配置控制装置、系统及方法与流程

1.本发明涉及电子器件的安全生产与配置。更具体而言，本发明涉及一种对电子器件的配置进行控制的装置、系统及方法。


背景技术：

2.智能手机、平板电脑及其他类型的物联网(iot)设备等现有技术消费电子设备的生产与组装通常以分布方式进行，其中，包括电子芯片或微处理器在内，消费电子设备的各种电子部件或器件的制造、配置(个性化设置)以及最终组装均在不同地点由不同方完成。例如，消费电子设备的电子芯片或微处理器可最初由芯片制造商制造，然后由拥有相应固件的另一方配置，最后由该消费电子设备的制造商(如oem)组装于最终产品内。
3.对于电子设备的此类分布式处理链，需要能够对电子设备的芯片或微处理器等电子部件或器件以安全且受控的方式进行配置的装置、系统及方法。


技术实现要素：

4.因此，本发明的目的在于提供能够对电子设备的芯片或微处理器等电子器件以安全且受控的方式进行配置的装置、系统及方法。
5.以上及其他目的由独立权利要求的技术方案实现，其他实施形式体现于从属权利要求、说明书及附图中。
6.根据本发明第一方面，提供一种配置控制装置，用于与配置设备服务器相连，该配置设备服务器可与一个或多个电子器件电连接，以根据多个配置服务层(也称配置服务品质或档次)当中的第一配置服务层，以使用程序代码对所述电子器件进行配置。就本文中的使用而言，所述多个配置服务层(例如，与所述配置设备服务器关联的所述第一配置服务层)定义了所述配置设备服务器(以及其他配置设备服务器)的不同配置服务层或品质档次。不同配置设备服务器的多个配置服务层或品质档次可例如反映了各个服务器对所述一个或多个电子器件进行配置时的速度或其他品质/表现衡量指标。所述多个配置服务层或品质档次可例如包括三个不同层或品质档次，如层1、层2及层3，其中，层1的关联配置服务表现或品质优于层2，而层2的关联配置服务表现或品质又优于层3。
7.所述电子器件可包括芯片、微处理器或其他可编程电子部件，如闪存、电可擦可编程只读存储器(eeprom)、可编程逻辑器件(pld)、现场可编程门阵列(fpga)以及内含非易失性存储元件的微控制器。所述程序代码可以为最初由远程服务器提供的固件。该程序代码可经过数字签名。该程序代码可以为个性化程序代码，其中，该程序代码可因例如含有识别号等独有程序代码或电子器件标识符以仅用于配置(即个性化设置)一种相应的电子器件。
8.上述第一方面的配置控制装置包括用于接收电子配置令牌的通信接口。该配置控制装置还包括用于根据所述电子配置令牌确定该电子配置令牌所提供的第二配置服务层。所述通信接口还用于向所述配置设备服务器发送所述程序代码，其中，所述处理器还用于当所述电子配置令牌所提供的第二配置服务层不足以令所述配置设备服务器按照所述第
一配置服务层对所述一个或多个电子器件进行配置时，禁止向所述配置设备服务器发送所述程序代码。也就是说，如果所述电子配置令牌所提供的第二配置服务层足以令所述配置设备服务器按照所述第一配置服务层对所述一个或多个电子器件进行配置时，所述处理器不禁止(即阻止)经所述通信接口向所述配置设备服务器发送所述程序代码。举例而言，当所述第二配置服务层仅为层2，而所述第一配置服务层为更高的层1时，所述电子配置令牌所提供的第二配置服务层可不足以令所述配置设备服务器按照所述第一配置服务层对所述一个或多个电子器件进行配置。
9.通过所述电子配置令牌，可以实现使所述配置控制装置能够控制所述配置设备服务器对电子器件的配置的优点。所述配置控制装置和配置设备服务器可处于不同方的控制之下，以下将对此进行进一步详细描述。
10.在另一实施方式中，所述电子配置令牌包括数字签名，其中，所述处理器用于根据所述电子配置令牌的数字签名，确定该电子配置令牌所提供的第二配置服务层，即例如确定该电子配置令牌为层1令牌、层2令牌或层3令牌。如此，可以实现使所述配置控制装置能够确定所述电子配置令牌所提供的层并验证该电子配置令牌最初由可信来源(即令牌生成服务器)生成的优点。
11.在另一实施方式中，所述配置控制装置还包括存有令牌生成服务器的多个公钥的存储器，其中，每一个公钥均与所述多个配置服务层当中的一个相应的配置服务层相关联(即相对应)。所述配置控制装置的处理器用于通过将所述电子配置令牌的数字签名与存于该配置控制装置的所述存储器内的所述令牌生成服务器的多个公钥当中一个进行验证而确定所述电子配置令牌所提供的第二配置服务层，即例如确定该电子配置令牌为层1令牌、层2令牌或层3令牌。例如，当有三个不同的配置服务层或品质档次(如层1、层2以及层3)时，所述配置控制装置的存储器可存有所述令牌生成服务器的三种不同公钥，以对所述数字签名进行验证，并因此确定所述电子配置令牌的配置服务层。
12.在另一实施方式中，所述处理器还用于在当所述电子配置令牌所提供的第二配置服务层低于所述第一配置服务层时，禁止(即阻止)向所述配置设备服务器发送程序代码。例如，当有三个不同的配置服务层或品质档次(如层1、层2以及层3)时，所述配置控制装置的处理器可用于在当所述电子配置令牌所提供的第二配置服务层例如为层1或层2，而所述配置设备服务器仅与层3配置服务(即品质或表现劣于层1和层2配置服务)相关联时，不阻止向所述配置设备服务器发送程序代码。
13.在另一实施方式中，所述通信接口用于经因特网等通信网络从远程服务器或所述令牌生成服务器接收所述电子配置令牌。所述远程服务器可以为电子设备制造商(本文也称oem)的服务器或者与其关联的服务器，所述电子设备制造商利用以其固件配置后的电子器件组装智能手机、平板电脑以及其他类型物联网设备等电子设备。如此，可以实现使所述电子设备制造商能够对以其固件对所述电子器件的配置进行控制的优点。
14.在另一实施方式中，所述通信接口可用于通过有线连接与所述配置设备服务器通信。在一种实施方式中，所述配置设备服务器可实施为个人计算机(pc)，而所述配置控制装置可实施为插在所述配置设备服务器中的pc卡。
15.在另一实施方式中，所述电子配置令牌可包括对与所述配置设备服务器的通信进行控制的配置控制数据，其中，所述处理器用于从所述电子配置令牌中获取所述配置控制
数据，并根据该配置控制数据，控制所述通信接口与所述配置设备服务器的通信。在一种实施方式中，所述配置控制数据可提供于所述电子配置令牌的标头中。如此，可以实现例如通过根据所述配置控制数据选择安全通信协议而对所述配置控制装置与配置设备服务器之间的通信进行控制的优点。
16.在另一实施方式中，所述电子配置令牌可进一步包括定义所述电子配置令牌的一个或多个有效时间段的数据，其中，所述处理器用于禁止在所述一个或多个有效时间段之外向所述配置设备服务器发送程序代码。如此，可以实现将所述电子器件的配置限制在例如由电子设备制造商指定的特定时间段内的优点。
17.在另一实施方式中，所述电子配置令牌可进一步包括识别该电子配置令牌的令牌标识符，其中，所述配置控制装置还包括存储器，该存储器用于将所述令牌标识符存入已经使用或正在使用的电子配置令牌的清单中。如此，可以实现保护所述配置控制装置不受重放攻击(一种再次利用已使用过的电子配置令牌配置电子器的攻击)损害的优点。在一种实施方式中，所述令牌标识符可以为只使用一次的随机数，该随机数在生成所述电子配置令牌的同时生成。
18.在另一实施方式中，所述电子配置令牌可进一步包括一项或多项电子器件类型标识符，其中，所述处理器用于在当电子器件与所述一项或多项电子器件类型标识符所识别的一个或多个电子器件类型不对应时，禁止向配置设备服务器发送程序代码进行配置。如此，可以实现确保所述电子配置令牌使得程序代码仅对目标电子器件进行配置的优点。所述电子器件类型标识符可例如为特定芯片或微处理器类型的标识符。
19.在另一实施方式中，所述电子配置令牌可进一步包括一项或多项程序代码标识符，其中，所述处理器用于在当所述程序代码与所述一项或多项程序代码标识符所识别的程序代码不同时，禁止向所述配置设备服务器发送程序代码。如此，可以实现确保所述配置设备服务器仅以目标程序代码(如固件)对电子器件进行配置的优点。
20.在另一实施方式中，所述通信接口用于接收加密形式的所述电子配置令牌，其中，所述处理器用于对加密形式的所述电子配置令牌进行解密。其中，可以使用pkcs#7等混合加密方案。如此，可以实现防止恶意方对截获的电子配置令牌加以利用的优点。
21.在另一实施方式中，所述电子配置令牌进一步包括配置计数，其中，该配置计数指示允许向所述配置设备服务器发送的所述程序代码的总次数。所述处理器还用于从所接收的电子配置令牌中获取所述配置计数，并在每次向所述配置设备服务器发送所述程序代码后，更新所述配置计数的值，以获得更新后的配置计数。此外，所述处理器用于在所述更新后的配置计数指示已达到所述总发送次数时，禁止继续向所述配置设备服务器发送所述程序代码。通过所述配置计数，可以实现使所述配置控制装置能够控制所述配置设备服务器以所述程序代码对电子器件的配置的优点，所述程序代码可以为电子设备制造商的程序代码。如此，所述电子设备制造商可通过所述配置控制装置，对所述配置设备服务器以该电子设备制造商的程序代码(如固件)配置的电子器件的数目进行远程控制。所述处理器可例如用于在每次向所述配置设备服务器发送所述程序代码后将所述配置计数递减，并在当所述更新后的配置计数指示已无剩余的允许发送次数后，例如，所述更新后的配置计数已变成零时，禁止再次向所述配置设备服务器发送所述程序代码。
22.根据第二方面，本发明涉及一种配置控制系统，包括：根据本发明第一方面的配置
控制装置；配置设备服务器，该配置设备服务器可与一个或多个电子器件电连接，以使用程序代码对所述一个或多个电子器件进行配置，其中，所述配置控制装置与该配置设备服务器连接，以控制所述一个或多个电子器件的配置；以及用于生成所述电子配置令牌的令牌生成服务器。
23.在上述第二方面系统的另一实施方式中，所述令牌生成服务器可用于响应于来自远程服务器(如电子设备制造商的远程服务器)的令牌请求，生成所述电子配置令牌。如此，可以实现使所述令牌生成服务器按照需求生成和提供所述电子配置令牌的优点。响应于所述请求，所述令牌生成服务器可将所生成的电子配置令牌提供给所述远程服务器，而后者可进一步将所生成的电子配置令牌转发给所述配置控制装置。作为替代方案，所述令牌生成服务器可将所生成的电子配置令牌直接提供给所述配置控制装置。
24.在上述第二方面系统的另一实施方式中，所述令牌生成服务器用于在向所述远程服务器提供所述电子配置令牌之前，以所述远程服务器的公钥验证所述令牌请求的数字签名。如此，可以实现使所述令牌生成服务器能够验证所述远程服务器为可信远程服务器的优点。
25.在上述第二方面系统的另一实施方式中，所述令牌生成服务器用于以多个私钥当中的一个对所述电子配置令牌进行数字签名，其中，每一私钥均与所述多个配置服务层当中的一个相应配置服务层相关联。例如，在有三个不同配置服务层或品质档次(如层1、层2以及层3)时，所述令牌生成服务器可利用三种不同私钥当中的一个，对所述电子配置令牌进行数字签名。
26.根据第三方面，本发明涉及一种由配置设备服务器以程序代码配置一个或多个电子器件的相应方法，其中，所述配置设备服务器可与所述一个或多个电子器件电连接，以根据多个配置服务层当中的第一配置服务层，以所述程序代码对所述一个或多个电子器件进行配置。该方法包括如下步骤：接收电子配置令牌；根据所述电子配置令牌，确定该电子配置令牌所提供的第二配置服务层；以及当所述电子配置令牌所提供的第二配置服务层不足以令所述配置设备服务器按照所述第一配置服务层对所述一个或多个电子器件进行配置时，禁止向所述配置设备服务器发送所述程序代码。
27.本发明第三方面的配置控制方法可由本发明第一方面的配置控制装置以及本发明第二方面的配置控制系统执行。本发明第三方面的配置控制方法的其他特征直接得自本发明第一方面的配置控制装置、本发明第二方面的配置控制系统及其描述于上下文中的不同实施方式的功能。
28.本发明实施方式可通过硬件和/或软件实现。
附图说明
29.以下结合附图，对本发明其他实施方式进行描述。附图中：
30.图1为根据本发明实施方式的配置控制系统的示意图，该系统包含根据本发明实施方式的配置控制装置；
31.图2为包括分别向两个配置控制装置提供相应电子配置令牌的两个远程服务器的配置控制情形的示意图；
32.图3为图1和图2配置控制装置所使用例示电子配置令牌的示意图；
33.图4为图1和图2配置控制装置与图1配置控制系统的其他部件的交互信令图。
34.图5为根据本发明实施方式的配置控制方法的步骤流程图。
35.附图中，相同或至少在功能上同等的构件以相同附图标记标注。
具体实施方式
36.下文描述将参考附图，这些附图构成本发明的一部分，而且以说明方式示出了本发明的各具体方面。应该理解的是，在不脱离本发明范围的前提下，还可采用其他方面，并且可以在结构或逻辑上做出变化。因此，以下具体描述不应视为构成限制，本发明的范围由权利要求书限定。
37.举例而言，应该理解的是，结合某一方法描述的公开内容还可适用于用于实施该方法的相应装置或系统，反之亦然。例如，假如以下描述了某一具体方法步骤，则即使文中未明确叙述或者附图中未明确示出，相应装置也可包括用于执行所描述的方法步骤的单元。此外，应该理解的是，除非另外特别指出，否则本文所述的各种例示方面的特征可彼此组合。
38.图1为根据本发明实施方式的配置控制系统100的示意图，该系统包括根据本发明实施方式的配置控制装置140。在配置控制装置140之外，配置控制系统100可进一步包括第一远程服务器110，第二远程服务器110'(示于图2)，令牌生成服务器120，以及用于以程序代码150(如固件150)对芯片或微处理器170等电子器件170进行配置或个性化设置的配置设备服务器160，以下将对此进行进一步详细描述。
39.如图1所示，配置控制装置140、第一远程服务器110(或称短距离远程服务器110)以及令牌生成服务器120可用于通过因特网等通信网络彼此通信。如此，配置控制装置140、远程服务器110以及令牌生成服务器120即可设于不同地点且处于不同方的控制之下。如图1所示，配置控制装置140和配置设备服务器160可处于个性化设置工厂130等生产环境130内。在一种实施方式中，远程服务器110可处于电子设备制造商(如oem)的控制下或与其相关联，其中，该电子设备制造商利用由配置设备服务器160以程序代码150配置的电子器件170，进行智能手机、平板电脑或其他类型物联网或消费电子设备等电子设备的组装。在一种实施方式中，程序代码150可以为远程服务器110的关联电子设备制造商的固件。
40.在一种实施方式中，配置控制装置140、远程服务器110以及令牌生成服务器120用于通过公钥基础设施和/或混合密码方案等一种或多种密码方案彼此间进行安全通信。
41.配置控制装置140用于与配置设备服务器160相连，例如通过有线或无线连接相连。在一种实施方式中，配置设备服务器160可实施为个人计算机(pc)，而配置控制装置140可实施为插在配置设备服务器160中的pc卡。配置设备服务器160可包括用于通过配置设备与电子器件170直接或间接交互的电气接口和/或机械接口。例如，配置设备服务器160可包括个性化设置盘，用于对插入其中的一批电子器件进行个性化设置。
42.在图1所示实施方式中，配置控制装置140包括处理器141，通信接口143以及非暂时性电子存储器145。配置控制装置140的通信接口143用于接收电子配置令牌180。在一种实施方式中，电子配置令牌180由令牌生成服务器120生成。在一种实施方式中，令牌生成服务器120可用于响应于从电子设备制造商的关联远程服务器110接收的令牌请求，生成电子配置令牌180。如此，可以实现使令牌生成服务器120按照需求(即当电子设备制造商希望通
过获得以程序代码150配置的电子器件170来进行电子设备的组装时)生成并提供电子配置令牌180的优点。
43.响应于所述请求，令牌生成服务器120可将所生成的电子配置令牌180提供给远程服务器110，而后者可进一步将所生成的电子配置令牌180转发给配置控制装置140。在另一实施方式中，令牌生成服务器120可将所生成的电子配置令牌180直接提供给配置控制装置140。
44.在一种实施方式中，配置控制装置140的通信接口143用于接收加密形式的电子配置令牌180，其中，处理器141用于对加密的电子配置令牌180进行解密。其中，可例如使用pkcs#7等混合加密方案。如此，可以实现防止恶意方对截获的电子配置令牌180加以利用的优点。
45.配置设备服务器160用于根据多个配置服务层当中指定的配置服务层(也称配置服务品质或档次)，以程序代码150配置电子器件170，以下将对此进行进一步详细描述。就本文中的使用而言，所述多个配置服务层(例如，与配置设备服务器160关联的第一配置服务层)定义了配置设备服务器160(以及其他配置设备服务器，如图2所示的其他配置设备服务器160')提供的不同配置服务层或设备配置品质档次。不同配置设备服务器160，160'的多个配置服务层或品质档次可例如反映了配置设备服务器160和图2所示配置设备服务器160'分别对一个或多个电子器件170，170'进行配置时的速度或其他品质/表现衡量指标。所述多个配置服务层或品质档次可例如包括三个不同层或品质档次，如层1、层2及层3，其中，层1的关联配置服务表现或品质优于层2，而层2的关联配置服务表现或品质又优于层3。
46.图1所示配置控制装置140的处理器141用于根据电子配置令牌180确定电子配置令牌180可提供的配置服务层为第二配置服务层。此时，虽然通信接口143还用于向配置设备服务器160发送程序代码150，但是处理器141进一步用于在当电子配置令牌180所提供的第二配置服务层不足以令配置设备服务器160按照第一配置服务层配置一个或多个电子器件170时，禁止向配置设备服务器160发送程序代码150。也就是说，如果电子配置令牌180所提供的第二配置服务层足以令配置设备服务器160按照第一配置服务层配置一个或多个电子器件170，则处理器141不禁止(即阻止)经通信接口143向配置设备服务器160发送程序代码150。举例而言，如果第二配置服务层(即电子配置令牌180所提供的或其所确定的层)为层2，而第一配置服务层(即与配置设备服务器160关联的层)为高于层2的层1，则电子配置令牌180所提供的第二配置服务层可不足以令配置设备服务器160按照第一配置服务层配置一个或多个电子器件170。
47.从图3中可以看出，电子配置令牌180可包括数字签名188，其中，处理器141用于根据电子配置令牌180的数字签名188，确定电子配置令牌180所提供的(即其所确定的)第二配置服务层，也就是说，判断电子配置令牌180例如是否为层1令牌，层2令牌或层3令牌。
48.如图1所示，配置控制装置140可进一步包括存有令牌生成服务器120的多个公钥121b，121b'的非暂时性电子存储器145，其中，相应私钥121a，121a'以安全方式存储于令牌生成服务器120内。在一种实施方式中，每一公钥121b，121b'均与所述多个配置服务层当中的一个相应配置服务层相关联(即相对应)。在一种实施方式中，配置控制装置140的处理器141用于通过将电子配置令牌180的数字签名188与配置控制装置140存储器145内存储的令牌生成服务器120的多个公钥121b，121b'当中的一个相验证来确定电子配置令牌180所提
供的第二配置服务层，也就是说，判断电子配置令牌180例如是否为层1令牌，层2令牌或层3令牌。在图1示例中，配置控制装置140的存储器145存有令牌生成服务器120的两种不同密钥121b，121b'(对应于两个不同配置服务层或品质档次，如层1和层2)，用于验证数字签名188，并因此确定电子配置令牌180的关联配置服务层。
49.在图2所示的另一实施方式中，当电子配置令牌180所提供的第二配置服务层低于(即配置服务的品质或表现低于)配置设备服务器160所关联的第一配置服务层时，配置控制装置140的处理器141还用于禁止(即阻止)向配置设备服务器160发送程序代码150。图2所示为具有两个远程服务器110，110'的配置控制系统100的一例，所述两个远程服务器与内含配置控制装置140和配置设备服务器160的生产环境130以及内含另一配置控制装置140'和另一配置设备服务器160'的另一生产环境130'交互。如图2所示，举例而言，内含配置设备服务器160的生产环境130提供较高品质和/或表现的层1配置服务，而内含另一配置设备服务器160'的另一生产环境130'提供较低品质和/或表现的层2配置服务。生产环境130例如因能够比另一生产环境130'更快地配置和传送一个或多个电子器件170而与更高层的配置服务相关联。
50.对于图2所示具有两个不同配置服务层或品质档次(如层1和层2)的例示情形，当电子配置令牌180所提供的第二配置服务层例如为层1，而配置设备服务器160'仅与层2配置服务相关联(即品质或表现劣于层1和层2配置服务)时，另一生产环境130'的另一配置控制装置160'的处理器可用于不阻止向配置设备服务器160'发送程序代码150'。类似地，由于电子配置令牌180(由层1的私钥121a数字签名)所提供的第二配置服务层和配置设备服务器160的关联第一配置服务层均为层1(即较高的品质和/或表现)，因此生产环境130的配置控制装置140的处理器141不阻止向配置设备服务器160发送程序代码150。然而，当生产环境130的配置控制装置140的处理器141接收到层2电子配置令牌180'(由层2的私钥121a'数字签名)时，由于电子配置令牌180'所提供的(即其所确定的)第二配置服务层不够(例如，过低)，因此其将阻止向配置设备服务器160发送程序代码150。也就是说，在图2示例中，内含另一配置控制装置140'和另一配置设备服务器160'的层2生产环境130'接收层1电子配置令牌180和层2电子配置令牌180'这两种电子配置令牌，而层1生产环境130仅接受层1电子配置令牌180，而不接受层2电子配置令牌180'。
51.如图3所示，除了数字签名188之外，电子配置令牌180可进一步包括其他数据，如用于控制配置控制装置140，140'与配置设备服务器160，160'之间通信的配置控制数据181。处理器141可用于从电子配置令牌180，180'获取配置控制数据181，并根据配置控制数据181控制通信接口143与配置设备服务器160，160'的通信。如图3所示，配置控制数据181可提供于电子配置令牌180的标头181中。如此，可以实现例如通过根据配置控制数据181选择安全通信协议来对配置控制装置140，140'与配置设备服务器160，160'之间的通信进行控制的优点。
52.此外，电子配置令牌180可包括确定电子配置令牌180的一个或多个有效时间段的数据187。处理器141可用于禁止在所述一个或多个有效时间段之外向配置设备服务器160，160'发送程序代码150，150'。如此，可以实现将程序代码150，150'对电子器件170，170'的配置限制在例如由远程服务器110，110'和/或令牌生成服务器120的关联设备制造商指定的特定时间段内的优点。
53.电子配置令牌180可进一步包括唯一性地识别电子配置令牌180的令牌标识符183，其中，配置控制装置140，140'的电子存储器145用于将令牌标识符183存入已经使用过或正在使用中的电子配置令牌180，180'的清单(即黑名单)。如此，可以实现保护配置控制装置140，140'不受重放攻击(一种再次利用已使用过的电子配置令牌配置电子器件170，170'的攻击)损害的优点。在一种实施方式中，令牌标识符183可以为只使用一次的随机数183，该随机数由令牌生成服务器120在生成电子配置令牌180的同时生成。
54.如图3所示，电子配置令牌180可进一步包括一项或多项电子器件类型标识符186。处理器141可用于在当电子器件与所述一项或多项电子器件类型标识符186所识别的一个或多个电子器件类型不对应时，禁止向配置设备服务器160，160'发送程序代码150，150'。如此，可以实现确保电子配置令牌180使得程序代码150，150'仅对目标电子器件170，170'进行配置的优点。所述一项或多项电子器件类型标识符186可例如包括特定芯片或微处理器类型的标识符。
55.电子配置令牌180可进一步包括一项或多项程序代码标识符185。当程序代码150，150'与所述一项或多项程序代码标识符185所识别的一个或多个程序代码不同时，处理器141可用于禁止向配置设备服务器160，160'发送程序代码150，150'。如此，可以实现确保仅目标程序代码(如固件150，150')用于配置电子器件170，170'的优点。如图3所示，电子配置令牌180可进一步包括用于识别电子配置令牌180，180'的关联电子设备制造商的一项或多项标识符184。
56.如图3所示，电子配置令牌180可进一步包括表示程序代码150，150'总发送次数的配置计数182。配置控制装置140，140'的处理器141用于从所接收的电子配置令牌180获取配置计数182，并例如通过在每次发送程序代码150，150'后均将配置计数182的值递减的方式对其进行更新，从而获得更新后的配置计数。当更新后的配置计数表示已达到总发送次数时，例如，当更新后的配置计数已变成零这一值时，处理器141用于禁止向配置设备服务器160，160'发送程序代码150，150'。如此，可以实现使配置控制装置140，140'能够根据电子配置令牌180，180'对配置设备服务器160，160'所配置的电子器件170，170'的个数保持控制的优点。
57.图4为配置控制装置140，140'与配置控制系统100的其他部件，即远程服务器110，110'、令牌生成服务器120、配置设备服务器160，160'及待配置的电子器件170，170'的交互信令图。在图4所示以下步骤当中，部分步骤已在图1和图2的描述部分中进行了说明。
58.在图4步骤401中，举例而言，远程服务器110(例如与特定电子设备制造商相关联)向令牌生成服务器120发送令牌请求(该请求也可由第二远程服务器110'发送，但是在下述情形中，将以第一远程服务器110为例进行说明)。远程服务器110可利用私钥111a对所述令牌请求进行数字签名。如此，可使得令牌生成服务器120在将电子配置令牌180提供给远程服务器110之前，用于以远程服务器110的公钥111b对所述令牌请求的数字签名进行验证。如此，可以实现使令牌生成服务器120能够验证远程服务器110为可信远程服务器的优点。
59.响应于步骤401中的请求，在图4步骤403中，令牌生成服务器120生成电子配置令牌180。除了上述数字签名188(利用所述多个私钥121a，121a'当中的一个生成，其中，每一私钥121a，121a'均与不同的配置服务层相关联)之外，如上所述，电子配置令牌180还可包括图3所示数据要素中的一项或多项。
60.在步骤405中，令牌生成服务器120向远程服务器110提供电子配置令牌180，而后者进一步将电子配置令牌180转发给配置控制装置140(图4步骤407)。一旦接收后，在图4步骤409中，配置控制装置140以令牌生成服务器120的所述多个公钥121b，121b'当中的一个，对电子配置令牌180的数字签名188进行验证，从而实现电子配置令牌180的验证，并进而确定电子配置令牌180所提供的配置服务层，以上已在图1和图2的描述部分中对此进行了详细说明。
61.在步骤409中，如果配置控制装置140根据数字签名188确定电子配置令牌180所提供的配置服务层不足以令配置设备服务器160进行电子器件的配置(例如，由于配置设备服务器160与更高层的配置服务相关联)，配置控制装置140的处理器141将阻止向所述配置设备服务器发送任何程序代码150。在图4步骤410中，将这一情况报告给远程服务器110。
62.与此相反，如果上述验证成功(例如，电子配置令牌180所提供的配置服务层高于或等于配置设备服务器160的关联配置服务层)，配置控制装置140向配置设备服务器160提供个性化程序代码150(图4步骤411)，而后者进一步以个性化程序代码150对电子器件170进行配置(图4步骤413)。在每次发送个性化程序代码150后，配置控制装置140均对配置计数182的值进行调节(图4步骤415)。电子器件170的配置一直进行至配置设备服务器160已配置的电子器件170数目达到所允许的电子器件170的总数(由配置计数182确定)为止。在图4步骤417中，配置设备服务器160向配置控制装置140发送相应报告。此时，配置控制装置140将阻止继续向配置设备服务器160发送任何个性化程序代码150，并因此阻止对任何其他电子器件170进行个性化配置。
63.在图4步骤419中，配置控制装置140向电子设备制造商的关联远程服务器110报告，已经以相应的个性化程序代码150完成电子器件170的配置，所配置的电子器件个数达到所请求的总数(指示于电子配置令牌180的最初配置计数182中)。如此，可触发远程服务器110向配置控制装置140提供其他电子配置令牌180，以及/或者向令牌生成服务器120请求新的电子配置令牌180。
64.图5为配置设备服务器160，160'以程序代码150，150'配置一个或多个电子器件170，170'的方法500的步骤流程图，其中，配置设备服务器160，160'可与一个或多个电子器件170，170'电连接，以供按照多个配置服务层当中的第一配置服务层，以程序代码150，150'对一个或多个电子器件170，170'进行配置。
65.方法500包括如下步骤：接收501电子配置令牌180，180'；根据电子配置令牌180，180'确定503电子配置令牌180，180'所提供的第二配置服务层；以及当电子配置令牌180，180'所提供的第二配置服务层不足以令配置设备服务器160，160'按照第一配置服务层对一个或多个电子器件170，170'进行配置时，禁止505向配置设备服务器160，160'发送程序代码150，150'。
66.可以理解的是，本发明实施方式在电子器件和设备的安全生产和个性化设置方面提供了更高的灵活性。此外，对于电子设备，本发明实施方式实现了电子器件和部件生产的安全委派。另外，对于安全性要求较高的系统，本发明实施方式实现了工作量的平衡和应需生产/个性化设置。
67.虽然以上可能将本发明的某个特定特征或方面仅结合多种实现方式或实施方式当中的一种进行了描述，但是应任何给定或特定应用的需求或为了有利于该应用，此类特
征或方面也可与其他实现方式或实施方式的一个或多个其他特征或方面相结合。
68.此外，就在本详细说明书和权利要求中的使用而言，“含有”、“具有”、“带有”三词或这些词的其他形式旨在与“包括”一词类似，为开放性词语。此外，“例示”、“例如”、“如”三词仅旨在举例，并不表示最佳或最优。以上可能使用了“连接”和“相连”两词及其派生词。应该理解的是，这些词旨在表示，两个元件彼此协作或相互作用，与其是否直接物理接触或电学接触无关，也与其是否未直接接触无关。
69.虽然本文图示且描述了特定方面，但是本领域普通技术人员可以理解的是，在不脱离本发明范围的情况下，图示和本文描述的特定方面能够以各种替代实施方案和/或等同实施方案代替。本技术旨在涵盖本文所述具体方面的任何修饰或变化形式。
70.虽然权利要求中的元素以相应标记和特定顺序描述，但是除非权利要求文中暗示这些元素中的部分或全部须以特定顺序实施，否则这些元素旨在并非必须限制为按照所描述的特定顺序实施。
71.根据以上公开内容，许多替代方案、修改方案以及变更方案对于本领域技术人员而言是容易理解的。当然，本领域技术人员将易于认识到，除了本文所述之外，本发明还有多种其他应用。虽然本发明已在上文中参考一种或多种具体实施方式进行了描述，但是本领域技术人员可意识到的是，在不脱离本发明范围的前提下，还可对其做出多种变化。因此，需要理解的是，在各权利要求及其等同之物的范围内，本发明还能够以本文具体描述之外的其他方式实施。