專利名稱:可信硬件訂閱模塊間證書和/或域的遷移的制作方法
可信硬件訂閱模塊間證書和/或域的遷移相關(guān)申請的交叉引用本申請基于2010年3月2日申請的美國臨時專利申請N0.61/309, 569,并且要求該美國臨時申請的權(quán)益,在此其全部披露以引用的方式得以結(jié)合。
背景技術(shù):
當(dāng)今在移動通信工業(yè)中,用戶可用來訂閱特定網(wǎng)絡(luò)運(yùn)營商的服務(wù)的無線設(shè)備典型地包括用戶身份模塊(SM)或通用集成電路卡(UICC)。SM/nCC向無線設(shè)備提供安全執(zhí)行和存儲環(huán)境,從其執(zhí)行認(rèn)證算法和存儲使該設(shè)備能夠向網(wǎng)絡(luò)運(yùn)營商認(rèn)證設(shè)備用戶與該網(wǎng)絡(luò)運(yùn)營商的訂閱并允許網(wǎng)絡(luò)運(yùn)營商具有對該設(shè)備的某些形式的控制(即所有權(quán))的證書。不幸的是,該SIM/nCC機(jī)制典型地受限于與單一的網(wǎng)絡(luò)運(yùn)營商一起使用。因此,當(dāng)今在許多計(jì)算環(huán)境中的問題,如以上使用移動通信設(shè)備描述的情況,是計(jì)算設(shè)備通常受限于完全由單一的實(shí)體“所有”。并且在許多情況下,該所有關(guān)系必須在購買設(shè)備時由用戶建立,阻止了可能期望在隨后的時間建立所有關(guān)系的商業(yè)模式。另外,這些限制阻止在期望設(shè)備的若干互相獨(dú)立部分的多個所有關(guān)系存在,或期望所有關(guān)系隨著時間遷移到其它實(shí)體的情況下使用這些設(shè)備。例如,在諸如移動電話這樣的無線移動通信設(shè)備的情況下,典型地要求用戶在購買時訂閱特定移動網(wǎng)絡(luò)運(yùn)營商的服務(wù),并且這樣的設(shè)備通常被禁止僅在購買該無線設(shè)備后某個時間得以知道的移動網(wǎng)絡(luò)運(yùn)營商的應(yīng)用中使用。同樣地,對于這樣的設(shè)備一次提供到多個運(yùn)營商網(wǎng)絡(luò)的接入典型地也是不可能的。更新或改變移動網(wǎng)絡(luò)和服務(wù)訂閱可能是困難的,并且空中這樣做通常是不可能的。同樣地,特別是在無線移動通信設(shè)備的環(huán)境中,雖然SM/nCC機(jī)制通常被認(rèn)為高度安全,但該安全性并未緊密地與它駐留在其上的整個設(shè)備的安全屬性相聯(lián)系。這限制了為諸如移動金融交易這樣的高級服務(wù)和應(yīng)用縮放安全概念的應(yīng)用。特別地,這些缺點(diǎn)與自主設(shè)備有關(guān),例如機(jī)器到機(jī)器(M2M)通信設(shè)備。因此,期望更動態(tài)的解決方案。
發(fā)明內(nèi)容
公開了允許用戶發(fā)起從一個域到另一個域的證書的遷移的系統(tǒng)、方法和手段。該遷移可發(fā)生在包括具有一個或多個單獨(dú)域的一個或多個設(shè)備的系統(tǒng)中,其中每個域可由一個或多個不同的本地或遠(yuǎn)程所有者所有或控制。一個或多個設(shè)備可包括由至少一個平臺支持的一個或多個域。每個平臺可為這些域提供低級計(jì)算、存儲或通信資源。平臺可由一些硬件、操作系統(tǒng)、一些低級固件或軟件(例如啟動代碼、BI OS、AP1、驅(qū)動、中間件或虛擬化軟件)和一些高級固件或軟件(例如應(yīng)用軟件)以及用于這樣的資源的各配置數(shù)據(jù)組成。每個域可包括在至少一個平臺上執(zhí)行的計(jì)算、存儲或通信資源的配置,并且每個域可被配置為為可本地位于或遠(yuǎn)離該域的域所有者執(zhí)行功能。每個域可具有不同的所有者,并且每個所有者可為其域的操作和為與該域所在平臺和其它域相關(guān)的其域的操作指定策略。提供基于訂閱的服務(wù)的遠(yuǎn)程所有者可已具有域的所有權(quán),這可被稱為遠(yuǎn)程所有者域。另外,用戶可已具有域的所有權(quán),這可被稱為用戶域??砂l(fā)起請求來發(fā)起從第一域到第二域的證書遷移的。例如,源和目的地設(shè)備的用戶可請求與在源設(shè)備上的遠(yuǎn)程所有者域相關(guān)聯(lián)的證書被遷移到在目的地設(shè)備上的遠(yuǎn)程所有者域。遠(yuǎn)程所有者可接收指示遷移已得以請求的消息。由遠(yuǎn)程所有者接收的消息可以是源和目的地設(shè)備已進(jìn)行內(nèi)部檢查并確定遷移可繼續(xù)進(jìn)行的指示。由遠(yuǎn)程所有者接收的消息可以是用戶發(fā)起了遷移請求的指示。遠(yuǎn)程所有者可評估從源設(shè)備接收的源信息和從目的地設(shè)備接收的目的地信息。例如,源信息可包括以下的至少一者:源策略、源配置、源標(biāo)識和源完整性指示符。目的地信息可包括以下的至少一者:目的地策略、目的地配置、目的地標(biāo)識和目的地完整性指示符?;谠葱畔⒑湍康牡匦畔⒌脑u估,遠(yuǎn)程所有者可確定該遷移是可接受的。例如,遠(yuǎn)程所有者可確定與這些設(shè)備相關(guān)聯(lián)的策略與遷移證書不存在沖突。這樣的策略評估可包括除了源域和目的地域之外的域的策略。遠(yuǎn)程所有者可發(fā)送指示以繼續(xù)進(jìn)行該遷移。其它的檢查可由源和目的地設(shè)備進(jìn)行。例如,源設(shè)備可評估目的地設(shè)備的狀態(tài),并且目的地設(shè)備可評估源設(shè)備的狀態(tài)。遠(yuǎn)程所有者可從源設(shè)備接收指示該遷移已完成、源設(shè)備銷毀了證書的源完成消息。遠(yuǎn)程所有者可從目的地設(shè)備接收指示該遷移已完成并且證書被復(fù)制在目的地設(shè)備的域上的目的地完成消息。在此描述的系統(tǒng)、方法和手段的其它特征在以下詳細(xì)描述和附圖中提供。
圖1圖示了在其中在此描述的方法和手段可得以采用的示例系統(tǒng)。圖2圖示了在其中在此描述的方法和手段在用戶設(shè)備(UE)中得以實(shí)現(xiàn)的系統(tǒng)的一個實(shí)施例。圖3和3A圖示了獲取域所有權(quán)的示例啟動和處理。圖4和4A圖示了獲取域所有權(quán)的示例調(diào)用流程圖。圖5和5A圖示了使用完全證明(attestation)獲取域所有權(quán)的處理的示例調(diào)用流程圖。圖6圖示了可信硬件訂閱模塊的一個實(shí)施例的示例狀態(tài)定義、轉(zhuǎn)換和控制點(diǎn)定義。圖7圖示了遠(yuǎn)程所有者域可獲得的狀態(tài)和在動態(tài)管理的環(huán)境中轉(zhuǎn)換可發(fā)生的情況。圖8圖示了實(shí)現(xiàn)注冊和證書轉(zhuǎn)出(roll-out)處理的示例調(diào)用流程。圖9A和9B圖示了實(shí)現(xiàn)證書遷移的示例調(diào)用流程。圖9C是在其中一個或多個公開的實(shí)施例可得以實(shí)現(xiàn)的示例通信系統(tǒng)的系統(tǒng)圖。
具體實(shí)施例方式圖1-9可涉及在其中公開的系統(tǒng)、方法和手段可得以實(shí)現(xiàn)的示例實(shí)施例。然而,雖然本發(fā)明可結(jié)合示例實(shí)施例得以描述,但它不限于此,并且應(yīng)當(dāng)理解可使用其它實(shí)施例,或者可向描述的實(shí)施例做出修改和增加以實(shí)現(xiàn)本發(fā)明的相同功能,而不脫離本發(fā)明。此外,附圖可圖示調(diào)用流程,其旨在示例。應(yīng)當(dāng)理解,可使用其它實(shí)施例。此外,流程的順序適當(dāng)時可改變。并且,如果不需要可省略流程,并且可增加附加的流程。公開了可允許用戶將證書從一個域遷移到另一個域的系統(tǒng)、方法和手段。該遷移可發(fā)生在包括具有一個或多個單獨(dú)域的一個或多個設(shè)備的系統(tǒng)中,其中每個域可由一個或多個不同的本地或遠(yuǎn)程所有者所有或控制。一個或多個設(shè)備可包括由至少一個平臺支持的一個或多個域。每個平臺可為域提供低級計(jì)算、存儲或通信資源。平臺可由一些硬件、操作系統(tǒng)、一些低級固件或軟件(例如引導(dǎo)代碼、BIOS、AP1、驅(qū)動、中間件或虛擬化軟件)和一些高級固件或軟件(例如應(yīng)用軟件)以及用于這樣的資源的各配置數(shù)據(jù)組成。每個域可包括在至少一個平臺上執(zhí)行的計(jì)算、存儲或通信資源的配置,并且每個域可被配置為為可本地位于或遠(yuǎn)離域的域所有者執(zhí)行功能。每個域可具有不同的所有者,并且每個所有者可為其域的操作和為與該域所在平臺和其它域相關(guān)的其域的操作指定策略指定策略。提供基于訂閱的服務(wù)的遠(yuǎn)程所有者可已具有域的所有權(quán),這可被稱為遠(yuǎn)程所有者域。另外,用戶可已具有域的所有權(quán),這可被稱為用戶域。可發(fā)起請求來發(fā)起從第一域到第二域的證書遷移。例如,源和目的地設(shè)備的用戶可請求與在源設(shè)備上的遠(yuǎn)程所有者域相關(guān)聯(lián)的證書被遷移到在目的地設(shè)備上的遠(yuǎn)程所有者域。遠(yuǎn)程所有者可接收指示遷移已得以請求的消息。由遠(yuǎn)程所有者接收的消息可以是源和目的地設(shè)備已進(jìn)行內(nèi)部檢查并確定遷移可繼續(xù)進(jìn)行的指示。由遠(yuǎn)程所有者接收的消息可以是用戶發(fā)起了遷移請求的指示。遠(yuǎn)程所有者可評估從源設(shè)備接收的源信息和從目的地設(shè)備接收的目的地信息。例如,源信息可包括以下的至少一者:源策略、源配置、源標(biāo)識和源完整性指示符。目的地信息可包括以下的至少一者:目的地策略、目的地配置、目的地標(biāo)識和目的地完整性指示符?;谠葱畔⒑湍康牡匦畔⒌脑u估,遠(yuǎn)程所有者可確定該遷移是可接受的。例如,遠(yuǎn)程所有者可確定與這些設(shè)備相關(guān)聯(lián)的策略與遷移證書不存在沖突。這樣的策略評估可包括除了源域和目的地域之外的域的策略。系統(tǒng)級策略可確定源和目的地策略與在源和目的地設(shè)備上的其它域的策略之間的潛在沖突。遠(yuǎn)程所有者可發(fā)送指示以繼續(xù)進(jìn)行該遷移。其它的檢查可由源和目的地設(shè)備進(jìn)行。例如,源設(shè)備可評估目的地設(shè)備的狀態(tài),并且目的地設(shè)備可評估源設(shè)備的狀態(tài)。遠(yuǎn)程所有者可從源設(shè)備接收指示該遷移已完成、源設(shè)備銷毀了證書的源完成消息。遠(yuǎn)程所有者可從目的地設(shè)備接收指示該遷移已完成并且證書被復(fù)制在目的地設(shè)備的域上的目的地完成消息。1.示例多域系統(tǒng)圖1-7可涉及在其中公開的系統(tǒng)、方法和手段可得以實(shí)現(xiàn)的示例實(shí)施例。然而,雖然本發(fā)明可結(jié)合示例實(shí)施例得以描述,但它不限于此,并且應(yīng)當(dāng)理解可使用其它實(shí)施例,或者可向描述的實(shí)施例做出修改和增加以實(shí)現(xiàn)本發(fā)明的相同功能,而不脫離本發(fā)明。在其中公開的系統(tǒng)、方法和手段可得以實(shí)現(xiàn)的示例系統(tǒng)包括一個或多個設(shè)備,每個設(shè)備可包括由至少一個平臺支持的一個或多個域。每個平臺可為域提供低級計(jì)算、存儲或通信資源。平臺可由一些硬件、操作系統(tǒng)、其它低級固件或軟件(例如引導(dǎo)代碼、B10S、API和驅(qū)動)和用于這樣的資源的各配置數(shù)據(jù)組成。每個域可包括在至少一個平臺上執(zhí)行的計(jì)算、存儲或通信資源的配置,并且每個域可被配置為為可本地位于或遠(yuǎn)離域的域所有者執(zhí)行功能。每個域可具有不同的所有者,并且每個所有者可為其域的操作和與該域所在平臺和其它域有關(guān)的操作指定策略。
在計(jì)算、存儲或通信資源(從輸入點(diǎn)的角度)或域通過使用這些計(jì)算、存儲或通信資源提供的功能(從輸出點(diǎn)的角度)方面,每個域可以獨(dú)立于其它域。每個域可利用計(jì)算、存儲或通信資源或通用基礎(chǔ)平臺的功能。一些域可共享一些由通用平臺提供的這樣的功能。平臺資源和/或功能的這樣的共享可以通用資源或功能的每個域的使用可獨(dú)立于另一個域的這樣的使用的方式來實(shí)現(xiàn)。例如,這樣的獨(dú)立可通過設(shè)備的平臺對它提供給每個域的資源執(zhí)行嚴(yán)格的的接入控制來實(shí)現(xiàn),使得僅允許由該平臺和/或域的所有者授權(quán)的用戶、所有者或其它實(shí)體或域外部的過程對域的資源的任意接入。如果任意域的功能取決于在設(shè)備上任意域之外的設(shè)備資源,平臺還可簡單地由不是在該設(shè)備上任意單獨(dú)域的部分的、該設(shè)備的部分組成。在相同或不同平臺或相同或不同設(shè)備上的任意兩個域之間的通信可變得安全,意味著域可以能夠以安全的方式互相認(rèn)證(例如通過使用加密措施),并且還能夠在諸如可信性、完整性和新鮮性這樣的安全方面保護(hù)在它們之間交換的消息。由域駐留的平臺提供的加密措施可被用來在任意這樣的兩個域之間提供這樣的安全通信。系統(tǒng)級(system-wide)域管理器可駐留在域的其中之一上。系統(tǒng)級域管理器可執(zhí)行它駐留的域的策略,并且它可通過與該系統(tǒng)級域管理器駐留的域相關(guān)的它們各自的策略協(xié)調(diào)其它域的執(zhí)行。并且,系統(tǒng)級域管理器可根據(jù)它們各自的策略協(xié)調(diào)其它域間的交互。系統(tǒng)級域管理器駐留的域可由容納該域的設(shè)備的所有者所有??商鎿Q地,這樣的域可由可能不擁有容納該域的設(shè)備的所有者所有。圖1圖示了這樣的系統(tǒng)的一個實(shí)施例。如所示那樣,該系統(tǒng)可包括一個或多個設(shè)備100、110和120。每個設(shè)備可包括由至少一個平臺支持的一個或多個域。例如,設(shè)備100可包括域106和一個或多個其它域101、102。雖然為設(shè)備100示出了三個域,但在其它實(shí)施例中域的數(shù)目可以更多或更少。那些域101、102、106的每一個可包括在該設(shè)備的至少一個平臺105上執(zhí)行的計(jì)算、存儲或通信資源的配置。每個域可被配置為為可本地位于或遠(yuǎn)離該域的域所有者執(zhí)行功能。例如,域106可由設(shè)備所有者(未示出)所有,而域101、102可由一個或多個遠(yuǎn)程所有者所有。每個域可具有不同的所有者,或者設(shè)備的多于一個的域可由相同的所有者所有。每個所有者可為其域的操作和為與該域在其上運(yùn)行的平臺、該域所駐留的設(shè)備和在相同或不同設(shè)備中的其它域有關(guān)的其域的操作指定策略。如所述那樣,該系統(tǒng)還可包括在其上駐留其它域的其它設(shè)備。例如,設(shè)備110可包括域111和112,域111和112的每一個可由相同的遠(yuǎn)程所有者所有。當(dāng)然,域111和112的每一個可替代地由不同的所有者所有。域111、112的每一個可包括在設(shè)備110的平臺115上執(zhí)行的計(jì)算、存儲或通信資源的配置。類似地,設(shè)備120可包括域121和122。如在該實(shí)例中所示那樣,那些域的每一個可由不同的所有者所有??商鎿Q地,那些域可由相同的所有者所有。此外,域121、122的每一個可包括在設(shè)備120的平臺125上執(zhí)行的計(jì)算、存儲或通信資源的配置。系統(tǒng)級域管理器(SDM) 107可駐留在域的其中之一上。在該示例中,SDM 107駐留在設(shè)備100的域106上。在一個實(shí)施例中,SDM所駐留的域(例如域106)可由設(shè)備100的所有者所有。SDM 107通過在設(shè)備100中提供的通信機(jī)制與在設(shè)備100上的遠(yuǎn)程所有者域101通信。并且,SDM 107通過可以是有線或無線信道的各個通信信道131、132、141、142與在其它設(shè)備上的域通信。通信信道131、132、141和142可以是安全的。SDM 107可執(zhí)行它所駐留的域106的策略,并且它可通過與域106相關(guān)的它們各自的策略來協(xié)調(diào)其它域101、
111、112、121、122的執(zhí)行。此外,SDM 107可根據(jù)它們各自的策略和SDM所駐留的域的策略(其可以是該特定域所有者的策略)來協(xié)調(diào)其它域之間的交互。作為示例,在一個實(shí)施例中,域可由服務(wù)供應(yīng)商所有。例如,設(shè)備100的域102可由諸如僅作為示例的移動網(wǎng)絡(luò)運(yùn)營商這樣的服務(wù)供應(yīng)商所有。域102可執(zhí)行用戶身份模塊(SIM)功能來向服務(wù)供應(yīng)商認(rèn)證設(shè)備100,或者在一些情況下等同地,所有者的訂閱或設(shè)備的用戶,以便使能在設(shè)備100和該服務(wù)供應(yīng)商之間的通信。除了上述SDM的功能外,SDM 107可訪問信息,并提供可由所述一個或多個域使用的資源列表。SDM 107還可監(jiān)控由遠(yuǎn)程所有者所有的域的加載和維護(hù)。SDM 107可向它所駐留的設(shè)備100的用戶提供能加載的域的列表,并且可請求用戶選擇加載列出域的哪個。SDM還可評估在平臺或設(shè)備上是否有足夠的計(jì)算資源來加載,并且從而支持一個或多個域的操作。還如上所述,SDM 107可參與執(zhí)行它自己的策略(這在此可被稱為系統(tǒng)級域策略(SDP))和其它域的策略(即域特定策略(DP))。SDM 107在評估是否加載新域時可考慮一個或多個已有域的策略。例如,由遠(yuǎn)程所有者所有的給定域的策略可指定當(dāng)特定類型的其它域變?yōu)榛顒拥臅r,該給定域被呈現(xiàn)為不活動的。在另一個示例中,由遠(yuǎn)程所有者所有的給定域的策略可指定當(dāng)由某個特定遠(yuǎn)程所有者所有的另一個域變成活動的時,該給定域被呈現(xiàn)為不活動的。仍然在另一個示例中,由遠(yuǎn)程所有者所有的給定域的策略可指定當(dāng)特定類型的其它域變成活動的時,該指定域的操作受限于某些具體方式。在另一個示例中,由遠(yuǎn)程所有者所有的給定域的策略可指定在由特定其它遠(yuǎn)程所有者所有的另一個域變成活動的時,該給定域的操作受限于某些具體方式。SDM 107可負(fù)責(zé)所有這些類型的策略的執(zhí)行。SDM 107還可建立或加載遠(yuǎn)程所有者隨后可取得所有權(quán)的域。例如,這樣的域可以在此被稱為“原始(pristine)”狀態(tài)的狀態(tài)得以建立,在其中它不由任意所有者所有,并且SDM 107可通過遠(yuǎn)程所有者管理域所有權(quán)的建立。為了實(shí)現(xiàn)這一目的,SDM 107可向遠(yuǎn)程所有者傳送遠(yuǎn)程所有者在確定是否建立域的所有權(quán)時可考慮的信息。該信息可包括以下的至少一者:(i)證明要求其所有權(quán)的域的完整性的信息jP(ii)證明系統(tǒng)的至少一個其他域的完整性的信息。該信息還可包括(i)證明要求其所有權(quán)的域使用其資源操作的平臺的完整性的信息jP(ii)證明系統(tǒng)的至少一個其他域使用其資源操作的平臺的完整性的信息。這樣的信息可包括以下的至少一者:(i)指示系統(tǒng)中其他域的數(shù)目的值;(ii)提供系統(tǒng)中其他域的總性質(zhì)(nature)的信息;和
(iii)指定可由嘗試為其建立所有權(quán)的域使用的平臺資源的信息。提供給遠(yuǎn)程所有者有關(guān)系統(tǒng)其他域的信息程度可取決于那些其他域在保密性(confidentiality)和/或獨(dú)立性(isolation)方面各自的策略。在遠(yuǎn)程所有者獲取域的所有權(quán)之后,該遠(yuǎn)程所有者可在該域上執(zhí)行一定程度的控制。例如,在遠(yuǎn)程所有者建立域的所有權(quán)之后,該域可從該遠(yuǎn)程所有者接收加密密鑰、配置信息、參數(shù)和可執(zhí)行代碼的至少一個以增加該域的功能。在另一個示例中,在遠(yuǎn)程所有者建立域的所有權(quán)之后,該域可從該遠(yuǎn)程所有者接收它的域特定策略。在此公開的系統(tǒng)還提供一個或多個域的獨(dú)立性和安全性。例如,域的一個或多個可包括獨(dú)立于其它域的安全執(zhí)行和存儲環(huán)境。為了實(shí)現(xiàn)這樣的安全環(huán)境,在其上建立一個或多個域的設(shè)備平臺,例如圖1中設(shè)備100的平臺105,可包括可信根103??尚鸥?03可包括不可變和不可移動的硬件資源組,其完整性是預(yù)建立的,并且由包括域的遠(yuǎn)程所有者的其它人依賴。諸如域101這樣的域的完整性可通過由可信根103錨定的可信鏈來建立。例如,域101的完整性可通過比較域101至少一個成員(component)的測量(該測量可由可信根103生成)和參考完整性度量(其可被存儲在可信根103中并且由可信根用來驗(yàn)證域的完整性)來建立??商鎿Q地,參考完整性度量可由遠(yuǎn)程所有者存儲,并且測量可被傳送給該遠(yuǎn)程所有者用于與該參考完整性度量比較。如果該測量匹配參考完整性度量,則該域的完整性可得以驗(yàn)證。在一個示例實(shí)施例中,該測量可包括對成員計(jì)算的哈希,并且參考完整性度量可包括對該成員以前計(jì)算的、并帶有提供該參考完整性度量真實(shí)性的指示的數(shù)字證書的哈希。參考完整性度量可在生產(chǎn)時或在將設(shè)備交付給其所有者時預(yù)提供在該設(shè)備中。參考完整性度量還可在生產(chǎn)/將設(shè)備提供給其所有者之后,通過通信信道(例如空口無線通信信道)從遠(yuǎn)程源得以傳遞,并且在傳遞后提供在設(shè)備中。參考完整性度量可被附在證書中被傳遞給設(shè)備。這樣的證書可由可信第三方驗(yàn)證,以在它傳遞給設(shè)備后使用。在此公開的系統(tǒng)及其各種方法和手段可在各種各樣的計(jì)算和通信環(huán)境中得以實(shí)現(xiàn)。因此,諸如圖1的示例設(shè)備100、110和120這樣的系統(tǒng)設(shè)備可采取各種各樣的形式。以示例的方式,并且沒有任何限制,系統(tǒng)設(shè)備可包括無線發(fā)射/接收單元(WTRU)、用戶設(shè)備(UE)、移動站、固定和移動用戶單元、尋呼機(jī)、蜂窩電話、個人數(shù)字助手(PDA)、計(jì)算機(jī)、機(jī)器對機(jī)器(M2M)設(shè)備、SM卡、通用集成電路卡(UICC)、智能卡、地理跟蹤設(shè)備、傳感器網(wǎng)絡(luò)節(jié)點(diǎn)、計(jì)量設(shè)備(例如水表、氣表或電表)或能夠在無線或有線環(huán)境中運(yùn)行的任意其他類型的計(jì)算或通信設(shè)備。以下附圖和說明在無線發(fā)射/接收單元(WTRU)中提供本發(fā)明系統(tǒng)和方法的若干附加示例實(shí)施例。然而,應(yīng)理解這些實(shí)施例僅是示例性的,并且在此公開的系統(tǒng)和方法并不受限于那些實(shí)施例。相反地,如上所述,在此公開的系統(tǒng)和方法可在各種各樣的計(jì)算和通信環(huán)境中使用。圖2是圖示在其中在此描述的系統(tǒng)和方法可得以實(shí)現(xiàn)的WTRU的一個實(shí)施例的圖。如所示那樣,該WTRU可包括諸如UE 200這樣的移動設(shè)備。UE 200可包括移動設(shè)備(ME)210和可信硬件訂閱模塊(THSM) 220。并且,THSM 220可進(jìn)一步包括THSM設(shè)備制造商(DM)域221、THSM設(shè)備所有者(DO)域222、THSM設(shè)備用戶(DU或U)域223、系統(tǒng)級域管理器(SDM)230、域內(nèi)策略管理器240和一個或多個遠(yuǎn)程所有者(RO)域,例如RO的域A 224、RO的域B225和RO的域C 226。此外,UE 200可包括以下未示出的組件:處理器、接收機(jī)、發(fā)射機(jī)和天線。在此描述的示例實(shí)現(xiàn)可涉及諸如參考圖2描述的那些組件。THSM可以是提供可信訂閱管理功能的基于硬件的模塊,包括那些典型地由SM功能、USIM功能、ISIM功能和訪問網(wǎng)絡(luò)訂閱執(zhí)行的功能。THSM可以是硬件保護(hù)的模塊。它可包括使用相關(guān)安全特征特別設(shè)計(jì)的硬件。它可能夠內(nèi)部支持多個獨(dú)立的域。域可由被稱為遠(yuǎn)程所有者(RO)的不同所有者認(rèn)領(lǐng)(claim)或所有。由RO認(rèn)領(lǐng)的域可充當(dāng)各自RO的代理。域的一個或多個可執(zhí)行諸如可信訂閱身份管理(TSM)這樣的訂閱管理功能。由于具有TSM功能的多個域可存在在單一的THSM上,因此THSM可支持用于多個RO的訂閱管理。具有TSM能力的域的管理的一些方面可由被稱為系統(tǒng)級域管理器(SDM)的單一管理功能來實(shí)現(xiàn)。其他方面可在單獨(dú)的域中和上單獨(dú)地管理。
雖然根據(jù)通用移動電信系統(tǒng)(UMTS)環(huán)境描述,本領(lǐng)域技術(shù)人員可意識到在此描述的方法和設(shè)備可應(yīng)用于其他環(huán)境,而不超出本申請的范圍。TSIM可以是“訂閱應(yīng)用”的代表示例。例如,如果在運(yùn)行在3G UMTS網(wǎng)絡(luò)中的WTRU上實(shí)現(xiàn),作為其功能的一部分,TS頂可包括所有與訂閱相關(guān)的功能,包括UMTS認(rèn)證和密鑰協(xié)商(AKA)功能。TSIM可不被限于特定的硬件,例如nCC。這與USM相反,US頂僅能存在在HCC上。替代地,TSM可在如在此描述的可信硬件訂閱模塊(THSM)上實(shí)現(xiàn)。本領(lǐng)域的技術(shù)人員還將意識到如在此描述的THSM的功能可合并在nCC或類似的智能卡中,例如遵循歐洲電信標(biāo)準(zhǔn)協(xié)會(ETSI) nCC要求的UICC或遵循全球平臺規(guī)范的智能卡,而不超出本申請的范圍。WTRU可包括THSM和移動設(shè)備(ME)。ME可包括調(diào)制解調(diào)器、無線電、電源和典型地在WTRU中找到的各種其他特征。THSM可包括獨(dú)立的基于硬件的模塊。THSM可包含在WTRU上或者它可以是獨(dú)立的。THSM可邏輯地與ME分開,即使它包含在WTRU上。THSM可包括一個或多個域,每個域由該域的特定所有者所有并且為該所有者的利益運(yùn)行以提供安全、可信的服務(wù)和應(yīng)用。因此,例如,DM的域可被表示為TDdm,并且DO的域可被表示為TDdq。在THSM中的域可執(zhí)行在ME中可能不安全或不方便執(zhí)行的安全敏感的功能和應(yīng)用。一些域可由一個或多個服務(wù)供應(yīng)商所有和管理。例如:移動網(wǎng)絡(luò)運(yùn)營商(MNO);其他通信網(wǎng)絡(luò)運(yùn)營商,例如無線局域網(wǎng)供應(yīng)商或WiMax供應(yīng)商;應(yīng)用服務(wù)供應(yīng)商,例如在移動支付、移動票務(wù)、數(shù)字版權(quán)管理(DRM)、移動TV或基于位置服務(wù)方面的服務(wù)供應(yīng)商;或IP多媒體核心網(wǎng)子系統(tǒng)(MS)服務(wù)供應(yīng)商。訂閱管理可通過由服務(wù)供應(yīng)商所有的域來支持。為簡單起見,在THSM上實(shí)現(xiàn)的訂閱管理功能此后可被表示為TSIM功能。對TSIM功能的支持可隨域改變。例如,支持的TS頂功能可包括類似于由在移動終端nCC上的US頂和ISIM應(yīng)用提供的那些功能。像nCC—樣,THSM可包括除了由TSM提供的以外的功能、應(yīng)用和數(shù)據(jù)。TS頂可以是軟件單元或虛擬應(yīng)用。TS頂可初始地沒有與特定網(wǎng)絡(luò)運(yùn)營商或公共陸地移動網(wǎng)絡(luò)(PLMN)相關(guān)聯(lián)的證書。TSM可涉及UMTS蜂窩接入網(wǎng)的訂閱證書/應(yīng)用的管理。例如,TSM可包括諸如UMTS認(rèn)證密鑰這樣的強(qiáng)秘密(strong secret) (Ki)的管理。在M2M環(huán)境中,TSIM還可包括M2M連接性身份管理(MCM)。 THSM可包括類似于可在具有可信平臺模塊(TPM)或移動可信模塊(MTM)的計(jì)算設(shè)備中找到的測量可信根(root of trust of measurement, RTM)的測量核心可信根(Rootof Trust, RoT) (Core Root of Trust of Measurement, CRTM)單兀。THSM 的 CRTM 可在例如THSM引導(dǎo)時測量THSM引導(dǎo)代碼的完整性。完整性度量可通過擴(kuò)展操作來計(jì)算,例如在THSM的引導(dǎo)代碼(BIOS)和可選地諸如版本號、軟件配置或發(fā)布號這樣的THSM的制造商特性上應(yīng)用加密摘要值操作。例如,完整性度量可使用諸如SHA-X這樣的加密哈希算法的版本來計(jì)算。THSM可包括類似于在TPM或MTM中找到的存儲可信根(root of trust forstorage, RTS)的存儲核心RoT (core RoT of Storage, CRTS)單元,被配置為在受保護(hù)的存儲器中存儲完整性度量。THSM還可包括類似于在TPM或MTM中找到的報告可信根(rootof trust for reporting, RTR)的報告核心 RoT (core RoT ofReporting, CRTR)單兀,被配置為向外部挑戰(zhàn)者報告THSM的完整性測量。因此,THSM在可信測量、存儲和報告方面可有效地提供類似于TPM或MTM的能力。THSM還可包括實(shí)現(xiàn)多個可信利益相關(guān)者(stakeholder)引擎的能力。此外,THSM可被配置為實(shí)現(xiàn)各個多個利益相關(guān)者可信子系統(tǒng)。因此,THSM可類似于由TCG移動電話工作組(MPffG)規(guī)范定義的可信移動電話。THSM可被配置為使用例如在此描述的核心RoT能力來建立多個內(nèi)部“利益相關(guān)者域”。利益相關(guān)者可以是THSM設(shè)備制造商(DM)、THSM設(shè)備所有者(DO)或THSM設(shè)備用戶(DU)。DU可與DO相同,或者可與DO不同。每個THSM可以有多于一個的DU。利益相關(guān)者還可以是由DO特別租用或所有的域的不同遠(yuǎn)程所有者(R0)。例如,諸如MNOUMS服務(wù)供應(yīng)商、非3GPP接入網(wǎng)運(yùn)營商或增值應(yīng)用服務(wù)供應(yīng)商這樣的第三代合作伙伴計(jì)劃(3GPP) PLMN運(yùn)營商可以是利益相關(guān)者。一些域可以是強(qiáng)制的,在該情況下,它們可在制造THSM時被預(yù)配置。例如,DM的域可以是強(qiáng)制的,它可根據(jù)預(yù)配置文件在引導(dǎo)時被建立或加載。DO域也可以是強(qiáng)制的,它在預(yù)提供的配置中得以建立。可選地,該域可根據(jù)下載的配置文件來建立。除了 DM的域外,域在它們可被域的所有者“認(rèn)領(lǐng)”并“所有”之前將經(jīng)歷遠(yuǎn)程獲取所有權(quán)(RTO)過程。在特定的域經(jīng)歷RTO過程之前,用于非指定所有者的“原始”域可存在。在該情況下,沒有為該域認(rèn)領(lǐng)的特定所有權(quán)。在THSM上的域可通過THSM-ME接口與ME通信和交換信息。例如,域可在啟動或RTO過程期間與ME通信。需要保護(hù)在THSM-ME接口上交換的數(shù)據(jù)。可需要通過THSM-ME接口的所有通信的完整性保護(hù)。例如,完整性保護(hù)可使用諸如預(yù)提供的臨時密鑰或通過使用認(rèn)證密鑰交換機(jī)制交換的密鑰這樣的加密密鑰。加密密鑰可以是對稱的(例如Ktemp_I)或不 對稱的(例如由THSM用于完整性的公共或私人密鑰Kpub/priv_THSM_temp_I和由ME用于完整性的公共或私人密鑰Kpub/priv_ME_temp_I )。臨時密鑰可被用于接口的保護(hù)。例如,臨時密鑰可與有效期相關(guān)聯(lián),或可被使用一次或預(yù)確定次數(shù)。通過THSM-ME接口的通信的保密性還可使用加密措施來提供。預(yù)提供的臨時密鑰或通過使用認(rèn)證密鑰交換機(jī)制交換的密鑰可得以使用。加密密鑰可以是對稱的(例如用于加密的Ktemp_C)或不對稱的(例如由THSM用于加密的公共或私人密鑰Kpub/priv_THSM_temp_C和由ME用于加密的公共或私人密鑰Kpub/Driv_ME_temp_C)。為了簡單起見,在此描述的RTO方法和設(shè)備涉及使用預(yù)提供的對稱臨時密鑰。然而,本領(lǐng)域的技術(shù)人員將意識到可使用其他密鑰實(shí)現(xiàn),而不超出本申請的范圍??商峁┙乖赥HSM-ME和RO間明文(in the clear)傳遞的消息的重放攻擊。通過THSM-ME接口發(fā)送的每個消息可通過使用臨時數(shù)(nonce)擁有保鮮質(zhì)量(freshnessquality)。為了簡單起見,在此描述的RTO協(xié)議可包括通過ME-THSM接口交換的所有消息的防重放保護(hù);然而,本領(lǐng)域的技術(shù)人員將意識到可使用其他接口保護(hù)配置,而不超出本申請的范圍。可將簽名應(yīng)用于哈希。例如,哈希可由SHA-X算法來產(chǎn)生。可信第三方可使用與THSM相關(guān)聯(lián)的證書(CertTSIM)、私人-公共密鑰對(例如KTSIM_PHv和ΚΚΙΜ_Μ)來證明??尚诺谌竭€可使用與網(wǎng)絡(luò)相關(guān)聯(lián)的證書(CertlfflX另一組密鑰(例如!^,^和ΚΚ()_Μ)來證明。這些證書可被存儲在分配給正在討論的域的受保護(hù)存儲器中。公鑰Κ.-可被THSM平臺,特別地TSM,用來驗(yàn)證來自RO的簽名或加密發(fā)送給RO的消息。密鑰K.PHv可被網(wǎng)絡(luò)用于簽名目的和解密由TSIM使用相應(yīng)的公鑰加密的消息。公共-私人密鑰對KTSIM_Pub和KTSIM_Mv可包括類似的功能,除了交換TSM和RO的角色。可替換地,在RO和TSIM兩者處可有用于加密和簽名的分離密鑰對。密鑰對KRO-Priv和KRO-Pub以及KTS頂-Priv和KTS頂-Pub可取決于由所有者、用戶或兩者選取的特定網(wǎng)絡(luò)服務(wù)。諸如RO這樣的每個服務(wù)供應(yīng)商可為在與該供應(yīng)商相關(guān)聯(lián)的THSM上的每個域具有它自己的經(jīng)證實(shí)的公共-私人密鑰對。選取的服務(wù)可確定使用哪組密鑰對。例如,公共私人密鑰對組可由選取的服務(wù)供應(yīng)商和在THSM上關(guān)聯(lián)的域來確定??蓻]有使用密鑰對的協(xié)商。公共或私人密鑰對可由服務(wù)供應(yīng)商來確定,并且可與THSM子系統(tǒng)或域緊密地關(guān)聯(lián)。THSM TDiw可配置“系統(tǒng)級域管理器”(SDM)。SDM可保護(hù)地存儲包括“系統(tǒng)級域策略”(SDP)的預(yù)配置文件。SDM可根據(jù)SDP為THSM建立或加載RO的域。SDM可被包括在DO域的原始配置中。SDM可使用預(yù)配置的SDP來確定應(yīng)當(dāng)建立哪些其它域以及以何種順序。代表并當(dāng)由RO域請求時,SDM可準(zhǔn)備并提供(furnish) THSM平臺環(huán)境概要(THSM Platform Environment Summary, TPES)和 THSM 平臺完整性證明(THSM PlatformIntegrity Attestation, ΤΡΙΑ)。TPES可描述關(guān)于THSM最當(dāng)前“環(huán)境”的概要信息。這樣的信息可包括在THSM上當(dāng)被與機(jī)密性和獨(dú)立性相關(guān)的各個域策略調(diào)整或允許時域的數(shù)目和概要特性,和在THSM上可用于通信和與請求的域共享的功能或資源的任意剩余資源。TPIA可包括在THSM —個或多個域上的完整性證明的集合。TPIA還可包括用于支持所述域的平臺的完整性證明。TPIA可被用來向諸如對為在THSM上的原始域執(zhí)行RTO過程感興趣的RO這樣的外部驗(yàn)證者證明感興趣域和支持那些域的平臺的可信狀態(tài)。RO或RO的域(TDkq)可向SDM請求ΤΡΙΑ。SDM可根據(jù)SDP滿足或拒絕該請求。SDM還可與THSM的諸如服務(wù)人員這樣的物理存在的設(shè)備所有者交互以交互地識別應(yīng)當(dāng)建立的其他域和以何種順序。并且,SDM還可請求用戶的域與THSM的物理存在的用戶交互以為即將建立的域和建立順序提供輸入。該信息在域建立過程中可被用作輸入。THSM當(dāng)它為RO的域執(zhí)行RTO過程時可被配置為在完成遠(yuǎn)程獲取所有權(quán)協(xié)議之前達(dá)到四個不同的系統(tǒng)狀態(tài)。THSM Pre_引導(dǎo)系統(tǒng)狀態(tài)可指示THSM還未“上電”。THSM_TDdm_加載_完成系統(tǒng)狀態(tài)可指示在THSM上的DM域已建立或者在THSM上電后作為第一步驟已加載。THSM_TDdq_加載_完成系統(tǒng)狀態(tài)可指示DO的域已建立或已加載至可用的最新配置。如果DO的域自己從未經(jīng)歷RTO過程,或者“RT0后”配置,該“可用的最新配置”可以是“原始”配置。DM的域可建立或加載DO的域。在DO的域經(jīng)歷至少一個RTO過程前,DO的域可位于“原始”狀態(tài),并且不能由任意特定的DO認(rèn)領(lǐng)或所有?!霸肌庇蚩砂ā翱蚣?shell)”。第一次建立或加載DO域時,“可用的最新配置”(在此和之后被稱為最新配置)來自于預(yù)配置的文件??蛇x地,如果“最新配置”由RO域的RTO過程引起,在THSM上的特定域可能已經(jīng)歷遠(yuǎn)程獲取所有權(quán)協(xié)議至少一次,并且遠(yuǎn)程所有者可能已獲得TSSro的所有權(quán)。這可指示在遠(yuǎn)程獲取所有權(quán)完成時,已在平臺上配置的可信子系統(tǒng)。在到達(dá)該狀態(tài)時或之前,特定RO可開始執(zhí)行其他任務(wù)。THSM_TDKQ_加載_完成系統(tǒng)狀態(tài)可指示RO的域(TDkq)已被建立或加載到可用的最新配置。如果RO的域自己沒有經(jīng)歷過RTO過程,該“可用的最新配置”可以是“原始”配置,或者可以是“RT0后”配置。DM的域可建立或加載RO的域。在DO的域經(jīng)歷至少一個RTO過程前,DO的域可處于“原始”狀態(tài),并且可不由任意特定的DO認(rèn)領(lǐng)或所有?!霸肌庇蚩砂ā翱蚣堋?。第一次建立或加載RO的TD時,最新配置可來自于預(yù)配置文件??蛇x地,如果最新配置由用于RO的TD的RTO過程引起,在THSM上的特定TD可能已經(jīng)歷了 RTO協(xié)議至少一次,并且RO已獲得了 TDkq的所有權(quán)。這指示在RTO完成時,已在平臺上配置的可信子系統(tǒng)。在達(dá)到該狀態(tài)時,特定RO可開始執(zhí)行其他任務(wù)。如果RO的TD(TDeo)是MNO的TD,則到了這個階段,MNO的TD可提供在該TDkq上實(shí)現(xiàn)的最終可信訂閱身份管理(TSM)功能??商鎿Q地,系統(tǒng)級域管理器(SDM)可在DM的TD而不是DO的TD中實(shí)現(xiàn)。在向DM的TD提供適當(dāng)?shù)氖跈?quán)數(shù)據(jù)后,DO可使用由DM的TD提供的SDM執(zhí)行創(chuàng)建、加載和其他管理在THSM上各種遠(yuǎn)程所有者TD的任務(wù)。THSM系統(tǒng)引導(dǎo)序列和該例的RTO過程序列的細(xì)節(jié)可不同于在此描述的,但在本申請的范圍內(nèi)。用于該例的引導(dǎo)和RTO過程,以及DO或DO的TD可如何使用由DM的TD提供的SDM的描述,例如哪類授權(quán)數(shù)據(jù)可被提供(和它可被如何提供)可類似于在此描述的。例如,實(shí)現(xiàn)為智能卡的THSM可包括卡管理者,具有支持由諸如全球平臺這樣的標(biāo)準(zhǔn)指定的卡管理器功能的功能,其負(fù)責(zé)代表卡發(fā)行者管理在卡上的安全域??òl(fā)行者可類似于DM,并且可卡管理器可包括SDM功能的一些。因此,卡管理器可類似于在DM的域中保持的SDM。 在第一實(shí)施例中,ME可被配置為提供安全引導(dǎo)能力,并且THSM可被配置為提供全MTM能力。在上電時,ME可安全地引導(dǎo)。例如,ME可執(zhí)行非TCG “安全”引導(dǎo),例如根據(jù)開放式移動終端平臺(OMTP)可信執(zhí)行環(huán)境TRO規(guī)范。在引導(dǎo)時,THSM可例如通過引導(dǎo)第一次建立THSM DM的域(TDdm),然后建立“原始” THSM DO的域(TDdq)。如果DO和DU是分離的,THSM還可建立THSM DU的域。THSM TDdm可初始地使用保護(hù)在THSM中的預(yù)配置文件來建立,并在引導(dǎo)時變得可用。THSM TDim可大部分使用預(yù)配置文件來建立,但是還可使用RTO過程來建立。THSM TDm可經(jīng)歷RTO協(xié)議。該協(xié)議可采用與用于RO的域(TDkq)的RTO協(xié)議相同的形式,或者它可以是不同的協(xié)議。如果THSM TEiw未經(jīng)歷RTO協(xié)議,獲取所有權(quán)所需要的證書被預(yù)配置和預(yù)提供。THSM TEdq可由DO所有。DO可以是真實(shí)的人類用戶或所有者、諸如企業(yè)或其信息技術(shù)(IT)部門這樣的組織、或遠(yuǎn)程網(wǎng)絡(luò)運(yùn)營商(NO)。THSM TDU可使用在THSM TEdo中預(yù)提供的預(yù)配置文件來建立。THSM的RO域可根據(jù)THSM DO的系統(tǒng)級域策略(SDP)首先被建立為“原始”配置。THSM的RO域可與RO經(jīng)歷RTO過程。DO的域的SDM可根據(jù)SDP管理用于RO的域的RTO過程。如果THSM的RO是ΜΝ0,這樣RO的域是MNO的域,這樣的MNO的域還可經(jīng)歷定義以下的協(xié)議:i)如何能將MNO的域注冊到MNO ;ii)如何能將訂閱證書(例如US頂或MCM秘密密鑰Ki和國際移動用戶身份(MSI)等)從MNO的移動網(wǎng)絡(luò)滾降(roll-off)到在THSM上的MNO的域并且在這被提供;和iii)如何將一次下載的訂閱證書、處理或使用這樣的證書的功能或者甚至提供訂閱管理功能的域從一個設(shè)備遷移到另一個設(shè)備。這樣的協(xié)議可分別被稱為i)注冊協(xié)議;ii)證書滾降協(xié)議;和iii)遷移協(xié)議。THSM的RO域在RTO完成后可向RO證明和報告它自己的配置。在第一實(shí)施例中,其中ME的可信建立機(jī)制可受限于執(zhí)行上電時間安全引導(dǎo)過程,ME配置可不是可由ME或THSM進(jìn)一步證明的。可替換地,ME可在它完成安全引導(dǎo)時執(zhí)行自完整性檢查并產(chǎn)生完整性值(IV)。ME可根據(jù)諸如UMTS安全模式特征這樣的安全性模式特征使用空口(OTA)方法來安裝諸如用于機(jī)密性和完整性保護(hù)的引擎這樣的軟件??蛇x地,當(dāng)RO的域的所有權(quán)通過與RO的RTO過程得以獲取時,RO可下載或相反引入并證明其自己的關(guān)于它可接受的THSM的條件的策略,以便允許RTO過程完成。RO可被配置為當(dāng)RO同意整個THSM的條件、THSM其他域的建立結(jié)構(gòu)的條件或兩者時,在THSM平臺上為它自己“把關(guān)(gate-ke印)”安裝域。因此,作為RTO過程的一部分,RO可與DO的域的SDM交換一些信息以識別DO的條件或“域建立計(jì)劃”,并僅在這樣的條件對RO是可接受的時才允許RTO過程完成。RO域還可具有權(quán)限并可被配置為執(zhí)行功能來執(zhí)行這樣的權(quán)限,以允許在它已初始地同意在THSM上建立它的RTO完成RO的域后可更新或通知它在THSM條件或域建立計(jì)劃方面的任意改變。RO的域特定策略(DP)可指定需要通知RO的域的變化類型。SDM可為與預(yù)定RO相關(guān)聯(lián)的RO域發(fā)起RTO過程。這可在RO的域處于“原始”、“未認(rèn)領(lǐng)”狀態(tài)時發(fā)生。例如,RO的域可由DO的域和DO命名為“域X” (TDx)0該域可在還未認(rèn)領(lǐng)框架或“原始”條件下得以創(chuàng)建。在這樣的情況下,SDM可代表域TDx發(fā)起RTO過程,從而它聯(lián)系預(yù)定的R0。一旦該RO經(jīng)歷了用于該域的RTO過程,SDM可不再為該相同的域發(fā)起另一個RTO過程。替代地,RO自身可在該特定的域上發(fā)起另一種類型的獲取所有權(quán)過程。這樣的獲取所有權(quán)過程可不同于迄今指定的RTO過程,前者不由設(shè)備所有者/用戶或設(shè)備本身本地地發(fā)起,而由遠(yuǎn)程所有者遠(yuǎn)程地發(fā)起(可能在SDM或DO的域的協(xié)作下)。DO可保持刪除、銷毀或斷開連接任意RO域的權(quán)利,甚至在RO的域已經(jīng)歷了 RTO過程并因此由適當(dāng)?shù)腞O “認(rèn)領(lǐng)”或“所有”后。然而,總的來說,DO可能不能獲知存儲在RO的域中的秘密,或者獲知在RO的域中執(zhí)行的臨時計(jì)算或功能。在SDM為原始RO的域發(fā)起RTO過程前,它可查找用于域建立的可用資源列表。該列表可由DM的域保持。SDM還可查找“期望域”列表。期望域列表可保持在DO的域TDdq中。SDM還可查找系統(tǒng)域策略(SDP)和THSM和平臺的已有域的當(dāng)前狀態(tài)(包括可信狀態(tài)),這可用于來自DM的域的查詢。該信息可被用來決定用于特定RO的域的期望RTO在可用資源和策略下是否可能,在期望的域列表下是否期望,并且在THSM的已有域的狀態(tài)(例如可信狀態(tài))下是否允許。可替換地,遠(yuǎn)程所有者的域(TDkq)可開始和管理在其自身上的RTO過程。在RTO過程前,TDkq可以是未認(rèn)領(lǐng)的并且處于“原始”條件?!霸肌盧O的域TDkq可包括使它在引導(dǎo)后就能聯(lián)系其預(yù)定RO并自主地開始RTO過程的預(yù)配置功能??蛇x地,RTO過程可在獲得TDeo提示THSM的所有者或用戶并然后從THSM的所有者或用戶獲得“點(diǎn)頭”以發(fā)起RTO過程后開始。創(chuàng)建并且由(目標(biāo))遠(yuǎn)程所有者R0_目標(biāo)期望所有、但還未通過RTO過程所有、仍然處于“原始”狀態(tài)的域TD此后被稱為TDkj目標(biāo)。在另一個可選方案中,TDkq可能已使用特定的RO經(jīng)歷了至少一個RTO過程,并且它當(dāng)前可由RO “認(rèn)領(lǐng)”或“所有”。是否允許該DO或它在THSM上的代理(例如域TDdq)為相同的RO的域開始另一個RTO過程可取決于RO的策略和/或SDM的策略。SDM可檢查RTO的目的,并可基于在它策略結(jié)構(gòu)中的可允許的目的或活動決定是否允許這樣的新RTO繼續(xù)進(jìn)行。通過遠(yuǎn)程信令,該RO或RO的域(TDkq)可使用相同的RO為該域發(fā)起另一個RTO過程。這可在RO需要更新配置文件、安全策略或可執(zhí)行代碼時在TDro中發(fā)生。RO可下載更新。更新可通過非RT0、通過空中(OTA)更新過程來完成。然而,在一些情況下,RO或TDlffl可使用另一個RTO過程來更新一些文件或代碼。
當(dāng)“原始”TDkq為它自己發(fā)起RTO過程時,它可能需要取決于SDM查找可由DM的域保持的、用于域建立的可用資源列表。TDlffl還可依賴SDM來查找可保持在DO的域中的“期望域”列表、系統(tǒng)域策略(SDP)和包括可信狀態(tài)的THSM的已有域的當(dāng)前狀態(tài),這可用于來自DM的域的查詢。該信息可被用來決定用于特定RO的域的期望RTO在可用資源和策略下是否可能,在期望的域列表下是否期望,并且在THSM的已有域的狀態(tài)或可信狀態(tài)下是否允許OSDM策略可在用于DO的獲取所有權(quán)(TO)過程期間配置。該過程可通過在引導(dǎo)過程期間執(zhí)行的預(yù)存在配置結(jié)構(gòu)本地地發(fā)生。DO TO還可遠(yuǎn)程地發(fā)生;如在此說明那樣,除了用于阻止或允許RTO的SDM檢測不能在用于DO的域的TO過程的情況下調(diào)用之外,該過程可類似于旨在使用不是設(shè)備所有者域的域的獲取所有權(quán)的RTO過程,不像在用于非設(shè)備所有者遠(yuǎn)程所有者的RTO情況。SDP可在可本地執(zhí)行(D0物理存在并與設(shè)備交互)或以涉及與遠(yuǎn)程設(shè)置的設(shè)備所有者的交互的方式的DO獲取所有權(quán)過程期間來建立。SDP的成員是對所有非DO域通用的可允許活動或目的的列表。該列表還可包括指定不允許獲取域的所有權(quán)的遠(yuǎn)程所有者的附加條目。在第二實(shí)施例中,ME可具有安全引導(dǎo)能力和可取決于THSM執(zhí)行一些其引導(dǎo)代碼的一些“安全引導(dǎo)”檢查。ME可執(zhí)行非TCG安全引導(dǎo),如OMTP TRO安全引導(dǎo)。THSM可被用來檢查ME的完整性,以便“利用”提供給該THSM的物理保護(hù)。例如,ME可向THSM發(fā)送原始數(shù)據(jù),并且THSM可檢查ME的完整性。出于THSM為ME做完整性檢查的目的,WTRU可實(shí)現(xiàn)機(jī)制以提供ME和THSM之間的安全信道、能至少被信任以安全方式向THSM發(fā)送代碼或數(shù)據(jù)并例如通過安全信道與THSM安全通信的ME的“一些可信賴”部分。THSM還可代表ME將一些ME的代碼存儲在其中。這些代碼可在引導(dǎo)過程期間被加載到ME中。THSM可起執(zhí)行ME完整性檢查或存儲和加載用于ME的一些代碼的作用,因?yàn)樵谒陨砗蚆E之間,THSM由于基于硬件的保護(hù)機(jī)制可能是更可信賴的環(huán)境。在第三實(shí)施例中,THSM可為ME的代碼執(zhí)行一些安全引導(dǎo)或完整性檢查。這對RO可能是可證明的。ME可包括單一的可信實(shí)體、移動可信環(huán)境(MTE)。MTE可以是在ME內(nèi)比ME的剩余部分更可信的邏輯獨(dú)立的環(huán)境。MTE可采用諸如基于硬件的可信根(RoT)這樣的基于硬件的保護(hù)機(jī)制。在加載ME的基本代碼后,MTE可被加載。MTE在它可向外部驗(yàn)證者提供可信證據(jù)(例如使用可信的簽名密鑰)的角度上來看可以是可信的實(shí)體。雖然MTE是可信實(shí)體,但它可能不處理是與真實(shí)TPM相關(guān)聯(lián)的測量程序代碼的測量核心可信根。由于作為上電設(shè)備,ME提供在其上THSM可操作的“平臺”,ME在此可被稱為ME平臺。MTE可被配置為收集ME平臺的完整性證據(jù),并將在通過使用保護(hù)在MTE中的簽名密鑰提供的至少完整性保護(hù)下的證據(jù)轉(zhuǎn)發(fā)給在THSM中的可信實(shí)體,例如引導(dǎo)后SDM。由于THSM完成TCG TPM或類似MTM的完整性測量和驗(yàn)證功能,THSM還可完成TCGTPM或MTM的能力以執(zhí)行“擴(kuò)展”操作,從而當(dāng)前軟件的測量與指示軟件歷史加載狀態(tài)的平臺配置寄存器(PCR)的當(dāng)前值合并以計(jì)算PCR的新值。THSM還實(shí)現(xiàn)機(jī)制以將摘要值(其可能是軟件組件的完整性原始測量值)或PCR的值轉(zhuǎn)換為可被用來向THSM證明ME平臺的可信度的另一個完整性數(shù)據(jù)。為了簡單起見,此后ME平臺完整性的收集數(shù)據(jù)可表示為ME平臺完整性數(shù)據(jù)(MPID)。THSM可以不為ME或MTE維護(hù)域。THSM可以能夠從預(yù)配置文件或通過與DM的實(shí)時聯(lián)系獲取相對其它檢查計(jì)算的摘要的證明度量。如果確定匹配,可推斷ME的證明。MTE還可以能夠收集描述ME的“環(huán)境”的數(shù)據(jù),例如模型號碼、它希望為誰以及執(zhí)行哪種類型的服務(wù)。為了簡單起見,ME的這樣的環(huán)境描述此后可被表示為ME平臺環(huán)境概述(MPES)。THSM DO的RO可證明其自身的域和ME平臺兩者的完整性。該證明可類似于在M2M環(huán)境中的可信環(huán)境(TRE)的M2ME有效功能,如在PCT專利申請WO 2009/092115 (PCT/US2009/031603)中說明那樣。ME可基于它自己或基于來自THSM的請求連續(xù)地向THSM報告它的變化的狀態(tài)。在第四實(shí)施例中,ME和THSM兩者可被配置為執(zhí)行全MTM功能。ME或其域的可信性可由ME或這些域直接地證明。ME的RO域可以在持續(xù)或根據(jù)請求的基礎(chǔ)上向RO報告它的狀態(tài)。THSM的RO域可類似地起作用。由ME的RO域和THSM的RO域的報告可以是同步的,還可以互相綁定。這些報告還可使用協(xié)議流的通用會話來做出。在該實(shí)施例中,ME可被配置為如在此描述的THSM的若干功能。ME可包括它自己的一個或多個域,每一個與特定的所有者相關(guān)。如同THSM這些域可包括可信實(shí)體的屬性。這樣的域可包括設(shè)備制造商(DM)域和用戶(U)域。這些域可以類似于THSM的方式來預(yù)配置。為了區(qū)分在ME上的域和在THSM上的那些域,可用指明域自身的字母作為ME的下標(biāo)。因此用于DM的域可表示為MEdm。在THSM上的設(shè)備所有者(DO)域可監(jiān)測在ME側(cè)上的域以確保符合駐留在SDM中的系統(tǒng)級域策略(SDP)。通過在ME中創(chuàng)建每個域,與SDM的通信可使THSM DO獲知每個新的域配置。ME可包括可以類似于在THSM中的SDM的方式起作用的域管理器,其可被稱為平臺域管理器(MEpdm)。MEpdm可駐留在MEdm中,并且初始地可具有由DM定義的預(yù)配置。初始配置在目的和功能方面可類似于在THSM上的TDdm的初始預(yù)配置定義。MEdm安裝可被安排在TDm在THSM中實(shí)例化后發(fā)生。當(dāng)通知SDM MEdm安裝完成,取決于系統(tǒng)級限制,它可施加源于或反映SDP的策略限制。SDM可維護(hù)在THSM上若干遠(yuǎn)程所有者和它們的域的列表。如果將在屬于在該列表中所有者其中之一的ME上創(chuàng)建和管理域,則SDM可具有對在ME上這些域的創(chuàng)建和管理的某些控制。在該實(shí)施例中,ME可具有全MTM功能。因此它可包括測量核心可信根(CRTM)、報告核心可信根(CRTR)和存儲核心可信根(CRTS)。在THSM上,域訂閱功能可由TSM功能管理。如果兩個域(例如一個在THSM中另一個在ME上)用于相同的R0,在THSM上域可被用于需要非常高級的安全和/或信任的RO的功能或服務(wù),例如訂閱功能及其用于遠(yuǎn)程所有者的管理,而在ME上的域可被用于可能仍然需要特定等級的安全或信任的相同RO的功能和服務(wù),但不用于從THSM上的域期望的功能和服務(wù)所需的相同等級。不是根據(jù)預(yù)配置文件建立的域可通過遠(yuǎn)程獲取所有權(quán)(RTO)過程來配置。用于ME、用于典型的遠(yuǎn)程所有者(RO)的RTO可類似于用于THSM的那些。在ME上的域可不旨在被用于遠(yuǎn)程所有者的訂閱管理。替代地,它們可旨在被用來為用戶、所有者、遠(yuǎn)程所有者或其任意組合的利益執(zhí)行計(jì)算和資源集中任務(wù)。例如,這些域可執(zhí)行對在THSM上相當(dāng)有限的資源來說不可行的任務(wù)。替代一旦創(chuàng)建就保持在ME中直到顯式地刪除,在這些域可類似于虛擬化地在引導(dǎo)或甚至在運(yùn)行的會話上并可在臨時、基于會話的基礎(chǔ)上被用于它們特定的目的的意義上,在ME上的域還可更“短暫”或“臨時”。在ME上的域的遠(yuǎn)程所有者在請求和獲得資源分配或在由其他遠(yuǎn)程所有者所有的ME上的其他域或在THSM上這樣的其他域的其目的的證明概述方面可以不具有相同級別的特權(quán)。為移動可信平臺的設(shè)備所有者提供一種方法來購買未由特定PLMN (也被稱為MNO遠(yuǎn)程所有者)預(yù)分配和初始化的“空白”WTRU以允許無限制地移動網(wǎng)絡(luò)運(yùn)營商的任意選擇是有益的。該方法可包括執(zhí)行諸如UMTS設(shè)備(UE)這樣的WTRU的諸如RTO過程這樣的獲取所有權(quán)過程,其中遠(yuǎn)程所有者是期望訂閱其應(yīng)用的PLMN運(yùn)營商或其他類似的運(yùn)營商,并且建立、定制和完成諸如是在THSM內(nèi)部的域并且可由正確的RO認(rèn)領(lǐng)的RO的域這樣的子系統(tǒng)。如前所述,可信硬件訂閱模塊(THSM)可被建立為或在它內(nèi)包括防篡改硬件組件模塊,其包括用于PLMN運(yùn)營商的訂閱應(yīng)用和其他增值服務(wù)的功能,例如IMS訂閱身份模塊(ISIM)0 THSM可以是從WTRU可移除的或不可移除的。符合全球平臺標(biāo)準(zhǔn)的WCC或智能卡的增強(qiáng)版本可以是這樣的THSM的一個實(shí)施例。獲取所有權(quán)操作建立運(yùn)營商或PLMN和WTRU之間的基本“可信”關(guān)系。該過程可使用一般“可信”軟件配置來安裝和實(shí)例包括“原始”引擎的“空白可信”TSIM。如果該平臺能夠提供它的“原始”配置和安全屬性的證據(jù),該子系統(tǒng)可由遠(yuǎn)程所有者“證明”。圖3和3A圖示了如特別地與在此描述的第一實(shí)施例有關(guān)的該過程的示例。遠(yuǎn)程所有者可以是提供用戶請求的服務(wù)、建立適當(dāng)安全策略和執(zhí)行符合該服務(wù)的設(shè)備配置的移動網(wǎng)絡(luò)。該協(xié)議的所有者可以是本地的。圖3和3A圖示了示例引導(dǎo)和RTO過程。ME可具有預(yù)引導(dǎo)狀態(tài)304。設(shè)備在306處可被上電。在308處,ME可執(zhí)行“安全”引導(dǎo)(非TCG)。ME可達(dá)到基本代碼引導(dǎo)狀態(tài)310。另外,在312處,ME可向THSM發(fā)送“基本引導(dǎo)完成”信號。在314處,ME可根據(jù)基礎(chǔ)配置加載附加的軟件。在316處,ME引導(dǎo)可以是完成(應(yīng)用加載)狀態(tài)。在318處,ME可向RHSM發(fā)送引導(dǎo)完成消息。THSM可處于預(yù)引導(dǎo)狀態(tài)330。在334處,THSM可加載TEDM。THSM可在配置期間接收預(yù)配置的文件,336圖示了預(yù)配置文件的使用。在338處,THSM可達(dá)到“TDdm建立”狀態(tài)(基本配置狀態(tài))。例如,如在340處所示,THSM可接收關(guān)于RO域的可用資源的DM的說明。在342處,TDdm可建立TDdq (TDdq可包括SDM)。在344處,THSM可使用保存的配置文件來例如建立域(由于以前的RTO可以是可用的)。在346處,THSM可達(dá)到TDdq建立狀態(tài)(包括SDM),其中TDdq可以是未認(rèn)領(lǐng)的或者可被DO認(rèn)領(lǐng)。在350處,TDdq可建立TDu。在352處,輸入可從DO得以接收。在354處,THSM可達(dá)到TDu建立狀態(tài),其中TDu可以是未認(rèn)領(lǐng)或經(jīng)認(rèn)領(lǐng)的。在356處,THSM可從DO或DU接收輸入(例如通過文件或交互指定DO可能想建立哪些域)。在358處,TDim可建立RO域TDkq?,F(xiàn)在參考圖3A,在362處,THSM可達(dá)到TDkq建立的狀態(tài),其中TDkq可以是未認(rèn)領(lǐng)的或已由RO認(rèn)領(lǐng)。在366處,SDM可請求TDkq執(zhí)行RT0,或者TDkq可通知(或請求)SDM它將執(zhí)行RTO。在370處,TDeo可開始RTO過程。在380處,有代表性的遠(yuǎn)程所有者(RO1...ROn)。在384處,信息可得以交換。例如,作為與遠(yuǎn)程所有者的RTO過程的一部分,交換的信息可包括以下的一個或多個:證明、配置、策略、目的、證書(在此被稱為CERT)、密鑰和到TDkq的SP0可選地,RO可在RTO過程期間找出DO的‘環(huán)境’或‘域計(jì)劃’,并且如果它同意該環(huán)境/計(jì)劃,可允許該過程繼續(xù)。在372處,THSM可為各個域捕獲/更新系統(tǒng)配置、保存該信息并將該信息存儲在THSM中的非易失受保護(hù)存儲器中。在374處,THSM可達(dá)到RTO后TDkq的狀態(tài)。參考第一實(shí)施例,由DO的RTO形成的策略域可包括影響后續(xù)RTO過程域配置的約定。RTO協(xié)議可適用于非DO R0。域特定策略(DP)可在RTO執(zhí)行期間得以下載。用于DO的DP可不同于用于RO的DP,即這樣的DP (DPdq)可包括旨在用來建立和維護(hù)在THSM中可遠(yuǎn)程所有的其它域的系統(tǒng)級域策略(SDP)。在RTO過程之前或期間,域的RO可從可信第三方(TTP)獲取用于支持THSM所有域的所有或子集的硬件或軟件的配置和當(dāng)前完整性狀態(tài)的參考完整性度量(RMlffl),并且可被表達(dá)為:TTP — ROiRIMeo= {支持THSM域的HW/SW的配置和狀態(tài),和/或摘要值}。等式I在一些情況下,TTP可以能夠?yàn)镽O對驗(yàn)證其感興趣的、THSM的HW和SW子集(包括域)提供RIMK()??赡苄枰嘤谝粋€的TTP來提供RIMlffl, RO收集它們并形成集合參考度量。正在經(jīng)歷RTO過程的THSM的目標(biāo)域(TDkj目肖)可被配置為在THSM的SDM的幫助下向它的RO提供經(jīng)簽名的THSM平臺完整性證明(ΤΡΙΑ)。TPIA可以是在THSM上域的各個完整性證明的串聯(lián)和/或在目標(biāo)域的RO允許域TDkq目肖的RTO過程完成前對驗(yàn)證其感興趣的設(shè)備的平臺完整性證明。THSM的目標(biāo)域(TDkq目標(biāo))在THSM的SDM的幫助下可以能夠向它的RO提供經(jīng)簽名的THSM平臺環(huán)境概要(TPES)。TPES可包括THSM環(huán)境的概要,包括在THSM上其它域的數(shù)目和特征以及為了 TEro _利益而被使用的任意剩余的可用資源,例如THSM平臺的資源,并且可表達(dá)為:TDeo 目標(biāo)—R0: [ΤΡΙΑ]簽名的 | | [TPES]簽名的。等式2可替換地,替代向RO報告可包括感興趣的所有域間的所有證明的TPIA,SDM可提供可以是半自主的聲明的、它已檢查了所有這樣的域的完整性并認(rèn)為它們是可信的的經(jīng)簽名的聲明。該證明可包括域集合完整性的本地驗(yàn)證。本地驗(yàn)證者可包括在THSM上每個域的有效配置列表。SDM可向該本地驗(yàn)證者提供可通過AIK簽名的ΤΡΙΑ。各個完整性證明的驗(yàn)證可要求它們與在配置列表中相應(yīng)的本地存儲的條目匹配。SDM可執(zhí)行完整性測量、登錄和擴(kuò)展至構(gòu)建TPIA必須的PCR,并證明每個域的可信性。這些測量及它們的擴(kuò)展可由驗(yàn)證者用來建立用于請求域的證明已發(fā)生。一旦完成驗(yàn)證,本地驗(yàn)證者可準(zhǔn)備相關(guān)證明已發(fā)生的聲明,并使用來自經(jīng)證明的密鑰對(K簽名―驗(yàn)證—_,K簽)的私人密鑰簽名該聲明。包括與經(jīng)簽名的TPES串聯(lián)的、經(jīng)簽名的驗(yàn)證聲明的消息可被表達(dá)為:TDRq—目標(biāo)—R0:[驗(yàn)證尸明]κ簽名—驗(yàn)證jrivl I [TPES]簽名的。等式3在從TTP接收到并從TDkq目標(biāo)接收到經(jīng)簽名的TPIA和經(jīng)簽名的TPES后,RO可驗(yàn)證TDm目肖是否在RO找到同意繼續(xù)RTO過程的目的,并且支持TDm目肖的硬件或軟件以及RO感興趣的任意其它域處于其完整性對RO來說是同意的的環(huán)境中,例如在THSM中的環(huán)境。用于原始域的RTO協(xié)議可在上電時開始??蛇x地,RTO協(xié)議可在上電后開始。當(dāng)THSM的安全引導(dǎo)完成,結(jié)果的域建立可由配置文件來確定,配置文件的內(nèi)容反映了初始的(例如第一次上電時)平臺狀態(tài)或當(dāng)設(shè)備以前被引導(dǎo)然后斷電時平臺以前的狀態(tài)。因此設(shè)備可能處于包括TDdm建立、“原始”TDdq和“原始”TEu狀態(tài)的基礎(chǔ)配置??蛇x地,WTRU可處于隨后的配置,例如基于以前引導(dǎo)和域建立或RTO過程、包括TDdm、“RT0后” TDdq和“RT0后” TEu狀態(tài)的配置。在另一個可替換方案中,WTRU可處于還包括擴(kuò)展的附加域組的配置中,例如在圖2中所示的那些附加域。這樣的域可在以前的上電會話期間已得以創(chuàng)建,并且所有權(quán)可已由各個所有者通過在以前會話期間發(fā)生的以前運(yùn)行的RTO過程獲得。參考第一實(shí)施例,作為平臺的安全和可信實(shí)體,THSM可控制獲取所有權(quán)協(xié)議并確定ME是否處于初始可信狀態(tài)。預(yù)提供的密鑰Ktemp可被用來保護(hù)通過THSM-ME接口發(fā)送的消息的機(jī)密性。為了簡單起見,經(jīng)加密的消息A可由{A}表示,消息的簽名可由[A]表示,并且符號IDme和IDthsm分別代表ME和THSM預(yù)提供的臨時ID。RTO開始可包括TDm的SDM為旨在在與那個特定的RO的RTO過程后由RO認(rèn)領(lǐng)的“未認(rèn)領(lǐng)”、“原始”的域發(fā)起RT0。用戶可發(fā)起ME平臺的上電。在上電時,ME可執(zhí)行在其中它變?yōu)椤盎顒拥摹钡幕敬a的“非TCG”“安全引導(dǎo)”,例如由OMTP定義的引導(dǎo)。作為非TCG安全引導(dǎo)過程的一部分,ME基本代碼的完整性可自主地得以檢查。參考第三實(shí)施例,移動可信環(huán)境(MTE)可在基本代碼引導(dǎo)過程完成后被加載。通過使用經(jīng)簽名的密鑰,MTE可證明ME平臺配置的完整性。在加載基本代碼后,ME可周期性地向THSM發(fā)送信號,指示它已被弓丨導(dǎo)到最小安全設(shè)置。由于THSM的DO的域在發(fā)送該信號時可能還未被引導(dǎo),ME可發(fā)送具有不同隨機(jī)臨時數(shù)(nonce_l)的相同信號,直到它接收到從THSM的DO的域返回的確認(rèn)信號。該信號可被表達(dá)為:Def)報文_1= “ME基本代碼引導(dǎo)完成” MSGI |臨時數(shù)_1 IDmeME — THSM 的 TDdo:報文 _11 | [SHA-X (報文 _1) ]Ktemp等式4參考第三實(shí)施例,信令可被表達(dá)為:Def)報文_1= “ME基本代碼引導(dǎo)完成以及MTE 加載” MSG | | 臨時數(shù) _11 | IDmeME — THSM 的 TDdo:報文 _11 | [SHA-X (報文 _1) ]Ktemp等式5THSM可“安全地”引導(dǎo),使得THSM可已加載了它的DM的域、“原始的” DO的域、用戶的域和RO想所有但可能還未所有的至少一個“原始的”域。同樣地,在加載這些域時,域代碼狀態(tài)的每一個的完整性可參照每一個域的參考完整性度量(RM)得以檢查。該檢查可根據(jù)諸如TCG MPWG規(guī)范這樣的規(guī)范來執(zhí)行。設(shè)備所有者的域(TDm)可被加載到“預(yù)配置”的配置,或者如果它以前已經(jīng)歷了用于該DO的RTO過程,則加載至“最后保存(前RTO后)”的配置。當(dāng)加載時,DO的域可包括系統(tǒng)級域管理器(SDM)。SDM可監(jiān)視屬于其它遠(yuǎn)程所有者(RO)的域的建立或加載以及維護(hù)。SDM可查找來自DM的域的“可用于域的資源列表”,并且還可查找TDiw保護(hù)的系統(tǒng)級域策略(SDP)0在引導(dǎo)時,SDM還可向THSM的人類用戶或人類所有者(DO)提示“可被建立的域的列表”,并請求輸入以選擇將建立的域。在從用戶或所有者得到輸入后,SDM可繼續(xù)以僅建立在來自人類所有者或用戶的響應(yīng)中指定的那些域。SDM可與為這些事物提供用戶接口( UI)的ME交互。在安全引導(dǎo)后,THSM的TDm可向ME發(fā)送“THSM引導(dǎo)完成”消息。在該消息內(nèi),TDdq還可包括域當(dāng)前狀態(tài)的外部可揭示(externally disclose-able)概要,例如加載的RO的域的數(shù)目和名稱。TDiw的SDM可確定和執(zhí)行域當(dāng)前狀態(tài)的概要的外部揭示的程度,并且這樣的確定可基于在THSM和/或ME上的SDP和/或這些域的域特定策略(DP)。TDdq可通過包括作為SHA-X完整性檢查代碼輸入的一部分的、接收的臨時數(shù)_1來確認(rèn)在該消息中報文_1的接收,其可被表達(dá)為:Def)報文 _2= “THSM 引導(dǎo)完成”MSG | | 臨時數(shù) _2 | | IDthsmTDdo — ME:報文 _2 | | [SHA-X(報文 _11 | 臨時數(shù) _1) ]Ktemp—工等式6諸如IDthsm這樣的THSM的ID可被保存在DM的域TDdm中,并且可等同于TDdm的ID。DO的域TDim可從TDdm獲取它以構(gòu)造等式6中的報文_2。響應(yīng)于“THSM引導(dǎo)完成”信號,ME可繼續(xù)完成其引導(dǎo)過程。在完成其引導(dǎo)過程后,ME可向THSM的TDiw發(fā)送可被表達(dá)為下式的消息:Def)報文_3= “ME引導(dǎo)完成” I I臨時數(shù)_3ME — TDdo:報文 _3 | | [SHA-X (報文 _3 | | 臨時數(shù) _2) ] KtempJ等式7以下內(nèi)容應(yīng)用于DO的域的SDM發(fā)起和監(jiān)視用于當(dāng)前“原始”RO的域的RTO過程的情況。在TDm從ME接收到報文_2之后,RTO過程可被發(fā)起。在TDm內(nèi)的系統(tǒng)級域管理器(SDM)可通過請求“原始”目標(biāo)RO的域(TD*K()目;g)開始RTO過程來發(fā)起RTO過程。SDM可自主地或在由人類所有者或用戶提示時發(fā)起該過程。SDM可向TD*ro發(fā)送請求以開始用于該目標(biāo)RO的RTO過程。該請求可包括誰是目標(biāo)RO (例如RO的ID或網(wǎng)絡(luò)接入標(biāo)識符(NAI))和當(dāng)前請求的有效時間。無論是作為該請求的一部分還是作為域該請求一起發(fā)送的單獨(dú)報文(package),SDM還可發(fā)送“允許的RO的域的SDP的條件”(此后稱為SCARD)的列表。SDM還可在希望的RTO過程后當(dāng)它完成時發(fā)送用于TDro的“目標(biāo)域計(jì)劃”。該消息可被表達(dá)為:Def)報文 _4a=請求_to_開始_RT01 I SCARD | |目標(biāo)域計(jì)劃| |臨時數(shù)_4SDM — TD*K?!繕?biāo):報文 _4a| | [SHA-X (報文 _4a) ]κ簽名—SDM。等式8響應(yīng)于接收到報文_4,TD*eo目肖可接受或拒絕該請求。該請求可被解釋為允許RO獲取RO的域的所有權(quán)的“意向”。TD*eo目標(biāo)可基于預(yù)配置標(biāo)準(zhǔn)或已加載的它自己的RO的域策略的“原始”版本來做出決定。TD*ro 可被配置為無實(shí)際目標(biāo)遠(yuǎn)程所有者參與并為其利益地檢查請求_to_開始_RT0、SCARD以及目標(biāo)_域_計(jì)劃,并做出這樣的決定。這可被表達(dá)為:Def)報文 _5a=0K (或不 _0K) _to_ 開始 _RT01 | 臨時數(shù) _5a`_] TDV目標(biāo)一SDM:報文 _5a| | [SHA-X (報文 _5a) | | 臨時數(shù) _4]κ簽名―TD_—目標(biāo)等式9“原始”目標(biāo)RO的域(TD*kq目標(biāo))可發(fā)起該過程。TD*kq目標(biāo)可提醒SDM它的用于RTO過程的“最終域計(jì)劃”。SDM可準(zhǔn)許或拒絕該請求。如果SDM準(zhǔn)許該請求,TD*K(^g夠開始RTO過程,這可被表達(dá)為:Def)報文_5b=意圖_to_開始_RT01 |最終域計(jì)劃| |臨時數(shù)臨時數(shù)_5b
權(quán)利要求
1.一種在包括一個或多個設(shè)備的系統(tǒng)中的方法,每個設(shè)備包括一個或多個域,每個域包括在所述一個或多個設(shè)備上執(zhí)行的計(jì)算資源的配置,并且每個域被配置成能夠?yàn)楸镜匚挥诨蜻h(yuǎn)離所述域的域所有者執(zhí)行功能,其中每個域能夠具有不同的所有者,并且其中至少一個域由所述一個或多個設(shè)備的用戶所有,并且其中至少一個其他域由遠(yuǎn)程所有者所有,所述方法包括: 接收指示遷移已被請求的消息,其中第一域和與所述第一域相關(guān)聯(lián)的證書中的至少一者從源設(shè)備被遷移到目的地設(shè)備; 評估從所述源設(shè)備接收的源信息和從所述目的地設(shè)備接收的目的地信息; 基于所述評估確定所述遷移可接受;以及 發(fā)送指示以繼續(xù)進(jìn)行所述遷移。
2.根據(jù)權(quán)利要求1所述的方法,其中: 所述源信息包括以下的至少一者:源策略、源配置、源標(biāo)識和源完整性指示符;而所述目的地信息包括以下的至少一者:目的地策略、目的地配置、目的地標(biāo)識和目的地完整性指不符。
3.根據(jù)權(quán)利要求1所述的方法,該方法進(jìn)一步包括: 評估遠(yuǎn)程所有者策略;以及 基于所述遠(yuǎn)程所有者策略確定所述遷移可接受。
4.根據(jù)權(quán)利要求1所述的方法,其中所述源信息指示源系統(tǒng)級域管理器已批準(zhǔn)所述遷移。
5.根據(jù)權(quán)利要求4所述的方法,其中所述源信息進(jìn)一步指示所述遷移未違反與所述第一域相關(guān)聯(lián)的第一策略和與所述源設(shè)備的第二域相關(guān)聯(lián)的第二策略,其中所述第一域由第一遠(yuǎn)程所有者所有,而所述第二域由第二遠(yuǎn)程所有者所有。
6.根據(jù)權(quán)利要求1所述的方法,該方法進(jìn)一步包括: 接收指示所述遷移已得以完成以及所述源設(shè)備是否銷毀了所述證書的源完成消息;以及 接收指示所述遷移已得以完成的目的地完成消息,其中所述第一域和所述證書中的至少一者在所述目的地設(shè)備的域上得以復(fù)制。
7.根據(jù)權(quán)利要求6所述的方法,其中: 所述源完成消息指示源系統(tǒng)級域管理器已驗(yàn)證所述目的地設(shè)備的狀態(tài);而 所述目的地完成消息指示目的地系統(tǒng)級域管理器已驗(yàn)證所述源設(shè)備的狀態(tài)。
8.根據(jù)權(quán)利要求6所述的方法,其中: 所述源完成消息指示源系統(tǒng)級域管理器已驗(yàn)證所述目的地設(shè)備的完整性;而 所述目的地完成消息指示目的地系統(tǒng)級域管理器已驗(yàn)證所述源設(shè)備的完整性。
9.根據(jù)權(quán)利要求1所述的方法,其中所述消息指示所述遷移由用戶請求。
10.一種系統(tǒng),該系統(tǒng)包括: 一個或多個設(shè)備,每個設(shè)備包括一個或多個域,每個域包括在所述一個或多個設(shè)備上執(zhí)行的計(jì)算資源的配置,并且每個域被配置成能夠?yàn)楸镜匚挥诨蜻h(yuǎn)離所述域的域所有者執(zhí)行功能,其中每個域能夠具有不同的所有者,并且其中至少一個域由所述一個或多個設(shè)備的用戶所有,并且其中至少一個其他域由遠(yuǎn)程所有者所有,并且其中所述一個或多個設(shè)備中的至少一者被配置為: 接收指示遷移已被請求的消息,其中第一域和與所述第一域相關(guān)聯(lián)的證書中的至少一者從源設(shè)備被遷移到目的地設(shè)備; 評估從所述源設(shè)備接收的源信息和從所述目的地設(shè)備接收的目的地信息; 基于所述評估確定所述遷移可接受;以及 發(fā)送指示以繼續(xù)進(jìn)行所述遷移。
11. 根據(jù)權(quán)利要求10所述的方法,其中: 所述源信息包括以下的至少一者:源策略、源配置、源標(biāo)識和源完整性指示符;而所述目的地信息包括以下的至少一者:目的地策略、目的地配置、目的地標(biāo)識和目的地完整性指不符。
12.根據(jù)權(quán)利要求10所述的方法,其中所述一個或多個設(shè)備中的所述至少一者進(jìn)一步被配置為: 評估遠(yuǎn)程所有者策略;以及 基于所述遠(yuǎn)程所有者策略確定所述遷移可接受。
13.根據(jù)權(quán)利要求10所述的方法,其中所述源信息指示源系統(tǒng)級域管理器已批準(zhǔn)所述遷移。
14.根據(jù)權(quán)利要求13所述的方法,其中所述源信息進(jìn)一步指示所述遷移未違反與所述第一域相關(guān)聯(lián)的第一策略和與所述源設(shè)備的第二域相關(guān)聯(lián)的第二策略,其中所述第一域由第一遠(yuǎn)程所有者所有,而所述第二域由第二遠(yuǎn)程所有者所有。
15.根據(jù)權(quán)利要求10所述的方法,其中所述一個或多個設(shè)備中的所述至少一者進(jìn)一步被配置為: 接收指示所述遷移已得以完成并且所述源設(shè)備是否銷毀了所述證書的源完成消息;以及 接收指示所述遷移已得以完成的目的地完成消息,其中所述第一域和所述證書中的至少一者在所述目的地設(shè)備的域上得以復(fù)制。
16.根據(jù)權(quán)利要求15所述的方法,其中: 所述源完成消息指示源系統(tǒng)級域管理器已驗(yàn)證所述目的地設(shè)備的狀態(tài);而 所述目的地完成消息指示目的地系統(tǒng)級域管理器已驗(yàn)證所述源設(shè)備的狀態(tài)。
17.根據(jù)權(quán)利要求15所述的方法,其中: 所述源完成消息指示源系統(tǒng)級域管理器已驗(yàn)證所述目的地設(shè)備的完整性;而 所述目的地完成消息指示目的地系統(tǒng)級域管理器已驗(yàn)證所述源設(shè)備的完整性。
18.根據(jù)權(quán)利要求10所述的方法,其中所述消息指示所述遷移由用戶請求。
全文摘要
公開了允許用戶發(fā)起從一個域到另一個域的證書遷移的系統(tǒng)、方法和手段。發(fā)起從第一域到第二域的證書遷移的請求可由用戶發(fā)起(1a.)。遠(yuǎn)程所有者可接收指示遷移已得以請求的消息。由遠(yuǎn)程所有者接收的消息可以是源和目的地設(shè)備已執(zhí)行內(nèi)部檢查并確定遷移可繼續(xù)進(jìn)行的指示。遠(yuǎn)程所有者可評估從源設(shè)備接收的源信息和從目的地設(shè)備接收的目的地信息(6)、(6a.)、(6b.)?;谠葱畔⒑湍康牡匦畔⒌脑u估,遠(yuǎn)程所有者可確定該遷移是可接受的。遠(yuǎn)程所有者可發(fā)送指示以繼續(xù)進(jìn)行該遷移(7)、(7a.)。
文檔編號H04L29/06GK103081432SQ201180022159
公開日2013年5月1日 申請日期2011年3月2日 優(yōu)先權(quán)日2010年3月2日
發(fā)明者L·古喬內(nèi), I·查, A·施米特, A·萊切爾 申請人:交互數(shù)字專利控股公司