使用权限管理实施位置保密的系统和方法

专利名称：使用权限管理实施位置保密的系统和方法
技术领域：
本发明涉及计算机网络上的信息保密，尤其涉及使用权限管理在计算机网络上实施位置保密。
背景技术：
在包括美国的许多国家中，政府已经开始命令移动服务供应商必须能够以一定的准确度确定移动装置的位置。例如，某些命令要求移动服务供应商必须能够在移动装置100米半径内确定移动装置的位置。尽管这些命令源于因紧急服务而查找移动装置的需要，能够确定移动装置的能力的副作用是位置信息可不仅仅由紧急服务使用。实际上，整个基于位置的服务业围绕向所谓位置消费者提供移动装置的位置信息的能力而出现。位置消费者可包括移动装置用户、家人、朋友、业主、团队管理者等。
位置信息十分有价值，从而出现了基于位置的服务业。然而实质上位置信息十分敏感。包括但不限于移动电话、个人数字助理(PDA)、书写板和笔记本计算机、以及许多形式的混合装置的移动装置，通常被视为私人物品，即是移动装置用户私人的。作为私人物品，移动装置通常为移动装置用户个人所持有，这样移动装置的位置与移动装置用户的个人位置紧密对应。因而，位置信息的散发显然是个人私人事务。这样，就必须注意保护人们的个人位置信息。通常，移动装置用户通过在其移动装置的位置信息上建立发布控制来保护其隐私。
显然，作为个人信息的位置信息可用于恶意或未经授权的目的。不幸的是，即使对位置信息设置了适当的发布控制，未经授权使用位置信息的人仍然常常能够绕过这些控制而获得位置信息。例如，尽管基于位置的服务供应商可强加严格的发布控制，通过它位置消费者才能访问移动装置的位置信息，但是有超级用户权限的不可靠管理员可在位置信息通过基于位置的服务供应商的工具时使用这些权限来非法地访问位置信息，轻松破坏了适当设置的任何发布控制。或者，偷听基于位置的服务供应商与合法的位置消费者之间网络通信的人可获取对位置信息的未经授权访问，再次破坏了移动装置用户的隐私。
尽管基于位置的服务供应商的服务之一是要依赖于所请求服务的类型将位置信息从移动服务供应商路由到位置消费者，但基于位置的服务供应商并非总是需要与移动装置相关的实际位置信息。实际上如上所述，当位置信息从移动服务供应商传递到位置消费者时，基于位置的服务供应商常常呈现出安全漏洞。因此，所需要的是用于以安全方式将位置信息从移动服务供应商安全地传送到位置消费者的系统和方法。本发明解决了在本领域中发现的这些和其它问题。

发明内容
根据本发明各实施例，呈现了用于将移动装置的位置信息提供给位置消费者的位置信息服务器。位置信息服务器包括处理器和存储器。存储器存储指令，这些指令在由位置信息服务器执行时以及响应于来自位置消费者的位置请求，使位置信息服务器验证该位置请求是否获得移动装置用户的授权。如果位置请求获得移动装置用户授权，则位置信息服务器获得移动装置的位置信息、产生包括位置信息的位置响应、并将该位置响应返回给位置消费者。
根据本发明其它方面，呈现了用于将有关移动装置的位置信息从移动服务提供者安全地传送给位置消费者的计算机网络化系统。该系统包括基于位置的服务提供者。该基于位置的服务提供者与至少一个移动服务提供者通信耦合，并还与位置消费者通信耦合。该系统还包括通过移动服务基础结构向移动装置提供通信服务的移动服务提供者，并包括响应来自位置消费者的位置请求的位置信息服务器。该位置信息服务器被这样配置从而在接收位置请求之后，该位置信息服务器验证位置请求是否获得移动装置用户的授权。如果位置请求获得移动装置用户授权，则位置信息服务器获取有关移动装置的位置信息、产生包括位置信息的位置响应、并将该位置响应返回到位置消费者。
根据本发明其它方面，呈现了用于将移动装置的位置信息安全地传送给位置消费者的方法。该方法由位置信息服务器执行。在接收来自位置消费者的位置请求之后，验证该位置请求以确定位置请求是否获得移动装置用户的授权。如果该位置请求获得移动装置用户授权，则位置信息服务器获取移动装置的位置信息、产生包括位置信息的位置响应、并将该位置响应返回给位置消费者。


参阅附图及以下详细说明书，本发明的前述各方面和许多随后优点将变得更易理解，其中图1是示出适于实现本发明的示例性操作环境的示图，图2是用于示出本发明的初始化和操作方面的示图，图3是示出适于实现本发明各方面的移动服务提供者服务器的示例性组件的框图，图4是示出根据本发明在示例性操作环境中用于将位置信息从移动服务提供者安全地传递到位置消费者的各组件之间的示例性交换的框图，图5是示出用于响应来自位置消费者的位置请求由移动服务提供者执行的示例性例程的流程图，以及图6是示出用于响应来自位置消费者的许可证请求由计算装置执行的示例性例程的流程图。
具体实施例方式
图1是示出适于将有关移动装置102的位置信息安全地传递给位置消费者112的示例性操作环境100的示图。包括在该示例性环境100中的是移动服务提供者104。如图1所示，移动服务提供者104包括移动服务基础结构108和位置信息服务器106。移动服务基础结构108与由移动服务提供者104使用的基础结构相对应，以向诸如手机发射塔、交换器等的移动装置102提供移动服务，并且是本领域所众所周知的。此外，在一实施例中，移动服务基础结构108可包括确定移动装置102的位置所需的硬件和/或软件。位置信息服务器106用作移动服务提供者的外部接口，用来响应于位置请求提供位置信息。该位置信息服务器106在以下参照图3详细描述。
在图1示出的还有基于位置的服务提供者110。尽管在图1中被示为仅与一个移动服务提供者104相连，通常基于位置的服务提供者110可与各个移动服务提供者(未示出)相连。因而，基于位置的服务提供者110接收来自诸如位置消费者112的位置消费者的位置请求、确定位置请求所指向的哪个移动服务提供者(通常基于位置请求的目标/移动装置或者基于移动装置用户的身份)、将位置请求转发给适当的移动服务提供者104、接收来自移动服务提供者104的位置信息响应、并将位置信息响应返回给请求位置的消费者102。
应当注意，尽管图1以及对图1的现有讨论将移动服务供应商104示为蜂窝式电话服务，这应视为仅仅是说明性的且不应解释为对本发明作限制。在可选实施例中，移动服务提供者104可被另一类型的位置提供者所替换或可完全被忽略。例如，移动服务提供者104可被位置服务器所替换，该服务器经诸如IEEE 802.11或蓝牙无线网络的IP网络接收来自移动装置的周期性更新。或者，移动服务提供者的功能可在对等网络中的每个移动装置中来实现，而位置信息则由作为位置提供者的每个移动装置来传播。然而，仅作为示例，尽管本发明可使用任何特定形式的位置提供者，以下的描述将针对图1所示的移动服务提供者104进行。
尽管基于位置的服务提供者110在图1中被视为独立于移动服务供应商104的实体，但在一可选实施例中移动服务提供者104通常通过位置信息服务器106将基于位置的服务直接提供给诸如位置消费者112的位置消费者。换言之，移动服务提供者104可将其自己的基于位置的服务提供给外部客户，从而独立的基于位置的服务提供者110并非是本发明的必要元件。
根据本发明各方面，为了将位置信息从移动服务提供者104安全地传递给位置消费者112，由移动服务提供者实施某些控制。特别地，移动服务提供者104确保只有经授权的位置消费者才能获取有关移动装置102的位置信息。除了确保只有经授权的位置消费者可获取对位置信息的访问之外，移动服务提供者104还确保每个位置请求符合移动装置用户所指定的条件。此外，在证实请求位置的消费者112是获得授权的位置消费者之后，并且来自授权位置消费者的位置请求符合由移动服务用户指定的任何条件，则位置信息服务器准备位置信息响应且加密响应中的位置信息(或整个位置信息响应)，并通常通过基于位置的服务提供者将加密的信息返回给请求位置的消费者。通过使用足够强大的加密技术来加密位置信息响应中实际位置信息，只有那些具有解密密钥的请求位置的消费者112将能真正地获取对位置信息的访问。
根据本发明，为便于移动服务提供者104在接收位置请求时能实施上述控制，已出现某些现有初始化和交换。图2是用于示出在示例性操作环境100的组件之间的各种初始化和交换的示图200。示图200包括移动服务提供者104和位置消费者112。然而，为了简化初始化和交换的讨论，基于位置的服务供应商110并未在图2中示出。然而，尽管本发明保护在基于位置的服务提供者110上的位置信息，图2中缺少基于位置的服务提供者可用来说明，由基于位置的服务提供者所提供的服务可结合到移动服务提供者104，或可结合到位置消费者112。
为便于移动服务提供者104能证实只有授权的位置消费者能获取对位置信息的访问，移动服务提供者必须能把获得授权的位置消费者和未获授权的位置消费者识别开。根据本发明，移动装置用户不向移动服务提供者104提供必须总是经常更新的授权消费者列表，而是向诸如位置消费者112的位置消费者签发一许可证。通过有效的许可证，移动服务提供者104能把授权位置消费者和未授权位置消费者识别开。根据本发明各方面，该许可证仅能由移动装置用户签发，可唯一标识位置消费者，且不能使之更改而不破坏许可证有效性。此外，如以下将要详细描述的，许可证包括移动装置用户置于位置信息的访问或使用之上的任何条件。
本发明使用各种加密技术来防止许可证的伪造。特别地，当位置消费者112从移动装置用户处请求许可证时，移动装置用户通常通过计算装置来加密许可证中的或与之相关的全部或部分信息。移动服务提供者104使用解密密钥来解密许可证中的加密信息(伴随着来自位置消费者112的位置请求)，以确定位置消费者是否获得授权。如果信息适当解密并对应于请求位置的消费者，则移动服务提供者104确定到此为止该许可证是有效的，且位置消费者112到此为止获得访问该位置信息的授权。
尽管可使用许多加密技术，本发明最好使用包括公用密钥/私钥对(有时成为非对称密钥)的数字签名技术来加密并解密许可证相关信息。因而，参照图2，移动装置用户已签发了用于对电子信息数字签名的加密密钥对204，包括公钥206和私钥208。因而，移动装置用户使用移动装置用户的私钥208来对签发给位置消费者112的许可证签名。相应地，移动服务提供者104使用移动装置用户的公钥206来校验从位置消费者112获取的经数字签名的许可证是有效的。简言之，移动装置用户通过对全部或部分许可证执行一安全散列来对该许可证数字签名，并用移动装置用户的私钥208来加密散列的结果。为了校验信息(许可证)是有效的，移动服务提供者104还对许可证执行相同的散列、使用移动装置用户的公钥206来解密已加密的散列结果、并比较两个散列结果。如果它们匹配，则许可证是有效的。或者，如果它们不匹配，则许可证或已加密散列结果已受到篡改。
应注意，尽管图2示出了移动装置用户的计算机202，实际上移动装置用户的计算机可以是移动装置102。例如，移动装置102可以是具有响应于对许可证的请求而产生许可证的能力的混合通信装置/计算装置。
作为必须进行的初始化的一部分，移动装置用户将移动装置用户的公钥206传送给移动服务提供者。本领域技术人员将理解应以信任方式进行传送，即移动服务提供者104可确信它是从移动装置用户处获取移动装置用户的公钥206的方式。一旦移动服务提供者104具有移动装置用户的公钥206，移动服务提供者就能验证使用移动装置用户的私钥208所创建的许可证了。
参照图2及其描述，包括下标的标签表示该项已经加密或数字签名，并标识加密/签名的发起者以及通过它进行加密/数字签名的密钥。例如，许可证218的标签为“LICENSEMUPVT”。意思是许可证218已由移动装置用户(MU)使用移动装置用户的私钥(PVT)数字签名了。类似地，位置响应222的标签为“LOCATIONLC PUB”，意思是该位置响应使用位置消费者(LC)的公钥(PUB)进行了加密。
作为本发明初始化的一部分，还向位置消费者签发了包括公钥212和私钥214的加密密钥对210。该加密密钥对210用来确保有关移动装置102的位置信息在从移动服务提供者104传送给位置消费者112时是安全的。
有时，位置消费者112本身呈现保护移动装置102的位置信息的安全风险。例如，位置消费者112可在接收并解密移动装置102的位置信息之后对其进行发布。此外，有了典型的公钥/私钥对(诸如密钥对210)，只要位置消费者112使私钥214保持私密，受保护信息就安全。一旦另一个人拥有了位置消费者的私钥214，就可访问使用位置消费者的公钥212保护的信息。
根据本发明一实施例，为了进一步确保对位置消费者112可用的位置信息继续可用，位置消费者必须安装数字权限管理闭锁箱(lock box)。也称为数字权限管理黑盒子的数字权限管理闭锁箱在申请号为60/126,614于1999年3月27日提交的题为“Enforcement Architecture and Method for Digital Rights Management”(“用于数字权限管理的实施体系结构和方法”)的美国临时专利申请中一般描述，该申请在此引入作为参考。
一般而言，数字权限管理闭锁箱(此后称为闭锁箱)使用受信任的数字权限管理激活服务通过激活过程安装在位置消费者的计算机112上。该激活过程验证位置消费者112的身份，且一旦证实就将闭锁箱安装到计算机上。该闭锁箱对位置消费者(用户)和位置消费者的计算机112都是唯一的。换言之，激活过程向位置消费者112提供包括公钥212和私钥214的加密密钥对210。为了确保私钥214保持私密，私钥被安全地置入闭锁箱中。这样，用户(位置消费者)并不知道或不能访问私钥214。因此位置消费者112必须使用闭锁箱来访问用位置消费者的公钥212加密的信息。该激活过程还将身份证书提供给位置消费者。该身份证书包括唯一标识位置消费者112、公钥212以及可能其它信息的标识符或标记。该身份证书通过激活服务的私钥来数字签名，并可通过使用激活服务的公钥来证实。如本领域技术人员所理解的，激活服务的公钥可通过受信任各方来广泛发布或可供使用。
如在图2中所示，位置消费者112向移动装置用户尤其是移动装置用户的计算机202发出许可证请求216。这通常使用诸如TCP/IP的网络协议经网络实现。在接收许可证请求216之后，移动装置用户可自由签发许可证或拒绝许可证请求。许可证请求216最好肯定地标识位置消费者，从而移动装置用户可确信许可证被签发给受信任的位置消费者。在一实施例中，当位置消费者112安装了闭锁箱时，许可证请求216伴随或包括位置消费者112的身份证书，从而向移动装置用户肯定地标识位置消费者。移动装置用户可使用激活服务的公钥来证实位置消费者112的身份证书。
许可证请求216还包含位置消费者的公钥212。在一实施例中，当位置消费者112安装了闭锁箱时，公钥212包含在伴随许可证请求216的身份证书中。
如果移动装置用户决定向位置消费者112签发许可证，则移动装置用户还可在许可证中指定对使用位置信息的任何条件。使用的条件包括，但不限于，可使用许可证访问位置信息的次数、一天内哪些时间可使用许可证、一周内哪些天可使用许可证、许可证有效的时间段(天、小时等)、仅当位置对应于特定区域或地区时才可访问的位置信息、位置信息的精确性/特征(即在将其返回给位置消费者之前精确性削弱)、可使用位置信息的应用程序或应用程序类型、以及信息是否可分发给位置消费者之外的人。除了访问和使用条件以外，许可证还将包括，但不限于，唯一标识位置消费者的标识符(诸如唯一标识位置消费者的标识符/标记)、上述身份证书、或公钥212、许可证将签发给谁、以及标识许可证有效期间的时间段的有效时间段。该许可证还将包括唯一标识移动装置用户的标识符/标记。该标识符可以是移动装置用户的帐号、电话号码、或某些其它唯一标识符。
在确定许可证的条件之后，移动装置用户尤其是移动装置用户的计算机202使用移动装置用户的私钥208来对该信息数字签名。其结果是完整许可证218(此后为许可证)。应注意，为了简单描述，尽管本讨论涉及来自移动装置用户的单个许可证，实际上移动装置用户通过计算机202可响应于许可证请求216签发一个以上许可证。
许可证218产生从而它根据包括在许可证中的条件唯一地授权位置消费者112访问移动装置102的位置信息。此外，许可证218被数字签名从而任何更改将使许可证呈现为无效。因而，许可证不能秘密更改来允许另一位置消费者访问位置信息。
如本领域技术人员将理解的，使用公钥/密钥技术，用密钥加密的信息仅可使用相应的公钥来解密。类似地，用公钥加密的信息仅可使用相应的私钥来解密。因而，通过传送移动装置用户的公钥206，移动装置用户使移动服务提供者104能证实许可证218是签发给位置消费者112的真实许可证。
应注意，尽管本发明最好使用数字签名，但对于保护许可证218它并非是必需元素。所必需的是移动服务提供者104能以某种方式标识诸如许可证218的许可证确实是签发给位置消费者112的。
有了有效签发的许可证218，位置消费者112可直接或间接地通过基于位置的服务提供者110(图1)将位置请求220签发给移动服务提供者104。位置请求220通常包括许可证218，并可包括其它信息。在一实施例中，其中位置消费者112安装了闭锁箱且许可证218包含标识位置消费者的标识符/标记但不包含消费者的身份证书，相反位置请求伴随有位置消费者的身份证书。
如上所述，尽管本讨论仅描述了一个许可证218的交换，移动装置用户可向位置消费者112签发多个许可证。类似地，尽管本讨论描述位置消费者112将单个许可证签发给移动服务提供者104，在一可选实施例中，位置消费者可提交在位置请求220中从移动装置用户处获取的多个许可证。当接收来自位置消费者112的多个许可证时，选择最适合的许可证则被留给移动服务提供者104。
一般而言，在接收位置请求220之后，移动服务提供者104首先确定位置请求220是否有效。结果，移动服务提供者104使用移动装置用户的公钥206来校验许可证218有效，并使用位置消费者的公钥212来证实许可证是签发给位置消费者112的(并标识许可证(如果包括在内))。如以下所要讨论的，还可进行其它处理以确定位置消费者可获取有关移动装置102的位置信息。
在证实位置请求220是有效请求之后，移动服务提供者104获取移动装置102(图1)的位置信息、执行在许可证218的条件中指定的任何处理、使用位置消费者的公钥212加密位置信息、并直接或间接地通过基于位置的服务提供者110(图1)将位置信息响应222返回给位置消费者112。
在一实施例中(未示出)，当位置消费者112安装了闭锁箱时，移动服务提供者104间接地用位置消费者的公钥212来加密位置响应。这样，移动服务提供者104用对称加密密钥(即使用同一密钥来加密和解密位置信息)来加密位置信息。然后该对称密钥用位置消费者的公钥214来加密。这样，位置信息仅用位置消费者的公钥212来“间接”加密。如果位置信息使用位置消费者的公钥212而不是该对称密钥来加密，则位置信息用公钥212直接加密。如果使用对称密钥则加密位置信息的净结果是移动服务提供者104生成使位置消费者的闭锁箱能解密经加密位置响应的位置消费许可证。
通过直接或间接地使用位置消费者的公钥212来加密位置信息，只有具有位置消费者的相应私钥214的人才能解密位置信息。如果该信息被置入闭锁箱，则只有位置消费者可访问该位置信息。在一实施例中，且类似于签发给位置消费者的许可证，位置响应222被加密从而诸如更改置于位置信息之上的用户条件的任何更改使包括位置信息的位置响应不可用。因而，即使通过未获授权的人可访问位置响应的网络和/或基础结构，位置信息仍然能安全传递给位置消费者112。
在一实施例中，位置消费许可证可包含对位置信息使用的其它限制。这些限制包括，但不限于，可使用该许可证解密位置信息的次数、可使用许可证的时间段、以及可使用(或不可使用)通过许可证可访问的信息的应用程序。
如上所述，移动服务提供者104包括将移动服务提供给移动装置102的移动服务提供者基础结构108，以及用于处理如上所述的位置请求的位置信息服务器106。图3是示出适用于实现本发明各方面的位置信息服务器106的示例性组件的框图。
尽管未在图3中示出，根据本发明一实施例，位置信息服务器106是包括处理器和存储器的计算机，其中存储器存储用于实现参照位置信息服务器所述的功能的可执行指令。本领域技术人员将容易理解，位置信息服务器106可在许多类型的计算机上实现，包括但不限于个人计算机及小型和大型计算机。除了在单个机器上实现位置信息服务器106之外，根据本发明其它方面，位置信息服务器的组件可在合作计算机的分布式网络上实现，其中每个合作计算机包括一个或多个处理器。
如上所述，移动装置用户向移动服务提供者104提交公钥，从而移动服务提供者能够验证许可证218被包括为位置请求220的一部分。因此，位置信息服务器106包括用于存储移动装置用户的公钥的公钥存储器302。
位置信息服务器106还包括位置请求验证模块306。该位置请求验证模块306接收来自位置消费者的诸如位置请求220(图2)的位置请求，它直接来自位置消费者或间接地通过基于位置的服务提供者110。位置请求验证模块306然后验证每个位置请求220应是由移动服务提供者104给出的一个请求。
验证来自位置消费者12的位置请求220是否获得授权包括多个方面。开始时，位置请求验证模块306确定位置请求220是否包括签发给位置消费者112的有效许可证218。如上所述，为此位置请求验证模块306使用存储在公钥存储器302中的移动装置用户的公钥206来验证许可证218。在位置消费者的身份证书不包括在许可证218中而在位置请求220中单独发送的那些实施例中，验证模块校验位置消费者的身份证书是真实并有效的，并还校验包含在身份证书中的身份标记与包含在许可证218中的位置消费者的身份标记相同。
除了确定许可证218的有效性，以及假设许可证是有效签发给位置消费者的之外，位置请求验证模块306还验证位置请求符合在许可证中指定的条件。例如，如果一天中的时间范围被指定为一条件，则位置请求验证模块306确定位置请求是否落于允许的时间段内。
由于某些条件需要保留许可证相关的信息，位置信息服务器106还包括许可证相关数据存储器304。许可证相关数据存储器304存储与许可证相关的但因某些原因未包括在内的许可证相关数据。例如，在许可证218中建立的条件可规定位置消费者112仅可访问有关移动装置的位置信息十次，或24小时内十次。为了跟踪已使用许可证的次数，必需具有一计数器。该许可证相关计数器存储在许可证相关数据存储器304中。
验证位置请求220的另一方面是确定支持位置请求的许可证218是否已被延缓和/或废除。例如，在移动装置用户将许可证218签发给位置消费者112之后，移动装置用户可出于种种原因再次考虑有关允许位置消费者访问位置信息并想要废除或延缓许可证。显然，收回发给位置消费者112的许可证218是完全不可能的(如果不是不实际的)。因而，根据本发明各方面，移动装置用户可向移动服务提供者104提交废除或延缓通知。然后该信息被保存在许可证相关数据存储器304中。随后，作为验证是否应给出位置请求220的一部分，位置请求验证模块306还确定在位置请求获得授权之后是否要延缓或废除许可证218。如果任一情形为真，则不发出位置请求。
仅当位置请求验证模块306证实位置请求是真实的并发给位置消费者112，该位置请求符合许可证的条件，并且位置请求不延缓或废除之后，则获得移动装置102的位置信息。移动装置102的位置由位置信息服务106使用移动装置定位器模块308来获取。在一实施例中，移动装置定位器模块308用移动服务提供者基础结构108来操作以获取移动装置102的位置。获取位置信息意思是在移动服务提供者基础结构108确定移动装置的位置之后获取位置信息。或者，获取位置信息意思是向移动装置查询它的位置，尤其是那些知道位置(即能够确定它们自己的位置)的移动装置。
在获得位置信息之后，位置信息服务器106通过位置响应模块310生成位置响应222。位置响应模块310负责根据在许可证218中指定的任何条件来处理移动装置102的位置信息、使用位置消费者的公钥来直接或间接加密位置信息、并将作为位置响应222的信息返回给位置消费者112。如上所述，处理位置信息可包括，但不限于，削弱位置信息的特征、标识移动装置所处的地理区域或地区、指定哪个或哪类应用程序可使用位置信息等。此外，通过使用位置消费者的公钥212来加密位置信息，只有拥有相应私钥214的人才能解密位置信息。
为了更全面地说明上述组件如何交互操作，将描述示例性交换。图4是示出根据本发明的示例性操作环境100的上述组件之间的示例性交换的框图，该操作环境用于将位置信息从移动服务提供者104安全地传送给位置消费者112。如图4所示的示例性交换在4个不同实体之间进行移动装置计算机202、移动服务提供者104、基于位置的服务提供者110以及位置消费者112。事件被表示为4个组件之一下面的框。例如，事件404直接位于位置消费者112的标题下面。因而，事件404与位置消费者112采取的动作相对应。类似地，事件406直接位于移动装置用户202的标题下面，因而与移动装置用户计算机所采取的事件或动作相对应。
从事件404开始，位置消费者112向移动装置用户的计算机202发出对许可证的请求。如前所述，移动装置用户的计算机202可对应于移动装置102，或可以是由移动装置用户操作的用于处理许可证请求的单独计算机。在事件406，在接收许可证请求之后，移动装置用户的计算机202生成用于位置消费者112的许可证218，并将该许可证返回给位置消费者。
在接收许可证218之后的某些时候，在事件408，位置消费者112发出对有关移动装置102的位置信息的位置请求220。如图4所示，该位置请求220被发送给基于位置的服务提供者110。如前所述，位置请求220包括从移动装置用户处获得的许可证218、以及位置消费者的公钥212。在事件410，基于位置的服务提供者110标识与作为位置请求220的主体的移动装置102相对应的移动服务提供者104，并将该位置请求转发给移动服务提供者104。
在事件412，移动服务提供者104验证来自位置消费者112的位置请求220。假设位置请求220是有效请求(即许可证218是真实的)、未被延缓或废除、且该请求符合许可证中的条件，则在事件414移动服务提供者获取移动装置102的位置。
在事件416，在获得移动装置102的位置之后，移动服务提供者104生成位置响应222。如前所述，生成位置响应222可包括根据在许可证218中指定的条件来处理位置信息，包括削弱位置信息的特征、标识可如何使用位置信息的条件和/或应用程序等，然后使用位置消费者的公钥212来直接/间接地加密位置信息。移动服务提供者104然后将位置响应222返回给基于位置的服务提供者110。在事件418，基于位置的服务提供者110将位置响应222转发给位置消费者112。
图5是示出由移动服务提供者104执行的用于响应来自位置消费者112的位置请求220的示例性例程500的流程图。从框502开始，移动服务提供者104接收来自位置消费者112的位置请求220。如上所述，位置请求220可直接提交给移动服务提供者104，或者通过基于位置的服务提供者110间接提交。
在判定框504，确定位置消费者的许可证是否真实。换言之，确定移动装置用户是否生成了是位置请求220的基础的许可证218。如果许可证不真实，则在框506向位置消费者112返回出错，且例程500结束。
如果许可证是真实的，即由移动装置用户生成并对应于位置消费者112，则在判定框508，再确定根据在许可证218中陈述的条件是否可允许位置请求220。如前所述，许可证设置任何数量的条件，包括位置消费者112可访问位置信息的次数、通过它位置消费者可获取有关位置装置102的信息的特征、一天内可访问该信息的时间等。确定是否可允许的位置请求还包括确定许可证218是否已废除或在延缓中。如果根据许可证的条件不允许位置请求，则在框506向位置消费者112返回一出错，且例程500结束。
如果根据在许可证218中指定的条件允许位置请求，则在框510，移动服务提供者104获得移动装置102的位置。如所述，获取移动装置102的位置可能实际需要使用移动服务提供者基础结构108来确定移动装置的位置，或者需要从移动装置获取位置信息。
在获得移动装置102的位置信息之后，在框512，移动服务提供者104产生位置响应222。如前所述，位置信息根据在许可证218中指定的条件来处理，并使用位置消费者的公钥212来加密信息。在产生位置响应222之后，在框514，移动服务提供者104通过基于位置的服务提供者或直接将位置响应返回给位置消费者212。然后，示例性例程500结束。
图6是在移动用户的计算装置202上执行的用于响应来自位置消费者112的许可证请求的示例性例程600的流程图。从框602开始，移动装置用户的计算装置接收来自位置消费者112的许可证请求。在判定框604，移动装置用户通常通过移动装置用户的计算装置202来确定许可证请求是否真实。换言之，移动装置用户验证位置消费者112是否是他所代表的人，诸如通过受信任源确定位置消费者是否是其所声称的人。如果移动装置用户确定许可证请求不真实，则在框606向位置消费者112返回一出错，且例程600结束。
或者，如果许可证请求真实，则在框608，移动装置用户对每个移动装置用户的优选产生许可证218。如上所述，正是此时移动装置用户包括了位置消费者112基于它们可访问移动装置102的位置信息的条件。在根据移动装置用户的优选而建立了许可证和条件之后，在框610移动装置用户通过使用移动装置用户的私钥208来对许可证218数字签名。在框612，许可证218被返回给位置消费者112，且例程600结束。
尽管已示出并描述了包括优选实施例的本发明的各个实施例，将理解可作各种变化而不背离本发明的精神和范围。
权利要求
1.一种用于将移动装置的位置信息安全地传送给位置消费者的位置信息服务器，其特征在于，所述位置信息服务器包括一处理器，以及存储可执行指令的一存储器，所述指令在由所述位置信息服务器执行时以及响应于接收位置请求，致使所述位置信息服务器验证所述位置请求已被所述移动装置用户授权，如果所述位置请求已被所述移动装置用户授权，则获取所述移动装置的位置信息，如果所述位置请求已被所述移动装置用户授权，则产生包括所述位置信息的位置响应，以及将所述位置响应返回给所述位置消费者。
2.如权利要求1所述的位置信息服务器，其特征在于，来自所述位置消费者的位置请求包括一许可证，且其中验证所述位置请求已被所述移动装置用户授权包括验证所述许可证已由所述移动装置用户签发。
3.如权利要求2所述的位置信息服务器，其特征在于，还包括一密钥存储器，且其中验证所述许可证已由所述移动装置用户签发包括使用与存储在密钥存储器中的与所述移动装置用户相关联的解密密钥来解密所述许可证中的经加密信息，以及验证所述作为结果的解密信息指示了所述许可证由所述移动装置用户签发。
4.如权利要求3所述的位置信息服务器，其特征在于，存储在所述密钥存储器中的与所述移动装置用户相关联的所述解密密钥是所述移动装置用户的公钥，且其中所述许可证中的经加密的信息使用了移动装置用户的相应私钥来加密，从而用所述移动装置用户的私钥加密的数据只能由所述移动装置用户的相应公钥来有效解密。
5.如权利要求4所述的位置信息服务器，其特征在于，验证所述最后得到的解密信息指示了所述许可证由所述移动装置用户签发包括确定所述经加密信息是否由所述移动装置用户的公钥来适当解密。
6.如权利要求5所述的位置信息服务器，其特征在于，所述位置请求还包括唯一地标识签发所述位置请求的所述位置消费者的位置消费者标识符，其中所述最后得到的解密信息包括唯一标识向其签发所述许可证的位置消费者的位置消费者标识符，以及其中验证所述位置请求已被所述移动装置用户授权还包括确定所述位置请求中的位置消费者标识符与所述解密信息中的位置消费者标识符相对应。
7.如权利要求2所述的位置信息服务器，其特征在于，还包括一许可证相关信息的存储器，所述存储器存储用于验证所述位置请求已被所述移动装置用户授权的许可证相关信息。
8.如权利要求7所述的位置信息服务器，其特征在于，所述许可证相关信息存储器存储标识已被所述移动装置用户废除的许可证的废除信息，且其中验证所述位置请求已被所述移动装置用户授权包括根据所述许可证相关信息存储器中的废除信息来确定是否已废除所述许可证。
9.如权利要求7所述的位置信息服务器，其特征在于，所述许可证相关信息存储器存储标识正被所述移动装置用户延缓的许可证的延缓信息，且其中验证所述位置请求已被所述移动装置用户授权包括根据所述许可证相关信息存储器中的延缓信息来确定当前所述许可证是否正在延缓中。
10.如权利要求7所述的位置信息服务器，其特征在于，所述许可证包括访问条件，基于它们标识所述位置消费者已被授权访问所述移动装置的位置信息的条件，且其中验证所述位置请求已被所述移动装置用户授权包括估算所述访问条件以验证所述位置请求已被所述移动装置用户授权。
11.如权利要求10所述的位置信息服务器，其特征在于，所述许可证相关信息存储器存储用于实施在所述许可证中标识的访问条件的访问条件信息。
12.如权利要求2所述的位置信息服务器，其特征在于，产生所述位置响应包括使用与所述位置消费者相关联的加密密钥来加密包括所述位置信息的所述位置响应的至少一部分。
13.如权利要求12所述的位置信息服务器，其特征在于，所述位置请求还包括所述位置消费者的加密密钥。
14.如权利要求13所述的位置信息服务器，其特征在于，所述位置消费者的加密密钥是所述位置消费者的公钥，从而所述位置响应的经加密部分只能由所述位置消费者的相应私钥来有效解密。
15.如权利要求12所述的位置信息服务器，其特征在于，所述许可证标识用于控制所述位置消费者可如何使用所述位置信息的使用条件，且其中产生所述位置响应还包括将所述已标识的使用条件包括在所述位置响应中。
16.如权利要求15所述的位置信息服务器，其特征在于，所述许可证还标识用于指定返回给所述位置消费者的所述位置信息的精度的精度条件，且其中产生所述位置响应还包括根据所述精度条件来处理所述位置信息。
17.如权利要求12所述的位置信息服务器，其特征在于，所述位置响应以这样的方式产生以便如果所包括的位置信息被更改则将其呈现为不可用。
18.如权利要求2所述的位置信息服务器，其特征在于，所述许可证由所述移动装置用户签发从而对所述许可证的任何更改使所述许可证无效。
19.一种用于将有关移动装置的位置信息从移动服务提供者安全地传送给位置消费者的计算机网络化系统，其特征在于，所述系统包括一基于位置的服务提供者，与至少一个移动服务提供者通信耦合并还与一位置消费者通信耦合，以及一移动服务提供者，它通过移动服务基础结构向所述移动装置提供通信服务，并包括一位置信息服务器，所述位置信息服务器被配置从而响应于接收来自位置消费者的位置请求，所述位置信息服务器验证所述位置请求已被所述移动装置用户授权，如果所述位置请求已被所述移动装置用户授权，则获取所述移动装置的位置信息，如果所述位置请求已被所述移动装置用户授权，则产生包括所述位置信息的位置响应，以及将所述位置响应返回给所述位置消费者。
20.如权利要求19所述的计算机网络化系统，其特征在于，所述位置信息服务器接收来自所述基于位置的服务提供者的所述位置请求，且其中所述位置信息服务器通过所述基于位置的服务提供者将所述位置响应返回给所述位置消费者。
21.如权利要求20所述的计算机网络化系统，其特征在于，所述基于位置的服务提供者在接收来自位置消费者的位置请求之后，被配置成标识向作为所述位置请求的目标的移动装置提供服务的所述移动服务提供者，并将所述位置请求转发给所述已标识的移动服务提供者的位置信息服务器。
22.如权利要求21所述的计算机网络化系统，其特征在于，来自所述位置消费者的位置请求包括一许可证，且其中验证所述位置请求已被所述移动装置用户授权包括验证所述许可证已由所述移动装置用户签发。
23.如权利要求22所述的计算机网络化系统，其特征在于，所述位置信息服务器包括一密钥存储器，且其中验证所述许可证已由所述移动装置用户签发包括使用与存储在密钥存储器中的与所述移动装置用户相关联的解密密钥来解密所述许可证中的经加密信息，以及验证所述最后得到的解密信息指示了所述许可证已由所述移动装置用户签发。
24.如权利要求23所述的计算机网络化系统，其特征在于，存储在所述密钥存储器中的与所述移动装置用户相关联的所述解密密钥是所述移动装置用户的公钥，且其中所述许可证中的经加密信息使用移动装置用户的相应私钥来加密，从而用所述移动装置用户的私钥加密的数据只能由所述移动装置用户的相应公钥来有效解密。
25.如权利要求24所述的计算机网络化系统，其特征在于，验证所述最后得到的解密信息指示了所述许可证已由所述移动装置用户签发包括确定所述经加密信息是否由所述移动装置用户的公钥来适当解密。
26.如权利要求25所述的计算机网络化系统，其特征在于，所述位置请求还包括唯一地标识签发所述位置请求的所述位置消费者的位置消费者标识符，其中所述最后得到的解密信息包括唯一标识向其签发所述许可证的位置消费者的位置消费者标识符，以及其中验证所述位置请求已被所述移动装置用户授权还包括确定所述位置请求中的位置消费者标识符与所述解密信息中的位置消费者标识符相对应。
27.如权利要求22所述的计算机网络化系统，其特征在于，所述位置信息服务器还包括一许可证相关信息的存储器，所述存储器存储用于验证所述位置请求已被所述移动装置用户授权的许可证相关信息。
28.如权利要求27所述的计算机网络化系统，其特征在于，所述许可证相关信息存储器存储标识已被所述移动装置用户废除的许可证的废除信息，且其中验证所述位置请求已被所述移动装置用户授权包括根据所述许可证相关信息存储器中的废除信息来确定是否已废除所述许可证。
29.如权利要求27所述的计算机网络化系统，其特征在于，所述许可证相关信息存储器存储标识正被所述移动装置用户延缓的许可证的延缓信息，且其中验证所述位置请求已被所述移动装置用户授权包括根据所述许可证相关信息存储器中的延缓信息来确定当前所述许可证是否正在延缓中。
30.如权利要求27所述的计算机网络化系统，其特征在于，所述许可证包括访问条件，基于它们标识所述位置消费者已被授权访问所述移动装置的位置信息的条件，且其中验证所述位置请求已被所述移动装置用户授权包括估算所述访问条件以验证所述位置请求已被所述移动装置用户授权。
31.如权利要求30所述的计算机网络化系统，其特征在于，所述许可证相关信息存储器存储用于实施在所述许可证中标识的访问条件的访问条件信息。
32.如权利要求22所述的计算机网络化系统，其特征在于，产生所述位置响应包括使用与所述位置消费者相关联的加密密钥来加密包括所述位置信息的所述位置响应的至少一部分。
33.如权利要求32所述的计算机网络化系统，其特征在于，所述位置请求还包括所述位置消费者的加密密钥。
34.如权利要求33所述的计算机网络化系统，其特征在于，所述位置消费者的加密密钥是所述位置消费者的公钥，从而所述位置响应的经加密部分只能由所述位置消费者的相应私钥来有效解密。
35.如权利要求32所述的计算机网络化系统，其特征在于，所述许可证标识用于控制所述位置消费者可如何使用所述位置信息的使用条件，且其中产生所述位置响应还包括将所述已标识的使用条件包括在所述位置响应中。
36.如权利要求35所述的计算机网络化系统，其特征在于，所述许可证还标识用于指定返回给所述位置消费者的所述位置信息的精度的精度条件，且其中产生所述位置响应还包括根据所述精度条件来处理所述位置信息。
37.如权利要求32所述的计算机网络化系统，其特征在于，所述位置响应以这样的方式产生以便如果所包括的位置信息被更改则将其呈现为不可用。
38.如权利要求22所述的计算机网络化系统，其特征在于，所述许可证由所述移动装置用户签发从而对所述许可证的任何更改都使所述许可证无效。
39.一种由位置信息服务器执行的用于响应位置请求将移动装置的位置信息安全地传送给位置消费者的方法，其特征在于，所述方法包括在所述位置信息服务器上，验证所述位置请求已被所述移动装置用户授权，如果所述位置请求已被所述移动装置用户授权，则获取所述移动装置的位置信息，如果所述位置请求已被所述移动装置用户授权，则产生包括所述位置信息的位置响应，以及将所述位置响应返回给所述位置消费者。
40.如权利要求39所述的方法，其特征在于，所述位置请求包括一位置许可证，且其中验证所述位置请求已被所述移动装置用户授权包括验证所述位置许可证由所述移动装置用户签发。
41.如权利要求40所述的方法，其特征在于，验证所述位置许可证已由所述移动装置用户签发包括使用与所述移动装置用户相关联的解密密钥来解密所述位置许可证中的经加密信息，以及验证所述最后得到的解密信息指示了所述位置许可证已由所述移动装置用户签发。
42.如权利要求41所述的方法，其特征在于，与所述移动装置用户相关联的所述解密密钥是所述移动装置用户的公钥，且其中所述许可证中的经加密信息使用移动装置用户的相应私钥来加密，从而用所述移动装置用户的私钥加密的数据只能由所述移动装置用户的相应公钥来有效解密。
43.如权利要求42所述的方法，其特征在于，验证所述最后得到的解密信息指示了所述位置许可证已由所述移动装置用户签发包括确定所述经加密信息是否由所述移动装置用户的公钥来适当解密。
44.如权利要求43所述的方法，其特征在于，所述位置请求还包括唯一地标识签发所述位置请求的所述位置消费者的位置消费者标识符，其中所述最后得到的解密信息包括唯一标识向其签发所述许可证的位置消费者，以及其中验证所述位置请求已被所述移动装置用户授权还包括确定所述位置请求中的位置消费者标识符与所述解密信息中的位置消费者标识符相对应。
45.如权利要求40所述的方法，其特征在于，验证所述位置请求已被所述移动装置用户授权包括根据所述许可证相关信息存储器中的废除信息来确定是否已废除所述许可证。
46.如权利要求40所述的方法，其特征在于，验证所述位置请求已被所述移动装置用户授权包括根据所述许可证相关信息存储器中的延缓信息来确定当前所述许可证是否正在延缓中。
47.如权利要求40所述的方法，其特征在于，所述位置许可证包括访问条件，基于它们标识所述位置消费者已被授权访问所述移动装置的位置信息的条件，且其中验证所述位置请求已被所述移动装置用户授权包括估算所述访问条件以验证所述位置请求已被所述移动装置用户授权。
48.如权利要求40所述的方法，其特征在于，产生所述位置响应包括使用与所述位置消费者相关联的加密密钥来加密包括所述获得位置信息的所述位置响应的至少一部分。
49.如权利要求48所述的方法，其特征在于，所述位置请求还包括与所述位置消费者相关联的加密密钥。
50.如权利要求49所述的方法，其特征在于，与所述位置消费者相关联的加密密钥是所述位置消费者的公/私钥对的公钥，从而用所述位置消费者的公钥加密的数据只能由所述位置消费者的相应私钥来解密。
51.如权利要求48所述的方法，其特征在于，所述位置许可证标识用于控制所述位置消费者可如何使用所述位置信息的使用条件，且其中产生所述位置响应还包括将所述已标识的使用条件包括在所述位置响应中。
52.如权利要求51所述的方法，其特征在于，所述许可证还标识用于指定返回给所述位置消费者的所述位置信息的精度的精度条件，且其中产生所述位置响应还包括根据所述精度条件来处理所述位置信息。
53.如权利要求48所述的方法，其特征在于，产生所述位置响应还包括以这样的方式产生所述位置响应以便如果所包括的位置信息被更改则将其呈现为不可用。
54.一种具有计算机可执行指令的计算机可读介质，所述指令在计算装置上执行时实现一种用于响应位置请求将移动装置的位置信息安全地传送给位置消费者的方法，其特征在于，所述方法包括验证所述位置请求已被所述移动装置用户授权，且如果所述位置请求已被所述移动装置用户授权，则获取所述移动装置的位置信息，产生位置响应，所述位置响应包括所获取的位置信息的位置响应，以及将所述位置响应返回给所述位置消费者。
全文摘要
呈现了用于把移动装置的位置信息安全地传送给位置消费者的系统和方法。在操作中，移动装置用户向位置消费者签发许可证。该许可证标识位置消费者以及移动装置用户置于许可证上的任何条件。该许可证被加密从而如果不使该许可证失效就不能更改它。许可证在位置请求中由位置消费者提交。位置信息服务器接收请求、验证向位置消费者已签发许可证并且位置请求符合许可证的条件。如果是这样，则位置信息服务器获得移动装置的位置信息、产生位置响应、加密部分位置响应、并将该位置响应返回给位置消费者。
文档编号H04L12/24GK1747386SQ200510093949
公开日2006年3月15日 申请日期2005年8月26日 优先权日2004年8月27日
发明者P·杜布利施, T·S·麦克格拉斯 申请人:微软公司