用于对wtru执行完整性验证的方法及wtru的制作方法_6

D、组件ID、发布版本和严重性。
[0356] 124.根据前述任一实施例所述的方法，其中所述严重性指示了完整性校验失败的 影响。
[0357] 125.根据前述任一实施例所述的方法，其中所述严重性分级为范围1到4。
[0巧引 126.根据前述任一实施例所述的方法，其中严重性1表明对H(e)NB功能性的高影 响和可能保证停止操作和回退码镜像（FBC)能发送遇险信号给预先指定的H(e)MS。
[0巧9] 127.根据前述任一实施例所述的方法，其中严重性2表明受限制的H(e)NB功能 性。
[0360] 128.根据前述任一实施例所述的方法，其中严重性3可能不会影响核屯、功能性， 并且模块/功能的失败被固件更新过程替换并通过重新启动被确认。
[0361] 129.根据前述任一实施例所述的方法，其中严重性4可能不会影响核屯、功能性， 并且失败的模块能通过常规的固件更新被替换。
[0362] 130.根据前述任一实施例所述的方法，其中在自动确认过程中，所述设备完整性 校验在本地进行。
[0363] 131.根据前述任一实施例所述的方法，其中如果完整性校验失败，则向室内移动 站化(e)M巧发送遇险信号。
[0364] 132.根据前述任一实施例所述的方法，其中在半自动确认过程中，完整性校验失 败的功能性的列表被报告给个人视频编码器（PVE)。
[0365] 133.根据前述任一实施例所述的方法，其中在完整性校验过程中，一个模块只被 校验一次。
[0366] 134.根据前述任一实施例所述的方法，其中一个模块只在一个组件中出现。
[0367] 135.根据前述任一实施例所述的方法，其中一个模块可W在两个功能之间共享。
[0368] 136.根据前述任一实施例所述的方法，其中每一模块有一个相关联的功能性， 并且失败的功能性的列表能被推导出来并被用半自动确认（SAV)发送到个人视频编码器 (PVE)〇
[0369] 137.根据前述任一实施例所述的方法，其中功能性标识符（ID)提供了模块的类 别。
[0370] 138.根据前述任一实施例所述的方法，其中模块根据生成的镜像进行分类。
[0371] 139.根据前述任一实施例所述的方法，其中一组模块包含同一组件标识符（ID) 并且共同进行完整性校验。
[0372] 140.根据前述任一实施例所述的方法，其中具有一个组件标识符（ID)的模块W 不同的功能性标识符（ID)进行分类。
[0373] 141.根据前述任一实施例所述的方法，其中模块标识符（ID)被用于追踪变化的 软件模块并且未被标准化。
[0374] 142.根据前述任一实施例所述的方法，其中模块根据功能性和完整性校验单元进 行分类。
[03巧]143.根据前述任一实施例所述的方法，其中具有同一组件标识符（ID)的所有模 块有一个可信的参考值，并且如果该可信的参考值失败，则该失败的组件的所有模块用于 确定失败的功能性的列表并被传递给室内移动站化(e)M巧或者个人视频编码器（PVE)。
[0376] 144.根据前述任一实施例所述的方法，其中功能性的列表与组件相关联。
[0377] 145.根据前述任一实施例所述的方法，其中组件被按照他们加载的顺序进行组 织。
[0378]146.根据前述任一实施例所述的方法，其中所述完整性校验针对部分镜像对象文 件进行，并且如果所述镜像对象文件没有通过完整性校验，则抽取出失败的分段名。
[0379] 147.根据前述任一实施例所述的方法，其中客户端设备（CP巧被用于下载可信的 参考到所述H(e)NB上，并且该可信的参考被网络运营商的签名密钥进行了数字签名。
[0380] 148.根据前述任一实施例所述的方法，其中一旦接收到包含可信的参考值的签名 包，所述H(e)NB就解密所述签名并确认接收到的可信的参考值的可靠性和完整性。
[0381] 149.根据前述任一实施例所述的方法，其中可信的参考值在数字签名之前为保密 性而进行了加密。
[0382] 150.根据前述任一实施例所述的方法，其中可信的参考值被添加到软件模块二进 制镜像的一部分。
[0%引 151.根据前述任一实施例所述的方法，其中所述H(e)NB和室内移动站H(e)MS支 持安全插口层/传输层安全性（S化AL巧并使用基于证书的鉴权。
[0384] 152.根据前述任一实施例所述的方法，其中基于TR069的架构支持基于证书的鉴 权。
[0385] 153.根据前述任一实施例所述的方法，其中所述H(e)NB被用ManagmentServer. URL参数中的缺省室内移动站化(e)M巧统一资源定位符扣RL)来进行配置。
[0386] 154.根据前述任一实施例所述的方法，其中所述H(e)NB支持局域网（LAN)侧 ManagmentServer.UR配置。
[0387]155.根据前述任一实施例所述的方法，其中安全网关SeGW统一资源定位符扣化） 是一个参数。
[038引 156.根据前述任一实施例所述的方法，其中在自动确认过程中，数字签名或消息 被用私有密钥进行签名。
[0389] 157.根据前述任一实施例所述的方法，其中在自动确认过程中，信息不被发送到 网络实体。
[0390] 158.根据前述任一实施例所述的方法，其中针对用于生成可信的参考完整性度量 或可信的参考值的算法，最低需求被标准化。
[0391] 159.根据前述任一实施例所述的方法，其中可信的参考值由可信的第=方生成并 被数字签名。
[0392] 160.根据前述任一实施例所述的方法，其中本地完整性数据初始化被执行。
[0393] 161.根据前述任一实施例所述的方法，其中初始的配置数据的提供被执行。
[0394] 162.根据前述任一实施例所述的方法，其中参考完整性度量变为可信的参考值。
[0395] 163.根据前述任一实施例所述的方法，其中设备配置数据表在设备的安全存储器 中被维护并被授权过的一方访问。
[0396] 164.根据前述任一实施例所述的方法，其中设备配置数据被H(e)NB加密和解密。
[0397] 165.根据前述任一实施例所述的方法，其中在安全启动进程中，生成的摘要被与 设备配置数据表中的指定的值进行比较。
[039引 166.根据前述任一实施例所述的方法，其中如果设备配置数据表期满，则所述 H(e)NB开始固件更新进程W从补救服务器上拉取数据。
[0399] 167.根据前述任一实施例所述的方法，其中室内移动站化(e)M巧发起远程过程 调用（RPC)并更新Mana卵entServer. 11化。
[0400] 168.根据前述任一实施例所述的方法，其中文件传输协议安全（FTP巧被用于传 输文件。
[0401] 169.根据前述任一实施例所述的方法，其中所述设备完整性校验在自动确认中失 败并且本地遇险标志被设置并且回退码（FBC)被存储在设备中。
[0402] 170.根据前述任一实施例所述的方法，其中遇险信号包含了设备完整性校验失败 的详细信息。
[0403] 171.根据前述任一实施例所述的方法，其中文件传输协议（FT巧服务器被与室内 移动站化(e)M巧合并。
[0404] 172.根据前述任一实施例所述的方法，其中在半自动确认（SAV)过程中，所述 H(e)NB与安全网关（SeGW)通过不安全的链路进行交互。
[04化]173.根据前述任一实施例所述的方法，其中安全网关（SeGW)只允许鉴权过的H(e)NB接入到网络；
[0406] 根据前述任一实施例所述的方法，其中室内移动站化(e)M巧作为所述H(e)NB管 理服务器并提供对补救的支持。
[0407] 174.根据前述任一实施例所述的方法，其中在SAV中所述H(e)NB进行预先指定的 组件的完整性校验。
[040引 175.根据前述任一实施例所述的方法，其中在SAV中组件的确认通过比较来自完 整性算法的摘要输出和设备配置表中指定的值而在本地进行。
[0409] 176.根据前述任一实施例所述的方法，其中所述H(e)NB的传输元素灯曲进行预 先定义的组件的完整性校验。
[0410] 177.根据前述任一实施例所述的方法，其中所述H(e)NB通过证书交换用安全网 关（SeGW)建立互联网密钥交换（I邸）安全联盟。
[0411] 178.根据前述任一实施例所述的方法，其中在组件的本地完整性确认之后，所述 组件被所述设备加载并执行。
[0412] 179.根据前述任一实施例所述的方法，其中互联网密钥交换元素（I邸）被发送W 建立安全联盟，该安全联盟包含了用于加密算法的安全参数索引。
[0413] 180.根据前述任一实施例所述的方法，其中安全网关（SeGW)发送响应给互联网 密钥交换（IKE)。
[0414] 181.根据前述任一实施例所述的方法，其中所述H(e)NB用IKE_AUTH_REQ来发送 证书W用于相互鉴权。
[041引 182.根据前述任一实施例所述的方法，其中安全网关（SeGW)评估所述H(e)NB的 鉴权凭证并提取功能性标识符的列表。
[0416] 183.根据前述任一实施例所述的方法，其中如果鉴权确认成功，则安全网关 (SeGW)发送指示给所述H(e)NB。
[0417] 184.根据前述任一实施例所述的方法，其中如果鉴权确认失败，则安全网关 (SeGW)发送指示给所述H(e)NB。
[0418] 185.根据前述任一实施例所述的方法，其中所述SeGW发送失败的功能性的列表 给个人视频编码器（PVE)。
[0419] 186.根据前述任一实施例所述的方法，其中所述PVE确定行动，该行动包括隔离 所述设备、提供完全接入、提供部分接入或者请求室内移动站化(e)M巧为补救而干设。
[0420] 187.根据前述任一实施例所述的方法，其中所述PVE将决定通知给所述SeGW。
[0421] 188.根据前述任一实施例所述的方法，其中个人视频编码器（PW)发送通知给室 内移动站化(e)MS)W启动补救和失败的模块的列表。
[0422] 189.根据前述任一实施例所述的方法，其中个人视频编码器（PW)发送关于补救 的通知给所述H(e)NB。
[042引190.根据前述任一实施例所述的方法，其中安全网关（SeGW)指示设备完整性评 估的结果给所述H(e)NB。
[0424] 191.根据前述任一实施例所述的方法，其中传输元素（Tr巧将完整性验证委托给 外部实体。
[04巧]192.根据前述任一实施例所述的方法，其中所述H(e)NB包括本地时间服务器，该 本地时间服务器使用网络时间协议（NT巧来同步时间。
[04%] 193.根据前述任一实施例所述的方法，其中鉴权证书和SAV中的本地确认的结果 WIKE_AUTH_REQ消息进行发送。
[0427] 194.根据前述任一实施例所述的方法，其中安全网关（SeGW)在将该表传递给个 人视频编码器（PVE)之前过滤一系列失败的模块。
[0428] 195.根据前述任一实施例所述的方法，其中所述H(e)NB与室内移动站化(e)M巧 通过安全网关或者通过互联网连接而进行交互W支持补救。
[0429] 196.根据前述任一实施例所述的方法，其中室内移动站化(e)M巧调用远程过程 调用（RPC)来指示所述H(e)NB上传失败的功能性的列表和错误码的列表。
[0430] 197.根据前述任一实施例所述的方法，其中室内移动站化(e)M巧指示文件服务 器准备上传失败的功能性的列表。
[043U 198.根据前述任一实施例所述的方法，其中所述H(e)NB调用过程来上传包含了 失败的功能性列表的文件。
[0432] 199.根据前述任一实施例所述的方法，其中文件服务器在评估上传的文件之后， 发送Download_Package_Ready消息给室内移动站化(e)M巧。
[0433] 200.根据前述任一实施例所述的方法，其中室内移动站化(e)M巧调用远程过程 调用（RPC)并提供设备配置表的统一资源定位符扣RL)。
[0434] 201.根据前述任一实施例所述的方法，其中所述H(e)NB与文件传输协议們巧文 件服务器相连并下载固件镜像和设备配置表。
[043引202.根据前述任一实施例所述的方法，其中室内移动站化(e)M巧一旦接收到成 功下载的响应，就调用重新启动过程。
[0436] 203.根据前述任一实施例所述的方法，其中所述H(e)NB-旦接收到成功下载的 响应，就重置本地遇险标志。
[0437] 204.根据前述任一实施例所述的方法，其中室内移动站化(e)M巧从安全网关 (SeGW)接收指示所述设备成功启动的消息。
[0438] 205.根据前述任一实施例所述的方法，其中如果在安全启动进程中，完整性校验 被加载、执行并且鉴权成功进行，则所述H(e)NB与安全网关进行通信。
[0439] 206.根据前述任一实施例所述的方法，该方法还包括传送本地完整性校验的结 果。
[0440] 207.根据前述任一实施例所述的方法，该方法还包括将所述本地完整性校验的结 果转发给个人视频编码器（PVE)。
[044U 208.根据前述任一实施例所述的方法，其中H(e)NB用IKEV2NOTIFY消息发送失败 的功能性的列表和制造商特定的错误码的列表给所述SeGW。
[0442] 209.根据前述任一实施例所述的方法，其中SeGW将所述失败的功能性的列表转 发给个人视频编码器（PVE)。
[0443] 210.根据前述任一实施例所述的方法，其中PVE决定SeGW行动、H(e)NB行动，并 将所述行动的列表转发给所述SeGW。
[0444] 举例来说，恰当的处理器包括：通用处理器、专用处理器、传统处理器、数字信号处 理器值SP)、多个微处理器、与DSP内核相关的一个或多个微处理器、控制器、微控制器、专 用集成电路（ASIC)、现场可编程口阵列（FPGA)电路、任何一种集成电路（1C)和/或状态 机。
[0445] 与软件相关的处理器可W用于实现一个射频收发机，W便在无线发射接收单元 (WTRU)、用户设备扣E)、终端、基站、无线电网络控制器（RNC)或者任何主机计算机中加W。 WTRU可W与采用硬件和/或软件形式实施的模块结合使用，例如照相机、摄像机模块、可视 电话、扬声器电话、振动设备、扬声器、麦克风、电视收发器、免提耳机、键盘、蓝牙?模块、调 频（FM)无线单元、液晶显示器（LCD)显示单元、有机发光二极管（OLED)显示单元、数字音 乐播放器、媒体播放器、视频游戏机模块、互联网浏览器和/或任何无线局域网（WLAN)模块 或者超宽带扣WB)模块。
[0446] 虽然本发明的特征和元素在优选的实施方式中W特定的结合进行了描述，但每个 特征或元素可W在没有所述优选实施方式的其他特征和元素的情况下单独使用，或在与或 不与本发明的其他特征和元素结合的各种情况下使用。本发明提供的方法或流程图可W在 由通用计算机或处理器执行的计算机程序、软件或固件中实施，其中所述计算机程序、软件 或固件是W有形的方式包含在计算机可读存储介质中的。计算机可读存储介质的例子包括 只读存储器（ROM)、随机存取存储器（RAM)、寄存器、缓存存储器、半导体存储设备、诸如内 部硬盘和可移动磁盘该样的磁性介质、磁光介质和如CD-ROM光盘和数字通用光盘值VD)该 样的光介质。
【主权项】
1. 一种用于对无线发射/接收单元（WTRU)执行完整性验证的方法，该方法包括在该无 线发射/接收单元处执行的以下步骤： 在所述WTRU测量该WTRU的至少一组件的完整性度量； 在所述WTRU从在所述WTRU上的本地存储器中获取所述至少一个组件的可信的参考值 (TRV)； 在所述WTRU将测量的完整性度量与所述TRV进行比较，以确定所述至少一个组件的完 整性验证校验的结果；以及 一旦所述至少一个组件的完整性验证校验失败，基于本地提供的策略确定行动路线。2. 根据权利要求1所述的方法，该方法还包括： 将完整性验证校验失败的所述至少一个组件映射到功能性以在所述WTRU产生受所述 至少一个组件的完整性验证校验失败影响的功能性的设备独立分类；以及 向平台确认实体（PVE)报告所述至少一个组件的完整性验证校验结果，并向所述PVE发送受所述至少一个组件的完整性验证校验失败影响的功能性的设备独立分类。3. 根据权利要求2所述的方法，其中所述PVE和所述WTRU是在网络上的单独实体。4. 根据权利要求2所述的方法，其中向所述PVE报告所述完整性验证校验结果包括发 送所述WTRU的设备标识符。5. 根据权利要求1所述的方法，该方法还包括确定与失败的完整性验证校验相关联的 严重性分级，并且基于所确定的严重性分级执行预先确定的行动。6. 根据权利要求5所述的方法，其中第一严重性分级的确定导致使用回退编码镜像 (FBC)重新启动所述WTRU。7. 根据权利要求6所述的方法，其中不同的第二严重性分级的确定可能导致所述WTRU 的功能性的受限子集的性能。8. 根据权利要求7所述的方法，其中一旦确定另一个严重性分级，经由立即更新过程 执行失败组件的替换。9. 根据权利要求7所述的方法，其中一旦确定另一个严重性分级，作为常规更新调度 的一部分执行进行失败组件的替换。10. 根据权利要求6所述的方法，其中所述FBC有与核心网络进行基本通信的能力和有 向所述核心网络发送遇险信号的能力，所述遇险信号包含指示完整性验证校验失败的具体 信息的错误代码信息元素。11. 根据权利要求10所述的方法，其中所述遇险信号包括含有以下一者或多者的信息 元素的组合： 所述WTRU的设备标识符、包含关于完整性验证校验失败的信息的事件字段、以及包含 指示WTRU知道的当前日期和时间的时间字段。12. 根据权利要求2所述的方法，其中所述功能性的设备独立分类包括版本信息、设备 模型信息以及序列号中的至少一者。13. -种无线发射/接收单元（WTRU)，适用于： 测量所述WTRU的至少一组件的完整性度量； 从在所述WTRU上的本地存储器中获取所述至少一个组件的可信的参考值（TRV); 将测量的完整性度量与所述TRV进行比较，以确定所述至少一个组件的完整性验证校 验的结果；以及 一旦所述至少一个组件的完整性验证校验失败，基于本地提供的策略确定行动路线。14. 根据权利要求13所述的WTRU，该WTRU还适用于： 将完整性验证校验失败的所述至少一个组件映射到功能性以产生受所述WTRU上所述 至少一个组件的完整性验证校验失败影响的功能性的设备独立分类；以及 向平台确认实体（PVE)报告所述至少一个组件的完整性验证校验结果，并向所述PVE发送受所述至少一个组件的完整性验证校验失败影响的功能性的设备独立分类。15. 根据权利要求14所述的WTRU，其中所述PVE和所述WTRU是在网络上的单独实体。16. 根据权利要求14所述的WTRU，其中向所述PVE报告所述完整性验证校验结果包括 发送所述WTRU的设备标识符。17. 根据权利要求13所述的WTRU，该WTRU还适用于确定与失败的完整性验证校验相 关联的严重性分级，并且基于所确定的严重性分级执行预先确定的行动。18. 根据权利要求17所述的WTRU，其中第一严重性分级的确定导致使用回退编码镜像 (FBC)重新启动所述WTRU。19. 根据权利要求18所述的WTRU，其中不同的第二严重性分级的确定可能导致所述 WTRU的功能性的受限子集的性能。20. 根据权利要求19所述的WTRU，其中一旦确定另一个严重性分级，经由立即更新过 程执行失败组件的替换。21. 根据权利要求19所述的WTRU，其中一旦确定另一个严重性分级，作为常规更新调 度的一部分执行进行失败组件的替换。22. 根据权利要求18所述的WTRU，其中所述FBC有与核心网络进行基本通信的能力和 有向所述核心网络发送遇险信号的能力，所述遇险信号包含指示完整性验证校验失败的具 体信息的错误代码信息元素。23. 根据权利要求22所述的WTRU，其中所述遇险信号包括含有以下一者或多者的信息 元素的组合： 所述WTRU的设备标识符、包含关于完整性验证校验失败的信息的事件字段、以及包含 指示WTRU知道的当前日期和时间的时间字段。24. 根据权利要求14所述的WTRU，其中所述功能性的设备独立分类包括版本信息、设 备模型信息以及序列号中的至少一者。
【专利摘要】本发明公开了用于对WTRU执行完整性验证的方法及WTRU。该方法包括在该无线发射/接收单元处执行的以下步骤：在所述WTRU测量该WTRU的至少一组件的完整性度量；在所述WTRU从在所述WTRU上的本地存储器中获取所述至少一个组件的可信的参考值(TRV)；在所述WTRU将测量的完整性度量与所述TRV进行比较，以确定所述至少一个组件的完整性验证校验的结果；以及一旦所述至少一个组件的完整性验证校验失败，基于本地提供的策略确定行动路线。
【IPC分类】H04W12/10
【公开号】CN104918252
【申请号】CN201510251619
【发明人】S·B·帕塔尔, I·查, A·U·施米特, A·莱切尔, Y·C·沙阿, D·F·豪利, D·G·格雷纳, L·L·凯斯, M·V·迈尔施泰因, L·J·古乔内
【申请人】交互数字专利控股公司
【公开日】2015年9月16日
【申请日】2010年3月5日
【公告号】CN102342141A, EP2404460A2, US20110041003, WO2010102222A2, WO2010102222A3