专利名称:在基于supl的定位系统中的tls会话管理方法
技术领域:
本发明涉及基于安全用户平面定位(SUPL)的定位系统,具体地 涉及用于SUPL漫游的TLS会话管理方法。
背景技术:
通常,在移动通信网络中,移动通信系统具有关于计算移动通信 终端的位置的功能单元,并由此提供定位服务,用于周期性地或根据 用户的请求将终端位置传输到某个实体。关于定位服务的网络具有根据3GPP或3GPP2的内部网络结构的 不同结构。可以使用小区ID方法计算终端的当前位置,用于传输该终 端所属于的小区ID,还可以使用其中使用三角测量等来计算将无线电 波从终端传输到每个基站花费的时间以及计算该终端的位置的方法, 使用全球定位系统(GPS)的方法等。然而,为了提供定位服务给用户,应该在移动通信终端和定位服 务器之间传输主要的信令和位置信息。用于提供该定位服务的已经标 准化的所谓定位技术,也就是基于移动通信终端的定位(位置)的定 位服务得到快速广泛的传播。典型地可以通过用户平面和控制平面来 提供该技术。公知作为定位技术的例子的开放移动联盟(OMA)的安 全用户平面定位(SUPL)协议通过用户平面提供定位服务。SUPL协议是用于传输位置信息的有效方法,该位置信息是移动通 信终端的位置计算所需要的。SUPL协议采用用户平面数据载体,从而 传输定位协助信息,例如全球定位系统(GPS)协助,以及在移动终端 和网络之间携带定位技术相关协议。
通常,在定位系统中,与定位服务相关的SUPL网络一般说来包括SUPL代理、SUPL位置平台(SLP)和SUPL启用终端(SET)。 SUPL代理指的是使用实际测量的定位信息的逻辑服务接入点。SLP表 示在网络部分处的SUPL服务接入点,在该网络点处接入网络资源,从 而获得位置信息。SET表示使用SUPL接口与SUPL网络通信的装置, 例如,UMTS的用户设备(UE) 、 GSM的移动站(MS) 、 IS-95MS、 具有SET功能的膝上型计算机、个人数字助理(PDA)等。SET可以 是通过宽带LAN (WLAN)接入的多种移动通信终端。SET通过经由 用户平面载体连接到网络,而支持由SUPL协议定义的多个过程。在定位服务中用户最初登录的网络被称为本地网络。当用户移动 并由此位于不在本地网络区域中的另一区域时,该相应的网络被称为 被访问网络。因此,在本地网络中的SLP被称为本地SLP (H-SLP), 以及在访问网络中的SLP被称为访问SLP (V-SLP)。这里,在网络上 启动SUPL过程之后,外部客户机最初与之连接的SLP被称为请求SLP (R-SLP)。该R-SLP是逻辑实体,其可以和H-SLP相同或不同。此 外,将以当前位置作为目标(也就是位置跟踪)的SET被定义为目标 SET。此外,SLP作为网络元件,可以包括SUPL定位中心(SPC), 其是用于计算实际位置的实体;以及SUPL位置中心(SLC),其管理 除了计算定位之外的SLP的功能,例如漫游和资源管理的功能。因此, SET可以通过经由SLC (也就是代理模式)与SPC的通信而计算定位, 以及可以通过直接连接到SPC (也就是非代理模式)来计算定位。然而,当打开传输层安全(TLS)会话用于确保在现有技术的基 于SUPL的定位(也就是位置跟踪)方法中的安全性时,在非代理模式 漫游的情况下,当在产生该TLS会话后在V-SPC和终端之间打开新的 TLS会话时,除了现有的TLS会话(也就是在H-SLP和SET之间的会
话)之外,必须产生新的TLS会话。图1说明了这样的过程,其用于当SET执行从H-SLP到V-SLP 的漫游时使用SUPL执行定位。在下文中,目标SET恰好表示为SET。如在图1中所示,如果在传输SUPL START消息之前,在SET和 任何网络之间当期还没有建立数据连接,则SET (或SUPL代理)请求 与分组数据网络或电路交换网络(例如3GPP或3GPP2的网络)的数 据连接(S10)。当完成该数据连接时,SET设置与H-SLP的TLS会话(加密协议) (Sll)。然后,SET传输SUPL START消息到H-SLP,从而启动与其 的SUPL过程(S12)。该SUPL START消息至少可以包括会话ID、 SET性能和位置标识(lid) 。 SET性能可以包括SET所支持的定位(位 置跟踪)方法(例如,SET所支持的A-GPS、基于SET的A-GPS等)、 用于定位的协议(例如,RRLP、 RRC或TIA-801)等。H-SLP基于路由信息,确定SET是否处于漫游状态下,从而通过 RLP标准SUPL漫游位置即时请求(SSRLIR)而传输SUPL START消 息到V-SLP的V-SLC (S13),该SUPL START消息包括会话ID和 msid。V-SLC通过与V-SPC的内部初始化来通知V-SPC要开始SUPL POS过程准备,并与V-SPC交换需要的信息。并且,V-SLC通过RLP 标准SUPL漫游位置即时回答(SSRLIA),将包括V-SPC地址等的 SUPL RESPONSE消息传输到H-SLP (S14)。因此,H-SLP将至少包括会话ID、V-SPC地址的SUPL RESPONSE 消息传输到SET (S15) 。 SET终止与H-SLP的IP连接,还终止第一 TLS会话(S16)。
然后,SET建立与V-SPC的第二TLS会话(S17)。第二 TLS会话的设置基本上和第一 TLS会话的设置是相同的。在 设置第二 TLS会话的情况下,SET发送SUPL POS INIT消息到V-SPC, 该消息包括会话ID、 lid、 SET性能等等,并且之后启动实际定位相关 过程(S18)。因此,SET和V-SPC于是交换用于执行实际定位的连续 消息(S19),由此V-SPC (或SET)通过该消息计算SET的位置。在计算SET的位置之后,V-SPC传输SUPL END消息到SET,从 而通知SUPL过程的终止。已经接收到SUPL END消息的SET终止与 V-SPC的第二 TLS会话(S20和S21)。V-SPC还通过内部通信,将SUPL过程的终止和SET的计算的位 置值通知V-SLC (S22) 。 V-SLC通过RLP标准SUPL漫游位置(SSRP) 消息将接收到的信息传输到H-SLP (S23)。此后,当SET执行漫游时,现在将详细解释用于设置第一和第二 TLS会话的方法。图2更详细地说明用于设置TLS会话的方法(完全握手)(也就 是其中SET执行在H-SLP和V-SLP之间的相互认证的方法)。如在图2中所示,SET首先设置与H-SLP的第一 TLS会话(加密 协议)(Sll)。也就是说,SET在Client Hello消息中包括参数,例如版本、 RandomNumber、会话ID[空]、密码套件和压縮方法,从而将其传输到 H-SLP (ST1)。在这里,当产生新会话时,将会话ID设置为"空"。 密码套件和压缩方法分别指示SET所支持的加密参数的列表以及用于数据压縮方法的ID。H-SLP响应于Client Hello消息,将Server Hello消息传输到SET, 该Server Hello消息包括例如由此选择的版本、RandomNumber、会话 ID[l]、密码套件和压縮方法的参数。如果没有SET传送的会话ID,则 H-SLP传输空的会话ID给SET。H-SLP在发送Server Hello消息之后,顺序地将这些消息传输到 SET,例如证书*、服务器钥交换*、证书请求*和ServerHello完成。在 这里,表示"可选的"。证书是Server Hello消息之后要传输的消息。H-SLP通过服务器钥 交换传输其公钥,或者传输包括其公钥的证书和认证机构(CA)的根证书的证书作为链类型。服务器钥交换是证书之后要传输的消息。服务器钥交换包括 H-SLP (服务器)的公钥信息。与钥信息相关的正确信息取决于对应的 公钥算法(例如RSA、 Diffie-Hellman等)。证书请求是服务器钥交换 之后要传输的消息。当需要SET的公钥信息时,H-SLP使用证书请求 消息以请求证书。ServerHello完成是在证书请求之后要传输的消息, 并用于通知SET完成了最初协商。当从H-SLP输入ServerHello完成时,SET顺序地将这些消息传输 到H-SLP,例如证书、客户机钥交换和证书检验、改变密码规格和完 成(ST3)。客户机钥交换是发送证书之后要传输的消息,以及包括使用 H陽SLP的公钥加密的钥信息(EnCH.SLP—pk(預主秘密))。该钥信息指示 用于制造H-SLP的实际加密使用的钥(完整钥、加密钥、初始化矢量 等等)的最基本的预主秘密。在对称加密算法中使用该相应的钥信息。 证书检验是客户机钥交换之后要传输的消息。证书检验指示SET 是否具有与公钥相关的适当的独立钥,通过证书消息传输该公钥。证书检验可以包括通过散列和信令SET的钥信息和之前的TLS握手消息 的内容而获得的值。最后,H-SLP顺序地传送改变密码规格和完成消息,并终止用于 设置第一TLS会话的每个完全握手过程(ST4)。改变密码规格是证书 检验之后要传输的消息,并通知用于在终止H-SLP和SET之间的协商 之后执行加密的时间点。这里,SET将TLS会话状态从未决状态改变 为当前状态。完成是改变密码规格之后要传输的消息。完成消息指示 是否成功完成协商,或者在协商期间关于安全性参数是否没有发生损 害。根据这样的过程,在设置第一 TLS会话之后,SET将SUPL START 消息传输到H-SLP,从而通知启动了 SUPL过程(S12) 。 H-SLP确定 SET属于的V-SLP的位置信息,从而之后识别SET的漫游。H-SLP然 后通过RLP SSRLIR消息再传输SUPL START消息到V-SLC ( S13 )。V-SLC通过与V-SPC的内部初始化来将SUPL过程的起动通知 V-SPC,并与之交换所需要的信息。V-SLC响应RLP SSRLIR消息,通 过RLP SSRLIA消息,将SUPL RESPONSE消息传输到H-SLP,该SUPL RESPONSE消息包括V-SPC地址(S14) 。 H-SLP将SUPL RESPONSE 消息传输给SET。由此,SET终止与H-SLP的IP连接,以及终止与H-SLP的第一 TLS会话,并执行步骤S17,用于设置与V-SPC的第二 TLS会话。也就是说,在基于SUPL的定位系统中,当SET执行从H-SLP到 V-SLP的漫游从而接收来自新的定位服务器(V-SPC)的定位服务时, 在SET和V-SPC之间将产生新的TLS会话。在这样的情况下,应该重 新设置H-SLP和SET之间已经设置的参数,例如用于加密、签名和完 整性检査的钥信息。然而,用于设置新的(第二) TLS会话的过程和图2中所示的设 置第一 TLS会话的过程是相同的。因此,终端将最初根据用于相互认 证的完全握手设置与H-SLP的TLS会话,然后只要终端漫游到V-SLP, 则根据相同的完全握手产生新的TLS会话,这不利地增加了漫游期间 认证和加密钥的切换所需要的时间和资源。发明内容因此,本发明的目的是提供TLS会话管理方法,其能够增加SUPL 漫游期间在终端和V-SLP之间建立TLS会话的效率。为了获得这些和其他优点并根据本发明的目的,如在这里实施和 广泛地描述的,提供了在使用TLS的基于SUPL的定位系统的漫游中 的TLS会话管理方法,其包括在终端和本地SUPL位置平台(H-SLP) 之间设置TLS会话,并将SUPL START消息从终端传输到H-SLP;将 设置的TLS会话的信息从H-SLP传输到终端漫游到的访问SLP (V-SLP);将V-SLP信息从H-SLP传输到终端;以及使用TLS会话 信息,在终端和V-SLP之间的TLS会话中设置新的TLS连接。优选地,TLS会话信息可以包括TLS会话ID,该TLS会话ID用 于H-SLP和终端之间的TLS会话连接,并且TLS会话信息还包括作为 TLS会话的钥信息的主秘密或漫游主秘密。优选地,TLS会话信息可以进一步包括指示加密方法和压縮方法 的参数,其用于H-SLP和终端之间的TLS会话连接。优选地,通过将一个值应用于伪随机函数从而产生主秘密,通过
将预主秘密与终端和H-SLP之间已知的任意值级联来获得该值。优选地,通过散列将主秘密与漫游计数级联而获得的值,产生漫 游主秘密。优选地,根据完全握手协议来执行TLS会话。优选地,通过简化的握手过程来产生新的TLS连接。优选地,建立新的TLS连接之后,TLS会话管理方法可以进一步 包括在V-SLP和SET之间执行SUPL定位过程,从而计算SET的位置。优选地,简化的握手过程可包括将Client Hello消息从SET传输 至l) V-SPC,该Client Hello消息包括版本、Set-Random和会话ID;顺 序地将Server Hello消息、改变密码规格消息和完成消息从V-SPC传输 妾U SET,该Server Hello消息包括版本、V-SLP-Random和会话ID;以 及当从V-SPC输入完成消息时,顺序地将改变密码规格和完成消息从 SET传输到V-SPC,从而终止该简化的握手过程。本发明的以上和其他目的、特征、方面和优点,从结合附图的以 下的本发明的详细描述将变得更加明显。
包括以提供对于本发明的进一步理解的附图,被包括在本说明书 中并作为其一部分,说明本发明的实施例,并连同描述一起用来解释本发明的原理。 在附图中图1示出当SET执行漫游时使用SUPL的定位过程; 图2示出使用完全握手的TLS会话管理方法;
图3示出用于SUPL漫游的TLS会话的扩展;图4示出根据本发明的第一实施例的TLS会话管理方法;图5示出用于产生(引发)加密参数的过程;图6示出SUPL漫游期间的主秘密传输;图7示出漫游主秘密的传输;以及图8示出根据本发明的第二实施例的TLS会话管理方法。
具体实施方式
现在将详细参考本发明的优选实施例,在附图中示出这些实施例 的例子。在SET执行从H-SLP到V-SLP的漫游以接收来自新定位服务器 (V-SPC)的定位服务的情况下,本发明提出使用TLS会话执行认证 和切换加密钥的方法,漫游之前在SET和H-SLP之间建立该TLS会话。也就是说,如在图3中所示,当与本地网络中的H-SLP产生TLS 会话的SET漫游到访问网络时,H-SLP和SET之间产生的该TLS会话 可以扩展为V-SLP和SET之间的TLS会话。为此,本发明在漫游期间不产生新的TLS会话,而是仅仅使用简 化的握手协议,在SET和H-SLP之间已经建立的TLS会话中产生新的 TLS连接。换句话说,在本发明中,在SET终止与H-SLP的TLS会话并且 此后还没有产生与V-SPC的新的TLS会话的状态下,为了在漫游期间 产生新的TLS连接,已经使用过的关于TLS会话的信息被重新使用。 因此,H-SLP包括在之前的TLS会话中已经使用过的参数,该参数是 RLP SSRLIR中的TLS会话ID和新钥信息(即,主秘密或漫游主秘密), 从而将其传输到V-SLP的V-SPC。
由此,当SET建立新的TLS会话时,SET传输空会话ID到H-SLP。 使用之前的TLS会话产生新的连接之后,SET在ClientHello消息中包 括期望再使用的会话ID,以将其传输到V-SLP的V-SPC。如果没有找 到从SET传输的会话ID,则V-SLP将空会话ID以及错误消息传输到 SET。如果具有相同的会话ID, V-SPC和SET使用简化的握手协议交 换改变密码规格消息。利用简化握手协议重新使用TLS会话之后,保 持现有的会话状态,以及使用H-SLP和SET已经互相交换的改变密码 规格消息,将TLS状态保持为未决状态。图4示出了根据本发明的第一实施例的TLS会话管理方法,其中 在H-SLP和V-SLP之间使用主秘密。首先,H-SLP和V-SLP在最初协商服务支持的时间点执行相互认 证,并使用在线证书状态协议,周期性地检验证书撤销列表(CRL)或 检验证书(S50)。这里,H-SLP必须至少认证SET可以漫游到的V-SLP, 并必须具有多个V-SLP的证书。在这样的状态下,SET执行与H-SLP的第一 TLS会话设置过程 (S51)。在该过程期间,SET产生预主秘密,然后使用H-SLP的公钥,加密对应的所产生的预主秘密,从而将该加密的预主秘密传输到H-SLP (传输EncH-sLpjK(预主秘密)(ST3)。预主秘密表示初始值,需要该初始值来产生用在加密的钥(密码钥)、用在完整性检査中的钥(完整钥)和加密初始化矢量。当在H-SLP和SET之间设置TLS会话时,SET将SUPL START 消息传输到H-SLP,以启动与H-SLP的SUPL过程(S52) 。 H-SLP基 于路由信息,确定SET属于的V-SLP的定位(位置信息),从而识别 SET的漫游。当SET漫游到V-SLP时,H-SLP使用SUPL START消息将TLS 会话信息传输到V-SLC,该SUPL START消息是RLP消息(RLP SSRLIR) (S53)。通过内部通信,将相应的TLS会话信息传输到V-SPC。 这里,通过HTTPS (TLS)传输RLP消息作为加密的消息类型。这里, RLPSSRLIR (SUPL START)消息中另外包括的参数如下所示-主秘密、会话ID、密码套件、压縮方法用于V-SLC和SET之 间的TLS会话的扩展中。这里,主秘密表示PRF (预主秘密、"主秘密"、SET Random I V-SLP-Random)。会话ID是指要重新使用的TLS会话的号 码,也就是已用于H-SLP和SET之间的初始TLS会话连接中的会话号。V-SLP响应于SUPL START消息,将包括会话ID、 V-SPC地址等 的RLP SSRLIA (SUPL RESPONSE)消息传输给H-SLP (S54) 。 H-SLP 将SUPL RESPONSE消息(包括SUPL会话ID、 V-SPC地址等)传输 到SET。也就是说,H-SLP将SUPL会话号以及接收定位服务的服务 器(V-SPC)通知SET (S55)。因此,即使终止之前的TLS会话,SET基于最初建立H-SLP和 SET之间的TLS会话所使用过的TLS会话信息,使用简化握手协议, 产生与V-SPC的TLS连接(S56)。也就是说,SET将Client Hello消息传输到V-SPC,该Client Hello 消息包括参数例如版本、SET-Random、会话ID[l]等。V-SPC将Server Hello消息传输到SET,该Server Hello消息包括参数例如选择版本、 V-SLP-Random和会话ID[l],然后传输"改变密码规格"和"完成" 消息,这两个消息通知终止SET和V-SPC之间的协商之后执行加密的 时间点。当从V-SPC输入"完成"消息时,SET还顺序地传输"改变密码 规格"和"完成"消息,以及由此终止用于设置TLS会话的整个简化
握手过程。因此,当执行简化握手时,SET和V-SPC使用已经彼此交换过的 参数(SET-Random或V-SLP-Random),从而引发(产生)加密参数。 该引发(产生)过程可以相同地使用在之前TLS所提供的以下的功能等式(1)和(2):-主秘密=PRF (预主秘密,"主秘密",和 SET-Random | V-SLP-Random) ( 1)-钥材料=PRF (主秘密,"钥扩展",和 V网SEP-Random | SET-Random) ( 2 )这里,"主秘密"和"钥扩展"表示字符串。图5示出用于在SET和V-SPC中产生(引发)加密参数的方法。如图5所示,V-SPC将从H-SLP传输的主秘密、"钥扩展"和 V-SLP-Random值传输到伪随机函数(PRF),其中"钥扩展"是使得 钥对于每个连接不同的字符串,从而获得如等式(2)所示的钥材料。 在每个TLS会话中新产生主秘密,以及在每个连接处产生钥材料。因 此,V-SLP最终获得完整性钥、加密钥和初始化矢量,它们全部用于 从获得的钥材料的加密传输。图6示出SUPL漫游期间的主秘密传输。特别地,图6示出了当 SET和V-SLP共享主秘密时的每个TLS会话中的主秘密,其中在H-SLP 和SET之间使用该主秘密。如图6所示,将SET处最初产生的预主秘密在SET处加密后,传 输到H-SLP。当SET漫游到V-SLP1或V-SLP2时,H-SLP使用V-SLP1 或V-SLP2的每个的公钥,对从预主秘密产生(引发)的主秘密进行加 密,从而将其传输。因此,即使V-SLP1和V-SLP2从SET接收到相同
的预主秘密,V-SLP1和V-SLP2依然接收到不同的主秘密。因此,第 三方在漫游之后的会话以及当前会话中,不能容易地识别会话中SET 的位置。在本发明的另一实施例中,另一方面,SUPL漫游期间,可以将漫 游主秘密代替主秘密从H-SLP传输到V-SLP。图7示出SUPL漫游期间的漫游主秘密的传输。特别地,图7示 出当没有如其自身地传输H-SLP和SET之间使用的主秘密,而是将其 改变为漫游主秘密从而在SET和V-SLP之间共享时,每个TLS会话中 已经使用的主秘密和漫游主秘密。如图7所示,当SET漫游到V-SLP1或V-SLP2时,H-SLP将SET 的漫游计数与从预主秘密引发(产生)的主秘密级联,从而然后执行 散列计算,其中从SET接收到该预主秘密。然后,H-SLP产生漫游主 秘密1和2。分别使用V-SLP1和V-SLP2的公钥来对漫游主秘密1和 2进行加密,从而然后进行传输。因此,即使第三方获得H-SLP和V-SLP1 (或V-SLP2)之间的漫 游主秘密l,该第三方不能从该对应的漫游主秘密1获得预主秘密,以 及由此,不会容易地暴露SET的位置。也就是说,漫游主秘密是这样 的值,使用散列函数例如SHA(),通过将SET的漫游计数与预主秘密 级联而计算该值。散列函数具有单向性,这使得难以根据漫游主秘密 计算预主秘密。图8示出根据本发明的第二实施例的TLS会话管理方法,其示出 在H-SLP和V-SLP之间使用漫游主秘密的情况。也就是说,在本发明 的第二实施例中,不照其原样地使用H-SLP和SET之间已经使用过的 主秘密,而是使用漫游主秘密(也就是通过改变主秘密以至于不能知 道V-SLC中的H-SLP的主秘密所获得的值)。可以使用漫游主秘密,
以至于V-SLP不能知道H-SLP和SET之间的之前TLS会话中所使用 的主秘密,并且可以设置TLS连接。如图8所示,H-SLP和V-SLP在用于最初协商服务提供的时间点, 执行相互认证,并使用在线证书状态协议(OCSP)从而周期性地检验 证书撤销列表(CRL)或检验证书安全性(S60)。这里,H-SLP必须 至少认证SET可以漫游到的V-SLP,以及必须具有多个V-SLP的证书。在这样的状态下,SET执行第一 TLS会话设置过程(S61)。当 执行该过程时,SET使用H-SLP的公钥从而对预主秘密进行加密用于 传输。当在H-SLP和SET之间设置TLS会话时,SET将SUPL START 消息传输到H-SLP,从而启动与H-SLP的SUPL过程(S62) 。 H-SLP 基于路由信息,确定SET属于的V-SLP的定位,从而感应SET的漫游。当SET漫游到V-SLP时,H-SLP使用RLP SSRLIR( SUPL START) 消息,将TLS会话信息传输到V-SLC (S63) 。 V-SLC通过内部通信, 将对应的信息传输到V-SPC。这里,通过HTTPS (TLS)将RLP消息 作为加密消息类型进行传输。这里,以下将示出要添加到RLPSSRLIR 消息的参数。-漫游主秘密、会话ID、密码套件、压縮方法用于V-SLC和SET 之间的TLS会话扩展中。漫游主秘密指示通过将主秘密与漫游计数级联所获得的值,从而 然后散列该级联的值。会话ID表示要重新使用的TLS会话的会话号。 密码套件表示加密方法,以及压縮方法表示一种压縮方法。-漫游主秘密二SHA (主秘密l漫游计数) 等式3这里,漫游计数表示产生漫游的次数。因此,在本发明的第二实施例中,不使用漫游主秘密(也就是通
过改变主秘密所获得的值,以至于不能知道V-SLC中的H-SLP的主秘密),而使用H-SLP和SET之间已经使用过的主秘密。可以使用漫游主秘密,以至于V-SLP不能知道H-SLP和SET之间的之前TLS会话中已经用过的主秘密,以及还可以设置TLS连接。V-SLP响应RLP SSRLIR,将RLP SSRLIA (SUPL RESPONSE) 消息传输到H-SLP,该RLP SSRLIA消息包括会话ID、 V-SPC地址等 等(S64) 。 H-SLP将SUPL RESPONSE消息(包括SUPL会话ID、 V-SPC地址等)传输到SET。也就是说,H-SLP将服务器(V-SPC)通 知SET,从而接收SUPL会话号和位置服务(S65)。因此,即使终止之前的TLS会话,SET重新使用最初在H-SLP和 SET之间设置TLS会话时已经使用过的TLS会话信息,从而通过执行 简化握手来设置与V-SPC的TLS连接(S66)。也就是说,SET将Client Hello消息传输到V-SPC,该Client Hello 包括参数例如版本、SET-Random、会话ID[l]等等。V-SPC响应该Client Hello消息,将Server Hello消息传输到SET,该Server Hello消息包括 参数,例如选择版本、V陽SLP-Random、会话ID[l]。终止SET和V-SPC 之间的协商之后,V-SPC传输"改变密码规格"和"完成"消息,它 们通知执行加密的时间点。当从V-SPC输入"完成"时,SET还顺序地将"改变密码规格" 和"完成"消息传输到V-SPC,从而终止整个简化握手过程,该简化 握手过程用于设置TLS连接。因此,当执行简化握手时,SET和V-SPC使用彼此交换的参数值 (SET-Random或V-SLP-Random),从而引发(产生)加密参数。这 里,在加密参数的引发过程中,如下使用相同的TLS会话中提供的 PRF()。
钥材料二PRF (漫游主秘密,"钥扩展",V-SPC IV-SPC-Random)也就是说,V-SPC通过与V-SLC的内部初始化,接收来自V-SLC 的漫游主秘密,从而获得钥材料。SET从主秘密引发漫游主秘密(漫 游M.S)。然后,SET再获得钥材料,之后在加密和完整性检査中使用 该钥材料。如前所示,在本发明中,当打开TLS会话用于确保基于SUPL定 位的安全性时,具体地说,当在H-SLP和SET之间打开新的TLS会话 之后在V-SLP的V-SPC和SET之间又打开TLS会话时,将之前TLS 会话中已经用过的钥信息提供给V-SLP,从而可以减少根据最初过程 设置新的TLS会话所需要的时间,并因此有效地减少了整个系统的负 载。因为本发明可以以不偏离其精神或本质特征的多种方式实施,要 知道,以上所述的实施例不局限于前述说明的任何细节,除非特别指 出,而是如在附加权利要求中限定的其精神和范围内进行广泛的理解, 由此附加权利要求意图包括落在权利要求的边界和范围或这些边界和 范围的等效内的所有改变和修改。
权利要求
1.在一系统中的传输层安全(TLS)会话管理方法,在该系统中,具有与本地SUPL定位平台(H-SLP)的TLS会话的终端通过漫游到访问SLP(V-SLP)而接收定位服务,在该方法中从H-SLP将TLS会话信息传输到V-SLP,当H-SLP设置与所述终端的TLS会话时已经使用该TLS会话信息;以及使用所述TLS会话信息,设置新的TLS连接用于在所述终端和V-SLP之间的位置计算。
2. 根据权利要求1所述的方法,其中,所述TLS会话信息包括 TLS会话ID和新钥信息。
3. 根据权利要求2所述的方法,其中,所述钥信息是主秘密或漫 游主秘密。
4. 根据权利要求2所述的方法,其中,所述TLS会话信息进一步 包括参数,该参数指示在H-SLP和所述终端之间连接TLS会话的情况 下已经使用的加密方法和压縮方法。
5. 根据权利要求l所述的方法,其中,通过SUPL START消息传 输所述TLS会话信息,该SUPL START消息是H-SLP传输到V-SLP 的RLP标准SUPL漫游位置即时请求(SSRLIR)。
6. 根据权利要求3所述的方法,其中,通过将一值应用于伪随机 函数来产生所述主秘密,其中通过将预主秘密与在终端和H-SLP之间 已知的任意值级联而获得该值。
7. 根据权利要求3所述的方法,其中,通过散列一值来产生所述 漫游主秘密,以及通过将所述主秘密与漫游计数级联而获得该值。
8. 根据权利要求l所述的方法,其中,通过简化握手协议来执行新的TLS连接的设置。
9. 根据权利要求1所述的方法,其中,新的TLS连接的设置包括 将Client Hello消息从所述终端传输到所述V-SPC,该Client Hello消息包括版本、SET-Random以及会话ID;顺序地将Server Hello消息、改变密码规格消息和完成消息从所述 V-SPC传输到所述终端,该Server Hello消息包括版本、V-SLP-Random 和会话ID;以及当从所述V-SPC输入所述完成消息时,利用所述终端顺序地传输 改变密码规格消息和完成消息,从而终止所述简化握手协议。
10. —种使用TLS的基于SUPL的定位系统的漫游中的TLS会话 管理方法,该方法包括在终端和H-SLP之间设置TLS会话,并将SUPL START消息从 该终端传输到H-SLP;将关于设置的TLS会话的信息从H-SLP传输到所述终端漫游到的V-SLP;将与所述V-SLP相关的信息从所述H-SLP传输到所述终端;以及 使用TLS会话信息,以在TLS会话中在所述终端和V-SLP之间 设置新的TLS会话。
11. 根据权利要求IO所述的方法,所述TLS会话信息包括 在所述H-SLP和所述终端之间连接TLS会话时已经使用的TLS会话ID;以及主秘密或漫游主秘密,其是TLS会话的钥信息。
12. 根据权利要求ll所述的方法,其中,所述TLS会话信息进一 步包括参数,该参数指示在H-SLP和所述终端之间连接TLS会话时已 经使用的加密方法和压縮方法。
13. 根据权利要求10所述的方法,其中,通过将一值应用于伪随机函数来产生所述主秘密,通过将预主秘密与在所述终端和H-SLP之 间已知的任意值级联而获得该值。
14. 根据权利要求10所述的方法,其中,通过散列一值来产生所 述漫游主秘密,其中通过将所述主秘密与漫游计数级联而获得该值。
15. 根据权利要求IO所述的方法,其中,通过完全握手协议来执 行所述TLS会话。
16. 根据权利要求IO所述的方法,其中,利用简化握手协议来执 行新的TLS连接。
17. 根据权利要求IO所述的方法,进一步包括 当设置新的连接时,在所述V-SLP和SET之间执行SUPL定位过程以计算所述SET的位置。
18. 根据权利要求10所述的方法,其中,设置新的TLS连接的步 骤包括将Client Hello消息从所述终端传输到V-SPC,该Client Hello消 息包括版本、SET-Random和会话ID;顺序地将Server Hello消息、改变密码规格消息和完成消息从所述 V-SPC传输到终端,该Server Hello消息包括版本、V-SLP-Random和 会话ID;以及当从所述V-SPC输入完成消息时,由所述终端顺序地传输改变密 码规格消息和完成消息,从而终止简化握手过程。
19. 一种在使用TLS的基于SUPL的定位系统的漫游中的TLS会 话管理方法,该方法包括在SUPL启用终端(SET)和H-SLP之间设置TLS会话;将SUPL START消息从所述SET传输到所述H-SLP;当所述H-SLP接收到SUPL START消息时,通过RLP SSRLIR消 息,将TLS会话信息传输到V-SLP的V-SUPL位置中心(SLC);通过内部初始化,将接收到的TLS会话信息从所述V-SLC传输到 所述V-SUPL定位中心(SPC);通过RLP SSRLIA消息,将会话ID和V-SPC地址从V-SLC传输 到H-SLP,从而执行位置计算;响应于所述SUPL START消息,通过消息将所述会话ID和V-SPC 地址从所述H-SLP传输到SET;使用所述TLS会话信息,在所述SET和V-SPC之间设置新的TLS连接;通过在所述V-SPC和SET之间执行SUPL定位过程,而计算所述 SET的位置;以及当完成SET的位置计算时,将SUPL END消息从所述V-SPC传 输到所述SET。
20. 根据权利要求19所述的方法,其中,所述TLS会话信息包括 TLS会话ID,在所述H-SLP和SET之间连接所述TLS会话时,已经使用过该TLS会话ID;以及主秘密或漫游主秘密,其是所述TLS会话的钥信息。
21. 根据权利要求20所述的方法,其中,所述TLS会话信息进一 步包括参数,该参数指示在所述H-SLP和所述SET之间连接TLS会话 时已经使用的加密方法和压縮方法。
22. 根据权利要求20所述的方法,其中,通过将一值应用于伪随 机函数来产生所述主秘密,其中通过将预主秘密与在所述SET和H-SLP 之间已知的任意值级联而获得该值。
23. 根据权利要求20所述的方法,其中,通过散列一值来产生所 述漫游主秘密,通过将所述主秘密与漫游计数级联而获得该值。
24. 根据权利要求19所述的方法,其中,利用完全握手协议来执 行所述TLS会话。
25.
26. 根据权利要求19所述的方法,其中,该设置新的TLS连接的 步骤包括将Client Hello消息从所述SET传输到所述V-SPC,该Client Hello 消息包括版本、SET-Random和会话ID;顺序地将Server Hello消息、改变密码规格消息和完成消息从所述 V-SPC传输到所述SET,该Server Hello消息包括版本、V-SLP-Random 和会话ID;当从所述V-SPC输入完成消息时,由所述SET顺序地传输改变密 码规格消息和完成消息,从而终止简化的握手过程。
全文摘要
在基于SUPL的定位系统中,当SET通过执行从H-SLP到V-SLP的漫游,而接收来自V-SLP的定位服务时,仅使用简化握手协议产生新的TLS连接,而不在漫游后产生新的TLS会话。也就是说,当在基于SUPL的定位方法中打开TLS会话用于确保安全性时,具体地说在H-SLP和SET之间打开TLS会话后又在V-SLP(V-SPC)和SET之间打开新的TLS会话时,将之前TLS会话中已经使用的钥信息提供给V-SLP,从而设置新的TLS连接,由此减少了整个系统的负载。
文档编号H04B7/26GK101120522SQ200680002069
公开日2008年2月6日 申请日期2006年1月9日 优先权日2005年1月17日
发明者沈东熙, 秋渊成 申请人:Lg电子株式会社