并正常启动W执行上面指示 的本地完整性校验过程(10a)。可替换地,签名的包格式可W包含重新启动命令,该命令用 于指示H(e)NB1505在固件或软件更新之后重新启动。在固件/软件更新成功完成之后, 可W向SeGW1510发送传输完成消息(11)。可替换地,传输完成(TransferComplete)RPC方 法可W由H(e)NB1505调用W向H(e)MS1520指示固件/软件更新已经成功完成。在另一 个实例中,SeGW1510可W发送消息给H(e)MS1520W指示设备已经成功启动,该会被H(e) MS1520解释成一个成功的固件/软件更新完成消息。
[01W] 该里描述的是在平台确认和管理(PVM)架构中使用SAV的架构和方法。PVM提供 了一种系统方法来确认和管理设备,当他们首先尝试附着到通信网络上W及随后的监视设 备的完整性、通过来自可信的计算的安全技术信赖部分。PVM提供;1)在允许网络连接之前 确认设备;2)通过无线电(OtA)管理设备配置;3)通过在组件加载/开始上校验RIM的安 全启动;W及4)配置改变时在设备上安装新的RIM-RIM摄取。
[018引 PVM可W使用下述术语。术语"验证(verification)"可用于安全建立期间设备组 件的内部验证,而术语"确认(validation)"用于由外部实体进行的整个校验过程。该样, 就可W避免介绍"内部"相对"外部"确认了。其中确认用于通常意义上的加密校验或者数 据匹配,该是明确需要注意的,该样才不会引起混淆。
[018引PVM使用SeGW、PVE和DMS中的至少一个。由于设备中的T巧执行设备内部的确 认关键任务,因此通常hE与其他实体进行通信。而该通信需要的设备的其他组件例如网 络接口,不是T巧组成部分中必须的,可W由T巧来评估该些组件的完整性W确保端到端的 安全。
[0184] 职责的严格划分需要每一个实体限制于它的核屯、任务。例如,SeGW在(不)可信 的设备与MN0的CN之间建立安全接口。它作为关卡和网络接入控制W及MN0的CN的强制 实例。它也进行所有安全相关的(作为该样一个关卡必须的)功能,包括鉴权、对与设备的 通信进行加密/解密、安全联盟和对话建立。SeGW可被用于作为在MN0的CN与外界之间建 立边界的网络实体的一个实例,所述外界例如外部设备。使用PVM方法进行设备确认也可 能不需要SeGW。该样做可能包括使用安全连接例如传输层安全性CTL巧直接将设备连接到 DMS。
[01化]至于PVE,它作为CN中的确认实体并执行完整性确认。它接收完整性确认数据并 检验报告的值是否已知并是好的。它向CN中其他实体发布有关设备完整性的报告。
[0186] 至于DMS,它作为设备组件管理的中屯、实体,该些组件包括软件更新、配置改变、 0TA管理和失败模式补救。DMS在根据平台确认执行该功能方面,与H(e)MS的增强版本类 似。
[0187] 除了上述实体外,PVM还包括RIM管理器化IMman)。RIMman执行下述任务,包括 管理和提供用于确认中的比较的参考值。它也管理证书,尤其,摄取外来的RIM证书、验证 RIM证书、生成(运营商特定的)RIM证书W及通过例如撤回、时间限制和信任关系来校验证 书的有效性。也就是说,RIM管理器是唯一的实体,它被授权W管理确认数据库(V_DB)。该 V_DB和RIMman是受保护的CN组件。对V_DB的写访问权限仅限于RIMman,因此PVE不能 向V_DB写入。RIMman在安全方面具有特殊的重要性,因为它管理着PVM必须的(S册-CN) 外部信任关系。
[0188] PVM还包括进行管理和提供设备配置的配置策略管理器(CPman)。它也管理策略, 尤其是,从例如可信的第=方CTT巧摄取外部配置和策略,并生成(运营商特定的)目标 设备配置和策略。也就是说,CPman是被授权来管理配置策略数据库C_DB的唯一的实体。 CPman在安全方面具有特殊的重要性,因为它管理PVM必须的(S册-CN)外部信任关系。
[0189] 图17A和17B示出了PVM的实体的最小组、它们的关系和接口的实例。也示出了 其他实体,例如鉴权、鉴权&计费(AAA)服务器和无线发射/接收单元(WTRU)和他们的接 P。
[0190] 图17A中的PVM架构或者系统1700包括具有TrE1710的设备1705。WTRU 1712 (或者用户实体扣E))可W通过I-ue接口 1714与设备1705进行通信。设备1705通 过I-h接口 1715与SeGW1720进行通信。总的来说,设备1705和SeGW1720之间的接口 I-h1715可能不受保护,并且可W使用特殊的测量来确保该信道的可靠性、完整性和可选 的保密性。I-h1715可W被用于建立设备1705与SeGW1720W及CN之间的链路。例如, SeGW1720可W通过接口I-aaa1775与AAA服务器通信。运营商可W建立适当的测量来确 保该接口的安全。
[0191]I-pve接口 1722可W被SeGW1720用来在确认过程中与PVE1724联系。PVE1724 可W使用I-pve接口 1722将确认的结果用信号通知给SeGW1720。I-血S接口 1730可W 用于设备配置相关的DMS1735与SeGW1720之间的通信。该I-pd接口 1732可W被PVE 1724用来与DMS1735进行通信,反之亦然。接口I-pd1732可用于设备管理过程中,例如 用于设备软件更新和配置改变。
[0192] 接口I-V1726 和I-d1738 可W分别被PVE1720 用于从V_DB1740 读取RIMW 及被DMS1735用来从C_DB1750读取允许的配置。接口I-r1728和I-C1734可W被PVE 1720用来与RIMman1760进行通信,例如在¥_06 1740中缺少RIM的情况下,并被DMS1735 用来与CPman1770进行通信。RIMman1760和CPman1770可W分别使用接口I-rdb1762 和I-C化1772来读、写和管理数据库V_DB1740和配置策略数据库C_DB1750。
[019引图17B示出了PVM1782,其中设备1705可W直接与DMS1735连接。当该设备是H(e)NB时,DMS1735应该是如之前描述的H(e)MS。例如,对于其中设备1705不能与SeGW 进行安全协议的回退模式。在该种情况下,DMS1735可W作为通过接口 1-血3_(1 1784第 一次联系设备1705的点,并通过接口I-pve1786和I-pd1788与PVE1724通信来执行确 认,或者至少得知哪些组件在安全建立过程中已经失败了。DMS1735可W根据该信息为补 救而行动。
[0194] 如本文所述,PVM可W使用任何版本的确认。该里描述的是与PVM-起工作的半 自动确认(SAV)的一个实施例。我们将焦点放在半自动确认(SAV)的演进型确认方法上。SAV的该个解决方法的优点是进一步地使CN完全免受流巧(rogue)设备的影响。在SAV过 程中,由SeGW有效地建立起一个隔离。设备对PVE和DMS没有直接的威胁,因为它们只能 接收限于它们的任务的数据并且只能通过与SeGW的安全连接,或者由SeGW建立。SAV中的 确认进程不需要设备与CN中的任何实体之间的直接通信。只有在使用SAV成功确认之后, 才允许连接到CN。该确保了只有被证明处于安全状态的设备才能与CN中的实体进行通信。
[01巧]图18AU8B和18C示出了一个使用PVM基础结构的SAV确认方法实例的示意图。 该PVM基础结构包括本文描述的实体,包括TrE1805、SeGW1807、PVE1809、DMS1811、V_ DB1813 ^及(:_06 1815。在相互鉴权(1820)之后,hE1805可W收集下列数据的部分或 全部;设备信息例如Dev_ID、制造商、设备能力(包括但不限于通信能力例如支持的数据速 率、传输功率等级、信令特性和其他能力)、T巧能力和性质包括RoT;TrE_信息包括ID、认 证信息、制造商、创建版本和可选的模型、样式、串号;确认数据包括1)设备的失败的功能 性的列表,和/或2)平台配置寄存器(PCR)值;确认结合例如通过PCR值的签名或者失败 的设备功能性的列表;组件Clist的组件指示符(CInd)的有序列表W及可W包括组件的参 数;W及时间标记(可信的或不可信的)(1822)。从TrE1805到SeGW1807的确认消息/ 数据可W包含上述数据(1824)。
[0196]SeGW1807应该将接收到的时间标记与本地时间进行校验/比较来检测变化 (1826)。如果报告的时间标记与本地时间不匹配,则SeGW根据报告的时间标记的属性而行 动。如果设备的时间标记是可信的时间标记并且显示了变化,则SeGW1807应该触发TrE 的重新确认W及它的可信的时间源。在不可信的时间标记的情况下,SeGW1807将它自己 可信的时间标记加到该消息上。如果该设备不能提供可信的时间标记,则SeGW1807可W 加入一个可信的时间标记作为防止重放(r巧lay)攻击之用。
[0197] 一旦接收到该消息,则SeGW1807可W校验是否出现来自T巧的签名形式的确认 结合(1828)。该确保了确认数据的可靠性。SeGW1807然后创建PVM令牌(T_PVM) (1830) 并在发送之前在该T-PVM上应用时间标记W确保时新性并阻止异步消息流(1832)。
[019引 SeGW1807将该T_PVM转发给PVE1809 (1834),它们轮流查询使用TrE-信息的V_ DB1813(1836)。如果向PVE1809返回了一个不值得信任的确定(1838),PVE则对T_PVM应用时间标记(1840)并将它转发给SeGW1807 (1842)。SeGW1807发送设备鉴权的否定到 Ti~E1805(1844)。
[0199] 如果向PVE1809返回了一个值得信任的确定(1846),则该PVE查询使用Dev_ID 的(:_08 (1848),它们轮流向PVE1809返回配置策略(1850)。该PVE1809评估该配置策略 (1852)〇
[0200] 如果该PVE1809确定该配置是不值得信任的(1854),则PVE1809修改T_PVM并 应用时间标记(1856)。该PVE1809然后将该1'_?¥1转发给SeGW1807 (1858),它们轮流发 送设备鉴权的否定到TrE1805(1860)。
[0201] 如果该PVE1809确定该配置是值得信任的并允许该配置(1862),则PVE1809通 过Clist或者来自¥_06 1813的(:_^31((:_列表)为所有实体恢复RIM(1864)。该PVE1809 重新计算来自RIM的正确的确认数据(1866)并将计算出的确认数据与报告的确认数据进 行比较(1868)。在SAV的情况下,来自RIM的计算出的确认数据可W为失败的功能性的'空 的列表'的形式。PVE1809然后修改1'_?¥1并应用时间标记(1870)。PVE1809然后将T_ PVM转发给SeGW1807 (1872)。SeGW1807针对PVE确认结果检查T_PVM(或者从T_PVM进 行提取)(1874)。SeGW1807向TrE1805发送设备鉴权的否认或允许(1876)。如果PVE确 认结果是否定的,则TrE1805执行重新启动并进行重新确认(1890)。
[0202] 可选地,在PVE1809将计算出的确认数据与报告的确认数据进行比较之后 (1868),PVE1809可W发送一个失败的组件的列表给DMS1811(1878)。如果该失败的组 件的列表不为空,则DMS1811可W确定可W应用软件或固件的更新(1880),并且如果是该 样的话,准备好OTA更新(1882)dDMS1811也确保用于更新的1?加在¥_06 1813中存在 (1884)。该DMS1811通过用于重新确认的指示向SeGW1807发送T_PVM(1886)W及向TrE 1805发送重新确认触发(1888)。TrE1805执行重新启动并进行重新确认(1890)。
[0203] 该里描述了关于图18AU8B和18C中的进程的具体情况。为了执行平台确认, hE收集如下数据并将其传达给SeGW;设备信息例如Dev_ID、制造商、T巧能力和性质包括 RoT^^.信息包括ID、认证信息、制造商、创建版本和可选的模型、样式、串号;完整性确认 数据(IVD,一个IVD的实例可W是签名的平台配置寄存器(PCR)值,另一个实例可W是简 单的组件或功能性的列表,该些组件或者功能性的完整性被设备本地完整性校验进程校验 过,并且进一步地被评估为没有通过该样的设备本地完整性检验;确认结合例如PCR值上 的签名;Clist-它是组件Clist的组件指示符(CInd)的有序列表并且可W包含组件的参 数;该组件的列表将会服务于识别确认的RIM,例如,通过指向RIM证书,RIMcs。该组件的 指示符的有序列表和它们的参数可W包含如下数据字段的项;索引、组件_指示符CInd、组 件_参数。CInd给出了组件的参考并且可W为URN格式(例如URN://vendor,path,to/ component/cedificate))。可选地:时间标记(该可W是可信的时间标记,或者通常意义 上不需要是可信的常规时间标记)。
[0204] 在该设备的情况下,确认消息还可W额外包括设备信息,例如ID、认证信息、制造 商、模块、版本、样式、串号。T巧能力和性质包括RoT、设备的安全策略、在完整性校验W及 校验之后组件加载的多步骤进程中的不同步骤通过完整性校验的模块、HW建立版本号W及 可选的SW建立版本号和完整性测量数据。
[02化]将RIM用于确认是一种用于SAV的优选但可选的方法。它在该里作为基本情况使 用,其他选项背移了它。例如,存在没有重新计算来自RIM的确认数据的确认,甚至还有可 能完全没有RIM而执行PVM。
[0206] 如果确认消息必定是通过其他而不是那些包括设备完整性的方法,例如通过安全 信道的存在和使用,验证结合可W是可选的。
[0207]SeGW可朗尋接收到的时间标记与本地时间进行校验/比较W检测变化。如果报告 的时间标记与本地时间不匹配,则SeGW根据报告的时间标记的性质采取行动。如果该设备 的时间标记是可信的时间标记并且显示出变化,SeGW会触发TrE的重新确认及它的可信的 时间源。在不可信的时间标记的情况下,SeGW将它自己的时间标记加到消息中。
[020引TrE_info(TrE_信息)可W是可选的。Dev_ID可W给出TrE_info的参考。由于 不是所有的MN0都会知道所有的TrE,因此所有的TrE_in化数据,可W由数据库提供该样一 个映射,该数据库可W由MN0查询来获得任何给定Dev_ID的TrE_in化。TrE_in化可W在 TrE_ce;rtificate(TrE_ 证书)中。该TrE_certificate应被T;rE的供应商或者TTP签名, 例如同族(german)BSI。
[0209] 使用URN作为组件的指示符(CInd)是有利的,因为它同时允许组件的该个唯一标 识和可W取得RIM或RIM证书的位置。
[0210] SeGW创建PVM令牌(T_PVM),该T_PVM可用于作为轮询令牌并且在通信中在实体 之间传递。每一个实体在发送之前将一个时间标记放到该令牌上来确保时新性W及阻止异 步消息流。该令牌上的时间标记可W被用于提供一种跟踪令牌状态的方法。该令牌在CN 中的实体之间传递,甚至几个来回,因此可W被实体跟踪到。可选地,实体ID可W加入到该 时间标记的数据链中。
[021UT_PVM可W包含Dev_ID。如果该原始时间标记不存在或不可信,该T_PVM也可W 包含由SeGW发布的新的时间标记。否则该1'_?¥1可W包含来自确认消息的原始时间标记。 [0212] 时间标记可被用于避免重放攻击。它们可W与随机数或者单调(monotonically) 递增的计数器合并或者甚至被他们替代。时间标记也可被用于评估确认数据的时新性。两 种目的的结合是有利的且可W由时间标记提供。
[021引在第一种变型中,对于通过DMS、T_PVM的后来的设备管理可W包含在DMS与TrE之间建立安全通道的通信秘密,例如TLS证书。
[0214] SeGW维护包含所有激活的T_PVM的令牌数据库T_DB。
[02巧]SeGW从确认消息中提取如下数据;确认数据、TrE_in化和Clist。在将该数据与 令牌T_PVM-起发送之前,SeGW在T_PVM上放置时间标记并将它转发给PVE。SeGW可W校 验该确认消息及其部件的格式W减轻来自错误形成的数据攻击。否则,攻击者会尝试修改 妥协的TrE的确认消息中的数据,由此在PVE上的对该数据的纯粹的检查会导致系统错误 或失败。
[0216] PVE是决定设备有效性的实体。也就是,用策略系统的语言来说,它是一个策略决 策点(PDP)。在严格的责任分离方法下,它是PVM系统中唯一的PDP。它依赖SeGW和DMS来 实施策略,例如作为策略实施点(PEP)。用它通常的描述,PVM保持着对策略是如何生成的 和它们在哪里存储/管理的问题的不可知,例如PVE从哪里得到该策略。在下面描述的一 些更具体的变型和次要的方法中(尤其参数的确认和最小的确认),给出了策略条件和行 动的一些实例。通常,确认策略的决定可W不仅根据单个组件的有效性也要根据Clist中 包含的其他数据。尤其是,可W评估允许的参数(范围)和加载顺序(Clist是有序的)。
[0217] 失败条件有一些基本的等级,可W发生在由PVE执行的确认进程中。例如,失败条 件F1指示一种"T巧无效"场景。通过它的经过鉴权的Dev_ID和传递的TrE_in化,PVE识 别设备和/或它的hE哪一个不值得信任。注意;能被用于确定hE是否无效的信息可W在 SAV确认消息上进行携带,或可W从其他消息或其他方法中推出。在它基本的形式中,SAV 确认消息的存在可W隐式地指示T巧本身必须是有效的。怎样检测F1的具体描述在同时 提交的申请号为No._,题为"无线设备的平台确认和管理"的美国专利申请中,它作为 参考加入本文,就如同本文具体描述一样。
[0218] 另一个实例是失败条件巧,它指示"IVD验证失败"的S种场景。场景F2a指示完 整性测量/验证数据不匹配。它指示设备的安全启动进程的失败,和/或错误的存在和/ 或过期的RIM和/或设备的RIM证书,然后启动无效的组件。场景F化指示RIM遗失,也就 是,组件的RIM遗失并且需要从其他地方取回。场景F2c指示过期的RIM证书。
[0219] 失败条件F3指示"Clist策略失败"的两种场景。对场景F3a,单个组件是有效的, 但该配置使一个策略失败,例如在加载顺序上或者非期望的组件或参数。场景F3b指示配 置未知,该样Clist的'已知的好值'不可用。
[0220] 该里描述的是检测和处理失败条件等级巧的一种方法。对于失败条件F2,PVE 针对来自接收到的Clist的所有组件从V_DB取回RIM。确认数据库V_DB只存储认证过的 RIM。相关的RIM证书必须安全地存放在V_DB中。
[0221] 如果IVD是"与本地完整性校验失败的设备的组件相应的设备组件"的一个简单 列表的形式,就如本文描述的狭义的SAV过程,则IVD_ref会简单的是一个空的列表的形 式。也就是,在该种情况下,IVD_ref应仅仅是预期的失败的功能性的列表,如果每一个组 件都预期通过了设备本地完整性校验,则该列表应该是一个空表。
[0222] 如果IVD_ref与接收到的IVD不匹配,则设备上的安全启动进程已经被妥协或者 错误的RIM被存储到该设备中,W及无效的组件因此在该安全启动进程中被加载。
[0223] 根据该F2a策略,一旦检测到F2a失败,可W应用一些选项。在一个选项中,拒绝。 PVE用信号通知SeGW确认的结果。SeGW然后可W拒绝网络接入或者将该设备放入隔离的 网络中。另一个选项被更新。在接收到指示验证数据失败的确认结果(T_PVM)之后,DMS开 始一个管理进程来替代确认失败的组件。该样一个补救进程的具体描述在同时提交的申请 号为No._,题为"无线设备的平台确认和管理"的美国专利申请中,它作为参考加入本 文,就如本文详细描述一样。
[0224] 如果没有策略失败条件得到满足,则该设备是有效的。PVE将其用信号通知给 SeGW,然后它允许连接到CN。
[0225] 对失败条件巧b,其中RIM遗失了,该个发生可能是因为RIM可^在¥_〇6中遗失, 或者它可W在该设备中遗失(因此,在该种情况下,该设备不能进行设备本地完整性校验 过程)。怎样检测巧的具体描述在同时提交的申请号为No._,题为"无线设备的平台 确认和管理"的美国专利申请中,它作为参考加入本文,就如本文详细描述一样。
[0226] 该里描述的是检测和处理失败条件等级F3的方法。如果单个组件是有效的但组 件的配置使一个策略失败(例如加载顺序不匹配),或者如果该配置未知,即Clist的'已 知的好值'不可用,该F3失败条件发生。该样一个失败条件怎样发生和该样一个失败条件 能怎样被处理的详细描述在同时提交的申请号为No._,题为"无线设备的平台确认和 管理"的美国专利申请中讨论,它作为参考加入本文,就如本文详细描述一样。
[0227] 图19示出了一个长期演进(LTC)无线通信系统/接入网络1900,包括演进型全球 陆地无线电接入网络巧-UTRAN) 1905,它可W与H(e)NB-起使用。E-UTRAN1905包括一个 WTRU1910 和若干演进型节点B(eNB1920)。WTRU1910 与eNB1920 进行通信。eNB1920 使用X2接口相互连接。每一个eNB1920通过S1接口与移动性管理实体(MME)/服务网关 (S-GW) 1930相连。尽管图19中只示出了一个WTRU1910和S个eNB1920,但应该很明显, 任何无线和有线设备的组合都可W包含在该无线通信系统接入网络100