CN102844764B - 启动过程中的阶段性控制释放 - Google Patents

启动过程中的阶段性控制释放 Download PDF

Info

Publication number
CN102844764B
CN102844764B CN201180018789.8A CN201180018789A CN102844764B CN 102844764 B CN102844764 B CN 102844764B CN 201180018789 A CN201180018789 A CN 201180018789A CN 102844764 B CN102844764 B CN 102844764B
Authority
CN
China
Prior art keywords
key
code word
function
equipment
shareholder
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201180018789.8A
Other languages
English (en)
Other versions
CN102844764A (zh
Inventor
I·查
Y·C·沙阿
L·凯斯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
InterDigital Patent Holdings Inc
Original Assignee
InterDigital Patent Holdings Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by InterDigital Patent Holdings Inc filed Critical InterDigital Patent Holdings Inc
Priority to CN201510815678.XA priority Critical patent/CN105468982A/zh
Publication of CN102844764A publication Critical patent/CN102844764A/zh
Application granted granted Critical
Publication of CN102844764B publication Critical patent/CN102844764B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/108Source integrity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/86Secure or tamper-resistant housings
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/042Public Land Mobile systems, e.g. cellular systems
    • H04W84/045Public Land Mobile systems, e.g. cellular systems using private Base Stations, e.g. femto Base Stations, home Node B

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

可以执行网络设备的完整性确认。包括安全硬件模块的网络设备可以接收根密钥。所述安全硬件模块还可以接收第一码字测量。所述安全硬件模块可以基于根密钥和第一码字测量提供第一密钥。所述安全硬件模块可以接收第二码字测量以及基于第一密钥和第二码字测量提供第二密钥。基于码字测量的密钥释放可以提供阶段性的认证。

Description

启动过程中的阶段性控制释放
相关申请的交叉引用
本申请要求于2010年4月12日提交的申请号为61/323,248、2010年6月22日提交的申请号为61/357,474的美国临时专利申请的优先权,这些申请的内容通过引用而被视为在此完全加入。
背景技术
传统的安全方法可以允许对资源释放进行二元决策,例如基于复位之后的成功安全启动的用于认证的单一密钥。如果没有发生复位之后的成功安全启动,则可能会发生问题。
发明内容
公开了一种系统、方法和工具(instrumentality)来执行网络设备的完整性确认(validation)。网络设备可以包括安全存储器。例如,安全存储器可以包含在安全硬件模块中。安全存储器可以接收根密钥。例如,根密钥可以在制造或供应时被安全存储器接收。根密钥可以存储在安全存储器上,并且其对于安全硬件模块之外软件和硬件是不可见的。
所述安全硬件模块可以接收第一码字测量(对第一码字的测量)。例如,处理器(比如与包括安全硬件模块的网络设备相关联的处理器)可以选择码字的第一部分来测量。码字的第一部分可以被存储在与网络设备相关联的存储器上,例如ROM存储器、RAM存储器等等。所述处理器可以测量选择的码字的第一部分,得到第一码字测量。所述处理器可以提供该测量给安全硬件模块。
所述安全硬件模块可以基于根密钥和第一码字测量生成第一密钥。例如,该安全硬件模块可以得到或释放第一密钥。当第一码字测量有效时,生成的第一密钥有效,当第一码字测量无效时,生成的第一密钥无效。例如,该安全硬件模块可以部分基于第一码字测量得到第一密钥。如果第一码字测量无效,则得到的第一密钥也无效。所生成的第一密钥由该安全硬件模块生成以便提供到资源的接入。当码字存储在所述安全存储器上时,可以在没有码字测量的情况下提供到资源的接入。
所述第一密钥可以与和第一功能相关联的信任(trust)的第一阶段相关(例如,一个或多个资源可以与第一功能相关联)。进一步地,第一利益相关方(stakeholder)可以使用该有效的第一密钥来接入该第一功能。如果该第一密钥无效,则所述第一利益相关方不可以接入该第一功能。这就是说,当第一码字测量无效时,所述安全硬件模块可以阻止对第一功能的接入。
所述安全硬件模块可以接收第二码字测量(对第二码字的测量)。该安全硬件模块可以基于第一密钥和第二码字测量生成第二密钥。该第二密钥可以与和第二功能相关联的信任的第二阶段相关(例如,一个或多个资源可以与第二功能相关联)。进一步地,第二利益相关方可以使用有效的第二密钥来接入第二功能。密钥释放可以被限制在最后已知的好的启动阶段(例如,最后已知的具有成功认证的启动阶段)。
资源(比如密钥和基于硬件、码字、和/或数据的完整性测量的功能)的生成和/或释放可以阶段性地提供认证。例如,设备可以包括若干层,每个层有其自己的认证秘密。每个认证秘密可以对应在设备能力(比如制造商固件、可信的执行代码、操作系统和第三方应用)的层中的特殊的利益相关方。进一步例如,有效的第一密钥可以与对第一启动阶段的有效认证相关联。该有效第一密钥可以被设备制造商(例如,第一利益相关方)使用来接入网络设备上的固件,以在该固件上执行修复。有效的第二密钥可以与在随后的启动阶段(例如,中间的启动阶段)期间对一个或多个软件组件的有效认证相关联。该有效的第二密钥可以被设备管理者(例如,第二利益相关方)使用来接入所述软件组件,例如来执行该软件的修复。通过对已成功认证的各阶段提供有效密钥,接入可以被许可,其与最后没有认证失败的阶段相当。
本申请公开的多阶段认证的阶段数目可以变化并且不受限制。进一步地,可以提供多个认证途径。这就是说,在完整性校验的某个阶段,认证可以以不同的方式进行分支(branch)。例如,每个利益相关方可以提供与一个或多个认证阶段相关的一个或多个策略。在每个阶段,认证可以基于利益相关方的策略以不同的方式分支。利益相关方能够在外部管理其策略。
附图说明
从以下描述中可以更详细地理解本发明,下面的描述是以实例结合附图的形式给出的。
图1是示例的长期演进(LTE)无线通信系统图。
图2是示例的LTE无线通信系统框图。
图3示出了具有设备确认和设备认证之间的绑定的示例设备。
图4示出了使用公共可信环境(TrE)认证和完整性校验之间的示例物理绑定。
图5示出了确认和基于预共享秘密的设备认证之间的绑定的示例。
图6示出了确认和基于预共享密钥的认证的示例。
图7示出了由TrE许可条件接入导致的绑定的示例。
图8示出了确认和基于证明的设备认证之间的绑定的示例。
图9示出了确认和基于证明的认证的绑定的示例。
图10示出了由TrE许可条件接入导致的绑定的示例。
图11示出了使用门控(gating)功能的绑定的示例。
图12示出了在示例启动进程相关的多个阶段中进行认证的示例。
图13A示出了可以用来实现公开的系统和方法的实施方式的示例芯片。
图13B示出了可以用来实现公开的系统和方法的实施方式的示例芯片。
图13C示出了可以用来实现公开的系统和方法的实施方式的示例芯片。
图14示出了示例的密钥导出(derivation)功能。
图15示出了示例的密钥导出细节,包括签名机制。
图16示出了示例的多阶段密钥导出细节。
图17示出了示例的启动序列。
图18示出了示例的启动序列流。
图19示出了与多阶段认证相关的示例网络通信。
图20示出了示例的启动和启动后配置过程。
图21示出了可以用来实现公开的系统和方法的实施方式的示例芯片。
图22示出了将完整性校验进程扩展到UE通信的示例。
具体实施方式
附图可能涉及示例的实施方式,其中公开的系统、方法以及工具可以被实现。然而,虽然本发明与示例实施方式一起描述,但是本发明不限于此,以及应该理解的是,可以使用其他的实施方式或者在所描述的实施方式中做些修改和补充,从而不偏离地执行与本发明相同的功能。一些公开的系统和方法可以提供多级安全认证。虽然描述一般参照无线设备和网络,但所公开的系统、方法和工具不仅限于本申请,并且可适用于能够实现所公开的认证的任何适当的设备、网络和/或系统。进一步地,下文公开的多阶段认证可以描述与启动阶段的活动相关的多阶段认证。然而,描述是为了说明,并且所公开的系统、方法和工具不限于启动阶段的实现。多阶段认证,可以广泛适用于在任何适当的多阶段过程中实现。
当在下文中提及时,术语“无线发射/接收单元(WTRU)”包括但不局限于用户设备(UE)、移动站、高级移动站(AMS)、站(STA)、固定或移动用户单元、传呼机、蜂窝电话、个人数字助理(PDA)、计算机、或能在无线环境中运行的任何其它类型的设备。术语WTRU和UE可以互换使用。当在下文中提及时,术语“基站”包括但不局限于节点-B、高级基站(ABS)、站点控制器、接入点(AP)、家庭节点B(HnB)或能在无线环境中运行的任何其它类型的接口设备。术语“WTRU”和“基站”不互斥。
图1是长期演进(LTE)无线通信系统/接入网络100的示例图,其包括演进型通用陆地无线电接入网络(E-UTRAN)105。EUTRAN105可以包括多个E-UTRAN节点B(eNB)120、家庭eNB(HeNB)122和HeNB网关(HeNBGW)132。WTRU110可以与eNB120、HeNB122或与二者都进行通信。eNB120可以使用X2接口与其他eNB之间接口。每个eNB120和HeNBGW132可以通过S1接口与移动性管理实体(MME)/服务网关(S-GW)130对接。HeNB122可以通过S1接口与HeNBGW132接口,通过S1接口与MME/S-GW130对接,或者与二者都对接。虽然图1中只示出了一个WTRU110、一个HeNB和三个eNB120,但很明显的是,无线和有线设备的任何组合可以被包括在该无线通信系统/接入网络100中。
图2是LTE无线通信系统200的示例框图,其包括WTRU110、eNB120以及MME/SGW130。虽然eNB120和MME/S-GW130简单地示出,但很明显的是,HeNB122和HeNBGW132的示例可以包括实质上相似的特征。如图2所示,WTRU110、eNB120和MME/S-GW130可以被配置成支持移动引发的节能模式。
除了在典型的WTRU中可以找到的组件外,WTRU110还可以包括带有可选链接存储器222的处理器216、至少一个收发信机214、可选电池220以及天线218。处理器216可以被配置成执行带宽管理。收发信机214可以与处理器216和天线218通信以促进无线通信的发送和接收。可选电池220可以被用在WTRU110中给收发信机214和处理器216供电。
除了在典型的eNB中可以找到的组件外,eNB120还可以包括带有可选链接存储器215的处理器217、收发信机219以及天线221。处理器217可以被配置成执行带宽管理。收发信机219可以与处理器217和天线221通信以促进无线通信的发送和接收。eNB120可以连接在移动性管理实体/服务网关(MME/S-GW)130上,其可以包括带有可选链接存储器234的处理器233。
图1和2示出的LTE网络只是特殊的通信网络的一个例子,还可以使用其他类型的通信网络。多样的实施方式可以在任何无线通信技术中实现。一些无线通信技术的实例类型包括但不限于全球互通微波接入(WiMAX)、802.xx、全球移动通信系统(GSM)、码分多址(CDMA2000)、通用移动电信系统(UMTS)或任何未来技术。
当在下文中提及时,术语“宏小区”包括但不限于基站、E-UTRAN节点B(eNB)或能够在无线环境中运行的任何其他类型的接口设备。当在下文中提及时,术语“家庭节点B(HNB)”包括但不限于基站、家庭演进型节点B(HeNB)、毫微微蜂窝或能够在封闭的用户群无线环境中运行的任何其他类型的接口设备。
为达到解释的目的,在长期演进(LTE)语境中描述了多种实施方式,但这些实施方式也可以在任何无线通信技术中实现。一些无线通信技术的实例类型包括但不限于全球互通微波接入(WiMAX)、802.xx、全球移动通信系统(GSM)、码分多址(CDMA2000)、通用移动电信系统(UMTS)或任何未来技术。
术语客户端和设备(device)可以被同义使用。另外,术语“设备完整性确认”、“设备确认”以及“确认”也可以被同义使用。“确认”可以是检验共同构成通信或计算设备的部分或全部组件的完整性的进程。部分或全部组件可以是,例如,硬件(HW)、软件(SW)、固件(FW)和/或配置数据。设备认证可以是指通信或计算设备的身份被验证方检验其真实性的过程。
在H(e)NB的语境中,可以执行绑定的过程,例如将H(e)NB的设备完整性确认的结果与设备认证的过程或结果进行绑定。有多种方式可以用来执行设备确认和设备认证之间的绑定。
虽然应用于设备完整性确认和设备认证的绑定方法的示例是用于3GPPH(e)NB的,但可以理解的是,这些方法可以应用于需要设备完整性确认和设备认证的任何其他通信或应用设备。
在H(e)NB中典型的设备认证过程可能局限于验证包含在可信环境(TrE)中的AKA证书(credential)。这些过程可能不会解决设备认证或确认,以及/或者将主机(hostingparty)认证绑定到设备认证的可能性。
可以执行经过确认的设备与设备认证的进程和/或结果之间的绑定。可以执行两种类型的绑定。在逻辑绑定中,可以声明和验证用在或用于设备确认进程中的逻辑实体(或多个逻辑实体或进程或数据)和用于设备认证进程的逻辑实体(或多个逻辑实体或进程或数据)之间的逻辑对应关系。在物理绑定中,用在或用于设备确认进程的特定物理实体(比如物理TrE和/或其拥有的特定秘密或密钥)可以与用在或用于设备认证进程的物理实体(比喻应用软件文件或数据或密钥)有直接的对应关系。
图3示出了表示为设备功能的两种不同类型的绑定。在两个示例中,实际的设备完整性确认过程可以由可信实体执行,例如安全地嵌入设备中的基于硬件的安全环境。在H(e)NB语境中,比如可信实体可以指H(e)NB的TrE。图4是使用公共TrE绑定机制的图,其执行1)设备的完整性校验和2)设备认证的严格或敏感功能。
在图4中,安全和可信的TrE可以位于通信或计算设备中。TrE可以执行一个或多个以下的功能。设备完整性校验,比如设备完整性确认其中这种确认可以在设备上本地执行。TrE可以包括图4的接口(1)以及接入和使用用于确认的证书的能力,其存储在TrE中或由TrE存储。TrE可以确保请求安全处理的设备认证进程的部分的安全,其包括图4的接口(3)和接入和使用秘密证书来进行设备认证的能力,其存储在TrE中或由TrE存储。其他能力可以包括执行安全处理来支持位于TrE之外的请求安全敏感处理的应用。这些应用可以接入或使用它们自己的秘密证书(图4中未示出)。TrE可以包括到位于TrE之外的设备功能/应用的接口。例如包括但不局限于图4中的用于在设备上进行设备认证处理的接口(2)和/或图4中的用于来自TrE内部请求安全处理的其他非认证应用接口(5)。
另外,设备的非TrE部分可以执行一个或多个下列类型的功能。一个功能可以是设备认证功能的非安全部分。另一个功能可以用于不需要从TrE请求安全处理的应用。另一个功能可以用于(除了设备认证)需要从TrE请求安全处理的应用。设备的非TrE部分可以支持接口,包括图4的用于设备认证、设备能力(d)和/或基于网络的AAA服务器(g)之间消息交换的接口(4)。图4的接口(6)可以用于针对请求来自设备侧的TrE内的安全处理的功能的消息交换。图4的接口(7)可以用于针对不请求来自设备侧的TrE内的安全处理的功能的消息交换。用于设备认证的证书和用于设备完整性确认的证书可以不相同。然而,这些证书可以被配置成互相绑定。
图4是可以在H(e)NB中使用物理绑定的设备示例。例如,通过使用TrE进行确认和设备认证可以执行物理绑定。在H(e)NB中,例如,TrE可以被设计成执行设备确认所需的全部进程。这些进程可以包括需要对设备认证所需的进程进行最安全或最可信处理的进程的至少一部分或者整个过程本身。举例来讲,如果设备认证协议被设计成使用基于预共享密钥的方式,比如EAP-AKA,则持有AKA证书的TrE以及H(e)NB可以被进一步互相绑定。例如,H(e)NB可以对计算用于设备认证的AKA证书所需的数据进行加密,使得在传送数据到TrE之前将解密限制于TrE。TrE可以安全地存储解密该数据所需的密钥。另外,通过结合公共安全协议(比如IKEv2)的同一会话中的关于设备确认和设备认证的信息,可以得到进一步的绑定。在这种情况下,适于这种绑定的设备确认可以使得:在H(e)NB(以及它的TrE)和网络实体之间需要某种互动和消息交换。
如前文所述,逻辑绑定是可以被用于设备确认和认证的另一种类型的绑定。逻辑绑定的示例可以是使用相同的分组、消息、会话或相同或公共通信协议消息的连续会话来执行为了设备确认和设备认证的目的而需要被转移出设备的消息。应该注意的是,物理绑定方法和逻辑绑定方法可以被互相结合使用。
设备确认可以被绑定于基于预共享秘密的客户端认证。
可以执行H(e)NB的设备确认,以便以下列物理和/或逻辑绑定机制中的一个或任何结合的方式绑定到基于预共享密钥的认证。通过使用用于可信环境(TrE)和其余的H(e)NB之间的消息交换的加密密钥和证书将TrE物理绑定到H(e)NB,至少可以在TrE和H(e)NB内部保护该密钥和证书。这可以为了设备认证而应用于TrE和H(e)NB之间的消息交换。
参考图5,TrE可以先校验H(e)NB的完整性。如果成功,可以进行到图5的连线(2);如果不成功,TrE不能进行到连线(2),反而会锁定功能,其可能包括H(e)NB的设备认证功能。为了校验H(e)NB的完整性,TrE可以使用存储在TrE中的设备确认证书(参见图5中的连线(1))。
在连线(2),可以对TrE装备密钥对,该密钥对的私有部分安全地存储在TrE内,其公共部分则对H(e)NB是可用的。H(e)NB的制造者可以生成该密钥对,并且提供使公共密钥对H(e)NB可用所需的证明(certificate)。TrE的设备确认功能可以使用TrE私有密钥来对消息进行签名(图5的连线(2)所示),以向TrE之外的设备认证功能指示以下中的一个或多个,例如:TrE的ID、指示TrE已经成功验证了其余H(e)NB的完整性的消息、和/或指示TrE授权设备认证功能已经可以被授权进行设备认证过程的授权数据。TrE私有密钥可以被用于对该授权消息进行签名。通过H(e)NB设备上的设备认证功能,该授权消息可以授权对TrE的一些安全处理能力进行使用。
经过签名的消息从TrE传递到TrE之外的设备认证功能可以被图5的连线(3)阐释。H(e)NB可以使用以上的连线(2)中描述的可能需要验证签名的TrE的公共密钥。公共密钥可以是在证明中预先提供的,也可以是在使用之前才对设备认证功能可用的。公共密钥的使用可以由图5的连线(4)阐释。
设备认证功能可以使用用于TrE之内的设备认证的安全处理能力,后者执行可能是设备认证过程所需的安全敏感功能。用于请求和获得该服务的接口在图5的连线(5)中阐释。用于设备认证的安全处理能力可以使用预先存储在TrE中的秘密设备认证证书来计算设备认证功能可能需要发送给AAA服务器的数据,以使AAA服务器对H(e)NB设备授权。这可以在图5的连线(6)中阐释。
设备认证功能可以与AAA服务器交换数据,其中包括从由TrE提供的用于设备认证的安全处理能力中计算的数据,使得AAA服务器可以认证H(e)NB设备的身份。这可以由图5的连线(7)阐释。该功能可以在合适的消息交换协议中进行。例如,在H(e)NB中,可以考虑诸如IKEv2、TLS、TR069(应用层协议)、OMA-DM协议、或更高层的协议(比如HTTPS)的协议。应该注意的是,设备认证功能可以自身执行安全敏感功能。
通过使H(e)NB和TrE使用相同的分组或相同的消息共同执行设备确认过程和认证过程的指定部分,可以对确认和设备认证进行绑定。这可以在公共通信会话或公共安全协议的连续会话中执行。该协议的示例可以包括IKEv2协议、TLS、TR069、OMA-DM和HTTPS。该协议可以使用基于预共享秘密的协议、基于非对称密钥的协议、基于对称密钥的协议等。
图6是这种绑定机制的示例,其中确认数据和部分认证数据可以在相同的协议/会话/消息中发送。在图6中,连线(1)示出了TrE内的设备确认功能(DVF)可以使用设备确认证书来执行必要的设备完整性校验,以验证H(e)NB组件的完整性是否得到维持。注意到DVF可以使用TrE的加密能力(TCC)所提供的功能来执行一些设备完整性校验和验证所需的功能。该关系可以由图6的点线(A)阐释。
一段时间后,H(e)NB之内的设备认证功能(DAF)可以执行过程,比如Diffie-Hellmann(D-H)过程,来建立用于它自身和外部AAA服务器之间的加密和签名的未认证共享密钥。由连线(7-a)阐释的该步骤,可以是设备认证的先驱步骤,并且可以建立非认证加密密钥,以在将遵循的设备认证消息协议中使用。注意到DAF可以取决于TrE的加密能力(TCC)来执行D-H过程需要的一些临时(interim)步骤。点线(C)可以是DAF和TCC之间的接口,DAF可以使用该接口来从TCC请求和获得加密服务。
DAF可以通过发送Dev_Auth_Init_Request消息给AAA服务器来发起设备认证过程。例如,如果使用IKEv2协议,则该消息可以在IKE_SA_INIT请求消息中承载。在该Dev_Auth_Init_Request消息中,DAF可以包括报头(HDR)、能够向AAA服务器提供例如安全参数索引(SPI)等的安全关联(SA)、由D-H进程生成的服务器的公共密钥KE_DH、和/或设备自身的IDDev_ID。该步骤在图6的连线(7-b)中阐释。
AAA服务器可以向设备的DAF发送Dev_Auth_Init_Response(如果使用IKEv2协议则是IKE_SA_INIT响应消息)。该消息可以包括信息元素比如头(HDR)、由D-H进程生成的设备公共密钥KE_DH、以及服务器自身的IDSyr_ID。该步骤在图6的连线(7-c)中阐释。
DAF可以在Dev_Auth_Request消息(如果选择IKEv2协议则是IKE_AUTH请求消息)中向AAA服务器发送元素,比如报头、SA、Dev_ID、配置(CONFIG)、和/或可选的服务器证明请求(Svr_Cer_REQ),如图6的连线(7-d)所示。注意到,从这里开始,一些信息元素可以被D-H进程所生成的密钥的加密和签名保护。例如Dev_ID、Session_ID、CONFIG和可选的服务器证明请求都可以通过使用D-H进程生成的密钥而对机密性和完整性进行保护。注意到DAF可以使用TrE的加密能力(TCC)来执行使用D-H生成的密钥的加密和签名。该关系可以在图6的连线(B)中阐释。
AAA服务器可以向DAF发送Dev_Auth_Response消息(如果使用IKEv2协议则是IKE_AUTH响应消息),包括比如报头、Syr_ID、Session_ID、以及可选的服务器证明(Svr_Crt)(如果DAF有请求的话)、基于H(e)NB和AAA服务器之间的共享认证秘密(图6中存储在TrE中)的认证挑战(Auth-Challenge)。这在图6的连线(7-e)中阐释。
DAF可以向AAA服务器发送Dev_Auth_Request消息(如果使用IKEv2协议则是IKE_AUTH请求消息),该消息可以包括,比如报头、Dev_ID、Session_ID、Authentication-Challenge响应(AUTH)和/或确认数据(Validation_Data)。这在图6的连线(7-f)中阐释。注意到,DAF可以依靠TrE中的用于设备认证的安全处理能力(SPC_DA)来计算和转发AUTH,如图6的连线(3)所示。注意到SPC_DA可以使用存储在TrE中的预共享的认证秘密证书来计算AUTH,如图6的连线(4)所示。另外,SPC_DA可以依靠TrE的加密能力(TCC)(参见点线(C))。注意到,SPC可以计算AUTH。设备确认功能(DVF)也可以在转发Validation_Data给DAF之前使用TrE私有密钥对Validation_Data以及任何其他相关的补充数据进行签名,如图6的连线(5)所示。DVF和TrE私有密钥之间的接口可以被用来在将其转发给DAF之前对确认数据进行签名,如连线(2)所示。在该实例中,除了使用公共TrE和其资产来执行确认和设备认证(或者其一些要求安全的部分)的物理绑定之外,另一个逻辑绑定机制也可以被使用。相同的协议,相同的会话,以及相同的消息可以被用来发送关于从设备到AAA服务器的设备确认(即,Validation_Data)和设备认证(即,AUTH)两者的结果的信息元素。
AAA在从刚才的Dev_Auth_Request消息(见图6)中接收和估计AUTH参数和Validation_Data之后,可以发送Dev_Auth_Response消息来向设备的DAF指示AAA服务器接入认证成功与否。这在图6的连线(7-g)中阐释。
在绑定的机制中,TrE可以向DAF或SPC_DA控制和释放到敏感功能或敏感数据的接入,该敏感功能或敏感数据是计算认证的成功完成的必要输出所需的,这可以以首先成功完成的设备确认过程为条件,以使得接入能够被允许。这种类型的绑定机制既可以被认为是物理绑定机制也可以被认为是逻辑绑定机制。图7是这种绑定机制的示例图。
参考图7,根据允许接入到TrE持有的一些功能或数据,DVF可以执行两种类型的门控(gating)过程。门控过程可以取决于设备完整性确认结果的状态。如果设备完整性确认结果不成功,DVF可以阻止DAF接入TrE中的SPC_DA,如图7的连线(A:门控)所示。DVF可以阻止SPC_DA接入执行到AAA服务器的成功认证所需的设备认证证书。这种类型的门控功能可以提供设备确认和设备认证之间的其他类型的逻辑绑定。
设备确认可以绑定到认证,比如基于证明的设备认证。
H(e)NB的设备确认可以被绑定到基于证明的客户端上并且可以使用上文描述类似机制取得认证。一些可能的机制描述如下。图8是使用物理绑定的示例图,公共TrE可以执行设备完整性校验和确认,也可以执行设备认证要求的一些或全部功能。例如,这些功能可以基于设备证明。过程可以与图5描述的相同,除了被针对设备认证的安全处理能力(SPC_DA)用于设备认证的证书可以是用于设备认证的私有密钥(Kpriv_DA),以及设备认证功能(DAF)可以向AAA服务器发送设备证明(DevCert)和一些其他的由Kpriv_DA计算的材料。
参考图8,密钥接入和对SPC_DA和Kpriv_DA之间的关系使用如连线(6)所示。证明接入和DAF和DevCert之间的关系使用如连线(8)所示。
H(e)NB和TrE可以在公共通信会话或公共安全协议(比如IKEv2协议)的连续会话中在相同的分组、消息中共同执行设备确认过程和基于证明的客户端认证过程的指定部分。有效地,该绑定机制的进程可以与图6描述的相似。再参考图6,与使用基于预共享秘密的设备认证的情况相比,其不同点可以如下所述。SPC_DA可以从基于来自AAA服务器的AUTH挑战的AUTH挑战以及Kpriv_DA计算敏感临时结果,而不是基于来自AAA服务器的AUTH挑战和TrE持有的预共享秘密(以及SPC_DA使用该与共享密钥计算和转发计算结果给DAF)来计算所述敏感临时结果。AAA服务器可以向DAF请求设备认证证明(DevCert)。在响应中,与SPC_DA共同工作的DAF,可以向AAA服务器计算和转发:1)认证响应(AUTH)(使用Kpriv_DA),和/或2)DevCert。在接收到AUTH和DevCert后,AAA服务器可以首先验证DevCert的有效性,然后可以使用它来验证AUTH。如果校验了验证结果,则其已经认证过所述设备。
尽管有不同,就具逻辑绑定来说,可以按照与基于预共享秘密的认证中的情况相似的方式来执行逻辑绑定。例如,DAF可以将AUTH和DevCert转发到AAA服务器,也可以在同一消息中包括Validation_Data。该Validation_Message可从TrE内部的DVF得到,以及可以由DVF通过使用TrE私有密钥来签名。
图9是一个绑定机制的示例图。在这个示例中,没有从AAA服务器到设备的认证挑战。相反,在服务器请求设备发送其证明DevCert(见连线(7-c))之后,该设备可以发送其DevCert和AUTH(从Kpriv_DA计算得到)到AAA服务器,如连线(7-d)所示。AAA服务器可以将AUTH与DevCert进行验证,并发送认证状态的确认(7-e)。
绑定的门控类型可以在基于证明的认证中实施。这个示例与基于预共享秘密的认证示例类似。图10是该绑定机制的示例图。参考图10,DVF通过允许接入到TrE持有的一些功能和数据可以执行两种类型的门控过程,取决于设备完整性确认结果的状态。
如果设备完整性确认结果是不成功,则DVF可以阻止DAF接入TrE中的SPC_DA,如图10的连线(A:门控)所示。可替换的,DVF可以阻止SPC_DA接入需要执行到AAA服务器的成功认证的Kpriv_DA。这些类型的门控功能可以提供设备确认和设备认证之间的另一种类型的逻辑绑定。
提供了设备完整性确认和其他本质设备功能之间的广义的绑定。
设备完整性确认和设备认证之间的绑定的概念,如上文所述,通常可以意味着设备完整性确认的进程、输入和/或使用的中间数据、和/或结果可以“门控”认证过程或进程。
可以根据两个方面来一般化绑定的概念:可以实施绑定的设备的类型,以及可以绑定到设备完整性确认的进程的设备功能。在最一般意义上,如果存在设备D有能力去校验、报告、和/或验证其自身的设备完整性(通过其自身,或通过与外部实体和/或能力执行交互进程以执行被认为是该设备的本质功能的至少一个功能X),则通常认为可以实施绑定。本质的功能可以是,如果没有执行它的意图,则在正常、有用的意义上讲,设备X不会被认为是可操作的。设备(比如移动电话)的本质功能的示例,可以包括以下中的一个或多个:发送遇险报警的能力、用户认证(到网络)、设备认证、核心应用、通信栈执行、用户认证(到设备)、设备管理功能、无线信号传输或接收、或设备的供电和管理功能。
绑定可能被定义以及实施为一个过程,在该过程中,设备完整性确认进程的数据D_V、过程P_V或结果R_V可以向本质功能X的成功运转指示D_V、P_V和/或R_V之间唯一的并且难以或不可能伪造或克隆的关系。绑定机制的三种在前面的章节中描述的类型可以再次被应用。由于共享存在和加密手段带来的绑定,由于使用相同或连续的通信协议分组、消息、一个或多个会话带来的绑定,和/或由于门控或到数据D_X或过程P_X的条件接入所带来的绑定,其中所述数据D_X或过程P_X对本质功能X的成功运转来讲是本质的,该功能X成功运转是建立在对设备D成功确认的条件上的。
图11是第二类性的绑定(即,绑定的门控类型)可以在确认过程(DVF)和设备上的功能(X)之间使用的示例图。TrE在其内可以有用于功能X的安全处理能力(SPC_X),以及功能X所需的敏感数据(SD_X)。该DVF也可以自身对设备上的功能(X)、以及该功能所需的设备的非TrE部分上的任何数据(D_X)、嵌入在或连接到设备D的组件/模块上的功能(X_EC)、以及基于网络的功能(X_N)和它可使用的数据(D_X_N)进行门控。
图11显示了多种类型的门控(A至G),其中根据设备的完整性确认的结果,DVF可以门控到下列各项的接入:A)安全处理能力SPC_X,和/或B)功能SPC_X可能需要的在TrE中的敏感数据SD_X,和/或C)可能在TrE内部或外部的设备上的任何功能X,和/或D)可能在TrE内部或外部的且功能X需要的设备上的任何数据,和/或E)在设备的嵌入式组件(例如,SoC)上或在连接到设备的独立模块(例如,UICC)上的任何功能X_EC,和/或F)由外部实体(例如,来自网络)执行的任何功能X_N,和/或G)任何这样的外部功能X_N所需要的任何数据D_X_N。
需要注意的是,过程X的例子可以将下列功能包括为通信功能:例如,无线电和基带传输和接收、设备功率管理(包括开/关)、用户界面、媒体处理器功能、GPS以及其他定位功能、定时器和定时同步功能,以及以下通信功能,比如WLAN、蓝牙、蜂窝通讯、诸如网络功能之类的高层应用、单一登录和识别联合和管理功能、诸如编解码功能之类的语音和其他媒体功能、游戏功能、以及用于它们的安全过程(比如订户认证、设备认证、申请授权、包括加密/解密以及签名和签名验证的加密操作)、以及设备的任何其他功能。
SPC_X可以包括但不局限于加密加(解)密、签名生成或验证、随机数生成或使用、定时同步和时间戳、消息认证码生成和验证、加密密钥的生成、导出、或管理(包括反对(deprecation)或隔离)、证明验证以及TrE认证需要的秘密材料的计算、设备的用户、设备本身、或订户和/或设备的拥有者或授权者。
功能X_EC的示例可以包括但不局限于数据存储和处理功能、认证功能、密钥生成和使用、加(解)密、签名生成和验证、配置管理等。
功能X_N的示例可以包括但不局限于数据存储和处理功能、网络对任务提供的应用(比如设备管理、供应、高层应用(比如网络接入等)、DRM、语音和多媒体服务和游戏功能、设备管理服务、通信服务、单一登录和识别联合和管理等)。
门控过程可以分级(cascade)执行。即,DVF可以门控到一个应用的接入,其中该应用可以门控到另一个应用或数据等的接入。DVF可以门控多个过程或数据,这些中的一些或全部可以具有因果或对应关系。
虽然本发明的特征和元素以特定的结合进行了描述,但每个特征或元素可以在没有其它特征和元素的情况下单独使用,或在与或不与其它特征和元素结合的各种情况下使用。此处提供的方法或流程图可以在由通用计算机或处理器执行的计算机程序、软件或固件中实施,其中所述计算机程序、软件或固件是以有形的方式包含在计算机可读存储介质中的。计算机可读存储介质的实例包括只读存储器(ROM)、随机接入存储器(RAM)、寄存器、缓冲存储器、半导体存储设备、诸如内部硬盘和可移动磁盘之类的磁性介质、磁光介质和如CD-ROM光盘和数字多功能光盘(DVD)之类的光介质。
举例来说,恰当的处理器包括:通用处理器、专用处理器、常规处理器、数字信号处理器(DSP)、多个微处理器、与DSP内核相关的一个或多个微处理器、控制器、微控制器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)电路、任何其他类型的集成电路(IC)和/或状态机。
与软件相关联的处理器可以用于实现一个射频收发信机,以便用在无线发射接收单元(WTRU)、用户设备(UE)、终端、基站、无线电网络控制器(RNC)或者任何主机计算机中。WTRU可以与采用硬件和/或软件形式实施的模块结合使用,例如照相机、摄像机模块、可视电话、扬声器电话、振动设备、扬声器、麦克风、电视收发器、免提耳机、键盘、蓝牙模块、调频(FM)无线单元、液晶显示器(LCD)显示单元、有机发光二极管(OLED)显示单元、数字音乐播放器、媒体播放器、视频游戏机模块、互联网浏览器和/或任何无线局域网(WLAN)或超宽带(UWB)模块。
公开了一种系统、方法和工具(instrumentality)来执行网络设备的完整性确认(validation)。网络设备可以包括安全存储器。例如,安全存储器可以包含在安全硬件模块中。安全存储器可以接收根密钥。例如,根密钥可以在制造或供应时被安全存储器接收。根密钥可以保存在安全存储器上,并且其对于安全硬件模块之外软件和硬件是不可见的。
所述安全硬件模块可以接收第一码字测量(对第一码字的测量)。例如,处理器(比如与包括安全硬件模块的网络设备相关联的处理器)可以选择码字的第一部分来测量。码字的第一部分可以被保存在与网络设备相关联的存储器上,例如ROM存储器、RAM存储器等等。所述处理器可以测量选择的码字的第一部分,得到第一码字测量。所述处理器可以提供该测量给安全硬件模块。
所述安全硬件模块可以基于根密钥和第一码字测量生成第一密钥。例如,该安全硬件模块可以得到或释放第一密钥。当第一码字测量有效时,生成的第一密钥有效,当第一码字测量无效时,生成的第一密钥无效。例如,该安全硬件模块可以部分基于第一码字测量得到第一密钥。如果第一码字测量无效,则得到的第一密钥也无效。所生成的第一密钥由该安全硬件模块生成以便提供到资源的接入。当码字存储在所述安全存储器上时,可以在没有码字测量的情况下提供到资源的接入。
所述第一密钥可以与和第一功能相关联的信任(trust)的第一阶段相关(例如,一个或多个资源可以与第一功能相关联)。进一步地,第一利益相关方(stakeholder)可以使用该有效的第一密钥来接入该第一功能。如果该第一密钥无效,则所述第一利益相关方不可以接入该第一功能。这就是说,当第一码字测量无效时,所述安全硬件模块可以阻止对第一功能的接入。
所述安全硬件模块可以接收第二码字测量(对第二码字的测量)。该安全硬件模块可以基于第一密钥和第二码字测量生成第二密钥。该第二密钥可以与和第二功能相关联的信任的第二阶段相关(例如,一个或多个资源可以与第二功能相关联)。进一步地,第二利益相关方可以使用有效的第二密钥来接入第二功能。密钥释放可以被限制在最后已知的好的启动阶段(例如,最后已知的具有成功认证的启动阶段)。
资源(比如密钥和基于硬件、码字、和/或数据的完整性测量的功能)的生成和/或释放可以阶段性地提供认证。例如,设备可以包括若干层,每个层有其自己的认证秘密。每个认证秘密可以对应在设备能力(比如制造商固件、可信的执行代码、操作系统和第三方应用)的层中的特殊的利益相关方。进一步例如,有效的第一密钥可以与对第一启动阶段的有效认证相关联。该有效第一密钥可以被设备制造商(例如,第一利益相关方)使用来接入网络设备上的固件,以在该固件上执行修复。有效的第二密钥可以与在随后的启动阶段(例如,中间的启动阶段)期间对一个或多个软件组件的有效认证相关联。该有效的第二密钥可以被设备管理者(例如,第二利益相关方)使用来接入所述软件组件,例如来执行该软件的修复。通过对已成功认证的各阶段提供有效密钥,接入可以被许可,其与最后一个没有认证失败的阶段相当。
本申请公开的多阶段认证的阶段数目可以变化并且不受限制。进一步地,可以提供多个认证途径。这就是说,在完整性校验的某个阶段,认证可以以不同的方式进行分支(branch)。例如,每个利益相关方可以提供与一个或多个认证阶段相关的一个或多个策略。在每个阶段,认证可以基于利益相关方的策略以不同的方式分支。利益相关方能够在外部管理其策略。
图12示出了与设备1200的启动进程相关的多阶段认证。设备1200可以被配置具有分层启动阶段能力(例如,释放与一个或多个阶段认证相关联的一个或多个有效密钥)。当设备1200认证到第一启动阶段时,设备1200可以在1201向第一利益相关方(例如制造商)提供有效第一密钥。该第一启动阶段可以是低等级的认证,并且与第一启动阶段相关联的密钥可以提供受限于制造商相关联的固件的接入。当设备1200认证到第二启动阶段时,设备1200可以在1202向第二利益相关方(例如设备管理员)提供有效第二密钥。该第二启动阶段可以是比第一启动阶段晚的启动阶段,并且所述与第二启动阶段相关联的密钥可以提供受限于认证软件的接入。当设备1200认证到最后一个启动阶段时,设备1200可以在1203给第三利益相关方提供有效第三密钥,该第三利益相关方可以提供到核心网络、安全网关等的接入。
使用启动进程作为实例,到受限的片内资源和启动执行中的最后一个一致的好的启动阶段的认证秘密的接入可以被释放。这种阶段释放可以允许值得信任的设备软件/固件修复上层代码,将低层用于对设备的可信远程设备管理更新过程。这可以依赖于来自安全的不可改变的片内信任基础的一串信任源。例如,一旦重置,可以期望特定的芯片配置来释放第一密钥。该配置可以确保处理器会跳到适当的内部执行代码,这随后可以开始聚拢代码,以在该系列信任执行的下一阶段之前进行测量。如果初始的芯片配置不正确,例如跳转矢量不是内部ROM代码,那该初始的以及随后的完整性测量可能与期望的不同,并且该设备不能进行下一个有效阶段。
控制的形式可以包括片内资源的硬件锚定门控,比较测量到的组件的完整性,和/或基于系统实际的测量完整性的密钥导出。在后面的示例中,由于结果密钥可能与所需要的常规的操作不同,因此可以使用公开的系统和方法于为其他用途生成多个可信控制执行路径。因此,例如一个外部实体可以直接控制设备的管脚,这会导致不同的启动顺序,并进一步导致同样基于信任根的不同密钥。
例如,除了传统的参数外,通过每一个启动等级上强加两个额外的认证因子,可以提供认证。到外部实体的认证可以需要获知:1)启动阶段特定的加密签名秘密或者计算出的密钥;2)启动阶段特定的代码;其中如果2)是正确的(通过完整性校验),则1)被公开。
所得到的应用可以是:外部实体可以根据实体需要的功能性远程确认设备的完整性。此外,独立的利益相关方(例如,设备或者设备制造商的硬件或者不同的固件以及软件层)可以被确保:其他实体可能不能修改该独立的利益相关方的对应固件或者软件,而不必禁止该设备功能。
通过检测和使用可信硬件机制强制加密密钥解锁片内资源以及通过针对启动过程中下一阶段检测和使用提供的秘密(例如加密密钥、信令密钥和完整性测量)。随着每一阶段被成功校验,片内资源和新的秘密以及测量就变得可用。
在一些情况中,信息可能会在核心可信域内,并且可以是对硬件可用的但不可被软件/固件所查看或占有,片内资源和其他信息可以释放到执行环境中,因为基于代码的每一个阶段都被校验和检验为是值得信任的(即基于代码校验、数据校验、硬件校验等验证是值得信任的)。
每一个启动阶段需要与它在安全启动进程中的位置相对应的特权和控制。为某一阶段排他性的生成证书可以允许控制扩展超出平台的内部,例如为了到外部实体的认证。
例如,在设备管理和设备认证的情况下,制造商会需要特权来更新固件而网络运营商会需要修复或者更新软件和/或配置数据,但不是对固件进行修复或更新。如果设备通过了固件的完整性校验但没有通过软件的校验,则可用的密钥可以是允许网络运营商来为了更新软件而进行认证用的。然而,如果设备固件校验也失败,则用来将设备认证到管理系统的密钥可以被释放,但不是认证到网络需要的密钥,意思是原始进程可能是要远程并且安全的修复/安装固件,以使该设备不再以不安全的方式(即信任根进程以外的方式)启动。该固件失败会触发释放备选功能来帮助修复(例如,由于失败,认证会采用不同的分支)。提供信任证实根的优点是可以允许对设备的固件信任代码基础进行远程管理。
不同的利益相关方(例如运营商和应用提供商)可以允许使用不同的密钥,基于系统的信任程度,以启动次序中的测量的结果作为特征。这可能意味着一些运营商或者设备拥有者可能在多个阶段中依然允许系统启动到部分可信但部分不可信的状态。即使在这样的状态中,设备会被要求生成和使用特定加密密钥(例如,为了指示外部用户设备的状态,或者为在这种设备部分可信的状态下依然被允许的应用提供安全性)。一个选项可以是生成和使用高强度的密钥,其中启动序列中可以建立高水平的信任,并且如果基于该启动序列结果建立起信任的较低等级,还限于使用较低强度的密钥。应该预先提供策略,并且信任根可以使用适当的密钥强度,该密钥强度对应于可建立的信任等级。当即使部分优化的经过信任验证的系统需要使用加密资源来发送特定信息给外部,不需要额外的密钥强度等级时,对特定于不同等级的信任的多个密钥的生成和使用是有用的,这可能与启动系统的信任度不同。
不同密钥的生成可以基于不同启动序列和不同代码,例如可以有不止一组有效阶段。从不同的启动序列得到的可能的设备唯一秘密密钥可能从相同的信任根(使用相同的根密钥)得到,因此值得信任但明显不同并且互相排斥,这允许区分角色(例如,可信测试模式对于可信常规操作)。
可以提供用于密钥导出的算法选择和签名机制。可以为下一阶段密钥导出和/或当前阶段签名或者认证执行特定的算法。这些控制可以存在于加密证书分组中的专用控制寄存器字段,以使一旦解密,该字段值可以被插入到启动阶段认证模块的相应寄存器中,这可以设置执行控制。所述启动阶段认证模块可以是TrE。
图13A、13B和13C示出了可以实施公开的系统、方法以及可能使用的手段的实施方式的芯片。
可以实施安全的多阶段启动认证,例如,在安全的硬件模块(例如启动阶段认证模块1300)中。启动阶段认证模块1300可能包含四个组件:根设备单一秘密密钥(根密钥),控制信号和阶段特定密钥导出功能(KDF),密码引擎,以及签名机制。到模块的接口可以包括配置和数据总线接口。配置寄存器可以执行指令和数据流,例如MMU的控制或则启动执行矢量,芯片I/O等。通过位于启动阶段认证模块1300的内部,该密钥路径可以被保护为不被软件/固件查看。该启动阶段配置接口可以确保芯片具有发起安全的启动进程的合适配置。
如果安全启动进程没有正确开始,例如,如果配置是针对备选启动序列的,则到片内资源的结果阶段的接入和设备唯一的秘密密钥可能不存在,这会进而阻止进入到下一启动阶段和对特定阶段的签名密钥的解密,因此,外部实体可能不能对设备的信任状态进行证实。
以下一个或者多个可以组合:带密钥的加密哈希算法,设备唯一秘密密钥,反馈密钥路径,以及签名机制。认证秘密的层可以加密地被绑定于特定设备以及测量信息(例如执行代码以及启动配置控制)的完整性。如果测量信息缺少完整性,则执行的后续的相依赖的层可能不能接入或解密该认证秘密。例如,如果设备没有适当的设定处理器跳转向量,没有从内部启动或者未处于调试模式,则会检测到不同的比特图样,这可以生成不正确的密钥,它随后不会对外部兴趣方进行认证。
设备可以包含唯一的秘密密钥。设备的唯一秘密密钥可以从先前的启动阶段密钥以及从测量的代码中导出。由于设备唯一密钥可能在设备上不存在,但可以通过代码本身导出,如果代码被修改,则设备唯一秘密密钥可能不正确。根设备唯一秘密密钥(根密钥)可以在初始供应时或者制造时秘密嵌于设备内部,并且对设备唯一。该根设备唯一秘密密钥可能不可用,除非使用特定的设备启动配置。该根密钥可能对软件/固件不可见,可以为后续启动阶段的设备唯一密钥提供种子,它也对软件/固件不可见,但可以用于认证或者签名机制,这些认证或签名机制可以验证密钥的存在以及从而向启动次序中的该阶段验证设备的完整性。
根设备唯一秘密密钥可以是有适当的强度(例如现在大约是256比特)的密钥,可在制造过程中配置,例如,配置为一次性可编程熔丝或者在存储器中(它对软件/固件是秘密和隐藏的),窃听芯片信号,探测,简单和差分功率分析等等。它可对设备唯一,任何人都不知道,并且一旦重置则在初始为密钥导出功能提供种子。
图14示出了密钥导出功能的实例。
密钥导出功能可以服务两个功能。它可以生成后续阶段的密钥,以及能测量后续启动代码。它可以是带密钥的加密哈希函数,例如HMAC-SHA-256,由于它的单向的特性,它可以确保获取后续阶段密钥不会泄露前面密钥的任何信息,以及测量数据中的任何比特错误都会导致与正确密钥不相关的很大不同的密钥。加密阶段特定的签名秘密可被提供完整性信息。完整性信息可以提供对组建或者功能的测量的完整性校验值的确认,以及释放下一阶段功能。
图15示出了示例性的密钥导出细节,包括签名机制。
对于鲁棒的设备认证,密钥导出功能会生成根阶段设备唯一秘密密钥,对于片内软件/固件以及外部实体来讲,该根阶段设备唯一秘密密钥不是直接可读的。因此设备唯一密钥可以在直接路径提供给认证或者签名机制,外部实体和软件随后可以提供带有挑战消息的认证或者签名机制,以通过片外接口来确认该设备的根状态的新鲜度(freshness)。
图16示出了多阶段密钥导出细节的实例。
随着启动流程从初始启动以及程序加载器序列开始进展到操作系统和应用加载,代码的每一个启动阶段的完整性可以在它执行之前进行测量。代码可以在每一个阶段中被填入密钥导出功能并且可以在每个阶段都生成设备唯一秘密密钥。例如,初始时,根设备唯一秘密密钥(根密钥)以及第一码字测量可以填入到密钥导出功能,以及可以生成第一密钥(初始阶段密钥)。可以在多个阶段中重复这个过程直到确定最后一个好的证书。
图17示出了启动序列的实例。图16的实例示出了在多个阶段中密钥是如何导出的以及如何确定最后一个好的证明。初始阶段密钥可以验证硬件可以配置用于信任执行根,例如验证处理器指向内部ROM,硬件完整性测试结果正确,以及安全敏感I/O管脚被正确设置,例如不在测试模式。
如果启动阶段是根据正确的启动配置和代码来执行的,则最后的结果可能是加密或者签名的密钥,这些可以被网络实体在外部使用,以验证设备是以可信方式启动的。否则,如果阶段启动代码失败,则最终的签名密钥不正确,导致外部/远程认证失败。
执行链不需要追踪签名密钥链。启动序列可能通过对检验序列的执行控制,(例如,基于硬件的),这可以加载用于设备可信操作的码字测量。如果测量正确,则结果可以是最终密钥,它可用于从外部确认设备的可信操作。
从有效启动阶段导出的密钥以及控制可以解锁在实时运行中持续的残留密码或者信令密钥。设备管理服务器可以使用该残留签名密钥来验证设备已安全地启动到值得信任状态,以确定该服务器可以安全下载应用代码。另一方面,在每一启动阶段去除对密钥的接入可以帮助保持对芯片的硬件保护域的特权控制,该保护域应该是对特定启动阶段代码的特定提供方是可接入的,例如,为了认证设备个性化、供应、调试、测试等。
执行的启动代码需要检测下一阶段测量是否发生完整性失败。例如,为下一阶段嵌于加密秘密分组内的可以是针对完整性失败的指示,例如位于加密秘密分组的特定字段内的已知的“完整性指示消息”。下一启动阶段测量的错误会导致在分组的字段中出现混乱(garbled)完整性指示消息,它与期望值不匹配,向执行启动代码指示完整性失败已经发生。
启动阶段认证模块中的硬件比较器(参见例如图13A-C)会检测(HW保护,对软件或者固件不可见的)期望的完整性值和得到的完整性值之间的匹配,以生成硬件控制信号,来控制到例如依赖于完整性的硬件配置、芯片秘密、熔丝、I/O以及测试管脚、LED等的接入。
所述控制启动序列然后会选择在芯片外发布一个警报,向外部世界指示已发生错误。或者,该控制启动代码可以保持空闲,等待来自芯片接口(网络或者管脚)的输入,以尝试认证到外部实体。
在一个操作中,启动阶段认证模块会解密加密阶段签名秘密(分组)。然而,可能需要方法来加密和安装该阶段签名秘密。该模块可能有“供应模式”输入信号,“授权接入不允许”输入信号,以及“授权阶段”输入信号,该“授权阶段”输入信号可以是1)对于只在制造阶段的供应方法由一次性可编程熔丝方法进行锁定,和/或2)在芯片上通过授权硬件变得可接入。
如果他们没有在制造过程中通过熔丝锁定,则芯片需要提供另一种机制来保护输入。如果他们没有通过熔丝锁定,启动阶段认证模块会允许供应模式,如果设备已经通过它自己的本文中所描述的检测机制安全启动的话。这会阻止非安全启动代码进入供应模式。然而,可以由安全启动代码、硬件配置、以及芯片上的其他“授权”硬件来保护到供应模式输入的未授权接入。也就是说,启动阶段认证模块可以确保安全启动代码被执行,以保护用来管理保护到供应模式的接入的授权硬件的启动代码授权序列。在一个实施方式中,安全启动进程可以利用约束的密钥(例如公共的、私有的等)以及挑战响应协议来认证和授权申请者接入到供应进程以及供应模式输入。
供应模式输入允许签名秘密分组的后续阶段被加密并存储到对软件不可用以及对供应商不可见的受保护的寄存器中的启动阶段认证模块内部。然后,供应模式状态会切换到加密模式。新的启动阶段代码会被加载到密钥导出功能。代码加载之后,新的设备唯一秘密密钥会自动生成(但对用户或者软件不可见)。然后,与新的启动代码对应的新的签名秘密被插入到密码引擎并用新的设备唯一秘密密钥来加密。结果被存储到一个位置以取代以前的版本。
随后的启动阶段代码可以被加载,以导出新的随后的设备唯一秘密密钥,这些可被用于对内部存储的随后阶段的签名密钥秘密进行加密。该进程会一直继续直到完成。设备会用新的启动阶段代码及其对应的签名密钥进行重启。随后的启动阶段代码和密钥可以保持相同,对阶段设备唯一秘密密钥的新链是未知的并受限于该新链。修改阶段之前的启动阶段保持不变。
图18示出了生成和使用密钥的设备的强度实例启动序列流程图,其中所述密钥的强度(或者其他安全强度特性,例如加密算法本身,或者算法模式等)可以依赖于通过在启动序列中执行的完整性校验过程见证的设备可信度结果。
公开的系统和方法可用于单个利益相关方(例如远程用户)实施方式,它可以给单个利益相关方提供在程度变化的功能性下安全地管理设备的灵活性。例如,在使用设备进行安全的关键和复杂功能之前,远程用户可能需要确认设备是否正确获取到它的完整的设备完整性和/或功能性。
为了确定设备完整性和/或功能性获得的程度,用户会通过向设备提交现时(nonce)然后取回签名之后的响应(例如,现时会确保结果的更新)来挑战设备。用户会检验该响应以确定设备已通过哪个阶段的完整性以及健康检验执行。基于该结果,用户可以确保其可以安全地与设备安全交互那些完整性已经被验证的功能。
作为一个实例,如果响应表示没有发生安全启动进程(例如,没有完整性校验),则用户会知道该设备是被配置成非安全形式并且将不会依赖该设备来处理敏感数据。还有,由于一些设备完整性受限的密钥可能不可用,受限于安全启动进程的加密数据也可能不可用。
如果该进程的第一阶段完成了,则该设备可能有一些安全能力,例如证实自己一些失败功能的能力,以及对外发送重放保护和/或签名的灾难(distress)信号。远程用户可以从这些信号中确定接收到的灾难信号正确和/或不是被其他设备欺骗,并且在获知该设备发送了灾难信号的情况下采取行动来修复设备。
继续该实例,如果第二阶段完成,则表示更高层次的能力/设备完整性的新的认证密钥集在该设备上是可用的,其允许用户远程、安全地修改设备上的失败代码。该情况的一种变换形式是,实现完整性的该第二阶段的设备可以获得对密钥的本地接入,该密钥允许对远程用户的OAM或者设备管理(DM)服务器(或者该服务器应用)进行认证。在该实例的这一阶段中,设备有能力认证远程用户(或者他的OAM或者DM服务器或者这种服务器应用),因此该设备上的一些数据和代码可以使用与获得的完整性阶段相关的可用密钥进行加载和签名。也能得到与其他能力等级相关联的其他阶段。
最终成功的阶段表示该设备完全能够执行远程用户需要完全接入和使用的功能。
本发明不需要包括一些功能性阶段并且不受限于一个或者多个利益相关方。一种形式,设备可以执行具有单个代表结果的单个校验阶段,这将导致从远程用户角度来看用于自主确认的单个认证密钥。这可用于确认尝试附着到网络的设备。公开的系统和方法也可被扩展到允许设备的值得信任状态的标识存在灵活性,允许灾难指示、设备检测、设备管理功能(诊断和修复)以及对设备、服务和/或应用层次的认证过程。
其他认证信息可以受限于完整性校验进程,所述认证信息例如与用于设备的到优选网络的接入私有密钥不同的其他目的认证密钥。这种“其他认证”的示例可以是针对OAM的认证、应用层次服务的认证、或者在不同于接入层的层的安全协议(例如IPsec或者TLS)的认证。其他实例包括对设备和/或其简档(例如组成员等)的认证、订户/用户、服务、或者应用。例如,参考图13C,会向KDF发送服务订制密钥。结果密钥可以是用于到服务提供商的认证的设备唯一秘密密钥。对设备的挑战可以认证用户和设备完整性两者。在这种情况下,可以在合适的阶段添加服务订制密钥。在一个实施方式中,保证了完整性的(integrity-backed)订制密钥在之前的阶段中提供,而保证了完整性的应用密钥在后面的阶段中提供。其他信息在KDF输入中合并以确保绑定到必要信息上。通过将其他认证信息绑定到完整性校验进程中,可以提供不止一个独立的认证资源。
公开的系统、方法以及手段允许动态扩展信任,以允许对设备进行安全和远程配置。例如,出厂之后,设备可以安全启动到已知的未配置的状态。这样的设备应首先使用包括供应商证明中的证书。该阶段中可用的认证密钥允许外部管理实体(例如OAM或者DM服务器)远程接入设备上的配置数据结构,并允许认证的外部管理实体插入新的证书(例如,新的签名密钥或者运营商证明,可能包括新的签名密钥等)。这些新的证书可以使用本文描述的方法进行保护。新的配置数据可以用新的密钥进行签名,并且可以插入新的执行阶段,这也可以通过成功阶段密钥进行签名。可以添加认证密钥,这可以通过最终的配置校验的成功完成来保护。如果设备被重置,例如,它可以自动重启至校验新配置数据的新的阶段。如果新的配置数据匹配,则结果认证密钥可用。外部实体然后认证该设备。如果认证通过,则外部实体可确保设备被正确配置。
图19示出了与多阶段认证相关的网络通信的实例。
3GPP的中继节点(RN)既可以对于供给(donor)eNB(DeNB)作为UE(即中继UE),也可以对于连接到它的UE作为eNB(即中继dNB)。由于中继节点可以用于如下场景中,例如紧急响应或者临时覆盖间隙填充任务,它们不能在部署时间完全配置并且没有完全操作的所有功能性。由于RN是网络设备,然而,安全需求(包括设备完全需求)可能会需要很高,导致对完整性校验的需要,这允许实现分阶段的操作状态。部署后配置和证书登记都需要这种分阶段的操作状态。
图20示出了启动和启动后配置过程的实例,其中包括使用示例性3GPP中继节点的多阶段认证和证书配置。
在这个实例中,如果通过了完整性的特定阶段,则使得RN能接入到已知运营商(OP)管理盒(例如OAM或者DM服务器盒等)以及供应商的OAM/DM服务器。然而,如果RN后续阶段失败,那么它可能不被允许接入证书(RN中可能已经存在也可能不存在),该证书是到OP移动性管理实体(MME)的完全接入所需的证书。因此,RN会不通过对OPMME的完全接入认证尝试。然而,连续发生这样的失败,RN可被限制为向已知的OPOAM/DM进行认证,并被指示为由供应商OAM/DM使用预先提供的供应商证明来进行重新配置。如果获得重新配置并通过完整性校验的进一步阶段,那么RN现在可以获得到接入到OPMME所需的证书的接入。
公开的系统和方法会对篡改和实时失败很敏感。在设备完整性建立的时候或者之前可以建立独立的篡改监视进程(例如,该监视进程与信任根绑定)。该监视器可以检验代码、端口或者任何可以指示干扰或者篡改事件的东西。一旦发生这样的事件,建立设备的唯一秘密密钥值被自动去除,使认证密钥不可用。参考图21,它示出了一个使用公开系统和方法的实施方式的芯片实例。尝试使用基于完整性的认证密钥重新建立到设备的连接可能会失败。这会为依赖于设备安全性的外部实体提供持续保护。
图22示出了如何将完整性校验进程扩展到UE通信。网络可以使用完整性限制的认证密钥向中继节点传递UE密钥。如果中继节点由于完整性或者篡改事件而不再安全,该中继节点将不能解密所加密的密钥,并且来自UE的通信的安全性得以保持。
所公开的系统和方法可以提供以下的一个或者多个:设备签名密钥分阶段的机制,它允许对设备的可信性进行部分或者分阶段的远程确定;片内资源以及认证秘密的分阶段释放方法,其中对用于设备的当前启动阶段的代码的成功测量、配置信息、以及安全启动进程的状态可被用于直接导出控制信号,该控制信号可以允许进一步接入片内资源和释放用于认证的秘密;启用外部实体和可能部分失败的设备之间的可信报告、管理以及修复;消除对启动进程中的显式完整性校验过程的需要,并消除存储和保护启动代码参考值的需要;或者通过公共接口(例如芯片边界或者公开网络)对不同利益相关方进行认证接入。
平台完整性策略引擎(PIPE)可以是整个平台信任系统架构的一部分。PIPE可以控制多阶段认证和密钥释放过程。PIPE可以控制不同的功能,包括安全启动进程的流程、软件和/或数据组件的完整性校验测量的处理、根据策略的后续执行行动,和/或后续软件加载控制的流程。该策略可以由一个或者多个外部利益相关方定义,例如制造商和/或运营商,并且在设备上提供,并通过远程更新过程在字段中更新。
通过继续安装越来越多的功能能力并在运行期间保持对组件的动态加载,PIPE可以控制受损害的软件功能性不会通过受控软件和数据校验以及家在操作而被加载。作为说明性的实例,依赖于加载操作中进展的阶段,响应于认证失败,PIPE可以应用以下的一个或者多个:对平台进行下电操作;避免加载受损害的组件(component)或者隔离的组件;触发到外部实体(比如,网络中的安全网关或者修复管理器)的警告,以通知低级别的失败或者受损害的功能性;防止对平台上的功能或者信息的接入,例如认证密钥等;或者,防止对平台上的安全功能的接入,例如认证算法等。
在一些情况下失败可能很严重,以至于甚至可信任的环境可能不能确保平台中的信任,因为核心TrE功能性已经受损害了。低级别的失败可能触发基本操作,例如生成默认的信任根签名的警告消息,这可能包括完整性以及重放保护以及机密性保护。也就是说,一旦发生低级别安全失败,会通过一个或多个可用的通信信道向网络释放灾难消息。
随着加载的功能性的建立并变得越来越复杂,设备会执行更复杂的行动,例如作为代表网络实体的安全和可信代理,这会促进用来诊断、报告和/或替换受损害的软件和/或配置数据的询问过程;执行主体代码或者数据重载/更新过程或者调查更多细节,包括用更精确的细节进行完整性校验,怀疑被篡改的组件被隔离到组件的故障位置。
根据成功验证功能性的等级,可以提供对平台上资源的不同的接入(例如通过PIPE)。如果组件的完整性校验失败,则它不会被信任。该检测到的失败可以被安全地标记并指示给网络(或者显式或者隐式地),以及由于该失败条件,启动流程会产生分支。这种类型的完整性校验失败可以当做执行流程失败,借此经过校验的组件不能被信任,并且启动该组件会导致执行中出现恶意的、损害的、错误的或者不正确配置的代码,并且这还会引起设备以非特定的和不可预料的形式执行功能。这样,新组件和可用功能性的加载会受先前加载的组件的完整性的影响。
作为结果,执行环境可以根据每一个启动阶段和每一个实时进程中的控制执行过程和接入特权进行改变。例如,在启动进程的每一阶段,需要根据当时进行的完整性测量做出决定。随后的阶段和策略会通过信息传输或者存储的任何可用的安全方法使用传递自先前阶段的信息,这些方法超出了执行阶段(状态、变量、参数、寄存器、文件等)以确定它自己的操作。例如,上层应用认证功能可以使用先前加载的组件的完整性信息来确定它自己的操作,包括对与外部实体的成功认证所需要的密钥的释放进行门控。
一个PIPE功能流程的实例可以包括以下的一个或多个。RoT会被校验并且它的完整性会被验证。基线TrE可以由RoT进行检验,并且它的完整性会被验证。如果TrE校验中存在失败,则会执行以下的一个或者多个:阻止对附着到网络所需要的密钥的释放;向网络触发警告(可以加载回退代码,这可以让警告发送到网络和/或该警告会触发远程主体更新过程来取代TrE);或者对设备进行下电操作。可以加载基本通信连接性代码,这可以包括以下一个或者多个:校验和加载基线操作系统模块;校验和加载基线管理客户端;或者校验和加载通信模块。如果发生失败,会执行以下一个或多个:阻止对附着到网络所需要的密钥的释放;通过警告触发主体更新过程以取代组件(可以加载回退代码,这可以让警告发送到网络和/或该警告会触发远程主体更新过程来取代基本代码);发起警告和远程组件更新过程;或者对设备进行下电操作。校验和加载剩余操作系统和管理客户端组件。校验和加载动态的、可重新定位的和/或可重新加载的功能模块,如果出现失败,会执行以下一个或多个:阻止对附着到网络所需要的密钥的释放;通过到网络的协议发送失败报告(失败报告会指示由网络远程更新的失败的组件);发送警告以及请求远程组件更新过程;或者对设备进行下电操作。
PIPE的行动会根据成功验证的启动链而变化。在启动进程的每一个阶段中,需要根据基础平台的部分或者整个的评估的完整性做出决定,平台那时(那时附近)已经进行了完整性校验并且已经应用了策略。这些策略可以根据获得的信任程度采用或者被新的策略替代。执行环境可以根据每一启动阶段的控制策略而改变。随后的阶段和策略会通过信息传输或者存储可用的安全方法使用先前阶段通过的信息,这些方法超出了执行阶段(状态、变量、参数、寄存器、文件等)。PIPE策略可以用一个或者多个利益相关方提供。例如,一个利益相关方可能具有到每一个策略的接入,每一个利益相关方可接入到部分策略(例如,依赖于优先权层次或者与特定的功能相关联)等。作为另一个实例,制造商可以控制低级别的代码策略,运营商可以控制软件和配置策略,以及应用服务提供商可以控制高级别的功能模块。
虽然上面以特定的组合描述了特征和元素,但是本领域普通技术人员可以理解,每个特征或元素可以单独的使用或与其他的特征元素进行组合使用。此外,这里描述的方法可以用计算机程序、软件或固件实现,其可包含到由通用计算机或处理器执行的计算机可读介质中。计算机可读介质的示例包括电子信号(在有线或无线连接上传送)和计算机刻度存储介质。计算机刻度存储介质的示例包括,但不限于,只读存储器(ROM)、随机存取存储器(RAM)、寄存器、缓冲存储器、半导体存储器设备、磁性介质(例如内部硬盘和可移动磁盘),磁光介质和光介质(例如CD-ROM盘和数字通用盘(DVD))。与软件关联的处理器用于实现射频收发信机,用于WTRU、UE、终端、基站、RNC或任何主计算机。

Claims (14)

1.一种用来执行网络设备的完整性确认的方法,该方法包括:
接收对存储在所述网络设备的存储器中的第一码字的第一码字完整性测量;
基于以下来生成第一密钥:(1)存储在所述网络设备的安全存储器中的根密钥,以及(2)所述第一码字完整性测量,其中当所述第一码字完整性测量有效时,所述第一密钥有效,其中所述第一密钥与和所述网络设备的第一功能相关联的信任的第一阶段相关,以及其中有效的第一密钥能够被第一利益相关方用来接入所述第一功能;
接收对存储在所述网络设备的所述存储器中的第二码字的第二码字完整性测量;
基于以下来生成第二密钥:(1)所述第一密钥和(2)所述第二码字完整性测量,其中当所述第一码字完整性测量有效且所述第二码字完整性测量有效时,所述第二密钥有效,其中所述第二密钥与和第二功能相关联的信任的第二阶段相关,以及其中有效的第二密钥能够被第二利益相关方用来接入所述第二功能;
从所述第一利益相关方接收第一现时并从所述第二利益相关方接收第二现时;以及
响应于所述第一现时发送第一签名消息至所述第一利益相关方并且响应于所述第二现时发送第二签名消息至所述第二利益相关方,其中所述第一签名消息和所述第二签名消息中的每一者指示不可信状态、部分可信状态、或可信状态。
2.根据权利要求1所述的方法,该方法还包括当所述第一码字完整性测量无效时,阻止接入到所述第一功能。
3.根据权利要求1所述的方法,该方法还包括当所述第二码字完整性测量无效时,阻止接入到所述第二功能。
4.根据权利要求1所述的方法,该方法还包括当指示部分可信状态时提供最后有效证书,其中所述最后有效证书包括与最后有效码字完整性测量相关联的最后有效密钥。
5.根据权利要求1所述的方法,其中所述第一签名消息还指示第一启动状态的新鲜度并且所述第二签名消息还指示第二启动状态的新鲜度,以及其中所述第一现时和所述第二现时中的每一者经由序列计数器或日期和时间戳功能中的至少一者在本地导出。
6.根据权利要求1所述的方法,其中所述根密钥在制造时或供应时被存储在所述安全存储器中。
7.根据权利要求1所述的方法,其中所述安全存储器是安全硬件模块的一部分,以及其中所述根密钥对所述安全硬件模块之外的软件不可见。
8.一种网络设备,该网络设备包括:
用于确认包括处理器的网络设备的完整性的安全硬件模块,其中所述安全硬件模块:
接收对存储在所述网络设备的存储器中的第一码字的第一码字完整性测量;
基于以下来生成第一密钥:(1)存储在所述网络设备的安全存储器中的根密钥,以及(2)所述第一码字完整性测量,其中当所述第一码字完整性测量有效时,所述第一密钥有效,以及其中所述第一密钥与和所述网络设备的第一功能相关联的信任的第一阶段相关,以及其中有效的第一密钥能够被第一利益相关方用来接入所述第一功能;
接收对存储在所述网络设备的所述存储器中的第二码字的第二码字完整性测量;以及
基于以下来提供第二密钥:(1)所述第一密钥和(2)第二码字完整性测量,其中当所述第二码字完整性测量有效时,所述第二密钥有效,其中所述第二密钥与和第二功能相关联的信任的第二阶段相关,以及其中有效的第二密钥能够被第二利益相关方用来接入所述第二功能;
从所述第一利益相关方接收第一现时并从所述第二利益相关方接收第二现时;以及
响应于所述第一现时发送第一签名消息至所述第一利益相关方并且响应于所述第二现时发送第二签名消息至所述第二利益相关方,其中所述第一签名消息和所述第二签名消息中的每一者指示不可信状态、部分可信状态、或可信状态。
9.根据权利要求8所述的网络设备,其中所述安全硬件模块还被配置为当所述第一码字完整性测量无效时,阻止接入到所述第一功能。
10.根据权利要求8所述的网络设备,其中所述安全硬件模块还被配置为当所述第二码字完整性测量无效时,阻止接入到所述第二功能。
11.根据权利要求8所述的网络设备,其中所述安全硬件模块还被配置为当指示部分可信状态时提供最后有效证书,以及其中所述最后有效证书包括与最后有效码字完整性测量相关联的最后有效密钥。
12.根据权利要求8所述的网络设备,其中所述第一签名消息还指示第一启动状态的新鲜度并且所述第二签名消息还指示第二启动状态的新鲜度,以及其中所述第一现时和所述第二现时的每一者经由序列计数器或日期和时间戳功能中的至少一者在本地导出。
13.根据权利要求8所述的网络设备,其中所述根密钥在制造时或供应时被存储在所述安全存储器中。
14.根据权利要求8所述的网络设备,其中所述安全存储器是所述安全硬件模块的一部分,以及其中所述根密钥对所述安全硬件模块之外的软件不可见。
CN201180018789.8A 2010-04-12 2011-04-12 启动过程中的阶段性控制释放 Expired - Fee Related CN102844764B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510815678.XA CN105468982A (zh) 2010-04-12 2011-04-12 无线网络设备及将其完整性确认绑定至其它功能的方法

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US32324810P 2010-04-12 2010-04-12
US61/323,248 2010-04-12
US35747410P 2010-06-22 2010-06-22
US61/357,474 2010-06-22
PCT/US2011/032036 WO2011130211A1 (en) 2010-04-12 2011-04-12 Staged control release in boot process

Related Child Applications (1)

Application Number Title Priority Date Filing Date
CN201510815678.XA Division CN105468982A (zh) 2010-04-12 2011-04-12 无线网络设备及将其完整性确认绑定至其它功能的方法

Publications (2)

Publication Number Publication Date
CN102844764A CN102844764A (zh) 2012-12-26
CN102844764B true CN102844764B (zh) 2015-12-16

Family

ID=44280970

Family Applications (2)

Application Number Title Priority Date Filing Date
CN201180018789.8A Expired - Fee Related CN102844764B (zh) 2010-04-12 2011-04-12 启动过程中的阶段性控制释放
CN201510815678.XA Pending CN105468982A (zh) 2010-04-12 2011-04-12 无线网络设备及将其完整性确认绑定至其它功能的方法

Family Applications After (1)

Application Number Title Priority Date Filing Date
CN201510815678.XA Pending CN105468982A (zh) 2010-04-12 2011-04-12 无线网络设备及将其完整性确认绑定至其它功能的方法

Country Status (9)

Country Link
US (3) US8856941B2 (zh)
EP (1) EP2558972A1 (zh)
JP (3) JP5647332B2 (zh)
KR (2) KR20130020734A (zh)
CN (2) CN102844764B (zh)
CA (1) CA2796331A1 (zh)
SG (1) SG184853A1 (zh)
TW (3) TW201741925A (zh)
WO (1) WO2011130211A1 (zh)

Families Citing this family (70)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012520027A (ja) 2009-03-06 2012-08-30 インターデイジタル パテント ホールディングス インコーポレイテッド 無線装置のプラットフォームの検証と管理
US20100325446A1 (en) * 2009-06-19 2010-12-23 Joseph Martin Mordetsky Securing Executable Code Integrity Using Auto-Derivative Key
CN101909058B (zh) * 2010-07-30 2013-01-16 天维讯达无线电设备检测(北京)有限责任公司 一种适合可信连接架构的平台鉴别策略管理方法及系统
CN103202045B (zh) * 2010-11-05 2016-06-01 交互数字专利控股公司 设备检验、遇险指示和补救
WO2013012436A1 (en) * 2011-07-18 2013-01-24 Hewlett-Packard Development Company, L.P. Reset vectors for boot instructions
EP2792100B1 (en) * 2011-12-15 2020-07-29 Intel Corporation Method and device for secure communications over a network using a hardware security engine
US10085207B2 (en) * 2012-01-27 2018-09-25 Intel Corporation Techniques for improved energy-savings management
EP2813028A4 (en) * 2012-02-09 2015-10-07 Intel Corp SPECIFICALLY ENCRYPTIVE KEY DERIVATION FROM AN APPLICATION IN A REPEATABLE MANNER USING A HIDDEN ROOT KEY
US20140281539A1 (en) * 2012-03-30 2014-09-18 Goldman, Sachs & Co. Secure Mobile Framework With Operating System Integrity Checking
US9130837B2 (en) * 2012-05-22 2015-09-08 Cisco Technology, Inc. System and method for enabling unconfigured devices to join an autonomic network in a secure manner
US9038179B2 (en) 2012-08-28 2015-05-19 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. Secure code verification enforcement in a trusted computing device
US9367335B2 (en) 2013-07-12 2016-06-14 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. State dependent optimization for sequential booting of heterogeneous systems
US9141373B2 (en) * 2013-07-31 2015-09-22 Arista Networks, Inc. System and method for accelerated software upgrades
US20150078550A1 (en) * 2013-09-13 2015-03-19 Microsoft Corporation Security processing unit with configurable access control
US9633210B2 (en) * 2013-09-13 2017-04-25 Microsoft Technology Licensing, Llc Keying infrastructure
US20150127930A1 (en) * 2013-11-06 2015-05-07 Seagate Technology Llc Authenticated device initialization
KR102232121B1 (ko) * 2013-11-14 2021-03-25 삼성전자주식회사 장치 대 장치 통신 시스템에서 보안키를 관리하는 방법 및 장치
US9959106B2 (en) * 2013-11-14 2018-05-01 International Business Machines Corporation Sharing of portable initialized objects between computing platforms
JP6265783B2 (ja) * 2014-03-06 2018-01-24 キヤノン株式会社 暗号化/復号化システム及びその制御方法、並びにプログラム
US20150286823A1 (en) * 2014-04-07 2015-10-08 Qualcomm Incorporated System and method for boot sequence modification using chip-restricted instructions residing on an external memory device
US9195831B1 (en) 2014-05-02 2015-11-24 Google Inc. Verified boot
WO2015187716A1 (en) * 2014-06-02 2015-12-10 Goldman, Sachs & Co. Secure mobile framework with operating system integrity checking
US10057240B2 (en) * 2014-08-25 2018-08-21 Sap Se Single sign-on to web applications from mobile devices
US10097513B2 (en) 2014-09-14 2018-10-09 Microsoft Technology Licensing, Llc Trusted execution environment extensible computing device interface
US9705879B2 (en) * 2014-09-17 2017-07-11 Microsoft Technology Licensing, Llc Efficient and reliable attestation
EP3657866A1 (en) * 2014-09-29 2020-05-27 Convida Wireless, LLC Service capability server / epc coordination for power savings mode and paging
CN104484593B (zh) * 2014-10-31 2017-10-20 小米科技有限责任公司 终端验证方法及装置
US10019604B2 (en) 2014-10-31 2018-07-10 Xiaomi Inc. Method and apparatus of verifying terminal and medium
WO2016114842A1 (en) 2014-10-31 2016-07-21 Convida Wireless, Llc End-to-end service layer authentication
WO2016109558A1 (en) * 2014-12-29 2016-07-07 Rubicon Labs, Inc. System and method for secure code entry point control
CN104602357B (zh) * 2015-01-19 2018-03-02 国家电网公司 适用于智能电网的无线传输多用户调度方法
KR102001753B1 (ko) 2015-03-16 2019-10-01 콘비다 와이어리스, 엘엘씨 공개 키잉 메커니즘들을 사용한 서비스 계층에서의 종단간 인증
US9798887B2 (en) * 2015-08-26 2017-10-24 Qualcomm Incorporated Computing device to securely activate or revoke a key
US10374777B2 (en) * 2015-08-31 2019-08-06 Qualcomm Incorporated Control signaling in a shared communication medium
US9916453B2 (en) 2015-12-22 2018-03-13 Qualcomm Incorporated Derived keys for execution environments in a boot chain
ES2957712T3 (es) * 2016-04-07 2024-01-24 Nagravision Sarl Dispositivo criptográfico flexible
US9916452B2 (en) * 2016-05-18 2018-03-13 Microsoft Technology Licensing, Llc Self-contained cryptographic boot policy validation
US10402566B2 (en) * 2016-08-01 2019-09-03 The Aerospace Corporation High assurance configuration security processor (HACSP) for computing devices
CN106529271A (zh) * 2016-10-08 2017-03-22 深圳市金立通信设备有限公司 一种终端及其绑定校验方法
TWI615732B (zh) * 2016-12-27 2018-02-21 瑞昱半導體股份有限公司 電子裝置之電子元件、啟動電子裝置的方法及加密方法
US10484371B2 (en) * 2017-05-22 2019-11-19 Seagate Technology Llc Device controller security system
US10666430B2 (en) * 2017-09-29 2020-05-26 Intel Corporation System and techniques for encrypting chip-to-chip communication links
US10482258B2 (en) * 2017-09-29 2019-11-19 Nxp Usa, Inc. Method for securing runtime execution flow
JP2019092134A (ja) * 2017-11-17 2019-06-13 株式会社シーエスサービス 暗号鍵生成方式
US11347861B2 (en) * 2018-04-10 2022-05-31 Raytheon Company Controlling security state of commercial off the shelf (COTS) system
CN110677250B (zh) 2018-07-02 2022-09-02 阿里巴巴集团控股有限公司 密钥和证书分发方法、身份信息处理方法、设备、介质
WO2020010515A1 (en) * 2018-07-10 2020-01-16 Apple Inc. Identity-based message integrity protection and verification for wireless communication
CN110795774B (zh) 2018-08-02 2023-04-11 阿里巴巴集团控股有限公司 基于可信高速加密卡的度量方法、设备和系统
CN110795742B (zh) 2018-08-02 2023-05-02 阿里巴巴集团控股有限公司 高速密码运算的度量处理方法、装置、存储介质及处理器
US10740084B2 (en) * 2018-08-16 2020-08-11 Intel Corporation Soc-assisted resilient boot
CN110874478B (zh) * 2018-08-29 2023-05-02 阿里巴巴集团控股有限公司 密钥处理方法及装置、存储介质和处理器
US11423150B2 (en) 2018-09-07 2022-08-23 Raytheon Company System and method for booting processors with encrypted boot image
EP3647983A1 (de) * 2018-10-30 2020-05-06 Siemens Aktiengesellschaft Vorrichtung und betriebsverfahren zum überprüfen von betriebsdaten einer gesicherten start-betriebsphase eines insbesondere in einer industriellen anlagenumgebung verwendbaren gerätes
US10841160B2 (en) 2018-11-08 2020-11-17 Arista Networks, Inc. System and method for processing messages during a reboot of a network device
EP3664358A1 (en) * 2018-12-03 2020-06-10 Nagravision S.A. Methods and devices for remote integrity verification
US11012425B2 (en) * 2018-12-28 2021-05-18 Micron Technology, Inc. Replay protection nonce generation
FR3094520B1 (fr) * 2019-03-25 2021-10-22 St Microelectronics Rousset Clé de chiffrement et/ou de déchiffrement
WO2020205507A1 (en) 2019-04-01 2020-10-08 Raytheon Company Adaptive, multi-layer enterprise data protection & resiliency platform
WO2020205497A1 (en) 2019-04-01 2020-10-08 Raytheon Company Root of trust assisted access control of secure encrypted drives
CN114884689A (zh) * 2019-07-12 2022-08-09 华为技术有限公司 一种远程证明方法及装置
US11379588B2 (en) 2019-12-20 2022-07-05 Raytheon Company System validation by hardware root of trust (HRoT) device and system management mode (SMM)
TWI737368B (zh) * 2020-06-29 2021-08-21 財團法人國家實驗研究院 機敏資料之分析方法及其系統
IL275954A (en) 2020-07-09 2022-02-01 Google Llc Anonymous event confirmation with group signatures
IL275947A (en) * 2020-07-09 2022-02-01 Google Llc Anonymous Event Confirmation
CN113254372A (zh) * 2020-08-07 2021-08-13 广东高云半导体科技股份有限公司 用两阶段配置过程提供可编程微控制器的方法和系统
US12039318B2 (en) * 2020-10-26 2024-07-16 Micron Technology, Inc. Endpoint customization via online firmware store
US20220222348A1 (en) * 2021-01-13 2022-07-14 Microsoft Technology Licensing, Llc Attesting update of a firmware layer
US11831688B2 (en) * 2021-06-18 2023-11-28 Capital One Services, Llc Systems and methods for network security
US20230064398A1 (en) * 2021-08-27 2023-03-02 Dell Products L.P. Uefi extensions for analysis and remediation of bios issues in an information handling system
WO2023048706A1 (en) * 2021-09-22 2023-03-30 Hewlett-Packard Development Company, L.P. Emulated network response

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1696360A1 (en) * 2005-02-23 2006-08-30 Samsung Electronics Co.,Ltd. Apparatus and system for remotely verifying integrity of memory for mobile platform, and method therefor
CN101410847A (zh) * 2006-06-30 2009-04-15 国际商业机器公司 在移动设备处的消息处理

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2779018B1 (fr) * 1998-05-22 2000-08-18 Activcard Terminal et systeme pour la mise en oeuvre de transactions electroniques securisees
DE60044844D1 (de) * 1999-02-15 2010-09-30 Hewlett Packard Co Kommunikation zwischen modulen in einer rechenvorrichtung
EP1126655A1 (de) * 2000-02-15 2001-08-22 Siemens Aktiengesellschaft Verfahren zur Authentizitätssicherung von Hard- und Software in einem vernetzten System
US20030028803A1 (en) * 2001-05-18 2003-02-06 Bunker Nelson Waldo Network vulnerability assessment system and method
US7325252B2 (en) * 2001-05-18 2008-01-29 Achilles Guard Inc. Network security testing
EP1338939A1 (en) 2002-02-22 2003-08-27 Hewlett-Packard Company State validation device for a computer
US20050283601A1 (en) * 2004-06-22 2005-12-22 Sun Microsystems, Inc. Systems and methods for securing a computer boot
US7694121B2 (en) * 2004-06-30 2010-04-06 Microsoft Corporation System and method for protected operating system boot using state validation
US8160244B2 (en) * 2004-10-01 2012-04-17 Broadcom Corporation Stateless hardware security module
US8166296B2 (en) 2004-10-20 2012-04-24 Broadcom Corporation User authentication system
US8281132B2 (en) * 2004-11-29 2012-10-02 Broadcom Corporation Method and apparatus for security over multiple interfaces
EP1913534A4 (en) * 2005-02-11 2010-07-07 Volt Inf Sciences Inc PROJECT WORK CHANGING IN A PLAN / AREA MANAGEMENT AND BUSINESS INFORMATION SYNERGY SYSTEM AND METHOD
JPWO2006093284A1 (ja) 2005-03-04 2008-08-07 ソフトバンクモバイル株式会社 価値情報出力方法及び移動通信端末装置
WO2006115984A2 (en) * 2005-04-21 2006-11-02 Securedpay Solutions, Inc. Portable handheld device for wireless order entry and real time payment authorization and related methods
US8285988B2 (en) 2006-05-09 2012-10-09 Broadcom Corporation Method and system for command authentication to achieve a secure interface
EP1855476A3 (en) * 2006-05-11 2010-10-27 Broadcom Corporation System and method for trusted data processing
US8136162B2 (en) * 2006-08-31 2012-03-13 Broadcom Corporation Intelligent network interface controller
JP5116325B2 (ja) 2007-03-15 2013-01-09 株式会社リコー 情報処理装置、ソフトウェア更新方法及び画像処理装置
US8984265B2 (en) * 2007-03-30 2015-03-17 Intel Corporation Server active management technology (AMT) assisted secure boot
WO2009020789A2 (en) * 2007-08-03 2009-02-12 Interdigital Patent Holdings, Inc. Security procedure and apparatus for handover in a 3gpp long term evolution system
US8782801B2 (en) * 2007-08-15 2014-07-15 Samsung Electronics Co., Ltd. Securing stored content for trusted hosts and safe computing environments
US8555049B2 (en) * 2007-10-05 2013-10-08 Panasonic Corporation Secure boot terminal, secure boot method, secure boot program, recording medium, and integrated circuit
US8683213B2 (en) * 2007-10-26 2014-03-25 Qualcomm Incorporated Progressive boot for a wireless device
US8837736B2 (en) * 2008-04-14 2014-09-16 Koninklijke Philips N.V. Method for distributing encryption means
WO2010036611A1 (en) 2008-09-24 2010-04-01 Interdigital Patent Holdings, Inc. Home node-b apparatus and security protocols

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1696360A1 (en) * 2005-02-23 2006-08-30 Samsung Electronics Co.,Ltd. Apparatus and system for remotely verifying integrity of memory for mobile platform, and method therefor
CN101410847A (zh) * 2006-06-30 2009-04-15 国际商业机器公司 在移动设备处的消息处理

Also Published As

Publication number Publication date
CN102844764A (zh) 2012-12-26
KR20130020734A (ko) 2013-02-27
TW201628368A (zh) 2016-08-01
EP2558972A1 (en) 2013-02-20
US20150026471A1 (en) 2015-01-22
JP2013524385A (ja) 2013-06-17
TW201202999A (en) 2012-01-16
US9679142B2 (en) 2017-06-13
CN105468982A (zh) 2016-04-06
SG184853A1 (en) 2012-11-29
US20110302638A1 (en) 2011-12-08
KR20120130793A (ko) 2012-12-03
JP2017022781A (ja) 2017-01-26
JP5647332B2 (ja) 2014-12-24
US8856941B2 (en) 2014-10-07
TWI584625B (zh) 2017-05-21
KR101523420B1 (ko) 2015-05-27
US20170277895A1 (en) 2017-09-28
TW201741925A (zh) 2017-12-01
JP2015035831A (ja) 2015-02-19
WO2011130211A1 (en) 2011-10-20
CA2796331A1 (en) 2011-10-20

Similar Documents

Publication Publication Date Title
CN102844764B (zh) 启动过程中的阶段性控制释放
CN102204305B (zh) 家用节点b设备以及安全协议
US9924366B2 (en) Platform validation and management of wireless devices
CN101822082B (zh) 用于uicc和终端之间安全信道化的技术
KR20070112260A (ko) Sim/uicc 키 설정을 위한 네트워크 지원 단말기

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 1180069

Country of ref document: HK

C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20151216

Termination date: 20180412

REG Reference to a national code

Ref country code: HK

Ref legal event code: WD

Ref document number: 1180069

Country of ref document: HK