專利名稱:設(shè)備檢驗(yàn)、遇險(xiǎn)指示和補(bǔ)救的制作方法
設(shè)備檢驗(yàn)、遇險(xiǎn)指示和補(bǔ)救相關(guān)申請(qǐng)的交叉引用本申請(qǐng)要求于2010年11月5日提交的美國(guó)臨時(shí)專利申請(qǐng)61/410,781的權(quán)益,其中該申請(qǐng)的內(nèi)容在這里全部引入作為參考。
背景技術(shù):
無(wú)線通信系統(tǒng)可以使用多余的資源來(lái)執(zhí)行完整性檢查和/或修復(fù)該系統(tǒng)內(nèi)部無(wú)線通信設(shè)備上的完整性故障。當(dāng)前的完整性檢查可以在大型單體碼塊上執(zhí)行,以便確定無(wú)線通信設(shè)備的完整性是否受損。例如,通過(guò)完整性檢查,可以在無(wú)線通信設(shè)備上檢測(cè)到未經(jīng)授權(quán)的修改、篡改和/或受損軟件。一旦檢測(cè)到很大的單體碼塊的完整性故障,則網(wǎng)絡(luò)可以采用大型單個(gè)碼塊的形式來(lái)將更新下載至無(wú)線通信設(shè)備,以便修復(fù)故障。這樣做有可能需要不必要的帶寬,并且在系統(tǒng)上增加了不需要的計(jì)算負(fù)擔(dān)。此外,多種類型和/或模型的無(wú)線通信設(shè)備可以用于與網(wǎng)絡(luò)通信或是在網(wǎng)絡(luò)上通信,并且其中每一個(gè)設(shè)備都具有不同的軟件和硬件形式。由于硬件和軟件開發(fā)實(shí)踐有可能會(huì)隨著公司而不同,因此,這些不同的設(shè)備可能會(huì)導(dǎo)致難以使無(wú)線通信設(shè)備上發(fā)生故障的組件的報(bào)告處理標(biāo)準(zhǔn)化。
發(fā)明內(nèi)容
本概述是為了以簡(jiǎn)化形式引入在以下的詳細(xì)描述中被更進(jìn)一步描述的不同概念而被提供的。在這里描述的是用于對(duì)無(wú)線通信設(shè)備的一個(gè)或多個(gè)組件執(zhí)行完整性檢查的系統(tǒng)、方法和設(shè)備實(shí)施例。這里描述的第一完整性檢查可以在與無(wú)線通信設(shè)備相關(guān)聯(lián)的組件上執(zhí)行。該組件可被確定未能通過(guò)第一完整性檢查。這時(shí)可以向網(wǎng)絡(luò)實(shí)體發(fā)送一個(gè)關(guān)于與所述發(fā)生故障的組件相對(duì)應(yīng)的功能的指示。從該網(wǎng)絡(luò)實(shí)體可以接收一個(gè)在發(fā)生故障的組件上執(zhí)行第二完整性檢查以便確定發(fā)生故障的組件中導(dǎo)致該組件未通過(guò)第一完整性檢查的部分的請(qǐng)求。所述第二完整性檢查可以在發(fā)生故障的組件上執(zhí)行,以便隔離所述發(fā)生故障的組件的部分,以通過(guò)網(wǎng)絡(luò)實(shí)體來(lái)補(bǔ)救。根據(jù)一個(gè)例示實(shí)施例,加載器可以被配置成在與無(wú)線通信設(shè)備相關(guān)聯(lián)的組件上執(zhí)行第一完整性檢查。該加載器還可以被配置成確定組件未通過(guò)第一完整性檢查,并且在發(fā)生故障的組件上執(zhí)行第二完整性檢查,以便隔離發(fā)生故障的組件的部分,以通過(guò)網(wǎng)絡(luò)實(shí)體來(lái)補(bǔ)救。根據(jù)一個(gè)例示實(shí)施例,平臺(tái)完整性策略引擎(PIPE)可以被配置成接收來(lái)自加載器的關(guān)于發(fā)生故障的組件的指示,以及接收與發(fā)生故障的組件相對(duì)應(yīng)的網(wǎng)絡(luò)功能。該P(yáng)IPE還可以被配置成向網(wǎng)絡(luò)實(shí)體報(bào)告一個(gè)關(guān)于與發(fā)生故障的組件相對(duì)應(yīng)的功能的指示,并且從網(wǎng)絡(luò)實(shí)體接收在發(fā)生故障的組件上執(zhí)行第二完整性檢查以便確定發(fā)生故障的組件中導(dǎo)致該組件未通過(guò)第一完整性檢查的部分的請(qǐng)求。根據(jù)一個(gè)例示實(shí)施例,設(shè)備補(bǔ)救服務(wù)器可以如這里所述。該設(shè)備補(bǔ)救服務(wù)器可以駐留在無(wú)線通信網(wǎng)絡(luò)上,并且被配置成補(bǔ)救無(wú)線通信設(shè)備上未能通過(guò)完整性檢查的組件的部分。例如,設(shè)備補(bǔ)救服務(wù)器可以被配置成從無(wú)線通信設(shè)備接收一個(gè)關(guān)于與無(wú)線通信設(shè)備上未能通過(guò)完整性檢查的組件相關(guān)聯(lián)的網(wǎng)絡(luò)功能的指示。所述發(fā)生故障的組件可以是基于接收到的關(guān)于網(wǎng)絡(luò)功能的指示而被確定的。設(shè)備補(bǔ)救服務(wù)器還可以被配置成執(zhí)行向無(wú)線通信設(shè)備的詢問(wèn),以便通過(guò)隔離發(fā)生故障的組件的部分來(lái)進(jìn)行補(bǔ)救。該設(shè)備補(bǔ)救服務(wù)器還可以被配置成基于一個(gè)或多個(gè)標(biāo)準(zhǔn)(criteria)來(lái)確定發(fā)送給無(wú)線通信設(shè)備的關(guān)于發(fā)生故障的組件的修復(fù)或替換。一旦基于該標(biāo)準(zhǔn)確定了修復(fù)或替換,則設(shè)備補(bǔ)救服務(wù)器可以將用于發(fā)生故障的組件的部分的修復(fù)或替換發(fā)送到無(wú)線通信設(shè)備。多種不同的標(biāo)準(zhǔn)可以用于確定發(fā)生故障的組件的修復(fù)或替換。例如,所述標(biāo)準(zhǔn)可以基于發(fā)生故障的組件的大小或其他某個(gè)因素。在一個(gè)例示實(shí)施例中,補(bǔ)救服務(wù)器可以基于OS軟件版本來(lái)替換特定組件。其他例示標(biāo)準(zhǔn)可以包括但不局限于:版本號(hào);每一個(gè)設(shè)備/組件/代碼部分的最近更新或成功補(bǔ)救的日期/時(shí)間;代碼或組件的所有權(quán);代碼許可的狀況(例如數(shù)字權(quán)利管理);發(fā)生故障的組件、比特或字節(jié)的數(shù)量;發(fā)生故障的代碼部分的大小;以及所指定或計(jì)算的代碼部分或組件的風(fēng)險(xiǎn)或損害影響值。本概述是為了以簡(jiǎn)化形式引入精選概念而被提供的,并且在以下的詳細(xì)描述中將會(huì)進(jìn)一步描述這些概念。本概述既不是為了確定所保護(hù)主題的關(guān)鍵特征或必要特征,也不是為了限定所保護(hù)的主題的范圍。此外,所要保護(hù)的主題并不局限于解決在本公開的任何部分中指出的任何或所有缺陷的范圍。
更詳細(xì)的理解可以從以下結(jié)合附圖舉例給出的描述中得到,其中:圖1A示出的是可以實(shí)施所公開的一個(gè)或多個(gè)實(shí)施例的例示通信系統(tǒng);圖1B示出的是可以實(shí)施所公開的一個(gè)或多個(gè)實(shí)施例的例示無(wú)線發(fā)射/接收單元;圖1C示出的是可以實(shí)施所公開的一個(gè)或多個(gè)實(shí)施例的例示系統(tǒng)無(wú)線電接入網(wǎng)絡(luò);圖2是示出了無(wú)線通信設(shè)備上的引導(dǎo)序列的例示實(shí)施例的圖示;圖3是示出了對(duì)象文件與可執(zhí)行映像之間的聯(lián)系的圖示;圖4是示出了對(duì)象文件與可執(zhí)行映像之間的聯(lián)系的另一個(gè)圖示;圖5示出的是文件的組件TRV區(qū)段的一個(gè)示例。圖6是示出了組件-網(wǎng)絡(luò)功能映射的圖示;圖7示出的是文件的組件-功能映射區(qū)段的示例;圖8是示出了在引導(dǎo)序列中使用的平臺(tái)能力策略初啟(bring-up)的圖示;圖9是示出了這里描述的在完整性檢查和/或報(bào)告期間使用表格或映射的圖示;圖10是示出了這里描述的報(bào)告和補(bǔ)救處理的例示綜述的圖示;圖11示出的是通過(guò)在設(shè)備上收集信息來(lái)確定可以執(zhí)行的操作的例示呼叫流程圖;圖12示出的是用于在設(shè)備與網(wǎng)絡(luò)實(shí)體之間執(zhí)行詢問(wèn)的例示呼叫流程圖;圖13示出的是在無(wú)線通信設(shè)備的組件上執(zhí)行的詢問(wèn)的示例;
圖14示出的是在無(wú)線通信設(shè)備組件上執(zhí)行的詢問(wèn)的另一個(gè)示例;圖15示出的是與遇險(xiǎn)警報(bào)以及單體代碼替換相關(guān)的例示呼叫流程圖;圖16示出的是與遠(yuǎn)程軟件遇險(xiǎn)/補(bǔ)救相關(guān)聯(lián)的例示呼叫流程圖;圖17示出的是與實(shí)施SeGW驗(yàn)證嘗試的遠(yuǎn)程軟件遇險(xiǎn)/補(bǔ)救相關(guān)聯(lián)的例示呼叫流程圖;圖18A示出的是與遠(yuǎn)程軟件遇險(xiǎn)/補(bǔ)救相關(guān)聯(lián)的例示呼叫流程圖,其中網(wǎng)絡(luò)可以禁止經(jīng)由SeGW的驗(yàn)證;圖18B示出的是與實(shí)施即時(shí)限制訪問(wèn)和精確訪問(wèn)控制的遠(yuǎn)程軟件遇險(xiǎn)/補(bǔ)救相關(guān)聯(lián)的例示呼叫流程圖;圖19示出的是將無(wú)線通信設(shè)備軟件組件補(bǔ)救與SeGW訪問(wèn)相關(guān)聯(lián)的例示呼叫流程圖;圖20示出的是與中繼節(jié)點(diǎn)的能力自舉(bootstrap)相關(guān)聯(lián)的例示呼叫流程圖;圖21示出的是與具有經(jīng)過(guò)驗(yàn)證的管理能力的中繼節(jié)點(diǎn)補(bǔ)救相關(guān)聯(lián)的例示呼叫流程圖;圖22示出的是具有功能組件和代碼/數(shù)據(jù)存儲(chǔ)組件的例示系統(tǒng);圖23示出的是引導(dǎo)序列的階段以及在每一個(gè)階段實(shí)施的不同實(shí)體間的交互的例示流程圖;圖24A示出的是被線性組合以創(chuàng)建TRV的量度序列的圖示;以及圖24B示出的是使用Merkle散列樹來(lái)創(chuàng)建TRV的值的組合的圖示。
具體實(shí)施例方式圖1A-24B涉及的是可以實(shí)施所公開的系統(tǒng)、方法和手段的例示實(shí)施例。這里描述的實(shí)施例是例示性而不是限制性的。雖然在這里示出并描述了協(xié)議流程,但是這些流程的順序是可以改變的,和/或附加流程是可以添加的。圖1A、1B和IC示出的是可以在這里描述的實(shí)施例中使用的例示通信系統(tǒng)和設(shè)備。圖1A是可以實(shí)施所公開的一個(gè)或多個(gè)實(shí)施例的例示通信系統(tǒng)100的圖示。通信系統(tǒng)100可以是為多個(gè)無(wú)線用戶提供語(yǔ)音、數(shù)據(jù)、視頻、消息傳遞、廣播等內(nèi)容的多址接入系統(tǒng)。該通信系統(tǒng)100通過(guò)共享包括無(wú)線帶寬在內(nèi)的系統(tǒng)資源來(lái)允許多個(gè)無(wú)線用戶訪問(wèn)此類內(nèi)容,舉例來(lái)說(shuō),通信系統(tǒng)100可以使用一種或多種信道接入方法,如碼分多址(CDMA)、時(shí)分多址(TDMA)、頻分多址(FDMA)、正交 FDMA (OFDMA)、單載波 FDMA (SC-FDMA)等等。如圖1A所示,通信系統(tǒng)100可以包括無(wú)線發(fā)射/接收單元(WTRU) 102a、102b、102c、102d,無(wú)線電接入網(wǎng)絡(luò)(RAN) 104,核心網(wǎng)絡(luò)106,公共交換電話網(wǎng)絡(luò)(PSTN) 108,因特網(wǎng)110以及其他網(wǎng)絡(luò)112,但是應(yīng)該了解,所公開的實(shí)施例設(shè)想了任意數(shù)量的WTRU、基站、網(wǎng)絡(luò)和/或網(wǎng)絡(luò)部件。WTRU102a、102b、102c、102d中的每一者可以是被配置成在無(wú)線環(huán)境中工作和/或通信的任何類型的設(shè)備。例如,WTRU102a、102b、102c、102d可以被配置成發(fā)射和/或接收無(wú)線信號(hào),并且可以包括用戶設(shè)備(UE)、移動(dòng)站、固定或移動(dòng)訂戶單元、尋呼機(jī)、蜂窩電話、個(gè)人數(shù)字助理(PDA)、智能電話、膝上型計(jì)算機(jī)、上網(wǎng)本、個(gè)人計(jì)算機(jī)、無(wú)線傳感器、消費(fèi)類電子設(shè)備等等。通彳目系統(tǒng)100還可以包括基站114a和基站114b?;?14a、114b中的每一者可以是被配置成通過(guò)與WTRU102a、102b、102c、102d中的至少一個(gè)無(wú)線對(duì)接來(lái)促成對(duì)一個(gè)或多個(gè)通信網(wǎng)絡(luò)的訪問(wèn),例如核心網(wǎng)絡(luò)106、因特網(wǎng)110和/或網(wǎng)絡(luò)112。例如,基站114a、114b可以是基地收發(fā)信臺(tái)(BTS)、節(jié)點(diǎn)B、e節(jié)點(diǎn)B、家用節(jié)點(diǎn)B、家用e節(jié)點(diǎn)B、站點(diǎn)控制器、接入點(diǎn)(AP)、無(wú)線路由器等等。雖然每一個(gè)基站114a、114b都被描述成是單個(gè)部件,但是應(yīng)該了解,基站114a、114b可以包括任何數(shù)量的互連基站和/或網(wǎng)絡(luò)部件。基站114a可以是RAN104的一部分,并且所述RAN還可以包括其他基站和/或網(wǎng)絡(luò)部件(未顯示),例如基站控制器(BSC)、無(wú)線電網(wǎng)絡(luò)控制器(RNC)、中繼節(jié)點(diǎn)等等?;?14a和/或基站114b可以被配置成在被稱之為為小區(qū)(未顯示)的特定地理區(qū)域內(nèi)部發(fā)射和/或接收無(wú)線信號(hào)。小區(qū)可以進(jìn)一步分成小區(qū)扇區(qū)。例如,與基站114a相關(guān)聯(lián)的小區(qū)可以分成三個(gè)扇區(qū)。因此,在一個(gè)實(shí)施例中,基站114a可以包括三個(gè)收發(fā)信機(jī),也就是說(shuō),每一個(gè)收發(fā)信機(jī)對(duì)應(yīng)于小區(qū)的一個(gè)扇區(qū)。在另一個(gè)實(shí)施例中,基站114a可以使用多輸入多輸出(MIMO)技術(shù),由此可以為小區(qū)中的每個(gè)扇區(qū)使用多個(gè)收發(fā)信機(jī)?;?14a、114b可以經(jīng)由空中接口 116來(lái)與一個(gè)或多個(gè)WTRU102a、102b、102c、102d進(jìn)行通信,其中該空中接口可以是任何適當(dāng)?shù)臒o(wú)線通信鏈路(例如射頻(RF)、微波、紅外線(IR)、紫外線(UV)、可見光等等)??罩薪涌?216可以采用任何適當(dāng)?shù)臒o(wú)線電接入技術(shù)(RAT)來(lái)建立。更具體地說(shuō),如上所述,通信系統(tǒng)100可以是一個(gè)多址接入系統(tǒng),并且可以使用一種或多種信道接入方案,如CDMA、TDMA, FDMA, OFDMA, SC-FDMA等等。舉例來(lái)說(shuō),RAN104中的基站114a和WTRU102a、102b、102c可以實(shí)施諸如通用移動(dòng)電信系統(tǒng)(UMTS)陸地?zé)o線電接入(UTRA)之類的無(wú)線電技術(shù),其中該技術(shù)可以使用寬帶CDMA (WCDMA)來(lái)建立空中接口116。WCDMA可以包括下列通信協(xié)議,如高速分組接入(HSPA)和/或演進(jìn)型HSPA (HSPA+)。HSPA可以包括高速下行鏈路分組接入(HSDPA)和/或高速上行鏈路分組接入(HSUPA)。在另一個(gè)實(shí)施例中,基站114a和WTRU102a、102b、102c可以實(shí)施諸如演進(jìn)型UMTS陸地?zé)o線電接入(E-UTRA)之類的無(wú)線電技術(shù),該技術(shù)可以使用長(zhǎng)期演進(jìn)(LTE)和/或高級(jí)LTE (LTE-A)來(lái)建立空中接口 116。在其他實(shí)施例中,基站114a與WTRU102a、102b、102c可以實(shí)施IEEE802.16 (全球微波接入互操作性(WiMAX))、CDMA2000、CDMA20001X、CDMA2000EV-D0、臨時(shí)標(biāo)準(zhǔn) 2000(IS-2000)、臨時(shí)標(biāo)準(zhǔn)95 (IS-95)、臨時(shí)標(biāo)準(zhǔn)856 (IS-856)、全球移動(dòng)通信系統(tǒng)(GSM)、用于GSM演進(jìn)的增強(qiáng)數(shù)據(jù)速率(EDGE)、GSM EDGE (GERAN)等無(wú)線電接入技術(shù)。圖1A中的基站114b可以是例如無(wú)線路由器、家用節(jié)點(diǎn)B、家用e節(jié)點(diǎn)B或接入點(diǎn),并且可以使用任何適當(dāng)?shù)腞AT來(lái)促成局部區(qū)域中的無(wú)線連接,例如營(yíng)業(yè)場(chǎng)所、住宅、交通工具、校園等等。在一個(gè)實(shí)施例中,基站114b和WTRU102c、102d可以通過(guò)實(shí)施諸如IEEE802.11之類的無(wú)線電技術(shù)來(lái)建立無(wú)線局域網(wǎng)(WLAN)。在另一個(gè)實(shí)施例中,基站114b和WTRU102C、102d可以通過(guò)實(shí)施諸如IEEE802.15之類的無(wú)線電技術(shù)來(lái)建立無(wú)線個(gè)人局域網(wǎng)(WPAN)。在再一個(gè)實(shí)施例中,基站114b和WTRU102c、102d可以通過(guò)使用基于蜂窩的RAT (例如WCDMA、CDMA2000、GSM、LTE、LTE-A等等)來(lái)建立微微小區(qū)或毫微微小區(qū)。如圖1A所示,基站114b可以直接連接到因特網(wǎng)110。由此,基站114b未必需要經(jīng)由核心網(wǎng)絡(luò)106來(lái)接入因特網(wǎng)110。RAN104可以與核心網(wǎng)絡(luò)106通信,所述核心網(wǎng)絡(luò)可以是被配置成向一個(gè)或多個(gè)WTRU102a、102b、102c、102d提供語(yǔ)音、數(shù)據(jù)、應(yīng)用和/或借助網(wǎng)際協(xié)議的語(yǔ)音(VoIP)服務(wù)的任何類型的網(wǎng)絡(luò)。例如,核心網(wǎng)絡(luò)106可以提供呼叫控制、記賬服務(wù)、基于移動(dòng)位置的服務(wù)、預(yù)付費(fèi)呼叫、因特網(wǎng)連接、視頻分發(fā)等等,和/或執(zhí)行高級(jí)安全功能,例如用戶驗(yàn)證。雖然在圖1A中沒有顯示,但是應(yīng)該了解,RAN104和/或核心網(wǎng)絡(luò)106可以直接或間接地和其他那些與RAN104使用相同RAT或不同RAT的RAN進(jìn)行通信。例如,除了與可以使用E-UTRA無(wú)線電技術(shù)的RAN104相連之外,核心網(wǎng)絡(luò)106還可以與另一個(gè)使用GSM無(wú)線電技術(shù)的RAN (未顯示)通信。核心網(wǎng)絡(luò)106還可以充當(dāng)WTRU102a、102b、102c、102d接入PSTN108、因特網(wǎng)110和/或其他網(wǎng)絡(luò)112的網(wǎng)關(guān)。PSTN108可以包括提供簡(jiǎn)易老式電話服務(wù)(POTS)的電路交換電話網(wǎng)絡(luò)。因特網(wǎng)110可以包括使用公共通信協(xié)議的全球性互聯(lián)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備系統(tǒng),所述協(xié)議可以是TCP/IP互連網(wǎng)協(xié)議族中的傳輸控制協(xié)議(TCP)、用戶數(shù)據(jù)報(bào)協(xié)議(UDP)和網(wǎng)際協(xié)議(IP)。網(wǎng)絡(luò)112可以包括由其他服務(wù)供應(yīng)商擁有和/或運(yùn)營(yíng)的有線或無(wú)線通信網(wǎng)絡(luò)。例如,網(wǎng)絡(luò)112可以包括與一個(gè)或多個(gè)RAN相連的另一個(gè)核心網(wǎng)絡(luò),其中所述一個(gè)或多個(gè)RAN可以與RAN104使用相同RAT或不同的RAT。通信系統(tǒng)100中一些或所有町冊(cè)102&、10213、102(3、102(1可以包括多模能力,換言之,WTRU102a、102b、102c、102d可以包括在不同無(wú)線鏈路上與不同無(wú)線網(wǎng)絡(luò)通信的多個(gè)收發(fā)信機(jī)。例如,圖1A所示的WTRU102C可以被配置成與使用基于蜂窩的無(wú)線電技術(shù)的基站114a通信,以及與可以使用IEEE802無(wú)線電技術(shù)的基站114b通信。圖1B是例示W(wǎng)TRU102的系統(tǒng)圖示。如圖1B所示,WTRU102可以包括處理器118、收發(fā)信機(jī)120、發(fā)射/接收部件122、揚(yáng)聲器/麥克風(fēng)124、鍵盤126、顯示器/觸摸板128、不可拆卸存儲(chǔ)器130、可拆卸存儲(chǔ)器132、電源134、全球定位系統(tǒng)(GPS)芯片組136以及其他外圍設(shè)備138。應(yīng)該了解的是,在保持符合實(shí)施例的同時(shí),WTRU102可以包括前述部件的任何子組合。處理器118可以是通用處理器、專用處理器、常規(guī)處理器、數(shù)字信號(hào)處理器(DSP)、多個(gè)微處理器、與DSP核心關(guān)聯(lián)的一個(gè)或多個(gè)微處理器、控制器、微控制器、專用集成電路(ASIC)、現(xiàn)場(chǎng)可編程門陣列(FPGA)電路、其他任何類型的集成電路(1C)、狀態(tài)機(jī)等等。處理器118可以執(zhí)行信號(hào)編碼、數(shù)據(jù)處理、功率控制、輸入/輸出處理和/或其他任何能使WTRU102在無(wú)線環(huán)境中工作的功能。處理器118可以耦合至收發(fā)信機(jī)120,收發(fā)信機(jī)120可以耦合至發(fā)射/接收部件122。雖然圖1B將處理器118和收發(fā)信機(jī)120描述成是獨(dú)立組件,但是應(yīng)該了解,處理器118和收發(fā)信機(jī)120可以一起集成在一個(gè)電子封裝或芯片中。發(fā)射/接收部件122可以被配置成經(jīng)由空中接口 116來(lái)發(fā)射或接收去往或來(lái)自基站(例如基站114a)的信號(hào)。例如,在一個(gè)實(shí)施例中,發(fā)射/接收部件122可以是被配置成發(fā)射和/或接收RF信號(hào)的天線。在另一個(gè)實(shí)施例中,舉例來(lái)說(shuō),發(fā)射/接收部件122可以是被配置成發(fā)射和/或接收IR、UV或可見光信號(hào)的發(fā)射器/檢測(cè)器。在再一個(gè)實(shí)施例中,發(fā)射/接收部件122可以被配置成發(fā)射和接收RF和光信號(hào)。應(yīng)該了解的是,發(fā)射/接收部件122可以被配置成發(fā)射和/或接收無(wú)線信號(hào)的任何組合。此外,雖然在圖1B中將發(fā)射/接收部件122描述成是單個(gè)部件,但是WTRU102可以包括任何數(shù)量的發(fā)射/接收部件122。更具體地說(shuō),WTRU102可以使用MMO技術(shù)。因此,在一個(gè)實(shí)施例中,WTRU102可以包括兩個(gè)或更多個(gè)經(jīng)由空中接口 116來(lái)發(fā)射和接收無(wú)線電信號(hào)的發(fā)射/接收部件122 (例如多個(gè)天線)。
收發(fā)信機(jī)120可以被配置成對(duì)發(fā)射/接收部件122將要發(fā)射的信號(hào)進(jìn)行調(diào)制,以及對(duì)發(fā)射/接收部件122接收的信號(hào)進(jìn)行解調(diào)。如上所述,WTRU102可以具有多模能力。因此,收發(fā)信機(jī)120可以包括允許WTRU102借助UTRA和IEEE802.11之類的多種RAT來(lái)進(jìn)行通信的多個(gè)收發(fā)信機(jī)。WTRU102的處理器118可以耦合至揚(yáng)聲器/麥克風(fēng)124、鍵盤126和/或顯示器/觸摸板128 (例如液晶顯示器(IXD)顯示單元或有機(jī)發(fā)光二極管(OLED)顯示單元),并且可以接收來(lái)自這些部件的用戶輸入數(shù)據(jù)。處理器118還可以向揚(yáng)聲器/麥克風(fēng)124、鍵盤126和/或顯示器/觸摸板128輸出用戶數(shù)據(jù)。此外,處理器118可以從任何適當(dāng)?shù)拇鎯?chǔ)器(例如不可拆卸存儲(chǔ)器130和/或可拆卸存儲(chǔ)器132)中訪問(wèn)信息,以及將信息存入這些存儲(chǔ)器。所述不可拆卸存儲(chǔ)器130可以包括隨機(jī)存取存儲(chǔ)器(RAM)、只讀存儲(chǔ)器(ROM)、硬盤或是其他任何類型的記憶存儲(chǔ)設(shè)備??刹鹦洞鎯?chǔ)器132可以包括訂戶身份模塊(SM)卡、記憶棒、安全數(shù)字(SD)記憶卡等等。在其他實(shí)施例中,處理器118可以從那些并非實(shí)際位于WTRU102的存儲(chǔ)器訪問(wèn)信息,以及將數(shù)據(jù)存入這些存儲(chǔ)器,其中舉例來(lái)說(shuō),所述存儲(chǔ)器可以位于服務(wù)器或家用計(jì)算機(jī)(未顯示)。處理器118可以接收來(lái)自電源134的電力,并且可以被配置分發(fā)和/或控制用于WTRU102中的其他組件的電力。電源134可以是為WTRU102供電的任何適當(dāng)?shù)脑O(shè)備。舉例來(lái)說(shuō),電源134可以包括一個(gè)或多個(gè)干電池組(如鎳鎘(NiCd)、鎳鋅(NiZn)、鎳氫(NiMH)、鋰離子(L1-1on)等等)、太陽(yáng)能電池、燃料電池等等。處理器118還可以與GPS芯片組136耦合,該芯片組可以被配置成提供與WTRU102的當(dāng)前位置相關(guān)的位置信息(例如經(jīng)度和緯度)。作為來(lái)自GPS芯片組136的信息的補(bǔ)充或替換,WTRU102可以經(jīng)由空中接口 116接收來(lái)自基站(例如基站114a、114b)的位置信息,和/或根據(jù)從兩個(gè)或更多個(gè)附近基站接收的信號(hào)的定時(shí)來(lái)確定其位置。應(yīng)該了解的是,在保持符合實(shí)施例的同時(shí),WTRU102可以借助任何適當(dāng)?shù)亩ㄎ环椒▉?lái)獲取位置信息。處理器118還可以耦合到其他外圍設(shè)備138,這其中可以包括提供附加特征、功能和/或有線或無(wú)線連接的一個(gè)或多個(gè)軟件和/或硬件模塊。例如,外圍設(shè)備138可以包括加速度計(jì)、電子指南針、衛(wèi)星收發(fā)信機(jī)、數(shù)碼相機(jī)(用于照片或視頻)、通用串行總線(USB)端口、振動(dòng)設(shè)備、電視收發(fā)信機(jī)、免提耳機(jī)、藍(lán)牙 糢塊、調(diào)頻(FM)無(wú)線電單元、數(shù)字音樂播放器、媒體播放器、視頻游戲播放器模塊、因特網(wǎng)瀏覽器等等。圖1C是根據(jù)一個(gè)實(shí)施例的RAN104和核心網(wǎng)絡(luò)106的系統(tǒng)圖示。如上所述,RAN104可以使用E-UTRA無(wú)線電技術(shù)以經(jīng)由空中接口 116來(lái)與WTRU102a、102b、102c進(jìn)行通信。并且該RAN104還可以與核心網(wǎng)絡(luò)106通信。RAN104可以包括e節(jié)點(diǎn)B140a、140b、140c,但是應(yīng)該理解,在保持與實(shí)施例相符的同時(shí),RAN104可以包括任意數(shù)量的e節(jié)點(diǎn)B。節(jié)點(diǎn)B140a、140b、140c中的每一者都可以包括一個(gè)或多個(gè)收發(fā)信機(jī),以便經(jīng)由空中接口 116來(lái)與WTRU102a、102b、102c進(jìn)行通信。在一個(gè)實(shí)施例中,e節(jié)點(diǎn)B140a、140b、140c可以實(shí)施MMO技術(shù)。因此,舉例來(lái)說(shuō),e節(jié)點(diǎn)B140a可以使用多個(gè)天線來(lái)向WTRU102a發(fā)射無(wú)線信號(hào)以及接收來(lái)自WTRU102a的無(wú)線信號(hào)。e節(jié)點(diǎn)B140a、140b、140c中的每一者都可以與特定的小區(qū)(未顯示)相關(guān)聯(lián),并且可以被配置成處理無(wú)線電資源管理決策、切換決策、上行鏈路和/或下行鏈路中的用戶調(diào)度等等。如圖1C所示,e節(jié)點(diǎn)B140a、140b、140c彼此可以經(jīng)由X2接口來(lái)進(jìn)行通信。
圖1C所示的核心網(wǎng)絡(luò)106可以包括移動(dòng)性管理網(wǎng)關(guān)(MME) 142、服務(wù)網(wǎng)關(guān)144以及分組數(shù)據(jù)網(wǎng)絡(luò)(PDN)網(wǎng)關(guān)146。雖然在前的每一個(gè)部件都被描述成是核心網(wǎng)絡(luò)106的一部分,但是應(yīng)該了解,這其中的任一部件都可以被核心網(wǎng)絡(luò)運(yùn)營(yíng)商以外的實(shí)體擁有和/或運(yùn)營(yíng)。MME142可以經(jīng)由SI接口來(lái)與RAN104中的每一個(gè)e節(jié)點(diǎn)B140a、140b、140c相連,并且可以充當(dāng)控制節(jié)點(diǎn)。例如,MME142可以負(fù)責(zé)驗(yàn)證WTRU102a、102b、102c的用戶,激活/去激活承載,在WTRU102a、102b、102c的初始附著過(guò)程中選擇特定服務(wù)網(wǎng)關(guān)等等。MME142還可以提供控制平面功能,以便在RAN104與使用了諸如GSM或WCDMA之類的其他無(wú)線電技術(shù)的其他RAN (未顯示)之間進(jìn)行切換。服務(wù)網(wǎng)關(guān)144可以經(jīng)由SI接口而與RAN104中的每一個(gè)e節(jié)點(diǎn)B140a、140b、140c相連。該服務(wù)網(wǎng)關(guān)144通常可以路由和轉(zhuǎn)發(fā)去往/來(lái)自WTRU102a、102b、102c的用戶數(shù)據(jù)分組。該服務(wù)網(wǎng)關(guān)144還可以執(zhí)行其他功能,例如在e節(jié)點(diǎn)B間的切換過(guò)程中錨定用戶面,在下行鏈路數(shù)據(jù)可供WTRU102a、102b、102c使用時(shí)觸發(fā)尋呼,管理和存儲(chǔ)WTRU102a、102b、102c的上下文等等。服務(wù)網(wǎng)關(guān)144還可以連接到PDN網(wǎng)關(guān)146,該P(yáng)DN網(wǎng)關(guān)可以為WTRU102a、102b、102c提供針對(duì)因特網(wǎng)之類的分組交換網(wǎng)絡(luò)的接入,以便促成WTRU102a、102b、102c與啟用IP的設(shè)備之間的通信。核心網(wǎng)絡(luò)106可以促成與其他網(wǎng)絡(luò)的通信。例如,核心網(wǎng)絡(luò)106可以為WTRU102a、102以102(3提供針對(duì)?5了附08之類的電路交換網(wǎng)絡(luò)的接入,以便促成WTRU102a、102b、102c與傳統(tǒng)的陸線通信設(shè)備之間的通信。例如,核心網(wǎng)絡(luò)106可以包括IP網(wǎng)關(guān)(例如IP多媒體子系統(tǒng)(MS)服務(wù)器)或與之通信,其中該IP網(wǎng)關(guān)充當(dāng)?shù)氖呛诵木W(wǎng)絡(luò)106與PSTN108之間的接口。此外,核心網(wǎng)絡(luò)106可以為WTRU102a、102b、102c提供針對(duì)網(wǎng)絡(luò)112的接入,該網(wǎng)絡(luò)可以包括其他服務(wù)供應(yīng)商擁有和/或運(yùn)營(yíng)的其他有線或無(wú)線網(wǎng)絡(luò)。這里描述的通信系統(tǒng)和設(shè)備可以用于管理通信設(shè)備的軟件,管理通信設(shè)備的配置,和/或提供軟件和/或配置信息補(bǔ)救,以便將設(shè)備恢復(fù)到原始狀態(tài)。此外,在這里還描述了使用軟件開發(fā)和代碼發(fā)布工具的實(shí)施方式,其中所述軟件開發(fā)和代碼發(fā)布工具可以使用軟件工具、網(wǎng)絡(luò)協(xié)議、設(shè)備策略以及軟件管理和/或遠(yuǎn)程調(diào)試技術(shù)來(lái)自動(dòng)生成和管理可信代碼庫(kù)(code base)的軟件方面的基準(zhǔn),從而在設(shè)備中嵌入用于可證實(shí)報(bào)告和補(bǔ)救的機(jī)制和基準(zhǔn)。更進(jìn)一步,在這里描述的是可以確保設(shè)備實(shí)施的完整性檢查的故障指示的技術(shù),其中包括對(duì)表明可以信任報(bào)告故障的設(shè)備的指示所進(jìn)行的描述。這里描述的無(wú)線通信設(shè)備可以被配置成在具有多個(gè)階段的安全引導(dǎo)處理的每個(gè)階段執(zhí)行完整性檢查。在多個(gè)階段的安全引導(dǎo)處理過(guò)程中,每一個(gè)階段可以核實(shí)后續(xù)階段,由此創(chuàng)建一個(gè)信任鏈。在具有多個(gè)階段的安全引導(dǎo)處理的每個(gè)階段中可以確定是否可以信任與該階段相關(guān)聯(lián)的組件。與組件相關(guān)聯(lián)的完整性量度可被確定。該組件可以具有相關(guān)聯(lián)的可信基準(zhǔn)值。組件的可信賴度可以通過(guò)將完整性量度與可信基準(zhǔn)值相比較來(lái)確定(例如測(cè)試)。如果完整性量度與可信基準(zhǔn)值相匹配,則可以認(rèn)為該組件是可信賴的。如果完整性量度未能與可信基準(zhǔn)值相匹配,則認(rèn)為該組件未必是可信賴的。雖然在這里描述的是通過(guò)將完整性量度與可信基準(zhǔn)值相比較來(lái)執(zhí)行完整性檢查,但是應(yīng)該了解,完整性檢查是可以采用其他那些用于確定組件可信賴度的方式執(zhí)行的。
由于外部實(shí)體未必會(huì)辨認(rèn)出組件,因此,舉例來(lái)說(shuō),在多個(gè)網(wǎng)絡(luò)和/或設(shè)備上可以定義和/或標(biāo)準(zhǔn)化功能,從而與標(biāo)準(zhǔn)規(guī)范和/或取決于實(shí)施的方式的相一致。組件可以與功能相關(guān)聯(lián)。組件與功能之間的關(guān)系可以在組件-功能映射中給出。功能故障可以通過(guò)將發(fā)生故障的組件與組件-功能映射相比較來(lái)識(shí)別。設(shè)備可以向外部實(shí)體發(fā)送與功能故障相關(guān)聯(lián)的警報(bào)。外部實(shí)體可以確定與功能相關(guān)聯(lián)且可以用于修復(fù)或替換發(fā)生故障的組件的替換代碼。換言之,替換代碼可以是一個(gè)替換組件。設(shè)備可以接收該替換組件,并且使用該替換組件來(lái)替換發(fā)生故障的組件。安全引導(dǎo)處理可以提供檢驗(yàn)過(guò)程的基礎(chǔ)。由不可變硬件可信根(RoT)發(fā)起的信任鏈可以核實(shí)所加載的初始代碼的有效性。如圖2所示,舉例來(lái)說(shuō),該引導(dǎo)處理可以在每一個(gè)階段通過(guò)信任鏈核實(shí)后續(xù)階段的時(shí)候繼續(xù)進(jìn)行。在通電以及硬件初始化過(guò)程之后,設(shè)備可以啟動(dòng)一個(gè)例如圖2所示的安全引導(dǎo)處理。初始的RoT可以用駐留于ROM中的安全存儲(chǔ)器的引導(dǎo)加載器202表示。在一開始,ROM引導(dǎo)加載器202可以執(zhí)行一些初始化功能。該ROM引導(dǎo)加載器202可訪問(wèn)安全憑證(例如融合鍵控信息),并且可以使用該信息來(lái)核實(shí)第二階段的引導(dǎo)加載器204 (例如駐留在外部存儲(chǔ)器中)的完整性。第二階段的加載器204可以由硬件或軟件密碼加密裝置進(jìn)行檢查,以確保其完整性。計(jì)算得到的第二階段的加載器204的散列(hash)量度可以與一個(gè)用安全憑證簽名并保存在外部存儲(chǔ)器中的可信基準(zhǔn)值(TRV)量度相比較。如果計(jì)算得到的量度與帶簽名的TRV相匹配,則第二階段的加載器204可被核實(shí)并加載到內(nèi)部存儲(chǔ)器(例如RAM)中。該引導(dǎo)ROM可以跳轉(zhuǎn)到第二階段的加載器204的開端,并且信任鏈可以繼續(xù)。所述核實(shí)處理中的初始階段的故障可以表明后續(xù)核實(shí)有可能受損(例如,初始階段的故障可以表明信任鏈發(fā)生了重大故障)。如果存在在核實(shí)處理的初始階段指示出的故障,則可以將設(shè)備關(guān)閉。第二階段的引導(dǎo)加載器204可以包括可信執(zhí)行環(huán)境(TrE)代碼以及可以檢查附加代碼并且將其加載到內(nèi)部存儲(chǔ)器的代碼。TrE可以建立一個(gè)能夠計(jì)算和存儲(chǔ)附加的完整性基準(zhǔn)值的可信環(huán)境和安全存儲(chǔ)區(qū)域。該TrE完整性可以檢查、加載和/或啟動(dòng)操作系統(tǒng)以及通信代碼。隨著每個(gè)階段被檢查和加載(例如,圖2所示的方框202、204、206和208中的每一者都可以表示一個(gè)階段),所述信任鏈可以延續(xù)。例如,第二階段的加載器204可以核實(shí)OS/通信(Comm) 206和/或設(shè)備軟件208的完整性。作為替換或補(bǔ)充,OS/通信206可以核實(shí)設(shè)備軟件208的完整性。所述OS/通信206可以包括一個(gè)OS加載器。根據(jù)一個(gè)實(shí)施例,圖2所示的實(shí)體可以按照?qǐng)?zhí)行順序而被核實(shí)和/或相互核實(shí),以便保持信任鏈。信任鏈可以由一個(gè)能夠安全核實(shí)后續(xù)處理的執(zhí)行過(guò)程來(lái)保持。該核實(shí)過(guò)程可以使用密碼加密計(jì)算和/或可信基準(zhǔn)值。駐留在非安全存儲(chǔ)器中的代碼可能易受攻擊,并且可以在加載之前對(duì)其進(jìn)行檢查。在沒有細(xì)粒度檢驗(yàn)的情況下,第二階段的引導(dǎo)加載器204可以檢驗(yàn)剩余代碼,以此作為體積(bulk)量度。如果測(cè)量得到的值不與單體塊的TRV匹配,那么可以確定所述代碼未必可信以及不可以加載該代碼。設(shè)備未必能夠通信,并且一個(gè)結(jié)果有可能包括借助高成本的上門服務(wù)或是運(yùn)回設(shè)備進(jìn)行修復(fù)來(lái)補(bǔ)救整個(gè)代碼庫(kù)。這里描述的方法、系統(tǒng)和手段可以使得設(shè)備能夠檢驗(yàn)已存儲(chǔ)代碼的較小組件,以及提供關(guān)于哪些組件出現(xiàn)故障以及哪些組件可以或者不可以被遠(yuǎn)程補(bǔ)救的詳細(xì)描述。這種細(xì)粒度信息可被提供給補(bǔ)救管理器。
在這里可以建立策略來(lái)確定哪些發(fā)生故障的組件是可以遠(yuǎn)程補(bǔ)救的。舉個(gè)例子,如果設(shè)備檢查并加載了 TrE以及最小的通信代碼集合,那么該設(shè)備可以保持充當(dāng)用于補(bǔ)救管理器的代理的功能,以便識(shí)別以及向補(bǔ)救管理器報(bào)告發(fā)生故障的特定組件的信息。如果補(bǔ)救能力存在且屬于設(shè)備的代理功能的一部分,則可以發(fā)起后續(xù)的遠(yuǎn)程補(bǔ)救過(guò)程,這樣做可以減少使用高成本的現(xiàn)場(chǎng)人員更新。根據(jù)一個(gè)實(shí)施例,可執(zhí)行映像可被分區(qū)和檢驗(yàn),以便能夠?qū)嵤┘?xì)粒度的報(bào)告處理。可執(zhí)行映像的生成可以在幾個(gè)階段中進(jìn)行。組件可以是指一個(gè)包含了子程序和/或參數(shù)/數(shù)據(jù)的文件。開發(fā)人員可以編寫一個(gè)在組件源和頭文件中捕獲的程序。從這些組件源文件中,編譯器和匯編器可以產(chǎn)生同時(shí)包含了機(jī)器二進(jìn)制碼和程序數(shù)據(jù)的目標(biāo)文件(例如*.ο )。鏈接器可以將這些目標(biāo)文件作為輸入,并且產(chǎn)生一個(gè)能夠用于與其他目標(biāo)文件附加鏈接的可執(zhí)行映像或目標(biāo)文件。鏈接器命令文件可以指示鏈接器如何組合對(duì)象文件,以及將二進(jìn)制碼和數(shù)據(jù)放置在目標(biāo)嵌入式系統(tǒng)中的什么位置。鏈接器的功能可以是將多個(gè)對(duì)象文件合并成較大的可重新定位的對(duì)象文件、共享的對(duì)象文件或是最終的可執(zhí)行映像。全局變量和非靜態(tài)函數(shù)可被稱為全局符號(hào)。在最終的可執(zhí)行二進(jìn)制映像中,符號(hào)可以是指存儲(chǔ)器中的地址位置。該存儲(chǔ)器位置的內(nèi)容可以是用于變量的數(shù)據(jù)或是用于函數(shù)的可執(zhí)行代碼。編譯器可以創(chuàng)建一個(gè)具有符號(hào)名稱-地址映射的符號(hào)表,以此作為其產(chǎn)生的對(duì)象文件的一部分。在創(chuàng)建可重新定位的輸出的時(shí)候,編譯器可以產(chǎn)生地址,其中對(duì)于每一個(gè)符號(hào)來(lái)說(shuō),所述地址與所編譯的文件是關(guān)聯(lián)的。鏈接器執(zhí)行的鏈接處理可以包括符號(hào)解析和/或符號(hào)重新定位。符號(hào)解析可以是鏈接器檢查每一個(gè)目標(biāo)文件并且為目標(biāo)文件確定在哪個(gè)(哪些)(其他)目標(biāo)文件中定義外部符號(hào)。符號(hào)重新定位可以是鏈接器將符號(hào)引用映射到其定義的處理。該鏈接器可以修改所鏈接的對(duì)象文件的機(jī)器碼,由此,對(duì)符號(hào)的代碼引用反映了指定給這些符號(hào)的實(shí)際地址。對(duì)象和可執(zhí)行文件可以采用若干種格式,例如ELF (可執(zhí)行和鏈接格式)以及COFF(公共對(duì)象-文件格式)。對(duì)象文件可被劃分成區(qū)域或區(qū)段。這些區(qū)段可以保持下列各項(xiàng)中的一項(xiàng)或多項(xiàng):例如可執(zhí)行代碼、數(shù)據(jù)、動(dòng)態(tài)鏈接信息、調(diào)試數(shù)據(jù)、符號(hào)表、重新定位信息、注釋、字串表或注解。這些區(qū)段可以用于向二進(jìn)制文件提供信息,以及允許檢查。函數(shù)區(qū)段可以包括下列各項(xiàng)中的一項(xiàng)或多項(xiàng):可以存儲(chǔ)系統(tǒng)函數(shù)地址的全局偏移表(GOT)、可以存儲(chǔ)至GOT的間接鏈接的過(guò)程鏈接表(PLT)、可以用于內(nèi)部初始化的.1nit/fin1、以及可以用于構(gòu)造器和析構(gòu)器的.shutdown或.ctors/.dtors。數(shù)據(jù)區(qū)段可以包括下列各項(xiàng)中的一項(xiàng)或多項(xiàng):用于只讀數(shù)據(jù)的.rodata,用于已初始化數(shù)據(jù)的.data,或是用于未初始化數(shù)據(jù)的.bss。ELF區(qū)段可以包括下列各項(xiàng)中的一項(xiàng)或多項(xiàng):用于啟動(dòng)的.1nit、用于字串的.text、用于停機(jī)的.fin1、用于只讀數(shù)據(jù)的.rodata、用于已初始化數(shù)據(jù)的.data、用于已初始化的線程數(shù)據(jù)的.tdata、用于未初始化線程數(shù)據(jù)的.tbss、用于構(gòu)造器的.ctors、用于析構(gòu)器的.dtors、用于全局偏移表的.got、或用于未初始化數(shù)據(jù)的.bss。一些區(qū)段可被加載到進(jìn)程映像中。一些區(qū)段可以提供在構(gòu)建進(jìn)程映像的過(guò)程中使用的信息。一些區(qū)段可被限制成在鏈接對(duì)象文件的過(guò)程中使用。一些對(duì)象文件可以包括對(duì)位于其他對(duì)象文件中的符號(hào)的引用。該鏈接器可以創(chuàng)建一個(gè)符號(hào)表,所述符號(hào)表可以包括符號(hào)名稱的列表及其在用于每一個(gè)對(duì)象文件的文本和數(shù)據(jù)分段中的相應(yīng)偏移。在將對(duì)象文件鏈接在一起之后,鏈接器可以使用重新定位記錄來(lái)找出可能未被填充的未解析符號(hào)地址。在編譯了多個(gè)源文件(例如C/C++和匯編文件)并將其匯編成ELF對(duì)象文件之后,鏈接器可以組合這些對(duì)象文件,并且將來(lái)自不同對(duì)象文件的區(qū)段并入如圖3所示的程序分段。如圖3所示,對(duì)象文件302、304和306的文本區(qū)段308、316和324分別可以并入可執(zhí)行映像338的文本分段332。作為補(bǔ)充或替換,啟動(dòng)區(qū)段310、318和326可以并入可執(zhí)行映像338的文本分段332。同樣,對(duì)象文件302、304和306的數(shù)據(jù)區(qū)段312、320和328分別可以并入可執(zhí)行映像338的數(shù)據(jù)分段334。最后,對(duì)象文件302、304和306的未初始化數(shù)據(jù)區(qū)段314、322和330分別可以并入可執(zhí)行映像338的未初始化數(shù)據(jù)分段336。雖然圖3示出了可以并入可執(zhí)行映像338的區(qū)段的對(duì)象文件302、304和306的多個(gè)區(qū)段,但是應(yīng)該理解,任意數(shù)量和/或組合的區(qū)段都可以并入可執(zhí)行映像的區(qū)段。如圖3所示,區(qū)段可以提供一種將相關(guān)區(qū)段歸組的方式。每一個(gè)分段都可以包括具有相同或不同類型(例如文本、數(shù)據(jù)或動(dòng)態(tài)區(qū)段)的一個(gè)或多個(gè)區(qū)段。操作系統(tǒng)在邏輯上可以依照在程序頭表中提供的信息來(lái)拷貝文件分段。所述可執(zhí)行和只讀數(shù)據(jù)區(qū)段可以組合成單個(gè)文本區(qū)段。數(shù)據(jù)和未初始化的數(shù)據(jù)區(qū)段可以組合成數(shù)據(jù)分段或組合成其自己的單獨(dú)的分段。由于這些分段可以在創(chuàng)建進(jìn)程的時(shí)候加載到存儲(chǔ)器中,因此,這些分段可被稱為加載分段。諸如符號(hào)信息和調(diào)試區(qū)段之類的其他區(qū)段可以并入到其他的非加載分段。文本區(qū)段可以包括源代碼以及已初始化的靜態(tài)變量。編譯器定義的多個(gè)區(qū)段可被加載到鏈接器定義的單個(gè)組合分段中。最終的可執(zhí)行映像可以是用那些控制鏈接器如何組合區(qū)段和/或?qū)^(qū)段分配到目標(biāo)系統(tǒng)存儲(chǔ)器映射的鏈接器命令(它可以是被叫鏈接器指令)產(chǎn)生的。鏈接器指令可以保持在鏈接器命令文件中。嵌入式開發(fā)人員可以使用該鏈接器命令文件來(lái)將可執(zhí)行映像映射到目標(biāo)系統(tǒng)。對(duì)發(fā)生故障的組件執(zhí)行檢驗(yàn)和細(xì)粒度報(bào)告的能力可以使用可執(zhí)行映像中提供的附加信息,此外,開發(fā)和代碼發(fā)布工具鏈?zhǔn)强梢孕薷牡?。在可?zhí)行映像內(nèi)部,每一個(gè)組件的基準(zhǔn)量度以及識(shí)別所述量度所關(guān)聯(lián)的組件的信息元素都是可以識(shí)別的。對(duì)發(fā)生故障的組件所進(jìn)行的補(bǔ)救可以取決于設(shè)備報(bào)告標(biāo)準(zhǔn)的功能故障的能力。功能以及基于故障所采取的操作可以由網(wǎng)絡(luò)運(yùn)營(yíng)商定義。軟件開發(fā)者可以確定如何能將運(yùn)營(yíng)商定義的功能映射到其系統(tǒng)中的軟件組件。在可執(zhí)行映像中,功能映射是可見的,并且可以使用工具鏈增強(qiáng)。通過(guò)修改開發(fā)階段使用的軟件工具鏈,可以適應(yīng)下列各項(xiàng)中的一項(xiàng)或多項(xiàng):組件區(qū)段生成、安全的TRV生成和嵌入、組件-功能定義的插入、或策略及策略配置文件的插入。通過(guò)修改加載器的功能,可以適應(yīng)檢驗(yàn)和/或補(bǔ)救。加載器可被修改成執(zhí)行下列各項(xiàng)中的一項(xiàng)或多項(xiàng):在加載組件時(shí)對(duì)組件執(zhí)行完整性檢查、隔離或卸載發(fā)生故障的組件、管理策略、或在存儲(chǔ)器中保存發(fā)生故障的組件ID以供策略管理器報(bào)告故障。在這里描述了可被應(yīng)用于這里描述的軟件開發(fā)和代碼發(fā)布工具鏈來(lái)例證預(yù)期功能的例示實(shí)施例。然而,這里的實(shí)施例并不局限于這里提供的示例。鏈接器的作用可以是獲取輸入對(duì)象,以及將不同的區(qū)段組合成分段。由于可以在鏈接過(guò)程期間組合對(duì)象代碼,因此,在符號(hào)表信息中可以保持識(shí)別對(duì)象文件中的函數(shù)或變量的能力。最終的合并代碼區(qū)段可不提供可以用于觸發(fā)這里描述的檢驗(yàn)過(guò)程的檢驗(yàn)方案。
為了便于識(shí)別單個(gè)組件,加載器可以具有一種識(shí)別代碼起源的方式,其中可以包括定義組件或是生成可被加載器識(shí)別的單個(gè)組件的TRV。例如,通過(guò)增強(qiáng)用于生成可執(zhí)行映像的工具鏈,能夠識(shí)別出與加載器檢驗(yàn)功能的特定對(duì)象文件組件相關(guān)聯(lián)的代碼,從而識(shí)別特定的組件以及執(zhí)行完整性檢查。代碼映像的重新排列可以改變輸入對(duì)象的TRV(例如,如果修改一個(gè)輸入對(duì)象,那么有可能導(dǎo)致改變其他輸入對(duì)象的TRV)。此外還可以阻止工具鏈?zhǔn)褂脙?yōu)化方法,以便阻止TRV的變化。對(duì)于需要完整性檢查的組件來(lái)說(shuō),在這里可以為其生成特定區(qū)段名稱。例如,區(qū)段名稱可以出現(xiàn)在最終的ELF可執(zhí)行文件包含的區(qū)段頭表中。通過(guò)歸組用戶定義的區(qū)段,力口載器可以識(shí)別組件以及執(zhí)行完整性檢查。所述加載器可以向策略管理器報(bào)告組件的通過(guò)與否的狀態(tài)。通過(guò)隔離那些通過(guò)/未能通過(guò)完整性檢查的特定功能,可以允許策略管理器以精細(xì)的粒度或詳細(xì)的等級(jí)來(lái)報(bào)告那些可能受到發(fā)生故障的組件影響的功能。圖4示出了兩個(gè)可以鏈接在一起形成單個(gè)可執(zhí)行映像406的對(duì)象文件402和404。對(duì)象文件402具有兩個(gè)不同的代碼分段,即組件文件區(qū)段408和文本區(qū)段410。對(duì)象文件404具有可以包括代碼和/或恒定數(shù)據(jù)的單個(gè)代碼分段,即組件文件區(qū)段416。對(duì)用戶定義的代碼區(qū)段、即組件文件區(qū)段408和組件文件區(qū)段416來(lái)說(shuō),這些區(qū)段可以連同與其映射的分段類型相關(guān)的大小和/或存儲(chǔ)位置一起出現(xiàn)的區(qū)段報(bào)頭中。在圖4中用箭頭描述了關(guān)于這種映射關(guān)系的一個(gè)示例。例如,對(duì)象文件402的組件文件區(qū)段408、文本區(qū)段410、數(shù)據(jù)區(qū)段412以及bss區(qū)段414分別可被映射到可執(zhí)行映像406的組件文件區(qū)段420、文本區(qū)段424、數(shù)據(jù)區(qū)段426以及bss區(qū)段428。同樣,對(duì)象文件404的組件文件區(qū)段416和bss區(qū)段418分別可以被映射到可執(zhí)行映像406的組件文件區(qū)段422以及bss區(qū)段428。通過(guò)鏈接可執(zhí)行映像406,可以在可執(zhí)行映像406開端的預(yù)定位置包含用戶定義的區(qū)段,由此可以按順序?qū)ζ溥M(jìn)行檢查。借助于檢驗(yàn)的完整性檢查可以僅限于代碼庫(kù)的一個(gè)子集。剩余那些被歸組成較大文本分段的代碼可以不被執(zhí)行完整性檢查,和/或是可以加載的。用戶定義的區(qū)段的添加可以是可識(shí)別的,例如通過(guò)在組件代碼中插A#_PRAGMA。仍舊參考圖4的示例,在源文件的頂部可以插入指令#_PRAGMA區(qū)段(例如組件文件區(qū)段408)。通過(guò)增強(qiáng)編譯器,可以借助編譯器標(biāo)記來(lái)包含用戶定義的區(qū)段。如果設(shè)置了特定的標(biāo)記,那么可以通過(guò)增強(qiáng)編譯器來(lái)自動(dòng)插入PRAGMA。此外,用戶定義的區(qū)段的概念可以擴(kuò)展,以便將用戶定義的區(qū)段局限于那些可能被完整性檢查的組件內(nèi)部的功能。可用于設(shè)備的可信執(zhí)行的功能可被分區(qū)或隔離成在啟動(dòng)過(guò)程中首先或者早期會(huì)被完整性檢查的組件。區(qū)段可以借助鏈接器命令文件而被映射到存儲(chǔ)器的特定分段。ELF對(duì)象可以依照源和目的地址來(lái)查看。在區(qū)段頭表中標(biāo)識(shí)的區(qū)段可以向加載器告知在哪兒發(fā)現(xiàn)所要移動(dòng)的代碼和/或數(shù)據(jù)的開端。在分段報(bào)頭中標(biāo)識(shí)的分段可以向加載器告知將組件拷貝至何處。在下文中示出了區(qū)段和程序報(bào)頭的格式。區(qū)段報(bào)頭程序報(bào)頭
typedef struct {tvpedef struct }
Elf32_Word sh—name;E!f32_Word p—type:
Elf32—Word sh—type;Ei132 0ff p offset:;
Elf32_Word sh flags;Elf32_Addr p vaddr;
Elf32_Addr sh addr:Eif32—Addr p paddr:
E{132_Off sh—offset;ElB2_Word p—filesz:
Elf32_Word sh size;E!f32_Word p—menisz;
Elf32—Word sh—link:Eii32_Word p—flags;
區(qū)段報(bào)頭程序報(bào)頭
Elf32_Word sh info;E1132_Word p—align;
Elf32_Word sh addraiign ;} Eif32_Phdr;
EI i3 2 Word sh_e ntsize;j Elf32_Shdr;—sh_addr是程序區(qū)段可以在目標(biāo)存儲(chǔ)器中駐留的地址。p_addr可以是程序分段在目標(biāo)存儲(chǔ)器中駐留的地址。sh_addi^Pp_paddr字段可以是指加載地址。加載器可以使用來(lái)自區(qū)段報(bào)頭的加載地址作為將映像從非易失存儲(chǔ)器傳送到RAM的起始地址。組件區(qū)段標(biāo)識(shí)的概念可被擴(kuò)展至文件內(nèi)部包含的一個(gè)以上的特定組件。該擴(kuò)展可以通過(guò)識(shí)別將被執(zhí)行完整性檢查的特定子例程而不是整個(gè)文件來(lái)允許策略管理器所實(shí)施的訪問(wèn)控制的進(jìn)一步的粒度。TRV可以是特定組件或?qū)ο笪募念A(yù)期量度(例如采用安全方式計(jì)算的組件的散列)。出于完整性核實(shí)的目的,舉例來(lái)說(shuō),檢驗(yàn)處理可以依靠將被檢查的存在于可執(zhí)行映像中的或是分別以安全方式加載的每一個(gè)組件的TRV。該處理可以采用多種方式來(lái)實(shí)現(xiàn)。作為例證,通過(guò)修改構(gòu)建可執(zhí)行映像的工具鏈,可以安全地計(jì)算組件或?qū)ο笪募纳⒘兄?,并且安全地將?jì)算得到的TRV插入同一對(duì)象文件的恰當(dāng)區(qū)段。該計(jì)算可以作為鏈接過(guò)程的一部分來(lái)執(zhí)行。計(jì)算TRV散列的順序可以與加載和量度組件的順序匹配,否則有可能無(wú)法正確匹配量度值。該散列值可以被加載器得到或是包含在可執(zhí)行映像內(nèi)部。為了保持信任鏈,在這里可以安全地生成和/或存儲(chǔ)TRV。舉例來(lái)說(shuō),通過(guò)使用與諸如軟件/固件制造商的公鑰之類的公鑰相對(duì)應(yīng)的私鑰來(lái)對(duì)TRV值進(jìn)行簽名,可以保護(hù)TRV。組件對(duì)象文件可以包括單獨(dú)的用戶定義區(qū)段,以此作為如圖5所示的與之關(guān)聯(lián)的TRV的占位符。舉個(gè)例子,如圖5所示,組件目標(biāo)文件408的TRV可被計(jì)算并保存在組件TRV區(qū)段502中。區(qū)段報(bào)頭可以識(shí)別該區(qū)段的起始地址和/或尺寸,其中所述區(qū)段包括這里描述的用戶定義區(qū)段。在對(duì)象文件402上,鏈接器可以在符號(hào)解析階段結(jié)束時(shí)計(jì)算組件對(duì)象文件408的散列值,以及定位相應(yīng)的組件TRV區(qū)段502。該組件TRV可被插入到處于存儲(chǔ)器中的指定位置的可執(zhí)行映像(例如組件TRV區(qū)段)。區(qū)段報(bào)頭可以允許加載器在檢驗(yàn)處理過(guò)程中定位特定區(qū)段的TRV。這里描述的設(shè)備檢驗(yàn)可以關(guān)注于組件的完整性狀態(tài)。由于軟件的開發(fā)實(shí)踐有可能會(huì)隨著公司的不同而不同,因此有可能很難使關(guān)于發(fā)生故障的軟件的報(bào)告處理標(biāo)準(zhǔn)化。
在這里公開了用于將對(duì)照軟件執(zhí)行的功能來(lái)歸組組件的方式標(biāo)準(zhǔn)化的系統(tǒng)、方法和手段。通過(guò)將功能標(biāo)準(zhǔn)化,可以使其與標(biāo)準(zhǔn)規(guī)范相一致和/或采用與實(shí)施方式無(wú)關(guān)的方式。在這里可以為可被標(biāo)準(zhǔn)化的設(shè)備功能預(yù)先定義一個(gè)功能列表。通過(guò)使用功能與組件之間的關(guān)聯(lián),可以允許將完整性檢查期間發(fā)現(xiàn)的故障映射到特定功能以進(jìn)行報(bào)告,并且在圖6中描述了它的一個(gè)不例。如圖6所示,信任域602可以包括相互映射的組件和功能。例如,可信任域602可以包括高級(jí)功能604、中間功能606和/或可信環(huán)境(TrE)核心功能608。高級(jí)功能604可以包括功能610和功能612。中間功能606可以包括功能614和功能616。TrE核心功能608可以包括功能618,例如RoT。功能612可以映射到組件620和/或622,其中舉例來(lái)說(shuō),該組件可以是軟件組件。功能616可以映射到組件624,并且舉例來(lái)說(shuō),該組件同樣可以是軟件組件。功能618可以映射到組件626,其中舉例來(lái)說(shuō),該組件可以是固件組件。在對(duì)可信任域602執(zhí)行完整性檢查期間,在組件624上可能會(huì)確定一個(gè)故障。由于組件624映射到了功能616,因此可以確定網(wǎng)絡(luò)功能616同樣存在故障。由此,設(shè)備可以向網(wǎng)絡(luò)發(fā)送關(guān)于發(fā)生故障的功能616的指示,以便進(jìn)行補(bǔ)救。圖6的功能與組件之間的映射是作為執(zhí)行層映射而被示出的。作為圖6示出的實(shí)施例的替換或補(bǔ)充,組件與功能之間的映射可以具有一個(gè)以上的層??梢允褂镁哂袃蓚€(gè)以上的層的數(shù)據(jù)結(jié)構(gòu)(例如,其中一個(gè)層用于組件,另一個(gè)層用于功能)。在該結(jié)構(gòu)中,組件可被映射到一組子功能,并且子功能可以被映射到一組更高級(jí)的子功能。中間映射可以持續(xù)進(jìn)行,直至處于最終子功能層的子功能被映射至處于最終層的最終功能。樹或類似于樹的數(shù)據(jù)結(jié)構(gòu)可以是能夠獲取這種多層組件-功能映射關(guān)系的結(jié)構(gòu)的一個(gè)示例。開發(fā)者可以確定組件如何映射至標(biāo)準(zhǔn)化功能。根據(jù)一個(gè)實(shí)施例,可執(zhí)行映像可以包括組件-功能映射。舉例來(lái)說(shuō),這種映射可以在編譯時(shí)通過(guò)一個(gè)圖形工具來(lái)實(shí)現(xiàn),其中該圖形工具對(duì)編譯代碼或源代碼進(jìn)行解析,顯示了單個(gè)文件布局、文件中的函數(shù)相互依存性中的一項(xiàng)或多項(xiàng),以及允許將組件映射到功能。功能可以是文本字段和/或縮寫ID號(hào)碼,其中所述字段和/或號(hào)碼可以由用戶輸入和/或手動(dòng)映射到組件/文件。開發(fā)工具可以創(chuàng)建一個(gè)引用了組件-功能映射表的區(qū)段。組件名稱、功能名稱以及ID連同交叉引用的互連一起可以作為所述表的元素而被包含。圖7示出的是包含組件-功能映射的區(qū)段的一個(gè)示例。如圖7所示,功能-組件映射區(qū)段702可以作為對(duì)象文件402之類的對(duì)象文件的區(qū)段而被包含。此外,如這里所述,功能-組件映射區(qū)段702還可以鏈接到可執(zhí)行映像中的相應(yīng)分段。加載器的功能可以是將代碼從外部存儲(chǔ)器引入內(nèi)部存儲(chǔ)器。信任鏈可以依靠正由從RoT和引導(dǎo)加載器開始的先前階段核實(shí)的每一個(gè)已加載階段的代碼。第二階段的加載器可以核實(shí)下一個(gè)階段,所述下一個(gè)階段則可以包括可信環(huán)境核心以及OS加載器。一旦OS被初始化且正在運(yùn)行,則剩余的完整性檢查可以如這里所述由標(biāo)準(zhǔn)的OS加載器執(zhí)行。可執(zhí)行映像可以在沒有緩存的情況下被加載到RAM。這里公開的這些概念可以擴(kuò)展成包含更多具有附加修改且可執(zhí)行映像大于可用ROM的受限實(shí)施方式,例如使用緩沖存儲(chǔ)器以及直接從ROM執(zhí)行代碼。將代碼從外部引入內(nèi)部存儲(chǔ)器的加載器可以包括執(zhí)行密碼加密的完整性檢查的能力。所述完整性檢查回過(guò)來(lái)可以引用安全地保持在可信環(huán)境中的密碼加密功能。在正常的操作中,加載器可以將文本區(qū)段410之類的組合文本區(qū)段以及數(shù)據(jù)區(qū)段412之類的數(shù)據(jù)區(qū)段中的代碼和數(shù)據(jù)拷貝至鏈接器命令腳本和分段報(bào)頭信息定義的內(nèi)部存儲(chǔ)器。與批量加載文本區(qū)段410和數(shù)據(jù)區(qū)段412不同,加載器可以識(shí)別用戶定義的代碼和/或數(shù)據(jù)區(qū)段。這其中的一些補(bǔ)充區(qū)段信息可用于完整性檢查。加載器可以計(jì)算組件的完整性量度,然后將組件的TRV定位在與之關(guān)聯(lián)的區(qū)段。區(qū)段報(bào)頭可以提供區(qū)段的起始地址和大小。量度值可以與同一個(gè)組件的已存儲(chǔ)TRV相比較。如果值是匹配的,則可以將代碼加載到內(nèi)部存儲(chǔ)器。如果完整性量度不匹配,則不能加載代碼,并且可以為組件記錄故障和/或?qū)⒐收蠄?bào)告給策略管理器。每一個(gè)組件的加載器核實(shí)結(jié)果可以保存在表明該組件已被檢查的比特字段以及通過(guò)與否的比特指示中。在將全部代碼移至內(nèi)部存儲(chǔ)器時(shí),策略管理器可以基于已完成的完整性檢查結(jié)果來(lái)確定授予設(shè)備怎樣的訪問(wèn)。一種實(shí)現(xiàn)該處理的方式是規(guī)定加載器可以訪問(wèn)安全的存儲(chǔ)器位置來(lái)追蹤完整性結(jié)果。過(guò)程鏈接表(PLT)可以用附加信息元素增強(qiáng),以便追蹤是否檢查并核實(shí)了組件完整性,并且在每次將經(jīng)過(guò)檢查的組件加載到RAM的時(shí)候可以更新完整性檢查結(jié)果以及所述信息。在具有有限存儲(chǔ)器的嵌入式系統(tǒng)中,可以使用代碼調(diào)換。代碼調(diào)換可以包括將那些可能用于執(zhí)行的功能加載到RAM中。如果使用了子組件,那么可以在RAM中未提供所述子組件的情況下使用PLT和GOT表來(lái)定位其地址。子組件可以是具有相關(guān)聯(lián)的TRV的較大組件中的很小的部分。在加載子組件時(shí)對(duì)其進(jìn)行動(dòng)態(tài)檢查的系統(tǒng)中,在每次加載子組件的時(shí)候都可以使用關(guān)于整個(gè)組件的完整性檢查。這種需求有可能在系統(tǒng)上添加不必要的計(jì)算負(fù)擔(dān)。組件可以分成子組件,并且可以計(jì)算一個(gè)中間TRV,所述中間TRV可以用于檢查每一個(gè)子組件的完整性。此外,通過(guò)實(shí)施最小塊尺寸,可以計(jì)算出中間散列。這個(gè)生成子組件的TRV散列的過(guò)程可被稱為TRV分解(digestion)。例如,很小的子組件散列可以是基于存儲(chǔ)頁(yè)面塊大小計(jì)算的。舉例來(lái)說(shuō),這種將組件拆分成子組件的處理可以在對(duì)子組件執(zhí)行作為安裝或啟動(dòng)過(guò)程的一部分的完整性檢查的時(shí)候進(jìn)行。此外,通過(guò)增強(qiáng)G0T,可以包含每一個(gè)子組件的中間TRV。平臺(tái)完整性策略引擎(PIPE)可以是整個(gè)平臺(tái)的信任系統(tǒng)架構(gòu)的一部分。例如,PIPE可以防止下列各項(xiàng)中的一項(xiàng)或多項(xiàng):網(wǎng)絡(luò)受到攻擊、誤用設(shè)備、在平臺(tái)上以未經(jīng)授權(quán)的方式傳遞或操縱敏感數(shù)據(jù)。PIPE可以依靠諸如引導(dǎo)加載器、策略管理器和虛擬化組件之類的不同操作系統(tǒng)功能來(lái)控制和創(chuàng)建安全可信賴的平臺(tái)。所述PIPE可以控制不同的功能,這其中包括安全引導(dǎo)處理流程、關(guān)于軟件組件的完整性檢查量度的處理、依照策略的后續(xù)強(qiáng)制操作、和/或后續(xù)的軟件負(fù)載控制流程。這些策略可以由外部的利益相關(guān)者定義,例如制造商或運(yùn)營(yíng)商,并且是可以在設(shè)備上供應(yīng)的。此外,這些策略可以通過(guò)遠(yuǎn)程更新過(guò)程而在字段中被更新。PIPE可以通過(guò)下列各項(xiàng)中的一項(xiàng)或多項(xiàng)來(lái)減小加載受損軟件功能的風(fēng)險(xiǎn):受控軟件數(shù)據(jù)檢查和加載操作、漸進(jìn)式地安裝更多的功能能力、或者在運(yùn)行時(shí)保持組件的動(dòng)態(tài)加載。依照加載操作的進(jìn)度階段,所述操作可以包括下列各項(xiàng)中的一項(xiàng)或多項(xiàng):將平臺(tái)斷電;阻止加載一個(gè)或多個(gè)受損組件或是隔離一個(gè)或多個(gè)組件;觸發(fā)針對(duì)網(wǎng)絡(luò)中的安全網(wǎng)關(guān)或補(bǔ)救管理器之類的外部實(shí)體的警報(bào),以便通告低級(jí)故障或是受損功能;禁止訪問(wèn)平臺(tái)上的安全信息,例如驗(yàn)證密鑰等等;禁止訪問(wèn)平臺(tái)上的安全功能,例如驗(yàn)證算法等等;執(zhí)行批量代碼或數(shù)據(jù)重載/更新過(guò)程;替換受損的軟件組件和/或配置數(shù)據(jù);或者進(jìn)行更詳細(xì)的調(diào)查,包括以更高的細(xì)節(jié)粒度來(lái)對(duì)疑似受損的組件執(zhí)行完整性檢查,以便隔離組件中的故障位置。在一些情況中,故障有可能非常嚴(yán)重,以至于可信任環(huán)境由于核心TrE功能受損而不能保證平臺(tái)的信任度。低級(jí)故障有可能觸發(fā)諸如產(chǎn)生用可信根簽名的默認(rèn)警報(bào)消息之類的基本操作,其中可以包括完整性和回放保護(hù)以及機(jī)密性保護(hù)。換言之,一旦發(fā)生了嚴(yán)重的低級(jí)安全故障,則可以通過(guò)一個(gè)或多個(gè)可用通信信道來(lái)向網(wǎng)絡(luò)發(fā)布遇險(xiǎn)消息。由于所加載的功能已被構(gòu)建并且變得日益復(fù)雜,設(shè)備有可能執(zhí)行更復(fù)雜的操作,例如充當(dāng)代表網(wǎng)絡(luò)實(shí)體的安全可信賴代理,這樣做可以促成用于診斷、報(bào)告和/或替換受損軟件或配置數(shù)據(jù)的詢問(wèn)過(guò)程。依照成功核實(shí)的功能等級(jí),可以提供針對(duì)平臺(tái)上的資源的不同訪問(wèn)(例如由PIPE)。如果組件的完整性檢查失敗,那么它可能不是可信的。檢測(cè)到的這種故障可以被安全標(biāo)記并指示給網(wǎng)絡(luò)(顯性或隱性),并且引導(dǎo)流程有可能因?yàn)檫@個(gè)發(fā)生故障的狀況而出現(xiàn)分支。這種完整性檢查故障可被稱為執(zhí)行流故障,由此,經(jīng)過(guò)檢查的組件可能不是可信賴的,并且啟動(dòng)該組件有可能會(huì)導(dǎo)致執(zhí)行惡意的、受損的、有故障的或是錯(cuò)誤配置的代碼,而這有可能導(dǎo)致設(shè)備以非指定和/或非預(yù)期的方式執(zhí)行網(wǎng)絡(luò)功能。由此,新組件和可用功能的加載可能受到先前加載的組件的完整性的影響。結(jié)果,執(zhí)行環(huán)境有可能根據(jù)控制執(zhí)行過(guò)程和/或每一個(gè)引導(dǎo)階段以及每一個(gè)運(yùn)行時(shí)處的訪問(wèn)權(quán)限而改變。例如,在引導(dǎo)過(guò)程中的每一個(gè)階段可以基于在該時(shí)間產(chǎn)生的完整性量度來(lái)做出決定。后續(xù)的階段和策略可以使用通過(guò)任何超越了執(zhí)行階段的可用安全信息運(yùn)送或存儲(chǔ)手段而從先前階段傳遞的信息(狀態(tài)、變量、參數(shù)、寄存器、文件等等)來(lái)確定自己的操作。例如,上層應(yīng)用驗(yàn)證功能可以使用關(guān)于先前加載的組件的完整性的信息來(lái)確定自己的操作,其中包括選通釋放那些用于與例如外部實(shí)體進(jìn)行成功驗(yàn)證的密鑰。例示的PIPE功能流程可以采用這里描述的方式執(zhí)行。例如,在這里可以對(duì)RoT執(zhí)行完整性檢查,和/或其完整性可被核實(shí)。RoT可以對(duì)基線TrE執(zhí)行完整性檢查,和/或所述基線TrE的完整性可被核實(shí)。如果在對(duì)基線TrE進(jìn)行完整性檢查和/或核實(shí)中發(fā)生故障,那么PIPE可以阻止用于附著于網(wǎng)絡(luò)的密鑰的發(fā)布,觸發(fā)針對(duì)網(wǎng)絡(luò)的警報(bào),和/或?qū)⒃O(shè)備斷電。如果PIPE觸發(fā)針對(duì)網(wǎng)絡(luò)的警報(bào),則可以加載能向網(wǎng)絡(luò)發(fā)送警報(bào)的回退代碼。該警報(bào)可以觸發(fā)遠(yuǎn)程批量更新過(guò)程,以便替換TrE。如果在對(duì)基線TrE的完整性檢查和/或核實(shí)中沒有發(fā)生故障,那么可以加載基本的通信連接代碼。這其中可以包括執(zhí)行完整性檢查以及加載基線操作系統(tǒng)模塊、執(zhí)行完整性檢查以及加載基線管理客戶端、和/或執(zhí)行完整性檢查以及加載通信模塊。如果在檢查操作系統(tǒng)模塊、基線管理客戶端和/或通信模塊的完整性的同時(shí)識(shí)別出故障,那么PIPE可以阻止用于附著到網(wǎng)絡(luò)的密鑰的發(fā)布,觸發(fā)針對(duì)網(wǎng)絡(luò)的警報(bào),通過(guò)執(zhí)行遠(yuǎn)程批量過(guò)程來(lái)替換組件,執(zhí)行遠(yuǎn)程組件更新過(guò)程,和/或?qū)⒃O(shè)備斷電。如果PIPE觸發(fā)遠(yuǎn)程批量更新過(guò)程,那么可以加載一個(gè)能夠向網(wǎng)絡(luò)發(fā)送警報(bào)的回退代碼。該警報(bào)可以觸發(fā)遠(yuǎn)程批量更新過(guò)程,以便替換基本代碼。如果在對(duì)基本通信連接代碼的完整性檢查和/或核實(shí)中沒有出現(xiàn)故障,那么可以對(duì)剩余的操作系統(tǒng)及管理客戶端組件執(zhí)行完整性檢查和/或加載這些組件。這其中可以包括執(zhí)行完整性檢查和/或加載可重新定位和/或重新加載的功能模塊。如果在完整性檢查期間識(shí)別出故障,那么PIPE可以阻止釋放用于附著到網(wǎng)絡(luò)的密鑰,向網(wǎng)絡(luò)發(fā)送依照協(xié)議的故障報(bào)告,觸發(fā)警報(bào)和/或請(qǐng)求遠(yuǎn)程更新組件過(guò)程,和/或?qū)⒃O(shè)備斷電。所述故障報(bào)告可以指示發(fā)生故障的組件,該組件例如可以由網(wǎng)絡(luò)遠(yuǎn)程更新。PIPE的操作可以根據(jù)成功核實(shí)的引導(dǎo)鏈而改變。在引導(dǎo)過(guò)程的每一個(gè)階段都可以基于為在該時(shí)間(或是到該時(shí)間)被執(zhí)行了完整性檢查的部分或全部底層平臺(tái)評(píng)定的完整性以及所應(yīng)用的策略來(lái)做出決定。這些策略可以根據(jù)所實(shí)現(xiàn)的信任等級(jí)而適配或被其他策略替換。執(zhí)行環(huán)境可以根據(jù)每一個(gè)引導(dǎo)階段的控制策略而改變。后續(xù)的階段和/或策略可以使用通過(guò)超越了執(zhí)行階段的可用安全信息運(yùn)送或存儲(chǔ)手段而從先前階段傳遞的信息(例如狀態(tài)、變量、參數(shù)、寄存器、文件等等)。舉例來(lái)說(shuō),如這里所述,PIPE可以在平臺(tái)上規(guī)定策略,其中所述策略可以根據(jù)如圖8所示的所實(shí)現(xiàn)的平臺(tái)初啟和信任狀態(tài)的等級(jí)而進(jìn)行適配或改變。如圖8所示,依照相應(yīng)的策略812,可以對(duì)TrE802執(zhí)行完整性檢查、以及加載和/或執(zhí)行所述TrE802。在將TrE802確定成是可信實(shí)體并且執(zhí)行所述TrE802之后,設(shè)備可以移動(dòng)到引導(dǎo)序列的下一個(gè)階段。例如,在這里可以依照策略814來(lái)對(duì)能力804執(zhí)行完整性檢查、以及加載和/或執(zhí)行所述能力804。關(guān)于能力804的完整性檢查、加載或執(zhí)行可以基于與TrE802的完整性檢查、加載和/或執(zhí)行相關(guān)聯(lián)的信息(例如信任狀態(tài))。在引導(dǎo)序列先前階段中實(shí)施的策略812可以向在關(guān)于能力904的完整性檢查、加載和/或執(zhí)行期間實(shí)施的策略814發(fā)出通知。在將能力804確定成是可信實(shí)體并且執(zhí)行了所述能力804之后,該設(shè)備可以移動(dòng)到引導(dǎo)序列的下一個(gè)階段。該引導(dǎo)序列可以通過(guò)依照相應(yīng)的策略816、818和820分別檢查、加載和/或執(zhí)行能力806、808和810而繼續(xù)進(jìn)行。如這里所述,引導(dǎo)序列的每一個(gè)階段可以由引導(dǎo)序列中的一個(gè)或多個(gè)先前階段通知。這里描述的策略可以由運(yùn)營(yíng)商之類的可信外部實(shí)體規(guī)定。所實(shí)現(xiàn)平臺(tái)信任狀態(tài)的結(jié)果可被傳遞到外部實(shí)體,其中舉例來(lái)說(shuō),所述外部實(shí)體有合法的興趣/權(quán)利來(lái)了解平臺(tái)的信任狀態(tài),諸如敏感應(yīng)用或服務(wù)的運(yùn)營(yíng)商或提供者。應(yīng)該指出的是,對(duì)于可以在啟動(dòng)或平臺(tái)工作循環(huán)中的不同階段評(píng)定的有關(guān)平臺(tái)可能的不同狀態(tài)的信息來(lái)說(shuō),這些信息可被傳遞到一個(gè)以上的外部實(shí)體。多層完整性檢查以及將這種完整性檢查綁定到平臺(tái)信任狀態(tài)的處理可以采用這里描述的方式執(zhí)行。例如,這種完整性檢查和綁定可以使用多層完整性檢查,以便通過(guò)策略和強(qiáng)制執(zhí)行來(lái)確保設(shè)備上的密鑰驗(yàn)證設(shè)備實(shí)現(xiàn)的能力(例如針對(duì)網(wǎng)絡(luò)上的服務(wù)器之類的外部核實(shí)器且執(zhí)行補(bǔ)救任務(wù)的設(shè)備補(bǔ)救功能)。如果某個(gè)用于實(shí)現(xiàn)預(yù)期能力的預(yù)先已知的軟件和/或配置文件集合通過(guò)了完整性檢查,那么使用這種密鑰來(lái)進(jìn)行驗(yàn)證的安全敏感功能對(duì)于設(shè)備而言將會(huì)是可用的。舉例來(lái)說(shuō),這種軟件和/或配置文件可以包括低級(jí)OS功能、驅(qū)動(dòng)、配置文件和/或通信堆棧代碼的某個(gè)子集。多層完整性檢查以及完整性檢查綁定還可以包括用于保護(hù)驗(yàn)證密鑰的策略,由此可以將密鑰限制成只供已授權(quán)功能或過(guò)程使用。如果密鑰未受保護(hù),那么軟件有可能受損害以訪問(wèn)該密鑰。通過(guò)提供可信功能,設(shè)備可以:對(duì)密鑰進(jìn)行保護(hù),以使其僅限于供有限集合的能力、功能或單個(gè)功能使用;保護(hù)對(duì)密鑰執(zhí)行操作的功能/程序;和/或限制可以調(diào)用這其中的某個(gè)特許功能的對(duì)象(例如用戶、系統(tǒng)、腳本等等)。這里描述的關(guān)于多層完整性檢查和綁定的實(shí)施例可以包括一組預(yù)先已知的軟件,這些軟件可以用于允許可能受損的設(shè)備向外部實(shí)體驗(yàn)證其部分能力(例如其報(bào)告故障以及與補(bǔ)救服務(wù)器或是用于此類服務(wù)器的AAA實(shí)體一起執(zhí)行補(bǔ)救操作的能力)。外部實(shí)體(例如補(bǔ)救服務(wù)器)可以是一個(gè)邏輯實(shí)體,并且可以由設(shè)備管理服務(wù)器托管,其中對(duì)于H(e)NB來(lái)說(shuō),所述外部實(shí)體是H(e)MS。為了提供用于規(guī)定與特定平臺(tái)上的實(shí)際實(shí)施方式無(wú)關(guān)的策略的機(jī)制,在這里可以通過(guò)規(guī)定特定平臺(tái)能力所需要的功能來(lái)定義這些策略。由此,與特定能力相對(duì)應(yīng)的策略也可以采用與這里公開的組件-功能映射相似的方式映射到功能。外部利益相關(guān)者可以將關(guān)于特定能力的策略規(guī)定給單個(gè)功能或若干個(gè)功能。而PIPE則可以在將能力映射到特定策略以及映射到平臺(tái)初啟階段的過(guò)程中負(fù)責(zé)解釋策略需求。如果某個(gè)能力使用了某組功能,那么可以為指定給該能力的相應(yīng)策略規(guī)定這些功能。舉個(gè)例子,如果希望將執(zhí)行補(bǔ)救的能力映射到某個(gè)策略,那么可以將用于執(zhí)行補(bǔ)救的功能映射到相應(yīng)的策略,例如,修補(bǔ)能力可以被功能1、2和3覆蓋,從而規(guī)定將相應(yīng)的策略映射到功能1、2和3。對(duì)于一些實(shí)施方式來(lái)說(shuō),在分層的平臺(tái)初啟與能力和功能之間存在著合理的相關(guān)等級(jí)。這些能力可以是隨著功能一層一層地漸進(jìn)式初啟的。例如,在平臺(tái)初啟的較早階段即可初啟補(bǔ)救功能和能力。多層完整性檢查可不按順序確定不同功能的已檢查-未檢查狀態(tài)。這些功能可以是依照順序方式檢查的。然而,由于不同的功能可被映射到不同的組件(隨后可以在不同的階段加載這些組件),因此,依照功能的完整性確定處理有可能會(huì)以非順序方式執(zhí)行,或者以一種可不與依照組件的完整性檢查的原子處理序列同步(在時(shí)間長(zhǎng)度或時(shí)間順序方面)的順序方式執(zhí)行。序列化可被用于策略實(shí)施。策略實(shí)施可以為給定的平臺(tái)能力確定相應(yīng)的功能是否通過(guò)了完整性檢查和/或是否應(yīng)該應(yīng)用策略。多范圍驗(yàn)證可以允許平臺(tái)基于所實(shí)現(xiàn)的平臺(tái)信任等級(jí)來(lái)向一個(gè)或多個(gè)外部實(shí)體進(jìn)行驗(yàn)證。該驗(yàn)證機(jī)制(例如驗(yàn)證詢問(wèn)響應(yīng)機(jī)制)可被用作一種將最終得到的設(shè)備完整性范圍傳達(dá)給外部實(shí)體的手段。所述外部實(shí)體可以驗(yàn)證并且同時(shí)獲取關(guān)于設(shè)備完整性范疇/范圍的指示。在經(jīng)歷多層完整性檢查的同時(shí),設(shè)備的TrE可以生成用于驗(yàn)證詢問(wèn)響應(yīng)的不同參數(shù)或參數(shù)值,以便用于不同的目的。根據(jù)成功的完整性檢查的范圍,這種生成參數(shù)的處理可以基于或使用與外部驗(yàn)證實(shí)體共享的相同的秘密證書。所使用的可以是常見的詢問(wèn)-響應(yīng)計(jì)算算法。然而,根據(jù)完整性檢查的范圍和/或驗(yàn)證目的,至這種算法的輸入可能是不同的。舉個(gè)例子,如果TrE成功檢查了整個(gè)代碼庫(kù),那么可以使用諸如“已成功檢查整個(gè)代碼庫(kù)(entire code basis successfully checked)”之類的文本串作為驗(yàn)證詢問(wèn)響應(yīng)計(jì)算算法的輸入。如果TrE成功檢查了用于實(shí)現(xiàn)遇險(xiǎn)補(bǔ)救功能的組件,但是未必檢查了整個(gè)代碼庫(kù),那么可以使用諸如“已成功檢查用于遇險(xiǎn)補(bǔ)救的代碼庫(kù)(code base for distressremediation successfully checked)”之類的另一個(gè)字串。一旦向設(shè)備發(fā)送了其驗(yàn)證詢問(wèn)請(qǐng)求,則外部驗(yàn)證器還可以計(jì)算兩個(gè)版本的“預(yù)期”詢問(wèn)響應(yīng)。由于其可能不知道在計(jì)算設(shè)備上計(jì)算詢問(wèn)響應(yīng)的過(guò)程中使用的輸入,因此,它有可能需要同時(shí)計(jì)算所有這兩個(gè)版本的響應(yīng)。通過(guò)將接收自設(shè)備的響應(yīng)與預(yù)期響應(yīng)集合相比較,外部驗(yàn)證器可以隱性地成功測(cè)試出設(shè)備完整性“范圍”。通過(guò)歸納,實(shí)體可以驗(yàn)證和/或核實(shí)在設(shè)備端成功檢查了設(shè)備完整性的某個(gè)“范圍”。在以上的示例中可以使用相同或相似的實(shí)施方式來(lái)驗(yàn)證設(shè)備的另一個(gè)特定(例如部分)能力,這一點(diǎn)取決于對(duì)功能進(jìn)而是用于實(shí)現(xiàn)該功能的組件所進(jìn)行的完整性檢查。舉個(gè)例子,可被核實(shí)信任度的外部指示可以是在安全引導(dǎo)處理期間將代碼的完整性量度綁定到特定的引導(dǎo)循環(huán)執(zhí)行和配置簽名的受保護(hù)的簽名證書版本。在這里可以包括安全的時(shí)間戳、受保護(hù)的依照引導(dǎo)循環(huán)遞增的單調(diào)計(jì)數(shù)器、或引導(dǎo)循環(huán)秘密(例如現(xiàn)時(shí)(nonce)之類的在每個(gè)引導(dǎo)循環(huán)中生成或引入一次的隱藏隨機(jī)值)。當(dāng)滿足前提條件時(shí),驗(yàn)證密鑰將會(huì)變得可用,并且當(dāng)前的可信賴處理將會(huì)設(shè)置逐次引導(dǎo)的受保護(hù)一次性可編程“通過(guò)”標(biāo)記,其中該標(biāo)記可被限制成在下一次復(fù)位之前恢復(fù)至發(fā)生故障的狀況(例如檢測(cè)到初始量度之后的故障的時(shí)候)。在發(fā)布給外部實(shí)體之前,諸如TrE之類的永久性可信任環(huán)境(例如進(jìn)入運(yùn)行時(shí)而不僅僅是引導(dǎo)時(shí))可以使用驗(yàn)證協(xié)議現(xiàn)時(shí)來(lái)對(duì)狀態(tài)信息進(jìn)行簽名。所述報(bào)告的區(qū)段可以由通過(guò)永久性核實(shí)的可信賴處理使用臨時(shí)引導(dǎo)密鑰來(lái)簽名,由此,以后的處理可以將該狀態(tài)呈現(xiàn)給外部實(shí)體,以便進(jìn)行檢驗(yàn)。在這里可以使用在驗(yàn)證協(xié)議中交換的一個(gè)或多個(gè)經(jīng)過(guò)修改的隨機(jī)現(xiàn)時(shí),并且這種經(jīng)過(guò)修改的現(xiàn)時(shí)可被用作詢問(wèn)響應(yīng)以及所預(yù)期的詢問(wèn)響應(yīng)計(jì)算的輸入。換言之,在設(shè)備本身,設(shè)備的TrE可以嘗試以常規(guī)方式使用在響應(yīng)計(jì)算輸入(例如在通過(guò)了完整性檢查的情況下)中從驗(yàn)證服務(wù)器接收的一個(gè)或多個(gè)隨機(jī)現(xiàn)時(shí)來(lái)計(jì)算其驗(yàn)證響應(yīng)。如果關(guān)于整個(gè)設(shè)備的完整性檢查失敗,但是設(shè)備部分功能的完整性檢查成功,例如“遇險(xiǎn)/補(bǔ)救功能”的完整性檢查成功,那么TrE可以計(jì)算該響應(yīng)的另一個(gè)值,此時(shí)使用的將會(huì)是所接收的現(xiàn)時(shí)的修改版本。驗(yàn)證服務(wù)器可以知道在哪里/如何執(zhí)行這種修改。關(guān)于這種修改的示例可以包括:改變初始現(xiàn)時(shí)中的已知位置的一個(gè)或多個(gè)比特。這樣一來(lái),除了計(jì)算初始的“設(shè)備驗(yàn)證”響應(yīng)之外,設(shè)備和驗(yàn)證服務(wù)器都可以使用經(jīng)過(guò)修改的現(xiàn)時(shí)輸入來(lái)計(jì)算響應(yīng)。在接收機(jī)上(例如驗(yàn)證服務(wù)器),服務(wù)器可以檢查它從設(shè)備接收的響應(yīng)是否與“設(shè)備驗(yàn)證”響應(yīng)相匹配。如果它們不匹配,則與聲明驗(yàn)證徹底失敗不同,驗(yàn)證服務(wù)器可以將接收到的響應(yīng)與使用經(jīng)過(guò)修改的現(xiàn)時(shí)計(jì)算的另一個(gè)響應(yīng)值相比較。如果它們匹配,那么驗(yàn)證服務(wù)器可以確定雖然設(shè)備整體可能沒有通過(guò)驗(yàn)證,但是某些功能是可以通過(guò)驗(yàn)證的,例如本示例中的“遇險(xiǎn)/補(bǔ)救功能”。在安全引導(dǎo)處理期間,通過(guò)對(duì)照相應(yīng)的TRV來(lái)比較每一個(gè)軟件組件,設(shè)備可以獲悉組件的完整性故障,這樣做有助于確保組件的比特精度以及源的真實(shí)性。檢測(cè)到的組件檢查故障可以在完整性檢查狀態(tài)信息元素中獲取。出于安全性目的以及出于對(duì)報(bào)告和診斷效率的考慮,該狀態(tài)數(shù)據(jù)的結(jié)構(gòu)可以采用多種形式。該信息可以被支持策略管理過(guò)程的當(dāng)前和后續(xù)引導(dǎo)階段以及運(yùn)行時(shí)進(jìn)程讀取。組件-功能映射可以用于確定組件與網(wǎng)絡(luò)功能以及設(shè)備的其他功能的依存關(guān)系。功能可以是網(wǎng)絡(luò)運(yùn)營(yíng)商之類的連接實(shí)體或是移動(dòng)支付之類的設(shè)備支持的增值應(yīng)用所依靠的功能。運(yùn)營(yíng)商和/或應(yīng)用服務(wù)提供者可以定義哪些功能可被用于針對(duì)特定任務(wù)的可信設(shè)備操作,例如承載業(yè)務(wù)量、補(bǔ)救、管理操作或增值應(yīng)用特征,并且可以在設(shè)備上設(shè)置用于表明哪些功能可用于特定網(wǎng)絡(luò)操作的策略。一組網(wǎng)絡(luò)功能可以來(lái)自網(wǎng)絡(luò)運(yùn)營(yíng)商和/或應(yīng)用服務(wù)供應(yīng)商所預(yù)期的標(biāo)準(zhǔn)能力集合。這些功能可以包括無(wú)線電技術(shù)、協(xié)議堆棧中的層、網(wǎng)絡(luò)協(xié)議、管理能力、安全和信任機(jī)制、增值應(yīng)用特征等等。設(shè)備的策略管理器可以使用顯示了依照設(shè)備組件的網(wǎng)絡(luò)功能依存關(guān)系的嵌入式組件-功能表或映射(如這里所述)。在圖9中顯示了在完整性檢查和/或報(bào)告期間使用這種組件-功能表或映射的處理。如圖9所示,在910,設(shè)備可以通過(guò)使用相應(yīng)的TRV904檢查組件902的完整性量度來(lái)執(zhí)行完整性檢查。在執(zhí)行了完整性檢查之后,在916,設(shè)備策略管理實(shí)體908可以接收到一個(gè)或多個(gè)已經(jīng)經(jīng)過(guò)了完整性檢查的組件的組件標(biāo)識(shí)符(例如組件地址),并且會(huì)在918接收到關(guān)于每一個(gè)組件是否通過(guò)完整性檢查的指示。該策略管理實(shí)體908可以確定與組件相關(guān)聯(lián)的相應(yīng)功能,以便發(fā)送至網(wǎng)絡(luò)實(shí)體。舉例來(lái)說(shuō),發(fā)生故障且需要補(bǔ)救的功能可被發(fā)送,或者可以發(fā)送關(guān)于已被檢驗(yàn)的功能的指示。例如,策略管理實(shí)體908可以使用處于920的組件地址來(lái)檢索處于922且與所給出的組件相對(duì)應(yīng)的組件標(biāo)識(shí)符。如圖9所示,組件標(biāo)識(shí)符可以是從表906中檢索的,其中所述表包含了組件地址到組件標(biāo)識(shí)符的映射。策略管理實(shí)體908可以使用處于924的組件標(biāo)識(shí)符來(lái)檢索處于926且與所給出的組件相對(duì)應(yīng)的組件功能。這些組件功能可以是從表912中檢索的,其中所述表包含了組件標(biāo)識(shí)符-組件功能的映射。在932,策略管理實(shí)體908可以使用所確定的功能(例如通過(guò)或未能通過(guò)完整性檢查)來(lái)與網(wǎng)絡(luò)實(shí)體進(jìn)行交互。例如,策略管理實(shí)體可以執(zhí)行完整性報(bào)告,接收設(shè)備策略,或者接收與所確定的一個(gè)或多個(gè)功能相對(duì)應(yīng)的操作和/或限制。每一功能可與一個(gè)或多個(gè)策略930相關(guān)聯(lián)。所收集的一個(gè)或多個(gè)功能可以一起啟用設(shè)備內(nèi)部的特定功能。這些能力可以是分層次的。例如,基礎(chǔ)層能力可以是下一個(gè)能力層的子集,該下一個(gè)能力層則是接下來(lái)的能力層的子集等等。將能力分層的處理可以反映典型的以層或信任鏈為基礎(chǔ)的安全引導(dǎo)序列。層可以是能夠?qū)崿F(xiàn)特定能力的功能的任意組合,或者它也可以是分層的層次與特定功能組合的混合組合。策略管理實(shí)體908可以使用處于928的組件映射功能來(lái)檢索處于930且與給定能力相對(duì)應(yīng)的一個(gè)或多個(gè)策略。這些策略可以是從表914中檢索的,其中所述表包括能力與不同策略的映射。如932所示,這些策略可以是從網(wǎng)絡(luò)實(shí)體接收的。發(fā)生故障的組件可能導(dǎo)致出現(xiàn)一個(gè)或多個(gè)發(fā)生故障的功能。軟件開發(fā)和構(gòu)建工具嵌入的組件-功能映射信息可以在確定功能的完整性檢查故障量度的過(guò)程中為策略管理器提供支持,并且由此支持以標(biāo)準(zhǔn)化的方式報(bào)告可能與設(shè)備和制造商方面的實(shí)施方式無(wú)關(guān)的故障,例如驗(yàn)證功能或基帶無(wú)線電協(xié)議堆棧故障。在設(shè)備上,該信息可以可被保護(hù)免于修改,這一點(diǎn)是由不可變的可信根(RoT)保證的。策略管理進(jìn)程可以在引導(dǎo)和運(yùn)行時(shí)環(huán)境中使用該信息。通過(guò)使用完整性檢查處理的結(jié)果,設(shè)備上的策略管理進(jìn)程可以確定哪一個(gè)網(wǎng)絡(luò)功能發(fā)生故障。在加載器檢查代碼的時(shí)候,組件可以用一個(gè)在引導(dǎo)時(shí)間期間可用的引用(例如符號(hào)表或存儲(chǔ)地址)來(lái)識(shí)別。在核實(shí)了完整性和源的真實(shí)性之前,被檢查的代碼可被隔離,以免在可執(zhí)行存儲(chǔ)器中使用。同樣,從加載、檢查被檢查的代碼時(shí)起以及在執(zhí)行過(guò)程中,所述被檢查的代碼可以受到保護(hù)(例如通過(guò)以受保護(hù)的方式執(zhí)行和存儲(chǔ),硬件保護(hù),密碼加密保護(hù),虛擬化等等)。通過(guò)修改存儲(chǔ)器映射、訪問(wèn)權(quán)限等等,可以阻止執(zhí)行過(guò)程。作為在圖9的表906和912中示出的示例,處于地址位置X的代碼可以對(duì)應(yīng)于組件A,所述組件可以映射到網(wǎng)絡(luò)功能F1、F5和F14。舉例來(lái)說(shuō),這個(gè)代碼可以是一個(gè)原始的散列函數(shù),并且有若干個(gè)通信協(xié)議是依賴于該函數(shù)的。完整性報(bào)告和補(bǔ)救有可能依賴于發(fā)生故障的基元。因此,在網(wǎng)絡(luò)標(biāo)準(zhǔn)化列表中可以包含這些完整性報(bào)告和補(bǔ)救功能,以此作為底層的支持功能。功能故障的標(biāo)準(zhǔn)化列表可以向網(wǎng)絡(luò)提供關(guān)于設(shè)備能力的細(xì)粒度信息。對(duì)于遠(yuǎn)端設(shè)備來(lái)說(shuō),可靠地理解設(shè)備所能實(shí)現(xiàn)的功能有助于應(yīng)用資源來(lái)補(bǔ)救問(wèn)題。在遇險(xiǎn)情況下,如果有能力以安全和有保證的方式指示故障,從而使得網(wǎng)絡(luò)可以檢驗(yàn)遇險(xiǎn)指示本身(例如源、時(shí)間和精度)的完整性,那么可以防止在虛假警報(bào)的情況下不必要地使用昂貴的網(wǎng)絡(luò)資源。圖10提供的是包含了例示系統(tǒng)組件的報(bào)告和補(bǔ)救系統(tǒng)的例示綜述。如圖10所示,在1002,在設(shè)備1004的組件上檢測(cè)到故障。該故障可被指示給網(wǎng)絡(luò)。例如,在1008,所述故障可以包含在報(bào)告給網(wǎng)絡(luò)的設(shè)備報(bào)告1006中。舉例來(lái)說(shuō),該故障可被指示成是與發(fā)生故障的組件相關(guān)聯(lián)的發(fā)生故障的網(wǎng)絡(luò)功能。在向網(wǎng)絡(luò)報(bào)告故障時(shí),網(wǎng)絡(luò)可以做出關(guān)于訪問(wèn)控制的細(xì)粒度決定。例如,網(wǎng)絡(luò)平臺(tái)檢驗(yàn)實(shí)體1010可以基于所報(bào)告的功能檢查報(bào)告1006來(lái)允許禁止訪問(wèn)、局部訪問(wèn)或是完全訪問(wèn)。在1016,設(shè)備1004可以接收訪問(wèn)決定。如果在設(shè)備報(bào)告1006中指示了故障,那么網(wǎng)絡(luò)平臺(tái)檢驗(yàn)實(shí)體可以將功能報(bào)告?zhèn)魉徒o設(shè)備管理服務(wù)器1012,所述服務(wù)器可以從功能-組件映射信息1014中確定一個(gè)或多個(gè)發(fā)生故障的組件。該信息可以用于補(bǔ)救設(shè)備1004,以及重新加載設(shè)備1004中發(fā)生故障的軟件組件。例如,設(shè)備管理服務(wù)器1012可以在1018詢問(wèn)設(shè)備1004,以便窄化與發(fā)生故障的組件相關(guān)聯(lián)的發(fā)生故障的功能的范圍。在將完整性故障隔離到設(shè)備1004的某個(gè)區(qū)段以便實(shí)施有效補(bǔ)救之后,設(shè)備管理服務(wù)器1012可以在1020請(qǐng)求軟件更新(例如替換組件),例如從代碼構(gòu)建發(fā)布實(shí)體1022請(qǐng)求。設(shè)備管理服務(wù)器1012可以在1024向設(shè)備1004提供軟件更新,以便補(bǔ)救發(fā)生故障的組件。這種制造商設(shè)備上的特定故障代碼的抽象形式將會(huì)減小運(yùn)營(yíng)商緊密了解設(shè)備(與之相連)的負(fù)擔(dān),但是與此同時(shí)還可以允許基于發(fā)生故障的功能的粒狀訪問(wèn)控制及補(bǔ)救決定。執(zhí)行流程故障有可能是在處理鏈中調(diào)用的組件的故障。組件的執(zhí)行可以保持很高的確信等級(jí),同時(shí)擴(kuò)展設(shè)備的能力。在當(dāng)前已被核實(shí)的處理檢查下一個(gè)處理的代碼(并且有可能檢查設(shè)備配置)的完整性并且發(fā)現(xiàn)其出現(xiàn)故障的時(shí)候,這時(shí)有可能檢測(cè)到執(zhí)行流程故障。后續(xù)引導(dǎo)代碼中的故障有可能意味著當(dāng)前可信處理可以執(zhí)行下列各項(xiàng)中的一項(xiàng)或多項(xiàng):將當(dāng)前狀態(tài)鎖定成最后一個(gè)已知的良好狀態(tài);指示故障;將對(duì)于處理的控制保持在等待模式中;將控制權(quán)傳遞到遇險(xiǎn)處理;和/或?qū)⒖刂茩?quán)傳遞到不可信賴的處理。用于發(fā)生故障的階段的驗(yàn)證和身份密鑰可被鎖定來(lái)避免進(jìn)一步處理,以使不可信賴的處理無(wú)法通過(guò)報(bào)告(例如帶簽名的狀態(tài))或是驗(yàn)證技術(shù)(例如自主檢驗(yàn))來(lái)向網(wǎng)絡(luò)指示有效狀態(tài)。出于對(duì)效率的考慮,從設(shè)備發(fā)送到網(wǎng)絡(luò)的故障報(bào)告可以包括用于提示來(lái)自運(yùn)營(yíng)商網(wǎng)絡(luò)檢驗(yàn)功能的操作以執(zhí)行細(xì)粒度網(wǎng)關(guān)訪問(wèn)控制以及向網(wǎng)絡(luò)設(shè)備管理實(shí)體指示設(shè)備故障的最低限度的信息量。管理實(shí)體可以通過(guò)查看制造商專用信息來(lái)確定故障的根本原因,以及確定哪些代碼可被補(bǔ)救。該管理實(shí)體可以向網(wǎng)絡(luò)檢驗(yàn)功能反向提供進(jìn)一步的信息,以便允許實(shí)體做出關(guān)于訪問(wèn)控制和/或補(bǔ)救的進(jìn)一步策略決定。在下表I中描述了可以包含在故障報(bào)告中的發(fā)生故障的功能的例示集合。
權(quán)利要求
1.一種方法,該方法包括: 對(duì)關(guān)聯(lián)于無(wú)線通信設(shè)備的組件執(zhí)行第一完整性檢查; 確定該組件未能通過(guò)所述第一完整性檢查; 向網(wǎng)絡(luò)實(shí)體發(fā)送對(duì)與發(fā)生故障的所述組件相對(duì)應(yīng)的功能的指示; 從所述網(wǎng)絡(luò)實(shí)體接收對(duì)所述發(fā)生故障的組件執(zhí)行第二完整性檢查以便確定所述發(fā)生故障的組件中導(dǎo)致該組件未能通過(guò)所述第一完整性檢查的部分的請(qǐng)求;以及 對(duì)所述發(fā)生故障的組件執(zhí)行所述第二完整性檢查,以便隔離所述發(fā)生故障的組件的所述部分,從而由所述網(wǎng)絡(luò)實(shí)體進(jìn)行補(bǔ)救。
2.根據(jù)權(quán)利要求1所述的方法,該方法還包括: 向所述網(wǎng)絡(luò)實(shí)體發(fā)送對(duì)與所述發(fā)生故障的組件中導(dǎo)致該組件未能通過(guò)所述第一完整性檢查的部分相對(duì)應(yīng)的功能的指示; 從所述網(wǎng)絡(luò)實(shí)體接收對(duì)所述發(fā)生故障的組件的所述部分執(zhí)行一次或多次所述第二完整性檢查迭代的請(qǐng)求;以及 對(duì)所述發(fā)生故障的組件的所述部分執(zhí)行一次或多次所述第二完整性檢查迭代,以便進(jìn)一步隔離所述發(fā)生故障的組件的所述部分,以便由所述網(wǎng)絡(luò)實(shí)體進(jìn)行補(bǔ)救。
3.根據(jù)權(quán)利要求1所述的方法,其中所述指示包括警報(bào),該警報(bào)被配置成觸發(fā)與所述網(wǎng)絡(luò)實(shí)體進(jìn)行的遠(yuǎn)程更新過(guò)程,以便替換所述發(fā)生故障的組件的所述部分。
4.根據(jù)權(quán)利要求1所述的方法,該方法還包括:基于保存在所述無(wú)線通信設(shè)備處的組件-功能映射來(lái)確定與所述發(fā)生故障的組件相對(duì)應(yīng)的功能。
5.根據(jù)權(quán)利要求1所述的方法,其中所述指示被安全地發(fā)送至所述網(wǎng)絡(luò)實(shí)體。
6.根據(jù)權(quán)利要求1所述的方法,其中確定所述組件未能通過(guò)所述第一次完整性檢查還包括: 確定與所述組件相關(guān)聯(lián)的完整性量度; 將該完整性量度與關(guān)聯(lián)于所述組件的可信基準(zhǔn)值相比較;以及 確定所述完整性量度與所述可信基準(zhǔn)值不匹配。
7.根據(jù)權(quán)利要求1所述的方法,該方法還包括: 接收與所述發(fā)生故障的組件的所述部分相關(guān)聯(lián)的替換組件;以及 用所述替換組件來(lái)替換所述發(fā)生故障的組件的所述部分。
8.根據(jù)權(quán)利要求7所述的方法,其中所述發(fā)生故障的組件的所述部分是用使用了其他通過(guò)了所述第一完整性檢查的與所述網(wǎng)絡(luò)設(shè)備相關(guān)聯(lián)的組件的替換組件來(lái)替換的。
9.根據(jù)權(quán)利要求1所述的方法,該方法還包括:在所述確定所述組件未能通過(guò)所述第一完整性檢查時(shí),阻止釋放用于附著于所述網(wǎng)絡(luò)實(shí)體的密鑰。
10.根據(jù)權(quán)利要求1所述的方法,其中所述發(fā)生故障的組件是在多階段的安全引導(dǎo)處理期間確定的。
11.根據(jù)權(quán)利要求1所述的方法,其中所述網(wǎng)絡(luò)實(shí)體包括設(shè)備補(bǔ)救服務(wù)器,并且其中所述指示被直接地或者經(jīng)由網(wǎng)絡(luò)發(fā)送到所述設(shè)備補(bǔ)救服務(wù)器。
12.根據(jù)權(quán)利要求1所述的方法,其中所述第一完整性檢查和所述第二完整性檢查是在可信任環(huán)境中執(zhí)行的。
13.根據(jù)權(quán)利要求1所述的方法,其中所述功能與將基于所述第一完整性檢查的結(jié)果來(lái)應(yīng)用的網(wǎng)絡(luò)策略相關(guān)聯(lián)。
14.根據(jù)權(quán)利要求1所述的方法,其中所述功能通過(guò)與至少一個(gè)其他無(wú)線通信設(shè)備上的至少一個(gè)其他組件相關(guān)聯(lián)而在多個(gè)無(wú)線通信設(shè)備上被標(biāo)準(zhǔn)化。
15.—種系統(tǒng),該系統(tǒng)包括: 加載器,被配置成:對(duì)與無(wú)線通信設(shè)備相關(guān)聯(lián)的組件執(zhí)行第一完整性檢查;確定該組件未能通過(guò)所述第一完整性檢查;以及對(duì)發(fā)生故障的所述組件的部分執(zhí)行第二完整性檢查,以便隔離所述發(fā)生故障的組件的部分,從而由網(wǎng)絡(luò)實(shí)體進(jìn)行補(bǔ)救;以及 平臺(tái)完整性策略引擎(PIPE),被配置成:接收來(lái)自所述加載器的對(duì)所述發(fā)生故障的組件的指示;接收與所述發(fā)生故障的組件相對(duì)應(yīng)的網(wǎng)絡(luò)功能;向網(wǎng)絡(luò)實(shí)體報(bào)告對(duì)與所述發(fā)生故障的組件相對(duì)應(yīng)的功能的指示;以及從所述網(wǎng)絡(luò)實(shí)體接收對(duì)所述發(fā)生故障的組件執(zhí)行第二完整性檢查以便確定所述發(fā)生故障的組件中導(dǎo)致該組件未能通過(guò)所述第一完整性檢查的部分的請(qǐng)求。
16.根據(jù)權(quán)利要求15所述的系統(tǒng),其中所述加載器還被配置成執(zhí)行以下處理來(lái)確定所述組件未能通過(guò)所述第一完整性檢查: 確定與所述組件相關(guān)聯(lián)的完整性量度; 將所述完整性量度與關(guān)聯(lián)于所述組件的可信基準(zhǔn)值相比較;以及 確定所述完整性量度與所述可信基準(zhǔn)值不匹配。
17.根據(jù)權(quán)利要求15所述的系統(tǒng),其中所述PIPE還被配置成在從所述加載器接收到對(duì)所述發(fā)生故障的組件的指示時(shí)執(zhí)行下列各項(xiàng)中的一項(xiàng)或多項(xiàng):將所述系統(tǒng)斷電、阻止加載所述發(fā)生故障的組件、阻止訪問(wèn)用以向所`述網(wǎng)絡(luò)實(shí)體驗(yàn)證所述無(wú)線通信設(shè)備的驗(yàn)證密鑰、或者阻止訪問(wèn)安全功能。
18.根據(jù)權(quán)利要求15所述的系統(tǒng),其中所述PIPE還被配置成核實(shí)設(shè)備管理功能,該設(shè)備管理功能被配置成:接收來(lái)自所述網(wǎng)絡(luò)實(shí)體的替換組件;以及使用所述替換組件來(lái)替換所述發(fā)生故障的組件的所述部分。
19.根據(jù)權(quán)利要求15所述的系統(tǒng),其中所述PIPE還被配置成接收來(lái)自外部實(shí)體的策略,并且將所述網(wǎng)絡(luò)功能映射到所述策略中的一者或多者,其中所述策略被配置成基于所述第一完整性檢查的結(jié)果來(lái)應(yīng)用。
20.一種駐留在無(wú)線通信網(wǎng)絡(luò)上的設(shè)備補(bǔ)救服務(wù)器,被配置成補(bǔ)救無(wú)線通信設(shè)備上的未能通過(guò)完整性檢查的組件的部分,其中所述設(shè)備補(bǔ)救服務(wù)器被配置成: 從所述無(wú)線通信設(shè)備接收對(duì)與該無(wú)線通信設(shè)備上的未能通過(guò)所述完整性檢查的組件相關(guān)聯(lián)的網(wǎng)絡(luò)功能的指不; 基于接收到的對(duì)所述網(wǎng)絡(luò)功能的指示來(lái)確定發(fā)生故障的所述組件; 執(zhí)行向所述無(wú)線通信設(shè)備的詢問(wèn),以便隔離所述發(fā)生故障的組件的部分來(lái)進(jìn)行補(bǔ)救; 基于一個(gè)或多個(gè)標(biāo)準(zhǔn)來(lái)確定用于所述發(fā)生故障的組件的所述部分的修復(fù)或替換;以及 將對(duì)所述發(fā)生故障的組件的所述部分的修復(fù)或替換發(fā)送到所述無(wú)線通信設(shè)備。
21.根據(jù)權(quán)利要求20所述的設(shè)備補(bǔ)救服務(wù)器,其中對(duì)所述發(fā)生故障的組件的所述部分的修復(fù)或替換包括軟件代碼。
22.根據(jù)權(quán)利要求20所述的設(shè)備補(bǔ)救服務(wù)器,其中該設(shè)備補(bǔ)救服務(wù)器還被配置成接收表明與所述完整性檢查相關(guān)聯(lián)的信息可靠的指示。
全文摘要
一種無(wú)線通信設(shè)備,其可以被配置成執(zhí)行完整性檢查和向網(wǎng)絡(luò)實(shí)體的詢問(wèn),來(lái)隔離無(wú)線通信設(shè)備上的發(fā)生故障的組件的部分來(lái)進(jìn)行補(bǔ)救。一旦確定了設(shè)備的組件上的完整性故障,則設(shè)備可以識(shí)別與該組件相關(guān)聯(lián)的功能,并且向網(wǎng)絡(luò)實(shí)體指示該發(fā)生故障的功能。無(wú)線網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)實(shí)體都可以使用組件-功能映射來(lái)識(shí)別發(fā)生故障的功能和/或發(fā)生故障的組件。在接收到設(shè)備處的完整性故障的指示之后,網(wǎng)絡(luò)實(shí)體可以確定在設(shè)備處執(zhí)行一個(gè)或多個(gè)附加的完整性檢查迭代,以便窄化發(fā)生故障的組件上的完整性故障的范圍。一旦隔離了完整性故障,則網(wǎng)絡(luò)實(shí)體可以修復(fù)無(wú)線通信設(shè)備上的發(fā)生故障的組件的部分。
文檔編號(hào)G06F21/10GK103202045SQ201180053416
公開日2013年7月10日 申請(qǐng)日期2011年11月4日 優(yōu)先權(quán)日2010年11月5日
發(fā)明者Y·C·沙阿, L·凱斯, D·F·豪利, I·查, A·萊切爾, A·施米特 申請(qǐng)人:交互數(shù)字專利控股公司