用户设备邻近请求认证制造技术

通过响应于代表第一用户设备的第一邻近请求而从邻近服务功能向应用服务器传送映射请求来在蜂窝网络内处理邻近请求。然后响应于映射请求而从应用服务器向邻近服务功能传送映射响应。映射请求以及映射响应中的一个或二者包括允许第一邻近请求的认证的密码签名。

User device proximity request authentication

A neighbor request is processed in a cellular network in response to a transfer request from an adjacent service function to an application server in response to a first neighbor request representing the first user device. The mapping response is then transferred from the application server to the neighboring service function in response to the mapping request. One or two of the mapping request and the mapping response includes a password signature that allows authentication of the first neighbor request.

【技术实现步骤摘要】
【国外来华专利技术】
本专利技术提供以下中的任何单独的或组合：应用服务器；用于蜂窝网络的邻近（proximity）服务功能；以及用户设备。还提供了处理蜂窝网络内的邻近请求的方法。
技术介绍
第三代合作伙伴计划（3GPP）已正在开发对蜂窝系统的增强以允许其用于公共安全通信的操作。这些开发的重要部分关注基于邻近的服务，其被称为ProSe。在该过程内已经商定数个文档，包括技术报告（TR）23.703和技术规范（TS）23.303。TS23.303v.12.0.0讨论了使得能够做出和履行邻近请求的功能性。这是在第一用户设备（UE）请求关于第二UE与它的邻近性的信息时。描述了数个不同场景，包括其中两个UE均属于不同公共陆地移动网络（PLMN）的情况。首先参照图1，示出具有用于提供该功能性的网络实体和接口的现有参考架构的示意图。第一UE（UEA）10在第一PLMN（PLMNA）中。第二UE（UEB）60在第二PLMN（PLMNB）中。每一个UE操作ProSe应用，UEA10操作Prose应用11并且UEB60操作Prose应用61。UEA10与UEB60之间的接口被称为PC5（每一个接口由相应参考点定义）。PLMNA具有第一ProSe功能20并且PLMNB具有第二ProSe功能40，其中第一ProSe功能20与第二ProSe功能40之间的接口被称为PC6。在UEA10在漫游的情况下，还存在UEA10漫游在其中的PLMN（PLMNC）中的Prose功能与PLMNA中的第一ProSe功能20之间的PC7接口（未示出）。第一ProSe功能20具有与第一归属订户服务器（HSS）的接口PC4a和与第一安全用户平面位置（SUPL）位置平台（SLP）25的接口PC4b。类似地，第二ProSe功能40具有与第二HSS的接口PC4a和与第二SLP45的接口PC4b。第一ProSe功能20具有与第一ProSe应用服务器（AS）31的接口PC2，并且第二ProSe功能40具有与第二ProSeAS32的接口PC2。PC2接口用于定义ProSe应用服务器32与3GPPEPS经由ProSe功能提供的ProSe功能性40之间的交互（例如名称翻译）以用于EPC级ProSe发现。第一ProSe功能20和第二ProSe功能40二者具有与UEA10的接口PC3。每一个UE具有应用层用户ID（ALUID），其将是在每一个UE处用于自身的标识符。UE还将使用它希望对其做出邻近请求的任何其它UE的ALUID。单独地，每一个UE具有相关联的演进分组核心（EPC）ProSe用户ID（EPUID），其唯一地标识向ProSe注册的UE并且由ProSe功能分配。应用服务器（诸如第一AS31和第二AS32）是在被提供有针对特定目标UE的ALUID时向ProSe功能公开该UE的EPUID的实体。这允许ProSe功能向管理该目标UE的另一Prose功能发送针对在特定时间段内目标UE的位置信息的请求。参照图2，示出以已知方式实施的针对邻近请求传送的消息的示意图。这基于3GPPTS23.303v.12.0.0的图5.5.5-1。在已经使用与如图1中所示的相同的特征的情况下，已经采用相同的附图标记。虽然图1示出两个应用服务器，但是该图示出单个应用服务器30，其将负责代表UEA10管理邻近请求。所发送的消息的完整描述可以在3GPPTS23.303v.12.0.0的章节5.5.5中找到。但是简要地提供以下概述。邻近请求消息1从UEA10发送至ProSe功能A20，其标识针对UEA10的ALUID和针对UEB60的ALUID。其还标识要使用的应用服务器30（使用应用ID字段）。映射请求消息2然后从ProSe功能20发送至应用服务器30，标识针对UEB60的ALUID，并且应用服务器30发送映射响应消息3，具有针对UEB60的EPUID。这然后可以由ProSe功能A20在第二邻近请求消息4中提供给ProSe功能B40，所述第二邻近请求消息可以用于请求针对UEB60的位置。典型地，ProSe功能A20将仅响应于来自UEA10的真正邻近请求消息1而起作用。然而，当前不存在确保向ProSe功能B40（通过PC6或PC7接口）发送针对目标UEB60的邻近请求的发起PLMNA的ProSe功能A20已经由发起PLMNA的UEA10请求的机制。邻近请求可以提供关于在做出请求的PLMN外的UE的位置信息。作为结果，它们提供强大的功能性并且防止它们的滥用是合期望的。但是，在不导致显著中断或向系统添加大复杂性的情况下实现这一点是一项挑战。
技术实现思路
针对该背景并且在第一方面中，提供了一种用于与蜂窝网络对接的应用服务器（AS），其包括：邻近服务功能接口，其被配置成从代表第一用户设备UE的第一邻近服务功能接收映射请求；以及安全逻辑，其被配置成认证映射请求，并且在映射请求被认证的情况下，向第一邻近服务功能传送映射响应。AS因而充当用于检查映射请求是真正的认证系统。特别地，AS可以认证映射请求源自通过第一UE的邻近请求。对AS而言进行认证是有利的，因为其与做出邻近请求的ProSe功能直接通信并且因而将很有条件在不导致对系统的显著困难的情况下检查ProSe功能没有在滥用功能性。映射请求典型地用于提供针对第二UE（其将是邻近请求的目标）的第一标识符（诸如ALUID）。映射响应通常用于提供针对第二UE的第二标识符（诸如EPUID），第二标识符一般用于允许邻近请求继续进行。映射响应还可以标识与第二UE相关联的第二邻近服务功能（典型地第二UE的PLMN中的ProSe功能），其可以被称为PFID。典型地，每一个PLMN将具有至少一个相应ProSe功能。用于邻近请求的现有技术中的风险在于来自UE的仅一个邻近请求将允许ProSe功能保持[ALUID_B,EPUID_B,PFID_B]映射（也就是说，针对目标、第二UE）的记录并且具有稍后发送邻近请求的能力（如在3GPPTS23.303v.12.0.0的章节5.5.5的邻近请求过程的步骤4中所描述的）。这可以是可能的，即使UE实际上并未发送邻近请求。这可以造成可能非常难以由服务特定ProSeUE的PLMN检测的通过其它PLMN对用户的显著追踪。AS处的映射请求的认证（或本文所描述的其它认证中的一个或其组合）可以帮助解决该问题。因而所采取的方案作出数个假设。首先，要指出的是，并未给出位于不同PLMN中的ProSe功能将不出于追踪特定ALUID的目的而发布邻近请求的信任。与服务级协定一样，这样的信任可能难以建立。而且，我们不需要假定应用服务器将总是位于进行请求的ProSe功能的相同PLMN中。事实上，应用服务器可以在公共安全机构或消费者第三方服务提供商的控制之下。因此，其不必需要是移动网络运营商托管或拥有的服务。最后，如果应用服务器位于PLMN外，应当建立的是，负责特定EPUID的ProSe功能是否应当检查传入邻近请求是由特定UE真正请求的，而不是ProSe功能ALUID。尽管AS实施该检查，但是ProSe功能可以实施某种另外的检查，如本文将讨论的。存在AS可以认证映射请求的各种方式。一个方案如下工作。AS还可以包括用户设备接口，其被配置成在接收映射请求之前与UE建立密码密钥（其可以包括以下中的本文档来自技高网...

【技术保护点】
一种用于与蜂窝网络对接的应用服务器，其包括：邻近服务功能接口，其被配置成从代表第一用户设备UE的第一邻近服务功能接收映射请求；以及安全逻辑，其被配置成认证映射请求，并且在映射请求被认证的情况下，向第一邻近服务功能传送映射响应。

【技术特征摘要】
【国外来华专利技术】2014.03.24 GB 1405212.01.一种用于与蜂窝网络对接的应用服务器，其包括：邻近服务功能接口，其被配置成从代表第一用户设备UE的第一邻近服务功能接收映射请求；以及安全逻辑，其被配置成认证映射请求，并且在映射请求被认证的情况下，向第一邻近服务功能传送映射响应。2.根据权利要求1所述的应用服务器，还包括：用户设备接口，其被配置成在接收映射请求之前与UE建立密码密钥；并且其中所述映射请求还包括来自UE的密码签名，所述安全逻辑被配置成通过使用所建立的密码密钥证实密码签名来认证映射请求。3.根据权利要求1或权利要求2所述的应用服务器，其中所述安全逻辑被配置成在以下中的一个或多个的基础上认证映射请求：从第一邻近服务功能接收的先前映射请求；以及应用服务器处的UE的存在检测。4.根据任何前述权利要求所述的应用服务器，其中所述安全逻辑还被配置成使用所建立的密码密钥生成应用服务器密码签名并且传送应用服务器密码签名连同映射响应。5.根据权利要求2或权利要求4所述的应用服务器，其中所述邻近服务功能接口还被配置成从第二邻近服务功能接收密钥提取请求，并且响应于所接收到的密钥提取请求而向第二邻近服务功能发送所建立的密码密钥的至少部分。6.一种用于蜂窝网络的邻近服务功能，其包括：用户设备接口，其被配置成从第一用户设备UE接收第一邻近请求；应用服务器接口，其被配置成响应于所接收到的第一邻近请求而向应用服务器发送映射请求并且从应用服务器接收映射响应；以及邻近服务功能接口，其被配置成基于第一邻近请求和映射响应而向另一邻近服务功能发送第二邻近请求，所述第二邻近请求包括基于第一邻近请求的密码签名以允许另一邻近服务功能认证第二邻近请求。7.根据权利要求6所述的邻近服务功能，其中所述用户设备接口被配置成从第一UE接收UE密码签名，其中所述应用服务器接口还被配置成向应用服务器发送UE密码签名，并且其中由邻近服务功能接口发送的第二邻近请求包括UE密码签名。8.根据权利要求6或权利要求7所述的邻近服务功能，其中所述应用服务器接口还被配置成从应用服务器接收应用...

【专利技术属性】
技术研发人员：S巴巴奇，A巴里，
申请(专利权)人：沃达丰IP许可有限公司，
类型：发明
国别省市：英国;GB