HK1169228A

HK1169228A - 多個域和域所有權的系統

Info

Publication number: HK1169228A
Application number: HK12109788.3A
Authority: HK
Inventors: I．查; L．J．古乔内; Y．C．沙阿; A.施米特; S．B．帕塔尔
Original assignee: 交互数字专利控股公司
Priority date: 2009-04-20
Filing date: 2010-04-20
Publication date: 2013-01-18

Description

多个域和域所有权的系统

相关申请的交叉引用

本申请基于2009年4月20日提交的申请号为61/171,013的美国临时专利申请以及2009年7月17日提交的申请号为61/226,550的美国临时专利申请，并且据此要求享有这两项申请的优先权，其中这些申请的公开内容在这里全部引入以作为参考。

背景技术

现今存在着多种使用了可以或者不可以与其他设备或实体通信的计算设备的情形，在此类情形中，设备或设备内部的某个部分或计算环境为个人、组织或其他某个实体所“拥有”。我们提到的“拥有”是指该设备或是其内部的某个部分或计算环境可以通过实体验证，此后该实体可以对设备或是其某个部分采用某种形式的控制。这种情形的一个示例存在于无线移动通信产业中，其中诸如移动电话之类的无线设备的用户可以预订(subscribe)特定移动通信网络运营商的服务。

在现今的移动通信产业中，用户可以借助无线设备可以预订特定网络运营商的服务，并且此类无线设备通常包括用户身份模块(SIM)或通用集成电路卡(UICC)。SIM/UICC为无线设备提供了安全的运行和存储环境，从中可以执行验证算法以及保存证书，其中所述证书允许设备向网络运营商验证该设备用户与网络运营商的预订，并且允许网络运营商对设备具有某种形式的控制权，即所有权。不幸的是，这种SIM/UICC机制通常仅限于用于单个网络运营商。

因此，在现今众多的计算环境、例如在上文结合移动通信设备描述的情形中存在一个问题，那就是计算设备整体通常只限于被单个实体拥有。在很多情况中，所有权必须在用户购买设备时建立，由此阻碍了那些需要在以后建立所有权的商业模型。更进一步，对于设备中的多个相互隔离的部分需要具有多个所有权或者需要不时将所有权转换到其他实体的状况而言，这些限制将会阻碍设备在这些状况中的使用。例如，对诸如移动电话这类无线移动通信设备而言，用户通常需要在购买时预订特定移动网络运营商的服务，而在那些只有在购买了无线设备之后的某个时间才有可能知道移动网络运营商的应用中，此类设备通常是禁止使用的。此外，此类设备也无法一次提供针对多个运营商网络的访问。移动网络和服务预订的更新和变更有可能会很困难，并且通常无法通过空中接口来执行这些处理。

特别地，在无线移动通信设备的情况中，虽然SIM/UICC机制通常被认为是非常安全的，但是这种安全性并没有与其所在的整个设备的安全属性紧密联系在一起。这样做限制了将缩放安全性(scaling security)概念应用于诸如移动金融交易之类的高级服务和应用。特别地，这些缺陷与诸如机器对机器(M2M)通信设备之类的自动设备相关。

因此，所需要的是一种更为动态和安全的解决方案。

发明内容

为了克服如上所述的当前系统中的至少一些缺陷，在这里公开了在提供了针对一个或多个设备上的一个或多个独立域的系统级(wide)管理等级的同时，允许一个或多个不同的本地或远端所有者拥有或控制这些域的方法和手段。用于实现这些方法和装置的示例系统可以包括一个或多个设备，其中每个设备都可以包括由至少一个平台支持的一个或多个域。每个平台都可以为这些域提供低等级计算、存储或通信资源。平台可以包括一些硬件、操作系统、一些低等级固件或软件(例如引导码、BIOS、API、驱动器、中间件或虚拟化软件)、以及一些高等级固件或软件(例如应用软件)和用于这些资源的相应配置数据。每个域都可以包括在至少一个平台上运行的计算、存储或通信资源配置，并且每个域都可以被配置成为可能处于域本地或远离域的域所有者执行功能。每个域都可以有不同的所有者，并且每个所有者都可以规定用于操作其域的策略、以及用于结合域所在平台和其他域来操作其域的策略。

系统级域管理器可以驻留在其中一个域上。系统级域管理器可以实施其所在的域上的策略，并且可以协调其他域如何结合系统级域管理器所在的域来实施其相应操作。此外，系统级域管理器还可以根据其他域的相应策略来协调这些域之间的交互。系统级域管理器所在的域可以被提供所述域的设备的所有者拥有。可替换地，此类域可以被未必拥有提供所述域的设备的所有者拥有。

在以下的详细描述和附图中提供了这里描述的系统、方法和手段的其他特征。

附图说明

图1示出的是可以使用这里描述的方法和装置的示例系统；

图2示出的是在用户设备(UE)中实施这里描述的方法和装置的系统的一个实施方式；

图3和3A示出的是用于获取域的所有权的示例引导和处理；

图4和4A示出的是用于获取域的所有权的处理的示例呼叫流程图；

图5和5A示出的是用于获取具有完全认证的域所有权的处理的示例呼叫流程图；

图6示出的是可信硬件预订模块的一个实施方式的示例状态定义、变换以及控制点定义；

图7示出的是远端所有者可以获取的示例状态以及可能在动态管理的环境中引起变换的条件。

具体实施方式

为了克服上述当前系统的至少一些缺陷，在这里公开了在为一个或多个设备上的一个或多个独立域提供系统管理等级的同时，允许一个或多个不同的本地或远端所有者拥有或控制这些域的方法和装置。用于实现这些方法和装置的示例系统可以包括一个或多个设备，其中每个设备都可以具有由至少一个平台支持的一个或多个域。每个平台都可以为这些域提供低等级计算、存储或通信资源。平台可以包括一些硬件、操作系统、以及其他低等级固件或软件(例如引导码、BIOS和驱动器)和用于这些资源的相应配置数据。每个域都可以包括在至少一个平台上运行的计算、存储或通信资源配置，并且每个域都可以被配置成为可能处于域本地或远离域的域所有者执行功能。每个域都可以有不同所有者，并且每个所有者都可以规定用于操作其域的策略、以及用于结合域所在平台和其他域来操作其域的策略。

就计算、存储或通信资源(从输入的角度来看)，或者是由所述域使用此类计算、存储或通信资源所提供的功能(从输出的角度来看)而言，每一个域都可以与其他域隔离。每个域都可以利用计算、存储或通信资源，或者是通用基础平台的功能。一些域可以共享公共平台提供的一些这样的功能。这种平台资源功能的共享可以采用这样一种方式完成：其中每个域的公共资源或功能运用都可以与别的域的此类运用相隔离。例如，这种隔离可以通过由设备的平台对其提供给每一个域的资源实施严格的访问控制来实现，由此，只有处于域外部并得到平台和/或域所有者授权的一个或多个用户、一个或多个所有者或其他实体或进程才被允许访问所述域的资源。只要域的功能取决于设备上的域以外的设备资源，那么平台还可以简单地包含不属于该设备上的隔离域的设备的部分。

处于相同或不同平台或是相同或不同设备上的任何两个域之间的通信都可以是安全的，这意味着域能以一种安全的方式相互验证(例如通过使用加密装置)，并且能在置信度、完整性和新鲜度这类安全方面保护其间交换的消息。由域所在的一个或多个平台提供的加密装置可以用于在任何两个域之间提供这种安全通信。

系统级域管理器可以驻留在其中一个域上。该系统级域管理器可以实施其所在域上的策略，并且可以协调其他域结合系统级域管理器所在的域来实施其相应操作。此外，系统级域管理器还可以根据其他域的相应策略来协调这些域之间的交互。系统级域管理器所在的域可以被提供所述域的设备的所有者。可替换地，此类域也可以被未必拥有提供所述域的设备的所有者拥有。

图1示出了此类系统的一个实施方式。如图1所示，该系统可以包括一个或多个设备100、110和120。每个设备都可以包括由至少一个平台支持的一个或多个域。例如，设备100可以包括域106以及一个或多个其他域101、102。虽然在这里为设备100示出了三个域，但在其他实施方式中，域的数量有可能更多或更少。这其中的每个域101、102、106都可以包括在设备的至少一个平台105上运行的计算、存储或通信资源的配置。每个域都可以被配置成为处于所述域本地或者远离域的域所有者执行功能。例如，域106有可能被设备所有者(未显示)拥有，而域101、102则有可能被一个或多个远端所有者拥有。每一个域都有可能有不同的所有者，或者设备的一个以上的域有可能被同一所有者拥有。每一个所有者都可以规定用于操作其域的策略、以及用于结合域操作平台、域所在设备以及相同或不同设备内部的其他域来操作其域的策略。

如所描述的，该系统还可以包括留有其他域的其他设备。例如，设备110可以包括域111和112，其中每个域都有可能被相同的远端所有者拥有。当然，每一个域111和112都可以改为由不同所有者拥有。每一个域111、112都可以包括在设备110的平台115上运行的计算、存储或通信资源配置。类似地，设备120可以包括域111和112。如本示例所示，这其中的每个域都可以被不同所有者拥有。可替换地，这些域也可以被同一所有者拥有。同样，每个域121、122都可以包括在设备120的平台125上运行的计算、存储或通信资源的配置。

系统级域管理器(SDM)107可以驻留在其中一个域上。在本示例中，SDM 107驻留在设备100的域106上。在一个实施方式中，SDM(例如域106)所在的域被设备100的所有者拥有。SDM 107经由设备100中提供的通信机制来与设备100上的远端域101通信。此外，SDM 107还经由相应的通信信道131、132、141、142来与其他设备上的域通信，其中所述信道可以是有线或无线信道。通信信道131、132、141、142可以是安全的。SDM 107可以实施其所在的域106的策略，并且可以通过与域106相结合的其他域101、111、112、121、122的相应策略来协调这些域的实施。此外，SDM 107还可以根据其他域的相应策略以及SDM所在域的策略(该策略可以是特定域的所有者的策略)来协调其他域之间的交互。

举个例子，在一个实施方式中，域有可能被服务供应商拥有。例如，设备100的域102有可能被服务供应商(例如，仅作为示例，移动网络运营商)拥有。域102可以通过执行用户身份模块(SIM)功能来验证设备100，在某些情况中也可以等价地验证设备所有者或用户与移动网络运营商的预订关系，以便允许设备100与服务供应商之间的通信。

除了上述SDM功能之外，SDM 107还可以访问信息并且提供可用于一个或多个域的资源列表。SDM 107也可以监督远端所有者拥有的域的加载和维护状况。此外，SDM 107可以为其所在设备100的用户提供能够加载的域的列表，并且可以请求用户选择加载所列举的域中的哪些域。SDM还可以评估平台或设备上是否有足够的计算资源供加载，并由此支持一个或多个域的操作。

如上所述，SDM 107既可以参与实施其自身的一个或多个策略(在这里可以称为)系统级策略(SDP)，也可以参与实施其他域的策略(即特定于域的策略(DP))。在评估是否加载新的域的时候，SDM 107可以考虑一个或多个已有域的策略。例如，远端所有者拥有的指定域的策略可以规定：在某种类型的其他域活动的时候，将所述域置于不活动状态。在另一个示例中，远端所有者拥有的指定域的策略可以规定：在某个其他远端所有者拥有的其他域活动的时候，将所述指定域置于不活动状态。在再一个示例中，远端所有者拥有的指定域的策略可以规定：在某种类型的其他域活动的时候，将指定域的操作限制为某种或某些特定方式。在进一步的示例中，远端所有者拥有的指定域的策略可以规定：在某一个其他远端所有者拥有的别的域活动的时候，将指定域的操作限制为某种或某些特定方式。SDM 107可以负责实施所有这些类型的策略。

SDM 107还可以在以后建立或加载那些可能被远端所有者得到所有权的域。例如，这些域可以在一个其不为任何所有者拥有的状态中建立，在这里将这种状态称为“原始”状态，此外，SDM 107还可以对远端所有者的域所有权的建立进行管理。

为此目的，SDM 107可以为远端所有者传送该远端所有者可能会在确定是否建立域的所有权的过程中加以考虑的信息。这些信息可以包括下列各项中的至少一项：(i)用于证实被寻求所有权的域的完整性的信息；以及(ii)用于证实系统中至少一个其他域的完整性的信息。该信息还可以包括：(i)用于证实资源由被寻求所有权的域操作的平台的完整性信息；以及(ii)用于证实资源由系统中的至少一个其他域操作的平台的完整性信息。此外，该信息可以包括与设备的当前环境相关的信息。这些信息可以包括下列各项中的至少一项：(i)用于指示系统中的多个其他域的值；(ii)用于提供系统中的其他域的概要特征的信息；以及(iii)用于规定可供正被尝试建立所有权的域使用的平台资源的信息。为远端所有者提供的系统中其他域的信息量可以以这些其他域在保密性和/或隔离性方面的相应策略为条件。

在远端所有者得到域的所有权之后，该远端所有者可以对所述域进行一定程度的控制。例如，在远端所有者建立了域的所有权之后，所述域可以接收来自远端所有者的密钥、配置信息、参数以及可执行代码中的至少一项，以便增强域的功能。在另一个示例中，在远端所有者确定了域的所有权之后，所述域可以从远端所有者接收特定于其域的策略。

这里公开的系统还可以规定一个或多个域的隔离性和安全性。例如，一个或多个域可以包括与其他域隔离的安全运行和存储环境。对于建立了一个或多个域的设备的平台、例如图1中的设备100的平台105来说，为了实现这种安全环境，该平台可以包括可信根103。可信根103可以包括不可变并且不可移动的硬件资源集合，其中该集合的完整性是预先确定的，并且可以依赖于包括域的远端所有者在内的其他内容。对于诸如域101这样的域来说，其完整性可以由可信根103锚定的信任链建立。例如，域101的完整性可以通过将域101中至少一个组件的量度与参考完整性度量进行比较来确定，其中所述量度可以由可信根103产生，所述度量可以保存在可信根103中，并且可供可信根用以检验域的完整性。可替换地，参考完整性度量可以由远端所有者存储，并且该量度可以传送至远端所有者，以便与参考完整性度量进行比较。如果该量度与参考完整性度量匹配，则域的完整性可以通过检验。在一个例示实施方式中，量度可以包括在组件上计算的散列(hash)，参考完整性度量可以包括先前在组件上计算并带有数字证书的散列，其中所述数字证书提供的是关于参考完整性度量的真实性的指示。参考完整性度量可以在制造时或是将设备交付其所有者时预先在设备中提供。参考完整性度量也可以在制造/供应了设备之后从远端源经由通信信道(例如空中下载无线通信信道)递送至其所有者，并且可以在交付之后才在设备中供应。参考完整性度量可以以包含于证书中的方式交付设备。该证书可以由可信第三方检验，以便在其被交付给设备之后使用。

这里公开的系统及其各种方法和装置可以在多种计算和通信上下文中实现。相应地，对于系统中的设备、例如图1中的例示设备100、110和120来说，这些设备可以采用各种各样的形式。作为示例而不是限制，系统中的设备可以包括无线发射/接收单元(WTRU)、用户设备(UE)、移动站、固定或移动用户单元、寻呼机、蜂窝电话、个人数字助理(PDA)、计算机、机器对机器(M2M)设备、SIM卡、通用集成电路卡(UICC)、智能卡、地理跟踪设备、传感器网络节点、测量设备(例如水测量计、气测量计或电测量计)，或是其他任何能在无线或有线环境中工作的计算或通信设备。下列附图和描述提供了在无线发射/接收单元(WTRU)中提供了本公开的系统和方法的多个附加示例实施方式。但是应该理解，这些实施方式只是示例性的，这里公开的系统和方法并不局限于这些实施方式。与此相反，如上所述，这里公开的系统和方法可以在多种多样的计算和通信环境中使用。

图2是示出了可以实施这里公开的系统和方法的WTRU的一个实施方式的图示。如图所示，WTRU可以包括移动设备，例如UE 200。UE200可以包括移动设备(ME)210和可信硬件预订模块(THSM)220。此外，THSM220还可以包括THSM设备制造商(DM)域221、THSM设备所有者(DO)域222、THSM设备用户(DU或U)域223、系统级域管理器(SDM)230、域间策略管理器240以及一个或多个远端所有者(RO)域，例如RO域A224、RO域B 225以及RO域C 226。此外，UE 200可以包括未示出的下列组件：处理器、接收机、发射机和天线。这里描述的示例实施方式可以参考结合图2描述的组件。

THSM可以是基于硬件的模块，它提供了可信的预订管理功能，这其中包括通常由SIM功能、USIM功能、ISIM功能以及接入网络预订执行的功能。THSM可以是受硬件保护的模块。它可以包括专门被设计具有相关安全功能的硬件。它能在内部支持多个隔离的域。域可以由称为远端所有者(RO)的特有所有者要求或拥有。RO要求的域可以充当相应RO的代理。

一个或多个域可以执行预订管理功能，例如可信用户标识管理(TSIM)。由于在单个THSM上可能存在多个具有TSIM功能的域，因此，THSM可以为多个RO的预订管理提供支持。对于具有TSIM功能的域来说，其某些管理方面可以由称为系统级域管理器(SDM)的单个管理功能执行。其他方面则可以在单个域的内部或是单个域上单独管理。

虽然在这里是依照通用移动电信系统(UMTS)环境来描述的，但是本领域技术人员可以想到，在不超出本申请的范围的情况下，这里描述的方法和设备同样适用于其他环境。TSIM可以是“预订应用”的典型示例。举个例子，如果TSIM是在工作于3G UMTS网络中的WTRU上实施的，那么作为其功能的一部分，该TSIM可以包括所有预订相关功能，这其中包括UMTS验证和密钥协商(AKA)功能。TSIM可以不绑定于特定硬件，例如UICC。这与只能在UICC上存在的USIM形成了对比。取而代之的是，TSIM可以在这里描述的可信硬件预订模块(THSM)上实施。本领域技术人员还应该想到，在不超出本申请范围的情况下，这里描述的THSM的功能也可被引入UICC或类似的智能卡，例如符合欧洲电信标准协会(ETSI)需求的UICC或是符合全球平台规范的智能卡。

WTRU可以包括THSM和移动设备(ME)。ME可以包括调制解调器、无线电设备、电源以及通常在WTRU中发现的各种其他特征。THSM可以包括基于硬件的单独模块。THSM既可以嵌入WTRU，也可以是独立的。即使被嵌入WTRU，THSM也可以在逻辑上与ME分离。THSM可以包括一个或多个域，其中每个域均由特定的域所有者拥有，并且是为了该所有者而被操作的，由此提供了安全可信的服务和应用。由此，举例来说，DM的域可以表示为TD_DM，DO的域可以表示为TD_DO。THSM中的域可以执行那些可能不安全或不便于在ME中执行的安全敏感的功能和应用。

某些域可以由一个或多个服务供应商拥有和管理。例如：移动网络运营商(MNO)；其他通信网络运营商，例如无线局域网(WLAN)供应商或WiMax供应商；应用服务供应商，例如移动支付、移动票务、数字权利管理(DRM)、移动TV或是基于位置的服务的服务供应商；或是IP多媒体核心网络子系统(IMS)服务供应商。预订管理可以由服务供应商拥有的域提供支持。为了简单起见，在下文中可以将THSM域上实施的预订管理功能表示为TSIM功能。为TSIM功能提供的支持有可能随着域而改变。例如，所支持的TSIM功能可以包括类似于移动终端上的UICC上的USIM和ISIM功能提供的那些功能。与UICC相似，THSM可以提供除了TSIM所提供的之外的其他功能、应用和数据。

TSIM可以是软件单元或虚拟应用。在一开始，TSIM有可能没有与特定网络运营商或公共陆地移动网络(PLMN)相关联的证书。该TSIM可以参考UMTS蜂窝接入网络的预订证书/应用管理。例如，TSIM可以包括对于诸如UMTS验证密钥之类的强秘密(Ki)的管理。在M2M上下文中，TSIM还可以包括M2M连接标识管理(MCIM)。

THSM可以包括核心可信根(RoT)测量(CRTM)单元，该单元与可以在具有可信平台模块(TPM)或移动可信模块(MTM)的计算设备中发现的测量可信根(RTM)相似。THSM的CRTM可以测量THSM根代码的完整性，其中举例来说，所述测量是在THSM引导时间进行的。该完整性度量可以通过扩展操作来计算，例如通过对THSM引导码、BIOS以及可选地对THSM的制造商特性应用加密摘要(digest)值来计算，其中所述制造商特性可以是版本号、软件配置或发行编号。举个例子，完整性度量可以用某一版的安全散列算法(SHA)散列算法计算，例如SHA-X。

THSM可以包括核心RoT(CRTS)存储单元，该单元与在TPM或MTM中发现的用于存储的可信根(RTS)相似，并且被配置成在受保护的存储器中存储完整性度量。THSM还可以包括核心RoT报告(CRTR)单元，该单元与在TPM或MTM中发现的可信根(RTR)报告相似，并且被配置成向外部询问者报告THSM的完整性量度。

因此，THSM在可信量度、存储和报告方面可以有效提供类似于TPM或MTM的能力。THSM还可以包括实现多个可信的利益相关者(skateholder)工具(engine)的能力。更进一步，THSM可以被配置成实现相应的多利益相关者可信子系统。由此，THSM可以类似于TCG移动电话工作组(MPWG)规范定义的可信移动电话。

THSM可以被配置成构建多个内部的“利益相关者域”，例如，可以使用这里描述的核心RoT能力来进行构建。利益相关者可以是THSM设备制造商(DM)、THSM设备所有者(DO)或THSM设备用户(DU)。DU既可以等同于DO，也可以不同于DO。每个THSM都可以具有一个以上的DU。利益相关者还可以是由DO特定出租或拥有的域的不同远端所有者(RO)。例如，诸如MNO、IMS服务供应商、非3GPP接入网络运营商或增值应用服务供应商之类的第三代合作伙伴项目(3GPP)PLMN运营商都可以是利益相关者。

某些域可以是强制性的，在这种情况下，它们可以在制造THSM的时候被预先配置。例如，DM域可以是强制性的，并且其在引导时间可以是依照预先配置的文件而被构建或加载的。DO域也可以是强制性的，并且它可以被构建成预先提供的配置。可替换地，域也可以依照下载的配置文件来构建。

在被域的所有者“声明(claim)”和“拥有”之前，除了DM域之外的域有可能经历远端获取所有权(RTO)处理。在特定的域经过RTO处理之前，用于非特定所有者的“原始”域是有可能存在的。在这种情况下，对于所述域是没有被要求特定的所有权的。

THSM上的域可以经由THSM-ME接口与ME通信和交换信息。例如，域可以在引导或RTO处理期间与ME通信。对经由THSM-ME接口交换的数据来说，它们有可能需要保护。

对经由THSM-ME接口的进行所有通信来说，这些通信的完整性都是需要保护的。例如，完整性保护可以使用密钥，比如预先提供的临时密钥或是通过使用验证密钥交换机制交换的密钥。这些密钥既可以是对称的，例如Ktemp_1，也可以是非对称的，例如THSM为了完整性而使用的公钥或私钥的Kpub/priv_THSM_temp_I，或是ME为了完整性而使用的公钥或私钥的Kpub/priv_ME_temp_I。临时密钥可以用于保护接口。例如，临时密钥可以与有效周期关联，或者可以被使用一次或预定次数。

对于经由THSM-ME接口进行的通信来说，其保密性同样可以用加密装置提供。可以使用预先提供的一个或多个临时密钥，并且这些密钥是用验证密钥交换机制交换的。加密密钥既可以是对称的，例如用于加密的Ktemp_C，也可以是非对称的，例如THSM为了加密而使用的公钥或私钥的Kpub/priv_THSM_temp_C，以及ME为了加密而使用的公钥或私钥的Kpub/priv_ME_temp_C。为了简单起见，这里描述的RTO方法和设备涉及的是使用预先提供的对称临时密钥。但是，本领域技术人员应该想到，在不超出本申请的范围的情况下，其他的密钥实施方式也是可以使用的。

对于在THSM-ME与RO之间明文传递的消息来说，可以提供防护来对抗针对这些消息的重放攻击。经由THSM-ME接口发送的每个消息都有可能拥有一个临时使用的保鲜质量。为了简单起见，这里描述的RTO协议可以包括为经由ME-THSM接口交换的所有消息实施的防重放保护；但是本领域技术人员应该想到，在不超出本申请的范围的情况下，其他接口保护配置也是可以使用的。

签名可以应用于散列。例如，散列可以通过SHA-X算法产生。可信的第三方可以使用证书(Cert_TSIM)来证实与THSM相关联的私钥-公钥对，例如K_TSIM-Priv和K_TSIM-Pub。可信第三方还可以使用证书(Cert_RO)来证实与网络关联的另一组密钥，例如K_RO-Priv和K_RO-Pub。这些证书可以保存在为被考虑的域分配的受保护存储器中。

公钥K_RO-Pub可以供THSM平台、尤其是TSIM用以检验那些来自RO的签名、或者是用以加密那些发送给RO的消息。私钥K_RO-Priv可以被网络用于签名目的，并且可以用于对TSIM使用相应公钥加密的消息进行解密。公钥-私钥对K_TSIM-Pub和K_TSIM-Priv可以包括类似的功能，只不过TSIM和RO的角色发生了交换。可替换地，在RO和TSIM上可以具有用于加密和签名的独立密钥对。

密钥对K_RO-Priv和K_RO-Pub以及K_TSIM-Priv和K_TSIM-Pub可以取决于所有者、用户或是这二者选择的特定网络服务。诸如RO之类的每个服务供应商自身都具有为与该供应商关联的THSM上的每一个域认证的公钥-私钥对。所选择的服务可以确定使用哪一个密钥对集合。例如，公钥-私钥对集合可以由选定的服务供应商以及THSM上的相关联域确定。可以不会对所使用的密钥进行协商。公钥或私钥对可以由服务供应商确定，并且可以与THSM子系统或域紧密关联。

THSM TD_DO可以配置“系统级域管理器”(SDM)。该SDM可以保护性地存储包含“系统级域策略”(SDP)的预配置文件。SDM可以根据SDP来为THSM构建或加载RO的域。该SDM可以包含在DO的域的原始配置中。SDM可以使用预先配置的SDP来确定应该构建哪些其他域以及以怎样的顺序构建。

作为RO域的代表，在被RO域请求的时候，SDM可以预备并提供THSM平台环境概要(TPES)以及THSM平台完整性证明(TPIA)。TPES可以描述关于THSM的最新“环境”的概要信息。该信息可以包括在保密性和隔离性方面以相应域策略为条件或得到其许可的THSM上的域的数量和概要特征、以及可以用于通信并与发起请求的域共享功能或资源的THSM上的任何剩余资源。TPIA可以包括关于THSM的一个或多个域的完整性证明的集合。TPIA还可以包括用于支持所述域的平台的完整性证明。TPIA可以用于向外部检验者证明所关注的域以及支持这些域的平台的可信状态，其中该外部检验者可以是例如有兴趣为THSM上的原始域执行RTO处理的RO。RO或RO域(TD_RO)可以向SDM请求TPIA。SDM可以依照SDP来满足或拒绝该请求。

SDM还可以与THSM的实际存在的设备所有者交互，例如与服务人员交互，以便交互识别应该构建的其他域和构建顺序。此外，SDM还可以请求用户域与THSM的实际存在的用户交互，以便为待构建的域提供输入和构建顺序。在构建域的过程中，该信息可以用作输入。

在为RO域执行RTO处理时，THSM可以被配置成在远端获取所有权协议结束之前实现四种不同的系统状态。THSM Pre_Boot系统状态可以指示：THSM尚未“通电”。THSM_TD_DM_LOAD_COMPLETE系统状态可以指示：作为THSM通电后的第一个步骤，THSM上的DM域已被构建或加载。THSM_TD_DO_LOAD_COMPLETE系统状态可以指示：将DO域(TD_DO)构建或加载至最终可用配置。如果DO域本身从未经过RTO处理，那么该“最终可用配置”可以是“原始”配置，或者也可以是“后RTO”配置。DM域可以构建或加载DO域。在DO域经过至少一个RTO处理之前，DO域有可能处于“原始”状态，并且可以未被任何特定DO声明或拥有。该“原始”域可以包括“外层”(shell)。在首次构建或加载DO域时，“最终可用配置”(在这里和以后将被称为最终配置)来自预先配置的文件。可替换地，如果“最终配置”是从RO的域的RTO处理产生的，那么THSM上的特定域至少会有一次通过远端获取所有权协议，并且远端所有者可以得到TSS_RO的所有权。而这可以指示在远端获取所有权的处理结束时在平台上已经配置的可信子系统。在达到该状态时或者在该状态之前，特定RO可以开始执行其他任务。

THSM_TD_RO_LOAD_COMPLETE系统状态可以指示已经将RO域(TD_RO)构建或加载至最终可用配置。如果RO域本身从未经过RTO处理，那么该“最终可用配置”可以是“原始”配置，或者也可以是“后RTO”配置。DM域可以构建或加载RO域。在DO域通过至少一个RTO处理之前，DO域有可能处于“原始”状态，并且可以未被任何特定DO声明或拥有。该“原始”域可以包括“外层”。在首次构建或加载RO的TO时，“最终可用配置”来自预先配置的文件。

可替换地，如果最终配置是从RO TD的RTO处理产生的，那么THSM上的特定TD至少会有一次通过RTO协议，并且RTO将会获取TD_RO的所有权。而这指示的是在RTO结束时已经在平台上配置的可信子系统。在达到该状态时，特定RO可以开始执行其他任务。如果RO的TD(TD_RO)是MNO的TD，那么到这个阶段，MNO的TD可以提供在该TD_RO上实现的最终可信用户标识管理(TSIM)功能。

可替换地，系统级域管理器(SDM)可以在DM的TD中实现而不是在DO的TD中实现。在向DM的TD提供了恰当的授权数据之后，DO可以使用DM的TD提供的SDM来执行创建、加载以及以其他方式管理THSM上的各种远端所有者TD的任务。在本示例中，THSM系统引导序列以及RTO处理序列的细节有可能不同于这里描述的内容，但是仍处于本申请的范围以内。本示例的引导和RTO处理以及关于DO或DO的TD可以如何使用DM的TD提供的SDM的描述有可能与这里描述的内容相似，例如，所述描述有可能涉及哪些类型的授权数据可被提供(以及如何可以提供该数据)。举个例子，作为智能卡嵌入的THSM可以包括卡管理器，其具有用于支持诸如全球平台这类标准规定的卡管理器功能的功能，其中所述卡管理器负责代表卡发行者来管理卡上的安全域。卡发行者可以类似于DM，并且卡管理器可以包括SDM的某些功能。因此，卡管理器可以类似于DM的域中保持的SDM。

在第一实施方式中，ME可以被配置成提供安全引导能力，并且THSM可以被配置成提供全部MTM能力。在通电时，ME可以执行安全引导。例如，ME可以执行一个非-TCG“安全”引导，其中举例来说，所述引导可以依据开放移动终端平台(OMTP)可信运行环境TR0规范进行。例如在引导时，THSM可以首先通过启动处理来构建THSM DM的域(TD_DM)，然后则构建“原始”THSM DO的域(TD_DO)。如果DO和DU是独立的，那么THSM还可以构建THSM DU的域。

在一开始，THSM TD_DM可以用在THSM中受到保护，并在引导时提供的预先配置的文件构建。THSM TD_DO可以大部分使用预先配置的文件构建，但是也可以用RTO处理构建。THSM TD_DO可以通过RTO协议。该协议可以采取与用于RO域(TD_RO)的RTO协议相同的形式，或者它也可以是不同的协议。如果THSM TE_DO没有通过RTO协议，则可以预先配置并且预先提供获取所有权需要的证书。THSM TE_DO可以被DO拥有。DO既可以是实际的人类用户或所有者，也可以是诸如企业或是其信息技术(IT)部门之类的组织，还可以是远端网络运营商(NO)。

THSM TD_U可以使用在THSM TE_DO中预先供应的预配置文件构建。依照THSM的DO的系统级域策略(SDP)，THSM的RO域可以首先被构造成“原始”配置，THSM的RO域可以使用RO来通过RTO处理。DO的域的SDM可以依照SDP来管理RO域的RTO处理。如果THSM RO是MNO，并且由此RO域是MNO的域，那么该MNO的域同样可以通过定义了下列各项的协议：i)可以如何将MNO的域注册到MNO；ii)可以如何将预订证书(例如USIM或MCIM秘密密钥Ki和国际移动用户标识(IMSI)等等)从MNO的移动网络复制(roll-off)到THSM上的MNO域并且随后在那里提供该证书；以及iii)可以如何在下载预订证书的时候将处理或使用该证书的功能甚至提供预订管理功能的域从一个设备迁移到另一个设备。这些协议分别可以被称为i)注册协议；ii)证书复制协议；以及3)迁移协议。在完成了RTO之后，THSM的RO域可以向RO证实和报告其自身配置。

在第一实施方式中，ME能够执行的唯一可信构建机制是执行通电时的安全引导处理，其中ME配置未必能被ME或THSM进一步证明。可替换地，ME可以执行自我完整性检查，并在其完成安全引导时产生一个完整值(IV)。ME可以使用空中下载(OTA)方法并且依照诸如UMTS安全模式特征之类的安全模式特征来安装软件，例如用于置信度和完整性保护的工具。作为选择，当使用RO并借助RTO处理来获取RO的域的所有权的时候，RO可以下载或者以其他方式引入并且随后声明其自身在其可接受的THSM条件方面的策略，以便允许完成RTO处理。RO可以被配置成在RO同意整个THSM的条件、THSM其他域的构建结构条件、或是所有这二者时为将其自身安装在THSM平台上的处理“把关”(gate-keep)。由此，作为RTO处理的一部分，RO可以与DO域的SDM交换一些信息，以便识别DO的状况或“域构建计划”，并且只在RO可接受这些状况的时候才允许结束RTO处理。RO域还具有权利并且可以被配置成通过执行功能来实施这些权利，以便在同意将完成了RTO处理的RO域初始构建于THSM之后，以允许使用THSM的状况或域构建计划中的任何变化来对所述RO域进行更新或者为其通告这些变化。特定于RO域的策略(DP)可以规定那些可能需要向RO域通告的变化的类型。

SDM可以为与预定RO关联的RO域发起RTO处理。这种处理可以在RO域处于“原始”的“未被要求”(claim)的状态的时候进行。例如，RO域可以由DO域和DO命名为“域X(TD_x)”。所述域可以在一个尚未被要求的外层或是“原始”状况中创建。在这种情况下，SDM可以发起RTO处理，由此它会与代表域TD_X的预定RO取得联系。一旦RO通过了用于该域的RTO处理，那么SDM可以不再为这个域发起另一个RTO处理。取而代之的是，RTO自身可以在这个域上发起另一种所有权获取处理。这种所有权获取处理可以不同于迄今为止规定的RTO处理，其不同之处在于前者可以由远端所有者远程发起，而不是由设备所用者/用户或是设备本身(有可能在SDM或DO域的协调下)在本地发起。即使在RO域已经通过了RTO处理并且由此被恰当的RO“要求”或“拥有”之后，DO也可以保持删除、销毁任何RO域或断开与任何RO域的连接的权力。但是，DO通常未必能够知道存储在RO域内部的秘密，或是在RO域内部执行的临时计算或功能。

在SDM发起用于原始RO域的RTO处理之前，它可以查找用于域构建处理的可用资源列表。该列表可以由DM域保持。此外，SDM还可以查找“期望域”列表。该期望域列表可以保持在DO域TD_DO中。SDM还可以查找“期望域”列表。该期望域列表可以保持在DO域TD_DO中。SDM还可以查阅系统域策略(SDP)以及可以用于来自DM域的查询的THSM和平台的已有域的当前状态，这其中包括可信状态。该信息可以用于确定用于特定RO域的期望RTO处理依据可用资源和策略是否可行、依据期望域列表是否是期望的、以及依据THSM已有域的状态是否被允许，其中所述状态可以是例如可信状态。

可替换地，远端所有者域(TD_RO)可以自已启动和管理RTO处理。在RTO处理之前，TD_RO有可能未被要求并处于“原始”状况。该“原始”RO域TD_RO可以包括预先配置的功能，其中该功能允许其在启动时与它的预定RO取得联系，并且自主启动RTO处理。作为选择，RTO处理可以在TD_RO向THSM的所有者或用户发出提示并且随后从THSM的所有者或用户那里得到了发起RTO处理的“点头表示”之后启动。在下文中可以将已被创建并且将要为(目标)远端所有者RO_target拥有但却尚未经由RTO处理而被拥有并仍旧处于“原始”状态的域TD称为TD_{RO_target}*。

在另一个可替换方案中，TD_RO有可能通过了结合特定RO的至少一个RTO处理，并且当前可以被RO“要求”或“拥有”。对于DO或是其在THSM上的代理、例如域TD_RO来说，其是否允许为同一RO域启动另一个RTO处理可以取决于RO的策略和/或SDM的策略。SDM可以检查RTO的目的，并且可以根据可允许的目的或是其策略结构内部的活动来确定是否允许继续这个新的RTO。经由远程信令，RO或是RO域(TD_RO)可以为具有相同RO的域发起另一个RTO处理。这种处理可以当RO需要更新配置文件、安全策略或是可执行代码的时候在TD_RO中进行。RO可以下载更新。更新可以通过非RTO、空中下载(OTA)更新处理来进行。但在某些情况中，RO或TD_RO可以使用另一个RTO处理来更新一些文件或代码。

当“原始”TD_RO发起自己的RTO处理时，它有可能需要依靠SDM来查找用于域构建的可用资源的列表，所述列表则可以由DM域保持。TD_RO还可以依靠SDM来查找保持在DO域中的“期望域”列表、系统域策略(SDP)以及可用于来自DM域的查询的THSM的已有域的当前状态，这其中包括可信状态。该信息可以用于确定用于特定RO域的预期RTO处理依据可用资源和策略是否可行、依据期望域列表是否是期望的、以及依据THSM已有域的状态是否被允许。

SDM策略可以在用于DO的所有权获取(TO)处理过程中被配置。该配置可以借助预先存在的配置结构而在本地进行，其中该结构是在引导处理过程中实施的。DO的TO还可以在远端进行；如这里规定的那样，该处理可以类似于将要与并非设备所有者域的域的所有权获取处理结合使用的RTO处理(除了对用于DO域的TO处理来说，用于阻止或允许RTO的SDM检查可以不被调用之外)，这与用于非设备所有者的远端所有者的RTO处理的情况不同。SDP可以在DO的所有权获取处理期间建立，其中该处理既可以在本地执行(DO实际存在并与设备交互)，也可以采用一种包含了与位于远端的设备所有者远程交互的方式执行。该列表还可以包括规定了不允许获取域所有权的远端所有者的附加项。

在第二实施方式中，ME可以具有安全引导能力，并且可以依靠THSM来执行一些对其某些引导码执行“安全引导”检查。此外，ME还可以执行非TCG安全引导，例如OMTP TR0安全引导。THSM可用于检查ME的完整性，以便“使用”为THSM提供的物理保护。例如，ME可以向THSM发送原始数据，THSM则可以检查ME的完整性。WTRU可以实施一种在ME与THSM以及ME的“较值得信任的”部分之间提供安全信道的机制，其中所述部分至少被信任能够以安全方式向THSM发送代码或数据，并且安全地与THSM通信，例如经由安全信道，以使得THSM能为ME执行完整性检查。THSM还可以在其内部存储代表了ME的某些ME代码。这些代码可以在引导处理过程中载入ME。THSM还可以起到对ME的完整性进行检查的作用，或者起到存储和加载ME的某些代码的作用，这是因为在THSM自身与ME之间，由于THSM具有基于硬件的保护机制，因此该THSM可以是更为可信的环境。在第三实施方式中，THSM可以为ME代码执行安全引导或完整性检查中的某些处理。该处理能够为RO证实。ME可以包括单个可信实体；移动可信环境(MTE)。MTE可以是ME内部的逻辑独立的环境，并且其比ME的剩余部分更可信。MTE可以使用某些基于硬件的保护机制，例如基于硬件的可信根(RoT)。在加载了ME的基本代码之后，这时可以加载MTE。从可以向外部检验器提供信任证明、例如使用可信签名密钥的意义上讲，MTE可以是可信实体。虽然MTE是可信实体，但其未必拥有用于测量的核心可信根，其中该核心可信根是与实际TPM相关联的测量程序代码。至于ME，作为已通电设备，它提供了一个可供THSM操作的平台，在这里可以将ME称为ME平台。MTE可以被配置成收集ME平台的完整性证据，并且至少在使用MTE内部受到保护的签名密钥所提供的完整性保护下将证据转发至THSM内部的可信实体，例如后引导SDM。由于THSM实施了TCG TPM或是类似于MTM的完整性测量和检验功能，因此，THSM还可以实现TCH TPM或MTM能力，从而执行“扩展”操作，由此，当前软件的量度会与用于指示软件加载历史状态的平台配置寄存器(PCR)的当前值组合，从而计算新的PCR值。THSM还可以通过实施一种机制来将摘要值(该摘要值可以是软件组件完整性的原始测量值)或PCR值转换成另一个可用于向THSM证明ME平台的可信度的完整性数据。为了简单起见，在下文中可以将所收集的ME平台完整性数据表示为ME平台完整性数据(MPID)。THSM可能没有保持用于ME或MTE的域。THSM有可能可以从预先配置的文件或是通过与DM实时联系来获取经过认证的度量，并且它会对照该度量来检查计算得到的摘要。如果确定匹配，那么随后可以证实该ME。MTE还能够收集用于描述ME“环境”的数据，例如模型数量、期望执行哪种服务以及为谁执行服务。为了简单起见，在下文中可以将这种关于ME的环境描述表示成ME平台环境调查(MPES)。THSM DO的RO可以证明自己的域以及ME平台的完整性。该证明可以类似于M2M情况中的可信环境(TRE)的M2ME检验功能，并且在PCT专利申请WO2009/092115(PCT/US2009/031603)中规定了所述功能。ME可以自己或者在THSM请求的时候持续向THSM报告其变化的状态。

在第四实施方式中，ME和THSM都可以被配置成执行完整的MTM功能。ME或是其域的可信度既可以由ME证实，也可以由这些域直接证实。ME的RO域可以持续或者依据请求来向RO报告其状态。THSM的RO域也可以具有类似的功能。由ME的RO域和THSM的RO域做出的报告可以同步，并且还可以相互绑定。此外，这些报告也可以使用协议流的公共会话来产生。

在本实施方式中，ME可以被配置成执行这里描述的THSM的若干功能。ME可以包括其自身的一个或多个域，其中每一个都针对的是特定的所有者。这些域可以包括依照THSM的可信实体的属性。此类域可以包括设备制造商(DM)域和用户(U)域。这些域可以通过一种类似于THSM的方式而被预先配置。为了区分ME上的域与THSM上的域，在用于表示所述域自身的字母上可以加上字母ME作为下标。因此，用于DM的域可以表示为MEDM。THSM上的设备所有者(DO)域可以监视ME侧的域，以便确保与SDM中的系统级域策略(SDP)相一致。通过创建ME中的每一个域，可以通过与SDM通信来使THSM DO知道每一个新的域的配置。

ME可以包括称为平台域管理器(ME_PDM)的域管理器，该管理器可以采用类似于THSM中的SDM的方式工作。ME_PDM可以驻留在ME_DM中，并且在一开始可以具有DM定义的预先配置。这种初始配置在其目的和功能上有可能类似于THSM上的TD_DM的初始预配置定义的配置。而ME_DM的设置则可以被定时为在THSM中示例的TD_DO之后发生。当SDM得知用于ME_DM的设置完成时，它可以根据系统级限制来实施源于SDP或是由SDP反映的策略限制。SDM可以保持THSM上的多个远端所有者及其域的列表。如果要在ME上创建和管理属于列表中的一个所有者的域，那么SDM可以对在ME上创建和管理这些域的处理进行某种控制。

在本实施方式中，ME可以具有完整的MTM功能。由此，它可以包括用于测量的核心可信根(CRTM)、用于报告的核心可信根(CRTR)、以及用于存储的核心可信根(CRTS)。在THSM上，域预订功能可以由TSIM功能来管理。如果有两个域(例如THSM上的一个域和ME上的另一个域)是用于同一RO的，那么THSM上的域可以用于那些用于RO且需要很高等级的安全和/或信任的功能或服务，例如预订功能及其用于远端所有者的管理，而ME上的域则可以用于那些用于同一RO且仍旧需要一定等级的安全或信任的功能或服务，但是所述等级的安全或信任并未达到预计来自THSM上的域的功能和服务所需要的安全或信任等级。不从预先配置的文件构建的域可以通过远端所有权获取(RTO)处理来配置。用于ME和用于典型远端所有者(RO)的RTO可以与用于THSM的RTO相类似。

ME上的域可以不是预定用于远端所有者的预订管理的。取而代之的是，它们有可能为了用户、所有者、远端所有者及其任何组合的利益而被预定用于执行计算和资源密集的任务。例如，这些域可以执行无法由THSM上的相对有限的资源实现的任务。与一旦创建就处于ME内部、直至被显式地删除不同，与虚拟化相似，ME上的域可以在引导甚至运行时的会话中创建，并且可以基于临时的会话而被用于其特定目的，从这个意义上讲，这些域还可以是更为“短暂”或“暂时”的。在请求和获取已被证实的资源分配调查以及其他远端所有者拥有的ME上的其他域或是THSM上的其他这样的域的分配目的的方面，ME上的域的远端所有者未必具有相同等级的权限。

如果能为移动可信平台的设备所有者提供一种方法来购买没有被特定PLMN预先分配和初始化的“空白”(blank)WTRU，从而允许在没有限制的情况下任意选择移动网络运营商，那么将会是非常有利的，其中所述特定PLMN也被称为MNO远端所有者。该方法可以包括对诸如UMTS设备(UE)之类的WTRU执行所有权获取处理，例如RTO处理，其中远端所有者是PLMN运营商或是意欲与之预订应用的其他类似运营商，以及设置、定制和结束诸如RO域之类的子系统，其中所述RO域是处于THSM内部并且可以被正确RO要求的域。

如前所述，可信硬件预订标识(THSM)既可以作为防篡改硬件组件模块来构建，也可以在其内部包含防篡改组件模块，其中该模块包含了用于PLMN运营商的预订应用以及其他增值服务的功能，例如用于IMS预订标识模块(ISIM)的功能。THSM既可以是能够从WTRU上移除的，也可以是不能从WTRU上移除的。UICC的增强型版本或是兼容全球平台标准的智能卡可以是这种THSM的一个实施方式。

所有权获取操作在运营商或PLMN与WTRU之间建立了基本的“信任”关系。该过程可以包括安装和示例“空白的可信”TSIM，其中该TSIM包含了具有普通“可信”软件配置的“原始”工具。如果该平台能够提供其“原始”配置的和安全属性，那么该子系统可以由远端所有者认证。图3和3A示出了该处理的一个示例，该示例特别关联于这里描述的第一实施方式。远端所有者可以是为用户提供被请求的服务、设置恰当的安全策略以及实施与服务相符的设备配置的移动网络。该协议的所有者可以处于本地。

图3和3A示出了例示的引导和RTO处理。ME可以具有引导前状态304。在306，设备可以通电。在308，ME可以执行“安全”引导(非TCG)。ME可以达到基本码已引导状态310。更进一步，在312，ME可以向THSM发送“基本引导完成”信号。在314，ME可以依照基本配置来加载附加软件。在316，ME引导可以完成(加载了应用)。在318，ME可以向THSM发送引导完成消息。

THSM可以处于引导前状态330。在334，THSM可以加载TE_DM。该THSM可以在配置过程中接收预先配置的文件，例如，336示出了使用预先配置的文件的处理。在338，THSM可以达到“TD_DM已构建”状态(基本配置状态)。如340所示，THSM可以接收可用于RO域的资源上的DM规范。

在342，TD_DM可以构建TD_DO(TD_DO可以包括SDM)。在344，举例来说，THSM可以使用已保存的配置文件，例如从而构建域(有可能因为先前的RTO而可供使用)。在346，THSM可以达到TD_DO已构建状态(包括SDM)，其中TD_DO既有可能没有被DO要求，也有可能已被DO要求。在350，TD_DO可以构建TD_U。在352，从DO可以接收输入。在354，THSM可以达到TD_U已构建状态，其中TD_U既有可能未被要求，也有可能已被要求。在356，THSM可以接收来自DO或DU的输入(例如通过文件或交互来规定DO可能希望构建哪些域)。在358，TD_DO可以构建RO域TD_RO。

现在参考图3A，在362，THSM可以达到已经构建了TD_RO的状态，其中TD_RO既有可能未被RO要求，也有可能已被RO要求。在366，SDM可以请求TD_RO执行RTO，或者TD_RO可以通知(或请求)SDM该TD_RO将要执行RTO。在370，TD_RO可以启动RTO处理。在380，这时存在典型的远端所有者(RO₁...RO_n)。在384，这时可以交换信息。例如，作为结合远端所有者的RTO处理的一部分，所交换的信息可以包括下列各项中的一项或多项：证明、配置、策略、目的、证书(在这里被称为CERT)、密钥和涉及TD_RO的SP。作为选择，RO可以在RTO处理过程中找出DO的“环境”或“域规划”，并且可以在其同意所述环境/规划的情况下允许该处理继续进行。

在372，THSM可以获取/更新不同的域的系统配置，保存信息，以及将信息存入THSM中的非易失受保护存储器。在374，THSM可以达到具有后RTO TD_RO的状态。

参考第一实施方式，由DO的RTO形成的策略域可以包括影响了后续RTO处理的域配置的规定。该RTO协议有可能适合非DO RO。特定于域的策略(DP)可以在RTO事务处理期间被下载。用于DO的DP可以不同于用于RO的DP，并且其不同之处在于这种DP(DP_DO)可以包括预定用于构建和保持THSM可以被远程拥有的其他域的系统级域策略(SDP)。在RTO处理之前或者在RTO处理过程中，域的RO可以从可信的第三方(TTP)那里获取参考完整性度量(RIM_RO)，其中所述参考完整性度量针对的是支持所有THSM域中的所有域或是其子集的硬件或软件的配置和当前完整性状态，而所述域的RO则可以被表述成：

TTP→RO：RIM_RO＝{支持THSM的域的HW/SW的配置和状态，和/或摘要值} 等式1

在一些情况中，TTP有可能能够将RIM_RO提供给THSM的HW和SW的一个子集，这其中包含了RO有兴趣进行检验的域。提供RIM_RO有可能需要一个以上的TTP，其中RO收集所述RIM_RO并且形成一个集合参考度量。在THSM的SDM的帮助下，经历RTO处理的THSM的目标域(TD_{RO_target})可以被配置成为其RO提供已签名THSM平台完整性证明(TPIA)。该TPIA可以是THSM上的域的单个完整性证明和/或目标域的RO在允许结束结合了TD_{RO_target}的RTO处理之前有兴趣进行检验的设备平台完整性证明的级联。在THSM的SDM的帮助下，THSM的目标域(TD_{RO_target})能够为其RO提供已签名TGSM平台环境概要(TPES)。TPES可以包括THSM环境的概要，这其中包括THSM上的其他域的数量和特征以及可用于TE_{RO_target}的任何剩余可用资源，例如THSM平台的资源，并且这些资源可以表述为：

TD_{RO_target}→RO：[TPIA]_signed||[TPES]_signed 等式2

可替换地，与向RO报告可能包含了所有域上的所有证明的TPIA不同，SDM可以提供关于其已经检查过所有这些域的完整性并且将这些域视为可信的已签名声明，其中该声明可以是半自主声明。这个证明可以包括关于域集合的完整性的本地检验。本地检验器可以包括用于THSM上的每一个域的有效配置列表。该SDM可以为本地检验器提供可以通过AIK签名的TPIA。对于单个完整性证明的检验有可能需要它们与配置列表中相应的本地存储的项匹配。SDM可以执行构造TPIA所需要的完整性测量、登录以及PCR扩展，并且证明每一个域的可信度。这些测量及其扩展可以供检验器用于确定已经为所需要的域进行了证明。

一旦检验完成，本地检验器就可以预备相关证明已经进行的声明，并且使用来自已认证的密钥对(K_{sign_verify_priv}，K_{sign_verify_pub})中的私钥来对该声明进行签名。包含了与已签名TPES级联的已签名检验声明的消息可以表述为：

TD_{RO_target}→RO：[检验声明]K_{sign_verify_priv}||[TPES]_signed

等式3

一旦接收到来自一个或多个TTP的{RIM_RO}以及来自TD_{RO_target}的已签名TPIA和已签名TPES，则RO可以检验是否TD_{RO_target}处于被RO发现适合用于继续RTO处理的环境(例如THSM中的环境)、以及支持TD_{RO_target}和RO所关注的其他任何域的硬件或软件是否处于完整性与RO相适合的状态。

用于原始域的RO协议可以在通电时开始。作为选择，该RTO协议也可以在通电之后开始。当THSM的安全引导完成时，由此引起的域的构建可以通过配置文件来确定，其中该配置文件的内容反映了初始通电时的平台状态，例如首次通电时的平台状态，或是先前引导设备并且随后将其断电时的先前状态。由此，设备可以处于包含了TD_DM构建、“原始”TD_DO以及“原始”TE_U状态的基本配置中。可替换地，WTRU可以处于以后的配置中，例如处于以先前启动和域构建或是RTO处理为基础的配置中，其中所述RTO处理包括TD_DM、“后RTO”TD_DO和“后RTO”TE_U状态。在另一个可替换实施方式中，WTRU可以处于这样一种配置：其中该配置还包括附加域(例如图2所示的域)的扩展集合。这些域有可能是在先前的通电会话中创建的，并且所有权有可能被相应所有者通过先前运行的RTO处理获取，其中所述先前运行的RTO处理是在先前的会话中进行的。

参考第一实施方式，作为平台的安全和可信实体，THSM可以控制所有权获取协议，并且确定ME是否处于初始的信任状态。预先提供的密钥K_temp可以用于保护经由THSM-ME接口发送的消息的置信度。为了简单起见，经过加密的消息可以用{A}表示，消息的签名处理可以用[A]表示，并且符号ID_ME和ID_THSM分别表示预先提供的ME和THSM的临时ID。

RTO启动可以包括在结合特定RO的REO处理之后，由TD_DO的SDM发起用于将要被RO要求的“未要求”、“原始”域的RTO。用户可以启动ME平台的通电处理。在通电时，ME可以执行关于基本码的“非TCG”“安全引导”，例如OMTP定义的引导，在该引导中，所述基本码将会变为“活动”。作为非TCG安全引导处理的一部分，ME基本码的完整性是可以被自主检查的。

参考第三实施方式，在完成了基本码引导处理之后，这时可以加载移动可信环境(MTE)。通过使用签名密钥，MTE可以证实ME平台配置的完整性。

在加载了基本码之后，ME可以周期性地将信号发送到THSM，从而指示其已经被引导到一个最低安全配置。由于在发送信号的时候，THSM的DO域有可能尚未被引导，因此ME可以发送具有不同随机现时(nonce)(nonce_1)的相同信号，直至其接收到从THSM的DO域返回的应答信号。该信号可以表述为：

Def)Package_1＝“ME基本码引导完成”MSG||nonce_1||ID_ME

ME→THSM’s TD_DO：Package_1||[SHA-X(Package_1)]_{Ktemp_I}

等式4

参考第三实施方式，该信令可以表述为：

Def)Package_1＝“ME基本码引导完成

&MTE加载”MSG||nonce_1||ID_ME

ME→THSM’s TD_DO：Package_1||[SHA-X(Package_1)]_{Ktemp_I}

等式5

THSM可以“安全”引导，由此THSM有可能已经载入了其DM域、“原始”DO域、用户域以及至少一个将要被RO拥有但却尚未拥有的“原始”域。此外，在加载这些域的过程中可以对照每一个域的参考完整性度量(RIM)来检查每一个域的代码状态的完整性。该检查可以依照某个规范进行，例如TCG MPWG规范。

如果设备所有者域(TD_DO)先前已经通过了用于DO的RTO处理，那么它同样可以加载到“预先配置的”配置或是“最后保存的(先前RTO之后的)”配置中。在被加载的时候，DO域可以包括系统级域管理器(SDM)。SDM可以监视属于其他远端所有者(RO)的域的构建或者加载或维护。SDM可以查找来自DM域的“域可用资源列表”，并且还可以查找由TD_DO保护的系统级域策略(SDP)。

在引导时，SDM还可以用一个“可被构建的域的列表”来提示THSM的使用人或所有人(DO)，并且请求用以选择所要构建的域的输入。在得到了来自用户或所有者的输入之后，SDM可以继续构建那些仅仅在来自所有人或使用人的响应中规定的域。SDM可以通过与ME交互来提供用于这些事务处理的用户界面(UI)。

在安全引导之后，THSM的TD_DO可以向ME发送“THSM引导完成”消息。该TD_DO也可以在消息内部包含能在外部可公开的所述域的当前状态的概要，例如所加载的RO域的数量和名称。TD_DO的SDM可以确定并实施域的当前状态概要的外部公开程度，并且该确定可以基于SDP和/或THSM和/或ME上的域所具有的特定于域的策略(DP)。TD_DO可以将包含接收到的nonce_1作为SHA-X完整性检查代码输入的一部分，以此对在该消息中接收到Package_1做出应答，其中所述输入可以表述如下：

Def)Package_2＝“THSM引导完成”MSG||nonce_2||ID_THSM

TD_DO→ME：Package_2||[SHA-X(Package_1||nonce_1)]_{Ktemp_I}

等式6

对于THSM的ID、例如来ID_THSM说，该ID可以保持在DM域TD_DM中，并且其可以相当于TD_DM的ID。DO域TD_DO可以将其从TD_DM取回，以便构造等式6中的Package_2。

响应于“THSM引导完成”消息，ME可以继续完成其引导处理。在完成了引导处理之后，ME可以向THSM的TD_DO发送消息，该消息可以表述为：

Def)Package_3＝“ME引导完成”||nonce_3

ME→TD_DO：Package_3||[SHA-X(Package_3||nonce_2)]_{Ktemp_I}

等式7

下列内容适用于这样的情形：其中DO域的SDM发起并监视用于当前“原始”的RO域的RTO处理。

在TD_DO接收到来自ME的Package_2之后，这时可以启动RTO处理。TD_DO内部的系统级域管理器(SDM)可以通过向“原始”目标RO域(TD*_{RO_Target})请求启动RTO处理来发起RTO处理。SDM既可以自主发起该处理，也可以在得到所有人或使用人的提示的时候发起该处理。SDM可以向TD*_RO发送要求为目标RO启动RTO处理的请求。该请求可以包括目标RO是谁，例如RO的ID或网络接入标识符(NAI)，以及当前请求的有效周期。作为请求的一部分或是作为与请求一起传送的独立分组，SDM还可以发送用于“已许可RO域的SDP状况”的列表(在下文中将其称为SCARD)。当其在预定的RTO处理之后完成时，SDM还可以发送用于TD_RO的“目标域规划”。该消息传递可以表述为：

Def)Package_4a＝

Request_to_start_RTO||SCARD||目标域规划||nonce_4

SDM→TD*_{RO_Target}：Package_4a||[SHA-X(Package_4a)]_{Ksign_SDM}

等式8

响应于Package_4的接收，TD*_{RO_Target}可以接受或拒绝该请求。该请求可以被解释成是允许RO获取RO域的所有权的意向。TD*_{RO_Target}可以根据预先配置的判据或是其自身具有且已被加载的RO域策略的“原始”版本来做出该决定。TD*_{RO_Target}可以被配置成检查Request_to_start_RTO、SCARD以及Target_Domain_Plan，并且在不存在实际目标远端所有者的情况下做出这一决定和为实际目标远端所有者而做出这类决定。该决定可以表述为：

Def)Package_5a＝Okay(or Not_Okay)_to_start_RTO||nonce_5a

TD*_{RO_Target}→SDM：

Package_5a||[SHA-X(Package_5a)||nonce_4]_{Ksign_TD*RO_Target}

等式9

“原始”目标RO域(TD*_{RO_Target})可以发起该处理。TD*_{RO_Target}可以向SDM提醒其用于RTO处理的“最终域规划”。该SDM可以许可或拒绝所述请求。如果SDM许可该请求，则TD*_RO可以启动RTO处理，这可以表述为：

Def)Package_5b＝Intend_to_start_RTO||Final Domain Plan||nonce_5b

TD*_{RO_Target}→SDM：Package_5b||[SHA-X(Package_5b)]_{Ksign_TD*RO_Target}

等式10

响应于Package_5a或Package_5b的接收，SDM可以为用于TD*_{RO_Target}的RTO处理查找系统域策略(SDP)、“期望域”列表、“域可用资源”列表、或是THSM中的域的当前状态，其中所述系统域策略既可以是预先配置的、也可以通过用于TD_DO的RTO处理得到，所述“期望域”列表既可以是预先配置的、也可以由所有者提供，而所述“域可用资源”列表则可以由DM域保持并持续更新。

SDM还可以评估是否有足以用于构建和保持THSM上的多个域的资源(例如用于虚拟机线程的存储器或计算资源)、THSM中的域的当前状态是否匹配“期望域”列表中规定的状态、“期望域”中的新域的构建或加载是否可以得到THSM中的域的当前状态的支持以及SDP的许可、或者是否有一个或多个域需要通过RTO处理。

如果SDM根据可用资源、THSM现有域的当前状态以及SDP确定TD*_{RO_Target}可以通过RTO处理，那么SDM可以指示该决定(TD*_{RO_Target})并且继续预备多个将要在RTO处理中被转发给RO的完整性证明，以使其能对TD*_{RO_Target}及其周围的域进行评估。该证明可以表述为：

Def)Package_6＝Okay_to_go_ahead_with_RTO||nonce_6

SDM→TD*_{RO_Target}：

Package_6||[SHA-X(Package_6)||nonce_5(a or b)]_{Ksign_SDM}

等式11

SDM可以向使用人指示其将要为特定域发起RTO处理，其中举例来说，所述指示可以通过WTRU上显示的消息进行。SDM还可以使用“启动RTO处理的期望域和期望RO”的列表来向使用人或所有人(DO)发出提示，并且继续仅为那些由所有者或用户响应于所述提示指定的RO域发起RTO处理。SDM还可以与提供了用于这些事务处理的用户界面(UI)的ME进行交互。

TD*_{RO_Target}可以请求SDM预备其可以用于构造THSM平台完整性证明(TPIA)和THSM平台环境概要(TPES)的材料。该请求可以表述为：

Def)Package_7＝Request_for_TPIA||Request_for_TPES||nonce_7

TD*_{RO_Target}→SDM：

Package_7||[SHA-X(Package_7)||nonce_6]_{Ksign_TD*RO_Target}

等式12

参考第三实施方式，该请求可以表述为：

Def)Package_7a＝Request_for_TPIA||Request_for_TPES||Request forMPID||Request for MPES||nonce_7a

TD*RO_Target→SDM：

Package_7a||[SHA-X(Package_7a||nonce_6)]Ksign_TD*RO_Target

等式13

在关于TPIA和TPES的请求中，RO可以规定它从SDM那里寻求的是与TPIA和TPES相关的何种信息。例如，对TPIA来说，除了自身之外，它还可以规定其希望检验完整性所针对的域的名称或范围。同样，对于TPES来说，RO可以规定除了其自身之外的域所有者的公共ID，例如网络分配标识符(NAI)。

参考第三实施方式，目标RO还可以请求与ME平台的完整性(在下文中将其称为MPID)相关的特定信息、以及与ME环境相关的其他信息。可替换地，RO可以请求表明加载了MTE并且ME向SDM发送了MPID和MPES的简单指示符。作为驻留在ME平台上的可信实体，在被SDM请求预备值MPID和MPES的时候，MTE可以执行预备所述值。该请求可以表述为：

Def)Package_7b＝请求MPID||请求MPES||nonce_7b

SDM→MTE：

Package_7b||[SHA-X(Package_7b)]Ksign_SDM

等式14

MTE可以收集来自ME的配置数据并构建MPID。此外还可以获取环境数据，以便产生ME平台环境调查(MPES)。这些值可以基于当前的ME状态，其中所述状态有可能随时间而改变。如果在ME状态改变之后发出了以后的请求，那么经过更新的值可以被发送到SDM。通常，ME可以向SDM发送响应，并且该响应可以表述为：

Def)Package_8a＝MPID||MPES||Cert_MTE

MTE→SDM：

Package_8a||[SHA-X(Package_8a||nonce_7b)]Ksign_MTE

等式14

MTE可以提供经过CA签名并包含其公钥K_{MTE_Pub}的证书。由此，SDM可以通过检验CA的签名来检验这个公钥的真实性，并且由此可以使用K_{MTE_Pub}检查来自MTE的消息的完整性。SDM可以预备TPIA和TPES，并且稍后将其转发到TD*_{RO_Target}。

为了预备TPIA，SDM可以收集完整性证明，例如通过“原始”TD_RO收集该“原始”TD_RO的完整性证明、通过TE_DM收集该TE_DM的完整性证明、TE_DO的完整性证明、通过TE_U收集该TE_U的完整性证明(如果设备用户不同于DO)、以及通过RO关注的其他任何现有TD_RO收集该现有TD_RO的完整性证明。

可替换地，在收集了来自PCR的完整值之后，通过本地自主检查处理以及关于诸如编码和数据之类的测量日志的重新计算处理，SDM可以对照来自PCR且用于相应域的摘要值来检验所述域。该处理可以在TTP(PCA)不知道应该包含相应域的最新代码的时候执行，并且TTP可以对链接到AIK的签名密钥进行认证，其中所述AIK是为WTRU上的TPM或MTM认证的。对于供RO比较来自SDM的TPIA的摘要度量来说，TTP可以不被配置成为其提供参考值。通过重新计算域的代码摘要，并且将其与所引证的PCR值进行比较，SDM可以在本地检查其获取的用于所述域的PCR引证是否是最新的。如果通过了这个本地检查，则SDM可以为TPIA签名，并且将其经由MTE或ME传递到TD_{RO_target}以及RO_target。

在另一个可替换方案、即三向检验中，作为TPIA的一部分，SDM可以提供域的摘要和测量日志，例如实际代码。在获取了代码以及摘要时，RO可以从TTP那里获取摘要的参考度量，并且可以从测量日志中重新计算出摘要，以及可以将其与它从TD_{RO_Target}接收的引证PCR摘要以及它从TTP接收的参考摘要度量进行比较。

对于具有或不具有测量日志的TPIA来说，在执行PCR引证时，它还可以包括关于“本地时间”的指示，其中该指示有效印记(time-stamping)了用于单个域的摘要的引证时间。这样做给出了SDM最后一次获取每一个域的PCR摘要的时间。如果没有将测量日志发送至RO，那么在决定用以获取和在TPIA中包含本地摘要的时间是否足够新，以便允许在证明检验中使用该摘要方面，当需要验证在TPIA中指示的证明时，带有时间戳的PCR引证可以向RO提供某些附加信息。用于这种时间戳的时钟可以是一个可信赖的时钟。

如果三向检验失败，则RO可以请求由TTP来为其提供经过更新的参考度量或测量日志，从中它可以计算出期望摘要。RO可以重新尝试三向检验。如果检验成功，则RTO继续进行。如果检验失败并且RO策略需要成功的三向检验，则可以终止RTO。

对于DO域的完整性证明，SDM可以自动地获取，例如通过该SDM本身的功能来获取。对于完整性证明来说，除了DO域的完整性证明之外，SDM还可以请求相应的其他域产生其自身相应的完整性证明并为其签名。在请求中，SDM可以包括诸如令牌之类的授权数据，并且接收方可以使用该授权数据来检查SDM是否有权从所述域那里请求和获取完整性证明。该请求还可以包括接收域的平台配置寄存器(PCR)的范围，其中目标RO以及作为目标RO请求的转发者的SDM需要对其接收方域的完整性进行检查。该请求可以表述为：

Def)Package_8b(i)＝Request_for_Attestation||nonce_8b(i)，i＝1，2，...，N

SDM→TD_Domain(i)：

Package_8b(i)||[SHA-X(Package_8b(i))]_{Ksign_SDM}

等式15

在这里可以将域表示为domain(i)，i＝1，2，...，N，N是域(SDM从该域收集了PCR值)的数量，其中每一个域首先检查Request_for_Attestation中的授权数据，然后则取回Request_for_Attestation中规定的PCR范围的PCR值。

该操作可以表述为：

Def)Package_8c(i)＝

规定的PCR范围的值||nonce_8c(i)，i＝1，2，...，N

TDDomain(i)→SDM：

Package_8c(i)||[SHA-X(Package_8c(i)||nonce_8b(i)]_{Ksign_TD_Domain(i)}

等式16

SDM可以执行THSM平台完整性证明(TPIA)，以便级联所有证明并使用其签名密钥来为这些证明签名。该处理可以表述为：

Def)TPIA＝Concatenation{来自Domain(i)的签名的PCR值}，i＝1，2，.，，N

等式17

对于TPES预备处理来说，SDM可以通过级联那些它从TD_DM、TD_DO和TD_Domains(i)收集的信息来产生TPES，其中举例来说，所述信息可以是能从DM域得到的THSM HW和SW配置和版本号、BIOS配置、平台上的域的数量、诸如存储器之类的用于当前域的总平台资源、为了进一步构建或扩展现有域或新域而保留的平台资源、域的名称或是其所有者的姓名或ID(如果相应域所有者允许)(例如NAI)、SDM收集上述环境信息时的日期/时间，如果单调计数器可用但日期/时间不可用，那么该信息也可以是单调计数器值，或者该信息还可以是其他任何永久性信息。该请求可以表述为：

Def)TPES＝{收集的信息}

等式18

SDM可以为TPIA和TPES签名，并且将其转发到TD*RO_Target。SDM还可以包括已签名的SCARD，由此，如果DO无法检查SCARD，那么它可能不需要依靠任何原始的TD*_{RO_Target}。SCARD可以与TPIA和TPES一起被发送到RO，由此RO可以决定在检查了SCARD、TPIA和TPES之后继续执行获取所有权的处理。该消息传递可以表述为：

SDM→TD_{RO_Target}：

SCARD||nonce_8fb||[SHA-X(SCARD)||nonce_8fb)]_{Ksign_SDM}

TPIA||Concatenation{nonce_8c(i)}[SHA-X(TPIA)||Concatenation{nonce_8c(i)}]_{Ksign_SDM}，

TPES||nonce_8f||[SHA-X(TPES||nonce_8f)]_{Ksign_SDM}

或

SCARD||TPIA||TPES||[SHA-X(SCARD||TPIA||TPES||nonce_8f)]_{Ksign_SDM}

等式19

一旦从SDM接收到TPIA、TPES以及SCARD，则可以使用SDM的公共签名密钥来对它们进行检查，以便检查它们的完整性。然后，TPIA、TPES、SCARD、用以指示用户所期望的服务的目的信息元素(P)以及用于所有权获取消息的请求(request_TO)可以被发送至ME。如果RTO处理针对的是必须供应完整的TSIM能力的域，那么还可以预备关于TSIM功能的已签名证书(Cert_TSIM)，并且将其与上述分组一起发送。

用于TSIM功能的证书有可能是两个或更多。其中一个证书是用于原始TSIM功能的(CERT*_TSIM)，另一个则是用于那些完全被示例或更新的功能。用于原始TSIM功能的证书可以采用模块化的方式嵌入用于DM的证书结构中，例如，可以将其插入到作为来自DM的功能的原始域中。

当RO在TD_RO预先通过了至少一个RTO之后执行RTO处理时，它有可能不再需要发送CERT*_TSIM，这是因为该证书仅仅适合与原始域一起使用，而所述TD_RO却不再是原始域。因此，在这种情况下，RO可以发送经过更新的证书CERT_TSIM。

如果目标RO在TD*_{RO_Target}使用之前已经知道何时加载原始TD*_{RO_Target}，则可以用目标RO的公钥加密(K_Target_RO_pub)来对内容进行加密，其中举例来说，所述公钥可以通过证书传送或是通过预先配置来提供。可以为TSIM预先提供签名密钥K_{_TSIM-Sign}。这个私有签名密钥的公钥可以预先被分发给目标RO。ID_ME是ME的ID，其中该ID是由TD*_{RO_Target}从THSM DM的域TD_DM获取的，所述域则安全地保持了ME ID。这可以表述为：

Def)Package_9＝

SCARD||TPIA||TPES||P||Request_TO||Cert_TSIM||ID_ME||nonce_9

TD*_{RO_Target}→ME：

{Package_9}_{K_Target_RO_Pub}||[SHA-X(Package_9)]_{K_TSIM-SIGN}

等式20

参考第三实施方式，在消息中可以添加值MPIA和MPES。MPIA可以包括在THSM中根据MTE编译的配置数据(MPID)计算的摘要。只有在与所获取的已认证度量相符合的情况下，这个摘要才可以得到证实，其中所述度量是预先存在于配置文件中或是借助于与DM的实时通信传递的。依照关于完整性和环境信息的RO请求，等式20可以包括表明SDM成功接收到MPID和MPES的简单指示。这一点可以表述为：

Def)Package_9＝SCARD||TPIA||TPES||MPIA||MPES||P||Request_TO||Cert_TSIM||ID_ME||nonce_9

TD*_{RO_Target}→ME：

{Package_9}_{K_Target_RO_Pub}||[SHA-X(Package_9)]_{K_TSIM-SIGN}.

等式21

ME可以将上述整个消息传送到RO，并且这一点可以表述为：

ME→Target RO：

{Package_9}_{K_Target_RO_Pub}||[SHA-X(Package_9)]_{K_TSIM-SIGN}.

等式22

参考第三实施方式，该消息将会包括MPIA和MPES。

RO可以使用其私钥K_{Target_RO_Priv}来对Package_10进行解密，检查ME的ID，以及解译这些消息。RO可以解译SCARD，并且查看它是否“符合”来自SDP的这些状况。如果RO符合SCARD，那么举例来说，来自原始TD*_{RO_Target}的值TPIA可以被解译成代表了在向目标TO域TD*_{RO_Target}提供任何服务证书或配置控制之前的整个初始TSIM状态。值P可以被解译成是指示了用户期望的服务。目标RO(在启用TSIM的TD*_{RO_Target}的情况中，该目标RO可以是MNO)可以通过将TPIA中指示的其关注的域的完整性与它从TTP独立获取的参考完整性度量(RIM)值(RIM_RO)进行比较来检验该完整性。

MNO可以具有通过WTRU/THSM的供应商提供的证书来知道TPIA的预期值的能力，其中举例来说，该证书是提供给TTP的。参考第三实施方式，MPIA和MPES的预期值可通过认证处理而被提前得知，其中所述认证处理可以通过MTE是可信实体这个事实而成为可能，并且所述MTE的可信度是由THSM证实的。

目标RO可以查找接收到的TPES，并且评估TD*_{RO_Target}是否处于这样的THSM系统中：其中在RO的情况中，该THSM系统的“周围系统环境”(例如TEPS所表示的系统)可与目标RO一致，由此允许其自身进一步执行RTO处理。

在检查了TPIA、TPES、目的P、Request_TO之后，参考第三实施方式，MPIA、MPES以及诸如MNO之类的目标RO可以确定：正在请求由目标RO“获取所有权”的原始TD*_{RO_Target}以及一般包含了TD*_{RO_Target}的THSM是足以“信赖的”，由此允许其进一步执行RTO处理，以及让其允许TD*_{RO_Target}与之交互，从而提供某些预先指定的基本服务。

为了执行TD*_{RO_Target}的所有权获取处理，以使得域可以在以后下载密钥、更完整的配置、参数和可执行代码，并将其安装的与基本“原始”状态相比功能更强，并且还被目标远端所有者(RO)要求或是拥有和管理，目标RO可以发送配置信号(CONFIG)，其中该配置信号可以包括可执行代码。RO还会发送用于TSIM的RIM，其中该RIM被称为RIM_TSIM，如果依照接收到的CONFIG安装了配置、参数和可执行代码，那么该RIM可以与安装后的状态匹配。RIM_TSIM可以保存在TD*_{RO_Target}上的安全存储器中，并且可以用于在以后的引导时间检查TSIM功能的完整性。此外，在事务处理中还可以包括域策略(DP)，其中所述域策略规定的是将要使用的安全措施以及其他配置问题。

特定于RO的域策略(DP)可以不同于由SDM保持并且代表了用于构建和保持THSM上的特定RO所拥有的一个或多个域的系统级域策略(SDP)。特定于RO的DP可以包括仅仅管理域内应用和特定域特定且独有的安全措施的策略或规划。

某些RO可以采用这样一种方式来产生其DP：其中该方式使得DP还可以包括限制了关于哪些其他RO适合在TGSM上构建或管理的条款。例如，移动网络运营商(MNO_A)可以采用这样一种方式来产生其DP_{MNO_A}：其中在下载和安装了DP_{MNO_A}之后，如果没有发现DP_{MNO_A}中规定的某些关于TGSM上的某些其他域的状态和特性的条件的需求得到满足，那么该MNO_A的目标域(TD_{MNO_A})将会受到一组限制的管理，例如其服务或激活。例如，MNO可以实施DP_{MNO_A}，这样一来，如果TD_{MNO_A}在调查了THSM内部的更大环境之后发现在同一THSM上安装并激活了其他MNO域，并且这些MNO域具有自身的已激活TSIM功能，那么TD_{MNO_A}将会禁用其TSIM功能。

TD*_{RO_Target}有可能需要采样一种与P中被请求的服务相对应的方式来配置该TD*_{RO_Target}自身。例如，RO可以向ME发送响应，其中该消息的置信度是用公钥K_TSIM-Pub来保护的。ME可以将这个消息传送到THSM上TD*_{Target_RO}。Cert_RO可以包括目标RO的公共密钥K_RO-_priv。这时，RO可以发送用于TSIM的参考完整性度量(RIM)。RO响应可以表述为：

Def)Package_10＝

{CONFIG，DP_RO，ID_RO，RIM_TSIM}K_TSIM-Pub||Cert_RO||Cert_TSIM||nonce_10

Target RO→ME：

{Package_10}_{K_RO-Priv}||[SHA-X(Package_13||nonce_9)]_{K_TSIM-SIGN}

等式23

ME→TD*_Target RO：

{Package_10}_{K_RO-Priv}||[SHA-X(Package_13||nonce_9]_{K_TSIM-SIGN}

等式24

TD*_{RO_Target}可以使用私钥K_TSIM-Priv来对消息进行解密，并且在用CA检查了证书之后使用Cert_RO中的公钥K_RO-Pub来检验RO签名。它可以安全地保存所接收到的用于TSIM应用的参考完整性度量RIM_TSIM。它可以检查来自的RO ID，然后检查RO的策略，并且确定它是否可以继续CONFIG的剩余配置和安装处理。TD*_{RO_Target}可以借助于CONFIG来执行重新配置，以便达到“完整”域状态，并且然后则通过执行自我检查来确定测量得到的该TD*_{RO_Target}的TSIM功能的度量是否与被网络传递并在RIM_TSIM中表示的度量匹配。现在，域是“完成的”，并且不再是“原始的”，由此符号中的星号*将会移除。该处理可以表述为：

TD*_目标RO：检查DP_RO，存储RIM_TSIM，和安装CONFIG.

→

TD_目标RO：RO域是“完成的”

等式25

已完成的域TD_TargetRO可以向ME发送“RTO成功和域完成”状态消息，并且所述消息可以由ME转发到目标RO。这种处理可以表述为：

Def)Package_11＝{“domain completed”||ID_{RO_Target}}_{K_RO-Pub}||nonce_11

TD_Target RO→ME：

Package_11||[SHA-X(Package_11||nonce_10)]_{K_TSIM_SIGN}

等式26

作为选择，ME可以向用户发送状态消息。其中举例来说，该消息可以显示在WTRU的屏幕上，并且该消息表明该电话现在准备好了注册和证书转出(roll-out)。

ME可以将该状态消息转发到成功完成了平台的重新配置的RO，并且准备注册TISM证书。TD_RO_Target已经实现了“THSM_TD_RO_LOAD_COMPLETE”(THSM_TD_RO_加载_完成)状态。该消息可以表述为：

ME→Target RO：

Package_11||[SHA-X(Package_11||nonce_10)]_{K_TSIM_SIGN}

等式27

这个RTO协议可以充当用于将作为THSM所有者或用户的用户向提供预订服务的3G UMTS网络运营商注册的协议的前导，并且充当用于下载和提供用于验证和密钥协商(AKA)的证书的前导，这其中包括下载和提供共享秘密K以及用户标识IMSI。

用于公钥-私钥集的证书Cert_TSIM和Cert_RO可以在使用了它们的消息中递送。可替换地，RO域(TD_RO)和RO可以从可信的第三方那里获取该TD_RO和RO相应的证明。该获取处理可以表述如下：

TTP→ME→TD_RO：Cert_RO

TTP→RO：Cert_TSIM

等式28

在另一个可替换实施方式中，RO证书Cert_RO可以从网络递送至ME，并且THSM证书Cert_TSIM可以从ME被递送到网络(在递送使用了这些证书的消息之前)。由此，在这里描述的加密后的消息之前可以发送通信，这些通信可以表述为：

ME→RO：Cert_TSIM(在步骤9的消息被发送之前)

RO→ME：CERT_RO(在步骤13的消息被发送之前)

等式29

对这其中的每一个可替换的证书递送方法来说，实体ID可以域使用了公共加密密钥的消息一起。

在另一个可替换实施方式中，使用对称密钥而不是公钥可以用于保护消息的置信度。在每一个实例中，发送方都可以产生对称密钥K_s，其中举例来说，该密钥是用伪随机数生成器(PRNG)产生的，并且发送方会使用这个密钥而不是公钥来保护消息的置信度。该对称加密密钥还可以与加密消息一起被发送到接收方，其中将会使用公钥来对其进行保护。由此，接收方能够使用其私钥来访问密钥K_s，然后则使用所述私钥来对消息进行解密。

参考第二实施方式，THSM和ME有可能不同于第一实施方式中的THSM和ME。代替ME自身或是诸如MTE这类ME内部的可信实体的是，在ME引导的时候，THSM可以被配置成为ME的某些或所有代码执行完整性检查。作为选择，THSM还可以存储用于ME的某些或所有引导码。THSM未必被配置成向外界评估者证明ME的完整性。它可以被配置成在引导时执行对ME的完整性执行“本地”检查。

ME的完整值可以在启动处理中使用，并且未必在RTO处理中使用。用meas_ME表示的ME的完整性量度代表了从ME的安全引导中产生的ME代码和配置状态，该完整性量度可以由THSM的DM域TE_DM获取。THSM的TD_DM可以检查meas_ME的有效性，但是它也有可能没有将其引入平台证明。

参考第四实施方式，举例来说，从TCG MPWG的意义上讲，该ME可以是可信ME。该ME可以包括移动可信模块(MTM)，并且是可以得到信任的，这是因为它将MTM当做了提供用于存储、报告、测量、检验和实施的可信根的可信锚点。

图4和4A示出的是用于远端所有权获取处理的示例呼叫流程图。例如，图4和4A示出的是在ME 402、TD_DO 404、SDM 406、TD*_{Target_RO} 408以及目标RO 410中的一个或多个设备之间进行的例示呼叫。图4和4A中的箭头可以代表呼叫的起点/目的地。

如图2和3所示，SDM可以包括驻留在THSM中并且提供了部分DO功能的系统级域管理器。SDM可以依照特定于域的策略来监督和协调设备中的所有域的设置，以便确保所有这些域都会以符合SDP的方式工作和相互交互，以至于这些策略中的任何冲突都会由代表所述DO以及其他域的RO的SDM尝试调解。TD_DO可以包括THSM中的强制设备所有者域。TD_DO可以包括SDM，并且由此可以保持系统级域策略。MTE可以包括用于ME端的策略管理器ME_PDM。该ME_PDM可以执行ME上的策略管理器功能，但是有可能被THSM中的SDM监督。ME*_{Target_RO}可以包括由已许可远端所有者实施的用于远端所有权的原始域设置。目标RO可以包括请求ME*Target_RO的所有权的远端所有者。

ME可以承担全部的MTM功能，由此，由已识别的远端所有者对ME上的域实施的远端获取所有权的处理是得到支持的。与参考第一实施方式描述的RTO相似；其不同主要是因为SDM经由ME_PDM而为THSM和ME上的同一远端所有者拥有的这些域运用的最终策略控制。因此，对于同样拥有THSM上的域的相同所有者拥有的任何ME域来说，这些ME域的形成和管理必须以符合SDM的策略的方式进行。

仍旧参考图4，在41，ME 402可以完成基本码引导处理。在415，THSM可以安全地引导。该THSM可以加载DO域，SDM包括在内；其中该SDM可以提供：1)可用于域的构建的资源；和/或2)用户可接受的域的列表。在42，THSM可以完成其引导。在43，ME可以表明其引导完成。在这个处理过程中可以构建DM域，此外还可以构建可选的用户域(ME_U)，并且可用资源将被检查。DM域可以包括ME_PDM，它提供了用于ME设备的域策略的初始配置和规定。依照ME_DM的预先配置，该策略可以在用于ME域与THSM域之间具有公共远端所有者的这些域(例如一个在THSM上，另一个在ME上)的策略方面与SDP的策略相一致。

仍旧参考图4，在431，具有预先配置的域的ME可以发送启动RTO的“引导完成”消息。该消息可以包括关于DM域策略以及ME中的可用资源的显式信息。在44，这时可以发送要求启动RTO的请求，其中该请求包含了目标域规划。在455，TD*_{Target_RO} 408可以确定接受还是拒绝RTO启动请求。在45处可以发送表明是否应该启动RTO的消息。可替换地，在456，RTO可以由TD*_{Target_RO} 408发起。在451，TD*_{Target_RO} 408可以发送“启动RTO最终域规划的意愿”。

SDM可以通过评估THSM的系统级域策略(SDP)，并且确定在ME域上施加或分配哪些限制，从而对ME引导消息做出反应。这些策略限制可以包括：依照域相关联的远端所有者，ME和THSM上的哪些域是可允许的。SDM可以确定ME允许将哪些系统级资源用于具有THSM上的域的相同远端所有者拥有的域，这其中包括那些已经为其所知的资源。ME_PDM可以经由等式7中的消息接收该信息。该SDM还可以包括针对其基本策略的策略限制以及针对其资源列表的可允许资源。在ME_PDM接收到信息之后，它可以在做出和实施关于资源以及ME上的域的管理方面的决定的时候运用某些权限，而不需要从SDM那里获取用于所有这些决定的许可。

仍旧参考图4，该处理可以在465处继续进行。在465，下列各项可以被检查和/或评估：SDP、可用资源、和/或可接受域和/状态。在46可以发送“同意启动”信号。在47可以发送用于TPIA、TPES、MPID和MPES的请求。在475，举例来说，SDM 406可以在每一个域上的PCR范围中收集/级联来自现有域的完整性证明、和/或收集和/或级联TPES信息。

在471，用于MPID和MPES的请求可以被发送。在476，MTE可以处理针对用于MPID和MPES的请求的响应。在48，MPID和MPES可以与信任证明和签名密钥一起发送。在481，TPIA、TPES、MPID以及MPES可以被SDM 406发送至TE*_{Target_RO} 408。在485，THSM可以从MPID(原始数据)中计算出摘要MPIA，并且检查该MPIA。如果可接受，则可以将摘要MPIA发送到RO。在49，用于TPIA||TPES||MPIA||MPES||目的||RTO的请求可被发送。

参考图4A并且继续RTO处理，在410，TPIA||TPES||MPIA||MPES||目的||RTO消息可以被发送至目标RO 410。在418，举例来说，目标RO 410可以执行一个或多个下列处理：检查TPIA、TPES、MPIA、MPES以及目的；对照RIMTDRO来确定原始域的可信度；检查DP的可接受性；或是创建CONFIG来构造完整的域状态。

上述实施方式的一个可替换实施方式是由TD*_{Target_RO} 408从SDM那里请求关于ME的可信度而不是MPIA和MPES的简单指示；在这种情况下，SDM提供TPIA、TPES和ME可信度指示。但是，SDM仍旧请求和接收来自MTE的MPIA和MPES。

仍旧参考图4a，在411，消息CONFIG||DP||RIM_TDRO||RO可以被发送。在412，CONFIG||DP||RIM_TDRO||RO消息可以被传送。在428，这时可以构建和配置域，并且可以对照RIM_TDRO来检查完整性。此外，TD*_{Target_RO}的所有权可以被获取，由此将其转换成TD_{Target_RO}。在413，这时可以发送域完成消息。在414，域完成消息有可以被传送。

图5和5A示出的是使用了全部证明(例如与第四实施方式相关)的远端所有权获取处理的示例呼叫流程图。举个例子，图5和5A示出的是在SDM502、TD_DO 504、ME_PDM 506、ME*_{Target_RO} 508以及目标RO 510中的一个或多个之间进行的示例呼叫。图5和5A的箭头可以代表呼叫的起点/目的地。在51，基本码引导完成消息可被发送。作为响应，在515，THSM可以安全引导和加载DO域，这其中包括SDM。在52，THSM引导完成消息可被发送。作为响应，在525，ME可以安全地引导，这其中可以包括加载DM域，ME_PDM也包含在其中；以及检查可用资源。ME_PDM可以可以提供初始配置，该配置规定了与SDP以及可用资源一致的域策略。在53，可以发送ME安全引导完成的消息，其中该消息包括DM域(策略信息)以及ME中的可用资源。在531，“ME引导完成”消息可以被传送至SDM 502。在535，举例来说，SDM 502可以评估系统级策略，并且为ME确定许可的域、资源和策略限制。在54，可以发送一个消息，其中该消息提供了关于域策略限制和/或许可资源的信息。在545，策略限制可以附加于基本策略，如有需要，资源列表也是可以修订的。

图5和5A中的元素55-511可以类似于图4和4A所示的元素45-414。关于值MPIA和MPES的评估可以类似于等式14-19中的评估。ME可以具有MTM能力，并且它可以被配置成自己计算摘要MPIA，而不仅仅是原始数据MPID。由SDM传达的经过更新的策略限制可被检查，从而不会实现被禁止的域或域策略。策略检查和评估可以由ME_PDM执行。

在55，这时可以发送要求启动RTO的请求，其中该请求可以包括目标域规划。在555，ME_PDM可以决定接受还是拒绝RTO请求。在551，可以发送表明是否应该启动RTO的消息。在一个可替换实施方式中，在556，ME目标可以发起启动RTO的意愿。在56，可以发送启动RTO消息的意愿。在565，下列各项将被检查和/或评估：1)扩展的域策略；和/或2)依照扩展策略的可用资源、可接受的域和状态。在561可以发送表明启动RTO的处理可接受的消息。在57，从ME域集合中要求MPIA和MPES的请求可以被发送。在575，可以执行在每一个域上的PCR范围中收集和级联来自已有域的完整性证明(MPIA)，也可以执行MPES信息的收集和级联。在58，MPIA和MPES可以被发送。在59，MPIA||MPES||目的||RTO请求可以被发送(消息的完整性和置信度可以用经过认证的公钥/私钥来保护)。在595，举例来说，目标RO 510可以执行下列各项中的一项或多项：检查MPIA、MPES和目的；对照RIM_TSIM来确定原始域的可信度；检查DP的可接受性；或是通过创建CONFIG来构建完整的域状态。在514，消息CONFIG||DP||RIM_TSIM||RO可以被发送。在515，域可以被构建和配置，并且可以对照RIM_TDRO来检查完整性。此外，ME*_{Target_RO}的所有权可以被获取，由此将其转换成ME_{Target_RO}。在511，域完成消息可以被发送(带有签名，完整性受到保护)。ME可以直接与目标RO通信，由此不会使用到如图3和3A所示的消息传送，并且可以减少消息的数量。在图5中并未显示ME与目标RO之间的消息传递中的公钥/私钥交换所需要的证书的细节，以及与用于原始工具可信度的RIM证书相关的细节。

图6示出的是THSM的示例状态定义、变换以及控制点定义。举个例子，在这里定义了M2M通信标识模块(MCIM)的生命周期，其中该模块的定义和基本功能是在PCT专利申请WO 2009/092115(PCT/US2009/031603)中定义的。THSM可以改进和概括包括状态定义和变换在内的MCIM的功能和特征。

在601，THSM可以处于引导前状态。第一用户可以为THSM通电，THSM可以安全地引导，并且该THSM可以处于状态602。在602，DM和DO可以存在于原始状态中。DM域可以从预先配置的文件中构建，并且THSM可以处于状态606。在606，THSM处于可以加载TD_DM的引导后状态2，在该状态中，TD_DM可以被加载。从606开始，DO域可以从预先配置或下载的文件中构建，从而将THSM置于状态605。在605，THSM可以处于引导后状态3，在该状态中可以构建TD_DO域，但是不能加载TD_U或TD_RO。从状态605开始，DO域(SDM)可以加载用户域，由此将THSM置于状态604。在604，THSM可以处于引导后状态2a，在该状态中可以加载TD_U，但是不能加载RO域。从状态605开始，原始RO域可以根据SDP来构建，由此将THSM置于状态707。在707，THSM可以处于引导后状态7，在该状态中，TD_RO和TD_DO已被加载，但是不能加载TD_U。从状态607开始，TD_DO(SDM)可以加载TD_U，由此将THSM置于状态608。在608，THSM可以加载DO、DU和RO域。

从状态601开始，用户可以通电并且THSM可以安全地引导，由此将THSM置于状态603。在603，THSM可以用已存储的配置来加载，其中已存储的配置是最近一次通电之前的配置。从状态603开始可以执行引导后的事务处理，其中该事务处理将会改变配置，由此将THSM置于状态610。在610，THSM处于一种将一个或多个先前活动的状态全都变为不活动的状态。与从603到达状态610的处理相似。THSM可以处于状态609，在该状态中，THSM具有一个或多个活动的域。从状态609开始，由于配置变化事件而有可能导致进行变换，从而将THSM再次置于状态610。

在状态604、605、607和608，THSM可以通过使用新的策略和/或可执行代码或是针对不活动状态的变换而被重新配置。此外，在状态605中可以存储SDP。

在第一种域管理方法中，来自域所有者的策略即系统级域策略(SDP)有可能是非常有限制性的和“静态”的，并且有可能具有与新域活动或目的有关的硬性规定。这些策略可能有助于缓解向RO传递每一个新域项或已有域更新的需要。

在第二种域管理方法中，SDP有可能限制较少，并且在活动和目的方面提供了更多的灵活性。每一个新域项和每一个域变化都可以被报告给已有域所有者。这有可能导致产生更为动态的策略实施系统，在该系统中，在平台与RO之间可以进行初始和跟进的协商。

参考第一种域管理方法，SDP可以规定毫无例外在预先配置的列表中许可的域。该列表可以包括与RO的类型以及许可的数量(针对每一种类型)相关的信息。一旦RO建立了它们的域，那么该列表还可以包括RO可提供的服务类型。所预期的RO可以是满足列表所指示的判据的RO。作为RTO处理的一部分，例如，如等式9所示，在这里可以向RO提醒诸如列表和策略限制之类的条件。一旦接收到SCARD，该RO就可以独立决定其是否希望是所论述的平台或设备上的利益相关者。发送给RO的条件可以包括域类型及其目的，而不是任何其他RO在列表中的实际名称，由此保护其他RO的标识。如果RO决定完成RTO，那么可以确保该RO、当前在平台上活动的其他RO或是将来将要活动的其他任何RO不允许偏离所述策略。结果，在这里可能不需要或者有可能不会向RO提醒可能发生的后续RTO。

参考第二种域管理方法，其中在RTO处理过程中只能执行相对较宽的限制和允许更多交互的策略，例如，所述相对较宽的限制可以是哪些远端所有者是在没有识别任何特定RO类型的情况下得到许可的，所述交互可以是用于从RO或SDM的更多信息的请求或某些协商。此外，当域配置发生变化时，在SDM与所有RO之间还有可能存在正在进行的合作。由此，作为RO/SDM动态活动的一部分，在这里有可能发生初始甚至跟进的协商。

作为RTO处理的一部分，在这里可以为RO给出其需要的给定证明和策略条件信息，例如TPIA、TPES和SCARD，其中与第一种方法的情形相比，所述信息可以包括更多与配置和可信度相关的通用信息。根据已有的域配置，目标RO可以决定是否继续执行RTO。除非目标RO立即决定不获取所有权，否则随后而来的将会是与SDM的协商处理。例如，SDM可以向目标RO要求哪些域类型以及伴随的服务是可以在目标RO域活动的时候是活动的，或者在其不支持的域类型将要活动的情况下继续进行哪些过程。举个例子，当某些其他域类型甚至某些其他RO拥有的域活动或是将要变为活动的时候，RO有可能需要使其自己的域处于不活动状态，或者它有可能需要其保持活动，但是处于减少的容量或能力。SDM还可以向RO请求其应被提醒的事件发生。这些事件可以包括其不支持的域类型变为活动或不活动。在自身的域活动的时候，RO有可能需要完全阻止其他域类型或是某些其他所有者保持的域执行任何活动。

SDM可以决定接受或拒绝这些条件。虽然是结合一组很宽的策略需求工作的，但是SDM有可能具有自由度和语义能力来决定接受来自RO的要求是否可能仍旧符合“静态”系统域策略(SDP)的文字或意图。

图7示出的是RO域可能实现的示例状态以及可能导致在动态管理的环境中发生变换的条件。在701，其中有可能存在一个空状态，例如RO有可能尚未构建。从701开始，原始RO域可以依照SDP而被构建，由此将RO域置于状态702。从702开始可以执行RTO处理，这其中包括RO获取TPIA、TPES和SCARD。更进一步，RO可以接受RTO的条件，由此将RO域置于状态703。从703开始，新的活动的域被确定存在策略冲突，并且作为响应，RO域的功能将会减少或是使之处于不活动状态，由此将RO域置于状态704。此外，从703开始，RO域可以接收经过更新的策略/配置变化，由此导致RO域具有经过修改的配置和/或经过更新的策略限制。从706开始，新的活动的域被确定存在策略冲突，并且作为响应，RO域的功能将会减少或是使之处于不活动状态，由此将RO域置于状态704。此外从703开始，新的软件组件可以经由下载或RTO而被引入，从而导致RO域处于经过修改/扩展的状态，并且由此将RO域置于705。从705开始，新的活动的域被确定存在策略冲突，并且作为响应，所述RO域的功能将会减少或者使之处于不活动状态，由此将RO域置于状态704。

如711所示，处于状态702、703、704、705或706的RO域有可能为空，例如被DO、RO等等删除。如741所示，举例来说，通过解决导致RO域移动到状态704的冲突，不活动/功能减少的RO域可以移动到状态703、705或706。如751所示，处于状态705的RO域可以移动到状态703、704或706。如761所示，处于状态706的RO域可以移动到状态703、705或706。

对于RO域的管理而言，作为动态域管理的一部分而可以允许的是在事件出现的时候对变更的需求进行协商。例如，RO有可能决定由另一个RO提供并且先前不能支持的某种服务现在因为确定其不再需要与该服务竞争而成为可允许的。商业模型随着时间的变化有可能影响到所预期的RO的协商对策或策略。使用动态策略结构的SDP可以适应这种策略变更。

在某些服务中可以形成优选的漫游伙伴关系或RO的闭合群组，其中举例来说，所述服务可以是与智能记账相结合的M2M地理追踪，但其并不局限于此。这种由不同运营商在彼此之间提供相似或不同服务伙伴的分组服务可能导致产生优选的闭合群组。这种优选的服务、运营商或是这二者的群组可以作为绑定服务或整套服务而被提供给设备用户。

在第一示例中，当分组在世界各地被运送时，所述分组可以被追踪。数以百万计的这种地理追踪设备都是可以使用的。当所述分组穿越大洲时，不同国家的不同运营商将会为其提供连接。由此，为了获取连接，用户有可能需要预订多个漫游配置文件。由于每一个域都是由远端运营商拥有和管理的，因此，这些跨越了不同远端运营商的漫游配置文件将会按照域间策略而被管理。此外，通过实施这些策略，还可以支持针对新的服务供应商的完全切换，而不是支持基于漫游的解决方案。

在第二示例中，描述了智能计量运营商与地理追踪运营商之间的合作伙伴关系。这些域可以由不同的运营商拥有和操作。由于商业伙伴关系或用户偏好，这些域可以被合并在一起来支持联合配置文件。对基于诸如劳动力、存储或停泊之类的资源使用的记账处理来说，智能记账可以与分组的追踪一起使用。这种同时存在落入不同类别的服务的范例可以运用域间策略管理来加以支持。

域间策略管理器(IDPM)可以管理那些支配了域的群组行为的策略。每一个RO可以在RTO处理过程中下载域间策略(IDP)。IDP可以用证书来验证，其中该证书是由每一个RO签名的。这些证书可以与IDP一起发布。可替换地，这些策略可以由外部服务经销商认证和下载。有兴趣创建首选运营商列表的设备用户或设备所有者可以创建IDP。通过评估候选策略的可接受交集或是用以选择IDP的优先级、以及随后实施作为结果而产生的策略，IDPM可以对这些策略进行处理。

可替换地，IDPM既可以作为SDM的功能之一而被添加到SDM中，也可以作为能够加载(构建)或下载到THSM上的独立实体而被添加SDM中。

作为证明协议的一部分，TD_RO可以向RO发送TPIA、TPES和SCARD的散列，而不是全部发送这些量度。RO可以自身或者借助于TTP而具有用以检验这些散列并由此评定TDRO以及周围系统的有效性的手段。该方法与PCT专利申请WO 2009/092115(PCT/US2009/031603)中规定的半自动检验(SAV)相似。TPIA、TPES和SCARD量度中的任何一个或两个量度可以在证明阶段期间被发出。

THSM可以作为ME的一部分而被整体嵌入。对用于此类设备的RTO处理来说，由于该处理摆脱了ME与THSM之间的接口，因此该处理是可以简化的。

虽然本发明的特征和元素以特定的结合进行了描述，但每个特征或元素可以在没有其他特征和元素的情况下单独使用，或在与或不与其他特征和元素结合的各种情况下使用。这里提供的方法或流程图可以在由通用计算机或处理器执行的计算机程序、软件或固件中实施，其中所述计算机程序、软件或固件是以有形的方式包含在计算机可读存储介质中的。关于计算机可读存储介质的实例包括只读存储器(ROM)、随机存取存储器(RAM)、寄存器、缓冲存储器、半导体存储设备、内部硬盘和可移动磁盘之类的磁介质、磁光介质以及CD-ROM磁盘和数字多功能光盘(DVD)之类的光介质。

举例来说，恰当的处理器包括：通用处理器、专用处理器、常规处理器、数字信号处理器(DSP)、多个微处理器、与DSP核相关联的一个或多个微处理器、控制器、微控制器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)电路、任何一种集成电路(IC)和/或状态机。

与软件相关联的处理器可以用于实现一个射频收发机，以便在无线发射接收单元(WTRU)、用户设备(UE)、终端、基站、无线电网络控制器(RNC)或任何主机计算机中加以使用。WTRU可以与采用硬件和/或软件形式实施的模块结合使用，例如相机、摄像机模块、可视电话、扬声器电话、振动设备、扬声器、麦克风、电视收发机、免提耳机、键盘、蓝模块、调频(FM)无线电单元、液晶显示器(LCD)显示单元、有机发光二极管(OLED)显示单元、数字音乐播放器、媒体播放器、视频游戏机模块、因特网浏览器和/或任何无线局域网(WLAN)或超宽带(UWB)模块。

Claims

1.一种系统，该系统包括：

一个或多个设备，其中每一个设备都包括由至少一个平台支持的一个或多个域，每一个域都包括在所述至少一个平台上运行的计算资源的配置，并且每一个域都被配置成为所述域的所有者执行功能，所述域的所有者可以位于所述域本地或远离所述域，其中每一个域都能有不同的所有者，并且其中每一个所有者都能规定用于操作该所有者的域的策略、以及用于结合所述域所在的平台和其他域来操作该所有者的域的策略；以及

驻留在其中一个域上的系统级域管理器，该系统级域管理器实施该系统级域管理器所在的域的策略，结合该系统级域管理器所在的域来协调所述其他域的相应策略的实施，以及依照所述其他域的相应策略和所述系统级域管理器所在的域的策略来协调所述其他域之间的交互。

2.根据权利要求1所述的系统，其中所述系统级域管理器向域所有者提供信息，以使所述所有者能够确定该所有者的策略是否得到遵从。

3.根据权利要求1所述的系统，其中所述系统级域管理器所在的域是由所述域所在的设备的所有者拥有的。

4.根据权利要求1所述的系统，其中所述系统中的域是相互隔离的。

5.根据权利要求1所述的系统，其中所述系统中的两个域被配置成相互验证。

6.根据权利要求1所述的系统，其中所述系统中的两个域可以经由在该两个域间建立的安全信道来相互通信。

7.根据权利要求1所述的系统，其中所述域中的一个域的所有者包括域所在设备的制造商。

8.根据权利要求1所述的系统，其中所述域中的一个域的所有者包括服务供应商。

9.根据权利要求8所述的系统，其中所述服务供应商拥有的域执行用户标识模块(SIM)功能，以便向所述服务供应商验证所述域所在的设备支持的服务预订，由此结合所述服务供应商进行的预订验证而允许在所述设备与所述服务供应商之间进行通信。

10.根据权利要求1所述的系统，其中至少一个域执行预订验证。

11.根据权利要求1所述的系统，其中至少一个域执行设备验证。

12.根据权利要求1所述的系统，其中所述一个或多个设备包括下列各项中的一者或多者：无线发射/接收单元、用户设备、移动站、固定或移动用户单元、寻呼机、蜂窝电话、个人数字助理、计算设备、机器对机器设备、SIM卡、通用集成电路卡(UICC)、地理追踪设备或记账设备。

13.根据权利要求1所述的系统，其中所述至少一个平台包括至少一个处理器。

14.根据权利要求13所述的系统，其中所述至少一个平台还包括至少一个存储器。

15.根据权利要求13所述的系统，其中所述至少一个平台还包括至少一个操作系统以及至少一部分低等级固件或低等级软件。

16.根据权利要求1所述的系统，其中所述系统级域管理器访问用于提供能供所述一个或多个域使用的资源列表的信息。

17.根据权利要求1所述的系统，其中所述系统级域管理器监视远端所有者拥有的域的加载和维护。

18.根据权利要求17所述的系统，其中所述系统级域管理器为该系统级域管理器所在的设备的用户提供了所述系统级域管理器能够加载的域的列表，并且请求所述用户选择所列出的域中将要加载的域。

19.根据权利要求17所述的系统，其中所述系统级域管理器评估在所述至少一个平台上是否存在足以加载所述一个或多个域的计算资源。

20.根据权利要求17所述的系统，其中所述系统级域管理器在评估是否加载新的域时考虑一个或多个已有域的策略。

21.根据权利要求20所述的系统，其中远端所有者拥有的指定域的策略能够规定：在某种类型的其他域活动时，使所述指定域变为不活动的。

22.根据权利要求20所述的系统，其中远端所有者拥有的指定域的策略能够规定：当某个其他远端所有者拥有的另一个域活动时，使所述指定域变为不活动的。

23.根据权利要求20所述的系统，其中远端所有者拥有的指定域的策略能够规定：当某种类型的其他域活动时，限制所述指定域的操作。

24.根据权利要求20所述的系统，其中远端所有者拥有的指定域的策略能够规定：当某个其他远端所有者拥有的另一个域活动时，限制所述指定域的操作。

25.根据权利要求1所述的系统，其中至少一个域能够在该域不为任何所有者拥有的状态中建立，并且其中所述系统级域管理器对远端所有者建立所述域的所有权的处理进行协调。

26.根据权利要求25所述的系统，其中所述系统级域管理器向远端所有者传送能供所述远端所有者在确定是否建立域所有权的过程中考虑的信息。

27.根据权利要求25所述的系统，其中所述系统中的远端所有者和所述域能够相互验证。

28.根据权利要求25所述的系统，其中所述系统中的远端所有者和所述域能够经由在该远端所有者和该域间建立的安全信道相互通信。

29.根据权利要求26所述的系统，其中所述信息包括下列各项中的至少一项：(i)用于证明被寻求所有权的域的完整性的信息；以及(ii)用于证明所述系统中的至少一个其他域的完整性的信息。

30.根据权利要求26所述的系统，其中所述信息包括下列各项中的至少一项：(i)用于证明平台的完整性的信息，其中被寻求所有权的域使用该平台的资源来进行操作；以及(ii)用于证明平台的完整性的信息，其中所述系统中的至少一个其他域使用该平台的资源来进行操作。

31.根据权利要求26所述的系统，其中所述信息包括涉及所述设备的当前环境的信息。

32.根据权利要求31所述的系统，其中所述信息包括下列各项中的至少一项：(i)用于指示所述系统中的其他域的数量的值；(ii)用于提供所述系统中的其他域的概要特性的信息；以及(iii)用于规定能供正被尝试建立所有权的域使用的平台资源的信息。

33.根据权利要求26所述的系统，其中为所述远端所有者提供的关于系统中的其他域的信息的范围是以这些其他域的相应策略为条件的。

34.根据权利要求25所述的系统，其中在远端所有者建立了所述域的所有权之后，所述域从所述远端所有者接收加密密钥、配置信息、参数和可执行代码中的至少一者，以便提升所述域的功能。

35.根据权利要求25所述的系统，其中在远端所有者建立了所述域的所有权之后，所述域从所述远端所有者接收所述域的策略。

36.根据权利要求1所述的系统，其中至少一个所述域包括与其他域隔离的安全的执行和存储环境。

37.根据权利要求36所述的系统，其中至少一个所述域所在的设备的平台对所述域的资源访问进行控制，由此只有所述域外部被授权的用户、所有者或其他实体或进程才能够访问这些资源。

38.根据权利要求36所述的系统，其中支持至少一个域的至少一个平台包括可信根，并且其中所述域的完整性是通过所述可信根锚定的可信链来确定的。

39.根据权利要求38所述的系统，其中域的完整性是通过将所述域的至少一个组件的量度与参考完整性度量进行比较来确定的，其中如果该量度与所述参考完整性度量匹配，则所述域的完整性通过检验。

40.根据权利要求39所述的系统，其中所述域的至少一个组件包括所述域的可执行代码和/或数据。

41.根据权利要求39所述的系统，其中所述量度包括在所述组件上计算得到的散列，并且其中所述参考完整性度量包括先前在所述组件上计算并带有数字证书的散列，该证书提供了关于所述参考完整性度量的真实性的指示。

42.根据权利要求1所述的系统，该系统还包括用于对支配一个群组的域的行为的策略进行管理的域间策略管理器。

43.根据权利要求42所述的系统，其中所述域间策略管理器求出所述群组中每一个域的单独策略的交集，并且在所述策略中进行选择，以便产生所述域间策略管理器随后实施的用于支配所述群组的行为的组合策略。

44.一种在包含了一个或多个设备的系统中的方法，每一个设备都包括由至少一个平台支持的一个或多个域，其中每一个域都包括在所述至少一个平台上运行的计算资源的配置，并且每一个域都被配置成为所述域的所有者执行功能，所述域的所有者能够位于所述域本地或远离所述域，其中每一个域都能有不同的所有者，并且其中每一个所有者都能规定用于操作该所有者的域的策略、以及用于结合所述域所在的平台和其他域来操作该所有者的域的策略，该方法包括：

由驻留在其中一个域上的系统级域管理器来管理所述域的操作，所述管理包括：

实施所述系统级域管理器所在的域的策略；

结合所述系统级域管理器所在的域来协调所述其他域的相应策略的实施；以及

依照所述其他域的相应策略和所述系统级域管理器所在的域的策略来协调所述其他域之间的交互。

45.根据权利要求44所述的方法，该方法还包括：向域所有者提供信息，以使所述域所有者能够确定该域所有者的策略是否得到遵从。

46.根据权利要求44所述的方法，其中所述系统级域管理器所在的域是被所述域所在的设备的所有者拥有的。

47.根据权利要求47所述的方法，该方法还包括：将所述系统中的域相互隔离。

48.根据权利要求48所述的方法，该方法还包括：在两个域之间经由在该两个域间建立的安全信道来相互通信。

49.根据权利要求44所述的方法，其中所述域中的一个域的所有者包括域所在设备的制造商。

50.根据权利要求44所述的方法，其中所述域中的一个域的所有者包括服务供应商。

51.根据权利要求50所述的方法，该方法还包括：由所述服务供应商拥有的域执行用户标识模块(SIM)功能，以便向所述服务供应商验证所述域所在的设备支持的服务预订，由此结合所述服务供应商进行的预订验证而允许在所述设备与所述服务供应商之间进行通信。

52.根据权利要求44所述的方法，该方法还包括：由至少一个域执行预订验证。

53.根据权利要求44所述的方法，该方法还包括：由至少一个域执行设备验证。

54.根据权利要求44所述的方法，其中所述一个或多个设备包括下列各项中的一者或多者：无线发射/接收单元、用户设备、移动站、固定或移动用户单元、寻呼机、蜂窝电话、个人数字助理、计算设备、机器对机器设备、SIM卡、通用集成电路卡(UICC)、地理追踪设备或测量设备。

55.根据权利要求44所述的方法，其中所述至少一个平台包括至少一个处理器。

56.根据权利要求55所述的方法，其中所述至少一个平台还包括至少一个存储器。

57.根据权利要求55所述的方法，其中所述至少一个平台还包括至少一个操作系统以及至少一部分低等级固件或低等级软件。

58.根据权利要求44所述的方法，该方法还包括：访问用于提供能供所述一个或多个域使用的资源列表的信息。

59.根据权利要求44所述的方法，该方法还包括：监视远端所有者拥有的域的加载和维护。

60.根据权利要求50所述的方法，该方法还包括：为所述系统级域管理器所在设备的用户提供了所述系统级域管理器能够加载的域的列表，并且请求所述用户选择所列出的域中将要加载的域。

61.根据权利要求59所述的方法，该方法还包括：评估在所述至少一个平台上是否存在足以加载所述一个或多个域的计算资源。

62.根据权利要求59所述的方法，该方法还包括：在评估是否加载新的域时考虑一个或多个已有域的策略。

63.根据权利要求62所述的方法，该方法还包括：依照指定域的策略，在某种类型的其他域活动时，使所述指定域变为不活动的。

64.根据权利要求62所述的方法，该方法还包括：依照指定域的策略，当某个其他远端所有者拥有的另一个域活动时，使所述指定域变为不活动的。

65.根据权利要求62所述的方法，该方法还包括：依照指定域的策略，当某种类型的其他域活动时，限制所述指定域的操作。

66.根据权利要求62所述的方法，该方法还包括：依照指定域的策略，当某个其他远端所有者拥有的另一个域活动时，限制所述指定域的操作。

67.根据权利要求44所述的方法，该方法还包括：在至少一个域不为任何所有者拥有的状态中建立所述域，以及随后对远端所有者建立所述域的所有权的处理进行协调。

68.根据权利要求67所述的方法，该方法还包括：向远端所有者传送能供所述远端所有者在确定是否建立域所有权的过程中考虑的信息。

69.根据权利要求68所述的方法，其中所述信息包括下列各项中的至少一项：(i)用于证明被寻求所有权的域的完整性的信息；以及(ii)用于证明所述系统中的至少一个其他域的完整性的信息。

70.根据权利要求68所述的方法，其中所述信息包括下列各项中的至少一项：(i)用于证明平台的完整性的信息，其中被寻求所有权的域使用该平台的资源来进行操作；以及(ii)用于证明平台的完整性的信息，其中所述系统中的至少一个其他域使用该平台的资源来进行操作。

71.根据权利要求68所述的方法，其中所述信息包括涉及所述设备的当前环境的信息。

72.根据权利要求71所述的方法，其中所述信息包括下列各项中的至少一项：(i)用于指示所述系统中的其他域的数量的值；(ii)用于提供所述系统中的其他域的概要特性的信息；以及(iii)用于规定能供正被尝试建立所有权的域使用的平台资源的信息。

73.根据权利要求68所述的方法，该方法还包括：基于所述系统中的其他域的相应策略来调整为所述远端所有者提供的关于所述系统中的其他域的信息的范围。

74.根据权利要求67所述的方法，该方法还包括：在远端所有者建立了所述域的所有权之后，从所述远端所有者接收加密密钥、配置信息、参数和可执行代码中的至少一者，以便提升所述域的功能。

75.根据权利要求67所述的方法，该方法还包括：在远端所有者建立了所述域的所有权之后，从所述远端所有者接收所述域的策略。

76.根据权利要求44所述的方法，其中至少一个所述域包括与其他域隔离的安全的执行和存储环境。

77.根据权利要求76所述的方法，该方法还包括：由至少一个所述域所在的设备的平台对所述域的资源访问进行控制，由此只有所述域外部被授权的用户、所有者或其他实体或进程才能够访问这些资源。

78.根据权利要求76所述的方法，其中支持至少一个域的至少一个平台包括可信根，并且其中所述域的完整性是通过所述可信根锚定的可信链来确定的。

79.根据权利要求78所述的方法，其中域的完整性是通过将所述域的至少一个组件的量度与参考完整性度量进行比较来确定的，其中如果该量度与所述参考完整性度量匹配，则所述域的完整性通过检验。

80.根据权利要求79所述的方法，其中域的所述至少一个组件包括所述域的可执行代码和/或数据。

81.根据权利要求79所述的方法，其中所述量度包括在所述组件上计算得到的散列，并且其中所述参考完整性度量包括先前在所述组件上计算并带有数字证书的散列，该证书提供了关于所述参考完整性度量的真实性的指示。

82.根据权利要求44所述的方法，该方法还包括：对支配一个群组的域的行为的策略进行管理。

83.根据权利要求82所述的方法，该方法还包括：

求出所述群组中每一个域的单独策略的交集，并且在所述策略中进行选择，以便产生用于支配所述群组的行为的组合策略；以及

实施所述群组的组合策略。

84.根据权利要求44所述的方法，该方法还包括：由一个域来验证另一个域。

85.根据权利要求68所述的方法，该方法还包括：由所述远端所有者正在确定所有权的域来验证所述远端所有者。

86.根据权利要求68所述的方法，该方法还包括：在所述远端所有者与所述远端所有者正在建立所有权的域之间，经由在该远端所有者与该域间建立的安全信道来进行通信。