保护wtru中时间组件的方法及wtru用户识别模块集成电路卡的制作方法

保护wtru中时间组件的方法及wtru用户识别模块集成电路卡的制作方法
【专利摘要】公开了一种用于保护无线发射/接收单元(WTRU)中的时间组件的方法及无线发射/接收单元(WTRU)用户识别模块(SIM)集成电路卡(ICC)。其中，该方法包括：由篡改检测和故障单元提供电能至实时时钟；响应于所述篡改检测和故障单元的篡改检测，所述篡改检测和故障单元停止向所述实时时钟提供电能；其中所述篡改检测和故障单元以及实时时钟被配置在无线发射/接收单元(WTRU)用户识别模块(SIM)集成电路卡(ICC)的安全时间组件内，其中时间报告和同步控制器还被配置在所述安全时间组件上，且其中SIM组件被配置在所述WTRU?SIM?ICC上。
【专利说明】保护WTRU中时间组件的方法及WTRU用户识别模块集成电路卡
[0001]本申请是申请号为200980113270.0、申请日为2009年2月19日、名称为“用于安
全可信计时技术的方法和装置”的中国发明专利申请的分案申请。
【技术领域】
[0002]本方法和装置涉及无线通信。
【背景技术】
[0003]在各种不同的业务案例中会需要可信的本地时间来记录特定事件的实际时间。例如，如果记录了 “脱机”情况中的某些消费数据，则需要可靠的内部时钟来保证该消费日期的准确性。应用领域包括在能源生产(例如分布式车间中的应用、同步软件和数字权限管理(DRM)使用案例。通常的情况是由于物理的或经济的外在因素而导致外部时间的权威性并不都是有效的。
[0004]可信计算(TC)在可信平台模块(TPM)中提供一种方法来向其他方传达时间相关的计数器的值并将它们保护在可信平台内部。尽管如此，扩展这些有限的功能来确保安全计时并提供准确度报告仍将是有用的。
[0005]出于使用可信平台的功能来获取可信时间报告的目的，当报告允许外部验证器信任刻度(tick)计数器值在较早时间与具有定义的、可查验的准确度的某一实际时间值相对应，在这种情况下，TCG规范也具有一些缺点。
[0006]首先，在特定的平台P中没有可信联系。也就是说，刻度戳单独不能表明它是在哪个平台上、在哪种状态下产生的。它甚至不能表明该平台是否是一个具有硬件TPM的可信平台。任何人都可以伪造刻度戳的数据结构，特别是通过使用TPM的软件仿真技术。因此，期望得到一种可信的刻度戳方法。
[0007]其次，TIR是在TPM情况下预先安装的出厂值，它可能精确也可能不十分精确，并且可能在TPM的有效期中丧失其精确性。因为TIR对于计算来自TCV的实际时间值而言是至关重要的，所以希望能够有在任何时候都能够获得真实TIR的可靠的方法。
[0008]第三，由TCG规范进行定义的精确性报告仅仅确定了与TCV相关的时间中的一点。希望能够对精确性进行改进，即，在维持声明(assertion)可信性的同时，对TCV间隔常量与实时时钟值的关系进行更严格的限制。
[0009]第四，为了获得精确性，分布式系统中的时间同步可能包括多个时间源。因此希望将那些方法纳入可信时间报告的扩展内容中。
[0010]最后，由于TCV必须根据TPM规范在不可预知的事件中重置，其有效性受到严重的限制。尽管TSN使得一个起作用的刻度计数器会话是唯一的一个，仍旧希望在刻度计数器会话之间建立TCV联系到RTC值的桥梁。此外，还希望得到，例如，在数字权限管理(DRM)情况下的TCV的真实使用案例。
【发明内容】

[0011]一种用于在无线通信中保护时间值的方法和装置。该装置装配有TPM，该TPM执行与时间机构(TA)的信息交换，以利用由该TA提供的实时时钟值来校准来自本装置的TPM的刻度计数器的刻度戳。该装置传送时间戳请求并接收响应于该请求的时间戳。该装置产生并传送刻度戳，并接收作为响应的替代的(alternate)精确性报告。
[0012]在第二实施方式中，该装置接收时间戳并产生两个连续的刻度戳以进行传送。在该实施方式中，该装置接收作为对传送的所述两个刻度戳的响应的修改的时间戳。在接收该修改的时间戳之后，该装置对该修改的时间戳进行刻度标记。
[0013]在第三实施方式中，可以通过从证言身份密钥(AIK)中生成签名认证密钥(CSK)来保护精确性报告。在该实施方式中，生成精确性报告和可信时间报告(TTS)。可以公布(reveal) AIK证书、CSK的一部分、精确性报告、或签名数据。
【专利附图】

【附图说明】
[0014]结合附图，从以下以实例给出的具体描述中可以更清楚地理解本发明，其中:
[0015]图1是被配置成建立可信的本地时间的示例无线发射/接收单元(WTRU)的图表；
[0016]图2是被配置成建立可信的本地时间的示例WTRU的另一图表；
[0017]图3是表示替代的精确性报告产生的示例方法的流程图；
[0018]图4是表示替代的精确性报告产生的示例方法的另一流程图；
[0019]图5是表示替代的精确性产生的示例方法的一种变换方式的流程图；
[0020]图6是表示可信的TIR测量的示例方法的图表；
[0021]图7是表示保护精确性报告的示例方法的图表；
[0022]图8是示例远程证明(attestation)过程的流程图；
[0023]图9是表示元会话的示例方法的图表；以及
[0024]图10是在DRM中使用可信计算技术的示例方法的流程图。
【具体实施方式】
[0025]下文引用的术语“无线发射/接收单元(WTRU) ”包括但不局限于用户设备(UE)、移动站、固定或移动用户单元、传呼机、蜂窝电话、个人数字助理(PDA)、计算机或能够在无线环境中操作的任何其它类型的用户设备。下文所引用的术语“基站”包括但不局限于节点B、站点控制器、接入点(AP)或者能够在无线环境中操作的任何其它类型的接口设备。下文引用的术语“SM”包括SM ICC、USM、通用集成电路卡(nCC)、可移动用户识别模块(RUIM)、或包含WTRU标识信息的任何其它可移动媒介。TPM或其移动变量MTM，出于简化的目的在下文中可互换。
[0026]根据定义，刻度戳是由TPM所作出的时间报告，而时间戳则是由外部时间机构(TA)所作出的时间报告。TA可以用来保证其时间报告具备一定的精确性。当刻度计数器被重置时，刻度戳可以是与该时间有关的时间计数的已知单元，而时间戳则是真实的实际时间值。
[0027]TPM或者其移动变量移动可信模块(MTM)提供受安全保护的、只读的刻度计数器值(TCV)，在特定的事件中，例如装备有TPM的设备的新的启动周期的开始，该刻度计数器值被初始化为零。该TCV尽可能长时间地保持有效。如果由于旧的TCV丢失(如由于电源故障)或者由于与服务供应商的新合同要求一个新的TCV起始点而需要一个新的TCVjp么TPM的随机数生成器会生成一个新的唯一的刻度会话随机数(nonce) (TSN)值。在一段时间内常数TSN值被用于与外部实体进行通信，这段时间被称为刻度会话。该刻度会话为设备所发布的时间报告提供唯一的安全性上下文。TCG设计所基于的一个假定是为每个刻度会话提供至少一个与另一个安全计时刻度的外部连接。只要刻度计数器足够精确，这将充分满足TPM应用所需足够多的时间戳的需求。
[0028]TCG标准所提供的安全计时功能的全部计时功能有赖于如下功能模块、数据结构和命令。计时刻度包含任意平台上的TPM的强制性功能，来以预先定义的刻度增加率(TIR，以毫秒计)维持和增加刻度计数器值(TCV)。规范对于在TPM中执行刻度计数器所需的机制，或对于使TPM在平台上的功率循环或不同的电源模式中能够增加刻度计数器的这种性能不作要求。尽管如此，在每个刻度会话开始时，TCV必须设定为“O”。如果TPM丧失了根据TIR来增加TCV的能力，该TPM必须开始一个新的刻度会话。当发生这些情况时，根据执行来确定刻度会话，并且该刻度会话是针对平台特定的。特别地，该刻度会话无需与TPM的启动周期保持一致。
[0029]应当注意的是，如果TPM发现篡改刻度计数，TCG规范则要求一个显式的过程。这种情况下，TPM必须将此作为一种攻击来进行处理，并关闭进一步的TPM程序，正如自我检测失败的情况下一样。
[0030]TSN在每个新的刻度会话开始时，由TPM内部随机数生成器生成，并在每个刻度会话结束时被强制全部设定为零。
[0031]⑶RRENT_TICKS (当前_刻度)TPM结构的特征在于其在一个结构中包含TCV、TSN和TIR。只有这个结构被用于所有与计时刻度的功能一起操作的TPM命令中。这保证了在所有诸如此类的操作中能够维持刻度会话的识别。此外，它通过将TIR与TCV(差值)相加(multiply with)来允许和实际时间广生联系，它并且还是精确性评估的基础(例如，偏移(drift)) ο通过定义TPM结构，CURRENT_TICKS对于操纵(manipulation)是安全的。尽管如此，当在TPM外部使用数据时，维持与刻度会话和TIR的联系是CURRENT_TICKS数据结构的职责所在。
[0032]TPM_GetTicks (TPM_获得刻度)命令返回一个作为数据结构的CURRENT_TICKS结构。应当注意，该命令是公共的且无需授权。
[0033]TPM_TickStampB1b度戳点)命令被用来在数据点(blob)上产生刻度戳。签名操作的执行需要授权，例如，可通过在存储有将使用的该签名密钥所载入的授权会话中调用该援引它签名操作。实际上的签名数据有赖于包含在对命令的密钥句柄输入(keyhandle input)参数中的签名方案。
[0034]随后，该操作在下列数据上产生一个数字签名(之后使用中采用缩写)。在某个“固定的”数据字段中，签名信息体现为一种TPM_SIGN_INF0数据结构，该字段中插入了ASCII串“TSTP”，意味着该签名是一个刻度戳。[D(blob)]是即将进行刻度标记的点的哈希值(TPM_DIGEST类型的digestToStamp (刻度的摘要))。产生该摘要是呼叫者的职责。外部随机数(Ne)是用以避免重放攻击的由外部提供的20字节值。呼叫者可以为此插入一个任意值。也可使用在⑶RRENT_TICKS中的数据，即TCV、TSN和TIR。[0035]在下文中，在不会发生混淆以及一些参数在论证中不起作用的情况下，符号TS[Key] (D(blob)、Ne、TCV、TSN、TIR)有时会以缩写形式使用，例如 TS (D，TCV)、TS[Key](TCVjTSN)等等。在用到多个实体的实例的情况下，会采用分布式符号，例如TCV_l、TSN_a、D(blob)_l或0_1，以及TS_1、…、TS_n等等。实际的物理时间被表示为t_l、…、t_n。在某些实际时间，刻度计数器的值被写作TCV(t)。
[0036]在下文中，TPM_TickStampBlob和TPM_GetTicks命令的调用与执行相关联的时间上的(temporal)不精确性被忽略。也就是说，当在实际时间t调用任一命令时，其分别返回TS (TCV (t))和TCV (t)。应注意，这种情况的发生具有一定概率，是根据TIR和TCV获取延迟的比值，即命令能够找回当前TCV的等待时间(latency)。这意味着TCV和平台上的实际时间之间的内部关联是分段地一对一的，并且在TCV为常量的时间段内可以表示为T(TCV):
[0037]T(TCV):= [t:TCV(t) = TCV]，其中 T(TCV) | = TIR.等式 I
[0038]仅当TCV_1〈 = TCV_2时，常量TCV的间隔针对不同的TCV值是分离的，并且可以设定T(TCV_1)〈 = T(TCV_2)，这导致在常量TCV的间隔组上的满排序(full ordering)。对于T(TCV)中的一些s而言，仅当s〈 = t时，涉及对常量TCV的间隔的实际时间的报告由T (TCV) < = t来定义。也就是说，T (TCV)〈 = t是指t位于T(TCV)间隔的右边或内部。
[0039]TCG规范在非标准化的信息评论中提供了一种TCVs与实际时间的关联的单一方法。它调用一个外部时间机构(TA)，该TA能够执行任意数据的时间标记，表示为TstampCT时间戳)(data, t)。该规范 作出如下规定。第一，平台P通过一些任意的已知数据在时间t_l生成TS(TCV(t_l))。该刻度戳被立即发送至TA。第二，TA在时间t_a生成时间戳TStamp (TS (TCV (t_l))，t_a)并将其发送回P。随后P接收该来自TA的时间戳并立即生成AS (TCV (T_l), t_a，TCV (t_2)):= TS (TStamp (TS (TCV (t_l))，t_a)，TCV (t_2))。这是一个标记的声明，可以用来向外部验证者证明下面的与时间的关系:
[0040]T_l〈 = t_a〈 = T_2，其中 T_l/2:= T(TCV(t_l/2))等式 2
[0041]在该示例中，引入符号AS(t_a)来指定针对时间t_a的精确性报告。它可被存储在设备中并被分配到任何所需要的位置，例如分配给测试时间戳的一方或者其它平台。T_1和τ_2之间的差值等于从平台到TA的往返行程时间，并且可以用来评估实际TCV与稍后实际时间的最大时间差值。该差值不大于:
[0042]d(T_l，T_2):= {sup|t_l_t_2| ;其中中}等式 3
[0043]结合用于TPM的平台证书以及所有其它证书(包括来自TA的证书)，该设备可表明，其时间来自一个可信源以及基于AS的实际时间与时钟平台固有偏差的最大差值是什么。平台可通过使用刻度戳、来自TA的时间戳以及其它可信计算方法就实时时钟(RTC)值及其与某一 T(TCV)的关系作出可信声明。这些声明被称为可信时间报告(TTS)。
[0044]图1是被配置成建立可信的本地时间的WTRU100的示例图。该WTRU100包括扩展的SM ICC105、平台处理器108、应用处理器和SW110、通信处理器115、以及用于数据的外部存储器120。应用处理器110可包括数字权限管理(DRM)代理(未示出)。
[0045]扩展的SM ICC105包括被配置成执行通用SM ICC的通常已知功能的SM功能块125。此外，扩展的SM ICC105包括安全计时组件(STC) 130。该STC130包括时间报告和同步控制器135、RTC140以及篡改检测和电源故障单元145。扩展的SM ICC105还包括TPM 单元 150。[0046]位于扩展的SM ICC105上的现有的SM功能块125被配置成控制起始密码(master secret),该起始密码用以识别电话和提供认证业务来支持在WTRU和网络间建立安全信道。根标识被安全地控制在设备中，从不泄露到SIM的安全或可信域之外。现有的SIM功能块125还执行3GPP认证和密钥协议(AKA)相关的程序所需要的功能和运算。
[0047]时间报告和同步控制器135、RTC140以及篡改检测和电源故障单元145组成了位于扩展的SM ICC105上的STC130。STC130被配置成以时间证书或时间相关数据签名的形式提供某些事件、或数据实体的时间的安全记录，并输出给请求实体。
[0048]时间报告和同步控制器135被配置成控制RTC140和篡改检测和电源故障单元145的功能。此外，时间报告和同步控制器135可被链接到现有的SIM功能块125、外部时间机构165和平台处理器108上。当时间报告和同步控制器135被链接到现有的SIM功能块125上时，SIM功能块125将能够利用其数据库例如电话簿中的安全时间测量。
[0049]RTC140可以包括石英晶体振荡器。但是，本领域技术人员应能认识到其它的精确计时设备也可用于RTC140中。可对扩展的SM ICC105进行配置，从而物理地移除RTC晶体将致使扩展的SIM ICC105无法工作。该特征也可以与篡改检测和电源故障单元145相
结合 ?
[0050]篡改检测和电源故障单元145被配置成提供一种在发生电源故障的情况下维持STC130安全性的方法。该单元可包括电源连接来向TPM和RTC提供电能。单元145还可包括篡改检测电路以在探测到篡改时触发警报。该单元的篡改检测部分还可包括篡改预防特征，用以预防硬件和软件级别篡改。该单元145的电源故障部分还可包括电容器或其它短期能量保持组件，其被配置成保持足够的能量，以保证在电源故障或者扩展的SIM可能具有其专有的且机械地安装而无法移除的备用电池的情况下，有足够长时间的保持力来将RTC内容保存到非易失性存储器中。
[0051]TPMl50也位于扩展的SM ICC105上，并同时被链接到现有的SM功能块125和STC130上。通过将TPM150和STC130同时放置在扩展的SMICC105上，SIM ICC105被配置成为STC130产生的时间信息提供可信核心根并为之提供保护，并提供可信测量功能。TPM150的出现还可以保证RTC140产生的时间记录和所关联的时间报告和再同步控制器135被存储在受保护的存储器中。该受保护的存储器可位于TPM自身的非易失性存储器中，也可位于处于TPM外部的但由TPM加密保护的存储器中。这种针对时间记录的保护也将适用于电源故障的情况。当电源故障单元145向TPM150发出电源故障警报时，TPM150在电源故障单元145内部的能量保持设备的电能用完之前，从时间报告和再同步控制器135中重新获取最新的(the last)可存储的时间记录。
[0052]在本发明的配置中，有可能具有若干特征。例如，本发明的扩展的SIMICC105可直接地或通过验证程序向外部的请求应用提供当前时间的测量。该当前时间可用于向外部网络或为外部网络验证设备，以安全地提供当前时间来进行同步。
[0053]扩展的SM ICC105还可以通过一个数字签名用密码保护时间信息，并将其绑定到一个设备上。可替换地，在使用加密键来将时间信息绑定到设备的情况下，该扩展的SIMICC105可以通过加密来保护和绑定时间信息。扩展的SIM ICC105所控制的安全时间信息可存储在扩展的SIM ICC105的内部，或者存储在SIM ICC105的外部但在电话的外部存储器120的内部，或者同时以两种方式进行存储。[0054]扩展的SM ICC105可以用来提供用以增强由SM功能块125执行的现有应用的机制。例如，其可用于为电话簿应用和数据、同步、移动支付或票务应用和相关数据、验证和密钥管理功能、或与移动通信协议堆相关的数据提供安全时间戳。此外，扩展的SM ICC105对于DRM可能具有很多实际应用，这将在本申请中稍候进行讨论。
[0055]可选择地，WTRU100可包括不在扩展的SM ICC105上的第二 RTC155。该第二RTC155将被连接到平台处理器108上，平台处理器108可包括可选的时间报告和同步控制SW157。第二 RTC155和可选的时间报告和同步控制SW157的组合在WTRU100上产生可选的STC功能。进一步，平台上的第二 RTC155可用于安全等级无需与在扩展的SM ICC105内部受到高度保护的第一 STC130所需的安全等级相同的应用中。这种要求较低安全性的应用的一个实例就是，其可以用于OS、临时日历或秒表应用的刻度计数器中。
[0056]可选择地，WTRU100也可包括不在扩展的SM ICC105上的第二 TPM单元160。该第二 TPM单元160将被连接到扩展的SIM ICC105上，以便提供附加的安全性功能。例如，由于SM ICC105可能被拔出，在每个设备(SMICC和平台)上的TPM可充当那个设备的可信根。因此，该第二 TPM160可使用SM ICC105中的从属(slave) TPM150来验证其功能并实际执行互相验证来绑定平台和SM ICC105间的通信信道(接口)。
[0057]图2是被配置成建立可信的本地时间的WTRU200的另一示例图。WTRU200包括通用的SM ICC205、平台处理器208、应用处理器和SW210、通信处理器215、数据的外部存储器220、RTC225、以及TPM230。应用处理器210可包括DRM代理(未示出)。
[0058]图1的WTRU与图2的WTRU不同，这是由于RTC225和TPM230位于WTRU平台上，而不是在SM ICC205上。RTC225可被链接到外部时间机构233和平台处理器208上。平台处理器208包括用以控制RTC225的时间报告和同步控制软件235。因此平台处理器208和RTC225结合用作WTRU200的STC。
[0059]通过将RTC和TPM放置在WTRU平台上而不是在SM ICC205上，WTRU200将和通用SIM ICC兼容。该实施方式仍然提供如在对图1的扩展的SIM ICC105的描述中所描述的安全时间组件特征。例如，WTRU平台上的TPM230可执行程序来保护和增强RTC225、时间报告和再同步应用、以及所产生的时间记录输出的安全性。在一个替换实施方式中，WTRU200可被配置为无需SIM ICC105来进行操作。这种实施方式的一个实例就是用于非3GPP移动电话的WTRU。
[0060]可选择地，通过在SM ICC上纳入可选的STC240，WTRU200可被配置为与扩展的SIM ICC一起使用。在SM ICC205上的可选的STC240可包括时间报告和再同步控制器245、RTC250、和篡改检测和电源故障单元255。在SM ICC205上纳入STC240，将为SM ICC应用提供一个更加安全的时间源。
[0061]可选择地，通过在SM ICC205上纳入可选的TPM260，WTRU200可被配置为与扩展的SIM ICC205 —起使用。可选的TPM260可以为SIM ICC应用提供附加的可信和安全性，并为存储在SIM ICC205上的数据提供附加的保护。
[0062]本领域技术人员将认识到还可能存在其它若干个的组合和配置，并可提供附加的优势。例如，SIM ICC也可以与STC—起被配置，而无需TPM或篡改检测单元。在SM ICC上结合STC的任何其它的实施方式都将被认为是属于本发明的范围之内。
[0063]在另一个实施方式中(未以图示出)，图1的WTRU100和图2的WTRU200可以组合起来，从而使得STC位于SM ICC上而TPM位于WTRU平台上。WTRU平台上的TPM可被用来保护和增强SM ICC内部的STC的安全性以及由该STC产生的任何数据的安全性。
[0064]在另一个实施方式中(未以图示出)，图1的WTRU100和图2的WTRU200可以组合起来，从而使得STC位于WTRU平台上而TPM位于SM ICC上。在这两个附加的实施方式中，WTRU将被配置成执行在图1和图2的描述中所描述的相同的安全应用和操作。应当注意的是，SM ICC上具有STC将在对RTC自身的物理攻击方面提供更高水平的安全性。此外，若SIM上没有TPM，既不可能保证SM和平台间的信道安全，也不可能执行平台和SM ICC间的互相验证，除非该SM的功能得到扩展，从而为共享密钥或公共/私人密钥对或共享SMICC中的密码以协助安全信道设置的网络作准备。
[0065]TCG规范描述了用于将内部TPM刻度计数器值绑定到外部可信时间源(即实时时钟源)的一个基本步骤。这将在下文进行详细描述。该TCG规范不包括任何超出该基本机制的概念。
[0066]这可表明，极少连接的、松散联结的设备使用这些设备来收集足够的数据来向第三方提供可信时间报告(TTS)。绑定该外部时间可发生在产生时间戳后较长的时间内。特别地，这项工作可能以大部分设备从来无需知道实际时间的方式来完成。这些方法背后的共同的理念是通过平台上或设备内的TPM的内部刻度计数器与其它实体间的合作来获取刻度计数器值和实时时钟值之间的关系。通过适当地联合使用标记的刻度计数器值(刻度戳)和时间戳来体现这样的报告。
[0067]从可信和安全的角度来看，典型的精确性报告(AS)，即TPM AS，并不能令人感到充分满意。验证器必须信任TPM刻度计数器分别在周期T_1和T_a以及t_a和T_2之间的有关精确性的适当的功能，以评估和相信由AS所作出的有关它们之间的实际时间差的声明。一种增强将T(TCV(t))绑定到实时时钟值的方法是在两个时间戳之间对其进行构建。对于本实施方式，作为对上述精确性报告的一种替换方式，可以在P的TS(TCV)周围合并(fold)来自TA的时间戳，从而获得一个语义上不同的TTS。
[0068]图3是表示替代的精确性报告产生的示例方法300流程图。在某个初始的时间，平台P通过来自TA的一些随意的、已知的数据D请求时间戳(步骤310)。在、8，TA生成TStamp (D，t_a)(步骤320)，并立即将其发送回P (步骤330)。P在时间t≥t_a接收来自TA的时间戳，并生成TS (TStamp (t_a)、TCV (t))(步骤340)并立即将其发送回TA (步骤 350)。TA 接收结构 TS (TStamp (t_a)，TCV (t))并在 t_b 生成 SA (t_a, TCV (t)，t_b):=TStamp (TS (TStamp (t_a)，TCV (t))，t_b)(步骤 360)并立即将该结构发送回 P (步骤 370)。
[0069]该替代的精确性报告SA(t_a，TCV(t)，t_b)是一个可信时间报告，其声明了如下关系:
[0070]t_a ≤ T ≤t_b，where T: = T (TCV (t))等式 4
[0071]当发生TPM刻度标记时，这种替代的精确性报告可由外部的TA用来证明实际时间的估计范围。
[0072]图4是显示替代的精确性报告产生400的另一种变化形式。在某个初始时间t_a里，TA发布了数据D(I)的时间戳，该数据D(I)的时间戳包含指示P通过预定的时间间隔1415发布两个连续刻度戳410的指令。因此，获得了 TStamp(D(I)，t_a)。发布时间戳之后，TA立即向平台P发送该时间戳。在接收到TStamp (D(I)，t_a)后，P通过刻度标记D (I) Il t_a420生成该第一刻度戳TS1。因此，P包含:
[0073]TSl:= TS(D(I), t_a), TCV(tl))等式5在该实例中，需要注意当发生刻度标记时，tl是实际时间。P立即将其发送至TA430。P等待一个时间间隔1415，然后生成第二刻度戳440，即:
[0074] TS2: = TS (D (I), t_a || TSl, TCV (t2))等式 6
[0075]其中t2是t = tl+I的本地估计(在P)。P再度立即向TA450发送该刻度戳。在接收到两个刻度戳TSl和TS2后，TA计时标记460如下:
[0076]SA，(t_a, D(I), t_b):= TStamp (TS2 I TSl，t_b)等式 7
[0077]该替代的精确性报告SA’是一个可信时间报告，其声明如下关系:
[0078]t_a< = tl〈tl+I〈 = t_b 等式 8
[0079]其中，tl:= T(TCV(tl)), t2:= T(TCV(tl+I))。
[0080]这样的报告SA’可以用于评估TPM的TIR。
[0081]在生成SA(t_a，t_b)或SA’的复合系统的执行中，存在值得注意的变化形式。首先最重要的是，两个时间机构需求是不一样的。P可以从TA获得第一时间戳而从另一个时间机构TA’得到第二时间戳。
[0082]图5是显示当TA和/或TA’是平台的内部实体，即和时间标记功能500相结合的一个实时时钟(RTC)时，第二种主要变化形式的实例流程图。这可以通过使用如下平台的可信计算功能以一种雅致的(elegant)方式来实现。在每个启动周期开始时，可信平台P发起一个特定的程序，内部时间代理(ITA)510。该平台执行这样一种操作，在一种可信的、无危害的状态下通过使用TCG移动电话工作组规范的安全启动功能来发起该ITA并对其进行适当的配置。可替换地，如果该平台只支持在启动时装载的程序的测量，ITA的存在及其可信性则可至少通过远程证明来向外部验证器进行证明。许多用于专用目的的ITA可共存于P上。
[0083]ITA可如下在精确性报告生成中代替TA。在ITA和RTC之间有一个安全信道，通过该安全信道，ITA可在任何时间获取可信的实际时间值(步骤520)。ITA可使用TPM的加密功能来保护RTC值(步骤530)，例如，通过使用TPM_Seal (TPM_密封)和TPM_UnSeal (TPM_非密封)命令来对它们进行加密。ITA使用TPM的软件加密库或签名功能、例如TPM_sign (TPM_签名)命令来从这些RTC中生成时间戳(步骤540)。ITA使用的签名密钥可以是例如与特定的ITA实例相关联的唯一密钥。另一选择是ITA使用绑定至P的证言身份密钥(AIK)的签名认证密钥(CSK)，这指的是证明CSK的证书是由AIK签署的。这可以直接类推下文所述的方法。其具有证明ITA存在于特定的可信平台P的优势，在ITA的存在和不可妥协(uncompromise)功能下,该平台P的状态可以由外部实体通过远程证明的TC功能来验证。
[0084]一些情况下，可能需要RTC与TCV的紧密绑定，采用这种特定的方式可以扩展TCG说明。假定RTC和ITA具有与TPM的内部刻度计数器相当的或甚至更高的安全等级(例如，两者均在专用保护硬件中执行)，则RTC可能如上述的被用作内部时间机构，但也同时积极地影响刻度计数器。例如，RTC和刻度计数器可以由同一个时钟源来驱动。当探测到偏差时,RTC还可以通过ITA或直接地重置刻度计数器或提供修正(correction)值。这潜在地增加了 TPM_TickStampBlob输出精确性的可信度。有了对RTC(或其输出)的保护，会提高对ITA(其使用RTC的输出和TPM刻度标记来声明时间值)的信任，这样一来，使用更加可信的RTC(或其输出)的TPM的刻度标记也就更加可信了。
[0085]还应当指出，来自RTC的附加信息可能被合并到TPM_SIGN_INF0数据结构中的未使用空间中。可替换地，可以指定增强型TPM_SIGN_INF0数据结构来提供对日期和时间的绝对指示而不是仅仅TCG委托的会话值(TCV和TSN)。
[0086]TA可以被配置成补偿签名延迟，因为在大部分的情况下，TA会比P更好地得到装备以便作出高精确性的时间报告。TA的简单模式假定要求从其时间源中获取UTC时间的时间d_t和要求生成时间戳的时间D_t均以高精确性著称(例如通过连续测量或者作为定义的功能参数)。对于P上的时间相关的TPM操作，我们也为TA假定d_t = O。直接了当地生成d_t > O的如下方法。在下文中，我们描述一个签名延迟补偿的精确性报告，由SA(t，t’ )来表示。
[0087]为了在由SA(t_a，t_b)表示的签名延迟补偿的精确性报告的生成中补偿D_t，可以修改(modify)图3所示的方法以使得TA在第一时间戳320中包括D_t。在一个替换实施方式中，作为(D_t,变量a) ,TA在时间t = t_a针对由D’表示的签名延迟补偿的数据包而生成时间戳TS(D’，t_a)，其中D’ =D_t，或者D’ = D Il D_t，并将该时间戳TS (D’，t_a)纳入可信时间报告SA(t_a，D’，t_b)中。这里，D_t表示使得TA为该数据生成时间戳的严格(tightly)已知的(或估计的)时间段。因而，如果D’ =D_t，则TA仅仅时间标记其生成时间戳所需要的延迟，并且如果D’ = D Il D_t，那么TA时间标记的不仅仅是延迟，且还有其最初时间标记320的数据D自身。在第二替换实施方式中，对于(D_t，变量b)，TA添加D_t到t_a并在时间 t_a生成时间戳TS (D，t_a+D_t)，并将该时间戳TS (D，t_a+D_t)纳入可信时间报告SA(t_a+D_t，D，t_b)中并该时间报告SA(t_a+D_t，D，t_b)立即发送回P。所得到的可信时间报告SA(t_a，D’ = D_t, t_b)(来自变量a)或SA(t_a+D_t，D，t_b)(来自变量b)于是为:
[0088]t_a+D_t ≤ T<t_b，其中 T:=T (TCV (t))等式 9
[0089]这比仅仅使用SA(t_a，D, t_b)的情况时产生更为严格的时间界限(bound)，这是由于对于SA(t_a, D，t_b)，仅仅是t_a≤T≤t_b，其中获得了 T:= T(TCV⑴)。
[0090]应当指出的是，如果该方法应用于TCG定义的精确性报告AS而不是SA，则仅当它能够核实刻度值的精确性时才能获得可信的更严格的时间界限，而这通常是不可能的。这就是说，使用TCG定义的精确性报告AS将只能在两个刻度值的中间替换(shift)由时间戳表示的RTC值，而不添加任何有关外部TCV的声明。这再次突出了 TCG精确性报告AS的缺点。
[0091]刻度增量率是平台中的TPM的一个出厂参数。即使它的初始值出于实践目的是可信的而且是足够精确的，随着时间的流逝这也会发生变化，因为用来确定特定的TPM的实际TIR的硬件属性可能随长时间的跨度发生变化。这里，提出了一个采用任意的精确性测量P中的TPM的实际TIR的方法。
[0092]图6是表示可信的TIR测量600的示例性图表。P生成两个精确性报告S_1:=SA (t_a, TCV (t_l)，t_b)和 S_2: = SA (t_c, TCV (t_2)，t_d)(步骤 610)。由此，P 将 S_1 和S_2递送到的外部验证器计算实际TIR的当前估计值作为由S_1和S_2所包括的时间间隔中的TIR的平均值(步骤620)，如下:[0093]t，_l:= (t_b_t_a)/2,而 t，_2: = (t_d_t_c)/2 等式 10
[0094]cTIR (S_l，S_2): = (t，_2_t，_1) / (TCV (t_2) -TCV (t_l))等式 11
[0095]作为精确性报告有关的分别在t_l和t_2周围的常量TCV的时间间隔上的合格率(yield)界限，cTIR也遵从上下界限。所述界限是:
[0096](t_c-t_b)/(TCV(t_2)-TCV(t_l)) ( cTIR ( (t_d_t_a)/(TCV(t_2)—TCV(t_l))等式12
[0097]使用两个SA类型的精确性报告来测量TIR伴随着该方法同时提供关于cTIR的上下界限。这可以用在有反向利益需要平衡的许多业务情况中。例如在DRM情况中，权限持有者具有限制媒体的允许的消耗期限的利益，而消费者具有延长该期限的利益。这涉及到第一和第二刻度计数值的差值的实际增加。cTIR和所述界限均可以由任何拥有S_1和S_2的人来计算。这可以是外部验证器或者P中的ITA。在该实例中，后者接下来向外部实体传递cTIR以提供对TPM的TIR的不精确性的修正(步骤630)。此外，在TIR测量中可以独立地选择每个时间机构。特别是它们中的一些可能与内部RTC值相关。为了进一步增加cTIR的估计的精确性，可以使用上述的对于延迟补偿的方法。
[0098]应当指出的是，可以通过使用越来越多的时间声明来连续地改进所述界限的精确性，这是因为其后不仅是刻度而且还有精确性报告生成(其中用于往返通信和签名生成的时间可能不同)的样本空间变得更大并因而统计误差会更小。可以通过使用遍布在充分长时间间隔上的时间声明来获得TIR的偏差率。该偏差率也可以表示为TIR的第一导数。
[0099]计时设备或设备上的工艺的老化可以通过真实TIR的缓慢增加的与出厂值之间的偏差来见证，而与老化行为之间的偏差(deviation)可以得出有价值的信息。由此,cTIR和包括导向它们的精确性报告的测量可以在各种不同的情况下用以导出关于P的状态、功能参数、或可信性的评估。
[0100]在篡改检测中，在设备或者其TPM或MTM上的主动侧信道攻击可能导致cTIR的偏离，因为这种攻击很多都施加于设备内部程序的计时上。探测到这种攻击的一个方法就是着眼于测量的cTIR的统计变化。如果该统计变化大于一个特定的预定值(这可以通过在正确功能设备样本上用实验的方法来确定)，则可以解释为是一个在设备(平台P)、TPM或刻度计数器上的攻击。
[0101]在故障探测中，cTIR可能在一个时间段内持续地并且显著地较低或较高，并且高于因为老化可能导致的正常偏差。这种情况可以由外部观察者解释为设备刻度计数器或设备本身故障的凭证。
[0102]不正常工作情况的探测:如果cTIR在一个时间段内任意地并且显著地较低或较高，并且高于因为老化、电压变化或温度变化等等所导致的正常偏差，这也可以由一个外部的观察者解释为不正常工作情况或者刻度计数器或设备的篡改的凭证。
[0103]上述的探测方法可以大量嵌入进本领域中使用的可信设备中，这些设备可能不具有除了上述方法之外的其它功能(例如增强型传感器)来探测异常。将TPM嵌入所使用的长期无人看管或无人服务的机器对机器(M2M)系统可能是一个预期的应用领域。
[0104]目前为止描述的可信时间报告自身没有作出关于P的可信性和/或特征的声明。很明显后者是根据P所使用的签名密钥来签署刻度戳的。这对精确性报告和稍后的刻度戳来说是安全性的关键，这依靠它们。这就是说，TA本身不知道请求报告的平台的状态；更糟糕的是，它甚至根本不知道他在与TPM通信，因为可以模仿刻度戳操作和刻度计数器本身。因而，没有进一步的保护，精确性报告将面对所有类型的攻击，包括TCV操纵、伪造刻度戳、中间人攻击、等等。图7示出了可能克服一些这种问题的一个示例方法。
[0105]图7是表示保护精确性报告700的方法的一个示例性图表。假定P已经生成了证言身份密钥(AIK)并且为此拥有来自私密的CA(PCA)的AIK证书，该证书是它根据由TCG所定义的协议请求的。精确性报告以如下方式被绑定在平台特征(platform identity)上。P可以从AIK生成签名认证密钥CSK(步骤710)。P和TA接着可以分别生成精确性报告AS O和SAO，其中每个由P刻度标记的情况都被指定使用CSK作为签名密钥，即TS[CSK](TCV(t*))在每个时间t*在任一协议中调用一个刻度戳(步骤720)。
[0106]上文使用的CSK可以专用于该单一的操作，并且在生成精确性报告后即被废弃掉，或者可以用在进一步的操作中，特别是用于随后的刻度标记。为了在稍后的时间t向验证器V证明可信平台P拥有一个数据blobD，P可以生成TTS(t):= TS[CSK] (D，TCV(t))，这里CSK可以是由AIK认证的一个新的密钥，也可以是最初在精确性报告生成中使用的那一个(步骤730)。P可以向V公布AIK证书、CSK的公共部分、精确性报告或其中签名数据，TTS(t)、D、和TCV(t)(步骤740)。V接着可以验证精确性报告是由可信平台在活跃的TPM下创建的(步骤750)，该TPM大体满足由TCG指明的安全要求，并且特别是关于计时刻度或由同一个平台生成可信时间报告TTS(t)(步骤760)。
[0107]类似地，不仅精确性报告，而且其它任何可信时间报告均可以使用CSK。特别地，由TPM操作的每个刻度戳可以使用CSK来生成表示在特定TCV处拥有一些数据的TTS。
[0108]PCA可以充当TA的作用以通过集成AIK认证和TTS生成的步骤来提供精确性报告。在平台P和PCA之间认证AIK的过程如下。
[0109]当P请求来自PCA的AIK认证时，P也根据上述的方法发出对精确性报告SA的请求。PCA和P为生成SA而运行上述协议，其中签名数据D被指定为所请求认证的AIK的公共部分，或与它连接。应当指出在该协议中P的刻度戳不能由CSK为请求的所述AIK来签署，因为后者仅仅在由PCA认证后被激活使用。因而针对刻度戳必须由P使用另一个签名密钥，并且减轻对SA生成协议的中间人攻击是PCA和P的责任。这通过在AIK认证过程中使用加密和随机数来实现。仅当使用了加密和随机数之后，PCA才将继续进行AIK认证。
[0110]该TTS独自具有接收AIK认证请求的重要性。当被一起呈现给验证器时，生成的TTS的重要性和AIK证书是:P是在某个特定时刻请求AIK认证的可信平台而AIK认证请求的时间处于由SA中的两个TCV所表示的两个时间值之中，即，如以上生成的TTS —样的可认证报告。
[0111]TTS由参考点绑定至P的特定AIK。因而，随后由P发布的每一个后来的刻度戳或者由P生成的另一个精确性报告可以及时地被绑定至该参考点，并且其与使用AIK的CSK的TCV的可信关系如上所述。这种声明的一个使用案例就是分别地撤回、无效欺诈平台的AIK凭证。
[0112]当TTS的生成被延迟直到PCA的AIK认证以如下方式发生时，可以绕开上文指出的需要附加签名密钥的问题。当P请求来自PCA的AIK认证时，其还根据上述的方法发送对精确性报告SA的请求。PCA执行AIK认证并生成证书。PCA生成SA生成协议的第一时间戳，该SA生成协议包括AIK的公共部分或作为签名数据的整个AIK证书。PCA向P发送AIK证书和第一时间戳，并选择性地启动一个定时器。P和PCA完成SA生成过程，其中P为AIK使用了 CSK。可选择地，PCA在仅当定时器值不大于特定的预设值时，才可以通过生成最新的时间戳来强制刷新生成的TTS，使得其中表示的TCV在AIK认证之后仅仅停留有限的时间。
[0113]TCG引入了远程证明的概念来向验证器证明平台不仅包含可用的TPM，而且还处于精确确定的、可依赖的状态。该概念的一个主要问题是平台的状态常常随着时间的变化而变化。
[0114]可以扩展远程证明过程以包含有关其发生时的时间的报告。图8是远程证明过程800的一个示例性流程图。在收到来自验证器的证明请求(步骤810)并在证明客户端和TPM之间建立授权会话之后，生成刻度戳TS_A(步骤820)。这可以使用用于随后的远程证明的AIK的CSK来执行。P接着使用TPM_Quote (TPM_引证)命令通过用AIK签署平台配置注册(PCR)(步骤830)继续进行远程证明。
[0115]作为进一步的延伸，为了测量由签署的PCR表示的P的状态和存储测量日志(SML)之间的时间差，在向验证器发送证明包(AP)(步骤850)之前可以立即生成第二刻度戳TS_B (步骤840)。该方法的优点是SML实际上按照一定的粒度存储事件，也就是说，并非在SML中记录了平台状态的所有的信息改变，更不用说物理改变了。SML的深度取决于P、特别是可信操作系统的执行。因而可能会有没有存储在SML中的事件发生在签署PCR值和获取SML之间。可以通过使用由TS_B和TS_A之间的不同所表示的时间差来评估这种情况的可能性。
[0116]可以实现各种不同的选择，例如证明客户端可以以上述的任一方法向TA请求时间戳以生成精确性报告，证明客户端可以充当内部ITA、或者与内部ITA合作来生成精确性报告，代替仅仅的基于RTC值的刻度戳，该刻度戳可以集成在修改的证明包数据结构中，或者平台的存储测量日志(SML)可以由刻度戳扩展。
[0117]由刚刚描述的方法合并在远程证明中的时间报告可以用来部分地减轻验证器的负担，以保持可信平台状态的大数据库。例如，PCA可以维持欺诈平台列表(例如，使用某个恶意软件有时在某种状态下影响到平台的信息)并且验证器可以向PCA提交AP、TS_A、TS_B以在证明时间获得有关P的可信性的信息(“第二观点”)。
[0118]当在较早的时候通过P的状态将时间报告与证明对比时，时间报告还会更有用。为此，不得不使用相同的标识、即AIK (虽然这有些违背想来是保护平台的标识的AIK的本意背后的精神)来执行随后的证明。接着，验证器可以评估平台状态是否以一种不合意的方式同时在证明之间发生了变化。
[0119]在TPM计数器的每个重置中，要求一个随机数以便获取良好定义的安全性上下文来向外部的实体传送时间报告。该刻度会话随机数(TSN)随后用于将时间戳和该重置操作关联。需要该随机数对于该设备和每个重置操作来说是唯一的，因此该随机数由TPM内部的随机数生成器生成。实际的TSN可以通过生成TPM_GetTicks命令来获取。该TSN值包括在得到的CURRENT_TICKS数据结构中。
[0120]对于TPM跨越电源周期或在平台上不同的电源模式中维持增加刻度计数器的能力的功能，当前的TCG说明没有作出要求，这导致了会话的丢失。为了建立能够保持在重启周期和不同电源模式下的会话，需要一个元会话概念来提供会话，该会话可以使用元TSN(mTSN)跨越不同的TSN会话。
[0121]图9是表示元会话的一个示例性方法900。可以由外部时间提供者或时间机构(TA)来提供、或者由TPM的随机数生成器来内部地提供mTSN。在第一种情况下，TA在平台的初始化过程期间在一个特定的时间点接收来自设备的mTSN请求(步骤910)，例如引导该操作系统生成mTSN(步骤920)，存储该mTSN(步骤930)，并将该mTSN安全地(TPM密封地)传送给设备(步骤940)。在第二种情况下，设备生成mTSN并将它绑定到平台证明并向TA发送该绑定的mTSN以便表明该mTSN是在无危害的平台上由一个活跃的、不变的TPM生成的。该mTSN接下来用作TPM_TickStampB1b命令的随机数。每个生成的戳于是包括该mTSN,将其指派给特定的元会话。
[0122]应当指出在上述两种情况下，在会话初始化周期期间，设备必须要么向TA发送mTSN的请求，要么向TA发送它自身生成的mTSN。
[0123]mTSN的使用没有硬件方式的保护，因此要求一个在TC中定义的可信的操作环境。该操作环境由证明操作来验证，它允许将mTSN封装在整个系统的一个特定的良好定义的状态中。它还充分使用最新的TSN作为下一个戳操作的随机数，而不是使用固定的mTSN。这可能导致链接到该会话的链路。为了证明该链路的完整性，要求至少向第一个戳添加脱机证明数据。这允许系统状态的延迟验证。
[0124]在时间提供者(TA)或操作者处对随机数数据库的需求可以通过广泛使用由TA和操作者发布的签名来排除和减轻。该方案在弹性方面提供了一个很大的进步，因为网络端的通信减到了最少的业务量。在设备端，随机数相当于一个COOKIE (会话值)，它允许若干不同的时间服务和可能在通信中用到的参考帧。
[0125]另一个跨越单会话间的缺口和证明会话单一性的途径是在平台设计中包括一个被认为可信的实时时钟(RTC)。该可信的RTC提供了根据上文展示的mTSN方案包括了其签名的签署日期。这至少要采用第一随机数来进行。实现可信的RTC要求建立受保护的加密功能和唯一标识。
[0126]在一些使用案例中，要求使用在最新的报告中报告的TCV和TIR预测将来的TCV。如果由于例如电源故障等终止了初始会话，则有必要跨越该事件并向随后的会话映射该旧的TCV。这是通过使用初始会话的AS和接收到的数据及绑定TCV到特定时间点的时间戳来完成的。每个随后的会话也接收一个AS。通过使用这两个AS、日期和时间信息及TIR，有可能计算出在随后的会话中的事件的TCV相关的耗用时间。此外，通过分析系统日志和互相作用的轮廓，有可能评估出“会话外”持续时间(例如电源故障时间)。该基础方案还可以与先前展现的mTSN概念的概念进行组合。
[0127]可信计算技术的一个应用是用于DRM。在DRM情况中，可以在两个阶段使用精确性报告。下面的示例使用了开放移动联盟的术语。通常的情况假定设备配置了 DRM代理，SP，遵从由特定的权限所有人设定的权限在内容上使用了接入控制的一个实体。
[0128]图10是在DRM中使用可信的计算技术的方法1000的示例性流程图。在该示例中，权限发行者(RI)可在执行授权对象获取协议(ROAP)期间、如在OMA DRM v2.0标准中所定义的、从DRM设备请求AS和刻度戳(步骤1010)。可以将AS绑定至平台上的证明报告以允许RI检查其完整性(步骤1020)。以这种方式，RI获得DRM代理是可用的和无危害的，并且具有接入精确的、无篡改的时间的保证。如果所有的这些检查均成功，则仅仅传递该授权对象(RO)(步骤1030)。RI接着可以直接根据RO中的TSN和TCV在使用权限中编码时间界限(步骤1040)。一旦在权利获取的初始化阶段期间接收到R0，DRM代理可以与设备上的ITA合作，或者甚至可以与该ITA结合在一起(步骤1050)。DRM代理接着可以从TPM获得刻度戳(步骤1060)并将TSN和TCV与RO中表示的界限进行比较并相应地运用到内容的接入控制。
[0129]在第二示例中，RO中的时间界限使用标准时间格式，例如，UTC、数值，并且将它们与TCV联合是DRM代理的任务。DRM代理可以使用在启动时间生成的AS来保证TCV被绑定至精确的外部时间，并且属于刻度计数器的同一个会话(通过比较AS中的TSN和MTM非易失性存储器)。再一次，DRM代理具有有效的时间与TCV关联来基于到内容的接入控制。当AS和接入内容的时间之间的时间跨度很长时，TCV可能发生显著的偏移，可以使用上述的方法来进行修正。
[0130]在DRM情况中，到由唯一的TSN表示的单个刻度会话的TCV的有效性限制会是有用的。当重置刻度计数器和更新TSN时，权限可以绑定至特定的TSN值而DRM代理将不准许对受保护的内容的接入。如果一些实体例如MTM、DRM代理或ITA能够重置刻度计数器(要么通过任何一种使刻度计数器丧失功能并如说明授权来强制重置的手段，要么通过扩展TCG标准中载明的功能)，这可以用来在任何TSN会话、合意的时间或TCV中使到内容的接入权限失效。另一方面，如果想要维持超出单一 TSN会话之外的接入权限，R1、DRM代理和/或ITA可以使用方法来跨过会话并更新TCV和TSN的有效性限制。
[0131]当可信的移动电话将接收到来自外部实体的外部RM证书并将该证书转变为它将持有并用于内部平台证明目的的内部Rnu正书时，有很多的情况。在很多的情况中，外部证书将具有日期和时间方面的有效性信息。然而当前的TCG移动电话工作组(MPWG)说明并没有包含明确的日期和时间字段。MPWG的该决定的背景是，TPM和平台均没有被预见到在不久的将来具有拥有可信时间信息来对证书进行有效性检查的能力。移动电话的内部RIM_Certificate (RM_证书)当前仅仅使用单调的计数器进行有效性检查的目的。这明显地限制了对RM_Certificate可以做的有效性检查的种类。
[0132]尽管如此，如果有一个例如由本文之前描述的方法所提供的安全时间源，则可以根据用真实日期和时间所表示的有效性周期来检查R頂证书的有效性。
[0133]在一个替换实施方式中，可以在包括安全和可信的内部时间代理(ITA)的系统中使可信的移动电话的内部参考完整性度量(RM)证书更加安全。ITA安全地处理由安全RTC提供的实际时间信息。对于具有此种功能的电话来说，可以用由ITA提供的日期和时间字段来替代或补充内部RIM_Certificate结构中的单一(monotonic)的计数器字段。同样地，如果能够从ITA和电话的TPM得到TSN的会话跨度和/或TCV值，则还可以在内部RM证书的一个适当的地方包括该TSN的会话值和/或TCV的连锁记录。使用杂乱的(hash)扩展可以是以一种由验证器验证的方式来获取TSN的会话值和/或TCV的历史的一个选择。
[0134]就在TSN/TCV上包括作为日期/时间或会话跨度信息的这种补充信息来说，可以使用当前RHLCertificate格式中可用的扩展分类字段(64字节)。应当指出，该字段是针对专有性或辅助性数据字段的分类的，因而可以提供一个用来插入该日期和时间数据的位置。
[0135]虽然本发明的特征和元素以特定的结合进行了描述，但每个特征或元素可以在没有其它特征和元素的情况下单独使用，或在与或不与其它特征和元素结合的各种情况下使用。这里提供的方法或流程图可以在由通用计算机或处理器执行的计算机程序、软件或固件中实施。关于计算机可读存储介质的实例包括只读存储器(ROM)、随机存取存储器(RAM)、寄存器、缓冲存储器、半导体存储设备、内部硬盘和可移动磁盘之类的磁介质、磁光介质以及CD-ROM光盘和数字多功能光盘(DVD)之类的光介质。
[0136]举例来说，恰当的处理器包括:通用处理器、专用处理器、常规处理器、数字信号处理器(DSP)、多个微处理器、与DSP核相关联的一个或多个微处理器、控制器、微控制器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)电路、任何一种集成电路(IC)和/或状态机。
[0137]实施例
[0138]1、一种用于在无线通信中保护时间值的方法，该方法包括:
[0139]传送时间戳请求；
[0140]接收响应于所述时间戳请求的时间戳；
[0141]生成刻度戳；
[0142]传送所述刻度戳；以及
[0143]接收替代的精确性报告。
[0144]2、根据实施例1所述的方法，其中接收到的替代的精确性报告是可信时间报告。
[0145]3.一种用于在无线通信中保护时间值的方法，该方法包括:
[0146]接收第一时间戳；
[0147]生成两个刻度戳以进行连续传送；
[0148]接收修改的时间戳；以及
[0149]刻度标记所述修改的时间戳。
[0150]4、根据实施例3所述的方法，其中以预定的时间间隔连续地传送所述两个时间戳。
[0151]5、根据实施例3或4所述的方法，其中所述第一时间戳包含数据。
[0152]6、根据实施例3-5中任一项实施例所述的方法，其中所述数据包括生成所述两个刻度戳的指令。
[0153]7、根据实施例3-6中任一项实施例所述的方法，其中所述第一时间戳和所述修改的时间戳接收自不同的时间机构。
[0154]8、根据实施例3-7中任一项实施例所述的方法，其中所述不同的时间机构中至少一个时间机构是内部时间代理。
[0155]9、根据实施例3-8中任一项实施例所述的方法，该方法进一步包括:
[0156]获取实时时钟值；
[0157]保护所述实际时钟值；以及
[0158]根据所述实时时钟值生成时间戳。
[0159]10、根据前述实施例中任一项实施例所述的方法，该方法进一步包括:
[0160]使用可信平台模块(TPM)来保护本地时钟。
[0161]11、根据前述实施例中任一项实施例所述的方法，其中所述方法是基于可信的计
算方法。[0162]12、根据前述实施例中任一项实施例所述的方法，其中所述TPM被安全地绑定至外部时钟。
[0163]13、根据前述实施例中任一项实施例所述的方法，该方法进一步包括:
[0164]使用至少一个精确性报告(AS)来审计由提供初始时间的时间源所提供的数据。
[0165]14、根据前述实施例中任一项实施例所述的方法，该方法进一步包括:
[0166]在X.509证书的应用中忽略在线证书状态协议(OCSP)回应者以便降低经营信任中心的成本。
[0167]15、根据前述实施例中任一项实施例所述的方法，该方法进一步包括:使用安全时间源来检查证书。
[0168]16、根据前述实施例中任一项实施例所述的方法，该方法进一步包括:
[0169]使移动设备能够具有多种使用方案以便有可能由该设备通过与其它实体合作来建立可信时间报告。
[0170]17、根据 前述实施例中任一项实施例所述的方法，其中精确性报告(AS)在硬件保护的设备端计数器值与实际的时间之间提供了可信的链接。
[0171]18、根据实施例17所述的方法，其中AS是由可信的计算方法建立和保护的并且提供了充分的弹性和对得到的时间报告的可信性的调整。
[0172]19、根据前述实施例中任一项实施例所述的方法，其中外部时间在时间戳产生之后被绑定至所述TPM。
[0173]20、根据前述实施例中任一项实施例所述的方法，其中在TPM的平台上的内部刻度计数器和其它实体之间有合作，以便获得刻度计数器值与实时时钟值之间的关系。
[0174]21、根据实施例20所述的方法，其中联合使用了签名的刻度计数器值和时间戳。
[0175]22、根据前述实施例中任一项实施例所述的方法，其中当使用了实体的多个示例时，并且其中使用了诸如刻度计数器值(TCV)TCV_1、刻度会话随机数(TSN)TSN_a、D (blob)_l或0_1、以及TS_1、…、TS_n的下标符号,使得真实物理时间被表不为t_l、…、t_n,并且刻度计数器在一些实际时间的值被写作TCV(t)。
[0176]23、根据实施例21或22所述的方法，其中如果对于可信性和安全性AS不能充分令人满意，则需要验证器以分别在T_1与t_a之间和t_a与T_2之间的周期中关于精确性而对TPM刻度计数器的适当功能进行验证，由此评估它们之间的实际时间差。
[0177]24、根据实施例23或23所述的方法，其中为了更好地绑定T (TCV (t))至实时时钟值，该值被构造在两个时间戳之间。
[0178]25、根据实施例22-24中任一项实施例所述的方法，其中围绕TS (TCV)合并自TA的时间戳，导致了不同的可信时间戳(TTS)。
[0179]26、根据实施例22-25中任一项实施例所述的方法，其中在某个初始时间，平台(P)通过某个已知的数据D从TA请求时间戳。
[0180]27、根据实施例22-26中任一项实施例所述的方法，其中在t_a，时间机构(TA)创建了 TStamp (D，t_a)，并立即将其发送回P。
[0181]28、根据实施例22-27中任一项实施例所述的方法，其中P在时间t >= t_a接收来自TA的时间戳，并创建TS (TStamp (t_a)，TCV (t))并立即将其发送回TA。
[0182]29、根据实施例22-28中任一项实施例所述的方法，其中TA接收TS (TStamp (t_a)，TCV,并在 t_b 创建 SA (t_a, TCV (t), t_b): = TStamp (TS (TStamp (t_a), TCV (t)), t_b),并立即将该结构发送回p。
[0183]30、根据实施例22-29中任一项实施例所述的方法，其中t_a < = T < = t_b，这里T:= T(TCV(t))。
[0184]31、根据实施例22-30中任一项实施例所述的方法，其中在时间t_a，TA向P发布包含了指令的数据⑶的时间戳，以便以预定的时间间隔⑴发布两个连续的刻度戳。
[0185]32、根据实施例22-31中任一项实施例所述的方法，其中TA在发布时间戳之后获得TStamp(D(I)，t_a)，所述TA立即将所述时间戳发送至平台P。
[0186]33、根据实施例22-32中任一项实施例所述的方法，其中P —旦接收到TStamp (D (I), t_a)就刻度标记 D (I) I t_a。
[0187]34、根据实施例22-33中任一项实施例所述的方法，其中P获得:TS1:= TS(D(I)，t_a)，TCV(tl))。
[0188]35、根据实施例22-34中任一项实施例所述的方法，其中tl是当发生刻度标记以及P立即向TA发送刻度戳时的实际时间。
[0189]36、根据实施例22-35中任一项实施例所述的方法，其中P等待时间间隔I，并且接着刻度标记第二刻度戳为TS2:= TS(D((I, t_a) II TSl，TCV(t2))，这里t2是t = tl+I以及P立即向TA发送该刻度戳的本地估计(在P处)。
[0190]37、根据实施例22-36中任一项实施例所述的方法，其中TA—旦接收到刻度戳TSl和 TS2 就时间标记 SA’(t_a，D⑴，t_b):= TStamp (TS2 Il TSl, t_b)。
[0191]38、根据实施例22-37中任一项实施例所述的方法，其中替代的精确性报告(SA’)是声明关系t_a <= tl < tl+I <= t_b的可信时间报告,这里tl:= T(TCV(tl)),而t2:=T(TCV (tl+I))ο
[0192]39、根据前述实施例中任一项实施例所述的方法，其中在启动周期开始时，可信平台⑵方法包括:
[0193]发起内部时间代理(ITA);以及
[0194]在可信的、无危害的状态中使用TCG移动电话工作组说明的安全启动功能而强制发起并适当配置所述ITA。
[0195]40、根据实施例39所述的方法，其中如果平台在启动时间仅仅支持装载程序的测量，则通过远程证明向外部验证器证明ITA的可信性。
[0196]41、根据实施例39或40中任一项权利要求所述的方法，其中专一目的的ITA示例共存于P上。
[0197]42、根据实施例39-41中任一项实施例所述的方法，其中在精确性报告的创建中ITA 替代了 TA。
[0198]43、根据实施例39-42中任一项实施例所述的方法，其中在ITA与RTC之间有安全信道，通过该安全信道，ITA在任何时间获取可信的实际时间值。
[0199]44、根据实施例39-43中任一项实施例所述的方法，其中ITA使用TPM的加密功能来保护RTC值。
[0200]45、根据实施例39-45中任一项实施例所述的方法，其中ITA使用软件加密库或TPM的签名功能来从RTC值中创建时间戳。[0201]46、根据实施例39-46中任一项实施例所述的方法，其中ITA使用绑定至P的证言身份密钥(AIK)的签名认证密钥(CSK)，由此由AIK来签署认证CSK的证书。
[0202]47、根据前述实施例中任一项实施例所述的方法，其中RTC和刻度计数器是由同一个时钟源来驱动的。
[0203]48、根据前述实施例中任一项实施例所述的方法，其中RTC的附加信息被合并到TPM_SIGN_INF0数据结构的未使用空间中。 [0204]49、根据前述实施例中任一项实施例所述的方法，其中详细说明了增强型TPM_SIGN_INF0数据结构以提供日期和时间的绝对指示。
[0205]50、根据前述实施例中任一项实施例所述的方法，其中从其时间源获取通用时钟(UTC)时间所需要的时间d_t以及创建时间戳所需要的时间D_t以高精确性著称。
[0206]51、根据实施例50所述的方法，其中时间相关的在P上TPM操作被假定为d_t =O0
[0207]52、根据实施例50或51中任一项实施例所述的方法，其中签名延迟补偿的精确性报告由SA (t, t’ )表不。
[0208]53、根据实施例50-52中任一项实施例所述的方法，其中为了在创建由SA(t_a，t_b)表示的签名延迟补偿的精确性报告中补偿D_t，TA在第一时间戳中纳入D_t，使得SA在时间 t_a 被修改为(D_t，变量 a)，TA 创建 D’ = D_t，或 D’ = D Il D_t TStamp (D，，t_a)，并立即将其和D_t发送回P。
[0209]54、根据实施例50-53中任一项实施例所述的方法，其中TA将D_t添加至t_a并在时间t_a创建(D_t，变量b)，TA创建TStamp (D，t_a+D_t)，并立即将其发送回P。
[0210]55、根据实施例54所述的方法，其中可信时间报告被表示为SA(t_a，D’ = D_t，t_b)(变量 2a)，或者 SA (t_a+D_t, D’，t_b)(变量 2b)接着 t_a+D_t <=T<=t_b，其中 T:=T (TCV (t))，这服从于比SA(t_a，D，t_b)更严格的时间界限，因为在SA(t_a，D，t_b)下，仅仅是 t_a <= T <= t_b,其中 T: = T(TCV(t))。
[0211]56、根据前述实施例中任一项实施例所述的方法，其中刻度增量率是平台中的TPM的出厂参数。
[0212]57、根据前述实施例中任一项实施例所述的方法，其中P创建了两个精确性报告S_1:= SA(t_a，TCV(t_l)，t_b)，和 S_2:= SA(t_c，TCV(t_2)，t_d)。
[0213]58、根据实施例56或57中任一项实施例所述的方法，其中P向其传递S_1和S_2的外部验证器计算实际TIR的当前估计值作为在S_1与S_2之间的时间跨度上TIR的平均值。
[0214]59、根据实施例56-58中任一项实施例所述的方法，其中t’ _1:= (t_b_t_a)/2，而 t，_2: = (t_d-t_c)/2 并且 cTIR(S_l，S_2):= (t，_2 - t，_1)/(TCV(t_2)-TCV(t_l))。
[0215]60、根据实施例56-59中任一项实施例所述的方法，其中作为精确性报告有关的分别在t_l和t_2周围的常量TCV的时间间隔上的服从界限(yield bound)，cTIR遵从上下限范围。
[0216]61、根据实施例60所述的方法，其中至少一个所述界限由(t_c_t_b)/(TCV (t_2)-TCV (t_l)) ^ cTIR ^ (t_d-t_a) / (TCV (t_2) -TCV (t_l))表示。
[0217]62、根据实施例56-61中任一项实施例所述的方法，其中精确性随着所包括的第一和第二刻度计数器值的差值而增加并且cTIR和所述范围均由拥有S_1和S_2的实体来计算。
[0218]63、根据实施例56-62中任一项实施例所述的方法，其中独立地选择TIR测量中的每个时间机构。
[0219]64、根据实施例56-63中任一项实施例所述的方法，其中通过使用附加的时间证明来连续地证明所述范围的精确性，并通过使用遍及长时间间隔的时间证明来获得对TIR的偏差率的评估。
[0220]65、根据实施例56-64中任一项实施例所述的方法，其中cTIR和包括导向所述cTIR的精确性报告的测量被用于各种不同的情形中以导出关于P的状态、功能参数或可信性的评估。
[0221]66、根据实施例56-65中任一项实施例所述的方法，其中如果测量的cTIR的统计差异大于特定预设值，则解释为对设备(平台P)、TPM、或刻度计数器的攻击。
[0222]67、根据实施例56-66中任一项实施例所述的方法，其中如果cTIR在一个时间段内持续地并且显著地较低或较高，并且高于因为时间设备的老化而导致的正常偏差，则这种情况可以由外部观察者解释为设备刻度计数器的故障的凭证。
[0223]68、根据实施例56-67中任一项实施例所述的方法，其中如果cTIR在一个时间段内随意地并且显著地较低或较高，并且高于老化、电压变化、或温度变化导致的正常偏差，则这可以解释为不正常工作情况或者刻度计数器或设备的篡改的凭证。
[0224]69、根据实施例56-68中任一项实施例所述的方法，其中多个预期的应用字段是嵌入的系统中的TPM。
[0225]70、根据前述实施例中任一项实施例所述的方法，其中TA不知道请求报告的平台的状态或者平台在与TPM通信。
[0226]71、根据实施例70所述的方法，其中P已经创建了证言身份密钥(AIK)并且为此具有来自私密CA(PCA)的AIK证书，该AIK证书是P根据由TCG所定义的协议请求的。
[0227]72、根据实施例70或71中任一项实施例所述的方法，其中精确性报告被绑定至平台标识。
[0228]73、根据实施例70-72中任一项实施例所述的方法，其中P根据AIK创建了签名认证密钥CSK。
[0229]74、根据实施例70-73中任一项实施例所述的方法，其中P和TA分别创建了精确性报告ASO和SA，其中每个由P标记的刻度示例被指定使用CSK作为签名密钥。
[0230]75、根据实施例70-74中任一项实施例所述的方法，其中为了在稍后的时间t向验证器V证明可信平台P具有数据blob D，该方法进一步包括:
[0231]P创建TTS(t):= TS[CSK] (D, TCV(t))，这里CSK可以是由AIK认证的新的密钥，也可以是最初在精确性报告创建中使用的那一个；并且
[0232]P向V公布AIK证书、CSK的公共部分、精确性报告或其中签名的数据、TTS (t)、D、和TCV⑴。
[0233]76、根据实施例70-75中任一项实施例所述的方法，其中V认证了精确性报告是由可信平台在活跃的TPM下创建的。
[0234]77、根据实施例70-76中任一项实施例所述的方法，其中V认证了可信时间报告TTS(t)是由同一个平台创建的。
[0235]78、根据前述实施例中任一项实施例所述的方法，其中由TPM操作的每个刻度戳使用CSK来创建表示在特定的TCV具有一些数据的TTS。
[0236]79、根据前述实施例中任一项实施例所述的方法，其中PCA起到了 TA的作用以通过集成AIK认证和TTS创建过程来提供精确性报告。
[0237]80、根据实施例79所述的方法，该方法进一步包括:
[0238]在平台P与私密CA PCA之间认证AIK，其中P请求来自PCA的AIK的证明，并发出对精确性报告SA的请求。
[0239]81、根据实施例79或80中任一项实施例所述的方法，其中在平台P与私密CA PCA之间认证AIK进一步包括:
[0240]PCA和P为创建SA运行协议，其中签名数据D被指定为AIK的公共部分或与其连接，其中针对该AIK请求证明。
[0241]82、根据实施例79-81中任一项实施例所述的方法，其中在平台P与私密CA PCA之间认证AIK进一步包括:
[0242]PCA继续进行AIK认证。
[0243]83、根据前述实施例中任一项实施例所述的方法，其中TTS具有接收AIK认证请求的重要性。
[0244]84、根据前述实施例中任一项实施例所述的方法，其中生成的TTS的重要性和AIK认证是:当一起呈现给验证器时，P是在某个特定时间请求AIK认证的可信平台；而々11(认证请求的时间处于由SA中的两个TCV所表示的两个时间值之中。
[0245]85、根据前述实施例中任一项实施例所述的方法，其中TTS被绑定至P的特定的AIK。
[0246]86、根据前述实施例中任一项实施例所述的方法，该方法进一步包括:
[0247]PCA执行AIK认证并创建证书；
[0248]创建SA创建协议的第一时间戳，包括AIK的公共部分或作为签名数据的整个AIK证书；
[0249]向P发送AIK证书和第一时间戳，并选择性地启动定时器；以及
[0250]P和PCA完成了 SA创建过程，其中P针对所述的AIK使用CSK。
[0251]87、根据实施例86所述的方法，其中PCA在仅当定时器值不大于特定预设值时才通过发布最新的时间戳来强制刷新创建的TTS，由此其中表示的TCV在AIK认证之后仅仅停留有限的时间。
[0252]88、根据前述实施例中任一项实施例所述的方法，其中扩展远程证明过程以包含有关TPM变化的时间的报告。
[0253]89、根据前述实施例中任一项实施例所述的方法，其中在收到来自验证器的证明请求后，并在证明客户与TPM之间的授权会话建立后，创建刻度戳TS_A。
[0254]90、根据实施例89所述的方法，其中使用针对在随后的远程证明中使用的AIK的CSK来建立授权会话。
[0255]91、根据实施例90所述的方法，其中P使用TPM_Quote命令通过用AIK签署PCR来继续进行远程证明。[0256]92、根据实施例88-91中任一项实施例所述的方法，其中在向验证器发送证明包(AP)之前立即创建第二刻度戳TS_B。
[0257]93、根据实施例88-92中任一项实施例所述的方法，其中证明客户以上述的任一方法向TA请求时间戳以便生成精确性报告。
[0258]94、根据实施例88-93中任一项实施例所述的方法，其中证明客户充当内部ITA来生成精确性报告以代替仅仅基于RTC的刻度戳。
[0259]95、根据前述实施例中任一项实施例所述的方法，其中刻度戳集成在修改的证明包数据结构中。
[0260]96、根据前述实施例中任一项实施例所述的方法，其中由刻度戳扩展了平台的存储测量日志(SML)。
[0261]97、根据前述实施例中任一项实施例所述的方法，其中合并在远程证明中的时间报告用来部分地减轻验证器的负担，以保持可信平台状态的大数据库。
[0262]98、根据前述实施例中任一项实施例所述的方法，其中在较早的时间通过P的状态将时间报告与证明进行比较。
[0263]99、根据前述实施例中任一项实施例所述的方法，其中在TPM计数器的每个重置中，需要随机数以获取良好定义的安全性上下文来向外部实体传送时间报告。
[0264]100、根据实施例99所述的方法，其中刻度会话随机数(TSN)随后用于将时间戳与重置操作关联。
[0265]101、根据实施例99或100所述的方法，其中随机数对于设备和每个重置操作来说是唯一的，因此该随机数由TPM内部的随机数生成器生成。
[0266]102、根据实施例99-101中任一项实施例所述的方法，其中实际的TSN通过发布TPM_GetTicks命令来获取，并且TSN值被包含在作为结果的⑶RRENT_TICKS数据结构中。
[0267]103、根据实施例99-102中任一项实施例所述的方法，其中为了建立能够保持在重启周期和不同电源模式下的会话，需要元会话来提供一个会话，该会话可以使用元TSN (mTSN)跨越不同的TSN会话。
[0268]104、根据实施例99-103中任一项实施例所述的方法，其中由外部时间提供者或时间机构(TA)生成、或者由TPM的随机数生成器来内部地生成mTSN。
[0269]105、根据实施例99-104中任一项实施例所述的方法，其中TA在平台的初始化过程期间的一个特定时间点接收来自设备的mTSN请求。
[0270]106、根据实施例99-105中任一项实施例所述的方法，其中在时间提供者(TA)处对随机数数据库的需求可以通过广泛使用由TA和操作者发布的签名来减小。
[0271]107、根据前述实施例中任一项实施例所述的方法，其中在平台设计中加入实时时钟(RTC)。
[0272]108、根据前述实施例中任一项实施例所述的方法，其中所述方法由数字权限管理(DRM)设备来执行。
[0273]109、根据实施例108所述的方法，其中权限发行者(RI)在执行授权对象获取协议(ROAP)期间，从DRM设备请求AS和刻度戳。
[0274]110、根据实施例108或109中任一项实施例所述的方法，其中AS被绑定至平台上的证明报告。[0275]111、根据实施例108-110中任一项实施例所述的方法，其中RI获得DRM代理是可用的和无危害的并且具有接入精确的、无篡改的时间的保证。
[0276]112、根据实施例108-111中任一项实施例所述的方法，其中如果所有的检查均成功，则仅仅传递该授权对象。
[0277]113、根据实施例108-112中任一项实施例所述的方法，其中RI直接根据授权对象(RO)中的TSN和TCV在使用权限中编码时间界限。
[0278]114、根据实施例108-113中任一项实施例所述的方法，其中一旦在权限获取的初始化阶段中接收R0，DRM代理就与设备上的ITA合作，或者和ITA结合在一起。
[0279]115、根据实施例108-114中任一项实施例所述的方法，其中DRM代理从TPM获得刻度戳并将TSN和TCV与RO中表示的界限进行比较并相应地运用到内容的接入控制中。
[0280]116、根据实施例108-115中任一项实施例所述的方法，其中RO中的时间界限使用标准时间格式，并且将它们与TCV关联是DRM代理的任务。
[0281]117、根据实施例108-116中任一项实施例所述的方法，其中采用唯一的TSN来表示单个刻度会话的TCV的有效性限制。
[0282]118、根据实施例108-117中任一项实施例所述的方法，其中当重置刻度计数器并更新TSN时，权限被绑定至特定的TSN值且DRM代理将不准接入到受保护的内容。
[0283]119、根据实施例108-118中任一项实施例所述的方法，其中可信时间报告用于RM证书。
[0284]120、根据实施例119所述的方法，其中依照以真实日期和时间来表示的有效性周期来检查RM证书的有效性。
[0285]121、根据实施例119或120的方法，其中可信的移动的内部RBH正书使用可信内部时间代理(ITA)。
[0286]122、根据实施例119-121中任一项实施例所述的方法，其中使用杂乱的扩展以由验证器验证的方式来捕获TSN的会话值和/或TCV的历史。
[0287]123、一种被配置成使用前述实施例中任一项实施例所述的方法的无线发射/接收单元(WTRU)。
[0288]124、一种无线发射/接收单元(WTRU)，该WTRU包括:
[0289]可信平台模块(TPM)，该TPM被配置成
[0290]传送时间戳请求；
[0291]接收响应于所述时间戳请求的时间戳；
[0292]生成刻度戳；
[0293]传送所述刻度戳；以及
[0294]接收替代的精确性报告。
[0295]125、一种无线发射/接收单元(WTRU)，该WTRU包括:
[0296]可信平台模块(TPM)，该TPM被配置成
[0297]接收第一时间戳；
[0298]生成两个刻度戳以进行连续传送；
[0299]接收修改的时间戳；以及
[0300]刻度标记所述修改的时间戳。[0301]126、根据实施例124或125所述的WTRU，其中所述TPM被配置成以预定的时间间隔连续地传送两个刻度戳。
[0302]127、根据实施例124-126中的任一项实施例所述的WTRU，其中所述TPM被配置成接收包含数据的第一时间戳。
[0303]128、根据实施例124-127中的任一项实施例所述的WTRU，其中所述TPM被配置成基于在所述第一时间戳中接收到的数据而生成所述两个刻度戳。
[0304]129、根据实施例124-128中的任一项实施例所述的WTRU，其中所述TPM被配置成从不同的时间机构接收第一时间戳和修改的时间戳。
[0305]130、根据实施例124-129中的任一项实施例所述的WTRU，其中所述TPM进一步包括内部时间代理。
[0306]131、根据实施例130所述的WTRU，其中所述内部时间代理被配置成:
[0307]获取实时时钟值；
[0308]保护所述实时时钟值；以及
[0309]基于所述实时时钟值而生成时间戳。
[0310]132、一种用于在无线通信中保护精确性报告的方法，该方法包括:
[0311]根据证言身份密钥(AIK)生成签名认证密钥(CSK)；
[0312]生成精确性报告；
[0313]生成可信时间报告(TTS);以及
[0314]公布AIK证书、所述CSK的一部分、所述精确性报告、或签名数据。
[0315]133、一种被配置成使用实施例132所述的方法的无线发射/接收单元。
[0316]与软件相关联的处理器可以用于实现一个射频收发机，以便在无线发射接收单元(WTRU)、用户设备(UE)、终端、基站、无线电网络控制器(RNC)或任何主机计算机中加以使用。WTRU可以与采用硬件和/或软件形式实施的模块结合使用，例如相机、摄像机模块、可视电话、扬声器电话、振动设备、扬声器、麦克风、电视收发机、免提耳机、键盘、蓝牙?模块、调频(FM)无线电单元、液晶显示器(IXD)显示单元、有机发光二极管(OLED)显示单元、数字音乐播放器、媒体播放器、视频游戏机模块、因特网浏览器和/或任何无线局域网(WLAN)或超宽带(UWB)模块。
【权利要求】
1.一种用于保护无线发射/接收单元(WTRU)中的时间组件的方法，该方法包括: 由篡改检测和故障单元提供电能至实时时钟； 响应于所述篡改检测和故障单元的篡改检测，所述篡改检测和故障单元停止向所述实时时钟提供电能； 其中所述篡改检测和故障单元以及实时时钟被配置在无线发射/接收单元(WTRU)用户识别模块(SIM)集成电路卡(ICC)的安全时间组件内，其中时间报告和同步控制器还被配置在所述安全时间组件上，且其中SIM组件被配置在所述WTRU SIM ICC上。
2.根据权利要求1所述的方法，其中所述实时时钟包括石英晶体振荡器。
3.根据权利要求2所述的方法，该方法还包括响应于所述石英晶体振荡器的移除，禁用所述 WTRU SIM ICC0
4.根据权利要求1所述的方法，其中通信连接至所述SIM组件和所述实时时钟的可信平台模块被配置在所述WTRU SIM ICC上。
5.根据权利要求4所述的方法，该方法还包括所述篡改检测和故障单元提供电能至所述可信平台模块。
6.根据权利要求5所述的方法，该方法还包括所述篡改检测和故障单元响应于所述篡改检测，停止向所述可信 平台模块提供电能。
7.根据权利要求4所述的方法，该方法还包括: 通过所述篡改检测和故障单元向所述可信平台模块报告电能的损失；以及 所述可信平台模块响应于接收来自篡改检测和故障单元的电能损失的指示，获取最新存储的时间记录。
8.根据权利要求7所述的方法，该方法还包括所述可信平台模块响应于接收来自篡改检测和故障单元的电能损失的指示，再同步所述时间报告和同步控制器。
9.根据权利要求1所述的方法，该方法还包括所述篡改检测和故障单元使用能量存储组件向所述实时时钟提供电能。
10.根据权利要求1所述的方法，该方法还包括使用专用能量存储组件向所述SM组件提供电能。
11.一种无线发射/接收单元(WTRU)用户识别模块(SM)集成电路卡(ICC)，该WTRUSIM ICC 包括: SIM组件；以及 安全时间组件，该安全时间组件包括: 实时时钟； 时间报告和同步控制器；及 篡改检测和故障单元，该篡改检测和故障单元被配置成: 提供电能至所述实时时钟，和 响应于篡改检测，停止向所述实时时钟提供电能。
12.根据权利要求11所述的WTRUSIM ICC，其中所述实时时钟包括石英晶体振荡器。
13.根据权利要求12所述的WTRUSIM ICC，其中所述石英晶体振荡器的移除禁用所述WTRU SIM ICC0
14.根据权利要求11所述的WTRUSIM ICC，所述WTRU SIM ICC还包括:通信连接至所述SIM组件和所述实时时钟的可信平台模块。
15.根据权利要求14所述的WTRUSIM ICC，其中所述篡改检测和故障单元还被配置成提供电能至所述可信平台模块。
16.根据权利要求15所述的WTRUSIM ICC，其中所述篡改检测和故障单元还被配置成响应于所述篡改检测，停止向所述可信平台模块提供电能。
17.根据权利要求14所述的WTRUSIM ICC，其中所述篡改检测和故障单元还被配置成向所述可信平台模块报告电能的损失；以及 其中所述可信平台模块被配置成响应于接收来自篡改检测和故障单元的电能损失的指不，获取最新存储的时间记录。
18.根据权利要求17所述的WTRUSIM ICC，其中所述可信平台模块还被配置成响应于接收来自篡改检测和故障单元的电能损失的指示，再同步所述时间报告和同步控制器。
19.根据权利要求11所述的WTRUSIM ICC，其中所述篡改检测和故障单元包括被配置成向所述实时时钟提供电能的能量存储组件。
20.根据权利要求11所述的WTRU SIM ICC，所述WTRU SIM ICC还包括被配置成向所述SIM组件提供电能的专用能量存储组件。
【文档编号】G06F21/72GK103974258SQ201410162726
【公开日】2014年8月6日 申请日期:2009年2月19日 优先权日:2008年2月19日
【发明者】I·查, Y·C·沙阿, A·U·施米特, N·孔策, C·黑特 申请人:交互数字专利控股公司