用于接入基于订阅的服务的注册和凭证转出的制作方法

专利名称：用于接入基于订阅的服务的注册和凭证转出的制作方法
用于接入基于订阅的服务的注册和凭证转出相关申请的交叉引用
本申请基于并且要求享有2009年10月15日提交的美国临时专利申请No. 61/251, 920的权益，该申请的内容以引用的方式结合于此。
背景技术：
当今有很多情况，其中可以或不可以与其他设备或者实体通信的计算设备以这种方式来使用，即设备、或者该设备内的某部分或者计算环境由个人、组织或者一些其他实体“所拥有”。我们的意思是，通过“所拥有”，设备、或者该设备内的某部分或者计算环境可能已经用实体认证了，并且此后该实体可以对设备或者该设备的某些部分采取某些形式的控制。这种情况的一个示例是在无线移动通信工业中，其中无线设备(例如，移动电话)的用户可以订阅特定移动通信网络运营商的服务。在当今移动通信工业中，无线设备通常包括订户身份模块(SIM)或者通用集成电路卡(UICC)，其中用户可以用该无线设备订阅特定的网络运营商的服务。SIM/nee向无线设备提供安全执行和存储环境，由此来执行认证算法和存储凭证，该证书使设备能够向网络运营商认证与网络运营商的设备用户的订阅，并允许网络运营商具有对设备的某些形式的控制，即，所有权。不幸的是，这个SIM/nCC机制通常被局限于与单个网络运营商使用。因此，在当今很多计算上下文中的问题(如上述移动通信设备的情况)是计算设备经常被局限于由单个实体完全“拥有”。在很多情况下，所有权必须在用户购买设备的时候建立，其阻止了可能期望在以后建立所有权的商业模型。而且，这些限制阻止了设备在以下情况中的使用，其中可能期望设备的多个相互隔离的部分的多个所有权存在，或者所有权可以不时地被转移到其他实体。例如，在无线移动通信设备(例如移动电话)的情况下，用户通常需要在购买时订阅特定的移动网络运营商的服务，并且这种设备通常不允许在移动网络运营商在购买无线设备之后的一段时间才知道的应用中使用。此外，这种设备同时提供到多个运营商网络的接入通常是不可能的。更新或者改变移动网络和服务订阅可能很困难，以及通过空中(over-the-air)来实现所述更新或改变通常是不可能的。此外，特别是在无线移动通信设备的上下文中，虽然SM/nCC机制通常被认为是高度安全的，但是安全性没有被坚固地(strongly)与该安全性所存在的整个设备的安全特性联系起来。这限制了用于高级服务和应用的缩放(scaling)安全概念的应用，例如移动财务交易。特别地，这些缺点与自主(autonomous)设备相关，例如机器到机器(M2M)通信设备。因此，期望更动态的解决方案。

发明内容
公开了可以允许用户接入来自设备上的域的远程所有者的基于订阅的服务的系统和方法。用户可以经由包括具有一个或者多个独立的域的一个或者多个设备的系统来接入基于订阅的服务，其中每个域可以由一个或者多个不同的本地或者远程所有者所有或者控制。一个或者多个设备可以包括由至少一个平台所支持的一个或者多个域。每个平台可以向域提供低级计算、存储、或者通信资源。平台可以包括一些硬件、操作系统、一些低级固件或者软件(例如启动(boot)代码、BIOS、API、驱动器、中间件(middleware)、或者虚拟化软件)以及一些高级固件或软件(例如应用软件)以及用于这些资源的各自的配置数据。每个域可以包括在至少一个平台上执行的计算、存储、或者通信资源的配置，并且每个域可以被配置成执行用于域的所有者的功能，该所有者可以位于域的本地或者远程位置。每个域可以具有不同的所有者，并且每个所有者可以指定操作自己的域的策略，以及指定操作其他域和与域所在的平台有关的自己的域的策略。提供基于订阅的服务的远程所有者可以已经获得了可被称为远程所有者域的域的所有权。此外，用户可以已经获得了可被称为用户域的域的所有权。为了用户接入基于订阅的服务，可能需要注册和凭证转出。示例性注册和凭证转出过程可以包括用户注册、从远程所有者获取凭证以及存储凭证。
注册可以包括将用户注册到远程所有者作为基于订阅的服务的订阅用户，该基于订阅的服务由远程所有者通过远程所有者域提供。用户域可以代表用户通过向远程所有者域发送请求发起注册。远程所有者域可以请求将被用于向远程所有者识别所述用户为所述基于订阅的服务的订阅用户的标识符。该请求可以向第三方进行，以便于向用户销售基于订阅的服务。远程所有者域可以从第三方接收标识符，以及用户域可以从远程所有者接收注册请求已经被接收的确认。获得和存储凭证可以包括用户域向远程所有者域发送凭证转出请求。该请求可以包括识别用户和/或第三方的信息。远程所有者域可以向远程所有者发送凭证转出请求。远程所有者域可以从远程所有者接收凭证，并向用户域发送凭证已经被远程所有者域接收的确认。在此描述的系统、方法和手段的其他特征在下面的详细说明和附图中提供。



图I示出了可以在其中使用在此描述的方法和手段的示例性系统。图2不出了系统的一个实施方式,其中在此描述的方法和手段包含(embody)于用户设备(UE)中。图3和3A示出了用于获取域的所有权的示例性启动(boot up)和过程。图4和4A示出了获取域的所有权的过程的示例性呼叫流程图。图5和5A示出了使用完整证明获取域的所有权的过程的示例性呼叫流程图。图6示出了可信的硬件订阅模块的一个实施方式的示例性状态定义、转变和控制点定义。图7示出了远程所有者域可以达到的示例性状态，以及在动态管理环境中转变能够发生的条件。图8示出了实施注册和凭证转出过程的示例性呼叫流程。图9是可以在其中实施一个或者多个所公开的实施方式的示例性通信系统的系统图示。
具体实施例方式I、示例多域系统图1-7可以涉及可以在其中实施所公开的系统、方法和手段的示例性实施方式。然而，虽然本发明可以结合示例性实施方式来说明，但是本发明并不局限于此，应当理解为其他实施方式也可以使用，或者可以对所描述的实施方式进行修改和增加以执行与本发明相同的功能，而不脱离本发明。可以在其中实施所公开的系统、方法和手段的示例性系统包括一个或者多个设备，其中每个设备可以包括由至少一个平台所支持的一个或者多个域。每个平台可以向域提供低级计算、存储、或者通信资源。平台可以包括一些硬件、操作系统、和其他低级固件或者软件(例如启动代码、BIOS和驱动器)以及用于这些资源的各自的配置数据。每个域可以包括在至少一个平台上执行的计算、存储、或者通信资源的配置，并且每个域可以被配置成执行用于域的所有者的功能，该所有者可以位于域的本地或者远程位置。每个域可以具有不同的所有者，并且每个所有者可以指定用于操作自己的域的策略，以及指定操作其它域 和与域所在的平台有关的自己的域的策略。每个域可以与其它域隔离，关于计算、存储、或者通信资源(从输入点来看)、或者域通过使用这些计算、存储、或者通信资源(从输出点来看)所提供的功能。每个域可以利用公共底层(underlying)平台的计算、存储、或者通信资源或者功能。一些域可以共享一些由公共平台提供的这种功能。平台资源和/或功能的这种共享可以以下列方式来完成，即每个域的公共资源或者功能的使用可以与另一个域的这种使用相互隔离。例如，这种隔离可以通过设备的平台来达到，其中该设备平台对其向每个域提供的资源施行(enforce)严格的接入控制，这样使得对域的资源的任何接入可以只对用户、所有者、或者该域之外的由平台和/或域的所有者授权的其它实体或者过程是允许的。平台还可以简单包括设备的一部分，其中该部分不是设备上的任何隔离域的部分，至于任意域的功能依赖于位于设备上的任何域之外的设备的资源。在相同或者不同平台上、或者在相同或者不同设备上的任意两个域之间的通信可以是安全的，这意味着域能够以安全的方式相互认证(例如，通过使用密码装置(means))，并且也能够保护它们之间交换的消息，以用于这种安全方面，例如，机密性、完整性和新颖性(freshness)。由域所在的平台提供的密码方式可以用于提供任意这样的两个域之间的这种安全通信。全系统(system-wide)域管理器可以位于域中的一个之上。全系统域管理器可以施行其所在的域的策略，并且该全系统域管理器可以通过与全系统域管理器所在的域相关的其他域的各自的策略来协调该其他域的施行。另外，全系统域管理器可以根据它们各自的策略来协调其它域之间的交互。全系统域管理器所在的域可以由容纳该域的设备的所有者所拥有。可替换的，这样的域可以由可能不拥有容纳该域的设备的所有者所拥有。图I示出了这种系统的一个实施方式。如图所示，系统可以包括一个或者多个设备100、110和120。每个设备可以包括由至少一个平台所支持的一个或者多个域。例如，设备100可以包括域106和一个或者多个其他域101、102。虽然示出了用于设备100的三个域,但在其他实施例中域的数量可以更多或者更少。这些域101、102、106中的每一个可以包括在至少一个设备的平台105上执行的计算、存储、或者通信资源的配置。每个域可以被配置成执行用于域的所有者的功能，该所有者可以位于域的本地或者远程位置。例如，域106可以由设备所有者(未显示)所拥有，而域101、102可以由一个或者多个远程所有者所拥有。每个域可以具有不同的所有者，或者设备的多个域可以由相同的所有者所拥有。每个所有者可以指定操作自己的域的策略，以及指定操作与域所运行的平台、域所在的设备相关的自己的域、和在相同或者不同设备之内的其它域的策略如上所述，系统还可以包括其它设备，其它域位于该其它设备。例如，设备110可以包括域111和112，该域111和112中的每一个可以由相同的远程所有者所拥有。当然，域111和112中的每一个可以相反，每一个由不同的所有者所拥有。域111和112中的每一个可以包括在设备110的平台115上执行的计算、存储、或者通信资源的配置。类似的，设备120可以包括域111和112。如这个示例所示，这些域中的每一个可以由不同的所有者所拥有。可替换地，这些域可以由相同的所有者所拥有。此外，域121、122中的每一个可以包括在设备120的平台125上执行的计算、存储、或者通信资源的配置。全系统域管理器(SDM) 107可以位于一个域之上。在此示例中，SDM107位于设备100的域106之上。在一个实施方式中，SDM所在的域(例如，域106)由设备100的所有者所拥有。SDM 107经由在设备100中所提供的通信机制与设备100上的远程所有者域101通信。另外，SDM 107经由可以是有线或者无线信道的各个通信信道131、132、141、142与其他设备上的域通信。通信信道131、132、141和142可以是安全的。SDM 107可以在其所在的域106上施行策略，并且可以通过他们各自的与域106相关的策略来协调其它域101、
111、112、121、122的施行。另外，SDM 107可以根据他们各自的策略以及SDM所在的域的策略(其可能是特定域的所有者的策略)来协调其它域之间的交互。作为示例，在一个实施方式中，域可以由服务提供方所拥有。例如，设备100的域102可以由服务提供方所拥有，例如，仅仅作为示例，移动网络运营商。域102可以执行订户身份模块(SM)功能以向服务提供方认证设备100，或者在某些情况下相当于设备的所有者或者用户的订阅，以使得设备100和服务提供方之间能够通信。除了上述SDM的功能，SDM 107可以访问信息和提供可以由所述一个或者多个域所使用的资源列表。SDM 107还可以监督由远程所有者所拥有的域的加载(loading)和维护。SDM 107可以向其所在的设备100的用户提供其能够加载的域列表，以及可以请求用户选择加载所列出的域中的哪一个。SDM还可以估计平台或者设备上是否还有足够的计算资源来加载，并因此支持对一个或者多个域的操作。还如上所述，SDM 107可以参与施行自己的策略，在此可以将其称为全系统域策略(SDP)，以及其他域的策略，即指定域策略(DP)。在估计是否加载新域时，SDM 107可以考虑一个或者多个已存在的域的策略。例如，由远程所有者所拥有的给定域的策略可以指定当某一类型的其它域变得活动时，该给定域就不活动。在另一个示例中，由远程所有者所拥有的给定域的策略可以指定当由某个其他远程所有者所拥有的另一个域变得活动时，该给定域就不活动。在又一个示例中，由远程所有者所拥有的给定域的策略可以指定当某一类型的其它域变得活动时，对给定域的操作就被限制以某些指定的方式进行。在又一个示例中，由远程所有者所拥有的给定域的策略可以指定当由某个其他远程所有者所拥有的另一个域变得活动时，对给定域的操作就被限制以某些指定的方式进行。SDM 107可以负责施行所有这些类型的策略。
SDM 107还可以建立或者加载域，之后远程所有者可以拥有该域的所有权。例如，这样的域可以在此处被称为“原始”状态的状态中建立，其中该域不被任何所有者所拥有，以及SDM 107可以管理远程所有者对域的所有权的建立。为此，SDM 107可以向远程所有者传送远程所有者可以考虑决定是否建立域的所有权的信息。该信息可以包括以下中的至少一个(i)证明寻求(sought)所有权的域的完整性的信息；以及(ii)证明系统的至少一个其它域的完整性的信息。该信息还可以包括(i)证明平台的完整性的信息，其中寻求所有权的域使用该平台的资源来操作；以及(ii)证明平台的完整性的信息，其中系统的至少一个其它域使用该平台的资源来操作。另外，该信息可以包括涉及设备的当前环境的信息。这种信息可以包括以下中的至少一个(i)指示系统中其它域的数量的值；(ii)提供系统中其它域的概要特性(nature)的信息；以及
(iii)指定可以由尝试建立所有权的域使用的平台的资源的信息。向远程所有者提供关于系统的其它域的信息的程度可以取决于这些其它域的关于机密性和/或隔离性的各自的策略。在远程所有者拥有了域的所有权之后，远程所有者可以对域执行一定程度的控 制。例如，在远程所有者建立域的所有权之后，域可以从远程所有者接收加密密钥、配置信息、参数和可执行代码中的至少一个，以增加域的功能性。在另一个示例中，在远程所有者建立域的所有权之后，域可以从远程所有者接收其域指定的策略。在此公开的系统还可以提供一个或者多个域的隔离和安全性。例如，一个或者多个域可以包括与其他域隔离的安全执行和存储环境。为了达到这样的安全环境，在其上建立一个或者多个域的设备的平台(例如图I中设备100的平台105)可以包括可信根(rootof trust) 103。该可信根103可以包括不变的和不可移动的硬件资源组，其完整性是预先建立的，并且可以被其它(包括域的远程所有者)所依赖。域(例如域101)的完整性可以由可信根103锚定的可信链来建立。例如，域101的完整性可以通过将域101的至少一个组件的测量与参考完整性度量相比较来建立，其中所述测量可以由可信根103产生，所述参考完整性度量可以被存储于可信根103中，并且由可信根使用以验证域的完整性。可替换地，参考完整性度量可以由远程所有者存储，以及所述测量可以被传送至远程所有者以用于与参考完整性度量比较。如果测量与参考完整性度量匹配，则域的完整性可以被验证。在一个示例实施方式中，测量可以包括通过组件计算出来的散列(hash)，以及参考完整性度量可以包括之前通过组件计算出来的、并且伴有提供参考完整性度量的认证的指示的数字证书的散列。参考完整性度量可以在制造时或者在将设备传递(delivery)给其所有者时被预先规定到设备中。参考完整性度量还可以在设备的制造/供应之后，通过通信信道(例如，通过空中无线通信信道)从远程源传递到其所有者，并在传递之后规定到设备中。参考完整性度量可以被传递到封装了(enclosed)证书的设备。该证书可以由可信的第三方来验证，以在将其传递到设备之后使用。在此公开的系统及其各种方法和手段可以嵌入到各种计算和通信上下文中。因此，系统的设备(例如图I的示例设备100、110和120)可以采取各种形式。举个例子，但没有任何限制，系统的设备可以包括无线发送/接收单元(WTRU)、用户装置(UE)、移动站、固定或者移动订户单元、寻呼机、蜂窝电话、个人数字助理(PDA)、计算机、机器到机器(M2M)设备、SIM卡、通用集成电路卡(UICC)、智能卡、地理跟踪(geo-tracking)设备、传感器网络节点、计量(metering)设备(例如水、气或者电子计量器)、或者任何能够在无线或者有线环境中操作的其他类型的计算或者通信设备。以下附图和说明提供了多种在无线发送/接收单元(WTRU)中的本公开文件的系统和方法附加的示例实施方式。然而，应当理解的是，这些实施方式仅仅是示例性的，在此公开的系统和方法并不意味着局限于这些实施方式。相反，如上所述，在此公开的系统和方法可以在各种计算和通信环境中使用。图2是示出了可以在其中包含在此描述的系统和方法的WTRU的一个实施方式的图示。如图所示，WTRU可以包括移动设备，例如UE 200。UE200可以包括移动装置(ME)210和可信硬件订阅模块(THSM)220。另外，THSM 220还可以包括THSM设备制造商(DM)域221、THSM设备所有者(DO)域222、THSM设备用户(DU或U)域223、全系统域管理器(SDM) 230、域之间策略管理器240和一个或者多个远程所有者(RO)域，例如RO的域A 224，RO的域B、225和RO的域C 226。此外，UE 200可以包括以下未示出的组件处理器、接收机、发射机和天线。在此所述的示例性实施可以被称为组件，例如关于图2所描述的那些。THSM可以是提供可信订阅管理功能的基于硬件的模块，该可信订阅管理功能通常包括那些由S頂功能、US頂功能、IS頂功能和接入网订阅执行的功能。THSM可以是硬件保护的模块。它可以包括特别设计有关于安全性特征的硬件。它能够在内部支持多个隔离的域。域可以由被称为远程所有者(RO)的不同(distinctive)所有者所认领(claim)或拥有。由RO所认领的域可以作为各自RO的代理。一个或者多个域可以执行订阅管理功能，例如可信订阅身份管理(TSM)。因为具有TSM功能的多个域可以存在于单个THSM中，因此THSM可以支持用于多个RO的订阅管理。对具有TSM的(TSM-capable)域的管理的某些方面可以由被称为全系统域管理器(SDM)的单个管理功能执行。其他方面可以单独在个别域之内或个别域之上被管理。虽然是根据通用移动电信系统(UMTS)环境来描述，但本领域技术人员可以认识到在此所描述的方法和装置能应用于其它环境而不超出本申请的范围。TSIM可以是“订阅应用”的代表性示例。例如，如果在操作于3GUMTS网络中的WTRU上实施，则TS頂可以包括所有订阅相关的功能作为其功能性的一部分，该订阅相关的功能包括UMTS认证和密钥协商(AKA)功能。TS頂可以不被绑定到指定的硬件，例如UICC。这与USM形成对比，USM只能存在于nCC上。作为替换，TSM可以在如这里所描述的可信硬件订阅模块(THSM)上实施。本领域的技术人员还将认识到，在此所描述的THSM的功能可以合并到nCC或者类似的智能卡中而不超过本申请的范围，例如符合欧洲电信标准组织(ETSI) nCC需求的nCC或者符合全球平台规范的智能卡。WTRU可以包括THSM和移动装置(ME)。ME可以包括调制解调器、无线电、电源、以及通常在WTRU中发现的各种其他特征。THSM可以包括独立的基于硬件的模块。THSM可以被嵌入到WTRU上或者其可以是独立的。THSM可以逻辑上独立于ME，即使其被嵌入到WTRU上。THSM可以包括一个或者多个域,每一个域都由域的特定所有者所拥有,并针对所有者的利益而运行，以提供安全、可信的服务和应用。因此，例如，DM的域可以表示为TDdm,并且DO的域表示为TDm。THSM中的域可以执行在ME中执行可能不安全或不方便的安全性敏感的功能和应用。—些域可以由一个或者多个服务提供方所拥有或者管理。例如，移动网络运营商(MN0);其他通信网络运营商，例如无线局域网(WLAN)提供方，或者WiMax提供方；应用服务提供方，例如移动支付、移动售票、数字版权管理(DRM)、移动TV或者基于位置的服务中的服务提供方；或者IP多媒体核心网子系统(MS)服务提供方。订阅管理可以由服务提供方所拥有的域支持。为了简化，在THSM域上实施的订阅管理功能可以在下文中被表示为TSIM功能。对TSIM功能的支持可以根据域来改变。例如，支持的TSIM功能可以包括类似于移动终端上的nCC上的US頂和IS頂应用所提供的那些功能。THSM可以像nCC —样包括除由TSIM所提供的以外的功能、应用和数据。TSIM可以是软件单元或者虚拟应用。TSM可以最开始没有与特定网络运营商或者公共陆地移动网络(PLMN)相关联的凭证。TSM可能涉及对用于UMTS蜂窝接入网的订阅凭证/应用的管理。例如，TS頂可以包括对强机密(Ki)的管理，例如UMTS认证密钥。在M2M上下文中，TS頂还可以包括M2M连接性身份管理(MCM)。THSM可以包括测量的可信核心根(RoT) (CRTM)单元，其类似于可以在具有可信平台模块(TPM)或者移动可信模块(MTM)的计算设备中找到的测量的可信根(RTM)。THSM的CRTM可以例如在THSM启动时测量THSM启动代码的完整性。完整性度量可以通过扩展操作来散列计算，例如通过在THSM的启动代码、BIOS上、以及可选地在THSM的制造商的特征(例如版本号、软件配置、或者发布(release)号)上应用密码摘要(digest)值操作。例如，完整性度量可以使用一版密码散列算法(例如SHA-X)来计算。THSM可以包括存储核心RoT (CRTS)单元，类似于在TPM或者MTM中找到的存储可信根(RTS)，该CRTS单元被配置成在保护的存储器中存储完整性度量。THSM还可以包括报告核心RoT (CRTR)单元，类似于在TPM或者MTM中找到的报告可信根(RTR)，该CRTR单元被配置成向外部询问器(challenger)报告THSM的完整性测量。因此，THSM可以有效地提供类似于TPM或者MTM根据可信测量、存储和报告的能力。THSM还可以包括实现多个可信保管者(stakeholder)引擎的能力。此外，THSM可以被配置成实现各自的多个保管者可信子系统。因此，THSM可以类似于如由TCG移动电话工作组(MPWG)规范定义的可信的移动电话。THSM可以被配置成使用例如在此所述的核心RoT能力来建立多个内部的“保管者域”。保管者可以是THSM设备制造商(DM)、THSM设备所有者(D0)、或者THSM设备用户(DU)。DU可以与DO相同或者可以与DO不同。每个THSM可以有多个DU。保管者还可以是域的不同的远程所有者(R0)，该域特别地由DO租借或者拥有。例如，如MNO、MS服务提供方、非3GPP接入网运营商、或者增值应用服务提供方之类的第三代合作伙伴计划(3GPP) PLMN运营商可以是保管者。一些域可以是强制性的，其中它们可以在制造THSM时被预先配置。例如，DM的域可以是强制性的，并且其可以在启动时根据预配置的文件被建立或者加载。DO的域也可以是强制性的，并且其可以被建立成预先规定的配置。可替换地，域可以根据下载的配置文件被建立。除了 DM的域之外的域在它们被域的所有者“认领”或者“拥有”之前可以经受远程获取所有权(RTO)过程。在指定的域经受RTO过程之前，用于非指定的所有者的“原始”域可以存在。在这种情况下，没有为该域所认领的指定的所有权。 THSM上的域可以经由THSM-ME接口与ME通信和交换信息。例如，域可以在启动或者RTO过程期间与ME通信。对通过THSM-ME接口交换的数据的保护可能被需要。
通过THSM-ME接ロ的所有通信的完整性保护可能被需要。例如，完整性保护可以使用加密密钥，例如，预先规定的临时密钥或者通过使用认证密钥交换机制来交換的密钥。加密密钥可以是对称的，例如Ktemp_I，或者是非对称的，例如用于由THSM使用的以用于完整性的公有或者私有密钥的Kpub/priV_THSM_temp_I，和用于由ME使用的以用于完整性的公有或者私有密钥的Kpub/priv_ME_temp_I。临时密钥可以用于保护接ロ。例如，临时密钥可以与有效期相关联，或者可以使 用一次或者预定次数。通过THSM-ME接ロ的通信的机密性(confidentiality)还可以使用加密装置来提供。可以使用预先规定的临时密钥或者通过使用认证密钥交换机制交换的密钥。加密密钥可以是对称的，例如用于加密(ciphering)的Ktemp_C，或者是非対称的，例如用于由THSM使用的以用于加密的公有或者私有密钥的Kpub/priV_THSM_temp_C，和用于由ME使用的以用于加密的公有或者私有密钥的Kpub/priv_ME_temp_C。为了简便，在此所描述的RTO方法和装置涉及使用预先规定的对称临时密钥。然而，本领域技术人员将能认识到，其它密钥实施也可以被使用而不超出本申请的范围。可以提供关于在具有RO的THSM-ME之间不受阻碍(in the clear)穿过的消息的阻止重放攻击。通过THSM-ME接ロ发送的每个消息可以拥有使用随机数的新鮮(freshness)质量。为了简化，在此所述的RTO协议可以包括通过ME-THSM接ロ交换的所有消息的反重放保护；然而，本领域技术人员将能认识到，其他接ロ保护配置可以被使用而不超出本申请的范围。签名可以应用于散列。例如，散列表可以由SHA-X算法产生。可信的第三方可以使用证书(CertTSIM)来验证与THSM相关联的私钥公钥对，例如KTSIM_PHv和KTSIM_Pub。可信的第三方还可以使用证书(CertKQ)来验证与网络关联的另一组密钥，例如KKQ_PHv和ΚΜ_Μ。这些证书可以存储于被分配给在考虑中(in question)的域的受保护的存储器。公钥(KKQ_Pub)可以由THSM平台(特别是TSM)使用来验证来自RO的签名，或者来加密发送给RO的消息。私钥(K.PHv)可以由网络使用以用于签名目的，并且来解密由TSM使用对应的公钥加密的消息。公钥私钥对(KTSIM_Pub和KTSIM_Mv)可以包括相似的功能，除了TSM和RO的角色被交換。可替换地，可以有用于在RO和TSM处进行加密和签名的独立的密钥对。密钥对(IWpriv和 K.Pub、以及
KiSIM-Priv 和 KTSiM-Pub )可以依赖于由所有者、用户或者二者所选择的特定网络服务。每个服务提供方(例如R0)可以具有其自己的用干与提供方相关联的THSM上的每个域的验证的公钥私钥对。所选择的服务可以确定使用哪组密钥对。例如，公钥私钥对组可以由所选择的服务提供方和THSM上相关联的域来确定。可以没有使用的密钥对的协商。公钥或者私钥对可以由服务提供方确定，以及可以紧密地与THSM子系统或者域相关联。THSM TDdq可以配置“全系统域管理器”(SDM)。SDM可以保护地存储包括“全系统域策略”(SDP)的预配置文件。SDM可以根据SDP建立或者加载用于THSM的RO的域。SDM可以被包括在DO的域的原始配置中。SDM可以使用预配置的SDP以确定哪个其它域应当被建立，以及以何种顺序。代表RO域以及当被RO域请求时，SDM可以准备和提供THSM平台环境概要(TPES)和THSM平台完整性证明(ΤΡΙΑ)。TPES可以描述关于THSM的最近“环境”的概要信息。这个信息可以包括THSM上的域的数量和概要特性，如由各自的关于机密性和隔离性的域策略所限制的和允许的，以及包括THSM上可用于与请求域通信和共享功能或者资源的任何剩余资源。TPIA可以包括THSM的一个或者多个域上的完整性证明的集合。TPIA还可以包括用于支持所述域的平台的完整性证明。TPIA可以用于向外部验证器(verifier)证明感兴趣的域和支持这些域的平台的可信状态，例如对执行用于THSM上的原始域的RTO过程有兴趣的R0。RO或者RO的域(TDdq)可以向SDM请求ΤΡΙΑ。SDM可以根据SDP答应(oblige)或者拒绝该请求。SDM还可以与THSM的物理存在设备所有者(例如服务人员)交互，以交互式地识别应当被建立和以何种顺序被建立的其它域。而且，SDM还可以请求与THSM的物理存在用户交互的用户的域，以提供用于将被建立的域和建立顺序的输入。这个信息可以用作域建立过程中的输入。当THSM执行用于RO的域的RTO过程时，其可以被配置成在完成远程获得所有权协议之前，达到四个不同的系统状态。THSM Pre_Boot系统状态可以指示THSM还没有“开机”。THSM_TDdm_L0AD_C0MPLETE系统状态可以指示THSM上的DM的域已经被建立或者被加载，作为THSM开机之后的第一个步骤。THSM_TDD()_L0AD_C0MPLETE系统状态可以指示DO的域(TDdq)被建立或者被加载成最后配置可用(last-configuration-available)。这个“最后配置可用”可以是“RT0之后”配置，或者如果DO的域从来没有经历过自己的RTO过程，这个“最后配置可用”可以是“原始”配置。DM的域可以建立或者加载DO的域。在DO的域经历至少ー个RTO过程之前，DO的域可以处干“原始”状态，并且不可以被任意指定的DO所认领或者拥有。“原始”域可以包括ー个“売”。第一次建立或者加载DO的域吋，“最后配置可用”(在此以及以后称之为最后配置)来自于预配置文件。可替换地，如果“最后配置”取决于用于RO的域的RTO过程，则THSM上的特定域可以已经经历远程获得所有权协议至少一次，并且远程所有者可以已经获取了 TSSro的所有权。这可以指示在远程获取所有权完成之后已经在平台上被配置的可信的子系统。当达到这个状态或者在此之前，特定RO可以开始执行其它任务。THSM_TDeo_LOAD_COMPLETE系统状态可以指示RO的域(TDeo)被建立或者加载成最后配置可用。这个“最后配置可用”可以是“RT0之后”配置，或者如果RO的域从来没有经历过自己的RTO过程，则这个“最后配置可用”可以是“原始”配置。DM的域可以建立或者加载RO的域。在DO的域经历至少ー个RTO过程之前，DO的域可以处干“原始”状态，并且不可以被任意指定的DO所认领或者拥有。“原始”域可以包括ー个“売”。第一次建立或者加载RO的TD时，最后配置可以来自于预配置文件。可替换地，如果最后配置取决于用于RO的TD的RTO过程，则THSM上的特定TD可以已经经历RTO协议至少一次，并且RO可以已经获取了 TDkq的所有权。这指示在RTO完成之后已经在平台上被配置的可信的子系统。当达到这个状态时，特定RO可以开始执行其它任务。如果RO的TD (TDeo)是MNO的TD，那么通过这个阶段，MNO的TD可以提供在那个 TDeo上实现的最終的可信订阅身份管理(TSM)功能。可替换地，全系统域管理器(SDM)可以实施于DM的TD中，而不是DO的TD中。在向DM的TD提供适当的授权数据之后，DO可以使用由DM的TD提供的SDM来执行THSM上的创建、加载、以及其它管理各个远程所有者TD的任务。这种情况下，THSM系统启动顺序和RTO过程顺序的细节可以与在此所述的细节不同，但是都在本申请的范围之内。对于这种情况的启动和RTO过程，还有DO或者DO的TD可以如何使用由DM的TD提供的SDM的说明(例如，可以提供何种类型的授权数据(以及怎样提供))可以与在此所述的那些类似。例如，嵌入作为智能卡的THSM可以包括卡管理器，具有支持由例如全球平台这样的标准所指定的卡管理器功能的功能，其代表卡发行者负责管理卡上的安全域。卡发行者可以类似于DM,并且卡管理器可以包括SDM的ー些功能。因此，卡管理器可以类似于DM的域中拥有的SDM。在第一实施方式中，ME可以被配置成提供安全启动能力，以及THSM可以被配置成提供全部MTM能力。在开机吋，ME可以安全地启动。例如，ME可以执行非TCG “安全”启动，如每个开放移动终端平台(OMTP)信任的执行环境TRO规范。在启动吋，THSM可以例如通过启动首先建立THSM DM的域(TDdm),然后建立“原始”THSM DO的域(TDdq)。如果DO和DU是独立的，则THSM还可以建立THSM DU的域。
THSM TDdm可以用在THSM中保护的预配置文件初始建立，并且可以在启动时可用。THSM TDdq可以用预配置文件大量地建立，但是也可以使用RTO过程来建立。THSM TDdq可以经历RTO协议。这个协议可以采用与用于RO的域(TDdq)的RTO协议相同的形式，或者可以是不同的协议。如果THSM TEiw不经历RTO协议，获得所有权所需的凭证被预配置和预先规定。THSM TEdq可以由DO所有。DO可以是实际的人员用户或者所有者、如企业或者其信息技术(IT)部门的机构、或者远程网络运营商(NO)。THSM TDu可以用在THSM TEdq中预先规定的预配置文件来建立。THSM的RO域可以根据THSM DO的全系统域策略(SDP)首先建立为“原始”配置。THSM的RO域可以经历具有RO的RTO过程。DO的域的SDM可以根据SDP管理用于RO的域的RTO过程。如果THSM的RO是ΜΝ0，这样使得RO的域是MNO的域，这个MNO的域也可以经历定义如下的协议i)MNO的域如何能被注册到MNO ;ii)订阅凭证(例如，USM或者MCM机密密钥Ki以及国际移动订户标识(IMSI)等)如何能从MNO的移动网络转出到THSM上的MNO的域，然后在那里被規定；以及iii) 一旦下载了订阅凭证，处理或者使用这个凭证的功能，或者甚至提供订阅管理功能的域如何能够从ー个设备迁移到另ー个。这些协议可以分别被称为i)注册协议；ii)凭证转出协议；以及iii)迁移协议。RTO完成之后，THSM的RO域可以向RO证明和报告自己的配置。在第一实施方式中，其中ME的可信建立机制可以被限制于执行通电时刻安全启动过程，ME配置不能进ー步由ME或者THSM所证明。可替换地，当ME完成安全启动之后，该ME可以执行自完整性检验并产生完整性值(IV)。ME可以使用空中下载(0ΤΑ)方法、依照安全模式特征(例如UMTS安全模式特征)来安装例如用于机密性和完整性保护的引擎的软件。可选择地，当RO的域的所有权经由具有RO的RTO过程获取吋，RO可以下载或者引入，然后声称自己的关于THSM的条件的策略，该策略可以接受以允许RTO过程完成。当RO同意全部THSM的条件、建立THSM的其它域的结构的条件、或者二者吋，RO可以被配置成在THSM平台上为自己安装域的“选通保持(gate-ke印)”。因此，作为RTO过程的一部分，RO可以与DO的域的SDM交换ー些信息，以识别条件或者DO的“域建立计划”，并只在这些条件对RO是可接受的时候允许RTO过程完成。在RO域最初已经同意在THSM上建立自己的RTO完成的RO的域之后，RO域还可以具有权利，并且可以被配置成执行施行这些权利的功能，以允许自己随条件或THSM的者域建立计划的任何变化而被更新，或者被通知。RO的域指定的策略(DP)可以指定RO的域可能需要被通知的变化的类型。SDM可以发起用干与期望的RO相关联的RO域的RTO过程。这可以在RO的域处于“原始”、“未被认领”状态时发生。例如，RO的域可以由DO的域和DO命名为“域X” (TDx)0域可以在仍未被认领的壳或者“原始”条件中创建。在这种情况下，SDM可以发起RTO过程，由此其代表域TDx联系期望的R0。一旦RO已经经历了用于这个域的RTO过程，则SDM可以不再发起用于这个相同域的另ー个RTO过程。作为替换，RO自身可以在这个特定域上发起另ー种获取所有权过程。这个获取所有权过程可以与至此指定的RTO过程不同，因为前者可以由远程所有者在远程发起，而不是由设备的所有者/用户或者设备本身在本地发起(有可能在SDM或者DO的域的协调下)。DO可以保留删除、摧毁、或者断开任何RO的域的权力，即使在RO的域已经经历了 RTO过程并因此被适当的RO “认领”或者“拥有”之后。然而，DO通常不能够知道RO的域内所存储的机密，或者不知道在RO的域内执行的中间计算或者功能。在SDM为原始RO的域发起RTO过程之前，其可以查找用于域建立的可用资源列表。这个列表可以由DM的域保留。SDM还可以查找“期望的域”列表。这个期望的域列表可以保留在DO的域TDdq中。SDM还可以查找系统域策略(SDP)，和THSM和平台的已存在的域的包括可信状态的当前状态，其可以用于从DM的域来查询。这个信息可以用于决定用于特定RO的域的期望的RTO过程在可用的资源和策略下是否是可能的，在期望的域列表下是否是期望的，以及在THSM的已存在的域的状态(例如，可信状态)下是否被允许。可替换地，远程所有者的域(TDlffl)可以在自己上启动和管理RTO过程。TDro可以在RTO过程之前未被认领并处于“原始”情況。“原始”RO的域TDm可以包括预配置的功能，使其能够一旦启动了就联系期望的R0，并自发的开始RTO过程。可选择地，RTO过程可以在得到TDkj提示THSM的所有者或者用户之后被启动，然后从THSM的所有者或者用户得到“点头”来发起RTO过程。被创建的以及期望被(目标)远程所有者R0_target所拥有、但还没有经由RTO过程被拥有以及仍然处于“原始”状态的域TD在下文中可以被称为TDkq ta,g:。在另ー种可替换中，TDkq可能已经经历了至少ー个具有特定RO的RTO过程，以及其当前可由RO “认领”或者“所有”。是否可以允许THSM上的DO或者其代理(例如域TDdq)启动用于相同RO的域的另ー个RTO过程可以依赖于RO的策略和/或SDM的策略。SDM可以检查RTO的目的，以及可以根据其策略结构内允许的目的或者行为决定是否允许这个新RTO继续进行。经由远程信令，RO或者RO的域(TDkq)可以发起用于具有相同RO的域的另ー个RTO过程。这个可以在RO需要更新TDkq中的配置文件、安全策略、或者可执行代码时发生。RO可以下载更新。更新可以通过非RT0、通过空中(OTA)更新过程完成。然而，在某些情况下，RO或者TDkq可以使用另ー个RTO过程来更新某些文件或者代码。当“原始”TDkq发起用于自己的RTO过程时，其可能需要依赖SDM来查找用于域建立的可用资源列表，该列表可由DM的域保留。TDkq还可以依赖于SDM来查找可由DO的域保留的“期望的域”列表、THSM的已存在的域的系统域策略(SDP)和当前状态，该当前状态包括可信状态，其可用于从DM的域查询。这个信息可以用于决定用于特定RO的域的期望 的RTO过程在可用的资源和策略下是否是可能的、在期望的域列表下是否是期望的、以及在THSM的已存在的域的状态或者可信状态下是否被允许。
SDM策略可以在DO的获取所有权(TO)过程期间被配置。这个过程可以经由在启动过程期间施行的预存在的配置结构在本地进行。DO TO还可以在远程进行；这个过程可以类似于期望用于获取域的所有权的RTO过程，该域不是设备所有者的域，如在此所述的，除非SDM检查阻塞或者允许RTO不能在用于DO的域的TO过程的情况下被调用，不像用于非设备所有者远程所有者的RTO过程的情況。SDP可以在DO获取所有权过程期间被建立，该过程可以在本地被执行(具有物理存在的和与设备的交互的D0)或者以包括与位于远程的设备所有者的远程交互的方式被执行。SDP的组件是对所有非DO域通用的允许的行为或者目的的列表。这个列表还可以包括指定不允许获取域的所有权的远程所有者的附加条目
gentriesノ。在第二实施方式中，ME可以具有安全启动能力以及可以依赖于THSM来执行ー些自己的启动代码的ー些“安全启动”检验。ME可以执行非TCG安全启动，例如OMTP TRO安全启动。THSM可以用于检验ME的完整性，以“利用”提供给THSM的物理保护。例如，ME可以向THSM发送原始数据，并且THSM可以检验ME的完整性。WTRU可以实施提供ME和THSM之间的安全信道的机制，以及ME的“有点可信赖的”部分，其可以至少被信任用于以安全方式向THSM发送代码或者数据以及例如通过安全信道与THSM安全地通信，以用于THSM进行ME的完整性检验的目的。THSM还可以代表ME在其中存储ー些ME的代码。这些代码可以在启动过程期间被加载到ME中。THSM可以担任执行ME的完整性检验、或者存储和加载用于ME的一些代码的角色，因为在THSM和ME之间，THSM由于其基于硬件的保护机制可以是更值得信任的环境。在第三实施方式中，THSM可以执行用于ME的代码的ー些安全启动或者完整性检验。这个可以证明给R0。ME可以包括单个可信实体；移动可信环境(MTE)。MTE可以是ME内部逻辑独立的环境，其比ME的其余部分更可信。MTE可以利用一些基于硬件的保护机制，例如基于硬件的可信根(RoT)。在ME的基础代码被加载之后，可以加载MTE。MTE可以是可信的实体，在某些方面而言，其可以向外部检验器提供可信的验证，例如使用可信的签名密钥。虽然MTE是可信的实体，但其不可以拥有用于测量的可信的核心根，该核心根是与实际TPM相关联的測量程序代码。至于作为电カ设备的ME，其提供THSM可以在其上运行的 “平台”，ME在此可以被称为ME平台。MTE可以被配置成收集ME平台的完整性的证据，并向THSM内的可信实体(例如启动后SDM)在至少通过使用MTE内受保护的签名密钥而提供的完整性保护下转发证据。由于THSM实施TCG TPM或者MTM类似的完整性测量和验证功能，THSM还可以实施TCG TPM或者MTM的能力以执行“扩展”操作，由此当前软件的测量与指示软件的加载的历史状态的平台配置注册(PCR)的当前值合并，以计算用于PCR的新值。THSM还可以实施将摘要值(其是软件组件的完整性的原始测量值)或者PCR的值转换为另一个完整性数据的机制，该另ー个完整性数据可用于向THSM证明ME平台的可信度。为了简化，收集的ME平台完整性的数据可以在下文中表示为ME平台完整性数据(MPID)。THSM可以不保留用于ME或者MTE的域。THSM能够从预配置文件或者通过与DM的实时联系来获得验证的(certified)度量，其与它检验计算的摘要相反。假设确定匹配，则可以进行ME的证明。MTE还可以具有收集描述ME的“环境”的数据的能力，例如模型数量、其期望执行哪种类型的服务以及为谁执行。为了简化，这个ME的环境描述在下文中可以表示为ME平台环境调查(survey) (MPES)0 THSM DO的RO可以证明自己域的以及ME平台的完整性。这个证明在M2M上下文中可以类似于可信环境(TRE)的M2ME确认功能，如已经在PCT专利申请TO 2009/092115 (PCT/US2009/031603)中所指出的。ME可以根据其自己或者根据来自THSM的请求来一直向THSM报告自己的变化状态。在第四实施方式中，ME和THSM都可以被配置成执行全部MTM功能。ME或者其域的可信度可以由ME或者由域直接证明。ME的RO域可以向RO以持续地或者以每个请求为基础报告自己的状态。THSM的RO域可以类似运行。由ME的RO域和THSM的RO域的报告可以是同步的，也可以相互绑定。报告还可以使用协议流的公共会话来做出。在这个实施方式中，ME可以被配置成执行如在此所述的THSM的ー些功能。ME可以包括自己的ー个或者多个域，每ー个域与特定所有者相关。这些域可以包括根据THSM的可信实体的属性。这些域可以包括设备制造商(DM)域和用户(U)域。这些域可以以与THSM类似的方式被预先配置。为了区分ME上的域和THSM上的域，字母ME可以在下标写上那些指示的域。因此用于DM的域可以表示为MEdm。THSM上的设备所有者(DO)域可以监控ME侧的域以确保与位于SDM中的全系统域策略(SDP) —致。随着ME中的每个域的创建，与SDM的通信可以使得THSM DO知道每个新的域配置。 ME可以包括域管理器，其可以被称为平台域管理器(MEpdm),其以类似于THSM中SDM的运行方式来运行。MEpdm可以位于MEdm中，并且初始地可以具有由DM定义的预配置。这个初始配置在自己的目的和功能上可以类似于THSM上的TDdm的初始预配置的定义。MEdm建立可以在TDim已经在THSM中具体化之后定时发生。当SDM被通知针对MEdm的建立完成了，SDM可以根据全系统约束来施加来自于SDP或者反映SDP的策略限制。SDM可以维持多个远程所有者以及他们在THSM上的域的列表。如果要在属于列表中的一所有者的ME上创建和管理域，那么SDM可以具有通过对在ME上的这些域的创建和管理的某种控制。在这个实施方式中，ME可以具有全部MTM功能。因此其可以包括用于测量的可信核心根(CRTM)、用于报告的可信核心根(CRTR)、以及用于存储的可信核心根(CRTS)。在THSM,域订阅功能可以由TS頂功能管理。如果两个域(例如ー个在THSM中，另ー个在ME上)是用于相同RO的，则THSM上的域可以用于要求非常高级别的安全和/或信任的RO的功能或者服务，例如订阅功能和其对远程所有者的管理，而ME上的域可以用于仍然要求某个级别的安全或信任但是与THSM上的域所期望的功能和服务要求的级别不同的该相同RO的功能或者服务。不是由预先配置的文件建立的域可以通过远程获取所有权(RTO)过程来被配置。对于用于典型远程所有者(RO)的ME的RTO可以类似于THSM的那些RT0。ME上的域可能不期望被用于远程所有者的订阅管理。作为替换，为了用户、所有者、远程所有者、或者他们的任意组合的利益，该域可以被期望用于执行计算和资源密集的任务。例如，这些域可以执行不适用于THSM上的相对有限资源的任务。在这些域可以在启动时被创建或者甚至在运行会话时被创建，类似于虚拟化的意义上，ME上的域还可以是更“短暂的”或“临时的”，而不是一旦创建就保持在ME中直到明确地被删除，以及可以在临时的、基于会话的基础上用于它们的指定的目的。根据对ME上其它域的资源分配及其目的的被证明的调查的请求和获得，ME上的域的远程所有者可以不具有相同级别的特权，所述其它域是由其他远程所有者所有的，或者是THSM上的其它域。提供一种用于移动可信平台的设备所有者购买“空白” WTRU的方法是有利的，该WTRU没有被指定的PLMN预分配或者初始化，以允许任意选择移动网络运营商而没有限制，其中该指定的PLMN也被称为MNO远程所有者。该方法可以包括执行WTRU(例如UMTS设备(UE))的获取所有权过程(例如RTO过程)，其中远程所有者是PLMN运营商，或者期望其订阅应用的其他类似的运营商，以及建立、客户化、和完成子系统，例如RO的域，其是THSM内的域并且可以由正确的RO认领。如上面所述，可信的硬件订阅模块(THSM)可以被建立为，或者在其中包括阻止篡改的硬件组件模块，该阻止篡改的硬件组件模块包括用于PLMN运营商和其他增值服务的订阅应用的功能，该模块例如是頂S订阅身份模块(ISM)。THSM可以是从WTRU可移除的或者不可移除的。遵从全球平台标准的nCC或者智能卡的增强版本可以是这个THSM的一个实施方式。获取所有权操作建立运营商或PLMN与WTRU之间的基本“信任”关系。这个过程可以安装和具体化包括具有通用(generic) “可信的”软件配置的“原始”引擎的“空白可信的” TS頂。这个子系统可以被远程所有者“证明”，如果平台能够提供自己的“原始”配置和安全属性的证据。图3和3A示出了这个过程的示例，其特别地涉及到在此所述的第一个实施方式。远程所有者可以是向用户提供请求的服务、建立合适的安全策略、以及施行与服 务一致的设备配置的移动网络。这个协议的所有者可以是本地的。图3和3A示出了示例性启动和RTO过程。ME可以具有预启动状态304。在306处，设备可以开机。在308处，ME可以执行“安全”启动(非TCG)。ME可以达到基础代码启动状态310。此外，在312处，ME可以向THSM发送“基础启动完成”信号。在314处，ME可以在每个基本配置加载其它软件。在316处，ME启动可以是完成(应用加载的)状态。在318处，ME可以向THSM发送启动完成消息。THSM可以处于预启动状态330。在334处，THSM可以加载TEDM。THSM可以在配置期间接收预配置文件，例如336示出了预配置文件的使用。在338处，THSM可以达到“TDdm建立”状态(基本配置状态)。THSM可以接收用于RO域的可用资源上的DM的规范，例如，如在340处示出的。在342处，TDdm可以建立TDdq (TDdq可以包括SDM)。在334处，THSM可以使用保存的配置文件，例如来建立域(由于之前的RTO其可以是可用的)。在346处，THSM可以达到TDdq建立状态(包括SDM)，其中TDdq可以是由DO未认领的或者已认领的。在350处，TDdq可以建立TDu。在352处，可以从DO接收输入。在354处，THSM可以达到TDu建立状态，其中TDu可以是未认领的或者已认领的。在356处，THSM可以接收来自DO或者DU的输入(例如，指定DO想要通过文件或者交互建立哪个域)。在358处，TDdq可以建立TDkq的RO域。现在參考图3A，在362处，THSM可以达到用TDk。建立的状态，其中TDk。可以是由RO未认领的或者已认领的。在366处，SDM可以请求TDkq来执行RT0，或者，TDk。可以通知(或请求)SDM自己将执行RTO。在370处，TDk。可以启动RTO过程。在380处，这里是代表性远程所有者(RO1 "WOn)。在384处，可以交换信息。例如，作为具有远程所有者的RTO过程的一部分，交換的信息可以包括以下ー个或者多个证明、配置、策略、目的、证书(在此被称为CERT)、密钥和到TDkq的SP。可选地，RO可以在RTO过程期间找出DO的‘环境’或者‘域计划’，以及如果其同意环境/计划就允许过程继续进行。在372处，THSM可以捕获/更新用于各个域的系统配置，在THSM中的永久保护的存储器中保存信息和存储信息。在374处，THSM可以达到具有RTO后(post-RTO)的TDkq的状态。參考第一实施方式，由DO的RTO形成的策略域可以包括影响后续RTO过程的域配置的约定(stipulation)。RTO协议可以适合于非DO R0。域指定的策略(DP)可以在RTO交易期间被下载。用于DO的DP可以不同于用于RO的DP，这是因为，这个DP (DPdq)可以包括期望用于建立和维护THSM中的其它域的全系统域策略(SDP)，其可以被远程拥有。在RTO过程之前或者期间，域的RO可以从可信的第三方(TTP)获得用于配置的參考完整性度量(RMkj)和支持THSM的所有或者一部分域的硬件或者软件的当前完整性状态，并且可以被表不为TTP — RO =RIMeo= {支持THSM的域的HW/SW的配置和状态，和/或摘要值}等式I在某些情况下，TTP能够提供用于THSM的HW和SW的子集、包括域的该域是RO想要验证的域。可能需要多个TTP来提供RMm，其中RO收集和形成共同的參考度量。 经历RTO过程的THSM的目标域(TDkq tmget)可以在THSM的SDM的帮助下被配置成向自己的RO提供签名的THSM平台完整性证明(ΤΡΙΑ)。在允许具有TDkq tmget的RTO过程完成之前，TPIA可以是THSM上的域的单独的完整性证明和/或目标域的RO想要验证的设备的平台的完整性证明的串联。THSM的目标域(TDkq tmget)可以在THSM的SDM的帮助下，能够向自己的RO提供签名的THSM平台环境概要(TPES)。TPES可以包括THSM的环境的概要，该概要包括THSM上其它域的数量和特性，以及能够益于TEkj ta,get的任何剰余的可用资源，例如THSM的平台的资源，并且可以被表示为TDli0 target — RO [ΤΡΙΑ] signed | | [TPES] signed.等式 2可替换地，不用向RO报告可能包括对感兴趣的所有域的所有证明的TPIA，SDM可以提供已经检验了所有这些域的完整性并且认为他们是值得信任的签名的声明，其可以是半自主声明。这个证明可以包括对域的集合的完整性的本地验证。本地检验器可以包括用于THSM上的每个域的有效配置列表。SDM可以向本地检验器提供可由AIK签名的ΤΡΙΑ。单独的完整性证明的验证可以要求它们匹配配置列表中对应的本地存储的条目。SDM可以执行完整性測量、日志和扩展到构建TPIA必须的PCR，以及证明每个域的可信度。这些测量和它们的扩展可以由检验器使用，以建立用于要求的域的证明已经发生了。一旦验证已经达到，本地检验器可以准备相关证明已经发生的声明，以及用来自于验证的密钥对(Ksignraifyjttiv, Ksign verifyjub)的私钥来签名这个声明。包括与签名的TPES串联的签名的验证声明的消息可以被表示为TDR。—target — RO :[验证尸明]Ksign—verify—priv I I [TPES] signed.等式 3在接收到来自TTP的，以及接收到来自TDkq tmget的签名的TPIA和签名的TPES之后，RO可以验证TDkq tmget是否处于RO找到同意继续RTO过程的目的的环境中，例如THSM中的环境，以及支持TDkq ta,get的硬件或软件和RO感兴趣的任意其他域是否处于RO同意其完整性的状态中。用于原始域的RTO协议可以在通电时开始。可选地，RTO协议可以在通电后开始。当THSM的安全启动完成时，产生的域的建立可以由配置文件来确定，该配置文件的内容反映了初始时(例如一开始)或者开机时的平台的状态，或者当设备在之前已经被启动并之后被断电时的之前的状态。因此设备能够处于包括TDdm建立、“原始” TDdo,以及“原始” TEu状态的基本配置。可替换地，WTRU可以处于以后的配置，例如根据之前的启动和域建立或者RTO过程、包括TDdm、“RT0后”TDdq、以及“RT0后”TEu状态的配置。另ー种可替换地，WTRU可以处于还包括附加域的扩展集合的配置，例如图2中所示的。这些域可能已经在之前的通电会话期间被创建，以及所有权可能已经由各自所有者通过在之前会话期间发生的之前运行的RTO过程而获得。參考第一实施方式，作为平台的安全和可信的实体，THSM可以控制获得所有权协议并确定ME是否处于最初可值得信任的状态。预先规定的密钥Ktemp可以用于保护通过THSM-ME接ロ发送的消息的机密性。为了简化，加密的消息A可以表示为{A}，对消息签名可以表示为[A]，以及符号IDme和IDthsm各自表示ME和THSM的预先规定的临时ID。RTO发起可以包括在具有特定RO的RTO过程之后，发起用于RO期望认领的“未被认领的”、“原始的”域的RTO的TDdq的SDM。用户可以发起ME平台的开机。在开机吋，ME可以执行在其中变得“活跃”的基础代码的“非TCG” “安全启动”，例如由OMTP定义的启动。作为非TCG安全启动过程的一部分，ME的基础代码的完整性可以自主地被检验。
參考第三实施方式，移动可信环境(MTE)可以跟随基础代码启动过程的完成而被加载。使用签名密钥，MTE可以证明ME平台配置的完整性。在加载基础代码之后，ME可以周期性地向THSM发送信号，该信号指示该ME已经启动到最小安全设置。由于THSM的DO的域在发送信号时可能还没有被启动，ME可以发送具有不同的随机随机数(nonce_l)的相同的信号，直到其接收到从THSM的DO的域返回的确认信号。这个信号可以被表不为Def)分组(Package) _1= “ME 基础代码启动完成”MSG | nonce_l | | IDmeME — THSM的 TDm Package_l | | [SHA-X (Package_l) ] Ktemp x 等式 4參考第三实施方式，信令可以被表示为Def) Package_l一ME 基础代码启动完成 &MTE 加载’ISG | | nonce_l | | IDmeME — THSM的 TDm Package_l | | [SHA-X (Package_l) ] Ktemp x 等式 5THSM可以“安全地”启动，以使THSM可能已经加载自己的DM的域、“原始” DO的域、用户的域、以及至少ー个RO想拥有但还没有拥有的“原始”域。此外，在加载这些域吋，每个域的代码状态的完整性可以相对于每个域的參考完整性度量(RM)来被检验。该检验可以根据例如TCGMPWG规范的规范来被执行。如果设备所有者的域之前已经经历过用于DO的RTO过程，则该设备所有者的域(TDdq)可以被加载到“预配置的”配置或者“最后保存的(之前的RTO后的)”配置。当DO的域被加载时，其可以包括全系统域管理器(SDM)。SDM可以监瞀属于其他远程所有者(RO)的域的建立或者加载以及维护。SDM可以从DM的域查找“可用于域的资源列表”，以及还可以查找TDm保护的全系统域策略(SDP)。在启动时，SDM还可以提示THSM的人员用户或者人员所有者(DO) “能够被建立的域列表”，并请求输入以选择要建立的域。在得到来自用户或者所有者的输入后，SDM可以只建立那些来自人员所有者或者用户的响应中所指定的域。SDM可以与ME交互以提供用于这些交易的用户接ロ(UI)。在安全启动之后，THSM的TDdq可以向ME发送“THSM启动完成”消息。在消息中，TDim还可以包括域的当前状态的外部可公开的概要，例如加载的RO的域的数量和名称。TDdo的SDM可以确定和施行对域的当前状态的概要的外部公开的范围(extent)，并且这个确定可以基于THSM和/或ME上的域的SDP和/或域指定的策略(DP)。TDdq可以通过包括接收到的nonce_l作为SHA-X完整性检验代码输入的一部分，来确认接收到这个消息中的Package_l,其可以被表示为Def)Package_2= “THSM 启动完成”MSG nonce_2 | IDthsmTDdo — ME Package_2 | | [SHA-X (Package_l | |nonce_l) ]Ktemp P 等式 6THSM的ID (例如IDthsm)可以保留在DM的域TDdm中，并且可以等同于TDdm的ID。DO的域TDim可以从TDdm中获取它来构建等式6中的Package_2。响应于“THSM启动完成”信号，ME可以继续完成自己的启动过程。在完成自己的启动过程之后，ME可以向THSM的TDdq发送消息，其可以被表示为Def)Package_3= “ME 启动完成，，| |nonce_3ME — TDdo Package_3 | | [SHA-X (Package_3 | nonce_2) ]Ktemp P 等式 7下面应用于DO的域的SDM发起和监瞀用于当前“原始” RO的域的RTO过程的情况。在TDdq接收到来自ME的Package_2之后，RTO过程可以被发起。TDdq内的全系统域管理器(SDM)可以通过请求“原始”目标RO的域(TD\Q Tmget)启动RTO过程来发起RTO过程。SDM可以自主地或者当人员所有者或者用户提示时发起这个过程。SDM可以向TD:发送启动用于目标RO的RTO过程的请求。该请求可以包括谁是目标RO (例如RO的ID或者网络接入标识符(NAI))以及当前请求的有效性周期。作为请求的一部分，或者作为与请求一起的独立分组，SDM还可以发送“针对允许的RO的域的SDP的情況”(以下被称为SCARD)列表。SDM还可以在期望的RTO过程之后被完成时发送用于TDm的“目标域计划”。这个消息可以被表示为Def) Package_4a=请求启动 RTOI SCARD | 目标域计划 | nonce_4SDM — TD*E0 Target Package_4a | [SHA-X (Package_4a) ]Ksign—SDM.等式 8响应于接收到Package_4，TD^ togrt可以接受或者拒绝请求。这个请求可以被解释为允许RO获取RO的域的所有权的“提议(offer)”。TD: Tmget可以根据预配置的准则或者已经被加载的自己的“原始”版本的RO的域策略来作出決定。TD: Tmget可以被配置成检查请求启动RT0、SCARD、和目标域计划，并当缺乏实际的目标远程所有者或者为了其利益时作出決定。这个可以被表示为Def) Package_5a=同意(Okay)(或者不同意)启动 RT0| nonce_5aTD*E0_Target - SDM Package—5a " [SHA-X(Package—5a) || nonce—4]Ksign_TI产R()」啤et等式 9 “原始”目标RO的域(TD*KQ Tmget)可以发起这个过程。TD: Tmget可以提醒SDM其用于RTO过程的“最終域计划”。SDM可以准许或者拒绝该请求。如果SDM准许了该请求，则TD:能够启动RTO过程，其可以被表示为Def)Package_5b=意图启动 RT0| | 最终域计划 I |nonce_5bTD*,U)_iiJ!g,- SDM Package—5b || [SHA-X(Package—5b)]K罕_TD*RO_Target等式10响应于接收到Package_5a或者Package_5b，SDM可以为用于TD*KQ Tmget的RTO过程查找可以被预先配置或者通过用于TDdq的RTO过程来获得的系统域策略(SDP)、可以被预先配置或者由所有者提供的“期望的域”列表、可以由DM的域保留并持续更新的“用于域的可用资源”列表、或者THSM中的域的当前状态。SDM还可以估计是否具有可用于建立或者维护THSM上的多个域的足够的资源，例如用于虚拟机器线程的存储或者计算资源，THSM中的域的当前状态是否匹配“期望的域”列表中所指定的那些，建立或者加载“期望的域”中的任何新域是否由THSM中的域的当前状态所支持并还由SDP所允许，或者一个或者多个域是否需要经历RTO过程。如果SDM根据可用资源、THSM的已存在的域的当前状态、以及SDP确定TD\Q Tmget能够经历RTO过程，则SDM可以指示这个确定(TD^toget)并继续准备将要在RTO过程期间转发给RO的多个完整性证明，以用于其TD\q Tmget和其周围域的评估。这可以被表示为Def) Package_6=同意继续进行 RTO | nonce_6
SDM - TD*E0_Target Package_6 I I [SHA_X(Package_6) I I nonce_5 (a 或者 b) ]Ksign—SDM 等式 11SDM可以例如通过WTRU上显示的消息来指示人员用户自己将要发起用于特定域的RTO过程。SDM还可以提示人员用户或者人员所有者(DO) “启动RTO过程的期望的域和期望的R0”列表，并只发起用于所有者或者用户在对提示的响应中所指定的那些RO的域的RTO过程。SDM可以与提供用于这些交易的用户接ロ(UI)的ME交互。TD*KQ Tmget可以请求SDM准备可以用于构建THSM平台完整性证明(TPIA)和THSM平台环境概要(TPES)的材料。这可以被表示为Def) Package_7=请求 TPIAI | 请求 TPES | nonce_7TD*E0_Target - SDM Package 7 ||「SHA-XiPackage 7) || nonce姑等式 12參考第三实施方式，该请求可以被表示为Def) Package_7a=请求 TPIAI | 请求 TPES | | 请求 MPID | | 请求 MPES | nonce_7aTD*R0_Target — SDM Package_7a | [SHA-X (Package_7a) | nonce_6]Ksign_TD*R0_Target等式13在对于TPIA和TPES的请求中，RO可以指定其从SDM搜寻关于TPIA和TPES的哪种信息。例如，对于TPIA，RO可以指定该RO想要验证其完整性的域的名称或者范围，而不是其自己。类似的，对于TPES，RO可以指定域的所有者的而不是自己的公有ID，例如网络分配标识符(NAI)。參考第三实施方式，目标RO还可以请求关于ME平台的完整性的指定信息(以下称之为MPID)以及关于ME环境的其他信息。可替换地，RO可以请求MTE被加载以及MPID和MPES由ME发送给SDM的简单指示符。在SDM请求其这样做的时候，位于ME平台的可信实体MTE可以准备值MPID和MPES。这个请求可以被表示为Def) Package_7b=请求 MPID I | 请求 MPES | nonce_7bSDM — MTE Package_7b | | [SHA-X (Package_7b) ] Ksign_SDM等式14MTE可以收集来自ME的配置数据并建立MPID。环境数据也可以被获取以产生ME平台环境概要(MPES)。这些值可以是基于能够随时间变化的当前ME状态的。如果并且当以后跟随ME状态改变作出请求时，更新的值可以被发送给SDM。通常MTE可以向SDM发送响应，其可以被表示为Def) Package_8a=MPID MPES CertMTEMTE — SDM :Package_8a| |[SHA-X(Package_8a nonce_7b)]Ksign_MTE.等式14MTE可以提供证书，该证书可以由CA签名，该证书包括其公钥Kmte Pub。因此SDM可以通过CA签名的验证来验证这个公钥的真实性，并由此用Kmte Pub检验来自MTE的消息的完整性。SDM可以准备TPIA和TPES，并在之后将它们转发给TD*KQ Tmget。为了准备TPIA，SDM可以收集完整性证明，例如“原始” TDkq的完整性证明、TEdm的完整性证明、TEdq的完整性证明、TEu的完整性证明(如果设备用户不同于D0)、以及RO感兴趣的任何其他已存在的TDkj的完整性证明。可替换地，在收集来自PCR的完整性值之后，SDM可以通过本地处理来验证自主检验和测量日志的重新计算(例如代码和数据)、以及相对于来自各个域的PCR的摘要值的域。当TTP(PCA)不知道应当包括各个域的最后的代码时可以执行这个，并且TTP能够证明WTRU上链接到用于为TPM或者MTM证明的AIK的签名密钥。TTP不可以被配置成提供RO可以用其与来自SDM的TPIA比较的摘要度量的參考值。通过重新计算用于域的代码的摘要并将它们与被引用的PCR值比较，SDM可以在本地检验为域获取的PCR引用是否是最新的。在这个本地检验通过了的情况下，SDM可以随后签名TPIA并通过MTE或者ME的方式将其传递给 TDRQ—和 ROtarget。在另ー种可替换中，3方验证、SDM可以作为TPIA的一部分提供域的摘要和測量日 志，例如实际代码。当RO得到代码以及摘要时，其可以得到用于来自TTP的摘要的參考度量，可以重新计算来自测量日志的摘要，以及可以将其与从TDro taget接收的引用的PCR摘要以及从TTP接收的摘要的參考度量进行比较。具有或者不具有測量日志的TPIA还可以包括当发生PCR引用时的“本地时间”的指示，有效地对用于单独的域的摘要的引用打上时间戳。这给出了 SDM何时最后一次获得每个域的PCR摘要的ー些指示。如果测量日志不被发送给R0，当需要验证TPIA中指示的证明吋，PCR的时间戳引用可以根据本地摘要已经被获得和被包括在TPIA中的时间是否足够最近来允许在证明验证中使用它来向RO提供一些附加信息。用于这个时间戳的时钟可以是值得信任的时钟。在3方验证失败的情况下，RO可以请求TTP向其提供更新的參考度量或者測量日志，RO可以根据它们计算期望的摘要。RO可以重试3方验证。如果验证成功，则RTO就继续。如果失败，并且RO策略要求成功的3方验证，则RTO就被终止。对于DO的域的完整性证明，SDM可以自主地获得它，例如通过SDM的本机(native)功能。对于完整性证明，除了 DO的域的，SDM可以请求各个其它域产生和签名自己的各自的完整性证明。在请求中，SDM可以包括授权数据，例如令牌，接收者可以使用该授权数据来检验SDM是否具有权限来请求和获得来自域的完整性证明。请求还可以包括接收者域的平台配置注册(PCR)的范围，目标RO以及作为目标RO的请求的转发器的SDM需要检验接收者域的完整性。这个请求可以被表示为
Def) Package_8b (i)=请求证明 | | nonce_8b (i)，i = 1，2，· · ·，NSDM — TDDomain(i) Package_8b (i) | | [SHA-X (Package_8b (i)) ]Ksign—SDM.等式15每个域(表示为domain (i)，i 1，2，. . .，N，其中N是SDM从其收集PCR值的域的数量)首先检验请求证明中的授权数据，然后获取如请求证明中指定的 PCR的范围的PCR值。这个操作可以被表示为Def) Package_8c (i)=指定的 PCR 范围的值 | nonce_8c (i), i=l, 2, . . , NTDDomain(i) - SDM Package_8c (i) | | [SHA-X (Package_8c (i) | nonce_8b (i)) ] KSign_TD_Domam(i) ·等式16SDM可以执行THSM平台完整性证明(TPIA)以串联所有证明并用自己的签名密钥对其签名。这可以被表示为Def) TPIA=串联{来自 Domain ⑴的签名的 PCR 值}，i=l，2，··，N 等式 17为了准备TPES，SDM可以通过串联其从TDdm、TDdq、以及TDD_ins(i)收集的信息来产生TPES，该信息例如可以从DM的域得到的THSM HW和SW配置和版本号、BIOS配置、平台上域的数量、为当前域使用的全部平台资源(例如存储器)、剰余的用于进一歩建立或者扩展已存在的或者新的域的平台资源、域名、或者它们的所有者的名称或ID (例如NAI)(如果被各自域所有者所允许)、日期/时间、或者单调的计数值(如果当上述环境信息由SDM收集吋，这个是可用的但不是日期/时间)，任意其他相关信息。这个请求可以被表示为Def) TPES= {收集的信息}等式18SDM可以签名TPIA和TPES并将它们转发给TD*KQ Tmget。SDM还可以包括签名的SCARD,这样使得如果DO不能够检查SCARD，则该DO可以不需要依赖任何原始TD^ Tmget。SCARD可以与TPIA和TPES —起被发送给R0，这样使得RO能够在检查SCARD、TPIA和TPES之后作出继续获取所有权的決定。这个消息发送可以被表示为SDM->TDE0 Target SCARD) |nonce_8fb| | [SHA-X (SCARD) | | nonce_8fb) ] Ksign sdmTPIA| 串联{nonce_8c(i)} [SHA-X(TPIA) | | 串联{nonce_8c (i)} ]Ksign s匪，TPES nonce_8f | [SHA-X (TPES nonce_8f)]Ksign SDM 或SCARD | | TPIA | | TPES | | [SHA-X (SCARD | | TPIA | | TPES | | nonce_8f) ] Ksign SDM等式19在从SDM接收到TPIA、TPES和SCARD之后，TD*KQ Tmget可以通过用SDM的公有签名密钥检查他们来检查它们的完整性。然后，TPIA、TPES、SCARD、指示用户期望的服务的目的信息元素(P)、以及获取所有权消息的请求(requestJO)可以被发送给ME。如果RTO过程用于已经被规定了全部TSM能力的域，则关于TSM功能的签名的证书(CertTSIM)也可以被准备并与上述分组一起被发送。可以有用于TSM功能的两个或者更多个证书。一个用于原始TSM功能(CERT*tsim)以及其他用于那些被完全实例化或更新的功能。用于原始TSIM功能的证书可以被模块化地嵌入用于DM的证书结构，例如其可以被插入原始域，该原始域来自DM的ー个功能。当RO在TDkq已经在之前经历了至少ー个RTO之后执行RTO过程时，那么其可以不再需要发送Cert*TSIM，因为这个证书将只适合用于原始域，而TDkq不再是原始域。因此在这种情况下，RO可以发送更新的证书CERTtsim。 内容可以被用目标RO的公钥(K_Target_R0_pub)加密，该目标RO的公钥可以通过证书传输或通过预配置而已经变得可用，假如目标RO在原始TD\Q Ta,get被加载时、在由TD\qTarget使用之前已经被已知。TSM可以用签名密钥K TSIM_Sign被预先規定。这个私有签名密钥的公钥可以被预先分配给目标R0。IDme是ME的ID，其中TD\Q Tmget从安全地保留ME ID的THSM DM的域TDdm获得。这可以被表示为、Def) Package_9=SCARD | | TPIA | | TPES | | P | | 请求 TO | | CertTSIM | | IDme | | nonce_9TD*E0_Target - ME {Package_9} K—TargetJjci-Pub I | [SHA-X (Package_9) ]K—TSIM_SIGN 等式 20參考第三实施方式，值MPIA和MPES可以被加入到消息中。MPIA可以包括THSM中根据MTE编译的配置数据(MPID)计算的摘要。这个摘要可以被证明只有其用获得的配置文件中预先存在的或者经由与DM的实时通信而被传递的验证的度量来检查。根据用于完整性和环境信息的RO请求，等式20可以包括SDM成功地接收了 MPID和MPES的简单指示。这可以被表示为Def) Package_9 = SCARD I けPIA I I TPES I I MPIA I I MPES I I P I I 请求TO CertTSIM I IDmeI nonce_9TD*E0_Target - ME {Package_9} K—Target—R0—Pub I | [SHA-X (Package_9) ]K—TSIM_SIGN 等式 21ME可以将上述整个消息传输至R0，其可以被表示为ME —目标 RO :{Package_9} κ—TargetJjci-Pub I | [SHA-X (Package_9) ]K—TSIM_SIGN 等式 22參考第三实施方式，消息将包括MPIA和MPES。RO可以使用自己的私钥KTmget—KQ—ΡΗν解密Package_10,检验ME的ID,并解释消息。RO可以解释SCARD并查看其是否能够“同意”来自SDP的这些条件。如果RO同意SCARD，则来自原始TD^ Tmget的值TPIA例如可以被解释为表示在任何服务凭证或者配置控制被提供给目标RO的域TD^toget之前的整个初始TS頂状态。值P可以被解释为指示用户期望的服务。在TSM使能的TD\Q Tmget的情况下可以是MNO的目标RO可以验证如TPIA中指示的自己感兴趣的域的完整性，通过将该完整性与已经独立地从TTP获得的參考完整性度量(RM)值(RMkq)比较来实现所述验证。MNO可以具有通过WTRU/THSM的供应方提供给例如TTP的证书而知道TPIA的期望值的能力。參考第三实施方式，MPIA和MPES的期望值可以通过可能由MTE是可信的实体的事实进行的证明过程是提前已知的，其中其可信度已经由THSM证明。目标RO可以查找接收的TPES，并且估计TD*KQTmget是否处于THSM系统中，在RO允许自己进ー步进行RTO过程的上下文中，该系统的“周围系统环境”(例如由TPES表示的)对目标RO是“适合的(agreeable)”。在检验TPIA、TPES、目的P、请求R0、以及參考第三实施方式之后，MPIA和MPES、目标RO (例如ΜΝ0)可以确定原始TD\Q Ta,get是足够“值得信任的”以让其进ー步进行RTO过程，以及还让其准许TD*—t与其交互以提供某些预先设计的基本服务，该原始TD*—t由目标R0、还有通常包括该TD\q Tmget的THSM请求“获取所有权”。为了执行TD^ Tawt的获取所有权，因此域可以之后下载密钥、更全面的配置、參数和可执行文件，并将它们安装以变得比基本“原始”状态所允许的更具有功能性，以及还变成由目标远程所有者(RO)认领或者拥有以及管理，目标RO可以发送包括可执行文件的配置信号(CON FIG)。RO还发送用于TSM的RM，其被称为RMtsim,如果TDkq Tmget根据接收的CONFIG安装了配置、參数和可执行文件，则RMtsim可以匹配安装后的状态。RMtsim可以被存储在TD\Q Tmget上的安全存储器中，并且可以在以后启动时用于检验TSM功能的完整性。指定要使用的安全测量以及其他配置问题的域策略(DP)可以被包括在交易中。RO指定的域策略(DP)可以不同于由SDM保留的全系统域策略(SDP)，并且表示用于建立和管理THSM上的指定RO所拥有的一个或者多个域的计划。RO指定的DP可以包括只管理对那个特定域所指定的和专有的域内应用和安全测量的策略或者计划。ー些RO可以以这样的方式进行它们的DP，以使DP还可以包括设置关于哪些其它RO是在THSM上“同意”被建立或者管理的限制的規定。例如，移动网络运营商(ΜΝ0_Α)可以以这样的方式进行他的DP· A，就是在下载和安装DPmmj a之后，如果在DPmto a中指定的关于THSM上的一些其他域的状态和特性的ー些条件被发现没有满足，其目标域(TD· A)将由一组例如其服务或者行为上的限制来管理。例如MNO可以实施DP·—A，由此如果TD_—A在调查THSM内的更大环境之后发现了还有具有他们自己的活动的TS頂功能的其他MNO的域在相同THSM上被安装和活动，则TDmto a将停用自己的TSM功能。可以要求TD: Ta,get以对应于在P中请求的服务的方式配置自己。例如，RO可以向ME发送响应，其中消息机密性使用公钥KTSIM_Pub来保护。ME可以将这个消息传输给THSM上的TD*kq Ta,get。Certffij可以包括目标RO的公钥K_R0_p,iv。RO可以在此时发送用于TS頂的參考完整性度量(RM)。RO响应可以被表示为Def) Package_10={CONFIG, DPeo, IDeo, RIMtsimI KTSIM_Pub | | CertE01 | CertTSIM | | nonce_10目标RO — ME :{Package_10}K EO_Priv | [SHA-X (Package_13 | nonce_9) ]K—TSIM_SIGN.等式23ME — TD*Target κο {Package_10}K EO_Priv | [SHA-X (Package_13 | nonce_9) ]K—TSIM_SIGN.等式24TD^ toget可以在检验具有CA的证书之后，使用私钥KTSIM_Mv解密消息，并使用Certffij中的公钥Κ.-验证RO签名。它可以安全地保存接收到的用于TS頂应用的參考完整性度量R頂TSIM。它可以从IDkq检验RO的ID，然后检验RO的策略DPkq,以及确定它是否可以及继续CONFIG的配置和安装的其余部分。TD\Q Ta,get可以经由CONFIG执行重配置，以达到“已完成的”域状态，然后执行自测试以确定自己的TSIM功能的測量度量是否匹配由网络传达的和在RMtsim中表示的度量。域TDro Tmget现在是“已完成的”不再是“原始的”，因此在表示中除去星号'这个可以被表示为TD*Target E0 :检验 DPK。，存储 RMtsim,并安装 CONFIG—
TDtogetffij :RO的域是“已完成的”等式25完成的域TDtoget κ。可以向ME发送“RT0成功和域已完成”状态消息，其将被转发给目标R0。这可以被表示为Def)Package_ll={ “域已完成，，| IDE0 Target}K_Eo-pub nonce_llTDlarget E0 - ME Package_ll | [SHA-X (Package_l I nonce_10) ] K TSIM SIGN 等式 26可选地，ME可以向用户发送状态消息(例如，被显示给WTRU的屏幕)，该状态消息是电话现在已经准备好注册和凭证转出的消息。ME可以将状态消息转发给R0，其中平台的重配置已经成功完成并已经准备好注册TSM凭证。TDKQ_Target已经达到“ THSM TDk。加载完成”状态。这个消息可以被表示为ME —目标 RO Package_l 11 | [SHA-X (Package_l 11 | nonce_10) ] K TSIM SIGN等式27这个RTO协议可以作为协议先驱以用于向提供订阅的服务的3G UMTS网络运营商注册作为THSM的所有者或者用户的订户，以及还可以作为用于下载和规定用于认证和密钥协商(AKA)的凭证的后来协议，其包括下载和规定共享的机密K和订户标识IMSI。用于公私密钥对集的证书(CertTSIM和Certro)可以在使用它们的消息中被传递。可替换地，RO的域(TDkq)和RO可以从可信的第三方获取它们各自的证书。这个获取可以被表不为TTP — ME — TDeo CertE0TTP — RO CertTSIM 等式 28在另ー种可替换中，在传递使用它们的消息之前，RO的证书CertK。可以从网络传递到ME，以及THSM的证书CertTSIM可以从ME传递到网络。因此在在此所述的加密消息之前可以发送通信，这些通信可以被表示为ME — RO CertTSIM (在发送步骤9的消息之前)RO — ME CertE0 (在发送步骤13的消息之前)等式29对于这些可替换的传递证书的方法中的每个，实体ID可以伴随在其中使用了公有加密密钥的消息。在另ー种可替换中，使用对称密钥而不是公钥可以用于保护消息的机密性。在每个实例中，发送者可以生成对称密钥Ks，例如，使用伪随机序列生成器(PRNG)，并使用这个密钥，而不是公钥来保护消息的机密性。对称加密密钥还可以与加密的消息一起发送给接收者，其中用公钥保护对称加密密钥。因此接收者能够用自己的私钥访问密钥Ks，然后使用它来解密消息。參考第二实施方式，THSM和ME可以不同于第一实施方式。THSM,而不是ME自己或者ME内的可信实体(例如MTE)可以被配置成在ME启动时执行ME的一部分或者全部代码的完整性检验。可选地，THSM还可以存储用于ME的启动代码的一部分或者全部。THSM不可以被配置成向外部鉴别器(evaluator)证明ME的完整性。它可以被配置成在启动时执行ME代码的完整性的“本地”检验。用于ME的完整性值可以用于启动过程，而不可以用于RTO过程。ME的完整性測量(表示为meas_ME)可以由THSM的DM域TEdm获得，该meas_ME表示ME代码和由于ME的安、全启动导致的配置状态。THSM的TDdm可以检验meas_ME的有效性，但不可以将其结合到平台证明中。參考第四实施方式，从例如TCG MPffG的意义上来说，ME可以是可信的ME。ME可以包括移动可信模块(MTM)，并且可以由于具有MTM作为其提供用于存储、报告、測量、验证和施行的可信根的信任锚定而是可信任的。图4和4A示出了用于远程获取所有权过程的示例性呼叫流程图。例如，图4和4A示出了 ME 402、TDdq 404、SDM 406, TD*Target eo 408中的ー个或者多个和目标RO 410之间的示例性呼叫。图4和4A中的箭头可以表示呼叫的起源/目的地。如图2和3所示，SDM可以包括位于THSM中的全系统域管理器，以及提供部分DO的功能。SDM可以监瞀和协调设备中所有域的建立，以确保所有这些域将遵从SDP以及根
据域指定的策略来运行和相互交互，这样使得策略中的任何冲突将被尝试由SDM代表其它域的DO和RO而被调解。TDdq可以包括THSM中的强制设备所有者域。TDdq可以包括SDM，并因此它可以维护系统级域策略。MTE可以包括ME侧的策略管理器MEpdm。MEpdm可以执行ME上的策略管理器功能，但是可以受THSM中SDM的监瞀。ME*Target R0 (ME* @fe_E0)可以包括由允许的远程所有者为远程所有权建立的原始域。目标RO可以包括请求ME*Target_R0的所有权的远程所有者。ME可以假设全部MTM功能,这样使得支持通过公认的(recognized)远程所有者而远程获取ME上的域的所有权。类似于參考第一实施方式描述的RTO ;它们由于SDM为了THSM和ME上的相同的远程所有者所拥有的那些域而通过MEpdm所执行的最終的策略控制而本质上不同。因此由还拥有THSM上的域的相同远程所有者拥有的任意ME域的形成和管理必须以符合SDM策略的方式发生。仍然參考图4，在41处，基础代码启动可以由ME 402完成。在415处，THSM可以安全地启动。THSM可以加载包括SDM的DO的域；其中SDM可以提供1)可用于域建立的资源；和/或2)用户可接受的域列表。在42处，THSM可以完成自己的启动。在425处，ME可以完成自己的启动。在43处，ME可以指示自己的启动完成。在这个过程期间，DM的域可以被建立，可选用户域(MEu)也可以被建立，以及可用资源被检验。DM的域可以包括提供用于ME设备的域策略的初始配置和规范的MEpdm。由于MEdm的预配置，这个策略可以被完成以与SDP的策略一致，该SDP的策略和在ME域和THSM域之间具有共同远程所有者的那些域的策略相关，那些域例如ー个在THSM上而其它的在ME上。仍然參考图4，在431处，具有自己预配置的域的ME可以发送发起RTO的“启动完成”消息。这个消息可以包括关于ME中的DM域策略和可用资源的明确的信息。在44处，包括目标域计划的启动RTO的请求可以被发送。在455处，TD*Target E0 408可以作出决策以接受或者拒绝RTO启动请求。在45处,指示RTO是否应当被启动的消息可以被发送。可替换地，在456处，RTO可以由TD*Tmget KQ 408发起。在451处，TD*Target E0 408可以发送“启动RTO最終域计划的意图”。SDM可以通过估计THSM的全系统域策略(SDP)和确定将对ME域施加或者分配哪些限制来作出对ME启动消息的反映。这些策略限制可以包括根据他们相关联的远程所有者，哪些域在ME和THSM上是允许的。SDM可以确定允许ME为拥有THSM上的域的相同远程所有者所拥有的域使用哪些全系统资源，包括那些已经知道的。MEpdm可以经由等式7中的消息接收这个信息。SDM还可以包括对其基础策略的策略限制以及对其资源列表中的可允许的资源。在MEpdm接收这个信息之后，它可以依照作出和施行关于对ME上的资源和域的管理的决策来执行某些特权，而不用为了所有这些决策而请求获得SDM的许可。仍然參考图4，过程可以在465处继续。在465处，可以检验和/或估计以下内容SDP、可用资源、和/或可接受的域和/或状态。在46处，可以发送“同意启动”信号。在47处，可以发送对TPIA、TPES、MPID和MPES的请求。在475处，SDM 406例如可以通过每个域的PCR范围从已存在的域收集/串联完整性证明，和/或，收集和/或串联TPES信息。
在471处，可以发送对MPID和MPES的请求。在476处，对MPID和MPES的请求的响应可以由MTE处理。在48处，MPID和MPES可以用具有签名密钥的可信证据来被发送。在 481 处，TPIA、TPES、MPID 和 MPES 可以从 SDM 406 发送至 TD*Target E0 408。在 485 处，THSM可以根据MPID (原始数据)计算摘要MPIA并检验MPIA。如果可接受，则摘要MPIA可以被发送至R0。在49处，可以发送对TPIA TPES MPIA MPES |目的| RTO的请求。參考图4A，并继续RTO过程，在410处，TPIA TPES MPIA MPES |目的| RTO消息可以被发送至目标RO 410。在418处，目标RO 410例如可以执行以下一个或者多个检验TPIA、TPES、MPIA、MPES和目的；确定相对于RMTDRO的原始域的可信度；检验DP可接受性；或者创建CONFIG以建立完全域状态。上述的另ー种可替换的是TDしget KQ 408向SDM请求ME而不是MPIA和MPES的可信度的简单指示；在这种情况下，SDM提供TPIA、TPES、和ME可信度指示。然而，SDM仍然从MTE请求和接收MPIA&MPES。仍然參考图4a，在411处，可以发送消息CONFIG I DP RIMtdeo RO0在412处，可以传输CONFIGl DP RIMtdeo _消息。在428处，可以建立和配置域，以及可以与RMtdkq对比来检验完整性。另外，可以获取TDitoget KQ的所有权，并因此将其转换为TDtoget,在413处，可以发送域完成消息。在414处，可以传输域完成消息。图5和5A示出了用于具有全部证明(例如，涉及到第四实施方式)的远程获取所有权的示例性呼叫流程图。例如，图5和5A示出了 SDM 502、TDdo 504、MEpdm 506、ME*Target_κο 508中的ー个或者多个和目标RO 510之间的示例性呼叫。图5和5A中的箭头可以表示呼叫的起源/目的地。在51处，可以发送基础代码启动完成消息。作为响应，在515处，THSM可以安全地启动并加载包括SDMDO域。在52处，可以发送THSM启动完成消息。作为响应，在525处，ME可以安全地启动，其可以包括加载包括MEpdm的DM域；还有检验可用资源。MEpdm可以提供指定了与SDP和可用资源一致的域策略的初始配置。在53处，可以发送ME安全启动完成的消息，该消息包括DM的域(策略信息)和ME中的可用资源。在531处，可以将“ME启动完成”消息传输至SDM 502。在535处，SDM 502例如可以估计全系统策略和确定用于ME的允许的域、资源和策略限制。在54处，可以发送提供关于域策略限制和/或允许的资源的信息的消息。在545处，可以将策略限制添加到基础策略上，并且如果必要，可以修改资源列表。图5和5A的元素55-511可以类似于图4和4A中所示的元素45-414。对值MPIA和MPES的估计可以类似于等式14到19中所示的。ME可以是具有MTE能力的，并且可以被配置成由自己计算摘要MPIA，而不是原始数据MPID。由SDM传达的更新的策略限制可以被检验，这样使得实现没有禁止的域或者域策略。策略检验和估计可以由MEpdm执行。
在55处，可以发送启动RTO的请求，该请求可以包括目标域计划。在555处，可以作出决策以接受或者拒绝由MEpdm请求的RT0。在551处，可以发送指示RTO是否应当被启动的消息。可替换地，在556处，启动RTO的意图可以由ME目标发起。在56处，可以发送启动RTO消息的意图。在565处，可以检验和/或估计以下内容1)扩展的域策略；和/或2)根据扩展的策略的可用资源、可接受的域和状态。在561处，可以发送指示启动RTO是可接受的消息。在57处，可以从ME域组发送对MPIA和MPES的请求。在575处，通过每个域的PCR的范围收集和串联已存在的域的完整性证明(MPIA)以及收集和串联MPES信息可以被执行。在58处，可以发送MPIA和MPES。在59处，可以发送MPIA | MPES |目的| | RTO请求(消息完整性和机密性可以用被验证的公/私密钥来保护)。在595处，目标RO 510例如可以执行以下ー个或者多个检验MPIA、MPES和目的；确定相对于RIMtsim的原始域的可信度；检验DP可接受性；或者创建CONFIG以建立完全域状态。在514处，可以发送消息CONFIG IDP I RIMtsimI |R0。在515处，可以建立和配置域，以及可以与RMtdkq对比来检验完整性。另外，可以获取ME*Ta,get KQ的所有权，并因此将其转换为MEtoget KQ。在511处，可以发送域完成消息(签名，完整性保护)。ME可以直接与目标RO通信，这样使得没有消息传输可以被使用，例如如图3和3A所示的，以及消息的数量可以被減少。关于在ME和目标RO之间的消息发送中交換公/私密钥所要求的证书的细节，以及关于用于原始引擎可信度验证的RBH正书的细节没有被显示于图5中。图6示出了 THSM的示例性状态定义、转换、和控制点定义。作为示例，在此已经定义M2M通信标识模块(MCM)的生命周期，该MCM的生命周期的定义和基本功能已经在PCT专利申请WO 2009/092115 (PCT/US2009/031603)中被定义。THSM可以改进和归纳MCM的功能和特征，包括状态定义和转换。在601处，THSM可以处于预启动状态。第一个用户可以对THSM开机，THSM可以安全地启动，并且该THSM可以处于状态602。在602处，DM和DO可以存在于原始状态。DM域可以从预配置的文件来建立，以及THSM可以处于状态606。在606处，THSM处于启动后2状态，其中TDdm可以被加载。从606，DO域可以从预配置的或者下载的文件来建立，留THSM在状态605。在605处，THSM可以处于启动后3状态，其中TDdq域可以被建立，然而，TDu或TDk。可以不被加载。从状态605，DO域(SDM)可以加载用户的域，留THSM在状态604。在604处，THSM可以处于启动后2a状态，其中TDu被加载，但是RO域可以不被加载。从状态 605，原始RO域可以根据SDP来建立，留THSM在状态707。在707处，THSM可以处于启动后状态7，其中已经加载了 TDk。和TDdq,但是TDu可以不被加载。从状态607，TDdq (SDM)可以加载TDu,留THSM在状态608。在608处，THSM可以具有被加载的DO、DU和RO域。从状态601，用户可以开机，并且THSM可以安全地启动，留THSM在状态603。在603处，可以用存储的配置加载THSM，其中存储的配置是最接近关机之前的配置。从状态603，启动后交易可以发生，其改变了配置，留THSM在状态610。在610处，THSM处于ー种状态，其中一个或者多个之前的活动状态变得不活动。类似于从603到达状态610的过程，THSM可以处于状态609，其中THSM具有一个或者多个活动的域。从状态609，由于配置改变事件，转换可以发生，再次留THSM在状态610。在状态604、605、607和608处，可以用新策略和/或可执行文件或者转换来重新配置THSM到不活动状态。另外，在状态605处，可以存储SDP。
在用于域管理的第一实施方法中，来自域所有者的策略，即全系统域策略(SDP)可能是非常有限制的和“静态的”，并且可以具有关于新域行为或者目的的严厉的规则。这些策略可以趋向于每个新域进入或者已存在的域更新时减少与RO通信的需要在用于域管理的第二实施方法中，SDP依据行为和目的可以具有较少限制的，并且允许更多的灵活性。每个新域进入或者每个域改变可以被报告给已存在的域所有者。这可以导致策略施行的更动态的系统，其中平台和RO之间的初始和随后的协商可以发生。參考用于域管理的第一方法，SDP可以在预配置的列表中指定没有例外的允许的域。这个列表可以包括关于RO类型和允许多少(对于每个类型)的信息。列表还可以包括一旦它们的域建立了就可以提供的RO服务的种类。预期的RO可以是满足列表所指示的准则的那个。作为RTO过程的一部分RO可以被警示，例如如等式9所示，关于例如列表和策略限制的条件。一旦接收到SCARD，RO可以独立地决定其是否想要成为考虑的平台或者设备上的风险承担者。发送给RO的条件可以包括域类型和它们的目的，但不是任意其他RO的列表的实际名称，以保护其它RO的标识。如果RO决定彻底完成RT0，其可以保证不背离将由平台上的这个RO或者当前活动的任意其他R0、或者将来能够变得活动的任意其它RO所允许的策略。作为結果，RO可以不需要，并且可以不被警示可能会发生的后续的RT0。參考用于域管理的第二实施方法，只有相对宽的限制(例如哪些远程所有者是被允许的而不用识别任意指定的RO类型)以及允许更多交互的策略(例如向RO请求更多信息给SDM或者一些协商)可以在RTO过程期间被执行。随着域配制改变，在SDM和所有RO之间还可以有正在进行的协作。因此，作为R0/SDM动态的一部分，初始的、甚至后续的协商可以发生。作为RTO过程的一部分，可以给RO证明和其需要的策略条件信息，例如TPIA、TPES和SCARD，与第一种方法的情况相比较，其可以包括关于配置和其可信度的通用信息。根据已存在的域配置，目标RO可以决定是否继续RT0。除非目标RO马上决定反对获取所有权，与SDM之间的协商过程可以随之发生。例如，SDM可以从目标RO询问哪些域类型和伴随的服务可以是活动的，同时目标RO的域是活动的，或者在其面对的域类型将要变得活动的事件中哪些过程将随后发生。例如，RO可以要求自己的域被提供(rendered)为不活动的，当某些其它域类型或者甚至由某些其他RO所拥有的域变得活动或者将要变得活动时，或者其可以要求自己保持活动但是以減少的能力或者性能。SDM还可以从RO请求哪些事件发生时应当警示自己。这样的事件可能包括其面对的域类型变得活动或者不活动。RO可以要求由某些其他所有者所保持的其它域类型或者域被完全阻塞不进行任何活动，同时自己的域是活动的。SDM可以决定接受或者拒绝这些条件。虽然用策略要求的宽集合来运行，SDM可以具有活动范围和语义上的能力来决定是否接受来自RO的要求，可以仍然遵守“静止的”系统域策略(SDP)的字母或者意图。图7示出了 RO域可以达到的示例性状态，以及在动态管理的环境中可以发生转换的情況。在701处，空状态可以存在，例如还没有建立R0。从701，原始RO域可以根据SDP来建立，留RO域在状态702。从702，RTO过程可以被执行，包括RO获取TPIA、TPES和SCARD。此外，RO可以接受RTO的条件，留RO域在状态703。从703，可以确定与新活动的域有ー个策略冲突，并且在响应中，减少RO域的功能或者使其不活动，留RO域在状态704。还是从703，RO域可以接收更新的策略/配制变化，导致RO域具有修改的配置和/或更新的策略限制。从706，可以确定与新活动的域有ー个策略冲突，并且在响应中，减少RO域的功能或者使其不活动，留RO域在状态704。还是从703，可以借助下载或者RTO来引入新软件组件，导致RO域的修改的/扩展的状态，留RO域在705。从705，可以确定与新活动的域有ー个策略冲突，并且在响应中，减少RO域的功能或者使其不活动，留RO域在状态704。如在711处示出的，RO域在状态702、703、704、705或者706可以变为空，例如由DO、RO等删除。如在741处示出的，不活动的/减少的功能RO域可以移动到状态703、705或706，例如通过解决导致RO域移动到状态704的冲突。如在751处示出的，在状态705的RO域可以移动到状态703、704或706。如在761处示出的，在状态706的RO域可以移动到状态703、705或者706。关于RO域的管理可以允许什么作为动态域管理的一部分是用于协商将随着事件 展开而改变的需求。例如，RO可以决定由另ー个RO提供的之前反对的某个服务现在作为决定不再需要与那个服务竞争的结果是允许的。时不时地改变商业模型可能影响各个RO的协商战略和策略。使用动态策略结构的SDP能够适应这种战略变化。在例如但不局限于结合智能帐单的M2M地理跟踪的服务中，可以形成优选的漫游合作伙伴或者RO的闭合组。这些成组的服务可以导致优选的闭合组，其中不同运营商相互之间提供类似的或者不同的服务伙伴。这种优选的服务组、运营商或者二者都可以作为绑定的服务或者对设备用户的分组处理(deal)被提供。在第一个示例中，分组可以随着它全球环游而被跟踪。可以利用无数个这样的地理跟踪设备。随着分组经过陆地，在不同国家由不同运营商向其提供连接。因此，为了获得连接，用户可能需要订阅多个漫游简档。跨不同远程运营商的这些漫游简档将作为内部域策略来被管理，因为每个域由远程运营商拥有和管理。还可以施行策略以支持完全切換到新的服务提供方，而不是支持基于漫游的解决方案。在第二个示例中，智能计量运营商和地理跟踪运营商之间的合作关系被描述。这些域可以由不同运营商所拥有和操作。由于商业合作伙伴或者用户偏好，域可以被合并以支持联合简档。为了基于资源使用的计费，例如工作、存储、或者停车、智能计费可以与分组的跟踪一起被使用。这种落入独立类别的共存服务的情况可以使用域间策略管理的支持。域间策略管理器(IDPM)可以管理控制域的成组行为的策略。域间策略(IDP)可以由每个RO在RTO过程期间下载。IDP可以由每个RO签名的证书验证。这些证书可以与IDP—起被提出。可替换地，这些策略可以由外部服务经销商证明和下载。对创建优选运营商列表感兴趣的设备用户或设备所有者可以创建IDP。IDPM可以通过估计候选策略或者优先级的可接受的交集、选择IDP、以及随后执行得到的策略来处理这些策略。IDPM能够可替换地被加入到SDM，作为其功能之一，或者作为可以被加载(建立)或者被下载到THSM的独立实体。作为证明协议的一部分，TDk。可以向RO发送TPIA、TPES和SCARD的散列，而不是发送全部这些测量。RO可以具有装置，提供自己或者TTP来验证这个散列，并由此作出TDRO和周围系统的有效性的评价。这个方法可以类似于如PCT专利申请WO 2009/092115CPCT/US2009/031603)中所指定的半自主验证(SAV)。TPIA、TPES和SCARD测量中的任意ー个或者两个可以在证明阶段期间被发送出去。
THSM可以作为ME的一部分被集成地嵌入。用于这种设备的RTO过程可以被简化，因为过程将去掉ME和THSM之间的接ロ。尽管上面以特定的组合描述了特征和元素，但是每个特征或元素可以在没有其它特征和元素的情况下单独使用，或者，与或不与其他的特征和元素进行组合使用。这里提供的方法或流程图可以在计算机程序、软件或固件实施，其中所述计算机程序、软件或固件被包含到由通用计算机或处理器执行的计算机可读存储介质中。计算机可读存储介质的示例包括只读存储器(ROM)、随机存取存储器(RAM)、寄存器、缓冲存储器、半导体存储设备、如内部硬盘和可移动磁盘之类的磁介质，磁光介质和如CD-ROM盘和数字多功能光盘(DVD)之类的光介质。合适的处理器包括，举例来说，通用处理器、专用处理器、常规处理器、数字信号处理器(DSP)、多个微处理器、与DSP核心相关联的ー个或者多个微处理器、控制器、微控制器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)电路、任何其他类型的集成电路(1C) ，和/或状态机。与软件相关联的处理器可以用于实施在无线发送接收单元(WTRU)、用户设备(UE)、终端、基站、无线电网络控制器(RNC)或任何主计算机中使用的射频收发信机。WTRU可以与模块结合使用，实施于硬件和/或软件中，例如照相机、视频摄像模块、可视电话、喇叭扩音器、震动设备、扬声器、麦克风、电视收发信机、免提耳机、键盘、蓝牙 模块、调频(FM)无线电単元、液晶显示器(IXD)显示单元、有机发光二极管(OLED)显示单元、数字音乐播放器、媒体播放器、视频游戏机模块、因特网浏览器、和/或任意无线本地局域网(WLAN)或者超宽带(UWB)模块。II、用于接入基于订阅的服务的注册和凭证转出设备的用户可能期望创建与基于订阅的服务的提供方的订阅关系。例如，UE (例如图I的设备100、110或120，或者图2的UE 200)的用户可能期望注册作为由远程所有者提供的基于订阅的服务的订阅用户。对基于订阅的服务的规定可以由第三方促进(例如，第三方可以代表远程所有者向用户出售基于订阅的服务)。远程所有者可已经获取设备上的可以被称为远程所有者域的域的所有权，如上面关于RTO过程所述的。而且，用户可已经获取设备上的可以被称为用户域的域的所有权。为了用户接入基于订阅的服务，可能需要进行注册和凭证转出。注册和凭证转出可以包括以下ー种或多种将用户作为基于订阅的服务的订阅用户注册到远程所有者，其中这种服务可以由远程所有者通过远程所有者域提供；从可以使用户作为订阅用户使用基于订阅的服务的远程所有者获得凭证和/或在远程所有者域存储凭证。凭证可以允许用户经由设备使用基于订阅的服务。术语凭证可以包括传统凭证(例如，密钥、ID、证书等等)。术语凭证可以包括其它上下文相关数据和应用，例如用于订阅管理功能的可执行文件和小应用程序。在此公开的系统和方法预期用户能够经由ー个设备或者多个设备接入多个基于订阅的服务。例如，如上关于图I和2、以及关于RTO过程所述的，设备可以具有由不同远程所有者所拥有的多个域。用户可以从多个远程所有者订阅多个基于订阅的服务。注册和凭证转出可以在远程所有者已经获取到远程所有者域的所有权之后很久才发生。具有无线电话能力的无线设备可以用作示例。多个无线载波可以获取设备上的多个域的所有权(例如，每个无线载波是远程所有者)。例如，无线载波I可以获取远程所有者域I的所有权，无线载波2可以获取远程所有者域2的所有权。然而，用户可以发起关于无线载波I而不是无线载波2的基于订阅的服务(例如，无线电话服务)的注册和凭证转出。例如，无线载波I可以已经向用户提供比无线载波2更好的关于全部无线电话服务的业务。在后来(例如，几天、几个月、几年)，用户可以发起关于无线载波2的基于订阅的服务(例如，无线电话服务)的注册和凭证转出。例如，无线载波2现在可以提供比无线载波I更好的关于长途呼叫的业务。用户可以使用两个基于订阅的服务，因为二者都完成了注册和凭证转出。例如，用户可以使用用于本地呼叫的无线载波I的无线电话服务，和用于长途呼叫的无线载波2的无线电话服务。这个示例假设远程所有者都没有建立阻止这种设置(例如，參见RTO过程)的规则。这个示例还示出了注册和凭证转出可以在远程所有者获取到远程所有者域的所有权之后很久才发生。被包括在注册和凭证转出过程中的实体可以包括以下ー个或者多个用户、用户域、远程所有者域、第三方、或者便于半自主验证的组件(例如全系统域管理器)。关于注册和凭证转出，实体可以具有如下属性。用户可以是寻求订阅服务(例如基于订阅的服务)的设备的用户。这种基于订阅的服务的示例可以包括，但不限于，财政服务、蜂窝通信服务、因特网连接服务、音乐/视频/多媒体订阅服务、标识服务、基于位置的服务、电子邮件/消息器(messenger)/社交网络服务、电子书服务、游戏服务等。用户还可以是设备的所有者。用户可以发起注册和凭证转出。该发起可以包括用户发送个人数据和/或传统登录信息。用户还可以被称为订户，例如，当涉及到与用户已订阅/正订阅的基于订阅的服务相关联的行为时。用户域(TDu)可以是设备上关于用户功能的域。用户域可以是可选域。用户域可以是如在此所述的THSM的一部分，例如參见图2。用户域可以在平台的初始启动序列期间被创建并向其提供功能。所有者域(TD。)可以执行不包括用户域的配置的TDu的功能。用户可以通过提供用户名(IDu).密码(PWu)和个人注册数据(REGDATAu)来发起到TDu的注册。TDu可以产生过程ID (PID_U)作为用户注册的一部分。这个信息可以用于发起注册和请求凭证转出。例如，这个信息可以与特定请求(例如，特定注册和/或凭证转出请求)相关联， 并可以用于辨别或者标记用于注册和/或凭证转出的不同会话或过程。用户和用户域可以经由ME通信。预先规定的密钥Ktempe (例如，用于机密性)和Ktemiu (例如，用于完整性/认证)可以用于保护跨ME/THSM接ロ的消息发送。不对称密钥对可以用于保护跨ME/THSM接ロ的消息发送。ME可以不在图8中显示。到THSM的用户通信可以经由TDu发生。远程所有者(RO)可以经由设备向用户提供订阅的服务。远程所有者可以提供用户使用订阅的服务可能需要的凭证。凭证可以包括认证密钥K，其可以作为远程所有者域和远程所有者之间的强机密。作为示例，RO可以是以下ー种或多种ΜΝ0、其他通信网络运营商(例如，WLAN、WiMax等)、电子邮件服务提供方、因特网服务提供方、社交网络服务提供方、数字内容(音乐、电子书、视频等)提供方、游戏服务提供方、财政服务提供方、应用服务提供方(例如，移动支付、移动订票、DRM、移动TV、基于位置的服务等的服务提供方)、或者MS服务提供方等。远程所有者域(TDm)可以是设备上的可以提供由远程所有者所定义的功能的域。远程所有者域可以如上所述是THSM的一部分，例如參见图2。远程所有者域可以具有TSM功能，如上关于RTO过程所述的。远程所有者域可以存储由远程所有者提供的凭证。TDkq可以接收用户的ID并处理来自于用户域的ID(IDuJH^U),以及在注册和凭证转出期间不同地使用这些信息。POS (销售点或者服务实体点)可以是向用户便于基于订阅的服务的销售/服务的第三方。POS可以便于经由如有关图8所述的权证(ticket)进行销售，。作为示例，POS可以是销售远程所有者的基于订阅的服务、和/或执行远程所有者的基于订阅的服务的预售和售后客户服务职责的零售商店(在线的、砖块的(brick)和灰泥的(mortar)等)。全系统域管理器(SDM)，例如，部分I中所公开的SDM，可以作为注册和凭证转出的一部分而提供关于ー个或者多个平台的证明信息。例如一旦在注册和凭证转出期间进行请求，半自主性完整性确认可以由SDM提供。SDM可以是THSM的一部分，例如域的组件，例如、參见图2。注册和凭证转出可以包括以下ー种或者多种· POS可以将权证与用户相关联。权证可以建立用户的标识，并且当请求远程所有者的凭证时可以被呈现出来。权证(例如给用户的权证)可以由RO分配给POS (例如在预产生的组中)。权证可以包括将在注册和凭证转出过程中使用的信息。例如，信息可以包括“三者”，该三者包括标识符(例如，MSI)、可以作为向远程所有者质询的数量的随机数(RAND)(例如当请求凭证时)、和权证认证值(AUTH)。 代表用户的用户域可以请求注册。· POS可以向远程所有者报告用户的标识(例如，分配的权证可以提供标识符，例如国际移动订阅标识一IMSI)和用户的相关联的个人注册数据。 用户可以使用标识符(例如，頂SI)请求凭证转出。 凭证可以被传递给设备，例如被传递给远程所有者域，其可以被用于接入订阅服务。远程所有者域可以在管理订阅服务中提供TSIM功能。注册和凭证转出可以以安全的方式进行。为了用户注册和凭证转出以安全的方式进行，可以满足和/或假设以下ー种或多种前提条件· THSM/ME平台可以被认为处于可信任状态，并且一旦由远程所有者请求，则可以报告平台配置的状态或该平台配置的一部分，其中所述远程所有者的域之前经由远程获取所有权(RTO)协议被配置。设备可以包括不能被认为是“完全可信的”平台组件的ME。ME的可信度可以由THSM周期性地监控。连接ME和THSM的接ロ通常不被认为是安全的。可以假设ME具有全部MTM能力并可以证明自己的完整性。 平台的证明，其可以由以下ー种或者多种方式实施〇包括TPIA、TPES、和SCARD的使用的证明报告，例如參见RTO过程。〇可以包括向RO发送当前配置的散列的远程验证的缩放的版本。当寻求避免传输大量数据时可以使用这个类型的证明。〇半自主验证，其可以包括因特网完整性检验的性能，并提供平台是安全的确认。 凭证可以在远程被下载。POS可以參与用户注册到远程所有者。与POS的通信可以以下ー种或者多种方式进行。〇当用户发送其标识信息和注册数据吋，该用户可以通过空中(OTA)或者通过因特网链路与POS通信。
〇在用户用手机完成注册登陆步骤后，用户域可以通过因特网与POS通信，该POS与注册和凭证转出过程相关联。· POS可以被认为是足够值得信任的以处理权证分配功能。因此，POS可以具有验证的密钥对集合，表示为具有相关联的Certras的证书的Kras_Mv和Kros_Pub。这些可以与用于远程所有者(Kro_Mv, IWpub)和TSIM (KTSIM_priv, ΚΤ5ΙΜ_Μ)的密钥集合相结合而用于注册■和凭证转出，其中该远程所有者和TS頂各自具有相关联的证书Certffij和CertTSIM。 用户和用户域之间的通信可以假设使用ME作为中间人，其中用户想使用的消息显示于手机屏幕上。这些消息可以使用分别用于完整性和机密性保护的临时密钥Ktemlrf和Ktemp-。，并且ME可以为用户解释(例如，解密和/或验证签名)。 注册和凭证转出可以是灵活到可以允许从相同用户或者可能的多个用户的多个注册和凭证请求的程度。作为示例，每个用户可以建立针对给定的可信域(TDm)的ー个(只能ー个)注册，但是可以建立跨多个这种域的多个注册。然而，多个不同的用户可以每ー个都具有他们自己的用于ー个这种域的注册。每个TDk。可以具有ー个R0，但是RO可以管 理多个注册，每个注册用于ー个不同用户。对于给定RO拥有多个TDro也是可能的。假设对应于可能的多个远程所有者的用户和可信域的多祥性，可以例如由用户域、POS和远程所有者产生过程ID，并将其用于阻止任意相关的多个注册。对于给定的注册和凭证请求，可以产生紧密相关联的三个过程ID PID_U (由用户域产生)、PID_P0S (由POS产生)和PID_R0(由远程所有者产生)。PID_U可以由THSM内的实体在与POS或者远程所有者通信时使用以识别用户域。这些ID足够用于唯一地识别给定的注册过程。 可信实体之间的通信可以使用公私密钥对来保护，其中公钥可以经由证书授权(CA)发布的证书来分配。 在注册和凭证转出期间，可以使用随机数来阻止重放攻击。随机数可以被连续编号，或者被顺序地排序，或者可以包括连续的或者顺序的排序编号。某些内部域到域的交互不能被连续地编号，其中使用了所述的随机数指定。对于两个实体之间往返行程通信，第一随机数发送可以与新的随机数(不受阻碍)一起在返回消息中被发送回(受阻碍)其初始位置。假定值最初是由自己创建的并因此是已知的，接收返回的随机数的实体可以不要求将其不受阻碍地发送。 签名可以被应用于计算出的固定比特长度的密码散列值，例如，通过SHA算法的非指定版本，其可以在此被表示为SHA-X。示出注册和凭证转出的方法现在可以參考图8来进行说明。图8示出了实施注册和凭证转出过程的示例性呼叫流程。呼叫流程可以表示为公式。公式可以包括可以与各个流程相关联的安全功能。图8示出的呼叫流程仅是示例性的。应当理解其他实施方式也可以被使用。而且，流程的顺序可以在合适的地方被改变。另外，如果没有需要的和附加的流可以被添加，则流可以没省略。在I处，POS 30可以向远程所有者RO 40发出请求，以用于预产生的可以被分配给各个授权用户的权证，例如用户32。
权利要求
1.在包括一个或者多个设备的系统中的一种方法，其中每个设备包括由至少一个平台所支持的一个或者多个域，每个域包括在所述至少一个平台上执行的计算资源的配置，以及每个域被配置成执行用于所述域的所有者的功能，所述所有者能够位于所述域的本地或者远程位置，其中每个域能够具有不同的所有者，以及其中至少一个域由所述一个或者多个设备的用户所拥有，以及其中至少一个其它域由远程所有者所拥有，该方法包括 将所述用户注册到所述远程所有者作为将由所述远程所有者通过所述远程所有者域提供的基于订阅的服务的订阅用户； 从所述远程所有者获取使所述用户作为订阅用户使用所述基于订阅的服务的凭证；以及 将所述凭证存储在所述远程所有者域中。
2.根据权利要求I所述的方法，其中将所述用户注册到所述远程所有者包括 由用户域代表所述用户发起注册请求； 由所述远程所有者域响应于所述注册请求、从便于向所述用户销售所述基于订阅的服务的第三方请求将被用于向所述远程所有者识别所述用户作为所述基于订阅的服务的订阅用户的标识符； 由所述远程所有者域从所述第三方接收所述标识符；以及 由所述用户域从所述远程所有者接收已经接收到所述注册请求的确认。
3.根据权利要求2所述的方法，其中将所述用户注册到所述远程所有者还包括 由所述用户域发送以下至少之一与所述注册请求相关联的第一过程标识符，或者与所述用户相关的个人信息；以及 由所述用户域从所述第三方接收与所述注册请求相关联的第二过程标识符。
4.根据权利要求2所述的方法，其中所述标识符是由所述远程所有者分配给所述第三方以用于注册所述基于订阅的服务的用户的一组标识符中的一个标识符。
5.根据权利要求I所述的方法，其中从所述远程所有者获取凭证包括 由所述用户域向所述远程所有者域发送凭证转出请求，所述凭证转出请求包括向所述远程所有者域标识所述用户或所述第三方中的至少一者的信息，其中所述第三方便于向所述用户销售所述基于订阅的服务； 由所述远程所有者域向所述远程所有者转发所述凭证转出请求； 由所述远程所有者域从所述远程所有者接收所述凭证；以及 由所述用户域从所述远程所有者域接收所述凭证已经由所述远程所有者域接收的确认。
6.根据权利要求5所述的方法，该方法还包括 由所述远程所有者域请求由所述一个或者多个域的组件进行的所述至少一个平台的半自王完整性验证；以及 由所述远程所有者域从所述至少一个平台接收完整性验证信息。
7.根据权利要求6所述的方法，其中所述完整性验证信息允许所述远程所有者评估所述一个或者多个设备的至少一个的至少一个域的可信度。
8.根据权利要求I所述的方法，该方法还包括将所述用户注册到用户域。
9.根据权利要求8所述的方法，其中将所述用户注册到所述用户域包括所述用户域从所述用户接收向所述用户域标识所述用户的信息。
10.根据权利要求I所述的方法，其中所述凭证使所述用户在每次所述用户使用所述基于订阅的服务时被认证。
11.一种系统,该系统包括 一个或者多个设备，其中每个设备包括由至少一个平台所支持的一个或者多个域，每个域包括在所述至少一个平台上执行的计算资源的配置，以及每个域被配置成执行用于所述域的所有者的功能，所述所有者能够位于所述域的本地或者远程位置，其中每个域能够具有不同的所有者，以及其中至少一个域由所述一个或者多个设备的用户所拥有，以及其中至少一个其它域由远程所有者所拥有，以及其中所述一个或者多个设备中的至少一个被配置成 将所述用户注册到所述远程所有者作为将由所述远程所有者通过远程所有者域提供的基于订阅的服务的订阅用户； 从所述远程所有者获取使所述用户作为订阅用户使用所述基于订阅的服务的凭证；以及 将所述凭证存储在所述远程所有者域中。
12.根据权利要求11所述的系统，其中为了将所述用户注册到所述远程所有者，所述一个或者多个设备中的所述至少一个还被配置成 由用户域代表所述用户发起注册请求； 由所述远程所有者域响应于所述注册请求、从便于向所述用户销售所述基于订阅的服务的第三方请求将被用于向所述远程所有者识别所述用户为所述基于订阅的服务的订阅用户的标识符； 由所述远程所有者域从所述第三方接收所述标识符；以及 由所述用户域从所述远程所有者接收已经接收到所述注册请求的确认。
13.根据权利要求12所述的系统，其中为了将所述用户注册到所述远程所有者，所述一个或者多个设备中的所述至少一个还被配置成 由所述用户域发送以下至少之一与所述注册请求相关联的第一过程标识符，或者与所述用户相关的个人信息；以及 由所述用户域从所述第三方接收与所述注册请求相关联的第二过程标识符。
14.根据权利要求12所述的系统，其中所述标识符是由所述远程所有者分配给所述第三方以用于注册所述基于订阅的服务的用户的一组标识符中的一个标识符。
15.根据权利要求11所述的系统，其中为了从所述远程所有者获取凭证，所述一个或者多个设备中的所述至少一个还被配置成 由所述用户域向所述远程所有者域发送凭证转出请求，所述凭证转出请求包括向所述远程所有者域标识所述用户或所述第三方中的至少一者的信息，其中所述第三方便于向所述用户销售所述基于订阅的服务； 由所述远程所有者域向所述远程所有者转发所述凭证转出请求； 由所述远程所有者域从所述远程所有者接收所述凭证；以及 由所述用户域从所述远程所有者域接收所述凭证已经由所述远程所有者域接收的确认。
16.根据权利要求15所述的系统，其中所述一个或者多个设备中的所述至少一个还被配置成 由所述远程所有者域请求由所述一个或者多个域的组件进行的所述至少一个平台的半自王完整性验证；以及 由所述远程所有者域从所述至少一个平台接收完整性验证信息。
17.根据权利要求16所述的系统，其中所述完整性验证信息允许所述远程所有者评估所述一个或者多个设备的至少一个的至少一个域的可信度。
18.根据权利要求11所述的系统，其中所述一个或者多个设备中的所述至少一个还被配置成将所述用户注册到用户域。
19.根据权利要求18所述的系统，其中为了将所述用户注册到所述用户域，所述一个或者多个设备中的所述至少一个还被配置成由所述用户域从所述用户接收向所述用户域标识所述用户的信息。
20.根据权利要求11所述的系统，其中所述凭证使所述用户在每次所述用户使用所述基于订阅的服务时被认证。
全文摘要
用户可以经由包括一个或者多个设备的系统来接入基于订阅的服务，该一个或者多个设备具有一个或者多个独立的域，其中每个域可以由一个或者多个不同的本地或者远程所有者拥有或者控制。每个域可以具有不同的所有者，以及提供基于订阅的服务的远程所有者可以获取可被称为远程所有者域的域的所有权。此外，用户可以获取可被称为用户域的域的所有权。为了用户接入基于订阅的服务，可能需要注册和凭证转出。示例性注册和凭证转出过程可以包括用户注册、从远程所有者获取凭证以及存储凭证。
文档编号H04L29/06GK102668501SQ201080056855
公开日2012年9月12日 申请日期2010年10月15日 优先权日2009年10月15日
发明者I·查, L·J·古乔内 申请人:交互数字专利控股公司