IM的顺序级联而创建。
[0079] TRV也可W在数字签名前为了安全性而进行加密。它们也可能被添加到同一数字 签名包中TRV创建的软件模块二进制镜像的全部或(第一或最后)部分中。
[0080] 该里描述的是处理H(e)NB设备的额外的过程。该些额外的需求和过程可W使用 接口标识,就像下文描述的H(e)NB-H(e)MS接口一样。H(e)NB的确认可能需要额外的协议 组件需求。H(e)NB-H(e)MS应当支持安全插口层/传输层安全性(S化AL巧并使用基于证 书的H(e)NB和H(e)MS之间的鉴权。该个证书可W与用于SeGW鉴权的证书是相同的。如 果H(e)NB-H(e)MS接口使用的是基于TR069的架构,则需要采用CPE鉴权的基本或摘要鉴 权来支持基于证书的鉴权。
[OOW] 该里描述的是基于TR069架构的H(e)MS发现可能需要的过程或结构。H(e)NB应 WManagementServer.U化(管理服务器.册L)参数中一个缺省H(e)MS统一资源定位符 扣化)进行配置。该个初始化配置可W由运营商在布置H(e)NB的时候完成或者由制造商完 成。H(e)NB可支持局域网(LAN)侧的通过鉴权的管理员进行的ManagementServer.U化配 置。H(e)MSU化可W是超文本传输协议安全(HTTP巧U化。主机侧基于动态主机配置协议 值肥巧的H(e)MSU化更新过程可W不需要支持。如果该值在本地更新,则H(e)NB可W联 系新的H(e)MS来揭开化ootstrap)配置文件并建立关系。该U化可W是名称或者互联网 协议(I巧地址,它可能需要域名系统值N巧解析。名称的DNS解析可能会返回多个IP地 址,该种情况下它或者需要确保不会返回多个IP或者如果返回多个IP则H(e)NB从中任意 选择一个。
[00間该里描述的是基于TR069架构的SeGW发现。类似于H(e)MSU化,SeGWU化可w作为参数(SecureGateway.U化(安全网关.U化))来增加。该U化可W由运营商根据H(e) NB的位置来配置。通过DHCP更新该个参数可W不被支持。经授权的管理员可W进行本地 更新。
[008引为了AuV和SAV,为适应设备管理协议的其他机制、诸如TR069、0MADM、或TCGIWG在下文中描述。
[0084] 该里描述的是基于OMADM的架构,用于下载和提供软件和用于确认方法的TRV。 OMADM是由OMADM工作组和数据同步值巧工作组联合指定的设备管理协议。虽然OMDDM 是为像电话、PDA和其他类似设备的小型移动设备而开发的,它不支持设备和DM服务器之 间的宽带有线连接,只支持短距离有线连接(例如,通用串行总线扣SB)或RS232C)或无线 连接(全球移动通信系统(GSM)、码分多址接入(CDMA)、无线局域网络(WLAN)和其他无线 通信系统),它可W用于作为为H(e)NB提供和管理协议的设备。当H(e)NB相对于核屯、网络 把自己当成无线发射接收单元(WTRU)而相对于通用串行网关(CSG)把自己当成基站并且 没有CSGWTRU与它相连时,该可能成为现实。
[0085]OMADM可W支持使用诸如提供(包括首次设备配置和使能/禁用特征)、设备配 置更新、软件升级W及诊断报告和查询的情况。OMADM服务器端可支持所有该些功能,尽管 该设备可W选择性地应用该些特征的全部或子集。
[0086] OMA规范可W进行优化W支持上述所列的有连接限制的小型设备的特征。它也可 支持完整性安全、使用鉴权(通过使用例如可扩展鉴权协议-鉴权和密钥协商(EAP-AKA)) 协议作为规范的一部分。
[0087]OMADM可使用XML(或者更确切地说,来自SyncML的子集)进行数据交换。为了 确认的目的,该可能对为H(e)NB的软件模块或功能性提供一种可标准化的且灵活的方式 来定义和传递属性是有用的。
[008引设备管理发生在DM服务器(设备的管理实体)和客户端(被管理的设备)之间。OMDM支持传输层、如无线应用协议(WAP)、HTTP或对象交换(OBE幻或类似的传输。
[0089] DM通信是由DM服务器使用任何可用的方法例如WAP、Push(推送)或短消息服务 (SM巧、使用通知或警告信息异步发起的。一旦通信在服务器和客户端之间建立起来,就会 通过交换一系列消息来完成给定的DM任务。
[0090] OMADM通信可W基于请求-响应协议,其中请求只能由DM服务器发出,且客户端 可W用应答消息进行响应。服务器和客户端都是有状态的,该意味着任何由于特定的顺序 的数据交换只能发生在内置的鉴权过程之后。
[0091] 由于DM通信只能由DM服务器发起,在DM上应用SAV可能需要基于服务器请求的 方法来确认,可能(立即)继设备鉴权过程之后使用互联网密钥交换(IKE)v2(该是由设备 启动的)。几种不同类型的消息可W考虑作为传递确认数据(例如,失败的软件模块或设备 功能性的列表)。例如,管理警告消息可从设备发送到服务器。可替换地,自设备或者服务 器至少传输了一个管理警告信息之后,可W由设备发给DM服务器的通用警告消息的用户 也是可W考虑的。由于所有消息、包括该些警告消息使用了同步标记语言(SyncML)格式, 该格式在详细描述内容和内容的元数据时提供了灵活性,因此它可用于确认信息传输。
[0092] DM可W支持分段数据的传输,该可用于更新的大小比较大时的软件更新。当从 H(e)NB传输到PVE的失败的功能性的列表信息的大小足够大W至于需要分成多个消息时, 分段数据传输也可用于传输该样的列表。
[0093] 该里描述的是基于TCGIWG的架构,它用于下载和提供软件W及用于确认方法的 TRV。可信的计算组(TCG)、基础结构工作组(IWG)已详细描述了用于平台完整性管理的详 细格式和协议。在完整性测量和报告的基本模型中,网络和服务接入可W取决于平台的验 证状态。
[0094] TCGIWG标准提供了一个H(e)NBSAV或AuV需要的结构的超集。没有IWG规范可 W现成使用的。此外,将IWG规范用于设备确认的特定用途的情况需要对XML概要进行修 改(如略去需要的元素),该意味着偏离了IWG标准。
[0095] 图4示出了请求的平台和网络侧验证者之间的基本交互。验证者需要对请求者的 平台的每一个组件寻找鉴权信息(在第五步)。也就是说,为了由度量提供者变成可用的 平台确认,需要参考测量。度量提供者的实例有硬件制造商、软件供应商或代表制造商和供 应商的可信的供应者。一旦验证者能够识别每个请求者的平台的组件,并将报告的测量值 与预期的(基准)参考测量值(该组件的)进行比较,验证者就能衡量请求者的平台的信 任级别。在该个阶段,验证者能根据请求者在可信赖方对接入资源/服务的愿望做出决定。 该在第六步中示出。
[0096] 需要注意的是IWG完整性验证架构在很大程度上是独立于验证过的平台上的硬 件可信的平台模块(TPM)的存在的。尤其是在标准中的数据格式有能力表达通用组件和平 台安全相关的属性。
[0097] 为了支持给定组件内的技术上的信任,组件制造商可能会W其组件来源相关的信 息支持他的产品。也就是说,制造商或可信的第=方必须提供一些该组件的静态参考值。组 件的该些静态参考/度量值被称为参考测量,并用TCG参考清单(RM)结构的形式表示。组 件的清单包含诸如其身份(identity)、制造商、型号、版本号等等的信息。就本申请而言, H(e)NB组件的可信的参考值(TRV)可W由TCGIWG参考清单(RM)结构详细描述。
[009引当平台需要得到确认,它必须向确认者(如平台验证实体-PV巧提供完整性报告, 该完整性报告是从如图5中所示的覆盖了平台组件的一组快照编译而成的。所述快照表示 关于平台的每一个相关组件(可能是该些组件的子组件)的测量和断言(assertion)。参 考(ID参考)被用来指向属于如图6中所示的完整性报告中报告的组件的信息。
[0099] 基于M的用于确认的核屯、组件是在TCG标准中描述的。为了灵活性,XML命名空 间(namespace)可用于IWG格式的平台特定的文档(profile),例如移动或PC客户端。
[0100] 可共用的完整性日志结构通过定义"硬件架构"类型值来指示平台特定的编码方 式可W解决一些平台特定的限制。类型值可W通过使用可共用的命名空间机制例如XML命 名空间和XRI,用TCG命名空间的形式来定义。
[0101] 从核屯、概要扩展继承而来的M概要,定义了结构W保持参考。该M概要可大体 理解为由如图7所示的两组信息组成。第一个属于关于各个组件的信息,并涵盖了诸如组 件模型、名称、版本、序列号等属性。该信息是在ComponentWtype(组件ID类型)结构中 捕获的。围绕着该组件特定的信息的是属于捕获(收获)组件信息的元数据。该由概要中 IntegrityManifestType(完整性清单类型)结构表示。捕获的元数据包括使用的收集者 (收获者)方法、M签名(W及相关签名者/发行者信息)、组件(软件的)的概要值、信 任等级、断言进行w及其他。
[0102] 该里描述的是AuV特定的项。AuV中,完整性校验可在本地进行。因此,任何本文 描述的数字签名或消息鉴权码都可W使用。该些可W由制造商使用制造商的私有密钥/共 享的秘密来签名,并且可W使用制造商共享的秘密或公开的密钥来为他们的可靠性进行本 地验证,W及可用于本地编码的完整性确认。
[010引然而,在AuV中,设备的验证可在设备中本地执行,并且信息不被发送到任何网络 实体。因此,可能会留给制造商来决定确切的用于确认的的方法。不过,最低限度的安全需 求可W进行标准化,如'完整性算法必须提供等于或优于SHA- 1的安全性'。
[0104] 该里描述的是AuV怎样应用TRV证书管理。由于系统的组件依赖于实际的应用, 有必要统一设备完整性使用的机制。该可W通过标准化用于生成被称为TRV的可信的参考 完整性度量的方法的最低要求来实现。该些TRV可由生产商生成或由对该值进行数字签名 的TTP生成。因此,回顾一下组织信息、生成TRV、发布并使用它们的机制。
[01化]该里描述的是首次TRV认证初始化(initialization)。在完成H(e)NB开发之后, 制造商执行本地完整性数据初始化。在该个过程中,所有的软件模块的名称被收集在设备 配置数据表中。如果存在任何与配置文件有关的工厂设置,它们也被包含在设备配置数据 表中。该些模块是可执行的,而不是源代码。也进行配置数据提供的发起。设备配置数据 表概要紧跟标准概要。本文描述的XML或者ASN.1概要可W作为基准使用。所有关于严重 性、兼容性、步骤和其他的属性都是根据设备的结构填充(populate)的。
[0106] 图8示出了证书管理架构800。在制造商的认证服务器805中,所有模块实体810 是用参考完整性度量填充的。完整性方法属性和TRV属性被填充。设备配置数据表然后由 制造商使用私有密钥820进行签名。它也可W用由TTP发布给制造商的根证书进行认证。 由此,参考完整性度量巧IM)变成了TRV830。
[0107] 在一个替换架构中,TRV可W由TTP生成。制造商提供可执行的及部分完成的设 备配置表,该表列出了所有的模块和一些可在制造商方填入(fill)的填充的属性。是概要 度量的TRV由TTP填充。然后TTP对设备配置证书进行数字签名。
[0108] 设备配置数据表可在设备中进行维护,因为AuV是在设备中本地进行的。该设备 配置数据表必须保存在只能由鉴权的一方访问的安全存储器中。可替换地,设备配置数据 表必须被加密,它在H(e)NB中进行读取和使用时可W被解密。在该两种情况下,只有H(e) NB的可信的环境(Tr巧有权发布用于由应用读取访问的设备配置数据表或修改它。
[0109] 在安全启动过程中,当设备执行组件的本地测量时,生成的摘要会与设备配置数 据表中指定的值进行比较。如果发生不匹配则被解释为设备完整性确认失败。设备配置数 据表的完整性必须在它被访问之前得到确认。设备配置数据表的完整性也可W在数据表中 描述的任何一个或多个组件的一个或多个完整性校验失败之后进行确认。
[0110] 该里描述的是随后的TRV证书更新过程。对于部署好的H(e)NB系统,如果制造商 发布了一个新的软件版本,那么制造商会在提供软件模块给H(e)MS/0AM服务器/补救服务 器的同时提供该设备配置数据表。该可W由制造商通过执行'PUSH(推送)'操作异步完成。 该样的PU甜可W根据运营商和制造商之间达成一致的预定的更新/升级进行调度,该些更 新/升级是基于运营商和制造商之间签订的服务协议的。
[011U该样的PU甜之后,用于更新固件或软件模块的0AM过程或TR069过程可能会被调 用(invoke),该指示设备在预定的时间重新启动W从H(e)MS/OAM/补救服务器执行'P化L' 操作软件/固件。加密、签名W及随机数可W分别提供诸如保密性、完整性和重放保护的安 全方式。
[0112] 可替换地,当设备配置数据表由于根据软件发布时间表的预定期满而期满时, H(e)NB会启动固件/软件更新过程,并从0AM/补救服务器针对软件/固件开始PU化操作。 可替换地,H(e)MS可W根据已知的时刻表(例如从制造商处获取的)执行软件更新的预定 的PU甜操作。
[0113] 该里描述的基于TR069或0MADM架构的过程支持软件/固件下载到设备。在AuV 的情况下,TR069协议可W提供对客户端设备的远程管理支持。它也可W提供对设备软件/ 固件更新的支持。TR069可用于提供固件/软件更新到H(e)NB设备。
[0114] 该里描述的是为随后的更新而在H(e)NB905和H(e)MS910之间进行的AuV 过程实例,该些随后的更新如图9所示,可W在H(e)NB905上由经过授权的管理员或 者通过利用册L更新过程来执行。H(e)NB905被用如前文描述的关于H(e)MS发现的 ManagementServer.U化参数(0)中的缺省H(e)MS统一资源定位符扣化)进行初始化配 置。该可能由制造商提供。H(e)MS910打开传输控制协议(TCP)连接(1)。在H(e)NB905 和H(e)MS910之间建立起安全插口层(SSL)连接W允许安全通信(2)。H(e)MS910发起 远程过程调用(RPC)方法设置参数值(SetParameterValue)并更新ManagementServer. U化(3)。在成功更新后,H(e)NB905W指示成功或失败的状态字段发送设置参数值响应 (Se1:Paramete;rValuesResponse)(4)。H(e)NB905 更新H(e)MSU化巧)。
[0115] 该里描述的是为支持文件传输使用H(e)NB-H(e)MS接口的TR069的AuV过程。 TR069支持通过单播和多播传输协议进行文件传输。单播协议包括HTTP/HTTPS、文件传输 协议(FTP)、安全文件传输协议(SFT巧和普通文件传输协议(TFT巧。多播协议包括通过单 向传输的文件传递(FLUT巧和数字存储媒体命令和控制值SM-CC)。对HTTP/HTTPS的支持 是必选的。为了使TR069适应H(e)NB-H(e)MS接口中的固件/软件下载,除了HTTP/HTTPS, FTP安全(FTP巧也可W使用并需要加到TR069中。FTPS(也称为FTP安全和FTP-SSL)是 FTP的扩展,它增加了对传输层安全性CTL巧和S化加密协议的支持。由于H(e)NB-H(e)MS 接口使用了TLS-S化接口,FTPS可应用于传输文件。
[0116]TR069也提供了对为下载文件重利用相同的TLS连接、为下载文件产生一个新的 连接的支持,后一种情况可能存在于平行或发布第一个会话时。下载完成之后,信令的化S 连接被建立。如果HTTP/HTTPS被用于下载文件,则可W使用标准的TR069过程。
[0117] 该里描述的是支持补救的AuV过程实例。如果AuV中设备完整性校验失败了,贝U 本地遇险标志被设置并且该系统重新启动后备代码(FBC)。FBC可W安全地存储在设备中, 如果安全启动过程(或设备的任何其他被认为是对确保设备的基本完整性'必不可少'的 过程)失败,FBC会被加载和执行。FBC有与核屯、网络进行基本通信的能力和有向预先指定 的H(e)MS发送遇险信号的能力。H(e)MS可W已经由H(e)MS发现过程进行了更新。遇险 信号的内容可W安全地存储在设备上的FBC内,或者由MN0提供并作为设备配置数据表的 一部分进行安全存储。遇险信号可W包含指示设备完整性校验失败的具体信息的错误代码 信息元素。一旦接收到遇险信号,网络会决定更新完整的镜像和包含了可信的参考值的设 备配置文件。FTP服务器存储了包含完整镜像的包文件、设备配置文件和安装指南。该FTP 服务器可W与H(e)MS进行合并。
[0118] 该过程可W通过FBC支持TR069协议取得,图10示出了H(e)NB1005、H(e)MS 1010和FTP服务器1015之间的流程图的实例。如果设备完整性校验失败且信任根(RoT)已 经在H(e)NB1005上启动了FBC(O),则H(e)NB1005与预先指定的H(e)MS服务器1010建 立TCP连接(1)。执行S化初始化和/或建立传输层安全性(TLS) (2)。H(e)NB1005然后调 用RPC方法INFORM、例如遇险信号给H(e)MS1010。遇险信号可W包含任何信息元素、例如 设备ID值eviceID)、事件巧vent)、最大包络(MaxElnvelopes)和当前时间(QirrentTime) 的组合。
[0119] 设备ID值eviceID)是一个结构,该结构可W包含制造商名称;设备制造商的组 织唯一标识符(0UI);产品分类(PrcxluctClass),可用于指示使用序列号的产品的分类或 者用于为了让序列号(SerialNumber)属性被用于指示TrEID或H(e)NBID而指示设备的 序列号;W及序列号,可用于发送特定设备的序列号或者发送TrEID或H(e)NBID。
[0120] 事件(Event)字段可W包含引起执行的RPC方法通知的事件代码。可能需要定 义一个新的事件代码〇(_HeNB_FBC调用)来指示设备完整性校验已经失败W及FBC已经 被调用W发送该遇险信号。用W向ACS(例如H(e)M巧指示可能被包含在单个HTTP响应 中的叫做"SOAP包络"的参数的最大发生次数的最大包络值,可W被设为1。参数最大包络 (MaxEnvelope)的值可W是1或者更大。由于遇险指示倾向于只发送一次,将该值设为1是 合适的。当前时间(CurrentTime)字段是H(e)NB1005知道的当前日期和时间的值。因此, 该通知(Inform)RPC方法向H(e)MS1010指示了设备完整性校验已经失败并且正在为初始 化固件/软件更新进行连接。
[012U 余下的过程1000是可选的。H(e)MS1010可W调用RPC方法下载并且提供固件 或者软件位置的URL和设备配置数据表(4)。下面的参数值需要设置。CommamlKey(命令 密钥)参数是一个可能会被H(e)NB1005用来指示特定下载的字符串。该可W是用于使 下载和响应相关联的任何字符串。FileType(文件类型)参数可W针对固件/软件镜像被 设置为"IFirmware化gradeImage(固件升级镜像)"W及针对设备配置数据表被设置为 "X_<OUI〉_data_sheet0(_<OUI〉_ 数据 _ 表)"。U化参数是下载文件的U化。HTTP和HTTPS 必须被支持。针对下载也推荐支持FTPS。用户名扣sername)参数可W被H(e)NB1005 用来鉴权文件服务器。密码(Password)参数可W被H(e)NB1005用来鉴权文件服务器。 FileSize(文件大小)参数是要下载的文件的大小。还可W设置其他参数。
[0122]H(e)NB1005连接到FTP服务器1015并且下载固件镜像(或软件镜像)和设备配 置数据表巧)。FTP服务器1015上的信息可W表示成补救信息。一旦成功完成下载,就发 送一个具有值设为0 (表示成功)的状态参数的下载响应值ownloadResponse),或者一个下 载请求的错误响应(表示失败)化)。也可W接着用替换过程来指示成功或者失败的下载。 在成功的下载响应之后,H(e)MS1010则调用H(e)NB1005中的重新启动过程(7)。H(e)NB 1005中的RPC处理器重置本地遇险标志并正常启动W执行本地完整性校验过程巧)。签名 的包格式可能包括重新启动命令,它可用来指示H(e)NB1005在固件或者软件更新之后进 行重新启动。传输完成(TransferComplete)RPC方法可W从H(e)NB1005被调用W指示 H(e)MS1010固件/软件更新过程已经成功完成巧)。可替换地,SeGW可W向H(e)MS1010 发送消息W指示设备已经成功启动,该在H(e)MS1010中会被解释为成功的固件/软件更 新完成消息。
[0123] 该里描述的是一个可用于H(e)NB固件/软件更新的文件格式1100的实例,在图 11中示出。报头1105可W是一个固定长度的结构,包括前同步码、格式版本和命令列表和 负载(payload)组件的长度。命令列表1110包含可被执行W提取和安装包含在包中的文 件的指令序列。每一个命令都可W是类型-长度-值(TLV)的形式。签名字段1115可W 包含公共密钥加密标准(PKC巧#7数字签名块,该数字签名块可能包含了一组0或者更多数 字签名。负载文件1120可能包括要按照命令列表1110中的指令进行安装的一个或多个文 件。除了固件/软件更新文件外,设备配置数据表也用签名包格式进行打包。
[0124] 为了支持存储分类器的需求,可W增加下列新的H(e)NB特定的命令;1)存储到安 全非易失性存储器中(针对诸如TRV或者配置数据表之类的数据);W及2)存储到非易失 性储存器中;或者3)可W存储到易失性储存器中。