TW201605257A - 無縣裝置平台認證及管理 - Google Patents

Abstract

揭露了用於實現平台認證和管理(PVM)的方法、元件和裝置。PVM使得平台認證實體的功能和操作能夠藉由裝置管理系統(例如家庭節點B管理系統或元件)對裝置進行遠端管理。示例的PVM操作使裝置在允許連接和存取核心網路之前處於安全目標狀態。

Description

無縣裝置平台認證及管理

本申請案與通訊有關。

行動通訊網路的現有技術或標準化技術不能向網路提供對裝置整體性進行認證和確認(validate)的方法，或提供對這些裝置進行管理和規範的方法。同樣，需要連接至網路的裝置也不能確認其所連接的網路實際是否為有效的或可信的供應商網路。

揭露了用於實現平台認證和管理(PVM)的方法、元件和裝置。PVM的實施使得平台認證實體的功能性和操作能夠藉由裝置管理系統(例如家庭節點B管理系統)對裝置進行遠端管理。示例的PVM操作使裝置在允許連接和存取核心網路之前處於安全目標狀態。

C_DB、550、615、950‧‧‧配置策略資料庫

CERTREQ‧‧‧證明請求

CPman、570、970‧‧‧配置策略管理器

DEV_ID‧‧‧裝置識別碼

DMS、535、611、935‧‧‧裝置管理系統

FBC‧‧‧回落代碼

GW‧‧‧閘道

H(e)NB、705、905、1520‧‧‧家庭增強型節點B

HPM‧‧‧HP模組

I-aaa、I-c、I-cdb、I-d、I-dms、I-dms_d、I-h、I-pd、I-pve、I-r、I-rdb、I-ue、I-v、514、515、530、522、526、528、532、 534、538、562、572、575、584、586、588、914、915、922、926、928、930、932、934、938、962、972、975、984、986、988‧‧‧介面

MNO‧‧‧行動網路經營者

MTM、112、132、152、172‧‧‧專用行動可信模組

OAM、735‧‧‧操作、管理和維護

OS‧‧‧作業系統

OTA‧‧‧空中

PCR‧‧‧平台配置暫存器

PVE、524、609、924、1015‧‧‧平台確認實體

RAN‧‧‧無線電存取網路

RIM‧‧‧參考完整性度量

RIMman、560、960‧‧‧RIM管理器

RNG‧‧‧亂數產生器

RoT、208、210、405、1100‧‧‧信任根

SeGW、520、607、740、920、1010‧‧‧安全閘道

SHA‧‧‧安全雜湊演算法

SIG_DEV、DEV_ID、DEV_CERT‧‧‧裝置證明

T_PVM‧‧‧PVM權杖

TCB、216、218‧‧‧可信計算基礎

TPM‧‧‧可信平台模組硬體

TR、114、134、154、174、212、214‧‧‧可信資源

TrE、410、510、605、1105‧‧‧可信環境

TrE_CERT‧‧‧TrE證書

TrE_INFO‧‧‧TrE資訊

TS、200、202‧‧‧可信系統

TSS、110、130、150、170‧‧‧可信子系統

UE、710‧‧‧使用者設備

V_DB、613、940‧‧‧確認資料庫

WTRU、512、912、1510‧‧‧無線傳輸/接收單元

116、136、156、176‧‧‧可信服務

118、138、158、178‧‧‧正常服務

120、140、160、180、270、272‧‧‧信任邊界

122、142、162、182‧‧‧可信引擎

204、206‧‧‧硬體信任起點

220、222‧‧‧證明機構

224‧‧‧鑑定機構

226、228‧‧‧憑證

230、232‧‧‧作業系統

234、236‧‧‧可信應用程式

242、244‧‧‧安全性關聯

250‧‧‧調節實體

260、262‧‧‧正常應用程式

415‧‧‧測量

420‧‧‧RIM記憶體

425‧‧‧驗證引擎

500、900‧‧‧PVM結構或系統

505、1005‧‧‧裝置

582‧‧‧PVM

730‧‧‧經營者核心網路

918‧‧‧H(e)NB閘道

1200‧‧‧簽名訊息格式

1205‧‧‧標頭

1210‧‧‧命令列表

1215‧‧‧簽名欄位

1220‧‧‧負載檔

1300‧‧‧確認實體

1500‧‧‧無線通訊網路

1515、1522、1534‧‧‧記憶體

1516、1517、1533‧‧‧處理器

1519、1514‧‧‧收發器

1521、1518‧‧‧天線

1520‧‧‧電池

1530‧‧‧H(e)MS

在以下的描述中，可結合附圖，以示例的方式獲得更詳細的理解，在附圖中：第1圖顯示了表示可信子系統的域分隔的示例方塊圖；第2圖顯示了表示藉由組織和技術方法媒介在平台間信任的示例方塊圖；第3圖顯示了與家庭增強型節點B(H(e)NB)之間的半自主確認的示例流程圖；第4圖顯示了四階段安全啟動方法的示例流程圖； 第5A圖顯示了示例實體集合及它們之間的關係和用於平台認證和管理(PVM)的介面的方塊圖；第5B圖顯示了示例實體集合及它們之間的關係和用於PVM的介面的另一個方塊圖；第6A圖、第6B圖和第6C圖顯示了使用了平台認證實體的示例確認方法的信號圖；第7圖示出了顯示H(e)NB通訊場景的示例方塊圖；第8圖顯示了H(e)NB中“弱”可信環境的示例方塊圖；第9A圖顯示了間接裝置連接的示例圖和方法；第9B圖顯示了直接裝置連接的示例圖和方法；第10圖顯示了處理各個證書的示例流程圖；第11A圖顯示了在整體性確認失敗之後，藉由由回落編碼基底實現裝置修正(remediation)的示例確認方法；第11B圖顯示了根據第11A圖的方法的示例流程圖；第12圖顯示了用於參考完整性度量遮蔽標頭的示例格式；第13圖顯示了使用了虛擬平台配置登記值的確認的示例流程圖；第14圖顯示了在完全半自主確認期間載入元件時，模組分級的示例圖；及第15圖顯示了分別配置用於提供、執行和實施PVM的無線傳輸/接收單元和基地台的示例功能性方塊圖。

當下文中涉及時，術語“無線傳輸/接收單元(WTRU)”包括但不限於使用者設備(UE)、行動站、固定或行動使用者單元、呼叫器、行動電話、個人數位助理(PDA)、電腦或能夠在無線環境中進行操作的任何其他類型的裝置。當下文中涉及時，術語“基地台”包括但不限於節點 B、站點控制器、存取點(AP)、閘道、使用者端設備(CPE)或任何其他類型的能夠在無線或有線環境中進行操作的介面裝置。當下文中涉及時，術語“HMS”包括但不限於家庭節點B管理系統(HMS)、家庭增強型節點B管理系統(HeMS)，其中以上兩者可統稱為H(e)MS，裝置管理系統(DMS)、配置伺服器(CS)和自動配置伺服器(ACS)，或管理“基地台”的配置或功能的任何其他類型的系統。術語“WTRU”和“基地台”不相互排除。舉例來講，WTRU可以是增強型家庭節點B(H(e)NB)。當下文中涉及時，術語“理論資訊安全(information-theoretically secure)”包括但不限於完全安全、無條件安全和接近理論的資訊安全。當下文中涉及時，術語“信任”、“可信的”和“值得信賴的”及其變形，表示對單元是否能以特定方式工作進行評估的可計量和可觀察的方式。

揭露了用於實現平台認證和管理(PVM)的方法和裝置。PVM藉由裝置管理系統(例如家庭節點B管理系統(HMS))使平台認證實體(PVE)的功能和操作能夠對裝置進行遠端管理。PVM操作使裝置在允許連接和存取核心網路(CN)之前處於安全目標狀態。

PVM操作是完備的(self-contained)，並且在不同的技術環境中同時允許多種變形和多種實施方式。雖然在需要描述實施例時，針對特定情況會提供映射至協定(例如網際網路密鑰交換(IKE))的示例，但並不能將其解釋為對本發明整個範圍的約束或限制。雖然在一些地方使用H(e)NB作為例子，但並不能將PVM限制為H(e)NB。可不偏離主旨地直接進行技術改造，將PVM擴展到機器對機器(M2M)和其他無線及/或網路裝置。

描述是自上而下的，因為始於開始的結構假定了大多數可信計算技術核心概念的可用性，該可信計算技術涉及但不限於由可信計算群組(TCG)所規定的技術標準。例如，此處所描述的實施例依賴由可信環境(TrE)和參考完整性度量(RIMs)所執行的安全啟動來為PVM的所有 操作和方法構建基礎。這並不排除基於較低信任度的技術的進一步改變的實現方式。其他實施例還可在多個PVM步驟中不使用RIMs。

通常，在技術系統中，PVM包含了集成到技術系統中的信任綜合定義中的信任語句(notion)，其中重點是在系統中建立信任的方法。PVM使用任務的分散和分隔作為核心範例。這應演進的通訊網路和網際網路所需而允許了可調節(scalable)的信任，在所述演進的通訊網路和網際網路中，節點更加多樣而連接時間更短暫。

以下對信任的一致的操作解釋可用於技術系統(例如PVM)之間以及技術系統與人類之間的關係和交互過程：“如果實體可預測地並可觀察地為了預定目的而按照預期方式進行操作，則該實體可信”。該操作解釋具有三個顯著特徵，即，可預測性、可觀察性和環境性。

可預測性表示對系統的預先認知，該預先認知可用於a)評價與該系統互動所產生的風險，和b)藉由對觀察結果進行推斷，而在交互過程中允許獲得系統情況。可觀察性指明藉由該特徵以及可在交互過程中獲得系統情況的程度。其與可預測性緊密相關，從觀察結果中，結合預測，可對系統狀態和下一步的行動做出進一步判斷。環境性是指描述了與系統互動過程的資訊，在該資訊中，可以做出預測和進行觀察。總的來說，三者允許了對其可信度的估計，或反之，能夠對其對交互實體所產生的威脅進行估計。

由於缺少建立操作信任的方法，而在信任和強制(enforcement)之間造成了概念上的差異。隨著互聯系統多樣化，已經不再限於客戶-伺服器的關係，這種問題變得更加明顯。在這種情況下，考慮到現有(安全)技術的發展水準，無論是強制還是信任的操作方面都不能實現。系統缺少a)用來建立操作的信任的普遍的技術方法，b)用於強制的首要基礎結構，和c)用於將有關可信任性和可實行的安全等級的資訊發送到外部實體的方法。只有上述基本結構塊才能夠在系統中實現可反映現 實需求的信任和強制的動態平衡，也就是可調節的信任。

PVM也是根據上述構造塊而建立的。可信系統的結構塊構造了其信任邊界，並且有時提供了擴展該邊界的方法，並藉由使其性能和操作在一定程度內可預測和可觀察，而向外部實體傳送該信任。構造塊可包括(硬體)安全起點、信任根(RoT)、可信(子)系統，及所有關係、安全儲存及路徑、授權、認證及安全啟動流程和證明。藉由把上述方法相結合，因此可以以多種方式構建結合了信任和強制的特徵的系統和各種元件，從而實現可在這兩個極端之間進行調節的技術。下面描述基本的功能構造塊。

硬體安全起點對於保護系統性能非常重要。硬體安全起點是系統中用於藉由硬體手段來保護其不受到未授權的訪問的部分，從而有效地降低對其的攻擊威脅，其中所述硬體手段已知對預期目的是足夠安全的。特別是，其保持用於其安全操作的RoT。該RoT是抽象的系統元件，其實現a)確保內部系統操作的安全，和b)以安全和認證的方式向外部實體告知系統的屬性及/或識別碼(單獨地或作為組成員，例如製造商和型號)。

一個系統為不同目的可包含多於一個RoT。例如RoT可以是結合了其可信第三方數位證書的非對稱密鑰對。同時，蜂巢網路的使用者識別模組(SIM)卡中的對稱秘密也可看作是以SIM卡來實現的封閉的可信系統中的RoT。

其次，系統中的認為可信的(即為了預定目的而按照清楚的方式進行操作)功能構造塊形成了該系統的可信計算基礎(TCB)。該TCB所包含的系統元件在域中呼叫系統時和在操作期間不能檢測其操作可信特徵，而只能被例如相容和一致性檢測的帶外流程和證明檢測。這種證明通常是由獨立的評估器來執行的，例如是根據所建立的安全評價標準，代表TCB特定技術元件的製造商或整體TCB的製造商。為了使這種證明有用，TCB的每個元件都應該具有將其識別為是這種證明技術元件的資訊。

具有所述安全起點、RoT和TCB的系統稱為可信系統(TS)。這裏對通常可信平台的概念有一點改進，通常的可信平台指的是“具有可能使用內建硬體的方式的可信元件的計算平台，該計算平台使用所述可信元件來建立用於軟體流程的信任基礎”。當TS中存在一個或多個可信系統時，這些可信系統稱為可信子系統(TSS)。其例子包括個人電腦平台上的虛擬執行環境，該個人電腦平台從主機的可信平台模組硬體(TPM)接收特定可信度。另一個例子是結合了其TCB的可信引擎的規定。在下文中，除非明確指出，否則“TS”可以互換用作“TS或TSS”的縮略語。TS可以在如第1圖所示的各種裝置中實現。

下面，對TS的總稱為術語可信資源(TR)的各種能力、流程和結構元件進行描述。TR通常可以分為：1)屬於TCB的TR；和2)TCB外的TR。後者的例子是作業系統的可信部份和藉由使用TCB性能而構建在TCB上的可信應用程式。對TCB中TR可信度的認定依賴於TCB所定義的安全，而其他TR的可信度至多可以從來自TCB的可信度得到。在這種情況下，TCB必須將能夠允許對信任邊界(即，能夠在指定環境中認為可信的TS元件的總數)進行擴展的特定內部TR提供給TCB外的TR，例如如下所述的確認或安全的啟動。TCB內的TR通常與所述RoT共用相同的硬體保護，例如位於同一塊防干擾晶片上。TCB外的TR可以以軟體內的邏輯單元來實現。注意，信任邊界，尤其是涉及TCB外的TR的信任邊界，可以是短時的。其可在一段時間內為特定目的而存在，並可以在之後不再存在。

用於擴展超過TCB信任邊界的過程的通用模型是驗證(verification)。其本身就是用來執行驗證過程的TR。將其識別為驗證流程和相應的TR驗證實體或驗證器，以區別於由外部實體(即確認器)對TS進行的確認過程。驗證作為流程包括在信任邊界中以至少兩種不同形式出現的新元件。首先，驗證器在其初始化時測量新元件。也就是說，該元件、 該元件的狀態和配置是唯一被識別出的。之後儲存該測量結果。作為其擴展，驗證器可以將該測量結果與參考值進行比較，並判斷是否擴展信任邊界。也就是說，驗證器可以做出並執行策略決定。從操作的角度來說，由於在完成驗證過程後，可認為其處於特定的預定狀態，因此驗證對應於TS的可預測性。而另一方面，確認則使該屬性可觀察，從而可信。這表示，報告實體將驗證結果發送給另一方。第三，由該報告實體所執行的中間步驟為證明。證明是驗證的邏輯結果，還是確認的邏輯前提。證明是確保所測量資訊的準確性的流程，從而可靠方一確認器一可以使用該資訊來決定其是否該信任遠端TS。驗證、證明和確認是可操作信任的核心概念，其與TS的週期緊密相聯。

TS由被授權訪問信任邊界內的特定TR(例如RoT)的實體(個人或其他技術系統)所擁有。該所有關係可以藉由實體具有TS而隱性的實現(即包含TS的平台)，或例如藉由特定憑證(credential)對所有者進行認證而顯性的表明。在可信計算群組(TCG)可信平台模組(TPM)規範的環境中，提供這種認證資料稱為獲得所有權。直接與TS互動過程的所有者稱為本地所有者，而要以任何方式媒介，例如透過通訊網路媒介，來與TS互動過程的所有者稱為遠端所有者。當TS中包含多於一個TSS時，每個TSS都可以具有相同或不同的所有者。

第1圖表示若干個TSS 110、130、150和170的計算域的分隔。TSS 110、130、150和170分別由專用行動可信模組(MTM)112、132、152和172組成。行動電話工作組(MPWG)規範的硬體安全起點包含所提及的RoT、TR(可信資源114、134、154和174)和可信服務116、136、156和176。通常的軟體服務和元件118、138、158和178分別位於信任邊界120、140、160和180之外。所謂的可信引擎122、142、162和182(所有這些都位於安全計算環境中)依賴RoT在不同TSS 110、130、150和170之間分別特別提供分隔和受控制的通訊。在使用域間確認和授權的條件 下，TSS可以與其他TSS共用TR，甚至共用MTM的功能。只要至少存在一個硬體保護的RoT(從該RoT產生基於軟體的MTM的RoT)，就可以以軟體的形式來實現可信引擎以及一些MTM。每個TSS可由本地或遠端相關人(stakeholder)或所有者來控制。在行動裝置的存在週期中，並不是所有相關人TSS都存在，且存在流程使得(遠端)相關人能夠初始化新TSS的創建並獲得其所有權。

PVM部分依賴於信任的建立。在信任與強制之間，主要的連接概念是任務分隔。任務分隔通常認為是涉及強制的任務。但是其與信任有天然的聯繫。依賴方只有在其操作可信時，才會將強制委託給其他系統。在TS間建立操作信任依賴於為實現可觀測性和預建立可預測性而進行的受控制的資訊交換。後者只能在TS之外完成。

第2圖顯示了向TS 200、202提供組織保證的外部實體的角色的示例模型。TS 200、202包括正常應用程式260、262，該正常應用程式位於信任邊界270、272之外。在信任邊界270、272內，有TCB 216、218，該TCB依序包括RoT 208、210和TR 212、214。信任邊界270、272可進一步包括可信作業系統230、232或其中需要保護的部分以及可信應用程式234、236。

TS 200、202的安全屬性位於硬體信任起點204、206和RoT 208、210中。當部署和操作系統時，上述技術元件是不能被檢測的。因此，其在設計和開發過程中需要接受安全評價。這是由獨立的機構所執行的，一旦評價成功，該機構便向安全性重要元件的製造商頒發安全性證書。

除RoT 208、210和信任起點204、206以外，安全性流程還可在TCB 216、218中包括其他TR 212、214，並涉及不同的證明機構220、222。為了確保評價過程和不同證明機構的品質的一致性，其依序由鑑定機構224進行評定和證明，該鑑定機構可以例如是公營機構或由國家承認的私人實體。該鑑定機構224還可在證明機構220、222之間提供連接資訊。

證明機構220、222或收到其通知的技術實體向TS 200、202頒發供TR 212、214所使用的憑證226、228。這些憑證226、228能證明其完整性和來源都是可證實的。最重要的例子是由其製造商頒發給TPM的主RoT(EK)認可(endorsement)密鑰(EK)證書，以及平台證書和其他組件的證書。之後還使用加密方法使從這些證書中所獲得的憑證和秘密都用於與外部實體(特別是其他TS)互動。TS 200、202的確認240通常需要認證，並且在許多情況下，還需要保密。並且，具有從TS憑證中得到的信任的秘密和憑證對於作業系統230、232和可信應用程式234、236分別建立安全性關聯242、244來講是非常重要的，所述安全性關聯也就是能夠對通訊提供認證、機密性和完整性的頻道。在安全性關聯242、244之上，擴展信任邊界內的應用程式可以與定義好的操作信任屬性建立起安全的通訊頻道。

調解(mediation)實體250促進在第2圖所示的各種互動之間建立信任。調解實體250的一個例子是私人證明機構(PCA)。調解實體250將關於TS可信度的基礎聲明發送至另一個TS或依賴方。調解實體將TCB 216、218或所選元件(例如信任起點204、206等)識別為可信的且被證明的組件。此時，調解實體250需要知道由證明實體所頒發的證書，當從TS收到證書時驗證該證書，並向依賴方頒發保證聲明。調解實體250可以按照與公共密鑰基礎構造(PKI)中的證明機構(CA)類似的方式促進之後的安全性關聯和安全通訊。

現在描述PVM所需的用於建立信任的構造塊。

本質上，驗證是對TS的狀態變化進行記錄並控制為所期望的粒度(granularity)。同時，從開始到結束，其都要與TS所處的平台的操作週期緊密相連。因此，實際的驗證方法大多與實體裝置(例如WTRU)的一個或多個處理器所執行的平台的啟動流程和操作週期結合在一起。

一種對TS進行內部驗證的方法是認證啟動及在TS初始化 時(例如WTRU啟動時)使用TCB的能力來評定所載入或所啟動的軟體或硬體元件的可信度。認證啟動是藉由在啟動TS的其他部份之前，先啟動RoT和TCB的特定功能來實現的。這些部份操作為用於測量的RoT(RTM)。這表示，之後所啟動或載入的元件都要經過測量，即所述元件及其狀態和結構在啟動後都要藉由例如對硬體元件的內建代碼和所載入的程式的(二進位)表示產生加密摘要值(例如，加密雜湊值)而唯一地被識別出。根據特定要求，可將測量值儲存在安全記憶體中。所述測量值與從其中追溯系統狀態所需的資料(例如軟體名稱和版本)一起形成TS的儲存測量日誌(SML)。在PC平台上，認證啟動可以包括從BIOS到作業系統(OS)載入器所有組件以及OS本身。

在認證啟動的一個例子中，由報告流程來測量系統狀態，以TPM作為中心機構來接收測量值並使用雜湊值來計算該狀態的唯一表示。為了清楚起見，TPM可以接收1)應用程式或文檔的雜湊值，即由外部(軟體)實施所計算出的應用程式的測量值，或2)TPM可以計算雜湊值，即使用內部雜湊演算法實施所算出的測量值本身。為此，TPM具有多個受保護的平台配置暫存器(PCR)。從啟動時系統進行初始化開始，對於每一個所載入的或所啟動的元件，都使用RTM向TPM報告其測量值，例如通過BIOS的雜湊值，並安全地儲存在SML中。同時，由擴展程序對活動PCR進行更新，這意味著，將測量值附加在當前的PCR值上，通過該資料建立摘要值，並儲存在PCR中。這樣就建立了可傳遞的信任鏈，該信任鏈包含所啟動和載入的所有組件。如果單個PCR僅儲存一個值，則只能夠提供“足跡式”的完整性確認資料。該值使得確認器只能藉由結合SML來重新計算該足跡才能驗證該信任鏈。

安全啟動是認證啟動的擴展。對於類似機上盒或行動聽筒這種需要有一些待機和離線功能需求的裝置來說，安全啟動具有特殊的重要性。能夠安全啟動的裝置的共同特徵是在其不能在例如網路存取前將有關 其信任度的證明向外部發送時，它們需要在一組可信的狀態中進行操作。在安全啟動中，TS具有本地驗證器(驗證實體)和本地強制器來監管啟動流程，其同時建立了策略強制點(PEP)和策略決定點(PDP)的組合，以控制安全啟動流程。該本地驗證器將新載入的或啟動的元件的測量值與位於TCB中的或由TR在TS中進行保護(例如位於受保護的儲存空間中)的可信參考值(TRV)進行比較，並決定其是否已載入、啟動或還未啟動。這樣，可以確保該系統啟動至定義的、可信的狀態。

可信參考資料是用於將確認資料與已知良好值進行比較的資料。構成可信參考資料的這些值稱作可信參考值(TRV)。其最著名的例子是在TGG的MPWG規範中所定義的參考完整性度量(RIM)。其實際可用作a)由平台本身在安全啟動時使用，以確保只啟動那些度量值與TRV一致的元件，或b)由確認器使用，以將確認資料與已知良好值進行比較，從而在評價正在進行確認的平台狀態。術語RIM可以作為非限制性的示例用於描述可信參考資料。

這樣，可信參考資料透過對其特定的安全聲明而可信，其由確認器或代理使用所考慮的TRV的代理來進行確認。這種可驗證的聲明可由例如數字證書來實現，該數位證書是由可信第三方(TTP)所頒發的例如成為RIM證書的數位證書。可信參考資料的信任聲明還可以包含例如有關元件或平台的外部評價(例如，根據通用標準評價保護級別，EAL)的附加資訊。

需要重視TRV的雙重性。一方面，其在安全啟動流程中用於本地驗證。在該過程中，其由提供基礎結構的TRV所執行，該結構能夠例如藉由向TS提供對應於所更新軟體的新TRV，來對所測量的元件進行更新。對於用來在安全啟動後確認TS的外部實體，則需要將所接收的確認資料(例如所謂事件結構)與所儲存的TRV進行比較，並驗證相關聯的TRV證書。這樣，TRV和相應的證書不僅對驗證很重要，對確認也很重要。

對於確認來講，證明資訊的新鮮度十分重要。這就需要將驗證過程從啟動擴展到TS的操作時間，這在複雜的開放系統中是一項技術上很困難的任務。

所提到的任務分隔也存在於對TS進行確認的流程中。即，基於驗證結果，可以評價系統的可信度，並且可在確認過程中作出相應的策略決定。該流程中，在TS和確認器之間所進行的任務分隔將導致三種類型的確認。現在首先描述任何種類確認所需的共同基本概念。

TS的確認流程必須得到確認識別碼的支援，其中該確認識別碼被展示給確認器。該確認識別碼必須直接或間接地來自RoT，即用於報告的RoT(RTR)。如果沒有調解器(mediator)則不能進行確認。確認識別碼的提供者必須聲明該確認識別碼的所有者為TS。提供確認識別碼是在識別碼管理(IdM)系統中提供識別碼的擴展。提供者必須對TS(包括TCB中一些或全部TR)的憑證進行檢查，以評定該TS是否處於針對確認為可信的狀態。並且，必須在安全流程中提供確認識別碼，例如專用安全頻道中的安全協定。在遠端確認的情況下，該確認識別碼與TS的全球識別碼相一致。

使用唯一的永久確認識別碼進行確認對安全性是非常重要的。會由於各種目的而頻繁且任意地在多個確認器上進行確認。雖然所用的確認識別碼不會每個都易於與使用者識別碼相關，但是其通常能對TS的行為進行追蹤。由於安全原因，對一組或所有TS都使用相同的確認識別碼並不是解決該問題的選擇。這種組識別碼是攻擊/失敗的單點，也就是說，如果該組中的一個TS受到損害，則所有其他TS也不能進行確認了。另一種選擇是使用按確定的頻率所產生的或由RTR為每次確認所產生的短時確認識別碼，例如，每個啟動週期產生一個。

自主確認是在假設TS的驗證已經完全在本地完成(即，在該裝置限制內，也就是以不依賴於外部實體的方式)的基礎上，由外部確 認器隱性地完成對TS的確認的程序。在這種情況下，在TS將允許與外部或其他操作進行進一步的通訊嘗試之前，假設已經進行了成功的驗證。因此，在這種情況下，假設驗證流程是絕對安全的，這是因為沒有向外界提供該驗證的任何直接證據。外界進行如下假設：由於TS所進行規範和執行的方式，TCB將阻止驗證失敗的TS執行其他對外界可見的任務，例如將該TS自身連接至網路，或從遠端實體獲取認證連接。自主確認將所有強制任務都放在TS上。

自主確認向TS使用了封閉不變的系統模型，該模型基本上就是智慧卡中所用的信任模型。TS使用TCB來對自身進行驗證，結果是二進位的“成功”或“失敗”值。而確認是隱性的流程，TS藉此在該流程中允許與外部進行特定交互，例如網路附屬。一個典型的例子是由智慧卡釋放認證秘密，例如密鑰。

僅依賴於裝置的安全在過去已被破壞，並且隨著例如行動裝置已成為開放的計算平台，其很可能還會被進一步的破壞。自主確認基本不傳遞高級安全需求的資訊；特別是，如果TS部分受損，則外部得不到任何關於其狀態的資訊。因此，不能標記出受損的裝置，這就意味著在被控制之前，外部還會繼續進行開發，而不會被注意並不會對其他相關人(例如網路經營者)造成嚴重損害。根據失敗策略，可將自主確認實現為使驗證對特定條件進行反應的方式，所述特定條件為例如不允許特定功能，或關閉裝置進行重啟。這避免了網路連接，看起來有優越性。但是，這同時對拒絕服務(DoS)攻擊又是一種媒介。裝置在受損狀態時必須不連接到網路，因此幾乎沒有機會恢復至安全狀態。遠端管理也很困難；特別是由於可能向受損裝置發送數值(軟體、秘密)，因此在軟體下載和安裝的過程中可能會造成安全性的損失。因此，自主確認傾向於進行帶外維護。例如，TR軟體更新的失敗可能會導致不能進行網路連接的狀態。

使用自主確認，證明資料的新鮮度是不能由其自身進行保證 的。為了滿足這種安全屬性，每次系統狀態發生變化時，都需要自動進行自主確認。由於自主確認在操作期間，例如在網路附屬期間，發生得並不頻繁，因此TS狀態可能會在TS操作期間以確認器觀察不到的方式發生重大變化。因此，攻擊者會利用該間隙，例如植入惡意軟體。自主確認非常可能受到這類定時攻擊。

在遠端確認中，確認器直接根據其所接收的用於驗證的證據來評價TS的有效性。在這種情況下驗證只是被動的，並且必須向確認器發送完整的SML。這種情況的模型是由認證啟動所進行的驗證和隨後的確認。所有策略決定都位於確認器。

現有技術中用於確認的技術是遠端確認，特別是用於TCG遠端證明的遠程確認。在遠端證明中，由TCG可信平台向外部確認器顯示SML和PCR、由證明識別碼密鑰(AIK)簽名的遠端證明的確認和驗證資料。該AIK是經PCA證明的短時非對稱密鑰對，該PCA用作確認識別碼提供者。在遠端證明中提供的偽名並不是在所有情況下都夠用。TCG額外定義了根據零知識證明的直接匿名證明(DAA)。

由於遠端和自主確認是半自主確認所納入的多個選擇中的極端情況，遠端確認也有其不足。由遠端證明所表示的遠端確認，由於其對連接至網路或服務的(中央)存取點施加了用於確認的完全計算負載，因此其在調節度和複雜度方面表現出了操作上的問題。特別是，對於類似個人電腦這種具有大量各種版本和結構的軟體和硬體元件的平台，確認SML的耗費很大。這同時還需要有巨大的TRV資料庫，例如RIM，其與基礎結構一起，來使相關人能夠定義所需的TS目標配置。相同的原因還會遠端確認對遠端管理(即配置的受控制的和確認改變)來講顯得不夠實際的TS。此外，運行驗證期望進行遠端確認，否則只能向確認器顯示啟動後的狀態。SML會在確認時“消失”。因此，如果之後不立即進行確認，運行驗證就沒有意義，而確認需要非常頻繁地進行遠端確認。最終，由於所顯 示的SML可能對TS幾乎是唯一的，因此複雜的開放TS的遠端確認只能向秘密性妥協，而不顧是否使用PCA。類似的經濟上的原因是可能存在遠端證明所造成的歧視，即，由於只有主要賣家最新版本的軟體才能進入TPV資料庫的威脅(例如RIM資料庫)，因此使得其他程式的使用者轉而使用這些軟體版本，或放棄服務連接。可以藉由修正遠端證明形式來減少一些缺陷，例如基於語義或屬性的認證，其目的是展示元件特徵而不是具體實施。

半自主確認是另一種在驗證期間評價TS有效性的程序，該評價是在該裝置自身內本地地進行，而不依賴於外部實體，且在驗證期間進行策略決定。但在這種情況下，需要向確認器發送特定資訊，下面稱為“確認訊息”，例如是驗證結果和所需證據，該確認器可以根據來自TS的確認訊息的內容來作出決定。必須對從TS至確認器的信令進行保護，以提供認證、完整性和如果需要的話，還有機密性。半自主確認的一種模型是安全啟動，之後向確認器發送關於事件結構和TRV指示(如RIM)的信令。半自主確認在TS和確認器之間分配驗證和強制任務。特別是在安全啟動流程中，前者在載入元件時進行決定，而後者則根據所提供的狀態證據，在確認時強制TS所允許的關於交互的決定。

半自主確認可以提供優於另兩種選擇的長處。其可能以驗證時所用的RIM指示符的形式來更有效地傳輸確認資訊。例如，當這種指示符表示一組具有相同功能和可信度(例如版本)的元件時，這種方法還可用於保護隱私。這與基於語義和屬性的認證類似，並且還可將半自主確認與上述遠端確認的改進形式相結合。在對確認器部分進行驗證過程中的強制執行所帶來的相互作用還提供對TS進行遠端管理的選擇。

在技術實現的過程中，可以使用修正來實現，以獲得“對由於完整性驗證失敗而沒能成功獲得網路存取許可的AR(存取請求者)進行隔離和修正的支持”。理論上，可如當前授權策略的定義，向AP提供所有最新的有關完整性的資訊。其例子包括OS補丁、防病毒(AV)更新、韌 體升級和其他類似的軟體或韌體更新。實現遠端管理的具體概念可能需要依賴能夠有效地表示和發送TRV資訊(例如RIM資訊)的基礎結構，如本文對用於PVM的敘述。

非常需要在此處強調RIM證書在半自主確認中的角色。RIM證書是由已經直接評價或藉由委託評價了相應TR的證明機構所提供的。證明方法和實體可以是多樣的，並且涉及不同的操作可信度級別。這使得半自助確認器更加具有靈活性，其中所述半自助確認器獲得了關於TS更細的資訊。如此所述，RIM證書被用作可支援對元件進行裝置接通(on-device)確認的資料的示例。儘管在此描述的是基於RIM證書的SAV方法，但是也可使用其他SAV變化。

對於資源受限的系統，半自主確認也是唯一可操作的確認選擇，這時因為對於資源受限系統來講：a)其缺乏進行自主確認所需的處理能力，和b)缺乏執行遠端確認所需的眾多報告的記憶體及/或通訊能力。例如，在無線感測器網路的上下文中，感測器節點同時受到這兩種限制。在這些情況下，一種方法是向感測器發送記憶體探測代碼，該感測器計算出靜態儲存內容(代碼和參數)的摘要值，從而產生可預測的結果，該結果被發回基地台以用於確認。攻擊者顯然可以藉由使用所存的原始儲存內容產生正確結果來試著避開該“證明”。只要該攻擊是在感測器本身上進行的，則該感測器會不可避免地產生延遲，該延遲會由於隨機化、自修正探測路徑和混淆方法而加強。因此，如果感測器應答中顯著的延遲超出了預定閾值，則感測器失效。

在半自主確認中，在安全啟動期間內部評價H(e)NB的有效性，而不依賴於外部實體，且在該評價期間作出策略決定，特別是根據各個元件的所測量的的完整性來做出關於載入/啟動哪些元件和不載入/啟動哪些元件的策略決定。在半自主確認中，向平台認證實體(PVE)發送評價結果和所需證據，該平台認證實體根據確認訊息的內容自己進行決定。應 當對向PVE發送的信令進行保護，以提供認證、完整性和如果需要的話，還有新鮮度和機密性。半自主確認在H(e)NB和外部確認實體(例如PVE)之間分配完整性驗證和強制任務。特別是在安全啟動過程中，H(e)NB在元件載入/啟動時在本地作出決定，而PVE可根據所提供的狀態證據，在確認時強制進行關於H(e)NB所允許的交互的決定。根據PVE的決定的結果，或者授予對網路和服務的全存取，或者可以提供更多受限手段，例如隔離網路存取和強制配置變化。

稱為可信環境(TrE)的可信實體對半自主確認非常重要。用於半自主確認的程序可以不同。在一個實施例中，H(e)NB可按第3圖所示的流程圖300執行對H(e)NB完整性的半自主確認。在執行裝置認證程序之前，H(e)NB的TrE首先對H(e)NB的特定的預先指定元件(例如啟動代碼)的完整性進行檢查(305)。之後，至少暫時地記錄或儲存該完整性檢查結果(310)。這一步可在H(e)NB啟動後，在認證的第一時刻(例如，為了設定安全回載鏈結的目的)之前，由TrE自身自主啟動。可將其認為是“安全啟動”。TrE藉由強制僅將註冊元件載入及/或啟動成完整性證實狀態，來確保H(e)NB的完整性。如果需要重新評價所建立的信任(例如由於在之前成功的網路連接會話後H(e)NB的配置發生了變化)，則獲得這種完整性證實啟動狀態的檢查可以以兩種方式重新發生。在第一種情況中，可由TrE自身自發地啟動該檢查。另一種可由來自網路(例如，安全閘道(SeGW)或平台認證實體(PVE))的請求啟動，該請求要求TrE之後完成。

之後TrE可檢查H(e)NB的剩餘部分的預定部分是否已經達到安全啟動狀態(315)。該進一步檢查可以由TrE自身來啟動，或由H(e)NB中的測量元件來啟動，該測量元件在TrE外部，但由TrE進行完整性保護(320)。在這種後階段檢查中，只要對測量元件可行，則當H(e)NB的剩餘部分的其他元件、配置或參數被載入或啟動、或在其他預定運行事件時，就檢查它們的完整性。至少暫時地記錄或儲存安全啟動檢查結果(325)。 較佳地，採用由TrE或由其他方式的完整性保護(例如密鑰雜湊值)所提供的受保護的記憶體的方式來記錄安全啟動檢查結果以及完整性檢查結果。

在進一步的方式中，除了在具有PVE協定中已提供的新鮮度之外，可對結果(即單獨的測量結果)額外加上安全時間印記以便為測量本身提供新鮮度和重播保護。可以藉由例如在應用雜湊功能前加上時間印記的值並之後將該結果儲存在受保護的暫存器(例如PCR)中，來將時間印記的值包括在測量值中，從而實現這種新鮮度資訊。

之後TrE對檢查結果進行處理，以從該檢查結果中產生要發送至PVE的確認訊息(330)。一旦接收到的該訊息，PVE便使用該訊息來評價H(e)NB的信任狀態(335)。在一個處理實施方式中，TrE使用簽名密鑰簽發聲明，聲明H(e)NB已通過自主確認檢查，該簽名密鑰受TrE保護並從而保護了該聲明的完整性。該聲明還可包括可供PVE用於對TrE對H(e)NB預定元件所執行的完整性檢查的狀態或結果進行評價的證據，還可包括關於自主確認檢查和之後的裝置認證程序之間的任何結合的證據。TrE也可對該聲明加上時間印記以確保其新鮮度。這種簽名的聲明證明由TrE從重排序的資料或結果所獲得並發送至PVE的訊息是在安全啟動程序後來自H(e)NB的TrE的訊息。對於簽名的驗證，應當將確認結合至裝置認證，或應使用單獨的TrE識別碼。由於認為H(e)NB啟動配置的TrE自主檢查的結果是可信的，因此該簽名藉由增加某些可追溯性而增加了純自主確認檢查的安全性。

TrE經由SeGW將所述簽名的聲明發送至PVE，之後PVE可使用該來自H(e)NB的簽名聲明，並決定是否允許H(e)NB繼續進行認證(340)。PVE可以以多種方式來使用簽名的聲明中的資訊。在一個實施方式中，PVE可以將TrE自身的完整性與單獨的靜態配置進行核對，在核對失敗時拒絕存取連接。在另一實施方式中，可將PVE配置為對存取控制做 出更細的判斷。特別是，這表明根據TrE內部或外部單個/多個元件的存在/不存在和完整性，可拒絕存取。而在另一實施方式中，根據確認聲明中所包含的指示，可將PVE配置為從可信第三方獲得關於H(e)NB元件的完整性和安全性屬性的資訊。這表明可將PVE配置為能夠獲取有關裝置上的元件的參考值(即確認資料)上的資訊。之後，藉由將確認資料與從裝置所接收的資料進行比較的過程，而得出有關元件實際完整性的資訊。PVE不會直接從TTP獲取關於元件完整性的聲明，而僅從可以比較報告值的TRV獲得。而在另一個實施方式中，可將PVE配置為在允許存取前，進行配置變化。這種修正程序可包括強制的軟體更新。

如上所述，TrE能夠產生可信且精確的時間印記，並可使用在其中或受其保護的密鑰進行簽名。在一個實施方式中，當TRE執行本地自主裝置完整性檢查時，外部確認器可驗證“時間”。這表示，在第一次或最後一次測量時，獲得一個時間印記。還可表示，時間印記應用在以PVE運行協定時。還可表示，在每次測量中都包含時間印記。所期望的“時間粒度”可指示使用哪種方式。在另一實施方式中，可將TrE配置為插入兩個時間印記，一個在TRE執行本地自主裝置完整性檢查之前獲得，一個則在所述完整性檢查之後獲得。這種一對的時間印記有效地“鎖定”了本地自主裝置完整性檢查實際發生時的時間範圍，而藉由在發送表示本地自主完整性檢查結果或過程的資料的同時發送這種時間印記，TrE可以使外部確認器不僅能評價裝置的完整性狀態，還能得知關於H(e)NB的完整性是在何時和怎樣由TrE進行本地測量和驗證的時間歷史。這樣，根據時間1)獲得該聲明的時間(由第二個，即後一個時間印記所指示)，以及當接收到該帶有時間印記的確認訊息時，確認器自身的時間標記，和2)進行本地自主完整性檢查的時間(鎖定在兩個時間印記所指示的兩個時間之間)，確認器便能夠使用其自身的“時間窗”，來判斷怎樣對其從TrE所接收的涉及裝置完整性狀態的簽名聲明進行處理。

可以透過此處所述的PVM方法、裝置和結構，來使用PVM，從而實現此處所述的策略和方法。PVM通常在活動實體間使用最大任務分隔。該方法清楚地定義了在平台認證和管理過程中所涉及的每個實體的活動區域。PVM方法的優點在於：1)可以分別為每個實體的效能最佳化處理；2)具有PVM的裝置可不同時運行(有限制)；3)目前對於所涉及的網路實體來講，PVM方法可無國家區別地操作；4)可單獨對實體進行維護和管理；和5)更容易進行備份和故障恢復。特別是，對於有效地執行裝置的確認和遠端管理來講，性能和可用性是必要的。在具體情況中，會存在裝置元件大量更新的事件，或大量裝置變更所選的歸屬經營者(SHO)。可將PVM結構配置為由單個經營者(通常為SHO)對一個裝置執行確認和管理。作為例外，如此處所述，PVM的特殊變化可能會對漫遊存取和經營者變化產生影響。

部分依賴於來自可信計算的安全技術，當PVM首次嘗試連接至通訊網及之後對裝置完整性進行監視時，PVM提供了系統的方法來對裝置進行確認和管理。PVM可提供：1)在網路連接前對裝置的確認；2)以無線方式(OtA)管理裝置配置；3)藉由在載入/啟動元件上檢查TRV(例如RIM)來實現安全啟動；和4)為配置改變而在裝置上安裝新TRV(例如，RIM)-TRV獲取(ingestion)。

在此處所述的PVM的示例實施方式中，對其所確認的確認裝置和網路進行以下技術上的假設和預處理。對於網路，首先假設所有實體都作為相同核心網路(CN)的一部分由同一個的行動網路經營者(MNO)來進行操作。因此，在這些實體之間不會因為要建立頻道和實際通訊而需要進行額外安全保護(例如，相互認證、訊息的完整性保護、加密)。在需要時，如果為特別用途，還會描述額外的安全特徵。不管怎樣，PVM的適用範圍可擴展至這些實例，這是因為該PVM方法可由MNO的CN以外的實體，甚至是由MNO以外的另一方所管理的實體進行使用。

對於裝置，裝置可有多種風格和多個名稱。PVM可用於演進型通用行動電信系統(UMTS)陸地無線電存取網路(E-UTRAN)的H(e)NB和機器對機器(M2M)裝置，還可用於多種其他滿足特定前提條件的網路裝置。這些前提條件基本與可信系統(TS)的相同。當使用PVM時，各個裝置被配置為實現PVM方法，從而成為PVM裝置。

作為確認過程的前提條件，確認需要有識別碼，裝置可對該標識進行認證。需要該認證來保護PVM基礎結構不受到特定假冒裝置的攻擊，並且不能把該認證與裝置向CN的認證(該認證在確認後，或與確認過程一起發生)相混淆。這表明，只有在PVM認證了裝置識別碼後，該裝置才被PVM允許，從而避免了能夠執行PVM協定的未知裝置對PVM系統施加例如DoS攻擊。

為了PVM的目的，若裝置識別碼Dev_ID是裝置中與可信環境(TrE)、通用積體電路卡(UICC)或智慧卡、或是裝置本身(例如H(e)NB)相結合的識別碼，都沒有關係。假設該裝置能夠安全地管理與Dev_ID有關的認證證書，從而能夠對Dev_ID進行認證。該Dev_ID可以是正式功能變數名稱(FQDN)、統一資源識別符(URI)、統一資源定位符(URI)、統一資源名(URN)、媒介存取控制(MAC)位址(例如擴展的唯一識別符(EUI-48)，EUI-64)、IPv4或IPv6位址、包含子網位址的IPv6主機識別符(例如64LSBs)、國際行動設備識別碼(IMEI)、IMEISV(例如gsm/umts)、電子序列號(ESN)、行動設備識別符(MEID)(例如cdma)、國際行動使用者識別碼(IMSI)、臨時行動使用者識別碼(TMSI)(當由於使用者和裝置間1：1的映射而可由使用者識別出裝置時)、IMS使用者id(例如IP多媒體個人識別碼(IMPI)或IMS使用者公共識別碼(IMPU))、行動站集成服務數位網路(MSISDN)，或任何其他任何字母數位形式或機器可讀格式的識別符，該識別符能夠對例如每個經營者實現唯一的(例如全球或至少域內唯一的)可靠和明確的對單個裝置的標識。

該裝置可具有值得信任的TrE。可在安全啟動流程中，從不可變信任根(RoT)構建裝置中的TrE。該TrE提供了安全的執行環境和其他基本的受保護的性能。該TrE可以是受管理的元件，例如可變的，這樣只有RoT保持不變。

從可信計算的角度來看，可將TrE看做TCB，該TCB由一些安全執行環境和特定受保護介面所擴展的TPM或MTM構建而得。作為從TPM或MTM所構建的TCB的TrE屬於非限制性的示例，其他信任實施方式同樣適用。

對於PVM，TrE提供了能夠無條件可信的TCB。但是，作為傳統可信計算的變化方式，由TrE所構建的TCB在PVM中不是不變的。這是因為在PVM中，TrE及其在裝置中的周圍環境都是不同的。將關於這兩部分專門的、不同的資訊發送至基礎結構，並根據不同策略使用該資訊對其進行確認和管理。TrE是PVM基礎結構最主要的通訊方，並被認為能正確執行與PVM有關的任務。

H(e)NB和TrE可以在啟動時，在連接至核心網路之前或H(e)NB連接至H(e)NB管理系統(HMS)之前，執行裝置完整性檢查。該裝置完整性檢查可以基於一個或多個可信參考值和TrE。可以要求TrE每次都安全地儲存所有可信參考值。可要求TrE安全地啟動。還可要求TrE支援單元件或多元件完整性檢查。

在單元件完整性檢查中，可要求TrE為作為單元件的裝置的可信操作載入所需的完全代碼。在啟動該元件前，可要求TrE來執行完整性檢查(例如藉由將該元件的加密雜湊測量與所儲存的可信參考值相比較)以確定該元件的完整性。如果該單元件通過了其完整性檢查，則可啟動該元件。如果完整性檢查失敗，則不能啟動該元件。

在多元件完整性檢查中，可根據裝置功能而對用於該裝置可信操作所需的裝置完全編碼基底進行分割，並按順序放入多個元件中。可 要求TrE按順序載入每個元件，並在啟動任何一個元件前，可要求TrE執行完整性檢查(例如藉由將該元件的加密雜湊測量與所儲存的可信參考值相比較)以確定該元件的完整性。如果個別的元件通過了其完整性檢查，則可啟動該元件，且TrE可繼續對下一個元件進行完整性檢查。如果任何一個元件的完整性檢查失敗，則不能啟動該元件，但TrE可以繼續檢查下一個元件的完整性。

對於元件完整性檢查中的每一種，可以要求TrE從安全記憶體中查找相應的可信參考值並將完整性測量與可信參考值進行比較，其中該安全記憶體對TRV提供完整性保護。該安全記憶體包括但不限於TrE的受保護記憶體。如果該裝置可信操作所需的所有元件都經過驗證了，則該裝置的完整性就經過驗證了。

對於安全啟動，藉由構建信任鏈，安全啟動流程在幾個步驟中從RoT進入全功能狀態。第4圖表示了四階段安全啟動方法400的示例流程圖。在階段1，在安全啟動中從RoT 405構建TrE 410。所有載入或啟動的元件都要經過驗證，並且只有通過了驗證的元件才能載入和啟動。只有階段1成功時，才控制TrE 410執行安全啟動的階段2。

在階段2中，TrE 410進一步對執行PVM所必需的元件進行驗證、載入和啟動。例如，這可以包括通訊和協定堆疊及無線電存取網(RAN)通訊模組。所有載入和啟動的元件都需要經過驗證，且只有通過驗證的元件才能載入和啟動。

只有階段2成功時，才啟動安全啟動的階段3。在階段3a中，TrE 410進一步驗證、載入和啟動元件。只有通過了驗證的元件才能載入和啟動。在階段3b中，TrE測量和載入更多的元件。

假定對元件進行驗證是藉由獲得其測量值(415所示)、並將該測量值與儲存在RIM記憶體420中的RIM進行比較(425所示)而完成的。如圖所示，第4圖包含RIM記憶體作為示例或實施方式。但是，如 本文所述，RIM和RIM證書只是結構資料的一個示例方式，也可使用其他方式的結構資料。此處的描述允許使用RIM以外的方式和實施方式的結構確認資料。認為所有階段中的載入順序是由本地可用列表所管理的。假定3a和3b中元件之間的區別是由本地可用策略所管理的。可選地，可將載入和驗證合併在一個階段中。

在第4圖中，使用術語“TrE”來描述包含了PVM功能所需的最少功能的實體，該實體包括所有安全啟動所需的功能，例如測量415、RIM儲存420、將RIM與實際測量進行比較的驗證引擎425。顯然，這裏對TrE的描述是為了簡潔，而TrE可以更複雜，並包括其他元件，例如密鑰產生器或亂數產生器(RNG)。所示的TrE可以包括實現安全啟動所需的所有功能。可在TrE外部儲存RIM，但由TrE保護其完整性和(可選地)機密性。用於測量和驗證的引擎也可作為TrE的外部元件來實現。之後TrE可確保這些元件的完整性，並提供安全操作環境，使得這些元件不被修改。

在階段3中可能會因策略不同而有更精細的粒度。例如，如果元件的驗證失敗或RIM不可用，則可將該元件載入至沙箱(sandbox)環境中。可將階段3a和3b之間的區別與行動電話工作組(MPWG)參考結構的安全啟動中的可信服務和測量服務之間的區別進行類比。

可為“使用者空間”中沒有通過驗證的元件增加第四階段。

在階段2中單個或多個元件(通訊模組或其他類似模組)的失敗並不表明該裝置不能進行通訊。可將該階段理解為屬於特定種類的元件類型。只要載入了階段2的最基本的元件，裝置就能將其狀態和失敗元件發送給PVM系統。這樣的設計使得如果一些元件的內部驗證失敗，該裝置也能執行PVM(以及修正過程)，而不需重啟。

在另一實施方式中，當在安全啟動期間檢測到攻擊時，可使用回落編碼基底(FBC)來使裝置執行PVM。該裝置會在檢測到攻擊時使 用FBC進行重啟，之後進入能修正裝置的預定狀態。

在安全啟動期間，TrE記錄並保護以下資訊不受到篡改：1)所載入的元件的列表(Clist)；2)所載入的元件的參數；3)與一些或全部元件相關的測量值；和4)對一些或全部測量值的結果(例如平台狀態)進行的唯一識別(例如加密)的驗證資料。根據PVM所用的確認方法，一些或全部記錄是可選的。例如，自主確認(AuV)都不使用。

PVM可使用以下術語。術語“驗證”可用於表示安全啟動期間裝置元件內部的驗證，而術語“確認”用於表示由外部實體進行的裝置檢查過程。從而避免了引入“內部”確認和“外部”確認的概念。驗證是按通常意義的加密檢查或資料匹配來進行的，此處明確指出以避免產生混淆。

PVM至少使用安全閘道(SeGW)、平台認證實體(PVE)和裝置管理服務(DMS)。由於由裝置中的TrE來執行裝置內部的確認重要任務，因此通常由該TrE與其他實體進行通訊。雖然此處通訊所需的其他裝置元件(例如網路介面)並不一定是TrE的集成部分，但是TrE應當能夠評價這些元件的完整性以確保端對端的安全。

對任務的嚴格分隔要求每個實體都限制在其核心任務之內。例如，SeGW在(不)可信裝置與MNO的CN之間建立安全介面。其用作MNO的CN的屏障和網路存取控制及強制實例。其同時還執行作為屏障所需的所有安全相關功能，包括認證、對與裝置的通訊的加密/解密、安全性關聯和會話建立。可將SeGW用作能夠在MNO的CN與外部世界(例如外部裝置)之間建立邊界的網路實體的實例。也能不用SeGW，而使用PVM方法來進行裝置確認。為此需要使用安全連接將裝置直接連接至DMS，該安全連接例如是傳輸層安全性(TLS)。

對於PVE，其用作CN中的確認實體，並執行完整性確認。其接收完整性驗證資料，並檢查所報告的值是否已知並良好。其向CN中的其他實體發佈關於裝置完整性的聲明。

對於DMS，其用作用於管理裝置元件的中心實體，包括軟體更新、配置變化、OTA管理和失敗模式修正。DMS通過基於平台認證而實現該功能，而與HMS的增強型版本相類似。

除上述實體以外，PVM還包括RIM管理器(RIMman)。RIMman執行以下功能，包括：為在確認中進行比較而管理和提供可信參考資料和TRV。其還管理證書，特別是獲得外部RIM證書、驗證RIM證書、產生(經營者專用的)RIM證書，並藉由例如撤銷、時間限制和信任關係等手段來檢查證書有效性。也就是說，RIM管理器是唯一被授權管理確認資料庫(V_DB)的實體。該V_DB和RIMman受到CN元件保護。對V_DB的寫入存取僅受到RIMman的限制，因此PVE不能寫入V_DB。RIMman對安全有特殊的重要意義，因為其管理著PVM所需的(SHO-CN)外部信任關係。如此所述，RIMman是一種實施方式，其可擴展為包含其他實施方式的用於(分級)結構資料的參考值和證明參考值的管理器。

PVM還包括配置策略管理器(CPman)，用於執行裝置配置的管理和提供。其還管理策略，特別是外部(例如從可信第三方(TTP)獲得的)配置和策略，和產生(經營者專用的)目標裝置配置和策略。也就是說，CPman是唯一一個被授權管理配置策略資料庫C_DB的實體。該CPman對安全有特殊的重要意義，因為其管理PVM所需的(SHO-CN)外部信任關係。

第5A圖和第5B圖顯示了PVM的最小實體集合、其相互關係和介面的示例。還顯示出其他實體，例如認證授權和計費(AAA)伺服器和無線傳輸/接收單元(WTRU)及其介面。

第5A圖的PVM結構或系統500包括裝置505，該裝置505具有TrE 510。WTRU 512可以經由I-ue介面514與裝置505進行通訊。裝置505經由I-h介面515與SeGW 520進行通訊。通常，裝置505與SeGW 520之間的介面I-h 515不需要保護，可以採取特別措施來保護該頻道的真 實性、完整性和可選的機密性。可以使用I-h 515來建立裝置505與SeGW 520之間的鏈路(從而建立與CN之間的鏈路)。例如，SeGW 520可以經由I-aaa介面575來與AAA伺服器進行通訊。經營者可以採用適當措施來保證介面的安全。

在確認期間，SeGW 520可以使用I-pve介面522來聯繫PVE 524。PVE 524可以使用I-pve介面522來將確認結果發送給SeGW 520。可使用I-dms介面530來進行在DMS 535和SeGW 520之間的涉及裝置配置的通訊。PVE 524可使用I-pd介面532來與DMS 535進行通訊，反之亦然。可在裝置管理程序期間使用介面I-pd 532，來用於例如裝置軟體更新和配置變化。

PVE 520可使用介面I-v 526和I-d 538來從V_DB 540讀取RIM，而DMS 535可使用上述介面從C_DB 550讀取所允許的配置。在例如V_DB 540中發生RIM丟失的情況下，PVE 520可使用介面I-r 528和I-c 534來與RIMman 560進行通訊，而DMS 535則可使用上述介面與CPman 570進行通訊。RIMman 560和CPman 570可使用介面I-rdb 562和I-cdb 572來分別讀取、寫入和管理資料庫V_DB 540的確認和配置策略資料庫C_DB 550。

第5B圖顯示了PVM 582，其中裝置505可直接連接至DMS 535。例如，是在回落模式的情況下，裝置505在該模式中不能與SeGW執行安全性協定。在這種情況下，DMS 535可經由介面I-dms_d 584作為裝置505的第一連接點，並經由介面I-pve 586和I-pd 588與PVE 524進行通訊以執行確認，或者至少獲知在安全啟動期間是哪些元件失敗了。DMS 535可在收到該資訊後立即進行修正。

通常，各個元件，例如包括TrE 510的裝置505、SeGW 520、PVE 524和DMS 535都較佳地被配置為在處於活動狀態的實體之間使用PVM最大類型的任務分隔的方法。如下詳細描述的，這可透過使用PVM 權杖在各個實體之間傳遞特定資訊來實現。

如此處所述，PVM可使用各種版本的確認。此處所述的是與PVM一起操作的半自主確認(SAV)。在本實施方式中，裝置包含TrE和RoT，並且能夠進行安全啟動。該裝置具有RIM，該RIM能夠實現對TrE元件和TrE外部元件進行本地確認。在本實施方式中，該裝置可以是H(e)NB。如此所述，RIM只是結構資料的一種形式和示例，其在此用作非限制性的示例。

該裝置可在3個階段執行安全啟動，確保在並且只在所要載入的元件的本地確認成功時才載入每個元件。在階段1中，經由依賴於RoT的安全啟來載入TrE。在階段2中，載入TrE外部的所有執行基本通訊所需的元件。在階段3中，載入所有剩餘的裝置元件。

之後，該裝置可與SeGW開始進行網路認證。在認證期間，發送以下資料中的一個或多個：Dev_ID；裝置的安全策略；關於在安全啟動期間已由TrE檢查了完整性的裝置模組的資訊；硬體/軟體構建版本號；裝置製造商；模型和版本號；裝置和TrE的證明資訊；以及TrE能力和屬性。

可使用不同選擇來將該資料發送至PVE(經由SeGW)。可在網際網路密鑰交換版本2(IKEv2)認證協定的通知欄位發送該資料，並在之後由SeGW轉發給PVE。之後PVE對所接收的資訊進行檢查。PVE檢查Dev_ID是否列在黑名單中，如果是，則拒絕存取。其檢查安全策略是否與該裝置所需的策略不匹配。如果不匹配，則可執行修正步驟。PVE可檢查是否載入了未識別的/不想要的模組和元件。

在上述每個檢查中，如果得到指出裝置TS的驗證失敗的肯定回答，則PVE可拒絕或限制(例如，隔離受限的使用或資源)對該裝置進行網路連接。PVE向SeGW發送關於對該裝置的有效性和可信度的決定的訊息。SeGW根據該訊息進行操作。

在第一種方式中，將資料儲存在可信第三方(TTP)，由裝置發送對TTP的指標，PVE可從其中獲得所需資訊。可在IKEv2的通知負載中發送該指標。

在第二種方式中，只要所有資料是靜態的，就可在認證期間將其包括在(可能是增強的)裝置證書中。元件的任何更新都會使測量值產生變化，因此，安全啟動中所用的RIM會需要新的裝置證書。

此處所述的實施方式是與PVM進行操作的遠端確認或半自主確認(F-SAV)。在階段1中，可在安全啟動期間從RoT構建TrE。TrE的所有元件都可以是經完整性驗證的，並在驗證成功時載入。在階段2中，TrE可對裝置剩餘部分的預定部分的完整性進行驗證，並載入。進行完整性檢查的代碼可包括例如基礎OS、與SeGW的基礎通訊和格式化(format)執行PVM報告訊息的代碼。可將測量值儲存在TrE的安全記憶體中。

如果階段1或階段2的檢查失敗，則TrE可停止進行認證。如果階段1和階段2都成功了，則可以進行階段3。例如，可對例如包括無線電存取碼的裝置剩餘模組代碼進行完整性檢查，但可不載入。可以準備確認資料，並在合適的通訊協定中將確認資料發送至SeGW。該資料可由例如TrE所存的密鑰進行簽名，以提供該資料的真實性和完整性。該資料可包括完整性檢查失敗的階段3模組的列表。

可使用IKEv2 AUTH_REQ訊息的通知負載來發送該資料。除由IKE安全關聯所提供的對整個訊息的保護以外，還可由TrE的簽名密鑰對通知負載中的資料進行簽名，以提供該資料的真實性和完整性。該通知負載可包括完整性檢查失敗的階段3模組的列表。可以使用合適的IKEv2訊息的任何其他合適的負載或欄位、或除IKEv2協定以外任何合適的協定(例如是TLS、TR069、OMA-DM、HTTP、HTTPS或其他類似協定)的訊息的其他合適的負載或欄位來發送該確認資料。

SeGW可將資料轉發至PVE進行判斷。認證過程可繼續進 行，但是對網路連接授權的決定可一直等到PVE已經檢查了確認訊息，並且做出或獲得關於被報告為確認測試失敗的模組的基於網路的策略決定。

在第三種方式中，與測量和執行所述代碼不同，可以在不載入所述代碼的情況下載入所述代碼的測量和完整性檢查。SeGW可將該確認訊息轉發至PVE，PVE可對所接收的列表進行確認。當裝置從PVE接收到成功確認的結果時，就可以載入剩餘的階段3模組。

測量完整性和等待PVE以決定是否執行代碼的過程，可以包括假設一旦代碼經過測量就不再發生變化且如果PVE對其授權則可執行該代碼。因此，可包括用於階段3中的所有元件代碼的安全記憶體。另外，執行環境可支持授權執行，該授權執行允許先載入代碼，在授權後再執行該代碼。可能會載入大量代碼，因此安全記憶體和執行環境應當具有足夠大小。

F-SAV可向CN提供靈活性以獲知在“本地完整性檢查”中的實際情況。裝置可發送關於階段1和2中代碼通過/失敗的指示，以及可選的，如果存在失敗模組的話，還可發送失敗模組的列表。F-SAV可對裝置安全屬性和確認測量提供更細的粒度和更清楚地認識，可對受攻擊的裝置提供更快更好的檢測，可為受攻擊的裝置支援由網路發起的修正，並且可在裝置安全管理中為經營者提供靈活性。

TrE也可以在訊息中加入時間印記以確保新鮮度。時間印記的替代做法是由網路提供臨時用法(nonce)，TrE在網路存取協定啟動後，將該臨時用法合併至前述訊息中。這也是將裝置認證與確認進行結合的特徵。

認證失敗修正可以是在例如階段1或階段2的完整性檢查首次失敗後啟動回落模式，從而使裝置具備足夠的功能性來連接至SeGW，以向其通知失敗。這之後會觸發操作和維護(OAM)程序，以允許裝置軟體根據診斷進行更新。該回落模式需要具有足夠的功能性，以在TrE的監 控下，以安全的方式實現代碼的完全重建。

在第一種方式中，可在IKEv2 AUTH_Request的通知欄位中發送測量訊息資料(與裝置證明一起)。在第二種方式中，可在啟動基於IKEv2的裝置認證之前，由適當的安全協定來發送該測量訊息資料。在第三種方式中，如果階段1或2的任何部分的檢查失敗，且如果失敗的模組是對裝置基本功能不重要的輔助功能，則可使裝置繼續進行/附屬，而不載入這些模組。同時，可安排進行一些OAM程序以更新裝置軟體。

此處所述是對所有相關實體中的功能的高度概括。描述了H(e)NB裝置的系統結構，在這種結構中確認和遠端管理扮演重要的角色。所述方法可直接用於H(e)NB網路結構中的實體。藉由使用更通用的方法，以及根據任務分隔的角色定義，此處用於平台認證和管理的方法可以很容易地用於或擴展至其他網路連接裝置。如果實體根據其功能進行映射，則可以類似的方式在其他環境(例如M2M)中實現。

在此處描述PVM功能的實施方式中，使用了SAV。SAV能夠保護CN完全避免免遭惡意裝置的攻擊。在SAV中，可由SeGW有效地建立隔離網路。由於只接收限制在其任務之內的資料，且只通過與SeGW的或由SeGW所建立的安全連接進行接收，因此對PVE和DSM沒有直接來自裝置的攻擊。執行PVM中的確認過程不需要在裝置與CN的任何實體之間直接通訊。只有在使用SAV的確認成功後，才允許對CN進行連接。這就確保了只有在證實安全狀態的裝置才能與CN中的實體通訊。

第6A圖、第6B圖和第6C圖表示了使用PVM基礎結構的SAV確認方法的示例。PVM基礎結構包括此處所述的實體，包括TrE 605、SeGW 607、PVE 609、DMS 611、V_DB 613和C_DB 615。在相互認證後(620)，TrE 605收集以下資料中的一些或全部：裝置資訊-例如Dev_ID、製造商、裝置能力(包括但不限於通訊能力(例如支援的資料速率)、發送功率等級、信令特徵和其他能力)、TrE能力和屬性(包括RoT)； TrE資訊(TrE_infomation，TrE_info)-包括ID、證明資訊、製造商、構建版本和模型、構成、序列號；驗證資料-包括平台配置暫存器(PCR)值；驗證結合-例如PCR值上的簽名；元件指示符(CInd)-元件Clist有序列表，還可包括元件參數；時間印記(可信或不可信)(622)。從TrE 605發送至SeGW 607的確認訊息/資料可以包括上述日期(624)。

SeGW 607將所接收的時間印記與本地時間進行檢查/比較，以檢測變化(626)。如果所報告的時間印記與本地時間不一致，則SeGW根據所報告的時間印記的屬性來進行操作。如果裝置的時間印記是可信時間印記，並且出現了變化，則SeGW 6070應當觸發對TrE及其可信時間源的再次確認。在不可信時間印記的情況下，SeGW 607將其自身的可信時間印記添加在訊息上。如果裝置不能提供可信時間印記，則可由SeGW 607添加可信時間印記，以提供對重播攻擊的防護。

當接收到該訊息時，SeGW 607可檢查是否存在驗證結合(628)。這確保了驗證資料的真實性。之後，SeGW 607創建PVM權杖(T_PVM)(630)，並在發送前向該T-PVM添加時間印記，以確保其新鮮度，並防止非同步訊息流(632)。

SeGW 607將T_PVM轉發至PVE 609(634)，該PVE 609依序使用TrE資訊查詢(636)V_DB 613。如果向PVE 609返回不可信的判斷(638)，則PVE向T_PVM施加時間印記(640)，並將其轉發至SeGW 607(642)。之後，SeGW 607停止裝置認證，阻止了裝置附屬到網路，並向TrE 605(644)發出警報。

如果向PVE 609返回可信判斷(646)，則PVE使用Dev_ID查詢C_DB(648)，該C_DB隨即向PVE 609返回配置策略(650)。PVE 609評價該策略配置(652)。

如果PVE 609判斷該配置不可信(654)，則PVE 609修改T_PVM並添加時間印記(656)。之後，PVE 609將該T_PVM轉發至SeGW 607(658)，該SeGW隨即停止裝置認證，阻止裝置附屬到網路，並向TrE 605(660)發出警報。

如果PVE 609判斷該配置可信，並且允許該配置(662)，則PVE 609從V-DB 613(664)中檢索出用於Clist或C_List中所有項的RIM。PVE 609從RIM(666)中重新計算出正確的驗證資料，並將所計算的驗證資料與所報告的驗證資料進行比較(668)。之後，PVE 609修改T_PVM，並施加時間印記(670)。之後PVE 609將該T_PVM轉發至SeGW 607(672)。SeGW 607在該V_PVM中檢查(或從該T_PVM中獲得)PVE確認結果(674)。SeGW 607將對裝置認證是拒絕還是同意發送到TrE 605(676)。如果PVE確認結果是拒絕，則TrE 605執行重啟並進行重新確認(690)。

可選地，在PVE 609對所計算的驗證資料與所報告的驗證資料進行比較之後(668)，PVE 609可向DMS 611發送失敗元件列表(678)。由DMS 611來判斷是否能夠進行更新(680)，如果是的話，則準備OTA更新(682)。還由DMS 611來確保在V_DB 613中存在用於更新的RIM(684)。DMS 611向SeGW 607(686)發送帶有重新確認指示的T_PVM，並向TrE 605發送重新確認觸發(688)。TrE 605執行重啟並進行重新確認(690)。

現在描述關於第6A圖、第6B圖和第6C圖的過程的細節。為了執行平台認證，TrE要收集以下資料，將其包括在確認訊息中，並將訊息發送至SeGW：裝置資訊-例如Dev_ID、製造商、TrE能力和屬性(包括RoT)；TrE資訊-包括ID、證明資訊、製造商、構建版本和可選的模型、結構、序列號；驗證資料-可包括平台配置暫存器(PCR)值或簡單的包括在本地驗證中失敗的元件的列表或受本地驗證失敗的元件影響的功能列表；驗證結合-例如通過PCR值的簽名或失敗元件或受影響功能的列表；元件指示符(CInd)-元件Clist有序列表，還可包括元件參數；以及 時間印記(可信或不可信的)。

所述指示符-元件有序列表及其參數可以包含例如以下資料欄位的項：索引、元件指示符(component_indicator)CInd、元件參數(component_parameters)。CInd提供了對元件的參考，其可以是URN形式的(例如URN：//vendor.path.to/component/certificate)。元件列表可以藉由例如指向RIM證書、RIMc來識別用於確認的RIM。

在裝置中，確認訊息可以額外包括裝置資訊-例如ID、證明資訊、製造商、模型、版本、結構、序列號、TrE性能和屬性(包括RoT)、在階段(1、2、3)進行了完整性檢查的裝置的安全策略和模組、硬體(HW)構建版本號，並且可以包括軟體(SW)版本號和完整性測量資料。

如果需要TrE特定資訊，則該TrE特定資訊可以是怎樣在裝置中實現TrE的描述。同樣地，TrE資訊可提供關於裝置的資訊和關於可信環境的分隔資訊，例如，TrE是否是經認證的IP元件。因此裝置的證明機構可以是有用資訊。

儘管對SAV較佳地採用使用RIM進行確認的方法，但其完全是可選的。其在此用作基本例子，其他方式可與此不同。例如，有的確認方式不從RIM重新計算驗證資料，有的甚至執行PVM時完全不需要RIM。

如果確認資訊與認證結合(例如藉由安全頻道)，則驗證結合也是可選的。

SeGW會對所接收的時間印記與本地時間進行檢查/比較，以檢測差異。如果所報告的時間印記與本地時間不符，則SeGW根據所報告的時間印記的屬性來進行操作。如果裝置的時間印記是可信時間印記，並出現差異，則SeGW會觸發對TrE及其可信時間源的重新確認。在不可信時間印記的情況下，SeGW將其自身的可信時間印記施加在訊息上。如 果裝置不能提供可信時間印記，則SeGW可添加可信時間印記，作為對重播攻擊的防護。

裝置資訊和TrE資訊是可選的。Dev_ID提供對裝置資訊和TrE資訊的參考。由於並不是所有MNO都知道會連接至網路的裝置以及所有的TrE，因此，可由資料庫來提供所有TrE資訊資料，例如映射，該資料庫可由MNO查詢，以獲取任一特定Dev_ID的TrE資訊。TrE資訊可位於TrE_certificate中。該TrE_certificate應由TrE或TTP的賣方簽名。

在第一種方式中，如果確認訊息中沒有驗證資料/結合，則可以簡單的方式來執行PVM。只有驗證了TrE的屬性時才能這樣操作。策略判斷必須只依賴於TrE資訊和元件列表。

這種方式的前提是在SeGW和裝置之間進行相互認證。否則，如果例如裝置改變經營者，則會發生信任問題。例如，其可能之前在遠端管理程序中，從假冒SeGW/MNO處接收了假冒RIM。

使用URN作為對元件的指示符是有好處的，這是因為其使用唯一標識同時表示了元件和可獲得RIM或RIM證書的位置。

在裝置確認期間，裝置向SeGW發送確認訊息。當接收到該訊息，SeGW檢查是否存在驗證結合。該步驟確保了驗證資料的真實性。之後，SeGW創建PVM權杖(T_PVM)。該權杖T_PVM可用作權杖環(rolling token)，在通訊中從一個實體發送至另一個實體。每個實體都在發送該權杖前向其添加時間印記，以確保其新鮮度，並防止非同步訊息流。權杖上的時間印記可提供用於跟蹤權杖狀態的方法。該權杖在CN中從一個實體傳遞至另一個實體，甚至好幾圈，因此可由實體追蹤。

可選地，可在載入了時間印記的資料的鏈中加入實體ID。

T_PVM可包括Dev_ID。如果原始時間印記不存在或不可信，則T_PVM還可包含由SeGW所發佈的新的時間印記。或者，T_PVM可包含來自確認訊息的原始時間印記。

可以使用時間印記來防護重播攻擊。該攻擊可與臨時用法或單增計數器相結合，或甚至由其替代。還可使用時間印記來評價確認資料的新鮮度。最好將上述兩種目的相結合，並且這也是可由時間印記提供的。

假設SeGW、PVE和DMS之間的所有通訊對於完整性、真實性和機密性來說都是安全的。因此，對於任何內部訊息，都不採取強制措施來建立這些安全屬性。但是，如果需要的話，也可以採用適當措施來保護整個或部分訊息。這些措施可以包括加密通訊頻道、相互認證和訊息上的簽名。SeGW維護權杖資料庫T_DB，該資料庫中包含所有處於活動狀態的T_PVM。

在第一種方式中，為了之後由DMS進行的裝置管理，T_PVM可包含通訊秘密，以用於在DSM和TrE之間構建安全頻道，例如TLS證書。

SeGW從確認訊息中獲取下列資料：確認資料、TrE資訊和Clist。在將這些資料與權杖T_PVM一起發送之前，SeGW在T_PVM上添加時間印記，並將其轉發至PVE。SeGW可檢查確認訊息的格式和其中的部分，以減輕不良形式資料攻擊的威脅。否則，攻擊者可能會試圖修改受攻擊的TrE的確認訊息中的資料，從而在PVE處對該資料的完全檢查會使系統產生錯誤或失敗。

在Dev_ID與相應H(e)NB的識別碼(H(e)NB_ID)之間進行分隔是有用的。雖然兩者之間的關聯是一對一的，但是從任務分隔(SeGW瞭解TrE，PVE瞭解H(e)NB)，以及可能的定址/管理角度來看，這種分隔是有意義的。在這種情況下，會存在中間步驟，其中PVE使用所接收的H(e)NB_ID從資料庫HNB_DB中查找Dev_ID。

PVE是決定裝置有效性的實體。即，在策略系統的語言中，PVE是策略決定點(PDP)。在嚴格的任務分隔方法中，其是PVE系統中唯一的PDP。其依賴SeGW和DMS來強制策略，例如用作策略強制點(PEP)。 在通常描述中，PVM不瞭解策略是怎樣產生的，以及該策略在哪進行儲存/管理的問題，例如，PVE是從哪里獲得策略的。在下述一些更具體的方式和次要的方法中(特別是參數確認和最小確認)，給出了一些策略情況和操作的示例。通常，對確認策略的判斷不僅依賴於單個元件的有效性，還依賴於Clist中所包含的其他資料。特別是，需要評價允許的參數(範圍)和載入順序(Clist是有序的)。

由PVE所執行的確認過程中所出現的失敗情況有一些基本類型。例如，失敗情況F1表示“TrE失效”的情況。藉由其認證的Dev_ID和所發送的TrE資訊，PVE將該裝置及/或TrE識別為不可信。

另一種例子失敗情況F2表示三種情況的“驗證資料失敗”。情況F2a表示完整性測量/驗證資料不匹配。這表示裝置安全啟動流程失敗，及/或裝置中存在錯誤及/或失效的RIM及/或RIM證書，之後該裝置啟動無效元件。情況F2b表示RIM丟失，即，用於元件的RIM丟失，需要從別處獲得。情況F2c表示失效的RIM證書。

失敗情況F3表示兩種情況的“Clist策略失敗”。對於情況F3a，單個元件有效，但配置不符合策略，例如載入順序，或不期望的元件或參數。情況F3b表示配置未知，這樣就不存在可用的Clist的“已知良好值”。

失敗情況F4表示“確認前裝置認證失敗”，當將認證與確認結合，並且裝置認證在確認之前時使用該情況。F4情況包括指示了失效的裝置證書的F4a情況。

現在描述對所述失敗情況進行檢測和處理的方法。對於失敗情況F1，PVE使用所接收的TrE資訊來查詢本地確認資料庫(V_DB)。該TrE資訊結構包含關於TrE的證明、製造商、結構、模型、序列號的詳細資訊。該確認資料庫V_DB儲存關於哪個TrE可被認為可信的資訊。例如，其可以執行策略以信任特定賣方、模型或其他類似標識。如果根據TrE資 訊的評價結果，TrE不可信，則PVE可向SeGW發送包含該資訊的訊息。之後，SeGW可根據該訊息進行適當的操作。PVE向T_PVM權杖添加聲明(例如附加資料欄位)，該聲明包含拒絕存取的原因，例如錯誤/不可信的製造商。PVE在T_PVM上添加時間印記和簽名。將該T_PVM轉發至SeGW。之後，SeGW可驗證該時間印記(重播防護)和簽名(防止假冒發送者)。之後，SeGW拒絕網路存取和裝置認證，並阻止進一步認證嘗試。

在拒絕進行網路存取和裝置認證的情況中，如果確認和認證是結合的，則需要停止認證過程。

在第一種方式中，可以使用根據特定屬性的裝置黑名單，該屬性例如是製造商、裝置版本和其他屬性。

PVE也可使用Dev_ID和TrE資訊，對未知TrE首先觸發與RIM更新過程類似的V_DB更新過程。

對於失敗情況F2，PVE從V_DB為所接收的Clist中的所有元件獲取RIM。確認資料庫V_DB中只儲存經過證明的RIM。必須將相應的RIM證書安全地儲存在V_DB中。

在一個實施方式中，可在查詢V_DB前檢查RIM證書，隨後可對其進行丟棄。可替換地，可為安全目的儲存RIM證書。例如，由於MNO持續地從可信第三方獲取RIM及其證書，因此MNO可使用該證書來向檢查方證明其在裝置管理中的服從性。

對於失敗情況F2a，PVE可從所查找的RIM計算出正確的驗證資料，並將其與在確認訊息中接收的驗證資料進行匹配。

如果所計算的正確的驗證資料與確認訊息中的驗證資料不匹配，則裝置的安全啟動流程可能已經受到攻擊，或可能在裝置中儲存了錯誤的RIM，並可能已經在安全啟動流程中載入了無效元件。PVE可將在確認訊息中或對PVE單獨請求的應答中所發送的測量值與RIM進行比較，以檢測失敗元件。

根據F2a策略，可應用多種選擇。在拒絕的情況中，PVE可以將確認的結果發送給SeGW。SeGW可拒絕網路連接或將該裝置至於隔離網路中。在更新的情況中，在接收到指示驗證資料失敗的確認結果(T_PVM)之後，DMS可根據管理過程來啟動管理程序，以替換確認失敗的元件。DMS可將T_PVM和指示符一起發送至SeGW，該指示符表示確認失敗，裝置將重新確認。DMS可向裝置發送正確的RIM，並觸發重啟。當重啟時，裝置可使用新的RIM重新認證和重新確認。如果驗證資料再次錯誤，則該裝置可能不能藉由遠端管理程序恢復。為了防止無限的重啟循環，DMS可將Dev_ID與時間印記一起儲存，該時間印記表明發送遠端重啟觸發的時間。如果DMS接收到命令要再次執行更新，則DMS可檢查是否已經儲存了Dev_ID。如果存在多個儲存項，則時間印記可指示短重啟週期，表明該裝置不能被恢復。如果在確認中沒有使用RIM，則此處所述的用於對失敗情況類型F2進行處理的方法是可選的。

在另一種方式中，根據驗證資料，例如PCR值，PVE可使用資料庫V_DB的特殊部分，該部分藉由PCR值緩存了可信配置。PVE可為有效配置查找驗證資料表，例如在PCR值的情況中為雜湊表。如果找到了匹配，則確認立即成功。在V_DB中為有效配置儲存預先計算的PCR值對以相同配置運行的裝置類型非常有用，其中雜湊值是相同的。不同於將所有元件與RIM進行比較，可比較單個合成雜湊值，從而降低了計算開銷，加快了確認流程。

如果沒有發生策略失敗的情況，則該裝置有效。PVE可將該訊息發送至SeGW，SeGW可以允許對CN進行連接。

對於失敗情況F2b，可從可信第三方(TTP)處獲得RIM。如果一個(或多個)元件的RIM沒有儲存在V_DB中，則PVE將丟失RIM的列表發送至RIMman。之後，RIMman嘗試從TTP獲得(經證明的)RIM。Clist包含元件指示符CInd(例如URN)，RIMman可藉由該指示符識別出 元件，並獲得關於查找相應RIM證書的位置的資訊。RIMman為新RIM執行RIM獲取，包括對儲存到V_DB中的RIMc進行驗證。RIMman對儲存CInd、RIM和RIMc的V_DB執行更新。RIMman向PVE通知V_DB的更新，之後PVE可從V_DB獲取丟失的RIM。

可替換地，可從裝置處獲得RIM。如果在確認訊息中，裝置表明其能夠向網路提供所儲存的RIMc(包括RIM)，則PVE可向該裝置請求確認時丟失的RIM和RIMc。這可作為找回RIM的備用辦法。由於裝置在安全啟動中已經使用過所有RIM，因此，裝置中存在全部RIM。如果PVE不能找到一些元件的RIM，則PVE將丟失RIM的列表與T_PVM一起，加上新的時間印記，發送至SeGW。SeGW執行與裝置的協定，以查找RIMc。SeGW將所接收的RIMc添加上時間印記，並載入T_PVM上，並將該T_PVM權杖轉發至PVE。PVE將所查找到的RIMc轉發至RIMman。之後，RIMman驗證所接收的RIMc是由可信實體所發送的，並且有效。RIMman對該新RIM進行RIM獲取，包括將對儲存到V_DB中得RIMc進行驗證。RIMman執行V_DB更新，之後向PVE通知該V_DB更新。之後，PVE可從V_DB中獲得經驗證的RIM，並接著進行確認。如果在查找和獲取步驟後，該元件的RIM依然丟失，則PVE不會再向裝置請求RIMc，而是從TTP請求獲取RIM，正如上文所述。任何從裝置或TTP獲得的RIM都一樣可按照數位證書的方式對可信度進行驗證。

PVM元件之間的信任模型決定了從裝置獲取RIM的操作順序。PVE不信任來自裝置的RIM/RIMc，而要等待其進入V_DB，進入V_DB只能由RIMman在檢查了該資料的可信度後才執行。PVE也與RIMman的RIM獲取操作同時，開始根據從裝置所接收的RIM重新計算驗證資料，但必須等待RIMman對其可信度的決定結果。

由於其僅在CN內部發送，因此可在受到整體性保護的附加訊息中發送該RIMc。該包含RIMc的訊息必須可與T_PVM鏈結。

對於裝置，可由外部實體來進行獲取RIM的流程，且該流程可擴展為裝置和PVM結構完全獲取流程。這可在PVM結構內識別為分散式RIM獲取。

所有從PVE發送至RIMman的訊息都必須受到格式和內容的限制，以確保訊息的整體性並減輕例如錯誤訊息的攻擊。訊息必須包含用於元件的單獨URN，用於指示可檢索到參考測量的位置。

對於失敗情況F3，PVE從配置策略資料庫C_DB中獲取關於允許配置的策略。該配置策略資料庫C_DB包含了根據Dev_ID的所允許的配置。由CPman對該C_DB進行管理。該C_DB還可包含策略操作，例如對一段時間內斷開連接且沒有進行確定的裝置進行所期望的更新。PVE根據Clist中的資訊對從CPman所接收的策略進行評價。如果評價結果產生F3a或F3b中任一種失敗情況，則可使用不同操作。

對於拒絕，PVE將關於失敗的配置策略的訊息載入在T_PVM上，並在該T_PVM上添加時間印記和簽名，並將其發送至SeGW。之後，SeGW驗證時間印記(重播防護)和簽名(防止假冒發送者)。之後SeGW拒絕網路存取和裝置認證(並阻止進一步的認證嘗試)。如果確認和認證結合，則停止認證過程。

如果Clist未知，並從而在C_DB中找不到(失敗情況F3b)，或對於Clist中的元件不存在策略(F3a的特殊情況)，則PVE呼叫CPman從TTP中查找配置策略。如果CPman能夠獲得新的配置策略，則CPman更新C_DB，並向PVE發送帶有指示符的訊息，該指示符指示所更新的配置策略。

如果該更新包含新元件(參考F3a)(從CPman向PVE發送包含該新元件識別符的訊息)，能夠保持C_DB與V_DB的一致。之後，PVE將關於該新元件的必要資訊轉發至RIMman，以獲得該元件的更新或新的RIM。在此，我們希望能夠保持用於配置的管理流程和RIM管理相互 分離，從而可獨立地操作元件Cman和C_DB與RIMman和V_DB。如果策略需要對裝置更新，則由PVE觸發該更新過程。

作為一個簡單策略的例子，C_DB可包含允許配置的列表。PVE將所接收的Clist轉發至CPman，該CPman依序將該Clist與所儲存的允許配置進行匹配。如果沒有找到匹配，則檢測到失敗情況F3b。由於在裝置管理過程中當前確認流程可能是裝置更新之後的重新確認，因此可能需要檢查更新。在該管理程序期間，裝置配置可能發生了變化，並可能需要與C_DB中新的配置進行驗證。

此處所述是重新確認過程的例子。可使裝置一旦經網路認證，就幾乎不再重啟，除非出現沒電這樣未安排的情況。對裝置進行重新確認可以是執行環境的常規部分。週期性的重新確認可使網路確信裝置正以預定狀態進行操作，從而減小了執行惡意代碼的風險。重新確認還能使認證程序再次啟動，從而保持了密鑰交換的更新，並重新建立了安全通訊頻道。裝置重新確認存在兩種觸發，一種是由網路觸發，另一種是由裝置觸發。此處所述的重新確認的方法可用於任何確認方法。

此處所述的是由裝置啟動的重新確認的示例。可以按週期性的機制來進行裝置啟動的重新確認。根據裝置的使用頻率，MNO可以在裝置的設置程序中設定週期性重新確認安排。在所安排的時間，裝置會啟動重啟順序，該重啟順序會觸發再次進行確認流程以及認證。同時，如果裝置需要進行軟體更新，則還可啟動相應的OAM過程。如果裝置在期望的時間範圍內不進行重新認證/重新確認，則可由CN觸發重新確認。對於只能由裝置啟動的重新確認，經營者對重新確認過程不具有控制力。如果大量裝置按相同安排進行操作，例如每月第一天，則會增加CN結構的載荷。

此處描述的是由網路啟動的重新確認的示例。與由裝置啟動的情況一樣，網路啟動的重新確認可以按週期性的機制進行，但是也可在網路由於安全原因而認為需要的任何時間進行。經營者還可將重新確認設 置為策略的一部分，從而經營者將裝置中的模組編程為在所編程的時間間隔內執行重新確認。可藉由向裝置發送指示重新確認請求的IKEv2訊息來觸發重新確認。可使用通知負載來承載為裝置新定義的重新確認觸發代碼。

PVE可週期性地向SeGW發送重新確認指示符。為了對所發送的所有請求保持追蹤，PVE將其與DEV_ID和時間印記一起儲存。之後，PVE週期性地檢查是否有任何裝置忽略了該重新確認請求。SeGW可經由IKEv2協定將該請求轉發至裝置。可在安裝時，根據主機方的請求設置重新確認訊息，從而降低服務中斷的風險。

裝置接收IKE訊息，該訊息的通知負載指示重新確認請求。之後，裝置啟動重啟順序，其中重新建立對網路的確認和認證。如果裝置受到攻擊以至於該裝置忽略了該重新確認請求，則PVE可在監視所有處於活動狀態的重新確認請求的過程中，檢測到該情況。PVE可將失敗的重新確認發送至SeGW，SeGW可採取適當的操作，例如將該裝置置於隔離網路中。

另一種由網路啟動的重新確認的方法涉及向裝置發送重啟信號，觸發重啟，從而在安全啟動流程中進行重新確認。

在另一種方法中，還可藉由來自其他網路實體的請求來進行裝置的重新確認。如果裝置製造商懷疑其裝置已經受到大範圍的攻擊，則製造商可聯繫MNO，並請求重新確認。這可通過由MNO戰略部門的處理來判斷是否進行重新確認而完成。PVE或HMS可以啟動重新確認和重新認證。

此處所述是平台管理的示例。DMS是負責裝置管理的主要實體。根據所接收和所儲存的裝置資訊，例如賣方、硬體/軟體配置/TrE能力等，DMS能夠啟動軟體更新、配置改變和OTA裝置管理程序。管理操作通常是由所發送的確認資料、來自PVE的確認結果和C_DB中的策略(例如所需目標配置)來決定的。

DMS可以與裝置的TrE建立安全頻道。DMS可使用T_PVM權杖來獲取裝置的Dev_ID、最近報告的確認資料和Clist。藉由發送帶有指示符的T_PVM，DMS使用Dev_ID來詢問SeGW，以與裝置TrE建立安全頻道，其中該指示符指示將裝置的狀態從“工作”設置為“管理”。從而，SeGW保存該權杖，可不提供回載鏈結(例如經由隔離)，並等待DMS確認管理操作結束。

根據DMS的管理操作，裝置可在軟體更新之後，例如藉由重啟來進行重新確認。之後可進行重新確認，其中，藉由使用來自之前確認的T_PVM來維持PVM系統的狀態，並可以不再產生新T_PVM。在這種情況下，DMS向SeGW發送經過更新的T_PVM權杖，其中的裝置狀態指示符從“管理”變為“重新確認”。SeGW保有等待進行重新確認的裝置的列表，當裝置請求網路存取時，其從該列表中查找裝置。之後SeGW可等待裝置一段特定時間進行重新確認。之後，將重新確認的結果發送回DMS，以確認管理過程成功結束。

在裝置的系統模型中會產生進行重新確認的需求。從DMS下載的新元件恰好在下一安全啟動流程之前插入裝置配置。因此，需要觸發重新確認，以作為平台管理的結束步驟。由於裝置必須重啟，且若平台認證進一步與平台認證結合，則重新確認可以包括切斷現有用於平台認證和管理的連接。在這種情況下，像上一段描述的那樣，SeGW可以為重新確認維持狀態。

隨著與裝置的TrE的安全頻道的建立，DMS可以安裝/卸載軟體(SW)元件(例如新SW元件)、改變配置和觸發重新確認。

在另一種方式中，裝置可以藉由確認訊息中的標記(flag)來指示重新確認。這避免了對接近SeGW的每個裝置查找重新確認列表。可在安全流程，(例如由TrE元件所執行的流程)中設置該標記，這樣任何裝置都不能藉由不設置該標記而進行重新確認。

該步驟和以上步驟可在SeGW端而不是PVE端進行，否則SeGW會自動產生新的權杖。特別是，這些步驟包括進行裝置管理的協定步驟，在該步驟中，SeGW必須對要求進行裝置重啟的重新確認進行追蹤。由於裝置在重啟後，裝置會再次連接從而再次認證，因此，SeGW必須對將要重啟進行重新確認的裝置進行追蹤，否則，SeGW會將其連接和認證嘗試認為是首次連接，從而發佈新的權杖。因此，在SeGW中包括維護重新確認列表。

連續在多回合重新確認中使用T_PVM有助於檢測重複出現的更新失敗和其他類型的操作異常。

如果DMS向裝置安裝新元件，則需要確保在從DMS發送至TrE的相同管理訊息中，包含用於軟體的RIM。可由TrE負責RIM的安全儲存和其本地管理。如果需要的話，在安裝元件後，由DMS觸發重新確認。可向PVE發送用於該新軟體的RIM，PVE經由RIMman將該RIM儲存至V_DB中。DMS相應地使用CPmar更新配置策略資料庫C_DB。可在裝置進行重新確認前，能夠在V_DB中使用用於新元件的RIM，以使PVE對新配置進行確認。在配置變化的情況下，例如，如果DMS改變了用於給定元件的參數，則DMS可經由CPman對C_DB進行更新。

TrE可為安全更新和管理功能提供安全運行環境。該功能確保了受攻擊的裝置在軟體或元件更新失敗的情況下，至少能進入救援模式。在失敗情況下，DMS可使用回落代碼機制(FBC)用於裝置恢復。這使裝置能夠變為原始狀態，在該狀態中，可經由DMS管理方法對主要代碼進行更新。

為了避免出現競爭情況，可在權杖傳遞後，由DMS發送至TrE的訊息來觸發重新確認。否則，裝置可能會在SeGW接收到權杖並準備進行重新確認之前，嘗試進行重新確認。

在另一種方式中，SeGW可為重新確認列表中每個裝置的重 新恢復嘗試或失敗嘗試次數計數“n”，在達到計數後可將裝置列入黑名單、隔離、觸發欄位內維護，或其組合。

在另一種方式中，可在T_PVM中包含，或可從T_PVM中獲取用於建立安全頻道的通訊秘密，而不涉及SeGW。

另一種方法可以不拒絕連接到裝置，而是禁止PVM中不能通過確認或不能替換或更新的元件。通常，DMS可發送禁止CInd和重新確認訊息，其有助於減輕經歷如下所述的經營者鎖定的風險。PVE可用於防止在裝置和經營者之間出現“信任之爭”。各種用於防止出現“信任之爭”的方法都可用。在一個示例方法中，可藉由強制進行重新確認時不包括Clist中的該元件來禁止裝置元件。這可當組建的有效性更新不可用時使用。在另一方法中，可強制改變載入順序。在另一方法中，強制改變參數，其可影響或不影響RIM。強制改變參數需要DMS從PVE獲得有關所有裝置元件的所需資訊，而並不僅是那些確認失敗的裝置元件。

在PVM中，通常不需要向裝置發送RIM證書。在現有PVM結構中，驗證和管理是經營者網路的任務，其位於RIMman中。因為裝置信任網路，所以裝置可信任在管理過程中所接收的RIM和CInd。而另一方面，可信計算群組(TCG)行動電話工作組(MPWG)將由可信裝置所執行的RIM獲取定義為分散(de-centralize)過程，其中裝置還要對所獲得的由MTM保護的RIM證書進行驗證(在對其安裝之前)。這兩種形式不是相互排除的。DMS可將RIM與其他資料一起發送，而TCG MPWG相容裝置可根據TCG規定來安裝。這是PVM與TCG MPWG為安全啟動所定義的裝置管理之間的不同點。

現在描述驗證資料的示例。發送驗證資料(例如以PCR值(其為單個測量的聚合雜湊值)的形式)以及為認證結合驗證資料是TCGTCG規範所提供的技術標準。但是，根據TCG規範建立驗證資料和進行結合計算的耗費很大，特別是對有很多待測量元件的裝置。這通常藉由 此處所述的加密擴展操作來解決-基本上為從兩個舊雜湊值創建新雜湊值。這會顯著減慢裝置的啟動流程，這在例如家庭環境中是不希望的。

同時，由於其發送與關於測量結果的資訊相類似的資訊，因此在RIM和驗證資料之間存在冗餘。如果正確執行了安全啟動，則TrE將測量值與RIM進行比較，並且只載入兩者都匹配的元件。因此，Clist中所分配的RIM承載了所有有關驗證資料的資訊。事實上，由於驗證資料被認為是所述測量值的集合，因此，RIM可承載比驗證資料更多的資訊。驗證資料是實際測量值的唯一加密簡略形式。在一個實施方式中，可將PCR值用作驗證資料。

針對驗證資料的爭論的基本假設是安全啟動流程正確地將實際測量與Clist中所示的RIM進行比較。因此，從安全的角度來說，存在一個重要的原因，即為什麼驗證資料能增加被確認的裝置的信任度。當裝置具有錯誤的RIM，或將測量值與假冒RIM進行比較時，會出現這種情況。

還有進一步的觀點支援保留驗證資料-由於在安全啟動流程中所產生的，具有高保護性的資料，唯一地識別了所達到的系統狀態-即使是在安全啟動或一元(monadic)方法(例如AuV)的情況中。事實上，安全啟動本身並不能對其他確認資料進行完整性保護，在本情況中，確認資料可以僅是沒有測量值的元件列表。該CId列表還告訴確認器在哪里和怎樣獲得有關元件的信任資訊(例如從TTP處)。

攻擊者會試圖操縱確認資料(Clist)，將較低信任度的元件標識替換為(所獲得的)具有較高信任度的元件的CId(“元件信任評價”)。確認裝置(TrE)對該偽造資料簽名，並進行正確的確認-如果沒有驗證資料，則沒辦法在內部檢測到該操縱。

在一定程度內減輕該攻擊的方法是安全啟動引擎藉由將資料封閉(seal)至所述狀態而使該資料為靜態(上一個PCR值)。確認時，需要解除對該資料的封閉，因此再次出現相同的安全缺口。並且，由於需 要系統在SML封閉後保持靜態，因此限制了這種方法的靈活性。

因此，裝置和確認器都非常需要具有驗證資料的確認資料，即使是在安全啟動的情況下。

此處所用的“驗證資料”與“對原始測量資料進一步處理所產生的資料(例如雜湊)(之後對其進行驗證以找到匹配的RIM)”同義。在完成安全啟動後，該驗證資料唯一識別了平台狀態。錯誤RIM的出現可能是例如來自受攻擊的源，其可能對PVM系統整體產生更大影響，因此造成了極大風險。

一個具體的場景是其中位於經營者CN以外的可信RIM源受到攻擊，例如被另一方攔截或欺騙。在檢測和糾正該攻擊之前，RIM源會在正常的PVM平台管理中向大量裝置以及受攻擊的元件發送假冒RIM。

在這種情況下，通常的修正辦法是(即，在公共密鑰基礎結構(PKI)中的共同做法)廢止相應的RIM證書。由於可信參考資料會位於裝置中，因此這種程序會對裝置增加負載。TRV修正會對整個裝置範圍內的RIM、RIMc和元件進行強制更新，但是實際上只有一小部分會受到攻擊的影響。這會引起巨大的網路流量，對使用者造成不便。該裝置支援能夠執行授權TRV修正的機制和協定。

在這種情況下，在確認中可以產生和使用驗證資料。PVM系統可根據策略，為每個單獨的確認裝置呼叫驗證資料使用。之後，PVE可以檢測受攻擊的裝置，並僅管理該裝置。在此稱之為“最小確認策略”。

現在描述基於權杖傳遞的PVM操作的示例。此處所述的PVM是非同步流程。因此，受各種實體攻擊的PVM系統應有多種狀態，且其應能從流程的當前狀態中進行恢復，以減輕對分散式系統及其失敗狀態進行的各種已知的攻擊。

在一個例子中，可使用權杖傳遞來進行以下操作。可將SeGW配置為是負責產生和管理權杖的實體，該權杖唯一地與確認流程相 關。該PVM權杖不僅可以與確認TrE的標識結合，還可以與有問題的單一確認流程結合。該權杖傳遞方法包括重播/重新確認防護。確認嘗試能夠唯一地防止對舊認證進行重播，並藉由頻繁的重複確認來提供一種檢測DoS攻擊的方法。藉由權杖可以建立確認會話，從而允許PVM相關資料和訊息與唯一確認之間建立唯一關聯。這也是評價新鮮度的前提。

由於可根據時間印記(不必被簽名)來產生確認權杖，因此可以控制確認資料的新鮮度，該時間印記最初是由SeGW產生的，之後在每個實體傳遞該權杖時，會被附加到時序列表。

另一種加入新鮮度的方法可以是在載入RoT後，立即從安全即時通訊(RTC)中讀取時間，並使用該時間印記來建立聚合雜湊鏈。另一種替換方法可以是使用順序計數器，該計數器在每個重啟週期增加，RoT可使用該計數器建立雜湊鏈。

而另一種加入新鮮度的方法是完成階段1和階段2的檢查，開始與SeGW和PVE進行通訊，之後使用SeGW/PVE所提供的臨時用法，在將階段3的確認結果資料發送給SeGW之前，與階段3的檢查的進一步驗證結合。這就確保了確認資料的新鮮度。

與在標準PVM中一樣，在多回合重複確認中連續使用T_PVM有助於檢測重複出現的更新失敗和其他類型的性能異常。SeGW可根據確認權杖的各種情況進行檢測和操作。例如，保持活動時間過長的權杖可以表明PVM普通失敗。SeGW可以在PVE和DMS中查詢該權杖的狀態，並根據該狀態進行操作。可將這種情況識別為確認超時。在另一例子中，在權杖處於活動狀態時可能會出現重新確認。這可以表示各種情況，例如意外重啟、電源用盡或DoS攻擊。在另一例子中，可能會在入侵檢測系統(IDS)中檢測到基於時間的形式，例如隨機的或週期性行為。可將該裝置隔離或列入黑名單，還可觸發欄位內維護。

還可使用權杖來保護在PVM系統實體之間和PVM系統與 裝置之間所傳遞的資料的完整性。為此，其可以包含所要保護的資料的雜湊值，例如Clist，或在處理失敗情況F2a時，丟失的RIM的列表，以及指向該資料的指標。T_PVM中資料物件並不是作為整體存在的，因為這會對其造成超載，產生大量開銷，實際上，該開銷可能會產生特定DoS攻擊。

現在描述經營者RIM遮蔽方法的示例。經營者RIM遮蔽將大量來自各種外部源的用於裝置元件的RIM證書替換為由經營者(或等同的“選擇歸屬經營者”(SHO))所產生的RIM證書，該經營者是裝置希望與之建立回載鏈結的經營者。對於V_DB中的相同元件，只要這些SHO RIM證書(SHORIMc)可用，在確認中該證書就優於外部RIM證書。在裝置管理中，由DMS向裝置安裝SHORIM，在由TrE執行的裝置安全啟動中，其在裝置本地依然優於外部證書。

該SHORIM可用作“第一級緩存”，以用於在確認中獲取RIM證書。可將其與在本質上指向技術上分隔的、高性能的V_DB子資料庫的特殊CInd相關聯。

經營者RIM遮蔽適用於任何類型的高度行動裝置，例如M2M設備(M2ME)。當行動裝置進入新經營者的領域並進行確認時，可向該經營者提供指向另一經營者的CInd。該經營者可以以與行動裝置漫遊類似的方式接受該CInd，或按此處所述方法進行替換。

在經營者遮蔽的另一種方式中，當SHO決定不釋放由該SHO所產生的SHORIMc的簽名密鑰的公共部分時，另一經營者很難，或甚至不能對來自該SHO的裝置元件進行確認。可將這種機制擴展為與傳統SIM鎖定程序所提供的鎖定具有相同級別的鎖定。可在區域中首次部署裝置時將經營者RIM遮蔽用作存在週期的管理工具，以在裝置首次與SHO進行聯繫時，遠端“標記”該裝置。

為了根據PVM建立經營者RIM遮蔽，描述以下附加步驟，並參考上述原始PVM程序。在用於RIM遮蔽的PVM設置中，RIMman將 PVE和DMS配置為各自執行在經營者RIM遮蔽中的功能。在平台認證中，PVE發送(單獨或與關於元件有效性的訊息一起)訊息，該訊息包含目前V_DB中的SHORIM所涉及的元件列表。將DMS配置為，對裝置中將安裝該新SHORIMc的元件執行證書更新操作(不需要更新元件自身)。

在確認期間，PVE對SHORIM不在V_DB中的元件進行識別(這與元件的任何RIM和RIMc的可用性(例如正常PVM流程)不相關)。PVE向RIMman發送所識別的候選元件列表，該列表包含CInd和實際RIM(RIM需要該資料來產生相應的SHORIMc(通常藉由對其簽名而實現))，以進行經營者RIM遮蔽。RIMman根據本地可用策略來判斷對所接收的列表中的哪些元件應用經營者RIM遮蔽。

RIMman藉由對各個RIM簽名來產生用於這些元件的SHORIM。根據本地經營者策略來確定證書參數，例如有效性週期。RIMman產生指向V_DB中SHORIMc的SHOCInd。RJMman向V_DB中附加新的SHORIMc和SHOInd。在一種實施方式中，儲存所有的“舊”資料，例如V_DB中原始的CInd和RIMc，以為之後的可追溯性和回落所使用。RIMman向DMS發送(CInd、SHOCInd)對的列表，指示DMS強制對有問題的裝置進行RIM指示符更新。DMS在正常的裝置管理中，向裝置TrE發送RIM指示符更新訊息以及SHO資料，但是不進行元件更新。通過該訊息，DMS可要求裝置在之後的確認中僅使用SHOCInd。

除了安裝SHOCInd(也可能是SHORIMc)以外，在裝置上所進行的操作都取決於本地策略。精巧的裝置會保存其原始製造商CInd，還可能保存相應的RIMc。為了實現靈活性，裝置會嘗試至少為每個元件保存用於各個經營者以及原始元件製造商/證明方的多個不同CInd。

DMS可強制裝置進行狀態重新確認。當裝置的RIMc更新失敗時，需要進行狀態重新確認來避免循環行為。

現在描述經營者元件鎖定的示例。作為經營者RIM遮蔽的 擴展，經營者可能夠對裝置或其元件在外部網路中的操作進行控制和限制。這可按以下方法擴展為經營者元件鎖定。應被鎖定的元件部分被SHO使用例如對稱密鑰進行加密。對該修正過的元件執行經營者RIM遮蔽。在受保護和受控的空間內，將解密密鑰發送給TrE(或UICC)，該空間只能由SHO授權存取。在確認時，當PVE接收到用於該元件的SHOInd時，SHO向TrE發送授權資料。之後，將元件的加密部分發送至TrE的安全操作空間，在此進行解密和操作。

因此，SHO鎖定的元件只能在裝置對特定SHO確認時才能工作，該相同裝置不能對另一經營者進行確認。

在另一種形式中，釋放解密部分，以在TrE外部進行操作。這樣做在安全性方面要弱於之前的方式，因為可藉由轉儲(dump)裝置記憶體而恢復全部元件。通過所獲得的完整元件，可重新產生RIM，並可成功進行對另一經營者的確認，從而解除鎖定。

另一種實現元件鎖定的方式不需要在TrE中管理加密秘密，或由其他安全元件(例如通用積體電路卡(UICC))保護加密秘密。可藉由使用元件修改來產生經營者唯一的SHORIM、SHORIMc和CInd。之後可將該資料用於代碼混淆和浮水印領域。

一種經營者元件鎖定的示例可涉及漫遊經營者攔截另一經營者的元件或整個裝置。期望上述基於TrE的方法來保護其餘自由使用者裝置免受此攔截。本質上，裝置應當針對該程序向使用者/主機方/原始SHO發出警告，並維護關於何時允許對元件進行鎖定和何時不進行鎖定的策略。

現在描述的示例方法用於在裝置管理中，藉由使用涉及特定PVM系統和經營者的特徵的PVM，來對裝置進行個別化。由PVM所管理的裝置可處於與特定PVM系統和管理經營者相關聯的可信狀態。當漫遊裝置進入另一PVM系統和經營者的領域時，該漫遊裝置會出現問題，即，需要該裝置證明之前由誰管理其配置和可信度。一種為該裝置實現獨立措 施，以向另一端提供證據的方法是向該資料提供已經簽發了該裝置的定址的資料。該訊息的個別化證明了發送方的有意簽名。一種方法可以是在資料中包含由經營者簽發的Dev_ID。任何接收到該簽名資料的一方都可認為其相應訊息及其內容都是由進行簽名的經營者專用於該特定裝置的。在對方相信該進行簽名的經營者正確實施了對裝置認證的驗證(例如，經由Dev_ID)時，這樣做有效。如果這樣做不合理，則可由簽名經營者對Dev_ID的整個認證證書簽名來代替。所簽名的資料還可包括實際的RIM，由於這將建立另一個RIMc而導致添加特定的冗餘，其使用Dev_ID進行擴展。

現在描述兩種根據PVM建立個別化的有效方法。在一種方法中，RIMman在SHORIMc中包含Dev_ID，只有在由裝置維護RIMc時，SHORIMc才可用，因此，在裝置內部儲存SHORIMc(其中包括Dev_ID)。在另一種方法中，RIMman或DMS向(Dev_ID、CInd)對使用經營者簽名，且如果使用了SHOInd，則向該SHOInd使用相同的經營者簽名。

現在描述將裝置列入黑名單的示例。可以為裝置建立黑名單，並根據該黑名單禁止網路存取。該黑名單可至少包括Dev_ID，可選地包括TrE資訊(證明、結構、製造商、模型、序列號)。這種名單通常可由DMS訪問。在一個實施方式中，每個MNO管理其自身的黑名單，而DMS可訪問該名單或資料庫。使用Dev_ID來查詢特定裝置是否被列入黑名單。之後，拒絕對該裝置進行網路存取。在另一實施方式中，可維護一個通用黑名單，其中每個MNO都列出惡意裝置，該資料庫可由所有MNO讀取。必須保證每個MNO都只能將其自身的裝置列入黑名單，但所有MNO都可讀取所有條目。這種通用資料庫需要更多的管理和維護工作。可將上述實施方式與替換實施方式相結合。

當PVE接收到權杖T_PVM時，PVE在該T_PVM上加上時間印記，並將其轉發至DMS，DMS從該權杖中獲取Dev_ID，和可選地獲取TrE資訊。DMS藉由使用Dev_ID(且如果需要或存在的話還包括TrE 資訊)來查詢黑名單。如果裝置在黑名單中，則DMS將包含T_PVM的訊息作為黑名單項發送至SeGW。該訊息可包含DMS的時間印記。之後SeGW可拒絕對CN的連接。

可藉由使用TrE資訊欄位的擴展資訊來實現另一種方式。其可將特定賣方、模型、序列號範圍等列入黑名單。根據黑名單行為的複雜度，本地以MNO為中心的方案會比中央式黑名單更容易實施。

現在描述將裝置列入白名單的示例。可為裝置建立白名單，根據該白名單允許網路存取。白名單通常至少包括Dev_ID，可選地包括TrE資訊，例如結構、製造商、模型、序列號。這種名單通常可由DMS訪問。

當PVE接收到權杖T_PVM時，PVE在該T_PVM上加上時間印記，並將其轉發至DMS。DMS可從該權杖中獲取Dev_ID，並可選地獲取TrE資訊。DMS藉由使用Dev_ID(如果需要或存在的話，可選地使用TrE資訊)來查詢白名單。如果裝置在白名單中，則DMS將包含T_PVM的訊息作為白名單項發送至SeGW。該訊息可包含DMS的時間印記。之後SeGW可允許對CN的連接。

可藉由使用TrE資訊欄位的擴展資訊來實現另一種方式。其可將特定賣方、模型、序列號範圍等列入白名單。根據白名單的行為的複雜度，本地以MNO為中心的方案會比中央式白名單更容易實施。另外，調節器可能會要求MNO維護黑名單，而不是白名單。

在另一實施方式中，每個MNO都維護白名單或資料庫，而DMS可訪問該名單。使用Dev_ID來查詢特定裝置是否被列入白名單。之後，授權該裝置進行網路存取。

在另一實施方式中，可維護一個通用白名單，其中每個MNO都列出其自身的可信裝置，該資料庫可由所有MNO讀取。必須保證每個MNO都只能將其自身的裝置列入白名單，但所有MNO都可讀取所有項。這種通用資料庫需要更多的管理和維護工作。通用白名單裝置的資料庫會 需要MNO之間建立額外的可信關係。MNO A認為可信的裝置能列入白名單，並能進入MNO B。這需要標準的及/或經證明的裝置確認過程來比較裝置的可信級別。可選地，可以將上述方式結合實施。

現在描述用於裝置的隔離網路的示例。建立用於裝置的隔離網路可能需要對經營者網路進行額外改變。在該新網路中，SeGW仍可用作CN的執行屏障。由SeGW決定將哪些裝置進行隔離。

隔離中的裝置對CN沒有直接存取，且向使用者不提供或提供受限的服務。在PVE評價驗證資料時，會發生確認。可根據評價結果觸發新的操作。例如，可認為裝置可信，並可連接至CN。在另一示例中，可檢測認為裝置受攻擊或不可恢復。將該裝置列入黑名單，並阻止其進行進一步的連接嘗試。在另一示例中，SeGW將確認結果與Dev_ID和TrE資訊一起轉發至DMS。DMS可提供適當的更新/軟體變化，來對裝置進行恢復。可向SeGW通知更新，並由SeGW觸發對裝置重新確認。如果應用更新成功，則確認成功，可授權進行網路存取。

可將上述黑名單方法與隔離網路結合使用。這能使經營者在可能的情況下，例如藉由經由OTA提供更新，來利用對裝置的連接。可替換地，可使用黑名單來完全阻止裝置。例如，如果裝置不能被OTA措施恢復。欄位內替換/服務必須重視這種裝置。

如果其他裝置被列入灰名單中，則將其隔離。該灰名單中所包含的裝置例如是新加入網路的(來自另一MNO的)；其連接時間還未達到足夠長的裝置；具有可疑性能的裝置；和存在安全警告(由賣方或獨立製造商發出)的裝置。

現在描述參數確認的示例。在PVM期間，對於所載入的元件，驗證資料可能會依賴於配置參數。由於這些參數可能會頻繁變化，並在同樣兩個裝置之中不同，因此，PVM的基本實施方式允許在確認期間明文發送參數。但是，這需要保存完整的參數資料庫，並要求同時在裝置端 和確認器端進行記錄。這會產生如下影響：1)參數設置會佔據大量記憶體空間，並且當對其進行評價時，會減慢確認過程；和2)對每個裝置大量儲存和評價參數會向第三方過多暴露裝置配置，造成外泄。

一種在PVM流程中包含參數的方法是基於擴展雜湊值的方法，即，將參數的雜湊功能結果與元件的測量相連接。參數摘要值是對元件參數值進行順序化和二進位再現而產生的，之後使用該參數摘要對該元件現有的測量值進行擴展。因此，為了進行確認，可以以相似的方法來處理所有測量和參考值、RIM和RIMc，從而實現多種方式的參數確認。

在證書(例如X.509)與屬性證書(例如，參照參數來看待的屬性)的關係之間存在的類似問題，在此被表示為“屬性證書的非法(rigged)雜湊值”，該問題可藉由在參考測量和RIMc中包含參數來解決。

現在描述診斷確認的示例。一種基於PVM概念的驗證的實施方式包括在裝置中不具有RIM的情況下允許載入元件的選擇。可以在裝置上沒有運行重大安全軟體和足夠安全時，下載特定元件，但網路需要知道該變化。在另一實施方式中，MNO建立了策略，即通常由裝置對特定元件(例如由於頻繁變化)進行測量，但由網路進行確認。並且，載入和測量未知元件可以是裝置的默認操作，並將確認的任務交給網路。網路可將裝置隔離，該裝置依序啟動裝置的遠端OAM修正。例如，其可返回原始狀態，移除元件或採取其他措施。

現在描述對失敗情況F2a的PVM診斷的示例。當PVE沒有向DMS發送產生了F2a失敗的元件的列表時，可按如下來查找失敗元件。例如，裝置可能沒有保存可用於向PVE示出以便與RIM進行比較的SML。在這種情況下，DMS可以不替換裝置中的失敗元件-因為其不知道該失敗元件-而是在正常管理程序中，將Clist中的所有元件都替換為正確元件。一旦重啟和重新確認，由於未載入的元件在內部驗證中失敗，因此裝置還可將該未載入的元件列表包含在確認訊息中。PVE甚至可以藉 由將之前確認的Clist與RIM更新後的Clist進行比較來進行診斷。當在本地與正確的RIM進行驗證時，現在丟失的元件在安全啟動中是沒有被載入的。這樣，丟失的元件就是需要替換的元件。之後，可在第二管理週期中對這些實際需要替換的元件進行替換。

如果裝置報告無法載入元件(例如RIM丟失或錯誤)，並將該元件的測量值發送給CN，則可以使用另一種方法來進行診斷確認。根據MNO策略，可觸發OAM修復流程來移除或修復元件。在另一種方式中，如果TrE檢測到元件的RIM丟失或錯誤，則允許裝置直接請求進行OAM修復。

另一種方法可禁止元件而不是對裝置拒絕連接，該元件在PVM中不能確認，且不能替換/更新。在這種情況下，DMS可發送用於元件的“禁止CInd”訊息，並觸發該裝置的重新確認。這可適用於載入了未知元件的情況。

另一種方法可由DMS指明在特定裝置中允許哪些元件。如果裝置在安全啟動期間載入和確認了所有元件，包括不允許的元件(例如，由於最近發現了安全漏洞，但還沒有可用的更新)，則DMS可經由SeGW向裝置發送訊息，該訊息使裝置禁止該元件。要求該裝置進行重新確認。如果在重新確認期間沒有載入該元件，則DMS將該情況通知SeGW，SeGW隨即允許完成認證/確認。

現在描述最小確認策略的示例。由於啟動時的元件測量(例如，擴展PCR值，和將測量寫入產生Clist的SML中)會在啟動程序中產生一些延遲，因此，最小確認機制僅在特定情況下才要求裝置進行確認。由於RIM和所儲存的測量值(例如PCR值)發送部分相同的或冗餘的資訊，因此，消除該冗餘能夠節省訊息和儲存容量。

如果可在裝置上建立本地完整性測量、驗證和強制流程(例如，安全啟動)，則由於驗證資料(例如PCR值)會包含與RIM本身相同 的資訊，因此僅發送在此次本地驗證流程中所用的RIM就足夠了。因此最小確認可以不發送驗證資料，而是只發送在本地驗證過程中所用的參考值。在另一種方式中，不發送RIM，而是當且僅當RIM具有唯一識別符時，僅發送對RIM的指示符。

最小確認的兩個條件包括：1)本地測量、驗證和強制(MVE)流程可信；2)用於在裝置上儲存的RIM的RIM源可信。可以將本地MVE流程的驗證資料報告給外部實體進行評價。這用於信任的顯性建立。可將MVE流程實現為使其不受攻擊。裝置稍後報告RIM的情況表明MVE流程可信。這用於信任的隱性建立。

為了評價所報告的RIM的可信度，還可以發送由賣方、其他MNO、TTP和其他方所簽發的RIM證書。如果RIM證書的簽發者可信，則認為RIM可信。如果所報告的任何一個RIM不可信，則可採取措施，例如將裝置置於隔離網中或列入黑名單。

可對RIM和驗證資料的冗餘進行調整，以增加效率。例如，可要求裝置僅在特定情況下，或僅以特定頻率發送驗證資料。例如，如果PVM系統已經檢測到了受攻擊的RIM；新裝置漫遊至該經營者區域或SHO在一段時間內未發現該裝置。在另一示例中，可要求僅每進行“N”次確認發送一次驗證。

現在描述用於PVM的修正示例。修正或軟體更新都是裝置持續服務所需的操作。裝置需要修正的原因很多。除了正常的軟體升級維護、漏洞修正和增強以外，修正可以是集成在裝置一般的安全流程中的部分。在確認程序期間，對裝置上的軟體進行測量並驗證其完整性。將該測量值與位於TrE中的RIM進行比較。如果驗證失敗，則該代碼已被篡改，或RIM對該特定編碼基底出現是不正確的。可以啟動修正程序來更新編碼基底或RIM，以確保裝置的正確確認。

如果對一個或多個元件的裝置完整性檢查失敗，則這表明要 麼是這些元件受到了攻擊，要麼是相應的可信參考值與裝置上的編碼基底不一致。可以啟動修正程序，至少向CN表明裝置不能對SeGW認證，同時還能有助於由網路所啟動的對編碼基底或對應於所安裝的編碼基底的新可信參考值的更新。可透過SeGW在DMS與裝置之間進行修正。

對於啟動任何修正，一些共同的安全要求都是適用的。這些要求是由發生失敗的安全啟動流程的階段所決定的。所考慮的最壞情況是在安全啟動的階段2所發生的失敗，該失敗表明建立了TrE，但沒有與外部實體進行連接。因此，在這種情況下，裝置不能在正常的啟動中請求修正。可安全地將額外的編碼基底，例如FBC，載入至TrE中，用來進行修正。這種流程的安全性是以以下為特徵的：1)可將FBC完全地且無變化地載入至TrE中；2)TrE可安全地執行該FBC；3)與網路實體(例如DMS)為進行修正所進行的通訊會受到完整性和保密性的保護；和4)在整個過程中保護用於修正存取網路的憑證。可替換地，不用將FBC載入至TrE。FBC可與TrE同時存在，例如，作為另一個用於單獨的修正目的的(可信)編碼基底。由於FBC儲存在安全的記憶體中，或受到HW安全秘密的保護，因此可產生對FBC的信任。這樣，TrE就不需要運行FBC。該FBC可以是獨立的，可直接運行，而不需建立TrE。

現在描述由裝置啟動的修正示例。在裝置確認的範圍內，修正可以作為檢測到錯誤時，立即對裝置進行隔離的替換方式。在自主確認的情況中，TrE是首先被驗證的部分。如果其驗證正確，則表明裝置已經達到了預定的安全啟動狀態。能夠這樣認為是因為TrE是可靠的，且儲存在TrE中的RIM是可信的。但是，這並不表明對於目前載入到裝置中的特定版本的代碼來說，RIM是正確的。

現在描述由網路啟動的修正示例。在自主確認的情況中，如果裝置確認程序失敗，則可啟動FBC，對包含RIM的主編碼基底觸發軟體更新。裝置可發送IKEv2訊息，該訊息的通知負載表明裝置正在執行回落 模式，需要立即進行修正。

對於半自主確認方法，修正程序不需要對軟體或可信參考值(TRV)進行全部更新。當裝置通過了階段1和2的確認但階段3確認失敗時，可在IKEv2協定的通知負載或證書中將涉及失敗模組的資訊返回給PVE。如果PVE認為所述失敗模組不重要，則可繼續進行確認和認證，同時所述失敗模組被禁止/卸載。但是，如果所述失敗模組重要，則PVE可向DMS發送資訊，表明需要進行修正。

另一種情況是對於特定編碼基底，儲存在TRE中的RIM不正確。可將失敗的測量返回PVE，PVE中對資訊的分析表明錯誤出現在RIM中，且只有這些值才需要在TRE中安全地更新。

現在描述用於事故信號和回落代碼的示例和實施方式。裝置可具有回落代碼(FBC)圖，該回落代碼圖的目的是在裝置完整性驗證失敗時，便於裝置進行修正。可將該FBC儲存在安全記憶體中，例如唯讀記憶體(ROM)。如果本地裝置完整性驗證失敗，則可呼叫該FBC。該FBC可至少包含用於與CN中負責對受影響的裝置進行修正的實體進行通訊所需要的所有必需功能、方法和證書。並且，FBC還可包含用於從網路接收全部軟體更新的功能。還可考慮一個特殊的“修正”DMS。

裝置和TrE可在裝置完整性檢查失敗時，執行以下修正指示程序。首先，TrE可啟動對可信碼進行操作，該可信碼稱為回落代碼(FBC)。可將該FBC儲存在安全記憶體中，例如ROM。第二，FBC可以與預先指定的“修正”DMS建立安全連接。第三，FBC可以向DMS發送事故信號，該事故信號可包括裝置ID。當接收到該事故信號時，DMS就可知道該裝置發生了例如完整性檢查失敗並請求進行維護。可選地，DMS可在接收到該信號時啟動完整的韌體更新程序，或執行診斷以便執行部分代碼/資料更新。

現在描述不需要RIM的確認示例。不需要RIM的確認可包括在負載TrE的控制下，將元件代碼安全發送至安全記憶體，例如安全儲 存卡。不需要RIM的確認還可以包括通過加密對摘要值進行替換，從而在普通記憶體中儲存加密元件，例如代碼。其還可以包括使用密鑰或加密密鑰進行加密，該密鑰可以是受TrE保護並與DMS共用的，該加密密鑰是由非對稱密碼演算法得出的，其中，DMS和TrE可具有公共和私人密鑰對。不允許對加密代碼進行定向修改。由於對篡改資料進行解碼不產生意義，因此任何對代碼的操縱在解碼時都會被檢測出，例如在安全啟動的方式中。檢測這種變化可藉由在加密代碼中包含摘要值來實現。可使用進一步的選擇，例如改錯碼。

現在描述在確認過程中包含基於位置的資訊的示例。一些裝置可用於基於位置的資訊占非常重要的地位的應用場景中，例如防盜、貨物追蹤、車隊監控或監視。通常裝置可裝有全球定位系統(GPS)模組來提供地理位置資料。安全啟動也可包括GPS模組和元件，來確保對基於位置的資訊進行可信的產生和儲存。還可額外地將位置資訊安全地儲存在TrE安全記憶體中。之後可將位置資訊包含在確認訊息中。該訊息可例如用於：如果所報告的位置與所需位置不符，則可藉由OAM程序改變裝置配置。如果裝置報告了新位置，則可將其配置改變為使其使用不同的參數來連接網路、觸發軟體事件(例如登錄、報告或關機)。可假設位置資訊由可信應用安全地進行操作。

現在描述PVM在H(e)NB和M2M情況中的應用和實施方式，其提供了從通常PVM結構到現有的標準化得網路實體、協定和機制的映射。這兩種應用都顯示了特殊的安全需求。這兩種應用具有共同點i)隨著行動電話已經被看做是成熟的經典技術，對於儲存和處理敏感資料來說，所述裝置不再是封閉、不可變的環境；和ii)通常，這些特殊裝置受到行動網路經營者(MNO)以外的相關人的控制，並僅通過間歇的和不安全的鏈路連接至核心網路。

第一種應用涉及H(e)NB，即熟知的毫微微蜂巢基地台。 H(e)NB是小型的可擕式存取點，其向終端裝置(例如行動電話)提供對3G網路的連接。H(e)NB通常設置在室內，或稱為主機方(HP)的相關人的屋內。該HP在小型的指定地理區域內，用作行動通訊和服務的調解器。可使用該HP在目前無法存取的區域(由於不良的無線電狀況)(例如室內或工廠的環境中)提供行動服務。由於H(e)NB可以作為對寬頻網際網路和行動網路統一的存取點，因此其同時也是私人家庭或在家上班族(SOHO)這部分的選擇。

在H(e)NB使用環境內，藉由服務級別和使用協定將三個相關人，使用者-HP-MNO，聯繫在一起。在本文中，H(e)NB儲存大量敏感資料，例如表現為行動網路定制的HP認證資料、允許連接至H(e)NB的無線發送接收單元(WTRU)或使用者設備(UE)列表(該列表儲存為封閉使用者組(CSG))、和存取控制列表(ACL)。這些資料中的一些可專門用於HP及/或使用者。同時，需要對H(e)NB的位置進行控制，以保護行動網路不受干擾，和防止對服務的非法擴展。

第7圖表示在H(e)NB 705、WTRU或UE 710和經營者核心網路730之間的示例通訊環境。其引入了兩個網路實體，一個負責安全，一個負責對H(e)NB進行服務。操作、管理和維護735(OAM)是位於核心網路回載中的功能，其向H(e)NB 705提供遠端管理功能。特別是，其提供軟體下載和更新、無線電和其他參數設置、以及其他類似功能。安全閘道(SeGW)740是H(e)NB 705進入經營者核心網路730的主要進入點，其主要功能是保護網路730免受非法連接嘗試和從欺詐H(e)NB或假冒H(e)NB所發出的任何類型的攻擊。

第二種預期應用涉及M2M通訊。M2M設備(M2ME)典型的例子是販賣和售票機。更高級的情況還包括，對綜合熱電廠的遙測、機器維護和設備管理等等。如果經由行動網路將M2ME連接至備份網路，則MNO能向M2ME的所有者提供增值服務，首先是通過空中(OTA)的 管理。與H(e)NB類似，M2ME受到不同於MNO的相關人的控制。該相關人具有特定的與MNO不同的安全需求。H(e)NB和M2ME的安全性是重點。在這兩種情況中，其各自的威脅、風險和之後的安全需求是類似的。

可將威脅分為六個頂級組。組1包括攻擊證書的方法。這些方法包括對權杖和(弱)認證演算法的暴力攻擊、實體入侵、邊頻道攻擊。和惡意的主機方複製認證權杖。組2包括實體攻擊，例如向被操縱的裝置中插入有效的認證權杖、啟動欺詐軟體(“重新刷機(reflashing)”)、實體篡改和環境/邊頻道攻擊。組3包括配置攻擊，例如欺詐軟體更新/配置改變，HP或使用者的錯誤配置，對ACL的錯誤配置或攻擊。組4包括對裝置的協定攻擊。這些攻擊威脅了功能性，並直指HP和使用者。主要例子包括在第一次存取網路時的中間人(MITM)攻擊、拒絕服務(DoS)攻擊、通過利用工作的網路服務的弱點來攻擊裝置和對OAM及其流量的攻擊。組5包括對核心網路的攻擊。這是對MNO的主要威脅。其包括類比裝置、在裝置間開通流量隧道、對數據機/路由器中的韌體進行錯誤配置以及對核心網路的DoS攻擊。在H(e)NB的情況中，其還涉及以不允許的方式改變位置。最後，其包括使用惡意裝置對無線存取網路的攻擊。組6包括使用者資料和識別碼隱私攻擊，包括竊聽其他使用者的通用行動電信系統(UMTS)陸地無線電存取網路(UTRAN)或演進型UTRAN(E-UTRAN)的存取資料、冒充其他使用者、向H(e)NB所有者揭露使用者的網路ID、冒充有效H(e)NB，和通過CSG提供無線電存取服務。

核心功能性需求對H(e)NB和M2ME來說是新的，其主要涉及對不同相關人的認證和在相關人之間功能和資料的分隔，即域分隔。特別是，對HP或M2ME所有者的認證應當與裝置對網路的認證相獨立。並且，必須保護HP的秘密資料不被另一方(即使是MNO)訪問。裝置必須執行對安全性敏感的任務，並同時對存取網路和所連接的WTRU執行安全策略。這必須能夠至少按半自主的方式來進行，以提供服務的連續性， 並避免回載鏈路中不必要的通訊。另一個重要的安全領域是分別由OAM或OTA進行遠端管理。裝置需要安全地下載和安裝軟體更新、資料和應用程式。

這需要分隔認證地位，同時還要將對核心網路的變動減到最小，從而重新使用標準的3G認證協定，例如可擴展認證協定-認證和密鑰協定(EAP-AKA)。至此所構想的方法包括用於HP及/或M2M所有者的分離的認證載體。在前者中，可將其實現為所謂的HP模組(HPM)，在後者中為受管識別碼(MID)。這兩者都可以是通用積體電路卡(UICC)(即3G使用者識別碼模組(SIM)卡)的假名。在M2M的情況中使用可拆除的智慧卡產生了各種安全擔憂。一方面，需要避免必須交換這種智慧卡的維護操作，例如用於更新或經營者變化，因為對於在地理上分散的大型M2ME佇列來說，這樣做花費很大。另一個最近需要慎重考慮的選擇是向裝置中的安全環境下載AKA證書。一種該選擇所允許的使用真正TC技術的可能結構是虛擬SIM。

在任何情況下，安全性需求以及高級OTA或遠端管理，都需要M2ME和H(e)NB有特別的安全性特徵。可將TrE用於該目的。TrE需要安全地與系統其他部分互動。觀察TrE的介面很有意思，因為這些介面是TS的TCB與平台剩餘部分進行通訊的通用模型。基本上，在TrE的安全啟動流程中初始化所有TrE介面，因此認為其正確操作。TrE介面有兩種寬泛的安全類型。第一，有未受保護的介面。這些介面使得具有裝置通用源的TrE免受篡改及/或竊聽，所述裝置通用源被認為是不安全的。即使是未受保護的介面也可從其他安全措施中獲益，例如資料加密，或僅在TrE在例如安全啟動期間，對經過介面的對端資源的代碼進行檢查後，才允許該介面可用。

第二，有受保護的介面。這些介面或使用安全協定或使用安全硬體，來對在其上運行的資料的完整性及/或機密性提供保護。如果使用 安全協定，則其還可以提供認證和訊息認證及/或機密性。

可在通訊實體不對通訊資料提供保護時，選擇未受保護的介面。可當需要對TrE與該TrE需要進行通訊的另一資源之間的資料的完整性及/或機密性提供保護時，選擇受保護的介面。因此，TrE性能會有所不同。第8圖表示了H(e)NB內的TrE示例，以及其可能連接的其他資源。這是最小化的配置，該配置包括計算並向SeGW發送H(e)NB裝置認證所需參數的功能、進行H(e)NB確認的功能(包括在啟動時，對H(e)NB剩餘部分進行碼完整性檢查)和最小加密功能(真實亂數產生器)。對於認證，可認為TrE可邏輯包含HPM。

可以很容易地將通用PVM描述的結構映射至現有H(e)NB結構。其資料庫(V_DB和C_DB)及其管理元件對現有H(e)NB基礎結構來說是新的。第9A圖和第9B圖同時表示了這兩種情況，透過SeGW的H(e)NB連接，和H(e)NB與HMS經由介面I-hms_d的直接連接。

第9A圖的PVM結構或系統900包括H(e)NB 905，該H(e)NB 905包括TrE 910。WTRU 912(或使用者實體(UE))可經由I-ue介面914與H(e)NB 905進行通訊。H(e)NB 905經由I-h介面915與H(e)NB閘道(GW)918進行通訊，該H(e)NB閘道包括SeGW 920。通常，H(e)NB 905與SeGW 920之間的介面I-h 915可以是未受保護的，並可採用特殊措施來保證該頻道的真實性、完整性和可選的機密性。可以使用I-h 915來在H(e)NB 905與SeGW 920(從而與CN之間)建立鏈路。例如，SeGW 920可以經由介面I-aaa 975與AAA伺服器進行通訊。經營者可以建立適當的測量來保證介面的安全性。

SeGW 920可以使用I-pve介面922來在確認期間與PVE 924進行聯繫。PVE 924可使用I-pve介面922將確認結果發送給SeGW 920。可將I-dms介面930用於在H(e)NB管理系統(HMS)935與SeGW 920之間所進行的與裝置配置有關的通訊。PVE 924可使用I-pd介面932來與 HMS 935進行通訊，反之亦然。可在裝置管理程序中使用該介面I-pd 932，用於裝置軟體更新和配置變化。

PVE 920使用介面I-v 926和I-d 938來從V_DB 940中讀取RIM，HMS 935可使用介面I-v 926和I-d 938從C_DB 950中讀取允許配置。介面I-r 928和I-c 934可由PVE 920用來(例如在V-DB 940中丟失RIM的情況下)與RIMman 960進行通訊，和由HMS 935用來與CPman 970進行通訊。RIMman 960和CPman 970可分別使用介面I-rdb 962和I-cdb 972來讀取、寫入和管理對資料庫V_DB 940和配置策略資料庫C-DB 950的確認。

第9B圖表示了PVM 982，其中H(e)NB 905可直接與DMS 935連接。例如在回落模式情況下，在該模式中，H(e)NB 905不能與SeGW執行安全協定。在這種情況下，HMS 935可經由介面I-dms_d 984作為H(e)NB 905的第一連接點，並經由介面I-pve 986和I-pd 988與PVE 924進行通訊，以執行確認，或至少獲知哪些元件在安全啟動中失敗。HMS 935可根據該資訊進行修正操作。

可以多種方式將使用PVE的確認直接映射至H(e)NB情況。由HMS或能訪問C_DB的適當擴展的實體(演進的HMS(eHMS))來執行DMS功能。

對於基於策略的更新，C_DB提供了策略，能夠指明模組的重要性和模組的各個發佈版本的互操作性，例如一些模組對於操作來說是重要的，而一些不是。這有助於限制更新的大小，並提供補丁，而不是整個韌體更新。最簡單的策略可以是將所有模組都定義對H(e)NB操作重要，這樣就會執行韌體更新。

當模組測量失敗時，eHMS檢查策略，以查找該模組的危險程度，及其對模組互操作性的影響。根據該檢查，建立可用補丁列表。該補丁可以集中或單獨地發送至裝置，以用於應用。在其他情況中，每個傳輸單元都是受到完整性和機密性保護的。鏈路必須按順序發送封包，且不 能丟失。當接收到所有補丁時(例如由eHMS藉由終止封包或標記來指示)，如果需要的話，裝置向eHMS發送所接收的補丁列表，以及其測量值，以驗證更新資訊，或如果由eHMS發送集中的和單獨的補丁測量，則裝置對補丁執行本地驗證，並開始應用。在應用該補丁之後，系統在正常模式中啟動，開始裝置確認過程。

也可進行以下程序，每當製造商發佈新的韌體版本時，使eHMS向裝置發送更新通知，裝置使用ECB進行啟動，並向eHMS發送測量。該eHMS提供補丁或完整的韌體更新，之後進行相同程序。

在非基於策略的更新的情況中，一旦發生任何測量失敗，HMS都通過安全鏈結發送完整的新韌體。裝置對該韌體進行驗證，將其應用，並在正常模式中啟動。

在處於之前已知的良好狀態的情況中，如果H(e)NB支援儲存系統狀態，則eHMS可在撤回測量失敗的補丁時，要求H(e)NB返回之前已知良好狀態。可使用該方法來將系統返回出廠狀態。該之前已知的良好狀態可以是經PVE、eHMS或S(e)GW證明的狀態。

H(e)NB可返回之前已知的良好狀態，可對系統狀態提供完整性保護，可對之前所儲存的系統狀態提供恢復操作，以及可能需要在裝置受攻擊的情況下保護該恢復操作。

現在描述對通過公共網際網路連接的裝置進行確認的示例。對於通過不安全的初始鏈路，例如公共網際網路，分別連接至SeGW、CN的裝置，需要採用特殊的要求來確保確認初始步驟的安全。這些特殊要求同時還可用於H(e)NB類裝置，這類裝置請求從SeGW建立這類連接，並通過該連接進行確認。儘管這裏描述了網路實體的H(e)NB對等物(counterpart)(例如HMS而不是PVM的普通實體)，但是應當清楚，一些方法和裝置只能用於非H(e)NB的設置中。通常，需要將確認和認證與初始連接的前幾步相結合，或甚至結合到相同的資料結構中。現在描述兩種方 式來將確認和認證與專門協定，例如TLS和IKEv2進行結合。

IKE、ISAKMP的傳輸協定定義了大量可用的證書簡檔，該簡檔允許使用正式功能變數名稱(FQDN)作為ID。可將裝置證書和TrE證書分開保存。但是，也可將TrE證書放入裝置證書中。如果TrE具有單獨的ID(TrE_ID)，則可使用FQDN，但是可由製造商來對TrE進行識別，而不是經營者功能變數名稱。

在IKE_SA_INIT階段，並且在IKE對話的第1階段完成了Diffie-Hellmann密鑰交換時，一種方法可使SeGW發送第一認證交換訊息來請求Dev_CERT，該訊息包含CERTREQ負載。之後，裝置在下一訊息中使用兩個CERT負載進行回覆，一個使用Dev_CERT，一個則是TrE_CERT。在這種情況下，SeGW延遲Dev_CERT驗證，直到PVE已經驗證了TrE_CERT和評價了確認資料。之後，繼續進行認證。在回覆僅包含Dev_CERT的情況下，SeGW回到AuV。

如果各個ID用於不同的操作目的，則Dev_CERT和TrE_CERT之間的區別是有利的。例如，經營者可能向裝置分配了網路位址，例如IP位址，Dev_CERT可對其認證，並從該地址直接建立IPSec頻道。而一些類型的網路位址可能不適用於TrE_CERT。因此，裝置中兩個ID是有幫助的。SeGW/PVE基礎結構的進一步任務是通過根據TrE_CERT，應用執行PVM和輔助認證，來為Dev_CERT交換服務。

IKE認證訊息可攜帶任何數量任何類型的負載。在每個負載的標頭，該訊息可包含“下一負載類型”欄位。這樣，就可在一個ISAKMP訊息中發送整個負載鏈。這可用於將證書分隔至一個或多個初始IKE會話第2階段的ISAKMP訊息的負載欄位內。在第10圖中表示了裝置1005、SeGW 1010和PVE 1015之間的示例流程1000，該過程使用IKE會話，將用於TrE和裝置認證的證書完全分隔。從裝置1005向SeGW 1010發送訊息，該訊息包含(TrE_Cert、VAL_DAT)(1)。SeGW 1010對所獲得的TrE 證書(TrE_Cert)進行驗證(2)。如果TrE_Cert驗證成功，則SeGW 1010向PVE 1015發送確認資料訊息(VAL_DAT)(3)。PVE 1015對裝置1005進行確認(4)，並向SeGW 1015通知成功(5)。SeGW 1015向裝置1005發送證明請求(CERTREQ)(6)。回應於所接收的證明請求，裝置1005向SeGW 1010至少發送裝置證明，(Sig_Dev(Dev_ID)、Dev_Cert)(7)。SeGW 1010對Sig(Dev_ID)進行驗證(8)。如果驗證成功，則向AAA基礎結構發送裝置證明(Dev_Cert)，該AAA基礎結構回應該裝置是否已知。根據本實施方式，只有通過發送由TrE所簽名的確認資料以及由TrE_CERT所證明的識別碼而被認為確認可信的裝置，才能進行裝置認證。這在SeGW後對網路元件提供了擴展保護，有助於減輕DoS攻擊。

在另一示例中，用於補充資料(supplemental data)的TLS握手訊息對TLS問候握手訊息定義了擴展，該擴展能夠在TLS握手中發送應用特定資料，例如來自PVM的確認訊息。該補充資料不能由TLS協定使用，而是由應用程式使用，例如PVE確認引擎。有可能只允許存在一個補充資料握手訊息，而接收到多個就可看作失敗。可將所攜帶的資料的類型和格式指定為補充資料類型(SupplementalDataType)，並可對發送方和接收方為已知。

在一種方式中，可以執行雙握手，從而對補充資料握手訊息中所攜帶的執行PVM資料提供保護。並且需要確保在任何一方提供補充資料資訊之前，雙方經過了相互認證。

可以定義新的補充資料類型來承載執行PVM確認訊息。則H(e)NB可將第一個TLS握手用於與SeGW進行相互認證。這樣可使用第一個TLS會話來保護第二個握手，並在補充資料欄位中向SeGW發送確認資料。

在另一種方式中，可通過在第一個握手訊息中發送補充資料來在一次握手交換中發送確認資料，而不是兩次。對於使用TLS會話票據 (session ticket)擴展的確認連接，SeGW可在確認中使用TLS擴展，來將確認結果儲存在TLS會話票據中，該TLS擴展允許伺服器向客戶發送會話票據，用於恢復會話和保存每個客戶的會話狀態。

在PVM中可使用這種會話票據用於平台管理。當特定失敗元件列表的確認失敗時，SeGW從PVE接收該通知，並產生會話票據。使用128位元的AES對稱密鑰對該票據加密，該密鑰不對H(e)NB揭露，且該票據的完整性受到基於雜湊的訊息認證碼(HMAC)的保護。這樣，該票據就不會被H(e)NB修改，且當由H(e)NB發送時，其他網路實體能夠認出該票據。之後，TrE可將該票據安全儲存，並在新的TLS會話中使用該票據用於平台管理，而不需要例如再次發送確認資料。SeGW還可決定會話票據的存在時間。

之後可將AES票據加密密鑰放在T_PVM中以進一步使用，或直接發送給其他實體。之後，可以將該密鑰以及例如票據時間印記和詳細的確認結果，從PVE發送至HMS。通過使用該TLS會話票據，H(e)NB可直接建立用於進行平台管理的安全連接。這將依賴於H(e)NB及時地跟蹤平台管理，並在票據失效前聯繫HMS。

當H(e)NB已經通過使用會話票據所建立的連接與HMS完成修正時，可將會話票據用於重新確認。第一步是使用舊的票據從H(e)NB向SeGW建立新的TLS連接。之後，SeGW受控制的制該票據是來自實際已與HMS完成了管理週期的H(e)NB。在管理完成後，SeGW查找並將該票據資料與HMS所返回的T_PVM進行比較。如果找到正確的T_PVM，則可接受該使用TLS票據的重新確認嘗試，從而例如防止受到使用TLS票據為重播而發起的DoS攻擊。TLS票據可被接受用於重新確認，否則會認為其失效，這是因為與HMS所進行的修正過程會花很長時間。完成該操作不會對安全造成較大損失，因為SeGW具有帶時間印記的T_PVM可用於比較。

現在描述進行自主確認(AuV)的PVM的示例。AuV方法不向SeGW傳送任何確認資料，因此不需要為裝置的初始網路連接而對現有協定進行任何改變。因此，在裝置安全啟動期間，PVM系統獲知關於驗證結果的任何事。唯一所傳輸的裝置專用資訊是Dev_ID。

AuV限制了根據平台認證結果來管理裝置的可能性。特別是，沒有直接的方法來區分出初始向網路進行認證的裝置，和在更新後為重新確認而執行AuV的裝置。如果裝置管理是基於AuV的，則需要在網路中有資料庫，用於儲存裝置狀態歷史。現在描述的示例方法能夠有效地根據AuV至少執行基本裝置管理。

現在描述用於僅能進行AuV的裝置的H(e)NB修正的示例。僅能進行AuV的裝置執行安全啟動，該安全啟動當且僅當裝置完整性驗證成功時，才允許裝置執行裝置認證程序。如果任何元件的完整性檢查失敗，則可認為該裝置的完整性檢查失敗。但是，通過使用FBC圖像，該裝置可聯繫指定的HMS，以進行裝置修正。

一旦與修正HMS的連接建立，則可替換H(e)NB的正常代碼圖像及/或可信參考值。當修正過程完成時，H(e)NB應重啟，並再次重新開始完整性檢查過程。

如果一組預定條件滿足，則PVM可使用FBC。一個示例條件是FBC被安全的儲存在裝置中。另一條件是可在安全失敗的情況下載入和啟動FBC。而另一個條件是指定H(e)MS的位址安全地儲存在FBC圖像中。而另一個條件是FBC可向指定H(e)MS發送事故信號。該信號可包括裝置ID，且該訊息可受到密鑰的完整性保護，該密鑰作為FBC的一部分安全地儲存。進一步的示例條件是當接收到該信號時，H(e)MS可確定裝置的完整性檢查失敗，需要進行維護。而另一個條件可以是FBC可包含的功能可實現由網路觸發的完全代碼重建。另一個條件可以是FBC可包含的功能可實現由網路發起的TRV替換。

第11A圖和第11B圖表示的示例方法用於在完整性驗證失敗後，由FBC所實現的裝置修正。RoT 1100檢查事故標記(1)。如果該標記為空，則RoT 1100檢查TrE 1105的完整性(2)。如果設置了該標記，則RoT 1100載入FBC(3)。如果完整性檢查成功，則RoT 1100載入TrE 1105(4)。如果完整性檢查失敗，則RoT 1100設置事故標記，並重啟(5)。一旦載入了正常代碼，則TrE 1105對正常代碼的完整性進行檢查(6)。如果完整性檢查成功，則TrE 1105載入正常代碼圖像(7)。如果完整性檢查失敗，則TrE 1105設置事故標記並重啟(8)。如果RoT已經載入了FBC，則由FBC啟動，向HMS發送用於修正的事故信號(9)。

現在描述使用AuV進行修正和配置改變的基本方法的示例。在AuV期間，唯一發送給SeGW，且可能在平台管理中使用的單獨資訊是裝置識別碼。因此，一個實施方式中可向裝置分配多個識別碼，以在AuV中使用該標識來對(有限數量的)狀態(例如元件完整性驗證失敗)進行通知。在另一個實施方式中，可使用組ID來通知驗證結果，該組ID不是專用於任何一個裝置的。可根據安全啟動流程的步驟來將管理識別碼分組。例如，DevM_ID3b用於通知階段3b失敗，DevM_ID3a用於通知階段3a失敗，和DevM_ID2用於通知階段2失敗。階段1失敗不能通知，因此此時裝置缺乏通訊能力。

在另一AuV使用情況的例子中，裝置可在失敗和執行回落代碼後嘗試連接HMS，作為下一步操作。

在階段2中某一個或多個元件的失敗並不能表明該裝置不能進行通訊。應將該階段理解為屬於特定類型的元件分類。只要在階段2中載入了最關鍵的元件，裝置就能夠將其狀態和失敗元件發送給PVM系統。這種情況是如果裝置上有策略管理器，該策略管理器由HMS維護，並提供標準框架，在該標準框架下都能進行連接。

為了安全性，必須將DevM_IDn和相關認證資料(例如私 人密鑰)保護好，否則攻擊者會進行欺詐攻擊，從而破壞管理過程。這是十分危險的威脅，因為管理ID對大量裝置都是相同的。一種解決辦法是僅使用該資訊來設計平台管理過程。通過將第一確認結合到重新確認，能夠為唯一裝置通知管理流程的成功，該第一確認通知某些未知識別碼的裝置的失敗。確定有多種方法可執行該操作。在一個示例中，在裝置已經認證了管理識別碼中的一個之後，SeGW運行補充協定，裝置必須在該補充協定中對原始Dev_ID進行認證。在另一種方法中，通過交換特定秘密，裝置和PVM系統以及特別是SeGW建立了管理會話，該管理會話覆蓋第一確認過程和第二重新確認過程。

現在描述補充認證協定的示例。裝置和SeGW已經完成了對裝置的第一認證協定，裝置在該第一認證協定中對其管理識別碼DevM_IDn中的一個進行認證。其中，假設它們已建立了加密的和經認證的通訊會話。之後，裝置可只發送Dev_ID和用於該Dev_ID的認證資料。例如，可通過該建立的安全頻道來發送簽名訊息和公共密鑰證書。這就確保了沒有其他方知道該請求管理的裝置的識別碼，也不會使用該資訊來破壞管理過程，即，不會在重新確認前使裝置無效，或假冒該裝置。

SeGW將DevM_ID和Dev_ID發送給PVE，PVE將其插入需要管理的裝置列表。之後，PVE將所需的裝置管理操作通知給DMS，例如“安裝階段2回落代碼”。DMS通過之前由SeGW所建立的安全頻道，將相應代碼下載至裝置。在正常PVM中，之後系統啟動裝置的重新確認。

當管理成功時，之後裝置在AuV中對其原始Dev_ID進行認證。SeGW將其通知給PVE，PVE在重新確認列表中找出該Dev_ID，並將其刪除。否則，裝置可再次對管理ID進行確認，也將該管理ID找出，並根據策略進行進一步操作。

現在描述建立管理會話的示例。該實施方式與其他實施方式的不同之處在於PVM對唯一的單獨裝置進行管理。可在裝置與SeGW之間 的通訊協定中建立該管理會話。這種方法的作用是實際通過建立假名，使裝置識別碼對PVM系統保持未知。

在正常的協定執行中，可能會限制協定建立這種永久秘密的能力。例如，公共密鑰建立協定，例如Diffie-Hellman(D-H)，滿足一種稱為聯合密鑰控制的屬性，使得所建立的密鑰依賴於雙方。也就是說，雙方在協定中插入(偽)隨機資訊，以在每次執行中產生不同密鑰。覆蓋了多方的會話執行不能使用這種協定來建立。

因此，SeGW和裝置必須在特殊的協定中建立秘密，例如通過使用發問(challenge)-回應。可由裝置或SeGW引起發問，該回應必須滿足，在第二個執行(即重新確認)中的第二個回覆與第一回合中的回覆相同。在簡單的實施方式中，裝置只需在重新確認中示出從SeGW所獲的臨時用法，而SeGW在表中查找該臨時用法。因此該臨時用法為假名。可使用更複雜的加密協定。

之後，可按上述來進行重新確認。但是，其區別在於，在此方法中，SeGW由於操作原因而對重新確認的裝置的資訊進行維護，因為該資訊會在SeGW與裝置間的重新確認所用的協定執行中被使用。

現在描述用於H(e)NB的基於OMA裝置管理(DM)的結構的示例。OMA DM是由開放行動聯盟(OMA)裝置管理(DM)工作組和資料同步(DS)工作組所聯合規定的裝置管理協定。OMD DM是為小型行動設備而形成的，例如電話或PDA。其不支援設備與DM伺服器之間的寬頻有線連接，而僅支援短距離有線連接，例如USB或RS232C，或無線連接，例如GSM、CDMA或WLAN。但是，其可用作H(e)NB(尤其在將自身作為與之連接的CSG和非CSG WTRU的基地台的同時，還將其自身作為核心網路的WTRU的H(e)NB)的裝置規定和管理協定。

OMA DM所用於支援的使用情況，例如提供，包括首次裝置配置和實現或禁止特徵、裝置配置更新、軟體升級和診斷報告和查詢。 雖然裝置可以可選地執行這些特徵中的一些或全部，但OMA DM伺服器端可支持所有這些功能。

可將OMA規範最佳化為對連接受限的小型裝置支援上述特徵。其還可使用認證支持集成的安全性(例如通過使用類似EAP-AKA這樣的協定)。

OMA DM使用XML(或更準確地，SyncML的子集)來進行資料交換。這可用於提供一種可標準化且靈活的方式，來為了確認的目的，而為軟體模組或H(e)NB的功能定義和傳送屬性。

在DM伺服器與使用者端之間進行裝置管理，該DM伺服器例如是裝置的管理實體，該使用者端例如是被管理的裝置。該OMA DM支援傳輸層，例如WAP、HTTP或OBEX或類似傳輸。DM通訊由DM伺服器通過使用通知或報警訊息，採用任何可用方法(例如WAP推入或SMS)來非同步啟動。一旦在伺服器和使用者端之間建立了通訊，則可交換訊息序列，以完成指定的DM任務。

該OMA DM通訊基於請求-回應協定，其中，通常由DM伺服器發出請求，而客戶以回覆訊息作為回應。伺服器和客戶都是記錄狀態的，即在內建的認證程序之後，可出現由於特定順序而進行交換的任何資料。

由於DM通訊可由DM伺服器來啟動，因此通過DM執行PVM可能需要基於伺服器查詢的方法來進行確認。例如，可以採用使用了IKEv2的裝置認證程序，該過程可由裝置啟動。可考慮將多種不同訊息類型作為確認資料的承載。例如，可在失敗軟體模組或裝置功能列表中發送。在另一示例中，可從裝置向伺服器發送管理報警訊息。可替換地，還可考慮通用報警訊息(在來自裝置或伺服器的至少一個管理報警訊息傳輸之後，該通用報警訊息只能從裝置發送至DM伺服器)的使用者。這些訊息(包括報警訊息)可使用SyncML格式，該格式在指定內容和用於該內容 的元資料方面具有靈活性。這可用於確認資訊傳輸。DM還可支援分段資料傳輸，這可用於軟體更新，其中更新的大小可能很大。

雖然最早的DM通訊必須由DM伺服器來啟動，但是之後的通訊可由DM客戶使用繼續會話來啟動。DM客戶(例如H(e)NB或M2ME)的這種能夠啟動會話中的通訊的能力可用於由裝置啟動的任務，例如由裝置啟動的重新確認或由裝置啟動的確認訊息傳送。

現在描述在認證證書中結合確認的示例。在認證證書中結合確認能夠實現確認和認證的結合，從而自動將裝置的認證ID與確認結合。之後，將確認訊息放在認證證書的附加欄位中。例如，通過使用IKE協定，可以選擇地將這種驗證資料放在通知負載欄位中。

如果驗證資料儲存在認證證書內，則每次裝置配置改變時，都必須發佈新的合併的認證/確認證書。必須由SeGW來控制產生該證書，因為SeGW是負責為PVM目的進行Dev_ID認證的實體。這可至少以兩種方式來執行。第一，SeGW或從屬實體可在從DMS接收到更新的Clist之後，產生該新證書。第二，裝置可自己產生該證書，並將其發送至SeGW和PVE，由SeGW對其簽名，並將其發送回裝置。

SeGW可在成功進行某種重新確認之後，結束該過程(或者產生並發送新證書，或對由裝置所產生的新證書進行應答)。這是為了向PVM系統確保新配置實際到達了裝置。

由於當裝置配置變化時可能會需要新證書，因此該週期涉及CN中的全部三個實體及裝置。DMS觸發配置變化(例如對軟體及/或參數的更新)，並將新的所需狀態保存在策略資料庫C_DB中。在將該變化應用至裝置後，需要進行重新確認。

在示例情況中，裝置應用該更新並執行重新確認。裝置可使用新軟體，但不能使用新證書，直到完成了重新確認(特別是對成功的更新流程的)。此時，裝置使用舊的證書來運行新的軟體配置，該舊證書與裝 置的實際配置不相匹配。回應於此，向裝置提供新證書用於裝置認證；當且僅當已經應用了更新時提供；且需要確保在沒有應用更新時，不能使用該證書。

現在描述撤回裝置認證證書的示例。如果在裝置認證期間，SeGW判斷需要撤回該裝置所發出的用於進行裝置認證的裝置證書，則SeGW可向裝置指示由於證書撤回而導致裝置認證失敗，並之後將該裝置從網路維護的白名單中刪除，或反之，加入到網路維護的黑名單。裝置在接收到該指示時，就可知其證書已被撤回，且其識別碼已從白名單中移除，或反之，加至黑名單中。之後裝置可執行程序，將其自身重新建立為網路中的有效實體。

如果裝置ID失效，裝置證書過期或發出H(e)NB裝置的由可信第三方經營者授權的實體及其相關證書請求網路撤回證書，則SeGW可將裝置證書撤回。

現在描述基於證書的確認基本方法的示例。結合證書是簽名數據組。其由發出者、SHO、或其SeGW或負責管理證書的等同實體進行簽名。證書中的簽名資料至少包括Dev_ID、用於認證和確認的裝置公共密鑰和Clist。

該證書可在確認和認證的合併訊息中發送給SeGW。後者是(部分)由裝置使用其私人密鑰進行簽名以用於認證和確認的訊息。該訊息可包含其他資料，例如時間印記及/或臨時用法，用於防止重播。SeGW檢查證書和訊息的簽名，並按正常過程進行確認。

現在描述證書交換的示例方法。通常可以採用兩種方式。將其識別為證書前交換和證書後交換。其區別在於重新確認使用舊的還是新的證書。這兩種方式都確保自動執行所有所需步驟，即，要麼全部執行，要麼全都不執行。起始狀態是裝置使用舊證書運行舊配置，結束狀態是新裝置配置和新裝置證書。可能需要由獨立TTP或製造商來建立、管理和控 制認證證書和RIM證書，從而裝置可在多個網路中使用，而不是將其固定在一個經營者上。可替換地，新裝置證書可由例如開放行動聯盟(OMA)進行處理，以用於裝置管理(DM)，可將其擴展為包含證書。

在證書前交換方法中，更新包括新證書，因此，在更新完成前證書進入裝置。當應用更新後，裝置使用新證書進行重新確認。在CN中使用合適的記憶體和資料結構將該裝置標記為“正在進行更新”。例如，在認證資料庫中設置標記。另一種方法是使用確認權杖T_PVM。

現在描述證書前交換流的一個示例。如標準PVM中一樣，DMS將更新及/或改變的元件發送至裝置。之後DMS向SeGW發送新的Clist。DMS向SeGW傳遞T_PVM。這時，SeGW(從而PVM系統)進入狀態，其中其等待裝置對新配置進行重新確認。SeGW收集需要的資訊(Clist、Dev_Id、裝置公共密鑰等)，並產生新裝置證書。之後，SeGW將該新證書發送至裝置，之後結束與裝置的通訊會話。

現在，SeGW具有從DMS所獲得的T_PVM，並從而知道應等待裝置的重新確認。其在內部重新確認列表中儲存所有用於這樣的裝置的T_PVM。假設裝置正確安裝了更新和新證書，則進行以下流程。裝置啟動重新確認，在確認訊息中發送新證書。SeGW通過驗證簽名資料和裝置證書來對裝置進行認證。SeGW在重新確認列表中查找T_PVM。進行重新確認，其中使用來自之前的確認的T_PVM(且不再產生新的)來維護PVM系統狀態。在SeGW處而不是PVE處進行該步驟和之前步驟，否則SeGW會自動產生新權杖。因此為SeGW進行重新確認列表維護。

如在標準PVM中一樣，在多回合重新確認中連續使用T_PVM有助於檢測重複出現的更新失敗和其他形式的性能異常。

在進一步實施方式中，TrE具有可信更新服務，該服務允許HMS向裝置發送更新，之後在安全可信的流程中應用該更新。可以依賴安全啟動來確保TrE中的更新服務的完整性。當HMS使用新更新時，其可向 SeGW發送權杖，該權杖包含新更新的裝置配置。之後，SeGW可為裝置創建新認證證書，並將其附加在權杖上，將該權杖發回HMS。HMS包含新證書，以及用於裝置更新服務的更新資料。該數據包可為TrE加密，並由HMS簽名。可信更新服務接收該更新封包，驗證簽名，解密資料，應用更新，並在安全記憶體中儲存新證書。之後，TrE向HMS通知更新成功。由於可信更新服務由安全啟動所保護，因此更新過程可信，從而不需要重新確認。根據更新的類型，可能需要重啟。在這種情況下，裝置可使用新證書在SeGW進行認證。因此，HMS必須確保通知了SeGW關於所要進行的重新確認。

在另一實施方式中，如果在裝置上不存在可用的可信更新服務，則可將新證書與新軟體更新一起提供，這樣證書由密鑰加密，該密鑰與成功安裝更新相結合。這種方法及其所涉及的問題還需要更多考慮。

在證書後交換方法中，更新可以不包括包含新裝置配置的新證書。裝置使用舊證書進行重新確認。在重新確認成功後，CN啟動新證書，並將新證書發送至裝置。由於可能沒有新配置來進行安全啟動，因此將新配置發送至裝置，儘管此時裝置還沒有新證書。

現在描述經營者RIM遮蔽的示例。可以使用無線局域網路(WAN)管理協定來用於裝置的遠端管理。第12圖表示簽名訊息格式1200的示例圖，該訊息格式允許從發佈者向裝置下載軟體封包。該格式允許在一個簽名封包中發送一個或多個檔，例如韌體更新或配置封包。接收裝置能夠對源進行認證，並包含安裝該內容的所有指令。

標頭1205可包含格式版本和命令列表及負載元件的長度。命令列表1210包含可被執行用於安裝封包中所含檔的指令序列。簽名欄位1215可包含數位簽名，由標頭和命令列表組成該數位簽名所簽發的訊息資料。雖然所簽發的訊息資料僅包含封包標頭和命令列表，但是由於所有涉及負載檔1220的命令都包含檔內容的雜湊值，因此該簽名可確保整個封包的完整性。

在經營者RIM遮蔽的情況下，DMS對命令列表簽名，並將軟體更新封包及其各自RIM放在訊息的負載中。之後，裝置的TrE使用公共密鑰對DMS的簽名進行驗證。可在製造或配置時，或由經營者信任的CA，使該公共密鑰為TrE可用。可將所有對公共密鑰進行驗證所需的根證書安全地儲存在TrE中。命令列表則包含安裝軟體的命令和用於使裝置獲得RIM的命令。這向經營者提供了有效的方式對裝置上的軟體和RIM安裝流程具有完全的控制。在這種實施方式中，不會出現向裝置顯性地傳輸RIMc。

現在描述使用第二編碼基底進行修正的示例。安全啟動失 敗，例如在通用PVM裝置模型中階段2失敗，會在比TrE更大的範圍上產生問題，該問題是TrE用於向載入至正常操作空間的修正元件擴展信任時不可信。因此，為了啟動修正，需要呼叫FBC，但是需要在TrE內部運行，以至少用於最重要的功能性加密和修正協定堆疊。

在特定情況下，可以從外部安全源，此處稱為FBC載體(carrier)，獲得FBC。這可由以下流程完成，該流程一部分在帶外，且可以要求人工參與，例如向H(e)NB裝置插入智慧卡。該程序可通過將第二安全元件(智慧卡)用作FBC載體(該FBC載體安全儲存並保護FBC代碼)或通過在修正初始化程序中明確要求人工參與，來提供增強的安全性，以減輕簡單自動的DoS攻擊，並可按照約定定期的從HP中獲得。該外部載體FBC可以是保證裝置簡單便宜、TrE簡單的措施。該外部載體FBC可承載FBC的可執行二進位碼，包括修正所需的所有秘密，當需要時，還可額外為FBC提供安全的操作環境。在裝置位於遠端或難以接近的位置的情況中，不再適用使用單獨的FBC載體。此處所述的在三個實體之間建立信任的流程與之前所述的各種“可傳遞的信任”程序相類似。

以下程序可用於外部FBC載體，例如UICC、智慧卡或具有其自己的處理單元的安全儲存卡。TrE是依賴方，其要求載入經授權和認證 的FBC代碼。另一方面，只要用於修正的憑證一直受到保護，向未授權方顯示FBC代碼風險就較小。因為要執行帶外過程，TrE向FBC載體的認證不是太大問題，在該帶外過程中，TrE和裝置實際並不完全可信。這也是載體不應向裝置顯示用於HMS存取的憑證的原因。可能需要顯示FCB，但風險較小。

因此，可使用以下授權或通訊順序。該帶外或人工參與的步驟只是為了表示特殊使用的情況，在其他方法中可使其自動化或集成，例如將FBC載體嵌入H(e)NB中。在這種基於回落代碼的程序中，通訊可能會非常簡單，因此可將認證和授權結合在單個協定步驟中。

首先，階段1的啟動成功，階段2的啟動失敗。TrE停止，進入“等待FBC”狀態，並閃爍LED，或提供其他類似的失敗指示。使用者/HP插入FBC載體。在本實施方式中，FBC載體，例如諸如主機方模組(HPM)的智慧卡，通過使用特定實體介面來通知FBC載體的授權秘密的存在及/或提交，例如OTP或簽名臨時用法，來將其自身向TrE授權。在TrE和FBC之間，建立安全關聯(SA)，即加密和受完整性保護的通訊會話。之後，將FBC載入至安全環境中，該安全環境可由TrE或FBC載體或這兩種環境性能的任何結合來提供。之後，如果需要的話，可對FBC進行整體性檢查，之後對其載入並啟動。

在安全啟動後，FBC使用秘密向載體表示載入成功，並在TrE(FBC)與載體之間創建新的SA。用於修正的憑證留在載體中，但FBC包含用於HMS發現的資料。FBC聯繫HMS。通過使用受智慧卡保護的憑證，在智慧卡和HMS之間建立端對端SA，該憑證依然完全對TrE(FBC)不可用。現在，HMS得知有效TrE(FBC)請求修正。智慧卡將通訊會話交給TrE(FBC)，TrE(FBC)向HMS展示其ID。HMS啟動修正程序。該授權秘密需要保護好，因為這類連接可用於多個裝置，因此其破壞是災難性的。一種用於執行授權的方法將受TPM保護的授權秘密(例如160位 HW保護的值)用作獲得所有關係程序中所創建的。根據該實施，可直接從FBC載體啟動FBC，之後FBC載體必須提供安全可靠的操作環境。在這種情況下，甚至還可取代受攻擊的TrE。一個例子可以是當FBC載體包含安全元件時，由微處理單元和記憶體獨立操作FBC。可通過公共介面(例如USB、JTAG)將FBC載體連接至裝置，並直接向裝置內的元件認證，之後取代受攻擊的元件和可能的TrE元件。在另一種方式中，如果使用了簽名代碼圖像，則FBC載體裝置可取代包含簽名的圖像。

由於在一些情況中，由於TrE不是完全可信的被用於正確載入和操作FBC，且在多數情況下，其不能對載入至FBC載體中的FBC進行確認，因此需要進行一些安全增強，從而FBC載體必須在遠端編碼基底執行中建立信任。例如，FBC載體可產生一次性秘密，並使用混淆方法將其嵌入FBC中。可替換地，載體可與FBC一起，或緊隨FBC之後，發送另一授權秘密，該秘密只能由成功啟動的FBC識別和使用。該秘密由成功啟動的FBC用於從TrE中受保護的空間獲得緊接著下一步通訊中所用的通訊秘密。

現在描述為回落代碼使用內部並行碼庫的示例。內部並行碼庫可包括觸發機制和實現修正所需的回落編碼基底。例如，H(e)NB可包含兩個代碼圖像，一個是正常模式，一個是回落代碼圖像(FBC)。可在各個階段中對AuV和SAV都執行正常模式呼叫。在階段1中，ROM中的RoT對TrE進行驗證。如果TrE有效，則可檢驗下一階段的元件。如果之後任何元件的完整性檢查失敗，則將代碼卸載回到TrE代碼的開端。此時，TrE可開始檢查回落(例如修正)代碼。如果回落代碼通過了完整性檢查，則將其載入並啟動。該回落代碼可包含裝置管理(DM)碼的一些最小集合，用於與HMS建立連接。一旦與HMS建立了連接，則可識別出失敗的模組，並將更新發送至HNB。在修正流程完成時，H(e)NB可重啟，並重新開始確認流程。可保持回落代碼尺寸較小，以促進與HMS進行通訊。由於代碼可 “回落”至TrE中，且使用回落代碼進行載入，因此可不需要觸發機制或暫存器。

現在描述另外一種形式的“混合(內部/外部)碼庫”。可在例如上述並行碼庫的情況中將FBC儲存在裝置內，但是，FBC在裝置上是加密的，並受到完整性保護。不能使用TrE自身來對FBC解密，否則，受攻擊的TrE會導致FBC本身受到攻擊。該混合方案將用於FBC的解密和驗證密鑰儲存在外部安全元件(例如智慧卡或UICC)上。在啟動失敗的情況下，TrE通知該失敗，並要求使用者/HP向裝置中插入認證權杖，即智慧卡。根據裝置屬性，兩種選擇可用。在第一種選擇中，認證權杖只儲存密鑰內容，並與TrE進行相互認證，在該相互認證之中或之後，TrE接收所需密鑰內容。TrE對FBC執行完整性檢查和解密，之後載入並啟動FBC。在另一種選擇中，對認證權杖進行改進，使其能自動對儲存在裝置上的FBC進行驗證和解密，之後或者通過僅使用裝置資源(例如，使用部分TrE來提供安全的執行環境)，或者通過在該認證權杖自身內部所提供安全的、可執行FBC的執行環境來執行該FBC。這種方式能夠允許使用裝置較大的儲存空間進行FBC儲存，還合併入了附加外部安全元素的安全性。

現在描述用於使用內部順序碼庫的實施方式。裝置管理協定可在遠端裝置上定義用於安裝和改變軟體配置的協定和命令，並可包括“重啟”命令。其可以不包括獲知發送“需要修正”訊息的裝置。但是，通過將例如SAV的確認結果與裝置管理協定相結合，HMS可使用裝置管理協定來對軟體元件啟動重新安裝或重新設置，並之後發佈用於重新確認的重啟命令。

可替換的，FBC能夠刪除或卸載部分正常代碼，只留下剩餘的正常代碼，並啟動重啟，重啟之後進行重新確認。可對FBC預先規定需要刪除或卸載的正常代碼的列表。可替換地，FBC可從外部安全元件(例如智慧卡(例如HPM))獲得該列表。可替換地，FRC可從基於網路的實 體(例如H(e)MS)獲得該列表。

為了使該機制安全操作，裝置上可能需要有可信應用程式，該可信應用程式可包含以下屬性：完整性受保護；在裝置中安全地儲存；能在安全啟動失敗的情況下啟動；向HMS建立(安全)連接；能夠對來自HMS的軟體和命令上的簽名進行驗證；能夠對裝置上的軟體進行安裝/卸載；以及能夠對裝置需要修正進行報告。

可以使用可能冗餘的第二碼庫來負責該應用程式。從上述描述和根據上述要求，該第二碼庫向裝置中引入一些額外的冗餘碼。在裝置中正常、成功的安全啟動的情況下，可能會需要該碼庫所提供的所有特徵。第二碼庫的所有特徵都可在第一碼庫中存在。

另一種方式是用順序設計代替並行設計。這會涉及以下順序。一旦成功，RoT驗證並啟動TrE。之後，一旦成功，TrE對修正代碼進行驗證。一旦成功，TrE對剩餘的軟體元件進行驗證。如果不成功，TrE儲存失敗模組，並設置標記，表示裝置需要修正。之後，TrE觸發裝置重啟。一旦重啟，對修正代碼進行驗證後，TrE傳送對修正代碼的控制，並釋放失敗模組列表。之後修正代碼可為裝置修正流程使用該列表，並聯繫HMS。

現在描述使用安全性策略屬性的SAV的示例。向PVE通知哪些模組的內部完整性檢查失敗可包括為H(e)NB的所有結構和模組建立所有SW模組的標準化列表。也可產生安全性策略屬性(SPA)的標準化列表。該SPA可以是策略，該策略通知PVE如果特定SW模組的完整性檢查失敗，應當採取怎樣的操作。PVE不需要知道其他有關該失敗模組的資訊。

可對SPA碼進行標準化，其可包括以下代碼。“00”模組失敗可表示網路存取被拒絕。所有這種類型的模組都會是在階段2中，但在階段3的模組中也包含該碼可實現靈活性。“01”模組失敗可表示允許暫時網路存取。如在修正部分所描述的，裝置可使用該暫時網路存取來進行修正，例如通過使用修正中心來修正失敗的SW模組，且如果修正不成功， 則可停止網路存取。“02”模組失敗可表示允許網路存取。這可以是指允許對失敗SW模組進行修正的修正中心，並可在修正不成功時，保持網路存取。“03”模組失敗可表示允許網路存取。其可刪除/禁止/隔離失敗的SW模組，並且如果操作不成功，可停止該網路存取。“04”模組失敗可指示允許網路存取。其可刪除/禁止/隔離失敗的SW模組，並且如果操作不成功，可保持網路存取。“05”模組失敗可表示允許網路存取，並可忽略SW完整性失敗。“06”可指示其他失敗。

可將單個SPA與H(e)NB中的每個階段3的SW模組相關聯。則SW模組的實際識別符可由H(e)NB的每個構造和模型所有。在SAV中，H(e)NB已向SeGW發送了H(e)NB_ID，網路可使用該H(e)NB_ID來識別H(e)NB的構造、模型和序列號。對於每個階段3完整性檢查失敗，H(e)NB在通知負載中放入其所擁有的SW模組ID和相應的SPA。如我們現有的每個SAV機制一樣，該負載被轉發至PVE。

PVE檢查SPA，如果存在任何SPA=00，則SeGW不被授權對H(e)NB准許存取。如果SPA=01或02，則觸發修正流程。PVE發送H(e)NB_ID和SW模組ID。修正中心可使用H(e)NB_ID來對其所擁有的SW模組ID進行交叉參考，這樣其可向H(e)NB下載正確的更新。

如果有任何SPA=03或04，則PVE可向SeGW發送適當的指令。如果有任何SPA=05，則H(e)MS或其他網路元件可儲存用於管理目的的資料。

可選地，非00的SPA可能會涉及一些重啟/重新確認和ACK訊息。SPA=00與AuV的最終結果一樣，除非網路現在具有一些關於不良H(e)NB的資訊，且可採取管理操作。可選地，可不通知PVE關於通過了完整性檢查的模組。

如果FBC支持基本通訊，則可將PVM擴展為包括階段2模組的失敗。SPA可以是包含SW模組ID的物件的一部分。需要將其儲存 在TrE中。不能將其作為SW模組的一部分進行儲存，且在SW模組的完整性檢查失敗的情況下，其不可信。

根據風險評價流程，分配給每個SW模組的SPA與每個H(e)NB提供者一致，其作為SW堆疊的類型確定流程的一部分。一旦提供者與經營者建立了聯繫，則向新SW模組分配SPA就變得簡單。根據之前成功的類型確定，信任由所建立的提供者來分配適當的SPA。

為了減少對H(e)NB結構的SW結構進行標準化的需求，H(e)NB的SW結構可按碼塊的方式來定義，其中根據完整性檢查或可修正的內容，來將該塊定義為最小原子塊或量。不可定義各個塊功能。例如，從完整性檢查的角度來看，所有的階段3 SW可作為一個單獨的塊。可替換地，可將塊1：1地映射至實際的SW應用程式，或應用程式內的敏感物件。可將SPA應用至SW塊。當由於01或02的SPA而呼叫修正中心時，其下載所需塊。塊ID可涉及賣方，其結構可以不是標準化的。

如果在裝置確認中使用了SPA，則可將SPA安全地儲存在TrE中，並與SW識別符結合。這可例如保證，不會為另一具有00-SPA的元件重播05-SPA。因此，PVE能夠驗證所接收的SPA實際屬於H(e)NB中所載入的元件。

可使用由裝置最早的初始網路連接所啟動的登記流程來將SPA從裝置安全地傳輸至C_DB，並儲存用於以後使用。之後，裝置可以報告失敗元件的SW_ID，且PVE能夠從本地資料庫中檢索出相應的SPA策略操作。這可用於低帶寬連接的裝置。

現在描述用於對SPA進行分組的實施方式。如果將SPA本地儲存在TrE中，則TrE可檢查所有失敗代碼及其SPA，對其進行處理，並發送更加概括的階段完整性檢查。失敗模組及其SPA可包括表1中所示的情況。

TrE可對表2中所示的資料進行處理。

可發送由SPA所指示的具有不同失敗級別的模組列表，而不是所有SPA值。

因此，當在通知訊息中定義了一些位元塊時，可具有如表3所示的映射關係。

表3

資料的緊密度依賴於預期失敗模組的數量。例如，如果對於大部分SPA，都有平均多於1個模組失敗，則資料會更緊密(compact)。

第13圖表示通過遠端證明進行確認的方法的示例圖。確認實體1300接收SML和簽名的PCR值。該SML包含擴展到各個PCR中的所有檔的有序列表。確認實體1300對SML中的每個項執行以下步驟。確認實體1300查詢指定檔案名是否存在於已知良好雜湊值的本地資料庫1310中(1)。該資料庫1310包含所有認為可信的檔案名和二進位RIM(例如雜湊)。如果在資料庫中找不到檔案名，則認為其不可信(2)。確認實體1300可將RIM與SML所報告的測量值進行比較(3)。如果不匹配，則平台的二進位值已被(使用者、不良軟體或其他實體)改變。在這種情況下，平台不可信(4)。確認實體1300可對虛擬PCR執行擴展操作(5)。實質上，確認實體所執行的操作與平台在執行和測量期間的完全相同。在該流程結束時，將虛擬PCR值與平台所報告的值進行比較(6)。如果不匹配，則SML已受到篡改(例如，如果從SML刪了一行，但向PCR提供了雜湊值，則虛擬PCR與所報告的PCR不匹配)。則認為該平台不可信(7)。

作為一種用於報告Clist中的所載入的元件列表，或用於報告在F-SAV情況下失敗的元件列表，或用於報告測量的方式，可在模組間採用分級關係來減少所要報告的元件數量，並用於時間延遲要求。在第14圖中表示了示例安排。這種安排向模組自動引入了自然順序。因為由於OS、協定堆疊、管理模組和其他模組的原因而使可能模組的數量很大，因此模組數量可以很大。

在成功的安全啟動之後，PVE或SeGW必須向裝置發佈證書，該證書指示成功啟動。這種證書包含的資訊元素例如是TrE_ID、(軟體、硬體的)版本號或軟體的雜湊值和安全時間印記、裝置位置、模組雜湊值、模組Clist和其他相關資訊。

這種證書可用於失敗的啟動。在這種情況下，可將資訊發回PVE，PVE可認證性地驗證所報告的版本號是否正確。由於PVE是證書的頒發者，因此，其可採取適當的步驟。所不同在於，PVE不像裝置指示啟動成功狀態的情況一樣，由於信任而依賴裝置。但是，只有在PVE至少相信其從裝置所接收的任何資訊都涉及其啟動失敗狀況時，這才有效。因此，在這種情況下，可將裝置設計為使其能夠檢測啟動失敗，並將向PVE報告其狀態，其未受破壞且未受攻擊。

還可將證書用於啟動成功。在這種情況下，在之後的安全啟動流程中，裝置可以發送測量的雜湊值或測量，以及由PVE所發佈的最後一個安全啟動證書，或指向該證書的指標。通過這種操作，PVE可以驗證是否存在任何惡意變化。

證書還可用於裝置在一個地理區域內或經營者領域內啟動並行動至另一經營者領域中的情況。這種情況出現在地理跟蹤裝置中。為了驗證跟蹤資料，需要知道裝置是否成功啟動，以及所產生的資料是否真實。可向這種成功啟動證書提供由裝置所產生的資料。在證書內，可以包含當成功實現啟動時裝置所處的位置。之後，當這種證書的第三方接收方試圖驗證證書真實性時，可(較佳地，使用不依賴於裝置內部對位置資訊進行處理的方法，例如基於GPS的方法)來檢驗裝置的目前位置，並查看所獲得的目前位置是否與證書中的位置相匹配。如果不匹配，則證書接收方可向裝置或管理裝置重新確認的網路實體請求對裝置進行新的安全啟動和之後對完整性的重新確認。當終點網路需要知道關於上一次成功啟動的環境和配置(包括位置)時，這種包含關於上一次執行成功啟動地點的位置資訊的證書還可用於中途失敗的情況。

如此所述，PVM可使用任何形式的確認。通常，三種主要方法是AuV、SAV和遠端確認(RV)。每種方法都處理測量、報告和強制的步驟，這些步驟與裝置完整性確認產生不同的關聯。AuV在裝置本地執 行所有三個步驟。RV在本地執行測量，之後將測量報告給外部實體。由外部實體來進行強制。SAV本地執行安全啟動，向外部實體報告測量，並允許重新確認。

特別是，使用SAV的裝置可執行信任狀態測量的直接評價，並建立初始網路連接。可向外部實體，例如安全閘道(SeGW)報告評價結果，以及相關參考度量。可選地，可以報告測量和參考度量的子集。

確認報告可基於H(e)NB特徵實現對H(e)NB信任狀態的評價，該特徵例如是其平台結構、安全性結構、安全性策略和裝置證明。確認報告可包括關於H(e)NB的資訊、TrE能力、測量和驗證規則、TrE的安全策略管理器能力、測量結果、平台級別證明資訊、上一次啟動時間、或啟動計數器。

裝置資訊可包括例如製造商、結構、模型號、版本號、硬體構建或版本號或軟體構件或版本號。TrE性能可包括例如測量、驗證、報告和強制性能。

該測量和內部驗證規則資訊可包括在安全啟動期間執行信任狀態測量和內部驗證的方法。例如，可以包括覆蓋範圍，例如元件載入的名稱、類型和順序。可以包括元件驗證的方法，例如驗證中信任鏈的數量和範圍。可以包括用於測量和驗證的演算法，例如安全雜湊演算法1(SHA-1)擴展。還可以包括暫存器範圍，例如在啟動驗證中所涉及的平台配置暫存器(PCR)。

TrE的安全性策略管理器能力可以包括涉及實現和強制安全性策略的資訊。測量結果可以包括內部報告和驗證的實際測量值，例如簽名PCR值。平台級別證明資訊可以包括通常關於H(e)NB的資訊，或特別地關於TrE的資訊。上一次啟動時間可以包括關於何時執行上一次安全啟動的安全時間印記。

啟動計數器可以包括計數器值，該計數器在出現功率循環 時，和進行安全啟動操作時增加。該計數器可以是受保護的計數器，其不能被重設或反向，只能向前計數。當裝置首次初始化時，可將該計數器值初始化為零。

可通過將資訊結合至認證協定(例如網際網路密鑰交換協定版本2(IKEv2))，來經由認證和確認的結合程序，將確認報告結合至H(e)NB。確認報告可包括證書。可選地，證書中可包括所述資訊中的一些。

可替換地，確認報告可包括對提供信任狀態資訊的可信第三方(TTP)的指標或參考，外部實體可從該TTP獲得信任狀態資訊。例如，確認報告可包括對單獨的裝置信任證書的參考，該證書包含信任狀態資訊。

響應於在評價期間所遇到的異常，外部實體可以拒絕網路存取。外部實體還可以評價測量和參考度量，並可以檢測H(e)NB未檢測出或未報告的錯誤。可替換地，可向H(e)NB許可進行受限的網路存取(隔離)。否則，可向H(e)NB許可進行網路存取。H(e)NB可回應於外部裝置的請求，而執行、評價和報告信任狀態測量。該請求可由經營者發出。重新確認可確認在啟動期間未確認的元件。如果檢測到非核心確認錯誤，則外部實體可以向H(e)NB發送請求，以執行修正措施。例如，回應於修正請求，H(e)NB可返回至預定狀態。

SAV允許通過指示符來檢測損害，即使在安全啟動中沒有檢測到攻擊。根據安全屬性，可對受損害的裝置執行修正步驟。只要發給網路的指示符顯示核心安全啟動沒有受到損害，且安全性屬性被傳送，則這便是有可能的。如果核心受到損害，裝置將由於本地執行而不能連接至網路。受損害的裝置可由重啟或請求重新確認而被檢測出。因此，有更高的檢測可能性。可經過OTA提供軟體更新，且不需要業務技術員來替換裝置。SAV實現了對CN良好精度的存取控制，並由於使用了指示符和本地強制而提供了低於RV的帶寬佔用率。

SAV結合了AuV和RV的優點，產生了更好的粒度和對裝 置安全屬性和確認測量更好的可見性。其提供了更低的帶寬佔用率、與自主確認相當的本地裝置資源、對受攻擊裝置更快更方便的檢測，並實現了對受損害的裝置使用隔離網路。

第15圖是無線通訊網路1500的示例方塊圖，該無線通訊網路1500包括WTRU 1510、H(e)NB 1520和H(e)MS 1530。如第15圖所示，將WTRU 1510、H(e)NB 1520和H(e)MS 1530配置為執行平台認證和管理。

除了在典型WTRU中可見的元件以外，WTRU 1510包括帶有可選鏈結記憶體1522的處理器1516、至少一個收發器1514、可選的電池1520和天線1518。將處理器1516配置為，對於通過基地台(例如H(e)NB 1520)傳遞到處理器的PVM功能執行補充平台認證和管理功能。收發器1514與處理器1516和天線1518進行通訊，以促進無線通訊的傳輸和接收。在WTRU 1510使用電池1520的情況中，該電池1520對收發器1514和處理器1516供電。

除了在典型H(e)NB中可見的元件以外，H(e)NB 1520包括帶有可選鏈結記憶體1515的處理器1517、收發器1519和天線1521。將處理器1517配置為執行平台認證和管理功能，以實現PVM方法。收發器1519與處理器1517和天線1521進行通訊，以促進無線通訊的傳輸和接收。H(e)NB 1520與H(e)MS 1530相連接，H(e)MS 1530包括帶有可選鏈結記憶體1534的處理器1533。

雖然未在第15圖中顯示，但除了典型SeGW和PVE中可見的元件以外，SeGW和PVM可包括具有可選鏈結記憶體的處理器、收發器、天線和通訊埠。將處理器配置為執行平台認證和管理功能，以實現PVM方法。收發器和通訊埠根據需要與處理器和天線進行通訊，以促進通訊的傳輸和接收。

選擇性地將網路元件配置為執行此處結合各個示例所詳細描述的所期望PVM功能。此外，可將WTRU配置為例如對驗證、確認和 其他可信因素具有補充PVM功能，以促進其對能進行PVM的網路和資源的存取和利用。

作為例子，將各個元件都配置為在處於活動狀態的實體間使用PVM最大類型的任務分隔。如此處所述，這可通過在各個實體間使用PVM權杖傳遞特定資訊來實現。

實施例

1、一種用於平台認證和管理(PVM)的方法，包括回應於來自裝置的確認訊息來接收PVM權杖，該PVM權杖至少包括來自所述裝置的驗證資訊。

2、如實施例1的方法，進一步包括使用來自所述PVM權杖的預定資訊來執行確認。

3、如前述任一實施例的方法，進一步包括回應於失敗元件，向裝置管理系統(DMS)發送失敗報告，以啟動修正和重新確認。

4、如前述任一實施例的方法，進一步包括發送具有確認結果的修改的PVM權杖。

5、如前述任一實施例的方法，其中執行確認包括確定至少一個失敗狀況的適用性。

6、如前述任一實施例的方法，其中使用遠端確認(RV)、自主確認(AuV)、半自主確認(SAV)、完全SAV(F-SAV)、最小確認或參數確認中的至少其中之一來進行確認。

7、如前述任一實施例的方法，其中驗證資訊包括裝置識別碼、裝置資訊、可信環境(TrE)資訊、驗證資料、驗證結合和元件指示符-元件的有序元件列表中的至少一個。

8、如前述任一實施例的方法，其中執行確認包括確定TrE不可信、確定完整性測量/驗證資料不匹配、確定元件的丟失參考完整性度量(RIM)、確定載入元件列表策略失敗和確定失效裝置或失效RIM證書中 的至少一種。

9、如前述任一實施例的方法，其中將PVM權杖被結合到確認TrE的識別和確認過程。

10、如前述任一實施例的方法，其中通過對PVM權杖添加時間印記，並由每個傳遞所述PVM權杖的實體將所述時間印記添加到按時間排序的列表來控制確認的新鮮度。

11、如前述任一實施例的方法，進一步包括通過在RIM證書中使用裝置識別碼來建立個體化。

12、如前述任一實施例的方法，進一步包括向DMS發送PVM權杖，以確定隔離、白名單、黑名單和灰名單的適用性。

13、如前述任一實施例的方法，其中灰名單包括新加入網路的裝置、還未連接達到延長的時間段的裝置、具有可疑性能的裝置和對其存在安全警告的裝置中的至少一種。

14、如前述任一實施例的方法，其中經營者RIM遮蔽將來自各種外部源的用於裝置元件的預定RIM證書替換為經營者RIM證書。

15、如前述任一實施例的方法，其中，其中向確認資料庫發送查詢，以檢查在PVM權杖中所接收的資訊。

16、如前述任一實施例的方法，其中向配置資料庫發送查詢，以基於預定識別符來檢索配置策略。

17、如前述任一實施例的方法，其中對所檢索出的配置策略進行評價。

18、如前述任一實施例的方法，其中回應於失敗狀況，將訊息發送至確認資料庫管理器。

19、一種對連接到平台認證和管理(PVM)的裝置進行確認的方法，包括對所述裝置的至少一個預先指定的元件執行完整性檢查，並儲存完整性檢查結果。

20、如實施例19的方法，進一步包括對裝置執行安全啟動檢查，並儲存安全啟動檢查結果。

21、如實施例19-20中任一實施例的方法，進一步包括根據完整性檢查結果和安全啟動檢查結果來產生確認訊息。

22、如實施例19-21中任一實施例的方法，進一步包括將確認訊息轉發至PVM。

23、如實施例19-22中任一實施例的方法，進一步包括分階段地執行安全啟動，以確保在可信環境(TrE)元件的本地確認成功的條件下，每個TrE元件都被載入。

24、如實施例19-23中任一實施例的方法，進一步包括在第一階段中，經由依賴於信任根(RoT)的安全啟動來載入所述TrE的元件。

25、如實施例19-24中任一實施例的方法，進一步包括在第二階段中，載入TrE外部的元件，以實現與所述PVM的通訊。

26、如實施例19-25中任一實施例的方法，進一步包括載入所述裝置的剩餘元件。

27、如實施例19-26中任一實施例的方法，其中執行完整性檢查是基於至少一個可信參考值和所述TrE進行的。

28、如實施例19-27中任一實施例的方法，其中確認訊息包括本地通過/失敗指示符，以作為在第一階段和第二階段中所建立的完整性的測量。

29、如實施例19-28中任一實施例的方法，進一步包括回落編碼基底。

30、如實施例19-29中任一實施例的方法，其中啟動回落編碼基底包括觸發對包括RIM的主編碼基底的軟體更新。

31、如實施例19-30中任一實施例的方法，進一步包括在載入了回落代碼的條件下，發送事故信號。

32、如實施例19-31中任一實施例的方法，其中回落代碼(FBC)圖像促進裝置修正，並儲存在安全記憶體中。

33、如實施例19-32中任一實施例的方法，其中所述完整性檢查確定只有登記的元件被啟動。

34、如實施例19-33中任一實施例的方法，其中通過載入至記憶體中來啟動登記的元件。

35、如實施例19-34中任一實施例的方法，其中通過開始進入完整性證實狀態來啟動登記的元件。

36、如實施例19-35中任一實施例的方法，進一步包括執行第二完整性檢查。

37、如實施例19-36中任一實施例的方法，進一步包括在裝置已經完成了成功的網路連接的條件下，執行第二完整性檢查。

38、如實施例19-37中任一實施例的方法，其中使用通過所述裝置或回應於訊息中的一種方式來啟動第二完整性檢查。

39、如實施例19-38中任一實施例的方法，其中在受保護的儲存位置儲存完整性檢查結果。

40、如實施例19-39中任一實施例的方法，其中確認訊息包括加密簽名的聲明。

41、如實施例19-40中任一實施例的方法，其中確認訊息包括完整性檢查與之後的認證程序之間的結合的證據。

42、如實施例19-41中任一實施例的方法，其中確認訊息包括安全啟動檢查與之後的認證程序之間的結合的證據。

43、如實施例19-42中任一實施例的方法，其中確認訊息包括時間印記。

44、如實施例19-43中任一實施例的方法，其中確認訊息包括第一時間印記和第二時間印記，該第一時間印記在完整性檢查和啟動檢 查之前獲得，該第二時間印記在完整性檢查和啟動檢查之後獲得。

45、如實施例19-44中任一實施例的方法，其中確認訊息包括對裝置配置的指示。

46、如實施例19-45中任一實施例的方法，其中確認訊息包括對裝置元件的安全性屬性的指示。

47、如實施例19-46中任一實施例的方法，進一步包括回應於確認訊息，從PVM接收決定訊息。

48、如實施例19-47中任一實施例的方法，其中所述決定訊息包括對與裝置相關聯的網路許可權的指示。

49、如實施例19-48中任一實施例的方法，進一步包括可信資源(TR)執行完整性檢查。

50、如實施例19-49中任一實施例的方法，進一步包括可信資源(TR)執行安全啟動檢查。

51、如實施例19-50中任一實施例的方法，進一步包括可信資源(TR)產生確認訊息。

52、如實施例19-51中任一實施例的方法，進一步包括可信資源(TR)從PVM接收決定訊息。

53、如實施例19-52中任一實施例的方法，其中FBC刪除或卸載一部分正常代碼，並重啟裝置以進行重新確認。

54、一種用於促進平台認證和管理(PVM)的平台認證實體(PVE)，包括所述PVE被配置為回應於來自裝置的確認訊息來接收PVM權杖，該PVM權杖至少包括來自裝置的驗證資訊。

55、如實施例54的方法，進一步包括所述PVE被配置為使用來自所述PVM權杖的預定資訊來執行確認。

56、如實施例54-55中任一實施例的方法，進一步包括所述PVE被配置為回應於失敗元件而向裝置管理系統(DMS)發送失敗報告， 以啟動修正和重新確認。

57、如實施例54-56中任一實施例的方法，進一步包括所述PVE被配置為發送具有確認結果的修改後的PVM權杖。

58、如實施例54-57中任一實施例的方法，其中驗證訊息至少包括安全性策略屬性。

59、一種用於經由平台認證和管理(PVM)來執行確認的裝置，該裝置包括處理器，該處理器被配置為對所述裝置的至少一個預先指定的元件執行完整性檢查，並將完整性檢查結果儲存在記憶體中。

60、如實施例59中任一實施例的方法，進一步包括所述處理器被配置為對所述裝置執行安全啟動檢查，並在所述記憶體中儲存安全啟動檢查結果。

61、如實施例59-60中任一實施例的方法，進一步包括所述處理器被配置為基於完整性檢查結果和安全啟動檢查結果產生確認訊息。

62、如實施例59-61中任一實施例的方法，進一步包括傳輸器，用於向PVM發送確認訊息。

63、一種用於促進平台認證和管理(PVM)的裝置管理系統(DMS)，包括該DMS被配置為回應於來自裝置的確認訊息來從平台認證實體(PVE)接收失敗報告和PVM權杖中的至少一者，以便回應於失敗元件而啟動修正和重新確認，所述PVM權杖至少包括來自所述裝置的驗證資訊。

64、如實施例63中任一實施例的方法，進一步包括所述DMS被配置為至少為所述失敗元件確定更新的可用性。

65、如實施例63-64中任一實施例的方法，進一步包括所述DMS被配置為準備無線更新以作為可用更新。

66、如實施例63-65中任一實施例的方法，進一步包括所述DMS被配置為確保在確認資料庫中存在用於可用更新的可信參考值。

67、如實施例63-66中任一實施例的方法，進一步包括所述DMS被配置為向安全性閘道(SeGW)發送修改後的PVM權杖和重新確認指示。

68、如實施例63-66中任一實施例的方法，進一步包括所述DMS被配置為向所述裝置發送重新確認觸發。

69、一種在無線通訊中使用的方法，該方法包括執行平台認證和管理(PVM)。

70、如實施例69中任一實施例的方法，其中執行PVM包括執行半自主確認(SAV)。

71、如實施例69-70中任一實施例的方法，其中執行PVM包括在平台認證實體(PVE)中所執行的無線裝置確認。

72、如實施例69-71中任一實施例的方法，其中執行PVM包括：

73、如實施例69-72中任一實施例的方法，進一步包括按階段執行安全啟動，以確保在所需載入的元件的本地確認成功的條件下，載入了每個可信環境元件。

74、如實施例69-73中任一實施例的方法，進一步包括在第一階段中，通過依賴於信任根(RoT)的安全啟動載入可信環境元件。

75、如實施例69-74中任一實施例的方法，進一步包括在第二階段中，載入可信環境外部的元件，需要該元件來執行與安全性閘道(SeGW)的基本通訊。

76、如實施例69-75中任一實施例的方法，進一步包括載入裝置的剩餘元件。

77、如實施例69-76中任一實施例的方法，進一步包括收集資料並將其發送至SeGW，該封包括以下至少一者：裝置識別碼、屬於增強型家庭節點B(H(e)NB)的資訊、屬於可信環境(TrE)的資訊、驗證資 料；驗證結合；元件指示符-元件的有序元件列表。

78、如實施例69-77中任一實施例的方法，進一步包括回應於對經過認證的H(e)NB失去連接而對裝置進行重新確認。

79、如實施例69-78中任一實施例的方法，進一步包括在PVE執行確認期間，確定失敗狀況，該失敗狀況包括以下至少一者：根據所傳遞的TrE資訊確定TrE不可信；確定完整性測量/驗證資料不匹配；確定元件的參考完整性度量(RIM)丟失；確定載入元件列表(Clist)策略失敗；確定失效的裝置或RIM證書；和SeGW拒絕網路存取和裝置認證，並阻止之後的認證嘗試。

80、如實施例69-79中任一實施例的方法，進一步包括產生PVM權杖，該PVM權杖與有效TrE的識別碼和確認流程結合。

81、如實施例69-80中任一實施例的方法，其中通過對PVM權杖添加時間印記，該時間印記最初由SeGW所產生，並由每個實體在傳遞PVM權杖時添加到按時間排序的列表來控制確認的新鮮度。

82、如實施例69-81中任一實施例的方法，其中通過完成第一和第二階段與SeGW和PVE進行通訊，和在將第三階段的結果發送至SeGW前，使用SeGW/PVE所提供的臨時用法來結合階段3檢查的進一步確認來控制確認的新鮮度。

83、如實施例69-82中任一實施例的方法，進一步包括由裝置希望與之建立回載鏈路的經營者來產生RIM證書。

84、如實施例69-83中任一實施例的方法，其中RIM管理器對用於平台認證的PVE和DMS進行配置，將DMS配置為對裝置上將要安裝RIM證書的元件執行證書更新操作，並進一步包括對裝置強制執行狀態重新確認。

85、如實施例69-84中任一實施例的方法，進一步包括經營者通過執行以下中的至少一個來控制裝置操作：使用對稱密鑰來對將被鎖 定的元件的一部分加密；在受保護和可控制的空間中向TrE發送解密密鑰，該空間只能具有經營者授權才能訪問；和當PVE接收到用於該元件的指示符時，向TrE釋放授權資料。

86、如實施例69-85中任一實施例的方法，進一步包括通過使用RIM證書中的裝置識別碼來根據PVM建立個體化。

87、如實施例69-86中任一實施例的方法，進一步包括根據向裝置識別碼和元件指示符對提供經營者簽名來建立個體化。

88、如實施例69-87中任一實施例的方法，進一步包括為裝置建立黑名單，並根據黑名單禁止網路存取，其中黑名單至少包含裝置識別碼。

89、如實施例69-88中任一實施例的方法，進一步包括為裝置建立隔離網路，其中SeGW用作核心網路的強制承載。

90、如實施例69-89中任一實施例的方法，進一步包括建立被隔離裝置的灰名單，該灰名單包括新加入網路的裝置、連接還未達到預定時間的裝置、具有可疑性能的裝置和對其存在安全警告的裝置中的至少一種。

91、如實施例69-90中任一實施例的方法，進一步包括執行診斷確認，包括載入未知元件、拒絕載入未知元件和禁止元件中的至少一個。

92、如實施例69-91中任一實施例的方法，進一步包括執行最小確認，包括發送本地驗證過程中所用的指示符或參考值。

93、如實施例69-92中任一實施例的方法，進一步包括在認證證書中結合確認。

94、如實施例69-93中任一實施例的方法，其中證書是由發佈者、其SeGW、或負責管理這些證書的從屬實體所簽名的簽名資料組，證書中的該簽名資料至少包含裝置識別碼、用於認證和確認的裝置公共密 鑰、和元件列表。

95、如實施例69-94中任一實施例的方法，進一步包括執行自主確認和對管理識別碼進行分組，該自主確認根據安全啟動流程的各階段，不向SeGW發送任何確認資料。

96、如實施例69-95中任一實施例的方法，進一步包括在裝置和SeGW已經完成了對裝置的第一認證協定的條件下，通過所建立的安全頻道發送裝置識別碼和認證資料，在該第一認證協定中，裝置對其管理識別碼之一進行認證。

97、如實施例69-96中任一實施例的方法，進一步包括確保向安全儲存卡發送元件代碼的安全。

98、如實施例69-97中任一實施例的方法，進一步包括使用加密來替換摘要值。

99、如實施例69-98中任一實施例的方法，進一步包括將裝置位置資訊包括在確認訊息中。

100、如實施例69-99中任一實施例的方法，其中將通過裝置識別符(Dev_ID)來識別所述裝置。

101、如實施例69-100中任一實施例的方法，其中Dev_ID是正式功能變數名稱(FQDN)、統一資源位置符(URL)、統一資源名稱、統一資源標識、媒介存取控制(MAC)位址、網際網路協定(IP)位址、IP主機標識、子網位址、國際行動設備識別碼、國際行動站設備識別碼和軟體版本號、電子序列號、行動設備標識、IP多媒體核心網路子系統使用者ID或行動站集成業務資料網路ID。

102、如實施例69-101中任一實施例的方法，其中Dev_ID是字母數位或機器可讀的形式，其實現對裝置唯一可靠和明確的標識。

103、如實施例69-102中任一實施例的方法，進一步包括根據一個或多個可信參考值和TrE，在啟動時執行裝置完整性檢查。

104、如實施例69-103中任一實施例的方法，其中TrE是包含PVM所需最小功能的實體。

105、如實施例69-104中任一實施例的方法，進一步包括對SeGW執行網路認證，並發送包含裝置識別碼的資料。

106、如實施例69-105中任一實施例的方法，進一步包括準備測量訊息，該訊息包含在第一和第二步驟中用作所建立的完整性測量的本地通過/失敗指示符。

107、如實施例69-106中任一實施例的方法，其中執行PVM包括基本SAV。

108、如實施例69-107中任一實施例的方法，其中執行PVM包括完全SAV。

109、如實施例69-108中任一實施例的方法，其中執行PVM包括平台認證。

110、如實施例69-109中任一實施例的方法，其中平台認證允許對核心網路(CN)保護，以防惡意裝置。

111、如實施例69-110中任一實施例的方法，其中執行PVM包括在裝置和CN之間使用間接通訊。

112、如實施例69-103中任一實施例的方法，其中平台認證確保在證實的安全狀態中的裝置能夠與CN中的實體進行通訊。

113、如實施例69-112中任一實施例的方法，其中執行PVM包括報告確認資料。

114、如實施例69-113中任一實施例的方法，其中報告確認封包括收集確認資料，並將其報告給SeGW。

115、如實施例69-114中任一實施例的方法，其中執行PVM包括使用PVE進行確認。

116、如實施例69-115中任一實施例的方法，其中PVE確 定裝置的有效性。

117、如實施例69-116中任一實施例的方法，其中PVE是策略決定點(PDP)。

118、如實施例69-117中任一實施例的方法，其中PVE報告失敗狀況。

119、如實施例69-118中任一實施例的方法，其中失敗情況是TrE失效、驗證資料失敗、Clist策略失敗或確認前裝置認證失敗。

120、如實施例69-119中任一實施例的方法，其中執行PVM包括重新確認。

121、如實施例69-120中任一實施例的方法，其中重新確認包括週期性地重新確認。

122、如實施例69-121中任一實施例的方法，其中週期性地重新確認包括確認裝置正在執行惡意代碼的風險較小的預定狀態中進行操作。

123、如實施例69-122中任一實施例的方法，其中重新確認包括啟動認證程序。

124、如實施例69-123中任一實施例的方法，其中執行PVM包括由裝置啟動的重新確認。

125、如實施例69-124中任一實施例的方法，其中週期性地執行由裝置啟動的重新確認。

126、如實施例69-125中任一實施例的方法，其中執行PVM包括由網路啟動的重新確認。

127、如實施例69-126中任一實施例的方法，其中週期性地執行由網路啟動的重新確認。

128、如實施例69-127中任一實施例的方法，其中可出於安全需要而執行由網路啟動的重新確認。

129、如實施例69-128中任一實施例的方法，其中執行PVM包括平台管理。

130、如實施例69-129中任一實施例的方法，其中平台管理包括DMS執行裝置管理。

131、如實施例69-130中任一實施例的方法，其中平台管理基於所接收和所儲存的裝置資訊。

132、如實施例69-131中任一實施例的方法，其中裝置是H(e)NB。

133、如實施例69-132中任一實施例的方法，其中執行PVM包括權杖傳遞。

134、如實施例69-133中任一實施例的方法，其中PVM是流程。

135、如實施例69-134中任一實施例的方法，其中SeGW負責產生和管理與確認流程唯一相關的權杖。

136、如實施例69-135中任一實施例的方法，其中執行PVM包括通過公共網際網路進行確認。

137、如實施例69-136中任一實施例的方法，其中通過網際網路進行確認包括滿足確保初始確認安全的特殊要求。

138、如實施例69-137中任一實施例的方法，其中執行PVM包括經營者RIM遮蔽。

139、如實施例69-138中任一實施例的方法，其中經營者RIM遮蔽使用由裝置希望與之建立回載鏈路的經營者所產生的RIM證書替換來自各個外部源的用於裝置元件的大量RIM證書。

140、如實施例69-139中任一實施例的方法，其中執行PVM包括經營者元件鎖定。

141、如實施例69-140中任一實施例的方法，其中經營者元 件鎖定包括經營者控制裝置或其元件在外部網路中的操作。

142、如實施例69-141中任一實施例的方法，其中執行PVM包括個體化。

143、如實施例69-142中任一實施例的方法，其中個體化包括證明由誰管理裝置配置和可信度。

144、如實施例69-143中任一實施例的方法，其中個體化包括向裝置提供資料，該資料簽發了對裝置的定址。

145、如實施例69-144中任一實施例的方法，其中執行PVM包括將裝置列入黑名單。

146、如實施例69-145中任一實施例的方法，其中將裝置列入黑名單包括為裝置建立黑名單，並根據黑名單禁止網路存取。

147、如實施例69-146中任一實施例的方法，其中黑名單是裝置專用黑名單。

148、如實施例69-147中任一實施例的方法，其中黑名單是網路範圍的黑名單。

149、如實施例69-148中任一實施例的方法，其中執行PVM包括將裝置列入白名單。

150、如實施例69-149中任一實施例的方法，其中將裝置列入白名單包括為裝置建立白名單，並根據白名單允許網路存取。

151、如實施例69-150中任一實施例的方法，其中白名單是裝置專用白名單。

152、如實施例69-151中任一實施例的方法，其中白名單是網路範圍的白名單。

153、如實施例69-152中任一實施例的方法，其中執行PVM包括隔離網路。

154、如實施例69-153中任一實施例的方法，其中由SeGW 決定將哪些裝置進行隔離。

155、如實施例69-154中任一實施例的方法，其中被隔離的裝置沒有對CN的直接存取，並提供受限的服務。

156、如實施例69-155中任一實施例的方法，其中執行PVM包括參數確認。

157、如實施例69-156中任一實施例的方法，其中參數確認包括在確認期間不受阻礙地發送參數。

158、如實施例69-157中任一實施例的方法，其中執行PVM包括診斷確認。

159、如實施例69-158中任一實施例的方法，其中執行PVM包括載入未知元件。

160、如實施例69-159中任一實施例的方法，其中載入未知元件允許在裝置中沒有RIM的情況下載入元件。

161、如實施例69-160中任一實施例的方法，其中執行PVM包括對失敗狀況進行PVM診斷。

162、如實施例69-161中任一實施例的方法，其中將DMS配置為省略替換裝置上的失敗元件。

163、如實施例69-162中任一實施例的方法，其中將DMS配置為使用正確元件替換Clist中的所有元件。

164、如實施例69-163中任一實施例的方法，其中執行PVM包括拒絕載入未知元件。

165、如實施例69-164中任一實施例的方法，其中診斷確認包括報告不能載入元件，並向CN發送該元件的測量值。

166、如實施例69-165中任一實施例的方法，其中執行PVM包括禁止元件。

167、如實施例69-166中任一實施例的方法，其中禁止元件 包括在不拒絕對裝置的連接的情況下，為不能進行確認也不能在PVM中被替換或更新的元件發送禁止CInd和重新確認訊息。

168、如實施例69-167中任一實施例的方法，其中執行PVM包括最小確認策略。

169、如實施例69-168中任一實施例的方法，其中最小確認策略包括只在特定情況下執行裝置確認。

170、如實施例69-169中任一實施例的方法，其中執行PVM包括在認證證書中結合確認。

171、如實施例69-170中任一實施例的方法，其中在認證證書中結合確認包括自動將裝置的認證ID與確認結合。

172、如實施例69-171中任一實施例的方法，其中執行PVM包括撤回裝置認證證書。

173、如實施例69-172中任一實施例的方法，其中撤回裝置認證證書包括確定是否從裝置撤回用於裝置認證的裝置證書。

174、如實施例69-173中任一實施例的方法，其中撤回裝置認證證書包括向裝置指示由於撤回證書而裝置認證失敗；並將裝置從白名單刪除或將裝置加入黑名單。

175、如實施例69-174中任一實施例的方法，進一步包括PVM執行自主確認(AuV)。

176、如實施例69-175中任一實施例的方法，其中AuV包括省略向SeGW發送確認資料。

177、如實施例69-176中任一實施例的方法，其中AuV包括僅發送Dev_ID。

178、如實施例69-177中任一實施例的方法，其中執行PVM包括修正。

179、如實施例69-178中任一實施例的方法，其中修正包括 更新軟體。

180、如實施例69-179中任一實施例的方法，其中修正是對裝置繼續服務所必需的操作。

181、如實施例69-180中任一實施例的方法，其中執行PVM包括由裝置啟動的修正。

182、如實施例69-181中任一實施例的方法，其中在檢測到錯誤時，執行由裝置啟動的修正，而不是將裝置隔離。

183、如實施例69-182中任一實施例的方法，其中執行PVM包括由網路啟動的修正。

184、如實施例69-183中任一實施例的方法，其中執行PVM包括啟動回落編碼基底。

185、如實施例69-184中任一實施例的方法，其中啟動回落編碼基底包括觸發對包含RIM的主碼庫的軟體更新。

186、如實施例69-185中任一實施例的方法，其中執行PVM包括發送事故信號。

187、如實施例69-186中任一實施例的方法，其中回落代碼(FBC)圖像促進了裝置修正，並被儲存在安全記憶體中。

188、如實施例69-187中任一實施例的方法，其中執行PVM包括不使用RIM進行確認。

189、如實施例69-188中任一實施例的方法，其中執行PVM包括包含基於位置的資訊。

190、如實施例69-189中任一實施例的方法，其中將位置資訊用於防盜、貨物追蹤、車隊監控或監視。

191、如實施例69-190中任一實施例的方法，其中裝置包括GPS模組。

192、如實施例69-191中任一實施例的方法，其中安全啟動 包括確認GPS模組和元件。

193、如實施例69-192中任一實施例的方法，其中執行PVM包括使用IKEv2協定的確認連接。

194、如實施例69-193中任一實施例的方法，其中執行PVM包括使用傳輸協定。

195、如實施例69-194中任一實施例的方法，其中傳輸協定是IKE或ISAKMP。

196、如實施例69-195中任一實施例的方法，其中傳輸協定定義了多個可用的證書簡檔。

197、如實施例69-196中任一實施例的方法，其中執行PVM包括傳輸層安全性(TLS)握手。

198、如實施例69-197中任一實施例的方法，其中執行PVM包括使用TLS會話票據擴展。

199、如實施例69-198中任一實施例的方法，其中TLS會話票據擴展允許伺服器向使用者端發佈會話票據，可將該票據用於恢復會話和保存每個使用者端的會話狀態。

200、如實施例69-199中任一實施例的方法，其中執行PVM包括補充認證協定。

201、如實施例69-200中任一實施例的方法，其中補充認證協定包括通過所建立的安全頻道發送Dev_ID和用於Dev_ID的認證資料。

202、如實施例69-201中任一實施例的方法，其中執行PVM包括管理會話建立。

203、如實施例69-202中任一實施例的方法，其中管理會話建立包括在裝置與SeGW之間使用通訊協定。

204、如實施例69-203中任一實施例的方法，其中執行PVM包括基於證書的確認。

205、如實施例69-204中任一實施例的方法，其中執行PVM包括針對基於裝置管理(DM)的結構使用開放行動聯盟(OMA)。

206、如實施例69-205中任一實施例的方法，其中執行PVM包括使用證書交換方法。

207、如實施例69-206中任一實施例的方法，其中證書交換方法包括將確認與認證合併，並自動將裝置的認證ID與確認結合。

208、如實施例69-207中任一實施例的方法，其中結合證書是簽名資料組。

209、如實施例69-208中任一實施例的方法，其中結合證書由發佈者進行簽名的。

210、如實施例69-209中任一實施例的方法，其中執行PVM包括證書前交換。

211、如實施例69-210中任一實施例的方法，其中執行PVM包括證書後交換。

212、如實施例69-211中任一實施例的方法，其中執行PVM包括使用簽名訊息格式用於從發佈者向裝置下載軟體封包。

213、如實施例69-212中任一實施例的方法，其中簽名訊息格式允許在單個簽名封包中發送檔。

214、如實施例69-213中任一實施例的方法，其中簽名訊息格式允許接收方裝置能夠對來源進行認證，且該資料格式包含用於安裝內容的指令。

215、如實施例69-214中任一實施例的方法，其中簽名訊息格式包括標頭，該標頭包含格式版本、以及命令列表和負載元件的長度。

216、如實施例69-215中任一實施例的方法，其中執行PVM包括使用第二碼庫用於修正。

217、如實施例69-216中任一實施例的方法，其中執行PVM 包括使用外部FBC。

218、如實施例69-217中任一實施例的方法，其中將外部FBC用於啟動修正，並在TrE內運行。

219、如實施例69-218中任一實施例的方法，其中執行PVM包括使用內部並行碼庫。

220、如實施例69-219中任一實施例的方法，其中執行PVM包括使用觸發機制和所需回落編碼基底，用於促進修正。

221、如實施例69-220中任一實施例的方法，其中執行PVM包括使用內部順序碼庫。

222、如實施例69-221中任一實施例的方法，其中內部順序碼庫定義了用於在遠端裝置上安裝或改變軟體配置的協定和命令。

223、如實施例69-222中任一實施例的方法，其中使用內部順序碼庫包括將執行PVM和協定的結果合併。

224、如實施例69-223中任一實施例的方法，其中執行PVM包括使用安全策略屬性。

225、如實施例69-201中任一實施例的方法，其中使用安全策略屬性包括產生安全性策略屬性(SPA)標準化列表。

226、如實施例69-201中任一實施例的方法，其中SPA是策略，該策略能夠通知PVE如果特定模組的整體性檢查失敗時，應該採取怎樣的操作。

儘管上述在特定結合中描述了PVM的特徵和元件，但是，各個特徵或元件都可單獨使用不需其他特徵和元件，或以各種方式與其他特徵和元件結合或不結合。可以在結合至電腦可讀儲存媒體中，可由通用目的電腦或處理器執行的電腦程式、軟體或韌體中實現此處所提供的方法或流程。電腦可讀儲存媒體的例子包括唯讀記憶體(ROM)、隨機儲存記憶體(RAM)、暫存器、緩存、半導體儲存裝置、磁性媒體例如內部硬碟和可 攜式磁碟、光磁媒體和光學媒體例如CD-ROM光碟和數位多功能光碟(DVD)。

適當的記憶體包括例如通用目的記憶體、專門目的記憶體、傳統處理器、數位信號處理器(SDP)、多個微處理器、與DSP核心相連的一個或多個微處理器、控制器、微控制器、專用積體電路(ASIC)、現場可程式化閘陣列(FPGA)電路、任何其他類型的積體電路(IC)及/或狀態機。

可將與軟體相連的處理器用於實現無線裝置中所用的無線頻率收發器、無線傳輸接收單元(WTRU)、使用者設備(UE)、終端、基地台、無線網路控制器(RNC)或任何主機電腦。WTRU可與以硬體及/或軟體實現的模組連接使用，例如照相機、錄影機模組、視訊電話、免持電話、振動裝置、揚聲器、麥克風、電視收發器、可擕式耳機、鍵盤、藍芽®模組、調頻(FM)無線單元、液晶顯示(LCD)顯示單元、有機發光二極體(OLED)顯示單元、數位音樂播放器、媒體播放器、視頻遊戲器模組、網際網路流覽器及/或任何無線局域網路(WLAN)或超寬頻(UWB)模組。

CPman、570‧‧‧配置策略管理器

C_DB、550‧‧‧配置策略資料庫

DMS、535‧‧‧裝置管理系統

I-aaa、I-c、I-cdb、I-d、I-dms、I-h、I-pd、I-pve、I-r、I-rdb、I-ue、I-v、514、515、530、522、526、528、532、534、538、562、572、575‧‧‧介面

PVE、524‧‧‧平台認證實體

RIMman、560‧‧‧RIM管理器

SeGW、520‧‧‧安全閘道

TrE、510‧‧‧可信環境

UE‧‧‧使用者設備

V_DB、540‧‧‧確認資料庫

500‧‧‧PVM結構或系統

505‧‧‧裝置

512‧‧‧無線傳輸/接收單元

Claims (19)

1. 執行與一平台認證實體(PVE)耦接的一裝置的確認的裝置，該裝置在該PVE執行，該裝置包括：基於該裝置的一或多個軟體模組的一完整性檢查，從該裝置接收一確認訊息，該確認訊息包括關於該裝置的一資訊、以及表明與未通過該完整性檢查的任何軟體模組相關聯的一或多個安全性策略屬性；以及基於該確認訊息，確定是否允許對該裝置的網路存取。
2. 如申請專利範圍第1項所述的方法，其中用於任何未通過的軟體模組的該一或多個安全性策略屬性其中之一是從一代碼列表選出的一代碼。
3. 如申請專利範圍第2項所述的方法，其中該代碼表明網路存取需要被拒絕。
4. 如申請專利範圍第2項所述的方法，其中該代碼表明暫時存網路存取是可接受的。
5. 如申請專利範圍第2項所述的方法，其中該代碼表明：只要該未通過的模組的一隔離是成功的，網路存取應該被允許。
6. 如申請專利範圍第2項所述的方法，其中該代碼表明受限的網路存取是可接受的。
7. 如申請專利範圍第2項所述的方法，其中該列表包括表明網路存取應該被允許的一代碼。
8. 如申請專利範圍第1項所述的方法，其中該裝置是一無線傳輸/接收單元(WTRU)。
9. 如申請專利範圍第1項所述的方法，其中，基於該確認訊息，該PVE確定是否在該裝置進行一配置變化。
10. 如申請專利範圍第1項所述的方法，其中該安全性策略屬性表明那些操作應該由該PVE完成以用於未通過該完整性檢查的任何模組。
11. 一種執行一裝置對一平台認證實體(PVE)的確認的方法，該方法在該 裝置完成，該方法包括：對該裝置的一模組執行一完整性檢查；獲得用於未通過該安全性檢查的任何模組的一安全性策略屬性；以及基於該完整性檢查，發送一確認訊息至該PVE，該確認訊息包括關於該裝置的一資訊、以及表明與未通過該安全性檢查的任何軟體模組相關聯的一或多個安全性策略屬性。
12. 如申請專利範圍第11項所述的方法，其中用於任何未通過的軟體模組的該安全性策略屬性是從一代碼列表選出的一代碼。
13. 如申請專利範圍第12項所述的方法，其中該代碼表明網路存取需要被拒絕。
14. 如申請專利範圍第12項所述的方法，其中該代碼表明暫時網路存取是可接受的。
15. 如申請專利範圍第12項所述的方法，其中該代碼表明網路存取應該被允許。
16. 如申請專利範圍第12項所述的方法，其中該代碼表明受限的網路存取是可接受的。
17. 如申請專利範圍第11項所述的方法，其中該安全性策略屬性表明那些操作應該由該PVE完成以用於未通過該完整性檢查的任何模組。
18. 如申請專利範圍第11項所述的方法，其中該裝置是一無線傳輸/接收單元(WTRU)。
19. 一種執行與一平台認證實體(PVE)耦接的一裝置的確認方法，該方法包括：測量該裝置的至少一預先指定元件，以產生該裝置的該至少一預先指定元件的一完整性測量；擷取用於該裝置的該至少一預先指定元件的一可信參考值；使用位於該裝置中的一可信環境(TrE)執行該裝置的該至少一預先 指定元件的一完整性檢查、以及儲存一完整性檢查結果，該完整性檢查包括該TrE比較該至少一預先指定元件的測得的完整性測量與用於該裝置的該至少一預先指定元件的該可信參考值；使用該TrE，對該裝置執行一安全啟動檢查以及儲存一安全啟動檢查結果，該啟動檢查確定該至少一預先指定元件是否達到一安全啟動狀態，該安全啟動檢查結果包括該至少一預先指定元件是否未達到該安全啟動狀態的一指示；獲得用於未通過該完整性檢查的任何模組的一安全性策略屬性；使用該TrE，基於該完整性檢查結果及該安全啟動檢查結果形成一確認訊息，該確認訊息表明測得的完整性測量與該可信參考值的該比較的一結果，該確認訊息包括關於該裝置的一資訊以及表明與未通過該完整性檢查的任何軟體模組相關聯的一或多個安全性策略屬性；使用該TrE將該確認訊息從該裝置轉發至該PVE，該PVE在該裝置外部；以及在轉發該確認訊息後，接收拒絕或允許裝置認證的一訊息。