CN104106277B - 促使对移动装置的被发现位置服务器的安全接入 - Google Patents
促使对移动装置的被发现位置服务器的安全接入 Download PDFInfo
- Publication number
- CN104106277B CN104106277B CN201380008585.5A CN201380008585A CN104106277B CN 104106277 B CN104106277 B CN 104106277B CN 201380008585 A CN201380008585 A CN 201380008585A CN 104106277 B CN104106277 B CN 104106277B
- Authority
- CN
- China
- Prior art keywords
- client
- server
- slp
- token
- certification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 claims abstract description 123
- 238000004891 communication Methods 0.000 claims abstract description 82
- 238000012790 confirmation Methods 0.000 claims abstract description 10
- 230000015654 memory Effects 0.000 claims description 24
- 230000006870 function Effects 0.000 claims description 10
- 230000001737 promoting effect Effects 0.000 claims description 7
- 238000010200 validation analysis Methods 0.000 claims description 2
- 238000013475 authorization Methods 0.000 description 15
- 239000003795 chemical substances by application Substances 0.000 description 14
- 238000005516 engineering process Methods 0.000 description 12
- 239000004744 fabric Substances 0.000 description 12
- 230000008569 process Effects 0.000 description 9
- 230000007246 mechanism Effects 0.000 description 8
- 230000004044 response Effects 0.000 description 8
- 238000012545 processing Methods 0.000 description 7
- 238000012795 verification Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 6
- 238000004422 calculation algorithm Methods 0.000 description 6
- 230000004807 localization Effects 0.000 description 6
- 238000007796 conventional method Methods 0.000 description 5
- 239000002131 composite material Substances 0.000 description 4
- 239000003550 marker Substances 0.000 description 4
- 238000005259 measurement Methods 0.000 description 4
- 230000000712 assembly Effects 0.000 description 3
- 238000000429 assembly Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 3
- 238000013500 data storage Methods 0.000 description 3
- 239000011159 matrix material Substances 0.000 description 3
- 238000000926 separation method Methods 0.000 description 3
- 230000003936 working memory Effects 0.000 description 3
- 230000003321 amplification Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000007906 compression Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000003199 nucleic acid amplification method Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 241000208340 Araliaceae Species 0.000 description 1
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 241001269238 Data Species 0.000 description 1
- 244000294411 Mirabilis expansa Species 0.000 description 1
- 235000015429 Mirabilis expansa Nutrition 0.000 description 1
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 description 1
- 235000003140 Panax quinquefolius Nutrition 0.000 description 1
- 241001168730 Simo Species 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 230000010267 cellular communication Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 239000004020 conductor Substances 0.000 description 1
- 229910052802 copper Inorganic materials 0.000 description 1
- 239000010949 copper Substances 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 235000008434 ginseng Nutrition 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 235000013536 miso Nutrition 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000001568 sexual effect Effects 0.000 description 1
- URWAJWIAIPFPJE-YFMIWBNJSA-N sisomycin Chemical compound O1C[C@@](O)(C)[C@H](NC)[C@@H](O)[C@H]1O[C@@H]1[C@@H](O)[C@H](O[C@@H]2[C@@H](CC=C(CN)O2)N)[C@@H](N)C[C@H]1N URWAJWIAIPFPJE-YFMIWBNJSA-N 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
- H04W4/029—Location-based management or tracking services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/20—Services signaling; Auxiliary data signalling, i.e. transmitting data via a non-traffic channel
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/06—Registration at serving network Location Register, VLR or user mobility server
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一种用于获得第一服务器与客户端之间的安全连接的方法。所述方法可包括建立第二服务器与所述客户端之间的安全通信会话,其中所述第二服务器得到所述第一服务器信任,且所述第二服务器经配置以认证所述客户端。所述客户端可接收客户端符记,其中所述客户端符记含有与所述第一服务器、所述第二服务器、所述客户端及数字签名相关联的数据。接着,所述客户端可请求对所述第一服务器的安全通信接入,其中所述请求包含将所述客户端符记传送到所述第一服务器。最后,所述客户端可基于由所述第一服务器对所述客户端的认证接收对所述第一服务器的安全通信接入的准予,其中所述认证是基于确证所述客户端的所述客户端符记及确证所述客户端符记的所述数字签名。
Description
相关申请案的交叉参考
本申请案主张2012年2月10日申请的第61/597,713号美国临时申请案“针对位置服务器用户促使被发现位置服务器的安全接入(Enabling Secure Access to aDiscovered Location Server for Location Service Users)”及2013年2月7日申请的第13/762,280号美国非临时申请案“针对移动装置促使被发现位置服务器的安全接入(Enabling Secure Access to a Discovered Location Server for a Mobile Device)”的权益,所述第13/762,280号美国非临时申请案在此被以引用的方式全部并入。
背景技术
本发明的方面涉及用于移动无线装置的基于位置的服务。特定来说,本发明的各种方面涉及安全用户平面位置(SUPL)技术。
移动无线装置的位置服务促使获得移动无线装置的当前位置及(视需要)速度及行驶方向并将前述各者提供到无线装置(例如,到在无线装置上执行的应用程序或无线装置的用户)或某第三方。第三方的实例可包含紧急服务提供者(例如,在来自无线装置的紧急呼叫的状况下),或取决于知晓无线装置的当前或先前位置的商业服务的某一外部提供者。对于可接入不同类型的无线通信网络的无线装置,位置服务可使用可从其接入的位置服务器来支持,且在一些状况下可驻存在当前正由无线终端机接入的无线网络内。位置服务器的作用可为(i)辅助无线终端机进行与适当位置相关的测量(例如,来自服务无线网络中基站的无线电信号的测量,或各种全球导航卫星的测量),且在一些状况下,(ii)基于此些测量计算无线终端机的位置。位置服务器还可用以将无线装置的位置中继传递到经授权以接收位置的实体,且在位置服务器而非无线装置已计算了位置的情况下将无线装置的位置传达到无线装置。
例如由开放移动联盟(OMA)定义的安全用户平面位置(SUPL)服务等当前用户平面位置服务从目标移动装置(例如,具备SUPL功能的终端机(SET))与位置服务器(例如,SUPL位置平台(SLP))之间的相互认证导出其安全性,其中每一方以完全可靠的方式验证另一方的身份。在相互认证之后,目标装置及服务器能够参与可经加密以防止其它实体截取的安全通信。另外,在目标装置也为用于任何位置服务的客户端的状况下,可能需要通过服务器进行的目标装置的后续授权。可能需要安全通信以保护敏感位置及用户数据,敏感位置及用户数据可促使服务器进行的位置服务布建(例如,辅助数据到目标装置的传送)及目标装置位置的导出。通过执行相互认证,可对移动装置确保位置服务器为移动装置自称的位置服务器且并非可滥用从移动装置获得的位置及其它信息的某一其它实体。类似地,位置服务器将知晓移动装置的身份,且可利用此(i)仅提供向所述装置授予的服务(例如,先前可能已订用的服务),(ii)针对所提供的服务向移动装置的用户或本地网络运营者正确开帐单,及/或(iii)将移动装置的位置正确地提供到经授权的实体(例如,由移动装置的用户)以接收此位置。
本地位置服务器(例如,在SUPL的状况下,本地SLP(H-SLP))为永久联合许多目标装置(例如,基于服务订用)的位置服务器。在移动无线装置的状况下,本地位置服务器有时将属于目标装置的本地网络运营者。无与一组目标装置的预先布建的永久联合的位置服务器可被称作被发现位置服务器。在SUPL的状况下,被发现位置服务器被称作被发现SLP(D-SLP)。被发现位置服务器通常可基于其当前位置、当前使用的接入网络及/或当前日期及时间由目标装置找到或提供到目标装置,且可属于位置服务的非本地网络运营者或某一其它非运营者提供者或与非本地网络运营者或某一其它非运营者提供者相关联。
存在两个类别的由SUPL版本2.0、2.1及3.0的OMA定义的常规SET-SLP认证方法,所述方法包括基于预共享密钥(PSK)的方法或基于证书的方法。
基于PSK的常规方法可包含:基于通用引导架构(GBA)的方法,所述方法可适用于通过装置进行的几乎所有类型的无线及有线接入;及基于SUPL加密密钥(SEK)的方法,所述方法可仅适用于在一些情形下由装置进行的对WIMAX网络的接入。
基于证书的常规方法可包含:基于替代性客户端认证(ACA)的方法、基于服务器证书的方法及基于装置证书的方法。
发明内容
提供用于在常规认证方法不可用时促使对例如移动装置的SUPL D-SLP等被发现位置服务器的安全接入的各种技术。本文中所描述的实施例使用为基于服务器证书的方法的客户端符记方法(例如,SET符记方法)来提供认证。
在被发现位置服务器因为以下情形不能够认证客户端目标装置时,可利用客户端符记方法:客户端的由客户端目标装置在对被发现位置服务器的接入期间提供的身份归因于缺少确认客户端的身份的确实性需要的信息而不可由被发现位置服务器验证。举例来说,在SUPL情况下,H-SLP可能能够使用ACA、装置证书或基于GBA的方法来认证SET,这是因为H-SLP提供有必要信息(例如,在GBA的状况下的PSK,或在装置证书或GBA方法状况下的全局客户端身份),且在ACA的状况下,可使客户端装置IP地址与全局客户端身份相关联。相比之下,D-SLP可能不能使用常规认证方法来认证SET,这是因为D-SLP可能缺少此信息或能力。举例来说,基于ACA的方法可能为不适当的,这是因为D-SLP可能不能接入SET身份与SET接入网络IP地址之间的关联或结合。另外,如果D-SLP不具有接入客户端的本地网络的授权,那么D-SLP可能不能够使用基于GBA的方法。另外,如果客户端的装置身份对于D-SLP为未知的,那么D-SLP可能不能够使用装置证书。
当被发现位置服务器(例如,D-SLP)以其它方式未能够认证客户端(例如,SET)时,客户端符记方法(例如,SET符记方法)提供一种机制。可需要此情形的情境包含GBA未经部署或ACA不适用的情境。举例来说,如果用于D-SLP接入的接入网络并不符合ACA要求(例如,支持欺骗自由网络环境及/或促使SET IP地址结合到待验证的SET身份),那么此情形可发生。
根据一些实施例,如图4A到4C中所说明,H-SLP可将SET符记发送到SET,作为D-SLP授权的部分。接着,如图5A到5C中所说明,SET可在于会话建立期间发送到D-SLP的任何初始SUPL消息中包含SET符记。可针对每一经授权的D-SLP定义SET符记。SET符记可含有由H-SLP以数字方式签名的与SET及H-SLP相关的信息。
SET符记方法可允许D-SLP认证SET授权或拒绝接入。SET符记还可包含非安全相关信息,例如,记帐码。通过使用SET符记,H-SLP及D-SLP可安全地交换认证、授权、记帐及/或其它用途所需要的信息。
根据一些实施例,揭示一种用于获得第一服务器与客户端之间的安全连接的方法。所述方法可包括建立第二服务器与所述客户端之间的安全通信会话,其中所述第二服务器被所述第一服务器信任,且所述第二服务器经配置以认证所述客户端。另外,所述客户端可使用所述安全通信会话接收客户端符记,其中所述客户端符记是针对所述第一服务器定义,且含有与所述第一服务器、所述第二服务器、所述客户端及数字签名相关联的数据。接着,所述客户端可请求对所述第一服务器的安全通信接入,其中所述请求包含将所述客户端符记传送到所述第一服务器。最后,所述客户端可基于由所述第一服务器进行的对所述客户端的认证接收对所述第一服务器的安全通信接入的准予,其中所述认证是基于确证所述客户端的所述客户端符记及确证所述客户端符记的所述数字签名。
举例来说,通过向D-SLP提供H-SLP的数字签名,D-SLP可认证SET符记。接着,D-SLP可将SET符记用于SET的认证。根据另一实施例,H-SLP在D-SLP授权期间还可将其数字证书(例如,公用密钥证书、SLP证书)发送到SET,SET可接着在会话建立期间将数字证书发送到D-SLP以认证H-SLP的数字签名。
根据另一实施例,一种用于获得与第一服务器的安全连接的客户端,所述客户端包括:一或多个处理器;及存储计算机可读指令的存储器,所述计算机可读指令在由所述一或多个处理器执行时可使所述客户端:建立第二服务器与所述客户端之间的安全通信会话,其中所述第二服务器被所述第一服务器信任,且所述第二服务器经配置以认证所述客户端;使用所述安全通信会话接收客户端符记,其中所述客户端符记是针对所述第一服务器定义,且含有与所述第一服务器、所述第二服务器、所述客户端及数字签名相关联的数据;请求对所述第一服务器的安全通信接入,其中所述请求包含将所述客户端符记传送到所述第一服务器;及基于由所述第一服务器进行的对所述客户端的认证接收对所述第一服务器的安全通信接入的准予,其中所述认证是基于确证所述客户端的所述客户端符记及确证所述客户端符记的所述数字签名。
根据另一实施例,一或多个计算机可读媒体存储用于获得第一服务器与客户端之间的安全连接的计算机可读指令,所述计算机可读指令在执行时使包含于所述客户端中的一或多个计算装置:建立第二服务器与所述客户端之间的安全通信会话,其中所述第二服务器被所述第一服务器信任,且所述第二服务器经配置以认证所述客户端;使用所述安全通信会话接收客户端符记,其中所述客户端符记是针对所述第一服务器定义,且含有与所述第一服务器、所述第二服务器、所述客户端及数字签名相关联的数据;请求对所述第一服务器的安全通信接入,其中所述请求包含将所述客户端符记传送到所述第一服务器;及基于由所述第一服务器进行的对所述客户端的认证接收对所述第一服务器的安全通信接入的准予,其中所述认证是基于确证所述客户端的所述客户端符记及确证所述客户端符记的所述数字签名。
根据另一实施例,揭示一种用于获得第一服务器与客户端之间的安全连接的设备。所述设备可包括:用于建立第二服务器与所述客户端之间的安全通信会话的装置,其中所述第二服务器被所述第一服务器信任,且所述第二服务器经配置以认证所述客户端;用于由所述客户端使用所述安全通信会话接收客户端符记的装置,其中所述客户端符记是针对所述第一服务器定义,且含有与所述第一服务器、所述第二服务器、所述客户端及数字签名相关联的数据;用于由所述客户端请求对所述第一服务器的安全通信接入的装置,其中所述请求包含将所述客户端符记传送到所述第一服务器;及用于由所述客户端基于由所述第一服务器进行的对所述客户端的认证接收对所述第一服务器的安全通信接入的准予的装置,其中所述认证是基于确证所述客户端的所述客户端符记及确证所述客户端符记的所述数字签名。
根据另一实施例,一种方法可包括在客户端处接收来自H-SLP的认证信息,其中认证信息是针对所述客户端及D-SLP定义。所述方法可进一步包括当接入或试图接入所述D-SLP时,将所述认证信息从所述客户端提供到所述D-SLP。在一些实施例中,可基于所述认证信息向所述客户端准予对所述D-SLP的安全接入。举例来说,所述认证信息可包括数字签名。
附图说明
可参看以下诸图来实现对各种实施例的本质及优点的进一步理解。在附加诸图中,类似组件或特征可具有相同参考标记。另外,通过在参考标记后接一短划线及辨别类似组件的第二标记可辨别相同类型的各种组件。如果在说明书中仅使用了第一参考标记,那么描述可适用于具有相同第一参考标记的类似组件中的任一者,而与第二参考标记无关。
图1A为可结合本文中所描述的各种系统及方法使用的实例无线网络环境的图形说明。
图1B说明接入一或多个基站及接入点的一或多个SET。
图2为各种实施例的示范性设备。
图3为描述各种实施例的示范性流程图。
图4A说明根据一实施例的一或多个D-SLP的H-SLP授权的方法。
图4B说明根据一实施例的一或多个D-SLP按请求的H-SLP授权的方法。
图4C说明根据一实施例的一或多个D-SLP的未经请求的H-SLP授权的方法。
图5A说明根据一实施例的D-SLP使用SET符记认证SET的方法。
图5B说明根据一实施例的SET使用SET符记从D-SLP获得经认证位置服务的方法。
图5C说明根据一实施例的D-SLP使用SET符记找出SET位置的方法。
图6A说明根据一实施例的SET符记的内容。
图6B说明根据一实施例的SLP证书的内容。
图7为各种实施例的示范性计算机系统。
具体实施方式
提出用于认证具备SUPL功能的终端机(SET)与SUPL位置平台(SLP)之间的安全连接的设备、方法、系统及计算机可读媒体。有时可使用常规认证方法(例如,基于ACA、基于GBA)来建立安全连接。当其它认证方法不可用或失败时,本发明的实施例使用客户端符记方法(例如,SET符记方法)来辅助载运安全认证数据。
本发明包含将客户端符记用于位置服务器进行的客户端认证的实施例。客户端认证可依赖位置服务器验证客户端的身份及身份的确实性的能力,客户端在服务器接入期间将所述能力提供到位置服务器。
本文中所描述的技术可用于对例如以下各者等各种无线通信网络的移动装置或客户端接入:码分多址(CDMA)网络、时分多址(TDMA)网络、频分多址(FDMA)网络、正交FDMA(OFDMA)网络、单载波FDMA(SC-FDMA)网络等。常常互换地使用术语“网络”与“系统”。CDMA网络可实施例如通用陆地无线电接入(UTRA)、CDMA2000等无线电技术。UTRA包含宽带CDMA(W-CDMA)及低码片速率(LCR)。CDMA2000涵盖IS-2000、IS-95及IS-856标准。TDMA网络可实施例如全球移动通信系统(GSM)等无线电技术。OFDMA网络可实施例如演进型UTRA(E-UTRA)、IEEE 802.11、IEEE802.16、IEEE 802.20、Flash-等无线电技术。UTRA为通用移动电信系统(UMTS)的部分。长期演进(LTE)为由E-UTRA使用的无线电接入技术。UTRA、E-UTRA、GSM、UMTS及LTE描述于来自名为“第三代合作伙伴计划”(3GPP)的组织的文件中。CDMA2000描述于来自名为“第三代合作伙伴计划2”(3GPP2)的组织的文件中。此些各种无线电技术及标准在此项技术中是已知的。
利用单载波调制及频域等化的单载波频分多址(SC-FDMA)为一种技术。SC-FDMA可具有与OFDMA系统的性能及总体复杂性类似的性能及总体复杂性。SC-FDMA信号可由于其固有的单载波结构而具有较低峰值-平均功率比(PAPR)。SC-FDMA已引起很多注意,尤其是在较低PAPR在发射功率效率方面对移动终端机非常有益的上行链路通信中。其当前为在3GPP长期演进(LTE)或演进型UTRA中对上行链路多址方案的工作假设。
各种实施例在本文中结合移动装置、接入终端机或SET来描述。移动装置、接入终端机或SET还可被叫作系统、用户单元、用户台、移动台、移动件、远程台、远程终端机、移动装置、用户终端机、终端机、移动终端机、无线装置、无线终端机、无线通信装置、用户代理、用户装置或用户装备(UE)。移动装置、接入终端机或SET可为蜂窝式电话、无线电话、会话起始协议(SIP)电话、无线局部回路(WLL)台、个人数字助理(PDA)、具有无线连接能力的手持式装置、计算装置、膝上型计算机、平板计算机或连接到调制解调器(例如,无线调制解调器)或含有调制解调器的其它处理装置。此外,本文中结合基站来描述各种实施例。基站可用于与接入终端机通信,且还可被称作接入点、节点B、演进型节点B(eNodeB)、接入点基站、WiFi接入点、超微型小区、本地基站、本地节点B、本地eNodeB或某一其它术语。
参看图1A,说明根据一些实施例的多址无线通信系统。接入点(AP)100包含多个天线群组,一天线群组包含104及106,另一天线群组包含108及110,且额外天线群组包含112及114。在图1中,针对每一天线群组展示仅两个天线,然而,较多或较少天线可用于每一天线群组。例如SET 116等接入终端机与天线112及114通信,其中天线112及114经由前向链路120将信息发射到接入终端机(例如,SET 116),且经由反向链路118从接入终端机(例如,SET 116)接收信息。另一接入终端机(例如,SET122)与天线106及108通信,其中天线106及108经由前向链路126将信息发射到接入终端机(例如,SET 122)且经由反向链路124从接入终端机(例如,SET 122)接收信息。在频分双工(FDD)系统中,通信链路118、120、124及126可将不同频率用于通信。举例来说,前向链路120可使用不同于由反向链路118所用的频率的频率。
图1A中的系统可支持多个载波(不同频率的波形信号)上的操作。多载波发射器可在多个载波上同时发射经调制的信号。每一经调制的信号可为码分多址(CDMA)信号、时分多址(TDMA)信号、正交频分多址(OFDMA)信号、单载波频分多址(SC-FDMA)信号等。每一经调制的信号可在不同载波上进行发送,且可载运导频数据、开销信息、数据等。
可将每一群天线及/或所述天线经设计以通信的区域称作接入点的扇区。在所述实施例中,天线群组各自经设计以与接入点100所涵盖的区域的扇区中的接入终端机通信。
在经由前向链路120及126的通信中,接入点100的发射天线可利用波束成形,以便改进用于不同接入终端机的前向链路的信噪比。而且,接入点使用波束成形而发射到遍及其涵盖范围随机散布的接入终端机可对邻近小区中的接入终端机造成比接入点经由单个天线而发射到其所有接入终端机少的干扰。在一些实施例中,不执行波束成形。
可使用其它接入点或发射台。举例来说,除AP 100外或替代AP 100,还可使用基站。在一些实施例中,例如AP 100等第一发射器可提供对第一网络的接入,而第二发射器(例如,蜂窝式基站)可提供对第二网络的接入。在一些实施例中,可接入第一发射器及第二发射器中的每一者的区域重叠。
图1B说明接入一或多个基站及接入点的一或多个SET。举例来说,SET 116可接入一些AP及基站。基站及接入点可连接到服务网络130(例如,WCDMA、LTE或cdma2000服务网络)。另外,服务网络130可直接或经由例如因特网等中间实体及系统而连接到本地网络140。在一些状况下,服务网络130及本地网络140可为同一网络。在此实例中,D-SLP 132及D-SLP 134可连接到服务网络130或可为服务网络130的部分。另外,H-SLP 142可连接到本地网络140,或可为本地网络140的部分。
根据一些实施例,也被称作外部客户端的SUPL代理133、135、143可分别连接到每一SLP 132、134、142。举例来说,SUPL代理143可从其关联SLP(即,H-SLP142)请求SET 122的位置,且SLP(即,H-SLP 142)可接着发起与SET 122的SUPL会话以获得位置。此外,如图4A到4C中进一步说明,在SET符记方法实例中,SET符记150及SLP证书160可在SUPL消息中从H-SLP 142载运到例如SET 122等SET。
在图1B中,H-SLP 142可为针对SET 116及SET 122的本地SLP。在一些情形下,SET116及122可接着从H-SLP 142获得位置服务——例如,当SET 116及122正各自直接接入本地网络140时。此些位置服务可使用由OMA定义的SUPL位置解决方案来支持,且可包含将辅助数据从H-SLP 140传送到SET 116或SET 122以促使SET从当前服务网络中的接入点及基站(例如,接入点100)及/或从全球导航卫星(图1B中未展示)(例如属于全球定位系统GPS或例如欧洲伽利略系统或俄罗斯GLONASS系统等其它系统的卫星)获取并测量无线电信号。H-SLP执行的额外SUPL位置服务可包含基于由SET 116或122进行并提供到H-SLP 142的信号测量来计算对于SET 116或122的位置估计。另外,SUPL位置服务可包含将H-SLP 142获得的位置估计传送到SUPL代理143或到SET 116或SET 122。在SET 116及SET 122正接入不同于本地网络140的服务网络130的状况下,使用SUPL,D-SLP 132及D-SLP 134可比H-SLP 142提供好的位置服务。此情形可发生是因为D-SLP 132及134比H-SLP 142具有对服务网络130的多的知识(例如,接入点100的位置及发射特性的更多知识),且因此可更好地能够(i)提供与获取并测量来自服务网络130的无线电信号相关的位置辅助数据,(ii)使用此些测量来计算准确位置,及/或(iii)将辅助数据提供到SET 116及122,从而促使此些SET自身计算此位置。由于此原因,H-SLP 142有可利地以安全方式向SET 116及122提供接入D-SLP 132及134需要的信息。此信息可包含D-SLP 132及134的地址(例如,IP地址或完整域名(FQDN))及在某些条件下(例如,在某些位置处、在某些时间及/或在接入例如服务网络130等某些网络时)对接入此些D-SLP的授权。
图2为MIMO系统200中的发射器系统210(其可(例如)实施接入点100)及接收器系统250(其可(例如)实施例如SET 116等接入终端机)的—实施例的框图。然而,应注意到,虽然描述实例MIMO系统200,但在一些实施例中不使用MIMO,这是因为可使用其它系统(例如,SISO、MISO、SIMO等)。在发射器系统210处,将许多数据流的流通量数据从数据源212提供到发射(TX)数据处理器214。
在一些实施例中,在相应发射天线上发射每一数据流。TX数据处理器214基于经选择用于每一数据流的特定译码方案而格式化、译码及交错所述数据流的流通量数据以提供经译码的数据。
每一数据流的经译码的数据可使用OFDM技术与导频数据一起多路复用。导频数据通常为以已知方式处理的已知数据样式且可在接收器系统处用来估计频道响应。接着基于经选择用于每一数据流的特定调制方案(例如,BPSK、QSPK、M-PSK或M-QAM)来调制(即,符号映射)所述数据流的经多路复用的导频及经译码的数据以提供调制符号。可通过由处理器230所执行的指令来确定每一数据流的数据速率、译码及调制。指令可存储于存储器232中。
接着将用于所有数据流的调制符号提供到TX MIMO处理器220,所述TX MIMO处理器220可进一步处理调制符号(例如,对于OFDM)。TX MIMO处理器220接着将NT个调制符号流提供到NT个发射器(TMTR)222a到222t。在某些实施例中,TX MIMO处理器220将波束成形权重应用于所述数据流的符号及天线(正从所述天线发射符号)。
每一发射器222接收并处理相应符号流以提供一或多个模拟信号,且进一步调节(例如,放大、滤波及增频转换)所述模拟信号以提供适合于经由MIMO频道发射的经调制的信号。接着分别从NT个天线224a到224t发射来自发射器222a到222t的NT个经调制的信号。
在接收器系统250处,由NR个天线252a到252r接收所发射的经调制的信号,且来自每一天线252的所接收信号被提供到相应接收器(RCVR)254a到254r。每一接收器254调节(例如,滤波、放大及降频转换)相应接收的信号、数字化经调节的信号以提供样本,且进一步处理所述样本以提供对应的“接收的”符号流。
RX数据处理器260接着接收且基于特定接收器处理技术处理来自NR个接收器254的NR个接收的符号流以提供NT个“经检测的”符号流。RX数据处理器260接着解调制、解交错并解码每一所检测符号流以恢复数据流的流通量数据。由RX数据处理器260进行的处理与由发射器系统210处的TX MIMO处理器220及TX数据处理器214执行的处理互补。
处理器270周期性地确定使用可存储于存储器272中的哪个预译码矩阵(在下文中论述)。处理器270用公式表示包括矩阵索引部分及秩值部分的反向链路消息。
反向链路消息可包括关于通信链路及/或所接收的数据流的各种类型的信息。反向链路消息接着由TX数据处理器238(其还接收来自数据源236的许多数据流的流通量数据)处理、由调制器280调制、由发射器254a到254r调节,并被发射回到发射器系统210。两个或两个以上接收器、发射器及天线群组可经配置以接入分离网络,例如,WLAN网络及LTE、WCDMA或cdma2000 HPRD网络。在一些实施例中,单个接收器、发射器及天线群组可经配置以接入至少两个分离网络。类似地,可包含多个处理器以处理多个网络的通信及/或数据。另外,单个处理器可经配置以处理多个网络的通信及/或数据。
在发射器系统210处,来自接收器系统250的经调制的信号由天线224接收、由接收器222调节、由解调制器240解调制且由RX数据处理器242处理以提取由接收器系统250发射的反向链路消息。处理器230接着确定将哪一预译码矩阵用于确定波束成形权重,且接着处理所提取的消息。
具备SUPL功能的通信系统
本地位置服务器(例如,在SUPL的状况下,本地SLP(H-SLP))为联合例如SET等客户端移动装置(例如,基于服务订用)的位置服务器。在以下描述中,术语客户端指为本地位置服务器的客户端的例如SET等移动装置,且可使用(例如)SUPL经由与本地位置服务器的交互而获得位置服务。本地位置服务器及客户端可已布建有彼此的身份(例如,地址)。举例来说,客户端可使用本地位置服务器的预布建的身份(例如,FQDN或IP地址)以能够接入服务器,且接着使用常规公用密钥机制基于服务器的公用密钥证书来认证服务器。另外,本地位置服务器可通过以下两者来识别客户端:客户端的客户端在服务器接入期间可提供到本地位置服务器的身份,及验证客户端的身份的确实性的提供到本地位置服务器的额外信息。此额外信息可由客户端的基础接入网络或本地网络来提供,所述基础接入网络或本地网络能够基于客户端的所指派接入网络地址(例如,客户端的IP地址)识别客户端(例如,能够确定客户端的身份,例如,其国际移动用户识别码(IMSI))。在SUPL中,H-SLP进行的客户端身份到客户端接入网络地址的此结合的发现形成由H-SLP认证SET的替代性客户端认证(ACA)方法的基础。客户端及其本地位置服务器还可将其它方法方法用于由本地位置服务器进行的客户端的认证(例如,GBA或装置证书)。此些方法中的两者取决于装置及服务器(或与服务器相关联的任何网络)两者对秘密PSK的知晓,且在PSK未知时不可使用(例如,由服务器)。
ACA取决于服务器或与服务器相关联的网络使无线装置的公用IP地址与无线装置的全局身份(例如,国际电话号码)相关联的能力。当服务器或其关联网络不可执行此IP地址关联时,或当无线装置的全局身份尚不为服务器知晓时,服务器不可使用ACA。基于服务器证书及装置证书的方法取决于一方将数字签名的全局自识别(例如,国际无线终端机ID或全局服务器因特网地址)提供到另一方(服务器或无线终端机),所述另一方可使用已知公用密钥或已知根公用密钥验证所述数字签名的全局自识别以验证数字签名及预布建的知识。数字签名且现经验证的全局识别可接着与已知晓的任何全局识别进行比较,且如果发现匹配,那么可信任全局识别。当公用密钥或根公用密钥或全局识别尚不知晓时,此些基于证书的方法不可使用(例如,由服务器)。
在被发现位置服务器的状况下,因为与任一无线终端机的关联将始终为暂时的,所以PSK或任何无线装置全局身份的知识有时将缺少,从而致使基于PSK及装置证书的认证方法不能够认证无线装置。此外,被发现位置服务器可能不能够验证无线装置与无线装置全局身份的IP地址关联,或可能未预布建有有效无线装置全局身份,从而致使ACA方法不能够认证无线装置。在一些状况下,无线装置或其本地网络可能不支持装置证书或GBA,从而使此些方法对于被发现位置服务器不可用,甚至在可能已以其它方式使用了此些方法时。在此些状况下,被发现位置服务器可需要使用某一其它非常规方法来认证无线装置。
可利用与客户端无预布建关联的位置服务器(即,关于客户端的非本地位置服务器)将位置服务提供到客户端。如果两个实体(即,客户端及非本地位置服务器)能够彼此相互认证,且如果客户端的本地位置服务器已授权此服务器供客户端使用,那么此情形可发生。在本发明中,此位置服务器被叫作被发现位置服务器。在SUPL的状况下,被发现位置服务器被称作被发现SLP(D-SLP)。如本文中较早所描述,在一些情况下,被发现位置服务器(例如,D-SLP)可给客户端提供比本地位置服务器(例如,H-SLP)好的位置服务。
为了授权被发现位置服务器供客户端使用,本地位置服务器可将被发现位置服务器的身份(例如,其FQDN)提供到客户端,并确认所述身份。另外,本地位置服务器可提供接入相关信息(例如,经授权的服务持续时间、记帐码)。此过程被叫作被发现位置服务器授权。如果客户端自身未能发现此服务器,那么所述过程可由可将请求发送到本地位置服务器的客户端发起以授权特定被发现位置服务器或向客户端提供被发现服务器的身份。在被发现位置服务器授权之后,类似于客户端认证其本地位置服务器,客户端将能够接入被发现位置服务器,且使用服务器的公用密钥基于公用密钥机制来认证被发现位置服务器(其又可基于已知根公用密钥使用随证书始创的证书链来认证)。此公用密钥机制由SUPL使用。
在一些例子中,被发现位置服务器可能不能够认证客户端,这是因为客户端在接入被发现位置服务器期间所提供的客户端身份归因于缺少确认客户端的身份的确实性所需要的信息而无法由被发现位置服务器验证。如先前所提到,虽然H-SLP可能能够使用ACA、GBA或装置证书方法来认证SET,但D-SLP可能不能够使用常规认证方法来认证SET。
客户端符记方法
在客户端符记方法中,作为被发现位置服务器授权过程的方法,本地位置服务器经由客户端符记将数字签名的客户端相关信息提供到客户端。
客户端符记还可被称作客户端证书、客户端检定的数据或SET符记。客户端符记可包括以下各者中的一或多者:客户端身份(例如,IMSI、移动台集成服务数字网络号(MSISDN)、客户端公用用户地址)、本地位置服务器身份或地址、被发现位置服务器身份或地址及被发现位置服务器授权的时间及持续时间。此信息由本地位置服务器使用秘密私密密钥数字签名。数字签名可由任一其它实体(例如,被发现位置服务器)使用以下两者中的任一者来验证:对应于由本地位置服务器使用的私密密钥的已知公用密钥,或本地位置服务器提供的促使通过安全方式获得此公用密钥的数字证书。举例来说,本地位置服务器可将其自己的数字证书(例如,公用密钥证书、服务器证书、SLP证书160)提供到客户端。数字证书可包括本地位置服务器的身份,及供本地位置服务器使用以数字地签名客户端符记的公用密钥。另外,此信息可由可为证书当局(CA)的另一实体来数字签名。CA可为需要验证客户端符记的任一实体(例如,被发现位置服务器)已知且信任,且由CA使用以数字签名本地位置服务器公用密钥的公用密钥也可为已知的。如果并非已知及被信任,那么本地位置服务器可提供源自某一已知及信任的根CA的额外证书链作为检定CA的数字签名的数字证书的部分。客户端从本地位置服务器接收客户端符记及(如果发送)数字证书两者。客户端可以安全方式存储客户端符记及数字证书两者,使得信息不可被另一实体容易地获得。举例来说,信息可由客户端以加密形式存储(使用保持于安全客户端存储器中的密钥),及/或可存储于不可由用户或在客户端外部的其它实体接入的安全存储器中。此外,客户端符记及数字证书可由本地位置服务器经由安全链路发送到客户端(即,在本地位置服务器及客户端执行了成功的相互认证且在此认证中使用加密设置之后)。
在被发现位置服务器授权过程之后,被发现位置服务器会话建立过程可开始。在会话建立过程中,客户端可第一次接入被发现位置服务器。作为第一次接入的部分,客户端可能能够经由由被发现位置服务器发送到客户端的公用密钥证书来认证被发现位置服务器。然而,被发现位置服务器最初可能不能够认证客户端(例如,在不可使用ACA或GBA方法的情况下)。取而代之,被发现位置服务器可临时接受来自客户端的接入。客户端可接着将客户端符记及数字证书两者发送到被发现位置服务器作为发送到被发现位置服务器的第一位置相关消息(例如,对于SUPL,第一SUPL消息)的部分。被发现位置服务器可使用客户端符记来验证客户端的身份的确实性,且(如果提供)可使用数字证书来针对客户端符记验证本地位置服务器的数字签名的确实性。另外,被发现位置服务器可存储数字证书,使得客户端在后续服务器接入期间不需要重新发送数字证书。因此,在未来被发现位置服务器接入期间,客户端在一些实施例中可仅提供客户端符记。
认证
被发现位置服务器进行的客户端的认证可利用客户端符记中的经数字签名的信息。如先前所提及,客户端符记(例如,SET符记)可包括客户端(例如,SET)身份、本地位置服务器(例如,H-SLP)身份、被发现位置服务器(例如,(D-SLP)身份、发布符记的时间及符记的持续时间。被发现位置服务器可信任其信息,这是因为被发现位置服务器已知晓与应用到客户端符记的本地位置服务器数字签名相关联的公用密钥,或是因为此公用密钥由数字证书予以了认证。假定被发现位置服务器信任本地位置服务器(例如,经由此些服务器的提供者之间的先前商用布置),那么被发现位置服务器可知晓具有所提供(且现经认证)的身份的客户端已由本地位置服务器(其身份还经包含并认证)授权以接入位置服务器(经由包含现经认证的被发现位置服务器身份)。如果客户端符记进一步包含数据及时间范围,那么被发现位置服务器还可知晓客户端经授权以接入被发现位置服务器的周期。此周期的知晓可用以防止同一客户端或可以某种方式截取或获得客户端符记的某一其它装置在此周期已期满之后(或在一些状况下在所述周期已开始之前)重新使用同一客户端符记来获得来自被发现位置服务器的未经授权位置服务。
虽然如上文所描述认证了信息,但被发现位置服务器不可验证其为发送此信息的客户端且并非可能已截取或以其它方式非法获得信息的另一实体。为了防止另一实体进行的此非法使用,客户端符记及数字证书可由本地位置服务器经由安全(例如,经编密)连接传送到客户端。另外,客户端可如本文中较早所描述将信息保持于安全存储器中及/或以经编密形式来保持信息,且不允许除意欲的被发现位置服务器外的用户或任何其它实体接入信息。客户端符记还可包含被发现位置服务器的身份以防止客户端或另一实体将客户端符记供任一其它位置服务器使用。
客户端符记及数字证书可保持有效,直到其期满或由本地位置服务器撤销。根据一些实施例,客户端符记及数字证书可载运期满日期。另外,本地位置服务器可通过在另一被发现位置服务器授权期间提供新客户端符记来撤销客户端符记。新客户端符记可替换客户端上先前存储的客户端符记。如果在被发现位置服务器授权期间未提供新客户端符记,那么可擦除客户端上的任何现有客户端符记。
同一机制可应用于本地位置服务器的数字证书。另外,无论何时当数字证书在被发现位置服务器授权期间由本地位置服务器提供到客户端时,客户端便可在初始被发现位置服务器接入期间将数字证书发送到被发现位置服务器。接着,被发现位置服务器可由新证书替换任何现有(例如,先前存储的)数字证书,并存储新证书以供未来使用。客户端可能不接着需要在第一接入之后提供用于后续接入被发现位置服务器的数字证书,这是因为被发现位置服务器已具有来自第一接入的数字证书。然而,客户端可提供用于每一后续接入被发现位置服务器的客户端符记以促使被发现位置服务器认证客户端
在一些实施例中,数字证书可通过本地位置服务器借助于两个服务器之间的分离安全通信会话提供到被发现位置服务器,且不需要由本地位置服务器传送到客户端及由客户端传送到被发现位置服务器。
另外,本地位置服务器可使用数字签名的客户端符记来将与经授权服务相关的额外信息传送到被发现位置服务器。此信息可包含记帐相关信息(例如,已由本地位置服务器唯一地指派到客户端的记帐码)、服务相关信息(例如,经授权地理服务区域、被发现位置服务器可提供到客户端的经授权服务的列表)及/或被发现位置服务器可需要以将服务提供到客户端的任何其它信息。在由客户端对服务请求进行授权时或当将记帐信息递送到本地位置服务器或与本地位置服务器相关联的网络时,被发现位置服务器可使用此信息。
被发现位置服务器授权过程可需要,在一些实施例中,本地位置服务器及客户端在成功的相互认证之后经由安全链路通信。此情形可需要(例如,如果GBA或装置证书认证不被支持)接入网络能够提供本地位置服务器需要的信息以验证客户端的身份的确实性(例如,客户端的接入网络地址,及如由认证的ACA方法使用的客户端的识别)。
在所述例子中,当客户端使用不提供此功能性的第一接入网络(例如,公用或私密WiFi网络)时,本地位置服务器进行的被发现位置服务器授权可能不能够发生,这是因为本地位置服务器未能够认证客户端(例如,使用ACA方法)。然而,客户端可通过临时切换到确实提供此功能性的第二接入网络(例如,客户端的本地网络,或遵照与由本地网络支持的例如3GPP或3GPP2标准等标准相容的标准的网络)来解决此情形。本地位置服务器进行的被发现位置服务器授权可接着使用此第二接入网络发生。在本地位置服务器进行的成功被发现位置服务器授权之后,客户端可切换回到第一接入网络,且使用第一接入网络从被发现位置服务器获得服务。当本地位置服务器进行的客户端的认证可能不另外可能时,客户端符记方法还可促使对本地位置服务器(例如,H-SLP)的经认证的客户端接入。当客户端能够接入其本地位置服务器且可由本地位置服务器使用某一其它机制(例如,GBA、ACA、装置证书)认证时,本地位置服务器可将客户端符记提供到客户端。在某后续时间,客户端可在本地位置服务器未能够使用其它方法认证客户端的一环境中(例如,使用例如WiFi网络的另一接入网络)接入本地位置服务器。在此状况下,客户端可将先前从本地位置服务器获得的客户端符记提供到本地位置服务器以促使本地位置服务器认证客户端。在此状况下,当本地位置服务器原先向客户端提供客户端符记时,正常地包含于客户端符记中的被发现位置服务器身份或地址可由本地位置服务器身份或地址替换。在此状况下可不需要数字证书,这是因为本地位置服务器将已知晓并信任其自己的公用密钥。
SET符记方法
SET符记方法为对于SUPL特定的客户端符记方法的实例,但本文中所描述的概念可扩展到其它通信范例。当前由SUPL 2.1中的OMA定义的D-SLP概念使用SUPL2.0安全机制,所述SUPL 2.0安全机制需要将ACA及/或GBA用于相互认证。举例来说,GBA可能并不适用,这是由于存在极少到不存在商用部署。另外,使用ACA需要,IP地址欺骗在接入D-SLP时为不可能的,且有可能通过D-SLP或与D-SLP相关联的SET服务网络使SET IP地址与SET全局身份(例如,IMSI或MSISDN)可靠地相关联,其可能并非始终可能(例如,对于经由WLAN对D-SLP的SET接入)。
通过引入叫作SET符记150的新参数(H-SLP 142将所述新参数发送到SET 116作为D-SLP授权的部分),SET 116的D-SLP授权变为可能的。SET 116可将SET符记150包含于在SUPL会话建立期间发送到D-SLP的任何初始SUPL消息中。SET符记150可含有由H-SLP数字签名的与SET、H-SLP及D-SLP相关的信息。
当D-SLP 132未能够使用其它认证方法认证SET 116时,SET符记方法提供认证。SET符记方法可在GBA或ACA皆不可用或适用的情境下促使由D-SLP 132认证SET 116。可需要此情形的情境包含GBA未经部署或ACA不适用的情境。举例来说,如果用于D-SLP接入的接入网络并不符合ACA要求,例如,支持欺骗自由网络环境及/或促使SET IP地址结合到待验证的SET身份,那么此情形可发生。
在一些实施例中,SET符记方法可需要,D-SLP授权过程经由SET与其H-SLP之间的安全输送层安全(TLS)连接而发生,在所述H-SLP之处,SET认证由H-SLP使用GBA、装置证书或ACA执行(且在H-SLP之处,可使用由H-SLP提供到SET的公用密钥服务器证书来执行H-SLP的SET认证)。在D-SLP授权过程中,H-SLP 142可将SET符记150及(视需要)其自己的数字证书(SLP证书160)提供到SET 116。当H-SLP142授权用于由SET 116进行的接入的一个以上D-SLP时,H-SLP 142可提供针对经授权的每一D-SLP的分离SET符记150,这是由于每一SET符记可含有个别D-SLP地址或身份,且因此可不同于用于某一其它D-SLP的SET符记。然而,H-SLP 142可提供针对所有SET符记150的一共同数字证书(即,一共同SLP证书160),这是因为数字证书可仅含有对于H-SLP 142特定且对于任一D-SLP并不特定的信息。当SET 116随后接入经授权的D-SLP 132时,SET 116可使用公用密钥认证来认证D-SLP 132(例如,与对于ACA方法的SET认证H-SLP或D-SLP相同的方式)。在SET 116与D-SLP 132之间的安全(例如,经编密)IP连接的成功D-SLP认证及建立之后,SET 116可将与D-SLP 132相关联的SET符记150及SLP证书160(如果由H-SLP 142提供)发送到D-SLP132。此情形可在SET 116对D-SLP132的初始接入期间发生(例如,取决于正使用的SUPL会话的类型,可由SET 116在SUPLSTART、SUPL TRIGGERED START或SUPL POS INIT消息中传送到D-SLP 132)。D-SLP 132可接着使用SET符记150来认证SET 116及SLP证书160以确证SET符记150的确实性。根据一实施例,D-SLP可知晓H-SLP的公用密钥(例如,经由离线过程),在所述状况下,不需要提供SLP证书,或不需要使用SLP证书(在经提供的情况下)。
通过向D-SLP提供H-SLP的数字证书(例如,公用密钥证书)来促使D-SLP认证SET符记150。为此,H-SLP 142在D-SLP授权期间将其公用密钥证书(例如,SLP证书160)发送到SET,SET 116接着在会话建立期间还将公用密钥证书发送到D-SLP132。
另外,SET符记150还可包含非安全相关信息,例如,记帐码。通过SET符记150,H-SLP及D-SLP可安全地交换认证、授权、记帐及其它用途所需要的信息。
图3说明用于获得第一服务器与客户端之间的安全连接的示范性方法300。在一些实施例中,第一服务器可为D-SLP(例如,图1B中的D-SLP 132或134),且客户端可为SET(例如,图1B中的SET 116或122)。
在302处,客户端与第二服务器可建立安全连接。第二服务器由第一服务器信任,且第二服务器能够认证客户端。在一些实施例中,客户端由系统250实施。在此些实施例中,302的至少部分可(例如)由收发器254(例如,结合调制器280)及/或处理器238、260及270中的一或多者(例如,结合来自数据源236及/或存储器272的信息及/或指令)执行。在一些实施例中,第二服务器由系统210实施。在此些实施例中,302的至少部分可(例如)由收发器222(例如,结合解调制器240)及/或处理器214、220、230及242中的一或多者(例如,结合来自数据源212及/或存储器232的信息及/或指令)执行。
举例来说,在302处,客户端(例如,SET 116)可建立与例如客户端的本地位置服务器(例如,H-SLP 142)等第二服务器的安全连接。在此实例中,SET 116可使用例如LTE、WCDMA、GSM或cdma2000 HRPD网络等公用蜂窝式网络来接入其H-SLP142。接入可由H-SLP142或由SET 116调用。
根据一些实施例,为了在302处建立安全连接,SET可使用由H-SLP提供到SET(在初始SET接入时)的公用密钥证书来认证H-SLP,且H-SLP可通过从接入网络可靠地获得与IP地址相关联的SET身份(例如,IMSI或MSISDN)认证SET,SET正使用所述IP地址接入H-SLP。此认证方法构成ACA认证方法,但还可使用其它认证方法,例如,GBA或装置证书。
在304处,客户端使用安全通信会话从第二服务器接收客户端符记。客户端符记经具体针对第一服务器定义,且含有与第一服务器、第二服务器、客户端及数字签名相关联的数据。如果客户端请求来自第二服务器的授权以接入第一服务器,或如果第二服务器察觉到客户端能够接入第一服务器(例如,在客户端的当前位置处,或使用客户端的当前接入网络)的益处,或如果客户端请求来自第二服务器的认证信息以接入第一服务器或由于其它原因,那么可触发块304。在一些实施例中,客户端由系统250实施。在此些实施例中,304的至少部分可(例如)由收发器254(例如,结合调制器280)及/或处理器238、260及270中的一或多者(例如,结合来自数据源236及/或存储器272的信息及/或指令)执行。在一些实施例中,第二服务器由系统210实施。在此些实施例中,304的至少部分可(例如)由收发器222(例如,结合解调制器240)及/或处理器214、220、230及242中的一或多者(例如,结合来自数据源212及/或存储器232的信息及/或指令)执行。
举例来说,在304处,SUPL会话可建立于H-SLP 142与SET 116之间,且作为此会话的部分或使用另一SUPL会话,H-SLP 142将SET符记150传送到SET 116,所述SET符记150可包含SET身份、H-SLP身份、当前时间及符记的有效性周期。SET符记150由H-SLP 142数字签名。传送可如图4C中所说明为未请求的,或可如图4B中所说明由SET请求。
根据另一实施例,在304处,SET 116可从H-SLP 142接收SET符记150。SET符记150可经具体针对D-SLP 132定义,且含有与D-SLP 132、H-SLP 142、SET 116及数字签名相关联的数据。
视需要,在306处,客户端(例如,SET 116)可使用安全通信会话接收数字证书(例如,SLP证书160)。客户端(例如,SET 116)可在308的请求中将数字证书(例如,SLP证书160)传送到第一服务器(例如,D-SLP 132)。第一服务器(例如,D-SLP 132)可使用数字证书(例如,SLP证书160)来确证数字签名。在一些实施例中,客户端由系统250实施。在此些实施例中,306的至少部分可(例如)由收发器254(例如,结合调制器280)及/或处理器238、260及270中的一或多者(例如,结合来自数据源236及/或存储器272的信息及/或指令)执行。在一些实施例中,第二服务器由系统210实施。在此些实施例中,306的至少部分可(例如)由收发器222(例如,结合解调制器240)及/或处理器214、220、230及242中的一或多者(例如,结合来自数据源212及/或存储器232的信息及/或指令)执行。根据一些实施例。308发生是因为客户端与第一服务器之间的其它认证方法(例如,ACA、GBA)失败。为了说明,作为308的部分,SET试图使用无线局域网(WLAN)来接入D-SLP。作为此接入的部分,将SET IP地址传送到D-SLP。SET试图使用用于D-SLP的公用密钥证书来认证D-SLP,且可使此认证成功。然而,举例来说,D-SLP不可使用ACA来认证SET,这是因为D-SLP不能够从WLAN可靠地获得对应于SETIP地址的SET身份,或D-SLP能够获得SET身份但不能够使身份匹配先前布建于D-SLP中的任何身份。因此从D-SLP的观点看来,ACA认证失败。然而,D-SLP可仍允许建立与SET的安全连接以成功预期308的下一部分,在所述下一部分中,在建立到D-SLP的安全连接之后,SET将较早从H-SLP接收的SET符记150传送到D-SLP。D-SLP可接着使用SET符记及还从SET作为308的部分接收的SLP证书160来认证SET。
在一些实施例中,客户端由系统250实施。在此些实施例中,308的至少部分可(例如)由收发器254(例如,结合调制器280)及/或处理器238、260及270中的一或多者(例如,结合来自数据源236及/或存储器272的信息及/或指令)执行。在一些实施例中,第一服务器由系统210实施。在此些实施例中,308的至少部分可(例如)由收发器222(例如,结合解调制器240)及/或处理器214、220、230及242中的一或多者(例如,结合来自数据源212及/或存储器232的信息及/或指令)执行。
为了进一步说明308,根据第一服务器及第二服务器皆为同一H-SLP且302、304及306在H-SLP可使用ACA或某一其它常规方法认证SET之时在308之前某些时间发生的另一实施例,H-SLP可临时允许SET接入在308处继续进行,且SUPL会话建立于SET与H-SLP之间,尽管H-SLP不能够使用ACA(或某一其它常规方法)来认证SET。在此实施例中,SET 116将较早在304处接收到的SET符记150传送到H-SLP。接着,H-SLP使用SET符记150来认证SET身份。SET符记150的传送可为未请求的,或可由H-SLP请求。SET 116可接着在310处从H-SLP接收认证成功的确认。此SUPL会话继续,且稍后终止促使SET 116从H-SLP接收位置服务。
返回到第一及第二服务器不同(例如,第一服务器为D-SLP且第二服务器为H-SLP)的先前实施例,在310处,客户端基于第一服务器进行的对客户端的认证接收对第一服务器的安全通信接入的准予。认证可包含使用客户端符记确证客户端,及使用数字签名确证客户端符记。在一些实施例中,客户端由系统250实施。在此些实施例中,310的至少部分可(例如)由收发器254(例如,结合调制器280)及/或处理器238、260及270中的一或多者(例如,结合来自数据源236及/或存储器272的信息及/或指令)执行。在一些实施例中,第一服务器由系统210实施。在此些实施例中,310的至少部分可(例如)由收发器222(例如,结合解调制器240)及/或处理器214、220、230及242中的一或多者(例如,结合来自数据源212及/或存储器232的信息及/或指令)执行。
举例来说,SET 116可基于D-SLP进行的对SET 116的认证接收对D-SLP 132的安全通信接入的准予。认证包含使用SET符记150确证SET,及使用数字签名确证SET符记150。视需要,如果包含306,那么第一服务器(例如,D-SLP 132)可使用数字证书(例如,SLP证书160)来确证数字签名。
根据另一实施例,D-SLP(例如,D-SLP 132)可使用先前接收到的IP地址接入SET116以获得代表外部客户端(例如,SUPL代理133)的SET位置。SET 116可将先前在304处接收到的SET符记150传送到D-SLP(例如,未请求,或在D-SLP的请求时)以允许D-SLP认证SET 116。D-SLP可接着可靠地获得SET位置,并将所述位置传送到外部客户端。
一或多个D-SLP的H-SLP授权(例如,302、304、306)
现参看图4A,SET可请求对一或多个已知D-SLP的授权,及/或可通过首先建立到其H-SLP的安全连接且接着将含有请求的SUPL START消息发送到H-SLP来请求一或多个先前未知但经授权的D-SLP的地址。H-SLP可接着以SUPL END消息将所请求的D-SLP授权及/或地址信息返回到SET。作为由H-SLP针对D-SLP授权以SUPL END消息返回的信息的部分,H-SLP可包含含有由H-SLP数字签名的与SET及H-SLP相关的信息的SET符记150。SET符记150还可含有非安全相关信息,例如,记帐码。SET符记150可为含有与D-SLP授权相关的其它信息的SUPL slp授权参数的部分(例如,经授权D-SLP的地址,及SET可接入每一经授权D-SLP的条件)。H-SLP还可发送其公用密钥证书(例如,SLP证书160)以促使任一D-SLP验证SET符记150的确实性。由H-SLP发送的SLP证书160可能并非D-SLP特定的。因此,如在SET符记150的情况下,可能不需要针对每一D-SLP分离地发送SLP证书160,但可适用于针对此特定SET授权的所有D-SLP,借此减少传讯。
SET符记为根据本发明的一实施例的授权参数的实例。根据本发明的其它实施例,可将其它参数实施为客户端符记或授权参数。
一或多个D-SLP的H-SLP授权(按请求)
图4B说明一或多个D-SLP按请求的H-SLP授权及每一D-SLP的SET符记150及所有D-SLP的SLP证书160的布建的示范性程序(其载运于最终SUPL END消息中)。举例来说,此程序可由SET 116调用以从由SET发现的D-SLP(例如,D-SLP 132、D-SLP 134)的H-SLP 142获得授权,所述H-SLP 142可将位置服务提供到在其当前位置处或附近的SET。另外,SET可从可将位置服务提供到在其当前位置处或附近的SET的H-SLP接收其它经授权D-SLP的地址。
或者,此程序还可由SET调用以从由SET发现的D-SLP的H-SLP获得授权,所述H-SLP在远离SET的某一位置(例如,SET的用户期望在稍后时间访问的位置)处提供位置服务。未强迫H-SLP在此些状况下提供授权,但H-SLP仍然可选择进行此操作,以便改进位置支持。另外,在H-SLP的提供者与D-SLP的提供者之间可存在布置以避免到D-SLP的服务超载。所述布置可限制D-SLP可同时被授权的SET的数目。
在405处,SET 116开始一程序以从H-SLP 142最终获得高达10个经授权D-SLP(例如,D-SLP 132、D-SLP 134)的地址,所述H-SLP 142能够在其当前位置处或附近或者在一些状况下在某远程位置处将位置服务提供到SET。一旦此程序的任何先前调用的任何最小重试周期已期满,便可在以下条件中的任一者下调用程序:
a.SET发现D-SLP地址适用于其当前位置或SET将很可能已授权的远程位置。
b.在D-SLP授权的状况下,SET不能够从H-SLP获得适当定位服务,且不具有当前经授权的D-SLP或具有当前经授权的D-SLP,对其的接入归因于地理区域或接入网络限制而被禁止。
在一些实施例中,在上文未描述的条件下调用程序。另外,SET 116可采取适当移动以建立到H-SLP的安全输送层安全(TLS)连接。
在410处,SET 116可使用由本地网络布建的默认地址建立到H-SLP的安全TLS连接,且发送SUPL START消息以开始与H-SLP的定位会话。SUPL START消息含有会话id、SET能力及位置ID(1id)参数。SET能力可包含所支持的定位方法(例如,SET辅助的A-GPS、基于SET的A-GPS)及关联定位协议(例如,RRLP、RRC、TIA-801或LPP)。SUPL START消息还含有SLP查询参数(slpQuery),从而指示SET是否请求D-SLP地址。对于D-SLP请求,SET可包含当前由H-SLP授权的任何D-SLP地址的列表,且可包含较佳D-SLP地址(例如,已发现的D-SLP地址)的列表及/或非较佳D-SLP地址(例如,SET先前不可从其获得服务的D-SLP)的列表。SET还可包含其当前位置估计(在当前位置估计可用的情况下)。
在415处,如果H-SLP不需要获得SET的位置或验证在410处提供的任何位置,那么H-SLP继续进行到430。否则,H-SLP将SUPL RESPONSE消息发送到SET。SUPL RESPONSE消息含有会话-id及意欲的定位方法(posMethod)。
在420处,SET可将SUPL POS INIT消息发送到H-SLP。SUPL POS INIT消息含有会话id、位置ID、SET能力及视需要载运LPP的SUPL POS消息及/或TIA-801定位协议消息。SET还可提供其位置。如果符合所需要的定位质量(QoP)的在SUPL POS INIT消息所检索或基于在SUPL POS INIT消息中接收到的信息计算的位置可用,那么H-SLP可直接继续进行到430且不参与SUPL POS会话。
在425处,SET及H-SLP参与SUPL POS消息交换以计算位置。H-SLP基于接收到的定位测量来计算位置估计(即,SET辅助式),或SET基于从H-SLP获得的辅助计算位置估计(即,基于SET)。
一旦完成了任何位置计算,H-SLP便在请求D-SLP地址情况下确定一组新的授权的D-SLP地址。在请求了D-SLP地址的情况下,H-SLP将SUPL END消息与SLP授权参数(例如,slpAuthorization)一起发送到SET,所述SLP授权参数含有授权的D-SLP地址的列表。每一列表中的地址以首先最高优先权的优先权次序包含,且可替换SET先前可已从H-SLP接收到的授权的D-SLP的任何先前列表。对于每一所提供的D-SLP地址,H-SLP可包含可将D-SLP地址视为有效的服务持续时间、可接入D-SLP所在的服务区域、可接入D-SLP所来自的服务接入网络的列表及定义将如何组合服务区域与接入网络限制的组合类型。对于任何经授权的D-SLP地址,H-SLP还可向此D-SLP提供准许SET参与的服务的列表,且可提供针对任何SET起始的位置请求而接入D-SLP对接入H-SLP的偏好。H-SLP还可包含针对每一授权的D-SLP的SET符记150。H-SLP的D-SLP可需要以验证SET符记150的确实性的公用密钥证书(例如,SLP证书160)还可作为SLP授权参数的部分发送或检定。H-SLP还可提供在425处计算的任何位置估计。SET可释放到H-SLP的TLS连接,且释放与此会话相关的所有资源。H-SLP可释放与此会话相关的所有资源。
在435处,SET可随后基于以下原则针对SET起始的位置服务来接入在430处由H-SLP授权的任何D-SLP:
a.可以优先权次序来接入D-SLP——其中仅在所有较高优先权地址由某其它条件排除或不可提供服务时,才接入较低优先权地址。
b.只要D-SLP的任何服务持续时间尚未期满,便可仅接入D-SLP。
c.如果SET满足任何所提供的服务区域及接入网络限制,那么可仅接入D-SLP。
d.对于D-SLP接入,SET可仅请求经授权的服务。
e.对于D-SLP接入,SET可遵循针对H-SLP接入所提供的任何偏好。
f.如果对D-SLP或H-SLP的接入失败(例如,SET不可建立安全IP连接,或者D-SLP或H-SLP不可提供所需要的服务),那么SET可根据以上规则接入另一D-SLP或H-SLP。
g.对于D-SLP接入,SET可在D-SLP授权之后仅在第一D-SLP接入期间发送SLP证书160,直到新D-SLP授权发生。
h.对于D-SLP接入,每当SET接入D-SLP时,SET可将SET符记150发送到D-SLP。
根据一些实施例,并非需要遵循435中列出的所有原理。举例来说,根据一实施例,SET可需要遵守在435中列出的一或多个原则。在一些实施例中,除上文列出的原则中的一或多者外或替代上文列出的原则中的一或多者,可遵循不同于上文列出的原则的一或多个原则。
一或多个D-SLP的H-SLP授权(未请求)
根据一些实施例,如同在图4A及图4B中的状况,程序可由H-SLP 142调用以在一开始SET 116未请求时将授权的D-SLP 132地址提供到SET 116。当SUPL END由H-SLP 142发送以正常地终止任何SUPL会话时,所述程序可为适用的。
参看图4C,在450处,SET及H-SLP参与可由SET或由H-SLP起始的立即或延缓的SUPL会话。
一旦SUPL会话完成,那么在455处,H-SLP确定一组经授权的D-SLP地址,所述经授权的D-SLP地址可基于由SET使用的当前SET位置及当前接入网络(例如,如由H-SLP在450处所获得)。H-SLP 142将SUPL END消息与SLP授权参数(slpAuthorization)一起发送到SET116,所述SLP授权参数含有经授权的D-SLP的地址的列表。每一列表中的地址是以首先最高优先权的优先权次序被包含在内,且替换SET 116可已从H-SLP 142接收到的经授权的D-SLP的任何先前列表。对于每一所提供的D-SLP地址,H-SLP 142可包含可将D-SLP地址视为有效的服务持续时间、其中可接入D-SLP地址的服务区域、可从其接入D-SLP地址的服务接入网络的列表及定义将如何组合服务区域与接入网络限制的组合类型。在所提供的D-SLP地址的状况下,H-SLP 142可向此D-SLP 132提供准许SET 116参与的服务的列表。H-SLP142还可提供对于接入H-SLP对接入D-SLP的偏好,及/或可提供用于向H-SLP通知接入D-SLP的时间的请求。H-SLP还可包含针对每一经授权D-SLP的SET符记150。H-SLP的D-SLP可能需要用来验证SET符记150的确实性的公用密钥证书(例如,SLP证书160)还可作为SLP授权参数的部分发送或检定。SET可释放到H-SLP的TLS连接,且释放与会话相关的所有资源。H-SLP可释放与会话相关的所有资源。
在460处,SET 116可随后针对SET起始的位置服务来接入在455处由H-SLP提供的任何D-SLP,及/或可接受来自任何此D-SLP的网络起始的位置请求。在D-SLP经H-SLP授权的状况下,针对此接入的规则可与图4B中的435处定义的规则相同。
D-SLP使用SET符记认证SET(例如,308、310)
参看图5A,SET 116在接入经授权的D-SLP 132时使用SET符记150。SET首先建立到D-SLP 132的安全连接,且可认证D-SLP(例如,使用由D-SLP提供到SET的公用密钥证书),但D-SLP 132可能不能够使用常规方式(例如,使用ACA或GBA)来认证SET。SET可接着将较早接收自SET的H-SLP 142(例如,根据图4A、图4B或图4C)的SET符记150以由SET发送到D-SLP132的第一SUPL消息(例如,以SUPL开始消息)传送到D-SLP 132。SET符记150用以促使D-SLP132认证SET 116,且还可用以提供额外信息(例如,记帐码)。SET还将H-SLP 142的公用密钥证书发送到D-SLP132(SLP证书160)。SLP证书参数在D-SLP授权之后在由SET进行的第一D-SLP接入期间可被发送仅一次(即,D-SLP可存储SLP证书参数以供SET进行的任何后续接入使用)。在SET使用SET符记150及可能SLP证书160的D-SLP认证之后,正常SUPL会话可发生,在所述正常SUPL会话中,D-SLP 132可将位置服务提供到SET116(例如,布建SET 116的辅助数据或位置估计)。SUPL会话可稍后以D-SLP将SUPL END消息发送到SET终止。
D-SLP使用SET符记认证SET(SET起始的服务)
图5B说明SET 116从D-SLP 132获得经认证的位置服务。
在505处,SET上的SUPL代理从在SET上执行的应用程序接收对位置的请求。SET在建立或恢复到经授权的D-SLP的安全连接过程中采取适当移动(例如,使用由H-SLP 142较早提供或验证的D-SLP地址)。在建立安全连接过程中,SET可能能够认证D-SLP(例如,经由由D-SLP提供的公用密钥证书),但D-SLP可能不能够经由常规方式(例如,ACA、装置证书或GBA)认证SET。D-SLP仍可允许在期待稍后于515处认证SET中建立安全连接。如果SET的认证于515处并未发生或失败,那么D-SLP可通过发送SUPL END消息而终止SUPL会话(图5B中未图示)。
在510处,SET发送SUPL START消息以开始与D-SLP的定位会话。SUPLSTART消息含有会话id、SET能力及位置ID(lid)参数。SET能力包含所支持的定位方法(例如,SET辅助的A-GPS、基于SET的A-GPS)及相关联的定位协议(例如,RRLP、RRC、TIA-801或LPP)。另外,SUPLSTART可包含SET符记150,及SLP证书160(在D-SLP第一次被接入的情况下)。SET可准确地发送如从H-SLP接收的SET符记150及SLP证书160,且可能不需要解译其内容或解码并重新编码可简化SET实施的内容。如果符合所请求QoP的先前计算位置在D-SLP处为可用的,那么D-SLP可直接继续进行到535且在SUPL END消息中将位置发送到SET。
在515处,D-SLP可使用如先前所描述在510处接收到的SET符记150及SLP证书160来认证SET。
在520处,与包含由SET支持的posmethod的SUPL START消息相一致,D-SLP可确定posmethod。对于posmethod,如果需要,那么D-SLP可使用来自SUPL START消息的所支持定位协议(例如,RRLP、RRC、TIA-801或LPP)。D-SLP可通过对SET的SUPL RESPONSE作出响应。SUPL RESPONSE还含有posmethod。然而,如果在SUPL START消息中检索或基于在SUPLSTART消息中接收到的信息计算的位置符合所请求的QoP,那么D-SLP可直接继续进行到535。
在525处,在SET从D-SLP接收到SUPL RESPONSE之后,SET发送SUPL POS INIT消息。SUPL POS INIT消息含有至少会话id、SET能力及位置ID(lid)。SET能力包含所支持的定位方法(例如,SET辅助的A-GPS、基于SET的A-GPS)及相关联的定位协议(例如,RRLP、RRC、TIA-801或LPP)。SET可包含SUPL POS INIT消息中的第一SUPL POS元素。SET可设定SUPL POSINIT中的所请求辅助数据元素。如果符合所需要的QoP的在SUPL POS INIT消息所检索或基于在SUPL POS INIT消息中接收到的信息计算的位置可用,那么D/H-SLP可直接进行到535且不参与SUPL POS会话。
在530处,SET及D-SLP可交换若干连续定位程序消息。D-SLP可基于接收到的定位测量计算定位估计(SET辅助式),或SET基于从D-SLP获得的辅助计算位置估计(即,基于SET)。
在535处,一旦位置计算完成,D-SLP便可将SUPL END消息发送到SET,从而向SET告知将无另外定位程序开始,且位置会话结束。取决于定位方法及所使用的定位协议,D-SLP可将所确定的位置添加到SUPL END消息。SET可释放安全连接且释放与此会话相关的所有资源。D-SLP可释放与此会话相关的所有资源。
D-SLP使用SET符记认证SET(D-SLP起始的服务)
根据一些实施例,D-SLP 132可起始SUPL合作。举例来说,SUPL代理133可请求来自其关联的D-SLP 132的SET 116的位置,且D-SLP 132将接着通过SET 116发起SUPL会话以获得位置。SET符记150及SLP证书160接着载运于SUPL POS INIT消息中,且SUPL会话说明于图5C中。
图5C说明D-SLP 132找出SET 116位置的示范性方法。
在550处,SUPL代理将位置请求(例如,载运于OMA MLP SLIR消息中)发布到D-SLP,SUPL代理与D-SLP相关联。D-SLP可认证SUPL代理,且基于接收到的SUPL代理客户端id检查是否针对SUPL代理请求的服务授权SUPL代理。另外,基于接收到的ms-id,D-SLP可对SUPL代理客户端id应用用户私密性。
在555处,D-SLP可验证其能够与SET通信(例如,知晓SET IP地址,或能够经由(例如)SMS将非IP消息发送到SET)。
在560处,D-SLP通过将SUPL INIT消息发送到SET起始与SET的位置会话(例如,经由IP使用用户数据报协议(UDP)或使用短消息服务(SMS))。SUPL INIT消息含有至少会话-id、代理服务器/非代理服务器模式指示符及意欲的定位方法。如果550处的任何私密检查的结果指示需要对目标用户的通知或验证,那么D-SLP还可在SUPL INIT消息中包含通知元素。在发送SUPL INIT消息之前,D-SLP还计算并存储消息的散列。另外,SUPL INIT可包含D-SLP地址。
在565处,SET 116可分析接收到的SUPL INIT。如果发现为不可信的,那么SET可不采取进一步移动。否则,SET可采取移动,为到D-SLP的安全连接的建立或恢复准备。
在565处,SET还可评估SUPL通知规则,且遵循适当动作。SET还可检查代理服务器/非代理服务器模式指示符以确定D-SLP使用代理服务器或是非代理服务器模式。在此状况下,使用代理服务器模式,且SET可使用在SUPL INIT中指示的D-SLP地址建立到D-SLP的安全连接,所述SUPL INIT还可已由H-SLP提供或验证。在建立安全连接过程中,SET可能能够认证D-SLP(例如,经由由D-SLP提供的公用密钥证书),但D-SLP可能不能够经由常规方式(例如,ACA、装置证书或GBA)认证SET。D-SLP仍可允许在期待稍后于575处认证SET中建立安全连接。如果SET的认证于575处并未发生或失败,那么D-SLP可通过发送SUPL结束消息而终止SUPL会话(图5C中未图示)。
在570处,SET接着发送SUPLPOS INIT消息以开始与D-SLP的定位会话。SUPL POSINIT消息含有至少会话-id、SET能力、接收到的SUPL INIT消息(ver)的散列及位置ID(lid)。SET能力可包含所支持的定位方法(例如,SET辅助的A-GPS、基于SET的A-GPS)及相关联的定位协议(例如,RRLP、RRC、TIA-801或LPP)。如果支持此情形,那么SET可提供其位置。SET可设定SUPL POS INIT中的所请求辅助数据元素。另外,SUPL POS INIT还可载运SET符记150及SLP证书160(在D-SLP第一次被接入的情况下)。SET可准确地发送如从H-SLP接收的SET符记150及SLP证书160,且可能不需要解译其内容或解码并重新编码可简化SET实施的内容。如果符合所需要的QoP的从SUPL POS INIT消息所检索或基于在SUPL POS INIT消息中接收到的信息计算的位置可用,那么D-SLP可在首先于575处认证SET之后直接进行到585且不参与580处的SUPL POS会话。
在575处,D-SLP可检查SUPL INIT的散列匹配D-SLP已针对此特定会话计算的散列。另外,D-SLP使用接收到的SET符记150及SLP证书160认证SET。基于包含由SET支持的posmethod的SUPL POS INIT消息,D-SLP可接着确定posmethod。对于posmethod,如果需要,那么D-SLP可使用来自SUPL POS INIT消息的所支持定位协议(例如,RRLP、RRC、TIA-801或LPP)。SET及D-SLP交换若干连续定位程序消息。D-SLP基于接收到的定位测量来计算定位估计(SET辅助式),或SET基于从D-SLP获得的辅助计算位置估计(基于SET)。
在580处,一旦位置计算完成,D-SLP便可将SUPL END消息发送到SET,从而向SET告知将无其它定位程序开始,且位置会话结束。SET可释放到D-SLP的安全连接,且释放与此会话相关的所有资源。
在585处,D-SLP可将位置估计发送回到SUPL代理(例如,在OMA MLP SLIA消息中),且D-SLP可释放与此会话相关的所有资源。
SET符记及SLP证书
图6A说明根据一些实施例的SET符记150的内容。图6A的第一栏展示SET符记150中含有的个别参数,且第二栏描述每一参数的内容及有效值。在第一栏中,使用“大于”(“>”)符号来展示任何参数的嵌套层次,其中最外嵌套层次由零个此些符号来指示,下一层次由一个此符号指示,且下一(第三)层次由两个此些符号(“>>”)来指示。SET符记参数在D-SLP接入期间用于SET认证及授权。SET符记150在D-SLP授权期间由H-SLP产生,且含有由H-SLP数字签名的SET且H-SLP特定数据。SET符记150在D-SLP授权期间作为SLP授权参数的部分提供到SET。在D-SLP接入期间,SET符记150由SET提供到D-SLP用于SET认证及授权。SET符记150可定义为位串或八位字节串,且对于SET可为透明的。仅H-SLP及D-SLP需要知晓如何编码/解码并解译位串或八位字节串的内容。因此,SET可仅将从H-SLP接收的位串或八位字节串发送到D-SLP而无内容的解译或重新编码,所述位串或八位字节串含有SET符记150。SET符记150的包含编码的内容在本文中的其它章节中定义。
另外,此参数可为SUPL用户平面位置协议(ULP)中的位串或八位字节串,且可能不需要由SET解码。根据一些实施例,SET在D-SLP接入期间仅将此参数传递到D-SLP。
根据一些实施例,SET符记150及SLP证书160对于SET 116为透明的(例如,可不由SET解码或编码),且其可由H-SLP 142作为位串或八位字节串发送。举例来说,对于SET符记150及SLP证书160,SET 116除在D-SLP授权期间存储SET符记150及SLP证书160并在D-SLP接入期间将其转递到D-SLP外可不具有其它用途。SLP证书160(如果由H-SLP提供)在D-SLP授权之后在初始D-SLP接入期间可仅被发送一次。SET可存储SET符记150,直到被撤销,或直到D-SLP服务持续时间已期满。根据一些实施例,可对SET 116可见(例如,由于其可由H-SLP作为D-SLP授权信息的部分提供到SET 116)的服务持续时间与可对D-SLP 132可见(例如,因为其可为SET符记150的部分)的授权持续时间可相同。接着,SET 116可在每一D-SLP接入期间发送SET符记150一次(例如,在用于与D-SLP的任何新会话的初始接入消息中)。D-SLP132可使用SET符记150认证SET 116。举例来说,D-SLP 132可验证H-SLP 142的数字签名(例如,使用SLP证书160),且可验证其自己的身份的包含,且授权时间及持续时间为有效的(例如,包含当前时间)。H-SLP 142还可使用任何所提供的SET位置来进一步认证SET 116(例如,对于最近授权,可验证当前SET位置在SET符记150中的所提供的位置附近)。
在一些例子中,D-SLP 132在从SET 116接收到SLP证书160之后存储SLP证书160,直到SET符记150期满,或由新SET符记覆写。
另外,H-SLP 142可通过执行具有新SET符记或无SET符记的新D-SLP授权来撤销SET符记150。任何先前SET符记150可接着由SET 116删除,且由新SET符记(如果提供)替换。
或者,当相关联的D-SLP的持续时间期满时,SET符记150可期满。当SET符记150已期满时,SET可删除SET符记150并停止接入D-SLP。
SET符记参数在D-SLP接入期间可用于SET认证及授权。SET符记150可在D-SLP授权期间由H-SLP 142产生,且含有由H-SLP数字签名的SET、H-SLP及D-SLP特定数据。SET符记150在D-SLP授权期间可作为SLP授权参数的部分提供到SET。在D-SLP接入期间,SET符记150由SET提供到D-SLP用于SET认证及授权。可SET符记150定义为位串,且对于SET可为透明的。仅H-SLP及D-SLP需要知晓如何编码/解码位串的内容。SET符记150的包含编码的内容在本文中其它处定义(例如,在图6A中)。此参数可为ULP中的位串,且不需要由SET解码。SET在D-SLP接入期间仅将此参数传递到D-SLP。
可需要此情形的情境包含GBA未经部署或ACA不适用的情境。举例来说,如果用于D-SLP接入的接入网络并不符合ACA要求,例如支持欺骗自由网络环境及/或促使SET IP地址结合到待验证的SET身份,那么此情形可发生。
H-SLP作为D-SLP授权的部分发送到SET的SET符记150针对每一经授权D-SLP来定义。SET将SET符记150包含于在会话建立期间发送到D-SLP的任何初始SUPL消息中。SET符记150含有由H-SLP数字签名的与SET及H-SLP相关的信息。
在D-SLP并不已具有H-SLP的公用密钥证书的状况下,可通过向D-SLP提供H-SLP的公用密钥证书促使由D-SLP进行的SET符记150的认证。为此,H-SLP在D-SLP授权期间将其公用密钥证书发送到SET(SLP证书参数),SET接着在会话建立期间还将公用密钥证书发送到D-SLP。
此允许D-SLP认证SET并授权(或拒绝)接入。SET符记150还可包含非安全相关信息,例如,记帐计费码。凭藉SET符记150,H-SLP及D-SLP可安全地交换认证、授权、计费及其它用途所需要的信息。
参看图6A,SET符记150可包含以下信息:
1)SET符记内容601(其含有项目602、612、613);
2)SET符记本体602(其可含有项目603、604、605、606、607、608、609、610、611);
3)SET身份603(例如,IMSI、MSISDN、IP地址);
4)授权SLP Id 604(例如,H-SLP 142的IP地址或FQDN);
5)D-SLP Id 605(例如,D-SLP 132的IP地址或FQDN);
6)SET位置606(如果可用);
7)D-SLP授权的时间607及持续时间608;
8)授权SLP名称609(可选);
9)授权SLP唯一ID 610(可选);
10)数字签名613的公用密钥611(可选);
11)数字签名613的算法识别符612;及/或
12)授权SLP(例如,H-SLP 142)的数字签名613。
根据一些实施例,601及602可基本上为其它参数(例如,项目603到613)的容器。授权时间及持续时间的包含确保,发送到SET的每一证书将为唯一的,且可仅在所允许的授权周期期间使用。
图6B说明根据一些实施例的包含编码的SLP证书160的内容。
SLP证书160可如国际电信联盟(ITU)X.509标准中所定义,即,可基于现有标准。可将SET符记定义为SUPL ULP的部分,且可基于但不等同于X.509定义。授权时间及持续时间的包含可确保,发送到SET的每一证书将为唯一的,且可仅在所允许的授权周期期间使用。
SLP证书160表示H-SLP 142的公用密钥证书。D-SLP 132可需要此参数来验证SET符记150的确实性。H-SLP 142可在D-SLP授权期间将SLP证书160发送到SET。SET 116接着在D-SLP授权之后在初始D-SLP接入期间将SLP证书160发送到D-SLP 132一次。SET可仅发送SLP证书160一次,且D-SLP可存储SLP证书160。另外,SLP证书160对于已知晓H-SLP公用密钥(例如,如经由离线处理程序获得)的D-SLP可能不需要。
根据一实施例,当SLP证书160具有类型位串时,SET并不需要解码此参数,而是仅在D-SLP接入期间将所述参数传递到D-SLP。
序列中的第一证书可提供或检定用于SET符记内容601的公用密钥及相关联的算法。每一后继证书可检定用于先前证书的公用密钥及相关联的算法。ITU ASN.1 DER编码可用以与X.509证书编码对准,且促使现有证书的重新使用。
根据一些实施例,SET 116可不执行SET符记150及SLP证书160内容的编码;然而,SET 116可视情况执行解码。
举例来说,SLP签名613字段可含有在ASN.1编码的SET符记本体602上计算的数字签名。ASN.1编码的sET符记本体可用作到签名函数的输入。签名值可编码为BIT STRING,且包含于SLP签名613中。
算法识别符612可用以识别加密算法。OBJECT IDENTIFIER分量可通过SHA-1识别例如DSA等算法。可选参数字段的内容可根据所识别的算法而变化。
在一些实施例中,在D-SLP授权另一D-SLP的状况下,SET可从先前授权的D-SLP而非H-SLP接收SET符记150及SLP证书160。举例来说,如果图1B中的D-SLP 132在SET 116已建立了到D-SLP 132的安全连接后向SET 116授权对D-SLP 134的接入,那么D-SLP 132可提供SET符记150及SLP证书160以促使SET 116安全地接入D-SLP 134。在此状况下,SET 116可使用由H-SLP 142提供的SET符记150及SLP证书160以首先安全地接入D-SLP 132且随后使用由D-SLP 132提供的不同SET符记150及SLP证书160以稍后安全地接入D-SLP 134。
在一些其它实施例中,SET可从第一H-SLP获得SET符记150及SLP证书160以便获得对第二H-SLP的经认证的接入。当SET经配置以接入一个以上H-SLP但仅能够通过常规方式获得对一个H-SLP的经认证的接入(例如,特定H-SLP或任一H-SLP)时,此情形可发生。在此状况下,第一H-SLP响应于SET获得对第一H-SLP的经认证的接入而提供的SET符记150可含有第一H-SLP、第二H-SLP及SET的身份(例如,地址),且可进一步含有第一H-SLP的数字签名。SET可接着接入第二H-SLP,且可向第二H-SLP提供从第一H-SLP接收的SET符记150以便获得对第二H-SLP的经认证的接入。支持对第二H-SLP的经认证的接入的额外方式也可如先前针对支持对D-SLP的经认证的接入所描述由第一H-SLP及SET使用。关于获得经认证的接入,D-SLP及第二H-SLP可以相同方式或以类似方式表现,且可由SET及第一H-SLP相同或类似地对待。
现关于图7来描述可实施本发明的各种方面的计算系统的实例。计算机系统可举例说明图1B中且如本文中其它处提及的SET 116、SET 122、D-SLP 132、D-SLP 134及H-SLP142中的任一者。根据一或多个方面,如图7中所说明的计算机系统可作为计算装置的部分并入,所述计算装置可实施、执行及/或实行本文中所描述的特征、方法及/或方法步骤中的任一者及/或全部。举例来说,计算机系统700可表示手持式装置的组件中的一些。手持式装置可为具有例如相机的输入感测单元及/或显示单元的任何计算装置。手持式装置的实例包含(但不限于)视频游戏控制台、平板计算机、智能手机及移动装置。在一实施例中,系统700经配置以实施上文所描述的装置200。图7提供计算机系统700的一实施例的示意性说明,所述计算机系统700可如本文中所描述执行由各种其它实施例提供的方法,及/或可充当主机计算机系统、远程信息站/终端机、销售点装置、移动装置、机顶盒及/或计算机系统。图7意谓仅提供各种组件的一股化说明,适当时,可利用所述组件中的任一者及/或全部。因此,图7广泛地说明可如何以相对分离或相对较集成的方式来实施个别系统元件。
计算机系统700展示为包括可经由总线705电耦合的硬件元件(或在适当时可以其它方式通信)。在一实施例中,总线705可用于处理器230在核心之间及/或与存储器232通信。硬件元件可包含:一或多个处理器710(例如,处理器230、TX数据处理器214、TX MIMO处理器220、RX数据处理器242),处理器710包含(但不限于)一或多个通用处理器及/或一或多个专用处理器(例如,数字信号处理芯片、图形加速处理器及/或类似者);一或多个输入装置715,其可包含(但不限于)相机、鼠标、键盘及/或类似者;及一或多个输出装置720,其可包含(但不限于)显示单元、打印机及/或类似者。
计算机系统700可进一步包含一或多个非暂时性存储装置725(及/或与一或多个非暂时性存储装置725通信),所述非暂时性存储装置725可包括(不限于)局部及/或网络可接入存储器,及/或可包含(但不限于)存储器232、存储器272、磁盘驱动器、驱动器阵列、光学存储装置、例如随机接入存储器(“RAM”)等固态存储装置及/或只读存储器(“ROM”),其可为可编程的、可快闪更新的及/或类似者。此些存储装置可经配置以实施任何适当数据存储器,包含(但不限于)各种文件系统、数据库结构及/或类似者。
计算机系统700还可能包含通信子系统730,所述通信子系统730可包含(不限于)调制解调器、网卡(无线或有线)、红外线通信装置、无线通信装置及/或芯片组(例如,装置、802.11装置、WiFi装置、WiMax装置、蜂窝式通信设施等)及/或类似者。根据本发明的一实施例,发射器222及接收器254可为通信子系统730的实例。通信子系统730可准许与网络(例如,下文所描述的网络,举一个实例)、其它计算机系统及/或本文中所描述的任何其它装置交换数据。在许多实施例中,计算机系统700如上文所描述可进一步包括非暂时性工作存储器735,所述非暂时性工作存储器735可包含RAM或ROM装置。根据本发明的一实施例,存储器232及存储器272可以是非暂时性工作存储器735的实例。
如本文中所描述,计算机系统700还可包括包含操作系统740、装置驱动程序、可执行库及/或例如一或多个应用程序745等其它代码的展示为当前位于工作存储器735内的软件元件,应用程序745可包括由各种实施例提供的计算机程序及/或可经设计以实施方法及/或配置由其它实施例提供的系统。仅通过实例,关于上文所论述的方法描述(例如,如关于图3所描述)的一或多个程序可实施为可由计算机(及/或计算机内的处理器)执行的代码及/或指令;在一方面中,接着,此代码及/或指令可用以配置及/或调适通用计算机(或其它装置)来执行根据所描述方法的一或多个操作。举例来说,SET符记150及SLP证书160可存储于工作存储器735中。
此些指令的一集合及/或代码可存储于计算机可读存储媒体(例如,上文所描述的存储装置725)上。在一些状况下,存储媒体可能并入于例如计算机系统700的计算机系统内。在其它实施例中,存储媒体可与计算机系统分离(例如,例如压缩光盘等可装卸媒体),及/或提供于安装套件中,使得存储媒体可用以通过存储于其上的指令/代码来编程、配置及/或调适通用计算机。此些指令可呈可由计算机系统700执行的可执行代码的形式,及/或可呈源及/或可安装代码的形式,所述源及/或可安装代码在编译及/或安装于计算机系统700上(例如,使用多种通常可用编译程序、安装程序、压缩/解压缩实用程序等)之后接着呈可执行代码的形式。
可根据特定要求进行实质变化。举例来说,还可使用定制硬件,及/或可以硬件、软件(包含例如小应用程序等便携式软件)来实施特定元件,或两者皆可。另外,可使用到例如网络输入/输出装置等其它计算装置的连接。
一些实施例可使用计算机系统(例如,计算机系统700)来执行根据本发明的方法。举例来说,所描述方法的程序中的一些或全部可响应于处理器710执行工作存储器735中含有的一或多个指令(其可能并入到操作系统740及/或例如应用程序745的其它代码内)的一或多个序列由计算机系统700来执行。此些指令可从例如存储装置725中的一或多者等另一计算机可读媒体读取到工作存储器735中。仅通过实例,工作存储器735中含有的指令序列的执行可使处理器710执行本文中所描述的方法的一或多个程序,例如关于图3描述的方法的元素中的一或多者。
如本文中所使用的术语“机器可读媒体”及“计算机可读媒体”指参与提供数据的任何媒体,所述数据使机器以指定方式操作。在使用计算机系统700实施的实施例中,各种计算机可读媒体可涉及将指令/代码提供到处理器710以供执行,及/或可用以存储及/或载运此些指令/代码(例如,作为信号)。在许多实施中,计算机可读媒体为物理及/或有形存储媒体。此媒体可呈许多形式,包含(但不限于)非易失性媒体、易失性媒体及发射媒体。非易失性媒体包含(例如)光盘及/或磁盘,例如,存储装置725。易失性媒体包含(不限于)动态存储器,例如,工作存储器735。发射媒体包含(不限于)同轴线缆、铜导线及光纤(包含包括总线705的导线),以及通信子系统730的各种组件(及/或通信子系统730提供与其它装置的通信的媒体)。因此,发射媒体还可呈波的形式(包含(不限于)无线电波、声波及/或光波,例如,在无线电波及红外线数据通信期间产生的波)。根据一些实施例,H-SLP 142、SET 116及/或D-SLP 132可利用通信子系统730彼此通信。
在一或多个实例中,所描述功能可以硬件、软件、固件或其任何组合来实施。如果以软件实施,那么可将所述功能作为一或多个指令或代码而存储于一计算机可读媒体上或经由一计算机可读媒体来发射。计算机可读媒体可包含计算机数据存储媒体。数据存储媒体可为可由一或多个计算机或一或多个处理器接入以检索用于实施本发明中所描述的技术的指令、代码及/或数据结构的任何可用媒体。如本文中所使用的“数据存储媒体”指制造物且并非指暂时性传播的信号。通过实例,且并非限制,此些计算机可读存储媒体可包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储器、磁盘存储器,或其它磁性存储装置、快闪存储器,或可用以存储呈指令或数据结构的形式的所要程序代码且可由计算机接入的任何其它媒体。如本文中所使用,磁盘及光盘包含压缩光盘(CD)、激光光盘、光盘、数字多功能光盘(DVD)、软性磁盘及蓝光光盘,其中磁盘通常以磁性方式复制数据,而光盘通过激光以光学方式复制数据。上述媒体的组合还包含在计算机可读媒体的范围内。
可由一或多个处理器(例如,一或多个数字信号处理器(DSP)、通用微处理器、专用集成电路(ASIC)、现场可编程逻辑阵列(FPGA)或其它等效集成或离散逻辑电路)执行所述代码。因此,本文中所使用的术语“处理器”可指前述结构或适于实施本文中所描述的技术的任何其它结构中的任一者。此外,在一些方面中,可将本文中所描述的功能性提供于经配置以用于编码及解码的专用硬件及/或软件模块内,或并入于组合式编码解码器中。而且,所述技术可完全实施于一或多个电路或逻辑元件中。
本发明的技术可以广泛的多种装置或设备予以实施,所述装置或设备包含无线手持机、集成电路(IC)或IC集合(例如,芯片组)。在本发明中描述各种组件、模块或单元以强调经配置以执行所揭示技术的装置的功能方面,但未必需要通过不同硬件单元来实现。相反地,如上文所描述,各种单元可组合于编码解码器硬件单元中或由包含如上文所描述的一或多个处理器的互操作硬件单元的集合结合存储于计算机可读媒体上的合适软件及/或固件来提供。
已描述了各种实例。此些及其它实例在以下权利要求书的范围内。
Claims (39)
1.一种用于获得第一服务器与客户端之间的安全连接的方法,所述方法包括:
建立第二服务器与所述客户端之间的安全通信会话,其中所述安全通信会话直接建立在所述第二服务器和所述客户端之间;
由所述客户端使用所述安全通信会话接收客户端符记,其中所述客户端符记是针对所述第一服务器而定义,且包括(i)识别所述第一服务器、所述第二服务器和所述客户端的数据,以及(ii)所述第二服务器的数字签名;
由所述客户端使用所述安全通信会话接收数字证书,所述数字证书包括用以促使向所述第一服务器认证所述数字签名的信息;
由所述客户端请求对所述第一服务器的安全通信接入,其中所述请求包含经由所述第一服务器所接受的临时通信接入将包括所述客户端符记和所述数字证书的消息发射到所述第一服务器;及
由所述客户端基于由所述第一服务器对所述客户端的认证接收对所述第一服务器的安全通信接入的准予,其中所述认证是基于确证所述客户端的所述客户端符记、确证所述客户端符记的所述数字签名和确证所述数字签名的所述数字证书,且其中所接收的所述安全通信接入的所述准予至少部分基于所述第一服务器已经获得所述客户端的位置且已经将所述客户端的所述位置发射到外部客户端。
2.根据权利要求1所述的方法,其中所述数字证书到所述第一服务器的所述发射仅发生一次,且在初始接入消息中将所述数字证书从所述客户端发送到所述第一服务器。
3.根据权利要求1所述的方法,其中所述客户端符记及所述数字证书包括位串,且所述客户端符记及所述数字证书不由所述客户端编码或解码。
4.根据权利要求1所述的方法,其中所述第二服务器包括本地安全用户平面位置SUPL位置平台H-SLP,所述客户端包括具备SUPL功能的终端机SET,且所述第一服务器包括被发现SLP D-SLP。
5.根据权利要求4所述的方法,其中所述SET已经由所述H-SLP使用替代性客户端认证ACA方法、通用引导架构GBA或装置证书方法认证。
6.根据权利要求4所述的方法,其中所述客户端符记包括SET符记,且所述数字证书包括SLP证书。
7.根据权利要求6所述的方法,其中所述SET符记包括SET身份、H-SLP身份、D-SLP身份及所述H-SLP的数字签名。
8.根据权利要求7所述的方法,其中所述SET符记进一步包括所述SET的所提供位置。
9.根据权利要求8所述的方法,其中所述D-SLP通过验证所述SET的当前位置在所述SET的所述所提供位置的阈值距离内而认证所述SET。
10.根据权利要求7所述的方法,其中所述SET符记进一步包括D-SLP授权的初始时间及持续时间。
11.根据权利要求10所述的方法,其中所述D-SLP通过验证当前时间在所述D-SLP授权的所述初始时间及持续时间内而认证所述SET。
12.根据权利要求1所述的方法,其进一步包括由所述客户端在将所述客户端符记发射到所述第一服务器之前使用公用密钥认证来认证所述第一服务器。
13.根据权利要求1所述的方法,其中所述第一服务器已从所述第一服务器与所述第二服务器之间的先前安全通信会话接收到与所述第二服务器相关联的数字证书,且其中所述数字证书已经由所述第一服务器使用来确证所述数字签名。
14.根据权利要求1所述的方法,其进一步包括由所述客户端存储所述客户端符记,直到所述客户端符记由所述第二服务器撤销。
15.根据权利要求14所述的方法,其中当所述客户端从所述第二服务器接收到针对所述第一服务器而定义的新客户端符记时,撤销所述客户端符记。
16.根据权利要求1所述的方法,其中所述客户端符记由所述第一服务器用以验证所述第一服务器的自己身份的包含。
17.一种用于获得与第一服务器的安全连接的客户端,所述客户端包括:
一或多个处理器;及
存储计算机可读指令的存储器,所述计算机可读指令在由所述一或多个处理器执行时使所述客户端:
建立第二服务器与所述客户端之间的安全通信会话,其中所述第二服务器得到所述第一服务器信任,其中所述第二服务器经配置以认证所述客户端,且其中所述安全通信会话直接建立在所述第二服务器和所述客户端之间;
使用所述安全通信会话接收客户端符记,其中所述客户端符记是针对所述第一服务器而定义,且含有(i)识别所述第一服务器、所述第二服务器和所述客户端的数据;及(ii)所述第二服务器的数字签名;
使用所述安全通信会话接收数字证书,所述数字证书包括用以促使向所述第一服务器认证所述数字签名的信息;
请求对所述第一服务器的安全通信接入,其中所述请求包含经由所述第一服务器所接受的临时通信接入将包括所述客户端符记和所述数字证书的消息发射到所述第一服务器;及
基于由所述第一服务器对所述客户端的认证接收对所述第一服务器的安全通信接入的准予,其中所述认证是基于确证所述客户端的所述客户端符记、确证所述客户端符记的所述数字签名和确证所述数字签名的所述数字证书,且其中所接收的所述安全通信接入的所述准予至少部分基于所述第一服务器已经获得所述客户端的位置且已经将所述客户端的所述位置发射到外部客户端。
18.根据权利要求17所述的客户端,其中所述数字证书到所述第一服务器的所述发射仅发生一次,且所述数字证书在初始接入消息中从所述客户端发送到所述第一服务器。
19.根据权利要求17所述的客户端,其中所述客户端符记及所述数字证书包括位串,且所述客户端符记及所述数字证书不由所述客户端编码或解码。
20.根据权利要求17所述的客户端,其中所述第二服务器包括本地安全用户平面位置SUPL位置平台H-SLP,所述客户端包括具备SUPL功能的终端机SET,且所述第一服务器包括被发现SLP D-SLP。
21.根据权利要求20所述的客户端,其中所述客户端符记包括SET符记,且所述数字证书包括SLP证书。
22.根据权利要求21所述的客户端,其中所述SET符记包括SET身份、H-SLP身份、D-SLP身份及所述H-SLP的数字签名。
23.根据权利要求22所述的客户端,其中所述SET符记进一步包括所述SET的所提供位置。
24.根据权利要求22所述的客户端,其中所述SET符记进一步包括D-SLP授权的初始时间及持续时间。
25.根据权利要求17所述的客户端,其进一步包括计算机可读指令,所述计算机可读指令在由所述一或多个处理器执行时使所述客户端在所述将所述客户端符记发射到所述第一服务器之前使用公用密钥认证来认证所述第一服务器。
26.根据权利要求17所述的客户端,其进一步包括存储器,所述存储器经配置以存储所述客户端符记,直到所述客户端符记由所述第二服务器撤销。
27.根据权利要求26所述的客户端,其中当所述客户端从所述第二服务器接收到针对所述第一服务器而定义的新客户端符记时,所述客户端符记被撤销。
28.一种非暂时性计算机可读媒体,其存储用于获得第一服务器与客户端之间的安全连接的计算机可读指令,所述计算机可读指令在执行时使得包含于所述客户端中的一或多个计算装置:
建立第二服务器与所述客户端之间的安全通信会话,其中所述第二服务器得到所述第一服务器信任,其中所述第二服务器经配置以认证所述客户端,且其中所述安全通信会话直接建立在所述第二服务器和所述客户端之间;
使用所述安全通信会话接收客户端符记,其中所述客户端符记是针对所述第一服务器而定义,且含有(i)识别所述第一服务器、所述第二服务器和所述客户端的数据;及(ii)所述第二服务器的数字签名;
使用所述安全通信会话接收数字证书,所述数字证书包括用以促使向所述第一服务器认证所述数字签名的信息;请求对所述第一服务器的安全通信接入,其中所述请求包含经由所述第一服务器所接受的临时通信接入将包括所述客户端符记和所述数字证书的消息发射到所述第一服务器;及
基于由所述第一服务器对所述客户端的认证接收对所述第一服务器的安全通信接入的准予,其中所述认证是基于确证所述客户端的所述客户端符记、确证所述客户端符记的所述数字签名和确证所述数字签名的所述数字证书,且其中所接收的所述安全通信接入的所述准予至少部分基于所述第一服务器已经获得所述客户端的位置且已经将所述客户端的所述位置发射到外部客户端。
29.一种用于获得第一服务器与客户端之间的安全连接的设备,所述设备包括:
用于建立第二服务器与所述客户端之间的安全通信会话的装置,其中所述第二服务器得到所述第一服务器信任,其中所述第二服务器经配置以认证所述客户端,且其中所述安全通信会话直接建立在所述第二服务器和所述客户端之间;
用于由所述客户端使用所述安全通信会话接收客户端符记的装置,其中所述客户端符记是针对所述第一服务器而定义,且含有(i)识别所述第一服务器、所述第二服务器和所述客户端的数据;及(ii)所述第二服务器的数字签名;
用于由所述客户端使用所述安全通信会话接收数字证书的装置,所述数字证书包括用以促使向所述第一服务器认证所述数字签名的信息;
用于由所述客户端请求对所述第一服务器的安全通信接入的装置,其中所述请求包含经由所述第一服务器所接受的临时通信接入将包括所述客户端符记和所述数字证书的消息发射到所述第一服务器;及
用于由所述客户端基于由所述第一服务器对所述客户端的认证接收对所述第一服务器的安全通信接入的准予的装置,其中所述认证是基于确证所述客户端的所述客户端符记、确证所述客户端符记的所述数字签名和确证所述数字签名的所述数字证书,且其中所接收的所述安全通信接入的所述准予至少部分基于所述第一服务器已经获得所述客户端的位置且已经将所述客户端的所述位置发射到外部客户端。
30.根据权利要求29所述的设备,其中所述数字证书到所述第一服务器的所述发射仅发生一次,且所述数字证书在初始接入消息中从所述客户端发送到所述第一服务器。
31.根据权利要求29所述的设备,其中所述客户端符记及所述数字证书包括位串,且所述客户端符记及所述数字证书不由所述客户端编码或解码。
32.根据权利要求29所述的设备,其中所述第二服务器包括本地安全用户平面位置SUPL位置平台H-SLP,所述客户端包括具备SUPL功能的终端机SET,且所述第一服务器包括被发现SLP D-SLP。
33.根据权利要求32所述的设备,其中所述客户端符记包括SET符记,且所述数字证书包括SLP证书。
34.根据权利要求33所述的设备,其中所述SET符记包括SET身份、H-SLP身份、D-SLP身份及所述H-SLP的数字签名。
35.根据权利要求34所述的设备,其中所述SET符记进一步包括所述SET的所提供位置。
36.根据权利要求34所述的设备,其中所述SET符记进一步包括D-SLP授权的初始时间及持续时间。
37.根据权利要求29所述的设备,其进一步包括用于在将所述客户端符发射送到所述第一服务器之前使用公用密钥认证来认证所述第一服务器的装置。
38.根据权利要求29所述的设备,其进一步包括用于存储所述客户端符记直到由所述第二服务器撤销的装置。
39.根据权利要求38所述的设备,其中当所述客户端从所述第二服务器接收到针对所述第一服务器而定义的新客户端符记时,所述客户端符记被撤销。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201261597713P | 2012-02-10 | 2012-02-10 | |
| US61/597,713 | 2012-02-10 | ||
| US13/762,280 US9491620B2 (en) | 2012-02-10 | 2013-02-07 | Enabling secure access to a discovered location server for a mobile device |
| US13/762,280 | 2013-02-07 | ||
| PCT/US2013/025446 WO2013120026A2 (en) | 2012-02-10 | 2013-02-08 | Enabling secure access to a discovered location server for a mobile device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104106277A CN104106277A (zh) | 2014-10-15 |
| CN104106277B true CN104106277B (zh) | 2018-10-02 |
Family
ID=48946780
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380008585.5A Expired - Fee Related CN104106277B (zh) | 2012-02-10 | 2013-02-08 | 促使对移动装置的被发现位置服务器的安全接入 |
Country Status (9)
| Country | Link |
|---|---|
| US (2) | US9491620B2 (zh) |
| EP (1) | EP2813099B1 (zh) |
| JP (1) | JP6104943B2 (zh) |
| KR (1) | KR20140130462A (zh) |
| CN (1) | CN104106277B (zh) |
| BR (1) | BR112014019847A8 (zh) |
| IN (1) | IN2014MN01517A (zh) |
| TW (1) | TWI543578B (zh) |
| WO (1) | WO2013120026A2 (zh) |
Families Citing this family (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8898764B2 (en) * | 2012-04-19 | 2014-11-25 | Microsoft Corporation | Authenticating user through web extension using token based authentication scheme |
| FR3004037A1 (fr) * | 2013-04-02 | 2014-10-03 | France Telecom | Procede de transport d'information de localisation au travers d'une authentification |
| EP2819370B1 (en) * | 2013-06-24 | 2018-09-19 | Telefonica Digital España, S.L.U. | A computer implemented method to prevent attacks against user authentication and computer programs products thereof |
| US9516104B2 (en) * | 2013-09-11 | 2016-12-06 | Telecommunication Systems, Inc. | Intelligent load balancer enhanced routing |
| EP3770781B1 (en) * | 2014-09-30 | 2022-06-08 | Citrix Systems, Inc. | Fast smart card logon and federated full domain logon |
| US10637650B2 (en) * | 2014-10-29 | 2020-04-28 | Hewlett-Packard Development Company, L.P. | Active authentication session transfer |
| EP3160176B1 (en) * | 2015-10-19 | 2019-12-11 | Vodafone GmbH | Using a service of a mobile packet core network without having a sim card |
| US10084705B2 (en) * | 2015-10-30 | 2018-09-25 | Microsoft Technology Licensing, Llc | Location identification of prior network message processor |
| JP6084278B1 (ja) * | 2015-11-27 | 2017-02-22 | 株式会社Pfu | 情報処理装置、方法およびプログラム |
| CN114143781A (zh) * | 2016-09-12 | 2022-03-04 | 中兴通讯股份有限公司 | 入网认证处理方法及装置 |
| US10911238B2 (en) * | 2016-12-14 | 2021-02-02 | Microsoft Technology Licensing, Llc | Offline protection of secrets |
| US10231116B2 (en) * | 2017-06-21 | 2019-03-12 | International Business Machines Corporation | Communication access services for mobile phones |
| US10433363B2 (en) | 2017-07-21 | 2019-10-01 | Motorola Mobility Llc | Dynamically initiating changes to a connectivity configuration by a user device |
| US10285216B2 (en) * | 2017-07-21 | 2019-05-07 | Motorola Mobility Llc | Dynamically reconfiguring connection types associated with a wireless networking device |
| EP3435620A1 (en) * | 2017-07-25 | 2019-01-30 | Content Capital Ltd. | Identity validation in a duplex communication |
| US10382105B2 (en) | 2017-11-29 | 2019-08-13 | Motorola Mobility Llc | Beacon frame transmission using learned beamforming parameters |
| JP6892846B2 (ja) * | 2018-07-25 | 2021-06-23 | Kddi株式会社 | 認証用装置とサービス用装置とを含むコアネットワークシステムのユーザ認証方法 |
| US11350271B2 (en) * | 2018-10-15 | 2022-05-31 | Qualcomm Incorporated | Location of a mobile device with 5G wireless access using SUPL |
| US10439825B1 (en) * | 2018-11-13 | 2019-10-08 | INTEGRITY Security Services, Inc. | Providing quality of service for certificate management systems |
| EP3935534B1 (en) * | 2019-03-04 | 2023-07-05 | Hitachi Vantara LLC | Multi-way trust formation in a distributed system |
| US11838429B2 (en) * | 2019-07-18 | 2023-12-05 | Itron, Inc. | Certificate chain compression to extend node operational lifetime |
| US11477026B1 (en) * | 2019-08-21 | 2022-10-18 | Riverbed Technology, Inc. | Using secure tokens for stateless software defined networking |
| US11445372B2 (en) * | 2019-09-05 | 2022-09-13 | Cisco Technology, Inc. | Scalable public key identification model |
| US11622276B1 (en) * | 2020-03-05 | 2023-04-04 | Cable Television Laboratories, Inc. | Systems and method for authentication and authorization in networks using service based architecture |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101120522A (zh) * | 2005-01-17 | 2008-02-06 | Lg电子株式会社 | 在基于supl的定位系统中的tls会话管理方法 |
| CN101322331A (zh) * | 2005-12-01 | 2008-12-10 | Lg电子株式会社 | 位置信息系统及基于位置执行通知的方法 |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6886095B1 (en) | 1999-05-21 | 2005-04-26 | International Business Machines Corporation | Method and apparatus for efficiently initializing secure communications among wireless devices |
| US7266681B1 (en) * | 2000-04-07 | 2007-09-04 | Intertrust Technologies Corp. | Network communications security agent |
| US8135796B1 (en) | 2000-05-09 | 2012-03-13 | Oracle America, Inc. | Mechanism and apparatus for accessing and addressing services in a distributed computing environment |
| JP2002140630A (ja) * | 2000-11-01 | 2002-05-17 | Sony Corp | チケットに基づくコンテンツ料金精算システムおよびチケットに基づくコンテンツ料金精算方法 |
| US6986040B1 (en) * | 2000-11-03 | 2006-01-10 | Citrix Systems, Inc. | System and method of exploiting the security of a secure communication channel to secure a non-secure communication channel |
| US6898628B2 (en) | 2001-03-22 | 2005-05-24 | International Business Machines Corporation | System and method for providing positional authentication for client-server systems |
| GB0201898D0 (en) | 2002-01-28 | 2002-03-13 | Nokia Corp | Authorising provision of data in a communications network |
| US20040059941A1 (en) * | 2002-09-19 | 2004-03-25 | Myfamily.Com, Inc. | Systems and methods for identifying users and providing access to information in a network environment |
| EP1519604A1 (en) | 2003-09-29 | 2005-03-30 | Siemens Aktiengesellschaft | Method for authentication of a mobile node to a wireless access network |
| US7130998B2 (en) | 2004-10-14 | 2006-10-31 | Palo Alto Research Center, Inc. | Using a portable security token to facilitate cross-certification between certification authorities |
| US7900039B2 (en) * | 2005-01-17 | 2011-03-01 | Lg Electronics, Inc. | TLS session management method in SUPL-based positioning system |
| KR100595714B1 (ko) | 2005-04-01 | 2006-07-03 | 엘지전자 주식회사 | Supl 기반의 위치정보 시스템에서 supl 초기화메시지 및 이를 이용한 supl 처리방법 |
| US8068056B2 (en) | 2005-08-25 | 2011-11-29 | Qualcomm Incorporated | Location reporting with secure user plane location (SUPL) |
| US9137770B2 (en) | 2005-09-15 | 2015-09-15 | Qualcomm Incorporated | Emergency circuit-mode call support |
| US8027662B1 (en) * | 2006-02-22 | 2011-09-27 | Sprint Spectrum L.P. | Parental monitoring via cell phones with media capture and location reporting |
| CN101897166A (zh) | 2007-11-20 | 2010-11-24 | 雷迪夫.Com印度有限公司 | 用于使用浏览器组件建立安全通信信道的系统和方法 |
| US20100234022A1 (en) | 2009-03-16 | 2010-09-16 | Andrew Llc | System and method for supl roaming in wimax networks |
| JP5402301B2 (ja) * | 2009-06-24 | 2014-01-29 | コニカミノルタ株式会社 | 認証用プログラム、認証システム、および認証方法 |
| US8634804B2 (en) * | 2009-12-07 | 2014-01-21 | At&T Mobility Ii Llc | Devices, systems and methods for location based billing |
| US8699460B2 (en) * | 2010-04-10 | 2014-04-15 | Qualcomm Incorporated | Position location call flow |
| EP2577544A1 (en) | 2010-05-27 | 2013-04-10 | TeleCommunication Systems, Inc. | Location based security token |
| US8627422B2 (en) | 2010-11-06 | 2014-01-07 | Qualcomm Incorporated | Authentication in secure user plane location (SUPL) systems |
-
2013
- 2013-02-07 US US13/762,280 patent/US9491620B2/en active Active
- 2013-02-08 JP JP2014556755A patent/JP6104943B2/ja not_active Expired - Fee Related
- 2013-02-08 CN CN201380008585.5A patent/CN104106277B/zh not_active Expired - Fee Related
- 2013-02-08 BR BR112014019847A patent/BR112014019847A8/pt not_active IP Right Cessation
- 2013-02-08 EP EP13706827.6A patent/EP2813099B1/en active Active
- 2013-02-08 KR KR1020147024982A patent/KR20140130462A/ko active Search and Examination
- 2013-02-08 WO PCT/US2013/025446 patent/WO2013120026A2/en active Application Filing
- 2013-02-08 IN IN1517MUN2014 patent/IN2014MN01517A/en unknown
- 2013-02-18 TW TW102105614A patent/TWI543578B/zh not_active IP Right Cessation
-
2016
- 2016-09-02 US US15/256,473 patent/US20160373931A1/en not_active Abandoned
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101120522A (zh) * | 2005-01-17 | 2008-02-06 | Lg电子株式会社 | 在基于supl的定位系统中的tls会话管理方法 |
| CN101322331A (zh) * | 2005-12-01 | 2008-12-10 | Lg电子株式会社 | 位置信息系统及基于位置执行通知的方法 |
Non-Patent Citations (1)
| Title |
|---|
| User Plane Location Protocol Draft Version 2.1;Qualcomm;《Open Mobile Alliance OMA-TS-ULP-V2_0-20120209-D》;20120209;正文第5.2.8-5.2.10、6.1.5、10.41-10.42节,附图52 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US20130212663A1 (en) | 2013-08-15 |
| JP2015511467A (ja) | 2015-04-16 |
| EP2813099A2 (en) | 2014-12-17 |
| US20160373931A1 (en) | 2016-12-22 |
| BR112014019847A8 (pt) | 2017-07-11 |
| CN104106277A (zh) | 2014-10-15 |
| TW201349828A (zh) | 2013-12-01 |
| IN2014MN01517A (zh) | 2015-05-01 |
| BR112014019847A2 (zh) | 2017-06-20 |
| JP6104943B2 (ja) | 2017-03-29 |
| US9491620B2 (en) | 2016-11-08 |
| EP2813099B1 (en) | 2019-04-24 |
| KR20140130462A (ko) | 2014-11-10 |
| WO2013120026A2 (en) | 2013-08-15 |
| TWI543578B (zh) | 2016-07-21 |
| WO2013120026A3 (en) | 2013-10-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104106277B (zh) | 促使对移动装置的被发现位置服务器的安全接入 | |
| US20190137594A1 (en) | Service Enhancements Using Near Field Communication | |
| Zhang et al. | Location-based authentication and authorization using smart phones | |
| CN103477664B (zh) | 用于经由以位置标识符为基础选择性地授权对访问位置估计的请求的位置隐私的方法、装置和物品 | |
| Alliance | Secure User Plane Location Architecture | |
| CN103370915B (zh) | 用于安全用户平面定位系统中的认证的方法和装置 | |
| CA2517800C (en) | User plane-based location services (lcs) system, method and apparatus | |
| US7822425B2 (en) | SUPL initialization message in a location information system and method and system for processing SUPL by using the same | |
| US8086247B2 (en) | Secure user plane location session initiation improvement | |
| CN103503407A (zh) | 用于多sso技术的sso框架 | |
| US10097540B2 (en) | Convenient WiFi network access using unique identifier value | |
| CN105450403A (zh) | 身份认证方法、装置及服务器 | |
| CN101120522B (zh) | 在基于supl的定位系统中的tls会话管理方法 | |
| CN104106249B (zh) | 用于获得发现定位服务器的授权的安全机制 | |
| CN106576245B (zh) | 用户设备邻近请求认证 | |
| JP5465097B2 (ja) | 不正利用判定システム、不正利用判定方法、サービス提供サーバおよびプログラム | |
| CA3218903A1 (en) | Single-exchange authentication of a communications device | |
| US11968523B2 (en) | Secure channel formation using embedded subscriber information module (ESIM) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20181002 |