• 四川郎酒股份有限公司获第十二届人民企业社会责任奖年度环保奖 2019-05-13
  • 银保监会新规剑指大企业多头融资和过度融资 2019-05-12
  • 韩国再提4国联合申办世界杯 中国网友无视:我们自己来 2019-05-11
  • 中国人为什么一定要买房? 2019-05-11
  • 十九大精神进校园:风正扬帆当有为 勇做时代弄潮儿 2019-05-10
  • 粽叶飘香幸福邻里——廊坊市举办“我们的节日·端午”主题活动 2019-05-09
  • 太原设禁鸣路段 设备在测试中 2019-05-09
  • 拜耳医药保健有限公司获第十二届人民企业社会责任奖年度企业奖 2019-05-08
  • “港独”没出路!“梁天琦们”该醒醒了 2019-05-07
  • 陈卫平:中国文化内涵包含三方面 文化复兴表现在其中 2019-05-06
  • 人民日报客户端辟谣:“合成军装照”产品请放心使用 2019-05-05
  • 【十九大·理论新视野】为什么要“建设现代化经济体系”?   2019-05-04
  • 聚焦2017年乌鲁木齐市老城区改造提升工程 2019-05-04
  • 【专家谈】上合组织——构建区域命运共同体的有力实践者 2019-05-03
  • 【华商侃车NO.192】 亲!楼市火爆,别忘了买车位啊! 2019-05-03
    • / 48
    • 下载费用:30 金币  

    重庆时时彩时间表: 具有域信任评估和域策略管理功能的智能卡.pdf

    关 键 词:
    具有 信任 评估 策略 管理 功能 智能卡
      专利查询网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    摘要
    申请专利号:

    CN201610752853.X

    申请日:

    2011.12.06

    公开号:

    CN106355048A

    公开日:

    2017.01.25

    当前法律状态:

    实审

    有效性:

    审中

    法律详情: 实质审查的生效IPC(主分类):G06F 21/10申请日:20111206|||公开
    IPC分类号: G06F21/10(2013.01)I; H04L29/06; H04W12/08(2009.01)I 主分类号: G06F21/10
    申请人: 交互数字专利控股公司
    发明人: L·古乔内; M·迈耶斯坦; I·查; A·施米特; A·莱切尔; Y·沙阿
    地址: 美国特拉华州
    优先权: 2010.12.06 US 61/420,162
    专利代理机构: 北京润平知识产权代理有限公司 11283 代理人: 陈潇潇;刘国平
    PDF完整版下载: PDF下载
    法律状态
    申请(专利)号:

    CN201610752853.X

    授权公告号:

    |||

    法律状态公告日:

    2017.03.01|||2017.01.25

    法律状态类型:

    实质审查的生效|||公开

    摘要

    一个或多个无线通信设备可以包括可由一个或多个不同的所有者所有或控制的一个或多个域。所述域中的一个域可以包括安全域,该安全域具有对所述一个或多个无线通信设备上的安全策略的执行的最终控制。所述域中的另一个域可以包括全系统域管理器,该全系统域管理器附属于所述安全域,并可以执行一个或多个附属域的策略。所述全系统域管理器可以基于接收自安全域的特权等级来执行其策略。该特权等级可以基于外部利益相关者(例如,附属于所述全系统域管理器的域的所有者)与所述安全域之间的信任等级。

    权利要求书

    1.一种无线通信设备,该无线通信设备包括:
    多个域,所述多个域驻留在一个或多个设备上,其中所述多个域由至少一个平台支持,
    所述多个域中的每个域包括在所述至少一个平台上执行的计算资源的配置并且所述多个
    域中的每个域具有域所有者,其中所述多个域中的每个域被配置成为该域的域所有者执行
    功能,以及其中每个域所有者能够指定该域所有者的域的操作策略;
    安全域,该安全域是所述多个域中的一者,其中所述安全域被配置成确定外部利益相
    关者与所述安全域之间的信任等级;以及
    全系统域管理器,该全系统域管理器驻留在所述多个域中的另一个域上,其中所述全
    系统域管理器所驻留的域附属于所述安全域,所述全系统域管理器被配置成基于接收自所
    述安全域的特权等级来对所述多个域中的一个或多个附属域执行所述策略,并且其中所述
    特权等级基于所述外部利益相关者与所述安全域之间的所述信任等级,
    其中,当所述安全域的策略与所述全系统域管理器所驻留的所述域的策略相冲突时,
    所述全系统域管理器还被配置成执行所述安全域的所述策略。
    2.根据权利要求1所述的设备,其中所述外部利益相关者是所述一个或多个设备上的
    应用的应用提供方。
    3.根据权利要求2所述的设备,其中所述安全域是由卡发布方所有的卡发布方安全域。
    4.根据权利要求1所述的设备,其中所述外部利益相关者包括所述一个或多个附属域
    中的至少一者的所有者。
    5.根据权利要求1所述的设备,其中所述安全域和所述全系统域管理器驻留在全球平
    台(GP)兼容卡上。
    6.根据权利要求1所述的设备,其中所述多个域驻留在全球平台(GP)兼容卡上,每个域
    被配置成与一个或多个卡外实体通信。
    7.根据权利要求1所述的设备,其中所述特权等级包括委派管理特权和认可管理特权
    中的至少一者。
    8.根据权利要求7所述的设备,其中所述委派管理特权和所述认可管理特权各自被配
    置成使得所述全系统域管理器能够以对应的自主性等级来执行所述策略。
    9.根据权利要求8所述的设备,其中对应于所述认可管理特权的自主性等级大于对应
    于所述委派管理特权的自主性等级。
    10.根据权利要求1所述的设备,其中每个域与状态相关联,以及其中每个关联的状态
    是下列中的一者:安装状态、可选择状态、个性化状态、和锁定状态。

    说明书

    具有域信任评估和域策略管理功能的智能卡

    本申请是申请日为2011年12月6日、申请号为201180066662.3、发明名称为“具有
    域信任评估和域策略管理功能的智能卡”的中国专利的分案申请。

    相关申请的交叉引用

    本申请要求2010年12月6日提交的美国临时专利申请No.61/420,162的权益,其内
    容以引用的方式结合于此。

    背景技术

    如今存在许多情形,其中计算设备(可与其他设备或实体通信或不通信)以该设备
    或该设备内的某些部分或计算环境由个人、组织或一些其他实体“所有”的方式被使用。术
    语“所有”可以表明设备或设备内的某些部分或计算环境已经被实体所认证,和/或该实体
    之后可以对该设备或该设备的某些部分采取某种形式的控制。所述情形的一个示例是在无
    线移动通信产业中,其中无线设备(例如,移动电话)的用户可以订阅移动通信网络运营商
    的服务。

    如今在很多计算环境(如上面以移动通信设备描述的情形)中的一个问题是,计算
    设备可能被限制于由单个实体“所有”整个设备。并且在很多情况下,所有权可以在用户购
    买设备时被建立,以防止之后期望建立所有权的商业模式。此外,这些限制阻止了在期望存
    在设备的多个相互独立的部分的多个所有权、或者期望所有权偶尔被转换到其他实体的情
    形中对设备的使用。例如,无线移动通信设备(例如,移动电话)用户可以在购买时订阅特定
    移动网络运营商的服务。并且,该设备不太可能同时提供对多个运营商网络的接入。更新或
    改变移动网络和服务订阅是很困难的,并且不太可能通过空中(over-the-air)完成。

    此外,特别是在无线移动通信设备的环境中,计算设备可以包括订户标识???br />(SIM)或通用集成电路卡(UICC),其中使用所述SIM或UICC,用户可以订阅特定网络运营商
    的服务。但遗憾的是,该SIM/UICC机制可被限制于单个网络运营商的使用。此外,虽然SIM/
    UICC机制通常被认为是高安全性的,但是该安全性与其驻留的整个设备的安全特性之间没
    有很强的联系。这限制了针对高级服务缩放安全性概念的应用和诸如移动财务交易的应
    用。特别地,这些缺陷与自主(autonomous)设备相关,例如机器到机器(M2M)通信设备。

    发明内容

    提供本发明内容来以简要的形式介绍各种概念,这些概念在如下具体实施方式中
    被进一步描述。本发明内容不意图标识请求?;さ闹魈獾墓丶卣骰虮匾卣?,也不意图
    被用于限制请求?;さ闹魈獾姆段?。

    这里描述了使得在一个或多个设备上的一个或多个独立的域能够由一个或多个
    不同的本地或远程所有者所有或控制,同时提供这些域的全系统级管理的系统、方法和工
    具。根据示例性实施方式,这些方法和工具可以包括一个或多个设备,其中每一个设备可以
    包括一个或多个由至少一个平台所支持的域。每个域可以被配置成为该域的所有者执行功
    能,所述所有者可以位于所述域的本地或远程。每个域可以具有不同的所有者,并且每个所
    有者可以指定其域的操作策略,以及其域的与该域所驻留的平台和其他域有关的操作策
    略。

    所述域中的一个域可以是安全域,所述安全域可以被配置成确定外部利益相关者
    与所述安全域之间的信任等级。此外,全系统域管理器可以驻留在所述域中的一个域上。所
    述全系统域管理器可以附属于所述安全域。所述全系统域管理器可以被配置成基于接收自
    所述安全域的特权(privilege)等级对一个或多个附属域执行所述策略。所述特权等级可
    以基于所述外部利益相关者与所述安全域之间的信任等级。所述全系统域管理器可以以自
    主性等级执行所述策略,该自主性等级可以基于接收自所述安全域的特权等级。

    全系统域管理器可以被配置成执行其自身的策略,并且也可以被配置成当安全域
    的策略与全系统域管理器的策略相冲突时,执行安全域的策略。全系统域管理器还可以被
    配置成执行其所驻留的域的策略,并且其可以协调其他域如何执行他们各自的与所述全系
    统域管理器驻留的域有关的策略。此外,全系统域管理器可以根据其他域各自的策略协调
    所述其他域之间的交互。全系统域管理器驻留的域可以由容纳(house)所述域的设备的所
    有者所有??商婊坏?,该域可以由没有容纳所述域的设备的所有者所有。

    域应用也可以驻留在所述域中的一个域上。所述域应用可以被移植(port)到平
    台。例如,域应用可以基于域的至少一个所有者与域的至少一个其他所有者之间的关系来
    被移植到所述平台。

    这里描述的系统、方法和工具的其他特征将在随后的具体实施方式和附图中提
    供。

    附图说明

    更详细的理解可以从以下结合附图并且举例给出的描述中得到,其中:

    图1A示出了在其中可以实施一个或多个所公开的实施方式的示例通信系统;

    图1B示出了可以在其中实施一个或多个所公开的实施方式的示例无线发射/接收
    单元(WTRU);

    图1C示出了可以在其中实施一个或多个所公开的实施方式的示例无线电接入网;

    图2和2A是示出了获得域的所有权的过程的示例性实施方式的图示;

    图3是示出了全球平台(GP)架构的示例性实施方式的图示;

    图4是示出了作为高级用户设备(UE)设备架构的一部分的THSM的示例性实施方式
    的图示;

    图5是示出了GP安全域(SD)层级的图示;

    图6是示出了GP SD结构的配置的图示;

    图7是示出了另一种GP SD结构的配置的图示;

    图8是示出了另一种GP SD结构的配置的图示;

    图9是示出了在通用GP设置中的SD状态和其转换机制的图示

    图10、图10A和图10B是示出了消息发送细节和特定于TDM SD的生命周期状态的注
    释(annotation)的图示;

    图11是示出了在GP中应用可以获得的各种状态的图示;

    图12、图12A和图12B示出了有关预RTO可信域的安装的进程(progression)图示;

    图13和图13A示出了用于RTO移植的序列的图示;

    图14和图14A示出了注册和/或凭据(credential)转出协议的图示;

    图15是示出了图14和图14A的注册和/或凭据转出协议的延续的图示;以及

    图16是示出了用于将凭据从源卡移动到目的地卡的修改的迁移过程的图示;

    具体实施方式

    图1A-16涉及在其中可以实施所公开的系统、方法以及工具的示例性实施方式。这
    里所描述的实施方式是示例和非局限性的。虽然这里示出和描述了协议流,但是所述流的
    次序可以被改变,部分可以被忽略,和/或额外的流可以被添加。

    图1A、1B以及1C示出了可以在这里描述的实施方式中使用的示例性通信系统和设
    备。图1A是在其中可以实施一个或多个公开的实施方式的示例通信系统100的图示。通信系
    统100可以是向多个无线用户提供诸如语音、数据、视频、消息、广播等这样的内容的多接入
    系统。通信系统100可使多个无线用户能够通过共享包括无线带宽的系统资源来访问这样
    的内容。例如,通信系统100可采用一种或多种信道接入方法,例如码分多址(CDMA)、时分多
    址(TDMA)、频分多址(FDMA)、正交FDMA(OFDMA)、单载波FDMA(SC-FDMA)等。

    如图1A所示,通信系统100可包括无线发射/接收单元(WTRU)102a、102b、102c、
    102d、无线电接入网(RAN)104、核心网106、公共交换电话网(PSTN)108、因特网110和其它网
    络112,但是应该理解的是,公开的实施方式设想了任意数目的WTRU、基站、网络和/或网络
    元件。WTRU102a、102b、102c、102d的每一个可以是被配置为在无线环境中运行和/或通信的
    任意类型的设备。例如,WTRU 102a、102b、102c、102d可被配置为传送和/或接收无线信号,
    并且可包括用户设备(UE)、移动站、固定或移动用户单元、寻呼机、蜂窝电话、个人数字助手
    (PDA)、智能电话、平板电脑、膝上型计算机、上网本、个人计算机、无线传感器、消费电子产
    品等。

    通信系统100还可包括基站114a和基站114b?;?14a、114b的每一个可以是被配
    置为与WTRU 102a、102b、102c、102d的至少一个无线对接以便于接入一个或多个诸如核心
    网106、因特网110和/或网络112这样的通信网络的任意类型的设备。例如,基站114a、114b
    可以是基地收发信机站(BTS)、节点B、e节点B、家用节点B、家用e节点B、站点控制器、接入点
    (AP)、无线路由器等。虽然基站114a、114b每一个被描述为单一元件,应理解基站114a、114b
    可包括任意数目的互连基站和/或网络元件。

    基站114a可以是RAN 104的一部分,该RAN 104还可包括其它基站和/或网络元件
    (未示出),例如基站控制器(BSC)、无线电网络控制器(RNC)、中继节点等?;?14a和/或基
    站114b可被配置为在可被称为小区(未示出)的特定地理区域内传送和/或接收无线信号。
    小区可进一步被划分为小区扇区。例如,与基站114a相关联的小区可被划分为3个扇区。因
    此,在一个实施方式中,基站114a可包括3个收发信机,即小区的每个扇区都有一个收发信
    机。在另一个实施方式中,基站114a可采用多输入多输出(MIMO)技术,因此可为小区的每个
    扇区使用多个收发信机。

    基站114a、114b可通过空中接口116与WTRU 102a、102b、102c、102d中的一者或多
    者通信,该空中接口116可以是任意适当的无线通信链路(例如射频(RF)、微波、红外(IR)、
    紫外(UV)、可见光等)??罩薪涌?16可使用任意适当的无线电接入技术(RAT)来建立。

    更具体地,如上所述,通信系统100可以是多接入系统,并且可采用一种或多种信
    道接入方案,例如CDMA、TDMA、FDMA、OFDMA、SC-FDMA等。例如,RAN 104中的基站114a和WTRU
    102a、102b、102c可实施诸如通用移动电信系统(UMTS)陆地无线电接入(UTRA)这样的无线
    电技术,其可使用宽带CDMA(WCDMA)来建立空中接口116。WCDMA可包括诸如高速分组接入
    (HSPA)和/或演进型HSPA(HSPA+)这样的通信协议。HSPA可包括高速下行链路分组接入
    (HSDPA)和/或高速上行链路分组接入(HSUPA)。

    在另一个实施方式中,基站114a和WTRU 102a、102b、102c可实施诸如演进型UMTS
    陆地无线电接入(E-UTRA)这样的无线电技术,其可使用长期演进(LTE)和/或高级LTE(LTE-
    A)来建立空中接口116。

    在其它实施方式中,基站114a和WTRU 102a、102b、102c可实施诸如IEEE 802.16
    (即,全球微波接入互操作性(WiMAX))、CDMA2000、CDMA2000 1X、CDMA2000EV-DO、临时标准
    2000(IS-2000)、临时标准95(IS-95)、临时标准856(IS-856)、全球移动通信系统(GSM)、用
    于GSM演进的增强型数据速率(EDGE)、GSM EDGE(GERAN)等这样的无线电技术。

    图1A中的基站114b可以例如是无线路由器、家用节点B、家用e节点B或接入点,并
    且可使用任意适当的RAT以便局部区域中的无线连接,例如商业地点、家庭、车辆、校园等。
    在一个实施方式中,基站114b和WTRU 102c、102d可实施诸如IEEE 802.11这样的无线电技
    术,以建立无线局域网(WLAN)。在另一个实施方式中,基站114b和WTRU 102c、102d可实施诸
    如IEEE 802.15这样的无线电技术,以建立无线个域网(WPAN)。在又一个实施方式中,基站
    114b和WTRU 102c、102d可使用基于蜂窝的RAT(例如WCDMA、CDMA2000、GSM、LTE、LTE-A等)来
    建立微微小区(picocell)或毫微微小区(femtocell)。如图1A所示,基站114b可与因特网
    110直接连接。因此,基站114b不需要经由核心网106接入因特网110。

    RAN 104可与核心网106通信,该核心网106可以是被配置为向WTRU 102a、102b、
    102c、102d中的一者或多者提供语音、数据、应用和/或网际协议上的语音(VoIP)服务的任
    意类型的网络。例如,核心网106可提供呼叫控制、计费服务、基于移动位置的服务、预付费
    呼叫、因特网连接、视频分发等,和/或执行诸如用户认证这样的高级安全功能。虽然未在图
    1A中示出,应理解RAN 104和/或核心网106可与采用与RAN 104相同的RAT或不同的RAT的其
    它RAN直接或间接通信。例如,除了与可采用E-UTRA无线电技术的RAN 104连接之外,核心网
    106还可与采用GSM无线电技术的另一个RAN(未示出)通信。

    核心网106还可作为供WTRU 102a、102b、102c、102d接入PSTN 108、因特网110和/
    或其它网络112的网关。PSTN 108可包括提供普通老式电话服务(POTS)的电路交换电话网
    络。因特网110可包括使用公共通信协议的全球互连计算机网络和设备系统,所述公共通信
    协议例如传输控制协议(TCP)/网际协议(IP)因特网协议族中的TCP、用户数据报协议(UDP)
    和IP。网络112可包括由其它服务供应商所有和/或运营的有线或无线通信网络。例如,网络
    112可包括与可采用与RAN 104相同的RAT或不同的RAT的一个或多个RAN相连接的另一个核
    心网。

    通信系统100中的WTRU 102a、102b、102c、102d中的一些或所有可包括多模能力,
    即,WTRU 102a、102b、102c、102d可包括用于通过不同无线链路与不同无线网络通信的多个
    收发信机。例如,图1A中示出的WTRU102c可被配置为与可采用基于蜂窝的无线电技术的基
    站114a通信,以及与可采用IEEE 802无线电技术的基站114b通信。

    图1B是示例WTRU 102的系统图。如图1B所示,WTRU 102可包括处理器118、收发信
    机120、发射/接收元件122、扬声器/麦克风124、键盘126、显示器/触摸板128、不可移除存储
    器130、可移除存储器132、电源134、全球定位系统(GPS)芯片组136和其它外围设备138。应
    当理解的是,在与实施方式保持一致的同时,WTRU 102可包括前述元件的任意子组合。

    处理器118可以是通用处理器、专用处理器、常规处理器、数字信号处理器(DSP)、
    多个微处理器、与DSP核相关联的一个或多个微处理器、控制器、微控制器、专用集成电路
    (ASIC)、现场可编程门阵列(FPGA)电路、任意其它类型的集成电路(IC)、状态机等。处理器
    118可执行信号编码、数据处理、功率控制、输入/输出处理和/或使WTRU 102能够在无线环
    境中运行的任意其它功能。处理器118可与收发信机120相耦合,收发信机120可与发射/接
    收元件122相耦合。虽然图1B将处理器118和收发信机120描述为单独的组件,但应当理解的
    是,处理器118和收发信机120可一起被集成在电子封装或芯片中。

    发射/接收元件122可被配置为通过空中接口116向基站(例如基站114a)传送信号
    或从基站(例如基站114a)接收信号。例如,在一个实施方式中,发射/接收元件122可以是被
    配置为传送和/或接收RF信号的天线。在一个实施方式中,发射/接收元件122可以是被配置
    为例如传送和/或接收IR、UV或可见光信号的发射器/检测器。在一个实施方式中,发射/接
    收元件122可以被配置为传送和接收RF和光信号两者。应当理解的是,发射/接收元件122可
    被配置为传送和/或接收无线信号的任意组合。

    此外,虽然发射/接收元件122在图1B中被描述为单一元件,WTRU 102可包括任意
    数目的发射/接收元件122。更具体地,WTRU 102可采用MIMO技术。因此,在一个实施方式中,
    WTRU 102可包括两个或更多个用于通过空中接口116传送和接收无线信号的发射/接收元
    件122(例如,多个天线)。

    收发信机120可被配置为调制即将由发射/接收元件122传送的信号并解调由发
    射/接收元件122接收的信号。如上所述,WTRU 102可具有多模能力。因此,收发信机120可包
    括例如用于使WTRU 102能够经由诸如UTRA和IEEE 802.11这样的多个RAT通信的多个收发
    信机。

    WTRU 102的处理器118可与扬声器/麦克风124、键盘126、和/或显示器/触摸板128
    (例如液晶显示器(LCD)显示单元或有机发光二极管(OLED)显示单元)相耦合,并可从它们
    接收用户输入数据。处理器118还可以向扬声器/麦克风124、键盘126和/或显示器/触摸板
    128输出用户数据。此外,处理器118可从诸如不可移除存储器130和/或可移除存储器132这
    样的任意类型的适当存储器中访问信息,并将数据存储在其中。不可移除存储器130可包括
    随机存取存储器(RAM)、只读存储器(ROM)、硬盘或任意其它类型的存储器存储设备??梢瞥?br />存储器132可包括订户标识???SIM)卡/通用集成电路卡(UICC)、存储棒、安全数字(SD)存
    储卡等。SIM/UICC可以向无线设备提供安全执行和存储环境,从所述安全执行和存储环境
    来执行认证算法和存储凭据,以使设备能够向网络运营商认证与网络运营商的设备用户的
    订阅,和/或允许网络运营商具有对设备的某种形式的控制(即,所有权)。在其它实施方式
    中,处理器118可从物理上不位于WTRU 102上(例如在服务器或家用计算机(未示出)上)的
    存储器访问信息,并将数据存储在其中。

    处理器118可从电源134接收电力,并可被配置为分配和/或控制到WTRU 102中的
    其它组件的电力。电源134可以是用于向WTRU 102供电的任意适当的设备。例如,电源134可
    包括一个或多个干电池(镍镉(NiCd)、镍锌(NiZn)、镍金属氢化物(NiMH)、锂离子(Li-ion)
    等)、太阳能电池、燃料电池等。

    处理器118还可以与可被配置为提供关于WTRU 102的当前位置的位置信息(例如
    经度和纬度)的GPS芯片组136相耦合。作为来自GPS芯片组136的信息的附加或替代,WTRU
    102可通过空中接口116从基站(例如基站114a、114b)接收位置信息,和/或基于从两个或更
    多个附近基站接收的信号定时来确定它的位置。应当理解的是,在与实施方式保持一致的
    同时,WTRU 102可借助任何适当的位置确定方法来获取位置信息。

    重庆时时彩单双窍门 www.4mum.com.cn 处理器118可进一步与其它外围设备138相耦合,所述外围设备138可包括提供附
    加特征、功能和/或有线或无线连接的一个或多个软件和/或硬件???。例如,外围设备138
    可包括加速计、电子罗盘、卫星收发信机、数字照相机(用于相片或视频)、通用串行总线
    (USB)端口、振动设备、电视收发信机、免提耳机、蓝牙???、调频(FM)无线电单元、数字音
    乐播放器、媒体播放器、视频游戏机???、因特网浏览器等。

    图1C是根据一个实施方式的RAN 104和核心网106的系统图。如上所述,RAN 104可
    采用UTRA无线电技术以通过空中接口116与WTRU 102a、102b、102c通信。RAN 104还可以与
    核心网106通信。

    RAN 104可包括e节点B 140a、140b、140c,应当理解的是,在与实施方式保持一致
    的同时,RAN 104可包括任意数目的e节点B。e节点B 140a、140b、140c的每一个可包括通过
    空中接口116与WTRU 102a、102b、102c通信的一个或多个收发信机。在一个实施方式中,e节
    点B 140a、140b、140c可以实施MIMO技术。因此,例如e节点B 140a可以使用多个天线向WTRU
    102a传送无线信号,和从WTRU 102a接收无线信号。

    如图1C所示,节点B 140a、140b可与RNC 142a通信。附加地,节点B 140c可与RNC
    142b通信。节点B 140a、140b、140c可经由Iub接口与各个RNC 142a、142b通信。RNC 142a、
    142b可经由Iur接口互相通信。RNC 142a、142b的每一个可被配置为控制与其连接的各个节
    点B 140a、140b、140c。此外,RNC 142a、142b的每一个可被配置为执行和/或支持其它功能,
    例如外环功率控制、负载控制、准许控制、分组调度、切换控制、宏分集、安全功能、数据加密
    等。

    图1C所示的核心网106可包括媒体网关(MGW)144、移动交换中心(MSC)146、服务
    GPRS支持节点(SGSN)148、和/或网关GPRS支持节点(GGSN)150。虽然上述元件的每一个都被
    描述为核心网106的一部分,应当理解的是这些元件的任意一个可由核心网运营商以外的
    实体所有和/或运营。

    RAN 104中的RNC 142a可经由IuCS接口与核心网106中的MSC 146相连接。MSC 146
    可与MGW 144相连接。MSC 146和MGW 144可向WTRU 102a、102b、102c提供到诸如PSTN 108这
    样的电路交换网络的接入,以便于WTRU 102a、102b、102c与传统陆线通信设备之间的通信。

    RAN 104中的RNC 142a还可以经由IuPS接口与核心网106中的SGSN 148相连接。
    SGSN 148可与GGSN 150相连接。SGSN 148和GGSN 150可向WTRU 102a、102b、102c提供到诸
    如因特网110这样的分组交换网络的接入,以便于WTRU 102a、102b、102c与IP使能设备之间
    的通信。

    如上所述,核心网106还可与网络112相连接,网络112可包括由其他服务供应商所
    有和/或运营的其它有线或无线网络。

    上述通信系统和/或设备可以用于如这里描述的全球平台(GP)智能卡。GP智能卡
    架构可以提供对单个设备上的一个或多个应用的支持。在相对开放的环境内适应大量和/
    或不同数量的应用可能存在安全挑战,例如,来自恶意软件、病毒、机器人程序(bots)的攻
    击,和/或类似的安全挑战。安全挑战可以是恒定的和/或永远存在的。GP安全机制可以经由
    GP的安全域(SD)结构提供对安全攻击的?;?,该GP安全机制可以在其卡管理器的终端监控
    下运行。GP安全特征可以包括完整性和/或真实性(authenticity)验证。例如,完整性和/或
    真实性验证可以应用于被加载到卡上的应用码和/或数据,例如这可以由SD安全策略请求。
    此外,程序行为可在SD和/或管理器级被监视。如果检测到与应用相关联的威胁,则该应用
    可以被转换到“锁定”状态。但是,可以对GP的安全性和功能性进行添加。虽然这里描述了可
    以例如在智能卡、订户标识???SIM)、通用集成电路卡(UICC)或其他卡上(on-card)环境
    上执行的有关GP智能卡和/或GP架构的实施方式,但是应当理解的是,这里所描述的实施方
    式也可以在多种卡外(off-card)环境中使用,例如虚拟订户标识???vSIM)或其他具有嵌
    入式信任环境的平台。

    对于GP架构,GP操作环境可以提供关于被配置在智能卡上的允许的应用程序组的
    灵活性??尚庞?TD)概念可以作为S/W被从其可信硬件订户???THSM)的原始设置移植到
    GP兼容(compliant)智能卡。根据一种实施方式,GP智能卡可以有效地执行THSM的特征。一
    旦可信域S/W的某些元件已被加载和/或安装在适当编组(organize)的层级中,这些特征可
    以被执行??梢允褂玫腡D概念的示例性特征包括信任机制、TD的远程获得所有权(RTO)、用
    户注册和/或远程凭据转出、可信订户标识管理(TSIM)应用迁移、和全认证和/或密钥协定
    (AKA)功能。例如,信任机制可以提供一个或多个域的隔离和安全。根据一种实施方式,所述
    域的一者或多者可以包括与其他域隔离的安全执行和存储环境。例如,GP可信框架或其他
    类似的可信框架可以负责应用间和/或域间通信,并且可以确保对应用污染的隔离和?;?,
    例如通过执行CI的安全规则。

    例如,信任机制可以包括运行时间完整性检查和/或与移动可信???MTM)信任能
    力相关联的信任根(RT)。信任的这些方面不可以在GP环境中使用,其中在该GP环境中,在文
    件加载期间执行安全?;?,但在其中运行时间完整性检查是不允许的。TD的远程获得所有
    权(RTO)可以向远程所有者(RO)提供完整订阅服务的功能??梢酝贝嬖诙嘤谝桓龅脑冻?br />所有的TD。如这里所述,TD可以是TD应用的主功能单元。在THSM环境中的RTO协议可以合并
    用于建立对即将发生的所有权的设备可信度(trustworthiness)的信任机制。但是,在GP设
    置中,信任机制可以在文件加载到卡上时以模式和/或完整性检查的形式存在。RTO协议和
    TD的更详细的描述在这里被提供。

    图2和2A中的图示示出了全RTO协议流的实施方式。图2和2A示出了示例性RTO过程
    的呼叫流程图。例如,图2和2A示出了ME 202、TDDO 204、SDM 206、TD*RO 208和RO 210中的一
    者或多者之间的示例性呼叫。图2和2A中的箭头可以表示呼叫的起源/目的地。用户可以启
    动UE平台通电。平台可以为域提供低级计算、存储、或通信资源。平台可以由硬件、操作系
    统、低级固件或软件(例如,启动代码、BIOS、API、驱动器、中间件或虚拟化软件)和/或高级
    固件或软件(例如应用软件)和针对上述资源的各个配置数据组成。每个域可以包括在平台
    上执行的计算、存储、或通信资源的配置?;〈肫舳梢杂蒑E 202在212处完成。在214,
    THSM可以安全地启动。THSM可以加载DO的域,包括SDM;其中SDM可以提供:1)可用于域建立
    的资源;和/或2)对于用户可接受的域的列表。在216,THSM可以完成其启动。在218,ME可以
    完成其启动。在219,ME可以向TDDO 204指示其启动完成。在此过程期间,DM的域可以被建立,
    可选用户域(MEU)也可以被建立,和/或可以检查可用资源。DM的域可以包括METDM,该METDM为
    ME设备提供域策略的初始配置和规范。由于MEDM的预配置,在针对那些域的策略方面(例如,
    在THSM上的策略和在ME上的其他策略),该策略可以与SDP的策略一致,其中在ME域与THSM
    域之间具有公共远程所有者。

    仍旧参考图2,具有其预配置的域的ME 202可以在219发送“启动完成”消息,该消
    息在220启动RTO。该消息可以包括关于DM域策略的显式信息和在ME 202中的可用资源。在
    222,对开始RTO(包括目标域计划)的请求可以被从SDM 206发送至TD*RO 208。在224,由
    TD*RO 208做出是接受还是拒绝RTO开始请求的决定。在225,可以从TD*RO 208向SDM 206发
    送指示是否应开始RTO的消息??商婊坏?,在226,RTO可以由TD*RO 208发起。在227,TD*RO
    208可以向SDM 206发送表明其意图开始RTO最终域计划的指示。

    SDM 206可以通过评估THSM的全系统域策略(SDP)和确定将在ME 202域上施加和/
    或分配哪些限制来对ME 202启动消息作出反应。这些策略限制可以包括哪些域(根据他们
    相关联的远程所有者)是可允许的,例如在ME 202和THSM上。SDM 206可以确定哪些全系统
    资源是允许ME 202针对由相同远程所有者所有的域使用的,该远程所有者具有THSM上的
    域,包括其已经知道的域。SDM 206还可以包括对其基础策略的策略限制和对其资源列表可
    允许的资源。在MEPDM接收信息之后,其可以在做出和执行有关对ME 202上的资源和域的管
    理的决定方面运用某些特权,而不需要针对所有这些决定从SDM 206中获得许可。例如当
    SDM 206和其策略(SDP)被视为是在GP兼容智能卡内的应用时,该SDM 206和其策略(SDP)可
    以被例如CI SD之类的安全域否决。SDM 206可以在其自主运行或不自主运行时被否决。

    继续参考图2,在228继续该过程。在228,SDM 206可以检查和/或评估以下内容:
    SDP、可用资源、和/或可接受的域和/或状态。在230,可以从SDM 206向TD*RO 208发送“可以
    开始”信号。在232,针对THSM平台完整性证据(TPIA)、THSM平台环境概要(TPES)、ME平台完
    整性数据(MPID)和/或ME平台环境调查(MPES)的请求可以被发送。在234,SDM 206例如可以
    通过每个域的一些列PCR,从现有域中收集/连结完整性证据、和/或收集和/或连结TPES信
    息。

    在236,可以从SDM 206向TDDO 204发送针对MPID和/或MPES的请求。在242,可以由
    ME 202处理针对MPID和MPES的请求的响应。在238,MPID和MPES可以与信任证明(例如,具有
    签名密钥)一起被发送至SDM 206。在239,可以从SDM 406向TD*RO 208发送TPIA、TPES、MPID
    和/或MPES。在240,THSM可以根据MPID(原始数据)计算摘要(digest)MPIA并且检查MPIA。如
    果可接受,摘要MPIA可以被发送到目标RO 210。在242,可以从TD*RO 208向ME 202发送对
    TPIA||TPES||SCARD||目的||RTO的请求。

    参考图2A,并继续图2中的RTO过程,在244,TPIA||TPES||SCARD||目的||RTO消息
    被从ME 202发送到RO 210。在246,RO 210可以执行下列中的一者或多者:检查TPIA、TPES以
    及目的;确定原始域对参考完整性度量RIMRO的可信度,该RIMRO可能由RO从可信的第三方接
    收并维持;检查域策略(DP)的可接受性;或创建CONFIG(配置)来建立完整的域状态。在248,
    可以从目标RO 210向ME 202发送消息CONFIG||DP||RIMRO||RO标识。在250,CONFIG||DP||
    RIMRO||RO消息可以被从ME 202传递到TD*RO 208。在252,TD*RO 208可以建立和/或配置域,
    和/或检查针对RIMRO的完整性。此外,TD*RO 208可以具有其通过目标RO 210获得的所有权,
    从而将其变换为TDRO。在254,可以从TDRO 208向ME 202发送域完整消息。在256,可受完整性
    ?;?例如,经由签名)的域完整消息可以被从目标RO 210传递到ME 202。

    用户注册和/或远程凭据转出可以完成TD建立和/或授权用户全订户状态。该过程
    可以使用户以及销售点(POS)参与到协议中。TSIM应用迁移可以包括完整域传递(包括TD功
    能),或从一个设备(例如,源设备)到另一个具有相似能力的设备(例如,目的地设备)的订
    户凭据的简单镜像(re-imaging)。对于迁移,用于从源设备到目的地设备的凭据的端到端
    传递的两种配置协议可以被考虑。一种配置可以针对源设备和目的地设备两者包括一个所
    有者,而另一种配置可以针对每个设备包括不同所有者。一旦每个实例中的注册和/或凭据
    转出已经被执行,GP智能卡还可以提供每个TD的全认证和/或密钥协定(AKA)功能。该特征
    在某些情况下可以不用于移植。

    这里描述了GP智能卡与THSM/TD架构之间的比较。对于GP智能卡,GP智能卡架构可
    以包括卡管理器。该卡管理器可以是卡中心管理员和/或全球平台应用程序接口(API)。该
    卡管理器可以是逻辑实体,该逻辑实体包括GP环境(OPEN)、卡发布方(CI)域、和/或持卡者
    验证方法(CVM)服务??ü芾斫峁箍梢园尚趴蚣?。该可信框架可以负责应用间通信和/
    或全球平台注册,其可以存储例如卡资源管理数据、卡和应用生命周期信息、应用标识、处
    理特权、相关联的域、和/或类似的信息之类的信息。

    GP架构结构可以负责卡上的各种交互和/或服务,例如应用间的通信、提供到应用
    的API、指令分派(dispatch)、应用选择、逻辑信道管理、卡内容管理、域个性化服务和/或安
    全服务、卡锁定、应用生命周期状态更新、和/或类似的卡上的交互和/或服务。

    GP特征可以提供用于卡SD结构和/或相关联的利益相关者的操作环境。利益相关
    者是可信计算组(TCG)术语,但该术语也可以用于指代TCG标准之外的类似的实体。GP的利
    益相关者可以是卡发布方(CI)、一个或多个应用提供方(AP)、设备制造商、终端所有者、控
    制当局(authority)、和/或对在无线通信设备上的软件和/或硬件有兴趣的或具有所述软
    件和/或硬件的所有权的其他实体。CI可以是有效的卡所有者。AP可以是网络运营商。例如,
    AP可以是WiMax、蜂窝服务、IMS、财务服务提供方、和/或类似的网络的网络运营商??刂频?br />局可以例如向其他卡应用提供全球应用服务(例如CVM)。对有关利益相关者的示例的更详
    细描述在这里被提供。

    卡规范可以请求每个利益相关者的应用占有相关联的SD。每个SD可以执行关于与
    之关联的应用的行为的利益相关者的安全策略??ǖ腟D结构可以是与例如具有安全策略执
    行的最终控制的外部利益相关者(例如CI SD)分级的。GP可以允许CI或其他外部利益相关
    者向控制当局或甚至向应用相关联的SD委派最终的策略执行权。对于非CI-SD的各种“委
    派”权等级可以在GP中被许可。委派权的等级示例在这里被标识和讨论。虽然在这里CI可以
    被用于指代具有安全策略执行的最终控制的外部利益相关者,但是应当理解的是,任何其
    他外部利益相关者可以具有安全策略执行的最终控制,并执行如这里描述的与CI相关联的
    功能。类似地,CI SD可以指代与CI相关联的SD,但是与具有安全策略执行的最终控制的任
    意其他外部利益相关者相关联的SD可以执行与这里描述的CI SD相同或类似的功能。

    图3是示出了GP架构的示例性实施方式的图示。如图3所示,无线通信设备可以包
    括多个应用,每个应用与被配置成控制关于应用的策略执行的安全域(SD)相关联。例如,无
    线通信设备可以包括多个应用,例如卡发布方应用308、应用提供方(AP)应用310、和/或全
    球服务(GS)应用312。无线通信设备还可以包括多个SD,例如,发布方的SD 302、应用提供方
    的SD 304、和/或控制当局的SD 306??ǚ⒉挤接τ?08可以与发布方的SD 302相关联,AP应
    用310可以与应用提供方的SD 304相关联,和/或GS应用312可以与控制当局的SD 306相关
    联。每个安全域可以控制关于其相关联的应用的策略执行。

    这里描述了GP平台特权和安全域管理。根据一种实施方式,期望的是当TSIM在GP
    兼容平台上操作的同时,这里所描述的每个功能特性可以被实现。当TSIM在GP兼容平台上
    操作的同时每个功能特性可以被实现的程度可以根据例如该TSIM应用对于GP卡管理器或
    其他外部利益相关者被允许自主操作的程度来确定。自主等级可以基于GP CI与TSIM AP之
    间的策略一致性的结果。自主等级可以基于CI SD与外部利益相关者(例如TSIM AP)之间的
    信任等级。信任等级可以基于多种标准。例如,信任等级可以根据具有最终控制的安全域
    (例如,CI SD 302)的安全策略与外部利益相关者(例如,希望具有在智能卡上驻留的一个
    或多个应用310的AP SD 304)的安全策略之间的一致性等级来确定。信任等级还可以根据
    CI与AP之间有多熟悉来确定。在一种实施方式中,信任等级可以考虑来自第三方的推荐。AP
    或其他外部利益相关者的声誉也可以帮助确定信任等级。特权等级可以基于信任等级被授
    权。例如,CI可以确定TSIM AP的可信度。CI可以授权认可管理特权(AMP),例如,当TSIM SDP
    被认为与CI的一致时。委派管理特权(DMP)(可以提供比AMP低的自主性)更有可能在用于确
    定信任等级的因素对于CI而言不太认同的情况下出现。根据示例实施方式,CI SD 302可以
    是GP特权结构或与这里描述的相似的结构的最高SD当局。

    这里描述了至少三种特权等级。一种这样的特权等级可以是认可管理特权(AMP)。
    该特权等级可以为任何已经被授权该特权的应用提供最大的自主性。如果TSIM应用被授权
    AMP,它的SD可以位于SD层级的顶端和/或是自关联的。在GP环境中,SD可以被认为是应用,
    并且也可以具有相关联的SD。如果SD是自关联的,其可以使用其自身的安全服务。在这种环
    境中,CI SD可以不利用令牌验证(TV)特权和/或接收生成(RG)特权来控制TSIM SD。自关联
    的SD可以在SD层级中控制TV和/或RG结构,和/或可以决定不使用令牌。这可以给予SD对载
    入文件的加载的控制。

    另一个特权等级可以是委派管理特权(DMP)。虽然该特权等级被认为很强,但其可
    以提供比AMP提供的更少的自主性。应用SD可以不是自关联的。因此,CI SD可以通过在SD
    (在层级中低于CI SD)上运用TV和/或RG特权来控制载入文件活动性。然而,可以被授权DMP
    的SD可有权执行载入文件的加载和/或监督其他安全过程,例如,关于载入文件活动性所涉
    及的文件完整性的那些安全过程。

    另一种特权等级既不包括AMP也不包括DMP。由于没有AMP或DMP,SD可以具有很少
    的自主性。CI SD可以执行有关载入文件的加载功能,和/或可以在控制加载过程中运用TV
    和/或RG特权。CI SD还可以对涉及文件完整性的载入文件活动性进行控制。

    这里提供了GP安全域管理的说明,包括以下说明:1)接收发布机制;2)令牌签名机
    制;3)委派管理特权令牌;4)由卡管理实体OPEN对接收的监督;5)关于自关联智能卡(SC)对
    辅助SD进行配置的机制;6)关于具有DMP的SD的自过渡(self-extradition)问题;7)在实际
    环境中对于自过渡的整体经验等级;8)与SC网络服务(SCWS)相关联的应用;9)机密卡管理;
    10)关于令牌验证特权和接收生成特权的使用的机制;以及11)关于由自关联SC对辅助SD进
    行配置的进一步的信息。

    这里描述了根据一些实施方式的GP安全域管理属性。在一种使用GP安全域机制的
    实施方式中,辅助SD可以具有令牌验证特权和/或接收生成特权。在一种示例性实施方式
    中,每张卡的至少一个SD可以具有这些特权中的每一个特权。SD可以不一定是具有所述令
    牌验证特权和接收生成特权的相同的SD。因此,发布方域可以具有令牌验证特权和/或接收
    生成特权,但是在其他实施方式中,其可以是具有令牌验证特权和/或接收生成特权的不同
    SD。例如,根据一种实施方式,每个层级存在一个具有接收生成特权的SD和一个具有令牌验
    证特权的SD。这与每张卡存在一个具有接收生成特权的SD和一个具有令牌验证特权的SD不
    同。具有这些特权的SD不必须是相同的SD,但是其可以是相同的。如果OPEN检测到层级中在
    当前SD上的SD具有RG特权,可以生成接收。然而,这可能取决于是否使用了令牌。这可以是
    具有RG特权的SD,其可以发布接收和/或向SD的所有者发送接收。如果ISD对该接收进行签
    名,则该接收可以被发送给CI。

    根据一种实施方式,TSIM自主性可以为发布加载接收而存在。TSIM关联的SD可以
    被授权认可管理特权。例如,CI可以向TSIM关联的SD授权认可管理特权。CI也可以授权令牌
    验证特权和/或接收生成特权。在该配置中,TSIM可以位于其SD层级的顶部,并且可以管理
    TSIM应用的卡内容。

    在具有GP安全管理属性的实施方式中,可能的令牌结构方法包括令牌生成/发布、
    令牌验证、和/或接收生成。例如,实施方式可以使用接收以允许CI跟踪卡的配置。接收可以
    用于让SD所有者(例如AP和/或CI)了解到对应的令牌已被成功使用。SD所有者可以根据哪
    个SD对该接收进行了签名而被建立。SD可以不跟踪卡的配置。GP注册可以存储关于该配置
    的数据和/或其可以在成功管理事件后被自动地更新。例如,OPEN可以读取GP注册以获得关
    于该配置的信息。认可的卡外实体可以例如使用获得状态(GET STATUS)指令读取注册。根
    据一种实施方式,TSIM关联的SD可以由TSIM AP所有。GP注册可以在使用令牌和/或接收时
    存储配置数据。如果由TSIM AP发布令牌和/或所述令牌由TSIM SD签名的接收所验证,则存
    储机制可以是相同的。

    在使用GP安全机制的实施方式中,辅助SD可以验证令牌。DAP和/或DM令牌可以为
    具有DM特权的辅助SD而被请求以加载新应用。这可以包括加载新子SD??梢允褂酶髦掷嘈?br />的令牌来加载和/或安装应用,和/或移动它通过其各种生命周期状态??梢杂葾P生成DAP。
    AP可以所有具有DM特权的辅助SD。然而,可以包括委派管理令牌的令牌可以由CI生成。这意
    味着具有其特权的辅助的、自过渡的SD可以从CI获得令牌。该令牌可以在各种安装
    (INSTALL)指令中被从AP供给到智能卡。AP可以使用其DM特权来加载应用。此外,可以存在
    一种类型的令牌。DAP也可以独立于令牌。令牌可以被例如具有TV特权的SD的卡外所有者签
    名和/或发布,因为该SD具有用于验证该令牌的密钥。根据一种实施方式,每个层级可以存
    在一个TV特权。对于具有一个树的卡,如果具有DMP的SD存在,则ISD可以具有TV特权。在一
    种可替换的实施方式中,令牌发布方可以向AP发送签名密钥,该AP可以对该令牌进行签名。
    这将不影响具有TV特权的SD。如果对称的签名过程被使用,则如果AP具有TV特权,该AP可以
    验证该令牌。根据一种实施方式,CI可以不分发该密钥和/或可以选择使用两个不同层级的
    分开管理,在每个层级的根部,这两个不同层级具有其自身的AM特权。

    TSIM AP可以与其所有的SD共享一个密钥。根据一种实施方式,如果使用对称的密
    钥,则TSIM AP可以共享一个密钥。AP可以发布令牌和/或对该令牌进行签名。SD可以验证该
    令牌签名,和/或生成被发回至AP的接收和/或对被发回至AP的接收进行签名以进行接收验
    证。在该程序中使用的GP凭据可以与TSIM可信域相关联的那些不同。

    在一些实施方式中,DM令牌(例如,或其他令牌)可以由除了CI之外的外部利益相
    关者签名。例如,令牌的发布方可以是具有令牌验证特权的SD的SD提供方。根据一种实施方
    式,SD提供方可以是CI。DM令牌可以由除了CI之外的其他人签名,例如AP。具有合适的特权
    的自过渡辅助SD可以独立于CI。任何SD可以具有TV特权。例如,每个层级的一个SD可以具有
    TV。这可以是享有特权的SD的所有者,该所有者可以对令牌进行签名。这不一定是具有对安
    全策略执行的最终控制的发布方或其他外部利益相关者。例如,在非ISD层级中的SD可以具
    有TV特权和/或该SD的所有者能够对令牌进行签名。

    进一步地,各种GP域层级可以基于期望的TSIM配置类型来被构建。例如,独立的远
    程所有者每个可以具有作为他们的TD功能的一部分运行的软件??梢杂枚杂Φ墓亓腉P
    SD为这些远程所有者中的每个来建构TSIM应用。SD可以被授权委派管理特权,以通过TSIM
    关联的SD监督他们的活动性来管理他们自身的配置。

    根据一种实施方式,DM令牌在这里被进一步描述??梢栽诟髦侄骱?或特权中使
    用令牌。DM令牌可指在管理卡内容的DM过程中使用的任何令牌。DM令牌(如上所述)例如可
    以在TSIM应用配置建立过程的环境中被使用。

    根据一种实施方式,OPEN可以确定接收是否被使用。OPEN可以确保当接收可以被
    使用时,该接收被生成,例如,在相关指令(例如,INSTALL)已经被成功执行之后。OPEN可以
    确定在层级中的任何SD是否具有接收发布特权。如果当前SD或在层级中该SD之上的一个SD
    具有接收生成特权,则OPEN可以确保该接收被生成和/或被发送到应用提供方。不同的TSIM
    移植实施方式可以涉及令牌和接收的不同使用组合,例如:1)无令牌;2)有令牌并无接收;
    和/或3)具有全验证的令牌和/或接收。在一种实施方式中,如果发布方域具有接收发布特
    权,可以为与ISD关联的SD生成接收(例如,不为自关联的SD)。在一种实施方式中,如果加载
    应用的SD是自关联的且没有接收生成特权,则接收不由在层级顶部的SD生成。接收可以是
    有选择的。例如,如果SD位于层级的顶部,则可以确定SD使用哪个特权来加载应用。例如,SD
    可以具有AM特权,这意味着其可能不使用令牌并因此可以不生成接收。如果SD具有RG和/或
    TV特权,其可以发布针对附属SD的接收。根据一种实施方式,如果他们具有DM特权和/或他
    们具有用于执行CCM操作的令牌,则接收可以被发布。如果SD具有DM和TV特权两者,则其可
    以具有实质上与具有AM特权等同的自主性,因为SD可以验证其自身的令牌。

    根据一种实施方式,具有DM特权的自关联的SD可以在其自身下创建附属SD的线性
    链和/或SD的多级树。例如,SD可以呈现可由在层级中享有TV特权的SD验证的正确的令牌。
    根据一种实施方式,可以存在至少两级SD。例如,一个辅助SD可以存在在发布方域下。自关
    联的SD可在其下不具有任何SD。多层树可以被创建。每个SD可以知道其关联哪些其他SD和/
    或正确信息可以被存储在GP注册中。在一种实施方式中,附属SD可以是应用并且也需要通
    过各种卡内容管理过程以加载到卡上和/或变为可操作的。辅助SD可以不需要为了能够加
    载其下的附属SD而是自关联的。辅助SD可以具有DM特权。即使辅助SD不具有DM特权,顶级SD
    可以被用于加载在该辅助SD下的SD。自关联的SD可能需要提供对于一些AP所期望的其自身
    的服务。发布方域可以终止自关联的SD和/或其应用。自过渡的SD可以具有AM特权。例如,在
    其创建子SD时可能不需要令牌。在一种实施方式中,可能不存在位于顶级SD上的用于验证
    令牌的实体,以及,例如,顶级SD可以不具有DM特权。例如,这可能与TSIM有关,因为在TSIM
    安全域层级中的SD可以根据远程所有者的偏好来建立他们的配置。

    在一种实施方式中,具有DM特权的SD可以执行其自身的自过渡。根据一种实施方
    式,可以使用令牌。在自过渡之后,自关联的SD可以如上所述获得AM特权。根据一种实施方
    式,ISD可以授权AM。AM可以通过更新GP注册来被授权。自关联的SD的所有者可要求CI更新
    GP注册。因此,SD在没有来自CI的许可的情况下不能够将其自身与其母体(parent)摆脱开。
    根据一种实施方式,如果SD使用自过渡令牌,则其可以被允许进行自过渡。根据一种实施方
    式,可以存在多个自主SD层级。SD层级可以在TSIM范围之内。例如,可以针对每个远程所有
    者存在一个SD层级。

    类似地,具有认可管理特权的SD可以执行其自身的自过渡。例如,SD可以位于其自
    身层级的顶部。其可以不在ISD的层级中。这是因为ISD可以在该层级中具有AM。如果在ISD
    下的现有SD是由ISD自过渡的,则ISD可以进入到GP注册和/或授权AM特权给新的自过渡SD。

    在一些实施方式中,涉及用于密钥管理的GP机制的问题可以被解决。例如,OP关联
    到SCWS可以不由MNO管理和/或所有,但可以由将该OP关联到SCWS安装到附属SD的第三方所
    有。OP关联到SCWS的所有者可以直接使用GP指令来管理应用。根据一种实施方式,直接指令
    可以被使用,而不是需要通过SCWS。如果OP所有者不是所有该SCWS的卡发布方,则可以使用
    直接指令。如果SCWS和/或OP应用两者都是GP应用,则SCWS可以使用可信路径来调用OP应
    用。SCWS和/或OP可以在不同的SD之下。例如,SCWS和/或OP可以在不同的所有权之下??梢?br />使用GP方法和/或OMA/SCWS方法来向OP应用供应密钥。如果SCWS不是GP应用(例如常规
    Javacard或本地应用)和/或OP例如是GP应用,则OP应用可以使用GP来被管理。在GP中可能
    没有允许SCWS调用OP应用、和/或向OP应用供应密钥的功能。在一种实施方式中,SCWS和OP
    应用可以与TSIM一起存在在卡上,但他们可以在卡外运行。

    根据一种实施方式,机密卡管理(CCM)可以允许加密的加载块的加载。加密的加载
    块不能被除AP之外的任何人所解密。AP可以通过非可信传输链路加载机密应用。链路平台
    运营商(例如具有安全OTA系统的MNO)可以创建SD(其可以被称为APSD)以加载和/或管理机
    密应用,和/或将APSD的所有权转移到AP。AP可以使用SD(例如,APSD)来管理机密加载。由
    APSD使用的密钥可不被LPO所知。为了实现这一点,控制当局的作用可以被扩展,以使其可
    以使得针对APSD的密钥创建和/或APSD个性化安全。这可以使用存储数据(STORE DATA)指
    令经由LPO的网络来被完成。APSD密钥可以在卡上被生成,和/或被发送到远程AP。APSD可以
    在卡外被生成,和/或被发送到APSD??梢允褂枚猿频募用芾炊訢M令牌进行签名。CCM可以不
    忽略用于卡内容管理的机制。例如,仍然使用DAP和/或令牌。加载令牌可以由卡发布方签
    名。对于SD创建和/或指派,信任可以被从CI移到控制当局。根据一种实施方式,CA可以持有
    AP的公共密钥。CA还可以完成AP的SD密钥的卡上生成。CA可以使用AP的公共密钥来加密AP
    的SD密钥和/或将他们发送给AP。应用有效负载可以通过LPO的(例如,NO的)网络来被建立
    隧道。

    可以由远程所有者创建和/或可以具有DM特权的APSD可以向其可执行的S/W配置
    对在该层级顶部的TSIM SD的监督。例如,可信域特征的移植可直接取决于由CI向TSIM SD
    授权的自主性等级。上述功能中的一些可以在CI的当局或具有对安全策略执行的最终控制
    的其他外部利益相关者下被执行。在没有总TSIM自主性的情况下,TSIM特征中的一些和/或
    所有可以不被允许。

    根据一种实施方式,具有令牌验证特权的SD(每个卡存在这些中的至少一个)可以
    验证令牌而不发布该令牌。例如,SD可以访问用于验证该令牌的密钥。令牌验证的过程可以
    是OPEN的一部分,该过程可以认可卡以执行包含该令牌的指令。AP可以从CI获得令牌。例
    如,如果CI是发布令牌的CI,AP可以从该CI获得令牌。其可以在带外完成。每个层级至少存
    在一个具有TV特权的SD和/或一个具有RG特权的SD。在一种实施方式中,具有TV特权的SD可
    以由对令牌进行签名的卡外实体所有。在该层级中具有RG特权的SD可以是对接收进行签名
    的那个SD。AP获得令牌和/或AP处理接收的过程可以在卡外发生。例如,OPEN可以执行卡上
    令牌验证过程,作为执行具有DM特权的SD的卡管理指令的预条件。OPEN还可执行RG。例如,
    如果在层级中检测到RG特权,则OPEN可以执行RG。

    根据一种实施方式,OPEN的执行策略可以不干扰TSIM活动性,只要具有认可管理
    特权的一个TSIM SD(或多个TSIM SD)可以在令牌使用或没有令牌使用的条件下运行。TSIM
    可以被用于根据SD是否具有委派管理特权和是否使用令牌来决定如何配置其SD。

    在一种示例实施方式中,具有DM特权的自关联的SD可以创建附属SD组,以使该SD
    组在相同等级上。例如,具有DM特权的SD可不需要自关联以能够加载其下的更多SD。但是,
    可以使用令牌。如上所述,自关联的SD可以不具有DMP。位于树顶部的SD可以具有AMP。如果
    顶部SD下的SD具有DMP,则顶部SD可以具有TV特权和/或RG特权。这些特权中的每个可以依
    赖于是否使用接收。母体(例如具有AMP的自关联的SD)可以创建一个子SD组,所述子SD位于
    彼此相同的等级上。在一种实施方式中,母体可以不创建与该母体位于相同等级上的子SD
    组。

    关于THSM,THSM是可以被设计为提供可信订阅管理功能的硬件?;つ??。例如,
    THSM功能可以包括以下这些功能:作为GSM的SIM功能执行的那些功能、分别用于UMTS和/或
    IMS运营商的USIM和/或ISIM功能、和/或非3GPP接入网订阅。例如,可以包括与UMTS环境关
    联的UICC功能。

    图4是示出了在其中THSM 404是高级用户设备(UE)400设备架构的一部分的实施
    方式的图示。UE 400可以由THSM 404和ME 402组成。THSM 404可以被嵌入或不嵌入在UE
    400上。THSM 404可以在逻辑上独立于ME 402,即使其嵌入在UE 400上。THSM 404可以具有
    一个或多个域。例如,THSM 404可以包括THSM设备制造商(DM)域406、THSM设备所有者(DO)
    域408、THSM设备用户(DU或U)域412、全系统域管理器(SDM)域410、和/或一个或多个远程所
    有者(RO)域414。每个域可以由域的特定所有者所有和/或可以通过提供安全、可信服务和/
    或应用来针对所有者的利益操作。图4中的点划线指示域所有者与在THSM 404中对应的域
    之间的连接。根据一种实施方式,连接可以经由域所有者与ME 402之间的空中(OTA)接口以
    及经由ME 402与THSM 404之间的接口来被使能。在THSM 404中的域可以执行不安全或不方
    便在ME 402中执行的安全敏感功能和/或应用,其中作为存储和/或执行环境,该ME 402可
    以被认为没有THSM 404安全。这里所述的示例性实施方式可以参考例如有关图4描述的那
    些组件。

    一些域可以由一个或多个移动网络运营商(MNO)所有和/或管理,例如,3G和/或4G
    移动MNO。域可以由其他通信网络运营商所有和/或管理,例如WLAN、WiMax、或类似的通信网
    络运营商和/或应用服务提供方等。订阅的管理可以是由所有者所有的域所支持的密钥应
    用。在THSM域上实施的订阅管理的功能被描述为TSIM功能。不同域可以支持多种类型的功
    能。例如,功能可以与由在3G移动终端上的UICC上的USIM和/或ISIM应用提供的那些功能相
    似。THSM可以(类似UICC)例如具有除了TSIM之外的其他功能和/或应用和数据。THSM组件的
    进一步描述在这里被提供。描述是出于示例的目的而被提供的,并不是限制性的。

    可信域(TD)是在THSM架构和/或ME内的软件/固件实体。例如,TD可以为他们的所
    有者(可以包括远程所有者)的利益提供订阅服务(包括可信安全功能和/或应用)。在订阅
    ??橹械挠蚩梢灾葱胁话踩虿环奖阍贛E中执行的安全敏感功能和/或应用。域可以在所
    有权发生前处于具有基础功能的“原始”状态。域可以通过所有权过程实现全功能。根据一
    种示例实施方式,所有者可以是这里描述的外部利益相关者或其他利益相关者。一个所有
    者可以获得TD的所有权。一个所有者还可以所有多于一个TD。TD应用可以监督TD和/或应用
    存在在其中的结构。TD可以由TD APP S/W和/或策略文件SDM和/或SDP和其关联的SD管理。
    例如,TD可以从TD应用的角度被管理。

    可信订户标识管理(TSIM)可以在特定TD中执行与UMTS中的USIM类似的作用。这是
    因为USIM是UMTS中的订阅应用功能。TSIM可以是比USIM更抽象的逻辑实体。TSIM可以提供
    在UMTS环境中的USIM的订户功能,例如认证和/或密钥协定,但不一定必须是UICC,同样地,
    USIM也不是必须的。相反,TSIM可以存在于THSM中的RO的TD中。更大的通用性可以从GP兼容
    架构中得到并且在这里被描述。TSIM与虚拟订户标识???VSIM)有关,并且也可以是VSIM
    的扩展。

    远程所有者(RO)可以是通过远程获得所有权(RTO)协议来获取其TD的所有权状态
    的远程利益相关者。多于一个RO可以获取TD的所有权。

    设备制造商(DM)可以是远程所有者。DM的所有权过程可以在UE通电时被预配置
    和/或建立。由DM所有的可信域被表示为TDDM。

    设备所有者(DO)可以是机构的(institutional),例如在公司中的IST部门。DO可
    以是个人的。DO可以被认为对UE是本地的。所有权过程可以被预配置和/或远程发生(RTO)。
    由DO所有的可信域被表示为TDDO。由DO所有的实体还可以是UE、ME、和/或THSM。

    设备用户(U)可以与DO相同或不同。该架构可以支持多于一个用户。在机构所有权
    的情况下,该机构和/或在该机构中的每个实体可以作为用户。例如,在机构包括多个员工
    的情况下,员工可以作为用户。用户可以通过本地获得所有权(TO)过程来获得所有权。由U
    所有的可信域被表示为TDU。

    全系统域管理器(SDM)可以负责配置远程所有的域、建立远程所有的域的原始状
    态、和/或在通过RTO为该远程所有的域建立的后续状态中起到主要作用。SDM可以使用策略
    信息来驱动其过程。SDM可以在TSIM层级内管理TD的TSIM系统。SDM可以是GP环境内的一套
    应用。当SDM处于GP环境中时,可以存在不受SDM监督的其他应用。例如,TSIM层级以及在智
    能卡上的其他应用可以借助CI授权的许可而存在于GP环境中??梢曰谛湃蔚燃独词谌ㄌ?br />权,以及可以例如由CI向被允许驻留在智能卡上的应用授权特权。

    系统域策略(SDP)可以是预配置的文件,其可以确定由SDM创建哪些原始远程所有
    的域和/或在什么条件下针对这些域的RTO将发生。SDP可以不是静态的,因为在需要时可以
    基于个体与RO协商策略变化。支配TSIM过程的活动策略可以最终由GP卡管理器来监督。

    标识和/或定义各种利益相关者相对于包含智能卡(例如GP兼容智能卡)的设备所
    扮演的角色可以有助于确定TD应用可以实现其潜在的功能的灵活性。这里描述的是各种利
    益相关者的示例和这些利益相关者可以相对于包含智能卡的设备所扮演的角色的描述。这
    里描述的利益相关者中的任何一者或多者可以是能够具有对关于无线通信设备的安全策
    略执行的最终控制的外部利益相关者,然而,卡发布方在这里被一般地描述为具有对该安
    全策略执行的最终控制的外部利益相关者。

    卡发布方(CI)可以是所有该卡的个人和/或实体。CI可以最终负责其行为。CI SD
    可以是每个加载到卡上的应用的控制器和/或监督器。但是,如这里指示的,应用自主性等
    级可以依据对关联的SD授权的特权来显著改变。

    卡制造商(CM)是智能卡的制造商。CM可以是实际硬件的生产者,所述实际硬件由
    卡组件、指令接口、事务(transaction)序列、和/或在智能卡内类似的硬件。作为一个概念
    实体的CM可能在实施智能卡的软件和/或应用特征中不那么重要。

    终端所有者可以是所有设备的终端组件部分的个人或实体。例如,在设备由集成
    卡和/或终端组成的情况下,所有者可以是服务提供方,例如,和财
    政机构、和/或其他服务提供实体。根据一种示例性实施方式,终端所有者可以是公司(例如
    IST部门)和/或将设备分配给可被标识为是该设备的用户的员工的企业。终端所有者也可
    以是设备的个体用户。两个所有权安排是可能的。例如,卡和/或终端的所有者可以是相同
    的实体或个人,或是不同的实体或个人。因此,CI可以所有终端以及卡。

    设备用户可以是使用设备的个人或公司。

    应用提供方(AP)可以是提供和/或安装驻留在卡上的应用的众多潜在实体中的任
    意一者。例如,AP可以是服务提供方。对于TD应用,AP可以是TD应用提供方和/或TD的RO。TD
    AP可以具有控制TD配置和/或在TD APP内的TD的行为(到达其具有自主性的程度)的软件的
    所有权。TD SDM、和/或TSIM SDP可以是这里描述和/或定义的相关的实体。假设RO可以是
    AP,则AP和RO可以交换地使用。

    控制当局(CA)可以具有通过数据认证模式(DAP)验证的托管、完整性检查方法保
    持对卡内容的控制的特权。CA可以具有对加载到卡上的应用码执行安全策略的特权。

    可以做出关于上述利益相关者描述的不同假设。各种利益相关者安排可以驱动卡
    管理输出??ü芾硎涑隹梢杂跋炜ㄓτ帽辉市碓俗姆绞?。因此,应用自主性等级可以取决
    于所描述的假设。

    全球平台(GP)和TSIM/THSM智能卡可以在架构和/或哲理上不同。GP可以指定具有
    GP的主要部分(例如CI SD、OPEN、和/或持卡者验证法(CVM)服务)的卡管理器的定义和/或
    描述。GP还可指定使用对应于利益相关者的安全域的卡管理器的定义和/或描述。例如,GP
    可以指定具有CISD、OPEN、CVM服务和对应于三个利益相关者的安全域的卡管理器的定义
    和/或描述。这些描述可以覆盖安全域和/或非安全域应用的生命周期以及卡上(应用间)
    和/或卡外通信,其可以包括关联的安全性问题。描述的安全域特性可以包括域层级结构
    和/或支配这些结构的规则。但是,在不同架构框架中,可以识别出至少两个TSIM/GP共性。
    他们被如下给出:1)应用、功能、和/或凭据的远程下载;和/或2)多个利益相关者的调节。GP
    的主要利益相关者可以是CI、CA、和/或AP。

    这里描述了在实施中THSM/TD相对于GP之间的比较的示例。根据一种实施方式,参
    与RTO、注册和凭据下载协议的用户可以不同;在注册和/或凭据转出过程中的销售点(POS)
    的使用可以不同;使用完整性检查的TD的安全方面可以不同;涉及一个和/或两个设备所有
    者的迁移协议可以不同;和/或在其中ME具有全MTM能力并且可以允许在其上和/或在卡上
    安装远程所有的域的TD的实施方式可以不同于GP实施。

    如这里所描述的,TD概念可以被嵌入到GP架构中。在GP环境中的TD的实现可以由
    TD和/或他们关联的GP SD组成。每个TD可以具有为那个域提供功能的TD应用。每个TD还可
    以具有关联的SD,该SD可以为其应用的安装和/或后续行为提供卡级安全。在一些实施方式
    中,TD是与SD分离、且不同于SD的实体。

    图5是示出了GP SD层级的示例性框图,该GP SD层级具有两个安全域,一个是非
    TSIM关联的附属安全域(SSD)502,一个是TD域管理器(TDM)关联的SSD 504,两者都附属于
    CI SD 500。非TSIM SSD 502可以控制应用516。TDM SSD 504可以包括用于设备所有者(DO)
    或用户(U)的应用TD 510。应用TD 510具有关联的TSIM SSD 508,该TSIM SSD 508附属于
    TDM SSD 504?;故境隽艘蛔樵TO应用TD*5141-n,所述TD*5141-n的关联的SD 5121-n附属于
    TDM SSD 504。例如,如果不发生RTO,则每个TD*5141-n处于原始状态中并尚未被远程所有。
    TDM SSD 504可以被称为域管理器。TDM SSD 504功能实际上可代替设备制造商和/或设备
    所有者的功能。

    CI与TSIM应用提供方(TSIM-AP)之间的先验策略一致性可以允许AMP、DMP,或者既
    不允许AMP也不允许DMP。操作模式可以是基于令牌的。在一种实施方式中,CI SD 500具有
    TV和RG特权,除非TDM SSD 504被授权AMP。CI SD 500可以加载可信域TSIM应用提供方的载
    入文件,例如,当没有向TDM SSD 504授权AMP和DMP时。在基于令牌的模式中,例如,用于可
    信域TDM应用(例如APP TDTDM 506)的加载的TV和RG可以由可信域应用提供方来执行。完整
    的可信域可以是除了可能的GP限制以外的全部功能(例如,不是原始),并且可以包括凭据。
    如果AMP或DMP在先验策略一致性中被允许,则针对每个原始TD*5141-n的应用可以由TDM
    SSD 504加载。否则,应用可以由CI SD 500加载。所得到的原始可信域的功能是否与TSIM偏
    好一致可以取决于应用加载过程。

    表示为App TDTDM 506的可信域可以包含应用组件,该应用组件管理哪些可以是多
    个远程所有的可信域,所述可信域的远程所有者可以代表各种服务提供方,例如,MNO、银行
    业相关等。TD管理器应用可以至少部分包括SDM和/或SDP。他们可以是图5中配置的驱动器。

    例如,在GP平台上可以存在不同的TSIM配置。这里描述的示例性TSIM配置对应于
    GP平台操作环境可允许的TSIM应用和/或任何由TSIM应用调节的应用的自主性等级。图6、7
    和8是示出了GP安全域(SD)结构的示例性配置的图示。TSIM域管理器SD可以附属于CI SD。
    TSIM域管理器SD可以附属于非TSIM应用SD。远程所有的TD SD可以在相同等级上和/或附属
    于域管理器。由GP卡管理系统授权的特权可以彼此区别TD配置。由CI允许的特权在区别的
    TD配置中特别重要。TSIM可以被视为应用集。每个应用可以提供由每个TD实现的功能。

    根据一种实施方式,CI可以不对域管理器SD和/或在层级中位于该SD下的任何SD
    授权委派管理特权(DMP)。图6是示出了GP安全域(SD)结构的配置的图示,其中CI SD 600不
    授权DMP。在该配置中,域管理器SD 604可以在TD中安装关联的应用软件,表示为APP TDTDM
    606。域管理器SD 604之后可以没有特权来加载用于将被安装的后续应用的载入文件,也不
    作为在其形成中的TSIM域层级的部分和/或任何主要TSIM功能(例如,RTO、注册、凭据转出、
    和/或类似的TSIM功能)的执行的部分。CI SD 600可以控制加载操作和/或针对令牌使用的
    操作。例如,CI SD 600可以根据系统域策略为每个TD加载载入文件。由于CI SD 600具有TV
    和RG特权,可操作的模式可以是简单的(例如,无令牌)或是基于令牌的。CI SD 600还可以
    处理应用码的完整性检查(在GP中被称为数据认证模式(DAP))。

    如图6所示,可信域TD 6141-n TDRO是未加星号的(un-starred),因为可以假设RTO
    已经在每个实例中发生。在该实例中的RTO可以受CI SD 600策略所限制,以及每个RO将具
    有的对其TD的控制等级可以通过这些策略来被确定,并通过TSIM域管理器SDM机制被最小
    化。例如,每个TD 6141-n可以经由由CI SD 600控制的RTO协议来形成,以及因此所得到的可
    信域可以具有限制的TSIM功能。预RTO应用TD 6141-n组每个可以具有关联的SSD 6121-n。在
    基于令牌的模式中,针对每个TD 6141-n的应用的加载的令牌验证和接收生成可以由对应的
    远程所有者执行。对于域管理器TD 606,可以由TSIM应用提供方执行TV和RG。

    根据另一种实施方式,CI可以向域管理器SD授权DMP。图7是示出了GP安全域(SD)
    结构的示例性配置的图示,其中CI SD 700例如根据先验策略一致性授权DMP。CI SD 700可
    以具有TV和RG特权。在该实例中,TD域管理器SD 704可以选择加载其自身的载入文件。TSIM
    域管理器SD可以选择加载其自身的载入文件,其中令牌管理、或令牌验证(TV)、和/或接收
    生成(RG)可以由CI SD 700处理。DAP验证也是发布方SD 700的责任。

    在TD域管理器SD 704被授权DMP的实施方式中,域管理器SD 704可以具有更多的
    自主性来确定后RTO功能与TSIM操作环境的一致性相似等级。例如,卡外TSIM AP可以生成
    令牌来发起加载过程。加载过程可以在由CI SD 700验证令牌时继续。加载过程可以以CI进
    行的接收生成和/或以AP进行的接收验证来完成。TV和/或RG过程可以假定用于签名和/或
    验证的密钥结构存在于CI SD 700和/或AP之间。在基于令牌的模式中,针对每个TD 7141-n
    的应用的加载的令牌验证和接收生成可以由对应的远程所有者执行。每个TD 7141-n可以具
    有附属于TDM SSD 704的对应的TSIM SSD 7121-n。对于域管理器TD 706,可以由TSIM应用提
    供方执行TV和RG,如这里所述的。

    根据另一种实施方式,域管理器SD可以是由发布方SD针对示例性配置授权的全认
    可管理(AM)特权。图8是示出了被发布方SD 800授权全认可管理(AM)特权的示例性TD域管
    理器SD 804的图示。AMP授权可以产生对TSIM应用的全自主性。TSIM应用可以加载载入文件
    而无需来自发布方SD 800的管理控制。因此,TSIM应用可以使用令牌或不使用令牌来执行
    代码安装。TSIM应用可以负责DAP验证活动性。TD域管理器SD 804还可以具有TV和RG特权。
    在基于令牌的模式中,针对每个TD 8141-n的应用的加载的令牌验证和接收生成可以由对应
    的远程所有者执行。对于域管理器TD 806,可以由TSIM应用提供方执行TV和RG。

    虽然可以假设全TSIM功能可以以TSIM应用的这一自主性等级来被实现,但卡管理
    器、特别是OPEN(全球平台环境)(他们的责任可以包括提供安装的应用、API、指令分配、和/
    或卡内容管理)可以监督应用行为。例如,OPEN可以监督形成每个TD 8141-n并由TD域管理器
    SD 804控制的RTO协议。每个TD 8141-n可以具有几乎全部或全部的TSIM功能。如果违反了某
    些安全策略,应用可以被置于锁定(LOCKED)状态和/或被阻止执行。这些控制也可以应用于
    关于图6和图7描述的配置,因为他们可以在更多限制下被操作。用于应用行为的控制的全
    球平台规则在这里被更详细地描述。

    如这里所述,TD可以建立在GP平台上。TSIM应用可以根据其动态性质随时间建立
    其自身。TSIM应用可以被描述为是演进的。用于发起该演进过程的机制可以是配置文件。该
    配置文件可以为TSIM奠定结构基础。假设配置文件可以驻留在卡上,该配置文件可以负责
    域管理器可信域(TDTDM)的形成。其他域(例如设备所有者可信域(TDDO)和/或用户的可信域
    (TDU))也可以被安装。然而,在GP兼容卡上的可信域安装过程与THSM环境相比可以是不同
    的。TDTDM可以在卡发布方SD许可的情况下被加载。虽然配置文件可以被用来配置TDTDM,但是
    其不在制造时被安装。该文件可以是DM载入文件的一部分,和/或可以由OPEN激活以配置
    和/或安装用于给定可信域的代码。

    上述配置可以具有集中在与域管理器可信域TDTDM关联的SD中的TSIM控制,然而在
    TD应用的实际实施中,策略控制可与SDM驻留,该SDM可以是在TDDO中的应用。上述SD层级可
    以使用驻留在TDTDM中的类似的TSIM策略管理器来被实施。

    根据一些实施方式,可信域应用可以被移植到GP环境。在最高等级处,TD概念可以
    作为在GP兼容智能卡上独立的一组应用被移植到GP环境。某些利益相关者的SD所有权关系
    可以影响TD到GP的移植限制。例如,如果TD AP和CI相同,则有利于到GP的鲁棒移植,但如果
    TD AP和CI不相同,则不是有利的??梢哉攵愿靡浦补炭悸呛芏嗍褂们榭?。对移植过程的
    影响将在这里被进一步描述。

    根据一种实施方式,移植过程可以随其演进允许TD应用的最大自主性。其中CI和/
    或TD AP可以相同的使用可以最大服从于允许的自主性。

    可信域管理器(TDM)安全域(SD)可以被创建。如这里所述,TDM SD可以根据各种状
    态来被配置,例如安装(INSTALLED)状态、可选择(SELECTABLE)状态、个性化
    (PERSONALIZED)状态和/或锁定(LOCKED)状态。对应于TDM应用(TDTDM)和/或由TD AP所有的
    可信域管理器的安全域(TDM SD)在运行于TDM的指导下的应用可以被创建和/或与TDM SD
    关联和/或与他们的其他附属安全域关联之前在GP智能卡上可以是个性化的。根据一种实
    施方式,TD AP可以请求TDM SD被安装和/或进入到由CI进行的全球平台注册。接下来,域可
    以被转换到可选择的状态,以使其可以接收来自卡外实体的个性化指令和/或转换到个性
    化状态。在个性化状态中,SD可以具有用于在GP环境中正常运作的密钥信息。

    安全域的生命周期状态可以是统一的,而不管他们在SD层级中的位置。图9是示出
    了示例性SD状态(安装902、可选择904、个性化906和锁定908)的图示。图9还示出了在常规
    GP设置中的转换机制。在TDM SD的情况中,CI SD可以是要安装的具有特权的安全域(例如,
    到安装状态902),和/或将SD转换到可选择状态904,其中其可以接收来自具有合适接入特
    权的卡外或外部实体的GP指令。例如,一种这样的卡外实体可以是SD的AP。一旦转换过程已
    经由SD自身发起,则AP可以通过生成和/或加载个性化数据和/或安全密钥来跟进,作为进
    入到个性化状态906的手段。DM SD可以例如由CI SD、TDM SD自身、和/或另一外部利益相关
    者SD转换到锁定状态908。锁定状态908可以被用作对安全性的控制。例如,如果在卡内检测
    到与SD关联的威胁,锁定状态908可以被用作对安全性的控制。威胁检测可以由OPEN监督。

    图10、10A、10B示出了可对应于TDM SD的生命周期状态的示例性消息发送细节。生
    命周期结构反映在图9中示出的。例如,令牌使用可以被假定是在图10中的CI SD 1000的策
    略请求。在1006,卡外TD AP 1004可以提供签名令牌。令牌可以被验证以使过程向前发展。
    当与CI SD 1000通信时,可以使用令牌。当与辅助SD(例如,具有AMP的TDM辅助安全域(SSD)
    1002)通信时,在不请求的情况下可以不使用令牌。

    TD AP 1004和/或CI SD 1000可以在示出的协议步骤进行之前安排密钥结构就
    位。TDM SD在图10-10B中被示为TDM SSD 1002,这是因为安全域可以是对CI SD 1000的辅
    助。图10中的每个步骤可以将TDM SD转换到下个状态。

    例如,TD AP 1004可以请求创建TDM SSD 1002?;诟们肭?,CI SD 1000可以验证
    来自TD AP 1004的令牌,并创建TDM SSD 1002。TDM SSD 1002当前可以是安装的,并可进入
    GP注册。TDM SSD 1002可以在GP中提供安全服务以执行后续应用安装和/或针对某些应用
    的其他SD的创建。

    图10A示出了根据一种实施方式的如何从TD AP 1004产生指令1008以将TDM SSD
    1002转换到可选择状态。指令1008可以包括用于转换TDM SSD 1002的令牌。CI SD 1000可
    以验证令牌并将TDM SSD 1002转换到可选择状态。一旦处于可选择状态,TDM SSD 1002可
    以处理来自认可的卡外实体(例如,TD AP 1004)的个性化指令。

    根据一种实施方式,图10B示出了TDM SSD 1002可以如何转换到个性化状态。例
    如,CI SD 1000和卡外TD AP 1004可以协商安全策略。CI SD 1000还可以确定安全标准。
    TDM SSD 1002可以将自身转换到个性化状态。在1010,个性化数据和/或安全密钥可以被远
    程加载,使得TDM SSD 1002针对TD S/W??楹?或支持文件的安装是全功能的??梢杂蒚DM
    SSD 1002发起加载过程。TDM SSD的安全特征可用于相关联的应用。虽然令牌可以由CI SD
    1000请求,但指令可以被递送到TDM SSD 1002。

    在TDM SSD 1002的安装、选择和/或个性化之后,TD应用可信域可以被加载和/或
    安装。该过程可以遵照GP兼容卡的生命周期结构。

    图11是示出了例如在GP中被加载到卡上的应用所获得的各种状态的图示。状态到
    状态和/或指定状态外部的转移模式在某些情况下可以取决于特权。例如,具有AM特权和/
    或DMP的SD可以将应用从安装1100转换到可选择1102。然而,不管DM SD是否具有AM特权、
    DMP或两者都没有,应用可以自行转换到其所特有的特定状态。这些特定状态在图11中被示
    为应用特定状态1104。一些转换是不可逆的。例如,从加载状态到安装状态1100的转换和/
    或从安装状态1100到可选择状态1102的转换是不可逆的。一些转换是可逆的。例如,任何状
    态到锁定状态1106是可逆的,以及可选择状态1102到应用特定状态1104是可逆的。

    图12、12A和12B示出了有关预RTO可信域的安装的示例性进程,例如,域管理器TD
    (TDTDM)、设备所有者或用户TD(TDDO/U)、以及通用远程所有的域(TDRO)。该安装可以假设TDM
    SSD 1204可以被授权AMP,GP机制允许所示出的实施方式的最大自主性。这可以向TDM SSD
    1204提供对加载和/或安装由TD AP 1202命令的各种可执行文件和/或数据文件的权利。实
    施方式可以包括使用或不使用令牌执行加载和/或后续的安装的决定。取决于安装的使用
    情况环境,这里定义的配置中的任意一者可以被假设和/或过程可以相应地改变。

    安装可以包括下述步骤中的一者或多者。在1206,TD AP 1202可以向CI SD 1200
    发送请求令牌。在1206,令牌可以被发送以授权TDM SSD 1204认可管理特权(AMP)。CI SD
    1200可以验证令牌,以及作为响应和在考虑其安全策略之后,可以授权TDM SSD 1204AMP。
    因此,TDM SSD 1204可以处于个性化状态中并可以接受来自TD AP 1202的个性化指令。并
    且,在TDM SSD 1204获取AMP之后,其可以加载S/W可执行文件和配置应用,例如在其自身层
    级中的SD等。

    在1208,(如图12A所示),用于加载包含可安装的S/W和/或数据文件的TDM载入文
    件的指令可以由TD AP 1202发送到TDM SSD 1204,以配置期望的可信域集。如图12B所示,
    TDM载入文件1212可以包括独立的???,以及每个文件和/或S/W可以被安装有独立的指令
    1210。根据图12B所示的一种实施方式,对应于每个TD类型的应用S/W可以被包括在载入文
    件1212中。对于远程所有的域TDRO 12201-n,可以使用一个通用的S/W配置??梢悦罡门渲?br />的重复实例化以安装建议数量的域。用于提取(extraction)效用(utility)的S/W可以在载
    入文件中被提供。该效用的使用在这里被进一步描述。每个TD可以与TDM SD 1204关联。除
    TDTDM 1216之外的TD可以处于原始(预RTO)状态??梢源τ谠甲刺械腡D在图12B中以TD*
    示出。虽然未在图12B中指示,但原始域可以被认为是安装,相反TDTDM 1216可以是全功能的
    和/或应用特定的。TDTDM 1216可以包括安全域管理(SDM)和系统域策略(SDP)信息。

    假设TDM SSD 1204可以具有AMP,则其可以是自关联的。如图12B所示,TDM SSD
    1204可以位于SD层级树上的顶部。TDTDM 1216可以充当用于驻留在SD层级中的应用的后续
    开发的管理器应用。TDTDM 1216可以使用由TDM SSD 1204提供的安全服务以充当管理器应
    用。图12示出了与TDM SSD 1204关联的可信域,其与每个和独立SD关联的应用形成对照???br />信域可以是对TDM SSD 1204的辅助,如在这里描述的配置中描绘的。后者的配置可以导致
    该安装过程??梢允境鯰D应用(APP)和/或关联的SD的很多不同组合。根据一种实施方式,当
    进行注册和/或凭据转出时,辅助于TDM SSD 1204的独立的TD SD可以针对远程所有的域被
    创建。

    这里描述了针对TD应用所有权和特征移植的启示的至少三种场景。关于利益相关
    者,几个所有权安排场景可以被设计。CI可以被视为MNO和/或例如银行的财政机构。类似
    地,TD AP也可以被这样视为??梢宰龀龉赜谡庑┗够蜃橹欠袷窍嗤娜范??;痪浠八?,
    发布卡的实体可以与所有TD软件的实体相同或不同。总之,TSIM功能可以被实现的等级可
    以受CI的安全策略与TD的SDP之间的一致性等级或信任等级支配。如果卡发布方与TD AP是
    相同的实体,则存在高等级的策略一致性。如果涉及两个发布实体,则可以期望可变的策
    略。策略可以是CI管理器级和/或TD系统级。在TD环境中的潜在竞争的远程所有者之间的策
    略问题可以与这里定义的场景有关或无关。

    关于RO获得TD的所有权,可能存在TD SDP的策略相对于RO的策略(而不是CI的策
    略)的问题。如果检测到不期望的行为,卡管理器和/或CI可以锁定应用。

    上述暗示了CI与TD AP之间的所有权场景。根据第一场景(场景1),CI卡级安全策
    略几乎同意和/或兼容TSIM SDP。高策略一致性可以暗示CI和TD AP是相同的实体。高策略
    一致性可以暗示CI与授权TD域管理器SD DMP的应用足够熟悉和/或AM特权具有很高的可能
    性。在这种情况中,对于被加载的软件以及该软件如何运作,TSIM可以被给予相当大的余地
    (leeway)。例如,在一种使用情况中,CI可以是认可TD应用的使用的MNO。例如,TD AP可以是
    MNO自身或认可的第三方厂家。场景1可以是最有利于THSM/TSIM特征到GP框架的最大移植
    的安排。

    根据第二场景(场景2),CI卡级安全策略可以部分与TD SDP一致。部分一致性可以
    暗示CI和TD AP是不同的实体。如果策略等级指示CI和TD AP是不同的实体,则可以在被授
    权给应用的自由等级上采用更多的限制位置。因此,最多DMP可以被授权,其中CI SD可以具
    有令牌验证和/或接收生成特权,作为监督什么被加载到卡上的手段。在使用情况中,TD应
    用可以被认可以供MNO使用,该MNO可不是CI但可以符合CI的信任等级。TD AP可以是MNO自
    身或由MNO认可的第三方厂家。设备的用户能够独立地下载应用。

    根据第三场景(场景3),CI卡级安全策略可以与TD SDP最小地一致。最小一致性可
    以暗示CI SD对应用进行很高限制的观点。因此,DMP和AM特权都不会被授权给TSIM应用域
    管理器SD。软件可以由CI SD加载和/或验证。在使用情况中,TD应用可以被认可以供MNO使
    用,该MNO不是CI和/或不符合CI的高信任等级。根据一种实施方式,TD AP可以是MNO自身或
    由MNO认可的第三方厂家。设备的用户可以被允许独立地下载应用。但是,在这些情况中,例
    如,CI可以否决由附属SD做出的允许下载的决定。如果具有AM特权的SD做出下载决定,在下
    载和/或后续激活后,系统(例如,OPEN、CI SD或任意可以这样做的具有特权的SD)可以将应
    用转换到锁定状态。

    关于上述所有权选择,利益相关者可以是用户。用户被有点抽象地看待,并且可以
    承担不同的角色。用户可以是CI、终端所有者、同时是CA和终端所有者,和/或DO。

    TSIM特征可以被移植到GP的容易度可以取决于利益相关者所有权选择和/或与利
    益相关者相关联的策略的调节等级。CI可以具有用于支配在卡上运行的应用的行为的安全
    策略。

    对在场景1下的TD特征的移植(例如RTO、注册和/或转出、和/或迁移)的描述在这
    里被提供。根据一种实施方式,存在用于至少三个THSM/TSIM特征的移植程序。如这里所述,
    可信域的特征可以被定义为在THSM环境中所构想的。将被移植的特征可以包括:1)RTO,2)
    注册和/或凭据转出,和/或3)迁移。CI可以向TDM SD给予AMP,而不论所有权场景(如上所述
    的场景1、2、或3)。这样,在每个场景下(或针对每个场景),与在TDM例如将具有DMP的情况相
    比,TDM可以具有更多的自主性。在场景2和/或场景3下,AMP的CI的授权与其他实施方式下
    的相比更不太可能或更不现实。移植说明在这里被进一步描述。呈现(presentation)模式
    示出了在卡上SD/APP层级中的各种实体与具有卡外AP的那些实体之间的消息发送。AP可以
    是任何远程所有者,例如,包括CI。

    图13和13A中示出了示例性RTO过程。远程所有者可以是希望在协议开始时获得处
    于原始状态中的TD(例如,APP TD*RO1 1308)的所有权的应用提供方。RO AP 1302可以被认
    为是任何服务提供方。如果CI 1300和/或TD AP(与CI相同或不同)想要获得TD的所有权,他
    们(就像任何其他远程所有者一样)可以按照RTO进行。步骤在下面被描述(以及不局限于特
    定的次序)。

    对于步骤1,由RO AP 1302向TDM SD1304做出加载RTO载入文件的请求1312。如果
    RO策略和/或TD SDP是足够兼容的,则请求可以被授权。有可能出现协商。这里描述的图2和
    2A提供了示例性RTO协议的流程图。例如,RO AP 1302可以同意遵照SDP/卡策略限制。在执
    行策略检查之后,TDM SD 1304可以加载由RO AP 1302所请求的RTO文件。应用TD TDM 1306
    可以包含TDM配置和策略(例如,SDM和SDP)信息。

    对于图13A中示出的步骤1312,在该步骤中原始TD*RO 1308可以成为TDRO 1310(所
    有的,不是原始的)。在1318,可以做出对安装不同内容(例如策略和/或目的文件和/或包含
    可提取的S/W的文件)的RTO载入文件1314的请求。后者文件中的可提取文件可以根据提取
    效用来被提取,其中在TD APP安装期间(例如,见图12)可以向原始域配备所述提取效用。配
    置智能性可以由卡外RO AP 1302维持和/或在RTO完成时所有的可信域的状态可以是个性
    化的。当RTO文件1314被安装时,应用可以由于预注册的远程所有的TD而变成全功能的。应
    用可以做出关于是否在RTO中使用令牌的决定??芍葱形募崛』瓶梢允且桓鲇糜诒苊?br />对S/W更新卡上应用的GP限制的变通方案。在不使用提取机制的情况下,可执行文件将必须
    被移除和/或被新S/W替代。

    注册和/或凭据转出协议可以在通过获得所有权过程(例如RTO)所有的TD上被执
    行。图14、14A和15示出了在其中注册和/或凭据转出被执行的实施方式。图14和14A示出了
    注册和/或凭据转出协议的步骤1和2(其不局限于特定次序)。该协议可以如在THSM环境中
    所构想的那样被实施。

    如图14所示,步骤1可以包括附加的子步骤(其不局限于特定次序)。在子步骤1400
    中,用户1402可以使用用户名和/或密码和/或用户个人数据(REGDATA)的提交登录到TDDO/U
    1404,该TDDO/U 1404的TD所有者/用户可之前已经获得所有权(未示出)。在子步骤1406,
    TDDO/U 1404可以发送卡上的REGDATA到TDRO1 1408。在子步骤1410,TDRO1 1408可以使用用户
    数据来请求来自销售点(POS)1412的注册权证(ticket)。POS 1412可以具有从RO 1418请求
    和接收的权证的索引集。每个权证可以包括包含IMSI值的非密钥凭据。在子步骤1416,POS
    1412可以选择未使用的权证和/或将其和/或REGDATA发送到RO 1418。在子步骤1414,相同
    的权证可以被发送给TDRO1 1408。POS 1412可以请求和/或接收来自RO 1418的权证的索引
    集,以用于向RO 1418提供权证分派服务。一个这样的权证可以在该协议中被使用??ㄉ鲜?br />体1420与卡外实体之间的通信可以受TDM SD 1422?;?。应用TDTDM 1423可以包含TDM配置
    和策略(例如,SDM和SDP)信息。[159]如在图14A中进一步示出的,步骤2可以在准备到SD的
    下载中包括两个步骤,该SD将由TDM SSD 1422创建并且可以与TDRO1 1408关联和/或可以是
    其凭据的持有者。因此,在子步骤1424,TD 1408可以将权证发送给RO 1418以请求凭据的下
    载。RO 1418可已经使用从POS 1412在1416中发送的权证和/或注册数据(REGDATA)信息来
    映射REGDATA。在子步骤1426,RO可以请求TDM SSD 1422创建SD和/或TDRO1 1408被过渡到
    RO。创建的SD可以包含TDRO1 1408的TSIM凭据,这可以使该SD使用其安全服务。

    图15示出了根据一种实施方式的可以在过程的步骤3中执行的注册和/或凭据转
    出。与TDRO1 1408关联的创建的SD(RO1SSD 1500)可以被创建、安装、变得可选择、和/或个性
    化。TDRO1 1408可以被过渡到RO1SSD 1500,该RO1SSD 1500可以使得其安全服务可用。如图
    15中的1502所示,所请求的凭据可以被下载到RO1SSD 1500,该RO1SSD 1500可以给予TDRO1
    1408TSIM功能??赡艿钠揪菘梢园ㄈ现っ茉?、完整性密钥、包括IMSI的权证等。请求的凭
    据可以包括对称密钥对或PKI。

    根据一种实施方式,图16示出了通过将凭据从源卡1600移动到目的地卡1602的修
    改的迁移。在图16中,呈现了凭据从源卡(A)1600移动到目的地卡(B)1602的示例性迁移。经
    由在两个卡上勾勒出的一系列步骤(不局限于特定次序)示出了该过程。示出的方法反映了
    在GP中源卡1600与目的地卡1602之间没有直接对等通信的示例性条件。因此,数据的直接
    传递可以被禁止。在源卡1600上删除、之后在凭据的目的地卡1602上加载和/或安装可以是
    传递进行的机制。

    这里描述的是可以被考虑的关于迁移的假设。例如,在一种实施方式中,远程所有
    者AP 1604可以针对两个卡是相同的。因此,不存在从一个所有者到另一所有者之间秘密的
    传递。根据一种实施方式,在迁移开始之前,目的地TD TDRO1 1608的所有权可以被RO 1604
    获得(例如,经由RTO)。在一种实施方式中,TDRO1 1608的创建和TDRO1 1608到RO1SSD 1610的
    过渡可以在迁移开始之前进行。RO1SSD 1610和/或TDRO1 1608两者可以在迁移开始时是可
    选择的??ˋ用户1610可以与卡B用户1612不同,以及他们在进行迁移之前都同意迁移。用户
    可以登录他们各自的设备和/或在协议能够运行完成之前请求迁移。虽然未示出,但多于一
    个TD可以在卡中一者或两者上被远程所有。因此,在迁移中不涉及的其他TD(例如,远程所
    有的TD)可以存在。在这一点上,可以假设,出于迁移的目的,其凭据正在被传递的RO恢复
    (come to)远程所有在目的地卡1602上的TD。

    根据一种实施方式,在1614和1615,两个用户(或一个用户)可以登录到他们可以
    通过RTO和/或请求迁移所有的TD TDDO/U(例如,TDDO/U 1628和TDDO/U 1630)。示例性登录可以
    包含用于指示哪个TD APP可以被定为迁移的目标的信息。例如,TDRO1 1608可以被定为迁移
    的目标。

    在源卡1600的1616、1618、和/或1620,以及目的地卡1602的步骤1617、1619、和/或
    1621,关于迁移的各种策略可以被检查。例如,TDDO/U 1628可以对域管理器TD执行TD系统策
    略检查。在一种单个所有者的实施方式中,APP策略可以对于两个卡是相同的。比较两个卡,
    可信域系统策略(涉及SDP)和/或卡等级策略可以不同。策略等级可以服从于迁移以使得其
    可以被允许继续向前进行。

    在1622(在目的地1602中的1623),CI SD 1632(在目的地1602中的CI SD 1634)可
    以向RO 1604授权针对迁移的许可。RO 1604可以在接收到来自两个卡的许可后决定不进行
    迁移。RO 1604可以在步骤1624中请求OPEN删除源卡1600上的RO1 1607和TDRO1 1606,和/或
    在步骤1626中OPEN可以执行删除操作。

    在步骤1625中,RO 1604可以请求在目的地卡1602上的凭据的加载和/或安装。这
    些凭据可以是存在在源卡1600上的凭据的副本和/或他们可以被RO 1602所知。示例性凭据
    包括认证密钥、完整性密钥、以及个性化数据。在安装进行之前,可以对包含凭据的载入文
    件执行DAP检查。

    在一种实施方式中,当应用的关联的SD不被允许过渡到其自身(例如,自关联)时,
    GP操作环境可以不许可一些可信域特征(例如完整性检查、RTO、注册和/或凭据转出、和/或
    迁移等)。被自关联的特权可以使能在GP卡应用上的这些THSM/TD特征的实施。更多关于允
    许的TSIM行为(涉及各种移植选择)的细节在这里被提供。

    这里描述了根据一种实施方式的将被移植的TD应用特征的估计,其中CI卡级安全
    策略可与TSIM SDP几乎一致和/或兼容(例如,如上所述的场景1)。例如,CI和RO可以是相同
    的,因此他们的策略可以是兼容的。在示例性实施方式中,CI SD可以向TDM SD授权高等级
    自主性,该TDM SD可位于可信SD层级的顶端。高等级自主性可意味着AMP被授权或DMP被授
    权。关于在场景1下的移植完整性信任机制,加载时间DAP可以被执行,但运行时间完整性可
    以不被执行。在一种实施方式中,在场景1下,RTO可信域特征可以在SDP和/或RO的策略之间
    的TD策略兼容性检查下被移植。例如,在将被所有的可信域中安装的S/W套件可以包括来自
    载入文件的可执行文件的提取器,该载入文件还可以包含RO策略和/或目的文件,以及当凭
    据被加载和/或安装时可以使用所述提取器。在场景1下,根据一种实施方式,用户注册和远
    程凭据转出也可以被允许。例如,策略可以允许RTO执行用户注册和远程凭据转出特征。在
    执行该特征期间,可以为TD APP创建SD,其中转出可以该TD APP为目标。初始可以与TDM SD
    关联的APP可以被过渡到新创建的SD,以及凭据可以被安装在新SD中,同时可执行文件可以
    被提取到TD APP中。根据一种实施方式,TSIM应用迁移特性可以在场景1下被移植和修改。
    策略兼容性检查可以涉及多个实体,例如源和/或目的地TDD APP;源和/或目的地SDP;源
    和/或目的地CI SD策略;和/或在涉及两个用户的情况下的用户偏好。在一种实施方式中,
    源凭据的删除、之后到目的地的拷贝(使用RO作为促成方)可以是用于TSIM应用迁移的机
    制。

    如这里所述,TD应用特征可以在场景2下被移植,其中CI卡级安全策略可以部分地
    与TD SDP一致。根据场景2,GP卡发布方可以授权在SD树委派管理特权(DMP)的顶部的TD应
    用安全域。GP卡发布方可以不授权AMP。在这种情况中,TDM SD过渡到其自身(和/或自关联)
    是可能。这样,TDM SD可以根据其自身的配置管理系统来配置自身。如果自关联确实发生
    了,则SD可以具有AMP的等同物。但是,根据一种实施方式,在没有接收到来自CI和/或控制
    当局的针对这种操作的令牌时,应用SD可以不被过渡。配置和/或状态改变可以涉及CI的接
    收生成,以便跟踪卡上的这些改变。因此,当无AMP被授权时,CI可以监督TD APP活动性。针
    对这一选择,可以假设不存在自关联,以及因此TDM SD可能不具有与在AMP的情况下其将具
    有的自主性相同的自主性。域管理器TD APP可以不以在这里所述的特定示例中使用的自主
    性来管理远程所有的TD。

    可信域特征可以在场景2下被移植。关于在场景2下的完整性信任机制,加载时间
    DAP可以被执行,但运行时间完整性检查可不被执行。例如,如果在场景2下RO是可信的,CI
    和RO可以是不同的和/或他们的策略可以具有一定等级的兼容性。在一种实施方式中,在场
    景2下,RTO特征可以在SDP和/或RO的策略之间的普通TD策略兼容性检查下被允许。在一种
    示例实施方式中,与在场景1中相比,CI SD安全策略在场景2下更有可能不允许RTO程序。安
    装在将被所有的可信域中的S/W套件可以包括来自载入文件的可执行文件的提取器,该载
    入文件可以包含RO策略和/或目的文件,以及可以在凭据被加载和/或安装时使用所述提取
    器。假定在DMP的情况下,CI可以具有令牌验证和/或接收生成特权,CI SD可以具有对加载
    过程的更多控制。在一种实施方式中,用户注册和/或远程凭据转出特征在场景2下被允许。
    例如,可以为TD APP创建SD,其中转出可以该TD APP为目标。初始可以与TDM SD关联的APP
    可以被过渡到新创建的SD。凭据可以被安装在创建的SD中,同时可执行文件可以被提取到
    TD APP中。虽然提取机制可以绕开对S/W的引入的GP限制而工作,但是对于场景2,很有可能
    在S/W开始执行时APP是锁定的。根据一种实施方式,TSIM应用迁移特征可以在场景2下被移
    植和修改。例如,在源侧可能没有障碍但在目的地侧可能存在策略阻挡器(stopper)。策略
    兼容性检查可以涉及多个实体,例如源和/或目的地TDD APP;源和/或目的地SDP;源和/或
    目的地CI SD策略;和/或在涉及两个用户的情况下的用户偏好。在一种实施方式中,在场景
    2下,源凭据的删除、之后到目的地的拷贝(使用RO作为促成方)可以是用于TSIM应用迁移的
    机制。

    如这里所描述的,TD应用特征可以在场景3下被移植,其中CI卡级安全策略与TD
    SDP最小地一致。在场景3中,CI和/或RO可以是不同的,和/或关于RO的信任等级可以是最小
    的,因此他们的策略可以是最小兼容的。根据场景3,GP CI可以不授权TD SD DM特权。在这
    种安全机制就位的情况下,应用内容可以以CI的监督来被处理。在加载应用和/或配置文件
    之前,可以由CI SD提供和/或验证令牌。CI SD可以是负责执行配置文件和应用的加载和/
    或安装的实体。例如由应用提供方或RO AP请求的操作可以通过CI SD。这是这里描述的更
    限制的移植选择中的一者。

    可信域特征可以在场景3下被移植。例如,完整性信任机制可以被移植。加载时间
    DAP可以被执行,但运行时间完整性检查可以不被执行。在一种实施方式中,在场景3下,RTO
    可以在SDP和/或RO的策略之间的普通TD策略兼容性检查下被允许。对于场景3,很多TD APP
    能力可以被减少以使多个特征可以不被允许。因此,至少一个TD可以被远程所有。在将被所
    有的可信域中安装的S/W套件可以包括来自载入文件的可执行文件的提取器,该载入文件
    可以包含RO策略和/或目的文件,以及当凭据被加载和/或安装时可以使用所述提取器。根
    据场景3下的一种实施方式,这些文件的加载可以是CI SD的直接责任。在场景3下的一种实
    施方式中,假定RTO可能发生的不太频繁,用户注册和远程凭据转出可信域特征可以被允
    许,但可能发生的不太频繁,以及针对RTO使用的策略检查可以为该特征提供向前(go-
    ahead)。在该特征的执行期间,可以为TD APP创建新SD,其中转出可以该TD APP为目标。初
    始可以与TDM SD关联的APP可以被过渡到新创建的SD,并且凭据可以被安装在新SD中,同时
    可执行文件可以被提取到TD APP中。虽然提取机制可以绕开对新S/W的引入的GP限制而工
    作,但是对于场景3,与场景2相比,很有可能在S/W开始执行时APP是锁定的。根据一种实施
    方式,TSIM迁移特征可以在场景3下被允许但被修改。例如,在目的地上的原有RO(不同于引
    起迁移的RO)的存在可以阻止TSIM迁移过程运行完成。

    根据一种实施方式,THSM/TD功能可以包含信任元件,其可以取决于对可信环境至
    关重要的一些信任根(例如,RTR、RTV、RTS和/或RTM)。因此,对于上述TD特征的移植运用,特
    别是关于PTO,该信任支持机制的缺少可以减弱卡的安全结构。例如,从远程所有者的立场
    来看,卡的安全结构可以被减弱。根据固定信任根,证实卡配置的完整性的能力可以是RO的
    重要策略考虑。即使CI确信卡的内容的完整性,RO可不担保相同等级的确信或信任。这可以
    是对决定其是否打算继续进行RTO的RO的潜在的抑制因素。

    根据一种实施方式,完整性检查可以由使用与移动可信???MTM)能力一致的信
    任机制的任何设备使用。因此,THSM/TD可不像其在GP环境中关于证明信任等级被设计的那
    样运行。然而如这里所述,一旦在CI SD和/或给定的AMP的指导下TDM的SD已经被创建和/或
    个性化,安全域层级可以被建立。如果被写入到SDP中的TD系统级策略执行正在被加载到卡
    上的TD文件的DAP检查,则减弱的信任等级可以被缓解。此外,当其已被授权AMP时,即使其
    不需要使用令牌验证和/或接收生成,但是,DMP SD可以使用这种机制,和/或使他们成为其
    策略需求的一部分。因此,在以这种方式处理RTO和凭据转出文件,并且保证这种机制通过
    策略SDP策略需求而就位的情况下,RO可以具有足够的信任等级和卡配置来继续进行RTO和
    凭据下载。例如,就位的安全过程可以充当MTM能力的替代。

    对于场景2和/或场景3,可以存在对CI SD中的卡管理器策略的依赖,以及在TDM
    SD的部分上较少的自主性。CI可以具有令牌验证特权和/或接收生成特权,以及因此可以对
    加载过程进行直接监督。对于除了CI之外的远程所有者,策略协商可以面向卡管理器。这并
    不意味着在信任方面的较低的安全性。CI甚至可以请求施加更加严格的安全程序。抛开信
    任问题,这可能导致对远程TD所有者的数量的限制。

    虽然在上文中描述了采用特定组合的特征和元素,但是本领域普通技术人员将会
    了解,每一个特征既可以单独使用,也可以与其他特征和元素进行任何组合。此外,这里描
    述的方法可以在引入到计算机可读介质中由计算机或处理器执行的计算机程序、软件或固
    件中实施。关于计算机可读介质的示例包括电信号(通过有线或无线连接传送)以及计算机
    可读存储介质。关于计算机可读存储介质的示例包括但不局限于只读存储器(ROM)、随机存
    取存储器(RAM)、寄存器、缓冲存储器、半导体存储设备、诸如内部硬盘和可移动磁盘之类的
    磁介质、磁光介质、以及诸如CD-ROM盘和数字多功能光盘(DVD)之类的光介质。与软件相关
    联的处理器可以用于实施在WTRU、UE、终端、基站、RNC或任何主计算机中使用的射频收发信
    机。

    关于本文
    本文标题:具有域信任评估和域策略管理功能的智能卡.pdf
    链接地址://www.4mum.com.cn/p-6027154.html
    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

    [email protected] 2017-2018 www.4mum.com.cn网站版权所有
    经营许可证编号:粤ICP备17046363号-1 
     


    收起
    展开
  • 四川郎酒股份有限公司获第十二届人民企业社会责任奖年度环保奖 2019-05-13
  • 银保监会新规剑指大企业多头融资和过度融资 2019-05-12
  • 韩国再提4国联合申办世界杯 中国网友无视:我们自己来 2019-05-11
  • 中国人为什么一定要买房? 2019-05-11
  • 十九大精神进校园:风正扬帆当有为 勇做时代弄潮儿 2019-05-10
  • 粽叶飘香幸福邻里——廊坊市举办“我们的节日·端午”主题活动 2019-05-09
  • 太原设禁鸣路段 设备在测试中 2019-05-09
  • 拜耳医药保健有限公司获第十二届人民企业社会责任奖年度企业奖 2019-05-08
  • “港独”没出路!“梁天琦们”该醒醒了 2019-05-07
  • 陈卫平:中国文化内涵包含三方面 文化复兴表现在其中 2019-05-06
  • 人民日报客户端辟谣:“合成军装照”产品请放心使用 2019-05-05
  • 【十九大·理论新视野】为什么要“建设现代化经济体系”?   2019-05-04
  • 聚焦2017年乌鲁木齐市老城区改造提升工程 2019-05-04
  • 【专家谈】上合组织——构建区域命运共同体的有力实践者 2019-05-03
  • 【华商侃车NO.192】 亲!楼市火爆,别忘了买车位啊! 2019-05-03
  • 上下分麻将客服 天津时时彩多少期 彩票书 网上合买平台 四川时时彩app下载手机版下载手机版 广西快3开结果 中国福彩双色球走势图 上海时时乐杀号方法 新疆时时彩官网 3的计算机开机号码查询 美业培训靠什么赚钱 抽奖选号器 赌场网址 山西快乐10分开奖走势图 江苏11选5即时开奖结果 2018年10月足彩进球彩赛程