平码五不中公式规律
  • / 35
  • 下载费用:30 金币  

基于虚拟化的安全设备恢复的系统和方法.pdf

关 键 ?#21097;?/dt>
基于 虚拟 安全设备 恢复 系统 方法
  专利查询网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
摘要
申请专利号:

CN201580046531.7

申请日:

2015.07.10

公开号:

CN106687976A

公开日:

2017.05.17

当前法律状态:

实审

?#34892;?#24615;:

审中

法?#19978;?#24773;: 实质审查的生效IPC(主分类):G06F 21/55申请日:20150710|||公开
IPC分类号: G06F21/55(2013.01)I; G06F21/56(2013.01)I; G06F21/57(2013.01)I; H04W12/12(2009.01)I 主分类号: G06F21/55
申请人: PCMS控股公司
发明人: C·M·格尔曼
地址: 美国特拉华州
优?#28909;ǎ?/td> 2014.07.11 US 62/023,774
专利代理机构: 北京润平知识产权代理有限公司 11283 代理人: 陈潇潇;刘国平
PDF完整版下载: PDF下载
法律状态
申请(专利)号:

CN201580046531.7

授权公告号:

|||

法律状态公告日:

2017.06.09|||2017.05.17

法律状态类型:

实质审查的生效|||公开

摘要

可以提供?#24674;?#20351;用设备上设备管理代理(DMAG)执行设备恢复的系统、方法和/或技术。所述DMAG可以处于可以通过管理程序保护的安全执行环境中和/或可以包括或者具有完全网络堆栈(例如,经由与其相关联的微型操作系统)。设备上的DMAG或其它实体可以接收设备的控制和/或可以确定或检测设备上应用和/或操作系统是否可能未处于正常服务状态。DMAG或其它实体可以基于应用和/或操作系统未处于正常服务状态来发起与DMS的安全会话,如此使得DMS可以确定所述设备是否可能具有潜在软件问题。DMAG或其它实体可以基于设备具有潜在软件问题来设置或建立恢复和/或升级会话(例如,使用安全会话)和/或可以接收软件镜像以进行操作系统和/或应用的刷新。DMAG或其它实体可以发送重新启动请求命令,如此使得设备可以重新启动(例如,以返回至正常服务状态)。

权利要求书

1.?#24674;?#20351;用设备上的设备管理代理DMAG来执行设备恢复的方法,所述DMAG处于被管理
程序保护的安全执行环境中,和/或所述DMAG使用设备上具有完全网络堆栈的微型操作系
统,所述方法包括:
确定所述设备上应用或操作系统中至少一者是否未处于正常服务状态;
当确定所述设备未处于正常服务状态时接收所述设备的控制;
基于所述应用或操作系统中的至少一者未处于正常服务状态来发起与设备管理服务
器DMS的安全会话,如此使得所述DMS被配置成确定所述设备是否具有潜在的软件问题;
基于所述设备具有所述潜在软件问题来设置恢复或升级会话;以及
基于所述设备具有所述潜在软件问题来执行所述操作系统或所述应用中的至少一者
的软件镜像的刷新。
2.根据权利要求1所述的方法,该方法进一步包括实行执行重新启动请求命令,如此使
得所述设备响应于所述恢复或升级会话以及所述刷新而?#24674;?#26032;启动。
3.根据权利要求1所述的方法,该方法进一步包括:
核查所述设备上管理程序、所述设备上微型操作系统和所述设备上的所述DMAG的完整
性。
4.根据权利要求3所述的方法,其中在所述恢复或升级会话和刷新之后核查所述完整
性。
5.根据权利要求3所述的方法,其中所述完整性被配置成使用安全启动过程和/或安全
启动代码来核查。
6.根据权利要求1所述的方法,其中所述软件镜像包括以下项中的至少一者:新的软件
镜像或备份软件镜像。
7.根据权利要求1所述的方法,该方法进一步包括从所述DMS接收诊断命令集合以确定
所述应用和/或操作系统是否处于所述正常服务状态。
8.根据权利要求1所述的方法,该方法进一步包括:
发送和/或接收所述应用和/或操作系统未处于所述正常服务状态的?#25910;?#36890;知;以及
使用所述DMS登记和/或存储所述?#25910;?#36890;知。
9.根据权利要求1所述的方法,其中所述设备的控制被配置?#19978;?#24212;于看门狗定时器的
超期或期满而被接收。
10.根据权利要求1所述的方法,其中所述设备的控制被配置成经由所述设备和/或所
述管理程序的切换而被接收。
11.根据权利要求10所述的方法,其中所述切换从看门狗定时器复?#29615;?#29983;,如此使得所
述管理程序和/或所述设备被配置成使用所述看门狗定时器来推动对所述DMAG的所述控
制。
12.根据权利要求11所述的方法,其中所述设备上未处于正常服务状态的所述应用和/
或所述操作系统被配置成基于从所述看门狗定时器复?#29615;?#29983;的所述切换而被确定或检测。
13.根据权利要求1所述的方法,该方法进一步包括发起指向受限数量的受信任外部管
理实体的外部网络请求。
14.根据权利要求13所述的方法,其中所述受限数量的受信任外部管理实体包括所述
DMS。
15.根据权利要求1所述的方法,该方法进一步包括拒绝外部网络请求。
16.根据权利要求15所述的方法,其中所述外部网络请求被拒绝以使所述DMAG免受基
于网络的攻击。
17.根据权利要求1所述的方法,其中发起所述安全会话包括建立安全信道。
18.?#24674;?#20351;用设备上设备管理代理DMAG来执行设备恢复的设备,所述DMAG处于被管理
程序保护的安全执行环境中,和/或所述DMAG使用设备上具有完全网络堆栈的微型操作系
统,所述设备至少部分被配置成:
确定所述设备上应用或操作系统中至少一者是否未处于正常服务状态;
当确定所述设备未处于所述正常服务状态时接收所述设备的控制;
基于所述应用或操作系统中的至少一者未处于所述正常服务状态来发起与设备管理
服务器DMS的安全会话,如此使得所述DMS被配置成确定所述设备是否具有潜在的软件问
题;
基于所述设备具有所述潜在软件问题来设置恢复或升级会话;以及
基于所述设备具有所述潜在软件问题来执行所述操作系统或所述应用中的至少一者
的软件镜像的刷新。
19.根据权利要求18所述的设备,其中所述设备进一步被配置成实行重新启动请求命
令,如此使得所述设备响应于所述恢复或升级会话和所述刷新而?#24674;?#26032;启动。
20.根据权利要求18所述的方法,其中所述设备进一步被配置成:
核查所述设备上管理程序、所述设备上微型操作系统、及所述设备上所述DMAG的完整
性。
21.根据权利要求20所述的设备,其中在所述恢复或升级恢复和刷新之后核查所述完
整性。
22.根据权利要求20所述的设备,其中所述完整性被配置成使用安全启动过程和/或安
全启动代码而被核查。
23.根据权利要求18所述的设备,其中所述软件镜像包括以下项中的至少一者:新的软
件镜像或备份软件镜像。
24.根据权利要求18所述的设备,其中所述设备进一步被配置成从DMS接收诊断命令集
合以确定所述应用和/或操作系统是否处于所述正常服务状态。
25.根据权利要求18所述的设备,其中所述设备进一步被配置成:
发送和接收所述应用和/或操作系统未处于所述正常服务状态的?#25910;?#36890;知;以及
使用所述DMS登记和存储所述?#25910;?#36890;知。
26.根据权利要求18所述的设备,其中所述设备的控制被配置?#19978;?#24212;于看门狗定时器
的超时或期满而被接收。
27.根据权利要求18所述的设备,其中所述设备的控制被配置成经由所述设备和/或所
述管理程序的切换而被接收。
28.根据权利要求27所述的设备,其中所述切换从看门狗定时器复?#29615;?#29983;,如此使得所
述管理程序和/或所述设备被配置成使用所述看门狗定时器来推动对所述DMAG的所述控
制。
29.根据权利要求27所述的设备,其中所述设备上未处于所述正常服务状态的所述应
用和/或所述操作系统被配置成基于从所述看门狗复?#29615;?#29983;的所述切换而被确定或检测。
30.根据权利要求18所述的设备,其中所述设备进一步被配置成发起指向受限数量的
受信任的外部管理实体的外部网络请求。
31.根据权利要求30所述的设备,其中所述受限数量的受信任的外部管理实体包括所
述DMS。
32.根据权利要求18所述的设备,其中所述设备进一步被配置成拒绝外部网络请求。
33.根据权利要求32所述的方法,其中所述外部网络请求被拒绝以使所述DMAG免受基
于网络的攻击。
34.根据权利要求18所述的方法,其中发起所述安全会话包括建立安全信道。

说明书

基于虚拟化的安全设备恢复的系统和方法

相关申请的交叉引用

本申请要求于2014年7月11日递交的美国临时专利申请No.62/023,774的权益,其
通过引用合并于此。

背景技术

通常,现有网络?#24230;?#24335;设备可以通过可以作为操作系统(OS)上的单独进程运行的
设备管理代理而被升级。在这种示例中,对其上内核(诸如主OS内核)的攻击或OS中严重软
件错误可能破坏完整系统的功能和/或该系统可能对于对抗软件攻击的安全性不稳健。此
外,诸如计算机系统(如个人计算机(PC))的系统可以通过可以在单独地虚拟机中运行的设
备管理代理来升级。所述虚拟机可以通过管理程序(hypervisor)来保护。遗憾地是,这种系
统可能对于可能受到主动软件攻击威胁的?#24230;?#24335;设备不稳健。

发明内容

提供用于使用设备上的设备管理代理(DMAG)来执行设备恢复的系统、方法和/或
技术。DMAG可以处于可以通过管理程序保护的安全执行环境中和/或可以使用或包括微型
操作系统,该微型操作系统可以包括或具有完整网络堆栈。DMAG或设备上的其它实体可以
接收设备的控制和/或可以确定或检测设备上的应用和/或操作系统是否可能未处于正常
服务状态(例如,在接收这种控制时或之后)。DMAG或其它实体可以基于应用和/或操作系统
不处于正常服务状态而发起与DMS的安全会话,如此使得DMS可以确定设备是否可能具有潜
在的软件问题。在示例中,这种软件问题可以是应用系统可能已经受到使得应用停?#26500;?#33021;
或不能按照预期运转的恶意软件感染,可以是由于在对应用系统进行软件升级后的错误
(bug)功能可能停止工作,等等。DMAG或其它实体可以基于设备具有潜在软件问题(例如,使
用安全会话)设置或建立恢复和/或升级和/或可以接收软件镜像(software image)来对操
作系统和/或应用进行刷新。刷新可以包括应用系统(例如,包括操作系统)和/或整个或完
整平台软件的重新安装成可以被认定为不具有错误或恶意软件的功能的状态。在一个示例
中,DMAG或其它实体可以发送重新启动请求命令,以使得设备可以?#24674;?#26032;启动(例如,返回
至正常服务)。重新启动请求命令可以?#29615;?#36865;和/或在刷新之后设备重新启动(例如,当包括
应用系统操作系统的完整应用系统可能已经?#24674;?#26032;安装)。此外,在示例中,应用(例如,不
是完整应用系统)可以如此处所述的刷新和/或重新安装。在这种示例中,重新启动可以不
?#24674;?#34892;和/或可以?#29615;?#29983;。

在一个示例中,设备上的管理程序、设备上的微型OS和/或DMAG中一者或多者的完
整性可以在重新启动期间被验证或核查(例如,响应于重新启动命令请求和重新启动发
生)。完整性可以使用安全启动过程和/或安全启动编码来核查。进一步地,诊断命令的集合
可以从DMS接收以确定应用和/或操作系统是否可以处于正常服务状态(例如,使得DMAG可
以确定所述设备是否可以处于正常服务状态)。而且,在示例中,?#25910;?#36890;知可以被提供(例
如,发送或接收),该?#25910;?#36890;知可以指示过错行为,包括应用和/或操作系统可能不处于正常
服务状态。在一个示例中?#25910;?#36890;知可以使用DMS被登记和/或存储。此外,根据示例,设备的
控制(例如,其执行控制)可以通过设备和/或管理程序经由切换来接收。切换可以从看门狗
定时器复位时发生,以使得管理程序和/或设备可以使用看门狗定时器来推动对DMAG的控
制。此外,设备上未处于正常服务状态的应用和/或操作系统可以基于从看门狗定时器复位
时发生的行为而被确定或检测。在示例中,诸如外部网络连接请求的外部网络请求可以不
被接受或可以被拒绝(例如,通过DMAG)和/或外部网络请求可以?#29615;?#36215;(例如,通过DMAG)以
使得该请求可以针对受限数量的受信任外部管理实体,诸如DMS。

提供发明内容以简化形式来引入概念的选择,其在以下具体实施方式中被进一步
描述。该发明内容?#24674;?#22312;标识所要求的主题的关键特征或基础特征,?#24674;?#22312;被用于限制所
要求主题的范围。而且,所要求的主题不限制于可以解决本公任何部分注意的一个或多个
缺点的于此的示例。

附图说明

可以从通过结合附图的示例给出的以下描述中获得于此公开的实施方式的更加
详细的理解。

图1?#22659;?#21253;括可以在操作系统(OS)上作为单独进程运行的设备管理代理的?#24230;?#24335;
设备的示例。

图2?#22659;?#21487;以包括可以在虚拟机中运行的设备管理代理的系统的示例,其中虚拟
机可以通过管理程序保护。

图3?#22659;?#31034;例性网络架构或情景。

图4?#22659;?#21487;以在于此描述的一个或多个示例中使用的设备管理生命周期或方法的
示例。

图5?#22659;?#21487;以在于此描述的一个或多个示例中使用的系统架构的示例。

图6?#22659;?#38024;对于此描述的一个或多个示例执行设备会的示例。

图7?#22659;?#38024;对于此描述的一个或多个示例执行的设备恢复的示例方法的流程图。

图8?#22659;?#21487;以在于此描述的一个或多个示例中使用的多核系统的系统架构的示
例。

图9-10?#22659;?#21487;以实施和/或使用于此用于执行设备恢复的系统和/方法的示例。

图11A描绘一个或多个公开的示例可以被实施和/或可以与于此描述的一个或多
个示例使用的示例性通信系统的图示。

图11B描绘了可以在图11A?#22659;?#30340;通信系统中使用的示例性无线发射/接收单元
(WTRU)的系统图。

图11C描绘了可以在图11A?#22659;?#30340;通信中使用的示例性无线电接入网络和示例性
核心网络的系统图。

图11D描绘了可以在图11A中?#22659;?#30340;通信系统中使用的另一示例性无线电接入网
络和示例性核心网络的系统图。

图11E描绘了可以在图11A中所示通信系统中使用的另一示例性无线电接入网络
和示例性核心网络的系统图。

具体实施方式

说明性实施方式的详?#35813;?#36848;现在可以参考不同附图来描述。尽管该说明书提供可
能实施的详细示例,但是应该注意的是?#38468;?#26088;在示例性并不以任何方式限制于此描述的示
例的范围。

如于此所述,通常,当前网络?#24230;?#24335;设备可以通过在普通OS上作为单独进程运行
的设备管理代理而被升级。图1?#22659;?#36825;种当前网络?#24230;?#24335;设备2的示例,其可以包括在OS(在
片上系统中或(SoC))上作为单独进程运行的设备管理代理4。在这种示例中,对主OS内核6
的攻击或主OS中严重软件失败可能破坏系统(例如设备2)的功能。此外,根据示例,可能难
以保证所示的大型OS内核的稳健性和安全性。如此,可能期望保持安全关键软件基础处于
最小值。例如,严重?#25910;?#25110;对OS内核的攻击可能引起设备的手动复位,这可能是昂贵的且浪
费时间。

在示例中,可以进一步存在诸如图2所示系统的系统。如图2所示,系统200可以包
括设备管理代理202。设备管理代理202可以在管理程序206 保护的单独虚拟机中运行。在
对主OS 204的攻击或主OS上严重软件?#25910;?#21487;以不影响设备管理功能的意义上,这种系统更
加稳健。然而,系统对于?#24230;?#24335;设备是不稳健的。例如,对于?#24230;?#24335;设备受到主动软件攻击
威胁的情景中是稳健的,以下中的一者或多者可以是有益的和/或可以不通过这种系统来
提供。管理程序的软件完整性和设备管理代理可能在启动时间和/或运行时间期间是无法
保障的。在这种示例中,可惜地是,设备管理操作可以不通过中央的、更强计算能力来执行,
设备管理系统和/或管理程序保护的设备管理代理可以不被配置成从这种中央单元接受控
制命令。此外,这种系统(例如,如图2所示)可能对在运行在系统中的主OS上的软件攻击不
稳健以及可能不具有“自我修复”机构来从主OS上的严重软件?#25910;?#24674;复。

如此,于此可以提供可以改善这种当前系统和/或?#24230;?#24335;设备的稳健性的系统和/
或方法。例如,于此描述的系统和/或方法可以包括网络?#24230;?#24335;设备管理系统,其可以对主
OS中致命软件?#25910;?#21450;对系统的该部分的主动攻击是稳健的。此外,系统和/或方法可以改善
在启动时间和/或运行时间期间管理程序和设备管理代理的软件完整性。设备管理操作可
以通过中央的、更强计算能力来执行,设备管理系统和/或管理程序保护的设备管理代理可
以被配置成从这种中央单元接受控制命令。系统可以对在运行在系统中的主OS上的软件攻
击是文件的并且可以具有“自我修复”机制以从主OS上严重软件?#25910;?#20462;复。

图3?#22659;?#31034;例性通用网络情景或架构(其可以改善稳健性和/或可以提供集中系统
和/或管理程序来改善这种稳健性和/或软件完整性)。如图3所示,诸如机器对机器(M2M)设
备300(例如,网络?#24230;?#24335;设备或系统)的设备可以经由诸如因特网304的网络与设备管理后
端系统302通信。根据示例,网络?#24230;?#24335;系统和设备(诸如M2M单元(例如,300))可以正在开
始以在具有高安全/保?#25214;?#27714;的不同类型的系统中变得重要。如此,期望改善或保障这种系
统的文件操作。尤其,对M2M单元可能存在来自基于网络的攻击和/或软件恶意软件的威胁。
安全和/保险关键单元可以根据?#25910;稀?#25915;击和/或恶意软件来停?#26500;?#33021;。根据示例(例如,如
果安全和/或保险关键单元由于软件?#25910;?#25110;由于攻击停?#26500;?#33021;),可能造成可能是严峻的及
在一些情况中可能甚至威胁人类生命的后果。

从安全架构角度来看,设备或设备平台可以是M2M安全方案的重要部分。例如,对
于可以在真实和实际使用情况情景中工作的设计方案,设备平台的生命周期管理角度可以
被使用和/或考虑。

图4?#22659;?#21487;以针对一个或多个于此示例使用和/或考虑的设备生命周期角度的示
例。如图4所示,1-8可以?#24674;?#34892;以及设备可以继续随时间(例如,由n所示)操作。1-8和/或n
可以阐释(例如,从安全角度)可以是连接的设备的生命周期的部分的一个或多个功能或动
作。如所示,设备的生命可以开始于制造阶段,包括1处的硬件制造及2和3处的软件和配置
定制。下一个阶段可以是部署阶段,其中设备可以被定制以能够针对网络操作,这可以决定
于和基于或根据其最终客户要求。如所示,一个或多个配置可以在安装时通过4处的物理存
在、5处?#38236;?#30340;和/或6处远程的从管理服务器被提供、发起、执行等等(例如,以及可以彼此
不同)。设备可以然后在操作阶段在7处进行操作。在8处设备可以利用某种规则性停止服务
(例如,停止7处的操作)以使得新的软件可以被安装或用于物理维护。设备可以随时间(例
如,通过n所示)继续操作和/或可升级的。在设备生命周期角度中,操作阶段中的设备的操
作可以被提供和/或保障(例如,在权利安全和/或保?#26632;?#21046;在诸如制造和/或部署阶段可以
是可用的情况中)。

面向威胁的设备可以被提供、考虑和/或使用。例如,系统中对设备的威胁可能发
生。还可能存在对终端用户单元或后端系统的威胁。在示例中,对终端用户单元或后端系统
的威胁在于此所述的一个或多个示例中可能不被考虑。根据示例,关于对设备的攻击,于此
的系统和/或方法可以考虑基于网络的攻击、基于软件对设备本身的攻击等等(例如,以及
可以提供改善的稳健性和/或其软件完整性)。

高可信度安全和保险实施方式或示例可以在于此所述的一个或多个示例中被提
供和/或使用。例如,于此描述的高可信度安全和保险实施方式或示例可以用于防御、航空
电子、金融部门等。在示例中,这种高可信度和保险实施方式或示例可以具有多个重要的和
相当独特的设计要求或请求。例如,设计和实施可以根据诸如通用准则的标?#32423;?#34987;评估。对
于用于工作的诸如通用准则的标准,评估的目标系统(例如,软件和硬件)可能必须被定义
(例如,软件可以提供的功能应该?#24674;?#23450;而不具有动态特征,和/或类似地可以使其不易或
难以从安全角度来评估)以及足够小以能通过合理努力来评估。其它常规要求或请求可以
包括当可能涉及安全和保险时可以特别关注的分段和分离。

例如,在高可信度实施方式或示例中,分离可以转化成物理分割。例如,给定具有
不同功能和安全级别的多个模块,每个模块可以?#24674;概?#35832;如CPU的专用硬件组件。这可以创
建具有可以是信息流分析可行的清晰界限和接口的分布式系统。可惜地是,对于这种方式
还可能存在一个或多个不利。例如,其可能一般导致大规模、复杂的及低效系统,例如,在功
率消耗、大小、开发继而制造成?#38236;?#26041;面。

用于物理分割的可替代的或另外的示例可以是或可以包括逻辑分割。利用逻辑分
割,一个或多个硬件组件可以负责功能以及分离可以通过其它技术来保障,诸如,以软件形
式。由于它们的大小和复?#26377;裕?#36825;种方案一般可能不被作为单片系统来评估。但是,在诸如
利用细致分割和逻辑地分离的示例中,设计、实施及评估这种系统可能是可行的。这样做的
?#24674;?#25216;术可能使可以使能或施行其它组件的分离的小的信任基础存在。该信任基础可以是
分离内核并且可以包括实时OS、微核或类型1管理程序或其等同物。

与所述示例不同,可替代的或另外的进行分离的方式或方法可以使用类型2管理
程序或其等同物。不像类型1管理程序,类型2管理程序可以不在硬件上直接运行,但是代替
的在主操作系统内核上。这可能意味着类型2管理程序给定的隔离可能比底层操作系统给
定的隔离性能更好。通常这种操作系统可以复杂且大型的并且其可能难以对这种系统实际
提供高等级隔离安全保障。

在于此的示例中,M2M单元或设备可以利用管理程序保护的设备管理代理(DMAG)
来保护。DMAG可以在微型OS上运行。该微型OS可以包括完整的、但微型的网络堆栈以及可以
直接访问至少一个网络设备接口。在示例中,完全网络堆栈可以能够设置?#25105;?#30340;基于IP的
网络与网络对等的连接以及可如于此所述以包括Contiki、TinyOS和/或其它操作系统栈。
管理代理(例如,DMAG)可以与设备管理后端服务器或系统或设备管理服务器或系统(例如,
DMS)相关联,其可以包括设备独特安全关联,如此使得后端服务器可以是实体,管理代理可
以信任该实体并其可以接受至该实体的控制命令和/或来自该实体的控制命令。

图5?#22659;?#21487;以利用可以在于此所述微型OS上运行的管理程序的DMAG保护来用于保
护M2M设备或单元的示例性高级系统图。如图5所示,诸如M2M单元或设备的设备500可以包
括片上系统(SoC)502。SoC 502可以包括可以通过管理程序506保护的DMAG 504。如于此所
述,DMAG 504包括和/或运行微型OS 508。DMAG可以控制看门狗定时器510。此外,在示例中,
DMAG504可以与DMS 512通信。DMS 512可以是DMAG 504可以信任的并且可以向其发送或从
其接收命令或消息的实体。

在示例中,所述系统(例如,可以如图5所示的)还可以包括和/或具有以下中的一
者或多者。DMAG可以具有?#28304;?#20648;管理单元(MMU)(例如, 530)和/或可以使用的安全看门狗
定时器功能(例如,510)的控制。在示例中,可以位于CPU架构中的MMU可以是可以监测系统
(例如,M2M单元和/或设备500)中CPU接入的“仲裁器(arbiter)”。MMU可以基于可能正在调
用系统的应用或软件的特权模式来授权或拒绝至不同系统地址的访问。通常,在示例中,
CPU系统或设备可以至少具有两个“环(ring)?#20445;?#20854;中可以在?#32454;?#25110;最高特权环上执行的软
件或应用可以具有至系统资源的完全访?#21097;?#32780;在?#31995;?#29305;权环中运行的软件或应用可能不具
有对每个系统资源的专有权并且代替地可以具有MMU可以允许其访问的权利或可以访问
MMU可以允许其访问的资源。系统的特权部分可以负责配置MMU访问控制规则。

安全看门狗定时器可以复?#36824;?#33021;并且与管理程序功能结合可以确保DMAG定期地
得到对设备的控制。在示例中,DMAG可以未得到对设备的控制并且看门狗功能可以力控制
代理(例如,DMAG)以保证代理可以得到控制。诸如DMAG的代理可以定期地与可以发出系统
复位命令的后端服务器联系。

根据示例,在看门狗可能超时之后DMAG或代理可以得到控制。在示例中(例如,如
果在看门狗超时之后DMAG可以得到控制),DMAG可以联系可以发出控制命令集以确定看门
狗复位的原因以及可以发出可以是设备恢复至功能状态的诸如刷新的复位命令集的DMS。

诸如于此描述的系统或方法(如图5所示)的一个或多个示例可以使能或提供许多
?#24230;?#24335;架构上较便宜设备管理方案,其可以改善稳健性或可以对于主系统上的攻击是稳健
的。于此描述的示例性方法的一者或多者可以使能系统(例如,如图5所示),例如,自动地来
从软件配置错误或主OS上的软件攻击恢复。

在示例中,可信计算基础(TCB)可以被提供和/或使用。TCB可以是硬件和软件功能
的集合,其可以已经被评估以使得系统的用户可以确定(例如,相当确信)这种系统的集合
可以正确地运转(例如,可以不具有诸如恶意软件等问题)和/或其可以不具有安全漏洞和/
或可以不?#36164;?#21040;攻击,这可以是为?#35009;?#21487;以被信任和/或TCB。TCB可以是小的并且可以包括
受信任的管理程序、微型OS和DMAG。诸如图5所示的系统的其它部分可能是不受信任或非完
全受信任而不会危害其功能。这可以不同于可以是?#35272;?#20110;富OS的恢复系统(例如,图1所示)
和/或主OS上运行的系统。如此,不同于基于类型1管理程序的方式(例如,如图2所示),管理
程序、微型OS和DMAG可以处于受信任侧或可以被信任并且系统的其它部分可以是不受信任
的或非完全受信任的。根据示例,管理程序和DMAG的完整性(例如,以确保它们可以被信任)
可以通过系统或设备上的安全启动过程而被提供或保障。

此外,诸如繁重设备管理任务的一个或多个设备管理任务可以通过DMS执行。这种
繁重任务的示例可以包括但不限于,搜索和检索软件或应用和/或软件或应用配置、诸如病
毒扫描和版本检查的先进的设备诊断,等等。如此,于此描述的示例性方法的一者或多者可
以从计算和功率需求任务?#34892;?#36733;设备上的潜在计算和功?#35797;际?br />

于此的示例可以包括具有?#25910;?#21644;用于资源?#38469;鳰2M单元的软件攻击恢复机制。根
据该示例,系统可以从服务软件错误或软件攻击恢复,而无需通过?#38236;?#25805;作员利用设备的
物理访?#24335;?#34892;直接人工?#31245;ぁ?#26367;代地,远程后端管理系统可以处理恢复而无需物理存在的
使用。

于此描述的示例中的一者或多者在实施方式中可以在单CPU?#24230;?#24335;系统上被提供
或使用(例如,如图5和6中所示)。然而,原理可以被?#30001;?#33267;多核?#24230;?#24335;系统(例如,如图8所
示)。此外,原理可以在各种工业或现实生活系统中实施,各种工业或现实生活系统包括,例
如诸如如图8所示的风力发电系统的电力系统,如图9所示的诸如食品加工系统的制造系
统,等等。

M2M单元设备恢复系统可以包括以下核心功能或动作中的一者或多者。例如,具有
精简管理程序的?#24230;?#24335;系统的分区(例如,以及转而MMU或存储保护单元(MPU))可以被提供
以使得主OS可以在隔离的安全执行环境中运行,该安全执行环境可以包括第一虚拟机
(VM)、以?#23433;?#34892;运行(其它)的DMAG。主OS可以进一步在第二VM中运行,该第二VM可以与隔离
的安全执行环境和/或第一VM分离,以使得在安全执行环境中运行的第一VM可以不影响单
独运行的第二VM的执行,例如,除非通过定义的管理程序提供的应用程序接口(API),其可
以不危害管理程序或设备管理代理的安全。

进一步的,管理程序可以具有对系统上MMU或MPU的控制(例如,完全控制)。例如,
管理程序可以确保诸如主OS的系统的不受信任部分可以不具有对以下项中一者或多者的
存储访?#21097;?#23433;全启动过程使用的启动代码和数据;SoC上看门狗复位定时器;管理程序使用
的管理程序代码和数据;微型OS和设备管理代理以及这些实体使用的数据?#22351;?#31561;。

在示例中,DMAG和DMS可以具?#34892;?#20219;关系。例如,DMAG和DMS可以基于可以用于生物
质DMAG和DMS之间的安全通信信道的密钥而具?#34892;?#20219;关系。这可以包括?#24230;?#22312;证书中的公
?#35009;?#38053;或共享对称密钥,等等。这些密钥可以被用于设置临时会话密钥保护的DMAG和DMS之
间的安全会话。

此外,在示例中,管理程序和DMAG可以利用安全启动过程来启动。在这种示例中,
可以位于ROM或闪存中的受信任的启动代码在开动之前可以执行或进行管理程序的完整性
核查。受信任的启动代码也可以在管理程序之前执行或进行微型OS和设备管理代理的完整
性核查,以使得这些服务可以在受信任的VM中发动。根据示例,完整性核查可能失败。在示
例中系统可以不被启动(例如,在完整性核查失败的情况中)和/或恢复DMAG例程(例如,利
用对用于设置与DMS的安全会话的密钥材料的访问)可以被开启。恢复DMAG例程可以联系
DMS,在一个示例中其可以试图通过刷新来恢复系统。

如于此所述,管理程序可以提供或使用看门狗定时器。看门狗定时器可以被用于
维持API至诸如主OS的系统的不受信任部分。管理程序或另一组件可以使能或允许不受信
任的OS在可以保持看门狗定时器活动的DMAG中调用例程。看门狗定时器复位也可以发生或
?#24674;?#34892;。在示例中,(例如,在看门狗定时器复?#29615;?#29983;或可以?#24674;?#34892;的情况下),专用中断例
程可以被唤起以及可以包含或使用DMAG以使得专用中断例程可以进行执行。这种例程可以
执行、引起或包括以下中的一者或多者。在例程中,DMAG可以通过设置DMAG和DMS之间的安
全通信信道来联系设备管理后端系统。DMS可以使用该安全信道来发出诊断命令集合。在示
例中,促使看门狗复位的根源可以不被识别或确定和/或处理。在这种示例中(例如,在促使
看门狗复位的根源不能以直接暗示被识别或处理的情况中),DMS可以向设备发送新的软件
包并请求刷新系统。一个或多个恢复选项或步骤可以被使用或唤醒以及于此的示例可以不
限制于特殊恢复选项。

根据附加示例,具有一些规则性的DMAG可以被提供或给定执行权利。如果这种权
利可能没有给定,根据示例,看门狗定时器可以确保DMAG得到该权利。DMAG可以选择联系可
以向设备发出挂起设备管理命令的DMS。DMS还可以联系在第一VM(例如,隔离的安全执行环
境)上运行的系统以及可以请求其去请求DMAG联系DMS以用于设备管理。这可以通过专用管
理程序API调用来进行。

在示例中,可以通过DMAG执行的外部通信可以是与DMS的外部通信。如此,根据示
例,DMAG可以发起外部网络请求,该请求可以指向受限数量的受信任的外部设备管理实体,
诸如DMS等等。这可以帮助使能或确保DMAG可以免除基于网络的攻击、DoS攻击,等等。此外,
在示例中,DMAG(例如,免除诸如外部DoS攻击的外部攻击)可以不接受或可以拒绝外部网络
请求,诸如外部网络连接请求。而且,DMAG可以通过来自外部网络实体的会话邀约发起与
DMS的通信防止拒绝服务攻击。

图6?#22659;?#21487;以通过诸如设备500的系统或设备使用或在其上执行的设备恢复或系
统设置或方法的示例。这种设备恢复或系统设置可以?#22659;?#19968;个示例性系统或设备试图以及
可替代的系统部署可以被使用和/或是可行的。例如,M2M应用服务器(例如,514)可以处于
另一设置或示例,是诸如智能电话、平板电脑或PC等等的终端用户设备。图7?#22659;?#26681;据于此
的一个或多个示例的可以在软件错误或软件攻击中执行或包含的示例性设备恢复过程或
方法700。在示例中,过程或方法700可以通过图5和6中?#22659;?#30340;系统500来执行。

如所示,在21处,由于软件?#25910;?#25110;软件攻击,运行在M2M单元的主OS上的M2M应用
(例如,图5的516以及如通过3所示的)可以?#35805;?#29031;期望工作(例如,可能未处于正常服务状
态)。根据示例,未按照期望工作和/或未处于正常服务状态的系统可以是例如由于网络通
信通过M2M单元上的病毒攻击以拒绝服务(DoS)而被停止和/或M2M在一些其它方式的操作
被干扰或阻止。该错误行为可以被检测为应用可能不再能够通过M2M应用后端服务器(例
如,图6的514及通过2所示的)通过通信信道(例如,图6的518及通过3所示的)与M2M应用通
信而被达到。其还可以被检测为通过M2M单元至M2M应用服务器提供的服务中断。

在22处,应用M2M服务器可以通知其可能具有与M2M应用通信或达到的问题或者行
为可能不是期望(例如,可以未写处于正常服务状态)的问题。根据示例,应用M2M服务器可
以确定问题是否可能是基于网络连通性的(例如,通过pinging附近的M2M单元)。在示例中
(例如,在排除问题可以是由于通过pinging附近的M2M单元的网络联通性),M2M服务器可以
向DMS发送?#25910;?#36890;知(例如,图6的512及通过4所示的),以通知DMS 特殊的M2M单元可能无法
按照期望工作。在示例中,可能受制于或可能具有潜在软件?#25910;?#30340;特殊的M2M单元可以通过
发送M2M单元的唯一ID(例如,在消息或?#25910;?#36890;知中)而?#24674;?#31034;。

M2M单元应用和/或运行M2M应用的操作系统可能未处于正常服务状态。未处于正
常服务状态的应用和/或操作系统可以指示或意味着通过超级调用保持看门狗定时器(例
如,图6的510)活动的至DMAG的正常切换可能?#29615;?#29983;或不能发生。根据诸如最终由于看门狗
复位的示例,DMAG(例如,图6的504及通过5所示的)可以执行或得到执行控制,在23处,以及
可以通过程序管理被调度用于执行。如此,DMAG可以得到控制,在23处,?#20445;?#22522;于确定,应用
和/或OS可能未处于正常服务时。如于此所述(例如,上述),由于看门狗定时器被复位或强
迫的复?#29615;?#29983;,DMAG可以得到控制(例如,在看门狗定时器可能保?#21482;?#21160;)。例如(如,如果看
门狗定时器可以通过设备或系统保?#21482;?#21160;),看门狗功能可以?#24674;?#34892;以及其执行可以使用
设备和/或其硬件和管理程序(例如,图6的506)强迫地切?#24674;罝MAG,如于此描述的。如此,管
理程序和设备可以经由看门狗定时器(例如,其复位)将功能切?#24674;罝MAG,例如,如果管理程
序和/或设备可以确定系统可以受到危害(例如,应用和/OS可能未处于正常服务状态或可
能离开正常服务状态)。根据示例,DMAG可以包括或可以具?#34892;?#24687;和/或可以接收指示,切换
可能由于看门狗定时器复位已经发生以及因此可能知晓切换由于正常系统中?#25910;?#32780;发生。
如此,得到对看门狗定时器复位的控制的DMAG可以被DMAG用于确定或检测应用和/OS可能
未处于正常服务状态。可替代地或此外,DMAG可以通过超级调用从可以至少部分按照期望
来工作的主VM而被调度。

在示例中,在24处,DMAG可以模拟或发起向DMS的安全会话。如此,诸如DTLS或IKE/
IPSRC安全连接的安全信道(例如,图6的520及通过6所示的)可以在M2M应用和M2M服务器应
用之间被建立(例如,正发起的安全会话可以包括安全信道建立)。根据示例,作为安全信道
建立的一部分,M2M单元通过其唯一M2M ID被验证及识别。

在25处,在示例中,DMS可以进一步核查或访?#20351;收?#36890;知寄存器以及可以确定或找
出特殊的M2M单元是否可能具有潜在的软件问题和/或针对该问题的原因。例如,?#25910;?#36890;知
可以被接收并被存储在寄存器或表格(例如,与其相关联的存储器)中。在25处DMS可以核查
寄存器或表格以确定特殊的诸如单元或设备500的M2M单元是否可能具有软件问题或潜在
的软件问题。

在26处,DMS和DMAG可以设置软件恢复和/或升级会话。根据示例,诸如新的软件镜
像的软件镜像可以被传递至DMAG或M2M永久?#28304;?#20648;介质上的现有备份镜像可以被DMAG用于
进行主操作系统和运行在主操作系统上的应用的刷新。

在27处,DMAG可以发出M2M系统(例如,M2M单元或设备)的重新启动请求命令。M2M
设备或单元(例如,系统或M2M系统)可以基于所述命令?#24674;?#26032;启动。例如,重新启动请求命
令可以推动系统(例如,M2M单元或设备500)的硬件重新启动,如此使得系统可以被关闭、复
位及清除?#36164;源?#20648;器并且然后可以再次启动。

在28处,微型OS和/或DMAG可以通过可以位于M2M单元上的安全启动过程来核查
(例如,在重新启动管理程序的完整性期间)。安全启动代码可以通过物理隔离和/或写保护
而免受修改。安全启动代码还可以验证主OS和在主OS上运行的M2M应用的完整性。安全启动
过程的示例可以包括但不限于,其中启动代码可以存在于完整性保护存储器(例如,可能对
于攻击者难以修改的存储器)和/或其中启动代码可以执行软件或应用块(包括可以在启动
期间存入永久?#28304;?#20648;器中的操作系统块)的完整性核查的过程。这种完整性核查可以包括
以下项中的一者或多者:单向散列函数的核查、数字签名或所谓的消息验证码(MAC)的核
查,等等。

在29处,M2M应用可以再次运行。例如,一旦?#24674;?#26032;启动或重新启动可以被完成,
M2M应用可以再次启动和运行。

在30处(例如可选择地),DMS可以向M2M单元和在M2M单元上运行的应用发出诊断
命令的集合以确保其按照期望工作。例如,一旦M2M设备或单元可以?#24674;?#26032;启动,DMS可以发
出至其的诊断命令的集合。可替代地或此外,M2M应用服务器可以被通知系统(例如,设备或
单元)可能已经复位以及其可以被请求核查服务可以再次按照期望运行。

如于此所述,于此的示例可以在单核?#24230;?#24335;系统上被部署或实施。例如,公开或描
述的示例可以按照包括如图5(及图6)所描绘的单核系统上的若干不同方法来实现。根据该
实施方式,DMAG可以处于单核系统中微型OS上顶部的分离VM中,分离VM可以与主VM共享主
CPU,其中主OS和主应用可以正在运行。在CPU上以特权模式(诸如最高特权模式)运行的管
理程序可以提供或可以确保安全关键VM(例如,其中微型OS和DMAG运行)可以被安全地与系
统的剩余部分分离。用于该配置的管理程序的示例可以包括,但可以不限于微核OKL4、派克
(Pike)OS、SICS微型管理程序等等。系统的保护的VM侧上微型OS的使用可以使能或可以确
保OS的安全属性可以通过合理努力利用高可信度等级来验证。在示例中(例如,在相同时
间),微型OS可以运行诸如完整网络堆栈的网络堆栈,以使得DMAG可以具有与DMS的可靠通
信以便运行恢复会话。可以使用的OS的示例可以包括,但不限于,微型OS、Contiki OS,等
等。如上所述,网络堆栈功能可以包括通过设备上合适的可用网络硬件接口设置到网络(例
如内部网络或因特网)上的一个或多个?#25105;?#23545;等体的因特网协议(IP)连接的功能。

于此描述的示例可以进一步在多核?#24230;?#24335;系统上部署或实施。例如,于此描述的
示例可以在具有多CPU的系统中使用。不同于单CPU系统(例如,图5和6所示),该选项或示例
可以使用CPU中一者上的多VM。此外,多VM可以在其它CPU上运行或使用。图8?#22659;?#22810;CPU上于
此示例的实施的示例。

在M2M单元或设备(例如600)的多核部署中,管理程序(例如,606a-606n)可以在每
个核上运行以确保运行在这些核上的不受信任或非完全信任的主OS(一个或多个)可以不
访问SoC(例如,601)上的安全关键单元,诸如看门狗定时器(例如,610),和/或可以是中断
控制器,和/或可以按照在系统上诸如最高特权CPU模式的特权CPU模式运行的类似地管理
程序。这可以采用或可以提供即使多VM可能不在一个或若干核上运行,管理程序仍可以存
在于这些核上以不危害系统的安全性。DMAG(例如,604)可以存在于这些核中的一个核上,
例如根据图8示例的CPU2上。根据示例,可以不存在任何可以阻止部署于此的示例,以使得
多DMAG可以被用于或存在于运行在系统中若干核上的系统中。在这种示例中,在系统中不
同DMAG之间可以存在同步机制。

还原会话可以发生。在示例中(例如,当还原会话可以如于此所述发生时),运行在
受信任VM上的微型OS和DMAG可以得到、接收或具有至设备的网络资源的唯一访问权利。这
可以通过运行在可以给定DMAG诸如专有权的权利的系统中的管理程序来提供或保证(例
如,在示例中当通过专用超级调用所请求的)。

可以在该配置(例如,图8中所示)中使用的管理程序的示例可以包括,但可以不限
于,微核OKL4、派克OS、可行的SICS微型管理程序(例如,在未来,因为目前其可能无法支持
多核),等等。系统的保护的VM侧的微型OS的使用可以提供或确保OS的安全属性可以通过合
理努力利用高可信度等级来验证。此外,在示例中,OS可以运行诸如完全网络堆栈的网络堆
栈,以使得DMAG可以具有与DMS的可靠通信以便运行恢复会话。可以使用的所述OS的示例可
以包括,但可以不限于,微型OS、Contici OS,等等。

图9-10?#22659;?#20854;中于此用于执行设备恢复的系统和/或方法可以被实施和/或使用。
如图9中所示,控制系统(CS)900和/或风速计902(可以是和/或可以包括如于此所述的M2M
单元和/或设备(诸如M2M单元或设备500和/或600)的组件)可以在电力系统中实施和/或与
电力系统相关联,电力系统诸如例如在风力?#26032;只?#22495;904中的风力?#26032;只?#26681;据示例,风速
计902可以是具有类似于单元或设备500的组件单核风速计并且可以如于此所述的运行
DMAG(例如,504)。如所示,在1处,CS 900可能未从风速计902得到准确的风测量。在2处,CS
900可以联系DMS(例如,512),该DMS可以负责管理风速计902的并且可以经由诸如因特网
906的网络与包括CS900和/或风速计902的风力?#26032;只?#22495;904通信。在示例中,在2处,CS可以
通过发送消息来联系DMS 512和/或类似地可以指示DMS 512风速计902可能具有?#25910;稀?#22312;3
处,DMS 512和风速计902然后可以执行设备恢复(例如,图6的方法)以从?#25910;?#24674;复。例如,在
3处,可以位于风速计902中的DMAG(例如,504)可以如于此所述与DMS 512联系和/或通信,
例如以便接收和/或发送软件复位消息,和/或类似地从DMS 512,以使得于此诸如DMAG(例
如,504)的风速计和/或组件可以被复位、重新启动等等以使其能够从?#25910;?#24674;复并?#20197;?#27425;运
行。

如图10所示,过程监视系统(PSS)1000可以与可以是和/或可以包括M2M单元和/或
设备(诸如于此所述的M2M单元或设备500和/或600)的组件的填充等级传感器1003和/或过
程控制单元(PCU)1002通信(例如,经由诸如因特网1006和/或LAN/WLAN 1008的网络)。PCU
1002和/或填充等级传感器1003可以在制造系统中实施和/或与制造系统相关联,其中制造
系统诸如食品加工系统,例如在食品加工工厂域1004中。根据示例,PCU 1002可以是具有类
似于单元或设备600的组件的多核设备或单元并且可以运行于此描述的DMAG(例如,604)。
如所示的,在1处,PSS 1000可以接收信息,该信息是填充等级(例如,可以通过填充等级传
感器1003和从其监测的)可能未处于期望等级或高于阈值的等级。在2处,PSS 1000(例如,
响应于填充等级为处于期望阈值或低于阈值)可以试图或尝试连接至可能正运行DMAG(例
如,604)且可能正控制填充等级传感器1003的PCU 1002(例如,或者其退出功率函数)。在示
例中,在2处,填充等级因PCU 1002中软件?#25910;?#21487;以不是期望的阈值或高于阈值。在3处(例
如,响应于未能连接至PCU 1002和/或其未能控制填充等级传感器1003等等),PSS 1000可
以与可以响应于管理PCU 1002的DMS 512联系和/或通信并且可以指示其(例如,在消息中)
PCU 1002可能具有?#25910;?例如,严重?#25910;?。在4处,DMS512和PCU 1002可以然后执行设备恢
复(例如,图6的方法)以从?#25910;?#24674;复。例如,在4处,可以位于PCU 1002中的DMAG(例如,604)
可以与于此所述的DMS 512联系和/或通信,和/或类似于从DMS 512,例如接收和/或发送软
件复位消息,以使得于此诸如DMAG(例如,604)的PCU和/或组件可以被复位、重新启动和/或
类似地使其能够从?#25910;?#24674;复并再次运行。

图11A描绘了可以实施所公开的一个或多个实施方式或示例的示例性通信系统
100的图示。通信系统100可以是为多个无线用户提供如语音、数据、视频、消息传递、广播等
内容的多?#26041;?#20837;系统。该通信系统100通过共享包括无线带宽在内的系统资源来允许多个
无线用户访问此类内容。举例来说,通信系统100可以采用?#24674;?#25110;多种信道接入方法,例如
码分多址(CDMA)、时分多址(TDMA)、频分多址(FDMA)、正交FDMA(OFDMA)、单载波FDMA(SC-
FDMA)等等。

如图11A所示,通信系统100可以包括无线发射/接收单元(WTRU)102a、102b、102c、
和/或102d(通常或共同地可以被称为WTRU 102),无线电接入网络(RAN)103/104/105,核心
网络106/107/109,公共交换电话网络(PSTN)108,因特网110以及其他网络112,但是应该了
解,所公开的实施方式设想了?#25105;?#25968;量的WTRU、基?#23613;?#32593;络和/或网络部件。每一个WTRU
102a、102b、102c、和/或102d可以是被配置成在无线环境中工作和/或通信的?#25105;?#31867;型的设
备。例如,WTRU 102a、102b、102c、和/或102d可以被配置成发射和/或接收无线信号,并且可
以包括用户设备(UE)、移动?#23613;?#22266;定或移动订户单元、?#26114;?#26426;、蜂窝电话、个人数?#31181;?#29702;
(PDA)、智能电话、膝上型计算机、上网本、个人计算机、无线传感器、消费类电子设备等等。

通信系统100还可以包括基站114a和基站114b。每一个基站114a、114b可以是被配
置成通过与WTRU 102a、102b、102c、和/或102d中的至少一个无线对接来促使接入一个或多
个通信网络的?#25105;?#31867;型的设备,所述网络诸如核心网络106/107/109、因特网110和/或网络
112。作为示例,基站114a、114b可以是基站收发信台(BTS)、节点B、e节点B、家庭节点B、家庭
e节点B、?#38236;?#25511;制器、接入点(AP)、无线路由器等等。虽然每一个基站114a、114b都被描述成
是单个部件,但是应该?#31169;猓?#22522;站114a和/或114b可以包括?#25105;?#25968;量的互连基站和/或网络
部件。

基站114a可以是RAN 103/104/105的一部分,所述RAN 103/104/105还可以包括其
他基站和/或网络部件(未显示),例如基站控制器(BSC)、无线电网络控制器(RNC)、中继节
点等等。基站114a和/或基站114b可以被配置成在名为小区(未显示)的特定地理区域内部
发射和/或接收无线信号。小区可被进一?#20132;?#20998;成小区扇区。例如,与基站114a关联的小区
可分为三个扇区。由此,在一个实施方式中,基站114a可以包括三个收发信机,也就是说,每
一个收发信机对应于小区的一个扇区。在另一个实施方式中,基站114a可以采用多输入多
输出(MIMO)技术,由此可以将多个收发信机用于小区的每个扇区。

基站114a和/或114b可以经由空中接口115/116/117来与一个或多个WTRU 102a、
102b、102c和/或102d进行通信,该空中接口116可以是?#25105;饈实?#30340;无线通信链路(例如射频
(RF)、微波、红外线(IR)、紫外线(UV)、可见光等等)。所述空中接口115/116/117可以使用任
意?#23454;?#30340;无线电接入技术(RAT)来建立。

更具体地说,如上所述,通信系统100可以是多?#26041;?#20837;系统,并且可以采用?#24674;?#25110;
多种信道接入方案,例如CDMA、TDMA、FDMA、OFDMA、SC-FDMA等等。举例来说,RAN 103/104/
105中的基站114a与WTRU 102a、102b、和/或102c可以实施诸如通用移动电信系统(UMTS)陆
地无线电接入(UTRA)之类的无线电技术,并且该技术可以使用宽带CDMA(WCDMA)来建立空
中接口115/116/117。WCDMA可以包括诸如高速分组接入(HSPA)和/或演进型HSPA(HSPA+)之
类的通信协议。HSPA可以包括高速下行链路分组接入(HSDPA)和/或高速上行链路分组接入
(HSUPA)。

在另一个实施方式中,基站114a与WTRU 102a、102b和/或102c可以实施演进型
UMTS陆地无线电接入(E-UTRA)之类的无线电技术,该技术可以使用长期演进(LTE)和/或高
级LTE(LTE-A)来建立空中接口115/116/117。

在另一实施方式中,基站114a和WTRU 102a、102b和/或102c可以实施无线电技术,
该无线电技术诸如IEEE 802.16(全球微波接入互操作性(WiMAX))、CDMA2000、CDMA2000
1X、CDMA2000EV-DO、临时标准2000(IS-2000)、临时标准95(IS-95)、临时标准856(IS-856)、
全球移动通信系统(GSM)、GSM增强数据速率演进(EDGE)、GSM EDGE(GERAN)等。

图11A中的基站114b可以是例如无线路由器、家庭节点B、家庭e节点B或接入点,并
且可以使用?#25105;饈实?#30340;RAT来促成局部区域中的无线连接,例如营业场所、住宅、交通工具、
校园等等。在一个实施方式中,基站114b与WTRU 102c、102d可以通过实施诸如IEEE 802.11
之类的无线电技术来建立无线局域网(WLAN)。在另一个实施方式中,基站114b与WTRU102c、
102d可以通过实施诸如IEEE 802.15之类的无线电技术来建立无线个域网(WPAN)。在再一
个实施方式中,基站114b和WTRU 102c、102d可以通过使用基于蜂窝的RAT(例如WCDMA、
CDMA2000、GSM、LTE、LTE-A等等)来建立微微小区或毫微微小区。如图1A所示,基站114b可以
直接连接到因特网110。由此,基站114b未必需要经由核心网络106来接入因特网110。

RAN 103/104/105可以与核心网络106/107/109通信,所述核心网络106/107/109
可以是被配置?#19978;?#19968;个或多个WTRU 102a、102b、102c和/或102d提供语音、数据、应用和/或
借助网际协议的语音(VoIP)服务的?#25105;?#31867;型的网络。例如,核心网络106/107/109可以提供
呼叫控制、记账服务、基于移动?#24674;?#30340;服务、预付费呼?#23567;?#22240;特网连接、视频分发等等,和/或
执行用户验证之类的高级安全功能。虽然在图1A中没有显示,但是应该?#31169;猓琑AN 103/104/
105和/或核心网络106/107/109可以直接或间接地和其他?#20999;?#19982;RAN 103/104/105使用相
同RAT或不同RAT的RAN进行通信。例如,除了与使用E-UTRA无线电技术的RAN 103/104/105
连接之外,核心网络106/107/109还可以与别的使用GSM无线电技术的RAN(未显示)通信。

核心网络106/107/109还可以充当供WTRU 102a、102b、102c和/或102d接入PSTN
108、因特网110和/或其他网络112的网关。PSTN 108可以包括提供简易老式电话服务
(POTS)的电?#26041;换?#30005;话网络。因特网110可以包括使用公共通信协议的全球性互联计算机
网络设备系统,所述协议可以是如TCP/IP互连网协议族中的传输控制协议(TCP)、用户数据
报协议(UDP)和网际协议(IP)。网络112可以包括由其他服务供应商拥有和/或运营的有线
或无线通信网络。例如,网络112可以包括与一个或多个RAN相连的另一个核心网络,所述一
个或多个RAN可以与RAN 103/104/105使用相同RAT或不同RAT。

通信系统100中一些或所有WTRU 102a、102b、102c和/或102d可以包括多模能力,
例如,WTRU 102a、102b、102c和/或102d可以包括在不同无线链路上与不同无线网络通信的
多个收发信机。例如,图1A所示的WTRU102c可以被配置成与使用基于小区的无线电技术的
基站114a通信,以及与可以使用IEEE 802无线电技术的基站114b通信。

图11B描绘了在其中一个或多个示例或实施方式可以被实施(例如,其可以具有管
理程序和/或可以使用看门狗定时器和/或于此描述的其它示例)的示例性WTRU 102的系统
图示。如图11B所示,WTRU 102可以包括处理器118、收发信机120、发射/接收部件122、扬声
器/麦克风124、键盘126、显示器/触摸板128、不可移除存储器130、可移除存储器132、电源
134、全球定位系统(GPS)芯片组136以及其他外围设备138。应该?#31169;?#30340;是,在保持符合实施
方式的同?#20445;琖TRU 102还可以包括前述部件的?#25105;?#23376;组合。而且,实施方式考虑了基站114a
和114b、和/或基站114a和114b可以表示的节点可以包括图11B中描绘的及于此描述的某些
或所有元件,其中,除了其它之外,节点诸如但不限于收发信台(BTS)、节点B、?#38236;?#25511;制器、
接入点(AP)、家庭节点B、演进型家庭节点B(e节点B)、家庭演进节点B(HeNB)、家庭演进节点
B网关、及代理节点。

处理器118可以是通用处理器、专用处理器、常规处理器、数?#20013;?#21495;处理器(DSP)、
多个微处理器、与DSP核心关联的一个或多个微处理器、控制器、微控制器、专用集成电路
(ASIC)、现场可编程门阵列(FPGA)电路、其他?#25105;?#31867;型的集成电路(IC)、状态机等等。处理
器118可以执行信号编码、数据处理、功率控制、输入/输出处理和/或其他?#25105;?#33021;使WTRU
102 在无线环境中工作的功能。处理器118可以耦合至收发信机120,收发信机120可以耦合
至发射/接收部件122。虽然图11B将处理器118和收发信机120描述成是独立组件,但是应该
?#31169;猓?#22788;理器118和收发信机120可以集成在一个电子封装或芯片中。

发射/接收部件122可以被配置成经由空中接口115/116/117来传送或接收去往或
来自基站(例如基站114a)的信号。举个例子,在一个实施方式中,发射/接收部件122可以是
被配置成传送和/或接收RF信号的天线。在另一个实施方式中,作为示例,发射/接收部件
122可以是被配置成发射和/或接收IR、UV或可见光信号的发射器/检测器。在再一个实施方
式中,发射/接收部件122可以被配置成发射和接收RF和光信号。应该?#31169;?#30340;是,发射/接收
部件122可以被配置成发射和/或接收无线信号的?#25105;?#32452;合。

此外,虽然在图11B中将发射/接收部件122被描述成是单个部件,但是WTRU 102可
以包括?#25105;?#25968;量的发射/接收部件122。更具体地说,WTRU102可以使用MIMO技术。因此,在一
个实施方式中,WTRU 102可以包括两个或更多个经由空中接口115/116/117来传送和接收
无线电信号的发射/接收部件122(例如多个天线)。

收发信机120可以被配置成对发射/接收部件122将要传送的信号进行调制,以及
对发射/接收部件122接收的信号进行解调。如上所述,WTRU 102可以具有多模能力。因此,
收发信机120可以包括允许WTRU 102借助诸如UTRA和IEEE 802.11之类的多种RAT来进行通
信的多个收发信机。

WTRU 102的处理器118可以耦合至扬声器/麦克风124、键盘126和/或显示器/触摸
板128(例如液晶显示器(LCD)?#20801;镜?#20803;或有机发光二极管(OLED)?#20801;镜?#20803;),并且可以接收
来自这些部件的用户输入数据。处理器118还可以向扬声器/麦克风124、键盘126和/或显示
器/触摸板128输出用户数据。此外,处理器118可以从?#25105;?#31867;型的?#23454;?#30340;存储器、例如不可
移除存储器130和/或可移除存储器132中访问信息,以及将信息存入这些存储器。所述不可
移除存储器130可以包括随机存取存储器(RAM)、只读存储器(ROM)、硬盘或是其他?#25105;?#31867;型
的记忆存储设备。可移除存储器132可以包括订户身份模块(SIM)卡、记忆棒、安全数字(SD)
记忆卡等等。在其他实施方式中,处理器118可以从?#20999;?#24182;非实际位于WTRU 102的存储器访
问信息,以及将数据存入这些存储器,其中举例来说,所述存储器可以位于服务器或家庭计
算机(未显示)上。

处理器118可以接收来自电源134的电力,并且可以被配置分发和/或控制用于
WTRU 102中的其他组件的电力。电源134可以是为WTRU 102供电的?#25105;饈实?#30340;设备。举例来
说,电源134可以包括一个或多个干电池组(如镍镉(Ni-Cd)、镍锌(Ni-Zn)、镍氢(NiMH)、锂
离子(Li-ion)等等)、太阳能电池、燃?#31995;?#27744;等等。

处理器118还可以与GPS芯片组136耦合,该芯片组可以被配置成提供与WTRU 102
的当前?#24674;?#30456;关的?#24674;?#20449;息(例如经度和纬度)。作为来自GPS芯片组136的信息的补充或替
换,WTRU 102可以经由空中接口115/116接收来自基站(例如基站114a、114b)的?#24674;?#20449;息,
和/或根据从两个或多个附近基站接收的信号定时来确定其?#24674;謾?#24212;该?#31169;?#30340;是,在保持符
合实施方式的同?#20445;琖TRU 102可以借助?#25105;饈实?#30340;定位方法来获取?#24674;?#20449;息。

处理器118还可以耦?#31995;?#20854;他外围设备138,这其中可以包括提供附加特征、功能
和/或有线或无线连接的一个或多个软件和/或硬件模块。例如,外围设备138可以包括加速
度计、电子?#25913;?#38024;、卫星收发信机、数码相机(用于照片和视频)、通用串行总线(USB)端口、
振动设备、电视收发信机、免提耳机、模块、调频(FM)无线电单元、数字音乐播放器、
媒体播放器、视频游戏机模块、因特网浏览器等等。

图11C描绘了根据实施方式的RAN 103和核心网络106的系统图示。如上所述,RAN
103可以使用UTRA无线电技术并经由空中接口115来与WTRU 102a、102b和/或102c进行通
信。RAN 103还可以与核心网络106通信。如图11C所示,RAN 103可以包括节点B 140a、140b
和/或140c,节点B 140a、140b、140c都可以包括经由空中接口115与WTRU 102a、102b和/或
102c通信的一个或多个收发信机。节点B 140a、140b和/或140c中的每一个都可以与RAN
103中的特定小区相关联。RAN 103还可以包括RNC142a和/或142b。应该理解的是,在保持符
合实施方式的同?#20445;琑AN 103可以包括任?#38382;?#37327;的节点B和RNC。

如图11C所示,节点B 140a和/或140b可以与RNC 142a进行通信。此外,节点B 140c
可以与RNC 142b进行通信。节点B 140a、140b和/或140c可以经由Iub接口来与相应的RNC
142a、142b进行通信。RNC 142a、142b可以经由Iur接口彼此通信。每一个RNC 142a、142b都
可以被配置成控制与之相连的相应节点B 140a、140b和/或140c。另外,每一个RNC 142a、
142b可被配置成执行或支持其他功能,例如外环功率控制、负载控制、准入控制、分组调度、
切换控制、宏分集、安全功能、数据?#29992;?#31561;等。

图11C所示的核心网络106可以包括媒体网关(MGW)144、移动交?#24674;行?MSC)146、
服务GPRS支持节点(SGSN)148、和/或网关GPRS支持节点(GGSN)150。虽然前述每个部件都被
描述成是核心网络106的一部分,但是应该?#31169;猓?#26680;心网络运营商之外的其他实体也可以拥
有和/或运营这其中的任一部件。

RAN 103中的RNC 142a可以经由IuCS接口连接到核心网络106中的MSC 146。MSC
146可以连接到MGW 144。MSC 146和MGW 144可以为WTRU 102a、102b和/或102c提供针对
PSTN 108之类的电?#26041;换?#32593;络的接入,以便促成WTRU 102a、102b和/或102c与传统陆线通
信设备间的通信。

RAN 103中的RNC 142a还可以经由IuPS接口连接到核心网络106中的SGSN 148。所
述SGSN 148可以连接到GGSN 150。SGSN 148和GGSN 150可以为WTRU 102a、102b和/或102c
提供针对因特网110之类的分组交换网络的接入,以便促成WTRU 102a、102b和/或102c与启
用IP的设备之间的通信。

如上所述,核心网络106还可以连接到网络112,该网络可以包括其他服务供应商
拥有和/或运营的其他有线或无线网络。

图11D描绘了根据实施方式的RAN 104以及核心网络107的系统图示。如上所述,
RAN 104可以使用E-UTRA无线电技术并经由空中接口116来与WTRU 102a、102b和/或102c进
行通信。RAN 104还可以与核心网络107通信。

RAN 104可以包括e节点B 160a、160b和/或160c,但是应该?#31169;猓?#22312;保持与实施方
式相符的同?#20445;琑AN 104可以包括?#25105;?#25968;量的e节点B。每一个e节点B 160a、160b和/或160c
可以包括一个或多个收发信机,以便经由空中接口116来与WTRU 102a、102b、102c通信。在
一个实施方式中,e节点B 160a、160b和/或160c可以实施MIMO技术。由此,举例来说,e节点B
160a可以使用多个天线来向WTRU 102a发射无线信号,以及接收来自WTRU 102a的无线信
号。

每一个e节点B 160a、160b和/或160c可以关联于特定小区(未显示),并且可以被
配置成处理无线电资源管理决策、切换决策、上行链路和/或下行链路中的用户调度等等。
如图11D所示,e节点B 160a、160b和/或160c可以经由X2接口彼此通信。

图11D所示的核心网络107可以包括移动性管理网关(MME)162、服务网关164以及
分组数据网络(PDN)网关166。虽然上述每一个部件都被描述成是核心网络107的一部分,但
是应该?#31169;猓?#26680;心网络运营商之外的其他实体同样可以拥有和/或运营这其中的任一部件。

MME 162可以经由S1接口来与RAN 104中的每一个e节点B 160a、160b和/或160c相
连,并且可以充当控制节点。例如,MME 162可以负责?#29616;TRU 102a、102b、102c的用户,激
活/去激活承载,在WTRU 102a、102b和/或102c的初始附加过程中选择特定服务网关等等。
所述MME 162还可以提供控制平面功能,以便在RAN 104与使用了GSM或WCDMA之类的其他无
线电技术的其他RAN(未显示)之间执行切换。

服务网关164可以经由S1接口连接到RAN 104中的每一个e节点B160a、160b和/或
160c。该服务网关164通常可以路由和转发去往/来自WTRU102a、102b和/或102c的用户数据
分组。此外,服务网关164还可以执行其他功能,例如在e节点B间的切换过程中锚定用户面,
在下行链路数据可供WTRU 102a、102b和/或102c使用时触发?#26114;簦?#31649;理和存储WTRU 102a、
102b和/或102c的上下文等等。

服务网关164还可以连接到PDN网关166,可以为WTRU 102a、102b和/或102c提供针
对诸如因特网110之类的分组交换网络的接入,以便促成WTRU 102a、102b和/或102c与启用
IP的设备之间的通信。

核心网络107可以促成与其他网络的通信。例如,核心网络107可以为WTRU 102a、
102b和/或102c提供针对PSTN 108之类的电?#26041;换?#32593;络的接入,以便促成WTRU 102a、102b
和/或102c与传统陆线通信设备之间的通信。作为示例,核心网络107可以包括IP网关(例如
IP多媒体子系统(IMS)服务器)或与之通信,其中所述IP网关充当了核心网络107与PSTN
108之间的接口。此外,核心网络107可以为WTRU 102a、102b、102c提供针对网络112的接入,
其中该网络可以包括其他服务供应商拥有和/或运营的其他有线或无线网络。

图11E是根据一实施方式的RAN 105和核心网络109的系统图示。RAN105可以是通
过使用IEEE 802.16无线电技术而在空中接口116上与WTRU 102a、102b和/或102c通信的接
入服务网络(ASN)。如以下进一步论述的那样,WTRU 102a、102b和/或102c,RAN 105以及核
心网络109的不同功能实体之间的通信链路可被定义成参考点。

如图11E所示,RAN 105可以包括基站180a、180b和/或180c以及ASN网关182,但是
应该?#31169;猓?#22312;保持与实施方式相符的同?#20445;琑AN 105可以包括?#25105;?#25968;量的基站及ASN网关。每
一个基站180a、180b和/或180c可以关联于RAN 104中的特定小区(未显示),并且每个基站
可以包括一个或多个收发信机,以便经由空中接口117来与WTRU 102a、102b和/或102c进行
通信。在一个实施方式中,基站180a、180b和/或180c可以实施MIMO技术。由此,举例来说,基
站180a可以使用多个天线来向WTRU 102a发射无线信号,以及接收来自WTRU 102a的无线信
号。基站180a、180b和/或180c还可以提供移动性管理功能,例如切换触发、隧道建立、无线
电资源管理、业务分类、服务质量(QoS)策略实施等等。ASN网关142可以充?#24065;?#21153;量聚集点,
并且可以负责?#26114;簟?#35746;户简档缓存、针对核心网络106的路由等等。

WTRU 102a、102b和/或102c与RAN 104之间的空中接口117可被定义成是实施IEEE
802.16规范的R1参考点。另外,每一个WTRU 102a、102b和/或102c可以与核心网络109建立
逻辑接口(未显示)。WTRU 102a、102b和/或102c与核心网络109之间的逻辑接口可被定义成
R2参考点,该参考点可以用于?#29616;ぁ?#25480;权、IP主机配置管理和/或移动性管理。

每一个基站180a、180b、和/或180c之间的通信链路可被定义成R8参考点,该参考
点包含了用于促成WTRU切换以及基站之间的数据传送的协议。基站180a、180b、和/或180c
与ASN网关142之间的通信链路可被定义成R6参考点。所述R6参考点可以包括用于促成基于
与每一个WTRU 102a、102b、和/或102c相关联的移动性事件的移动性管理。

如图11E所示,RAN 105可以连接到核心网络109。RAN 105与核心网络109之间的通
信链路可以被定义成R3参考点,作为示例,该参考点包含了用于促成数据传送和移动性管
理能力的协议。核心网络109可以包括移动IP?#38236;?#20195;理(MIP-HA)184、?#29616;ぁ?#25480;权、记账(AAA)
服务器146以及网关148。虽然前述每个部件都被描述成是核心网络109的一部分,但是应该
?#31169;猓?#26680;心网络运营商以外的实体也可以拥有和/或运营这其中的任一部件。

MIP-HA可以负责IP地址管理,并且可以允许WTRU 102a、102b、102c在不同的ASN
和/或不同的核心网络之间漫游。MIP-HA 184可以为WTRU102a、102b、和/或102c提供针对因
特网110之类的分组交换网络的接入,以便促成WTRU 102a、102b、和/或102c与启用IP的设
备之间的通信。AAA服务器186可以负责用户?#29616;?#20197;及支持用户服务。网关188可以促成与其
他网络的互通。例如,网关188可以为WTRU 102a、102b、和/或102c提供对于PSTN 108之类的
电?#26041;换?#32593;络的接入,以便促成WTRU 102a、102b、和/或102c与传统陆线通信设备之间的通
信。另外,网关188可以为WTRU 102a、102b、和/或102c提供针对网络112的接入,其中该网络
可以包括其他服务供应商拥有和/或运营的其他有线或无线网络。

虽然在图11E中没有显示,但是应该?#31169;猓琑AN 105可以连接到其他ASN,并且核心
网络109可以连接到其他核心网络。RAN 105与其他ASN之间的通信链路可被定义成R4参考
点,该参考点可以包括用于协调WTRU102a、102b、和/或102c在RAN 105与其他ASN之间的移
动的协议。核心网络109与其他核心网络之间的通信链路可以被定义成R5参考点,该参考点
可以包括用于促成归属核心网络与?#29615;?#26680;心网络之间互通的协议。

虽然于此可以使用术语设备、UE或WTRU,但是可以及应该理解的是,这些术语的使
用可以被交换地使用,并且如此可以不进行区别。

而且,尽管上述按照特殊组合描述了特征和元素,但是本领域技术人员将理解的
是每个特征或元素可以被单独使用或以与其它特征和元素的任何组合来使用。此外,于此
描述的方法可以在?#24230;?#22312;计算机可读媒介中由计算机或处理器执行的算机程序、软件或固
件中实施。计算机可读媒介的示例包括电?#26377;?#21495;(通过有线或无线连接传送)和计算机可读
存储媒介。计算机可读媒介的示例包括但不限于只读存储器(ROM)、随机存取存储器(RAM)、
寄存器、缓冲存储器、半导体存储设备、内部硬盘盒可移除?#25490;?#20043;类的磁介质、磁光介质、以
及CD-ROM碟片和数字多用?#38236;?#29255;(DVD)之类的光媒介。与软件相关联的处理器可以用于实
施在WTRU、UE、终端、基?#23613;NC或?#25105;?#20027;计算机中使用的射频收发信机。

关于本文
本文标题:基于虚拟化的安全设备恢复的系统和方法.pdf
链接地址:http://www.pqiex.tw/p-6091611.html
关于我们 - 网站声明 - 网?#38236;?#22270; - 资源地图 - 友情链接 - 网站客服 - 联系我们

[email protected] 2017-2018 zhuanlichaxun.net网站版权所有
经营许可证编号:粤ICP备17046363号-1 
 


收起
展开
平码五不中公式规律 大乐透139期历史汇总 3D311期的开奖号码预测 河北十一选五基本走势图表 吉林新11选5开奖结果 中国体育彩票海南环岛赛 股票行情实时查询 广西十一选五开奖直播现场 双色球周日走势图 江苏体彩排列五走势图 老k游戏棋牌