听力设备、用户附属设备和用于更新听力设备配置的方法与流程

本公开涉及一种包括服务器设备、听力设备和用户附属设备的听力系统。特别地，本公开涉及用于更新听力设备配置的方法、相关听力设备和相关用户附属设备。

背景技术：

在无线通信技术的持续发展中，与听力系统的不同实体的无线通信不断增加。然而，为了保护听力系统中的通信，新技术为助听器制造商带来新的挑战。听力系统的无线通信接口期望地使用基于开放标准的接口。然而，这在安全性方面带来了许多挑战。此外，听力设备是在计算能力、存储空间等方面具有严格约束的非常小的设备。

技术实现要素：

需要一种支持更新听力设备配置(例如，远程验配或远程微调听力设备)的提供改进且有效的安全性的听力设备、用户附属设备和方法。此外，需要一种减少听力设备使用第三(未经授权的)方危害的配置数据执行更新的风险的设备和方法。

本公开的目的在于提供一种在听力设备处执行的用于更新听力系统的听力设备处的听力设备配置的方法。听力系统包括听力设备、被配置为由分发者(dispenser)控制的验配设备和服务器设备。该方法包括：接收配置包和配置认证包，配置认证包包括分发者证书。该方法包括：确定是否满足更新准则。更新准则基于验证配置认证包。该方法包括：如果满足更新准则，则基于配置包更新听力设备配置。

本公开涉及一种在用户附属设备处执行的用于远程配置听力系统中的听力设备的方法。该方法可以在安装在用户附属设备处的用户应用处执行。听力系统包括与用户附属设备相关联的听力设备、用户附属设备、验配设备和服务器设备。用户附属设备与听力设备相关联、配对或耦合，例如无线耦合。该方法包括：从服务器设备接收配置验证包、配置认证包和配置包中的一个或多个。配置包包括配置净荷块和控制块(例如，元数据)。该方法包括：确定是否满足验证准则。验证准则至少基于验证配置验证包、配置认证包和配置包中的一个。该方法包括：如果满足验证准则，则将配置认证包和/或配置包发送至听力设备。

本公开涉及一种听力设备，包括：处理器，被配置为基于听力设备配置来补偿用户的听力损失；接口；和存储单元。听力设备被配置为执行本文公开的方法。

本公开涉及一种被配置为安装在听力系统的用户附属设备上的用户应用。用户附属设备包括处理单元、存储器单元和接口。用户应用当被安装在用户附属设备上时被配置为执行本文公开的方法。

本公开涉及一种听力系统的用户附属设备。用户附属设备包括处理单元、存储器单元和接口。用户附属设备被配置为执行本文公开的方法。

本公开的优点在于，所公开的听力设备和所公开的用户附属设备支持符合听力设备的有限计算能力的安全的远程配置或远程调谐。

因此，本公开有利地提供了能够实现听力设备的有效且安全的远程配置的方法、相关听力设备、相关用户应用和相关用户附属设备。

附图说明

通过参考附图对本公开的示例性实施例的以下详细描述，本公开的上述和其他特征和优点对于本领域技术人员将是显而易见的，其中：

图1示意性地示出听力系统，

图2是根据本公开的在听力设备上执行的示例性方法的流程图，

图3是根据本公开的在用户附属设备上或在其上安装的用户应用上执行的示例性方法的流程图，

图4示意性地示出根据本公开的示例性配置包和示例性配置验证包，

图5示意性地示出根据本公开的示例性配置认证包，

图6示意性地示出根据本公开的示例性听力设备，以及

图7示意性地示出根据本公开的示例性用户附属设备。

附图标记列表

1 听力系统

2 验配设备

4 服务器设备

6 听力设备系统

8 听力设备

10 用户附属设备

12 用户应用

20 用户附属设备与听力设备之间的通信链路

21 服务器设备与用户附属设备之间的通信链路

22 验配设备与服务器设备之间的通信链路

23 验配设备与听力设备系统之间的通信链路

24 天线

26 无线电收发器

28 第一麦克风

30 第二麦克风

32 处理器

32a 确定模块

32b 更新模块

33 接口

34 接收器

35 存储器单元

36 处理单元

36a 确定模块

38 存储器单元

40 接口

100 在听力设备中执行的方法

200 在用户附属设备或用户应用中执行的方法

402 配置包

403 配置包数据

404 配置净荷块

406 配置控制块

408 配置数据

409 配置数据完整性指示符

412 配置验证包

414 第一完整性指示符

416 第二完整性指示符

418 第一数字签名

419 配置块

502 配置认证包

504 配置认证材料

506 分发者证书

508 第二数字签名

具体实施方式

以下参考相关附图描述各种示例性实施例和细节。应当注意，附图可以或可以不按比例绘制，并且在整个附图中，类似结构或功能的元件由类似附图标记表示。还应当理解，附图仅旨在便于实施例的描述。它们不旨在作为对本发明的详尽描述或作为对本发明的范围的限制。另外，所示实施例不需要示出所有方面或优点。结合特定实施例描述的方面或优点不一定限于该实施例，并且即使未示出或未明确描述，也可以在任何其它实施例中实践。

本公开涉及能够实现并且保护听力系统中的听力设备的远程更新或配置。听力系统包括服务器设备、听力设备、用户附属设备和验配设备。验配设备由分发者控制并且被配置为确定配置数据，例如验配参数。服务器设备可以由听力设备制造商控制。服务器设备可以是分布式服务器设备，即具有分布式处理器的服务器设备。即，本文公开的方法、听力设备、用户附属设备和用户应用能够通过验配设备远程配置听力设备，其中，通过实现适当的保护措施和对策(例如，安全机制)以抵御威胁和攻击，远程配置对安全威胁、漏洞和攻击具有鲁棒性。本公开涉及一种用于更新听力设备配置的方法，其对于重放攻击、未授权访问、电池耗尽攻击和中间人攻击具有鲁棒性。

本公开涉及处理分发者和听力设备用户遇到的情况。可以在以下示例中对此进行说明。听力设备用户呼叫分发者(例如，从家中)并投诉关于早期在专业分发者营业所完成的配置或验配。为了避免使用户再次回到分发者营业所进行配置，发明人提出使分发者在营业所调整某些配置值(例如，1kHz处的+3db增益)并将所得到的配置包-或微调包-发送至听力设备或安装有应用的用户附属设备来处理听力设备。听力设备用户能够使用该应用来下载配置包并将它应用于听力设备。然而，配置包的这种获取应当是安全的，配置包应当是完整性受保护的，并且使得在听力设备上安装配置包的整个处理链应当是保密的、认证的和完整性受保护的。

本公开涉及听力系统的实体之间的听力系统通信。用户附属设备构成听力设备的附属设备。用户附属设备通常是配对的或无线耦合至听力设备。听力设备可以是助听器，例如耳后(BTE)式助听器、耳内(ITE)式助听器、入耳(ITC)式助听器、耳道内接收器(RIC)式助听器或耳内接收器(RITE)式助听器。通常，听力设备系统由听力设备用户拥有和控制。用户附属设备可以是手持设备，例如智能电话、智能手表或平板计算机。

如本文所使用的，术语“标识符”是指用于识别(例如，分类和/或唯一识别)的数据片段。标识符可以是字、数字、字母、符号、列表、数组或其任何组合的形式。例如，作为数字的标识符可以是整数形式，例如无符号整数、具有一长度的单位，或其他形式，例如无符号整数的数组。标识符可以具有若干字节的长度。例如，听力设备标识符可以具有20字节的长度。

本公开涉及一种在听力设备上执行的用于在听力系统的听力设备处更新听力设备配置的方法。听力系统包括听力设备、被配置为由分发者控制的验配设备和服务器设备。该方法包括：接收配置包和配置认证包，例如在听力设备处接收配置包和配置认证包。配置认证包包括分发者证书。该方法包括：确定是否满足更新准则。更新准则基于验证配置认证包。该方法包括：如果满足更新准则，则基于配置包更新听力设备配置。配置包包括配置数据，例如与听力设备相关的数据。与听力设备相关的数据可以包括听力设备设置和/或验配参数。

在听力设备处执行的一个或多个示例性方法中，听力系统包括用户附属设备。接收配置包和配置认证包可以包括：从用户附属设备或从安装在用户附属设备上的用户应用接收配置包和配置认证。用户附属设备可能已经从验配设备和/或从服务器设备接收到配置包和配置认证包。

在听力设备处执行的一个或多个示例性方法中，确定是否满足更新准则包括：验证分发者证书，并且如果验证分发者证书失败，则不满足更新准则。换句话说，更新准则基于验证包括在配置认证包中的分发者证书，并且如果验证分发者证书成功，则满足更新准则。验证分发者证书包括：验证分发者证书是有效的，并且当验证分发者证书有效时，示例性方法可以包括：继续于基于配置包来更新听力设备配置。

在听力设备处执行的一个或多个示例性方法中，验证分发者证书包括：使用证书密钥来解密分发者证书。换句话说，配置认证包可以包括加密形式的分发者证书，这需要将听力设备配置为使用证书密钥来解密接收到的分发者证书。在听力设备处执行的一个或多个示例性方法中，验证分发者证书包括：基于来自听力设备的存储器单元的密钥材料和/或来自配置认证包的材料导出证书密钥。导出证书密钥可以包括：从例如听力设备的存储单元获得公共秘密(common secret)，并且基于公共秘密来计算证书密钥。例如，获得公共秘密可以包括：使用配置认证包中提供的公共秘密标识符，从听力设备的存储器单元中检索公共秘密，并且基于公共秘密且可能地基于基础密钥来计算证书密钥。替代地或附加地，获得公共秘密可以包括：使用配置认证包中提供的标识符来检索密钥材料，并且基于检索到的密钥材料和随机数据来计算公共秘密。

在听力设备处执行的一个或多个示例性方法中，配置认证包还包括认证数据。验证分发者证书可以包括：将认证数据的一个或多个元素与分发者证书的对应元素进行比较，并且如果认证数据的至少一个元素与分发者证书的对应元素不匹配，则验证分发者证书失败。换句话说，如果认证数据的至少一个元素与分发者证书的对应元素不匹配，则可能不满足更新准则，导致更新未被触发。将认证数据的一个或多个元素与分发者证书的对应元素进行比较可以包括：将以明文接收的认证数据的一个或多个元素与经解密的分发者证书的对应元素进行比较。例如，认证数据包括以明文接收的验配类型标识符和以明文接收的验配密钥标识符，而经解密的分发者证书包括验配类型标识符和验配密钥标识符。在本示例中，听力设备将以明文接收的验配类型标识符与经解密的分发者证书的验配类型标识符进行比较，并且将以明文接收的验配密钥标识符与分发者证书的验配密钥标识符进行比较。在本示例中，如果听力设备识别出以明文接收的验配类型标识符与经解密的分发者证书的验配类型标识符之间的不匹配和/或以明文接收的验配密钥标识符与分发者证书的验配密钥标识符之间的不匹配，则不满足更新准则，并且中止更新。

在听力设备处执行的一个或多个示例性方法中，验证分发者证书包括：确定验配设备和/或分发者是否被列入黑名单，并且如果验配设备和/或分发者被列入黑名单，则验证分发者证书失败。例如，使用包括已经从听力系统排除的验配设备和/或分发者的标识符的黑名单来确定验配设备和/或分发者是否被列入黑名单。黑名单用作缓解工具，用于防止使用丢失凭证的攻击。在听力设备处执行的一个或多个示例性方法可以包括：验证分发者证书的证书类型标识符。某些听力设备只能接受来自某些类型的验配设备的配置包。

在听力设备处执行的一个或多个示例性方法中，基于配置包来更新听力设备配置包括：使用配置会话密钥来解密配置包。例如，基于配置包更新听力设备配置可以包括：基于存储在听力设备的存储器单元中的基础密钥来导出配置会话密钥。基础密钥可以与服务器设备共享或共用。

在听力设备处执行的一个或多个示例性方法中，配置包包括配置数据完整性指示符，并且更新听力设备配置包括：基于配置包来验证配置数据完整性指示符，并且如果配置数据完整性指示符的验证失败，则终止或中止基于配置包来更新听力设备配置。可以例如使用SHA1或SHA2对配置数据计算配置数据完整性指示符。如果配置数据完整性指示符的验证成功，则更新继续与于存储配置包中包含的配置数据。这支持保护听力设备免于接受的已经被篡改的配置数据。

在听力设备处执行的一个或多个示例性方法中，听力设备是助听器，被配置为补偿用户的听力损失。

本公开涉及一种听力设备，包括：处理器，被配置为基于听力设备配置来补偿用户的听力损失；接口；以及存储单元。听力设备被配置为执行本文公开的方法。

本公开涉及一种在用户附属设备处执行的用于远程配置听力系统中的听力设备的方法。该方法可以在安装在用户附属设备上的用户应用处执行。用户应用在被安装在用户附属设备上时被配置为执行本文公开的在用户附属设备处执行的方法。听力系统包括与用户附属设备相关联的听力设备、用户附属设备、验配设备和服务器设备。用户附属设备与听力设备相关联、配对或耦合，例如无线耦合。该方法包括：例如经由通信链路21从服务器设备接收配置验证包、配置认证包和配置包中的一个或多个。配置包包括配置净荷块和控制块(例如，元数据)。

该方法包括：确定是否满足验证准则。验证准则至少基于验证配置验证包、配置认证包和配置包中的一个。

该方法包括：如果满足验证准则，则例如经由无线通信链路，将配置认证包和/或配置包发送至听力设备。该方法可以包括：只有成功验证配置认证包或其之后，将配置包发送至听力设备。该方法可以包括：如果不满足验证准则，则省略将任何配置认证包和配置包发送至听力设备。

在用户附属设备处执行的一个或多个示例性方法中，配置认证包包括第二数字签名；并且验证准则包括基于验证第二数字签名的第一验证准则。在用户附属设备处执行的一个或多个示例性方法中，如果不满足第一验证准则，则不满足验证准则。换句话说，如果满足第一验证准则，则可以满足验证准则。可以使用可以存储在用户附属设备的存储器单元中的配置公钥来执行验证第二数字签名。

在用户附属设备处执行的一个或多个示例性方法中，配置验证包包括完整性指示符集和/或第一数字签名，并且验证准则包括第二验证准则，其包括第二主验证准则和第二辅验证准则。完整性指示符集可以包括第一完整性指示符、第二完整性指示符，以及可选地包括第三完整性指示符。第二主验证准则可以基于验证例如使用配置公钥的第一数字签名。第二辅验证准则可以基于：例如通过以下步骤，例如基于配置净荷块和控制块来验证完整性指示符集：在配置净荷块上计算第一配置数据完整性指示符，并将计算出的第一配置数据完整性指示符与接收到的完整性指示符集的第一完整性指示符进行比较，和/或在控制块上计算第二配置数据完整性指示符，并将计算出的第二配置数据完整性指示符与接收到的完整性指示符集的第二完整性指示符进行比较。如果不满足第二主验证准则或第二辅验证准则，则可以不满足验证准则。换句话说，如果满足第二主验证准则和第二辅验证准则，则可以满足验证准则。

在用户附属设备处执行的一个或多个示例性方法中，配置验证包和/或配置认证包包括听力设备标识符和/或地址标识符。验证准则可以包括第三验证准则，其基于接收到的听力设备标识符对应于与用户附属设备相关联的听力设备的听力设备标识符，例如基于验证接收到的听力设备标识符是否对应于与用户附属设备相关联的听力设备的听力设备标识符。替代地或附加地，验证准则可以包括第四验证准则，其基于接收到的地址标识符对应于与用户附属设备相关联的听力设备的地址标识符，例如基于验证接收到的地址标识符是否对应于与用户附属设备相关联的听力设备的地址标识符。如果不满足第三验证准则或第四验证准则，则可以不满足验证准则。换句话说，如果满足第三验证准则和第四验证准则，则可以满足验证准则。

在用户附属设备处执行的一个或多个示例性方法中，如果不满足第一验证准则、第二主验证准则、第二辅验证准则、第三验证准则或第四验证准则，则不满足验证准则。

在用户附属设备处执行的一个或多个示例性方法中，如果满足第一验证准则、第二主验证准则、第二辅验证准则、第三验证准则和第四验证准则，则满足验证准则。

本公开涉及一种被配置为安装在听力系统的用户附属设备上的用户应用。用户附属设备包括处理单元、存储器单元和接口。用户应用在被安装在用户附属设备上时被配置为执行本文公开的方法。

本公开涉及一种听力系统的用户附属设备。用户附属设备包括处理单元、存储器单元和接口。用户附属设备被配置为执行本文公开的方法。

图1示出示例性听力系统1。听力系统1包括服务器设备4、验配设备2和听力设备8以及附属设备10。可以设想，听力设备8和附属设备10形成听力设备系统6的一部分。用户附属设备10是例如智能电话的手持设备，被配置为与听力设备8进行无线通信。用户应用12安装在用户附属设备10上。用户应用可以用于控制听力设备8和/或辅助佩戴/使用听力设备8的听力设备用户。在一个或多个示例性用户应用中，用户应用12被配置为将配置数据(例如，听力设备设置或验配参数)传送至听力设备。用户附属设备10包括处理单元36、存储器单元38和接口40。用户应用12可以安装在用户附属设备10的存储器单元38中。

听力设备8包括天线24和耦合至天线24的无线电收发器26，用于接收/发送包括第一通信链路20的无线通信。听力设备8包括一组麦克风，其包括第一麦克风28，以及可选地包括第二麦克风30，用于提供相应的第一和第二麦克风输入信号。听力设备8可以是单麦克风听力设备。听力设备8包括连接至处理器32的存储器单元(未示出)，其中，配置数据(例如，配置或听力设备设置)被存储在存储器单元中。

听力设备8包括连接至收发器26和麦克风28、30的处理器32，用于接收和处理输入信号。处理器32被配置为基于听力设备设置来补偿用户的听力损失，并且基于输入信号提供电输出信号。接收器34将电输出信号转换为音频输出信号，以引导向听力设备用户的耳膜。

验配设备2能够通过通信链路22与服务器设备4通信，并且通过通信链路23与听力设备系统6通信。在实施例中，验配设备被配置为经由通信链路23与附属设备10通信。听力设备8能够通过通信链路20与用户附属设备10通信。用户附属设备10可以被配置为经由通信链路21与服务器设备4通信。通信链路可以包括无线通信链路和/或有线通信链路。

图2示出根据本公开的在听力设备(例如，图1的听力设备8)处执行的示例性方法100的流程图。方法100旨在：例如基于接收到已经由分发者远程准备的配置包，在听力系统的听力设备处更新听力设备配置。方法100包括：接收(S101)配置包和配置认证包，配置认证包包括分发者证书。方法100包括：确定(S102)是否满足更新准则。更新准则基于验证配置认证包。方法100包括：如果满足更新准则，则基于配置包更新(S103)听力设备配置。

在一个或多个示例性方法中，听力系统包括用户附属设备。接收(S101)配置包和配置认证包可以包括：经由通信链路20，从用户附属设备或从安装在用户附属设备上的用户应用接收(S101a)配置包和配置认证。

在听力设备处执行的一个或多个示例性方法中，确定(S102)是否满足更新准则包括：验证(S102a)分发者证书，并且如果验证分发者证书失败，则不满足更新准则。

在听力设备处执行的一个或多个示例性方法中，验证(S102a)分发者证书包括：使用证书密钥来解密(S102aa)分发者证书。在听力设备处执行的一个或多个示例性方法中，验证(S102a)分发者证书包括：基于来自听力设备的存储器单元的密钥材料和/或来自配置认证包的材料导出(S102ab)证书密钥。导出(S102ab)证书密钥可以包括：从例如听力设备的存储单元获得公共秘密，并且基于公共秘密来计算证书密钥。例如，获得公共秘密可以包括：使用配置认证包中提供的公共秘密标识符从听力设备的存储器单元中检索公共秘密，并且基于公共秘密且可能地基于基础密钥来计算证书密钥。替代地或附加地，获得公共秘密可以包括：使用配置认证包中提供的标识符来检索密钥材料，并且基于检索到的密钥材料和随机数据来计算公共秘密。

在听力设备处执行的一个或多个示例性方法中，配置认证包还包括认证数据。验证(S102a)分发者证书可以包括：将认证数据的一个或多个元素与分发者证书的对应元素进行比较(S102ac)，并且如果认证数据的至少一个元素与分发者证书的对应元素不匹配，则验证分发者证书失败。将认证数据的一个或多个元素与分发者证书的对应元素进行比较(S102ac)可以包括：将以明文接收的认证数据的一个或多个元素与经解密的分发者证书的对应元素进行比较。

在听力设备处执行的一个或多个示例性方法中，验证(S102a)分发者证书包括：确定(S102ad)验配设备和/或分发者是否被列入黑名单，并且如果验配设备和/或分发者被列入黑名单，则验证分发者证书失败。例如，使用包括已经从听力系统排除的验配设备和/或分发者的标识符的黑名单来执行确定(S102ad)验配设备和/或分发者是否被列入黑名单。

在听力设备处执行的一个或多个示例性方法中，基于配置包来更新(S103)听力设备配置包括：使用配置会话密钥来解密(S103a)配置包。例如，基于配置包更新(S103)听力设备配置可以包括：基于存储在听力设备的存储器单元中的基础密钥来导出(S103b)配置会话密钥。基础密钥可以与服务器设备共享或共用。

在听力设备处执行的一个或多个示例性方法中，配置包包括配置数据完整性指示符，并且更新(S103)听力设备配置包括：基于配置包来验证(S103c)配置数据完整性指示符，并且如果配置数据完整性指示符的验证失败，则终止或中止基于配置包更新听力设备配置。

在听力设备处执行的一个或多个示例性方法中，方法100可以包括在满足更新准则时将配置数据存储和/或应用于听力设备。

图3示出根据本公开的在用户附属设备(例如，图1的设备10)或在安装在用户附属设备上的用户应用处执行的示例性方法200的流程图。方法200旨在：支持听力系统中的听力设备的远程配置。该方法可以在安装在用户附属设备上的用户应用中进行。用户应用当被安装在用户附属设备上时被配置为执行方法200。方法200包括：例如经由通信链路21，在听力设备处从服务器设备4接收(S201)配置验证包、配置认证包和配置包中的一个或多个。配置包包括配置净荷块和控制块(例如，元数据)。可以例如使用通信链路21和22，在用户附属设备处经由服务器设备4从验配设备2接收配置验证包、配置认证包和配置包中的一个或多个。

方法200包括：确定(S202)是否满足验证准则。验证准则至少基于验证(S202a)配置验证包、配置认证包和配置包中的一个。

方法200包括：如果满足验证准则，则例如经由通信链路20，将配置认证包和/或配置包发送(S203)至听力设备。该方法可以包括：只有成功验证配置认证包或其之后，将配置包发送至听力设备。该方法可以包括：如果不满足验证准则，则省略将任何配置认证包和配置包发送至听力设备。

在用户附属设备处执行的一个或多个示例性方法中，配置认证包包括第二数字签名；并且验证准则包括基于验证(S202a)第二数字签名的第一验证准则。在用户附属设备处执行的一个或多个示例性方法中，如果不满足第一验证准则，则不满足验证准则。

在用户附属设备处执行的一个或多个示例性方法中，配置验证包包括完整性指示符集和/或第一数字签名，并且验证准则包括第二验证准则，其包括第二主验证准则和第二辅验证准则。完整性指示符集可以包括第一完整性指示符、第二完整性指示符，以及可选地包括第三完整性指示符。第二主验证准则可以基于验证(S202b)第一数字签名，例如使用配置公钥。第二辅验证准则可以基于验证(S202c)完整性指示符集，例如，基于配置净荷块和控制块，例如通过在配置净荷块上计算第一配置数据完整性指示符，并将计算出的第一配置数据完整性指示符与接收到的完整性指示符集的第一完整性指示符进行比较，和/或通过在控制块上计算第二配置数据完整性指示符，并将计算出的第二配置数据完整性指示符与接收到的完整性指示符集的第二完整性指示符进行比较。如果不满足第二主验证准则或第二辅验证准则，则可以不满足验证准则。

在用户附属设备处执行的一个或多个示例性方法中，配置验证包和/或配置认证包包括听力设备标识符和/或地址标识符。验证准则可以包括第三验证准则，其基于接收到的听力设备标识符对应于与用户附属设备相关联的听力设备的听力设备标识符，例如基于验证(S202d)接收到的听力设备标识符是否对应于与用户附属设备相关联的听力设备的听力设备标识符。替代地或附加地，验证准则可以包括第四验证准则，其基于接收到的地址标识符对应于与用户附属设备相关联的听力设备的地址标识符，例如基于验证(S202e)接收到的地址标识符是否对应于与用户附属设备相关联的听力设备的地址标识符。如果不满足第三验证准则或第四验证准则，则可以不满足验证准则。

图4示意性地示出根据本公开的示例性配置包402和示例性配置验证包412。

配置包402包括配置包数据403。配置包数据403包括配置净荷块404和控制块406。配置包402是由验配设备与服务器设备协作，基于用于听力设备的配置数据408来生成的。配置包数据403包括配置数据408，其为用于配置听力设备的实际验配参数或听力设备设置参数。配置数据408可以使用包括配置密钥的配置密钥材料以加密形式包括在配置包数据403中。配置包数据403包括在配置数据408上计算且包括在配置包数据403中的配置数据完整性指示符409。配置净荷块404包括配置数据408和配置数据完整性指示符409，其可选地为加密形式，如图4中的虚线框所示。控制块406包括头、配置数据的长度和/或元数据。验配设备可以被配置为通过例如使用会话密钥加密配置包数据403(即，配置净荷块404和控制块406)来生成配置包。配置包是在验配设备处生成的。

配置验证包412是在服务器设备处生成的。配置验证包412包括一组完整性指示符，例如第一完整性指示符414、第二完整性指示符416。服务器从验配设备接收配置包402。配置包402包括配置净荷块404和控制块406。服务器通过基于配置净荷块404计算第一完整性指示符414并且基于控制块406计算第二完整性指示符416，以及通过将第一完整性指示符414和第二完整性指示符416包括在配置块419中，来生成配置块419。服务器设备使用配置私钥对配置验证包412进行签名。配置验证包412包括第一数字签名418。在将配置包402和/或配置认证包502传递至听力设备之前，配置验证包412在用户附属设备处用于验证配置包402和/或配置认证包502。

图5示意性地示出根据本公开的示例性配置认证包502。配置认证包502是由服务器设备生成的。配置认证包502包括配置认证材料504。配置认证资料504包括分发者证书506，可以使用证书密钥对其进行加密。服务器使用存储在服务器设备中并用于配置目的的配置私钥在配置认证材料504上获得第二数字签名508。配置公钥和证书密钥对于听力设备来说是已知的。配置认证包502包括第二数字签名508。

配置包402和配置认证包502由听力设备接收和处理。配置认证包502由服务器设备生成，使得听力设备可以验证配置数据的完整性。配置认证包502在听力设备处用于认证实际包括验配参数或配置数据的将要被安装在听力设备上的配置包402。

配置验证包412在用户附属设备处用于验证配置包402和/或配置认证包502。换句话说，分发者或验配设备使用服务器设备来为特定听力设备创建配置认证包502，即能够由特定听力设备进行验证。配置认证包502和配置包402中的配置包数据被生成为使得听力设备能够验证配置包402来自合法分发者或合法验配设备，并且验证配置包402中的配置数据没有被任何其他方篡改或披露，因为配置数据是能够用于对听力设备执行拒绝服务攻击或电池耗尽攻击的专用数据。

图6示意性地示出根据本公开的示例性听力设备8。听力设备8包括：处理器32，被配置为基于听力设备配置来补偿用户的听力损失；接口33；和存储器单元35。接口33可以包括天线(例如，图1的天线24)和耦合至天线的无线电收发器(例如，图1的无线电收发器26)，用于从用户附属设备接收/向用户附属设备发送无线通信，并且可选地从验配设备和服务器设备中的任何一个接收无线通信。听力设备8被配置为执行本文图2中公开的方法100。

听力设备8或接口33被配置为例如从用户附属设备或安装在其上的用户应用接收配置包和配置认证包，配置认证包包括验配设备证书。听力设备8或处理器32被配置为：确定是否满足更新准则，其中，更新准则基于验证配置认证包；以及如果满足更新准则，则基于配置包更新听力设备配置。

处理器32可以被配置为：验证分发者证书；以及如果验证分发者证书失败，则确定不满足更新准则。

处理器32可以被配置为使用证书密钥来解密分发者证书。在一个或多个示例性听力设备中，处理器32可以被配置为通过基于来自听力设备的存储器单元的密钥材料和/或来自配置认证包的材料导出证书密钥来验证分发者证书。处理器32可以被配置为从例如听力设备的存储器单元获得公共秘密，并且基于公共秘密来计算证书密钥。

在一个或多个示例性听力设备中，配置认证包还包括认证数据。处理器32可以被配置为：通过将认证数据的一个或多个元素与分发者证书的对应元素进行比较来验证分发者证书；以及如果认证数据的至少一个元素不匹配分发者证书的对应元素，则确定验证分发者证书失败。处理器32可以被配置为：通过将以明文接收的认证数据的一个或多个元素与经解密的分发者证书的对应元素进行比较，来将认证数据的一个或多个元素与分发者证书的对应元素进行比较。

处理器32可以被配置为：通过确定验配设备和/或分发者是否被列入黑名单来验证分发者证书；以及如果验配设备和/或分发者被列入黑名单，则确定验证分发者证书失败。例如，使用包括从听力系统排除的验配设备和/或分发者的标识符的黑名单来确定验配设备和/或分发者是否被列入黑名单。

处理器32可以被配置为：通过使用配置会话密钥(例如，通过基于存储在听力设备的存储器单元35中的基础密钥导出配置会话密钥)解密配置包来基于配置包更新听力设备配置。基础密钥可以与服务器设备共享或共用。

在一个或多个示例性听力设备中，配置包包括配置数据完整性指示符，并且处理器32可以被配置为：通过基于配置包验证配置数据完整性指示符，并且通过如果配置数据完整性指示符的验证失败，则终止或中止基于配置包更新听力设备配置，来基于配置包更新听力设备配置。

处理器32可以被配置为：通过将配置数据存储在存储器单元35中，以便将存储的配置数据应用于听力设备进行配置更新，来基于配置包更新听力设备配置。

听力设备8或处理单元32被布置为执行本文所公开的用于更新听力设备配置的方法。听力设备8或处理单元32还可以包括多个可选功能模块，例如被配置为执行步骤S102和可选地执行步骤S102a、S102aa-ad的确定模块32a以及被配置为执行步骤S103的更新模块32b中的任何一个。在每个功能模块32a-b都可以用在图2和随附文本中的背景下公开了功能模块32a-b的功能。一般地说，每个功能模块32a-b可以用硬件或软件来实现。优选地，一个、多个或全部功能模块32a-b可以由处理模块32，可能地与功能单元35和33协作，来实现。因此，处理模块32可以被布置为从存储器模块35获取由功能模块32a-c提供的指令并且执行这些指令，由此执行本文在图2中公开的任何步骤。

图7示意性地示出根据本公开的示例性用户附属设备10。用户附属设备10包括处理单元36、存储器单元38和接口40。用户应用12可以安装在用户附属设备10的存储器单元38中。

用户附属设备10或接口40被配置为从服务器设备接收配置验证包、配置认证包和配置包中的一个或多个。配置验证包可以包括完整性指示符集和第一数字签名。配置认证包可以包括第二数字签名。配置包包括配置净荷块和控制块。

用户附属设备10或处理单元36被配置为确定是否满足验证准则，其中，验证准则至少基于配置验证包、配置认证包和配置包中的一个。

用户附属设备10或接口40被配置为：如果满足验证准则，则例如经由通信链路20，将配置认证包和/或配置包发送至听力设备。

在一个或多个示例性用户附属设备中，配置认证包包括第二数字签名；并且验证准则包括基于使用处理单元36验证第二数字签名的第一验证准则。在一个或多个示例性用户附属设备中，如果不满足第一验证准则，则不满足验证准则。

在一个或多个示例性用户附属设备中，配置验证包包括完整性指示符集和/或第一数字签名，并且验证准则包括第二验证准则，其包括第二主验证准则和第二辅验证准则。完整性指示符集可以包括第一完整性指示符、第二完整性指示符，并且可选地包括第三完整性指示符。第二主验证准则可以基于使用处理单元36例如使用配置公钥验证第一数字签名。第二辅验证准则可以基于：例如基于配置净荷块和控制块，例如通过以下步骤，使用处理单元36来验证完整性指示符集：在配置净荷块上计算第一配置数据完整性指示符，并将计算出的第一配置数据完整性指示符与接收到的完整性指示符集的第一完整性指示符进行比较，和/或在控制块上计算第二配置数据完整性指标，并将计算出的第二配置数据完整性指示符与接收到的完整性指示符集的第二完整性指示符进行比较。如果不满足第二主验证准则或第二辅验证准则，则可以不满足验证准则。

在一个或多个示例性用户附属设备中，配置验证包和/或配置认证包包括听力设备标识符和/或地址标识符。验证准则可以包括第三验证准则，其基于接收到的听力设备标识符对应于与用户附属设备相关联的听力设备的听力设备标识符，例如基于使用处理单元36验证接收到的听力设备标识符是否对应于用户附属相关联的听力设备的听力设备标识符。替代地或附加地，验证准则可以包括第四验证准则，其基于接收到的地址标识符对应于与用户附属设备相关联的听力设备的地址标识符，例如基于使用处理单元36验证接收到的地址标识符是否对应于与用户附属设备相关联的听力设备的地址标识符。如果不满足第三验证准则或第四验证准则，则可以不满足验证准则。

用户附属设备10或处理单元36被布置为执行如本文(例如，在图3中)所公开的用于远程配置听力设备8的方法。用户附属设备10或处理单元36还可以包括多个可选功能模块，例如被配置为执行步骤S202以及可选地执行步骤S202a-e的确定模块36a中的任何一个。在功能模块36a可以用在图3和随附文本中的背景下公开了模块36a的功能。一般地说，功能模块36a可以用硬件或软件来实现。优选地，功能模块36a可以由处理模块36，可能地与功能单元38和40协作，来实现。因此，处理模块36可以被布置为从存储器模块38获取由功能模块32a提供的指令并且执行这些指令，由此执行本文在图3中公开的任何步骤。

使用词语“第一”、“第二”、“第三”和“第四”等并不意味着任何特定顺序，而是被包括以用于识别各个元件。此外，词语第一、第二等的使用不表示任何顺序或重要性，而是使用词语第一、第二等来区分一个元件与另一元件。请注意，这里和其他地方使用词语第一和第二，仅用于标注目的，并不旨在表示任何特定的空间或时间排序。此外，第一元件的标注并不意味着存在第二元件，反之亦然。

虽然已经示出和描述了具体特征，但是应当理解，它们并不旨在限制所要求保护的发明，并且对于本领域技术人员显而易见的是，可以在不脱离所要求保护的发明的精神和范围的情况下进行各种改变和修改。因此，说明书和附图被认为是说明性的而不是限制性的。所要求保护的发明旨在涵盖所有替代方案、修改和等同物。