TWI265708B

TWI265708B - Communication device and computer-readable recording media for communication

Info

Publication number: TWI265708B
Application number: TW093108750A
Authority: TW
Inventors: Naoki Naruse; Yuichi Ichikawa; Tatsuro Oi; Nobuyuki Watanabe; Yasunori Hattori
Original assignee: Ntt Docomo Inc
Priority date: 2003-03-31
Filing date: 2004-03-30
Publication date: 2006-11-01
Also published as: ES2268524T3; JP4176533B2; DE602004001704D1; US20050005099A1; JP2004302973A; ATE335344T1; EP1465383B1; TW200425695A; EP1465383A1; CN1272953C; CN1535059A; US7558963B2; EP1465383B8; DE602004001704T2

Description

1265708 (1) 玖、發明說明【發明所屬之技術領域】本發明係有關用以決定下載資料之鑑定之技術。【先前技術】一般言之，軟體經由通信網路’諸如網際網路下載於通信裝置，並使用於通信裝置中。然而，軟體之此下載及使用引起資料駭客攻擊之危險，此可導致未授權存取資料。如獲得未授權存取，則可下載惡意之軟體於通信裝置中〇爲對付此問題，已發展出各種技術，用以決定下載軟體之鑑定。例如，已提出一種方法，在此，在下載軟體之前，由軟體之提供者供應一整合之電路卡（此後稱爲’’1C” 卡）給使用者，1C卡含有一散列値，此使使用者能鑑定該軟體。（例如，參考日本專利公報1 1 -205 76 7號）。由此方法，在1C卡已載入於通信裝置中後，當使用者指令通信裝置下載軟體時，通信裝置下載軟體，並使用一散列函數，計算軟體之散列値。然後，通信裝置比較所計算之散列値及1C卡中所儲存之散列値，以決定二値是否相符，且故此，決定所接收之軟體是否有授權下載於該裝置中〇，有關上述方法爲行動站之通行，此能下載Java (註冊商標）應用軟體（以後稱爲Java-AP軟體）並執行下載之 Java-AP軟體中所含之應用程式（該應用程式此後稱爲 -6- 1265708 (2) ，’Java-APP，，）〇當Java-AP軟體下載於此行動站中時，先自世界網路 (此後稱爲"WWW”）中所含之伺服裝置下載一應用說明檔（此後稱爲”ADF”）至行動站，及然後下載一 Java檔案檔（此後稱爲"JAR”檔）於行動站。應注意在本說明書中，術語”Java-AP軟體”指ADF及 JAR檔之聯合。影響含有Java-AP軟體之檔案下載於行動站之一問題爲此等可能受到惡意攻擊。故此，需先確認欲下載之軟體之鑑定。 ADF爲含有有關對應JAR檔之資訊資料之檔案。此資訊包含例如 JAR檔更新之日期。故此，爲維持同價，當：TAR檔更新時，對應之ADF亦需更新。如此，由確認有關JAR及ADF之適當相對應，可確認Java-AP軟體之鑑定。基此目的所提出之一方法如下。首先，具有有效對應性之ADF及JAR檔整合於一單個檔案中。然後，計算整合檔之散列値。使用該散列値來決定下載之ADF及JAR 檔是否具有有效之相對應性。上述專利文件中提出與此相似之一方法（日本專利公報1 1-2 05 767號）。 JAR檔中所含之Java-APP普通接受各種修改，此等由提供者實施，以改正錯誤或升級程式。然而，每次修改 J a v a - A P P時，J a v a - A P軟體之散列値改變。結果，j a v a · A P P之登供者，即內容提供者（此後稱爲” c p ”）需分配含有新故列値之IC卡給fj動站’在此，修改或升級java- -7- 1265708 (3) APP。然而，一程式之每次修改及升級時提供及分配此等卡顯然導致不可接受之成本及後勤問題，且故此不實際。鑒於此情況，本發明之目的在提供一種裝置，用以確認多個檔案之鑑定及有效對應性。【發明內容】爲解決上述問題，本發明提供一種通信裝置，包含：一接收裝置，用以接收（a) —第一檔案，此包含指示一某値之資料，此根據另一檔案中所含之某型式之資料計算，及（b) —第二檔案，此包含該某型式之資料；一計算裝置，用以計算一値，獲得此値用以指定第二檔案中所含之該某型式之資料於一單向函數；一比較裝置，用以比較由計算裝置所計算之値及由第一檔案中所含之資料所指示之該某値；及一決定裝置，用以依據由比較裝置所作之比較結果，決定第一檔案及第二檔案之相對應之有效性。本發明並提供一種用以指令電腦執行以下步驟之程式 :一接收步驟，用以接收（a ) —第一檔案，此包含指示一某値之資料，此根據另一檔案中所含之某型式之資料計算，及（b) —第二檔案，此包含該某型式之資料；一計算步驟，用以計算一値，獲得此値用以指定第二檔案中所含之該某型式之資料於一單向函數；一比較步驟，用以比較由計算裝置所計算之値及由第一檔案中所含之資料所指示之該某値；及一決定步驟，用以依據由比較裝置所作之比較結果，決定第一檔案及第二檔案之相對應之有效性。 -8- (4) 1265708 依據本發明’由接收裝置所接收之第二檔案中所含之某型式之資料指定給一單向函數，及自單向獲得之一値與亦由接收裝置所接收之第一檔案中所含之資料所指示之一値比較。然後，根據比較結果，決定第一檔案及第二檔案之聯合之鑑定，如此，依據本發明，可確認相互關聯之多個檔案’諸如包含軟體之一列檔案之相對應之有效性。【實施方式】在以下說明中，參考附圖，說明由實施本發明之實施例達成之一移送系統。在附圖中，相同元件由相同參考編號標示。依據該移送系統，行動站之使用者能（安全）指令行動站下載所需之Java-AP軟體，安裝所下載之java-ap軟體中之Java-APP，並執行Java-APP。

Java-AP軟體如下下載於移送系統之行動站中。首先，行動站對使用者顯示Java-AP軟體之介紹說明。當使用者指令行動站下載Java-AP軟體時，行動站先接收Java· AP軟體之一 ADF。然後，行動站接收與Java-AP軟體相對應之稱爲安全說明檔（此後稱爲’’SDF”）之一檔案。最後，行動站接收Java-AP軟體之一 JAR檔。SDF檔包含指示行爲限制之資料，適用於行動站中現存在之對應Java· A P P。如此，當行動站執行^ a v a _A p p時，行動站根據對應之SDF中所指示之條件，控制由Java-APP所提供之軟體程式之行爲。 -9 - (5) 1265708 在此說明書中，術語”軟體程式”意爲當C P U執行一程式時，由CPU提供之一群功能。在以下說明中’爲說明 C P U執行一 J a V a - A P P，以提供一群功能，即一 J a v a -AP之情形，使用表示式，，達成Java-AP”。由Java-APP達成之軟體程式此後稱爲"Java-AP”。於完成通信機構與提供Java-AP軟體之CP間所訂之合約時，由上述通信機構製備SDF。在本實施例之移送系統中，一些Java-APP具有對應之SDF，但其他Java-APP 並無對應之SDF。根據SDF限制由具有對應之SDF之 Java-APP所達成之 Java-AP之行爲。此等 Java-AP及 Java-APP在本說明書中稱爲’’可信任之Java-AP”及”可信任之Java_APP”，因爲依據通信機構及提供Java-APP之 CP間所訂之合約，由通信機構保証可靠性。在本實施例之以下說明中，當JAR檔中所含之Java-APP爲可信任之Java-APP時，”Java-AP軟體”可意爲ADF ，SDF，及 JAR檔之聯合，或當 JAR檔中所含之 Java-APP非爲可信任之Java-APP時，可意爲ADF及JAR檔之聯合。在本說明書中，非爲可信任之Java-APP稱爲”非可信任之Java-APP”，及由非可信任之Java-APP所達成之軟體程式稱爲非可彳§任之Java-AP"。问樣’在本g兌明書中，含有可信任之Java-APP之Java-AP軟體稱爲”可信任之 Java-AP軟體”，及含非可信任之Java-APP之Java-AP稱爲”非可信任之Java-AP軟體。 (6) 1265708 (1 :組態）如顯示於圖1，移送系統包含：CP伺服裝置至網際網路11;行動訊包通訊網路15，通信機構供行動訊包通信服務給行動站；行動站1 6，此與裝置經由行動訊包通信網路1 5交換資料包；門口 1 7 ’此互接網際網路1 1及行動訊包通信網路1 5 ; 之服務裝置1 8，此連接至門口伺服裝置1 7。雖 ’移送系統可包含多個行動站，但爲簡單起見，示一個行動站1 6。故此，圖1僅顯示一個C P 12 ° 以下詳細說明移送系統之每一組成件。 (i-i:cp伺服裝置） CP伺服裝置12具有一般WWW伺服裝置之件及特色。CP伺服裝置12包含硬碟裝置12A。裝置1 2能遵照傳輸控制議定（此後稱爲” τ C P " CP伺服裝置1 2及通信裝置間之連接。當CP伺月使用TCP連接，收到遵循超文件轉移議定（ ” HTTP”）之GET方法之一申請訊息時，CP伺月丨讀出由一致資源***（此後稱爲”URL”，此由 12A指定給GET方法）所識別之檔案，發送含之HTTP之回覆訊息給通信裝置，並中斷TCP連硬碟裝置12A儲存含有以java程式語言寫之：TAR檔及含有指示在其對應jAR檔上之資訊 1 2，連接經由此提其他通信伺服裝置及可信任在實際上圖1僅顯伺服裝置硬體組成 CP伺服 )，建立丨艮裝置1 2 此後稱爲 δ裝置12 硬碟裝置有該檔案接。成之程式之資料之 -11 - 1265708 (7) ADF。儲存於CP伺服裝置12中之ADF分類爲與可信任之 Java-APP相對應之ADF及與非可信任之Java-APP相對應之ADF。二型式之ADF包含資料，此等在先前技藝中包含於正常ADF中，諸如指示Java-AP軟體之名稱之資料，JAR儲存URL，此爲指示WWW中JAR檔之儲存位置之資料，指示JAR檔之大小之資料，指示JAR檔之上次更新之日期之資料等。如顯示於圖2，與可信任之Java-AP軟體相對應之ADF各包含：可信任之AP ID，此爲指定給每一可信任之Java-AP軟體之一識別碼；指示可信任之伺服器領域之資料，此指定 WWW中之一對應SDF之儲存位置；認証資料，此由認証機關（此後稱爲"CA”）提供給操作CP伺服裝置12之CP;及一 JAR散列値，此指示對應之JAR檔之一散鬥値，以及上述之資料。散列値爲一固定長度之値，當任意資料輸入至散列函數中時獲得此，作爲散列函數之輸出。散列函數爲單向函數之一例。”單向函數”爲” y = f ( X ) ”之形態之一函數，在此，當給與X時，可迅速計算出y，但當給與y時，幾乎不能計算出X，因爲該函數無反向功能，且故此花費過量之時間來計算X。 CP伺服裝置1 2具有一功能，用以依據CP之指令，產生及更新包含上述資料之檔案。硬碟裝置12A亦儲存認証資料，此由CA發出，並認証CP由CA鑑定。CP伺服裝置1 2另儲存一程式，用以遵循安全散列演算法】（ -12- 1265708 (8) 此後稱爲”SHA-1”），計算JAR檔之散列値及認; (1·2:門口伺服裝置）門口伺服裝置1 7由上述通信機構管理，並 WWW伺服裝置之硬體組成件及特色，該裝置互路。門口伺服裝置1 7中繼資料於行動訊包通信糸網際網路1 1之間。 (1-3:可信任之伺服裝置）可信任之伺服裝置1 8由上述通信機構管理一般WWW伺服裝置之硬體組成件及特色。可信裝置18包含硬碟裝置18A，及在建立與一通 TCP連接後，當可信任之伺服裝置18使用TCP 循HTTP之GET方法收到一申請訊息時，可信裝置18讀出由URL (此由硬碟裝置18A指定給 )識別之一檔案，並發送含有該檔案之HTTP之至通信裝置，並中斷TCP連接。硬碟裝置18A儲存SDF，各與一可信任之相對應。 SDF爲由可信任之Java-ΑΡΡ之通信機構所檔案。如顯示於圖3，一 SDF包含一 JAR儲存指示含有可信任之Java-AP之JAR檔之儲存位S 一 ADF認証資料旗標，此指示對應之ADF是否資料；一認証散列値，此指示依據ADF中所含之資料。具有一般接通信網路1 5及 ’並具有任之伺服信裝置之連接，遵任之伺服 GET方法回覆訊息 Java-APP 製作之一 URL，此 I 之 URL; 含有認証認証資料 -13- 1265708 (9) 所計算之一散列値；及許可資料，此指示應用程式介面（此後稱爲"API")，或URL，由可信任之Java-APP所達成之可信任之Java_AP許可使用或存取此。許可資料包含”用以存取個人資料之許可資料”，此指示是否許可可信任之Java-AP使用API，以存取電話號碼簿資料，解讀e郵件資料，及進/出e郵件經歷資料，”許可改變設定之資料”，此指示是否許可可信任之Java-AP 使用A P I於改變曲調或影像之設定’以通知e郵件之到達或發送，及非提示螢幕用之一影像，及"URL之許可資料” ，此指示許可Java-AP進出之URL。如顯示於圖4，行動站1 6包含：一操作系統（◦ S )程式；一 Java-AP環境程式，用以建立使Java-AP可操作之環境；ROM 16A，用以儲存各種程式，諸如本機應用程式 :CPU16B，用以執行ROM16A中所儲存之程式；顯示單位 16C;非揮發性記憶器16D;RAM16F;通信單位16F;及操作單位1 6G。行動站1 6之此等組成件由資料匯流排相互連接。顯示單位1 6C包含例如液晶顯示板及板驅動電路，並顯示由CPU 16B所提供之資料所建造之影像。非揮發性記憶器1 6D例如爲一靜態隨機進出記憶器 (SRAM )或一可電抹消及可程式僅讀記憶器（EEPROM )。自WWW中所含之伺服裝置下載之Java-AP軟體儲存於非揮發性記億器16D中。非揮發性記憶器16D亦儲存用以遵照SHA_1計算散列値之程式。 -14- (10) 1265708 通信單位1 6F包含一天線及一無線通信單位；與行動訊包通信網路1 5執行無線通信資料包，並中繼資料包於 CPU 16B及行動訊包通信網路15之間。通信單位16F包含一 CODEC，一微音器，及一揚聲器用於語音通信；並使行動站1 6能經由行動電話網路（未顯示）執行語音通信，此具有線路切換系統。操作單位1 6G包含硬體，諸如鍵墊供使用者輸入操作；並依使用者所執行之操作，提供CPU 16B某種信號。 (2 :操作）在以下說明中，說明上述移送系統之實例操作。當行動站16之電源（未顯示）接通時，CPU 16B讀出R0M16A中所儲存之0S程式，並執行0S程式，使用 RAM16E作爲工作區。遵照0S程式之指令，CPU16B能提供若干基本功能，諸如控制使用者介面（UI )。圖5顯示〇 S之結構，此在行動站16中由0 S程式達成。〇 S根據自操作1 6G所接收之信號，指定由使用者依使用者之操作提供之指令，並依指令執行某處理。例如，當使用者申請下載Java-AP軟體時，〇S中之網路瀏覽器轉移該申請至Java應用管理器（此後稱爲，，JAM”）。當使用者要求執行JAM程式時，此爲行動站16之本機應用程式，0S在行動站16中開始JAM程式，並達成一 JAM。JAM顯示安裝於行動站16中之Java-APP之一 -15- (11) 1265708 表，及當使用者選擇表列Java-ΑΡΡ之一時選之Java-APP。更具體言之，當行動站16 者之一指令，以開始某 Java-APP時，由 Java-AP環境程式，及在行動站1 6中建立h 然後，由CPU16B使用Java-AP環境，開始提供Java-AP之功能。Java-AP環境包含例《 (KVM )，此爲一輕量Java虛擬機器，經，諸如行動站16;及API，此提供若干功能給備用於Java-AP之API分類爲可信任之API 照SDF中所含之許可資料使用可信任之ja 信任之Java-API，此許可使用所有Java-AP。本說明書中略去用以建立及中斷TCP 說明，因爲該操作遵照HTTP之熟悉方法。，說明由CPU16B遵循上述程式，諸如OS 覽器程式，JAM程式，Java-APP，及本機應執行之操作，作爲”由行動站1 6執行之操f1 明。 (2-1:可信任之Java-AP軟體之準備）以下參考圖6，說明由CP管理之CP传操作，以準備可信任之Java-APP。通信機構先提供一程式給CP，用以計| 列値及認証資料，遵照SHA-1。該程式此後 CP伺服裝置12之硬裝置12A儲存自CA接，JAM開始所接收來自使用 CPU16B開始 i v a - A P 環境。 Java-APP ，並 ® K虛擬機器調整於行動站，Ja ν a- ΑΡ 〇準，此僅許可遵 .v a - A P ;及非可連接之操作之在以下說明中程式，網路瀏用程式之指令 F ”，以簡化說丨服裝置1 2之 [JAR檔之散稱爲’’工具”。收之該工具及 -16- (12) 1265708 認証資料。 CP準備一 Java-APP，用以達成一 Java-AP，此能改變曲調，用以依據e郵件之發送者之電話號碼，通知e郵件到達。稱 Java-APP 爲’’Melody by Telno Appli’’。CP 指令CP伺服裝置12產生含有” Melody by Telno Appli"之一 JAR 檔，並儲存 JAR 檔於由 ”http://www.b.co.jp/ melody.jar”之儲存器URL所識別之儲存位置中。另一方面，CP輸入欲包含於 ADF中之資料，諸如指示】3乂3-APP” Melody by Telno Appli” 之名稱及 JAR 儲存 URL 之資料至CP伺服裝置12。然後，CP指令CP伺服裝置12執行該工具。遵循CP之指令，CP伺服裝置12之CPU讀出硬碟裝置12A中所儲存之工具，並遵循該工具對指令，計算JAR 檔之散列値（此後稱爲”JAR散列値”）及認証資料之一散列値（此後稱爲”認証散列値”）。然後，CP伺服裝置12 之CPU產生一 ADF，此包含指示JAR散列値之資料，認証資料，指示 Java-APP”Melody by Telno Appli"之名稱之資料，及指示 JAR 儲存器 URLnhttp://www.b.co.jp/ melody .j ar” 之資料。然後CP伺服裝置12發送ADF及JAR檔以及指示認証散列値之資料至可信任之伺服裝置1 8 (步驟S 1 )。當管理可信任之伺服裝置1 8之通信機構收到來自CP 伺服裝置1 2之上述檔案及資料時，通信機構決定是否核准CP。 -17- 1265708 (13) 更具體言之，通信機構檢查ADF中所含之認証資料是否由通信機構所依賴之CA發送，或認証資料是否由具有有效認証鏈之多個CA發送，且多個CA由通信機構所依賴之較高階層之一 CA管理。在完成鑑定檢查後，通信機構決定由 CP所提供之 Java-APP之鑑定。更具體言之，通信機構檢查JAR檔中所含之Java_APP之說明，以檢查由Java-APP所達成之 Java-AP是否不破壞行動站16中所儲存之個人資料，不洩漏個人資料至外部裝置等。在檢查程式後，通信機構依據檢查之結果，決定許可 Java-AP使用API及許可Java-AP進出URL。通信機構然後輸入指示API及URL之資料至可信任之伺服裝置18。於反應該輸入，可信任之伺服裝置18之CPU產生與自CP伺服裝置12接收之ADF及JAR相對應之一 SDF。由CPU產生之SDF包含指示ADF中所含之JAR儲存器 111^’’1^{卩：//\¥\^^.1).(：0.』卩/11161〇(1}^31>’’之資料，一六0?認証資料旗標”是”，指示自CP伺服裝置1 2接收之認証散列値' 之資料，及指示由通信機構輸入之API及URL之許可資料。

在產生ADF後，可信任之伺服裝置1 8之CPU加指示可信任之 APID”000 1 ”之資料，此識別可信任之 Java-APP，及指示可信任之伺服器領域"http://www.a-co.jp/ melody.sdf”之資料，此識別可信任之伺服裝置18中SDF 之儲存位置。然後，CPU發送含有上述資料之ADF至CP -18· 1265708 (14) 伺服裝置12 (步驟S2 )。 CP伺服裝置12之CPU接收該ADF’並儲存ADF於硬碟裝置12八中。在儲存ADF於CP伺服裝置12中後，含有Java-APP之JAR檔準備下載於行動站16中。 (2-2:下載Java-AP軟體於行動站16中）以下參考圖6，說明當使用者指令行動站16下載 Java-AP軟體時，在移送系統中執行之操作。在以下說明中’假定在Java-AP軟體準備後’欲下載之Java-AP之ADF及JAR檔並未修改，如說明於2-1節〇使用者指令行動站16由使用操作單位16G ’自CP伺月庋裝置 12 下載可信任之 Java-APP’’MelodybyTelnoAppli·’ 至行動站1 6。當CPU 1 6B收到由使用者所作之經由網路瀏覽器下載可信任之Java-AP軟體之指令時，CPU執行一串程序’用以下載可信任之Java-APP至行動站16如下。首先，CPU16B自CP伺服裝置12接收與Java-APP 相對應之ADF。更具體言之，CPU 16B建立與CP伺服裝置12之TCP連接，產生一申請訊息用以發送ADF，並發送該申請訊息至CP伺服裝置12 (步驟S3 ) 。CPU16B收到反應該申請訊息之含有ADF之回覆訊息，（步驟S4 ) ，並中斷TCP連接。在收到該回覆訊息後，CPU 16B儲存回覆訊息中所含之ADF於非揮發性記憶器1 6D中。 •19- (15) 1265708 然後，CPU16B決定欲下載之Java-APP是否爲一可信任之Java-APP。更具體言之，CPU16B檢查ADF是否含有指示一可信任之AP ID之資料，及當ADF含有該資料時，CPU16B決定Java-APP爲可信任之Java-APP’因爲該資料指示有與Java-APP相對應之SDF。另一方面，當 ADF不含該資料時，CPU16B決定該Java-APP爲非可信任之 Java-APP。在欲下載之Java-APP爲非可信任之Java-APP之情形。行動站16下載來自一儲存位置之JAR檔，此由指示 ADF中所含之JAR儲存器URL之資料識別，遵循與在先前技藝中之正常移送系統所實施相同之程序。在此實例之情形中，由於ADF含有指示可信任之 JPID” 000 1 "之資料，故 CPU16B決定欲下載之 Java-APP 爲可信任之Java-APP。依此，CPU16B自由指示可信任之伺服器領域’’http://www.a_co.jp/melody.sdf”之資料所識別之儲存位置接收與Java-APP相對應之SDF。更具體言之，CPU 16B建立與可信任之伺服裝置18之TCP連接，產生用以發送SDF之申請訊息，此由ADF中所含之資料所指示之可信任之伺服器領域”http://www.a.co.jp/ melody.sdf”識別，並使用TCP連接，發送該申請訊息（步驟S5 ) 。CPU16B接收反應該申請訊息之含有SDF之一回覆訊息（步驟S6)，並中斷TCP連接。以下參考圖9，說明在下載可信任之Java_AP軟體後，用以決定可信任之Java-AP之鑑定之操作。 -20- 01 ) (16) 1265708 CPU16B決定ADF是否含有認証資料（步驟SI 。更具體言之，CPU16B檢查ADF是否含有ADF認料旗標指示’’是’’。當CPU16B決定ADF不含認証資 (步驟 S101;否），CPU16B跳過用以檢查認証資料序，並進行至用以下載JAR檔之程序（步驟S1 04 )。在本實例情形中，由於ADF含有ADF認証旗標指示”是”，故 CPU16B決定 ADF含有認証資料（ S 101;是），並計算ADF中所含之認証資料之一散列步驟S 1 0 2 )。在計算散列値後，CPU 1 6B比較所計算之散列 SDF中所含之散列値，以決定二者是否相同（步驟 )。如二散列値不相同（步驟S 1 0 3 ;否），則有可能信機構製備SDF後，ADF中所含之認証資料已由他改。故此，CPU 16B通知使用者下載失敗，刪除ADF 復行動站1 6中之軟體組態於ADF下載前之狀態（ S107)，並終止下載Java-AP軟體之程序。在本實例之情形中，決定二散列値爲相同（ S103;是），及CPU16B下載JAR檔於行動站16中（ S104)。更具體言之，CPU16B使用ADF中所含，並 JAR檔在CP伺服裝置12中之儲存位置之JAR儲 URL，，http://www.b.co.jp/melody .jar”，建立與 CP 伺置12之TCP連接，產生申請發送JAR檔之訊息，並該申請訊息至CP伺服裝置12 (圖6之步驟S7 CPU 16B接收來自CP伺服裝置12反應該申請訊息之証資料時之程資料步驟値（値及 S 103 在通人修，恢步驟步驟步驟指示存器服裝發送 )。含有 -21 - (17) 1265708 JAR檔之回覆訊息（圖6之步驟S8 )，並中斷TCP連接〇於收到回覆訊息後，CPU 16B計算回覆訊息中所含之 JAR檔之散列値（步驟S105 ) 。CPU16B比較所計算之散列値及ADF中所含之JAR散列値，以決定二者是否相同 (步驟S106 )。當二散列値不相同時（步驟S106;否），有可能在：TAR檔製備後，JAR檔已被僞造或修改。故此，CPU16B通知使用者下載失敗，刪除ADF及JAR檔，恢復行動站1 6中之軟體組態至ADF下載前之狀態（步驟 S108)，並終止下載：iava-AP軟體之程序。在本實例情形中，二散列値相同（步驟S 1 0 6 ;是）。故此，CPU16B通知使用者成功下載java-AP軟體，儲存所接收之JAR檔及所接收之SDF於非揮發性記憶器16D 中（步驟S109)，並完成下載java-Ap軟體之程序。在完成可信任之Java-AP軟體之下載程序後， CPU16B監視由JAR檔中所含之可信任之java-APP所達成之可信任之Java-AP之行爲，並分別依據SDF中所含之存取個人資料之許可資料，改變設定之許可資料，及 URL之g午可資料，許可或限制由API之Java-AP用於存取個人資料’諸如電號碼簿資料，及用於改變行動站1 6之設定，及進出URL。如上述，依據本實施例，可決定ADF中所含之認証資料是否已修改，並在通信機構已決定認証資料之鑑定後，由確認使用ADF中所含之認証資料所計算之散列値， -22- 1265708 (18) 及使用認証資料先計算並包含於對應之SDF中之相同。簡言之，依據本實施例，決定SDF及ADF 之鑑定。當ADF中之認証資料由與SDF中所含之相同料覆寫時，二認証資料之散列値變爲相同，並決及ADF之聯合爲已鑑定’即使在SDF製備後ADF 時亦然。故此，如C P需要修改A D F，以修改J A R 於例如改正：TAR檔中之錯誤，則在通信機構決定料之鑑定後，CP能根據經修改之ADF中之認証資 ADF中所用者相同，維持SDF及ADF間之聯合之故此，當ADF由CP修改時，通信機構無需重複操以決定認証資料之鑑定。而且，依據本實施例，在通信機構決定JAR 定後，可由確認使用下載之JAR檔所計算之散列用JAR檔先計算及包含於對應之ADF中之散列値決定自CP下載之JAR檔是否已被修改或僞造。簡依據本實施例，決定]AR檔及ADF之聯合之鑑定，可防止使用僞造之JAR檔於行動站16中。而且，依據本實施例，無需先分配含有散列値媒體，諸如1C卡於每一行動站。故此，在本實施例之移送系統中，可容易決定 SDF，及JAR檔之聯合之鑑定。由於用以計算散列値之程序需要遠較用以計算定系統中所用之公共鍵爲少之計算資源，故可採用散列値之聯合認証資 £ SDF 已修改檔，用認証資料與原鑑定。作，用檔之鑑値及使相同，言之，。故此之記錄 ADF，普通鑑本實施 -23- 1265708 (19) 例於計算資源有限之裝置，諸如行動站中。 (3:修改）本發明並不限於上述實施例，且可在本發明之技術範圍內作修改。以下爲修改之例。 (1 )在以上實施例中，S DF包含認証資料之散列値，此包含於與S D F相對應之A D F中，及行動站1 6由比較由使用ADF中所含之認証資料所計算之散列値及SDF中所含之散列値，決定SDF及ADF之聯合之鑑定。移送系統中所用之散列値不限於認証資料之散列値，及ADF中所含之資料之其他型式之散列値，或整個 ADF之散列値亦可用於同樣用途。而且，在以上實施例中，ADF包含對應JAR檔之散列値，及行動站1 6由比較由使用JAR檔所計算之散列値及ADF中所含之散列値，決定ADF及JAR檔之聯合之鑑定。移送系統中所用之散列値不限於整個JAR檔之散列値，及JAR檔之一部份之散列値亦可用於相同用途上。 (2 )在以上實施例中，使用SHA-1之散列函數用於計算散列値，以決定檔案之聯合之鑑定。然而，其他種類之散列函數亦可用於移送系統中。例如，使用訊息摘要5 (MD5 )之散列函數亦可採用於本發明之移送系統中。而且，所有其他種類之單向函數可用於移送系統中，以取代散列函數。 (3)在以上實施例中，用以決定檔案之鑑定之程式 -24- 1265708 (20) 儲存於行動站之ROM中。該等程式可儲存於任何其他種類之儲存裝置中，諸如行動站之EEPROM中，當程式儲存於可重寫之儲存裝置中，諸如EEPROM中時’程式可自外部裝置經由行動通信網路下載於行動站。’並儲存於可重寫之儲存裝置中。當行動站具有與外部儲存裝置通信之介面時，可由外部儲存裝置，諸如含有程式之記憶卡連至行動站，提供該程式至行動站1 6。在此情形中’行動站可直接自外部儲存裝置讀出並執行該程式。 (4 )在上述實施例中，A D F包含指示可信任之伺服器領域之資料，並根據該資料，識別欲下載於行動站之與可信任之 Java-APP相對應之 SDF。可依其他方法識別 SDF。例如，行動站1 6可先獲得指示用以識別可信任之伺服器1 8之URL之資料，及當行動站1 6產生自可信任之伺服器18發送SDF至行動站16之申請訊息時，行動站1 6可加識別可信任之伺服器1 8之URL，及指示可信任之AP ID之資料於申請訊息中，用以識別與欲下載之可信任之Java-AP軟體相對應之SDF。專利申請【圖式簡單說明】圖1爲方塊圖，顯示本發明之實施例之移送系統之組態。圖2爲構想圖，顯示該系統中所用之ADF之典型資料結構。圖3爲構想圖，顯示該系統之可信任之伺服裝置中所 -25- (21) 1265708 儲存之SDF之資料結構。圖4爲方塊圖，顯示系統中所含之行動站之組態。圖5爲構想圖，顯示行動站之功能結構。圖ό爲順序圖，顯示本發明之實施例之資料流程。圖7爲流程圖，顯示用以決定行動站中所執行之下載檔案之鑑定。元件對照表 η :網際網路 12 : CP伺服裝置 12Α，18Α :硬碟裝置 1 5 :行動訊包通信網路 1 6 :行動站 1 6 C :顯示單位 16D :非揮發性記憶器 16F :通信單位 16G :操作單位 1 7 :門口伺服裝置 1 8 :可信任之伺服裝置 -26-

Claims

1265708 (1) W /月外日修明赠换頁拾、申請專利範圍第93 1 08750號專利申請案中文申請專利範圍修正本民國95年1月26日修正 1 · 一種通信裝置，包含：一接收裝置，用以接收 (a ) —第一檔案，此包含指示一某値之資料，此根據另一檔案中所含之某型式之資料計算，及 (b) —第二檔案，此包含該某型式之資料；一計算裝置，用以計算一値，獲得此値用以指定第二檔案中所含之該某型式之資料於一單向函數；一比較裝置，用以比較由計算裝置所計算之値及由第一檔案中所含之資料所指示之該某値；及一決定裝置，用以依據由比較裝置所作之比較結果，決定第一檔案及第二檔案之相對應之有效性。 2·如申請專利範圍第1項所述之通信裝置，其中’ 該某型式之資料爲一完全檔案，此包含該某型式之資料。 3 ·如申請專利範圍第1項所述之通信裝置，其中，該某型式之資料爲指示含有該某型式之資料之一檔案之提供者之資料。 4·如申請專利範圍第1項所述之通信裝置，其中’ 第二檔案包含一程式，此在通訊裝置中執行；及第一檔案包含指示第二檔案儲存位置之資料。

1265708 (2) 5 ·如申請專利範圍第1項所述之通信裝置，其中，第二檔案包含指示在通信裝置中執行之一程式儲存之位置之資料；及第一檔案包含指不用以限制當該程式在通信裝置中執行時所達成之一軟體程式之行爲之條件之資料。 6 · —種用於通信之電腦可讀取記錄媒體，該記錄媒體具有用以指示電腦執行以下步驟之程式：一接收步驟，用以接收

(a) —第一檔案，此包含指示一某値之資料，此根據另一檔案中所含之某型式之資料計算，及 (b) —第二檔案，此包含該某型式之資料；一計算步驟，用以計算一値，獲得此値用以指定第二檔案中所含之該某型式之資料於一單向函數；一比較步驟，用以比較在計算步驟中所計算之値及由第一檔案中所含之資料所指示之該某値；及

一決定步驟，用以依據在比較步驟中所作之比較結果，決定第一檔案及第二檔案之相對應之有效性。