專利名稱:多個(gè)域和域所有權(quán)的系統(tǒng)的制作方法
多個(gè)域和域所有權(quán)的系統(tǒng)相關(guān)申請(qǐng)的交叉引用本申請(qǐng)基于2009年4月20日提交的申請(qǐng)?zhí)枮?1/171,013的美國(guó)臨時(shí)專利申請(qǐng)以及2009年7月17日提交的申請(qǐng)?zhí)枮?1/226���,550的美國(guó)臨時(shí)專利申請(qǐng)�����,并且據(jù)此要求享有這兩項(xiàng)申請(qǐng)的優(yōu)先權(quán)��,其中這些申請(qǐng)的公開(kāi)內(nèi)容在這里全部引入以作為參考�����。
背景技術(shù):
現(xiàn)今存在著多種使用了可以或者不可以與其他設(shè)備或?qū)嶓w通信的計(jì)算設(shè)備的情形����,在此類情形中,設(shè)備或設(shè)備內(nèi)部的某個(gè)部分或計(jì)算環(huán)境為個(gè)人���、組織或其他某個(gè)實(shí)體所“擁有”�����。我們提到的“擁有”是指該設(shè)備或是其內(nèi)部的某個(gè)部分或計(jì)算環(huán)境可以通過(guò)實(shí)體驗(yàn)證�����,此后該實(shí)體可以對(duì)設(shè)備或是其某個(gè)部分采用某種形式的控制����。這種情形的一個(gè)示例存在于無(wú)線移動(dòng)通信產(chǎn)業(yè)中,其中諸如移動(dòng)電話之類的無(wú)線設(shè)備的用戶可以預(yù)訂 (subscribe)特定移動(dòng)通信網(wǎng)絡(luò)運(yùn)營(yíng)商的服務(wù)��。在現(xiàn)今的移動(dòng)通信產(chǎn)業(yè)中�,用戶可以借助無(wú)線設(shè)備可以預(yù)訂特定網(wǎng)絡(luò)運(yùn)營(yíng)商的服務(wù),并且此類無(wú)線設(shè)備通常包括用戶身份模塊(SIM)或通用集成電路卡(UICC)�����。SIM/UICC 為無(wú)線設(shè)備提供了安全的運(yùn)行和存儲(chǔ)環(huán)境��,從中可以執(zhí)行驗(yàn)證算法以及保存證書�����,其中所述證書允許設(shè)備向網(wǎng)絡(luò)運(yùn)營(yíng)商驗(yàn)證該設(shè)備用戶與網(wǎng)絡(luò)運(yùn)營(yíng)商的預(yù)訂���,并且允許網(wǎng)絡(luò)運(yùn)營(yíng)商對(duì)設(shè)備具有某種形式的控制權(quán),即所有權(quán)�����。不幸的是��,這種SIM/UICC機(jī)制通常僅限于用于單個(gè)網(wǎng)絡(luò)運(yùn)營(yíng)商��。因此,在現(xiàn)今眾多的計(jì)算環(huán)境��、例如在上文結(jié)合移動(dòng)通信設(shè)備描述的情形中存在一個(gè)問(wèn)題���,那就是計(jì)算設(shè)備整體通常只限于被單個(gè)實(shí)體擁有�����。在很多情況中��,所有權(quán)必須在用戶購(gòu)買設(shè)備時(shí)建立�,由此阻礙了那些需要在以后建立所有權(quán)的商業(yè)模型����。更進(jìn)一步,對(duì)于設(shè)備中的多個(gè)相互隔離的部分需要具有多個(gè)所有權(quán)或者需要不時(shí)將所有權(quán)轉(zhuǎn)換到其他實(shí)體的狀況而言�����,這些限制將會(huì)阻礙設(shè)備在這些狀況中的使用����。例如,對(duì)諸如移動(dòng)電話這類無(wú)線移動(dòng)通信設(shè)備而言,用戶通常需要在購(gòu)買時(shí)預(yù)訂特定移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商的服務(wù)��,而在那些只有在購(gòu)買了無(wú)線設(shè)備之后的某個(gè)時(shí)間才有可能知道移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商的應(yīng)用中��,此類設(shè)備通常是禁止使用的��。此外��,此類設(shè)備也無(wú)法一次提供針對(duì)多個(gè)運(yùn)營(yíng)商網(wǎng)絡(luò)的訪問(wèn)��。移動(dòng)網(wǎng)絡(luò)和服務(wù)預(yù)訂的更新和變更有可能會(huì)很困難�����,并且通常無(wú)法通過(guò)空中接口來(lái)執(zhí)行這些處理����。特別地,在無(wú)線移動(dòng)通信設(shè)備的情況中��,雖然SIM/UICC機(jī)制通常被認(rèn)為是非常安全的��,但是這種安全性并沒(méi)有與其所在的整個(gè)設(shè)備的安全屬性緊密聯(lián)系在一起�。這樣做限制了將縮放安全性(scaling security)概念應(yīng)用于諸如移動(dòng)金融交易之類的高級(jí)服務(wù)和應(yīng)用�����。特別地,這些缺陷與諸如機(jī)器對(duì)機(jī)器(M2M)通信設(shè)備之類的自動(dòng)設(shè)備相關(guān)��。因此����,所需要的是一種更為動(dòng)態(tài)和安全的解決方案。
發(fā)明內(nèi)容
為了克服如上所述的當(dāng)前系統(tǒng)中的至少一些缺陷���,在這里公開(kāi)了在提供了針對(duì)一個(gè)或多個(gè)設(shè)備上的一個(gè)或多個(gè)獨(dú)立域的系統(tǒng)級(jí)(wide)管理等級(jí)的同時(shí)��,允許一個(gè)或多個(gè)不同的本地或遠(yuǎn)端所有者擁有或控制這些域的方法和手段���。用于實(shí)現(xiàn)這些方法和裝置的示例系統(tǒng)可以包括一個(gè)或多個(gè)設(shè)備,其中每個(gè)設(shè)備都可以包括由至少一個(gè)平臺(tái)支持的一個(gè)或多個(gè)域���。每個(gè)平臺(tái)都可以為這些域提供低等級(jí)計(jì)算���、存儲(chǔ)或通信資源。平臺(tái)可以包括一些硬件�、操作系統(tǒng)、一些低等級(jí)固件或軟件(例如引導(dǎo)碼��、BIOS、API���、驅(qū)動(dòng)器���、中間件或虛擬化軟件)、以及一些高等級(jí)固件或軟件(例如應(yīng)用軟件)和用于這些資源的相應(yīng)配置數(shù)據(jù)�。每個(gè)域都可以包括在至少一個(gè)平臺(tái)上運(yùn)行的計(jì)算、存儲(chǔ)或通信資源配置����,并且每個(gè)域都可以被配置成為可能處于域本地或遠(yuǎn)離域的域所有者執(zhí)行功能。每個(gè)域都可以有不同的所有者��, 并且每個(gè)所有者都可以規(guī)定用于操作其域的策略��、以及用于結(jié)合域所在平臺(tái)和其他域來(lái)操作其域的策略����。系統(tǒng)級(jí)域管理器可以駐留在其中一個(gè)域上。系統(tǒng)級(jí)域管理器可以實(shí)施其所在的域上的策略��,并且可以協(xié)調(diào)其他域如何結(jié)合系統(tǒng)級(jí)域管理器所在的域來(lái)實(shí)施其相應(yīng)操作��。此外����,系統(tǒng)級(jí)域管理器還可以根據(jù)其他域的相應(yīng)策略來(lái)協(xié)調(diào)這些域之間的交互。系統(tǒng)級(jí)域管理器所在的域可以被提供所述域的設(shè)備的所有者擁有����。可替換地���,此類域可以被未必?fù)碛刑峁┧鲇虻脑O(shè)備的所有者擁有�����。在以下的詳細(xì)描述和附圖中提供了這里描述的系統(tǒng)���、方法和手段的其他特征。
圖1示出的是可以使用這里描述的方法和裝置的示例系統(tǒng)����;圖2示出的是在用戶設(shè)備(UE)中實(shí)施這里描述的方法和裝置的系統(tǒng)的一個(gè)實(shí)施方式;圖3和3A示出的是用于獲取域的所有權(quán)的示例引導(dǎo)和處理��;圖4和4A示出的是用于獲取域的所有權(quán)的處理的示例呼叫流程圖��;圖5和5A示出的是用于獲取具有完全認(rèn)證的域所有權(quán)的處理的示例呼叫流程圖�;圖6示出的是可信硬件預(yù)訂模塊的一個(gè)實(shí)施方式的示例狀態(tài)定義�����、變換以及控制點(diǎn)定義����;圖7示出的是遠(yuǎn)端所有者可以獲取的示例狀態(tài)以及可能在動(dòng)態(tài)管理的環(huán)境中引起變換的條件��。
具體實(shí)施例方式為了克服上述當(dāng)前系統(tǒng)的至少一些缺陷��,在這里公開(kāi)了在為一個(gè)或多個(gè)設(shè)備上的一個(gè)或多個(gè)獨(dú)立域提供系統(tǒng)管理等級(jí)的同時(shí)��,允許一個(gè)或多個(gè)不同的本地或遠(yuǎn)端所有者擁有或控制這些域的方法和裝置��。用于實(shí)現(xiàn)這些方法和裝置的示例系統(tǒng)可以包括一個(gè)或多個(gè)設(shè)備���,其中每個(gè)設(shè)備都可以具有由至少一個(gè)平臺(tái)支持的一個(gè)或多個(gè)域���。每個(gè)平臺(tái)都可以為這些域提供低等級(jí)計(jì)算、存儲(chǔ)或通信資源�����。平臺(tái)可以包括一些硬件�、操作系統(tǒng)����、以及其他低等級(jí)固件或軟件(例如引導(dǎo)碼�、BIOS和驅(qū)動(dòng)器)和用于這些資源的相應(yīng)配置數(shù)據(jù)�。每個(gè)域都可以包括在至少一個(gè)平臺(tái)上運(yùn)行的計(jì)算、存儲(chǔ)或通信資源配置�����,并且每個(gè)域都可以被配置成為可能處于域本地或遠(yuǎn)離域的域所有者執(zhí)行功能��。每個(gè)域都可以有不同所有者�,并且每個(gè)所有者都可以規(guī)定用于操作其域的策略、以及用于結(jié)合域所在平臺(tái)和其他域來(lái)操作其域的策略���。就計(jì)算�����、存儲(chǔ)或通信資源(從輸入的角度來(lái)看)�����,或者是由所述域使用此類計(jì)算�、 存儲(chǔ)或通信資源所提供的功能(從輸出的角度來(lái)看)而言,每一個(gè)域都可以與其他域隔離��。 每個(gè)域都可以利用計(jì)算�����、存儲(chǔ)或通信資源��,或者是通用基礎(chǔ)平臺(tái)的功能�����。一些域可以共享公共平臺(tái)提供的一些這樣的功能�����。這種平臺(tái)資源功能的共享可以采用這樣一種方式完成其中每個(gè)域的公共資源或功能運(yùn)用都可以與別的域的此類運(yùn)用相隔離���。例如���,這種隔離可以通過(guò)由設(shè)備的平臺(tái)對(duì)其提供給每一個(gè)域的資源實(shí)施嚴(yán)格的訪問(wèn)控制來(lái)實(shí)現(xiàn),由此���,只有處于域外部并得到平臺(tái)和/或域所有者授權(quán)的一個(gè)或多個(gè)用戶����、一個(gè)或多個(gè)所有者或其他實(shí)體或進(jìn)程才被允許訪問(wèn)所述域的資源。只要域的功能取決于設(shè)備上的域以外的設(shè)備資源�, 那么平臺(tái)還可以簡(jiǎn)單地包含不屬于該設(shè)備上的隔離域的設(shè)備的部分。處于相同或不同平臺(tái)或是相同或不同設(shè)備上的任何兩個(gè)域之間的通信都可以是安全的����,這意味著域能以一種安全的方式相互驗(yàn)證(例如通過(guò)使用加密裝置)�,并且能在置信度、完整性和新鮮度這類安全方面保護(hù)其間交換的消息�����。由域所在的一個(gè)或多個(gè)平臺(tái)提供的加密裝置可以用于在任何兩個(gè)域之間提供這種安全通信�����。系統(tǒng)級(jí)域管理器可以駐留在其中一個(gè)域上���。該系統(tǒng)級(jí)域管理器可以實(shí)施其所在域上的策略�����,并且可以協(xié)調(diào)其他域結(jié)合系統(tǒng)級(jí)域管理器所在的域來(lái)實(shí)施其相應(yīng)操作�。此外,系統(tǒng)級(jí)域管理器還可以根據(jù)其他域的相應(yīng)策略來(lái)協(xié)調(diào)這些域之間的交互���。系統(tǒng)級(jí)域管理器所在的域可以被提供所述域的設(shè)備的所有者��?�?商鎿Q地�,此類域也可以被未必?fù)碛刑峁┧鲇虻脑O(shè)備的所有者擁有���。圖1示出了此類系統(tǒng)的一個(gè)實(shí)施方式�����。如圖1所示�����,該系統(tǒng)可以包括一個(gè)或多個(gè)設(shè)備100���、110和120。每個(gè)設(shè)備都可以包括由至少一個(gè)平臺(tái)支持的一個(gè)或多個(gè)域�。例如,設(shè)備100可以包括域106以及一個(gè)或多個(gè)其他域101、102���。雖然在這里為設(shè)備100示出了三個(gè)域����,但在其他實(shí)施方式中���,域的數(shù)量有可能更多或更少�����。這其中的每個(gè)域101、102����、106都可以包括在設(shè)備的至少一個(gè)平臺(tái)105上運(yùn)行的計(jì)算、存儲(chǔ)或通信資源的配置����。每個(gè)域都可以被配置成為處于所述域本地或者遠(yuǎn)離域的域所有者執(zhí)行功能。例如����,域106有可能被設(shè)備所有者(未顯示)擁有,而域101、102則有可能被一個(gè)或多個(gè)遠(yuǎn)端所有者擁有��。每一個(gè)域都有可能有不同的所有者���,或者設(shè)備的一個(gè)以上的域有可能被同一所有者擁有�。每一個(gè)所有者都可以規(guī)定用于操作其域的策略��、以及用于結(jié)合域操作平臺(tái)���、域所在設(shè)備以及相同或不同設(shè)備內(nèi)部的其他域來(lái)操作其域的策略���。如所描述的,該系統(tǒng)還可以包括留有其他域的其他設(shè)備�。例如,設(shè)備110可以包括域111和112��,其中每個(gè)域都有可能被相同的遠(yuǎn)端所有者擁有����。當(dāng)然,每一個(gè)域111和112 都可以改為由不同所有者擁有���。每一個(gè)域111�����、112都可以包括在設(shè)備110的平臺(tái)115上運(yùn)行的計(jì)算����、存儲(chǔ)或通信資源配置。類似地�,設(shè)備120可以包括域111和112。如本示例所示�����, 這其中的每個(gè)域都可以被不同所有者擁有�。可替換地�,這些域也可以被同一所有者擁有����。同樣,每個(gè)域121�����、122都可以包括在設(shè)備120的平臺(tái)125上運(yùn)行的計(jì)算����、存儲(chǔ)或通信資源的配置��。系統(tǒng)級(jí)域管理器(SDM) 107可以駐留在其中一個(gè)域上���。在本示例中��,SDM 107駐留在設(shè)備100的域106上��。在一個(gè)實(shí)施方式中�,SDM(例如域106)所在的域被設(shè)備100的所有者擁有����。SDM 107經(jīng)由設(shè)備100中提供的通信機(jī)制來(lái)與設(shè)備100上的遠(yuǎn)端域101通信。此外���,SDM 107還經(jīng)由相應(yīng)的通信信道131�、132�、141、142來(lái)與其他設(shè)備上的域通信�����,其中所述信道可以是有線或無(wú)線信道��。通信信道131、132�����、141����、142可以是安全的。SDM 107可以實(shí)施其所在的域106的策略�����,并且可以通過(guò)與域106相結(jié)合的其他域101�、111、112�、121、122 的相應(yīng)策略來(lái)協(xié)調(diào)這些域的實(shí)施��。此外���,SDM 107還可以根據(jù)其他域的相應(yīng)策略以及SDM所在域的策略(該策略可以是特定域的所有者的策略)來(lái)協(xié)調(diào)其他域之間的交互。舉個(gè)例子�,在一個(gè)實(shí)施方式中,域有可能被服務(wù)供應(yīng)商擁有����。例如�,設(shè)備100的域 102有可能被服務(wù)供應(yīng)商(例如����,僅作為示例,移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商)擁有�����。域102可以通過(guò)執(zhí)行用戶身份模塊(SIM)功能來(lái)驗(yàn)證設(shè)備100�,在某些情況中也可以等價(jià)地驗(yàn)證設(shè)備所有者或用戶與移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商的預(yù)訂關(guān)系,以便允許設(shè)備100與服務(wù)供應(yīng)商之間的通信����。除了上述SDM功能之外,SDM 107還可以訪問(wèn)信息并且提供可用于一個(gè)或多個(gè)域的資源列表���。SDM 107也可以監(jiān)督遠(yuǎn)端所有者擁有的域的加載和維護(hù)狀況�����。此外�,SDM 107 可以為其所在設(shè)備100的用戶提供能夠加載的域的列表����,并且可以請(qǐng)求用戶選擇加載所列舉的域中的哪些域���。SDM還可以評(píng)估平臺(tái)或設(shè)備上是否有足夠的計(jì)算資源供加載,并由此支持一個(gè)或多個(gè)域的操作����。如上所述,SDM 107既可以參與實(shí)施其自身的一個(gè)或多個(gè)策略(在這里可以稱為) 系統(tǒng)級(jí)策略(SDP)��,也可以參與實(shí)施其他域的策略(即特定于域的策略(DP))����。在評(píng)估是否加載新的域的時(shí)候,SDM 107可以考慮一個(gè)或多個(gè)已有域的策略��。例如�����,遠(yuǎn)端所有者擁有的指定域的策略可以規(guī)定在某種類型的其他域活動(dòng)的時(shí)候����,將所述域置于不活動(dòng)狀態(tài)。在另一個(gè)示例中����,遠(yuǎn)端所有者擁有的指定域的策略可以規(guī)定在某個(gè)其他遠(yuǎn)端所有者擁有的其他域活動(dòng)的時(shí)候,將所述指定域置于不活動(dòng)狀態(tài)�����。在再一個(gè)示例中����,遠(yuǎn)端所有者擁有的指定域的策略可以規(guī)定在某種類型的其他域活動(dòng)的時(shí)候,將指定域的操作限制為某種或某些特定方式�����。在進(jìn)一步的示例中�,遠(yuǎn)端所有者擁有的指定域的策略可以規(guī)定在某一個(gè)其他遠(yuǎn)端所有者擁有的別的域活動(dòng)的時(shí)候,將指定域的操作限制為某種或某些特定方式�����。SDM 107 可以負(fù)責(zé)實(shí)施所有這些類型的策略�����。SDM 107還可以在以后建立或加載那些可能被遠(yuǎn)端所有者得到所有權(quán)的域。例如�����, 這些域可以在一個(gè)其不為任何所有者擁有的狀態(tài)中建立���,在這里將這種狀態(tài)稱為“原始”狀態(tài)��,此外����,SDM 107還可以對(duì)遠(yuǎn)端所有者的域所有權(quán)的建立進(jìn)行管理����。為此目的,SDM 107可以為遠(yuǎn)端所有者傳送該遠(yuǎn)端所有者可能會(huì)在確定是否建立域的所有權(quán)的過(guò)程中加以考慮的信息���。這些信息可以包括下列各項(xiàng)中的至少一項(xiàng)(i)用于證實(shí)被尋求所有權(quán)的域的完整性的信息���;以及(ii)用于證實(shí)系統(tǒng)中至少一個(gè)其他域的完整性的信息。該信息還可以包括(i)用于證實(shí)資源由被尋求所有權(quán)的域操作的平臺(tái)的完整性信息����;以及(ii)用于證實(shí)資源由系統(tǒng)中的至少一個(gè)其他域操作的平臺(tái)的完整性信息。此外,該信息可以包括與設(shè)備的當(dāng)前環(huán)境相關(guān)的信息����。這些信息可以包括下列各項(xiàng)中的至少一項(xiàng)(i)用于指示系統(tǒng)中的多個(gè)其他域的值�;(ii)用于提供系統(tǒng)中的其他域的概要特征的信息;以及(iii)用于規(guī)定可供正被嘗試建立所有權(quán)的域使用的平臺(tái)資源的信息����。 為遠(yuǎn)端所有者提供的系統(tǒng)中其他域的信息量可以以這些其他域在保密性和/或隔離性方面的相應(yīng)策略為條件。在遠(yuǎn)端所有者得到域的所有權(quán)之后��,該遠(yuǎn)端所有者可以對(duì)所述域進(jìn)行一定程度的控制����。例如,在遠(yuǎn)端所有者建立了域的所有權(quán)之后���,所述域可以接收來(lái)自遠(yuǎn)端所有者的密
11鑰�����、配置信息�����、參數(shù)以及可執(zhí)行代碼中的至少一項(xiàng)����,以便增強(qiáng)域的功能。在另一個(gè)示例中���,在遠(yuǎn)端所有者確定了域的所有權(quán)之后����,所述域可以從遠(yuǎn)端所有者接收特定于其域的策略�����。這里公開(kāi)的系統(tǒng)還可以規(guī)定一個(gè)或多個(gè)域的隔離性和安全性��。例如�����,一個(gè)或多個(gè)域可以包括與其他域隔離的安全運(yùn)行和存儲(chǔ)環(huán)境�����。對(duì)于建立了一個(gè)或多個(gè)域的設(shè)備的平臺(tái)�����、例如圖1中的設(shè)備100的平臺(tái)105來(lái)說(shuō),為了實(shí)現(xiàn)這種安全環(huán)境�,該平臺(tái)可以包括可信根103??尚鸥?03可以包括不可變并且不可移動(dòng)的硬件資源集合,其中該集合的完整性是預(yù)先確定的��,并且可以依賴于包括域的遠(yuǎn)端所有者在內(nèi)的其他內(nèi)容�����。對(duì)于諸如域101這樣的域來(lái)說(shuō)�����,其完整性可以由可信根103錨定的信任鏈建立���。例如,域101的完整性可以通過(guò)將域101中至少一個(gè)組件的量度與參考完整性度量進(jìn)行比較來(lái)確定�,其中所述量度可以由可信根103產(chǎn)生,所述度量可以保存在可信根103中�,并且可供可信根用以檢驗(yàn)域的完整性?�?商鎿Q地,參考完整性度量可以由遠(yuǎn)端所有者存儲(chǔ)��,并且該量度可以傳送至遠(yuǎn)端所有者�����,以便與參考完整性度量進(jìn)行比較����。如果該量度與參考完整性度量匹配,則域的完整性可以通過(guò)檢驗(yàn)�。在一個(gè)例示實(shí)施方式中,量度可以包括在組件上計(jì)算的散列(hash)���,參考完整性度量可以包括先前在組件上計(jì)算并帶有數(shù)字證書的散列����,其中所述數(shù)字證書提供的是關(guān)于參考完整性度量的真實(shí)性的指示�����。參考完整性度量可以在制造時(shí)或是將設(shè)備交付其所有者時(shí)預(yù)先在設(shè)備中提供�。參考完整性度量也可以在制造/供應(yīng)了設(shè)備之后從遠(yuǎn)端源經(jīng)由通信信道(例如空中下載無(wú)線通信信道)遞送至其所有者,并且可以在交付之后才在設(shè)備中供應(yīng)����。參考完整性度量可以以包含于證書中的方式交付設(shè)備��。該證書可以由可信第三方檢驗(yàn)����,以便在其被交付給設(shè)備之后使用�����。這里公開(kāi)的系統(tǒng)及其各種方法和裝置可以在多種計(jì)算和通信上下文中實(shí)現(xiàn)���。相應(yīng)地,對(duì)于系統(tǒng)中的設(shè)備����、例如圖1中的例示設(shè)備100、110和120來(lái)說(shuō)�����,這些設(shè)備可以采用各種各樣的形式����。作為示例而不是限制�����,系統(tǒng)中的設(shè)備可以包括無(wú)線發(fā)射/接收單元(WTRU)�����、 用戶設(shè)備(UE)����、移動(dòng)站�����、固定或移動(dòng)用戶單元���、尋呼機(jī)����、蜂窩電話�、個(gè)人數(shù)字助理(PDA)、計(jì)算機(jī)���、機(jī)器對(duì)機(jī)器(M2M)設(shè)備����、SIM卡、通用集成電路卡(UICC)��、智能卡�����、地理跟蹤設(shè)備����、傳感器網(wǎng)絡(luò)節(jié)點(diǎn)、測(cè)量設(shè)備(例如水測(cè)量計(jì)��、氣測(cè)量計(jì)或電測(cè)量計(jì))�����,或是其他任何能在無(wú)線或有線環(huán)境中工作的計(jì)算或通信設(shè)備�。下列附圖和描述提供了在無(wú)線發(fā)射/接收單元(WTRU) 中提供了本公開(kāi)的系統(tǒng)和方法的多個(gè)附加示例實(shí)施方式�。但是應(yīng)該理解,這些實(shí)施方式只是示例性的���,這里公開(kāi)的系統(tǒng)和方法并不局限于這些實(shí)施方式�。與此相反,如上所述����,這里公開(kāi)的系統(tǒng)和方法可以在多種多樣的計(jì)算和通信環(huán)境中使用。圖2是示出了可以實(shí)施這里公開(kāi)的系統(tǒng)和方法的WTRU的一個(gè)實(shí)施方式的圖示���。如圖所示���,WTRU可以包括移動(dòng)設(shè)備,例如UE 200��。UE200可以包括移動(dòng)設(shè)備(ME)210和可信硬件預(yù)訂模塊(THSM) 220�����。此外�����,THSM 220還可以包括THSM設(shè)備制造商(DM)域221�����、THSM 設(shè)備所有者(DO)域222、THSM設(shè)備用戶(DU或U)域223����、系統(tǒng)級(jí)域管理器(SDM) 230、域間策略管理器MO以及一個(gè)或多個(gè)遠(yuǎn)端所有者(RO)域����,例如RO域A2M、R0域B 225以及RO 域C 226�����。此外�����,UE 200可以包括未示出的下列組件處理器�����、接收機(jī)��、發(fā)射機(jī)和天線���。這里描述的示例實(shí)施方式可以參考結(jié)合圖2描述的組件。THSM可以是基于硬件的模塊,它提供了可信的預(yù)訂管理功能�����,這其中包括通常由 SIM功能�、USIM功能、ISIM功能以及接入網(wǎng)絡(luò)預(yù)訂執(zhí)行的功能�����。THSM可以是受硬件保護(hù)的模塊���。它可以包括專門被設(shè)計(jì)具有相關(guān)安全功能的硬件�。它能在內(nèi)部支持多個(gè)隔離的域����。域可以由稱為遠(yuǎn)端所有者(RO)的特有所有者要求或擁有。RO要求的域可以充當(dāng)相應(yīng)RO的代理����。一個(gè)或多個(gè)域可以執(zhí)行預(yù)訂管理功能,例如可信用戶標(biāo)識(shí)管理(TSIM)���。由于在單個(gè)THSM上可能存在多個(gè)具有TSIM功能的域���,因此�,THSM可以為多個(gè)RO的預(yù)訂管理提供支持���。對(duì)于具有TSIM功能的域來(lái)說(shuō)�����,其某些管理方面可以由稱為系統(tǒng)級(jí)域管理器(SDM)的單個(gè)管理功能執(zhí)行����。其他方面則可以在單個(gè)域的內(nèi)部或是單個(gè)域上單獨(dú)管理���。雖然在這里是依照通用移動(dòng)電信系統(tǒng)(UMTS)環(huán)境來(lái)描述的�,但是本領(lǐng)域技術(shù)人員可以想到�����,在不超出本申請(qǐng)的范圍的情況下�,這里描述的方法和設(shè)備同樣適用于其他環(huán)境。TSIM可以是“預(yù)訂應(yīng)用”的典型示例����。舉個(gè)例子���,如果TSIM是在工作于3G UMTS網(wǎng)絡(luò)中的WTRU上實(shí)施的���,那么作為其功能的一部分����,該TSIM可以包括所有預(yù)訂相關(guān)功能�����,這其中包括UMTS驗(yàn)證和密鑰協(xié)商(AKA)功能�����。TSIM可以不綁定于特定硬件��,例如UICC�。這與只能在UICC上存在的USIM形成了對(duì)比。取而代之的是���,TSIM可以在這里描述的可信硬件預(yù)訂模塊(THSM)上實(shí)施����。本領(lǐng)域技術(shù)人員還應(yīng)該想到,在不超出本申請(qǐng)范圍的情況下�,這里描述的THSM的功能也可被引入U(xiǎn)ICC或類似的智能卡,例如符合歐洲電信標(biāo)準(zhǔn)協(xié)會(huì)(ETSI) 需求的UICC或是符合全球平臺(tái)規(guī)范的智能卡���。WTRU可以包括THSM和移動(dòng)設(shè)備(ME)����。ME可以包括調(diào)制解調(diào)器�����、無(wú)線電設(shè)備��、電源以及通常在WTRU中發(fā)現(xiàn)的各種其他特征�����。THSM可以包括基于硬件的單獨(dú)模塊��。THSM既可以嵌入WTRU�,也可以是獨(dú)立的。即使被嵌入WTRU����,THSM也可以在邏輯上與ME分離�。THSM 可以包括一個(gè)或多個(gè)域�,其中每個(gè)域均由特定的域所有者擁有,并且是為了該所有者而被操作的����,由此提供了安全可信的服務(wù)和應(yīng)用���。由此����,舉例來(lái)說(shuō)�,DM的域可以表示為TDdm,DO 的域可以表示為TDdq��。THSM中的域可以執(zhí)行那些可能不安全或不便于在ME中執(zhí)行的安全敏感的功能和應(yīng)用����。某些域可以由一個(gè)或多個(gè)服務(wù)供應(yīng)商擁有和管理。例如移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商(MNO)���; 其他通信網(wǎng)絡(luò)運(yùn)營(yíng)商���,例如無(wú)線局域網(wǎng)(WLAN)供應(yīng)商或WiMax供應(yīng)商�����;應(yīng)用服務(wù)供應(yīng)商�����,例如移動(dòng)支付�����、移動(dòng)票務(wù)���、數(shù)字權(quán)利管理(DRM)、移動(dòng)TV或是基于位置的服務(wù)的服務(wù)供應(yīng)商���; 或是IP多媒體核心網(wǎng)絡(luò)子系統(tǒng)(IMS)服務(wù)供應(yīng)商�。預(yù)訂管理可以由服務(wù)供應(yīng)商擁有的域提供支持�。為了簡(jiǎn)單起見(jiàn),在下文中可以將THSM域上實(shí)施的預(yù)訂管理功能表示為TSIM功能���。為TSIM功能提供的支持有可能隨著域而改變��。例如����,所支持的TSIM功能可以包括類似于移動(dòng)終端上的UICC上的USIM和ISIM功能提供的那些功能。與UICC相似�,THSM可以提供除了 TSIM所提供的之外的其他功能、應(yīng)用和數(shù)據(jù)�。TSIM可以是軟件單元或虛擬應(yīng)用。在一開(kāi)始�,TSIM有可能沒(méi)有與特定網(wǎng)絡(luò)運(yùn)營(yíng)商或公共陸地移動(dòng)網(wǎng)絡(luò)(PLMN)相關(guān)聯(lián)的證書。該TSIM可以參考UMTS蜂窩接入網(wǎng)絡(luò)的預(yù)訂證書/應(yīng)用管理�。例如��,TSIM可以包括對(duì)于諸如UMTS驗(yàn)證密鑰之類的強(qiáng)秘密(Ki)的管理�����。 在M2M上下文中���,TSIM還可以包括M2M連接標(biāo)識(shí)管理(MCIM)��。THSM可以包括核心可信根(RoT)測(cè)量(CRTM)單元���,該單元與可以在具有可信平臺(tái)模塊(TPM)或移動(dòng)可信模塊(MTM)的計(jì)算設(shè)備中發(fā)現(xiàn)的測(cè)量可信根(RTM)相似。THSM的 CRTM可以測(cè)量THSM根代碼的完整性���,其中舉例來(lái)說(shuō)�,所述測(cè)量是在THSM引導(dǎo)時(shí)間進(jìn)行的。 該完整性度量可以通過(guò)擴(kuò)展操作來(lái)計(jì)算���,例如通過(guò)對(duì)THSM引導(dǎo)碼�����、BIOS以及可選地對(duì)THSM 的制造商特性應(yīng)用加密摘要(digest)值來(lái)計(jì)算�,其中所述制造商特性可以是版本號(hào)�����、軟件配置或發(fā)行編號(hào)����。舉個(gè)例子,完整性度量可以用某一版的安全散列算法(SHA)散列算法計(jì)算����,例如SHA-X。THSM可以包括核心RoT(CRTS)存儲(chǔ)單元��,該單元與在TPM或MTM中發(fā)現(xiàn)的用于存儲(chǔ)的可信根(RTQ相似,并且被配置成在受保護(hù)的存儲(chǔ)器中存儲(chǔ)完整性度量��。THSM還可以包括核心RoT報(bào)告(CRTR)單元�,該單元與在TPM或MTM中發(fā)現(xiàn)的可信根(RTR)報(bào)告相似, 并且被配置成向外部詢問(wèn)者報(bào)告THSM的完整性量度����。因此,THSM在可信量度���、存儲(chǔ)和報(bào)告方面可以有效提供類似于TPM或MTM的能力�����。 THSM還可以包括實(shí)現(xiàn)多個(gè)可信的利益相關(guān)者(skateholder)工具(engine)的能力。更進(jìn)一步�,THSM可以被配置成實(shí)現(xiàn)相應(yīng)的多利益相關(guān)者可信子系統(tǒng)。由此���,THSM可以類似于TCG 移動(dòng)電話工作組(MPWG)規(guī)范定義的可信移動(dòng)電話�。THSM可以被配置成構(gòu)建多個(gè)內(nèi)部的“利益相關(guān)者域”�,例如,可以使用這里描述的核心RoT能力來(lái)進(jìn)行構(gòu)建�。利益相關(guān)者可以是THSM設(shè)備制造商(DM)、THSM設(shè)備所有者(DO) 或THSM設(shè)備用戶(DU)。DU既可以等同于D0��,也可以不同于DO�。每個(gè)THSM都可以具有一個(gè)以上的DU。利益相關(guān)者還可以是由DO特定出租或擁有的域的不同遠(yuǎn)端所有者(RO)�����。例如���,諸如MNO��、IMS服務(wù)供應(yīng)商�、非3GPP接入網(wǎng)絡(luò)運(yùn)營(yíng)商或增值應(yīng)用服務(wù)供應(yīng)商之類的第三代合作伙伴項(xiàng)目(3GPP)PLMN運(yùn)營(yíng)商都可以是利益相關(guān)者�����。某些域可以是強(qiáng)制性的�����,在這種情況下����,它們可以在制造THSM的時(shí)候被預(yù)先配置���。例如,DM域可以是強(qiáng)制性的��,并且其在引導(dǎo)時(shí)間可以是依照預(yù)先配置的文件而被構(gòu)建或加載的���。DO域也可以是強(qiáng)制性的���,并且它可以被構(gòu)建成預(yù)先提供的配置?��?商鎿Q地�,域也可以依照下載的配置文件來(lái)構(gòu)建�����。在被域的所有者“聲明(claim)”和“擁有”之前����,除了 DM域之外的域有可能經(jīng)歷遠(yuǎn)端獲取所有權(quán)(RTO)處理����。在特定的域經(jīng)過(guò)RTO處理之前,用于非特定所有者的“原始” 域是有可能存在的。在這種情況下�����,對(duì)于所述域是沒(méi)有被要求特定的所有權(quán)的�。THSM上的域可以經(jīng)由THSM-ME接口與ME通信和交換信息。例如��,域可以在引導(dǎo)或 RTO處理期間與ME通信����。對(duì)經(jīng)由THSM-ME接口交換的數(shù)據(jù)來(lái)說(shuō),它們有可能需要保護(hù)����。對(duì)經(jīng)由THSM-ME接口的進(jìn)行所有通信來(lái)說(shuō),這些通信的完整性都是需要保護(hù)的�����。 例如����,完整性保護(hù)可以使用密鑰,比如預(yù)先提供的臨時(shí)密鑰或是通過(guò)使用驗(yàn)證密鑰交換機(jī)制交換的密鑰��。這些密鑰既可以是對(duì)稱的,例如Ktemp_l�����,也可以是非對(duì)稱的�����,例如THSM為了完整性而使用的公鑰或私鑰的Kpub/priV_THSM_temp_I�����,或是ME為了完整性而使用的公鑰或私鑰的Kpub/priV_ME_temp_I��。臨時(shí)密鑰可以用于保護(hù)接口�。例如,臨時(shí)密鑰可以與有效周期關(guān)聯(lián)�,或者可以被使用一次或預(yù)定次數(shù)。對(duì)于經(jīng)由THSM-ME接口進(jìn)行的通信來(lái)說(shuō)���,其保密性同樣可以用加密裝置提供����?���?梢允褂妙A(yù)先提供的一個(gè)或多個(gè)臨時(shí)密鑰,并且這些密鑰是用驗(yàn)證密鑰交換機(jī)制交換的����。加密密鑰既可以是對(duì)稱的,例如用于加密的Ktemp_C����,也可以是非對(duì)稱的,例如THSM為了加密而使用的公鑰或私鑰的Kpub/priV_THSM_temp_C�,以及ME為了加密而使用的公鑰或私鑰的 KpUb/priV_ME_temp_C。為了簡(jiǎn)單起見(jiàn)���,這里描述的RTO方法和設(shè)備涉及的是使用預(yù)先提供的對(duì)稱臨時(shí)密鑰�。但是����,本領(lǐng)域技術(shù)人員應(yīng)該想到,在不超出本申請(qǐng)的范圍的情況下�,其他的密鑰實(shí)施方式也是可以使用的。對(duì)于在THSM-ME與RO之間明文傳遞的消息來(lái)說(shuō)��,可以提供防護(hù)來(lái)對(duì)抗針對(duì)這些消息的重放攻擊����。經(jīng)由THSM-ME接口發(fā)送的每個(gè)消息都有可能擁有一個(gè)臨時(shí)使用的保鮮質(zhì)量���。為了簡(jiǎn)單起見(jiàn),這里描述的RTO協(xié)議可以包括為經(jīng)由ME-THSM接口交換的所有消息實(shí)施的防重放保護(hù)��;但是本領(lǐng)域技術(shù)人員應(yīng)該想到����,在不超出本申請(qǐng)的范圍的情況下,其他接口保護(hù)配置也是可以使用的��。 簽名可以應(yīng)用于散列�。例如,散列可以通過(guò)SHA-X算法產(chǎn)生��??尚诺牡谌娇梢允褂米C書(CertTSIM)來(lái)證實(shí)與THSM相關(guān)聯(lián)的私鑰-公鑰對(duì),例如KTSIM_PHv和KTSIM,b����。可信第三方還可以使用證書(Cert1J來(lái)證實(shí)與網(wǎng)絡(luò)關(guān)聯(lián)的另一組密鑰�,例如Κ.Μν*Κκ。_Ρι 。這些證書可以保存在為被考慮的域分配的受保護(hù)存儲(chǔ)器中�。 公鑰Κκ。_Μ可以供THSM平臺(tái)�、尤其是TSIM用以檢驗(yàn)?zāi)切﹣?lái)自RO的簽名��、或者是用以加密那些發(fā)送給RO的消息���。私鑰!^, 可以被網(wǎng)絡(luò)用于簽名目的��,并且可以用于對(duì)TSIM 使用相應(yīng)公鑰加密的消息進(jìn)行解密�。公鑰-私鑰對(duì)KTSIM_Pub和KTSIM_PHv可以包括類似的功能��, 只不過(guò)TSIM和RO的角色發(fā)生了交換���??商鎿Q地��,在RO和TSIM上可以具有用于加密和簽名的獨(dú)立密鑰對(duì)�����。密鑰對(duì)K.Mv和KTO_Pub以及KTSIM_PHv和KTSIM,b可以取決于所有者��、用戶或是這二者選擇的特定網(wǎng)絡(luò)服務(wù)���。諸如RO之類的每個(gè)服務(wù)供應(yīng)商自身都具有為與該供應(yīng)商關(guān)聯(lián)的 THSM上的每一個(gè)域認(rèn)證的公鑰-私鑰對(duì)�����。所選擇的服務(wù)可以確定使用哪一個(gè)密鑰對(duì)集合����。 例如,公鑰-私鑰對(duì)集合可以由選定的服務(wù)供應(yīng)商以及THSM上的相關(guān)聯(lián)域確定�����??梢圆粫?huì)對(duì)所使用的密鑰進(jìn)行協(xié)商。公鑰或私鑰對(duì)可以由服務(wù)供應(yīng)商確定���,并且可以與THSM子系統(tǒng)或域緊密關(guān)聯(lián)�。THSM TDdo可以配置“系統(tǒng)級(jí)域管理器”(SDM)�����。該SDM可以保護(hù)性地存儲(chǔ)包含“系統(tǒng)級(jí)域策略”(SDP)的預(yù)配置文件���。SDM可以根據(jù)SDP來(lái)為THSM構(gòu)建或加載RO的域����。該 SDM可以包含在DO的域的原始配置中。SDM可以使用預(yù)先配置的SDP來(lái)確定應(yīng)該構(gòu)建哪些其他域以及以怎樣的順序構(gòu)建���。作為RO域的代表,在被RO域請(qǐng)求的時(shí)候�,SDM可以預(yù)備并提供THSM平臺(tái)環(huán)境概要(TPES)以及THSM平臺(tái)完整性證明(ΤΡΙΑ)。TPES可以描述關(guān)于THSM的最新“環(huán)境”的概要信息�。該信息可以包括在保密性和隔離性方面以相應(yīng)域策略為條件或得到其許可的THSM 上的域的數(shù)量和概要特征、以及可以用于通信并與發(fā)起請(qǐng)求的域共享功能或資源的THSM 上的任何剩余資源����。TPIA可以包括關(guān)于THSM的一個(gè)或多個(gè)域的完整性證明的集合。TPIA 還可以包括用于支持所述域的平臺(tái)的完整性證明�。TPIA可以用于向外部檢驗(yàn)者證明所關(guān)注的域以及支持這些域的平臺(tái)的可信狀態(tài),其中該外部檢驗(yàn)者可以是例如有興趣為THSM上的原始域執(zhí)行RTO處理的R0��。RO或RO域(TDkq)可以向SDM請(qǐng)求ΤΡΙΑ��。SDM可以依照SDP 來(lái)滿足或拒絕該請(qǐng)求����。SDM還可以與THSM的實(shí)際存在的設(shè)備所有者交互,例如與服務(wù)人員交互,以便交互識(shí)別應(yīng)該構(gòu)建的其他域和構(gòu)建順序��。此外��,SDM還可以請(qǐng)求用戶域與THSM的實(shí)際存在的用戶交互���,以便為待構(gòu)建的域提供輸入和構(gòu)建順序����。在構(gòu)建域的過(guò)程中�,該信息可以用作輸入。在為RO域執(zhí)行RTO處理時(shí)����,THSM可以被配置成在遠(yuǎn)端獲取所有權(quán)協(xié)議結(jié)束之前實(shí)現(xiàn)四種不同的系統(tǒng)狀態(tài)。THSM Pre_Boot系統(tǒng)狀態(tài)可以指示THSM尚未“通電”�����。THSM_ TDdm_L0AD_C0MPLETE系統(tǒng)狀態(tài)可以指示作為THSM通電后的第一個(gè)步驟��,THSM上的DM域已被構(gòu)建或加載���。THSM_TDdq_L0AD_C0MPLETE系統(tǒng)狀態(tài)可以指示將DO域(TDdq)構(gòu)建或加載至最終可用配置��。如果DO域本身從未經(jīng)過(guò)RTO處理�����,那么該“最終可用配置”可以是“原始”配置�,或者也可以是“后RT0”配置。DM域可以構(gòu)建或加載DO域�����。在DO域經(jīng)過(guò)至少一個(gè)RTO處理之前���,DO域有可能處于“原始”狀態(tài),并且可以未被任何特定DO聲明或擁有����。該 “原始”域可以包括“外層”(shell)。在首次構(gòu)建或加載DO域時(shí)���,“最終可用配置”(在這里和以后將被稱為最終配置)來(lái)自預(yù)先配置的文件��??商鎿Q地�����,如果“最終配置”是從RO的域的RTO處理產(chǎn)生的,那么THSM上的特定域至少會(huì)有一次通過(guò)遠(yuǎn)端獲取所有權(quán)協(xié)議�,并且遠(yuǎn)端所有者可以得到TSSto的所有權(quán)。而這可以指示在遠(yuǎn)端獲取所有權(quán)的處理結(jié)束時(shí)在平臺(tái)上已經(jīng)配置的可信子系統(tǒng)���。在達(dá)到該狀態(tài)時(shí)或者在該狀態(tài)之前����,特定RO可以開(kāi)始執(zhí)行其他任務(wù)�����。THSM_TDeo_LOAD_COMPLETE系統(tǒng)狀態(tài)可以指示已經(jīng)將RO域(TDkq)構(gòu)建或加載至最終可用配置���。如果RO域本身從未經(jīng)過(guò)RTO處理�,那么該“最終可用配置”可以是“原始”配置��,或者也可以是“后RT0”配置�����。DM域可以構(gòu)建或加載RO域�。在DO域通過(guò)至少一個(gè)RTO 處理之前����,DO域有可能處于“原始”狀態(tài)����,并且可以未被任何特定DO聲明或擁有。該“原始”域可以包括“外層”��。在首次構(gòu)建或加載RO的TO時(shí)����,“最終可用配置”來(lái)自預(yù)先配置的文件??商鎿Q地,如果最終配置是從RO TD的RTO處理產(chǎn)生的�,那么THSM上的特定TD至少會(huì)有一次通過(guò)RTO協(xié)議��,并且RTO將會(huì)獲取TDkq的所有權(quán)���。而這指示的是在RTO結(jié)束時(shí)已經(jīng)在平臺(tái)上配置的可信子系統(tǒng)�。在達(dá)到該狀態(tài)時(shí)����,特定RO可以開(kāi)始執(zhí)行其他任務(wù)�����。如果 RO的TD (TDeo)是MNO的TD���,那么到這個(gè)階段,MNO的TD可以提供在該TDkq上實(shí)現(xiàn)的最終可信用戶標(biāo)識(shí)管理(TSIM)功能����。可替換地�����,系統(tǒng)級(jí)域管理器(SDM)可以在DM的TD中實(shí)現(xiàn)而不是在DO的TD中實(shí)現(xiàn)�。在向DM的TD提供了恰當(dāng)?shù)氖跈?quán)數(shù)據(jù)之后,DO可以使用DM的TD提供的SDM來(lái)執(zhí)行創(chuàng)建��、加載以及以其他方式管理THSM上的各種遠(yuǎn)端所有者TD的任務(wù)�����。在本示例中�����,THSM系統(tǒng)引導(dǎo)序列以及RTO處理序列的細(xì)節(jié)有可能不同于這里描述的內(nèi)容,但是仍處于本申請(qǐng)的范圍以內(nèi)���。本示例的引導(dǎo)和RTO處理以及關(guān)于DO或DO的TD可以如何使用DM的TD提供的 SDM的描述有可能與這里描述的內(nèi)容相似����,例如����,所述描述有可能涉及哪些類型的授權(quán)數(shù)據(jù)可被提供(以及如何可以提供該數(shù)據(jù))。舉個(gè)例子�����,作為智能卡嵌入的THSM可以包括卡管理器�,其具有用于支持諸如全球平臺(tái)這類標(biāo)準(zhǔn)規(guī)定的卡管理器功能的功能,其中所述卡管理器負(fù)責(zé)代表卡發(fā)行者來(lái)管理卡上的安全域�。卡發(fā)行者可以類似于DM����,并且卡管理器可以包括SDM的某些功能�����。因此,卡管理器可以類似于DM的域中保持的SDM���。在第一實(shí)施方式中�����,ME可以被配置成提供安全引導(dǎo)能力�����,并且THSM可以被配置成提供全部MTM能力�。在通電時(shí)����,ME可以執(zhí)行安全引導(dǎo)。例如���,ME可以執(zhí)行一個(gè)非-TCG “安全”引導(dǎo)���,其中舉例來(lái)說(shuō),所述引導(dǎo)可以依據(jù)開(kāi)放移動(dòng)終端平臺(tái)(OMTP)可信運(yùn)行環(huán)境TRO規(guī)范進(jìn)行�����。例如在引導(dǎo)時(shí),THSM可以首先通過(guò)啟動(dòng)處理來(lái)構(gòu)建THSM DM的域(TDdm),然后則構(gòu)建“原始”THSM DO的域(TDdq)����。如果DO和DU是獨(dú)立的,那么THSM還可以構(gòu)建THSM DU的域�����。在一開(kāi)始����,THSM TDdm可以用在THSM中受到保護(hù),并在引導(dǎo)時(shí)提供的預(yù)先配置的文件構(gòu)建�。THSM TDdq可以大部分使用預(yù)先配置的文件構(gòu)建,但是也可以用RTO處理構(gòu)建���。THSM TDdq可以通過(guò)RTO協(xié)議����。該協(xié)議可以采取與用于RO域(TDkq)的RTO協(xié)議相同的形式���, 或者它也可以是不同的協(xié)議�。如果THSM TEdq沒(méi)有通過(guò)RTO協(xié)議��,則可以預(yù)先配置并且預(yù)先提供獲取所有權(quán)需要的證書��。THSM TEdq可以被DO擁有�����。DO既可以是實(shí)際的人類用戶或所有者����,也可以是諸如企業(yè)或是其信息技術(shù)(IT)部門之類的組織,還可以是遠(yuǎn)端網(wǎng)絡(luò)運(yùn)營(yíng)商 (NO)�����。THSM TDu可以使用在THSM TEdo中預(yù)先供應(yīng)的預(yù)配置文件構(gòu)建���。依照THSM的DO的系統(tǒng)級(jí)域策略(SDP)���,THSM的RO域可以首先被構(gòu)造成“原始”配置,THSM的RO域可以使用 RO來(lái)通過(guò)RTO處理����。DO的域的SDM可以依照SDP來(lái)管理RO域的RTO處理。如果THSM RO 是ΜΝ0,并且由此RO域是MNO的域����,那么該MNO的域同樣可以通過(guò)定義了下列各項(xiàng)的協(xié)議 i)可以如何將麗0的域注冊(cè)到麗0 ;ii)可以如何將預(yù)訂證書(例如USIM或MCIM秘密密鑰Ki和國(guó)際移動(dòng)用戶標(biāo)識(shí)(IMSI)等等)從MNO的移動(dòng)網(wǎng)絡(luò)復(fù)制(roll-off)到THSM上的 MNO域并且隨后在那里提供該證書���;以及iii)可以如何在下載預(yù)訂證書的時(shí)候?qū)⑻幚砘蚴褂迷撟C書的功能甚至提供預(yù)訂管理功能的域從一個(gè)設(shè)備遷移到另一個(gè)設(shè)備��。這些協(xié)議分別可以被稱為i)注冊(cè)協(xié)議����;ii)證書復(fù)制協(xié)議����;以及幻遷移協(xié)議。在完成了 RTO之后����,THSM 的RO域可以向RO證實(shí)和報(bào)告其自身配置。在第一實(shí)施方式中����,ME能夠執(zhí)行的唯一可信構(gòu)建機(jī)制是執(zhí)行通電時(shí)的安全引導(dǎo)處理,其中ME配置未必能被ME或THSM進(jìn)一步證明����?�?商鎿Q地����,ME可以執(zhí)行自我完整性檢查���, 并在其完成安全引導(dǎo)時(shí)產(chǎn)生一個(gè)完整值(IV)。ME可以使用空中下載(OTA)方法并且依照諸如UMTS安全模式特征之類的安全模式特征來(lái)安裝軟件�,例如用于置信度和完整性保護(hù)的工具。作為選擇���,當(dāng)使用RO并借助RTO處理來(lái)獲取RO的域的所有權(quán)的時(shí)候��,RO可以下載或者以其他方式引入并且隨后聲明其自身在其可接受的THSM條件方面的策略�,以便允許完成RTO處理���。RO可以被配置成在RO同意整個(gè)THSM的條件���、THSM其他域的構(gòu)建結(jié)構(gòu)條件、或是所有這二者時(shí)為將其自身安裝在THSM平臺(tái)上的處理“把關(guān)”(gate-ke印)���。由此��, 作為RTO處理的一部分�,RO可以與DO域的SDM交換一些信息,以便識(shí)別DO的狀況或“域構(gòu)建計(jì)劃”���,并且只在RO可接受這些狀況的時(shí)候才允許結(jié)束RTO處理�����。RO域還具有權(quán)利并且可以被配置成通過(guò)執(zhí)行功能來(lái)實(shí)施這些權(quán)利�,以便在同意將完成了 RTO處理的RO域初始構(gòu)建于THSM之后�,以允許使用THSM的狀況或域構(gòu)建計(jì)劃中的任何變化來(lái)對(duì)所述RO域進(jìn)行更新或者為其通告這些變化。特定于RO域的策略(DP)可以規(guī)定那些可能需要向RO域通告的變化的類型���。SDM可以為與預(yù)定RO關(guān)聯(lián)的RO域發(fā)起RTO處理����。這種處理可以在RO域處于“原始”的“未被要求”(claim)的狀態(tài)的時(shí)候進(jìn)行���。例如�����,RO域可以由DO域和DO命名為“域 X(TDx) ”����。所述域可以在一個(gè)尚未被要求的外層或是“原始”狀況中創(chuàng)建。在這種情況下�����, SDM可以發(fā)起RTO處理�����,由此它會(huì)與代表域TDx的預(yù)定RO取得聯(lián)系�。一旦RO通過(guò)了用于該域的RTO處理�,那么SDM可以不再為這個(gè)域發(fā)起另一個(gè)RTO處理。取而代之的是�,RTO自身可以在這個(gè)域上發(fā)起另一種所有權(quán)獲取處理。這種所有權(quán)獲取處理可以不同于迄今為止規(guī)定的RTO處理��,其不同之處在于前者可以由遠(yuǎn)端所有者遠(yuǎn)程發(fā)起��,而不是由設(shè)備所用者/用戶或是設(shè)備本身(有可能在SDM或DO域的協(xié)調(diào)下)在本地發(fā)起����。即使在RO域已經(jīng)通過(guò)了 RTO處理并且由此被恰當(dāng)?shù)腞O “要求”或“擁有”之后���,DO也可以保持刪除、銷毀任何RO域或斷開(kāi)與任何RO域的連接的權(quán)力�。但是,DO通常未必能夠知道存儲(chǔ)在RO域內(nèi)部的秘密�����,或是在RO域內(nèi)部執(zhí)行的臨時(shí)計(jì)算或功能����。在SDM發(fā)起用于原始RO域的RTO處理之前,它可以查找用于域構(gòu)建處理的可用資源列表���。該列表可以由DM域保持����。此外���,SDM還可以查找“期望域”列表�。該期望域列表可以保持在DO域TDdq中��。SDM還可以查找“期望域”列表�����。該期望域列表可以保持在DO域 TDdq中。SDM還可以查閱系統(tǒng)域策略(SDP)以及可以用于來(lái)自DM域的查詢的THSM和平臺(tái)的已有域的當(dāng)前狀態(tài)�,這其中包括可信狀態(tài)。該信息可以用于確定用于特定RO域的期望RTO 處理依據(jù)可用資源和策略是否可行���、依據(jù)期望域列表是否是期望的���、以及依據(jù)THSM已有域的狀態(tài)是否被允許,其中所述狀態(tài)可以是例如可信狀態(tài)�����?�?商鎿Q地���,遠(yuǎn)端所有者域(TDkq)可以自已啟動(dòng)和管理RTO處理。在RTO處理之前�, TDkq有可能未被要求并處于“原始”狀況。該“原始” RO域TDto可以包括預(yù)先配置的功能��, 其中該功能允許其在啟動(dòng)時(shí)與它的預(yù)定RO取得聯(lián)系���,并且自主啟動(dòng)RTO處理���。作為選擇����, RTO處理可以在TDkq向THSM的所有者或用戶發(fā)出提示并且隨后從THSM的所有者或用戶那里得到了發(fā)起RTO處理的“點(diǎn)頭表示”之后啟動(dòng)�����。在下文中可以將已被創(chuàng)建并且將要為(目標(biāo))遠(yuǎn)端所有者R0_target擁有但卻尚未經(jīng)由RTO處理而被擁有并仍舊處于“原始”狀態(tài)的域 TD 稱為 TDkq tmget*�。在另一個(gè)可替換方案中,TDlffl有可能通過(guò)了結(jié)合特定RO的至少一個(gè)RTO處理�,并且當(dāng)前可以被RO “要求”或“擁有”。對(duì)于DO或是其在THSM上的代理��、例如域TDkq來(lái)說(shuō)���,其是否允許為同一 RO域啟動(dòng)另一個(gè)RTO處理可以取決于RO的策略和/或SDM的策略���。SDM 可以檢查RTO的目的,并且可以根據(jù)可允許的目的或是其策略結(jié)構(gòu)內(nèi)部的活動(dòng)來(lái)確定是否允許繼續(xù)這個(gè)新的RT0�����。經(jīng)由遠(yuǎn)程信令,RO或是RO域(TDkq)可以為具有相同RO的域發(fā)起另一個(gè)RTO處理����。這種處理可以當(dāng)RO需要更新配置文件、安全策略或是可執(zhí)行代碼的時(shí)候在TDkq中進(jìn)行����。RO可以下載更新。更新可以通過(guò)非RT0�����、空中下載(OTA)更新處理來(lái)進(jìn)行����。 但在某些情況中,RO或TDkq可以使用另一個(gè)RTO處理來(lái)更新一些文件或代碼����。當(dāng)“原始” TDeo發(fā)起自己的RTO處理時(shí)��,它有可能需要依靠SDM來(lái)查找用于域構(gòu)建的可用資源的列表��,所述列表則可以由DM域保持。TDeo還可以依靠SDM來(lái)查找保持在DO域中的“期望域”列表��、系統(tǒng)域策略(SDP)以及可用于來(lái)自DM域的查詢的THSM的已有域的當(dāng)前狀態(tài)��,這其中包括可信狀態(tài)�����。該信息可以用于確定用于特定RO域的預(yù)期RTO處理依據(jù)可用資源和策略是否可行���、依據(jù)期望域列表是否是期望的���、以及依據(jù)THSM已有域的狀態(tài)是否被允許。SDM策略可以在用于DO的所有權(quán)獲取(TO)處理過(guò)程中被配置�����。該配置可以借助預(yù)先存在的配置結(jié)構(gòu)而在本地進(jìn)行���,其中該結(jié)構(gòu)是在引導(dǎo)處理過(guò)程中實(shí)施的����。DO的TO還可以在遠(yuǎn)端進(jìn)行�����;如這里規(guī)定的那樣,該處理可以類似于將要與并非設(shè)備所有者域的域的所有權(quán)獲取處理結(jié)合使用的RTO處理(除了對(duì)用于DO域的TO處理來(lái)說(shuō)����,用于阻止或允許RTO 的SDM檢查可以不被調(diào)用之外),這與用于非設(shè)備所有者的遠(yuǎn)端所有者的RTO處理的情況不同�。SDP可以在DO的所有權(quán)獲取處理期間建立,其中該處理既可以在本地執(zhí)行(DO實(shí)際存在并與設(shè)備交互)���,也可以采用一種包含了與位于遠(yuǎn)端的設(shè)備所有者遠(yuǎn)程交互的方式執(zhí)行�����。 該列表還可以包括規(guī)定了不允許獲取域所有權(quán)的遠(yuǎn)端所有者的附加項(xiàng)����。在第二實(shí)施方式中��,ME可以具有安全引導(dǎo)能力�����,并且可以依靠THSM來(lái)執(zhí)行一些對(duì)其某些引導(dǎo)碼執(zhí)行“安全引導(dǎo)”檢查����。此外,ME還可以執(zhí)行非TCG安全引導(dǎo)���,例如OMTP TRO安全引導(dǎo)�����。THSM可用于檢查ME的完整性�����,以便“使用”為THSM提供的物理保護(hù)���。例如,ME 可以向THSM發(fā)送原始數(shù)據(jù)�,THSM則可以檢查ME的完整性。WTRU可以實(shí)施一種在ME與THSM 以及ME的“較值得信任的”部分之間提供安全信道的機(jī)制��,其中所述部分至少被信任能夠以安全方式向THSM發(fā)送代碼或數(shù)據(jù)����,并且安全地與THSM通信,例如經(jīng)由安全信道���,以使得 THSM能為ME執(zhí)行完整性檢查����。THSM還可以在其內(nèi)部存儲(chǔ)代表了 ME的某些ME代碼。這些代碼可以在引導(dǎo)處理過(guò)程中載入ME�。THSM還可以起到對(duì)ME的完整性進(jìn)行檢查的作用,或者起到存儲(chǔ)和加載ME的某些代碼的作用���,這是因?yàn)樵赥HSM自身與ME之間���,由于THSM具有基于硬件的保護(hù)機(jī)制,因此該THSM可以是更為可信的環(huán)境�。在第三實(shí)施方式中,THSM可以為 ME代碼執(zhí)行安全引導(dǎo)或完整性檢查中的某些處理��。該處理能夠?yàn)镽O證實(shí)����。ME可以包括單個(gè)可信實(shí)體;移動(dòng)可信環(huán)境(MTE)��。MTE可以是ME內(nèi)部的邏輯獨(dú)立的環(huán)境���,并且其比ME的剩余部分更可信����。MTE可以使用某些基于硬件的保護(hù)機(jī)制���,例如基于硬件的可信根(RoT)����。 在加載了 ME的基本代碼之后�,這時(shí)可以加載MTE。從可以向外部檢驗(yàn)器提供信任證明����、例如使用可信簽名密鑰的意義上講,MTE可以是可信實(shí)體�。雖然MTE是可信實(shí)體,但其未必?fù)碛杏糜跍y(cè)量的核心可信根���,其中該核心可信根是與實(shí)際TPM相關(guān)聯(lián)的測(cè)量程序代碼�����。至于 MEJt*已通電設(shè)備��,它提供了一個(gè)可供THSM操作的平臺(tái)����,在這里可以將ME稱為ME平臺(tái)。 MTE可以被配置成收集ME平臺(tái)的完整性證據(jù)����,并且至少在使用MTE內(nèi)部受到保護(hù)的簽名密鑰所提供的完整性保護(hù)下將證據(jù)轉(zhuǎn)發(fā)至THSM內(nèi)部的可信實(shí)體,例如后引導(dǎo)SDM�。由于THSM 實(shí)施了 TCG TPM或是類似于MTM的完整性測(cè)量和檢驗(yàn)功能,因此��,THSM還可以實(shí)現(xiàn)TCH TPM 或MTM能力����,從而執(zhí)行“擴(kuò)展”操作,由此�,當(dāng)前軟件的量度會(huì)與用于指示軟件加載歷史狀態(tài)的平臺(tái)配置寄存器(PCR)的當(dāng)前值組合,從而計(jì)算新的PCR值����。THSM還可以通過(guò)實(shí)施一種機(jī)制來(lái)將摘要值(該摘要值可以是軟件組件完整性的原始測(cè)量值)或PCR值轉(zhuǎn)換成另一個(gè)可用于向THSM證明ME平臺(tái)的可信度的完整性數(shù)據(jù)。為了簡(jiǎn)單起見(jiàn)�����,在下文中可以將所收集的ME平臺(tái)完整性數(shù)據(jù)表示為ME平臺(tái)完整性數(shù)據(jù)(MPID)�����。THSM可能沒(méi)有保持用于ME 或MTE的域。THSM有可能可以從預(yù)先配置的文件或是通過(guò)與DM實(shí)時(shí)聯(lián)系來(lái)獲取經(jīng)過(guò)認(rèn)證的度量�,并且它會(huì)對(duì)照該度量來(lái)檢查計(jì)算得到的摘要。如果確定匹配�����,那么隨后可以證實(shí)該 ME���。MTE還能夠收集用于描述ME “環(huán)境”的數(shù)據(jù),例如模型數(shù)量�、期望執(zhí)行哪種服務(wù)以及為誰(shuí)執(zhí)行服務(wù)。為了簡(jiǎn)單起見(jiàn)����,在下文中可以將這種關(guān)于ME的環(huán)境描述表示成ME平臺(tái)環(huán)境調(diào)查(MPES)。THSM DO的RO可以證明自己的域以及ME平臺(tái)的完整性�。該證明可以類似于 M2M情況中的可信環(huán)境(TRE)的M2ME檢驗(yàn)功能,并且在PCT專利申請(qǐng)W02009/092115 (PCT/ US2009/031603)中規(guī)定了所述功能���。ME可以自己或者在THSM請(qǐng)求的時(shí)候持續(xù)向THSM報(bào)告其變化的狀態(tài)���。在第四實(shí)施方式中�����,ME和THSM都可以被配置成執(zhí)行完整的MTM功能�����。ME或是其域的可信度既可以由ME證實(shí)��,也可以由這些域直接證實(shí)����。ME的RO域可以持續(xù)或者依據(jù)請(qǐng)求來(lái)向RO報(bào)告其狀態(tài)���。THSM的RO域也可以具有類似的功能�。由ME的RO域和THSM的RO 域做出的報(bào)告可以同步����,并且還可以相互綁定。此外���,這些報(bào)告也可以使用協(xié)議流的公共會(huì)話來(lái)產(chǎn)生�����。在本實(shí)施方式中�����,ME可以被配置成執(zhí)行這里描述的THSM的若干功能���。ME可以包括其自身的一個(gè)或多個(gè)域���,其中每一個(gè)都針對(duì)的是特定的所有者����。這些域可以包括依照THSM 的可信實(shí)體的屬性。此類域可以包括設(shè)備制造商ΦΜ)域和用戶⑶域�。這些域可以通過(guò)一種類似于THSM的方式而被預(yù)先配置。為了區(qū)分ME上的域與THSM上的域���,在用于表示所述域自身的字母上可以加上字母ME作為下標(biāo)�����。因此���,用于DM的域可以表示為MEDM����。THSM 上的設(shè)備所有者(DO)域可以監(jiān)視ME側(cè)的域����,以便確保與SDM中的系統(tǒng)級(jí)域策略(SDP)相一致。通過(guò)創(chuàng)建ME中的每一個(gè)域�����,可以通過(guò)與SDM通信來(lái)使THSM DO知道每一個(gè)新的域的配置�。ME可以包括稱為平臺(tái)域管理器(MEpdm)的域管理器,該管理器可以采用類似于 THSM中的SDM的方式工作���。MEpdm可以駐留在MEdm中�,并且在一開(kāi)始可以具有DM定義的預(yù)先配置��。這種初始配置在其目的和功能上有可能類似于THSM上的TDdm的初始預(yù)配置定義的配置����。而MEdm的設(shè)置則可以被定時(shí)為在THSM中示例的TDdq之后發(fā)生。當(dāng)SDM得知用于 MEdm的設(shè)置完成時(shí)�����,它可以根據(jù)系統(tǒng)級(jí)限制來(lái)實(shí)施源于SDP或是由SDP反映的策略限制。 SDM可以保持THSM上的多個(gè)遠(yuǎn)端所有者及其域的列表�����。如果要在ME上創(chuàng)建和管理屬于列表中的一個(gè)所有者的域�����,那么SDM可以對(duì)在ME上創(chuàng)建和管理這些域的處理進(jìn)行某種控制�����。在本實(shí)施方式中�,ME可以具有完整的MTM功能���。由此�����,它可以包括用于測(cè)量的核心可信根(CRTM)�、用于報(bào)告的核心可信根(CRTR)��、以及用于存儲(chǔ)的核心可信根(CRTS)。在 THSM上�����,域預(yù)訂功能可以由TSIM功能來(lái)管理��。如果有兩個(gè)域(例如THSM上的一個(gè)域和ME 上的另一個(gè)域)是用于同一 RO的�,那么THSM上的域可以用于那些用于RO且需要很高等級(jí)的安全和/或信任的功能或服務(wù),例如預(yù)訂功能及其用于遠(yuǎn)端所有者的管理�����,而ME上的域則可以用于那些用于同一 RO且仍舊需要一定等級(jí)的安全或信任的功能或服務(wù)���,但是所述等級(jí)的安全或信任并未達(dá)到預(yù)計(jì)來(lái)自THSM上的域的功能和服務(wù)所需要的安全或信任等級(jí)�����。不從預(yù)先配置的文件構(gòu)建的域可以通過(guò)遠(yuǎn)端所有權(quán)獲取(RTO)處理來(lái)配置�����。用于ME 和用于典型遠(yuǎn)端所有者(RO)的RTO可以與用于THSM的RTO相類似����。ME上的域可以不是預(yù)定用于遠(yuǎn)端所有者的預(yù)訂管理的。取而代之的是�,它們有可能為了用戶、所有者�、遠(yuǎn)端所有者及其任何組合的利益而被預(yù)定用于執(zhí)行計(jì)算和資源密集的任務(wù)。例如����,這些域可以執(zhí)行無(wú)法由THSM上的相對(duì)有限的資源實(shí)現(xiàn)的任務(wù)。與一旦創(chuàng)建就處于ME內(nèi)部�、直至被顯式地刪除不同,與虛擬化相似�����,ME上的域可以在引導(dǎo)甚至運(yùn)行時(shí)的會(huì)話中創(chuàng)建��,并且可以基于臨時(shí)的會(huì)話而被用于其特定目的����,從這個(gè)意義上講��,這些域還可以是更為“短暫”或“暫時(shí)”的�����。在請(qǐng)求和獲取已被證實(shí)的資源分配調(diào)查以及其他遠(yuǎn)端所有者擁有的ME上的其他域或是THSM上的其他這樣的域的分配目的的方面,ME上的域的遠(yuǎn)端所有者未必具有相同等級(jí)的權(quán)限�����。如果能為移動(dòng)可信平臺(tái)的設(shè)備所有者提供一種方法來(lái)購(gòu)買沒(méi)有被特定PLMN預(yù)先分配和初始化的“空白”(blank) WTRU���,從而允許在沒(méi)有限制的情況下任意選擇移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商�,那么將會(huì)是非常有利的�����,其中所述特定PLMN也被稱為MNO遠(yuǎn)端所有者�����。該方法可以包括對(duì)諸如UMTS設(shè)備(UE)之類的WTRU執(zhí)行所有權(quán)獲取處理��,例如RTO處理��,其中遠(yuǎn)端所有者是PLMN運(yùn)營(yíng)商或是意欲與之預(yù)訂應(yīng)用的其他類似運(yùn)營(yíng)商����,以及設(shè)置、定制和結(jié)束諸如 RO域之類的子系統(tǒng)���,其中所述RO域是處于THSM內(nèi)部并且可以被正確RO要求的域����。如前所述,可信硬件預(yù)訂標(biāo)識(shí)(THSM)既可以作為防篡改硬件組件模塊來(lái)構(gòu)建�����,也可以在其內(nèi)部包含防篡改組件模塊���,其中該模塊包含了用于PLMN運(yùn)營(yíng)商的預(yù)訂應(yīng)用以及其他增值服務(wù)的功能�����,例如用于IMS預(yù)訂標(biāo)識(shí)模塊(ISIM)的功能�����。THSM既可以是能夠從 WTRU上移除的����,也可以是不能從WTRU上移除的�。UICC的增強(qiáng)型版本或是兼容全球平臺(tái)標(biāo)準(zhǔn)的智能卡可以是這種THSM的一個(gè)實(shí)施方式�。所有權(quán)獲取操作在運(yùn)營(yíng)商或PLMN與WTRU之間建立了基本的“信任”關(guān)系���。該過(guò)程可以包括安裝和示例“空白的可信”TSIM,其中該TSIM包含了具有普通“可信”軟件配置的“原始”工具�����。如果該平臺(tái)能夠提供其“原始”配置的和安全屬性���,那么該子系統(tǒng)可以由遠(yuǎn)端所有者認(rèn)證�����。圖3和3A示出了該處理的一個(gè)示例��,該示例特別關(guān)聯(lián)于這里描述的第一實(shí)施方式����。遠(yuǎn)端所有者可以是為用戶提供被請(qǐng)求的服務(wù)���、設(shè)置恰當(dāng)?shù)陌踩呗砸约皩?shí)施與服務(wù)相符的設(shè)備配置的移動(dòng)網(wǎng)絡(luò)�。該協(xié)議的所有者可以處于本地����。圖3和3A示出了例示的引導(dǎo)和RTO處理�。ME可以具有引導(dǎo)前狀態(tài)304�����。在306���, 設(shè)備可以通電��。在308���,ME可以執(zhí)行“安全”引導(dǎo)(非TCG)。ME可以達(dá)到基本碼已引導(dǎo)狀態(tài)310��。更進(jìn)一步�����,在312�����,ME可以向THSM發(fā)送“基本引導(dǎo)完成”信號(hào)�����。在314,ME可以依照基本配置來(lái)加載附加軟件�。在316���,ME弓丨導(dǎo)可以完成(加載了應(yīng)用)�。在318����,ME可以向 THSM發(fā)送引導(dǎo)完成消息。THSM可以處于引導(dǎo)前狀態(tài)330���。在334����,THSM可以加載TEDM���。該THSM可以在配置過(guò)程中接收預(yù)先配置的文件�����,例如����,336示出了使用預(yù)先配置的文件的處理。在338��,THSM可以達(dá)到"TDdm已構(gòu)建”狀態(tài)(基本配置狀態(tài))�。如340所示,THSM可以接收可用于RO域的資源上的DM規(guī)范�����。在����;342,TDdm可以構(gòu)建TDdq (TDdq可以包括SDM)�����。在����;344,舉例來(lái)說(shuō)����,THSM可以使用已保存的配置文件����,例如從而構(gòu)建域(有可能因?yàn)橄惹暗腞TO而可供使用)�����。在346�,THSM 可以達(dá)到TDdq已構(gòu)建狀態(tài)(包括SDM)���,其中TDdq既有可能沒(méi)有被DO要求�,也有可能已被DO 要求�。在;350����,TDdq可以構(gòu)建TDutl在;352�,從DO可以接收輸入。在���;354���,THSM可以達(dá)到TDu 已構(gòu)建狀態(tài)��,其中TDu既有可能未被要求�����,也有可能已被要求��。在356���,THSM可以接收來(lái)自 DO或DU的輸入(例如通過(guò)文件或交互來(lái)規(guī)定DO可能希望構(gòu)建哪些域)。在358�,TDdq可以構(gòu)建RO域TDkq。現(xiàn)在參考圖3A��,在362���,THSM可以達(dá)到已經(jīng)構(gòu)建了 TDkq的狀態(tài)����,其中TDkq既有可能未被RO要求����,也有可能已被RO要求。在366�,SDM可以請(qǐng)求TDkq執(zhí)行RT0�����,或者TDkq可以通知(或請(qǐng)求)SDM該TDkq將要執(zhí)行RT0����。在370����,TDkq可以啟動(dòng)RTO處理。在380�����,這時(shí)存在典型的遠(yuǎn)端所有者(RO1... ROn)�����。在384��,這時(shí)可以交換信息����。例如���,作為結(jié)合遠(yuǎn)端所有者的 RTO處理的一部分��,所交換的信息可以包括下列各項(xiàng)中的一項(xiàng)或多項(xiàng)證明���、配置�、策略、目的���、證書(在這里被稱為CERT)、密鑰和涉及TDro&SP����。作為選擇�,RO可以在RTO處理過(guò)程中找出DO的“環(huán)境”或“域規(guī)劃”���,并且可以在其同意所述環(huán)境/規(guī)劃的情況下允許該處理繼續(xù)進(jìn)行��。在372�����,THSM可以獲取/更新不同的域的系統(tǒng)配置,保存信息��,以及將信息存入 THSM中的非易失受保護(hù)存儲(chǔ)器��。在374�����,THSM可以達(dá)到具有后RTO TDkq的狀態(tài)��。參考第一實(shí)施方式�,由DO的RTO形成的策略域可以包括影響了后續(xù)RTO處理的域配置的規(guī)定�。該RTO協(xié)議有可能適合非DO R0�����。特定于域的策略(DP)可以在RTO事務(wù)處理期間被下載�����。用于DO的DP可以不同于用于RO的DP��,并且其不同之處在于這種DP(DPdq)可以包括預(yù)定用于構(gòu)建和保持THSM可以被遠(yuǎn)程擁有的其他域的系統(tǒng)級(jí)域策略(SDP)�。在RTO 處理之前或者在RTO處理過(guò)程中,域的RO可以從可信的第三方(TTP)那里獲取參考完整性度量(RIMto)�����,其中所述參考完整性度量針對(duì)的是支持所有THSM域中的所有域或是其子集的硬件或軟件的配置和當(dāng)前完整性狀態(tài)�����,而所述域的RO則可以被表述成TTP — RO =RIMeo = {支持THSM的域的HW/SW的配置和狀態(tài)�����,和/或摘要值} 等式1在一些情況中���,TTP有可能能夠?qū)IMkq提供給THSM的冊(cè)和SW的一個(gè)子集�,這其中包含了 RO有興趣進(jìn)行檢驗(yàn)的域。提供RIMkq有可能需要一個(gè)以上的TTP�����,其中RO收集所述 RIMeo并且形成一個(gè)集合參考度量����。在THSM的SDM的幫助下�����,經(jīng)歷RTO處理的THSM的目標(biāo)域(TDrotoget)可以被配置成為其RO提供已簽名THSM平臺(tái)完整性證明(ΤΡΙΑ)����。該ΤΡΙΑ可以是THSM上的域的單個(gè)完整性證明和/或目標(biāo)域的RO在允許結(jié)束結(jié)合了 TDkq tmget的RTO 處理之前有興趣進(jìn)行檢驗(yàn)的設(shè)備平臺(tái)完整性證明的級(jí)聯(lián)��。在THSM的SDM的幫助下����,THSM 的目標(biāo)域(TDKQ ta,get)能夠?yàn)槠銻O提供已簽名TGSM平臺(tái)環(huán)境概要(TPES)���。TPES可以包括 THSM環(huán)境的概要�����,這其中包括THSM上的其他域的數(shù)量和特征以及可用于TEkq toget的任何剩余可用資源����,例如THSM平臺(tái)的資源,并且這些資源可以表述為TDro target — RO [ΤΡΙΑ] signed | | [TPES] signed等式 2可替換地,與向RO報(bào)告可能包含了所有域上的所有證明的TPIA不同���,SDM可以提供關(guān)于其已經(jīng)檢查過(guò)所有這些域的完整性并且將這些域視為可信的已簽名聲明���,其中該聲明可以是半自主聲明���。這個(gè)證明可以包括關(guān)于域集合的完整性的本地檢驗(yàn)��。本地檢驗(yàn)器可以包括用于THSM上的每一個(gè)域的有效配置列表�����。該SDM可以為本地檢驗(yàn)器提供可以通過(guò) AIK簽名的ΤΡΙΑ��。對(duì)于單個(gè)完整性證明的檢驗(yàn)有可能需要它們與配置列表中相應(yīng)的本地存儲(chǔ)的項(xiàng)匹配���。SDM可以執(zhí)行構(gòu)造TPIA所需要的完整性測(cè)量����、登錄以及PCR擴(kuò)展��,并且證明每一個(gè)域的可信度�。這些測(cè)量及其擴(kuò)展可以供檢驗(yàn)器用于確定已經(jīng)為所需要的域進(jìn)行了證明。一旦檢驗(yàn)完成�,本地檢驗(yàn)器就可以預(yù)備相關(guān)證明已經(jīng)進(jìn)行的聲明���,并且使用來(lái)自已認(rèn)證的密鑰對(duì)(Ksign—VCTify—ρΗν���,Ksign—VCTifuub)中的私鑰來(lái)對(duì)該聲明進(jìn)行簽名�。包含了與已簽名TPES級(jí)聯(lián)的已簽名檢驗(yàn)聲明的消息可以表述為TDK���。―target — RO [檢驗(yàn)聲明]Ksign verifyjriv I I [TPES] signed等式 3一旦接收到來(lái)自一個(gè)或多個(gè)TTP的{RIMKJ以及來(lái)自TDkq tmget的已簽名TPIA和已簽名TPES,則RO可以檢驗(yàn)是否TDkq tmget處于被RO發(fā)現(xiàn)適合用于繼續(xù)RTO處理的環(huán)境(例如THSM中的環(huán)境)����、以及支持TDkq ta,get和RO所關(guān)注的其他任何域的硬件或軟件是否處于完整性與R0相適合的狀態(tài)����。用于原始域的RO協(xié)議可以在通電時(shí)開(kāi)始�����。作為選擇,該RTO協(xié)議也可以在通電之后開(kāi)始����。當(dāng)THSM的安全引導(dǎo)完成時(shí),由此引起的域的構(gòu)建可以通過(guò)配置文件來(lái)確定,其中該配置文件的內(nèi)容反映了初始通電時(shí)的平臺(tái)狀態(tài)��,例如首次通電時(shí)的平臺(tái)狀態(tài),或是先前引導(dǎo)設(shè)備并且隨后將其斷電時(shí)的先前狀態(tài)。由此���,設(shè)備可以處于包含了 TDdm構(gòu)建�、“原始” TDdq以及“原始” TCu狀態(tài)的基本配置中��?��?商鎿Q地����,WTRU可以處于以后的配置中���,例如處于以先前啟動(dòng)和域構(gòu)建或是RTO處理為基礎(chǔ)的配置中,其中所述RTO處理包括TDdm�����、“后 RT0”TDdq和“后RTCTTCu狀態(tài)����。在另一個(gè)可替換實(shí)施方式中����,WTRU可以處于這樣一種配置 其中該配置還包括附加域(例如圖2所示的域)的擴(kuò)展集合����。這些域有可能是在先前的通電會(huì)話中創(chuàng)建的�,并且所有權(quán)有可能被相應(yīng)所有者通過(guò)先前運(yùn)行的RTO處理獲取����,其中所述先前運(yùn)行的RTO處理是在先前的會(huì)話中進(jìn)行的�����。參考第一實(shí)施方式,作為平臺(tái)的安全和可信實(shí)體����,THSM可以控制所有權(quán)獲取協(xié)議, 并且確定ME是否處于初始的信任狀態(tài)����。預(yù)先提供的密鑰Ktemp可以用于保護(hù)經(jīng)由THSM-ME 接口發(fā)送的消息的置信度����。為了簡(jiǎn)單起見(jiàn),經(jīng)過(guò)加密的消息可以用{A}表示����,消息的簽名處理可以用[A]表示��,并且符號(hào)IDme和IDthsm分別表示預(yù)先提供的ME和THSM的臨時(shí)ID����。RTO啟動(dòng)可以包括在結(jié)合特定RO的REO處理之后����,由TDdq的SDM發(fā)起用于將要被 RO要求的“未要求”����、“原始”域的RT0��。用戶可以啟動(dòng)ME平臺(tái)的通電處理����。在通電時(shí)��,ME可以執(zhí)行關(guān)于基本碼的“非TCG” “安全引導(dǎo)”����,例如OMTP定義的引導(dǎo),在該引導(dǎo)中����,所述基本碼將會(huì)變?yōu)椤盎顒?dòng)”��。作為非TCG安全引導(dǎo)處理的一部分�����,ME基本碼的完整性是可以被自主檢查的。參考第三實(shí)施方式�,在完成了基本碼引導(dǎo)處理之后,這時(shí)可以加載移動(dòng)可信環(huán)境 (MTE)�����。通過(guò)使用簽名密鑰�����,MTE可以證實(shí)ME平臺(tái)配置的完整性。在加載了基本碼之后�����,ME可以周期性地將信號(hào)發(fā)送到THSM,從而指示其已經(jīng)被引導(dǎo)到一個(gè)最低安全配置�。由于在發(fā)送信號(hào)的時(shí)候�,THSM的DO域有可能尚未被引導(dǎo)��,因此ME 可以發(fā)送具有不同隨機(jī)現(xiàn)時(shí)(nonce) (nonce_l)的相同信號(hào),直至其接收到從THSM的DO域返回的應(yīng)答信號(hào)�����。該信號(hào)可以表述為Def) Package_l = "ME 基本碼引導(dǎo)完成,��,MSG | | nonce_l | | IDmeME — THSM�,s TDdo :Package_l | | [SHA-X (Package_l) ]Ktemp x等式4參考第三實(shí)施方式�,該信令可以表述為Def) Package_l = "ME 基本碼引導(dǎo)完成&MTE 加載” MSG | | nonce_l | | IDmeME — THSM,s TDdo :Package_l | | [SHA-X (Package_l) ]Ktemp x等式5THSM可以“安全”引導(dǎo)��,由此THSM有可能已經(jīng)載入了其DM域�����、“原始” DO域、用戶域以及至少一個(gè)將要被RO擁有但卻尚未擁有的“原始”域���。此外�����,在加載這些域的過(guò)程中可以對(duì)照每一個(gè)域的參考完整性度量(RIM)來(lái)檢查每一個(gè)域的代碼狀態(tài)的完整性��。該檢查可以依照某個(gè)規(guī)范進(jìn)行,例如TCG MPffG規(guī)范�。如果設(shè)備所有者域(TDdq)先前已經(jīng)通過(guò)了用于DO的RTO處理��,那么它同樣可以加載到“預(yù)先配置的”配置或是“最后保存的(先前RTO之后的)”配置中�。在被加載的時(shí)候�����, DO域可以包括系統(tǒng)級(jí)域管理器(SDM)���。SDM可以監(jiān)視屬于其他遠(yuǎn)端所有者(RO)的域的構(gòu)建或者加載或維護(hù)。SDM可以查找來(lái)自DM域的“域可用資源列表”��,并且還可以查找由TDdq保護(hù)的系統(tǒng)級(jí)域策略(SDP)。在引導(dǎo)時(shí)�,SDM還可以用一個(gè)“可被構(gòu)建的域的列表”來(lái)提示THSM的使用人或所有人(DO)�����,并且請(qǐng)求用以選擇所要構(gòu)建的域的輸入�。在得到了來(lái)自用戶或所有者的輸入之后�����,SDM可以繼續(xù)構(gòu)建那些僅僅在來(lái)自所有人或使用人的響應(yīng)中規(guī)定的域����。SDM可以通過(guò)與 ME交互來(lái)提供用于這些事務(wù)處理的用戶界面(UI)�。在安全引導(dǎo)之后,THSM的TDdq可以向ME發(fā)送“THSM引導(dǎo)完成”消息�����。該TDdq也可以在消息內(nèi)部包含能在外部可公開(kāi)的所述域的當(dāng)前狀態(tài)的概要����,例如所加載的RO域的數(shù)量和名稱。TDm的SDM可以確定并實(shí)施域的當(dāng)前狀態(tài)概要的外部公開(kāi)程度,并且該確定可以基于SDP和/或THSM和/或ME上的域所具有的特定于域的策略(DP)���。TDdq可以將包含接收到的nonCe_l作為SHA-X完整性檢查代碼輸入的一部分,以此對(duì)在該消息中接收到 Package」做出應(yīng)答���,其中所述輸入可以表述如下Def)Package_2 = "THSM 引導(dǎo)完成”MSG| nonce_2 | IDthsmTDdo — ME :Package_2 | | [SHA-X (Package_l | | nonce_l) ]Ktemp x等式6對(duì)于THSM的ID、例如來(lái)IDthsm說(shuō)���,該ID可以保持在DM域TDdm中����,并且其可以相當(dāng)于TDdm的ID。DO域TDdq可以將其從TDdm取回�,以便構(gòu)造等式6中的I^Ckage_2�。響應(yīng)于‘‘THSM引導(dǎo)完成”消息,ME可以繼續(xù)完成其引導(dǎo)處理�����。在完成了引導(dǎo)處理之后��,ME可以向THSM的TDdq發(fā)送消息��,該消息可以表述為Def) Package_3 = "ME 弓|導(dǎo)完成” | | nonce_3ME — TDdo :Package_3 | | [SHA-X (Package_3 | | nonce_2) ]Ktemp x等式7下列內(nèi)容適用于這樣的情形其中DO域的SDM發(fā)起并監(jiān)視用于當(dāng)前“原始”的RO 域的RTO處理。在TDdq接收到來(lái)自ME的I^Ckage_2之后����,這時(shí)可以啟動(dòng)RTO處理。TDdq內(nèi)部的系統(tǒng)級(jí)域管理器(SDM)可以通過(guò)向“原始”目標(biāo)RO域(TD*KQ Ta,get)請(qǐng)求啟動(dòng)RTO處理來(lái)發(fā)起 RTO處理�����。SDM既可以自主發(fā)起該處理����,也可以在得到所有人或使用人的提示的時(shí)候發(fā)起該處理。SDM可以向TD�、&送要求為目標(biāo)RO啟動(dòng)RTO處理的請(qǐng)求。該請(qǐng)求可以包括目標(biāo)RO 是誰(shuí)���,例如RO的ID或網(wǎng)絡(luò)接入標(biāo)識(shí)符(NAI),以及當(dāng)前請(qǐng)求的有效周期�。作為請(qǐng)求的一部分或是作為與請(qǐng)求一起傳送的獨(dú)立分組���,SDM還可以發(fā)送用于“已許可RO域的SDP狀況”的列表(在下文中將其稱為SCARD)���。當(dāng)其在預(yù)定的RTO處理之后完成時(shí)�,SDM還可以發(fā)送用于TDto的“目標(biāo)域規(guī)劃”���。該消息傳遞可以表述為Def) Package_4a =Request_to_start_RTO SCARD | 目標(biāo)域規(guī)戈lj | nonce_4SDM — TD*K0 Target :Package_4a | | [SHA-X (Package_4a) ] Ksign SDM等式8響應(yīng)于f^Ckage_4的接收�,TD*KQ T get可以接受或拒絕該請(qǐng)求����。該請(qǐng)求可以被解釋成是允許RO獲取RO域的所有權(quán)的意向。TD*KQ Ta,get可以根據(jù)預(yù)先配置的判據(jù)或是其自身具有且已被加載的RO域策略的“原始”版本來(lái)做出該決定。TD*KQ Ta,get可以被配置成檢查Request_to_start_RTO�����、SCARD以及Target_Domain_Plan,并且在不存在實(shí)際目標(biāo)遠(yuǎn)端所有者的情況下做出這一決定和為實(shí)際目標(biāo)遠(yuǎn)端所有者而做出這類決定�����。該決定可以表述為Def)Package_5a = Okay(or Not_0kay)_to_start_RT0||nonce_5aTD*K0 Target — SDM :Package_5a||[SHA-X(Package_5a)| nonce—^:」Ksign—TD*R0—Target等式9“原始”目標(biāo)RO域(TD^ toget)可以發(fā)起該處理�����。TD^ toget可以向SDM提醒其用于RTO處理的“最終域規(guī)劃”。該SDM可以許可或拒絕所述請(qǐng)求���。如果SDM許可該請(qǐng)求,則丁0*1�����;����?����?梢詥?dòng)RTO處理,這可以表述為 Def)Package_5b = Intend_to_start_RTO Final Domain Plan nonce_5b
TD*K0 Target — SDM :Package_5b | | [SHA-X (Package_5b) ] Ksign T爾0 Target等式10響應(yīng)于I^ackageja或I^ackage—Sb的接收,SDM可以為用于TD*KQ T get的RTO處理查找系統(tǒng)域策略(SDP)��、“期望域”列表�、“域可用資源”列表、或是THSM中的域的當(dāng)前狀態(tài), 其中所述系統(tǒng)域策略既可以是預(yù)先配置的���、也可以通過(guò)用于TDiw的RTO處理得到�����,所述“期望域”列表既可以是預(yù)先配置的、也可以由所有者提供�,而所述“域可用資源”列表則可以由 DM域保持并持續(xù)更新。SDM還可以評(píng)估是否有足以用于構(gòu)建和保持THSM上的多個(gè)域的資源(例如用于虛擬機(jī)線程的存儲(chǔ)器或計(jì)算資源)���、THSM中的域的當(dāng)前狀態(tài)是否匹配“期望域”列表中規(guī)定的狀態(tài)����、“期望域”中的新域的構(gòu)建或加載是否可以得到THSM中的域的當(dāng)前狀態(tài)的支持以及 SDP的許可��、或者是否有一個(gè)或多個(gè)域需要通過(guò)RTO處理���。如果SDM根據(jù)可用資源��、THSM現(xiàn)有域的當(dāng)前狀態(tài)以及SDP確定TD*KQ T get可以通過(guò)RTO處理�,那么SDM可以指示該決定(TD*KQ Tmget)并且繼續(xù)預(yù)備多個(gè)將要在RTO處理中被轉(zhuǎn)發(fā)給RO的完整性證明�����,以使其能對(duì)TD^ Target及其周圍的域進(jìn)行評(píng)估�����。該證明可以表述為Def) Package_6 = Okay—to—go—ahead—with—RTO | | nonce_6SDM — TD*KQ Target :Package_6| | [SHA—X (Package_6) | |nonce_5(a or b)]Ksign SDM等式11SDM可以向使用人指示其將要為特定域發(fā)起RTO處理���,其中舉例來(lái)說(shuō),所述指示可以通過(guò)WTRU上顯示的消息進(jìn)行����。SDM還可以使用“啟動(dòng)RTO處理的期望域和期望R0”的列表來(lái)向使用人或所有人(DO)發(fā)出提示�,并且繼續(xù)僅為那些由所有者或用戶響應(yīng)于所述提示指定的RO域發(fā)起RTO處理。SDM還可以與提供了用于這些事務(wù)處理的用戶界面(UI)的 ME進(jìn)行交互。以請(qǐng)求SDM預(yù)備其可以用于構(gòu)造THSM平臺(tái)完整性證明(TPIA)和THSM 平臺(tái)環(huán)境概要(TPES)的材料�����。該請(qǐng)求可以表述為Def)Package_7 = Request_for_TPIA| |Request_for_TPES| |nonce_7TD*K0 Target — SDM :Package_7||[SHA-X(Package_7)| nonce—b」Ksign—TD*R0—Target等式12參考第三實(shí)施方式��,該請(qǐng)求可以表述為Def)Package_7a = Request_for_TPIA||Request_for_TPES||Request for MPIDl I Request for MPES| |nonce_7aTD*R0_Target — SDM Package_7a |[SHA-X(Package_7a |nonce_6)]Ksign_TD*R0_Target等式13
在關(guān)于TPIA和TPES的請(qǐng)求中,RO可以規(guī)定它從SDM那里尋求的是與TPIA和TPES 相關(guān)的何種信息���。例如�����,對(duì)TPIA來(lái)說(shuō),除了自身之外�,它還可以規(guī)定其希望檢驗(yàn)完整性所針對(duì)的域的名稱或范圍�。同樣�,對(duì)于TPES來(lái)說(shuō)��,RO可以規(guī)定除了其自身之外的域所有者的公共ID,例如網(wǎng)絡(luò)分配標(biāo)識(shí)符(NAI)����。參考第三實(shí)施方式���,目標(biāo)RO還可以請(qǐng)求與ME平臺(tái)的完整性(在下文中將其稱為 MPID)相關(guān)的特定信息���、以及與ME環(huán)境相關(guān)的其他信息?���?商鎿Q地,RO可以請(qǐng)求表明加載了 MTE并且ME向SDM發(fā)送了 MPID和MPES的簡(jiǎn)單指示符��。作為駐留在ME平臺(tái)上的可信實(shí)體,在被SDM請(qǐng)求預(yù)備值MPID和MPES的時(shí)候�����,MTE可以執(zhí)行預(yù)備所述值。該請(qǐng)求可以表述為Def) Package_7b =請(qǐng)求 MPID | | 請(qǐng)求 MPES | nonce_7bSDM ^ MTE Package_7b| |[SHA-X(Package_7b)]Ksign_SDM等式14MTE可以收集來(lái)自ME的配置數(shù)據(jù)并構(gòu)建MPID�。此外還可以獲取環(huán)境數(shù)據(jù)�����,以便產(chǎn)生ME平臺(tái)環(huán)境調(diào)查(MPES)����。這些值可以基于當(dāng)前的ME狀態(tài)�,其中所述狀態(tài)有可能隨時(shí)間而改變�。如果在ME狀態(tài)改變之后發(fā)出了以后的請(qǐng)求,那么經(jīng)過(guò)更新的值可以被發(fā)送到SDM。 通常���,ME可以向SDM發(fā)送響應(yīng),并且該響應(yīng)可以表述為Def) Package_8a = MPID | | MPES | | CertMTEMTE ^ SDM Package_8a| |[SHA-X(Package_8a| |nonce_7b)]Ksign_MTE等式14MTE可以提供經(jīng)過(guò)CA簽名并包含其公鑰Kmte Pub的證書���。由此�,SDM可以通過(guò)檢驗(yàn) CA的簽名來(lái)檢驗(yàn)這個(gè)公鑰的真實(shí)性��,并且由此可以使用Kmte Pub檢查來(lái)自MTE的消息的完整性�����。SDM可以預(yù)備TPIA和TPES,并且稍后將其轉(zhuǎn)發(fā)到TD*ro Tmget����。為了預(yù)備TPIA���,SDM可以收集完整性證明�����,例如通過(guò)“原始”TDkq收集該“原始”TDkq 的完整性證明��、通過(guò)TEdm收集該TEdm的完整性證明、TEm的完整性證明����、通過(guò)TCu收集該TCu 的完整性證明(如果設(shè)備用戶不同于DO)、以及通過(guò)RO關(guān)注的其他任何現(xiàn)有TDkq收集該現(xiàn)有TDkqW完整性證明���?����?商鎿Q地,在收集了來(lái)自PCR的完整值之后,通過(guò)本地自主檢查處理以及關(guān)于諸如編碼和數(shù)據(jù)之類的測(cè)量日志的重新計(jì)算處理�,SDM可以對(duì)照來(lái)自PCR且用于相應(yīng)域的摘要值來(lái)檢驗(yàn)所述域。該處理可以在TTP(PCA)不知道應(yīng)該包含相應(yīng)域的最新代碼的時(shí)候執(zhí)行�����,并且TTP可以對(duì)鏈接到AIK的簽名密鑰進(jìn)行認(rèn)證,其中所述AIK是為WTRU上的TPM或 MTM認(rèn)證的。對(duì)于供RO比較來(lái)自SDM的TPIA的摘要度量來(lái)說(shuō)��,TTP可以不被配置成為其提供參考值。通過(guò)重新計(jì)算域的代碼摘要�,并且將其與所引證的PCR值進(jìn)行比較,SDM可以在本地檢查其獲取的用于所述域的PCR引證是否是最新的���。如果通過(guò)了這個(gè)本地檢查,則SDM 可以為TPIA簽名�����,并且將其經(jīng)由MTE或ME傳遞到TDkq tmget以及ROtoget�����。在另一個(gè)可替換方案、即三向檢驗(yàn)中��,作為TPIA的一部分��,SDM可以提供域的摘要和測(cè)量日志�����,例如實(shí)際代碼。在獲取了代碼以及摘要時(shí)�����,RO可以從TTP那里獲取摘要的參考度量,并且可以從測(cè)量日志中重新計(jì)算出摘要,以及可以將其與它從TDto Ta_接收的引證PCR摘要以及它從TTP接收的參考摘要度量進(jìn)行比較����。對(duì)于具有或不具有測(cè)量日志的TPIA來(lái)說(shuō)����,在執(zhí)行PCR引證時(shí),它還可以包括關(guān)于 “本地時(shí)間”的指示�,其中該指示有效印記(time-stamping) 了用于單個(gè)域的摘要的引證時(shí)間。這樣做給出了 SDM最后一次獲取每一個(gè)域的PCR摘要的時(shí)間��。如果沒(méi)有將測(cè)量日志發(fā)送至R0���,那么在決定用以獲取和在TPIA中包含本地摘要的時(shí)間是否足夠新�,以便允許在證明檢驗(yàn)中使用該摘要方面���,當(dāng)需要驗(yàn)證在TPIA中指示的證明時(shí)�����,帶有時(shí)間戳的PCR引證可以向RO提供某些附加信息����。用于這種時(shí)間戳的時(shí)鐘可以是一個(gè)可信賴的時(shí)鐘。如果三向檢驗(yàn)失敗�����,則RO可以請(qǐng)求由TTP來(lái)為其提供經(jīng)過(guò)更新的參考度量或測(cè)量日志�����,從中它可以計(jì)算出期望摘要��。RO可以重新嘗試三向檢驗(yàn)��。如果檢驗(yàn)成功,則RTO繼續(xù)進(jìn)行�。如果檢驗(yàn)失敗并且RO策略需要成功的三向檢驗(yàn),則可以終止RT0。對(duì)于DO域的完整性證明�����,SDM可以自動(dòng)地獲取,例如通過(guò)該SDM本身的功能來(lái)獲取����。對(duì)于完整性證明來(lái)說(shuō)���,除了 DO域的完整性證明之外���,SDM還可以請(qǐng)求相應(yīng)的其他域產(chǎn)生其自身相應(yīng)的完整性證明并為其簽名�。在請(qǐng)求中�,SDM可以包括諸如令牌之類的授權(quán)數(shù)據(jù),并且接收方可以使用該授權(quán)數(shù)據(jù)來(lái)檢查SDM是否有權(quán)從所述域那里請(qǐng)求和獲取完整性證明���。該請(qǐng)求還可以包括接收域的平臺(tái)配置寄存器(PCR)的范圍,其中目標(biāo)RO以及作為目標(biāo)RO請(qǐng)求的轉(zhuǎn)發(fā)者的SDM需要對(duì)其接收方域的完整性進(jìn)行檢查。該請(qǐng)求可以表述為Def)Package_8b(i) = Request_for_Attestation| |nonce_8b⑴����,i = 1,2,..., NSDM — TDltomain⑴Package_8b (i) | [SHA-X (Package_8b (i)) ] Ksign SDM等式15在這里可以將域表示為domain (i),i = 1,2, . . .�,N,N是域(SDM從該域收集了 PCR值)的數(shù)量�����,其中每一個(gè)域首先檢查RequeSt_f0r_AtteStati0n中的授權(quán)數(shù)據(jù),然后則取回Request_for_Attestation中規(guī)定的PCR范圍的PCR值。該操作可以表述為Def) Package_8c (i)=規(guī)定的PCR 范圍的值 I |nonce_8c(i)���,i = 1���,2��,...,NTDDomain (i) — SDM Package_8c (i) | [SHA-X (Package_8c (i) | nonce_8b ⑴]Ksign TD D。main(i)等式16SDM可以執(zhí)行THSM平臺(tái)完整性證明(TPIA)����,以便級(jí)聯(lián)所有證明并使用其簽名密鑰來(lái)為這些證明簽名���。該處理可以表述為Def) TPIA = Concatenation {來(lái)自 Domain (i)的簽名的 PCR 值}�,i = 1,2,.��,,N等式17對(duì)于TPES預(yù)備處理來(lái)說(shuō)�����,SDM可以通過(guò)級(jí)聯(lián)那些它從TDdm��、TDdq和TDD��。mains(i)收集的信息來(lái)產(chǎn)生TPES,其中舉例來(lái)說(shuō)�,所述信息可以是能從DM域得到的THSM冊(cè)和SW配置和版本號(hào)�、BIOS配置、平臺(tái)上的域的數(shù)量、諸如存儲(chǔ)器之類的用于當(dāng)前域的總平臺(tái)資源�����、為了進(jìn)一步構(gòu)建或擴(kuò)展現(xiàn)有域或新域而保留的平臺(tái)資源、域的名稱或是其所有者的姓名或ID(如果相應(yīng)域所有者允許)(例如ΝΑΙ)����、SDM收集上述環(huán)境信息時(shí)的日期/時(shí)間�,如果單調(diào)計(jì)數(shù)
27器可用但日期/時(shí)間不可用���,那么該信息也可以是單調(diào)計(jì)數(shù)器值�����,或者該信息還可以是其他任何永久性信息�。該請(qǐng)求可以表述為Def) TPES = {收集的信息}等式18SDM可以為TPIA和TPES簽名����,并且將其轉(zhuǎn)發(fā)到TD*R0_Target。SDM還可以包括已簽名的SCARD���,由此,如果DO無(wú)法檢查SCARD����,那么它可能不需要依靠任何原始的TD*KQ T get�。SCARD可以與ΤΡΙΑ和TPES —起被發(fā)送到R0����,由此RO可以決定在檢查了 SCARD、TPIA 和TPES之后繼續(xù)執(zhí)行獲取所有權(quán)的處理���。該消息傳遞可以表述為SDM — TDkq Target SCARD | | nonce_8fb | | [SHA-X (SCARD) | | nonce_8fb) ] Ksign SDMΤΡΙΑ I I Concatenation{nonce_8c(i)}[SHA-X(ΤΡΙΑ) | |Concatenation{nonce_8c ( i)}]TPES I I nonce_8f | | [SHA-X (TPES | | nonce_8f) ] Ksign SDM或SCARD | | ΤΡΙΑ | | TPES | | [SHA-X (SCARD | | ΤΡΙΑ | | TPES | | nonce_8f) ] Ksign SDM等式19一旦從SDM接收到ΤΡΙΑ、TPES以及SCARD�����,則可以使用SDM的公共簽名密鑰來(lái)對(duì)它們進(jìn)行檢查��,以便檢查它們的完整性����。然后����,ΤΡΙΑ�、TPES�、SCARD、用以指示用戶所期望的服務(wù)的目的信息元素(P)以及用于所有權(quán)獲取消息的請(qǐng)求(requestjO)可以被發(fā)送至ME。 如果RTO處理針對(duì)的是必須供應(yīng)完整的TSIM能力的域���,那么還可以預(yù)備關(guān)于TSIM功能的已簽名證書(CertTSIM),并且將其與上述分組一起發(fā)送��。用于TSIM功能的證書有可能是兩個(gè)或更多�。其中一個(gè)證書是用于原始TSIM功能的(CERT*tsim)�,另一個(gè)則是用于那些完全被示例或更新的功能。用于原始TSIM功能的證書可以采用模塊化的方式嵌入用于DM的證書結(jié)構(gòu)中����,例如,可以將其插入到作為來(lái)自DM的功能的原始域中��。當(dāng)RO在TDkq預(yù)先通過(guò)了至少一個(gè)RTO之后執(zhí)行RTO處理時(shí)���,它有可能不再需要發(fā)送CERT*tsim,這是因?yàn)樵撟C書僅僅適合與原始域一起使用,而所述TDkq卻不再是原始域����。因此,在這種情況下��,RO可以發(fā)送經(jīng)過(guò)更新的證書CERTtsim。如果目標(biāo)RO在TD*KQ T get使用之前已經(jīng)知道何時(shí)加載原始TD*KQ T get�,則可以用目標(biāo)RO的公鑰加密(K_Target_R0_pub)來(lái)對(duì)內(nèi)容進(jìn)行加密�,其中舉例來(lái)說(shuō)��,所述公鑰可以通過(guò)證書傳送或是通過(guò)預(yù)先配置來(lái)提供��??梢詾門SIM預(yù)先提供簽名密鑰K TSIM_Sign�。這個(gè)私有簽名密鑰的公鑰可以預(yù)先被分發(fā)給目標(biāo)R0���。IDme是1 的ID,其中該ID是由TD*KQ Tmget從 THSM DM的域TDdm獲取的����,所述域則安全地保持了 ME ID�。這可以表述為Def) Package_9 =SCARD | | ΤΡΙΑ | | TPES | | P | | Request_T01 | CertTSIM | | IDme | | nonce_9TD*KQ Target — ME {Package_9} K—Target—K0—她 I I [SHA-X (Package_9) ] K—TSIM_SIGN等式20參考第三實(shí)施方式�����,在消息中可以添加值MPIA和MPES。MPIA可以包括在THSM中根據(jù)MTE編譯的配置數(shù)據(jù)(MPID)計(jì)算的摘要���。只有在與所獲取的已認(rèn)證度量相符合的情況下,這個(gè)摘要才可以得到證實(shí)����,其中所述度量是預(yù)先存在于配置文件中或是借助于與DM 的實(shí)時(shí)通信傳遞的。依照關(guān)于完整性和環(huán)境信息的RO請(qǐng)求�����,等式20可以包括表明SDM成功接收到MPID和MPES的簡(jiǎn)單指示�。這一點(diǎn)可以表述為Def) Package_9 = SCARD | | ΤΡΙΑ | | TPES | | MPIA | | MPES | | P | | Request_ TO I |CertTSIM| I IDmeI |nonce_9TD*K0 Target — ME {Package_9} K_iarget_Eo_Pub I I [SHA-X (Package_9) ] K—TSIM_SIGN·等式21ME可以將上述整個(gè)消息傳送到R0,并且這一點(diǎn)可以表述為ME — Target RO {Package_9} K_iarget_Eo_Pub I I [SHA-X (Package_9) ] K—TSIM_SIGN·等式22參考第三實(shí)施方式,該消息將會(huì)包括MPIA和MPES����。RO可以使用其私鑰Ktoget KQ ΡΗν來(lái)對(duì)I^ackageJO進(jìn)行解密,檢查ME的ID��,以及解譯這些消息��。RO可以解譯SCARD,并且查看它是否“符合”來(lái)自SDP的這些狀況。如果RO 符合SCARD����,那么舉例來(lái)說(shuō)�,來(lái)自原始TD*KQ Ta,get的值ΤΡΙΑ可以被解譯成代表了在向目標(biāo)TO 域提供任何服務(wù)證書或配置控制之前的整個(gè)初始TSIM狀態(tài)����。值P可以被解譯成是指示了用戶期望的服務(wù)。目標(biāo)R0(在啟用TSIM的TD*KQ Ta,get的情況中�,該目標(biāo)RO可以是 ΜΝ0)可以通過(guò)將TPIA中指示的其關(guān)注的域的完整性與它從TTP獨(dú)立獲取的參考完整性度量(RIM)值(RIMto)進(jìn)行比較來(lái)檢驗(yàn)該完整性�。MNO可以具有通過(guò)WTRU/THSM的供應(yīng)商提供的證書來(lái)知道TPIA的預(yù)期值的能力, 其中舉例來(lái)說(shuō),該證書是提供給TTP的����。參考第三實(shí)施方式,MPIA和MPES的預(yù)期值可通過(guò)認(rèn)證處理而被提前得知�����,其中所述認(rèn)證處理可以通過(guò)MTE是可信實(shí)體這個(gè)事實(shí)而成為可能���,并且所述MTE的可信度是由THSM證實(shí)的。目標(biāo)RO可以查找接收到的TPES���,并且評(píng)估TD*KQ Tmget是否處于這樣的THSM系統(tǒng)中其中在RO的情況中���,該THSM系統(tǒng)的“周圍系統(tǒng)環(huán)境”(例如TEPS所表示的系統(tǒng))可與目標(biāo)RO —致����,由此允許其自身進(jìn)一步執(zhí)行RTO處理�。在檢查了 TPIA���、TPES、目的P�、Request_T0之后,參考第三實(shí)施方式��,MPIA��、MPES以及諸如MNO之類的目標(biāo)RO可以確定正在請(qǐng)求由目標(biāo)RO “獲取所有權(quán)”的原始TD*KQ Ta,get 以及一般包含了 TD*KQ T get的THSM是足以“信賴的”,由此允許其進(jìn)一步執(zhí)行RTO處理����,以及讓其允許與之交互,從而提供某些預(yù)先指定的基本服務(wù)��。為了執(zhí)行T grt的所有權(quán)獲取處理�����,以使得域可以在以后下載密鑰、更完整的配置��、參數(shù)和可執(zhí)行代碼��,并將其安裝的與基本“原始”狀態(tài)相比功能更強(qiáng),并且還被目標(biāo)遠(yuǎn)端所有者(RO)要求或是擁有和管理�����,目標(biāo)RO可以發(fā)送配置信號(hào)(CONFIG)�,其中該配置信號(hào)可以包括可執(zhí)行代碼�����。RO還會(huì)發(fā)送用于TSIM的RIM,其中該RIM被稱為RIMtsim,如果依照接收到的CONFIG安裝了配置��、參數(shù)和可執(zhí)行代碼���,那么該RIM可以與安裝后的狀態(tài)匹配���。RMtsim可以保存在的安全存儲(chǔ)器中,并且可以用于在以后的引導(dǎo)時(shí)間檢查 TSIM功能的完整性����。此外���,在事務(wù)處理中還可以包括域策略(DP)����,其中所述域策略規(guī)定的CN 102405630 A
是將要使用的安全措施以及其他配置問(wèn)題�。特定于RO的域策略(DP)可以不同于由SDM保持并且代表了用于構(gòu)建和保持THSM 上的特定RO所擁有的一個(gè)或多個(gè)域的系統(tǒng)級(jí)域策略(SDP)��。特定于RO的DP可以包括僅僅管理域內(nèi)應(yīng)用和特定域特定且獨(dú)有的安全措施的策略或規(guī)劃��。某些RO可以采用這樣一種方式來(lái)產(chǎn)生其DP 其中該方式使得DP還可以包括限制了關(guān)于哪些其他RO適合在TGSM上構(gòu)建或管理的條款。例如��,移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商(ΜΝ0_Α)可以采用這樣一種方式來(lái)產(chǎn)生其DP_ a 其中在下載和安裝了 DP_ a之后,如果沒(méi)有發(fā)現(xiàn)DP_ A中規(guī)定的某些關(guān)于TGSM上的某些其他域的狀態(tài)和特性的條件的需求得到滿足�����,那么該
目標(biāo)域(TD_—Α)將會(huì)受到一組限制的管理�����,例如其服務(wù)或激活���。例如��,MNO可以實(shí)施DP· Α,這樣一來(lái)����,如果TDmnq Α在調(diào)查了 THSM內(nèi)部的更大環(huán)境之后發(fā)現(xiàn)在同一 THSM上安裝并激活了其他MNO域,并且這些MNO域具有自身的已激活TSIM功能����,那么TDmnq Α將會(huì)禁用其TSIM功能����。TD*E0_Target有可能需要采樣一種與P中被請(qǐng)求的服務(wù)相對(duì)應(yīng)的方式來(lái)配置該TD*kq Target自身�����。例如����,RO可以向ME發(fā)送響應(yīng)��,其中該消息的置信度是用公鑰KTSIM_Pub來(lái)保護(hù)的���。 ME可以將這個(gè)消息傳送到THSM上TD*Ta,get KQ。CertE0可以包括目標(biāo)RO的公共密鑰K_R0_Priv���。 這時(shí),RO可以發(fā)送用于TSIM的參考完整性度量(RIM)���。RO響應(yīng)可以表述為Def)Package_10 ={CONFIG, DPeo, IDeo, RIMtsimI KTSIM_Pub | | CertE01 | CertTSIM | | nonce_10Target RO — ME {Package_10}K EO_Priv | [SHA-X (Package_13 | nonce_9) ]K—TSIM_SIGN等式23ME — TD*Target E0 {Package_10}K EO_Priv | [SHA-X (Package_13 | nonce_9]K—TSIM_SIGN等式24TD*KQ Ta,get可以使用私鑰KTSIM_PHv來(lái)對(duì)消息進(jìn)行解密,并且在用CA檢查了證書之后使用Certro中的公鑰K.Pub來(lái)檢驗(yàn)RO簽名。它可以安全地保存所接收到的用于TSIM應(yīng)用的參考完整性度量RIMtsim�。它可以檢查來(lái)自的RO ID��,然后檢查RO的策略,并且確定它是否可以繼續(xù)CONFIG的剩余配置和安裝處理����。TD*KQ Tmget可以借助于CONFIG來(lái)執(zhí)行重新配置���, 以便達(dá)到“完整”域狀態(tài)�����,并且然后則通過(guò)執(zhí)行自我檢查來(lái)確定測(cè)量得到的該Tawt的 TSIM功能的度量是否與被網(wǎng)絡(luò)傳遞并在RIMtsim中表示的度量匹配?,F(xiàn)在���,域是“完成的”, 并且不再是“原始的”,由此符號(hào)中的星號(hào)*將會(huì)移除���。該處理可以表述為
TD*目標(biāo)KQ 檢查DPkq,存儲(chǔ)RIMtsim,和安裝CONFIG.
TD目標(biāo)KQ:R0域是“完成的” 等式25
已完成的域TDtoge■可以向ME發(fā)送“RT0成功和域完成”狀態(tài)消息�����,并且所述消息可以由ME轉(zhuǎn)發(fā)到目標(biāo)R0。這種處理可以表述為Def) Package_ll = { “domain completed" | IDeo Tar et} κ—Ro-Pub I I nonce_l 1TDlarget E0 - ME
30
Package_l 11 | [SHA-X (Package_l 11 | nonce_10) ] K TSIM SIGN等式沈作為選擇,ME可以向用戶發(fā)送狀態(tài)消息���。其中舉例來(lái)說(shuō)��,該消息可以顯示在WTRU 的屏幕上�����,并且該消息表明該電話現(xiàn)在準(zhǔn)備好了注冊(cè)和證書轉(zhuǎn)出(roll-out)。ME可以將該狀態(tài)消息轉(zhuǎn)發(fā)到成功完成了平臺(tái)的重新配置的R0�,并且準(zhǔn)備注冊(cè) TISM 證書�。TDKQ_Target 已經(jīng)實(shí)現(xiàn)了“THSM_TDKQ_LOAD_COMPLETE”(THSM_TDKQ_ 加載 _ 完成) 狀態(tài)。該消息可以表述為ME ^ Target RO Package_l 11 | [SHA-X (Package_l 11 | nonce_10) ] K TSIM SIGN等式27這個(gè)RTO協(xié)議可以充當(dāng)用于將作為THSM所有者或用戶的用戶向提供預(yù)訂服務(wù)的3G UMTS網(wǎng)絡(luò)運(yùn)營(yíng)商注冊(cè)的協(xié)議的前導(dǎo)�����,并且充當(dāng)用于下載和提供用于驗(yàn)證和密鑰協(xié)商 (AKA)的證書的前導(dǎo)�����,這其中包括下載和提供共享秘密K以及用戶標(biāo)識(shí)IMSI。用于公鑰-私鑰集的證書CertTSIM和Certro可以在使用了它們的消息中遞送�?��?商鎿Q地��,RO域(TDkq)和RO可以從可信的第三方那里獲取該TDk^P RO相應(yīng)的證明。該獲取處理可以表述如下TTP — ME — TDeo :CertE0TTP — RO :CertTSIM等式觀在另一個(gè)可替換實(shí)施方式中����,RO證書CertKQ可以從網(wǎng)絡(luò)遞送至ME,并且THSM證書 CertTSIM可以從ME被遞送到網(wǎng)絡(luò)(在遞送使用了這些證書的消息之前)��。由此,在這里描述的加密后的消息之前可以發(fā)送通信,這些通信可以表述為ME — RO :CertTSIM(在步驟9的消息被發(fā)送之前)
RO — ME =CERTeo (在步驟13的消息被發(fā)送之前)等式四對(duì)這其中的每一個(gè)可替換的證書遞送方法來(lái)說(shuō),實(shí)體ID可以域使用了公共加密密鑰的消息一起�。在另一個(gè)可替換實(shí)施方式中����,使用對(duì)稱密鑰而不是公鑰可以用于保護(hù)消息的置信度。在每一個(gè)實(shí)例中���,發(fā)送方都可以產(chǎn)生對(duì)稱密鑰Ks�,其中舉例來(lái)說(shuō)�,該密鑰是用偽隨機(jī)數(shù)生成器(PRNG)產(chǎn)生的,并且發(fā)送方會(huì)使用這個(gè)密鑰而不是公鑰來(lái)保護(hù)消息的置信度����。該對(duì)稱加密密鑰還可以與加密消息一起被發(fā)送到接收方,其中將會(huì)使用公鑰來(lái)對(duì)其進(jìn)行保護(hù)。 由此����,接收方能夠使用其私鑰來(lái)訪問(wèn)密鑰Ks���,然后則使用所述私鑰來(lái)對(duì)消息進(jìn)行解密���。參考第二實(shí)施方式,THSM和ME有可能不同于第一實(shí)施方式中的THSM和ME�����。代替 ME自身或是諸如MTE這類ME內(nèi)部的可信實(shí)體的是�,在ME引導(dǎo)的時(shí)候,THSM可以被配置成為ME的某些或所有代碼執(zhí)行完整性檢查��。作為選擇�,THSM還可以存儲(chǔ)用于ME的某些或所有引導(dǎo)碼。THSM未必被配置成向外界評(píng)估者證明ME的完整性����。它可以被配置成在引導(dǎo)時(shí)執(zhí)行對(duì)ME的完整性執(zhí)行“本地”檢查�����。ME的完整值可以在啟動(dòng)處理中使用,并且未必在RTO處理中使用���。用meaS_ME表示的ME的完整性量度代表了從ME的安全引導(dǎo)中產(chǎn)生的ME代碼和配置狀態(tài),該完整性量度
31可以由THSM的DM域TEdm獲取�。THSM的TDdm可以檢查meas_ME的有效性���,但是它也有可能沒(méi)有將其引入平臺(tái)證明��。參考第四實(shí)施方式�,舉例來(lái)說(shuō),從TCG MPWG的意義上講�,該ME可以是可信ME��。該 ME可以包括移動(dòng)可信模塊(MTM),并且是可以得到信任的�����,這是因?yàn)樗鼘TM當(dāng)做了提供用于存儲(chǔ)���、報(bào)告����、測(cè)量、檢驗(yàn)和實(shí)施的可信根的可信錨點(diǎn)���。圖4和4A示出的是用于遠(yuǎn)端所有權(quán)獲取處理的示例呼叫流程圖�����。例如�����,圖4和4A 示出的是在ME 402,TDdo 404,SDM 406,TD*Target eo 408以及目標(biāo)RO 410中的一個(gè)或多個(gè)設(shè)備之間進(jìn)行的例示呼叫����。圖4和4A中的箭頭可以代表呼叫的起點(diǎn)/目的地。如圖2和3所示�,SDM可以包括駐留在THSM中并且提供了部分DO功能的系統(tǒng)級(jí)域管理器。SDM可以依照特定于域的策略來(lái)監(jiān)督和協(xié)調(diào)設(shè)備中的所有域的設(shè)置��,以便確保所有這些域都會(huì)以符合SDP的方式工作和相互交互�����,以至于這些策略中的任何沖突都會(huì)由代表所述DO以及其他域的RO的SDM嘗試調(diào)解�。TDdq可以包括THSM中的強(qiáng)制設(shè)備所有者域。TDdq可以包括SDM��,并且由此可以保持系統(tǒng)級(jí)域策略�����。MTE可以包括用于ME端的策略管理器MEpdm����。該MEpdm可以執(zhí)行ME上的策略管理器功能���,但是有可能被THSM中的SDM監(jiān)督。 ME*Ta,get—ro可以包括由已許可遠(yuǎn)端所有者實(shí)施的用于遠(yuǎn)端所有權(quán)的原始域設(shè)置���。目標(biāo)RO可以包括請(qǐng)求ME*Target_R0的所有權(quán)的遠(yuǎn)端所有者。ME可以承擔(dān)全部的MTM功能�,由此����,由已識(shí)別的遠(yuǎn)端所有者對(duì)ME上的域?qū)嵤┑倪h(yuǎn)端獲取所有權(quán)的處理是得到支持的。與參考第一實(shí)施方式描述的RTO相似;其不同主要是因?yàn)镾DM經(jīng)由MEpdm而為THSM和ME上的同一遠(yuǎn)端所有者擁有的這些域運(yùn)用的最終策略控制�����。因此,對(duì)于同樣擁有THSM上的域的相同所有者擁有的任何ME域來(lái)說(shuō)����,這些ME域的形成和管理必須以符合SDM的策略的方式進(jìn)行���。仍舊參考圖4,在41,ME 402可以完成基本碼引導(dǎo)處理�����。在415,THSM可以安全地引導(dǎo)。該THSM可以加載DO域�,SDM包括在內(nèi)���;其中該SDM可以提供1)可用于域的構(gòu)建的資源;和/或幻用戶可接受的域的列表�。在42�����,THSM可以完成其引導(dǎo)����。在43,ME可以表明其引導(dǎo)完成�。在這個(gè)處理過(guò)程中可以構(gòu)建DM域��,此外還可以構(gòu)建可選的用戶域(MEu)����,并且可用資源將被檢查�。DM域可以包括MEpdm,它提供了用于ME設(shè)備的域策略的初始配置和規(guī)定��。依照MEdm的預(yù)先配置���,該策略可以在用于ME域與THSM域之間具有公共遠(yuǎn)端所有者的這些域(例如一個(gè)在THSM上�,另一個(gè)在ME上)的策略方面與SDP的策略相一致�����。仍舊參考圖4�,在431�,具有預(yù)先配置的域的ME可以發(fā)送啟動(dòng)RTO的“引導(dǎo)完成”消息�。該消息可以包括關(guān)于DM域策略以及ME中的可用資源的顯式信息�����。在44����,這時(shí)可以發(fā)送要求啟動(dòng)RTO的請(qǐng)求,其中該請(qǐng)求包含了目標(biāo)域規(guī)劃�。在455�,TD*Ta,get KQ 408可以確定接受還是拒絕RTO啟動(dòng)請(qǐng)求�。在45處可以發(fā)送表明是否應(yīng)該啟動(dòng)RTO的消息���?����?商鎿Q地,在 456��,RTO可以由TD*TargeO0 408發(fā)起��。在451, TD*Target E0 408可以發(fā)送“啟動(dòng)RTO最終域規(guī)劃的意愿”�。SDM可以通過(guò)評(píng)估THSM的系統(tǒng)級(jí)域策略(SDP)�����,并且確定在ME域上施加或分配哪些限制,從而對(duì)ME引導(dǎo)消息做出反應(yīng)�。這些策略限制可以包括依照域相關(guān)聯(lián)的遠(yuǎn)端所有者�,ME和THSM上的哪些域是可允許的。SDM可以確定ME允許將哪些系統(tǒng)級(jí)資源用于具有 THSM上的域的相同遠(yuǎn)端所有者擁有的域���,這其中包括那些已經(jīng)為其所知的資源��。MEpdm可以經(jīng)由等式7中的消息接收該信息。該SDM還可以包括針對(duì)其基本策略的策略限制以及針對(duì)其資源列表的可允許資源����。在MEpdm接收到信息之后,它可以在做出和實(shí)施關(guān)于資源以及ME 上的域的管理方面的決定的時(shí)候運(yùn)用某些權(quán)限����,而不需要從SDM那里獲取用于所有這些決定的許可。仍舊參考圖4���,該處理可以在465處繼續(xù)進(jìn)行。在465,下列各項(xiàng)可以被檢查和/或評(píng)估SDP���、可用資源、和/或可接受域和/狀態(tài)���。在46可以發(fā)送“同意啟動(dòng)”信號(hào)�����。在47可以發(fā)送用于TPIA��、TPES���、MPID和MPES的請(qǐng)求�����。在475,舉例來(lái)說(shuō),SDM 406可以在每一個(gè)域上的PCR范圍中收集/級(jí)聯(lián)來(lái)自現(xiàn)有域的完整性證明、和/或收集和/或級(jí)聯(lián)TPES信息��。在471,用于MPID和MPES的請(qǐng)求可以被發(fā)送���。在476,MTE可以處理針對(duì)用于MPID 和MPES的請(qǐng)求的響應(yīng)����。在48�����,MPID和MPES可以與信任證明和簽名密鑰一起發(fā)送��。在481�, ΤΡΙΑ、TPES, MPID 以及 MPES 可以被 SDM 406 發(fā)送至 TE*T get KQ 408���。在 485�����,THSM 可以從 MPID (原始數(shù)據(jù))中計(jì)算出摘要MPIA�,并且檢查該MPIA。如果可接受�,則可以將摘要MPIA 發(fā)送到R0�。在49,用于TPIA TPES |MPIA |MPES| |目的| RTO的請(qǐng)求可被發(fā)送���。參考圖4A 并且繼續(xù) RTO 處理�����,在 410��,ΤΡΙΑ | | TPES | | MPIA | | MPES | | 目的 | | RTO 消息可以被發(fā)送至目標(biāo)RO 410。在418�,舉例來(lái)說(shuō),目標(biāo)RO 410可以執(zhí)行一個(gè)或多個(gè)下列處理檢查ΤΡΙΑ、TPES, MPIA���、MPES以及目的�����;對(duì)照RIMTDR0來(lái)確定原始域的可信度���;檢查DP 的可接受性�;或是創(chuàng)建CONFIG來(lái)構(gòu)造完整的域狀態(tài)。上述實(shí)施方式的一個(gè)可替換實(shí)施方式是由TD*Tmget KQ 408從SDM那里請(qǐng)求關(guān)于ME 的可信度而不是MPIA和MPES的簡(jiǎn)單指示��;在這種情況下��,SDM提供ΤΡΙΑ����、TPES和ME可信度指示����。但是�����,SDM仍舊請(qǐng)求和接收來(lái)自MTE的MPIA和MPES�。仍舊參考圖4a,在411���,消息CONFIG | | DP | | RIMtdeo | RO可以被發(fā)送����。在412�, CONFIG I DP I RIMtdeoI RO消息可以被傳送。在428����,這時(shí)可以構(gòu)建和配置域,并且可以對(duì)照 RIMtdeo來(lái)檢查完整性。此外��,TD*Ta,get—KQ的所有權(quán)可以被獲取,由此將其轉(zhuǎn)換成TDtoget,在 413�,這時(shí)可以發(fā)送域完成消息����。在414,域完成消息有可以被傳送�。圖5和5A示出的是使用了全部證明(例如與第四實(shí)施方式相關(guān))的遠(yuǎn)端所有權(quán)獲取處理的示例呼叫流程圖。舉個(gè)例子�,圖5和5A示出的是在SDM502��、TDdq 504,MEpdm 506����、 ME*TargeO0 508以及目標(biāo)RO 510中的一個(gè)或多個(gè)之間進(jìn)行的示例呼叫。圖5和5A的箭頭可以代表呼叫的起點(diǎn)/目的地����。在51����,基本碼引導(dǎo)完成消息可被發(fā)送�����。作為響應(yīng)�,在515, THSM可以安全引導(dǎo)和加載DO域���,這其中包括SDM��。在52���,THSM引導(dǎo)完成消息可被發(fā)送���。作為響應(yīng)�,在525,ME可以安全地引導(dǎo)����,這其中可以包括加載DM域����,MEpdm也包含在其中�����;以及檢查可用資源����。MEpdm可以可以提供初始配置����,該配置規(guī)定了與SDP以及可用資源一致的域策略���。在53,可以發(fā)送ME安全引導(dǎo)完成的消息����,其中該消息包括DM域(策略信息)以及 ME中的可用資源�。在531���,“ME引導(dǎo)完成”消息可以被傳送至SDM 502���。在535�����,舉例來(lái)說(shuō)���, SDM 502可以評(píng)估系統(tǒng)級(jí)策略,并且為ME確定許可的域�、資源和策略限制。在M����,可以發(fā)送一個(gè)消息,其中該消息提供了關(guān)于域策略限制和/或許可資源的信息��。在M5�,策略限制可以附加于基本策略,如有需要���,資源列表也是可以修訂的。圖5和5A中的元素55-511可以類似于圖4和4A所示的元素45-414。關(guān)于值 MPIA和MPES的評(píng)估可以類似于等式14-19中的評(píng)估��。ME可以具有MTM能力�����,并且它可以被配置成自己計(jì)算摘要MPIA��,而不僅僅是原始數(shù)據(jù)MPID�����。由SDM傳達(dá)的經(jīng)過(guò)更新的策略限制可被檢查�,從而不會(huì)實(shí)現(xiàn)被禁止的域或域策略。策略檢查和評(píng)估可以由MEpdm執(zhí)行�����。
在55����,這時(shí)可以發(fā)送要求啟動(dòng)RTO的請(qǐng)求��,其中該請(qǐng)求可以包括目標(biāo)域規(guī)劃����。在 555�����,MEpdm可以決定接受還是拒絕RTO請(qǐng)求��。在551����,可以發(fā)送表明是否應(yīng)該啟動(dòng)RTO的消息��。在一個(gè)可替換實(shí)施方式中����,在556,ME目標(biāo)可以發(fā)起啟動(dòng)RTO的意愿��。在56����,可以發(fā)送啟動(dòng)RTO消息的意愿。在565����,下列各項(xiàng)將被檢查和/或評(píng)估1)擴(kuò)展的域策略;和/或2) 依照擴(kuò)展策略的可用資源、可接受的域和狀態(tài)�����。在561可以發(fā)送表明啟動(dòng)RTO的處理可接受的消息�����。在57���,從ME域集合中要求MPIA和MPES的請(qǐng)求可以被發(fā)送��。在575���,可以執(zhí)行在每一個(gè)域上的PCR范圍中收集和級(jí)聯(lián)來(lái)自已有域的完整性證明(MPIA),也可以執(zhí)行MPES信息的收集和級(jí)聯(lián)��。在58�����,MPIA和MPES可以被發(fā)送����。在59,MPIA | | MPES | |目的| | RTO請(qǐng)求可以被發(fā)送(消息的完整性和置信度可以用經(jīng)過(guò)認(rèn)證的公鑰/私鑰來(lái)保護(hù))����。在595,舉例來(lái)說(shuō)�����,目標(biāo)RO 510可以執(zhí)行下列各項(xiàng)中的一項(xiàng)或多項(xiàng)檢查MPIA��、MPES和目的�;對(duì)照RIMtsim 來(lái)確定原始域的可信度;檢查DP的可接受性����;或是通過(guò)創(chuàng)建CONFIG來(lái)構(gòu)建完整的域狀態(tài)。 在514�,消息CONFIG I DP RIMtsimI | RO可以被發(fā)送。在515���,域可以被構(gòu)建和配置����,并且可以對(duì)照RIMtdkq來(lái)檢查完整性�����。此外,ME*Ta,get—KQ的所有權(quán)可以被獲取���,由此將其轉(zhuǎn)換成METa,get— R00在511�����,域完成消息可以被發(fā)送(帶有簽名�����,完整性受到保護(hù))�����。ME可以直接與目標(biāo)RO 通信����,由此不會(huì)使用到如圖3和3A所示的消息傳送����,并且可以減少消息的數(shù)量�����。在圖5中并未顯示ME與目標(biāo)RO之間的消息傳遞中的公鑰/私鑰交換所需要的證書的細(xì)節(jié),以及與用于原始工具可信度的RIM證書相關(guān)的細(xì)節(jié)���。圖6示出的是THSM的示例狀態(tài)定義�����、變換以及控制點(diǎn)定義��。舉個(gè)例子����,在這里定義了 M2M通信標(biāo)識(shí)模塊(MCIM)的生命周期�����,其中該模塊的定義和基本功能是在PCT專利申請(qǐng)TO 2009/092115 (PCT/US2009/031603)中定義的���。THSM可以改進(jìn)和概括包括狀態(tài)定義和變換在內(nèi)的MCIM的功能和特征���。在601,THSM可以處于引導(dǎo)前狀態(tài)���。第一用戶可以為THSM通電�����,THSM可以安全地引導(dǎo)�����,并且該THSM可以處于狀態(tài)602�。在602,DM和DO可以存在于原始狀態(tài)中����。DM域可以從預(yù)先配置的文件中構(gòu)建,并且THSM可以處于狀態(tài)606�����。在606���,THSM處于可以加載TDdm 的引導(dǎo)后狀態(tài)2�,在該狀態(tài)中����,TDdm可以被加載�。從606開(kāi)始�����,DO域可以從預(yù)先配置或下載的文件中構(gòu)建��,從而將THSM置于狀態(tài)605���。在605,THSM可以處于引導(dǎo)后狀態(tài)3�����,在該狀態(tài)中可以構(gòu)建TDdq域��,但是不能加載TDu或了01�;。���。從狀態(tài)605開(kāi)始�����,DO域(SDM)可以加載用戶域���,由此將THSM置于狀態(tài)604�����。在604��,THSM可以處于引導(dǎo)后狀態(tài)加����,在該狀態(tài)中可以加載TDu,但是不能加載RO域����。從狀態(tài)605開(kāi)始,原始RO域可以根據(jù)SDP來(lái)構(gòu)建�����,由此將THSM 置于狀態(tài)707�。在707,THSM可以處于引導(dǎo)后狀態(tài)7����,在該狀態(tài)中,TDk^PTDdq已被加載,但是不能加載TDp從狀態(tài)607開(kāi)始��,TDdo(SDM)可以加載TDu,由此將THSM置于狀態(tài)608����。在 608,THSM可以力口載DO��、DU禾口 RO域���。從狀態(tài)601開(kāi)始,用戶可以通電并且THSM可以安全地引導(dǎo)���,由此將THSM置于狀態(tài) 603����。在603��,THSM可以用已存儲(chǔ)的配置來(lái)加載�����,其中已存儲(chǔ)的配置是最近一次通電之前的配置�。從狀態(tài)603開(kāi)始可以執(zhí)行引導(dǎo)后的事務(wù)處理,其中該事務(wù)處理將會(huì)改變配置,由此將 THSM置于狀態(tài)610���。在610����,THSM處于一種將一個(gè)或多個(gè)先前活動(dòng)的狀態(tài)全都變?yōu)椴换顒?dòng)的狀態(tài)�����。與從603到達(dá)狀態(tài)610的處理相似��。THSM可以處于狀態(tài)609�,在該狀態(tài)中,THSM具有一個(gè)或多個(gè)活動(dòng)的域����。從狀態(tài)609開(kāi)始,由于配置變化事件而有可能導(dǎo)致進(jìn)行變換��,從而將THSM再次置于狀態(tài)610�����。
在狀態(tài)604�����、605、607和608����,THSM可以通過(guò)使用新的策略和/或可執(zhí)行代碼或是針對(duì)不活動(dòng)狀態(tài)的變換而被重新配置。此外��,在狀態(tài)605中可以存儲(chǔ)SDP����。在第一種域管理方法中�,來(lái)自域所有者的策略即系統(tǒng)級(jí)域策略(SDP)有可能是非常有限制性的和“靜態(tài)”的,并且有可能具有與新域活動(dòng)或目的有關(guān)的硬性規(guī)定��。這些策略可能有助于緩解向RO傳遞每一個(gè)新域項(xiàng)或已有域更新的需要�。在第二種域管理方法中,SDP有可能限制較少�����,并且在活動(dòng)和目的方面提供了更多的靈活性����。每一個(gè)新域項(xiàng)和每一個(gè)域變化都可以被報(bào)告給已有域所有者��。這有可能導(dǎo)致產(chǎn)生更為動(dòng)態(tài)的策略實(shí)施系統(tǒng)��,在該系統(tǒng)中�,在平臺(tái)與RO之間可以進(jìn)行初始和跟進(jìn)的協(xié)商����。參考第一種域管理方法,SDP可以規(guī)定毫無(wú)例外在預(yù)先配置的列表中許可的域�。該列表可以包括與RO的類型以及許可的數(shù)量(針對(duì)每一種類型)相關(guān)的信息。一旦RO建立了它們的域�,那么該列表還可以包括RO可提供的服務(wù)類型。所預(yù)期的RO可以是滿足列表所指示的判據(jù)的R0�����。作為RTO處理的一部分��,例如�����,如等式9所示�,在這里可以向RO提醒諸如列表和策略限制之類的條件。一旦接收到SCARD�����,該RO就可以獨(dú)立決定其是否希望是所論述的平臺(tái)或設(shè)備上的利益相關(guān)者。發(fā)送給RO的條件可以包括域類型及其目的�����,而不是任何其他RO在列表中的實(shí)際名稱�,由此保護(hù)其他RO的標(biāo)識(shí)。如果RO決定完成RT0�����,那么可以確保該R0���、當(dāng)前在平臺(tái)上活動(dòng)的其他RO或是將來(lái)將要活動(dòng)的其他任何RO不允許偏離所述策略���。結(jié)果�,在這里可能不需要或者有可能不會(huì)向RO提醒可能發(fā)生的后續(xù)RT0。參考第二種域管理方法����,其中在RTO處理過(guò)程中只能執(zhí)行相對(duì)較寬的限制和允許更多交互的策略,例如��,所述相對(duì)較寬的限制可以是哪些遠(yuǎn)端所有者是在沒(méi)有識(shí)別任何特定RO類型的情況下得到許可的,所述交互可以是用于從RO或SDM的更多信息的請(qǐng)求或某些協(xié)商���。此外����,當(dāng)域配置發(fā)生變化時(shí)�,在SDM與所有RO之間還有可能存在正在進(jìn)行的合作。 由此���,作為R0/SDM動(dòng)態(tài)活動(dòng)的一部分���,在這里有可能發(fā)生初始甚至跟進(jìn)的協(xié)商。作為RTO處理的一部分��,在這里可以為RO給出其需要的給定證明和策略條件信息���,例如ΤΡΙΑ���、TPES和SCARD,其中與第一種方法的情形相比�,所述信息可以包括更多與配置和可信度相關(guān)的通用信息。根據(jù)已有的域配置�,目標(biāo)RO可以決定是否繼續(xù)執(zhí)行RT0����。除非目標(biāo)RO立即決定不獲取所有權(quán)����,否則隨后而來(lái)的將會(huì)是與SDM的協(xié)商處理。例如�,SDM可以向目標(biāo)RO要求哪些域類型以及伴隨的服務(wù)是可以在目標(biāo)RO域活動(dòng)的時(shí)候是活動(dòng)的,或者在其不支持的域類型將要活動(dòng)的情況下繼續(xù)進(jìn)行哪些過(guò)程�。舉個(gè)例子,當(dāng)某些其他域類型甚至某些其他RO擁有的域活動(dòng)或是將要變?yōu)榛顒?dòng)的時(shí)候����,RO有可能需要使其自己的域處于不活動(dòng)狀態(tài),或者它有可能需要其保持活動(dòng)�,但是處于減少的容量或能力。SDM還可以向RO請(qǐng)求其應(yīng)被提醒的事件發(fā)生����。這些事件可以包括其不支持的域類型變?yōu)榛顒?dòng)或不活動(dòng)���。在自身的域活動(dòng)的時(shí)候��,RO有可能需要完全阻止其他域類型或是某些其他所有者保持的域執(zhí)行任何活動(dòng)���。 SDM可以決定接受或拒絕這些條件����。雖然是結(jié)合一組很寬的策略需求工作的�,但是 SDM有可能具有自由度和語(yǔ)義能力來(lái)決定接受來(lái)自RO的要求是否可能仍舊符合“靜態(tài)”系統(tǒng)域策略(SDP)的文字或意圖。 圖7示出的是RO域可能實(shí)現(xiàn)的示例狀態(tài)以及可能導(dǎo)致在動(dòng)態(tài)管理的環(huán)境中發(fā)生變換的條件��。在701����,其中有可能存在一個(gè)空狀態(tài),例如RO有可能尚未構(gòu)建����。從701開(kāi)始, 原始RO域可以依照SDP而被構(gòu)建�,由此將RO域置于狀態(tài)702。從702開(kāi)始可以執(zhí)行RTO處理�,這其中包括RO獲取ΤΡΙΑ、TPES和SCARD�。更進(jìn)一步,RO可以接受RTO的條件�,由此將 RO域置于狀態(tài)703。從703開(kāi)始,新的活動(dòng)的域被確定存在策略沖突�,并且作為響應(yīng),RO域的功能將會(huì)減少或是使之處于不活動(dòng)狀態(tài)��,由此將RO域置于狀態(tài)704����。此外,從703開(kāi)始�����, RO域可以接收經(jīng)過(guò)更新的策略/配置變化�����,由此導(dǎo)致RO域具有經(jīng)過(guò)修改的配置和/或經(jīng)過(guò)更新的策略限制�����。從706開(kāi)始�����,新的活動(dòng)的域被確定存在策略沖突�,并且作為響應(yīng)���,RO域的功能將會(huì)減少或是使之處于不活動(dòng)狀態(tài)�,由此將RO域置于狀態(tài)704。此外從703開(kāi)始��,新的軟件組件可以經(jīng)由下載或RTO而被引入����,從而導(dǎo)致RO域處于經(jīng)過(guò)修改/擴(kuò)展的狀態(tài),并且由此將RO域置于705���。從705開(kāi)始��,新的活動(dòng)的域被確定存在策略沖突�,并且作為響應(yīng)�,所述RO域的功能將會(huì)減少或者使之處于不活動(dòng)狀態(tài),由此將RO域置于狀態(tài)704�����。如711所示�����,處于狀態(tài)702、703�����、704��、705或706的RO域有可能為空�,例如被D0、R0 等等刪除����。如741所示,舉例來(lái)說(shuō)�,通過(guò)解決導(dǎo)致RO域移動(dòng)到狀態(tài)704的沖突,不活動(dòng)/功能減少的RO域可以移動(dòng)到狀態(tài)703�����、705或706����。如751所示,處于狀態(tài)705的RO域可以移動(dòng)到狀態(tài)703��、704或706�。如761所示���,處于狀態(tài)706的RO域可以移動(dòng)到狀態(tài)703、705或 706�。對(duì)于RO域的管理而言����,作為動(dòng)態(tài)域管理的一部分而可以允許的是在事件出現(xiàn)的時(shí)候?qū)ψ兏男枨筮M(jìn)行協(xié)商。例如�����,RO有可能決定由另一個(gè)RO提供并且先前不能支持的某種服務(wù)現(xiàn)在因?yàn)榇_定其不再需要與該服務(wù)競(jìng)爭(zhēng)而成為可允許的�����。商業(yè)模型隨著時(shí)間的變化有可能影響到所預(yù)期的RO的協(xié)商對(duì)策或策略�����。使用動(dòng)態(tài)策略結(jié)構(gòu)的SDP可以適應(yīng)這種策略變更���。在某些服務(wù)中可以形成優(yōu)選的漫游伙伴關(guān)系或RO的閉合群組���,其中舉例來(lái)說(shuō)���,所述服務(wù)可以是與智能記賬相結(jié)合的M2M地理追蹤,但其并不局限于此�。這種由不同運(yùn)營(yíng)商在彼此之間提供相似或不同服務(wù)伙伴的分組服務(wù)可能導(dǎo)致產(chǎn)生優(yōu)選的閉合群組。這種優(yōu)選的服務(wù)��、運(yùn)營(yíng)商或是這二者的群組可以作為綁定服務(wù)或整套服務(wù)而被提供給設(shè)備用戶�。在第一示例中,當(dāng)分組在世界各地被運(yùn)送時(shí)��,所述分組可以被追蹤�����。數(shù)以百萬(wàn)計(jì)的這種地理追蹤設(shè)備都是可以使用的����。當(dāng)所述分組穿越大洲時(shí),不同國(guó)家的不同運(yùn)營(yíng)商將會(huì)為其提供連接�。由此,為了獲取連接����,用戶有可能需要預(yù)訂多個(gè)漫游配置文件。由于每一個(gè)域都是由遠(yuǎn)端運(yùn)營(yíng)商擁有和管理的����,因此�,這些跨越了不同遠(yuǎn)端運(yùn)營(yíng)商的漫游配置文件將會(huì)按照域間策略而被管理��。此外��,通過(guò)實(shí)施這些策略���,還可以支持針對(duì)新的服務(wù)供應(yīng)商的完全切換,而不是支持基于漫游的解決方案���。在第二示例中�,描述了智能計(jì)量運(yùn)營(yíng)商與地理追蹤運(yùn)營(yíng)商之間的合作伙伴關(guān)系�。 這些域可以由不同的運(yùn)營(yíng)商擁有和操作。由于商業(yè)伙伴關(guān)系或用戶偏好���,這些域可以被合并在一起來(lái)支持聯(lián)合配置文件����。對(duì)基于諸如勞動(dòng)力���、存儲(chǔ)或停泊之類的資源使用的記賬處理來(lái)說(shuō)�,智能記賬可以與分組的追蹤一起使用。這種同時(shí)存在落入不同類別的服務(wù)的范例可以運(yùn)用域間策略管理來(lái)加以支持��。域間策略管理器(IDPM)可以管理那些支配了域的群組行為的策略����。每一個(gè)RO可以在RTO處理過(guò)程中下載域間策略(IDP)。IDP可以用證書來(lái)驗(yàn)證���,其中該證書是由每一個(gè)RO簽名的���。這些證書可以與IDP—起發(fā)布?�?商鎿Q地�,這些策略可以由外部服務(wù)經(jīng)銷商認(rèn)證和下載。有興趣創(chuàng)建首選運(yùn)營(yíng)商列表的設(shè)備用戶或設(shè)備所有者可以創(chuàng)建IDP����。通過(guò)評(píng)估候選策略的可接受交集或是用以選擇IDP的優(yōu)先級(jí)、以及隨后實(shí)施作為結(jié)果而產(chǎn)生的策略�����,IDPM可以對(duì)這些策略進(jìn)行處理��。可替換地�,IDPM既可以作為SDM的功能之一而被添加到SDM中,也可以作為能夠加載(構(gòu)建)或下載到THSM上的獨(dú)立實(shí)體而被添加SDM中�。作為證明協(xié)議的一部分,TDkq可以向RO發(fā)送ΤΡΙΑ����、TPES和SCARD的散列,而不是全部發(fā)送這些量度�����。RO可以自身或者借助于TTP而具有用以檢驗(yàn)這些散列并由此評(píng)定TDRO以及周圍系統(tǒng)的有效性的手段��。該方法與PCT專利申請(qǐng)WO 2009/092115 (PCT/ US2009/031603)中規(guī)定的半自動(dòng)檢驗(yàn)(SAV)相似�。ΤΡΙΑ�����、TPES和SCARD量度中的任何一個(gè)或兩個(gè)量度可以在證明階段期間被發(fā)出�。THSM可以作為ME的一部分而被整體嵌入。對(duì)用于此類設(shè)備的RTO處理來(lái)說(shuō)��,由于該處理擺脫了 ME與THSM之間的接口�����,因此該處理是可以簡(jiǎn)化的。雖然本發(fā)明的特征和元素以特定的結(jié)合進(jìn)行了描述����,但每個(gè)特征或元素可以在沒(méi)有其他特征和元素的情況下單獨(dú)使用,或在與或不與其他特征和元素結(jié)合的各種情況下使用�����。這里提供的方法或流程圖可以在由通用計(jì)算機(jī)或處理器執(zhí)行的計(jì)算機(jī)程序��、軟件或固件中實(shí)施�����,其中所述計(jì)算機(jī)程序�、軟件或固件是以有形的方式包含在計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中的。關(guān)于計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)的實(shí)例包括只讀存儲(chǔ)器(ROM)��、隨機(jī)存取存儲(chǔ)器(RAM)�、寄存器、緩沖存儲(chǔ)器�、半導(dǎo)體存儲(chǔ)設(shè)備、內(nèi)部硬盤和可移動(dòng)磁盤之類的磁介質(zhì)、磁光介質(zhì)以及 ⑶-ROM磁盤和數(shù)字多功能光盤(DVD)之類的光介質(zhì)���。舉例來(lái)說(shuō)���,恰當(dāng)?shù)奶幚砥靼ㄍㄓ锰幚砥鳌S锰幚砥?����、常?guī)處理器�����、數(shù)字信號(hào)處理器(DSP)�、多個(gè)微處理器、與DSP核相關(guān)聯(lián)的一個(gè)或多個(gè)微處理器�����、控制器����、微控制器���、專用集成電路(ASIC)����、現(xiàn)場(chǎng)可編程門陣列(FPGA)電路、任何一種集成電路(IC)和/或狀態(tài)機(jī)����。與軟件相關(guān)聯(lián)的處理器可以用于實(shí)現(xiàn)一個(gè)射頻收發(fā)機(jī),以便在無(wú)線發(fā)射接收單元 (WTRU)�����、用戶設(shè)備(UE)�、終端、基站��、無(wú)線電網(wǎng)絡(luò)控制器(RNC)或任何主機(jī)計(jì)算機(jī)中加以使用�。WTRU可以與采用硬件和/或軟件形式實(shí)施的模塊結(jié)合使用,例如相機(jī)�、攝像機(jī)模塊、可視電話���、揚(yáng)聲器電話���、振動(dòng)設(shè)備、揚(yáng)聲器、麥克風(fēng)�����、電視收發(fā)機(jī)�、免提耳機(jī)、鍵盤����、藍(lán)牙 模塊、 調(diào)頻(FM)無(wú)線電單元��、液晶顯示器(IXD)顯示單元��、有機(jī)發(fā)光二極管(OLED)顯示單元��、數(shù)字音樂(lè)播放器�����、媒體播放器��、視頻游戲機(jī)模塊�����、因特網(wǎng)瀏覽器和/或任何無(wú)線局域網(wǎng)(WLAN) 或超寬帶(UWB)模塊����。
權(quán)利要求
1.一種系統(tǒng),該系統(tǒng)包括一個(gè)或多個(gè)設(shè)備��,其中每一個(gè)設(shè)備都包括由至少一個(gè)平臺(tái)支持的一個(gè)或多個(gè)域�����,每一個(gè)域都包括在所述至少一個(gè)平臺(tái)上運(yùn)行的計(jì)算資源的配置���,并且每一個(gè)域都被配置成為所述域的所有者執(zhí)行功能�,所述域的所有者可以位于所述域本地或遠(yuǎn)離所述域�,其中每一個(gè)域都能有不同的所有者,并且其中每一個(gè)所有者都能規(guī)定用于操作該所有者的域的策略�����、 以及用于結(jié)合所述域所在的平臺(tái)和其他域來(lái)操作該所有者的域的策略�����;以及駐留在其中一個(gè)域上的系統(tǒng)級(jí)域管理器��,該系統(tǒng)級(jí)域管理器實(shí)施該系統(tǒng)級(jí)域管理器所在的域的策略,結(jié)合該系統(tǒng)級(jí)域管理器所在的域來(lái)協(xié)調(diào)所述其他域的相應(yīng)策略的實(shí)施���,以及依照所述其他域的相應(yīng)策略和所述系統(tǒng)級(jí)域管理器所在的域的策略來(lái)協(xié)調(diào)所述其他域之間的交互���。
2.根據(jù)權(quán)利要求1所述的系統(tǒng),其中所述系統(tǒng)級(jí)域管理器向域所有者提供信息���,以使所述所有者能夠確定該所有者的策略是否得到遵從����。
3.根據(jù)權(quán)利要求1所述的系統(tǒng)����,其中所述系統(tǒng)級(jí)域管理器所在的域是由所述域所在的設(shè)備的所有者擁有的。
4.根據(jù)權(quán)利要求1所述的系統(tǒng)�,其中所述系統(tǒng)中的域是相互隔離的。
5.根據(jù)權(quán)利要求1所述的系統(tǒng)��,其中所述系統(tǒng)中的兩個(gè)域被配置成相互驗(yàn)證�����。
6.根據(jù)權(quán)利要求1所述的系統(tǒng)�,其中所述系統(tǒng)中的兩個(gè)域可以經(jīng)由在該兩個(gè)域間建立的安全信道來(lái)相互通信���。
7.根據(jù)權(quán)利要求1所述的系統(tǒng)�,其中所述域中的一個(gè)域的所有者包括域所在設(shè)備的制造商。
8.根據(jù)權(quán)利要求1所述的系統(tǒng)���,其中所述域中的一個(gè)域的所有者包括服務(wù)供應(yīng)商��。
9.根據(jù)權(quán)利要求8所述的系統(tǒng)�,其中所述服務(wù)供應(yīng)商擁有的域執(zhí)行用戶標(biāo)識(shí)模塊 (SIM)功能��,以便向所述服務(wù)供應(yīng)商驗(yàn)證所述域所在的設(shè)備支持的服務(wù)預(yù)訂�����,由此結(jié)合所述服務(wù)供應(yīng)商進(jìn)行的預(yù)訂驗(yàn)證而允許在所述設(shè)備與所述服務(wù)供應(yīng)商之間進(jìn)行通信�。
10.根據(jù)權(quán)利要求1所述的系統(tǒng),其中至少一個(gè)域執(zhí)行預(yù)訂驗(yàn)證�。
11.根據(jù)權(quán)利要求1所述的系統(tǒng),其中至少一個(gè)域執(zhí)行設(shè)備驗(yàn)證��。
12.根據(jù)權(quán)利要求1所述的系統(tǒng)�,其中所述一個(gè)或多個(gè)設(shè)備包括下列各項(xiàng)中的一者或多者無(wú)線發(fā)射/接收單元、用戶設(shè)備����、移動(dòng)站�、固定或移動(dòng)用戶單元�、尋呼機(jī)、蜂窩電話�����、個(gè)人數(shù)字助理����、計(jì)算設(shè)備、機(jī)器對(duì)機(jī)器設(shè)備����、SIM卡、通用集成電路卡(UICC)�、地理追蹤設(shè)備或記賬設(shè)備。
13.根據(jù)權(quán)利要求1所述的系統(tǒng)����,其中所述至少一個(gè)平臺(tái)包括至少一個(gè)處理器。
14.根據(jù)權(quán)利要求13所述的系統(tǒng)�����,其中所述至少一個(gè)平臺(tái)還包括至少一個(gè)存儲(chǔ)器。
15.根據(jù)權(quán)利要求13所述的系統(tǒng)�,其中所述至少一個(gè)平臺(tái)還包括至少一個(gè)操作系統(tǒng)以及至少一部分低等級(jí)固件或低等級(jí)軟件。
16.根據(jù)權(quán)利要求1所述的系統(tǒng)�,其中所述系統(tǒng)級(jí)域管理器訪問(wèn)用于提供能供所述一個(gè)或多個(gè)域使用的資源列表的信息。
17.根據(jù)權(quán)利要求1所述的系統(tǒng)�����,其中所述系統(tǒng)級(jí)域管理器監(jiān)視遠(yuǎn)端所有者擁有的域的加載和維護(hù)�����。
18.根據(jù)權(quán)利要求17所述的系統(tǒng)���,其中所述系統(tǒng)級(jí)域管理器為該系統(tǒng)級(jí)域管理器所在的設(shè)備的用戶提供了所述系統(tǒng)級(jí)域管理器能夠加載的域的列表,并且請(qǐng)求所述用戶選擇所列出的域中將要加載的域��。
19.根據(jù)權(quán)利要求17所述的系統(tǒng)����,其中所述系統(tǒng)級(jí)域管理器評(píng)估在所述至少一個(gè)平臺(tái)上是否存在足以加載所述一個(gè)或多個(gè)域的計(jì)算資源。
20.根據(jù)權(quán)利要求17所述的系統(tǒng)�����,其中所述系統(tǒng)級(jí)域管理器在評(píng)估是否加載新的域時(shí)考慮一個(gè)或多個(gè)已有域的策略。
21.根據(jù)權(quán)利要求20所述的系統(tǒng)�����,其中遠(yuǎn)端所有者擁有的指定域的策略能夠規(guī)定在某種類型的其他域活動(dòng)時(shí)�����,使所述指定域變?yōu)椴换顒?dòng)的�。
22.根據(jù)權(quán)利要求20所述的系統(tǒng),其中遠(yuǎn)端所有者擁有的指定域的策略能夠規(guī)定當(dāng)某個(gè)其他遠(yuǎn)端所有者擁有的另一個(gè)域活動(dòng)時(shí)�����,使所述指定域變?yōu)椴换顒?dòng)的����。
23.根據(jù)權(quán)利要求20所述的系統(tǒng),其中遠(yuǎn)端所有者擁有的指定域的策略能夠規(guī)定當(dāng)某種類型的其他域活動(dòng)時(shí)�,限制所述指定域的操作。
24.根據(jù)權(quán)利要求20所述的系統(tǒng)���,其中遠(yuǎn)端所有者擁有的指定域的策略能夠規(guī)定當(dāng)某個(gè)其他遠(yuǎn)端所有者擁有的另一個(gè)域活動(dòng)時(shí)���,限制所述指定域的操作�。
25.根據(jù)權(quán)利要求1所述的系統(tǒng)�����,其中至少一個(gè)域能夠在該域不為任何所有者擁有的狀態(tài)中建立�,并且其中所述系統(tǒng)級(jí)域管理器對(duì)遠(yuǎn)端所有者建立所述域的所有權(quán)的處理進(jìn)行協(xié)調(diào)。
26.根據(jù)權(quán)利要求25所述的系統(tǒng)�����,其中所述系統(tǒng)級(jí)域管理器向遠(yuǎn)端所有者傳送能供所述遠(yuǎn)端所有者在確定是否建立域所有權(quán)的過(guò)程中考慮的信息��。
27.根據(jù)權(quán)利要求25所述的系統(tǒng)���,其中所述系統(tǒng)中的遠(yuǎn)端所有者和所述域能夠相互驗(yàn)證。
28.根據(jù)權(quán)利要求25所述的系統(tǒng)����,其中所述系統(tǒng)中的遠(yuǎn)端所有者和所述域能夠經(jīng)由在該遠(yuǎn)端所有者和該域間建立的安全信道相互通信。
29.根據(jù)權(quán)利要求沈所述的系統(tǒng)�,其中所述信息包括下列各項(xiàng)中的至少一項(xiàng)(i)用于證明被尋求所有權(quán)的域的完整性的信息;以及(ii)用于證明所述系統(tǒng)中的至少一個(gè)其他域的完整性的信息�。
30.根據(jù)權(quán)利要求沈所述的系統(tǒng),其中所述信息包括下列各項(xiàng)中的至少一項(xiàng)(i)用于證明平臺(tái)的完整性的信息,其中被尋求所有權(quán)的域使用該平臺(tái)的資源來(lái)進(jìn)行操作�����;以及 ( )用于證明平臺(tái)的完整性的信息��,其中所述系統(tǒng)中的至少一個(gè)其他域使用該平臺(tái)的資源來(lái)進(jìn)行操作��。
31.根據(jù)權(quán)利要求沈所述的系統(tǒng)����,其中所述信息包括涉及所述設(shè)備的當(dāng)前環(huán)境的信肩、ο
32.根據(jù)權(quán)利要求31所述的系統(tǒng)�,其中所述信息包括下列各項(xiàng)中的至少一項(xiàng)(i)用于指示所述系統(tǒng)中的其他域的數(shù)量的值;(ii)用于提供所述系統(tǒng)中的其他域的概要特性的信息�����;以及(iii)用于規(guī)定能供正被嘗試建立所有權(quán)的域使用的平臺(tái)資源的信息���。
33.根據(jù)權(quán)利要求沈所述的系統(tǒng)�,其中為所述遠(yuǎn)端所有者提供的關(guān)于系統(tǒng)中的其他域的信息的范圍是以這些其他域的相應(yīng)策略為條件的��。
34.根據(jù)權(quán)利要求25所述的系統(tǒng)���,其中在遠(yuǎn)端所有者建立了所述域的所有權(quán)之后��,所述域從所述遠(yuǎn)端所有者接收加密密鑰����、配置信息、參數(shù)和可執(zhí)行代碼中的至少一者��,以便提升所述域的功能�。
35.根據(jù)權(quán)利要求25所述的系統(tǒng),其中在遠(yuǎn)端所有者建立了所述域的所有權(quán)之后�,所述域從所述遠(yuǎn)端所有者接收所述域的策略。
36.根據(jù)權(quán)利要求1所述的系統(tǒng)���,其中至少一個(gè)所述域包括與其他域隔離的安全的執(zhí)行和存儲(chǔ)環(huán)境。
37.根據(jù)權(quán)利要求36所述的系統(tǒng)����,其中至少一個(gè)所述域所在的設(shè)備的平臺(tái)對(duì)所述域的資源訪問(wèn)進(jìn)行控制,由此只有所述域外部被授權(quán)的用戶�、所有者或其他實(shí)體或進(jìn)程才能夠訪問(wèn)這些資源。
38.根據(jù)權(quán)利要求36所述的系統(tǒng)���,其中支持至少一個(gè)域的至少一個(gè)平臺(tái)包括可信根��, 并且其中所述域的完整性是通過(guò)所述可信根錨定的可信鏈來(lái)確定的�����。
39.根據(jù)權(quán)利要求38所述的系統(tǒng)����,其中域的完整性是通過(guò)將所述域的至少一個(gè)組件的量度與參考完整性度量進(jìn)行比較來(lái)確定的,其中如果該量度與所述參考完整性度量匹配����, 則所述域的完整性通過(guò)檢驗(yàn)。
40.根據(jù)權(quán)利要求39所述的系統(tǒng)��,其中所述域的至少一個(gè)組件包括所述域的可執(zhí)行代碼和/或數(shù)據(jù)�。
41.根據(jù)權(quán)利要求39所述的系統(tǒng),其中所述量度包括在所述組件上計(jì)算得到的散列��, 并且其中所述參考完整性度量包括先前在所述組件上計(jì)算并帶有數(shù)字證書的散列����,該證書提供了關(guān)于所述參考完整性度量的真實(shí)性的指示。
42.根據(jù)權(quán)利要求1所述的系統(tǒng)�,該系統(tǒng)還包括用于對(duì)支配一個(gè)群組的域的行為的策略進(jìn)行管理的域間策略管理器。
43.根據(jù)權(quán)利要求42所述的系統(tǒng)��,其中所述域間策略管理器求出所述群組中每一個(gè)域的單獨(dú)策略的交集,并且在所述策略中進(jìn)行選擇�����,以便產(chǎn)生所述域間策略管理器隨后實(shí)施的用于支配所述群組的行為的組合策略��。
44.一種在包含了一個(gè)或多個(gè)設(shè)備的系統(tǒng)中的方法���,每一個(gè)設(shè)備都包括由至少一個(gè)平臺(tái)支持的一個(gè)或多個(gè)域���,其中每一個(gè)域都包括在所述至少一個(gè)平臺(tái)上運(yùn)行的計(jì)算資源的配置,并且每一個(gè)域都被配置成為所述域的所有者執(zhí)行功能����,所述域的所有者能夠位于所述域本地或遠(yuǎn)離所述域,其中每一個(gè)域都能有不同的所有者��,并且其中每一個(gè)所有者都能規(guī)定用于操作該所有者的域的策略�����、以及用于結(jié)合所述域所在的平臺(tái)和其他域來(lái)操作該所有者的域的策略���,該方法包括由駐留在其中一個(gè)域上的系統(tǒng)級(jí)域管理器來(lái)管理所述域的操作����,所述管理包括實(shí)施所述系統(tǒng)級(jí)域管理器所在的域的策略��;結(jié)合所述系統(tǒng)級(jí)域管理器所在的域來(lái)協(xié)調(diào)所述其他域的相應(yīng)策略的實(shí)施����;以及依照所述其他域的相應(yīng)策略和所述系統(tǒng)級(jí)域管理器所在的域的策略來(lái)協(xié)調(diào)所述其他域之間的交互。
45.根據(jù)權(quán)利要求44所述的方法���,該方法還包括向域所有者提供信息�����,以使所述域所有者能夠確定該域所有者的策略是否得到遵從��。
46.根據(jù)權(quán)利要求44所述的方法�,其中所述系統(tǒng)級(jí)域管理器所在的域是被所述域所在的設(shè)備的所有者擁有的��。
47.根據(jù)權(quán)利要求47所述的方法�,該方法還包括將所述系統(tǒng)中的域相互隔離。
48.根據(jù)權(quán)利要求48所述的方法���,該方法還包括在兩個(gè)域之間經(jīng)由在該兩個(gè)域間建立的安全信道來(lái)相互通信����。
49.根據(jù)權(quán)利要求44所述的方法,其中所述域中的一個(gè)域的所有者包括域所在設(shè)備的制造商����。
50.根據(jù)權(quán)利要求44所述的方法,其中所述域中的一個(gè)域的所有者包括服務(wù)供應(yīng)商�。
51.根據(jù)權(quán)利要求50所述的方法,該方法還包括由所述服務(wù)供應(yīng)商擁有的域執(zhí)行用戶標(biāo)識(shí)模塊(SIM)功能���,以便向所述服務(wù)供應(yīng)商驗(yàn)證所述域所在的設(shè)備支持的服務(wù)預(yù)訂���, 由此結(jié)合所述服務(wù)供應(yīng)商進(jìn)行的預(yù)訂驗(yàn)證而允許在所述設(shè)備與所述服務(wù)供應(yīng)商之間進(jìn)行ififn。
52.根據(jù)權(quán)利要求44所述的方法��,該方法還包括由至少一個(gè)域執(zhí)行預(yù)訂驗(yàn)證����。
53.根據(jù)權(quán)利要求44所述的方法,該方法還包括由至少一個(gè)域執(zhí)行設(shè)備驗(yàn)證�。
54.根據(jù)權(quán)利要求44所述的方法,其中所述一個(gè)或多個(gè)設(shè)備包括下列各項(xiàng)中的一者或多者無(wú)線發(fā)射/接收單元����、用戶設(shè)備、移動(dòng)站�、固定或移動(dòng)用戶單元、尋呼機(jī)���、蜂窩電話����、個(gè)人數(shù)字助理�、計(jì)算設(shè)備、機(jī)器對(duì)機(jī)器設(shè)備�����、SIM卡�����、通用集成電路卡(UICC)�����、地理追蹤設(shè)備或測(cè)量設(shè)備�。
55.根據(jù)權(quán)利要求44所述的方法,其中所述至少一個(gè)平臺(tái)包括至少一個(gè)處理器�����。
56.根據(jù)權(quán)利要求55所述的方法,其中所述至少一個(gè)平臺(tái)還包括至少一個(gè)存儲(chǔ)器��。
57.根據(jù)權(quán)利要求55所述的方法����,其中所述至少一個(gè)平臺(tái)還包括至少一個(gè)操作系統(tǒng)以及至少一部分低等級(jí)固件或低等級(jí)軟件。
58.根據(jù)權(quán)利要求44所述的方法�����,該方法還包括訪問(wèn)用于提供能供所述一個(gè)或多個(gè)域使用的資源列表的信息���。
59.根據(jù)權(quán)利要求44所述的方法�����,該方法還包括監(jiān)視遠(yuǎn)端所有者擁有的域的加載和維護(hù)�。
60.根據(jù)權(quán)利要求50所述的方法�����,該方法還包括為所述系統(tǒng)級(jí)域管理器所在設(shè)備的用戶提供了所述系統(tǒng)級(jí)域管理器能夠加載的域的列表,并且請(qǐng)求所述用戶選擇所列出的域中將要加載的域�。
61.根據(jù)權(quán)利要求59所述的方法,該方法還包括評(píng)估在所述至少一個(gè)平臺(tái)上是否存在足以加載所述一個(gè)或多個(gè)域的計(jì)算資源�����。
62.根據(jù)權(quán)利要求59所述的方法����,該方法還包括在評(píng)估是否加載新的域時(shí)考慮一個(gè)或多個(gè)已有域的策略���。
63.根據(jù)權(quán)利要求62所述的方法����,該方法還包括依照指定域的策略����,在某種類型的其他域活動(dòng)時(shí),使所述指定域變?yōu)椴换顒?dòng)的�����。
64.根據(jù)權(quán)利要求62所述的方法�,該方法還包括依照指定域的策略,當(dāng)某個(gè)其他遠(yuǎn)端所有者擁有的另一個(gè)域活動(dòng)時(shí),使所述指定域變?yōu)椴换顒?dòng)的��。
65.根據(jù)權(quán)利要求62所述的方法�����,該方法還包括依照指定域的策略��,當(dāng)某種類型的其他域活動(dòng)時(shí)��,限制所述指定域的操作���。
66.根據(jù)權(quán)利要求62所述的方法��,該方法還包括依照指定域的策略���,當(dāng)某個(gè)其他遠(yuǎn)端所有者擁有的另一個(gè)域活動(dòng)時(shí),限制所述指定域的操作���。
67.根據(jù)權(quán)利要求44所述的方法�,該方法還包括在至少一個(gè)域不為任何所有者擁有的狀態(tài)中建立所述域�����,以及隨后對(duì)遠(yuǎn)端所有者建立所述域的所有權(quán)的處理進(jìn)行協(xié)調(diào)。
68.根據(jù)權(quán)利要求67所述的方法��,該方法還包括向遠(yuǎn)端所有者傳送能供所述遠(yuǎn)端所有者在確定是否建立域所有權(quán)的過(guò)程中考慮的信息��。
69.根據(jù)權(quán)利要求68所述的方法�����,其中所述信息包括下列各項(xiàng)中的至少一項(xiàng)(i)用于證明被尋求所有權(quán)的域的完整性的信息�����;以及(ii)用于證明所述系統(tǒng)中的至少一個(gè)其他域的完整性的信息��。
70.根據(jù)權(quán)利要求68所述的方法��,其中所述信息包括下列各項(xiàng)中的至少一項(xiàng)(i)用于證明平臺(tái)的完整性的信息���,其中被尋求所有權(quán)的域使用該平臺(tái)的資源來(lái)進(jìn)行操作;以及 ( )用于證明平臺(tái)的完整性的信息����,其中所述系統(tǒng)中的至少一個(gè)其他域使用該平臺(tái)的資源來(lái)進(jìn)行操作。
71.根據(jù)權(quán)利要求68所述的方法����,其中所述信息包括涉及所述設(shè)備的當(dāng)前環(huán)境的信息ο
72.根據(jù)權(quán)利要求71所述的方法�,其中所述信息包括下列各項(xiàng)中的至少一項(xiàng)(i)用于指示所述系統(tǒng)中的其他域的數(shù)量的值�����;(ii)用于提供所述系統(tǒng)中的其他域的概要特性的信息��;以及(iii)用于規(guī)定能供正被嘗試建立所有權(quán)的域使用的平臺(tái)資源的信息�。
73.根據(jù)權(quán)利要求68所述的方法,該方法還包括基于所述系統(tǒng)中的其他域的相應(yīng)策略來(lái)調(diào)整為所述遠(yuǎn)端所有者提供的關(guān)于所述系統(tǒng)中的其他域的信息的范圍����。
74.根據(jù)權(quán)利要求67所述的方法,該方法還包括在遠(yuǎn)端所有者建立了所述域的所有權(quán)之后�����,從所述遠(yuǎn)端所有者接收加密密鑰���、配置信息�����、參數(shù)和可執(zhí)行代碼中的至少一者����,以便提升所述域的功能。
75.根據(jù)權(quán)利要求67所述的方法�,該方法還包括在遠(yuǎn)端所有者建立了所述域的所有權(quán)之后,從所述遠(yuǎn)端所有者接收所述域的策略�����。
76.根據(jù)權(quán)利要求44所述的方法��,其中至少一個(gè)所述域包括與其他域隔離的安全的執(zhí)行和存儲(chǔ)環(huán)境�����。
77.根據(jù)權(quán)利要求76所述的方法��,該方法還包括由至少一個(gè)所述域所在的設(shè)備的平臺(tái)對(duì)所述域的資源訪問(wèn)進(jìn)行控制�����,由此只有所述域外部被授權(quán)的用戶�、所有者或其他實(shí)體或進(jìn)程才能夠訪問(wèn)這些資源����。
78.根據(jù)權(quán)利要求76所述的方法���,其中支持至少一個(gè)域的至少一個(gè)平臺(tái)包括可信根, 并且其中所述域的完整性是通過(guò)所述可信根錨定的可信鏈來(lái)確定的����。
79.根據(jù)權(quán)利要求78所述的方法,其中域的完整性是通過(guò)將所述域的至少一個(gè)組件的量度與參考完整性度量進(jìn)行比較來(lái)確定的���,其中如果該量度與所述參考完整性度量匹配�, 則所述域的完整性通過(guò)檢驗(yàn)��。
80.根據(jù)權(quán)利要求79所述的方法����,其中域的所述至少一個(gè)組件包括所述域的可執(zhí)行代碼和/或數(shù)據(jù)。
81.根據(jù)權(quán)利要求79所述的方法����,其中所述量度包括在所述組件上計(jì)算得到的散列, 并且其中所述參考完整性度量包括先前在所述組件上計(jì)算并帶有數(shù)字證書的散列�����,該證書提供了關(guān)于所述參考完整性度量的真實(shí)性的指示���。
82.根據(jù)權(quán)利要求44所述的方法��,該方法還包括對(duì)支配一個(gè)群組的域的行為的策略進(jìn)行管理�����。
83.根據(jù)權(quán)利要求82所述的方法����,該方法還包括求出所述群組中每一個(gè)域的單獨(dú)策略的交集,并且在所述策略中進(jìn)行選擇����,以便產(chǎn)生用于支配所述群組的行為的組合策略;以及實(shí)施所述群組的組合策略�����。
84.根據(jù)權(quán)利要求44所述的方法�,該方法還包括由一個(gè)域來(lái)驗(yàn)證另一個(gè)域���。
85.根據(jù)權(quán)利要求68所述的方法�����,該方法還包括由所述遠(yuǎn)端所有者正在確定所有權(quán)的域來(lái)驗(yàn)證所述遠(yuǎn)端所有者����。
86.根據(jù)權(quán)利要求68所述的方法,該方法還包括在所述遠(yuǎn)端所有者與所述遠(yuǎn)端所有者正在建立所有權(quán)的域之間���,經(jīng)由在該遠(yuǎn)端所有者與該域間建立的安全信道來(lái)進(jìn)行通信����。
全文摘要
公開(kāi)了在提供為一個(gè)或多個(gè)設(shè)備(100��,110�,120)上的一個(gè)或多個(gè)域(101,102���,106�����,111��,112����,121,122)提供了系統(tǒng)級(jí)管理等級(jí)的同時(shí)�����,能夠讓一個(gè)或多個(gè)不同的本地或遠(yuǎn)端所有者擁有或控制這些域的方法和手段�����。每一個(gè)域都可以有不同的所有者��,并且每一個(gè)所有者都可以規(guī)定用于操作其域的策略���、以及用于結(jié)合域所在平臺(tái)和其他的域來(lái)操作其域的策略���。系統(tǒng)級(jí)域管理器(107)可以駐留在其中一個(gè)域(106)上。該系統(tǒng)級(jí)域管理器可以實(shí)施其所在的域(106)的策略����,并且它可以結(jié)合該系統(tǒng)級(jí)域管理器所在的域(106)并依照其他域(111���,112��,121����,122)的相應(yīng)策略來(lái)協(xié)調(diào)其他域的實(shí)施。此外�,該系統(tǒng)級(jí)域管理器(107)還可以依照其他域(111,112����,121,122)的相應(yīng)策略來(lái)協(xié)調(diào)其他域之間的交互����。
文檔編號(hào)H04L29/06GK102405630SQ201080017547
公開(kāi)日2012年4月4日 申請(qǐng)日期2010年4月20日 優(yōu)先權(quán)日2009年4月20日
發(fā)明者A·施米特, I·查, L·J·古喬內(nèi), S·B·帕塔爾, Y·C·沙阿 申請(qǐng)人:交互數(shù)字專利控股公司