CN101120522A - 在基于supl的定位系统中的tls会话管理方法 - Google Patents
在基于supl的定位系统中的tls会话管理方法 Download PDFInfo
- Publication number
- CN101120522A CN101120522A CNA2006800020691A CN200680002069A CN101120522A CN 101120522 A CN101120522 A CN 101120522A CN A2006800020691 A CNA2006800020691 A CN A2006800020691A CN 200680002069 A CN200680002069 A CN 200680002069A CN 101120522 A CN101120522 A CN 101120522A
- Authority
- CN
- China
- Prior art keywords
- slp
- tls
- message
- tls session
- session
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/24—Reselection being triggered by specific parameters
- H04W36/32—Reselection being triggered by specific parameters by location or mobility data, e.g. speed data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W28/00—Network traffic management; Network resource management
- H04W28/02—Traffic management, e.g. flow control or congestion control
- H04W28/0226—Traffic management, e.g. flow control or congestion control based on location or mobility
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/02—Access restriction performed under specific conditions
- H04W48/04—Access restriction performed under specific conditions based on user or terminal location or mobility data, e.g. moving direction, speed
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
在基于SUPL的定位系统中,当SET通过执行从H-SLP到V-SLP的漫游,而接收来自V-SLP的定位服务时,仅使用简化握手协议产生新的TLS连接,而不在漫游后产生新的TLS会话。也就是说,当在基于SUPL的定位方法中打开TLS会话用于确保安全性时,具体地说在H-SLP和SET之间打开TLS会话后又在V-SLP(V-SPC)和SET之间打开新的TLS会话时,将之前TLS会话中已经使用的钥信息提供给V-SLP,从而设置新的TLS连接,由此减少了整个系统的负载。
Description
技术领域
本发明涉及基于安全用户平面定位(SUPL)的定位系统,具体地涉及用于SUPL漫游的TLS会话管理方法。
背景技术
通常,在移动通信网络中,移动通信系统具有关于计算移动通信终端的位置的功能单元,并由此提供定位服务,用于周期性地或根据用户的请求将终端位置传输到某个实体。
关于定位服务的网络具有根据3GPP或3GPP2的内部网络结构的不同结构。可以使用小区ID方法计算终端的当前位置,用于传输该终端所属于的小区ID,还可以使用其中使用三角测量等来计算将无线电波从终端传输到每个基站花费的时间以及计算该终端的位置的方法,使用全球定位系统(GPS)的方法等。
然而,为了提供定位服务给用户,应该在移动通信终端和定位服务器之间传输主要的信令和位置信息。用于提供该定位服务的已经标准化的所谓定位技术,也就是基于移动通信终端的定位(位置)的定位服务得到快速广泛的传播。典型地可以通过用户平面和控制平面来提供该技术。公知作为定位技术的例子的开放移动联盟(OMA)的安全用户平面定位(SUPL)协议通过用户平面提供定位服务。
SUPL协议是用于传输位置信息的有效方法,该位置信息是移动通信终端的位置计算所需要的。SUPL协议采用用户平面数据载体,从而传输定位协助信息,例如全球定位系统(GPS)协助,以及在移动终端和网络之间携带定位技术相关协议。
通常,在定位系统中,与定位服务相关的SUPL网络一般说来包括SUPL代理、SUPL位置平台(SLP)和SUPL启用终端(SET)。SUPL代理指的是使用实际测量的定位信息的逻辑服务接入点。SLP表示在网络部分处的SUPL服务接入点,在该网络点处接入网络资源,从而获得位置信息。SET表示使用SUPL接口与SUPL网络通信的装置,例如,UMTS的用户设备(UE)、GSM的移动站(MS)、IS-95MS、具有SET功能的膝上型计算机、个人数字助理(PDA)等。SET可以是通过宽带LAN(WLAN)接入的多种移动通信终端。SET通过经由用户平面载体连接到网络,而支持由SUPL协议定义的多个过程。
在定位服务中用户最初登录的网络被称为本地网络。当用户移动并由此位于不在本地网络区域中的另一区域时,该相应的网络被称为被访问网络。因此,在本地网络中的SLP被称为本地SLP(H-SLP),以及在访问网络中的SLP被称为访问SLP(V-SLP)。这里,在网络上启动SUPL过程之后,外部客户机最初与之连接的SLP被称为请求SLP(R-SLP)。该R-SLP是逻辑实体,其可以和H-SLP相同或不同。此外,将以当前位置作为目标(也就是位置跟踪)的SET被定义为目标SET。
此外,SLP作为网络元件,可以包括:SUPL定位中心(SPC),其是用于计算实际位置的实体;以及SUPL位置中心(SLC),其管理除了计算定位之外的SLP的功能,例如漫游和资源管理的功能。因此,SET可以通过经由SLC(也就是代理模式)与SPC的通信而计算定位,以及可以通过直接连接到SPC(也就是非代理模式)来计算定位。
然而,当打开传输层安全(TLS)会话用于确保在现有技术的基于SUPL的定位(也就是位置跟踪)方法中的安全性时,在非代理模式漫游的情况下,当在产生该TLS会话后在V-SPC和终端之间打开新的TLS会话时,除了现有的TLS会话(也就是在H-SLP和SET之间的会话)之外,必须产生新的TLS会话。
图1说明了这样的过程,其用于当SET执行从H-SLP到V-SLP的漫游时使用SUPL执行定位。在下文中,目标SET恰好表示为SET。
如在图1中所示,如果在传输SUPL START消息之前,在SET和任何网络之间当期还没有建立数据连接,则SET(或SUPL代理)请求与分组数据网络或电路交换网络(例如3GPP或3GPP2的网络)的数据连接(S10)。
当完成该数据连接时,SET设置与H-SLP的TLS会话(加密协议)(S11)。然后,SET传输SUPL START消息到H-SLP,从而启动与其的SUPL过程(S12)。该SUPL START消息至少可以包括会话ID、SET性能和位置标识(lid)。SET性能可以包括SET所支持的定位(位置跟踪)方法(例如,SET所支持的A-GPS、基于SET的A-GPS等)、用于定位的协议(例如,RRLP、RRC或TIA-801)等。
H-SLP基于路由信息,确定SET是否处于漫游状态下,从而通过RLP标准SUPL漫游位置即时请求(SSRLIR)而传输SUPL START消息到V-SLP的V-SLC(S13),该SUPL START消息包括会话ID和msid。
V-SLC通过与V-SPC的内部初始化来通知V-SPC要开始SUPLPOS过程准备,并与V-SPC交换需要的信息。并且,V-SLC通过RLP标准SUPL漫游位置即时回答(SSRLIA),将包括V-SPC地址等的SUPL RESPONSE消息传输到H-SLP(S14)。
因此,H-SLP将至少包括会话ID、V-SPC地址的SUPL RESPONSE消息传输到SET(S15)。SET终止与H-SLP的IP连接,还终止第一TLS会话(S16)。
然后,SET建立与V-SPC的第二TLS会话(S17)。
第二TLS会话的设置基本上和第一TLS会话的设置是相同的。在设置第二TLS会话的情况下,SET发送SUPL POS INIT消息到V-SPC,该消息包括会话ID、lid、SET性能等等,并且之后启动实际定位相关过程(S18)。因此,SET和V-SPC于是交换用于执行实际定位的连续消息(S19),由此V-SPC(或SET)通过该消息计算SET的位置。
在计算SET的位置之后,V-SPC传输SUPL END消息到SET,从而通知SUPL过程的终止。已经接收到SUPL END消息的SET终止与V-SPC的第二TLS会话(S20和S21)。
V-SPC还通过内部通信,将SUPL过程的终止和SET的计算的位置值通知V-SLC(S22)。V-SLC通过RLP标准SUPL漫游位置(SSRP)消息将接收到的信息传输到H-SLP(S23)。
此后,当SET执行漫游时,现在将详细解释用于设置第一和第二TLS会话的方法。
图2更详细地说明用于设置TLS会话的方法(完全握手)(也就是其中SET执行在H-SLP和V-SLP之间的相互认证的方法)。
如在图2中所示,SET首先设置与H-SLP的第一TLS会话(加密协议)(S11)。
也就是说,SET在Client Hello消息中包括参数,例如版本、RandomNumber、会话ID[空]、密码套件和压缩方法,从而将其传输到H-SLP(ST1)。在这里,当产生新会话时,将会话ID设置为“空”。密码套件和压缩方法分别指示SET所支持的加密参数的列表以及用于数据压缩方法的ID。
H-SLP响应于Client Hello消息,将Server Hello消息传输到SET,该Server Hello消息包括例如由此选择的版本、RandomNumber、会话ID[1]、密码套件和压缩方法的参数。如果没有SET传送的会话ID,则H-SLP传输空的会话ID给SET。
H-SLP在发送Server Hello消息之后,顺序地将这些消息传输到SET,例如证书*、服务器钥交换*、证书请求*和ServerHello完成。在这里,“*”表示“可选的”。
证书是Server Hello消息之后要传输的消息。H-SLP通过服务器钥交换传输其公钥,或者传输包括其公钥的证书和认证机构(CA)的根证书的证书作为链类型。
服务器钥交换是证书之后要传输的消息。服务器钥交换包括H-SLP(服务器)的公钥信息。与钥信息相关的正确信息取决于对应的公钥算法(例如RSA、Diffie-Hellman等)。证书请求是服务器钥交换之后要传输的消息。当需要SET的公钥信息时,H-SLP使用证书请求消息以请求证书。ServerHello完成是在证书请求之后要传输的消息,并用于通知SET完成了最初协商。
当从H-SLP输入ServerHello完成时,SET顺序地将这些消息传输到H-SLP,例如证书、客户机钥交换和证书检验*、改变密码规格和完成(ST3)。
客户机钥交换是发送证书之后要传输的消息,以及包括使用H-SLP的公钥加密的钥信息(EncH-SLP_PK(预主秘密))。该钥信息指示用于制造H-SLP的实际加密使用的钥(完整钥、加密钥、初始化矢量等等)的最基本的预主秘密。在对称加密算法中使用该相应的钥信息。
证书检验是客户机钥交换之后要传输的消息。证书检验指示SET是否具有与公钥相关的适当的独立钥,通过证书消息传输该公钥。证书检验可以包括通过散列和信令SET的钥信息和之前的TLS握手消息的内容而获得的值。
最后,H-SLP顺序地传送改变密码规格和完成消息,并终止用于设置第一TLS会话的每个完全握手过程(ST4)。改变密码规格是证书检验之后要传输的消息,并通知用于在终止H-SLP和SET之间的协商之后执行加密的时间点。这里,SET将TLS会话状态从未决状态改变为当前状态。完成是改变密码规格之后要传输的消息。完成消息指示是否成功完成协商,或者在协商期间关于安全性参数是否没有发生损害。
根据这样的过程,在设置第一TLS会话之后,SET将SUPL START消息传输到H-SLP,从而通知启动了SUPL过程(S12)。H-SLP确定SET属于的V-SLP的位置信息,从而之后识别SET的漫游。H-SLP然后通过RLP SSRLIR消息再传输SUPL START消息到V-SLC(S13)。
V-SLC通过与V-SPC的内部初始化来将SUPL过程的起动通知V-SPC,并与之交换所需要的信息。V-SLC响应RLP SSRLIR消息,通过RLP SSRLIA消息,将SUPL RESPONSE消息传输到H-SLP,该SUPLRESPONSE消息包括V-SPC地址(S14)。H-SLP将SUPL RESPONSE消息传输给SET。
由此,SET终止与H-SLP的IP连接,以及终止与H-SLP的第一TLS会话,并执行步骤S17,用于设置与V-SPC的第二TLS会话。
也就是说,在基于SUPL的定位系统中,当SET执行从H-SLP到V-SLP的漫游从而接收来自新的定位服务器(V-SPC)的定位服务时,在SET和V-SPC之间将产生新的TLS会话。在这样的情况下,应该重新设置H-SLP和SET之间已经设置的参数,例如用于加密、签名和完整性检查的钥信息。
然而,用于设置新的(第二)TLS会话的过程和图2中所示的设置第一TLS会话的过程是相同的。因此,终端将最初根据用于相互认证的完全握手设置与H-SLP的TLS会话,然后只要终端漫游到V-SLP,则根据相同的完全握手产生新的TLS会话,这不利地增加了漫游期间认证和加密钥的切换所需要的时间和资源。
发明内容
因此,本发明的目的是提供TLS会话管理方法,其能够增加SUPL漫游期间在终端和V-SLP之间建立TLS会话的效率。
为了获得这些和其他优点并根据本发明的目的,如在这里实施和广泛地描述的,提供了在使用TLS的基于SUPL的定位系统的漫游中的TLS会话管理方法,其包括:在终端和本地SUPL位置平台(H-SLP)之间设置TLS会话,并将SUPL START消息从终端传输到H-SLP;将设置的TLS会话的信息从H-SLP传输到终端漫游到的访问SLP(V-SLP);将V-SLP信息从H-SLP传输到终端;以及使用TLS会话信息,在终端和V-SLP之间的TLS会话中设置新的TLS连接。
优选地,TLS会话信息可以包括TLS会话ID,该TLS会话ID用于H-SLP和终端之间的TLS会话连接,并且TLS会话信息还包括作为TLS会话的钥信息的主秘密或漫游主秘密。
优选地,TLS会话信息可以进一步包括指示加密方法和压缩方法的参数,其用于H-SLP和终端之间的TLS会话连接。
优选地,通过将一个值应用于伪随机函数从而产生主秘密,通过将预主秘密与终端和H-SLP之间已知的任意值级联来获得该值。
优选地,通过散列将主秘密与漫游计数级联而获得的值,产生漫游主秘密。
优选地,根据完全握手协议来执行TLS会话。
优选地,通过简化的握手过程来产生新的TLS连接。
优选地,建立新的TLS连接之后,TLS会话管理方法可以进一步包括在V-SLP和SET之间执行SUPL定位过程,从而计算SET的位置。
优选地,简化的握手过程可包括:将Client Hello消息从SET传输到V-SPC,该Client Hello消息包括版本、Set-Random和会话ID;顺序地将Server Hello消息、改变密码规格消息和完成消息从V-SPC传输到SET,该Server Hello消息包括版本、V-SLP-Random和会话ID;以及当从V-SPC输入完成消息时,顺序地将改变密码规格和完成消息从SET传输到V-SPC,从而终止该简化的握手过程。
本发明的以上和其他目的、特征、方面和优点,从结合附图的以下的本发明的详细描述将变得更加明显。
附图说明
包括以提供对于本发明的进一步理解的附图,被包括在本说明书中并作为其一部分,说明本发明的实施例,并连同描述一起用来解释本发明的原理。
在附图中:
图1示出当SET执行漫游时使用SUPL的定位过程;
图2示出使用完全握手的TLS会话管理方法;
图3示出用于SUPL漫游的TLS会话的扩展;
图4示出根据本发明的第一实施例的TLS会话管理方法;
图5示出用于产生(引发)加密参数的过程;
图6示出SUPL漫游期间的主秘密传输;
图7示出漫游主秘密的传输;以及
图8示出根据本发明的第二实施例的TLS会话管理方法。
具体实施方式
现在将详细参考本发明的优选实施例,在附图中示出这些实施例的例子。
在SET执行从H-SLP到V-SLP的漫游以接收来自新定位服务器(V-SPC)的定位服务的情况下,本发明提出使用TLS会话执行认证和切换加密钥的方法,漫游之前在SET和H-SLP之间建立该TLS会话。
也就是说,如在图3中所示,当与本地网络中的H-SLP产生TLS会话的SET漫游到访问网络时,H-SLP和SET之间产生的该TLS会话可以扩展为V-SLP和SET之间的TLS会话。
为此,本发明在漫游期间不产生新的TLS会话,而是仅仅使用简化的握手协议,在SET和H-SLP之间已经建立的TLS会话中产生新的TLS连接。
换句话说,在本发明中,在SET终止与H-SLP的TLS会话并且此后还没有产生与V-SPC的新的TLS会话的状态下,为了在漫游期间产生新的TLS连接,已经使用过的关于TLS会话的信息被重新使用。因此,H-SLP包括在之前的TLS会话中已经使用过的参数,该参数是RLP SSRLIR中的TLS会话ID和新钥信息(即,主秘密或漫游主秘密),从而将其传输到V-SLP的V-SPC。
由此,当SET建立新的TLS会话时,SET传输空会话ID到H-SLP。使用之前的TLS会话产生新的连接之后,SET在ClientHello消息中包括期望再使用的会话ID,以将其传输到V-SLP的V-SPC。如果没有找到从SET传输的会话ID,则V-SLP将空会话ID以及错误消息传输到SET。如果具有相同的会话ID,V-SPC和SET使用简化的握手协议交换改变密码规格消息。利用简化握手协议重新使用TLS会话之后,保持现有的会话状态,以及使用H-SLP和SET已经互相交换的改变密码规格消息,将TLS状态保持为未决状态。
图4示出了根据本发明的第一实施例的TLS会话管理方法,其中在H-SLP和V-SLP之间使用主秘密。
首先,H-SLP和V-SLP在最初协商服务支持的时间点执行相互认证,并使用在线证书状态协议,周期性地检验证书撤销列表(CRL)或检验证书(S50)。这里,H-SLP必须至少认证SET可以漫游到的V-SLP,并必须具有多个V-SLP的证书。
在这样的状态下,SET执行与H-SLP的第一TLS会话设置过程(S51)。在该过程期间,SET产生预主秘密,然后使用H-SLP的公钥,加密对应的所产生的预主秘密,从而将该加密的预主秘密传输到H-SLP(传输EncH-SLP_PK(预主秘密)(ST3)。预主秘密表示初始值,需要该初始值来产生用在加密的钥(密码钥)、用在完整性检查中的钥(完整钥)和加密初始化矢量。
当在H-SLP和SET之间设置TLS会话时,SET将SUPL START消息传输到H-SLP,以启动与H-SLP的SUPL过程(S52)。H-SLP基于路由信息,确定SET属于的V-SLP的定位(位置信息),从而识别SET的漫游。
当SET漫游到V-SLP时,H-SLP使用SUPL START消息将TLS会话信息传输到V-SLC,该SUPL START消息是RLP消息(RLPSSRLIR)(S53)。通过内部通信,将相应的TLS会话信息传输到V-SPC。这里,通过HTTPS(TLS)传输RLP消息作为加密的消息类型。这里,RLP SSRLIR(SUPL START)消息中另外包括的参数如下所示:
-主秘密、会话ID、密码套件、压缩方法:用于V-SLC和SET之间的TLS会话的扩展中。
这里,主秘密表示PRF(预主秘密、“主秘密”、SETRandom|V-SLP-Random)。会话ID是指要重新使用的TLS会话的号码,也就是已用于H-SLP和SET之间的初始TLS会话连接中的会话号。
V-SLP响应于SUPL START消息,将包括会话ID、V-SPC地址等的RLP SSRLIA(SUPL RESPONSE)消息传输给H-SLP(S54)。H-SLP将SUPL RESPONSE消息(包括SUPL会话ID、V-SPC地址等)传输到SET。也就是说,H-SLP将SUPL会话号以及接收定位服务的服务器(V-SPC)通知SET(S55)。
因此,即使终止之前的TLS会话,SET基于最初建立H-SLP和SET之间的TLS会话所使用过的TLS会话信息,使用简化握手协议,产生与V-SPC的TLS连接(S56)。
也就是说,SET将Client Hello消息传输到V-SPC,该Client Hello消息包括参数例如版本、SET-Random、会话ID[1]等。V-SPC将ServerHello消息传输到SET,该Server Hello消息包括参数例如选择版本、V-SLP-Random和会话ID[1],然后传输“改变密码规格”和“完成”消息,这两个消息通知终止SET和V-SPC之间的协商之后执行加密的时间点。
当从V-SPC输入“完成”消息时,SET还顺序地传输“改变密码规格”和“完成”消息,以及由此终止用于设置TLS会话的整个简化握手过程。
因此,当执行简化握手时,SET和V-SPC使用已经彼此交换过的参数(SET-Random或V-SLP-Random),从而引发(产生)加密参数。该引发(产生)过程可以相同地使用在之前TLS所提供的以下的功能等式(1)和(2):
-主秘密=PRF(预主秘密,“主秘密”,和SET-Random|V-SLP-Random) (1)
-钥材料=PRF(主秘密,“钥扩展”,和V-SLP-Random|SET-Random) (2)
这里,“主秘密”和“钥扩展”表示字符串。
图5示出用于在SET和V-SPC中产生(引发)加密参数的方法。
如图5所示,V-SPC将从H-SLP传输的主秘密、“钥扩展”和V-SLP-Random值传输到伪随机函数(PRF),其中“钥扩展”是使得钥对于每个连接不同的字符串,从而获得如等式(2)所示的钥材料。在每个TLS会话中新产生主秘密,以及在每个连接处产生钥材料。因此,V-SLP最终获得完整性钥、加密钥和初始化矢量,它们全部用于从获得的钥材料的加密传输。
图6示出SUPL漫游期间的主秘密传输。特别地,图6示出了当SET和V-SLP共享主秘密时的每个TLS会话中的主秘密,其中在H-SLP和SET之间使用该主秘密。
如图6所示,将SET处最初产生的预主秘密在SET处加密后,传输到H-SLP。当SET漫游到V-SLP1或V-SLP2时,H-SLP使用V-SLP1或V-SLP2的每个的公钥,对从预主秘密产生(引发)的主秘密进行加密,从而将其传输。因此,即使V-SLP1和V-SLP2从SET接收到相同的预主秘密,V-SLP1和V-SLP2依然接收到不同的主秘密。因此,第三方在漫游之后的会话以及当前会话中,不能容易地识别会话中SET的位置。
在本发明的另一实施例中,另一方面,SUPL漫游期间,可以将漫游主秘密代替主秘密从H-SLP传输到V-SLP。
图7示出SUPL漫游期间的漫游主秘密的传输。特别地,图7示出当没有如其自身地传输H-SLP和SET之间使用的主秘密,而是将其改变为漫游主秘密从而在SET和V-SLP之间共享时,每个TLS会话中已经使用的主秘密和漫游主秘密。
如图7所示,当SET漫游到V-SLP1或V-SLP2时,H-SLP将SET的漫游计数与从预主秘密引发(产生)的主秘密级联,从而然后执行散列计算,其中从SET接收到该预主秘密。然后,H-SLP产生漫游主秘密1和2。分别使用V-SLP1和V-SLP2的公钥来对漫游主秘密1和2进行加密,从而然后进行传输。
因此,即使第三方获得H-SLP和V-SLP1(或V-SLP2)之间的漫游主秘密1,该第三方不能从该对应的漫游主秘密1获得预主秘密,以及由此,不会容易地暴露SET的位置。也就是说,漫游主秘密是这样的值,使用散列函数例如SHA(),通过将SET的漫游计数与预主秘密级联而计算该值。散列函数具有单向性,这使得难以根据漫游主秘密计算预主秘密。
图8示出根据本发明的第二实施例的TLS会话管理方法,其示出在H-SLP和V-SLP之间使用漫游主秘密的情况。也就是说,在本发明的第二实施例中,不照其原样地使用H-SLP和SET之间已经使用过的主秘密,而是使用漫游主秘密(也就是通过改变主秘密以至于不能知道V-SLC中的H-SLP的主秘密所获得的值)。可以使用漫游主秘密,以至于V-SLP不能知道H-SLP和SET之间的之前TLS会话中所使用的主秘密,并且可以设置TLS连接。
如图8所示,H-SLP和V-SLP在用于最初协商服务提供的时间点,执行相互认证,并使用在线证书状态协议(OCSP)从而周期性地检验证书撤销列表(CRL)或检验证书安全性(S60)。这里,H-SLP必须至少认证SET可以漫游到的V-SLP,以及必须具有多个V-SLP的证书。
在这样的状态下,SET执行第一TLS会话设置过程(S61)。当执行该过程时,SET使用H-SLP的公钥从而对预主秘密进行加密用于传输。当在H-SLP和SET之间设置TLS会话时,SET将SUPL START消息传输到H-SLP,从而启动与H-SLP的SUPL过程(S62)。H-SLP基于路由信息,确定SET属于的V-SLP的定位,从而感应SET的漫游。
当SET漫游到V-SLP时,H-SLP使用RLP SSRLIR(SUPL START)消息,将TLS会话信息传输到V-SLC(S63)。V-SLC通过内部通信,将对应的信息传输到V-SPC。这里,通过HTTPS(TLS)将RLP消息作为加密消息类型进行传输。这里,以下将示出要添加到RLP SSRLIR消息的参数。
-漫游主秘密、会话ID、密码套件、压缩方法:用于V-SLC和SET之间的TLS会话扩展中。
漫游主秘密指示通过将主秘密与漫游计数级联所获得的值,从而然后散列该级联的值。会话ID表示要重新使用的TLS会话的会话号。密码套件表示加密方法,以及压缩方法表示一种压缩方法。
-漫游主秘密=SHA(主秘密|漫游计数) 等式3
这里,漫游计数表示产生漫游的次数。
因此,在本发明的第二实施例中,不使用漫游主秘密(也就是通过改变主秘密所获得的值,以至于不能知道V-SLC中的H-SLP的主秘密),而使用H-SLP和SET之间已经使用过的主秘密。可以使用漫游主秘密,以至于V-SLP不能知道H-SLP和SET之间的之前TLS会话中已经用过的主秘密,以及还可以设置TLS连接。
V-SLP响应RLP SSRLIR,将RLP SSRLIA(SUPL RESPONSE)消息传输到H-SLP,该RLP SSRLIA消息包括会话ID、V-SPC地址等等(S64)。H-SLP将SUPL RESPONSE消息(包括SUPL会话ID、V-SPC地址等)传输到SET。也就是说,H-SLP将服务器(V-SPC)通知SET,从而接收SUPL会话号和位置服务(S65)。
因此,即使终止之前的TLS会话,SET重新使用最初在H-SLP和SET之间设置TLS会话时已经使用过的TLS会话信息,从而通过执行简化握手来设置与V-SPC的TLS连接(S66)。
也就是说,SET将Client Hello消息传输到V-SPC,该Client Hello包括参数例如版本、SET-Random、会话ID[1]等等。V-SPC响应该ClientHello消息,将Server Hello消息传输到SET,该Server Hello消息包括参数,例如选择版本、V-SLP-Random、会话ID[1]。终止SET和V-SPC之间的协商之后,V-SPC传输“改变密码规格”和“完成”消息,它们通知执行加密的时间点。
当从V-SPC输入“完成”时,SET还顺序地将“改变密码规格”和“完成”消息传输到V-SPC,从而终止整个简化握手过程,该简化握手过程用于设置TLS连接。
因此,当执行简化握手时,SET和V-SPC使用彼此交换的参数值(SET-Random或V-SLP-Random),从而引发(产生)加密参数。这里,在加密参数的引发过程中,如下使用相同的TLS会话中提供的PRF()。
钥材料=PRF(漫游主秘密,“钥扩展”,V-SPC|V-SPC-Random)
也就是说,V-SPC通过与V-SLC的内部初始化,接收来自V-SLC的漫游主秘密,从而获得钥材料。SET从主秘密引发漫游主秘密(漫游M.S)。然后,SET再获得钥材料,之后在加密和完整性检查中使用该钥材料。
如前所示,在本发明中,当打开TLS会话用于确保基于SUPL定位的安全性时,具体地说,当在H-SLP和SET之间打开新的TLS会话之后在V-SLP的V-SPC和SET之间又打开TLS会话时,将之前TLS会话中已经用过的钥信息提供给V-SLP,从而可以减少根据最初过程设置新的TLS会话所需要的时间,并因此有效地减少了整个系统的负载。
因为本发明可以以不偏离其精神或本质特征的多种方式实施,要知道,以上所述的实施例不局限于前述说明的任何细节,除非特别指出,而是如在附加权利要求中限定的其精神和-围内进行广泛的理解,由此附加权利要求意图包括落在权利要求的边界和-围或这些边界和范围的等效内的所有改变和修改。
Claims (26)
1.在一系统中的传输层安全(TLS)会话管理方法,在该系统中,具有与本地SUPL定位平台(H-SLP)的TLS会话的终端通过漫游到访问SLP(V-SLP)而接收定位服务,在该方法中:
从H-SLP将TLS会话信息传输到V-SLP,当H-SLP设置与所述终端的TLS会话时已经使用该TLS会话信息;以及
使用所述TLS会话信息,设置新的TLS连接用于在所述终端和V-SLP之间的位置计算。
2.根据权利要求1所述的方法,其中,所述TLS会话信息包括TLS会话ID和新钥信息。
3.根据权利要求2所述的方法,其中,所述钥信息是主秘密或漫游主秘密。
4.根据权利要求2所述的方法,其中,所述TLS会话信息进一步包括参数,该参数指示在H-SLP和所述终端之间连接TLS会话的情况下已经使用的加密方法和压缩方法。
5.根据权利要求1所述的方法,其中,通过SUPL START消息传输所述TLS会话信息,该SUPL START消息是H-SLP传输到V-SLP的RLP标准SUPL漫游位置即时请求(SSRLIR)。
6.根据权利要求3所述的方法,其中,通过将一值应用于伪随机函数来产生所述主秘密,其中通过将预主秘密与在终端和H-SLP之间已知的任意值级联而获得该值。
7.根据权利要求3所述的方法,其中,通过散列一值来产生所述漫游主秘密,以及通过将所述主秘密与漫游计数级联而获得该值。
8.根据权利要求1所述的方法,其中,通过简化握手协议来执行新的TLS连接的设置。
9.根据权利要求1所述的方法,其中,新的TLS连接的设置包括:
将Client Hello消息从所述终端传输到所述V-SPC,该Client Hello消息包括版本、SET-Random以及会话ID;
顺序地将Server Hello消息、改变密码规格消息和完成消息从所述V-SPC传输到所述终端,该Server Hello消息包括版本、V-SLP-Random和会话ID;以及
当从所述V-SPC输入所述完成消息时,利用所述终端顺序地传输改变密码规格消息和完成消息,从而终止所述简化握手协议。
10.一种使用TLS的基于SUPL的定位系统的漫游中的TLS会话管理方法,该方法包括:
在终端和H-SLP之间设置TLS会话,并将SUPL START消息从该终端传输到H-SLP;
将关于设置的TLS会话的信息从H-SLP传输到所述终端漫游到的V-SLP;
将与所述V-SLP相关的信息从所述H-SLP传输到所述终端;以及
使用TLS会话信息,以在TLS会话中在所述终端和V-SLP之间设置新的TLS会话。
11.根据权利要求10所述的方法,所述TLS会话信息包括:
在所述H-SLP和所述终端之间连接TLS会话时已经使用的TLS会话ID;以及
主秘密或漫游主秘密,其是TLS会话的钥信息。
12.根据权利要求11所述的方法,其中,所述TLS会话信息进一步包括参数,该参数指示在H-SLP和所述终端之间连接TLS会话时已经使用的加密方法和压缩方法。
13.根据权利要求10所述的方法,其中,通过将一值应用于伪随机函数来产生所述主秘密,通过将预主秘密与在所述终端和H-SLP之间已知的任意值级联而获得该值。
14.根据权利要求10所述的方法,其中,通过散列一值来产生所述漫游主秘密,其中通过将所述主秘密与漫游计数级联而获得该值。
15.根据权利要求10所述的方法,其中,通过完全握手协议来执行所述TLS会话。
16.根据权利要求10所述的方法,其中,利用简化握手协议来执行新的TLS连接。
17.根据权利要求10所述的方法,进一步包括:
当设置新的连接时,在所述V-SLP和SET之间执行SUPL定位过程以计算所述SET的位置。
18.根据权利要求10所述的方法,其中,设置新的TLS连接的步骤包括:
将Client Hello消息从所述终端传输到V-SPC,该Client Hello消息包括版本、SET-Random和会话ID;
顺序地将Server Hello消息、改变密码规格消息和完成消息从所述V-SPC传输到终端,该Server Hello消息包括版本、V-SLP-Random和会话ID;以及
当从所述V-SPC输入完成消息时,由所述终端顺序地传输改变密码规格消息和完成消息,从而终止简化握手过程。
19.一种在使用TLS的基于SUPL的定位系统的漫游中的TLS会话管理方法,该方法包括:
在SUPL启用终端(SET)和H-SLP之间设置TLS会话;
将SUPL START消息从所述SET传输到所述H-SLP;
当所述H-SLP接收到SUPL START消息时,通过RLP SSRLIR消息,将TLS会话信息传输到V-SLP的V-SUPL位置中心(SLC);
通过内部初始化,将接收到的TLS会话信息从所述V-SLC传输到所述V-SUPL定位中心(SPC);
通过RLP SSRLIA消息,将会话ID和V-SPC地址从V-SLC传输到H-SLP,从而执行位置计算;
响应于所述SUPL START消息,通过消息将所述会话ID和V-SPC地址从所述H-SLP传输到SET;
使用所述TLS会话信息,在所述SET和V-SPC之间设置新的TLS连接;
通过在所述V-SPC和SET之间执行SUPL定位过程,而计算所述SET的位置;以及
当完成SET的位置计算时,将SUPL END消息从所述V-SPC传输到所述SET。
20.根据权利要求19所述的方法,其中,所述TLS会话信息包括:
TLS会话ID,在所述H-SLP和SET之间连接所述TLS会话时,已经使用过该TLS会话ID;以及
主秘密或漫游主秘密,其是所述TLS会话的钥信息。
21.根据权利要求20所述的方法,其中,所述TLS会话信息进一步包括参数,该参数指示在所述H-SLP和所述SET之间连接TLS会话时已经使用的加密方法和压缩方法。
22.根据权利要求20所述的方法,其中,通过将一值应用于伪随机函数来产生所述主秘密,其中通过将预主秘密与在所述SET和H-SLP之间已知的任意值级联而获得该值。
23.根据权利要求20所述的方法,其中,通过散列一值来产生所述漫游主秘密,通过将所述主秘密与漫游计数级联而获得该值。
24.根据权利要求19所述的方法,其中,利用完全握手协议来执行所述TLS会话。
25.根据权利要求19所述的方法,其中,利用简化握手协议来执行新的TLS连接。
26.根据权利要求19所述的方法,其中,该设置新的TLS连接的步骤包括:
将Client Hello消息从所述SET传输到所述V-SPC,该Client Hello消息包括版本、SET-Random和会话ID;
顺序地将Server Hello消息、改变密码规格消息和完成消息从所述V-SPC传输到所述SET,该Server Hello消息包括版本、V-SLP-Random和会话ID;
当从所述V-SPC输入完成消息时,由所述SET顺序地传输改变密码规格消息和完成消息,从而终止简化的握手过程。
Applications Claiming Priority (9)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020050004308 | 2005-01-17 | ||
| KR10-2005-0004308 | 2005-01-17 | ||
| KR20050004308 | 2005-01-17 | ||
| US64806805P | 2005-01-28 | 2005-01-28 | |
| US60/648,068 | 2005-01-28 | ||
| KR1020050132610A KR100846868B1 (ko) | 2005-01-17 | 2005-12-28 | Supl 기반의 위치정보 시스템에서의 tls 세션관리방법 |
| KR1020050132610 | 2005-12-28 | ||
| KR10-2005-0132610 | 2005-12-28 | ||
| PCT/KR2006/000078 WO2006075856A1 (en) | 2005-01-17 | 2006-01-09 | Tls session management method in supl-based positioning system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101120522A true CN101120522A (zh) | 2008-02-06 |
| CN101120522B CN101120522B (zh) | 2012-03-28 |
Family
ID=37174128
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006800020691A Expired - Fee Related CN101120522B (zh) | 2005-01-17 | 2006-01-09 | 在基于supl的定位系统中的tls会话管理方法 |
Country Status (2)
| Country | Link |
|---|---|
| KR (1) | KR100846868B1 (zh) |
| CN (1) | CN101120522B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101960824A (zh) * | 2008-02-26 | 2011-01-26 | 高通股份有限公司 | 用于为用户层面定位执行会话信息查询的方法和装置 |
| CN104106277A (zh) * | 2012-02-10 | 2014-10-15 | 高通股份有限公司 | 促使对移动装置的被发现位置服务器的安全接入 |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100690877B1 (ko) * | 2005-08-11 | 2007-03-09 | 엘지전자 주식회사 | 이동통신 시스템에서의 주기적인 위치추적 방법 |
| KR100690876B1 (ko) * | 2005-08-11 | 2007-03-09 | 엘지전자 주식회사 | 이동통신 시스템에서의 지역관련 위치 추적 방법 |
| KR100880258B1 (ko) * | 2007-02-15 | 2009-01-28 | 에스케이 텔레콤주식회사 | 위성 항법 시스템을 구비하지 않은 단말기의 상세 측위방법 및 시스템 |
| US8627422B2 (en) | 2010-11-06 | 2014-01-07 | Qualcomm Incorporated | Authentication in secure user plane location (SUPL) systems |
| KR101222442B1 (ko) * | 2011-04-29 | 2013-01-15 | (주) 지니테크 | TLS 암호화된 VoIP 통화 품질 모니터링 방법과 그 시스템 |
| KR102128244B1 (ko) | 2018-05-11 | 2020-06-30 | 국민대학교산학협력단 | Ssl/tls 기반의 네트워크 보안 장치 및 방법 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7360075B2 (en) * | 2001-02-12 | 2008-04-15 | Aventail Corporation, A Wholly Owned Subsidiary Of Sonicwall, Inc. | Method and apparatus for providing secure streaming data transmission facilities using unreliable protocols |
| CN100388830C (zh) * | 2003-01-28 | 2008-05-14 | 华为技术有限公司 | 一种位置定位系统及方法 |
| US7434044B2 (en) * | 2003-02-26 | 2008-10-07 | Cisco Technology, Inc. | Fast re-authentication with dynamic credentials |
-
2005
- 2005-12-28 KR KR1020050132610A patent/KR100846868B1/ko not_active IP Right Cessation
-
2006
- 2006-01-09 CN CN2006800020691A patent/CN101120522B/zh not_active Expired - Fee Related
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101960824A (zh) * | 2008-02-26 | 2011-01-26 | 高通股份有限公司 | 用于为用户层面定位执行会话信息查询的方法和装置 |
| US8626926B2 (en) | 2008-02-26 | 2014-01-07 | Qualcomm Incorporated | Method and apparatus for performing session info query for user plane location |
| CN101960824B (zh) * | 2008-02-26 | 2014-12-31 | 高通股份有限公司 | 用于为用户层面定位执行会话信息查询的方法和装置 |
| US9386406B2 (en) | 2008-02-26 | 2016-07-05 | Qualcomm Incorporated | Method and apparatus for performing session info query for user plane location |
| US9854392B2 (en) | 2008-02-26 | 2017-12-26 | Qualcomm Incorporated | Method and apparatus for performing session info query for user plane location |
| CN104106277A (zh) * | 2012-02-10 | 2014-10-15 | 高通股份有限公司 | 促使对移动装置的被发现位置服务器的安全接入 |
| CN104106277B (zh) * | 2012-02-10 | 2018-10-02 | 高通股份有限公司 | 促使对移动装置的被发现位置服务器的安全接入 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20060083857A (ko) | 2006-07-21 |
| CN101120522B (zh) | 2012-03-28 |
| KR100846868B1 (ko) | 2008-07-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7900039B2 (en) | TLS session management method in SUPL-based positioning system | |
| KR100595714B1 (ko) | Supl 기반의 위치정보 시스템에서 supl 초기화메시지 및 이를 이용한 supl 처리방법 | |
| US9706408B2 (en) | Authentication in secure user plane location (SUPL) systems | |
| US8781123B2 (en) | Method for processing location information relating to a terminal connected to a packet network via a cellular network | |
| EP2037621B1 (en) | Method and device for deriving local interface key | |
| US9253588B2 (en) | Virtual subscriber identity module | |
| KR101215530B1 (ko) | 네트워크에 독립적인 위치특정 서비스 | |
| CN101120522B (zh) | 在基于supl的定位系统中的tls会话管理方法 | |
| JP2019017120A (ja) | 基地局を自己構成する方法および装置 | |
| CN109756447A (zh) | 一种安全认证方法及相关设备 | |
| US20110320802A1 (en) | Authentication method, key distribution method and authentication and key distribution method | |
| CN108028829A (zh) | 用于获得对网络的初始接入的方法以及相关的无线设备和网络节点 | |
| KR20190004499A (ko) | eSIM 단말과 서버가 디지털 인증서를 협의하는 방법 및 장치 | |
| KR20030019336A (ko) | 패킷데이터 네트워크에서의 인증 | |
| Liu et al. | A secure and efficient authentication protocol for satellite-terrestrial networks | |
| CN114071452B (zh) | 用户签约数据的获取方法及装置 | |
| Zhu et al. | Research on authentication mechanism of cognitive radio networks based on certification authority | |
| CN100375410C (zh) | 一种位置信息传输的方法 | |
| KR100690869B1 (ko) | Supl기반의 위치정보 시스템에서의 비밀키 분배방법 | |
| WO2006080079A1 (ja) | 無線ネットワークシステムおよびそのユーザ認証方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120328 Termination date: 20170109 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |