專利名稱:在基于supl的定位系統(tǒng)中的tls會(huì)話管理方法
技術(shù)領(lǐng)域:
本發(fā)明涉及基于安全用戶平面定位(SUPL)的定位系統(tǒng)����,具體地 涉及用于SUPL漫游的TLS會(huì)話管理方法。
背景技術(shù):
通常���,在移動(dòng)通信網(wǎng)絡(luò)中���,移動(dòng)通信系統(tǒng)具有關(guān)于計(jì)算移動(dòng)通信 終端的位置的功能單元,并由此提供定位服務(wù)����,用于周期性地或根據(jù) 用戶的請求將終端位置傳輸?shù)侥硞€(gè)實(shí)體����。關(guān)于定位服務(wù)的網(wǎng)絡(luò)具有根據(jù)3GPP或3GPP2的內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)的 不同結(jié)構(gòu)�����??梢允褂眯^(qū)ID方法計(jì)算終端的當(dāng)前位置,用于傳輸該終 端所屬于的小區(qū)ID��,還可以使用其中使用三角測量等來計(jì)算將無線電 波從終端傳輸?shù)矫總€(gè)基站花費(fèi)的時(shí)間以及計(jì)算該終端的位置的方法�, 使用全球定位系統(tǒng)(GPS)的方法等。然而�����,為了提供定位服務(wù)給用戶��,應(yīng)該在移動(dòng)通信終端和定位服 務(wù)器之間傳輸主要的信令和位置信息�����。用于提供該定位服務(wù)的已經(jīng)標(biāo) 準(zhǔn)化的所謂定位技術(shù)����,也就是基于移動(dòng)通信終端的定位(位置)的定 位服務(wù)得到快速廣泛的傳播。典型地可以通過用戶平面和控制平面來 提供該技術(shù)���。公知作為定位技術(shù)的例子的開放移動(dòng)聯(lián)盟(OMA)的安 全用戶平面定位(SUPL)協(xié)議通過用戶平面提供定位服務(wù)��。SUPL協(xié)議是用于傳輸位置信息的有效方法���,該位置信息是移動(dòng)通 信終端的位置計(jì)算所需要的。SUPL協(xié)議采用用戶平面數(shù)據(jù)載體�,從而 傳輸定位協(xié)助信息,例如全球定位系統(tǒng)(GPS)協(xié)助��,以及在移動(dòng)終端 和網(wǎng)絡(luò)之間攜帶定位技術(shù)相關(guān)協(xié)議���。
通常���,在定位系統(tǒng)中,與定位服務(wù)相關(guān)的SUPL網(wǎng)絡(luò)一般說來包括SUPL代理����、SUPL位置平臺(SLP)和SUPL啟用終端(SET)。 SUPL代理指的是使用實(shí)際測量的定位信息的邏輯服務(wù)接入點(diǎn)��。SLP表 示在網(wǎng)絡(luò)部分處的SUPL服務(wù)接入點(diǎn),在該網(wǎng)絡(luò)點(diǎn)處接入網(wǎng)絡(luò)資源����,從 而獲得位置信息。SET表示使用SUPL接口與SUPL網(wǎng)絡(luò)通信的裝置�, 例如,UMTS的用戶設(shè)備(UE) ��、 GSM的移動(dòng)站(MS) ���、 IS-95MS��、 具有SET功能的膝上型計(jì)算機(jī)���、個(gè)人數(shù)字助理(PDA)等。SET可以 是通過寬帶LAN (WLAN)接入的多種移動(dòng)通信終端����。SET通過經(jīng)由 用戶平面載體連接到網(wǎng)絡(luò),而支持由SUPL協(xié)議定義的多個(gè)過程�。在定位服務(wù)中用戶最初登錄的網(wǎng)絡(luò)被稱為本地網(wǎng)絡(luò)。當(dāng)用戶移動(dòng) 并由此位于不在本地網(wǎng)絡(luò)區(qū)域中的另一區(qū)域時(shí)��,該相應(yīng)的網(wǎng)絡(luò)被稱為 被訪問網(wǎng)絡(luò)��。因此�,在本地網(wǎng)絡(luò)中的SLP被稱為本地SLP (H-SLP), 以及在訪問網(wǎng)絡(luò)中的SLP被稱為訪問SLP (V-SLP)�����。這里�,在網(wǎng)絡(luò)上 啟動(dòng)SUPL過程之后,外部客戶機(jī)最初與之連接的SLP被稱為請求SLP (R-SLP)�����。該R-SLP是邏輯實(shí)體����,其可以和H-SLP相同或不同。此 外���,將以當(dāng)前位置作為目標(biāo)(也就是位置跟蹤)的SET被定義為目標(biāo) SET����。此外�,SLP作為網(wǎng)絡(luò)元件,可以包括SUPL定位中心(SPC)�����, 其是用于計(jì)算實(shí)際位置的實(shí)體;以及SUPL位置中心(SLC)����,其管理 除了計(jì)算定位之外的SLP的功能,例如漫游和資源管理的功能����。因此, SET可以通過經(jīng)由SLC (也就是代理模式)與SPC的通信而計(jì)算定位�����, 以及可以通過直接連接到SPC (也就是非代理模式)來計(jì)算定位�。然而,當(dāng)打開傳輸層安全(TLS)會(huì)話用于確保在現(xiàn)有技術(shù)的基 于SUPL的定位(也就是位置跟蹤)方法中的安全性時(shí)����,在非代理模式 漫游的情況下,當(dāng)在產(chǎn)生該TLS會(huì)話后在V-SPC和終端之間打開新的 TLS會(huì)話時(shí)��,除了現(xiàn)有的TLS會(huì)話(也就是在H-SLP和SET之間的會(huì)
話)之外����,必須產(chǎn)生新的TLS會(huì)話�����。圖1說明了這樣的過程,其用于當(dāng)SET執(zhí)行從H-SLP到V-SLP 的漫游時(shí)使用SUPL執(zhí)行定位����。在下文中,目標(biāo)SET恰好表示為SET�。如在圖1中所示,如果在傳輸SUPL START消息之前����,在SET和 任何網(wǎng)絡(luò)之間當(dāng)期還沒有建立數(shù)據(jù)連接,則SET (或SUPL代理)請求 與分組數(shù)據(jù)網(wǎng)絡(luò)或電路交換網(wǎng)絡(luò)(例如3GPP或3GPP2的網(wǎng)絡(luò))的數(shù) 據(jù)連接(S10)��。當(dāng)完成該數(shù)據(jù)連接時(shí)�����,SET設(shè)置與H-SLP的TLS會(huì)話(加密協(xié)議) (Sll)�����。然后,SET傳輸SUPL START消息到H-SLP��,從而啟動(dòng)與其 的SUPL過程(S12)�。該SUPL START消息至少可以包括會(huì)話ID、 SET性能和位置標(biāo)識(lid) ����。 SET性能可以包括SET所支持的定位(位 置跟蹤)方法(例如,SET所支持的A-GPS�、基于SET的A-GPS等)、 用于定位的協(xié)議(例如��,RRLP���、 RRC或TIA-801)等��。H-SLP基于路由信息���,確定SET是否處于漫游狀態(tài)下,從而通過 RLP標(biāo)準(zhǔn)SUPL漫游位置即時(shí)請求(SSRLIR)而傳輸SUPL START消 息到V-SLP的V-SLC (S13)����,該SUPL START消息包括會(huì)話ID和 msid。V-SLC通過與V-SPC的內(nèi)部初始化來通知V-SPC要開始SUPL POS過程準(zhǔn)備��,并與V-SPC交換需要的信息。并且�����,V-SLC通過RLP 標(biāo)準(zhǔn)SUPL漫游位置即時(shí)回答(SSRLIA),將包括V-SPC地址等的 SUPL RESPONSE消息傳輸?shù)紿-SLP (S14)���。因此����,H-SLP將至少包括會(huì)話ID�����、V-SPC地址的SUPL RESPONSE 消息傳輸?shù)絊ET (S15) ����。 SET終止與H-SLP的IP連接��,還終止第一 TLS會(huì)話(S16)�����。
然后��,SET建立與V-SPC的第二TLS會(huì)話(S17)。第二 TLS會(huì)話的設(shè)置基本上和第一 TLS會(huì)話的設(shè)置是相同的����。在 設(shè)置第二 TLS會(huì)話的情況下,SET發(fā)送SUPL POS INIT消息到V-SPC��, 該消息包括會(huì)話ID�、 lid、 SET性能等等��,并且之后啟動(dòng)實(shí)際定位相關(guān) 過程(S18)��。因此�,SET和V-SPC于是交換用于執(zhí)行實(shí)際定位的連續(xù) 消息(S19),由此V-SPC (或SET)通過該消息計(jì)算SET的位置�����。在計(jì)算SET的位置之后���,V-SPC傳輸SUPL END消息到SET,從 而通知SUPL過程的終止�。已經(jīng)接收到SUPL END消息的SET終止與 V-SPC的第二 TLS會(huì)話(S20和S21)��。V-SPC還通過內(nèi)部通信��,將SUPL過程的終止和SET的計(jì)算的位 置值通知V-SLC (S22) 。 V-SLC通過RLP標(biāo)準(zhǔn)SUPL漫游位置(SSRP) 消息將接收到的信息傳輸?shù)紿-SLP (S23)�。此后,當(dāng)SET執(zhí)行漫游時(shí)����,現(xiàn)在將詳細(xì)解釋用于設(shè)置第一和第二 TLS會(huì)話的方法。圖2更詳細(xì)地說明用于設(shè)置TLS會(huì)話的方法(完全握手)(也就 是其中SET執(zhí)行在H-SLP和V-SLP之間的相互認(rèn)證的方法)��。如在圖2中所示����,SET首先設(shè)置與H-SLP的第一 TLS會(huì)話(加密 協(xié)議)(Sll)。也就是說����,SET在Client Hello消息中包括參數(shù)�,例如版本、 RandomNumber��、會(huì)話ID[空]����、密碼套件和壓縮方法,從而將其傳輸?shù)?H-SLP (ST1)��。在這里,當(dāng)產(chǎn)生新會(huì)話時(shí)����,將會(huì)話ID設(shè)置為"空"。 密碼套件和壓縮方法分別指示SET所支持的加密參數(shù)的列表以及用于數(shù)據(jù)壓縮方法的ID�����。H-SLP響應(yīng)于Client Hello消息�,將Server Hello消息傳輸?shù)絊ET, 該Server Hello消息包括例如由此選擇的版本、RandomNumber����、會(huì)話 ID[l]、密碼套件和壓縮方法的參數(shù)���。如果沒有SET傳送的會(huì)話ID��,則 H-SLP傳輸空的會(huì)話ID給SET�。H-SLP在發(fā)送Server Hello消息之后�,順序地將這些消息傳輸?shù)?SET,例如證書*、服務(wù)器鑰交換*����、證書請求*和ServerHello完成��。在 這里��,表示"可選的"�����。證書是Server Hello消息之后要傳輸?shù)南?。H-SLP通過服務(wù)器鑰 交換傳輸其公鑰��,或者傳輸包括其公鑰的證書和認(rèn)證機(jī)構(gòu)(CA)的根證書的證書作為鏈類型����。服務(wù)器鑰交換是證書之后要傳輸?shù)南ⅰ7?wù)器鑰交換包括 H-SLP (服務(wù)器)的公鑰信息����。與鑰信息相關(guān)的正確信息取決于對應(yīng)的 公鑰算法(例如RSA�、 Diffie-Hellman等)。證書請求是服務(wù)器鑰交換 之后要傳輸?shù)南?�。?dāng)需要SET的公鑰信息時(shí)���,H-SLP使用證書請求 消息以請求證書�����。ServerHello完成是在證書請求之后要傳輸?shù)南ⅲ?并用于通知SET完成了最初協(xié)商����。當(dāng)從H-SLP輸入ServerHello完成時(shí),SET順序地將這些消息傳輸 到H-SLP�,例如證書、客戶機(jī)鑰交換和證書檢驗(yàn)�����、改變密碼規(guī)格和完 成(ST3)�����?����?蛻魴C(jī)鑰交換是發(fā)送證書之后要傳輸?shù)南?��,以及包括使?H陽SLP的公鑰加密的鑰信息(EnCH.SLP—pk(預(yù)主秘密))。該鑰信息指示 用于制造H-SLP的實(shí)際加密使用的鑰(完整鑰����、加密鑰����、初始化矢量 等等)的最基本的預(yù)主秘密�����。在對稱加密算法中使用該相應(yīng)的鑰信息����。 證書檢驗(yàn)是客戶機(jī)鑰交換之后要傳輸?shù)南ⅰWC書檢驗(yàn)指示SET 是否具有與公鑰相關(guān)的適當(dāng)?shù)莫?dú)立鑰�,通過證書消息傳輸該公鑰。證書檢驗(yàn)可以包括通過散列和信令SET的鑰信息和之前的TLS握手消息 的內(nèi)容而獲得的值��。最后�,H-SLP順序地傳送改變密碼規(guī)格和完成消息,并終止用于 設(shè)置第一TLS會(huì)話的每個(gè)完全握手過程(ST4)��。改變密碼規(guī)格是證書 檢驗(yàn)之后要傳輸?shù)南?���,并通知用于在終止H-SLP和SET之間的協(xié)商 之后執(zhí)行加密的時(shí)間點(diǎn)����。這里����,SET將TLS會(huì)話狀態(tài)從未決狀態(tài)改變 為當(dāng)前狀態(tài)����。完成是改變密碼規(guī)格之后要傳輸?shù)南ⅰM瓿上⒅甘?是否成功完成協(xié)商��,或者在協(xié)商期間關(guān)于安全性參數(shù)是否沒有發(fā)生損 害�。根據(jù)這樣的過程,在設(shè)置第一 TLS會(huì)話之后��,SET將SUPL START 消息傳輸?shù)紿-SLP�,從而通知啟動(dòng)了 SUPL過程(S12) 。 H-SLP確定 SET屬于的V-SLP的位置信息����,從而之后識別SET的漫游。H-SLP然 后通過RLP SSRLIR消息再傳輸SUPL START消息到V-SLC ( S13 )��。V-SLC通過與V-SPC的內(nèi)部初始化來將SUPL過程的起動(dòng)通知 V-SPC����,并與之交換所需要的信息�。V-SLC響應(yīng)RLP SSRLIR消息��,通 過RLP SSRLIA消息�,將SUPL RESPONSE消息傳輸?shù)紿-SLP,該SUPL RESPONSE消息包括V-SPC地址(S14) �����。 H-SLP將SUPL RESPONSE 消息傳輸給SET����。由此,SET終止與H-SLP的IP連接��,以及終止與H-SLP的第一 TLS會(huì)話���,并執(zhí)行步驟S17�,用于設(shè)置與V-SPC的第二 TLS會(huì)話����。也就是說,在基于SUPL的定位系統(tǒng)中��,當(dāng)SET執(zhí)行從H-SLP到 V-SLP的漫游從而接收來自新的定位服務(wù)器(V-SPC)的定位服務(wù)時(shí), 在SET和V-SPC之間將產(chǎn)生新的TLS會(huì)話����。在這樣的情況下�����,應(yīng)該重 新設(shè)置H-SLP和SET之間已經(jīng)設(shè)置的參數(shù)�,例如用于加密、簽名和完 整性檢査的鑰信息���。然而����,用于設(shè)置新的(第二) TLS會(huì)話的過程和圖2中所示的設(shè) 置第一 TLS會(huì)話的過程是相同的�。因此,終端將最初根據(jù)用于相互認(rèn) 證的完全握手設(shè)置與H-SLP的TLS會(huì)話����,然后只要終端漫游到V-SLP, 則根據(jù)相同的完全握手產(chǎn)生新的TLS會(huì)話��,這不利地增加了漫游期間 認(rèn)證和加密鑰的切換所需要的時(shí)間和資源���。發(fā)明內(nèi)容因此���,本發(fā)明的目的是提供TLS會(huì)話管理方法�����,其能夠增加SUPL 漫游期間在終端和V-SLP之間建立TLS會(huì)話的效率�����。為了獲得這些和其他優(yōu)點(diǎn)并根據(jù)本發(fā)明的目的����,如在這里實(shí)施和 廣泛地描述的�����,提供了在使用TLS的基于SUPL的定位系統(tǒng)的漫游中 的TLS會(huì)話管理方法�����,其包括在終端和本地SUPL位置平臺(H-SLP) 之間設(shè)置TLS會(huì)話�����,并將SUPL START消息從終端傳輸?shù)紿-SLP;將 設(shè)置的TLS會(huì)話的信息從H-SLP傳輸?shù)浇K端漫游到的訪問SLP (V-SLP);將V-SLP信息從H-SLP傳輸?shù)浇K端;以及使用TLS會(huì)話 信息���,在終端和V-SLP之間的TLS會(huì)話中設(shè)置新的TLS連接�。優(yōu)選地����,TLS會(huì)話信息可以包括TLS會(huì)話ID�����,該TLS會(huì)話ID用 于H-SLP和終端之間的TLS會(huì)話連接�,并且TLS會(huì)話信息還包括作為 TLS會(huì)話的鑰信息的主秘密或漫游主秘密。優(yōu)選地�,TLS會(huì)話信息可以進(jìn)一步包括指示加密方法和壓縮方法 的參數(shù),其用于H-SLP和終端之間的TLS會(huì)話連接�����。優(yōu)選地�,通過將一個(gè)值應(yīng)用于偽隨機(jī)函數(shù)從而產(chǎn)生主秘密,通過
將預(yù)主秘密與終端和H-SLP之間已知的任意值級聯(lián)來獲得該值��。優(yōu)選地�����,通過散列將主秘密與漫游計(jì)數(shù)級聯(lián)而獲得的值,產(chǎn)生漫 游主秘密���。優(yōu)選地���,根據(jù)完全握手協(xié)議來執(zhí)行TLS會(huì)話。優(yōu)選地����,通過簡化的握手過程來產(chǎn)生新的TLS連接。優(yōu)選地����,建立新的TLS連接之后,TLS會(huì)話管理方法可以進(jìn)一步 包括在V-SLP和SET之間執(zhí)行SUPL定位過程��,從而計(jì)算SET的位置�����。優(yōu)選地�,簡化的握手過程可包括將Client Hello消息從SET傳輸 至l) V-SPC,該Client Hello消息包括版本�、Set-Random和會(huì)話ID;順 序地將Server Hello消息�、改變密碼規(guī)格消息和完成消息從V-SPC傳輸 妾U SET,該Server Hello消息包括版本����、V-SLP-Random和會(huì)話ID;以 及當(dāng)從V-SPC輸入完成消息時(shí),順序地將改變密碼規(guī)格和完成消息從 SET傳輸?shù)絍-SPC����,從而終止該簡化的握手過程。本發(fā)明的以上和其他目的�����、特征���、方面和優(yōu)點(diǎn),從結(jié)合附圖的以 下的本發(fā)明的詳細(xì)描述將變得更加明顯����。
包括以提供對于本發(fā)明的進(jìn)一步理解的附圖,被包括在本說明書 中并作為其一部分�,說明本發(fā)明的實(shí)施例,并連同描述一起用來解釋本發(fā)明的原理�。 在附圖中圖1示出當(dāng)SET執(zhí)行漫游時(shí)使用SUPL的定位過程; 圖2示出使用完全握手的TLS會(huì)話管理方法�;
圖3示出用于SUPL漫游的TLS會(huì)話的擴(kuò)展��;圖4示出根據(jù)本發(fā)明的第一實(shí)施例的TLS會(huì)話管理方法���;圖5示出用于產(chǎn)生(引發(fā))加密參數(shù)的過程;圖6示出SUPL漫游期間的主秘密傳輸�����;圖7示出漫游主秘密的傳輸����;以及圖8示出根據(jù)本發(fā)明的第二實(shí)施例的TLS會(huì)話管理方法。
具體實(shí)施方式
現(xiàn)在將詳細(xì)參考本發(fā)明的優(yōu)選實(shí)施例���,在附圖中示出這些實(shí)施例 的例子�����。在SET執(zhí)行從H-SLP到V-SLP的漫游以接收來自新定位服務(wù)器 (V-SPC)的定位服務(wù)的情況下����,本發(fā)明提出使用TLS會(huì)話執(zhí)行認(rèn)證 和切換加密鑰的方法����,漫游之前在SET和H-SLP之間建立該TLS會(huì)話�。也就是說�,如在圖3中所示,當(dāng)與本地網(wǎng)絡(luò)中的H-SLP產(chǎn)生TLS 會(huì)話的SET漫游到訪問網(wǎng)絡(luò)時(shí)��,H-SLP和SET之間產(chǎn)生的該TLS會(huì)話 可以擴(kuò)展為V-SLP和SET之間的TLS會(huì)話����。為此,本發(fā)明在漫游期間不產(chǎn)生新的TLS會(huì)話�,而是僅僅使用簡 化的握手協(xié)議,在SET和H-SLP之間已經(jīng)建立的TLS會(huì)話中產(chǎn)生新的 TLS連接�。換句話說,在本發(fā)明中�����,在SET終止與H-SLP的TLS會(huì)話并且 此后還沒有產(chǎn)生與V-SPC的新的TLS會(huì)話的狀態(tài)下��,為了在漫游期間 產(chǎn)生新的TLS連接�,已經(jīng)使用過的關(guān)于TLS會(huì)話的信息被重新使用�����。 因此����,H-SLP包括在之前的TLS會(huì)話中已經(jīng)使用過的參數(shù)�����,該參數(shù)是 RLP SSRLIR中的TLS會(huì)話ID和新鑰信息(即����,主秘密或漫游主秘密)��, 從而將其傳輸?shù)絍-SLP的V-SPC�。
由此,當(dāng)SET建立新的TLS會(huì)話時(shí)���,SET傳輸空會(huì)話ID到H-SLP�����。 使用之前的TLS會(huì)話產(chǎn)生新的連接之后�,SET在ClientHello消息中包 括期望再使用的會(huì)話ID��,以將其傳輸?shù)絍-SLP的V-SPC���。如果沒有找 到從SET傳輸?shù)臅?huì)話ID���,則V-SLP將空會(huì)話ID以及錯(cuò)誤消息傳輸?shù)?SET���。如果具有相同的會(huì)話ID, V-SPC和SET使用簡化的握手協(xié)議交 換改變密碼規(guī)格消息��。利用簡化握手協(xié)議重新使用TLS會(huì)話之后���,保 持現(xiàn)有的會(huì)話狀態(tài)��,以及使用H-SLP和SET已經(jīng)互相交換的改變密碼 規(guī)格消息��,將TLS狀態(tài)保持為未決狀態(tài)����。圖4示出了根據(jù)本發(fā)明的第一實(shí)施例的TLS會(huì)話管理方法����,其中 在H-SLP和V-SLP之間使用主秘密�。首先,H-SLP和V-SLP在最初協(xié)商服務(wù)支持的時(shí)間點(diǎn)執(zhí)行相互認(rèn) 證�����,并使用在線證書狀態(tài)協(xié)議,周期性地檢驗(yàn)證書撤銷列表(CRL)或 檢驗(yàn)證書(S50)���。這里�����,H-SLP必須至少認(rèn)證SET可以漫游到的V-SLP�����, 并必須具有多個(gè)V-SLP的證書����。在這樣的狀態(tài)下��,SET執(zhí)行與H-SLP的第一 TLS會(huì)話設(shè)置過程 (S51)�。在該過程期間,SET產(chǎn)生預(yù)主秘密��,然后使用H-SLP的公鑰�����,加密對應(yīng)的所產(chǎn)生的預(yù)主秘密,從而將該加密的預(yù)主秘密傳輸?shù)紿-SLP (傳輸EncH-sLpjK(預(yù)主秘密)(ST3)��。預(yù)主秘密表示初始值�,需要該初始值來產(chǎn)生用在加密的鑰(密碼鑰)、用在完整性檢査中的鑰(完整鑰)和加密初始化矢量�����。當(dāng)在H-SLP和SET之間設(shè)置TLS會(huì)話時(shí)�����,SET將SUPL START 消息傳輸?shù)紿-SLP�,以啟動(dòng)與H-SLP的SUPL過程(S52) 。 H-SLP基 于路由信息����,確定SET屬于的V-SLP的定位(位置信息),從而識別 SET的漫游�����。當(dāng)SET漫游到V-SLP時(shí)�,H-SLP使用SUPL START消息將TLS 會(huì)話信息傳輸?shù)絍-SLC,該SUPL START消息是RLP消息(RLP SSRLIR) (S53)���。通過內(nèi)部通信���,將相應(yīng)的TLS會(huì)話信息傳輸?shù)絍-SPC。 這里��,通過HTTPS (TLS)傳輸RLP消息作為加密的消息類型����。這里, RLPSSRLIR (SUPL START)消息中另外包括的參數(shù)如下所示-主秘密��、會(huì)話ID�����、密碼套件�、壓縮方法用于V-SLC和SET之 間的TLS會(huì)話的擴(kuò)展中。這里��,主秘密表示PRF (預(yù)主秘密�����、"主秘密"���、SET Random I V-SLP-Random)�����。會(huì)話ID是指要重新使用的TLS會(huì)話的號 碼�,也就是已用于H-SLP和SET之間的初始TLS會(huì)話連接中的會(huì)話號。V-SLP響應(yīng)于SUPL START消息���,將包括會(huì)話ID�、 V-SPC地址等 的RLP SSRLIA (SUPL RESPONSE)消息傳輸給H-SLP (S54) ����。 H-SLP 將SUPL RESPONSE消息(包括SUPL會(huì)話ID、 V-SPC地址等)傳輸 到SET��。也就是說��,H-SLP將SUPL會(huì)話號以及接收定位服務(wù)的服務(wù) 器(V-SPC)通知SET (S55)��。因此����,即使終止之前的TLS會(huì)話,SET基于最初建立H-SLP和 SET之間的TLS會(huì)話所使用過的TLS會(huì)話信息��,使用簡化握手協(xié)議, 產(chǎn)生與V-SPC的TLS連接(S56)�。也就是說���,SET將Client Hello消息傳輸?shù)絍-SPC�����,該Client Hello 消息包括參數(shù)例如版本�、SET-Random���、會(huì)話ID[l]等�。V-SPC將Server Hello消息傳輸?shù)絊ET,該Server Hello消息包括參數(shù)例如選擇版本�����、 V-SLP-Random和會(huì)話ID[l]��,然后傳輸"改變密碼規(guī)格"和"完成" 消息��,這兩個(gè)消息通知終止SET和V-SPC之間的協(xié)商之后執(zhí)行加密的 時(shí)間點(diǎn)��。當(dāng)從V-SPC輸入"完成"消息時(shí)����,SET還順序地傳輸"改變密碼 規(guī)格"和"完成"消息����,以及由此終止用于設(shè)置TLS會(huì)話的整個(gè)簡化
握手過程���。因此���,當(dāng)執(zhí)行簡化握手時(shí),SET和V-SPC使用已經(jīng)彼此交換過的 參數(shù)(SET-Random或V-SLP-Random)����,從而引發(fā)(產(chǎn)生)加密參數(shù)。 該引發(fā)(產(chǎn)生)過程可以相同地使用在之前TLS所提供的以下的功能等式(1)和(2):-主秘密=PRF (預(yù)主秘密���,"主秘密"�����,和 SET-Random | V-SLP-Random) ( 1)-鑰材料=PRF (主秘密����,"鑰擴(kuò)展",和 V網(wǎng)SEP-Random | SET-Random) ( 2 )這里�����,"主秘密"和"鑰擴(kuò)展"表示字符串�。圖5示出用于在SET和V-SPC中產(chǎn)生(引發(fā))加密參數(shù)的方法。如圖5所示����,V-SPC將從H-SLP傳輸?shù)闹髅孛堋?鑰擴(kuò)展"和 V-SLP-Random值傳輸?shù)絺坞S機(jī)函數(shù)(PRF)�����,其中"鑰擴(kuò)展"是使得 鑰對于每個(gè)連接不同的字符串��,從而獲得如等式(2)所示的鑰材料��。 在每個(gè)TLS會(huì)話中新產(chǎn)生主秘密���,以及在每個(gè)連接處產(chǎn)生鑰材料��。因 此�,V-SLP最終獲得完整性鑰�����、加密鑰和初始化矢量,它們?nèi)坑糜?從獲得的鑰材料的加密傳輸���。圖6示出SUPL漫游期間的主秘密傳輸��。特別地�,圖6示出了當(dāng) SET和V-SLP共享主秘密時(shí)的每個(gè)TLS會(huì)話中的主秘密��,其中在H-SLP 和SET之間使用該主秘密���。如圖6所示����,將SET處最初產(chǎn)生的預(yù)主秘密在SET處加密后����,傳 輸?shù)紿-SLP。當(dāng)SET漫游到V-SLP1或V-SLP2時(shí)�,H-SLP使用V-SLP1 或V-SLP2的每個(gè)的公鑰,對從預(yù)主秘密產(chǎn)生(引發(fā))的主秘密進(jìn)行加 密�����,從而將其傳輸。因此���,即使V-SLP1和V-SLP2從SET接收到相同
的預(yù)主秘密����,V-SLP1和V-SLP2依然接收到不同的主秘密�。因此,第 三方在漫游之后的會(huì)話以及當(dāng)前會(huì)話中�����,不能容易地識別會(huì)話中SET 的位置��。在本發(fā)明的另一實(shí)施例中���,另一方面,SUPL漫游期間�,可以將漫 游主秘密代替主秘密從H-SLP傳輸?shù)絍-SLP。圖7示出SUPL漫游期間的漫游主秘密的傳輸�。特別地,圖7示 出當(dāng)沒有如其自身地傳輸H-SLP和SET之間使用的主秘密�����,而是將其 改變?yōu)槁沃髅孛軓亩赟ET和V-SLP之間共享時(shí),每個(gè)TLS會(huì)話中 已經(jīng)使用的主秘密和漫游主秘密����。如圖7所示,當(dāng)SET漫游到V-SLP1或V-SLP2時(shí)��,H-SLP將SET 的漫游計(jì)數(shù)與從預(yù)主秘密引發(fā)(產(chǎn)生)的主秘密級聯(lián)�,從而然后執(zhí)行 散列計(jì)算,其中從SET接收到該預(yù)主秘密��。然后�,H-SLP產(chǎn)生漫游主 秘密1和2。分別使用V-SLP1和V-SLP2的公鑰來對漫游主秘密1和 2進(jìn)行加密�,從而然后進(jìn)行傳輸。因此�,即使第三方獲得H-SLP和V-SLP1 (或V-SLP2)之間的漫 游主秘密l,該第三方不能從該對應(yīng)的漫游主秘密1獲得預(yù)主秘密���,以 及由此��,不會(huì)容易地暴露SET的位置���。也就是說,漫游主秘密是這樣 的值�,使用散列函數(shù)例如SHA()���,通過將SET的漫游計(jì)數(shù)與預(yù)主秘密 級聯(lián)而計(jì)算該值。散列函數(shù)具有單向性�����,這使得難以根據(jù)漫游主秘密 計(jì)算預(yù)主秘密����。圖8示出根據(jù)本發(fā)明的第二實(shí)施例的TLS會(huì)話管理方法,其示出 在H-SLP和V-SLP之間使用漫游主秘密的情況���。也就是說��,在本發(fā)明 的第二實(shí)施例中�����,不照其原樣地使用H-SLP和SET之間已經(jīng)使用過的 主秘密,而是使用漫游主秘密(也就是通過改變主秘密以至于不能知 道V-SLC中的H-SLP的主秘密所獲得的值)����。可以使用漫游主秘密�,
以至于V-SLP不能知道H-SLP和SET之間的之前TLS會(huì)話中所使用 的主秘密�����,并且可以設(shè)置TLS連接��。如圖8所示�,H-SLP和V-SLP在用于最初協(xié)商服務(wù)提供的時(shí)間點(diǎn)�����, 執(zhí)行相互認(rèn)證�����,并使用在線證書狀態(tài)協(xié)議(OCSP)從而周期性地檢驗(yàn) 證書撤銷列表(CRL)或檢驗(yàn)證書安全性(S60)��。這里��,H-SLP必須 至少認(rèn)證SET可以漫游到的V-SLP�,以及必須具有多個(gè)V-SLP的證書。在這樣的狀態(tài)下��,SET執(zhí)行第一 TLS會(huì)話設(shè)置過程(S61)��。當(dāng) 執(zhí)行該過程時(shí)���,SET使用H-SLP的公鑰從而對預(yù)主秘密進(jìn)行加密用于 傳輸���。當(dāng)在H-SLP和SET之間設(shè)置TLS會(huì)話時(shí)�����,SET將SUPL START 消息傳輸?shù)紿-SLP�����,從而啟動(dòng)與H-SLP的SUPL過程(S62) ��。 H-SLP 基于路由信息���,確定SET屬于的V-SLP的定位,從而感應(yīng)SET的漫游����。當(dāng)SET漫游到V-SLP時(shí),H-SLP使用RLP SSRLIR( SUPL START) 消息�����,將TLS會(huì)話信息傳輸?shù)絍-SLC (S63) �。 V-SLC通過內(nèi)部通信, 將對應(yīng)的信息傳輸?shù)絍-SPC�����。這里�,通過HTTPS (TLS)將RLP消息 作為加密消息類型進(jìn)行傳輸。這里�,以下將示出要添加到RLPSSRLIR 消息的參數(shù)。-漫游主秘密��、會(huì)話ID����、密碼套件、壓縮方法用于V-SLC和SET 之間的TLS會(huì)話擴(kuò)展中��。漫游主秘密指示通過將主秘密與漫游計(jì)數(shù)級聯(lián)所獲得的值��,從而 然后散列該級聯(lián)的值����。會(huì)話ID表示要重新使用的TLS會(huì)話的會(huì)話號。 密碼套件表示加密方法���,以及壓縮方法表示一種壓縮方法�。-漫游主秘密二SHA (主秘密l漫游計(jì)數(shù)) 等式3這里,漫游計(jì)數(shù)表示產(chǎn)生漫游的次數(shù)��。因此�����,在本發(fā)明的第二實(shí)施例中���,不使用漫游主秘密(也就是通
過改變主秘密所獲得的值���,以至于不能知道V-SLC中的H-SLP的主秘密),而使用H-SLP和SET之間已經(jīng)使用過的主秘密���?����?梢允褂寐沃髅孛?�,以至于V-SLP不能知道H-SLP和SET之間的之前TLS會(huì)話中已經(jīng)用過的主秘密��,以及還可以設(shè)置TLS連接����。V-SLP響應(yīng)RLP SSRLIR��,將RLP SSRLIA (SUPL RESPONSE) 消息傳輸?shù)紿-SLP�����,該RLP SSRLIA消息包括會(huì)話ID�、 V-SPC地址等 等(S64) 。 H-SLP將SUPL RESPONSE消息(包括SUPL會(huì)話ID�����、 V-SPC地址等)傳輸?shù)絊ET����。也就是說,H-SLP將服務(wù)器(V-SPC)通 知SET����,從而接收SUPL會(huì)話號和位置服務(wù)(S65)。因此�,即使終止之前的TLS會(huì)話,SET重新使用最初在H-SLP和 SET之間設(shè)置TLS會(huì)話時(shí)已經(jīng)使用過的TLS會(huì)話信息�����,從而通過執(zhí)行 簡化握手來設(shè)置與V-SPC的TLS連接(S66)。也就是說��,SET將Client Hello消息傳輸?shù)絍-SPC���,該Client Hello 包括參數(shù)例如版本�、SET-Random��、會(huì)話ID[l]等等���。V-SPC響應(yīng)該Client Hello消息����,將Server Hello消息傳輸?shù)絊ET,該Server Hello消息包括 參數(shù)���,例如選擇版本���、V陽SLP-Random、會(huì)話ID[l]�����。終止SET和V-SPC 之間的協(xié)商之后,V-SPC傳輸"改變密碼規(guī)格"和"完成"消息����,它 們通知執(zhí)行加密的時(shí)間點(diǎn)。當(dāng)從V-SPC輸入"完成"時(shí)�����,SET還順序地將"改變密碼規(guī)格" 和"完成"消息傳輸?shù)絍-SPC�,從而終止整個(gè)簡化握手過程����,該簡化 握手過程用于設(shè)置TLS連接。因此�,當(dāng)執(zhí)行簡化握手時(shí),SET和V-SPC使用彼此交換的參數(shù)值 (SET-Random或V-SLP-Random)�����,從而引發(fā)(產(chǎn)生)加密參數(shù)�。這 里,在加密參數(shù)的引發(fā)過程中�,如下使用相同的TLS會(huì)話中提供的 PRF()。
鑰材料二PRF (漫游主秘密�,"鑰擴(kuò)展",V-SPC IV-SPC-Random)也就是說,V-SPC通過與V-SLC的內(nèi)部初始化�����,接收來自V-SLC 的漫游主秘密����,從而獲得鑰材料。SET從主秘密引發(fā)漫游主秘密(漫 游M.S)��。然后�,SET再獲得鑰材料,之后在加密和完整性檢査中使用 該鑰材料�。如前所示,在本發(fā)明中����,當(dāng)打開TLS會(huì)話用于確保基于SUPL定 位的安全性時(shí)����,具體地說,當(dāng)在H-SLP和SET之間打開新的TLS會(huì)話 之后在V-SLP的V-SPC和SET之間又打開TLS會(huì)話時(shí)���,將之前TLS 會(huì)話中已經(jīng)用過的鑰信息提供給V-SLP�����,從而可以減少根據(jù)最初過程 設(shè)置新的TLS會(huì)話所需要的時(shí)間����,并因此有效地減少了整個(gè)系統(tǒng)的負(fù) 載。因?yàn)楸景l(fā)明可以以不偏離其精神或本質(zhì)特征的多種方式實(shí)施���,要 知道,以上所述的實(shí)施例不局限于前述說明的任何細(xì)節(jié)����,除非特別指 出,而是如在附加權(quán)利要求中限定的其精神和范圍內(nèi)進(jìn)行廣泛的理解����, 由此附加權(quán)利要求意圖包括落在權(quán)利要求的邊界和范圍或這些邊界和 范圍的等效內(nèi)的所有改變和修改。
權(quán)利要求
1.在一系統(tǒng)中的傳輸層安全(TLS)會(huì)話管理方法��,在該系統(tǒng)中����,具有與本地SUPL定位平臺(H-SLP)的TLS會(huì)話的終端通過漫游到訪問SLP(V-SLP)而接收定位服務(wù),在該方法中從H-SLP將TLS會(huì)話信息傳輸?shù)絍-SLP�����,當(dāng)H-SLP設(shè)置與所述終端的TLS會(huì)話時(shí)已經(jīng)使用該TLS會(huì)話信息;以及使用所述TLS會(huì)話信息���,設(shè)置新的TLS連接用于在所述終端和V-SLP之間的位置計(jì)算���。
2. 根據(jù)權(quán)利要求1所述的方法,其中���,所述TLS會(huì)話信息包括 TLS會(huì)話ID和新鑰信息�����。
3. 根據(jù)權(quán)利要求2所述的方法�,其中����,所述鑰信息是主秘密或漫 游主秘密。
4. 根據(jù)權(quán)利要求2所述的方法���,其中���,所述TLS會(huì)話信息進(jìn)一步 包括參數(shù)�,該參數(shù)指示在H-SLP和所述終端之間連接TLS會(huì)話的情況 下已經(jīng)使用的加密方法和壓縮方法��。
5. 根據(jù)權(quán)利要求l所述的方法���,其中�����,通過SUPL START消息傳 輸所述TLS會(huì)話信息�����,該SUPL START消息是H-SLP傳輸?shù)絍-SLP 的RLP標(biāo)準(zhǔn)SUPL漫游位置即時(shí)請求(SSRLIR)。
6. 根據(jù)權(quán)利要求3所述的方法���,其中����,通過將一值應(yīng)用于偽隨機(jī) 函數(shù)來產(chǎn)生所述主秘密����,其中通過將預(yù)主秘密與在終端和H-SLP之間 已知的任意值級聯(lián)而獲得該值。
7. 根據(jù)權(quán)利要求3所述的方法����,其中����,通過散列一值來產(chǎn)生所述 漫游主秘密���,以及通過將所述主秘密與漫游計(jì)數(shù)級聯(lián)而獲得該值����。
8. 根據(jù)權(quán)利要求l所述的方法���,其中��,通過簡化握手協(xié)議來執(zhí)行新的TLS連接的設(shè)置����。
9. 根據(jù)權(quán)利要求1所述的方法����,其中,新的TLS連接的設(shè)置包括 將Client Hello消息從所述終端傳輸?shù)剿鯲-SPC����,該Client Hello消息包括版本���、SET-Random以及會(huì)話ID;順序地將Server Hello消息、改變密碼規(guī)格消息和完成消息從所述 V-SPC傳輸?shù)剿鼋K端����,該Server Hello消息包括版本、V-SLP-Random 和會(huì)話ID;以及當(dāng)從所述V-SPC輸入所述完成消息時(shí)�����,利用所述終端順序地傳輸 改變密碼規(guī)格消息和完成消息��,從而終止所述簡化握手協(xié)議���。
10. —種使用TLS的基于SUPL的定位系統(tǒng)的漫游中的TLS會(huì)話 管理方法����,該方法包括在終端和H-SLP之間設(shè)置TLS會(huì)話�����,并將SUPL START消息從 該終端傳輸?shù)紿-SLP;將關(guān)于設(shè)置的TLS會(huì)話的信息從H-SLP傳輸?shù)剿鼋K端漫游到的V-SLP;將與所述V-SLP相關(guān)的信息從所述H-SLP傳輸?shù)剿鼋K端�����;以及 使用TLS會(huì)話信息���,以在TLS會(huì)話中在所述終端和V-SLP之間 設(shè)置新的TLS會(huì)話�����。
11. 根據(jù)權(quán)利要求IO所述的方法���,所述TLS會(huì)話信息包括 在所述H-SLP和所述終端之間連接TLS會(huì)話時(shí)已經(jīng)使用的TLS會(huì)話ID;以及主秘密或漫游主秘密,其是TLS會(huì)話的鑰信息�����。
12. 根據(jù)權(quán)利要求ll所述的方法���,其中�,所述TLS會(huì)話信息進(jìn)一 步包括參數(shù)�,該參數(shù)指示在H-SLP和所述終端之間連接TLS會(huì)話時(shí)已 經(jīng)使用的加密方法和壓縮方法。
13. 根據(jù)權(quán)利要求10所述的方法����,其中,通過將一值應(yīng)用于偽隨機(jī)函數(shù)來產(chǎn)生所述主秘密,通過將預(yù)主秘密與在所述終端和H-SLP之 間已知的任意值級聯(lián)而獲得該值��。
14. 根據(jù)權(quán)利要求10所述的方法���,其中����,通過散列一值來產(chǎn)生所 述漫游主秘密�����,其中通過將所述主秘密與漫游計(jì)數(shù)級聯(lián)而獲得該值����。
15. 根據(jù)權(quán)利要求IO所述的方法,其中��,通過完全握手協(xié)議來執(zhí) 行所述TLS會(huì)話����。
16. 根據(jù)權(quán)利要求IO所述的方法,其中�����,利用簡化握手協(xié)議來執(zhí) 行新的TLS連接����。
17. 根據(jù)權(quán)利要求IO所述的方法,進(jìn)一步包括 當(dāng)設(shè)置新的連接時(shí)�����,在所述V-SLP和SET之間執(zhí)行SUPL定位過程以計(jì)算所述SET的位置�。
18. 根據(jù)權(quán)利要求10所述的方法,其中�,設(shè)置新的TLS連接的步 驟包括將Client Hello消息從所述終端傳輸?shù)絍-SPC,該Client Hello消 息包括版本�����、SET-Random和會(huì)話ID;順序地將Server Hello消息���、改變密碼規(guī)格消息和完成消息從所述 V-SPC傳輸?shù)浇K端����,該Server Hello消息包括版本����、V-SLP-Random和 會(huì)話ID;以及當(dāng)從所述V-SPC輸入完成消息時(shí),由所述終端順序地傳輸改變密 碼規(guī)格消息和完成消息,從而終止簡化握手過程��。
19. 一種在使用TLS的基于SUPL的定位系統(tǒng)的漫游中的TLS會(huì) 話管理方法��,該方法包括在SUPL啟用終端(SET)和H-SLP之間設(shè)置TLS會(huì)話�����;將SUPL START消息從所述SET傳輸?shù)剿鯤-SLP;當(dāng)所述H-SLP接收到SUPL START消息時(shí)�����,通過RLP SSRLIR消 息��,將TLS會(huì)話信息傳輸?shù)絍-SLP的V-SUPL位置中心(SLC);通過內(nèi)部初始化����,將接收到的TLS會(huì)話信息從所述V-SLC傳輸?shù)?所述V-SUPL定位中心(SPC);通過RLP SSRLIA消息,將會(huì)話ID和V-SPC地址從V-SLC傳輸 到H-SLP���,從而執(zhí)行位置計(jì)算���;響應(yīng)于所述SUPL START消息,通過消息將所述會(huì)話ID和V-SPC 地址從所述H-SLP傳輸?shù)絊ET;使用所述TLS會(huì)話信息����,在所述SET和V-SPC之間設(shè)置新的TLS連接;通過在所述V-SPC和SET之間執(zhí)行SUPL定位過程����,而計(jì)算所述 SET的位置;以及當(dāng)完成SET的位置計(jì)算時(shí)�����,將SUPL END消息從所述V-SPC傳 輸?shù)剿鯯ET���。
20. 根據(jù)權(quán)利要求19所述的方法�,其中��,所述TLS會(huì)話信息包括 TLS會(huì)話ID����,在所述H-SLP和SET之間連接所述TLS會(huì)話時(shí),已經(jīng)使用過該TLS會(huì)話ID;以及主秘密或漫游主秘密�,其是所述TLS會(huì)話的鑰信息。
21. 根據(jù)權(quán)利要求20所述的方法�����,其中,所述TLS會(huì)話信息進(jìn)一 步包括參數(shù)���,該參數(shù)指示在所述H-SLP和所述SET之間連接TLS會(huì)話 時(shí)已經(jīng)使用的加密方法和壓縮方法�。
22. 根據(jù)權(quán)利要求20所述的方法�,其中,通過將一值應(yīng)用于偽隨 機(jī)函數(shù)來產(chǎn)生所述主秘密���,其中通過將預(yù)主秘密與在所述SET和H-SLP 之間已知的任意值級聯(lián)而獲得該值��。
23. 根據(jù)權(quán)利要求20所述的方法��,其中���,通過散列一值來產(chǎn)生所 述漫游主秘密,通過將所述主秘密與漫游計(jì)數(shù)級聯(lián)而獲得該值�。
24. 根據(jù)權(quán)利要求19所述的方法,其中�����,利用完全握手協(xié)議來執(zhí) 行所述TLS會(huì)話���。
25.
26. 根據(jù)權(quán)利要求19所述的方法�����,其中��,該設(shè)置新的TLS連接的 步驟包括將Client Hello消息從所述SET傳輸?shù)剿鯲-SPC��,該Client Hello 消息包括版本����、SET-Random和會(huì)話ID;順序地將Server Hello消息����、改變密碼規(guī)格消息和完成消息從所述 V-SPC傳輸?shù)剿鯯ET,該Server Hello消息包括版本、V-SLP-Random 和會(huì)話ID;當(dāng)從所述V-SPC輸入完成消息時(shí)����,由所述SET順序地傳輸改變密 碼規(guī)格消息和完成消息,從而終止簡化的握手過程����。
全文摘要
在基于SUPL的定位系統(tǒng)中,當(dāng)SET通過執(zhí)行從H-SLP到V-SLP的漫游�,而接收來自V-SLP的定位服務(wù)時(shí),僅使用簡化握手協(xié)議產(chǎn)生新的TLS連接�����,而不在漫游后產(chǎn)生新的TLS會(huì)話。也就是說��,當(dāng)在基于SUPL的定位方法中打開TLS會(huì)話用于確保安全性時(shí)�����,具體地說在H-SLP和SET之間打開TLS會(huì)話后又在V-SLP(V-SPC)和SET之間打開新的TLS會(huì)話時(shí)��,將之前TLS會(huì)話中已經(jīng)使用的鑰信息提供給V-SLP��,從而設(shè)置新的TLS連接����,由此減少了整個(gè)系統(tǒng)的負(fù)載。
文檔編號H04B7/26GK101120522SQ200680002069
公開日2008年2月6日 申請日期2006年1月9日 優(yōu)先權(quán)日2005年1月17日
發(fā)明者沈東熙, 秋淵成 申請人:Lg電子株式會(huì)社