专利名称:给设备提供安全性的方法和装置的制作方法
技术领域:
本申请涉及给设备提供安全性。
背景技术:
随着机器对机器通信(M2M)的到来,电子健康、地理跟踪、家庭自动化和消费电子设备中的应用成为可能。许多这种应用需要将网络运营商的装备放置在用户端。这些装备和设备易受恶意攻击。为了打击这种恶意攻击,除了包括防火墙和病毒保护的其它形式的设备保护之外,这种基于用户端的装备还需要设备完整性验证。已经讨论了用于设备完整性保护的若干方法。这些方法包括安全启动(boot)——其中可信的执行环境加载并仅执行通过完整性验证(verification)的软件组件(component)。但是这些方法需要一组未经组织的测量(measurement),在这种测量的数量很大时管理起来变得很繁琐。因此,需要的是这样的方法和相关装置,有助于收集、分类并组织这些测量以有利于有效搜索完整性失败的组件。
发明内容
本文公开了用于生成验证数据的各种技术,包括一种用于生成可用于无线发射-接收单元(WTRU)的确认(validation)的验证数据的方法。WTRU可以具有一个或多个组件和一个具有多个安全寄存器的安全环境。根据一个实施方式,对于WTRU的多个组件中的每一个可以获得一个值,代表WTRU组件的测量。可以生成一个测量日志(ML),包含组件测量值的记录,其它的组件专用数据可以存储在WTRU上。可以根据针对每个组件的组件测量值生成验证数据,验证数据可以存储在可信平台模块内的一个或多个安全寄存器中。验证数据和ML可以被组织成树结构。包含验证数据的安全寄存器可以定义树结构的根。ML可以定义树结构的内部节点,包含在ML中的测量值可以定义树结构的叶。可以使用安全环境的安全扩展操作形成树结构。根据另一实施方式,可以获得代表WTRU组件的测量的值。可以根据测量值生成验证数据,验证数据可以存储在WTRU上安全环境内的寄存器中。测量值可以被存储在树结构中的一个叶节点处。可以在安全环境中执行一个或多个扩展操作以将存储在叶节点中的值扩展到所述树结构的根节点。根节点可以包括安全寄存器中的数据,生成的验证数据被存储在该安全寄存器中。根据另一实施方式,描述了一种对由无线发射/接收单元(WTRU)生成的树形(tree-formed)验证数据进行确认(validate)的方法。树形验证数据可以包括被组织成树结构的验证数据元(data element)、测量日志(ML)和组件测量值。验证数据元可以定义树结构的根节点。ML可以定义树结构的内部节点。组件测量值可以定义树结构的叶节点。树形验证数据可以在组织的树结构中接收。从接收的树形验证数据的根处的验证数据元开始,对树结构进行遍历(t r a V e r s e )。作为遍历树结构的一部分,在接收的树结构的分支(branching)节点和分支节点的孩子(child)节点的值可以与在参考树中相同节点位置的值进行比较。然后可以基于节点值的比较确定是对WTRU还是对WTRU的单个组件进行确认。根据另一实施方式,描述了一种方法,用于证实(certify)由无线发射/接收单元(WTRU)生成的测量日志(ML)的节点值。ML的值可以存储为包括根节点、内部节点和叶节点的树结构的节点。可以接收证明(attestation)分组,其指示将由子树证书授权(SCA)证实的节点值。节点值可以被识别为能够由SCA证实的节点值。可以创建与节点值相关联的清单(manifest),其包括与节点值相关联的确认信息。可以创建用于节点值的证书,其被配置为将确认信息绑定到WTRU的安全环境。证书可以随着清单一起发布,并提供给WTRU的 安全环境,WTRU将证书存储在其ML中。根据下面详细描述和相关附图,本文描述的系统、方法和装置的其它特性和方面
将变得清楚。
当结合附图阅读时,前述的发明内容以及下面详细描述将更好理解。为了说明本文描述的系统、方法和装置,在附图中示出了示意性实施方式,但是,本发明不限于所公开的具体方法和手段。在附图中图I示出了示例性长期演进无线通信系统/接入网;图2是图I的长期演进无线通信系统的示例性框图;图3示出了树形存储测量日志(SML)和验证数据的一般结构;图4示出了显示树形成的一个算法(算法I)的示例;图5示出了在右边沿的正确配置;图6示出了显示不完整树清除(cleanup)的一个算法(算法2);图7示出了深度3的不完整树的顺序形成/树分支;图8示出了树验证数据的最大容量安排,其中在叶处的测量值表示为m ;图9示出了树形SML中节点配置的分类;图10在2df个坏叶随机分布中坏的内部节点的期望分数,其中d=16 ;图11示出了 SML树中每一个基本三角形的值的正确配置;图12示出了算法I,用于找到线性哈希(hash)链中的第一个失败(failure)点;图13示出了 Huffman (哈夫曼)编码树的一个示例;图14示出了树修剪的一个示例;图15不意了最优树形验证系统图/系统图和相关通f目;图16示意了具有替代孩子链路的树,其中由一个模块表示的软件组件或功能使用另一个模块;图17示出了算法2——用于确定具有度量的二叉树的总体(population);
图18示出了算法3——用于确定使用TPM命令的树的总体;图19示出了算法4-用于确定具有度量的n元(n_ary)树的总体;图20示出了算法5——用于确定具有替代孩子链路的二叉树的总体;图21示出了比较和修剪算法6——来确定完整性检查失败的节点和叶;图22 示出了显示 TPM_reduced (减少)_Tree (树)_Verify (验证)_Load (加载)的算法-I ;图23 不出了显不 TPM_reduced_Tree_Verify 的算法-I ;图24a 不出了显不 TPM_Tree_Node (节点)_Verify 的算法-3 ;
图24b 不出了显不 TPM_Reduced Tree_Update (更新)的算法-4 ;图25示出了用于PVM的数据种类;图26示出了用于具有根的子树的子树证实(certification)协议;图27示出了证书子树绑定;图28示出了左边不平衡的多树结构;图29示出了如本文描述的树结构的一个示意性实施方式;图30是组件子树结构;图31示出了分割确认步骤I :测量的收集;图32不出了分割确认步骤2 :子树的证实;图33示出了分割确认步骤3 :服务连接;图34示出了分割确认的H (e) NB用例;图35示出了 H(e)NB阻止接入恶意设备;图36示出了基于设备类型、设备类别(class)、设备特性或连接配置文件(profile)的M2M GW分组设备,并为设备确认树提供组证书;图37示出了 M2M Gff P2P分割确认;图38是可以在其中执行一个或多个公开的实施方式的示例性通信系统的系统图;图39是可在图38中示出的通信系统中使用的示例性无线发射/接收单元(WTRU)的系统图;以及图40是可在图38中示出的通信系统中使用的示例性无线电接入网和示例性核心网的系统图。
具体实施例方式下文提到时,术语“无线发射/接收单元(WTRU)”包括但不限于用户设备(UE)、移动站、固定或移动用户单元、寻呼机、蜂窝电话、个人数字助理(PDA)、计算机或能够在无线环境中运行的任意其它类型的设备。下文提到时,术语“基站”包括但不限于节点B、站点控制器、接入点(AP)或能够在无线环境中运行的任意其它类型的接口设备。本文公开了用于生成验证数据的各种技术,包括一种用于生成可用于确认无线发射-接收单元(WTRU)的验证数据的方法。WTRU可以具有一个或多个组件和一具有多个安全寄存器的安全环境。安全环境可以包括提供安全执行环境的安全硬件和/或软件环境。例如,安全环境可以是可信平台模块(TPM)、智能卡、通用集成电路卡(UICC)或其任意组合。安全环境可以用于保护诸如例如加密功能的安全功能、诸如例如操作寄存器的安全资源、存储器、随机数生成器、定时器和/或时钟。
根据一个实施方式,可以通过对于WTRU的多个组件中的每一个获得代表WTRU组件的测量的值来生成验证数据。可以生成一个测量日志(ML),其包含组件测量值的记录,其它的组件专用数据可以存储在WTRU上。对于每个组件可以根据组件测量值生成验证数据,验证数据可以存储在可信平台模块内的一个或多个安全寄存器中。验证数据和ML可以被组织成树结构。包含验证数据的安全寄存器可以定义树结构的根。ML可以定义树结构的内部节点,包含在ML中的测量值可以定义树结构的叶。可以使用安全环境的安全扩展操作来形成树结构。根据另一实施方式,可以获得代表WTRU组件的测量的值。可以根据测量值生成验证数据,验证数据可以存储在WTRU上安全环境内的寄存器中。测量值可以存储在树结构中的一叶节点处。可以在安全环境中执行一个或多个扩展操作将存储在叶节点中的值扩展到所述树结构的根节点。根节点可以包括安全寄存器中的数据,生成的验证数据存储在该安全寄存器中。根据另一实施方式,描述了一种对由无线发射/接收单元(WTRU)生成的树形验证数据进行确认的方法。树形验证数据可以包括组织为树结构的验证数据元、测量日志(ML)和组件测量值。验证数据元可以定义树结构的根节点。ML可以定义树结构的内部节点。组件测量值可以定义树结构的叶节点。树形验证数据可以在组织的树结构中接收。从接收的树形验证数据的根处的验证数据元开始,对树结构进行遍历。作为遍历树结构的一部分,在接收的树结构的分支节点和分支节点的孩子节点处的值可以与参考树中相同节点位置处的值进行比较。然后可以基于节点值的比较确定是对WTRU还是对WTRU的单个组件进行确认。根据另一实施方式,描述了一种方法,用于证实由无线发射/接收单元(WTRU)生成的测量日志(ML)的节点值。ML的值可以存储为包括根节点、内部节点和叶节点的树结构的节点。可以接收证明分组,其指示将由子树证书授权(SCA)证实的节点值。节点值可以被识别为能够由SCA证实的节点值。可以创建与节点值相关联的清单,其包括与节点值相关联的确认信息。可以创建用于节点值的证书,其被配置为将确认信息绑定到WTRU的安全环境。证书可以随着清单一起发布,并提供给WTRU的安全环境,WTRU将证书存储在其ML中。结构化的确认是一种确认方法,其中确认的数据和操作方面被结构化。本文描述了结构化确认的分离但相关的概念和方法。例如,本文描述了树形确认(TFV),专注于使用子树证实、TFV的扩展和变体以及分割确认的方法,其中将确认任务分布到两个或更多个网络实体之间,其允许网络实体以分布方式执行对于(所连接的)设备的设备完整性确认,从而每个确认实体可以不必要必须对整个设备进行确认而可以确认其一部分。图I示出了长期演进(LTE)无线通信系统/接入网400,包括一个演进的通用陆地无线电接入网(E-UTRAN) 605。该E-UTRAN 605包括一个WTRU 610和多个演进的节点B(eNB) 620o WTRU 610与eNB 620进行通信。eNB 620使用X2接口彼此连接。eNB 620的每个通过SI接口与移动性管理实体(MME)/服务网关(S-GW)630进行连接。尽管在图I中示出了单个WTRU 610和三个eNB 620,但是应当清楚无线和有线设备的任意组合都可以包含在无线通信系统接入网600中。
图2是LTE无线通信系统500的示例性框图,包括WTRU 610,eNB 620和MME/S-GW630。如图2所示,WTRU 610,eNB 620和MME/S-GW 630被配置为执行用于向设备提供安全性的方法。除了在典型的WTRU中找到的组件外,该WTRU 610还包括具有可选的链接存储器722的处理器716、至少一个收发信机714、可选的电池720以及天线718。处理器716配置为执行用于向设备提供安全性的方法。收发信机714与处理器716和天线718进行通信以便于无线通信的传输和接收。在WTRU 610中使用电池720的情况下,电池720给收发信机714和处理器716供电。除了在典型的eNB中找到的组件外,eNB 620还包括具有可选的链接存储器715的处理器717、收发信机719和天线721。处理器717被配置为执行向设备提供安全性的方法。收发信机719与处理器717和天线721进行通信以便于无线通信的传输和接收。eNB620连接到移动性管理实体/服务网关(MME/S-GW),所述MME/S-GW 630包括具有可选链接 存储器734的处理器733。通常,为了保证设备完整性,执行软件/固件或硬件的测量(诸如,例如加密哈希值)并与可信的参考值相比较。测量的这种比较或者针对可信参考值的这种测量(称为验证数据)的函数或分组可以在设备内部(自主确认)执行或在外部由确认实体(半自主或远程确认)完成。在半自主或远程确认的情况下,测量可以作为未组织的集合在净荷(payload)中被发送,该净荷可以是经过加密、完整性保护和加密证实过的。为了找到完整性验证失败的组件,可以将测量的集合与参考值的集合进行比较,得到完整性测量失败的索引集合。然而,如果这种测量的数量很大,这种未组织的测量集合可能难于管理。为了优化完整性检查失败的模块的搜索,以测量日志(例如存储的测量日志(SML))的哈希树的形式生成验证数据。由可信计算组(TCG)架构和规范使用的术语SML,可以用在描述本文描述的测量日志的各种实施方式中,但是SML是测量日志的一种示意性实施方式。组织的一个示例是树形确认(TFV)。存储的测量日志可以被组织成平衡的二叉树,且可以提出一种算法来使用TPM命令生成树。算法可以是通用的,并可以扩展到平衡的二叉树。由树形验证产生的SML可以在内容上与TCG SML类似,但是可以在通信中构造、形成、计算、使用、存储、获取、更新、删除、传送和/或接收,或者与如何处理和/或操作TCGSML不同地进行处理或操作。TFV可以在TrE中实现,例如下面描述的那样。这将引起许多其它用例类型的创新,且是用于TrE针对的复杂类型的网络侧平台确认的参考使能者(enabler)。本文描述TFV的技术内容。本文描述TFV指向(pointing)的概要。TFV还被放入TrE的上下文中,其应用在本文中描述。TFV的一个元素(element)是验证数据的分层结构,其为远程确认器(validator)的平台确认带来各种好处。本文描述用于创建和管理树形验证数据的算法。此外,对平台的子结构(即验证数据的子树)的证明可以用于确认TFV中的平台。该层级中最高层的验证数据,称为根(集),可以诸如,例如通过具有特殊的(例如,硬件)保护的验证数据寄存器在TFV中被保护。TFV可以通过小型有效的算法对树形验证数据进行操作。TFV的全部实施可以在TCB,或甚至是硬件保护的安全执行环境中实现。确认数据的复杂结构可以与树形验证数据的树状层次(hierarchy)相关联和/或由其保护。子树可以通过结构_子结构的关系向验证和确认数据提供固有语义(semantics)。因此子树可以向确认器识别平台的功能部分。TFV的一个实施方式可以使用经修改的TPM。可信计算作为现有技术针对TFV的实现和/或标准化是潜在的入口点。TFV还容易从树(诸如二叉树上)概括出具有子结构的更一般的结构。下面描述的是可以由TFV提供的元素。安全性在TFV中通过保护树形验证数据的根来提供硬件保护。参考保护等级是TPM中PCR的保护等级,显示为可以由TFV维护。平台侧的小型算法和低复杂度使得能够在·小型TCB或片上实现。管理TFV包括安全可靠地挑选出平台的子结构并基于这种子结构的收集对该平台进行管理的方法和装置。用TFV子树表示的模块可以灵活地进行改变、更新或甚至是在平台之间移动,具有任意情况所要求的安全特性。分布TFV的层次允许实体间确认的分层分割。这使得通信场景和用例的设计更加灵活,并有利于效率。效率用于搜索的一个有效数据结构——二叉树——可以在TFV中实现。它表明,例如,对失败组件(具有不想要的完整性测量值)的搜索在TFV中可以比在TCG类平台证明中更有效率。由TFV引入的天然层次提供了确认过程中负荷分布的选择。TFV的一个示意性特征是TFV可以根据其内置的分层顺序进行设计,用于由“更核心的”实体对大量低能力平台的确认。因此,TFV可以适用于连接到网关和/或经由网关连接到网络的设备。一个示意性用例可以包括M2M通信场景。TFV的这个特性可以提供给它一个与许多现有概念正交的概念,以向可信平台进行的状态证明提供更多语义。平台证明的其它方法显示了完全相反的理念。它们适用于能够产生复杂确认数据的平台,但是没有过多假设其层次化、模块化的结构。TFV可以与其它正交的方法,诸如PBA、语义证明、虚拟化和/或HIM进行结合。下面给出本说明书中用到的词汇表和缩略词列表。RM参考完整性度量提供了实际测量数据可以与之比较的参考值。RM是,为了确认,由设备提供的测量值的副本(counterpart)。它们作为期望目标值与报告的测量值比较的参考。RIM在它们唯一与组件相关联的意义上提供完整性的证明,例如作为在安全测试设施中获得的组件代码的加密摘要值。在它们允许与测量值直接(确定性)比较的意义上它们
是一种度量。RIM证书RM证书包含用于特定组件的RM,由TTP签名。AuV自主确认。IDS入侵检测系统。DoS拒绝服务(攻击)。PVM平台确认和管理。PVE进行的平台确认和(e) HMS进行的平台的OTA管理的组合。包括能够从该组合中得到的所有潜在组合功能。DMS设备管理系统。对家庭(e)节点B管理系统(HMS)的泛化记法(3GPP LTEXTS32. 583,[4]),适用于一般设备,由PVM功能增强。RIM管理器/管理者RIMman管理确认数据库V_DB的实体。是唯一授权那样做的实体,是唯一对数字证书(验证,生成)进行加密操作的实体。SAV半自主确认。PVM基于的确认变量。TCG可信计算组。TSS可信软件栈。TPM可信平台模块。TTP可信第三方。TCB可信计算基础。不能在运行时间评估可信度从而必须无条件信任的系统的部分。 CN运营商核心网。SHO选择的本地(home)运营商。PKI公钥基础设施。PDP策略决策点。PEP策略执行点。D-H Diffie-Heliman。TFV树形确认。验证数据在安全启动过程中对内部验证的总的结果进行唯一识别的数据。最好的例子是链式哈希值形式的大量测量值的PCR值,即摘要。确认数据在区分验证数据时,确认数据是提交给另一方(确认器)的所有数据,并用于评估平台状态的可信度。确认确认数据提交给确认器,例如实现为根据TCG的远程证明,以及由确认器对其进行评估的过程恰当地称为确认。确认数据通常可以包括验证数据,诸如引用的验证数据寄存器(PCR)值。确认可以,除验证数据的加密验证外,包括策略评估和确认器进行的动作触发。验证数据寄存器针对未经授权的接入和改变,保护验证数据的硬件存储。对可信平台的信任关系的建立依赖于确认过程。确认允许外部实体基于提供的平台配置的证据对平台的预期行为建立信任。在确认机制,诸如远程证明中,可信平台显示在启动过程中产生的验证数据。这些数据可以是平台配置寄存器的硬件保护的值,包含所有加载或启动组件的嵌套测量值,例如哈希值。这些值可以由安全的扩展操作以线性顺序产生。确认器基于验证数据的线性顺序和相关联测量日志对组件的低粒度诊断可能是低效的。提供了一种产生树形验证数据的方法,其中组件测量值表示叶,受保护的寄存器表示根。使用有限数量的硬件保护寄存器和标准扩展操作示出该方法的功能。如此,可以维持验证数据的安全性,同时存储的测量日志可以始终组织成树。讨论了使用树形测量日志和验证数据确认平台的基本机制。对计算平台建立信任的过程可以按照一个独特的通用模式。在平台启动过程中,可以由平台上的受保护实体测量组件。例如,组件可以在被加载和/或执行之前被测量。信任链的生成对于可信计算系统是重要的概念。这个链可以无间隙地从系统根一直扩展到当前的系统状态,包括执行的指令和程序。可以要求每个组件在执行下面的组件之前对其进行测量和报告。直接继任者的测量可以防止测量和实际执行之间的代码的未经监视的执行。测量过程可以由测量的信任的根进行保护,可以例如通过计算代码和配置数据之上的摘要值来实现。验证数据可以通过受保护的操作从测量值进行编译和/或存储在受保护的存储中。验证数据可以,诸如在完成安全启动后,唯一地识别平台状态。这些过程的实施方式可以被认证(authenticate)并且是可信计算组(TCG)指定的安全启动。认证的启动可以用于PC客户端。也可以使用移动平台的安全启动。两者的差异在于安全启动增加了本地验证和执行引擎,如果组件的测量值等于可信参考值,该引擎就使组件启动。TCG提出分别经由可信平台模块(TPM)和移动可信模块(MTM)的扩展操作,根据是组件代码和/或数据的哈希值的测量值计算验证数据。数据可以存储在平台配置寄存器(PCR)中。作为示例,根据规范的版本I. I可以存在最小16个PCR,在TPM的版本I. 2中可以识别至少24个PCR。PCR可以由授权的命令访问。扩展操作建立了线性顺序的、嵌套的哈希值链,类似于Merkle-Damgard变换,如下V; ViOm def H (V; 11 m'(式 1、
·
其中Vi代表验证数据寄存器(对于PCR,i=0 ; ;23),H是防冲突的哈希函数(在TPM情况下的SHA-l),m=H (数据)是测量值。因此,TCG可信平台的验证数据可以防止TPM的保护功能和屏蔽能力的操作而保证安全。验证数据可以伴有更具表现力的测量值记录和/或存储的测量日志(SML)中的其它组件专用数据。在针对外部实体的确认中,验证和/或其它数据,诸如SML,可以由平台签名并传递到确认器。确认器能够将平台的可信度评估到任意期望的颗粒度(granularity),其由在确认过程中传递的总的信息限制。用于确认的示范实施方式可以由TCG在证明协议中定义。TCG设想确认可以最终用于对可信平台采用纠正步骤(例如,根据第一网络或服务接入时),如TCG的可信网络连接工作组所预想的那样。提供了一种在树(诸如,例如Merkle哈希树)中不同于TCG规范预见的线性顺序组织验证数据和SML的方法。从应用的观点来看,线性链式的验证数据的效率问题突出。将验证数据组织为树的主要安全性问题是使得它们的生成与同样提供的TCG规范的测量扩展操作一样安全。还提出了一种在一组有限的如实表示哈希树根节点的硬件保护的寄存器中生成验证数据的方法和算法。还示出了树状验证数据和SML如何能够有效率并有效地用于确认。还讨论了树形验证数据的实施选项和进行的实验。验证数据提供关于具有无条件安全性的系统状态的信息。例如,它们可以独立于SML而安全,其根据TCG标准,在平台上或者确认中(可能不是签名的证明数据的一部分)没有特别保护。签名的PCR值,S卩,验证数据本身,可以为SML提供隐含的完整性控制。为此,可以根据SML中的测量,通过折回(retrace)所有扩展操作,重新计算验证数据。在认证的启动中使用PCR值确保测量日志安全的TCG标准化的方法可以基于由Schneier和Kelsey引入的用于确保不可信机器上审计日志安全的技术。事实上,其可以是一个简化,因为哈希链的最后的元素保持在PCR中,同时SML可以包含测量值而不是哈希链的中间项。使用TPM的完整性测量可以在完整性测量架构(IMA)中实现,该IMA作为Linux内核模块以使用TPM测量完整性并生成线性SML。由线性链式扩展操作产生的验证数据可以是用于平台的远程诊断和/或诸如组件方面纠正的先进管理的限定值。本质上,SML的操作位置,通过在测量值扩展到PCR之前篡改测量值,或者在安全启动之后篡改SML本身,都不能肯定地进行定位。此外,具有数以百计或千计被测组件的真实世界SML的空间复杂度可以使得其针对确认失败的组件(测量值不同于“好的”参考值的组件)以高昂代价进行筛选(sift)。为了检查代码和/或数据,可以有各种可用的加密校验和(checksum)函数,且它们可以要求保持对“正确”数据的校验和的完整性。对各种机器上有效版本中软件的集中式数据库的要求可能是一个重大的管理问题,需要一种有效的解决方案。进一步,连网设备的大规模部署,诸如,例如机器对机器通信情景所需要的,可能需要固体设备和网络侧平衡且有效的信任基础设施。松散连接到网络且半自主运行的设备的安全性要求高。行业考虑的情况可能带来对连接设备的远程完整性检验或确认的高级别的要求。本文描述的方法和装置可以用于使确认具表现力、有效和/或安全。TCG基础框架工作组的规范可以包括解决这个问题的方法,分层区分验证的组件和子组件。描述了表示平台结构的信任树(ToT)的概念和符号。ToT的节点可以表示平台组件,从TPM直到应用,以信任和安全性声明(statement)进行注释。这可以用于对应当投入到平台的信任进行评估,或甚至根据一定的约束重新组织平台。另一个在其中信任仅仅是线性链的缺点变得迫在眉睫的技术领域是虚拟化技术。虚拟机可以在许多潜在的层上动态地生成和/或破坏,导致信任依赖性的树状动态结构。尽管该共同体可能已经承认可能需要结构化的确认数据来真正评估平台的可信度,这种树形数据层次与验证数据(PCR值)的颗粒度关联可能是缺乏的。验证数据和SML可以被组织进二叉树结构。在这样的结构中,验证数据寄存器是根,SML数据结构可以包括内部节点,叶可以是组件测量值。整个结构可以是树形的,诸如,例如代表Merkle哈希树的类别。该方法可以被概括到η元和任意的树。图3的圣诞树用于示出树形验证的一般概念。图3示出了树形SML和根据验证数据的一般结构。星星代表存储在验证数据寄存器中的树的根。组件(代码和/或数据)由叶处的小包(packet)表示。由活结(slipknot)表示组件的测量哈希值。内部节点(球)将验证信息向上游传输到根。线暗示针对确认遍历树,稍后更详细地解释。代表哈希树根节点的验证数据的安全生成可能提出一个问题。在正常扩展操作中,使用由组件的可信测量根(RoTM)采用的测量值和当前的验证数据寄存器值Vi,且操作本身在硬件保护的TPM中执行。 因此,特别地,在生成过程中不使用在SML中无保护的存储的测量。这对哈希树是不可能的,其中增加一个新的叶可能影响该树的d-2个内部节点,其中d是树的深度。挑战可能是在受限数量的硬件保护的寄存器(PCR)内生成树形验证数据,诸如,通过使用单个叶测量作为输入,并使用TPM扩展操作和其它TPM能力。根据系统创建和保护树形验证数据所需的最低要求,可以清楚下述说明中的方法和装置可以不受限于遵守TCG标准的平台和安全硬件单元。可以在加载之前和启动的同时执行程序的验证。也可以如本文描述的那样使用证明。代码认证是可信计算的目标之一。执行的代码可以由平台的安全启动进行保护。例如,硬件机制可以用于将信任引导(bootstrap)到标准PC硬件上具有安全协处理器(coprocessor )的主机中。可以应用可信平台。安全硬件可以包含在安全引导过程中。例如,如果检测到异常,安全协处理器可以停止启动过程。这认为引导ROM是安全的。为了确保这一点,可以配置系统的地址空间,以使得启动向量(boot vector)和启动码(boot code)由安全协处理器直接提供或者启动ROM本身可以是一个安全硬件。无论如何,安全协处理器通过针对已知值检查软件签名对系统软件(OS内核、系统相关的用户级软件)进行验证。在该过程中可以实现防篡改的代码。解决该问题的一个方法可以在硬件(例如XOM (只执行存储器)处理器架构和建立在其上的XOM操作系统)中固定用于程序的信任。这可能不解决安全加载程序和/或证明外部实体的问题。AEGIS在PC上使用安全启动。例如,AEGIS使用签名的哈希来识别启动过程中的每个层,如Terra所做的,其用在虚拟机的证明末尾的完整证书链来证明加载的组件。TCG规范定义了双边远程证明,以通过验证二进制可执行文件来远程地验证平台的完整性。当执行代码被加载时可以测量执行代码。该测量可以存储在PCR中作为验证数据,TPM可以通过用TPM保护的密钥对这些数据进行签名来对这些数据进行证明。验证器可以,在接收到这些度量时,决定平台是否可以被认为可信。因为配置可以被传送并验证,验证器可以知道机器的配置。此外,二进制证明公开了配置,因此提出了隐私风险。在不同 的解决方案中,讨论了“特性”和“基于特性的证明”(PBA)。PBA允许向验证器确保经验证的平台的安全性特性而不透露详细的配置数据。可信第三方(TTP)用于颁发证书,其将平台配置映射到可以在该配置中实现的该特性(尤其是期望/不期望的功能)。然后TPM可以使用零知识证明,向验证器证明这些特性,而不公开完整的配置。PBA将平台确认的基础设施问题转移到TTP,与TCG的隐私证书授权(CA)类似,但是扩展了其作用。另一个替换方式由Nexus OS提出,其建立最小可信计算基础(TCB)以在用户空间和特权程序之间建立强大的隔离。Nexus具有安全存储区域和监视及执行机来保护它们。一个应用可以将设备驱动器移动到用户空间。Nexus的证明将描述性标签连接到被监视的程序,因此允许类似于PBA的表现,但是是系统固有的。PBA概念以及Nexus方法都没有办法对由多个组件构成,进一步将被动态管理的复杂系统进行确认。两种方法都与现有的一种方法正交,并可以与其结合。分层完整性管理(HM),提出了用于组件方面完整性测量和平台组件的策略启用管理的框架。组件和子组件通过依赖关系图(对此目的有用的最普通的结构)在HM中相关。但是HM的目的不在于远程平台确认,不保护PCR中的结构化的平台验证数据。而是,它保持测量一起处于全球组件配置寄存器(软件寄存器)表中。用于大型数据集的完整性保护的哈希树的一个应用,诸如,例如由Merkle引入的哈希树可以是PKI中的证书管理。这可以使用树结构,诸如Merkle树或经认证的搜索树产生CA的长期的责任性(accountability)。哈希树的使用可以扩展到用于数字数据的普通长期安全归档。哈希树可以用于运行时间存储保护。系统可以使用哈希树用于存储装置和/或存储器保护,并可以分成不可信存储装置和TCB。运行在TCB上的程序可以使用哈希树维护存储在不可信存储装置上的数据的完整性,不可信存储装置可以是例如方便访问的大块存储装置(bulk store),在其中程序定期存储和加载不适用于TCB的数据。整棵树的根可以存储在固定大小的片上可信寄存器中,但是其它节点可以存储在主存储器或缓存中。哈希树的另一个用途可以包括示出它们如何支持无线传感器网络(WSN)中的分布式代码的认证。还是在WSN中,包括多个节点的数据聚合可以使用哈希树进行完整性保护。
使验证数据可搜索的另一个实施方式可以包括经认证的仅附加的跳表,其可以是有序的链表,设计为通过采用“快捷方式(shortcut)”允许快速查找存储的数据元。然而,树可能更适合平台状态的确认,诸如,例如用于有效确定确认失败的叶处的组件的子集。本文描述了使用一组有限的防篡改验证数据寄存器从组件测量值生成树结构(例如二进制Merkle树)的系统、方法和装置。树结构可以使用TPM的能力生成,诸如,例如标准扩展操作。算法可以足够小以在TCB内,尤其是在片上执行。该方法的这部分可以提高哈希树的根的生成的安全性,其反过来可以向树节点提供更多的安全性。本文还描述了系统、方法和装置,用于利用通过通用PCR值和SML的增强的诊断能力开发用于有效确认的树结构来增加远程平台确认的安全性特性,同时从失败点搜索的树状结构的效率中受益。树结构数据的这种使用可以用于安全诊断、确认和/或证明。本文描述的系统、方法和装置可以使用有限数量的验证数据寄存器来安全地生成一个根验证值。TCG指定的可信计算的具体实施方式
的每个参考,诸如,例如TPM操作、PCR和/或SML,可以是本文描述的系统、方法和装置的实施中使用的示意性实施方式。算法和/或进程可以适用于具有其所使用的最低限度能力的每种安全技术。 硬件保护的寄存器中的一个,vdef {C,…,K},例如PCR,可以包括最终树的根。该
树可以是二进制的,保持算法紧凑并,例如,提供失败组件的细粒度检测。叶可以携带测量值,而内部节点可以保存在修改的SML中。SML可以以支持确认数据的树结构的方式被修改,即,其可以不是测量值的线性列表,但是数据结构可以支持标准树操作和遍历。为了在平台确认过程中有效搜索,SML可以支持增加新叶并保持边的关系。在深度d的树的叶处增加一个新的测量可能需要重新计算存储在V e V中的树根和/或该叶的减少的哈希树的d-Ι个内部节点。Merkle树的“左” “右”边分别有天然着色(coloring),因为二进制扩展操作(I)是不可交换的。叶继承这种顺序,并从左到右地增加。二进制,d数字表示叶n,O彡η彡2d-l,记为<n>,产生从叶到根的唯一路径上内部节点和边的自然(natural)坐标。
就是说,第k个数字(从MSB计数,k=l,----, d), <n>k=l,分别通过<n>k=0或<n>k=l确定该
路径上深度为k-Ι的节点是否分别由左、右边连接。在算法执行的过程中产生的每一个子树的根可以安全地存储在V e V中。如果存在两个具有相同深度d’的子树(测量值是深度为O的子树),它们可以合并为单个的深度为d’ +1的树。在使用合并操作中,两个保护子树根的V中的一个可以在合并操作后被释放。可以制定用于新到达的测量值的更新算法,从而寄存器V1,……,Vd^1包含深度为1,....,d-Ι的“激活”子树的当前状态,因此Vd可以包含当前的全局(global)根值。此处“激活”描述为一个子树,其根等待与相同深度的子树合并完成。谨慎地制定从而使用实际的测量值、保护的寄存器和/或正常的扩展操作,且不涉及未经保护的存储空间。以nil (无)表示深度为d的全二叉树的空节点。树的形成可以由图4中所示的算法I执行。算法I中涉及的各种操作包括M向Vd增加测量;Vd — m。Sv存储验证数据寄存器到SML ;Vk — SML。Sm 存储测量到 SML ;m — SML。V复制验证数据寄存器;Vk — Vk+1。
El 以测量扩展 Vd ;Vd — Vd m。E2扩展内部节点寄存器;Vk — Vk Vk+1。上述符号可互换地表示操作及其执行次数。一个丢失操作m — RoTM可以被归入Sm。如果n〈2d,树可能在右边处残缺,可以执行图6中所示的算法2中示出的清除过程。算法2 (图6)可以导致根的最终合并,从而V1最终包含所有的子树信息。由于图4中所示的算法I的第17-21行的测试,如果该树还没满,那么可以进行清除过程。完成数所根据的规则是图5所示配置在右边处正确。 内部节点可以写到SML,即使它们是沿着左边的结果(带来稍许的冗余)。形式上,上述完成树所根据的规则可以解释为修改“ ”操作的概念,使得X O nil=x,如此处解释的。如果叶和内部节点以图4所示算法I规定的顺序添加到SML,可以获得最后得到的树的天然顺序化(serialization)。对于深度为3的不完整树该顺序如图7所示。在图7中,得到的SML中标记的项10和11相同,这是由于11是由清除算法2的前向操作创建的。二进制搜索可以使用SML顺序为SML中的树节点定址。给定长度为2d+1-l的SML中的序列号K,这样一个搜索从最后一个项——根进行。其余2d+1-2个项同等地划分为大小为2d-l的部分,且决定K是在左边部分还是右边部分。重复这个过程直到K指向当前部分的最右的元素(element)。做出决定的顺序产生了 SML中从根引到具有索引K的节点的左-右边的顺序。图4的树形成算法I可以容易地适应任意、统一的元数(函数或操作的元数是该函数使用的自变量(argument)或操作数的个数),诸如b的树。为此,二进制坐标<n>必须由b元坐标<n>(b)以及其分别在图4所示算法I的第4、12行评估的第d和第k位数字代替,
其中评估的表达式必须变为。算法2 (图6)可以相应地调整。进一步推广到任意树可能需要建立关联节点坐标,即,η —节点的映射。在每个元数超过2的节点,由于对于连接到每个节点的支线(leg)的哈希扩展是线性的,因此可能会有上述提到的缺点,且可能出现检测粒度的损失。从生成过程可以清楚,可以以有限数量V1, . ... Vr的验证数据寄存器覆盖树的叶处的有限数量的组件。最大容量可以计算如下。用于第一寄存器V1的过程可以使用r-Ι个其它寄存器作为长度为r-Ι的管道来建立深度为r的树。当V1被占用时,第二寄存器可以支持深度为r-Ι的树,等等,直到最后一个寄存器\,针对该\管道的深度为0,树的深度为I。因此寄存器的树携带的叶的总的数量可以这样给出= r+i-2(式 2)
k=l对于附属于V I. 2规范的TPM的PCR数量r=24,这产生33,554,430个位置用于r个树的叶处的组件测量。如果限制为最后16个PCR,因为,例如,根据TCG的PC客户端规范,PCR 0-7是预留的,规范还要计数131,070个测量。尽管这个容量很高,但不是无限的,因为标准是线性可扩展的。因此,由于在启动过程中或者在运行时间进行的测量的数量不是预先已知的,所以最后一个寄存器可以,作为后备(fallback),在达到容量限制后进行线性扩展。图8示出了这种安排——显示树的验证数据的最大容量安排。在图8中,叶处的测量值表示为m。树形成算法的空间复杂度很小。因为内部数据明确需要三个de {l,....r},n e {0,... 2d-l},以及 k e {1,.... d},数据的大小最大为d + 2「log24£r + 2「log2r"|J个比特。另外,根据实施,一个寄存器可能被需要来接收并保持当前的测量值,和/或作为用于对验证数据寄存器操作的中间寄存器。SML适度增加了尺寸。对于深度为d的完全充满的二叉树,2d+1-2个节点值,包括叶测量,被存储在SML中(根节点被包含在Vi中)。也就是说,树形SML小于仅包含测量值的线性形成的SML的大小的双倍。对于时间复杂度的估计,考虑深度为d的完整树,S卩,2d个叶测量。根据树的结构,可以对操作的发生进行计数。Sm.在每个叶处发生,即,。”欠。El和M在深度为d-Ι的·每个内部节点处发生,即2^次。V和E2在深度d-2以上的每个内部节点处发生,即Ztw-I次。最后,Sv在树中除根以外的每个内部节点处发生,根保持在V1中。也就是说,Sv发生2d-2次。这样一共产生这样的估计不管流控制,对于算法执行时间为Ztw(EhM)+ Oim-I)(V+E2)+2dSm+(2d-2)Sv。对类似的操作进行分组(E1, EJ , {M, Sv, Sj 产生 2^ (EfE2)-Ε#11—1 (M+2Sv+2Sm) ISv+f-DV。假设存储器操作在耗时上近似相等,并以通用常数对>叉>|\,|丨^\为
2 L
边界,其中因子2包含在V中用于简单的读取/存储实施,在Sm中用于上述提到的丢失操作,同样也用于扩展操作E1 E2 < E,对于d>l的树形成的时间复杂度的粗估计由
+(五+仏)给出。当扩展操作是主导因素时,树形成可能需要小于经认证的
V L )
启动的线性链的一个扩展操作。对于由上述描述的过程生成的树形验证数据的确认,描述了在每个树节点处使用可用信息的确认策略。平均计算成本可以分别关于失败的测量的相对分担(share)、数量进行计算。采用在普通经认证的启动中生成并存储并随后扩展到PCR的测量的线性链作为参考情况,可以看出树的遍历确认是显著不同的。在前者的情况下,SML的操作原则上可以不本地化,而遍历树形SML可以允许识别在其中发生了操作的子树。同样的考虑适用于诊断确认,即,搜索不符合经确认的平台的期望参考配置的组件(本文描述为失败组件)。对于线性链式SML,这可能需要比较每个测量和参考值和/或重新计算直到PCR的扩展操作链以验证SML的完整性。由于线性SML中的操作可以不本地化,那么复制PCR值的失败可能意味着诊断确认是不可能,可能不能将失败的组件与好的组件区分开。对于树形SML,情况更好一些。如果识别了一个子树,其中SML的操作被怀疑,那么SML树中它的补集(complement)仍然需要确认。而且,对于诊断确认,可以期望在确定失败组件的集合并同时验证根验证数据寄存器的内容上具有显著的加速。在可能的情况下,树形SML的确认可以用于找到无法确认的叶的子集和/或检测SML的操作。可以假设在确认器处存在用于本地可用比较的参考树。确认可以从树的根,即验证数据元V开始,遍历SML数据的树。这可以生成组件的叶集合,针对该组件的测量不同于参考值,该组件称为失败组件。在遍历树的过程中,可以应用具有修剪的深度优先搜索,在每个分支节点做决定。树可以是二进制的。分支节点及其两个孩子处的SML树值可以与相同节点位置的参考树值进行比较,结果可以记为g (good)用于一致和/或b (bad)用于不一致。在这种表示法中,可能出现下述的情况,如图9中所示。图9示出了树形SML中节点配置的分类。在图9中,情况(a),该父节点以下的整个子树可能都被肯定地确认,遍历在该节点结束。在图9中,情况(b),父节点可能由确认器将扩展操作应用到孩子节点值来重新计算。如果重新计算的值与该父节点处的值不匹配,那么这可以表明子树之一的SML操作具有标记为坏的根。这可以作为异常处理。否则,确认可以继续到下一级树,分别遍历发现坏值的子树,S卩,(b)中的左、右或两个子树。情况(C),可以检测到树操作异常。这种检测可以不对扩展操作进行重新计算就发生。最后一种情况(d),可以在二叉树不完整和/或右侧树枝是空的时发生。那么值X与 值y相等,在该情况下遍历可以进行到左侧,否则可能发生树操作异常。确认树形SML的一个优点是具有正确根的子树可以从对失败组件的进一步搜索中丢弃。现在提供一种对树确认的性能进行量化评估的简单概率模型。假设,例如,SML是深度为d的完整树。确认器具有表示已知期望平台配置的完整参考树。重新计算哈希操作可以用于估计确认复杂度的主要成本因素,而比较是廉价的。假设一组随机的失败叶。可以使用一种乐观的确认策略,称为诊断确认,其遍历从根到失败组件(即相对于参考树的叶具有坏测量值的组件)的路径。这种策略的一个特性就是它发现具有真实测量值的失败组件。诊断确认可以如下进行。当访问不同于参考树中相应节点的内部父节点,即坏的父节点时,可以遇到图9中的一种情况,情况(b),或者情况(C)的最右边的配置。在后一种情况下,可以不执行对父节点的重新计算,因为很明显SML完整性是失败的。具有这个根配置的子树可以从进一步遍历中丢弃,因为其不能产生关于失败组件的可信信息。这种情况下,进一步的步骤可以依赖于确认器的策略。情况(b)中的节点配置是这样的,可能需要通过一个扩展操作O根据根哈希重新计算父哈希,来肯定从确认器的参考树不能得知的这个配置是真实的。其根是在仔细检查下坏的父节点的好的孩子节点的子树可以从进一步的遍历中丢弃。诊断确认的这个过程隐含地从诊断确认中排除了图9的配置/情况(a)以及三个左边的配置。只要有意义,可以在SML树的进一步取证(forensic)评估中被考虑。诊断确认可能需要一个访问,并在从失败(坏)叶到根的路径联合(union)中的坏内部节点处执行哈希操作。在相反的未经篡改的树中,这可以隐含地排除了具有坏的父节点的右侧配置/情况(C)。独立且理想分布(i. i. d.)的坏叶的子集构成叶的分数f e [O,I]。坏叶的数量是2df。可以如下面解释的那样计算坏的内部节点的期望数量Eim(rt,f)。本文解决的一个问题是对由叶的随机i. i. d.选择生成的二叉树进行双向着色(例如,坏的对(vs.)好的内部节点),以及对将它连接到根的路径进行着色。这种叶的随机选择和路径可以相当于长度为d的i. i.d.的比特串的随机选择。对从N=2d个叶的集合中进行k次选择后被着色的叶的期望数量F广进行计算。以递归方式,五/=0,且
EL = E^ + ( Εζ +1)手=1 + [f 警。对其求解得到:E: = N(\ - (I - N-' f。
由于选中的比特串的所有子串在统计上是独立的,在等级d-1,....O的内部节点
应用相同的自变量。因此,着色的内部节点的期望数量由合计
权利要求
1.一种在无线发射接收单元(WTRU)中用于生成能用于该WTRU的确认的验证数据的方法,该WTRU包括一个或多个组件并具有包括多个安全寄存器的安全环境,该方法包括 针对所述WTRU的多个组件中的每一个组件,获得表示所述WTRU的所述组件的测量的值; 生成测量日志(ML)并将该ML存储在所述WTRU上,其中该ML包含所述组件测量值和其他组件专用数据的记录; 根据针对每个组件的所述组件测量值生成验证数据,并将该验证数据存储在所述安全环境内的所述安全寄存器的一个或多个安全寄存器中;以及 将所述验证数据和所述ML组织到树结构中,其中包含所述验证数据的所述安全寄存器定义所述树结构的根,所述ML定义所述树结构的内部节点,以及包含在所述ML中的所述测量值定义所述树结构的叶,而且 其中,使用所述安全环境的安全扩展操作来形成所述树结构。
2.根据权利要求I所述的方法,其中所述树结构是二叉树结构。
3.根据权利要求I所述的方法,其中所述安全环境是可信平台模块。
4.根据权利要求I所述的方法,其中所述测量日志是存储的测量日志。
5.根据权利要求I所述的方法,其中使用寄存器移位操作进一步形成所述树结构。
6.一种在无线发射接收单元(WTRU)中用于使用安全环境内的多个安全寄存器生成验证数据的方法,该WTRU包括一个或多个组件并具有安全环境,该方法包括 获得表示所述WTRU的组件的测量的值; 根据所述测量值生成验证数据,并将该验证数据存储在所述安全环境内的所述寄存器的一个寄存器中; 将所述测量值存储到树结构中的叶节点;以及 在所述安全环境内执行一个或多个扩展操作以将存储在所述叶节点中的所述值扩展到所述树结构的根节点,其中所述根节点包括在所述安全寄存器中的数据,所生成的验证数据被存储在该安全寄存器中。
7.根据权利要求6所述的方法,其中所述树结构包括在从所述叶节点到所述根节点的路径上的至少一个内部节点,其中所述至少一个内部节点形成所述树结构的子树的根,且其中所述将存储在所述叶节点中的值扩展到所述树结构的所述根节点进一步包括 执行一个或多个扩展操作以将存储在所述叶节点的所述值扩展到所述至少一个内部节点,其中所述至少一个内部节点包括在所述安全环境内的另一个安全寄存器;以及 执行一个或多个其他扩展操作以将来自所述至少一个内部节点的所述值扩展到所述树结构的所述根节点。
8.根据权利要求6所述的方法,其中所述树结构是二叉树结构。
9.根据权利要求6所述的方法,其中所述安全环境是可信平台模块。
10.根据权利要求6所述的方法,其中执行一个或多个其他扩展操作以将来自所述至少一个内部节点的所述值扩展到所述树结构的所述根节点的所述步骤基于所述至少一个内部节点到所述根节点的距离。
11.一种用于确认由无线发射/接收单元(WTRU)生成的树形验证数据的方法,其中所述树形验证数据包括组织到树结构中的验证数据元、测量日志(ML)和组件测量值,其中所述验证数据元定义所述树结构的根节点,所述ML定义所述树结构的内部节点,以及所述组件测量值定义所述树结构的叶节点,该方法包括 接收在所述树结构中组织的树形验证数据; 从在所接收的树形验证数据的根处的验证数据元开始,遍历所述树结构; 作为遍历所述树结构的部分,将所接收的树结构的分支节点和该分支节点的孩子节点处的值与参考树中相同节点位置处的值进行比较; 基于所述节点值的比较,确定是确认所述WTRU还是确认该WTRU中的单个组件。
12.根据权利要求11所述的方法,该方法进一步包括 如果分支节点或该分支节点的孩子节点的节点值与所述参考树的相应节点值不匹配,则通过对所述孩子节点值应用扩展操作来重新计算分支节点值;以及将重新计算的节点值与所述参考树的相应节点值进行比较。
13.根据权利要求11所述的方法,其中所述参考树被本地存储在确认器上。
14.根据权利要求11所述的方法,其中由与所述WTRU相关联的网关设备执行所述步骤。
15.根据权利要求11所述的方法,其中由与所述WTRU相关联的可信第三方执行所述步骤。
16.根据权利要求15所述的方法,其中从与所述WTRU相关联的网关设备接收所述树形验证数据。
17.一种用于证实由无线发射/接收单元(WTRU)生成的测量日志(ML)的节点值的方法,其中所述ML的值被存储作为树结构的节点,该树结构包括根节点、内部节点和叶节点,该方法包括 接收证明包,该证明包指示将由子树证书授权中心(SCA)证实的节点值; 将所述节点值识别为能由所述SCA证实的节点值; 产生与所述节点值相关联的清单,其中该清单包括与所述节点值相关联的确认信息;产生用于所述节点值的证书,该证书为被配置成将所述确认信息绑定到所述WTRU的安全环境;以及 发布具有所述清单的该证书,其中该证书和清单被提供给所述WTRU的所述安全环境,该WTRU将所述证书存储在该WTRU的ML中。
18.根据权利要求17所述的方法,其中所述证书用于代替所述WTRU的所述ML的节点值。
19.根据权利要求17所述的方法,其中所述证明包包括签名、所述节点值、由可信证书授权中心发布的证书以公共证明身份密钥。
20.根据权利要求17所述的方法,其中所述SCA是与所述WTRU相关联的网关设备。
全文摘要
提供了一种用于生成验证数据的系统、方法和装置,验证数据可以用于确认无线发射接收单元(WTRU)。验证数据可以使用树结构生成,其中该树结构具有表示为根节点的受保护的寄存器和表示为叶节点的组件测量。验证数据可以用于确认WTRU。确认可以使用分割确认来执行,这是所描述确认的将确认任务分布到两个或更多个实体上的一种形式。还描述了子树证实,其中树结构的子树可以由第三方进行证实。
文档编号H04L9/32GK102986163SQ201180022607
公开日2013年3月20日 申请日期2011年3月4日 优先权日2010年3月5日
发明者A·施米特, A·莱切尔, I·查, S·B·帕塔尔, Y·C·沙阿 申请人:交互数字专利控股公司