TWI435584B - 多網域及網域所有權系統 - Google Patents
多網域及網域所有權系統 Download PDFInfo
- Publication number
- TWI435584B TWI435584B TW099112331A TW99112331A TWI435584B TW I435584 B TWI435584 B TW I435584B TW 099112331 A TW099112331 A TW 099112331A TW 99112331 A TW99112331 A TW 99112331A TW I435584 B TWI435584 B TW I435584B
- Authority
- TW
- Taiwan
- Prior art keywords
- domain
- domains
- thsm
- owner
- policy
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/086—Access security using security domains
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
Description
本申請案基於2009年4月20日提出的申請號為61/171,013的美國臨時專利申請案以及2009年7月17日提出的申請號為61/226,550的美國臨時專利申請案,並且據此要求享有這兩個申請案的優先權,其中這些申請案的揭露內容在這裏全部引入以作為參考。
現今存在著多種使用了可以或者不可以與其他設備或實體通信的計算設備的情形,在此類情形中,設備或設備內部的某個部分或計算環境為個人、組織或其他某個實體所“擁有”。我們提到的“擁有”是指該設備或是其內部的某個部分或計算環境可以通過實體驗證,此後該實體可以對設備或是其某個部分採用某種形式的控制。這種情形的一個實例存在於無線行動通信產業中,其中諸如行動電話之類的無線設備的用戶可以預訂(subscribe)特定行動通信網路營運商的服務。
在現今的行動通信產業中,用戶可以借助無線設備來預訂特定網路營運商的服務,並且此類無線設備通常包括用戶身份模組(SIM)或通用積體電路卡(UICC)。SIM/UICC為無線設備提供了安全的運行和儲存環境,從中可以執行驗證演算法以及儲存證書,其中該證書允許設備向網路營運商驗證該設備用戶與網路營運商的預訂,並且允許網路營運商對設備具有某種形式的控制權,即所有權。不幸的是,這種SIM/UICC機制通
常僅限於用於單一網路營運商。
因此,在現今眾多的計算環境(例如在上文結合行動通信設備描述的情形)中存在一個問題,那就是計算設備整體通常只限於被單一實體擁有。在很多情況中,所有權必須在用戶購買設備時建立,由此阻礙了那些需要在以後建立所有權的商業模型。更進一步,對於設備中的多個相互隔離的部分需要具有多個所有權或者需要不時將所有權轉換到其他實體的狀況而言,這些限制將會阻礙設備在這些狀況中的使用。例如,對諸如行動電話這類無線行動通信設備而言,用戶通常需要在購買時預訂特定行動網路營運商的服務,而在那些只有在購買了無線設備之後的某個時間才有可能知道行動網路營運商的應用中,此類設備通常是禁止使用的。此外,此類設備也無法一次提供針對多個營運商網路的存取。行動網路和服務預訂的更新和變更有可能會很困難,並且通常無法通過空中介面來執行這些處理。特別地,在無線行動通信設備的情況中,雖然SIM/UICC機制通常被認為是非常安全的,但是這種安全性並沒有與其所在的整個設備的安全屬性緊密聯繫在一起。這樣做限制了將縮放安全性(scaling security)概念應用於諸如行動金融交易之類的高級服務和應用。特別地,這些缺陷與諸如機器對機器(M2M)通信設備之類的自動設備相關。
因此,所需要的是一種更為動態和安全的解決方案。
為了克服如上所述的目前系統中的至少一些缺陷,在這裏揭露了在提供了針對一個或多個設備上的一個或多個獨立域的
系統級(wide)管理等級的同時,允許一個或多個不同的本地或遠端所有者擁有或控制這些域的方法和手段。用於實現這些方法和裝置的示例系統可以包括一個或多個設備,其中每個設備都可以包括由至少一個平臺支援的一個或多個域。每個平臺都可以為這些域提供低階計算、儲存或通信資源。平臺可以包括一些硬體、作業系統、一些低階韌體或軟體(例如引導碼、BIOS、API、驅動器、中間軟體或虛擬化軟體)、以及一些高等級韌體或軟體(例如應用軟體)和用於這些資源的相應配置資料。每個域都可以包括在至少一個平臺上執行的計算、儲存或通信資源的配置,並且每個域都可以被配置用於為可能處於域本地或遠離域的域所有者執行功能。每個域都可以有不同的所有者,並且每個所有者都可以規定用於操作其域的策略、以及用於結合域所在平臺和其他域來操作其域的策略。
系統級域管理器可以駐留在其中一個域上。系統級域管理器可以實施其所在的域上的策略,並且可以協調其他域如何結合系統級域管理器所在的域來實施其相應操作。此外,系統級域管理器還可以根據其他域的相應策略來協調這些域之間的互動。系統級域管理器所在的域可以被提供該域的設備的所有者擁有。或者,此類域可以被未必擁有提供該域的設備的所有者擁有。
在以下的詳細描述和附圖中提供了這裏描述的系統、方法和手段的其他特徵。
為了克服上述目前系統的至少一些缺陷,在這裏揭露了在
為一個或多個設備上的一個或多個獨立域提供系統管理等級的同時,允許一個或多個不同的本地或遠端所有者擁有或控制這些域的方法和裝置。用於實現這些方法和裝置的示例系統可以包括一個或多個設備,其中每個設備都可以包括由至少一個平臺支援的一個或多個域。每個平臺都可以為這些域提供低階計算、儲存或通信資源。平臺可以包括一些硬體、作業系統、以及其他低階韌體或軟體(例如引導碼、BIOS和驅動器)和用於這些資源的相應配置資料。每個域都可以包括在至少一個平臺上執行的計算、儲存或通信資源的配置,並且每個域都可以被配置用於為可能處於域本地或遠離域的域所有者執行功能。每個域都可以有不同所有者,並且每個所有者都可以規定用於操作其域的策略、以及用於結合域所在平臺和其他域來操作其域的策略。
就計算、儲存或通信資源(從輸入的角度來看),或者是由該域使用此類計算、儲存或通信資源所提供的功能(從輸出的角度來看)而言,每一個域都可以與其他域隔離。每個域都可以利用計算、儲存或通信資源,或者是通用基礎平臺的功能。一些域可以共用公共平臺提供的一些這樣的功能。這種平臺資源功能的共用可以採用這樣一種方式完成:每個域的公共資源或功能運用都可以與別的域的此類運用相隔離。例如,這種隔離可以通過由設備的平臺對其提供給每一個域的資源實施嚴格的存取控制來實現,由此,只有處於域外部並得到平臺及/或域所有者授權的一個或多個用戶、一個或多個所有者或其他實體或進程才被允許存取該域的資源。只要域的功能取決於設備上的域以外的設備資源,那麼平臺還可以簡單地包含不屬於該設
備上的隔離域的設備的部分。
處於相同或不同平臺或是相同或不同設備上的任何兩個域之間的通信都可以是安全的,這意味著域能以一種安全的方式相互驗證(例如使用加密裝置),並且能在置信度、完整性和新鮮度這類安全方面保護其間交換的訊息。由域所在的一個或多個平臺提供的加密裝置可以用於在任何兩個域之間提供這種安全通信。
系統級域管理器可以駐留在其中一個域上。該系統級域管理器可以實施其所在域上的策略,並且可以協調其他域結合系統級域管理器所在的域來實施其相應操作。此外,系統級域管理器還可以根據其他域的相應策略來協調這些域之間的互動。系統級域管理器所在的域可以被提供該域的設備的所有者。或者,此類域也可以被未必擁有提供該域的設備的所有者擁有。
第1圖示出了此類系統的一個實施方式。如第1圖所示,該系統可以包括一個或多個設備100、110和120。每個設備都可以包括由至少一個平臺支援的一個或多個域。例如,設備100可以包括域106以及一個或多個其他域101、102。雖然在這裏為設備100示出了三個域,但在其他實施方式中,域的數量有可能更多或更少。這其中的每個域101、102、106都可以包括在設備的至少一個平臺105上執行的計算、儲存或通信資源的配置。每個域都可以被配置用於為處於該域本地或者遠離域的域所有者執行功能。例如,域106有可能被設備所有者(未顯示)擁有,而域101、102則有可能被一個或多個遠端所有者擁有。每一個域都有可能有不同的所有者,或者設備的一個以上的域有可能被同一所有者擁有。每一個所有者都可以規定用於
操作其域的策略、以及用於結合域操作的平臺、域所在的設備以及相同或不同設備內部的其他域來操作其域的策略。
如所描述的,該系統還可以包括其他域駐留的其他設備。例如,設備110可以包括域111和112,每個域可能被相同的遠端所有者擁有。當然,每一個域111和112都可以改為由不同所有者擁有。每一個域111、112都可以包括在設備110的平臺115上執行的計算、儲存或通信資源配置。類似地,設備120可以包括域111和112。如本實例所示,這其中的每個域都可以被不同所有者擁有。或者,這些域也可以被同一所有者擁有。同樣,每個域121、122都可以包括在設備120的平臺125上執行的計算、儲存或通信資源的配置。
系統級域管理器(SDM)107可以駐留在其中一個域上。在本實例中,SDM 107駐留在設備100的域106上。在一個實施方式中,SDM(例如域106)所在的域被設備100的所有者擁有。SDM 107經由設備100中提供的通信機制來與設備100上的遠端域101通信。此外,SDM 107還經由相應的通信通道131、132、141、142來與其他設備上的域通信,其中該通道可以是有線或無線通道。通信通道131、132、141、142可以是安全的。SDM 107可以實施其所在的域106的策略,並且可以藉由與域106相結合的其他域101、111、112、121、122的相應策略來協調這些域的實施。此外,SDM 107還可以根據其他域的相應策略以及SDM所在域的策略(該策略可以是特定域的所有者的策略)來協調其他域之間的互動。
舉個例子,在一個實施方式中,域有可能被服務供應商擁有。例如,設備100的域102有可能被服務供應商(例如,僅
作為實例,行動網路營運商)擁有。域102可以執行用戶身份模組(SIM)功能來驗證設備100,在某些情況中也可以等價地驗證設備所有者或用戶與服務供應商的預訂關係,以便允許設備100與服務供應商之間的通信。
除了上述SDM功能之外,SDM 107還可以存取資訊並且提供可用於一個或多個域的資源列表。SDM 107也可以監督遠端所有者擁有的域的載入和維護。此外,SDM 107可以為其所在設備100的用戶提供能夠載入的域的列表,並且可以請求用戶選擇載入所列舉的域中的哪些域。SDM還可以評估平臺或設備上是否有足夠的計算資源以供載入,並由此支援一個或多個域的操作。
如上所述,SDM 107既可以參與實施其本身的一個或多個策略(在這裏可以稱為系統級策略(SDP)),也可以參與實施其他域的策略(即特定於域的策略(DP))。在評估是否載入新的域的時候,SDM 107可以考慮一個或多個已有域的策略。例如,遠端所有者擁有的指定域的策略可以規定:在某種類型的其他域活動的時候,將該指定域置於不活動狀態。在另一個實例中,遠端所有者擁有的指定域的策略可以規定:在某個其他遠端所有者擁有的其他域活動的時候,將該指定域置於不活動狀態。在再一個實例中,遠端所有者擁有的指定域的策略可以規定:在某種類型的其他域活動的時候,將指定域的操作限制為某種或某些特定方式。在進一步的實例中,遠端所有者擁有的指定域的策略可以規定:在某一個其他遠端所有者擁有的別的域活動的時候,將指定域的操作限制為某種或某些特定方式。SDM 107可以負責實施所有這些類型的策略。
SDM 107還可以在以後建立或載入那些可能被遠端所有者得到所有權的域。例如,這些域可以在一個其不為任何所有者擁有的狀態中建立,在這裏將這種狀態稱為“原始”狀態,此外,SDM 107還可以對遠端所有者的域所有權的建立進行管理。
為此目的,SDM 107可以為遠端所有者傳送該遠端所有者可能會在確定是否建立域的所有權的過程中加以考慮的資訊。這些資訊可以包括下列至少其中之一:(i)用於證實被尋求所有權的域的完整性的資訊;以及(ii)用於證實系統中至少一個其他域的完整性的資訊。該資訊還可以包括:(i)用於證實資源由被尋求所有權的域操作的平臺的完整性資訊;以及(ii)用於證實資源由系統中的至少一個其他域操作的平臺的完整性資訊。此外,該資訊可以包括與設備的目前環境相關的資訊。這些資訊可以包括下列至少其中之一:(i)用於指示系統中的多個其他域的值;(ii)用於提供系統中的其他域的概要特徵的資訊;以及(iii)用於規定可供正被嘗試建立所有權的域使用的平臺資源的資訊。為遠端所有者提供的系統中其他域的資訊量可以以這些其他域在保密性及/或隔離性方面的相應策略為條件。
在遠端所有者得到域的所有權之後,該遠端所有者可以對該域進行一定程度的控制。例如,在遠端所有者建立了域的所有權之後,該域可以接收來自遠端所有者的密鑰、配置資訊、參數以及可執行代碼中的至少一項,以便增強域的功能。在另一個實例中,在遠端所有者確定了域的所有權之後,該域可以從遠端所有者接收特定於其域的策略。
這裏揭露的系統還可以提供一個或多個域的隔離性和安全
性。例如,一個或多個域可以包括與其他域隔離的安全執行和儲存環境。對於建立了一個或多個域的設備的平臺(例如第1圖中的設備100的平臺105)來說,為了實現這種安全環境,該平臺可以包括可信根103。可信根103可以包括不可變並且不可移動的硬體資源集合,該集合的完整性是預先確定的,並且可以依賴於包括域的遠端所有者在內的其他內容。對於諸如域101這樣的域來說,其完整性可以由可信根103錨定的信任鏈建立。例如,域101的完整性可以通過將域101中至少一個元件的量度與參考完整性度量進行比較來確定,其中該量度可以由可信根103產生,該度量可以儲存在可信根103中,並且可供可信根用以檢驗域的完整性。或者,參考完整性度量可以由遠端所有者儲存,並且該量度可以傳送至遠端所有者,以便與參考完整性度量進行比較。如果該量度與參考完整性度量匹配,則域的完整性可以被檢驗。在一個例示實施方式中,量度可以包括在元件上計算的散列(hash),參考完整性度量可以包括先前在元件上計算並帶有數位證書的散列,其中該數位證書提供的是關於參考完整性度量的真實性的指示。參考完整性度量可以在製造時或是將設備交付其所有者時預先在設備中提供。參考完整性度量也可以在製造/供應了設備之後從遠端來源經由通信通道(例如空中下載無線通信通道)遞送至其所有者,並且可以在交付之後才在設備中供應。參考完整性度量可以以包含於證書中的方式交付設備。該證書可以由可信第三方檢驗,以便在其被交付給設備之後使用。
這裏揭露的系統及其各種方法和裝置可以在多種計算和通信上下文中實現。相應地,對於系統中的設備(例如第1圖中的
例示設備100、110和120)來說,這些設備可以採用各種各樣的形式。作為實例而不是限制,系統中的設備可以包括無線發射/接收單元(WTRU)、用戶設備(UE)、行動站、固定或行動用戶單元、呼叫器、蜂窩電話、個人數位助理(PDA)、電腦、機器對機器(M2M)設備、SIM卡、通用積體電路卡(UICC)、智慧卡、地理追蹤設備、感測器網路節點、測量設備(例如水測量計、氣測量計或電測量計),或是其他任何能在無線或有線環境中操作的計算或通信設備。下列附圖和描述提供了在無線發射/接收單元(WTRU)中提供了本揭露的系統和方法的多個附加示例實施方式。但是應該理解,這些實施方式只是示例性的,這裏揭露的系統和方法並不限於這些實施方式。與此相反,如上所述,這裏揭露的系統和方法可以在各式各樣的計算和通信環境中使用。
第2圖是示出了可以實施這裏揭露的系統和方法的WTRU的一個實施方式的圖式。如圖所示,WTRU可以包括行動設備,例如UE 200。UE 200可以包括行動設備(ME)210和可信硬體預訂模組(THSM)220。此外,THSM 220還可以包括THSM設備製造商(DM)域221、THSM設備所有者(DO)域222、THSM設備用戶(DU或U)域223、系統級域管理器(SDM)230、域間策略管理器240以及一個或多個遠端所有者(RO)域,例如RO域A 224、RO域B 225以及RO域C 226。此外,UE 200可以包括未示出的下列元件:處理器、接收器、發射器和天線。這裏描述的示例實施方式可以參考結合第2圖描述的元件。
THSM可以是基於硬體的模組,它提供了可信的預訂管理
功能,其包括通常由SIM功能、USIM功能、ISIM功能以及存取網路預訂執行的功能。THSM可以是受硬體保護的模組。它可以包括專門被設計具有相關安全功能的硬體。它能在內部支援多個隔離的域。域可以由稱為遠端所有者(RO)的特有所有者要求或擁有。RO要求的域可以充當相應RO的代理。
一個或多個域可以執行預訂管理功能,例如可信用戶身份管理(TSIM)。由於在單一THSM上可能存在多個具有TSIM功能的域,因此,THSM可以為多個RO的預訂管理提供支援。對於具有TSIM功能的域來說,其某些管理方面可以由稱為系統級域管理器(SDM)的單一管理功能執行。其他方面則可以在單個域的內部或是單個域上單獨管理。
雖然在這裏是依照通用行動電信系統(UMTS)環境來描述的,但是本領域中具有通常知識者可以想到,在不超出本申請的範圍的情況下,這裏描述的方法和設備同樣適用於其他環境。TSIM可以是“預訂應用”的典型實例。舉個例子,如果TSIM是在操作於3G UMTS網路中的WTRU上實施的,那麼作為其功能的一部分,該TSIM可以包括所有預訂相關功能,這其中包括UMTS驗證和密鑰協商(AKA)功能。TSIM可以不綁定於特定硬體,例如UICC。這與只能在UICC上存在的USIM形成了對比。取而代之的是,TSIM可以在這裏描述的可信硬體預訂模組(THSM)上實施。本領域中具有通常知識者還應該想到,在不超出本申請範圍的情況下,這裏描述的THSM的功能也可被引入UICC或類似的智慧卡,例如符合歐洲電信標準協會(ETSI)需求的UICC或是符合全球平臺規範的智慧卡。
WTRU可以包括THSM和行動設備(ME)。ME可以包括
數據機、無線電設備、電源供應器以及通常在WTRU中發現的各種其他特徵。THSM可以包括基於硬體的單獨模組。THSM既可以嵌入WTRU,也可以是獨立的。即使被嵌入WTRU,THSM也可以在邏輯上與ME分離。THSM可以包括一個或多個域,其中每個域均由特定的域所有者擁有,並且是為了該所有者而被操作的,由此提供了安全可信的服務和應用。由此,舉例來說,DM的域可以表示為TDDM,DO的域可以表示為TDDO。THSM中的域可以執行那些可能不安全或不便於在ME中執行的安全敏感的功能和應用。
某些域可以由一個或多個服務供應商擁有和管理。例如:行動網路營運商(MNO);其他通信網路營運商,例如無線區域網路(WLAN)供應商或WiMax供應商;應用服務供應商,例如行動支付、行動票務、數位權利管理(DRM)、行動TV或是基於位置的服務的服務供應商;或是IP多媒體核心網路子系統(IMS)服務供應商。預訂管理可以由服務供應商擁有的域提供支援。為了簡單起見,在下文中可以將THSM域上實施的預訂管理功能表示為TSIM功能。為TSIM功能提供的支援有可能隨著域而改變。例如,所支援的TSIM功能可以包括類似於移動終端上的UICC上的USIM和ISIM應用提供的那些功能。與UICC相似,THSM可以提供除了TSIM所提供的之外的其他功能、應用和資料。
TSIM可以是軟體單元或虛擬應用。在一開始,TSIM有可能沒有與特定網路營運商或公共陸地行動網路(PLMN)相關聯的證書。該TSIM可以參考UMTS蜂窩存取網路的預訂證書/應用管理。例如,TSIM可以包括對於諸如UMTS驗證密鑰之
類的強秘密(Ki)的管理。在M2M上下文中,TSIM還可以包括M2M連接識別管理(MCIM)。
THSM可以包括核心可信根(RoT)測量(CRTM)單元,該單元與可以在具有可信平臺模組(TPM)或移動可信模組(MTM)的計算設備中發現的測量可信根(RTM)相似。THSM的CRTM可以測量THSM根代碼的完整性,舉例來說,該測量是在THSM引導時間進行的。該完整性度量可以通過擴展操作來計算,例如藉由對THSM引導碼、BIOS以及可選地對THSM的製造商特性應用加密摘要(digest)值運算來計算,其中該製造商特性可以是版本號、軟體配置或發行編號碼。舉個例子,完整性度量可以用某一版的安全散列演算法(SHA)散列演算法計算,例如SHA-X。
THSM可以包括核心RoT(CRTS)儲存單元,該單元與在TPM或MTM中發現的用於儲存的可信根(RTS)相似,並且被配置用於在受保護的儲存裝置中儲存完整性度量。THSM還可以包括核心RoT報告(CRTR)單元,該單元與在TPM或MTM中發現的可信根(RTR)報告相似,並且被配置用於向外部詢問者報告THSM的完整性量度。
因此,THSM在可信量度、儲存和報告方面可以有效提供類似於TPM或MTM的能力。THSM還可以包括實現多個可信的利益相關者(skateholder)工具(engine)的能力。更進一步,THSM可以被配置用於實現相應的多利益相關者可信子系統。由此,THSM可以類似於TCG行動電話工作組(MPWG)規範定義的可信行動電話。
THSM可以被配置用於建構多個內部的“利益相關者域”,
例如,可以使用這裏描述的核心RoT能力來進行建構。利益相關者可以是THSM設備製造商(DM)、THSM設備所有者(DO)或THSM設備用戶(DU)。DU既可以等同於DO,也可以不同於DO。每個THSM都可以具有一個以上的DU。利益相關者還可以是由DO特定出租或擁有的域的不同遠端所有者(RO)。例如,諸如MNO、IMS服務供應商、非3GPP存取網路營運商或增值應用服務供應商之類的第三代合作夥伴項目(3GPP)PLMN營運商都可以是利益相關者。
某些域可以是強制性的,在這種情況下,它們可以在製造THSM的時候被預先配置。例如,DM域可以是強制性的,並且其在引導時間可以是依照預先配置的檔案而被建構或載入的。DO域也可以是強制性的,並且它可以被建構成預先提供的配置。或者,域也可以依照下載的配置檔案來建構。
在被域的所有者“聲明(claim)”和“擁有”之前,除了DM域之外的域有可能經歷遠端獲取所有權(RTO)處理。在特定的域經過RTO處理之前,用於非特定所有者的“原始”域是有可能存在的。在這種情況下,對於該域是沒有被要求特定的所有權的。
THSM上的域可以經由THSM-ME介面與ME通信和交換資訊。例如,域可以在引導或RTO處理期間與ME通信。對經由THSM-ME介面交換的資料來說,它們有可能需要保護。
對經由THSM-ME介面的進行所有通信來說,這些通信的完整性都是需要保護的。例如,完整性保護可以使用密鑰,比如預先提供的臨時密鑰或是使用驗證密鑰交換機制交換的密鑰。這些密鑰既可以是對稱的,例如Ktemp_1,也可以是非對稱的,例如THSM為了完整性而使用的公鑰或私鑰的
Kpub/priv_THSM_temp_I或是ME為了完整性而使用的公鑰或私鑰的Kpub/priv_ME_temp_I。臨時密鑰可以用於保護介面。例如,臨時密鑰可以與有效週期關聯,或者可以被使用一次或預定次數。
對於經由THSM-ME介面進行的通信來說,其保密性同樣可以用加密裝置提供。可以使用預先提供的臨時密鑰或者用驗證密鑰交換機制交換的密鑰。加密密鑰既可以是對稱的,例如用於加密的Ktemp_C,也可以是非對稱的,例如THSM為了加密而使用的公鑰或私鑰的Kpub/priv_THSM_temp_C,以及ME為了加密而使用的公鑰或私鑰的Kpub/priv_ME_temp_C。為了簡單起見,這裏描述的RTO方法和設備涉及的是使用預先提供的對稱臨時密鑰。但是,本領域中具有通常知識者應該想到,在不超出本申請的範圍的情況下,其他的密鑰實施方式也是可以使用的。
對於在THSM-ME與RO之間明文傳遞的訊息來說,可以提供防護來對抗針對這些訊息的重放攻擊。經由THSM-ME介面發送的每個訊息都有可能擁有一個臨時使用的保鮮品質。為了簡單起見,這裏描述的RTO協定可以包括為經由ME-THSM介面交換的所有訊息實施的防重放保護;但是本領域中具有通常知識者應該想到,在不超出本申請的範圍的情況下,其他介面保護配置也是可以使用的。
簽名可以應用於散列。例如,散列可以通過SHA-X演算法產生。可信的第三方可以使用證書(CertTSIM)來證實與THSM相關聯的私鑰-公鑰對,例如KTSIM-Priv和KTSIM-Pub。可信第三方還可以使用證書(CertRO)來證實與網路關聯的另一組密鑰,例
如KRO-Priv和KRO-Pub。這些證書可以儲存在為被考慮的域分配的受保護記憶體中。
公鑰KRO-Pub可以供THSM平臺(尤其是TSIM)用以檢驗那些來自RO的簽名、或者是用以加密那些發送給RO的訊息。私鑰KRO-Priv可以被網路用於簽名目的,並且可以用於對TSIM使用相應公鑰加密的訊息進行解密。公鑰-私鑰對KTSIM-Pub和KTSIM-Priv可以包括類似的功能,只不過TSIM和RO的角色發生了交換。或者,在RO和TSIM上可以具有用於加密和簽名的獨立密鑰對。
密鑰對KRO-Priv和KRO-Pub以及KTSIM-Priv和KTSIM-Pub可以取決於所有者、用戶或是這二者選擇的特定網路服務。諸如RO之類的每個服務供應商本身都具有為與該供應商關聯的THSM上的每一個域認證的公鑰-私鑰對。所選擇的服務可以確定使用哪一個密鑰對集合。例如,公鑰-私鑰對集合可以由選定的服務供應商以及THSM上的相關聯域確定。可以不會對所使用的密鑰進行協商。公鑰或私鑰對可以由服務供應商來確定,並且可以與THSM子系統或域緊密關聯。
THSM TDDO可以配置“系統級域管理器”(SDM)。該SDM可以保護性地儲存包含“系統級域策略”(SDP)的預先配置檔案。SDM可以根據SDP來為THSM建構或載入RO的域。該SDM可以包含在DO的域的原始配置中。SDM可以使用預先配置的SDP來確定應該建構哪些其他域以及以怎樣的順序建構。
作為RO域的代表,在被RO域請求的時候,SDM可以預備並提供THSM平臺環境概要(TPES)以及THSM平臺完整
性證明(TPIA)。TPES可以描述關於THSM的最新“環境”的概要資訊。該資訊可以包括在保密性和隔離性方面以相應域策略為條件或得到其許可的THSM上的域的數量和概要特徵、以及可以用於通信並與發起請求的域共用功能或資源的THSM上的任何剩餘資源。TPIA可以包括關於THSM的一個或多個域的完整性證明的集合。TPIA還可以包括用於支援該域的平臺的完整性證明。TPIA可以用於向外部檢驗者證明所關注的域以及支援這些域的平臺的可信狀態,其中該外部檢驗者可以是例如有興趣為THSM上的原始域執行RTO處理的RO。RO或RO域(TDRO)可以向SDM請求TPIA。SDM可以依照SDP來滿足或拒絕該請求。
SDM還可以與THSM的實際存在的設備所有者互動,例如與服務人員互動,以便互動識別應該建構的其他域和建構順序。此外,SDM還可以請求用戶域與THSM的實際存在的用戶互動,以便為待建構的域提供輸入和建構順序。在建構域的過程中,該資訊可以用作輸入。
在為RO域執行RTO處理時,THSM可以被配置成在遠端獲取所有權協定完成之前實現四種不同的系統狀態。THSMPre_Boot系統狀態可以指示:THSM尚未“通電”。THSM_TDDM_LOAD_COMPLETE系統狀態可以指示:作為THSM通電後的第一個步驟,THSM上的DM域已被建構或載入。THSM_TDDO_LOAD_COMPLETE系統狀態可以指示:將DO域(TDDO)建構或載入至最終可用配置。如果DO域本身從未經過RTO處理,那麼該“最終可用配置”可以是“原始”配置,或者也可以是“後RTO”配置。DM域可以建構或載入DO
域。在DO域經過至少一個RTO處理之前,DO域有可能處於“原始”狀態,並且可以未被任何特定DO聲明或擁有。該“原始”域可以包括“外層”(shell)。在首次建構或載入DO域時,“最終可用配置”(在這裏和以後將被稱為最終配置)來自預先配置的檔案。或者,如果“最終配置”是從RO的域的RTO處理產生的,那麼THSM上的特定域至少會有一次通過遠端獲取所有權協定,並且遠端所有者可以得到TSSRO的所有權。而這可以指示在遠端獲取所有權的處理結束時在平臺上已經配置的可信子系統。在達到該狀態時或者在該狀態之前,特定RO可以開始執行其他任務。
THSM_TDRO_LOAD_COMPLETE系統狀態可以指示已經將RO域(TDRO)被建構或載入至最終可用配置。如果RO域本身從未經過RTO處理,那麼該“最終可用配置”可以是“原始”配置,或者也可以是“後RTO”配置。DM域可以建構或載入RO域。在DO域通過至少一個RTO處理之前,DO域有可能處於“原始”狀態,並且可以未被任何特定DO聲明或擁有。該“原始”域可以包括“外層”。在首次建構或載入RO的TO時,“最終配置”來自預先配置的檔案。
或者,如果最終配置是從RO TD的RTO處理產生的,那麼THSM上的特定TD至少會有一次通過RTO協定,並且RO會獲取TDRO的所有權。而這指示的是在RTO完成時已經在平臺上配置的可信子系統。在達到此狀態時,特定RO可以開始執行其他任務。如果RO的TD(TDRO)是MNO的TD,那麼到這個階段,MNO的TD可以提供在該TDRO上實現的最終可信用戶身份管理(TSIM)功能。
或者,系統級域管理器(SDM)可以在DM的TD中實現而不是在DO的TD中實現。在向DM的TD提供了恰當的授權資料之後,DO可以使用DM的TD提供的SDM來執行創建、載入以及以其他方式管理THSM上的各種遠端所有者TD的任務。在本實例中,THSM系統引導序列以及RTO處理序列的細節有可能不同於這裏描述的內容,但是仍處於本申請案的範圍以內。本實例的引導和RTO處理以及關於DO或DO的TD可以如何使用DM的TD提供的SDM的描述有可能與這裏描述的內容相似,例如,該描述有可能涉及哪些類型的授權資料可被提供(以及如何可以提供該資料)。舉個例子,作為智慧卡嵌入的THSM可以包括卡管理器,其具有用於支援諸如全球平臺這類標準所規定的卡管理器功能的功能,其中該卡管理器負責代表卡發行者來管理卡上的安全域。卡發行者可以類似於DM,並且卡管理器可以包括SDM的某些功能。因此,卡管理器可以類似於DM的域中保持的SDM。
在第一實施方式中,ME可以被配置用於提供安全引導能力,並且THSM可以被配置成提供全部MTM能力。在通電時,ME可以執行安全引導。例如,ME可以執行一個非-TCG“安全”引導,舉例來說,該引導可以依據開放移動終端平臺(OMTP)可信執行環境TR0規範進行。例如在引導時,THSM可以首先藉由啟動來建構THSM DM的域(TDDM),然後則建構“原始”THSM DO的域(TDDO)。如果DO和DU是獨立的,那麼THSM還可以建構THSM DU的域。
在一開始,THSM TDDM可以用在THSM中受到保護並在引導時提供的預先配置的檔案進行建構。THSM TDDO可以大部
分使用預先配置的檔案建構,但是也可以用RTO處理建構。THSM TDDO可以通過RTO協定。該協定可以採取與用於RO域(TDRO)的RTO協定相同的形式,或者它也可以是不同的協定。如果THSM TEDO沒有通過RTO協定,則可以預先配置並且預先提供獲取所有權需要的證書。THSM TEDO可以被DO擁有。DO既可以是實際的人類用戶或所有者,也可以是諸如企業或是其資訊技術(IT)部門之類的組織,還可以是遠端網路營運商(NO)。
THSM TDU可以使用在THSM TEDO中預先供應的預先配置檔案建構。依照THSM的DO的系統級域策略(SDP),THSM的RO域可以首先被構造成“原始”配置,THSM的RO域可以使用RO來通過RTO處理。DO的域的SDM可以依照SDP來管理RO域的RTO處理。如果THSM RO是MNO,由此RO域是MNO的域,那麼該MNO的域同樣可以通過定義了下列各項的協定:i)可以如何將MNO的域註冊到MNO;ii)可以如何將預訂證書(例如USIM或MCIM秘密密鑰Ki和國際行動用戶識別碼(IMSI)等等)從MNO的行動網路複製(roll-off)到THSM上的MNO域並且隨後在那裏提供該證書;以及iii)可以如何在下載預訂證書的時候將處理或使用該證書的功能甚至提供預訂管理功能的域從一個設備遷移到另一個設備。這些協定分別可以被稱為i)註冊協定;ii)證書複製協定;以及3)遷移協定。在完成了RTO之後,THSM的RO域可以向RO證實和報告其本身配置。
在第一實施方式中,ME能夠執行的唯一可信建構機制是執行通電時的安全引導處理,其中ME配置未必能被ME或
THSM進一步證明。或者,ME可以執行自我完整性檢查,並在其完成安全引導時產生一個完整值(IV)。ME可以使用空中下載(OTA)方法並且依照諸如UMTS安全模式特徵之類的安全模式特徵來安裝軟體,例如用於置信度和完整性保護的工具。作為選擇,當使用RO並經由RTO處理來獲取RO的域的所有權的時候,RO可以下載或者以其他方式引入並且隨後聲明其本身在其可接受的THSM條件方面的策略,以便允許完成RTO處理。在RO同意整個THSM的條件、THSM其他域的建構結構條件、或是所有這二者時,RO可以被配置用於為將其本身安裝在THSM平臺上的處理“把關”(gate-keep)。由此,作為RTO處理的一部分,RO可以與DO域的SDM交換一些資訊,以便識別DO的狀況或“域建構計畫”,並且只在RO可接受這些狀況的時候才允許結束RTO處理。RO域還具有權利並且可以被配置用於執行功能來實施這些權利,以便在已經同意將完成了RTO處理的RO域初始建構於THSM之後,以允許使用THSM的狀況或域建構計畫中的任何變化來對該RO域進行更新或者為其通告這些變化。特定於RO域的策略(DP)可以規定那些可能需要向RO域通告的變化的類型。
SDM可以為與預定RO關聯的RO域發起RTO處理。這種處理可以在RO域處於“原始”的“未被要求”(claim)的狀態的時候進行。例如,RO域可以由DO域和DO命名為“域X(TDx)”。該域可以在一個尚未被要求的外層或是“原始”狀況中創建。在這種情況下,SDM可以發起RTO處理,由此它會與代表域TDX的預定RO取得聯繫。一旦RO已經通過了用於該域的RTO處理,那麼SDM可以不再為這個域發起另一個RTO
處理。取而代之的是,RTO本身可以在這個特定域上發起另一種所有權獲取處理。這種所有權獲取處理可以不同於迄今為止規定的RTO處理,其不同之處在於前者可以由遠端所有者遠端發起,而不是由設備所用者/用戶或是設備本身(有可能在SDM或DO域的協調下)在本地發起。即使在RO域已經通過了RTO處理並且由此被恰當的RO“要求”或“擁有”之後,DO也可以保持刪除、銷毀任何RO域或斷開與任何RO域的連接的權力。但是,DO通常未必能夠知道儲存在RO域內部的秘密,或是在RO域內部執行的臨時計算或功能。
在SDM發起用於原始RO域的RTO處理之前,它可以查找用於域建構的可用資源列表。該期望的列表可以由DM域保持。此外,SDM還可以查找“期望域”列表。該期望域列表可以保持在DO域TDDO中。SDM還可以查閱系統域策略(SDP)以及可以用於來自DM域的查詢的THSM和平臺的已有域的目前狀態,這其中包括可信狀態。該資訊可以用於決定用於特定RO域的期望RTO處理依據可用資源和策略是否可行、依據期望域列表是否是期望的、以及依據THSM已有域的狀態是否被允許,其中該狀態可以是例如可信狀態。
或者,遠端所有者域(TDRO)可以自己啟動和管理RTO處理。在RTO處理之前,TDRO有可能未被要求並處於“原始”狀況。該“原始”RO域TDRO可以包括預先配置的功能,其中該預先配置的功能允許其在啟動時與它的預定RO取得聯繫,並且自主啟動RTO處理。作為選擇,RTO處理可以在TDRO向THSM的所有者或用戶發出提示並且隨後從THSM的所有者或用戶那裏得到了發起RTO處理的“點頭表示”之後啟動。在下
文中可以將已被創建並且將要為(目標)遠端所有者RO_target擁有但卻尚未經由RTO處理而被擁有並仍舊處於“原始”狀態的域TD稱為TDRO_target*。
在另一個替代方案中,TDRO有可能通過了結合特定RO的至少一個RTO處理,並且目前可以被RO“要求”或“擁有”。對於DO或是其在THSM上的代理(例如域TDRO)來說,其是否允許為同一RO域啟動另一個RTO處理可以取決於RO的策略及/或SDM的策略。SDM可以檢查RTO的目的,並且可以根據可允許的目的或是其策略結構內部的活動來決定是否允許繼續這個新的RTO。經由遠端信令,RO或是RO域(TDRO)可以為具有相同RO的域發起另一個RTO處理。這種處理可以當RO需要更新配置檔案、安全策略或是可執行代碼的時候在TDRO中進行。RO可以下載更新。更新可以通過非RTO、空中下載(OTA)更新處理來進行。但在某些情況中,RO或TDRO可以使用另一個RTO處理來更新一些檔案或代碼。
當“原始”TDRO發起自己的RTO處理時,它有可能需要依據SDM來查找用於域建構的可用資源的列表,該列表則可以由DM域保持。TDRO還可以依靠SDM來查找保持在DO域中的“期望域”列表、系統域策略(SDP)以及可用於來自DM域的查詢的THSM的已有域的目前狀態(包括可信狀態)。該資訊可以用於決定用於特定RO域的期望RTO處理依據可用資源和策略是否可行、依據期望域列表是否是期望的、以及依據THSM已有域的狀態或者信任狀態是否被允許。
SDM策略可以在用於DO的所有權獲取(TO)處理期間被配置。該處理可以經由預先存在的配置結構而在本地進行,其
中該結構是在引導處理期間實施的。DO的TO還可以在遠端進行;如這裏規定的那樣,該處理可以類似於將要與並非設備所有者域的域的所有權獲取處理結合使用的RTO處理(除了對用於DO域的TO處理來說,用於阻止或允許RTO的SDM檢查可以不被調用之外),這與用於非設備所有者的遠端所有者的RTO處理的情況不同。SDP可以在DO的所有權獲取處理期間建立,其中該處理既可以在本地執行(DO實際存在並與設備互動),也可以採用一種包含了與位於遠端的設備所有者遠端互動的方式執行。該列表還可以包括規定了不允許獲取域所有權的遠端所有者的附加項。
在第二實施方式中,ME可以具有安全引導能力,並且可以依據THSM來執行一些對其某些引導碼執行“安全引導”檢查。此外,ME還可以執行非TCG安全引導,例如OMTP TR0安全引導。THSM可用於檢查ME的完整性,以便“使用”為THSM提供的實體保護。例如,ME可以向THSM發送原始資料,THSM則可以檢查ME的完整性。WTRU可以實施一種在ME與THSM以及ME的“較值得信任的”部分之間提供安全通道的機制,其中所述部分至少被信任能夠以安全方式向THSM發送代碼或資料,並且安全地與THSM通信,例如經由安全通道,以使得THSM能為ME執行完整性檢查。THSM還可以在其內部儲存代表了ME的某些ME代碼。這些代碼可以在引導處理期間載入ME。THSM還可以執行對ME的完整性進行檢查的作用,或者執行儲存和載入ME的某些代碼的作用,這是因為在THSM本身與ME之間,由於THSM具有基於硬體的保護機制,因此該THSM可以是更為可信的環境。在第三實施方
式中,THSM可以為ME代碼執行安全引導或完整性檢查中的某些處理。該處理能夠為RO證實。ME可以包括單一可信實體;移動可信環境(MTE)。MTE可以是ME內部的邏輯獨立的環境,並且其比ME的剩餘部分更可信。MTE可以使用某些基於硬體的保護機制,例如基於硬體的可信根(RoT)。在載入了ME的基本代碼之後,這時可以載入MTE。從可以向外部檢驗器提供信任證明(例如使用可信簽名密鑰)的意義上講,MTE可以是可信實體。雖然MTE是可信實體,但其未必擁有用於測量的核心可信根,該核心可信根是與實際TPM相關聯的測量程式碼。至於ME,作為已通電設備,它提供了一個可供THSM操作的平臺,在這裏可以將ME稱為ME平臺。MTE可以被配置用於收集ME平臺的完整性證據,並且至少在使用MTE內部受到保護的簽名密鑰所提供的完整性保護下將證據轉發至THSM內部的可信實體,例如後引導SDM。由於THSM實施了TCG TPM或是類似於MTM的完整性測量和檢驗功能,因此,THSM還可以實現TCH TPM或MTM能力,從而執行“擴展”操作,由此,目前軟體的量度會與用於指示軟體載入歷史狀態的平臺配置暫存器(PCR)的目前值組合,從而計算新的PCR值。THSM還可以實施一種機制來將摘要值(該摘要值可以是軟體元件完整性的原始測量值)或PCR值轉換成可用於向THSM證明ME平臺的可信度的另一個完整性資料。為了簡單起見,在下文中可以將所收集的ME平臺完整性資料表示為ME平臺完整性資料(MPID)。THSM可能沒有保持用於ME或MTE的域。THSM有可能可以從預先配置的檔案或是通過與DM即時聯繫來獲取經過認證的度量,並且它會對照該度量來檢查計
算得到的摘要。如果確定匹配,那麼隨後可以證實該ME。MTE還能夠收集用於描述ME“環境”的資料,例如模型數量、期望執行哪種服務以及為誰執行服務。為了簡單起見,在下文中可以將這種關於ME的環境描述表示成ME平臺環境調查(MPES)。THSM DO的RO可以證明自己的域以及ME平臺的完整性。該證明可以類似於M2M情況中的可信環境(TRE)的M2ME檢驗功能,並且在PCT專利申請案WO2009/092115(PCT/US2009/031603)中規定了所述功能。ME可以自己或者在THSM請求的時候持續向THSM報告其變化的狀態。
在第四實施方式中,ME和THSM都可以被配置成執行完整的MTM功能。ME或是其域的可信度既可以由ME證實,也可以由這些域直接證實。ME的RO域可以持續或者依據請求來向RO報告其狀態。THSM的RO域也可以具有類似的功能。由ME的RO域和THSM的RO域做出的報告可以同步,並且還可以相互綁定。此外,這些報告也可以使用協定流的公共會話來產生。
在本實施方式中,ME可以被配置成執行這裏描述的THSM的若干功能。ME可以包括其本身的一個或多個域,每一個域都針對的是特定的所有者。這些域可以包括依照THSM的可信實體的屬性。此類域可以包括設備製造商(DM)域和用戶(U)域。這些域可以用一種類似於THSM的方式而被預先配置。為了區分ME上的域與THSM上的域,在用於表示該域本身的字母上可以加上字母ME作為下標。因此,用於DM的域可以表示為MEDM。THSM上的設備所有者(DO)域可以監視ME側的域,以便確保與SDM中的系統級域策略(SDP)一致。利用
創建ME中的每一個域,可以通過與SDM通信來使THSM DO知道每一個新的域的配置。
ME可以包括稱為平臺域管理器(MEPDM)的域管理器,該管理器可以採用類似於THSM中的SDM的方式運作。MEPDM可以駐留在MEDM中,並且在一開始可以具有DM定義的預先配置。這種初始配置在其目的和功能上有可能類似於THSM上的TDDM的初始預先配置定義的配置。而MEDM的設置則可以被定時為在THSM中示例的TDDO之後發生。當SDM得知用於MEDM的設置完成時,它可以根據系統級限制來實施源於SDP或是由SDP反映的策略限制。SDM可以保持THSM上的多個遠端所有者及其域的列表。如果要在ME上創建和管理屬於列表中的一個所有者的域,那麼SDM可以對在ME上創建和管理這些域的處理進行某種控制。
在本實施方式中,ME可以具有完整的MTM功能。由此,它可以包括用於測量的核心可信根(CRTM)、用於報告的核心可信根(CRTR)、以及用於儲存的核心可信根(CRTS)。在THSM上,域預訂功能可以由TSIM功能來管理。如果有兩個域(例如THSM上的一個域和ME上的另一個域)是用於同一RO的,那麼THSM上的域可以用於那些用於RO且需要很高等級的安全及/或信任的功能或服務,例如預訂功能及其用於遠端所有者的管理,而ME上的域則可以用於那些用於同一RO且仍舊需要一定等級的安全或信任的功能或服務,但是該等級的安全或信任並未達到預計來自THSM上的域的功能和服務所需要的相同等級。不從預先配置的檔案建構的域可以通過遠端所有權獲取(RTO)處理來配置。用於ME和用於典型遠端所有者(RO)
的RTO可以與用於THSM的RTO類似。
ME上的域可以不是預定用於遠端所有者的預訂管理的。取而代之的是,它們有可能為了用戶、所有者、遠端所有者及其任何組合的利益而被預定用於執行計算和資源密集的任務。例如,這些域可以執行無法由THSM上的相對有限的資源實現的任務。與一旦創建就處於ME內部、直至被顯式地刪除不同,與虛擬化相似,ME上的域可以在引導甚至運行時的會話中創建,並且可以基於臨時的會話而被用於其特定目的,從這個意義上講,這些域還可以是更為“短暫”或“暫時”的。在請求和獲取已被證實的資源分配調查以及其他遠端所有者擁有的ME上的其他域或是THSM上的其他這樣的域的分配目的的方面,ME上的域的遠端所有者未必具有相同等級的許可權。
如果能為移動可信平臺的設備所有者提供一種方法來購買沒有被特定PLMN預先分配和初始化的“空白”(blank)WTRU,從而允許在沒有限制的情況下任意選擇行動網路營運商,那麼將會是非常有利的,其中該特定PLMN也被稱為MNO遠端所有者。該方法可以包括對諸如UMTS設備(UE)之類的WTRU執行所有權獲取處理,例如RTO處理,其中遠端所有者是PLMN營運商或是意欲與之預訂應用的其他類似營運商,以及設置、客制化和結束諸如RO域之類的子系統,其中該RO域是處於THSM內部並且可以被正確RO要求的域。
如前所述,可信硬體預訂模組(THSM)既可以作為防篡改硬體元件來建構,也可以在其內部包含防篡改元件,其中該元件包含了用於PLMN營運商的預訂應用以及其他加值服務的功能,例如用於IMS預訂識別模組(ISIM)的功能。THSM既
可以是能夠從WTRU上移除的,也可以是不能從WTRU上移除的。UICC的增強型版本或是相容全球平臺標準的智慧卡可以是這種THSM的一個實施方式。
所有權獲取操作在營運商或PLMN與WTRU之間建立了基本的“信任”關係。該程序可以包括安裝和示例“空白的可信”TSIM,其中該TSIM包含了具有普通“可信”軟體配置的“原始”工具。如果該平臺能夠提供其“原始”配置的和安全屬性的證據,那麼該子系統可以由遠端所有者認證。第3和3A圖示出了該處理的一個實例,該實例特別關聯於這裏描述的第一實施方式。遠端所有者可以是為用戶提供被請求的服務、設置恰當的安全策略以及實施與服務相符的設備配置的行動網路。該協定的所有者可以處於本地。
第3和3A圖示出了例示的引導和RTO處理。ME可以具有引導前狀態304。在306,設備可以通電。在308,ME可以執行“安全”引導(非TCG)。ME可以達到基本碼已引導狀態310。更進一步,在312,ME可以向THSM發送“基本引導完成”信號。在314,ME可以依照基本配置來載入附加軟體。在316,ME引導可以完成(載入了應用)。在318,ME可以向THSM發送引導完成訊息。
THSM可以處於引導前狀態330。在334,THSM可以載入TEDM。該THSM可以在配置期間接收預先配置的檔案,例如,336示出了使用預先配置的檔案。在338,THSM可以達到“TDDM已建構”狀態(基本配置狀態)。如340所示,THSM可以接收可用於RO域的資源上的DM規範。
在342,TDDM可以建構TDDO(TDDO可以包括SDM)。在
344,舉例來說,THSM可以使用已儲存的配置檔案,從而建構域(有可能因為先前的RTO而可供使用)。在346,THSM可以達到TDDO已建構狀態(包括SDM),其中TDDO既有可能沒有被DO要求,也有可能已被DO要求。在350,TDDO可以建構TDU。在352,從DO可以接收輸入。在354,THSM可以達到TDU已建構狀態,其中TDU既有可能未被要求,也有可能已被要求。在356,THSM可以接收來自DO或DU的輸入(例如藉由文件或互動來規定DO可能希望建構哪些域)。在358,TDDO可以建構RO域TDRO。
現在參考第3A圖,在362,THSM可以達到已經建構了TDRO的狀態,其中TDRO既有可能未被RO要求,也有可能已被RO要求。在366,SDM可以請求TDRO執行RTO,或者TDRO可以通知(或請求)SDM該TDRO將要執行RTO。在370,TDRO可以啟動RTO處理。在380,這時存在典型的遠端所有者(RO1...ROn)。在384,可以交換資訊。例如,作為結合遠端所有者的RTO處理的一部分,所交換的資訊可以包括下列各項中的一項或多項:證明、配置、策略、目的、證書(在這裏被稱為CERT)、密鑰和涉及TDRO的SP。作為選擇,RO可以在RTO處理期間找出DO的“環境”或“域規劃”,並且可以在其同意該環境/規劃的情況下允許該處理繼續進行。
在372,THSM可以獲取/更新不同的域的系統配置、儲存資訊、以及將資訊存入THSM中的非揮發受保護記憶體。在374,THSM可以達到具有後RTO TDRO的狀態。
參考第一實施方式,由DO的RTO形成的策略域可以包括影響了後續RTO處理的域配置的規定。該RTO協定有可能適
合非DO RO。特定於域的策略(DP)可以在RTO事務處理期間被下載。用於DO的DP可以不同於用於RO的DP,並且其不同之處在於這種DP(DPDO)可以包括預定用於建構和保持THSM中可以被遠端擁有的其他域的系統級域策略(SDP)。在RTO處理之前或者在RTO處理期間,域的RO可以從可信的第三方(TTP)那裏獲取參考完整性度量(RIMRO),其中該參考完整性度量針對的是支援所有THSM域中的所有域或是其子集的硬體或軟體的配置和目前完整性狀態,而該域的RO則可以被表示為:TTP→RO:RIMRO={支援THSM的域的HW/SW的配置和狀態,及/或摘要值} 等式1
在一些情況中,TTP有可能能夠將RIMRO提供給THSM的HW和SW的一個子集,這其中包含了RO有興趣進行檢驗的域。提供RIMRO有可能需要一個以上的TTP,其中RO收集該RIMRO並且形成一個集合參考度量。在THSM的SDM的幫助下,經歷RTO處理的THSM的目標域(TDRO_target)可以被配置用於為其RO提供已簽名THSM平臺完整性證明(TPIA)。該TPIA可以是THSM上的域的單一完整性證明及/或目標域的RO在允許完成結合了TDRO_target的RTO處理完成之前有興趣進行檢驗的設備平臺完整性證明的序連。在THSM的SDM的幫助下,THSM的目標域(TDRO_target)能夠為其RO提供已簽名TGSM平臺環境概要(TPES)。TPES可以包括THSM環境的概要,這其中包括THSM上的其他域的數量和特徵以及可用於TERO_target的任何剩餘可用資源,例如THSM平臺的資源,並且這些資源可以表示為:
TDRO_target→RO:[TPIA]signed∥[TPES]signed 等式2
或者,與向RO報告可能包含了所有關注的域上的所有證明的TPIA不同,SDM可以提供關於其已經檢查過所有這些域的完整性並且將這些域視為可信的已簽名聲明,其中該聲明可以是半自主聲明。這個證明可以包括關於域集合的完整性的本地檢驗。本地檢驗器可以包括用於THSM上的每一個域的有效配置列表。該SDM可以為本地檢驗器提供可以通過AIK簽名的TPIA。對於單一完整性證明的檢驗有可能需要它們與配置列表中相應的本地儲存的項匹配。SDM可以執行構造TPIA所需要的完整性測量、登錄以及PCR擴展,並且證明每一個域的可信度。這些測量及其擴展可以供檢驗器用於確定已經為所需要的域進行了證明。
一旦已經檢驗完成,本地檢驗器就可以預備相關證明已經進行的聲明,並且使用來自已認證的密鑰對(Ksign_verify_priv,Ksign_verify_pub)中的私鑰來對該聲明進行簽名。包含了與已簽名TPES序連的已簽名檢驗聲明的訊息可以表示為:TDRO_target→RO:[檢驗聲明]Ksign_verify_priv∥[TPES]signed等式3
一旦接收到來自一個或多個TTP的{RIMRO}以及來自TDRO_target的已簽名TPIA和已簽名TPES,則RO可以檢驗是否TDRO_target處於被RO發現適合用於繼續RTO處理的環境(例如THSM中的環境)、以及支援TDRO_target和RO所關注的其他任何域的硬體或軟體是否處於完整性與RO相符的狀態。
用於原始域的RO協定可以在通電時開始。作為選擇,該RTO協定也可以在通電之後開始。當THSM的安全引導完成
時,所產生的域的建構可以藉由配置檔案來確定,其中該配置檔案的內容反映了初始通電時的平臺狀態,例如首次通電時的平臺狀態,或是先前引導設備並且隨後將其斷電時的先前狀態。由此,設備可以處於包含了TDDM建構、“原始”TDDO以及“原始”TEU狀態的基本配置中。或者,WTRU可以處於以後的配置中,例如處於以先前啟動和域建構或是RTO處理為基礎的配置中,該RTO處理包括TDDM、“後RTO”TDDO和“後RTO”TEU狀態。在另一個替代實施方式中,WTRU可以處於這樣一種配置:其中該配置還包括附加域(例如第2圖所示的域)的擴展集合。這些域有可能是在先前的通電會話中已經創建的,並且所有權有可能被已經相應所有者通過先前運行的RTO處理獲取,其中該先前運行的RTO處理是在先前的會話中進行的。
參考第一實施方式,作為平臺的安全和可信實體,THSM可以控制所有權獲取協定,並且確定ME是否處於初始的信任狀態。預先提供的密鑰Ktemp可以用於保護經由THSM-ME介面發送的訊息的置信度。為了簡單起見,經過加密的訊息可以用{A}表示,訊息的簽名處理可以用[A]表示,並且符號IDME和IDTHSM分別表示預先提供的ME和THSM的臨時ID。
RTO啟動可以包括在結合特定RO的REO處理之後,由TDDO的SDM發起用於將要被RO要求的“未要求”、“原始”域的RTO。用戶可以啟動ME平臺的通電。在通電時,ME可以執行基本碼的“非TCG”“安全引導”,例如OMTP定義的引導,在該引導中,該基本碼將會變為“活動”。作為非TCG安全引導處理的一部分,ME基本碼的完整性是可以被自主檢查的。
參考第三實施方式,在完成了基本碼引導處理之後,這時
可以載入移動可信環境(MTE)。使用簽名密鑰,MTE可以證實ME平臺配置的完整性。
在載入了基本碼之後,ME可以週期性地將信號發送到THSM,從而指出其已經被引導到一個最低安全設定。由於在發送信號的時候,THSM的DO域有可能尚未被引導,因此ME可以發送具有不同隨機現時(nonce)(nonce_1)的相同信號,直至其接收到從THSM的DO域返回的確認信號。該信號可以表示為:Def)Package_1=“ME基本碼引導完成”MSG∥nonce_1∥IDME ME→THSM’s TDDO:Package_1∥[SHA-X(Package_1)]Ktemp_1等式4
參考第三實施方式,該信令可以表示為:Def)Package_1=“ME基本碼引導完成& MTE載入”MSG∥nonce_1∥IDME ME→THSM’s TDDO:Package_1∥[SHA-X(Package_1)]Ktemp_1等式5
THSM可以“安全”引導,由此THSM有可能已經載入了其DM域、“原始”DO域、用戶域以及至少一個將要被RO擁有但卻尚未擁有的“原始”域。此外,在載入這些域的過程中,可以對照每一個域的參考完整性度量(RIM)來檢查每一個域的代碼狀態的完整性。該檢查可以依照某個規範進行,例如TCG MPWG規範。
如果設備所有者域(TDDO)先前已經通過了用於DO的RTO處理,那麼它同樣可以載入到“預先配置的”配置或是“最後儲存的(先前RTO之後的)”配置中。在被載入的時候,DO域可以包括系統級域管理器(SDM)。SDM可以監視屬於其他遠端所
有者(RO)的域的建構或者載入或維護。SDM可以查找來自DM域的“域可用資源列表”,並且還可以查找由TDDO保護的系統級域策略(SDP)。
在引導時,SDM還可以用一個“可被建構的域的列表”來提示THSM的使用人或所有人(DO),並且請求用以選擇所要建構的域的輸入。在得到了來自用戶或所有者的輸入之後,SDM可以繼續建構那些僅僅在來自所有人或使用人的回應中規定的域。SDM可以通過與ME互動來提供用於這些事務處理的用戶介面(UI)。
在安全引導之後,THSM的TDDO可以向ME發送“THSM引導完成”訊息。該TDDO也可以在訊息內部包含能在外部可揭露的該域的目前狀態的概要,例如所載入的RO域的數量和名稱。TDDO的SDM可以確定並實施域的目前狀態概要的外部揭露程度,並且該確定可以基於SDP及/或THSM及/或ME上的域所具有的特定於域的策略(DP)。TDDO可以將包含接收到的nonce_1作為SHA-X完整性檢查代碼輸入的一部分,以此對在該訊息中接收到Package_1做出應答,其中該輸入可以表示如下:Def)Package_2=“THSM引導完成”MSG∥nonce_2∥IDTHSM TDDO→ME:Package_2∥[SHA-X(Package_1∥nonce_1)]Ktemp_1等式6
對於THSM的ID(例如IDTHSM)來說,該ID可以保持在DM域TDDM中,並且其可以相當於TDDM的ID。DO域TDDO可以將其從TDDM取回,以便建構等式6中的Package_2。
回應於“THSM引導完成”訊息,ME可以繼續完成其引導處
理。在完成了引導處理之後,ME可以向THSM的TDDO發送訊息,該訊息可以表示為:Def)Package_3=“ME引導完成”∥nonce_3 ME→TDDO:Package_3∥[SHA-X(Package_3∥nonce_2)]Ktemp_1等式7
下列內容適用於這樣的情形:其中DO域的SDM發起並監視用於目前“原始”的RO域的RTO處理。
在TDDO接收到來自ME的Package_2之後,這時可以啟動RTO處理。TDDO內部的系統級域管理器(SDM)可以向“原始”目標RO域(TD*RO_Target)請求啟動RTO處理來發起RTO處理。SDM既可以自主發起該處理,也可以在得到所有人或使用人的提示的時候發起該處理。SDM可以向TD*RO發送要求為目標RO啟動RTO處理的請求。該請求可以包括目標RO是誰,例如RO的ID或網路存取識別符(NAI),以及目前請求的有效週期。作為請求的一部分或是作為與請求一起傳送的獨立封包,SDM還可以發送用於“已許可RO域的SDP狀況”的列表(在下文中將其稱為SCARD)。當其在預定的RTO處理之後完成時,SDM還可以發送用於TDRO的“目標域規劃”。該訊息傳遞可以表示為:
Def)Package_4a=Request_to_start_RTO∥SCARD∥目標域規劃∥nonce_4 SDM→TD*RO_Target:Package_4a∥[SHA-X(Package_4a)]Ksign_SDM等式8
回應於Package_4的接收,TD*RO_Target可以接受或拒絕該請求。該請求可以被解釋為是允許RO獲取RO域的所有權的
“意向”。TD*RO_Target可以根據預先配置的標準或是其本身具有且已被載入的RO域策略的“原始”版本來做出該決定。TD*RO_Target可以被配置用於檢查Request_to_start_RTO、SCARD以及Target_Domain_Plan,並且在不存在實際目標遠端所有者的情況下做出這一決定和為實際目標遠端所有者而做出這類決定。該決定可以表示為:Def)Package_5a=Okay(or Not_Okay)_to_start_RTO∥nonce_5a TD*RO_Target→SDM:Package_5a∥[SHA-X(Package_5a)∥nonce_4]Ksign_TD*RO_Target等式9
“原始”目標RO域(TD*RO_Target)可以發起該處理。TD*RO_Target可以向SDM提醒其用於RTO處理的“最終域規劃”。該SDM可以許可或拒絕該請求。如果SDM許可該請求,則TD*RO可以啟動RTO處理,這可以表示為:Def)Package_5b=Intend_to_start_RTO∥Final Domain Plan∥nonce_5b TD*RO_Target→SDM:Package_5b∥[SHA-X(Package_5b)]Ksign_TD*RO_Target等式10
回應於Package_5a或Package_5b的接收,SDM可以為用於TD*RO_Target的RTO處理查找系統域策略(SDP)、“期望域”列表、“域可用資源”列表、或是THSM中的域的目前狀態,其中該系統域策略既可以是預先配置的、也可以藉由用於TDDO的RTO處理得到,該“期望域”列表既可以是預先配置的、也可以由所有者提供,而該“域可用資源”列表則可以由DM域保持並持續更新。
SDM還可以評估是否有足以用於建構和保持THSM上的
多個域的資源(例如用於虛擬機線程的記憶體或計算資源)、THSM中的域的目前狀態是否匹配“期望域”列表中規定的狀態、“期望域”中任何新域的建構或載入是否可以得到THSM中的域的目前狀態的支援以及SDP的許可、或者是否有一個或多個域需要通過RTO處理。
如果SDM根據可用資源、THSM現有域的目前狀態以及SDP來確定TD*RO_Target可以通過RTO處理,那麼SDM可以指示該決定(TD*RO_Target)並且繼續預備多個將要在RTO處理中被轉發給RO的完整性證明,以使其能對TD*RO_Target及其周圍的域進行評估。該證明可以表示為:Def)Package_6=Okay_to_go_ahead_with_RTO∥nonce_6 SDM→TD*RO_Target:Package_6∥[SHA-X(Package_6)∥nonce_5(a or b)]Ksign_SDM等式11
SDM可以向使用人指出其將要為特定域發起RTO處理,其中舉例來說,該指示可以藉由WTRU上顯示的訊息進行。SDM還可以使用“啟動RTO處理的期望域和期望RO”的列表來向使用人或所有人(DO)發出提示,並且繼續僅為那些由所有者或用戶回應於該提示指定的RO域發起RTO處理。SDM還可以與提供了用於這些事務的用戶介面(UT)的ME進行互動。
TD*RO_Target可以請求SDM預備其可以用於構造THSM平臺完整性證明(TPIA)和THSM平臺環境概要(TPES)的材料。該請求可以表示為:Det)Package_7=Request_for_TPIA∥Request_for_TPES∥nonce_7 TD*RO_Target→SDM:
Package_7∥[SHA-X(Package_7)∥nonce_6]Ksign_TD*RO_Target等式12
參考第三實施方式,該請求可以表示為:Def)Package_7a=Request_for_TPIA∥Request_for_TPES∥Request for MPID∥Request for MPES∥nonce_7a TD*RO_Target→SDM:Package_7a∥[SHA-X(Package_7a∥nonce_6)]Ksign_TD*RO_Target等式13
在關於TPIA和TPES的請求中,RO可以規定它從SDM那裏尋求的是與TPIA和TPES相關的何種資訊。例如,對TPIA來說,除了本身之外,它還可以規定其希望檢驗完整性所針對的域的名稱或範圍。同樣,對於TPES來說,RO可以規定除了其本身之外的域所有者的公共ID,例如網路分配識別符(NAI)。
參考第三實施方式,目標RO還可以請求與ME平臺的完整性(在下文中將其稱為MPID)相關的特定資訊、以及與ME環境相關的其他資訊。或者,RO可以請求表明載入了MTE並且ME向SDM發送了MPID和MPES的簡單指示符。作為駐留在ME平臺上的可信實體,在被SDM請求預備值MPID和MPES的時候,MTE可以執行預備該值。該請求可以表示為:Def)Package_7b=請求MPID∥請求MPES∥nonce_7b SDM→MTE:Package_7b∥[SHA-X(Package_7b)]Ksign_SDM等式14
MTE可以收集來自ME的配置資料並建構MPID。此外還可以獲取環境資料,以便產生ME平臺環境調查(MPES)。這
些值可以基於目前的ME狀態,其中該狀態有可能隨時間而改變。如果在ME狀態改變之後發出了以後的請求,那麼經過更新的值可以被發送到SDM。通常,ME可以向SDM發送回應,並且該回應可以表示為:Def)Package_8a=MPID∥MPES∥CertMTE MTE→SDM:Package_8a∥[SHA-X(Package_8a∥nonce_7b)]Ksign_MTE等式14
MTE可以提供經過CA簽名並包含其公鑰KMTE_Pub的證書。由此,SDM可以通過檢驗CA的簽名來檢驗這個公鑰的真實性,並且由此可以使用KMTE_Pub檢查來自MTE的訊息的完整性。SDM可以預備TPIA和TPES,並且稍後將其轉發到TD*RO_Target。
為了預備TPIA,SDM可以收集完整性證明,例如藉由“原始”TDRO收集該“原始”TDRO的完整性證明、藉由TEDM收集該TEDM的完整性證明、TEDO的完整性證明、藉由TEU收集該TEU的完整性證明(如果設備用戶不同於DO)、以及藉由RO關注的其他任何現有TDRO收集該現有TDRO的完整性證明。
或者,在收集了來自PCR的完整性數值之後,藉由本地自主檢查以及關於諸如編碼和資料之類的測量日誌的重新計算,SDM可以對照來自PCR且用於相應域的摘要值來檢驗該域。該處理可以在TTP(PCA)不知道應該包含相應域的最新代碼的時候執行,並且TTP可以對鏈結到AIK的簽名密鑰進行認證,其中該AIK是為WTRU上的TPM或MTM認證的。對於供RO比較來自SDM的TPIA的摘要度量來說,TTP可以不被
配置成為其提供參考值。通過重新計算域的代碼摘要,並且將其與所引證的PCR值進行比較,SDM可以在本地檢查其獲取以用於該域的PCR引證是否是最新的。如果通過了這個本地檢查,則SDM可以為TPIA簽名,並且將其經由MTE或ME傳遞到TDRO_target以及ROtarget。
在另一個替代方案、即三向檢驗中,作為TPIA的一部分,SDM可以提供域的摘要和測量日誌,例如實際代碼。在獲取了代碼以及摘要時,RO可以從TTP那裏獲取摘要的參考度量,並且可以從測量日誌中重新計算出摘要,以及可以將其與它從TDRO_Target接收的引證PCR摘要以及它從TTP接收的參考摘要度量進行比較。
對於具有或不具有測量日誌的TPIA來說,在已經執行PCR引證時,它還可以包括關於“本地時間”的指示,其中該指示有效時戳(time-stamping)了用於單個域的摘要的引證時間。這樣做給出了SDM最後一次獲取每一個域的PCR摘要的時間。如果沒有將測量日誌發送至RO,那麼在決定用以獲取和在TPIA中包含本地摘要的時間是否足夠新,以便允許在證明檢驗中使用該摘要方面,當需要驗證在TPIA中指示的證明時,帶有時戳的PCR引證可以向RO提供某些附加資訊。用於這種時戳的時鐘可以是一個可信賴的時鐘。
如果三向檢驗失敗,則RO可以請求TTP為其提供經過更新的參考度量或測量日誌,從中它可以計算出期望摘要。RO可以重新嘗試三向檢驗。如果檢驗成功,則RTO繼續進行。如果檢驗失敗並且RO策略需要成功的三向檢驗,則可以終止RTO。
對於DO域的完整性證明,SDM可以自動地獲取,例如通
過該SDM本身的功能來獲取。對於完整性證明來說,除了DO域的完整性證明之外,SDM還可以請求相應的其他域產生其本身相應的完整性證明並為其簽名。在請求中,SDM可以包括諸如訊標之類的授權資料,並且接收方可以使用該授權資料來檢查SDM是否有權從該域請求和獲取完整性證明。該請求還可以包括接收域的平臺配置暫存器(PCR)的範圍,其中目標RO以及作為目標RO請求的轉發者的SDM需要對其接收方域的完整性進行檢查。該請求可以表示為:Def)Package_8b(i)=Request_for_Attestation∥nonce_8b(i),i=1,2,...,N SDM→TDDomain( i ):Package_8b(i)∥[SHA-X(Package_8b(i))]Ksign_SDM.等式15
可以將每一個域表示為domain(i),i=1,2,...,N,N是域(SDM從該域收集了PCR值)的數量,其中每一個域首先檢查Request_for_Attestation中的授權資料,然後則取回Request_for_Attestation中規定的PCR範圍的PCR值。該操作可以表示為:Def)Package_8c(i)=規定的PCR範圍的值∥nonce_8c(i),i=1,2,..,N TDDomain(i)→SDM:Package_8c(i)∥[SHA-X(Package_8c(i)∥nonce_8b(i)]Ksign_TD_Domain(i)等式16
SDM可以執行THSM平臺完整性證明(TPIA),以便序連所有證明並使用其簽名密鑰來為這些證明簽名。該處理可以表示為:
Def)TPIA=Concatenation{來自Domain(i)的簽名的PCR值},i=1,2,.,,N等式17
對於TPES預備處理來說,SDM可以藉由序連那些它從TDDM、TDDO和TDDomains(i)收集的資訊來產生TPES,舉例來說,該資訊可以是能從DM域得到的THSM HW和SW配置和版本號碼、BIOS配置、平臺上的域的數量、諸如記憶體之類的用於目前域的總平臺資源、為了進一步建構或擴展現有域或新域而保留的平臺資源、域的名稱或是其所有者的姓名或ID(如果相應域所有者允許)(例如NAI)、SDM收集上述環境資訊時的日期/時間,如果單調計數器可用但日期/時間不可用,那麼該資訊也可以是單調計數器值,或者該資訊還可以是其他任何永久性資訊。該請求可以表示為:Def)TPES={收集的資訊}等式18
SDM可以為TPIA和TPES簽名,並且將其轉發到TD*RO_Target。SDM還可以包括已簽名的SCARD,由此,如果DO無法檢查SCARD,那麼它可能不需要依靠任何原始的TD* RO_Target 。SCARD可以與TPIA和TPES一起被發送到RO,由此RO可以決定在檢查了SCARD、TPIA和TPES之後繼續執行獲取所有權的處理。該訊息傳遞可以表示為:SDM→TDRO_Target:SCARD∥nonce_8fb∥[SHA-X(SCARD)∥nonce_8fb)]Ksign_SDM TPIA∥Concatenation{nonce_8c(i)}[SHA-X(TPIA)∥Concatenation{nonce_8c(i)}]Ksign_SDM,
TPES∥nonce_8f∥[SHA-X(TPES∥nonce_8f)]Ksign_SDM或SCARD∥TPIA∥TPES∥[SHA-X(SCARD∥TPIA∥TPES∥nonce_8f)]Ksign_SDM等式19
一旦從SDM接收到TPIA、TPES以及SCARD,則可以使用SDM的公共簽名密鑰來對它們進行檢查,以便檢查它們的完整性。然後,TPIA、TPES、SCARD、用以指出用戶所期望的服務的目的資訊元素(P)以及用於所有權獲取訊息的請求(request_TO)可以被發送至ME。如果RTO處理針對的是必須供應完整的TSIM能力的域,那麼還可以預備關於TSIM功能的已簽名證書(CertTSIM),並且將其與上述封包一起發送。
用於TSIM功能的證書有可能是兩個或更多。其中一個證書是用於原始TSIM功能的(CERT*TSIM),另一個則是用於那些完全被示例或更新的功能。用於原始TSIM功能的證書可以採用模組化的方式嵌入用於DM的證書結構中,例如,可以將其插入到作為來自DM的功能的原始域中。
當RO在TDRO已經預先通過了至少一個RTO之後執行RTO處理時,它有可能不再需要發送CERT*TSIM,這是因為該證書僅僅適合與原始域一起使用,而該TDRO卻不再是原始域。因此,在這種情況下,RO可以發送經過更新的證書CERTTSIM。
如果目標RO在TD*RO_Target使用之前已經知道何時載入原始TD*RO_Target,則可以用目標RO的公鑰(K_Target_RO_pub)來對內容進行加密,舉例來說,該公鑰可以通過證書傳送或是通過預先配置來提供。可以為TSIM預先提供簽名密鑰
K_TSIM-Sign。這個私有簽名密鑰的公鑰可以預先被分發給目標RO。IDME是ME的ID,其中該ID是由TD*RO_Target從THSM DM的域TDDM獲取的,該域則安全地保持了ME ID。這可以表示為:Def)Package_9=SCARD∥TPIA∥TPES∥P∥Request_TO∥CertTSIM∥IDME∥nonce_9 TD*RO_Target→ME:{Package_9}K_Target_RO_Pub∥[SHA-X(Package_9)]K_TSIM-SIGN等式20
參考第三實施方式,在訊息中可以添加值MPIA和MPES。MPIA可以包括在THSM中根據MTE編譯的配置資料(MPID)計算的摘要。只有在與所獲取的已認證度量相符合的情況下,這個摘要才可以得到證實,其中該度量是預先存在於配置檔案中或是經由與DM的即時通信傳遞的。依照關於完整性和環境資訊的RO請求,等式20可以包括表明SDM成功接收到MPID和MPES的簡單指示。這一點可以表示為:Def)Package_9=SCARD∥TPIA∥TPES∥MPIA∥MPES∥P∥Request_TO∥CertTSIM∥IDME∥nonce_9 TD*RO_Target→ME:{Package_9}K_Target_RO_Pub∥[SHA-X(Package_9)]K_TSIM-SIGN.等式21
ME可以將上述整個訊息傳送到RO,並且這一點可以表示為:ME→Target RO:{Package_9}K_Target_RO_Pub∥[SHA-X(Package_9)]K_TSIM-SIGN.
等式22
參考第三實施方式,該訊息將會包括MPIA和MPES。
RO可以使用其私鑰KTarget_RO_Priv來對Package_10進行解密、檢查ME的ID、以及解譯這些訊息。RO可以解譯SCARD,並且查看它是否“符合”來自SDP的這些狀況。如果RO符合SCARD,那麼舉例來說,來自原始TD*RO_Target的值TPIA可以被解譯成代表了在向目標TO域TD*RO_Target提供任何服務證書或配置控制之前的整個初始TSIM狀態。值P可以被解譯成是指示了用戶期望的服務。目標RO(在啟用TSIM的TD*RO_Target的情況中,該目標RO可以是MNO)可以通過將TPIA中指示的其關注的域的完整性與它從TTP獨立獲取的參考完整性度量(RIM)值(RIMRO)進行比較來檢驗該完整性。
MNO可以具有通過WTRU/THSM的供應商提供的證書來知道TPIA的預期值的能力,舉例來說,該證書是提供給TTP的。參考第三實施方式,MPIA和MPES的預期值可通過認證處理而被提前得知,其中該認證處理可以通過MTE是可信實體這個事實而成為可能,並且該MTE的可信度已經由THSM證實。
目標RO可以查找接收到的TPES,並且評估TD*RO_Target是否處於這樣的THSM系統中:其中在RO的情況中,該THSM系統的“周圍系統環境”(例如TEPS所表示的系統)可與目標RO一致,由此允許其本身進一步執行RTO處理。
在檢查了TPIA、TPES、目的P、Request_TO之後,參考第三實施方式,MPIA、MPES以及諸如MNO之類的目標RO可以確定:正在請求由目標RO“獲取所有權”的原始TD*RO_Target
以及一般包含了TD*RO_Target的THSM是足以“信賴的”,由此允許其進一步執行RTO處理,以及讓其允許TD*RO_Target與之互動,從而提供某些預先指定的基本服務。
為了執行TD*RO_Target的所有權獲取,以使得域可以在以後下載密鑰、更完整的配置、參數和可執行代碼,並將其安裝的與基本“原始”狀態相比功能更強,並且還被目標遠端所有者(RO)要求或是擁有和管理,目標RO可以發送配置信號(CONFIG),其中該配置信號可以包括可執行代碼。RO還會發送用於TSIM的RIM,其中該RIM被稱為RIMTSIM,如果依照接收到的CONFIG安裝了配置、參數和可執行代碼,那麼該RIM可以與安裝後的狀態匹配。RIMTSIM可以儲存在TD*RO_Target上的安全記憶體中,並且可以用於在以後的引導時間檢查TSIM功能的完整性。此外,在事務處理中還可以包括域策略(DP),其中該域策略規定的是將要使用的安全措施以及其他配置問題。
特定於RO的域策略(DP)可以不同於由SDM保持並且代表了用於建構和保持THSM上的特定RO所擁有的一個或多個域的系統級域策略(SDP)。特定於RO的DP可以包括僅僅管理域內應用和特定域特定且獨有的安全措施的策略或規劃。
某些RO可以採用這樣一種方式來產生其DP:其中該方式使得DP還可以包括限制了關於哪些其他RO適合在TGSM上建構或管理的條款。例如,行動網路營運商(MNO_A)可以採用這樣一種方式來產生其DPMNO_A:在下載和安裝了DPMNO_A之後,如果沒有發現DPMNO_A中規定的某些關於TGSM上的某些其他域的狀態和特性的條件的需求得到滿足,那麼該MNO_A
的目標域(TDMNO_A)將會受到一組限制的管理,例如其服務或啟動。例如,MNO可以實施DPMNO_A,這樣一來,如果TDMNO_A在調查了THSM內部的更大環境之後發現在同一THSM上安裝並啟動了其他MNO域,並且這些MNO域具有本身的已啟動TSIM功能,那麼TDMNO_A將會禁用其TSIM功能。
TD*RO_Target有可能需要採用一種與P中被請求的服務相對應的方式來配置該TD*RO_Target本身。例如,RO可以向ME發送回應,其中該訊息的置信度是用公鑰KTSIM-Pub來保護的。ME可以將這個訊息傳送到THSM上TD*Target_RO。CertRO可以包括目標_RO的公共密鑰K_RO-priv。這時,RO可以發送用於TSIM的參考完整性度量(RIM)。RO回應可以表示為:Def)Package_10={CONFIG,DPRO,IDRO,RIMTSIM}KTSIM-Pub∥CertRO∥CertTSIM∥nonce_10 Target RO→ME:{Package_10}K_RO-Priv∥[SHA-X(Package_13∥nonce_9)]K_TSIM-SIGN等式23
ME→TD*Target RO:{Package_10}K_RO-Priv∥[SHA-X(Package_13∥nonce_9]K_TSIM-SIGN等式24
TD*RO_Target可以使用私鑰KTSIM-Priv來對訊息進行解密,並且在用CA檢查了證書之後使用CertRO中的公鑰KRO-Pub來檢驗RO簽名。它可以安全地儲存所接收到的用於TSIM應用的參考完整性度量RIMTSIM。它可以檢查來自IDRO的RO ID,然後檢查RO的策略DPRO,並且確定它是否可以繼續CONFIG的剩餘
配置和安裝處理。TD*RO_Target可以經由CONFIG來執行重新配置,以便達到“完整”域狀態,並且然後執行自我檢查來確定測量得到的該TD*RO_Target的TSIM功能的度量是否與被網路傳遞並在RIMTSIM中表示的度量匹配。現在,域TDRO-Target是“完成的”,並且不再是“原始的”,由此符號中的星號*將會移除。該處理可以表示為:TD*目標RO:檢查DPRO,儲存RIMTSIM,和安裝CONFIG→TD目標RO:RO域是“完成的”等式25
已完成的域TDTarget RO可以向ME發送“RTO成功和域完成”狀態訊息,並且該訊息可以被轉發到目標RO。這種處理可以表示為:Def)Package_11={“已完成的域(domain completed)”∥IDRO_Target}K_RO-Pub∥nonce_11 TDTarget RO→ME:Package_11∥[SHA-X(Package_11∥nonce_10)]K_TSIM_SIGN等式26
作為選擇,ME可以向用戶發送狀態訊息,舉例來說,該訊息可以顯示在WTRU的螢幕上,並且該訊息表明該電話現在準備好了註冊和證書轉出(roll-out)。
ME可以將該狀態訊息轉發到已經成功完成了平臺的重新配置的RO,並且準備註冊TSIM證書。TDRO_Target已經實現了“THSM_TDRO_LOAD_COMPLETE”(THSM_TDRO_載入_完成)狀態。該訊息可以表示為:
ME→Target RO:Package_11∥[SHA-X(Package_11∥nonce_10)]K_TSIM_SIGN等式27
這個RTO協定可以充當用於將作為THSM所有者或用戶的用戶向提供預訂服務的3G UMTS網路營運商註冊的協定的前導,並且也充當用於下載和提供用於驗證和密鑰協商(AKA)的證書的前導,這其中包括下載和提供共用秘密K以及用戶識別碼IMSI。
用於公鑰-私鑰集的證書CertTSIM和CertRO可以在使用了它們的訊息中遞送。或者,RO域(TDRO)和RO可以從可信的第三方那裏獲取該TDRO和RO相應的證明。該獲取可以表示如下:TTP→ME→TDRO:CertRO TTP→RO:CertTSIM等式28
在另一個替代實施方式中,RO證書CertRO可以從網路遞送至ME,並且THSM證書CertTSIM可以從ME被遞送到網路(在遞送使用了這些證書的訊息之前)。由此,在這裏描述的加密後的訊息之前可以發送通信,這些通信可以表示為:ME→RO:CertTSIM(在步驟9的訊息被發送之前) RO→ME:CERTRO(在步驟13的訊息被發送之前)等式29
對這其中的每一個替代的證書遞送方法來說,實體ID可以與使用了公共加密密鑰的訊息一起。
在另一個替代實施方式中,使用對稱密鑰而不是公鑰可以
用於保護訊息的置信度。在每一個實例中,發送方都可以產生對稱密鑰Ks,舉例來說,該密鑰是用偽亂數產生器(PRNG)產生的,並且發送方會使用這個密鑰而不是公鑰來保護訊息的置信度。該對稱加密密鑰還可以與加密訊息一起被發送到接收方,其中將會使用公鑰來對其進行保護。由此,接收方能夠使用其私鑰來存取密鑰Ks,然後則使用該私鑰來對訊息進行解密。
參考第二實施方式,THSM和ME有可能不同於第一實施方式中的THSM和ME。代替ME本身或是諸如MTE這類ME內部的可信實體的是,在ME引導的時候,THSM可以被配置成為ME的某些或所有代碼執行完整性檢查。作為選擇,THSM還可以儲存用於ME的某些或所有引導碼。THSM未必被配置成向外界評估者證明ME的完整性。它可以被配置成在引導時執行對ME的完整性執行“本地”檢查。
ME的完整值可以在啟動處理中使用,並且未必在RTO處理中使用。用meas_ME表示的ME的完整性量度代表了從ME的安全引導中產生的ME代碼和配置狀態,該完整性量度可以由THSM的DM域TEDM獲取。THSM的TDDM可以檢查meas_ME的有效性,但是它也有可能沒有將其引入平臺證明。
參考第四實施方式,舉例來說,從TCG MPWG的意義上講,該ME可以是可信ME。該ME可以包括移動可信模組(MTM),並且是可以得到信任的,這是因為它將MTM當做了提供用於儲存、報告、測量、檢驗實施的可信根的可信錨點。
第4和4A圖示出的是用於遠端所有權獲取處理的示例呼叫流程圖。例如,第4和4A圖示出的是在ME 402、TDDO 404、SDM 406、TD*Target_RO 408以及目標RO 410中的一個或多個設
備之間進行的示例呼叫。第4和4A圖中的箭頭可以代表呼叫的起點/目的地。
如第2和3圖所示,SDM可以包括駐留在THSM中並且提供了部分DO功能的系統級域管理器。SDM可以依照特定於域的策略來監督和協調設備中的所有域的設置,以便確保所有這些域都會以符合SDP的方式操作和互動,以至於這些策略中的任何衝突都會由代表該DO以及其他域的RO的SDM嘗試調解。TDDO可以包括THSM中的強制設備所有者域。TDDO可以包括SDM,並且由此可以保持系統級域策略。MTE可以包括用於ME端的策略管理器MEPDM。該MEPDM可以執行ME上的策略管理器功能,但是有可能被THSM中的SDM監督。ME*Target_RO可以包括由已許可遠端所有者實施的用於遠端所有權的原始域設置。目標RO可以包括請求ME*Target_RO的所有權的遠端所有者。
ME可以承擔全部的MTM功能,由此,由已識別的遠端所有者對ME上的域實施的遠端獲取所有權的處理是得到支援的。與參考第一實施方式描述的RTO相似;其不同主要是因為SDM經由MEPDM而為THSM和ME上的同一遠端所有者擁有的這些域運用的最終策略控制。因此,對於同樣擁有THSM上的域的相同所有者擁有的任何ME域來說,這些ME域的形成和管理必須以符合SDM的策略的方式進行。
仍舊參考第4圖,在41,ME 402可以完成基本碼引導處理。在415,THSM可以安全地引導。該THSM可以載入DO域,SDM包括在內;其中該SDM可以提供:1)可用於域的建構的資源;及/或2)用戶可接受的域的列表。在42,THSM可
以完成其引導。在43,ME可以表明其引導完成。在這個處理過程中可以建構DM域,此外還可以建構可選的用戶域(MEU),並且可用資源將被檢查。DM域可以包括MEPDM,它提供了用於ME設備的域策略的初始配置和規定。依照MEDM的預先配置,該策略可以在用於ME域與THSM域之間具有公共遠端所有者的這些域(例如一個在THSM上,另一個在ME上)的策略方面與SDP的策略一致。
仍舊參考第4圖,在431,具有預先配置的域的ME可以發送啟動RTO的“引導完成”訊息。該訊息可以包括關於DM域策略以及ME中的可用資源的顯式資訊。在44,這時可以發送要求啟動RTO的請求,其中該請求包含了目標域規劃。在455,TD*Target_RO 408可以決定接受還是拒絕RTO啟動請求。在45處可以發送表明是否應該啟動RTO的訊息。或者,在456,RTO可以由TD*Target_RO 408發起。在451,TD*Target_RO 408可以發送“啟動RTO最終域規劃的意願”。
SDM可以藉由評估THSM的系統級域策略(SDP),並且確定在ME域上施加或分配哪些限制,從而對ME引導訊息做出反應。這些策略限制可以包括:依照域相關聯的遠端所有者,ME和THSM上的哪些域是可允許的。SDM可以確定ME允許將哪些系統級資源用於具有THSM上的域的相同遠端所有者擁有的域,這其中包括那些已經為其所知的資源。MEPDM可以經由等式7中的訊息接收該資訊。該SDM還可以包括針對其基本策略的策略限制以及針對其資源列表的可允許資源。在MEPDM接收到資訊之後,它可以在做出和實施關於資源以及ME上的域的管理方面的決定的時候運用某些許可權,而不需要從SDM
那裏獲取用於所有這些決定的許可。
仍舊參考第4圖,該處理可以在465處繼續進行。在465,下列各項可以被檢查及/或評估:SDP、可用資源、及/或可接受域及/狀態。在46可以發送“同意啟動”信號。在47可以發送用於TPIA、TPES、MPID和MPES的請求。在475,舉例來說,SDM 406可以在每一個域上的PCR範圍中收集/序連來自現有域的完整性證明、及/或收集及/或序連TPES資訊。
在471,用於MPID和MPES的請求可以被發送。在476,MTE可以處理針對用於MPID和MPES的請求的回應。在48,MPID和MPES可以與信任證明和簽名密鑰一起發送。在481,TPIA、TPES、MPID以及MPES可以從SDM 406被發送至TE*Target_RO 408。在485,THSM可以從MPID(原始資料)中計算出摘要MPIA,並且檢查該MPIA。如果可接受,則可以將摘要MPIA發送到RO。在49,用於TPIA∥TPES∥MPIA∥MPES∥目的∥RTO的請求可被發送。
參考第4A圖並且繼續RTO處理,在410,TPIA∥TPES∥MPIA∥MPES∥目的∥RTO訊息可以被發送至目標RO 410。在418,舉例來說,目標RO 410可以執行一個或多個下列處理:檢查TPIA、TPES、MPIA、MPES以及目的;對照RIMTDRO來確定原始域的可信度;檢查DP的可接受性;或是創建CONFIG來構造完整的域狀態。
上述實施方式的一個替代實施方式是由TD*Target_RO 408從SDM請求關於ME的可信度而不是MPIA和MPES的簡單指示;在這種情況下,SDM提供TPIA、TPES和ME可信度指示。但是,SDM仍舊請求和接收來自MTE的MPIA和MPES。
仍舊參考第4A圖,在411,訊息CONFIG∥DP∥RIMTDRO∥RO可以被發送。在412,CONFIG∥DP∥RIMTDRO∥RO訊息可以被傳送。在428,可以建構和配置域,並且可以對照RIMTDRO來檢查完整性。此外,TD*Target_RO的所有權可以被獲取,由此將其轉換成TDTarget_RO。在413,這時可以發送域完成訊息。在414,域完成訊息有可以被傳送。
第5和5A圖示出的是使用了完全證明(例如與第四實施方式相關)的遠端所有權獲取處理的示例呼叫流程圖。舉個例子,第5和5A圖示出的是在SDM 502、TDDO 504、MEPDM 506、ME*Target_RO 508以及目標RO 510中的一個或多個之間進行的示例呼叫。第5和5A圖的箭頭可以代表呼叫的起點/目的地。在51,基本碼引導完成訊息可被發送。作為回應,在515,THSM可以安全引導和載入DO域,其包括SDM。在52,THSM引導完成訊息可被發送。作為回應,在525,ME可以安全地引導,這可以包括載入DM域,MEPDM也包含在其中;以及檢查可用資源。MEPDM可以提供初始配置,該配置規定了與SDP以及可用資源一致的域策略。在53,可以發送ME安全引導完成的訊息,其中該訊息包括DM域(策略資訊)以及ME中的可用資源。在531,“ME引導完成”訊息可以被傳送至SDM 502。在535,舉例來說,SDM 502可以評估系統級策略,並且為ME確定許可的域、資源和策略限制。在54,可以發送一個訊息,其中該訊息提供了關於域策略限制及/或許可資源的資訊。在545,策略限制可以附加於基本策略,如有需要,資源列表也是可以修訂的。
第5和5A圖中的元素55-511可以類似於第4和4A圖所
示的元素45-414。關於值MPIA和MPES的評估可以類似於等式14-19中的評估。ME可以具有MTM能力,並且它可以被配置為自己計算摘要MPIA,而不僅僅是原始資料MPID。由SDM傳達的經過更新的策略限制可被檢查,從而不會實現被禁止的域或域策略。策略檢查和評估可以由MEPDM執行。
在55,這時可以發送要求啟動RTO的請求,其中該請求可以包括目標域規劃。在555,MEPDM可以決定接受還是拒絕RTO請求。在551,可以發送表明是否應該啟動RTO的訊息。在一個替代實施方式中,在556,ME目標可以發起啟動RTO的意願。在56,可以發送啟動RTO訊息的意願。在565,下列各項將被檢查及/或評估:1)擴展的域策略;及/或2)依照擴展策略的可用資源、可接受的域和狀態。在561可以發送表明啟動RTO的處理可接受的訊息。在57,從ME域集合中要求MPIA和MPES的請求可以被發送。在575,可以執行在每一個域上的PCR範圍中收集和序連來自已有域的完整性證明(MPIA),也可以執行MPES資訊的收集和序連。在58,MPIA和MPES可以被發送。在59,MPIA∥MPES∥目的∥RTO請求可以被發送(訊息的完整性和置信度可以用經過認證的公鑰/私鑰來保護)。在595,舉例來說,目標RO 510可以執行下列各項中的一項或多項:檢查MPIA、MPES和目的;對照RIMTSIM來確定原始域的可信度;檢查DP的可接受性;或是通過創建CONFIG來建構完整的域狀態。在514,訊息CONFIG∥DP∥RIMTSIM∥RO可以被發送。在515,域可以被建構和配置,並且可以對照RIMTDRO來檢查完整性。此外,ME*Target_RO的所有權可以被獲取,由此將其轉換成METarget_RO。在511,域完成訊息可以被發
送(帶有簽名,完整性受到保護)。ME可以直接與目標RO通信,由此不會使用到如第3和3A圖所示的訊息傳送,並且可以減少訊息的數量。在第5圖中並未顯示ME與目標RO之間的訊息傳遞中的公鑰/私鑰交換所需要的證書的細節,以及與用於原始工具可信度的RIM證書相關的細節。
第6圖示出的是THSM的示例狀態定義、變換以及控制點定義。舉個例子,在這裏定義了M2M通信識別碼模組(MCIM)的生命週期,其中該模組的定義和基本功能是在PCT專利申請WO 2009/092115(PCT/US2009/031603)中定義的。THSM可以改進和概括包括狀態定義和變換在內的MCIM的功能和特徵。
在601,THSM可以處於引導前狀態。第一用戶可以為THSM通電,THSM可以安全地引導,並且該THSM可以處於狀態602。在602,DM和DO可以存在於原始狀態中。DM域可以從預先配置的檔案中建構,並且THSM可以處於狀態606。在606,THSM處於可以載入TDDM的引導後狀態2,在該狀態中,TDDM可以被載入。從606開始,DO域可以從預先配置或下載的檔案中建構,從而將THSM置於狀態605。在605,THSM可以處於引導後狀態3,在該狀態中可以建構TDDO域,但是不能載入TDU或TDRO。從狀態605開始,DO域(SDM)可以載入用戶域,由此將THSM置於狀態604。在604,THSM可以處於引導後狀態2a,在該狀態中可以載入TDU,但是不能載入RO域。從狀態605開始,原始RO域可以根據SDP來建構,由此將THSM置於狀態707。在707,THSM可以處於引導後狀態7,在該狀態中,TDRO和TDDO已被載入,但是不能載入
TDU。從狀態607開始,TDDO(SDM)可以載入TDU,由此將THSM置於狀態608。在608,THSM可以載入DO、DU和RO域。
從狀態601開始,用戶可以通電並且THSM可以安全地引導,由此將THSM置於狀態603。在603,THSM可以用已儲存的配置來載入,其中已儲存的配置是最近一次斷電之前的配置。從狀態603開始可以執行引導後的事務,其中該執行事務將會改變配置,由此將THSM置於狀態610。在610,THSM處於一種將一個或多個先前活動的狀態全都變為不活動的狀態。與從603到達狀態610的處理相似。THSM可以處於狀態609,在該狀態中,THSM具有一個或多個活動的域。從狀態609開始,由於配置變化事件而有可能導致進行變換,從而將THSM再次置於狀態610。
在狀態604、605、607和608,THSM可以使用新的策略及/或可執行代碼或是針對不活動狀態的變換而被重新配置。此外,在狀態605,可以儲存SDP。
在第一種域管理方法中,來自域所有者的策略即系統級域策略(SDP)有可能是非常有限制性的和“靜態”的,並且有可能具有與新域活動或目的有關的硬性規定。這些策略可能有助於緩解向RO傳遞每一個新域項或已有域更新的需要。
在第二種域管理方法中,SDP有可能限制較少,並且在活動和目的方面提供了更多的靈活性。每一個新域項和每一個域變化都可以被報告給已有域所有者。這有可能導致產生更為動態的策略實施系統,在該系統中,在平臺與RO之間可以進行初始和跟進的協商。
參考第一種域管理方法,SDP可以規定在預先配置的列表中許可的域例外。該列表可以包括與RO的類型以及許可的數量(針對每一種類型)相關的資訊。一旦RO建立了它們的域,那麼該列表還可以包括RO可提供的服務類型。所預期的RO可以是滿足列表所指出的標準的RO。作為RTO處理的一部分,例如,如等式9所示,在這裏可以向RO提醒諸如列表和策略限制之類的條件。一旦接收到SCARD,該RO就可以獨立決定其是否希望是所論述的平臺或設備上的利益相關者。發送給RO的條件可以包括域類型及其目的,而不是任何其他RO在列表中的實際名稱,由此保護其他RO的識別碼。如果RO決定完成RTO,那麼可以確保該RO、目前在平臺上活動的其他RO或是將來將要活動的其他任何RO不允許偏離該策略。結果,在這裏可能不需要或者有可能不會向RO提醒可能發生的後續RTO。
參考第二種域管理方法,其中在RTO處理過程中只能執行相對較寬的限制和允許更多互動的策略,例如,所述相對較寬的限制可以是哪些遠端所有者是在沒有識別任何特定RO類型的情況下得到許可的,該互動可以是用於從RO或SDM的更多資訊的請求或某些協商。此外,當域配置發生變化時,在SDM與所有RO之間還有可能存在正在進行的合作。由此,作為RO/SDM動態活動的一部分,在這裏有可能發生初始甚至跟進的協商。
作為RTO處理的一部分,在這裏可以為RO給出其需要的給定證明和策略條件資訊,例如TPIA、TPES和SCARD,其中與第一種方法的情形相比,該資訊可以包括更多與配置和可信
度相關的通用資訊。根據已有的域配置,目標RO可以決定是否繼續執行RTO。除非目標RO立即決定不獲取所有權,否則隨後而來的將會是與SDM的協商處理。例如,SDM可以向目標RO要求哪些域類型以及伴隨的服務是可以在目標RO域活動的時候是活動的,或者在其不支援的域類型將要活動的情況下繼續進行哪些過程。舉個例子,當某些其他域類型甚至某些其他RO擁有的域活動或是將要變為活動的時候,RO有可能需要使其自己的域處於不活動狀態,或者它有可能需要其保持活動,但是處於減少的容量或能力。SDM還可以向RO請求其應被提醒的事件發生。這些事件可以包括其不支援的域類型變為活動或不活動。在本身的域活動的時候,RO有可能需要完全阻止其他域類型或是某些其他所有者保持的域執行任何活動。
SDM可以決定接受或拒絕這些條件。雖然是結合一組很寬的策略需求操作的,但是SDM有可能具有自由度和語義能力來決定接受來自RO的要求是否可能仍舊符合“靜態”系統域策略(SDP)的文字或意圖。
第7圖示出的是RO域可能實現的示例狀態以及可能導致在動態管理的環境中發生變換的條件。在701,其中有可能存在一個空狀態,例如RO有可能尚未建構。從701開始,原始RO域可以依照SDP而被建構,由此將RO域置於狀態702。從702開始,可以執行RTO處理,其包括RO獲取TPIA、TPES和SCARD。更進一步,RO可以接受RTO的條件,由此將RO域置於狀態703。從703開始,新的活動的域被確定存在策略衝突,並且作為回應,RO域的功能將會減少或是使之處於不活動狀態,由此將RO域置於狀態704。此外,從703開始,RO
域可以接收經過更新的策略/配置變化,由此導致RO域具有經過修改的配置及/或經過更新的策略限制。從706開始,新的活動的域被確定存在策略衝突,並且作為回應,RO域的功能將會減少或是使之處於不活動狀態,由此將RO域置於狀態704。此外從703開始,新的軟體元件可以經由下載或RTO而被引入,從而導致RO域處於經過修改/擴展的狀態,由此將RO域置於705。從705開始,新的活動的域被確定存在策略衝突,並且作為回應,該RO域的功能將會減少或者使之處於不活動狀態,由此將RO域置於狀態704。
如711所示,處於狀態702、703、704、705或706的RO域有可能變為空,例如被DO、RO等等刪除。如741所示,舉例來說,藉由解決導致RO域移動到狀態704的衝突,不活動/功能減少的RO域可以移動到狀態703、705或706。如751所示,處於狀態705的RO域可以移動到狀態703、704或706。如761所示,處於狀態706的RO域可以移動到狀態703、705或706。
對於RO域的管理而言,作為動態域管理的一部分而可以允許的是在事件出現的時候對變更的需求進行協商。例如,RO有可能決定由另一個RO提供並且先前不能支援的某種服務現在因為確定其不再需要與該服務競爭而成為可允許的。商業模型隨著時間的變化有可能影響到所預期的RO的協商對策或策略。使用動態策略結構的SDP可以適應這種策略變更。
在某些服務中可以形成較佳的漫遊夥伴關係或RO的閉合群組,舉例來說,該服務可以是與智慧記賬相結合的M2M地理追蹤,但其並不限於此。這種由不同營運商在彼此之間提供
相似或不同服務夥伴的封包服務可能導致產生較佳的閉合群組。這種較佳的服務、營運商或是這二者的群組可以作為綁定服務或整套服務而被提供給設備用戶。
在第一實例中,當封包在世界各地被運送時,該封包可以被追蹤。數以百萬計的這種地理追蹤設備都是可以使用的。當該封包穿越大洲時,不同國家的不同營運商將會為其提供連接。由此,為了獲取連接,用戶有可能需要預訂多個漫遊配置檔案。由於每一個域都是由遠端營運商擁有和管理的,因此,這些跨越了不同遠端營運商的漫遊配置檔案將會按照域間策略而被管理。此外,通過實施這些策略,還可以支援針對新的服務供應商的完全切換,而不是支援基於漫遊的解決方案。
在第二實例中,描述了智慧計量營運商與地理追蹤營運商之間的合作夥伴關係。這些域可以由不同的營運商擁有和操作。由於商業夥伴關係或用戶偏好,這些域可以被合併在一起來支援聯合配置檔案。對基於諸如勞動力、儲存或停泊之類的資源使用的記賬處理來說,智慧記賬可以與封包的追蹤一起使用。這種同時存在落入不同類別的服務的範例可以運用域間策略管理來加以支援。
域間策略管理器(IDPM)可以管理那些支配了域的群組行為的策略。每一個RO可以在RTO處理過程中下載域間策略(IDP)。IDP可以用證書來驗證,其中該證書是由每一個RO簽名的。這些證書可以與IDP一起發佈。或者,這些策略可以由外部服務經銷商認證和下載。有興趣創建首選營運商列表的設備用戶或設備所有者可以創建IDP。通過評估候選策略的可接受交集或是用以選擇IDP的優先順序、以及隨後實施作為結
果而產生的策略,IDPM可以對這些策略進行處理。
或者,IDPM既可以作為SDM的功能之一而被添加到SDM中,也可以作為能夠載入(建構)或下載到THSM上的獨立實體而被添加SDM中。
作為證明協定的一部分,TDRO可以向RO發送TPIA、TPES和SCARD的散列,而不是全部發送這些量度。RO可以本身或者借助於TTP而具有用以檢驗這些散列並由此評定TDRO以及周圍系統的有效性的手段。該方法與PCT專利申請WO 2009/092115(PCT/US2009/031603)中規定的半自動檢驗(SAV)相似。TPIA、TPES和SCARD量度中的任何一個或兩個量度可以在證明階段期間被發出。
THSM可以作為ME的一部分而被整體嵌入。對用於此類設備的RTO處理來說,由於該處理擺脫了ME與THSM之間的介面,因此該處理是可以簡化的。
雖然本發明的特徵和元件以特定的結合進行了描述,但每個特徵或元件可以在沒有其他特徵和元件的情況下單獨使用,或在與或不與其他特徵和元素結合的各種情況下使用。這裏提供的方法或流程圖可以在由通用電腦或處理器執行的電腦程式、軟體或韌體中實施,其中所述電腦程式、軟體或韌體是以有形的方式包含在電腦可讀儲存媒體中的。關於電腦可讀儲存媒體的實例包括唯讀記憶體(ROM)、隨機存取記憶體(RAM)、暫存器、快取記憶體、半導體記憶裝置、內部硬碟和可移動磁片之類的磁性媒體、磁光媒體以及CD-ROM磁片和數位多功能光碟(DVD)之類的光學媒體。
舉例來說,適當的處理器包括:通用處理器、專用處理器、
傳統處理器、數位信號處理器(DSP)、多個微處理器、與DSP核相關聯的一或多個微處理器、控制器、微控制器、專用積體電路(ASIC)、現場可編程閘陣列(FPGA)電路、任何一種積體電路(IC)及/或狀態機。
與軟體相關聯的處理器可以用於實現一個射頻收發器,以便在無線發射接收單元(WTRU)、用戶設備(UE)、終端、基地台、無線電網路控制器(RNC)或任何主機電腦中加以使用。WTRU可以與採用硬體及/或軟體形式實施的模組結合使用,例如相機、攝像機模組、視訊電話、揚聲器電話、振動設備、揚聲器、麥克風、電視收發器、免持耳機、鍵盤、藍芽®模組、調頻(FM)無線電單元、液晶顯示器(LCD)顯示單元、有機發光二極體(OLED)顯示單元、數位音樂播放器、媒體播放器、視訊進戲機模組、網際網路瀏覽器及/或任何無線區域網路(WLAN)或超寬頻(UWB)模組。
100、110、120‧‧‧設備
101、102、106、111、112、121、122‧‧‧遠端所有者域
103、113、123‧‧‧可信根
105、115、125‧‧‧平臺
107、230‧‧‧系統級域管理器(SDM)
131、132、141、142‧‧‧通信通道
THSM、220‧‧‧可信硬體預訂模組
ME、210‧‧‧行動設備
OTA‧‧‧空中下載
UE、200‧‧‧UMTS設備
UMTS‧‧‧通用行動電信系統
DM域、221‧‧‧THSM設備製造商
DO域、222‧‧‧THSM設備所有者
U域、223、DU‧‧‧THSM設備用戶
RO域A、224‧‧‧遠端所有者(RO)A
RO域B、225‧‧‧遠端所有者(RO)B
RO域C、226‧‧‧遠端所有者(RO)C
240‧‧‧域間策略管理器
TDDM‧‧‧THSM DM的域
TDDO‧‧‧THSM DO的域
SDM‧‧‧系統級域管理器
RTO‧‧‧遠端獲取所有權
TDRO‧‧‧RO或RO域
RO‧‧‧典型遠端所有者
CERT‧‧‧證書
MTE‧‧‧移動可信環境
MPID‧‧‧與ME平臺的完整性
MPES‧‧‧ME平臺環境調查
TPIA‧‧‧THSM平臺完整性證明
TPES‧‧‧THSM平臺環境概要
MPIA‧‧‧自已有域的完整性證明
SDP‧‧‧系統級域策略
PCR‧‧‧平臺配置暫存器
RIM‧‧‧參考完整性度量
DP‧‧‧域策略
CONFIG‧‧‧配置信號
MEPDM‧‧‧策略管理器
第1圖示出的是可以使用這裏描述的方法和裝置的示例系統。
第2圖示出的是在用戶設備(UE)中實施這裏描述的方法和裝置的系統的一個實施方式。
第3和3A圖示出的是用於獲取域的所有權的示例引導和處理。
第4和4A圖示出的是用於獲取域的所有權的處理的示例呼叫流程圖。
第5和5A圖示出的是用於獲取具有完全認證的域所有權的處理的示例呼叫流程圖。
第6圖示出的是可信硬體預訂模組的一個實施方式的示例狀態定義、變換以及控制點定義。
第7圖示出的是遠端所有者可以獲取的示例狀態以及可能在動態管理的環境中引起變換的條件。
100、110、120‧‧‧設備
101、102、106、111、112、121、122‧‧‧遠端所有者域
103、113、123‧‧‧可信根
105、115、125‧‧‧平臺
107‧‧‧系統級域管理器(SDM)
131、132、141、142‧‧‧通信通道
Claims (33)
- 一種多網域及網域所有權的系統,該系統包括:一個或多個設備,其中每一個設備都包括由至少一個平臺支援的複數個域,每一個域都包括在該至少一個平臺上執行的計算資源的一配置,並且每一個域都被配置用於為該域的一所有者執行多個功能,該域的所有者可以位於該域本地或遠離該域,其中每一個域都能具有一不同的所有者,並且其中每一個所有者都能規定用於操作該所有者的域的多個策略、以及用於結合該域所在的該平臺和其他域來操作該所有者的域的策略;以及駐留在其中一個域上的一系統級域管理器,該系統級域管理器被配置用於實施該系統級域管理器所在的該域的該策略、結合該系統級域管理器所在的該域來協調該其他域的相應策略的實施、依照該其他域的相應策略和該系統級域管理器所在的該域的策略來協調該其他域之間的互動、以及決定是否載入一新的域或指定其中之一的域處於不活動狀態。
- 如申請專利範圍第1項所述的系統,其中該系統級域管理器向一域所有者提供一資訊,以使該所有者能夠確定該所有者的策略是否得到遵從。
- 如申請專利範圍第1項所述的系統,其中該系統級域管理器所在的該域是由該域所在的該設備的一所有者擁有。
- 如申請專利範圍第1項所述的系統,其中該系統中的該域是相互隔離的。
- 如申請專利範圍第1項所述的系統,其中該系統中的兩個域被配置成相互驗證。
- 如申請專利範圍第1項所述的系統,其中該系統中的兩個域可以經由在該兩個域間建立的一安全通道來相互通信。
- 如申請專利範圍第1項所述的系統,其中該多個域中的一個域的一所有者包括該域所在的該設備的一製造商或一遠端所有者中的至少其一,及其中該域是被配置用於執行一用戶身份模組(SIM)功能以驗證該所有者。
- 如申請專利範圍第1項所述的系統,其中該多個域中的一個域的一所有者包括一服務供應商。
- 如申請專利範圍第8項所述的系統,其中該服務供應商擁有的該域被配置用於執行一用戶身份模組(SIM)功能,以便向該服務供應商驗證該域所在的該設備支援的服務預訂,由此結合該服務供應商進行的預訂驗證而允許在該設備與該服務供應商之間進行通信。
- 如申請專利範圍第1項所述的系統,其中至少一個域被配置用於執行一預訂驗證或一設備驗證。
- 如申請專利範圍第1項所述的系統,其中該一個或多個設備包括下列各項中的一者或多者:一無線發射/接收單元、一用戶設備、一行動站、一固定或行動用戶單元、一呼叫器、一蜂窩電話、一個人數位助理、一計算設備、一機器對機器設備、一SIM卡、一通用積體電路卡(UICC)、一地理追蹤設備或記賬設備。
- 如申請專利範圍第1項所述的系統,其中該至少一個平臺包括至少一個處理器、至少一個記憶體、至少一個作業系統或至少一部分低階韌體或低階軟體。
- 如申請專利範圍第1項所述的系統,其中該系統級域管理器更被配置用於存取用於提供能供該一個或多個域使用的一資源列表的一資訊。
- 如申請專利範圍第1項所述的系統,其中該系統級域管理器更被配置用於監視多個遠端所有者擁有的多個域的載入和維護。
- 如申請專利範圍第14項所述的系統,其中該系統級域管理器更被配置用於為該系統級域管理器所在的該設備的一用戶提供了該系統級域管理器能夠載入的域的一列表,並且請求該用戶從所列出的域中選擇將要載入的域。
- 如申請專利範圍第14項所述的系統,其中該系統級域管理器更被配置用於評估在該至少一個平臺上是否存在足以載入該一個或多個域的一計算資源。
- 如申請專利範圍第14項所述的系統,其中該系統級域管理器更被配置用於在評估是否載入一新的域時考慮一個或多個已有域的該策略。
- 如申請專利範圍第17項所述的系統,其中一遠端所有者擁有的一指定域的一策略能夠規定:在某種類型的其他域活動時,使該指定域變為不活動。
- 如申請專利範圍第17項所述的系統,其中一遠端所有者擁有的一指定域的一策略能夠規定:當某個其他遠端所有者擁有的另一個域活動時,使該指定域變為不活動、當某種類型的其他域活動時,限制該指定域的一操作或當某個其他遠端所有者擁有的另一個域活動時,限制該指定域的一操作。
- 如申請專利範圍第1項所述的系統,其中至少一個域能夠在該域不為任何所有者擁有的一狀態中建立,並且其中該系統級域管理器更被配置用於對一遠端所有者建立該域的一所有權進行協調。
- 如申請專利範圍第20項所述的系統,其中該系統級域管理器更被配置用於向該遠端所有者傳送能供該遠端所有者在確定是否建立該域的一所有權中考慮的一資訊,及其中該資訊包括至少一(i)用於證明被尋求所有權的該域的一完整性的一資訊;(ii)用於證明該系統中的至少一個其他域的一完整性的一資訊;(iii)用於證明該平臺的一完整性的一資訊,其中被尋求所有權的該域使用該平臺的資源來進行操作;(iv)用於證明該平臺的一完整性的一資訊,其中該系統中的至少一個其他域使用該平臺的資源來進行操作;(v)用於指示該系統中的其他域的一數量的一值;(vi)用於提供該系統中的其他域的一概要特性的一資訊;以及(vii)用於規定能供正被嘗試建立所有權的該域使用的該平臺的一資源的一資訊。
- 如申請專利範圍第20項所述的系統,其中該系統中的該遠端所有者和該域能夠相互驗證。
- 如申請專利範圍第20項所述的系統,其中該系統中的該遠端所有者和該域能夠經由在該遠端所有者和該域間建立的一安全通道相互通信。
- 如申請專利範圍第21項所述的系統,其中為該遠端所有者提供的關於該系統中的其他域的一資訊的範圍是以這些其他域的相應策略為條件。
- 如申請專利範圍第20項所述的系統,其中在一遠端所有者建立了該域的一所有權之後,該域從該遠端所有者接收下列中的至少一者:用於提升該域的功能的一可執行代碼、多個加密密鑰、一配置資訊、多個參數、或至少一策略。
- 如申請專利範圍第20項所述的系統,其中在一遠端所有者建立了該域的一所有權之後,該域更被配置用於從該遠端所有者接收該域的策略。
- 如申請專利範圍第1項所述的系統,其中至少一個該域包括與其他域隔離的一安全的執行和儲存環境。
- 如申請專利範圍第27項所述的系統,其中至少一個該域所在的該設備的該平臺對該域的該資源存取進行控制,由此只有該域外部被授權的多個用戶、多個所有者或其他實體或進程才能夠存取這些資源。
- 如申請專利範圍第27項所述的系統,其中支援該至少一個域的至少一個平臺包括一可信根,並且其中該至少一平臺或該域管理器的一完整性是藉由該可信根錨定的一可信鏈來建立。
- 如申請專利範圍第29項所述的系統,其中該完整性是藉由將該域的至少一個元件的一量度與一參考完整性度量進行比較來建立,其中如果該量度與該參考完整性度量匹配,則該完整性被檢驗。
- 如申請專利範圍第30項所述的系統,其中該域的至少一個元件包括該域的一可執行代碼及/或資料。
- 如申請專利範圍第30項所述的系統,其中該量度包括在該元件上計算得到的一散列,並且其中該參考完整性度量包括 先前在該元件上計算並帶有一數位證書的一散列,該數位證書提供了關於該參考完整性度量的一真實性的一指示。
- 如申請專利範圍第1項所述的系統,該系統更包括用於對支配一個群組的域的行為的多個策略進行管理的一域間策略管理器,其中該域間策略管理器被配置用於估計該群組中每一個域的單獨策略的一交集,並且在該多個策略中進行選擇,以便產生該域間策略管理器隨後實施用於支配該群組的行為的一組合策略。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17101309P | 2009-04-20 | 2009-04-20 | |
| US22655009P | 2009-07-17 | 2009-07-17 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201129042A TW201129042A (en) | 2011-08-16 |
| TWI435584B true TWI435584B (zh) | 2014-04-21 |
Family
ID=42245587
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW100124849A TWI531195B (zh) | 2009-04-20 | 2010-04-20 | 多網域及網域所有權系統 |
| TW099112331A TWI435584B (zh) | 2009-04-20 | 2010-04-20 | 多網域及網域所有權系統 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW100124849A TWI531195B (zh) | 2009-04-20 | 2010-04-20 | 多網域及網域所有權系統 |
Country Status (7)
| Country | Link |
|---|---|
| US (2) | US9807608B2 (zh) |
| EP (2) | EP2897341B1 (zh) |
| JP (4) | JP5643292B2 (zh) |
| KR (1) | KR101378109B1 (zh) |
| CN (2) | CN102405630B (zh) |
| TW (2) | TWI531195B (zh) |
| WO (1) | WO2010123890A1 (zh) |
Families Citing this family (67)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2005239005A1 (en) | 2004-04-30 | 2005-11-10 | Research In Motion Limited | System and method for handling data transfers |
| US7614082B2 (en) | 2005-06-29 | 2009-11-03 | Research In Motion Limited | System and method for privilege management and revocation |
| US9418040B2 (en) * | 2005-07-07 | 2016-08-16 | Sciencelogic, Inc. | Dynamically deployable self configuring distributed network management system |
| EP2897341B1 (en) | 2009-04-20 | 2016-11-09 | Interdigital Patent Holdings, Inc. | System of multiple domains and domain ownership |
| US8923519B2 (en) * | 2009-05-29 | 2014-12-30 | Alcatel Lucent | Method of efficient secure function evaluation using resettable tamper-resistant hardware tokens |
| WO2011025876A1 (en) * | 2009-08-27 | 2011-03-03 | Interdigital Patent Holdings, Inc. | Method and apparatus for solving limited addressing space in machine-to-machine (m2m) environments |
| JP5711238B2 (ja) * | 2009-09-11 | 2015-04-30 | コーニンクレッカ フィリップス エヌ ヴェ | ドメイン管理を復元するための方法及びシステム |
| KR20120115560A (ko) | 2009-10-15 | 2012-10-18 | 인터디지탈 패튼 홀딩스, 인크 | 가입 기반 서비스에 액세스하기 위한 등록 및 크리덴셜 롤 아웃 |
| EP2543207B1 (en) | 2010-03-02 | 2015-05-06 | InterDigital Patent Holdings, Inc. | Method and system for the migration of credentials and/or domains between trusted hardware subscription modules |
| CN102835071B (zh) * | 2010-04-02 | 2015-09-02 | 交互数字专利控股公司 | 策略管理方法 |
| WO2012023050A2 (en) | 2010-08-20 | 2012-02-23 | Overtis Group Limited | Secure cloud computing system and method |
| US8458800B1 (en) | 2010-10-01 | 2013-06-04 | Viasat, Inc. | Secure smartphone |
| US8495731B1 (en) * | 2010-10-01 | 2013-07-23 | Viasat, Inc. | Multiple domain smartphone |
| US9113499B2 (en) | 2010-10-01 | 2015-08-18 | Viasat, Inc. | Multiple domain smartphone |
| US8270963B1 (en) | 2010-10-01 | 2012-09-18 | Viasat, Inc. | Cross domain notification |
| US8924715B2 (en) | 2010-10-28 | 2014-12-30 | Stephan V. Schell | Methods and apparatus for storage and execution of access control clients |
| US8555067B2 (en) | 2010-10-28 | 2013-10-08 | Apple Inc. | Methods and apparatus for delivering electronic identification components over a wireless network |
| CN102025725B (zh) * | 2010-11-22 | 2016-12-07 | 北京百卓网络技术有限公司 | 电信业务环境安全系统及其实现方法 |
| KR101652570B1 (ko) | 2010-12-06 | 2016-09-09 | 인터디지탈 패튼 홀딩스, 인크 | 도메인트러스트 평가 및 도메인 정책 관리 기능들을 가지는 스마트 카드 |
| EP2469898A1 (en) * | 2010-12-23 | 2012-06-27 | Alcatel Lucent | Enabling change of subscriber identity module |
| US9450759B2 (en) | 2011-04-05 | 2016-09-20 | Apple Inc. | Apparatus and methods for controlling distribution of electronic access clients |
| US9009475B2 (en) * | 2011-04-05 | 2015-04-14 | Apple Inc. | Apparatus and methods for storing electronic access clients |
| WO2012154600A1 (en) * | 2011-05-06 | 2012-11-15 | Apple Inc. | Methods and apparatus for providing management capabilities for access control clients |
| CN102843387B (zh) * | 2011-06-20 | 2017-02-01 | 北京太能沃可网络科技股份有限公司 | 一种基于安全分级的云计算安全控制平台 |
| JP5948762B2 (ja) * | 2011-08-26 | 2016-07-06 | ソニー株式会社 | 情報処理装置、通信システムおよび情報処理装置の制御方法 |
| US8255687B1 (en) | 2011-09-15 | 2012-08-28 | Google Inc. | Enabling users to select between secure service providers using a key escrow service |
| FR2981531A1 (fr) * | 2011-10-14 | 2013-04-19 | France Telecom | Procede de transfert du controle d'un module de securite d'une premiere entite a une deuxieme entite |
| US9497220B2 (en) | 2011-10-17 | 2016-11-15 | Blackberry Limited | Dynamically generating perimeters |
| US9161226B2 (en) | 2011-10-17 | 2015-10-13 | Blackberry Limited | Associating services to perimeters |
| KR101937486B1 (ko) * | 2011-11-03 | 2019-01-11 | 주식회사 케이티 | 서버의 보안 도메인 권한 이양 제어 방법, 스마트 카드의 보안 도메인 권한 이양 방법, 단말의 보안 도메인 권한 이양 방법, 서버, 스마트 카드, 및 단말 |
| US9613219B2 (en) | 2011-11-10 | 2017-04-04 | Blackberry Limited | Managing cross perimeter access |
| US8799227B2 (en) | 2011-11-11 | 2014-08-05 | Blackberry Limited | Presenting metadata from multiple perimeters |
| EP2795505A4 (en) | 2011-12-22 | 2015-09-02 | Intel Corp | ACTIVATION AND MONETIZATION OF INTEGRATED FUNCTIONS IN STORAGE SUBSYSTEMS USING A RELIABLE CONNECTION SERVICE BACKPACK INFRASTRUCTURE |
| US8429409B1 (en) * | 2012-04-06 | 2013-04-23 | Google Inc. | Secure reset of personal and service provider information on mobile devices |
| US9369466B2 (en) * | 2012-06-21 | 2016-06-14 | Blackberry Limited | Managing use of network resources |
| US9173085B2 (en) * | 2012-07-06 | 2015-10-27 | Blackberry Limited | Methods and apparatus for use in transferring an assignment of a secure chip subscription managers |
| KR102067474B1 (ko) | 2012-08-29 | 2020-02-24 | 삼성전자 주식회사 | 공유 파일 관리 방법 및 이를 이용하는 가입자 인증 장치 |
| US8656016B1 (en) | 2012-10-24 | 2014-02-18 | Blackberry Limited | Managing application execution and data access on a device |
| US9075955B2 (en) | 2012-10-24 | 2015-07-07 | Blackberry Limited | Managing permission settings applied to applications |
| US9264413B2 (en) * | 2012-12-06 | 2016-02-16 | Qualcomm Incorporated | Management of network devices utilizing an authorization token |
| KR20150145226A (ko) * | 2013-02-15 | 2015-12-29 | 콘비다 와이어리스, 엘엘씨 | 도메인들에 걸쳐 서비스 계층 리소스 전파 |
| US9367339B2 (en) * | 2013-07-01 | 2016-06-14 | Amazon Technologies, Inc. | Cryptographically attested resources for hosting virtual machines |
| US10122656B2 (en) | 2013-08-05 | 2018-11-06 | Oath Inc. | Systems and methods for managing electronic communications |
| CA2921092A1 (en) | 2013-08-12 | 2015-02-19 | Graphite Software Corporation | Secure authentication and switching to encrypted domains |
| KR102147991B1 (ko) | 2013-11-21 | 2020-08-25 | 씨아이에스 맥스웰, 엘엘씨 | 모바일 정보 디바이스들 상에서 원격 콘텐트 및 설정 제어를 위한 관리되는 도메인들 |
| US10121015B2 (en) * | 2014-02-21 | 2018-11-06 | Lens Ventures, Llc | Management of data privacy and security in a pervasive computing environment |
| US9509502B2 (en) * | 2014-03-13 | 2016-11-29 | Intel Corporation | Symmetric keying and chain of trust |
| US9521125B2 (en) | 2014-03-13 | 2016-12-13 | Intel Corporation | Pseudonymous remote attestation utilizing a chain-of-trust |
| US9348997B2 (en) | 2014-03-13 | 2016-05-24 | Intel Corporation | Symmetric keying and chain of trust |
| US9479513B1 (en) * | 2014-03-20 | 2016-10-25 | Sandia Corporation | Apparatus, method and system to control accessibility of platform resources based on an integrity level |
| JP6491243B2 (ja) * | 2014-06-23 | 2019-03-27 | オラクル・インターナショナル・コーポレイション | マルチテナントアプリケーションサーバ環境における複数のパーティション編集セッションをサポートするためのシステムおよび方法 |
| CN106330813A (zh) * | 2015-06-16 | 2017-01-11 | 华为技术有限公司 | 一种处理授权的方法、设备和系统 |
| EP3384423B1 (en) * | 2015-12-02 | 2022-08-10 | Cryptography Research, Inc. | Device with multiple roots of trust |
| MX2019002184A (es) * | 2016-08-22 | 2019-08-16 | fybr | Sistema para sistemas de detección remota inteligentes distribuidos. |
| GB2553376A (en) * | 2016-09-06 | 2018-03-07 | Trustonic Ltd | Future constraints for hierarchical chain of trust |
| US10673863B2 (en) * | 2017-02-24 | 2020-06-02 | International Business Machines Corporation | Managing inter-object operations in a domain role-based access control (RBAC) system |
| US10979235B2 (en) * | 2017-10-20 | 2021-04-13 | Dropbox, Inc. | Content management system supporting third-party code |
| US10878019B2 (en) | 2017-10-20 | 2020-12-29 | Dropbox, Inc. | Hosted storage for third-party services |
| US11113411B2 (en) | 2017-10-20 | 2021-09-07 | Dropbox, Inc. | Authentication security model for a content management system |
| US10430606B1 (en) | 2018-04-30 | 2019-10-01 | Aras Corporation | System and method for implementing domain based access control on queries of a self-describing data system |
| WO2020010515A1 (en) * | 2018-07-10 | 2020-01-16 | Apple Inc. | Identity-based message integrity protection and verification for wireless communication |
| CN109450519B (zh) * | 2018-10-30 | 2021-06-11 | 航天东方红卫星有限公司 | 一种星载全数字化usb应答机 |
| US10412118B1 (en) * | 2019-03-04 | 2019-09-10 | FullArmor Corporation | Group policy object management of external network resources |
| US10498583B1 (en) | 2019-03-04 | 2019-12-03 | FullArmor Corporation | Active directory bridging of external network resources |
| US20210029055A1 (en) * | 2019-07-22 | 2021-01-28 | International Business Machines Corporation | Internet activity compartmentalization |
| US11329954B1 (en) * | 2019-07-30 | 2022-05-10 | Berryville Holdings, LLC | Traceless access to remote deployed devices in undisclosed locations |
| US11271958B2 (en) | 2019-09-20 | 2022-03-08 | International Business Machines Corporation | Efficient unsupervised anomaly detection on homomorphically encrypted data |
Family Cites Families (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6330670B1 (en) * | 1998-10-26 | 2001-12-11 | Microsoft Corporation | Digital rights management operating system |
| US6463534B1 (en) * | 1999-03-26 | 2002-10-08 | Motorola, Inc. | Secure wireless electronic-commerce system with wireless network domain |
| US7140039B1 (en) * | 1999-06-08 | 2006-11-21 | The Trustees Of Columbia University In The City Of New York | Identification of an attacker in an electronic system |
| US6990579B1 (en) * | 2000-03-31 | 2006-01-24 | Intel Corporation | Platform and method for remote attestation of a platform |
| US7221935B2 (en) * | 2002-02-28 | 2007-05-22 | Telefonaktiebolaget Lm Ericsson (Publ) | System, method and apparatus for federated single sign-on services |
| CA2496165C (en) * | 2002-08-19 | 2014-07-15 | Research In Motion Limited | System and method for secure control of resources of wireless mobile communication devices |
| US20040123152A1 (en) | 2002-12-18 | 2004-06-24 | Eric Le Saint | Uniform framework for security tokens |
| US7469417B2 (en) * | 2003-06-17 | 2008-12-23 | Electronic Data Systems Corporation | Infrastructure method and system for authenticated dynamic security domain boundary extension |
| JP4064914B2 (ja) * | 2003-12-02 | 2008-03-19 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 情報処理装置、サーバ装置、情報処理装置のための方法、サーバ装置のための方法および装置実行可能なプログラム |
| US7490347B1 (en) | 2004-04-30 | 2009-02-10 | Sap Ag | Hierarchical security domain model |
| US8146142B2 (en) * | 2004-09-03 | 2012-03-27 | Intel Corporation | Device introduction and access control framework |
| US7636333B2 (en) * | 2004-11-16 | 2009-12-22 | Qualcomm Incorporated | Method and apparatus for carrier customization in communication systems |
| JP2006211280A (ja) * | 2005-01-27 | 2006-08-10 | Nissan Motor Co Ltd | 移動体通信端末、移動体通信システム及び端末接続方法 |
| JP2007006192A (ja) * | 2005-06-24 | 2007-01-11 | Kyocera Corp | 通信端末装置 |
| JP5179372B2 (ja) * | 2005-12-19 | 2013-04-10 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 異なるプロトコル領域間の相互運用性を提供する技術 |
| KR100765774B1 (ko) * | 2006-01-03 | 2007-10-12 | 삼성전자주식회사 | 도메인 관리 방법 및 그 장치 |
| KR101215343B1 (ko) * | 2006-03-29 | 2012-12-26 | 삼성전자주식회사 | 지역 도메인 관리 모듈을 가진 장치를 이용하여 도메인을 지역적으로 관리하는 장치 및 방법 |
| KR101217240B1 (ko) * | 2006-04-18 | 2012-12-31 | 주식회사 팬택앤큐리텔 | 사용자 도메인 관리를 위한 도메인 정책 전송방법 |
| FR2906960B1 (fr) | 2006-10-05 | 2009-04-17 | Radiotelephone Sfr | Procede de mise a disposition cloisonnee d'un service electronique. |
| KR100835272B1 (ko) * | 2006-11-07 | 2008-06-05 | 한국전자통신연구원 | 에스시에이 시스템에서의 컴포넌트 관리 장치 및 그 방법 |
| JP4280765B2 (ja) * | 2006-11-22 | 2009-06-17 | 株式会社エヌ・ティ・ティ・ドコモ | 移動体通信システム、管理装置、移動局、及び通信方法 |
| US20080133414A1 (en) * | 2006-12-04 | 2008-06-05 | Samsung Electronics Co., Ltd. | System and method for providing extended domain management when a primary device is unavailable |
| CN101282330B (zh) * | 2007-04-04 | 2013-08-28 | 华为技术有限公司 | 网络存储访问权限管理方法及装置、网络存储访问控制方法 |
| US20080301770A1 (en) * | 2007-05-31 | 2008-12-04 | Kinder Nathan G | Identity based virtual machine selector |
| JP2009033354A (ja) * | 2007-07-25 | 2009-02-12 | Panasonic Corp | 通信システム |
| DE102007044905A1 (de) * | 2007-09-19 | 2009-04-09 | InterDigital Patent Holdings, Inc., Wilmington | Verfahren und Vorrichtung zur Ermöglichung einer Dienstnutzung und Feststellung der Teilnehmeridentität in Kommunikationsnetzen mittels softwarebasierten Zugangsberechtigungsausweisen (vSIM) |
| US20090150969A1 (en) * | 2007-12-05 | 2009-06-11 | Davis Douglas B | Filtering Policies to Enable Selection of Policy Subsets |
| KR100949808B1 (ko) * | 2007-12-07 | 2010-03-30 | 한국전자통신연구원 | P2p 트래픽 관리 장치 및 그 방법 |
| EP2245829B1 (en) | 2008-01-18 | 2016-01-06 | InterDigital Patent Holdings, Inc. | Method for enabling machine to machine communication |
| US8230069B2 (en) * | 2008-03-04 | 2012-07-24 | International Business Machines Corporation | Server and storage-aware method for selecting virtual machine migration targets |
| CN101262474B (zh) * | 2008-04-22 | 2012-02-01 | 武汉理工大学 | 一种基于跨域授权中介实现角色和组映射的跨域访问控制系统 |
| TW201012187A (en) * | 2008-08-25 | 2010-03-16 | Interdigital Patent Holdings | Universal integrated circuit card having a virtual subscriber identity module functionality |
| EP2897341B1 (en) | 2009-04-20 | 2016-11-09 | Interdigital Patent Holdings, Inc. | System of multiple domains and domain ownership |
-
2010
- 2010-04-20 EP EP15151652.3A patent/EP2897341B1/en not_active Not-in-force
- 2010-04-20 EP EP10716954.2A patent/EP2422503B1/en not_active Not-in-force
- 2010-04-20 JP JP2012507310A patent/JP5643292B2/ja not_active Expired - Fee Related
- 2010-04-20 CN CN201080017547.2A patent/CN102405630B/zh not_active Expired - Fee Related
- 2010-04-20 TW TW100124849A patent/TWI531195B/zh not_active IP Right Cessation
- 2010-04-20 US US12/763,827 patent/US9807608B2/en not_active Expired - Fee Related
- 2010-04-20 CN CN201710165897.7A patent/CN107332816A/zh active Pending
- 2010-04-20 WO PCT/US2010/031739 patent/WO2010123890A1/en active Application Filing
- 2010-04-20 KR KR1020117027546A patent/KR101378109B1/ko not_active IP Right Cessation
- 2010-04-20 TW TW099112331A patent/TWI435584B/zh not_active IP Right Cessation
-
2014
- 2014-10-30 JP JP2014221949A patent/JP5987039B2/ja not_active Expired - Fee Related
-
2016
- 2016-08-08 JP JP2016155777A patent/JP2016213889A/ja not_active Ceased
-
2017
- 2017-10-30 US US15/797,197 patent/US20180152841A1/en not_active Abandoned
- 2017-11-06 JP JP2017214093A patent/JP2018063716A/ja not_active Ceased
Also Published As
| Publication number | Publication date |
|---|---|
| CN107332816A (zh) | 2017-11-07 |
| EP2897341A1 (en) | 2015-07-22 |
| JP5643292B2 (ja) | 2014-12-17 |
| EP2897341B1 (en) | 2016-11-09 |
| JP2018063716A (ja) | 2018-04-19 |
| JP2012524502A (ja) | 2012-10-11 |
| EP2422503A1 (en) | 2012-02-29 |
| JP5987039B2 (ja) | 2016-09-06 |
| CN102405630B (zh) | 2017-04-12 |
| KR20120004528A (ko) | 2012-01-12 |
| WO2010123890A1 (en) | 2010-10-28 |
| US20180152841A1 (en) | 2018-05-31 |
| JP2016213889A (ja) | 2016-12-15 |
| CN102405630A (zh) | 2012-04-04 |
| US20110099605A1 (en) | 2011-04-28 |
| KR101378109B1 (ko) | 2014-03-26 |
| EP2422503B1 (en) | 2015-03-04 |
| TW201129042A (en) | 2011-08-16 |
| US9807608B2 (en) | 2017-10-31 |
| TW201220794A (en) | 2012-05-16 |
| JP2015073279A (ja) | 2015-04-16 |
| TWI531195B (zh) | 2016-04-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI435584B (zh) | 多網域及網域所有權系統 | |
| US9391981B2 (en) | Registration and credential roll-out for accessing a subscription-based service | |
| US9032473B2 (en) | Migration of credentials and/or domains between trusted hardware subscription modules |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |