位置服务(LBS)是基于无线发射/接收单元(WTRU)和其他用户的位 置而提供的新兴类别的服务。诸如第三代合作伙伴计划(3GPP)和3GPP2 之类的各种无线通信标准，在应用和服务结构等级上定义了支持LBS的网 络结构。诸如开放移动联盟(OMA)位置技术规范组之类的其他组织还定 义了LBS的服务等级结构。
图1示出了具有GSM EDGE无线电接入网络(GERAN)120和通用地 面无线电接入网络(UTRAN)130的核心网中的位置服务(LCS)客户端和 服务器的关系。该核心网包括网关移动位置中心(GMLC)、被请求的GMLC (R-GMLC)142、归属GMLC(H-GMLC)144、拜访GMLC(V-GMLC) 146、隐私简档寄存器(PPR)448和其他网络节点。
LCS服务器是用于提供位置信息给LCS客户端，并且就位置服务加强 访问控制和安全策略的基于网络的实体。在图1的3GPP中心结构中，各种 GMLC对应于如上面定义的位置服务。作为部分服务或者操作，LCS客户端， 或者位于WTRU 110中，连接在WTRU 110上或内嵌于WTRU 110中(内 部LCS客户端115)，或者位于WTRU 110的外部(外部LCS客户端150)， 该LCS客户端可以向LCS服务器(即GMLC)请求WTRU 110的位置信息。 可能会有多于一个的内部LCS客户端115、多于一个的外部LCS客户端150 和多于一个的LCS服务器。GMLC 142、144和146包含支持LCS所需的功 能。在一个公众陆地移动电话网(PLMN)中，有多于一个的GMLC。GMLC 是第一个节点，内部LCS客户端115或者外部LCS客户端150访问PLMN 时。
在执行注册认证之后，GMLC发送定位请求给移动交换中心(MSC)、 服务GPRS支持节点(SGSN)或者MSC服务器，并且从对应的实体接收最 后的位置估计。需用于认证的信息、位置服务请求和位置信息可以在位于相 同的或者不同的PLMN的GMLC之间通信。RGMLC 142是从LCS客户端 接收请求的GMLC。HGMLC 144是位于目标WTRU的归属PLMN中的 GMLC，用于负责目标WTRU的隐私校验控制。VGMLC 146是与目标WTRU 的服务节点相关联的GMLC。
PPR 148存储WTRU 110的隐私信息。PPR 148执行隐私校验并且发送 隐私校验结果给其他的网络节点。PPR 148被认为是从上面描述的“位置服 务器”上分离的、但不是支持的实体，因为PPR 148提供了关于寻找位置服 务的WTRU的隐私(和访问控制或者相关策略)信息。
无线网络和/或WTRU和网络服务器上的应用和数据的认证和访问控制 的传统方法依赖于，诸如单一或者多要素证据的用户认证、加密消息加密和 解密、网络资源和/或设备应用的规则和基于行为的访问控制、以及验证应用 和操作系统代码完整性的信任处理技术之类的技术。传统的方法没有考虑物 理(地理)和逻辑位置信息的概念和使用来作为访问控制和认证的决定变量。
较新的WTRU具有诸如全球定位系统(GPS)、辅助GPS(A-GPS)或 者广域增强系统(WAAS)之类的技术所提供的位置和定位能力。诸如3GPP 和GSM联盟(GSMA)之类的各种工业组织已经考虑使用LBS和这些服务 的指定需求。但是，现有技术工作已经限制了对提供能被概括为导航系统、 找到并跟踪用户(如跟踪船只或者小孩)、对象(如最近的商店或者饭店) 或者资源(如电话服务中心或者最近的WiFi热点)的服务的关注。换而言 之，位置信息已经被用作服务启动器的要素，但不是作为服务限制器或者服 务控制器。因此，现有技术没有考虑使用位置信息为访问控制和认证中的决 定变量。
另外，在现有技术中，位置信息绑定至WTRU的物理位置。现有技术 没有考虑位置信息的更多扩展的定义，如已知对象或者实体的可信位置的接 近、包围、排外、参考。
进一步地，传统的方法没有考虑位置相关的部件和信息怎样与网络服务 的结构、设备、认证方式的上下文和应用连接。例如，附加在WTRU的GPRS 设备的位置报告软件会被危及并提供关于WTRU的物理位置的错误消息给 服务提供商。然后，服务提供商被欺骗来允许特定的服务，而如果WTRU 报告了实际的、非妥协的位置，则WTRU本不应当允许来访问这些特定的 服务。确保位置信息的测量、报告、存储和处理需要仔细的考虑。
进一步地，尽管希望来引导一些基于网络的服务应用的处理的移动设备 的位置可以成为用来认证和保护应用处理的信息的有用的资源，如果这些信 息可以被信任并且被安全地处理，但是传统的方法没有足够地考虑在包括数 字权限管理(DRM)和移动支付或者类似的各种移动应用处理中使用位置信 息。例如，在传统的移动DRM应用协议中(诸如OMA DRM 2.0协议)，没 有考虑安全位置信息的使用为设备配置信息的一部分或者为权限对象获取 协议(ROAP)的一部分。

公开了一种用于保护位置信息和使用位置信息来访问控制的方法和设 备。WTRU包括位置传感实体和用户识别模块(SIM)。位置传感实体生成 WTRU的位置信息，并且位置信息存储在SIM的安全区域中。WTRU中的 可信处理模块验证位置信息的完整性。可信处理模块可以在SIM上。位置信 息可以是物理位置信息或者内容位置相关的信息。可信的处理模块被配置成 加密地保护位置信息并将位置信息绑定至WTRU，并且在授权访问位置信息 或者接受来自外部实体的信息之前来验证外部实体的可信量度。可信处理模 块可以是可信计算组(TCG)可信平台模块(TPM)或者移动可信模块 (MTM)。位置信息可以用于认证目的或者访问控制。位置信息可以与时间 信息组合。
附图说明
从以下关于优选实施方式的描述中可以更详细地理解本发明，这些实施 方式是以实施例的方式给出的，并且可以结合附图被理解，其中：
图1示出了具有GERAN和UTRAN接入网络的核心网中的LCS客户端 和服务器的关系；
图2是包括扩展的SIM的WTRU的框图；
图3是用于提供WTRU的安全的位置信息的示例性进程的流程图；
图4是用于提供WTRU感兴趣的事件的安全位置(有或没有时间)标 记的示例性进程的流程图；以及
图5是示例性的位置服务器的框图。

下文涉及的术语“无线发射/接收单元(WTRU)”包括，但并不限于用 户设备(UE)、移动站、固定或移动用户单元、寻呼机、无线电话、个人数 字助理(PDA)、计算机或者能在无线环境下操作的任何一种类型的用户装 置。下文涉及的术语“基站”包括但并不限于节点B、站点控制器、接入点 (AP)或者能在无线环境下操作的任何一种类型的接口设备。
图2是包括扩展的SIM 210的WTRU 200的框图。在从LCS客户端、 WTRU 200的内部或者外部请求该当前位置信息时，WTRU 200以安全的且 非篡改的方式来计算并报告WTRU 200的当前位置信息。WTRU 200包括 SIM 210(或者通用SIM(USIM)，此后集中称为“SIM”)、微处理单元(MPU) /应用处理器220、位置传感实体230、通信处理器240和射频(RF)单元250。 诸如那些用于内部LCS客户端115的应用程序(图2中未示出)在MPU/ 应用处理器220上运行。还有低等级软件(在图2中未示出)运行在WTRU 200上来支持各种硬件和应用层软件，这些硬件和应用层软件用于包括但不 限于MPU/应用处理器220、位置传感实体230、通信处理器240、RF单元 250和SIM(或者USIM)210的WTRU 200的各种实体。接收到的信号由 RF单元250和通信处理器240处理。位置传感实体230可以是用于传感 WTRU 200的位置的硬件和/或软件实体。举例来说，位置传感实体230可以 是GPS接收器和相关的软件。
位置传感实体230可以在其本身或者使用来自WTRU 200的网络、物理 或者上下文位置信息的辅助或者指导来估计。物理位置信息是关于WTRU 物理或者地理位置(如在经度和维度中测量的，或者地址信息，具有或者不 具有高度信息，或者类似信息)的信息。上下文位置信息是关于WTRU的 物理位置的逻辑或者上下文信息。举例来说，参考另一个实体的周界或者边 界信息具有地理或者上下文位置信息(如WTRU X是在商品贸的边界内， 并且WTRU Y是在建筑物的边界外)。上下文位置信息可以是关于具有位置 信息的另一个实体的方向和/或距离关系(如WTRU X位于离WTRU Y的 100米，并且WTRU Z是位于基站W的东南1英里)。位置信息可以与安全 时间信息组合来提供访问控制的额外参数。
SIM 210持有用来识别WTRU 200并提供认证服务以支持WTRU 200 和网络之间的安全信道的建立的主机秘密。根目录安全地持有在设备中，并 且从不会泄露在SIM 200的安全或者可信的域之外。
SIM 210包括SIM处理器212、可信平台模块(TPM)214(或者移动 可信模块(MTM)(可选的))、安全存储器216和实时钟(RTC)218(可选 地)。SIM处理器212执行传统的SIM功能并且可以延伸来执行安全相关的 函数。位置传感实体230处理来自通信处理器240的信号，并且输出位置信 息给MPU/应用处理器220。位置信息被发送给SIM 210。SIM 210还执行对 消息、事件或者数据(如存储用于SIM 210可以工作在其上的包括DRM应 用的应用数据)的位置标记(如用于认证过程的认证消息)。RTC 218可以 输出时间信息，并且时间信息可以与位置信息组合。可替换地，RTC 218可 以位于SIM 210的外面，但是可以提供如当处于SIM 210内一样的功能。位 置信息或者合并的位置-时间信息可以存储在安全存储器216中。由于位置 信息是嵌入在WTRU中的最安全的部件的SIM中，位置信息可以认为是安 全的，并且可以用来访问控制、认证或者将在下面详细描述的其他目的。可 替换地，位置信息可以存储在SIM 210的外面，但是还是在可处于SIM 210 内或者SIM 210外面的TPM 214的加密保护下。
SIM 200还可以在运行在MPU/应用服务器220上的软件中实施。在这 种情况中，TPM 214保护整个WTRU 200或者WTRU 200的诸如SIM 210 和其相关的软件，MPU/应用处理器220及其相关软件等之类的部分的完整 性和可信性。
TPM 214(一般更加可信的处理模块)测量并访问WTRU 200的平台及 软件的完整性和可信度，并且还可以外部客户端的完整性和可信度，或者至 WTRU200的位置服务请求。TPM 214还保护或者持有在SIM 210中或者在 SIM 210外部但在WTRU 200内部的位置信息的安全性。TPM 214和用于安 全位置(和时间)和传统的SIM功能单元的部件可以集成在一个集成电路卡 (ICC)中。可替换地，TRM 214可以位于在WTRU 200中的SIM 210外面， 但是可以提供如在SIM 210内部时一样的功能。
TPM 214保护并提供用于位置功能和可信测量能力的信任的核心根。 TPM 214可以与操作系统和/或运行在MPU/应用处理器220上的应用一起工 作或者在其监督下工作，来验证请求WTRU 200的位置信息的实体的可信量 度，并且仅在确认请求者的可信量度之后，授权并控制位置信息的访问。TPM 214可以在接收位置传感实体230提供的位置信息之前，与操作系统和/或运 行在MPU/应用处理器220上的应用一起工作或者在它们的监督下工作，来 请求、收集并且验证位置传感实体230的可信量度。TPM 214可以与操作系 统和/运行在MPU/应用处理器220上的应用一起工作或者在其监督下工作， 来生成并维持安全日志。在检查到安全日志时，LBS运营商可以轻易地确定 WTRU 200上的部件的安全性是否是连续地可信的。
图3是用于提供WTRU 200的安全位置信息的示例性例程300的流程 图。在外部实体请求时或者在从WTRU 200至外部实体取得时，WTRU 200 可以首先证明(或者向自身或者远程地向诸如位置服务器的外部实体) WTRU 200平台的至少一个“可信状态”、位置传感实体的可信状态、和/或 内部LCS客户端115的可信状态等(步骤302)。然后，位置传感实体230 生成位置信息，并且缓存在安全存储器中(步骤304)。可选地，当前日期/ 时间、设备序列号和其他的参数可以与位置信息组合(步骤306)。位置信息 随同可选的信息是用数字签名或者通过加密，加密地绑定至WTRU 200中， 其中使用的加密密钥在WTRU中受到保护。位置信息以及可选的其他信息 和参数还可以使用WTRU的私钥或者在WTRU中持有的对称密钥来加密， 用以机密保护(步骤308)。位置信息的生成、存储、搜索和/或使用还可以 通过使用可信的计算技术(即使用TPM 214)，绑定至整个平台和/或WTRU 200的任何部分的完整性中。加密单向散列(例如SHA-1、MD5、SHA-256 等等)是由位置信息(可选地加密的)和任何可选信息生成的(步骤310)。 散列函数是签名的(即使用WTRU 200中持有的私钥来加密，优选地存储在 SIM 210或者TPM 214中，或者由SIM 210或者TPM 214加密地保护)，以 产生位置信息和可选的其他信息的数字签名(步骤312)。散列操作是优选地 在诸如SIM 210或者TPM 214这样的安全执行环境中执行的。可替换地， 这种操作还可以由MPU/应用处理器220执行。位置认证是由将签名的数字 散列(即数字签名)附加在(可选地加密的)位置信息上(或者与其他信息 合并的位置信息)(步骤314)。
可替换地，可以在被执行用来认证WTRU的认证过程中来向网络提供 位置信息。位置信息结合在认证消息中，其中认证消息是由认证协议的消息 完整性校验(MIC)保护的。在这种情况下，不需要数字认证。
外部实体可以使用WTRU的公钥来验证位置证书。如果签名不匹配， 位置证书被认为是无效的。通过从位置信息证书提取的位置信息计算新的散 列来验证签名。如果两个散列值不匹配，则外部实体可以假定位置证书不属 于特殊的数据记录，或者数据记录已经被改变。在另一种情况下，外部实体 必须认为位置证书为无效的。如果验证成功，则从位置证书读出位置信息， 并且假定为可信的。签名的位置证书可以用作位置的确认数据的不可否认的 证据，并且由用来生成通过其唯一的序列号或者类似的来识别的位置证书的 特定的设备。
使用散列和位置证书的数字签名有助于保护位置信息的通信。安全位置 部件本省可以是安全的，但是其输出(即包含位置信息的位置证书)在一旦 位置证书是在安全位置部件之外处理时，是不安全的。举例来说，位置证书 可以由不安全的程序改变或者存储在不安全的存储中的同时被篡改。因此， 在位置信息由安全位置部件提供后，使用散列和数字签名以验证方式保护了 位置信息。
位置传感实体230和位置信息可以根据诸如那些网络位置服务器提供的 可靠的、安全的外部位置参考来校准和重校准。举例来说，这可以通过增强 SIM 210中安全执行的认证过程，或者通过执行SIM 219中的分离的过程， 来执行。
WTRU 200还可以对具有位置信息的WTRU的或者部分WTRU(例如 MPU/应用处理器220)的感兴趣的事件的描述进行标记，其中事件的标记发 生。这种事件的位置标记还可以包括当出现位置标记时的时间信息。在这种 情况下，标记将被认为是位置时间标记。
图4是用于提供图2的WTRU 200的感兴趣事件的安全位置(有或者没 有时间)标记。在外部实体请求时或者从WTRU 200或其一部分(如MPU/ 应用处理器220)至外部实体的取得时和/或由WTRU 200或者其部分决定以 将感兴趣事件记入日志时，WTRU 200可以首先证明(向其本身或者远程地 向诸如位置服务器这样的外部实体)WTRU 200平台的“可信状态”、位置 传感实体的可信状态和/或内部LCS客户端115的可信状态等中的至少一个 (步骤402)。然后，感兴趣事件的描述是由WTRU 200或者其部分(如MPU/ 应用处理器220)生成，来呈现给应用或者外部实体，并且缓存在存储器中 (步骤404)。位置信息是刚从位置传感实体230中获取的，并且缓存在存储 器中(步骤406)。位置信息与感兴趣事件的描述以及包括日期/时间或者设 备序列号的可选的其他信息组合(步骤408)。如果机密保护是重要的，则事 件的描述、位置信息和任何其他可选的参数或者描述(例如日期/时间、序列 号等等)可以加密用以机密保护。非对称私钥或者对称密钥可以用于这种加 密。这种加密优选地在SIM 210或者TPM 214中执行。但是还可以由MPU/ 应用处理器220来执行(仍然在步骤408中)。感兴趣事件的(可选地加密 的)位置标记的加密单向散列描述和可选的其他信息被生成(步骤410)。该 散列是由存储在WTRU 200中的密钥签名，生成数字签名(步骤412)。优 选地，这种密钥优选地在SIM 210或者由TPM 214中或者外部加密保护。 该散列操作优选地在诸如SIM210或者TPM 214这样的安全执行环境中执 行。可替换地，这种操作还可以由MPU/应用处理器220来执行。尽管优选 的使用私钥用于这种签名，但是对称密钥或者公-私密钥对可以用来签名。 感兴趣事件的描述的位置标记的证书是通过将签名的数字散列(即数字签 名)附加在事件的(可选的加密的)位置标记描述来生成的，并且显示为合 并输出(步骤414)。这种输出被称为事件描述的位置标记的证书。事件描述 的位置标记的证书还可以包括在本身中，或者由包括被用于解密加密签名的 公钥的证书一起，该证书然后附加在位置证书上。
可替换地，位置信息可以在用于认证WTRU到无线网络的过程中提供。 位置信息并入在认证消息中，其中是由认证协议的消息完整性校验(MIC) 来保护。在这种情况下，不需要数字证书。
WTRU 200或者诸如位置服务器这样的外部网络实体还可以存储并跟 踪发生成功验证的多个最后位置。这种成功验证的位置历史记录可以被 WTRU 200上的或者位置服务器上的一些应用来使用。
外部实体可以使用WTRU公钥来验证位置证书。如果签名不匹配，则 位置证书被认为是无效的。附加在签名的位置证书中的数字签名通过计算来 自位置信息证书的新的散列来验证。如果两个散列值不匹配，则外部实体可 以假定位置证书不属于特殊的数据文件，或者数据文件已经改变。在任何一 种情况下，外部实体必须认为位置证书为无效的。如果验证成功，位置信息 从位置证书中读出，并且假定为可信的。签名的位置证书可以用作确认数据 的位置的不可否认的证据，以及用来生成通过其唯一的序列号或者类似的来 识别的位置证书的特定的设备。
用于散列和位置证书的数字签名的使用保护了位置信息。安全位置部件 本身可以是安全的，但是其输出(即包含位置信息的位置证书)，在一旦位 置证书在安全位置部件外面处理时，是不安全的。举例来说，位置证书被不 安全的程序改变或者存储在不安全的存储器中时被篡改。因此，散列和数字 签名的使用在位置信息由安全位置部件提供后，以可验证的方式保护了位置 信息。
可选地，域可以与位置信息包括在一起，来指示上次位置传感实体的位 置测量的精确性是由可信的第三方(如安全位置服务器)校验的，以及上次 位置传感实体被重校准的时候。这些域可以由应用使用来触发重新校验过 程，改变为篡改条件或者类似的。
一些传统的技术可用于与上面描述的安全性机制一起使用来加强操作 的安全性。加密数字签名算法(如数字签名标准(DSS)、RSA、NTRU或者 类似的)可以使用，从而每一个设备具有使用来签名于证书的其自己的唯一 的私钥。防篡改(tamper resistant)机制还可以用来探测并防止外部信号探 测、发现、功率分析等等，以发现内部操作和密钥，或者尝试功能的修改。 安全存储器或者电子熔接盒(E-Fuse Box)可以用来安全地存储设备ID、设 备序列号、设备专用密钥和在保护的硬件中的其他秘密信息，从而提供加密 设备识别。
还可以使用硬件保护密钥。在防篡改的硬件中生成位置证书签名的设备 的唯一密钥，并且从不在外部公布。因此，只有认证的实体可以无需解决硬 件防篡改特征来解密私钥的值。
还使用软件保护机制。如果密钥是由运行在专用硬件上的软件(无需硬 件防篡改)生成的，则密钥可以通过便携式加密设备(智能卡、软件保护器 (加密狗)(dongle))、软件防篡改和/或具有嵌入的分离密钥(split-key)的 代码混淆的组合来保护(以确保整个密钥在任何时候从不完全地公开)。
加密随机数生成器(RNG)还可以用来生成防重放现时(anti re-play “nonce”)来附加在数据输入上，以生成加密的难以破坏的(harder-to-crack) 散列输出，以及反攻击例如重放攻击(re-play attack)、生日攻击(birthday attack)和字典攻击(dictionary attack)。
还可以执行公钥的安全认证(即用来验证签名)，从而已经分配的伪公 钥不能执行伪位置证书的假验证。
一旦WTRU的位置信息或者感兴趣事件的位置标记的描述以安全的方 式提供给网络，位置信息或者感兴趣的事件的位置标记的描述可以用来控制 WTRU 200(和/或用户)的认证，并且控制WTRU 200的或者WTRU 200 连接的网络的一些应用、服务、数据、功能等的访问。
在网络上的客户端请求时，安全位置服务器(如GMLC)是在网络上给 请求客户端，安全地提供参考位置的基于网络的服务器。安全位置服务器可 以使用安全的基于网络的同步协议。位置服务器是维护位置信息的可信的网 络部件。PPR 148是提供关于隐私和WTRU的访问控制，和/或关于处理信 息和其他安全相关的信息的策略的另一个基于网络的服务器。位置服务器加 强了从PPR 148获取的任何隐私和安全性策略。
图5是示例性位置服务器500的框图。位置服务器包括接收单元502、 处理器504和可信处理模块506(可选的)。接收单元502接收WTRU 200 的可信的位置信息。处理器504执行如下公开的包括基于位置信息的认证和 访问控制的多种功能。可信处理模块测量平台和软件的完整性和可信度。
处理器504可以使位置信息和一组上下文位置信息相关联。上下文位置 信息可以是WTRU的当前位置是否是在已知对象的位置中或者附近(及有 多近)的指示器，其中该对象的位置被认为是可信的，并且这种可信关系是 由WTRU 200、位置服务器和PPR 148识别。上下文位置信息可以是作为绝 对地理位置或者已知对象或者参考点的相对位置的指示器，其中WTRU的 将来的位置可以是用户或者网络指定的未来时间。
处理器504可以具有来生成、安全地存储、更新并传播给WTRU的策 略的能力和功能，该策略起源于PPR 148并由位置服务器获取用于加强和/ 或传输，该能力和功能控制基于位置的信息怎样被用于由WTRU 200或者其 内部LCS客户端115来内部地使用，以控制一些访问权利(例如，在访问 授权/拒绝基础和分级访问授权基础上，通过WTRU 200上的应用来访问特 定数据、存储区域或其他应用，或者在授权/拒绝基础和分级基础两者上，以 人工访问方式来访问WTRU 200或者网络提供的特定应用)。位置服务器还 具有来加强这种策略的能力和功能。位置服务器可以直接加强策略或者指示 WTRU 200来自我调整这种访问控制。
处理器504可以具有来基于(全部地或者部分地)组播条件下的其位置 来控制提供给每一个WTRU 200的服务的QoS等级。
处理器504和/或可信处理模块506可以具有来访问位置信息的可信度 (完整性和机密性)的能力和功能。通过网络中的PPR 148的交叉校验可以 执行验证。PPR 148可以具有从位置服务器来接收地理位置的信息和关于 WTRU 200的上下文信息，校验这些数据的完整性和精确性，并且以安全方 式将校验结果的报告回位置服务器的能力和功能。位置信息的可信度的验证 可以可替换地由位置服务器500本身校验。
处理器504具有使用独立于WTRU自己的位置确定和报告机制的补充 的位置测量方法，来在接收到WTRU 200的位置信息后校验其真实的位置。 举例来说，以在美国专利申请序列号为11/283,017的名称为“Method and System for Securing Wireless Communication”中公开的，以独立的方式来确 定WTRU的位置的使用三个或更多距离测量无线访问点的方法，由于该专 利已经提出，所以其在此通过引用并入本文，且可用于该目的。
可信处理模块506可以具有来验证由WTRU 200发送的证明的可信性， 该可信性是按照某些信息的完整性测量的，其中这些信息加密地将WTRU 的位置信息绑定至其软件、操作系统或者秘密数据的完整性。可信处理模块 506能传导可信度计算处理，例如通过使用可信计算组(TCG)技术。
处理器504和/或可信处理模块506还可以具有来安全地与WTRU、其 他位置服务器和PPR进行位置信息通信的能力和功能，其中在传输级和应用 层级两者上确保了安全性。
处理器504还可以具有来提供诸如基于位置的访问控制(包括认证)、 基于位置的网络路由和传输控制、基于位置的服务控制(包括服务访问控 制)、基于位置的访问控制策略供应给WTRU之类的服务的能力和功能。
处理器504还可以具有位置时间标记的能力和功能。举例来说，处理器 504可以提供给WTRU、其他位置服务器或者PPR 148，包括特殊事件或者 感兴趣的数据的位置时间标记的安全数据。处理器504可以在接收后，验证 位置时间标记数据的完整性和精确性。
处理器504还具有来安全地管理使用在基于位置的访问控制过程中的密 钥和策略管理历程。
如上面所描述的，WTRU 200的位置信息(物理和上下文的)可以用来 允许、不允许或者控制访问WTRU的操作系统或者应用、人工用户、对等 移动设备(那些尝试来访问协作网络设置中的特定WTRU的应用)、或者网 络上的实体(如远程应用提供商或者其他服务提供商)的数据或者应用。例 如，仅当WTRU 200在一些区域中时，可以允许访问DRM上下文。仅当 WTRU 200处于由位置信息确定的安全的环境中时，可以允许访问共同的网 络。
位置信息还可以用来估计WTRU 200的速率或者速度动力学，以提取可 用来引导WTRU 200中的信息控制的额外的参数。例如，当WTRU 200处 于热点附近时，可以允许访问本地热点服务。在这种情况下，WTRU 200的 位置和速度可以用来准备WTRU 200和网络之间的热点服务规定。WTRU 200的位置传感实体和由位置传感实体生成的位置信息是安全的，因此，其 中产生的任何速度或者方向信息可以认为是安全的。
在点对点(ad hoc)网络或者网状网络中，位置信息可以用作有效网络 路由决定的装置。在高度移动网络中(如用于车载通信的本地无线网络)， 由于网络可以连续地变体为车辆输入，因此位置信息可以用来提供动态路由 决定，并且在高频退出本地网络。当车辆之间以及诸如道路交叉口的交通灯 等这样的固定节点之间出现通信时，这可用于车辆安全系统。
WTRU的可信的位置信息可以集成于已知对象的可信的位置信息中，并 且基于该信息可以提供基于位置的服务。该方法可被称为可信位置对象标签 (trusted location object tagging，TLOT)。如果较多数目的对象的数据库可用 于LBS网络营运商，则该数据库可以由LBS网络运营商使用来提供各种基 于位置的服务。数据库中的对象的位置可以是固定的或者移动的，但该移动 仅仅是以非常慢且可辨别的基础。这些对象的位置可以在时间上跟踪，并且 地理位置属性(如经度、维度和高度信息)和上下文位置属性(如“这是联 邦安全联合体”，“这是禁止吸烟的自助餐厅，”等等)在两个方向上(即地 理映射和地理反映射在数据库中被支持)相互交叉相关。已知对象的例子可 以是建筑物、地界标或者任何其他的地理对象(如河、池塘、山、沙漠、路、 水坝等等)。
举例来说，当确定WTRU 200的位置被确定靠近已知WiFi安全性攻击 的建筑物时，运营商可以提供访问控制服务，来拒绝对WTRU 200的WiFi 访问，除非WTRU 200或者其用户能提供合适的认证和其他安全性证据。
另外，WTRU 200还可以存储并使用TLOT信息。举例来说，当WTRU 200可以使用其位置的其当前知识(例如从位置传感实体230获取的)，来在 使其当前的位置与任何已知或者其位置以可信的方式打上标签的对象的期 望TLOT信息相关联之后，进行访问控制或者发起或者请求特定的基于位置 的服务。
基于位置的数据的路由是可能的。举例来说，如果WTRU 200被确定在 已知为具有某些不同类别的路由能力的建筑物中，WTRU 200可以用来使用 特殊的(无线)路由器，但不是其他的用于其在建筑物中无线通信的。
诸如DRM或者移动付款这样的很多移动应用可以通过使用协议中的安 全位置信息，使应用协议中的进一步的安全性获益。举例来说，在OMA DRM 中，DRM设备(如WTRU)使用从其在权限对象获取协议(rights object acquisition protocol，ROAP)请求子协议中的内部LCS客户端的位置的本 地测量。在接收到设备位置时，网络DRM服务提供商使用位置信息来确定 这种请求的有效性和适合性。
上面公开的方法启动的可信的位置信息或者位置时间信息可以包括在 协议消息中。这种消息的接收能够使用这种消息来促进WTRU 200执行的或 者请求的处理的适合性的验证的精确性。
表1显示了包括位置信息(和可选地时间信息)的ROAP权限对象(RO) 请求消息格式。ROAP RO请求消息是由DRM设备(如WTRU)发送给DRM 权限颁发者(RI)，以请求DRM设备希望来消耗的DRM上下文的RO。传 统的ROAP RO请求消息不包含正在请求RO的WTRU 200的位置信息(或 者时间信息)。在修改后的ROAP RO请求消息中，包括WTRU 200的当前 位置的位置信息(并且可选地时间信息)(表1中粗体示出的)，并且位置信 息可以在权限颁发者上使用来访问是否并且怎样来给请求WTRU 200授权 RO的发布。
表1

WTRU 200示出了给RI的当前位置信息可由RI访问，来通过诸如之前 描述的位置服务器这样的第三方验证器来验证WTRU 200的要求的位置的 有效性，和/或使用位置信息来决定是否RO应该用于WTRU 200且怎样来 授权RO。
相似的修改可以用于包括但不限于设备话务(Device HELLO)、RI话务 (RI HELLO)、注册请求、注册响应、RO响应、加入域请求、加入域响应、 离开域请求和离开域响应消息这些的其他ROAP相关的消息，以使能够控制 DRM使用的基于位置的信息。传统协议和相关的消息格式的相似的修改还 能来允许使用位置信息，用以其他DRM使用情况中的设备的认证，例如从 WTRU 200到关闭设备存储设备的DRM上下文的存储，或者在对等移动 DRM设备之间的上下文的超分配。
位置信息可以通过给诸如单点登陆(SSO)和联盟的ID应用之类的其 他应用增加具有位置信息的传统的认证过程，来补充WTRU 200的传统认证 过程。
在基站上可用的WTRU的可信的位置信息、诸如无线局域网(WLAN) 接入点这样的其他网络节点或者位置服务器，在协作网络中有用的。在协作 网络中，一些WTRU可以用作辅助器，来发送数据给基站的其他WTRU， 或者传输数据给其他WTRU的基站。该操作完全使用了空间多样性来提供 网络性能。协作网络的另一个优势是将扩展覆盖范围。了解在安全方式中的 WTRU的位置后，基站(或者位置服务器或者任何其他网络实体)可以识别 合适位置中的WTRU，并且请求在数据传输中以及其他功能中的那些WTRU 的帮助。
位置信息的另一个应用是组播。基站提供服务给多个WTRU，远离基站 的一些WTRU不期望接收高的服务质量(QoS)。基于WTRU的位置(以及 其他的信道信息)，基站可以确定每一个WTRU的QoS的等级。这可以节省 网络的宽带。举例来说，如果基站基于WTRU的可信的位置信息了解WTRU 而将由于其位置而在很大可能上丢失数据，基站可以决定不重传一些数据给 没有接收那些数据的远程WTRU。
在上述两个例子中(即协作网络的形成，并且在组播条件中确定QoS 等级)，无线网络可以访问具有除了位置信息的更多的作为确定量度的直接 相关的信息或测量。举例来说，如果基站对小区中的所有WTRU具有直接 双向通信链路，基站将一般能访问小区中的所有WTRU的所有的RF信道链 路质量量度(如信噪比(SNR))。这种测量可以比仅位置信息作为形成协作 网络或者组播QoS等级的决定式更加直接地有用。但是，当基站没有带宽来 维持与小区中的所有WTRU双向链路但是能维持与能充当其他几个WTRU 的位置信息的收集器和发送器的WTRU中的其中一个的双向链路时，在确 定组播QoS等级或者合作网络的边界时，基站可以使用来自收集器和发送器 WTRU的关于所有的WTRU的位置信息。
实施例
1、一种WTRU，包括位置传感实体，该位置传感实体被配置成生成所 述WTRU的位置信息。
2、根据实施例1所述的WTRU，包括SIM。
3、根据实施例1-2中任一项实施例所述的WTRU，包括可信处理模块， 该可信处理模块被配置成确保所述位置信息的完整性以及平台、所述位置传 感实体和软件的可信度。
4、根据实施例3所述的WTRU，其中所述可信处理模块被配置成使用 证书来将所述位置信息绑定至特定数据，并且输出所述证书到所述WTRU 外部的部件。
5、根据实施例3-4中任一项实施例所述的WTRU，其中所述可信处理 模块被配置成将所述位置信息绑定至平台完整性数据。
6、根据实施例3-5中任一项实施例所述的WTRU，其中所述可信处理 模块被配置成将所述位置信息绑定至应用完整性数据。
7、根据实施例3-6中任一项实施例所述的WTRU，其中所述可信处理 模块被配置成将所述位置信息绑定至具有消息完整性校验的消息。
8、根据实施例3-7中任一项实施例所述的WTRU，其中所述可信处理 模块是可信计算组(TCG)可信平台模块(TPM)和移动可信模块(MTM) 中的一者。
9、根据实施例3-8中任一项实施例所述的WTRU，其中所述可信处理 模块被配置成在授权外部实体访问所述位置信息或者从所述外部实体接受 信息之前，验证想要接收所述位置信息的所述外部实体的可信量度。
10、根据实施例3-9中任一项实施例所述的WTRU，其中所述可信处理 模块是嵌入在所述SIM中。
11、根据实施例2-10中任一项实施例所述的WTRU，其中所述SIM在 软件中被实施，该软件的完整性是由所述可信处理模块保护和验证的。
12、根据实施例1-11中任一项实施例所述的WTRU，其中所述位置传 感实体通过所述可信处理模块绑定至所述SIM。
13、根据实施例1-12中任一项实施例所述的WTRU，其中所述位置信 息被提供给网络以用于认证目的。
14、根据实施例13所述的WTRU，其中所述SIM被配置成在消息中包 括所述位置信息，所述消息具有消息完整性校验并且该消息在认证过程中被 发送。
15、根据实施例1-14中任一项实施例所述的WTRU，其中所述位置传 感实体是根据安全、可信的第三方提供的参考来校准。
16、根据实施例1-15中任一项实施例所述的WTRU，其中所述位置信 息由数字权限管理(DRM)应用和移动付款应用中的一个来使用。
17、根据实施例1-16中任一项实施例所述的WTRU，其中所述位置信 息被包括在DRM数据交换协议消息中。
18、根据实施例1-17中任一项实施例所述的WTRU，还包括实时时钟 (RTC)，该RTC用于输出时间信息，其中所述时间信息是与所述位置信息 组合的。
19、一种用于保护位置信息的方法。
20、根据实施例19所述的方法，包括：验证位置传感部件的完整性和 在无线发射/接收单元(WTRU)中的平台和软件的可信度。
21、根据实施例20所述的方法，包括：如果所述完整性和所述可信度 被验证，则生成所述WTRU的位置信息。
22、根据实施例21所述的方法，还包括：将所述位置信息嵌入消息中。
23、根据实施例22所述的方法，还包括：发射所述消息。
24、根据实施例20-23中任一项实施例所述的方法，其中所述完整性是 使用TCG TPM和MTM中的一者来验证的。
25、根据实施例21-24中任一项实施例所述的方法，还包括基于所述位 置信息来执行访问控制。
26、根据实施例23-25中任一项实施例所述的方法，其中在认证过程中 发送所述消息。
27、根据实施例20-26中任一项实施例所述的方法，还包括：根据由安 全、可信的第三方所提供的参考来校准位置传感部件。
28、根据实施例21-27中任一项实施例所述的方法，还包括在授权外部 实体访问所述位置信息或者从所述外部实体接受消息之前，验证想要接收所 述位置信息的所述外部实体的可信量度。
29、根据实施例22-28中任一项实施例所述的方法，其中所述消息是 DRM数据交换协议消息。
30、根据实施例21-29中任一项实施例所述的方法，其中所述位置信息 是由被移动付款应用使用的。
31、根据实施例21-30中任一项实施例所述的方法，还包括生成时间信 息。
32、根据实施例31所述的方法，包括将所述时间信息与所述位置信息 组合。
33、一种使用无线发射/接收单元(WTRU)的被保护的位置信息的方法。
34、根据实施例33所述的方法，包括：获取WTRU的位置信息，位置 传感部件的完整性以及所述WTRU中的平台和软件的可信度在生成并获取 位置信息之前被验证。
35、根据实施例34所述的方法，包括基于所述位置信息提供服务。
36、根据实施例35所述的方法，其中对所述WTRU应用和资源的访问 控制是基于所述位置信息执行的。
37、根据实施例35-36中任一项实施例所述的方法，其中对于来自网络 的数据和服务的访问控制是基于所述位置信息执行的。
38、根据实施例34-37中任一项实施例所述的方法，其中在进行位置测 量和执行基于位置的进程之前，本地地确认所述WTRU的可信状态。
39、根据实施例34-38中任一项实施例所述的方法，其中在进行位置测 量和执行基于位置的进程之前，远程地确认所述WTRU的可信状态。
40、根据实施例34-39中任一项实施例所述的方法，其中所述完整性和 可信度是通过使用TCG TPM和MTM中的一者来验证的。
41、根据实施例35-40中任一项实施例所述的方法，还包括：使用所述 位置信息来执行所述WTRU的认证。
42、根据实施例35-41中任一项实施例所述的方法，还包括：使用所述 位置信息来估计所述WTRU的速度，其中所述速度是用作访问控制策略的 参数。
43、根据实施例35-42中任一项实施例所述的方法，其中用于所述WTRU 的路由决定是基于所述位置信息做出的。
44、一种用于支持基于位置的服务的位置服务器。
45、根据实施例44所述的位置服务器，包括：接收单元，该接收单元 用于获取无线发射/接收单元(WTRU)的位置信息，位置传感部件的完整性 以及所述WTRU中的平台和软件的可信度在生成并获取位置信息之前被验 证。
46、根据实施例45所述的位置服务器，包括处理器，该处理器用于基 于所述位置信息提供服务。
47、根据实施例46所述的位置服务器，其中对所述WTRU应用和资源 的访问控制是基于所述位置信息执行的。
48、根据实施例46-47中任一项实施例所述的位置服务器，其中对于来 自网络的数据和服务的访问控制是基于所述位置信息执行的。
49、根据实施例46-48中任一项实施例所述的位置服务器，其中所述处 理器使用所述位置信息来执行所述WTRU的认证。
50、根据实施例46-49中任一项实施例所述的位置服务器，其中所述处 理器使用所述位置信息来估计所述WTRU的速度，其中所述速度被用作所 述访问控制的参数。
51、根据实施例46-50中任一项实施例所述的位置服务器，其中所述处 理器基于所述位置信息来做出用于所述WTRU路由决定。
52、根据实施例46-51中任一项实施例所述的位置服务器，其中所述处 理器被配置成基于所述位置信息来控制提供给所述WTRU的服务质量 (QoS)等级。
53、根据实施例46-52中任一项实施例所述的位置服务器，其中所述处 理器被配置成验证由所述WTRU发送的证明的可信性。
54、根据实施例46-53中任一项实施例所述的位置服务器，其中所述可 信性根据特定信息的完整性来测量的，该特定信息的完整性加密地将所述位 置信息绑定至软件、操作系统和秘密数据中的至少一者的完整性。
55、根据实施例46-54中任一项实施例所述的位置服务器，其中所述处 理器被配置成指示所述WTRU来基于所述位置信息将数据转发给用于协作 分配的指定的实体。
56、一种用于生成位置信息证书的方法。
57、根据实施例56所述的方法，包括：生成无线发射/接收单元(WTRU) 的位置信息。
58、根据实施例57所述的方法，包括：生成所述位置信息的加密的单 向散列。
59、根据实施例58所述的方法，包括：用WTRU中持有的私钥来对所 述加密的单向散列进行数字签名。
60、根据实施例59所述的方法，包括：通过将所述数字签名的散列附 加到所述位置信息来生成位置证书。
61、根据实施例57-60中任一项实施例所述的方法，还包括：加密所述 位置信息以用于机密保护。
62、根据实施例57-61中任一项实施例所述的方法，还包括：证明所述 WTRU平台的可信状态、所述WTRU的位置传感实体的可信状态和内部位 置服务(LCS)客户端的可信状态中的至少一者。
63、根据实施例57-62中任一项实施例所述的方法，其中感兴趣事件的 描述是与所述位置信息组合的。
64、一种用于生成位置信息证书的WTRU。
65、根据实施例64所述的WTRU，包括：位置传感实体，该位置传感 实体用于生成所述WTRU的位置信息。
66、根据实施例65所述的WTRU，包括：可信处理模块，该可信处理 模块用于生成所述位置信息的加密的单向散列，用所述WTRU中持有的私 钥来对所述加密的单向散列进行数字签名，并且通过将被数字签名的散列附 加到所述位置信息来生成位置证书。
67、根据实施例65-66中任一项实施例所述的WTRU，其中所述位置信 息被加密以用于机密保护。
68、根据实施例65-67中任一项实施例所述的WTRU，其中所述可信处 理模块证明所述WTRU平台的可信状态、所述WTRU的位置传感实体的可 信状态和内部位置服务(LCS)客户端的可信状态中的至少一者。
69、根据实施例65-68中任一项实施例所述的WTRU，其中可信性是根 据特定信息的完整性测量的，该特定信息的完整性加密地将所述位置信息绑 定至软件、操作系统和秘密数据中的至少一者的完整性。
70、根据实施例65-69中任一项实施例所述的WTRU，其中感兴趣事件 的描述是与所述位置信息组合的。
虽然本发明的特征和元素在优选的实施方式中以特定的结合进行了描 述，但每个特征或元素可以在没有所述优选实施方式的其他特征和元素的情 况下单独使用，或在与或不与本发明的其他特征和元素结合的各种情况下使 用。本发明提供的方法或流程图可以在由通用计算机或处理器执行的计算机 程序、软件或固件中实施，其中所述计算机程序、软件或固件是以有形的方 式包含在计算机可读存储介质中的。计算机可读存储介质的例子包括只读存 储器(ROM)、随机存取存储器(RAM)、寄存器、缓存存储器、半导体存 储设备、诸如内部硬盘和可移动磁盘这样的磁性介质、磁光介质和如 CD-ROM光盘和数字通用光盘(DVD)这样的光介质。
举例来说，恰当的处理器包括：通用处理器、专用处理器、传统处理器、 数字信号处理器(DSP)、多个微处理器、与DSP内核相关的一个或多个微 处理器、控制器、微控制器、专用集成电路(ASIC)、现场可编程门阵列 (FPGA)电路、任何一种集成电路(IC)和/或状态机。
与软件相关的处理器可以用于实现一个射频收发机，以便在无线发射接 收单元(WTRU)、用户设备(UE)、终端、基站、无线电网络控制器(RNC) 或者任何主机计算机中加以。WTRU可以与采用硬件和/或软件形式实施的 模块结合使用，例如照相机、摄像机模块、可视电话、扬声器电话、振动设 备、扬声器、麦克风、电视收发器、免提耳机、键盘、模块、调频(FM) 无线单元、液晶显示器(LCD)显示单元、有机发光二极管(OLED)显示单 元、数字音乐播放器、媒体播放器、视频游戏机模块、互联网浏览器和/或任 何无线局域网(WLAN)模块。