TW201129129A - Platform validation and management of wireless devices - Google Patents

Description

201129129 六、發明説明： 【發明所屬之技術領域】 [0001] 本申請涉及通汛 [先前技術3 [0002] 行動通訊網路的現有技術或標準化技術不能向網路提供 對咬備整體性進行認證和碟認（validate)的方法’或 提供對這些設備進行管理和規範的方法。同樣，需要連 接至網路的設備也不能確認其所連接的網路實際是否為 有效的或可信的供應商網路。 〇 . 【發明内容】 [0003] 公開了用於實現平台認證和管理的方法、元件和 裝置。PVM的實施使得平台認證實體的功能性和操作能夠 通過設備管理系統（例如家庭節點B管理系統）對設備進 行遠端管理。示例的PVM操作使設備在允許連接和存取核 心網路之前處於安全目標狀態。.

,；,.：：；|； r . I 【實施方式】 師4]當下文中涉及時，衡語“無線傳輸/接收單元（WTRU)，’ ... 包括但不限於使用者設備（UE)、行動站、固定或行動 使用者單元、尋呼機、蜂巢行動電話、個人數位助理（ PDA)、電腦或任何其他類型的能夠在無線環境中進行操 作的設備。當下文中涉及時，術語“基地台”包括但不 限於郎點B、站點控制器、存取點（AP )、閘道、使用者 端設備（CPE)或任何其他類型的能夠在無線或有線環境 中進行操作的介面設備。當下文中涉及時，術語“HMS” 包括但不限於家庭節點B管理系統（HMS)、家庭增強型 099106424 表單編號A0101 第3頁/共169頁 0993197625-0 201129129 節點B管理系統（HeMS )，其中以上兩者可統稱為 H(e)MS，設備管理系統（DMS)、配置伺服器（CS)和 自動配置伺服器（ACS)，或任何其他類型的管理“基地 台”的配置或功能的系統。術語“WTRU”和“基地台” 不相互排除。舉例來講，WTRU可以是增強型家庭節點B ( H(e)NB)。當下文中涉及時，術語“理論資訊安全（ information-theoretically secure) ” 包括但不 限於完全安全、無條件安全和接近理論的資訊安全。當 下文中涉及時，術語“信任”、“可信的”和“值得信 賴的”及其變形，表示對單元是否能以特定方式工作進 行評估的可計量和可觀察的方式。 公開了用於實現平台認證和管理（PVM)的方法和裝置。 PVM通過設備管理系統（例如家庭節點B管理系統（HMS) )使平台認證實體（PVE)的功能和操作能夠對設備進行 遠端管理。PVM操作使設備在允許連接和存取核心網路（ CN)之前處於安全目標狀態。 PVM操作是完備的（self-contained)，並且在不同的 技術環境中同時允許多種變形和多種實施方式。雖然在 需要描述實施例時，針對特定情況會提供映射至協定（例 如網際網路密鑰交換（IKE ))的示例，但並不能將其解 釋為對本發明整個範圍的約束或限制。雖然在一些地方 使用H(e)NB作為例子，但並不能將PVM限制為H(e)NB。 可不偏離主旨地直接進行技術改造，將PVM擴展到機器對 機器（M2M)和其他無線和/或網路設備。 描述是自上而下的，因為始於開始的結構假定了大多數 可信計算技術核心概念的可用性，該可信計算技術涉及 099106424 表單編號A0101 第4頁/共169頁 0993197625-0 201129129 但不限於由可信計算群組（TCG)所規定的技術標準。例 如，此處所描述的實施例依賴由可信環境（TrE)和參考 凡王性度量（RIMs)所執行的安全啟動來為pvM的所有操 作和方法構建基礎。這並不排除基於較低信任度的技術 的進一步改變的實現方式。其他實施例還可在多個步 驟中不使用RIMs。

通常，在技術系統中，PVM包含了集成到技術系統中的信 任综合定義中的信任語句（noti〇n)，其中重點是在系 統中建立信任的方法。PVM使用任務的分散和分隔作為核 心範例。這應演進的通訊網路和網際網路所需而允許了 可調節（scalable)的信任，在所述演進的通訊網路和 網際網路中’節點更加多樣而連接時間更短暫。

以下對信任的一致的操作解釋可用於碑辨參統（例如 )之間以及技術系統與人類之間的關係和交互過程：“ 如果實體可預測地並可觀察地為了預定目的而按照預期 方式進行操作，則該實體可信，，。該操作解釋具有三個 顯著特徵，即，可預測性、可觀察性和環境性。 可預測性表示對系統的預先認知，該預先認知可用於&) 評價與該系統互動所產生的風險，和b)通過對觀察择果 進行推斷，而在交互過程中允許獲得系統情況。可觀察 性指明通過該特徵以及可在交互過程中獲得系紙情況的 程度。其與可預測性緊密相關’從觀察結果中，結合預 測，可對系統狀態和下一步的行動做出進一步判斷。環 境性是指描述了與系統互動過程的資訊，在該資訊中， 可以做出預測和進行觀察。總的來說，三者允許了對其 可信度的估計，或反之，能夠對其對交互實體所產生的 099106424 0993197625-0 表單編號A0101 第5頁/共169頁 201129129 威脅進行估計。 由於缺少建立操作信任的方法，而在信任和強制（en_ forcement)之間造成了概念上的差異。隨著互聯系統 多樣化，已經不再限於客戶_伺服器的關係，這種問題變 得更加明顯。在這種情況下，考慮到現有（安全）技術 的發展水準，無論是強制還是信任的操作方面都不能實 現系統缺少a )用來建立操作的信任的普遍的技術方法 ’ b)用於強制的首要基礎結構，和c)用於將有關可信 任!·生和可實行的安全等級的資訊發送到外部實體的方法 ，、有上述基本結構塊才能夠在系統中實現可反映現實 需求的信任和關的«平衡，也就是可調節的信任。 PVM也疋根據上述構造塊而建立的。可信系統的結構塊構 造了其信任邊界’並且有時提供了擴展該邊界的方法， 並通過使和操作在_定程度内可預測和可觀察， 而向外部實體傳送該信任。構造塊可包括（硬體）安全 起點、信任根（R0T)、可信（子）系统，及所有關係、 安全儲存及路徑、授權、聽及安纽減程和證明。 通過把上述•法相結合’因此可心乡種方式構建結合 了信任和強制的特徵的系統和各種元件，從而實現可在 這兩個極端之_行調節的技術。下面描述基本的功能 構造塊。 099106424 硬，安全㈣對於保護系統性能非常重要。硬體安全起 點是系統中用於通過硬體手段來保護其不受到未授權的 訪問的部分，從而有效地降低對其的攻擊威脅，其中所 述硬體手段已知對預期目的是足夠安全的。特別是，其 保持用於其安全操作的κ〇τ。該R〇T是抽象的系統元件， 0993197625-0 201129129 其實現a)確保内部系統操作的安全，和b)以安全和認 證的方式向外部實體告知系統的屬性和/或識別（單獨地 或作為組成員，例如製造商和型號）。 一個系統為不同目的可包含多於一個R〇T。例如RoT可以 是結合了其可信第三方數位證書的非對稱密鑰對。同時 ，蜂巢網路的使用者識別模組（SIM)卡中的對稱秘密也 可看作是以SIM卡來實現的封閉的可信系統中的RoT。 其次，系統中的認為可信的（即為了預定目的而按照清 楚的方式進行搡作）功能構造塊形成了該系統的可信計 算基礎（TCB)。該TCE所..包含的系統元件在域中呼叫系 統時和在操作期間不能檢測其操作可信特徵，而只能被 例如相容和一致性檢測的帶外流程和證碉檢測。這種證 明通常是由獨立的評估器來執行的，例如是根據所建立 的安全評償標準，代表TCB特定技術元件的製造商或整體 TCB的製造商。為了使這種證明有用，TCB的每個元件都 應該具有將其標識為是這種證明技術元件的資訊。 具有所述安全起點、RoT和TCB的系統稱為可信系統（Ts )。這裏對通常可信平台的概念有一點改進，通常的可 信平台指的是“具有可能使用内建硬體的方式的可信元 件的計算平台’該計算平台使用所述可信元件來建立用 於軟體流程的仏任基礎”。當TS中存在—個或多個可作 系統時，這些•可信系統稱為可信子系統（TSS )。其例子 包括個人電腦平台上的虛擬執行環境，該個人電腦平台 從主機的可信平台模組硬體（TPM)接收特定可信度。另 一個例子是結合了其TCB的可信引擎的規定。在下文中， 除非明確指出，否則“TS”可以互換用作“TS4TSS” 099106424 第7頁/共169頁 0993197625-0 表單編號A0101 201129129 縮略語。TS可以在如第1圖所示的各種設備中實現。 下面，對TS的總稱為術語可信資源（TR)的各種能力、 流程和結構元件進行描述。TR通常可以分為：1 )屬於 TCB的TR ;和2 ) TCB外的TR。後者的例子是作業系統的 可信部份和通過使用TCB性能而構建在TCB上的可信應用 程式。對TCB中TR可信度的認定依賴於TCB所定義的安全 ’而其他TR的可信度至多可以從來自TCB的可信度得到。 在這種情況下，TCB必須將能夠允許對信任邊界（即，能 夠在指定環境中認為可信的TS元件的總數）進行擴展的 特定内部TR提供給TCB外的TR，例如如下所述的確認或安 全的啟動。TCB内的TR通常與所述R〇T共用相同的硬體保 護例如位於同一塊防干擾晶片上。TCB外的TR可以以軟 體内的邏輯單元來實現。注意，信任邊界，尤其是涉及 外的T R的彳§任邊界，可以是短時的。.其可在一段時間 内為特定目的而存在，並可以在之後不再存在。 用於擴展超過TCB信任邊界的遍灌妹通用模型是驗證（ enfication)。其本身就是用東執爵驗證過程的TR。 將其標識為驗證流程和相應的”驗备實體或驗證器，以 區別於由外部實體（即域認器）對以進行的確認過程。 驗證作為流程包括在信任邊界中以至少兩種不同形式出 現的新元件。首先，驗證器在其初始化時測量新元件。 099106424 也就疋說，該元件、該元件的狀態和配置是唯一標識出 的。之後儲存該測量結果。作為其擴展，驗證器可以將 該測量結果與參考錢械較，並_是否擴展信任邊 界。也就是說’驗證器可以做出並執行策略決定。從操 作的角度錢，由於在完紐證過程後，可認為其處於 0993197625-0 表單編號A0101 S 8頁/共169頁 201129129 特定的預定狀態，因此驗證對應於ts的可預測性。而另 一方面，確認則使該屬性可觀察，從而可信。這表示， 報告實體將驗證結果發送給另一方。第三，由該報告實 體所執行的中間步驟為證明。證明是驗證的邏輯結果， 還是確認的邏輯前提。證明是確保所測量資訊的準確性 的流程，從而可靠方一確認器一可以使用該資訊來決定 其是否該信任遠端TS。驗證、證明和確認是可操作信任 的核心概念，其與TS的週期緊密相聯。 TS由被授權訪問信任邊界内的特定TR (例如RoT)的實體 (個人或其他技術系統）所擁有。該所有關係可以通過 物理具有TS而隱性的實現（即包含TS的平台），或例如通 過特定憑證（credential)對所有者進行認證而顯性的 表明。在可信計算群組（TCG)可信平台模組（TPM)規 範的環境中，提供這種認證資料稱為獲得所有權。直接 與TS互動過程的所有者稱為本地所有者，而要通過任何 方式媒介，例如通過通訊網路媒介，來與TS互動過程的 所有者稱為遠端所有者。當TS中包含多於一個TSS時，每 個TSS都可以具有相同或不同的所有者。 第1圖表示若干個TSS 110、130、150和170的計算域的 分隔。TSS 110、130、150和170分別由專用行動可信 模組（MTM) 112、132、152和172組成。行動電話工作 組（MPWG)規範的硬體安全起點包含所提及的RoT、TR (可信資源114、134、154和174)和可信服務116、 136、156和176。通常的軟體服務和元件118、138、 158和178分別位於信任邊界120、140、160和180之外 。所謂的可信引擎122、142、162和182 (所有這些都位 099106424 表單編號A0101 第9頁/共169頁 0993197625-0 201129129 於安全計算環境中）依賴R〇T在不同TSS 110、130、 1 50和1 70之間分別特別提供分隔和受控制的通訊。在使 用域間確認和授權的條件下，TSS可以與其他TSS共用TR ’甚至共用MTM的功能。只要至少存在一個硬體保護的 R〇T (從該R〇T生成基於軟體的MTM的RoT)，就可以以軟 體的形式來實現可信引擎以及一些MTM。每個TSS可由本 地或遠端相關人（stakeholder)或所有者來控制。在 行動設備的存在週期中，並不是所有相關人TSS都存在， 且存在流程使得（遠端）相關人能夠初始化新TSS的創建 並獲得其所有權。 PVM部分依賴於信任的建立。在信任與強制之間，主要的 連接概念是任務分隔。任務分隔通常認為是涉及強制的 任務。但是其與信任有天然的聯繫。依賴方只有在其操 作可信時’才會將強制委託給其他系統。在以間建立操 作信任依賴於為實現可觀測性和預建立可預測性而進行 的受控制的資訊交換。後者只能在泛外丨完成。 第2圖顯示了向TS 200、202提供組織保證的外部實體的 角色的示例模型。TS 200、202包括正常應用程式260、 262 ’該正常應用程式位於信任邊界270、272之外。在 信任邊界270、272内，有TCB 216、218，該TCB依序包 括RoT 208、21〇和tr 212、214。信任邊界270、272 可進一步包括可信作業系統23〇、232或其中需要保護的 部分以及可信應用程式234、236。 TS 200、202的安全屬性位於硬體信任起點204、206和 RoT 208、210中。當部署和操作系統時，上述技術元件 是不能被檢測的《因此，其在設計和開發過程中需要接 099106424

表單編號AOIlOI 第10頁/共169頁 0993197625-0 201129129 爻安全評價。這是由獨立的機構所執行的，一旦評價成 功’邊機構便向安全性重要元件的製造商頒發安全性證 書。 除R〇T 208、210和信任起點2〇4、206以外，安全性流 程還可在TCB 216、218中包括其他TR 212、214,並涉 0 及不同的證明機構220、222。為了確保評價過程和不同 證明機構的品質的一致性，其依序由鑒定機構224進行評 定和證明，該鑒定機構可以例如是公營機構或由國家承 認的私人實體《該鑒定機構224還可在證明機構220、 2 2 2之間提供連接資:訊..。 ...... . 證明機構220崎222或收到其通知的技術實體向ts 20〇、 202頒發供TR 212、214所使用的憑證226、228。這些 Ο 憑證226、228能證明其完整性和來源都是可證實的。最 重要的例子是由其製造商頒發給TPM的主R〇T (EK)認彳 (endorsement)密鑰（EK)證書，以及平台證書和其 他組件的證書。之後還使用加密方法使從這些證書中所 獲得的憑證和秘密都用於與外部實體（特別是其他TS) 互動。TS 200、202的確認240通常需要認證，並且在許 多情況下，還需要保密。並且，具有從TS憑證中得到的 信任的秘密和憑證對於作業系統23〇、232和可信應用程 式234、236分別建立安全性關聯242、244來講是非常重 要的’所述安全性關聯也就是能夠對通訊提供認證、機 密性和完整性的頻道。在安全性關聯242、244之上，擴 展信任邊界内的應用程式可以與定義好的操作信任屬性 建立起安全的％訊頻道。 調解（mediation)實體250促進在第2圖所示的各種互 099106424 表單編號A0101 第11頁/共169頁 0993197625-〇 201129129 動之間建立信任。調解實體2 5 0的一個例子是私人證明機 構（PCA)。調解實體250將關於TS可信度的基礎聲明發 送至另一個TS或依賴方。調解實體將TCB 216、218或所 選元件（例如信任起點204、206等）標識為可信的且被 證明的組件。此時，調解實體2 5 0需要知道由證明實體所 頒發的證書，當從TS收到證書時驗證該證書，並向依賴 方頒發保證聲明。調解實體250可以按照與公共密鑰基礎 構造（ΡΚΙ)中的證明機構（CA)類似的方式促進之後的 安全性關聯和安全通訊。 現在描述PVM所需的用於建立信任的構造塊。 本質上，驗證是對TS的狀態變化進行記錄並控制為所期 望的粒度（granu 1 ar i ty )。同時，從開始到結束，其 都要與TS所處的平台的操作週期緊密相連。因此，實際 的驗證方法大多與物理設備（例如WTRU)的一個或多個 處理器所執行的平台的啟動流程和操作週期結合在一起 一種對TS進行内部驗證的方法是認證啟動及在ts初始化 時（例如WTRU啟動時）使用TCB的能力來評定所載入或所 啟動的軟體或硬體元件的可信度。認證啟動是通過在啟 動TS的其他部份之前，先啟動r〇t和TCB的特定功能來實 現的。這些部份操作為用於測量的R〇T (RTM)。這表示 ，之後所啟動或載入的元件都要經過測量，即所述元件 及其狀態和結構在啟動後都要通過例如對硬體元件的内 建代碼和所載入的程式的（二進位）表示生成加密摘要 值（例如，加密雜湊值）而唯一地標識出。根據特定要 求’可將測量值儲存在安全記憶體中。所述測量值與從 099106424 表單編號A0101 第12頁/共169頁 0993197625-0 201129129 其中追溯系統狀態所需的資料（例如軟體名稱和版本） 一起形成TS的儲存測量日誌（SML)。在PC平台上，認證 啟動可以包括從BIOS到作業系統（0S)載入器所有組件 以及0S本身。 在認證啟動的一個例子中，由報告流程來測量系統狀態 ，以TPM作為中心機構來接收測量值並使用雜凑值來計算 該狀態的唯一表示。為了清楚起見，TPM可以接收1 )應 用程式或文檔的雜湊值，即由外部（軟體）實施所計算 出的應用程式的測量值，或2 ) TPM可以計算雜湊值，即

使用内部雜湊演算凑實％涛算出的測量值本身。為此， " . . ..

TPM具有多個受保護的平台配置暫存器（PCR)。從啟動 時系統進行初始化開始，對於每一個所載入的或所啟動 的元件，都使用RTM向TPM報告其測量值，例如通過BIOS 的雜湊值，並安全地儲存在SML中。同時，由擴展過程對 活動PCR進行更新，這意味著，將測量值附加在當前的 PCR值上，通過該資料建立摘要值，並儲存在pcRf。這 樣就建立了可傳遞的信任鏈，該信任鏈包含所啟動和載 入的所有組件。如果單個PCR僅儲存一個值，則只能夠提 供“足跡式”的完整性確認資料。該值使得確認器只能 通過結合SML來重新計算該足跡才能驗證該信任鏈。 安全啟動是認證啟動的擴展。對於類似機上盒或行動聽 筒這種需要有一些待機和離線功能需求的設備來說，安 全啟動具有特殊的重要性。能夠安全啟動的設備的共同 特徵是在其不能在例如網路存取前將有關其信任度的證 明向外部發送時，它們需要在一組可信的狀態中進行操 作。在安全啟動中，TS具有本地驗證器（驗證實體）和 099106424 表單編號A0101 第13頁/共169頁 0993197625-0 201129129 本地強制器來盤管啟動流程’其同時建立了策略強制點 (PEP)和策略決定點（PDP)的組合’以控制安全啟動 流程。該本地驗證器將新載入的或啟動的元件的測量值 與位於TCB中的或由TR在TS中進行保護（例如位於受保護 的儲存空間中）的可信參考值（TRV)進行比較，並決定 其是否已載入、啟動或還未啟動。這樣’可以確保該系 統啟動至定義的、可信的狀態。 可信參考資料是用於將確認資料與已知良好值進行比較 的資料。構成可信參考資料的這些值稱作可信參考值（ TRV)。其最著名的例子是在TGG的MPffG規範中所定義的 參考完整性度量（RIM)。其實際可用作a)由平台本身 在安全啟動時使用，以確保只啟動那些度量值與TRV—致 的元件，或b)由確認器使用，以將確認資料與已知良好 值進行比較，從而在評價正在進行確認的平台狀態。術 語RIΜ可以作為非限制性的示例用於描述可信參考資料。 這樣’可信參考資料通過對其特定的安全聲明而可信， 其由確涊器或代理使用所4慮的技不的代理來進行確認。 這種可驗證的聲明可由例如數字證書來實現 ，該數位證 書疋由可仏第二方（ΤΤρ)所頒發的例如成為RIM證書的 數位證書。可信參考f料的信任聲明還可以包含例如有 關元件或平台的外部評價（例如，根據通用標準評價保 護級別’ EAL)的附加資訊。 099106424 需要重視m的雙重性…方面，其在安全啟動流程中 於本地驗也。在該過程巾其由提供基礎結構的㈣所 订該、口構此夠例如通過向TS提供對應於所更新軟體< 新TRV ’來對所測量的元件進行更新。對於用來在安全 第14頁/共169頁 表單編號A0101 油·· 201129129 動後確認ts的外部實體，則需要將所接收的確認資料（ 例如所謂事件結構）與所儲存的TRV進行比較，並驗證相 關聯的TRV證書。這樣，TRV和相應的證書不僅對驗證很 重要，對確認也很重要。 對於確認來講，證明信息的新鮮度十分重要。這就需要 將驗證過程從啟動擴展到TS的操作時間，這在複雜的開 放系統中是一項技術上很困難的任務。 Ο 所提到的任務分隔也存在於對TS進行確認的流程中。即 ’基於驗證結果，可以評價系統的可信度，並且可在確 認過程中作出相應的策略決定。讓流程中，在TS和確認 . 器之間所進行的任務分隔將導致三種類型的確認。現在 首先描述任何種類確認所需的共同基本概念β TS的確認流程必須得到確認標識的支援，其中該確認標 識被展不給確遇器。該確認標識必須直接或間接地來自 RoT，即用於報告的RoT (RTR)。如果沒有調解器（media tor ) 則不 能進行確認。 確認標 識的提供者必 須聲明 該確認標識的所有者為TS。提供確認標識是在標識管理 (IdM)系統令提供標識的擴展。提供者必須對ts (包括 TCB中一些或全部TR)的憑證進行檢查，以評定該ts是否 處於針對確為可信的狀悲。並且，必須在安全流程中 提供確認標識，例如專用安全頻道中的安全協定。在遠 端確認的情況下，該確認標識與TS的全球識別碼相一致 使用唯一的永久確認標識進行確認對安全性是非常重要 的。會由於各種目的而頻繁且任意地在多個確認器上進 行確認。雖然所用的確認標識不會每個都易於與使用者 099106424 表單編號A0101 第15頁/共169頁 0993197625-0 201129129 標識相關，但是其通常能對τ s的行為進行追縱。由於安 全原因，對一組或所有了8都使用相同的確認標識並不是 解決該問題的選擇。這種組標識是攻擊/失敗的單點，也 就是說，如果該組中的一個TS受到損害’則所有其他TS 也不能進行確認了。另一種選擇是使用按確定的頻率所 生成的或由RTR為每次確認所生成的短時確認標識，例如 ，每個啟動週期生成一個。 自主碟認是在假設TS的驗證已經完全在本地完成（即， 在該設備限制内，也就是以不依賴於外部實體的方式） 的基礎上，由外部確認:器隱性地完成對TS的破認的過程 。在這種情況下，在TS將允許與外部或其他操作進行進 一步的通訊嘗試之前，假設已經進行了成功的驗證。因 此，在這種情況下，假設驗證流程是絕對安全的，這是 囚馬沒項网外介杈供該驗證的任何直接證據。外界進布 如下假設：由於TS所進行規範和執行的方式，TCB將阻 驗證失敗的TS執行其__腎雜務，例如將 自身連接至_’或從遠端實體觀認證連接。自二 認將所有強制住務都放在Ts上。 ’ 自主確認向TS使用了封閉不變的系統模型，該模 上就是智慧卡中所用的信任模型。TS使用TCB來對自， 行驗證，結果是二進位的“成功，，或“失敗，，值身 認是隱性㈣L職私料財允許料^ 定交互，例如網路附屬。-個典型的例子是由智慧Γ 放認證秘密，例如密錄。 •、卡| 099106424

僅依賴以料衫在私㈣魏，並輯 動設備已成一㈣計料卜脉可 7 表單編號麵 第16頁/共⑽頁 破遣- 0 如 3liV7R〇r 201129129 的破壞。自主確認基本不傳遞高級安全需求的資^;特 別是，如果ts部分受損，則外部得不到任何關於其狀態 的資訊。因此，不能標纪出受損的設備，這就意味著在 被控制之前，外部還會繼續進行開發，而不會被注意並 不會對其他相關人（例如網路經營者）造成嚴重損宏。 根據失敗策略，可將自主確認實現為使驗證對特定條件 進行反應的方式’所述特定條件為例如不允許特定功能 ，或關閉設備進行重啟。這避免了網路連接，看起來有 優越性。但是，這同時對拒絕服務（DoS)攻擊又是一種 媒介。設備在受損狀態時必須不:連接_到”網路，因此幾乎 沒有機會恢復至安全狀態。遠端管理也很困難；特別是 由於可能向受損設備發送數值（軟體、秘密），因此在 軟體下載和安裝的過程中可能會造成安全性的損失。因 此，自主確認傾向於進行帶外維護。例知，TR軟體更新 的失敗可能會導致不能進行網路連接的狀態。 使用自主確認，證明資料的新鮮度是不能由其自身進行 保證的。為了滿足這種安全屬性，每次系統狀態發生變 化時，都需要自動進行自主碟認。由於自主確認在操作 期間，例如在網路附屬期間，發生得並不頻繁，因此TS 狀態可能會在T S操作期間以確認器觀察不到的方式發生 重大變化。因此，攻擊者會利用該間隙，例如植入惡意 軟體。自主確認非常可能受到這類定時攻擊。 在遠端確認中，確認器直接根據其所接收的用於驗證的 證據來評價TS的有效性。在這種情況下驗證只是被動的 ，並且必須向確認器發送完整的SML。這種情況的模型是 由認證啟動所進行的驗證和隨後的確認。所有策略決定 099106424 表單編號A0101 第Π頁/共169頁 0993197625-0 201129129 都位於破認器。 現有技術中用於確認的技術是遠端確認’特別是用於TCG 遠端證明的遠程確認。在遠端證明中’由TCG可信平台向 外部確認器顯示SML和PCR、由證明標識密鑰（AIK)簽 名的遠端證明的確認和驗證資料。該AIK是經PCA證明的 短時非對稱密鑰對，該PCA用作確認標識提供者。在遠端 證明中提供的偽名並不是在所有情況下都夠用。TCG額外 定義了根據零知識證明的直接匿名證明（DAA)。 由於遠端和自主確認是半自主確認所納入的多個選擇中 的極端情況’遠端確認也有其不足。由連端證明所表示 的遠端確認，由於其對連接至網路或服務的（中央）存 取點施加了用於確認的完全計算負載，因此其在調節度 和複雜度方面表現出了操作上的問題。特別是，對於類 似個人電腦這種具有大量各種版本和結構的軟體和硬體 元件的平台，確認SML的耗費很大。這同時還需要有巨大 的TRV資料庫，例如rim，其與基礎結構一起，來使相關 人能夠定義所需的TS目標配置。相同的原因還會遠端確 認對遠端管理（即配置的受控制的和確認改變）來講顯 得不夠實際的TS。此外，運行驗證期望進行遠端確認， 否則只能向確認器顯示啟動後的狀態。SML會在確認時“ 消失”。因此，如果之後不立即進行確認，運行驗證就 沒有意義，而確認需要非常頻繁地進行遠端確認。最終 ’由於所顯示的SML可能對TS幾乎是唯一的，因此複雜的 開玫TS的遠端確認只能向秘密性妥協，而不顧是否使用 PCA。類似的經濟上的原因是可能存在遠端證明所造成的 歧視，即，由於只有主要賣家最新版本的軟體才能進入 099106424 表單蝙號A0101 第18頁/共169頁 nc)c 201129129 TPV資料庫的威脅（例如RIM資料庫），因此使得其他程 式的使用者轉而使用這些軟體版本，或放棄服務連接。 可以通過修正遠端證明形式來減少一些缺陷，例如基於 語義或屬性的認證，其目的是展示元件特徵而不是具體 實施。 半自主確認是另一種在驗證期間評價了 s有效性的過程， 該評價是在該設備自身内本地地進行，而不依賴於外部 實體，且在驗證期間進行策略決定。但在這種情況下， 需要向確認器發送特定資訊，下面稱為“確認消息”， Ο 例如是驗證結果和所需證據，終#認器可以根據來自TS 的確認消息的内容來作出決定。必須對從TS至確認器的 信令進行保護’以提供認證、完整性和如果需要的話， 還有機密性。半自主確認的一種模型是安全啟動，之後 向確認器發送關於事件結構和TRV指示(如RIM)的信令。 半自主確認在TS和確認器之間分配驗證和強制任務。特 別是在安全啟動流程中，前者在載入元件時進行決定， Ο 而後者則根據所提，的狀態證據，在確認時強制TS所允 許的關於交互的決定。 半自主確認可以提供優於另兩種選擇的長處。其可能以 驗證時所用的RIM指示符的形式來更有效地傳輸確認資訊 。例如’當這種指示符表示—組具有相同功能和可信度 (例如版本）的元件時，這種方法還可用於保護隱私。 這與基於語義和屬性的認證類似，並且還可將半自主確 認與上述遠端確認的改進形式相結合。在對確認器部分 進行驗證過程中的強制執行所帶來的相互作用還提供對 TS進行遠端管理的選擇。 099106424 表單編號A0101 第19頁/共169頁 0993197625-0 201129129 在技術實現的過程中，可以使用修正來實現，以獲得“ 對由於完整性驗證失敗而沒能成功獲得網路存取許可的 AR (存取請求者）進行隔離和修正的支持”。理論上， 可如當前授權策略的定義，向AP提供所有最新的有關完 整性的資訊。其例子包括0S補丁、防病毒（AV)更新、 韌體升級和其他類似的軟體或韌體更新。實現遠端管理 的具體概念可能需要依賴能夠有效地表示和發送TRV資訊 (例如RIM資訊）的基礎結構，如本文對用於PVM的敘述 〇 非常需要在此處強調RIΜ證書在半自主確認中的角色。 RIM證書是由已經直接評價或藉由委託評價了相應TR的證 明機構所提供的。證明方法和實體可以是多樣的，並且 涉及不同的操作可信度級別。這使得半自助確認器更加 具有靈活性，其中所述半自助確認器獲得了關於TS更細 的資訊。如此所述，RIM證書被用作可支援對元件進行設 備接通（on-device)確認的資料的示例。儘管在此描 述的是基於RIM證書的SAV方法，但是也可使用其他SAV 變化。 對於資源受限的系統，半自主確認也是唯一可操作的確 認選擇，這時因為對於資源受限系統來講：a)其缺乏進 行自主確認所需的處理能力，和b)缺乏執行遠端確認所 需的眾多報告的記憶體和/或通訊能力。例如，在無線感 測器網路的上下文中，感測器節點同時受到這兩種限制 。在這些情況下，一種方法是向感測器發送記憶體探測 代碼，該感測器計算出靜態儲存内容（代碼和參數）的 摘要值，從而生成可預測的結果，該結果被發回基地台 099106424 表單編號A0101 第20頁/共169頁 0993197625-0 201129129 以用於確認。攻擊者顯然可以通過使用所存的原始儲存 内容生成正確結果來試著避開該“證明”。只要該攻擊 是在感測器本身上進行的，則該感測器會不可避免地產 生延遲，該延遲會由於隨機化、自修正探測路徑和混淆 方法而加強。因此，如果感測器應答中顯著的延遲超出 了預定閾值，則感測器失效。 在半自主確認中，在安全啟動期間内部評價H(e)NB的有 效性，而不依賴於外部實體，且在該評價期間作出策略 決定，特別是根據各個元件的所測量的的完整性來做出

關於載入/啟動哪些忠件和不載入/啟動哪些元件的策略 決定。在半自主確認中，向平台認證實體（PVE)發送評 價結果和所需證據’該平台認證實體根據確認消息的内 容自己進行決定。應當對向PVE發送的信令進行保護’以 提供認證、完整性和如果需要的話，還有新鮮度和機密 性。半自主確認在H(e)NB和外部確認實體（例如PVE) 之間分配完整性驗證和強制任務〇特別是在安全啟動過 程中，H(e)NB在元件載入/啟動時在本地作出決定’而 PVE可根據所提供的狀態證據’在料時強制進打關於 H(e)NB所允許的交互的決定。根據PVE的決定的結果’ 或者授予對網路和服務的全存取，或者<以提仏更夕又 099106424 f段，例如隔離網路存取和強制配置變化。 自主綠認非常重要 %可信環境（TrE)的可信實體對+目 a-個實施例中， 再於半自主確認的過程可以不同。私 钎對H(e)NB完整 3)NB可按第3圖所示的流程圖300執打 之前，H(e)NB的 々半自主確認。在執行設備認證過移 一 #件（例如啟動代 ζ首先對H(e)NB的特定的預先指疋凡 0993197625-0 表單編號A0101 第21頁/共I69頁 201129129 碼）的完整性進行檢查（ 305 )。之後，至少暫時地記錄 或儲存該完整性檢查結果（31〇)。這一步可在H(e)NB 啟動後，在認證的第一時刻（例如，為了設定安全回載 鏈結的目的）之前，由TrE自身自主啟動。可將其認為是 安全啟動’’ 。TrE通過強制僅將註冊元件載入和/或啟 動成完整性證實狀態，來確保H(e)NB的完整性。如果需 要重新評價所建立的信任（例如由於在之前成功的網路 連接會話後H(e)NB的配置發生了變化），則獲得這種完 整性證實啟動狀態的檢查可以以兩種方式重新發生。在 第一種情況中，可由frE自身自發地啟動該檢查。另一種 可由來自網路（例如，安全閘道（SeGW)或平台認證實 體（PVE))的請求啟動，該請求要求TrE之後完成。 之後TrE可檢查H(e)NB的剩餘部分的預定部分是否已經 達到女全啟動狀態（315)。該進一步檢查可以由TrE自 身來啟動，或由H(e)NB中的測量元件來啟動，該測量元 件在TrE外部，但由TrE進衧完整性保；護,(132())。在這 種後階段檢查中，只要對測量元件可括，則當以幻肋的 剩餘部分的其他元件、配L她載人或啟動、或在 其他預定運行事件時，就檢查它們的完整性。至少暫時 地記錄或儲存安全啟動檢查結果（325 )。較佳地，採用 = TrE或由其他方式的完整性保護（例如密錄雜漆值）所 提供的受保護的記憶體的方式來記錄安全啟動檢查結果 以及完整性檢查結果。 099106424 在進—步的方式中，除了在具有PVE協議中已提供的新鮮 度之外，可對結果（即單獨的測量結果）額外加上安全 時間印記以便為測量本身提供新鮮度和 表單編號A0101 第22頁/共169頁 重播保護。可以 0993197625-0 201129129 通過例如在應用雜湊功能前加上時間印記的值並之後將 該結果儲存在受保護的暫存器（例如pCR)中，來將時間 印記的值包括在測量值中，從而實現這種新鮮度資訊。 之後TrE對檢查結果騎處理，叫減查縣巾生成要 發送至PVE的確認消息（ 330 ) ^ _旦接收到的該消息， PVE便使用該消息來評價H(e)NB的信任狀態（ 335 )。在 一個處理實施方式中，TrE使用簽名密鑰簽發聲明，聲明 H(e)NB已通過自主確認檢查’該簽名密鑰受TrE保護並 從而保護了該聲明的完整性。該聲明還可包括可供pVE用 於對TrE對H (e) NB預定元件所執行的g整性檢查的狀態 或結果進行評價的證據，還可包括關;於自主確認檢查和 之後的設備認證過程之間的任何結合的證據。TrE也可對 該聲明加上時間印記以確保其新鮮度。這種簽名的聲明 .... ... 證明由TrE從重排序的資料或結果所獲得並發送至PVE的 消息是在安全啟動流程後來自H(e)NB的TrE的消息。對 於簽名的驗證，應當將確認結合至設備認證，或應使用 單獨的TrE標識。由於認為H(e)NB啟動配置的TrE自主檢 查的結果是可信的，因此該簽名通過增加某些可追溯性 而增加了純自主確認檢查的安全性。

TrE通過SeGW將所述簽名的聲明發送至PVE ’之後PVE可 使用該來自H(e)NB的簽名聲明’並決定是否允許H(e)NB 繼續進行認證（340 )。PVE可以以多種方式來使用簽名 的聲明中的資訊。在一個實施方式中’ PVE可以將TrE自 身的完整性與單獨的靜態配置進行核對，在核對失敗時 拒絕存取連接。在另一實施方式中’可將PVE配置為對存 取控制做出更細的判斷。特別是，這表明根據TrE内部或 099106424 表單編號A0101 第23頁/共169頁 0993197625-0 201129129 外部單個/多個元件的存在/不存在和完整性，可拒絕存 取。而在另一實施方式中，根據確認聲明中所包含的指 示，可將PVE配置為從可信第三方獲得關於H(e)_元件 的完整性和安全性屬性的資訊。這表明可將PVE配置為能 夠獲取有關設備上的元件的參考值（即確認資料）上的 資訊。之後，通過將確認資料與從設備所接收的資料進 行比較的過程，而得出有關元件實際完整性的資訊。PVE 不會直接從TTP獲取關於元件完整性的聲明’而僅從可以 比較報告值的TRV獲得。而在另一個實施方式中，可將 PVE配置為在允許存取前，進行配置變彳匕。這種修正過程 可包括強制的蚨體更新。 如上所述，TrE能夠生成叮信且精確的時間印記，並可使 用在其中或受其保護的密鑰進行簽名。在一個實施方式 中，當TRE執行本地自主設備完整性檢查時，外部確認器 可驗證“時間，，。這表示，在第一次或最後一次測量時 ，獲得一個時間印記。還可表彔，時間印迷應用在以PVE 運行協議時。還可表示，在每次測量中都包含時間印記 。所期望的“時間粒度”可指示使Λ哪種方式。在另一 實施方式中，可將TrE配置為插入兩個時間印記，一個在 TRE執行本地自主設備完整性檢查之前獲得，一個則在所 述完整性檢查之後獲得。這種一對的時間印記有效地“ 鎖定” 了本地自主設備完整性檢查實際發生時的時間範 圍，而通過在發送表示本地自主完整性檢查結果或過程 的資料的同時發送這種時間印記’ TrE可以使外部嫁認器 不僅能評價設備的完整性狀態’還能得知關於^^仙的 完整性是在何時和怎樣由TrE進行本地蜊量和驗證的時間 099106424 表單編號A0101 第24頁/共169頁 0993197625-0 201129129 歷史。這樣，根據時間1)獲得該聲明的時間（由第二個 ，即後一個時間印記所指示），以及當接收到該帶有時 間印記的確認消息時，確遇器自身的時間標記，和2 )進 行本地自主完整性檢查的時間（鎖定在兩個時間印記所 指示的兩個時間之間）’確認器便能夠使用其自身的“ 時間窗”，來判斷怎樣對其從TrE所接收的涉及設備完整 性狀態的簽名聲明進行處理。 可以通過此處所述的PVM方法、裝置和結構，來使用PVM ，從而實現此處所述的策略和方法。PVM通常在活動實體 間使用最大任務分隔。該方法清楚地定義了在平台認證 和管理過程中所涉及的每個實體的活動區域^ PVM方法的 優點在於：1 )可以分別為每妇實體的效能最佳化處理； 2)具有PVM的設備可不同時運行（有限制）；3)目前對 於所涉及的網路實體來講，PVM方法可無國家區別地操作 ;4 )可單獨對實體進行維護和管理；和5 )更容易進行 備份和故障恢復。特別是’對於有效地執行設備的碟認 和遠端管理來講，性能和可用性是必要的。在具體情況 中’會存在設備元件大量更新尚事件，或大量設備變更 所選的歸屬經營者（SH0)。可將PVM結構配置為由單個 經營者（通常為SH0)對一個設備執行確認和管理。作為 例外，如此處所述’ PVM的特殊變化可能會對漫遊存取和 經營者變化產生影響。 部分依賴於來自可信計算的安全技術，當PVM首次嘗試連 接至通訊網及之後對設備完整性進行監視時，PVM提供了 系統的方法來對設備進行確認和管理。PVM可提供：1 ) 在網路連接前對設備的確認；2)以無線方式（〇tA)管 099106424 表單編號A0101 第25頁/共169頁 0993197625-0 201129129 理設備配置；3)通過在載入/啟動元件上檢查TRV (例如 RIM)來實現安全啟動；和4)為配置改變而在設備上安 裝新TRV (例如，rim )--TRV獲取（ingest ion )。 在此處所述的PVM的示例實施方式中，對其所確認的確認 設備和網路進行以下技術上的假設和預處理。對於網路 ，首先假設所有實體都作為相同核心網路（CN)的一部 分由同一個的行動網路經營者（ΜΝ0)來進行操作。因此 ，在這些實體之間不會因為要建立頻道和實際通訊而需 要進行額外安全保護（例如，相互認證、消息的完整性 保護、加密）。在需要時r如果為特別用途，還會描述 額外的安全特徵。不管怎樣PVM的適用範圍可擴展至這 些實例’這是因為該PVM方法可由MN0的CN以外的實體， 甚至是由ΜΝ0以外的另一方所管理的實體進行使用。 對於設備’設備可有多種風格和多個名稱。PVM可用於演 進型通用行動電信系統（UMTS)陸地無線電存取網路（ E-UTRAN)的H(e)MB和機機器（M2M)設備，還可 用於多種其他滿足特定前提條件的網路設備。這些前提 條件基本與可信系統（TS)的相同。當使用PVM時，各個 設備被配置為實現PVM方法，從而成為PVM設備。 作為確認過程的前提條件，確認需要有標識，設備可對 該標識進行認證。需要該認證來保護PVM基礎結構不受到 特定假冒設備的攻擊，並且不能把該認證與設備向CN的 認證（該認證在確認後，或與確認過程一起發生）相混 淆。這表明，只有在PVM認證了設備標識後，該設備才被 PVM允許，從而避免了能夠執行PVM協定的未知設備對 PVM系統施加例如d〇S攻擊。 099106424 表單編號A0101 第26頁/共169頁 0993197625-0 201129129 為了 PVM的目& ^ 曰的’右設備標識Dev_ID是設備中與可信環 & (TrE)、通用積體電路卡（UICC)或智慧卡、或是設 備本身（例如H(e)NB)相結合的標識，都沒有關係。假 設該設備能夠安全地管理與Dev_ .ID有關的認證證書，從 而月b夠對進行認證。該Dev_ID可以是正式功能變 S名稱（FQDN)、統—資源識別字（URI)、統-資源定 位符（URI)、統一資源名（uRN)、媒介存取控制（ MAC)位址（例如擴展的唯一識別字（EUI-48)，EUI- Ο 64)、IPv4或ιΡν6位址、包含子網位址的ιρν6主機識別 字（例如64LSBs)、國膝_動設備標識（IMEI)、 IMEISV (例如gsm/umts)、電子序列號（ESN)、行動 設備識別字（MEID)(例wcdma)、國際行動使用者標 識（IMSI)、臨時行動使用者標識（TMSI)(當由於使 用者和設備間1 : 1的映射而可由使用者標識出設備時）

、IMS使用者id (例如ip多媒體個人標識（IMPI) *IMS 使用者公共標識（IMPU)) '行動站集成服務數位網路 (MSISDN) ’或任柯其他任何字母數位形式或機器可讀 格式的識別字’該識別字能夠對例如每個經營者實現唯 一的（例如全球或至少域内唯一的）可靠和明破的對單 個設備的標識。 該設備可具有值得信任的TrE。可在安全啟動流程中，從 不可變信任根（R〇T)構建設備中的TrE。該TrE提供了 安全的執行環境和其他基本的受保護的性能。該TrE可以 是受管理的元件，例如可變的，這樣只有R〇T保持不變。 從可信計算的角度來看’可將TrE看做TCB，該TCB由一 些安全執行環境和特定受保護介面所擴展的TPM或MTM構 099106424 表單編號A0101 第27頁/共169頁 0993197625-0 201129129 建而得。作為從TPM或MTM所構建的TCB的TrE屬於非限制 性的示例，其他信任實施方式同樣適用。 對於PVM，TrE提供了能夠無條件可信的TCB。但是，作 為傳統可信計算的變化方式，由TrE所構建的TCB在pvM 中不是不變的。這是因為在PVM中，TrE及其在設備中的 周圍環境都是不同的。將關於這兩部分專門的不同的 貢訊發送至基礎結構，並根據不同策略使用該資訊對其 進行確認和管理。TrE是PVM基礎結構最主要的通訊方， 並被認為能正確執行與PVM有關的任務。 H(e)NB和TrE可以在啟動時，在連接至核心網路之前或 H(e)NB連接至H(e)NB管理系統（HMS)之前，執行設備 兀整性檢查。該設備完整性檢查可以基於一個或多個可 信參考值和TrE。可以要求TrE每次都安圣地儲存所有可 信參考值。可要求TrE安全地啟動。還可要求TrE支援單 元件或多元件完整性檢查。 在單元件完整性檢查中，可要求^^!；為作為單元件的設備 的可信操作載入所需的完全代碼。在啟動該元件前，可 要求TrE來執行完整性檢查(例如通過將該元件的加密雜 湊測量與所儲存的可信參考值相比較）以確定該元件的 完整性。如果該單元件通過了其完整性檢查，則可啟動 該凡件°如果完整性檢查失敗，則不能啟動該元件。 在多兀件完整性檢查中，可根據設備功能而對用於該設 備可信操作所需的設備完全編碼基底進行分割，並按順 序放入多個元件中。可要求TrE按順序載入每個元件，並 在啟動任何一個元件前，可要求TrE執行完整性檢查（例 如通過將該元件的加密雜湊測量與所儲存的可信參考值 099106424 表單編號a_ 第28頁/共169頁 09! 201129129 相比較）以破定該元件的完整性。如果個別的元件通過 了其完整性檢查’則可啟動該元件，且TrE可繼續對下— 個元件進行完整性檢查。如果任何一個元件的完整性檢 查失敗，則不能啟動該元件，但TrE可以繼續檢查下一個 元件的完整性*

對於元件完整性檢查中的每一種，可以要求TrE從安全記 憶體中查找相應的可信參考值並將完整性測量與可信參 考值進行比較，其中該安全記憶體對TRV提供完整性保護 。該安全記憶體包括但不限於TrE的受保護記憶體。如果 該設備可信操作所需的所有元件都經過驗證了，則該設 備的完整性就經過驗證了。

Q 對於安全啟動，通過構建信任鏈，安全啟動流程在幾個 步驟中從RoT進入全功能狀態。第4圖表示了四階段安全 啟動方法400的示例流程圖。在階段1，在安全啟動中從 RoT 405構建TrE 410。所有載入或啟動的元件都要經過 驗證，並且只有通過了驗證的=元件才能載入和啟動。只 有階段1成功時’.才控_TrE 410執行安全啟動的階段2 Ο ：：>:； : ϋ ：；i ...... 在階段2中，TrE 410進一步對執行pvm所必需的元件進 行驗證、載入和啟動。例如，這可以包括通訊和協議堆 疊及無線電存取網（RAN)通訊模組。所有載入和啟動的 元件都需要經過驗證，且只有通過驗證的元件才能載入 和啟動。 只有階段2成功時，才啟動安全啟動的階段3 ^在階段仏 中，TrE 410進一步驗證、載入和啟動元件。只有通過了 驗證的元件才能載入和啟動。在階段3b中，TrE測量和載 099106424 表單編號A0101 第29頁/共169頁 nQq 201129129 入更多的元件。 假定對元件進行驗證是通過獲得其挪量值（415所示）、 並將該測量值與儲存在RIM記憶體42〇中的rim進行比較 ( 425所示）而完成的。如圖所示，第4圖包含rim記憶體 作為示例或實施方式。但是’如本文所述，RIM和㈣證 書只是結構資料的—個示例方式，也可使用其他方式的 結構資料。此處的描述允許使射如相方式和實施方 式的結構相資料。認為所有賴中的載人順序是由本 地可用列表所管理的。假定3a#a3b中元件之間的區別是 由本地可用策略所管理的。可選地，可將載入和驗證合 併在一個階段中。 在第4圖中’使用術語“TrE”來描述包含了 功能所需 的最少功能的實體’該實體包括所有安全啟動所需的功 能’例如測量415、謹儲存、將_與實際測量進布 比較的驗證引擎425。顯然，這裏對Μ的描述是為了簡 潔，而TrE可以更複雜，並包括其他元件，例如密錄生成 器或亂數生成器（RNG)，示的TrE可以包括實現安全 啟動所需的所有功能。可在偷卜#儲存_，由^ 保護其完整性和（可選地）機密性。用於測量和驗 引擎也可作為TrE的外部元件來實現。之後Μ可確保這 些元件的完龜，並提供安全操作環境，使得這些 不被修改。 099106424 在階段3中可能會因策略不同而有更精細的粒度。例如， 如果元件的驗證失敗或RIM不可用，則可將該元件載入至 沙箱（sandbox)環境中。可將階段心和朴之間的區別 與行動電話工作組（MPWG)參考結構的安全啟動 表單編號A0101 第30頁/共169頁 201129129 信服務和測量服務之間的區別進行類比。 可為“使用者空間”中沒有通過驗證的元件增加第四階 段。 在階段2中單個或多個元件（通訊模組或其他類似模組） 的失敗並不表明該設備不能進行通訊。可將該階段理解 為屬於特定種類的元件類型。只要載入了階段2的最基本 的元件，設備就能將其狀態和失敗元件發送給PVM系統。 這樣的設計使得如果一些元件的内部驗證失敗’該設備 也能執行PVM(以及修正過程），而不需重啟。

在另一實施方式中’當在安全啟動期間檢測到攻擊時， 可使用回落編碼基底（FBC)來使設備執行PVM。該設備 會在檢測到攻擊時使用FBC進行重啟，之後進入能修正設 備的預定狀態。

在安全啟動期間’ TrE記錄並保護以下資訊不受到篡改： i)所載入的元件的列表（Clist) ; 2)所載入的元件的 參數；3)與一些或全部元件相關的測量僅i ;和4)對一 些或全部測量值的結果（例如，'台狀態）進行的唯一標 δ己（例如加密）的驗證資料。根據P V Μ所用的確認方法’ 一些或全部記錄是可選的。例如’自主碟認（AuV )都不 使用。 pVM可使用以下術語。術語“驗證”可用於表示安全啟動 期間設備元件内部的驗證，而術語“確認”用於表示由 外部實體進行的設備檢查過程。從而避免了引入“内部 ”確認和“外部”確認的概念。驗證是按通常意義的加 密檢查或資料匹配來進行的’此處明確指出以避免產生 混淆。 099106424 表單編號A0101 第31頁/共169頁 0993197625-0 201129129 PVM至少使用安全閘道（SeGW)、平台認證實體（PVE) 和設備管理服務（DMS)。由於由設備中的TrE來執行設 備内部的確認重要任務’因此通常由該TrE與其他實體進 行通訊。雖然此處通訊所需的其他設備元件（例如網路 介面）並不一定是TrE的集成部分，但是TrE應當能夠評 價這些元件的完整性以確保端對端的安全。 對任務的嚴格分隔要求每個實體都限制在其核心任務之 内。例如，SeGW在（不）可信設備與ΜΝ0的CN之間建立 安全介面。其用作ΜΝ0的CN的屏障和網路存取控制及強制 實例。其同時還執行作為屏障所需的所有安全相關功能 ’包括認證、對與設備的通訊的加密/解密、安全性關聯 和會話建立。可將SeGW用作能夠在ΜΝ0的CN與外部世界 (例如外部設備）之間建立邊界的網路實體的實例。也 能不用SeGW，而使用PVM方法來進行設備峰認。為此需要 使用安全連接將設備直接連接至DMS，該安全連接例如是 傳輸層安全性（TLS)。 對於PVE，其用作CN中的確認實齄，並執行完整性確認。 其接收完整性驗證資料，ii檢查所報告的值是否已知並 良好。其向CN中的其他實體發佈關於設備完整性的聲明 〇 對於DMS，其用作用於管理設備元件的中心實體，包括軟 體更新、配置變化、0ΤΑ管理和失敗模式修正。dms通過 基於平台認證而實現該功能，而與HMS的增強型版本相類 似。 除上述實體以外’PVM還包括RIM管理器（RiMman)。 RIMman執行以下功能，包括：為在確認中進行比較而管 099106424 0993197625-0 表單編號A0101 第32頁/共169頁 201129129 理和提供可信參考資料和TRV。其還管理證書，特別是獲 得外部RIΜ證書、驗證RIΜ證書、生成（經營者專用的） RIM證書，並通過例如撤銷、時間限制和信任關係等手段 來檢查證書有效性。也就是說，RIM管理器是唯一被授權 管理確認資料庫（V_DB)的實體。該V_DB和RIMman受到 CN元件保護。對V_DB的寫入存取僅受到RIMman的限制， 因此PVE不能寫aV_DB。RIMman對安全有特殊的重要意 義，因為其管理著PVM所需的（SH0-CN)外部信任關係 。如此所述，RIMman是一種實施方式，其可擴展為包含 其他實施方式的用於（分級）結構資料的參考值和證明 參考值的管理器。 PVM還包括配置策略管理器（CPman)，用於執行設備配 置的管理和提供。其還管理策略，特別是外部（例如從 可信第三方（TTP)獲得的）配置和策略，和生成（經營 者專用的）目標設備配置和策略。也就是說，CPman是唯 一一個被授權管理配置策略資料庫C_DB的實體。該 CPman對安全有特殊的重要意義，因為其管理PVM所需的 (SH0-CN)外部信任關係。 第5A圖和第5B圖顯示了 PVM的最小實體集合、其相互關係 和介面的示例。還顯示出其他實體，例如認證授權和計 費（AAA)伺服器和無線傳輸/接收單元（WTRU)及其介 面。 第5A圖的PVM結構或系統500包括設備505，該設備505具 有TrE 510°WTRU 512可以通過I-ue介面514與設備 505進行通訊。設備505通過I-h介面515與SeGW 520進 行通訊。通常，設備505與SeGW 520之間的介面I-h 099106424 表單編號A0101 第33頁/共169頁 0993197625-0 201129129 515不需要保護，可以採取特別措施來保護該頻道的真實 性、完整性和可選的機密性。可以使用丨—h 515來建立設.

備505與SeGW 520之間的鏈路（從而建立與cn之間的鏈 路）。例如，SeGW 520可以通過I-aaa介面575來與AAA 伺服器進行通訊。經營者可以採用適當措施來保證介面 的安全。

在破認期間，SeGW 520可以使用I-pve介面522來聯繫 PVE 524 °PVE 524可以使用I-pve介面522來將確認結 果發送給SeGW 520。可使用I-dms介面530來進行在DMS f 535和SeGW 520之間的涉及設備配置的通訊βρνΕ 524 可使用I-pd介面532來與DMS 535進行通訊，反之亦然。 可在設備管理過程期間使用介面I-pd 532，來用於例如 設備軟體更新和配置變化。 PVE 520 可使用介面 I-v 526 和 I-d 538 來從 V_DB 540 讀取RIM，而MS 535可使用上述介面從C_DB 550讀取 所允許的配置。在例M中發生β:ϊΜ丟失的情況 下，PVE 520可使用介面I-r 528和I^c 534來與RIM-man 560進行通訊，而DMS 535則可使用上述介面與CP-man 570進行通訊。RlMman 560和CPman 570可使用介 面I-rdb 562和I-cdb 572來分別讀取、寫入和管理資 料庫V_DB 540的確認和配置策略資料庫C_DB 550。 第5B圖顯示了 PVM 582,其中設備505可直接連接至DMS 535。例如，是在回落模式的情況下，設備505在該模式 中不能與SeGW執行安全性協議。在這種情況下’ DMS 535可通過介面I-dms_d 584作為設備505的第一連接點 ，並通過介面I-pve 586和I-pd 588與PVE 524進行通 099106424 表單編號A0101 第34頁/共169頁 0993197625-0 訊以執行確認，或者至少獲知在安全啟動期間是哪些元 件失敗了。DMS 535可在收到該資訊後立即進行修正。 通常，各個元件，例如包括TrE 510的設備505、SeGW 520、PVE 524和DMS 535都較佳地被配置為在處於活動 狀態的實體之間使用PVM最大類型的任務分隔的方法。如 下詳細描述的，這可通過使用PVM權杖在各個實體之間傳 遞特定資訊來實現。 如此處所述，PVM可使用各種版本的確認。此處所述的是 與PVM —起操作的半自主確認（SAV)。在本實施方式中 ’設備包含TrE和R〇T，m且能夠進行安全啟動。該設備 :，： ：:、：: 具有RIM ’該RIM能夠實現對TrE元件和TrE；外部元件進行 本地確認。在本實施方式中，該設備可以是H(e)NB。如 此所述，RIΜ只是結構資料的一種形式和.示例，其在此用 作非限制性的示例。 該設備可通過3個階段執行安全啟動，確保在並且只在所 要載入的元件的本地確認成功時才載入每_元件。在階 段1中，通過依賴於RoT的安全啟來載入TrE。在階段2中 ，載入TrE外部的所有執行基本通氰所需的元件。在階段 3中，載入所有剩餘的設備元件。 之後，該設備可與SeGW開始進行網路認證。在認證期間 ’發送以下資料中的一個或多個：Dev_iD ;設備的安全 策略；關於在安全啟動期間已由TrE檢查了完整性的設備 模組的資訊；硬體/軟體構建版本號；設備製造商；模型 和版本號；設備和TrE的證明信息；以及TrE能力和屬性 〇 可使用不同選擇來將該資料發送至pVE (通過SeGW)。可 表單編號A0101 第35頁/共169頁 0993197625-0 201129129 在網際網路密鑰交換版本2 (ΙΚΕν2)認證協議的通知欄 位發送該資料，並在之後由SeGW轉發給PVE。之後PVE對 所接收的資訊進行檢查。PVE檢查Dev_ID是否列在黑名 單中，如果是，則拒絕存取。其檢查安全策略是否與該 設備所需的策略不匹配。如果不匹配，則可執行修正步 驟。PVE可檢查是否載入了未標記的/不想要的模組和元 件。 在上述每個檢查中，如果得到指出設備TS的驗證失敗的 肯定回答，則PVE可拒絕或限制（例如，隔離受限的使用 或資源）對該設備進行網路連接。PVE向SeGW發送關於對 該設備的有效性和可信度的決定的消息。SeGW根據該消 息進行操作。 在第一種方式中，將資料儲存在可信第三方（TTP)，由 設備發送對TTP的指標，PVE可從其中獲得所需資訊。可 在IKEv2的通知負載中發送該指標。 在第二種方式中，只要所有資料是靜態的，就可在認證 期間將其包括在（可能是增強的）設備證書中。元件的 任何更新都會使測量值產生變化，因此，安全啟動中所 用的RIM會需要新的設備證書。 此處所述的實施方式是與PVM進行操作的遠端確認或半自 主確認（F-SAV)。在階段1中，可在安全啟動期間從 RoT構建TrE。TrE的所有元件都可以是經完整性驗證的 ，並在驗證成功時載入。在階段2中，TrE可對設備剩餘 部分的預定部分的完整性進行驗證，並載入。進行完整 性檢查的代碼可包括例如基礎0 S、與S e G W的基礎通訊和 格式化（format)執行PVM報告消息的代碼。可將測量 099106424 表單編號A0101 第36頁/共169頁 0993197625-0 値儲存在TrE的安全記憶體中。 如果階段1或階段2的檢查失敗，貝i!TrE可停止進行認證。 如果階段1和階段2都成功了，則可以進行階段3。例如， 可對例如包括無線電存取碼的設備剩餘模組代碼進行完 整性檢查’但可不載入◊可以準備確認資料，並在合適 的通訊協定中將確認資料發送至SeGW。該資料可由例如 TrE所存的密鑰進行簽名，以提供該資料的真實性和完整 性。該資料可包括完整性檢查失敗的階段3模組的列表。 可使用IKEv2 AUTH_REQ消息的通知負載來發送該資料。 除由IKE安全關聯所提最的對整個消息的保護以外，還可 由TrE的簽名密鑰對通知負載中的資料進行簽名，以提供 該資料的真實性和完整性。該通知負載可包括完整性檢 查失敗的階段3模組的列表。可以使用合適的iKEv2消息 的任何其他合適的負載或欄位、或除IKEv2協定以外任何 合適的協定（例如是TLS、TR069、OMA-DM、HTTP、 HTTPS或其他類似協定）的消息的其他合適的負載或欄位 來發送該確認資料。

SeGW可將資料轉發至PVE進行判斷。認證過程可繼續進行 ，但是對網路連接授權的決定可一直等到PVE已經檢查了 確認消息，並且做出或獲得關於被報告為確認測試失敗 的模組的基於網路的策略決定。 在第三種方式中，與測量和執行所述代碼不同，可以在 不載入所述代碼的情況下載入所述代碼的測量和完整性 檢查。SeGW可將該確認消息轉發至PVE，PVE可對所接收 的列表進行確認。當設備從PVE接收到成功確認的結果時 ，就可以載入剩餘的階段3模組。 表單編號A0101 第37頁/共169頁 〇99: 201129129 測量完整性和等待pVE以決定是否執行代碼的過裎，可以 包括假設一旦代碼經過測量就不再發生變化且如果pVE對 其授權則可執行該代碼。因此’可包括用於階段3中的所 有元件代碼的安全記憶體。另外，執行環境可支持授權 執行，該授權執行允許先載入代碼，在授權後再執行該 代碼。可能會載入大量代碼，因此安全記憶體和執行環 境應當具有足夠大小。 F-SAV可向CN提供靈活性以獲知在“本地完整性檢查，，中 的實際情況。設備可發送關於階段1和2中代碼通過/失敗 的指示，以及可選的，如果存在失敗模組的話，還可發 送失敗模組的列表。F-SAV可對設備安全屬性和確認測量 提供更細的粒度和更清楚地認識，可對受攻擊的設備提 供更快更好的檢測，可為受攻擊的設備支援由網路發起 的修正，並且可在設備安全管理中為經營者提供靈活性

TrE也可以在消息中加入時間印記以確保新鮮度。時間印 記的替代做法是由網路提供臨時用法（n〇nce)，了巧在 網路存取協定啟動後，將該臨時均法合併至前述消息中 。這也是將設備認證與確認進行結合的特徵。 認證失敗修正可以是在例如階段丨或階段2的完整性檢查 首次失敗後啟動回落模式，從而使設備具備足夠的功能 性來連接至SeGW，以向其通知失敗。這之後會觸發操作 和維濩（OAM)過程，以允許設餚軟體根據診斷進行更新 °亥回落模式需要具有足夠的功能性，以在Tr£的監控下 099106424 ’以安全的方式實現代碼的完全重建。 在第一種方式中，可在IKEv2 AUTH一ReqUest的通知欄 表單編號A0101 第38頁/共169頁 0993197625-0 位中發送測量消息資料（與設備證明一起）。在第二種 方式中，可在啟動基SIKEv2的設備認證之前’由適當的 安全協定來發送該測量消息資料。在第三種方式中，如 果階段1或2的任何部分的檢查失敗’且如果失敗的模組 是對設備基本功能不重要的輔助功能，則可使設備繼續 進行/附屬，而不載入這些模組。同時’可安排進行一些 OAM流程以更新設備軟體。 此處所述是對所有相關實體中的功能的高度概括。描述 了 H(e)NB設備的系統結構，在這種結構中確認和遠端管 理扮演重要的角色。所述方法可直接用於Η(e)NB網路結 構中的實體。通過使用更通用的方法，以及根據任務分 隔的角色定義，此處用於平台認證和管理的方法可以报 容易地用於或擴展至其他網路連接設備。如果實體根據 其功能進行映射，則可以類似的方式在其他環境（例如 M2M)中實現。 在此處描述PVM功能的實施方式中’使用了 SAV。SAV能 夠保護CN完全避免免遭惡意設備的攻擊。在SAV中，可由 SeGW有效地建立隔離網路。由於只接收限制在其任務之 内的資料，且只通過與SeGW的或由SeGW所建立的安全連 接進行接收，因此對PVE和DSM沒有直接來自設備的攻擊 。執行PVM中的確認過程不需要在設備與CN的任何實體之 間直接通訊。只有在使用SAV的確認成功後，才允許對CN 進行連接。這就確保了只有在證實安全狀態的設備才能 與CN中的實體通訊。 第6A圖、第6B圖和第6C圖表示了使用PVM基礎結構的SAV 確認方法的示例。PVM基礎結構包括此處所述的實體，包 表單編號A0101 第39頁/共169頁 〇99 201129129 括TrE 605 、 SeGW 607 、 PVE 609 、 DMS 611 、 V_DB 613和C__DB 615。在相互認證後（62〇)，TrE 605收集 以下資料中的一些或全部：設備資訊——例如Dev_ID、 製造商、設備能力（包括但不限於通訊能力（例如支援 的育料速率）'發送功率等級、信令特徵和其他能力） 、TrE能力和屬性（包括R〇T) ;TrE資訊（

TrE_infomation > TrE_info)--包括 ID ' 證明信息 、製造商、構建版本和模型、構成、序列號；驗證資料 包括平台配置暫存器（PCR)值；驗證結合一一例如 PCR值上的簽名；元件指示符(eind) _元件nist有序 列表，還可包括元件參數；時間印記（可信或不可信） (622) »從TrE 605發送至SeGW 607的確認消息/資料 可以包括上述曰期（624)。

SeGW 607將所接收的時間印記與本地時間進行檢查/比 較，以檢測變化（ 626 )。如果所報告的時間印記與本地 時間不一致，則SeGW根據_報喝·蝻時間印記的屬性來進 行操作。如果設備的時間印記是可信時間印記，並且出 現了變化，則SeGW 6070應當觸發對TrE及其可信時間源 的再次確認。在不可信時間印記的情況下，SeGW 6〇7將 其自身的可信時間印記添加在消息上。如果設備不能提 供可信時間印記，則可由SeGW 6〇7添加可信時間印記， 以提供對重播攻擊的防護。 099106424 當接收到該消息時，SeGW 607可檢查是否存在驗證結合 ( 628 )。這確保了驗證資料的真實性。之後，SeGw 607創建PVM權杖（T—PVM) (63〇)，並在發送前向該 T-PVM添加時間印記，以確保其新鮮度，並防止非同步消 0993197625-0 表單編號A0101 第40頁/共169頁 息流（6 3 2 )。

SeGW 607將1'_?乂^1 轉發至PVE 609 ( 634 )，該PVE 609 依序使用TrE資訊查詢（636) V_DB 613 ◊如果向PVE 609返回不可信的判斷（ 638 )，貝1施加時間 印記（ 640 )，並將其轉發至SeGW 607 ( 642 )。之後，

SeGW 607停止設備認證，阻止了設備附屬到網路，並向 TrE 605 ( 644 )發出警報。 如果向PVE 609返回可信判斷（ 646 )，則PVE使用 Dev_ID查詢C—DBC648)，該C_DB隨即向PVE 609返回 配置策略（ 650 ) "PVE 609評镡該策略配置（ 652 )。 如果PVE 609判斷該配置不可信（654)，則PVE 609修 改1'_?乂1«並添加時間印記（ 656 )。之後，PVE 609將該 T_PVM轉發至SeGW 607 ( 658 ) ’該SeGff隨即停止設備 認證’阻止設備附屬到網路，並向TrE 605 (660)發出 警報。 如果PVE 609判斷該配置可信，並且允許該配置（ 662 ) ，則PVE 609從V-DB 613 ( 664 )中檢索出用於Clist或 C_List中所有項的RIM〇PVE 609從RIM( 666 )中重新 計算出正確的驗證資料，並將所計算的驗證資料與所報 告的驗證資料進行比較（ 668 )。之後，PVE 609修改 T_PVM，並施加時間印記（ 670 )。之後PVE 609將該 T一PVM轉發至SeGW 607 ( 672 )。SeGW 607在該V_PVM 中檢查（或從該1'_?丫^!中獲得）PVE確認結果（ 674)。

SeGW 607將對設備認證是拒絕還是同意發送到TrE 605 ( 676 )。如果PVE確認結果是拒絕，則TrE 605執行重 啟並進行重新確認（ 690 )。 表單編號A0101 第41頁/共’169頁 0993197625-0 201129129 可選地，在PVE 609對所計算的驗證資料與所報告的驗證 資料進行比較之後（668) ，PVE 609可向DMS 611發送 失敗元件列表（ 678 )。由DMS 611來判斷是否能夠進行 更新（ 680 )，如果是的話，則準備0TA更新（682 )。 還由DMS 611來確保在乂_仙613中存在用於更新的RIM (684 )。1)1^611向56〇16〇7(686)發送帶有重新確 認指示&T_PVM ’並向TrE 605發送重新確認觸發（688 )°TrE 605執行重啟並進行重新確認（ 690 )。

現在描述關於第6A圖、第6B圖和第6C圖的過程的細節。 為了執行平台認證，TrE要收集以下資料，將其包括在確 認消息中，並將消息發送至SeGW :設備資訊——例如 Dev_ID、製造商、TrE能力和屬性（包括RoT) ; TrE資 訊——包括ID、證明信息、製造商、構建版本和可選的 模型、結構、序列號；驗證資料--可包括平台配置暫 存器（PCR)值或簡單的包括在本地驗證中失敗的元件的 列表或受本地驗證失敗的元件影餐的功魏列表；驗證結 合--例如通過PCR值的簽名或失敗元件或受影響功能的

列表；元件指示符（CInd)-元件Clist有序列表，還可 包括元件參數；以及時間印記（可信或不可信的）。 所述指示符-元件有序列表及其參數可以包含例如以下資 料欄位的項：索引、元件指示符 (compon- ent_indicator) CInd、元件參數（(：〇叩〇11_ ent_parameters)。CInd提供了對元件的參考，其可 以是URN形式的（例如urn : / /vendor, path, to/component/certificate)。元件 列表可以通過例如指向RIM證書、RIMc來指示用於確認的 099106424 表單編號A0101 第42頁/共169頁 0993197625-0 201129129 RIM。 在設備中，確認消息可以額外包括設備資訊——例如ID 、證明信息、製造商、模型、版本、結構、序列號、TrE 性能和屬性（包括R〇T)、在階段（1、2、3)進行了完 整性檢查的設備的安全策略和模組、硬體（HW)構建版 本號，並且可以包括軟體（SW)版本號和完整性測量資 料。

如果需要TrE特定資訊，則該TrE特定資訊可以是怎樣在 設備中實現TrE的描述。同樣地，TrE資訊可提供關於設 備的資訊和關於可信環境的分隔資訊，例如，TrE是否是 經認證的IP元件。因此設備的證明機構可以是有用資訊 〇 儘管對SAV較佳地採用使用RIM進行確認的方法，但其完 全是可選的。其在此用作基本例子，其他方式可與此不 同。例如，有的確認方式不從RIM重新計算驗證資料，有 的甚至執行PVM時完全不需要RIM。

如果確認資訊與認證結合（例如通過安全頻道），則驗 證結合也是可選的。

SeGW會對所接收的時間印記與本地時間進行檢查/比較， 以檢測差異。如果所報告的時間印記與本地時間不符， 則SeGW根據所報告的時間印記的屬性來進行操作。如果 設備的時間印記是可信時間印記，並出現差異，則SeGW 會觸發對TrE及其可信時間源的重新確認。在不可信時間 印記的情況下，SeGW將其自身的可信時間印記施加在消 息上。如果設備不能提供可信時間印記，則SeGW可添加 可信時間印記，作為對重播攻擊的防護。 099106424 表單編號A0101 第43頁/共169頁 0993197625-0 201129129 設備資訊和TrE資訊是可選的。Dev_ID提供對設備資訊 和TrE資訊的參考。由於並不是所有MN〇都知道會連接至 網路的設備以及所有的TrE，因此，可由資料庫來提供所 有TrE資訊資料’例如映射，該資料庫可由mN〇查詢，以 獲取任一特定Dev—ID的TrE資訊。TrE資訊可位於 TrE_Certificate 中。該TrE 一 certificate應由 TrE 或 TTP的賣方簽名。 在第一種方式中，如果確認消息中沒有驗證資料/結合， 則可以簡單的方式來執行PVM。只有驗證了 TrE的屬性時 才能這樣操作。策略判斷必須只依賴於TrE資訊和元件列 表。 這種方式的則提是在S e G W和設備之間進行相互認證。否 則，如果例如設備改變經營者，則會發生信任問題。例 如’其可能之前在遠端管理過程中’從假冒^(^…⑽處 接收了假冒RIΜ。 使用URN作為對元件的指示符是有娜處龜，：這是因為其使 用唯一標識同時表示了元件和考獲禕RIM或RIM證書的位 置。 在設備確認期間，設備向SeGW發送確認消息。當接收到 該消息，SeGW檢查是否存在驗證結合。該步驟確保了驗 證資料的真實性。之後，SeGW創建PVM權杖（T_PVM)。 該權杖T—PVM可用作權杖環（r〇liing token)，在通 訊中從一個實體發送至另一個實體。每個實體都在發送 該權杖前向其添加時間印記’以確保其新鮮度，並防止 非同步消息流。權杖上的時間印記可提供用於跟蹤權杖 099106424 狀態的方法。該權杖在CN中從一 表單編號A0101 第44頁/共169頁 個實體傳遞至另一個實 0993197625-0 體’甚至好幾圈，因此彳由實體追蹤。 可選地，可在載入了時間印記的資料的鏈中加入實體ID 〇 T_PVM可包括Dev_ID。如果原始時間印記不存在或不可 信，則T_PVM還可包含由SeGW所發佈的新的時間印記。 或者，T_PVM可包含來自確認消息的原始時間印記。 可以使用時間印記來防護重播攻擊。該攻擊可與臨時用 法或單增計數器相結合，或甚至由其替代。還可使用時 間印記來評價確認資料的新鮮度。最好將上述兩種目的 相結合，並且這也是可由時間印記提供的。 假設SeGW、PVE和DMS之間的所有通訊對於完整性 '真實 性和機密性來說都是安全的。因此’對於任何内部消息 ，都不採取強制措施來建立這些安全屬性。但是，如果 需要的話，也可以採用適當措施來保護整個或部分消息 。這些措施可以包括加密通訊頻道、相互認證和消息上 的簽名。SeGW維護權杖資料庫^^⑽’該資料庫中包含所 有處於活動狀態的T_PVM。 在第一種方式中，為了之後由DMS進行的設備管理， T—PVM可包含通訊秘密，以用於在DSM和TrE之間構建安 全頻道，例如TLS證書。

SeGW從確認消息中獲取下列資料：確認資料、TrE資訊和 Clist。在將這些資料與權杖T_PVM —起發送之前，SeGW 在T_PVM上添加時間印記，並將其轉發至PVE。SeGW可檢 查確認消息的格式和其中的部分，以減輕不良形式資料 攻擊的威脅。否則’攻擊者可能會試圖修改受攻擊的TrE 的確認消息中的資料’從而在PVE處對該資料的完全檢查 表單編號A0101 第45頁/共169頁 〇的 201129129 會使系統產生錯誤或失敗。 在Dev_ID與相應H(e)NB的標識（H(e)NB_ID)之間進行 分隔是有用的。雖然兩者之間的關聯是一對一的，但是 從任務分隔（SeGW瞭解TrE，PVE瞭解H(e)NB)，以及 可能的定址/管理角度來看，這種分隔是有意義的。在這 種情況下，會存在中間步驟，其中PVE使用所接收的 H(e)NB_ID 從資料庫 HNB_DB 中查找 Dev_ID。 PVE是決定設備有效性的實體。即，在策略系統的語言中 ，PVE是策略決定點（PDP)。在嚴格的任務分隔方法中 ，其是PVE系統中唯一的PDP。其依賴SeGW和DMS來強制 策略，例如用作策略強制點（PEP)。在通常描述中， PVM不瞭解策略是怎樣生成的，以及該策略在哪進行儲存 /管理的問題，例如，PVE是從哪里獲得策略的。在下述 一些更具體的方式和次要的方法中（特別是參數確認和 最小確認），給出了 一些策略情況和操作的示例。通常 ，對確認策略的判斷不僅依賴於單個元件的有效性，還 依賴於Clist中所包含的其他資料。特別是，需要評價允 許的參數（範圍）和載入順序（Clist是有序的）。 由PVE所執行的確認過程中所出現的失敗情況有一些基本 類型。例如，失敗情況F1表示“TrE失效”的情況。通過 其認證的Dev_ID和所發送的TrE資訊，PVE將該設備和/ 或TrE標記為不可信。 另一種例子失敗情況F2表示三種情況的“驗證資料失敗 ”。情況F2a表示完整性測量/驗證資料不匹配。這表示 設備安全啟動流程失敗，和/或設備中存在錯誤和/或失 效的RIM和/或RIM證書，之後該設備啟動無效元件。情況 099106424 表單編號A0101 第46頁/共169頁 0993197625-0 201129129 F2b表示丟失，即，用於元件的ΙΠΜ丟失，需要從別 處獲彳于°情汉^2(：表示失效的證書。 失敗情抑3表示兩種情況的 “Clist策略失敗”。對於情 Ό t* Ο 單個元件有效，但配置不符合策略，例如載入順 二不期望的元件或參數。情況*F3b表示配置未知，這 樣就不存在可用的Clist的“已知良好值”。 Ο 失敗情况F4表示“確認前設備認證失敗”，當將認證與 確'合，並且設備認證在確認之前時使用該情況。F4 隋况匕括指示了失效的設備證書的F4a情況。 現在描述對所述失敗情況進行檢測和處理的方法。對於 失敗情况Fl，PVE使用所接收的TrE資訊來查詢本地確認 負料庫（)。該TrE資訊結構包含關於τγε的證明、 製造商、結構、模型、序列號的詳細資訊。該確認資料 庫V-DB儲存關於哪個TrE可被認為可信的資訊。例如，其 可以執行策略以信任特定賣方、模型或其他類似標識。

如果根據TrE資訊的評價結果，TrE不可信，則PVE可向 SeGW發送包含該資訊的消息。之後，以㈣可根據該消息 進行適當的操作。PVE向T_PVM權杖添加聲明（例如附加 資料欄位），該聲明包含拒絕存取的原因，例如錯誤/不 可信的製造商。PVE在T一PVM上添加時間印記和簽名。將 該T_PVM轉發至seGW。之後，SeGW可驗證該時間印記（ 重播防護）和簽名（防止假冒發送者）。之後，SeGW拒 絕網路存取和設備認證，並阻止進一步認證嘗試。 在拒絕進行網路存取和設備認證的情況中，如果確認和 認證是結合的’則需要停止認證過程。 在第一種方式中，可以使用根據特定屬性的設備黑名單 099106424 表單編號A0101 第47頁/共169頁 0993197625-0 201129129 ，該屬性例如是製造商、設備版本和其他屬性。 PVE也可使用Dev_ID和TrE資訊，對未知TrE首先觸發與 RIM更新過程類似&V_DB更新過程。 對於失敗情況F2，PVE&V_DB為所接收的Clist中的所有 元件獲取RIM。確認資料庫V_DB中只儲存經過證明的RIM 。必須將相應的RIM證書安全地儲存在V_DB中。 在一個實施方式中，可在查詢V_DB前檢查RIM證書，隨後 可對其進行丟棄。可替換地，可為安全目的儲存RIΜ證書 。例如，由於ΜΝ0持續地從可信第三方獲取RIM及其證書 ，因此ΜΝ0可使用譚悻書來向檢查方證明其在設備管理中 的服從性。 對於失敗情況F2a ’ PVE可從所查找的RIM計算出正確的 驗證資料’並將其與在確認消息中接收的驗證資料進行 匹配。

如果所計算的正確的驗證資料與確認消息中的驗證資料 不匹配’則設備的安全啟動流程可能已經〗受到攻擊，或 可能在設備中儲存了錯誤的RIM ’並可能已經在安全啟動 流程中載入了無效元件。PVE可解教確認消息中或對pvE 單獨請求的應答中所發送的測量值與RIM進行比較，以檢 測失敗元件。 根據F2a策略’可應用多種選擇。在拒絕的情況中，pvE 可以將破認的結果發送給SeGW。SeGW可拒絕網路連接或 將該設備至於隔離網路中。在更新的情況中，在接收到 指示驗證資料失敗的確認結果（T—PVM)之後，DMS可根 據管理過程來啟動管理流程，以替換埃認失敗的元件。 DMS可將T_PVM和指示符一起發送至se(jW，該指示符表示 099106424 表單編號A0101 第48頁/共169頁 0993197625-0 201129129 確認失敗，設備將重新確認。DMS可向設備發送正確的 RIM，並觸發重啟。當重啟時，設備可使用新的RIM重新 認證和重新確認。如果驗證資料再次錯誤，則該設備可 能不能通過遠端管理過程恢復。為了防止無限的重啟循 環’ DMS可將Dev_ID與時間印記一起儲存，該時間印記 表明發送遠端重啟觸發的時間。如果DMS接收到命令要再 次執行更新，貝彳DMS可檢查是否已經儲存了 Dev_ID。如 果存在多個儲存項，則時間印記可指示短重啟週期，表 明該設備不能被恢復。如果在確認中沒有使用RIM，則此 處所述的用於對失敗情況類型F2進行處理的方法是可選 的。 在另一種方式中，根據驗證資料，倒如PCR值，PVE可使 用資料庫¥_03的特殊部分《該部分通過PCR值緩存了可信 配置。PVE可為有效配置查找驗證資料表，例如在PCR值 的情況中為雜湊表。如果找到了匹配，則確認立即成功 。在V_DB中為有效配置儲存預先妹箕的PCR值對以相同配 置運行的設備類型非常有用，其中雜湊值是相同的。不 同於將所有元件與RIΜ進行比較f可比較單個合成雜湊值 ，從而降低了計算開銷，加快了確認流程。 如果沒有發生策略失敗的情況，則該設備有效。PVE可將 該消息發送至SeGW，SeGW可以允許對CN進行連接。 對於失敗情況F2b，可從可信第三方（TTP)處獲得RIM 。如果一個（或多個）元件的RIM沒有儲存在V_DB中，則 PVE將丟失RIM的列表發送至RlMman。之後，RiMman嘗 試從TTP獲得（經證明的）rim ^ Clist包含元件指示符 CInd (例如URN)，RIMman可通過該指示符標識出元件 099106424 表單編號A0101 第49頁/共169頁 0993197625-0 201129129 ，並獲得關於查找相應RIM證書的位置的資訊。RiMman 為新RIM執行RIM獲取，包括對儲存到中的rimc進行 驗證。RIMman對儲存CInd、RIM和RIMc^V_DB執行更新 。RIMman向PVE通知V_DB的更新，之後pve可從v_DB獲 取丟失的RIM ° 可替換地，可從設備處獲得RIM。如果在確認消息中，設 備表明其能夠向網路提供所儲存的RIMc (包括rim)，則 PVE可向該設備請求確認時丟失的rIM和rIMc。這可作為 找回RIΜ的備用辦法。由於設備在安全啟動中已經使用過 所有RIM ’因此’設備中存在全部rim。如果PVE不能找 到一些元件的RIM ’貝iJPVE將丟失rim的列表與t_pvm—起 ，加上新的時間印記’發送至SeGW。SeGW執行與設備的 協定’以查找RIMc。SeGW將所接收的rhjc添加上時間印 記’並載入T_PVM上，並將權杖轉發至PVE。 PVE將所查找到的RIMc轉發至RlMman。之後，RIMman驗 證所接收的RIMc是由可信實體所發送的”並且有效。 RIMman對該新RIM進行RIM獲取，包括將對儲存到v_db 中得RIMc進行驗證。RIMmaii^行v DB更新，之後向pve 通知該V_DB更新。之後’ PVE可從v_DB中獲得經驗證的 RIM，並接著進行確認。如果在查找和獲取步驟後，該元 件的RIM依然丟失，貝1jPVE不會再向設備請求riMc，而是 從TTP請求獲取RIM，正如上文所述《任何從設備或ττρ 獲得的RIΜ都一樣可按照數位證書的方式對可信度進行驗 證。 PVM元件之間的信任模型決定了從設備獲取Rim的操作順 序。PVE不信任來自設備的RIM/RIMc，而要等待其進入 099106424 表單編號A0101 第50頁/共169頁 0993197625-0 201129129 V_DB，進入V_DB只能由RIMman在檢查了該資料的苛信度 後才執行。PVE也與RIMman的RIM獲取操作同時，開始根 據從設備所接收的RIM重新計算驗證資料，但必須等待 RIMman對其可信度的決定結果。 由於其僅在CN内部發送，因此可在受到整體性保護的附 加消息中發送該RI Me。該包含RI Me的消息必須可與 T_PVM鏈結。

對於設備，可由外部實體來進行獲取RIM的流程，且該流 程可擴展為設備和PVM結構完全獲取流程。這可在pvM結 構内標記為分散式RIM獲取。 所有從P VE發送至RI Mman的消息都必須受到格式和内容 的限制，以確保消息的整體性並減輕剩如錯誤消息的攻 擊。消息必須包含用於元件的單獨URN，用於指示可檢索 到參考測量的位置。

對於失敗情況F3，PVE從配置策略資料庫C_DBt獲取關 於允許配置的策略。該配置策略資料庫C—DB包含了根據 Dev_ID的所允許的配單。由CPman對該c—DB進行管理。 孩C—DB還可包含索略操作，例如對一段時間内斷開連接 且沒有進行確定的設備進行所期望的更新^ pvE根據 Clist中的資訊對從CPman所接收的策略進行評價。如果 評價結果產生F3a或F3b中任一種失敗情況，則可使用不 同操作。 099106424 對於拒絕’ PVE將關於失敗的配置策略的消息載入在 T—PVM上，並在該7>_1^^1上添加時間印記和簽名，並將其 發送至SeGW。之後，SeGW驗證時間印記（重播防護）和 簽名（防止假冒發送者）。之後SeGW拒絕網路存取和設 表單編號A0101 该百/ 1 _197625-0 201129129 備S忍證（並阻止進一步的認證嘗試）^如果確認和認證 結合’則停止認證過程。 如果Clist未知，並從而在c_DBf找不到（失敗情況F3b )，或對於Clist中的元件不存在策略（F3a的特殊情況 )’則PVE呼叫CPman從TTP中查找配置策略。如果 CPman能夠獲得新的配置策略，則cpman更新c—DB，並向 PVE發送帶有指示符的消息’該指示符指示所更新的配置 策略。 如果該更新包含新元件（參考F3a)(通過從(^^抓向 PVE發送包含該新元件識别字的消息），能夠保持^⑽與 V_DB的一致。之後，pvE將關於該新元件的必要資訊轉發 至RIMman ’以獲得該元件的更新或新的RIM_在此，我 們希望能夠保持用於配置的管理流程和RIM管理相互分離 ’從而可獨立地操作元件Cman和C—DB與RIMmar^nV_DB 。如果策略需要對設備更新，則由PVE觸發該更新過程。 作為一個簡單策略的例子，C_DB可包含允許配置的列表 。PVE將所接收的ciist轉發..an:，，該CPman依序將 該Cl ist與所儲存的允許配置進行匹配。如果沒有找到匹 配’則檢測到失敗情況F3b。由於在設備管理過程中當前 碟認流程可能是設備更新之後的重新破認，因此可能需 要檢查更新。在該管理過程期間，設備配置可能發生了 變化’並可能需要與C_DB中新的配置進行驗證。 此處所述是重新確認過程的例子。可使設備一旦經網路 認證’就幾乎不再重啟，除非出現沒電這樣未安排的情 況。對設備進行重新確認可以是執行環境的常規部分。 週期性的重新確認可使網路確信設備正以預定狀態進行 099106424 表單編號A0101 第52頁/共169頁 0993197625-0 201129129 操作，從而減小了執行惡意代碼的風險。重新確認還能 使認證過程再次啟動’從而保持了密鑰交換的更新’並 重新建立了安全通訊頻道。設備重新確認存在兩種觸發 ，一種是由網路觸發’另一種是由設備觸發。此處所述 的重新確認的方法可用於任何確認方法。 ❸ 此處所述的是由設備啟動的重新確認的示例。可以按週 期性的機制來進行設備啟動的重新確認。根據設備的使 用頻率，ΜΝΟ可以在設備的設置過程中設定週期性重新確 認安排。在所安排的時間，設備會敏動重啟順序’該重 啟順序會觸發再次進行確認流程以及認證。同時’如果 設備需要進行軟體更新，則還可啟動相應的,ΟΑΜ過程。如 果設傷在期望的時間範圍内不進行重新認證/重新確認， 則可由CN觸發重新確認。對於只能由設備啟動的重新確 認’經營者對重新確認過程不具有控制力。如果大量設 備按相同安排進行操作，例如每月第一天，則會增加CN 結構的栽荷。 Ο 此處描述的是由網路啟動的重新確認的示例。與由設備 啟動的情況一樣’網路啟動的重新碟認可以按週期性的 機制進行’但是也可在網路由於安全原因而認為需要的 任何時間進行。經營者還可將重新確認設置為策略的一 °!5分’從而經營者將設備中的模組編程為在所編程的時 間間隔内執行重新確認。可通過向設備發送指示重新確 忒凊求的ΙΚΕν2消息來觸發重新確認 。可使用通知負載來 承載為設備新定義的重新確認觸發代碼。 099106424 PVE可週期性地向8聊發送重新確認指示符。為了對所發 A的所有叫求保持追縱，PVE將其與DEV—ID和時間印記 0993197625-0 表單編號A0101 第53頁/共169頁 201129129 一起儲存。之後，PVE週期性地檢查是否有任何設備忽略 了該重新確認請求。SeGW可通過1](以2協議將該請求轉 發至設備。可在安裝時，根據主機方的請求設置重新確 認消息，從而降低設備中斷的風險。 設備接收IKE消息，該消息的通知負載指示重新確認請求 。之後，設備啟動重啟順序，其中重新建立對網路的確 認和認證。如果設備受到攻擊以至於忽略了該重新確認 請求，貝|]PVE可在監視所有處於活動狀態的重新確認請求 的過程中，檢測到該情況。p V..E可將失敗的重新確認發送 至SeGW，SeGW可採取適當'的操作，例如將該設備置於隔 離網路中。 . 另一種由網路啟動的重新確認的方法涉及向設備發送重 啟信號’觸發重啟，從而在安全啟動流程中進行重新確 認0 在另一種方法中，還可通過來自其他網路實體的請求來 進行設備的重新確認。如果設備製造商穠凝其設備已經 受到大範圍的攻擊，則製造商可繫，並請求重新確 認。這可通過由MN0戰略部門知邊裡來判斷是否進行重新 確認而完成。PVE或HMS可以啟動重新確認和重新認證。 此處所述是平台管理的示例。DMS是負責設備管理的主要 實體。根據所接收和所儲存的設備資訊，例如賣方、硬 體/軟體配置/TrE能力等，DMS能夠啟動軟體更新、配置 改變和0TA設備管理過程。管理操作通常是由所發送的確 認資料 '來自PVE的確認結果和C_DB中的策略（例如所需 目標配置）來決定的。 DMS可以與設備的TrE建立安全頻道。DMS可使用T-PVM權 099106424 表單編號A0101 第54頁/共169頁 0993197625-0 201129129 杖來獲取設備的Dev_ID、最近報告的確認資料和Clist 。通過發送帶有指示符的T-PVM ’ DMS使用Dev_ID來詢問 SeGW，以與設備TrE建立安全頻道’其中該指示符指示將 設備的狀態從“工作”設置為“管理”。從而’ SeGW保 存該權杖，可不提供回載鏈結（例如通過隔離），並等 待DMS確認管理操作結束。 Ο 根據DMS的管理操作，設備可在軟體更新之後，例如通過 重啟來進行重新確認。之後可進行重新確認，其中，通 過使用來自之前確認來維持PVM系統的狀態，並 可以不再生成。在這種情況下，DMS向SeGW發送 經過更新的T_PVM權杖，其中的設備狀態指示符從“管理 ”變為“重新確認”。SeGf保有等待進行重新確認的設 備的列表’當設備請求網路存取時，其從該列表中查找 設備。之後SeGW可等待設備一段特定峰間進行重新確認 。之後，將重新確認的結果發送回DMS，以確認管理過程 成功結束。 在設備的系統模型中會產生進行重新確認的需求。從MS 下載的新元件恰好在下一安全啟動流程之前插入設備配 置。因此，需要觸發重新碟認，以作為平台管理的結束 步驟。由於設備必須重啟，且若平台認證進一步與平台 認證結合，則重新確認可以包括切斷現有用於平台認證 和管理的連接。在這種情況下，像上一段描述的那樣， SeGW可以為重新確認維持狀態。 隨著與設備的TrE的安全頻道的建立，卩心可以安裝/卸載 軟體（SW)元件（例如新別元件）、改變配置和觸發重 新確認。 099106424 0993197625-0 第55頁/共169寅 表單編號A0101 201129129 在另一種方式中，設備可以通過確認消息中的標記（ flag)來指示重新確認。這避免了對接近SeGW的每個設 備查找重新確認列表。可在安全流程，（例如由TrE元件 所執行的流程）中設置該標記’這樣任何設備都不能通 過不設置該標記而進行重新確認。 該步驟和以上步驟可在SeGW端而不是PVE端進行，否則 SeG.W會自動生成新的權杖。特別是，這些步驟包括進行 設備管理的協定步驟，在該步驟中，SeGW必須對要求進 行設備重啟的重新嫁遇進行追縱。由於設傷在重啟後， 會再次連接從而再次誤證，因此，SeGf必須對將要重啟 進行重新確認的設備進行追縱，否則，SeGW會將其連接 和認證嘗試認為是首次連接，從而發佈新的權杖。因此 ，在SeGW中包括維護重新確認列表。 連續在多回合重新確認中使用T_PVM有助於檢測重複出現 的更新失敗和其他類型的操作異常。 如果DMS向設備安裝新元件，刺需要確保表從dMS發送至 TrE的相同管理消息中，包含用知軟體的RIM。可由TrE 負責RIM的安全儲存和其本地管理。如果需要的話，在安 裝元件後，由DMS觸發重新確認。可向PVE發送用於該新 軟體的RIM ’ PVE通過RIMman將該RIM儲存至V_DB中。 DMS相應地使用CPman更新配置策略資料庫C_DB。可在設 備進行重新確認前，能夠在乂_06中使用用於新元件的RIm ，以使PVE對新配置進行確認。在配置變化的情況下，例 如，如果DMS改變了用於給定元件的參數，貝ijDMS可通過 CPman對C_DB進行更新。

TrE可為安全更新和管理功能提供安全運行環境。該功能 099106424 表單編號A0101 第56頁/共169頁 0993197625-0 201129129 確保了文攻擊的設備在軟體或元件更新失敗的情況下， 至少能進入救援模式。在失敗情況下，DMS可使用回落代 碼機制（FBC)用於設備恢復。這使設備能夠變為原始狀 態’在該狀態中，可通過!)奶管理方法對主要代碼進行更 新。 為了避免出現競爭情況，可在權杖傳遞後，由DMS發送至 T r E的消息來觸發重新確認。否則，設備可能會在§ e G W接 收到權杖並準備進行重新確認之前，嘗試進行重新確認 0 在另一種方式中，SeGW可為重新確認列表中每個設備的 :. . 重新恢復嘗試或失敗嘗試次數計數“Ώ” : ’在達到計數後 可將設備列入黑名單、隔離、觸發攔位内維護’或其組 合。 在另一種方式中，可在T_PVM中包含’或可從T一PVM中獲 取用於建立安全頻道的通訊秘密，而不涉及SeGW。

..i ... I

另一種方法可以不拒絕連接到設備，而是_ipvM中不能 通過確認或不能替換或更新的元件。通常，0化可發送禁 止CInd和重新確認消息，其有助於減輕經歷如下所述的 經營者鎖定的風險。PVE可用於防止在設備和經營者之間 出現“信任之爭，，。各種用於防止出現“信任之爭’的 方法都可用。在一個示例方法中’可通過強制進行重新 確認時不包括Clist中的該元件來禁止设備元件°這可Μ 組建的有效性更新不可用時使用。在另一方法中，可強 制改變載入順序。在另一方法中，強制改變參數，其可 影響或不影響RIM。強制改變參數需要DMS&PVE獲得有 關所有設備元件的所需資訊，而並不僅是那些確認失敗 099106424 表單編號A0101 第57頁/共169頁 0993197625-0 201129129 的設備元件。 在PVM中’通常不需要向設備發送RIM證書。在現有pvM 結構中’驗證和管理是經營者網路的任務，其位於 RIMman中。因為設備信任網路，所以設備可信任在管理 過程中所接收的RIM和CInd。而另一方面，可信計算群組 (TCG)行動電話工作組（MpwG)將由可信設備所執行的 獲取定義為分散（de-centralize)過程，其中設 備還要對所獲得的由MTM保護的RIM證書進行驗證（在對 其安裝之前）^這兩種形式不是相互排除的。DMS可將

RIM與其他資料一起發送，而TCG MpwG_容設備可根據 TCG規定來安裝。這是1>"與1[1(：(；; MpWG為安全啟動所定義 的設備管理之間的不同點。 現在描述驗證資料的示例。發送驗證資料（例如以pCR值 (其為單個測量的聚合雜湊值）的形式）以及為認證結 合驗證資料是TCGTCG規範所提供的技術標準。但是，根 據TCG規範建立驗證資料和 進行結合計:算的耗費很大，特

別是對有很多待測量元件的設備、達起常通過此處所述 的加密擴展操作來解決--·基本上為從兩個舊雜湊值創 建新雜湊值。這會顯著減慢設備的啟動流程，這在例如 家庭環境中是不希望的。 同時，由於其發送與關於測量結果的資訊相類似的資訊 ’因此在RIM和驗證資料之間存在冗餘。如果正確執行了 安全啟動’則TrE將測量值與RIM進行比較，並且只載入 兩者都匹配的元件。因此，Cli st中所分配的RIM承載了 所有有關驗證資料的資訊。事實上，由於驗證資料被認 為是所述測量值的集合’因此，RIM可承栽比驗證資料更 099106424 表單編號A0101 第58頁/共169頁 0993197625-0 夕的資訊。驗證資料是實際測量值的唯一加密簡略形式 。在〜個實施方式中，可將PCR值用作驗證資料。 針斟驗證資料的爭論的基本假設是安全啟動流程正確地 將實際測量與C list中所示的RIΜ進行比較。因此，從安 全的角度來說，存在一個重要的原因，即為什麼驗證資 料能增加被確認的設備的信任度。當設備具有錯誤的RIM ’或將測量值與假冒RIM進行比較時，會出現這種情況。 還有進一步的觀點支援保留驗證資料——由於在安全啟 動流程中所產生的，具有高保護性的資料，唯一地標識 了所達到的系統狀.態~~"一即.使是在_安全啟動或一元（ monadic)方法（例如AuV)的情況中。事.實上，安全啟 動本身並不能對其他確認資料進行完整性保護，在本情 況中’確認資料可以僅是沒有測量值的元件列表。該Cld 列表還告訴確認器在哪里和怎樣獲得有關元件的信任資 訊（例如從TTP處）。 攻擊者會試圖操縱確認資料(Clist)，蔣較低信任度的 元件標識替換為（所獲得的）具有較高信任度的元件的 CId( “元件信任評價”）。確認設備（TrE)對該偽造 資料簽名，並進行正破的確認--如果沒有驗證資料， 則沒辦法在内部檢測到該操縱。 在一定程度内減輕該攻擊的方法是安全啟動引擎通過將 資料封閉（seal)至所述狀態而使該資料為靜態（上一 個PCR值）。確認時，需要解除對該資料的封閉，因此再 次出現相同的安全缺口。並且，由於需要系統在SML封閉 後保持靜態’因此限制了這種方法的靈活性。 因此’設備和確認器都非常需要具有驗證資料的確認資 表單煸號A0101 第59頁/共169頁 09! 201129129 料，即使是在安全啟動的情況下。 此處所用的“驗證資料”與“對原始測量資料進一步處 理所產生的資料（例如雜湊）（之後對其進行驗證以找 到匹配的RIM) ”同義。在完成安全啟動後，該驗證資料 唯一標識了平台狀態。錯誤RIM的出現可能是例如來自受 攻擊的源，其可能對PVM系統整體產生更大影響，因此造 成了極大風險。 一個具體的場景是其中位於經營者CN以外的可信RIΜ源受 到攻擊，例如被另一方攔截或欺騙。在檢測和糾正該攻 擊之前，RIM源會在正常的PVM平台管理中向大量設備以 及受攻擊的元件發送假冒RIM。 在這種情況下，通常的修正辦法是（即，在公共密鑰基 礎結構（ΡΚΙ)中的共同做法）廢止相應的RIM證書。由 於可信參考資料會位於設備中，因此這種做法會對設備 增加負載。TRV修正會對整個設備範圍内的RIM、RIMc和 元件進行強制更新，但是實際上只有一小部分會受到攻 擊的影響。這會引起巨大的網路流量，對使用者造成不 便。該設備支援能夠執行授權TRV修正的機制和協議。 在這種情況下，在確認中可以生成和使用驗證資料。PVM 系統可根據策略，為每個單獨的確認設備呼叫驗證資料 使用。之後，PVE可以檢測受攻擊的設備，並僅管理該設 備。在此稱之為“最小確認策略”。 現在描述基於權杖傳遞的PVM操作的示例。此處所述的 PVM是非同步流程。因此，受各種實體攻擊的PVM系統應 有多種狀態，且其應能從流程的當前狀態中進行恢復， 以減輕對分散式系統及其失敗狀態進行的各種已知的攻 099106424 表單編號A0101 第60頁/共169頁 0993197625-0 201129129 擊。

在一個例子中，可使用權杖傳遞來進行以下操作。可將 SeGW配置為是負責生成和管理權杖的實體’該權杖唯一 地與確認流程相關。該pVM權杖不僅可以與確認TrE的標 識結合，還可以與有問題的單一確認流程結合。該權杖 傳遞方法包括重播/重新確認防護。確認嘗試能夠唯一地 防止對舊認證進行重播，並通過頻繁的重複確認來提供 一種檢測DoS攻擊的方法。通過權杖可以建立確認會話， 從而允許PVM相關資料和消息與唯一確認之間建立唯一關 聯。這也是評價新鮮度的前提。 由於可根據時間印記（不必被簽名）來生成確認權杖， 因此可以控制確認資料的新鮮度，該時間印記最初是由

SeGW生成的’之後在每個實體傳遞該權杖時，會被附加 到時序列表。 另一種加入新鮮度的方法可以是在載入R〇T後，立即從安 全即時通訊（RTC)中讀取時間，並使用議時間印記來建

立聚合雜凑鏈。另一種替換方法可以是使用順序計數器 ’該計數器在每個童啟週期增加，贫〇τ可使用該計數器建 立雜凑鏈。 而另一種加入新鮮度的方法是完成階段丨和階段2的檢查 ’開始與SeGW和PVE進行通訊，之後使用SeGW/pvE所提 供的臨時用法’在將階段3的確認結果資料發送&SeGWi 刚，與階段3的檢查的進—步驗證結合。這就確保了確認 資料的新鮮度。 與在標準PVM_-樣’在多回合重複確認中連續使用 T—PVM有助;重複出現的更新失敗和其他類型的性能 099106424 表單編號A0101 第61頁/共ι69頁 0993197625-0 201129129 異常。SeGW可根據確認權杖的各種情況進行檢測和操作 。例如’保持活動時間過長的權杖可以表明PVM普通失敗 ° SeGW可以在PVE和DMS中查詢該權杖的狀態’並根據該 狀進行操作。可將這種情況標記為確認超時。在另一 例子中，在權杖處於活動狀態時可能會出現重新喊認。 這可以表示各種情況，例如意外重啟、電源用盡或DoS攻 擊。在另一例子中，可能會在入侵檢測系統（IDS )中檢 測到基於時間的形式，例如隨機的或週期性行為。可將 該設備隔離或列入黑名單，還可觸發欄位内維護。 還可使用權杖來保護在PVM系統實體之間和PVM系統與設 備之間所傳遞的資料的完整性《>為此，其可以包含所要 保護的資料的雜湊值，例如Clist，或在處理失敗情況 F2a時，丟失的rim的列表，以及指向該資料的指標。 T_PVM中資料物件並不是作為整體存在的，因為這會對其 造成超載，產生大量開銷，實際上，該開銷可能會產生 特定DoS攻擊。 現在描述經營者RIM遮蔽方法的示_。經營者RIM遮蔽將 大量來自各種外部源的用於設備元#的RIM證書替換為由 經營者（或等同的“選擇歸屬經營者” （SH0))所生成 的RIM證書，該經營者是設備希望與之建立回載鏈結的經 營者。對於V_DB中的相同元件，只要這些SHO RIM證書 (SHORIMc)可用，在確認中該證書就優於外部RIM證書 。在設備管理中，由DMS向設備安裝SH0RIM，在由TrE執 行的設備安全啟動中，其在設備本地依然優於外部證書 該SH0RIM可用作“第一級緩存”，以用於在確認中獲取 099106424 表單編號A0101 第62頁/共169頁 〇! 201129129 RIM證書。可將其與在本質上指向技術上分隔的、高性能 的V一DB子資料庫的特殊cind相關聯。 經營者RIΜ遮蔽適用於任何類型的高度行動設備，例如 Μ2Μ設備（M2ME)。當行動設備進入新經營者的領域並進 行確認時，可向該經營者提供指向另一經營者的Cind。 該經營者可以以與行動設備漫遊類似的方式接受該Cind ，或按此處所述方法進行替換。 在經營者遮蔽的另一種方式中，當SH0決定不釋放由該 SH0所生成的SHORIMc的簽名密鑰的公共部分時，另一經 營者很難，或甚至不能對來自該SH0的設備元件進行確認 。可將這種機制擴展為與傳統SIM鎖定過程所提供的鎖定 具有相同級別的鎖定。可在區域中首次部署設備時將經 營者RIM遮蔽用作存在週期的管理工具，以在設備首次與 SH0進行聯繫時，遠端“標記，，該設備。 為了根據PVM建立經營者rim遮蔽，描述以下附加步驟， 並參考上述原始PVM過程。在用於RIM遮蔽的PVM設置中 ，RIMman將PVE和DMS配置為务自執行在經營者RIM遮蔽 中的功能。在平台認證中，pVe發送（單獨或與關於元件 有效性的消息一起）消息，該消息包含目前V_DB中的 SH0RIM所涉及的元件列表。將DMS配置為，對設備中將 安裝該新SHORIMc的元件執行證書更新操作（不需要更新 元件自身）。 在確認期間，PVE對SH0RIM不在V_DB中的元件進行標記 (這與元件的任何RIΜ和RI 的可用性（例如正常PVM流 程）不相關）°PVE向RIMman發送所標記的候選元件列 表，該列表包含Cind和實際rim (RIM需要該資料來生成 099106424 表單編號A0101 第63頁/共leg頁 0993197625-0 201129129 相應的SHORIMc (通常通過對其簽名而實現）），以進行 經營者RIM遮蔽。RiMman根據本地可用策略來判斷對所 接收的列表中的哪些元件應用經營者RIM遮蔽。 RIMman通過對各個RIM簽名來生成用於這些元件的SH〇R_ IM。根據本地經營者策略來確定證書參數，例如有效性 週期。RIMman 生成指向 V_dB 中 SH〇RIMc 的 SH〇CInd。 RIMmar^V_DB中附加新的SHORIMc和SHOInd。在一種實 施方式中，儲存所有的“舊”資料，例如^讪中原始的 CInd和RIMc，以為之後的可追溯性和回落所使用。 __向廳發送（clBd、s_lnd)對的列表，指示 DMS強制對有問題的設備進行RIM指示符更新。DMS在正 常的設備管理中，向設備TrE發送RIM指示符更新消息以 及SH0資料，但是不進行元件更新。通過該消息，DMS可 要求設備在之後的確認中僅使用SH〇CInd。 除了安裝SHOCInd (也可能是SH0RIMc)以外，在設備上 所進仃的操作都取決於本地策略。精巧的設備會保存其 原始製造商CInd，還可能秦#枯應的RIMc^為了實現靈 活比，设備會嘗試至少為每個元件概存用於各個經營者 以及原始元件製造商/證明方的多個不同cInd。 DMS可強制設備進行狀態重新確認。當設備的RIMc更新失 敗時，需要進行狀態重新確認來避免循環行為。 099106424 現在描述經營者元件鎖定的示例。作為經營者RIM遮蔽的 擴展，經營者可能夠對設備或其元件在外部網路中的操 作進仃控制和限制。這可按以下方法擴展為經營者元件 鎖定。應被鎖定的元件部分被SH〇使用例如對稱密鑰進行 加密。對該修正過的元件執行經營者RIM遮蔽。在受保護 0993197625-0 表單編號卿1 第64頁/共⑽頁 201129129 和受控的空間内，將解密密鑰發送給TrE (或UICC)，該 空間只能由SHO授權存取。在確認時，當PVE接收到用於 該元件的SHOInd時，SHO向TrE發送授權資料。之後，將 元件的加密部分發送至TrE的安全操作空間，在此進行解 密和操作。 因此，SH0鎖定的元件只能在設備對特定SH0確認時才能 工作，該相同設備不能對另一經營者進行確認。

在另一種形式中，釋放解密部分’以在TrE外部進行操作 。這樣做在安全性方面要弱於之前的方式，因為可通過 轉儲（dump)設備記憶體而恢復全部元伴。通過所獲得 的完整元件’可重新生成RIM ’並可成功進行對另一經營 者的確認，從而解除鎖定。

另一種實現元件鎖定的方式不需要在TrE中管理加密秘密 ，或由其他安全元件（例如通用積體電路卡（UICC)) 保護加密秘密。可通過使用元件修改來生成經營者唯一 的SH0RIM、SHORIMc和CInd。之後可將該資料用於代碼 混淆和浮水印領域。 一種經營者元件鎖定的示例可涉及漫遊經營者攔截另— 經營者的設備元件或整個設備。期望上述基於TrE的方法 來保護其餘自由使用者設備免受此攔截。本質上，設備 應當針對該過程向使用者/主機方/原始SH0發出警告並 維護關於何時允許對元件進行鎖定和何時不進行鎖定的 策略。 現在描述的示例方法用於在設備管理令，通過使用涉及 特定PVM系統和經營者的特徵的PVM，來對設備進行個別 化。由PFM所管理的設備可處於與特定pvM系統和管理經 099106424 表單編號A0101 第65頁/共169頁 0"3197625-0 201129129 營者相關聯的可信狀態。當漫遊設備進入另一 PVM系統和 經營者的領域時，該漫遊設備會出現問題，即，需要該 設備證明之前由誰管理其配置和可信度。一種為該設備 實現獨立措施，以向另一端提供證據的方法是向該資料 提供已經簽發了該設備的定址的資料。該消息的個別化 證明了發送方的有意簽名。一種方法可以是在資料中包 含由經營者簽發的Dev_ID。任何接收到該簽名資料的一 方都可認為其相應消息及其内容都是由進行簽名的經營 者專用於該特定設備的。在對方相信該進行簽名的經營 者正確實施了對設備認證的驗證（例如，通過Dev_ID) 時，這樣做有效。如果這樣做不合理，則可由簽名經營 者對Dev_ID的整個認證證書簽名來代替。所簽名的資料 還可包括實際的RIM，由於這將建立另一個RIMc而導致添 加特定的冗餘，其使用Dev_ID進行擴展。 現在描述兩種根據PVM建立個別化的有效方法。在一種方 法中，RIMman在SHORIMc中包含Dev_ID，只有在由設備 維護RIMc時，SHORIMc才可用，因此，在設備内部儲存 SHORIMc (其中包括Dev_ID)。在另一種方法中， RIMman或DMS向（Dev_ID、CInd )對使用經_營者簽名， 且如果使用了 SHOInd，則向該SHOInd使用相同的經營者 簽名。 現在描述將設備列入黑名單的示例。可以為設備建立黑 名單，並根據該黑名單禁止網路存取。該黑名單可至少 包括Dev_ID，可選地包括TrE資訊（證明、結構、製造 商、模型、序列號）。這種名單通常可由DMS訪問。在一 個實施方式中，每個ΜΝ0管理其自身的黑名單，而DMS可 099106424 表單編號A0101 第66頁/共169頁 0993197625-0 201129129 訪問該名單或資料庫。使用Dev_ID來查詢特定設備是否 被列入黑名單。之後，拒絕對該設備進行網路存取。在 另一實施方式中’可維護一個通用黑名單’其中每個MNO 都列出惡意設備，該資料庫可由所有MNO讀取。必須保證 每個MNO都只能將其自身的設備列入黑名單，但所有〇 都可讀取所有條目。這種通用資料庫需要更多的管理和 維護工作。可將上述實施方式與替換實施方式相結合。 當PVE接收到權杖T_PVM時，PVE在該T-PVM上加上時間 印記，並將其轉發至DMS，DMS從該權杖中獲取Dev_H)，

和可選地獲取TrE資訊。DMS通過使用Dev_ID (且如果需 要或存在的話還包括TrE資訊）來查詢黑名單。如果設備 在黑名單中，則DMS將包的消息作為黑名單項發 送至SeGW。該消息可包含DMS的時間印記。之後SeGW可 拒絕對CN的連接。 可通過使用TrE資訊攔位的擴展資訊來實現另一種方式。

其可將特定賣方、模型、序列號範圍等列入黑名單。根 據黑名單行為的複雜度，本地以MN0為中心的方案會比中 央式黑名單更容易實施。 現在描述將設備列入白名單的示例。可為設備建立白名 單，根據該白名單允許網路存取°白名單通常至少包括 Dev_ID，可選地包括TrE資訊’例如結構、製造商、模 型、序列號。這種名單通常可由DMS訪問。 當PVE接收到權杖T-PVM時，PVE在該T-PVM上加上時間 印記，並將其轉發至DMS。DMS可從該權杖中獲取Dev_ID ，並可選地獲取TrE資訊°洲5通過使用Dev-ID (如果需 099106424 要或存在的話，可選地使用TrE資訊）來查詢白名單。如 表單編號A0101 第67頁/共169頁 0993197625-0 201129129 果設備在白名單中，則DMS將包含T_PVM的消息作為白名 單項發送至SeGW。該消息可包含DMS的時間印記。之後 SeGW可允許對cn的連接。 可通過使用TrE資訊欄位的擴展資訊來實現另一種方式。 其可將特定賣方、模型、序列號範圍等列入白名單。根 據白名單的行為的複雜度，本地以ΜΝ0為中心的方案會比 中央式白名單更容易實施。另外，調節器可能會要求MN〇 維護黑名單，而不是白名單。 在另一實施方式中’每個ΜΝ0都維護白名單或資料庫，而 DMS可訪問該名單。使用Dev_ID來查詢特定設備是否被 列入白名單《之後，授權該設備進行網路存取。 在另—實施方式中，可維護一個通用白名單，其中每個 ΜΝ0都列出其自身的可信設備，該資料庫可由所有MN0讀 取。必須保證每個ΜΝ0都只能將其自身的設備列入白名單 ，但所有ΜΝ0都可讀取所有項。這種通用資料庫需要更多 的管理和維護工作。通用白名單敦備的:資料庫會需要ΜΝ0 之間建立額外的可信關係。ΜΝ0 A認為可信的設備能列入 白名單，並能進入ΜΝ0 B。這需要褲準的和/或經證明的 設備確認過程來比較設備的可信級別。可選地，可以將 上述方式結合實施。 現在描述用於設備的隔離網路的示例。建立用於設備的 隔離網路可能需要對經營者網路進行額外改變。在該新 網路中，SeGW仍可用作CN的執行屏障。由SeGW決定將哪 些設備進行隔離。 隔離中的設備對CN沒有直接存取，且向使用者不提供或 提供受限的服務。在PVE評價驗證資料時’會發生確認。 099106424 表單編號A0101 第68頁/共169頁 0993197625-0 201129129 可根據評價結果觸發新的操作。例如，可認為設備可信 ’旅可連接至CN。在另一示例中，可檢測認為設備受攻 擊或不可恢復。將該設備列入黑名單，並阻止其進行進 一步的連接嘗試。在另一示例中，SeGW將確認結果與 Dev一ID和TrE資訊一起轉發至DMS。DMS可提供適當的更 新/軟體變化，來對設備進行恢復。可向SeGW通知更新， 並由SeGW觸發對設備重新確認。如果應用更新成功，則 確認成功，可授權進行網路存取。

可將上述黑名單方法與隔離網路結合使用。這能使經營 者在可能的情況下，例如通過經由OTA提供更新，來利用 對設備的連接。可替換地，可使用黑名單來完全阻止設 備。例如’如果設備不能被OTA措施恢復。攔位内替換/ 服務必須重視這種設備。 如果其他設備被列入灰名單中，則將其隔離。該灰名單 中所包含的設備例如是新加入網路的（來自另一MNO的） ;其連接時間還未達到足夠i長的設備,真凌可疑性能的 設備；和存在安全警告（由賣方或獨立製造商發出）的

設備。 現在描述參數確認的示例。在PVM期間，對於所載入的元 件，驗證資料可能會依賴於配置參數。由於這些參數可 能會頻繁變化，並在同樣兩個設備之中不同，因此，PVM 的基本實施方式允許在確認期間明文發遠參數。但是， 這需要保存完整的參數資料庫，並要求同時在設備端和 確認器端進行記錄。這會產生如下影響：1 )參數設置會 佔據大量記憶體空間，並且當對其進行評價時，會減慢 確認過程；和2)對每個設備大量儲存和評價參數會向第 099106424 表單編號A0101 第69頁/共169頁 0993197625-0 201129129 三方過多暴露設備配置，造成外泄。 一種在PVM流程中包含參數的方法是基於擴展雜湊值的方 法，即，將參數的雜凑功能結果與元件的測量相連接。 參數摘要值是對元件參數值進行順序化和二進位再現而 生成的，之後使用該參數摘要對該元件現有的測量值進 行擴展。因此，為了進行確認，可以以相似的方法來處 理所有測量和參考值、R1M和RIMc，從而實現多種方式的 參數確認。 在證書（例如X，509)與屬性證書（例如，參照參數來看 待的屬性）的關係之間存在的類似問題，在此被表示為 屬性證書的非法（rigged)雜凑值”’該問題可通過 在參考測量和RIMe中包含參數來解決。 現在描述診斷破遇的示例。一種基於PVM概念的驗證的實 施方式包括在設備中不具有RIM的情況下允許載入元件的 選擇。可以在設備上沒有運行重大安全軟體和足夠安全 時，下載特定元件，但網路需要知道鉍變此。在另一實 施方式中，MNO建立了策略，即通常由設備對特定元件（ 例如由於頻繁變化）進行測量，但击網路進行確認。並 且，載入和測量未知元件可以是設備的默認操作，並將 確認的任務交給網路《網路可將設備隔離，該設備依序 啟動设備的遠端OAM修正。例如，其可返回原始狀態，移 除元件或採取其他措施。 現在描述對失敗情況F2a的PVM診斷的示例。當PVE沒有 向DMS發送產生了 F2a失敗的元件的列表時，可按如下來 查找失敗元件。例如，設備可能沒有保存可用於向pvE示 出以便與RIM進行比較的SML。在這種情況下，DMS可以 099106424 表單編號A0101 第70頁/共169頁 nqi 201129129 不替換設備中的失敗元件--因為其不知道該失敗元件 Ο 〜〜而是在正常管理過程中’將Clist中的所有元件都替 換為正確元件。一旦重啟和重新確認，由於未載入的元 件在内部驗證中失敗，因此設備還可將該未載入的元件 列表包含在確認消息中。PVE甚至可以通過將之前確認的 Clist與RIM更新後的Clist進行比較來進行診斷。當在 本地與正確的RIM進行驗證時，現在丟失的元件在安全啟 動中是沒有被載入的。這樣，丟失的元件就是需要替換 的元件。之後，町在第二管理週期中對這些實際需要替 換的元件進行替換。 如果設備報告無法載入元件（例如丟失或錯誤）’在 將該元件的測量值發送給CN，則可以使用另一種方法來 進行診斷確認。根據MNO策略，可觸發OAM修復流程來移 除或修復元件。在另一種方式中，如果TrE檢測到元件的 丢失或錯誤，則允許設備直接請求進行OAM修復° 另一種方法可禁止元件而不是對設備拒絕連接，該元件

在PVM中不能確認，且不能替換/更新。在這種情況下’ ；：, -- = DMS可發送用於元件的“禁止CInd”消息’並觸發該設備 的重新確認。這可適用於載入了未知元件的情況。 另一種方法可由DMS指明在特定設備中允許哪些元件。如 果設備在安全啟動期間載入和確認了所有元件’包括不 允許的元件（例如，由於最近發現了安全漏洞，但還沒 有可用的更新），則DMS可通過SeGW向設備發送消息’該 消息使設備禁止該元件。要求該設備進行重新確認°如 果在重新確認期間沒有載入該元件’則DMS將該情況通知 099106424

SeGW，SeGW隨即允許完成認證/確認。 表單編號A0101 第71頁/共169頁 0993197625-0 201129129 現在描述最小確認策略的示例。由於啟動時的元件測里 (例如’擴展PCR值，和將測量寫入生成Clls1^SML中 )會在啟動流程中產生一些延遲，因此，最小嫁認機制 僅在特定情況下才要求設備進行確認。由於RIM和所儲存 的測量值（例如PCR值）發送部分相同的或冗餘的資訊’ 因此，消除該冗餘能夠節省消息和儲存容量：° 如果可在設備上建立本地完整性測量、驗證和強制流程 (例如，安全啟動），則由於驗證資料（例如PCR值）會 包含與RIM本身相同的資訊，因此僅發送在此次本地驗邊 流程中所用的RIM就暴夠了。因此最小罐認可以不發送驗 證資料，而是只發送在本地驗證過程中所用的參考值。 在另一種方式中，不發送RIM，而是當及僅當RIM具有唯 一識別字時，僅發送對RIM的指示符。 最小確認的兩個條件包括：1 )本地測量、驗證和強制（ MVE)流程可信；2)用於在設備上儲存的RIM的RIM源可 信。可以將本地MVE流程的驗證資料報告給外部實體進行 評價。這用於信任的顯姓建立。外將wyE流程實現為使其 不受攻擊。設備稍後報告RIM的情沉表明MVE流程可信。 這用於信任的隱性建立。 為了評價所報告的RIM的可信度，還可以發送由賣方、其 他ΜΝ0、TTP和其他方所簽發的rim證書。如果RIM證書的 簽發者可信’則認為RIΜ可信。如果所報告的任何一個 RIM不可信’則可採取措施，例如將設備置於隔離網中或 列入黑名單。 可對RIΜ和驗證資料的冗餘進行調整，以增加效率。例如 ，可要求設備僅在特定情況下，或僅以特定頻率發送驗 099106424 表單編號Α0101 第72 頁/共169頁 0993197625-0 201129129 證資料。例如，如果PVM系統已經檢測到了受攻擊的RIΜ ;新設備漫遊至該經營者區域或SHO在一段時間内未發現 該設備。在另一示例中，可要求僅每進行“ N ”次確認發 送一次驗證。

現在描述用於PVM的修正示例。修正或軟體更新都是設備 持續服務所需的操作。設備需要修正的原因很多。除了 正常的軟體升級維護、漏洞修正和增強以外，修正可以 是集成在設備一般的安全流程中的部分。在確認過程期 間’對設備上的軟體進行測量並蜂證其完整性。將該測 量值與位於TrE中的RIM進杼fcb較。如果驗證失敗，則該 代碼已被篡改，或RIM對該特定編碼基底出現是不正確的 。可以啟動修正過程來更新編碼基底或RIM，以確保設備 的JL·確確認。 如果對一個或多個元件的設備完整性檢查失敗，則這表 明要麼是這些元件受到了攻擊，要麼是相應的可信參考 值與a又備上的編碼基底不一致β可以啟蘇.修正過程，至

少向CN表明設備不能#SeGW認證，同時還能有助於由網 路所啟動的對編碼基底或對應於，所安襞的编碼基底的新 可信參考值的更新。可通與設備之間進行修 正〇 對於啟動任何修正，一些共同的安全要求都是適用的。 這些要求是由發生失敗的安全啟動流程的階段所決定的 所考慮的最壞情況是在安全啟動的階段2所發生的失敗 5亥失敗表明建立了 TrE，但沒有與外部實體進行連接。 因此，在這種情況下，設備不能在正常的啟動中請求修 099106424 0993197625-0 正。可安全地將額外的編碼基底，例如FBc，載入至TrE 表單蝙號A0101 第73頁/共169頁 201129129 中用來進行修正。這種流程的安全性是以以下為特徵 的· 〇可將FBC完全地且無變化地載入至TrE中；2)

TrE可安全地執行該FBC ; 3)與網路實體（例如DMS)為 進行修正所進行的通訊會受到完整性和保密性的保護； 和4)在整個過程中保護用於修正存取網路的憑證。可替 換地，不用將FBC載入至TrE。FBC可與TrE同時存在，例 如，作為另一個用於單獨的修正目的的（可信）編碼基 底。由於FBC儲存在安全的記憶體中，或受到⑽安全秘密 的保護，因此可產生對FBC的信任。這樣，TrE就不需要 運行FBC。該FBC可以是獨立的，可直接運行，而不需建 立TrE。 現在描述由設備啟動的修正示例。在設備確認的範圍内 ，修正可以作為檢測到錯誤時，立即對設備進行隔離的 替換方式。在自主確認的情況中，TrE是首先被驗證的部 分。如果其驗證正確，則表明設備已經達到了預定的安 全啟動狀態。能夠這樣認為是因為TrE是可靠的，且儲存 在TrE中的RIM是可信的。但是，這並不表明對於目前載 入到設備中的特定版本的代碼來說，RIM是正確的。 現在描述由網路啟動的修正示例。在自主確認的情況中 ，如果設備確認過程失敗，則可啟動FBC，對包含的 主編碼基底觸發軟體更新。設備可發送IKEv2消息，該消 息的通知負載表明設備正在執行回落模式，需要立即進 行修正。 對於半自主確認方法’修正過程不需要對軟體或可信參 考值（TRV)進行全部更新。當設備通過了階段1和2的確 099106424 認但階段3確認失敗時’可在IKEv2協定的通知負載或證 表單編號A0I01 第74頁/共】69頁 0993197625-0 書中將涉及失敗模組的資訊返回給PVE。如果PVE認為所 述失敗模組不重要，則可繼續進行確認和認證，同時所 述失敗模組被禁止/卸載。但是，如果所述失敗模組重要 ，貝>〗PVE可向DMS發送資訊，表明需要進行修正。 另一種情況是對於特定編碼基底，儲存在TRE中的RIM不 正確。可將失敗的測量返回PVE，PVE中對資訊的分析表 明錯誤出現在RIM中，且只有這些值才需要在TRE中安全 地更新。 現在描述用於事故信號和回落代碼的示例和實施方式。 設備可具有回落代碼( FBC )圖，該回落代碼圖的目的是 在設備完整性驗證失敗時，便於設備進行修正。可將該 FBC儲存在安全記憶體中，例如唯讀記憶體（R〇M)。如 果本地設備完整性驗證失敗，則可呼叫該FBC。該FBC可 至少包含用於與CN中負責對受影響的設備進行修正的實 體進行通訊所需要的所有必需功能、方法和證書。並且 ，FBC還可包含用於從網路接收全部軟髏:吏新的功能《還 可考慮一個特殊的“修正” DMS。 設備和TrE可在設備完整性檢查失敗時，執行以下修正指 示過程。首先，TrE可啟動對可信碼進行操作，該可信碼 稱為回落代碼（FBC)。可將該FBC儲存在安全記憶體中 ，例如ROM。第二’ FBC可以與預先指定的“修正” DMS 建立安全連接。第三’ FBC可以向dms發送事故信號，該 事故信號可包括設備ID。當接收到該事故信號時，DMS就 可知道該設備發生了例如完整性檢查失敗並請求進行維 護。可選地’ DMS可在接收到該信號時啟動完整的韌體更 新過程，或執行診斷以便執行部分代碼/資料更新。 表單編號A0101 第75頁/共丨69頁 201129129 現在描述不需要RIM的確認示例。不需要_的確認可包 括在負載1^的_下’將元件代敬全發送至安全記情 體’例如安全儲存卡。不需要RIM的確認還可以包括通過 加密對摘要值進行替換’從而在普通記憶體中儲存加密 元件，例如代碼。其還可以包括制密錄或加密密鑰進 行加密，該密錄可以是受Μ保護並與DMS共用的，該加 密密錄是由非對稱密碼演算法得出的，其_，_和^^ 可具有公共和私人密錄對。不允許對加密代碼進行定向 修改。由於職改資料進行解碼*產生意義，因此任何 對代碼的操縱在解碼時都舍被檢測出，例如在安全啟動 的方式中。檢測這種變化可通過在加密代碼中包含摘要 值來實現。可使用進一步的選擇，例如改錯碼。 現在描述在確認過程中包含基於位置的資訊的示例。一 些設備可用於基於位置的資訊占非常重要的地位的應用 場景中’例如防盜、貨物追蹤、車隊監控或監視。通常 6又備可裝有全球疋位系統（GPS)’模組:来提供地理位置資 料。安全啟動也可包括GPS模組和元件，來確保對基於位 置的資訊進行可信的生成和儲存。還可額外地將位置資 訊安全地儲存在TrE安全記憶體中^之後可將位置資訊包 含在確認消息中。該消息可例如用於：如果所報告的位 置與所需位置不符，則可通過0ΑΜ過程改變設備配置。如 果設備報告了新位置，則可將其配置改變為使其使用不 同的參數來連接網路、觸發軟體事件（例如登錄、報告 或關機）。可假設位置資訊由可信應用安全地進行操作 〇 現在描述PVM在H(e)NB和M2M情況中的應用和實施方式， 099106424 表單編號A0101 0993197625-0 第76頁/共169頁 201129129 其k供了從通常pVM結構到現有的標準化得網路實體、協 定和機制的映射。這兩種應用都顯示了特殊的安全需求 。這兩種應用具有共同點）隨著行動電話已經被看做 是成熟的經典技術，對於儲存和處理敏感資料來說，所 述設備不再是封閉、不可變的環境；和）通常，這些 特殊設備受到行動網路經營者（MN0)以外的相關人的控 制’並僅通過間歇的和不安全的鏈路連接至核心網路。 第一種應用涉及H(e)NB，即熟知的毫微微蜂巢基地台。 H(e)NB是小型的可檇式存取點，其向終端設備（例如行 動電話）提供對3G網路的連揲Ke)NB通常設置在室内 ，或稱為主機方（HP)的相關人的屋内。該肝在小型的 指定地理區域内，用作行動通訊和服務的調解器。可使 用該HP在目前無法存取的區域（由於不良的無線電狀況 )(例如室内或工廠的環境中）提供行勢服務。由於 H ( e ) N B可以作為對寬頻網際網路和行動網路統一的存取 點，因此其同時也是私人家庭或在家上班族（S0H0)這 部分的選擇。 在H(e)NB使用環境内，通過服務級別和使用協定將三個 相關人，使用者——HP——ΜΝ0，聯繫在一起。在本文中 ，H(e)NB儲存大量敏感資料，例如表現為行動網路定制 的HP認證資料、允許連接至H(e)NB的無線發送接收單元 (WTRU)或使用者設備（UE)列表（該列表儲存為封閉 使用者組（CSG))、和存取控制列表（ACL) °這些資 料中的一些可專門用於HP和/或使用者。同時’需要對 H(e)NB的位置進行控制，以保護行動網路不受干擾，和 防止對服務的非法擴展。 099106424 表單編號A0101 第77頁/共169頁 0993197625-0 201129129 第7圖表示在H(e)NB 705 'WTRU或UE 710和經營者核心 網路730之間的示例通訊環境。其引入了兩個網路實體， 一個負責安全，一個負責對H(e)NB進行服務。操作、管 理和維護735 (OAM)是位於核心網路回載中的功能，其 向H(e)NB 705提供遠端管理功能。特別是’其提供軟體 下載和更新、無線電和其他參數設置、以及其他類似功 能。安全閘道（SeGW) 740是H(e)NB 705進入經營者核 心網路730的主要進入點，其主要功能是保護網路73〇免 受非法連接嘗試和從欺詐H(e)NB或假冒H(e)NB所發出的 任何類型的攻擊。 第二種預期應用涉及M2M通訊。M2M設備（M2ME)典型的 例子是販賣和售票機。更高級的情況還包括，對綜合熱 電廠的遙測 '設備維護和設備管理等等。如果通過行動 網將M2ME連接至備份網路，則MN〇能向M2ME的所有者提 供增值服務，首先是通過空中（OTA )的管理。與 H(e)NB類似，M2ME受到不同於MN〇的相關人的控制。該 相關人具有特定的與MNO不同的安全需求。H(e)NB和 M2ME的安全性是重點。在這兩種情況中，其各自的威脅 、風險和之後的安全需求是類似的。 可將威脅分為六個頂級組。組1包括攻擊證書的方法。這 些方法包括對權杖和（弱）認證演算法的暴力攻擊、物 理入侵、邊頻道攻擊。和惡意的主機方複製認證權杖。 組2包括物理攻擊’例如向被操縱的設備中插入有效的認 證權杖、啟動欺詐軟體（“重新刷機（reflashing) ” )、物理篡改和環境/邊頻道攻擊。組3包括配置攻擊， 例如欺詐軟體更新/配置改變，Hp或使用者的錯誤配置， 099106424 表單編號A0101 第78頁/共169頁 201129129

對ACL的錯誤配置或攻擊。組4包括對設備的協定攻擊。 這些攻擊威脅了功能性，並直指HP和使用者◊主要例子 包括在第一次存取網路時的中間人（MITM)攻擊、拒絕 服務（DoS)攻擊、通過利用工作的網路服務的弱點來攻 擊设備和對0AM及其流量的攻擊。組5包括對核心網路的 攻擊。這是對MN0的主要威脅。其包括類比設備、在設備 間開通流量隧道、對數據機/路由器中的韌體進行錯誤配 置以及對核心網路的DoS攻擊。在的情況中，其 還涉及以不允許的方式改變位置。最後，其包括使用惡 意設備對無線存取網的攻擊 '組6包括使用者資料和標識 隱私攻擊，包括竊聽其他使用者的通用行動電信系統（ UMTS)陸地無線電存取網（jjtRan)或演進型UTRAN ( E-UTRAN)的存取資料、冒充其他使用者、向H(e)NB~ 有者公開使用者的網路ID、冒充有效H(e)NB，和通過 CSG提供無線電存取服務。 Ο 核心功能性需求對H(e)NB和M2ME來說是新的，其主要涉 及對不同相關人的認證和在相關人之間功能和資料的分 隔’即域分隔。特別是，對HP或M2ME所有者的認證應當 與設備對網路的認證相獨立。並且，必須保護Hp的秘密 資料不被另一方（即使是MN0)訪問。設備必須執行對安 全性敏感的任務’並同時對存取網和所連接的WTRU執行 安全策略。這必須能夠至少按半自主的方式來進行，以 提供服務的連續性’並避免回載鏈路中不必要的通訊。 另一個重要的安全領域是分別由0AM或0TA進行遠端管理 。設備需要安全地下載和安裝軟體更新、資料和應用程 式0 099106424 表單編號A0101 第79頁/共169頁 0993197625-0 201129129 這需要分隔認證地位，同時還要將對核心網路的變動減 到最小’從而重新使用標準的3G認證協定，例如可擴展 認證協定-認證和密鑰協定（EAP-AKA)。至此所構想的 方法包括用於HP和/或M2M所有者的分離的認證載體。在 前者中’可將其實現為所謂的HP模組（HPM)，在後者令 為受管標識（MID)。這兩者都可以是通用積體電路卡（ UICC)(即3G使用者標識模組（SIM)卡）的假名。在 M2M的情況中使用可拆除的智慧卡產生了各種安全擔憂。 一方面，需要避免必須交換這種智慧卡的維護操作，例 如用於更新或經營者變化，因為對於在地理上分散的大 型M2ME佇列來說’這樣做花費很大。另一個最近需要慎 重考慮的選擇是向設備中的安全環境下載AKA證書。—種 該選擇所允許的使用真正TC技術的可能結構是虛擬81材。 在任何情况下’女全性需求以及向級OTa或遠端管理都 需要M2ME和H(e)NB有特別的安全性特徵。可將τγε用於 該目的。TrE需要安全地與系·鼻_部分互動。觀察TrE 的介面很有意思’因為這些介面是ts的TCB與平台剩餘部 分進行通訊的通用模型。盖本上，iTrE的安全啟動流程 中初始化所有TrE介面’因此&忍為其正確操作。τγε介面 有兩種寬泛的安全類型。第一，有未受保護的介面。這 些介面使得具有設備通用源的TrE免受篡改和/或竊聽， 所述没備通用源被s忍為疋不安全的。即使是未受保護的 介面也可從其他安全措施中獲盈，例如資料加密，或僅 在TrE在例如安全啟動期間，對經過介面的對端資源的代 碼進行檢查後，才允許該介面可用。 第二，有受保護的介面。這些介面或使用安全協定或使 099106424 表單編號A0101 第80頁/共169頁 0993197625-0 201129129 用安全硬體，來對在其上運行的資料的完整性和/或機密 性提供保護。如果使用安全協議，則其還可以提供認證 和消息認證和/或機密性。

可在通訊實體不對通訊資料提供保護時，選擇未受保護 的介面。可當需要對TrE與該TrE需要進行通訊的另一資 源之間的資料的完整性和/或機密性提供保護時，選擇受 保護的介面。因此，TrE性能會有所不同。第8圖表示了 H(e)NB内的TrE示例’以及其可能連接的其他資源。這 是最小化的配置’該配置包括計算並向SeGW發送H(e)NB 設備認證所需參數的功能、進行剩e)NB確認的功能（包 括在啟動時，對H(e)NB剩餘部分進行碼完整性檢查）和 最小加密功能（真實亂數生成器對於認證，可認為 TrE可邏輯包含HPM。 可以很容易地將通用PVM描述的結構映射至現有H(e)NB 結構。其資料庫（V_DB*C_DB)及其管理元件對現有 H(e)NB基礎結構來說是新的。第9人圖和第9B圖同時表示

了這兩種情況，通過SeGW的H(e)NB連4，和H(e)NB與 .·：；； . .... ； HMS通過介面I-hms_d的直接連接> 第9A圖的PVM結構或系統900包括H(e)NB 905，該 H(e)NB 905包括TrE 910。訂〇 912(或使用者實體 (UE))可通過I-ue介面914與H(e)NB 905進行通訊。 H(e)NB 905 通過 I-h 介面 915 與 H(e)NB 閘道（GW) 918 進行通訊，該H(e)NB閘道包括SeGW 920。通常， H(e)NB 905與SeGW 920之間的介面i_h 915可以是未 受保護的’並可採用特殊措施來保證該頻道的真實性、 099106424 完整性和可選的機密性。可以使用I-h 915來在H(e)NB 表單編號A0101 第81頁/共169頁 0993197625-0 201129129 90 5與SeGW 920 (從而與CN之間）建立鏈路。例如， SeGW 920可以通過介面I-aaa 975與AAA伺服器進行通 訊。經營者可以建立適當的測量來保證介面的安全性。 SeGW 920可以使用I-pve介面922來在確認期間與PVE 924進行聯繫。PVE 924可使用I-pVe介面922將確認結 果發送給SeGW 920。可將I-dms介面930用於在H(e)NB 管理系統（HMS) 935與SeGW 920之間所進行的與設備配 置有關的通訊。PVE 924可使用I-pd介面932來與HMS 935進行通訊，反之亦然。可在設備.管理過程中使用該介 面I-pd 932，用於設備軟體更新和:配軍變化。 PVE 920使用介面 I-v 926和I-d 938來從V_DB 940 中 讀取RIM，HMS 935可使用介面I-v: 926和I-d 938從 C_DB 950中讀取允許配置。介面I-r 928和I-c 934可 由PVE 920用來（例如在V-DB 940中丟失RIM的情況下 )與RIMman 960進行通訊，和由HMS 935用來與CPman 970進行通訊。RIMman 960和CPman 970可分別使用介 面I-rdb 962和I-cdb 972來讀取、寫入和管理對資料 庫乂_08 940和配置策略資料庫C-DB 950的確認。 第9B圖表示了 PVM 982，其中H(e)NB 905可直接與DMS 935連接。例如在回落模式情況下，在該模式中 H(e)NB 905不能與SeGW執行安全協議。在這種情況下， HMS 935可通過介面I-dms_d 984作為H(e)NB 905的第 一連接點’並通過介面I-pve 986和I-pd 988與PVE 924進行通訊，以執行確認，或至少獲知哪些元件在安全 啟動中失敗。HMS 935可根據該資訊進行修正操作。 可以多種方式將使用PVE的確認直接映射至H(e)NB情況 099106424 表單編號A0101 第82頁/共169頁 0993197625-0 201129129 ^薦或能㈣適當減的實體（演進的邮（ eHMS))來執行DMS功能。 對於基於策略的更新，C-職供了策略，能夠指明模組 的重要性和模組的各個發佈版本的互操作性，例如—此 模組對於操作來說是重要的，而—些不是。這有助於= 制更新的大小，並提供補丁，而不是整個初體更新。最 簡早的策略可以是將所有模組都定義對H(e)NB操作重要 ，這樣就會執行韌體更新。 Ο 當模組測量失敗時，6_檢查策略，以查找該模組的危 險程度，及其對模組互操作性的影響。_據該檢查建 立可用補丁列表。該補丁可以集中或單獨地發送至設備 ，以用於應用。在其他情況中，每個傳輸單元都是受到 完整性和機密性保護的。鏈路必須按順序發送封包，且 不能丟失。當接收到所有補丁時（例如由eHMS通過終止 Ο 封包或標記來指示），如果需要的話，致備向6龍§發送 所接收的補丁列表，以及其測量值，以驗證更新資訊， 或如果由eHMS發送集中的和單獨的補丁測量，則設備對 補丁執行本地驗證，並開始應用。在應用該補丁之後， 系統在正常模式中啟動，開始設備確認過程乂 也可進行以下過程，每當製造商發佈新的韌體版本時， 使eHMS向設備發送更新通知，設備使用ecb進行啟動，並 向eHMS發送測量。該“㈣提供補丁或完整的韌體更新， 之後進行相同過程。 在非基於策略的更新的情況中，一旦發生任何測量失敗 ，HMS都通過安全鏈結發送完整的新韌體。設備對該韌體 進行驗證，將其應用，並在正常模式中啟動。 099106424 表單編號A0101 第83頁/共169頁 0993197625-0 201129129 在處於之前已知的良好狀態的情況中，如果H(e)NB支援 儲存系統狀態，則eHMS可在撤回測量失敗的補丁時，要 求H(e)NB返回之前已知良好狀態。可使用該方法來將系 統返回出廢狀態。該之前已知的良好狀態可以是經pVE、 eHMS或S(e)GW證明的狀態。 H(e)NB可返回之前已知的良好狀態，可對系統狀態提供 完整性保護，可對之前所儲存的系統狀態提供恢復操作 ，以及可能需要在設備受攻擊的情況下保護該恢復操作 〇 現在描述對通過公共網際網路連接的設備進行確認的示 例。對於通過不安全的初始鏈路，例如公共網際網路， 分別連接至SeGW、CN的設備，需要採用特殊的要求來確 保確認初始步驟的安全。這些特殊要求同時還可用於 H(e)NB類設備，這類設備請求從SeGW建立這類連接，並 通過該連接進行確認。儘管這裏描述了網路實體的 H(e)NB對等物（counterpart)(例如HMS而不是PVM的 普通實體），但是應當清楚，一些方法和裝置只能用於 非H(e)NB的設置中。通常，需要將確認和認證與初始連 接的前幾步相結合’或甚至結合到相同的資料結構中。 現在描述兩種方式來將確認和認證與專門協議’例如TLS 和IKEv2進行結合。 IKE、ISAKMP的傳輸協議定義了大量玎用的證書簡檔， 該簡檔允許使用正式功能變數名稱（FQDN)作為II)。可 將設備證書和TrE證書分開保存。但是’也可將TrE證書 放入設備證書中。如果TrE具有單獨的ID(TrE_ID)， 則可使用FQDN，但是可由製造商來對TrE進行標識’而不 099106424 表單編號A0101 第84頁/共169頁 0993197625-0 201129129 是經營者功能變數名稱。 Ο 在IKE_SA_INIT階段，並且在IKE對話的第1階段完成了 Diffie-Hellmann密錄交換時，一種方法可使SeGW發送 第一認證交換消息來請求Dev_CERT，該消息包含 CERTREQ負載。之後，設備在下一消息中使用兩個CERT 負載進行回覆，一個使用Dev_CERT，一個則是 TrE_CERT。在這種情況下，SeGW延遲Dev_CERT驗證， 直到PVE已經驗證了 TrE_CERT和評價了確認資料。之後 ，繼續進行認證。在回覆僅包含Dev_CERT的情況下， SeGW回到AuV »

如果各個ID用於不同的操作目的，則Dev_CERT和 TrE_CERT之間的區別是有利的。例如，經營者可能向設 備分配了網路位址，例如IP位址，Dev_CERT可對其認證 ，並從該地址直接建立IPSec頻道。而一些類型的網路位 址可能不適用於TrE_CERT。因此，設備中兩個ID是有幫 助的。SeGW/PVE基礎結構的進一步任務是通過根據 TrE一CERT ’應用執行pVM和辅助認證，來為j)ev_CER1^ 換服務。 IKE認證消息可攜帶任何數量任何類型的負載。在每個負 載的標頭，該消息可包含“下一負載類型，’欄位。這樣 ’就可在一個ISAKMP消息中發送整個負載鏈。這可用於 將證書分隔至一個或多個初始IKE會話第2階段的ISAKMp 消息的負載攔位内。在第丨〇圖中表示了設備丨〇〇5、SeGW 1010和PVE 1015之間的示例流程1〇〇〇，該過程使用IKE 會話’將用於TrE和設備認證的證書完全分隔。從設備 1 005向SeGW 1〇1〇發送消息，該消息包含（TrE_Cert、 099106424 表單編號A0101 第85頁/共169頁 0993197625-0 201129129 VAL—DAT) (1) °SeGW 1010對所獲得的TrE證書（

TrE一Cert)進行驗證（2)。如果TrE_Cert驗證成功， 則SeGW 1010向PVE 1015發送確認資料消息（VAL_MTT )(3) °PVE 1015對設備1〇〇5進行碟認（4)，並向 SeGW 1015通知成功（5) «SeGW 1015向設備1 005發送 證明請求（CERTREQ) (6)。回應於所接收的證明請求 ，設備1005向SeGW 1010至少發送設備證明，（

Sig—Dev(Dev_ID)、Dev_Cer〇 (7) °SeGW 1010對 Sig (Dev_ID)進行驗證（8) »如果驗證成功，則向 AAA基礎結構發送設備證明（Dev_Cert)，該AAA基礎結 構回應該設備是否已知。根據本實施方式，只有通過發 送由TrE所簽名的確認資料以及由TrE_CERT所證明的標 識而被認為確認可信的設備，才能進行設備認證。這在

SeGW後對網路元件提供了擴展保護，有助於減輕DoS攻擊 〇 在另一示例中，用於補充資，料:::('丨sujiplemental data) 的TLS握手消息對TLS問候握手消息定義了擴展，該擴展 能夠在TLS握手中發送應用特定資料，例如來自PVM的確 認消息。該補充資料不能由TLS協定使用，而是由應用程 式使用，例如PVE確認引擎。有可能只允許存在一個補充 資料握手消息’而接收到多個就可看作失敗。可將所攜 帶的資料的類型和格式指定為補充資料類型（Supple-mentalDataType)，並可對發送方和接收方為已知。 在一種方式中，可以執行雙握手，從而對補充資料握手 消息中所攜帶的執行PVM資料提供保護。並且需要確保在 任何一方提供補充資料資訊之前，雙方經過了相互認證 099106424 表單編號A0101 第86頁/共169頁 0993197625-0 201129129 可以定義新的補充資料類型來承載執行PVM確認消息。則 H(e)NB可將第一個TLS握手用於與SeGW進行相互認證。 這樣可使用第一個TLS會話來保護第二個握手，並在補充 資料欄位中向SeGW發送確認資料。 在另一種方式中，可通過在第一個握手消息中發送補充 資料來在一次握手交換中發送確認資料，而不是兩次。 對於使用TLS會話票據（session ticket)擴展的確認

連接，SeGW可在確認中使用TLS擴展，來將確認結果儲存 在TLS會話票據中，該TiS擴展允許顧服器向客戶發送會 話票據，用於恢復會話和保存每個客戶的會話狀態。 Ο 在PVM中可使用這種會話票據用於平台管理。當特定失敗 元件列表的確認失敗時，SeGW從PVE接收該通知，並生成 會話票據。使用128位元的AES對稱密鑰對該票據加密， 該密鑰不對H(e)NB公開，且該票據的完整性受到基於雜 湊的消息認證碼（HMAC)的保護。這樣，k票據就不會 被H(e)NB修改，且常#H(e)NS發送時，其他網路實體能 夠認出該票據。之後，TrE可將該票據安全儲存，並在新 的TLS會話中使用該票據用於平台管理，而不需要例如再 次發送確認資料。SeGW還可決定會話票據的存在時間。 之後可將AES票據加密密鑰放在T_PVM中以進一步使用， 或直接發送給其他實體。之後，可以將該密鑰以及例如 票據時間印記和詳細的確認結果，從PVE發送至HMS。通 過使用該TLS會話票據，H(e)NB可直接建立用於進行平 台管理的安全連接。這將依賴於H(e)NB及時地跟縱平台 管理，並在票據失效前聯繫HMS。 099106424 表單編號A0101 第87頁/共169頁 0993197625-0 201129129 當H(e)NB已經通過使用會話票據所建立的連接與HMS7° 成修正時，可將會話票據用於重新確認。第一少是使用 舊的票據從H(e)NB向SeGW建立新的TLS連接。之後’ SeGW受控制的制該票據是來自實際已與HMS完成了官理週 期的H(e)NB。在管理完成後，SeGW查找並將該票據資料 與HMS所返回的了_?"進行比較。如果找到正確的T—PVM ，則可接受該使用TLS票據的重新確認嘗試，從而例如防 止受到使用TLS票據為重播而發起的D〇S攻擊。TLS票據 可被接受用於重新確認，否則會認為其失效，這是因為 與HMS所進行的修正過程會花很長時間。完成該操作不會 對安全造成較大損失，因為SeGW具有帶時間印記的 T-PVM可用於比較。 現在描逑進行自主確認（ΑύΤ)的PVM的示例。AuV方法 不向SeGW傳送任何確認資料，因此不需要為設備的初始 網路連接而對現有協定進行任何改變。因此，在設備安 全啟動期間，PVM系統獲知關於驗證結果的任何事。唯一 所傳輸的設備專甩資訊是Dev_ll)。

AuV限制了根據平合認證結果來管逢設備的可能性。特別 是，沒有直接的方法來區分出初始向網路進行認證的設 備’和在更新後為重新確認而執行AuV的設備。如果設備 管理是基於AuV的，則需要在網路中有資料庫，用於儲存 設備狀態歷史。現在描述的示例方法能夠有效地根據AuV 至少執行基本設備管理。 現在描述用於僅能進行Auv的設備的H(e)NB修正的示例 。僅能進行AuV的設備執行安全啟動，該安全啟動當且僅 當設備完整性驗證成功時，才允許設備執行設備認證過 099106424 表單編號A0101 第88頁/共169頁 0993197625-0 201129129 程。如果任何元件的完整性檢查失敗，則可認為該設備 的完整性檢查失敗。但是，通過使用FBC圖像，該設備可 聯繫指定的HMS ’以進行設備修正。 一旦與修正HMS的連接建立，則可替換H(e)NB的正常代 碼圖像和/或可信參考值。當修正過程完成時，H(e)NB應 重啟，並再次重新開始完整性檢查過程。 如果一組預定條件滿足，貝可使用FBC。一個示例條 件是FBC被安全的儲存在設備中。另一條件是可在安全失 敗的情況下載入和啟動FBC。而另一個條件是指定

H(e)MS的位址安全地儲存暴FBC圖像中。而另一個條件 ... ... . 是FBC可向指定H(e)MS發送事故信號。該信號可包括設 備ID，且該消息可受到密鑰的完整性保護，該密鑰作為 FBC的一部分安全地儲存。進一步的示例條件是當接收到 該信號時，H(e)MS可確定設備的完整性檢查失敗，需要 進行維護。而另一個條件可以是FBC可包含的功能可實現 由網路觸發的完全代碼重建。另一個條件可以是FBC可包 含的功能可實現由網路發起的TRV替換。

第11A圖和第11B圖表示的示例方法用於在完整性驗證失 敗後，由FBC所實現的設備修正。R〇T 1100檢查事故標 記（1)。如果該標記為空，則R〇T 1100檢查TrE 1105 的完整性（2)。如果設置了該標記，則R〇T 1100載入 FBC(3)。如果完整性檢查成功，則RoT 1100載入TrE 1105(4)。如果完整性檢查失敗，則RoT 1100設置事 故標記，並重啟（5)。一旦載入了正常代碼，則TrE 1105對正常代碼的完整性進行檢查（6)。如果完整性檢 查成功，則TrE 1105載入正常代碼圖像（7)。如果完 099106424 表單编號A0101 第89頁/共169頁 0993197625-0 201129129 整性檢查失敗’則TrE 1105設置事故標記並重啟（8) 。如果RoT已經載入了 FBc，則由FBC啟動，向HMS發送用 於修正的事故信號（9)。 現在描述使用AuV進行修正和配置改變的基本方法的示例 。在AuV期間，唯—發送給seGW，且可能在平台管理中使 用的單獨資訊是設備標識。因此，一個實施方式中可向 設備分配多個標識，以在Auv中使用該標識來對（有限數 量的）狀態（例如元件完整性驗證失敗）進行通知。在 另一個實施方式中，可使用組ID來通知驗證結果，該組 ID不是專用於任何一個設備的*可根據安全啟動流程的 步驟來將管理標識分組。例如，DevM_ID3b用於通知階 段3b失敗’ DevM_ID3a用於適知階段3a失敗，和 DevM_ID2用於通知階段2失敗ά階段1失敗不能通知，因 此此時設備缺乏通訊能力。 在另一AuV使用情況的例子中，設備可在失敗和執行回落 代碼後嘗試連接HMS，作為下一步操作。 在1¾段2中某'一個或多.個元件...的失敗並不能表明該設備不 能進行通訊。應將該階段理解為惠藝特定類型的元件分 類。只要在階段2中載入了最關鍵的元件，設備就能夠將 其狀態和失敗元件發送給PVM系統。這種情況是如果設備 上有策略管理器，該策略管理器由HMS維護，並提供標準 框架，在該標準框架下都能進行連接。 為了安全性’必須將DevM_IDn和相關認證資料（例如私 人密鑰）保護好，否則攻擊者會進行欺詐攻擊，從而破 壞管理過程。這是十分危險的威脅，因為管理ID對大量 設備都是相同的。一種解決辦法是僅使用該資訊來設計 099106424 表單編號A0101 第90頁/共169頁 0993197625-0 201129129 平台管理過程。通過將第一確認結合到重新確認，能夠 為唯一設備通知管理流程的成功’該第一確認通知某些 未知標識的設備的失敗。確定有多種方法可執行該操作 。在一個示例中，在設備已經認證了管理標識中的一個 之後，SeGW運行補充協定，設備必須在該補充協定中對 原始Dev_ID進行認證。在另一種方法中，通過交換特定 秘密，設備和PVM系統以及特別是SeGW建立了管理會話， 該管理會話覆蓋第一確認過程和第二重新確認過程。 現在描述補充認證協議的示例。設備和SeGW已經完成了 對設備的第一認證協定，設備在該第一認證協定中對其 管理標識DevM；_.IDn中的一個進行認證。其中，假設它們 已建立了加密的和經認證的通訊會話《ί之後，設備可只 發送Dev_lD和用於該Dev_ID的認證資料。例如，可通過 該建立的安全頻道來發送簽名消息和公共密鑰證書。這 就破保了没有其他方知道該請求管理的設備的標識，也 不會使用該資訊來破壞管理過程，即，不會在重新確認 前使設備無效，或假冒該設備。

SeGW將DevM一ID和Dev_ID發送給PVE，PVE將其插入需要 管理的設備列表。之後，PVE將所需的設備管理操作通知 給DMS，例如“安裝階段2回落代碼” °DMS通過之前由 SeGW所建立的安全頻道，將相應代碼下載至設備。在正 常PVM中，之後系統啟動設備的重新確認。 當管理成功時，之後設備在AuV中對其原始Dev_ID進行 認證。SeGW將其通知給PVE，PVE在重新確認列表中找出 該Dev_ID，並將其刪除。否則，設備可再次對管理id進 行確認’也將該管理ID找出，並根據策略進行進一步操 099106424 表單編號A0101 第91頁/共169頁 0993197625-0 201129129 作。 現在描述建立管理會話的示例。該實施方式與其他實施 方式的不同之處在於PVM對唯一的單獨敦備進行管理。可 在設備與SeGW之間的通訊協議中建立該營理會話。這種 方法的作用是實際通過建立假名，使設傷標識對pvM系統 保持未知 j正常的協定執行中’可能會限制協議建立這種永久秘 密的能力。例如，公共密鑰建立協議，例如 Hellman (D-H)，滿足一種稱為聯合密鑰控制的屬性， 使得所建立的密鑰依賴於雙方(也雜是說，雙方在協定 f 中插入（偽）隨機資訊，以在每次執行中產生不同密錄 。覆蓋了多方的會話執行不能使用這種協議來建立。 因此，SeGW和設備必須在特殊的協定中建立秘密，例如 通過使用發問（Challenge) 一回應。可由設備或引 起發問，該回應必須滿足，在第二個執行（即重新確認 )中的第二個回覆與第一回合中的回覆相同。在簡單的 實施方式中，設備只需在重新相中示出從se_㈣ 臨時用法，而SeGW在表中查找該臨時用法。因此該臨時 ' 用法為假名。可使用更複雜的加密協定。 之後，可按上述來進行重新確認。但是，其區別在於， 在此方法中，SeGW由於操作原因而對重新確認的設備的 資訊進行維護，因為該資訊會在SeGW與設備間的重新確 認所用的協議執行中被使用。 現在描述用於H(e)NB的基於〇ma設備管理（DM)的結構 的示例。OMA DM是由開玫行動聯盟（〇ma)設備管理（ DM)工作組和資料同步（DS)工作組所聯合規定的設備 099106424 表單編號 A0101 第 92 頁/共 169 胃 0993197625 〇 管理協定。OMD DM是為小型行動設備而形成的，例如電 話或PDA。其不支援設備與DM伺服器之間的寬頻有線連接 ，而僅支援短距離有線連接，例如USB或RS232C，或無 線連接，例如GSM、CDMA或WLAN。但是，其可用作 H(e)NB (尤其在將自身作為與之連接的CSG和非CSG WTRU的基地台的同時，還將其自身作為核心網路的WTRU 的H(e)NB)的設備規定和管理協定。 OMA DM所用於支援的使用情況，例如提供，包括首次設 備配置和實現或禁止特徵、設備配置更新、軟體升級和 診斷報告和查詢。雖然譟備可以__轉執行這些特徵中 ... ... .，：：. 的一些或全部，但OMA DM伺服器端可支持所有這些功能 Ο ί·.. . ·畢:罨rk 芒藝.：.:響'':_ It 可將0MA規範最佳化為對連接受限的小型設備支援上述特 徵。其還可使用認證支持集成的安全性(例如通過使用 類似EAP-AKA這樣的協議）。 OMA DM使用XML (或更準確地，SyncML的子集）來進行 資料交換。這可用於提供一種可標準化且靈活的方式， 來為了確認的目的，而為軟體模組或H(e )NB的功能定義 和傳送屬性。 在DM伺服器與使用者端之間進行設備管理，該DM伺服器 例如是設備的管理實體’該使用者端例如是被管理的設 備。該OMA DM支援傳輸層，例如WAP、HTTP或OBEX或類 似傳輸。DM通訊由DM伺服器通過使用通知或報警消息’ 採用任何可用方法（例如WAP推入或SMS)來非同步啟動 。一旦在伺服器和使用者端之間建立了通訊，則可交換 消息序列，以完成指定的1^任務。 表單編號A0101 第93頁/共169頁 〇9( 201129129 該OMA DM通訊基於請求-回應協定，其中’通常由训伺 服器發出請求，而客戶以回覆消息作為回應。伺服器和 客戶都是記錄狀態的’即在内建的認證過程之後’可出 現由於特定順序而進行交換的任何資料。 由於DM通訊可由DM伺服器來啟動，因此通過DM執行PVM 可能需要基於伺服器查詢的方法來進行確認。例如，可 以採用使用了 IKEv2的設備認證過程，該過程可由設備啟 動。可考慮將多種不同消息類型作為確認資料的承載。 例如，可在失敗軟體模組或設備功能列表中發送。在另 一示例中，可從設備向伺服器發送管理巍警消息。可替 換地，還可考慮通用報警消息（在來自設備或伺服器的 至少一個管理報警消息傳輸之後，該通用報警消息只能 從設備發送至DM伺服器）的使用者。這些消息（包括報 警消息）可使用SyncML格式，該格式在指定内容和用於 該内容的元資料方面具有靈活性。這可用於確認資訊傳 輸。DM還可支援分段資料体輪發這可W»軟體更新’其 中更新的大小可能很大。 雖然最早的DM通訊必須由DM飼服器來啟動’但是之後的 通訊可由DM客戶使用繼續會話來啟動。DM客戶（例如 H(e)NB或M2ME)的這種能夠啟動會話中的通訊的能力可 用於由設備啟動的任務，例如由設備啟動的重新確認或 由設備啟動的確認消息傳送。 現在描述在認證證書中結合確認的示例。在認證證書中 結合確認能夠實現確認和認證的結合，從而自動將設備 的認證ID與確認結合。之後，將確認消息放在認證證書 的附加欄位中。例如，通過使用IKE協議，可以選擇地將 099106424 表單編號A0101 第94頁/共169頁 0993197625-0 201129129 廷種驗證資料放在通知負載欄位中。 如果驗證資料儲存在認證證書内，則每次設備配置改變 時都必須發佈新的合併的認證/碟認證書。必須由 來控制生成該證書’因為SeGW是負責為PVM目的進行 Dev__ID認證的實體。這可至少以兩種方式來執行。第一 ’ SeGW或從屬實體可在從DMS接收到更新的Clist之後， 生成該新證書。第二，設備可自己生成該證書，並將其 發送至SeGW*pVE，由SeGW對其簽名，並將其發送回設 備。 Ο

SeGW可在成功進行某種重新確認之後，結束該過程（或 者生成並發送新證書，或對由設備所生成的新證書進行 應《、）。這疋為了向pVM系統確保新配置實際到達了設備 〇 . 由於當設備配置變化時可能會需要新證書，因此該週期 涉及CN中的全部三個實體及設備。DMS雇發配置變化（例 如對軟體和/或參數的更新），並將新的所需狀態保存在 Ο 策略資料庫C__DB中。喪將該變化應用至設備後，需要進 行重新確認。 在示例情況中，設備應用該更新並執行重新確認。設備 可使用新軟體，但不能使用新證書，直到完成了重新確 認（特別是對成功的更新流程的）^此時，設備使用舊 的§登書來運行新的軟體配置，該舊證書與設備的實際配 置不相匹配。回應於此，向設備提供新證書用於設備認 證；當且僅當已經應用了更新時提供；且需要確保在沒 有應用更新時，不能使用該證書。 099106424 現在描述撤回設備認證證書的示例。如果在設備認證期 表單編號A0101 第95頁/共169頁 0993197625-0 201129129 間，SeGW判斷需要撤回該設備所發出的用於進行設備認 證的設備證書，貝彳SeGW可向設備指示由於證書撤回而導 致設備認證失敗，並之後將該設備從網路維護的白名單 中刪除’或反之，加入到網路維護的黑名單。設備在接 收到該指示時，就可知其證書已被撤回，且其標識已從 白名單中移除，或反之，加至黑名單中。之後設備可執 行操作，將其自身重新建立為網路中的有效實體。 如果設備II)失效，設備證書過期或發出H(e)NB設備的由 可信第三方經營者授權的實體及其相關證書請求網路撤 回證書，則SeGW可將設備證書撤回。 現在描述基於證書的確認基本方法的示例々結合證書是 簽名數據組。其由發出者、SH0、或其SeGf或負責管理證 書的等同實體進行簽名。證書中的簽名資料至少包括 Dev_ID、用於認證和確認的設備公共密鑰和Clist。 該證書可在確認和認證的合併消息中發送給SeGW。後者 是（部分）由設備使用其私人密鑰進行簽名以用於認證 和碟認的消息。該消息可包含典:他__資料，例如時間印記 和/或臨時用法，用於防止重播。SeGW檢查證書和消息的 簽名，並按正常過程進行確認。 現在描述證書交換的示例方法。通常可以採用兩種方式 。將其稱為證書前交換和證書後交換。其區別在於重新 確認使用舊的還是新的證書。這兩種方式都確保自動執 行所有所需步驟，即’要麼全部執行，要麼全都不執行 。起始狀態是設備使用舊證書運行舊配置，結束狀態是 新設備配置和新設備證書。可能需要由獨立TTP或製造商 來建立、管理和控制s忍證證書和RIΜ證書’從而設備可在 099106424 表單編號Α0101 第96頁/共169頁 0993197625-0 201129129 多個網路中使用，而不是將其固定在一個經營者上。可 替換地，新設備證書可由例如開放行動聯盟（〇MA)進行 處理，以用於設備管理（DM)，可將其擴展為包含證書 〇 在證書前交換方法中，更新包括新證書，因此’在更新 完成前證書進入設備。當應用更新後，設備使用新證書 進行重新確認。在CN中使用合適的記憶體和資料結構將 該設備標記為“正在進行更新”。例如’在認證資料庫 中設置標記。另一種方法是使用確認權杖T_PVM。 》 現在描述證書前交捧流的一値示例。如標準PVM中一樣， DMS將更新和/或改變的元件發送至設備。之後DMS向 SeGW發送新的Clist。DMS向SeGW傳遞T_PVM。這時，

SeGW (從而PVM系統）進入狀態，其中其等待設備對新配 置進行重新確認。SeGff收集需要的資訊（Clist、

Dev_Id、設備公共密鑰等），並生成新設備證書。之後 ，SeGW將該新證書發送至設備，之後結束與設備的通訊 會話。 ^ 現在，SeGW具有從DMS所獲得的T_PVM，並從而知道應等 待設備的重新確認。其在内部重新確認列表中儲存所有 用於這樣的設備的T_PVM。假設設備正確安裝了更新和新 證書，則進行以下流程。設備啟動重新確認，在確認消 息中發送新證書。SeGW通過驗證簽名資料和設備證書來 對設備進行認證。SeGW在重新確認列表中查找7*_?乂14。 進行重新確認’其中使用來自之前的確認的T_pvm (且不

再生成新的）來維護PVM系統狀態。在SeGW處而不是PVE 處進行該步驟和之前步驟，否則SeGW會自動生成新權杖 099106424 表單編號 A0101 第 97 頁/共 169 頁 0993197625-0 201129129 。因此為SeGW進行重新確認列表維護。 如在標準PVM中一樣’在多回合重新確認中連續使用 T_PVM有助於檢測重複出現的更新失敗和其他形式的性能 異常。 在進一步實施方式中，TrE具有可信更新服務’該服務允 許HMS向設備發送更新，之後在安全可信的流程中應用該 更新。可以依賴安全啟動來確保TrE中的更新服務的完整 性。當HMS使用新更新時，其可向SeGW發送權杖，該權杖 包含新更新的設備配置》之後，SeGW可為設備創建新認

證證書，並將其附加在權杖上，將該權枚發回HMS。HMS 包含新證書，以及用於設備更新撒務的更新資料。該數 據包可為TrE加密，並由jjMS簽名。可信更新服務接收該 更新封包’驗證簽名，解密資料，應用更新’並在安全 記憶體中儲存新證書。之後，TrE向HMS通知更新成功。 由於可彳s更新服務由安全啟動所保護，因此更新過程可 ^ ’從而不需要重新確認。根據更靳的類德，可能需要 重啟。在道種情況下，設備奇使用新證書在SeGW進行認 st °因此’ HMS必須確保通知7SeGW關於所要進行的重新 確認。 在另一實施方式中’如果在設備上不存在可用的可信更 新服務’則可將新證書與新軟體更新—城供，這樣證 書由密錄加密’該密賴成功安裝更新相結合。這種方 法及其所涉及的問題還需要更多考慮。 099106424 在。a書後交換方法中，更新可以不包括包含新設備配置 的新°立書叹備使用舊證書進行重新破認。在重新確認 成功後啟動新證書，並將新證書發送至設備。由於 表單編號A0101 第98頁/共169頁 0993197625- 201129129 可能沒有新配置來進行安全啟動，因此將新配置發送至 設備，儘管此時設備還沒有新證書。 現在描述經營者RIΜ遮蔽的示例。可以使用無線局域網（. WAN)管理協定來用於設備的遠端管理。第12圖表示簽名 消息格式1200的示例圖，該消息格式允許從發佈者向設 備下載軟體封包。該格式允許在一個簽名封包中發送一 個或多個檔’例如韌體更新或配置封包。接收設備能夠 對源進行認證，並包含安裝該内容的所有指令。

標頭1205可包含格式版本和命令列表及負载元件的長度 。命令列表1210包含可被執行用於安裝封包中所含稽的 指令序列。簽名欄位1215可包含數位簽名，由標頭和命 令列表組成該數位簽名所簽發的消息資料。雖然所簽發 的消息資料僅包含封包標頭和命令列表，但是由於所有 涉及負載檔1220的命令都包含檔内容的雜凑值，因此該 簽名可確保整個封包的完整性。

在經營者RIM遮蔽的情況下;，DMS對命令列丨表簽名，並將 軟體更新封包及其各自RIM放在消息的負載中。之後，設 備的TrE使用公真密鑰對DMS的簽名進行驗證。可在製造 或配置時，或由經營者信任的CA，使該公共密鑰為TrE可 用。可將所有對公共密鑰進行驗證所需的根證書安全地 儲存在TrE中。命令列表則包含安裝軟體的命令和用於使 設備獲得RIM的命令。這向經營者提供了有效的方式對設 備上的軟體和RIM安裝流程具有完全的控制。在這種實施 方式中，不會出現向設備顯性地傳輸RIMc。

現在描述使用第二編碼基底進行修正的示例。安全啟動 失敗’例如在通用PVM設備模型中階段2失敗，會在比TrE 099106424 0993197625-0 表單編號A0101 第99頁/共169頁 201129129 更大的範圍上產生問題，該問題是TrE用於向載入至正常 操作空間的修正元件擴展信任時不可信。因此，為了啟 動修正，需要呼叫FBC，但是需要在了^内部運行，以至 少用於最重要的功能性加密和修正協議堆疊。 在特定情況下，可以從外部安全源，此處稱為FBC載體（ carrier )，獲得FBC。這可由以下流程完成’該流程一 部分在帶外，且可以要求人工參與，例如向H(e)NB設備 插入智慧卡。該過程可通過將第二安全元件（智慧卡） 用作FBC載體（該FBC載體安全儲存並保護FBC代碼）或 通過在修正初始化過程中明確要求人工參與，來提供增 強的安全性，以減輕簡單自動的dm攻擊，並可按照約定 定期的從HP中獲得。該外部載體FBC可以是保證設備簡單 便宜、TrE簡單的措施。該外部載體FBC可承載FBC的可 執行二進位碼，包括修正所需的所有秘密，當需要時， 還可額外為FBC提供安全的操作環境。在設備位於遠端或 難以接近的位置的情況中’不再適用使用單獨的FBC載體 。此處所述的在三個實體之間爹立信任的流程與之前所 述的各種“可傳遞的信任”過程相蘋似。 以下過程可用於外部FBC載體，例如UICC、智慧卡或具有 其自己的處理單元的安全儲存卡。TrE是依賴方，其要求 載入經授權和4¾證的FBC代碼。另·一方面，只要用於修正 的憑證一直受到保護，向未授權方顯示FBC代碼風險就較 小。因為要執行帶外過程，TrE向FBC栽體的認證不是太 大問題’在該帶外過程中，TrE和設備實際並不完全可信 。這也是載體不應向設備顯示用於HMS存取的憑證的原因 。可能需要顯示FCB ’但風險較小。 099106424 表草編號 A0J0】 第】〇〇 頁/共 169 頁 0993197625-0 201129129 因此，可使用以下授權或通訊順序。該帶外或人工參與 的步驟只是為了表示特殊使用的情況，在其他方法中可 使其自動化或集成，例如將FBC載體嵌入H(e)NB中。在 這種基於回落代碼的過程中，通訊可能會非常簡單，因 此可將認證和授權結合在單個協定步驟中。 Ο

首先’階段1的啟動成功，階段2的啟動失敗。TrE停止， 進入“等待FBC”狀態，並閃爍LED，或提供其他類似的 失敗指示。使用者/HP插入FBC載體。在本實施方式中， FBC載體’例如諸如主機方模組（HPM)的智慧卡，通過 使用特定物理介面來通知FBC載體的授權秘密的存在和/ 或提交，例如OTP或簽名臨時用法，來將其自身向TrE授 權。在TrE和FBC之間，建立安全關聯（SA)，即加密和 受完整性保護的通訊會話。之後，將FBC載入至安全環境 中，該安全環境可由TrE或FBC載體或這兩種環境性能的 任何結合來提供。之後，如果需要的話，可對FBC進行整 體性檢查，之後對其載入並啟動。Η 在安全啟動後，FBC使用秘密向載體表示載入成功，並在 TrE (FBC)與載體之間創建新的SA:。用於修正的憑證留 在載體中’但FBC包含用於HMS發現的資料。FBC聯繫HMS 。通過使用受智慧卡保護的憑證，在智慧卡和HMS之間建 立端對端SA，該憑證依然完全對TrE (FBC)不可用。現 在’ HMS得知有效TrE (FBC)請求修正。智慧卡將通訊 會話交給TrE (FBC)，TrE (FBC)向HMS展示其ID。 HMS啟動修正過程。該授權秘密需要保護好，因為這類連 接可用於多個設備，因此其破壞是災難性的。一種用於 執行授權的方法將受TPM保護的授權秘密（例如1 6〇位hw 099106424 表單編號A0101 第101頁/共169頁 nqc 201129129 保護的值）用作獲得所有關係過程中所創建的。根據該 實施，可直接從FBC載體啟動FBC，之後FBC載體必須提 供安全可靠的操作環境。在這種情況下，甚至還可取代 受攻擊的TrE。一個例子可以是當FBC載體包含安全元件 時，由微處理單元和記憶體獨立操作FBC。可通過公共介 面（例如USB、JTAG)將FBC載體連接至設備，並直接向 設備内的元件認證，之後取代受攻擊的元件和可能的TrE 元件。在另一種方式中，如果使用了簽名代碼圖像，則 FBC載體設備可取代包含簽名的圖像。 由於在一些情況中，由於TrE不是完全可信的被用於正確 載入和操作FBC，且在多數情況下，其不能對載入至FBC 載體中的FBC進行確認，因此需要進行一些安全增強，從 而F B C載體必須在遠端編碼基底執行中建立信任。例如， FBC載體可生成一次性秘密，並使用混淆方法將其嵌入 FBC中。可替換地，載體可與FBC—起，或緊隨FBC之後 ，發送另一授權秘密，該秘密只能由成功啟動的FBC識別 和使用。該秘密由成功啟動的FBC用於從TrE中受保護的 . ..... . Ί: . .. .... 空間獲得緊接著下一步通誧中所用的通訊秘密。 現在描述為回落代碼使用内部並行碼庫的示例。内部並 行碼庫可包括觸發機制和實現修正所需的回落編碼基底 。例如，H(e)NB可包含兩個代碼圖像’ 一個是正常模式 ，一個是回落代碼圖像（FBC)。可在各個階段中對AuV 和SAV都執行正常模式呼叫。在階段1中，ROM中的RoT對 TrE進行驗證。如果TrE有效，則可檢驗下一階段的元件 。如果之後任何元件的完整性檢查失敗，則將代碼卸載 回到TrE代碼的開端。此時，TrE可開始檢查回落（例如 099106424 表單編號A0101 第102頁/共169頁 0993197625-0 201129129 修正）代碼。如果回落代碼通過了完整性檢查，則將其 載入並啟動。該回落代碼可包含設備管理（DM)碼的一 些最小集合，用於與HMS建立連接。一旦與HMS建立了連 接’則可標識出失敗的模組，並將更新發送至HNB。在修 正流程完成時，H(e)NB可重啟，並重新開始確認流程。 可保持回落代碼尺寸較小，以促進與HMS進行通訊。由於 代碼可“回落”至TrE中，且使用回落代碼進行載入，因 此可不需要觸發機制或暫存器。 現在描述另外一種形式的“混合（内部/外部）碼庫”。 可在例如上述並行碼車_情況中將FIC儲存在設備内，但 是，FBC在設備上是加密的Y並受到完整性保護。不能使 用TrE自身來對FBC解密，否則，受攻擊的TrE會導致FBC 本身受到攻擊。該混合方案將用於FBC的解密和驗證密鑰 儲存在外部安全元件（例如智慧卡或UICC)上。在啟動 失敗的情況下，TrE通知該失敗，並要求使用者/HP向設 備中插入認證權杖，即智慧卡。根據設備屬性，兩種選 擇可用。在第一種選擇中，認金權杖只儲存密鑰内容， 並與TrE進行相互認證，在該相互認證之中或之後，TrE 接收所需密鑰内容。TrE對FBC執行完整性檢查和解密， 之後載入並啟動FBC。在另一種選擇中，對認證權杖進行 改進，使其能自動對儲存在設備上的FBC進行驗證和解密 ，之後或者通過僅使用設備資源（例如，使用部分TrE來 提供安全的執行環境），或者通過在該認證權杖自身内 部所提供安全的、可執行FBC的執行環境來執行該FBC。 這種方式能夠允許使用設備較大的儲存空間進行FBC儲存 ’還合併入了附加外部安全元素的安全性。 099106424 表單編號A0101 第103頁/共169頁 0993197625-0 201129129 現在描述狀制㈣順和味㈣施方式。設備管理 協疋可在遂端β又備上疋義用於安裝和改變軟體配置的協 定和命令’並可包括“重啟，，命令。其可以不包括獲知 發送“需要修正”肖息的設備。但是，通過將例如SAV的 確—果與汉備官理協定相結合，廳可使用設備管理協 定來對軟體S件啟動重新安裝或重新設置，並之後發佈 用於重新確認的重啟命令。 可替換的’雨能_除或卸載部分正常代碼，只留下剩 餘的正常代碼’並啟動重啟’重啟之後進行重新球認。 可對獸規定需㈣1心_正常制的列表。可

替換地，™:可從外部安全元件（例如智慧卡（例如HPM ))獲件該列表。可替換地，FBC可從基於網路的實體（ 例如H(e)MS)獲得該列表。 為了使錢制安全操作’設備上可能需要有可信應用程 式’該可信應祕切包含以下屬性：完整性受保護； 在設備中安全_存；能在安紙動k敗的情 況下啟動 ，向HMS建立（安全）連接，能夠對來自刪的軟體和命 令上的B進行魏；_對設備上的㈣進行安裝/卸 載；以及能夠對設備需要修正進行報告。 可以使用可a/U餘的第二碼庫來負責該應用程式。從上 述描述和根據上料求，該第二碼庫向設備巾引入一些 額外的冗餘碼。在設備中正常、成功的安全啟動的情況 下，可能會需要該碼庫所提供的所有特徵。第二碼庫的 所有特徵都可在第一碼庫中存在。 另一種方式是用順序設計代替並行設計。這會涉及以下 順序。一旦成功’ r〇T驗證並啟動《prE。之後，一旦成功 表單編號A0101 第104頁/共169頁 09 201129129 ，TrE對修正代碼進行驗證。一旦成功，TrE對剩餘的軟 體元件進行驗證。如果不成功，TrE儲存失敗模組，並設 置標記’表示設備需要修正。之後，TrE觸發設備重啟。 一旦重啟，對修正代碼進行驗證後，TrE傳送對修正代碼 的控制，並釋放失敗模組列表。之後修正代碼可為設備 修正流程使用該列表，並聯繫HMS。 現在描述使用安全性策略屬性的SAV的示例。向pvE通知

哪些模組的内部完整性檢查失敗可包括為H(e)NB的所有 結構和模組建立所有SW模組的標準化列表◊也可生成安 全性桌略屬性（SPA)的標準化列表^該spa可以是策略 ，該策略通知PVE如果特定SW模組的完整性檢查失敗，應 當採取怎樣的操作。PVE不需要知道其:他有關該失敗模組 的資訊。

可對SPA碼進行標準化，其可包括以下代碼。“〇〇”模組 失敗可表示網路存取被拒絕。所有這種類型的模組都會 是在階段2中，但在階段3的模組中也包含該碼可實現靈 活性。01模組失敗可表示允許暫時網路存取。如在 修正部分所描述的，設備可使用該暫時網路存取來進行 修正，例如通過使用修正中心來修正失敗的sw模組且 如果修正不成功，則可停止網路存取。“02，，模組失敗 可表示允許網路存取。這可以是指允許對失敗Sff模組進 行修正的修正巾^，並可在修正不成功時，保持網路存 取。03模組失敗可表示允許網路存取。其可刪除/禁 止/隔離失敗的SW模組，並且如果操作不成功，可停止該 網路存取。“04”模組失敗可指示允許網路存取。其可 刪除/禁止/隔離失敗的sw模組，並且如果操作不成功， 099106424 表單編號A0101 第105頁/共169頁 0993197625-0 201129129 可保持網路存取。“05”模組失敗可表示允許網路存取 ，並可忽略sw完整性失敗。“06，，可指示其他失敗。 可將單個SPA與H(e)NB中的每個階段3的別模組相關聯。 則sw模組的實際識別字可由H(e)NB的每個構造和模型所 有。在SAV 中，H(e)NB 已向 SeGW 發送了 H(e)NB_ID，網 路可使用該H(e)NB-ID來標識H(e)NB的構造、模型和序 列號。對於每個階段3完整性檢查失敗，H(e)NBs通知負 載中放入其所擁有的SW模組ID和相應的SPA。如我們現有 的每個SAV機制一樣，該負載被轉發至pvE。 PVE檢查SPA，如果存在任何spa = 〇〇，則SeGW不被授 權對H(e)NB准許存取。如果spa = 〇1或〇2，則觸發修 正流程。PVE發送H(e)NB—ID和SW模組ID。修正中心可 使用H(e)NB_ID來對其所擁有的sw模組ID進行交又參考 ，這樣其可向H(e)NB下載正確的更新。

如果有任何SPA = 03或04,則PVE可向SeGW發送適當的 指令。如果有任何SPA = 〇5，卿H(e)MS或其他網路元件 可儲存用於管理目的的資料V 可選地，非0 0的SPA可能會涉及—些重啟/重新破認和 ACK消息。SPA = 00與AuV的最終結果一樣，除非網路現 在具有一些關於不良H(e)NB的資訊，且可採取管理操作 。可選地，可不通知PVE關於通過了完整性檢查的模級。 如果FBC支持基本通訊，則可將卩…擴展為包括階段2模組 的失敗。SPA可以是包含SW模組Π)的物件的一部分。需要 將其儲存在TrE中。不能將其作為別模組的一部分進行儲 存，且在SW模組的完整性檢查失敗的情況下，其不可信 099106424 表單編號A0101 第⑽頁/共169頁 0993197625-0 根據風險評價流程，分配給每個sw模組的SPA與每個 H(e)NB提供者_致，其作為叫疊的㈣確定流程的— 部分…旦提供者減營者建立了聯繫，—新SW模組 分配SPA就變得簡單。根據之前成功的類型確定，信任由 所建立的提供者來分配適當的SPA。 為了減少對H(e)NB結構的SW結構進行標準化的需求， H(e)NB的SW結構可按碼塊的方式來定義，其中根據完整 性檢查或可修正的内容，來將該塊定義為最小原子塊或 置。不可定義各個塊功能。例如，從完整性檢查的角度 來看，所有的階段3 SW可作為一個單獨的塊。可替換1 ，可將塊1 : 1地映射至實際的⑽應甩程式，或應用程式 内的敏感物件。可將SPA應用至卯塊^當由於〇1或〇2的 SPA而呼叫修正中心時，其下载所需塊。塊1]}可涉及賣方 ，其結構可以不是標準化的》 如果在設備確認中使用了 SPA，則可將spa安全地儲存在 TrE中，並與SW識別字結合> 這可例如顧麗，不會為另一 具有00-SPA的元件^播05-SPA。因此，PVE能夠驗證 所接收的SPA實際屬於H(e)NB中所載入的元件。 可使用由設備最早的初始網路連接所啟動的登記流程來 將SPA從设備女全地傳輸至(；_〇6，並儲存用於以後使用。 之後，設備可以報告失敗元件的Sw_id，且pve能夠從本 地資料庫中檢索出相應的SPA策略操作。這可用於低帶寬 連接的設備。 現在描述用於對SPA進行分組的實施方式。如果將外八本 地儲存在TrE中，則TrE可檢查所有失敗代碼及其spa， 對其進行處理，並發送更加概括的階段完整性檢查。失 表單編號A0101 第107頁/共169頁 201129129 敗模組及其SPA可包括表1中所示的情況。 [0005] 失敗模組ID SPA 00 01 01 01 02 03 03 03 04 03 05 04 表1

TrE可對表2中所示的資料進行處理。 SPA值 模組 01 00，01 03 02, 03, 04 04 05 表2 可發送由SPA所指示的具有不同失敗級別的模組列表，而 不是所有SPA值。 因此，當在通知消息中定義了 一些位元塊時，可具有如 表3所示的映射關係。 SPA 模組值 00 空 01 00，01 02 空 03 02， 03， 04 04 04 表單編號A0101 第108頁/共169頁 0993197625-0 099106424 201129129 表3 資料的緊密度依賴於預期失敗模組的數量。例如’如果 對於大部分SPA，都有平均多於1個模組失敗，則資料會 更緊密（compact )。

第13圖表示通過遠端證明進行確認的方法的示例圖。確 認實體1300接收SML和簽名的PCR值。該SML包含擴展到 各個PCR中的所有檔的有序列表。確認實體1 300對SML中 的每個項執行以下步驟。確認實體1300查詢指定檔案名 是否存在於已知良好雜凑值的本地資料庫1310中（1)。 該資料庫131 β包含所有認為可信的檔案名和二進位RIM ( Ο 例如雜湊）。如果在資料庫中找不到檔案名，則認為其 不可信（2)。確認實體1 300可將RIM與SML所報告的測 量值進行比較（3)。如果不匹配，則平台的二進位值已 被（使用者、不良軟體或其他實體）改變。在這種情況 下，平台不可信（4)。確認實體1300#對虛擬PCR執行 擴展操作（5)。實質上，確認實體所執行的操作與平台 在執行和測量期間的完全相同。在該流程結束時，將虛 擬PCR值與平台所報告的值進行比較（6)。如果不匹配 ，則SML已受到篡改（例如，如果從SML刪了一行，但向 PCR提供了雜湊值，則虛擬PCR齊所報告的PCR不匹配） 。則認為該平台不可信（7)。 作為一種用於報告Clist中的所載入的元件列表，或用於 報告在F-SAV情況下失敗的元件列表，或用於報告測量的 方式，可在模組間採用分級關係來減少所要報告的元件 數量，並用於時間延遲要求。在第14圖中表示了示例安 099106424

表單編號A0101 第109頁/共169頁 0993197625-0 201129129 排。這種安排向模組自動引入了自然順序。因為由於〇s 、協定堆疊、管理模組和其他模組的原因而使可能模組 的數量很大’因此模組數量可以很大。 在成功的安全啟動之後，PVE或SeGW必須向設備發佈證書 ，該證書指示成功啟動。這種證書包含的資訊元素例如 是TrE_ID、（軟體、硬體的）版本號或軟體的雜湊值和 安全時間印記 '設備位置 '模組雜湊值、模組Clist和其 他相關資訊。 這種證書可用於失敗的啟動。在這種情況下，可將資訊 發回PVE ’ PVE可認證性地驗證所報告的版本號是否正綠 。由於PVE是證書的頒發者’因此，其可採取適當的步驟 。所不同在於，PVE不像設備指示啟動成功狀態的情況一 樣’由於信任而依賴設備。但是，只有在PVE至少相信其 從設備所接收的任何資訊都涉及其啟動失敗狀況時，這 才有效。因此，在這種情況下’可將設備設計為使其能 夠檢測啟動失敗，並將向PVE報告其狀態，其未受破壞且 未受攻擊。 還可將證書用於啟動成功。在這種情況下，在之後的安 全啟動流程中，設備可以發送測量的雜湊值或測量，以 及由PVE所發佈的最後一個安全啟動證書，或指向該證書 的指標。通過這種操作，PVE可以驗證是否存在任何惡意 變化。 證書還可用於設備在一個地理區域内或經營者領域内啟 動並行動至另一經營者領域中的情況。這種情況出現在 地理跟蹤設備中。為了驗證跟蹤資料，需要知道設備是 否成功啟動，以及所生成的資料是否真實。可向這種成 099106424 表單編號A0101 0993197625- 第110頁/共169頁 201129129

功啟動證書提供由設備所生㈣資料。在證書内，可以 包含當成功實現啟動時設備所處的位置。之後，當這種 證書的第三方接收方試圖驗證證書真實性時可（較佳 地，使用不依賴於設備内部對位置資訊進行處理的方法 ，例如基於GPS的方法）來檢驗設備的目前位置，並查看 所獲得的目前位置是否與證書中的位置相匹配。如果不 匹配’則證書接收方可向設備或f理設傷重新確認的網 路實體請求對設備進行新的安全啟動和之後對完整性的 ㈣確認。當終點網路需要知道關於上-次成功啟動的 環境和配置（包括位置）時，這種包含關於上一次執行 成功啟動i也點的位置資訊的證書還可用於中途失敗的情 況。

如此所述，PVM可使用任何形式的碟認。通常，三種主要 方法是AuV、SAV和遠端確認（RV^每種方法都處理測 量、報告和強制的步驟’這些步驟與設備完整性確認產 生不同的Μ。AuV在設備本地執行所有i個步驟。RV在 本地執行測量，之後將測量報告給外部實體。由外部實 體來進行鮮卜SAV本地執行安全啟動，向外部實體報告 測量，並允許重新確認。 特別是’使用SAV㈣備可執行信任狀態測量的直接評價 ，並建立初始網路連接。可向外部實體，例如安全閘道 (SeGW)報告評價結果’以及相關參考度量。可選地， 可以報告測量和參考度量的子集。 確認報告可基於H(e)NB特徵實現對H(e)NB信任狀態的評 價’該特徵例如是其平台結構、安全性結構、安全性策 099106424 略和設備證明 表單編號A0101 確認報告可包括關於H(e)NB的資訊、 第 111 頁/共 169 頁 0993197625-0 201129129

TrE能力、測量和驗證規則、TrE的安全策略管理器能力 、測量結果、平台級別證明信息、上一次啟動時間、或 啟動計數器。 設備資訊可包括例如製造商、結構、模型號、版本號、 硬體構建或版本號或軟體構件或版本號。TrE性能可包括 例如測量、驗證、報告和強制性能。 該測量和内部驗證規則資訊可包括在安全啟動期間執行 信任狀態測量和内部驗§登的方法。例如，可以包括覆蓋 範圍，例如元件載入的名稱、類型和順序。可以包括元 件驗證的方法，例妒驗證中信任鏈的數量和範圍。可以 包括用於測量和驗證的演算法，例如安全雜湊演算法1 ( SHA-1 )擴展。還可以包括暫存器範圍，例_在啟動驗證 中所涉及的平台配置暫存器（PCR)。

TrE的安全性策略管理器能力可以包括涉及實現和強制安 全性策略的資訊。測量結果可以包括内部報告和驗證的 實際測量值，例如簽名PCR值。平合級別證明信息可以包 括通常關於H(e)NB的資訊’或，特别地關於TrE的資訊。 上一次啟動時間可以包括睛於付時執行上一次安全啟動 的安全時間印記。 啟動計數器可以包括計數器值，該計數器在出現功率循 環時，和進行安全啟動操作時增加。該計數器可以是受 保護的計數器，其不能被重設或反向，只能向前計數。 當設備首次初始化時，可將該計數器值初始化為零。 可通過將資訊結合至認證協定（例如網際網路密 錄交換 協議版本2 (IKEv2))，來經由認證和確認的結合過程 ’將確認報告結合至H(e)NB。確認報告可包括證書。可 099106424 表單編號A0101 第112頁/共169頁 0993197625- 201129129 選地，證書中玎包括所述資訊中的一些。 可替換地，確認報告可包括對提供信任狀態資訊的可信 第三方（TTP)的七標或參考，外部實體可從該ττρ獲得 信任狀態資訊。例如，確認報告可包括對單獨的設備信 任證書的參考’該證書包含信任狀態資訊。 響應於在評價期間所遇到的異常，外部實體可以拒絕網 路存取。外部實體還可以評價測量和參考度量，並可以 檢測H(e)NB未檢測出或未報告的錯誤。可替換地，可向

H(e)NB許可進行受限的網路存取（隔離）。否則，可向 H(e)NB許可進行網路存取。H(e)NB可回應於外部設備的 請求，而執行、評價和報告信任狀態測量。該請求可由 經營者發出。重新確認可確鑤在啟動期間未確認的元件 。如果檢測到非核心確認錯誤，則外部實體可以向 H(e)NB發送請求，以執行修正措施。例如，回應於修正 請求，H(e)NB可返回至預定狀態。 SAV允許箱㈣符來檢測料，观麵全啟動中沒有

㈣到攻擊。根據安全屬性，可對受損害的設備執行修 L步驟。只要發給網路的指示符顯示核心安全啟動沒有 I到損害，且安全性驗被傳送，料便是有可能的。 卜果核心受到損害’設備將由於本地執行而不能連接至 _路。受損害的設備可由重啟或这 ^目此，有更高未重新確認而被檢測 祈，且不需要«技術員來可經過嶋提供軟體更 奸精度的存取控制，並由㈣實現了對⑽ 提供了低於RV的帶寬佔用率。了^不符和本地強制而 099106424 SAV結合了 AuV和RV的優點， 表單編號Αοιοι 第113頁/共169 了更好的粒度和對設備 0993197625-0 201129129 安全屬性和確認測量更好的可見性。其提供了更低的帶 寬佔用率、與自主確認相當的本地設備資源、對受攻擊 設備更快更方便的檢測’並實現了對受損害的設備使用 隔離網路。 第15圖是無線通訊網1 500的示例方塊圖，該無線通訊網

1 500 包括WTRU 1510、H(e)NB 1520和H(e)MS 1530。 如第 15 圖所示’將 WTRU 1510、H(e)NB 1 520 和 H(e)MS 1 5 3 0配置為執行平台認證和管理。 除了在典型WTRU中可見的元件以外，WTRU 1510包括帶 有可選鍵結§己憶體1522的處理.器1.5:16 .、至少一個收發信 機1514、可選的電池1520和天線1518 »將處理器1516 配置為’對於通過基地台（例如H(e)NB 1 520 )傳遞到 處理器的PVM功能執行補充平台認證和管理功能。收發信 機1514與處理器1516和天線1518進行通訊，以促進無線 通訊的傳輸和接收。在WTRU 1510使用電池152〇的情況 中，該電池1 5 2 0對收發信機15,14'和處理器:1 516供電。 除了在典型H(e)NBt可見的今件以外，H(e)NB 152〇包 括帶有可選鏈結記憶體1515的處理:器1517、收發信機 1519和天線1521。將處理器1517配置為執行平台認證和 官理功能，以實現PVM方法。收發信機1519與處理器 1517和天線1521進行通訊，以促進無線通訊的傳輸和接 收。H(e)NB 1 520與H(e)MS 1530相連接，H(e)MS 1530包括帶有可選鏈結記憶體1534的處理器1 533。 雖然未在第15圖中顯示，但除了典型SeGW*pvE中可見 的元件以外，SeGW和PVM可包括具有可選鍵結記憶體的處 理器、收發信機、天線和通訊埠。將處理器配置為執行 0993197625-0 099106424 表單編號A0101 第114頁/共169頁 201129129 平台認證和管理功能，以實現PVM方法。收發信機和通訊 埠根據需要與處理器和天線進行通訊，以促進通訊的傳 輸和接收。 選擇性地將網路元件配置為執行此處結合各個示例所詳 細描述的所期望PVM功能。此外，可將WTRU配置為例如對 驗證、確認和其他可信因素具有補充PVM功能，以促進其 對能進行PVM的網路和資源的存取和利用。 作為例子，將各個元件都配置為在處於活動狀態的實體 間使用PVM最大類型的任務分隔。如此處所述，這可通過 ^ 在各個實體間使用PVM權杖傳遞特定資訊來實現。 實施例 1、 一種用於平台認證和管理（PVM)的方法，包括回應 於來自設備的確認消息來接收PVM權杖，該PVM權杖至少 包括來自所述設備的驗證資訊。 2、 根據實施例1的方法，進一步包括使用來自所述PVM權 杖的預定資訊來執行確認。 3、 根據前述任一實施例的方法，進一步包括回應於失敗 〇 元件，向設備管理系統（DMS)發送失敗報告，以啟動修 正和重新確認。 4、 根據前述任一實施例的方法，進一步包括發送具有4 認結果的修改的PVM權杖。 5、 根據前述任一實施例的方法，其中執行確認包括確定 至少一個失敗狀況的適用性。 6、 根據前述任一實施例的方法，其中使用遠端確認（RV )、自主確認（AuV)、半自主確認（SAV)、完全SAV (F-SAV)、最小確認或參數確認中的至少其中之一來進 099106424 表單編號A0101 第115頁/共169頁 0993197625-0 201129129 行確認。 7、 根據前述任一實施例的方法，其中驗證資訊包括設備 標識、設備資訊、可信環境（TrE)資訊、驗證資料、驗 證結合和元件指示符-元件的有序元件列表中的至少一個 〇 8、 根據前述任一實施例的方法，其中執行確認包括確定 TrE不可信、確定完整性測量/驗證資料不匹配、確定元 件的丟失參考完整性度量（RIM)、確定載入元件列表策 略失敗和確定失效設備或失效RIΜ證書中的至少一種。 9、 根據前述任一實施例的方法，其中將PVM權杖被結合 到確認TrE的標識和確認過程。 10、 根據前述任一實施例的方法，其中通過對PVM權杖添 加時間印記，並由每個傳遞所述PVM權杖的實體將所述時 間印記添加到按時間排序的列表來控制確認的新鮮度。 11、 根據前述任一實施例的方法，進一步包括通過在RIM 證書中使用設備標識來建立個體化。 12、 根據前述任一實施例的方法，進一步包括向DMS發送 PVM權杖，以確定隔離、白名單、黑名單和灰名單的適用 性。 13、 根據前述任一實施例的方法，其中灰名單包括新加 入網路的設備、還未連接達到延長的時間段的設備、具 有可疑性能的設備和對其存在安全警告的設備中的至少 一種〇 14、 根據前述任一實施例的方法，其中經營者RI Μ遮蔽將 來自各種外部源的用於設備元件的預定RI Μ證書替換為經 營者RIM證書。 099106424 表單編號Α0101 第116頁/共169頁 0993197625-0 1 5、根據前述任一實施例的方法，其中’其中向確認資 料庫發送查詢，以檢查在PVM權杖中所接收的資訊。 1 6、根據前述任一實施例的方法，其中向配置資料庫發 送查詢，以基於預定識別字來檢索配置策略。 1 7、根據前述任一實施例的方法，其中對所檢索出的配 置策略進行評價。 18、 根據前述任一實施例的方法，其中回應於失敗狀況 ，將消息發送至確認資料庫管理器。 19、 一種對連接到平台認證和管理（PVM)的設備進行確 認的方法，包括對所述設備的至少一個預先指定的元件 執行完整性檢查，並儲存完整性檢查結果。 20、 根據實施例19的方法，進一步包括對設備執行安全 啟動檢查，並儲存安全啟動檢查結果。 21、 根據實施例19-20中任一實施例的方法，進一步包括 根據完整性檢查結果和安全啟動檢查結果來生成確認消 息。 22、 根據實施例19-21中任一實施例的方法，進一步包括 將確認消息轉發盖PVM。 23、 根據實施例19-22中任一實施例的方法’進一步包括 分階段地執行安全啟動，以確保在可信環境（TrE)元件 的本地確認成功的條件下，每個TrE元件都被載入。 24、 根據實施例19-23中任一實施例的方法，進一步包括 在第一階段中’經由依賴於信任根（R〇T)的安全啟動來 載入所述TrE的元件。

25、 根據實施例19-24中任一實施例的方法，進一步包括 在第二階段中’載入TrE外部的元件，以實現與所述PVM 表單編號A0101 第1Π頁/共169頁 〇99： 201129129 的通訊。 26、 根據實施例19-25中任一實施例的方法，進一步包括 載入所述設備的剩餘元件。 27、 根據實施例19-26中任一實施例的方法，其中執行完 整性檢查是基於至少一個可信參考值和所述TrE進行的。 28、 根據實施例19-27中任一實施例的方法，其中確認消 息包括本地通過/失敗指示符，以作為在第一階段和第二 階段中所建立的完整性的測量。 29、 根據實施例19-28中任一實施例的方法，進一步包括 回洛編瑪基底。 30、 根據實施例19-29中任一實施例的方法，其中啟動回 落編碼基底包括觸發對包括RIM的主編碼基底的軟體更新 〇 31、 根據實施例19-30中任一實施例的方法，進一步包括 在載入了回落代碼的條件下，發送事故信號。 32、 根據實施例19-31中任一實施例的方法，其中回落代 碼（FBC)圖像促進設備修正，並儲存在安全記憶體中。 33、 根據實施例19-32中任一實施例的方法，其中所述完 整性檢查確定只有登記的元件被啟動。 34、 根據實施例19-33中任一實施例的方法，其中通過載 入至記憶體中來啟動登記的元件。 35、 根據實施例19-34中任一實施例的方法，其中通過開 始進入完整性證實狀態來啟動登記的元件。 36、 根據實施例19-35中任一實施例的方法，進一步包括 執行第二完整性檢查。 37、 根據實施例19-36中任一實施例的方法，進一步包括 099106424 表單編號A0101 第118頁/共169頁 0993197625-0 201129129 在設備已經完成了成功的網路連接的條件下，執行第二 完整性檢查。 38、 根據實施例19-37中任一實施例的方法，其中使用通 過所述設備或回應於消息中的一種方式來啟動第二完整 性檢查。 39、 根據實施例19-38中任一實施例的方法，其中在受保 護的儲存位置儲存完整性檢查結果。 40、 根據實施例19-39中任一實施例的方法，其中確認消 息包括加密簽名的聲明。 0 41、根據實施例19-40中任一實施例的方法，其中確認消 息包括完整性檢查與之後的認證過程之間的結合的證據 〇 42、 根據實施例19-41中任一實施例的方法，其中確認消 息包括安全啟動檢查與之後的認證過程之間的結合的證 據。 43、 根據實施例19-42中任一實施例的方法，其中確認消 息包括時間印記。 44、 根據實施例1 9-43中任一實施例的方法，其中確認消 息包括第一時間印記和第二時間印記，該第一時間印記 在完整性檢查和啟動檢查之前獲得，該第二時間印記在 完整性檢查和啟動檢查之後獲得。 45、 根據實施例19-44中任一實施例的方法，其中確認消 息包括對設備配置的指示。 46、 根據實施例19-45中任一實施例的方法，其中確認消 息包括對設備元件的安全性屬性的指示。 47、 根據實施例19-46中任一實施例的方法，進一步包括 099106424 表單編號A0101 第119頁/共169頁 0993197625-0 201129129 回應於確認消息，從PVM接收決定消息。 48、 根據實施例19-47中任一實施例的方法，其中所述決 定消息包括對與設備相關聯的網路許可權的指示。 49、 根據實施例19-48中任一實施例的方法，進一步包括 可信資源（TR)執行完整性檢查。 50、 根據實施例19-49中任一實施例的方法，進一步包括 可信資源（TR)執行安全啟動檢查。 51、 根據實施例19-50中任一實施例的方法，進一步包括 可信資源（TR)生成確認消息。 52、 根據實施例1 9-51中任一實施御的方法，進一步包括 可信資源（TR)從PVM接收決定消息。 53、 根據實施例19-52中任一實施例的方法’其中FBC刪 除或卸載一部分正常代碼，並重啟設備以進行重新確認 54、 一種用於促進平台認證和管理（PVM)的平台認證實 體（PVE)，包括所述PVE被配置為應於涑自設備的確 認消息來接收PVM權杖，該PVM權至少包括來自設備的 驗證資訊。 55、 根據實施例54的方法，進一步包括所述PVE被配置為 使用來自所述PVM權杖的預定資訊來執行確認。 56、 根據實施例54-55中任一實施例的方法，進一步包括 所述PVE被配置為回應於失敗元件而向設備管理系統（ DMS)發送失敗報告’以啟動修正和重新確認。 57、 根據實施例54 —56中任一實施例的方法’進一步包括 所述PVE被配置為發送具有確認結果的修改後的PVM權杖 099106424 表單編號A0101 第120頁/共169頁 0993197625-0 58、根據實施例54-57中任一實施例的方法，其中驗證消 〜至y包括安全性策略屬性。 59 —種用於經由平台認證和管理（PVM)來執行確認的 °又備’該設備包括處理器，該處理器被配置為對所述設 備的至少—個預先指定的元件執行完整性檢查，並將完 整丨生檢查結果儲存在記憶體中。 根據實施例5 9中任一實施例的方法，進一步包括所 述處理器被配置為對所述設備執行安全啟動檢查，並在 所述5己憶體中儲存安全啟動檢査結果。 61、 根據實施例59,6〇#隹一實施例的方法，進一步包括 所述處理器被配置為基於完整性檢查結果和安全啟動檢 查結果生成確認消息。 62、 根據實施例59-61中任一實施例的方法，進一步包括 傳輸器，用於向PVM發送確認消息。 63、 一種用於促進平台認證和管理（pvm)的設備管理系 統（DMS)，包括該DMS被配置為回應於來自設備的確認 消息來從平台認證實體（PVE)接收失:来報告和PVM權杖 中的至少一者，以便回應於失敗元件而啟動修正和重新 確認，所述PVM權杖至少包括來自所述設備的驗證資訊。 64、 根據實施例63中任一實施例的方法，進一步包括所 述DMS被配置為至少為所述失敗元件確定更新的可用性。 65、 根據實施例63-64中任一實施例的方法，進一步包括 所述DMS被配置為準備無線更新以作為可用更新。 66、 根據實施例63-65中任一實施例的方法，進一步包括 所述DMS被配置為確保在確認資料庫中存在用於可用更新 的可信參考值。 表單編號A0101 第121頁/共169頁 099 201129129 67、 根據實施例63-66中任一實施例的方法，進一步包括 所述DMS被配置為向安全性閘道（SeGW)發送修改後的 PVM權杖和重新確認指示。 68、 根據實施例63-66中任一實施例的方法，進一步包括 所述DMS被配置為向所述設備發送重新確認觸發。 69、 一種在無線通訊中使用的方法，該方法包括執行平 台認證和管理（PVM)。 70、 根據實施例69中任一實施例的方法，其中執行PVM包 括執行半自主確認（SAV )。 71、 根據實施例69-70中任一實施例的方法，其中執行 PVM包括在平台認證實體（PVE)中所執行的無線設備確 認。 72、 根據實施例69-71中任一實施例的方法，其中執行 PVM包括： 73、 根據實施例69-72中任一實施例的方法，進一步包括 按階段執行安全啟動，以確保在所需載入的元件的本地 確認成功的條件下，載入了每個可信環境元件。 74、 根據實施例69-73中任一實施例的方法，進一步包括 在第一階段中，通過依賴於信任根（R〇T)的安全啟動載 入可信環境元件。 75、 根據實施例69-74中任一實施例的方法，進一步包括 在第二階段中，載入可信環境外部的元件，需要該元件 來執行與安全性閘道（SeGW)的基本通訊。 76、 根據實施例69-75中任一實施例的方法，進一步包括 載入設備的剩餘元件。 77、 根據實施例69-76中任一實施例的方法，進一步包括 099106424 表單編號A0101 第122頁/共169頁 0993197625-0 201129129 收集資料並將其發送至SeGW，該封包括以下至少—者： 設備標識、屬於增強型家庭節點B (H(e)NB)的資訊、屬 於可信環境（TrE)的資訊、驗證資料；驗證結合；、元 件指示符-元件的有序元件列表。 78、 根據實施例69-77中任一實施例的方法，進一步包括 回應於對經過認證的H(e)NB失去連接而對設備進行重新 確認。 Ο 79、 根據實施例69-78中任一實施例的方法，進—步包括 在PVE執行確認期間’减定失敗狀況，該失敗狀況包括以 下至少一者：根據所傳遞的TrE資訊確定TrE不可信；確 定完整性測量/.驗證資料不西配；確定元件的參考完整性 度量（RIM)丟失；確定載入元件列表（ciist)策略失 敗；確定失效的設備或RIΜ證書；和SeGW拒絕網路存取和 設備認證，並阻止之後的認證嘗試》 80、 根據實施例69-79中任一實施例的方法，進一步包括 生成PVM權杖’該PVM權杖與有效TrE的標識和確認流程 結合。

81、 根據實施例69-80中任一實施例的方法，其中通過對 PVM權杖添加時間印記，該時間印記最初由SeGW~生成， 並由母個實體在傳遞PVM權杖時添加到按時間排序的列表 來控制確認的新鮮度。 82、 根據實施例69-81中任一實施例的方法，其中通過完 成第一和第二階段與SeGW和PVE進行通訊，和在將第三階 段的結果發送至SeGW前，使用SeGW/PVE所提供的臨時用 法來結合階段3檢查的進一步確認來控制確認的新鮮度。 099106424 83、 根據實施例69-82中任一實施例的方法，進一步包括 表草編號A0101 第123頁/共169頁 0993197625-0 201129129 由設備希望與之建立回載鏈路的經營者來生成RIM證書。 84、 根據實施例69-83中任一實施例的方法’其中RIM管 理器對用於平台認證的PVE和DMS進行配置，將DMS配置 為對設備上將要安裝RIM證書的元件執行證書更新操作’ 並進一步包括對設備強制執行狀態重新確認。 85、 根據實施例69_84中任一實施例的方法’進一步包括 經營者通過執行以下中的至少一個來控制設備操作：使 用對稱密鑰來對將被鎖定的元件的一部分加密；在受保 護和玎控制的空間中向TrE發送解密密鑰’該空間只能具 有經營者授權才能訪問;和當WE接收到用於該元件的指 示符時，向TrE釋放授權資料。 86、 根據實施例69-85中任一實施例的方法，進一步包括 通過使用RIM證書中的設備楳識來根據PVM建立個體化。 87、 根據實施例69_86中任一實施例的方法’進一步包栝 根據向設備標識和元件指示符對提供經營者簽名來建立 個體化。 88、 根據實施例69_87中任一實施例的方法’進一步包括 為設備建立黑名單’並根據黑名單禁止網路存取’其中 累名單至少包含設備標識。 89、 根據實施例69 —88中任一實施例的方法’進一步包括 為設備建立隔離網路，其中SeGW用作核心網路的強制承 載。 90、 根據實施例69-89中任一實施例的方法，進一步包括 建立被隔離設備的灰名單’該灰名單包括新加入網路的 設備、連接還未達到預定時間的設備、具有可疑性能的 設備和對其存在安全警告的設備中的至少一種。 099106424 表單編號A0101 第124頁/共169頁 099 201129129 91、 根據實施例69-90中任一實施例的方法，進一步包括 執行診斷確認’包括載入未知元件、拒絕載入未知元件 和禁止元件中的至少一個。 92、 根據實施例69-91中任一實施例的方法，進一步包括 執行最小確認，包括發送本地驗證過程中所用的指示符 或參考值。 93、 根據實施例69-92中任一實施例的方法，進一步包括 在認證證書中結合確認。 94、根據實施例69-93中任一實施例的方法，其中證書是 由發佈者、其SeGW、或負責管理這_書的從屬實體所 簽名的簽名資料組，證書中的該簽名資料至少包含設備 標識、用於認證和確認的設備公共密輪、和元件列表。 9 5、根據實施例6 9 - 9 4中任一實施例的方法進并·勺括 執行自主確認和對管理標識進行分組，敏自主確認根據 安全啟動流程的各階段，不向SeGW發送任何確認資料。 96 '根據實施例69-95中任一實施例的方法，進—步包括 在設備和S e G W已經完成了對設備的第-認證協定的條件 下，通過所建立的安全頻道發送設備標識和認證資料， 在該第一認證協定中，設備對其營理標識之一進行認證 〇 〇 9 7、根據實施例6 9 - 9 6中任一實施例的方法，進—步包括 確保向安全儲存卡發送元件代碼的安全。 98、 根據實施例69-97中任一實施例的方法，進一步包括 使用加密來替換摘要值。 99、 根據實施例69-98中任一實施例的方法，進—步包括 將設備位置資訊包括在確認消息中。 099106424 表單編號 A0101 第 125 真/共 169 I 0993197625-0 201129129 100、 根據實施例69-99中任一實施例的方法，其中將通 過設備識別字（Dev_ID)來標識所述設備。 101、 根據實施例69-1 00中任一實施例的方法，其中 Dev_ID是正式功能變數名稱（FQDN)、統一資源位置符 (URL)、統一資源名稱、統一資源標識、媒介存取控制 (MAC)位址、網際網路協定（IP)位址、IP主機標識、 子網位址、國際行動設備識別碼、國際行動站設備識別 碼和軟體版本號、電子序列號、行動設備標識、IP多媒

體核心網路子系統使用者ID或行動站集成業務資料網ID 〇 102、 根據實施例69-101中任一實施例的方法，其中 Dev_ID是字母數位或機器可讀的形式，其實現對設備唯 一可靠和明確的標識。 103、 根據實施例69-1 02中任一實施例的方法，進一步 包括根據一個或多個可信參考值和TrE，在啟動時執行設 備完整性檢查。 104、 根據實施例69-1 03中任一實施例的方法，其中TrE 是包含PVM所需最小功能的實體。 105、 根據實施例69-1 04中任一實施例的方法，進一步 包括對SeGW執行網路認證，並發送包含設備標識的資料 〇 106、 根據實施例69-1 05中任一實施例的方法，進一步 包括準備測量消息，該消息包含在第一和第二步驟中用 作所建立的完整性測量的本地通過/失敗指示符。 107、 根據實施例69-1 06中任一實施例的方法，其中執 行PVM包括基本SAV。 099106424 表單編號A0101 第126頁/共169頁 0993197625-0 201129129 108、 根據實施例69-107中任一實施例的方法，其中執 行PVM包括完全SAV。 109、 根據實施例69-1 08中任一實施例的方法，其中執 行PVM包括平台認證。 110、 根據實施例69-1 09中任一實施例的方法，其中平 台認證允許對核心網路（CN)保護，以防惡意設備。 111、 根據實施例6 9 -11 0中任一實施例的方法，其中執 行PVM包括在設備和CN之間使用間接通訊。

112、 根據實施例69-1 0 3中任一實施例的方法，其中平 台認證確保在證實的安全咪態中的設備能夠與CN中的實 體進行通訊。 ：：Ί 113、 根據實施例69-112中任一實施例的方法，其中執 行PVM包括報告確認資料。 114、 根據實施例6 9 -11 3中任一實施例4方法，其中報 告確認封包括收集確認資料，並將其報告給SeGWe 115、 根據實施例69-114中任一實施朝的方法，其中執 行PVM包括使用PVE進行確認。

116、 根據實施例69-115中任一實施例的方法，其中pvE 確定設備的有效性。 Π7、根據實施例69-116中任一實施例的方法，其中pvE 是策略決定點（PDP)。 118、 根據實施例69-117中任一實施例的方法，其中pVE 報告失敗狀況。 119、 根據實施例69-118中任一實施例的方法，其中失 敗情況是TrE失效、驗證資料失敗、Clist策略失敗戋確 認前設備認證失敗。 099106424 表單編號A0101 第127頁/共169頁 0993197625-0 201129129 120、 根據實施例69-119中任一實竑乂， Λ知例的方法，其中執 行PVM包括重新確認。 121、 根據實施例69-1 20中任一實施例的方法，其中重 新確認包括週期性地重新確認。 122、 根據實施例69-121中任—實施例的方法，其中週 期性地重新確純括相設紅麵行惡意代碼的風險 較小的預定狀態中進行操作。 123、 根據實施例69-1 22中任一實施例的方法，其中重 新確認包括啟動認證過程。 124、 根據實施例69-123中任一實施例的方法，其中執 ’ 行PVM包括由設備啟動的重新確認。 125、 根據實施例69-124中任一實施例的方法，其中週 期性地執行由設備啟動的重新確認。 126、 根據實施例69-125中任一實施例的方法，其中執 行PVM包括由網路啟動的重新破認。 127、 根據實施例69-126申任一實施如的方法，其中週 期性地執行由網路啟動的重却確(認。 128、 根據實施例69-127中任一貪施例的方法，其中可 出於安全需要而執行由網路啟動的重新確認。 129、 根據實施例69-1 28中任一實施例的方法，其中執 行PVM包括平台管理。 130、 根據實施例69-129中任一實施例的方法，其中平 台管理包括DMS執行設備管理。 131、 根據實施例69-13〇中任一實施例的方法，其中平 台管理基於所接收和所儲存的設備資訊。 132、 根據實施例69-131中任〆實施例的方法，其中設 099106424 表單編號Α0101 第128頁/共169貢 0993197625-0 201129129 備是H(e)NB。 133、 根據實施例69-1 32中任一實施例的方法，其中執 行PVM包括權杖傳遞。 134、 根據實施例69-133中任一實施例的方法，其中PVM 是流程。 135、 根據實施例69-134中任一實施例的方法，其中 SeGW負責生成和管理與確認流程唯一相關的權杖。 136、 根據實施例69-135中任一實施例的方法，其中執 行PVM包括通過公共網際網路進行確認。

137、 根據實施例69-136中任一實施例的方法，其中通 過網際網路進行確認包括滿足確保初始確認安全的特殊 要求。 138、 根據實施例69-1 37中任一實施例的方法，其中執 行PVM包括經營者RIM遮蔽。

139、 根據實施例69-1 38中任一實施例的方法，其中經 營者RIM遮蔽使用由設備希望與之建立回載鏈路的經營者 所生成的RIΜ證書替換來自各個外部源的用於設備元件的 大量RIΜ證書。 140、 根據實施例69-1 39中任一實施例的方法，其中執 行Ρ V Μ包括經營者元件鎖定。 141、 根據實施例69-140中任一實施例的方法，其中經 營者元件鎖定包括經營者控制設備或其元件在外部網路 中的操作。 142、 根據實施例69-141中任一實施例的方法，其中執 行Ρ V Μ包括個體化。 其中個 143、根據實施例69-142中任一實施例的方法 099106424 表單編號Α0101 第129頁/共169頁 0993197625-0 201129129 體化包括證明由誰管理設備配置和可信度。 144、 根據實施例69-143中任一實施例的方法，其中個 體化包括向設備提供資料，該資料簽發了對設備的定址 〇 145、 根據實施例69-144中任一實施例的方法，其中執 行PVM包括將設備列入黑名單。 146、 根據實施例69-145中任一實施例的方法，其中將 設備列入黑名單包括為設備建立黑名單，並根據黑名單 禁止網路存取。 147、 根據實施例69-146中任一實施例的方法，其中黑 名單是設備專用黑名單。 148、 根據實施例69-147中任一實施例的方法，其中黑 名單是網路範圍的黑名單。 149、 根據實施例69-148中任一實施例的方法，其中執 行PVM包括將設備列入白名單。 150、 根據實施例69-149中任一實施例的方法，其中將 設備列入白名單包括為設備建立白名單，並根據白名單 允許網路存取。 151、 根據實施例69-1 50中任一實施例的方法，其中白 名單是設備專用白名單。 152、 根據實施例69-151中任一實施例的方法，其中白 名單是網路範圍的白名單。 153、 根據實施例69-1 52中任一實施例的方法，其中執 行PVM包括隔離網路。 154、 根據實施例69-1 53中任一實施例的方法，其中由 SeGW決定將哪些設備進行隔離。 099106424 表單編號A0101 第130頁/共169頁 0993197625-0 201129129 155、 根據實施例69-1 54中任一實施例的方法，其中被 隔離的設備沒有對CN的直接存取，並提供受限的服務。 156、 根據實施例69-155中任一實施例的方法，其中執 行PVM包括參數確認。 157、 根據實施例69-1 56中任一實施例的方法，其中參 數確認包括在確認期間不受阻礙地發送參數。 158、 根據實施例69-157中任一實施例的方法，其中執 行P V Μ包括診斷球認。

159、 根據實施例69-158中任一實施例的方法，其中執 行PVM包括載入未知元件。 160、 根據實施例69-1 59中任一實施例的方法，其中載 入未知元件允許在設備中沒有RIΜ的情況下載入元件。 161、 根據實施例69-1 60中任一實施例的方法，其中執 行PVM包括對失敗狀況進行PVM診斷。 162、 根據實施例69-161中任一實施例的方法，其中將 DMS配置為省略替換設備上的失敗元件。

163、 根據實施例69-162中任一實施例的方法，其中將 DMS配置為使用正確元件替換Clist中的所有元件。 164、 根據實施例69-163中任一實施例的方法，其中執 行PVM包括拒絕載入未知元件。 165、 根據實施例69-164中任一實施例的方法，其中診 斷確認包括報告不能載入元件，並向CN發送該元件的測 量值。 其中執 其中禁 166、根據實施例69-1 65中任一實施例的方法 行PVM包括禁止元件。 16 7、根據實施例6 9 -1 6 6中任一實施例的方法 099106424 表單編號A0101 第131頁/共169頁 0993197625-0 201129129 止元件包括在不拒絕對設備的連接的情况下，為不能進 行確認也不能在PVM中被替換或更新的元件發送禁止CInd 和重新確認消息。 168、根據實施例69-167中任一實施例的方法，其中執 行PVM包括最小確認策略。 '169、根據實施例69-168中任一實施例的方法，其中最 小確認策略包括只在特定情況下執行設備確認。 170、 根據實施例69-169中任一實施例的方法，其中執 行PVM包括在認證證書中結合確認。 171、 根據實施例69-170中任一實施例的方法，其中在 認證證書中結合確認包括自動將設備的認證ID與確認結 合。 172、 根據實施例69-171中任一實施例的方法，其中執 行PVM包括撤回設備認證證書。 173、 根據實施例69-172中任一實施例的方法’其中撤 回設備認證證書包括確定是否從設儀撤扨_於設備認證 的設備證書。 174、 根據實施例69-173中任一貪施例的方法，其中撤 回設備認證證書包括向設備指示由於撤回證書而設備認 證失敗；並將設備從白名單刪除或將設備加入黑名單。 175、 根據實施例69_ 174中任一實施例的方法，進一步 包括PVM執行自主確認UuV)。 176、 根據實施例69-175中任一實施例的方法，其中AuV 包括省略向SeGW發送確認資料。 177、 根據實施例69-176中任一實施例的方法，其中AuV 包括僅發送Dev_ID ° 099106424 表單編號A0101 第132頁/共169頁 09ί 201129129 178、 根據實施例69-177中任一實施例的方法，其中執 行PVM包括修正。 179、 根據實施例69-1 78中任一實施例的方法，其中修 正包括更新軟體。 180、 根據實施例69-1 79中任一實施例的方法，其中修 正是對設備繼續服務所必需的操作。 181、 根據實施例69-180中任一實施例的方法，其中執 行P VM包括由設備啟動的修正。 182、 根據實施例69-181中任一實施例的方法，其中在 檢測到錯誤時，執行由設備啟動的修正，而不是將設備 隔離。 183、 根據實施例69-182中任一實施例的方法，其中執 行PVM包括由網路啟動的修正。 184 '根據實施例69-183中任一實施例的方法，其中執 行PVM包括啟動回落編碼基底。 185、 根據實施例69-184中任一實施例的方法，其中啟 動回落編碼基底包括觸發對包含RIM的主碼庫的軟體更新 〇 186、 根據實施例69-185中任一實施例的方法，其中執 行PVM包括發送事故信號。 187、 根據實施例69-1 86中任一實施例的方法，其中回 落代碼（FBC)圖像促進了設備修正，並被儲存在安全記 憶體中。 188、 根據實施例69-187中任一實施例的方法，其中執 行PVM包括不使用RIM進行確認。 189、 根據實施例69-1 88中任一實施例的方法，其中執 099106424 表單編號A0101 第133頁/共169頁 0993197625-0 201129129 行PVM包括包含基於位置的資訊。 190、 根據實施例69-1 89中任一實施例的方法，其中將 位置資訊用於防盜、貨物追蹤、車隊監控或監視。 191、 根據實施例69-1 90中任一實施例的方法，其中設 備包括GPS模組。 192、 根據實施例69-191中任一實施例的方法，其中安 全啟動包括確認GPS模組和元件。 193、 根據實施例69-1 92中任一實施例的方法，其中執 行P V Μ包括使用IK E v 2協議的確認連接。 194、 根據實施例69-193中任一實施例的方法，其中執 行PVM包括使用傳輸協議。 195、 根據實施例69-194中任一實施例的方法，其中傳 輸協議是IKE或ISAKMP。 196、 根據實施例69-195中任一實施例的方法，其中傳 輸協議定義了多個可用的證書簡檔。 197、 根據實施例69-1 96中任一實施例的方法，其中執 行PVM包括傳輸層安全性（TLS)握手。 198、 根據實施例69-1 97中任一實施例的方法，其中執 行PVM包括使用TLS會話票據擴展。 199、 根據實施例69-1 98中任一實施例的方法，其中TLS 會話票據擴展允許伺服器向使用者端發佈會話票據，可 將該票據用於恢復會話和保存每個使用者端的會話狀態 其中執 其中補 200、 根據實施例69-1 99中任一實施例的方法 行PVM包括補充認證協議。 201、 根據實施例69-200中任一實施例的方法 099106424 表單編號A0101 第134頁/共169頁 0993197625-0 201129129 充認證協議包括通過所建立的安全頻道發送Dev_ID和用 於Dev_ID的認證資料。 202、 根據實施例6 9-2 01中任一實施例的方法，其中執 行PVM包括管理會話建立。 203、 根據實施例69-202中任一實施例的方法，其中管 理會話建立包括在設備與SeGW之間使用通訊協定。 204、 根據實施例69-203中任一實施例的方法，其中執 行PVM包括基於證書的確認。 20 5、根據實施例69-204中任一實施例的方法，其中執 行PVM包括針對基於設備管理（DM)的結構使用開放行動 聯盟（OMA)。 206、 根據實施例69-205中任一實施例的方法，其中執 行PVM包括使用證書交換方法。 207、 根據實施例69-206中任一實施例的方法，其中證 書交換方法包括將確認與認證合併，並自動將設備的認 證ID與確認結合。 208、 根據實施例69-207中任一實施例的方法，其中結 合證書是簽名資料組。 209、 根據實施例6 9-208中任一實施例的方法，其中結 合證書由發佈者進行簽名的。 210、 根據實施例69-209中任一實施例的方法，其中執 行PVM包括證書前交換。 211、 根據實施例69-210中任一實施例的方法，其中執 行PVM包括證書後交換。 212、 根據實施例69-211中任一實施例的方法，其中執 行PVM包括使用簽名消息格式用於從發佈者向設備下載軟 099106424 表單編號A0101 第135頁/共169頁 0993197625-0 201129129 體封包。 213、 根據實施例69-21 2中任一實施例的方法，其中簽 名消息格式允許在單個簽名封包中發送檔。 214、 根據實施例69-21 3中任一實施例的方法，其中簽 名消息格式允許接收方設備能夠對來源進行認證，且該 資料格式包含用於安裝内容的指令。 215、 根據實施例69-214中任一實施例的方法，其中簽 名消息格式包括標頭，該標頭包含格式版本、以及命令 列表和負載元件的長度。 216、 根據實施例69-215中任一實施例的方法，其中執 行PVM包括使用第二碼庫用於修正。 217、 根據實施例69-216中任一實施例的方法，其中執 行P V Μ包括使用外部F B C。 218、 根據實施例69-21 7中任一實施例的方法，其中將 外部FBC用於啟動修正，並在TrE内運行。 219、 根據實施例69-218中任一實施例的方法，其中執 行PVM包括使用内部並行碼庫。 220、 根據實施例69-219中任一實施例的方法，其中執 行PVM包括使用觸發機制和所需回落編碼基底，用於促進 修正。 221、 根據實施例69-220中任一實施例的方法，其中執 行PVM包括使用内部順序碼庫。 222、 根據實施例69-221中任一實施例的方法，其中内 部順序碼庫定義了用於在遠端設備上安裝或改變軟體配 置的協定和命令。 223、 根據實施例69-222中任一實施例的方法，其中使 099106424 表單編號A0101 第136頁/共169頁 0993197625-0 201129129 用内部順序碼庫包料執行pvM和協翻結果合併。 224、 根據實施例.223中任一實施例的方法，其 行PVM包括使用安全策略屬性。 225、 根據實施例中任一實施例的方法，其中使 用安全策略魏包括生成安全絲略駿（ΜΑ)

列表。 化 226、根據實施例69，1中任-實施例的方法，其中SPA ❹ 是策略，該策略能如果料触的整體性檢查 失敗時，應該採取怎樣的操作。 儘管上述在蚊結合中描述了 PVM㈣徵和元件，但是， 各個特徵或元件都可單獨使料f其他魏和元件，或 以各種方式與其他特絲元件結合或不結^可以在沾 合至電腦可讀儲存媒體中，可由通用目的電腦或處理^ 執行的電腦程式、軟體或執體中實現此處所提供的方法 或流程。電腦可讀儲存媒體的例子包括唯讀記憶體（ )、隨機儲存記憶體（_) '暫存器、-存、半導

存設備、磁性顧譬㈣硬料可賊_、光 體和光學舰例如柄和_?功料碟（_ 1 〇 適當的記憶體包括例如通用目的記憶體、專n目的記情 體、傳統處理器、數位信號處理器（SDP)、多個微處理 器、與，核心相連的—個或多個微處理器、控制器、微 控制器、專用積體電路（Asi〇、現場可程式化開陣列 (FPGA)電路、任何其他類型的積體電路（1C)和/或狀 態機。 可將與軟體相連的處理H用於實現减設備巾所用的無 099106424 表單編號A0101 第137頁/共咖 a Ά 0993197625-0 201129129 線頻率收發信機、無線傳輸接收單元（WTRU)、使用者 設備（UE)、終端、基地台、無線網路控制器（RNC)或 任何主機電腦。WTRU可與以硬體和/或軟體實現的模組連 接使用，例如照相機、錄影機模組、視訊電話、免持電 話、振動設備、揚聲器、麥克風、電視收發信機、可檇 式耳機、鍵盤、藍芽®模組、調頻（FM)無線單元、液晶 顯示（LCD)顯示單元、有機發光二極體（0LED)顯示單 元、數位音樂播放器、媒體播放器、視頻遊戲器模組、 網際網路流覽器和/或任何無線局域網路（WLAN)或超寬 頻（UWB)模組。 【圖式簡單說明】 [0006] 在以下的描述中，可結合附圖，以示例的方式獲得更詳 細的理解，在附圖中： 第1圖顯示了表示可信子系統的域分隔的示例方塊圖； 第2圖顯示了表示通過組織和技術方法媒介在平台間信任 的不例方塊圖， 第3圖顯示了與家庭增強型節點B (H(e)NB)之間的半自 主確認的示例流程圖； 第4圖顯示了四階段安全啟動方法的示例流程圖； 第5A圖顯示了示例實體集合及它們之間的關係和用於平 台認證和管理（PVM )的介面的方塊圖； 第5B圖顯示了示例實體集合及它們之間的關係和用於PVM 的介面的另一個方塊圖； 第6A圖、第6B圖和第6C圖顯示了使用了平台認證實體的 示例確認方法的信號圖； 099106424 第7圖示出了顯示H(e)NB通訊場景的示例方塊圖； 表單編號A0101 第138頁/共169頁 0993197625-0 201129129 第8圖顯示了 H(e)NB中“弱”可信環境的示例方塊圖； 第9A圖顯示了間接設備連接的示例圖和方法； 第9B圖顯示了直接設備連接的示例圖和方法； 第10圖顯示了處理各個證書的示例流程圖； 第11A圖顯示了在整體性確認失敗之後，通過由回落編碼 基底實現設備修正（remediation)的示例確認方法； 第11B圖顯示了根據第11A圖的方法的示例流程圖； 第12圖顯示了用於參考完整性度量遮蔽標頭的示例格式 Ο ， 第13圖顯示了使用了虛擬平台配置登記值的確認的示例 流程圖； 第14圖顯示了在完全半自主確認期間載入元件時，模組 分級的示例圖；及 第15圖顯示了分別配置用於提供、執行和實施PVM的無線 傳輸/接收單元和基地台的示例功能性方塊圖。 剛 ο 【主要元件符號說明1 C_DB、550、615、950 配置策略資料庫 CERTREQ 證明請求 CPman、570、970 配置策略管理器 DEV.ID 設備標識 DMS、535、611、935 設備管理系統 FBC 回落代碼 GW 閘道 H(e)NB、705、905、1 520 家庭增強型節點B HPM HP模組 099106424 I-aaa 、 I-c 、 I-cdb 、 I-d 、 I-dms 、 I-dms_d 、 I-h 、 表單編號A0101 第139頁/共169頁 0993197625-0 201129129 I-pd、I-pve、I-r、I-rdb、I-ue、I-v、51 4、51 5、 530 ' 522 、 526 、 528 、 532 、 534 、 538 、 562 、 572 、 575、584、586、588、914、915、922、926、928、 930 ' 932 ' 934 、 938 、 962 、 972 、 975 、 984 、 986 ' 988 介面 MNO 行動網路經營者 MTM、112、132、152、172 專用行動可信模組 0AM、735 操作、管理和維護 0S 作業系統 0TA 空中 PCR 平台配置暫存器 PVE ' 524 ' 609 > 924 > 1015 平台確認實體 RAN 無線電存取網 RIM 參考完整性度量 RIMman、560、960 RIM管理器 RNG 亂數生成器

RoT、208、210、405、1100 信任根

SeGW、520、607、740、920、1010 安全閘道 SHA 安全雜湊演算法 SIG_DEV ' DEV_ID ' DEV_CERT 設備證明 T_PVM PVM 權杖 TCB、216、218 可信計算基礎 TPM 可信平台模組硬體 TR、114、134、154、174、212、214 可信資源 TrE、410、510、605、1105 可信環境 TrE.CERT TrE 證書 099106424 表單編號A0101 第140頁/共169頁 0993197625-0 201129129

TrE_INF0 TrE 資訊 TS、200、202 可信系統 TSS、110、130、150、170 可信子系統 UE、710 使用者設備 V_DB、613、940 確認資料庫 WTRU ' 512 ' 912 ' 1510 無線傳輸/接收單元

182 可信引擎 硬體信任起點 116、136、156、176 118、138、158、178 120 ' 140 ' 160 ' 180 122、142、162、 204 > 206 220 ' 222 證明機構 224 鑒定機構 226、228 憑證 可信服務 正常服務 、270、272 信任邊界 230、232 作業系統 234、236 可信應用程式 242、244 安全性關聯

250 調節實體 260、262 正常應用程式 415 測量 420 RIM記憶體 425 驗證引擎 500、900 PVM結構或系統

505 ' 1 005 設備 582 PVM 730 經營者核心網路 099106424 表單編號A0101 第141頁/共169頁 0993197625-0 201129129 918 H(e)NB閘道 1200 簽名消息格式 1205 標頭 1210 命令列表 1215 簽名欄位 1220 負載檔 1300 確認實體 1500 無線通訊網 1515 、1522 、 1534 記憶體 1516 、1517 、 1533 處理器 1519、1514 收發信機

1521 > 1518 天線 1 520 電池 1530 H(e)MS 099106424 表單編號A0101 第142頁/共169頁 0993197625-0

Claims (1)

1. 201129129 七、申請專利範圍： 1 . 一種用於平台認證和管理（PVM)的方法’該方法包括： 回應於來自一設備的一確認消息來接收一PVM權杖’該 PVM權杖至少包括來自該設備的驗證資訊； 使用來自該PVM權杖的預定資訊來執行碟認 回應於複數個失敗的元件，向一設備管理系統（DMS)發 送一失敗報告，以啟動修正和重新確認；以及 發送具有一確認結果的一修改的PVM權杖。 2 .如申請專利範圍第1項所述的方法，其中執行確認包括確 〇 定至少一個失敗狀况的適用性。 3 .如申請專利範圍第1項所述的方法，其中使用遠端破認（ RV)、自主確認（AuV)、半自主確認（SAV)、完全 SAV (F-SAV)、最小確認或參數確認中的至少其中之一 來進行確認。 4 .如申請專利範圍第1項所述的方法，其中該驗證資訊包括 一設備標識、設備資訊、可信環境（TrE)資訊、驗證資 料、驗證結合和元件指_:符-元件的一有序元件列表中至 U 少其中一種。 5 .如申請專利範圍第1項所述的方法，其中執行確認包括確 定一TrE不可信、確定一完整性測量/驗證資料不匹配、 破定一元件的一丟失參考完整性度量（RIM)、確定一載 入元件列表策略失敗和確定一失效設備或RIM證書中的至 少其中之一。 6 .如申請專利範圍第1項所述的方法，其中該PVM權杖被結 合到一確認TrE的一標識和一確認過程。 099106424 表單編號A0101 第143頁/共169頁 0993197625-0 201129129 7 .如申請專利範圍第1項所述的方法，其中通過對該PVM權 杖添加時間印記並由每個傳遞該PVM權杖的實體添加一按 時間排序的列表來控制確認的新鮮度。 8 .如申請專利範圍第1項所述的方法，該方法還包括通過在 一RIM證書中使用一設備標識來建立個體化。 9 .如申請專利範圍第1項所述的方法，該方法還包括向該 DMS發送該PVM權杖，以確定隔離、白名單、黑名單和灰 名單的適用性。 10 .如申請專利範圍第9項所述的方法，其中該灰名單包括新 加入該網路的設備、還未連接達到一延長的時間段的設備 、具有可疑行為的設備以及存在安全性警告的設備中的至 少其中之一。 11 .如申請專利範圍第1項所述的方法，其中.經營者RIM遮蔽 將來自各種外部來源的用於設備元件的預定RIM證書替換 為經營者RIM證書。 12 .如申請專利範圍第1項所述的方法，其中向一確認資料庫 發送一查詢，以檢查在PVM權杖中所接收的資訊。 13 .如申請專利範圍第1項所述的方法，其中向一配置資料庫 發送一查詢，以基於一預定識別字來檢索一配置策略。 14 .如申請專利範圍第13項所述的方法，其中對所檢索出的配 置策略進行評價。 15 .如申請專利範圍第1項所述的方法，其中回應於一失敗狀 況，將一消息發送至一確認資料庫管理器。 16 . —種對連接到一平台認證和管理（PVM)的一設備進行確 認的方法，該方法包括： 對該設備的至少一個預先指定的元件執行一完整性檢查， 099106424 表單編號A0101 第144頁/共169頁 0993197625-0 201129129 並儲存完整性檢查結果； 對該設備執行全啟純查，並儲料全啟動檢查結果 17 Ο 18 ❹ 19 20 21 22 099106424 基於該完整性檢查結果和該安全啟動檢查結果來生成 認消息；以及 將該確認消息轉發至該PVM。 如申請專利範圍第16項所述的方法，該方法還包括： 刀阳段地執行安全啟動，以確保該可信環境（了⑴元 件的-本地確認成功的條件下，每個τ似件都被載入； 在-第—階段，經由依賴於-信麵（RaT)的—安全啟 動來載入該TrE的元件； 在一第二階段，載人該TrE外部的元件，以允許與該pvM 的通訊；以及 載入該設備的剩餘元件。 ^申請專鄕«则所述㈣法，其愧行該完整性檢 一疋基於至少—個可信參考值和該TrE進行的。 =請專利範圍第16項所述的方法，其中_認消息包括 地通過/失敗襲符，以作為細第—階段和第二階 又月間所建立的一完整性的測量。 2請專鄕_16項料㈣法，财賴包括一回落 編崎基底。 專利範固第20項所述的方法，其中啟動該回落編碼 括觸發對包括則的一主編碼基底的-軟體更新。 了凊專利範園第16項所述的方法，該方法還包括在載入 回錢㊉基底祕件下，發送_事故信號。 表單=:範圍第方法，… 第145頁/共169頁 確 0993197625-0 23 201129129 m)圖像促進-設備修正，並儲存在安全記憶體中。 24 · 25 . 26 . 27 . 28 . 29 . 30 . 31 . 32 . 33 . 34 . 35 099106424 如申請專利範圍第16項所述的方法，其中該完整性檢查確 疋只有登記的元件被啟動。 如申請專利範圍第24項所述的方法，其中通過載入至一記 憶體中來啟動該登記的組件。 如申請專利範圍第24項所述的方法，其中通過開始進入-完整性證實狀態來啟動該登記的元件。 如申請專利㈣第16項所料方法，财㈣包括執行-第二完整性檢查。 如申請專利範圍第16項所谏沾 所达的方法，該方法還包括在該設 備已經完成了 一成功的網路速 4 J塔運接的條件下，執行一第二完 整性檢查。 如申請專利範圍第27項所沭沾+ Α 厅丈的方法’其中使用通過該設備 或回應於一消息中的一種方彳 裡万式來啟動該第二完整性檢查。 如申請專利範圍第16項所沭ι 肖所述的方法，其中在一受保護的儲 存位置儲存完整性檢查結果。: 如申請專利範圍第16項所 所34的方法’其中該確認消息包括 —加密簽名的聲明。 如申請專利範圍第16項所流认+ .. 攻的方法，其中該確認消息包括 忒完整性檢查與一後續的细 心。足過程之間的結合的證據。 如申請專利範圍第16項所奸 > 貝所24的方法，其中該確認消息包括 ,. 殯的<證過程之間的結合的證據。 如申請專利範圍第16項 £ 返的方法’其中該確認消息包括 —時間印記。 如申請專利範圍第16項 ^ 迷的方法’其中該確認消息包括 表草編號麵請頁印記’該第一時間印記在該 頁/共 16" 0993H 201129129 完整性檢查和該啟動檢查之前取得，該第二時間印記在該 完整性檢查和該啟動檢查之後取得。 36 .如申請專利範圍第16項所述的方法，其中該確認消息包括 對一設備配置的一指示。 37 .如申請專利範圍第16項所述的方法，其中該確認消息包括 對一設備元件的一安全性屬性的一指示。 38 .如申請專利範圍第16項所述的方法，該方法還包括回應於 該確認消息，從該PVM接收一決定消息。 39 .如申請專利範圍第38項所述的方法，其中該決定消息包括 對與該設備相關聯的網路許可權的一指示。 40 .如申請專利範圍第16項所述的方法，該方法還包括執行該 完整性檢查的一可信資源（TR)。 41 .如申請專利範圍第16項所述的方法，該方法還包括執行該 安全啟動檢查的一可信資源（TR)。 42 .如申請專利範圍第12項所述的方法，該方法還包括生成該 確認消息的一可信資源（TR)。 43 .如申請專利範圍第38項所述的方法，該方法還包括從該 PVM接收該決定消息的一可信資源（TR)。 44 .如申請專利範圍第24項所述的方法，其中該FBC刪除或卸 載一正常代碼的一部分，並重啟該設備以進行重新確認。 45 . —種用於促進平台認證和管理（PVM)的平台認證實體（ PVE)，包括： 該PVE被配置為回應於來自一設備的一確認消息來接收一 PVM權杖，該PVM權杖至少包括來自該設備的驗證資訊； 該PVE被配置為使用來自該PVM權杖的預定資訊來執行確 認； 099106424 表單編號A0101 第147頁/共169頁 0993197625-0 201129129 該PVE被配置為回應於失敗元件而向一設備管理系統（ DMS)發送一失敗報告，以啟動修正和重新確認；和 該PVE被配置為發送具有一確認結果的一修改後的PVM權 杖。 46 .如申請專利範圍第45項所述的PVE，其中該驗證資訊至少 包括安全性策略屬性。 47 . —種用於經由平台認證和管理（PVM)來執行確認的設備 ，該設備包括： 一處理器，被配置為對該設備的至少一個預先指定的元件 執行一完整性檢查，並被配置為將完整性檢查結果儲存在 一記憶體中； 該處理器被配置為對該設備執行一安全啟動檢查，並在該 記憶體中儲存安全啟動檢查結果； 該處理器被配置為基於該完整性檢查結果和該安全啟動檢 查結果來生成一確認消息；和 一傳輸器，用於向該PVM傳輸該確認消息。 48 . —種用於促進平台認證和管理（PVM)的設備管理系統（ DMS)，包括： 該DMS被配置為回應於來自一設備的一確認消息來從一平 台認證實體（PVE)接收一失敗報告和一PVM權杖中的至 少一者，以便回應於失敗組件而啟動修正和重新確認，該 PVM權杖至少包括來自該設備的驗證資訊； 該DMS被配置為至少為該失敗元件確定更新的可用性； 該DMS被配置為準備無線更新以作為可用更新； 該DMS被配置為確保在一確認資料庫中存在用於該可用更 新的可信參考值； 099106424 表單編號A0101 第148頁/共169頁 0993197625-0 201129129 該DMS被配置為向一安全性閘道（SeGW)發送一修改後的 PVM權杖和一重新確認指示；以及 該DMS被配置為向該設備發送一重新確認觸發。 〇 099106424 表單編號A0101 第149頁/共169頁 0993197625-0