これ以降において言及する場合、「WTRU(ワイヤレス送受信ユニット)」という用語は、UE(ユーザ機器)、移動局、固定もしくは移動加入者ユニット、ページャ、セルラー電話、PDA(携帯情報端末)、コンピュータ、またはワイヤレス環境において動作することが可能な他のどのタイプのデバイスも含むが、それに限定されない。これ以降において言及する場合、「基地局(base station)」という用語は、ノードB、サイトコントローラ、アクセスポイント(AP)、ゲートウェイ、CPE(顧客構内機器)、またはワイヤレスもしくはワイヤライン環境において動作することが可能な他のどのタイプのインタフェースデバイスも含むが、それに限定されない。これ以降で言及する場合、「HMS」という用語は、HMS(Home NodeB Management System)、HeMS(Home Enhanced−NodeB Management System)を含むが、それに限定されず、この2つはまとめて、H(e)MS、デバイス管理システム(DMS)、構成サーバ(CS)、自動構成サーバ(ACS)、または「基地局」の構成もしくは機能性を管理する他の任意のタイプのシステムと呼ぶこともできる。「WTRU」および「基地局」という用語は、相互排他的ではない。例えば、WTRUは、H(e)NB(enhanced Home Node−B)であり得る。これ以降で言及する場合、「情報理論的に安全(information−theoretically secure)」という用語は、完全に安全、無条件に安全、および情報理論的にほぼ安全を含むが、それに限定されない。これ以降で言及する場合、「信頼(trust)」、「信頼できる(trusted)」、および「信用できる(trustworthy)」という用語、並びにその変化形は、ユニットがある特定の方式で機能するかどうかを評価する、数量化可能であり観察可能な方式を示す。
自律的妥当性確認(AuV)および半自律的妥当性確認(SAV)を用いて、H(e)NB(home evolved node−B)完全性検証(integrity verification)および妥当性確認を行う機器および方法について本明細書に記載する。AuVおよびSAVに共通の詳細を記載し、続いてAuVおよびSAVに関して実装の詳細を記載する。
妥当性確認方法において使われる信頼できる参照値(TRV)を判定する方法について本明細書に記載する。デバイス完全性検査は、妥当性確認方法に共通のプロシージャである。デバイス完全性検査用に、コンポーネントについてされた測定の完全性をチェックできるように、1組のTRVが必要とされる。コンポーネントのこのような完全性検査は、コンポーネントがロードされる前に行われるべきであることが望まれ得る。このようなTRVは、使われる前にそれ自体によって認証され完全性を確実にされ得ることも望まれ得る。
完全性チェックを実施し、TRVを提供し生成するために、異なる完全性チェック方法を用いることができる。例えば、コードに対応するTRVを生成する方法は、デジタル署名方法を含んでよく、ハッシュベースのメッセージ認証コードまたは暗号化ベースのメッセージ認証コードも検討してよい。
デジタル署名方法について本明細書に記載する。デジタル署名方法では、公開鍵暗号技術を用いることができる。H(e)NBは、その私有鍵(private key)を使ってチェック語を暗号化することによって、モジュールのハッシュ(または、概してチェック語)にデジタル署名することができる。暗号化されたチェック語は次いで、プラットフォーム妥当性確認エンティティ(PVE)に送られればよく、PVEにおいてH(e)NBの公開鍵で復号し、TRVと比較することができる。ローカル完全性チェックのために、参照完全性チェックは、製造元によって署名され、H(e)NB内部でローカルに検証され得る。非限定的例として、テーブル1は、幾つかのデジタル署名方法を明らかにする。
ハッシュアルゴリズムおよびハッシュベースのメッセージ認証コードについて本明細書に記載する。ハッシングは、その入力の、一意(またはほぼ一意)および非可逆(またはほぼ非可逆)の要約を生じる単方向またはほぼ一方向の関数である。多くのケースにおけるデジタル署名は、暗号化されたハッシュに過ぎない。デジタル署名方法は、公開/私有鍵ペアを使うことができ、MAC(メッセージ認証コード)は、共有秘密鍵を使うことができる。チェック語は、組み込まれた秘密鍵(secret key)を有するモジュール(連結されたモジュールおよび鍵)を介して作成することができる。非限定的例として、テーブル2は、幾つかのハッシュアルゴリズム並びにハッシュベースのメッセージ認証コード方法を明らかにする。
暗号化ベースのメッセージ認証コードについて本明細書に記載する。チェック語は、ハッシュアルゴリズムによって作成し、次いで、秘密鍵を使って暗号化することができる。非限定的例として、テーブル3は、幾つかの暗号化ベースのメッセージ認証コード方法を明らかにする。
完全性メトリックは、ソフトウェアコンポーネントに対する完全性方法の実行によって生成されたダイジェスト(例えば、暗号ハッシュ値)である。コンポーネントは、本明細書において、完全性検査の最も小さい可能単位と見なされる。個々のバイナリ実行可能または事前実行可能ファイルが、コンポーネントの例である。一方、モジュールは、本明細書において、ソフトウェアパッケージの製造元が、証明し、配布するための最も小さい単位と見なされる。本説明の残りでは、概して、図1に示すように、1)コンポーネントは、常に1つまたは複数のモジュールからなることができ、2)どの1つのモジュールも、コンポーネント中に一度だけ現れる(すなわち、1つのモジュールが、2つのコンポーネント中に現れることはできない)と見なす。AuVおよびSAVでのデバイス完全性チェックおよび妥当性確認をサポートするために、モジュール、重大度に対応する参照完全性メトリック(RIM)など、ソフトウェアモジュールおよびそれに関連付けられた属性のリスト、並びに他の情報が提供されなければならない場合もある。参照完全性メトリック(RIM)は、個々のモジュールの完全性に対する参照値として働く。AuVのケースでは、リストは、製造元によって生成し、デバイスに安全に格納することができ、SAVのケースでは、リストは、製造元によって生成し、プラットフォーム妥当性確認エンティティ(PVE)(全モジュール)に与え、また、H(e)NBにプロビジョニングすることができる(多段階スタートアップ実装における段階1および段階2モジュール用)。どのようにソフトウェアモジュールが編成され、構造化され、または格納されるか、並びにこのようなモジュールのどのような種類がデバイスに存在し得るかは、H(e)NB実装形態に依存してよく、共通仕様言語を使って、モジュールおよびその属性を指定することができる。
例えば、XML(拡張マークアップ言語)およびASN.1(抽象構文記法1)ベースの方法が、共通仕様言語の実装に用いられ得る。デバイス構成データシートは、ソフトウェアモジュールおよびモジュールに関連付けられた様々な属性のリストを含む。データシートは、コンポーネントおよび機能性へのモジュールの分類も指定し得る。
H(e)NBのコンポーネントおよび/またはモジュール並びに関連付けられた属性を指定するための共通の高移植性言語を提供することができるソフトウェアモジュール属性のXMLベースの仕様について本明細書に記載する。可搬的に、およびH(e)NBアーキテクチャ不問なやり方で情報を提供するために、モジュールを指定する言語が進化されなければならない。言語は、XMLスキーマおよびXML文書を含むXML言語と同様でよい。モジュールの形式および様々な属性は標準化することができ、すべての製造元が、ソフトウェアモジュールを規定の形式で記述するデバイス構成データシートを提供する。形式は、XMLスキーマと同様でよく、デバイス構成データシートはXML文書と同様でよい。XML署名は、完全性、メッセージ認証および/または署名者認証を行うための、デジタル署名を追加するというサポートを提供する。バイナリXMLとは、より簡潔な表現であり、解析コストを削減し、且つあるエンティティから別のエンティティへの構成データの通信用の必要帯域幅を削減するための基礎として使うこともできる。XMLスキーマの例は、テーブル4に示してあり、製造元がそのモジュールを指定することができる標準形式でよい。
製造元は、デバイス構成データシートを提供し、デジタル署名でシートに署名することができる。このデバイス構成データシートは、AuV用のH(e)NBの所で維持することができる。チェックが失敗したケースでは、デバイス構成シート自体のデジタル署名が検証された場合、適切なアクションをとることができる。というのは、このことは、任意の失敗モジュールの影響についての情報を含む、ソフトウェアの属性が、ソフトウェアモジュール自体(すなわち、バイナリイメージ)が変化しており完全性検査に失敗していても、損なわれていないことを意味するからである。SAVのケースでは、デバイス構成シートは、デバイスおよびPVEの所で維持することができる。本明細書に記載するように、SAVをサポートするための追加アクションを追加することもできる。
H(e)NBのコンポーネントおよび関連付けられた属性を指定するための共通の高移植性言語を提供することができる、ソフトウェアモジュール属性のASN.1ベースの仕様について本明細書に記載する。遠隔通信およびコンピュータネットワーク接続において、ASN.1は、データを表し、符号化し、伝送し、デコードするデータ構造を記述する、標準的であり柔軟な表記法である。ASN.1は、マシン固有符号化技法に依存しないオブジェクトの構造を記述するとともに、曖昧さをなくす精密な公式表記法である公式規則セットを提供し得る。通信プロトコル用のメッセージを定義するのに一般に使われるように、ASN.1は、それに関連付けられた符号化規則とともに、バイナリ符号化を結果的にもたらす。インターネットプロトコルであるHTTPおよびSMTPなど、他の通信プロトコルは、テキストタグおよび値を使って、時にはABNF(拡張バッカス−ナウア記法)表記法に基づいて、メッセージを定義する。この定義は、符号化も定義するが、テキスト形式である。
ASN.1手法は、より効率的であると信じられており、圧縮符号化規則を用いて、確かにより簡潔な符号化を提供する。テキスト手法は、(テキスト列の作成および解析により)実装するのがより簡単であり、符号化されたメッセージを読むだけでよいので、デバッグするのがより簡単であると主張されている。Megacoプロトコルのケースでは、ASN.1およびABNFに基づいて2つの符号化が定義された。
ASN.1 XML符号化規則(XER)は、ASN.1表記法を使って定義されたデータ構造のテキスト符号化を可能にする。ユーザとの間でデータを提示し入力するという唯一の目的のために、一般的文字列符号化規則も定義された。デバイス完全性メトリックを伝達するASN.1の例を、テーブル5に示すことができる。
デバイスにある各ソフトウェアモジュールにとって、それと関連付けられたモジュール属性がネットワークに知られている場合、SAVプロシージャ中に、H(e)NBは、ローカル完全性チェックプロシージャ中の完全性チェックに失敗した全モジュールの識別(ID)のリストだけをPVEに送ればよい。ネットワークは、PVEを経由して、特定のソフトウェアモジュールの関連属性およびモジュールの失敗の影響を知ることになる。この情報は、本明細書に記載するように、ネットワークがとる次のステップの評価を行うのに用いることができる。
H(e)NBに送信されると見なすことができ、H(e)NB管理システム(H(e)MS)など、信頼できるサードパーティ(TTP)から、デジタル証明書(digital certificate)または署名されたメッセージとしてプロビジョニングすることができるソフトウェアモジュール属性について本明細書に記載する。例えば、コードイメージに対する全体的情報要素は、H(e)NBの製造元およびモジュールコードイメージのダイジェストまたはRIMを生成するのに用いられ得る完全性方法を含み得るが、それに限定されない。
コンポーネント特有の情報を記述するための方法について本明細書に記載する。1つまたは複数のコンポーネントが、ソフトウェアモジュールを成す。コンポーネントとは、完全性検査の基本的単位である。各コンポーネントに関連付けられた、1つの信頼できる参照値(TRV)がある。コンポーネント特有の情報要素は、コンポーネント説明に対応する、一意に識別可能なIDであるコンポーネントIDを含み得る。これは、1つのTRVでチェックされるべきコードの単位のIDである。情報要素は、H(e)NB上での完全性検査機構が、コンポーネントの測定値を比較して、コンポーネントの完全性を検証するのに使うことができるTRVをさらに含み得る。
モジュール特有の情報要素は、H(e)NB内部の特有のモジュール機能を記述するモジュール説明およびモジュールを製造元に対して一意に識別するモジュールIDを含み得るが、それに限定されない。この情報要素は、このモジュールがマップされる先のH(e)NBの特有の機能性を識別する機能説明およびグローバルに識別可能なIDでよく、複数のベンダに渡って標準化され、機能説明に対応し得る機能IDも含み得る。この情報要素は、このモジュールがマップする先のコンポーネントを識別するコンポーネントIDおよびモジュールのバージョン番号を示すリリースバージョンをさらに含み得る。コンポーネントとモジュールとの間に1対1のマッピングがあるケースでは、モジュール特有の情報は事実上、コンポーネント特有の情報と同一であり得る。
モジュール特有の情報要素は、システムの機能性に関する、現在のソフトウェアの完全性チェックの失敗の影響を指定する重大度分類も含み得る。例えば、複数レベル重大度分類システムが存在し得る。例えば、重大度1は、H(e)NB機能性に対して高い影響を結果的に生じるモジュール/機能の失敗でよく、システムの停止動作を保証し得る。モジュール/機能の失敗は、フォールバックコードイメージ(FBC)に基づいて、システムに沿った乱れを結果として生じ得る。この場合、ネットワークベースのデバイス管理システム(デバイスがH(e)NBである場合はH(e)MSとなる)との通信が可能であり得る。FBCは、指定されたH(e)MSに非常信号を送ることが可能であり得る。さらに、ネットワークが開始したファームウェア/ソフトウェアアップデートをサポートすることもできる。例えば、H(e)NBの信頼できる環境(TrE)のためのどのモジュールまたはコンポーネントも、重大度1をもち得る。重大度2は、制限されたH(e)NB機能性を結果的に生じることがあるモジュール/機能の失敗でよく、この失敗は、フルH(e)NB機能性のサブセットとして部分的に機能することができ、またはフルH(e)NB機能性のサブセットをサポートすることができる。この場合、セキュリティゲートウェイ(SeGW)との通信が可能であり得る。重大度3は、システムのコア機能性に影響し得ないモジュール/機能の失敗でよいが、依然として、失敗のケースでは早期修復を求めるのに十分な程重要と見なされ得る。失敗したモジュール/機能は、即座のファームウェア/ソフトウェアアップデートプロシージャを介して置き換え、後続リブートにより妥当性確認することができる。重大度4は、システムのコア機能性に影響し得ないモジュールの失敗でよい。失敗したモジュール(複数可)は、通常のファームウェア/ソフトウェアアップデートスケジュールを介して置き換えることができる。
妥当性確認方法のための報告プロシージャまたは方法について本明細書に記載する。AuV用に、デバイス完全性チェックの全プロシージャを、ローカルに実施することができる。完全性チェックが失敗した場合、非常信号をH(e)MSに送って、失敗を示すことができる。後続アクションは、送付担当者から、課題を解決し、またはデバイスを検疫(quarantine)するために広がり得る。修復は、失敗したモジュールのリストが修復サーバ/H(e)MSに報告され得るケースにおいて実施することができる。SAVのケースでは、完全性チェックに失敗した機能性のリストが、PVEに報告され得る。
モジュールは、製造元の実装に依存する。コンパイルされた1組のソフトウェアモジュールは、オブジェクトイメージを形成し得る。完全性チェックは、オブジェクトイメージチャンクに対して実施することができる。したがって、完全性チェックがそれに対して行われる1組のモジュールを組み合わせるコンポーネントが導入されている。1つのモジュールは、コンポーネント中で一度現れ、ただ1つのコンポーネント中で現れる(すなわち、1つのモジュールが、2つのコンポーネント中で現れることはできない)。このように、完全性チェックが実施されると、モジュールは一度だけ調べられる。H(e)NBの製造元(個々のどのソフトウェアモジュールの製造元と同一でも、異なってもよい)は、アーキテクチャに基づいて、デバイス完全性チェックのために、モジュールをコンポーネントにどのようにして区分するかを決定する。
機能性は、H(e)NBの要件および機能アーキテクチャに基づいてよく、標準化された識別子でよい。例えば、Iuインタフェースおよび移動管理は、機能である。モジュールは、この2つの機能の間で共有することができる。したがって、コンポーネント(完全性チェック単位である)が完全性チェックに失敗すると、影響を受けたモジュールが分かる。各モジュールは、それに関連付けられた機能性をもつので、失敗した機能性のリストが導出され得る。この失敗した機能性のリストは、SAVにおいてPVEに送られる。
機能性IDについて本明細書に記載する。アーキテクチャの実装は、ソフトウェアモジュールの数およびタイプを支配する。複数の製造品および/または関係者(モバイルネットワークオペレータなど)に渡って報告構造および手順を調和させるために、報告は、実際のモジュールではなく機能性に基づいて行うことができる。ソフトウェアモジュールは、その機能性に基づいてグループ化することができる。機能性IDは、機能性説明に基づいてモジュールを分類するための手段を提供する。テーブル6は、現在知られているものに基づいて導出されている機能性の一部を列挙している。このリストは、拡張し標準化することができる。テーブル6中で、最終有効桁が1〜9の番号は、将来の使用または拡張性のために取り置かれている。
コンポーネントIDについて本明細書に記載する。複数のデバイス完全性チェックを調和させるために、モジュールは、生成されたイメージに基づいて分類することができる。1組のオブジェクトファイルを、イメージファイルの中に一緒にアーカイブすることができる。このようなモジュールグループは、同じコンポーネントIDを含み、まとめて完全性をチェックされ、したがって、1つのコンポーネントに対して信頼できる1つの参照値(TRV)をもつ。各ソフトウェアモジュールは、それ自体の参照完全性メトリック(RIM)を伴うので、コンポーネントの信頼できる参照値(TRV)は、関連付けられたRIMをそれぞれがもち得る、1つまたは複数のソフトウェアモジュールの連結のダイジェスト(例えば、ハッシュ)として取得することができる。1つのコンポーネントIDで現れるモジュールは、別のコンポーネントIDで現れる同じモジュールとは異なる機能性IDにマップされ得ることに留意されたい。このプロシージャは、製造元に、そのアーキテクチャおよびコンパイラに基づいて柔軟性を与え、例えば、オブジェクトイメージまたはSAV完全性チェックの段階どちらかに基づいて、モジュールのグループ化を可能にする。
モジュールIDは、ソフトウェアの様々なモジュールを追跡するのに使われ、標準化することは不可能ではないが、標準化しなくてよい。モジュールIDが標準化されない場合、どのモジュールおよび何個のモジュールが存在するかの決定は、製造元に一任してよい。モジュールIDは、ファームウェア/ソフトウェアアップデートパッケージを提供し、追跡し、組み立てるのに使うことができる。
モジュール、コンポーネントおよび機能性など、様々な識別子の間の関係を編成し、述べる方法および構造について本明細書に記載する。図1は、一例である方法および構造を示す。ソフトウェアアーキテクチャは、モジュールの数およびタイプを定義する。こうしたモジュールは、その機能性および完全性チェック単位に基づいて分類される。複数のモジュールからなるコンポーネントは、独自のTRVをもつ。任意のコンポーネントの、そのTRVを使う完全性検査が失敗した場合、コンポーネント自体が変えられるか、またはそのダイジェストがTRVの値と同じでなくなっているか、またはコンポーネントに対応するTRVが変えられている。いずれのケースでも、完全性チェックが失敗すると、モジュールと、完全性検査に失敗したコンポーネントとの間のマッピング並びにモジュールと機能性との間のマッピングを用いて、失敗した(または少なくとも「影響を受けた」)機能性のリストを判定することができる。影響を受けた機能性の識別子のリストは、H(e)MSまたはPVEに伝達され得る。
図2は、コンポーネントおよび機能性の構造例を示す。図に示すように、コンポーネントが、完全性チェックがそれに対して実施される単位であるとき、コンポーネントは、製造元によって決定され得る。各コンポーネントに、機能性のリストを関連付けることができる。コンポーネントは機能性に基づく。したがって、コンポーネントが完全性チェックに失敗すると、失敗した機能性のリストを組み立てることができる。コンポーネントは、そのロード順の順序で、または或いは、実行順の順序で編成することができる。したがって、コンポーネント1がチェックに失敗した場合、コンポーネント1にある機能をローディングまたは実行のどちらかに使うコンポーネント2の機能性も失敗する可能性がある。
失敗した完全性チェックに基づいて、失敗した機能性のリストを抽出するための別の代替的実装形態は、イメージオブジェクトファイルのチャンクに対して完全性チェックを実施するものでよい。オブジェクトイメージ中の開始アドレスおよび終了アドレスで指定されたあるイメージブロックが、完全性チェックを通らない場合、失敗したセグメントに対応するソフトウェア機能の名称が抽出される。実装された機能に基づいて、失敗したH(e)NB機能性のリストを導出することができる。この導出は、ソフトウェア機能が、一定のH(e)NB機能性を実装するモジュールに属すので、行うことができる。例えば、UNIX(登録商標)環境では、「nm」が、オブジェクトファイルにある機能の名称を抽出するための機能性を提供する。この情報は、オブジェクトの記号テーブルから抽出される。
妥当性確認方法のためのソフトウェアおよびTRVのダウンロードおよびプロビジョニングについて本明細書に記載する。使われ得る3つのプロトコルは、TR069ベースのアーキテクチャ、OMA(オープンモバイルアライアンス)DM(デバイス管理)ベースのアーキテクチャおよびTCG(trusted Computing Group)IWG(インフラストラクチャワークグループ)ベースのアーキテクチャである。さらに、こうしたプロトコルは、プロビジョニングサポートを利用して、H(e)NBを構成するのに使うこともできる。こうした3つ以外の他のプロトコルも検討することができる。
図3のTR069ベースのアーキテクチャは、CPE(顧客構内設備)と自動構成サーバ(ACS)との間の通信を意図したCPE WAN(ワイドエリアネットワーク)管理プロトコルを記述する。CPEは、H(e)NBにマップし、ACSは、H(e)MS/修復サーバ/OAM(運用、管理および保守)にマップする。CPE WAN管理プロトコルは、CPEソフトウェア/ファームウェアイメージファイルのダウンロードを管理するためのツールを提供し得る。このプロトコルは、バージョン識別、ファイルダウンロード開始(ACS開始ダウンロードおよびオプションのCPE開始ダウンロード)、並びにACSへの、ファイルダウンロードの成功または失敗の通知のための機構を提供し得る。
CPE WAN管理プロトコルは、CPEが実施するべき明示的インストール命令に従って、個々のファイルまたはファイルのパッケージをダウンロードするのにオプションで使われ得る、デジタル署名済みファイル形式も定義し得る。この署名済みパッケージ形式により、ダウンロードされたファイルおよび関連付けられたインストール命令の完全性が確実にされ、ACSオペレータ以外の当事者でよいファイルソースの認証を許可する。ダウンロードされたファイルの完全性検査は、ダウンロードされたファイルに含まれる、個々のモジュールから計算される完全性ダイジェスト(例えば、ハッシュ)と、それに対応するRIM値との比較に基づき得る。
CPE WAN管理プロトコルは、デバイス完全性検査に必要とされるTRVをH(e)NBにダウンロードするのに有用であり得る。このような内容は、ネットワークオペレータの署名鍵でデジタル署名され得る。署名されたパケットを受信すると、H(e)NBは次いで、署名を復号し、受信されたTRVの真正性および完全性を検証することができる。コンポーネントが、幾つかのモジュールの順序付き連結として組み立てられるケースでは、TRVは、モジュールに対応するRIMの順序付き連結として組み立てることができる。
TRVは、デジタル署名される前に、機密性のために暗号化してもよい。TRVは、デジタル署名された同じパケットの中で、TRVがそれに対して作成されるソフトウェアモジュールバイナリイメージの全体または(最初もしくは最後の)部分に付加することができる。
H(e)NBデバイスを取り扱う追加プロシージャについて本明細書に記載する。こうした追加要件およびプロシージャでは、以下の説明においてH(e)NB−H(e)MSインタフェースとして識別されるインタフェースを使うことができる。H(e)NBの妥当性確認は、追加プロトコルコンポーネント要件を必要とし得る。H(e)NB−H(e)MSは、SSL/TLS(セキュアソケットレイヤ/トランスポートレイヤセキュリティ)をサポートし、H(e)NBとH(e)MSとの間の証明書ベースの認証を用いるべきである。この証明書は、SeGWへの認証に使われる、同じ証明書でよい。H(e)NB−H(e)MSインタフェース用にTR069ベースのアーキテクチャが使われる場合、CPE認証のための基本またはダイジェスト認証は、証明書ベースの認証をサポートするように適合される必要があり得る。
TR069アーキテクチャに基づくH(e)MS発見に必要とされ得るプロシージャまたは構造について本明細書に記載する。H(e)NBは、ManagementServer.URLパラメータ中のデフォルトのH(e)MS URL(ユニフォームリソースロケータ)で構成されるべきである。この初期構成は、H(e)NBを分散させている間にオペレータによって、または製造元によって行うことができる。H(e)NBは、認可された管理者によって、LAN(ローカルエリアネットワーク)側ManagementServer.URL構成をサポートすることができる。H(e)MS URLは、HTTPS(ハイパーテキスト転送プロトコルセキュア)URLでよい。ホスティング側DHCP(動的ホスト構成プロトコル)ベースのH(e)MS URLアップデートプロシージャは、サポートされなくてよい。値がローカルにアップデートされた場合、H(e)NBは、新規H(e)MSに接触して、構成ファイルをブートストラップし、密接性(affinity)を確立することができる。URLは、名称またはIP(インターネットプロトコル)アドレスである場合、DNS(ドメインネームシステム)解決を求め得る。名前のDNS解決は、複数のIPアドレスを戻す場合があり、そのケースでは、複数のIPを戻してはならないことが確実になるか、または複数のIPが戻された場合は、H(e)NBがランダムに1つを選び出すかのどちらかである。
TR069アーキテクチャに基づくSeGW発見について本明細書に記載する。H(e)S URLと同様、SeGW URLを、パラメータ(SecureGateway.URL)として追加することができる。このURLは、H(e)NBの場所に基づいて、オペレータによって構成され得る。DHCPによるこのパラメータのアップデートは、サポートすることができない。認可された管理者によるローカルアップデートは実施することができる。
AuVおよびSAVの目的で、TR069、OMA DM、またはTCG IWGなどのデバイス管理プロトコルを適応させるための追加機構について本明細書にこれ以降で記載する。
妥当性確認方法のためにソフトウェアおよびTRVをダウンロードしプロビジョニングする、OMA DMベースのアーキテクチャについて本明細書に記載する。OMA DMは、OMA DM作業グループおよびDS(データ同期)作業グループによって共同で指定されるデバイス管理プロトコルである。OMD DMは、電話、PDA、および他の同様のデバイスなど、小型のフットプリントモバイル機器用に開発されたが、機器とDMサーバとの間のブロードバンドワイヤライン接続性はサポートせず、短距離ワイヤード接続性(例えば、USB(ユニバーサルシリアルバス)やRS232C)またはワイヤレス接続性(GSM(登録商標)(移動体通信用グローバルシステム)、CDMA(符号分割多重アクセス)、WLAN(ワイヤレスローカルエリアネットワーク)、および他のワイヤレス通信システム)のみをサポートし、H(e)NB用のデバイスプロビジョニングおよび管理プロトコルとして有用であり得る。このことは、コアネットワークに対してはWTRU(ワイヤレス送受信ユニット)としてそれ自体を提示し、共通シリアルゲートウェイ(CSG)およびそれに接続する非CSG WTRUに対しては基地局としてそれ自体を提示し得るH(e)NBに対して当てはまり得る。
OMA DMは、プロビジョニング(初回デバイス構成を含み、特徴を可能/不能にする)、デバイス構成アップデート、ソフトウェアアップグレード、並びに診断報告および照会などの使用ケースをサポートし得る。OMA DMサーバ側は、こうした機能すべてをサポートすることができるが、デバイスは、オプションで、こうした特徴の全部またはサブセットを実装してもよい。
OMA仕様は、小型フットプリントデバイス向けの、上に列挙した特徴を、接続性を制約してサポートするように最適化され得る。この仕様は、それらの仕様の一部として行われる認証プロトコルを用いて(EAP−AKA(extensible authentication protocol−authentication and key agreement)などのプロトコルを使用することによって)、統合型セキュリティもサポートし得る。
OMA DMは、XML(または、より正確には、SyncMLのサブセット)を、データ交換に使うことができる。これは、妥当性確認目的のために、ソフトウェアモジュール用の属性またはH(e)NB用の機能性を定義し伝えるための、標準化可能でありながら柔軟なやり方を提供するのに有用であり得る。
デバイス管理は、DMサーバ(デバイス用の管理エンティティ)とクライアント(管理されるデバイス)との間で起こる。OMA DMは、WAP(ワイヤレスアプリケーションプロトコル)、HTTP、またはOBEX(オブジェクト交換)もしくは同様のトランスポートなどのトランスポートレイヤをサポートする。
DM通信は、通知または警告メッセージどちらかを用いる、WAP、プッシュまたはSMS(ショートメッセージサービス)など、任意の利用可能方法を用いて、DMサーバによって非同期に開始される。サーバとクライアントとの間で通信をセットアップすることができると、メッセージのシーケンスを交換して、所与のDMタスクを完了することができる。
OMA DM通信は、要求応答プロトコルに基づいてよく、このプロトコルでは、要求はDMサーバによってのみ行うことができ、クライアントは、返信メッセージで応答するだけでよい。サーバおよびクライアントは両方とも状態をもち、このことは、特有のシーケンスが原因で交換されるどのデータも、内蔵型認証プロシージャの後でのみ起こり得ることを意味する。
DM通信は、DMサーバによってのみ開始することができるので、DMを介したSAVの実装には、妥当性確認のためのサーバ照会ベースの手法が求められる場合があり、可能性としては(即座に)、IKE(インターネット鍵交換)v2(デバイスによって開始される)を用いるデバイス妥当性確認プロシージャに続く。異なる幾つかのメッセージタイプは、妥当性確認データ(例えば、失敗したソフトウェアモジュールやデバイス機能性のリスト)のコンベアと見なすことができる。例えば、管理警告メッセージは、デバイスからサーバに送られ得る。或いは、少なくとも1つの管理警告メッセージがデバイスまたはサーバどちらかから伝送された後でデバイスからDMサーバに送られ得る汎用警告メッセージのユーザも、検討され得る。こうした警告メッセージを含む全メッセージは、内容および内容に関するメタデータを指定する際の柔軟性を与えるSyncML(同期マークアップ言語)形式を使うので、妥当性確認情報転送に有用であり得る。DMは、セグメント化データ転送をサポートすることができ、この転送は、アップデートのサイズが大きい場合があるソフトウェアアップデートに有用であり得る。セグメント化データ転送は、このような情報のサイズにより、複数のメッセージへの区分が求められる程十分に大きいケースにおいて、H(e)NBからPVEへの、H(e)NBの、失敗した機能性のリストの転送にも用いることができる。
妥当性確認方法のためのソフトウェアおよびTRVをダウンロードしプロビジョニングする、TCG IWGベースのアーキテクチャについて本明細書に記載する。TCG(trusted Computing Group)、IWG(インフラストラクチャ作業グループ)は、プラットフォーム完全性管理のための詳細な形式およびプロトコルを指定している。完全性測定および報告のための基本的なモデルでは、ネットワークおよびサービスアクセスは、プラットフォームの検証済み状態が条件とされ得る。
TCG IWG標準は、H(e)NB SAVまたはAuV用に求められる構造のスーパーセットを提供する。IWG仕様はどれも、そのまま用いることはできない。さらに、IWG仕様を、デバイス妥当性確認の特有の使用ケースにプロファイリングするには、XMLスキーマの修正(例えば、求められる要素の省略)が求められ、これは、IWG標準からの逸脱を意味する。
要求側プラットフォームとネットワーク側検証元との間の基本的な対話を、図4に示す。検証元は、要求側のプラットフォームのコンポーネントそれぞれに関する権威ある情報を探す必要がある(第5のステップで)。つまり、検証元は、メトリックプロバイダによって利用可能にされるプラットフォーム妥当性確認のために、参照測定値を求める。メトリックプロバイダの例は、ハードウェア製造元、ソフトウェアベンダまたは製造元およびベンダの代理の信頼できるプロバイダである。検証元が、要求側のプラットフォームの各コンポーネントを識別し、報告された測定値を、期待される(ベースライン)参照測定値(そのコンポーネントに関する)と突き合わせて比較することができると、検証元は、要求側のプラットフォームの信頼レベルを測ることができる。この段階で、検証元は、依拠当事者(relying party)の所で資源/サービスにアクセスするための、要求側の要望に関して決定を行うことができる。これを、第6のステップに示す。
IWG完全性検証アーキテクチャは、検証されたプラットフォーム上でのハードウェアTPM(信頼プラットフォームモジュール)の存在にほとんど依存しないことに留意されたい。特に、標準において指定されるデータ形式は、汎用コンポーネントおよびプラットフォームセキュリティ関連属性を表すことが可能である。
所与のコンポーネントにおける技術的信頼をサポートするために、コンポーネント製造元は、コンポーネントの出所に関する情報をもつ、製造元の製品をサポートすればよい。つまり、製造元または信頼できるサードパーティは、そのコンポーネントに関する幾つかの静的参照値を提供しなければならない。コンポーネントに関するこうした静的参照/メトリック値は、参照測定値と呼ばれ、TCG参照マニフェスト(RM)構造の形で表される。コンポーネント用のマニフェストは、その識別、製造元、モデル番号、バージョン番号、およびそれ以外などの情報を含む。このアプリケーションの目的のために、H(e)NBのコンポーネントの信頼できる参照値(TRV)は、TCG IWG参照マニフェスト(RM)構造によって指定され得る。
プラットフォームは、妥当性確認される必要があるとき、妥当性確認元(プラットフォーム検証エンティティ、すなわちPVEなど)に、図5に示すような、プラットフォームのコンポーネントをカバーする1組のスナップショットからコンパイルされた完全性レポートを提供しなければならない。スナップショットは、プラットフォームのすべての関連コンポーネント(および可能性としてはこうしたコンポーネントの下位コンポーネント)についての測定値およびアサーション両方を表す。参照(ID Ref)は、図6に示すように、完全性レポート中で報告されるコンポーネントに関する情報をポイントするのに使われる。
RMに基づく妥当性確認のためのコア要素は、TCG標準に記載されている。柔軟性のために、XML名前空間が、IWG形式、例えば、モバイル、またはPCクライアントのプラットフォーム固有プロファイル用に使われ得る。
相互運用可能な完全性ログ構造は、プラットフォーム特有の符号化を指示するための「ハードウェアアーキテクチャ」タイプ値を定義することによって、幾つかのプラットフォーム特有の制約に対処することができる。タイプ値は、XML名前空間およびXRIなど、相互運用可能な名前空間機構を用いるTCG名前空間によって定義され得る。
コアスキーマから拡張によって継承するRMスキーマは、参照を保持するための構造を定義する。RMスキーマは、図7に示すように、2つの情報セットからなるものとして、大まかに理解すればよい。第1のものは、個々のコンポーネントについての情報に関し、例えばコンポーネントモデル、名称、バージョン、シリアルナンバーなどの属性をカバーする。この情報は、ComponentIDtype構造に取り込まれる。このコンポーネント特有の周辺情報は、コンポーネント情報の取込み(獲得)に関するメタデータである。このデータは、スキーマにおけるIntegrityManifestType構造で表される。取り込まれるメタデータは、使われる収集(獲得)方法、RM署名(および関連付けられた署名者/発行元情報)、コンポーネント(ソフトウェア用)に関するダイジェスト値(複数可)、信頼性レベル(confidence level)、行われるアサーション並びにそれ以外を含む。
AuV特有の項目について本明細書に記載する。AuVでは、完全性チェックはローカルに実施することができる。したがって、本明細書に記載するデジタル署名またはメッセージ認証コードのどれを使ってもよい。これらは、製造元の私有鍵/共有の秘密を使って、製造元によって署名し、その真正性を、製造元共有の秘密または公開鍵を使ってローカルに検証することができ、コードの完全性をローカルに検証するのに使うことができる。
ただし、AuVでは、デバイス妥当性確認は、デバイス内部でローカルに実施することができ、情報は、どのネットワークエンティティにも送られない。したがって、妥当性確認に使用するための正確な方法の決定は、製造元に一任され得る。ただし、「完全性アルゴリズムは、SHA−1と等価またはより優れたセキュリティを与えなければならない」など、最低限のセキュリティ要件を標準化することができる。
どのようにしてAuVがTRV証明書管理を実装するかについて本明細書に記載する。システムのコンポーネントは、実際の実装形態に依存するので、デバイス完全性に用いられる複数の機構を調和させる必要がある。これは、TRVとして知られる信頼できる参照完全性メトリックを生成するのに用いられる方法に対する最低要件を標準化することによって達成され得る。こうしたTRVは、製造元によっても、値にデジタル署名するTTPによっても生成することができる。したがって、情報を編成し、TRVを生成し、分配し、使うための機構が見直される。
初回TRV証明書初期化について本明細書に記載する。H(e)NBを完全に開発した後、製造元は、ローカル完全性データ初期化を実施する。このプロセスでは、ソフトウェアモジュール名がすべて、デバイス構成データシート中に収集される。構成ファイルに関連したいずれかの工場設定が存在する場合、こうした設定は、デバイス構成データシートにも含まれる。モジュールは、実行可能ファイルであってソースコードではない。構成データの初期プロビジョニングも実施される。デバイス構成データシートスキーマは、標準スキーマに従う。本明細書において提示するXMLまたはASN.1スキーマは、ベースラインとして使われ得る。重大度、互換性、段階およびそれ以外についての属性はすべて、デバイスのアーキテクチャに基づいて投入される。
図8は、証明書管理アーキテクチャ800を示す。製造元の証明書サーバ805の所で、モジュールエントリ810はすべて、参照完全性メトリックを投入される。完全性方法属性およびTRV属性が投入される。デバイス構成データシートは次いで、私有鍵820を使って製造元によって署名される。データシートは、TTPによって製造元に対して発行されるルート証明書を参照して証明することもできる。このように、参照完全性メトリック(RIM)はTRV830になる。
代替アーキテクチャでは、TRVは、TTPによって生成することができる。製造元は、実行可能ファイルと、モジュールすべておよび製造元のサイトで満たすことができる幾つかの投入済み属性を列挙する、部分的に完了されたデバイス構成シートとを提供する。ダイジェストメトリックであるTRVは、TTPによって投入される。TTPは次いで、デバイス構成証明書にデジタル署名する。
AuVはデバイス内部でローカルに実施されるので、デバイス構成データシートは、デバイス内部で維持することができる。デバイス構成データシートは、認可された当事者によってのみアクセスされ得る安全なメモリ内に保たれなければならない。或いは、デバイス構成データシートは、暗号化されなければならず、読み出され、使われるときにH(e)NB内で復号され得る。いずれのケースでも、H(e)NBの信頼できる環境(TrE)のみが、アプリケーションによる読出しアクセスのためにデバイス構成データシートを解放し、またはそれを修正する権限をもつべきである。
安全なスタートアッププロセスの間、デバイスがコンポーネントのローカル測定を実施すると、生成されたダイジェストは、デバイス構成データシート中で指定された値と比較される。不一致が起きた場合、デバイス完全性の妥当性確認の失敗と解釈される。デバイス構成データシートの完全性は、アクセスされる前に検証されなければならない。デバイス構成データシートの完全性は、データシート中で指定されるいずれか1つまたは複数のコンポーネントの1つまたは複数の完全性チェック失敗の後で検証してもよいであろう。
後続TRV証明書アップデートプロシージャについて本明細書に記載する。展開されたH(e)NBシステムにとって、製造元によって新規ソフトウェアバージョンが発行される場合、製造元は、H(e)MS/OAMサーバ/修復サーバに、ソフトウェアモジュールとともにデバイス構成データシートを提供することができる。これは、製造元による「PUSH」動作を実施することによって非同期に行われ得る。このようなPUSHは、オペレータと製造元との間で署名されたサービス合意に基づいてオペレータと製造元との間で合意される、スケジュールされたアップデート/アップグレードに基づいてスケジュールされ得る。
このようなPUSHに続いて、スケジュールされたときにリブートして、H(e)MS/OAM/修復サーバからソフトウェア/ファームウェア向けの「PULL」動作を実施するようデバイスに命令する、ファームウェアまたはソフトウェアモジュールをアップデートするためのOAMプロシージャまたはTR069プロシージャが呼び出され得る。暗号化、署名およびノンスは、それぞれ、機密性、完全性、および反射攻撃に対する保護などのセキュリティ側面を提供し得る。
或いは、ソフトウェアリリーススケジュールに基づくスケジュールされた満了によりデバイス構成データシートが失効すると、H(e)NBは、ファームウェア/ソフトウェアアップデートプロセスをスタートし、OAM/修復サーバからソフトウェア/ファームウェア向けのPULLを開始することができる。或いは、H(e)MSは、ソフトウェアリリースの既知のスケジュール(例えば、製造元から取得される)に基づいて、ソフトウェアアップデートの、スケジュールされたPUSHを実施することもできよう。
デバイスへのソフトウェア/ファームウェアダウンロードをサポートするTR069またはOMA DMアーキテクチャに基づくプロシージャについて本明細書に記載する。AuVのケースでは、TR069プロトコルは、顧客構内機器の遠隔管理のサポートを提供し得る。このプロトコルは、デバイスソフトウェア/ファームウェアアップデートのサポートも提供し得る。TR069を使用して、H(e)NBデバイスにファームウェア/ソフトウェアアップデートを提供することができる。
図9に示すように、認可された管理者によって、またはURLアップデートプロシージャを使用することによってH(e)NB905の所で実施することができる後続アップデートのための、H(e)NB905とH(e)MS910との間のAuVプロシージャ例について本明細書に記載する。H(e)NB905は最初に、H(e)MS発見に関して前述したように、ManagementServer.URLパラメータ(0)中のデフォルトのH(e)MS URL(ユニフォームリソースロケータ)で構成される。これは、製造元によってプロビジョニングされ得る。H(e)MS910は、TCP(伝送制御プロトコル)接続をオープンする(1)。H(e)NB905とH(e)MS910との間で、SSL(セキュアソケットレイヤ)接続が確立されて、安全な通信が許可される(2)。H(e)MS910は、RPC(リモートプロシージャコール)メソッドSetParameterValuesを開始し、ManagementServer.URLをアップデートする(3)。アップデートが成功した後、SetParameterValuesResponseが、成功または失敗を示す状況フィールドとともにH(e)NB905によって送られる(4)。H(e)NB905は、H(e)MS URLをアップデートする(5)。
H(e)NB−H(e)MSインタフェース用にTR069を使ってファイル転送をサポートするAuVプロシージャについて本明細書に記載する。TR069は、ユニキャストおよびマルチキャストトランスポートプロトコルによってファイル転送をサポートする。ユニキャストプロトコルは、HTTP/HTTPS、FTP(ファイル転送プロトコル)、SFTP(セキュアファイル転送プロトコル)およびTFTP(トリビアルファイル転送プロトコル)を含む。マルチキャストプロトコルは、FLUTE(一方向トランスポートでのファイル配信)並びにDSM−CC(digital storage media command and control)を含む。HTTP/HTTPSのサポートは必須である。TR069をH(e)NB−H(e)MSインタフェースにおけるファームウェア/ソフトウェアダウンロードに適応させるために、HTTP/HTTPSに加えて、FTPS(FTPセキュア)が使用されてもよく、TR069に追加される必要がある。FTPS(FTPセキュアおよびFTP−SSLとしても知られる)は、TLS(トランスポートレイヤセキュリティ)およびSSL暗号プロトコルのサポートを追加する、FTPへの拡張である。H(e)NB−H(e)MSインタフェースはTLS−SSLインタフェースを使用するので、FTPSを、ファイルの転送用に実装することができる。
TR069は、ファイルをダウンロードする同じTLS接続を再利用し、並列して存在し得るファイルをダウンロードし、または第1のセッションを解放するための新規接続をスポーンするためのサポートも提供する。ダウンロードが完了した後、シグナリング用のTLS接続が確立される。ファイルをダウンロードするのにHTTP/HTTPSが使われる場合、標準TR069プロシージャを使用することができる。
修復サポートのためのAuVプロシージャ例について本明細書に記載する。デバイス完全性チェックがAuVにおいて失敗した場合、ローカル非常フラグを設定することができ、システムは、フォールバックコード(FBC)でリブートする。FBCは、デバイス内に安全に格納することができ、安全なスタートアッププロシージャ(またはデバイスの基本的な完全性を保証するのに「本質的」と思われる他の任意のデバイスプロセス)が失敗した場合はロードし実行することができる。FBCは、コアネットワークとの基本的な通信能力を有し、予め指定されたH(e)MSに非常信号を送る能力を有する。H(e)MSは、H(e)MS発見プロシージャによってアップデート済みである場合がある。非常信号の内容は、デバイス上のFBC中に安全に格納することもでき、MNOによってプロビジョニングし、デバイス構成データシートの一部として安全に格納することもできる。非常信号は、デバイス完全性チェック失敗の詳細を示すエラーコード情報要素を含み得る。非常信号を受信すると、ネットワークは、信頼できる参照値を含む完全イメージおよびデバイス構成ファイルをアップデートすることを決定することができる。FTPサーバは、完全イメージ、デバイス構成ファイルおよびインストール命令を含むパッケージファイルを格納する。FTPサーバは、H(e)MSとマージされ得る。
このプロシージャは、TR069プロトコルをサポートするFBCによって遂行することができ、H(e)NB1005、H(e)MS1010およびFTPサーバ1015の間のフローチャート例1000を図10に示す。デバイス完全性チェックが失敗し、信頼のルート(RoT)がH(e)NB1005の所でFBCを起動済みである(0)場合、H(e)NB1005は、予め指定されたH(e)MSサーバ1010へのTCP接続をセットアップする(1)。SSL開始が実施され、および/またはTLS(トランスポートレイヤセキュリティ)がセットアップされる(2)。H(e)NB1005は次いで、H(e)MS1010へのRPCメソッドINFORM、例えば、非常信号を呼び出す。非常信号は、Device ID、Event、MaxEnvelopesおよびCurrentTimeなど、情報要素のどの組合せも含み得る。
Device IDは、製造元名と、デバイス製造元のOUI(組織的に一意の識別子)と、シリアルナンバーが該当する製品のクラスを示し、またはTrE IDもしくはH(e)NB Idを示すのにSerialNumber属性を使用させるためにデバイスのシリアルナンバーを示すのに使用することができるProductClassと、特定のデバイスのシリアルナンバーを送り、またはTrE IDもしくはH(e)NB IDを送るのに使われ得るSerial Numberとを含み得る構造である。
Eventフィールドは、RPCメソッドInformを実行させたイベントコードを含み得る。新規イベントコード(X_HeNB_FBC Invoked)は、デバイス完全性チェックが失敗したこと、およびこの非常信号を送るためにFBCが呼び出されていることを示すように定義される必要があり得る。単一のHTTP応答に含まれ得る「SOAPエンベロープ」と呼ばれるパラメータの最大出現回数をACS(例えば、H(e)MS)に対して示すMaxEnvelopes値は、1に設定すればよい。MaxEnvelopeパラメータの値は、1以上になり得る。非常指示は、一度だけ送られることを意図しているので、この値を1に設定することが適切である。CurrentTimeフィールドは、H(e)NB1005に知られている現在日時の値である。したがって、Inform RPCメソッドは、デバイスが完全性チェックに失敗し、ファームウェア/ソフトウェアアップデートを開始するために接続中であることをH(e)MS1010に対して示す。
プロシージャ1000の残りはオプションである。H(e)MS1010は、RPCメソッドのダウンロードを呼び出すことができ、ファームウェアまたはソフトウェアおよびデバイス構成データシートの場所のURLを与える(4)。以下のパラメータ値が設定され得る。CommandKeyパラメータは、ある特定のダウンロードを指すのにH(e)NB1005によって使われ得る文字列である。これは、ダウンロードと応答を相関させるのに使われる任意の文字列でよい。FileTypeパラメータは、ファームウェア/ソフトウェアイメージに対しては「1、ファームウェアアップグレードイメージ」に、デバイス構成データシートに対しては「X_<OUI>_data_sheet」に設定することができる。URLパラメータは、ダウンロードファイルのURLである。HTTPおよびHTTPSがサポートされなければならない。FTPSのサポートも、ダウンロード用に推奨される。Usernameパラメータは、ファイルサーバに対して認証を行うのに、H(e)NB1005によって使われ得る。Passwordパラメータは、H(e)NB1005によって、ファイルサーバに対して認証を行うのに使われ得る。FileSizeパラメータは、ダウンロードされるべきファイルのサイズである。他のパラメータも設定することができる。
H(e)NB1005は、FTPサーバ1015に接続し、ファームウェアイメージ(またはソフトウェアイメージ)およびデバイス構成データシートをダウンロードする(5)。FTPサーバ1015の所の情報は、修復情報として示され得る。ダウンロードの完了が成功すると、ゼロ(成功を示す)の値をもつStatus引数を有するDownloadResponse、またはダウンロード要求への失敗応答(失敗を示す)が送られる(6)。成功または失敗したダウンロードを示すための代替的プロシージャがとられてもよい。成功したDownloadResponseの後、H(e)MS1010は次いで、H(e)NB1005内でリブートプロシージャを呼び出すことができる(7)。H(e)NB1005内のRPCハンドラは、ローカル非常フラグをリセットし、正常にブートして、ローカル完全性チェックプロシージャを実施する(8)。署名されたパッケージ形式は、リブートコマンドを含んでよく、このコマンドは、ファームウェアまたはソフトウェアがアップデートされた後でリブートするようH(e)NB1005に命令するのに使われ得る。ファームウェア/ソフトウェアアップデートのプロシージャが首尾よく完了されたことをH(e)MS1010に示すためにTransferComplete RPCメソッドが、H(e)NB1005から呼び出され得る(9)。或いは、SeGWが、成功したファームウェア/ソフトウェアアップデート完了メッセージとしてH(e)MS1010内で翻訳され得る、デバイスが首尾よくブートしたことを示すためのメッセージをH(e)MS1010に送ってもよい。
H(e)NBファームウェア/ソフトウェアアップデートに使うことができ、図11に示すファイル形式例1100について本明細書に記載する。ヘッダー1105は、プリアンブル、形式バージョン、並びにコマンドリストおよびペイロードコンポーネントの長さを含む固定長の構造でよい。コマンドリスト1110は、パッケージに含まれるファイルを抽出しインストールするように実行することができる一連の命令を含む。各コマンドは、TLV(タイプ、長さ、値)の形でよい。署名フィールド1115は、ゼロ以上のデジタル署名のセットを含み得るPKCS(公開鍵暗号技術標準)#7デジタル署名ブロックを含み得る。ペイロードファイル1120は、コマンドリスト1110中の命令に従ってインストールされるべき1つまたは複数のファイルを含み得る。ファームウェア/ソフトウェアアップデートファイルに加えて、デバイス構成データシートも、署名されたパッケージ形式でパッケージ化される。
ストレージ分類器の要件をサポートするために、以下の新規H(e)NB特有のコマンドを追加することができる。すなわち、1)安全な不揮発性メモリに格納する(TRVや構成データシートなどのデータの場合)、2)不揮発性ストレージに格納する、または3)揮発性ストレージに格納することができる。
図12は、SAV用のネットワークアーキテクチャ例1200を示す。H(e)NB1205が、ユーザ機器1210用のゲートウェイとして作用して、コアネットワーク1220への通信リンク1215を介して通信する。H(e)NB1205は、安全でない通信リンク1215を介してSeGW1225と対話する。SeGW1225は、認証されたH(e)NBが、コアネットワーク1220にアクセスすることを許可することができる。H(e)MS1230が、H(e)NB管理サーバとして作用し、修復のサポートを提供する。H(e)MS1230は、H(e)NB1205を管理するための標準プロトコルをサポートし得る。プラットフォーム妥当性確認エンティティ(PVE)1235が、H(e)NB1205内の、ある機能性セットが失敗したときにとられるべきアクションを定義するポリシーを格納する。こうした失敗した機能性は、SAVプロセス中にH(e)NB1205によって報告される。OAM1240は、運用、管理および保守サーバである。H(e)MS1230およびPVE1235は、別個のエンティティとして示してあるが、単一のネットワークエンティティとして、互いとマージしてもよい。このようなマージされたエンティティは、ネットワークオペレータごとに単一のノードでもよく、オペレータごとに複数のノードでもよい。
SAVに関するプロシージャについて本明細書に記載する。要約すると、デバイス妥当性確認プロシージャを実施し始める前に、H(e)NBのTrEは最初に、ブートコード、フォールバックコード(FBC)、SeGW用の基本的な通信コード、およびH(e)NBがH(e)MSにアクセスすることを可能にするプロシージャを実施するコードなどだが、それに限定されない、予め指定された特定のコンポーネントの完全性のチェックを実施する。このステップでは、コンポーネントの完全性の検証は、完全性測定から得たダイジェスト出力を、デバイス構成データシート中の指定された値と比較することによって、ローカルに実施することができる。コンポーネントは、完全性検証を通った場合、ロードされ実行される。
それ以上のチェックは、TrE自体またはTrEの外部だがTrEによって完全性が保護される、H(e)NB内の測定側コンポーネントのどちらかによって起こり得る。このような後期段階チェックでは、他のコンポーネント、構成、またはH(e)NBの残りのパラメータの完全性が、それらがロードされ、もしくはスタートされるとき、または、それらが測定側コンポーネントにとって使用可能な場合は常に、他の、予め定義されたランタイムのイベント時にチェックされ得る。このステップで、完全性チェックの検証はローカルに実施することができる。
H(e)NBは次いで、SeGWとのIKEv2(インターネット鍵交換)セキュリティアソシエーションの確立を試みることができる。このプロセスで、H(e)NBは、SeGWに対してそれ自体を認証し、SeGWの真正性を検証する。これは、証明書交換および証明書認証によって実施することができる。認証が成功した場合、TrEは、コンポーネントの失敗によって影響を受ける、失敗した機能性のリストをコンパイルすることによって、ローカル完全性検証の結果をPVEに伝える。TrEは次いで、メッセージに署名する(TrEによって保護された署名鍵を使って、したがってメッセージの完全性を保護する)ことができ、こうすることにより、完全性測定および検証、並びに失敗した機能性のリストの(PVEへの)報告を実施したH(e)NBのコア部が、それに対して実施された完全性チェックを通り(例えば、信頼のルート(RoT)によって)、したがって署名鍵を使い、署名操作を実施することができ、或いは秘密署名鍵の使用により本質的に信頼されることをアサートする。
図13A、13Bは、H(e)NB1305、SeGW1310およびPVE1315によって実施されるSAVプロシージャ例1300を示す。コンポーネント1およびコンポーネント2モジュールのローカル完全性の妥当性確認の後、モジュールがロードされ実行される。コンポーネント3モジュールのデバイス完全性チェックの結果および検証結果が、H(e)NB1305によってSeGW1310に送られて、PVE1315にフォワードされる(0)。
H(e)NB1305は、IKE_INITメッセージを送って、暗号アルゴリズム用のセキュリティパラメータ索引、バージョン番号、IKEv2フラグ、ディフィーヘルマン値およびイニシエータノンスを含むIKEv2セキュリティアソシエーションの確立を開始することができる(1)。SeGW1310は、IKE_INIT要求メッセージに対するIKE_INIT応答を送ることができる(2)。SeGW1310は、H(e)NB1305から暗号スイートを選ぶことができ、ディフィーヘルマン交換を完了する。H(e)NB1305は、その証明書を、IKE_AUTH_REQに入れて相互認証のために送ることができる(3)。これは、失敗した機能性のリストの形の完全性検証の結果も含み得る。ローカル完全性検証が成功した場合は、このような失敗した機能性のリストは含まれない。この場合は、空リストが送られる。コンポーネント、モジュールおよび機能性の間の関係については、本明細書に記載した。
SeGW1310は、H(e)NB1305の認証資格を評価することができ、存在する場合はPVE1315に送られるべき機能性IDのリストを抽出する(4)。認証評価が成功した場合、SeGW1310は、このことを、H(e)NB1305に対して示す(5s)。SeGW1310は、それ自体の証明書を、応答に入れてH(e)NBに送ることもできる。認証が失敗した場合、このことは、H(e)NB1305に伝達される(5f)。
認証が成功し、失敗した機能性のリストがIKE_AUTHメッセージに含まれていた場合、SeGW1310は、失敗した機能性のリストを、H(e)NB IDとともにPVE1315にフォワードする(6)。リストがない場合、空リストがPVE1315に送られる。失敗した機能性のリストに基づいて、PVE1315は、デバイスの検疫、完全アクセスの提供、部分アクセスの提供、またはオプションでデバイス修復のためのH(e)MS介入の要求など、とられるべきアクションを決定することができる(7)。PVE1315は、影響を受けたその機能性が決定的ではなく、したがってH(e)NB1305が機能し得ると判断した場合、この判断をSeGW1310に対して示して、デバイスがネットワークにアクセスすることを許可する(8s)。SeGW1310は、PVE1315によって実施されたデバイス完全性評価の結果を指示する。失敗したモジュールが決定的でない場合、PVE1315は、H(e)NB1305にネットワークへの完全アクセスを許可し得る(9s)。PVE1315が、失敗した機能性の受信された空リストに全体的または部分的に基づいて、H(e)NBは認証のために十分に信頼されるはずであると判断した場合、H(e)NBの「妥当性確認」状態が取得されている。この意味で、妥当性確認は、ネットワークの観点から、H(e)NB1305が、PVE1315とのそれ以上の対話のために十分に信用できることを示す、PVE1315によって行われた判断と翻訳される。
修復がサポートされる場合、PVE1315は、H(e)MS1320に指示を送って、メッセージにおいてH(e)NB IDによって識別されたデバイスに対する修復をスタートする(8f_1)。PVE1315は、失敗したモジュールのリストも含み得る。失敗した機能性のリストおよびデバイス特有の構成データシートに基づいて、H(e)MS1320は、求められるファームウェアまたはソフトウェアアップデートを決定する。修復がサポートされる場合、PVE1315は、H(e)NB1305に指示を送って、H(e)MS1320が開始した修復を準備することができる(8f_2)。PVE1315からの応答に基づいて、SeGW1310は、アクセスを制限し、結果をH(e)NB1305に知らせることができる(9f)。システムは、FBCモードでリブートして、デバイス開始修復をスタートする(10)。このステップは、リブートは、修復用のTR069プロトコルを使ってH(e)MS1320によって扱われ得るので、オプションでよい。
SAVのためのH(e)MSおよびPVE発見プロシージャについて本明細書に記載する。H(e)NBは、PVE、H(e)MSおよびOAMのIPアドレスを含む、工場出荷時設定で構成され得る。こうした設定は、図9に示したように、TR069プロトコルにサポートされるRPCメソッドSetParameterおよびGetParameterを使って、TR069プロトコルを使うH(e)MSによって再構成することもできる。プロシージャは、PVEのアドレスを変更するのにも用いられ得ることに留意されたい。ManagementServer.URLパラメータ(PlatformValidationServer.URL)に同様の追加パラメータが、H(e)NBの所でPVE URLを維持するために定義され得る。同様に、PlatformValidationServer.URLの工場設定は、製造時に予め構成され、その後でTR069によってアップデートされ得る。
SAVのための完全性方法およびプロシージャについて本明細書に記載する。SAVにおいて、デバイス完全性チェックはローカルに実施することができる。完全性チェックの結果は、失敗した機能性のリストの形でPVEに渡すことができる。したがって、本明細書に記載する完全性チェック方法のいずれも、例えば、原文明細書の段落[0038]〜[0040]に示したように用いることができる。完全性チェックは、ネットワークエンティティによって実施されるのではない。したがって、妥当性確認に使用するための正確な完全性方法の決定は、製造元に一任され得る。ただし、「完全性方法は、SHA−1と等価またはより優れたセキュリティを提供しなければならない」など、最低限のセキュリティ要件は標準化することができる。
SAVにおけるTRV証明書管理に用いられ得る機構について本明細書に記載する。SAVをサポートするインタフェースおよびメッセージについて、最初に記載する。PVE−SeGWインタフェースは、二地点間プロトコル(PPP)を使用することができる。PPPは、認証、暗号化および圧縮のサポートを提供し得る。或いは、TLS/SSL(トランスポートレイヤセキュリティ/セキュアソケットレイヤ)を使用してもよい。
PVE−SeGWインタフェースを介して送ることができる複数のメッセージがある。例えば、H(e)NB_Integrity_Informationメッセージは、IKEv2 NOTIFYメッセージに入れて、H(e)NBによってSeGWに送られるとともにSeGWによって抽出される、失敗した機能性のリストを含み得る。このメッセージの内容の例を、テーブル7に示す。
H(e)NB_Integrity_Informationメッセージに対する応答は、テーブル8に示すH(e)NB_Validation_Resultである。
両方ともネットワークエンティティなので、PVE−H(e)MSインタフェースは、PPPにも基づき得る。或いは、TLS/SSLも使用することができる。一例では、PVEおよびH(e)MSは、1つのエンティティでよい。このインタフェースを介したメッセージ例を、テーブル9に示す。
或いは、PVEは、失敗した機能性のリストを(または、オプションで、完全性チェックされた全機能性のリスト、もしくは完全性チェックされなかった全機能性のリストも)単に送るだけでよく、H(e)MSが、アクション自体を決定する。これを、テーブル10に示す。即座の修復、修復のスケジュール、および管理者介入の要請というアクションが、H(e)MSによって実施され得る。
SAVに関するH(e)NBアーキテクチャおよび機能性について本明細書に記載する。H(e)NBアーキテクチャは、外部TrE完全性チェッカを含み得る。H(e)NBのTrEは、完全性検証のタスクが、TrEの責任であった、コンポーネントの完全性検証のタスクを、実装されたハードウェアおよび/またはソフトウェアでよい外部エンティティに委任することができる。このようなケースは、TrEが十分に速くない場合、またはデバイス完全性チェックを実施するのに十分な資源をもたない場合に用いられ得る。このようなケースでは、TrEは、デバイス完全性の妥当性確認のタスクを始める予定のハードウェアおよび/またはソフトウェアエンティティの完全性および真正性を検証する。検証が成功した後、TrEは、外部完全性チェッカが、タスクを実施し、結果および測定データをTrEに報告することを許可する。
H(e)NBエンティティは、様々なイベント、レポートおよびネットワークとの通信にタイムスタンプを与えるためのローカルタイムサーバを有し得る。このようなタイムサーバは、NTP(ネットワークタイムプロトコル)を使って、時間と同期することができる。タイムサーバコードおよびNTPコードも、TrEまたは外部TrE完全性チェッカによって実行される前に完全性検証され得る。
H(e)NBアーキテクチャは、妥当性確認および認証のバインドも提供し得る。妥当性確認と認証との間のバインドは、AuVのケースでの妥当性確認および認証のバインドに使われる機構に加えて、IKEv2セッション、すなわち、完全性チェックを通過したときのみの、敏感鍵および認証機能性のリリースによって提供され得る。SAVにおける認証証明書およびローカル妥当性確認の結果は、IKEv2 IKE_AUTH_REQメッセージに入れて送ることができる。SeGWは、失敗したモジュールのリストをフィルタリングして選別し、PVEにフォワードする。このようなリストがメッセージに含まれない場合、SeGWは、この情報をPVEに中継する。PVEは、今後のアクションを決定し、結果をSeGWに対して、一部のケースではH(e)MSに対しても示す。
代替的バインド方法では、H(e)NBは、鍵ペアを予め装備し、このペアの私有部は、H(e)NBのTrEの内側に安全に格納され、公開部は、H(e)NBにとって使用可能にされる。H(e)NBの製造元は、この鍵ペアを生成し、したがって私有および公開鍵をプロビジョニングすることができよう。暗号手段によって妥当性確認および認証のバインドを生じるために、H(e)NBは、AAAサーバから受信する(ここで、AAAサーバは、秘密ベースの計算された認証資料を計算し、AAAサーバに返送するよう、H(e)NBに要求する)メッセージ(例えば、IKE_AUTH応答メッセージ)を、証明書から得た公開鍵で暗号化し、暗号化データをTrEにフォワードする。TrEは次いで、データを復号し、AAAに対してH(e)NBの識別の真正性を検証するのに必要とされる秘密ベース認証資料(例えば、対称認証が用いられる場合はEAP−AKA RESパラメータ、または証明書ベースの認証が用いられる場合は私有鍵の使用に基づくAUTHパラメータなど)を計算する。
代替的バインド方法では、H(e)NBのIKEv2ベースのデバイス妥当性確認アプリケーションによって使われる、TrEの鍵および他の敏感な計算能力は、成功したローカル完全性チェック結果がH(e)NBのTrEに知られない限り、このようなアプリケーションに対してアクセス可能にされない。
H(e)NBおよびPVEに格納されているポリシー仕様について本明細書に記載する。H(e)NBデバイス構成ファイルは、本明細書において詳しく記載した、機能性ID、コンポーネントIDおよびモジュールIDなどの属性を記述する、H(e)NBに格納されているポリシーを記述する。デバイス構成シートは、製造時に初期化される。AuVのためのこの情報の初期化および後続アップデートのプロシージャは、本明細書に記載済みであり、SAVケースに適用可能である。
PVEポリシー構成ファイルは、失敗した機能性と、SeGWアクション、H(e)NBアクション、およびH(e)MSアクションとの間のマッピングを含み得る。失敗した機能性のリストに基づいて、PVEは、H(e)NB、SeGWおよびH(e)MSによってとられるべきアクションを決定し得る。テーブル11は、こうしたアクションを定義する。
SAVにおける修復をサポートする方法について本明細書に記載する。修復をサポートするために、H(e)NBは、H(e)MSと対話する。この接続は、SeGW経由でも、TLS/SSLを使うインターネットを介して直接でもよい。安全なスタートアッププロセス中に、デバイス完全性チェックが、製造元によって予め指定され、TrE用のコードとともに、認証およびSeGWとの通信に必要なコードを含む段階1または段階2コードに関して失敗した場合、FBCが実行され、修復が試みられる。
図14は、H(e)NB1405、H(e)MS1410およびFTPサーバ1415が関与するSAV修復のためのフローチャート例1400を示す。デバイス完全性チェックが失敗した場合、また、FBCを使ってRoTが起動した(0)後、H(e)NB1405は、予め指定されたH(e)MSサーバ1410への接続を(例えば、TCP接続を使用して)セットアップする(1)。次いで、SSL開始が実施され、および/または次いで、TLSがセットアップされる(2)。H(e)NB1405は次いで、H(e)MS1410とともにRPCメソッドInform(例えば、非常信号)を呼び出す(3)。非常信号は、Device ID、Event、MaxEnvelopesおよびCurrentTimeを含み得る。
デバイスIDは、製造元名と、デバイス製造元のOUI(組織的に一意の識別子)と、シリアルナンバーが該当する製品のクラスを示すのに使用され、またはTrE IDもしくはH(e)NB Idを示すのにSerialNumber属性を使用させるために、デバイスのシリアルナンバーを示すのに使用することができるProductClassと、特定のデバイスのシリアルナンバーを送るのに使うことができ、またはTrE IDもしくはH(e)NB IDを送るのに使うことができるSerial Numberフィールドとを含み得る構造である。
Eventフィールドは、RPCメソッドInformを実行させたイベントコードを含み得る。TR069をSAV修復に適応させるために、デバイス完全性チェックが失敗したこと、およびこの非常信号を送るためにFBCが呼び出されたことを示すための新規イベントコード(X_HeNB_FBC Invoked)が定義される必要があり得る。MaxEnvelopes値は、1に設定される。この値は、無視してよいが、1に設定される。CurrentTimeフィールドは、H(e)NB1405に知られている現在の日時の値に設定される。
Inform RPCメソッドは、デバイスが完全性チェックに失敗し、ファームウェアアップデートを開始するために接続中であることを、H(e)MSに対して示す。H(e)MSは次いで、RPCメソッドUploadを呼び出して、失敗した機能性のリストおよびエラーコードの製造元固有リストをアップロードするよう、H(e)NBに指示する(4)。こうしたエラーコードは、完全性チェックに失敗したコンポーネントに対応するソフトウェアモジュールを指すこともでき、またはデバッグ特有のエラーコードを含み得る。ファイルがアップロードされなければならないFTPサーバ1415のURLが与えられる。FTPサーバ1415は、製造元によって維持され得ることに留意されたい。FTPサーバ1415は、製造元によって提供される修復サーバでよい。
H(e)MS1410は、メッセージPrepare_For_Uploadを送ることによって、失敗した機能性のリストのアップロードを準備するよう、FTPサーバ1415に指示する(5)。H(e)NB1405は次いで、HTTP/HTTPS/FTPSプロシージャを呼び出して、失敗した機能性のリストを含むファイルをアップロードする(6)。ファイル受信の後、FTPサーバ1415またはH(e)MS1410は、H(e)MSがアップロードされたファイルを収集すると、求められるパッチまたはファームウェア/ソフトウェアアップデートを評価して、問題を解決する(6a)。失敗した機能性のリストを含むファイルが、FTPサーバ1415にアップロードされた場合、求められるパッチの評価の後で、FTPサーバ1415は、Download_Package_ReadyメッセージをH(e)MSに送る(7)。H(e)MSが、アップロードされたファイルを収集済みであった場合、このメッセージは求められない。或いは、このメッセージは、H(e)MS1410およびFTPサーバ1415の機能性がマージされる場合は求められなくてもよい。
或いは、情報は、PVEから直接受信することができ、ステップ1から5は必要とされなくてもよい。
H(e)MS1415は次いで、RPCメソッドDownloadを呼び出し、ファームウェアまたはソフトウェアおよびデバイス構成データシートの場所のURLを与える(8)。以下のパラメータ値を設定することができる。CommandKeyパラメータは、H(e)NB1405によって、ある特定のダウンロードを指すのに使われ得る文字列であり、任意の文字列でよい。このパラメータは、ダウンロードと応答を相関させるのに使われる。FileTypeパラメータは、ファームウェアイメージの場合は「1 ファームウェアアップグレードイメージ」に、デバイス構成データシートの場合は「X_<OUI>_data_sheet」に設定され得る。URLパラメータは、ダウンロードファイルのURLである。HTTPおよびHTTPSがサポートされなければならない。FTPSのサポートは、ダウンロード用にも推奨され得る。Usernameパラメータは、H(e)NB1405によって、FTPサーバ1415に対して認証を行うのに使われ得る。Passwordパラメータは、H(e)NB1405によって、FTPサーバ1415に対して認証を行うのに使われ得る。FileSizeパラメータは、ダウンロードされるべきファイルのサイズである。他のパラメータも、TR069プロトコル要件に従って設定され得る。
H(e)NB1405は、FTPサーバ1415に接続し、ファームウェアまたはソフトウェアイメージおよびデバイス構成データシートをダウンロードする(9)。ダウンロードの完了が成功すると、値がゼロ(成功を示す)のStatus引数をもつDownloadResponse、またはDownload要求に対する障害応答(失敗を示す)が送られ得る(10)。本明細書に記載する代替的プロシージャに従って、成功または失敗したダウンロードを示してもよい。
成功したDownloadResponseの後、H(e)MS1415は次いで、H(e)NB1405内でRebootプロシージャを呼び出す(11)。H(e)NB1405内のRPCハンドラは、ローカル非常フラグをリセットし、正常にブートして、上述したようにローカル完全性チェックプロシージャを実施する(11a)。署名されたパッケージ形式は、ファームウェアまたはソフトウェアがアップデートされた後で、リブートするようH(e)NB1405に命令するのに使われるリブートコマンドを含み得る。
オプションで、TransferComplete RPCメソッドをH(e)NBから呼び出して、ファームウェア/ソフトウェアアップデートのプロシージャの完了が成功したことをH(e)MSに対して示すことができる(12)。或いは、SeGWは、H(e)MSにメッセージを送って、デバイスがブートに成功したことを示すことができ、このメッセージは、H(e)MSによって、成功したファームウェアまたはソフトウェアアップデート完了メッセージとして翻訳され得ることに留意されたい。
図15は、PVEによるSAV修復の実施のためのフローチャート1500を示す。このプロシージャには、H(e)NB1505、SeGW1510、PVE1515、H(e)MS1520およびFTPサーバ1525が関与する。安全なスタートアッププロセス中、段階1コードおよび段階2コードが完全性チェックを通り、ロードされ実行され、認証の実施が成功した場合、H(e)NB1505は、SeGW1510と通信して、ローカル完全性チェックの結果をIKEv2メッセージに入れて送ることができる(1)。H(e)NB1505は、失敗した機能性のリストおよび製造元固有エラーコードのリストを、図16に示すIKEv2 NOTIFYメッセージ1600に入れてSeGW1510に送る。
SeGW1510は次いで、ローカル完全性チェックの結果を、失敗した機能性のリストおよび/またはエラーコードの製造元固有リストを含み得るH(e)NB_Integrity_Informationメッセージに入れて送ることができる(2)。受信された情報に基づいて、PVE1515は、SeGWアクションおよびH(e)NBアクションを含み得るH(e)NB_Validation_ResultメッセージでSeGW1510に応答することができる(3)。SeGW1510は、H(e)NBアクションをH(e)NB1505にフォワードしてよい(5)。H(e)NBは、それに従って準備を行い、また、修復の準備をローカルに行ってもよく、何のアクションをとらなくてもよい。
受信された情報に基づいて、PVEは、失敗した機能性のリスト、エラーコードの製造元固有リスト、H(e)MSアクション(複数可)およびH(e)NB IDを含み得るH(e)NB_Validation_ResultメッセージをH(e)MS1520に送ってもよい(4)。PVE1515によってH(e)MS1520に送られたアクションに基づいて、H(e)MS1520は、修復アップデートまたは即座のアップデートをスケジュールすることができる。両方のケースにおいて、H(e)MS1520は、製造元固有修復FTPサーバにリストを送る。
H(e)MS1520は、失敗した機能性のリスト、H(e)NB ID、およびエラーコードの製造元固有リストを含み得るH(e)NB_Validation_ResultメッセージをFTPサーバ1525にフォワードしてよい(4a)。FTPサーバ1525は、ファームウェア/ソフトウェアダウンロードファイルを評価し、ダウンロードパッケージを準備することができる(4b)。FTPサーバ1525は、Download_Package_ReadyメッセージをH(e)MS1520に送る。H(e)MS1520が、アップロードされたファイルを収集した場合、このメッセージは求められなくてよい。或いは、このメッセージは、H(e)MS1520とFTPサーバ1525がマージされている場合は送られなくてもよい。
H(e)MS1520は次いで、RPCメソッドDownloadを呼び出し、ファームウェア/ソフトウェアおよびデバイス構成データシートの場所のURLを与える(7)。以下のパラメータ値を設定することができる。CommandKeyパラメータは、H(e)NB1505によって、ある特定のダウンロードを指すのに使われ得る文字列であり、ダウンロードと応答を相関させるのに使われ得る任意の文字列でよい。FileTypeパラメータは、ファームウェア/ソフトウェアイメージの場合は「1 ファームウェアアップグレードイメージ」に、デバイス構成データシートの場合は「X_<OUI>_data_sheet」に設定することができる。URLは、ダウンロードファイルのURLである。HTTPおよびHTTPSがサポートされなければならない。FTPSのサポートは、ダウンロード用にも推奨される。Usernameパラメータは、H(e)NB1505によって、ファイルサーバに対して認証を行うのに使われ得る。Passwordパラメータは、H(e)NB1505によって、ファイルサーバに対して認証を行うのに使われ得る。FileSizeパラメータは、ダウンロードされるべきファイルのサイズである。他のパラメータは、TR069プロトコル要件に従って設定することができる。
H(e)NB1505は、FTPサーバ1515に接続し、ファームウェア/ソフトウェアイメージおよびデバイス構成データシートをダウンロードする(8)。ダウンロードの完了が成功すると、値がゼロの(成功を示す)Status引数をもつDownloadResponse、またはダウンロード要求に対する障害応答(失敗を示す)がH(e)MS1520に送られる(9)。TR069に記載されている代替的プロシージャに従って、成功または失敗したダウンロードを示すこともできる。
成功したダウンロード応答の後、H(e)MS1515は次いで、H(e)NB1505内でRebootプロシージャを呼び出す(10)。H(e)NB1505内のRPCハンドラは、ローカル非常フラグをリセットし、正常にブートして、上で示したようにローカル完全性チェックプロシージャを実施する(10a)。或いは、署名されたパッケージ形式は、ファームウェア/ソフトウェアがアップデートされた後でリブートするよう、H(e)NB1505に命令するのに使われるリブートコマンドを含む。ファームウェア/ソフトウェアアップデートの完了が成功した後で、転送完了が、SeGW1510に送られ得る(11)。或いは、TransferComplete RPCメソッドをH(e)NB1505から呼び出して、ファームウェア/ソフトウェアアップデートのプロシージャの完了が成功したことを、H(e)MS1520に対して示すことができる。別の例では、SeGW1510は、H(e)MS1520にメッセージを送って、デバイスのブートが成功したことを示すことができ、このメッセージは、H(e)MS1520によって、成功したファームウェア/ソフトウェアアップデート完了メッセージとして翻訳され得る。
プラットフォーム妥当性確認および管理(PVM)アーキテクチャにおいてSAVを用いるアーキテクチャおよび方法について本明細書に記載する。PVMは、デバイスを妥当性確認し管理するための体系的方法を提供し、デバイスは最初に、通信ネットワークに付属し、続いて、信頼できるコンピューティングからのセキュリティ技術に部分的に依拠して、デバイス完全性を監視しようとする。PVMは、1)ネットワーク接続が許可される前にデバイスを妥当性確認し、2)デバイス構成をOtA(無線経由で)管理し、3)コンポーネントロード/スタートにおけるRIMをチェックすることによって安全にスタートアップし、4)構成変更のために新規RIMをデバイスにインストールし、すなわちRIM摂取を行う。
PVMでは、以下の用語が使われ得る。「検証(verification)」という用語は、安全なスタートアップ中のデバイスコンポーネントの内部検証に使うことができ、「妥当性確認(validation)」という用語は、外部エンティティによってデバイスをチェックするプロセス全体に対して使われる。したがって、「内部」対「外部」妥当性確認の導入が避けられる。検証が、暗号チェックまたはデータのマッチングの普通の意味で適用される場合は、混乱を生じないように明記する。
PVMは、少なくともSeGW、PVE、およびDMSを使う。デバイス内のTrEは、デバイスの内側で妥当性確認に不可欠なタスクを実施し、概してTrEは、他のエンティティと通信する。デバイスの他のコンポーネント、例えば、この通信に必要とされるネットワークインタフェースは、必ずしもTrEの統合された一部ではないが、TrEがこうしたコンポーネントの完全性を評価して、エンドツーエンドのセキュリティを確実にすることは可能であるべきである。
任務の厳密な区別には、各エンティティがそのコアタスクに制限されることが求められる。例えば、SeGWは、信頼できる(できない)デバイスとMNOのCNとの間の安全なインタフェースを構築する。このインタフェースは、MNOのCNのための障壁並びにネットワークアクセス制御および強化インスタンスとして作用する。このインタフェースは、このような障壁として作用するのに必要な、認証、デバイスとの通信の暗号化/復号、セキュリティアソシエーションおよびセッション確立を含む全セキュリティ関連機能も実施する。SeGWは、MNOのCNと、外部デバイスなどの外界との間の境界を構築するネットワークエンティティの例として使われ得る。SeGWの必要なく、PVM方法を用いてデバイス妥当性確認を実施することが可能でよい。こうすることは、TLS(トランスポートレイヤセキュリティ)など、安全にされた接続を用いる、DMSへのデバイスの直接接続を含み得る。
PVEに関しては、CN内の妥当性確認エンティティとして作用し、完全性の妥当性確認を実施する。PVEは、完全性検証データを受信し、報告された値が既知であり良好かどうかチェックする。PVEは、デバイス完全性についてのステートメントを、CN内の他のエンティティに対して発行する。
DMSに関しては、ソフトウェアアップデート、構成変更、OTA管理および失敗モード修復を含む、デバイスコンポーネントの管理のための中心的エンティティとして作用する。DMSは、プラットフォーム妥当性確認に基づいてこの機能を始める際、H(e)MSの強化バージョンと同様である。
上記エンティティに加え、PVMは、RIMマネージャ(RIMman)も含む。RIMmanは、妥当性確認における比較のための参照値の管理およびプロビジョニングを含む以下のタスクを実施する。RIMmanは、証明書、特に、外来RIM証明書の摂取、RIM証明書の検証、(オペレータ特有)RIM証明書の生成、および、例えば、撤回、時間制限および信頼関係による証明書妥当性のチェックも管理する。つまり、RIMマネージャは、一意のエンティティであり、妥当性確認データベース(V_DB)を管理することを認可されている。V_DBおよびRIMmanは、保護されたCNコンポーネントである。V_DBへの書込みアクセスは、RIMmanのみに限られるので、PVEはV_DBに書き込むことができない。RIMmanは、PVMに必要な(SHO−CN)外部の信頼関係を管理するので、セキュリティに関して特に重要である。
PVMは、デバイス構成の管理およびプロビジョニングを実施する構成ポリシーマネージャ(CPman)も含む。CPmanは、ポリシー、特に、例えば、TTP(信頼できるサードパーティ)からの外来構成およびポリシーの摂取、並びに(オペレータ特有)ターゲットデバイス構成およびポリシーの生成も管理する。つまり、CPmanは、一意のエンティティであり、構成ポリシーデータベースC_DBを管理することを認可されている。CPmanは、PVMに必要な(SHO−CN)外部の信頼関係を管理するので、セキュリティに関して特に重要である。
図17A、17Bは、最小エンティティセット、その関係およびPVM用インタフェースの例を示す。AAA(認証、認可&アカウンティング)サーバ並びにWTRU(ワイヤレス送受信ユニット)およびそのインタフェースなどの追加エンティティを、図示してある。
図17AのPVMアーキテクチャまたはシステム1700は、TrE1710をもつデバイス1705を含む。WTRU1712(またはユーザエンティティ(UE))は、I−ueインタフェース1714を介してデバイス1705と通信することができる。デバイス1705は、I−hインタフェース1715を介してSeGW1720と通信する。概して、デバイス1705とSeGW1720との間のインタフェースI−h1715は、保護されなくてよく、真正性、完全性およびオプションで、機密性のための特殊措置が、安全なこのチャネルに適用され得る。I−h1715は、デバイス1705とSeGW1720およびしたがってCNとの間のリンクを確立するのに使われ得る。例えば、SeGW1720は、インタフェースI−aaa1775を介してAAAサーバと通信し得る。オペレータは、インタフェースのセキュリティを確実にするための適切な措置を確立済みでよい。
I−pveインタフェース1722は、SeGW1720によって、妥当性確認中にPVE1724に接触するのに使われ得る。PVE1724は、I−pveインタフェース1722を使って、妥当性確認の出力結果をSeGW1720にシグナリングすることができる。I−dmsインタフェース1730は、DMS1735とSeGW1720との間のデバイス構成関連通信に使われ得る。I−pdインタフェース1732は、PVE1724によって、DMS1735と、およびその反対に通信を行うのに使われ得る。このインタフェース、すなわちI−pd1732は、デバイスソフトウェアアップデートおよび構成変更のためなど、デバイス管理プロシージャ中に使われ得る。
インタフェースI−v1726およびI−d1738は、それぞれ、PVE1720によって、V_DB1740からRIMを読み出すのに、また、DMS1735によって、許可された構成をC_DB1750から読み出すのに使われ得る。インタフェースI−r1728およびI−c1734は、V_DB1740中にないRIMのケースなどでは、PVE1720によって、RIMman1760と通信するのに、また、DMS1735によって、CPman1770と通信するのに使われ得る。RIMman1760およびCPman1770は、インタフェースI−rdb1762およびI−cdb1772を使って、それぞれ、データベースV_DB1740および構成ポリシーデータベースC_DB1750の妥当性確認を読み出し、書き込み、管理することができる。
図17Bは、デバイス1705がDMS1735に直接接続し得るPVM1782を示す。デバイスがH(e)NBである場合、DMS1735は、本明細書において上で記載したように、H(e)MSになる。例えば、デバイス1705がSeGWとのセキュリティプロトコルを実施可能でないフォールバックモードの場合。この場合、DMS1735は、インタフェースI−dms_d1784を介したデバイス1705用の第1の接触点として作用し、インタフェースI−pve1786およびI−pd1788を介してPVE1724と通信して、妥当性確認を実施し、または少なくとも、どのコンポーネントが安全なスタートアップ中に失敗したかを知ることができる。DMS1735は、修復のためにこの情報に対して作用し得る。
本明細書において述べたように、PVMは、妥当性確認のどのバージョンも使うこともできる。PVMと連動する半自律的妥当性確認(SAV)の実施形態について本明細書に記載する。半自律的妥当性確認(SAV)の高度妥当性確認方法に注目する。SAV用のこのソリューションの利点はさらに、CNが不良デバイスから完全に保護されることである。SAVの間、検疫が、SeGWによって有効に確立される。そのタスクに限られたデータのみを、SeGWとの安全な、またはSeGWによって確立された接続を介してのみ受信するので、デバイスからはPVEおよびDMSに対してどのような直接的脅威も課されない。SAVにおける妥当性確認プロセスは、デバイスとCN内のどのエンティティとの間の直接通信も求めない。SAVを用いた妥当性確認成功の後でのみ、CNへの接続が許可される。こうすることにより、証明された安全な状態にあるデバイスのみが、CNの内側のエンティティと通信し得ることが確実になる。
図18A、18B、18Cは、PVMインフラストラクチャを用いるSAV妥当性確認方法の例の図を示す。PVMインフラストラクチャは、TrE1805、SeGW1807、PVE1809、DMS1811、V_DB1813およびC_DB1815を含む、本明細書に記載するエンティティを含む。相互認証(1820)に続いて、TrE1805は、Dev_ID、製造元、デバイス能力であって、サポートされるデータレートなどの通信能力、伝送電力レベル、シグナリング特徴および他の能力、TrE能力を含むが、それに限定されないデバイス能力などのデバイス情報、およびRoTを含むプロパティと、ID、証明情報、製造元、ビルドバージョン、およびオプションでモデル、メーク、シリアルナンバーを含むTrE_informationと、1)デバイスの失敗した機能性のリスト、並びに/または2)PCR(プラットフォーム構成レジスタ)値、PCR値による署名などの検証バインディングまたは失敗したデバイス機能性のリスト、コンポーネントに対するコンポーネントインジケータ(CInd)の順序付きリストClistを含む検証データというデータの一部もしくは全部を収集することができ、コンポーネント用パラメータおよびタイムスタンプ(信頼できる、またはできない)を含み得る(1822)。TrE1805からSeGW1807への妥当性確認メッセージ/データは、上記日付を含み得る(1824)。
SeGW1807は、受信されたタイムスタンプを、ローカルタイムとチェック/比較して、変形を検出しなければならない(1826)。報告されたタイムスタンプがローカルタイムと合致しない場合、SeGWは、報告されたタイムスタンプのプロパティに従って作用する。デバイスのタイムスタンプが、信頼できるタイムスタンプであり、変化を示す場合、SeGW1807は、TrEおよびその信頼できるタイムソースの再妥当性確認をトリガするべきである。信頼できないタイムスタンプのケースでは、SeGW1807は、それ自体の信頼できるタイムスタンプをメッセージに追加する。デバイスが、信頼できるタイムスタンプを提供可能でない場合、SeGW1807は、反射攻撃に対する保護として、信頼できるタイムスタンプを追加すればよい。
このメッセージを受信すると、SeGW1807は、TrEからの署名の形の検証バインディングが存在するかどうかチェックすることができる(1828)。このチェックにより、検証データの真正性が確実にされる。SeGW1807は次いで、PVMトークン(T PVM)を作成し(1830)、送付前にT−PVMに対してタイムスタンプを印加して、フレッシュネスを確約し、非同期メッセージフローを防止する(1832)。
SeGw1807は、T_PVMをPVE1809にフォワードし(1834)、PVE1809は、TrE情報を使ってV_DB1813を照会する(1836)。信用できない判定がPVE1809に戻された(1838)場合、PVEは、T_PVMにタイムスタンプを印加し(1840)、SeGW1807にフォワードする(1842)。SeGW1807は、デバイス妥当性確認の拒否をTrE1805に送る(1844)。
信用できる判定がPVE1809に戻された(1846)場合、PVEは、Dev_IDを使ってC_DBを照会し(1848)、C_DBは、構成ポリシー(1850)をPVE1809に戻す。PVE1809は、ポリシー構成を評価する(1852)。
PVE1809が、構成は信用できない(1854)と判定した場合、PVE1809は、T−PVMを修正し、タイムスタンプを印加する(1856)。PVE1809は次いで、T_PVMをSeGW1807にフォワードし(1858)、SeGW1807は、デバイス妥当性確認の拒否をTrE1805に送る(1860)。
PVE1809が、構成は信用できると判定し、構成を許可した(1862)場合、PVE1809は、V−DB1813からClistまたはC_List中の全エントリに対するRIMを取り出す(1864)。PVE1809は、RIMから正しい検証データを算出し直し(1866)、算出された検証データを、報告された検証データと比較する(1868)。SAVのケースでは、RIMから算出された検証データは、失敗した機能性の「空リスト」の形になる。PVE1809は次いで、T−PVMを修正し、タイムスタンプを印加する(1870)。PVE1809は次いで、T_PVMをSeGW1807にフォワードする(1872)。SeGW1807は、PVE妥当性確認結果に関してT_PVMを検査する(またはT_PVMから抽出する)(1874)。SeGW1807は、デバイス妥当性確認の拒否または許可をTrE1805に送る(1876)。PVE妥当性確認結果が否定である場合、TrE1805は、リブートを実施し、再妥当性確認を行う(1890)。
オプションで、PVE1809が、算出された検証データを、報告された検証データと比較した(1868)後、PVE1809は、失敗したコンポーネントのリストをDMS1811に送ることができる(1878)。失敗したコンポーネントのリストが空でない場合、DMS1811は、ソフトウェアまたはファームウェアのアップデートを適用することができると判定してよく(1880)、適用できる場合、OTAアップデートを準備する(1882)。DMS1811は、アップデートのためのRIMがV_DB1813中に存在することも確実にする(1884)。DMS1811は、再妥当性確認の指示とともにT_PVMをSeGW1807に(1886)、また、再妥当性確認トリガをTrE1805に(1888)送る。TrE1805は、リブートを実施し、再妥当性確認を行う(1890)。
図18A、18B、18Cにおける処理に関する詳細について本明細書に記載する。プラットフォーム妥当性確認を実施するために、TrEは、以下のデータを収集し、SeGWに伝達する。すなわち、Dev_ID、製造元、TrE能力およびRoTを含むプロパティなどのデバイス情報と、ID、証明情報、製造元、ビルドバージョン、およびオプションでモデル、メーク、シリアルナンバーを含むTrE_informationと、完全性検証データ(IVD)(IVDの一例は、署名されたPCR(プラットフォーム構成レジスタ)値でよく、別の例は単に、その完全性がデバイスにローカルな完全性チェックプロセスによってチェック済みであり、さらにこのようなデバイスにローカルな完全性チェックに失敗したとして評価済みであるコンポーネントまたは機能性のリストでよい)と、PCR値による署名などの検証バインディングと、コンポーネントClistに対するコンポーネントインジケータ(CInd)の順序付きリストであるとともにコンポーネント用パラメータを含み得るClistとである。コンポーネントのリストは、例えば、RIM証明書、すなわちRIMcsをポイントすることによって、妥当性確認用RIMを識別するのに役立つ。コンポーネントおよびそのパラメータに対するインジケータの順序付きリストは、索引、component_indicator CInd、component_parametersというデータフィールドなどのエントリを含むことになる。CIndは、コンポーネントへの参照を与え、URN形式でよい(例えば、URN://vendor.path.to/component/certificate)。オプションで、タイムスタンプ(信頼できるタイムスタンプでも、概して必ずしも信頼できるわけではない通常のタイムスタンプでもよい)がある。
デバイスのケースでは、妥当性確認メッセージは、ID、証明情報、製造元、モデル、バージョン、メーク、シリアルナンバー、RoTを含むTrE能力およびプロパティ、デバイスのセキュリティポリシー、完全性検査および事後検査コンポーネントローディングの複数ステッププロセスの異なる段階で完全性チェックされるモジュール、HWビルドバージョン番号、並びにオプションでSWビルドバージョン番号および完全性測定データなどのデバイス情報をさらに含み得る。
妥当性確認のためにRIMを使用することは、好ましいがオプションのSAVのための方法である。ここではベースケースとして使われ、他の選択肢はこのケースからはずれ、逸脱する。例えば、RIMから検証データを算出し直さない妥当性確認があり、実施用PVMを完全にRIMなしで行う可能性さえもある。
検証バインディングは、デバイスの完全性を伴うもの以外の手段によって、例えば、安全なチャネルの存在および使用によって妥当性確認メッセージが認証にバインドされる場合はオプションでよい。
SeGWは、受信されたタイムスタンプを、ローカルタイムとチェック/比較して、変形を検出することができる。報告されたタイムスタンプが、ローカルタイムと合致しない場合、SeGWは、報告されたタイムスタンプのプロパティに従って作用する。デバイスのタイムスタンプが、信頼できるタイムスタンプであり、変化を示す場合、SeGWは、TrEおよびその信頼できるタイムソースの再妥当性確認をトリガすることができる。信頼できないタイムスタンプのケースでは、SeGWは、それ自体のタイムスタンプをメッセージに追加する。
TrE_infoはオプションでよい。Dev_IDは、TrE_infoへの参照を与え得る。全MNOが全TrEを、およびしたがって全TrE_infoデータを知るわけではないので、このようなマッピングは、所与の任意のDev_IDに関するTrE_infoを取得するためにMNOによって照会され得るデータベースによって与えられ得る。TrE_infoは、TrE_certificate中にあり得る。TrE_certificateは、TrEまたはTTPのベンダ、例えば、独BSIによって署名されるべきである。
コンポーネントに対するインジケータ(CInd)としてのURNの使用は、コンポーネントおよびRIMまたはRIM証明書を取り出すことができる場所のこの一意の識別を同時に許可するので、有利である。
SeGWは、ローリングトークンとして使うことができるとともに通信中にエンティティからエンティティに渡されるPVMトークン(T_PVM)を作成する。すべてのエンティティは、送付前にトークンにタイムスタンプを押して、フレッシュネスを確約し、非同期メッセージフローを防止する。トークンに対するタイムスタンプは、トークンの状態に従う方法を提供するのに使われ得る。トークンは、CN内でエンティティからエンティティに何巡も移動することができ、したがって、エンティティによって追跡することができる。オプションで、エンティティIDが、タイムスタンプされたデータの連鎖に組み込まれ得る。
T_PVMは、Dev_IDを含み得る。オリジナルタイムスタンプが存在せず、または信頼されない場合、T_PVMは、SeGWによって発行される新規タイムスタンプを含んでもよい。そうでない場合、T_PVMは、妥当性確認メッセージからのオリジナルタイムスタンプを含み得る。
タイムスタンプは、反射攻撃に対する保護に使われ得る。タイムスタンプは、ノンスまたは単調に増加するカウンタと組み合わせることも、それで置き換えることもできる。タイムスタンプは、妥当性確認データのフレッシュネスを評価するのに使うこともできる。両方の目的を組み合わせることが有利であり、タイムスタンプによって提供され得る。
第1の変形体において、DMSによる以降のデバイス管理のために、T_PVMは、DMSとTrE、例えば、TLS証明書との間の安全なトンネルを構築する通信秘密を含み得る。
SeGWは、全アクティブT_PVMを含むトークンデータベースT_DBを維持する。
SeGWは、妥当性確認データ、TrE_info、およびClistというデータを妥当性確認メッセージから抽出する。このデータをトークンT_PVMと一緒に送る前に、SeGWは、T_PVMにタイムスタンプを押し、PVEにフォワードする。SeGWは、妥当性確認メッセージおよびその一部の形式をチェックして、不正形式のデータ攻撃からの脅威を軽減させることができる。そうしないと、PVEでのこのデータの純粋な検査が、システムエラーまたは失敗につながるように、攻撃者が、危害を受けたTrEの妥当性確認メッセージ中のデータを修正しようとする可能性がある。
PVEは、デバイスの妥当性を決定するエンティティである。つまり、ポリシーシステムの言葉では、ポリシー決定点(PDP)である。任務の厳密な区別という手法の下では、PVEはPVMシステム内の唯一のPDPである。PDPは、SeGWおよびDMSに依拠して、ポリシー施行点(PEP)として作用するなどのポリシーを施行する。PVMは、その概要において、どのようにポリシーが生成されるか、および、どこからPVEがポリシーを得るかなど、どこに格納/管理されるかという疑問を問わないままである。後で説明するより詳細な変形体および付随方法の一部では(特定のパラメータに関する妥当性確認および最低限の妥当性確認では)、ポリシー条件およびアクションの幾つかの例が挙げられる。概して、妥当性確認ポリシーの決定は、単一のコンポーネントの妥当性だけではなく、Clistに含まれる他のデータにも基づき得る。特に、許可されるパラメータ(範囲)、およびロードの順序(Clistが順序づけられる)が評価され得る。
PVEによって実行される妥当性確認プロセス中に起こり得る失敗条件の幾つかの根本的クラスがある。例えば、失敗条件F1は、「TrE無効」シナリオを示す。認証されたそのDev_IDおよび配布されたTrE_infoによって、PVEは、デバイスおよび/またはそのTrEを、信用できないものと識別する。注:TrEが無効であり得るかどうか判定するのに用いられ得る情報は、SAV妥当性確認メッセージ自体にのせて搬送することができ、または他のメッセージもしくは他の手段から推定することができる。その基本的な形において、SAV妥当性確認メッセージの存在は、TrE自体が有効でなければならないことを暗黙的に示し得る。F1がどのように検出され得るかについての詳細は、本明細書において完全に説明されているものとして、参照によって組み込まれている、同時に出願した、「Platform Validation and Management of Wireless Devices」という名称の米国特許出願第12/718,480号明細書に論じられている。
別の例は、「IVD検証失敗」に関する3つのシナリオを示す失敗条件F2である。シナリオF2aは、完全性測定/検証データ不一致を示す。F2aは、デバイスの安全なスタートアッププロセスの失敗、並びに/またはデバイス上での偽および/もしくは失効したRIMおよび/もしくはRIM証明書の存在を示し、これにより次いで、無効コンポーネントがスタートされる。シナリオF2bは、RIM欠如を示し、すなわち、コンポーネント用RIMが欠如しており、どこか他の所から取り出される必要がある。シナリオF2cは、失効したRIM証明書を示す。
失敗条件F3は、「Clistポリシー失敗」に関する2つのシナリオを示す。シナリオF3aに対して、単一のコンポーネントが有効であるが、構成は、例えば、ロード順序、または望まれないコンポーネント、またはパラメータに対するポリシーに失敗する。シナリオF3bは、Clistの「既知の良好値」が利用できないように、構成が未知であることを示す。
失敗条件クラスF2の検出および取扱い方法について本明細書に記載する。失敗条件F2に対して、PVEは、受信されたClistにある全コンポーネント用のV_DBからRIMを取り出す。妥当性確認データベースV_DBは、認証されたRIMのみを格納する。対応するRIM証明書は、V_DBに安全に格納されなければならない。
IVDが、本明細書に記載した狭義のSAVプロシージャに記載されるように、「ローカル完全性検査に失敗した、デバイスのコンポーネントに対応する、デバイスのコンポーネント」の単純なリストの形である場合、IVD_refは、単にNULLリストの形になる。つまり、IVD_refは、この場合、失敗した機能性の期待されるリストに過ぎないはずであり、このリストは、すべてのコンポーネントがデバイスにローカルな完全性検査を通ったことを期待される場合はNULLテーブルであるべきである。
IVD_refが受信されたIVDと合致しない場合、デバイス上での安全なスタートアッププロセスが危害を受けており、または誤ったRIMがデバイスに格納されており、したがって無効コンポーネントが安全なスタートアッププロセス中にロードされている。
F2aポリシーに依存して、F2a失敗が検出されると、幾つかの選択肢が該当し得る。1つの選択肢では、拒絶である。PVEは、妥当性確認の出力結果をSeGWにシグナリングする。SeGWは次いで、ネットワークアクセスを拒否しても、デバイスを検疫ネットワークに入れてもよい。第2の選択肢はアップデートである。検証データ失敗を示す妥当性確認結果(T_PVM)を受信した後、DMSは、管理プロセスをスタートして、妥当性確認に失敗したコンポーネントを置き換える。このような修復プロセスの詳細は、本明細書において完全に説明されているものとして、参照によって組み込まれている、同時に出願した、「Platform Validation and Management of Wireless Devices」という名称の米国特許出願第12/718,480号明細書に論じられている。
どのポリシー失敗条件も満たされない場合、デバイスは有効である。PVEは、このことをSeGWにシグナリングし、SeGWは次いで、CNへの接続を許可する。
RIMが欠如している失敗条件F2bの場合、これは、RIMがV_DB中にないか、またはデバイスにない(その結果、この場合、デバイスは、デバイスにローカルな完全性検査プロシージャを実施することができなくなる)ので、起こり得る。F2がどのように検出され取り扱われ得るかについての詳細は、本明細書において完全に説明されているものとして、参照によって組み込まれている、同時に出願した、「Platform Validation and Management of Wireless Devices」という名称の米国特許出願第12/718,480号明細書に論じられている。
失敗条件クラスF3の検出および取扱い方法について本明細書に記載する。F3失敗条件は、単一のコンポーネントが有効であるがコンポーネントの構成がポリシーに失敗した(例えば、ロード順不一致)場合、または構成が未知である、すなわち、Clistの「既知の良好な値」が入手できない場合に起こる。このような失敗条件がどのように起こり得るか、およびこのような失敗条件がどのように取り扱われ得るかについての詳細は、本明細書において完全に説明されているものとして、参照によって組み込まれている、同時に出願した、「Platform Validation and Management of Wireless Devices」という名称の米国特許出願第12/718,480号明細書に論じられている。
図19は、H(e)NBを含むLTE(ロングタームエボリューション)ワイヤレス通信システム/アクセスネットワーク1900とともに使われ得るE−UTRAN(進化型ユニバーサル地上無線アクセスネットワーク)1905を示す。E−UTRAN1905は、WTRU1910、および幾つかのeNB(evolved Node-B)1920を含む。WTRU1910は、eNB1920と通信する。eNB1920は、X2インタフェースを使って互いとインタフェースをとる。eNB1920はそれぞれ、S1インタフェースを介して、MME(移動管理エンティティ)/S−GW(サービングゲートウェイ)1930とインタフェースをとる。単一のWTRU1910および3つのeNB1920を図19に示してあるが、ワイヤレスおよびワイヤードデバイスのどの組合せも、ワイヤレス通信システムアクセスネットワーク1900に含まれ得ることが明らかであろう。
図20は、WTRU1910、eNB1920、およびMME/S−GW1930を含むLTEワイヤレス通信システム2000の例示的ブロック図である。図20に示すように、WTRU1910、eNB1920およびMME/S−GW1930は、自律的および半自律的妥当性確認を用いるH(e)NB完全性検証および妥当性確認の方法を実施するように構成される。
典型的なWTRUにおいて見られ得るコンポーネントに加え、WTRU1910は、オプションのリンクされたメモリ2022を有するプロセッサ2016、少なくとも1つのトランシーバ2014、オプションのバッテリ2020、およびアンテナ2018を含む。プロセッサ2016は、自律的および半自律的妥当性確認を用いるH(e)NB完全性検証および妥当性確認の方法を実施するように構成される。トランシーバ2014は、プロセッサ2016およびアンテナ2018と通信して、ワイヤレス通信の送受信を容易にする。WTRU1910内でバッテリ2020が使われるケースでは、バッテリ2020は、トランシーバ2014およびプロセッサ2016に電力を供給する。
典型的なeNB(H(e)NBを含む)において見られ得るコンポーネントに加え、eNB1920は、オプションのリンクされたメモリ2015を有するプロセッサ2017、トランシーバ2019、およびアンテナ2021を含む。プロセッサ2017は、自律的および半自律的妥当性確認を用いるH(e)NB完全性検証および妥当性確認の方法を実施するように構成される。トランシーバ2019は、プロセッサ2017およびアンテナ2021と通信して、ワイヤレス通信の送受信を容易にする。eNB1920は、オプションのリンクされたメモリ2034を有するプロセッサ2033を含むMME/S−GW(移動管理エンティティ/サービングゲートウェイ)1930に接続される。
SeGWおよびPVEは、図19、20には示していないが、典型的なSeGWおよびPVEにおいて見ることができるコンポーネントに加え、オプションのリンクされたメモリ、トランシーバ(複数可)、アンテナ(複数可)、および通信ポートを有するプロセッサを含み得る。プロセッサは、プラットフォーム妥当性確認および管理機能を実施して、PVM手順を実装するように構成される。トランシーバおよび通信ポートは、必要に応じて、プロセッサおよびアンテナと通信して、通信内容の送信および受信を容易にする。
実施形態
1.H(e)NB(home evolved Node B)の完全性検証を実施する方法であって、コンポーネントのローディングに先立って、コンポーネントに関する完全性メトリックを測定することを含む方法。
2.実施形態1の方法において、信頼できる参照値(TRV)を認証することをさらに含む方法。
3.上記実施形態のいずれかに記載の方法において、測定された完全性メトリックをTRVと比較することをさらに含む方法。
4.上記実施形態のいずれかに記載の方法において、完全性検証結果に依存して、通常コードまたはフォールバックコードの一方で、H(e)NBをスタートすることをさらに含む方法。
5.上記実施形態のいずれかに記載の方法において、ソフトウェアモジュールと、参照完全性メトリック、並びにH(e)NBおよびプラットフォーム妥当性確認エンティティ(PVE)の少なくとも一方に対する重大度の少なくとも1つを含む、関連付けられた属性のリストとを提供することをさらに含む方法。
6.上記実施形態のいずれかに記載の方法において、デバイス構成データシートは、ソフトウェアモジュールおよび関連付けられた属性のリストを含み、H(e)NBおよびプラットフォーム妥当性確認エンティティ(PVE)の少なくとも一方に与えられる方法。
7.上記実施形態のいずれかに記載の方法において、関連付けられた属性は、コンポーネントおよび機能性に関して、ソフトウェアモジュールのマッピングを可能にする方法。
8.上記実施形態のいずれかに記載の方法において、デバイス構成データシートと、ソフトウェアモジュールおよび関連付けられた属性のリストとの少なくとも一方は、H(e)NBおよびプラットフォーム妥当性確認エンティティ(PVE)の少なくとも一方に格納される方法。
9.上記実施形態のいずれかに記載の方法において、PVEがそれに基づいてアクションを判定し得るモジュール識別子を少なくとも含む完全性チェック失敗メッセージを送ることをさらに含む方法。
10.上記実施形態のいずれかに記載の方法において、完全性検証失敗に対する重大度分類に基づいて所定のアクションを実施することをさらに含む方法。
11.上記実施形態のいずれかに記載の方法において、所定のアクションは、非常メッセージの送付、コードアップデートの開始、修復の開始、および失敗した機能性のリストの報告の少なくとも1つを含む方法。
12.上記実施形態のいずれかに記載の方法において、ソフトウェアモジュールおよび関連付けられた属性のリストは、コンポーネント特有の情報要素、モジュール特有の情報要素および機能要素の少なくとも1つを含む方法。
13.上記実施形態のいずれかに記載の方法において、コンポーネント特有の情報要素は、コンポーネント説明、コンポーネント識別(ID)および信頼できる参照値(TRV)の少なくとも1つを含む方法。
14.上記実施形態のいずれかに記載の方法において、モジュール特有の情報要素は、モジュール説明、モジュール識別(ID)、機能説明、機能ID、コンポーネントID、リリースバージョンおよび重大度の少なくとも1つを含む方法。
15.上記実施形態のいずれかに記載の方法において、モジュールは、完全性検証中に少なくとも一度調べられる方法。
16.上記実施形態のいずれかに記載の方法において、モジュールは、ただ1つのコンポーネント中に現れる方法。
17.上記実施形態のいずれかに記載の方法において、モジュールは、2つの機能の間で共有される方法。
18.上記実施形態のいずれかに記載の方法において、各モジュールは、関連付けられた機能性をもつ方法。
19.上記実施形態のいずれかに記載の方法において、モジュールグループは、同じコンポーネントに関連付けられ、同じコンポーネント識別子(ID)を共有し、同じコンポーネントとの完全性をまとめて検証される方法。
20.上記実施形態のいずれかに記載の方法において、1つのコンポーネント識別子(ID)をもつモジュールは、異なる機能性識別子(ID)で分類される方法。
21.上記実施形態のいずれかに記載の方法において、モジュールは、機能性および完全性チェック単位に基づいて分類される方法。
22.上記実施形態のいずれかに記載の方法において、同じコンポーネント識別子のモジュールは、1つの信頼できる参照値(TRV)をもち、信頼できる参照値が失敗するという条件で、失敗したコンポーネント識別子の全モジュールは、失敗した機能性のリストを判定するのに使われる方法。
23.H(e)NB(home evolved Node B)の妥当性確認を実施する方法であって、デバイス完全性チェック失敗の結果、上記H(e)NBをフォールバックコードでスタートすることを含む方法。
24.上記実施形態23の方法において、非常メッセージを送ることをさらに含む方法。
25.上記実施形態23〜24のいずれかに記載の方法において、修復情報を取り出すダウンリンクメッセージを受信することをさらに含む方法。
26.上記実施形態23〜25のいずれかに記載の方法において、ダウンリンクメッセージに応答して修復情報をダウンロードすることをさらに含む方法。
27.上記実施形態23〜26のいずれかに記載の方法において、インストールされた修復情報に基づいてH(e)NBをリスタートすることをさらに含む方法。
28.上記実施形態23〜27のいずれかに記載の方法において、失敗情報をアップロードして、修復情報の準備を許すことをさらに含む方法。
29.上記実施形態23〜28のいずれかに記載の方法において、非常メッセージは、製造元識別、信頼できる環境識別、H(e)NB識別、および失敗コードの少なくとも1つを含む方法。
30.上記実施形態23〜29のいずれかに記載の方法において、重大度測度は、デバイス完全性チェック失敗の影響を指定する方法。
31.上記実施形態23〜30のいずれかに記載の方法において、デバイス完全性チェックは、ローカルに実施される方法。
32.上記実施形態23〜31のいずれかに記載の方法において、失敗情報は、H(e)NB管理システム(H(e)MS)またはプラットフォーム妥当性確認エンティティ(PVE)の一方に送られる方法。
33.上記実施形態23〜32のいずれかに記載の方法において、H(e)NBは、SSL/TLS(セキュアソケットレイヤ/トランスポートレイヤセキュリティ)を使って、非常メッセージを送る方法。
34.上記実施形態23〜33のいずれかに記載の方法において、H(e)NBは、デフォルトのH(e)MS URL(ユニフォームリソースロケータ)で構成される方法。
35.上記実施形態23〜34のいずれかに記載の方法において、デバイス構成データシートは、デバイスの安全なメモリ内部に維持され、認可された当事者によってアクセスされる方法。
36.上記実施形態23〜35のいずれかに記載の方法において、H(e)NBは、デバイス構成データシートが満了すると、アップデートプロセスを開始して、修復サーバからデータをプルする方法。
37.上記実施形態23〜36のいずれかに記載の方法において、H(e)NBは、予め指定されたコンポーネントのデバイス完全性チェックを実施する方法。
38.上記実施形態23〜37のいずれかに記載の方法において、PVEからH(e)NBアクションを受信することをさらに含む方法。
39.H(e)NB(home evolved Node B)の妥当性確認を実施する方法であって、IKE(インターネット鍵交換)セキュリティアソシエーションを確立することを含む方法。
40.実施形態1の方法において、デバイス完全性チェック結果の相互認証および指示のための証明書を、IKE_AUTH要求に入れて送ることをさらに含む方法。
41.上記実施形態39〜40のいずれかに記載の方法において、認証およびデバイス完全性の妥当性確認の結果の指示を受信することをさらに含む方法。
42.上記実施形態39〜41のいずれかに記載の方法において、デバイス完全性チェック結果の評価に基づくアクションを受信することをさらに含む方法。
43.上記実施形態39〜42のいずれかに記載の方法において、デバイス完全性チェック結果は、失敗した機能性のリストを含む方法。
44.上記実施形態39〜43のいずれかに記載の方法において、受信されたアクションは、修復を呼び出す方法。
45.上記実施形態39〜44のいずれかに記載の方法において、H(e)NB内でのデバイス完全性チェック結果は、検疫され、完全アクセスを入手し、部分アクセスを入手し、または修復のための担当者介入を入手する方法。
46.上記実施形態39〜45のいずれかに記載の方法において、修復を示すアクションに応答して非常メッセージを送ることをさらに含む方法。
47.上記実施形態39〜46のいずれかに記載の方法において、修復情報を取り出すダウンリンクメッセージを受信することをさらに含む方法。
48.上記実施形態39〜47のいずれかに記載の方法において、ダウンリンクメッセージに応答して修復情報をダウンロードすることをさらに含む方法。
49.上記実施形態39〜48のいずれかに記載の方法において、インストールされた修復情報に基づいてH(e)NBをリスタートすることをさらに含む方法。
50.上記実施形態39〜49のいずれかに記載の方法において、失敗情報をアップロードして、修復情報の準備を許す方法。
51.上記実施形態39〜50のいずれかに記載の方法において、失敗情報は、失敗した機能性のリストを含む方法。
52.上記実施形態39〜51のいずれかに記載の方法において、失敗情報は、H(e)NB管理システム(H(e)MS)またはプラットフォーム妥当性確認エンティティ(PVE)の一方に送られる方法。
53.上記実施形態39〜52のいずれかに記載の方法において、失敗情報は、チェックされた機能性のリストを含む方法。
54.上記実施形態39〜53のいずれかに記載の方法において、失敗情報は、チェックされていない機能性のリストを含む方法。
55.上記実施形態39〜54のいずれかに記載の方法において、妥当性確認および認証のバインドは、IKEセッションによって与えられる方法。
56.上記実施形態39〜55のいずれかに記載の方法において、妥当性確認および認証のバインドは、デバイス完全性検査が成功するという条件で先行する認証プロシージャによって与えられる方法。
57.デバイス妥当性確認をバインドする方法であって、信頼できる環境(TrE)を認証プロシージャにバインドすることを含む方法。
58.実施形態57の方法において、認証プロシージャは、EAP−AKA(Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement)プロシージャである方法。
59.実施形態57〜58のいずれか1つに記載の方法において、プロシージャはAKA資格を妥当性確認する方法。
60.実施形態57〜59のいずれか1つに記載の方法において、AKA資格はTrEに含まれる方法。
61.実施形態57〜60のいずれか1つに記載の方法において、妥当性確認済みデバイスとEAP−AKAベース認証をバインドすることをさらに含む方法。
62.実施形態57〜61のいずれか1つに記載の方法において、EAP−AKA認証は、AKA資格を保持するTrEを、EAP−AKAベース認証のプロシージャにバインドすることを含む方法。
63.実施形態57〜62のいずれか1つに記載の方法において、HeNB(enhanced home node B)へのAKA資格を保持するTrEの論理バインドを実施することをさらに含む方法。
64.実施形態57〜63のいずれか1つに記載の方法において、デバイスプラットフォームの完全性が妥当性確認される方法。
65.実施形態57〜64のいずれか1つに記載の方法において、HeNBへの、AKA資格を保持するTrEの物理的バインドを実施することをさらに含む方法。
66.実施形態57〜65のいずれか1つに記載の方法において、ハードウェアおよびソフトウェアに対する実際の完全性の妥当性確認は、HeNBに安全に組み込まれたハードウェアセキュリティコンポーネントによって実施される方法。
67.実施形態57〜66のいずれか1つに記載の方法において、EAP−AKA認証に適した資格および物理的にバインドされたTrEに格納された関連アプリケーションは、ホスティングデバイスへの取外し可能ハードウェアコンポーネントのバインドを妥当性確認するように構成される方法。
68.実施形態57〜67のいずれか1つに記載の方法において、AKA資格を保持するTrEおよびHeNBはさらにバインドされる方法。
69.実施形態57〜68のいずれか1つに記載の方法において、TrEのみがデータを復号することができるように、デバイス妥当性確認に使われるAKA資格を計算するのに必要とされるデータをHeNBが暗号化することをさらに含む方法。
70.実施形態57〜69のいずれか1つに記載の方法において、HeNB暗号化データを復号するのに必要とされる鍵をTrEが安全に格納することをさらに含む方法。
71.実施形態57〜70のいずれか1つに記載の方法において、共通セキュリティプロトコルの同じセッション中のデバイス妥当性確認およびデバイス認証についての情報を組み合わせて、さらなるバインディングを取得することをさらに含む方法。
72.実施形態57〜71のいずれか1つに記載の方法において、共通セキュリティプロトコルは、IKEv2(インターネット鍵交換バージョン2)である方法。
73.実施形態57〜72のいずれか1つに記載の方法において、デバイス妥当性確認は、HeNBとネットワークエンティティ間の対話およびメッセージ交換を含む方法。
74.実施形態57〜73のいずれか1つに記載の方法において、HeNBはTrEを含む方法。
75.実施形態57〜74のいずれか1つに記載の方法において、HeNBの妥当性確認をネットワークエンティティが実施することをさらに含む方法。
76.実施形態57〜75のいずれか1つに記載の方法において、HeNBと妥当性確認を実施するネットワークエンティティとの間のシグナリングをセキュリティゲートウェイが伝えることをさらに含む方法。
77.実施形態57〜76のいずれか1つに記載の方法において、デバイス妥当性確認を証明書ベースの認証にバインドすることをさらに含む方法。
78.実施形態57〜77のいずれか1つに記載の方法において、バインドすることは、HeNBのTrEを証明書ベースのデバイス妥当性確認のプロシージャに物理的にバインドすることを含む方法。
79.実施形態57〜78のいずれか1つに記載の方法において、バインドすることは、HeNBのTrEを証明書ベースのデバイス妥当性確認のプロシージャに論理的にバインドすることを含む方法。
80.実施形態57〜79のいずれか1つに記載の方法において、証明書資格を保持するTrEとHeNBはさらにバインドされる方法。
81.実施形態57〜80のいずれか1つに記載の方法において、暗号鍵を使ってデバイス妥当性確認に使われる証明書資格を計算するのに必要とされるデータをHeNBが暗号化すること、およびTrEが安全に保持する鍵を使ってTrEの内側の暗号化データをTrEが復号することをさらに含む方法。
82.実施形態57〜81のいずれか1つに記載の方法において、共通プロトコルセッションの同じまたは連続するセッションを両方のプロシージャに使わせることによって、証明書ベースの認証セッションをHeNB妥当性確認のためのプロシージャにバインドすることをさらに含む方法。
83.実施形態57〜82のいずれか1つに記載の方法において、デバイス妥当性確認は、HeNBと、ネットワークがHeNBのデバイス完全性の妥当性確認を実施することを可能にするネットワークエンティティとの間の、共通プロトコルセッションによる対話を含む方法。
84.実施形態57〜83のいずれか1つに記載の方法において、バインドされるHeNBのデバイス妥当性確認をEAP−AKAベースのクライアント認証にバインドすることをさらに含む方法。
85.実施形態57〜84のいずれか1つに記載の方法において、TrEとHeNBの残りとの間のメッセージ交換のための暗号鍵および資格を使ってTrEをHeNBにバインドすることをさらに含む方法。
86.実施形態57〜85のいずれか1つに記載の方法において、TrEとHeNBの残りとの間のメッセージ交換は、デバイス妥当性確認に関連したメッセージ交換を含む方法。
87.実施形態57〜86のいずれか1つに記載の方法において、鍵および資格は、TrEの内側で保護される方法。
88.実施形態57〜87のいずれか1つに記載の方法において、共通セキュリティプロトコルの同じまたは連続するセッション中に、デバイス妥当性確認およびEAP−AKAベースのクライアント認証の指定された一部をHeNBおよびTrEが実施することをさらに含む方法。
89.実施形態57〜88のいずれか1つに記載の方法において、HeNBのデバイス妥当性確認を証明書ベースのクライアント認証にバインドすることをさらに含む方法。
90.実施形態57〜89のいずれか1つに記載の方法において、TrEは、鍵ペアを含む方法。
91.実施形態57〜90のいずれか1つに記載の方法において、鍵ペアは、私有部および公開部を含む方法。
92.実施形態57〜91のいずれか1つに記載の方法において、私有部は、TrEの内側に安全に格納される方法。
93.実施形態57〜92のいずれか1つに記載の方法において、公開部は、HeNBに対して使用可能にされる方法。
94.実施形態57〜93のいずれか1つに記載の方法において、HeNBの製造元が、鍵ペアを生成すること、およびHeNBに対して公開鍵を利用可能にするのに必要とされる証明書を与えることをさらに含む方法。
95.実施形態57〜94のいずれか1つに記載の方法において、EAP−AKAベース認証における暗号手段によって、妥当性確認および認証のバインドを作成することをさらに含む方法。
96.実施形態57〜95のいずれか1つに記載の方法において、HeNBが、証明書からの公開鍵で応答を暗号化すること、および暗号化データをTrEにフォワードすることをさらに含む方法。
97.実施形態57〜96のいずれか1つに記載の方法において、応答はIKE_AUTH応答である方法。
98.実施形態57〜97のいずれか1つに記載の方法において、TrEが、次いで、データを復号すること、並びにAAA(認証、認可およびアカウンティング)サーバに対してHeNBを認証するのに必要とされるEAP−AKA応答(RES)パラメータを計算することをさらに含む方法。
99.実施形態57〜98のいずれか1つに記載の方法において、HeNBが、公開鍵を使って、TrEにおけるAUTHパラメータを計算するのに必要とされるデータを暗号化することをさらに含む方法。
100.実施形態57〜99のいずれか1つに記載の方法において、TrEが、データを復号すること、およびSeGWに対するHeNBを認証するのに必要なAUTHパラメータを計算することをさらに含む方法。
101.実施形態57〜100のいずれか1つに記載の方法において、デバイス完全性とデバイスIDを暗号によってバインドすることをさらに含む方法。
102.実施形態57〜101のいずれか1つに記載の方法において、デバイス完全性とデバイスIDを暗号によってバインドすることは、TrEおよびHeNBによって実施される方法。
103.実施形態57〜102のいずれか1つに記載の方法において、TrEおよびHeNBは、それぞれの公開鍵ペアを装備する方法。
104.実施形態57〜103のいずれか1つに記載の方法において、TrEおよびHeNBは、それぞれの対称共有鍵を装備する方法。
105.実施形態57〜104のいずれか1つに記載の方法において、TrEおよびHeNBは、鍵を、通信を保護するために、また、相互認証のために使う方法。
106.実施形態57〜105のいずれか1つに記載の方法において、デバイス妥当性確認のためのIKEv2プロトコルは、HeNBへのTrEのバインドに使われる方法。
107.実施形態57〜106のいずれか1つに記載の方法において、デバイス完全性は、デバイス完全性の妥当性確認およびデバイス認証のプロシージャを結びつけることによって、デバイスIDにバインドされる方法。
108.実施形態57〜107のいずれか1つに記載の方法において、デバイス完全性の妥当性確認およびデバイス認証は、保護されたTrE内部で実施される方法。
109.実施形態57〜108のいずれか1つに記載の方法において、TrEは、保護された、信頼できるエンティティである方法。
110.実施形態57〜109のいずれか1つに記載の方法において、TrEは、デバイス完全性の妥当性確認およびデバイス認証のプロシージャを実行する方法。
111.実施形態57〜110のいずれか1つに記載の方法において、IKEv2プロトコルのセッション、または直後のセッションは、デバイス完全性の妥当性確認およびデバイス認証両方に使われる方法。
112.実施形態57〜111のいずれか1つに記載の方法において、デバイス妥当性確認プロシージャを新規メッセージ交換に組み合わせることをさらに含む方法。
113.実施形態57〜112のいずれか1つに記載の方法において、新規要求および応答交換は、デバイス認証のために実施される別の同様の交換に先行する方法。
114.実施形態57〜113のいずれか1つに記載の方法において、デバイス認証によって使われる要求および応答交換は、デバイス妥当性確認プロシージャに使われる方法。
115.実施形態57〜114のいずれか1つに記載の方法において、デバイス完全性の妥当性確認に必要とされる追加データは、選ばれたメッセージフィールドに組み込まれる方法。
116.実施形態57〜115のいずれか1つに記載の方法において、デバイス完全性に必要とされるデータは、ローカル自律完全性チェックまたは半自律的妥当性確認の出力結果についての署名されたステートメントを含む方法。
117.実施形態57〜116のいずれか1つに記載の方法において、メッセージフィールドは、保護された通知フィールドを含む方法。
118.実施形態57〜117のいずれか1つに記載の方法において、デバイス妥当性確認プロシージャを既存のメッセージ交換に組み合わせることをさらに含む方法。
119.実施形態57〜118のいずれか1つに記載の方法において、デバイス妥当性確認プロシージャを新規要求および応答交換に組み合わせることをさらに含む方法。
120.上記実施形態のいずれかに記載の方法において、完全性チェックを実施し、完全性チェックで生じた情報を用いて、ネットワーク決定に影響を与えることをさらに含む方法。
121.上記実施形態のいずれかに記載の方法において、情報要素は、製造元および完全性アルゴリズムを含む方法。
122.上記実施形態のいずれかに記載の方法において、コンポーネント特有の情報要素は、コンポーネント説明、コンポーネント識別(ID)および信頼できる参照値(TRV)を含む方法。
123.上記実施形態のいずれかに記載の方法において、モジュール特有の情報要素は、モジュール説明、モジュール識別(ID)、機能説明、機能ID、コンポーネントID、リリースバージョンおよび重大度を含む方法。
124.上記実施形態のいずれかに記載の方法において、重大度は、完全性チェックの失敗の影響を指定する方法。
125.上記実施形態のいずれかに記載の方法において、重大度は、1から4のスケールで分類される方法。
126.上記実施形態のいずれかに記載の方法において、重大度1は、H(e)NB機能性に対する高い影響を表明し、停止動作を保証することができ、フォールバックコードイメージ(FBC)は、指定されたH(e)MSに非常信号を送ることができる方法。
127.上記実施形態のいずれかに記載の方法において、重大度2は、制限されたH(e)NB機能性を表明する方法。
128.上記実施形態のいずれかに記載の方法において、3の重大度は、コア機能性に影響を与えなくてよく、モジュール/機能の失敗は、ファームウェアアップデートプロシージャで置き換えられ、リブートにより妥当性確認される方法。
129.上記実施形態のいずれかに記載の方法において、4の重大度は、コア機能性に影響を与えなくてよく、失敗したモジュールは、通常のファームウェアアップデートを介して置き換えることができる方法。
130.上記実施形態のいずれかに記載の方法において、自律的妥当性確認中、デバイス完全性チェックはローカルに実施される方法。
131.上記実施形態のいずれかに記載の方法において、完全性チェックが失敗するという条件で、非常信号が宅内移動局(H(e)MS)に送られる方法。
132.上記実施形態のいずれかに記載の方法において、半自律的妥当性確認中、完全性チェックに失敗した機能性のリストは、パーソナルビデオエンコーダ(PVE)に報告される方法。
133.上記実施形態のいずれかに記載の方法において、完全性チェック中、モジュールは一度だけ調べられる方法。
134.上記実施形態のいずれかに記載の方法において、モジュールは、ただ1つのコンポーネントにおいて現れる方法。
135.上記実施形態のいずれかに記載の方法において、モジュールは、2つの機能の間で共有され得る方法。
136.上記実施形態のいずれかに記載の方法において、各モジュールは、関連付けられた機能性をもち、失敗した機能性のリストは、半自律的妥当性確認(SAV)において導出され、パーソナルビデオエンコーダ(PVE)に送られ得る方法。
137.上記実施形態のいずれかに記載の方法において、機能性識別子(ID)は、モジュールの分類を与える方法。
138.上記実施形態のいずれかに記載の方法において、モジュールは、生成されたイメージに基づいて分類される方法。
139.上記実施形態のいずれかに記載の方法において、モジュールのグループは、同じコンポーネント識別子(ID)を含み、まとめて完全性をチェックされる方法。
140.上記実施形態のいずれかに記載の方法において、1つのコンポーネント識別子(ID)をもつモジュールは、異なる機能性識別子(ID)で分類される方法。
141.上記実施形態のいずれかに記載の方法において、モジュール識別子(ID)は、様々なソフトウェアモジュールを追跡するのに使われ、標準化されない方法。
142.上記実施形態のいずれかに記載の方法において、モジュールは、機能性および完全性チェック単位に基づいて分類される方法。
143.上記実施形態のいずれかに記載の方法において、同じコンポーネント識別子(ID)をもつ全モジュールは、1つの信頼できる参照値をもち、信頼できる参照値が失敗するという条件で、失敗したコンポーネントの全モジュールは、失敗した機能性のリストを判定するのに使われ、宅内移動局(H(e)MS)またはパーソナルビデオエンコーダ(PVE)に伝達される方法。
144.上記実施形態のいずれかに記載の方法において、機能性のリストは、コンポーネントに関連付けられる方法。
145.上記実施形態のいずれかに記載の方法において、コンポーネントは、ロードされる順序で編成される方法。
146.上記実施形態のいずれかに記載の方法において、完全性チェックは、イメージオブジェクトファイルの一部に対して実施され、イメージオブジェクトファイルが完全性チェックを通らないという条件で、失敗したセグメント名が抽出される方法。
147.上記実施形態のいずれかに記載の方法において、CPE(顧客構内設備)は、信頼できる参照をH(e)NBにダウンロードするのに使われ、信頼できる参照は、ネットワークオペレータの署名鍵によってデジタル署名される方法。
148.上記実施形態のいずれかに記載の方法において、信頼できる参照値を含む署名されたパケットを受信すると、H(e)NBは、署名を復号し、受信された信頼できる参照値の真正性および完全性を検証する方法。
149.上記実施形態のいずれかに記載の方法において、信頼できる参照値は、デジタル署名される前に、機密性のために暗号化される方法。
150.上記実施形態のいずれかに記載の方法において、信頼できる参照値は、ソフトウェアモジュールバイナリイメージの一部に付加される方法。
151.上記実施形態のいずれかに記載の方法において、H(e)NBおよび宅内移動局H(e)MSは、SSL/TLS(セキュアソケットレイヤ/トランスポートレイヤセキュリティ)をサポートし、証明書ベースの認証を使う方法。
152.上記実施形態のいずれかに記載の方法において、TR069ベースのアーキテクチャは、証明書ベースの認証をサポートする方法。
153.上記実施形態のいずれかに記載の方法において、H(e)NBは、ManagementServer.URLパラメータ中のデフォルトの宅内移動局H(e)MS URL(ユニフォームリソースロケータ)で構成される方法。
154.上記実施形態のいずれかに記載の方法において、H(e)NBは、LAN(ローカルエリアネットワーク)側ManagementServer.URL構成をサポートする方法。
155.上記実施形態のいずれかに記載の方法において、セキュリティゲートウェイ(SeGW)URL(ユニフォームリソースロケータ)はパラメータである方法。
156.上記実施形態のいずれかに記載の方法において、自律的妥当性確認中に、デジタル署名またはメッセージは私有鍵を使って署名される方法。
157.上記実施形態のいずれかに記載の方法において、自律的妥当性確認中に、情報はネットワークエンティティに送られない方法。
158.上記実施形態のいずれかに記載の方法において、最低要件は、信頼できる参照完全性メトリックまたは信頼できる参照値の生成に使われるアルゴリズム向けに標準化される方法。
159.上記実施形態のいずれかに記載の方法において、信頼できる参照値は、信頼できるサードパーティによって生成され、デジタル署名される方法。
160.上記実施形態のいずれかに記載の方法において、ローカル完全性データ初期化が実施される方法。
161.上記実施形態のいずれかに記載の方法において、構成データの初期プロビジョニングが実施される方法。
162.上記実施形態のいずれかに記載の方法において、参照完全性メトリックは、信頼できる参照値になる方法。
163.上記実施形態のいずれかに記載の方法において、デバイス構成データシートは、デバイスの安全なメモリ内部で維持され、認可された当事者によってアクセスされる方法。
164.上記実施形態のいずれかに記載の方法において、デバイス構成データは、H(e)NBによって暗号化され復号される方法。
165.上記実施形態のいずれかに記載の方法において、安全なブートプロセス中、生成されたダイジェストは、デバイス構成データシート中で指定された値と比較される方法。
166.上記実施形態のいずれかに記載の方法において、デバイス構成データシートが失効するという条件で、H(e)NBがファームウェアアップデートプロセスを開始して、修復サーバからデータをプルする方法。
167.上記実施形態のいずれかに記載の方法において、宅内移動局(H(e)MS)は、RPC(リモートプロシージャコール)を開始し、ManagementServer.URLをアップデートする方法。
168.上記実施形態のいずれかに記載の方法において、ファイルを転送するために、FTPS(ファイル転送プロトコルセキュア)が実装される方法。
169.上記実施形態のいずれかに記載の方法において、デバイス完全性チェックは、自律的妥当性確認において失敗し、ローカル非常フラグが設定され、フォールバックコード(FBC)がデバイスに格納される方法。
170.上記実施形態のいずれかに記載の方法において、非常信号は、デバイス完全性チェック失敗の詳細を含む方法。
171.上記実施形態のいずれかに記載の方法において、FTP(ファイル転送プロトコル)サーバは、宅内移動局(H(e)MS)とマージされる方法。
172.上記実施形態のいずれかに記載の方法において、半自律的妥当性確認(SAV)中、H(e)NBは、安全でないリンクを介して、安全なゲートウェイ(SeGW)と対話する方法。
173.上記実施形態のいずれかに記載の方法において、安全なゲートウェイ(SeGW)は、認証されたH(e)NBのみがネットワークにアクセスすることを許可する方法。
上記実施形態のいずれかに記載の方法において、宅内移動局(H(e)MS)は、H(e)NB管理サーバとして作用し、修復のサポートを提供する方法。
174.上記実施形態のいずれかに記載の方法において、SAVにおいて、H(e)NBは、予め指定されたコンポーネントの完全性の検査を実施する方法。
175.上記実施形態のいずれかに記載の方法において、SAVにおいて、コンポーネントの認証は、完全性アルゴリズムからのダイジェスト出力を、デバイス構成シート中の指定された値と比較することによってローカルに実施される方法。
176.上記実施形態のいずれかに記載の方法において、H(e)NBのトランスポート要素(TrE)は、予め定義されたコンポーネントの完全性の検査を実施する方法。
177.上記実施形態のいずれかに記載の方法において、H(e)NBは、証明書交換による安全なゲートウェイ(SeGW)で、IKE(インターネット鍵交換)セキュリティアソシエーションを確立する方法。
178.上記実施形態のいずれかに記載の方法において、コンポーネントのローカル完全性の妥当性確認の後、コンポーネントがデバイスによってロードされ実行される方法。
179.上記実施形態のいずれかに記載の方法において、インターネット鍵交換(IKE)要素が送られて、暗号アルゴリズム用のセキュリティパラメータ索引を含むセキュリティアソシエーションを確立する方法。
180.上記実施形態のいずれかに記載の方法において、安全なゲートウェイ(SeGW)は、IKE(インターネット鍵交換)に対する応答を送る方法。
181.上記実施形態のいずれかに記載の方法において、H(e)NBは、証明書を、相互認証のためのIKE_AUTH_REQに入れて送る方法。
182.上記実施形態のいずれかに記載の方法において、安全なゲートウェイ(SeGW)は、H(e)NBの認証資格を評価し、機能性識別子のリストを抽出する方法。
183.上記実施形態のいずれかに記載の方法において、安全なゲートウェイ(SeGW)は、認証妥当性確認が成功した場合はH(e)NBに指示を送る方法。
184.上記実施形態のいずれかに記載の方法において、安全なゲートウェイ(SeGW)は、認証妥当性確認が失敗した場合はH(e)NBに指示を送る方法。
185.上記実施形態のいずれかに記載の方法において、SeGWは、失敗した機能性のリストをパーソナルビデオエンコーダ(PVE)に送る方法。
186.上記実施形態のいずれかに記載の方法において、PVEは、デバイスの検疫、完全アクセスの提供、部分アクセスの提供または修復のための宅内移動局(H(e)MS)介入の要求を含むアクションを判定する方法。
187.上記実施形態のいずれかに記載の方法において、PVEは、決定をSeGWに通知する方法。
188.上記実施形態のいずれかに記載の方法において、パーソナルビデオエンコーダ(PVE)は、修復をスタートするための通知および失敗したモジュールのリストを宅内移動局(H(e)MS)に送る方法。
189.上記実施形態のいずれかに記載の方法において、パーソナルビデオエンコーダ(PVE)は、修復に関する通知をH(e)NBに送る方法。
190.上記実施形態のいずれかに記載の方法において、安全なゲートウェイ(SeGW)は、デバイス完全性評価の結果をH(e)NBに示す方法。
191.上記実施形態のいずれかに記載の方法において、トランスポート要素(TrE)は、完全性検証を外部エンティティに委任する方法。
192.上記実施形態のいずれかに記載の方法において、H(e)NBは、NTP(ネットワークタイムプロトコル)を使って時間を同期させるローカルタイムサーバを含む方法。
193.上記実施形態のいずれかに記載の方法において、SAVにおける認証証明書およびローカル妥当性確認の結果は、IKE_AUTH_REQメッセージに入れて送られる方法。
194.上記実施形態のいずれかに記載の方法において、安全なゲートウェイ(SeGW)は、失敗したモジュールの一覧を、リストをパーソナルビデオエンコーダ(PVE)に渡す前にフィルタリングする方法。
195.上記実施形態のいずれかに記載の方法において、H(e)NBは、安全なゲートウェイを経由して、またはインターネットを介して接続することによって、宅内移動局(H(e)MS)と対話して、修復をサポートする方法。
196.上記実施形態のいずれかに記載の方法において、宅内移動局(H(e)MS)は、RPC(リモートプロシージャコール)を呼び出して、H(e)NBが失敗した機能性のリストおよびエラーコードのリストをアップロードすることを示す方法。
197.上記実施形態のいずれかに記載の方法において、宅内移動局(H(e)MS)は、失敗した機能性のリストのアップロードを準備するよう、FileSeverに対して指示する方法。
198.上記実施形態のいずれかに記載の方法において、H(e)NBは、失敗した機能性のリストを含むファイルをアップロードするためのプロシージャを呼び出す方法。
199.上記実施形態のいずれかに記載の方法において、FileSeverは、アップロードされたファイルの評価の後、宅内移動局(H(e)MS)にDownload_Package_Readyメッセージを送る方法。
200.上記実施形態のいずれかに記載の方法において、宅内移動局(H(e)MS)は、RPC(リモートプロシージャコール)を呼び出し、デバイス構成シートのURL(ユニフォームリソースロケータ)を与える方法。
201.上記実施形態のいずれかに記載の方法において、H(e)NBは、FTP(ファイル転送プロトコル)ファイルサーバに接続し、ファームウェアイメージおよびデバイス構成シートをダウンロードする方法。
202.上記実施形態のいずれかに記載の方法において、宅内移動局(H(e)MS)は、成功したダウンロード応答を受信すると、リブートプロシージャを呼び出す方法。
203.上記実施形態のいずれかに記載の方法において、H(e)NBは、成功したダウンロード応答を受信すると、ローカル非常フラグをリセットする方法。
204.上記実施形態のいずれかに記載の方法において、宅内移動局(H(e)MS)は、デバイスのブートが成功したことを示すメッセージを安全なゲートウェイ(SeGW)から受信する方法。
205.上記実施形態のいずれかに記載の方法において、安全なブートプロセス中に完全性チェックがロードされ実行され、認証の実施が成功するという条件で、H(e)NBがセキュリティゲートウェイと通信する方法。
206.上記実施形態のいずれかに記載の方法において、ローカル完全性チェックの結果を伝送することをさらに含む方法。
207.上記実施形態のいずれかに記載の方法において、ローカル完全性チェックの結果をパーソナルビデオエンコーダ(PVE)にフォワードすることをさらに含む方法。
208.上記実施形態のいずれかに記載の方法において、H(e)NBは、失敗した機能性のリストおよび製造元固有エラーコードのリストを、IKEv2 NOTIFYメッセージに入れてSeGWに送る方法。
209.上記実施形態のいずれかに記載の方法において、SeGWは、失敗した機能性のリストをパーソナルビデオエンコーダ(PVE)にフォワードする方法。
210.上記実施形態のいずれかに記載の方法において、PVEは、SeGWアクション、H(e)NBアクションを決定し、アクションのリストをSeGWにフォワードする方法。
適切なプロセッサは、例として、汎用プロセッサ、特殊目的プロセッサ、従来のプロセッサ、DSP(デジタル信号プロセッサ)、複数のマイクロプロセッサ、DSPコアと関連した1つもしくは複数のマイクロプロセッサ、コントローラ、マイクロコントローラ、ASIC(特定用途向け集積回路)、ASSP(特定用途向け標準製品)、FPGA(フィールドプログラム可能ゲートアレイ)回路、他の任意のタイプのIC(集積回路)、および/または状態マシンを含む。
ソフトウェアと関連したプロセッサは、WTRU(ワイヤレス送受信ユニット)、UE(ユーザ機器)、端末、基地局、MME(移動管理エンティティ)もしくはEPC(進化型パケットコア)、または任意のホストコンピュータ内で使用するための無線周波数トランシーバを実装するのに使うことができる。WTRUは、SDR(ソフトウェア無線)を含むハードウェアおよび/またはソフトウェア中に実装されるモジュール、並びにカメラ、ビデオカメラモジュール、テレビ電話、スピーカフォン、振動デバイス、スピーカ、マイクロホン、テレビトランシーバ、ハンズフリーヘッドセット、キーボード、ブルートゥース(登録商標)モジュール、FM(周波数変調)無線ユニット、NFC(近距離無線通信)モジュール、LCD(液晶ディスプレイ)表示ユニット、OLED(有機発光ダイオード)表示ユニット、デジタルミュージックプレーヤ、メディアプレーヤ、ビデオゲームプレーヤモジュール、インターネットブラウザ、および/または任意のWLAN(ワイヤレスローカルエリアネットワーク)もしくはUWB(超広帯域)モジュールなど、他のコンポーネントとともに使うことができる。
特徴および要素を、具体的に組み合わせて上で記載したが、各特徴または要素は、他の特徴および要素なしで個別に、または他の特徴および要素ありでもなしでも、様々に組み合わせて用いることができる。本明細書に挙げた方法またはフローチャートは、汎用コンピュータまたはプロセッサによる実行用のコンピュータ可読記憶媒体に組み込まれる、コンピュータプログラム、ソフトウェア、またはファームウェア中に実装することができる。コンピュータ可読記憶媒体の例は、ROM(読出し専用メモリ)、RAM(ランダムアクセスメモリ)、レジスタ、キャッシュメモリ、半導体メモリ素子、内部ハードディスクおよび取外し可能ディスクなどの磁気メディア、光磁気メディア、並びにCD−ROMディスク、およびDVD(デジタル多用途ディスク)などの光メディアを含む。