可信硬件订阅模块间证书和/或域的迁移的制作方法

专利名称：可信硬件订阅模块间证书和/或域的迁移的制作方法
可信硬件订阅模块间证书和/或域的迁移相关申请的交叉引用本申请基于2010年3月2日申请的美国临时专利申请N0.61/309, 569，并且要求该美国临时申请的权益，在此其全部披露以引用的方式得以结合。
背景技术：
当今在移动通信工业中，用户可用来订阅特定网络运营商的服务的无线设备典型地包括用户身份模块(SM)或通用集成电路卡(UICC)。SM/nCC向无线设备提供安全执行和存储环境，从其执行认证算法和存储使该设备能够向网络运营商认证设备用户与该网络运营商的订阅并允许网络运营商具有对该设备的某些形式的控制(即所有权)的证书。不幸的是，该SIM/nCC机制典型地受限于与单一的网络运营商一起使用。因此，当今在许多计算环境中的问题，如以上使用移动通信设备描述的情况，是计算设备通常受限于完全由单一的实体“所有”。并且在许多情况下，该所有关系必须在购买设备时由用户建立，阻止了可能期望在随后的时间建立所有关系的商业模式。另外，这些限制阻止在期望设备的若干互相独立部分的多个所有关系存在，或期望所有关系随着时间迁移到其它实体的情况下使用这些设备。例如，在诸如移动电话这样的无线移动通信设备的情况下，典型地要求用户在购买时订阅特定移动网络运营商的服务，并且这样的设备通常被禁止仅在购买该无线设备后某个时间得以知道的移动网络运营商的应用中使用。同样地，对于这样的设备一次提供到多个运营商网络的接入典型地也是不可能的。更新或改变移动网络和服务订阅可能是困难的，并且空中这样做通常是不可能的。同样地，特别是在无线移动通信设备的环境中，虽然SM/nCC机制通常被认为高度安全，但该安全性并未紧密地与它驻留在其上的整个设备的安全属性相联系。这限制了为诸如移动金融交易这样的高级服务和应用缩放安全概念的应用。特别地，这些缺点与自主设备有关，例如机器到机器(M2M)通信设备。因此，期望更动态的解决方案。

发明内容
公开了允许用户发起从一个域到另一个域的证书的迁移的系统、方法和手段。该迁移可发生在包括具有一个或多个单独域的一个或多个设备的系统中，其中每个域可由一个或多个不同的本地或远程所有者所有或控制。一个或多个设备可包括由至少一个平台支持的一个或多个域。每个平台可为这些域提供低级计算、存储或通信资源。平台可由一些硬件、操作系统、一些低级固件或软件(例如启动代码、BI OS、AP1、驱动、中间件或虚拟化软件)和一些高级固件或软件(例如应用软件)以及用于这样的资源的各配置数据组成。每个域可包括在至少一个平台上执行的计算、存储或通信资源的配置，并且每个域可被配置为为可本地位于或远离该域的域所有者执行功能。每个域可具有不同的所有者，并且每个所有者可为其域的操作和为与该域所在平台和其它域相关的其域的操作指定策略。提供基于订阅的服务的远程所有者可已具有域的所有权，这可被称为远程所有者域。另外，用户可已具有域的所有权，这可被称为用户域。可发起请求来发起从第一域到第二域的证书迁移的。例如，源和目的地设备的用户可请求与在源设备上的远程所有者域相关联的证书被迁移到在目的地设备上的远程所有者域。远程所有者可接收指示迁移已得以请求的消息。由远程所有者接收的消息可以是源和目的地设备已进行内部检查并确定迁移可继续进行的指示。由远程所有者接收的消息可以是用户发起了迁移请求的指示。远程所有者可评估从源设备接收的源信息和从目的地设备接收的目的地信息。例如，源信息可包括以下的至少一者:源策略、源配置、源标识和源完整性指示符。目的地信息可包括以下的至少一者:目的地策略、目的地配置、目的地标识和目的地完整性指示符。基于源信息和目的地信息的评估，远程所有者可确定该迁移是可接受的。例如，远程所有者可确定与这些设备相关联的策略与迁移证书不存在冲突。这样的策略评估可包括除了源域和目的地域之外的域的策略。远程所有者可发送指示以继续进行该迁移。其它的检查可由源和目的地设备进行。例如，源设备可评估目的地设备的状态，并且目的地设备可评估源设备的状态。远程所有者可从源设备接收指示该迁移已完成、源设备销毁了证书的源完成消息。远程所有者可从目的地设备接收指示该迁移已完成并且证书被复制在目的地设备的域上的目的地完成消息。在此描述的系统、方法和手段的其它特征在以下详细描述和附图中提供。


图1图示了在其中在此描述的方法和手段可得以采用的示例系统。图2图示了在其中在此描述的方法和手段在用户设备(UE)中得以实现的系统的一个实施例。图3和3A图示了获取域所有权的示例启动和处理。图4和4A图示了获取域所有权的示例调用流程图。图5和5A图示了使用完全证明(attestation)获取域所有权的处理的示例调用流程图。图6图示了可信硬件订阅模块的一个实施例的示例状态定义、转换和控制点定义。图7图示了远程所有者域可获得的状态和在动态管理的环境中转换可发生的情况。图8图示了实现注册和证书转出(roll-out)处理的示例调用流程。图9A和9B图示了实现证书迁移的示例调用流程。图9C是在其中一个或多个公开的实施例可得以实现的示例通信系统的系统图。
具体实施例方式图1-9可涉及在其中公开的系统、方法和手段可得以实现的示例实施例。然而，虽然本发明可结合示例实施例得以描述，但它不限于此，并且应当理解可使用其它实施例，或者可向描述的实施例做出修改和增加以实现本发明的相同功能，而不脱离本发明。此外，附图可图示调用流程，其旨在示例。应当理解，可使用其它实施例。此外，流程的顺序适当时可改变。并且，如果不需要可省略流程，并且可增加附加的流程。公开了可允许用户将证书从一个域迁移到另一个域的系统、方法和手段。该迁移可发生在包括具有一个或多个单独域的一个或多个设备的系统中，其中每个域可由一个或多个不同的本地或远程所有者所有或控制。一个或多个设备可包括由至少一个平台支持的一个或多个域。每个平台可为域提供低级计算、存储或通信资源。平台可由一些硬件、操作系统、一些低级固件或软件(例如引导代码、BIOS、AP1、驱动、中间件或虚拟化软件)和一些高级固件或软件(例如应用软件)以及用于这样的资源的各配置数据组成。每个域可包括在至少一个平台上执行的计算、存储或通信资源的配置，并且每个域可被配置为为可本地位于或远离域的域所有者执行功能。每个域可具有不同的所有者，并且每个所有者可为其域的操作和为与该域所在平台和其它域相关的其域的操作指定策略指定策略。提供基于订阅的服务的远程所有者可已具有域的所有权，这可被称为远程所有者域。另外，用户可已具有域的所有权，这可被称为用户域。可发起请求来发起从第一域到第二域的证书迁移。例如，源和目的地设备的用户可请求与在源设备上的远程所有者域相关联的证书被迁移到在目的地设备上的远程所有者域。远程所有者可接收指示迁移已得以请求的消息。由远程所有者接收的消息可以是源和目的地设备已进行内部检查并确定迁移可继续进行的指示。由远程所有者接收的消息可以是用户发起了迁移请求的指示。远程所有者可评估从源设备接收的源信息和从目的地设备接收的目的地信息。例如，源信息可包括以下的至少一者:源策略、源配置、源标识和源完整性指示符。目的地信息可包括以下的至少一者:目的地策略、目的地配置、目的地标识和目的地完整性指示符。基于源信息和目的地信息的评估，远程所有者可确定该迁移是可接受的。例如，远程所有者可确定与这些设备相关联的策略与迁移证书不存在冲突。这样的策略评估可包括除了源域和目的地域之外的域的策略。系统级策略可确定源和目的地策略与在源和目的地设备上的其它域的策略之间的潜在冲突。远程所有者可发送指示以继续进行该迁移。其它的检查可由源和目的地设备进行。例如，源设备可评估目的地设备的状态，并且目的地设备可评估源设备的状态。远程所有者可从源设备接收指示该迁移已完成、源设备销毁了证书的源完成消息。远程所有者可从目的地设备接收指示该迁移已完成并且证书被复制在目的地设备的域上的目的地完成消息。1.示例多域系统图1-7可涉及在其中公开的系统、方法和手段可得以实现的示例实施例。然而，虽然本发明可结合示例实施例得以描述，但它不限于此，并且应当理解可使用其它实施例，或者可向描述的实施例做出修改和增加以实现本发明的相同功能，而不脱离本发明。在其中公开的系统、方法和手段可得以实现的示例系统包括一个或多个设备，每个设备可包括由至少一个平台支持的一个或多个域。每个平台可为域提供低级计算、存储或通信资源。平台可由一些硬件、操作系统、其它低级固件或软件(例如引导代码、B10S、API和驱动)和用于这样的资源的各配置数据组成。每个域可包括在至少一个平台上执行的计算、存储或通信资源的配置，并且每个域可被配置为为可本地位于或远离域的域所有者执行功能。每个域可具有不同的所有者，并且每个所有者可为其域的操作和与该域所在平台和其它域有关的操作指定策略。
在计算、存储或通信资源(从输入点的角度)或域通过使用这些计算、存储或通信资源提供的功能(从输出点的角度)方面，每个域可以独立于其它域。每个域可利用计算、存储或通信资源或通用基础平台的功能。一些域可共享一些由通用平台提供的这样的功能。平台资源和/或功能的这样的共享可以通用资源或功能的每个域的使用可独立于另一个域的这样的使用的方式来实现。例如，这样的独立可通过设备的平台对它提供给每个域的资源执行严格的的接入控制来实现，使得仅允许由该平台和/或域的所有者授权的用户、所有者或其它实体或域外部的过程对域的资源的任意接入。如果任意域的功能取决于在设备上任意域之外的设备资源，平台还可简单地由不是在该设备上任意单独域的部分的、该设备的部分组成。在相同或不同平台或相同或不同设备上的任意两个域之间的通信可变得安全，意味着域可以能够以安全的方式互相认证(例如通过使用加密措施)，并且还能够在诸如可信性、完整性和新鲜性这样的安全方面保护在它们之间交换的消息。由域驻留的平台提供的加密措施可被用来在任意这样的两个域之间提供这样的安全通信。系统级(system-wide)域管理器可驻留在域的其中之一上。系统级域管理器可执行它驻留的域的策略，并且它可通过与该系统级域管理器驻留的域相关的它们各自的策略协调其它域的执行。并且，系统级域管理器可根据它们各自的策略协调其它域间的交互。系统级域管理器驻留的域可由容纳该域的设备的所有者所有。可替换地，这样的域可由可能不拥有容纳该域的设备的所有者所有。图1图示了这样的系统的一个实施例。如所示那样，该系统可包括一个或多个设备100、110和120。每个设备可包括由至少一个平台支持的一个或多个域。例如，设备100可包括域106和一个或多个其它域101、102。虽然为设备100示出了三个域，但在其它实施例中域的数目可以更多或更少。那些域101、102、106的每一个可包括在该设备的至少一个平台105上执行的计算、存储或通信资源的配置。每个域可被配置为为可本地位于或远离该域的域所有者执行功能。例如，域106可由设备所有者(未示出)所有，而域101、102可由一个或多个远程所有者所有。每个域可具有不同的所有者，或者设备的多于一个的域可由相同的所有者所有。每个所有者可为其域的操作和为与该域在其上运行的平台、该域所驻留的设备和在相同或不同设备中的其它域有关的其域的操作指定策略。如所述那样，该系统还可包括在其上驻留其它域的其它设备。例如，设备110可包括域111和112，域111和112的每一个可由相同的远程所有者所有。当然，域111和112的每一个可替代地由不同的所有者所有。域111、112的每一个可包括在设备110的平台115上执行的计算、存储或通信资源的配置。类似地，设备120可包括域121和122。如在该实例中所示那样，那些域的每一个可由不同的所有者所有。可替换地，那些域可由相同的所有者所有。此外，域121、122的每一个可包括在设备120的平台125上执行的计算、存储或通信资源的配置。系统级域管理器(SDM) 107可驻留在域的其中之一上。在该示例中，SDM 107驻留在设备100的域106上。在一个实施例中，SDM所驻留的域(例如域106)可由设备100的所有者所有。SDM 107通过在设备100中提供的通信机制与在设备100上的远程所有者域101通信。并且，SDM 107通过可以是有线或无线信道的各个通信信道131、132、141、142与在其它设备上的域通信。通信信道131、132、141和142可以是安全的。SDM 107可执行它所驻留的域106的策略，并且它可通过与域106相关的它们各自的策略来协调其它域101、
111、112、121、122的执行。此外，SDM 107可根据它们各自的策略和SDM所驻留的域的策略(其可以是该特定域所有者的策略)来协调其它域之间的交互。作为示例，在一个实施例中，域可由服务供应商所有。例如，设备100的域102可由诸如仅作为示例的移动网络运营商这样的服务供应商所有。域102可执行用户身份模块(SIM)功能来向服务供应商认证设备100，或者在一些情况下等同地，所有者的订阅或设备的用户，以便使能在设备100和该服务供应商之间的通信。除了上述SDM的功能外，SDM 107可访问信息，并提供可由所述一个或多个域使用的资源列表。SDM 107还可监控由远程所有者所有的域的加载和维护。SDM 107可向它所驻留的设备100的用户提供能加载的域的列表，并且可请求用户选择加载列出域的哪个。SDM还可评估在平台或设备上是否有足够的计算资源来加载，并且从而支持一个或多个域的操作。还如上所述，SDM 107可参与执行它自己的策略(这在此可被称为系统级域策略(SDP))和其它域的策略(即域特定策略(DP))。SDM 107在评估是否加载新域时可考虑一个或多个已有域的策略。例如，由远程所有者所有的给定域的策略可指定当特定类型的其它域变为活动的时，该给定域被呈现为不活动的。在另一个示例中，由远程所有者所有的给定域的策略可指定当由某个特定远程所有者所有的另一个域变成活动的时，该给定域被呈现为不活动的。仍然在另一个示例中，由远程所有者所有的给定域的策略可指定当特定类型的其它域变成活动的时，该指定域的操作受限于某些具体方式。在另一个示例中，由远程所有者所有的给定域的策略可指定在由特定其它远程所有者所有的另一个域变成活动的时，该给定域的操作受限于某些具体方式。SDM 107可负责所有这些类型的策略的执行。SDM 107还可建立或加载远程所有者随后可取得所有权的域。例如，这样的域可以在此被称为“原始(pristine)”状态的状态得以建立，在其中它不由任意所有者所有，并且SDM 107可通过远程所有者管理域所有权的建立。为了实现这一目的，SDM 107可向远程所有者传送远程所有者在确定是否建立域的所有权时可考虑的信息。该信息可包括以下的至少一者:(i)证明要求其所有权的域的完整性的信息jP(ii)证明系统的至少一个其他域的完整性的信息。该信息还可包括(i)证明要求其所有权的域使用其资源操作的平台的完整性的信息jP(ii)证明系统的至少一个其他域使用其资源操作的平台的完整性的信息。这样的信息可包括以下的至少一者:(i)指示系统中其他域的数目的值；(ii)提供系统中其他域的总性质(nature)的信息；和
(iii)指定可由尝试为其建立所有权的域使用的平台资源的信息。提供给远程所有者有关系统其他域的信息程度可取决于那些其他域在保密性(confidentiality)和/或独立性(isolation)方面各自的策略。在远程所有者获取域的所有权之后,该远程所有者可在该域上执行一定程度的控制。例如，在远程所有者建立域的所有权之后，该域可从该远程所有者接收加密密钥、配置信息、参数和可执行代码的至少一个以增加该域的功能。在另一个示例中，在远程所有者建立域的所有权之后，该域可从该远程所有者接收它的域特定策略。在此公开的系统还提供一个或多个域的独立性和安全性。例如，域的一个或多个可包括独立于其它域的安全执行和存储环境。为了实现这样的安全环境，在其上建立一个或多个域的设备平台，例如图1中设备100的平台105，可包括可信根103。可信根103可包括不可变和不可移动的硬件资源组，其完整性是预建立的，并且由包括域的远程所有者的其它人依赖。诸如域101这样的域的完整性可通过由可信根103锚定的可信链来建立。例如，域101的完整性可通过比较域101至少一个成员(component)的测量(该测量可由可信根103生成)和参考完整性度量(其可被存储在可信根103中并且由可信根用来验证域的完整性)来建立。可替换地，参考完整性度量可由远程所有者存储，并且测量可被传送给该远程所有者用于与该参考完整性度量比较。如果该测量匹配参考完整性度量，则该域的完整性可得以验证。在一个示例实施例中，该测量可包括对成员计算的哈希，并且参考完整性度量可包括对该成员以前计算的、并带有提供该参考完整性度量真实性的指示的数字证书的哈希。参考完整性度量可在生产时或在将设备交付给其所有者时预提供在该设备中。参考完整性度量还可在生产/将设备提供给其所有者之后，通过通信信道(例如空口无线通信信道)从远程源得以传递，并且在传递后提供在设备中。参考完整性度量可被附在证书中被传递给设备。这样的证书可由可信第三方验证，以在它传递给设备后使用。在此公开的系统及其各种方法和手段可在各种各样的计算和通信环境中得以实现。因此，诸如图1的示例设备100、110和120这样的系统设备可采取各种各样的形式。以示例的方式，并且没有任何限制，系统设备可包括无线发射/接收单元(WTRU)、用户设备(UE)、移动站、固定和移动用户单元、寻呼机、蜂窝电话、个人数字助手(PDA)、计算机、机器对机器(M2M)设备、SM卡、通用集成电路卡(UICC)、智能卡、地理跟踪设备、传感器网络节点、计量设备(例如水表、气表或电表)或能够在无线或有线环境中运行的任意其他类型的计算或通信设备。以下附图和说明在无线发射/接收单元(WTRU)中提供本发明系统和方法的若干附加示例实施例。然而，应理解这些实施例仅是示例性的，并且在此公开的系统和方法并不受限于那些实施例。相反地，如上所述，在此公开的系统和方法可在各种各样的计算和通信环境中使用。图2是图示在其中在此描述的系统和方法可得以实现的WTRU的一个实施例的图。如所示那样，该WTRU可包括诸如UE 200这样的移动设备。UE 200可包括移动设备(ME)210和可信硬件订阅模块(THSM) 220。并且，THSM 220可进一步包括THSM设备制造商(DM)域221、THSM设备所有者(DO)域222、THSM设备用户(DU或U)域223、系统级域管理器(SDM)230、域内策略管理器240和一个或多个远程所有者(RO)域，例如RO的域A 224、RO的域B225和RO的域C 226。此外，UE 200可包括以下未示出的组件:处理器、接收机、发射机和天线。在此描述的示例实现可涉及诸如参考图2描述的那些组件。THSM可以是提供可信订阅管理功能的基于硬件的模块，包括那些典型地由SM功能、USIM功能、ISIM功能和访问网络订阅执行的功能。THSM可以是硬件保护的模块。它可包括使用相关安全特征特别设计的硬件。它可能够内部支持多个独立的域。域可由被称为远程所有者(RO)的不同所有者认领(claim)或所有。由RO认领的域可充当各自RO的代理。域的一个或多个可执行诸如可信订阅身份管理(TSM)这样的订阅管理功能。由于具有TSM功能的多个域可存在在单一的THSM上，因此THSM可支持用于多个RO的订阅管理。具有TSM能力的域的管理的一些方面可由被称为系统级域管理器(SDM)的单一管理功能来实现。其他方面可在单独的域中和上单独地管理。
虽然根据通用移动电信系统(UMTS)环境描述，本领域技术人员可意识到在此描述的方法和设备可应用于其他环境，而不超出本申请的范围。TSIM可以是“订阅应用”的代表示例。例如，如果在运行在3G UMTS网络中的WTRU上实现，作为其功能的一部分，TS頂可包括所有与订阅相关的功能，包括UMTS认证和密钥协商(AKA)功能。TSIM可不被限于特定的硬件，例如nCC。这与USM相反，US頂仅能存在在HCC上。替代地，TSM可在如在此描述的可信硬件订阅模块(THSM)上实现。本领域的技术人员还将意识到如在此描述的THSM的功能可合并在nCC或类似的智能卡中，例如遵循欧洲电信标准协会(ETSI) nCC要求的UICC或遵循全球平台规范的智能卡，而不超出本申请的范围。WTRU可包括THSM和移动设备(ME)。ME可包括调制解调器、无线电、电源和典型地在WTRU中找到的各种其他特征。THSM可包括独立的基于硬件的模块。THSM可包含在WTRU上或者它可以是独立的。THSM可逻辑地与ME分开，即使它包含在WTRU上。THSM可包括一个或多个域，每个域由该域的特定所有者所有并且为该所有者的利益运行以提供安全、可信的服务和应用。因此，例如，DM的域可被表示为TDdm,并且DO的域可被表示为TDdq。在THSM中的域可执行在ME中可能不安全或不方便执行的安全敏感的功能和应用。一些域可由一个或多个服务供应商所有和管理。例如:移动网络运营商(MNO);其他通信网络运营商，例如无线局域网供应商或WiMax供应商；应用服务供应商，例如在移动支付、移动票务、数字版权管理(DRM)、移动TV或基于位置服务方面的服务供应商；或IP多媒体核心网子系统(MS)服务供应商。订阅管理可通过由服务供应商所有的域来支持。为简单起见，在THSM上实现的订阅管理功能此后可被表示为TSIM功能。对TSIM功能的支持可随域改变。例如，支持的TS頂功能可包括类似于由在移动终端nCC上的US頂和ISIM应用提供的那些功能。像nCC—样，THSM可包括除了由TSM提供的以外的功能、应用和数据。TS頂可以是软件单元或虚拟应用。TS頂可初始地没有与特定网络运营商或公共陆地移动网络(PLMN)相关联的证书。TSM可涉及UMTS蜂窝接入网的订阅证书/应用的管理。例如，TSM可包括诸如UMTS认证密钥这样的强秘密(strong secret) (Ki)的管理。在M2M环境中，TSIM还可包括M2M连接性身份管理(MCM)。 THSM可包括类似于可在具有可信平台模块(TPM)或移动可信模块(MTM)的计算设备中找到的测量可信根(root of trust of measurement, RTM)的测量核心可信根(Rootof Trust, RoT) (Core Root of Trust of Measurement, CRTM)单兀。THSM 的 CRTM 可在例如THSM引导时测量THSM引导代码的完整性。完整性度量可通过扩展操作来计算，例如在THSM的引导代码(BIOS)和可选地诸如版本号、软件配置或发布号这样的THSM的制造商特性上应用加密摘要值操作。例如，完整性度量可使用诸如SHA-X这样的加密哈希算法的版本来计算。THSM可包括类似于在TPM或MTM中找到的存储可信根(root of trust forstorage, RTS)的存储核心RoT (core RoT of Storage, CRTS)单元,被配置为在受保护的存储器中存储完整性度量。THSM还可包括类似于在TPM或MTM中找到的报告可信根(rootof trust for reporting, RTR)的报告核心 RoT (core RoT ofReporting, CRTR)单兀，被配置为向外部挑战者报告THSM的完整性测量。因此，THSM在可信测量、存储和报告方面可有效地提供类似于TPM或MTM的能力。THSM还可包括实现多个可信利益相关者(stakeholder)引擎的能力。此外，THSM可被配置为实现各个多个利益相关者可信子系统。因此，THSM可类似于由TCG移动电话工作组(MPffG)规范定义的可信移动电话。THSM可被配置为使用例如在此描述的核心RoT能力来建立多个内部“利益相关者域”。利益相关者可以是THSM设备制造商(DM)、THSM设备所有者(DO)或THSM设备用户(DU)。DU可与DO相同，或者可与DO不同。每个THSM可以有多于一个的DU。利益相关者还可以是由DO特别租用或所有的域的不同远程所有者(R0)。例如，诸如MNOUMS服务供应商、非3GPP接入网运营商或增值应用服务供应商这样的第三代合作伙伴计划(3GPP) PLMN运营商可以是利益相关者。一些域可以是强制的，在该情况下，它们可在制造THSM时被预配置。例如，DM的域可以是强制的，它可根据预配置文件在引导时被建立或加载。DO域也可以是强制的，它在预提供的配置中得以建立。可选地，该域可根据下载的配置文件来建立。除了 DM的域外，域在它们可被域的所有者“认领”并“所有”之前将经历远程获取所有权(RTO)过程。在特定的域经历RTO过程之前，用于非指定所有者的“原始”域可存在。在该情况下，没有为该域认领的特定所有权。在THSM上的域可通过THSM-ME接口与ME通信和交换信息。例如，域可在启动或RTO过程期间与ME通信。需要保护在THSM-ME接口上交换的数据。可需要通过THSM-ME接口的所有通信的完整性保护。例如，完整性保护可使用诸如预提供的临时密钥或通过使用认证密钥交换机制交换的密钥这样的加密密钥。加密密钥可以是对称的(例如Ktemp_I)或不 对称的(例如由THSM用于完整性的公共或私人密钥Kpub/priv_THSM_temp_I和由ME用于完整性的公共或私人密钥Kpub/priv_ME_temp_I )。临时密钥可被用于接口的保护。例如，临时密钥可与有效期相关联，或可被使用一次或预确定次数。通过THSM-ME接口的通信的保密性还可使用加密措施来提供。预提供的临时密钥或通过使用认证密钥交换机制交换的密钥可得以使用。加密密钥可以是对称的(例如用于加密的Ktemp_C)或不对称的(例如由THSM用于加密的公共或私人密钥Kpub/priv_THSM_temp_C和由ME用于加密的公共或私人密钥Kpub/Driv_ME_temp_C)。为了简单起见,在此描述的RTO方法和设备涉及使用预提供的对称临时密钥。然而，本领域的技术人员将意识到可使用其他密钥实现，而不超出本申请的范围。可提供禁止在THSM-ME和RO间明文(in the clear)传递的消息的重放攻击。通过THSM-ME接口发送的每个消息可通过使用临时数(nonce)拥有保鲜质量(freshnessquality)。为了简单起见，在此描述的RTO协议可包括通过ME-THSM接口交换的所有消息的防重放保护；然而，本领域的技术人员将意识到可使用其他接口保护配置，而不超出本申请的范围。可将签名应用于哈希。例如，哈希可由SHA-X算法来产生。可信第三方可使用与THSM相关联的证书(CertTSIM)、私人-公共密钥对(例如KTSIM_PHv和ΚΚΙΜ_Μ)来证明。可信第三方还可使用与网络相关联的证书(CertlfflX另一组密钥(例如!^,^和ΚΚ()_Μ)来证明。这些证书可被存储在分配给正在讨论的域的受保护存储器中。公钥Κ.-可被THSM平台，特别地TSM，用来验证来自RO的签名或加密发送给RO的消息。密钥K.PHv可被网络用于签名目的和解密由TSIM使用相应的公钥加密的消息。公共-私人密钥对KTSIM_Pub和KTSIM_Mv可包括类似的功能，除了交换TSM和RO的角色。可替换地，在RO和TSIM两者处可有用于加密和签名的分离密钥对。密钥对KRO-Priv和KRO-Pub以及KTS頂-Priv和KTS頂-Pub可取决于由所有者、用户或两者选取的特定网络服务。诸如RO这样的每个服务供应商可为在与该供应商相关联的THSM上的每个域具有它自己的经证实的公共-私人密钥对。选取的服务可确定使用哪组密钥对。例如，公共私人密钥对组可由选取的服务供应商和在THSM上关联的域来确定。可没有使用密钥对的协商。公共或私人密钥对可由服务供应商来确定，并且可与THSM子系统或域紧密地关联。THSM TDiw可配置“系统级域管理器”(SDM)。SDM可保护地存储包括“系统级域策略”(SDP)的预配置文件。SDM可根据SDP为THSM建立或加载RO的域。SDM可被包括在DO域的原始配置中。SDM可使用预配置的SDP来确定应当建立哪些其它域以及以何种顺序。代表并当由RO域请求时，SDM可准备并提供(furnish) THSM平台环境概要(THSM Platform Environment Summary, TPES)和 THSM 平台完整性证明(THSM PlatformIntegrity Attestation, ΤΡΙΑ)。TPES可描述关于THSM最当前“环境”的概要信息。这样的信息可包括在THSM上当被与机密性和独立性相关的各个域策略调整或允许时域的数目和概要特性，和在THSM上可用于通信和与请求的域共享的功能或资源的任意剩余资源。TPIA可包括在THSM —个或多个域上的完整性证明的集合。TPIA还可包括用于支持所述域的平台的完整性证明。TPIA可被用来向诸如对为在THSM上的原始域执行RTO过程感兴趣的RO这样的外部验证者证明感兴趣域和支持那些域的平台的可信状态。RO或RO的域(TDkq)可向SDM请求ΤΡΙΑ。SDM可根据SDP满足或拒绝该请求。SDM还可与THSM的诸如服务人员这样的物理存在的设备所有者交互以交互地识别应当建立的其他域和以何种顺序。并且，SDM还可请求用户的域与THSM的物理存在的用户交互以为即将建立的域和建立顺序提供输入。该信息在域建立过程中可被用作输入。THSM当它为RO的域执行RTO过程时可被配置为在完成远程获取所有权协议之前达到四个不同的系统状态。THSM Pre_引导系统状态可指示THSM还未“上电”。THSM_TDdm_加载_完成系统状态可指示在THSM上的DM域已建立或者在THSM上电后作为第一步骤已加载。THSM_TDdq_加载_完成系统状态可指示DO的域已建立或已加载至可用的最新配置。如果DO的域自己从未经历RTO过程，或者“RT0后”配置，该“可用的最新配置”可以是“原始”配置。DM的域可建立或加载DO的域。在DO的域经历至少一个RTO过程前，DO的域可位于“原始”状态，并且不能由任意特定的DO认领或所有。“原始”域可包括“框架(shell)”。第一次建立或加载DO域时，“可用的最新配置”(在此和之后被称为最新配置)来自于预配置的文件。可选地，如果“最新配置”由RO域的RTO过程引起，在THSM上的特定域可能已经历远程获取所有权协议至少一次，并且远程所有者可能已获得TSSro的所有权。这可指示在远程获取所有权完成时，已在平台上配置的可信子系统。在到达该状态时或之前，特定RO可开始执行其他任务。THSM_TDKQ_加载_完成系统状态可指示RO的域(TDkq)已被建立或加载到可用的最新配置。如果RO的域自己没有经历过RTO过程，该“可用的最新配置”可以是“原始”配置，或者可以是“RT0后”配置。DM的域可建立或加载RO的域。在DO的域经历至少一个RTO过程前，DO的域可处于“原始”状态，并且可不由任意特定的DO认领或所有。“原始”域可包括“框架”。第一次建立或加载RO的TD时，最新配置可来自于预配置文件。可选地，如果最新配置由用于RO的TD的RTO过程引起，在THSM上的特定TD可能已经历了 RTO协议至少一次，并且RO已获得了 TDkq的所有权。这指示在RTO完成时，已在平台上配置的可信子系统。在达到该状态时，特定RO可开始执行其他任务。如果RO的TD(TDeo)是MNO的TD，则到了这个阶段，MNO的TD可提供在该TDkq上实现的最终可信订阅身份管理(TSM)功能。可替换地，系统级域管理器(SDM)可在DM的TD而不是DO的TD中实现。在向DM的TD提供适当的授权数据后，DO可使用由DM的TD提供的SDM执行创建、加载和其他管理在THSM上各种远程所有者TD的任务。THSM系统引导序列和该例的RTO过程序列的细节可不同于在此描述的，但在本申请的范围内。用于该例的引导和RTO过程，以及DO或DO的TD可如何使用由DM的TD提供的SDM的描述，例如哪类授权数据可被提供(和它可被如何提供)可类似于在此描述的。例如，实现为智能卡的THSM可包括卡管理者，具有支持由诸如全球平台这样的标准指定的卡管理器功能的功能，其负责代表卡发行者管理在卡上的安全域。卡发行者可类似于DM，并且可卡管理器可包括SDM功能的一些。因此，卡管理器可类似于在DM的域中保持的SDM。 在第一实施例中，ME可被配置为提供安全引导能力，并且THSM可被配置为提供全MTM能力。在上电时，ME可安全地引导。例如，ME可执行非TCG “安全”引导，例如根据开放式移动终端平台(OMTP)可信执行环境TRO规范。在引导时，THSM可例如通过引导第一次建立THSM DM的域(TDdm),然后建立“原始” THSM DO的域(TDdq)。如果DO和DU是分离的，THSM还可建立THSM DU的域。THSM TDdm可初始地使用保护在THSM中的预配置文件来建立，并在引导时变得可用。THSM TDim可大部分使用预配置文件来建立，但是还可使用RTO过程来建立。THSM TDm可经历RTO协议。该协议可采用与用于RO的域(TDkq)的RTO协议相同的形式，或者它可以是不同的协议。如果THSM TEiw未经历RTO协议，获取所有权所需要的证书被预配置和预提供。THSM TEdq可由DO所有。DO可以是真实的人类用户或所有者、诸如企业或其信息技术(IT)部门这样的组织、或远程网络运营商(NO)。THSM TDU可使用在THSM TEdo中预提供的预配置文件来建立。THSM的RO域可根据THSM DO的系统级域策略(SDP)首先被建立为“原始”配置。THSM的RO域可与RO经历RTO过程。DO的域的SDM可根据SDP管理用于RO的域的RTO过程。如果THSM的RO是ΜΝ0，这样RO的域是MNO的域，这样的MNO的域还可经历定义以下的协议:i)如何能将MNO的域注册到MNO ；ii)如何能将订阅证书(例如US頂或MCM秘密密钥Ki和国际移动用户身份(MSI)等)从MNO的移动网络滚降(roll-off)到在THSM上的MNO的域并且在这被提供；和iii)如何将一次下载的订阅证书、处理或使用这样的证书的功能或者甚至提供订阅管理功能的域从一个设备迁移到另一个设备。这样的协议可分别被称为i)注册协议；ii)证书滚降协议；和iii)迁移协议。THSM的RO域在RTO完成后可向RO证明和报告它自己的配置。在第一实施例中，其中ME的可信建立机制可受限于执行上电时间安全引导过程，ME配置可不是可由ME或THSM进一步证明的。可替换地，ME可在它完成安全引导时执行自完整性检查并产生完整性值(IV)。ME可根据诸如UMTS安全模式特征这样的安全性模式特征使用空口(OTA)方法来安装诸如用于机密性和完整性保护的引擎这样的软件。可选地，当RO的域的所有权通过与RO的RTO过程得以获取时，RO可下载或相反引入并证明其自己的关于它可接受的THSM的条件的策略，以便允许RTO过程完成。RO可被配置为当RO同意整个THSM的条件、THSM其他域的建立结构的条件或两者时，在THSM平台上为它自己“把关(gate-ke印)”安装域。因此，作为RTO过程的一部分，RO可与DO的域的SDM交换一些信息以识别DO的条件或“域建立计划”，并仅在这样的条件对RO是可接受的时才允许RTO过程完成。RO域还可具有权限并可被配置为执行功能来执行这样的权限，以允许在它已初始地同意在THSM上建立它的RTO完成RO的域后可更新或通知它在THSM条件或域建立计划方面的任意改变。RO的域特定策略(DP)可指定需要通知RO的域的变化类型。SDM可为与预定RO相关联的RO域发起RTO过程。这可在RO的域处于“原始”、“未认领”状态时发生。例如，RO的域可由DO的域和DO命名为“域X” (TDx)0该域可在还未认领框架或“原始”条件下得以创建。在这样的情况下，SDM可代表域TDx发起RTO过程，从而它联系预定的R0。一旦该RO经历了用于该域的RTO过程，SDM可不再为该相同的域发起另一个RTO过程。替代地，RO自身可在该特定的域上发起另一种类型的获取所有权过程。这样的获取所有权过程可不同于迄今指定的RTO过程，前者不由设备所有者/用户或设备本身本地地发起，而由远程所有者远程地发起(可能在SDM或DO的域的协作下)。DO可保持删除、销毁或断开连接任意RO域的权利，甚至在RO的域已经历了 RTO过程并因此由适当的RO “认领”或“所有”后。然而，总的来说，DO可能不能获知存储在RO的域中的秘密，或者获知在RO的域中执行的临时计算或功能。在SDM为原始RO的域发起RTO过程前，它可查找用于域建立的可用资源列表。该列表可由DM的域保持。SDM还可查找“期望域”列表。期望域列表可保持在DO的域TDdq中。SDM还可查找系统域策略(SDP)和THSM和平台的已有域的当前状态(包括可信状态)，这可用于来自DM的域的查询。该信息可被用来决定用于特定RO的域的期望RTO在可用资源和策略下是否可能，在期望的域列表下是否期望，并且在THSM的已有域的状态(例如可信状态)下是否允许。可替换地，远程所有者的域(TDkq)可开始和管理在其自身上的RTO过程。在RTO过程前，TDkq可以是未认领的并且处于“原始”条件。“原始”RO的域TDkq可包括使它在引导后就能联系其预定RO并自主地开始RTO过程的预配置功能。可选地，RTO过程可在获得TDeo提示THSM的所有者或用户并然后从THSM的所有者或用户获得“点头”以发起RTO过程后开始。创建并且由(目标)远程所有者R0_目标期望所有、但还未通过RTO过程所有、仍然处于“原始”状态的域TD此后被称为TDkj目标。在另一个可选方案中，TDkq可能已使用特定的RO经历了至少一个RTO过程，并且它当前可由RO “认领”或“所有”。是否允许该DO或它在THSM上的代理(例如域TDdq)为相同的RO的域开始另一个RTO过程可取决于RO的策略和/或SDM的策略。SDM可检查RTO的目的，并可基于在它策略结构中的可允许的目的或活动决定是否允许这样的新RTO继续进行。通过远程信令，该RO或RO的域(TDkq)可使用相同的RO为该域发起另一个RTO过程。这可在RO需要更新配置文件、安全策略或可执行代码时在TDro中发生。RO可下载更新。更新可通过非RT0、通过空中(OTA)更新过程来完成。然而，在一些情况下，RO或TDlffl可使用另一个RTO过程来更新一些文件或代码。
当“原始”TDkq为它自己发起RTO过程时，它可能需要取决于SDM查找可由DM的域保持的、用于域建立的可用资源列表。TDlffl还可依赖SDM来查找可保持在DO的域中的“期望域”列表、系统域策略(SDP)和包括可信状态的THSM的已有域的当前状态，这可用于来自DM的域的查询。该信息可被用来决定用于特定RO的域的期望RTO在可用资源和策略下是否可能，在期望的域列表下是否期望，并且在THSM的已有域的状态或可信状态下是否允许OSDM策略可在用于DO的获取所有权(TO)过程期间配置。该过程可通过在引导过程期间执行的预存在配置结构本地地发生。DO TO还可远程地发生；如在此说明那样，除了用于阻止或允许RTO的SDM检测不能在用于DO的域的TO过程的情况下调用之外，该过程可类似于旨在使用不是设备所有者域的域的获取所有权的RTO过程，不像在用于非设备所有者远程所有者的RTO情况。SDP可在可本地执行(D0物理存在并与设备交互)或以涉及与远程设置的设备所有者的交互的方式的DO获取所有权过程期间来建立。SDP的成员是对所有非DO域通用的可允许活动或目的的列表。该列表还可包括指定不允许获取域的所有权的远程所有者的附加条目。在第二实施例中，ME可具有安全引导能力和可取决于THSM执行一些其引导代码的一些“安全引导”检查。ME可执行非TCG安全引导，如OMTP TRO安全引导。THSM可被用来检查ME的完整性，以便“利用”提供给该THSM的物理保护。例如，ME可向THSM发送原始数据，并且THSM可检查ME的完整性。出于THSM为ME做完整性检查的目的，WTRU可实现机制以提供ME和THSM之间的安全信道、能至少被信任以安全方式向THSM发送代码或数据并例如通过安全信道与THSM安全通信的ME的“一些可信赖”部分。THSM还可代表ME将一些ME的代码存储在其中。这些代码可在引导过程期间被加载到ME中。THSM可起执行ME完整性检查或存储和加载用于ME的一些代码的作用，因为在它自身和ME之间，THSM由于基于硬件的保护机制可能是更可信赖的环境。在第三实施例中，THSM可为ME的代码执行一些安全引导或完整性检查。这对RO可能是可证明的。ME可包括单一的可信实体、移动可信环境(MTE)。MTE可以是在ME内比ME的剩余部分更可信的逻辑独立的环境。MTE可采用诸如基于硬件的可信根(RoT)这样的基于硬件的保护机制。在加载ME的基本代码后，MTE可被加载。MTE在它可向外部验证者提供可信证据(例如使用可信的签名密钥)的角度上来看可以是可信的实体。虽然MTE是可信实体，但它可能不处理是与真实TPM相关联的测量程序代码的测量核心可信根。由于作为上电设备，ME提供在其上THSM可操作的“平台”，ME在此可被称为ME平台。MTE可被配置为收集ME平台的完整性证据，并将在通过使用保护在MTE中的签名密钥提供的至少完整性保护下的证据转发给在THSM中的可信实体，例如引导后SDM。由于THSM完成TCG TPM或类似MTM的完整性测量和验证功能，THSM还可完成TCGTPM或MTM的能力以执行“扩展”操作，从而当前软件的测量与指示软件历史加载状态的平台配置寄存器(PCR)的当前值合并以计算PCR的新值。THSM还实现机制以将摘要值(其可能是软件组件的完整性原始测量值)或PCR的值转换为可被用来向THSM证明ME平台的可信度的另一个完整性数据。为了简单起见，此后ME平台完整性的收集数据可表示为ME平台完整性数据(MPID)。THSM可以不为ME或MTE维护域。THSM可以能够从预配置文件或通过与DM的实时联系获取相对其它检查计算的摘要的证明度量。如果确定匹配，可推断ME的证明。MTE还可以能够收集描述ME的“环境”的数据，例如模型号码、它希望为谁以及执行哪种类型的服务。为了简单起见，ME的这样的环境描述此后可被表示为ME平台环境概述(MPES)。THSM DO的RO可证明其自身的域和ME平台两者的完整性。该证明可类似于在M2M环境中的可信环境(TRE)的M2ME有效功能，如在PCT专利申请WO 2009/092115 (PCT/US2009/031603)中说明那样。ME可基于它自己或基于来自THSM的请求连续地向THSM报告它的变化的状态。在第四实施例中，ME和THSM两者可被配置为执行全MTM功能。ME或其域的可信性可由ME或这些域直接地证明。ME的RO域可以在持续或根据请求的基础上向RO报告它的状态。THSM的RO域可类似地起作用。由ME的RO域和THSM的RO域的报告可以是同步的，还可以互相绑定。这些报告还可使用协议流的通用会话来做出。在该实施例中，ME可被配置为如在此描述的THSM的若干功能。ME可包括它自己的一个或多个域，每一个与特定的所有者相关。如同THSM这些域可包括可信实体的属性。这样的域可包括设备制造商(DM)域和用户(U)域。这些域可以类似于THSM的方式来预配置。为了区分在ME上的域和在THSM上的那些域，可用指明域自身的字母作为ME的下标。因此用于DM的域可表示为MEdm。在THSM上的设备所有者(DO)域可监测在ME侧上的域以确保符合驻留在SDM中的系统级域策略(SDP)。通过在ME中创建每个域，与SDM的通信可使THSM DO获知每个新的域配置。ME可包括可以类似于在THSM中的SDM的方式起作用的域管理器，其可被称为平台域管理器(MEpdm)。MEpdm可驻留在MEdm中，并且初始地可具有由DM定义的预配置。初始配置在目的和功能方面可类似于在THSM上的TDdm的初始预配置定义。MEdm安装可被安排在TDm在THSM中实例化后发生。当通知SDM MEdm安装完成，取决于系统级限制，它可施加源于或反映SDP的策略限制。SDM可维护在THSM上若干远程所有者和它们的域的列表。如果将在属于在该列表中所有者其中之一的ME上创建和管理域，则SDM可具有对在ME上这些域的创建和管理的某些控制。在该实施例中，ME可具有全MTM功能。因此它可包括测量核心可信根(CRTM)、报告核心可信根(CRTR)和存储核心可信根(CRTS)。在THSM上，域订阅功能可由TSM功能管理。如果两个域(例如一个在THSM中另一个在ME上)用于相同的R0，在THSM上域可被用于需要非常高级的安全和/或信任的RO的功能或服务，例如订阅功能及其用于远程所有者的管理，而在ME上的域可被用于可能仍然需要特定等级的安全或信任的相同RO的功能和服务，但不用于从THSM上的域期望的功能和服务所需的相同等级。不是根据预配置文件建立的域可通过远程获取所有权(RTO)过程来配置。用于ME、用于典型的远程所有者(RO)的RTO可类似于用于THSM的那些。在ME上的域可不旨在被用于远程所有者的订阅管理。替代地，它们可旨在被用来为用户、所有者、远程所有者或其任意组合的利益执行计算和资源集中任务。例如，这些域可执行对在THSM上相当有限的资源来说不可行的任务。替代一旦创建就保持在ME中直到显式地删除，在这些域可类似于虚拟化地在引导或甚至在运行的会话上并可在临时、基于会话的基础上被用于它们特定的目的的意义上，在ME上的域还可更“短暂”或“临时”。在ME上的域的远程所有者在请求和获得资源分配或在由其他远程所有者所有的ME上的其他域或在THSM上这样的其他域的其目的的证明概述方面可以不具有相同级别的特权。为移动可信平台的设备所有者提供一种方法来购买未由特定PLMN (也被称为MNO远程所有者)预分配和初始化的“空白”WTRU以允许无限制地移动网络运营商的任意选择是有益的。该方法可包括执行诸如UMTS设备(UE)这样的WTRU的诸如RTO过程这样的获取所有权过程，其中远程所有者是期望订阅其应用的PLMN运营商或其他类似的运营商，并且建立、定制和完成诸如是在THSM内部的域并且可由正确的RO认领的RO的域这样的子系统。如前所述，可信硬件订阅模块(THSM)可被建立为或在它内包括防篡改硬件组件模块，其包括用于PLMN运营商的订阅应用和其他增值服务的功能，例如IMS订阅身份模块(ISIM)0 THSM可以是从WTRU可移除的或不可移除的。符合全球平台标准的WCC或智能卡的增强版本可以是这样的THSM的一个实施例。获取所有权操作建立运营商或PLMN和WTRU之间的基本“可信”关系。该过程可使用一般“可信”软件配置来安装和实例包括“原始”引擎的“空白可信”TSIM。如果该平台能够提供它的“原始”配置和安全属性的证据，该子系统可由远程所有者“证明”。图3和3A图示了如特别地与在此描述的第一实施例有关的该过程的示例。远程所有者可以是提供用户请求的服务、建立适当安全策略和执行符合该服务的设备配置的移动网络。该协议的所有者可以是本地的。图3和3A图示了示例引导和RTO过程。ME可具有预引导状态304。设备在306处可被上电。在308处，ME可执行“安全”引导(非TCG)。ME可达到基本代码引导状态310。另外，在312处，ME可向THSM发送“基本引导完成”信号。在314处，ME可根据基础配置加载附加的软件。在316处，ME引导可以是完成(应用加载)状态。在318处，ME可向RHSM发送引导完成消息。THSM可处于预引导状态330。在334处，THSM可加载TEDM。THSM可在配置期间接收预配置的文件，336图示了预配置文件的使用。在338处，THSM可达到“TDdm建立”状态(基本配置状态)。例如，如在340处所示，THSM可接收关于RO域的可用资源的DM的说明。在342处，TDdm可建立TDdq (TDdq可包括SDM)。在344处，THSM可使用保存的配置文件来例如建立域(由于以前的RTO可以是可用的)。在346处，THSM可达到TDdq建立状态(包括SDM)，其中TDdq可以是未认领的或者可被DO认领。在350处，TDdq可建立TDu。在352处，输入可从DO得以接收。在354处，THSM可达到TDu建立状态，其中TDu可以是未认领或经认领的。在356处，THSM可从DO或DU接收输入(例如通过文件或交互指定DO可能想建立哪些域)。在358处，TDim可建立RO域TDkq。现在参考图3A，在362处，THSM可达到TDkq建立的状态，其中TDkq可以是未认领的或已由RO认领。在366处，SDM可请求TDkq执行RT0，或者TDkq可通知(或请求)SDM它将执行RTO。在370处，TDeo可开始RTO过程。在380处，有代表性的远程所有者(RO1...ROn)。在384处，信息可得以交换。例如，作为与远程所有者的RTO过程的一部分，交换的信息可包括以下的一个或多个:证明、配置、策略、目的、证书(在此被称为CERT)、密钥和到TDkq的SP0可选地，RO可在RTO过程期间找出DO的‘环境’或‘域计划’，并且如果它同意该环境/计划，可允许该过程继续。在372处，THSM可为各个域捕获/更新系统配置、保存该信息并将该信息存储在THSM中的非易失受保护存储器中。在374处，THSM可达到RTO后TDkq的状态。参考第一实施例，由DO的RTO形成的策略域可包括影响后续RTO过程域配置的约定。RTO协议可适用于非DO R0。域特定策略(DP)可在RTO执行期间得以下载。用于DO的DP可不同于用于RO的DP，即这样的DP (DPdq)可包括旨在用来建立和维护在THSM中可远程所有的其它域的系统级域策略(SDP)。在RTO过程之前或期间，域的RO可从可信第三方(TTP)获取用于支持THSM所有域的所有或子集的硬件或软件的配置和当前完整性状态的参考完整性度量(RMlffl),并且可被表达为:TTP — ROiRIMeo= {支持THSM域的HW/SW的配置和状态，和/或摘要值}。等式I在一些情况下，TTP可以能够为RO对验证其感兴趣的、THSM的HW和SW子集(包括域)提供RIMK()。可能需要多于一个的TTP来提供RIMlffl, RO收集它们并形成集合参考度量。正在经历RTO过程的THSM的目标域(TDkj目肖)可被配置为在THSM的SDM的帮助下向它的RO提供经签名的THSM平台完整性证明(ΤΡΙΑ)。TPIA可以是在THSM上域的各个完整性证明的串联和/或在目标域的RO允许域TDkq目肖的RTO过程完成前对验证其感兴趣的设备的平台完整性证明。THSM的目标域(TDkq目标)在THSM的SDM的帮助下可以能够向它的RO提供经签名的THSM平台环境概要(TPES)。TPES可包括THSM环境的概要，包括在THSM上其它域的数目和特征以及为了 TEro _利益而被使用的任意剩余的可用资源，例如THSM平台的资源，并且可表达为:TDeo 目标—R0: [ΤΡΙΑ]签名的 | | [TPES]签名的。等式2可替换地，替代向RO报告可包括感兴趣的所有域间的所有证明的TPIA，SDM可提供可以是半自主的声明的、它已检查了所有这样的域的完整性并认为它们是可信的的经签名的声明。该证明可包括域集合完整性的本地验证。本地验证者可包括在THSM上每个域的有效配置列表。SDM可向该本地验证者提供可通过AIK签名的ΤΡΙΑ。各个完整性证明的验证可要求它们与在配置列表中相应的本地存储的条目匹配。SDM可执行完整性测量、登录和扩展至构建TPIA必须的PCR，并证明每个域的可信性。这些测量及它们的扩展可由验证者用来建立用于请求域的证明已发生。一旦完成验证，本地验证者可准备相关证明已发生的声明，并使用来自经证明的密钥对(K签名―验证—_，K签)的私人密钥签名该声明。包括与经签名的TPES串联的、经签名的验证声明的消息可被表达为:TDRq—目标—R0:[验证尸明]κ签名—验证jrivl I [TPES]签名的。等式3在从TTP接收到并从TDkq目标接收到经签名的TPIA和经签名的TPES后，RO可验证TDm目肖是否在RO找到同意继续RTO过程的目的，并且支持TDm目肖的硬件或软件以及RO感兴趣的任意其它域处于其完整性对RO来说是同意的的环境中，例如在THSM中的环境。用于原始域的RTO协议可在上电时开始。可选地，RTO协议可在上电后开始。当THSM的安全引导完成，结果的域建立可由配置文件来确定，配置文件的内容反映了初始的(例如第一次上电时)平台状态或当设备以前被引导然后断电时平台以前的状态。因此设备可能处于包括TDdm建立、“原始”TDdq和“原始”TEu状态的基础配置。可选地，WTRU可处于随后的配置，例如基于以前引导和域建立或RTO过程、包括TDdm、“RT0后” TDdq和“RT0后” TEu状态的配置。在另一个可替换方案中，WTRU可处于还包括扩展的附加域组的配置中，例如在图2中所示的那些附加域。这样的域可在以前的上电会话期间已得以创建，并且所有权可已由各个所有者通过在以前会话期间发生的以前运行的RTO过程获得。参考第一实施例，作为平台的安全和可信实体，THSM可控制获取所有权协议并确定ME是否处于初始可信状态。预提供的密钥Ktemp可被用来保护通过THSM-ME接口发送的消息的机密性。为了简单起见，经加密的消息A可由{A}表示，消息的签名可由[A]表示，并且符号IDme和IDthsm分别代表ME和THSM预提供的临时ID。RTO开始可包括TDm的SDM为旨在在与那个特定的RO的RTO过程后由RO认领的“未认领”、“原始”的域发起RT0。用户可发起ME平台的上电。在上电时，ME可执行在其中它变为“活动的”的基本代码的“非TCG”“安全引导”，例如由OMTP定义的引导。作为非TCG安全引导过程的一部分，ME基本代码的完整性可自主地得以检查。参考第三实施例，移动可信环境(MTE)可在基本代码引导过程完成后被加载。通过使用经签名的密钥，MTE可证明ME平台配置的完整性。在加载基本代码后，ME可周期性地向THSM发送信号，指示它已被弓丨导到最小安全设置。由于THSM的DO的域在发送该信号时可能还未被引导，ME可发送具有不同随机临时数(nonce_l)的相同信号，直到它接收到从THSM的DO的域返回的确认信号。该信号可被表达为:Def)报文_1= “ME基本代码引导完成” MSGI |临时数_1 IDmeME — THSM 的 TDdo:报文 _11 | [SHA-X (报文 _1) ]Ktemp等式4参考第三实施例，信令可被表达为:Def)报文_1= “ME基本代码引导完成以及MTE 加载” MSG | | 临时数 _11 | IDmeME — THSM 的 TDdo:报文 _11 | [SHA-X (报文 _1) ]Ktemp等式5THSM可“安全地”引导，使得THSM可已加载了它的DM的域、“原始的” DO的域、用户的域和RO想所有但可能还未所有的至少一个“原始的”域。同样地，在加载这些域时，域代码状态的每一个的完整性可参照每一个域的参考完整性度量(RM)得以检查。该检查可根据诸如TCG MPWG规范这样的规范来执行。设备所有者的域(TDm)可被加载到“预配置”的配置，或者如果它以前已经历了用于该DO的RTO过程，则加载至“最后保存(前RTO后)”的配置。当加载时，DO的域可包括系统级域管理器(SDM)。SDM可监视属于其它远程所有者(RO)的域的建立或加载以及维护。SDM可查找来自DM的域的“可用于域的资源列表”，并且还可查找TDiw保护的系统级域策略(SDP)0在引导时，SDM还可向THSM的人类用户或人类所有者(DO)提示“可被建立的域的列表”，并请求输入以选择将建立的域。在从用户或所有者得到输入后，SDM可继续以仅建立在来自人类所有者或用户的响应中指定的那些域。SDM可与为这些事物提供用户接口( UI)的ME交互。在安全引导后，THSM的TDm可向ME发送“THSM引导完成”消息。在该消息内，TDdq还可包括域当前状态的外部可揭示(externally disclose-able)概要,例如加载的RO的域的数目和名称。TDiw的SDM可确定和执行域当前状态的概要的外部揭示的程度，并且这样的确定可基于在THSM和/或ME上的SDP和/或这些域的域特定策略(DP)。TDdq可通过包括作为SHA-X完整性检查代码输入的一部分的、接收的临时数_1来确认在该消息中报文_1的接收，其可被表达为:Def)报文 _2= “THSM 引导完成”MSG | | 临时数 _2 | | IDthsmTDdo — ME:报文 _2 | | [SHA-X(报文 _11 | 临时数 _1) ]Ktemp—工等式6诸如IDthsm这样的THSM的ID可被保存在DM的域TDdm中，并且可等同于TDdm的ID。DO的域TDim可从TDdm获取它以构造等式6中的报文_2。响应于“THSM引导完成”信号，ME可继续完成其引导过程。在完成其引导过程后，ME可向THSM的TDiw发送可被表达为下式的消息:Def)报文_3= “ME引导完成” I I临时数_3ME — TDdo:报文 _3 | | [SHA-X (报文 _3 | | 临时数 _2) ] KtempJ等式7以下内容应用于DO的域的SDM发起和监视用于当前“原始”RO的域的RTO过程的情况。在TDm从ME接收到报文_2之后，RTO过程可被发起。在TDm内的系统级域管理器(SDM)可通过请求“原始”目标RO的域(TD*K()目；g)开始RTO过程来发起RTO过程。SDM可自主地或在由人类所有者或用户提示时发起该过程。SDM可向TD*ro发送请求以开始用于该目标RO的RTO过程。该请求可包括谁是目标RO (例如RO的ID或网络接入标识符(NAI))和当前请求的有效时间。无论是作为该请求的一部分还是作为域该请求一起发送的单独报文(package)，SDM还可发送“允许的RO的域的SDP的条件”(此后称为SCARD)的列表。SDM还可在希望的RTO过程后当它完成时发送用于TDro的“目标域计划”。该消息可被表达为:Def)报文 _4a=请求_to_开始_RT01 I SCARD | |目标域计划| |临时数_4SDM — TD*K。—目标:报文 _4a| | [SHA-X (报文 _4a) ]κ签名—SDM。等式8响应于接收到报文_4，TD*eo目肖可接受或拒绝该请求。该请求可被解释为允许RO获取RO的域的所有权的“意向”。TD*eo目标可基于预配置标准或已加载的它自己的RO的域策略的“原始”版本来做出决定。TD*ro 可被配置为无实际目标远程所有者参与并为其利益地检查请求_to_开始_RT0、SCARD以及目标_域_计划，并做出这样的决定。这可被表达为:Def)报文 _5a=0K (或不 _0K) _to_ 开始 _RT01 | 临时数 _5a`_] TDV目标一SDM:报文 _5a| | [SHA-X (报文 _5a) | | 临时数 _4]κ签名―TD_—目标等式9“原始”目标RO的域(TD*kq目标)可发起该过程。TD*kq目标可提醒SDM它的用于RTO过程的“最终域计划”。SDM可准许或拒绝该请求。如果SDM准许该请求，TD*K(^g够开始RTO过程，这可被表达为:Def)报文_5b=意图_to_开始_RT01 |最终域计划| |临时数临时数_5b
权利要求
1.一种在包括一个或多个设备的系统中的方法，每个设备包括一个或多个域，每个域包括在所述一个或多个设备上执行的计算资源的配置，并且每个域被配置成能够为本地位于或远离所述域的域所有者执行功能，其中每个域能够具有不同的所有者，并且其中至少一个域由所述一个或多个设备的用户所有，并且其中至少一个其他域由远程所有者所有，所述方法包括: 接收指示迁移已被请求的消息，其中第一域和与所述第一域相关联的证书中的至少一者从源设备被迁移到目的地设备； 评估从所述源设备接收的源信息和从所述目的地设备接收的目的地信息； 基于所述评估确定所述迁移可接受；以及 发送指示以继续进行所述迁移。
2.根据权利要求1所述的方法，其中: 所述源信息包括以下的至少一者:源策略、源配置、源标识和源完整性指示符；而所述目的地信息包括以下的至少一者:目的地策略、目的地配置、目的地标识和目的地完整性指不符。
3.根据权利要求1所述的方法，该方法进一步包括: 评估远程所有者策略；以及 基于所述远程所有者策略确定所述迁移可接受。
4.根据权利要求1所述的方法，其中所述源信息指示源系统级域管理器已批准所述迁移。
5.根据权利要求4所述的方法，其中所述源信息进一步指示所述迁移未违反与所述第一域相关联的第一策略和与所述源设备的第二域相关联的第二策略，其中所述第一域由第一远程所有者所有，而所述第二域由第二远程所有者所有。
6.根据权利要求1所述的方法，该方法进一步包括: 接收指示所述迁移已得以完成以及所述源设备是否销毁了所述证书的源完成消息；以及 接收指示所述迁移已得以完成的目的地完成消息，其中所述第一域和所述证书中的至少一者在所述目的地设备的域上得以复制。
7.根据权利要求6所述的方法，其中: 所述源完成消息指示源系统级域管理器已验证所述目的地设备的状态；而 所述目的地完成消息指示目的地系统级域管理器已验证所述源设备的状态。
8.根据权利要求6所述的方法，其中: 所述源完成消息指示源系统级域管理器已验证所述目的地设备的完整性；而 所述目的地完成消息指示目的地系统级域管理器已验证所述源设备的完整性。
9.根据权利要求1所述的方法，其中所述消息指示所述迁移由用户请求。
10.一种系统,该系统包括: 一个或多个设备，每个设备包括一个或多个域，每个域包括在所述一个或多个设备上执行的计算资源的配置，并且每个域被配置成能够为本地位于或远离所述域的域所有者执行功能，其中每个域能够具有不同的所有者，并且其中至少一个域由所述一个或多个设备的用户所有，并且其中至少一个其他域由远程所有者所有，并且其中所述一个或多个设备中的至少一者被配置为: 接收指示迁移已被请求的消息，其中第一域和与所述第一域相关联的证书中的至少一者从源设备被迁移到目的地设备； 评估从所述源设备接收的源信息和从所述目的地设备接收的目的地信息； 基于所述评估确定所述迁移可接受；以及 发送指示以继续进行所述迁移。
11. 根据权利要求10所述的方法，其中: 所述源信息包括以下的至少一者:源策略、源配置、源标识和源完整性指示符；而所述目的地信息包括以下的至少一者:目的地策略、目的地配置、目的地标识和目的地完整性指不符。
12.根据权利要求10所述的方法，其中所述一个或多个设备中的所述至少一者进一步被配置为: 评估远程所有者策略；以及 基于所述远程所有者策略确定所述迁移可接受。
13.根据权利要求10所述的方法，其中所述源信息指示源系统级域管理器已批准所述迁移。
14.根据权利要求13所述的方法，其中所述源信息进一步指示所述迁移未违反与所述第一域相关联的第一策略和与所述源设备的第二域相关联的第二策略，其中所述第一域由第一远程所有者所有，而所述第二域由第二远程所有者所有。
15.根据权利要求10所述的方法，其中所述一个或多个设备中的所述至少一者进一步被配置为: 接收指示所述迁移已得以完成并且所述源设备是否销毁了所述证书的源完成消息；以及 接收指示所述迁移已得以完成的目的地完成消息，其中所述第一域和所述证书中的至少一者在所述目的地设备的域上得以复制。
16.根据权利要求15所述的方法，其中: 所述源完成消息指示源系统级域管理器已验证所述目的地设备的状态；而 所述目的地完成消息指示目的地系统级域管理器已验证所述源设备的状态。
17.根据权利要求15所述的方法，其中: 所述源完成消息指示源系统级域管理器已验证所述目的地设备的完整性；而 所述目的地完成消息指示目的地系统级域管理器已验证所述源设备的完整性。
18.根据权利要求10所述的方法，其中所述消息指示所述迁移由用户请求。
全文摘要
公开了允许用户发起从一个域到另一个域的证书迁移的系统、方法和手段。发起从第一域到第二域的证书迁移的请求可由用户发起(1a.)。远程所有者可接收指示迁移已得以请求的消息。由远程所有者接收的消息可以是源和目的地设备已执行内部检查并确定迁移可继续进行的指示。远程所有者可评估从源设备接收的源信息和从目的地设备接收的目的地信息(6)、(6a.)、(6b.)。基于源信息和目的地信息的评估，远程所有者可确定该迁移是可接受的。远程所有者可发送指示以继续进行该迁移(7)、(7a.)。
文档编号H04L29/06GK103081432SQ201180022159
公开日2013年5月1日 申请日期2011年3月2日 优先权日2010年3月2日
发明者L·古乔内, I·查, A·施米特, A·莱切尔 申请人:交互数字专利控股公司