专利行政部门提出过申请并且记载在申请日以后公布的专利申请文件中。
专利法第22条第3款规定:创造性,是指同申请日以前已有的技术相比,该发明有突出的实质性特点和显著的进步,该实用新型有实质性特点和进步。
3.1、以对比文件2为最接近的现有技术
(1)本专利权利要求2请求保护一种计算设备的配置管理方法。对比文件2公开了对唯一定制的、合法的并且可跟踪的软件应用进行网上安装的方法和系统,并具体公开了以下内容(参见对比文件2的说明书第1页第1段、第8页第2-4段、第9页第1段、第18页第2段、第19页第1、2段、第20页最后一段至第25页第3段,权利要求16,说明书摘要,图1、5-8):本发明涉及一种方法和系统,其通过网络向用户进行软件应用的电子销售和安装,所述软件应用是为各用户唯一定制的、合法的并且可追踪的。一种用于在安装计算机上创建、分发和安装对某特定用户是可验证的并且可跟踪的唯一定制的软件应用实例的方法。驻留在分发计算机上的安全分发代理收集识别信息,并计算软件应用及识别信息的密码签字。通过安全分发代理把识别信息和密码签字嵌入到该软件应用中。带有嵌入数据的软件应用经由分发通道被传送到安装计算机。驻留在安装计算机上的用户安装代理管理在安装计算机上对带有嵌入数据的软件应用进行的安装。在安装之前,用户安装代理可利用密码签字来验证软件应用,并且识别信息可信且未被篡改。用户端处是UIA200,UIA200是驻留在安装计算机上的一个安装/自动升级软件程序。该程序用于通过分发通道300与SDA100通信,并用于在安装计算机上执行下文详述的所需操作。尽管通常每个所支持的软件应用需要一个UIA200,本领域的技术人员熟知开发一个可支持多个软件应用的UIA200的能力。图1中还示出UIA200的分发形式30,其包括支持文件。UIA200的分发形式30的特性对于本发明的运行是非实质的。可采用CD ROM、万维网(WWW)下载、软盘等中的任一种。7.假定用户1满足SDA100提出的所有准则,SDA100将确定必须发送给UIA200的特定文件集以完成在安装计算机上的安装,尤其是至少包括一个集合分发文件170(图3A-3C中示出)。对于本发明的系统和方法,用户1和SDA100之间达成的协议的实质或者协议如何生效是不重要的。这由SDA100以及其所对的商业系统(若存在)负责。最重要的是,UIA200不会而且本身也不能决定用户和SDA100之间是否已达成协议。除了通过和SDA100的交互之外,UIA200没有并且不应该访问所有完成安装所需的信息。9.SDA100构建一个或多个集合分发文件170以及任何其它安装所需的文件,并且经过分发通道300把这些文件发送给UIA200(相当于公开了“通过接口把要被加载到所述计算设备内的可用软件提供给所述计算设备”)。10.UIA程序203利用其本地索引和支持文件204、205以与安装计算机的平台相符合的方式完成安装分发文件15的安装。特别地,UIA200在密码签字174和嵌入数据171不受到影响下安装集合分发文件170。一旦集合分发文件170被安装到安装计算机上,它被称为安装的集合分发文件15。UIA程序203还根据需要执行其它系统更新212,例如更新操作系统注册(在Windows95TM情况下)以及安装任何附加的应用文件。也可能涉及其它任选的操作,例如留下适当的‘不安装’实用程序。UIA200接收从用户输入的数据32,诸如名字、地址、支付选择等,以及与终端用户许可证的接收有关的数据。诸如CPU的速度、硬盘的尺寸、调制解调器的速度等的环境感测数据34也可能被输入到UIA200中进行处理。UIA200处理的识别信息可包括任何有关购买者、销售商、安装代理、日期、序列号、许可证说明等信息。这些数据可用于所需软件应用在出版商或商业代理的自动注册。如上面所述,识别数据32、34构成与用户、其计算机等有关的识别信息。识别数据32、34由UIA20O处理并通过分发通道300传送到SDA100。当然,不必一定要通过分发通道300把识别信息发送到SDA100是众所周知的。例如,可由代理通过口头、书面或其它非电子方式在本地将识别信息输入到SDA100中。SDA100将识别数据32、34和数据库组20中存储的数据组合起来以产生对于用户是唯一定制的、可验证的并且可跟踪的集合分发文件170。通过分发通道300把集合分发文件170发送到UIA200。UIA200的输出是唯一定制软件应用15(以下称为“被安装的集合分发文件”),其安装在安装计算机上,并且具有嵌入在其中的识别信息。图5表示从被安装的集合分发文件15验证和提取用户数据以便证实原始文件内容173a、173b以及嵌入数据171都未被篡改的手段。对于本发明的操作该步骤是任选的,因为用户可在不验证下运行被安装的集合分发文件15。应理解,下面说明的验证过程可在完成安装之前或完成安装之后进行。若在安装到安装计算机上之前进行验证,则UIA203针对集合分发文件170进行下述过程,而不是对已安装的集合分发文件15进行下述过程。下面说明验证及读出程序400的典型执行顺序:1.或者由用户或者由诸如UIA200的其它程序的自动调用,运行验证及读出程序400。除非另外指出,下面的步骤都由验证及读出程序400执行。2.或者通过提示用户或者由UIA200作为参数传送,判定要处理哪一个已安装集合分发文件15。还判定(若可从特定实施中衍生,而不是包含在文件本身中)对该已安装集合分发文件15可应用哪个特定公用密钥152。3.打开所研究的已安装集合分发文件15并检查它是否满足应用格式要求。例如,某给定的实现可能支持IntelTM处理器的‘PE’格式下的可执行(EXE)和动态链接库(DLL)文件。若该已安装集合分发文件15未通过这些基本检查或者未找到,则验证及读出程序400失败并发出适当警告。4.检查文件以确定总密码签字176、嵌入数据密码签字172及嵌入数据171的位置。可以各种方式格式化已安装集合分发文件15以支持这个操作,例如在文件标题内包括指向这些区段的指针。若在该特定实施中是适用的(即,公用密钥152被包含在文件中,而不是否则由验证和读出程序400确定),查找并提取所需的公用密钥152。若上述任一步骤失败,验证及读出程序400失败并发出适当警告。5.利用公用密钥152把总密码签字176解密成不加密形式176a(解密后的远程总指纹)。6.利用和SDA100采用的相同已知密码签字算法,计算总密码签字的本地版本176b(本地算出的总指纹)。该计算必须排除总密码签字176自身,即覆盖除176之外的已安装集合分发文件15的所有部分,以使本地计算的总指纹176b和其自身无关。7.把本地计算的总指纹176b和解密后的远程总指纹176a进行比较。若它们不同,验证及读出程序400在已安装的集合分发文件15已经被破坏的警告下失败。此刻,UIA200可被调用以和SDA100联系以再次获得已安装的集合分发文件15。8.提取嵌入数据171,若程序是由用户调用的,则用图形形式把嵌入数据171呈现给用户,若是由软件调用的,则以报文形式传送给调用者程序。9.利用公用密钥152把嵌入数据密码签字172解密成其不加密形式172a(解密后的远程嵌入数据指纹)。10.利用和SDA100所采用的相同已知密码签字算法计算嵌入数据密码签字172的本地版本172b(本地算出的嵌入数据指纹)。11.将本地算出的嵌入数据指纹172b和解密的远程嵌入数据指纹172a进行比较。若它们不同,验证及读出程序在警告嵌入数据171已经被破坏下失败。图6是一个总结与图2、图3A、图3B、图3C、图4和图5相关的程序的流程图。请注意,可由任何方式向UIA20O发送用来验证已安装集合分发文件15的完整性的公用密钥152,因为它不是秘密并且可用于不止一个用途。例如,公用密钥可嵌入到集合分发文件170中,它可以独立文件或信息的形式显式地发送给用户,或者,可由安装计算机自动地从网络托管机构(例如VerisignTM公司)获得。图7是可依据本发明采用的另一组过程的流程图,其中使用SDA100为特定交易计算的唯一专用密码来加密原始文件内容173a、173b。SDA100保持该唯一专用密钥的记录,并且通过分发通道300向UIA20O发送相应的唯一公用密钥和集合分发文件170。UIA200将利用该公用密钥解密集合分发文件170。出于安全原因,最好不要永久性地在安装计算机上存储该公用密钥。替代地,只在安装期间让该唯一公用密钥存在于计算机的随机存取存储器(RAM)中。这使得再分发集合分发文件170实际上不可能。尽管参照各种优选实施例对本发明进行了说明,本领域技术人员可认识到一些改变、替代和修改是可能的。在图8中,图例示出已安装集合分发文件15的各种使用。在由UIA200安装并验证后,已安装的集合分发文件15可以在以不以任何方式使用嵌入数据171的情况下正常运行。为了确保许可证一致,已安装集合分发文件15可与许可证强制程序关联运行,该许可强制程序证实组成嵌入数据171的一部分的任何许可证条款得到遵守。也可把嵌入数据171以及密码签字172、174、175、176(取决于构建集合分发文件170的方式)用作为某病毒检查程序的输入,该病毒检查程序可通过利用公用密钥152和与SDA100采用的相同的已知密码签字算法进行己安装集合分发文件15的完整性检查。每次运行已安装集合分发文件15时,图5中示出的验证及读出程序400可自身运行,或与验证载入程序关联运行,这可拒绝篡改文件且不允许被篡改的已安装集合分发文件15运行。嵌入数据171可用于向用户显示。本文所公开的方法和系统还可用于对安装计算机上现存的己安装集合分发文件15进行升级。在这种情况下,UIA200和SDA100将确认安装计算机上已有的已安装集合分发文件15的许可证状态(相当于公开了“确定存储在与所述计算设备相关的存储设备内的常驻软件是否经过认证”),并且接着调用本文公开的方法和系统将已安装集合分发文件15的升级版本构建、发送(相当于公开了“通过接口把要被加载到所述计算设备内的可用软件提供给所述计算设备”)和安装到该安装计算机上。本发明的调用升级特征的能力可以在用户请求下进行,也可以在UIA200检测出可使用原始分发文件130的新版本时被自动调用(由于要使用对比文件2公开的方法和系统安装升级版本,且对比文件2可在该版本安装前进行验证,因此隐含公开了“确定所述可用软件是否经过认证”;并且,由于对比文件2在升级前要确认安装计算机上已有的已安装集合分发文件15的许可证状态,然后才调用本文公开的方法和系统将已安装集合分发文件15的升级版本构建、发送和安装到该安装计算机上,对于本领域技术人员来说,此处隐含公开了只有在升级前的已安装集合分发文件经过认证时才升级,并且只有升级版本通过认证时才升级,而升级版本未通过认证时是不会进行升级的,因此相当于公开了“如果所述常驻软件已经过认证而所述可用软件未经认证则拒绝所述可用软件;以及如果所述常驻软件已经过认证并且所述可用软件也已经认证则加载所述可用软件”)。已安装的集合分发文件15的唯一性可用于把其操作限制在安装计算机中的专用中央处理机(CPU)上。出于这些目的,CPU的识别可由UIA200在收集传输到SDA100的数据32、34的阶段进行。本文公开的SDA100和UIA200不限于只在安装或升级已安装分发文件170时调用。例如,在计算机游戏环境下,可在用户到达游戏的某点时调用SDA100和UIA200,以给予用户购买游戏的附加功能或级别的选择机会。16.一种用于由分发计算机接收可识别的和可验证的软件应用的软件安装计算机:a.所述软件安装计算机和软件分发计算机之间的通信链接;b.存储部件,用于存储识别数据,并用于存储已安装的软件应用;c.和所述链接通信的计算机通信接口,用于传送所述识别数据,并且用于接收所述可识别的和可验证的软件应用,所述可识别的和可验证的软件应用带有在其中嵌入的识别信息以及可识别的和可验证的软件应用的密码签字;d.用于在所述计算机存储部件中安装所述可识别的和可验证的软件应用的装置。
可见,对比文件2公开了“本文所公开的方法和系统可用于对安装计算机上现存的己安装集合分发文件15进行升级,在这种情况下,UIA200和SDA100将确认安装计算机上已有的已安装集合分发文件15的许可证状态,并且接着调用本文公开的方法和系统将已安装集合分发文件15的升级版本构建、发送和安装到该安装计算机上”,还公开了“下面说明的验证过程可在完成安装之前或完成安装之后进行。若在安装到安装计算机上之前进行验证,则UIA203针对集合分发文件170进行下述过程,而不是对已安装的集合分发文件15进行下述过程”。由此可知,对比文件2可对已安装的软件进行升级,此时,先确认已安装软件的许可证状态(相当于确认已安装软件是否经过认证),然后调用升级版本,而对于该升级版本,对比文件2可以在其安装前进行验证(在对比文件2的应用下,由于在安装前进行验证,因此必然是验证通过了才安装而验证未通过就不安装)。因此,对比文件2隐含公开了以下内容:确定存储在与所述计算设备相关的存储设备内的常驻软件是否经过认证;通过接口把要被加载到所述计算设备内的可用软件提供给所述计算设备;确定所述可用软件是否经过认证;如果所述常驻软件已经过认证而所述可用软件未经认证则拒绝所述可用软件;以及如果所述常驻软件已经过认证并且所述可用软件也已经认证则加载所述可用软件。
权利要求2与对比文件2相比,区别在于:权利要求2中先通过接口把要被加载到所述计算设备内的可用软件提供给所述计算设备,再确定存储在与所述计算设备相关的存储设备内的常驻软件是否经过认证,然后再进行后续步骤;而在对比文件2中,在升级前要确认安装计算机上已有的已安装集合分发文件15的许可证状态,并且接着调用对比文件2公开的方法和系统将已安装集合分发文件15的升级版本构建、发送到该安装计算机上,然后再进行后续步骤。根据上述区别可以确定权利要求2实际所要解决的问题是:何时下载可用软件。
对于本领域技术人员来说,先下载升级版本然后再判断原安装软件是否经过认证,再根据情况进行后续处理,还是先判断原安装软件是否经过认证,再下载升级版本,然后根据情况进行后续处理,都是根据需要可进行的常规选择处理,这种先后顺序的改变也不会产生预料不到的技术效果。因此在对比文件2的基础上结合本领域公知常识得到本专利权利要求2的方案,对于本领域技术人员来说是显而易见的,权利要求2不具备专利法第22条第3款规定的创造性。
专利权人认为对比文件2的目的和所解决的技术问题与本专利不同,因此对比文件2未公开本专利权利要求2的技术方案。对此,合议组认为:首先,本专利权利要求2要求保护一种计算设备的配置管理方法,而如前所述,对比文件2实质上公开了一种配置管理方法,并且公开了权利要求2的大部分内容,本领域技术人员在对比文件2公开内容的基础上容易得到本专利权利要求2的方案。其次,就算考虑设备的安全性,本专利实质上是通过对软件进行认证来解决安全性的,如前所述,对比文件2公开了对软件进行完整性验证的技术内容,而该技术内容实质上也可以解决设备的安全性问题,本领域技术人员也是容易想到使用对比文件2的方法来解决安全性问题的。因此专利权人的理由不成立。
(2)本专利权利要求10请求保护一种用于执行计算设备的配置管理的装置。根据前述内容可知,对比文件2公开了“本文所公开的方法和系统可用于对安装计算机上现存的己安装集合分发文件15进行升级,在这种情况下,UIA200和SDA100将确认安装计算机上已有的已安装集合分发文件15的许可证状态,并且接着调用本文公开的方法和系统将已安装集合分发文件15的升级版本构建、发送和安装到该安装计算机上”,还公开了“下面说明的验证过程可在完成安装之前或完成安装之后进行。若在安装到安装计算机上之前进行验证,则UIA203针对集合分发文件170进行下述过程,而不是对已安装的集合分发文件15进行下述过程”。由此可知,对比文件2可对已安装的软件进行升级,此时,先确认已安装软件的许可证状态(相当于确认常驻软件是否经过认证),然后调用升级版本,而对于该升级版本,对比文件2可以在其安装前进行验证(在对比文件2的应用下,由于在安装前进行验证,因此必然是验证通过了才安装而验证未通过就不安装)。因此,对比文件2隐含公开了以下内容:用于存储常驻软件的存储设备;用于确定所述常驻软件是否经过认证的一组可执行计算机指令;用于把要被加载到所述计算设备内的可用软件提供给所述计算设备的接口;用于确定所述可用软件是否经过认证的一组可执行计算机指令;用于执行所述可执行计算机指令组的处理器,以及用于:如果所述常驻软件已经认证而所述可用软件未经认证,则拒绝所述可用软件;以及如果所述常驻软件已经过认证并且所述可用软件也经过认证,则加载所述可用软件。
由上可知,对比文件2公开了本专利权利要求10的全部技术特征,二者的技术领域相同,技术方案实质相同,解决的技术问题和所获得的技术效果实质上也相同。因此本专利权利要求10不具备专利法第22条第2款规定的新颖性。
(3)权利要求18是与权利要求2对应的装置权利要求。基于与权利要求2相同的理由,权利要求18也不具备专利法第22条第3款规定的创造性。
(4)本专利权利要求3引用权利要求2。对比文件5的图3公开了“设定NVRAM中的位,以标示flash”,可见对比文件5公开了设置标志来记录某一状态或事件,在此基础上,本领域技术人员容易想到设置一标志来标示认证状态。因此权利要求3的附加技术特征是本领域技术人员在对比文件5的基础上容易想到的。在引用的权利要求不具备创造性时,权利要求3不具备专利法第22条第3款规定的创造性。
(5)本专利权利要求4引用权利要求3。设置标志来记录某一状态或事件是本领域公知常识,因此为了标示认证状态,当确定软件经过认证时设置一认证标志对于本领域技术人员来说是容易想到的。在引用的权利要求不具备创造性时,权利要求4不具备专利法第22条第3款规定的创造性。
(6)本专利权利要求5引用权利要求3。对一标志是由机器在满足条件时自动设置还是由人员手动设置都是常用手段。在引用的权利要求不具备创造性时,权利要求5不具备专利法第22条第3款规定的创造性。
(7)本专利权利要求6引用权利要求2。对比文件1公开了以下内容(参见对比文件1说明书第28-35段):图5是由引导ROM135控制的数字媒体处理器130操作的实例的流程图300。在每次将电力初始施加到机顶盒系统100之后,数字媒体处理器开始执行存储在引导ROM135内的预定位置的程序。在图5中说明与本申请的公开内容相关的引导R0M135内的此程序的那些部分。程序300首先初始化数字媒体处理器130(处理框301)。此过程将包括通过在本领域中已知的方式清除寄存器和缓存、设定初始操作模式等。在初始化处理器之后,程序300读取存储在快闪EPROM141中的RTOS210的签名部分211(处理框302)。程序300接下来从引导ROM135读取RTOS公开密钥203(处理框303)。接下来,程序300验证RTOS210的签名部分211(处理框304)。根据公开密钥加密的现有技术(例如,RSA算法),通过使用秘密的私人签名密钥对所有RTOS210进行操作而产生签名部分211。通过采用存储在引导ROM135中的RTOS公开签名密钥203的反向过程来恢复签名部分211的原始数据。该签名验证过程考虑了所谓的“陷门”功能。产生仅知晓公开密钥的特定签名部分是非常困难的过程。RTOS210的任何部分的变化非常可能以无法仅从RTOS公开签名密钥203进行预测的方式导致签名部分211的变化。因此,有可能采用签名部分211来检测RTOS210的任何变化。如果经过验证的签名部分指示RTOS210将支持安全的应用(决策框305),那么程序300进行测试以确定是否可以将RTOS210验证为正确(决策框306)。如上文描述,私密密钥签名与公开密钥签名的陷门功能使得在不产生对签名部分211的不可预测的修改的情况下修改RTOS210是非常困难的任务。因此,存储在引导ROM135中的初始程序将几乎肯定能够检测对RTOS210的未授权的修改。对RTOS210的此验证准许机顶盒系统100的供应商确信系统的安全性。如果经过验证的签名部分未被验证为安全,那么程序300指示RTOS210是不安全的(处理框307)。其后,程序300采取补救动作(处理框308)。如果经过验证的签名部分被验证为安全,那么程序300指示RTOS210经过验证(处理框309)。其后,程序300开始RTOS210的操作(处理框310)(相当于公开了“确定存储在与所述计算设备相关的存储设备内的常驻软件是否经过认证”)。图6是在被调用以加载和运行常驻应用时的数字媒休处理器130操作的实例的流程图400。在用于开启常驻应用程序的命令(处理框401)之后,程序400读取存储在快闪EPROM141中的常驻应用的对应的签名部分(处理框402)。程序400接下来从引导ROM135或者快闪EPROM141读取对应的公开密钥(处理框403)。如上文在引导ROM135和快闪EPROM141的存储器映射中所述,常驻应用程序的公开密钥可以存储在引导ROM135中或者快闪EPROM141中。替代地,机顶盒100可以被构造成使得一些常驻应用的公开密钥存储在引导ROM135中,并且剩余的常驻应用的公开密钥存储在快闪EPROM141中。接下来,程序400验证常驻应用的签名部分(处理框404)。此签名验证过程与先前结合RT0S210的验证所描述的签名验证过程相同。可见,对比文件1公开了权利要求6的附加技术特征。在引用的权利要求不具备创造性时,权利要求6不具备专利法第22条第3款规定的创造性。
(8)本专利权利要求7引用权利要求6。循环冗余码校验是对软件正确性进行检查的本领域公知常识。因此使用循环冗余码校验作为认证程序对于本领域技术人员来说是容易想到的。在引用的权利要求不具备创造性时,权利要求7不具备专利法第22条第3款规定的创造性。
(9)本专利权利要求8引用权利要求6。可靠哈希算法是对软件正确性进行检查的本领域公知常识。因此使用可靠哈希算法作为认证程序对于本领域技术人员来说是容易想到的。在引用的权利要求不具备创造性时,权利要求8不具备专利法第22条第3款规定的创造性。
(10)本专利权利要求11引用权利要求10。对比文件5的图3公开了“设定NVRAM中的位,以标示flash”,可见对比文件5公开了设置标志来记录某一状态或事件,在此基础上,本领域技术人员容易想到设置一标志来标示认证状态,进而将该标志存储起来以在需要时判断是否经过认证。因此权利要求11的附加技术特征是本领域技术人员在对比文件5的基础上容易想到的。在引用的权利要求不具备新颖性时,权利要求11不具备专利法第22条第3款规定的创造性。
(11)本专利权利要求12引用权利要求11。对比文件5的图3公开了“设定NVRAM中的位,以标示flash”,可见对比文件5公开了设置标志来记录某一状态或事件,在此基础上,在软件经过认证并被加载时设置认证标志是本领域技术人员在对比文件5的基础上容易想到的。在引用的权利要求不具备创造性时,权利要求12不具备专利法第22条第3款规定的创造性。
(12)本专利权利要求13引用权利要求11。对一标志是由机器在满足条件时自动设置还是由人员手动设置都是常用手段。在引用的权利要求不具备创造性时,权利要求13不具备专利法第22条第3款规定的创造性。
(13)本专利权利要求14引用权利要求10。对比文件1公开了以下内容(参见对比文件1说明书第28-35段):图5是由引导ROM135控制的数字媒体处理器130操作的实例的流程图300。在每次将电力初始施加到机顶盒系统100之后,数字媒体处理器开始执行存储在引导ROM135内的预定位置的程序。在图5中说明与本申请的公开内容相关的引导R0M135内的此程序的那些部分。程序300首先初始化数字媒体处理器130(处理框301)。此过程将包括通过在本领域中已知的方式清除寄存器和缓存、设定初始操作模式等。在初始化处理器之后,程序300读取存储在快闪EPROM141中的RTOS210的签名部分211(处理框302)。程序300接下来从引导ROM135读取RTOS公开密钥203(处理框303)。接下来,程序300验证RTOS210的签名部分211(处理框304)。根据公开密钥加密的现有技术(例如,RSA算法),通过使用秘密的私人签名密钥对所有RTOS210进行操作而产生签名部分211。通过采用存储在引导ROM135中的RTOS公开签名密钥203的反向过程来恢复签名部分211的原始数据。该签名验证过程考虑了所谓的“陷门”功能。产生仅知晓公开密钥的特定签名部分是非常困难的过程。RTOS210的任何部分的变化非常可能以无法仅从RTOS公开签名密钥203进行预测的方式导致签名部分211的变化。因此,有可能采用签名部分211来检测RTOS210的任何变化。如果经过验证的签名部分指示RTOS210将支持安全的应用(决策框305),那么程序300进行测试以确定是否可以将RTOS210验证为正确(决策框306)。如上文描述,私密密钥签名与公开密钥签名的陷门功能使得在不产生对签名部分211的不可预测的修改的情况下修改RTOS210是非常困难的任务。因此,存储在引导ROM135中的初始程序将几乎肯定能够检测对RTOS210的未授权的修改。对RTOS210的此验证准许机顶盒系统100的供应商确信系统的安全性。如果经过验证的签名部分未被验证为安全,那么程序300指示RTOS21O是不安全的(处理框307)。其后,程序300采取补救动作(处理框308)。如果经过验证的签名部分被验证为安全,那么程序300指示RTOS210经过验证(处理框309)。其后,程序300开始RTOS210的操作(处理框310)(相当于公开了“确定存储在与所述计算设备相关的存储设备内的常驻软件是否经过认证”)。图6是在被调用以加载和运行常驻应用时的数字媒休处理器130操作的实例的流程图400。在用于开启常驻应用程序的命令(处理框401)之后,程序400读取存储在快闪EPROM141中的常驻应用的对应的签名部分(处理框402)。程序400接下来从引导ROM135或者快闪EPROM141读取对应的公开密钥(处理框403)。如上文在引导ROM135和快闪EPROM141的存储器映射中所述,常驻应用程序的公开密钥可以存储在引导ROM135中或者快闪EPROM141中。替代地,机顶盒100可以被构造成使得一些常驻应用的公开密钥存储在引导ROM135中,并且剩余的常驻应用的公开密钥存储在快闪EPROM141中。接下来,程序400验证常驻应用的签名部分(处理框404)。此签名验证过程与先前结合RT0S210的验证所描述的签名验证过程相同。可见,对比文件1公开了权利要求14的附加技术特征。在引用的权利要求不具备新颖性时,权利要求14不具备专利法第22条第3款规定的创造性。
(14)本专利权利要求15引用权利要求14。循环冗余码校验是对软件正确性进行检查的本领域公知常识。因此使用循环冗余码校验作为认证程序对于本领域技术人员来说是容易想到的。在引用的权利要求不具备创造性时,权利要求15不具备专利法第22条第3款规定的创造性。
(15)本专利权利要求16引用权利要求14。可靠哈希算法是对软件正确性进行检查的本领域公知常识。因此使用可靠哈希算法作为认证程序对于本领域技术人员来说是容易想到的。在引用的权利要求不具备创造性时,权利要求16不具备专利法第22条第3款规定的创造性。
由于已经得出权利要求2-8、10-16、18不具备新颖性或创造性的结论,因此本决定不再对这些权利要求的其它无效理由进行评述。
3.2、关于权利要求1
本专利权利要求1请求保护一种计算设备的配置管理的方法。对比文件1公开了一种安全计算装置,并具体公开了以下内容(参见对比文件1的权利要求12,说明书第5、6、26-45、63段,图1、5-7):一种安全计算方法,所述安全计算方法包括以下步骤:使用私密密钥来加密程序的验证令牌;存储与所述私密密钥相对应的公开密钥;在安全计算系统的调试器/仿真器的每次初始化之后确定所述程序是安全的程序还是不安全的程序,如果所述程序是不安全的程序,那么在所述调试器/仿真器中选择第一操作模式,从而准许访问所述程序而阻止访问所述安全计算系统的至少一个安全特征,并且如果所述程序是安全的程序,那么在所述调试器/仿真器中选择第二操作模式,从而准许访问所述安全计算系统的所有特征。已经结合需要计算机安全性的特定类型的系统(即,机顶盒)描述了本专利申请的示例性实施方案。本领域技术人员将认识到,这些安全技术的使用不限于此实例。具体来说,需要一些功能具有一定安全度的几乎任何计算机系统可以采用这些技术。未来的机顶盒将实现多种家庭娱乐选项,例如已知的视频节目选项、观看存储在例如数字视频盘(DVD)等固定介质上的视频节目、经由电话或电缆调制解调器进行互联网浏览,以及玩经由调制解调器或经由视频数据流下载的视频游戏(相当于公开了“通过接口提供要被加载到所述计算设备内的可用软件”)。此类多种能力仅可以由可以接收并运行所下载的程序的完全可编程数据处理器提供。这引发大量安全问题。因为系统的大多功用依赖于能够下载各种应用,所以还存在下载未授权的应用的可能性。此未授权的应用可能是被有意编写来危害安全分层结构的。瞬时应用是经由既定仅在机项盒系统100的当前会话期间使用的电缆调制解调器111、音频带调制解调器117或者DVD驱动器115加载的应用。这些可以包括视频游戏、互联网浏览等,每当使用这些瞬时应用时将它们加载到DRAM143中并且随后抛弃。如果经过验证的签名部分未被验证为安全,那么程序300指示RTOS210是不安全的(处理框307)。其后,程序300采取补救动作(处理框308)。此补救动作可以采取许多形式。在最严重的情况下,此补救动作可以是机顶盒110的完全停用。关闭媒体处理器130将停用机顶盒110,因为所述媒体处理器是机顶盒110的智力。在大多数安全应用中,运行未被验证的RTOS将被视为非常危险,并且唯一合理的补救动作是停用机顶盒110。在一些情况下,不大严重的补救动作可以是适当的。作为不大严重的补救措施,数字媒体处理器130可以经编程以不再与来自电视电缆101、直接卫星接收器前端103和/或DVD105的视频数据流交互。此模式可以准许仅运行本地的瞬时应用。所述补救动作可以包括经由电缆调制解调器111或者音频带调制解调器117向机顶盒供应商或者服务提供者发信号通知安全违规。此通知的接收方随后可以自动地或者手动地确定如何处置所述安全违规。对安全违规的此类通知作出响应的一种方法是经由电缆模式111或者音频带调制解调器117下载RTOS的经授权的副本以便存储在快闪EPROM143中,从而覆写未授权的副本。另一种方法是下载诊断程序,所述诊断程序将验证和确定安全违规的程度。在最适合于仅供应广告商支持的节目材料的服务提供者的最不严重水平下,将忽视安全违规并且准许不安全的RTOS的操作。图7是所下载的程序的验证的实例的流程图500。在用于开始下载应用程序的命令(处理框501)之后,程序500下载所述应用,同时将所述应用存储在DRAM143中(处理框502)。随后程序500读取存储在DRAM143中的所下载的应用的对应的签名部分(处理框503)。机顶盒110包括双向地耦合到数字媒体处理器130的快闪(电可编程只读存储器)EPROM141。快闪EPROM141用作机顶盒系统100的非易失性存储器。这之所以被称为非易失性存储器是因为其在电力“断开”时保持其内容。实时操作系统(RTOS)和常驻应用需要非易失性存储器。图3说明快闪EPROM141的示例性存储器映射。快闪EPROM141包括实时操作系统(RT0S)210。RT0S210包括使得数字媒体处理器130能够接收各种数据流并且在接收到所述数据流时(即,“实时地”)处理所述数据流的程序代码。图5是由引导ROM135控制的数字媒体处理器130操作的实例的流程图300。在每次将电力初始施加到机顶盒系统100之后,数字媒体处理器开始执行存储在引导ROM135内的预定位置的程序。在图5中说明与本申请的公开内容相关的引导R0M135内的此程序的那些部分。程序300首先初始化数字媒体处理器130(处理框301)。此过程将包括通过在本领域中已知的方式清除寄存器和缓存、设定初始操作模式等。在初始化处理器之后,程序300读取存储在快闪EPROM141中的RTOS210的签名部分211(处理框302)。程序300接下来从引导ROM135读取RTOS公开密钥203(处理框303)。接下来,程序300验证RTOS210的签名部分211(处理框304)。根据公开密钥加密的现有技术(例如,RSA算法),通过使用秘密的私人签名密钥对所有RTOS210进行操作而产生签名部分211。通过采用存储在引导ROM135中的RTOS公开签名密钥203的反向过程来恢复签名部分211的原始数据。该签名验证过程考虑了所谓的“陷门”功能。产生仅知晓公开密钥的特定签名部分是非常困难的过程。RTOS210的任何部分的变化非常可能以无法仅从RTOS公开签名密钥203进行预测的方式导致签名部分211的变化。因此,有可能采用签名部分211来检测RTOS210的任何变化。如果经过验证的签名部分指示RTOS210将支持安全的应用(决策框305),那么程序300进行测试以确定是否可以将RTOS210验证为正确(决策框306)。如上文描述,私密密钥签名与公开密钥签名的陷门功能使得在不产生对签名部分211的不可预测的修改的情况下修改RTOS210是非常困难的任务。因此,存储在引导ROM135中的初始程序将几乎肯定能够检测对RTOS210的未授权的修改。对RTOS210的此验证准许机顶盒系统100的供应商确信系统的安全性。如果经过验证的签名部分未被验证为安全,那么程序300指示RTOS210是不安全的(处理框307)。其后,程序300采取补救动作(处理框308)。此补救动作可以采取许多形式。在最严重的情况下,此补救动作可以是机顶盒110的完全停用。关闭媒体处理器130将停用机顶盒110,因为所述媒体处理器是机顶盒110的智力。在大多数安全应用中,运行未被验证的RTOS将被视为非常危险,并且唯一合理的补救动作是停用机顶盒110。在一些情况下,不大严重的补救动作可以是适当的。作为不大严重的补救措施,数字媒体处理器130可以经编程以不再与来自电视电缆101、直接卫星接收器前端103和/或DVD105的视频数据流交互。此模式可以准许仅运行本地的瞬时应用。所述补救动作可以包括经由电缆调制解调器111或者音频带调制解调器117向机顶盒供应商或者服务提供者发信号通知。此通知的接收方随后可以自动地或者手动地确定如何处置所述安全违规。如果经过验证的签名部分被验证为安全,那么程序300指示RTOS210经过验证(处理框309)。其后,程序300开始RTOS210的操作(处理框310)。图6是在被调用以加载和运行常驻应用时的数字媒体处理器130操作的实例的流程图400。在用于开启常驻应用程序的命令(处理框401)之后,程序400读取存储在快闪EPROM141中的常驻应用的对应的签名部分(处理框402)。程序400接下来从引导ROM135或者快闪EPROM141读取对应的公开密钥(处理框403)。如上文在引导ROM135和快闪EPROM141的存储器映射中所述,常驻应用程序的公开密钥可以存储在引导ROM135中或者快闪EPROM141中。替代地,机顶盒100可以被构造成使得一些常驻应用的公开密钥存储在引导ROM135中,并且剩余的常驻应用的公开密钥存储在快闪EPROM141中。接下来,程序400验证常驻应用的签名部分(处理框404)。此签名验证过程与先前结合RT0S210的验证所描述的签名验证过程相同。在验证之后,程序400测试经过验证的签名部分以确定常驻应用是否支持安全性(决策框405)。预计与从电视电缆101、直接卫星接收器前端103或者DVD150接收的程序内容交互的任何常驻应用将需要安全性。其他常驻应用可能按照应用程序供应商的意愿而需要安全性。如果此签名部分指示不安全的使用,那么程序400绕过其他步骤、将常驻应用加载到DRAM143中并且开启应用程序(处理框410)。如果经过验证的签名部分指示常驻应用将支持安全的应用(决策框405),那么程序400进行测试以确定是否可以将所述常驻应用验证为正确(决策框406)。私密密钥加密与公开密钥解密的陷门功能使得在不产生对签名部分的不可预测的修改的情况下修改常驻应用程序从而实现对常驻应用的授权的验证是非常困难的任务。如果签名部分未被验证为安全,那么程序400指示常驻应用是不安全的(处理框407)。其后,程序400采取补救动作(处理框408)。如果签名部分被验证为安全,那么程序400指示常驻应用经过验证(处理框409)(对应于“确定存储在与所述计算设备相关的存储设备内的常驻软件是否经过认证”)。其后,程序400通过将其程序代码的至少部分传递到DRAM143并且经由跳转指令传递控制而启动常驻应用,预期常驻应用程序将能够访问少于可以经由RTOS210访问的所有数字媒体处理器功能。图7是所下载的程序的验证的实例的流程图500。在用于开始下载应用程序的命令(处理框501)之后,程序500下载所述应用,同时将所述应用存储在DRAM143中(处理框502)。随后程序500读取存储在DRAM143中的所下载的应用的对应的签名部分(处理框503)。程序500接下来从引导ROM135或者快闪EPROM141读取对应的公开密钥(处理框504)。如上文在引导ROM135和快闪EPROM141的存储器映射中所述,常驻应用程序的公开密钥可以存储在引导R0M135中或者快闪EPROM141中。接下来,程序500运行对所下载的应用程序的签名验证(处理框505)。此签名验证过程与先前结合RTOS210的验证所描述的签名验证过程相同。安全的应用程序将具有准许验证整个所下载的应用程序的签名部分。不安全的应用程序将具有可验证的签名存根。程序500接下来进行测试以确定签名或者签名存根已经经过验证(决策框506)。如果签名或者签名存根尚未被验证为适当,那么程序500将指示安全违规(处理框507)并且采取补救动作(处理框508)。此补救动作可以是上文描述的许多形式中的任一者。另外,此例子中的另一可能的补救动作是作出进一步尝试以下载此应用。因此,程序500可以循环回到处理框502以重复所述下载。如果经授权的应用在下载期间例如由于噪声等而被损坏,那么此补救动作将准许恢复。如果使用此选项,那么优选在预定数目次签名验证失败之后中止此循环。在成功地验证签名或者签名存根之后,程序500测试经过验证的签名部分以确定所下载的应用是否支持安全性(决策框509)。如果此签名部分指示不安全的使用,那么程序500绕过其他步骤,存储并运行所下载的应用程序(处理框512)。应注意,所下载的应用程序如果意图是另一常驻应用那么可以被加载到快闪EPROM141中,如果意图是瞬时应用,那么可以被加载到DRAM143中。如果经过验证的签名部分指示所下载的应用程序支持安全的应用(决策框509),那么程序500进行测试以确定是否可以将所述所下载的应用验证为正确(决策框511)。陷门功能使得在不产生对签名部分的不可预测的修改的情况下修改所下载的应用程序从而实现对所下载的应用程序的授权的验证是非常困难的任务。如果所下载的应用程序未被验证为正确(决策框510),那么程序500指示所下载的应用是不安全的(处理框507)。其后,程序500采取补救动作(处理框508)。此补救动作可以是上文描述的许多形式中的任一者,并且可以包括作出进一步尝试以下载此应用程序。如果所下载的应用被验证为正确(决策框510)(对应于“确定所述可用软件是否经过认证”),那么程序500指示所下载的应用是安全的(处理框511)。其后,程序500存储并运行所下载的应用程序(处理框512)。如上文描述,如果所述应用是常驻应用,那么此存储将位于快闪EPROM141中,或者如果所述应用是瞬时应用,那么此存储将位于DRAM143中。程序500通过将其程序代码的至少部分传递到DRAM143并且经由跳转指令传递控制来启动所下载的应用程序。本申请公开一种安全计算系统。使用私密密钥来加密程序,优选为安全计算系统实时操作系统。数据处理器包括位于同一集成电路上的不可从集成电路外部访问的引导ROM。所述引导ROM包括与用于加密所述程序的私密密钥相对应的公开密钥。在初始化后,所述引导ROM解密所述程序的至少验证部分。这实现对所述程序的安全性的验证或未验证。所述引导ROM可以存储额外的公开密钥,以便在验证了实时操作系统之后验证应用程序。替代地,可以将这些额外的公开密钥存储在非易失性存储器中。在验证了程序的安全性之后,启用正常操作。存在可以在未验证时进行的若干补救动作。可以停用系统,或者在验证了实时操作系统之后未验证应用的情况下,可以仅停用那个应用程序。所述系统可以使用安全计算系统的调制解调器向系统供应商通知安全违规。
可见,在对比文件1中,在处理器初始化时,会对RTOS进行签名验证,如果RTOS支持不安全的应用,则直接开启RTOS,如果RTOS支持安全的应用,则验证RTOS是否正确,如果未通过安全验证,则采取补救动作,如果通过安全验证,则开启RTOS。在系统启动后,系统在开启常驻应用或下载应用程序时,均要进行前述类似的验证过程。
将权利要求1与对比文件1相比,区别在于:如果所述常驻软件未经认证则把用所述可用软件更新的所述常驻软件加载到所述存储设备;如果所述常驻软件经过认证,则设定一认证标志。即本专利权利要求1中,是在常驻软件未经认证时才把所述可用软件更新的所述常驻软件加载到所述存储设备,而对比文件1并未公开该特征。根据上述区别在可以确定本专利权利要求1实际解决的问题是:提高软件的安全性。
对比文件3公开了一种程序更新方法,并具体公开了以下内容(参见对比文件3说明书第1、28、33、49-54、55、56段,说明书摘要,图1、4、5,权利要求1、3):本发明涉及一种信息处理装置、程序更新方法及存储介质,尤其涉及一种通过外部传输来的数据更新程序的信息处理装置、程序更新方法及存储介质。经由外部接口17接收从外部装置通过广播波、电话线路等通信介质发送的程序,当接收到的程序的版本比本装置中当前执行的系统用程序的版本新时,将接收到的程序存储在与存储有系统用程序的闪存A12不同的闪存B13中,下次启动时,由存储在闪存B13中的程序启动MPU10。这样,在系统启动的状态(步骤S212)中,当MPU10经由外部接口17接收从外部装置通过广播波、电话线路等通信介质传输的程序时(步骤S213),MPU10通过校验和等调查是否接收到该程序直到该程序最后的部分(步骤S214),当该程序的接收未正常结束时,删除接收到的程序(步骤S221),然后结束处理(步骤S222)。作为上述的运行检查的结果,若确认接收到的程序正常地运行,则将接收到的程序即更新用程序写入未处于选择执行过程中的闪存即闪存B13中(步骤S218),然后,按照存储在闪存B13中的程序的内容使系统运行(步骤S219)。在该运行不正常时,在闪存B13中写入了程序的状态下结束处理(步骤S222)。在上述运行结果正常时,改写EEPROM11的内容(步骤S220), 以便下次电源接通时选择闪存B13,并且结束本处理(步骤S222)。这样,当系统被启动并处于运行过程中,MPU40经由外部接口47接收通过广播波、电话线路等通信介质从外部装置传输的程序时(步骤S513),MPU40通过校验和等调查是否接收到该程序直到程序最后的部分(步骤S514),当该程序的接收未正常结束时,删除已接收到的程序(步骤S521),然后结束处理(步骤S522)(相当于公开了“通过接口提供要被加载到所述计算设备内的可用软件”)。与之相对,当程序的接收正常结束时,将该已接收到的程序暂时存储在RAM144中(步骤S515)。接着,MPU40根据接收到的程序中包含的ID等信息,判定该程序是否是本装置的系统用程序,且其版本是否比当前运行的程序的版本新(步骤S516)。在接收到的程序不是本装置的系统用程序的情况下,或者其版本不比当前运行的程序的版本新的情况下,MPU40判断该接收到的程序为不需要的程序并将其删除(步骤S521)。当接收到的程序是本装置的系统用程序,且其版本比当前运行的程序的版本新时,MPU40判断该接收到的程序是版本升级用程序,进而进行该程序的运行检查(步骤S517)。在该运行检查中,启动接收到的程序,通过自动运行检查程序检查接收到的程序的运行。作为该运行检查的结果,若确认接收到的程序没有正常地运行,则删除该已经接收到的程序(步骤S521)。作为上述的运行检查的结果,若确认接收到的程序正常地运行,则将接收到的程序即版本升级用程序写入闪存42(步骤S518),然后,按照存储在闪存42中的程序使系统运行(步骤S519)。当该运行结果为不正常时,在闪存42中写入了程序的状态下结束处理(步骤S522)。当上述运行正常时,经由存储装置接口45向辅助存储装置46中写入接收到的程序(步骤S520),结束本处理(步骤S522)。这样,当接收到的程序是版本升级用程序且能够正常运行时,将该接收到的程序分别写入闪存42和辅助存储装置46中。与此同时,当下次电源接通时,存储在闪存的版本升级用程序被选择,因此下次电源接通时,就会启动新版本的程序。当下次接通电源(步骤S507)时,MPU40从ROM41读取自动运行检查程序并启动该自动运行检查程序,通过该自动运行检查程序检查存储在闪存42中的版本升级用程序的运行(步骤S508)。通过该自动运行检查程序,若确认版本升级用程序的运行正常地进行,则启动ROM41的系统程序,且启动版本升级后的系统(步骤S511)。与之相对,通过自动运行检查程序若确认版本升级用程序未正常进行,则经由存储装置接口45从辅助存储装置46读取版本升级用程序并写入到闪存42中(步骤S509)。然后,ROM41的系统程序与闪存42的版本升级用程序一起被启动,并启动版本升级后的系统(步骤S511)。之后,执行与上述动作相同的动作。一种信息处理装置,其根据存储在第一存储单元中的程序进行动作,其特征在于,具备:接收单元,其接收从外部发送的更新用程序:比较单元,其比较存储在所述第一存储单元中的程序的版本和所述更新用程序的版本;以及控制单元,根据所述比较,在所述更新用程序的版本比存储在所述第一存储单元中的程序的版本新时,其将所述更新用程序存储在与所述第一存储单元不同的第二存储单元中。根据权利要求1所述的信息处理装置,其特征在于,还具备:检查单元,其检查所述接收到的更新用程序的运行。
可见,对比文件3为了解决“程序更新过程中,若由于停电等电源供给被切断,则程序的更新未完全执行,系统可能由于这种程序的不完全更新而无法启动”的问题,提出了如前所述的解决方案。但对比文件3并未公开上述区别特征,也没有给出应用上述区别特征的任何启示。
对比文件5公开了一种用于计算机的BIOS的安全远程闪存的方法,并具体公开了以下内容(参见对比文件5的说明书第3栏倒数第2段至第4栏第1段,图3):现在参看图3,框图310说明了一种按照本发明的原则确定flash代码的有效性、并且标示出某flash是所需的示例方法。如框312所指示,将从发送计算机接收到的flashBIOS信息加载到接收计算机。接着如框314所指示,接收计算机进入安全操作模式。这可通过若干程序中的任一者来完成,例如下文参考图4所描述,或通过产生系统管理中断(SMI)或通过标题为“用于评估计算机系统软件的完整性的方法和设备”的第5,421,006号美国专利中描述的那些来完成。仍参看图3,在接收计算机已进入安全模式之后,从flash信息计算哈希值,如框316所指示。接着,如框318所指示,对在信息从发送计算机传送之前已加密在flash信息中的哈希值进行解密,并将其与所计算的哈希值进行比较(框320)。如果所计算的哈希值与经解码的哈希值不匹配,那么遵循“否”分支,其中确定flash信息的状态为“不良”或无效(框322)。如果所计算的哈希值与经解密的哈希值匹配,那么遵循“是”分支到框324,其中接着将flash信息的文件复制到系统分区。接着,如框326所指示,当确认某flash是所需的,将会设置一标示,例如通过设置NVRAM中的位来标示flash、或通过设置系统分区或引导指令中的位来标示flash。接着,如框328所指示,确定flash信息有效、可被用于闪存BIOS。还通过检查发送计算机的检验以获得授权来能够将flash信息发送到接收计算机,也已在框312的步骤中实现了良好结果。如果发送计算机未经验证,那么程序终止。检验发送计算机的一种方法利用用于对代码信息进行数字签字的方法。在发送信息之前,发送者产生与将传输的经译码信息(例如检查和)相关联的信息完整性代码(“IIC”)。接着使用加密方案,例如公钥/私钥加密,来加密IIC。接着,将经加密的IIC附加到经译码的信息,并将其传输到接收器。接收器产生与经译码信息相关联的第二IIC。接着,通过接收器来解密接收到的呈加密形式的IIC。接着将所产生的第二IIC与经解密的IIC进行比较。如果两者匹配,那么检验成功。
可见,对比文件5也未公开上述区别特征,也没有给出应用上述区别特征的任何启示。
对比文件6公开了一种防止电子存储器被窜改的系统,并具体公开了以下内容(参见对比文件6的说明书第9页第2段、第13页最后1段和第14页倒数第2段和权利要求11):根据本发明的一个实施例,用于图4所示系统的电话通电和存储器有效性确认的处理方法示于图5中。在蜂窝电话被接通电源后,在IROM403中的启动代码404被微处理器402执行以初始化控制器(方框500)。然后,在IROM403中包含的散列代码405被运行,以在快速程序存储器的选定内容和存储在EEPROM410中的ESN值414上完成审查散列值计算(方框502)。然后控制器认证存储在EEPROM410中的签字的有效散列值对418(方框504)。这可能涉及通过把签字的有效散列值以公共密钥406进行处理然后将结果与未签字散列值比较来认证签字的有效散列值。然后,被认证的散列值被存储在PSRAM407中(方框506)。然后把在方框502提取的审查散列值和在方框504提取的被认证散列值进行比较(方框508)。如果这两个散列值匹配,则一个微处理器程序计数器被设置到快速存储器420中的一个适当位置,并启动一个周期性的散列值计算过程(方框510),其后蜂窝电话开始正常操作(方框512)。如果在方框508处散列值不匹配,则该系统被置于无限循环(方框514),或者被关掉。前述过程防止一个克隆者在闪频存储器中替换一个被修改的程序或者在EEPROM410中替换一个被修改的ESM,因为这样做会造成散列值不匹配,从而使电话变成不可操作。在本发明的实施例中,散列值计算和数字签名是使用单向散列函数和私人/公共密钥认证方案来完成的。使用单向散列函数来导出代表该蜂窝电话内存储器内容的散列值。公共/私人密钥系统被用于为存储于EEPROM中的有效散列值提供安全性,并认证试图操纵蜂窝电话中存储器的数据传送装置或编程器。单向散列计算对于精通专门技术的人们是公知的,它在例如授予Moore的美国专利5,343,527号中被描述。MD5算法的适用性还因为它能在增量基础上完成,允许散列过程中断,从而在散列计算恢复之前常规的微处理器任务能被处理。此外,MD5算法能很好地适用于传统的微处理器结构。根据本发明的实施例能被使用的其他单向散列算法包括但不限于:Snerfu、H-散列、MD2、MD4、安全散列算法(SHA)、以及HAVAL。精通本门技术的人能容易地对微处理器编程来实现单向散列处理过程。权利要求11:根据权利要求1的装置,这里完成的散列计算是从一组散列函数中选出的,这组散列函数包括:Snerfu,H-散列,MD2,MD4,MD5,安全散列算法(SHA)以及HAVAL。
可见,对比文件6也未公开上述区别特征,也没有给出应用上述区别特征的任何启示。
对比文件7公开了一种简单使用的单向HASH函数,并具体公开了以下内容(参见对比文件7的引言、第21页最后1段至第22页第2段):单向HASH函数是现代密码学的一个重要领域。它是数据完整性检测、数字签名方案和认证方案中必不可少的实用部分;SHA-1是美国国家标准与技术研究所NIST于1995年领发的一个单向HASH算法,作为以安全或保密为目的的单向HASH函数的建议标准。
可见,对比文件7也未公开上述区别特征,也没有给出应用上述区别特征的任何启示。
对比文件8公开了(参见对比文件8的说明书摘要、第9栏第1段):在执行任何字节码程序之前,解释器执行字节码程序认证程序,该认证程序通过以下认证指定程序的完整性:通过识别会为字节码处理错误类型的数据的任何字节码指令以及会导致操作数堆栈的下溢或溢出的指定程序中的任何字节码指令序列。如果程序认证程序发现任何违反预定义堆栈使用和数据类型使用限制的指令,则防止解释程序执行程序。另外,设置程序的第一指令的“改变”位,并且将称为VerificationSuccess的标志设置为True(364)。如果认证过程结束时仍然将VerificationSuccess标志设置为True(368),则表明己经认证了方法的完整性。如果在认证过程完成时将VerificationSuccess标志设置为False,则尚未认证方法的完整性,因此显示或打印错误消息,并且认证过程以中止返回码退出(354)。
可见,对比文件8也未公开上述区别特征,也没有给出应用上述区别特征的任何启示。
另外,请求人也未提供证据证明上述区别特征属于本领域公知常识,并且,上述区别还给权利要求1带来了提高软件安全性的效果,因此请求人认为本专利权利要求1相对于对比文件1和公知常识的结合、相对于对比文件1和对比文件3的结合、相对于对比文件1和对比文件5的结合、相对于对比文件1、对比文件5、6、7、8之一和公知常识的结合、相对于对比文件1、对比文件3或5、对比文件5、6、7、8之一和公知常识的结合不具备创造性的理由不成立。
3.3、关于权利要求9
权利要求9请求保护一种用来执行计算设备的配置管理的装置。对比文件1-3、5-8的公开内容如前所述。
将权利要求9与对比文件1比较,至少存在区别:如果所述常驻软件未经认证则把所述可用软件加载到所述计算设备内;以及如果所述可用软件经过认证则设置认证标志。根据上述区别在可以确定本专利权利要求9实际解决的问题是:提高软件的安全性。
根据对比文件3、5-8的公开内容可知,对比文件3、5-8未公开上述区别特征,也没有给出应用上述区别特征的任何启示。另外,请求人也未提供证据证明上述区别特征属于本领域公知常识,并且,上述区别还给权利要求9带来了提高软件安全性的效果,因此请求人认为本专利权利要求9相对于对比文件1和公知常识的结合、相对于对比文件1和对比文件3的结合、相对于对比文件1和对比文件5的结合、相对于对比文件1、对比文件5、6、7、8之一和公知常识的结合、相对于对比文件1、对比文件3或5、对比文件5、6、7、8之一和公知常识的结合不具备创造性的理由不成立。
对比文件4公开了一种用于评估计算机系统软件完整性的方法和设备,并具体公开了以下内容(参见对比文件4的说明书第7栏倒数第3段、第11栏、第12栏倒数第3段、第13栏第4-6段、第15栏第3段至第17栏倒数第2段、第18栏倒数第4段,说明书摘要,图1、2、5、9-10):本发明的一个目的在于,在系统初始化过程中评估受信任软件的完整性,并防止不正确的程序执行。一种用于可靠地评估计算机系统的软件的完整性的方法和装置,其防止在系统初始化时执行损坏的程序,增强了系统安全性。现在我们将描述图1中所示的硬件锁存机制。在此实施方案中,包含地址解码器22和24、触发器26、与门28、30和32以及非易失性存储器34的大多数组件位于附加卡11上。此卡上的非易失性存储器包含前面讨论的图3所示的数据。CPU36位于PC的主板上,且插入卡插入主板上的插槽中并连接到系统复位线10、地址总线12、数据总线14、存储器写入线16、存储器读取线18和I/O控制线20。为了简化对硬件的理解,在整个讨论中,假定所有信号都是高度活跃的。此外,这里描述的总线信号的操作可能与IBM兼容PC中的总线信号稍有不同。如果将此实现的机器具有与此处所述不同的总线结构,则需要额外的硬件将总线信号转换为此处描述的形式,或者可以适当修改设计。在此描述中,CPU通过驱动地址总线12、置位(assert)存储器读取线16并从数据总线14读取数据来执行存储器读取操作。类似地,存储器写入操作驱动地址总线12,在数据总线14上放置数据值,并置位存储器写入线18。在OUT指令期间,CPU将I/O地址放置在地址总线12上,将数据放置在数据总线14上,并使I/O控制线20置位。除非另有特别说明,否则假设每一线都被取消置位。RAM13和ROM15连接到地址总线12和数据总线14以允许CPU36访问。类似地,用于存储程序的硬盘驱动器17以及与软盘一起使用的软盘驱动器19连接到地址总线12和数据总线14以允许CPU36访问。此实施方案的另一个变化形式强化了网络上无盘PC工作站的安全性。在这些机器中,BIOS启动程序大致相同,不同之处在于它初始化网络装置,并通过网络加载引导记录和所有后续程序,而不是从本地磁盘加载。虽然存储引导文件的网络服务器通常具有一些保护性安全特征,但正如背景讨论中提到的那样,存在几个漏洞点。首先我们将参考图5对PC启动顺序进行简要介绍。启动过程涉及的典型程序是BIOS70、引导记录程序72和DOS74。可能有几个文件一起构成DOS,具体取决于使用的DOS版本。例如,在微软DOS版本5.0中,文件MSDOS.SYS、IO.SYS和COMMAND.COM都包含操作系统的各个部分。为了简单起见,在本讨论中,我们认为DOS是一个单一的程序。BIOS存在于只读存储器中,且是CPU启动时运行的第一个程序。它执行一些初始系统检查,然后它将引导记录程序从磁盘加载到主存储器中,并运行引导记录程序80。引导记录程序稍后加载并运行DOS,DOS继而加载和运行应用程序。我们将结合附图3中的数值详细说明附图2中的增强型BIOS启动过程,我们假设BIOS启动程序已经加载了一个引导记录程序到存储器中。因为兼容的值为FALSE110,所以我们的验证过程在测试50失败时开始。继续到步骤52,为引导记录计算修改检测代码,并将其存储在临时变量“bootCode”(图中未示出)中。我们在这里假定加载的引导记录是准备在“用户”模式下使用的正确引导记录,并且其值被计算为A6339DE4DBE72231。因为configEnabled为TRUE113,所以测试54成功。测试56失败, 因为在这种情况下, 用户模式bootCode值与存储在confiCode114中的值不匹配。(测试54和56的原因将在下面解释。)由于userEnabled为TRUElll,所以测试58成功,并且测试60成功,因为所计算的修改检测代码值与userCode112中的期望值相匹配,表明引导记录的完整性是完整的。此时,在步骤62中,我们的增强型BIOS关闭写保护锁存器。再参照图5,我们看到系统软件的组件分为两类,受信任和未受信任软件。线98是在受信任和未受信任程序之间绘制的一个想象的边界,其中线上方的所有内容都是受信任的,并且线下方的所有内容都未受信任。这里包括受信任软件的四个程序是BIOS70、引导记录72、DOS74和登录程序,在此显示为受信任应用程序76。图5还示出了安全存储器与“易受攻击”存储器之间的分界,其中易受攻击的存储器受到上述背景讨论中概述的威胁。线96上方是唯一永久无懈可击的存储器,它驻留在系统只读存储器芯片中。框94围绕本发明提供的可保护存储器绘制。此存储器在系统启动时最初是易受攻击的存储器,但是在运行任何未受信任软件之前就会发生保护锁存器关闭的情况下,所述存储器就会变得无懈可击。线96下方的剩余存储器被认为是易受攻击的。当系统启动时,如先前实施方案中所述,BIOS启动程序加载、验证并且运行引导记录程序80。这将是新的增强的引导记录,其具有在运行DOS之前对其进行验证的代码。此新的验证过程与前述描述的BIOS验证过程相同,不同之处在于,DOS的预先计算的基准码被存储在步骤90中所示的引导记录自己的保留位置,而不是存储在受保护的非易失性存储器中。在DOS加载后,引导记录计算DOS的修改识别码,并且与存储的值进行比较,以验证所述DOS然后再运行所述DOS。如果检测到所述DOS被破坏,则打印输出警告信息,并且使机器暂停运行,然后必须调用执行恢复过程。图9图示了在引导记录程序执行之后的过程的流程。可以看出,它在加载、验证和执行DOS时的操作与BIOS类似,后者的过程与加载、验证和执行应用程序时的操作类似。如果需要,则此过程可以以连续方式继续。图10图示了对于此替代方案执行引导记录程序之后的过程的流程。请注意,DOS加载、验证和执行这两个应用程序。具有兼容配置的PC最初是从供应商处而来的。此机器作为普通的PC操作而没有本发明的益处,即引导记录完整性评估被停用。参考可保护存储器数据的设置如图4的“兼容配置”所示,并遵循图2中的流程图,我们看到在BIOS加载引导记录后,测试50将成功,因为兼容为TRUE120。其余的配置变量121、122、123和124被忽略。然后,引导记录程序在步骤64中运行,其中写保护锁存器保持打开,如同系统复位时一样。系统因此处于配置模式,且现在任何程序都能够修改非易失性存储器,并将机器重新配置为更安全的状态。为了将兼容配置更改为“安全”配置,应在初始系统安装后尽快采取以下步骤,即系统软件仍被认为值得信赖。在这种方法中,引入了“验证代码层次”的概念,以显示如何验证受信任软件的层次。系统首先运行受信任的启动程序。此程序会验证并接着调用另一个受信任的程序,依此类推,直到运行未受信任的软件组件。在这个用于PC的实施方案中,一旦未受信任程序运行,整个系统就被称为处于未受信任模式。因此,必须注意识别受信任系统软件的所有组件以及它们彼此的关系。为了提供受信任路径特征,重要的是在登录程序运行之前不允许未受信任的软件运行。
可见,对比文件4可防止在系统初始化时执行损坏的程序,增强了系统安全性,在所有的启动程序中,包括系统的受信任软件的程序和数据在使用之前要进行验证。
将权利要求9与对比文件4比较,至少存在区别:如果所述常驻软件未经认证则把所述可用软件加载到所述计算设备内;以及如果所述可用软件经过认证则设置认证标志。根据上述区别在可以确定本专利权利要求9实际解决的问题是:提高软件的安全性。
根据对比文件1-3、5-8的公开内容可知,对比文件1-3、5-8未公开上述区别特征,也没有给出应用上述区别特征的任何启示。另外,请求人也未提供证据证明上述区别特征属于本领域公知常识,并且,上述区别还给权利要求9带来了提高软件安全性的效果,因此请求人认为本专利权利要求9相对于对比文件4、对比文件1-3之一和公知常识的结合、相对于对比文件4、对比文件1、2之一和对比文件5的结合、相对于对比文件4、对比文件1、2、3之一、对比文件5、6、7、8之一和公知常识的结合、相对于对比文件4、对比文件1、2之一、对比文件5和对比文件6、7、8之一的结合不具备创造性的理由不成立。
3.4、关于权利要求17
权利要求17请求保护一种用于计算设备的配置管理的装置。对比文件1-8的公开内容如前所述。
将权利要求17与对比文件1比较,至少存在区别:如果所述常驻软件未经认证则把所述可用软件加载到所述存储设备中的装置;以及如果所述可用软件经过认证则设置认证标志的装置。根据上述区别在可以确定本专利权利要求17实际解决的问题是:提高软件的安全性。
根据对比文件3、5-8的公开内容可知,对比文件3、5-8未公开上述区别特征,也没有给出应用上述区别特征的任何启示。另外,请求人也未提供证据证明上述区别特征属于本领域公知常识,并且,上述区别还给权利要求17带来了提高软件安全性的效果,因此请求人认为本专利权利要求17相对于对比文件1和公知常识的结合、相对于对比文件1和对比文件3的结合、相对于对比文件1和对比文件5的结合、相对于对比文件1、对比文件5、6、7、8之一和公知常识的结合、相对于对比文件1、对比文件3或5、对比文件5、6、7、8之一和公知常识的结合不具备创造性的理由不成立。
将权利要求17与对比文件4比较,至少存在区别:如果所述常驻软件未经认证则把所述可用软件加载到所述存储设备中的装置;以及如果所述可用软件经过认证则设置认证标志的装置。根据上述区别在可以确定本专利权利要求17实际解决的问题是:提高软件的安全性。
根据对比文件1-3、5-8的公开内容可知,对比文件1-3、5-8未公开上述区别特征,也没有给出应用上述区别特征的任何启示。另外,请求人也未提供证据证明上述区别特征属于本领域公知常识,并且,上述区别还给权利要求9带来了提高软件安全性的效果,因此请求人认为本专利权利要求17相对于对比文件4、对比文件1-3之一和公知常识的结合、相对于对比文件4、对比文件1、2之一和对比文件5的结合、相对于对比文件4、对比文件1、2、3之一、对比文件5、6、7、8之一和公知常识的结合、相对于对比文件4、对比文件1、2之一、对比文件5和对比文件6、7、8之一的结合不具备创造性的理由不成立。
综上所述,请求人认为本专利权利要求2-8、10-16、18不具备新颖性或创造性的理由成立,认为权利要求1、9、17不具备创造性的理由不成立,合议组依法作出如下决定。
三、决定
宣告01817947.9专利权利要求2-8、10-16、18无效,在权利要求1、9、17的基础上维持专利权有效。
当事人对本决定不服的,可以根据专利法第46条第2款的规定,自收到本决定之日起三个月内向北京知识产权法院起诉。根据该款的规定,一方当事人起诉后,另一方当事人作为第三人参加诉讼。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
