JP5571796B2 - 加入方式のサービスにアクセスするための登録および資格証明ロールアウト - Google Patents
加入方式のサービスにアクセスするための登録および資格証明ロールアウト Download PDFInfo
- Publication number
- JP5571796B2 JP5571796B2 JP2012534398A JP2012534398A JP5571796B2 JP 5571796 B2 JP5571796 B2 JP 5571796B2 JP 2012534398 A JP2012534398 A JP 2012534398A JP 2012534398 A JP2012534398 A JP 2012534398A JP 5571796 B2 JP5571796 B2 JP 5571796B2
- Authority
- JP
- Japan
- Prior art keywords
- domain
- user
- remote owner
- thsm
- owner
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 claims description 211
- 230000008569 process Effects 0.000 claims description 168
- 238000004891 communication Methods 0.000 claims description 61
- 238000012795 verification Methods 0.000 claims description 38
- 230000004044 response Effects 0.000 claims description 17
- 230000006870 function Effects 0.000 description 75
- 238000007726 management method Methods 0.000 description 29
- 238000003860 storage Methods 0.000 description 23
- 238000005259 measurement Methods 0.000 description 22
- 238000010276 construction Methods 0.000 description 12
- 238000005516 engineering process Methods 0.000 description 12
- 230000007246 mechanism Effects 0.000 description 11
- 238000010586 diagram Methods 0.000 description 10
- 230000008859 change Effects 0.000 description 8
- 238000011068 loading method Methods 0.000 description 8
- 230000007704 transition Effects 0.000 description 8
- XOJVVFBFDXDTEG-UHFFFAOYSA-N Norphytane Natural products CC(C)CCCC(C)CCCC(C)CCCC(C)C XOJVVFBFDXDTEG-UHFFFAOYSA-N 0.000 description 7
- 239000000969 carrier Substances 0.000 description 7
- 230000000694 effects Effects 0.000 description 7
- 238000010295 mobile communication Methods 0.000 description 7
- 238000007372 rollout process Methods 0.000 description 6
- 238000013475 authorization Methods 0.000 description 5
- 230000007613 environmental effect Effects 0.000 description 5
- 230000003993 interaction Effects 0.000 description 5
- 238000004422 calculation algorithm Methods 0.000 description 4
- 238000011156 evaluation Methods 0.000 description 4
- 230000000977 initiatory effect Effects 0.000 description 4
- 230000001413 cellular effect Effects 0.000 description 3
- 238000012790 confirmation Methods 0.000 description 3
- 230000002452 interceptive effect Effects 0.000 description 3
- 238000000926 separation method Methods 0.000 description 3
- 238000010200 validation analysis Methods 0.000 description 3
- XJGBDJOMWKAZJS-UHFFFAOYSA-N Nafenoic Acid Chemical compound C1=CC(OC(C)(C)C(O)=O)=CC=C1C1C2=CC=CC=C2CCC1 XJGBDJOMWKAZJS-UHFFFAOYSA-N 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 201000007023 Thrombotic Thrombocytopenic Purpura Diseases 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000007792 addition Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000001143 conditioned effect Effects 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 238000002716 delivery method Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 208000014674 injury Diseases 0.000 description 1
- 238000005304 joining Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000005012 migration Effects 0.000 description 1
- 238000013508 migration Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000035699 permeability Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000005096 rolling process Methods 0.000 description 1
- 238000005204 segregation Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000008054 signal transmission Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- LENZDBCJOHFCAS-UHFFFAOYSA-N tris Chemical compound OCC(N)(CO)CO LENZDBCJOHFCAS-UHFFFAOYSA-N 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/55—Push-based network services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M3/00—Automatic or semi-automatic exchanges
- H04M3/42—Systems providing special services or facilities to subscribers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/065—Continuous authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/086—Access security using security domains
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/108—Source integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/08—Payment architectures
- G06Q20/20—Point-of-sale [POS] network systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Description
(関連出願の相互参照)
本出願は、参照によりその全体が本明細書に組み込まれる、2009年10月15日に出願した米国仮特許出願第61/251,920号に基づくものであり、その優先権を主張するものである。
本出願は、参照によりその全体が本明細書に組み込まれる、2009年10月15日に出願した米国仮特許出願第61/251,920号に基づくものであり、その優先権を主張するものである。
本発明は、加入方式のサービスにアクセスするための技術に関する。
今日、他のデバイスまたはエンティティと通信することができる、または通信することができないコンピューティングデバイスが、デバイス、またはデバイス内のある部分もしくはコンピューティング環境が個人、組織、または他の何らかのエンティティによって「所有」される形で使用される状況が多々ある。「所有される」は、デバイス、またはそのデバイス内のある部分もしくはコンピューティング環境が、エンティティ内で認証されている可能性があり、またエンティティがそれ以降デバイスまたはそのデバイスの一部に対し何らかの形の制御を行っている可能性があるということを意味する。このような状況の一例は、ワイヤレスモバイル通信業界であり、携帯電話などのワイヤレスデバイスのユーザーが特定のモバイル通信ネットワーク事業者(mobile communication network operator)のサービスに加入することができる。
今日のモバイル通信業界では、ユーザーが特定の通信ネットワーク事業者のサービスに加入するために使用するワイヤレスデバイスとして、典型的には、SIM(Subscriber Identity Module:加入者識別モジュール)またはUICC(Universal Integrated Circuit Card:ユニバーサル集積回路カード)が挙げられる。SIM/UICCは、認証アルゴリズムを実行し、デバイスユーザーの通信ネットワーク事業者との加入契約を通信ネットワーク事業者に対してデバイス側で認証することを可能にする資格証明を格納し、通信ネットワーク事業者がワイヤレスデバイスに対してある形式の制御権、つまり、所有権を持つことを可能にする安全な実行および格納環境をワイヤレスデバイスに提供するものである。しかし残念なことに、SIM/UICCのメカニズムは、典型的には、単一の通信ネットワーク事業者との使用に限定される。
したがって、今日の多くのコンピューティング利用状況における問題は、モバイル通信デバイスについての上述の状況と同様に、コンピューティングデバイスが、多くの場合、単一のエンティティによって丸ごと「所有される」ことに制限されることにある。また、多くの場合に、その所有権はユーザーによるデバイスの購入時点に確立され、後から所有権を確立することが望ましいこともあるビジネスモデルを妨げる。さらに、これらの制限は、デバイスの多くの相互に分離されている部分の複数の所有権が存在すること、または所有権が時に応じて他のエンティティに移行されることが望ましいと思われる状況におけるデバイスの使用を妨げる。例えば、携帯電話などのワイヤレスモバイル通信デバイスの場合、ユーザーは、典型的には、購入時に特定の移動体通信事業者のサービスに加入する必要があり、そのようなデバイスは、ワイヤレスデバイスを購入してからある程度時間が経ってからでないと移動体通信事業者が判明しない可能性のあるアプリケーションでは使用されることが妨げられる。また、典型的には、そのようなデバイスが一度に複数の通信事業者のネットワークにアクセスすることは可能でない。モバイルネットワークおよびサービス加入の更新または変更は困難であるといってよく、無線による更新または変更は、通常、可能でない。
また、特にワイヤレスモバイル通信デバイスが背景にある場合、SIM/UICCのメカニズムは非常に安全であると一般的に考えられるけれども、セキュリティはそのメカニズムが置かれているデバイス全体のセキュリティ特性に強く結び付けられているわけではない。これは、モバイル金融取引などの高度なサービスおよびアプリケーションに対するスケーリングセキュリティコンセプト(scaling security concepts)の適用を制限する。特に、こうした欠点は、マシン間(M2M)通信デバイスなどの、自律デバイスに関わるものである。
そこで、より動的な解決策があることが望ましい。
デバイス上のドメインのリモート所有者からの加入方式のサービスにユーザーがアクセスすることを可能にするシステムおよび方法が開示される。ユーザーは、1つまたは複数の別々のドメインがあり、それぞれのドメインが1つまたは複数の異なるローカルもしくはリモート所有者によって所有もしくは制御されうる、1つまたは複数のデバイスを備えるシステムを介して加入方式のサービスにアクセスすることができる。1つまたは複数のデバイスは、少なくとも1つのプラットフォームによってサポートされる1つまたは複数のドメインを備えることができる。それぞれのプラットフォームは、それらのドメイン用に低水準のコンピューティング、ストレージ、または通信リソースを提供することができる。プラットフォームは、いくつかのハードウェア、1つのオペレーティングシステム、いくつかの低水準ファームウェアもしくはソフトウェア(ブートコード、BIOS、API、ドライバ、ミドルウェア、もしくは仮想化ソフトウェアなど)、およびいくつかの高水準ファームウェアもしくはソフトウェア(アプリケーションソフトウェアなど)、およびそのようなリソースに対する各構成データからなるものとしてよい。それぞれのドメインは、少なくとも1つのプラットフォーム上で実行されるコンピューティング、ストレージ、または通信リソースの一構成を備えることができ、それぞれのドメインは、そのドメインのローカルまたはリモートに配置されうるドメインの所有者に対する機能を実行するように構成することができる。それぞれのドメインには、異なる所有者があってもよく、それぞれの所有者は、そのドメインのオペレーションに対するポリシーだけでなくドメインが置かれるプラットフォームおよび他のドメインに関するそのドメインのオペレーションに対するポリシーを指定することができる。加入方式のサービスを提供するリモート所有者は、リモート所有者ドメインと称することもできる、ドメインの所有権を獲得しているものとしてよい。さらに、ユーザーは、ユーザードメインとも称することができる、ドメインの所有権を獲得しているものとしてよい。
ユーザーが加入方式のサービスにアクセスするために、登録および資格証明ロールアウトが必要になる場合がある。例示的な登録および資格証明ロールアウトのプロセスは、ユーザーの登録、リモート所有者からの資格証明の取得、および資格証明の格納を含むことができる。
登録は、リモート所有者ドメインを通じてリモート所有者によって提供される加入方式のサービスの加入ユーザーとしてユーザーをリモート所有者に登録することを含むことができる。ユーザードメインは、リモート所有者ドメインに要求を送信することによってユーザーに代わって登録を開始することができる。リモート所有者ドメインは、ユーザーを加入方式のサービスの加入ユーザーとしてリモート所有者に対して識別するために使用すべき識別子を要求することができる。この要求は、加入方式のサービスのユーザーへの販売を円滑にする第三者に対して出すことができる。リモート所有者ドメインは、第三者から識別子を受信し、ユーザードメインでは、登録の要求を受信したという確認応答をリモート所有者から受信することができる。
資格証明を取得し、格納することは、ユーザードメインが資格証明ロールアウト要求をリモート所有者ドメインに送信することを含むものとしてよい。この要求は、ユーザーおよび/または第三者を識別する情報を含むものとしてよい。リモート所有者ドメインは、資格証明ロールアウト要求をリモート所有者に送信することができる。リモート所有者ドメインは、リモート所有者から資格証明を受信し、資格証明がリモート所有者ドメインによって受信されたという確認応答をユーザードメインに送信することができる。
本明細書で説明されるシステム、方法、および手段の他の特徴は、以下の詳細な説明および添付図面に記載される。
I.マルチドメインシステムの例
図1〜7は、開示されているシステム、方法、および手段が実装されうる例示的な実施形態に関係するものとしてよい。しかし、本発明は、例示的な実施形態に関連して説明することができるが、それに限定されることはなく、他の実施形態を使用することができるか、または本発明から逸脱することなく本発明の同じ機能を実行するように説明されている実施形態に修正および追加を施すことができることは理解されるであろう。
図1〜7は、開示されているシステム、方法、および手段が実装されうる例示的な実施形態に関係するものとしてよい。しかし、本発明は、例示的な実施形態に関連して説明することができるが、それに限定されることはなく、他の実施形態を使用することができるか、または本発明から逸脱することなく本発明の同じ機能を実行するように説明されている実施形態に修正および追加を施すことができることは理解されるであろう。
開示されているシステム、方法、および手段が実装されうる例示的なシステムは、1つまたは複数のデバイスを備え、それらのデバイスのそれぞれは少なくとも1つのプラットフォームによってサポートされる1つまたは複数のドメインを備えることができる。それぞれのプラットフォームは、それらのドメイン用に低水準のコンピューティング、ストレージ、または通信リソースを提供することができる。プラットフォームは、いくつかのハードウェア、1つのオペレーティングシステム、および他の低水準ファームウェアもしくはソフトウェア(ブートコード、BIOS、ドライバなど)、およびそのようなリソースに対する各構成データからなるものとしてよい。それぞれのドメインは、少なくとも1つのプラットフォーム上で実行されるコンピューティング、ストレージ、または通信リソースの一構成を備えることができ、それぞれのドメインは、そのドメインのローカルまたはリモートに配置されうるドメインの所有者に対する機能を実行するように構成することができる。それぞれのドメインには、異なる所有者があってもよく、それぞれの所有者は、そのドメインのオペレーションに対するポリシーだけでなくドメインが置かれるプラットフォームおよび他のドメインに関するそのドメインのオペレーションに対するポリシーを指定することができる。
それぞれのドメインは、コンピューティング、ストレージ、もしくは通信リソース(入力の観点から)またはそのようなコンピューティング、ストレージ、または通信リソース(出力の観点から)を使用することによってドメインが提供する機能に関して、他のドメインから分離することができる。それぞれのドメインは、共通の基盤プラットフォームのコンピューティング、ストレージ、または通信リソースもしくは機能を利用することができる。共通プラットフォームによって提供されるそのような機能のうちのいくつかを共有することができるドメインもある。プラットフォームリソースおよび/または機能のそのような共有は、それぞれのドメインによる共通リソースもしくは機能の利用を別のドメインによるそのような利用から分離できる形で行うことができる。例えば、そのような分離は、デバイスのプラットフォーム側で厳格なアクセス制御を、ドメインのリソースへのアクセスがプラットフォームおよび/またはドメインの所有者によって許可されたドメインの外部のユーザー(複数可)、所有者(複数可)、または他のエンティティもしくはプロセスにのみ許されるようにドメインのそれぞれにプラットフォームが提供するリソースに強制することによって達成されうる。プラットフォームは、ドメインの機能のどれもがデバイス上のドメインのどれかの外側にあるデバイスのリソースに依存する限りにおいて、デバイス上の分離されたドメインのどれかの一部ではないデバイスの部分から単純に構成されるものであってもよい。
同じもしくは異なるプラットフォーム上の、または同じもしくは異なるデバイス上の、2つのドメイン間の通信は、安全な通信にすることができる、つまり、ドメインは互いに安全な方法で認証すること(例えば、暗号化手段を使用することによって)、また機密性(confidentiality)、完全性(integrity)、および新鮮さ(freshness)などのセキュリティの態様についてそれらの間で交換されるメッセージを保護することもできるということである。ドメインが置かれているプラットフォーム(複数可)が備える暗号化手段を使用して、そのような2つのドメイン間のそのような安全な通信を行うことができる。
システム全体のドメインマネージャを、いくつかのドメインのうちの1つに置くことができる。システム全体のドメインマネージャは、それが置かれているドメインのポリシーを強制することができ、またシステム全体のドメインマネージャが置かれているドメインに関するそれらの各ポリシーによる他のドメインの強制を調整することができる。それに加えて、システム全体のドメインマネージャは、各ポリシーに従って他のドメイン間の相互のやり取りを調整することができる。システム全体のドメインマネージャが置かれているドメインは、そのドメインを収容するデバイスの所有者によって所有されうる。あるいは、そのようなドメインは、そのドメインを収容するデバイスを所有しえない所有者によって所有されうる。
図1は、このようなシステムの一実施形態を例示している。図示されているように、システムは、1つまたは複数のデバイス100、110、および120を備えることができる。それぞれのデバイスは、少なくとも1つのプラットフォームによってサポートされる1つまたは複数のドメインを備えることができる。例えば、デバイス100は、1つのドメイン106および1つまたは複数の他のドメイン101、102を備えることができる。3つのドメインはデバイス100に関して例示されているが、他の実施形態では、ドメインの個数は増減できる。これらのドメイン101、102、106のそれぞれは、デバイスの少なくとも1つのプラットフォーム105上で実行されるコンピューティング、ストレージ、または通信リソースの一構成を備えることができる。それぞれのドメインは、そのドメインのローカルまたはリモートに配置されうるドメインの所有者に対する機能を実行するように構成することができる。例えば、ドメイン106は、デバイス所有者(図示せず)によって所有されうるが、ドメイン101、102は、1つまたは複数のリモート所有者によって所有されうる。それぞれのドメインには、異なる所有者があってもよく、または、デバイスの複数のドメインが、同じ所有者によって所有されうる。それぞれの所有者は、そのドメインのオペレーションに対するポリシーだけでなくドメインが動作するプラットフォーム、ドメインが置かれているデバイス、および同じもしくは異なるデバイス内の他のドメインに関するそのドメインのオペレーションに対するポリシーを指定することができる。
上述のように、システムは、他のドメインが置かれている他のデバイスも備えることができる。例えば、デバイス110は、ドメイン111および112を備えることができ、それぞれが同じリモート所有者によって所有されうる。もちろん、その代わりに、ドメイン111および112のそれぞれが、異なる所有者によって所有される可能性もある。ドメイン111、112のそれぞれは、デバイス110のプラットフォーム115上で実行されるコンピューティング、ストレージ、または通信リソースの一構成を備えることができる。同様に、デバイス120は、ドメイン111および112を備えることができる。この例に示されているように、これらのドメインのそれぞれは、異なる所有者によって所有されうる。あるいは、これらのドメインは、同じ所有者によって所有される可能性もある。ここでもまた、ドメイン121、122のそれぞれは、デバイス120のプラットフォーム125上で実行されるコンピューティング、ストレージ、または通信リソースの一構成を備えることができる。
システム全体のドメインマネージャ(SDM:System−Wide Domain Manager)107を、いくつかのドメインのうちの1つに置くことができる。この例では、SDM 107は、デバイス100のドメイン106上に置かれる。一実施形態では、SDMが置かれるドメイン(例えば、ドメイン106)は、デバイス100の所有者によって所有される。SDM 107は、デバイス100内に備えられている通信メカニズムを介してデバイス100上のリモート所有者ドメイン101と通信する。それに加えて、SDM 107は、有線もしくは無線チャネルとすることができる各通信チャネル131、132、141、142を介して他のデバイス上のドメインと通信する。通信チャネル131、132、141、および142は、安全であるものとしてよい。SDM 107は、それが置かれているドメイン106のポリシーを強制することができ、またドメイン106に関するそれらの各ポリシーによる他のドメイン101、111、112、121、122の強制を調整することができる。それに加えて、SDM 107は、他のドメイン間の相互のやり取りを、それらの各ポリシーさらにはSDMが置かれているドメインのポリシー(その特定のドメインの所有者のポリシーとなる)に従って調整することができる。
一例として、一実施形態では、ドメインは、サービスプロバイダによって所有されうる。例えば、デバイス100のドメイン102は、例にすぎないが移動体通信事業者などのサービスプロバイダによって所有されうる。ドメイン102は、デバイス100を認証するSIM(加入者識別モジュール)機能、または場合によってはそれと同等である、デバイスの所有者もしくはユーザーの加入を、サービスプロバイダに対して実行し、デバイス100とサービスプロバイダとの間の通信を使用可能にすることができる。
上述のSDMの機能に加えて、SDM 107は、情報にアクセスし、前述の1つまたは複数のドメインによる使用に利用可能なリソースのリストを提供する機能も持つことができる。SDM 107は、リモート所有者によって所有されるドメインのロードおよびメンテナンスも監視することができる。SDM 107は、これが置かれているデバイス100のユーザーに、これがロードすることができるドメインのリストを提供し、リストにあるドメインのうちどれをロードすべきかを選択するようユーザーに求めることができる。SDMは、プラットフォームまたはデバイス上に、ロードするのに十分なコンピューティングリソースがあるかどうかも評価し、したがって、1つまたは複数のドメインのオペレーションをサポートすることができる。
また上述のように、SDM 107は、本明細書ではシステム全体のドメインポリシー(SDP:System−Wide Domain Policy)とも称されうるそのポリシー(複数可)だけでなく他のドメインのポリシー(複数可)、つまりドメイン固有のポリシー(DPs:domain−specific policies)を強制することに加わることもできる。SDM 107では、新規ドメインをロードするかどうかを評価する際に1つまたは複数の既存のドメインのポリシーを考慮することができる。例えば、リモート所有者によって所有される所定のドメインのポリシーは、特定の種類の他のドメインがアクティブになったときに所定のドメインが非アクティブにされることを指定することができる。別の例では、リモート所有者によって所有される所定のドメインのポリシーは、特定の他のドメインによって所有される別のドメインがアクティブになったときに所定のドメインが非アクティブにされることを指定することができる。さらに別の例では、リモート所有者によって所有される所定のドメインのポリシーは、特定の種類の他のドメインがアクティブになったときに所定のドメインのオペレーションがある種の特定の様式(複数可)に制限されることを指定することができる。さらに別の例では、リモート所有者によって所有される所定のドメインのポリシーは、特定の他のリモート所有者によって所有される別のドメインがアクティブになったときに所定のドメインのオペレーションがある種の特定の様式(複数可)に制限されることを指定することができる。SDM 107は、これらの種類のポリシーのすべての強制を受け持つことができる。
SDM 107は、リモート所有者が後で所有権を取得できるドメインの確立またはロードを行うこともできる。例えば、このようなドメインは、本明細書において「手つかずの(pristine)」状態と称される状態において確立することができ、この状態では所有者によって所有されず、またSDM 107は、リモート所有者によるドメインの所有権の確立を管理することができる。
そのために、SDM 107は、リモート所有者がドメインの所有権を確立するかどうかを判定する際に考慮することができる情報をリモート所有者に送信することができる。この情報は、(i)所有権の探索先となるドメインの完全性のアテステーションを示す情報、および(ii)システムの少なくとも1つの他のドメインの完全性のアテステーションを示す情報のうちの少なくとも一方を含むことができる。この情報は、(i)所有権の探索先となるドメインが動作する際のリソースを使用するプラットフォームの完全性のアテステーションを示す情報、および(ii)システムの少なくとも1つの他のドメインが動作する際のリソースを使用するプラットフォームの完全性のアテステーションを示す情報のうちの少なくとも一方を含むことができる。それに加えて、この情報は、デバイスの現在の環境に関する情報を含むことができる。このような情報は、(i)システム内の多数の他のドメインを示す値、(ii)システム内の他のドメインの性質の要約を提示する情報、および(iii)所有権の確立が試みられているドメインによる使用に利用可能なプラットフォームのリソースを指定する情報のうちの少なくとも1つを含むことができる。システムの他のドメインに関する情報をリモート所有者に提供する程度は、機密性および/または分離に関するこれらの他のドメインの各ポリシーを条件とするものとしてよい。
リモート所有者がドメインの所有権を取得した後、リモート所有者は、そのドメインに対するある程度の制御を実行することができる。例えば、リモート所有者がドメインの所有権を確立した後、そのドメインは、リモート所有者から、暗号鍵、構成情報、パラメータ、および実行可能コードのうちの少なくとも1つを受け取ってドメインの機能性を高めることができる。別の例では、リモート所有者がドメインの所有権を確立した後、そのドメインは、リモート所有者からそのドメイン固有のポリシーを受け取ることができる。
本明細書で開示されるシステムは、1つまたは複数のドメインの分離およびセキュリティも規定することができる。例えば、これらのドメインのうちの1つまたは複数は、他のドメインから分離された安全な実行およびストレージ環境を備えることができる。そのような安全な環境を確保するために、図1のデバイス100のプラットフォーム105などの、1つまたは複数のドメインが確立されるデバイスのプラットフォームは、信頼のルート103を備えることができる。信頼のルート103は、ハードウェアリソースの不変、不動のセットを備えることができ、その完全性は事前確立され、ドメインのリモート所有者を含む、他者に依存しうる。ドメイン101などのドメインの完全性は、信頼のルート103によって固定された信頼の連鎖によって確立されうる。例えば、ドメイン101の完全性は、ドメイン101の少なくとも1つのコンポーネントの、信頼のルート103によって生成されうる測定結果を、信頼のルート103に格納され、ドメインの完全性を検証するために信頼のルートによって使用されうる参照完全性基準(reference integrity metric)と比較することによって確立することができる。あるいは、リモート所有者側で参照完全性基準を格納し、測定結果を、参照完全性基準との比較のためにリモート所有者に送信することができる。ドメインの完全性は、測定結果が参照完全性基準と一致する場合に検証されうる。例示的な一実施形態では、測定結果は、コンポーネント上で計算されたハッシュを含み、参照完全性基準は、コンポーネント上ですでに計算されており、参照完全性基準の真正性を示す情報を提供するデジタル証明書が添付されたハッシュを含みうる。参照完全性基準は、製造の時点において、またはデバイスをその所有者に引き渡す時点において、デバイスに事前に組み込むことができる。参照完全性基準は、デバイスを製造し/その所有者に納入した後に通信チャネル(例えば、無線ワイヤレス通信チャネル)を介してリモートソースから配送され、引き渡し後にデバイス内に組み込むことができる。参照完全性基準は、証明書に同封されたデバイスに配送することができる。このような証明書は、デバイスへの配送後に使用のため信頼できる第三者によって検証することができる。
本明細書で開示されるシステム、ならびにそのさまざまな方法および手段は、広範にわたるコンピューティングおよび通信の背景状況において具現化されうる。そこで、図1の例示的なデバイス100、110、および120などのシステムのデバイスは、さまざまな形態をとりうる。例えば、何ら限定されるものではないが、システムのデバイスは、ワイヤレス送信/受信ユニット(WTRU)、ユーザー装置(UE)、移動局、固定または移動式加入者装置、ポケベル、携帯電話、携帯情報端末(PDA)、コンピュータ、マシン間(M2)デバイス、SIMカード、ユニバーサル集積回路カード(UICC)、スマートカード、ジオトラッキング(geo−tracking)デバイス、センサー/ネットワーク間ノード、計量デバイス(水道、ガス、電気のメーターなど)、またはワイヤレスもしくは有線環境において動作することが可能である他の種類のコンピューティングもしくは通信デバイスを備えることができる。下記の図および説明では、ワイヤレス送信/受信ユニット(WTRU)における本開示のシステムおよび方法の多数の追加の例示的な実施形態を取り上げる。しかし、これらの実施形態は、単に例示的なものにすぎず、本明細書で開示されるシステムおよび方法は、決してこれらの実施形態に限定されないことは理解されるであろう。むしろ、上で説明されているように、本明細書で説明されるシステムおよび方法は、広範にわたるコンピューティングおよび通信環境において使用することができる。
図2は、本明細書で説明されるシステムおよび方法が具現化されうるWTRUの一実施形態を例示する図である。図示されているように、WTRUは、UE 200などの、モバイルデバイスを含むものとしてよい。UE 200は、モバイル機器(ME)210および信頼できるハードウェア加入モジュール(THSM:Trusted Hardware Subscription Module)220を備えることができる。それに加えて、THSM 220は、THSMデバイス製造業者(DM:Device Manufacturer)ドメイン221、THSMデバイス所有者(DO:Device Owner)ドメイン222、THSMデバイスユーザー(DUまたはU:Device User)ドメイン223、システム全体のドメインマネージャ(SDM:System−Wide Domain Manager)230、ドメイン間ポリシーマネージャ(Inter Domain Policy Manager)240、ならびにRO(Remote Owner)のドメインA 224、ROのドメインB 225、およびROのドメインC 226などの1つまたは複数のリモート所有者(RO)ドメインをさらに備えることができる。さらに、UE 200は、例示されていないコンポーネント、つまり、プロセッサ、受信機、送信機、およびアンテナを備えることができる。本明細書で説明される例示的な実装は、図2に関して説明されているようなコンポーネントを指すものとしてよい。
THSMは、SIM機能、USIM機能、ISIM機能、およびアクセスネットワーク加入によって典型的に実行される機能を含む、信頼できる加入管理機能(trusted subscription management functions)を提供するハードウェアベースのモジュールであるものとしてよい。THSMは、ハードウェアで保護されたモジュールとすることができる。これは、関連するセキュリティ機能を備えるように特に設計されたハードウェアを含むことができる。これは、複数の分離されたドメインを内部的にサポートすることが可能であるものとしてよい。ドメインは、リモート所有者(RO:Remote Owner)と称される明確に区別される所有者によって請求または所有されうる。ROによって請求されるドメインは、各ROに対するプロキシとして動作しうる。
これらのドメインのうちの1つまたは複数は、信頼できる加入識別管理(TSIM:Trusted Subscription Identity Management)などの加入管理機能を実行することができる。TSIM機能を持つ複数のドメインが単一のTHSM上に存在しうるため、THSMは、複数のROに対して加入管理をサポートすることができる。TSIM対応ドメインの管理のいくつかの態様は、システム全体のドメインマネージャ(SDM:System−Wide Domain Manager)と称される単一の管理機能によって実行されうる。他の態様は、個別のドメイン内で、または個別のドメイン上で、個別に管理されうる。
UMTS(Universal Mobile Telecommunications System)環境に関して説明されているが、当業者であれば、本明細書で説明される方法および装置は、本出願の範囲を超えることなく他の環境にも適用することが可能であることを理解できるであろう。TSIMは、「加入アプリケーション(subscription application)」の代表例であるものとしてよい。例えば、3G UMTSネットワークで動作するWTRU上で実装された場合、TSIMは、その機能の一部として、UMTSの認証と鍵照合(AKA)機能を含む、加入関係機能のすべてを含むことができる。TSIMは、UICCなどの特定のハードウェアに束縛されない。これは、UICC上にしか存在しえないUSIMとは対照的である。その代わりに、TSIMは、本明細書で説明されているような信頼できるハードウェア加入モジュール(THSM:Trusted Hardware Subscription Module)上に実装されうる。当業者であれば、本明細書で説明されているようなTHSMの機能は、本出願の範囲を超えることなく、欧州電気通信標準化機構(ETSI:European Telecommunications Standards Institute)のUICC要件に適合するUICCまたはグローバルプラットフォーム(Global Platform)仕様に適合するスマートカードなどの、UICCまたは類似のスマートカードに組み込むことができることも理解するであろう。
WTRUは、THSMおよびモバイル機器(ME)を備えることができる。MEは、モデム、ラジオ、電源、およびWTRUに典型的に見られる他のさまざまな特徴を備えることができる。THSMは、別のハードウェアベースのモジュールを含みうる。THSMは、WTRU上に埋め込まれるか、または独立したものとすることができる。THSMは、WTRU上に埋め込まれる場合であってもMEから論理的に分離されているものとしてよい。THSMは、1つまたは複数のドメインを備え、それぞれがドメインの特定の所有者によって所有され、安全な信頼できるサービスおよびアプリケーションを提供することを目的として所有者の利益ために運用されうる。したがって、例えば、DMのドメインはTDDMと表され、DOのドメインはTDDOとして表される。THSMにおけるドメインは、MEにおいて実行するのに安全または都合がよいというわけではないセキュリティ上重要な機能およびアプリケーションを実行することができる。
いくつかのドメインは、1つまたは複数のサービスプロバイダによって所有され、管理されうる。例えば、移動体通信事業者(MNO:mobile network operators)、ワイヤレスローカルエリアネットワーク(WLAN)プロバイダ、またはWiMaxプロバイダなどの他の通信ネットワーク事業者、モバイル決済、モバイル発券、デジタル著作権管理(DRM)、モバイルTV、または位置情報サービスにおけるサービスプロバイダなどのアプリケーションサービスプロバイダ、またはIPマルチメディアコアネットワークサブシステム(IMS:IP Multimedia Core Network Subsystem)サービスプロバイダが挙げられる。加入管理は、サービスプロバイダによって所有されているドメインによってサポートされうる。簡単のため、THSMドメイン上に実装される加入管理機能は、これ以降、TSIM機能と表記される場合がある。TSIM機能のサポートは、ドメインによって異なっていてもよい。例えば、サポートされているTSIM機能は、携帯端末のUICC上でUSIMおよびISIMアプリケーションによって提供されるものと似た機能を含むことができる。THSMは、UICCのように、TSIMによって提供されるものに加えて、機能、アプリケーション、およびデータを含むことができる。
TSIMは、ソフトウェアユニットまたは仮想アプリケーションであってよい。TSIMは、最初に、特定のネットワーク通信事業者または公衆移動体網(PLMN:Public Land Mobile Network)に関連する資格証明を有していなくてもよい。TSIMは、UMTSセルラーアクセスネットワークの加入資格証明/アプリケーションの管理を指すものとしてよい。例えば、TSIMは、UMTS認証鍵などの強い秘密(Ki)の管理を含むことができる。M2Mの背景状況において、TSIMは、M2M接続性識別管理(MCIM:M2M Connectivity Identity Management)も含みうる。
THSMは、TPM(trusted platform module)またはMTM(mobile trusted module)を有するコンピューティングデバイスに見られるRTM(root of trust of measurement)に似たCRTM(Core Root of Trust(RoT) of Measurement)ユニットを備えることができる。THSMのCRTMは、例えばTHSMのブート時に、THSMブートコードの完全性を測定することができる。完全性基準は、Extendオペレーションを通じて、例えば、暗号ダイジェスト値のオペレーションをTHSMのブートコード、BIOS、および適宜、バージョン番号、ソフトウェア構成、またはリリース番号などのTHSMの製造業者の特性に対し適用することによって計算されうる。例えば、完全性基準は、SHA−Xなどのあるバージョンの暗号ハッシュアルゴリズムを使用して計算することができる。
THSMは、完全性基準を保護されたストレージに格納するように構成された、TPMまたはMTMに見られるRTS(root of trust for storage)に似た、ストレージのCRTS(core RoT of Storage)ユニットを備えることができる。THSMは、THSMの完全性測定結果を外部チャレンジャに報告するように構成され、TPMまたはMTMに見られるRTR(root of trust for reporting)に似たCRTR(Core RoT of Reporting)ユニットを備えることもできる。
したがって、THSMは、信頼測定、ストレージ、および報告に関してTPMまたはMTMに似た機能を効果的に実現することができる。THSMは、複数のトラステッドステークホルダーエンジン(trusted stakeholder engines)を実現する機能を備えることもできる。さらに、THSMは、各マルチプルステークホルダートラステッドサブシステム(multiple−stakeholder trusted subsystems)を実現するように構成することができる。したがって、THSMは、TCGモバイルフォンワーキンググループ(MPWG)の仕様によって定められているような信頼できる携帯電話に似たものとしてよい。
THSMは、例えば、本明細書で説明されるコアRoT(Core RoT)機能を使用して複数の内部「ステークホルダードメイン(stake−holder domains)」を構築するように構成されうる。ステークホルダーは、THSMデバイス製造業者(DM)、THSMデバイス所有者(DO)、またはTHSMデバイスユーザー(DU)であってもよい。DUは、DOと同じであるか、またはDOと明確に区別されてもよい。THSM毎に複数のDUがあってもよい。ステークホルダーは、DOによって特にリースされるか、または所有されているドメインの異なるリモート所有者(RO)であってもよい。例えば、MNO、IMSサービスプロバイダ、非3GPPアクセスネットワーク通信事業者、または付加価値アプリケーションサービスプロバイダなどの第三世代パートナーシッププロジェクト(3GPP)PLMN事業者は、ステークホルダーであってよい。
いくつかのドメインは、必須であり、その場合、これらはTHSMの製造時に予め構成されていてもよい。例えば、DMのドメインは、必須であり、事前構成されたファイルに従ってブート時に構築またはロードされうる。DOのドメインも必須であり、事前に用意されている構成に合わせて構築されうる。あるいは、ドメインは、ダウンロードした構成ファイルに従って構築されうる。
DMのドメイン以外のドメインは、ドメインの所有者によって「請求(claimed)」または「所有(owned)」される前に、リモート所有権取得(RTO:Remote Take−Ownership)プロセスを受ける必要があるものとしてよい。特定のドメインがRTOプロセスを完了する前に、指定されていない所有者の「手つかずの」ドメインが存在する可能性がある。この場合、そのドメインに対して請求される特定の所有権はない。
THSM上のドメインは、THSM−MEインターフェースを介してMEと通信し、情報を交換することができる。例えば、ドメインは、ブートアップ(boot−up)またはRTOプロセスの実行時にMEと通信することができる。THSM−MEインターフェース上で交換されるデータの保護が必要になる場合がある。
THSM−MEインターフェース上のすべての通信の完全性保護が必要になる場合がある。例えば、完全性保護では、事前に用意された一時鍵、または認証された鍵交換メカニズムを使用することによって交換される鍵などの暗号鍵を使用することができる。暗号鍵は、Ktemp_lなどのように対称的であるか、または完全性についてTHSMによって使用される公開または秘密鍵のKpub/priv_THSM_temp_Iおよび完全性についてMEによって使用される公開または秘密鍵のKpub/priv_ME_temp_Iなどのように非対称的であってよい。一時鍵は、インターフェースの保護に使用することができる。例えば、一時鍵は、有効期間に関連付けられるか、または一度だけ、または所定の回数だけ使用できる。
THSM−MEインターフェース上の通信の機密性も、暗号手段を使用して実現することができる。事前に用意された一時鍵、または認証された鍵交換メカニズムを使用することによって交換される鍵を使用することができる。暗号鍵は、暗号化のためのKtemp_Cなどのように対称的であるか、または暗号化のためにTHSMによって使用される公開または秘密鍵のKpub/priv_THSM_temp_Cおよび暗号化のためにMEによって使用される公開または秘密鍵のKpub/priv_ME_temp_Cなどのように非対称的であってよい。本明細書で説明されるRTOの方法および装置は、簡単のため、事前に用意された対称一時鍵を使用することを前提とする。しかし、当業者であれば、本出願の範囲を超えることなく他の鍵実装を使用することができることを理解するであろう。
ROによりTHSM−ME間で平文で渡されるメッセージに関するリプレイアタックの防止を行うことができる。THSM−MEインターフェース上で送信されるそれぞれのメッセージは、ノンスを使って新鮮さのクオリティを保持することができる。簡単のため、本明細書で説明されるRTOプロトコルは、ME−THMSインターフェース上で交換されるすべてのメッセージのアンチリプレイ保護機能を備えるが、当業者であれば、本出願の範囲を超えることなく他のインターフェース保護構成も使用できることを理解するであろう。
ハッシュに署名を適用することができる。例えば、ハッシュは、SHA−Xアルゴリズムによって生成することができる。信頼できる第三者が、証明書(CertTSIM)を使用して、THSMに関連付けられている、KTSIM-PrivおよびKTSIM-Pubなどの秘密−公開鍵ペアを証明することができる。信頼できる第三者が、証明書(CertRO)を使用して、ネットワークに関連付けられている、KRO-PrivおよびKRO-Pubなどの別の鍵セットを証明することができる。これらの証明書は、注目しているドメインに割り振られた保護されているストレージに格納することができる。
THSMプラットフォーム、特にTSIMが公開鍵KRO-Pubを使用して、ROからの署名を検証するか、またはROに送信されたメッセージを暗号化することができる。ネットワーク側で署名のため秘密鍵KRO-Privを使用し、また対応する公開鍵を使用してTSIMによって暗号化されたメッセージを解読することができる。公開−秘密鍵ペアKTSIM-PubおよびKTSIM-Privは、TSIMとROの役割が入れ替わっていることを除き類似の機能を備えることができる。あるいは、ROとTSIMの両方において、暗号化と署名のために別々の鍵ペアがあってもよい。
鍵ペアKRO-PrivとKRO-Pub、およびKTSIM-PrivとKTSIM-Pubは、所有者、ユーザー、またはその両方によって選択された特定のネットワークサービスに依存しうる。ROなどのそれぞれのサービスプロバイダは、そのプロバイダに関連付けられているTHSM上のそれぞれのドメインに対する証明された自公開−秘密鍵ペアを有することができる。選択されたサービスは、鍵ペアのどのセットを使用するかを決定することができる。例えば、公開鍵ペアのセットは、選択されたサービスプロバイダおよびTHSM上の関連付けられているドメインによって決定されうる。使用される鍵ペアのネゴシエーションはない場合がある。公開または秘密鍵ペアは、サービスプロバイダによって決定され、THSMサブシステムもしくはドメインに緊密に関連付けられうる。
THSM TDDOは、「システム全体のドメインマネージャ(System−Wide Domain Manager)」(SDM)を構成することができる。SDMは、「システム全体のドメインポリシー(System−Wide Domain Policy)」(SDP)を含む事前構成されたファイルを保護して格納することができる。SDMは、SDPに従ってTHSMに対するROのドメインを構築またはロードすることができる。SDMは、DOのドメインの手つかずの構成に含まれうる。SDMは、事前構成されたSDPを使用して、他のドメインのうちのいずれを、どのような順序で構築すべきかを決定することができる。
SDMは、ROドメインに代わって、ROドメインによって要求されたときに、THSMプラットフォーム環境要約(TPES:Platform Environment Summary)およびTHSMプラットフォーム完全性アテステーション(TPIA:Platform Integrity Attestation)を作成して提供することができる。TPESは、THSMの最新の「環境(environment)」に関する要約情報を記述するものとすることができる。このような情報は、THSM上の、機密性および分離に関して各ドメインポリシーによって条件付けられるか、または許されるような、ドメインの個数および要約性、ならびに要求側ドメインとの機能またはリソースの通信および共有に利用可能であると思われるTHSM上の残りのリソースを含むことができる。TPIAは、THSMのドメインのうちの1つまたは複数における完全性アテステーション(Integrity Attestation)の集まりを含むことができる。TPIAは、前述のドメインをサポートするプラットフォームの完全性アテステーションも含みうる。TPIAは、注目しているドメイン、およびTHSM上の手つかずのドメインに対しRTOプロセスを実行することに関心のあるROなどの、外部ベリファイアに対してこれらのドメインをサポートするプラットフォームの信頼状態のアテステーションを行うために使用されうる。RO、またはROのドメイン(TDRO)は、SDMにTPIAを要求することができる。SDMは、SDPに従って要求を義務付けるか、または拒絶することができる。
SDMは、THSMの、サービス要員などの、物理的に存在するデバイス所有者(Physically Present Device Owner)とやり取りし、構築すべき他のドメインおよびその構築順序をインタラクティブに識別することもできる。さらに、SDMは、THSMの物理的に存在するユーザーとやり取りして構築すべきドメインとその構築順序に対する入力を与えるようにユーザーのドメインに要求することもできる。この情報は、ドメイン構築プロセスの入力として使用することができる。
THSMは、ROのドメインに対してRTOプロセスを実行する場合、リモート所有権取得プロトコルの完了前に4つの明確に区別されるシステム状態に至ることができるように構成されうる。THSMプレブートシステム状態は、THSMが「電源オン」されていないことを示すものとしてよい。THSM_TDDM_LOAD_COMPLETEシステム状態は、THSM上のDMのドメインがTHSMの電源オン後の最初のステップとして構築またはロードされていることを示すものとしてよい。THSM_TDDO_LOAD_COMPLETEシステム状態は、DOのドメイン(TDDO)が利用可能な最終構成(last−configuration−available)に合わせて構築またはロードされたことを示すものとしてよい。この「利用可能な最終構成(last configuration available)」は、DOのドメインがそれ自体のためにRTOプロセスに通ったことがない場合に、「手つかずの(pristine)」構成であるか、または「事後RTO(post−RTO)」構成であるものとすることができる。DMのドメインは、DOのドメインを構築またはロードすることができる。DOのドメインが少なくとも1つのRTOプロセスを通る前に、DOのドメインは、「手つかずの」状態にあり、特定のDOによって請求または所有されることはありえない。「手つかずの」ドメインは、「シェル(shell)」を含むことができる。はじめてDOのドメインが構築またはロードされたときには、「利用可能な最終構成」(これ以降最終構成(Last−Configuration)と称する)は事前構成ファイルに由来するものである。あるいは、「最終構成(Last−Configuration)」が、ROのドメインに対するRTOプロセスによるものである場合、THSM上の特定のドメインは、少なくとも1回、リモート所有権取得プロトコルを通り、リモート所有者は、TSSROの所有権を取得している可能性がある。これは、リモート所有権取得が完了した後に、プラットフォーム上に構成された信頼できるサブシステムを示すものとしてよい。この状態に到達したとき、またはその前に、特定のROが他のタスクの実行を開始することがある。
THSM_TDRO_LOAD_COMPLETEシステム状態は、ROのドメイン(TDRO)が利用可能な最終構成に合わせて構築またはロードされたことを示すものとしてよい。この「利用可能な最終構成」は、ROのドメインがそれ自体のためにRTOプロセスに通ったことがない場合に、「手つかずの」構成であるか、または「事後RTO」構成であるものとすることができる。DMのドメインは、ROのドメインを構築またはロードすることができる。DOのドメインが少なくとも1つのRTOプロセスを通る前に、DOのドメインは、「手つかずの」状態にあり、特定のDOによって請求または所有されることはありえない。「手つかずの」ドメインは、「シェル」を含むことができる。はじめてROのTDが構築またはロードされたときには、「最終構成」は事前構成ファイル(Pre−Configured Files)に由来するものである。
あるいは、「最終構成」が、ROのTDに対するRTOプロセスによるものである場合、THSM上の特定のTDは、少なくとも1回、RTOプロトコルを通るものとしてよく、ROは、TDROの所有権を取得している。これは、RTOが完了した後に、プラットフォーム上に構成された信頼できるサブシステムを示すものとしてよい。この状態に到達するときまでに、特定のROが他のタスクの実行を開始することがある。ROのTD(TDRO)はMNOのTDである場合、この段階により、MNOのTDは、そのTDRO上に実現された最終的な信頼できる加入識別管理(TSIM)機能を提供することができる。
あるいは、DOのTDの代わりに、DMのTDに、システム全体のドメインマネージャ(SDM)を実装することができる。DOは、DMのTDに適切な許可データを付与した後に、DMのTDが備えるSDMを使用して、THSM上のさまざまなリモート所有者TDの作成、ロード、および他の何らかの形の管理を行うタスクを実行することができる。この場合のTHSMシステムブートシーケンスおよびRTOプロセスシーケンスの詳細は、本明細書で説明される詳細と異なる場合があるが、出願の範囲内にある。この場合のブートアップおよびRTOプロセスは、DOまたはDOのTDがDMのTDが備えるSDMをどのように使用するか、例えば、どのような種類の許可データを与えることができるか(またどのようにして与えることができるか)の記述とともに、本明細書で説明されるものと類似のものであってよい。例えば、スマートカードとして具現化されたTHSMは、カードマネージャを備えることができ、これはカード発行者の代わりにカード上のセキュリティドメインを管理する役割を有する、グローバルプラットフォームなどの規格によって指定されたカードマネージャ機能をサポートする機能を備える。カード発行者は、DMと類似しており、カードマネージャは、SDMの機能の一部を備えることができる。したがって、カードマネージャは、DMのドメイン内に保持されているSDMに類似のものであってよい。
第1の実施形態では、MEは、セキュアブート機能を備えるように構成され、THSMは、完全なMTM機能を備えるように構成されうる。電源オン時に、MEは安全にブートすることができる。例えば、MEは、OMTP(open mobile terminal platform)のtrusted execution environment TR0の仕様などに従って非TCG「セキュア」ブートを実行することができる。ブート時に、THSMは、最初に、例えば、ブートアップによって、THSM DMのドメイン(TDDM)を構築し、次いで、「手つかずの」THSM DOのドメイン(TDDO)を構築することができる。DOおよびDUが分離している場合、THSMは、THSM DUのドメインも構築することができる。
THSM TDDMは、THSMで保護されている事前構成されたファイルで最初に構築しておき、ブート時に利用可能にすることができる。THSM TDDOは、事前構成されたファイルで大半が構築されうるが、RTOプロセスを使用して構築することもできる。THSM TDDOは、RTOプロトコルを通ることができる。このプロトコルは、ROのドメイン(TDRO)に対するRTOプロトコルと同じ形態をとるか、または異なるプロトコルであってもよい。THSM TEDOがRTOプロトコルを通らない場合、所有権を取得するために必要な資格証明が事前構成され、事前に用意される。THSM TEDOは、DOによって所有されうる。DOは、実際の人間ユーザーもしくは所有者、企業もしくはその情報技術(IT)部門などの組織、またはリモートネットワーク通信事業者(NO:Network Operator)であるものとしてよい。
THSM TDUは、THSM TEDO内に事前に用意された事前構成ファイルで構築することができる。THSMのROドメインは、最初に、THSM DOのシステム全体のドメインポリシー(SDP)に従って、「手つかずの」構成に合わせて構築することができる。THSMのROドメインは、ROによるRTOプロセスを通ることができる。DOのドメインのSDMは、SDPに従って、ROのドメインに対するRTOプロセスを管理することができる。THSMのROが、MNOであり、ROのドメインがMNOのドメインである場合、そのようなMNOのドメインは、i)MNOのドメインをMNOに登録する方法、ii)加入資格証明(例えば、USIMまたはMCIM秘密鍵Kiおよび国際移動電話加入者識別番号(IMSI:International Mobile Subscriber Identifier)など)をMNOのモバイルネットワークからTHSM上のMNOのドメインにロールオフし、次いでそこに用意する方法、およびiii)加入資格証明をダウンロードした後、そのような資格証明を取り扱う、または使用する機能、またはさらには加入管理機能を備えるドメインを一方のデバイスから別のデバイスへ移行する方法を定めるプロトコルを通ることもできる。そのようなプロトコルは、i)登録プロトコル、ii)資格証明ロールオフプロトコル、および3)移行プロトコルとそれぞれ称することができる。THSMのROドメインは、RTOが完了した後に、その自構成のアテステーションを行い、それをROに報告することができる。
第1の実施形態において、MEの信頼構築メカニズムが電源投入時セキュアブートプロセスの実行に制限されうる場合、ME構成は、MEまたはTHSMによってさらにアテステーション可能でない場合がある。あるいは、MEは、セキュアブートを完了するときに、自己完全性(self−integrity)チェックを実行し、完全性値(IV)を生成することができる。MEは、機密性および完全性保護用のエンジンなどのソフトウェアを、無線(OTA)による方法を使用して、UMTSセキュリティモード機能などのセキュリティモード機能などに従ってインストールすることができる。適宜、ROによるRTOプロセスを介してROのドメインの所有権を取得する場合、ROは、RTOプロセスを完了させるために受け入れることができるTHSMの条件に関する自ポリシーをダウンロードするか、または他の何らかの形でインポートし、次いでアサートすることができる。ROは、ROがTHSM全体の条件、またはTHSMの他のドメインの構築構造の条件、またはその両方に合意したときにTHSMプラットフォーム上に自分のドメインをインストールする「ゲートキープ(gate−keep)」を行うように構成されうる。したがって、RTOプロセスの一部として、ROは、DOのドメインのSDMと何らかの情報の交換を行って、DOの条件または「ドメイン構築プラン(domain−building plans)」を識別し、そのような条件がROに受け入れ可能である場合のみRTOプロセスを完了させることができる。ROドメインは、権利を持つこともでき、最初にTHSM上にそのRTO完了RO(RTO−complete RO)のドメインを構築することに合意した後THSMの条件またはドメイン構築プランの変更があれば更新するか、または通知するようにそのような権利を強制する機能を実行するように構成されうる。ROのドメイン固有のポリシー(DP:domain−specific policy)では、ROのドメインに通知する必要があると思われる変更の種類を指定することができる。
SDMは、対象となるROに関連付けられているROドメインに対するRTOプロセスを開始することができる。これは、ROのドメインが「手つかずの(pristine)」、「未請求(unclaimed)」状態にある場合に起こりうる。例えば、ROのドメインに、DOのドメインとDOにより「Domain X」(TDX)と名付けることができる。ドメインは、今のところ未請求のシェルまたは「手つかずの」状態で作成されうる。このような場合、SDMはRTOプロセスを開始することができ、これにより、ドメインTDXの代わりに、対象のROと接触する。ROがこのドメインについてRTOプロセスを通った後、SDMは、この同じドメインについて別のROプロセスを開始することができなくなる。その代わりに、ROそれ自体が、この特定のドメイン上で別の種類の所有権取得プロセスを開始することができる。そのような所有権取得プロセスは、これまでに指定されているRTOプロセスと、前者がデバイスの所有者/ユーザーまたはデバイスそれ自体によってローカルで開始されるのではなくリモート所有者によってリモートで開始されうるという点で異なることがある(場合によってはSDMまたはDOのドメインの調整の下で)。DOは、ROのドメインがRTOプロセスを通り、そうして適切なROによって「請求(claimed)」または「所有(owned)」された後でも、ROのドメインの削除、破壊、または切断を行う権限を保持することができる。しかし、DOは、一般に、ROのドメイン内に格納されている秘密を知ること、またはROのドメイン内で実行される計算または機能の中間結果を知ることができない可能性がある。
SDMが手つかずのROのドメインに対してRTOプロセスを開始する前に、利用可能なリソースのリストにドメイン構築が載っていないか調べることができる。リストは、DMのドメインによって保持されうる。SDMは、「望ましいドメイン(Desired Domains)」リストを調べることもできる。望ましいドメインリストは、DOのドメインTDDO内に保持されうる。SDMは、システムドメインポリシー(SDP:System Domain Policy)、およびDMのドメインからのクエリに利用可能であると思われる、THSMの既存のドメインの、またプラットフォームの、信頼状態を含む現在状態を調べることもできる。この情報を使用して、特定のROのドメインに望ましいRTOプロセスが利用可能なリソースおよびポリシーの下で可能であり、望ましいドメインリスト(Desired Domains list)の下で望ましく、THSMの既存のドメインの状態、例えば、信頼状態の下で許されるかどうかを判定することができる。
あるいは、リモート所有者のドメイン(TDRO)は、単独でRTOプロセスを開始し、管理することもできる。TDROは、未請求で、RTOプロセスの前の「手つかずの」状態にあるものとしてよい。「手つかずの」ROのドメインTDROは、ブートアップ後に対象のROと接触し、RTOプロセスを自律的に開始させることを可能にする事前構成済みの機能を備えることができる。適宜、取得側TDROがTHSMの所有者またはユーザーにプロンプトを出し、次いでTHSMの所有者またはユーザーから「うなずき」を得てRTOプロセスを開始した後、RTOプロセスを開始することができる。(ターゲットの)リモート所有者RO_targetによって作成され、所有されることが意図されているが、RTOプロセスを介してまだ所有されていない、まだ「手つかずの」状態にあるドメインTDは、これ以降、TDRO_target*と称される場合がある。
別の代替的形態では、TDROは、特定のROによる少なくとも1つのRTOプロセスを通っており、これは、ROによって現在「請求」または「所有」されている可能性がある。ドメインTDDOなどのTHSM上のDOまたはそのプロキシが同じROのドメインに対し別のRTOプロセスを開始することが許されうるかどうかは、ROのポリシーおよび/またはSDMのポリシーに依存しうる。SDMは、RTOの目的を調べ、そのポリシー構造内の許容可能な目的または活動に基づいて、そのような新しいRTOを進めることを許すかどうかを決定することができる。リモート信号送信を介したRO、またはROのドメイン(TDRO)は、同じROを持つドメインに対して別のRTOプロセスを開始することができる。これは、ROがTDRO内の構成ファイル、セキュリティポリシー、または実行可能コードを更新する必要がある場合に起こりうる。ROは、更新をダウンロードすることができる。更新は、非RTOの無線(OTA:over the air)による更新プロセスで実行できる。しかし、場合によっては、ROまたはTDROは、別のRTOプロセスを使用していくつかのファイルもしくはコードを更新することができる。
「手つかずの」TDROは、それ自身のためにRTOプロセスを開始するときに、DMのドメインによって保持されうる、ドメイン構築に対する利用可能なソースのリストを調べるためにSDMに依存する必要がある場合がある。TDROは、DOのドメイン内に保持されうる、「望ましいドメイン」リスト、システムドメインポリシー(SDP)、およびDMのドメインからのクエリに利用可能であると思われる、THSMの既存のドメインの信頼状態を含む現在状態を調べるためにSDMにも依存しうる。この情報を使用して、特定のROのドメインに望ましいRTOプロセスが利用可能なリソースおよびポリシーの下で可能であり、望ましいドメインリストの下で望ましく、THSMの既存のドメインの状態または信頼状態の下で許されるかどうかを判定することができる。
SDMポリシーは、DOに対する所有権取得(TO:take−ownership)プロセス実行時に構成されうる。このプロセスは、ブートプロセスの実行時に強制される既存の構成構造を介して、ローカルで実行できる。DOのTOは、リモートでも実行することができ、このプロセスは、RTOをブロックまたは許可するためのSDMexaminationが非デバイス所有者のリモート所有者に対するRTOプロセスの場合と異なりDOのドメインに対するTOプロセスの場合には呼び出されないという点を除き、本明細書で指定されているように、デバイス所有者のドメインではないドメインの所有権取得とともに使用することが意図されているRTOプロセスに類似するものとしてよい。SDPは、ローカルで実行されうるDO所有権取得プロセスの際に(DOが物理的に存在し、デバイスとインタラクティブにやり取りする)、またはリモートに位置するデバイス所有者とのリモートのインタラクティブなやり取りを伴う形で確立されうる。SDPのコンポーネントは、すべての非DOドメインに共通の許容可能な活動または目的のリストである。このリストは、ドメインの所有権取得を許可されないリモート所有者を指定する追加のエントリも含みうる。
第2の実施形態では、MEは、セキュアブート機能を有し、そのブートコードの一部の「セキュアブート(secure boot)」チェック機能の一部を実行するためにTHSMに依存しうる。MEは、OMTP TR0セキュアブートなどの非TCGセキュアブートを実行することができる。THSMを使用して、MEの完全性をチェックし、THSMに与えられる物理的保護を「利用する(utilize)」ことができる。例えば、MEは、未加工データをTHSMに送信することができ、THSMは、MEの完全性をチェックすることができる。WTRUは、MEとTHSMとの間にセキュアチャネルを設けるメカニズム、およびMEの完全性チェックをTHSM側で実行することを目的としてコードまたはデータをTHSMに安全な方法で送信し、THSMとセキュアチャネルなどを介して安全に通信することを少なくとも信頼できるMEの「いくぶん信頼に足る(somewhat trustworthy)」部分を実装することができる。THSMは、その中に、MEに代わってMEのコードの一部を格納することもできる。これらのコードは、ブートプロセスの実行時にME内にロードすることができる。THSMは、MEの完全性チェックを実行するか、またはMEに対するコードの一部を格納しロードする役割を受け持つことができるが、それは、それ自身とMEとの間でTHSMがハードウェアベースの保護メカニズムを持つことでより信頼性の高い環境となりうるからである。
第3の実施形態では、THSMは、セキュアブートの一部またはMEのコードの完全性チェックを実行することができる。これは、ROをアテステーション可能であるものとしてよい。MEは、単一の信頼できるエンティティ、つまりモバイルトラステッド環境(MTE:Mobile Trusted Environment)を備えることができる。MTEは、MEの残り部分よりも信頼できるME内の論理的に分離されている環境であるものとすることができる。MTEは、ハードウェアベースの信頼のルート(RoTs)などのいくつかのハードウェアベースの保護メカニズムを利用することができる。MEのベースコードがロードされた後、MTEをロードすることができる。MTEは、外部ベリファイアに信頼できる署名鍵の使用などの信頼の証明を与えることができるという意味で信頼できるエンティティであるものとしてよい。MTEは、信頼できるエンティティであるけれども、実際のTPMに関連付けられている測定プログラムコードであるCRTM(core root of trust for measurement)を有することができない。MEが、電力を供給されるデバイスとして、THSMが動作しうる「プラットフォーム(platform)」を提供する限り、MEは、本明細書ではMEプラットフォームと称することができる。MTEは、MEプラットフォームの完全性の証拠を集めて、その証拠を、MTE内で保護されている署名鍵の使用によってなされる少なくとも完全性保護の下で、ポストブートSDMなどのTHSM内の信頼できるエンティティに回送するように構成されうる。THSMは、TCG TPMまたはMTMに似た完全性測定および検証機能を実装するので、THSMは、「Extend」オペレーションを実行するTCG TPMまたはMTMの機能も実装することができ、これにより、現在のソフトウェアの測定結果を、ソフトウェアのロードの状態の推移を示すプラットフォーム構成レジスタ(PCRs:Platform Configuration Registers)の現在値と組み合わせて、PCRに対する新しい値を計算する。THSMは、ダイジェスト値(ソフトウェアコンポーネントの完全性の未加工の測定値である)またはPCRの値を、THSMに対してMEプラットフォームが信頼性のアテステーションを行うために使用することができる別の完全性データに変換するメカニズムを実装することもできる。簡単のため、MEプラットフォーム完全性の収集データは、これ以降、MEプラットフォーム完全性データ(MPID:ME Platform Integrity Data)と表す場合がある。THSMは、MEまたはMTEに対するドメインを維持することができない。THSMは、事前構成されたファイルから、またはDMとのリアルタイムの接触によって、計算されたダイジェストをチェックする際に突き合わせる認定済みの基準を取得することができるものとしてよい。一致していると判定された場合、次にMEのアテステーションを行うことができる。MTEは、型式番号、実行が意図されているサービスの種類、およびサービスの対象者などの、MEの「環境(environment)」を記述するデータを収集することができる場合もある。簡単のため、MEのそのような環境記述は、これ以降、MEプラットフォーム環境調査(MPES:ME Platform Environment Survey)と表す場合がある。THSM DOのROは、その自ドメインとともにMEプラットフォームの完全性のアテステーションを行うことができる。このアテステーションは、特許文献1において指定されているような、M2Mを背景とする、トラステッド環境(TRE:Trusted Environment)のM2ME妥当性確認機能(M2ME Validation function)に類似しているものとしてよい。MEは、継続的に、単独で、またはTHSMからの要求があったときに、その変化する状態をTHSMに報告することができる。
第4の実施形態では、MEとTHSMの両方を、完全なMTM機能を実行するように構成することができる。ME、またはそのドメインが信頼に足るかどうかは、MEによって、またはそのドメインによって直接的に、アテステーション可能であるものとしてよい。MEのROドメインは、継続的に、または要求があったときに、その状態をROに報告することができる。THSMのROドメインも同様に機能しうる。MEのROドメインおよびTHSMのROドメインによる報告は、同期させることができ、また互いに束縛することもできる。これらの報告は、プロトコルフローの共通セッションを使用して行うこともできる。
この実施形態では、MEは、本明細書で説明されるようにTHSMのいくつかの機能を実行するように構成されうる。MEは、自らの1つまたは複数のドメインを備え、それぞれ特定の所有者に関係するものとしてよい。これらのドメインは、THSMによる信頼できるエンティティの特性を備えるものとしてよい。そのようなドメインは、デバイス製造業者(DM)ドメインおよびユーザー(U)ドメインを含みうる。これらのドメインは、THSMと同様にして事前構成することができる。ME上のドメインをTHSM上のドメインから区別するために、MEに、ドメインそれ自体を指定する文字を下付き文字にして付けることができる。したがって、DMに対するドメインは、MEDMで表すことができる。THSM上のデバイス所有者(DO)ドメインは、ME側のドメインを監視して、SDMに置かれるシステム全体のドメインポリシー(SDP)への準拠を確認することができる。ME内にそれぞれのドメインを作成する場合に、SDMとの通信により、THSM DOはそれぞれの新しいドメイン構成を認識することができる。
MEは、THSMにおけるSDMと同様に機能しうる、プラットフォームドメインマネージャ(MEPDM)として称されうる、ドメインマネージャを備えることができる。MEPDMは、MEDM内に置かれ、最初は、DMによって定義されるような事前構成を有することができる。この初期構成は、その目的と機能に関して、THSM上のTDDMの初期の事前構成された定義と類似するものとすることができる。MEDMのセットアップは、TDDOがTHSMにおいてインスタンス化された後に行われるように時間設定することができる。SDMが、MEDMに対するセットアップが完了したことを通知された場合、これは、システム全体の制約条件に応じて、SDPに由来する、またはSDPの反射におけるポリシー制約条件を課すことができる。SDMは、THSM上に多数のリモート所有者およびそのドメインのリストを保持することができる。ドメインが、リストに載っている所有者の1人に属するME上に作成され、管理される場合、SDMは、ME上のそれらのドメインの作成および管理の特定の制御を行うことができる。
この実施形態では、MEは、完全なMTM機能を有することができる。したがって、これは、CRTM(core root of trust for measurement)、CRTR(core root of trust for reporting)、およびCRTS(core root of trust for storage)を備えることができる。THSM上で、ドメイン加入機能はTSIM機能によって管理されうる。THSM内の一方のドメインおよびME内の他方のドメインなどの2つのドメインが、同じROに対するものである場合、THSM上のドメインは、そのリモート所有者に対する加入機能およびその管理などの、非常の高レベルのセキュリティおよび/または信頼を必要とするROに対する機能またはサービスに使用することができるが、ME上のドメインは、それでもまだ特定のレベルのセキュリティまたは信頼を必要としうるがTHSM上のドメインから予想される機能およびサービスに必要なレベルと同じレベルではない同じROに対する機能またはサービスに使用することができる。事前構成されたファイルから構築されないドメインは、リモート所有権取得(RTO)プロセスを通じて構成されうる。典型的なリモート所有者(RO)に対するMEのRTOは、THSMのものと類似のものであってよい。
ME上のドメインは、リモート所有者に対する加入管理に使用されることが意図されていない場合がある。その代わりに、これらは、ユーザー、所有者、リモート所有者、またはこれらの組み合わせのために大量の計算およびリソースを必要とするタスクを実行するために使用されることが意図されていてもよい。例えば、これらのドメインは、THSM上の比較的限られたリソースに対して実用的でない可能性のあるタスクを実行することができる。ME上のドメインは、1回作成されてその後明示的に削除されるまでME内に留まる代わりに、これらのドメインは仮想化の場合と同様にブート時に、またはさらには実行時のセッションにおいて作成され、一時的なセッションベースで特定の目的に使用されうるという点で「つかの間の(ephemeral)」または「一時的な(temporary)」ものであってもよい。ME上のドメインのリモート所有者は、他のリモート所有者によって所有されるME上の他のドメインまたはTHSM上のそのような他のドメインのリソースおよびその目的の割り当てのアテステーションがなされた調査を要求し取得することに関して同じレベルの特権を有することはできない場合もある。
モバイルトラステッドプラットフォーム(mobile trusted platform)のデバイス所有者がMNOリモート所有者としても知られる特定のPLMNによって事前割り当ておよび初期化がなされていない「ブランク(blank)」のWTRUを購入し、制約なしで移動体通信事業者を任意に選択できるようにする方法を提供すると有益である。この方法は、リモート所有者がPLMN事業者であるか、または加入アプリケーションの対象となる他の類似の事業者である場合にUMTSデバイス(UE)などの、WTRUの、RTOプロセスなどの、所有権取得プロセスを実行することを含み、THSM内のドメインであり、正しいROによって請求されうるROのドメインなどの、サブシステムをセットアップし、カスタマイズし、ファイナライズすることができる。
すでに述べたように、信頼できるハードウェア加入モジュール(THSM)は、IMS加入識別モジュール(ISIM)などの、PLMN事業者のための加入アプリケーションおよび他の付加価値サービスの機能を備える改竄防止機能付きハードウェアコンポーネントモジュールとして構築されるか、またはTHSM内に、そのような改竄防止機能付きハードウェアコンポーネントモジュールを備えることができる。THSMは、WTRUから取り外し可能であるか、または取り外し不可能であるものとしてよい。UICCの機能強化バージョンまたはグローバルプラットフォーム規格に準拠するスマートカードは、そのようなTHSMの一実施形態であるものとしてよい。
所有権取得オペレーションは、通信事業者またはPLMNとWTRUとの間の基本的な「信頼(trust)」関係を構築する。この手順で、汎用の「信頼できる(trusted)」ソフトウェア構成を有する「手つかずの(pristine)」エンジンを備える「ブランクトラステッド(blank trusted)」TSIMをインストールしてインスタンス化することができる。このサブシステムは、プラットフォームが「手つかずの(pristine)」構成およびセキュリティ属性の証拠をもたらすことが可能である場合に、リモート所有者によって「認定(certified)」されうる。図3および図3Aは、本明細書で説明される第1の実施形態に特に関係しているときにこのプロセスの一例を示している。リモート所有者は、要求されたサービスをユーザーに提供し、適切なセキュリティポリシーをセットアップし、サービスと整合性のとれたデバイス構成を強制するモバイルネットワークであってもよい。このプロトコルに対する所有者はローカルに置かれていてもよい。
図3および図3Aは、例示的なブートアップおよびRTOプロセスを例示している。MEは、プレブート(pre−boot)状態304を有することができる。306でデバイスを電源オンにすることができる。MEは、308で、「セキュア(Secure)」ブート(非TCG)を実行することができる。MEは、ベースコードブート(base code boot)状態310に到達することができる。さらに、MEは、312で、「ベースブート完了(base boot completed)」信号をTHSMに送信することができる。MEは、314で、基本構成により追加のソフトウェアをロードすることができる。MEブートは、316で、完了(アプリケーションロード)状態になるものとしてよい。MEは、318で、THSMにブート完了メッセージを送信することができる。
THSMは、プレブート状態330にあるものとしてよい。THSMは、334で、TEDMをロードすることができる。THSMは、構成時に事前構成されたファイルを受け取ることができ、例えば、336は、事前構成されたファイルの使用を例示している。338で、THSMは、「TDDM構築(TDDM build)」状態(基本構成状態)に到達しうる。THSMは、例えば340に例示されているように、ROドメインに対する利用可能なリソースに関するDMの仕様を受信することができる。
342で、TDDMは、TDDOを構築することができる(TDDOはSDMを含むことができる)。344で、THSMは、保存済み構成ファイルを使用して、例えば、ドメインを構築することができる(前のRTOがあるため利用可能である場合がある)。346で、THSMは、TDDO構築状態(SDMを含む)に到達することができ、TDDOは、DOによって未請求であるか、または請求済みであるものとしてよい。350で、TDDOはTDUを構築することができる。352で、DOから入力を受け取ることができる。354で、THSMは、TDU構築状態に到達することができ、TDUは、未請求であるか、または請求済みであるものとしてよい。356で、THSMは、DOまたはDUから入力を受け取ることができる(例えば、ファイルまたはインタラクティブな操作によって、DOがどのドメインを構築したいかを指定する)。358で、TDDOは、ROドメイン、TDRO(複数可)を構築することができる。
次に図3Aを参照すると、362で、THSMが、TDROが構築された状態に到達することができ、TDROは、ROによって未請求であるか、または請求済みであるものとしてよいことがわかる。366で、SDMが、RTOを実行するようにTDROに要求することができるか、またはTDROが、RTOを実行することをSDMに通知する(または要求する)ことができる。370で、TDROはRTOプロセスを開始することができる。380では、代表的なリモート所有者(RO1...ROn)がある。384で、情報を交換することができる。例えば、リモート所有者によるRTOプロセスの一部として、交換される情報は、アテステーション、構成、ポリシー、目的、証明書(本明細書ではCERTと称する)、鍵、およびSPからTDROまでのうちの1つまたは複数の含むことができる。適宜、ROは、RTOプロセスの実行中にDOの「環境(environment)」または「ドメインプラン(domain plan)」を見いだすことができ、それが環境/プランと一致する場合にプロセスを続行させることができる。
372で、THSMは、さまざまなドメインに対するシステム構成を取り込み/更新し、その情報を保存し、その情報をTHSM内の不揮発性の保護されたメモリに格納することができる。374で、THSMは、ポストRTO(post−RTO) TDROを持つ状態に到達することができる。
第1の実施形態を参照すると、DOのRTOによって形成されたポリシードメインは、その後のRTOプロセスのドメイン構成に影響を及ぼす規定を含みうることがわかる。RTOプロトコルは、非DO ROに適しているものとしてよい。ドメイン固有のポリシー(DP)を、RTOトランザクションの実行時にダウンロードすることができる。DOに対するDPは、ROに対するDPと、そのようなDP(DPDO)がTHSM内の、リモートで所有されうる、他のドメインを構築し、維持するために使用することを目的とするシステム全体のドメインポリシー(SDP)を含みうるという点で、異なる場合がある。RTOプロセスの実行前に、またはRTOプロセスの実行中に、ドメインのROは、信頼できる第三者(TTP)から、THSMのすべてのドメインもしくはすべてのドメインのサブセットをサポートするハードウェアもしくはソフトウェアの構成および現在の完全性状態に対する参照完全性基準(RIMRO)を取得することができ、
TTP→RO:RIMRO={Configuration and state of the HW/SW supporting Domains of the THAM,and/or digest values}
式1
と表すことができる。
TTP→RO:RIMRO={Configuration and state of the HW/SW supporting Domains of the THAM,and/or digest values}
式1
と表すことができる。
いくつかの場合において、TTPは、ROが検証しようとしているドメインを含む、THSMのHWおよびSWのサブセットに対しRIMROを提供することができる。RIMROを提供するために複数のTTPが必要になる場合があり、ROは集合的な参照基準を集めて形成する。RTOプロセスが適用されるTHSMのターゲットドメイン(TDRO_target)は、THSMのSDMの助けを借りて、そのROに署名されたTHSMプラットフォーム完全性アテステーション(TPIA)を提供するように構成されうる。TPIAは、THSM上のドメインの個別の完全性アテステーションおよび/またはTDRO_targetによるRTOプロセスの完了を許す前にターゲットドメインのROが検証しようとしているデバイスのプラットフォームの完全性アテステーションの連結であるものとしてよい。THSMのターゲットドメイン(TDRO_target)は、THSMのSDMの助けを借りて、そのROに署名されたTHSMプラットフォーム環境要約(TPES)を提供することができるものとしてよい。TPESは、THSM上の他のドメインの数および性質、およびTERO_targetのために使用することが可能な、THSMのプラットフォームのリソースなどの残りの利用可能なリソースを含む、THSMの環境の要約を含むことができ、
TDRO_target→RO:[TPIA]signed||[TPES]signed
式2
と表すことができる。
TDRO_target→RO:[TPIA]signed||[TPES]signed
式2
と表すことができる。
あるいは、ROが注目するすべてのドメイン上のすべてのアテステーションを含むことができるTPIAを報告する代わりに、SDMは、すべてのドメインの完全性のチェックを済ませ、それらが信頼に足るものであるとみなすことを示す、半自律的ステートメントであってもよい、署名されたステートメントを提供することができる。このアテステーションは、ドメインの集まりの完全性のローカルでの検証を含みうる。ローカルのベリファイアは、THSM上のそれぞれのドメインに対する有効な構成リストを含みうる。SDMは、ローカルのベリファイアに、AIKによって署名されうるTPIAを提供することができる。個別の完全性アテステーションの検証は、構成リストに載っている対応するローカルに格納されているエントリと一致することを要求する場合がある。SDMは、TPIAを組み立てて、それぞれのドメインが信頼に足ることを証明するのに必要な完全性測定、ロギング、およびPCRへの拡張を実行することができる。これらの測定、およびその拡張は、必要なドメインに対するアテステーションが行われたことを立証するためにベリファイアによって使用されうる。
検証が行われた後、ローカルのベリファイアは、関連するアテステーションが行われことを示すステートメントを作成し、このステートメントに、認証された鍵ペア(Ksign_verify_priv、Ksign_verify_pub)からの秘密鍵とともに署名する。署名されたTPESと連結された署名入りの検証ステートメント(Verification Statement)を含むメッセージは、
TDRO_target→RO:[Verification Statement]Ksign_verify_priv||[TPES]signed
式3
と表すことができる。
TDRO_target→RO:[Verification Statement]Ksign_verify_priv||[TPES]signed
式3
と表すことができる。
TTP(複数可)からの{RIMRO}(複数可)ならびにTDRO_targetからの署名されたTPIAおよび署名されたTPESを受け取った後、ROは、TDRO_targetがRTOプロセスを続行するために同意できるとROが判断したTHSM内の環境などの環境内に入っており、TDRO_targetおよびROが注目する他の任意のドメインをサポートするハードウェアまたはソフトウェアが、完全性がROにとって同意できるものである状態にあるかどうかを検証することができる。
手つかずのドメインに対するRTOプロトコルは、電源投入時に開始することができる。適宜、RTOプロトコルは、電源投入後に開始することもできる。THSMのセキュアブートが完了すると、その結果のドメインの構築は、最初など、初期の電源オン時にプラットフォームの状態、またはデバイスがすでにブートアップされ、次いで電源が落とされたときの前の状態を反映する内容を持つ構成ファイルによって決定されうる。したがって、デバイスは、TDDM構築、「手つかずの」TDDO、および「手つかずの」TEU状態を含む基本構成をとる可能性がある。あるいは、WTRUは、後の構成、例えば、前のブートアップおよびTDDM、「ポストRTO」TDDO、および「ポストRTO」TEU状態を含むドメイン構築もしくはRTOプロセスに基づく構成をとることができる。別の代替的形態では、WTRUは、図2に示されているような、追加のドメインの拡大セットも含む構成をとることができる。そのようなドメインは、前の電源投入セッション時に作成されている可能性があり、また所有権は、前のセッションで行われたすでに実行されているRTOプロセスにより各所有者によって取得されている可能性がある。
第1の実施形態を参照すると、プラットフォームの安全で信頼できるエンティティとして、THSMは所有権取得プロトコルを制御し、MEが信頼に足る初期状態にあるかどうかを判定することができることがわかる。事前に用意された鍵Ktempを使用して、THSM−MEインターフェース上で送信されるメッセージの機密性を保護することができる。簡単のため、暗号化されたメッセージAを{A}で表し、メッセージの署名を[A]で表し、表記IDMEおよびIDTHSMは、それぞれ、MEとTHSMの事前に用意された一時IDを表す。
RTOの開始は、TDDOのSDMが、ROによって、その特定のROによるRTOプロセスの後に請求されることが意図されている「未請求」で、「手つかずの」ドメインに対するRTOを開始することを含むことができる。ユーザーは、MEプラットフォームの電源オン操作を開始することができる。電源オン時に、MEは、これが「アライブ(alive)」になるベースコードの、OMTPによって定められたブートなどの「非TCG(non−TCG)」「セキュアブート(secure boot)」を実行することができる。非TCGセキュアブートプロセスの一部として、MEのベースコードの完全性を自律的にチェックすることができる。
第3の実施形態を参照すると、ベースコードのブートプロセスの完了後にモバイルトラステッド環境(MTE)をロードすることができることがわかる。署名鍵を使用することで、MTEは、MEプラットフォーム構成の完全性のアテステーションを行うことができる。
MEは、ベースコードをロードした後に、信号を定期的にTHSMに送信し、最低限の安全な設定でブートしたことを指示することができる。THSMのDOのドメインは信号が送信されたときにはまだブートされていない場合があるため、MEは、同じ信号を、異なるランダムなノンス(nonce_1)とともに、THSMのDOのドメインから送り返される確認応答信号を受信するまで送信することができる。この信号は、
Def)Package_1=“ME Base Code Boot completed”MSG||nonce_1||IDME
ME→THSM’S TDDO:Package_1||[SHA−X(Package_1)]Ktemp_I
式4
として表すことができる。
Def)Package_1=“ME Base Code Boot completed”MSG||nonce_1||IDME
ME→THSM’S TDDO:Package_1||[SHA−X(Package_1)]Ktemp_I
式4
として表すことができる。
第3の実施形態を参照すると、信号送受信は、
Def)Package_1=“ME Base Code Boot completed&MTE loading”MSG||nonce_1||IDME
ME→THSM’S TDDO:Package_1||[SHA−X(Package_1)]Ktemp_I
式5
として表すことができることがわかる。
Def)Package_1=“ME Base Code Boot completed&MTE loading”MSG||nonce_1||IDME
ME→THSM’S TDDO:Package_1||[SHA−X(Package_1)]Ktemp_I
式5
として表すことができることがわかる。
THSMは、「安全に(securely)」ブートすることができ、したがって、THSMは、そのDMのドメイン、「手つかずの」DOのドメイン、ユーザーのドメイン、およびROによって所有されることが意図されているが、まだROによって所有されていないと思われる少なくとも1つの「手つかずの」ドメインをロードしている可能性がある。また、これらのドメインをロードする際に、ドメインのコード状態のそれぞれの完全性を、ドメインのそれぞれの参照完全性基準(RIM)と突き合わせてチェックすることができる。チェックは、TCG MPWG仕様などの仕様に従って実行されうる。
デバイス所有者のドメイン(TDDO)は、DOに対するRTOプロセスをすでに通っている場合に、「事前構成された(pre−configured)」構成、または「最後に保存された(後/前RTO)(Last−saved(post−previous−RTO))」構成のいずれかに合わせてロードすることができる。DOのドメインは、ロードされるときに、システム全体のドメインマネージャ(SDM)を含むことができる。SDMは、他のリモート所有者(RO)に属すドメインの構築またはロードおよびメンテナンスを監視することができる。SDMは、DMのドメインからの「ドメインに対して利用可能なリソースのリスト(list of resources available for domains)」を調べることができ、TDDOが保護する、システム全体のドメインポリシー(SDP)を調べることもできる。
ブート時に、SDMは、THSMの人間のユーザーまたは人間の所有者(DO)に「構築することができるドメインのリスト」をプロンプトとして表示し、構築するドメインを選択する入力を要求することができる。ユーザーまたは所有者からその入力を取得した後、SDMは、人間の所有者またはユーザーからの応答で指定されたドメインのみを構築する作業を進めることができる。SDMは、これらのトランザクションに対するユーザーインターフェース(UI)を提供するためにMEとインタラクティブにやり取りすることができる。
セキュアブートの後、THSMのTDDOは、「THSMブート完了」メッセージをMEに送信することができる。TDDOは、このメッセージ内に、ロードされるROのドメインの数および名前などの、ドメインの現在状態の外部開示可能な要約を含めることもできる。TDDOのSDMは、ドメインの現在状態の要約の外部への開示の範囲を決定して強制することができ、そのような決定は、SDP、および/またはTHSMおよび/またはME上のドメインのドメイン固有のポリシー(DP)に基づくものとしてよい。TDDOは、このメッセージ内のPackage_1を受け取ったことを、SHA−X完全性チェックコード入力の一部として受信したnonce_1を含めることによって確認することができ、これは、以下のように表すことができる。
Def) Package_2=“THSM boot completed”MSG||nonce_2||IDTHSM
TDDO→ME:Package_2||[SHA−X(Package_1||nonce_1)]Ktemp_I
式6
Def) Package_2=“THSM boot completed”MSG||nonce_2||IDTHSM
TDDO→ME:Package_2||[SHA−X(Package_1||nonce_1)]Ktemp_I
式6
IDTHSMなどのTHSMのIDは、DMのドメインTDDM内に保持することができ、またTDDMのIDと同等であるものとしてよい。DOのドメインTDDOは、それをTDDMからフェッチして、式6においてPackage_2を構成することができる。
「THSMブート完了」信号に応答して、MEは引き続きそのブートプロセスを完了させることができる。そのブートプロセスを完了した後、MEは、THSMのTDDOに、
Def) Package_3=“ME boot completed”||nonce_3
ME→TDDO:Package_3||[SHA−X(Package_3|| nonce_2)]Ktemp_I
式7
として表すことができるメッセージを送信することができる。
Def) Package_3=“ME boot completed”||nonce_3
ME→TDDO:Package_3||[SHA−X(Package_3|| nonce_2)]Ktemp_I
式7
として表すことができるメッセージを送信することができる。
以下は、DOのドメインのSDMが現在「手つかず」であるROのドメインに対するRTOプロセスを開始し、監視する場合に適用される。
TDDOがMEからPackage_2を受信した後、RTOプロセスを開始することができる。TDDO内のシステム全体のドメインマネージャは、「手つかずの」ターゲットROのドメイン(TD*RO_Target)にRTOプロセスを起動するように要求することによってRTOプロセスを開始することができる。SDMは、自律的に、または人間の所有者もしくはユーザーによって促されたときに、このプロセスを開始することができる。SDMは、TD*ROに、ターゲットROに対するRTOプロセスを起動する要求を送信することができる。この要求には、ROのIDまたはネットワークアクセス識別子(NAI:Network Access Identifier)など、ターゲットROの素性を示すもの、および現在の要求の有効期間を含めることができる。要求の一部として、またはその要求に同伴する別のパッケージとして、SDMは、「許可されたROのドメインに対するSDPの条件(SDP’s Conditions for Allowed RO’s Domains)」(以下、SCARDと称する)のリストも送信することができる。SDMは、意図されたRTOプロセスの後に完了するときにTDROに対する「ターゲットドメインプラン(Target Domain Plan)」を送信することもできる。このメッセージングは、
Def) Package_4a=Request_to_start_RTO||SCARD||Target Domain Plan||nonce_4
SDM→TD*RO_Target:Package_4a||[SHA−X(Package_4a)]Ksign_SDM
式8
として表すことができる。
Def) Package_4a=Request_to_start_RTO||SCARD||Target Domain Plan||nonce_4
SDM→TD*RO_Target:Package_4a||[SHA−X(Package_4a)]Ksign_SDM
式8
として表すことができる。
TD*RO_Targetは、Package_4を受信したことに対する応答として、その要求を受け入れるか、または拒絶することができる。この要求は、ROにROのドメインの所有権を取らせるための「オファー(offer)」として解釈されうる。TD*RO_Targetは、事前構成された基準、またはロードされたそれ自身の「手つかずの」バージョンのROのドメインポリシーに基づいて決定を下すことができる。TD*RO_Targetは、RTO、SCARD、およびターゲットドメインプランを開始する要求を調べて、実際のターゲットのリモート所有者が不在の場合に、実際のターゲットのリモート所有者のために、そのような決定を下すように構成されうる。これは、
Def) Package_5a=Okay(or Not_Okay)_to_start_RTO||nonce_5a
TD*RO_target→SDM:
Package_5a||[SHA−X(Package_5a)||nonce_4]Ksign_TD*RO_target
式9
として表すことができる。
Def) Package_5a=Okay(or Not_Okay)_to_start_RTO||nonce_5a
TD*RO_target→SDM:
Package_5a||[SHA−X(Package_5a)||nonce_4]Ksign_TD*RO_target
式9
として表すことができる。
「手つかずの」ターゲットROのドメイン(TD*RO_Target)が、このプロセスを開始することができる。TD*RO_Targetは、SDMにRTOプロセスに対する「最終ドメインプラン(Final Domain Plan)」をアラートすることができる。SDMは、その要求を認めるか、または拒絶することができる。SDMがその要求を認めた場合、TD*ROはRTOプロセスを起動することができ、これは
Def) Package_5b=Intend_to_start_RTO||Final Domain Plan||nonce_5b
TD*RO_Target→SDM:
Package_5b||[SHA−X(Package_5b)]Ksign_TD*RO_Target
式10
として表すことができる。
Def) Package_5b=Intend_to_start_RTO||Final Domain Plan||nonce_5b
TD*RO_Target→SDM:
Package_5b||[SHA−X(Package_5b)]Ksign_TD*RO_Target
式10
として表すことができる。
Package_5aまたはPackage_5bを受信したことに応答して、SDMは、TD*RO_Targetに対するRTOプロセスについて、TDDOに対するRTOプロセスによって事前構成されるか、または取得されうるシステムドメインポリシー(SDP)、所有者によって事前構成されるか、または供給されうる「望ましいドメイン(Desired Domains)」のリスト、DMのドメインによって保持され、継続的に更新されうる「ドメインに利用可能なリソース(Available Resources for Domains)」のリスト、またはTHSM内のドメインの現在状態を調べることができる。
SDMは、THSM上で複数のドメインを構築または維持するために利用可能である、仮想マシンのスレッドのためのメモリもしくはコンピューティングリソースなどのリソースが十分にあるかどうか、THSM内のドメインの現在状態が「望ましいドメイン」リストで指定された状態と一致しているかどうか、「望ましいドメイン」内の新規ドメインの構築またはロードが、THSM内のドメインの現在状態によってサポート可能であり、またSDPの下で許されるかどうか、またはドメインの1つまたは複数がRTOプロセスを通る必要があるかどうかを評価することもできる。
SDMが、利用可能なリソース、THSMの既存のドメインの現在状態、およびSDPに従ってTD*RO_TargetがRTOプロセスを通ると判定した場合、SDMは、この判定(TD*RO_Target)を示して、TD*RO_Targetおよびその周囲のドメインの評価のためにRTOプロセス実行時にROに多数の完全性アテステーション回送する準備をする作業を続けることができる。これは、
Def) Package_6=Okay_to_go_ahead_with_RTO||nonce_6
SDM→TD*RO_Target:
Package_6||[SHA−X(Package_6)||nonce_5(a or b)]Ksign_SDM
式11
として表すことができる。
Def) Package_6=Okay_to_go_ahead_with_RTO||nonce_6
SDM→TD*RO_Target:
Package_6||[SHA−X(Package_6)||nonce_5(a or b)]Ksign_SDM
式11
として表すことができる。
SDMは、人間のユーザーに対して、例えば、WTRU上に表示されるメッセージによって特定のドメインに対するRTOプロセスを開始しようとしていることを知らせることができる。SDMは、「RTOプロセスを起動する望ましいドメインおよび望ましいRO(desired domains to start the RTO process and the desired RO)」のリストをプロンプトとして人間のユーザーもしくは人間の所有者(DO)に示し、そのプロンプトへの応答として所有者もしくはユーザーが指定するROのドメインのみに対してRTOプロセスを開始する作業を続けることもできる。SDMは、これらのトランザクションに対するユーザーインターフェース(UI)を構成するMEとインタラクティブなやり取りをすることができる。
TD*RO_Targetは、SDMに、THSMプラットフォーム完全性アテステーション(TPIA)およびTHSMプラットフォーム環境要約(TPES)を作成するために使用することができる資料を準備するように要求することができる。これは、
Def) Package_7=Request_for_TPIA||Request_for_TPES||nonce_7
TD*RO_Target→SDM:
Package_7||[SHA−X(Package_7)||nonce_6]Ksign_TD*RO_Target
式12
として表すことができる。
Def) Package_7=Request_for_TPIA||Request_for_TPES||nonce_7
TD*RO_Target→SDM:
Package_7||[SHA−X(Package_7)||nonce_6]Ksign_TD*RO_Target
式12
として表すことができる。
第3の実施形態を参照すると、要求は、
Def) Package_7a=Request_for_TPIA||Request_for_TPES||Request for MPID||Request for MPES||nonce_7a
TD*RO_Target→SDM:
Package_7a||[SHA−X(Package_7a||nonce_6)]Ksign_TD*RO_Target
式13
として表すことができることがわかる。
Def) Package_7a=Request_for_TPIA||Request_for_TPES||Request for MPID||Request for MPES||nonce_7a
TD*RO_Target→SDM:
Package_7a||[SHA−X(Package_7a||nonce_6)]Ksign_TD*RO_Target
式13
として表すことができることがわかる。
TPIAおよびTPESの要求では、ROは、SDMから探すTPIAおよびTPESに関する情報の種類を指定することができる。例えば、TPIAについては、完全性の検証を望んでいる、それ自身とは別の、ドメインの名前または範囲を指定することができる。同様に、TPESについては、ROは、それ自身とは別のドメインの所有者の、ネットワーク割り当て識別子(NAIs:Network Allocation Identifiers)などの、公開IDを指定することが可能である。
第3の実施形態を参照すると、ターゲットROは、MEプラットフォームの完全性に関する情報(これ以降MPIDと称する)およびME環境に関する他の情報を要求することもできる。あるいは、ROは、MTEがロードされ、MPIDおよびMPESがMEによってSDMに送信されたことを示す単純な指標を要求することもできる。MTE、つまりMEプラットフォームに置かれている信頼できるエンティティは、SDMによってそうするように要求されたときに値MPIDおよびMPESを準備することができる。この要求は、
Def) Package_7b=Request for MPID||Request for MPES||nonce_7b
SDM→MTE:
Package_7b||[SHA−X(Package_7b)]Ksign_SDM
式14
として表すことができる。
Def) Package_7b=Request for MPID||Request for MPES||nonce_7b
SDM→MTE:
Package_7b||[SHA−X(Package_7b)]Ksign_SDM
式14
として表すことができる。
MTEは、MEから構成データを収集し、MPIDを構築することができる。MEプラットフォーム環境調査(MPES)を行うために、環境データも取得することができる。これらの値は、時間の経過とともに変化する可能性のある現在のME状態に基づいていてもよい。更新された値は、もしME状態の変化の後に将来の要求がなされるのであればSDMに送信されうる。一般に、MTEは、SDMに、
Def) Package_8a=MPID||MPES||CertMTE
MTE→SDM:
Package_8a||[SHA−X(Package_8a||nonce_7b)]Ksign_MTE
式14
として表すことができる応答を送信することができる。
Def) Package_8a=MPID||MPES||CertMTE
MTE→SDM:
Package_8a||[SHA−X(Package_8a||nonce_7b)]Ksign_MTE
式14
として表すことができる応答を送信することができる。
MTEは、公開鍵KMTE_Pubを含む、CAによって署名されうる、証明書を提供することができる。そのため、SDMはCA署名の検証を通じてこの公開鍵の真正性を検証し、これにより、MTEからのメッセージの完全性をKMTE_Pubでチェックすることができる。SDMは、TPIAおよびTPESを準備し、後で、これらをTD*RO_Targetに回送することができる。
TPIAの準備のために、SDMは、「手つかずの」TDROの、「手つかずの」TDROによる完全性アテステーション、TEDMの、TEDMによる完全性アテステーション、TEDOの、TEDOによる完全性アテステーション、TEUの、TEUによる完全性アテステーション(デバイスユーザーがDOと異なる場合)、およびROが注目している他の既存のTDROの、またそのTDROによる完全性アテステーションなどの完全性アテステーションを収集することができる。
あるいは、SDMは、PCRから完全性値を収集した後、コードおよびデータなどの、測定ログのローカルにおける自律的チェックおよび再計算のプロセスによって、各ドメインに対するPCRからのダイジェスト値と突き合わせてドメインを検証することができる。これは、TTP(PCA)が各ドメインを含むべきである最新のコードを認識しないときに実行することができ、TTPは、WTRU上で、TPM、またはMTMに対し認定されているAIKにリンクした署名鍵を認定することができる。TTPは、ROがSDMからのTPIAを比較するために使用することができるダイジェスト基準に対する参照値を提供するようには構成されえない。SDMは、ドメインに対するコードのダイジェストを再計算し、見積もられたPCR値と比較することによって、ドメインに対し得られるPCR見積もりが最新のものであるかどうかをローカルでチェックすることができる。次いで、このローカルでのチェックに通ったことを条件として、SDMは、TPIAに署名し、これをTDRO_targetに受け渡し、またMTE、もしくはMEによりROtargetに受け渡すことができる。
別の代替的形態においては、3方向検証では、SDMは、TPIAの一部として、ドメインの、実際のコードなどのダイジェストおよび測定ログを提供することができる。ROは、ダイジェストとともにコードを取得するときに、TTPからダイジェストに対する参照基準を取得することができ、測定ログからダイジェストを再計算することができ、それを、TDRO_Targetから受け取った見積もられたPCRダイジェストさらにはTTPから受け取ったダイジェストの参照基準と比較することができる。
TPIAは、測定ログがある場合もない場合も、PCR見積もりが行われるときの「ローカルの時間(local time)」を示す情報も含むことができ、個別のドメインに対するダイジェストの見積もりに効果的にタイムスタンプを付けることができる。これは、ドメインのPCRダイジェストのそれぞれが最後にSDMによって取得された時間を示すある種の情報となる。測定ログがROに送信されない場合、PCRのタイムスタンプを付けた見積もりは、ローカルのダイジェストが取得され、TPIAに含まれる時間がアテステーション検証において使用できるほど十分に最近であるかどうかを決定することに関して、TPIAに示されているアテステーションを検証する必要があるときにROへの何らかの追加情報を提供することができる。そのようなタイムスタンプに使用されるクロックは、信頼に足るクロックであるものとしてよい。
3方向検証が失敗した場合、ROは、TTPがそれに、望ましいダイジェストから計算することができる更新された参照基準または測定ログを提供するよう要求することができる。ROは、3方向検証をリトライすることができる。検証が成功した場合、RTOが続行される。検証が失敗し、成功する3方向検証がROポリシーによって必要とされる場合、RTOを終了することができる。
DOドメインの完全性アテステーションに関して、SDMは、SDMの固有の機能などを通じて、自律的にそれを取得することができる。完全性アテステーションでは、DOのドメインのアテステーションを除き、SDMは、他の各ドメインに、各自の完全性アテステーションを行い、それに署名するよう要求することができる。SDMは、その要求に、SDMがドメインに完全性アテステーションを要求し、取得する権限を有しているかチェックするために受け取り側が使用することができる、トークンなどの許可データを含めることができる。要求は、ターゲットRO(Target RO)およびターゲットROの要求の回送者としてのSDMが、受け取り側のドメインの完全性をチェックするために必要とする受け取り側のドメインのプラットフォーム構成レジスタ(PCR)の範囲も含むことができる。この要求は、
Def) Package_8b(i)=Request_for_Attestation||nonce_8b(i),i=1,2,...,N
SDM→TDDomain(i):
Package_8b(i)||[SHA−X(Package_8b(i))]Ksign_SDM
式15
として表すことができる。
Def) Package_8b(i)=Request_for_Attestation||nonce_8b(i),i=1,2,...,N
SDM→TDDomain(i):
Package_8b(i)||[SHA−X(Package_8b(i))]Ksign_SDM
式15
として表すことができる。
NをSDMによるPCR値の収集元のドメインの数として、domain(i),i=1,2,...,Nと表されるドメインのそれぞれは、最初に、アテステーションの要求の中の許可データをチェックし、次いで、アテステーションの要求において指定されているようなPCRの範囲のPCR値をフェッチする。このオペレーションは、
Def) Package_8c(i) =
Values of the specified range of PCRs||nonce_8c(i),i=1,2,..,N
TDDomain(i)→SDM:
Package_8c(i)||[SHA−X(Package_8c(i)||nonce_8b(i)]Ksign_TD_Domain(i)
式16
として表すことができる。
Def) Package_8c(i) =
Values of the specified range of PCRs||nonce_8c(i),i=1,2,..,N
TDDomain(i)→SDM:
Package_8c(i)||[SHA−X(Package_8c(i)||nonce_8b(i)]Ksign_TD_Domain(i)
式16
として表すことができる。
SDMは、THSMプラットフォーム完全性アテステーション(TPIA)を実行して、すべてのアテステーションを連結し、それに、署名鍵で署名することができる。これは、
Def) TPIA=Concatenation{signed PCR values from Domain(i)},i=1,2,...,N
式17
と表すことができる。
Def) TPIA=Concatenation{signed PCR values from Domain(i)},i=1,2,...,N
式17
と表すことができる。
TPESの準備のため、SDMは、DMのドメインから取得することができるTHSM HWおよびSW構成およびバージョン番号、BIOS構成、プラットフォーム上のドメインの個数、現在のドメインのために使い切ったメモリなどの総プラットフォームリソース、既存のもしくは新規のドメインのさらなる構築もしくは拡張のため残してあるプラットフォームリソース、ドメインの名前、またはそれらの所有者の、NAIなどの、名前もしくはID(各ドメイン所有者によって許可されている場合)、日時、または上記の環境情報がSDMによって収集された場合に日時ではなく利用可能であれば単調カウンタ値、他の任意の関連する情報など、TDDM、TDDO、およびTDDomains(i)から集める情報を連結することによってTPESを生成することができる。この要求は、
Def) TPES={collected information}
式18
で表すことができる。
Def) TPES={collected information}
式18
で表すことができる。
SDMは、TPIAおよびTPESに署名し、これらをTD*RO_Targetに回送することができる。SDMは、SCARDを調べることができなかった場合にDOが手つかずのTD*RO_Targetに依存する必要のないように署名されたSCARDを含めることもできる。SCARDを、TPIAおよびTPESとともに、ROに送信することができ、これにより、ROは、SCARD、TPIA、およびTPESを調べた後に所有権取得を進める決定を下すことができる。このメッセージングは、
SDM→TDRO_Target:
SCARD||nonce_8fb||[SHA−X(SCARD)||nonce_8fb)]Ksign_SDM
TPIA||Concatenation{nonce_8c(i)}[SHA−X(TPIA)||Concatenation{nonce_8c(i)}]Ksign_SDM
TPES||nonce_8f||[SHA−X(TPES||nonce_8f)]Ksign_SDM
または
SCARD||TPIA||TPES||[SHA−X(SCARD||TPIA||TPES||nonce_8f)]Ksign_SDM
式19
として表すことができる。
SDM→TDRO_Target:
SCARD||nonce_8fb||[SHA−X(SCARD)||nonce_8fb)]Ksign_SDM
TPIA||Concatenation{nonce_8c(i)}[SHA−X(TPIA)||Concatenation{nonce_8c(i)}]Ksign_SDM
TPES||nonce_8f||[SHA−X(TPES||nonce_8f)]Ksign_SDM
または
SCARD||TPIA||TPES||[SHA−X(SCARD||TPIA||TPES||nonce_8f)]Ksign_SDM
式19
として表すことができる。
SDMからTPIA、TPES、およびSCARDを受け取った後、TD*RO_Targetは、SDMの公開署名鍵でチェックすることによってそれらの完全性をチェックすることができる。次いで、TPIA、TPES、SCARD、ユーザーが望むサービスを示す目的情報要素(P)、および所有権取得メッセージの要求(request_TO)をMEに送信することができる。RTOプロセスが、完全なTSIM能力のために用意されなければならないドメインに対するものである場合、TSIM機能に関する署名付き証明書(CertTSIM)を作成し、上記のパッケージとともに送信することもできる。
TSIM機能に使用される証明書は2つ以上ありうる。1つは手つかずのTSIM機能に対するもの(CERT*TSIM)であり、他は、完全にインスタンス化または更新されている機能に対するものである。手つかずのTSIM機能の証明書は、DMに対する証明書構造にモジュール方式で埋め込むことができ、例えば、DMからの機能である手つかずのドメイン内にプラグインとして差し込むことができる。
TDROが前もって少なくとも1つのRTOを通った後にROがRTOプロセスを実行する場合、これはもはや、CERT*TSIMを送信する必要がなくなるが、それは、この証明書が手つかずのドメインとともに使用する場合にしか適さなくなるからであり、TDROはもはやそうでなくなっている。したがって、この場合、ROは、更新された証明書CERTTSIMを送信することができる。
コンテンツは、TD*RO_Targetによって使用される前に、手つかずのTD*RO_TargetがロードされたときにターゲットROがすでに知られている場合に、例えば証明書転送によって、または事前構成によってすでに利用可能になっていると思われる、ターゲットROの公開鍵(K_Target_RO_pub)で暗号化することができる。TSIMは、署名鍵K_TSIM-Signとともに事前に用意することができる。この秘密署名鍵の公開鍵は、ターゲットROに事前に配布することができる。IDMEは、ME IDを安全に保持するTHSM DMドメインTDDMからTD*RO_Targetが取得するMEのIDである。これは、
Def) Package_9=SCARD||TPIA||TPES||P||Request_TO||CertTSIM||IDME||nonce_9
TD*RO_Target→ME:
{Package_9}K_Target_RO_Pub||[SHA−X(Package_9)]K_TSIM-SIGN
式20
として表すことができる。
Def) Package_9=SCARD||TPIA||TPES||P||Request_TO||CertTSIM||IDME||nonce_9
TD*RO_Target→ME:
{Package_9}K_Target_RO_Pub||[SHA−X(Package_9)]K_TSIM-SIGN
式20
として表すことができる。
第3の実施形態を参照すると、値MPIAおよびMPESをメッセージに追加することができることがわかる。MPIAは、MTEによってコンパイルされた構成データ(MPID)に基づきTHSMにおいて計算されたダイジェストを含むことができる。このダイジェストのアテステーションは、構成ファイル内にすでに存在しているか、またはDMとのリアルタイムの通信を介して配信された取得済みの認定された基準を使ってチェックする場合にのみ行うことができる。完全性および環境情報に対するRO要求によれば、式20は、SDMがMPIDおよびMPESを正常に受信したことを示す単純な指示を含むことができる。これは、
Def) Package_9=SCARD||TPIA||TPES|| MPIA || MPES||P||Request_TO||CertTSIM||IDME||nonce_9
TD*RO_Target→ME:
{Package_9}K_Target_RO_Pub||[SHA−X(Package_9)]K_TSIM-SIGN
式21
として表すことができる。
Def) Package_9=SCARD||TPIA||TPES|| MPIA || MPES||P||Request_TO||CertTSIM||IDME||nonce_9
TD*RO_Target→ME:
{Package_9}K_Target_RO_Pub||[SHA−X(Package_9)]K_TSIM-SIGN
式21
として表すことができる。
MEは、上記のメッセージ全体をROに転送することができ、これは
ME→Target RO:
{Package_9}K_Target_RO_Pub||[SHA−X(Package_9)]K_TSIM-SIGN
式22
として表すことができる。
ME→Target RO:
{Package_9}K_Target_RO_Pub||[SHA−X(Package_9)]K_TSIM-SIGN
式22
として表すことができる。
第3の実施形態を参照すると、メッセージは、MPIAおよびMPESを含むことがわかる。
ROは秘密鍵KTarget_RO_Privを使用してPackage_10を復号し、MEのIDをチェックし、メッセージを解釈する。ROは、SCARDを解釈して、SDPからのそれらの条件に「合意(agree)」できるか調べることができる。ROがSCARDに合意した場合、例えば、手つかずのTD*RO_Targetからの値TPIA を解釈して、サービス資格証明または構成制御がターゲットROのドメインTD*RO_Targetに与えられる前に初期TSIM状態全体を表すことができる。値Pは、ユーザーが望んでいるサービスを示すものとして解釈することができる。TSIM対応TD*RO_Targetの場合にMNOとすることもできる、ターゲットROは、TTPと無関係に取得した参照完全性基準(RIM)値(RIMRO)と比較することによってTPIAに示されているように注目するドメインの完全性を検証することができる。
MNOは、例えばTTPにWTRU/THSMの供給者によって提供される証明書を通じてTPIAの予想値を知る機能を有するものとしてよい。第3の実施形態を参照すると、MPIAおよびMPESの予想値は、THSMによってそれが信頼に足るかどうかのアテステーションが行われている場合に、MTEが信頼できるエンティティであるという事実によって可能にされる認証プロセスを通じて前もって知ることができることがわかる。
ターゲットROは、受け取ったTPESを調べ、ROがRTOプロセスをさらに進めることができるという背景状況において例えばTPESによって表されるような「周囲システム環境(surrounding system environment)」がターゲットROにとって「合意可能(agreeable)」であるTHSMシステム内にTD*RO_Targetがあるかどうかを評価することができる。
TPIA、TPES、目的P、Request_TO、ならびに第3の実施形態を参照して、MPIAおよびMPESをチェックした後、MNOなどのターゲットROは、ターゲットROによって「所有権が取得される(taken ownership)」ことを要求している手つかずのTD*RO_Target、さらには、TD*RO_Targetを含む、全体としてTHSMが、RTOプロセスについてターゲットROをさらに進行させるのに、またTD*RO_TargetがターゲットROとインタラクティブにやり取りしていくつかの事前に指定されている基本サービスを提供することをターゲットROに認めさせるのに十分「信頼に足る(trustworthy)」と判定することができる。
TPIA、TPES、目的P、Request_TO、ならびに第3の実施形態を参照して、MPIAおよびMPESをチェックした後、MNOなどのターゲットROは、ターゲットROによって「所有権が取得される(taken ownership)」ことを要求している手つかずのTD*RO_Target、さらには、TD*RO_Targetを含む、全体としてTHSMが、RTOプロセスについてターゲットROをさらに進行させるのに、またTD*RO_TargetがターゲットROとインタラクティブにやり取りしていくつかの事前に指定されている基本サービスを提供することをターゲットROに認めさせるのに十分「信頼に足る(trustworthy)」と判定することができる。
TD*RO_Targetの所有権取得を実行して、ドメインが後で鍵、より完全な構成、パラメータ、および実行ファイルをダウンロードしてインストールし、基本的な「手つかずの」状態が許容する以上の機能を持たせ、またターゲットリモート所有者(RO)によって請求または所有され、管理されるようにするために、ターゲットROは、実行ファイルを含みうる構成信号(CONFIG)を送信することができる。ROは、TDRO_Targetが受け取ったCONFIGに従って構成、パラメータ、および実行ファイルをインストールする場合にインストール後状態と一致しうる、RIMTSIMと称するTSIMに対するRIMも送信する。RIMTSIMは、TD*RO_Target上のセキュアメモリ内に格納することができ、また将来のブート時にTSIM機能の完全性をチェックするために使用することができる。採用されるセキュリティ対策さらには他の構成上の課題を指定する、ドメインポリシー(DP)をトランザクションに含めることができる。
RO固有のドメインポリシー(DP)は、SDMによって保持され、THSM上の特定のROによって所有される1つまたは複数のドメインを構築し、管理するためのプランを表すシステム全体のドメインポリシー(SDP)と異なっていてもよい。RO固有のDPは、その特定のドメインに固有であり、それに限定されるドメイン内アプリケーションおよびセキュリティ対策のみに適用されるポリシーまたはプランを含むことができる。
いくつかのROは、DPがTHSM上で他のROが構築または管理されることに「合意可能」であるものに関して制限を課す規定も含むようにDPを作成することができる。例えば、移動体通信事業者(MNO_A)は、THSM上の他のドメインのうちのいくつかのドメインの状態および性質に関するDPMNO_Aにおいて指定されている条件のうちのいくつかが十分に満たされていないことが判明した場合に、そのターゲットドメイン(TDMNO_A)が、DPMNO_Aをダウンロードしインストールした後に、例えば、そのサービスもしくは活動に対する一組の制約条件を適用されるように、自分のDPMNO_Aを作成することができる。例えば、MNOは、DPMNO_Aを実装することができ、これにより、TDMNO_Aは、TDMNO_AがTHSM内のより大きな環境を調査した後にアクティブ化された自らのTSIM機能を持つ他のMNOのドメインが同じTHSM上にインストールされアクティブ状態にあることを見いだした場合に、そのTSIM機能を無効にする。
TD*RO_Targetは、Pにおける要求されたサービスに対応する形でそれ自身を構成することが必要になる場合がある。例えば、ROは、MEに応答を送信することができ、メッセージの機密は、公開鍵KTSIM_Pubを使用して保護される。MEは、このメッセージをTHSM上のTD*Target_ROに転送することができる。CertROはTarget_ROの公開鍵K_RO−privを含むものとしてよい。ROは、このときに、TSIMの参照完全性基準(RIM)を送信することができる。ROの応答は、
Def) Package_10=
{CONFIG,DPRO,IDRO,RIMTSIM}KTSIM-Pub||CertRO||CertTSIM||nonce_10
Target RO→ME:
{Package_10}K_RO-Priv||[SHA−X(Package_13||nonce_9)]K_TSIM-SIGN
式23
ME→TD*Target RO:
{Package_10}K_RO-Priv||[SHA−X(Package_13||nonce_9]K_TSIM-SIGN
式24
として表すことができる。
Def) Package_10=
{CONFIG,DPRO,IDRO,RIMTSIM}KTSIM-Pub||CertRO||CertTSIM||nonce_10
Target RO→ME:
{Package_10}K_RO-Priv||[SHA−X(Package_13||nonce_9)]K_TSIM-SIGN
式23
ME→TD*Target RO:
{Package_10}K_RO-Priv||[SHA−X(Package_13||nonce_9]K_TSIM-SIGN
式24
として表すことができる。
TD*RO_Targetは、公開鍵KTSIM-Privでメッセージを復号し、CAでその証明書をチェックした後にCertROにおいて公開鍵KRO_Pubを使用してRO署名を検証することができる。これは、TSIMアプリケーションに対する受け取った参照完全性基準RIMTSIMを安全に格納することができる。これは、IDROからのROのIDをチェックし、次いで、ROのポリシーDPROをチェックし、CONFIGの構成およびインストールの残り部分を続けることができるかどうかを決定することができる。TD*RO_Targetは、CONFIGを介して再構成を実行し、「完了(complete)」ドメイン状態に到達することができ、次いで、セルフテストを実行しTSIM機能の測定された基準がネットワークによって通信され、RIMTSIMにおいて表されているものと一致するかどうかを判定する。ドメインTDRO_Targetは、これで「完了した(completed)」となり、もはや「手つかず」ではなくなり、したがって表記中のアスタリスク*を取り外す。これは、
TD*Target_RO:check DPRO,store RIMTSIM,and install CONFIG.
→
TDTarget_RO:RO’s domain is “complete”.
式25
として表すことができる。
TD*Target_RO:check DPRO,store RIMTSIM,and install CONFIG.
→
TDTarget_RO:RO’s domain is “complete”.
式25
として表すことができる。
完了したドメインTDTarget_ROは、「RTO成功およびドメイン完了」ステータスメッセージをMEに送信し、これはターゲットROに回送することができる。これは、
Def) Package_11={“domain completed”||IDRO_Target}K_RO-Pub||nonce_11
TDTarget_RO→ME:
Package_11||[SHA−X(Package_11||nonce_10)]K_TSIM_SIGN
式26
として表すことができる。
Def) Package_11={“domain completed”||IDRO_Target}K_RO-Pub||nonce_11
TDTarget_RO→ME:
Package_11||[SHA−X(Package_11||nonce_10)]K_TSIM_SIGN
式26
として表すことができる。
適宜、MEは、電話の登録および資格証明ロールアウトが現在可能な状態にあることを示す、例えばWTRUの画面に表示されるステータスメッセージをユーザーに送信することができる。
MEは、プラットフォームの再構成が正常に完了し、TSIM資格証明の登録をすることが可能な状態であることを示すステータスメッセージをROに回送することができる。TDRO_Targetは「THSM_TDRO_LOAD_COMPLETE」状態に至っている。このメッセージは、
ME→Target RO:
Package_11||[SHA−X(Package_11||nonce_10)]K_TSIM_SIGN
式27
として表すことができる。
ME→Target RO:
Package_11||[SHA−X(Package_11||nonce_10)]K_TSIM_SIGN
式27
として表すことができる。
このRTOプロトコルは、THSMの所有者またはユーザーとしての加入者を、加入サービスを提供する3G UMTSネットワーク通信事業者に登録するためのプロトコルの先行プロトコルとして使用され、また共有鍵Kおよび加入者識別IMSIのダウンロードおよび提供を含む、認証および鍵照合(AKA)の資格証明のダウンロードおよび提供を行うための後続プロトコルとしても使用されうる。
公開−秘密鍵セットに対する証明書CertTSIMおよびCertROは、これらが使用されるメッセージに入れて配信することができる。あるいは、ROのドメイン(TDRO)およびROは、信頼できる第三者から各証明書を取得することができる。この取得は、
TTP→ME→TDRO:CertRO
TTP→RO:CertTSIM
式28
として表すことができる。
TTP→ME→TDRO:CertRO
TTP→RO:CertTSIM
式28
として表すことができる。
別の代替的形態では、ROの証明書CertROは、ネットワークからMEに配信することができ、THSMの証明書CertTSIMは、これらが使用されるメッセージの配信の前にMEからネットワークに配信することができる。したがって、通信は、本明細書で説明される暗号化されたメッセージの前に送信することができ、これらの通信は、
ME→RO:CertTSIM(ステップ9のメッセージが送信される前)
RO→ME:CERTRO(ステップ13のメッセージが送信される前)
式29
として表すことができる。
ME→RO:CertTSIM(ステップ9のメッセージが送信される前)
RO→ME:CERTRO(ステップ13のメッセージが送信される前)
式29
として表すことができる。
これらの代替的証明書配信方法のそれぞれについて、エントリIDは、公開暗号鍵が使用されるメッセージに添付することができる。
別の代替的形態では、公開鍵の代わりに対称鍵を使用することで、メッセージの機密性を保護することができる。それぞれの場合において、送信者は、例えば疑似乱数生成器(PRNG)を使用して対称鍵Ksを生成し、公開鍵ではなく、この鍵を使用して、メッセージの機密性を保護することができる。対称暗号鍵は、公開鍵で保護されている暗号化されたメッセージとともに、受信者に送信することもできる。したがって、受信者は、秘密鍵で鍵Ksにアクセスし、次いでそれを使用してメッセージを復号することができる。
第2の実施形態を参照すると、THSMおよびMEは、第1の実施形態のものと異なる場合のあることがわかる。THSMは、MEそれ自体またはMTEなどのME内の信頼できるエンティティの代わりに、MEがブートするときにMEのコードの一部または全部の完全性チェックを実行するように構成されうる。適宜、THSMは、MEのブートコードの一部または全部を格納することもできる。THSMは、MEの完全性のアテステーションを外部のエバリュエータに対して行うようには構成することができない。これは、ブート時にMEコードの完全性の「ローカル(local)」チェックを実行するように構成することができる。
MEに対する完全性値は、ブートアッププロセスで使用することができ、RTOプロセスでは使用することができない。MEのセキュアブートの結果得られるMEコードおよび構成状態を表す、meas_MEで表される、MEの完全性測定は、THSMのDMのドメインTEDMによって行うことができる。THSMのTDDMは、meas_MEの有効性をチェックすることができるが、プラットフォームアテステーションに組み込むことはできない。
第4の実施形態を参照すると、MEは、例えばTCG MPWGの意味で、信頼できるMEであるものとしてよいことがわかる。MEは、MTM(mobile trusted module)を備えることができ、またMTMをストレージ(storage)、報告(reporting)、測定(measurement)、検証(verification)、および強制(enforcement)のための信頼のルート(root of trusts)を与える信頼点として有するので信頼することができる。
図4および図4Aは、リモート所有権取得プロセスの例示的な呼流れ図を示している。例えば、図4および図4Aは、ME 402、TDDO 404、SDM 406、TD*Target_RO 408、およびターゲットRO 410のうちの1つまたは複数の間の例示的な呼を示している。図4および図4Aの矢印は、発呼側/着呼側を表すものとしてよい。
図2および図3に示されているように、SDMは、THSMに置かれているシステム全体のドメインマネージャを備え、DOの機能の一部を提供することができる。SDMは、デバイス内のすべてのドメインセットアップの監視および調整を行い、そのようなすべてのドメインが、SDPに準拠して、またドメイン固有のポリシーに従って、そのようなポリシーにおける競合を他のドメインのDOおよびROの代わりにSDMによる仲裁で解消しようとする限りにおいて、動作し、互いにインタラクティブにやり取りすることを確実にするものとしてよい。TDDOは、THSMにおける必須のデバイス所有者ドメインを含むことができる。TDDOは、SDMを含み、したがって、システムレベルのドメインポリシーを維持することができる。MTEは、ME側に対するポリシーマネージャMEPDMを含むことができる。MEPDMは、ME上でポリシーマネージャ機能を実行することができるが、THSMにおけるSDMの監視を受けるものとしてよい。ME*Target_ROは、許可されたリモート所有者によるリモート所有権に対して手つかずのドメインのセットアップを含むことができる。ターゲットROは、ME*Target_ROの所有権を要求するリモート所有者を含んでいてもよい。
MEは、認識されたリモート所有者によるME上のドメインのリモート所有権取得がサポートされるように完全なMTM機能を持つものとしてよい。第1の実施形態を参照して説明されているRTOのものと同様に、これらは、本質的に、THSMおよびMEの両方の同じリモート所有者によって所有されるドメインに対してMEPDMの上でSDMによって行われる最終的なポリシー制御によって異なる。したがって、THSM上でドメインをさらに所有する同じリモート所有者によって所有されるMEドメインの形成および管理は、SDMのポリシーに適合する方法でなされなければならない。
図4をなおも参照すると、ベースコードブートは、41でME 402によって実行されうる。415で、THSMは安全にブートすることができる。THSMは、SDMが含まれる、DOのドメインをロードすることができ、SDMは、1)ドメイン構築に利用可能なリソース、および/または2)ユーザーへの受け入れ可能なドメインのリストを備えることができる。42で、THSMはそのブートを完了することができる。425で、MEはそのブートを完了することができる。43で、MEはそのブートが完了していることを示すことができる。このプロセスにおいて、DMのドメインが構築され、オプションのユーザードメイン(MEU)も構築され、また利用可能なリソースがチェックされる。DMのドメインは、MEデバイスに対するドメインポリシーの初期構成および仕様を提供するMEPDMを備えることができる。MEDMの事前構成により、このポリシーは、MEドメインとTHSMドメインとの間の、共通のリモート所有者とともに、THSM上の一方のドメインとME上の他方のドメインなど、これらのドメインに対するポリシーに関してSDPのものと整合するようにされうる。
図4をなおも参照すると、事前構成されたドメインを持つ、MEは、431で「ブート完了」メッセージを送信し、RTOを開始することができることがわかる。このメッセージは、DMドメインポリシーおよびMEにおいて利用可能なリソースに関する明示的な情報を含みうる。44で、ターゲットドメインプランを含む、RTOを開始する要求が送信されうる。455で、RTO開始要求を受け入れるか、または拒絶する決定を、TD*Target_RO 408側で下すことができる。45で、RTOを開始するかどうかを示すメッセージを送信することができる。あるいは、456で、RTOは、TD*Target_RO 408から開始することができる。451で、TD*Target_RO 408は、「RTO最終ドメインプランを開始する意図」を送信することができる。
SDMは、THSMのシステム全体のドメインポリシー(SDP)を評価し、どのような制約をMEドメインに課すか、または割り当てるかを決定することによってMEブートメッセージに応答することができる。これらのポリシー制約条件は、MEおよびTHSM上で、どのようなドメインがそれらの関連するリモート所有者に従って許容可能であるかを決める条件を含むものとしてよい。SDMは、リモート所有者が気づいているものを含めて、THSM上にドメインを有する同じリモート所有者によって所有されるドメインに対してMEによる使用が許されるシステム全体のリソースを決定することができる。MEPDMは、式7のメッセージを介してこの情報を受信することができる。SDMは、そのベースポリシーへのポリシー制約条件およびそのリソースリストへの許容可能なリソースを含むこともできる。MEPDMが情報を受け取った後、これは、ME上のリソースおよびドメインの管理に関する決定を下し、強制することに関して、そのようなすべての決定についてSDMから許可を取得しなくてもいくつかの特権を行使することができる。
図4をなおも参照すると、プロセスは465に続くことがわかる。465で、SDP、利用可能なリソース、および/または受け入れ可能なドメインおよび/または状態を、チェックおよび/または評価することができる。46で、「開始OK」信号を送信することができる。47で、TPIA、TPES、MPID、およびMPESの要求を送信することができる。475で、SDM 406は、例えば、ドメイン毎にPCRの範囲にわたって既存のドメインから完全性アテステーションを収集/連結し、および/またはTPES情報を収集および/または連結することができる。
471で、MPIDおよびMPESの要求を送信することができる。476で、MPIDおよびMPESの要求に対する応答をMTE側で処理することができる。48で、MPIDおよびMPESを信頼の証明とともに、署名鍵を付けて送信することができる。481で、TPIA、TPES、MPID、およびMPESをSDM 406からTE*Target_RO 408に送信することができる。485で、THSMは、MPID(未加工データ)からのダイジェストMPIAを計算し、MPIAをチェックすることができる。受け入れ可能である場合、ダイジェストMPIAをROに送信することができる。49で、TPIA||TPES||MPIA||MPES||目的||RTOに対する要求を送信することができる。
図4Aを参照し、RTOプロセスを続けると、410で、TPIA||TPES||MPIA||MPES||目的||RTOメッセージがターゲットRO 410に送信されうることがわかる。418で、ターゲットRO 410は、例えば、TPIA、TPES、MPIA、MPES、および目的をチェックすること、RIMTDROに対して手つかずのドメインが信頼に足るものかどうかを判定すること、DPの受け入れ可能性をチェックすること、または完了ドメイン状態を構築するCONFIGを作成することのうちの1つまたは複数を実行することができる。
上記の代替えとして、TD*Target_RO 408がMPIAおよびMPESの代わりにMEが信頼に足るものであることを単純に示す情報をSDMに要求するが、その場合、SDMは、TPIA、TPES、およびMEの信頼性指示を与える。しかし、SDMは、それでも、MTEにMPIAおよびMPESを要求し、MTEから受け取る。
図4aをなおも参照すると、411で、メッセージCONFIG||DP||RIMTDRO||ROが送信されうることがわかる。412で、CONFIG||DP||RIMTDRO||ROメッセージを転送することができる。428で、ドメインを構築し、構成して、完全性をRIMTDROに対してチェックすることができる。それに加えて、TD*Target_ROの所有権を取得し、そうして、TDTarget_ROに変換することができる。413で、ドメイン完了メッセージを送信することができる。414で、ドメイン完了メッセージを転送することができる。
図5および図5Aは、完全なアテステーション(例えば、第4の実施形態に関係する)を伴うリモート所有権取得プロセスの例示的な呼流れ図を示している。例えば、図5および図5Aは、SDM 502、TDDO 504、MEPDM 506、ME*Target_RO 508、およびターゲットRO 510のうちの1つまたは複数の間の例示的な呼を示している。図5および図5Aの矢印は、発呼側/着呼側を表すものとしてよい。51で、ベースコードブート完了メッセージを送信することができる。それに応答して、515で、THSMは、SDMを含む、DOドメインを安全にブートし、ロードすることができる。52で、THSMブート完了メッセージを送信することができる。それに応答して、525で、MEは安全にブートすることができ、これは、MEPDMが含まれるDMドメインをロードすることと、さらには利用可能なリソースをチェックすることを含みうる。MEPDMは、SDPおよび利用可能なリソースと一致するドメインポリシーを指定する初期構成を行うことができる。53で、DMのドメイン(ポリシー情報)およびME内の利用可能なリソースを含む、MEセキュアブートが完了したことを示すメッセージを送信することができる。531で、「MEブートが完了」メッセージをSDM 502に転送することができる。535で、SDM 502は、例えば、システム全体のポリシーを評価し、MEに対する許容可能なドメイン、リソース、およびポリシー制約条件を決定することができる。54で、ドメインポリシー制約条件および/または許容可能なリソースに関する情報を与えるメッセージを送信することができる。545で、ポリシー制約条件をベースポリシーに付加し、必要ならば、リソースリストを加えることもできる。
図5および図5Aの要素55〜511は、図4および図4Aに示されているような要素45〜411と類似のものであってよい。値MPIAおよびMPESの評価は、式14から19までの評価と類似するものであってよい。MEは、MTM対応のものであり、ただ単に未加工データMPIDではなく、ダイジェストMPIAを単独で計算するように構成することができる。SDMによって伝えられる更新されたポリシー制約条件は、禁止されたドメインまたはドメインポリシーが実現されないようにチェックすることができる。ポリシーのチェックおよび評価は、MEPDMによって実行されうる。
55で、ターゲットドメインプランを含みうる、RTOを開始する要求が送信されうる。555で、MEPDM側で、RTO要求を受け入れるか、または拒絶する決定を下すことができる。551で、RTOを開始するかどうかを示すメッセージを送信することができる。代替的形態では、556で、RTOを開始する意図がMEターゲットから始まるものとしてよい。56で、RTOを開始する意図メッセージを送信することができる。565で、1)拡張ドメインポリシー、および/または2)拡張ポリシーによる利用可能なリソース、受け入れ可能なドメイン、および状態を、チェックおよび/または評価することができる。561で、RTOを開始することが受け入れ可能であることを示すメッセージを送信することができる。57で、MEドメインセットからの、MPIAおよびMPESの要求を送信することができる。575で、ドメイン毎のPCRの範囲にわたる既存のドメイン(MPIA)からの完全性アテステーションの収集および連結を、MPES情報の収集および連結とともに実行することができる。58で、MPIAおよびMPESを送信することができる。59で、MPIA||MPES||目的||RTO要求を送信することができる(メッセージ完全性および機密性は、認証された公開/秘密鍵で保護されうる)。595で、ターゲットRO 510は、例えば、MPIA、MPES、および目的をチェックすること、RIMTSIMに対して手つかずのドメインが信頼に足るものかどうかを判定すること、DPの受け入れ可能性をチェックすること、または完了ドメイン状態を構築するCONFIGを作成することのうちの1つまたは複数を実行することができる。514で、メッセージCONFIG||DP||RIMTSIM||ROを送信することができる。515で、ドメインを構築し、構成して、完全性をRIMTDROに対してチェックすることができる。それに加えて、ME*Target_ROの所有権を取得し、そうして、METarget_ROに変換することができる。511で、ドメイン完了メッセージを送信することができる(署名付き、完全性保護)。MEは、ターゲットROと直接通信することができ、したがって、図3および図3Aに示されているようなメッセージ転送は、使用されず、メッセージの数を減らすことができる。手つかずのエンジン信頼性検証に対するRIM証明書に関するものとともにMEとターゲットROとの間のメッセージングにおける公開/秘密鍵の交換に必要な証明書に関する詳細は、図5に示されていない。
図6は、THSMの例示的な状態定義、遷移、および制御点定義を示している。例えば、特許文献1においてその定義および基本機能が定義されているM2M通信識別モジュール(MCIM:M2M Communication Identity Module)のライフサイクルは、本明細書で定義されている。THSMは、MCIMの、状態定義および遷移を含む、機能性および特徴を改善し、一般化することができる。
601で、THSMは、プレブート状態にあるものとしてよい。第1のユーザーがTHSMの電源をオンにし、THSMは安全にブートし、THSMは状態602にあるものとしてよい。602で、DMおよびDOは、手つかずの状態で存在することができる。DMドメインを事前構成ファイルから構築することができ、THSMは状態606にあるものとしてよい。606で、THSMは、ポストブート2状態に入り、TDDMがロードされうる。606からは、DOドメインを事前構成ファイルまたはダウンロードファイルから構築することができ、THSMを状態605に残す。605で、THSMは、ポストブート3状態に入り、そこでTDDOが構築されうるが、TDUまたはTDROは、ロードできない。状態605から、DOドメイン(SDM)は、ユーザーのドメインをロードし、THSMを状態604に残すことができる。604で、THSMは、ポストブート状態2aに入り、そこでTDUがロードされるが、ROドメインは、ロードできない。状態605から、手つかずのROドメインを、SDPに基づいて構築し、THSMを状態707に残すことができる。707で、THSMは、ポストブート状態7に入り、そこでTDROおよびTDDOがロードされているが、TDUは、ロードできない。状態607から、TDDO(SDM)は、TDUをロードし、THSMを状態608に残すことができる。608で、THSMは、DO、DU、およびROドメインをロードしておくことができる。
状態601から、ユーザーが電源をオンにすると、THSMは安全にブートし、THSMを状態603に残すことができる。603で、THSMに、格納されている構成をロードすることができ、そこでは、格納されている構成は一番最近に電源をオフにする前の構成であった。状態603から、構成を変更するポストブートトランザクションを実行し、THSMを状態610に残すことができる。610で、THSMは、1つまたは複数のすでにアクティブの状態が非アクティブになる。603から状態610に到達するプロセスと同様に、THSMは状態609にあってよく、そこで、THSMは1つまたは複数のアクティブなドメインを有する。状態609から、構成変更イベントの結果、遷移が生じて、THSMを再び状態610に残すことができる。
状態604、605、607、および608で、THSMは、新規ポリシーおよび/または実行ファイルもしくは非アクティブ状態への遷移で再構成することができる。それに加えて、状態605で、SDPを格納することができる。
ドメイン管理の第1の方法では、ドメイン所有者からのポリシー、つまり、システム全体のドメインポリシー(SDP)は、非常に制約的であり、また「静的(static)」であり、新規ドメイン活動または目的に関して厳しいルールを有している可能性がある。これらのポリシーは、新規ドメインエントリまたは既存のドメインが更新される毎にROと通信する必要性を軽減する傾向があると思われる。
ドメイン管理の第2の方法では、SDPは、制約が少なく、活動および目的に関してより柔軟に対応できる。すべての新規ドメインエントリおよびすべてのドメイン変更が既存のドメイン所有者に報告されうる。この結果、プラットフォームとROとの間の最初のネゴシエーションおよびその後のネゴシエーションが実行されうるポリシー強制のより動的なシステムが得られる。
ドメイン管理の第1の方法を参照すると、SDPは、事前構成リスト内で例外なく許可されているドメインを指定することができる。このリストは、ROの種類および(種類毎に)許可される数に関する情報を含むことができる。このリストは、ドメインがセットアップされた後ROが提供することができるサービスの種類も含むことができる。RO候補は、リストで示されている条件を満たすROであるものとしてよい。ROは、リストおよびポリシー制約条件などの条件に関して、例えば式9に示されているような、RTOプロセスの一部としてアラートされうる。ROは、SCARDを受け取った後、注目しているプラットフォームまたはデバイス上のステークホルダーになりたいかどうかを独立して決定することができる。ROに送られる条件は、ドメインの種類およびその目的を含むことができるが、他のROの素性を保護するために、他のROのリストの実際の名前については含まないようにできる。ROがRTOを完遂することを決定した場合、ポリシーからの逸脱がこのRO、またはプラットフォーム上で現在アクティブである他のRO、または将来アクティブになる可能性のある他のROによって許されないことは確実であるものとしてよい。その結果、ROは、実行される可能性のあるその後のRTOにアラートされる必要はなく、またアラートされることもない。
ドメイン管理の第2の方法を参照すると、どのようなリモート所有者が特定のROの種類を識別することなく許可されるかなどの比較的広範な制約条件のみ、またROからSDMへのより多くの情報の要求またはいくつかのネゴシエーションなどの、より多くのインタラクティブなやり取りを許すポリシーを、RTOプロセスにおいて遂行することができることがわかる。ドメイン構成が変更されるときに、SDMとすべてのROとの間に進行中の協力もありうる。したがって、最初の、さらにはその後のネゴシエーションは、RO/SDMの動的な関係の一部として実行されうる。
RTOプロセスの一部として、ROは、TPIA、TPES、およびSCARDなどの、必要とされる、アテステーションおよびポリシー条件の情報を与えられ、これは、構成およびその信頼性に関する、第1の方法の場合と比較してより一般的な情報を含みうる。既存のドメイン構成に基づき、ターゲットROは、RTOを継続するかどうかを決定することができる。ターゲットROが所有権取得に反対する決定を即座に下さない限り、SDMとのネゴシエーションプロセスが続きうる。例えば、SDMは、ターゲットROのドメインがアクティブである間アクティブでありうるドメインタイプおよびアテンダントサービス、またはそれが反対する種類のドメインがアクティブになろうとしている場合の続けるべき手順をターゲットROに要求することができる。ROは、例えば、いくつかの他のドメインタイプまたはいくつかの他のROが所有するドメインさえもアクティブになるか、またはアクティブになろうとしているときに自ドメインが非アクティブにされることを要求する場合があるか、またはアクティブのままであるが、容量または能力を減らした状態にすることを要求する場合もある。SDMは、アラートすべきイベント発生をROに要求することもできる。そのようなイベントは、アクティブになるか、または非アクティブになる、それが反対する、ドメインタイプを含む可能性がある。ROは、いくつかの他の所有者によって保持される他のドメインタイプまたはドメインが、自ドメインがアクティブである間、一切の活動から完全にブロックされることを要求することもできる。
SDMは、そのような条件を受け入れるか、または拒絶する決定をすることができる。広範な一組のポリシー要件で動作するけれども、SDMは、ROからの要求を受け入れることが「静的な」システムドメインポリシー(SDP)の契約内示書にそのまま適合しうるかどうかを決定する自由度と意味論的な能力を有することができる。
図7は、ROドメインが達成しうる例示的な状態および動的に管理された環境において遷移が発生しうる条件を示している。701で、ヌル状態が存在する可能性があり、例えば、ROは構築されえない。701から、手つかずのROドメインを、SDPに従って構築し、ROドメインを状態702に残すことができる。702から、ROがTPIA、TPES、およびSCARDを取得することを含む、RTOプロセスを実行することができる。さらに、ROは、RTOの条件を受け入れて、ROドメインを状態703に残すことができる。703から、新規アクティブドメインとのポリシー競合があると判定されることがあり、それに応答して、ROドメインの機能を低減するか、または非アクティブにし、ROドメインを状態704に残す。また703から、ROドメインは更新されたポリシー/構成変更を受け取り、その結果、ROドメインは修正された構成および/または更新されたポリシー制約条件を有することになる。706から、新規アクティブドメインとのポリシー競合があると判定されることがあり、それに応答して、ROドメインの機能を低減するか、または非アクティブにし、ROドメインを状態704に残す。また703から、新規ソフトウェアコンポーネントを、ダウンロードまたはRTOを介して導入することができ、その結果、ROドメインの状態が修正/拡張され、ROドメインを705に残す。705から、新規アクティブドメインとのポリシー競合があると判定されることがあり、それに応答して、ROドメインの機能を低減するか、または非アクティブにし、ROドメインを状態704に残す。
711に例示されているように、状態702、703、704、705、または706のROドメインはヌルになり、例えば、DO、ROなどによって削除されうる。741に例示されているように、非アクティブ/低減機能のROドメインは、状態703、705、または706に、例えば、ROドメインを状態704に移動させた原因である競合を解決することによって移動することができる。751に例示されているように、状態705にあるROドメインは、状態703、704、または706に移動することができる。761に例示されているように、状態706にあるROドメインは、状態703、705、または706に移動することができる。
ROドメインの管理に関して、動的ドメイン管理の一部として許されうるものは、イベントが展開するときに変更する要件をネゴシエートすることに対するものである。例えば、ROは、以前に異議のあった、別のROによって提供される特定のサービスが、もはやそのサービスと競争する必要がなくなったと判断された結果、現在では許可可能であると決定することがありうる。時間の経過によるビジネスモデルの変化は、RO候補による戦略およびポリシーのネゴシエーションに影響を及ぼしうる。動的ポリシー構造を採用するSDPは、そのような戦略変更に対応するようになされうる。
限定はしないが、自動支払いサービスと組み合わせたM2Mジオトラッキングなどのサービスでは、優先ローミングパートナーシップ、またはROのクローズドグループが形成されうる。このようなグループ化されたサービスは、類似のまたは異なるサービスを提供する異なる通信事業者が互いに提携する場合に、優先するクローズドグループとなる可能性がある。サービス、通信事業者、またはその両方の優先グループは、デバイスユーザーへのバンドルサービスまたは抱き合わせ販売として提供されうる。
第1の例では、パッケージは、地球を巡る間に追跡可能である。数百万のこのようなジオトラッキングデバイスが利用される可能性がある。パッケージが大陸を横断する際に、異なる国の異なる通信事業者による接続性を提供される。したがって、接続するために、ユーザーは、複数のローミングプロファイルを使用する必要がある場合がある。これらのローミングプロファイルは、さまざまなリモート通信事業者にまたがっており、それぞれのドメインがリモート通信事業者によって所有され管理されているのでドメイン間ポリシーとして管理される。ポリシーは、ローミングベースのソリューションをサポートする代わりに新しいサービスプロバイダへの完全な引き継ぎをサポートするよう強制することもできる。
第2の例では、スマートメータリング事業者とジオトラッキング事業者との間の提携が説明される。これらのドメインは、異なる通信事業者によって所有され運営されうる。事業提携またはユーザーの好みにより、ドメインを組み合わせてジョイントプロファイルをサポートすることができる。労力、ストレージ、または駐車などの、リソースの利用度に基づく課金の場合、自動支払いサービスをパッケージの追跡と平行して使用することができる。共存するサービスが独立したカテゴリに分類されるこのような事例では、ドメイン間ポリシー管理のサポートを使用することができる。
ドメイン間ポリシーマネージャ(IDPM:Inter Domain Policy Manager)は、ドメインのグループ挙動を決定するポリシーを管理することができる。ドメイン間ポリシー(IDP:Inter Domain Policies)は、RTOプロセスにおいてそれぞれのROによってダウンロードされうる。IDPは、それぞれのROによって署名された証明書によって認証されうる。これらの証明書は、IDPとともに発行されうる。あるいは、これらのポリシーは、外部サービスディーラーによって認定され、ダウンロードされうる。優先事業者リストを作成することに関心を持つデバイスユーザーまたはデバイス所有者は、IDPを作成することができる。IDPMは、これらのポリシーを、IDPを選択する候補ポリシーまたは優先度の受け入れ可能な交差を評価し、次いでその結果得られるポリシーを強制することによって処理することができる。
あるいは、IDPMをSDMに、その機能の1つとして、またはTHSM上にロード(構築)またはダウンロードされうる別のエンティティとして追加することができる。
アテステーションプロトコルの一部として、TDROは、ROに、TPIA、TPES、およびSCARDのハッシュを、これらの測定結果を全部送信する代わりに、送信することができる。ROは、単独で、またはTTPを使って、そのようなハッシュを検証し、それによりTDROおよび周囲システムの実行可能性の評価を行う手段を有することができる。この方法は、特許文献1において指定されているような、半自律妥当性確認(SAV:Semi Autonomous Validation)に類似しているものとしてよい。アテステーション段階で、TPIA、TPES、およびSCARD測定のうちの1つまたは2つを送出することができる。
THSMは、MEの一部として埋め込んで一体にできる。そのようなデバイスに対するRTOプロセスは、MEとTHSMとの間のインターフェースがないので、簡素化することができる。
特徴および要素は、特定の組み合わせを用いて説明されているが、それぞれの特徴または要素は、他の特徴および要素なしで単独で、または他の特徴および要素とのさまざまな組み合わせで、または他の特徴および要素なしで使用することができる。本明細書で取り上げられている方法または流れ図は、汎用コンピュータまたはプロセッサにより実行できるようにコンピュータ可読記憶媒体内に組み込まれたコンピュータプログラム、ソフトウェア、またはファームウェアにより実装されうる。コンピュータ可読記憶媒体の例として、読み取り専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、レジスタ、キャッシュメモリ、半導体メモリデバイス、内蔵ハードディスクおよびリムーバブルディスクなどの磁気媒体、光磁気媒体、ならびにCD−ROMディスクおよびデジタル多用途ディスク(DVD)などの光学媒体が挙げられる。
好適なプロセッサとして、例えば、汎用プロセッサ、専用プロセッサ、従来型のプロセッサ、デジタルシグナルプロセッサ(DSP)、複数のマイクロプロセッサ、DSPコアとの関連性を持つ1つまたは複数のマイクロプロセッサ、コントローラ、マイクロコントローラ、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)回路、他のタイプの集積回路(IC)および/または状態機械が挙げられる。
ソフトウェアとの関連性を持つプロセッサは、ワイヤレス送信受信ユニット(WTRU)、ユーザー装置(UE)、端末、基地局、無線ネットワークコントローラ(RNC)、またはホストコンピュータにおいて使用するための無線周波トランシーバを実装するために使用できる。WTRUは、カメラ、ビデオカメラモジュール、テレビ電話、スピーカーフォン、バイブレーションデバイス、スピーカー、マイク、テレビトランシーバ、ハンズフリーヘッドセット、キーボード、Bluetooth(登録商標)モジュール、周波数変調(FM)無線ユニット、液晶ディスプレイ(LCD)表示装置、有機発光ダイオード(OLED)表示装置、デジタル音楽プレーヤー、メディアプレーヤー、ゲーム機モジュール、インターネットブラウザ、および/またはワイヤレスローカルエリアネットワーク(WLAN)モジュールまたはウルトラワイドバンド(UWB)モジュールなどの、ハードウェアおよび/またはソフトウェアで実装された、モジュール群と併せて使用できる。
II.加入方式のサービスにアクセスするための登録および資格証明ロールアウト
デバイスのユーザーは、加入方式のサービスのプロバイダと加入関係を結ぶことを望んでいるものとしてよい。例えば、図1のデバイス100、110、もしくは120、または図2のUE 200などのUEのユーザーは、リモート所有者によって提供される加入方式のサービスの加入ユーザーとして登録することを望んでいる場合がある。加入方式のサービスの提供は、第三者によって円滑に行われるようにすることができる(例えば、第三者は、リモート所有者に代わって加入方式のサービスをユーザーに販売することができる)。リモート所有者は、RTOプロセスに関して上で説明されているように、リモート所有者ドメインと称されうる、デバイス上のドメインの所有権を取得している可能性がある。さらに、ユーザーは、ユーザードメインと称されうる、デバイス上のドメインの所有権を取得している可能性がある。
II.加入方式のサービスにアクセスするための登録および資格証明ロールアウト
デバイスのユーザーは、加入方式のサービスのプロバイダと加入関係を結ぶことを望んでいるものとしてよい。例えば、図1のデバイス100、110、もしくは120、または図2のUE 200などのUEのユーザーは、リモート所有者によって提供される加入方式のサービスの加入ユーザーとして登録することを望んでいる場合がある。加入方式のサービスの提供は、第三者によって円滑に行われるようにすることができる(例えば、第三者は、リモート所有者に代わって加入方式のサービスをユーザーに販売することができる)。リモート所有者は、RTOプロセスに関して上で説明されているように、リモート所有者ドメインと称されうる、デバイス上のドメインの所有権を取得している可能性がある。さらに、ユーザーは、ユーザードメインと称されうる、デバイス上のドメインの所有権を取得している可能性がある。
ユーザーが加入方式のサービスにアクセスするために、登録および資格証明ロールアウトが行われる必要がある場合がある。登録および資格証明ロールアウトは、ユーザーを加入方式のサービスの加入ユーザーとしてリモート所有者に登録し、そのようなサービスがリモート所有者ドメインを通じてリモート所有者によって提供されうること、ユーザーが加入方式のサービスを加入ユーザーとして利用することを可能にしうる資格証明をリモート所有者から取得すること、および/または資格証明をリモート所有者ドメインに格納することのうちの1つまたは複数を含みうる。資格証明により、ユーザーがデバイスを介して加入方式のサービスを利用することが可能になる。資格証明という用語は、従来の資格証明(例えば、鍵、ID、証明書など)を含むものとしてよい。資格証明という用語は、他の文脈に関連するデータ、ならびに加入管理機能に使用される実行ファイルおよびアプレットなどのアプリケーションも含みうる。
本明細書で開示されるシステムおよび方法では、ユーザーが1つまたは複数のデバイスを介して複数の加入方式のサービスにアクセスすることができるということを企図している。例えば、図1および2に関して上で説明されているように、またRTOプロセスに関して説明されているように、デバイスは異なるリモート所有者によって所有されうる複数のドメインを有することができる。ユーザーは、複数のリモート所有者からの加入方式のサービスに加入することができる。
登録および資格証明ロールアウトは、リモート所有者がリモート所有者ドメインの所有権を獲得してからずっと後になって発生しうる。ワイヤレス電話機能を持つワイヤレスデバイスは、一例として使用できる。複数のワイヤレスキャリアが、デバイス上の複数のドメインの所有権を取得している可能性がある(例えば、それぞれのワイヤレスキャリアがリモート所有者である)。例えば、ワイヤレスキャリア1がリモート所有者ドメイン1の所有権を取得している可能性があり、ワイヤレスキャリア2がリモート所有者ドメイン2の所有権を取得している可能性がある。しかし、ユーザーは、ワイヤレスキャリア2ではなく、ワイヤレスキャリア1の加入方式のサービス(例えば、ワイヤレス電話サービス)に関係する登録および資格証明ロールアウトを開始している可能性がある。例えば、ワイヤレスキャリア1は、ユーザーに、ワイヤレス電話サービス全体においてワイヤレスキャリア2に比べてよい取引を提供していた可能性がある。後日(例えば、数日後、数ヶ月後、数年後)、ユーザーは、ワイヤレスキャリア2の加入方式のサービス(例えば、ワイヤレス電話サービス)に関係する登録および資格証明ロールアウトを開始することができる。そこで、例えば、ワイヤレスキャリア2は、長距離電話においてワイヤレスキャリア1に比べてよい取引を提供することができる。ユーザーは、両方の加入方式のサービスを使用することができるが、それは、登録および資格証明ロールアウトが両方に対して完了しているからである。例えば、ユーザーは、市内通話に対しワイヤレスキャリア1のワイヤレス電話サービスを、長距離電話に対してワイヤレスキャリア2のワイヤレス電話サービスを使用することができる。この例では、いずれのリモート所有者も、そのような取り決めを禁止する規則を定めていると想定している(例えば、RTOプロセスを参照)。この例も、登録および資格証明ロールアウトが、リモート所有者がリモート所有者ドメインの所有権を獲得してからずっと後になって発生しうることを示している。
登録および資格証明ロールアウトプロセスに含まれるエンティティは、ユーザー、ユーザードメイン、リモート所有者、リモート所有者ドメイン、第三者、半自律的検証を円滑にするコンポーネント(例えば、システム全体のドメインマネージャ)のうちの1つまたは複数を含みうる。登録および資格証明ロールアウトに関して、エンティティは以下のような属性を有するものとしてよい。
ユーザーは、加入方式のサービスなどのサービスに加入することを求めるデバイスのユーザーとすることができる。このような加入方式のサービスの例として、限定はしないが、金融サービス、移動体通信サービス、インターネット接続サービス、音楽/動画/マルチメディア加入サービス、アイデンティティサービス、位置情報サービス、電子メール/メッセンジャー/ソーシャルネットワーキングサービス、電子書籍サービス、ゲームサービスなどが挙げられる。ユーザーは、デバイスの所有者であってもよい。ユーザーは、登録および資格証明ロールアウトを開始することができる。この開始には、ユーザーが個人データおよび/または従来のログイン情報を送信することが含まれうる。ユーザーは、例えば、ユーザーの加入がなされた/ユーザーが加入している加入方式のサービスに関連付けられているアクションに関係する場合に、加入者と称してもよい。
ユーザードメイン(TUU)は、ユーザー機能に関係するデバイス上のドメインとすることができる。ユーザードメインは、オプションのドメインであってよい。ユーザードメインは、本明細書で説明されるようにTHSMの一部であってよい(例えば、図2を参照)。ユーザードメインを作成し、プラットフォームの初期ブートシーケンスでその機能を備えることができる。所有者ドメイン(TDO)は、ユーザードメインを含まない構成に対してTDUの機能を実行することができる。ユーザーは、TDUへの登録を、ユーザー名(IDU)、パスワード(PWU)、および個人登録データ(REGDATAU)を供給することによって開始することができる。TDUは、プロセスID(PID_U)をユーザー登録の一部として生成することができる。この情報は、登録を開始し、資格証明ロールアウトを要求する際に使用することができる。例えば、この情報は、特定の要求(例えば、特定の登録および/または資格証明ロールアウト要求)に関連付けられ、登録および/または資格証明ロールアウトに対して異なるセッションもしくはプロセスを識別するか、またはマークするために使用されうる。ユーザーとユーザードメインは、MEを介して通信することができる。事前に用意された鍵Ktemp_C(例えば、機密保持用)およびKtemp_I(例えば、完全性/認証用)を使用して、ME/THSMインターフェース上のメッセージングを保護することができる。非対称の鍵の対を使用することで、ME/THSMインターフェース上のメッセージングを保護することができる。MEは、図8に関しては示されない。THSMへのユーザー通信は、TDUを介して実行できる。
リモート所有者(RO)は、デバイスを介して加入サービスをユーザーに提供することができる。リモート所有者は、加入サービスをユーザーが使用するために必要になる場合がある資格証明を与えることができる。資格証明は、リモート所有者ドメインとリモート所有者との間の強い秘密として使用することができる認証鍵Kを含むものとしてよい。一例として、ROは、MNO、他の通信ネットワーク事業者(例えば、WLAN、WiMaxなど)、電子メールサービスプロバイダ、インターネットサービスプロバイダ、ソーシャルネットワーキングサービスプロバイダ、デジタルコンテンツ(音楽、電子書籍、動画など)プロバイダ、ゲームサービスプロバイダ、金融サービスプロバイダ、アプリケーションサービスプロバイダ(例えば、モバイル決済、モバイル発券、DRM、モバイルTV、位置情報サービスなどのサービスプロバイダ)、IMSサービスプロバイダなどのうちの1つまたは複数とすることができる。
リモート所有者ドメイン(TDRO)は、リモート所有者によって定義された機能を提供することができるデバイス上のドメインとすることができる。リモート所有者ドメインは、上で説明されているようにTHSMの一部であってよい(例えば、図2を参照)。リモート所有者ドメインは、上で説明されているRTOプロセスに関して説明されているようにTSIM機能を有することができる。リモート所有者ドメインは、リモート所有者によって与えられた資格証明を格納することができる。TDROは、ユーザードメインからユーザーのIDおよびプロセスID(IDU、PID_U)を受信し、登録および資格証明ロールアウトのときにこの情報をさまざまな形で使用することができる。
POS(販売時点またはサービス提供時点管理エンティティ)は、加入方式のサービスのユーザーへの販売/サービス提供を円滑にする第三者とすることができる。POSは、図8に関して説明されているようにチケットを介して販売を円滑にすることができる。一例として、POSは、リモート所有者の加入方式のサービスを販売し、および/またはリモート所有者の加入方式のサービスの販売前および販売後顧客サービス業務を遂行する小売店(オンライン店舗、オンラインでない従来型の店舗など)とすることができる。
システム全体のドメインマネージャ(SDM)、例えば、セクションIで開示されているSDMは、登録および資格証明ロールアウトの一部として1つまたは複数のプラットフォームに関係するアテステーション情報を提供することができる。例えば、登録および資格証明ロールアウトにおいて要求があったときに、SDMは半自律完全性確認を送ることができる。SDMは、ドメインのコンポーネントなど、THSMの一部であってよい(例えば、図2を参照)。
システム全体のドメインマネージャ(SDM)、例えば、セクションIで開示されているSDMは、登録および資格証明ロールアウトの一部として1つまたは複数のプラットフォームに関係するアテステーション情報を提供することができる。例えば、登録および資格証明ロールアウトにおいて要求があったときに、SDMは半自律完全性確認を送ることができる。SDMは、ドメインのコンポーネントなど、THSMの一部であってよい(例えば、図2を参照)。
登録および資格証明ロールアウトは、以下のうちの1つまたは複数を含むことができる。
・POSは、チケットをユーザーに関連付けることができる。チケットは、ユーザーの素性を確定し、リモート所有者に対して資格証明の要求を出すときに提示することができる。ユーザーに与えられるチケットなどのチケットは、ROによってPOSに発券されうる(例えば、事前生成されたセットで)。チケットは、登録および資格証明ロールアウトプロセスで使用される情報を含むことができる。例えば、この情報は、「三つ組み」を含むことができ、この三つ組みは、識別子(例えば、IMSI)、例えば、資格証明の要求が出されるときに、リモート所有者へのチャレンジ番号として使用できる乱数(RAND)、およびチケット認証値(AUTH)を含む。
・ユーザードメインは、ユーザーに代わって、登録を要求することができる。
・POSは、ユーザーの関連付けられている個人登録データとともにユーザーの識別をリモート所有者(例えば、発券されたチケットは、国際移動電話加入者識別番号−IMSIなどの識別子を提示しうる)に報告することができる。
・ユーザーは、この識別子(例えば、IMSI)を使用して資格証明ロールアウトを要求することができる。
・資格証明を、加入サービスにアクセスするために使用できるデバイス、例えば、リモート所有者ドメインに配信することができる。リモート所有者ドメインは、加入サービスを管理する際にTSIM機能を提供することができる。
・POSは、チケットをユーザーに関連付けることができる。チケットは、ユーザーの素性を確定し、リモート所有者に対して資格証明の要求を出すときに提示することができる。ユーザーに与えられるチケットなどのチケットは、ROによってPOSに発券されうる(例えば、事前生成されたセットで)。チケットは、登録および資格証明ロールアウトプロセスで使用される情報を含むことができる。例えば、この情報は、「三つ組み」を含むことができ、この三つ組みは、識別子(例えば、IMSI)、例えば、資格証明の要求が出されるときに、リモート所有者へのチャレンジ番号として使用できる乱数(RAND)、およびチケット認証値(AUTH)を含む。
・ユーザードメインは、ユーザーに代わって、登録を要求することができる。
・POSは、ユーザーの関連付けられている個人登録データとともにユーザーの識別をリモート所有者(例えば、発券されたチケットは、国際移動電話加入者識別番号−IMSIなどの識別子を提示しうる)に報告することができる。
・ユーザーは、この識別子(例えば、IMSI)を使用して資格証明ロールアウトを要求することができる。
・資格証明を、加入サービスにアクセスするために使用できるデバイス、例えば、リモート所有者ドメインに配信することができる。リモート所有者ドメインは、加入サービスを管理する際にTSIM機能を提供することができる。
登録および資格証明ロールアウトは安全な方法で実行できる。ユーザー登録および資格証明ロールアウトを安全に実行するうえで以下の前提条件のうちの1つまたは複数が満たされ、および/または仮定されうる。
・THSM/MEプラットフォームは、信頼に足る状態にあるとみなすことができ、ドメインがリモート所有権取得(RTO)プロトコルを介してすでに構成されているリモート所有者による要求があった後、プラットフォーム構成のステータス、またはその一部分を報告することができるものとしてよい。デバイスは、「完全に信頼できる」プラットフォームコンポーネントであるとみなせないMEを含みうる。MEの信頼性は、THSMによって定期的に監視されうる。MEおよびTHSMを接続するインターフェースは、一般的に、安全であるとみなせない。MEは完全なMTMの能力を有し、その完全性のアテステーションを実行することができると仮定してよい。
・以下の方法のうちの1つまたは複数で実行されうる、プラットフォームのアテステーション。
(1)TPIA、TPES、およびSCARDの使用を含むアテステーション報告(例えば、RTOプロセスを参照)。
(2)現在の構成のハッシュをROに送信することを含みうるリモート検証のスケーリングされたバージョン。このタイプのアテステーションは、多量のデータの転送を回避したい場合に使用するとよい。
(3)内部完全性チェックの実行、およびプラットフォームが安全であるという確認を送ることを含みうる、半自律的検証。
・資格証明をリモートでダウンロードすることができる。POSは、リモート所有者にユーザーを登録することに関わることができる。POSとの通信は、以下の方法のうちの1つまたは複数で実行できる。
(1)ユーザーは、POSが識別情報および登録データを送信するときに無線(OTA)で、またはインターネットリンクでPOSと通信することができる。
(2)ユーザーがハンドセットを使って登録ログインステップを完了した後、ユーザードメインは登録および資格証明ロールアウトプロセスに関係するPOSとインターネット経由で通信することができる。
・POSは、発券機能を処理するうえで十分に信頼に足るとみなせる。したがって、POSは、CertPOSの関連付けられている証明書とともにKPOS-PrivおよびKPOS-Pubと表される証明済みの鍵の対のセットを有している可能性がある。これらは、それぞれ関連付けられている証明書CertROおよびCertTSIMとともに、リモート所有者の鍵セット(KRO_Priv,KRO_Pub)およびTSIM(KTSIM-Priv,KTSIM-Pub)と併せて、登録および資格証明ロールアウトで使用されうる。
・ユーザーとユーザードメインとの間の通信では、MEを仲介手段として使用することを想定することができ、ユーザーによる使用を意図されているメッセージは、ハンドセットの画面上に表示されうる。これらのメッセージは、完全性および機密保護をそれぞれ目的として一時鍵Ktemp_IおよびKtemp_Cを使用することができ、MEは、ユーザーのために解釈する(例えば、署名を復号し、および/または検証する)ことができる。
・登録および資格証明ロールアウトは、同じユーザーまたは場合によっては複数のユーザーからの複数の登録および資格証明要求を許容できる程度には柔軟性があるものとしてよい。例えば、それぞれのユーザーは、所定の信頼できるドメイン(TDRO)に対して1つの(かつ、ただ1つの)登録を確立することができるが、複数のそのようなドメインにまたがって複数の登録を確立することができる。しかし、複数の明確に区別されるユーザーは、それぞれ、そのような1つのドメインに対してそのユーザー専用の登録を行うことができる。それぞれのTDROは、1つのROを有することができるが、ROは、複数の登録を管理し、明確に区別される1人のユーザーに対してそれぞれの登録を管理することができる。所定のROが複数のTDROを所有することも可能である。場合によっては複数のリモート所有者に対応する複数のユーザーおよび信頼できるドメインが与えられた場合、プロセスIDは、例えば、ユーザードメイン、POS、およびリモート所有者によって生成され、複数の登録に関係する曖昧さを防ぐようするために使用されうる。所定の登録および資格証明要求に対して、緊密に関連付けられている3つのプロセスIDを生成することができる、つまり、PID_U(ユーザードメインによる)、PID_POS(POSによる)、およびPID_RO(リモート所有者による)を生成することができる。PID_Uは、ユーザードメインを識別するためにPOSまたはリモート所有者のいずれかと通信するときにTHSM内のエンティティによって使用されうる。これらのIDは、所定の登録プロセスを一意に識別するのに十分なものとしてよい。
・信頼できるエンティティ間の通信は、公開−秘密鍵の対を使用して保護することができ、公開鍵は、認証局(CA)によって発行された証明書を介して分配することができる。
・登録および資格証明ロールアウトにおいて、ノンスを使用して、再生攻撃を防止することができる。ノンスは、連続する番号を振られるか、もしくは他の何らかの順次的な順序付けをされうるか、または連続的、もしくは他の何らかの順次的に順序付けされた番号を含むものとすることができる。いくつかの内部的なドメイン間の相互作用は、記述的なノンス指定記号が使用される場合、連続的な番号を振られない。2つのエンティティ間の往復通信については、送信された第1のノンスをその発信地に返送メッセージ内の新しいノンス(平文で)とともに送り返す(平文でなく)ことができる。返送ノンスを受信したエンティティは、値がそれによって最初に生成されており、したがって知られている可能性がある場合に、平文で送信されることを要求しないものとしてよい。
・署名を、例えば、SHA−Xとして本明細書で表されうる、SHAアルゴリズムの未指定バージョンによって計算された固定ビット長の暗号ハッシュ値に適用することができる。
・THSM/MEプラットフォームは、信頼に足る状態にあるとみなすことができ、ドメインがリモート所有権取得(RTO)プロトコルを介してすでに構成されているリモート所有者による要求があった後、プラットフォーム構成のステータス、またはその一部分を報告することができるものとしてよい。デバイスは、「完全に信頼できる」プラットフォームコンポーネントであるとみなせないMEを含みうる。MEの信頼性は、THSMによって定期的に監視されうる。MEおよびTHSMを接続するインターフェースは、一般的に、安全であるとみなせない。MEは完全なMTMの能力を有し、その完全性のアテステーションを実行することができると仮定してよい。
・以下の方法のうちの1つまたは複数で実行されうる、プラットフォームのアテステーション。
(1)TPIA、TPES、およびSCARDの使用を含むアテステーション報告(例えば、RTOプロセスを参照)。
(2)現在の構成のハッシュをROに送信することを含みうるリモート検証のスケーリングされたバージョン。このタイプのアテステーションは、多量のデータの転送を回避したい場合に使用するとよい。
(3)内部完全性チェックの実行、およびプラットフォームが安全であるという確認を送ることを含みうる、半自律的検証。
・資格証明をリモートでダウンロードすることができる。POSは、リモート所有者にユーザーを登録することに関わることができる。POSとの通信は、以下の方法のうちの1つまたは複数で実行できる。
(1)ユーザーは、POSが識別情報および登録データを送信するときに無線(OTA)で、またはインターネットリンクでPOSと通信することができる。
(2)ユーザーがハンドセットを使って登録ログインステップを完了した後、ユーザードメインは登録および資格証明ロールアウトプロセスに関係するPOSとインターネット経由で通信することができる。
・POSは、発券機能を処理するうえで十分に信頼に足るとみなせる。したがって、POSは、CertPOSの関連付けられている証明書とともにKPOS-PrivおよびKPOS-Pubと表される証明済みの鍵の対のセットを有している可能性がある。これらは、それぞれ関連付けられている証明書CertROおよびCertTSIMとともに、リモート所有者の鍵セット(KRO_Priv,KRO_Pub)およびTSIM(KTSIM-Priv,KTSIM-Pub)と併せて、登録および資格証明ロールアウトで使用されうる。
・ユーザーとユーザードメインとの間の通信では、MEを仲介手段として使用することを想定することができ、ユーザーによる使用を意図されているメッセージは、ハンドセットの画面上に表示されうる。これらのメッセージは、完全性および機密保護をそれぞれ目的として一時鍵Ktemp_IおよびKtemp_Cを使用することができ、MEは、ユーザーのために解釈する(例えば、署名を復号し、および/または検証する)ことができる。
・登録および資格証明ロールアウトは、同じユーザーまたは場合によっては複数のユーザーからの複数の登録および資格証明要求を許容できる程度には柔軟性があるものとしてよい。例えば、それぞれのユーザーは、所定の信頼できるドメイン(TDRO)に対して1つの(かつ、ただ1つの)登録を確立することができるが、複数のそのようなドメインにまたがって複数の登録を確立することができる。しかし、複数の明確に区別されるユーザーは、それぞれ、そのような1つのドメインに対してそのユーザー専用の登録を行うことができる。それぞれのTDROは、1つのROを有することができるが、ROは、複数の登録を管理し、明確に区別される1人のユーザーに対してそれぞれの登録を管理することができる。所定のROが複数のTDROを所有することも可能である。場合によっては複数のリモート所有者に対応する複数のユーザーおよび信頼できるドメインが与えられた場合、プロセスIDは、例えば、ユーザードメイン、POS、およびリモート所有者によって生成され、複数の登録に関係する曖昧さを防ぐようするために使用されうる。所定の登録および資格証明要求に対して、緊密に関連付けられている3つのプロセスIDを生成することができる、つまり、PID_U(ユーザードメインによる)、PID_POS(POSによる)、およびPID_RO(リモート所有者による)を生成することができる。PID_Uは、ユーザードメインを識別するためにPOSまたはリモート所有者のいずれかと通信するときにTHSM内のエンティティによって使用されうる。これらのIDは、所定の登録プロセスを一意に識別するのに十分なものとしてよい。
・信頼できるエンティティ間の通信は、公開−秘密鍵の対を使用して保護することができ、公開鍵は、認証局(CA)によって発行された証明書を介して分配することができる。
・登録および資格証明ロールアウトにおいて、ノンスを使用して、再生攻撃を防止することができる。ノンスは、連続する番号を振られるか、もしくは他の何らかの順次的な順序付けをされうるか、または連続的、もしくは他の何らかの順次的に順序付けされた番号を含むものとすることができる。いくつかの内部的なドメイン間の相互作用は、記述的なノンス指定記号が使用される場合、連続的な番号を振られない。2つのエンティティ間の往復通信については、送信された第1のノンスをその発信地に返送メッセージ内の新しいノンス(平文で)とともに送り返す(平文でなく)ことができる。返送ノンスを受信したエンティティは、値がそれによって最初に生成されており、したがって知られている可能性がある場合に、平文で送信されることを要求しないものとしてよい。
・署名を、例えば、SHA−Xとして本明細書で表されうる、SHAアルゴリズムの未指定バージョンによって計算された固定ビット長の暗号ハッシュ値に適用することができる。
次に、登録および資格証明ロールアウトを例示する方法を、図8を参照しつつ説明する。図8は、登録および資格証明ロールアウトのプロセスを実装する例示的な呼流れ図である。呼の流れは、式で表すことができる。式は、各流れに関連付けることができるセキュリティ機能を含むことができる。図8に例示されている呼の流れは、例であることが意図されている。他の実施形態も使用できることは理解されるであろう。さらに、流れの順序は、適宜変えることができる。それに加えて、流れは、必要でなければ省略することができ、追加の流れを加えることもできる。
1において、POS 30は、ユーザー32などの、さまざまな許可されたユーザーに配布することができる事前生成されたチケットに対するリモート所有者RO 40に要求を行うことができる。
Package_0=ticket request||IDPOS||nonce0
POS→RO:Package_0||CertPOS||[SHA−X(Package_0)]KPOS-Pri
式1
POS→RO:Package_0||CertPOS||[SHA−X(Package_0)]KPOS-Pri
式1
2において、RO 40は、公開鍵KPOS-Pub(例えば、証明書CertPOSで受信された)を使ってPOS署名の有効性をチェックし、ユーザー32などのユーザーを登録するときに使用されうるチケットのインデックス付きセットを送信することによって応答することができる。
Package_1=Ticketi||nonce0||nonce1
RO→POS:{Ticketi}KPOS-Pub||nonce1||[SHA−X(Package_1)]KRO_PrivCertRO
式2
インデックス付きセット内のそれぞれのチケットは、三つ組み
Ticketi=(IMSIi||RANDi||AUTHi||)
を含むことができる。
RO→POS:{Ticketi}KPOS-Pub||nonce1||[SHA−X(Package_1)]KRO_PrivCertRO
式2
インデックス付きセット内のそれぞれのチケットは、三つ組み
Ticketi=(IMSIi||RANDi||AUTHi||)
を含むことができる。
IMSI(国際移動電話加入者識別番号)は、例えば、サービス資格証明を要求するときに、ユーザー/加入者の一意的な識別子として使用することができる。RAND値は、チケット自体の新鮮さを示すものとしてよい乱数であり、AUTHは、チケットの完全性および真正性を確認するための手段である。鍵KRO_Priv(RO秘密鍵)を使用するPackage_1ハッシュの署名は、リモート所有者の認証を行っている間にメッセージの完全性を保護することができる。
2において送信されたメッセージについて、POS 30は、秘密鍵KPOS_Privを使用してチケットセットを復号し、公開鍵KRO_Pub(例えば、証明書CertROで受信された)を使用してリモート所有者の署名を検証することができる。式1および2で示されているように、nonce0は、安全な通信に必要であるとしてよい、往復(送信側から受信側へ、そして送信側へ戻る)往復を行う。
3において、ユーザー32は、例えば、THSMにおけるユーザードメインTDU 34に登録し、ID、パスワード、および/または登録データなどの情報を提供することができる。
Package_2=IDU||PasswordU||REGDATAU||nonceU
User/Owner→TDU:
IDU||nonceU||REGDATAU||{PasswordU}Ktemp_C||[SHA−X(Package_2)]Ktemp_I
式3
User/Owner→TDU:
IDU||nonceU||REGDATAU||{PasswordU}Ktemp_C||[SHA−X(Package_2)]Ktemp_I
式3
3におけるプロセスは、典型的なログインおよび登録手順とみなせる。メッセージの暗号化および署名機能、さらにはノンスnonceUの使用は、MEの暗黙の存在を反映するものとしてよく、またユーザーに対して透過的であるものとしてよい。この透過性は、図8に例示されている方法全体を通してユーザー/所有者とTDUとの間の他の通信に関係しうる。
IDUおよびPasswordU(PWUとも表される)は、プラットフォーム上で設定したアカウントのそれぞれについてユーザーによって作成された一意的なユーザー名とパスワードの対とすることができる。IDUは、特定のアカウントに関してユーザーを識別し、関連するパスワードPasswordUは、秘密であり(例えば、許可されたユーザーは知っているが、それ以外の者は知らない)、ユーザー許可に使用することができる。REGDATAUは、個人情報を含みうる。
4において、TDU 34は、3において受信されたメッセージ内の情報を読み取り、格納し、プロセスID(PID_U)を生成することができる。Ktemp_CおよびKtemp_Iは、それぞれ、事前に用意されうる秘密および完全性鍵を表すものとしてよい。これにより、TDU 34はパスワード(PasswordU)を復号し、Package_2のハッシュされた署名を検証することができる。PID_UをREGDATAUとともにPOS 30に送信し、登録およびチケット要求プロセスを開始することができる。PID_Uを、第1のプロセス識別子とすることができる。
Package_3=PID_U||REGDATAU||nonce3
TDU→POS:
PID_U||nonce3||CertTDU||REGDATAU||[SHA−X(Package_3)]KTDU-Priv
式4
TDU→POS:
PID_U||nonce3||CertTDU||REGDATAU||[SHA−X(Package_3)]KTDU-Priv
式4
5で、POS 30は、PID_UおよびREGDATAUを受信した後、自PID(PID_POS)を生成して、それをPID_Uおよびユーザー登録情報に関連付ける。プラットフォームがPID_Uを持つPOS 30と通信するときに、POS 30は、PID_POSによって識別された登録プロセスの一部としてメッセージを表示することができる。したがって、複数の登録プロセスを同時に実行できる。PID_POSを、第2のプロセス識別子とすることができる。証明書CertTDUを使い、POS 30は公開鍵KTDU-Pubを使用してSHA−X(Package_3)の署名を検証することができるものとしてよい。POS 30は、例えば、以下のメッセージで例示されているように、PID_POSを、PID_Uを持つTDU 34に送り返すことによって4でメッセージに応答することができる。
Package_4=PID_U||PID_POS||nonce3||nonce4
POS→TDU:PID_U||PID_POS||nonce4||CertPOS||[SHA−X(Package_4)]KPOS-Priv
式5
POS→TDU:PID_U||PID_POS||nonce4||CertPOS||[SHA−X(Package_4)]KPOS-Priv
式5
TDU 34は、SHA−X(Package_4)の署名を証明書CertPOSから得られたKPOS_Pubで検証することができる。TDU 34とPOS 30との間の通信は、無線で、またはインターネット経路で実行することができる。
6で、TDU 34は登録要求をTDRO 38に送信することができる。PID_UおよびPID_POSをメッセージの一部として送信し、これによりTDRO 38が適切なプロセスの関連付けを行うことが可能になる。ユーザー識別IDUをメッセージに入れることができ、TDRO 38はこれを登録を試みようとしている特定のユーザーのサービスプロファイルに対するチェックとして使用することができる。この特徴により、同じドメインに関する複数のユーザー登録の自由度が高まる。
Package_5:Registration Trigger||PID_U||PID_POS||IDU||nonce4||nonceTDU1
TDU→TDRO:Package_5||CertPOS||CertTDU||[Package_5]KTDU-Priv
式6
TDRO 38は、証明書CertTDUから得られた公開鍵KTDU-Pubを使用してTDU 34の署名を検証することができるものとしてよい。
TDU→TDRO:Package_5||CertPOS||CertTDU||[Package_5]KTDU-Priv
式6
TDRO 38は、証明書CertTDUから得られた公開鍵KTDU-Pubを使用してTDU 34の署名を検証することができるものとしてよい。
7で、TDRO 38はチケット要求を以下のメッセージでPOS 30に行うことができる。POS 30は、これがメッセージ5でTDU 34に送信し、メッセージ6でTDRO 38に受け渡されたnonce4を予想することができる。nonce4を含むPackage_6は、秘密鍵KTSIM-Privを使用して署名されうる。POS 30は、プロセスID PID_Uを使用して4で送信された登録データにこの要求を関連付けることができるものとしてよい。
Package_6=Ticket_request||PID_U||nonce5
TDRO→POS:Package_6||CertTSIM||[SHA−X(Package_6||nonce4)]KTSIM-Priv
式7
POS 30は、証明書CertTSIMを介して取得できる公開鍵KTSIM-Pubを使用してこのメッセージ内の署名を検証することができる。POS 30は、Package_6(平文で送信される)とnonce4を使用してSHA−Xを再作成することができる。
TDRO→POS:Package_6||CertTSIM||[SHA−X(Package_6||nonce4)]KTSIM-Priv
式7
POS 30は、証明書CertTSIMを介して取得できる公開鍵KTSIM-Pubを使用してこのメッセージ内の署名を検証することができる。POS 30は、Package_6(平文で送信される)とnonce4を使用してSHA−Xを再作成することができる。
8で、登録要求(チケット要求)がPOS 30によって受信された後、これは、RO 40から早いうちに受信されたセットからチケットをフェッチすることができる。POS 30は、このチケットをTDRO 38に、例えば、THSMを介して送信することができる。公開鍵KTSIM-Pubを使用して、ticketkを暗号化するとともに、そのチケットを受信側にバインドすることができる。
Package_7=ticketk||PID_POS||nonce5||nonce6
POS→TDRO:{ticketk}KTSIM-Pub||nonce6||[SHA−X(Package_7)]KPOS-Priv
(kは、ROに関連付けられているチケットセットからの固定値である)
式8
TDRO 38は、ticketkをその秘密鍵KTSIM-Privで復号(アンバインド)し、Package_7の署名をメッセージ6においてCertPOSを介して得られたKPOS-Pubで検証することができる。このプロセスは、認証を行い、チケットの完全性を検証するために使用されうる。TDRO 38は、PID_POSを使用して正しいプロセス関連付けを行うことができる。ノンスnonce5は、TDRO 38に返送することができる。
POS→TDRO:{ticketk}KTSIM-Pub||nonce6||[SHA−X(Package_7)]KPOS-Priv
(kは、ROに関連付けられているチケットセットからの固定値である)
式8
TDRO 38は、ticketkをその秘密鍵KTSIM-Privで復号(アンバインド)し、Package_7の署名をメッセージ6においてCertPOSを介して得られたKPOS-Pubで検証することができる。このプロセスは、認証を行い、チケットの完全性を検証するために使用されうる。TDRO 38は、PID_POSを使用して正しいプロセス関連付けを行うことができる。ノンスnonce5は、TDRO 38に返送することができる。
9で、TDRO 38に送信されるチケットに加えて、POS 30は、REGDATAUを含み、ticketkでユーザーを識別することができる登録メッセージもRO 40に送信することができる。RO 40にプロセス関連付けに必要と思われる情報を供給するために、PID_POSおよびPID_Uを送信することができる。これにより、RO 40は、受信されたプロセスIDをこの登録のために作成されたIDに関連付けることが可能になるものとしてよい。このメッセージは、要求されうる資格証明を指定されたユーザーに提供するためにRO 40が必要とする可能性のある情報を含むことができる。
Package_8=||REGDATAU||nonce7||PID_POS||PID_U
POS→RO:
{ticketk}KRO-Pub||Package_8||[SHA−X(Package_8||ticketk||nonce1)]KPOS-Priv
式9
チケットは、メッセージ2中のCertROでPOS 30によって取得されたKRO-Pubを使用して暗号化されうる。RO 40は、ticketkを、その秘密鍵KRO-Privを使用して復号し、公開鍵KPOS-Pubを使用してPackage_8の署名を検証することができるものとしてよい。公開鍵KRO_Pubは、チケットをRO 40にバインドする効果を有することができる。
POS→RO:
{ticketk}KRO-Pub||Package_8||[SHA−X(Package_8||ticketk||nonce1)]KPOS-Priv
式9
チケットは、メッセージ2中のCertROでPOS 30によって取得されたKRO-Pubを使用して暗号化されうる。RO 40は、ticketkを、その秘密鍵KRO-Privを使用して復号し、公開鍵KPOS-Pubを使用してPackage_8の署名を検証することができるものとしてよい。公開鍵KRO_Pubは、チケットをRO 40にバインドする効果を有することができる。
10で、R40は、チケットを含む、登録情報を受信したことについて確認応答を行うことができる。例えば、RO 40は、以下のメッセージをTDU 34に送信することができる。
Package_9=ACK(Reg Data Received)||PID_U||PID_RO||nonce8
RO→TDU:Package_9||CertRO||[SHA−X(Package_9)]KRO-Priv
式10
RO→TDU:Package_9||CertRO||[SHA−X(Package_9)]KRO-Priv
式10
TDU 34は、9でメッセージを受信した後、RO 40によって生成される、PID_UおよびPID_ROを受信してRO 40によりプロセス識別を維持することができる。TDU 34は、Package_9ハッシュの署名の有効性を証明書CertROで受信された公開鍵KRO-Pubにより確認することができる。
11で、式10に関連付けられているメッセージを受信した後、TDU 34は、ユーザー32に対して、資格証明を要求する許可を付与する画面メッセージをユーザー32に発行することができる。
Package_10=can request credential rollout||nonce9||PID_U||IDU
TDU→User/Owner:Package_10||[SHA−X(Package_10||nonceU)]Ktemp_I
式11
TDU→User/Owner:Package_10||[SHA−X(Package_10||nonceU)]Ktemp_I
式11
このメッセージは、メッセージ3で使用される署名および検証プロセスと似ているが、反対方向である、ME側の同じ鍵を使用して検証されるTSHM側に適用されうる署名鍵Ktemp_Iの使用を示している。nonceUは、TDU 34によってMEに返送され、往復するものとしてよい。IDUは、ユーザー32を識別するためにMEおよびTDU 34によって使用され、PID_Uと併せて、プロセスの曖昧さを回避することができる現在の登録および資格証明ロールアウトに関連付けられうる。
ユーザーは、資格証明ロールアウトを開始することができ、例えば、ユーザーは、加入者関連の資格証明を取得する申請をリモート所有者に出すことができる。12で、ユーザー32は、11で送られたメッセージに対して資格証明の要求で応答することができる。パスワードは、共有暗号鍵Ktemp_Cを使用することで保護されるものとしてよい。nonce9は、TDU 34に返送することができる。
Package_11=Request credential roll−out||nonce10||PID_U||IDU
User/Owner→TDU:Package_11||{PasswordU}Ktemp_C||[SHA−X(Package_11||PasswordU||nonce9)]Ktemp_I
式12
TDU 34はパスワードを復号し、共有鍵セットを使用して署名を検証することができるものとしてよい。11で送られるメッセージは、PID_UとIDUの組み合わせを使用することを例示している。ノンスとPIDは、ユーザー/所有者に対して透過的であり、人間以外の通信エンティティによる使用に限定されうる。
User/Owner→TDU:Package_11||{PasswordU}Ktemp_C||[SHA−X(Package_11||PasswordU||nonce9)]Ktemp_I
式12
TDU 34はパスワードを復号し、共有鍵セットを使用して署名を検証することができるものとしてよい。11で送られるメッセージは、PID_UとIDUの組み合わせを使用することを例示している。ノンスとPIDは、ユーザー/所有者に対して透過的であり、人間以外の通信エンティティによる使用に限定されうる。
13で、TDU 34は、資格証明のユーザー要求をTDRO 40に送ることができ、これは、直接要求をRO 40に行うきっかけとなりうる。PID_ROおよびPID_Uは、通信エンティティとのプロセス関連付けを可能にすることができる。TDRO 40は、そこで、3つのプロセスIDの関連付けを行うことができる。
Package_12:Request Credential Roll−Out(TSIM)||nonceTDU2||PID_U||PID_RO
TDU→TDRO:Package_12||CertRO||[SHA−X(Package_12)]KTDU-Priv
式13
メッセージ検証は、6で送られたメッセージ内に受信されたCertTDUで受信されたKTDU-Pubを使用して行える。
TDU→TDRO:Package_12||CertRO||[SHA−X(Package_12)]KTDU-Priv
式13
メッセージ検証は、6で送られたメッセージ内に受信されたCertTDUで受信されたKTDU-Pubを使用して行える。
14で、TDROは、半自律完全性検証の要求をSDM 36に出すことができる。半自律完全性検証は、鍵完全性指標(例えば、TPIA、TPES、およびSCARD)のハッシュ値の使用に制限されうる。
Package_13=Request Semi−Autonomous Integrity Verification||PID_U||nonceTDRO
TDRO→SDM:Package_13||CertTSIM||[SHA−X(Package_13)]KTDRO-Priv
式14
証明書CertTSIMを送信して、SDM 36がPackage_13ハッシュの署名検証のために公開鍵KTDRO-Pubを取得することができるようにする。プロセスIDの関連付けは、PID_Uの使用により維持されうる。SDM 36には、せいぜいPID_Uがあればよいが、それはSDM 36が外部のエンティティ、例えば、THSMの外のエンティティと通信することができないからである。
TDRO→SDM:Package_13||CertTSIM||[SHA−X(Package_13)]KTDRO-Priv
式14
証明書CertTSIMを送信して、SDM 36がPackage_13ハッシュの署名検証のために公開鍵KTDRO-Pubを取得することができるようにする。プロセスIDの関連付けは、PID_Uの使用により維持されうる。SDM 36には、せいぜいPID_Uがあればよいが、それはSDM 36が外部のエンティティ、例えば、THSMの外のエンティティと通信することができないからである。
15で、SDM 36は、例えば、RTOプロセスの以降に発生している可能性のある構成の変更に関して更新されたアテステーション情報を収集することができる。TPIA、TPES、およびSCARDは、必要に応じて更新され、完全性データは、単一の値IV(完全性検証値)にハッシュされうる。PID_UおよびIVを返送メッセージでTDRO 34に送信することができる。ノンスnonceTDROを返送することができる。
Package_14=IV||PID_U||nonceSDM
SDM→TDRO:Package_14||CertSDM||[SHA−X(Package_14||nonceTDRO)]KSDM-Priv
式15
証明書CertSDMで取得された公開鍵KSDM-Pubを使用して署名を検証することができる。
SDM→TDRO:Package_14||CertSDM||[SHA−X(Package_14||nonceTDRO)]KSDM-Priv
式15
証明書CertSDMで取得された公開鍵KSDM-Pubを使用して署名を検証することができる。
16で、TDRO 38は、資格証明ロールアウトの要求をRO 40に行うことができる。16で送信されたメッセージにおいて、識別子IMSIkを、13においてメッセージ内の証明書CertROでTDRO 40によって受信されたRO 40の公開鍵KRO-Pubで暗号化して送信することができる。完全性値IVを、信頼検証を目的として送信することができ、プロセスID PUD_Uを送信して、9でメッセージ内の情報とのプロセス関連付けを可能にすることができる。
Package_15=Credential Roll−Out Request||IDU||IV||PID_U||nonce11
TDRO→RO:
{IMSIk}KRO-Pub||Package_15||CertTDRO||[SHA−X(Package_15||IMSIk)]KTDRO-Priv
式16
RO 40は、秘密鍵KRO-Privを使用してIMSIkを復号し、証明書CertTDROにおいてRO 40によって取得された公開鍵KTDRO-Pubを使用して署名を検証することができる。
TDRO→RO:
{IMSIk}KRO-Pub||Package_15||CertTDRO||[SHA−X(Package_15||IMSIk)]KTDRO-Priv
式16
RO 40は、秘密鍵KRO-Privを使用してIMSIkを復号し、証明書CertTDROにおいてRO 40によって取得された公開鍵KTDRO-Pubを使用して署名を検証することができる。
17で、RO 40が資格証明をTDRO 38に送信することができる。16でCertTDROから取得された公開鍵KTDRO-Pubを使用して、資格証明を暗号化することができる。これは、資格証明をTDRO 38にバインドすることができる。TDRO 38は、秘密鍵KTDRO-Privを使用して資格証明をアンバインドすることができる。ノンスnonce11は、往復を行うことができる。
Package_16=PID_RO||nonce12
RO→TDRO:
{CredTSIM}KTDRO-Pub||Package_16||[SHA−X(Package_16||nonce11||CredTSIM)]KRO-Priv
式17
TDRO 38は、13で関連する証明書で受信された公開鍵KRO-Pubを使用して署名を検証することができる。プロセスID PID_ROにより、正しいプロセス関連付けを行うことができる。
RO→TDRO:
{CredTSIM}KTDRO-Pub||Package_16||[SHA−X(Package_16||nonce11||CredTSIM)]KRO-Priv
式17
TDRO 38は、13で関連する証明書で受信された公開鍵KRO-Pubを使用して署名を検証することができる。プロセスID PID_ROにより、正しいプロセス関連付けを行うことができる。
資格証明鍵は、保護されたメモリ内に格納されうるか、またはSDM 36において与えられるセキュリティポリシーに従って、例えば、17において指示されているような資格証明を受信した後に格納されうる。ポリシーは、RTOプロセスの実行時に定義されている場合がある。18で、ロールアウトが完了した後、確認応答メッセージをRO 40に送信することができる。
Package_17=ACK roll−out complete||PID_U||nonce13
TDRO→RO:Package_17||[SHA−X(Package_17||nonce12)]KTDRO-Priv
式18
ノンスnonce12を返送し、PID_Uでプロセスの曖昧さを回避することができる。RO 40は、16で取得された公開鍵KTDRO-Pubで署名を検証することができるものとしてよい。
TDRO→RO:Package_17||[SHA−X(Package_17||nonce12)]KTDRO-Priv
式18
ノンスnonce12を返送し、PID_Uでプロセスの曖昧さを回避することができる。RO 40は、16で取得された公開鍵KTDRO-Pubで署名を検証することができるものとしてよい。
19で、TDRO 38は、ロールアウト完了確認応答メッセージをTDU 34に送信することができる。ノンスnonceTDU2(13を参照)およびnonceTDU1(16を参照)を返送し、PID_Uでプロセスの曖昧さを回避することができる。
Package_18=Roll−out complete||PID_U
TDRO→TDU:Package_18||CertTDRO||[SHA−X(Package_18||nonceTDU1||nonceTDU2)]KTDRO-Priv
式19
TDU 34が証明書CertTDROで取得された公開鍵KTDRO-Pubを使用して署名を検証することができる。
TDRO→TDU:Package_18||CertTDRO||[SHA−X(Package_18||nonceTDU1||nonceTDU2)]KTDRO-Priv
式19
TDU 34が証明書CertTDROで取得された公開鍵KTDRO-Pubを使用して署名を検証することができる。
20で、TDU 34から、資格証明が受信されて構成されていることを指示する画面メッセージをユーザー32に提示することができる。これで、資格証明が、ユーザー32が許可される安全なサービスに利用可能になるものとしてよい。ノンスnonce10は、返送することができる(12を参照)。
Package_19=Credentials Installed||IDU||PID_U||nonce14
TDU→User/Owner:Package_19||[SHA−X(Package_19||nonce10)]Ktemp_I
式20
3、11、および12に関して説明されているように署名検証を実行できる。PID_UとIDUとの組み合わせの使用は、11に関して説明されているように達成されうる。
TDU→User/Owner:Package_19||[SHA−X(Package_19||nonce10)]Ktemp_I
式20
3、11、および12に関して説明されているように署名検証を実行できる。PID_UとIDUとの組み合わせの使用は、11に関して説明されているように達成されうる。
21で、ticketkが現在使用中であり、他の所へ配布すべきでないことを示すメッセージをPOS 30に送信することができる。
Package_20=Ticketk now in use||PID_POS||PID_RO||nonce15
RO→POS:Package_20||[SHA−X(Package_20)]KRO-Priv
式21
POS 30は、2で受信された証明書CertROで取得された公開鍵KRO-Pubを使用して署名を検証することができるものとしてよい。PID_ROにより、プロセスの関連付けを可能にすることができる。
RO→POS:Package_20||[SHA−X(Package_20)]KRO-Priv
式21
POS 30は、2で受信された証明書CertROで取得された公開鍵KRO-Pubを使用して署名を検証することができるものとしてよい。PID_ROにより、プロセスの関連付けを可能にすることができる。
図8に例示されている呼の流れに関して、3つのノンスが往路を進むことを示すことができる。つまり、これらは、最初に伝達した後のメッセージで返送することはできない。3つのこのようなノンスは、10におけるnonce8、15におけるnonceSDM、および21におけるnonce15である。呼の流れの説明において示されていないけれども、これらのノンスのそれぞれについて、ノンスを含むACKが受信側によって対応する送信側に送信される(返送される)と仮定してよい。したがって、例えば、nonce8は、10でメッセージを受信した後に、TDU 34によるACKメッセージを介してRO 40に返送されうる。
1、2、9、および21に関係するメッセージは、帯域外として指定されうる。
図9は、1つまたは複数の開示されている実施形態が実装されうる例示的な通信システム900の図である。通信システム900は、音声、データ、動画像、メッセージング、放送などのコンテンツを複数のワイヤレスユーザーに提供する多元接続システムであるものとしてよい。通信システム900は、ワイヤレス帯域を含む、システムリソースの共有を通じて複数のワイヤレスユーザーがそのようなコンテンツにアクセスすることを可能にするものとしてよい。例えば、通信システム900は、符号分割多元接続(CDMA)、時分割多元接続(TDMA)、周波数分割多元接続(FDMA)、直交FDMA(OFDMA)、シングルキャリアFDMA(SC−FDMA)、および同様のものなどの1つまたは複数のチャネルアクセス方法を使用することができる。
図9に示されているように、通信システム900は、ワイヤレス送信/受信ユニット(WTRU)902a、902b、902c、902d、無線アクセスネットワーク(RAN)904、コアネットワーク906、公衆交換電話網(PSTN)908、インターネット910、および他のネットワーク912を含むものとしてよいが、開示されている実施形態では、任意の数のWTRU、基地局、ネットワーク、および/または、限定することなく中継ノード、ゲートウェイ、フェムトセル基地局、セットトップボックスなどを含むネットワーク要素を企図していることは理解されるであろう。WTRU 902a、902b、902c、902dのそれぞれは、ワイヤレス環境において動作し、および/または通信するように構成された任意の種類のデバイスとすることができる。例えば、WTRU 902a、902b、902c、902dはワイヤレス信号を送信し、および/または受信するように構成することができ、ユーザー装置(UE)、移動局、固定または移動加入者ユニット、ポケベル、携帯電話、携帯情報端末(PDA)、スマートフォン、ラップトップ、ノートブック、タブレット、パーソナルコンピュータ、ワイヤレスセンサー、家庭用電化製品、および同様のものを含みうる。
通信システム900は、基地局914aおよび基地局914bを備えることもできる。基地局914a、914bのそれぞれは、コアネットワーク906、インターネット910、および/またはネットワーク912などの、1つまたは複数の通信ネットワークへのアクセスが円滑に行われるようにWTRU 902a、902b、902c、902dのうちの少なくとも1つのWTRUとワイヤレス方式でインターフェースする構成をとる任意の種類のデバイスとすることができる。例えば、基地局914a、914bは、トランシーバ基地局(BTS)、ノードB、eNodeB、ホームノードB、ホームeNodeB、サイトコントローラ、アクセスポイント(AP)、ワイヤレスルーター、ワイヤレス対応セットトップボックス、ワイヤレス対応ホームゲートウェイ、中継ノード、および同様のものとすることができる。基地局914a、914bは、それぞれ、単一要素として示されているが、基地局914a、914bは任意の数の相互接続された基地局および/またはネットワーク要素を備えることができることは理解されるであろう。
基地局914aは、基地局制御装置(BSC)、無線ネットワークコントローラ(RNC)、中継ノードなどの、他の基地局および/またはネットワーク要素(図示せず)も備えることができる、RAN 904の一部であってもよい。基地局914aおよび/または基地局914bは、セル(図示せず)とも称することができる、特定の地理的領域内でワイヤレス信号を送信し、および/または受信するように構成されうる。セルは、いくつかのセルセクターにさらに分割することができる。例えば、基地局914aに関連付けられているセルは、3つのセクターに分割することができる。そこで、一実施形態において、基地局914aは、3つのトランシーバ、つまり、セルのセクター毎にトランシーバを1つずつ備えることができる。別の実施形態において、基地局914aは、マルチ入力マルチ出力(MIMO)技術を使用することができ、したがって、セルのそれぞれのセクターに対して複数のトランシーバを使用することができる。
基地局914a、914bは、WTRU 902a、902b、902c、902dのうちの1つまたは複数と、任意の好適なワイヤレス通信リンク(例えば、無線周波数(RF)、マイクロ波、赤外線(IR)、紫外線(UV)、可視光などの)であってよい、エアーインターフェース916を介して通信することができる。エアーインターフェース916は、任意の好適な無線アクセス技術(RAT)を使用して設置することができる。
より具体的には、上記のように、通信システム900は多元接続システムとすることができ、CDMA、TDMA、FDMA、OFDMA、SC−FDMA、および同様のものなどの、1つまたは複数のチャネルアクセス方式を使用することができる。例えば、RAN 904内の基地局914a、およびWTRU 902a、902b、902cでは、広帯域CDMA(WCDMA)を使用してエアーインターフェース916を設置することができる、ユニバーサルモバイル通信システム(UMTS)地上波無線アクセス(UTRA)などの無線技術を実装することができる。WCDMAは、高速パケットアクセス(HSPA)および/または発展型HSPA(HSPA+)などの通信プロトコルを備えることができる。HSPAは、高速ダウンリンクパケットアクセス(HSDPA)および/または高速アップリンクパケットアクセス(HSUPA)を備えることができる。
別の実施形態において、基地局914aおよびWTRU 902a、902b、902cは、ロングタームエボリューション(LTE)および/またはLTE−Advanced(LTE−A)を使用してエアーインターフェース916を設置することができる、発展型UMTS地上波無線アクセス(E−UTRA)などの無線技術を実装することができる。
他の実施形態において、基地局914aおよびWTRU 902a、902b、902cは、IEEE 802.16(つまり、WiMAX(Worldwide Interoperability for Microwave Access))、CDMA2000、CDMA2000 IX、CDMA2000 EV−DO、IS−2000(Interim Standard 2000)、IS−95(Interim Standard 95)、IS−856(Interim Standard 856)、GSM(Global System for Mobile communications)、EDGE(Enhanced Data rates for GSM Evolution)、GSM EDGE(GERAN)、および同様のものなどの無線技術を実装することができる。
図9の基地局914bは、例えば、ワイヤレスルーター、ホームノードB、ホームeNodeB、またはアクセスポイントとすることができ、事業所、家庭、自動車、キャンパス、および同様のものなどの、局在化されたエリア内でワイヤレス接続を円滑に行えるようにするために好適なRATを利用することができる。一実施形態において、基地局914bおよびWTRU 902c、902dは、ワイヤレスローカルエリアネットワーク(WLAN)を設置するためにIEEE802.11などの無線技術を実装することができる。別の実施形態では、基地局914bおよびWTRU 902c、902dは、ワイヤレスパーソナルエリアネットワーク(WPAN)を設置するためにIEEE802.15などの無線技術を実装することができる。さらに別の実施形態において、基地局914bおよびWTRU 902c、902dは、ピコセルまたはフェムトセルを設置するためにセルラーベースのRAT(例えば、WCDMA、CDMA2000、GSM、LTE、LTE−Aなど)を利用することができる。図9に示されているように、基地局914bは、インターネット910との直接接続を有することができる。そうすると、基地局914bは、コアネットワーク906を介してインターネット910にアクセスする必要がなくなる。
RAN 904は、コアネットワーク906と通信しているものとしてよく、このコアネットワーク106は、音声、データ、アプリケーション、および/またはボイスオーバーインターネットプロトコル(VoIP)サービスをWTRU 902a、902b、902c、902dのうちの1つまたは複数のWTRUに提供するように構成された任意の種類のネットワークであってよい。例えば、コアネットワーク906は、呼制御、課金サービス、モバイル位置情報サービス、前払い制通話、インターネット接続性、映像配信などを提供し、および/またはユーザー認証などの高水準のセキュリティ機能を備えることができる。図9には示されていないけれども、RAN 904および/またはコアネットワーク906は、RAN904と同じRAT、または異なるRATを使用する他のRANと直接的な、または間接的な通信を行うことができることは理解されるであろう。例えば、E−UTRA無線技術を使用している可能性のある、RAN 904に接続されることに加えて、コアネットワーク906は、GSM無線技術を採用する別のRAN(図示せず)と通信していることもある。
コアネットワーク906は、WTRU 902a、902b、902c、902dがPSTN 908、インターネット910、および/または他のネットワーク912にアクセスするためのゲートウェイとしても機能しうる。PSTN 908は、アナログ音声通話のみ可能な旧来の電話サービス(POTS)を提供する回線交換電話網を含むものとしてよい。インターネット910は、TCP/IPインターネットプロトコル群に含まれる伝送制御プロトコル(TCP)、ユーザーデータグラムプロトコル(UDP)、およびインターネットプロトコル(IP)などの、共通通信プロトコルを使用する相互接続されたコンピュータネットワークおよびデバイスの地球規模のシステムインを含むことができる。ネットワーク912は、他のサービスプロバイダによって所有され、および/または運営される有線もしくはワイヤレス通信ネットワークを含むことができる。例えば、ネットワーク912は、RAN 904と同じRAT、または異なるRATを使用することができる、1つまたは複数のRANに接続された別のコアネットワークを含むことができる。
通信システム900内のWTRU 902a、902b、902c、902dのうちのいくつか、またはすべてがマルチモード機能を備える、つまり、WTRU 902a、902b、902c、902dは、異なるワイヤレスリンク上で異なるワイヤレスネットワークと通信するための複数のトランシーバを備えることができる。例えば、図9に示されているWTRU 902cは、セルラーベースの無線技術を使用している可能性のある、基地局914aと、またIEEE802無線技術を使用している可能性のある、基地局914bと通信するように構成することができる。
Claims (20)
- 少なくとも1つのプラットフォームによってサポートされる複数のドメインを備える第1のデバイスを具備し、前記複数のドメインのうちのそれぞれのドメインは、前記少なくとも1つのプラットフォーム上で実行されるコンピューティングリソースの一構成を備え、前記複数のドメインのうちのそれぞれのドメインは、前記ドメインの所有者であって、ローカルに又は前記第1のデバイスからリモートに配置されうる前記ドメインの所有者に対する機能を実行するように構成されるシステムであって、前記複数のドメインのうちのそれぞれのドメインは、異なる所有者を有することができ、前記複数のドメインのうちの少なくとも1つのドメインは、前記第1のデバイスのユーザーによって所有され、前記複数のドメインのうちの少なくとも1つの他のドメインは、リモート所有者のデバイスを介して前記第1のデバイスと通信するリモート所有者によって所有されるシステムにおける方法であって、
前記第1のデバイスが、前記第1のデバイスの前記リモート所有者ドメインを通じて前記リモート所有者によって提供される加入方式のサービスの加入ユーザーとして前記ユーザーを前記リモート所有者のデバイスに登録するステップと、
前記第1のデバイスの前記リモート所有者ドメインが、前記ユーザーが前記加入方式のサービスを前記加入ユーザーとして利用することを可能にする資格証明を前記リモート所有者のデバイスから取得するステップと、
前記資格証明を前記第1のデバイスの前記リモート所有者ドメインに格納するステップと、
前記第1のデバイスの前記ユーザードメインが、前記資格証明が前記リモート所有者ドメインによって受信されたという確認応答を前記リモート所有者ドメインから受信するステップと
を含むことを特徴とする方法。 - 前記ユーザーを前記リモート所有者のデバイスに登録するステップは、
前記ユーザーに代わって前記ユーザードメインが、登録の要求を開始するステップと、
登録の前記要求に応答して前記リモート所有者ドメインが、前記ユーザーへの前記加入方式のサービスの販売を円滑にする第三者のデバイスに、前記ユーザーを前記リモート所有者に対して前記加入方式のサービスの前記加入ユーザーとして識別するために使用される識別子を要求するステップと、
前記リモート所有者ドメインが、前記第三者のデバイスから前記識別子を受信するステップと、
前記ユーザードメインが、登録の前記要求が受信されたという確認応答を前記リモート所有者のデバイスから受信するステップとを含むことを特徴とする請求項1に記載の方法。 - 前記ユーザーを前記リモート所有者のデバイスに登録するステップは、
前記ユーザードメインが、登録の前記要求に関連付けられている第1のプロセス識別子または前記ユーザーに関係する個人情報のうちの少なくとも一方を送信するステップと、
前記ユーザードメインが、前記第三者のデバイスから、登録の前記要求に関連付けられている第2のプロセス識別子を受信するステップとをさらに含むことを特徴とする請求項2に記載の方法。 - 前記識別子は、前記加入方式のサービスのユーザーを登録する際に使用するために前記第三者のデバイスに前記リモート所有者のデバイスによって発行される識別子のグループに属する1つの識別子であることを特徴とする請求項2に記載の方法。
- 前記リモート所有者のデバイスから資格証明を取得するステップは、
前記ユーザードメインが、資格証明ロールアウト要求を前記リモート所有者ドメインに送信するステップであって、前記資格証明ロールアウト要求は前記ユーザーまたは前記ユーザーへの前記加入方式のサービスの販売を円滑にする第三者の少なくとも一方を前記リモート所有者ドメインに対して識別する情報を含む、ステップと、
前記リモート所有者ドメインが、前記資格証明ロールアウト要求を前記リモート所有者のデバイスに回送するステップと、
前記リモート所有者ドメインが、前記リモート所有者のデバイスから前記資格証明を受信するステップと
を含むことを特徴とする請求項1に記載の方法。 - 前記リモート所有者ドメインが、前記複数のドメインのコンポーネントによる前記少なくとも1つのプラットフォームの半自律完全性検証を要求するステップと、
前記リモート所有者ドメインが、前記少なくとも1つのプラットフォームから完全性検証情報を受信するステップとをさらに含むことを特徴とする請求項5に記載の方法。 - 前記完全性検証情報により、前記リモート所有者のデバイスが前記第1のデバイスの前記複数のドメインのうちの少なくとも1つのドメインが信頼に足るかどうかを評価することができることを特徴とする請求項6に記載の方法。
- 前記第1のデバイスが、前記ユーザーを前記ユーザードメインに登録するステップをさらに含むことを特徴とする請求項1に記載の方法。
- 前記ユーザーを前記ユーザードメインに登録するステップは、前記第1のデバイスの前記ユーザードメインが、前記ユーザードメインに対して前記ユーザーを識別する情報を前記ユーザーから受信するステップを含むことを特徴とする請求項8に記載の方法。
- 前記資格証明により、前記ユーザーは前記加入方式のサービスを利用するたび毎に認証を受けることが可能になることを特徴とする請求項1に記載の方法。
- 少なくとも1つのプラットフォームによってサポートされる複数のドメインを備える第1のデバイスを具備し、前記複数のドメインのうちのそれぞれのドメインは、前記少なくとも1つのプラットフォーム上で実行されるコンピューティングリソースの一構成を備え、前記複数のドメインのうちのそれぞれのドメインは、前記ドメインの所有者であって、ローカルに又は前記第1のデバイスからリモートに配置されうる前記ドメインの所有者に対する機能を実行するように構成されるシステムであって、それぞれのドメインは、異なる所有者を有することができ、前記複数のドメインのうちの少なくとも1つのドメインは、前記第1のデバイスのユーザーによって所有され、前記複数のドメインのうちの少なくとも1つの他のドメインは、リモート所有者のデバイスを介して前記第1のデバイスと通信するリモート所有者によって所有され、前記第1のデバイスは、
前記第1のデバイスの前記リモート所有者ドメインを通じて前記リモート所有者によって提供される加入方式のサービスの加入ユーザーとして前記ユーザーを前記リモート所有者のデバイスに登録し、
前記ユーザーが前記加入方式のサービスを前記加入ユーザーとして利用することを可能にする資格証明を前記リモート所有者のデバイスから取得し、
前記資格証明を前記リモート所有者ドメインに格納し、
前記ユーザードメインにより、前記資格証明が前記リモート所有者ドメインによって受信されたという確認応答を前記リモート所有者ドメインから受信するようにさらに構成されることを特徴とするシステム。 - 前記ユーザーを前記リモート所有者のデバイスに登録するために、前記第1のデバイスは、
前記ユーザーに代わって前記ユーザードメインが、登録の要求を開始し、
登録の前記要求に応答して前記リモート所有者ドメインが、前記ユーザーへの前記加入方式のサービスの販売を円滑にする第三者のデバイスに、前記ユーザーを前記リモート所有者に対して前記加入方式のサービスの前記加入ユーザーとして識別するために使用される識別子を要求し、
前記リモート所有者ドメインが、前記第三者のデバイスから前記識別子を受信し、
前記ユーザードメインが、登録の前記要求が受信されたという確認応答を前記リモート所有者のデバイスから受信するようにさらに構成されることを特徴とする請求項11に記載のシステム。 - 前記ユーザーを前記リモート所有者のデバイスに登録するために、前記第1のデバイスは、
前記ユーザードメインが、登録の前記要求に関連付けられている第1のプロセス識別子または前記ユーザーに関係する個人情報のうちの少なくとも一方を送信し、
前記ユーザードメインが、前記第三者のデバイスから、登録の前記要求に関連付けられている第2のプロセス識別子を受信するようにさらに構成されることを特徴とする請求項12に記載のシステム。 - 前記識別子は、前記加入方式のサービスのユーザーを登録する際に使用するために前記第三者のデバイスに前記リモート所有者のデバイスによって発行される識別子のグループに属する1つの識別子であることを特徴とする請求項12に記載のシステム。
- 資格証明を前記リモート所有者のデバイスから取得するために、前記第1のデバイスは、
前記ユーザードメインが、資格証明ロールアウト要求を前記リモート所有者ドメインに送信し、前記資格証明ロールアウト要求は前記ユーザーまたは前記ユーザーへの前記加入方式のサービスの販売を円滑にする第三者の少なくとも一方を前記リモート所有者ドメインに対して識別する情報を含み、
前記リモート所有者ドメインが、前記資格証明ロールアウト要求を前記リモート所有者のデバイスに回送し、
前記リモート所有者ドメインが、前記リモート所有者のデバイスから前記資格証明を受信することを特徴とする請求項11に記載のシステム。 - 前記第1のデバイスは、
前記リモート所有者ドメインが、前記1つまたは複数のドメインのコンポーネントによる前記少なくとも1つのプラットフォームの半自律完全性検証を要求し、
前記リモート所有者ドメインが、前記少なくとも1つのプラットフォームから完全性検証情報を受信するようにさらに構成されることを特徴とする請求項15に記載のシステム。 - 前記完全性検証情報により、前記リモート所有者のデバイスが前記第1のデバイスの前記複数のドメインのうちの少なくとも1つのドメインが信頼に足るかどうかを評価することができることを特徴とする請求項16に記載のシステム。
- 前記第1のデバイスは、前記ユーザーを前記ユーザードメインに登録するようにさらに構成されることを特徴とする請求項11に記載のシステム。
- 前記ユーザーを前記ユーザードメインに登録するために、前記第1のデバイスのうちの前記少なくとも1つのデバイスは、前記ユーザードメインが、前記第1のデバイスの前記ユーザードメインに対して前記ユーザーを識別する情報を前記ユーザーから受信するようにさらに構成されることを特徴とする請求項18に記載のシステム。
- 前記資格証明により、前記ユーザーは前記加入方式のサービスを利用するたび毎に認証を受けることが可能になることを特徴とする請求項11に記載のシステム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US25192009P | 2009-10-15 | 2009-10-15 | |
| US61/251,920 | 2009-10-15 | ||
| PCT/US2010/052865 WO2011047276A2 (en) | 2009-10-15 | 2010-10-15 | Registration and credential roll-out for accessing a subscription-based service |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014131470A Division JP5883077B2 (ja) | 2009-10-15 | 2014-06-26 | 加入方式のサービスにアクセスするための登録および資格証明ロールアウト |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013508821A JP2013508821A (ja) | 2013-03-07 |
| JP5571796B2 true JP5571796B2 (ja) | 2014-08-13 |
Family
ID=43707793
Family Applications (4)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012534398A Expired - Fee Related JP5571796B2 (ja) | 2009-10-15 | 2010-10-15 | 加入方式のサービスにアクセスするための登録および資格証明ロールアウト |
| JP2014131470A Expired - Fee Related JP5883077B2 (ja) | 2009-10-15 | 2014-06-26 | 加入方式のサービスにアクセスするための登録および資格証明ロールアウト |
| JP2016020153A Active JP6130529B2 (ja) | 2009-10-15 | 2016-02-04 | 加入方式のサービスにアクセスするための登録および資格証明ロールアウト |
| JP2017080055A Pending JP2017162486A (ja) | 2009-10-15 | 2017-04-13 | 加入方式のサービスにアクセスするための登録および資格証明ロールアウト |
Family Applications After (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014131470A Expired - Fee Related JP5883077B2 (ja) | 2009-10-15 | 2014-06-26 | 加入方式のサービスにアクセスするための登録および資格証明ロールアウト |
| JP2016020153A Active JP6130529B2 (ja) | 2009-10-15 | 2016-02-04 | 加入方式のサービスにアクセスするための登録および資格証明ロールアウト |
| JP2017080055A Pending JP2017162486A (ja) | 2009-10-15 | 2017-04-13 | 加入方式のサービスにアクセスするための登録および資格証明ロールアウト |
Country Status (6)
| Country | Link |
|---|---|
| US (4) | US9203846B2 (ja) |
| EP (4) | EP3343866A1 (ja) |
| JP (4) | JP5571796B2 (ja) |
| KR (4) | KR101478415B1 (ja) |
| CN (2) | CN105306480A (ja) |
| WO (1) | WO2011047276A2 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20200076917A (ko) * | 2018-12-20 | 2020-06-30 | 전자부품연구원 | 무선 가스미터의 원격검침에서의 정보보안 방법 및 시스템 |
| US11306222B2 (en) * | 2018-05-21 | 2022-04-19 | Daikin Industries, Ltd. | Fluorocarbon, lubricant for use on ice and snow, and coating method |
Families Citing this family (54)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8479265B2 (en) | 2008-07-02 | 2013-07-02 | Oracle International Corporation | Usage based authorization |
| JP5660050B2 (ja) * | 2009-12-28 | 2015-01-28 | 日本電気株式会社 | ユーザ情報活用システム、装置、方法およびプログラム |
| US20110167479A1 (en) * | 2010-01-07 | 2011-07-07 | Oracle International Corporation | Enforcement of policies on context-based authorization |
| US20110166943A1 (en) * | 2010-01-07 | 2011-07-07 | Oracle International Corporation | Policy-based advertisement engine |
| US9509791B2 (en) * | 2010-01-07 | 2016-11-29 | Oracle International Corporation | Policy-based exposure of presence |
| US20110196728A1 (en) * | 2010-02-05 | 2011-08-11 | Oracle International Corporation | Service level communication advertisement business |
| US9495521B2 (en) * | 2010-02-05 | 2016-11-15 | Oracle International Corporation | System self integrity and health validation for policy enforcement |
| US9467858B2 (en) * | 2010-02-05 | 2016-10-11 | Oracle International Corporation | On device policy enforcement to secure open platform via network and open network |
| JP5763780B2 (ja) | 2010-12-06 | 2015-08-12 | インターデイジタル パテント ホールディングス インコーポレイテッド | ドメイン信頼評価機能およびドメインポリシー管理機能を有するスマートカード |
| US10271213B2 (en) * | 2011-05-06 | 2019-04-23 | Apple Inc. | Methods and apparatus for providing management capabilities for access control clients |
| EP3402235B1 (en) * | 2012-05-23 | 2024-03-06 | Samsung Electronics Co., Ltd. | Method for control and enforcement of policy rule and euicc |
| EP3014465B1 (en) * | 2013-06-28 | 2018-11-21 | Telefonaktiebolaget LM Ericsson (publ) | Identity management system |
| US9450840B2 (en) * | 2013-07-10 | 2016-09-20 | Cisco Technology, Inc. | Domain classification using domain co-occurrence information |
| US11349675B2 (en) * | 2013-10-18 | 2022-05-31 | Alcatel-Lucent Usa Inc. | Tamper-resistant and scalable mutual authentication for machine-to-machine devices |
| US10660002B2 (en) | 2013-11-19 | 2020-05-19 | At&T Intellectual Property I, L.P. | System and method for differentiated system continuity when changing networks |
| US9591485B2 (en) * | 2013-12-11 | 2017-03-07 | Rhapsody International Inc. | Provisioning subscriptions to user devices |
| US9292705B2 (en) * | 2014-02-21 | 2016-03-22 | Lens Ventures, Llc | Management of drone operations and security in a pervasive computing environment |
| BR112016026037B1 (pt) * | 2014-05-08 | 2023-04-04 | Huawei Technologies Co., Ltd | Dispositivo de aquisição de certificado |
| GB2526619A (en) * | 2014-05-30 | 2015-12-02 | Vodafone Ip Licensing Ltd | Service provisioning |
| US9413738B2 (en) | 2014-06-19 | 2016-08-09 | Microsoft Technology Licensing, Llc | Securing communications with enhanced media platforms |
| CN106031119B (zh) * | 2014-08-13 | 2019-06-21 | 华为技术有限公司 | 一种安全域管理方法、装置及系统 |
| EP3183679A4 (en) * | 2014-08-22 | 2018-03-07 | Nokia Technologies Oy | A security and trust framework for virtualized networks |
| US10992552B2 (en) * | 2015-04-23 | 2021-04-27 | Convida Wireless, Llc | Device and method for adding an M2M service |
| DE102015219648A1 (de) * | 2015-10-09 | 2017-04-13 | Novero Gmbh | Verfahren, Vorrichtung und Netzwerk zur Datenübertragung |
| US10178421B2 (en) | 2015-10-30 | 2019-01-08 | Rovi Guides, Inc. | Methods and systems for monitoring content subscription usage |
| US9813396B2 (en) | 2015-10-30 | 2017-11-07 | Rovi Guides, Inc. | Methods and systems for managing content subscription data |
| DE102015016750A1 (de) * | 2015-12-23 | 2017-06-29 | Giesecke & Devrient Gmbh | Validierung und Ausführung von Provisionierungsdaten auf Appliances |
| US10305885B2 (en) | 2016-03-03 | 2019-05-28 | Blackberry Limited | Accessing enterprise resources using provisioned certificates |
| US20190069162A1 (en) * | 2016-03-09 | 2019-02-28 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods providing service limitation and related communication devices and network nodes |
| US9942042B1 (en) * | 2016-03-18 | 2018-04-10 | EMC IP Holding Company LLC | Key containers for securely asserting user authentication |
| US10395013B2 (en) | 2016-05-11 | 2019-08-27 | Stmicroelectronics Sa | Method and device for enhancing the protection of a signal, in particular a multimedia signal, against a malicious attack |
| FR3052009B1 (fr) * | 2016-05-31 | 2018-06-01 | Stmicroelectronics Sa | Procede et dispositif d'amelioration de la protection d'un signal multimedia contre une attaque malveillante. |
| US9838991B1 (en) | 2016-08-15 | 2017-12-05 | At&T Intellectual Property I, L.P. | Method and apparatus for managing mobile subscriber identification information according to registration requests |
| US9814010B1 (en) * | 2016-09-14 | 2017-11-07 | At&T Intellectual Property I, L.P. | Method and apparatus for utilizing mobile subscriber identification information with multiple devices based on registration requests |
| US10506439B2 (en) * | 2016-09-16 | 2019-12-10 | Apple Inc. | Secure control of profile policy rules |
| JP6871374B2 (ja) * | 2016-10-31 | 2021-05-12 | ホアウェイ・テクノロジーズ・カンパニー・リミテッド | プロファイルダウンロードの方法およびデバイス |
| US10070303B2 (en) | 2016-11-11 | 2018-09-04 | At&T Intellectual Property I, L.P. | Method and apparatus for provisioning of multiple devices with mobile subscriber identification information |
| US10341842B2 (en) | 2016-12-01 | 2019-07-02 | At&T Intellectual Property I, L.P. | Method and apparatus for using temporary mobile subscriber identification information in a device to provide services for a limited time period |
| US10070407B2 (en) | 2016-12-01 | 2018-09-04 | At&T Intellectual Property I, L.P. | Method and apparatus for using active and inactive mobile subscriber identification information in a device to provide services for a limited time period |
| US10136305B2 (en) | 2016-12-01 | 2018-11-20 | At&T Intellectual Property I, L.P. | Method and apparatus for using mobile subscriber identification information for multiple device profiles for a device |
| US10231204B2 (en) | 2016-12-05 | 2019-03-12 | At&T Intellectual Property I, L.P. | Methods, systems, and devices for registering a communication device utilizing a virtual network |
| US10686598B2 (en) * | 2017-02-27 | 2020-06-16 | Cord3 Innovation Inc. | One-to-many symmetric cryptographic system and method |
| CN115038078A (zh) * | 2017-07-25 | 2022-09-09 | 瑞典爱立信有限公司 | 用于获得supi的认证服务器、ue及其方法和介质 |
| US11687654B2 (en) * | 2017-09-15 | 2023-06-27 | Intel Corporation | Providing isolation in virtualized systems using trust domains |
| JP6777663B2 (ja) * | 2018-02-22 | 2020-10-28 | 日本電信電話株式会社 | ポリシー競合検出システム及びポリシー競合検出方法 |
| WO2020010515A1 (en) * | 2018-07-10 | 2020-01-16 | Apple Inc. | Identity-based message integrity protection and verification for wireless communication |
| US11057766B2 (en) * | 2018-11-01 | 2021-07-06 | Nokia Technologies Oy | Security management in disaggregated base station in communication system |
| CN114128335A (zh) * | 2019-06-07 | 2022-03-01 | 康维达无线有限责任公司 | 为多用户移动终端进行服务递送相关申请的交叉引用 |
| US11552948B1 (en) * | 2020-03-26 | 2023-01-10 | Amazon Technologies, Inc. | Domain management intermediary service |
| JP7337763B2 (ja) * | 2020-09-11 | 2023-09-04 | 株式会社東芝 | 通信システム、通信方法およびプログラム |
| WO2022208238A1 (en) * | 2021-03-31 | 2022-10-06 | Jio Platforms Limited | System and method for secure and contactless fund transfer in open and closed loop transactions |
| KR102538652B1 (ko) * | 2021-12-30 | 2023-05-31 | (주)아톤 | 메타버스 환경에서의 전자서명 방법 및 장치 |
| CN114915427B (zh) * | 2022-06-06 | 2023-10-13 | 中国联合网络通信集团有限公司 | 访问控制方法、装置、设备及存储介质 |
| EP4429171A1 (de) * | 2023-03-09 | 2024-09-11 | Siemens Aktiengesellschaft | Identitäts- und zugriffsverwaltungssystem mit einer oem domàne und einer endkunden domàne |
Family Cites Families (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050103624A1 (en) * | 1999-10-04 | 2005-05-19 | Bhullar Raghbir S. | Biosensor and method of making |
| KR100430147B1 (ko) * | 2000-03-15 | 2004-05-03 | 인터내셔널 비지네스 머신즈 코포레이션 | 컴퓨터 액세스 제어 |
| EP1257106B1 (en) * | 2001-05-08 | 2005-03-23 | Telefonaktiebolaget LM Ericsson (publ) | Secure remote subscription module access |
| US7458991B2 (en) * | 2002-02-08 | 2008-12-02 | Howmedica Osteonics Corp. | Porous metallic scaffold for tissue ingrowth |
| GB2410658B (en) * | 2002-10-14 | 2006-03-01 | Toshiba Res Europ Ltd | Methods and systems for flexible delegation |
| DE10250944B9 (de) * | 2002-10-31 | 2004-09-16 | Cell Center Cologne Gmbh | Verwendung eines Stifts zur Applikation von Pflege- oder Wirkstoffen in die Nase |
| DE10255428A1 (de) * | 2002-11-28 | 2004-06-09 | Sigos Systemintegration Gmbh | Testsystem zur Prüfung von Übertragungsvorgängen innerhalb eines Mobilfunknetzes sowie Verfahren zur Authentisierung eines Mobiltelefons unter Verwendung eines derartigen Testsystems |
| JP2004355428A (ja) * | 2003-05-30 | 2004-12-16 | Hitachi Ltd | プロファイル情報自動切替システム |
| JP4064914B2 (ja) * | 2003-12-02 | 2008-03-19 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 情報処理装置、サーバ装置、情報処理装置のための方法、サーバ装置のための方法および装置実行可能なプログラム |
| US7467399B2 (en) * | 2004-03-31 | 2008-12-16 | International Business Machines Corporation | Context-sensitive confidentiality within federated environments |
| US7487911B2 (en) * | 2004-07-01 | 2009-02-10 | American Express Travel Related Services Company, Inc. | Exception notification system and method |
| US10140596B2 (en) * | 2004-07-16 | 2018-11-27 | Bryan S. M. Chua | Third party authentication of an electronic transaction |
| US20060293057A1 (en) * | 2005-06-24 | 2006-12-28 | Mazerski Thomas M | System and method for secure web-based mobile phone parental controls |
| US20070042754A1 (en) * | 2005-07-29 | 2007-02-22 | Bajikar Sundeep M | Security parameter provisioning in an open platform using 3G security infrastructure |
| US20070264981A1 (en) * | 2006-04-28 | 2007-11-15 | Douglas Miller | Restricted feature access for portable electronic devices |
| DE102006024041B4 (de) * | 2006-05-23 | 2016-04-07 | Giesecke & Devrient Gmbh | Verfahren zum Personalisieren eines Sicherheitsmoduls eines Telekommunikations-Endgerätes |
| EP2039050B1 (en) * | 2006-07-10 | 2019-02-20 | Telefonaktiebolaget LM Ericsson (publ) | Method and arrangement for authentication procedures in a communication network |
| FR2906960B1 (fr) * | 2006-10-05 | 2009-04-17 | Radiotelephone Sfr | Procede de mise a disposition cloisonnee d'un service electronique. |
| JP4280765B2 (ja) * | 2006-11-22 | 2009-06-17 | 株式会社エヌ・ティ・ティ・ドコモ | 移動体通信システム、管理装置、移動局、及び通信方法 |
| CN101197348B (zh) | 2006-12-05 | 2010-04-21 | 中芯国际集成电路制造(上海)有限公司 | 多用途多晶硅边缘测试结构 |
| US20080162490A1 (en) * | 2006-12-29 | 2008-07-03 | Becker Wolfgang A | Methods and systems for automatic registration during deployment of a tenant |
| US8064597B2 (en) * | 2007-04-20 | 2011-11-22 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and system for mobile device credentialing |
| US20110184804A1 (en) * | 2007-05-03 | 2011-07-28 | Vidoop, Llc | Method and apparatus for queuing user action prior to authentication |
| WO2008153874A1 (en) | 2007-06-05 | 2008-12-18 | Fgx International, Inc. | Double bridged tag |
| JP2009033354A (ja) | 2007-07-25 | 2009-02-12 | Panasonic Corp | 通信システム |
| DE102007044905A1 (de) * | 2007-09-19 | 2009-04-09 | InterDigital Patent Holdings, Inc., Wilmington | Verfahren und Vorrichtung zur Ermöglichung einer Dienstnutzung und Feststellung der Teilnehmeridentität in Kommunikationsnetzen mittels softwarebasierten Zugangsberechtigungsausweisen (vSIM) |
| US20090125996A1 (en) * | 2007-09-19 | 2009-05-14 | Interdigital Patent Holdings, Inc. | Virtual subscriber identity module |
| WO2009070430A2 (en) * | 2007-11-08 | 2009-06-04 | Suridx, Inc. | Apparatus and methods for providing scalable, dynamic, individualized credential services using mobile telephones |
| EP3346669A1 (en) * | 2008-01-18 | 2018-07-11 | Interdigital Patent Holdings, Inc. | Method and apparatus for enabling machine to machine communication |
| US8516133B2 (en) * | 2008-02-07 | 2013-08-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and system for mobile device credentialing |
| CN101582876A (zh) * | 2008-05-12 | 2009-11-18 | 华为技术有限公司 | 用户生成内容的注册方法、装置和系统 |
| US20100062808A1 (en) * | 2008-08-25 | 2010-03-11 | Interdigital Patent Holdings, Inc. | Universal integrated circuit card having a virtual subscriber identity module functionality |
| US8204206B2 (en) * | 2008-08-29 | 2012-06-19 | 8X8, Inc. | Systems and methods for selection of a communication path |
| US8307412B2 (en) * | 2008-10-20 | 2012-11-06 | Microsoft Corporation | User authentication management |
| KR20120034755A (ko) * | 2009-03-06 | 2012-04-12 | 인터디지탈 패튼 홀딩스, 인크 | 무선 장치들의 플랫폼 입증 및 관리 |
| US9807608B2 (en) * | 2009-04-20 | 2017-10-31 | Interdigital Patent Holdings, Inc. | System of multiple domains and domain ownership |
-
2010
- 2010-10-15 EP EP17201400.3A patent/EP3343866A1/en not_active Withdrawn
- 2010-10-15 EP EP10779087.5A patent/EP2489168B1/en not_active Not-in-force
- 2010-10-15 KR KR1020127012421A patent/KR101478415B1/ko not_active IP Right Cessation
- 2010-10-15 KR KR1020127022738A patent/KR20120115560A/ko active Application Filing
- 2010-10-15 CN CN201510767953.5A patent/CN105306480A/zh active Pending
- 2010-10-15 US US13/501,801 patent/US9203846B2/en not_active Expired - Fee Related
- 2010-10-15 EP EP15152371.9A patent/EP2866413B1/en not_active Not-in-force
- 2010-10-15 EP EP16164492.7A patent/EP3096503A1/en not_active Withdrawn
- 2010-10-15 KR KR1020167024465A patent/KR20160108600A/ko not_active Application Discontinuation
- 2010-10-15 WO PCT/US2010/052865 patent/WO2011047276A2/en active Application Filing
- 2010-10-15 CN CN201080056855.6A patent/CN102668501B/zh not_active Expired - Fee Related
- 2010-10-15 KR KR1020167004886A patent/KR101657442B1/ko active IP Right Grant
- 2010-10-15 JP JP2012534398A patent/JP5571796B2/ja not_active Expired - Fee Related
-
2014
- 2014-06-26 JP JP2014131470A patent/JP5883077B2/ja not_active Expired - Fee Related
-
2015
- 2015-11-06 US US14/934,397 patent/US9391981B2/en not_active Expired - Fee Related
-
2016
- 2016-02-04 JP JP2016020153A patent/JP6130529B2/ja active Active
- 2016-07-11 US US15/206,816 patent/US20170041323A1/en not_active Abandoned
-
2017
- 2017-04-13 JP JP2017080055A patent/JP2017162486A/ja active Pending
- 2017-08-25 US US15/686,319 patent/US20170353472A1/en not_active Abandoned
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11306222B2 (en) * | 2018-05-21 | 2022-04-19 | Daikin Industries, Ltd. | Fluorocarbon, lubricant for use on ice and snow, and coating method |
| KR20200076917A (ko) * | 2018-12-20 | 2020-06-30 | 전자부품연구원 | 무선 가스미터의 원격검침에서의 정보보안 방법 및 시스템 |
| KR102381629B1 (ko) | 2018-12-20 | 2022-04-01 | 한국전자기술연구원 | 무선 가스미터의 원격검침에서의 정보보안 방법 및 시스템 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2489168A2 (en) | 2012-08-22 |
| JP2016129033A (ja) | 2016-07-14 |
| WO2011047276A2 (en) | 2011-04-21 |
| EP2866413B1 (en) | 2016-05-11 |
| KR20160027251A (ko) | 2016-03-09 |
| JP5883077B2 (ja) | 2016-03-09 |
| CN102668501A (zh) | 2012-09-12 |
| KR20160108600A (ko) | 2016-09-19 |
| US20170041323A1 (en) | 2017-02-09 |
| KR101478415B1 (ko) | 2014-12-31 |
| US9391981B2 (en) | 2016-07-12 |
| JP2014222522A (ja) | 2014-11-27 |
| US20120278869A1 (en) | 2012-11-01 |
| KR101657442B1 (ko) | 2016-09-13 |
| CN102668501B (zh) | 2015-12-09 |
| KR20120092635A (ko) | 2012-08-21 |
| EP2866413A1 (en) | 2015-04-29 |
| EP3096503A1 (en) | 2016-11-23 |
| US20170353472A1 (en) | 2017-12-07 |
| EP2489168B1 (en) | 2015-03-11 |
| JP2013508821A (ja) | 2013-03-07 |
| JP6130529B2 (ja) | 2017-05-17 |
| EP3343866A1 (en) | 2018-07-04 |
| CN105306480A (zh) | 2016-02-03 |
| US20160065564A1 (en) | 2016-03-03 |
| US9203846B2 (en) | 2015-12-01 |
| WO2011047276A3 (en) | 2011-06-09 |
| JP2017162486A (ja) | 2017-09-14 |
| KR20120115560A (ko) | 2012-10-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6130529B2 (ja) | 加入方式のサービスにアクセスするための登録および資格証明ロールアウト | |
| JP5987039B2 (ja) | 複数のドメインのシステムおよびドメイン所有権 | |
| JP5750519B2 (ja) | Thsm間における認証情報および/またはドメインのマイグレーション |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131031 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20140205 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20140213 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20140305 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20140312 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20140407 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20140414 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140502 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140527 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140626 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5571796 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |