促使對移動裝置的被發(fā)現(xiàn)位置服務(wù)器的安全接入的制作方法
【專利摘要】一種用于獲得第一服務(wù)器與客戶端之間的安全連接的方法���。所述方法可包括建立第二服務(wù)器與所述客戶端之間的安全通信會話��,其中所述第二服務(wù)器得到所述第一服務(wù)器信任�����,且所述第二服務(wù)器經(jīng)配置以認證所述客戶端����。所述客戶端可接收客戶端符記,其中所述客戶端符記含有與所述第一服務(wù)器���、所述第二服務(wù)器���、所述客戶端及數(shù)字簽名相關(guān)聯(lián)的數(shù)據(jù)。接著���,所述客戶端可請求對所述第一服務(wù)器的安全通信接入�,其中所述請求包含將所述客戶端符記傳送到所述第一服務(wù)器�����。最后��,所述客戶端可基于由所述第一服務(wù)器對所述客戶端的認證接收對所述第一服務(wù)器的安全通信接入的準(zhǔn)予,其中所述認證是基于確證所述客戶端的所述客戶端符記及確證所述客戶端符記的所述數(shù)字簽名�����。
【專利說明】促使對移動裝置的被發(fā)現(xiàn)位置服務(wù)器的安全接入
[0001] 相關(guān)申請案的奪叉參考
[0002] 本申請案主張2012年2月10日申請的第61/597, 713號美國臨時申請案"針 對位置服務(wù)器用戶促使被發(fā)現(xiàn)位置服務(wù)器的安全接入(Enabling Secure Access to a Discovered Location Server for Location Service Users)�����,'及 2013 年 2 月 7 日申請 的第13/762, 280號美國非臨時申請案"針對移動裝置促使被發(fā)現(xiàn)位置服務(wù)器的安全接入 (Enabling Secure Access to a Discovered Location Server for a Mobile Device)����,' 的權(quán)益�,所述第13/762, 280號美國非臨時申請案在此被以引用的方式全部并入。
【背景技術(shù)】
[0003] 本發(fā)明的方面涉及用于移動無線裝置的基于位置的服務(wù)�。特定來說,本發(fā)明的各 種方面涉及安全用戶平面位置(SUPL)技術(shù)��。
[0004] 移動無線裝置的位置服務(wù)促使獲得移動無線裝置的當(dāng)前位置及(視需要)速度及 行駛方向并將前述各者提供到無線裝置(例如��,到在無線裝置上執(zhí)行的應(yīng)用程序或無線裝 置的用戶)或某第三方�。第三方的實例可包含緊急服務(wù)提供者(例如,在來自無線裝置的 緊急呼叫的狀況下)����,或取決于知曉無線裝置的當(dāng)前或先前位置的商業(yè)服務(wù)的某一外部提 供者。對于可接入不同類型的無線通信網(wǎng)絡(luò)的無線裝置,位置服務(wù)可使用可從其接入的位 置服務(wù)器來支持���,且在一些狀況下可駐存在當(dāng)前正由無線終端機接入的無線網(wǎng)絡(luò)內(nèi)�����。位置 服務(wù)器的作用可為(i)輔助無線終端機進行與適當(dāng)位置相關(guān)的測量(例如�����,來自服務(wù)無線 網(wǎng)絡(luò)中基站的無線電信號的測量����,或各種全球?qū)Ш叫l(wèi)星的測量)��,且在一些狀況下�����,(ii)基 于此些測量計算無線終端機的位置��。位置服務(wù)器還可用以將無線裝置的位置中繼傳遞到經(jīng) 授權(quán)以接收位置的實體���,且在位置服務(wù)器而非無線裝置已計算了位置的情況下將無線裝置 的位置傳達到無線裝置��。
[0005] 例如由開放移動聯(lián)盟(0MA)定義的安全用戶平面位置(SUPL)服務(wù)等當(dāng)前用戶平 面位置服務(wù)從目標(biāo)移動裝置(例如����,具備SUPL功能的終端機(SET))與位置服務(wù)器(例如, SUPL位置平臺(SLP))之間的相互認證導(dǎo)出其安全性�,其中每一方以完全可靠的方式驗證 另一方的身份。在相互認證之后����,目標(biāo)裝置及服務(wù)器能夠參與可經(jīng)加密以防止其它實體截 取的安全通信���。另外�,在目標(biāo)裝置也為用于任何位置服務(wù)的客戶端的狀況下����,可能需要通過 服務(wù)器進行的目標(biāo)裝置的后續(xù)授權(quán)?����?赡苄枰踩ㄐ乓员Wo敏感位置及用戶數(shù)據(jù)��,敏感 位置及用戶數(shù)據(jù)可促使服務(wù)器進行的位置服務(wù)布建(例如���,輔助數(shù)據(jù)到目標(biāo)裝置的傳送) 及目標(biāo)裝置位置的導(dǎo)出���。通過執(zhí)行相互認證�����,可對移動裝置確保位置服務(wù)器為移動裝置自 稱的位置服務(wù)器且并非可濫用從移動裝置獲得的位置及其它信息的某一其它實體���。類似 地,位置服務(wù)器將知曉移動裝置的身份���,且可利用此(i)僅提供向所述裝置授予的服務(wù)(例 如�,先前可能已訂用的服務(wù))����,(ii)針對所提供的服務(wù)向移動裝置的用戶或本地網(wǎng)絡(luò)運營 者正確開帳單,及/或(iii)將移動裝置的位置正確地提供到經(jīng)授權(quán)的實體(例如���,由移動 裝置的用戶)以接收此位置�����。
[0006] 本地位置服務(wù)器(例如����,在SUPL的狀況下,本地SLP (H-SLP))為永久聯(lián)合許多目 標(biāo)裝置(例如���,基于服務(wù)訂用)的位置服務(wù)器�。在移動無線裝置的狀況下�,本地位置服務(wù)器 有時將屬于目標(biāo)裝置的本地網(wǎng)絡(luò)運營者。無與一組目標(biāo)裝置的預(yù)先布建的永久聯(lián)合的位置 服務(wù)器可被稱作被發(fā)現(xiàn)位置服務(wù)器���。在SUPL的狀況下���,被發(fā)現(xiàn)位置服務(wù)器被稱作被發(fā)現(xiàn) SLP(D-SLP)��。被發(fā)現(xiàn)位置服務(wù)器通?��?苫谄洚?dāng)前位置���、當(dāng)前使用的接入網(wǎng)絡(luò)及/或當(dāng)前 日期及時間由目標(biāo)裝置找到或提供到目標(biāo)裝置,且可屬于位置服務(wù)的非本地網(wǎng)絡(luò)運營者或 某一其它非運營者提供者或與非本地網(wǎng)絡(luò)運營者或某一其它非運營者提供者相關(guān)聯(lián)����。
[0007] 存在兩個類別的由SUPL版本2. 0��、2. 1及3. 0的0ΜΑ定義的常規(guī)SET-SLP認證方 法���,所述方法包括基于預(yù)共享密鑰(PSK)的方法或基于證書的方法。
[0008] 基于PSK的常規(guī)方法可包含:基于通用引導(dǎo)架構(gòu)(GBA)的方法�����,所述方法可適用于 通過裝置進行的幾乎所有類型的無線及有線接入��;及基于SUPL加密密鑰(SEK)的方法�����,所 述方法可僅適用于在一些情形下由裝置進行的對WIMAX網(wǎng)絡(luò)的接入�。
[0009] 基于證書的常規(guī)方法可包含:基于替代性客戶端認證(ACA)的方法、基于服務(wù)器 證書的方法及基于裝置證書的方法����。
【發(fā)明內(nèi)容】
[0010] 提供用于在常規(guī)認證方法不可用時促使對例如移動裝置的SUPL D-SLP等被發(fā)現(xiàn) 位置服務(wù)器的安全接入的各種技術(shù)。本文中所描述的實施例使用為基于服務(wù)器證書的方法 的客戶端符記方法(例如����,SET符記方法)來提供認證。
[0011] 在被發(fā)現(xiàn)位置服務(wù)器因為以下情形不能夠認證客戶端目標(biāo)裝置時��,可利用客戶端 符記方法:客戶端的由客戶端目標(biāo)裝置在對被發(fā)現(xiàn)位置服務(wù)器的接入期間提供的身份歸因 于缺少確認客戶端的身份的確實性需要的信息而不可由被發(fā)現(xiàn)位置服務(wù)器驗證。舉例來 說�����,在SUPL情況下���,H-SLP可能能夠使用ACA��、裝置證書或基于GBA的方法來認證SET�,這是 因為H-SLP提供有必要信息(例如���,在GBA的狀況下的PSK�,或在裝置證書或GBA方法狀況 下的全局客戶端身份)�,且在ACA的狀況下,可使客戶端裝置IP地址與全局客戶端身份相 關(guān)聯(lián)��。相比之下���,D-SLP可能不能使用常規(guī)認證方法來認證SET,這是因為D-SLP可能缺少 此信息或能力����。舉例來說��,基于ACA的方法可能為不適當(dāng)?shù)?�,這是因為D-SLP可能不能接入 SET身份與SET接入網(wǎng)絡(luò)IP地址之間的關(guān)聯(lián)或結(jié)合����。另外��,如果D-SLP不具有接入客戶端 的本地網(wǎng)絡(luò)的授權(quán)��,那么D-SLP可能不能夠使用基于GBA的方法���。另外���,如果客戶端的裝置 身份對于D-SLP為未知的,那么D-SLP可能不能夠使用裝置證書��。
[0012] 當(dāng)被發(fā)現(xiàn)位置服務(wù)器(例如����,D-SLP)以其它方式未能夠認證客戶端(例如,SET) 時����,客戶端符記方法(例如���,SET符記方法)提供一種機制?��?尚枰饲樾蔚那榫嘲珿BA 未經(jīng)部署或ACA不適用的情境���。舉例來說,如果用于D-SLP接入的接入網(wǎng)絡(luò)并不符合ACA 要求(例如�����,支持欺騙自由網(wǎng)絡(luò)環(huán)境及/或促使SET IP地址結(jié)合到待驗證的SET身份)�����,那 么此情形可發(fā)生����。
[0013] 根據(jù)一些實施例,如圖4A到4C中所說明����,H-SLP可將SET符記發(fā)送到SET�,作為 D-SLP授權(quán)的部分���。接著,如圖5A到5C中所說明�����,SET可在于會話建立期間發(fā)送到D-SLP 的任何初始SUPL消息中包含SET符記����。可針對每一經(jīng)授權(quán)的D-SLP定義SET符記�。SET符 記可含有由H-SLP以數(shù)字方式簽名的與SET及H-SLP相關(guān)的信息。
[0014] SET符記方法可允許D-SLP認證SET授權(quán)或拒絕接入�����。SET符記還可包含非安全 相關(guān)信息����,例如,記帳碼�����。通過使用SET符記,H-SLP及D-SLP可安全地交換認證��、授權(quán)����、記 帳及/或其它用途所需要的信息。
[0015] 根據(jù)一些實施例���,揭示一種用于獲得第一服務(wù)器與客戶端之間的安全連接的方 法����。所述方法可包括建立第二服務(wù)器與所述客戶端之間的安全通信會話�,其中所述第二服 務(wù)器被所述第一服務(wù)器信任,且所述第二服務(wù)器經(jīng)配置以認證所述客戶端���。另外����,所述客戶 端可使用所述安全通信會話接收客戶端符記�����,其中所述客戶端符記是針對所述第一服務(wù)器 定義��,且含有與所述第一服務(wù)器、所述第二服務(wù)器����、所述客戶端及數(shù)字簽名相關(guān)聯(lián)的數(shù)據(jù)�����。 接著����,所述客戶端可請求對所述第一服務(wù)器的安全通信接入,其中所述請求包含將所述客 戶端符記傳送到所述第一服務(wù)器�����。最后����,所述客戶端可基于由所述第一服務(wù)器進行的對所 述客戶端的認證接收對所述第一服務(wù)器的安全通信接入的準(zhǔn)予,其中所述認證是基于確證 所述客戶端的所述客戶端符記及確證所述客戶端符記的所述數(shù)字簽名�����。
[0016] 舉例來說����,通過向D-SLP提供H-SLP的數(shù)字簽名��,D-SLP可認證SET符記�����。接著�����, D-SLP可將SET符記用于SET的認證���。根據(jù)另一實施例,H-SLP在D-SLP授權(quán)期間還可將其 數(shù)字證書(例如��,公用密鑰證書���、SLP證書)發(fā)送到SET�����,SET可接著在會話建立期間將數(shù)字 證書發(fā)送到D-SLP以認證H-SLP的數(shù)字簽名��。
[0017] 根據(jù)另一實施例����,一種用于獲得與第一服務(wù)器的安全連接的客戶端,所述客戶端 包括:一或多個處理器����;及存儲計算機可讀指令的存儲器�,所述計算機可讀指令在由所述 一或多個處理器執(zhí)行時可使所述客戶端:建立第二服務(wù)器與所述客戶端之間的安全通信 會話,其中所述第二服務(wù)器被所述第一服務(wù)器信任����,且所述第二服務(wù)器經(jīng)配置以認證所述 客戶端;使用所述安全通信會話接收客戶端符記�����,其中所述客戶端符記是針對所述第一服 務(wù)器定義���,且含有與所述第一服務(wù)器��、所述第二服務(wù)器����、所述客戶端及數(shù)字簽名相關(guān)聯(lián)的數(shù) 據(jù)��;請求對所述第一服務(wù)器的安全通信接入,其中所述請求包含將所述客戶端符記傳送到 所述第一服務(wù)器����;及基于由所述第一服務(wù)器進行的對所述客戶端的認證接收對所述第一服 務(wù)器的安全通信接入的準(zhǔn)予,其中所述認證是基于確證所述客戶端的所述客戶端符記及確 證所述客戶端符記的所述數(shù)字簽名�����。
[0018] 根據(jù)另一實施例��,一或多個計算機可讀媒體存儲用于獲得第一服務(wù)器與客戶端之 間的安全連接的計算機可讀指令���,所述計算機可讀指令在執(zhí)行時使包含于所述客戶端中的 一或多個計算裝置:建立第二服務(wù)器與所述客戶端之間的安全通信會話���,其中所述第二服 務(wù)器被所述第一服務(wù)器信任,且所述第二服務(wù)器經(jīng)配置以認證所述客戶端�;使用所述安全 通信會話接收客戶端符記,其中所述客戶端符記是針對所述第一服務(wù)器定義��,且含有與所 述第一服務(wù)器����、所述第二服務(wù)器、所述客戶端及數(shù)字簽名相關(guān)聯(lián)的數(shù)據(jù)�����;請求對所述第一服 務(wù)器的安全通信接入,其中所述請求包含將所述客戶端符記傳送到所述第一服務(wù)器����;及基 于由所述第一服務(wù)器進行的對所述客戶端的認證接收對所述第一服務(wù)器的安全通信接入 的準(zhǔn)予,其中所述認證是基于確證所述客戶端的所述客戶端符記及確證所述客戶端符記的 所述數(shù)字簽名�����。
[0019] 根據(jù)另一實施例����,揭示一種用于獲得第一服務(wù)器與客戶端之間的安全連接的設(shè) 備�����。所述設(shè)備可包括:用于建立第二服務(wù)器與所述客戶端之間的安全通信會話的裝置�,其中 所述第二服務(wù)器被所述第一服務(wù)器信任,且所述第二服務(wù)器經(jīng)配置以認證所述客戶端�;用 于由所述客戶端使用所述安全通信會話接收客戶端符記的裝置,其中所述客戶端符記是針 對所述第一服務(wù)器定義��,且含有與所述第一服務(wù)器��、所述第二服務(wù)器、所述客戶端及數(shù)字簽 名相關(guān)聯(lián)的數(shù)據(jù)�����;用于由所述客戶端請求對所述第一服務(wù)器的安全通信接入的裝置���,其中 所述請求包含將所述客戶端符記傳送到所述第一服務(wù)器���;及用于由所述客戶端基于由所述 第一服務(wù)器進行的對所述客戶端的認證接收對所述第一服務(wù)器的安全通信接入的準(zhǔn)予的 裝置,其中所述認證是基于確證所述客戶端的所述客戶端符記及確證所述客戶端符記的所 述數(shù)字簽名�����。
[0020] 根據(jù)另一實施例��,一種方法可包括在客戶端處接收來自H-SLP的認證信息�,其中 認證信息是針對所述客戶端及D-SLP定義。所述方法可進一步包括當(dāng)接入或試圖接入所述 D-SLP時���,將所述認證信息從所述客戶端提供到所述D-SLP����。在一些實施例中,可基于所述 認證信息向所述客戶端準(zhǔn)予對所述D-SLP的安全接入��。舉例來說�����,所述認證信息可包括數(shù) 字簽名���。
【專利附圖】
【附圖說明】
[0021] 可參看以下諸圖來實現(xiàn)對各種實施例的本質(zhì)及優(yōu)點的進一步理解���。在附加諸圖 中,類似組件或特征可具有相同參考標(biāo)記��。另外�,通過在參考標(biāo)記后接一短劃線及辨別類似 組件的第二標(biāo)記可辨別相同類型的各種組件���。如果在說明書中僅使用了第一參考標(biāo)記�,那 么描述可適用于具有相同第一參考標(biāo)記的類似組件中的任一者��,而與第二參考標(biāo)記無關(guān)����。
[0022] 圖1A為可結(jié)合本文中所描述的各種系統(tǒng)及方法使用的實例無線網(wǎng)絡(luò)環(huán)境的圖形 說明。
[0023] 圖1B說明接入一或多個基站及接入點的一或多個SET。
[0024] 圖2為各種實施例的示范性設(shè)備��。
[0025] 圖3為描述各種實施例的示范性流程圖�����。
[0026] 圖4A說明根據(jù)一實施例的一或多個D-SLP的H-SLP授權(quán)的方法�。
[0027] 圖4B說明根據(jù)一實施例的一或多個D-SLP按請求的H-SLP授權(quán)的方法。
[0028] 圖4C說明根據(jù)一實施例的一或多個D-SLP的未經(jīng)請求的H-SLP授權(quán)的方法���。
[0029] 圖5A說明根據(jù)一實施例的D-SLP使用SET符記認證SET的方法���。
[0030] 圖5B說明根據(jù)一實施例的SET使用SET符記從D-SLP獲得經(jīng)認證位置服務(wù)的方 法。
[0031] 圖5C說明根據(jù)一實施例的D-SLP使用SET符記找出SET位置的方法�。
[0032] 圖6A說明根據(jù)一實施例的SET符記的內(nèi)容。
[0033] 圖6B說明根據(jù)一實施例的SLP證書的內(nèi)容�。
[0034] 圖7為各種實施例的示范性計算機系統(tǒng)。
【具體實施方式】
[0035] 提出用于認證具備SUPL功能的終端機(SET)與SUPL位置平臺(SLP)之間的安全 連接的設(shè)備����、方法、系統(tǒng)及計算機可讀媒體��。有時可使用常規(guī)認證方法(例如�,基于ACA、基 于GBA)來建立安全連接。當(dāng)其它認證方法不可用或失敗時�����,本發(fā)明的實施例使用客戶端符 記方法(例如���,SET符記方法)來輔助載運安全認證數(shù)據(jù)�����。
[0036] 本發(fā)明包含將客戶端符記用于位置服務(wù)器進行的客戶端認證的實施例�?���?蛻舳苏J 證可依賴位置服務(wù)器驗證客戶端的身份及身份的確實性的能力,客戶端在服務(wù)器接入期間 將所述能力提供到位置服務(wù)器���。
[0037] 本文中所描述的技術(shù)可用于對例如以下各者等各種無線通信網(wǎng)絡(luò)的移動裝置或 客戶端接入:碼分多址(CDMA)網(wǎng)絡(luò)�����、時分多址(TDMA)網(wǎng)絡(luò)、頻分多址(FDMA)網(wǎng)絡(luò)����、正交 FDMA(OFDMA)網(wǎng)絡(luò)��、單載波FDMA(SC-FDMA)網(wǎng)絡(luò)等�。常?��;Q地使用術(shù)語"網(wǎng)絡(luò)"與"系統(tǒng)"��。 CDMA網(wǎng)絡(luò)可實施例如通用陸地?zé)o線電接入(UTRA)���、CDMA2000等無線電技術(shù)。UTRA包含寬 帶 CDMA(W-CDMA)及低碼片速率(LCR)���。CDMA2000 涵蓋 IS-2000��、IS-95 及 IS-856 標(biāo)準(zhǔn)�。 TDMA網(wǎng)絡(luò)可實施例如全球移動通信系統(tǒng)(GSM)等無線電技術(shù)���。0FDMA網(wǎng)絡(luò)可實施例如演進 型 UTRA(E-UTRA)���、IEEE 802. 11、IEEE802. 16���、IEEE 802.20���、Flash-()FDM?等無線電技術(shù)���。 UTRA為通用移動電信系統(tǒng)(UMTS)的部分。長期演進(LTE)為由E-UTRA使用的無線電接入 技術(shù)���。UTRA��、E-UTRA��、GSM���、UMTS及LTE描述于來自名為"第三代合作伙伴計劃"(3GPP)的 組織的文件中。CDMA2000描述于來自名為"第三代合作伙伴計劃2"(3GPP2)的組織的文件 中��。此些各種無線電技術(shù)及標(biāo)準(zhǔn)在此項技術(shù)中是已知的���。
[0038] 利用單載波調(diào)制及頻域等化的單載波頻分多址(SC-FDMA)為一種技術(shù)���。SC-FDMA 可具有與0FDMA系統(tǒng)的性能及總體復(fù)雜性類似的性能及總體復(fù)雜性�����。SC-FDMA信號可由于 其固有的單載波結(jié)構(gòu)而具有較低峰值-平均功率比(PAPR)。SC-FDMA已引起很多注意��,尤 其是在較低PAPR在發(fā)射功率效率方面對移動終端機非常有益的上行鏈路通信中��。其當(dāng)前 為在3GPP長期演進(LTE)或演進型UTRA中對上行鏈路多址方案的工作假設(shè)��。
[0039] 各種實施例在本文中結(jié)合移動裝置�����、接入終端機或SET來描述�����。移動裝置����、接入終 端機或SET還可被叫作系統(tǒng)、用戶單元����、用戶臺、移動臺���、移動件����、遠程臺、遠程終端機���、移動 裝置����、用戶終端機����、終端機、移動終端機��、無線裝置�、無線終端機、無線通信裝置��、用戶代理��、 用戶裝置或用戶裝備(UE)��。移動裝置�、接入終端機或SET可為蜂窩式電話���、無線電話��、會話 起始協(xié)議(SIP)電話����、無線局部回路(WLL)臺、個人數(shù)字助理(PDA)���、具有無線連接能力的手 持式裝置����、計算裝置��、膝上型計算機����、平板計算機或連接到調(diào)制解調(diào)器(例如,無線調(diào)制解 調(diào)器)或含有調(diào)制解調(diào)器的其它處理裝置�。此外,本文中結(jié)合基站來描述各種實施例���?;?站可用于與接入終端機通信,且還可被稱作接入點�、節(jié)點B、演進型節(jié)點B(eN 〇deB)�、接入點 基站、WiFi接入點����、超微型小區(qū)、本地基站��、本地節(jié)點B�、本地eNodeB或某一其它術(shù)語。
[0040] 參看圖1A��,說明根據(jù)一些實施例的多址無線通信系統(tǒng)�。接入點(AP) 100包含多個 天線群組,一天線群組包含104及106,另一天線群組包含108及110,且額外天線群組包含 112及114�����。在圖1中��,針對每一天線群組展示僅兩個天線���,然而��,較多或較少天線可用于每 一天線群組�。例如SET 116等接入終端機與天線112及114通信,其中天線112及114經(jīng)由 前向鏈路120將信息發(fā)射到接入終端機(例如����,SET 116)�,且經(jīng)由反向鏈路118從接入終端 機(例如,SET 116)接收信息�。另一接入終端機(例如,SET122)與天線106及108通信�, 其中天線106及108經(jīng)由前向鏈路126將信息發(fā)射到接入終端機(例如,SET 122)且經(jīng)由 反向鏈路124從接入終端機(例如��,SET 122)接收信息���。在頻分雙工(FDD)系統(tǒng)中��,通信 鏈路118�����、120�、124及126可將不同頻率用于通信。舉例來說��,前向鏈路120可使用不同于 由反向鏈路118所用的頻率的頻率���。
[0041] 圖1A中的系統(tǒng)可支持多個載波(不同頻率的波形信號)上的操作��。多載波發(fā)射器 可在多個載波上同時發(fā)射經(jīng)調(diào)制的信號�����。每一經(jīng)調(diào)制的信號可為碼分多址(CDMA)信號��、時 分多址(TDM)信號���、正交頻分多址(OFDM)信號、單載波頻分多址(SC-FDMA)信號等��。每 一經(jīng)調(diào)制的信號可在不同載波上進行發(fā)送���,且可載運導(dǎo)頻數(shù)據(jù)�����、開銷信息����、數(shù)據(jù)等。
[0042] 可將每一群天線及/或所述天線經(jīng)設(shè)計以通信的區(qū)域稱作接入點的扇區(qū)�。在所 述實施例中,天線群組各自經(jīng)設(shè)計以與接入點100所涵蓋的區(qū)域的扇區(qū)中的接入終端機通 ?目����。
[0043] 在經(jīng)由前向鏈路120及126的通信中,接入點100的發(fā)射天線可利用波束成形����,以 便改進用于不同接入終端機的前向鏈路的信噪比�����。而且���,接入點使用波束成形而發(fā)射到遍 及其涵蓋范圍隨機散布的接入終端機可對鄰近小區(qū)中的接入終端機造成比接入點經(jīng)由單 個天線而發(fā)射到其所有接入終端機少的干擾�。在一些實施例中��,不執(zhí)行波束成形����。
[0044] 可使用其它接入點或發(fā)射臺。舉例來說,除ΑΡ 100外或替代ΑΡ 100,還可使用基 站�����。在一些實施例中���,例如ΑΡ 100等第一發(fā)射器可提供對第一網(wǎng)絡(luò)的接入�,而第二發(fā)射器 (例如���,蜂窩式基站)可提供對第二網(wǎng)絡(luò)的接入����。在一些實施例中��,可接入第一發(fā)射器及第 二發(fā)射器中的每一者的區(qū)域重疊�����。
[0045] 圖1Β說明接入一或多個基站及接入點的一或多個SET���。舉例來說�,SET 116可接 入一些AP及基站�����。基站及接入點可連接到服務(wù)網(wǎng)絡(luò)130 (例如�,WCDMA、LTE或cdma2000服 務(wù)網(wǎng)絡(luò))����。另外,服務(wù)網(wǎng)絡(luò)130可直接或經(jīng)由例如因特網(wǎng)等中間實體及系統(tǒng)而連接到本地網(wǎng) 絡(luò)140�。在一些狀況下,服務(wù)網(wǎng)絡(luò)130及本地網(wǎng)絡(luò)140可為同一網(wǎng)絡(luò)����。在此實例中,D-SLP 132及D-SLP 134可連接到服務(wù)網(wǎng)絡(luò)130或可為服務(wù)網(wǎng)絡(luò)130的部分���。另外,H-SLP 142可 連接到本地網(wǎng)絡(luò)140,或可為本地網(wǎng)絡(luò)140的部分���。
[0046] 根據(jù)一些實施例�,也被稱作外部客戶端的SUPL代理133���、135�����、143可分別連接到每 一 SLP 132��、134����、142。舉例來說���,SUPL代理143可從其關(guān)聯(lián)SLP(g卩����,H-SLP142)請求SET 122的位置��,且SLP( S卩���,H-SLP 142)可接著發(fā)起與SET 122的SUPL會話以獲得位置���。此 夕卜,如圖4A到4C中進一步說明����,在SET符記方法實例中���,SET符記150及SLP證書160可 在SUPL消息中從H-SLP 142載運到例如SET 122等SET。
[0047] 在圖1B中���,H-SLP 142可為針對SET 116及SET 122的本地SLP��。在一些情形下�, SET 116及122可接著從H-SLP 142獲得位置服務(wù)--例如�,當(dāng)SET 116及122正各自直 接接入本地網(wǎng)絡(luò)140時。此些位置服務(wù)可使用由0ΜΑ定義的SUPL位置解決方案來支持�����,且 可包含將輔助數(shù)據(jù)從H-SLP 140傳送到SET 116或SET 122以促使SET從當(dāng)前服務(wù)網(wǎng)絡(luò)中 的接入點及基站(例如���,接入點100)及/或從全球?qū)Ш叫l(wèi)星(圖1B中未展示)(例如屬于 全球定位系統(tǒng)GPS或例如歐洲伽利略系統(tǒng)或俄羅斯GLONASS系統(tǒng)等其它系統(tǒng)的衛(wèi)星)獲取 并測量無線電信號���。Η-SLP執(zhí)行的額外SUPL位置服務(wù)可包含基于由SET 116或122進行 并提供到H-SLP 142的信號測量來計算對于SET 116或122的位置估計。另外�,SUPL位置 服務(wù)可包含將H-SLP 142獲得的位置估計傳送到SUPL代理143或到SET 116或SET 122��。 在SET 116及SET 122正接入不同于本地網(wǎng)絡(luò)140的服務(wù)網(wǎng)絡(luò)130的狀況下�,使用SUPL�����, D-SLP 132及D-SLP 134可比H-SLP 142提供好的位置服務(wù)����。此情形可發(fā)生是因為D-SLP 132及134比H-SLP 142具有對服務(wù)網(wǎng)絡(luò)130的多的知識(例如�,接入點100的位置及發(fā)射 特性的更多知識),且因此可更好地能夠(i)提供與獲取并測量來自服務(wù)網(wǎng)絡(luò)130的無線電 信號相關(guān)的位置輔助數(shù)據(jù)�����,(ii)使用此些測量來計算準(zhǔn)確位置����,及/或(iii)將輔助數(shù)據(jù) 提供到SET 116及122,從而促使此些SET自身計算此位置。由于此原因���,H-SLP 142有可 利地以安全方式向SET 116及122提供接入D-SLP 132及134需要的信息��。此信息可包含 D-SLP 132及134的地址(例如��,IP地址或完整域名(FQDN))及在某些條件下(例如����,在某 些位置處、在某些時間及/或在接入例如服務(wù)網(wǎng)絡(luò)130等某些網(wǎng)絡(luò)時)對接入此些D-SLP 的授權(quán)���。
[0048] 圖2為ΜΜ0系統(tǒng)200中的發(fā)射器系統(tǒng)210 (其可(例如)實施接入點100)及接 收器系統(tǒng)250 (其可(例如)實施例如SET 116等接入終端機)的一實施例的框圖��。然而���, 應(yīng)注意到,雖然描述實例ΜΙΜΟ系統(tǒng)200,但在一些實施例中不使用ΜΙΜ0,這是因為可使用其 它系統(tǒng)(例如��,SISO���、MISO�����、SIM0等)�����。在發(fā)射器系統(tǒng)210處�����,將許多數(shù)據(jù)流的流通量數(shù)據(jù) 從數(shù)據(jù)源212提供到發(fā)射(ΤΧ)數(shù)據(jù)處理器214���。
[0049] 在一些實施例中,在相應(yīng)發(fā)射天線上發(fā)射每一數(shù)據(jù)流�。ΤΧ數(shù)據(jù)處理器214基于經(jīng) 選擇用于每一數(shù)據(jù)流的特定譯碼方案而格式化、譯碼及交錯所述數(shù)據(jù)流的流通量數(shù)據(jù)以提 供經(jīng)譯碼的數(shù)據(jù)��。
[0050] 每一數(shù)據(jù)流的經(jīng)譯碼的數(shù)據(jù)可使用0FDM技術(shù)與導(dǎo)頻數(shù)據(jù)一起多路復(fù)用�����。導(dǎo)頻數(shù) 據(jù)通常為以已知方式處理的已知數(shù)據(jù)樣式且可在接收器系統(tǒng)處用來估計頻道響應(yīng)���。接著基 于經(jīng)選擇用于每一數(shù)據(jù)流的特定調(diào)制方案(例如�����,BPSK���、QSPK、M-PSK或M-QAM)來調(diào)制(即���, 符號映射)所述數(shù)據(jù)流的經(jīng)多路復(fù)用的導(dǎo)頻及經(jīng)譯碼的數(shù)據(jù)以提供調(diào)制符號���??赏ㄟ^由處 理器230所執(zhí)行的指令來確定每一數(shù)據(jù)流的數(shù)據(jù)速率��、譯碼及調(diào)制���。指令可存儲于存儲器 232 中�。
[0051] 接著將用于所有數(shù)據(jù)流的調(diào)制符號提供到ΤΧ ΜΜ0處理器220,所述ΤΧ ΜΜ0處理 器220可進一步處理調(diào)制符號(例如����,對于0FDM)。ΤΧ ΜΜ0處理器220接著將NT個調(diào)制 符號流提供到NT個發(fā)射器(TMTR) 222a到222t��。在某些實施例中���,ΤΧ ΜΜ0處理器220將 波束成形權(quán)重應(yīng)用于所述數(shù)據(jù)流的符號及天線(正從所述天線發(fā)射符號)����。
[0052] 每一發(fā)射器222接收并處理相應(yīng)符號流以提供一或多個模擬信號��,且進一步調(diào)節(jié) (例如�����,放大、濾波及增頻轉(zhuǎn)換)所述模擬信號以提供適合于經(jīng)由ΜΜ0頻道發(fā)射的經(jīng)調(diào)制的 信號�。接著分別從NT個天線224a到224t發(fā)射來自發(fā)射器222a到222t的NT個經(jīng)調(diào)制的 信號。
[0053] 在接收器系統(tǒng)250處����,由NR個天線252a到252r接收所發(fā)射的經(jīng)調(diào)制的信號�����,且來 自每一天線252的所接收信號被提供到相應(yīng)接收器(RCVR) 254a到254r����。每一接收器254 調(diào)節(jié)(例如,濾波�����、放大及降頻轉(zhuǎn)換)相應(yīng)接收的信號�����、數(shù)字化經(jīng)調(diào)節(jié)的信號以提供樣本�,且 進一步處理所述樣本以提供對應(yīng)的"接收的"符號流。
[0054] RX數(shù)據(jù)處理器260接著接收且基于特定接收器處理技術(shù)處理來自NR個接收器 254的NR個接收的符號流以提供NT個"經(jīng)檢測的"符號流���。RX數(shù)據(jù)處理器260接著解調(diào) 制��、解交錯并解碼每一所檢測符號流以恢復(fù)數(shù)據(jù)流的流通量數(shù)據(jù)���。由RX數(shù)據(jù)處理器260進 行的處理與由發(fā)射器系統(tǒng)210處的ΤΧ ΜΜ0處理器220及TX數(shù)據(jù)處理器214執(zhí)行的處理 互補���。
[0055] 處理器270周期性地確定使用可存儲于存儲器272中的哪個預(yù)譯碼矩陣(在下文 中論述)。處理器270用公式表示包括矩陣索引部分及秩值部分的反向鏈路消息���。
[0056] 反向鏈路消息可包括關(guān)于通信鏈路及/或所接收的數(shù)據(jù)流的各種類型的信息��。反 向鏈路消息接著由TX數(shù)據(jù)處理器238 (其還接收來自數(shù)據(jù)源236的許多數(shù)據(jù)流的流通量數(shù) 據(jù))處理��、由調(diào)制器280調(diào)制����、由發(fā)射器254a到254ι調(diào)節(jié)����,并被發(fā)射回到發(fā)射器系統(tǒng)210。 兩個或兩個以上接收器���、發(fā)射器及天線群組可經(jīng)配置以接入分離網(wǎng)絡(luò)���,例如�����,WLAN網(wǎng)絡(luò)及 LTE��、WCDMA或cdma2000 HPRD網(wǎng)絡(luò)�。在一些實施例中���,單個接收器、發(fā)射器及天線群組可經(jīng) 配置以接入至少兩個分離網(wǎng)絡(luò)�����。類似地��,可包含多個處理器以處理多個網(wǎng)絡(luò)的通信及/或 數(shù)據(jù)��。另外���,單個處理器可經(jīng)配置以處理多個網(wǎng)絡(luò)的通信及/或數(shù)據(jù)�����。
[0057] 在發(fā)射器系統(tǒng)210處�����,來自接收器系統(tǒng)250的經(jīng)調(diào)制的信號由天線224接收�����、由接 收器222調(diào)節(jié)���、由解調(diào)制器240解調(diào)制且由RX數(shù)據(jù)處理器242處理以提取由接收器系統(tǒng) 250發(fā)射的反向鏈路消息��。處理器230接著確定將哪一預(yù)譯碼矩陣用于確定波束成形權(quán)重�����, 且接著處理所提取的消息���。
[0058] 具備SUPL功能的通信系統(tǒng)
[0059] 本地位置服務(wù)器(例如,在SUPL的狀況下��,本地SLP (H-SLP))為聯(lián)合例如SET等 客戶端移動裝置(例如����,基于服務(wù)訂用)的位置服務(wù)器��。在以下描述中���,術(shù)語客戶端指為本 地位置服務(wù)器的客戶端的例如SET等移動裝置,且可使用(例如)SUPL經(jīng)由與本地位置服 務(wù)器的交互而獲得位置服務(wù)�����。本地位置服務(wù)器及客戶端可已布建有彼此的身份(例如�����,地 址)�。舉例來說��,客戶端可使用本地位置服務(wù)器的預(yù)布建的身份(例如����,F(xiàn)QDN或IP地址) 以能夠接入服務(wù)器,且接著使用常規(guī)公用密鑰機制基于服務(wù)器的公用密鑰證書來認證服務(wù) 器���。另外�����,本地位置服務(wù)器可通過以下兩者來識別客戶端:客戶端的客戶端在服務(wù)器接入期 間可提供到本地位置服務(wù)器的身份�����,及驗證客戶端的身份的確實性的提供到本地位置服務(wù) 器的額外信息���。此額外信息可由客戶端的基礎(chǔ)接入網(wǎng)絡(luò)或本地網(wǎng)絡(luò)來提供�,所述基礎(chǔ)接入 網(wǎng)絡(luò)或本地網(wǎng)絡(luò)能夠基于客戶端的所指派接入網(wǎng)絡(luò)地址(例如�����,客戶端的IP地址)識別客 戶端(例如����,能夠確定客戶端的身份,例如����,其國際移動用戶識別碼(IMSI))。在SUPL中���, Η-SLP進行的客戶端身份到客戶端接入網(wǎng)絡(luò)地址的此結(jié)合的發(fā)現(xiàn)形成由Η-SLP認證SET的 替代性客戶端認證(ACA)方法的基礎(chǔ)���?����?蛻舳思捌浔镜匚恢梅?wù)器還可將其它方法方法用 于由本地位置服務(wù)器進行的客戶端的認證(例如�����,GBA或裝置證書)��。此些方法中的兩者取 決于裝置及服務(wù)器(或與服務(wù)器相關(guān)聯(lián)的任何網(wǎng)絡(luò))兩者對秘密PSK的知曉����,且在PSK未 知時不可使用(例如�,由服務(wù)器)。
[0060] ACA取決于服務(wù)器或與服務(wù)器相關(guān)聯(lián)的網(wǎng)絡(luò)使無線裝置的公用IP地址與無線裝 置的全局身份(例如��,國際電話號碼)相關(guān)聯(lián)的能力���。當(dāng)服務(wù)器或其關(guān)聯(lián)網(wǎng)絡(luò)不可執(zhí)行此 IP地址關(guān)聯(lián)時,或當(dāng)無線裝置的全局身份尚不為服務(wù)器知曉時����,服務(wù)器不可使用ACA。基于 服務(wù)器證書及裝置證書的方法取決于一方將數(shù)字簽名的全局自識別(例如��,國際無線終端 機ID或全局服務(wù)器因特網(wǎng)地址)提供到另一方(服務(wù)器或無線終端機)�,所述另一方可使 用已知公用密鑰或已知根公用密鑰驗證所述數(shù)字簽名的全局自識別以驗證數(shù)字簽名及預(yù) 布建的知識。數(shù)字簽名且現(xiàn)經(jīng)驗證的全局識別可接著與已知曉的任何全局識別進行比較�����, 且如果發(fā)現(xiàn)匹配����,那么可信任全局識別。當(dāng)公用密鑰或根公用密鑰或全局識別尚不知曉時���, 此些基于證書的方法不可使用(例如�����,由服務(wù)器)��。
[0061] 在被發(fā)現(xiàn)位置服務(wù)器的狀況下����,因為與任一無線終端機的關(guān)聯(lián)將始終為暫時的����, 所以PSK或任何無線裝置全局身份的知識有時將缺少��,從而致使基于PSK及裝置證書的認 證方法不能夠認證無線裝置��。此外�,被發(fā)現(xiàn)位置服務(wù)器可能不能夠驗證無線裝置與無線裝 置全局身份的IP地址關(guān)聯(lián)�,或可能未預(yù)布建有有效無線裝置全局身份,從而致使ACA方法 不能夠認證無線裝置�。在一些狀況下,無線裝置或其本地網(wǎng)絡(luò)可能不支持裝置證書或GBA��, 從而使此些方法對于被發(fā)現(xiàn)位置服務(wù)器不可用����,甚至在可能已以其它方式使用了此些方法 時。在此些狀況下���,被發(fā)現(xiàn)位置服務(wù)器可需要使用某一其它非常規(guī)方法來認證無線裝置�����。 [0062] 可利用與客戶端無預(yù)布建關(guān)聯(lián)的位置服務(wù)器(即�����,關(guān)于客戶端的非本地位置服務(wù) 器)將位置服務(wù)提供到客戶端���。如果兩個實體(即,客戶端及非本地位置服務(wù)器)能夠彼 此相互認證����,且如果客戶端的本地位置服務(wù)器已授權(quán)此服務(wù)器供客戶端使用,那么此情形 可發(fā)生�。在本發(fā)明中,此位置服務(wù)器被叫作被發(fā)現(xiàn)位置服務(wù)器���。在SUPL的狀況下����,被發(fā)現(xiàn) 位置服務(wù)器被稱作被發(fā)現(xiàn)SLP (D-SLP)�����。如本文中較早所描述��,在一些情況下�,被發(fā)現(xiàn)位置服 務(wù)器(例如,D-SLP)可給客戶端提供比本地位置服務(wù)器(例如�����,H-SLP)好的位置服務(wù)。 [0063] 為了授權(quán)被發(fā)現(xiàn)位置服務(wù)器供客戶端使用�����,本地位置服務(wù)器可將被發(fā)現(xiàn)位置服務(wù) 器的身份(例如���,其FQDN)提供到客戶端����,并確認所述身份�。另外,本地位置服務(wù)器可提供接 入相關(guān)信息(例如��,經(jīng)授權(quán)的服務(wù)持續(xù)時間�����、記帳碼)��。此過程被叫作被發(fā)現(xiàn)位置服務(wù)器授 權(quán)����。如果客戶端自身未能發(fā)現(xiàn)此服務(wù)器����,那么所述過程可由可將請求發(fā)送到本地位置服務(wù) 器的客戶端發(fā)起以授權(quán)特定被發(fā)現(xiàn)位置服務(wù)器或向客戶端提供被發(fā)現(xiàn)服務(wù)器的身份����。在被 發(fā)現(xiàn)位置服務(wù)器授權(quán)之后����,類似于客戶端認證其本地位置服務(wù)器,客戶端將能夠接入被發(fā) 現(xiàn)位置服務(wù)器�,且使用服務(wù)器的公用密鑰基于公用密鑰機制來認證被發(fā)現(xiàn)位置服務(wù)器(其 又可基于已知根公用密鑰使用隨證書始創(chuàng)的證書鏈來認證)。此公用密鑰機制由SUPL使 用��。
[0064] 在一些例子中����,被發(fā)現(xiàn)位置服務(wù)器可能不能夠認證客戶端,這是因為客戶端在接 入被發(fā)現(xiàn)位置服務(wù)器期間所提供的客戶端身份歸因于缺少確認客戶端的身份的確實性所 需要的信息而無法由被發(fā)現(xiàn)位置服務(wù)器驗證��。如先前所提到��,雖然Η-SLP可能能夠使用 ACA����、GBA或裝置證書方法來認證SET�����,但D-SLP可能不能夠使用常規(guī)認證方法來認證SET����。 [0065] 客戶端符記方法
[0066] 在客戶端符記方法中���,作為被發(fā)現(xiàn)位置服務(wù)器授權(quán)過程的方法�����,本地位置服務(wù)器 經(jīng)由客戶端符記將數(shù)字簽名的客戶端相關(guān)信息提供到客戶端����。
[0067] 客戶端符記還可被稱作客戶端證書���、客戶端檢定的數(shù)據(jù)或SET符記����?��?蛻舳朔?記可包括以下各者中的一或多者:客戶端身份(例如����,IMSI、移動臺集成服務(wù)數(shù)字網(wǎng)絡(luò)號 (MSISDN)�、客戶端公用用戶地址)、本地位置服務(wù)器身份或地址����、被發(fā)現(xiàn)位置服務(wù)器身份或 地址及被發(fā)現(xiàn)位置服務(wù)器授權(quán)的時間及持續(xù)時間����。此信息由本地位置服務(wù)器使用秘密私密 密鑰數(shù)字簽名。數(shù)字簽名可由任一其它實體(例如��,被發(fā)現(xiàn)位置服務(wù)器)使用以下兩者中 的任一者來驗證:對應(yīng)于由本地位置服務(wù)器使用的私密密鑰的已知公用密鑰��,或本地位置 服務(wù)器提供的促使通過安全方式獲得此公用密鑰的數(shù)字證書����。舉例來說,本地位置服務(wù)器 可將其自己的數(shù)字證書(例如����,公用密鑰證書、服務(wù)器證書�����、SLP證書160)提供到客戶端。 數(shù)字證書可包括本地位置服務(wù)器的身份��,及供本地位置服務(wù)器使用以數(shù)字地簽名客戶端符 記的公用密鑰��。另外���,此信息可由可為證書當(dāng)局(CA)的另一實體來數(shù)字簽名��。CA可為需 要驗證客戶端符記的任一實體(例如��,被發(fā)現(xiàn)位置服務(wù)器)已知且信任����,且由CA使用以數(shù) 字簽名本地位置服務(wù)器公用密鑰的公用密鑰也可為已知的����。如果并非已知及被信任,那么 本地位置服務(wù)器可提供源自某一已知及信任的根CA的額外證書鏈作為檢定CA的數(shù)字簽名 的數(shù)字證書的部分����。客戶端從本地位置服務(wù)器接收客戶端符記及(如果發(fā)送)數(shù)字證書兩 者?��?蛻舳丝梢园踩绞酱鎯蛻舳朔浖皵?shù)字證書兩者���,使得信息不可被另一實體容易 地獲得。舉例來說���,信息可由客戶端以加密形式存儲(使用保持于安全客戶端存儲器中的 密鑰)����,及/或可存儲于不可由用戶或在客戶端外部的其它實體接入的安全存儲器中��。此 夕卜�����,客戶端符記及數(shù)字證書可由本地位置服務(wù)器經(jīng)由安全鏈路發(fā)送到客戶端(即�����,在本地 位置服務(wù)器及客戶端執(zhí)行了成功的相互認證且在此認證中使用加密設(shè)置之后)����。
[0068] 在被發(fā)現(xiàn)位置服務(wù)器授權(quán)過程之后,被發(fā)現(xiàn)位置服務(wù)器會話建立過程可開始����。在 會話建立過程中,客戶端可第一次接入被發(fā)現(xiàn)位置服務(wù)器���。作為第一次接入的部分�,客戶端 可能能夠經(jīng)由由被發(fā)現(xiàn)位置服務(wù)器發(fā)送到客戶端的公用密鑰證書來認證被發(fā)現(xiàn)位置服務(wù) 器����。然而,被發(fā)現(xiàn)位置服務(wù)器最初可能不能夠認證客戶端(例如�,在不可使用ACA或GBA方 法的情況下)。取而代之�����,被發(fā)現(xiàn)位置服務(wù)器可臨時接受來自客戶端的接入�����??蛻舳丝山又?將客戶端符記及數(shù)字證書兩者發(fā)送到被發(fā)現(xiàn)位置服務(wù)器作為發(fā)送到被發(fā)現(xiàn)位置服務(wù)器的 第一位置相關(guān)消息(例如,對于SUPL�,第一 SUPL消息)的部分��。被發(fā)現(xiàn)位置服務(wù)器可使用 客戶端符記來驗證客戶端的身份的確實性��,且(如果提供)可使用數(shù)字證書來針對客戶端 符記驗證本地位置服務(wù)器的數(shù)字簽名的確實性�����。另外��,被發(fā)現(xiàn)位置服務(wù)器可存儲數(shù)字證書��, 使得客戶端在后續(xù)服務(wù)器接入期間不需要重新發(fā)送數(shù)字證書�。因此�,在未來被發(fā)現(xiàn)位置服 務(wù)器接入期間,客戶端在一些實施例中可僅提供客戶端符記��。
[0069] 認證
[0070] 被發(fā)現(xiàn)位置服務(wù)器進行的客戶端的認證可利用客戶端符記中的經(jīng)數(shù)字簽名的信 息����。如先前所提及���,客戶端符記(例如�,SET符記)可包括客戶端(例如����,SET)身份��、本地 位置服務(wù)器(例如�,H-SLP)身份�����、被發(fā)現(xiàn)位置服務(wù)器(例如��,(D-SLP)身份�����、發(fā)布符記的時 間及符記的持續(xù)時間��。被發(fā)現(xiàn)位置服務(wù)器可信任其信息��,這是因為被發(fā)現(xiàn)位置服務(wù)器已知 曉與應(yīng)用到客戶端符記的本地位置服務(wù)器數(shù)字簽名相關(guān)聯(lián)的公用密鑰����,或是因為此公用密 鑰由數(shù)字證書予以了認證。假定被發(fā)現(xiàn)位置服務(wù)器信任本地位置服務(wù)器(例如�����,經(jīng)由此些 服務(wù)器的提供者之間的先前商用布置),那么被發(fā)現(xiàn)位置服務(wù)器可知曉具有所提供(且現(xiàn) 經(jīng)認證)的身份的客戶端已由本地位置服務(wù)器(其身份還經(jīng)包含并認證)授權(quán)以接入位置 服務(wù)器(經(jīng)由包含現(xiàn)經(jīng)認證的被發(fā)現(xiàn)位置服務(wù)器身份)����。如果客戶端符記進一步包含數(shù)據(jù) 及時間范圍,那么被發(fā)現(xiàn)位置服務(wù)器還可知曉客戶端經(jīng)授權(quán)以接入被發(fā)現(xiàn)位置服務(wù)器的周 期��。此周期的知曉可用以防止同一客戶端或可以某種方式截取或獲得客戶端符記的某一其 它裝置在此周期已期滿之后(或在一些狀況下在所述周期已開始之前)重新使用同一客戶 端符記來獲得來自被發(fā)現(xiàn)位置服務(wù)器的未經(jīng)授權(quán)位置服務(wù)�。
[0071] 雖然如上文所描述認證了信息,但被發(fā)現(xiàn)位置服務(wù)器不可驗證其為發(fā)送此信息的 客戶端且并非可能已截取或以其它方式非法獲得信息的另一實體�����。為了防止另一實體進行 的此非法使用���,客戶端符記及數(shù)字證書可由本地位置服務(wù)器經(jīng)由安全(例如����,經(jīng)編密)連接 傳送到客戶端��。另外�����,客戶端可如本文中較早所描述將信息保持于安全存儲器中及/或以 經(jīng)編密形式來保持信息����,且不允許除意欲的被發(fā)現(xiàn)位置服務(wù)器外的用戶或任何其它實體接 入信息??蛻舳朔涍€可包含被發(fā)現(xiàn)位置服務(wù)器的身份以防止客戶端或另一實體將客戶端 符記供任一其它位置服務(wù)器使用。
[0072] 客戶端符記及數(shù)字證書可保持有效�,直到其期滿或由本地位置服務(wù)器撤銷。根據(jù) 一些實施例���,客戶端符記及數(shù)字證書可載運期滿日期�。另外�,本地位置服務(wù)器可通過在另一 被發(fā)現(xiàn)位置服務(wù)器授權(quán)期間提供新客戶端符記來撤銷客戶端符記。新客戶端符記可替換客 戶端上先前存儲的客戶端符記����。如果在被發(fā)現(xiàn)位置服務(wù)器授權(quán)期間未提供新客戶端符記, 那么可擦除客戶端上的任何現(xiàn)有客戶端符記���。
[0073] 同一機制可應(yīng)用于本地位置服務(wù)器的數(shù)字證書��。另外���,無論何時當(dāng)數(shù)字證書在被 發(fā)現(xiàn)位置服務(wù)器授權(quán)期間由本地位置服務(wù)器提供到客戶端時,客戶端便可在初始被發(fā)現(xiàn)位 置服務(wù)器接入期間將數(shù)字證書發(fā)送到被發(fā)現(xiàn)位置服務(wù)器����。接著��,被發(fā)現(xiàn)位置服務(wù)器可由新 證書替換任何現(xiàn)有(例如�,先前存儲的)數(shù)字證書�����,并存儲新證書以供未來使用����。客戶端可 能不接著需要在第一接入之后提供用于后續(xù)接入被發(fā)現(xiàn)位置服務(wù)器的數(shù)字證書��,這是因為 被發(fā)現(xiàn)位置服務(wù)器已具有來自第一接入的數(shù)字證書�����。然而�,客戶端可提供用于每一后續(xù)接 入被發(fā)現(xiàn)位置服務(wù)器的客戶端符記以促使被發(fā)現(xiàn)位置服務(wù)器認證客戶端
[0074] 在一些實施例中,數(shù)字證書可通過本地位置服務(wù)器借助于兩個服務(wù)器之間的分離 安全通信會話提供到被發(fā)現(xiàn)位置服務(wù)器��,且不需要由本地位置服務(wù)器傳送到客戶端及由客 戶端傳送到被發(fā)現(xiàn)位置服務(wù)器�����。
[0075] 另外�����,本地位置服務(wù)器可使用數(shù)字簽名的客戶端符記來將與經(jīng)授權(quán)服務(wù)相關(guān)的額 外信息傳送到被發(fā)現(xiàn)位置服務(wù)器����。此信息可包含記帳相關(guān)信息(例如,已由本地位置服務(wù) 器唯一地指派到客戶端的記帳碼)���、服務(wù)相關(guān)信息(例如�,經(jīng)授權(quán)地理服務(wù)區(qū)域�、被發(fā)現(xiàn)位 置服務(wù)器可提供到客戶端的經(jīng)授權(quán)服務(wù)的列表)及/或被發(fā)現(xiàn)位置服務(wù)器可需要以將服務(wù) 提供到客戶端的任何其它信息。在由客戶端對服務(wù)請求進行授權(quán)時或當(dāng)將記帳信息遞送到 本地位置服務(wù)器或與本地位置服務(wù)器相關(guān)聯(lián)的網(wǎng)絡(luò)時��,被發(fā)現(xiàn)位置服務(wù)器可使用此信息��。 [0076] 被發(fā)現(xiàn)位置服務(wù)器授權(quán)過程可需要���,在一些實施例中�,本地位置服務(wù)器及客戶端 在成功的相互認證之后經(jīng)由安全鏈路通信�。此情形可需要(例如,如果GBA或裝置證書認 證不被支持)接入網(wǎng)絡(luò)能夠提供本地位置服務(wù)器需要的信息以驗證客戶端的身份的確實 性(例如�����,客戶端的接入網(wǎng)絡(luò)地址,及如由認證的ACA方法使用的客戶端的識別)�����。
[0077] 在所述例子中���,當(dāng)客戶端使用不提供此功能性的第一接入網(wǎng)絡(luò)(例如���,公用或私 密WiFi網(wǎng)絡(luò))時,本地位置服務(wù)器進行的被發(fā)現(xiàn)位置服務(wù)器授權(quán)可能不能夠發(fā)生�����,這是因 為本地位置服務(wù)器未能夠認證客戶端(例如��,使用ACA方法)��。然而����,客戶端可通過臨時切 換到確實提供此功能性的第二接入網(wǎng)絡(luò)(例如,客戶端的本地網(wǎng)絡(luò),或遵照與由本地網(wǎng)絡(luò) 支持的例如3GPP或3GPP2標(biāo)準(zhǔn)等標(biāo)準(zhǔn)相容的標(biāo)準(zhǔn)的網(wǎng)絡(luò))來解決此情形�。本地位置服務(wù) 器進行的被發(fā)現(xiàn)位置服務(wù)器授權(quán)可接著使用此第二接入網(wǎng)絡(luò)發(fā)生。在本地位置服務(wù)器進行 的成功被發(fā)現(xiàn)位置服務(wù)器授權(quán)之后�,客戶端可切換回到第一接入網(wǎng)絡(luò)����,且使用第一接入網(wǎng) 絡(luò)從被發(fā)現(xiàn)位置服務(wù)器獲得服務(wù)。當(dāng)本地位置服務(wù)器進行的客戶端的認證可能不另外可能 時��,客戶端符記方法還可促使對本地位置服務(wù)器(例如���,H-SLP)的經(jīng)認證的客戶端接入��。當(dāng) 客戶端能夠接入其本地位置服務(wù)器且可由本地位置服務(wù)器使用某一其它機制(例如���,GBA、 ACA�、裝置證書)認證時,本地位置服務(wù)器可將客戶端符記提供到客戶端�����。在某后續(xù)時間���, 客戶端可在本地位置服務(wù)器未能夠使用其它方法認證客戶端的一環(huán)境中(例如����,使用例如 WiFi網(wǎng)絡(luò)的另一接入網(wǎng)絡(luò))接入本地位置服務(wù)器。在此狀況下�,客戶端可將先前從本地位 置服務(wù)器獲得的客戶端符記提供到本地位置服務(wù)器以促使本地位置服務(wù)器認證客戶端。在 此狀況下�,當(dāng)本地位置服務(wù)器原先向客戶端提供客戶端符記時,正常地包含于客戶端符記 中的被發(fā)現(xiàn)位置服務(wù)器身份或地址可由本地位置服務(wù)器身份或地址替換����。在此狀況下可不 需要數(shù)字證書,這是因為本地位置服務(wù)器將已知曉并信任其自己的公用密鑰�。
[0078] SET符記方法
[0079] SET符記方法為對于SUPL特定的客戶端符記方法的實例,但本文中所描述的概念 可擴展到其它通信范例���。當(dāng)前由SUPL 2. 1中的0MA定義的D-SLP概念使用SUPL2. 0安全 機制�����,所述SUPL 2. 0安全機制需要將ACA及/或GBA用于相互認證��。舉例來說����,GBA可能 并不適用,這是由于存在極少到不存在商用部署�。另外,使用ACA需要�,IP地址欺騙在接入 D-SLP時為不可能的,且有可能通過D-SLP或與D-SLP相關(guān)聯(lián)的SET服務(wù)網(wǎng)絡(luò)使SET IP地 址與SET全局身份(例如����,頂SI或MSISDN)可靠地相關(guān)聯(lián)����,其可能并非始終可能(例如,對 于經(jīng)由WLAN對D-SLP的SET接入)����。
[0080] 通過引入叫作SET符記150的新參數(shù)(H-SLP 142將所述新參數(shù)發(fā)送到SET 116 作為D-SLP授權(quán)的部分),SET 116的D-SLP授權(quán)變?yōu)榭赡艿?���。SET 116可將SET符記150 包含于在SUPL會話建立期間發(fā)送到D-SLP的任何初始SUPL消息中。SET符記150可含有 由H-SLP數(shù)字簽名的與SET�、H-SLP及D-SLP相關(guān)的信息。
[0081] 當(dāng)D-SLP 132未能夠使用其它認證方法認證SET 116時���,SET符記方法提供認證���。 SET符記方法可在GBA或ACA皆不可用或適用的情境下促使由D-SLP 132認證SET116����???需要此情形的情境包含GBA未經(jīng)部署或ACA不適用的情境。舉例來說����,如果用于D-SLP接 入的接入網(wǎng)絡(luò)并不符合ACA要求,例如����,支持欺騙自由網(wǎng)絡(luò)環(huán)境及/或促使SET IP地址結(jié) 合到待驗證的SET身份,那么此情形可發(fā)生�����。
[0082] 在一些實施例中���,SET符記方法可需要�,D-SLP授權(quán)過程經(jīng)由SET與其H-SLP之間 的安全輸送層安全(TLS)連接而發(fā)生��,在所述H-SLP之處��,SET認證由H-SLP使用GBA、裝置 證書或ACA執(zhí)行(且在H-SLP之處�,可使用由H-SLP提供到SET的公用密鑰服務(wù)器證書來執(zhí) 行H-SLP的SET認證)。在D-SLP授權(quán)過程中�,H-SLP 142可將SET符記150及(視需要) 其自己的數(shù)字證書(SLP證書160)提供到SET 116。當(dāng)H-SLP142授權(quán)用于由SET 116進行 的接入的一個以上D-SLP時���,H-SLP 142可提供針對經(jīng)授權(quán)的每一 D-SLP的分離SET符記 150,這是由于每一 SET符記可含有個別D-SLP地址或身份��,且因此可不同于用于某一其它 D-SLP的SET符記��。然而�����,H-SLP 142可提供針對所有SET符記150的一共同數(shù)字證書(即, 一共同SLP證書160)��,這是因為數(shù)字證書可僅含有對于H-SLP 142特定且對于任一 D-SLP 并不特定的信息����。當(dāng)SET 116隨后接入經(jīng)授權(quán)的D-SLP 132時,SET 116可使用公用密鑰 認證來認證D-SLP 132 (例如�����,與對于ACA方法的SET認證Η-SLP或D-SLP相同的方式)。 在SET 116與D-SLP 132之間的安全(例如�,經(jīng)編密)IP連接的成功D-SLP認證及建立之 后,SET 116可將與D-SLP 132相關(guān)聯(lián)的SET符記150及SLP證書160(如果由H-SLP 142 提供)發(fā)送到D-SLP132����。此情形可在SET 116對D-SLP 132的初始接入期間發(fā)生(例如, 取決于正使用的SUPL會話的類型�,可由SET 116在SUPL START、SUPL TRIGGERED START或 SUPL POS INIT消息中傳送到D-SLP 132)����。D-SLP 132可接著使用SET符記150來認證SET 116及SLP證書160以確證SET符記150的確實性。根據(jù)一實施例��,D-SLP可知曉H-SLP的 公用密鑰(例如���,經(jīng)由離線過程)�,在所述狀況下����,不需要提供SLP證書,或不需要使用SLP 證書(在經(jīng)提供的情況下)��。
[0083] 通過向D-SLP提供Η-SLP的數(shù)字證書(例如�,公用密鑰證書)來促使D-SLP認證 SET符記150��。為此�����,H-SLP 142在D-SLP授權(quán)期間將其公用密鑰證書(例如����,SLP證書160) 發(fā)送到SET�,SET 116接著在會話建立期間還將公用密鑰證書發(fā)送到D-SLP 132。
[0084] 另外����,SET符記150還可包含非安全相關(guān)信息,例如����,記帳碼��。通過SET符記150�, H-SLP及D-SLP可安全地交換認證、授權(quán)�����、記帳及其它用途所需要的信息。
[0085] 圖3說明用于獲得第一服務(wù)器與客戶端之間的安全連接的示范性方法300��。在一 些實施例中����,第一服務(wù)器可為D-SLP (例如,圖1B中的D-SLP 132或134)��,且客戶端可為 SET (例如��,圖1B中的SET 116或122)���。
[0086] 在302處�����,客戶端與第二服務(wù)器可建立安全連接���。第二服務(wù)器由第一服務(wù)器信任, 且第二服務(wù)器能夠認證客戶端�����。在一些實施例中,客戶端由系統(tǒng)250實施���。在此些實施例 中���,302的至少部分可(例如)由收發(fā)器252(例如,結(jié)合調(diào)制器280)及/或處理器238��、260 及270中的一或多者(例如��,結(jié)合來自數(shù)據(jù)源236及/或存儲器272的信息及/或指令) 執(zhí)行�����。在一些實施例中�,第二服務(wù)器由系統(tǒng)210實施。在此些實施例中�,302的至少部分可 (例如)由收發(fā)器222(例如,結(jié)合解調(diào)制器240)及/或處理器214�����、220����、230及242中的一 或多者(例如�����,結(jié)合來自數(shù)據(jù)源212及/或存儲器232的信息及/或指令)執(zhí)行。
[0087] 舉例來說����,在302處,客戶端(例如����,SET 116)可建立與例如客戶端的本地位置服 務(wù)器(例如,H-SLP 142)等第二服務(wù)器的安全連接���。在此實例中���,SET 116可使用例如LTE、 WCDMA��、GSM或cdma2000 HRPD網(wǎng)絡(luò)等公用蜂窩式網(wǎng)絡(luò)來接入其H-SLP 142���。接入可由H-SLP 142或由SET 116調(diào)用��。
[0088] 根據(jù)一些實施例�,為了在302處建立安全連接,SET可使用由H-SLP提供到SET (在 初始SET接入時)的公用密鑰證書來認證H-SLP����,且H-SLP可通過從接入網(wǎng)絡(luò)可靠地獲得與 IP地址相關(guān)聯(lián)的SET身份(例如,頂SI或MSISDN)認證SET��,SET正使用所述IP地址接入 H-SLP�。此認證方法構(gòu)成ACA認證方法,但還可使用其它認證方法�����,例如�����,GBA或裝置證書���。
[0089] 在304處�,客戶端使用安全通信會話從第二服務(wù)器接收客戶端符記�����?���?蛻舳朔?經(jīng)具體針對第一服務(wù)器定義,且含有與第一服務(wù)器�、第二服務(wù)器、客戶端及數(shù)字簽名相關(guān)聯(lián) 的數(shù)據(jù)���。如果客戶端請求來自第二服務(wù)器的授權(quán)以接入第一服務(wù)器���,或如果第二服務(wù)器察 覺到客戶端能夠接入第一服務(wù)器(例如,在客戶端的當(dāng)前位置處�����,或使用客戶端的當(dāng)前接 入網(wǎng)絡(luò))的益處��,或如果客戶端請求來自第二服務(wù)器的認證信息以接入第一服務(wù)器或由于 其它原因����,那么可觸發(fā)塊304。在一些實施例中����,客戶端由系統(tǒng)250實施。在此些實施例中�����, 3〇4的至少部分可(例如)由收發(fā)器252(例如,結(jié)合調(diào)制器280)及/或處理器238���、260 及270中的一或多者(例如����,結(jié)合來自數(shù)據(jù)源236及/或存儲器272的信息及/或指令) 執(zhí)行����。在一些實施例中,第二服務(wù)器由系統(tǒng)210實施��。在此些實施例中�����,304的至少部分可 (例如)由收發(fā)器222(例如��,結(jié)合解調(diào)制器240)及/或處理器214�����、220����、230及242中的一 或多者(例如����,結(jié)合來自數(shù)據(jù)源212及/或存儲器232的信息及/或指令)執(zhí)行����。
[0090] 舉例來說�,在304處,SUPL會話可建立于H-SLP 142與SET 116之間��,且作為此會 話的部分或使用另一 SUPL會話���,H-SLP 142將SET符記150傳送到SET 116,所述SET符記 150可包含SET身份���、H-SLP身份、當(dāng)前時間及符記的有效性周期����。SET符記150由H-SLP 142數(shù)字簽名。傳送可如圖4C中所說明為未請求的�,或可如圖4B中所說明由SET請求。
[0091] 根據(jù)另一實施例�,在304處�����,SET 116可從H-SLP 142接收SET符記150�。SET符 記150可經(jīng)具體針對D-SLP 132定義����,且含有與D-SLP 132、H-SLP 142�����、SET 116及數(shù)字簽 名相關(guān)聯(lián)的數(shù)據(jù)�����。
[0092] 視需要��,在306處��,客戶端(例如��,SET 116)可使用安全通信會話接收數(shù)字證書 (例如����,SLP證書160)�??蛻舳耍ɡ纾琒ET 116)可在308的請求中將數(shù)字證書(例如�,SLP 證書160)傳送到第一服務(wù)器(例如,D-SLP 132)���。第一服務(wù)器(例如�,D-SLP 132)可使用 數(shù)字證書(例如����,SLP證書160)來確證數(shù)字簽名�。在一些實施例中,客戶端由系統(tǒng)250實 施��。在此些實施例中���,306的至少部分可(例如)由收發(fā)器252(例如��,結(jié)合調(diào)制器280)及 /或處理器238����、260及270中的一或多者(例如�,結(jié)合來自數(shù)據(jù)源236及/或存儲器272 的信息及/或指令)執(zhí)行�。在一些實施例中��,第二服務(wù)器由系統(tǒng)210實施�。在此些實施例 中,306的至少部分可(例如)由收發(fā)器222(例如�,結(jié)合解調(diào)制器240)及/或處理器214、 220�����、230及242中的一或多者(例如����,結(jié)合來自數(shù)據(jù)源212及/或存儲器232的信息及/或 指令)執(zhí)行。根據(jù)一些實施例����。308發(fā)生是因為客戶端與第一服務(wù)器之間的其它認證方法 (例如,ACA�����、GBA)失敗���。為了說明���,作為308的部分���,SET試圖使用無線局域網(wǎng)(WLAN)來接 入D-SLP。作為此接入的部分��,將SET IP地址傳送到D-SLP���。SET試圖使用用于D-SLP的公 用密鑰證書來認證D-SLP��,且可使此認證成功���。然而��,舉例來說���,D-SLP不可使用ACA來認證 SET����,這是因為D-SLP不能夠從WLAN可靠地獲得對應(yīng)于SET IP地址的SET身份�����,或D-SLP 能夠獲得SET身份但不能夠使身份匹配先前布建于D-SLP中的任何身份。因此從D-SLP的 觀點看來�,ACA認證失敗。然而����,D-SLP可仍允許建立與SET的安全連接以成功預(yù)期308的 下一部分,在所述下一部分中�,在建立到D-SLP的安全連接之后,SET將較早從Η-SLP接收 的SET符記150傳送到D-SLP�����。D-SLP可接著使用SET符記及還從SET作為308的部分接 收的SLP證書160來認證SET���。
[0093] 在一些實施例中����,客戶端由系統(tǒng)250實施����。在此些實施例中,308的至少部分可(例 如)由收發(fā)器252 (例如�����,結(jié)合調(diào)制器280)及/或處理器238、260及270中的一或多者(例 如��,結(jié)合來自數(shù)據(jù)源236及/或存儲器272的信息及/或指令)執(zhí)行�����。在一些實施例中���,第 一服務(wù)器由系統(tǒng)210實施�����。在此些實施例中����,308的至少部分可(例如)由收發(fā)器222(例 如���,結(jié)合解調(diào)制器240)及/或處理器214、220���、230及242中的一或多者(例如�,結(jié)合來自 數(shù)據(jù)源212及/或存儲器232的信息及/或指令)執(zhí)行。
[0094] 為了進一步說明308,根據(jù)第一服務(wù)器及第二服務(wù)器皆為同一Η-SLP且302����、304及 306在Η-SLP可使用ACA或某一其它常規(guī)方法認證SET之時在308之前某些時間發(fā)生的另 一實施例,Η-SLP可臨時允許SET接入在308處繼續(xù)進行��,且SUPL會話建立于SET與H-SLP 之間�,盡管Η-SLP不能夠使用ACA (或某一其它常規(guī)方法)來認證SET。在此實施例中���,SET 116將較早在304處接收到的SET符記150傳送到H-SLP�。接著����,H-SLP使用SET符記150 來認證SET身份。SET符記150的傳送可為未請求的�����,或可由Η-SLP請求�。SET 116可接著 在310處從Η-SLP接收認證成功的確認。此SUPL會話繼續(xù)�,且稍后終止促使SET 116從 Η-SLP接收位置服務(wù)。
[0095] 返回到第一及第二服務(wù)器不同(例如�����,第一服務(wù)器為D-SLP且第二服務(wù)器為 Η-SLP)的先前實施例,在310處����,客戶端基于第一服務(wù)器進行的對客戶端的認證接收對第 一服務(wù)器的安全通信接入的準(zhǔn)予。認證可包含使用客戶端符記確證客戶端�,及使用數(shù)字簽 名確證客戶端符記。在一些實施例中�����,客戶端由系統(tǒng)250實施��。在此些實施例中�����,310的至 少部分可(例如)由收發(fā)器252 (例如���,結(jié)合調(diào)制器280)及/或處理器238�、260及270中 的一或多者(例如�����,結(jié)合來自數(shù)據(jù)源236及/或存儲器272的信息及/或指令)執(zhí)行���。在 一些實施例中����,第一服務(wù)器由系統(tǒng)210實施�。在此些實施例中,310的至少部分可(例如) 由收發(fā)器222 (例如����,結(jié)合解調(diào)制器240)及/或處理器214、220�����、230及242中的一或多者 (例如�,結(jié)合來自數(shù)據(jù)源212及/或存儲器232的信息及/或指令)執(zhí)行。
[0096] 舉例來說�����,SET 116可基于D-SLP進行的對SET 116的認證接收對D-SLP 132的 安全通信接入的準(zhǔn)予��。認證包含使用SET符記150確證SET�����,及使用數(shù)字簽名確證SET符記 150。視需要�,如果包含306,那么第一服務(wù)器(例如,D-SLP 132)可使用數(shù)字證書(例如�, SLP證書160)來確證數(shù)字簽名。
[0097] 根據(jù)另一實施例���,D_SLP(例如��,D-SLP 132)可使用先前接收到的IP地址接入 SET116以獲得代表外部客戶端(例如���,SUPL代理133)的SET位置。SET 116可將先前在 304處接收到的SET符記150傳送到D-SLP (例如�����,未請求����,或在D-SLP的請求時)以允許 D-SLP認證SET 116。D-SLP可接著可靠地獲得SET位置�����,并將所述位置傳送到外部客戶端。
[0098] 一或多個 D-SLP 的 Η-SLP 授權(quán)(例如���,302、304�、306)
[0099] 現(xiàn)參看圖4A,SET可請求對一或多個已知D-SLP的授權(quán)��,及/或可通過首先建立到 其Η-SLP的安全連接且接著將含有請求的SUPL START消息發(fā)送到Η-SLP來請求一或多個 先前未知但經(jīng)授權(quán)的D-SLP的地址����。Η-SLP可接著以SUPL END消息將所請求的D-SLP授權(quán) 及/或地址信息返回到SET。作為由Η-SLP針對D-SLP授權(quán)以SUPLEND消息返回的信息的 部分�����,Η-SLP可包含含有由Η-SLP數(shù)字簽名的與SET及Η-SLP相關(guān)的信息的SET符記150���。 SET符記150還可含有非安全相關(guān)信息���,例如,記帳碼�����。SET符記150可為含有與D-SLP授 權(quán)相關(guān)的其它信息的SUPL sip授權(quán)參數(shù)的部分(例如,經(jīng)授權(quán)D-SLP的地址�����,及SET可接 入每一經(jīng)授權(quán)D-SLP的條件)��。Η-SLP還可發(fā)送其公用密鑰證書(例如��,SLP證書160)以促 使任一 D-SLP驗證SET符記150的確實性�。由Η-SLP發(fā)送的SLP證書160可能并非D-SLP 特定的。因此����,如在SET符記150的情況下,可能不需要針對每一 D-SLP分離地發(fā)送SLP證 書160,但可適用于針對此特定SET授權(quán)的所有D-SLP��,借此減少傳訊�。
[0100] SET符記為根據(jù)本發(fā)明的一實施例的授權(quán)參數(shù)的實例。根據(jù)本發(fā)明的其它實施例��, 可將其它參數(shù)實施為客戶端符記或授權(quán)參數(shù)�����。
[0101] 一或多個D-SLP的Η-SLP授權(quán)(按請求)
[0102] 圖4B說明一或多個D-SLP按請求的Η-SLP授權(quán)及每一 D-SLP的SET符記150及 所有D-SLP的SLP證書160的布建的示范性程序(其載運于最終SUPL END消息中)。舉例 來說��,此程序可由SET 116調(diào)用以從由SET發(fā)現(xiàn)的D-SLP(例如�,D-SLP 132、D-SLP 134)的 H-SLP 142獲得授權(quán)��,所述H-SLP 142可將位置服務(wù)提供到在其當(dāng)前位置處或附近的SET����。 另外����,SET可從可將位置服務(wù)提供到在其當(dāng)前位置處或附近的SET的Η-SLP接收其它經(jīng)授 權(quán)D-SLP的地址。
[0103] 或者�,此程序還可由SET調(diào)用以從由SET發(fā)現(xiàn)的D-SLP的Η-SLP獲得授權(quán),所述 Η-SLP在遠離SET的某一位置(例如�����,SET的用戶期望在稍后時間訪問的位置)處提供位置 服務(wù)��。未強迫Η-SLP在此些狀況下提供授權(quán)����,但Η-SLP仍然可選擇進行此操作,以便改進位 置支持。另外�����,在Η-SLP的提供者與D-SLP的提供者之間可存在布置以避免到D-SLP的服 務(wù)超載�����。所述布置可限制D-SLP可同時被授權(quán)的SET的數(shù)目�����。
[0104] 在405處��,SET 116開始一程序以從H-SLP 142最終獲得高達10個經(jīng)授權(quán) D-SLP (例如��,D-SLP 132���、D-SLP 134)的地址����,所述H-SLP 142能夠在其當(dāng)前位置處或附近 或者在一些狀況下在某遠程位置處將位置服務(wù)提供到SET����。一旦此程序的任何先前調(diào)用的 任何最小重試周期已期滿�,便可在以下條件中的任一者下調(diào)用程序:
[0105] a. SET發(fā)現(xiàn)D-SLP地址適用于其當(dāng)前位置或SET將很可能已授權(quán)的遠程位置��。
[0106] b.在D-SLP授權(quán)的狀況下�,SET不能夠從H-SLP獲得適當(dāng)定位服務(wù),且不具有當(dāng)前 經(jīng)授權(quán)的D-SLP或具有當(dāng)前經(jīng)授權(quán)的D-SLP���,對其的接入歸因于地理區(qū)域或接入網(wǎng)絡(luò)限制 而被禁止���。
[0107] 在一些實施例中,在上文未描述的條件下調(diào)用程序�����。另外����,SET 116可采取適當(dāng)移 動以建立到H-SLP的安全輸送層安全(TLS)連接���。
[0108] 在410處����,SET 116可使用由本地網(wǎng)絡(luò)布建的默認地址建立到H-SLP的安全TLS連 接�,且發(fā)送SUPL START消息以開始與H-SLP的定位會話。SUPL START消息含有會話id、SET 能力及位置ID (lid)參數(shù)��。SET能力可包含所支持的定位方法(例如�,SET輔助的A-GPS、基 于SET的A-GPS)及關(guān)聯(lián)定位協(xié)議(例如���,RRLP�����、RRC�����、TIA-801或LPP)�。SUPL START消息還 含有SLP查詢參數(shù)(slpQuery)����,從而指示SET是否請求D-SLP地址。對于D-SLP請求����,SET 可包含當(dāng)前由H-SLP授權(quán)的任何D-SLP地址的列表,且可包含較佳D-SLP地址(例如�,已發(fā) 現(xiàn)的D-SLP地址)的列表及/或非較佳D-SLP地址(例如���,SET先前不可從其獲得服務(wù)的 D-SLP)的列表。SET還可包含其當(dāng)前位置估計(在當(dāng)前位置估計可用的情況下)�����。
[0109] 在415處�,如果H-SLP不需要獲得SET的位置或驗證在410處提供的任何位置,那 么 H-SLP 繼續(xù)進行到 430�。否則,H-SLP 將 SUPL RESPONSE 消息發(fā)送到 SET���。SUPL RESPONSE 消息含有會話-id及意欲的定位方法(posMethod)��。
[0110] 在 420 處,SET 可將 SUPL POS INIT 消息發(fā)送到 H-SLP��。SUPL POS INIT 消息含有 會話id��、位置ID����、SET能力及視需要載運LPP的SUPL P0S消息及/或TIA-801定位協(xié)議消 息。SET還可提供其位置���。如果符合所需要的定位質(zhì)量(QoP)的在SUPL POS INIT消息所 檢索或基于在SUPL POS INIT消息中接收到的信息計算的位置可用����,那么H-SLP可直接繼 續(xù)進行到430且不參與SUPL P0S會話。
[0111] 在425處��,SET及H-SLP參與SUPL P0S消息交換以計算位置��。H-SLP基于接收到 的定位測量來計算位置估計(即�����,SET輔助式)����,或SET基于從H-SLP獲得的輔助計算位置 估計(即,基于SET)�。
[0112] 一旦完成了任何位置計算,H-SLP便在請求D-SLP地址情況下確定一組新的授權(quán) 的D-SLP地址�。在請求了 D-SLP地址的情況下,H-SLP將SUPL END消息與SLP授權(quán)參數(shù) (例如�,slpAuthorization) -起發(fā)送到SET,所述SLP授權(quán)參數(shù)含有授權(quán)的D-SLP地址的 列表。每一列表中的地址以首先最高優(yōu)先權(quán)的優(yōu)先權(quán)次序包含�,且可替換SET先前可已從 Η-SLP接收到的授權(quán)的D-SLP的任何先前列表。對于每一所提供的D-SLP地址�����,Η-SLP可包 含可將D-SLP地址視為有效的服務(wù)持續(xù)時間、可接入D-SLP所在的服務(wù)區(qū)域��、可接入D-SLP 所來自的服務(wù)接入網(wǎng)絡(luò)的列表及定義將如何組合服務(wù)區(qū)域與接入網(wǎng)絡(luò)限制的組合類型�����。對 于任何經(jīng)授權(quán)的D-SLP地址����,Η-SLP還可向此D-SLP提供準(zhǔn)許SET參與的服務(wù)的列表,且可 提供針對任何SET起始的位置請求而接入D-SLP對接入Η-SLP的偏好����。Η-SLP還可包含針 對每一授權(quán)的D-SLP的SET符記150。Η-SLP的D-SLP可需要以驗證SET符記150的確實 性的公用密鑰證書(例如���,SLP證書160)還可作為SLP授權(quán)參數(shù)的部分發(fā)送或檢定。H-SLP 還可提供在425處計算的任何位置估計�����。SET可釋放到Η-SLP的TLS連接��,且釋放與此會話 相關(guān)的所有資源。H-SLP可釋放與此會話相關(guān)的所有資源���。
[0113] 在435處���,SET可隨后基于以下原則針對SET起始的位置服務(wù)來接入在430處由 H-SLP授權(quán)的任何D-SLP :
[0114] a.可以優(yōu)先權(quán)次序來接入D-SLP--其中僅在所有較高優(yōu)先權(quán)地址由某其它條件 排除或不可提供服務(wù)時,才接入較低優(yōu)先權(quán)地址���。
[0115] b.只要D-SLP的任何服務(wù)持續(xù)時間尚未期滿��,便可僅接入D-SLP���。
[0116] c.如果SET滿足任何所提供的服務(wù)區(qū)域及接入網(wǎng)絡(luò)限制,那么可僅接入D-SLP���。
[0117] d.對于D-SLP接入���,SET可僅請求經(jīng)授權(quán)的服務(wù)。
[0118] e.對于D-SLP接入���,SET可遵循針對H-SLP接入所提供的任何偏好�����。
[0119] f.如果對D-SLP或H-SLP的接入失?��。ɡ?����,SET不可建立安全IP連接���,或者 D-SLP或H-SLP不可提供所需要的服務(wù)),那么SET可根據(jù)以上規(guī)則接入另一 D-SLP或 H-SLP��。
[0120] g.對于D-SLP接入��,SET可在D-SLP授權(quán)之后僅在第一 D-SLP接入期間發(fā)送SLP 證書160,直到新D-SLP授權(quán)發(fā)生���。
[0121] h.對于D-SLP接入�,每當(dāng)SET接入D-SLP時����,SET可將SET符記150發(fā)送到D-SLP。
[0122] 根據(jù)一些實施例��,并非需要遵循435中列出的所有原理�����。舉例來說���,根據(jù)一實施 例�����,SET可需要遵守在435中列出的一或多個原則�����。在一些實施例中���,除上文列出的原則中 的一或多者外或替代上文列出的原則中的一或多者,可遵循不同于上文列出的原則的一或 多個原則����。
[0123] 一或多個D-SLP的H-SLP授權(quán)(未請求)
[0124] 根據(jù)一些實施例,如同在圖4A及圖4B中的狀況�����,程序可由H-SLP 142調(diào)用以在一 開始SET 116未請求時將授權(quán)的D-SLP 132地址提供到SET 116。當(dāng)SUPL END由H-SLP 142發(fā)送以正常地終止任何SUPL會話時�,所述程序可為適用的。
[0125] 參看圖4C����,在450處,SET及H-SLP參與可由SET或由H-SLP起始的立即或延緩的 SUPL會話��。
[0126] 一旦SUPL會話完成�����,那么在455處�,H-SLP確定一組經(jīng)授權(quán)的D-SLP地址,所述經(jīng) 授權(quán)的D-SLP地址可基于由SET使用的當(dāng)前SET位置及當(dāng)前接入網(wǎng)絡(luò)(例如�����,如由H-SLP 在 450 處所獲得)�。H-SLP 142 將 SUPL END 消息與 SLP 授權(quán)參數(shù)(slpAuthorization) - 起發(fā)送到SET 116,所述SLP授權(quán)參數(shù)含有經(jīng)授權(quán)的D-SLP的地址的列表。每一列表中的 地址是以首先最高優(yōu)先權(quán)的優(yōu)先權(quán)次序被包含在內(nèi)��,且替換SET 116可已從H-SLP 142接 收到的經(jīng)授權(quán)的D-SLP的任何先前列表�����。對于每一所提供的D-SLP地址,H-SLP 142可包 含可將D-SLP地址視為有效的服務(wù)持續(xù)時間���、其中可接入D-SLP地址的服務(wù)區(qū)域、可從其接 入D-SLP地址的服務(wù)接入網(wǎng)絡(luò)的列表及定義將如何組合服務(wù)區(qū)域與接入網(wǎng)絡(luò)限制的組合 類型���。在所提供的D-SLP地址的狀況下�,H-SLP 142可向此D-SLP 132提供準(zhǔn)許SET 116 參與的服務(wù)的列表����。H-SLP 142還可提供對于接入H-SLP對接入D-SLP的偏好,及/或可 提供用于向Η-SLP通知接入D-SLP的時間的請求�。Η-SLP還可包含針對每一經(jīng)授權(quán)D-SLP 的SET符記150。Η-SLP的D-SLP可能需要用來驗證SET符記150的確實性的公用密鑰證 書(例如��,SLP證書160)還可作為SLP授權(quán)參數(shù)的部分發(fā)送或檢定��。SET可釋放到H-SLP 的TLS連接��,且釋放與會話相關(guān)的所有資源�����。Η-SLP可釋放與會話相關(guān)的所有資源����。
[0127] 在460處�,SET 116可隨后針對SET起始的位置服務(wù)來接入在455處由H-SLP提供 的任何D-SLP�����,及/或可接受來自任何此D-SLP的網(wǎng)絡(luò)起始的位置請求����。在D-SLP經(jīng)H-SLP 授權(quán)的狀況下,針對此接入的規(guī)則可與圖4B中的435處定義的規(guī)則相同��。
[0128] D-SLP 使用 SET 符記認證 SET(例如��,308�����、310)
[0129] 參看圖5A�����,SET 116在接入經(jīng)授權(quán)的D-SLP 132時使用SET符記150�。SET首先建 立到D-SLP 132的安全連接,且可認證D-SLP (例如��,使用由D-SLP提供到SET的公用密鑰 證書),但D-SLP 132可能不能夠使用常規(guī)方式(例如����,使用ACA或GBA)來認證SET。SET 可接著將較早接收自SET的H-SLP 142 (例如�����,根據(jù)圖4A����、圖4B或圖4C)的SET符記150以 由SET發(fā)送到D-SLP 132的第一 SUPL消息(例如���,以SUPL開始消息)傳送到D-SLP 132�����。 SET符記150用以促使D-SLP 132認證SET 116,且還可用以提供額外信息(例如���,記帳 碼)。SET還將H-SLP 142的公用密鑰證書發(fā)送到D-SLP132 (SLP證書160)�����。SLP證書參數(shù) 在D-SLP授權(quán)之后在由SET進行的第一 D-SLP接入期間可被發(fā)送僅一次(即,D-SLP可存儲 SLP證書參數(shù)以供SET進行的任何后續(xù)接入使用)���。在SET使用SET符記150及可能SLP 證書160的D-SLP認證之后�,正常SUPL會話可發(fā)生��,在所述正常SUPL會話中���,D-SLP 132可 將位置服務(wù)提供到SET116(例如��,布建SET 116的輔助數(shù)據(jù)或位置估計)���。SUPL會話可稍 后以D-SLP將SUPL END消息發(fā)送到SET終止。
[0130] D-SLP使用SET符記認證SET (SET起始的服務(wù))
[0131] 圖5B說明SET 116從D-SLP 132獲得經(jīng)認證的位置服務(wù)���。
[0132] 在505處���,SET上的SUPL代理從在SET上執(zhí)行的應(yīng)用程序接收對位置的請求。SET 在建立或恢復(fù)到經(jīng)授權(quán)的D-SLP的安全連接過程中采取適當(dāng)移動(例如�����,使用由H-SLP 142 較早提供或驗證的D-SLP地址)���。在建立安全連接過程中��,SET可能能夠認證D-SLP (例如�, 經(jīng)由由D-SLP提供的公用密鑰證書),但D-SLP可能不能夠經(jīng)由常規(guī)方式(例如��,ACA����、裝置 證書或GBA)認證SET。D-SLP仍可允許在期待稍后于515處認證SET中建立安全連接�����。如 果SET的認證于515處并未發(fā)生或失敗�����,那么D-SLP可通過發(fā)送SUPL END消息而終止SUPL 會話(圖5B中未圖示)�����。
[0133] 在510處�����,SET發(fā)送SUPL START消息以開始與D-SLP的定位會話����。SUPLSTART消 息含有會話id、SET能力及位置ID (lid)參數(shù)�。SET能力包含所支持的定位方法(例如, SET輔助的A-GPS��、基于SET的A-GPS)及相關(guān)聯(lián)的定位協(xié)議(例如����,RRLP、RRC��、TIA-801或 LPP)�。另外,SUPL START可包含SET符記150,及SLP證書160 (在D-SLP第一次被接入的 情況下)���。SET可準(zhǔn)確地發(fā)送如從Η-SLP接收的SET符記150及SLP證書160,且可能不需 要解譯其內(nèi)容或解碼并重新編碼可簡化SET實施的內(nèi)容�����。如果符合所請求QoP的先前計算 位置在D-SLP處為可用的���,那么D-SLP可直接繼續(xù)進行到535且在SUPL END消息中將位置 發(fā)送到SET��。
[0134] 在515處�����,D-SLP可使用如先前所描述在510處接收到的SET符記150及SLP證 書160來認證SET�����。
[0135] 在520處�����,與包含由SET支持的posmethod的SUPL START消息相一致��,D-SLP可 確定posmethod��。對于posmethod,如果需要����,那么D-SLP可使用來自SUPL START消息的所 支持定位協(xié)議(例如,RRLP��、RRC、TIA-801 或 LPP)�。D-SLP 可通過對 SET 的 SUPL RESPONSE 作出響應(yīng)。SUPL RESPONSE還含有posmethod���。然而�����,如果在SUPL START消息中檢索或基 于在SUPL START消息中接收到的信息計算的位置符合所請求的QoP�����,那么D-SLP可直接繼 續(xù)進行到535����。
[0136] 在 525 處�����,在 SET 從 D-SLP 接收到 SUPL RESPONSE 之后����,SET 發(fā)送 SUPL POS INIT 消息。SUPLPOS INIT消息含有至少會話id���、SET能力及位置ID(lid)�。SET能力包含所支 持的定位方法(例如,SET輔助的A-GPS����、基于SET的A-GPS)及相關(guān)聯(lián)的定位協(xié)議(例如, RRLP����、RRC、TIA-801 或 LPP)�����。SET 可包含 SUPL POS INIT 消息中的第一 SUPL P0S 元素 ����。SET 可設(shè)定SUPL POS INIT中的所請求輔助數(shù)據(jù)元素。如果符合所需要的QoP的在SUPL P0S INIT消息所檢索或基于在SUPL POS INIT消息中接收到的信息計算的位置可用���,那么D/ H-SLP可直接進行到535且不參與SUPL POS會話���。
[0137] 在530處��,SET及D-SLP可交換若干連續(xù)定位程序消息。D-SLP可基于接收到的定 位測量計算定位估計(SET輔助式)�,或SET基于從D-SLP獲得的輔助計算位置估計(S卩,基 于 SET)���。
[0138] 在535處�,一旦位置計算完成�,D-SLP便可將SUPL END消息發(fā)送到SET,從而向 SET告知將無另外定位程序開始�,且位置會話結(jié)束。取決于定位方法及所使用的定位協(xié)議����, D-SLP可將所確定的位置添加到SUPL END消息。SET可釋放安全連接且釋放與此會話相關(guān) 的所有資源��。D-SLP可釋放與此會話相關(guān)的所有資源�。
[0139] D-SLP使用SET符記認證SET (D-SLP起始的服務(wù))
[0140] 根據(jù)一些實施例,D-SLP 132可起始SUPL合作����。舉例來說,SUPL代理133可請求 來自其關(guān)聯(lián)的D-SLP 132的SET 116的位置���,且D-SLP 132將接著通過SET 116發(fā)起SUPL 會話以獲得位置�。SET符記150及SLP證書160接著載運于SUPL POS INIT消息中,且SUPL 會話說明于圖5C中���。
[0141] 圖5C說明D-SLP 132找出SET 116位置的示范性方法���。
[0142] 在550處,SUPL代理將位置請求(例如����,載運于0ΜΑ MLP SLIR消息中)發(fā)布到 D-SLP,SUPL代理與D-SLP相關(guān)聯(lián)�。D-SLP可認證SUPL代理,且基于接收到的SUPL代理客 戶端id檢查是否針對SUPL代理請求的服務(wù)授權(quán)SUPL代理����。另外,基于接收到的ms-id���, D-SLP可對SUPL代理客戶端id應(yīng)用用戶私密性�。
[0143] 在555處����,D-SLP可驗證其能夠與SET通信(例如,知曉SET IP地址����,或能夠經(jīng)由 (例如)SMS將非IP消息發(fā)送到SET)。
[0144] 在560處����,D-SLP通過將SUPL INIT消息發(fā)送到SET起始與SET的位置會話(例 如,經(jīng)由IP使用用戶數(shù)據(jù)報協(xié)議(m)P)或使用短消息服務(wù)(SMS))��。SUPL INIT消息含有至 少會話-id��、代理服務(wù)器/非代理服務(wù)器模式指示符及意欲的定位方法�。如果550處的任何 私密檢查的結(jié)果指示需要對目標(biāo)用戶的通知或驗證,那么D-SLP還可在SUPL INIT消息中 包含通知元素�����。在發(fā)送SUPL INIT消息之前����,D-SLP還計算并存儲消息的散列。另外�����,SUPL INIT可包含D-SLP地址��。
[0145] 在565處,SET 116可分析接收到的SUPL INIT�����。如果發(fā)現(xiàn)為不可信的����,那么SET 可不采取進一步移動。否則�����,SET可采取移動��,為到D-SLP的安全連接的建立或恢復(fù)準(zhǔn)備��。
[0146] 在565處�,SET還可評估SUPL通知規(guī)則,且遵循適當(dāng)動作�。SET還可檢查代理服 務(wù)器/非代理服務(wù)器模式指示符以確定D-SLP使用代理服務(wù)器或是非代理服務(wù)器模式。在 此狀況下�����,使用代理服務(wù)器模式����,且SET可使用在SUPL INIT中指示的D-SLP地址建立到 D-SLP的安全連接�����,所述SUPL INIT還可已由H-SLP提供或驗證。在建立安全連接過程中�����, SET可能能夠認證D-SLP (例如��,經(jīng)由由D-SLP提供的公用密鑰證書)�,但D-SLP可能不能夠 經(jīng)由常規(guī)方式(例如,ACA��、裝置證書或GBA)認證SET��。D-SLP仍可允許在期待稍后于575 處認證SET中建立安全連接����。如果SET的認證于575處并未發(fā)生或失敗,那么D-SLP可通 過發(fā)送SUPL結(jié)束消息而終止SUPL會話(圖5C中未圖示)���。
[0147] 在570處����,SET接著發(fā)送SUPLPOS INIT消息以開始與D-SLP的定位會話。SUPL POS INIT消息含有至少會話-id���、SET能力�、接收到的SUPL INIT消息(ver)的散列及位置 ID (lid)�����。SET能力可包含所支持的定位方法(例如��,SET輔助的A-GPS��、基于SET的A-GPS) 及相關(guān)聯(lián)的定位協(xié)議(例如��,RRLP�����、RRC�����、TIA-801或LPP)。如果支持此情形��,那么SET可提 供其位置���。SET可設(shè)定SUPL POS INIT中的所請求輔助數(shù)據(jù)元素�����。另外����,SUPL POS INIT還 可載運SET符記150及SLP證書160 (在D-SLP第一次被接入的情況下)�����。SET可準(zhǔn)確地發(fā) 送如從H-SLP接收的SET符記150及SLP證書160,且可能不需要解譯其內(nèi)容或解碼并重新 編碼可簡化SET實施的內(nèi)容���。如果符合所需要的QoP的從SUPL POS INIT消息所檢索或基 于在SUPL POS INIT消息中接收到的信息計算的位置可用,那么D-SLP可在首先于575處 認證SET之后直接進行到585且不參與580處的SUPL P0S會話�����。
[0148] 在575處��,D-SLP可檢查SUPL INIT的散列匹配D-SLP已針對此特定會話計算的散 列。另外�,D-SLP使用接收到的SET符記150及SLP證書160認證SET?;诎蒘ET支 持的 posmethod 的 SUPL POS INIT 消息,D-SLP 可接著確定 posmethod�����。對于 posmethod�����,如 果需要����,那么D-SLP可使用來自SUPL POS INIT消息的所支持定位協(xié)議(例如,RRLP�、RRC、 TIA-801或LPP)����。SET及D-SLP交換若干連續(xù)定位程序消息。D-SLP基于接收到的定位測量 來計算定位估計(SET輔助式)��,或SET基于從D-SLP獲得的輔助計算位置估計(基于SET)��。
[0149] 在580處,一旦位置計算完成����,D-SLP便可將SUPL END消息發(fā)送到SET,從而向SET 告知將無其它定位程序開始�����,且位置會話結(jié)束�����。SET可釋放到D-SLP的安全連接�����,且釋放與 此會話相關(guān)的所有資源��。
[0150] 在585處��,D-SLP可將位置估計發(fā)送回到SUPL代理(例如�,在0ΜΑ MLP SLIA消息 中)����,且D-SLP可釋放與此會話相關(guān)的所有資源。
[0151] SET符記及SLP證書
[0152] 圖6A說明根據(jù)一些實施例的SET符記150的內(nèi)容。圖6A的第一欄展示SET符 記150中含有的個別參數(shù)���,且第二欄描述每一參數(shù)的內(nèi)容及有效值���。在第一欄中,使用"大 于"符號來展示任何參數(shù)的嵌套層次���,其中最外嵌套層次由零個此些符號來指示���, 下一層次由一個此符號指示,且下一(第三)層次由兩個此些符號(">>")來指示��。SET 符記參數(shù)在D-SLP接入期間用于SET認證及授權(quán)��。SET符記150在D-SLP授權(quán)期間由H-SLP 產(chǎn)生�,且含有由H-SLP數(shù)字簽名的SET且H-SLP特定數(shù)據(jù)。SET符記150在D-SLP授權(quán)期 間作為SLP授權(quán)參數(shù)的部分提供到SET��。在D-SLP接入期間����,SET符記150由SET提供到 D-SLP用于SET認證及授權(quán)。SET符記150可定義為位串或八位字節(jié)串���,且對于SET可為透 明的�����。僅Η-SLP及D-SLP需要知曉如何編碼/解碼并解譯位串或八位字節(jié)串的內(nèi)容��。因此�, SET可僅將從Η-SLP接收的位串或八位字節(jié)串發(fā)送到D-SLP而無內(nèi)容的解譯或重新編碼,所 述位串或八位字節(jié)串含有SET符記150����。SET符記150的包含編碼的內(nèi)容在本文中的其它 章節(jié)中定義。
[0153] 另外�����,此參數(shù)可為SUPL用戶平面位置協(xié)議(ULP)中的位串或八位字節(jié)串���,且可能 不需要由SET解碼。根據(jù)一些實施例���,SET在D-SLP接入期間僅將此參數(shù)傳遞到D-SLP�。
[0154] 根據(jù)一些實施例����,SET符記150及SLP證書160對于SET 116為透明的(例如���,可 不由SET解碼或編碼),且其可由H-SLP 142作為位串或八位字節(jié)串發(fā)送����。舉例來說,對于 SET符記150及SLP證書160, SET 116除在D-SLP授權(quán)期間存儲SET符記150及SLP證書 160并在D-SLP接入期間將其轉(zhuǎn)遞到D-SLP外可不具有其它用途����。SLP證書160(如果由 Η-SLP提供)在D-SLP授權(quán)之后在初始D-SLP接入期間可僅被發(fā)送一次。SET可存儲SET符 記150,直到被撤銷���,或直到D-SLP服務(wù)持續(xù)時間已期滿��。根據(jù)一些實施例�,可對SET 116可 見(例如����,由于其可由Η-SLP作為D-SLP授權(quán)信息的部分提供到SET 116)的服務(wù)持續(xù)時間 與可對D-SLP 132可見(例如,因為其可為SET符記150的部分)的授權(quán)持續(xù)時間可相同���。 接著�����,SET 116可在每一 D-SLP接入期間發(fā)送SET符記150 -次(例如���,在用于與D-SLP的 任何新會話的初始接入消息中)��。D-SLP 132可使用SET符記150認證SET 116�����。舉例來 說��,D-SLP 132可驗證H-SLP 142的數(shù)字簽名(例如��,使用SLP證書160)�����,且可驗證其自己 的身份的包含���,且授權(quán)時間及持續(xù)時間為有效的(例如,包含當(dāng)前時間)�����。H-SLP 142還可 使用任何所提供的SET位置來進一步認證SET 116 (例如�����,對于最近授權(quán)��,可驗證當(dāng)前SET 位置在SET符記150中的所提供的位置附近)��。
[0155] 在一些例子中���,D-SLP 132在從SET 116接收到SLP證書160之后存儲SLP證書 160,直到SET符記150期滿���,或由新SET符記覆寫。
[0156] 另外�����,H-SLP 142可通過執(zhí)行具有新SET符記或無 SET符記的新D-SLP授權(quán)來撤 銷SET符記150�。任何先前SET符記150可接著由SET 116刪除,且由新SET符記(如果提 供)替換��。
[0157] 或者���,當(dāng)相關(guān)聯(lián)的D-SLP的持續(xù)時間期滿時�����,SET符記150可期滿����。當(dāng)SET符記150 已期滿時,SET可刪除SET符記150并停止接入D-SLP�。
[0158] SET符記參數(shù)在D-SLP接入期間可用于SET認證及授權(quán)。SET符記150可在D-SLP 授權(quán)期間由H-SLP 142產(chǎn)生���,且含有由Η-SLP數(shù)字簽名的SET���、Η-SLP及D-SLP特定數(shù)據(jù)。 SET符記150在D-SLP授權(quán)期間可作為SLP授權(quán)參數(shù)的部分提供到SET���。在D-SLP接入期 間����,SET符記150由SET提供到D-SLP用于SET認證及授權(quán)����。可SET符記150定義為位串, 且對于SET可為透明的��。僅Η-SLP及D-SLP需要知曉如何編碼/解碼位串的內(nèi)容�����。SET符 記150的包含編碼的內(nèi)容在本文中其它處定義(例如�,在圖6A中)���。此參數(shù)可為ULP中的 位串����,且不需要由SET解碼���。SET在D-SLP接入期間僅將此參數(shù)傳遞到D-SLP����。
[0159] 可需要此情形的情境包含GBA未經(jīng)部署或ACA不適用的情境���。舉例來說�����,如果用 于D-SLP接入的接入網(wǎng)絡(luò)并不符合ACA要求����,例如支持欺騙自由網(wǎng)絡(luò)環(huán)境及/或促使SET IP地址結(jié)合到待驗證的SET身份,那么此情形可發(fā)生�����。
[0160] Η-SLP作為D-SLP授權(quán)的部分發(fā)送到SET的SET符記150針對每一經(jīng)授權(quán)D-SLP 來定義�。SET將SET符記150包含于在會話建立期間發(fā)送到D-SLP的任何初始SUPL消息 中。SET符記150含有由Η-SLP數(shù)字簽名的與SET及Η-SLP相關(guān)的信息����。
[0161] 在D-SLP并不已具有Η-SLP的公用密鑰證書的狀況下,可通過向D-SLP提供H-SLP 的公用密鑰證書促使由D-SLP進行的SET符記150的認證����。為此,Η-SLP在D-SLP授權(quán)期 間將其公用密鑰證書發(fā)送到SET (SLP證書參數(shù))����,SET接著在會話建立期間還將公用密鑰證 書發(fā)送到D-SLP。
[0162] 此允許D-SLP認證SET并授權(quán)(或拒絕)接入���。SET符記150還可包含非安全相 關(guān)信息��,例如���,記帳計費碼��。憑藉SET符記150, H-SLP及D-SLP可安全地交換認證�、授權(quán)�����、計 費及其它用途所需要的信息�。
[0163] 參看圖6A�����,SET符記150可包含以下信息:
[0164] 1)SET 符記內(nèi)容 601(其含有項目 602�����、612�����、613);
[0165] 2)SET符記本體 602(其可含有項目 603�����、604、605����、606、607����、608、609����、610、611);
[0166] 3)SET身份 603(例如��,頂SI��、MSISDN�����、IP地址)���;
[0167] 4)授權(quán) SLP Id 604(例如�,H-SLP 142 的 IP 地址或 FQDN);
[0168] 5)D-SLP Id 605 (例如,D-SLP 132 的 IP 地址或 FQDN);
[0169] 6) SET位置606 (如果可用)���;
[0170] 7)D-SLP授權(quán)的時間607及持續(xù)時間608 ;
[0171] 8)授權(quán)SLP名稱609(可選)����;
[0172] 9)授權(quán) SLP 唯一 ID 610(可選)�;
[0173] 10)數(shù)字簽名613的公用密鑰611 (可選);
[0174] 11)數(shù)字簽名613的算法識別符612 ;及/或
[0175] 12)授權(quán)SLP(例如�����,H-SLP 142)的數(shù)字簽名613���。
[0176] 根據(jù)一些實施例,601及602可基本上為其它參數(shù)(例如����,項目603到613)的容 器。授權(quán)時間及持續(xù)時間的包含確保�,發(fā)送到SET的每一證書將為唯一的,且可僅在所允許 的授權(quán)周期期間使用����。
[0177] 圖6B說明根據(jù)一些實施例的包含編碼的SLP證書160的內(nèi)容��。
[0178] SLP證書160可如國際電信聯(lián)盟(ITU)X. 509標(biāo)準(zhǔn)中所定義��,S卩�,可基于現(xiàn)有標(biāo)準(zhǔn)���。 可將SET符記定義為SUPL ULP的部分���,且可基于但不等同于X. 509定義。授權(quán)時間及持續(xù) 時間的包含可確保��,發(fā)送到SET的每一證書將為唯一的��,且可僅在所允許的授權(quán)周期期間 使用����。
[0179] SLP證書160表示H-SLP 142的公用密鑰證書。D-SLP 132可需要此參數(shù)來驗證 SET符記150的確實性���。H-SLP 142可在D-SLP授權(quán)期間將SLP證書160發(fā)送到SET����。SET 116接著在D-SLP授權(quán)之后在初始D-SLP接入期間將SLP證書160發(fā)送到D-SLP132 -次���。 SET可僅發(fā)送SLP證書160 -次����,且D-SLP可存儲SLP證書160。另外�,SLP證書160對于 已知曉Η-SLP公用密鑰(例如,如經(jīng)由離線處理程序獲得)的D-SLP可能不需要�。
[0180] 根據(jù)一實施例,當(dāng)SLP證書160具有類型位串時�����,SET并不需要解碼此參數(shù)����,而是 僅在D-SLP接入期間將所述參數(shù)傳遞到D-SLP��。
[0181] 序列中的第一證書可提供或檢定用于SET符記內(nèi)容601的公用密鑰及相關(guān)聯(lián)的算 法���。每一后繼證書可檢定用于先前證書的公用密鑰及相關(guān)聯(lián)的算法����。ITUASN. 1 DER編碼 可用以與X. 509證書編碼對準(zhǔn)���,且促使現(xiàn)有證書的重新使用�����。
[0182] 根據(jù)一些實施例����,SET 116可不執(zhí)行SET符記150及SLP證書160內(nèi)容的編碼;然 而�,SET 116可視情況執(zhí)行解碼。
[0183] 舉例來說�����,SLP簽名613字段可含有在ASN. 1編碼的SET符記本體602上計算的 數(shù)字簽名�。ASN.1編碼的sET符記本體可用作到簽名函數(shù)的輸入。簽名值可編碼為BIT STRING�����,且包含于SLP簽名613中����。
[0184] 算法識別符612可用以識別加密算法。OBJECT IDENTIFIER分量可通過SHA-1識 別例如DSA等算法?�?蛇x參數(shù)字段的內(nèi)容可根據(jù)所識別的算法而變化�。
[0185] 在一些實施例中,在D-SLP授權(quán)另一 D-SLP的狀況下����,SET可從先前授權(quán)的D-SLP 而非Η-SLP接收SET符記150及SLP證書160。舉例來說��,如果圖1B中的D-SLP 132在SET 116已建立了到D-SLP 132的安全連接后向SET 116授權(quán)對D-SLP 134的接入����,那么D-SLP 132可提供SET符記150及SLP證書160以促使SET 116安全地接入D-SLP 134。在此狀 況下����,SET 116可使用由H-SLP 142提供的SET符記150及SLP證書160以首先安全地接 入D-SLP 132且隨后使用由D-SLP 132提供的不同SET符記150及SLP證書160以稍后安 全地接入D-SLP 134。
[0186] 在一些其它實施例中��,SET可從第一 Η-SLP獲得SET符記150及SLP證書160以便 獲得對第二Η-SLP的經(jīng)認證的接入��。當(dāng)SET經(jīng)配置以接入一個以上Η-SLP但僅能夠通過常 規(guī)方式獲得對一個Η-SLP的經(jīng)認證的接入(例如����,特定Η-SLP或任一 Η-SLP)時���,此情形可 發(fā)生����。在此狀況下,第一 Η-SLP響應(yīng)于SET獲得對第一 Η-SLP的經(jīng)認證的接入而提供的SET 符記150可含有第一 H-SLP�����、第二H-SLP及SET的身份(例如�,地址),且可進一步含有第一 Η-SLP的數(shù)字簽名����。SET可接著接入第二H-SLP,且可向第二Η-SLP提供從第一 Η-SLP接收 的SET符記150以便獲得對第二Η-SLP的經(jīng)認證的接入����。支持對第二Η-SLP的經(jīng)認證的接 入的額外方式也可如先前針對支持對D-SLP的經(jīng)認證的接入所描述由第一 Η-SLP及SET使 用。關(guān)于獲得經(jīng)認證的接入���,D-SLP及第二Η-SLP可以相同方式或以類似方式表現(xiàn)��,且可由 SET及第一 Η-SLP相同或類似地對待�。
[0187] 現(xiàn)關(guān)于圖7來描述可實施本發(fā)明的各種方面的計算系統(tǒng)的實例。計算機系統(tǒng)可舉 例說明圖1B中且如本文中其它處提及的SET 116��、SET 122�、D-SLP 132、D-SLP 134及H-SLP 142中的任一者�。根據(jù)一或多個方面,如圖7中所說明的計算機系統(tǒng)可作為計算裝置的部分 并入���,所述計算裝置可實施�、執(zhí)行及/或?qū)嵭斜疚闹兴枋龅奶卣?��、方法?或方法步驟中 的任一者及/或全部�����。舉例來說�����,計算機系統(tǒng)700可表示手持式裝置的組件中的一些���。手持 式裝置可為具有例如相機的輸入感測單元及/或顯示單元的任何計算裝置。手持式裝置的 實例包含(但不限于)視頻游戲控制臺�����、平板計算機�����、智能手機及移動裝置����。在一實施例中, 系統(tǒng)700經(jīng)配置以實施上文所描述的裝置200��。圖7提供計算機系統(tǒng)700的一實施例的示 意性說明��,所述計算機系統(tǒng)700可如本文中所描述執(zhí)行由各種其它實施例提供的方法�,及/ 或可充當(dāng)主機計算機系統(tǒng)、遠程信息站/終端機����、銷售點裝置、移動裝置�、機頂盒及/或計算 機系統(tǒng)。圖7意謂僅提供各種組件的一股化說明��,適當(dāng)時�����,可利用所述組件中的任一者及/ 或全部。因此���,圖7廣泛地說明可如何以相對分離或相對較集成的方式來實施個別系統(tǒng)元 件���。
[0188] 計算機系統(tǒng)700展示為包括可經(jīng)由總線705電耦合的硬件元件(或在適當(dāng)時可以 其它方式通信)。在一實施例中��,總線705可用于處理器230在核心之間及/或與存儲器 232通信����。硬件元件可包含:一或多個處理器710 (例如,處理器230�����、TX數(shù)據(jù)處理器214��、 ΤΧ ΜΜ0處理器220�����、RX數(shù)據(jù)處理器242)���,處理器710包含(但不限于)一或多個通用處理 器及/或一或多個專用處理器(例如�����,數(shù)字信號處理芯片�、圖形加速處理器及/或類似者)��; 一或多個輸入裝置715,其可包含(但不限于)相機��、鼠標(biāo)���、鍵盤及/或類似者�����;及一或多個 輸出裝置720,其可包含(但不限于)顯示單元���、打印機及/或類似者。
[0189] 計算機系統(tǒng)700可進一步包含一或多個非暫時性存儲裝置725(及/或與一或多 個非暫時性存儲裝置725通信)����,所述非暫時性存儲裝置725可包括(不限于)局部及/或 網(wǎng)絡(luò)可接入存儲器,及/或可包含(但不限于)存儲器232�、存儲器272�����、磁盤驅(qū)動器�、驅(qū)動 器陣列�����、光學(xué)存儲裝置�����、例如隨機接入存儲器("RAM")等固態(tài)存儲裝置及/或只讀存儲器 ("ROM")�,其可為可編程的、可快閃更新的及/或類似者�。此些存儲裝置可經(jīng)配置以實施任 何適當(dāng)數(shù)據(jù)存儲器,包含(但不限于)各種文件系統(tǒng)�、數(shù)據(jù)庫結(jié)構(gòu)及/或類似者。
[0190] 計算機系統(tǒng)700還可能包含通信子系統(tǒng)730,所述通信子系統(tǒng)730可包含(不限 于)調(diào)制解調(diào)器�����、網(wǎng)卡(無線或有線)�����、紅外線通信裝置、無線通信裝置及/或芯片組(例 如���,Blucloolh?裝置�����、802. 11裝置、WiFi裝置����、WiMax裝置、蜂窩式通信設(shè)施等)及/或類似 者��。根據(jù)本發(fā)明的一實施例��,發(fā)射器222及接收器254可為通信子系統(tǒng)730的實例�����。通信 子系統(tǒng)930可準(zhǔn)許與網(wǎng)絡(luò)(例如���,下文所描述的網(wǎng)絡(luò)�,舉一個實例)����、其它計算機系統(tǒng)及/或 本文中所描述的任何其它裝置交換數(shù)據(jù)���。在許多實施例中,計算機系統(tǒng)700如上文所描述 可進一步包括非暫時性工作存儲器735,所述非暫時性工作存儲器735可包含RAM或ROM裝 置��。根據(jù)本發(fā)明的一實施例����,存儲器232及存儲器272可以是非暫時性工作存儲器735的 實例。
[0191] 如本文中所描述�����,計算機系統(tǒng)700還可包括包含操作系統(tǒng)740�����、裝置驅(qū)動程序��、可 執(zhí)行庫及/或例如一或多個應(yīng)用程序745等其它代碼的展示為當(dāng)前位于工作存儲器735內(nèi) 的軟件元件�����,應(yīng)用程序745可包括由各種實施例提供的計算機程序及/或可經(jīng)設(shè)計以實施 方法及/或配置由其它實施例提供的系統(tǒng)。僅通過實例�,關(guān)于上文所論述的方法描述(例 如,如關(guān)于圖3所描述)的一或多個程序可實施為可由計算機(及/或計算機內(nèi)的處理器) 執(zhí)行的代碼及/或指令�;在一方面中,接著����,此代碼及/或指令可用以配置及/或調(diào)適通用 計算機(或其它裝置)來執(zhí)行根據(jù)所描述方法的一或多個操作。舉例來說�,SET符記150及 SLP證書160可存儲于工作存儲器735中。
[0192] 此些指令的一集合及/或代碼可存儲于計算機可讀存儲媒體(例如���,上文所描述 的存儲裝置725)上。在一些狀況下�,存儲媒體可能并入于例如計算機系統(tǒng)700的計算機 系統(tǒng)內(nèi)。在其它實施例中�����,存儲媒體可與計算機系統(tǒng)分離(例如��,例如壓縮光盤等可裝卸 媒體)���,及/或提供于安裝套件中��,使得存儲媒體可用以通過存儲于其上的指令/代碼來編 程�����、配置及/或調(diào)適通用計算機�。此些指令可呈可由計算機系統(tǒng)700執(zhí)行的可執(zhí)行代碼的 形式,及/或可呈源及/或可安裝代碼的形式�,所述源及/或可安裝代碼在編譯及/或安裝 于計算機系統(tǒng)700上(例如,使用多種通?���?捎镁幾g程序、安裝程序�����、壓縮/解壓縮實用程 序等)之后接著呈可執(zhí)行代碼的形式���。
[0193] 可根據(jù)特定要求進行實質(zhì)變化����。舉例來說����,還可使用定制硬件,及/或可以硬件、 軟件(包含例如小應(yīng)用程序等便攜式軟件)來實施特定元件�����,或兩者皆可�����。另外���,可使用到 例如網(wǎng)絡(luò)輸入/輸出裝置等其它計算裝置的連接���。
[0194] 一些實施例可使用計算機系統(tǒng)(例如,計算機系統(tǒng)700)來執(zhí)行根據(jù)本發(fā)明的方 法�����。舉例來說���,所描述方法的程序中的一些或全部可響應(yīng)于處理器710執(zhí)行工作存儲器735 中含有的一或多個指令(其可能并入到操作系統(tǒng)740及/或例如應(yīng)用程序745的其它代碼 內(nèi))的一或多個序列由計算機系統(tǒng)700來執(zhí)行。此些指令可從例如存儲裝置725中的一或 多者等另一計算機可讀媒體讀取到工作存儲器735中�。僅通過實例,工作存儲器735中含 有的指令序列的執(zhí)行可使處理器710執(zhí)行本文中所描述的方法的一或多個程序�����,例如關(guān)于 圖3描述的方法的元素中的一或多者。
[0195] 如本文中所使用的術(shù)語"機器可讀媒體"及"計算機可讀媒體"指參與提供數(shù)據(jù)的 任何媒體���,所述數(shù)據(jù)使機器以指定方式操作����。在使用計算機系統(tǒng)700實施的實施例中��,各種 計算機可讀媒體可涉及將指令/代碼提供到處理器710以供執(zhí)行��,及/或可用以存儲及/ 或載運此些指令/代碼(例如�,作為信號)。在許多實施中���,計算機可讀媒體為物理及/或 有形存儲媒體�����。此媒體可呈許多形式�,包含(但不限于)非易失性媒體����、易失性媒體及發(fā)射 媒體��。非易失性媒體包含(例如)光盤及/或磁盤�,例如��,存儲裝置725�。易失性媒體包含 (不限于)動態(tài)存儲器,例如�,工作存儲器735。發(fā)射媒體包含(不限于)同軸線纜����、銅導(dǎo)線 及光纖(包含包括總線705的導(dǎo)線),以及通信子系統(tǒng)730的各種組件(及/或通信子系統(tǒng) 730提供與其它裝置的通信的媒體)����。因此,發(fā)射媒體還可呈波的形式(包含(不限于)無 線電波���、聲波及/或光波�����,例如,在無線電波及紅外線數(shù)據(jù)通信期間產(chǎn)生的波)�。根據(jù)一些實 施例����,H-SLP 142���、SET 116及/或D-SLP 132可利用通信子系統(tǒng)730彼此通信�。
[0196] 在一或多個實例中��,所描述功能可以硬件����、軟件、固件或其任何組合來實施��。如果 以軟件實施�����,那么可將所述功能作為一或多個指令或代碼而存儲于一計算機可讀媒體上或 經(jīng)由一計算機可讀媒體來發(fā)射����。計算機可讀媒體可包含計算機數(shù)據(jù)存儲媒體。數(shù)據(jù)存儲媒 體可為可由一或多個計算機或一或多個處理器接入以檢索用于實施本發(fā)明中所描述的技 術(shù)的指令��、代碼及/或數(shù)據(jù)結(jié)構(gòu)的任何可用媒體���。如本文中所使用的"數(shù)據(jù)存儲媒體"指制 造物且并非指暫時性傳播的信號����。通過實例,且并非限制�,此些計算機可讀存儲媒體可包括 RAM、ROM����、EEPROM、CD-ROM或其它光盤存儲器���、磁盤存儲器���,或其它磁性存儲裝置、快閃存儲 器��,或可用以存儲呈指令或數(shù)據(jù)結(jié)構(gòu)的形式的所要程序代碼且可由計算機接入的任何其它 媒體���。如本文中所使用���,磁盤及光盤包含壓縮光盤(CD)、激光光盤����、光盤、數(shù)字多功能光盤 (DVD)�、軟性磁盤及藍光光盤,其中磁盤通常以磁性方式復(fù)制數(shù)據(jù)���,而光盤通過激光以光學(xué) 方式復(fù)制數(shù)據(jù)����。上述媒體的組合還包含在計算機可讀媒體的范圍內(nèi)�。
[0197] 可由一或多個處理器(例如,一或多個數(shù)字信號處理器(DSP)���、通用微處理器��、專 用集成電路(ASIC)�、現(xiàn)場可編程邏輯陣列(FPGA)或其它等效集成或離散邏輯電路)執(zhí)行所 述代碼�����。因此���,本文中所使用的術(shù)語"處理器"可指前述結(jié)構(gòu)或適于實施本文中所描述的技 術(shù)的任何其它結(jié)構(gòu)中的任一者����。此外,在一些方面中�,可將本文中所描述的功能性提供于經(jīng) 配置以用于編碼及解碼的專用硬件及/或軟件模塊內(nèi),或并入于組合式編碼解碼器中�。而 且,所述技術(shù)可完全實施于一或多個電路或邏輯元件中��。
[0198] 本發(fā)明的技術(shù)可以廣泛的多種裝置或設(shè)備予以實施���,所述裝置或設(shè)備包含無線手 持機�����、集成電路(1C)或1C集合(例如�,芯片組)��。在本發(fā)明中描述各種組件�����、模塊或單元以 強調(diào)經(jīng)配置以執(zhí)行所揭示技術(shù)的裝置的功能方面����,但未必需要通過不同硬件單元來實現(xiàn)��。 相反地���,如上文所描述�,各種單元可組合于編碼解碼器硬件單元中或由包含如上文所描述 的一或多個處理器的互操作硬件單元的集合結(jié)合存儲于計算機可讀媒體上的合適軟件及/ 或固件來提供。
[0199] 已描述了各種實例���。此些及其它實例在以下權(quán)利要求書的范圍內(nèi)����。
【權(quán)利要求】
1. 一種用于獲得第一服務(wù)器與客戶端之間的安全連接的方法����,所述方法包括: 建立第二服務(wù)器與所述客戶端之間的安全通信會話,其中所述第二服務(wù)器得到所述第 一服務(wù)器信任�����,且所述第二服務(wù)器經(jīng)配置以認證所述客戶端����; 由所述客戶端使用所述安全通信會話接收客戶端符記,其中所述客戶端符記是針對所 述第一服務(wù)器而定義,且含有與所述第服務(wù)器����、所述第二服務(wù)器、所述客戶端及數(shù)字簽名相 關(guān)聯(lián)的數(shù)據(jù)�����; 由所述客戶端請求對所述第一服務(wù)器的安全通信接入����,其中所述請求包含將所述客戶 端符記傳送到所述第一服務(wù)器;及 由所述客戶端基于由所述第一服務(wù)器對所述客戶端的認證接收對所述第一服務(wù)器的 安全通信接入的準(zhǔn)予��,其中所述認證是基于確證所述客戶端的所述客戶端符記及確證所述 客戶端符記的所述數(shù)字簽名�。
2. 根據(jù)權(quán)利要求1所述的方法,其進一步包括: 通過所述客戶端使用所述安全通信會話接收數(shù)字證書��;及 在所述請求中將所述數(shù)字證書傳送到所述第一服務(wù)器��,其中所述第一服務(wù)器使用所述 數(shù)字證書確證所述數(shù)字簽名����。
3. 根據(jù)權(quán)利要求2所述的方法,其中所述數(shù)字證書到所述第一服務(wù)器的所述傳送僅發(fā) 生一次���,且在初始接入消息中將所述數(shù)字證書從所述客戶端發(fā)送到所述第一服務(wù)器���。
4. 根據(jù)權(quán)利要求2所述的方法����,其中所述客戶端符記及所述數(shù)字證書為位串��,且所述 客戶端符記及所述數(shù)字證書不由所述客戶端編碼或解碼����。
5. 根據(jù)權(quán)利要求2所述的方法���,其中所述第二服務(wù)器為本地安全用戶平面位置SUPL位 置平臺H-SLP����,所述客戶端為具備SUPL功能的終端機SET�,且所述第一服務(wù)器為被發(fā)現(xiàn)SLP D-SLP。
6. 根據(jù)權(quán)利要求5所述的方法�,其中所述Η-SLP使用替代性客戶端認證ACA方法、通用 引導(dǎo)架構(gòu)GBA或裝置證書方法來認證所述SET�����。
7. 根據(jù)權(quán)利要求5所述的方法,其中所述客戶端符記為SET符記���,且所述數(shù)字證書為 SLP證書��。
8. 根據(jù)權(quán)利要求7所述的方法�����,其中所述SET符記含有SET身份����、Η-SLP身份�����、D-SLP 身份及所述Η-SLP的數(shù)字簽名��。
9. 根據(jù)權(quán)利要求8所述的方法�,其中所述SET符記進一步含有所述SET的所提供位置。
10. 根據(jù)權(quán)利要求9所述的方法�,其中所述D-SLP通過驗證所述SET的當(dāng)前位置在所述 SET的所述所提供位置的閾值距離內(nèi)而認證所述SET。
11. 根據(jù)權(quán)利要求8所述的方法�����,其中所述SET符記進一步含有D-SLP授權(quán)的初始時間 及持續(xù)時間。
12. 根據(jù)權(quán)利要求11所述的方法�,其中所述D-SLP通過驗證當(dāng)前時間在所述D-SLP授 權(quán)的所述初始時間及持續(xù)時間內(nèi)而認證所述SET。
13. 根據(jù)權(quán)利要求1所述的方法�����,其進一步包括由所述客戶端在將所述客戶端符記傳 送到所述第一服務(wù)器之前使用公用密鑰認證來認證所述第一服務(wù)器�����。
14. 根據(jù)權(quán)利要求1所述的方法���,其中所述第一服務(wù)器已從所述第一服務(wù)器與所述第 二服務(wù)器之間的先前安全通信會話接收到與所述第二服務(wù)器相關(guān)聯(lián)的數(shù)字證書�����,且所述第 一服務(wù)器使用所述數(shù)字證書來確證所述數(shù)字簽名。
15. 根據(jù)權(quán)利要求1所述的方法�����,其進一步包括由所述客戶端存儲所述客戶端符記����,直 到所述客戶端符記由所述第二服務(wù)器撤銷��。
16. 根據(jù)權(quán)利要求15所述的方法��,其中當(dāng)所述客戶端從所述第二服務(wù)器接收到針對所 述第一服務(wù)器而定義的新客戶端符記時��,撤銷所述客戶端符記����。
17. 根據(jù)權(quán)利要求1所述的方法���,其中所述客戶端符記由所述第一服務(wù)器用以驗證所 述第一服務(wù)器的自己身份的包含��。
18. -種用于獲得與第一服務(wù)器的安全連接的客戶端��,所述客戶端包括: 一或多個處理器�;及 存儲計算機可讀指令的存儲器�����,所述計算機可讀指令在由所述一或多個處理器執(zhí)行時 使所述客戶端: 建立第二服務(wù)器與所述客戶端之間的安全通信會話��,其中所述第二服務(wù)器得到所述第 一服務(wù)器信任��,且所述第二服務(wù)器經(jīng)配置以認證所述客戶端����; 使用所述安全通信會話接收客戶端符記�,其中所述客戶端符記是針對所述第一服務(wù) 器而定義�����,且含有與所述第一服務(wù)器�、所述第二服務(wù)器、所述客戶端及數(shù)字簽名相關(guān)聯(lián)的數(shù) 據(jù)�; 請求對所述第一服務(wù)器的安全通信接入,其中所述請求包含將所述客戶端符記傳送到 所述第一服務(wù)器�����;及 基于由所述第一服務(wù)器對所述客戶端的認證接收對所述第一服務(wù)器的安全通信接入 的準(zhǔn)予�,其中所述認證是基于確證所述客戶端的所述客戶端符記及確證所述客戶端符記的 所述數(shù)字簽名。
19. 根據(jù)權(quán)利要求18所述的客戶端��,其進一步包括計算機可讀指令�����,所述計算機可讀 指令在由所述一或多個處理器執(zhí)行時使所述客戶端: 使用所述安全通信會話接收數(shù)字證書��;及 在所述請求中將所述數(shù)字證書傳送到所述第一服務(wù)器�����,其中所述第一服務(wù)器使用所述 數(shù)字證書確證所述數(shù)字簽名��。
20. 根據(jù)權(quán)利要求19所述的客戶端�,其中所述數(shù)字證書到所述第一服務(wù)器的所述傳送 僅發(fā)生一次,且所述數(shù)字證書在初始接入消息中從所述客戶端發(fā)送到所述第一服務(wù)器��。
21. 根據(jù)權(quán)利要求19所述的客戶端���,其中所述客戶端符記及所述數(shù)字證書為位串�,且 所述客戶端符記及所述數(shù)字證書不由所述客戶端編碼或解碼�。
22. 根據(jù)權(quán)利要求19所述的客戶端,其中所述第二服務(wù)器為本地安全用戶平面位置 SUPL位置平臺H-SLP���,所述客戶端為具備SUPL功能的終端機SET��,且所述第一服務(wù)器為被發(fā) 現(xiàn) SLP D-SLP�。
23. 根據(jù)權(quán)利要求22所述的客戶端��,其中所述客戶端符記為SET符記�����,且所述數(shù)字證書 為SLP證書。
24. 根據(jù)權(quán)利要求23所述的客戶端���,其中所述SET符記含有SET身份���、Η-SLP身份、 D-SLP身份及所述Η-SLP的數(shù)字簽名����。
25. 根據(jù)權(quán)利要求24所述的客戶端,其中所述SET符記進一步含有所述SET的所提供 位置���。
26. 根據(jù)權(quán)利要求24所述的客戶端��,其中所述SET符記進一步含有D-SLP授權(quán)的初始 時間及持續(xù)時間�����。
27. 根據(jù)權(quán)利要求18所述的客戶端�,其進一步包括計算機可讀指令����,所述計算機可讀 指令在由所述一或多個處理器執(zhí)行時使所述客戶端在所述將所述客戶端符記傳送到所述 第一服務(wù)器之前使用公用密鑰認證來認證所述第一服務(wù)器����。
28. 根據(jù)權(quán)利要求18所述的客戶端����,其進一步包括存儲器����,所述存儲器經(jīng)配置以存儲 所述客戶端符記,直到所述客戶端符記由所述第二服務(wù)器撤銷�。
29. 根據(jù)權(quán)利要求28所述的客戶端,其中當(dāng)所述客戶端從所述第二服務(wù)器接收到針對 所述第一服務(wù)器而定義的新客戶端符記時�,所述客戶端符記被撤銷。
30. -種計算機可讀媒體����,其存儲用于獲得第一服務(wù)器與客戶端之間的安全連接的計 算機可讀指令,所述計算機可讀指令在執(zhí)行時使得包含于所述客戶端中的一或多個計算裝 置: 建立第二服務(wù)器與所述客戶端之間的安全通信會話�����,其中所述第二服務(wù)器得到所述第 一服務(wù)器信任��,且所述第二服務(wù)器經(jīng)配置以認證所述客戶端���; 使用所述安全通信會話接收客戶端符記�����,其中所述客戶端符記是針對所述第一服務(wù) 器而定義����,且含有與所述第一服務(wù)器、所述第二服務(wù)器���、所述客戶端及數(shù)字簽名相關(guān)聯(lián)的數(shù) 據(jù)�; 請求對所述第一服務(wù)器的安全通信接入����,其中所述請求包含將所述客戶端符記傳送到 所述第一服務(wù)器;及 基于由所述第一服務(wù)器對所述客戶端的認證接收對所述第一服務(wù)器的安全通信接入 的準(zhǔn)予�����,其中所述認證是基于確證所述客戶端的所述客戶端符記及確證所述客戶端符記的 所述數(shù)字簽名��。
31. -種用于獲得第一服務(wù)器與客戶端之間的安全連接的設(shè)備�����,所述設(shè)備包括: 用于建立第二服務(wù)器與所述客戶端之間的安全通信會話的裝置,其中所述第二服務(wù)器 得到所述第一服務(wù)器信任�����,且所述第二服務(wù)器經(jīng)配置以認證所述客戶端���; 用于由所述客戶端使用所述安全通信會話接收客戶端符記的裝置,其中所述客戶端符 記是針對所述第一服務(wù)器而定義�,且含有與所述第一服務(wù)器、所述第二服務(wù)器��、所述客戶端 及數(shù)字簽名相關(guān)聯(lián)的數(shù)據(jù)��; 用于由所述客戶端請求對所述第一服務(wù)器的安全通信接入的裝置��,其中所述請求包含 將所述客戶端符記傳送到所述第一服務(wù)器���;及 用于由所述客戶端基于由所述第一服務(wù)器對所述客戶端的認證接收對所述第一服務(wù) 器的安全通信接入的準(zhǔn)予的裝置����,其中所述認證是基于確證所述客戶端的所述客戶端符記 及確證所述客戶端符記的所述數(shù)字簽名���。
32. 根據(jù)權(quán)利要求31所述的設(shè)備����,其進一步包括: 用于由所述客戶端使用所述安全通信會話接收數(shù)字證書的裝置;及 用于在所述請求中將所述數(shù)字證書傳送到所述第一服務(wù)器的裝置���,其中所述第一服務(wù) 器使用所述數(shù)字證書確證所述數(shù)字簽名���。
33. 根據(jù)權(quán)利要求32所述的設(shè)備,其中所述數(shù)字證書到所述第一服務(wù)器的所述傳送僅 發(fā)生一次�����,且所述數(shù)字證書在初始接入消息中從所述客戶端發(fā)送到所述第一服務(wù)器�����。
34. 根據(jù)權(quán)利要求32所述的設(shè)備����,其中所述客戶端符記及所述數(shù)字證書為位串,且所 述客戶端符記及所述數(shù)字證書不由所述客戶端編碼或解碼���。
35. 根據(jù)權(quán)利要求32所述的設(shè)備����,其中所述第二服務(wù)器為本地安全用戶平面位置SUPL 位置平臺H-SLP,所述客戶端為具備SUPL功能的終端機SET��,且所述第一服務(wù)器為被發(fā)現(xiàn) SLP D-SLP��。
36. 根據(jù)權(quán)利要求35所述的設(shè)備�,其中所述客戶端符記為SET符記,且所述數(shù)字證書為 SLP證書�。
37. 根據(jù)權(quán)利要求36所述的設(shè)備�,其中所述SET符記含有SET身份、Η-SLP身份��、D-SLP 身份及所述Η-SLP的數(shù)字簽名��。
38. 根據(jù)權(quán)利要求37所述的設(shè)備�����,其中所述SET符記進一步含有所述SET的所提供位 置�。
39. 根據(jù)權(quán)利要求37所述的設(shè)備,其中所述SET符記進一步含有D-SLP授權(quán)的初始時 間及持續(xù)時間����。
40. 根據(jù)權(quán)利要求31所述的設(shè)備,其進一步包括用于在將所述客戶端符記傳送到所述 第一服務(wù)器之前使用公用密鑰認證來認證所述第一服務(wù)器的裝置���。
41. 根據(jù)權(quán)利要求31所述的設(shè)備����,其進一步包括用于存儲所述客戶端符記直到由所述 第二服務(wù)器撤銷的裝置。
42. 根據(jù)權(quán)利要求41所述的設(shè)備���,其中當(dāng)所述客戶端從所述第二服務(wù)器接收到針對所 述第一服務(wù)器而定義的新客戶端符記時�,所述客戶端符記被撤銷���。
【文檔編號】H04W12/06GK104106277SQ201380008585
【公開日】2014年10月15日 申請日期:2013年2月8日 優(yōu)先權(quán)日:2012年2月10日
【發(fā)明者】斯蒂芬·威廉·埃奇, 安德烈亞斯·克勞斯·瓦赫特, 菲利浦·邁克爾·霍克斯 申請人:高通股份有限公司