TW201735675A - 裝至驗證、困擾指示及修復 - Google Patents
裝至驗證、困擾指示及修復 Download PDFInfo
- Publication number
- TW201735675A TW201735675A TW106108409A TW106108409A TW201735675A TW 201735675 A TW201735675 A TW 201735675A TW 106108409 A TW106108409 A TW 106108409A TW 106108409 A TW106108409 A TW 106108409A TW 201735675 A TW201735675 A TW 201735675A
- Authority
- TW
- Taiwan
- Prior art keywords
- component
- integrity
- integrity check
- network
- code
- Prior art date
Links
- 238000005067 remediation Methods 0.000 title abstract description 3
- 230000009429 distress Effects 0.000 title description 8
- 238000010200 validation analysis Methods 0.000 title description 4
- 238000004891 communication Methods 0.000 claims abstract description 102
- 230000006870 function Effects 0.000 claims description 146
- 238000000034 method Methods 0.000 claims description 116
- 230000000153 supplemental effect Effects 0.000 claims description 3
- 230000008439 repair process Effects 0.000 description 162
- 238000012795 verification Methods 0.000 description 115
- 238000007726 management method Methods 0.000 description 87
- 230000008569 process Effects 0.000 description 66
- 238000013507 mapping Methods 0.000 description 40
- 238000010586 diagram Methods 0.000 description 30
- 230000004044 response Effects 0.000 description 27
- 238000012545 processing Methods 0.000 description 21
- 238000005516 engineering process Methods 0.000 description 17
- 239000000463 material Substances 0.000 description 14
- 230000009471 action Effects 0.000 description 13
- 241000723573 Tobacco rattle virus Species 0.000 description 12
- 230000007246 mechanism Effects 0.000 description 11
- 230000018109 developmental process Effects 0.000 description 10
- 230000001010 compromised effect Effects 0.000 description 9
- JZEPSDIWGBJOEH-UHFFFAOYSA-N 4-decylbicyclo[2.2.1]hept-2-ene Chemical compound C1CC2C=CC1(CCCCCCCCCC)C2 JZEPSDIWGBJOEH-UHFFFAOYSA-N 0.000 description 8
- 238000012986 modification Methods 0.000 description 8
- 230000004048 modification Effects 0.000 description 8
- 238000003860 storage Methods 0.000 description 8
- 230000002269 spontaneous effect Effects 0.000 description 7
- 238000004364 calculation method Methods 0.000 description 6
- 238000005259 measurement Methods 0.000 description 6
- 238000004422 calculation algorithm Methods 0.000 description 5
- 238000013500 data storage Methods 0.000 description 5
- 230000000750 progressive effect Effects 0.000 description 5
- 230000011218 segmentation Effects 0.000 description 5
- 230000027455 binding Effects 0.000 description 4
- 238000009739 binding Methods 0.000 description 4
- 238000011161 development Methods 0.000 description 4
- 238000007689 inspection Methods 0.000 description 4
- 230000036961 partial effect Effects 0.000 description 4
- 230000002093 peripheral effect Effects 0.000 description 4
- 230000003068 static effect Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 238000010276 construction Methods 0.000 description 3
- 230000000977 initiatory effect Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 208000037408 Device failure Diseases 0.000 description 2
- PXHVJJICTQNCMI-UHFFFAOYSA-N Nickel Chemical compound [Ni] PXHVJJICTQNCMI-UHFFFAOYSA-N 0.000 description 2
- 241000700159 Rattus Species 0.000 description 2
- 238000013459 approach Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 238000003780 insertion Methods 0.000 description 2
- 230000037431 insertion Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 229910001416 lithium ion Inorganic materials 0.000 description 2
- QELJHCBNGDEXLD-UHFFFAOYSA-N nickel zinc Chemical compound [Ni].[Zn] QELJHCBNGDEXLD-UHFFFAOYSA-N 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- SXGMVGOVILIERA-UHFFFAOYSA-N (2R,3S)-2,3-diaminobutanoic acid Natural products CC(N)C(N)C(O)=O SXGMVGOVILIERA-UHFFFAOYSA-N 0.000 description 1
- UFHFLCQGNIYNRP-UHFFFAOYSA-N Hydrogen Chemical compound [H][H] UFHFLCQGNIYNRP-UHFFFAOYSA-N 0.000 description 1
- HBBGRARXTFLTSG-UHFFFAOYSA-N Lithium ion Chemical compound [Li+] HBBGRARXTFLTSG-UHFFFAOYSA-N 0.000 description 1
- 229910005813 NiMH Inorganic materials 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 238000004873 anchoring Methods 0.000 description 1
- 230000004888 barrier function Effects 0.000 description 1
- 238000010923 batch production Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- OJIJEKBXJYRIBZ-UHFFFAOYSA-N cadmium nickel Chemical compound [Ni].[Cd] OJIJEKBXJYRIBZ-UHFFFAOYSA-N 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 230000001186 cumulative effect Effects 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 230000029087 digestion Effects 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000446 fuel Substances 0.000 description 1
- 229910052739 hydrogen Inorganic materials 0.000 description 1
- 239000001257 hydrogen Substances 0.000 description 1
- 230000001771 impaired effect Effects 0.000 description 1
- 230000006698 induction Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 229910052759 nickel Inorganic materials 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000008707 rearrangement Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0709—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a distributed system consisting of a plurality of standalone computer nodes, e.g. clusters, client-server systems
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/079—Root cause analysis, i.e. error or fault diagnosis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0793—Remedial or corrective actions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/08—Error detection or correction by redundancy in data representation, e.g. by using checking codes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M1/00—Substation equipment, e.g. for use by subscribers
- H04M1/24—Arrangements for testing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/35—Protecting application or service provisioning, e.g. securing SIM application provisioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/02—Arrangements for optimising operational condition
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/22—Processing or transfer of terminal data, e.g. status or physical capabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2103—Challenge-response
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2111—Location-sensitive, e.g. geographical location, GPS
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Quality & Reliability (AREA)
- Technology Law (AREA)
- Multimedia (AREA)
- Computing Systems (AREA)
- Databases & Information Systems (AREA)
- Automation & Control Theory (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一種無線通訊裝置,其可以被配置用於執行完整性檢查並且向網路實體進行詢問來隔離無線通訊裝置上的故障的元件的部分來進行修復。一旦確定了裝置的元件上的完整性故障,則裝置可以識別與該元件相關聯的功能,並且向網路實體指示該故障的功能。無線網路裝置和網路實體都可以使用元件至功能映射來識別故障的功能及/或故障的元件。在接收到裝置上的完整性故障的指示之後,網路實體可以確定在裝置上執行一個或多個附加的完整性檢查迭代,以窄化故障的元件上的完整性故障的範圍。一旦隔離了完整性故障,則網路實體可以修復無線通訊裝置上的故障的元件的部分。
Description
相關申請案的交叉引用
本申請案要求於2010年11月5日提出的美國第61/410,781號臨時專利申請案的權益,其中該申請案的內容在這裏全部引入作為參考。
無線通訊系統可以使用多餘的資源來執行完整性檢查及/或修復該系統內部無線通訊裝置上的完整性故障。目前的完整性檢查可以在大型單體碼塊上執行,以確定無線通訊裝置的完整性是否已經受損。例如,經由完整性檢查,可以在無線通訊裝置上偵測到未經授權的修改、篡改及/或受損軟體。一旦偵測到很大的碼塊的完整性故障,則網路可以採用大型單體碼塊的形式來將更新下載至無線通訊裝置,以修復故障。這樣做有可能需要不必要的頻寬,並且在系統上增加了不需要的計算負擔。
此外,多種類型及/或模型的無線通訊裝置可以用於與網路通訊或是在網路上通訊,並且其中每一個裝置都具有不同的軟體和硬體形式。由於硬體和軟體發展實踐有可能會隨著公司而不同,因此,這些不同的裝置可能會導致難以使無線通訊裝置上故障的元件的報告處理標準化。
本概述是以簡化形式引入在以下的詳細描述中被更進一步
描述的不同概念而被提供。
在這裏描述的是用於對無線通訊裝置的一個或多個元件執行完整性檢查的系統、方法和裝置實施例。這裏描述的第一完整性檢查可以在與無線通訊裝置相關聯的元件上執行。該元件可被確定未通過第一完整性檢查。這時可以向網路實體發送關於與該故障的元件(即,未通過第一完整性檢查的元件)對應的功能的指示。可以從該網路實體接收在故障的元件上執行第二完整性檢查以確定故障的元件中導致該元件未通過第一完整性檢查的部分的請求。該第二完整性檢查可以在故障的元件上執行,以隔離該故障的元件的部分,以藉由網路實體來修復。
根據一個例示實施例,載入器可以被配置用於在與無線通訊裝置相關聯的元件上執行第一完整性檢查。該載入器還可以被配置用於確定元件未通過第一完整性檢查,並且在故障的元件上執行第二完整性檢查,以隔離故障的元件的部分,以藉由網路實體來修復。
根據一個例示實施例,平臺完整性策略引擎(PIPE)可以被配置用於從載入器藉由關於故障的元件的指示、以及接收與故障的元件相對應的網路功能。該PIPE還可以被配置用於向網路實體報告關於與故障的元件相對應的功能的指示,並且從網路實體接收在故障的元件上執行第二完整性檢查以確定故障的元件中導致該元件未通過第一完整性檢查的部分的請求。
根據一個例示實施例,裝置修復伺服器可以如這裏所述。該裝置修復伺服器可以駐留在無線通訊網路上,並且被配置用於修復無線通訊裝置上未通過完整性檢查的元件的部分。例如,裝置修復伺服器可以被配置用於從無線通訊裝置接收關於與無線通訊裝置上未通過完整性檢查的
元件相關聯的網路功能的指示。該故障的元件可以是基於接收到的關於網路功能的指示而被確定。裝置修復伺服器還可以被配置用於執行向無線通訊裝置的詢問,以隔離故障的元件的部分來進行修復。該裝置修復伺服器還可以被配置為基於一個或多個標準(criteria)來確定發送給無線通訊裝置的關於故障的元件部分的修復或替換。一旦基於該標準確定了修復或替換,則裝置修復伺服器可以將用於故障的元件的部分的修復或替換發送到無線通訊裝置。多種不同的標準可以用於確定故障的元件的修復或替換。例如,該標準可以基於故障的元件的大小或某個其他因素。在一個例示實施例中,修復伺服器可以基於OS軟體版本來替換特定元件。其他例示標準可以包括但不限於:版本號碼;每一個裝置/元件/代碼部分的最近更新或成功修復的日期/時間;代碼或元件的所有權;代碼許可的狀況(例如數字權利管理);故障的元件、位元或位元組的數量;故障的代碼部分的大小;以及代碼部分或元件的所指定或計算的風險或損害影響值。
本概述是為了以簡化形式引入精選概念而被提供的,並且在以下的詳細描述中將會進一步描述這些概念。本概述既不是為了確定所保護主題的關鍵特徵或必要特徵,也不是為了限定所保護的主題的範圍。此外,所要保護的主題並不限於解決在本揭露的任何部分中指出的任何或所有缺陷的範圍。
2206、NEE‧‧‧正常執行環境
2208、SEE‧‧‧安全的執行環境
2210、IF‧‧‧通訊介面
IF‧‧‧介面
2212、ROT‧‧‧不可變硬體可信根
2216、DACB‧‧‧裝置應用代碼庫
2220、TrECB‧‧‧TrE代碼庫
TrE、802‧‧‧可信執行環境
2314、DGC‧‧‧一般通訊能力
RAIF、2316‧‧‧修復應用IF
2318、IVC‧‧‧完整性驗證能力
2320、FB/DC‧‧‧後降/困擾能力
2322、DAC‧‧‧裝置應用能力
2324、RC‧‧‧修復能力
904、2218、2326、2412、2414、TRV‧‧‧可信參考值
102a、102b、102c、102d、102、WTRU‧‧‧無線收/發單元
104、RAN‧‧‧無線電存取網路
106‧‧‧核心網路
108、PSTN‧‧‧公共交換電話網路
100‧‧‧通訊系統
110‧‧‧網際網路
112‧‧‧其他網路
114a、114b‧‧‧基地台
116‧‧‧空中介面
118‧‧‧處理器
120‧‧‧收發器
122‧‧‧收/發元件
124‧‧‧揚聲器/麥克風
126‧‧‧鍵盤
128‧‧‧顯示器/觸控板
130‧‧‧非可移式記憶體
132‧‧‧可移式記憶體
134‧‧‧電源
136、GPS‧‧‧全球定位系統晶片組
138‧‧‧週邊裝置
140a、140b、140c‧‧‧e節點B
142、2012、2112、MME‧‧‧移動性管理閘道
144‧‧‧服務閘道
146、PDN‧‧‧封包資料網路閘道
ROM‧‧‧唯讀記憶體
202‧‧‧ROM引導載入器
204‧‧‧第二階段的引導載入器
206‧‧‧OS/通訊
208‧‧‧裝置軟體
302、304、306、402、404‧‧‧物件檔
308、316、324、410、424、.text‧‧‧本文區段
310、318、326、.init‧‧‧啟動區段
312、320、328、412、426、.data‧‧‧資料區段
314、322、330、414、418、428、.bss區段‧‧‧未初始化資料區段
.bss‧‧‧未初始化資料
ELF‧‧‧可執行和鏈結格式
332‧‧‧本文分段
334‧‧‧資料分段
336‧‧‧未初始化資料分段
338、406‧‧‧可執行映像
408、416、420、422‧‧‧元件檔區段
502‧‧‧元件TRV區段
602‧‧‧可信任域
604‧‧‧高階功能
606‧‧‧中間功能
608‧‧‧可信環境核心功能
610、612、614、616、618‧‧‧功能
620、622、624、626、902、1402‧‧‧元件
702‧‧‧功能至元件映射區段
804、806、808、810‧‧‧檢查、載入及/或執行能力
812、814、816、818、820‧‧‧策略
906、912、914‧‧‧表
908‧‧‧策略管理實體
910‧‧‧完整性檢查
1002‧‧‧軟體元件
1004、1202‧‧‧裝置
1006‧‧‧裝置報告
1010‧‧‧網路平臺驗證實體
1012‧‧‧裝置管理伺服器
1014‧‧‧功能至元件映射資訊
SW‧‧‧軟體
1102、1502、1602、1702、1802、1902‧‧‧H(e)NB
1104、1506、1606、1706、1806、1906‧‧‧H(e)MS
1204‧‧‧網路管理實體
1302‧‧‧大型單體元件
1304、1310、1404‧‧‧整體量度值
1308‧‧‧分段
1406、1408、1410、1412、1414、1416‧‧‧子區段
1504、1604、1704、1804、1904‧‧‧SeGW
1508、1608、1708、1808、1908‧‧‧網路檢驗實體
1510、1610、1710、1810、1910‧‧‧軟體修復實體
916、918、920、922、924、926、928、930、932、1008、1016、1018、1020、1022、1024、1106、1108、1110、1206、1208、1210、1212、1214、1216、1218、1220、1222、1224、1226、1228、1230、1232、1234、1306、1512、1514、1516、1518、1520、1522、1524、1526、1528、1530、1612、1614、1616、1618、1620、1622、1624、1626、1628、1630、1632、1634、1636、1638、1640、1712、1714、1716、1718、1720、1722、1724、1726、1728、1730、1732、1734、1736、1738、1740、1742、1744、1812、1814、1816、1818、1820、1822a、
1822b、1824、1826、1830、1832、1834、1836、1838、1840、1842、1912、1914、1916、1918、1920、1922、1924、1926、1928、1930、1932、1936、1938、2014、2016、2018、2020、2022、2024、2026、2028、2030、2032、2034、2036、2038、2040、2042、2044、2046、2050、2052、2054、2114、2116、2118、2120、2122、2124、2126、2128、2130、2132、2134、2136、2138、2140、2142、2144‧‧‧步驟
2002、2102、RN‧‧‧中繼節點
2004、2104‧‧‧eNB
2006‧‧‧DeNB
2008、2106‧‧‧註冊伺服器
2010、2108‧‧‧配置伺服器
2012、2112‧‧‧MMEs/HSS
2110‧‧‧修復伺服器
2202‧‧‧功能元件
2204‧‧‧代碼/資料儲存元件
2214‧‧‧NVS元件
NVS‧‧‧非揮發記憶體
2402、2404、2406、2408、2410、2416、2418、2420、2422、2424、2426‧‧‧DACB的代碼量度
更詳細的理解可以從以下結合附圖舉例給出的描述中得到,其中:第1A圖示出的是可以實施所揭露的一個或多個實施例的例示通訊系統;第1B圖示出的是可以實施所揭露的一個或多個實施例的例示無線收/發單
元;第1C圖示出的是可以實施所揭露的一個或多個實施例的例示系統無線電存取網路;第2圖是示出了無線通訊裝置上的引導序列的例示實施例的圖示;第3圖是示出了物件檔與可執行映射之間的聯繫的圖示;第4圖是示出了物件檔與可執行映射之間的聯繫的另一個圖示;第5圖示出的是檔案的元件TRV區段的示例。
第6圖是示出了元件-網路功能映射的圖示;第7圖示出的是檔案的元件-功能映射區段的示例;第8圖是示出了在引導序列中使用的平臺能力及策略初啟(bring-up)的圖示;第9圖是示出了這裏描述的在完整性檢查及/或報告期間使用表格或映射的圖示;第10圖是示出了這裏描述的報告和修復處理的例示綜述的圖示;第11圖示出的是在裝置上收集資訊來確定可以執行的操作的例示呼叫流程圖;第12圖示出的是用於在裝置與網路實體之間執行詢問的例示呼叫流程圖;第13圖示出的是在無線通訊裝置的元件上執行的詢問的示例;第14圖示出的是在無線通訊裝置元件上執行的詢問的另一個示例;第15圖示出的是與困擾警報以及單體代碼替換有關的例示呼叫流程圖;第16圖示出的是與遠端軟體困擾/修復有關的例示呼叫流程圖;第17圖示出的是與實施SeGW驗證嘗試的遠端軟體困擾/修復相關聯的例示呼叫流程圖;
第18A圖示出的是與遠端軟體困擾/修復有關的例示呼叫流程圖,其中網路可以禁止經由SeGW的驗證;第18B圖示出的是與即時限制存取和精確存取控制的遠端軟體困擾/修復相關聯的例示呼叫流程圖;第19圖示出的是將無線通訊裝置軟體元件修復與SeGW存取相關聯的例示呼叫流程圖;第20圖示出的是與中繼節點的能力自舉(bootstrap)有關的例示呼叫流程圖;第21圖示出的是與具有經過驗證的管理能力的中繼節點修復有關的例示呼叫流程圖;第22圖示出的是具有功能元件和代碼/資料儲存元件的例示系統;第23圖示出的是引導序列的階段以及在每一個階段實施的不同實體間的交互作用的例示實施方式;第24A圖示出的是被線性組合以創建TRV的量度序列的圖示;以及第24B圖示出的是使用Merkle散列樹來創建TRV的值的組合的圖示。
第1A-24B圖涉及的是可以實施所揭露的系統、方法和手段的例示實施例。這裏描述的實施例是例示性而不是限制性的。雖然在這裏示出並描述了協定流程,但是這些流程的順序是可以改變的,及/或附加流程是可以添加的。
第1A、1B和1C圖示出的是可以在這裏描述的實施例中使用的例示通訊系統和裝置。第1A圖是可以實施一個或多個所揭露的實施例的例示通訊系統100的圖示。通訊系統100可以是為多個無線用戶提供語
音、資料、視訊、訊息傳遞、廣播等內容的多重存取系統。該通訊系統100經由共享包括無線頻寬在內的系統資源以使多個無線用戶能存取此類內容,舉例來說,通訊系統100可以使用一種或多種頻道存取方法,如分碼多重存取(CDMA)、分時多重存取(TDMA)、分頻多重存取(FDMA)、正交FDMA(OFDMA)、單載波FDMA(SC-FDMA)等等。
如第1A圖所示,通訊系統100可以包括無線收/發單元(WTRU)102a、102b、102c、102d,無線電存取網路(RAN)104,核心網路106,公共交換電話網路(PSTN)108,網際網路110以及其他網路112,但是應該瞭解,所揭露的實施例設想了任一數量的WTRU、基地台、網路及/或網路元件。WTRU 102a、102b、102c、102d中的每一者可以是被配置用於在無線環境中操作及/或通訊的任何類型的裝置。例如,WTRU 102a、102b、102c、102d可以被配置用於傳輸及/或接收無線信號、並且可以包括用戶設備(UE)、行動站、固定或行動用戶單元、呼叫器、行動電話、個人數位助理(PDA)、智慧型電話、膝上型電腦、小筆電、個人電腦、無線感測器、消費類電子裝置等等。
通訊系統100還可以包括基地台114a和基地台114b。基地台114a、114b中的每一者可以是被配置用於經由與WTRU 102a、102b、102c、102d中的至少一者無線介面連接來促進對一個或多個通訊網路(例如核心網路106、網際網路110及/或網路112)的存取。例如,基地台114a、114b可以是基地收發台(BTS)、節點B、e節點B、本地節點B、本地e節點B、站點控制器、存取點(AP)、無線路由器等等。雖然每一個基地台114a、114b都被描述為是單一元件,但是應該瞭解,基地台114a、114b可以包括任何數量的互連基地台及/或網路元件。
基地台114a可以是RAN 104的一部分,並且該RAN還可以包括其他基地台及/或網路元件(未顯示),例如基地台控制器(BSC)、無線電網路控制器(RNC)、中繼節點等等。基地台114a及/或基地台114b可以被配置用於在被稱之為為胞元(未顯示)的特定地理區域內部傳輸及/或接收無線信號。胞元可以進一步分成胞元扇區。例如,與基地台114a相關聯的胞元可以分成三個扇區。因此,在一個實施例中,基地台114a可以包括三個收發器,也就是說,每一個收發器對應於胞元的一個扇區。在另一個實施例中,基地台114a可以使用多輸入多輸出(MIMO)技術,由此可以為胞元中的每個扇區使用多個收發器。
基地台114a、114b可以經由空中介面116來與WTRU 102a、102b、102c、102d中的一個或多個進行通訊,其中該空中介面可以是任何適當的無線通訊鏈路(例如射頻(RF)、微波、紅外線(IR)、紫外線(UV)、可見光等等)。空中介面216可以採用任何適當的無線電存取技術(RAT)來建立。
更具體地說,如上所述,通訊系統100可以是多重存取系統、並且可以使用一種或多種頻道存取方案,如CDMA、TDMA、FDMA、OFDMA、SC-FDMA等等。舉例來說,RAN 104中的基地台114a和WTRU 102a、102b、102c可以實施諸如通用行動電信系統(UMTS)陸地無線電存取(UTRA)之類的無線電技術,其中該技術可以使用寬頻CDMA(WCDMA)來建立空中介面116。WCDMA可以包括下列通訊協定,如高速封包存取(HSPA)及/或演進型HSPA(HSPA+)。HSPA可以包括高速下鏈封包存取(HSDPA)及/或高速上鏈封包存取(HSUPA)。
在另一個實施例中,基地台114a和WTRU 102a、102b、102c
可以實施諸如演進型UMTS陸地無線電存取(E-UTRA)之類的無線電技術,該技術可以使用長期演進(LTE)及/或高級LTE(LTE-A)來建立空中介面116。
在其他實施例中,基地台114a與WTRU 102a、102b、102c可以實施IEEE802.16(全球互通微波存取(WiMAX))、CDMA 2000、CDMA 2000 1X、CDMA 2000 EV-DO、臨時標準2000(IS-2000)、臨時標準95(IS-95)、臨時標準856(IS-856)、全球行動通訊系統(GSM)、用於GSM演進的增強資料速率(EDGE)、GSM EDGE(GERAN)等無線電存取技術。
第1A圖中的基地台114b可以是例如無線路由器、本地節點B、本地e節點B或存取點,並且可以使用任何適當的RAT來促進例如營業場所、住宅、交通工具、校園等等局部區域中的無線連接。在一個實施例中,基地台114b和WTRU 102c、102d可以實施諸如IEEE 802.11之類的無線電技術來建立無線區域網路(WLAN)。在另一個實施例中,基地台114b和WTRU 102c、102d可以實施諸如IEEE 802.15之類的無線電技術來建立無線個人區域網路(WPAN)。在再一個實施例中,基地台114b和WTRU 102c、102d可以藉由使用基於蜂巢的RAT(例如WCDMA、CDMA 2000、GSM、LTE、LTE-A等等)來建立微微胞元或毫微微胞元。如第1A圖所示,基地台114b可以直接連接到網際網路110。由此,基地台114b未必需要經由核心網路106來存取網際網路110。
RAN 104可以與核心網路106通訊,該核心網路106可以是被配置用於向WTRU 102a、102b、102c、102d中的一個或多個提供語音、資料、應用及/或網際網路協定語音(VoIP)服務的任何類型的網路。例如,核心網路106可以提供呼叫控制、記賬服務、基於移動位置的服務、預付
費呼叫、網際網路連接、視訊分發等等,及/或執行高階安全功能,例如用戶驗證。雖然在第1A圖中沒有顯示,但是應該瞭解,RAN 104及/或核心網路106可以直接或間接地和其他那些與RAN 104使用相同RAT或不同RAT的RAN進行通訊。例如,除了與可以使用E-UTRA無線電技術的RAN 104相連之外,核心網路106還可以與使用GSM無線電技術的另一個RAN(未顯示)通訊。
核心網路106還可以充當WTRU 102a、102b、102c、102d存取PSTN 108、網際網路110及/或其他網路112的閘道。PSTN 108可以包括提供簡易老式電話服務(POTS)的電路交換電話網路。網際網路110可以包括使用公共通訊協定的全球性互連電腦網路及裝置的系統,該協定可以是TCP/IP互連網協定族中的傳輸控制協定(TCP)、用戶資料報協定(UDP)和網際網路協定(IP)。網路112可以包括由其他服務提供者擁有及/或操作的有線或無線通訊網路。例如,網路112可以包括與一個或多個RAN相連的另一個核心網路,其中所述一個或多個RAN可以與RAN104使用相同RAT或不同的RAT。
通訊系統100中一些或所有WTRU.,102a、102b、102c、102d可以包括多模能力,換言之,WTRU 102a、102b、102c、102d可以包括在不同無線鏈路上與不同無線網路進行通訊的多個收發器。例如,第1A圖所示的WTRU 102c可以被配置用於與使用基於蜂巢的無線電技術的基地台114a通訊、以及與可以使用IEEE 802無線電技術的基地台114b通訊。
第1B圖是例示WTRU 102的系統圖。如第1B圖所示,WTRU 102可以包括處理器118、收發器120、收/發元件122、揚聲器/麥克風124、鍵盤126、顯示器/觸控板128、非可移式記憶體130、可移式記憶
體132、電源134、全球定位系統(GPS)晶片組136以及其他週邊裝置138。應該瞭解的是,在保持符合實施例的同時,WTRU 102可以包括前述元件的任何子組合。
處理器118可以是通用處理器、專用處理器、常規處理器、數位信號處理器(DSP)、多個微處理器、與DSP核心關聯的一或多個微處理器、控制器、微控制器、專用積體電路(ASIC)、現場可編程閘陣列(FPGA)電路、其他任何類型的積體電路(IC)、狀態機等等。處理器118可以執行信號編碼、資料處理、功率控制、輸入/輸出處理及/或其他任何能使WTRU 102在無線環境中操作的功能。處理器118可以耦合至收發器120,收發器120可以耦合至收/發元件122。雖然第1B圖將處理器118和收發器120描述為是獨立元件,但是應該瞭解,處理器118和收發器120可以一起集成在一個電子封裝或晶片中。
收/發元件122可以被配置用於經由空中介面116將信號傳輸至基地台(例如基地台114a)或從基地台(例如基地台114a)接收信號。例如,在一個實施例中,收/發元件122可以是被配置用於傳輸及/或接收RF信號的天線。在另一個實施例中,舉例來說,收/發元件122可以是被配置用於傳輸及/或接收IR、UV或可見光信號的發光體/偵測器。在再一個實施例中,收/發元件122可以被配置用於傳輸和接收RF和光信號。應該瞭解的是,收/發元件122可以被配置用於傳輸及/或接收無線信號的任何組合。
此外,雖然在第1B圖中將收/發元件122描述為是單一元件,但是WTRU 102可以包括任何數量的收/發元件122。更具體地說,WTRU 102可以使用MIMO技術。因此,在一個實施例中,WTRU 102可以包括兩個或更多個經由空中介面116來傳輸和接收無線電信號的收/發元件122
(例如多個天線)。
收發器120可以被配置用於對收/發元件122將要傳輸的信號進行調變,以及對收/發元件122接收的信號進行解調。如上所述,WTRU 102可以具有多模能力。因此,收發器120可以包括用於使WTRU 102能經由UTRA和IEEE 802.11之類的多種RAT來進行通訊的多個收發器。
WTRU 102的處理器118可以耦合至揚聲器/麥克風124、鍵盤126及/或顯示器/觸控板128(例如液晶顯示器(LCD)顯示單元或有機發光二極體(OLED)顯示單元),並且可以接收來自這些元件的用戶輸入資料。處理器118還可以向揚聲器/麥克風124、鍵盤126及/或顯示器/觸控板128輸出用戶資料。此外,處理器118可以從任何適當的記憶體(例如非可移式記憶體130及/或可移式記憶體132)中存取資訊,以及將資料存入這些記憶體。該非可移式記憶體130可以包括隨機存取記憶體(RAM)、唯讀記憶體(ROM)、硬碟或是其他任何類型的記憶儲存裝置。可移式記憶體132可以包括用戶身份模組(SIM)卡、記憶條、安全數位(SD)記憶卡等等。在其他實施例中,處理器118可以從那些並非實際位於WTRU 102的記憶體存取資訊,以及將資料存入這些記憶體,其中舉例來說,該記憶體可以位於伺服器或家用電腦(未顯示)。
處理器118可以接收來自電源134的電力,並且可以被配置用於分發及/或控制用於WTRU 102中的其他元件的電力。電源134可以是為WTRU 102供電的任何適當的裝置。舉例來說,電源134可以包括一個或多個乾電池組(如鎳鎘(NiCd)、鎳鋅(NiZn)、鎳氫(NiMH)、鋰離子(Li-ion)等等)、太陽能電池、燃料電池等等。
處理器118還可以與GPS晶片組136耦合,該晶片組可以
被配置用於提供與WTRU 102的目前位置相關的位置資訊(例如經度和緯度)。作為來自GPS晶片組136的資訊的補充或替代,WTRU 102可以經由空中介面116接收來自基地台(例如基地台114a、114b)的位置資訊、及/或根據從兩個或更多個附近基地台接收的信號的時序來確定其位置。應該瞭解的是,在保持符合實施例的同時,WTRU 102可以用任何適當的定位方法來獲取位置資訊。
處理器118還可以耦合到其他週邊裝置138,其他週邊裝置138可以包括提供附加特徵、功能及/或有線或無線連接的一個或多個軟體及/或硬體模組。例如,週邊裝置138可以包括加速度計、電子指南針、衛星收發器、數位相機(用於照片或視訊)、通用串列匯流排(USB)埠、振動裝置、電視收發器、免持耳機、藍芽®模組、調頻(FM)無線電單元、數位音樂播放器、媒體播放器、視訊遊戲播放器模組、網際網路瀏覽器等等。
第1C圖是根據一個實施例的RAN 104和核心網路106的系統圖示。如上所述,RAN 104可以使用E-UTRA無線電技術以經由空中介面116來與WTRU 102a、102b、102c進行通訊。並且該RAN 104還可以與核心網路106通訊。
RAN 104可以包括e節點B 140a、140b、140c,但是應該理解,在保持與實施例相符的同時,RAN 104可以包括任一數量的e節點B。e節點B 140a、140b、140c中的每一者都可以包括一個或多個收發器,以經由空中介面116來與WTRU 102a、102b、102c進行通訊。在一個實施例中,e節點B 140a、140b、140c可以實施MIMO技術。因此,舉例來說,e節點B 140a可以使用多個天線來向WTRU 102a傳輸無線信號以及接收來
自WTRU 102a的無線信號。
e節點B 140a、140b、140c中的每一者都可以與特定的胞元(未顯示)相關聯,並且可以被配置用於處理無線電資源管理決策、切換決策、上鏈及/或下鏈中的使用者排程等等。如第1C圖所示,e節點B 140a、140b、140c彼此可以經由X2介面來進行通訊。
第1C圖所示的核心網路106可以包括移動性管理閘道(MME)142、服務閘道144以及封包資料網路(PDN)閘道146。雖然在前的每一個元件都被描述為是核心網路106的一部分,但是應該瞭解,這其中的任一元件都可以被核心網路操作者以外的實體擁有及/或操作。
MME 142可以經由S1介面來與RAN 104中的每一個e節點B 140a、140b、140c相連,並且可以充當控制節點。例如,MME 142可以負責驗證WTRU 102a、102b、102c的使用者、啟動/停用承載,在WTRU 102a、102b、102c的初始連結期間選擇特定服務閘道等等。MME 142還可以提供控制平面功能,以在RAN 104與使用了諸如GSM或WCDMA之類的其他無線電技術的其他RAN(未顯示)之間進行切換。
服務閘道144可以經由S1介面而與RAN 104中的每一個e節點B 140a、140b、140c相連。該服務閘道144通常可以路由用戶資料封包至WTRU 102a、102b、102c和轉發來自WTRU 102a、102b、102c的用戶資料封包。該服務閘道144還可以執行其他功能,例如在e節點B間的切換過程中錨定使用者平面、在下鏈資料可供WTRU 102a、102b、102c使用時觸發傳呼、管理和儲存WTRU 102a、102b、102c的上下文等等。
服務閘道144還可以連接到PDN閘道146,該PDN閘道可以為WTRU 102a、102b、102c提供針對網際網路110之類的封包交換網路
的存取,以促進WTRU 102a、102b、102c與IP賦能的裝置之間的通訊。
核心網路106可以促進與其他網路的通訊。例如,核心網路106可以為WTRU 102a、102b、102c提供針對PSTN 108之類的電路交換網路的存取,以促進WTRU 102a、102b、102c與傳統的陸線通訊裝置之間的通訊。例如,核心網路106可以包括IP閘道(例如IP多媒體子系統(IMS)伺服器)或與之通訊,其中該IP閘道充當的是核心網路106與PSTN 108之間的介面。此外,核心網路106可以為WTRU 102a、102b、102c提供針對網路112的存取,該網路可以包括其他服務提供者擁有及/或操作的其他有線或無線網路。
這裏描述的通訊系統和裝置可以用於管理通訊裝置的軟體、管理通訊裝置的配置、及/或提供軟體及/或配置資訊修復,以將裝置恢復到原始狀態。此外,在這裏還描述了使用軟體發展和代碼釋放工具的實施方式,其中該軟體發展和代碼釋放工具可以使用軟體工具、網路協定、裝置策略以及軟體管理及/或遠端除錯技術來自動產生和管理可信代碼庫(code base)的軟體方面的參考,從而在裝置中嵌入用於可證實報告和修復的機制和參考。更進一步,在這裏描述的是可以確保裝置實施的完整性檢查的故障指示的技術,其中包括對表明可以信任報告故障的裝置的指示所進行的描述。
這裏描述的無線通訊裝置可以被配置用於在具有多個階段的安全引導處理的每個階段執行完整性檢查。在多個階段的安全引導處理期間,每一個階段可以核實後續階段,由此創建信任鏈。在具有多個階段的安全引導處理的每個階段中可以確定是否可以信任與該階段相關聯的元件。與元件相關聯的完整性量度可被確定。該元件可以具有相關聯的可信
參考值。元件的可信賴度可以藉由將完整性量度與可信參考值進行比較來確定(例如測試)。如果完整性量度與可信參考值相匹配,則可以認為該元件是可信賴的。如果完整性量度未能與可信參考值相匹配,則認為該元件未必是可信賴的。雖然在這裏描述的是通過將完整性量度與可信參考值進行比較來執行完整性檢查,但是應該瞭解,完整性檢查是可以採用其他那些用於確定元件可信賴度的方式執行的。
由於外部實體未必會辨認出元件,因此,舉例來說,在多個網路及/或裝置上可以定義及/或標準化功能,從而與標準規範及/或取決於實施的方式的一致。元件可以與功能相關聯。元件與功能之間的關係可以在元件-功能映射中給出。功能故障可以藉由將故障的元件與元件-功能映射進行比較來識別。
裝置可以向外部實體發送與功能故障相關聯的警報。外部實體可以確定替換代碼,該替換代碼與可以用於修復或替換故障的元件的功能關聯。換言之,替換代碼可以是一個替換元件。裝置可以接收該替換元件、並且以該替換元件來替換故障的元件。
安全引導處理可以提供驗證程序的基礎。由不可變硬體可信根(RoT)發起的信任鏈可以核實所載入的初始代碼的有效性。如第2圖所示,舉例來說,該引導處理可以在每一個階段經由信任鏈核實後續階段的時候繼續進行。
在通電以及硬體初始化程序之後,裝置可以啟動例如第2圖所示的安全引導處理。初始的RoT可以由駐留於ROM中的安全記憶體的引導載入器202表示。在一開始,ROM引導載入器202可以執行一些初始化功能。該ROM引導載入器202可存取安全憑證(例如融合鍵控資訊),
並且可以使用該資訊來核實第二階段的引導載入器204(例如駐留在外部記憶體中)的完整性。第二階段的載入器204可以由硬體或軟體密碼加密裝置進行檢查,以確保其完整性。第二階段的載入器204的計算得到的散列(hash)量度可以與用安全憑證簽名並儲存在外部記憶體中的可信參考值(TRV)量度進行比較。如果計算得到的量度與經簽名的TRV相匹配,則第二階段的載入器204可被核實並載入到內部記憶體(例如RAM)中。該引導ROM可以跳轉到第二階段的載入器204的開端,並且信任鏈可以繼續。所述核實處理中的初始階段的故障可以表明後續核實有可能受損(例如,初始階段的故障可以表明信任鏈發生了重大故障)。如果存在在核實處理的初始階段指示出的故障,則可以將裝置關閉。
第二階段的引導載入器204可以包括可信執行環境(TrE)代碼以及可以檢查附加代碼並且將其載入到內部記憶體的代碼。TrE可以建立能夠計算和儲存附加的完整性參考值的可信環境和安全儲存區域。該TrE完整性可以檢查、載入及/或啟動作業系統以及通訊代碼。隨著每個階段被檢查和載入(例如,第2圖所示的方塊202、204、206和208中的每一者都可以表示一個階段),該信任鏈可以延續。例如,第二階段的載入器204可以核實OS/通訊(Comm)206及/或裝置軟體208的完整性。作為替代或補充,OS/通訊206可以核實裝置軟體208的完整性。該OS/通訊206可以包括OS載入器。根據一個實施例,第2圖所示的實體可以按照執行順序而被核實及/或相互核實,以保持信任鏈。
信任鏈可以由能夠安全核實後續處理的執行過程來保持。該核實過程可以使用密碼加密計算及/或可信參考值。駐留在非安全記憶體中的代碼可能易受攻擊,並且可以在載入之前對其進行檢查。在沒有細粒度
驗證的情況下,第二階段的引導載入器204可以驗證剩餘代碼,以此作為成批(bulk)量度。如果測量得到的值不與單體塊的TRV匹配,那麼可以確定該代碼未必可信以及不可以載入該代碼。裝置未必能夠通訊,並且結果有可能包括經由高成本的上門服務或是運回裝置進行修復來修復整個代碼庫。
這裏描述的方法、系統和手段可以使得裝置能夠驗證已儲存代碼的較小元件,以及提供關於哪些元件已經故障以及哪些元件可以或者不可以被遠端修復的詳細描述。這種細粒度資訊可被提供給修復管理器。
在這裏可以建立策略來確定哪些故障的元件是可以遠端修復的。舉個例子,如果裝置檢查並載入了TrE以及最小的通訊代碼集合,那麼該裝置可以保持充當用於修復管理器的代理的功能,以識別以及向修復管理器報告故障的特定元件的資訊。如果修復能力存在且是裝置的代理功能的一部分,則可以發起後續的遠端修復程序,這樣做可以減少使用高成本的現場人員更新。
根據一個實施例,可執行映射可被分區和驗證,以便能夠進行細粒度的報告。可執行映射的產生可以在幾個階段中進行。元件可以是指包含了副程式及/或參數/資料的檔案。開發人員可以編寫在元件來源和標頭檔案中捕獲的程式。從這些元件原始檔案中,編譯器和組譯器可以產生同時包含了機器二進位碼和程式資料的物件檔(例如*.o)。鏈結器可以將這些物件檔作為輸入,並且產生能夠用於與其他物件檔附加鏈結的可執行映射或物件檔。鏈結器命令檔可以指示鏈結器如何組合物件檔,以及將二進位碼和資料放置在目標嵌入式系統中的什麼位置。
鏈結器的功能可以是將多個物件檔合併成較大的可重新定
位的物件檔、共享的物件檔或是最終的可執行映射。總體變數和非靜態函數可被稱為全局符號。在最終的可執行二進位映射中,符號可以是指記憶體中的位址位置。此記憶體位置的內容可以是用於變數的資料或是用於函數的可執行代碼。
編譯器可以創建具有符號名稱-位址映射的符號表,以作為其產生的物件檔的一部分。在創建可重新定位的輸出的時候,編譯器可以產生位址,其中對於每一個符號來說,該位址與所編譯的檔案是相關的。鏈結器執行的鏈結處理可以包括符號解析及/或符號重新定位。符號解析可以是鏈結器檢查每一個物件檔並且為物件檔確定在哪個(哪些)(其他)物件檔中定義外部符號。符號重新定位可以是鏈結器將符號參考映射到其定義的處理。該鏈結器可以修改所鏈結的物件檔的機器碼,由此,對符號的代碼參考反映了指定給這些符號的實際位址。
物件和可執行檔可以採用若干種格式,例如ELF(可執行和鏈結格式)以及COFF(公共物件-檔案格式)。物件檔可被劃分成區域或區段。這些區段可以保持下列各項中的一項或多項:例如可執行代碼、資料、動態鏈結資訊、除錯資料、符號表、重新定位資訊、註釋、字串表或註解。這些區段可以用於向二進位檔案提供指令,以及允許檢查。函數區段可以包括下列各項中的一項或多項:可以儲存系統函數位址的全局偏移表(GOT)、可以儲存間接鏈結至GOT的程序鏈結表(PLT)、可以用於內部初始化的.init/fini、以及可以用於建構器和破壞器的.shutdown或.ctors/.dtors。資料區段可以包括下列各項中的一項或多項:用於唯讀資料的.rodata、用於已初始化資料的.data、或是用於未初始化資料的.bss。ELF區段可以包括下列各項中的一項或多項:用於啟動的.init、用於字串的.text、
用於停機的.fini、用於唯讀資料的.rodata、用於已初始化資料的.data、用於已初始化的線程資料的.tdata、用於未初始化線程資料的.tbss、用於建構器的.ctors、用於破壞器的.dtors、用於全局偏移表的.got、或用於未初始化資料的.bss。
一些區段可被載入到進程映射中。一些區段可以提供在建構進程映射中使用的資訊。一些區段可被限制為在鏈結物件檔中使用。一些物件檔可以包括對位於其他物件檔中的符號的參考。該鏈結器可以創建符號表,該符號表可以包括符號名稱的列表及其在用於每一個物件檔的本文和資料分段中的相應偏移。在將物件檔鏈結在一起之後,鏈結器可以使用重新定位記錄來找出可能未被填充的未解析符號位址。在編譯了多個原始檔案(例如C/C++和組譯檔)並將其組譯成ELF物件檔之後,鏈結器可以組合這些物件檔,並且將來自不同物件檔的區段併入如第3圖所示的程式分段。
如第3圖所示,物件檔302、304和306的本文區段308、316和324分別可以併入可執行映像338的本文分段332。作為補充或替代,啟動區段310、318和326可以併入可執行映像338的本文分段332。同樣,物件檔302、304和306的資料區段312、320和328分別可以併入可執行映像338的資料分段334。最後,物件檔302、304和306的未初始化資料區段314、322和330分別可以併入可執行映像338的未初始化資料分段336。雖然第3圖示出了可以併入可執行映像338的區段的物件檔302、304和306的多個區段,但是應該理解,任一數量及/或組合的區段都可以併入可執行映像的區段。
如第3圖所示,區段可以提供一種將相關區段分組的方式。
每一個分段都可以包括相同或不同類型(例如本文、資料或動態區段)的一個或多個區段。作業系統在邏輯上可以依照在程式標頭表中提供的資訊來複製檔案分段。該可執行和唯讀資料區段可以組合為單一本文區段。資料和未初始化的資料區段可以組合成資料分段或組合成其自己的單獨的分段。由於這些分段可以在創建過程的時候載入到記憶體中,因此,這些分段可被稱為載入分段。諸如符號資訊和除錯區段之類的其他區段可以併入到其他的非載入分段。本文區段可以包括來源代碼以及已初始化的靜態變數。編譯器所定義的多個區段可被載入到鏈結器所定義的單一組合分段中。
最終的可執行映像可以是使用控制鏈結器如何組合區段及/或將區段分配到目標系統記憶體映射的鏈結器命令(其可被稱為鏈結器指令)產生的。鏈結器指令可以保持在鏈結器命令檔中。嵌入式開發人員可以使用該鏈結器命令檔來將可執行映像映射到目標系統。
對故障的元件執行驗證和細粒度報告的能力可以使用可執行映射中可用的附加資訊,此外,開發和代碼釋放工具鏈是可以修改的。在可執行映射內部,每一個元件的參考量度以及識別該量度所關聯的元件的資訊元素都是可以識別的。
對故障的元件所進行的修復可以取決於裝置報告標準的功能故障的能力。功能以及基於故障所採取的動作可以由網路操作者定義。軟體發展者可以確定如何能將操作者定義的功能映射到其系統中的軟體元件。在可執行映像中,功能映射是可見的,並且可以使用工具鏈增強。
對開發階段期間使用的軟體工具鏈進行修改可以適應下列各項中的一項或多項:元件區段產生、安全的TRV產生和嵌入、元件-功能定義的插入、或策略及策略配置檔的插入。
對載入器的功能進行修改可以適應驗證及/或修復。載入器可被修改為執行下列各項中的一項或多項:在載入元件時對元件執行完整性檢查、隔離或卸載故障的元件、管理策略、或在記憶體中儲存故障的元件ID以供策略管理器報告故障。
在這裏描述了可被應用於這裏描述的軟體發展和代碼釋放工具鏈來闡明預期功能的例示實施例。然而,這裏的實施例並不限於這裏提供的示例。
鏈結器的作用可以是取得輸入物件、以及將不同的區段組合成分段。由於可以在鏈結過程期間組合物件代碼,因此,在符號表資訊中可以保持用於識別物件檔中的函數或變數的能力。最終的合併代碼區段可不提供可以用於觸發這裏描述的驗證過程的驗證方案。
為了便於識別單一元件,載入器可以具有一種識別代碼起源的方式,其中可以包括定義元件或是產生可被載入器識別的單一元件的TRV。例如,增強用於產生可執行映像的工具鏈,能夠識別出與載入器驗證功能的特定物件檔元件相關聯的代碼,從而識別特定的元件以及執行完整性檢查。代碼映射的重新排列可以改變輸入物件的TRV(例如,如果修改一個輸入物件,那麼有可能導致改變其他輸入物件的TRV)。此外還可以阻止工具鏈使用最佳化方法,以阻止TRV的變化。
對於需要完整性檢查的元件來說,在這裏可以為其產生特定區段名稱。例如,區段名稱可以出現在最終的ELF可執行檔包含的區段標頭表中。藉由將用戶定義的區段進行分組,載入器可以識別元件以及執行完整性檢查。該載入器可以向策略管理器報告元件的通過與否的狀態。隔離那些通過/未通過完整性檢查的特定功能可以允許策略管理器以精細的粒
度或詳細的等級來報告那些可能受到故障的元件影響的功能。
第4圖示出了可以鏈結在一起形成單一可執行映像406的兩個物件檔402和404。物件檔402具有兩個不同的代碼分段,即元件檔區段408和本文區段410。物件檔404具有可以包括代碼及/或恆定資料的單一代碼分段,即元件檔區段416。對用戶定義的代碼區段(即元件檔區段408和元件檔區段416)來說,這些區段可以連同與其映射的分段類型相關的大小及/或儲存位置一起出現的區段標頭中。在第4圖中用箭頭描述了關於這種映射關係的示例。例如,物件檔402的元件檔區段408、本文區段410、資料區段412以及.bss區段414分別可被映射到可執行映像406的元件檔區段420、本文區段424、資料區段426以及.bss區段428。同樣,物件檔404的元件檔區段416和.bss區段418分別可以被映射到可執行映像406的元件檔區段422以及.bss區段428。可以鏈結可執行映像406以在可執行映像406開端的預定位置包含用戶定義的區段,由此可以按順序對其進行檢查。藉由驗證的完整性檢查可以僅限於代碼庫的一個子集。那些被分組到較大本文分段的剩餘代碼可以不被執行完整性檢查、及/或是可以載入的。
用戶定義的區段的添加可以是可識別的,例如藉由在元件代碼中插入#_PRAGMA。仍舊參考第4圖的示例,在原始檔案的頂部可以插入指令#_PRAGMA區段(例如元件檔區段408)。可以用編譯器旗標來包含用戶定義的區段以增強編譯器。如果設定了特定的旗標,那麼可以增強編譯器來自動插入PRAGMA。此外,用戶定義的區段的概念可以擴展,以將用戶定義的區段限於那些可能被完整性檢查的元件內部的功能。可用於裝置的可信執行的功能可被分區或隔離成在啟動過程中首先或者早期會被完整性檢查的元件。
區段可以經由鏈結器命令檔而被映射到記憶體的特定分段。ELF物件可以依照來源和目的地址來查看。在區段標頭表中識別的區段可以向載入器告知在哪兒發現所要移動的代碼及/或資料的開端。在分段標頭中識別的分段可以向載入器告知將元件複製至何處。在下文中示出了區段和程式標頭的格式。
sh_addr是程式區段可以在目標記憶體中駐留的位址。p_addr可以是程式分段在目標記憶體中駐留的位址。sh_addr和p_paddr欄位可以是指載入位址。載入器可以使用來自區段標頭的載入位址欄位作為將映射從非揮發記憶體轉移到RAM的起始位址。
元件區段識別碼的概念可被擴展至檔案內部包含的一個以
上的特定元件。該擴展可以經由識別將被執行完整性檢查的特定子常式而不是整個檔案來允許策略管理器所實施的存取控制的進一步的粒度。
TRV可以是特定元件或物件檔的預期量度(例如以安全方式計算的元件的散列)。出於完整性核實的目的,舉例來說,驗證處理可以依靠將被檢查的存在於可執行映像中或是分別以安全方式載入的每一個元件的TRV。該處理可以採用多種方式來實現。作為例證,對建構可執行映射的工具鏈進行修改可以安全地計算元件或物件檔的散列值,並且安全地將計算得到的TRV插入同一物件檔的恰當區段。該計算可以作為鏈結過程的一部分來執行。計算TRV散列的順序可以與要載入和量度的元件的順序匹配,否則有可能無法正確匹配量度值。該散列值可以被載入器得到或是包含在可執行映射內部。為了維持信任鏈,可以安全地產生及/或儲存TRV。舉例來說,藉由使用與諸如軟體/韌體製造者的公鑰之類的公鑰相對應的私鑰來對TRV值進行簽名,可以保護TRV。
元件物件檔可以包括單獨的用戶定義區段,以作為如第5圖所示的與之關聯的TRV的占位符。舉個例子,如第5圖所示,元件物件檔408的TRV可被計算並儲存在元件TRV區段502中。區段標頭可以識別該區段的起始位址及/或尺寸,其中該區段包括這裏描述的用戶定義區段。在物件檔402上,鏈結器可以在符號解析階段結束時計算元件物件檔408的散列值,以及定位相應的元件TRV區段502。該元件TRV可被插入到處於記憶體中的指定位置的可執行映射(例如元件TRV區段)。區段標頭可以允許載入器在驗證處理期間定位特定區段的TRV。
這裏描述的裝置驗證可以關注於元件的完整性狀態。由於軟體的開發實踐有可能會隨著公司的不同而不同,因此有可能很難使關於故
障的軟體的報告處理標準化。
在這裏揭露了用於將對照軟體執行的功能以分組元件的方式進行標準化的系統、方法和手段。將功能標準化可以使其與標準規範一致及/或採用與實施方式無關的方式。在這裏可以為可被標準化的裝置功能預先定義一個功能列表。可以使用功能與元件之間的關聯以允許將完整性檢查期間發現的故障映射到特定功能以進行報告,並且在第6圖中描述了它的一個示例。
如第6圖所示,可信任域602可以包括相互映射的元件和功能。例如,可信任域602可以包括高階功能604、中間功能606及/或可信環境(TrE)核心功能608。高階功能604可以包括功能610和功能612。中間功能606可以包括功能614和功能616。TrE核心功能608可以包括功能618,例如RoT。功能612可以映射到元件620及/或622,其中舉例來說,該元件可以是軟體元件。功能616可以映射到元件624,舉例來說,該元件同樣可以是軟體元件。功能618可以映射到元件626,其中舉例來說,該元件可以是韌體元件。在對可信任域602執行完整性檢查期間,在元件624上可能會確定出故障。由於元件624映射到了功能616,因此可以確定網路功能616同樣存在故障。由此,裝置可以向網路發送關於故障的功能616的指示,以進行修復。
第6圖中的功能與元件之間的映射是作為執行層映射而被示出的。作為第6圖示出的實施例的替代或補充,元件與功能之間的映射可以具有一個以上的層。可以使用具有兩個以上的層的資料結構(例如,其中一個層用於元件,另一個層用於功能)。在該結構中,元件可被映射到一組子功能,並且子功能可以被映射到一組更高階的子功能。中間映射可
以持續進行,直至處於最終子功能層的子功能被映射至處於最終層的最終功能。樹或類似於樹的資料結構可以是能夠獲取這種多層元件-功能映射關係的結構的一個示例。
開發者可以確定元件如何映射至標準化功能。根據一個實施例,可執行映射可以包括元件-功能映射。舉例來說,這種映射可以在編譯時經由一個圖形工具來實現,其中該圖形工具對經編譯的代碼或來源代碼進行解析,顯示了單一檔案佈局、檔案中的函數相互依存性中的一項或多項,以及允許將元件映射到功能。功能可以是本文欄位及/或縮寫ID號碼,其中該本文欄位及/或縮寫ID號碼可以由用戶輸入及/或手動映射到元件/檔案。開發工具可以創建引用了元件至功能映射表的區段。元件名稱、功能名稱以及ID連同交叉引用的互連一起可以作為該表的元素而被包含。
第7圖示出的是包含元件-功能映射的區段的一個示例。如第7圖所示,功能至元件映射區段702可以作為諸如物件檔402之類的物件檔中的區段而被包含。此外,如這裏所述,功能至元件映射區段702還可以鏈結到可執行映像中的相應分段。
載入器的功能可以是將代碼從外部記憶體引入內部記憶體。信任鏈可以依靠正由從RoT和引導載入器開始的先前階段所核實的每一個已載入階段的代碼。第二階段的載入器可以核實下一個階段,該下一個階段則可以包括可信環境核心以及OS載入器。一旦OS被初始化且正在運行,則剩餘的完整性檢查可以如這裏所述由標準的OS載入器執行。可執行映像可以在沒有高速存取的情況下被載入到RAM。這裏揭露的這些概念可以擴展成包含更多具有附加修改且可執行映像大於可用ROM的受限實
施方式,例如使用快取記憶體以及直接從ROM執行代碼。
將代碼從外部引入內部記憶體的載入器可以包括執行密碼加密的完整性檢查的能力。該完整性檢查回過來可以引用安全地保持在可信環境中的密碼加密功能。在正常的操作中,載入器可以將諸如本文區段410之類的組合本文區段以及諸如資料區段412之類的資料區段中的代碼和資料複製至鏈結器命令腳本和分段標頭資訊所定義的內部記憶體。與成批載入本文區段410和資料區段412不同,載入器可以識別用戶定義的代碼及/或資料區段。這其中的一些補充區段資訊可用於完整性檢查。載入器可以計算元件的完整性量度,然後將元件的TRV定位在與其關聯的區段。區段標頭可以提供區段的起始位址和大小。量度值可以與同一個元件的已儲存TRV進行比較。如果值是匹配的,則可以將代碼載入到內部記憶體。如果完整性量度不匹配,則不能載入代碼,並且可以為元件記錄故障及/或將故障報告給策略管理器。
每一個元件的載入器核實結果可以儲存在表明該元件已被檢查的位元欄位以及通過與否的位元欄位中。在將全部代碼移至內部記憶體時,策略管理器可以基於已完成的完整性檢查結果來確定授予裝置怎樣的存取。一種實現該處理的方式是規定載入器可以存取安全的記憶體位置來追蹤完整性結果。程序鏈結表(PLT)可以用附加資訊元素增強,以追蹤是否已經檢查並核實了元件完整性,並且在每次將經過檢查的元件載入到RAM的時候可以更新完整性檢查結果以及該資訊。
在具有有限記憶體的嵌入式系統中,可以使用代碼調換。代碼調換可以包括將那些可能用於執行的功能載入到RAM中。如果使用了子元件,那麼可以在RAM中未提供該子元件的情況下,使用PLT和GOT表
來定位其位址。子元件可以是具有相關聯的TRV的較大元件中的小的部分。在載入子元件時對其進行動態檢查的系統中,在每次載入子元件的時候都可以使用關於整個元件的完整性檢查。這種需求有可能在系統上添加不必要的計算負擔。
元件可以分成其子元件,並且可以計算中間TRV,該中間TRV可以用於檢查每一個子元件的完整性。此外,實施最小塊尺寸可以計算出中間散列。這個產生子元件的TRV散列的過程可被稱為TRV分解(digestion)。例如,小的子元件散列可以是基於記憶體頁面塊大小來計算。舉例來說,這種將元件拆分成子元件的處理可以在對元件執行作為安裝或啟動過程的一部分的完整性檢查的時候進行。此外,將GOT增強以包含每一個子元件的中間TRV。
平臺完整性策略引擎(PIPE)可以是整個平臺的信任系統架構的一部分。例如,PIPE可以防止下列各項中的一項或多項:網路受到攻擊、誤用裝置、在平臺上以未經授權的方式傳遞或操縱敏感資料。PIPE可以依靠諸如引導載入器、策略管理器和虛擬化元件之類的不同作業系統功能來控制和創建安全可信賴的平臺。該PIPE可以控制不同的功能,該不同的功能包括安全引導處理流程、關於軟體元件的完整性檢查量度的處理、依照策略的後續強制動作、及/或後續的軟體負載控制流程。這些策略可以由外部的利益相關者定義,例如製造者或操作者,並且是可以在裝置上供應的。此外,這些策略可以經由遠端更新程序而在欄位中被更新。
PIPE可以通過下列各項中的一項或多項來減小載入受損軟體功能的風險:受控軟體資料檢查和載入操作、漸進式地安裝更多的功能能力、或者在運行時保持元件的動態載入。依照載入操作的進度階段,該
動作可以包括下列各項中的一項或多項:將平臺斷電;阻止載入一個或多個受損元件或是隔離一個或多個元件;觸發針對網路中的諸如安全閘道或修復管理器之類的外部實體的警報,以通告低階故障或是受損功能;禁止存取平臺上的安全資訊,例如驗證密鑰等等;禁止存取平臺上的安全功能,例如驗證演算法等等;執行成批代碼或資料重載/更新程序;替換受損的軟體元件及/或配置資料;或者進行更詳細的調查,包括以更高的細節粒度來對疑似受損的元件執行完整性檢查,以隔離元件中的故障位置。
在一些情況中,故障有可能非常嚴重,以至於可信任環境由於核心TrE功能已經受損而不能保證平臺的信任度。低階故障有可能觸發諸如產生用可信根簽名的預設警報訊息之類的基本操作,其中可以包括完整性和重播保護以及機密性保護。換言之,一旦發生了嚴重的低階安全故障,則可以藉由一個或多個可用通訊頻道來向網路釋放困擾訊息。
由於所載入的功能已被建構並且變得日益複雜,裝置有可能執行更複雜的動作,例如充當代表網路實體的安全可信賴代理,這樣做可以促進用於診斷、報告及/或替換受損軟體或配置資料的詢問程序。
依照成功核實的功能等級,可以(例如由PIPE)提供針對平臺上的資源的不同存取。如果元件的完整性檢查失敗,那麼其可能不是可信的。偵測到的這種故障可以被安全標記並(顯性地或隱性地)指示給網路,並且引導流程有可能因為這個故障的狀況而出現分支。這種完整性檢查故障可被稱為執行流程故障,由此,經過檢查的元件可能不是可信賴的,並且啟動該元件有可能會導致執行惡意的、受損的、有故障的或是錯誤配置的代碼,而這有可能導致裝置以非指定及/或非預期的方式執行網路功能。由此,新元件和可用功能的載入可能受到先前載入的元件的完整性
的影響。
結果,執行環境有可能根據控制執行過程及/或每一個引導階段以及每一個運行時間過程的存取許可權而改變。例如,在引導過程中的每一個階段,可以基於在該時間產生的完整性量度來做出決定。後續的階段和策略可以使用通過任何超越了執行階段的可用安全資訊運送或儲存手段而從先前階段傳遞的資訊(狀態、變數、參數、暫存器、檔案等等)來確定自己的操作。例如,上層應用驗證功能可以使用關於先前載入的元件的完整性的資訊來確定自己的操作,其中包括閘控釋放那些用於與例如外部實體進行成功驗證的密鑰。
例示的PIPE功能流程可以採用這裏描述的方式執行。例如,在這裏可以對RoT執行完整性檢查、及/或其完整性可被核實。RoT可以對基線TrE執行完整性檢查、及/或該基線TrE的完整性可被核實。如果在對基線TrE進行完整性檢查及/或核實中發生故障,那麼PIPE可以阻止用於連結於網路的密鑰的釋放、觸發針對網路的警報、及/或將裝置斷電。如果PIPE觸發針對網路的警報,則可以載入能向網路發送警報的後降代碼。該警報可以觸發遠端成批更新程序,以替換TrE。
如果在對基線TrE的完整性檢查及/或核實中沒有發生故障,那麼可以載入基本的通訊連接代碼。這可以包括執行完整性檢查以及載入基線作業系統模組、執行完整性檢查以及載入基線管理用戶端、及/或執行完整性檢查以及載入通訊模組。如果在檢查作業系統模組、基線管理用戶端及/或通訊模組的完整性的同時識別出故障,那麼PIPE可以阻止用於連結到網路的密鑰的釋放、觸發針對網路的警報、執行遠端成批程序來替換元件、執行遠端元件更新程序、及/或將裝置斷電。如果PIPE觸發遠端成
批更新過程,那麼可以載入能夠向網路發送警報的後降代碼。該警報可以觸發遠端成批更新程序,以替換基本代碼。
如果在對基本通訊連接代碼的完整性檢查及/或核實中沒有出現故障,那麼可以對剩餘的作業系統及管理用戶端元件執行完整性檢查及/或載入這些元件。這可以包括執行完整性檢查及/或載入可重新定位及/或重新載入的功能模組。如果在完整性檢查期間識別出故障,那麼PIPE可以阻止釋放用於連結到網路的密鑰、向網路發送依照協定的故障報告、觸發警報及/或請求遠端元件更新程序、及/或將裝置斷電。該故障報告可以指示故障的元件,該元件例如可以由網路遠端更新。
PIPE的動作可以根據成功核實的引導鏈而改變。在引導過程的每一個階段都可以基於為在該時間(或是該時間之前)被執行了完整性檢查的部分或全部底層平臺的經評定的完整性以及所應用的策略來做出決定。這些策略可以根據所實現的信任等級而適配或被其他策略替換。執行環境可以根據每一個引導階段的控制策略而改變。後續的階段及/或策略可以使用經由超越了執行階段的可用安全資訊運送或儲存手段而從先前階段傳遞的資訊(例如狀態、變數、參數、暫存器、檔案等等)。
舉例來說,如這裏所述,PIPE可以在平臺上規定策略,其中該策略可以根據如第8圖所示的平臺初啟和信任狀態的所實現等級而進行適配或改變。如第8圖所示,依照相應的策略812,可以對TrE 802執行完整性檢查、載入及/或執行該TrE 802。在將TrE 802確定為是可信實體並且執行該TrE 802之後,裝置可以移動到引導序列的下一個階段。例如,可以依照策略814來對能力804執行完整性檢查、載入及/或執行該能力804。關於能力804的完整性檢查、載入或執行可以基於與TrE 802的完整性檢
查、載入及/或執行相關聯的資訊(例如信任狀態)。在引導序列先前階段中實施的策略812可以向在關於能力804的完整性檢查、載入及/或執行期間實施的策略814發出通知。在將能力804確定為是可信實體並且執行了該能力804之後,該裝置可以移動到引導序列的下一個階段。該引導序列可以藉由依照相應的策略816、818和820分別檢查、載入及/或執行能力806、808和810而繼續進行。如這裏所述,引導序列的每一個階段可以由引導序列中的一個或多個先前階段通知。
這裏描述的策略可以由諸如操作者之類的可信外部實體規定。所實現的平臺信任狀態的結果可被傳遞到外部實體,舉例來說,該外部實體有合法的興趣/權利來瞭解平臺的信任狀態,諸如敏感應用或服務的操作者或提供者。應該指出的是,對於可以在啟動或平臺操作循環中的不同階段評定的有關平臺可能的不同狀態的資訊來說,這些資訊可被傳遞到一個以上的外部實體。
多層完整性檢查以及將這種完整性檢查綁定到平臺信任狀態的處理可以採用這裏描述的方式執行。例如,這種完整性檢查和綁定可以使用多層完整性檢查,以藉由策略和強制執行來確保裝置上的密鑰驗證裝置實現的能力(例如針對網路上的伺服器之類的外部核實器且執行修復任務的裝置修復功能)。如果某個用於實現預期能力的預先已知的軟體及/或配置檔集合通過了完整性檢查,那麼使用這種密鑰來進行驗證的安全敏感功能對於裝置而言將會是可用的。舉例來說,這種軟體及/或配置檔可以包括低階OS功能、驅動、配置檔及/或通訊堆疊代碼的某個子集。
多層完整性檢查以及完整性檢查綁定還可以包括用於保護驗證密鑰的策略,由此可以將密鑰限制為只供已授權功能或過程使用。如
果密鑰未受保護,那麼軟體有可能受損害以存取該密鑰。裝置可以提供可信功能以:對密鑰進行保護,使得其僅限於供有限集合的能力、功能或單一功能使用;保護對密鑰進行操作的功能/程式;及/或限制可以調用這其中的某個特許功能的物件(例如用戶、系統、腳本等等)。
這裏描述的關於多層完整性檢查和綁定的實施例可以包括一組預先已知的軟體,這些軟體可以用於允許可能受損的裝置向外部實體驗證其部分能力(例如其報告故障以及與修復伺服器或是用於此類伺服器的AAA實體一起執行修復操作的能力)。外部實體(例如修復伺服器)可以是一個邏輯實體,並且可以由裝置管理伺服器託管,其中對於H(e)NB來說,該外部實體是H(e)MS。
為了提供用於規定與特定平臺上的實際實施方式無關的策略的機制,在這裏可以藉由規定特定平臺能力所需要的功能來定義這些策略。由此,與特定能力相對應的策略也可以採用與這裏揭露的元件-功能映射相似的方式映射到功能。外部利益相關者可以將關於特定能力的策略規定給單一功能或若干個功能。而PIPE則可以在將能力映射到特定策略以及映射到平臺初啟階段中負責解釋策略需求。
如果某個能力使用了某組功能,那麼可以為指定給該特定能力的相應策略規定這些功能。舉個例子,如果希望將執行修復的能力映射到某個策略,那麼可以將用於執行修復的功能映射到相應的策略,例如,修補能力可以被功能1、2和3覆蓋,從而規定將相應的策略映射到功能1、2和3。
對於一些實施方式來說,在分層的平臺初啟與能力和功能之間存在著合理的相關等級。這些能力可以是隨著功能一層一層地漸進式初
啟的。例如,在平臺初啟的較早階段即可初啟修復功能和能力。
多層完整性檢查可不按順序確定不同功能的已檢查-未檢查狀態。這些功能可以是依照順序方式檢查的。然而,由於不同的功能可被映射到不同的元件(隨後可以在不同的階段載入這些元件),因此,依照功能的完整性確定處理有可能會以非順序方式執行、或者以一種可不與依照元件的完整性檢查的原子處理序列同步(在時間長度或時間順序方面)的順序方式執行。
序列化可被用於策略實施。策略實施可以為給定的平臺能力確定相應的功能是否已經通過了完整性檢查及/或是否應該應用策略。
多範圍驗證可以允許平臺基於所實現的平臺信任等級來向一個或多個外部實體進行驗證。該驗證機制(例如驗證詢問回應機制)可被用作一種將最終得到的裝置完整性範圍傳達給外部實體的手段。該外部實體可以驗證並且同時獲得關於裝置完整性範疇/範圍的指示。
在經歷多層完整性檢查的同時,裝置的TrE可以產生用於驗證詢問回應的不同參數或參數值,以用於不同的目的。根據成功的完整性檢查的範圍,這種參數產生可以基於或使用與外部驗證實體共享的相同的秘密證書。所使用的可以是常見的詢問-回應計算演算法。然而,根據完整性檢查的範圍及/或驗證目的,至這種演算法的輸入可能是不同的。舉個例子,如果TrE成功檢查了整個代碼庫,那麼可以使用諸如“已成功檢查整個代碼庫(entire code basis successfully checked)”之類的本文串作為驗證詢問回應計算演算法的輸入。如果TrE成功檢查了用於實現困擾修復功能的元件,但是未必檢查了整個代碼庫,那麼可以使用諸如“已成功檢查用於困擾修復的代碼庫(code base for distress remediation successfully
checked)”之類的另一個字串。
一旦向裝置發送了其驗證詢問請求,則外部驗證器還可以計算兩個版本的“預期”詢問回應。由於其可能不知道在計算裝置上計算詢問回應中已經使用的輸入,因此,其有可能必須同時計算所有這兩個版本的回應。藉由將從裝置接收到的回應與預期回應集合進行比較,外部驗證器可以隱性地成功測試出裝置完整性“範圍”。藉由歸納,實體可以驗證及/或核實在裝置端已成功檢查了裝置完整性的某個“範圍”。在以上的示例中,可以使用相同或相似的實施方式來驗證裝置的另一個特定(例如部分)能力,這一點取決於對功能進而是用於實現該能力的元件所進行的完整性檢查。
舉個例子,可被核實信任度的外部指示可以是在安全引導處理期間將代碼的完整性量度綁定到特定的引導循環執行和配置簽名的受保護的簽名證書版本。在這裏可以包括安全的時間戳、受保護的依照引導循環遞增的單調計數器、或引導循環秘密(在每個引導循環中產生或引入一次的隱藏隨機值,例如亂數(nonce))。當滿足前提條件時,驗證密鑰將會變得可用,並且目前的可信賴處理將會設定逐次引導的受保護一次性可編程“通過”旗標,該旗標可被限制為在下一次重置之前恢復至發生故障的狀況(例如偵測到初始量度之後的故障的時候)。在釋放給外部實體之前,諸如TrE之類的永久性可信任環境(例如進入運行時間而不僅僅是引導時)可以使用驗證協定亂數來對狀態資訊進行簽名。該報告的區段可以由目前核實的可信賴處理以臨時引導密鑰來簽名,由此,以後的處理可以將此狀態呈現給外部實體,以進行驗證。
在這裏可以使用在驗證協定中交換的一個或多個經過修改
的隨機亂數,並且這種經過修改的亂數可被用作詢問回應以及所預期的詢問回應計算的輸入。換言之,在裝置本身,裝置的TrE可以嘗試以常規方式使用在回應計算輸入(例如在通過了完整性檢查的情況下)中從驗證伺服器接收的一個或多個隨機亂數來計算其驗證回應。如果關於整個裝置的完整性檢查失敗,但是裝置部分功能的完整性檢查成功,例如“困擾/修復功能”的完整性檢查成功,那麼TrE可以計算該回應的另一個值,此時使用的是所接收的亂數的修改版本。驗證伺服器可以知道在哪里/如何執行這種修改。這種修改的示例可以包括:改變初始亂數中的已知位置的一個或多個位元。這樣一來,除了計算初始的“裝置驗證”回應之外,裝置和驗證伺服器都可以使用經過修改的亂數輸入來計算回應。在接收器上(例如驗證伺服器),伺服器可以檢查其從裝置接收的回應是否與“裝置驗證”回應相匹配。如果它們不匹配,則與聲明驗證徹底失敗不同,驗證伺服器可以將接收到的回應與使用經過修改的亂數計算的另一個回應值進行比較。如果它們匹配,那麼驗證伺服器可以確定雖然裝置整體可能沒有通過驗證,但是某些功能是可以通過驗證的,例如本示例中的“困擾/修復功能”。
在安全引導處理期間,藉由對照相應的TRV來比較每一個軟體元件,裝置可以獲悉元件的完整性故障,這樣做有助於確保元件的位元精度以及來源的真實性。
偵測到的元件檢查故障可以在完整性檢查狀態資訊元素中獲取。出於安全性目的以及出於對報告和診斷效率的考慮,此狀態資料的結構可以採用多種形式。該資訊可以被支援策略管理程序的目前和後續引導階段以及運行時間進程讀取。元件-功能映射可以用於確定元件與網路功
能以及裝置的其他功能的依存關係。功能可以是諸如網路操作者之類的連接實體或是諸如移動支付之類的裝置支援的加值應用所依靠的功能。操作者及/或應用服務提供者可以定義哪些功能可被用於針對特定任務的可信裝置操作,例如承載訊務、修復、管理操作或加值應用特徵,並且可以在裝置上設定用於表明哪些功能可用於特定網路操作的策略。
一組網路功能可以來自網路操作者及/或應用服務提供者所預期的標準能力集合。這些功能可以包括無線電技術、協定堆疊中的層、網路協定、管理能力、安全和信任機制、加值應用特徵等等。
裝置的策略管理器可以使用顯示了依照裝置元件的網路功能依存關係的嵌入式元件-功能表或映射(如這裏所述)。在第9圖中顯示了在完整性檢查及/或報告期間使用這種元件-功能表或映射的處理。如第9圖所示,在910,裝置可以藉由以相應的TRV 904檢查元件902的完整性量度來執行完整性檢查。在執行了完整性檢查之後,在916,策略管理實體908可以接收到已經經過了完整性檢查的一個或多個元件的元件識別符(例如元件位址),並且會在918接收到關於每一個元件是否通過或未通過完整性檢查的指示。該策略管理實體908可以確定與元件相關聯的相應功能,以發送至網路實體。舉例來說,需要修復的故障的功能可被發送,或者可以發送關於已被驗證的功能的指示。例如,策略管理實體908可以在920使用的元件位址在922檢索與所給出的元件相對應的元件識別符。如第9圖所示,元件識別符可以是從表906中檢索的,其中該表906包含了元件位址到元件識別符的映射。在924,策略管理實體908可以使用元件識別符以在926檢索與所給出的元件相對應的元件功能。這些元件功能可以是從表912中檢索的,其中該表912包含了元件識別符至元件功能的映射。在
932,策略管理實體908可以使用所確定的功能(例如已通過或未通過完整性檢查)來與網路實體進行交互作用。例如,策略管理實體可以執行完整性報告、接收裝置策略、或者接收與所確定的一個或多個功能相對應的動作及/或限制。每一功能可與一個或多個策略930相關聯。所收集的一個或多個功能可以一起啟用裝置內部的特定功能。這些能力可以是分層次的。例如,基礎層能力可以是下一個能力層的子集,該下一個能力層則是接下來的能力層的子集等等。將能力分層可以反映典型層或信任鏈為基礎的安全引導序列。層可以是能夠實現特定能力的功能的任意組合、或者其也可以是分層的層次與特定功能組合的混合組合。策略管理實體908可以在928使用元件映射功能以在930檢索與給定能力相對應的一個或多個策略。這些策略可以是從表914中檢索的,其中該表914包括能力與不同策略的映射。如932所示,這些策略可以從網路實體接收的。
故障的元件可能導致出現一個或多個故障的功能。軟體發展和建構工具嵌入的元件至功能映射資訊可以在確定功能的完整性檢查故障量度中為策略管理器提供支援,並且由此支援以標準化的方式報告可能與裝置和製造者方面的實施方式無關的故障,例如驗證功能或基帶無線電協定堆疊故障。在裝置上,該資訊可以可被保護免於修改,這一點是由不可變的可信根(RoT)保證。
策略管理進程可以在引導和運行時間環境中使用該資訊。使用完整性檢查處理的結果,裝置上的策略管理進程可以確定哪一個網路功能已經發生故障。在載入器檢查代碼的時候,元件可以用在引導時間期間可用的參考(例如符號表或記憶體位址)來識別。在已核實了完整性和來源的真實性之前,被檢查的代碼可被隔離,以免在可執行記憶體中使用。
同樣,從載入、檢查被檢查的代碼時起以及在執行期間,所述被檢查的代碼可以受到保護(例如藉由受保護的方式執行和儲存、硬體保護、密碼加密保護、虛擬化等等)。藉由修改記憶體映射、存取許可權等等,可以阻止執行。作為在第9圖的表906和912中示出的示例,處於位址位置x的代碼可以對應於元件A,該元件A可以映射到網路功能F1、F5和F14。舉例來說,這個代碼可以是一個原始的散列函數,並且有若干個通訊協定是依賴該函數的。完整性報告和修復有可能依賴於故障的基元。因此,在網路標準化列表中可以包含這些完整性報告和修復功能,以此作為底層的支援功能。
功能故障的標準化列表可以向網路提供關於裝置能力的細粒度資訊。對於遠端裝置來說,可靠地理解裝置所能實現的功能有助於應用資源來修復問題。在困擾情況下,如果有能力以安全和有保證的方式指示故障,從而使得網路可以驗證困擾指示本身(例如來源、時間和精度)的完整性,那麼可以防止在虛假警報的情況下不必要地使用昂貴的網路資源。
第10圖提供的是包含了例示系統元件的報告和修復系統的例示綜述。如第10圖所示,在1002,在裝置1004的元件上偵測到故障。該故障可被指示給網路。例如,在1008,該故障可以被包含在報告給網路的裝置報告1006中。舉例來說,該故障可被指示為是與故障的元件相關聯的故障的網路功能。在向網路報告故障時,網路可以做出關於存取控制的細粒度決定。例如,網路平臺驗證實體1010可以基於所報告的功能檢查報告1006來允許禁止存取、局部存取或是完全存取。在1016,裝置1004可以接收存取決定。如果在裝置報告1006中指示了故障,那麼網路平臺驗證
實體可以將功能報告轉移給裝置管理伺服器1012,該伺服器1012可以從功能至元件映射資訊1014中確定一個或多個故障的元件。此資訊可以用於修復裝置1004、以及重新載入裝置1004中故障的軟體元件。例如,裝置管理伺服器1012可以在1018詢問裝置1004,以窄化與故障的元件相關聯的故障的功能的範圍。在將完整性故障隔離到裝置1004的某個區段以便有效修復之後,裝置管理伺服器1012可以在1020請求軟體更新(例如替換元件),例如從代碼建構釋放實體1022請求。裝置管理伺服器1012可以在1024向裝置1004提供軟體更新,以修復故障的元件。製造者裝置上的特定故障代碼的這種抽象形式將會減小操作者緊密瞭解裝置(與之相連)的負擔,但是同時還可以允許基於故障的功能的粒狀存取控制及修復決定。
執行流程故障有可能是在處理鏈中調用的元件的故障。元件的執行可以保持很高的確信等級,同時擴展裝置的能力。在目前已被核實的處理檢查下一個處理的代碼(並且有可能檢查裝置的配置)的完整性並且發現其出現故障的時候,這時有可能偵測到執行流程故障。後續引導代碼中的故障有可能意味著目前可信處理可以執行下列各項中的一項或多項:將目前狀態鎖定成最後一個已知的良好狀態;指示故障;將對於處理的控制保持在等待模式中;將控制權傳遞到困擾處理;及/或將控制權傳遞到不可信賴的處理。用於故障的階段的驗證和身份密鑰可被鎖定來避免進一步處理,以使不可信賴的處理無法通過報告(例如帶簽名的狀態)或是驗證技術(例如自主驗證)來向網路指示有效狀態。
出於對效率的考慮,從裝置發送到網路的故障報告可以包括用於提示來自操作者網路驗證功能的動作以執行細粒度閘道存取控制以及向網路裝置管理實體指示裝置故障的最低的資訊量。管理實體可以查看製
造者專用資訊來確定故障的根本原因、以及確定哪些代碼可被修復。該管理實體可以向網路驗證功能反向提供進一步的資訊,以允許實體做出關於存取控制及/或修復的進一步策略決定。
在下表1中描述了可以包含在故障報告中的故障的功能的例示集合。
在這裏可以發送關於通過或未通過這樣的結果的功能報告。表2提供了關於這種列表的一個示例。
在驗證期間,該功能報告可以備選頻道上的酬載中傳送,其
中舉例來說,該頻道可以是用於閘道驗證的頻道,由此,即使閘道驗證失敗,該報告也可以作為酬載而在驗證序列中被發送。該酬載可以由裝置的可信執行環境簽名。
可信執行環境(TrE)可以具有自己的功能欄位(例如為了方便起見或出於對冗餘度的考慮)。然而,如果功能或困擾酬載列表是由TrE簽名的,或者驗證密鑰是受TrE保護的,那麼在與網路取得聯繫的時候,TrE的完整性是已知的。TrE的一個或多個簽名密鑰可以用故障防護封閉方法來保護。換言之,如果TrE受損,那麼它的一個或多個密鑰是無法得到的(例如既無法被裝置或是其內部功能和介面得到,也不能被I/O和測試埠得到,並且不能被外部的網路實體得到)。
如果發生故障或警報,那麼服務網路實體可以核實困擾裝置具有可靠報告故障的特徵,並且困擾裝置的機制並未發生故障。有兩種保證形式可以向網路指示報告機制可靠。一種機制可以採用靜態的可信第三方擔保的形式,例如特定類型的裝置與某一組可信賴的報告能力相符的證書。這種擔保可以提供關於處理和發送故障狀況的警報和訊息的裝置能力以及強健等級(或可信賴度)的資訊。網路操作者可以使用經過證實的能力來建立在發生故障警報的情況下恰當自動地做出回應的程序。
另一種擔保形式可以是經由與裝置進行的線上事務。在發生故障事件的時候,裝置內部的機制可以提供關於報告機制完整性的指示。這種內部能力有可能涉及靜態的擔保形式,這是因為它可以允許第三方提供符合證書。
在這裏,關於裝置困擾和修復的不同協定流程可以在H(e)NB的上下文中描述。然而,這裏描述的概念並不限於這種實施例,而
是可以應用於任何通訊裝置。根據第16圖描述的例示實施例,裝置完整性資訊可從H(e)NB經由SeGW被發送到管理伺服器(H(e)MS)。根據第17圖描述的另一個實施例,H(e)NB可以直接連接到管理伺服器(H(e)MS)。根據第18A和18B圖描述的另一個例示實施例,裝置完整性檢查可被加強,以在出現局部故障的情況下允許細粒度的存取控制。這些程序可以允許在DRF的控制下執行代碼或資料塊修復,其中該DRF可以使用從網路中的修復實體接收的修復資料來改變代碼或資料塊。如果系統架構允許軟體以及軟體或硬體配置資料的變化,那麼這其中可以包括這種變化。所示出的流程可以是針對軟體修復的,但是並不限於此。
在網路管理實體與裝置本身之間可以執行詢問,在此期間,關於裝置的發生故障的完整性的詳細資訊可以用比初始報告更精細的粒度擷取。該資訊可以導致發現故障原因、指示元件的哪個部分發生故障、以及允許粒度更細的代碼修復及/或配置,以藉由減小軟體下載大小並且由此平衡網路頻寬需求以及代碼下載大小,實現有效裝置管理。根據一個例示實施例,使用IP網際網路協定的受管理網路裝置可以將TR-069(CPE WAN)用於裝置管理目的。該協定可以提供針對“自動配置伺服器”(ACS)的存取。ACS應用可以在表3所示的協定堆疊中使用若干種能力。
該堆疊可以被RoT處理存取,該RoT處理可以向連接TR-069的管理伺服器提供高保證的困擾指示。但是,在困擾狀況中可不使用每一個層的整個特徵列表,由此可以修整堆疊來執行這些用於安全地將裝置反向自舉至完整的管理和裝置功能的程序。
第11圖示出的是在裝置上收集資訊來確定可以執行的動作的例示呼叫流程圖。當發生完整性故障時,這時可以在諸如H(e)NB 1102之類的裝置(例如TR-069裝置)與諸如H(e)MS 1104之類的網路實體之間執行第11圖所示的序列。在1106,在H(e)NB 1102與H(e)MS 1104之間可以建立連接(例如TR-069連接)。例如,在1106,H(e)NB 1102可以使用其TrE或RoT來建立連接。在1108,H(e)NB 1102可以將一個或多個完整性故障報告給H(e)MS 1104,例如藉由使用資訊請求及/或警報來報告。在1108,H(e)MS 1104可以接收警報,並且在1110,它可以使用資訊回應訊息(例如TR-069通知回應)來對H(e)NB 1102做出回應。
粗略地說,裝置的每一個軟體元件都可以具有相應的TRV。如這裏所述,當元件無法匹配參考的時候,該元件有可能具有完整性故障。一些元件有可能很大。例如,作業系統有可能是作為具有單一TRV的單一單體碼塊遞送。
第12圖示出的是通過詢問來隔離元件中的一個或多個故障的一個或多個位置的例示呼叫流程圖。在詢問過程期間,諸如H(e)MS之類的網路管理實體1204可以與諸如H(e)NB之類的裝置1202交互作用,以收集附加資訊來確定可被執行以修復偵測到的故障的動作。根據一個例示實施例,裝置1202可以使用TrE或RoT來與網路管理實體1204交互作用。
網路管理實體1204可以決定執行整個代碼映像的單體下
載。該下載可以包括重新載入目前代碼映像以及經過更新的代碼映像。由於可以將整個映像下載至網路管理實體1204,因此可以在已下載的映像中包含TRV(初始或更新)。網路管理實體1204可以決定下載被報告為故障的元件,而不是單體下載整個代碼映像。由於可以將包括更新時的TRV在內的整個元件下載到裝置1202,因此,該映像可以是目前元件或經更新的元件的重新載入。對於經更新的元件來說,用戶端管理實體可以管理現有代碼映像,以確保整個映像的完整性和結構保持不變。
如第12圖所示,在1206可以偵測到完整性故障。舉個例子,在裝置1202的元件中有可能偵測到完整性故障,並且可以像這裏描述的那樣向網路管理實體1204發送完整性檢查報告。在1208,在裝置1202與網路管理實體1204之間可以建立連接(例如TR-069連接)。在1210,網路管理實體1204可以向裝置1202發送關於參數的請求,其中該參數涉及的是與裝置1202上的完整性故障相關聯的警報。在1212,裝置1202可以向網路管理實體1204發送包含警報細節的參數回應。在1214,網路管理實體1204可以決定窄化一裝置上的元件的完整性故障,以進行修復。為了窄化完整性故障,在1216,網路管理實體1204可以向裝置1202發送參數請求,以獲取更細粒度的量度。在1218,裝置1202可以對裝置1202上的元件進行量度。在1220,網路管理實體1204可以對參考進行量度。例如,由於元件製造者可能沒有提供元件量度並且裝置1202可以使用動態粒度來產生元件量度,因此,網路管理實體1204可以即時產生參考值。舉例來說,網路實體1204產生的參考量度可以與裝置1202產生元件量度進行比較。裝置1202可以在1222發送一個向網路管理實體1204指示該裝置1202已經或者將要採用更細粒度的完整性量度的參數回應。
在1224,網路管理實體可以發送關於一個或多個第一節點(例如一個或多個元件)的完整性量度的參數請求。在1226,裝置1202可以向網路管理實體1204發送指示了一個或多個第一節點的完整性量度的參數回應。網路管理實體1204可以在1228發送關於來自裝置1202的接下來的一個或多個節點(例如一個或多個元件)的量度的參數請求。舉例來說,關於接下來的一個或多個節點的量度可以是基於從裝置1202接收的一個或多個第一節點的量度請求的。此外,所述接下來的一個或多個節點可以是一個或多個第一節點的部分或子元件。在1230,裝置1202可以向網路管理實體1204發送包含了所請求的接下來的一個或多個節點的量度的參數回應。舉例來說,如1232所示,來自網路管理實體1204的參數請求和來自裝置1202的參數回應可以重複進行,直至完整性故障與裝置1202的區段(例如元件、函數或是其部分)隔離,以實施有效的修復。在識別並隔離了完整性故障之後,在1234,裝置1202與網路管理實體1204之間的連接(例如TR-069連接)可以關閉。
即使在偵測到故障並且產生了單體塊或元件的多個量度之後,網路管理實體1204也可以決定進行詢問。裝置1202可以執行完整性量度及/或將完整性量度安排在二元樹之類的用於快速引用的資料結構中。網路管理實體1204可以執行相同的處理。這種結構可以揭示單一塊中的多個故障,由此網路管理實體1204可以快速確定哪些單體塊或元件未通過完整性檢查,這樣做可以窄化影響範圍,並且可以潛在地減小軟體下載訊務量。如第12和13圖所示,經過修改的塊的細節可被檢查,以便以比用於元件或單體塊的TRV更精細的粒度來隔離其被損壞的位置。
利用窄化元件故障範圍的細粒度資訊,網路管理實體可以為
代碼分段而不是整個碼塊創建下載映像。舉例來說,如第13圖所示,在支援若干種功能的大型單體元件1302中有可能發生故障。由於整個元件1302有可能無法通過完整性檢查,因此,整體量度值1304可以與整個元件1302相關聯。在1306,經由裝置與網路管理實體之間的詢問,可以產生精細粒度的量度。該詢問有可能引起更精細粒度的完整性量度,以定位大型單體元件1302內部的分段的故障,例如分段1308。例如,在詢問之後,從完整性檢查中得出的整體量度值1310可以包括分段1308的量度值7,而不是與整個大型單體元件1302相關聯的量度值1304。在識別了分段1308處的故障之後,這時可以將修復補丁定位到這個分段。該修復補丁可以包括使用大型單體元件1302內部通過完整性檢查的其他分段來修復分段1308上的故障的指令。
所產生的完整性量度的數量可以基於裝置類型來限制。當子元件下載是目前元件的重新載入時,裝置不會使用附加資訊來執行重新載入。但是,如果子元件下載是對已有元件的更新時,那麼用於該子元件的經更新的TRV可以包含在該下載中。裝置用戶端和網路管理實體可以同步,以產生相同的更新元件映像,以使更新的TRV與經更新的元件映像的散列相匹配。裝置管理用戶端可以管理已有代碼映像,以確保整個映像的完整性不變。
詢問處理有可能會修改網路所具有的所報告的故障的功能列表的版本,而這可以被回饋給網路驗證、驗證及/或閘道實體,以修改裝置上的網路存取控制。
該詢問處理可以使用迭代量度方法來隔離元件故障,由此網路管理實體和裝置可以漸進式地產生量度,從而窄化指示故障的這些子區
段上的映射的視野。該方法可以減小用於給定解析度的量度值的數量,由此允許記憶體受限裝置的量度與解析度之間的折衷。舉例來說,在第14圖中示出了這種詢問處理的一個例示實施例。如第14圖所示,在元件1402中有可能發現故障,並且整體量度值1404可以與整個元件1402相關聯。在發現元件1402中的故障之後,裝置和網路可以執行詢問,並且基於該詢問,裝置可以在元件1402上執行第一量度迭代。例如,在第一量度迭代中,裝置可以在元件1402的子區段1406和子區段1408上執行獨立的量度。由此,裝置可以確定子區段1406通過了完整性檢查,而子區段1408則包含完整性故障原因。這一點可以用關聯於子區段1406的量度值1以及關聯於子區段1408的量度值2來指示。由於子區段1408仍未通過完整性檢查,因此,整體量度值1404仍舊可以指示元件1402包含完整性故障。
雖然將完整性故障窄化到了子區段1408,但是裝置和網路可以執行附加詢問程序來漸進式地產生用於修復的粒度逐漸精細的量度。作為詢問結果,裝置可以在元件1402上執行第二次量度迭代。如第14圖所示,第二次量度迭代可以在子區段1408上執行,這是因為這個子區段是被確定為完整性故障原因的子區段。裝置可以在第二次迭代中對子區段1410和1412執行獨立量度,這樣做分別可以產生量度值3和量度值4。子區段1410和1412可以是子區段1408的子區段。量度值3可以指示子區段1408的子區段1410通過了完整性檢查。然而,量度值4可以指示子區段1412未通過完整性檢查,並且包含了元件1402的完整檢查故障的原因。
雖然將完整性故障窄化到了子區段1412,但是裝置和網路可以執行附加詢問程序來漸進式地產生用於修復的粒度逐漸精細的量度。例如,裝置可以執行第三次量度迭代。第三次量度迭代可以在子區段1412
上執行,這是因為子區段1412是在第二次量度迭代之後被確定為完整性故障原因的子區段。如第14圖所示,裝置可以在子區段1414和1416上執行獨立量度。該裝置可以確定子區段1414包含了完整性故障的原因。舉例來說,這一點可以用量度值5來指示。在第三次量度迭代之後,由於與包含完整性故障原因的元件1402的細粒度子區段相對應,與子區段1414相關聯的功能可被發送至網路。作為詢問結果,網路可以確定能被定位至子區段1414的修復補丁(例如替換或修復子區段),並且將該修復補丁發送至裝置,以替換或修復子區段1414。雖然第14圖示出了由於網路與裝置之間的詢問結果而在裝置上執行的三次量度迭代,但是任一數量的量度迭代都可以執行,以隔離包含完整性故障的元件部分。在一個例示實施例中,迭代次數是以服務提供者為基礎的。在另一個例示實施例中,裝置管理伺服器保持了與不同標準相對應的故障資料庫,其中該標準包括裝置識別和軟體版本號碼。舉例來說,故障資訊可以允許裝置管理伺服器評定詢問策略。
在對比諸如樹的完全產生之類的其他演算法來確定這種漸進式方法的值的過程中,關於網路通訊成本、量度計算以及用於量度計算的值的負載之間的比較是可以加權的。
在漸進式方法中,量度可以是在窄化故障欄位的時候取得。代碼/資料可以被重複量度。可以使用混合方法來減少有可能被再次量度的代碼/資料總量,其中舉例來說,該代碼/資料初始可以將映像分割為某個最佳數量的子區段。藉由用某個因數對映像進行劃分,可以以漸進地方式進一步解析故障的一個或多個區段。該因數可以是依照迭代確定的,並且是以其他時間延遲以及性能考慮因素為基礎的,由此通過在網路上使用最小頻寬和最小功率消耗,最佳化故障隔離以及確定的速率。為了加快故障隔
離處理,網路可以在用於指定元件故障的散列樹之類的資料結構中預先產生一組預期散列,以及向裝置發送這個子TRV量度樹。這樣做可以允許裝置在這種漸進方法中進行比較,直至達到樹的最高解析度。網路可以確定是否需要更大的解析度來最佳化修復程序(例如基於需要被校正的裝置的數量)。如果需要更大的解析度,那麼網路可以產生和發送始於更精確的位置的新樹,或者可以交互執行該比較。
對於軟體或資料更新來說,軟體管理伺服器可以對檔案中的簡單的二進位差異執行代碼/資料更新,以執行更新。裝置管理用戶端可以接收二進位更新,並且對完整的代碼映像進行修改來確保其完整性。相同的二進位差異原理可以擴展至包含用於軟體管理實體的詢問技術,從而減少軟體更新期間的訊務量。換言之,軟體更新程序可以包括這裏描述的很多相同的修復技術,其中包括二元樹搜尋。
第15圖示出的是與困擾警報以及單體代碼替換有關的例示呼叫流程圖。雖然該呼叫流程是用H(e)NB描述的,但是其他網路裝置也是可以使用的。該呼叫流程序列可以包括這裏描述的一個或多個步驟。舉例來說,如第15圖所示,在1512,H(e)NB 1502可以執行一個安全引導序列。在完整性檢查階段1514,H(e)NB 1502有可能在用於操作的代碼中發現完整性故障,由此,H(e)NB 1502的TrE不會提供用於SeGW 1504驗證的私鑰。然而,TrE有可能認定H(e)NB 1502通過了H(e)MS 1506操作。例如,H(e)NB 1502能夠向H(e)MS 1506發送警報、及/或可以將用於H(e)MS 1506驗證的私鑰提供給H(e)NB 1502能夠實施的程序。在1516,H(e)MS 1506可以與H(e)NB 1502建立IP連接(例如SSL/TLS啟動)。在1518,H(e)NB 1502可以向H(e)MS 1506警告完整性故障。例如,H(e)MS 1506可以從
H(e)NB 1502接收困擾警報,並且在1520向軟體修復實體1510發送代碼修復請求(例如用於重新載入或更新)。在1522,軟體修復實體1510可以執行軟體建構處理。在1524,軟體修復實體1510可以向H(e)MS 1506提供單體元件替換。例如,軟體修復實體1510可以向H(e)MS 1506提供一個單體修復映像。H(e)MS 1506可以與H(e)NB 1502建立安全連接。例如,在1526,H(e)MS 1506可以與H(e)NB 1502建立安全的IP連接(例如經由SSL/TLS啟動)。該H(e)NB 1502和H(e)MS 1506可以執行驗證來允許用於修復H(e)NB 1502的軟體/韌體下載。在1528,H(e)MS 1506可以更新H(e)NB 1502的軟體/韌體、並且可以重新引導H(e)NB 1502。在1530,H(e)NB 1502可以重新引導及/或重新啟動完整性檢查。
第16圖示出的是與遠端軟體困擾/修復有關的例示呼叫流程圖,其中H(e)NB 1602向H(e)MS 1606告知困擾。該呼叫流程序列可以包括這裏描述的一個或多個步驟。此外,雖然該呼叫流程是用H(e)NB描述的,但是其他網路裝置也是可以使用的。如第16圖所示,在1612,H(e)NB 1602可以執行一個安全引導序列。在1614的完整性檢查階段期間,H(e)NB 1602的TrE有可能在用於正常操作的代碼中發現了故障,由此,H(e)NB 1602的TrE不會提供用於SeGW 1604驗證的私鑰。然而,TrE有可能認定H(e)NB 1602能夠安全地連接到H(e)MS 1606,因此,TrE可以將用於H(e)MS 1606驗證的私鑰提供給H(e)NB 1602能夠實施的程序。H(e)NB 1602不能(或者在一些故障中不能)嘗試與SeGW 1604進行驗證。在1616,H(e)NB 1602可以與H(e)MS 1606建立IP連接(例如安全的SSL/TLS對話)。在1618,H(e)NB 1602可以向H(e)MS 1606警告H(e)NB 1602的完整性檢查狀態(例如完整性故障)。例如,H(e)MS 1606可以藉由驗證或是藉由對帶有TrE簽
名的完整性狀態酬載資訊的簽名核實來核實H(e)NB 1602的完整性資訊的真實性。如果完整性檢查狀態表明在H(e)NB 1602上存在完整性故障,那麼H(e)MS 1606可以在1620確定用於所指示的故障的軟體修復。該軟體修復可以包括更進一步地詢問完整性故障。例如,在1622,H(e)MS 1606可以診斷及/或詢問H(e)NB 1602。該H(e)MS 1606可以詳細確定故障原因(例如位置),並且在1624,H(e)MS 1606可以向軟體修復實體1610發送用於重新載入或更新的代碼修復請求。在1626,軟體修復實體1610可以執行軟體建構,並且向H(e)MS 1606發送軟體修復資訊。例如,該軟體修復資訊可以包括修復映像。在1630,H(e)MS 1606可以與H(e)NB 1602建立安全連接(例如經由IP連接)。H(e)NB 1602和H(e)MS 1606可以進行驗證來允許用於修復H(e)NB 1602的軟體/韌體下載。在1632,H(e)MS 1606可以下載H(e)NB 1602的軟體/韌體、及/或重新啟動H(e)NB 1602。在1634,H(e)NB 1602可以執行安全的引導序列及/或重新啟動完整性檢查處理。在1636的完整性檢查階段期間,H(e)NB 1602的TrE有可能發現完整性檢查通過了用於SeGW 1604的操作,並且可以提供用於SeGW 1604驗證的私鑰。在1638,H(e)NB 1602和SeGW 1604可以相互驗證,並且在1640,SeGW 1604可以向H(e)NB 1602指示驗證成功。
第17圖示出的是與結合SeGW驗證嘗試的遠端軟體困擾/修復有關的例示呼叫流程圖。該呼叫流程序列可以包括這裏描述的一個或多個步驟。此外,雖然該呼叫流程是用H(e)NB描述的,但是其他網路裝置也是可以使用的。如第17圖所示,在1712,H(e)NB 1702可以執行安全引導序列。在1714的完整性檢查階段期間,H(e)NB 1702有可能在用於SeGW 1704操作的代碼中發現完整性故障,由此,H(e)NB 1702的TrE不會提供
用於SeGW 1704驗證的私鑰。然而,TrE有可能認定H(e)NB 1702能夠安全連接到H(e)MS 1706,並且可以將用於H(e)MS 1706驗證的一個或多個私鑰提供給H(e)NB 1702能夠實施的程序。例如,在1716,H(e)NB 1702可以藉由使用IKEv 2協定來嘗試向SeGW 1704進行驗證,但是有可能會失敗(例如因為私有驗證密鑰不可用)。在1718,H(e)NB 1702可被提供一個表明與SeGW 1704的驗證已經失敗的指示。在1720,H(e)NB 1702可以與H(e)MS 1706建立安全的IP連接(例如經由SSL/TLS啟動)。例如,該安全的IP連接可以基於H(e)NB 1702與SeGW 1704之間的失敗的驗證嘗試來建立。在1722,H(e)NB 1702可以向H(e)MS 1706警告H(e)NB 1702的完整性檢查狀態(例如完整性成功或失敗)。H(e)MS 1706可以藉由驗證或者藉由對帶有TrE簽名的完整性狀態酬載資訊執行簽名核實來核實H(e)NB 1702的完整性資訊的真實性。如果完整性檢查狀態指示在H(e)NB 1702上存在元件的完整性故障,那麼在1724,H(e)MS 1706可以確定用於所指示的故障的軟體修復。該軟體修復可以包括更進一步地詢問完整性故障。例如,在1726,H(e)MS 1706可以診斷及/或詢問H(e)NB 1702。該H(e)MS 1706可以詳細確定故障原因、並且在1728向軟體修復實體1710發送代碼修復請求(例如用於重新載入或更新)。軟體修復實體1710可以在1730執行軟體建構、並且在1732向H(e)MS 1706提供軟體修復(例如修復映像)。在1734,H(e)MS 1706可以與H(e)NB 1702建立安全的IP連接(例如SSL/TLS啟動)。H(e)NB 1702和H(e)MS 1706可以進行驗證來允許用於修復H(e)NB 1702的軟體/韌體下載。在1736,H(e)MS 1706可以下載H(e)NB 1702的軟體/韌體、並且重新啟動H(e)NB 1702。在1738,H(e)NB 1702可以執行安全引導序列及/或重新啟動完整性檢查。在1740的完整性檢查階段期間,
H(e)NB 1702可以發現通過了完整性檢查、並且提供用於SeGW 1704驗證的私鑰。在1742,H(e)NB 1702和SeGW 1704可以相互驗證,並且在1744,SeGW 1704可以指示驗證成功。
第18A圖示出的是與遠端軟體困擾/修復有關的例示呼叫流程圖,其中網路可以禁止經由SeGW進行驗證。該呼叫流程序列可以包括這裏描述的一個或多個步驟。此外,雖然該呼叫流程是用H(e)NB描述的,但是其他網路裝置也是可以使用的。如第18A圖所示,在1812,H(e)NB 1802可以執行安全的引導序列。在1814的完整性檢查階段期間,H(e)NB 1802可能發現用於操作的代碼中的故障,因此,H(e)NB 1802的TrE不會提供用於SeGW 1804驗證的私鑰。然而,TrE有可能認定H(e)NB 1802能夠安全連接到H(e)MS 1806,由此將用於H(e)MS 1806驗證的一個或多個密鑰提供給H(e)NB 1802能夠實施的程序。在1816,H(e)NB 1802可以嘗試向SeGW 1804進行驗證(例如使用IKEv2協定),但是有可能失敗(例如因為私鑰不可用)。H(e)NB 1802可以在驗證嘗試期間提供關於H(e)NB 1802的完整性且帶有TrE簽名的資訊。在1818,SeGW 1804可以將完整性資訊(例如故障報告)轉發給網路驗證實體1808。網路驗證實體1808可以基於其接收的資訊來確定禁止一些通過SeGW 1804的H(e)NB 1802的訊務、並且可以在1820發送表明將一些或所有H(e)NB 1802的訊務限制到於H(e)MS 1806的細粒度存取決定。在1822a,SeGW 1804可以發送一個關於驗證失敗的指示。在1824,出於修復目的,網路驗證實體1808可以向H(e)MS 1806發送H(e)NB 1802的完整性資訊。在1826,H(e)MS 1806可以與H(e)NB 1802建立安全IP連接(例如經由SSL/TLS啟動)。在1828,舉例來說,H(e)MS 1806可以基於驗證失敗而確定執行軟體修復。在1830,H(e)NB 1802和H(e)MS
1806可以進行驗證來允許H(e)MS 1806實施的診斷和詢問。在1832,H(e)MS 1806可以詳細確定故障原因、並且向軟體修復實體1810發送代碼修復請求(例如用於重新載入或更新)。在1834,軟體修復實體1810可以執行軟體建構,以便為H(e)NB 1802建構替換軟體元件(或是其一部分)。在1836,軟體修復實體1810可以向H(e)MS 1806提供軟體修復資訊(例如修復映像)。在1838,H(e)MS 1806可以與H(e)NB 1802建立安全的IP連接(例如經由SSL/TLS啟動)。H(e)NB 1802和H(e)MS 1806可以進行驗證來允許用於修復H(e)NB 1802的軟體/韌體下載。在1840,H(e)MS 1806可以下載H(e)NB 1802的軟體/韌體。在1842,H(e)NB 1802可以重新引導及/或載入並運行所下載的代碼。
第18B圖示出的是涉及與即時受限存取及精細存取控制結合的遠端軟體困擾/修復的例示呼叫流程圖。雖然該呼叫流程是用H(e)NB描述的,但是其他網路裝置也是可以使用的。第18B圖的呼叫流程序列可以包括許多步驟,這些步驟與第18A圖示出的呼叫流程是相同或相似。然而如第18B圖所示,H(e)NB 1802與SeGW 1804驗證可以成功,但是SeGW 1804有可能限制存取H(e)NB 1802。例如,在1814的完整性檢查階段期間,H(e)NB 1802可能發現用於操作的代碼中的故障,因此,H(e)NB 1802的TrE不會提供用於SeGW 1804驗證的私鑰。然而,TrE有可能認定H(e)NB 1802能夠安全連接到H(e)MS 1806,由此將用於H(e)MS 1806驗證的一個或多個私鑰提供給H(e)NB 1802能夠實施的程序。在1816,H(e)NB 1802可以嘗試向SeGW 1804進行驗證(例如使用IKEv2協定)。H(e)NB 1802可以在驗證嘗試期間提供關於H(e)NB 1802的完整性且帶有TrE簽名的資訊。在1818,SeGW 1804可以將完整性資訊轉發給網路驗證實體1808。網路驗證
實體1808可以基於接收到的資訊來決定驗證H(e)NB 1802的存取,並且可以將此發送給SeGW 1804。SeGW 1804可以以來自網路驗證實體1808的資訊為基礎來驗證H(e)NB 1802,但是有可能限制H(e)NB 1802的存取。在1822b,SeGW 1804可以向H(e)NB 1802發送表明驗證成功但是SeGW 1804存取受限的指示。在第18B圖的協定流程中示出的剩餘步驟與第18A圖的協定中示出的步驟可以是相同或相似。
第19圖示出的是涉及與SeGW存取結合的H(e)NB軟體元件修復的例示呼叫流程圖。該呼叫流程序列可以包括這裏描述的一個或多個步驟。此外,雖然該呼叫流程是用H(e)NB描述的,但是其他網路裝置也是可以使用的。如第19圖所示,在1912,H(e)NB 1902可以執行安全引導序列。在1914的完整性檢查階段期間,H(e)NB 1902未能發現裝置代碼中的故障,但是有可能在映像中發現了故障、遺漏元件或配置缺失。H(e)NB 1902的TrE可以提供用於SeGW 1904驗證的私鑰。例如,在1916,H(e)NB 1902可以向SeGW 1904發送包含該私鑰的狀態報告(例如使用IKE)。在1918,SeGW 1904可以將完整性資訊轉發給網路驗證實體1908。網路驗證實體1908可以基於接收到的資訊來決定驗證H(e)NB 1902的存取,並且可以將此發送給SeGW 1904。舉例來說,在1920,網路驗證實體1908可以根據操作者策略而向SeGW 1904發送細粒度的存取決定。基於網路驗證資訊,SeGW 1904可以驗證H(e)NB 1902、及/或根據操作者策略來設定存取許可。在1922,SeGW 1904可以向H(e)NB 1902發送驗證成功的指示。在1924,網路驗證實體1908可以向H(e)MS 1906發送H(e)NB完整性資訊。例如,該完整性資訊可以是出於重新配置的目的而被發送的。在1926,H(e)MS 1906可以確定可用於修復故障的修復資訊(例如軟體/參數),並且
可以在1928向軟體修復實體1910發送修復請求(例如用於重新載入或更新)。在1930,軟體修復實體1910可以執行軟體建構,以便為H(e)NB 1902建構替換軟體元件(例如,或其一部分)。在1932,軟體修復實體1910可以向H(e)MS 1906提供修復資訊(例如修復映像及/或軟體/配置更新)。在1934,H(e)MS 1906可以將修復資訊轉發給SeGW 1904。在1936,SeGW 1904和H(e)NB 1902可以執行驗證並建立安全的IP連接(例如使用IKEv2或IPsec)。在1938,SeGW 1904可以將修復資訊(例如修復映像或軟體/韌體更新)下載到H(e)NB 1902。舉例來說,SeGW 1904可以發送關於故障的非重要軟體/參數的更新(例如IKE及/或IPsec更新)。
裝置有可能同時具有舊有和先進能力。用於舊有能力的網路服務通常是可用的。用於先進能力的網路服務則有可能會很稀少及/或沒有得到全面支援。為了減輕部署問題,操作者可以平衡舊有能力,以緩慢進入到先進能力。這種平衡可以採用這裏描述的方式使用。例如,裝置可以在某個位置作為舊有裝置連結於網路。網路可以驗證裝置,並且在其訂閱中認定該裝置可能具有先進能力及/或能夠安全地支援先進能力。如果用於該位置的網路支援先進能力,那麼網路管理實體可以為該裝置存取點提供針對更新伺服器的細粒度存取。裝置可以經由舊有存取點來存取更新伺服器。在一些實施方式中,裝置訂閱可以限制對高階特徵而不是舊有服務的存取,因此,存取點通常有可能限制裝置對於更新伺服器而不是舊有網路的存取。該更新伺服器和裝置可以相互驗證。更新伺服器可以(例如經由驗證隱性或顯性地)驗證裝置的先進能力,及/或為裝置提供存取證書、配置資訊、存取點位址及/或代碼,以允許裝置作為新類型裝置來直接重連。裝置可能具有產生用於網路存取驗證的共享或非對稱密鑰對的能力。網路
可以使用新的裝置證書來更新裝置訂閱資料庫。裝置可具有將用於先進網路位置的存取證書引入受保護區域的能力。線上證書產生可以允許未來針對先進網路且經過預先驗證的連接。網路可以向先進網路的存取點(這些支援先進能力)告知具有某些證書的裝置可連結在先進網路上。裝置可以使用經過更新的證書來存取先進網路。先進網路實體則可以將裝置作為先進裝置來驗證。
用於管理驗證的程序至少具有兩個階段。一個可以是用於配置,另一個則是用於修復。對於配置來說,網路管理實體可以驗證中繼節點作為確信安裝用於與操作者的核心網路的後續驗證程序的操作者證書的裝置的能力。該中繼點可以經由使用了平臺驗證的自發平臺驗證手段來向網路實體提供隱性證明。管理實體可以經由驗證該裝置及/或核實RN製造者證書來瞭解RN完整性沒有受損(因為自發驗證可在裝置完整性的內部核實成功的時候放出私有驗證密鑰)。
對於修復來說,由於某些不重要的故障已經導致整個裝置的完整性檢查失敗,因此,RN可以與管理實體執行遠端修復程序。在這種情況下,如果RN的管理能力無損,那麼RN可以向管理實體發送用於驗證目的的管理能力證書,而不是整個裝置的完整性證書。網路管理實體可以驗證裝置並核實證書。一旦成功,則網路管理實體可以執行遠端程序來自舉中繼點的能力。
在初始範圍受限的情況下,可使用後一個程序來自舉RN的能力。在這種情況下,第一個證書可以代表與管理實體一起執行基本操作的能力。第二個證書可以代表與管理實體一起執行更廣泛的操作的能力。在這種情況下,中繼點不能以功能提升的範圍來偵測完整性故障。完整性
檢查範圍還可以藉由提供用以適應增強功能的附加更新策略來提升。這樣一來,裝置的能力可以與完整性檢查的程度一起增長。
該技術通常可以應用於安全閘道驗證。在針對核心網路的閘道驗證中可以使用代表裝置受限範圍的證書,以使網路能在驗證期間確定驗證許可權。閘道(例如H(e)NB驗證中的SeGW或是用於RN驗證的DeNB)可以驗證裝置並核實證書。基於證書資訊以及對於特定裝置身份的成功驗證,閘道可以限制那些出於修復或註冊目的而對網路管理實體進行的存取。一旦已成功配置、更新及/或修復了中繼點,則可以使驗證密鑰可用於基於驗證的增強。
第20圖示出的是有關中繼節點能力自舉的例示呼叫流程圖。該呼叫流程序列可以包括這裏描述的一個或多個步驟。舉例來說,如第20圖所示,在2014,中繼節點(RN)2002可以執行安全引導序列。在2016,RN 2002可以建立安全環境及/或執行自發驗證。在自發驗證期間,RN 2002沒能發現故障。在2018,RN 2002可以例如作為UE以經由eNB 2004連結於網路,例如連結在MME/HSS 2012上。在2020,MME 2012可以將RN 2002的受限存取分派給註冊伺服器2008。如第20圖所示,該受限存取可以是經由eNB 2004分派的。RN 2002和註冊伺服器2008可以相互驗證。在2022,RN 2002可以向註冊伺服器2008發送註冊請求。在2024,註冊伺服器2008可以驗證RN 2002、配置RN 2002及/或向RN 2002發行證書。註冊伺服器2008可以經由RN 2002的私有註冊伺服器驗證密鑰的使用的RN 2002安全環境釋放來隱性驗證RN 2002、或者註冊伺服器2008也可以藉由詢問RN報告來驗證RN 2002。註冊伺服器2008可以配置用於DeNB 2006連結的已驗證RN 2002,並且可以發行證書。註冊伺服器2008
可以更新裝置上的RN策略,以繞過未來的重新引導中的註冊步驟,以及將註冊資訊包含在自發驗證處理中(例如添加涵蓋了註冊資訊的TRV)。在RN 2002上可以安裝新的私鑰,或者可以在此階段啟動新的私鑰。RN 2002可以具有密鑰產生能力,在這種情況下,在RN 2002上可以產生密鑰對。RN 2002可以在其安全環境中安裝私鑰,並且可以將這個密鑰版本綁定到註冊配置以及低階安全引導階段。在2026,註冊伺服器2008可以向中繼節點2002指示註冊已經完成。在2028,RN 2002可以作為RN以經由DeNB 2006連結於網路。在2030,MME 2012可以經由DeNB 2006來將RN 2002的受限存取指定給配置伺服器2010。在2032,RN 2002可以向配置伺服器2010發送RN配置請求。在2034,配置伺服器2010可以驗證RN 2002、配置RN 2002及/或向RN 2002發行證書。例如,配置伺服器2010可以配置用於操作的已驗證RN 2002,並且可以發行證書。配置伺服器2010可以更新裝置上的RN策略,以繞過未來的重新引導的配置步驟,以及將配置資訊包含在自發驗證處理中(例如添加涵蓋了配置資訊的TRV)。在此階段可以安裝或者啟動用於DeNB 2006驗證的新私鑰。在2036,配置伺服器2010可以向RN 2002指示配置完成。在2038,RN 2002可以與DeNB 2006發起S1建立。在2040,RN 2002可以與DeNB 2006發起X2建立。在2042,RN 2002可以作為中繼節點操作。
在2044,在RN 2002上有可能發生重置。例如,此重置可由網路、裝置或停電引發的。在2046,RN 2002可以執行安全的引導序列。在2048,在建立安全環境及/或自發驗證期間,RN 2002未能發現故障。由於註冊伺服器2008的資訊及/或配置伺服器2010的資訊可以包含在2048的自發驗證過程中,因此,RN 2002可以繼續在2050和2052分別建立S1
和X2介面,而不需要與伺服器耦接。在2054,RN 2002也可以作為RN操作。如果註冊伺服器資訊或配置伺服器資訊出現故障,那麼策略可以或者不可以允許私有驗證密鑰釋放或是後續網路處理的執行,直至重新配置。
第21圖示出的是與使用了已驗證管理能力的中繼節點修復有關的例示呼叫流程圖。該呼叫流程序列可以包括這裏描述的一個或多個步驟。舉例來說,如第21圖所示,在2114,中繼節點(RN)2102可以執行安全引導序列。在2116,RN 2102可以建立安全環境及/或執行自發驗證。在2116的自發驗證期間,RN 2102可以發現裝置的非重要元件的故障。在2118,RN 2102可以作為UE以經由eNB 2104連結於網路(例如MME/HSS 2112)。在2120,MME 2112可以將RN 2102的受限存取分派給註冊伺服器2106及/或修復伺服器2110。例如,MME 2112可以經由eNB 2104來指定受限存取。RN 2102和修復伺服器2110可以相互驗證。在2122,RN 2102可以向修復伺服器2110發送警報(例如修復請求)。在2124,修復伺服器2110可以隱性地經由對RN 2102的私有修復伺服器驗證密鑰的使用的RN 2102安全環境釋放來驗證RN管理能力,及/或修復伺服器2110可以藉由詢問一個或多個RN 2102完整性狀態報告來驗證RN 2102。在2126,RN 2102和修復伺服器2110可以(可選地)執行關於RN 2102的詢問。在2128,修復伺服器2110可以修復(例如重新配置,修復或重新編程)RN 2102,並且在2130向RN 2102發送用於修復故障的修復資訊。
在2132,修復伺服器2110可以遠端命令RN 2102安全地重新引導,或者由於RN 2102已經執行了通電階段中的第一階段、並且用於平臺驗證而不僅僅例如是管理驗證的裝置完整性檢查現在取得成功,RN 2102可以直接前進至RN 2102通電序列中的下一個步驟。例如,在2134,
RN 2102可以建立安全環境及/或執行自發驗證。在2136,RN 2102可以作為UE以經由eNB 2104連結於網路(例如MME/HSS 2112)。在2138,MME 2112可以將RN 2102的受限存取指定給註冊伺服器2106及/或修復伺服器2110。在2140,RN 2102可以向註冊伺服器2106產生註冊請求。在2142,註冊伺服器2106可以驗證RN 2102、配置RN 2102及/或向RN 2102發行證書。在2144,該註冊伺服器2106可以向RN 2102指示註冊完成。
這裏描述的用於完整性檢查、報告和修復的程序、系統和手段未必限於這裏描述的軟體故障、TR-069,軟體修復、H(e)NB等等。更進一步,所描述的動作是例示性的。應該理解的是,其他動作也是可以使用的,在不使用的情況下是可以省略的,及/或操作是可以添加的。
在一些實施方式中,故障未必是針對軟體的,而是針對裝置上的配置資料或其他某些可量度的元件。在該實施方式中,舉例來說,管理實體接收的更新未必來自軟體修復實體,而是來自網路裝置配置資料庫。並且不是所有故障情景都可以使用詢問程序。在這些情況中,作為來自裝置的警報或報告所發送的資訊起初足以確定故障原因,或者至少足以確定可以執行的某種動作,藉此管理實體可以在沒有詢問的情況下發起修復程序。舉個例子,管理實體可以從類似裝置的先前故障中識別出故障的元件量度,由此立即向裝置提交更新。詢問與更新之間的時間和訊務負載的折衷有可能是因為很小的元件造成的,並且這種折衷可以觸發整個元件更新。
在以下示例中描述了裝置架構和修復更新程序。該例示裝置架構和修復更新程序可以與複雜度和資源有限的小型裝置一起使用。在這裏描述的是與本示例相關聯的限制。例如,就開發及/或部署生命週期以及
其操作而言,裝置的應用代碼庫和可信代碼庫可以是獨立的。這兩個代碼庫可以是由獨立的各方開發及/或部署的。可以提供裝置的生產功能的裝置應用代碼庫可以作為單一代碼和資料塊而被部署到裝置的非揮發記憶體的某個部分。在修復過程中可以最低限度地涉及應用代碼庫,及/或在完整性驗證中可不涉及所述應用代碼庫。服務週期(例如裝置代碼庫一部分的更新之間可供裝置應用使用的可使用時間)有可能很長。舉例來說,這意味著不能在任何時間不加區別地強制執行用於修復的重新引導。裝置的正常操作不能因為修復或裝置更新程序而被中斷。用於完整性驗證和修復的通訊可以在裝置啟動的較早階段進行,在此期間可以應用關於裝置內部資源使用和通訊頻寬的嚴格限制。從可以載入並且隨後逐一啟動元件(例如程式和資料)的典型的引導循環的意義上講,複雜的系統啟動未必是存在的。
例示的系統模型可以被描述為是在考慮了上述限制的情況下將系統拆分成TrE和正常元件的一般形式。系統架構的功能元件可以包括下列各項中的一項或多項:RoT(可信根),其可以是裝置完整性驗證在信任鏈中依靠的不變要素;SEE(安全的執行環境),其可以是對可執行代碼和資料進行硬體及/或軟體保護並且與系統的剩餘部分隔離的特殊的執行環境。一種可能的實現方式可以是處理器或是處理器中的單一核心的安全執行模式。對於SEE的限制可以包括對運行時間記憶體以及可用的(專為SEE所有)非揮發記憶體(NVS)的限制;通訊IF(通訊介面)元件,其可以將基本通訊能力暴露給SEE及/或NEE;及/或
NEE(正常執行環境),其可以是裝置中的應用代碼的執行環境,其中舉例來說,該應用代碼可以是不屬於TrE的代碼。NEE可以具有與SEE能力介面連接(例如與通訊IF介面連接)的某些介面以重新使用此通訊能力的介面。
這些功能元件可以供包含裝置的能力和元件的若干代碼庫使用。該代碼庫可以分成TrECB(TrE代碼庫)和DACB(裝置應用代碼庫)。TrECB可被分配給SEE,而DACB則可以被分配給NEE。如果DACB元件將要存取TrE的能力,那麼該存取可以經由所述及的NEE與SEE之間的介面執行。在諸如安全啟動之後之類的從SEE到NEE的運行時間是沒有執行控制的,反之亦然。TrECB和DACB可以儲存在NVS的單獨的部分。
第22圖示出的是具有功能元件2202(左手側)和代碼/資料儲存元件2204(右手側)的例示系統。功能元件2202可以包括NEE 2206和SEE 2208。SEE 2208可以包括通訊介面2210及/或ROT 2212。代碼/資料儲存元件2204可以包括NVS元件。NVS元件TRV_tmp 2214可以包括與NEE 2206相關聯的TRV。NVS元件DACB 2216可以包括DACB。NVS元件TRV NVS 2218可以包括與SEE 2208相關聯的TRV。NVS元件TrECB NVS 2220可以包括TrECB。不同的安全措施可以單獨應用於NVS元件。這裏的箭頭可以指示第22圖所示實體之間的讀/寫存取。TrECB NVS 2220可以提供不同的能力,例如完整性驗證能力(IVC)、裝置的一般通訊能力(DGC)、後降/困擾能力(FB/DC)以及修復能力(RC)。在這裏對照第22圖和第23圖論述了這些能力。
如第22圖所示,NEE 2206可以與SEE 2208通訊(例如從SEE 2208讀取及/或寫入SEE 2208)。SEE 2208可以使用通訊介面2210來
進行通訊。該SEE 2208可以使用ROT 2212來與代碼/資料儲存元件一起執行完整性驗證。NEE 2206可以寫入NVS元件2214,以及讀取NVS元件2216。SEE 2208可以讀取NVS元件2214。該SEE 2208還可以讀取和寫入NVS元件2216、2218和2220。
第23圖示出的是引導序列的階段以及在每個階段實施的不同實體間的交互作用的例示流程圖。如第23圖所示,在引導序列中可以實施NEE 2206和SEE 2208。SEE 2208可用於引導序列的第一和第二階段。第一階段可以合併ROT 2212。第二階段可以合併TrECB NVS 2220,該TrECB NVS 2220可以包括完整性驗證能力(IVC)2318、裝置的一般通訊能力(DGC)2314、後降/困擾能力(FB/DC)2320、修復能力(RC)2324及/或TRV 2326。IVC 2318可被指定獲取元件量度以及將元件量度與TRV 2326之類的TRV中包含的參考值進行比較的任務。DGC 2314可以向SEE 2208提供基本的通訊功能(該功能轉而可以暴露於NEE 2206)。該DGC 2314可用於FB/DC 2320和RC 2324實施的修復及/或困擾指示。DGC 2314同樣可以經由介面暴露於DAC 2322。FB/DC 2320可以在滿足某些條件的情況下被啟動,以執行相關功能,即分別使用後降代碼庫來替換DACB 2216,由此向網路或裝置用戶指示困擾狀態。RC 2324可以是被指定了關於代碼庫的計畫變更及/或校正的任務的機構。RC 2324也可以是TRV 2326的管理器,並且RC 2324能檢查TRV 2326的真實性。
NEE 2206可用於引導序列的第三階段。第三階段可以合併DACB 2216,其中該DACB包括修復應用IF(RAIF)2316及/或裝置應用能力(DAC)2322。RAIF 2316可以是用於來自網路的到來的新TRV的傳遞介面。RAIF 2316可以識別到來的通訊中的TRV,並且將其儲存在TRV
臨時非揮發記憶體中。DAC 2322可以實現裝置的應用專用功能。如果DAC想要使用來自通訊IF的通訊能力,那麼對其進行的存取可以經由特定的NEE-SEE IF來傳達。
TRV 2326可以儲存在系統中的兩個不同位置。TRV_tmp 2214可以是用於RAIF 2316接收的新TRV的臨時記憶體,例如,TRV_tmp 2214可從NEE 2206被寫入。TRV_tmp可從SEE 2208被讀取,並且RC 2324可以從中讀取新的TRV,以及在對其進行了驗證之後將其置入TRV NVS 2218。
第23圖所示的啟動序列可以與簡化系統架構中帶有完整性檢查的正常啟動有關,例如,沒有出現有可能需要困擾/後降或修復動作的故障狀況的啟動處理。在安全啟動中的第一個階段,RoT 2212可被啟動。與先前描述的安全啟動的第二階段不同,RoT 2212可不核實並且啟動隨後可對已載入和啟動的元件執行進一步的完整性檢查的可信根載入器。這種載入器/執行控制器可能不能在簡化的系統架構中使用。取而代之的是,RoT 2212可以在TrECB NVS 2220中檢查IVC 2318的代碼和資料塊。在該架構中,由於RoT 2212不具有讀取TRV 2326的能力,因此,IVC 2318的代碼有可能是不變的。由此,其可以對照固定的內置(在RoT 2212中)參考值來檢查IVC 2318。
在一個實施例中,RoT 2212可以使用固定的根證書來檢查IVC 2318的代碼和資料塊。為此,TrECB NVS 2220的IVC 2318部分可以與TrECB NVS 2220中的後一個IVC 2318部分上的簽名一起儲存。RoT 2212用以檢查簽名的密鑰可以處於所述的固定根證書中。藉由下載新的IVC 2318代碼以及使用相同固定密鑰的新代碼的新簽名,並且將後一個資料儲
存在TrECb NVS 2220中,可以實施IVC 2318的代碼變化。IVC 2318可以在SEE 2208內部執行。IVC 2318可以檢查出TRV_tmp NVS 2214為空(這可以是為簡化系統架構中帶有完整性檢查的正常啟動假設的)。IVC 2318可以從TRV NVS 2218中載入用於DGC 2314的代碼的指定TRV。
IVC 2318可以藉由核實TRV參考值以及任何附加資料上的簽名來檢查TRV 2326中的每一個被載入TRV的完整性。該簽名可以處於TRV中,而IVC 2318用以檢查簽名的密鑰則處於IVC 2318代碼/資料塊中。然後,IVC 2318可以量度從TrECB NVS 2220載入到SEE 2208的DGC 2314代碼,並且將該量度與後一個TRV中的參考值進行比較。一旦成功,則可以啟動DGC 2314。啟動意味著DGC 2314可用於執行,其中舉例來說,該DGC是在假設SEE 2208的處理器和NEE 2206的處理器在檢查NEE 2206代碼時會遵守在DGC 2314所處的SEE 2304的運行時間記憶體部分上設定的旗標“executable(可執行)”情況下藉由設定該旗標來執行的。
IVC 2318可以從TRV NVS 2218中載入為RAIF 2316的代碼指定的TRV。IVC 2318對從DACB NVS 2216載入到NEE 2206的RAIF 2316的代碼進行量度,並且將該量度與後一個TRV中包含的參考值進行比較。一旦成功,則可以啟動RAIF 2316。
IVC 2318可以載入與預定序列中的DACB 2216的一些部分相關聯的每一個TRV。IVC 2318可以量度由所載入的TRV指定並從DACB NVS 2216載入到NEE 2306的DAC 2322的代碼和資料的某些部分,並且將該量度與後一個TRV中包含的參考值進行比較。
當執行DACB 2216中的檢查時(例如藉由窮舉可用於DACB 2216代碼和資料的TRV序列),IVC 2318可以啟動DAC 2322,並
且將執行傳遞到NEE 2206的處理器(或者在SEE 2208和NEE 2206的處理器可以同時運行的時候啟動該處理器)。如果在啟動程序中沒有出現特殊狀況(例如完整性檢查故障),那麼可以既不檢查也不啟動FB/DC 2320和RC 2324的代碼和資料塊。
與諸如安全引導之類的更複雜系統中的安全啟動的差別可以包括:IVC 2318可以由TRV資料所驅動。換言之,TRV可以具有關於不同代碼庫的哪些代碼段和資料將被檢查的資訊。TRV 2326可以由IVC 2318依序讀取,其中該IVC 2318可以對其進行評估,以發現應用了TRV參考完整性值的代碼段和資料,以及讀取及/或量度此資料,並且將經過校對的量度與參考值進行比較。
由於單一TRV參考值可以對應於代碼庫中的多個代碼段和資料,因此,TRV可以包括映射,例如關於代碼庫中的這些段的位置和長度的指示符,以及如何將這些段的量度合併為混合量度值的規定。第24A和24B圖示出了將TRV映射至代碼庫中的代碼段及/或資料的例示實施方式。
第24A圖是顯示了可被線性組合以創建TRV的部分量度序列的圖示。如第24A圖所示,DACB的代碼量度2402、2404、2406、2408和2410可被線性組合,以創建TRV 2412。根據一個例示實施例,代碼量度2402、2404、2406、2408和2410可以藉由應用散列鏈來組合,其中該散列鏈是用TCG規定的可信平臺模組的TPM擴展命令實現的。
第24B圖示出的是使用Merkle散列樹來創建TRV的值的組合的圖示。如第24B圖所示,DACB的代碼量度2416、2418、2420、2422、2424和2426可以使用Merkle散列樹來組合,以創建TRV 2414。
在執行修復及/或更新的裝置與相應網路實體(例如H(e)MS)之間的交互詢問程序可以使用這裏描述的TRV-代碼/資料段映射。這裏描述的這些過程可以是這裏描述的通用裝置詢問程序的特例。
每一個代碼段都可被量度,並且該量度可被逐一發送到網路實體,在那裏其會與例如代碼段參考值的順序列表中的相應代碼段參考值比較,其中該TRV參考值是先前已經通過諸如散列鏈之類的某種方法而從該列表中計算的。
如果經由Merkle散列樹偵測到大量代碼段,那麼可以提高效率。這可以採用交互詢問程序以藉由遞減樹的等級來執行。在這裏,TRV中包含的參考值以及從代碼/資料中取出的量度值均可表示相同二元樹的根(在圖表理論上)。如果它們不匹配,那麼裝置可以將這兩個子節點值發送到網路實體,該網路實體則可以決定哪一個存在故障,例如不與網路已使用以建構TRV參考值(其可為該參考樹的根)的參考樹中的相同節點相匹配的子節點值。網路可以向裝置發送可以聲明哪個(些)分支不匹配的訊息。此程序可以重複進行,直至確定了存在參考(葉片)值不匹配的代碼段、構成量度樹葉片的量度值。
回過來參考第23圖,在這裏可以執行那些以用於裝置修復的TrECB 2220的能力為基礎的功能和程序。在一個實施例中,計畫代碼更新可以藉由在操作期間更新一個或多個TRV 2326以及在下一次啟動時執行實際代碼更新來執行。
以下涉及的是計畫進行的代碼更新。可以假設裝置已經執行了這裏描述的啟動處理。例如,RAIF 2316可以經由通訊IF 2210及/或DGC 2314接收來自H(e)MS之類的外部方的新TRV。RAIF 2316可以將新接收
的TRV儲存在TRV_tmp NVS 2214中。在以後的時間,裝置可以重啟。IVC 2318可被執行完整性檢查,並且在這裏描述的SEE 2208內部啟動。IVC 2318可以檢查並發現TRV_tmp NVS 2214非空,並且可以採用這裏描述的方式繼續前進。
TRV_tmp 2214可以具有單一新TRV。在第一個實施方式中,TRV_tmp中的新TRV可以是指DACB 2216中的代碼及/或資料。在第二個實施方式中,TRV_tmp中的新TRV可以是指TrECB 2220中的代碼及/或資料,例如DGC 2314、FB/DC 2320或RC 2324的代碼/資料。
在第一實施方式中,IVC 2318可以採用上述方式來核實TRV的真實性。一旦成功,則IVC 2318可以將新TRV儲存在TRV NVS 2218中。IVC 2318可以刪除TRV NVS 2218中的一個或多個舊TRV,其中該舊TRV可以視為被新TRV取代。如何確定這些棄用TRV可以取決於實施方式。唯一的識別符可以作為TRV中的附加資料的一部分分派給TRV。舉例來說,本段中描述的處理可被稱為TRV攝入。
IVC 2318可以量度從TrECB 2220 NVS載入到SEE 2208的DGC 2314的代碼,並且將該量度與後一個TRV中包含的參考值進行比較。一旦成功,則可以啟動DGC 2314。IVC 2318可以載入及/或核實來自TRV NVS的TRV 2326,並且可以為這其中的每一個的指定代碼段或資料執行IV;其中舉例來說,該IV是以RAIF 2316為開始並且前進至DACB 2216的其他部分。當在IV序列中遭遇到新攝入的TRV時,在DACB 2216的代碼和資料的指定部分上執行的IV必然失敗(例如,假設新TRV具有與被棄用的一個或多個TRV不同的參考值)。
IVC 2318可以從TRV NVS 2218中載入用於RC代碼的指定
TRV。然後,IVC 2318可以量度從TrECB 2220 NVS載入到SEE 2208的DGC 2314代碼,並且可以將該量度與後一個TRV中包含的參考值進行比較。一旦成功,則可以啟動RC。
藉由與H(e)MS之類的相應網路實體一起實施的詢問程序,RC 2324可以確定諸如導致完整性量度故障的代碼段及/或資料之類的需要更新的代碼段及/或資料,以重新產生新攝入的TRV的參考值。舉例來說,該詢問程序可以採用這裏描述的方式執行。
借助新的TRV,裝置也可以接收哪些部分的代碼及/或資料需要替換的詳細資料。這樣做可以避免RC 2324與網路之間的詢問程序。執行詢問可以將在裝置的正常操作期間下載用於裝置管理及/或修復的資料量減至最小。此外,執行詢問也可以允許裝置“遺漏”某些(一個,新的)TRV及/或為其指定的代碼段的某些中間更新的可能性。如果這種後續更新是累積的,那麼其往往會影響有可能在詢問程序中發現的更大數量的代碼段(但是不保證其處於僅限於最後一個TRV的更新所指定的代碼段列表,其中在對同一個TRV進行一系列更新之後,其可能已經被裝置遺漏)。
RC 2324可以下載所確定的代碼段及/或從相應網路實體所確定的資料。根據一個示例,網路實體可以編譯用TR-069簽名的資料封包及/或將其發送至裝置。RC 2324(或是IVC 2318)可以檢查接收資料的真實性,例如使用新攝入的TRV中的簽名證書、用於(例如由IVC 2318)檢查TRV 2326的根證書或是用於修復目的的專用證書(例如在RC 2324的代碼/資料庫中)來核實資料包簽名。
在驗證了已下載的代碼段及/或資料之後,RC 2324可以將其寫入DACB 2216 NVS中的先前確定的片段位置。DGC 2314可以將執行
返還給IVC 2318,該IVC 2318可以在同一個TRV上重新開始IV,舉例來說,該TRV可以是TRV序列中的新攝入的TRV。
上述程序可以是循環的。這種情況會因為至少兩個原因中的一個原因而出現。首先,攻擊者可以將不與TRV參考值一致的自己的代碼插入更新過程。此外,舉例來說,由於網路側的代碼建構發生故障,TRV參考值及/或下載的代碼有可能出現偶然的不匹配。在兩種實施方式中,這些狀態都是可以偵測並用信號通告給網路的。這可以由IVC 2318使用關於TRV使用率的重複計數器來實現。為了實現高保密性,這些計數器可以是藉由對TRV NVS的讀取存取而遞增的單調硬體計數器。如果偵測到IV在單一TRV上重複次數過多(其數量可以取決於策略),那麼IVC 2318可以檢查並啟動FB/DC 2320、及/或將控制權傳遞給向網路發送一個相符信號的能力。
與如上所述的第二實施方式(與參考TrECB 2220中的代碼及/或資料的TRV_tmp 2214中的新TRV相關)相比,在這裏未必使用第一實施方式(與參考DACB 2216中的代碼及/或資料的TRV_tmp 2214中的新的TRV相關),這是因為該更新/修復有可能是為更新/修復中包含和活動的元件本身請求的。在這種情況下,以下程序中的一個或多個步驟可以被應用。IVC 2318可以攝入新的TRV,但是可以將相應的舊TRV保持在TRV NVS 2218中。新的TRV可以用諸如字串“NEW_DGC_TRV”之類的某個資料旗標來進行標記,以表明其是新的。IVC 2318可以使用舊TRV來檢查及/或啟動RC 2324。RC 2324則可以執行TrECB 2220的某些部分的更新,其中該更新可以用與第一實施方式中的描述相同的方式使用,但在第二實施方式中,該更新可被寫入TrECB 2220 NVS。IVC 2318可以使用新TRV
來檢查TrECB 2220的更新部分。一旦成功,則可以從TRV NVS 2218中刪除舊TRV,並且可以移除連結於新TRV的標記。其中舉例來說,該處理可被延期至裝置下一次重啟之後。
完整性檢查的第一種故障狀況有可能會在RoT 2212檢查IVC 2318的代碼的時候出現。如果未通過此檢查,則RoT 2212可以停止系統,並且還可以向用戶發送信號(例如光信號)。
根據一個實施例,RoT 2212可具有檢查FB/DC 2320中的不變的部分(或是完整性受到如在用於IC代碼的類似變形中描述的簽名所保護的可變部分)、及/或調用困擾/後降程序的這些受限部分的能力,其中該受限部分可以經由受到自發檢查的這個代碼來得到,例如藉由將該代碼載入到SEE 2208並且在SEE 2208中執行該代碼。
接下來的可能失敗的完整性檢查可以是關於DGC 2314及/或RAIF 2316的完整性檢查。前者可以是指裝置沒有可信賴的通訊能力。在這種情況下,IVC 2318可以嘗試核實並啟動FB/DC 2320。FB/DC 2320在某種程度上能夠恢復可信賴的通訊,並且能向網路發送困擾信號。如果不能的話,其可以用信號通告用戶並停止系統。如果RC 2324的IV在上述修復程序中發生故障,那麼相同的程序也是可以應用的。
在如上所述的第二實施方式中,如果RAIF 2316的IV發生故障,則這可能意味著裝置有可能喪失了接收TRV更新的能力。然後,裝置首先可以嘗試如上所述那樣修復該狀況。如果失敗,則IVC 2318可以核實及/或啟動FB/DC 2320,該FB/DC 2320轉而可以採取特定操作,例如用某個預設代碼替換RAIF 2316。
從以上描述中可以看出,作為在NEE 2206中暴露的代碼的
一部分以及正常代碼庫的一部分,RAIF 2316可能是裝置修復中的最薄弱環節。由於在完整性檢查中不會包含RAIF 2316,因此,這種狀況不會直接威脅裝置完整性,但是,其有可能會禁用更新/修復並且由此將裝置保持在棄用(例如故障)狀態,從而為間接和拒絕服務攻擊開啟方便之門。根據一個實施例,RAIF 2316實現的功能可以作為TrECB 2220的一部分來提供,並且是在SEE 2208中執行的。這樣做可以對系統架構施加提前配置,因為這可能意味著SEE 2208的一部分是活動的,並且預備接收新的TRV。例如,SEE的這種永久性活動可以在通訊IF 2210和DGC 2314中實現。
儘管以上以特定的組合描述了特徵和元素,但是一個本領域中具有通常知識者將理解,每個特徵或元素可以單獨地或與其它的特徵和元素任意組合地使用。此外,在此描述的方法可實施為整合在由電腦或處理器執行的電腦可讀媒體中的電腦程式、軟體或韌體。電腦可讀媒體的示例包括電子信號(經由有線或無線連接發送)和電腦可讀儲存媒體。電腦可讀儲存媒體的示例包括但不限制為唯讀記憶體(ROM)、隨機存取記憶體(RAM)、暫存器、快取記憶體、半導體記憶體裝置、諸如內部硬碟和可移式磁片這樣的磁性媒體、磁光媒體和諸如CD-ROM盤和數位通用盤(DVD)這樣的光學媒體。與軟體相關聯的處理器可用來實施在WTRU、UE、終端、基地台、RNC或任何主電腦中使用的射頻收發器。
2206、NEE‧‧‧正常執行環境
2208、SEE‧‧‧安全的執行環境
2212、ROT‧‧‧不可變硬體可信根
2216、DACB‧‧‧裝置應用代碼庫
2220、TrECB‧‧‧TrE代碼庫
TrE‧‧‧可信執行環境
2314、DGC‧‧‧一般通訊能力
RAIF、2316‧‧‧修復應用IF
IF‧‧‧介面
2318、IVC‧‧‧完整性驗證能力
2320、FB/DC‧‧‧後降/困擾能力
2322、DAC‧‧‧裝置應用能力
2324、RC‧‧‧修復能力
2326、TRV‧‧‧可信參考值
Claims (18)
- 裝置,包括:在由一無線通訊裝置的一載入器載入一可執行映像期間,由該載入器對與該無線通訊裝置的至少一可執行映像相關聯的至少一元件執行一完整性檢查;以及由該載入器確定該元件是否已通過或未通過該完整性檢查。
- 如申請專利範圍第1項所述的方法,其中該完整性檢查是基於該可執行映像、該可執行映像的一補充檔內、或在一安全的記憶體中包含的一完整性檢查資訊。
- 如申請專利範圍第2項所述的方法,其中該完整性檢查資訊包括用於該至少一元件的一參考量度;以及該方法更包括:當該至少一元件的該完整性檢查不匹配該完整性檢查資訊時,確定該元件未通過該完整性檢查。
- 如申請專利範圍第3項所述的方法,其中該參考量度是一可信參考值。
- 如申請專利範圍第3項所述的方法,其中該完整性檢查資訊包括一元件-功能資訊以確定與該至少一元件對應的至少一功能。
- 如申請專利範圍第5項所述的方法,其中該完整性檢查資訊包括一功能資訊以確定該至少一可執行映像的至少一能力。
- 如申請專利範圍第5項所述的方法,更包括:一旦確定該至少一元件的該完整性檢查的一失敗,發送與該至少一失敗的元件對應的該至少一功能的一指示至一網路實體。
- 如申請專利範圍第5項所述的方法,更包括:一旦確定該至少一元件的該完整性檢查的一失敗,發送與該至少一失敗的元件對應的該至少一能力的一指示至一網路實體。
- 如申請專利範圍第3項所述的方法,更包括:一旦確定該至少一元件的該完整性檢查的一失敗,防止未通過該完整性檢查的該至少一元件的一 執行。
- 一種無線通訊裝置,包括:一處理器,適用於執行複數個電腦可讀指令;一記憶體,與該處理器通訊地耦合,該記憶體內已儲存複數個電腦可讀指令,當由該處理器執行時,該複數個電腦可讀指令使該處理器執行複數個操作,該複數個操作包括:在由該無線通訊裝置的一載入器載入一可執行映像期間,由該載入器對與該無線通訊裝置的至少一可執行映像相關聯的至少一元件執行一完整性檢查;以及由該載入器確定該元件是否已通過或未通過該完整性檢查。
- 如申請專利範圍第10項所述的無線通訊裝置,其中該完整性檢查是基於該可執行映像、該可執行映像的一補充檔內、或在一安全的記憶體中包含的一完整性檢查資訊。
- 如申請專利範圍第11項所述的無線通訊裝置,其中該完整性檢查資訊包括用於該至少一元件的一參考量度;以及該裝置更包括:當該至少一元件的該完整性檢查不匹配該完整性檢查資訊時,確定該元件未通過該完整性檢查。
- 如申請專利範圍第12項所述的無線通訊裝置,其中該參考量度是一可信參考值。
- 如申請專利範圍第12項所述的無線通訊裝置,其中該完整性檢查資訊包括一元件-功能資訊以確定與該至少一元件對應的至少一功能。
- 如申請專利範圍第14項所述的無線通訊裝置,其中該完整性檢查資訊包括一功能資訊以確定該至少一可執行映像的至少一能力。
- 如申請專利範圍第14項所述的無線通訊裝置,更包括:一旦確定該至少一元件的該完整性檢查的一失敗,發送與該至少一失敗的元件對應的 該至少一功能的一指示至一網路實體。
- 如申請專利範圍第15項所述的無線通訊裝置,更包括:一旦確定該至少一元件的該完整性檢查的一失敗,發送與該至少一失敗的元件對應的該至少一能力的一指示至一網路實體。
- 如申請專利範圍第12項所述的無線通訊裝置,更包括:一旦確定該至少一元件的該完整性檢查的一失敗,防止未通過該完整性檢查的該至少一元件的一執行。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US41078110P | 2010-11-05 | 2010-11-05 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| TW201735675A true TW201735675A (zh) | 2017-10-01 |
Family
ID=45003068
Family Applications (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW100140585A TWI527474B (zh) | 2010-11-05 | 2011-11-07 | 裝置驗證、困擾指示及修復 |
| TW106108409A TW201735675A (zh) | 2010-11-05 | 2011-11-07 | 裝至驗證、困擾指示及修復 |
| TW104137770A TWI596959B (zh) | 2010-11-05 | 2011-11-07 | 裝置驗證、困擾指示及修復 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW100140585A TWI527474B (zh) | 2010-11-05 | 2011-11-07 | 裝置驗證、困擾指示及修復 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW104137770A TWI596959B (zh) | 2010-11-05 | 2011-11-07 | 裝置驗證、困擾指示及修復 |
Country Status (8)
| Country | Link |
|---|---|
| US (3) | US8914674B2 (zh) |
| EP (2) | EP3002697A1 (zh) |
| JP (2) | JP5810168B2 (zh) |
| KR (3) | KR101622447B1 (zh) |
| CN (2) | CN103202045B (zh) |
| AU (1) | AU2011323225B2 (zh) |
| TW (3) | TWI527474B (zh) |
| WO (1) | WO2012061678A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI727458B (zh) * | 2018-12-21 | 2021-05-11 | 美商美光科技公司 | 記憶體裝置及用於控制記憶體裝置之方法 |
Families Citing this family (79)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101861607B1 (ko) | 2008-01-18 | 2018-05-29 | 인터디지탈 패튼 홀딩스, 인크 | M2m 통신을 인에이블하는 방법 및 장치 |
| SE533007C2 (sv) | 2008-10-24 | 2010-06-08 | Ilt Productions Ab | Distribuerad datalagring |
| KR101607363B1 (ko) | 2009-03-05 | 2016-03-29 | 인터디지탈 패튼 홀딩스, 인크 | H(e)NB 무결성 검증 및 확인을 위한 방법 및 장치 |
| AR076088A1 (es) | 2009-03-06 | 2011-05-18 | Interdigital Patent Holding Inc | Plataforma de validacion y gestion de dispositivos inalambricos |
| US8701205B2 (en) * | 2009-04-15 | 2014-04-15 | Interdigital Patent Holdings, Inc. | Validation and/or authentication of a device for communication with network |
| EP2712149B1 (en) | 2010-04-23 | 2019-10-30 | Compuverde AB | Distributed data storage |
| US8914674B2 (en) | 2010-11-05 | 2014-12-16 | Interdigital Patent Holdings, Inc. | Device validation, distress indication, and remediation |
| US9553728B2 (en) * | 2011-02-25 | 2017-01-24 | Nokia Technologies Oy | Method and apparatus for providing end-to-end security for distributed computations |
| US8589996B2 (en) * | 2011-03-16 | 2013-11-19 | Azuki Systems, Inc. | Method and system for federated over-the-top content delivery |
| US8589735B2 (en) * | 2011-05-16 | 2013-11-19 | International Business Machines Corporation | Creating randomly ordered fields while maintaining the temporal ordering based on the value of the fields |
| US9626378B2 (en) | 2011-09-02 | 2017-04-18 | Compuverde Ab | Method for handling requests in a storage system and a storage node for a storage system |
| US8769138B2 (en) * | 2011-09-02 | 2014-07-01 | Compuverde Ab | Method for data retrieval from a distributed data storage system |
| US8645978B2 (en) | 2011-09-02 | 2014-02-04 | Compuverde Ab | Method for data maintenance |
| KR101578089B1 (ko) * | 2011-09-13 | 2015-12-16 | 노키아 솔루션스 앤드 네트웍스 오와이 | 인증 메커니즘 |
| KR101897605B1 (ko) * | 2012-02-24 | 2018-09-12 | 삼성전자 주식회사 | 휴대 단말기의 무결성 보호 방법 및 장치 |
| US8973138B2 (en) * | 2012-05-02 | 2015-03-03 | The Johns Hopkins University | Secure layered iterative gateway |
| US9007465B1 (en) * | 2012-08-31 | 2015-04-14 | Vce Company, Llc | Obtaining customer support for electronic system using first and second cameras |
| CN103049346B (zh) * | 2012-12-11 | 2015-03-18 | 工业和信息化部电子第五研究所 | 基于失效物理的元器件故障树构建方法和系统 |
| JP6054225B2 (ja) * | 2013-03-26 | 2016-12-27 | 株式会社富士通エフサス | 構成情報管理装置および構成情報管理方法 |
| JP6063317B2 (ja) * | 2013-03-26 | 2017-01-18 | 株式会社富士通エフサス | 端末装置および判定方法 |
| US9792436B1 (en) * | 2013-04-29 | 2017-10-17 | Symantec Corporation | Techniques for remediating an infected file |
| KR20160009602A (ko) | 2013-05-06 | 2016-01-26 | 콘비다 와이어리스, 엘엘씨 | M2m 부트스트래핑 |
| US20150019852A1 (en) * | 2013-07-12 | 2015-01-15 | International Games System Co., Ltd. | Verification method for system execution environment |
| US9686274B2 (en) * | 2013-10-11 | 2017-06-20 | Microsoft Technology Licensing, Llc | Informed implicit enrollment and identification |
| KR101468190B1 (ko) * | 2013-10-15 | 2014-12-05 | 순천향대학교 산학협력단 | Usim을 활용한 스마트워크 사용자 및 디바이스 인증 기법 |
| US9755831B2 (en) | 2014-01-22 | 2017-09-05 | Qualcomm Incorporated | Key extraction during secure boot |
| US9276803B2 (en) * | 2014-04-02 | 2016-03-01 | Ca, Inc. | Role based translation of data |
| KR101742666B1 (ko) * | 2014-05-29 | 2017-06-15 | 삼성에스디에스 주식회사 | 집적 회로 장치 및 상기 집적 회로 장치에서의 신호 처리 방법 |
| CN105302708A (zh) * | 2014-06-30 | 2016-02-03 | 联发科技(新加坡)私人有限公司 | 一种移动终端及其检测方法 |
| CN104503318B (zh) * | 2014-12-12 | 2017-03-22 | 清华大学 | 一种基于航天器无线网络的多线程控制方法 |
| FR3030831B1 (fr) * | 2014-12-23 | 2018-03-02 | Idemia France | Entite electronique securisee, appareil electronique et procede de verification de l’integrite de donnees memorisees dans une telle entite electronique securisee |
| US9830217B2 (en) * | 2015-01-29 | 2017-11-28 | Qualcomm Incorporated | Selective block-based integrity protection techniques |
| DE102015001801A1 (de) * | 2015-02-16 | 2016-08-18 | IAD Gesellschaft für Informatik, Automatisierung und Datenverarbeitung mbH | Autonom bootendes System mit einer Verschlüsselung des gesamten Datenspeichers und Verfahren hierfür |
| US20160246582A1 (en) * | 2015-02-25 | 2016-08-25 | Red Hat, Inc. | Generic Semantic Configuration Service |
| US10496974B2 (en) * | 2015-03-25 | 2019-12-03 | Intel Corporation | Secure transactions with connected peripherals |
| US9471285B1 (en) * | 2015-07-09 | 2016-10-18 | Synopsys, Inc. | Identifying software components in a software codebase |
| US10165457B2 (en) * | 2015-08-07 | 2018-12-25 | Telefonaktiebolaget Lm Ericsson (Publ) | System and method for root cause analysis of call failures in a communication network |
| US9860067B2 (en) * | 2015-10-29 | 2018-01-02 | At&T Intellectual Property I, L.P. | Cryptographically signing an access point device broadcast message |
| EP3384629B1 (en) * | 2015-12-02 | 2022-05-04 | PCMS Holdings, Inc. | System and method for tamper-resistant device usage metering |
| US10395200B2 (en) * | 2016-03-17 | 2019-08-27 | Ca, Inc. | Method and apparatus for repairing policies |
| CN107526647B (zh) * | 2016-06-21 | 2021-06-22 | 伊姆西Ip控股有限责任公司 | 一种故障处理方法、系统和计算机程序产品 |
| DE102016009232A1 (de) * | 2016-07-28 | 2018-02-01 | Giesecke+Devrient Mobile Security Gmbh | Integriertes Teilnehmeridentitätsmodul mit Core-OS und Anwendungs-OS |
| US10496811B2 (en) | 2016-08-04 | 2019-12-03 | Data I/O Corporation | Counterfeit prevention |
| US10069633B2 (en) | 2016-09-30 | 2018-09-04 | Data I/O Corporation | Unified programming environment for programmable devices |
| US10666443B2 (en) * | 2016-10-18 | 2020-05-26 | Red Hat, Inc. | Continued verification and monitoring of application code in containerized execution environment |
| US11216561B2 (en) | 2017-04-18 | 2022-01-04 | Hewlett-Packard Development Company, L.P. | Executing processes in sequence |
| CN115720358A (zh) * | 2017-05-05 | 2023-02-28 | 苹果公司 | 用于用户设备的方法、无线设备和计算机可读存储介质 |
| WO2018229657A1 (en) * | 2017-06-16 | 2018-12-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Apparatuses and methods for handling of data radio bearer integrity protection failure in new radio (nr) network |
| US10462161B2 (en) * | 2017-06-21 | 2019-10-29 | GM Global Technology Operations LLC | Vehicle network operating protocol and method |
| US10938855B1 (en) * | 2017-06-23 | 2021-03-02 | Digi International Inc. | Systems and methods for automatically and securely provisioning remote computer network infrastructure |
| US10409685B2 (en) * | 2017-07-24 | 2019-09-10 | Uber Technologies, Inc. | Recovery of application functions via analysis of application operational requests |
| US10291498B1 (en) * | 2017-11-14 | 2019-05-14 | Sprint Communications Company L.P. | Mobile communication device diagnostic client and error remediation sharing |
| FR3074324B1 (fr) * | 2017-11-28 | 2020-01-17 | Schneider Electric Industries Sas | Procede d'inscription securisee d'un appareil electrique amovible lors de son installation au sein d'un systeme electrique |
| US10521662B2 (en) | 2018-01-12 | 2019-12-31 | Microsoft Technology Licensing, Llc | Unguided passive biometric enrollment |
| JP6706278B2 (ja) * | 2018-03-27 | 2020-06-03 | キヤノン株式会社 | 情報処理装置、及び情報処理方法 |
| CN112041818A (zh) * | 2018-05-07 | 2020-12-04 | 谷歌有限责任公司 | 基于平台水平基准化来调整应用性能的系统 |
| EP3599567A1 (de) * | 2018-07-25 | 2020-01-29 | Siemens Aktiengesellschaft | Vorrichtung und verfahren für eine integritätsüberprüfung einer oder mehrerer gerätekomponenten |
| JP7084826B2 (ja) * | 2018-08-28 | 2022-06-15 | キヤノン株式会社 | 情報処理装置、その制御方法、およびそのプログラム |
| AU2019346606B2 (en) * | 2018-09-27 | 2024-04-04 | Landis+Gyr Technology, Inc. | Validation and installation of a file system into a transient, non-persistent storage circuit |
| JP7250121B2 (ja) * | 2018-10-09 | 2023-03-31 | グーグル エルエルシー | クラウドデグレードモードにおいてデバイス動作信頼性を継続的に確保するための方法および装置 |
| US20200220865A1 (en) * | 2019-01-04 | 2020-07-09 | T-Mobile Usa, Inc. | Holistic module authentication with a device |
| CN110032446B (zh) * | 2019-03-27 | 2021-05-04 | 中国科学院微电子研究所 | 一种应用于嵌入式系统中分配内存空间的方法及装置 |
| US11106554B2 (en) | 2019-04-30 | 2021-08-31 | JFrog, Ltd. | Active-active environment control |
| US11340894B2 (en) | 2019-04-30 | 2022-05-24 | JFrog, Ltd. | Data file partition and replication |
| US11386233B2 (en) | 2019-04-30 | 2022-07-12 | JFrog, Ltd. | Data bundle generation and deployment |
| US11886390B2 (en) | 2019-04-30 | 2024-01-30 | JFrog Ltd. | Data file partition and replication |
| US11068333B2 (en) | 2019-06-24 | 2021-07-20 | Bank Of America Corporation | Defect analysis and remediation tool |
| US11461163B1 (en) * | 2019-06-28 | 2022-10-04 | Amazon Technologies, Inc. | Remote device error correction |
| WO2021014326A2 (en) | 2019-07-19 | 2021-01-28 | JFrog Ltd. | Software release verification |
| RU2722239C1 (ru) * | 2019-11-26 | 2020-05-28 | Общество с ограниченной ответственностью «ПИРФ» (ООО «ПИРФ») | Способ создания и использования формата исполняемого файла с динамическим расширяемым заголовком |
| US11695829B2 (en) | 2020-01-09 | 2023-07-04 | JFrog Ltd. | Peer-to-peer (P2P) downloading |
| US11513817B2 (en) * | 2020-03-04 | 2022-11-29 | Kyndryl, Inc. | Preventing disruption within information technology environments |
| US11593209B2 (en) | 2020-04-01 | 2023-02-28 | Microsoft Technology Licensing, Llc | Targeted repair of hardware components in a computing device |
| US11907052B2 (en) * | 2020-04-20 | 2024-02-20 | Dell Products L.P. | Systems and methods for encrypting unique failure codes to aid in preventing fraudulent exchanges of information handling system components |
| US11470677B2 (en) * | 2020-08-27 | 2022-10-11 | Dish Network L.L.C. | Systems and methods for a computer network intermediate router |
| US11860680B2 (en) | 2020-11-24 | 2024-01-02 | JFrog Ltd. | Software pipeline and release validation |
| KR102432284B1 (ko) * | 2021-07-28 | 2022-08-12 | 인프라닉스 아메리카 코퍼레이션 | It관리대상의 이벤트 알람이나 장애 문제를 실시간 자동으로 조치하는 시스템 및 그 운용방법 |
| US11765604B2 (en) | 2021-12-16 | 2023-09-19 | T-Mobile Usa, Inc. | Providing configuration updates to wireless telecommunication networks |
| TWI823535B (zh) * | 2022-08-26 | 2023-11-21 | 新唐科技股份有限公司 | 空中下載裝置及空中下載方法 |
Family Cites Families (70)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8347086B2 (en) * | 2000-12-18 | 2013-01-01 | Citibank, N.A. | System and method for automatically detecting and then self-repairing corrupt, modified of non-existent files via a communication medium |
| US6731932B1 (en) | 1999-08-24 | 2004-05-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and systems for handling subscriber data |
| US6779120B1 (en) | 2000-01-07 | 2004-08-17 | Securify, Inc. | Declarative language for specifying a security policy |
| US7076797B2 (en) | 2001-10-05 | 2006-07-11 | Microsoft Corporation | Granular authorization for network user sessions |
| FI114276B (fi) | 2002-01-11 | 2004-09-15 | Nokia Corp | Verkkovierailun järjestäminen |
| US6993760B2 (en) | 2001-12-05 | 2006-01-31 | Microsoft Corporation | Installing software on a mobile computing device using the rollback and security features of a configuration manager |
| US7240830B2 (en) | 2002-02-15 | 2007-07-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Layered SIM card and security function |
| GB0211644D0 (en) | 2002-05-21 | 2002-07-03 | Wesby Philip B | System and method for remote asset management |
| DE10223248A1 (de) | 2002-05-22 | 2003-12-04 | Siemens Ag | Verfahren zum Registrieren eines Kommunikationsendgeräts |
| FI117586B (fi) | 2002-08-02 | 2006-11-30 | Nokia Corp | Menetelmä SIM-toiminteen järjestämiseksi digitaaliseen langattomaan päätelaitteeseen sekä vastaava päätelaite ja palvelin |
| WO2004019582A1 (en) | 2002-08-22 | 2004-03-04 | Docomo Communications Laboratories Europe Gmbh | Reconfiguration of a group of network nodes in an ad-hoc network |
| JP2006513609A (ja) | 2002-12-31 | 2006-04-20 | モトローラ・インコーポレイテッド | 通信デバイスに対する分散認証及び無線経由プロビジョニングを行うシステム及び方法 |
| US7634807B2 (en) | 2003-08-08 | 2009-12-15 | Nokia Corporation | System and method to establish and maintain conditional trust by stating signal of distrust |
| ATE333763T1 (de) | 2003-09-16 | 2006-08-15 | Research In Motion Ltd | Aktualisierungsbereitsstellung auf bedarfsbasis für eine mobile kommunikationsvorrichtung |
| EP1533695B1 (en) * | 2003-11-19 | 2013-08-07 | TELEFONAKTIEBOLAGET LM ERICSSON (publ) | Updating data in a mobile terminal |
| KR100554172B1 (ko) | 2003-11-27 | 2006-02-22 | 한국전자통신연구원 | 네트워크 보안성을 강화한 무결성 관리 시스템, 이를구비한 무결성 네트워크 시스템 및 그 방법 |
| US20050138355A1 (en) | 2003-12-19 | 2005-06-23 | Lidong Chen | System, method and devices for authentication in a wireless local area network (WLAN) |
| US7350072B2 (en) | 2004-03-30 | 2008-03-25 | Intel Corporation | Remote management and provisioning of a system across a network based connection |
| JP4144880B2 (ja) | 2004-04-09 | 2008-09-03 | インターナショナル・ビジネス・マシーンズ・コーポレーション | プラットフォーム構成測定装置、プログラム及び方法、プラットフォーム構成認証装置、プログラム及び方法、プラットフォーム構成証明装置、プログラム及び方法、並びに、プラットフォーム構成開示装置、プログラム及び方法 |
| EP1757148B1 (en) | 2004-06-17 | 2009-04-08 | TELEFONAKTIEBOLAGET LM ERICSSON (publ) | Security in a mobile communications system |
| US7747862B2 (en) | 2004-06-28 | 2010-06-29 | Intel Corporation | Method and apparatus to authenticate base and subscriber stations and secure sessions for broadband wireless networks |
| EP1782574B1 (en) * | 2004-08-20 | 2011-07-13 | Telefonaktiebolaget LM Ericsson (publ) | Fast network attachment |
| US20060074600A1 (en) | 2004-09-15 | 2006-04-06 | Sastry Manoj R | Method for providing integrity measurements with their respective time stamps |
| US7653819B2 (en) | 2004-10-01 | 2010-01-26 | Lenovo Singapore Pte Ltd. | Scalable paging of platform configuration registers |
| US8266676B2 (en) | 2004-11-29 | 2012-09-11 | Harris Corporation | Method to verify the integrity of components on a trusted platform using integrity database services |
| US7818585B2 (en) | 2004-12-22 | 2010-10-19 | Sap Aktiengesellschaft | Secure license management |
| US7725703B2 (en) | 2005-01-07 | 2010-05-25 | Microsoft Corporation | Systems and methods for securely booting a computer with a trusted processing module |
| JP4293155B2 (ja) | 2005-03-31 | 2009-07-08 | サクサ株式会社 | コードレス電話機 |
| US7907531B2 (en) | 2005-06-13 | 2011-03-15 | Qualcomm Incorporated | Apparatus and methods for managing firmware verification on a wireless device |
| US7908483B2 (en) | 2005-06-30 | 2011-03-15 | Intel Corporation | Method and apparatus for binding TPM keys to execution entities |
| US7809777B2 (en) | 2005-07-01 | 2010-10-05 | Qnx Software Systems Gmbh & Co. Kg | File system having deferred verification of data integrity |
| US7707480B2 (en) * | 2005-07-01 | 2010-04-27 | Qnx Software Systems Gmbh & Co. Kg | System employing data verification operations of differing computational costs |
| US20070050678A1 (en) * | 2005-08-25 | 2007-03-01 | Motorola, Inc. | Apparatus for self-diagnosis and treatment of critical software flaws |
| JP4093494B2 (ja) | 2005-09-08 | 2008-06-04 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 秘密情報へのアクセスを制御するシステムおよびその方法 |
| CN1933651B (zh) | 2005-09-12 | 2010-05-12 | 北京三星通信技术研究有限公司 | Lte系统中的会话接入方法 |
| JP4708143B2 (ja) | 2005-09-30 | 2011-06-22 | シスメックス株式会社 | 自動顕微鏡及びこれを備える分析装置 |
| GB0520254D0 (en) | 2005-10-05 | 2005-11-16 | Vodafone Plc | Telecommunications networks |
| US7580701B2 (en) | 2005-12-27 | 2009-08-25 | Intel Corporation | Dynamic passing of wireless configuration parameters |
| WO2007110094A1 (en) | 2006-03-27 | 2007-10-04 | Telecom Italia S.P.A. | System for enforcing security policies on mobile communications devices |
| US20070239748A1 (en) | 2006-03-29 | 2007-10-11 | Smith Ned M | Management of reference data for platform verification |
| US7930733B1 (en) | 2006-04-10 | 2011-04-19 | At&T Intellectual Property Ii, L.P. | Method and system for execution monitor-based trusted computing |
| US8108668B2 (en) | 2006-06-26 | 2012-01-31 | Intel Corporation | Associating a multi-context trusted platform module with distributed platforms |
| JP5035810B2 (ja) | 2006-06-30 | 2012-09-26 | インターナショナル・ビジネス・マシーンズ・コーポレーション | モバイル・デバイスにおけるメッセージ処理 |
| US20080076425A1 (en) | 2006-09-22 | 2008-03-27 | Amit Khetawat | Method and apparatus for resource management |
| US7617423B2 (en) * | 2006-08-14 | 2009-11-10 | Kyocera Corporation | System and method for detecting, reporting, and repairing of software defects for a wireless device |
| US7711960B2 (en) | 2006-08-29 | 2010-05-04 | Intel Corporation | Mechanisms to control access to cryptographic keys and to attest to the approved configurations of computer platforms |
| US20080076419A1 (en) | 2006-09-22 | 2008-03-27 | Amit Khetawat | Method and apparatus for discovery |
| US20080101400A1 (en) * | 2006-10-30 | 2008-05-01 | Nokia Corporation | Managing attachment of a wireless terminal to local area networks |
| US7683630B2 (en) * | 2006-11-30 | 2010-03-23 | Electro Scientific Industries, Inc. | Self test, monitoring, and diagnostics in grouped circuitry modules |
| KR101368327B1 (ko) | 2006-12-22 | 2014-02-26 | 삼성전자주식회사 | 프로그램 실행흐름 보고 시스템 및 방법 |
| TWI543644B (zh) | 2006-12-27 | 2016-07-21 | 無線創新信號信託公司 | 基地台自行配置方法及裝置 |
| WO2008110996A1 (en) | 2007-03-12 | 2008-09-18 | Nokia Corporation | Apparatus, method and computer program product providing auxillary handover command |
| EP1983771B1 (en) | 2007-04-17 | 2011-04-06 | Alcatel Lucent | A method for interfacing a Femto-Cell equipment with a mobile core network |
| US8064597B2 (en) | 2007-04-20 | 2011-11-22 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and system for mobile device credentialing |
| CN100583768C (zh) | 2007-04-27 | 2010-01-20 | 中国科学院软件研究所 | 基于安全需求的远程证明方法及其系统 |
| US8528058B2 (en) | 2007-05-31 | 2013-09-03 | Microsoft Corporation | Native use of web service protocols and claims in server authentication |
| US8365018B2 (en) * | 2007-06-19 | 2013-01-29 | Sand Holdings, Llc | Systems, devices, agents and methods for monitoring and automatic reboot and restoration of computers, local area networks, wireless access points, modems and other hardware |
| KR101392697B1 (ko) * | 2007-08-10 | 2014-05-19 | 엘지전자 주식회사 | 이동통신 시스템에서의 보안 오류 검출방법 및 장치 |
| US7853804B2 (en) | 2007-09-10 | 2010-12-14 | Lenovo (Singapore) Pte. Ltd. | System and method for secure data disposal |
| US8200736B2 (en) | 2007-12-24 | 2012-06-12 | Qualcomm Incorporated | Virtual SIM card for mobile handsets |
| KR101861607B1 (ko) | 2008-01-18 | 2018-05-29 | 인터디지탈 패튼 홀딩스, 인크 | M2m 통신을 인에이블하는 방법 및 장치 |
| US8300829B2 (en) | 2008-06-23 | 2012-10-30 | Nokia Corporation | Verification key handling |
| KR101607363B1 (ko) * | 2009-03-05 | 2016-03-29 | 인터디지탈 패튼 홀딩스, 인크 | H(e)NB 무결성 검증 및 확인을 위한 방법 및 장치 |
| AR076088A1 (es) * | 2009-03-06 | 2011-05-18 | Interdigital Patent Holding Inc | Plataforma de validacion y gestion de dispositivos inalambricos |
| CN101651949B (zh) * | 2009-08-17 | 2011-10-26 | 中兴通讯股份有限公司 | 一种安全模式建立的方法及无线网络控制器 |
| EP2288195B1 (en) * | 2009-08-20 | 2019-10-23 | Samsung Electronics Co., Ltd. | Method and apparatus for operating a base station in a wireless communication system |
| CN101820619B (zh) * | 2010-01-15 | 2012-10-24 | 北京工业大学 | 无线传感器网络中高效节能的链路安全方法 |
| CN101771704B (zh) * | 2010-01-22 | 2016-03-30 | 中兴通讯股份有限公司 | 一种安全的数据传输的方法和系统 |
| US8856941B2 (en) * | 2010-04-12 | 2014-10-07 | Interdigital Patent Holdings, Inc. | Staged control release in boot process |
| US8914674B2 (en) | 2010-11-05 | 2014-12-16 | Interdigital Patent Holdings, Inc. | Device validation, distress indication, and remediation |
-
2011
- 2011-11-04 US US13/289,154 patent/US8914674B2/en not_active Expired - Fee Related
- 2011-11-04 KR KR1020137014322A patent/KR101622447B1/ko not_active IP Right Cessation
- 2011-11-04 JP JP2013537850A patent/JP5810168B2/ja not_active Expired - Fee Related
- 2011-11-04 EP EP15185046.8A patent/EP3002697A1/en not_active Withdrawn
- 2011-11-04 CN CN201180053416.4A patent/CN103202045B/zh not_active Expired - Fee Related
- 2011-11-04 EP EP11785854.8A patent/EP2635991B1/en not_active Not-in-force
- 2011-11-04 CN CN201610349706.8A patent/CN106055930A/zh active Pending
- 2011-11-04 AU AU2011323225A patent/AU2011323225B2/en not_active Ceased
- 2011-11-04 WO PCT/US2011/059274 patent/WO2012061678A1/en active Application Filing
- 2011-11-04 KR KR1020177002832A patent/KR20170016034A/ko not_active Application Discontinuation
- 2011-11-04 KR KR1020147014163A patent/KR101703925B1/ko active IP Right Grant
- 2011-11-07 TW TW100140585A patent/TWI527474B/zh not_active IP Right Cessation
- 2011-11-07 TW TW106108409A patent/TW201735675A/zh unknown
- 2011-11-07 TW TW104137770A patent/TWI596959B/zh not_active IP Right Cessation
-
2014
- 2014-12-15 US US14/570,301 patent/US9652320B2/en not_active Expired - Fee Related
-
2015
- 2015-07-24 JP JP2015147227A patent/JP2016006659A/ja active Pending
-
2017
- 2017-03-28 US US15/471,591 patent/US20170199777A1/en not_active Abandoned
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI727458B (zh) * | 2018-12-21 | 2021-05-11 | 美商美光科技公司 | 記憶體裝置及用於控制記憶體裝置之方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR101622447B1 (ko) | 2016-05-31 |
| US20120290870A1 (en) | 2012-11-15 |
| CN103202045B (zh) | 2016-06-01 |
| US20150099510A1 (en) | 2015-04-09 |
| JP2013545193A (ja) | 2013-12-19 |
| EP3002697A1 (en) | 2016-04-06 |
| TW201234877A (en) | 2012-08-16 |
| KR20170016034A (ko) | 2017-02-10 |
| KR20130084688A (ko) | 2013-07-25 |
| JP5810168B2 (ja) | 2015-11-11 |
| US8914674B2 (en) | 2014-12-16 |
| KR101703925B1 (ko) | 2017-02-07 |
| CN106055930A (zh) | 2016-10-26 |
| AU2011323225B2 (en) | 2015-05-28 |
| AU2011323225A1 (en) | 2013-05-30 |
| US9652320B2 (en) | 2017-05-16 |
| TW201620318A (zh) | 2016-06-01 |
| TWI596959B (zh) | 2017-08-21 |
| EP2635991B1 (en) | 2015-09-16 |
| WO2012061678A1 (en) | 2012-05-10 |
| CN103202045A (zh) | 2013-07-10 |
| JP2016006659A (ja) | 2016-01-14 |
| EP2635991A1 (en) | 2013-09-11 |
| TWI527474B (zh) | 2016-03-21 |
| KR20140079865A (ko) | 2014-06-27 |
| US20170199777A1 (en) | 2017-07-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI527474B (zh) | 裝置驗證、困擾指示及修復 | |
| JP6231054B2 (ja) | 無線装置のプラットフォームの検証と管理 | |
| US20170364685A1 (en) | Providing security to computing systems | |
| KR20120036350A (ko) | H(e)NB 무결성 검증 및 확인을 위한 방법 및 장치 | |
| WO2021087221A1 (en) | Secure and flexible boot firmware update for devices with a primary platform | |
| Blázquez et al. | Trouble over-the-air: An analysis of fota apps in the android ecosystem | |
| US20210334164A1 (en) | Device recovery mechanism | |
| AU2015221575A1 (en) | Device validation, distress indication, and remediation | |
| Johnson et al. | Recommendations for distributed energy resource patching | |
| Jagt et al. | Security analysis of a TETRA Base | |
| Juhász et al. | Secure remote firmware update on embedded IoT devices |