用于接入基于订阅的服务的注册和凭证转出 |
|||||||
| 申请号 | CN201080056855.6 | 申请日 | 2010-10-15 | 公开(公告)号 | CN102668501B | 公开(公告)日 | 2015-12-09 |
| 申请人 | 交互数字专利控股公司; | 发明人 | L·J·古乔内; I·查; | ||||
| 摘要 | 用户可以经由包括一个或者多个设备的系统来接入基于订阅的服务,该一个或者多个设备具有一个或者多个独立的域,其中每个域可以由一个或者多个不同的本地或者远程所有者拥有或者控制。每个域可以具有不同的所有者,以及提供基于订阅的服务的远程所有者可以获取可被称为远程所有者域的域的所有权。此外,用户可以获取可被称为用户域的域的所有权。为了用户接入基于订阅的服务,可能需要注册和凭证转出。示例性注册和凭证转出过程可以包括用户注册、从远程所有者获取凭证以及存储凭证。 | ||||||
| 权利要求 | 1.在包括设备的系统中的一种方法,其中该设备包括由至少一个平台所支持的多个域,所述多个域中的每个域包括在所述至少一个平台上执行的计算资源的配置,以及所述多个域中的每个域被配置成执行用于所述域的所有者的功能,所述所有者能够位于所述域的本地或者远程位置,其中所述多个域包括远程所有者域和用户域,所述用户域与所述远程所有者域隔离,该方法包括: |
||||||
| 说明书全文 | 用于接入基于订阅的服务的注册和凭证转出[0001] 相关申请的交叉引用 背景技术[0003] 当今有很多情况,其中可以或不可以与其他设备或者实体通信的计算设备以这种方式来使用,即设备、或者该设备内的某部分或者计算环境由个人、组织或者一些其他实体 “所拥有”。我们的意思是,通过“所拥有”,设备、或者该设备内的某部分或者计算环境可能 已经用实体认证了,并且此后该实体可以对设备或者该设备的某些部分采取某些形式的控 制。这种情况的一个示例是在无线移动通信工业中,其中无线设备(例如,移动电话)的用户 可以订阅特定移动通信网络运营商的服务。 [0004] 在当今移动通信工业中,无线设备通常包括订户身份模块(SIM)或者通用集成电路卡(UICC),其中用户可以用该无线设备订阅特定的网络运营商的服务。SIM/UICC向无线 设备提供安全执行和存储环境,由此来执行认证算法和存储凭证,该证书使设备能够向网 络运营商认证与网络运营商的设备用户的订阅,并允许网络运营商具有对设备的某些形式 的控制,即,所有权。不幸的是,这个SIM/UICC机制通常被局限于与单个网络运营商使用。 [0005] 因此,在当今很多计算上下文中的问题(如上述移动通信设备的情况)是计算设备经常被局限于由单个实体完全“拥有”。在很多情况下,所有权必须在用户购买设备的时候 建立,其阻止了可能期望在以后建立所有权的商业模型。而且,这些限制阻止了设备在以下 情况中的使用,其中可能期望设备的多个相互隔离的部分的多个所有权存在,或者所有权 可以不时地被转移到其他实体。例如,在无线移动通信设备(例如移动电话)的情况下,用 户通常需要在购买时订阅特定的移动网络运营商的服务,并且这种设备通常不允许在移动 网络运营商在购买无线设备之后的一段时间才知道的应用中使用。此外,这种设备同时提 供到多个运营商网络的接入通常是不可能的。更新或者改变移动网络和服务订阅可能很困 难,以及通过空中(over-the-air)来实现所述更新或改变通常是不可能的。 [0006] 此外,特别是在无线移动通信设备的上下文中,虽然SIM/UICC机制通常被认为是高度安全的,但是安全性没有被坚固地(strongly)与该安全性所存在的整个设备的安全特 性联系起来。这限制了用于高级服务和应用的缩放(scaling)安全概念的应用,例如移动 财务交易。特别地,这些缺点与自主(autonomous)设备相关,例如机器到机器(M2M)通信设 备。 [0007] 因此,期望更动态的解决方案。发明内容 [0008] 公开了可以允许用户接入来自设备上的域的远程所有者的基于订阅的服务的系统和方法。用户可以经由包括具有一个或者多个独立的域的一个或者多个设备的系统来接 入基于订阅的服务,其中每个域可以由一个或者多个不同的本地或者远程所有者所有或者 控制。一个或者多个设备可以包括由至少一个平台所支持的一个或者多个域。每个平台可 以向域提供低级计算、存储、或者通信资源。平台可以包括一些硬件、操作系统、一些低级固 件或者软件(例如启动(boot)代码、BIOS、API、驱动器、中间件(middleware)、或者虚拟化 软件)以及一些高级固件或软件(例如应用软件)以及用于这些资源的各自的配置数据。每 个域可以包括在至少一个平台上执行的计算、存储、或者通信资源的配置,并且每个域可以 被配置成执行用于域的所有者的功能,该所有者可以位于域的本地或者远程位置。每个域 可以具有不同的所有者,并且每个所有者可以指定操作自己的域的策略,以及指定操作其 他域和与域所在的平台有关的自己的域的策略。提供基于订阅的服务的远程所有者可以已 经获得了可被称为远程所有者域的域的所有权。此外,用户可以已经获得了可被称为用户 域的域的所有权。 [0009] 为了用户接入基于订阅的服务,可能需要注册和凭证转出。示例性注册和凭证转出过程可以包括用户注册、从远程所有者获取凭证以及存储凭证。 [0010] 注册可以包括将用户注册到远程所有者作为基于订阅的服务的订阅用户,该基于订阅的服务由远程所有者通过远程所有者域提供。用户域可以代表用户通过向远程所有者 域发送请求发起注册。远程所有者域可以请求将被用于向远程所有者识别所述用户为所述 基于订阅的服务的订阅用户的标识符。该请求可以向第三方进行,以便于向用户销售基于 订阅的服务。远程所有者域可以从第三方接收标识符,以及用户域可以从远程所有者接收 注册请求已经被接收的确认。 [0011] 获得和存储凭证可以包括用户域向远程所有者域发送凭证转出请求。该请求可以包括识别用户和/或第三方的信息。远程所有者域可以向远程所有者发送凭证转出请求。 远程所有者域可以从远程所有者接收凭证,并向用户域发送凭证已经被远程所有者域接收 的确认。 附图说明[0013] 图1示出了可以在其中使用在此描述的方法和手段的示例性系统。 [0014] 图2示出了系统的一个实施方式,其中在此描述的方法和手段包含(embody)于用户设备(UE)中。 [0015] 图3和3A示出了用于获取域的所有权的示例性启动(boot up)和过程。 [0016] 图4和4A示出了获取域的所有权的过程的示例性呼叫流程图。 [0017] 图5和5A示出了使用完整证明获取域的所有权的过程的示例性呼叫流程图。 [0018] 图6示出了可信的硬件订阅模块的一个实施方式的示例性状态定义、转变和控制点定义。 [0019] 图7示出了远程所有者域可以达到的示例性状态,以及在动态管理环境中转变能够发生的条件。 [0020] 图8示出了实施注册和凭证转出过程的示例性呼叫流程。 [0021] 图9是可以在其中实施一个或者多个所公开的实施方式的示例性通信系统的系统图示。 具体实施方式[0022] I、示例多域系统 [0023] 图1-7可以涉及可以在其中实施所公开的系统、方法和手段的示例性实施方式。然而,虽然本发明可以结合示例性实施方式来说明,但是本发明并不局限于此,应当理解为 其他实施方式也可以使用,或者可以对所描述的实施方式进行修改和增加以执行与本发明 相同的功能,而不脱离本发明。 [0024] 可以在其中实施所公开的系统、方法和手段的示例性系统包括一个或者多个设备,其中每个设备可以包括由至少一个平台所支持的一个或者多个域。每个平台可以向域 提供低级计算、存储、或者通信资源。平台可以包括一些硬件、操作系统、和其他低级固件或 者软件(例如启动代码、BIOS和驱动器)以及用于这些资源的各自的配置数据。每个域可以 包括在至少一个平台上执行的计算、存储、或者通信资源的配置,并且每个域可以被配置成 执行用于域的所有者的功能,该所有者可以位于域的本地或者远程位置。每个域可以具有 不同的所有者,并且每个所有者可以指定用于操作自己的域的策略,以及指定操作其它域 和与域所在的平台有关的自己的域的策略。 [0025] 每个域可以与其它域隔离,关于计算、存储、或者通信资源(从输入点来看)、或者域通过使用这些计算、存储、或者通信资源(从输出点来看)所提供的功能。每个域可以利用 公共底层(underlying)平台的计算、存储、或者通信资源或者功能。一些域可以共享一些 由公共平台提供的这种功能。平台资源和/或功能的这种共享可以以下列方式来完成,即 每个域的公共资源或者功能的使用可以与另一个域的这种使用相互隔离。例如,这种隔离 可以通过设备的平台来达到,其中该设备平台对其向每个域提供的资源施行(enforce)严 格的接入控制,这样使得对域的资源的任何接入可以只对用户、所有者、或者该域之外的由 平台和/或域的所有者授权的其它实体或者过程是允许的。平台还可以简单包括设备的一 部分,其中该部分不是设备上的任何隔离域的部分,至于任意域的功能依赖于位于设备上 的任何域之外的设备的资源。 [0026] 在相同或者不同平台上、或者在相同或者不同设备上的任意两个域之间的通信可以是安全的,这意味着域能够以安全的方式相互认证(例如,通过使用密码装置(means)), 并且也能够保护它们之间交换的消息,以用于这种安全方面,例如,机密性、完整性和新颖 性(freshness)。由域所在的平台提供的密码方式可以用于提供任意这样的两个域之间的 这种安全通信。 [0027] 全系统(system-wide)域管理器可以位于域中的一个之上。全系统域管理器可以施行其所在的域的策略,并且该全系统域管理器可以通过与全系统域管理器所在的域相关 的其他域的各自的策略来协调该其他域的施行。另外,全系统域管理器可以根据它们各自 的策略来协调其它域之间的交互。全系统域管理器所在的域可以由容纳该域的设备的所有 者所拥有。可替换的,这样的域可以由可能不拥有容纳该域的设备的所有者所拥有。 [0028] 图1示出了这种系统的一个实施方式。如图所示,系统可以包括一个或者多个设备100、110和120。每个设备可以包括由至少一个平台所支持的一个或者多个域。例如, 设备100可以包括域106和一个或者多个其他域101、102。虽然示出了用于设备100的三 个域,但在其他实施例中域的数量可以更多或者更少。这些域101、102、106中的每一个可 以包括在至少一个设备的平台105上执行的计算、存储、或者通信资源的配置。每个域可以 被配置成执行用于域的所有者的功能,该所有者可以位于域的本地或者远程位置。例如,域 106可以由设备所有者(未显示)所拥有,而域101、102可以由一个或者多个远程所有者所 拥有。每个域可以具有不同的所有者,或者设备的多个域可以由相同的所有者所拥有。每 个所有者可以指定操作自己的域的策略,以及指定操作与域所运行的平台、域所在的设备 相关的自己的域、和在相同或者不同设备之内的其它域的策略。 [0029] 如上所述,系统还可以包括其它设备,其它域位于该其它设备。例如,设备110可以包括域111和112,该域111和112中的每一个可以由相同的远程所有者所拥有。当然, 域111和112中的每一个可以相反,每一个由不同的所有者所拥有。域111和112中的每 一个可以包括在设备110的平台115上执行的计算、存储、或者通信资源的配置。类似的, 设备120可以包括域111和112。如这个示例所示,这些域中的每一个可以由不同的所有者 所拥有。可替换地,这些域可以由相同的所有者所拥有。此外,域121、122中的每一个可以 包括在设备120的平台125上执行的计算、存储、或者通信资源的配置。 [0030] 全系统域管理器(SDM)107可以位于一个域之上。在此示例中,SDM107位于设备100的域106之上。在一个实施方式中,SDM所在的域(例如,域106)由设备100的所有者 所拥有。SDM 107经由在设备100中所提供的通信机制与设备100上的远程所有者域101 通信。另外,SDM 107经由可以是有线或者无线信道的各个通信信道131、132、141、142与 其他设备上的域通信。通信信道131、132、141和142可以是安全的。SDM 107可以在其所 在的域106上施行策略,并且可以通过他们各自的与域106相关的策略来协调其它域101、 111、112、121、122的施行。另外,SDM 107可以根据他们各自的策略以及SDM所在的域的策 略(其可能是特定域的所有者的策略)来协调其它域之间的交互。 [0031] 作为示例,在一个实施方式中,域可以由服务提供方所拥有。例如,设备100的域102可以由服务提供方所拥有,例如,仅仅作为示例,移动网络运营商。域102可以执行订户 身份模块(SIM)功能以向服务提供方认证设备100,或者在某些情况下相当于设备的所有 者或者用户的订阅,以使得设备100和服务提供方之间能够通信。 [0032] 除了上述SDM的功能,SDM 107可以访问信息和提供可以由所述一个或者多个域所使用的资源列表。SDM 107还可以监督由远程所有者所拥有的域的加载(loading)和维 护。SDM 107可以向其所在的设备100的用户提供其能够加载的域列表,以及可以请求用户 选择加载所列出的域中的哪一个。SDM还可以估计平台或者设备上是否还有足够的计算资 源来加载,并因此支持对一个或者多个域的操作。 [0033] 还如上所述,SDM 107可以参与施行自己的策略,在此可以将其称为全系统域策略(SDP),以及其他域的策略,即指定域策略(DP)。在估计是否加载新域时,SDM 107可以考虑 一个或者多个已存在的域的策略。例如,由远程所有者所拥有的给定域的策略可以指定当 某一类型的其它域变得活动时,该给定域就不活动。在另一个示例中,由远程所有者所拥有 的给定域的策略可以指定当由某个其他远程所有者所拥有的另一个域变得活动时,该给定 域就不活动。在又一个示例中,由远程所有者所拥有的给定域的策略可以指定当某一类型 的其它域变得活动时,对给定域的操作就被限制以某些指定的方式进行。在又一个示例中, 由远程所有者所拥有的给定域的策略可以指定当由某个其他远程所有者所拥有的另一个 域变得活动时,对给定域的操作就被限制以某些指定的方式进行。SDM 107可以负责施行所 有这些类型的策略。 [0034] SDM 107还可以建立或者加载域,之后远程所有者可以拥有该域的所有权。例如,这样的域可以在此处被称为“原始”状态的状态中建立,其中该域不被任何所有者所拥有, 以及SDM 107可以管理远程所有者对域的所有权的建立。 [0035] 为此,SDM 107可以向远程所有者传送远程所有者可以考虑决定是否建立域的所有权的信息。该信息可以包括以下中的至少一个:(i)证明寻求(sought)所有权的域的完 整性的信息;以及(ii)证明系统的至少一个其它域的完整性的信息。该信息还可以包括: (i)证明平台的完整性的信息,其中寻求所有权的域使用该平台的资源来操作;以及(ii) 证明平台的完整性的信息,其中系统的至少一个其它域使用该平台的资源来操作。另外,该 信息可以包括涉及设备的当前环境的信息。这种信息可以包括以下中的至少一个:(i)指 示系统中其它域的数量的值;(ii)提供系统中其它域的概要特性(nature)的信息;以及 (iii)指定可以由尝试建立所有权的域使用的平台的资源的信息。向远程所有者提供关于 系统的其它域的信息的程度可以取决于这些其它域的关于机密性和/或隔离性的各自的 策略。 [0036] 在远程所有者拥有了域的所有权之后,远程所有者可以对域执行一定程度的控制。例如,在远程所有者建立域的所有权之后,域可以从远程所有者接收加密密钥、配置信 息、参数和可执行代码中的至少一个,以增加域的功能性。在另一个示例中,在远程所有者 建立域的所有权之后,域可以从远程所有者接收其域指定的策略。 [0037] 在此公开的系统还可以提供一个或者多个域的隔离和安全性。例如,一个或者多个域可以包括与其他域隔离的安全执行和存储环境。为了达到这样的安全环境,在其上建 立一个或者多个域的设备的平台(例如图1中设备100的平台105)可以包括可信根(root of trust)103。该可信根103可以包括不变的和不可移动的硬件资源组,其完整性是预先 建立的,并且可以被其它(包括域的远程所有者)所依赖。域(例如域101)的完整性可以由 可信根103锚定的可信链来建立。例如,域101的完整性可以通过将域101的至少一个组件 的测量与参考完整性度量相比较来建立,其中所述测量可以由可信根103产生,所述参考 完整性度量可以被存储于可信根103中,并且由可信根使用以验证域的完整性。可替换地, 参考完整性度量可以由远程所有者存储,以及所述测量可以被传送至远程所有者以用于与 参考完整性度量比较。如果测量与参考完整性度量匹配,则域的完整性可以被验证。在一 个示例实施方式中,测量可以包括通过组件计算出来的散列(hash),以及参考完整性度量 可以包括之前通过组件计算出来的、并且伴有提供参考完整性度量的认证的指示的数字证 书的散列。参考完整性度量可以在制造时或者在将设备传递(delivery)给其所有者时被预 先规定到设备中。参考完整性度量还可以在设备的制造/供应之后,通过通信信道(例如, 通过空中无线通信信道)从远程源传递到其所有者,并在传递之后规定到设备中。参考完整 性度量可以被传递到封装了(enclosed)证书的设备。该证书可以由可信的第三方来验证, 以在将其传递到设备之后使用。 [0038] 在此公开的系统及其各种方法和手段可以嵌入到各种计算和通信上下文中。因此,系统的设备(例如图1的示例设备100、110和120)可以采取各种形式。举个例子,但没 有任何限制,系统的设备可以包括无线发送/接收单元(WTRU)、用户装置(UE)、移动站、固 定或者移动订户单元、寻呼机、蜂窝电话、个人数字助理(PDA)、计算机、机器到机器(M2M) 设备、SIM卡、通用集成电路卡(UICC)、智能卡、地理跟踪(geo-tracking)设备、传感器网络 节点、计量(metering)设备(例如水、气或者电子计量器)、或者任何能够在无线或者有线环 境中操作的其他类型的计算或者通信设备。以下附图和说明提供了多种在无线发送/接收 单元(WTRU)中的本公开文件的系统和方法附加的示例实施方式。然而,应当理解的是,这 些实施方式仅仅是示例性的,在此公开的系统和方法并不意味着局限于这些实施方式。相 反,如上所述,在此公开的系统和方法可以在各种计算和通信环境中使用。 [0039] 图2是示出了可以在其中包含在此描述的系统和方法的WTRU的一个实施方式的图示。如图所示,WTRU可以包括移动设备,例如UE 200。UE200可以包括移动装置(ME)210 和可信硬件订阅模块(THSM)220。另外,THSM 220还可以包括THSM设备制造商(DM)域221、 THSM设备所有者(DO)域222、THSM设备用户(DU或U)域223、全系统域管理器(SDM)230、 域之间策略管理器240和一个或者多个远程所有者(RO)域,例如RO的域A 224,RO的域B 225和RO的域C 226。此外,UE 200可以包括以下未示出的组件:处理器、接收机、发射机 和天线。在此所述的示例性实施可以被称为组件,例如关于图2所描述的那些。 [0040] THSM可以是提供可信订阅管理功能的基于硬件的模块,该可信订阅管理功能通常包括那些由SIM功能、USIM功能、ISIM功能和接入网订阅执行的功能。THSM可以是硬件保 护的模块。它可以包括特别设计有关于安全性特征的硬件。它能够在内部支持多个隔离的 域。域可以由被称为远程所有者(RO)的不同(distinctive)所有者所认领(claim)或拥 有。由RO所认领的域可以作为各自RO的代理。 [0041] 一个或者多个域可以执行订阅管理功能,例如可信订阅身份管理(TSIM)。因为具有TSIM功能的多个域可以存在于单个THSM中,因此THSM可以支持用于多个RO的订阅管 理。对具有TSIM的(TSIM-capable)域的管理的某些方面可以由被称为全系统域管理器 (SDM)的单个管理功能执行。其他方面可以单独在个别域之内或个别域之上被管理。 [0042] 虽然是根据通用移动电信系统(UMTS)环境来描述,但本领域技术人员可以认识到在此所描述的方法和装置能应用于其它环境而不超出本申请的范围。TSIM可以是“订阅应 用”的代表性示例。例如,如果在操作于3GUMTS网络中的WTRU上实施,则TSIM可以包括所 有订阅相关的功能作为其功能性的一部分,该订阅相关的功能包括UMTS认证和密钥协商 (AKA)功能。TSIM可以不被绑定到指定的硬件,例如UICC。这与USIM形成对比,USIM只能 存在于UICC上。作为替换,TSIM可以在如这里所描述的可信硬件订阅模块(THSM)上实施。 本领域的技术人员还将认识到,在此所描述的THSM的功能可以合并到UICC或者类似的智 能卡中而不超过本申请的范围,例如符合欧洲电信标准组织(ETSI)UICC需求的UICC或者 符合全球平台规范的智能卡。 [0043] WTRU可以包括THSM和移动装置(ME)。ME可以包括调制解调器、无线电、电源、以及通常在WTRU中发现的各种其他特征。THSM可以包括独立的基于硬件的模块。THSM可以 被嵌入到WTRU上或者其可以是独立的。THSM可以逻辑上独立于ME,即使其被嵌入到WTRU 上。THSM可以包括一个或者多个域,每一个域都由域的特定所有者所拥有,并针对所有者的 利益而运行,以提供安全、可信的服务和应用。因此,例如,DM的域可以表示为TDDM,并且DO 的域表示为TDDO。THSM中的域可以执行在ME中执行可能不安全或不方便的安全性敏感的 功能和应用。 [0044] 一些域可以由一个或者多个服务提供方所拥有或者管理。例如,移动网络运营商(MNO);其他通信网络运营商,例如无线局域网(WLAN)提供方,或者WiMax提供方;应用服务 提供方,例如移动支付、移动售票、数字版权管理(DRM)、移动TV或者基于位置的服务中的 服务提供方;或者IP多媒体核心网子系统(IMS)服务提供方。订阅管理可以由服务提供方 所拥有的域支持。为了简化,在THSM域上实施的订阅管理功能可以在下文中被表示为TSIM 功能。对TSIM功能的支持可以根据域来改变。例如,支持的TSIM功能可以包括类似于移 动终端上的UICC上的USIM和ISIM应用所提供的那些功能。THSM可以像UICC一样包括除 由TSIM所提供的以外的功能、应用和数据。 [0045] TSIM可以是软件单元或者虚拟应用。TSIM可以最开始没有与特定网络运营商或者公共陆地移动网络(PLMN)相关联的凭证。TSIM可能涉及对用于UMTS蜂窝接入网的订阅 凭证/应用的管理。例如,TSIM可以包括对强机密(Ki)的管理,例如UMTS认证密钥。在 M2M上下文中,TSIM还可以包括M2M连接性身份管理(MCIM)。 [0046] THSM可以包括测量的可信核心根(RoT)(CRTM)单元,其类似于可以在具有可信平台模块(TPM)或者移动可信模块(MTM)的计算设备中找到的测量的可信根(RTM)。THSM的 CRTM可以例如在THSM启动时测量THSM启动代码的完整性。完整性度量可以通过扩展操 作来散列计算,例如通过在THSM的启动代码、BIOS上、以及可选地在THSM的制造商的特征 (例如版本号、软件配置、或者发布(release)号)上应用密码摘要(digest)值操作。例如, 完整性度量可以使用一版密码散列算法(例如SHA-X)来计算。 [0047] THSM可以包括存储核心RoT(CRTS)单元,类似于在TPM或者MTM中找到的存储可信根(RTS),该CRTS单元被配置成在保护的存储器中存储完整性度量。THSM还可以包括报 告核心RoT(CRTR)单元,类似于在TPM或者MTM中找到的报告可信根(RTR),该CRTR单元 被配置成向外部询问器(challenger)报告THSM的完整性测量。 [0048] 因此,THSM可以有效地提供类似于TPM或者MTM根据可信测量、存储和报告的能力。THSM还可以包括实现多个可信保管者(stakeholder)引擎的能力。此外,THSM可以被 配置成实现各自的多个保管者可信子系统。因此,THSM可以类似于如由TCG移动电话工作 组(MPWG)规范定义的可信的移动电话。 [0049] THSM可以被配置成使用例如在此所述的核心RoT能力来建立多个内部的“保管者域”。保管者可以是THSM设备制造商(DM)、THSM设备所有者(DO)、或者THSM设备用户(DU)。 DU可以与DO相同或者可以与DO不同。每个THSM可以有多个DU。保管者还可以是域的不 同的远程所有者(RO),该域特别地由DO租借或者拥有。例如,如MNO、IMS服务提供方、非 3GPP接入网运营商、或者增值应用服务提供方之类的第三代合作伙伴计划(3GPP)PLMN运 营商可以是保管者。 [0050] 一些域可以是强制性的,其中它们可以在制造THSM时被预先配置。例如,DM的域可以是强制性的,并且其可以在启动时根据预配置的文件被建立或者加载。DO的域也可以 是强制性的,并且其可以被建立成预先规定的配置。可替换地,域可以根据下载的配置文件 被建立。 [0051] 除了DM的域之外的域在它们被域的所有者“认领”或者“拥有”之前可以经受远程获取所有权(RTO)过程。在指定的域经受RTO过程之前,用于非指定的所有者的“原始”域 可以存在。在这种情况下,没有为该域所认领的指定的所有权。 [0053] 通过THSM-ME接口的所有通信的完整性保护可能被需要。例如,完整性保护可以使用加密密钥,例如,预先规定的临时密钥或者通过使用认证密钥交换机制来交换的密钥。 加密密钥可以是对称的,例如Ktemp_I,或者是非对称的,例如用于由THSM使用的以用于完 整性的公有或者私有密钥的Kpub/priv_THSM_temp_I,和用于由ME使用的以用于完整性的 公有或者私有密钥的Kpub/priv_ME_temp_I。临时密钥可以用于保护接口。例如,临时密钥 可以与有效期相关联,或者可以使用一次或者预定次数。 [0054] 通过THSM-ME接口的通信的机密性(confidentiality)还可以使用加密装置来提供。可以使用预先规定的临时密钥或者通过使用认证密钥交换机制交换的密钥。加密密钥 可以是对称的,例如用于加密(ciphering)的Ktemp_C,或者是非对称的,例如用于由THSM 使用的以用于加密的公有或者私有密钥的Kpub/priv_THSM_temp_C,和用于由ME使用的以 用于加密的公有或者私有密钥的Kpub/priv_ME_temp_C。为了简便,在此所描述的RTO方法 和装置涉及使用预先规定的对称临时密钥。然而,本领域技术人员将能认识到,其它密钥实 施也可以被使用而不超出本申请的范围。 [0055] 可以提供关于在具有RO的THSM-ME之间不受阻碍(in the clear)穿过的消息的阻止重放攻击。通过THSM-ME接口发送的每个消息可以拥有使用随机数的新鲜 (freshness)质量。为了简化,在此所述的RTO协议可以包括通过ME-THSM接口交换的所有 消息的反重放保护;然而,本领域技术人员将能认识到,其他接口保护配置可以被使用而不 超出本申请的范围。 [0056] 签名可以应用于散列。例如,散列表可以由SHA-X算法产生。可信的第三方可以使用证书(CertTSIM)来验证与THSM相关联的私钥公钥对,例如KTSIM-Priv和KTSIM-Pub。可信的第 三方还可以使用证书(CertRO)来验证与网络关联的另一组密钥,例如KRO-Priv和KRO-Pub。这些 证书可以存储于被分配给在考虑中(in question)的域的受保护的存储器。 [0057] 公钥(KRO-Pub)可以由THSM平台(特别是TSIM)使用来验证来自RO的签名,或者来加密发送给RO的消息。私钥(KRO-Priv)可以由网络使用以用于签名目的,并且来解密由TSIM 使用对应的公钥加密的消息。公钥私钥对(KTSIM-Pub和KTSIM-Priv)可以包括相似的功能,除了 TSIM和RO的角色被交换。可替换地,可以有用于在RO和TSIM处进行加密和签名的独立的 密钥对。 [0058] 密钥对(KRO-Priv和KRO-Pub、以及KTSIM-Priv和KTSIM-Pub)可以依赖于由所有者、用户或者二者所选择的特定网络服务。每个服务提供方(例如RO)可以具有其自己的用于与提供方相关联的THSM上的每个域的验证的公钥私钥对。所选择的服务可以确定使用哪组密钥对。 例如,公钥私钥对组可以由所选择的服务提供方和THSM上相关联的域来确定。可以没有使 用的密钥对的协商。公钥或者私钥对可以由服务提供方确定,以及可以紧密地与THSM子系 统或者域相关联。 [0059] THSM TDDO可以配置“全系统域管理器”(SDM)。SDM可以保护地存储包括“全系统域策略”(SDP)的预配置文件。SDM可以根据SDP建立或者加载用于THSM的RO的域。SDM 可以被包括在DO的域的原始配置中。SDM可以使用预配置的SDP以确定哪个其它域应当被 建立,以及以何种顺序。 [0060] 代表RO域以及当被RO域请求时,SDM可以准备和提供THSM平台环境概要(TPES)和THSM平台完整性证明(TPIA)。TPES可以描述关于THSM的最近“环境”的概要信息。这 个信息可以包括THSM上的域的数量和概要特性,如由各自的关于机密性和隔离性的域策 略所限制的和允许的,以及包括THSM上可用于与请求域通信和共享功能或者资源的任何 剩余资源。TPIA可以包括THSM的一个或者多个域上的完整性证明的集合。TPIA还可以包 括用于支持所述域的平台的完整性证明。TPIA可以用于向外部验证器(verifier)证明感 兴趣的域和支持这些域的平台的可信状态,例如对执行用于THSM上的原始域的RTO过程有 兴趣的RO。RO或者RO的域(TDDO)可以向SDM请求TPIA。SDM可以根据SDP答应(oblige) 或者拒绝该请求。 [0061] SDM还可以与THSM的物理存在设备所有者(例如服务人员)交互,以交互式地识别应当被建立和以何种顺序被建立的其它域。而且,SDM还可以请求与THSM的物理存在用户 交互的用户的域,以提供用于将被建立的域和建立顺序的输入。这个信息可以用作域建立 过程中的输入。 [0062] 当THSM执行用于RO的域的RTO过程时,其可以被配置成在完成远程获得所有权协议之前,达到四个不同的系统状态。THSM Pre_Boot系统状态可以指示THSM还没有“开 机”。THSM_TDDM_LOAD_COMPLETE系统状态可以指示THSM上的DM的域已经被建立或者被加 载,作为THSM开机之后的第一个步骤。THSM_TDDO_LOAD_COMPLETE系统状态可以指示DO的 域(TDDO)被建立或者被加载成最后配置可用(last-configuration-available)。这个“最 后配置可用”可以是“RTO之后”配置,或者如果DO的域从来没有经历过自己的RTO过程, 这个“最后配置可用”可以是“原始”配置。DM的域可以建立或者加载DO的域。在DO的域 经历至少一个RTO过程之前,DO的域可以处于“原始”状态,并且不可以被任意指定的DO所 认领或者拥有。“原始”域可以包括一个“壳”。第一次建立或者加载DO的域时,“最后配置 可用”(在此以及以后称之为最后配置)来自于预配置文件。可替换地,如果“最后配置”取 决于用于RO的域的RTO过程,则THSM上的特定域可以已经经历远程获得所有权协议至少 一次,并且远程所有者可以已经获取了TSSRO的所有权。这可以指示在远程获取所有权完成 之后已经在平台上被配置的可信的子系统。当达到这个状态或者在此之前,特定RO可以开 始执行其它任务。 [0063] THSM_TDRO_LOAD_COMPLETE系统状态可以指示RO的域(TDRO)被建立或者加载成最后配置可用。这个“最后配置可用”可以是“RTO之后”配置,或者如果RO的域从来没有经 历过自己的RTO过程,则这个“最后配置可用”可以是“原始”配置。DM的域可以建立或者 加载RO的域。在DO的域经历至少一个RTO过程之前,DO的域可以处于“原始”状态,并且 不可以被任意指定的DO所认领或者拥有。“原始”域可以包括一个“壳”。第一次建立或者 加载RO的TD时,最后配置可以来自于预配置文件。 [0064] 可替换地,如果最后配置取决于用于RO的TD的RTO过程,则THSM上的特定TD可以已经经历RTO协议至少一次,并且RO可以已经获取了TDRO的所有权。这指示在RTO完 成之后已经在平台上被配置的可信的子系统。当达到这个状态时,特定RO可以开始执行其 它任务。如果RO的TD(TDRO)是MNO的TD,那么通过这个阶段,MNO的TD可以提供在那个 TDRO上实现的最终的可信订阅身份管理(TSIM)功能。 [0065] 可替换地,全系统域管理器(SDM)可以实施于DM的TD中,而不是DO的TD中。在向DM的TD提供适当的授权数据之后,DO可以使用由DM的TD提供的SDM来执行THSM上 的创建、加载、以及其它管理各个远程所有者TD的任务。这种情况下,THSM系统启动顺序 和RTO过程顺序的细节可以与在此所述的细节不同,但是都在本申请的范围之内。对于这 种情况的启动和RTO过程,还有DO或者DO的TD可以如何使用由DM的TD提供的SDM的说 明(例如,可以提供何种类型的授权数据(以及怎样提供))可以与在此所述的那些类似。例 如,嵌入作为智能卡的THSM可以包括卡管理器,具有支持由例如全球平台这样的标准所指 定的卡管理器功能的功能,其代表卡发行者负责管理卡上的安全域。卡发行者可以类似于 DM,并且卡管理器可以包括SDM的一些功能。因此,卡管理器可以类似于DM的域中拥有的 SDM。 [0066] 在第一实施方式中,ME可以被配置成提供安全启动能力,以及THSM可以被配置成提供全部MTM能力。在开机时,ME可以安全地启动。例如,ME可以执行非TCG“安全”启 动,如每个开放移动终端平台(OMTP)信任的执行环境TR0规范。在启动时,THSM可以例如 通过启动首先建立THSM DM的域(TDDM),然后建立“原始”THSM DO的域(TDDO)。如果DO和 DU是独立的,则THSM还可以建立THSM DU的域。 [0067] THSM TDDM可以用在THSM中保护的预配置文件初始建立,并且可以在启动时可用。THSM TDDO可以用预配置文件大量地建立,但是也可以使用RTO过程来建立。THSM TDDO可以 经历RTO协议。这个协议可以采用与用于RO的域(TDDO)的RTO协议相同的形式,或者可以 是不同的协议。如果THSM TEDO不经历RTO协议,获得所有权所需的凭证被预配置和预先规 定。THSM TEDO可以由DO所有。DO可以是实际的人员用户或者所有者、如企业或者其信息 技术(IT)部门的机构、或者远程网络运营商(NO)。 [0068] THSM TDU可以用在THSM TEDO中预先规定的预配置文件来建立。THSM的RO域可以根据THSM DO的全系统域策略(SDP)首先建立为“原始”配置。THSM的RO域可以经历具 有RO的RTO过程。DO的域的SDM可以根据SDP管理用于RO的域的RTO过程。如果THSM 的RO是MNO,这样使得RO的域是MNO的域,这个MNO的域也可以经历定义如下的协议:i) MNO的域如何能被注册到MNO;ii)订阅凭证(例如,USIM或者MCIM机密密钥Ki以及国际移 动订户标识(IMSI)等)如何能从MNO的移动网络转出到THSM上的MNO的域,然后在那里被 规定;以及iii)一旦下载了订阅凭证,处理或者使用这个凭证的功能,或者甚至提供订阅 管理功能的域如何能够从一个设备迁移到另一个。这些协议可以分别被称为i)注册协议; ii)凭证转出协议;以及iii)迁移协议。RTO完成之后,THSM的RO域可以向RO证明和报 告自己的配置。 [0069] 在第一实施方式中,其中ME的可信建立机制可以被限制于执行通电时刻安全启动过程,ME配置不能进一步由ME或者THSM所证明。可替换地,当ME完成安全启动之后, 该ME可以执行自完整性检验并产生完整性值(IV)。ME可以使用空中下载(OTA)方法、依 照安全模式特征(例如UMTS安全模式特征)来安装例如用于机密性和完整性保护的引擎的 软件。可选择地,当RO的域的所有权经由具有RO的RTO过程获取时,RO可以下载或者引 入,然后声称自己的关于THSM的条件的策略,该策略可以接受以允许RTO过程完成。当RO 同意全部THSM的条件、建立THSM的其它域的结构的条件、或者二者时,RO可以被配置成在 THSM平台上为自己安装域的“选通保持(gate-keep)”。因此,作为RTO过程的一部分,RO 可以与DO的域的SDM交换一些信息,以识别条件或者DO的“域建立计划”,并只在这些条 件对RO是可接受的时候允许RTO过程完成。在RO域最初已经同意在THSM上建立自己的 RTO完成的RO的域之后,RO域还可以具有权利,并且可以被配置成执行施行这些权利的功 能,以允许自己随条件或THSM的者域建立计划的任何变化而被更新,或者被通知。RO的域 指定的策略(DP)可以指定RO的域可能需要被通知的变化的类型。 [0070] SDM可以发起用于与期望的RO相关联的RO域的RTO过程。这可以在RO的域处于“原始”、“未被认领”状态时发生。例如,RO的域可以由DO的域和DO命名为“域X”(TDX)。 域可以在仍未被认领的壳或者“原始”条件中创建。在这种情况下,SDM可以发起RTO过程, 由此其代表域TDX联系期望的RO。一旦RO已经经历了用于这个域的RTO过程,则SDM可 以不再发起用于这个相同域的另一个RTO过程。作为替换,RO自身可以在这个特定域上发 起另一种获取所有权过程。这个获取所有权过程可以与至此指定的RTO过程不同,因为前 者可以由远程所有者在远程发起,而不是由设备的所有者/用户或者设备本身在本地发起 (有可能在SDM或者DO的域的协调下)。DO可以保留删除、摧毁、或者断开任何RO的域的权 力,即使在RO的域已经经历了RTO过程并因此被适当的RO“认领”或者“拥有”之后。然 而,DO通常不能够知道RO的域内所存储的机密,或者不知道在RO的域内执行的中间计算 或者功能。 [0071] 在SDM为原始RO的域发起RTO过程之前,其可以查找用于域建立的可用资源列表。这个列表可以由DM的域保留。SDM还可以查找“期望的域”列表。这个期望的域列表 可以保留在DO的域TDDO中。SDM还可以查找系统域策略(SDP),和THSM和平台的已存在的 域的包括可信状态的当前状态,其可以用于从DM的域来查询。这个信息可以用于决定用于 特定RO的域的期望的RTO过程在可用的资源和策略下是否是可能的,在期望的域列表下是 否是期望的,以及在THSM的已存在的域的状态(例如,可信状态)下是否被允许。 [0072] 可替换地,远程所有者的域(TDRO)可以在自己上启动和管理RTO过程。TDRO可以在RTO过程之前未被认领并处于“原始”情况。“原始”RO的域TDRO可以包括预配置的功能,使 其能够一旦启动了就联系期望的RO,并自发的开始RTO过程。可选择地,RTO过程可以在得 到TDRO提示THSM的所有者或者用户之后被启动,然后从THSM的所有者或者用户得到“点 头”来发起RTO过程。被创建的以及期望被(目标)远程所有者RO_target所拥有、但还没 * 有经由RTO过程被拥有以及仍然处于“原始”状态的域TD在下文中可以被称为TDRO_target。 [0073] 在另一种可替换中,TDRO可能已经经历了至少一个具有特定RO的RTO过程,以及其当前可由RO“认领”或者“所有”。是否可以允许THSM上的DO或者其代理(例如域TDDO) 启动用于相同RO的域的另一个RTO过程可以依赖于RO的策略和/或SDM的策略。SDM可 以检查RTO的目的,以及可以根据其策略结构内允许的目的或者行为决定是否允许这个新 RTO继续进行。经由远程信令,RO或者RO的域(TDRO)可以发起用于具有相同RO的域的另 一个RTO过程。这个可以在RO需要更新TDRO中的配置文件、安全策略、或者可执行代码时 发生。RO可以下载更新。更新可以通过非RTO、通过空中(OTA)更新过程完成。然而,在某 些情况下,RO或者TDRO可以使用另一个RTO过程来更新某些文件或者代码。 [0074] 当“原始”TDRO发起用于自己的RTO过程时,其可能需要依赖SDM来查找用于域建立的可用资源列表,该列表可由DM的域保留。TDRO还可以依赖于SDM来查找可由DO的域 保留的“期望的域”列表、THSM的已存在的域的系统域策略(SDP)和当前状态,该当前状态 包括可信状态,其可用于从DM的域查询。这个信息可以用于决定用于特定RO的域的期望 的RTO过程在可用的资源和策略下是否是可能的、在期望的域列表下是否是期望的、以及 在THSM的已存在的域的状态或者可信状态下是否被允许。 [0075] SDM策略可以在DO的获取所有权(TO)过程期间被配置。这个过程可以经由在启动过程期间施行的预存在的配置结构在本地进行。DO TO还可以在远程进行;这个过程可 以类似于期望用于获取域的所有权的RTO过程,该域不是设备所有者的域,如在此所述的, 除非SDM检查阻塞或者允许RTO不能在用于DO的域的TO过程的情况下被调用,不像用于 非设备所有者远程所有者的RTO过程的情况。SDP可以在DO获取所有权过程期间被建立, 该过程可以在本地被执行(具有物理存在的和与设备的交互的DO)或者以包括与位于远程 的设备所有者的远程交互的方式被执行。SDP的组件是对所有非DO域通用的允许的行为或 者目的的列表。这个列表还可以包括指定不允许获取域的所有权的远程所有者的附加条目 (entries)。 [0076] 在第二实施方式中,ME可以具有安全启动能力以及可以依赖于THSM来执行一些自己的启动代码的一些“安全启动”检验。ME可以执行非TCG安全启动,例如OMTP TR0安 全启动。THSM可以用于检验ME的完整性,以“利用”提供给THSM的物理保护。例如,ME可 以向THSM发送原始数据,并且THSM可以检验ME的完整性。WTRU可以实施提供ME和THSM 之间的安全信道的机制,以及ME的“有点可信赖的”部分,其可以至少被信任用于以安全方 式向THSM发送代码或者数据以及例如通过安全信道与THSM安全地通信,以用于THSM进行 ME的完整性检验的目的。THSM还可以代表ME在其中存储一些ME的代码。这些代码可以 在启动过程期间被加载到ME中。THSM可以担任执行ME的完整性检验、或者存储和加载用 于ME的一些代码的角色,因为在THSM和ME之间,THSM由于其基于硬件的保护机制可以是 更值得信任的环境。 [0077] 在第三实施方式中,THSM可以执行用于ME的代码的一些安全启动或者完整性检验。这个可以证明给RO。ME可以包括单个可信实体;移动可信环境(MTE)。MTE可以是ME 内部逻辑独立的环境,其比ME的其余部分更可信。MTE可以利用一些基于硬件的保护机制, 例如基于硬件的可信根(RoT)。在ME的基础代码被加载之后,可以加载MTE。MTE可以是 可信的实体,在某些方面而言,其可以向外部检验器提供可信的验证,例如使用可信的签名 密钥。虽然MTE是可信的实体,但其不可以拥有用于测量的可信的核心根,该核心根是与实 际TPM相关联的测量程序代码。至于作为电力设备的ME,其提供THSM可以在其上运行的 “平台”,ME在此可以被称为ME平台。MTE可以被配置成收集ME平台的完整性的证据,并 向THSM内的可信实体(例如启动后SDM)在至少通过使用MTE内受保护的签名密钥而提供 的完整性保护下转发证据。由于THSM实施TCG TPM或者MTM类似的完整性测量和验证功 能,THSM还可以实施TCG TPM或者MTM的能力以执行“扩展”操作,由此当前软件的测量与 指示软件的加载的历史状态的平台配置注册(PCR)的当前值合并,以计算用于PCR的新值。 THSM还可以实施将摘要值(其是软件组件的完整性的原始测量值)或者PCR的值转换为另 一个完整性数据的机制,该另一个完整性数据可用于向THSM证明ME平台的可信度。为了 简化,收集的ME平台完整性的数据可以在下文中表示为ME平台完整性数据(MPID)。THSM 可以不保留用于ME或者MTE的域。THSM能够从预配置文件或者通过与DM的实时联系来获 得验证的(certified)度量,其与它检验计算的摘要相反。假设确定匹配,则可以进行ME的 证明。MTE还可以具有收集描述ME的“环境”的数据的能力,例如模型数量、其期望执行哪 种类型的服务以及为谁执行。为了简化,这个ME的环境描述在下文中可以表示为ME平台 环境调查(survey)(MPES)。THSM DO的RO可以证明自己域的以及ME平台的完整性。这 个证明在M2M上下文中可以类似于可信环境(TRE)的M2ME确认功能,如已经在PCT专利申 请WO 2009/092115(PCT/US2009/031603)中所指出的。ME可以根据其自己或者根据来自 THSM的请求来一直向THSM报告自己的变化状态。 [0078] 在第四实施方式中,ME和THSM都可以被配置成执行全部MTM功能。ME或者其域的可信度可以由ME或者由域直接证明。ME的RO域可以向RO以持续地或者以每个请求为 基础报告自己的状态。THSM的RO域可以类似运行。由ME的RO域和THSM的RO域的报告 可以是同步的,也可以相互绑定。报告还可以使用协议流的公共会话来做出。 [0079] 在这个实施方式中,ME可以被配置成执行如在此所述的THSM的一些功能。ME可以包括自己的一个或者多个域,每一个域与特定所有者相关。这些域可以包括根据THSM的 可信实体的属性。这些域可以包括设备制造商(DM)域和用户(U)域。这些域可以以与THSM 类似的方式被预先配置。为了区分ME上的域和THSM上的域,字母ME可以在下标写上那些 指示的域。因此用于DM的域可以表示为MEDM。THSM上的设备所有者(DO)域可以监控ME侧 的域以确保与位于SDM中的全系统域策略(SDP)一致。随着ME中的每个域的创建,与SDM 的通信可以使得THSM DO知道每个新的域配置。 [0080] ME可以包括域管理器,其可以被称为平台域管理器(MEPDM),其以类似于THSM中SDM的运行方式来运行。MEPDM可以位于MEDM中,并且初始地可以具有由DM定义的预配置。 这个初始配置在自己的目的和功能上可以类似于THSM上的TDDM的初始预配置的定义。MEDM 建立可以在TDDO已经在THSM中具体化之后定时发生。当SDM被通知针对MEDM的建立完成 了,SDM可以根据全系统约束来施加来自于SDP或者反映SDP的策略限制。SDM可以维持多 个远程所有者以及他们在THSM上的域的列表。如果要在属于列表中的一所有者的ME上创 建和管理域,那么SDM可以具有通过对在ME上的这些域的创建和管理的某种控制。 [0081] 在这个实施方式中,ME可以具有全部MTM功能。因此其可以包括用于测量的可信核心根(CRTM)、用于报告的可信核心根(CRTR)、以及用于存储的可信核心根(CRTS)。在 THSM,域订阅功能可以由TSIM功能管理。如果两个域(例如一个在THSM中,另一个在ME上) 是用于相同RO的,则THSM上的域可以用于要求非常高级别的安全和/或信任的RO的功能 或者服务,例如订阅功能和其对远程所有者的管理,而ME上的域可以用于仍然要求某个级 别的安全或信任但是与THSM上的域所期望的功能和服务要求的级别不同的该相同RO的功 能或者服务。不是由预先配置的文件建立的域可以通过远程获取所有权(RTO)过程来被配 置。对于用于典型远程所有者(RO)的ME的RTO可以类似于THSM的那些RTO。 [0082] ME上的域可能不期望被用于远程所有者的订阅管理。作为替换,为了用户、所有者、远程所有者、或者他们的任意组合的利益,该域可以被期望用于执行计算和资源密集的 任务。例如,这些域可以执行不适用于THSM上的相对有限资源的任务。在这些域可以在启 动时被创建或者甚至在运行会话时被创建,类似于虚拟化的意义上,ME上的域还可以是更 “短暂的”或“临时的”,而不是一旦创建就保持在ME中直到明确地被删除,以及可以在临时 的、基于会话的基础上用于它们的指定的目的。根据对ME上其它域的资源分配及其目的的 被证明的调查的请求和获得,ME上的域的远程所有者可以不具有相同级别的特权,所述其 它域是由其他远程所有者所有的,或者是THSM上的其它域。 [0083] 提供一种用于移动可信平台的设备所有者购买“空白”WTRU的方法是有利的,该WTRU没有被指定的PLMN预分配或者初始化,以允许任意选择移动网络运营商而没有限制, 其中该指定的PLMN也被称为MNO远程所有者。该方法可以包括执行WTRU(例如UMTS设备 (UE))的获取所有权过程(例如RTO过程),其中远程所有者是PLMN运营商,或者期望其订阅 应用的其他类似的运营商,以及建立、客户化、和完成子系统,例如RO的域,其是THSM内的 域并且可以由正确的RO认领。 [0084] 如上面所述,可信的硬件订阅模块(THSM)可以被建立为,或者在其中包括阻止篡改的硬件组件模块,该阻止篡改的硬件组件模块包括用于PLMN运营商和其他增值服务的 订阅应用的功能,该模块例如是IMS订阅身份模块(ISIM)。THSM可以是从WTRU可移除的 或者不可移除的。遵从全球平台标准的UICC或者智能卡的增强版本可以是这个THSM的一 个实施方式。 [0085] 获取所有权操作建立运营商或PLMN与WTRU之间的基本“信任”关系。这个过程可以安装和具体化包括具有通用(generic)“可信的”软件配置的“原始”引擎的“空白可 信的”TSIM。这个子系统可以被远程所有者“证明”,如果平台能够提供自己的“原始”配置 和安全属性的证据。图3和3A示出了这个过程的示例,其特别地涉及到在此所述的第一个 实施方式。远程所有者可以是向用户提供请求的服务、建立合适的安全策略、以及施行与服 务一致的设备配置的移动网络。这个协议的所有者可以是本地的。 [0086] 图3和3A示出了示例性启动和RTO过程。ME可以具有预启动状态304。在306处,设备可以开机。在308处,ME可以执行“安全”启动(非TCG)。ME可以达到基础代码启 动状态310。此外,在312处,ME可以向THSM发送“基础启动完成”信号。在314处,ME可 以在每个基本配置加载其它软件。在316处,ME启动可以是完成(应用加载的)状态。在 318处,ME可以向THSM发送启动完成消息。 [0087] THSM可以处于预启动状态330。在334处,THSM可以加载TEDM。THSM可以在配置期间接收预配置文件,例如336示出了预配置文件的使用。在338处,THSM可以达到“TDDM 建立”状态(基本配置状态)。THSM可以接收用于RO域的可用资源上的DM的规范,例如,如 在340处示出的。 [0088] 在342处,TDDM可以建立TDDO(TDDO可以包括SDM)。在334处,THSM可以使用保存的配置文件,例如来建立域(由于之前的RTO其可以是可用的)。在346处,THSM可以达 到TDDO建立状态(包括SDM),其中TDDO可以是由DO未认领的或者已认领的。在350处,TDDO 可以建立TDU。在352处,可以从DO接收输入。在354处,THSM可以达到TDU建立状态,其 中TDU可以是未认领的或者已认领的。在356处,THSM可以接收来自DO或者DU的输入(例 如,指定DO想要通过文件或者交互建立哪个域)。在358处,TDDO可以建立TDRO的RO域。 [0089] 现在参考图3A,在362处,THSM可以达到用TDRO建立的状态,其中TDRO可以是由RO未认领的或者已认领的。在366处,SDM可以请求TDRO来执行RTO,或者,TDRO可以通知 (或请求)SDM自己将执行RTO。在370处,TDRO可以启动RTO过程。在380处,这里是代表 性远程所有者(RO1…ROn)。在384处,可以交换信息。例如,作为具有远程所有者的RTO过 程的一部分,交换的信息可以包括以下一个或者多个:证明、配置、策略、目的、证书(在此被 称为CERT)、密钥和到TDRO的SP。可选地,RO可以在RTO过程期间找出DO的‘环境’或者 ‘域计划’,以及如果其同意环境/计划就允许过程继续进行。 [0090] 在372处,THSM可以捕获/更新用于各个域的系统配置,在THSM中的永久保护的存储器中保存信息和存储信息。在374处,THSM可以达到具有RTO后(post-RTO)的TDRO的 状态。 [0091] 参考第一实施方式,由DO的RTO形成的策略域可以包括影响后续RTO过程的域配置的约定(stipulation)。RTO协议可以适合于非DO RO。域指定的策略(DP)可以在RTO 交易期间被下载。用于DO的DP可以不同于用于RO的DP,这是因为,这个DP(DPDO)可以 包括期望用于建立和维护THSM中的其它域的全系统域策略(SDP),其可以被远程拥有。在 RTO过程之前或者期间,域的RO可以从可信的第三方(TTP)获得用于配置的参考完整性度 量(RIMRO)和支持THSM的所有或者一部分域的硬件或者软件的当前完整性状态,并且可以 被表示为: [0092] TTP→RO:RIMRO= {支持THSM的域的HW/SW的配置和状态,和/或摘要值} 等式1 [0093] 在某些情况下,TTP能够提供用于THSM的HW和SW的子集、包括域的RIMRO,该域是RO想要验证的域。可能需要多个TTP来提供RIMRO,其中RO收集和形成共同的参考度量。 经历RTO过程的THSM的目标域(TDRO_target)可以在THSM的SDM的帮助下被配置成向自己的 RO提供签名的THSM平台完整性证明(TPIA)。在允许具有TDRO_target的RTO过程完成之前, TPIA可以是THSM上的域的单独的完整性证明和/或目标域的RO想要验证的设备的平台的 完整性证明的串联。THSM的目标域(TDRO_target)可以在THSM的SDM的帮助下,能够向自己的 RO提供签名的THSM平台环境概要(TPES)。TPES可以包括THSM的环境的概要,该概要包括 THSM上其它域的数量和特性,以及能够益于TERO_target的任何剩余的可用资源,例如THSM的 平台的资源,并且可以被表示为: [0094] TDRO_target→RO:[TPIA]signed||[TPES]signed.等式2 [0095] 可替换地,不用向RO报告可能包括对感兴趣的所有域的所有证明的TPIA,SDM可以提供已经检验了所有这些域的完整性并且认为他们是值得信任的签名的声明,其可以是 半自主声明。这个证明可以包括对域的集合的完整性的本地验证。本地检验器可以包括用 于THSM上的每个域的有效配置列表。SDM可以向本地检验器提供可由AIK签名的TPIA。单 独的完整性证明的验证可以要求它们匹配配置列表中对应的本地存储的条目。SDM可以执 行完整性测量、日志和扩展到构建TPIA必须的PCR,以及证明每个域的可信度。这些测量和 它们的扩展可以由检验器使用,以建立用于要求的域的证明已经发生了。 [0096] 一旦验证已经达到,本地检验器可以准备相关证明已经发生的声明,以及用来自于验证的密钥对(Ksign_verify_priv,Ksign_verify_pub)的私钥来签名这个声明。包括与签名的TPES串联的签名的验证声明的消息可以被表示为: [0097] TDRO_target→RO:[验证声明]Ksign_verify_priv||[TPES]signed.等式3 [0098] 在接收到来自TTP的{RIMRO},以及接收到来自TDRO_target的签名的TPIA和签名的TPES之后,RO可以验证TDRO_target是否处于RO找到同意继续RTO过程的目的的环境中,例如 THSM中的环境,以及支持TDRO_target的硬件或软件和RO感兴趣的任意其他域是否处于RO同 意其完整性的状态中。 [0099] 用于原始域的RTO协议可以在通电时开始。可选地,RTO协议可以在通电后开始。当THSM的安全启动完成时,产生的域的建立可以由配置文件来确定,该配置文件的内容反 映了初始时(例如一开始)或者开机时的平台的状态,或者当设备在之前已经被启动并之后 被断电时的之前的状态。因此设备能够处于包括TDDM建立、“原始”TDDO、以及“原始”TEU状 态的基本配置。可替换地,WTRU可以处于以后的配置,例如根据之前的启动和域建立或者 RTO过程、包括TDDM、“RTO后”TDDO、以及“RTO后”TEU状态的配置。另一种可替换地,WTRU可 以处于还包括附加域的扩展集合的配置,例如图2中所示的。这些域可能已经在之前的通 电会话期间被创建,以及所有权可能已经由各自所有者通过在之前会话期间发生的之前运 行的RTO过程而获得。 [0100] 参考第一实施方式,作为平台的安全和可信的实体,THSM可以控制获得所有权协议并确定ME是否处于最初可值得信任的状态。预先规定的密钥Ktemp可以用于保护通过 THSM-ME接口发送的消息的机密性。为了简化,加密的消息A可以表示为{A},对消息签名 可以表示为[A],以及符号IDME和IDTHSM各自表示ME和THSM的预先规定的临时ID。 [0101] RTO发起可以包括在具有特定RO的RTO过程之后,发起用于RO期望认领的“未被认领的”、“原始的”域的RTO的TDDO的SDM。用户可以发起ME平台的开机。在开机时,ME 可以执行在其中变得“活跃”的基础代码的“非TCG”“安全启动”,例如由OMTP定义的启动。 作为非TCG安全启动过程的一部分,ME的基础代码的完整性可以自主地被检验。 [0102] 参考第三实施方式,移动可信环境(MTE)可以跟随基础代码启动过程的完成而被加载。使用签名密钥,MTE可以证明ME平台配置的完整性。 [0103] 在加载基础代码之后,ME可以周期性地向THSM发送信号,该信号指示该ME已经启动到最小安全设置。由于THSM的DO的域在发送信号时可能还没有被启动,ME可以发送 具有不同的随机随机数(nonce_1)的相同的信号,直到其接收到从THSM的DO的域返回的 确认信号。这个信号可以被表示为: [0104] Def)分组(Package)_1=“ME基础代码启动完成”MSG||nonce_1||IDMEME→THSM的TDDO:Package_1||[SHA-X(Package_1)]Ktemp_I 等式4 [0105] 参考第三实施方式,信令可以被表示为: [0106] Def)Package_1=“ME基础代码启动完成&MTE加载”MSG||nonce_1||IDMEME→THSM的TDDO:Package_1||[SHA-X(Package_1)]Ktemp_I 等式5 [0107] THSM可以“安全地”启动,以使THSM可能已经加载自己的DM的域、“原始”DO的域、用户的域、以及至少一个RO想拥有但还没有拥有的“原始”域。此外,在加载这些域时, 每个域的代码状态的完整性可以相对于每个域的参考完整性度量(RIM)来被检验。该检验 可以根据例如TCGMPWG规范的规范来被执行。 [0108] 如果设备所有者的域之前已经经历过用于DO的RTO过程,则该设备所有者的域(TDDO)可以被加载到“预配置的”配置或者“最后保存的(之前的RTO后的)”配置。当DO的 域被加载时,其可以包括全系统域管理器(SDM)。SDM可以监督属于其他远程所有者(RO)的 域的建立或者加载以及维护。SDM可以从DM的域查找“可用于域的资源列表”,以及还可以 查找TDDO保护的全系统域策略(SDP)。 [0109] 在启动时,SDM还可以提示THSM的人员用户或者人员所有者(DO)“能够被建立的域列表”,并请求输入以选择要建立的域。在得到来自用户或者所有者的输入后,SDM可以 只建立那些来自人员所有者或者用户的响应中所指定的域。SDM可以与ME交互以提供用于 这些交易的用户接口(UI)。 [0110] 在安全启动之后,THSM的TDDO可以向ME发送“THSM启动完成”消息。在消息中,TDDO还可以包括域的当前状态的外部可公开的概要,例如加载的RO的域的数量和名称。 TDDO的SDM可以确定和施行对域的当前状态的概要的外部公开的范围(extent),并且这个 确定可以基于THSM和/或ME上的域的SDP和/或域指定的策略(DP)。TDDO可以通过包括 接收到的nonce_1作为SHA-X完整性检验代码输入的一部分,来确认接收到这个消息中的 Package_1,其可以被表示为: [0111] Def)Package_2=“THSM启动完成”MSG||nonce_2||IDTHSM [0112] TDDO→ME:Package_2||[SHA-X(Package_1||nonce_1)]Ktemp_I.等式6 [0113] THSM的ID(例如IDTHSM)可以保留在DM的域TDDM中,并且可以等同于TDDM的ID。DO的域TDDO可以从TDDM中获取它来构建等式6中的Package_2。 [0114] 响应于“THSM启动完成”信号,ME可以继续完成自己的启动过程。在完成自己的启动过程之后,ME可以向THSM的TDDO发送消息,其可以被表示为: [0115] Def)Package_3=“ME启动完成”||nonce_3 [0116] ME→TDDO:Package_3||[SHA-X(Package_3||nonce_2)]Ktemp_I.等式7 [0117] 下面应用于DO的域的SDM发起和监督用于当前“原始”RO的域的RTO过程的情况。 [0118] 在TDDO接收到来自ME的Package_2之后,RTO过程可以被发起。TDDO内的全系统* 域管理器(SDM)可以通过请求“原始”目标RO的域(TDRO_Target)启动RTO过程来发起RTO过 * 程。SDM可以自主地或者当人员所有者或者用户提示时发起这个过程。SDM可以向TDRO发 送启动用于目标RO的RTO过程的请求。该请求可以包括谁是目标RO(例如RO的ID或者 网络接入标识符(NAI))以及当前请求的有效性周期。作为请求的一部分,或者作为与请求 一起的独立分组,SDM还可以发送“针对允许的RO的域的SDP的情况”(以下被称为SCARD) 列表。SDM还可以在期望的RTO过程之后被完成时发送用于TDRO的“目标域计划”。这个消 息可以被表示为: [0119] Def)Package_4a= 请求启动RTO||SCARD||目标域计划||nonce_4 [0120] SDM→TD*RO_Target:Package_4a||[SHA-X(Package_4a)]Ksign_SDM.等式8 [0121] 响应于接收到Package_4,TD*RO_Target可以接受或者拒绝请求。这个请求可以被解* 释为允许RO获取RO的域的所有权的“提议(offer)”。TDRO_Target可以根据预配置的准则或 * 者已经被加载的自己的“原始”版本的RO的域策略来作出决定。TDRO_Target可以被配置成检 查请求启动RTO、SCARD、和目标域计划,并当缺乏实际的目标远程所有者或者为了其利益时 作出决定。这个可以被表示为: [0122] Def)Package_5a= 同意(Okay)(或者不同意)启动RTO||nonce_5a [0123] TD*RO_Target→SDM: [0124] 等式9 [0125] “原始”目标RO的域(TD*RO_Target)可以发起这个过程。TD*RO_Target可以提醒SDM其用于RTO过程的“最终域计划”。SDM可以准许或者拒绝该请求。如果SDM准许了该请求,则 * TDRO能够启动RTO过程,其可以被表示为: [0126] Def)Package_5b= 意图启动RTO||最终域计划||nonce_5b [0127] [0128] 等式10* [0129] 响应于接收到Package_5a或者Package_5b,SDM可以为用于TDRO_Target的RTO过程查找可以被预先配置或者通过用于TDDO的RTO过程来获得的系统域策略(SDP)、可以被预 先配置或者由所有者提供的“期望的域”列表、可以由DM的域保留并持续更新的“用于域的 可用资源”列表、或者THSM中的域的当前状态。 [0130] SDM还可以估计是否具有可用于建立或者维护THSM上的多个域的足够的资源,例如用于虚拟机器线程的存储或者计算资源,THSM中的域的当前状态是否匹配“期望的域”列 表中所指定的那些,建立或者加载“期望的域”中的任何新域是否由THSM中的域的当前状 态所支持并还由SDP所允许,或者一个或者多个域是否需要经历RTO过程。 [0131] 如果SDM根据可用资源、THSM的已存在的域的当前状态、以及SDP确定TD*RO_Target* 能够经历RTO过程,则SDM可以指示这个确定(TDRO_Target)并继续准备将要在RTO过程期间 * 转发给RO的多个完整性证明,以用于其TDRO_Target和其周围域的评估。这可以被表示为: [0132] Def)Package_6= 同意继续进行RTO||nonce_6 [0133] SDM→TD*RO_Target: [0134] Package_6||[SHA-X(Package_6)||nonce_5(a或者b)]Ksign_SDM 等式11 [0135] SDM可以例如通过WTRU上显示的消息来指示人员用户自己将要发起用于特定域的RTO过程。SDM还可以提示人员用户或者人员所有者(DO)“启动RTO过程的期望的域和 期望的RO”列表,并只发起用于所有者或者用户在对提示的响应中所指定的那些RO的域的 RTO过程。SDM可以与提供用于这些交易的用户接口(UI)的ME交互。 [0136] TD*RO_Target可以请求SDM准备可以用于构建THSM平台完整性证明(TPIA)和THSM平台环境概要(TPES)的材料。这可以被表示为: [0137] Def)Package_7= 请求TPIA||请求TPES||nonce_7 [0138] TD*RO_Target→SDM: [0139] 等式12 [0140] 参考第三实施方式,该请求可以被表示为: [0141] Def)Package_7a= 请求TPIA||请求TPES||请求MPID||请求MPES||nonce_7a* [0142] TDRO_Target→SDM:* [0143] Package_7a||[SHA-X(Package_7a)||nonce_6]Ksign_TDRO_Target [0144] 等式13 [0145] 在对于TPIA和TPES的请求中,RO可以指定其从SDM搜寻关于TPIA和TPES的哪种信息。例如,对于TPIA,RO可以指定该RO想要验证其完整性的域的名称或者范围,而不 是其自己。类似的,对于TPES,RO可以指定域的所有者的而不是自己的公有ID,例如网络 分配标识符(NAI)。 [0146] 参考第三实施方式,目标RO还可以请求关于ME平台的完整性的指定信息(以下称之为MPID)以及关于ME环境的其他信息。可替换地,RO可以请求MTE被加载以及MPID和 MPES由ME发送给SDM的简单指示符。在SDM请求其这样做的时候,位于ME平台的可信实 体MTE可以准备值MPID和MPES。这个请求可以被表示为: [0147] Def)Package_7b= 请求MPID||请求MPES||nonce_7b [0148] SDM→MTE:Package_7b||[SHA-X(Package_7b)]Ksign_SDM [0149] 等式14 [0150] MTE可以收集来自ME的配置数据并建立MPID。环境数据也可以被获取以产生ME平台环境概要(MPES)。这些值可以是基于能够随时间变化的当前ME状态的。如果并且当 以后跟随ME状态改变作出请求时,更新的值可以被发送给SDM。通常MTE可以向SDM发送 响应,其可以被表示为: [0151] Def)Package_8a=MPID||MPES||CertMTE [0152] MTE→SDM:Package_8a||[SHA-X(Package_8a||nonce_7b)]Ksign_MTE. [0153] 等式14 [0154] MTE可以提供证书,该证书可以由CA签名,该证书包括其公钥KMTE_Pub。因此SDM可以通过CA签名的验证来验证这个公钥的真实性,并由此用KMTE_Pub检验来自MTE的消息的完 * 整性。SDM可以准备TPIA和TPES,并在之后将它们转发给TDRO_Target。 [0155] 为了准备TPIA,SDM可以收集完整性证明,例如“原始”TDRO的完整性证明、TEDM的完整性证明、TEDO的完整性证明、TEU的完整性证明(如果设备用户不同于DO)、以及RO感兴 趣的任何其他已存在的TDRO的完整性证明。 [0156] 可替换地,在收集来自PCR的完整性值之后,SDM可以通过本地处理来验证自主检验和测量日志的重新计算(例如代码和数据)、以及相对于来自各个域的PCR的摘要值的域。 当TTP(PCA)不知道应当包括各个域的最后的代码时可以执行这个,并且TTP能够证明WTRU 上链接到用于为TPM或者MTM证明的AIK的签名密钥。TTP不可以被配置成提供RO可以用 其与来自SDM的TPIA比较的摘要度量的参考值。通过重新计算用于域的代码的摘要并将 它们与被引用的PCR值比较,SDM可以在本地检验为域获取的PCR引用是否是最新的。在 这个本地检验通过了的情况下,SDM可以随后签名TPIA并通过MTE或者ME的方式将其传 递给TDRO_target和ROtarget。 [0157] 在另一种可替换中,3方验证、SDM可以作为TPIA的一部分提供域的摘要和测量日志,例如实际代码。当RO得到代码以及摘要时,其可以得到用于来自TTP的摘要的参考度 量,可以重新计算来自测量日志的摘要,以及可以将其与从TDRO_Target接收的引用的PCR摘要 以及从TTP接收的摘要的参考度量进行比较。 [0158] 具有或者不具有测量日志的TPIA还可以包括当发生PCR引用时的“本地时间”的指示,有效地对用于单独的域的摘要的引用打上时间戳。这给出了SDM何时最后一次获得 每个域的PCR摘要的一些指示。如果测量日志不被发送给RO,当需要验证TPIA中指示的证 明时,PCR的时间戳引用可以根据本地摘要已经被获得和被包括在TPIA中的时间是否足够 最近来允许在证明验证中使用它来向RO提供一些附加信息。用于这个时间戳的时钟可以 是值得信任的时钟。 [0159] 在3方验证失败的情况下,RO可以请求TTP向其提供更新的参考度量或者测量日志,RO可以根据它们计算期望的摘要。RO可以重试3方验证。如果验证成功,则RTO就继 续。如果失败,并且RO策略要求成功的3方验证,则RTO就被终止。 [0160] 对于DO的域的完整性证明,SDM可以自主地获得它,例如通过SDM的本机(native)功能。对于完整性证明,除了DO的域的,SDM可以请求各个其它域产生和签名自 己的各自的完整性证明。在请求中,SDM可以包括授权数据,例如令牌,接收者可以使用该 授权数据来检验SDM是否具有权限来请求和获得来自域的完整性证明。请求还可以包括接 收者域的平台配置注册(PCR)的范围,目标RO以及作为目标RO的请求的转发器的SDM需 要检验接收者域的完整性。这个请求可以被表示为: [0161] Def)Package_8b(i)= 请求证明||nonce_8b(i),i=1,2,...,N [0162] SDM→TDDomain(i):Package_8b(i)||[SHA-X(Package_8b(i))]Ksign_SDM. [0163] 等式15 [0164] 每个域(表示为domain(i),i 1,2,...,N,其中N是SDM从其收集PCR值的域的数量)首先检验请求证明中的授权数据,然后获取如请求证明中指定的PCR的范围的PCR值。 这个操作可以被表示为: [0165] Def)Package_8c(i)=指定的PCR范围的值||nonce_8c(i),i=1,2,..,N [0166] TDDomain(i)→SDM: [0167] Package_8c(i)||[SHA-X(Package_8c(i)||nonce_8b(i))]Ksign_TD_Domain(i). [0168] 等式16 [0169] SDM可以执行THSM平台完整性证明(TPIA)以串联所有证明并用自己的签名密钥对其签名。这可以被表示为: [0170] Def)TPIA=串联{来自Domain(i)的签名的PCR值},i=1,2,..,N 等式17 [0171] 为了准备TPES,SDM可以通过串联其从TDDM、TDDO、以及TDDomains(i)收集的信息来产生TPES,该信息例如可以从DM的域得到的THSM HW和SW配置和版本号、BIOS配置、平台上 域的数量、为当前域使用的全部平台资源(例如存储器)、剩余的用于进一步建立或者扩展 已存在的或者新的域的平台资源、域名、或者它们的所有者的名称或ID(例如NAI)(如果 被各自域所有者所允许)、日期/时间、或者单调的计数值(如果当上述环境信息由SDM收集 时,这个是可用的但不是日期/时间),任意其他相关信息。这个请求可以被表示为: [0172] Def)TPES={收集的信息} 等式18 [0173] SDM可以签名TPIA和TPES并将它们转发给TD*RO_Target。SDM还可以包括签名的* SCARD,这样使得如果DO不能够检查SCARD,则该DO可以不需要依赖任何原始TDRO_Target。 SCARD可以与TPIA和TPES一起被发送给RO,这样使得RO能够在检查SCARD、TPIA和TPES 之后作出继续获取所有权的决定。这个消息发送可以被表示为: [0174] SDM->TDRO_Target: [0175] SCARD||nonce_8fb||[SHA-X(SCARD)||nonce_8fb)]Ksign_SDMTPIA|| 串 联{nonce_8c(i)}[SHA-X(TPIA)||串联{nonce_8c(i)}]Ksign_SDM,TPES||nonce_8f||[SHA-X(TP ES||nonce_8f)]Ksign_SDM或 [0176] SCARD||TPIA||TPES||[SHA-X(SCARD||TPIA||TPES||nonce_8f)]Ksign_SDM [0177] 等式19 [0178] 在从SDM接收到TPIA、TPES和SCARD之后,TD*RO_Target可以通过用SDM的公有签名密钥检查他们来检查它们的完整性。然后,TPIA、TPES、SCARD、指示用户期望的服务的目的 信息元素(P)、以及获取所有权消息的请求(request_TO)可以被发送给ME。如果RTO过程 用于已经被规定了全部TSIM能力的域,则关于TSIM功能的签名的证书(CertTSIM)也可以被 准备并与上述分组一起被发送。 [0179] 可以有用于TSIM功能的两个或者更多个证书。一个用于原始TSIM功能(CERT*TSIM)以及其他用于那些被完全实例化或更新的功能。用于原始TSIM功能的证书可以被模块化 地嵌入用于DM的证书结构,例如其可以被插入原始域,该原始域来自DM的一个功能。 [0180] 当RO在TDRO已经在之前经历了至少一个RTO之后执行RTO过程时,那么其可以不* 再需要发送CertTSIM,因为这个证书将只适合用于原始域,而TDRO不再是原始域。因此在这 种情况下,RO可以发送更新的证书CERTTSIM。 [0181] 内容可以被用目标RO的公钥(K_Target_RO_pub)加密,该目标RO的公钥可以通过* * 证书传输或通过预配置而已经变得可用,假如目标RO在原始TDRO_Target被加载时、在由TD RO_ Target使用之前已经被已知。TSIM可以用签名密钥K_TSIM-Sign被预先规定。这个私有签名密钥 * 的公钥可以被预先分配给目标RO。IDME是ME的ID,其中TD RO_Target从安全地保留ME ID的 THSM DM的域TDDM获得。这可以被表示为: [0182] Def)Package_9=SCARD||TPIA||TPES||P||请求TO||CertTSIM||IDME||nonce_9 [0183] TD*RO_Target→ME: [0184] {Package_9}K_Target_RO_Pub||[SHA-X(Package_9)]K_TSIM-SIGN 等式20 [0185] 参考第三实施方式,值MPIA和MPES可以被加入到消息中。MPIA可以包括THSM中根据MTE编译的配置数据(MPID)计算的摘要。这个摘要可以被证明只有其用获得的配置 文件中预先存在的或者经由与DM的实时通信而被传递的验证的度量来检查。根据用于完 整性和环境信息的RO请求,等式20可以包括SDM成功地接收了MPID和MPES的简单指示。 这可以被表示为: [0186] Def)Package_9=SCARD||TPIA||TPES||MPIA||MPES||P||请求TO||CertTSIM||IDME||nonce_9 [0187] TD*RO_Target→ME: [0188] {Package_9}K_Target_RO_Pub||[SHA-X(Package_9)]K_TSIM-SIGN 等式21 [0189] ME可以将上述整个消息传输至RO,其可以被表示为: [0190] ME→目标RO: [0191] {Package_9}K_Target_RO_Pub||[SHA-X(Package_9)]K_TSIM-SIGN 等式22 [0192] 参考第三实施方式,消息将包括MPIA和MPES。 [0193] RO可以使用自己的私钥KTarget_RO_Priv解密Package_10,检验ME的ID,并解释消息。RO可以解释SCARD并查看其是否能够“同意”来自SDP的这些条件。如果RO同意SCARD, * 则来自原始TDRO_Target的值TPIA例如可以被解释为表示在任何服务凭证或者配置控制被提 * 供给目标RO的域TDRO_Target之前的整个初始TSIM状态。值P可以被解释为指示用户期望 * 的服务。在TSIM使能的TDRO_Target的情况下可以是MNO的目标RO可以验证如TPIA中指示 的自己感兴趣的域的完整性,通过将该完整性与已经独立地从TTP获得的参考完整性度量 (RIM)值(RIMRO)比较来实现所述验证。 [0194] MNO可以具有通过WTRU/THSM的供应方提供给例如TTP的证书而知道TPIA的期望值的能力。参考第三实施方式,MPIA和MPES的期望值可以通过可能由MTE是可信的实体 的事实进行的证明过程是提前已知的,其中其可信度已经由THSM证明。 [0195] 目标RO可以查找接收的TPES,并且估计TD*RO_Target是否处于THSM系统中,在RO允许自己进一步进行RTO过程的上下文中,该系统的“周围系统环境”(例如由TPES表示的) 对目标RO是“适合的(agreeable)”。 [0196] 在检验TPIA、TPES、目的P、请求RO、以及参考第三实施方式之后,MPIA和MPES、目* 标RO(例如MNO)可以确定原始TDRO_Target是足够“值得信任的”以让其进一步进行RTO过 * * 程,以及还让其准许TDRO_Target与其交互以提供某些预先设计的基本服务,该原始TD RO_Target * 由目标RO、还有通常包括该TDRO_Target的THSM请求“获取所有权”。 [0197] 为了执行TD*RO_Target的获取所有权,因此域可以之后下载密钥、更全面的配置、参数和可执行文件,并将它们安装以变得比基本“原始”状态所允许的更具有功能性,以及还变 成由目标远程所有者(RO)认领或者拥有以及管理,目标RO可以发送包括可执行文件的配 置信号(CONFIG)。RO还发送用于TSIM的RIM,其被称为RIMTSIM,如果TDRO_Target根据接收的 CONFIG安装了配置、参数和可执行文件,则RIMTSIM可以匹配安装后的状态。RIMTSIM可以被 * 存储在TDRO_Target上的安全存储器中,并且可以在以后启动时用于检验TSIM功能的完整性。 指定要使用的安全测量以及其他配置问题的域策略(DP)可以被包括在交易中。 [0198] RO指定的域策略(DP)可以不同于由SDM保留的全系统域策略(SDP),并且表示用于建立和管理THSM上的指定RO所拥有的一个或者多个域的计划。RO指定的DP可以包括 只管理对那个特定域所指定的和专有的域内应用和安全测量的策略或者计划。 [0199] 一些RO可以以这样的方式进行它们的DP,以使DP还可以包括设置关于哪些其它RO是在THSM上“同意”被建立或者管理的限制的规定。例如,移动网络运营商(MNO_A)可 以以这样的方式进行他的DPMNO_A,就是在下载和安装DPMNO_A之后,如果在DPMNO_A中指定的关 于THSM上的一些其他域的状态和特性的一些条件被发现没有满足,其目标域(TDMNO_A)将由 一组例如其服务或者行为上的限制来管理。例如MNO可以实施DPMNO_A,由此如果TDMNO_A在调 查THSM内的更大环境之后发现了还有具有他们自己的活动的TSIM功能的其他MNO的域在 相同THSM上被安装和活动,则TDMNO_A将停用自己的TSIM功能。 [0200] 可以要求TD*RO_Target以对应于在P中请求的服务的方式配置自己。例如,RO可以向ME发送响应,其中消息机密性使用公钥KTSIM-Pub来保护。ME可以将这个消息传输给THSM * 上的TDRO_Target。CertRO可以包括目标RO的公钥K_RO-priv。RO可以在此时发送用于TSIM的 参考完整性度量(RIM)。RO响应可以被表示为: [0201] Def)Package_10= [0202] {CONFIG,DPRO,IDRO,RIMTSIM}KTSIM-Pub||CertRO||CertTSIM||nonce_10 [0203] 目标RO→ME: [0204] {Package_10}K_RO-Priv||[SHA-X(Package_13||nonce_9)]K_TSIM-SIGN. [0205] 等式23 [0206] ME→TD*Target_RO: [0207] {Package_10}K_RO-Priv||[SHA-X(Package_13||nonce_9)]K_TSIM-SIGN. [0208] 等式24 [0209] TD*RO_Target可以在检验具有CA的证书之后,使用私钥KTSIM-Priv解密消息,并使用CertRO中的公钥KRO-Pub验证RO签名。它可以安全地保存接收到的用于TSIM应用的参考完 整性度量RIMTSIM。它可以从IDRO检验RO的ID,然后检验RO的策略DPRO,以及确定它是否可 * 以及继续CONFIG的配置和安装的其余部分。TDRO_Target可以经由CONFIG执行重配置,以达 到“已完成的”域状态,然后执行自测试以确定自己的TSIM功能的测量度量是否匹配由网 络传达的和在RIMTSIM中表示的度量。域TDRO_Target现在是“已完成的”不再是“原始的”,因 * 此在表示中除去星号 。这个可以被表示为: [0210] TD*Target RO:检验DPRO,存储RIMTSIM,并安装CONFIG [0211] → [0212] TDTarget RO:RO的域是“已完成的” 等式25 [0213] 完成的域TDTarget RO可以向ME发送“RTO成功和域已完成”状态消息,其将被转发给目标RO。这可以被表示为: [0214] Def)Package_11={“域已完成”||IDRO_Target}K_RO-Pub||nonce_11 [0215] TDTarget RO→ME: [0216] Package_11||[SHA-X(Package_11||nonce_10)]K_TSIM_SIGN 等式26 [0217] 可选地,ME可以向用户发送状态消息(例如,被显示给WTRU的屏幕),该状态消息是电话现在已经准备好注册和凭证转出的消息。 [0218] ME可以将状态消息转发给RO,其中平台的重配置已经成功完成并已经准备好注册TSIM凭证。TDRO_Target已经达到“THSM TDRO加载完成”状态。这个消息可以被表示为: [0219] ME→目标RO:Package_11||[SHA-X(Package_11||nonce_10)]K_TSIM_SIGN [0220] 等式27 [0221] 这个RTO协议可以作为协议先驱以用于向提供订阅的服务的3G UMTS网络运营商注册作为THSM的所有者或者用户的订户,以及还可以作为用于下载和规定用于认证和密 钥协商(AKA)的凭证的后来协议,其包括下载和规定共享的机密K和订户标识IMSI。 [0222] 用于公私密钥对集的证书(CertTSIM和CertRO)可以在使用它们的消息中被传递。可替换地,RO的域(TDRO)和RO可以从可信的第三方获取它们各自的证书。这个获取可以 被表示为: [0223] TTP→ME→TDRO:CertRO [0224] TTP→RO:CertTSIM 等式28 [0225] 在另一种可替换中,在传递使用它们的消息之前,RO的证书CertRO可以从网络传递到ME,以及THSM的证书CertTSIM可以从ME传递到网络。因此在在此所述的加密消息之 前可以发送通信,这些通信可以被表示为: [0226] ME→RO:CertTSIM(在发送步骤9的消息之前) [0227] RO→ME:CertRO(在发送步骤13的消息之前)等式29 [0228] 对于这些可替换的传递证书的方法中的每个,实体ID可以伴随在其中使用了公有加密密钥的消息。 [0229] 在另一种可替换中,使用对称密钥而不是公钥可以用于保护消息的机密性。在每个实例中,发送者可以生成对称密钥Ks,例如,使用伪随机序列生成器(PRNG),并使用这个 密钥,而不是公钥来保护消息的机密性。对称加密密钥还可以与加密的消息一起发送给接 收者,其中用公钥保护对称加密密钥。因此接收者能够用自己的私钥访问密钥Ks,然后使用 它来解密消息。 [0230] 参考第二实施方式,THSM和ME可以不同于第一实施方式。THSM,而不是ME自己或者ME内的可信实体(例如MTE)可以被配置成在ME启动时执行ME的一部分或者全部代 码的完整性检验。可选地,THSM还可以存储用于ME的启动代码的一部分或者全部。THSM 不可以被配置成向外部鉴别器(evaluator)证明ME的完整性。它可以被配置成在启动时 执行ME代码的完整性的“本地”检验。 [0231] 用于ME的完整性值可以用于启动过程,而不可以用于RTO过程。ME的完整性测量(表示为meas_ME)可以由THSM的DM域TEDM获得,该meas_ME表示ME代码和由于ME的安 全启动导致的配置状态。THSM的TDDM可以检验meas_ME的有效性,但不可以将其结合到平 台证明中。 [0232] 参考第四实施方式,从例如TCG MPWG的意义上来说,ME可以是可信的ME。ME可以包括移动可信模块(MTM),并且可以由于具有MTM作为其提供用于存储、报告、测量、验证 和施行的可信根的信任锚定而是可信任的。 [0233] 图4和4A示出了用于远程获取所有权过程的示例性呼叫流程图。例如,图4和4A* 示出了ME 402、TDDO 404、SDM 406、TDTarget_RO 408中的一个或者多个和目标RO 410之间的 示例性呼叫。图4和4A中的箭头可以表示呼叫的起源/目的地。 [0234] 如图2和3所示,SDM可以包括位于THSM中的全系统域管理器,以及提供部分DO的功能。SDM可以监督和协调设备中所有域的建立,以确保所有这些域将遵从SDP以及根 据域指定的策略来运行和相互交互,这样使得策略中的任何冲突将被尝试由SDM代表其它 域的DO和RO而被调解。TDDO可以包括THSM中的强制设备所有者域。TDDO可以包括SDM, 并因此它可以维护系统级域策略。MTE可以包括ME侧的策略管理器MEPDM。MEPDM可以执行 * * ME上的策略管理器功能,但是可以受THSM中SDM的监督。METarget_RO(ME目标_RO)可以包括 * 由允许的远程所有者为远程所有权建立的原始域。目标RO可以包括请求METarget_RO的 所有权的远程所有者。 [0235] ME可以假设全部MTM功能,这样使得支持通过公认的(recognized)远程所有者而远程获取ME上的域的所有权。类似于参考第一实施方式描述的RTO;它们由于SDM为了 THSM和ME上的相同的远程所有者所拥有的那些域而通过MEPDM所执行的最终的策略控制而 本质上不同。因此由还拥有THSM上的域的相同远程所有者拥有的任意ME域的形成和管理 必须以符合SDM策略的方式发生。 [0236] 仍然参考图4,在41处,基础代码启动可以由ME 402完成。在415处,THSM可以安全地启动。THSM可以加载包括SDM的DO的域;其中SDM可以提供:1)可用于域建立的 资源;和/或2)用户可接受的域列表。在42处,THSM可以完成自己的启动。在425处,ME 可以完成自己的启动。在43处,ME可以指示自己的启动完成。在这个过程期间,DM的域可 以被建立,可选用户域(MEU)也可以被建立,以及可用资源被检验。DM的域可以包括提供用 于ME设备的域策略的初始配置和规范的MEPDM。由于MEDM的预配置,这个策略可以被完成以 与SDP的策略一致,该SDP的策略和在ME域和THSM域之间具有共同远程所有者的那些域 的策略相关,那些域例如一个在THSM上而其它的在ME上。 [0237] 仍然参考图4,在431处,具有自己预配置的域的ME可以发送发起RTO的“启动完成”消息。这个消息可以包括关于ME中的DM域策略和可用资源的明确的信息。在44处, * 包括目标域计划的启动RTO的请求可以被发送。在455处,TDTarget_RO 408可以作出决策以 接受或者拒绝RTO启动请求。在45处,指示RTO是否应当被启动的消息可以被发送。可替 * * 换地,在456处,RTO可以由TDTarget_RO 408发起。在451处,TDTarget_RO 408可以发送“启动 RTO最终域计划的意图”。 [0238] SDM可以通过估计THSM的全系统域策略(SDP)和确定将对ME域施加或者分配哪些限制来作出对ME启动消息的反映。这些策略限制可以包括根据他们相关联的远程所有 者,哪些域在ME和THSM上是允许的。SDM可以确定允许ME为拥有THSM上的域的相同远程 所有者所拥有的域使用哪些全系统资源,包括那些已经知道的。MEPDM可以经由等式7中的 消息接收这个信息。SDM还可以包括对其基础策略的策略限制以及对其资源列表中的可允 许的资源。在MEPDM接收这个信息之后,它可以依照作出和施行关于对ME上的资源和域的 管理的决策来执行某些特权,而不用为了所有这些决策而请求获得SDM的许可。 [0239] 仍然参考图4,过程可以在465处继续。在465处,可以检验和/或估计以下内容:SDP、可用资源、和/或可接受的域和/或状态。在46处,可以发送“同意启动”信号。在47 处,可以发送对TPIA、TPES、MPID和MPES的请求。在475处,SDM 406例如可以通过每个域 的PCR范围从已存在的域收集/串联完整性证明,和/或,收集和/或串联TPES信息。 [0240] 在471处,可以发送对MPID和MPES的请求。在476处,对MPID和MPES的请求的响应可以由MTE处理。在48处,MPID和MPES可以用具有签名密钥的可信证据来被发送。 * 在481处,TPIA、TPES、MPID和MPES可以从SDM 406发送至TDTarget_RO 408。在485处,THSM 可以根据MPID(原始数据)计算摘要MPIA并检验MPIA。如果可接受,则摘要MPIA可以被 发送至RO。在49处,可以发送对TPIA||TPES||MPIA||MPES||目的||RTO的请求。 [0241] 参考图4A,并继续RTO过程,在410处,TPIA||TPES||MPIA||MPES||目的||RTO消息可以被发送至目标RO 410。在418处,目标RO 410例如可以执行以下一个或者多个:检 验TPIA、TPES、MPIA、MPES和目的;确定相对于RIMTDRO的原始域的可信度;检验DP可接受 性;或者创建CONFIG以建立完全域状态。 [0242] 上述的另一种可替换的是TD*Target_RO 408向SDM请求ME而不是MPIA和MPES的可信度的简单指示;在这种情况下,SDM提供TPIA、TPES、和ME可信度指示。然而,SDM仍然从 MTE请求和接收MPIA&MPES。 [0243] 仍然参考图4a,在411处,可以发送消息CONFIG||DP||RIMTDRO||RO。在412处,可以传输CONFIG||DP||RIMTDRO||RO消息。在428处,可以建立和配置域,以及可以与RIMTDRO对 * 比来检验完整性。另外,可以获取TDTarget_RO的所有权,并因此将其转换为TDTarget_RO。在413 处,可以发送域完成消息。在414处,可以传输域完成消息。 [0244] 图5和5A示出了用于具有全部证明(例如,涉及到第四实施方式)的远程获取所* 有权的示例性呼叫流程图。例如,图5和5A示出了SDM 502、TDDO 504、MEPDM 506、METarget_ RO 508中的一个或者多个和目标RO 510之间的示例性呼叫。图5和5A中的箭头可以表示 呼叫的起源/目的地。在51处,可以发送基础代码启动完成消息。作为响应,在515处, THSM可以安全地启动并加载包括SDMDO域。在52处,可以发送THSM启动完成消息。作为 响应,在525处,ME可以安全地启动,其可以包括加载包括MEPDM的DM域;还有检验可用资 源。MEPDM可以提供指定了与SDP和可用资源一致的域策略的初始配置。在53处,可以发送 ME安全启动完成的消息,该消息包括DM的域(策略信息)和ME中的可用资源。在531处,可 以将“ME启动完成”消息传输至SDM 502。在535处,SDM 502例如可以估计全系统策略和 确定用于ME的允许的域、资源和策略限制。在54处,可以发送提供关于域策略限制和/或 允许的资源的信息的消息。在545处,可以将策略限制添加到基础策略上,并且如果必要, 可以修改资源列表。 [0245] 图5和5A的元素55-511可以类似于图4和4A中所示的元素45-414。对值MPIA和MPES的估计可以类似于等式14到19中所示的。ME可以是具有MTE能力的,并且可以被 配置成由自己计算摘要MPIA,而不是原始数据MPID。由SDM传达的更新的策略限制可以被 检验,这样使得实现没有禁止的域或者域策略。策略检验和估计可以由MEPDM执行。 [0246] 在55处,可以发送启动RTO的请求,该请求可以包括目标域计划。在555处,可以作出决策以接受或者拒绝由MEPDM请求的RTO。在551处,可以发送指示RTO是否应当被启 动的消息。可替换地,在556处,启动RTO的意图可以由ME目标发起。在56处,可以发送 启动RTO消息的意图。在565处,可以检验和/或估计以下内容:1)扩展的域策略;和/或 2)根据扩展的策略的可用资源、可接受的域和状态。在561处,可以发送指示启动RTO是 可接受的消息。在57处,可以从ME域组发送对MPIA和MPES的请求。在575处,通过每个 域的PCR的范围收集和串联已存在的域的完整性证明(MPIA)以及收集和串联MPES信息可 以被执行。在58处,可以发送MPIA和MPES。在59处,可以发送MPIA||MPES||目的||RTO 请求(消息完整性和机密性可以用被验证的公/私密钥来保护)。在595处,目标RO 510例 如可以执行以下一个或者多个:检验MPIA、MPES和目的;确定相对于RIMTSIM的原始域的可 信度;检验DP可接受性;或者创建CONFIG以建立完全域状态。在514处,可以发送消息 CONFIG||DP||RIMTSIM||RO。在515处,可以建立和配置域,以及可以与RIMTDRO对比来检验完 * 整性。另外,可以获取METarget_RO的所有权,并因此将其转换为METarget_RO。在511处,可以发 送域完成消息(签名,完整性保护)。ME可以直接与目标RO通信,这样使得没有消息传输可 以被使用,例如如图3和3A所示的,以及消息的数量可以被减少。关于在ME和目标RO之 间的消息发送中交换公/私密钥所要求的证书的细节,以及关于用于原始引擎可信度验证 的RIM证书的细节没有被显示于图5中。 [0247] 图6示出了THSM的示例性状态定义、转换、和控制点定义。作为示例,在此已经定义M2M通信标识模块(MCIM)的生命周期,该MCIM的生命周期的定义和基本功能已经在PCT 专利申请WO 2009/092115(PCT/US2009/031603)中被定义。THSM可以改进和归纳MCIM的 功能和特征,包括状态定义和转换。 [0248] 在601处,THSM可以处于预启动状态。第一个用户可以对THSM开机,THSM可以安全地启动,并且该THSM可以处于状态602。在602处,DM和DO可以存在于原始状态。DM域 可以从预配置的文件来建立,以及THSM可以处于状态606。在606处,THSM处于启动后2 状态,其中TDDM可以被加载。从606,DO域可以从预配置的或者下载的文件来建立,留THSM 在状态605。在605处,THSM可以处于启动后3状态,其中TDDO域可以被建立,然而,TDU或 TDRO可以不被加载。从状态605,DO域(SDM)可以加载用户的域,留THSM在状态604。在 604处,THSM可以处于启动后2a状态,其中TDU被加载,但是RO域可以不被加载。从状态 605,原始RO域可以根据SDP来建立,留THSM在状态707。在707处,THSM可以处于启动后 状态7,其中已经加载了TDRO和TDDO,但是TDU可以不被加载。从状态607,TDDO(SDM)可以 加载TDU,留THSM在状态608。在608处,THSM可以具有被加载的DO、DU和RO域。 [0249] 从状态601,用户可以开机,并且THSM可以安全地启动,留THSM在状态603。在603处,可以用存储的配置加载THSM,其中存储的配置是最接近关机之前的配置。从状态603, 启动后交易可以发生,其改变了配置,留THSM在状态610。在610处,THSM处于一种状态, 其中一个或者多个之前的活动状态变得不活动。类似于从603到达状态610的过程,THSM 可以处于状态609,其中THSM具有一个或者多个活动的域。从状态609,由于配置改变事件, 转换可以发生,再次留THSM在状态610。 [0250] 在状态604、605、607和608处,可以用新策略和/或可执行文件或者转换来重新配置THSM到不活动状态。另外,在状态605处,可以存储SDP。 [0251] 在用于域管理的第一实施方法中,来自域所有者的策略,即全系统域策略(SDP)可能是非常有限制的和“静态的”,并且可以具有关于新域行为或者目的的严厉的规则。这些 策略可以趋向于每个新域进入或者已存在的域更新时减少与RO通信的需要。 [0252] 在用于域管理的第二实施方法中,SDP依据行为和目的可以具有较少限制的,并且允许更多的灵活性。每个新域进入或者每个域改变可以被报告给已存在的域所有者。这可 以导致策略施行的更动态的系统,其中平台和RO之间的初始和随后的协商可以发生。 [0253] 参考用于域管理的第一方法,SDP可以在预配置的列表中指定没有例外的允许的域。这个列表可以包括关于RO类型和允许多少(对于每个类型)的信息。列表还可以包括 一旦它们的域建立了就可以提供的RO服务的种类。预期的RO可以是满足列表所指示的准 则的那个。作为RTO过程的一部分RO可以被警示,例如如等式9所示,关于例如列表和策 略限制的条件。一旦接收到SCARD,RO可以独立地决定其是否想要成为考虑的平台或者设 备上的风险承担者。发送给RO的条件可以包括域类型和它们的目的,但不是任意其他RO 的列表的实际名称,以保护其它RO的标识。如果RO决定彻底完成RTO,其可以保证不背离 将由平台上的这个RO或者当前活动的任意其他RO、或者将来能够变得活动的任意其它RO 所允许的策略。作为结果,RO可以不需要,并且可以不被警示可能会发生的后续的RTO。 [0254] 参考用于域管理的第二实施方法,只有相对宽的限制(例如哪些远程所有者是被允许的而不用识别任意指定的RO类型)以及允许更多交互的策略(例如向RO请求更多信息 给SDM或者一些协商)可以在RTO过程期间被执行。随着域配制改变,在SDM和所有RO之 间还可以有正在进行的协作。因此,作为RO/SDM动态的一部分,初始的、甚至后续的协商可 以发生。 [0255] 作为RTO过程的一部分,可以给RO证明和其需要的策略条件信息,例如TPIA、TPES和SCARD,与第一种方法的情况相比较,其可以包括关于配置和其可信度的通用信息。根据 已存在的域配置,目标RO可以决定是否继续RTO。除非目标RO马上决定反对获取所有权, 与SDM之间的协商过程可以随之发生。例如,SDM可以从目标RO询问哪些域类型和伴随的 服务可以是活动的,同时目标RO的域是活动的,或者在其面对的域类型将要变得活动的事 件中哪些过程将随后发生。例如,RO可以要求自己的域被提供(rendered)为不活动的,当 某些其它域类型或者甚至由某些其他RO所拥有的域变得活动或者将要变得活动时,或者 其可以要求自己保持活动但是以减少的能力或者性能。SDM还可以从RO请求哪些事件发生 时应当警示自己。这样的事件可能包括其面对的域类型变得活动或者不活动。RO可以要求 由某些其他所有者所保持的其它域类型或者域被完全阻塞不进行任何活动,同时自己的域 是活动的。 [0256] SDM可以决定接受或者拒绝这些条件。虽然用策略要求的宽集合来运行,SDM可以具有活动范围和语义上的能力来决定是否接受来自RO的要求,可以仍然遵守“静止的”系 统域策略(SDP)的字母或者意图。 [0257] 图7示出了RO域可以达到的示例性状态,以及在动态管理的环境中可以发生转换的情况。在701处,空状态可以存在,例如还没有建立RO。从701,原始RO域可以根据 SDP来建立,留RO域在状态702。从702,RTO过程可以被执行,包括RO获取TPIA、TPES和 SCARD。此外,RO可以接受RTO的条件,留RO域在状态703。从703,可以确定与新活动的 域有一个策略冲突,并且在响应中,减少RO域的功能或者使其不活动,留RO域在状态704。 还是从703,RO域可以接收更新的策略/配制变化,导致RO域具有修改的配置和/或更新 的策略限制。从706,可以确定与新活动的域有一个策略冲突,并且在响应中,减少RO域的 功能或者使其不活动,留RO域在状态704。还是从703,可以借助下载或者RTO来引入新软 件组件,导致RO域的修改的/扩展的状态,留RO域在705。从705,可以确定与新活动的域 有一个策略冲突,并且在响应中,减少RO域的功能或者使其不活动,留RO域在状态704。 [0258] 如在711处示出的,RO域在状态702、703、704、705或者706可以变为空,例如由DO、RO等删除。如在741处示出的,不活动的/减少的功能RO域可以移动到状态703、705 或706,例如通过解决导致RO域移动到状态704的冲突。如在751处示出的,在状态705的 RO域可以移动到状态703、704或706。如在761处示出的,在状态706的RO域可以移动到 状态703、705或者706。 [0259] 关于RO域的管理可以允许什么作为动态域管理的一部分是用于协商将随着事件展开而改变的需求。例如,RO可以决定由另一个RO提供的之前反对的某个服务现在作为决 定不再需要与那个服务竞争的结果是允许的。时不时地改变商业模型可能影响各个RO的 协商战略和策略。使用动态策略结构的SDP能够适应这种战略变化。 [0260] 在例如但不局限于结合智能帐单的M2M地理跟踪的服务中,可以形成优选的漫游合作伙伴或者RO的闭合组。这些成组的服务可以导致优选的闭合组,其中不同运营商相互 之间提供类似的或者不同的服务伙伴。这种优选的服务组、运营商或者二者都可以作为绑 定的服务或者对设备用户的分组处理(deal)被提供。 [0261] 在第一个示例中,分组可以随着它全球环游而被跟踪。可以利用无数个这样的地理跟踪设备。随着分组经过陆地,在不同国家由不同运营商向其提供连接。因此,为了获得 连接,用户可能需要订阅多个漫游简档。跨不同远程运营商的这些漫游简档将作为内部域 策略来被管理,因为每个域由远程运营商拥有和管理。还可以施行策略以支持完全切换到 新的服务提供方,而不是支持基于漫游的解决方案。 [0262] 在第二个示例中,智能计量运营商和地理跟踪运营商之间的合作关系被描述。这些域可以由不同运营商所拥有和操作。由于商业合作伙伴或者用户偏好,域可以被合并以 支持联合简档。为了基于资源使用的计费,例如工作、存储、或者停车、智能计费可以与分组 的跟踪一起被使用。这种落入独立类别的共存服务的情况可以使用域间策略管理的支持。 [0263] 域间策略管理器(IDPM)可以管理控制域的成组行为的策略。域间策略(IDP)可以由每个RO在RTO过程期间下载。IDP可以由每个RO签名的证书验证。这些证书可以与 IDP一起被提出。可替换地,这些策略可以由外部服务经销商证明和下载。对创建优选运营 商列表感兴趣的设备用户或设备所有者可以创建IDP。IDPM可以通过估计候选策略或者优 先级的可接受的交集、选择IDP、以及随后执行得到的策略来处理这些策略。 [0264] IDPM能够可替换地被加入到SDM,作为其功能之一,或者作为可以被加载(建立)或者被下载到THSM的独立实体。 [0265] 作为证明协议的一部分,TDRO可以向RO发送TPIA、TPES和SCARD的散列,而不是发送全部这些测量。RO可以具有装置,提供自己或者TTP来验证这个散列,并由此作出TDRO 和周围系统的有效性的评价。这个方法可以类似于如PCT专利申请WO 2009/092115(PCT/ US2009/031603)中所指定的半自主验证(SAV)。TPIA、TPES和SCARD测量中的任意一个或 者两个可以在证明阶段期间被发送出去。 [0266] THSM可以作为ME的一部分被集成地嵌入。用于这种设备的RTO过程可以被简化,因为过程将去掉ME和THSM之间的接口。 [0267] 尽管上面以特定的组合描述了特征和元素,但是每个特征或元素可以在没有其它特征和元素的情况下单独使用,或者,与或不与其他的特征和元素进行组合使用。这里提供 的方法或流程图可以在计算机程序、软件或固件实施,其中所述计算机程序、软件或固件被 包含到由通用计算机或处理器执行的计算机可读存储介质中。计算机可读存储介质的示例 包括只读存储器(ROM)、随机存取存储器(RAM)、寄存器、缓冲存储器、半导体存储设备、如 内部硬盘和可移动磁盘之类的磁介质,磁光介质和如CD-ROM盘和数字多功能光盘(DVD)之 类的光介质。 [0268] 合适的处理器包括,举例来说,通用处理器、专用处理器、常规处理器、数字信号处理器(DSP)、多个微处理器、与DSP核心相关联的一个或者多个微处理器、控制器、微控制 器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)电路、任何其他类型的集成电路(IC), 和/或状态机。 [0269] 与软件相关联的处理器可以用于实施在无线发送接收单元(WTRU)、用户设备(UE)、终端、基站、无线电网络控制器(RNC)或任何主计算机中使用的射频收发信机。WTRU 可以与模块结合使用,实施于硬件和/或软件中,例如照相机、视频摄像模块、可视电话、 喇叭扩音器、震动设备、扬声器、麦克风、电视收发信机、免提耳机、键盘、蓝牙 模块、调频 (FM)无线电单元、液晶显示器(LCD)显示单元、有机发光二极管(OLED)显示单元、数字音乐 播放器、媒体播放器、视频游戏机模块、因特网浏览器、和/或任意无线本地局域网(WLAN) 或者超宽带(UWB)模块。 [0270] II、用于接入基于订阅的服务的注册和凭证转出 [0271] 设备的用户可能期望创建与基于订阅的服务的提供方的订阅关系。例如,UE(例如图1的设备100、110或120,或者图2的UE 200)的用户可能期望注册作为由远程所有者 提供的基于订阅的服务的订阅用户。对基于订阅的服务的规定可以由第三方促进(例如,第 三方可以代表远程所有者向用户出售基于订阅的服务)。远程所有者可已经获取设备上的 可以被称为远程所有者域的域的所有权,如上面关于RTO过程所述的。而且,用户可已经获 取设备上的可以被称为用户域的域的所有权。 [0272] 为了用户接入基于订阅的服务,可能需要进行注册和凭证转出。注册和凭证转出可以包括以下一种或多种:将用户作为基于订阅的服务的订阅用户注册到远程所有者,其 中这种服务可以由远程所有者通过远程所有者域提供;从可以使用户作为订阅用户使用基 于订阅的服务的远程所有者获得凭证和/或在远程所有者域存储凭证。凭证可以允许用户 经由设备使用基于订阅的服务。术语凭证可以包括传统凭证(例如,密钥、ID、证书等等)。术 语凭证可以包括其它上下文相关数据和应用,例如用于订阅管理功能的可执行文件和小应 用程序。 [0273] 在此公开的系统和方法预期用户能够经由一个设备或者多个设备接入多个基于订阅的服务。例如,如上关于图1和2、以及关于RTO过程所述的,设备可以具有由不同远程 所有者所拥有的多个域。用户可以从多个远程所有者订阅多个基于订阅的服务。 [0274] 注册和凭证转出可以在远程所有者已经获取到远程所有者域的所有权之后很久才发生。具有无线电话能力的无线设备可以用作示例。多个无线载波可以获取设备上的多 个域的所有权(例如,每个无线载波是远程所有者)。例如,无线载波1可以获取远程所有者 域1的所有权,无线载波2可以获取远程所有者域2的所有权。然而,用户可以发起关于无 线载波1而不是无线载波2的基于订阅的服务(例如,无线电话服务)的注册和凭证转出。 例如,无线载波1可以已经向用户提供比无线载波2更好的关于全部无线电话服务的业务。 在后来(例如,几天、几个月、几年),用户可以发起关于无线载波2的基于订阅的服务(例如, 无线电话服务)的注册和凭证转出。例如,无线载波2现在可以提供比无线载波1更好的关 于长途呼叫的业务。用户可以使用两个基于订阅的服务,因为二者都完成了注册和凭证转 出。例如,用户可以使用用于本地呼叫的无线载波1的无线电话服务,和用于长途呼叫的无 线载波2的无线电话服务。这个示例假设远程所有者都没有建立阻止这种设置(例如,参见 RTO过程)的规则。这个示例还示出了注册和凭证转出可以在远程所有者获取到远程所有 者域的所有权之后很久才发生。 [0275] 被包括在注册和凭证转出过程中的实体可以包括以下一个或者多个:用户、用户域、远程所有者域、第三方、或者便于半自主验证的组件(例如全系统域管理器)。关于注册 和凭证转出,实体可以具有如下属性。 [0276] 用户可以是寻求订阅服务(例如基于订阅的服务)的设备的用户。这种基于订阅的服务的示例可以包括,但不限于,财政服务、蜂窝通信服务、因特网连接服务、音乐/视频 /多媒体订阅服务、标识服务、基于位置的服务、电子邮件/消息器(messenger)/社交网络 服务、电子书服务、游戏服务等。用户还可以是设备的所有者。用户可以发起注册和凭证转 出。该发起可以包括用户发送个人数据和/或传统登录信息。用户还可以被称为订户,例 如,当涉及到与用户已订阅/正订阅的基于订阅的服务相关联的行为时。 [0277] 用户域(TDu)可以是设备上关于用户功能的域。用户域可以是可选域。用户域可以是如在此所述的THSM的一部分,例如参见图2。用户域可以在平台的初始启动序列期间 被创建并向其提供功能。所有者域(TDo)可以执行不包括用户域的配置的TDU的功能。用 户可以通过提供用户名(IDU)、密码(PWU)和个人注册数据(REGDATAU)来发起到TDU的注册。 TDU可以产生过程ID(PID_U)作为用户注册的一部分。这个信息可以用于发起注册和请求 凭证转出。例如,这个信息可以与特定请求(例如,特定注册和/或凭证转出请求)相关联, 并可以用于辨别或者标记用于注册和/或凭证转出的不同会话或过程。用户和用户域可以 经由ME通信。预先规定的密钥Ktemp_C(例如,用于机密性)和Ktemp_I(例如,用于完整性/认 证)可以用于保护跨ME/THSM接口的消息发送。不对称密钥对可以用于保护跨ME/THSM接 口的消息发送。ME可以不在图8中显示。到THSM的用户通信可以经由TDU发生。 [0278] 远程所有者(RO)可以经由设备向用户提供订阅的服务。远程所有者可以提供用户使用订阅的服务可能需要的凭证。凭证可以包括认证密钥K,其可以作为远程所有者域和 远程所有者之间的强机密。作为示例,RO可以是以下一种或多种:MNO、其他通信网络运营 商(例如,WLAN、WiMax等)、电子邮件服务提供方、因特网服务提供方、社交网络服务提供方、 数字内容(音乐、电子书、视频等)提供方、游戏服务提供方、财政服务提供方、应用服务提供 方(例如,移动支付、移动订票、DRM、移动TV、基于位置的服务等的服务提供方)、或者IMS服 务提供方等。 [0279] 远程所有者域(TDRO)可以是设备上的可以提供由远程所有者所定义的功能的域。远程所有者域可以如上所述是THSM的一部分,例如参见图2。远程所有者域可以具有TSIM 功能,如上关于RTO过程所述的。远程所有者域可以存储由远程所有者提供的凭证。TDRO可 以接收用户的ID并处理来自于用户域的ID(IDU、PID_U),以及在注册和凭证转出期间不同 地使用这些信息。 [0280] POS(销售点或者服务实体点)可以是向用户便于基于订阅的服务的销售/服务的第三方。POS可以便于经由如有关图8所述的权证(ticket)进行销售,。作为示例,POS可 以是销售远程所有者的基于订阅的服务、和/或执行远程所有者的基于订阅的服务的预售 和售后客户服务职责的零售商店(在线的、砖块的(brick)和灰泥的(mortar)等)。 [0281] 全系统域管理器(SDM),例如,部分I中所公开的SDM,可以作为注册和凭证转出的一部分而提供关于一个或者多个平台的证明信息。例如一旦在注册和凭证转出期间进行请 求,半自主性完整性确认可以由SDM提供。SDM可以是THSM的一部分,例如域的组件,例如 参见图2。 [0282] 注册和凭证转出可以包括以下一种或者多种: [0283] ●POS可以将权证与用户相关联。权证可以建立用户的标识,并且当请求远程所有者的凭证时可以被呈现出来。权证(例如给用户的权证)可以由RO分配给POS(例如在 预产生的组中)。权证可以包括将在注册和凭证转出过程中使用的信息。例如,信息可以包 括“三者”,该三者包括:标识符(例如,IMSI)、可以作为向远程所有者质询的数量的随机数 (RAND)(例如当请求凭证时)、和权证认证值(AUTH)。 [0284] ●代表用户的用户域可以请求注册。 [0285] ●POS可以向远程所有者报告用户的标识(例如,分配的权证可以提供标识符,例如国际移动订阅标识--IMSI)和用户的相关联的个人注册数据。 [0286] ●用户可以使用标识符(例如,IMSI)请求凭证转出。 [0287] ●凭证可以被传递给设备,例如被传递给远程所有者域,其可以被用于接入订阅服务。远程所有者域可以在管理订阅服务中提供TSIM功能。 [0288] 注册和凭证转出可以以安全的方式进行。为了用户注册和凭证转出以安全的方式进行,可以满足和/或假设以下一种或多种前提条件: [0289] ●THSM/ME平台可以被认为处于可信任状态,并且一旦由远程所有者请求,则可以报告平台配置的状态或该平台配置的一部分,其中所述远程所有者的域之前经由远程获 取所有权(RTO)协议被配置。设备可以包括不能被认为是“完全可信的”平台组件的ME。ME 的可信度可以由THSM周期性地监控。连接ME和THSM的接口通常不被认为是安全的。可 以假设ME具有全部MTM能力并可以证明自己的完整性。 [0290] ●平台的证明,其可以由以下一种或者多种方式实施: [0291] ○包括TPIA、TPES、和SCARD的使用的证明报告,例如参见RTO过程。 [0292] ○可以包括向RO发送当前配置的散列的远程验证的缩放的版本。当寻求避免传输大量数据时可以使用这个类型的证明。 [0293] ○半自主验证,其可以包括因特网完整性检验的性能,并提供平台是安全的确认。 [0294] ●凭证可以在远程被下载。POS可以参与用户注册到远程所有者。与POS的通信可以以下一种或者多种方式进行。 [0295] ○当用户发送其标识信息和注册数据时,该用户可以通过空中(OTA)或者通过因特网链路与POS通信。 [0296] ○在用户用手机完成注册登陆步骤后,用户域可以通过因特网与POS通信,该POS与注册和凭证转出过程相关联。 [0297] ●POS可以被认为是足够值得信任的以处理权证分配功能。因此,POS可以具有验证的密钥对集合,表示为具有相关联的CertPOS的证书的KPOS-Priv和KPOS-Pub。这些可以与用 于远程所有者(KRO-Priv,KRO-Pub)和TSIM(KTSIM-Priv,KTSIM-Pub)的密钥集合相结合而用于注册和凭证转出,其中该远程所有者和TSIM各自具有相关联的证书CertRO和CertTSIM。 [0298] ●用户和用户域之间的通信可以假设使用ME作为中间人,其中用户想使用的消息显示于手机屏幕上。这些消息可以使用分别用于完整性和机密性保护的临时密钥Ktemp-I 和Ktemp-C,并且ME可以为用户解释(例如,解密和/或验证签名)。 [0299] ●注册和凭证转出可以是灵活到可以允许从相同用户或者可能的多个用户的多个注册和凭证请求的程度。作为示例,每个用户可以建立针对给定的可信域(TDRO)的一个 (只能一个)注册,但是可以建立跨多个这种域的多个注册。然而,多个不同的用户可以每一 个都具有他们自己的用于一个这种域的注册。每个TDRO可以具有一个RO,但是RO可以管 理多个注册,每个注册用于一个不同用户。对于给定RO拥有多个TDRO也是可能的。假设对 应于可能的多个远程所有者的用户和可信域的多样性,可以例如由用户域、POS和远程所有 者产生过程ID,并将其用于阻止任意相关的多个注册。对于给定的注册和凭证请求,可以 产生紧密相关联的三个过程ID:PID_U(由用户域产生)、PID_POS(由POS产生)和PID_RO (由远程所有者产生)。PID_U可以由THSM内的实体在与POS或者远程所有者通信时使用以 识别用户域。这些ID足够用于唯一地识别给定的注册过程。 [0300] ●可信实体之间的通信可以使用公私密钥对来保护,其中公钥可以经由证书授权(CA)发布的证书来分配。 [0301] ●在注册和凭证转出期间,可以使用随机数来阻止重放攻击。随机数可以被连续编号,或者被顺序地排序,或者可以包括连续的或者顺序的排序编号。某些内部域到域的交 互不能被连续地编号,其中使用了所述的随机数指定。对于两个实体之间往返行程通信,第 一随机数发送可以与新的随机数(不受阻碍)一起在返回消息中被发送回(受阻碍)其初始 位置。假定值最初是由自己创建的并因此是已知的,接收返回的随机数的实体可以不要求 将其不受阻碍地发送。 [0302] ●签名可以被应用于计算出的固定比特长度的密码散列值,例如,通过SHA算法的非指定版本,其可以在此被表示为SHA-X。 [0303] 示出注册和凭证转出的方法现在可以参考图8来进行说明。图8示出了实施注册和凭证转出过程的示例性呼叫流程。呼叫流程可以表示为公式。公式可以包括可以与各个 流程相关联的安全功能。图8示出的呼叫流程仅是示例性的。应当理解其他实施方式也可 以被使用。而且,流程的顺序可以在合适的地方被改变。另外,如果没有需要的和附加的流 可以被添加,则流可以没省略。 [0304] 在1处,POS 30可以向远程所有者RO 40发出请求,以用于预产生的可以被分配给各个授权用户的权证,例如用户32。 [0305] [0306] 在2处,RO 40可以用公钥KPOS-Pub(例如,在证书CertPOS中接收的)来检验POS签名的有效性,并通过在注册用户(例如用户32)时发送可以被使用的权证的索引集合来响应。 [0307] [0308] 索引集合中的每个权证可以包括三成分: [0309] Ticketi=(IMSIi||RANDi||AUTHi|) [0310] IMSI(国际移动标识订户标识)可以作为用户/订户的唯一标识符,例如当请求服务凭证时。RAND值是可以提供权证自己的新鲜性指示的随机数字,以及AUTH是可以验证权 证的完整性和认证的方式。使用密钥KRO_Priv(RO私钥)的Package_1散列的签名可以在认 证远程所有者的同时保护消息的完整性。 [0311] 对于在2处发送的消息,POS 30可以使用自己的私钥KPOS-Priv解密权证集合,并使用公钥KRO-Pub(例如,在证书CertRO中接收的)验证远程所有者签名。如等式1和2所指示 的,nonce0进行了往返行程(从发送者到接收者并返回发送者),这对于安全通信是需要的。 [0312] 在3处,用户32注册到例如在THSM中的用户域(TDU 34),并可以提供例如ID、密码和/或注册数据的信息。 [0313] [0314] 在3处的过程可以看作典型登陆和注册过程。消息的加密和签名特征、以及随机数nonceU的使用可以反映ME的隐含的存在,并且可以对用户是透明的。这个透明性可以 涉及图8示出的整个方法中的用户/所有者与TDU之间的其他通信。 [0315] IDU和PasswordU(也表示为PWU)可以是由用户为自己在平台上建立的每个账户创建的唯一的用户名和密码对。IDU可以识别关于指定账户的用户,以及相关联的密码 PasswordU可以是保密的(例如,仅仅由授权用户知道,别人不知道),并且可以用于用户授 权。REGDADAU可以包括用户个人信息。 [0316] 在4处,TDU 34可以读取并存储在3处接收的消息中的信息,并产生过程ID(PID_U)。Ktemp_C和Ktemp_I可以分别表示可被预先规定的机密性和完整性密钥。这可以使得TDU 34 能够解密密码(PasswordU)并验证Package_2的散列签名。PID_U可以与REGDADAU一起被 发送给POS 30以启动注册和权证请求过程。PID_U可以是第一过程标识符。 [0317] [0318] 在5处,POS 30在接收到PID_U和REGDADAU之后,可以产生自己的PID(PID_POS)并将其与PID_U和用户注册信息相关联。当平台与具有PID_U的POS 30通信时,POS 30可 以查看消息,其作为由PID_POS识别的注册过程的一部分。因此多个注册过程可以同时发 生。PID_POS可以是第二过程标识符。由于证书CertTDU,POS 30可以使用公钥KTDU_Pub验证 SHA-X(Package_3)的签名。POS 30可以通过将PID_POS发送回具有PID_U的TDU 34来在 4处响应消息,例如,如下面消息示出的。 [0319] [0320] TDU 34可以用从证书CertPOS得到的KPOS_Pub来验证SHA-X(Package_4)的签名。TDU34与POS 30之间的通信可以通过空中或者因特网路径来进行。 [0321] 在6处,TDU 34可以向TDRO 38发送注册请求。PID_U和PID_POS可以作为消息的一部分被发送出去,以使得TDRO 38能够进行相关过程关联。用户标识IDU可以被包括在消 息中,其中TDRO 38可以用作相对于对进行注册尝试的特定用户的服务简档的检验。这个特 征可以提供关于相同域的多个用户注册的灵活性。 [0322] [0323] TDRO 38可以使用从证书CertTDU得到的公钥KTDU-Pub来验证TDU 34的签名。 [0324] 在7处,TDRO 38可以在下面的消息中向POS 30进行权证请求。POS 30可以期望其在消息5中发送给TDU 34并在消息6中被传给的TDRO 38的nonce4。具有nonce4的 Package_6可以使用私钥KTSIM_Priv来被签名。POS 30可以使用过程ID PID_U将这个请求与 在4处发送的注册数据相关联。 [0325] [0326] POS 30可以在这个消息中使用经由证书CertTSIM得到的公钥KTSIM-Pub来验证签名。POS 30可以使用Package_6(不受阻碍地发送)和nonce4重新创建SHA-X。 [0327] 在8处,在注册请求(权证请求)由POS 30接收以后,其可以从之前从RO 40接收的集合中获取权证。POS 30可以例如经由THSM将这个权证发送给TDRO 38。公钥KTSIM-Pub可 以用于加密ticketk以及将权证绑定到接收者。 [0328] [0329] TDRO 38可以用自己的私钥KTSIM-Priv解密(解绑)ticketk,并用经由消息6中的CertPOS得到的KPOS-Pub来验证Package_7的签名。这个过程可以用于认证和验证权证的完 整性。TDRO 38可以使用PID_POS作出正确的过程关联。随机数(nonce5)可以返回给TDRO 38。 [0330] 在9处,除了发送给TDRO 38的权证,POS 30还可以向RO 40发送可以包括REGDADAU以及可以识别具有ticketk的用户的注册消息。为了向RO40提供可能被需要用 于过程关联的信息,可以发送PID_POS和PID_U。这可以使RO 40将接收到的过程ID与其 为这个注册创建的ID相关联。这个消息可以由包括RO 40可能需要的信息,RO 40用该信 息向指定的用户提供其请求的凭证。 [0331] [0332] 可以使用KRO-Pub来加密权证,该KRO-Pub是由POS 30在消息2的CertRO中得到的。RO 40可以使用自己的私钥KRO-Priv解密ticketk,并使用公钥KPOS-Pub验证Package_8的签名。 公钥KRO-Pub可以具有将权证绑定到RO 40的效果。 [0333] 在10处,RO 40可以确认接收到包括权证的注册信息。例如,RO 40可以向TDU 34发送以下消息。 [0334] [0335] TDU 34可以接收到PID_U和PID_RO时保留具有RO 40的过程标识,其由RO 40在在9处接收消息后产生。TDU 34可以用在证书CertRO中得到的公钥KRO-Pub验证package_9 散列的签名。 [0336] 在11处,在接收到与等式10相关联的消息之后,TDU 34可以向用户32提交屏幕消息以授权用户32允许请求凭证。 [0337] [0338] 这个消息显示了签名密钥Ktemp_I的使用,其可以被用于要使用与ME侧相同的密钥来验证的THSM侧,类似于在消息3中使用的签名和验证过程,但是是反向的。NonceU可以 由TDU 34返回给ME,以进行往返行程。IDU可以由ME和TDU 34使用以识别用户32,以及与 当前注册和凭证转出相关联的PID_U,其可以避免过程不确定性。 [0339] 用户可以发起凭证转出,例如用户可以适用于远程所有者以获得订户相关的凭证。在12处,用户32可以用凭证的请求来响应在11处传递的消息。密码可以使用共享的 加密密钥Ktemp_C来保护。nonce9可以返回给TDU 34。 [0340] [0341] TDU 34可以解密密码并使用共享的密钥集合验证签名。在11处传递的消息示出了使用PID_U和IDU的组合。随机数和PID可以对用户/所有者透明,并且可以将其限制 于由非人员通信实体使用。 [0342] 在13处,TDU 34现在可以向TDRO 40转发用户对凭证的请求,其可以触发直接向RO40请求。PID_RO和PID_U可以促成与通信实体相关联的过程。TDRO 40现在可以关联三个 过程ID。 [0343] [0344] 消息验证可以使用在CertTDU中接收的KTDU_Pub来完成,其中该CertTDU是在6处传递的消息接收。 [0345] 在14处,TDRO可以向SDM 36作出用于半自主完整性验证的请求。半自主完整性验证可以局限于使用密钥完整性指示符(例如,TPIA、TPES和SCARD)的散列值。 [0346] [0347] 证书CertTSIM可以被发送以允许SDM 36来获取用于Package_13散列的签名验证的公钥KTDRO-Pub。使用PID_U可以保留过程ID关联。SDM 36可以除了PID_U不需要更多, 因为SDM 36不会与外部实体通信,例如THSM以外的实体。 [0348] 在15处,SDM 36可以收集关于可能发生的配置改变的更新的证明信息,例如,由于RTO过程。TPIA、TPES和SCARD可以随需要更新,并且完整性数据可以被混编到(hashed into)单个值IV(完整性验证值)中。PID_U和IV可以在返回消息中被发送给TDRO 34。随 机数nonceTDRO可以被返回。 [0349] [0350] 签名可以使用在证书CertSDM中得到的公钥KSDM-Pub来验证。 [0351] 在16处,TDRO 38可以请求凭证转出到RO 40。在16处发送的消息中,标识符ISMIk可以用RO 40的公钥KRO-Pub来加密发送,该公钥KRO-Pub是由TDRO 40在在13处的消息中的证 书CertRO中接收的。完整性值IV可以被发送以用于可信验证的目的,以及过程ID PID_U 可以被发送以使得过程与在9处的消息中的信息相关联。 [0352] [0353] RO 40可以使用自己的私钥KRO-Priv解密ISMIk,并使用RO 40在证书CertTDRO中得到的公钥KTDRO_Pub来验证签名。 [0354] 在17处,凭证可以由RO 40发送给TDRO 38。凭证可以使用从16处的CertTDRO得到的公钥KTDRO_Pub来被加密。这可以将凭证绑定到TDRO 38。TDRO38可以使用自己的私钥KTDRO_ Priv来解绑凭证。随机数nonce11可以进行往返行程。 [0355] [0356] TDRO 38可以使用在13处的相关证书中接收的公钥KRO_Pub来验证签名。过程IDPID_RO提供正确的过程关联。 [0357] 凭证密钥可以存储在保护的存储器中,或者根据在SDM 36中提供的安全策略,例如,如17所指示的,在接收到凭证之后。策略可以在RTO过程期间已经被定义。在18处, 一旦转出完成,可以向RO 40发送确认消息。 [0358] [0359] 随机数nonce12可以被返回,以及过程不确定性可以用PID U来避免。RO 40可以用在16处得到的公钥KTDRO_Pub验证签名。 [0360] 在19处,TDRO 38可以向TDU 34发送转出完成确认消息。随机数nonceTDU2(参见13)和nonceTDU1(参见16)可以被返回,以及过程不确定性可以用PID_U来避免。 [0361] [0362] 这个签名可以由TDU 34使用在证书CertTDRO中得到的公钥KTDRO_Pub来验证。 [0363] 在20处,可以向用户32提供来自于TDU 34的屏幕消息,该屏幕消息指示凭证已经被接收和配置。凭证现在对用于被授权的用户32的安全服务来说是可用的。随机数 nonce10可以被返回(参见12)。 [0364] [0365] 签名验证可以如关于3、11和12所述的来实现。PID_U和IDU组合的使用可以如关于11所述的来实现。 [0366] 在21处,可以向POS 30发送指示ticketk现在正在使用的消息,并且不应当被分配到别的地方。 [0367] [0368] POS 30可以使用在证书CertRO中得到的公钥KRO_Pub来验证签名,其中该CertRO在2处接收到。PID_RO能够进行过程关联。 [0369] 关于图8示出的呼叫流程,三个随机数可以被显示为进行了一个行程。也就是说,它们不在它们第一次被传达之后的消息中返回。三个随机数是:在10处的nonce8,在15处 的nonceSDM和在21处的nonce15。虽然没有在呼叫流程说明中指示,但可以假设对于这三 个随机数中的每个来说,包括随机数的ACK由接收者发送(返回)到响应的发送者。因此,例 如,nonce8可以经由ACK消息由TDU34紧跟着在10处接收消息后返回给RO 40。 [0370] 关于1、2、9和21的消息可以被指定为带外的。 [0371] 图9是可以在其中实施一个或多个公开的实施方式的示例通信系统900的图示。通信系统900可以是向多个无线用户提供例如语音、数据、视频、消息发送、广播等之类的 内容的多接入系统。通信系统900可以使多个无线用户能够通过共享包括无线带宽的系统 资源来访问这些内容。例如,通信系统900可以使用一种或者多种信道接入方法,例如码分 多址(CDMA)、时分多址(TDMA)、频分多址(FDMA)、正交FDMA(OFDMA)、单载波FDMA(SC-FDMA)等等。 [0372] 如图9所示,通信系统900可以包括无线发送/接收单元(WTRU)902a、902b、902c、902d,无线电接入网(RAN)904,核心网906,公共交换电话网(PSTN)908,因特网910,和其他 网络912,不过应该理解的是公开的实施方式考虑到了任何数量的WTRU、基站、网络和/或 网络元件,所述网络元件可以包括但不局限于中继节点、网关、毫微微小区基站、机顶盒等。 WTRU 902a、902b、902c、902d中的每一个可以是配置为在无线环境中进行操作和/或通信 的任何设备类型。作为示例,可以将WTRU 902a、902b、902c、902d可以被配置成传送和/或 接收无线信号,并且可以包括用户设备(UE)、移动站、固定或者移动订户单元、寻呼机、蜂窝 电话、个人数字助理(PDA)、智能电话、膝上型电脑、上网本、书写板(tablet)、个人计算机、 无线传感器、消费类电子产品等等。 [0373] 通信系统900还可以包括基站914a和基站914b。基站914a、914b的每一个都可以是配置成与WTRU 902a、902b、902c、902d中的至少一个无线对接以便于接入一个或者多 个通信网络的任何类型的设备,所述通信网络例如核心网906、因特网910和/或网络912。 作为示例,基站914a、914b可以是基础收发机站(BTS)、节点B、e节点B、家用节点B、家用e 节点B、站点控制器、接入点(AP)、无线路由器、具有无线功能的机顶盒、具有无线功能的家 用网关、中继节点等。虽然基站914a、914b每个被描述为单独的元件,但是应该理解的是基 站914a、914b可以包括任何数量互连的基站和/或网络元件。 [0374] 基站914a可以是RAN 904的一部分,该RAN 904也可以包括其他基站和/或网络元件(未显示),例如基站控制器(BSC)、无线电网络控制器(RNC)、中继节点等。基站914a和 /或基站914b可以被配置成在特定地理区域之内传送和/或接收无线信号,其中该区域可 以被称为小区(未显示)。小区还可以被划分为小区扇区。例如,与基站914a相关联的小区 可以被划分为三个扇区。因此,在一种实施方式中,基站914a可以包括三个收发信机,即小 区的每一个扇区都具有一个收发信机。在另一种实施方式中,基站914a可以使用多输入多 输出(MIMO)技术,并且因此可以为小区的每一个扇区使用多个收发信机。 [0375] 基站914a、914b可以通过空中接口916与WTRU 902a、902b、902c、902d中的一个或者多个通信,该空中接口916可以是任何合适的无线通信链路(例如,射频(RF)、微波、红 外(IR)、紫外(UV)、可见光等)。可以使用任何合适的无线电接入技术(RAT)来建立空中接 口916。 [0376] 更详细地,如上所述,通信系统900可以是多接入系统,并且可以使用一种或者多种信道接入方案,例如CDMA、TDMA、FDMA、OFDMA、SC-FDMA等等。例如,RAN 904中的基站914a 和WTRU 902a、902b、902c可以使用例如通用移动通信系统(UMTS)陆地无线电接入(UTRA) 的无线电技术,其可以使用宽带CDMA(WCDMA)来建立空中接口916。WCDMA可以包括例如 高速分组接入(HSPA)和/或演进型HSPA(HSPA+)的通信协议。HSPA可以包括高速下行链 路分组接入(HSDPA)和/或高速上行链路分组接入(HSUPA)等等。 [0377] 在另一种实施方式中,基站914a和WTRU 902a、902b、902c可以实施例如演进型UMTS陆地无线电接入(E-UTRA)的无线电技术,其可以使用长期演进(LTE)和/或高级LTE (LTE-A)来建立空中接口916。 [0378] 在另一种实施方式中,基站914a和WTRU 902a、902b、902c可以实施例如IEEE802.16(即,全球微波接入互通接入(WiMAX))、CDMA2000、CDMA 2000 1X、CDMA 2000 EV-DO、 临时标准2000(IS-2000)、临时标准95(IS-95)、临时标准856(IS-856)、全球移动通信系 统(GSM)、用于GSM演进的增强数据速率(EDGE)、GSM EDGE(GERAN)等等的无线电技术。 [0379] 图9中的基站914b可以例如是无线路由器、家用节点B、家用e节点B、或接入点,并且可以使用任何适当的RAT来促进局部区域中的无线连接,例如营业场所、住宅、车辆、 校园等等。在一种实施方式中,基站914b和WTRU 902c、902d可以实施例如IEEE 802.11 的无线电技术来建立无线局域网(WLAN)。在另一种实施方式中,基站914b和WTRU 902c、 902d可以实施例如IEEE 802.15的无线电技术来建立无线个域网(WPAN)。在另一种实施 方式中,基站914b和WTRU 902c、902d可以使用基于蜂窝的RAT(例如,WCDMA,CDMA2000, GSM,LTE,LTE-A等)来建立微微小区或毫微微小区。如图9所示,基站914b可以具有到因 特网910的直接连接。因此,基站914b可以不必需经由核心网906而接入因特网910。 [0380] RAN 904可以与核心网906通信,所述核心网906可以是被配置成向WTRU 902a、902b、902c、902d中的一个或多个提供语音、数据、应用和/或网际协议上的语音(VoIP)服 务的任何类型的网络。例如,核心网906可以提供呼叫控制、计费服务、基于移动位置的服 务、预付费呼叫、因特网连接、视频分配等,和/或执行高级安全功能,例如用户认证。虽然 图9中未示出,但应该理解的是RAN 904和/或核心网906可以与使用和RAN 904相同的 RAT或不同RAT的其他RAN进行直接或间接的通信。例如,除了连接到使用E-UTRA无线电 技术的RAN 904之外,核心网906还可以与使用GSM无线电技术的另一个RAN(未示出)通 信。 [0381] 核心网906还可以充当WTRU 902a、902b、902c、902d接入PSTN 908、因特网910和/或其他网络912的网关。PSTN 908可以包括提供普通老式电话服务(POTS)的电路交换电 话网络。因特网910可以包括使用公共通信协议的全球性互联计算机网络设备系统,所述 公共通信协议例如TCP/IP网际协议簇中的传输控制协议(TCP)、用户数据报协议(UDP)和 网际协议(IP)等等。网络912可以包括被其他服务提供方拥有和/或操作的有线或无线 的通信网络。例如,网络912可以包括连接到一个或多个RAN的另一个核心网,该RAN可以 使用和RAN 904相同的RAT或不同的RAT。 [0382] 通信系统900中的WTRU 902a、902b、902c、902d的某些或全部可以包括多模能力,即WTRU 902a、902b、902c、902d可以包括用于通过不同无线链路与不同无线网络进行通信 的多个收发信机。例如,图9中示出的WTRU 902c可以被配置成与基站914a和基站914b 通信,其中所述基站914a可以使用基于蜂窝的无线电技术,所述基站914b可以使用IEEE 802无线电技术。 |
||||||
QQ群二维码
意见反馈
意见反馈