TWI454935B

TWI454935B - 自非本端儲存器安全地啟動及組態一子系統

Info

Publication number: TWI454935B
Application number: TW100113410A
Authority: TW
Inventors: Aon Mujtaba; Haining Zhang; Arjuna Sivasithambaresan; Alex Ho; Arun Mathias; Stephen Schell; Jonathan Andrews; Jason Gosnell; Atley Dallas B De; Jerry Hauck
Original assignee: Apple Inc
Priority date: 2010-04-19
Filing date: 2011-04-18
Publication date: 2014-10-01
Also published as: TW201214145A; CA2795180C; KR20130027498A; JP2013531284A; EP2378454A3; JP5576983B2; WO2011133401A1; CA2795180A1; KR101434080B1; EP2378454A2; AU2011243007A1; CN102859963B; RU2012146367A; US20110258426A1; US8589667B2; CN102859963A; RU2542930C2; AU2011243007B2

Description

自非本端儲存器安全地啟動及組態一子系統

本發明之實施例大體係關於資料處理系統之領域，且更特定言之係關於用於自非本端儲存器安全地啟動及組態一子系統的方法。

本申請案主張2010年4月19日申請之題為「自非本端儲存器啟動及組態一子系統(Booting and Configuring a Subsystem from Non-Local Storage)」之美國臨時專利申請案第61/325,777號的權利，該案之全文以引用的方式併入。

最近，諸如智慧型電話器件之多功能器件正變得風行。通常，多功能器件包括具有不同功能性之多個處理器。舉例而言，智慧型電話器件包括通用處理器及無線通信處理器。此等處理器中之每一者通常包括與其相關聯之非揮發性記憶體，該非揮發性記憶體用於儲存與各別處理器相關聯之任何資訊或資料(包括初始化碼影像等等)。然而，此非揮發性記憶體可招致額外成本且使器件具有較大的大小。

根據一態樣，具有一無線通信處理器(例如，蜂巢式處理器)及一應用程式處理器(例如，諸如一CPU之通用處理器)之一多功能計算器件共用一儲存器件，該儲存器件與該應用程式處理器相關聯或附接至該應用程式處理器。此多功能計算器件之一實例可為具有一蜂巢式電話及手持型電腦功能性之一智慧型電話器件。不存在直接與該無線通信處理器(下文中簡稱為一無線處理器)相關聯或附接至該無線處理器之特定儲存器件。實情為，該無線處理器經由一高速通信鏈路(諸如，一通用串列匯流排-高速晶片間(USB-HSIC)鏈路)與該應用程式處理器通信，以存取儲存於與該應用程式處理器相關聯之該儲存器件(例如，快閃記憶體器件)中的程式碼及資料。

根據另一態樣，回應於一啟動命令，自一無線通信處理器之一安全唯讀記憶體(ROM)執行一ROM啟動載入器，其中該ROM啟動載入器初始化與攜帶型器件之無線通信處理器相關聯的硬體。該ROM啟動載入器經由一內部匯流排建立與該攜帶型器件之一應用程式處理器之一通信鏈路，該內部匯流排耦接該無線通信處理器與該應用程式處理器。該ROM啟動載入器經由該通信鏈路自一非揮發性儲存器件提取一啟動碼影像，其中經由一第一作業系統(OS)與該應用程式處理器相關聯且藉由該應用程式處理器存取該非揮發性儲存器件，在與該應用程式處理器相關聯之一第一隨機存取記憶體(RAM)內執行該第一OS。該ROM啟動載入器鑑認該啟動碼影像，且在已成功地鑑認該啟動碼影像後，該ROM啟動載入器即將該啟動碼影像投入至與該無線通信處理器相關聯之一第二RAM中以建立用於該無線通信處理器的一第二OS。結果，藉由經由通過該內部匯流排之該通信鏈路存取與該應用程式處理器相關聯之該非揮發性儲存器件，該無線通信處理器無需維持一單獨的非揮發性儲存器件。

根據另一態樣，回應於用以更新用於一攜帶型器件之一軟體組件的一命令，產生一工作階段密鑰。使用自唯一地識別該攜帶型器件之一唯一識別碼(UID)所導出之一儲存密鑰來加密該工作階段密鑰。產生一修復二進位大型物件(recovery blob)，在該修復二進位大型物件中內嵌有藉由該儲存密鑰所加密之該工作階段密鑰。另外，亦使用一公開/私密密鑰對中之一公開密鑰來加密該工作階段密鑰。其後，將該修復二進位大型物件及藉由該公開密鑰所加密之該工作階段密鑰發送至一授權伺服器，其中該授權伺服器經組態以藉由使用該公開/私密密鑰對中之一私密密鑰來解密該工作階段密鑰而修復該工作階段密鑰。隨後，回應於該軟體組件及自一佈建伺服器(provisioning server)所下載之該修復二進位大型物件，藉由使用該儲存密鑰來解密該修復二進位大型物件而自該修復二進位大型物件修復該工作階段密鑰，其中該軟體組件係藉由該工作階段密鑰予以加密，該工作階段密鑰係由該佈建伺服器自該授權伺服器接收。其後，藉由使用自該修復二進位大型物件所修復之該工作階段密鑰來解密經加密之軟體組件而修復該軟體組件，其中該軟體組件待安裝於該攜帶型器件中。

本發明之其他特徵將自隨附圖式且自下文之實施方式顯而易見。

本發明之實施例係藉由實例來說明且不限於隨附圖式之圖中，在隨附圖式中相似參考數字指示類似元件。

將參考下文所論述之細節描述本發明之各種實施例及態樣，且隨附圖式將說明各種實施例。以下描述及圖式說明本發明且並不解釋為限制本發明。描述眾多特定細節以提供對本發明之各種實施例的透徹理解。然而，在某些情況下，不描述熟知或習知細節，以便提供本發明之實施例的簡略論述。

在本說明書中提及「一實施例」意謂結合該實施例所描述之特定特徵、結構或特性可包括於本發明之至少一實施例中。短語「在一實施例中」在本說明書中之各處的出現未必均指代同一實施例。

根據一些實施例，具有無線通信處理器(例如，蜂巢式處理器)及應用程式處理器(例如，諸如中央處理單元或CPU之通用處理器)之多功能計算器件共用儲存器件(例如，非揮發性儲存器件)，該儲存器件與該應用程式處理器相關聯或附接至該應用程式處理器。此多功能計算器件之一實例可為具有蜂巢式電話及手持型電腦功能性之智慧型電話器件。不存在直接與該無線通信處理器(下文中簡稱為無線處理器)相關聯或附接至該無線處理器之特定儲存器件。實情為，該無線處理器經由高速通信鏈路(諸如，通用串列匯流排-高速晶片間(USB-HSIC)鏈路)與該應用程式處理器通信，以存取儲存於與該應用程式處理器相關聯之該儲存器件(例如，快閃記憶體器件)中的可執行程式碼及資料。

在一實施例中，當無線處理器啟動時，該無線處理器經由該通信鏈路自應用程式處理器之儲存器件安全地提取無線碼影像(例如，可執行碼影像)；鑑認啟動碼；且在與該無線處理器相關聯之隨機存取記憶體(RAM)中執行啟動碼，以便建立用於無線處理器之操作環境。該無線碼影像可包括多個區段，且該等區段中之每一者可由憑證鏈簽署。根憑證可儲存於該無線通信處理器之安全唯讀記憶體(ROM)中，該根憑證可用以鑑認自該共用之儲存器件所擷取的第一總程式碼區段。

該碼影像之多個區段可組態為區段序列。該程式碼序列之當前區段可使用該憑證鏈鑑認該程式碼序列之下一區段。舉例而言，程式碼之區段可包括低層級啟動碼、中層級啟動碼，及高層級啟動碼。可最初藉由根憑證來鑑認低層級啟動碼。一旦已鑑認或驗證低層級啟動碼，即可起動或執行該低層級啟動碼。一旦執行低層級啟動，該低層級啟動碼即可(提取且)鑑認中層級啟動碼，該中層級啟動碼又在已由該低層級啟動碼成功地鑑認且載入後即可(提取且)鑑認高層級啟動碼，等等。若存在不能成功地鑑認且執行之軟體組件之任何區段，則可迫使器件進入修復模式(例如，器件韌體更新或DFU模式)，在修復模式中可經由網路自受信任的伺服器下載軟體之新版本。

另外，可藉由自唯一地識別無線通信處理器之唯一識別碼(UID)所導出之密鑰來加密碼影像及/或資料。亦即，可藉由使用自UID所導出之該密鑰來加密碼影像及/或資料而個人化碼影像及/或資料。該UID亦可儲存於無線通信處理器之安全ROM中。或者，可於與無線通信處理器相關聯之硬體上硬線化(例如，經由燒斷的熔絲)該UID。結果，每一軟體組件在被執行之前被鑑認且驗證以保證軟體組件未洩露。

在正常操作期間，無論何時無線處理器需要讀取或儲存資料，由於不存在與無線處理器相關聯之直接儲存器，故無線處理器可經由多功能計算器件內之通信鏈路存取應用程式處理器之儲存器件，此類似於遠端檔案系統，但在器件層級上而非經由網路。結果，可移除特定地與無線處理器相關聯或附接至無線處理器之習知儲存器件。可減小成本及/或器件之實體大小。

另外，根據一實施例，與無線處理器相關聯之特定資料(諸如，無線網路ID)(例如，國際設備身分識別(IMEI)或行動設備識別碼(MEID))及射頻(RF)校準資料亦儲存於應用程式之儲存器件中。結果，RF校準資料可在器件已自製造商發行之後容易地更新，而無需使器件返回至製造商以用於更新相同資料。器件之組態及操作可更靈活。

圖1為說明根據本發明之一實施例之多功能計算器件的方塊圖。舉例而言，器件100可表示智慧型電話，諸如來自Apple Inc.(Cupertino,California)之iPhone^TM 。或者，器件100可表示平板PC，諸如來自Apple Inc.之iPad^TM 。參看圖1，在一實施例中，器件100包括無線通信處理器101及應用程式處理器102，無線通信處理器101與應用程式處理器102經由內部匯流排120彼此以通信方式耦接。無線通信處理器101可為任何種類之無線處理器，諸如蜂巢式處理器、Wi-Fi處理器、藍芽(Bluetooth)處理器等等。應用程式處理器102可為任何種類之通用處理器。

另外，器件100進一步包括與無線通信處理器101相關聯之隨機存取記憶體(RAM)103及與應用程式處理器102相關聯之RAM 104。RAM 103由無線通信處理器101利用以執行與無線通信處理器101相關聯之任何軟體組件，包括啟動碼、作業系統(OS)及其他執行階段應用程式及/或資料等等。類似地，RAM 104由應用程式處理器102利用以執行與應用程式處理器102相關聯之任何軟體組件，包括應用程式處理器102之OS 115及檔案系統(FS)116，以及其他應用程式及/或資料。

此外，器件100進一步包括與應用程式處理器102相關聯或附接至應用程式處理器102的非揮發性儲存器件105。舉例而言，儲存器件105可為快閃記憶體器件，諸如NOR或NAND快閃記憶體器件。或者，儲存器件105可為大容量儲存器件，諸如硬碟。在一實施例中，不同於習知多功能器件，無線通信處理器101不具有與其相關聯之專用非揮發性儲存器件。在其他實施例中，無線處理器可具有與其相關聯之極小量之非揮發性儲存器(諸如，安全ROM 112)，(例如)以啟動安裝(bootstrap)安全啟動程序。在此等實施例中，然而，小量之非揮發性儲存器不具有足夠容量來儲存啟動影像或者其他軟體或資料，例如，無線處理器之組態/校準程式及資料。實情為，與無線通信處理器101相關聯之任何程式碼或資料可儲存於儲存器件105中。在一實施例中，無線通信處理器101可經由通過內部匯流排120之通信鏈路存取儲存器件105中與無線通信處理器101相關聯的內容。在一實施例中，內部匯流排120可為USB-HSIC相容匯流排，其中無線通信處理器101可使用高速通信協定(諸如，串流傳輸非成框通信協定)存取儲存於儲存器件105中之相關聯內容。或者，內部匯流排120可為USB高速(USB-HS)相容匯流排、USB全速(USB-FS)相容匯流排及通用非同步接收器/傳輸器串列周邊介面(UART SPI)相容匯流排中之一者。

在一實施例中，儘管並非要求的，但儲存器件105可包括用於無線通信處理器101及應用程式處理器102之單獨分割區。在此實例中，分割區106經組態以儲存與無線通信處理器101相關聯之碼影像108及資料110。分割區107經組態以儲存與應用程式處理器102相關聯之碼影像109及資料111。結果，可移除與無線處理器相關聯之專用非揮發性儲存器件。實情為，無線通信處理器101可經由通過內部匯流排120之應用程式處理器102及/或其相關聯之OS 115及檔案系統(FS)116存取無線通信處理器101之相關聯的分割區106。在此實施例中，無線通信處理器101可能不能夠直接存取儲存器件105。實情為，無線通信處理器101必須經由通過內部匯流排120之通信鏈路穿過應用程式處理器 102、OS 115及/或FS 116。

在圖2中展示與無線通信處理器101相關聯之儲存器分割區106的實例。參看圖2，分割區106可用以儲存無線處理器碼影像201、檔案系統檔案205之一或多個複本，及其他執行階段資料(諸如，日誌資料206)。無線碼影像201可藉由圖1之唯讀記憶體啟動載入器(ROM BL)117鑑認且載入。另外，分割區106可包括安全或受保護區域210以儲存任何無線關鍵資料，諸如與無線處理器相關聯之無線網路ID(例如，IMEI或MEID)及RF校準資料212等等。無線網路ID 211及RF校準資料212可甚至在資料201至206中之一些或全部可被抹除的修復程序期間仍保留在受保護區域210中。

參看圖1，根據一實施例，無線通信處理器101包括安全唯讀記憶體(ROM)112，在安全ROM 112中儲存有ROM BL117、憑證118及選用之公開密鑰119。無線通信處理器101進一步包括內部或晶載RAM 113及儲存密鑰114。可基於唯一地識別無線通信處理器101之唯一ID(UID)來產生儲存密鑰114。可在無線通信處理器101之製造期間在硬體(例如，燒斷之熔絲)中硬線化儲存密鑰114及/或UID(圖中未繪示)。儲存密鑰114可用以加密由無線通信處理器101所產生之任何內容，諸如執行階段資料(例如，日誌資料，由無線通信處理器101所接收之訊息等等)。憑證118可用以檢查或認證已由恰當憑證簽署之某一資料。舉例而言，憑證118可為憑證鏈(例如，X.509相容憑證鏈)之根憑證。公開密鑰119為預定公開/私密密鑰對之公開密鑰，其中對應之私密密鑰由將資料提供至無線通信處理器101的恰當授權或佈建實體維持。

根據一實施例，參看圖1及圖2，當無線通信處理器101接收針對啟動之命令時，自安全ROM 112執行ROM BL 117。ROM BL 117經組態以初始化無線通信處理器101之某些硬體組件，包括內部RAM 113及經內部匯流排120之通信鏈路或頻道。一旦已初始化內部RAM 113及通信鏈路，ROM BL 117即經由該通信鏈路自儲存器件105之分割區106提取無線處理器碼影像201。將無線處理器碼影像201載入至內部RAM 113及/或外部RAM 103中。

應注意，遍及本申請案，無線通信通信處理器101可一般在本文中被稱作晶片組、積體電路(IC)或特定應用IC(ASIC)，其可包括一或多個實際處理器、處理器核心、執行單元或功能單元。根據一些實施例，本文中所描述之晶片組或IC包括安全ROM 112、內部RAM 113及/或諸如儲存密鑰114之其他組件，等等。

另外，ROM BL 117經組態以鑑認無線處理器碼影像201。在一實施例中，無線處理器碼影像201由憑證簽署。ROM BL 117經組態以使用憑證118鑑認無線處理器碼影像201。若不能成功地鑑認無線處理器碼影像201，則可迫使至少無線通信處理器101進入DFU模式，在DFU模式中可自受信任的伺服器佈建且下載新資料。一旦已成功地鑑認無線處理器碼影像201，即藉由ROM BL 117在RAM 113及/ 或RAM 103內起動無線處理器碼影像201以建立用於無線通信處理器101之操作環境(例如，OS及/或檔案系統)。

無線碼影像201可包括多個區段，且該等區段中之每一者可由憑證鏈中之一憑證簽署。憑證118可用以鑑認自共用之儲存器件所擷取之第一總程式碼區段。在一實施例中，該碼影像之多個區段可組態為區段序列。程式碼序列之當前區段可使用憑證鏈鑑認該程式碼序列之下一區段。舉例而言，程式碼之區段可包括低層級啟動碼、中層級啟動碼，及高層級啟動碼。可首先藉由根憑證來鑑認低層級啟動碼。一旦已鑑認或驗證低層級啟動碼，即可起動或執行該低層級啟動碼。一旦執行低層級啟動，該低層級啟動碼即可(提取且)鑑認中層級啟動碼，該中層級啟動碼又在已由該低層級啟動碼成功地鑑認且載入後即可(提取且)鑑認高層級啟動碼，等等。若存在不能成功地鑑認且執行之軟體組件之任何區段，則可迫使器件進入DFU模式，在DFU模式中可自受信任的伺服器下載軟體之新版本。

在一實施例中，內部RAM 113具有小於外部RAM 103之儲存器大小的儲存器大小。在一特定實施例中，在初始化期間，ROM啟動載入器117自儲存器件105提取第一程式碼區段(例如，第一總程式碼區段)，鑑認第一程式碼區段(例如，使用憑證118)，且在內部RAM 113內起動第一程式碼區段。第一程式碼區段在被成功地鑑認且自內部RAM 113執行時，提取第二程式碼區段(例如，程式碼區段序列中之下一程式碼區段)，鑑認第二程式碼區段(例如，使用與憑證118相關聯之憑證鏈)，且在外部RAM 103中起動第二程式碼區段。

另外，根據一實施例，可藉由自唯一地識別無線通信處理器之UID所導出之密鑰來加密碼影像及/或資料。亦即，可藉由使用自UID所導出之密鑰來加密碼影像及/或資料而個人化碼影像及/或資料。結果，可僅允許針對器件特定地設計或佈建之軟體組件安裝於該器件上。該UID亦可儲存於無線通信處理器之安全ROM中。或者，可於與無線通信處理器相關聯之硬體上硬線化(例如，經由燒斷的熔絲)該UID。結果，每一軟體組件在被執行之前被鑑認且修復以保證軟體組件未洩露。

可在2007年1月7日申請之題為「安全啟動計算器件(Secure Booting A Computing Device)」的同在申請中之美國專利申請案第11/620,689號中找到關於鑑認且啟動軟體組件以便建立用於處理器之操作環境的其他詳細資訊，該申請案之全文以引用的方式併入本文中。

另外，碼影像及/或資料中之一些可根據預定格式封裝且可經由共同安全性模型鑑認。舉例而言，碼影像及/或資料中之一些可類似於影像3格式(Image3 format)封裝。在此實施中，將待安裝且載入於系統中之軟體組件中之每一者實施或封裝為具有預定格式的物件，使得單一安全性處理引擎(例如，程式碼建置器及/或程式碼載入器)可用以作為一機制來建置且驗證該等物件中的每一者，以在執行內嵌於各別物件內之可執行程式碼之前判定每一軟體組件是否為受信任的且與系統之某些限制或準則相容的。可藉由自器件之UID所導出之密鑰來加密(例如，已舔過(licked)因而被個人化)每一物件的至少一部分(諸如，物件之有效負載)，其中僅目標器件可解密該物件。

可在2008年4月15日申請之題為「啟動計算器件之單一安全性模型(Single Security Model in Booting a Computing Device)」的同在申請中之美國專利申請案第12/103,685號中找到關於影像3格式及/或共同安全性模型的其他詳細資訊，該申請案之全文以引用的方式併入本文中。

圖3為說明根據本發明之一實施例的用於啟動無線通信處理器之方法的流程圖。舉例而言，方法300可由圖1之系統100執行。參看圖3，回應於啟動命令，在步驟301，自無線處理器之安全ROM執行ROM BL。在步驟302，ROM BL初始化無線處理器之某些硬體，包括內部RAM及外部RAM。在步驟303，ROM BL建立與應用程式處理器之通信頻道(例如，USB-HSIC、USB-HS、USB-FS或UART SPI)。在一實施例中，假設在啟動無線處理器時，應用程式處理器已啟動且執行。在步驟304，ROM BL經由通過內部匯流排之通信鏈路自與應用程式處理器相關聯之儲存器件提取、鑑認且起動無線處理器碼影像，以建立用於無線處理器之操作環境。在一實施例中，該無線處理器碼影像可組態或分割成程式碼區段序列。可依序提取、鑑認且載入程式碼區段中之每一者。該序列中之前一程式碼區段可提取、鑑認且起動該序列之下一程式碼區段。若存在區段中之未能鑑認或執行的任一者，則可迫使至少無線處理器進入DFU模式。

圖4為說明根據本發明之另一實施例之多功能計算器件的方塊圖。在此實例中，器件400表示已使用上文所描述之技術中之至少一些成功地啟動的圖1之器件100。參看圖4，一旦已成功地啟動無線通信處理器101，作業系統151即啟動且執行，其中基於使用上文所描述之技術所鑑認且安裝的至少無線處理器碼影像來建立OS 151。另外，密碼編譯單元152經組態以使用儲存密鑰114加密將儲存於儲存器件105之儲存器分割區106中的任何執行階段資料。執行階段產生之資料可包括由無線處理器經由無線網路所接收之任何空中佈建資料及/或使用者特定或機密資料(例如，諸如SMS訊息之電子郵件或訊息、登入，及/或檔案系統相關檔案)等等。

由於不存在與無線通信處理器101相關聯之本端或專用非揮發性記憶體器件，故利用檔案系統(FS)驅動程式153作為檔案系統代理驅動程式或精靈協助程式。在一實施例中，關於自無線通信處理器101及/或OS 151所產生之待寫入至儲存器件105的任何資料，密碼編譯單元152經組態以使用儲存密鑰114來加密該資料且將經加密之資料傳遞至FS驅動程式153。FS驅動程式153又經由通信鏈路(例如，USB-HSIC)將該經加密之資料傳輸至位於應用程式處理器側之FS驅動程式154。FS驅動程式154調用檔案系統116之服務以將該經加密之資料儲存於儲存器件105的對應分割區106中。

類似地，當無線通信處理器101及/或OS 151需要自儲存器件105擷取資料時，無線通信處理器101及/或OS 151可將讀取命令發送至FS驅動程式153。FS驅動程式153將該讀取命令轉送至FS 154以經由FS 116自儲存器件105擷取相關聯資料(例如，經加密之資料)。一旦該經加密之資料由FS驅動程式153接收，密碼編譯單元152即經組態以使用儲存密鑰114解密該經加密之資料且將經解密之資料向上傳遞至無線通信處理器101及/或OS 151。因此，類似於遠端檔案系統中之FS驅動程式，FS驅動程式153可充當代理或代理程式。或者，FS驅動程式153可充當OS 151之虛擬檔案系統，其中OS 151可能不知道內容實際上儲存於應用程式處理器102之儲存器件105中。

應注意，在一些情形中，可僅加密關鍵或敏感資料。可不加密諸如日誌資料之其他資料。以此方式，存取共用儲存器之效率可得以改良。亦應注意，可無需維持用於無線通信處理器101及應用程式處理器102之單獨分割區。亦可實施單一分割區，只要某一關鍵或機密資料以可能不可由應用程式處理器102存取之安全方式維持即可。

如上文所描述，在習知器件中，RF校準資料由製造商產生且維持於無線處理器之本端儲存器件中。另外，為了更新RF校準資料，按照慣例，器件必須返回至製造商，製造商將在相關聯之非揮發性儲存器件中儲存新的RF校準資料。在一實施例中，由於不存在與無線處理器相關聯之本端非揮發性儲存器件，故RF校準資料儲存於應用程式處理器102之儲存器件105中。由於即使器件損毀仍必須維持RF校準資料，故RF校準資料可儲存於儲存器件之受保護或安全區域中，如圖2中所展示。

在一實施例中，RF校準資料亦可儲存於雲端網路之伺服器(例如，已授權散佈伺服器或佈建伺服器)中，且替代於使器件返回至製造商，RF校準資料可藉由自雲端網路下載新的RF校準資料來更新且儲存於與應用程式處理器102相關聯之儲存器件105中。可藉由使用無線通信處理器101之UID或儲存密鑰114加密RF校準資料來特定地佈建RF校準資料且使RF校準資料與無線通信處理器101相關聯，使得僅無線通信處理器101可藉由解密經加密之RF校準資料來修復RF校準資料。結果，RF校準資料可在器件離開製造商之後在欄位上容易地更新，與要求器件返回至製造商以用於更新RF校準資料之習知組態相比，此為更靈活的。

圖5為說明根據本發明之一實施例的用於產生RF校準資料之方法的流程圖。舉例而言，方法500可在校準站中執行。參看圖5，在步驟501，在校準站處產生用於特定無線處理器之RF校準資料。在步驟502，使該RF校準資料與唯一地識別該無線處理器之UID相關聯。舉例而言，可藉由基於無線處理器之UID所產生的密鑰來加密該RF校準資料。經加密之RF校準資料可暫時由製造商或校準站保留。隨後，在步驟503，當無線處理器耦接至應用程式處理器時，可將RF校準資料下推至應用程式處理器之儲存器件。應注意，在一些情形中，無線處理器及應用程式處理器可由不同廠商在不同時間製造。由於不存在與無線處理器相關聯之本端儲存器件，故RF校準資料可能需要由製造商保留，直至應用程式處理器及其相關聯之儲存器件可用(例如，整合)為止。視情況，在步驟504，可將經加密之RF校準資料上推於雲端網路中以用於後續下載(例如，若RF校準資料之本端複本被破壞或過時)。

圖6為說明根據本發明之一實施例的用於更新RF校準資料之方法的流程圖。舉例而言，方法600可由無線處理器執行以在器件已自製造商發行之後在欄位上更新新的RF校準資料。在步驟601，自校準站或自雲端網路下載RF校準資料，其中可藉由自無線處理器之UID所導出之密鑰來加密RF校準資料。在步驟602，將該RF校準資料儲存於應用程式處理器之儲存器件中。回應於校準命令，在步驟603，經由通信鏈路自儲存器件擷取該RF校準資料。在步驟604，無線處理器藉由使用自無線處理器之UID所導出之本端維持的密鑰(例如，圖1之儲存密鑰114)來解密該RF校準資料而鑑認該RF校準資料。在成功鑑認及/或解密後，在步驟605，即使用RF校準資料來校準無線處理器。

當自遠端設施(例如，散佈或佈建伺服器)下載諸如佈建資料或RF校準資料之新資料時，為了維持新資料之安全性，該資料必須由佈建設施來加密，使得僅恰當接收者(例如，恰當無線處理器)可解密該資料。亦即，用以加密該資料之密鑰可僅為預期接收者及佈建設施已知；否則，該資料可洩露。

圖7為說明根據本發明之一實施例之系統組態的圖式，該系統組態用於經由網路自遠端設施安全地下載待安裝於無線處理器處之資料。參看圖7，系統組態700包括經由網路704彼此以通信方式耦接之計算器件701、授權伺服器702及一或多個散佈伺服器703，網路704可為區域網路或廣域網路(例如，網際網路)。計算器件701可表示圖1之計算器件100。授權伺服器702可與設計或製造計算器件701之授權相關聯。散佈伺服器703可為網路704(例如，雲端網路)中經授權以散佈待由計算器件701安裝或使用之資料707(諸如，佈建資料或RF校準資料)的伺服器中之任一者。

根據一實施例，若需要計算器件701自散佈伺服器中之一者(諸如，伺服器703)下載資料，則計算器件701產生暫時性或隨機工作階段密鑰705。接著藉由公開密鑰119(公開/私密密鑰對之公開組份)加密工作階段密鑰705，其中該密鑰對之私密組份由授權伺服器702維持為私密密鑰706。在器件之製造期間，公開密鑰119可在先前以(例如)數位憑證之形式散佈。另外，藉由使用儲存密鑰114或自計算器件701之UID所導出之密鑰來加密工作階段密鑰705以產生修復二進位大型物件。其後，經由路徑(1)將經加密之工作階段密鑰及修復二進位大型物件自計算器件701發送至授權伺服器702。授權伺服器702藉由使用私密密鑰706解密工作階段密鑰來鑑認計算器件701且修復該工作階段密鑰。經由路徑(2)(例如，經由安全連接)將工作階段密鑰及修復二進位大型物件自授權伺服器702發送至散佈伺服器703中之一者。散佈伺服器703接著使用自授權伺服器702所接收之工作階段密鑰來加密資料707。其後，經加密之資料707及修復二進位大型物件自散佈伺服器703發送回至計算器件701。

計算器件701可藉由使用儲存密鑰114解密該修復二進位大型物件來修復該工作階段密鑰。該工作階段密鑰可接著用以解密該經加密之資料707以用於安裝或校準等等。亦即，若計算器件701為經加密之資料707的預期接收者，則計算器件701應能夠藉由使用儲存密鑰114來解密該修復二進位大型物件而修復該工作階段密鑰，此係由於該修復二進位大型物件原始地由真實擁有者(在此實例中，計算器件701)產生。不產生修復二進位大型物件之任何其他器件不能修復該工作階段密鑰，此係由於該任何其他器件不擁有用以解密該修復二進位大型物件之恰當儲存密鑰。結果，由伺服器703所散佈之資料707可在計算器件701處安全地下載且安裝。應注意，私密密鑰706亦可散佈至散佈伺服器703且由散佈伺服器703維持。亦應注意，授權伺服器702及散佈伺服器703可為同一伺服器。

此外，根據一實施例，資料707可使用用於安全安裝之基於票證之授權程序而封裝且散佈。在此實施例中，資料707可經由「票證」特定地封裝且個人化。票證表示用於軟體組件中之每一者的安全性考量之集合，諸如雜湊及/或版本識別碼。可藉由諸如授權伺服器702之中央授權產生且散佈票證。票證可減少駭客可混合且匹配用於安裝之軟體組件之不同版本的機會。可在2008年12月5日申請之題為「票證授權安全安裝及啟動(Ticket Authorized Secure Installation and Boot)」的同在申請中之美國專利申請案第12/329,377號中找到關於基於票證之授權程序的其他詳細資訊，該申請案之全文以引用的方式併入本文中。

圖8為說明根據本發明之一實施例的用於更新佈建資料之方法的流程圖。方法800可由諸如無線通信處理器101之無線處理器尤其在嘗試下載新的資料集之DFU模式期間執行。參看圖8，當需要更新來自遠端伺服器之新資料時，在步驟801，產生工作階段密鑰。藉由自無線處理器之UID所導出之密鑰(例如，圖1之儲存密鑰114)加密該工作階段密鑰，此產生修復二進位大型物件。在步驟802，亦藉由具有公開密鑰及私密密鑰之非對稱密鑰對中之公開密鑰(例如，圖1之公開密鑰119)來加密該工作階段密鑰。將修復二進位大型物件及藉由公開密鑰所加密之工作階段兩者發送至受信任的授權伺服器(例如，apple.com)。

在此實施例中，假設在器件之製造期間產生公開密鑰，其中密鑰對中之私密密鑰由受信任的授權設施(例如，授權伺服器)保留。受信任的授權設施可藉由使用對應之私密密鑰來解密經加密之工作階段密鑰而修復該工作階段密鑰。受信任的授權設施可接著將修復二進位大型物件及工作階段密鑰兩者發送至雲端網路中之散佈設施中之一或多者。

隨後，在步驟803，藉由無線處理器接收藉由散佈設施之由工作階段密鑰所加密之散佈資料，以及修復二進位大型物件。在此情形中，僅恰當或預期接收者將具有用以解密該修復二進位大型物件之必要密鑰(例如，儲存密鑰)。在步驟804，無線處理器可藉由使用自器件之UID所導出之密鑰來解密該修復二進位大型物件而修復該工作階段密鑰。在步驟805，接著使用該工作階段密鑰來解密自散佈設施所發送之散佈資料。亦即，僅該散佈設施及該器件兩者將具有可用以交換進一步秘密之恰當工作階段密鑰。

圖9展示可供本發明之一實施例使用的資料處理系統之實例。舉例而言，系統900可實施為如圖1中所展示之器件100。圖9中所展示之資料處理系統900包括處理系統911，處理系統911可為一或多個微處理器或可為積體電路之晶片上之系統，且該系統亦包括用於儲存用於由處理系統執行之資料及程式的記憶體901。系統900亦包括音訊輸入/輸出子系統905，音訊輸入/輸出子系統905可包括麥克風及揚聲器以用於(例如)經由揚聲器及麥克風播放音樂或提供電話功能性。

顯示器控制器及顯示器件907提供用於使用者之視覺使用者介面，此數位介面可包括類似於在iPhone®電話器件、iPad器件上或在執行作業系統軟體時於麥金塔電腦(Macintosh computer)上所展示之圖形使用者介面的圖形使用者介面。系統900亦包括用以與另一資料處理系統通信之一或多個無線收發器903。無線收發器可為WiFi收發器、紅外線收發器、藍芽收發器及/或無線蜂巢式電話收發器。應瞭解，在某些實施例中，額外組件(圖中未繪示)亦可為系統900之部分，且在某些實施例中，比圖9中所展示之組件少的組件亦可用於資料處理系統中。

資料處理系統900亦包括經提供以允許使用者將輸入提供至系統的一或多個輸入器件913。此等輸入器件可為小鍵盤、鍵盤、觸控面板或多觸控面板。資料處理系統900亦包括可為用於銜接之連接器的選用之輸入/輸出器件915。應瞭解，如此項技術中所熟知，一或多個匯流排(圖中未繪示)可用以互連各種組件。圖9中所展示之資料處理系統可為手持型電腦或個人數位助理(PDA)，或具有類似PDA之功能性的蜂巢式電話，或包括蜂巢式電話之手持型電腦，或諸如iPod之媒體播放器，或組合此等器件之態樣或功能的器件，諸如在一器件中與PDA及蜂巢式電話組合之媒體播放器。在其他實施例中，資料處理系統900可為另一器件內之網路電腦或內嵌式處理器件，或具有比圖9中所展示之組件少的組件或或許多的組件的其他類型之資料處理系統。

本發明之至少某些實施例可為數位媒體播放器(諸如，攜帶型音樂及/或視訊媒體播放器)之部分，數位媒體播放器可包括用以呈現媒體之媒體處理系統、用以儲存媒體之儲存器件，且可進一步包括與天線系統及媒體處理系統耦接之射頻(RF)收發器(例如，用於蜂巢式電話之RF收發器)。在某些實施例中，儲存於遠端儲存器件上之媒體可經由RF收發器傳輸至媒體播放器。媒體可為(例如)音樂或其他音訊、靜態圖像或運動圖像中之一或多者。

攜帶型媒體播放器可包括媒體選擇器件，諸如，來自Apple Inc.(Cupertino,CA)之或iPod媒體播放器上之點按式選盤(click wheel)輸入器件、觸控螢幕或多觸控輸入器件、按鈕器件、可移動指標輸入器件或其他輸入器件。媒體選擇器件可用以選擇儲存於儲存器件及/或遠端儲存器件上之媒體。在至少某些實施例中，攜帶型媒體播放器可包括顯示器件，該顯示器件耦接至媒體處理系統以顯示經由輸入器件所選擇且經由揚聲器或(多個)耳機，或在顯示器件上，或在顯示器件及揚聲器或(多個)耳機兩者上所呈現的媒體之標題或其他指示符。

前述實施方式之一些部分已依據電腦記憶體內之資料位元上的操作之演算法及符號表示來呈現。此等演算法描述及表示為熟習資料處理技術者用以向其他熟習此項技術者最有效地傳達其工作之主旨的方式。演算法在此處且一般設想為產生所要結果之操作的自一致序列。該等操作為需要實體量之實體操縱的操作。通常，儘管並非必要地，但此等量採取能夠儲存、傳送、組合、比較及以其他方式操縱的電信號或磁信號的形式。已證明時常便利的，主要地出於一般使用的原因，將此等信號稱作位元、值、元件、符號、字元、項、數字或其類似者。

然而，應記住，所有此等及類似術語係與適當實體量相關聯且僅為應用於此等量之便利標籤。除非如自以上論述顯而易見以其他方式特定地規定，否則應瞭解，遍及該描述，利用諸如在下文之申請專利範圍中所闡述的術語之術語的論述提及電腦系統或類似電子計算器件之動作及程序，其將表示為電腦系統之暫存器及記憶體內之實體(電子)量的資料操縱且變換成類似地表示為電腦系統記憶體或暫存器或其他此等資訊儲存、傳輸或顯示器件內之實體量的其他資料。

本發明之實施例亦係關於用於執行本文中之操作之裝置。此裝置可出於所需目的特定地建構，或此裝置可包含由儲存於電腦中之電腦程式選擇性地啟動或重組態的通用電腦。此電腦程式可儲存於電腦可讀媒體中。機器可讀媒體包括用於儲存呈可由機器(例如，電腦)讀取之形式之資訊的任何機構。舉例而言，機器可讀(例如，電腦可讀)媒體包括機器(例如，電腦)可讀儲存媒體(例如，唯讀記憶體(「ROM」)、隨機存取記憶體(「RAM」)、磁碟儲存媒體、光學儲存媒體、快閃記憶體器件等等)等等。

在前述圖中所描繪之程序或方法可由包含硬體(例如，電路、專用邏輯等等)、軟體或兩者之組合的處理邏輯執行。儘管該等程序或方法在上文依據一些順序操作描述，但應瞭解，所描述之操作中之一些可以不同次序執行。此外，一些操作可並行地而非順序地執行。

本文中所呈現之演算法及顯示並非固有地與任何特定電腦或其他裝置相關。各種通用系統可供根據本文中之教示之程式使用，或可證明建構更專門的裝置來執行所需方法操作為便利的。自上文之描述將出現用於多種此等系統之所需結構。另外，本發明之實施例未參考任何特定程式設計語言描述。應瞭解，多種程式設計語言可用以實施如本文中所描述之本發明之實施例的教示。

在前述說明書中，本發明之實施例已參考其特定例示性實施例得以描述。可在不脫離如以下申請專利範圍中所闡述之本發明之更廣泛精神及範疇的情況下對其進行各種修改將為顯然的。相應地，以說明性意義而非限制性意義看待說明書及圖式。

100．．．器件/系統/計算器件

101．．．無線通信處理器

102．．．應用程式處理器

103．．．隨機存取記憶體(RAM)

104．．．隨機存取記憶體(RAM)

105．．．非揮發性儲存器件

106．．．分割區

107．．．分割區

108．．．碼影像

109．．．碼影像

110．．．資料

111．．．資料

112．．．安全唯讀記憶體(ROM)

113．．．內部或晶載RAM

114．．．儲存密鑰

115．．．作業系統(OS)

116．．．檔案系統(FS)

117．．．唯讀記憶體啟動載入器(ROM BL)

118．．．憑證

119．．．公開密鑰

120．．．內部匯流排

151．．．作業系統

152．．．密碼編譯單元

153．．．檔案系統(FS)驅動程式

154．．．FS驅動程式

201．．．無線處理器碼影像

205．．．檔案系統檔案

206．．．日誌資料

210．．．安全或受保護區域

211．．．無線網路ID

212．．．RF校準資料

400．．．器件

700．．．系統組態

701．．．計算器件

702．．．授權伺服器

703．．．散佈伺服器

704．．．網路

705．．．工作階段密鑰

706．．．私密密鑰

707．．．資料

900．．．資料處理系統

901．．．記憶體

903．．．無線收發器

905．．．音訊輸入/輸出子系統

907．．．顯示器控制器及顯示器件

911．．．處理系統

913．．．輸入器件

915．．．選用之輸入/輸出器件

圖1為說明根據本發明之一實施例之多功能計算器件的方塊圖；

圖2為說明根據一實施例的用於無線處理器之儲存器影像的方塊圖；

圖3為說明根據本發明之一實施例的用於啟動無線通信處理器之方法的流程圖；

圖4為說明根據本發明之另一實施例之多功能計算器件的方塊圖；

圖5為說明根據本發明之一實施例的用於產生RF校準資料之方法的流程圖；

圖6為說明根據本發明之一實施例的用於更新RF校準資料之方法的流程圖；

圖7為說明根據本發明之一實施例的用於佈建計算器件之系統組態的圖式；

圖8為說明根據本發明之一實施例的用於更新佈建資料之方法的流程圖；及

圖9展示可供本發明之一實施例使用的資料處理系統之實例。