用于对wtru执行完整性验证的方法及wtru的制作方法

用于对wtru执行完整性验证的方法及wtru的制作方法
【专利说明】
[0001] 本申请是申请号为201080010524. 9、申请日为2010年03月05日、发明名称为"用 于H(e)NB完整性验证和确认的方法和装置"的中国发明专利申请的分案申请。
[0002] 相关申请的交叉引用
[0003] 本申请要求2009年3月5日提交的美国临时申请No. 61/157, 833、2009年6 月30日提交的美国临时申请N〇.61/222,067、2009年8月21日提交的美国临时申请 No.61/235,793W及2009年9月3日提交的美国临时申请No.61/239,698的权益。本申 请与同时提交的题为"PlatformValidationandManagementofWirelessDevices"的 美国专利申请No. 12/718, 480相关，其全部内容W引用的方式结合于此如同在该里全部提 出。
技术领域
[0004] 本申请设及通信。
【背景技术】
[0005] 家庭演进型节点B(H(e)NB)，也被称为毫微微蜂窝（femtocell)基站，是一种小 的、便携式的3G网络接入点，它们通常被布置在房屋上或者称为主机方（HP)的相关者的 室内。H(e)NB成为了在小的、特定的地理区域内提供移动通信和服务的折中方案。H(e)NB 可用于在目前的盲区（由于不好的无线电条件）例如室内或者工厂环境内提供移动服务。 H(e)NB也可W成为私人家庭W及家庭办公（SOHO)区域的选择，该是因为H(e)NB可用作宽 带互联网和移动网络的统一的接入点。
[0006] 本申请会提出特别的安全要求。例如，该些装置i)不再是像移动手持设备传统地 被认为的那样，被当成是用于存储和处理敏感数据的封闭的、不变的环境了；W及ii)该些 特殊的装置典型地不是由移动网络处理器（MN0)直接进行物理控制的，MN0作为H(e)NB的 主要相关器件处理H(e)NBW为移动通信终端用户提供服务；W及iii)该些设备通常通过 不安全的链路及断断续续的而不是连续的方式而连接到核屯、网络。
[0007] 现有的或标准的移动通信网络技术可能不为网络提供完全认为它所处理的H(e) NB是值得信任的方法，即使H(e)NB通过了传统的鉴权（authentication)步骤。所需要的 就是一种方法来帮助MN0鉴权及确认该种可信性、即设备的完整性，W及管理和提供该样 的设备。

【发明内容】

[000引公开了一种使用自动确认和半自动确认来为家庭演进型节点B(H(e)NB)提供完 整性确认的装置和方法。
【附图说明】
[0009] 从W下描述中可W更详细地理解本发明，下面的描述是W实例的形式给出的，并 且可w结合附图被理解，其中：
[0010] 图1示出了模块、功能性和组件的示例性结构；
[0011] 图2示出了组件和功能性的示例性结构；
[0012] 图3示出了用于软件下载提供的示例性TR069架构；
[0013] 图4示出了基本的完整性测量和报告的实例；
[0014] 图5示出了完整性报告和参考材料的实例；
[0015] 图6示出了将确认报告与参考清单进行比较的实例；
[0016] 图7示出了参考清单中的组件信息的实例；
[0017] 图8示出了认证管理架构的实例；
[001引图9示出了重新配置家庭演进型节点B化(e)NB) ^(e)MS)的实例；
[0019] 图10示出了自动确认（AuV)补救的实例；
[0020] 图11示出了文件包格式的实例；
[0021] 图12示出了半自动确认（SAV)的网络架构的实例；
[0022] 图13A和图13B示出了SAV过程的示例性流程图；
[0023] 图14示出了示例性SAV补救流程图；
[0024] 图15示出了示例性完整性校验结果；
[0025] 图16示出了示例性失败的功能性的列表；
[0026]图17A是表示示例性实体集合和它们之间的关系W及平台确认和管理（PVM)的接 口的结构图；
[0027]图17B是表示另一示例性实体集合和它们之间的关系W及PVM接口的结构图； [002引图18A、图18B和图18C是使用平台确认实体的示例性确认方法的信号图；
[0029] 图19示出了长期演进（LTC)无线通信系统/接入网络拟及
[0030] 图20是LTE无线通信系统典型的结构图。
【具体实施方式】
[0031] 当在下文中提及时，术语"无线发射/接收单元（WTRU)"包括但不局限于用户设备 扣E)、移动站、固定或移动用户单元、传呼机、蜂窝电话、个人数字助理（PDA)、计算机、或能 在无线环境中运行的任何其它类型的设备。当在下文中提及时，术语"基站"包括但不局限 于节点-B、站点控制器、接入点（AP)、网关、用户预定设备（CP巧、或能在无线环境中运行的 任何其它类型的接口设备。当在下文中提及时，术语"歷S"包括但不局限于家庭节点B管 理系统0M巧、家庭增强型节点B管理系统化eMS)(该两者可总称为H(e)MS)、设备管理系 统值M巧、配置服务器（C巧、自动配置服务器（ACS)、或者其他任何类型的管理"基站"的配 置或功能性的系统。术语"WTRU"和术语"基站"互不冲突。例如，WTRU可W是增强型家庭 节点B(H(e)NB)。当在下文中提及时，术语"信息理论安全"包括但不局限于完全安全、无条 件安全W及近似信息理论安全。当在下文中提及时，术语"信任"、"可信的"W及"值得信任 的"W及其他变化的说法表示一种可计量的W及可观察的方法，该方法用于评定一个部件 是否会W特定方法工作。
[0032] 本文描述的是一种使用自动确认（AuV)和半自动确认（SAV)来为家庭演进型节点 B(H(e)NB)提供完整性验证和确认的装置和方法。描述是先详细描述AuV和SAV的共同部 分，然后再分别描述AuV和SAV的实施详情。
[0033] 本文描述了在确认方法中确定可信的参考值（TRV)的方法。设备完整性校验是确 认方法的一种常用过程。对于设备完整性校验，需要一组TRVW使由组件组成的测量可用 于它们的完整性校验。该种组件的完整性校验应在组件装载之前进行是可取的。该样的 TRV在使用之前需要进行鉴权及自我确保完整性也是可取的。
[0034] 为了进行完整性校验及提供和生成TRV，可W使用不同的完整性校验方法。例如， 可W考虑根据编码生成TRV的方法、包括数字签名方法、基于哈希化ash)的消息鉴权码或 者基于加密的消息鉴权码。
[0035] 该里描述的是数字签名方法。数字签名可W使用公钥加密技术。H(e)NB可W对模 块的哈希（或者通常说的校验字）进行数字签名，通过使用它的私有密钥对校验字进行加 密。加密的校验字然后可W被发送到平台确认实体（PVE)，在那里它会被用H(e)NB的公用 密钥进行解密并与TRV进行比较。对于本地完整性校验，参考完整性校验可W由制造商签 名并在H(e)NB内进行本地验证。作为没有限制性的实例，表1列出了一些数字签名方法。
[0036]
[0037]表 1
[003引该里描述的是哈希算法和基于哈希的消息鉴权码。哈希是一种单向或者近似单向 的函数，它产生其输入的唯一的（或近似唯一的）并且不可逆的（或近似不可逆的）总结。 许多情况中，数字签名仅仅就是加密的哈希。而数字签名方法可W使用公共/私有密钥对， 消息鉴权码（MAC)可W使用共享的秘密密钥。校验字可W在带有嵌入的秘密密钥（连接的 模块和密钥）的模块上生成。作为没有限制性的示例，表2列出了一些哈希算法及基于哈 希的消息鉴权码的方法。
[0039]
[0040]表2
[0041] 该里描述的是基于加密的消息鉴权码。校验字可W由哈希算法生成然后使用秘密 密钥进行加密。作为没有限制性的实例，表3列出了一些基于加密的消息鉴权码方法。
[0042]
[0043]表 3
[0044] 完整性度量是由在软件组件上执行完整性方法产生的摘要（例如，加密的哈希 值）。该里认为组件是完整性校验的最小的可能单元。单独的二进制可执行或预可执行文件 是组件的实例。另外，模块在该里被认为是指软件包的制造商认证、发布的最小单元。对于 本描述的剩余部分，总体上考虑及如图1所示，1)组件也可能由一个或多个模块组成，W及 2)任何一个模块只在一个组件中出现一次（也就是说一个模块不能出现在两个组件中）。 为支持用AuV和SAV进行设备完整性校验和确认，可能需要提供软件模块及其关联的属性 的列表，该些关联的属性例如与模块相关的参考完整性度量巧IM)、严重性W及其他信息。 参考完整性度量化IM)作为各个模块的完整性的参考值。在使用AuV时，所述列表可W由 制造商生成并安全地存储在设备中，当使用SAV时，所述列表可由制造商生成并提供给平 台确认实体（PVE)(所有模块）并且也提供给H(e)NB(在多步骤系统中作为步骤1和步骤 2模块启动实施）。由于软件模块怎样进行组织、架构或存储，W及设备可能存在什么种类 的模块可能依赖于H(e)NB的实施，因此可W使用公共的规范语言来说明模块及其属性。
[0045] 例如，基于可扩展标记语言狂ML)和抽象语法定义一（ASN. 1)的方法可被用作实 施公共的规范语言。设备配置数据表包含软件模块和与模块相关联的各种属性的列表。它 也可W表明模块的分类是组件还是功能性。
[0046] 该里描述的是基于XML的软件模块属性的规范，它可W提供公共的、可移植的语 言来详细说明化(e)NB)的组件和/或模块，W及相关联的属性。为了用可移植的方法和与 H(e)NB结构无关的方式提供信息，需要演变出一种具体说明模块的语言。该种语言可W与 包含了XML概要和XML文件的XML语言类似。模块的格式和各种属性可W进行标准化，并 且每个制造商用前面描述的格式提供描述软件模块的设备配置数据表。格式可W与XML概 要类似，并且设备配置数据表可W与XML文件类似。XML签名支持增加数字签名来提供完整 性、消息鉴权和/或签名者鉴权。二进制XML是一种更紧凑的描述，并且它也可W作为减少 语法开销W及减少在实体之间传递配置数据的带宽需求的基础。表4中给出了一个XML概 要的实例，可W是制造商用来详细描述他们模块的标准格式。
[0047]
[0048]
[0049]表 4
[0化0] 制造商可W提供设备配置数据表并用数字签名进行签名。设备配置数据表可W在H(e)NB上维护W用于AuV。在校验失败的情况下，如果设备配置表的数字签名本身验证通 过，可W采取适当的措施，因为该表明软件的属性、包括对失败模块的影响的信息，是完整 无损的，尽管软件模块本身（即二进制镜像（image))可能已经改变或者完整性校验失败。 在使用SAV的情况下，设备配置表需要在设备和PVE上进行维护。为了支持SAV，需要增加 本文描述的额外的行动。
[0化1] 该里描述的是基于ASN. 1的软件模块属性的规范，它可W提供公共的、可移植的 语言来详细描述H(e)NB的组件及相关联的属性。在电信和计算机网络中，ASN. 1是一种标 准的、灵活的定义，它描述了用于表示、编码、传输和译码数据的数据结构。它可W提供一组 独立于机器特定编码技术之外的、用于描述对象结构的正式规则，并且它是一种消除了歧 义的准确的、正式的定义。通常用于定义通信协议消息、ASN. 1及其相关联的编码规则，是 一种二进制编码方式。其他通信协议、例如互联网协议HTTP和SMTP,定义了使用文本标记 和值的消息，有时是基于扩展己克斯-诺尔范式（ABN巧定义。该个定义也用文本的形式定 义了编码。
[0化2]ASN. 1方法被认为更有效，W及与分组编码规则一起，当然就提供了一种更紧凑的 编码方式。该种文本方法宣称更容易应用（通过创建和解析文本字符串）和更容易调试， 因为可W简单地读懂编码的消息。在媒体网关协议中，定义了两种基于ASN. 1和ABNF的编 码。
[005引 ASN. 1XML编码规则細时提供了一种定义了使用ASN. 1定义的数据结构的文本编 码。通用字符串编码规则也是为了给/从用户显示和输入数据的唯一目的而定义的。表5 给出了一个用于传递设备完整性度量的ASN. 1的实例。
[0054]
[0化6] 表5
[0化7] 如果对于设备的每一个软件模块，它的相关联的模块属性网络都知道，则在SAV 过程中，H(e)NB可W只向PVE发送所有在本地完整性校验过程中完整性校验失败的模块的 标识（ID)列表。网络通过PVE可W知道特定软件模块的相关属性和它们失败的影响。该 个信息可用于评估网络采取的下一个步骤，如本文描述的一样。
[005引该里描述的是软件模块属性，它们可W被认为是传送至H(e)NB的并且可W作为 来自可信的第S方（TTP)、如H(e)NB管理系统化(e)M巧的数字证书或签名消息来提供。例 如，编码镜像的总体信息元素可W包括但不局限于H(e)NB的制造商W及可用于生成模块 编码镜像的摘要或RIM的完整性方法。
[0化9] 该里描述的是描述组件特定信息的方法。一个或多个组件组成了软件模块。组件 是完整性校验的基本单元。每一个组件关联有一个可信的参考值（TRV)。组件特定的信息 元素可W包括组件ID，组件ID是与组件描述有关的唯一可识别的ID。该是用一个TRV进 行校验的编码单元的ID。它还可进一步包括TRV，TRV被H(e)NB的完整性校验机制用来比 较组件的测量结果W验证组件的完整性。
[0060] 模块特定的信息元素可W包括但不局限于在H(e)NB中描述特定模块功能的模块 描述W及为制造商唯一地标识模块的模块ID。它也可W包括指明了该模块映射到H(e)NB 的哪一个特定功能性的功能描述W及功能ID,该功能ID可W是全球可识别的ID,由卖方制 定标准并与该功能描述一致。它还可W进一步包括标识了该模块映射到哪一个组件的组件 IDW及指示了模块的版本号的发布版本。在组件和模块是一对一映射的情况下，模块特定 的信息实际上和组件特定的信息是相同的。
[0061] 模块特定的信息元素还可W包括严重性分级（classification),该分级指明了当 前软件完整性校验失败对系统功能性的影响。例如，可W有多层次的严重性分级系统。例 如，严重性1可W是导致对H(e)NB功能性有高影响并有必要终止系统操作的模块/功能的 失败。模块/功能的失败会导致基于回退编码镜像师C)的瞒哪（limpalong)系统。在 该种情况下，与基于网络的设备管理系统（如果设备是H(e)NB，该系统会是H(e)M巧通信 是可能的。FBC能给指定的H(e)MS发送遇险信号。更进一步地，FBC还能支持网络发起的 固件/软件更新。例如，H(e)NB的可信的环境订巧）的任何模块或组件会具有严重性1。 严重性2可W是导致H(e)NB功能性受限的模块/功能失败，可W部分地起作用或者支持全 部H(e)NB功能性的子集。该种情况下，与安全网关（SeGW)通信是可能的。严重性3可W 是不会影响系统的核屯、功能性、但在失败的情况下仍会被认为足够重要而需要提早补救的 模块/功能的失败。失败的模块/功能可W通过用立即的固件/软件更新过程来替换并通 过随后的重新启动生效。严重性4可W是不影响系统的核屯、功能性的模块的失败。失败的 模块可W通过常规的固件/软件更新调度进行替换。
[0062] 该里描述的是确认方法的报告过程或方法。对于AuV，设备完整性校验的所有过程 都可在本地进行。如果完整性校验失败，则需要向H(e)MS发送遇险信号W指示该失败。随 后的操作可W从派遣人员到解决该问题或检测该设备。可W进行补救，该种情况下失败模 块的列表需要报告给补救服务器/H(e)MS。对于SAV，完整性校验失败的功能性的列表要报 告给PVE。
[0063] 模块依赖于制造商的应用。一组编译过的软件模块可能会形成对象镜像。完整性 校验可W针对对象镜像块（chunk)进行。因此，引入了组件，组件将进行完整性校验的一组 模块结合起来。一个模块在一个组件中只出现一次并且只出现在一个组件中（即一个模块 不能出现在两个组件中）。该样，当进行完整性校验时，一个模块只被校验一次。H(e)NB的 制造商（可能与任一软件模块的制造商相同或不同）根据架构来决定如何将模块分割成组 件W进行设备完整性校验。
[0064] 功能性可W基于H(e)NB的需求和功能架构，而且可W是标准化的标识符。例如， lu接口和移动性管理就是功能。两个功能可W共享一个模块。因此，在一个组件（完整性 校验单元）的完整性校验失败时，就知道了受影响的模块。由于每个模块有与其关联的功 能性，因此会得出失败的功能性的列表。SAV中，该个失败的功能性的列表被发送到PVE。
[0065] 该里描述的是功能性ID。该架构的使用管理着软件模块的数量和类型。为了通过 多个制造商和/或利益相关者（如移动网络运营商）协调报告结构和方法，报告可W基于 功能性而不是实际的模块。软件模块可W根据其功能性来进行分组。功能性ID提供了根 据功能性描述将模块进行分类的方法。表6列出了一些根据目前已知的推导出的功能性。 该列表可W被扩展和标准化。表6中，低位数字1-9是为将来使用或扩展预留的。
[0066]
[0067]
[0068]
[0069] 表 6
[0070] 该里描述的是组件ID。为了协调设备完整性校验，该些模块可w根据生成的镜像 进行分类。一组对象文件集可一并存档到一个镜像文件中。该样一组模块包含同一组件ID 并共同进行完整性校验，因此，一个组件有一个可信的参考值（TRV)。由于每个软件模块都 有自己的参考完整性度量巧IM)，因此组件的可信的参考值（TRV)可W作为一个或多个软 件模块的一系列的摘要（例如，哈希）而获得，每个模块都有与之相关联的RIM。请注意，在 一个组件ID中出现的模块可能被映射到不同的功能性ID而不是相同模块出现在另一个组 件ID中。该过程给制造商根据他们的架构和编译器提供了灵活性，例如，使基于对象镜像 或者SAV完整性校验的步骤进行模块分组变成可能。
[0071] 模块ID用于跟踪软件不同的模块，并且可能不需要进行标准化，尽管不是不可能 标准化。如果模块ID没有被标准化，会留给制造商来决定存在哪些和存在多少模块。模块 ID可用来提供、跟踪和构造固件/软件更新包。
[0072] 该里描述的是组织和陈述各种标识符例如模块、组件和功能性之间关系的方法和 结构。图1示出了一个示例性方法和结构。软件架构定义了模块的数量和类型。该些模块 根据其功能性和完整性校验单元进行分类。由多个模块组成的组件有它自己的TRV。如果 任何组件使用它的TRV进行的完整性校验失败了，那么要么组件本身被更改了，或者其摘 要已不再与TRV相同了，或者与组件一致的TRV被更改了。任何情况下，一旦完整性校验失 败，模块和完整性校验失败的组件之间的映射W及模块和功能性之间的映射会被用来确定 失败的（至少是"受影响的"）功能性的列表。受影响的功能性的标识符的列表被传递到 H(e)MS或者PVE。
[0073] 图2示出了组件和功能性的示例性结构。如图所示，当该些组件是进行完整性校 验的单元时，组件可能由制造商决定。每一个组件都要与一个功能性列表相关联。该些组 件是基于该些功能性的。因此，当一个组件的完整性校验失败，失败的功能性的列表会被创 建。该些组件可W按其加载顺序或者可替换地按照其执行的顺序进行组织。因此，如果组 件1校验失败，则使用了来自组件1的功能的组件2的功能性不管是加载还是执行也会失 败。
[0074] 另一种替换的根据失败的完整性校验提取失败的功能性的列表的应用可W在成 块的镜像对象文件上进行完整性校验。如果某个由对象镜像中的起始地址和结束地址指定 的镜像块没有通过完整性校验，则与该失败的分段对应的软件功能的名称会被提取出来。 根据应用的功能，失败的H(e)NB功能性的列表会被推导出来。可W该样做是因为软件功能 属于应用了某些H(e)NB功能性的模块。例如，在UNIX环境下'nm'提供了提取对象文件中 的功能的名称的功能性。该个信息是提取自该对象的符号表的。
[0075] 该里描述的是用于确认方法的软件和TRV的下载或提供。可用的S种协议是基于 TR069的架构、基于开放移动联盟（OMA)设备管理值M)的架构和基于可信的计算组（TCG) 基础结构工作组（IWG)的架构。另外该些协议也可W通过利用提供的支持来配置H(e)NB。 除了该=种之外，也可W考虑其他的协议。
[0076] 图3中基于TR069的架构描述了客户端设备（CP巧广域网（WAN)管理协议，它是用 于C阳和自动配置服务器（AC巧之间的通信的。C阳映射到H(e)NB，并且ACS映射到H(e) MS/补救服务器/操作、管理和维护（OAM)。该CPEWAN管理协议可W提供工具来管理CPE 软件/固件镜像文件的下载。该协议可W提供版本识别机制、文件下载启动（ACS发起的下 载和可选的CPE发起的下载）、W及文件下载成功或失败的ACS的通知。
[0077] CPEWAN管理协议也可定义数字签名的文件格式，它可选择地被用于下载个别文 件或一包文件，与供CPE执行的显式的安装指南一起。签名的包格式确保了下载文件和相 关安装指南的完整性，允许文件源的鉴权可能是除了ACS操作员之外的一方。下载的文 件的完整性校验可W建立在将从包含在下载的文件中的各个模块计算得到的完整性摘要 (如哈希）与它们对应的RIM值比较的基础上。
[007引 CPEWAN管理协议可能对H(e)NB的设备完整性校验需要的TRV的下载是有用的。 该些内容可W用网络运营商的签名密钥进行数字签名。一旦接收到签名的数据包，H(e)NB然后可W解密签名并且验证收到的TRV的可靠性和完整性。当组件是由按顺序的几个模块 级联而成时，TRV可W按照与该些模块对应的R