CN111373782B - 针对直接发现的申请的授权 - Google Patents

Abstract

用于授权用户设备(UE)中的应用进行直接发现的系统、方法和软件。在一个实施例中，授权机制接收针对UE中的应用所发送的发现请求的信息(例如，应用ID)。响应于发现请求，授权机制针对关于被映射到应用ID的安全参数的信息来质询UE。基于UE所提供的信息，授权机制确定该应用是否被授权进行直接发现。

Description

针对直接发现的申请的授权

技术领域

本发明涉及通信系统领域，并且具体地涉及对邻近服务的直接发现。

背景技术

移动通信已经主要涉及移动站(即，用户设备(UE))与基站通信，该基站转而连接到核心网络。控制和用户平面业务通过核心网络被路由。邻近服务或基于邻近度的服务是指在彼此邻近的UE之间提供的服务。邻近服务利用UE的无线电技术，使得紧邻的UE可以彼此直接交换通信而无需通过核心网络，这也被称为设备到设备(D2D)通信。

第三代合作伙伴计划(3GPP)已经定义了邻近服务(ProSe)，该邻近服务允许D2D通信作为蜂窝网络的基础。在D2D通信中，UE使用蜂窝资源通过直接链路彼此传输数据信号，而不是通过核心网络路由数据信号。因此，D2D通信涉及在彼此邻近的UE之间直接传输业务，而不是通过诸如演进型分组核心(EPC)的核心网络路由业务。由于在紧邻的UE之间存在直接通信，因此D2D通信减轻来自EPC网络的业务，而无需附加的基础设施。D2D通信还可以在UE内提供较高的数据速率，较低的传输延迟和较好的功率效率。

邻近服务通常包括发现、直接通信和UE到网络中继。发现是标识彼此邻近的UE的过程。直接通信是邻近的UE能够使用本地无线电资源进行通信的过程。UE到网络中继是UE可以将业务从远程UE中继到网络或从网络中继到远程UE的过程。例如，如果UE在网络的基站的覆盖范围之外(称为远程UE)，则UE到网络中继过程允许远程UE通过与处于基站的覆盖区域中的中继UE的直接通信来向中继UE传输业务。中继UE进而通过与网络的基站通信，来将业务从远程UE转发到网络。

3GPP已经定义了用于在发现过程期间授权UE的一些过程。然而，当前的授权过程可能不足以检测尝试使用邻近服务的恶意应用。

发明内容

本文描述的实施例提供了用于授权请求直接发现的UE上的应用的机制。当UE上的应用发送针对ProSe的发现请求时，如本文所述的授权机制提供增强的发现授权过程，以确保该应用针对直接发现而被授权。用于邻近服务的应用通过应用标识符(ID)来被区分，并且网络运营商可以定义针对应用ID的一个或多个安全参数。本文所述的授权机制向UE发送质询消息，来请求与发现请求中提供的针对应用ID的安全参数有关的信息，并且能够基于UE所提供的对于质询消息的应答来确定该应用是否被授权使用应用ID进行直接发现。本文描述的发现授权过程有利地能够确定恶意应用何时冒用应用ID，使得来自该恶意应用的发现请求可以被拒绝。

一个实施例包括执行用于ProSe的发现授权过程的授权机制。该授权机制包括验证控制器，该验证控制器被配置为接收由UE中的应用所发送的发现请求的信息。发现请求包括用于该应用的应用ID。授权机制还包括规则引擎，该规则引擎被配置为确定发现授权过程的验证规则。验证控制器被配置为向UE发送安全质询消息，来请求针对被映射到应用ID的安全参数的质询值，从UE接收响应于安全质询消息的安全应答消息，从UE所提供的安全应答消息中提取针对安全参数的质询值，以及基于针对安全参数的质询值和验证规则来确定应用是否被授权使用应用ID进行直接发现。验证控制器被配置为当应用被授权使用应用ID进行直接发现时，生成验证指示符来对应用所发送的发现请求进行授权。

在另一实施例中，验证控制器被配置为当应用未被授权使用应用ID进行直接发现时，生成拒绝指示符以拒绝应用所发送的发现请求。

在另一实施例中，授权机制还包括数据库，该数据库将安全参数映射到应用ID。被映射到应用ID的安全参数包括针对应用ID配设(provision)的授权值。

在另一实施例中，验证控制器被配置为标识针对被映射到应用ID的安全参数的授权值，并且将UE所提供的质询值与针对应用ID配设的授权值进行比较，以确定该应用是否被授权使用应用ID进行直接发现。

在另一实施例中，验证控制器被配置为向UE发送安全质询消息，来请求指派给该UE的网络地址。

在另一实施例中，验证控制器被配置为向用户发送安全质询消息，来请求公共陆地移动网络(PLMN)码。

在另一实施例中，验证控制器被配置为向UE发送安全质询消息，来请求UE的位置代码。

在另一实施例中，验证控制器被配置为向UE发送安全质询消息，来请求用以访问应用的密码。

在另一实施例中，授权机制在ProSe功能中被实现，该ProSe功能从UE接收发现请求。

在另一实施例中，授权机制在ProSe应用服务器中被实现，该ProSe应用服务器通信地耦合到ProSe功能，该ProSe功能从UE接收发现请求。

另一实施例包括一种执行用于ProSe的发现授权过程的方法。该方法包括：接收针对UE中的应用所发送的发现请求的信息，其中发现请求包括用于该应用的应用ID。该方法包括：确定用于发现授权过程的验证规则，从授权机制向UE发送安全质询消息来请求针对被映射到应用ID的安全参数的质询值，从UE接收响应于安全质询消息的安全应答消息，从UE所提供的安全应答消息中提取针对安全参数的质询值，以及基于针对安全参数的质询值和验证规则来确定应用是否被授权使用应用ID进行直接发现。该方法包括当应用被授权使用应用ID进行直接发现时，生成验证指示符来对应用所发送的发现请求进行授权。

在另一实施例中，该方法还包括：当应用未被授权使用应用ID进行直接发现时，生成拒绝指示符以拒绝应用所发送的发现请求。

在另一实施例中，该方法包括存储将安全参数映射到应用ID的数据库。被映射到应用ID的安全参数包括针对应用ID配设的授权值。

在另一实施例中，确定应用是否被授权直接发现的步骤包括：标识被映射到应用ID的安全参数的授权值，并且将UE所提供的质询值与针对应用ID配设的授权值进行比较，以确定该应用是否被授权使用应用ID进行直接发现。

另一实施例包括非瞬态计算机可读介质，其实施由一个或多个处理器执行的经编程的指令，其中指令指引处理器实现授权机制，该授权机制执行用于ProSe的发现授权过程。授权机制被配置为接收针对UE中的应用所发送的发现请求的信息，其中发现请求包括用于该应用的应用ID。授权机制被配置为确定用于发现授权过程的验证规则，向UE发送安全质询消息来请求针对被映射到应用ID的安全参数的质询值，从UE接收响应于安全质询消息的安全应答消息，从UE所提供的安全应答消息中提取针对安全参数的质询值，以及基于针对安全参数的质询值和验证规则来确定应用是否被授权使用应用ID进行直接发现。授权机制被配置为当应用被授权使用应用ID进行直接发现时，生成验证指示符来对应用发送的发现请求进行授权。

在另一实施例中，授权机制被配置为当应用未被授权使用应用ID进行直接发现时，生成拒绝指示符以拒绝应用所发送的发现请求。

在另一实施例中，授权机制被配置为存储数据库，该数据库将安全参数映射到应用ID。被映射到应用ID的安全参数包括针对应用ID配设的授权值。

在另一实施例中，授权机制被配置为标识被映射到应用ID的安全参数的授权值，并且将UE所提供的质询值与针对应用ID配设的授权值进行比较，以确定该应用是否被授权使用应用ID进行直接发现。

在另一实施例中，授权机制在ProSe功能中被实现，该ProSe功能从UE接收发现请求。

在另一实施例中，授权机制在ProSe应用服务器中被实现，该ProSe应用服务器通信地耦合到ProSe功能，该ProSe功能从UE接收发现请求。

另一实施例包括执行用于ProSe的发现授权过程的授权机制。授权机制包括用于接收针对UE中的应用所发送的发现请求的信息的部件，其中发现请求包括用于该应用的应用ID。授权机制包括用于确定用于发现授权过程的验证规则的部件。授权机制包括用于向UE发送安全质询消息来请求针对被映射到应用ID的安全参数的质询值的部件。授权机制包括用于从UE接收响应于安全质询消息的安全应答消息的部件。授权机制包括用于从UE所提供的安全应答消息中提取安全参数的质询值的部件。授权机制包括用于基于针对安全参数的质询值和验证规则来确定应用是否被授权使用应用ID进行直接发现的部件。授权机制包括用于当应用被授权使用应用ID进行直接发现时，生成验证指示符来对应用所发送的发现请求进行授权的部件。

上面的发明内容提供了对说明书的一些方面的基本理解。本发明内容不是对说明书的详尽概述。其既不旨在标识本说明书的关键或重要元素，也不旨在描绘本说明书的特定实施例的任何范围或权利要求书的任何范围。其唯一的目的是作为稍后呈现的更详细描述的序言，以简化的形式呈现本说明书的一些概念。

附图说明

现在仅通过举例的方式并参考附图来描述本发明的一些实施例。在所有附图上，相同的附图标记表示相同的元素或相同类型的元素。

图1示出了用于ProSe特征的架构。

图2示出了用于UE的服务预配置过程。

图3示出了用于UE的服务授权过程。

图4示出了用于公告UE的发现请求过程。

图5示出了用于监测UE的发现请求过程。

图6示出了说明性实施例中的用于邻近服务的架构。

图7是说明性实施例中的授权机制的框图。

图8示出了说明性实施例中的数据库。

图9是示出了说明性实施例中的用于执行发现授权过程的方法的流程图。

图10是示出说明性实施例中的用于确定应用是否被授权用于直接发现的方法的流程图。

图11是在说明性实施例中的在ProSe功能中实现授权机制时的流程图。

图12是在说明性实施例中的在ProSe应用服务器中实现授权机制时的流程图。

具体实施方式

附图和以下描述示出了具体的示例性实施例。因此，应当理解，本领域技术人员将能够设计出尽管在本文中未被明确描述或示出但体现实施例的原理并且被包括在实施例的范围内的各种布置。此外，本文描述的任何示例旨在帮助理解实施例的原理，并且将被解释为不限于这种具体阐述的示例和条件。因此，(多个)发明构思不限于以下描述的具体的实施例或示例，而是由权利要求书及其等同物限制。

图1示出了用于ProSe特征的架构100。架构100示出了如3GPP TS 23.303(版本15.0.0)中所描述的公共陆地移动网络(PLMN)中的非漫游场景，该3GPP TS 23.303通过引用并入，如同完全包括在本文中一样。架构100包括演进型分组核心(EPC)网络110，该EPC网络110通过无线电接入网络(RAN)与UE 120-121通信，该RAN被示出为演进型UMTS陆地无线电接入网络(E-UTRAN)112。尽管未在图1中示出，但是E-UTRAN 112包括多个基站(例如，eNodeB)，该多个基站提供UE 120-121(和其他UE)与EPC网络110之间的无线连接。EPC网络110包括移动性管理实体(MME)114、S-GW 115和P-GW 116。架构100还包括归属订户服务器(HSS)117和安全用户平面位置平台(SLP)118。HSS 117以订户简档的形式存储针对UE 120-121的订阅信息。SLP 118维护针对UE 120-121的位置信息。

架构100还包括邻近服务(ProSe)功能130和ProSe应用服务器(AS)132。ProSe应用服务器132支持EPC ProSe用户ID和ProSe功能ID的存储，以及应用层用户ID与EPC ProSe用户ID的映射。ProSe功能130是用于ProSe所需的与网络有关的动作的逻辑功能。ProSe功能130对于ProSe的特征中的每个特征起着不同的作用。在每个PLMN中可以存在一个支持邻近服务的ProSe功能130。ProSe功能130包括三个主要子功能，该三个主要子功能根据ProSe特征而执行不同的作用。一个子功能是直接配设功能(DPF)，该DPF被用于为UE配设参数以便使用直接发现和直接通信。DPF为UE配设PLMN特定的参数，该参数允许UE使用该特定PLMN中的邻近服务。另一子功能是直接发现名称管理功能，该直接发现名称管理功能被用于开放式直接发现以分配和处理直接发现中使用的应用ID和应用代码。该子功能维护列出应用ID与应用代码之间的映射的表。此外，该子功能生成用于监测UE的过滤器。另一子功能是EPC级发现ProSe功能，该功能针对EPC级ProSe发现和EPC辅助的WLAN直接发现和通信来授权和配置UE。HSS 117与ProSe功能130之间的参考点(PC4a)被用于提供订阅信息，以便基于每个PLMN来授权针对直接发现和直接通信的访问。

UE 120-121可以被认为是启用ProSe的，这意味着其支持ProSe要求和相关联的过程。启用ProSe的UE可以指非公共安全UE或公共安全UE。UE 120-121分别包括被用于访问/提供邻近服务的应用122-123。UE 120-121支持以下功能：在UE与ProSe功能130之间通过PC3参考点的ProSe控制信息交换；其他UE的、通过PC5参考点进行的开放式和受限式直接发现的过程；通过PC5参考点的一对一或一对多的直接通信的过程，以及充当UE到网络中继的过程。

本文讨论的邻近服务包括以下功能：发现、直接通信(D2D)和UE到网络中继。发现是标识邻近其他UE的UE的过程。一种类型的发现是直接发现，其是UE所采用的的、通过仅使用两个UE的能力来发现在其邻近的其他UE的过程。例如，一个UE可以使用本地无线电资源来发现在其邻近的其他UE的存在。另一类型的发现被称为EPC级发现，其是EPC网络110确定两个UE的邻近并且向这两个UE通知其邻近度的过程。例如，EPC网络110中的服务器可以监测UE的位置，并且向UE通知其邻近度。

直接通信是邻近的两个或更多个UE之间的、借助于使用无线电技术(例如，E-UTRA)的用户数据平面传输经由不经过任何网络节点(可能不是RAN的基站)的信道的通信。直接通信允许UE使用本地无线电资源来彼此直接通信，而无需通过诸如EPC网络110的核心网络路由业务。例如，UE可以从RAN(诸如从基站)通过对两个UE可用的无线电资源直接通信。UE还可以通过UE自身的无线电资源(诸如通过PC5参考点)直接通信。无论哪种方式，在UE之间交换的业务都不通过核心网络路由，而是通过无线接口直接在UE之间路由。

UE到网络中继是一种功能，其中一个UE提供用以支持到一个或多个远程UE的“单播”服务的连接性的功能性。远程UE是指不由RAN(例如，E-UTRAN)服务的UE，并且通过UE到网络中继与分组数据网络(PDN)通信。例如，如果远程UE在RAN的覆盖范围之外，则远程UE仍然可以通过处于RAN的覆盖范围内的另一UE(中继UE)来接入PDN。中继UE是被启用以用于UE到网络中继的设备。UE到网络中继允许经由覆盖范围内的中继UE从网络到远程UE的或经由覆盖范围内的中继UE从远程UE到网络的一对一或一对多通信。

图2示出了用于UE 120的服务预配置过程。归属PLMN(HPLMN)利用针对UE 120被授权以执行直接发现、直接通信或两者的PLMN列表的授权信息来预配置UE 120。如果不存在相关联的UE上下文，则ProSe功能130从HSS 117获得用于直接发现和/或直接通信的订阅信息。

为了访问邻近服务，UE 120-121(即，非公共安全UE)必须首先针对服务被授权和配置。图3示出了用于UE 120的服务授权过程。UE 120从其HPLMN的ProSe功能130以给定的有效时间接收针对直接发现、直接通信或两者的服务授权。当UE已经参与了直接发现或直接通信但改变了其注册的PLMN时，或当先前的授权到期时，如果UE 120没有有效的授权信息，则UE 120在开始直接发现或直接通信的设置之前执行该服务授权过程。为了标识其HPLMN的ProSe功能130，UE 120可以与域名服务(DNS)功能(未示出)交互以发现ProSe功能130，或者可以在UE 120中预先配设用于ProSe功能130的信息。UE 120向其HPLMN中的ProSe功能130传输针对直接发现、直接通信或两者的授权请求。假设ProSe功能130尚未具有针对UE 120的该信息，响应于该授权请求，ProSe功能130向HSS 117传输针对与UE 120相关联的订阅信息(例如，订户简档)的请求。HSS 117标识订阅与邻近服务(例如，直接发现和/或直接通信)有关的UE 120的信息，并且向ProSe功能130传输带有订阅信息的响应。然后，ProSe功能130向UE 120发送带有由UE 120存储的针对邻近服务的授权信息的授权响应。UE 120可以使用由ProSe功能130授权的PLMN来执行直接发现和/或直接通信。

在授权和配设之后，UE 120-121可以向EPC网络110发送发现请求，该发现请求由ProSe功能130处理。针对直接发现定义了两种发现类型：开放式和受限式。在开放式发现中，不需要来自被发现的UE的显式权限。在受限式发现中，需要来自被发现的UE的显式权限。3GPP还定义了两种可能的直接发现模式：模型A和模型B。模型A(“我在这里”)定义了参与直接发现的UE的两个角色。一个角色是公告UE，该公告UE公告可以被邻近的具有发现的权限的UE使用的某些信息。另一角色是监测UE，该监测UE在公告UE邻近监测某些感兴趣的信息。在此模型中，公告的UE以预定义的发现间隔广播发现消息，并且对这些消息感兴趣的监测UE读取这些消息并处理这些消息。

当使用受限式发现类型时，使用模型B(“谁在那儿？”/“你在那儿？”)，并且针对参与直接发现的UE定义了两个角色。一个角色是发现者UE，其传输包含有关其有兴趣发现的内容的某些信息的请求。另一角色是被发现者UE，其可以利用与发现者的请求有关的一些信息进行响应。

图4示出了用于公告UE 120的发现请求过程(非漫游、开放式发现)。UE 120被配置有与其HPLMN相对应的应用ID的数据结构。如果UE 120被授权在其HPLMN中公告，则UE 120向ProSe功能130发送发现请求。发现请求包括ProSe应用ID、UE标识、公告命令、应用ID、发现条目ID、[请求的定时器]、[应用级容器]、以及[PC5_tech]。ProSe应用ID指示UE有兴趣公告的内容。UE标识被设置为其国际移动订户标识(IMSI)。应用ID表示已经触发发现请求的传输的UE应用的唯一标识符。发现条目ID指示这是否是新请求。请求的定时器是可选参数，并且指示与UE期望从ProSe功能130接收的ProSe应用代码相关联的有效性定时器的长度。PC5_tech是指示UE 120希望用于公告的PC5无线电技术(例如E-UTRA、WLAN)的可选参数。ProSe功能130检查由应用ID表示的应用的授权。如果不存在相关联的UE上下文，则ProSe功能130与HSS 117检查关于UE 120针对发现的授权，并且创建针对UE 120的新上下文，其包含UE 120的订阅参数。

如果UE 120通过包括应用级容器来指示其期望应用控制的扩展，则ProSe功能130向ProSe应用服务器132发送授权请求(ProSe应用ID、请求类型、应用级容器、允许的后缀数目)。请求类型被设置为“利用应用控制的扩展/公告的开放式发现”。允许的后缀数目指示ProSe应用服务器132可以为UE 120指派多少ProSe受限式代码后缀。ProSe功能130基于应用ID来定位ProSe应用服务器132。ProSe应用服务器132将授权响应(响应类型、ProSe应用代码后缀池)返回给ProSe功能130，其中响应类型被设置为“利用应用控制的扩展/公告确认的开放式发现”。ProSe应用代码后缀池包含由ProSe应用服务器132分配的(多个)后缀。

如果发现请求被授权，则ProSe功能130检查UE 120是否被授权使用包含在发现请求中的ProSe应用ID(例如，UE 120被授权公告)。如果UE 120被授权使用ProSe应用ID，则ProSe功能130用发现响应来响应UE 120。发现响应包括ProSe应用代码、有效性定时器、发现条目ID和[PC5_tech]。ProSe应用代码由ProSe功能130提供，并且对应于发现请求中包含的ProSe应用ID(即，包括PLMN ID和用于该应用ID的临时ID)。有效性定时器指示该ProSe应用代码有效的时间。ProSe功能130在分配有效性定时器时，如果由UE 120提供，则考虑请求的定时器参数。在有效性定时器的持续时间期间并且如果其保留在HPLMN中，则UE 120将被授权公告该ProSe应用代码。当有效性定时器到期或UE 120改变其注册的PLMN时，UE 120请求新的ProSe应用代码。可选的PC5_tech参数指示被授权用于所分配的ProSe应用代码的(多个)PC5无线电技术。在UE 120接收到发现响应之后，其被配置为使用发现消息和ProSe应用代码在PC5上进行公告。

图5示出了用于监测UE 121的发现请求过程(非漫游、开放式发现)。UE 121被配置有与其PLMN相对应的ProSe应用ID的数据结构。如果UE 121被授权在至少一个PLMN中监测，则UE 121向ProSe功能130发送发现请求。来自监测UE的发现请求可以包括如上所述的类似信息，除了命令被设置为“监测器”。(多个)ProSe应用ID指示UE 121有兴趣监测的内容，并且其包括PLMN的数据结构的子集。应用ID表示已经触发发现请求消息的传输的应用的唯一标识符。ProSe功能130检查由应用ID表示的应用的授权。如果不存在相关联的UE上下文，则ProSe功能130与HSS 117检查关于UE 121针对发现的授权，并且创建针对UE 121的新的上下文，其包含UE 120的订阅参数。

如果UE 121通过包括应用级容器来指示其期望应用控制的扩展，则ProSe功能130向应用ID所指示的ProSe应用服务器132发送授权请求(ProSe应用ID、请求类型、应用级容器)。请求类型被设置为“利用应用控制的扩展/监测器的开放式发现”。ProSe应用服务器132向ProSe功能130返回授权响应(响应类型、与ProSe应用ID相对应的(多个)ProSe应用代码后缀的(多个)掩码)，其中响应类型被设置为“利用应用控制的扩展/监测器确认的开放式发现”。

如果发现请求被授权，则ProSe功能130用发现响应来响应UE 121。发现响应包括(多个)发现过滤器、发现条目ID和[PC5_tech]。(多个)发现过滤器中的生存时间(TTL)指示(多个)发现过滤器有效的时间。如果使用应用控制的扩展，则发现过滤器中的ProSe应用代码由ProSe应用代码前缀替换。除了(多个)ProSe应用代码之外，发现过滤器还可以包含针对ProSe应用代码后缀的(多个)掩码，该(多个)掩码从ProSe应用服务器132被获得。UE 121可以添加针对后缀部分的附加(多个)掩码和值。在UE 121接收到发现响应之后，其被配置为在PC5上使用由(多个)PLMN授权和配置为用于ProSe的无线电资源中的(多个)发现过滤器来监测应用代码。如果与发现过滤器相对应的TTL到期(因为UE 121在TTL的持续时间内尚未刷新对应的发现请求)，则ProSe功能130从UE上下文中移除与该发现过滤器有关的条目。

3GPP TS 23.303中描述了其他发现过程，诸如用于受限式发现、漫游、模型B等。

在以上发现过程中明显的是，ProSe功能130通过查询HSS 117来执行UE的某种类型的授权。HSS 117用UE的订阅参数来响应，并且ProSe功能130确定该应用是否针对应用而被授权。然而，一个问题是UE或其他设备可以冒用发现请求中的应用ID。HSS 117中的订户简档可以不指示驻留在被授权ProSe的UE中的所有ProSe应用。因此，即使UE根据订户简档被授权ProSe，一个或多个应用也可能被该UE恶意使用。使用HSS 117的授权过程不足以防范被冒用的应用ID。

为了解决此问题以及其他相关问题，采用了一种授权机制来检测邻近服务(诸如ProSe)的被冒用的应用ID。当本文中使用术语“ProSe”时，其可以指代由3GPP描述的邻近服务或其他邻近服务。图6示出了说明性实施例中的邻近服务的架构600。架构600可以具有与图1所示的架构100相似的元件和参考点。架构600可以针对4G(例如，LTE)或下一代网络(例如，5G)来实施。

架构600包括用于非漫游场景的PLMN 610，尽管对于漫游或PLMN间架构可以包括更多的PLMN。PLMN 610是UE 620的归属PLMN(HPLMN)，并且包括彼此通信地耦合的ProSe功能612、ProSe应用服务器(AS)614和HSS 616。尽管未在图6中示出，但是PLMN 610可以包括核心网络以及RAN，该RAN包括一个或多个基站(例如，eNodeB)。UE 620是针对邻近服务启用的非公共安全UE，并且包括被配置为请求直接发现和/或直接通信的邻近服务(例如，ProSe)应用622。

PLMN 610还包括授权机制630。授权机制630包括系统、装置、设备、网络元件等，其被配置为对UE上的应用进行授权以用于直接发现。授权机制630响应于发现请求而提供增强的或附加的发现授权过程，以确保发起发现请求的应用被授权进行直接发现。如上所述，传统的ProSe功能响应于发现请求通过查询HSS而执行一些发现授权过程。然而，当应用恶意冒用应用的应用ID时，这些发现授权过程可能不充分。因此，授权机制630通过质询UE来提供增强的或附加的发现授权过程，这将在下面进一步详细描述。

授权机制630在图6中总体上被示为PLMN 610的元素。由于授权机制630是PLMN610内的系统的一部分，所以其可以是PLMN 610中的能够与UE 620、ProSe功能612、ProSe应用服务器614和/或HSS 616通信的独立元素。备选地，授权机制630可以在ProSe功能612中被实现。在另一备选方案中，授权机制630可以在ProSe应用服务器614中被实现。

图7是说明性实施例中的授权机制630的框图。授权机制630包括接口组件702、一个或多个处理器704和存储器706。接口组件702是被配置为与各种元件通信的硬件组件。例如，接口组件702可以被配置为与UE 620、ProSe功能612、ProSe应用服务器614和/或HSS616通信。处理器704表示提供授权机制630的功能的内部电路、逻辑、硬件等。存储器706是用于数据、指令、应用等的计算机可读存储介质(例如，ROM或闪存)，并且是由处理器704可访问的。授权机制630可以包括在图7中未具体示出的各种其他组件。

处理器704实现规则引擎710和验证控制器712。规则引擎710被配置为生成、标识或确定验证规则714，该验证规则714被用于确定应用是否被授权进行直接发现。验证控制器712被配置为基于验证规则714来确定应用是否被授权进行直接发现。处理器704可以实现用于授权应用进行直接发现的其他组件。

在该实施例中，存储器706被配置为存储数据库720，数据库720被配设有被映射到应用ID的安全参数。数据库720可以包括用于授权机制630的本地数据库，或者可以包括可以由授权机制630诸如通过接口组件702可访问的网络数据库。图8示出了说明性实施例中的数据库720。数据库720存储针对应用ID 811-813的记录801-803，尽管也可以存储针对更多应用ID的记录。每个记录801-803将应用ID 811-813映射到一个或多个安全参数820的集合。安全参数包括验证或认证UE或应用的特性或属性。安全参数820包括针对其相关联的应用ID 811-813授权的一个或多个值(例如，代码、标签、数量等)。例如，记录801被配设给应用ID 811，其中应用ID 811被映射到安全参数820。安全参数820包括UE标识、(多个)网络地址、(多个)PLMN码、(多个)位置代码、(多个)密码、UE类别类型和发现类型，但是可以包括其他安全参数。每个安全参数包括针对应用ID 811配设的一个或多个授权值。例如，UE标识参数包括指示针对应用ID 811的经批准的UE标识(或范围)的一个或多个值，诸如一个或多个IMSI。网络地址参数包括指示针对应用ID 811的经批准的(多个)网络地址的一个或多个值，诸如一个或多个传输层(例如，IP)地址。PLMN码参数包括指示针对应用ID 811的经批准的(多个)PLMN码的一个或多个值。位置代码参数包括指示针对应用ID 811的经批准的(多个)位置代码的一个或多个值。密码参数包括指示用于访问应用的针对应用ID 811的经批准的(多个)密码或(多个)口令的一个或多个值。UE类别类型参数包括指示针对应用ID 811的经批准的UE类别类型的一个或多个值，诸如CAT1-CAT8、LTE Cat-M1(eMTC)、Cat-NB1(NB-IoT)等。发现类型参数包括指示针对应用ID 811的经批准的发现类型的一个或多个值，诸如模型A(开放式或受限式)、模型A的公告角色、模型A的监测器角色、模型B、模型B的发现类型/模式等。可以根据需要来配设附加安全参数和相关联的值。

在图6中，UE 620可以执行如2中所示的服务预配置过程和如图3中所示的服务授权过程。在这一点上，UE 620中的应用622可能想要发起发现请求过程。因此，应用622向ProSe功能612发送发现请求(参见图4至图5)。发现请求可以包括如上所述的类似信息，诸如ProSe应用ID、UE标识、命令、应用ID、发现条目ID、[请求的定时器]、[应用级容器]以及[PC5_tech]。然后，授权机制630执行发现授权过程，如在图9中进一步详细描述的。

图9是示出说明性实施例中的用于执行发现授权过程的方法900的流程图。将参考图7中的授权机制630来描述方法900的步骤，但是本领域技术人员将理解，方法900可以在其他设备中执行。本文描述的流程图的步骤不是全部包括在内，并且可以包括未示出的其他步骤，并且该步骤可以以替代的顺序执行。

验证控制器712诸如通过接口组件702接收由UE 620中的应用622向ProSe功能612发送的针对发现请求的信息(步骤902)。如果授权机制630在ProSe功能612中实现，则验证控制器712可以接收应用622所发送的实际发现请求。如果授权机制630是独立元素或在ProSe应用服务器614中实现，则验证控制器712可以从ProSe功能612接收针对发现请求的信息，诸如在授权请求中。针对发现请求的信息至少包括应用622的应用ID。

规则引擎710确定用于发现授权过程的验证规则714(步骤904)。验证规则714包括验证在发起发现请求的UE上的应用的任何规则。验证规则714可以包括网络地址检查。该规则可以将指派给UE的动态网络地址(例如，IP地址)与针对应用ID被批准(白名单)或未被批准(黑名单)的网络地址范围进行比较。验证规则714可以包括PLMN码检查，该PLMN码检查验证是否在PLMN(其被UE附接)中允许由应用进行直接发现。验证规则714可以包括应用密码检查，该应用密码检查验证由应用/UE提供的密码(或口令)是否与针对该应用的经批准的密码匹配。验证规则714可以包括网络(PLMN)灵敏度检查。该规则验证来自公告UE的应用ID是否属于安全网络(本地或外部)，因为一些网络可以被限制针对该应用的直接发现。验证规则714可以包括网络业务量检查。该规则确定与应用ID(即，特定传输器和收发器实体地址中的一者或两者)相关联的业务量是否超过阈值，因为恶意应用可能生成大量业务量。如果超过阈值，则可以拒绝针对该应用的发现请求。如果业务量低于阈值，则发现请求可以被授权。验证规则714可以包括UE类别类型检查，该UE类别类型检查验证诸如CAT1-CAT8、LTECat-M1(eMTC)、Cat-NB1(NB-IoT)等的UE类别类型是否被允许用于该应用。验证规则714可以包括ProSe发现类型检查，其验证应用是被授权用于特定的发现类型，诸如模型A(开放式或受限式)、模型A的公告角色、模型A的监测器角色、模型B、模型B发现类型/模式等。验证规则714可以包括UE位置检查，该UE位置检查验证UE的位置代码是否与针对应用ID的经批准的位置代码相匹配。验证规则714可以包括时间检查，其基于一天中的时间、星期几等来验证发现请求是否被允许。可以根据需要来定义其他验证规则714。

对于发现授权过程，验证控制器712诸如通过接口组件702向UE 620发送安全质询消息来请求被映射到应用ID的一个或多个安全参数的质询值(步骤906)。UE 620可以存储出于安全目的所使用的信息，并且安全质询消息可以请求UE 620以该信息进行响应。安全质询消息是在应用622向ProSe功能612发送发现请求之后被发送给UE 620的单独消息。如图8中所示，安全质询消息可以请求被映射到应用ID的一个或多个安全参数的质询值。例如，安全质询消息可以请求针对被静态地或动态地指派给UE 620的网络地址、UE 620的HPLMN的PLMN码或者UE 620所附接的受访/本地PLMN、UE 620的位置代码、用于访问应用622的密码、UE 620的UE类别类型等的质询值。

如果验证控制器712没有从UE 620接收到安全应答消息，则验证控制器712生成拒绝指示符以拒绝应用622发送的发现请求(步骤908)。如果验证控制器712诸如通过接口组件702从UE 620接收到安全应答消息，则验证控制器712从UE 620所提供的安全应答消息中提取针对安全参数的质询值(步骤910)。验证控制器712还可以从发现请求，从HSS 616或其他网络实体获取安全参数中的一些安全参数的值。然后，验证控制器712基于针对安全参数的质询值和验证规则714(以及可选的其他值)来确定应用622是否被授权使用应用ID进行直接发现(步骤912)。在图10中提供了一种确定应用622是否被授权的方法(例如，方法900的步骤912)。

图10是示出说明性实施例中的用于确定应用622是否被授权进行直接发现的方法1000的流程图。验证控制器712访问数据库720以标识针对被映射到应用ID的安全参数的授权值(步骤1002)。然后，验证控制器712将UE 620所提供的质询值与针对应用ID的授权值进行比较，以确定应用622是否被授权使用应用ID进行直接发现(步骤1004)。例如，当UE 620所提供的质询值中的任何质询值都不与针对应用ID的授权值相匹配时，验证控制器712确定应用622未被授权使用应用ID进行直接发现(步骤1006)。当UE 620所提供的质询值中的一个或多个质询值与针对应用ID的授权值相匹配时，验证控制器712可以确定应用622被授权使用应用ID进行直接发现(步骤1008)。质询值与授权应用622所需的授权值之间的匹配次数可以取决于网络运营商配设的网络策略。

作为方法1000的示例，验证规则714中的一个验证规则可以是网络地址检查，其中验证控制器712将UE 620在安全应答消息中提供的网络地址与一个或多个针对应用ID的经批准的网络地址进行比较。如果UE 620在安全应答消息中所提供的网络地址与针对应用ID的经批准的网络地址不匹配，则验证控制器712可以确定应用622未被授权使用应用ID进行直接发现。如果UE 620在安全应答消息中所提供的网络地址与针对应用ID的经批准的网络地址匹配，则验证控制器712可以根据其他验证规则714来确定应用622被授权使用该应用ID进行直接发现(如果适用)。

验证规则714中的另一验证规则可以是密码检查，其中验证控制器712将UE 620在安全应答消息中所提供的密码与针对该应用ID的一个或多个经批准的密码进行比较。如果UE 620在安全应答消息中提供的密码与针对应用ID的经批准的密码不匹配，则验证控制器712可以确定应用622未被授权使用应用ID进行直接发现。如果UE 620在安全应答消息中提供的密码与针对应用ID的经批准的密码相匹配，则验证控制器712可以根据其他验证规则714(如果适用)来确定应用622被授权使用应用ID进行直接发现。

验证规则714中的另一验证规则可以是位置代码检查，其中验证控制器712将UE620在安全应答消息中所提供的位置代码与针对应用ID的一个或多个经批准的位置代码进行比较。如果由UE 620在安全应答消息中提供的位置代码与针对应用ID的经批准的位置代码不匹配，则验证控制器712可以确定应用622未被授权使用应用ID进行直接发现。例如，如果应用ID与巴西国家代码相关联，但是UE 620提供了在美国中的位置代码，则验证控制器712确定应用622未被授权使用应用ID进行直接发现。如果UE 620在安全应答消息中提供的位置代码与针对应用ID的经批准的位置代码相匹配，则验证控制器712可以根据其他验证规则714来确定应用622被授权使用应用ID进行直接发现(如果适用)。

当应用622未被授权使用应用ID进行直接发现时，验证控制器712生成拒绝指示符，以拒绝应用622所发送的发现请求(步骤908)。验证控制器712可以诸如通过接口组件702向ProSe功能612提供拒绝指示符，该ProSe功能612然后可以通过发送带有指示发现请求已被拒绝的信息的发现响应来拒绝发现请求。如果应用622被授权使用应用ID进行直接发现，则验证控制器712生成验证指示符以对应用622所发送的发现请求进行授权(步骤914)。验证控制器712可以诸如通过接口组件702将验证指示符提供给ProSe功能612。当应用622由验证控制器712授权时，ProSe功能612可以继续发现请求过程，并向UE 620发送发现响应，如在图4至图5中所指示的，或者可以执行另外的授权过程(例如，查询HSS 616)。发现响应可以包括应用代码(用于公告)，用于监测的(多个)发现过滤器或允许UE 620/应用622执行使用应用ID进行直接发现的其他信息。

授权机制630响应于发现请求而提供应用ID的验证的附加级别。一个技术好处是，应用冒用应用ID并且被ProSe功能授予发现过程的权限更加困难。因此，经授权的应用将利用网络中的邻近服务，而恶意应用将被阻止。

如上所述，授权机制630可以在ProSe功能612中实现。图11是说明性实施例中的当在ProSe功能612中实现授权机制630时的流程图。UE 620(通过应用622)向ProSe功能612发送发现请求。发现请求包括ProSe应用ID、UE标识，命令类型(公告、监测等)、发现条目ID、应用ID等。ProSe功能612然后(通过授权机制630)发起发现授权过程。ProSe功能612向UE 620发送安全质询消息来请求针对一个或多个安全参数的质询值。ProSe功能612从UE 620接收安全应答消息，并且从UE 620所提供的安全应答消息中提取针对安全参数的质询值。ProSe功能612然后基于针对安全参数的质询值(以及其他值)和验证规则714来确定应用622是否被授权使用应用ID进行直接发现。如果应用622未被授权使用应用ID进行直接发现，则ProSe功能612拒绝应用622发送的发现请求。如果应用622被授权使用应用ID进行直接发现，则ProSE功能612向UE 620发送带有用于直接发现的信息(例如，应用代码、发现过滤器等)的发现响应。ProSe功能612还可以在发现响应的ProSe应用代码后缀池中(并且可以被反映在应用代码/掩码中)包括与经批准的应用ID相关联的一个或多个安全参数(以及经批准的值)。

图12是说明性实施例中的在ProSe应用服务器614中实现授权机制630时的流程图。UE 620(通过应用622)向ProSe功能612发送发现请求。发现请求包括ProSe应用ID、UE标识、命令类型(公告，监测等)、发现条目ID、应用ID等。基于网络策略，ProSe功能612响应于发现请求而请求ProSe应用服务器614验证应用ID。因此，ProSe功能612向ProSe应用服务器614发送授权请求。ProSe功能612包括应用622的应用ID以及在到ProSe应用服务器614的应用级容器中的相关联的参数。然后，ProSe应用服务器614(通过授权机制630)发起发现授权过程。ProSe应用服务器614向ProSe功能612发送安全质询消息，该ProSe功能612将安全质询消息转发到UE 620，来请求针对一个或多个安全参数的质询值。ProSe应用服务器614可以备选地直接向UE 620发送安全质询消息。ProSe功能612从UE 620接收安全应答消息，并且将安全应答消息转发给ProSe应用服务器614。ProSe应用服务器614从如UE 620所提供的安全质询消息中提取针对安全参数的质询值。ProSe应用服务器614然后基于针对安全参数的质询值和验证规则714(以及可选的其他值)，来确定应用622是否被授权使用应用ID进行直接发现。如果应用622未被授权使用应用ID进行直接发现，则ProSe应用服务器614向ProSe功能612发送带有拒绝指示符的授权响应，以拒绝应用622发送的发现请求。如果应用程序622被授权使用应用ID进行直接发现，则ProSe应用服务器614向ProSe功能612发送带有验证指示符的授权响应，以对应用程序622发送的发现请求进行授权。ProSe功能612然后基于验证/拒绝指示符向UE 620发送发现响应。ProSe功能612还可以在发现响应的ProSe应用代码后缀池中包括与经批准的应用ID相关联的一个或多个安全参数(以及经批准的值)(并且可以被反映在应用代码/掩码中)。

附图中示出或本文描述的各种元件或模块中的任何元件或模块可以被实现为硬件、软件、固件或这些的某种组合。例如，元件可以被实现为专用硬件。专用硬件元件可以被称为“处理器”、“控制器”或一些类似的术语。当由处理器提供时，功能可以由单个专用处理器、单个共享处理器或多个独立处理器提供，其中一些功能可以被共享。此外，术语“处理器”或“控制器”的明确使用不应当被解释为专门指代能够执行软件的硬件，并且可以隐含包括但不限于：数字信号处理器(DSP)硬件、网络处理器、专用集成电路(ASIC)或其他电路系统、现场可编程门阵列(FPGA)、用于存储软件的只读存储器(ROM)、随机存取存储器(RAM)、非易失性存储器、逻辑或某些其他物理硬件组件或模块。

而且，元件可以被实现为指令，该指令由处理器或计算机可执行以执行该元件的功能。指令的一些示例是软件、程序代码和固件。指令在由处理器执行时是可操作的，以指引处理器执行元件的功能。指令可以被存储在处理器可读的存储设备上。存储设备的一些示例是数字或固态存储器、磁存储介质(诸如磁盘和磁带)、硬盘驱动器或光学可读数字数据存储介质。

尽管本文描述了特定实施例，但是本公开的范围不限于那些特定实施例。本公开的范围由以下权利要求及其任何等同物限定。

Claims (20)

1.一种用于通信的系统，包括：

授权机制，所述授权机制执行用于邻近服务(ProSe)的发现授权过程，所述授权机制包括：

验证控制器，被配置为接收针对用户设备(UE)中的应用所发送的发现请求的信息，其中所述发现请求的所述信息包括用于所述应用的应用标识符(ID)；以及

规则引擎，被配置为确定用于所述发现授权过程的验证规则；

所述验证控制器被配置为向所述UE发送安全质询消息来请求针对被映射到所述应用ID的安全参数的质询值，从所述UE接收响应于所述安全质询消息的安全应答消息，从所述UE所提供的所述安全应答消息中提取针对所述安全参数的所述质询值，以及基于针对所述安全参数的所述质询值和所述验证规则来确定所述应用是否被授权使用所述应用ID进行直接发现；

所述验证控制器被配置为如果所述应用被授权使用所述应用ID进行直接发现，则生成验证指示符来对所述应用所发送的所述发现请求进行授权，其中所述验证控制器被进一步配置为向邻近服务(ProSe)功能输出所述验证指示符，其中所述验证指示符指示所述邻近服务(ProSe)功能是否允许所述用户设备(UE)或所述应用使用所述应用ID执行直接发现。

2.根据权利要求1所述的系统，其中：

所述验证控制器被配置为当所述应用未被授权使用所述应用ID进行直接发现时，生成拒绝指示符以拒绝所述应用所发送的所述发现请求。

3.根据权利要求1所述的系统，其中所述授权机制还包括：

数据库，将所述安全参数映射到所述应用ID；

其中被映射到所述应用ID的所述安全参数包括针对所述应用ID配设的授权值。

4.根据权利要求3所述的系统，其中：

所述验证控制器被配置为标识针对被映射到所述应用ID的所述安全参数的所述授权值，并且将所述UE所提供的所述质询值与针对所述应用ID配设的所述授权值进行比较，以确定所述应用是否被授权使用所述应用ID进行直接发现。

5.根据权利要求1所述的系统，其中：

所述验证控制器被配置为向所述UE发送所述安全质询消息，来请求指派给所述UE的网络地址。

6.根据权利要求1所述的系统，其中：

所述验证控制器被配置为向所述UE发送所述安全质询消息，来请求公共陆地移动网络(PLMN)码。

7.根据权利要求1所述的系统，其中：

所述验证控制器被配置为向所述UE发送所述安全质询消息，来请求针对所述UE的位置代码。

8.根据权利要求1所述的系统，其中：

所述验证控制器被配置为向所述UE发送所述安全质询消息，来请求用以访问所述应用的密码。

9.根据权利要求1至8中任一项所述的系统，其中：

所述授权机制在邻近服务(ProSe)功能中被实现，所述邻近服务(ProSe)功能从所述UE接收所述发现请求。

10.根据权利要求1至8中任一项所述的系统，其中：

所述授权机制在邻近服务(ProSe)应用服务器中被实现，所述邻近服务(ProSe)应用服务器通信地耦合到所述邻近服务(ProSe)功能，所述邻近服务(ProSe)功能从所述UE接收所述发现请求。

11.一种执行用于邻近服务(ProSe)的发现授权过程的方法，所述方法包括：

在授权机制中，接收针对用户设备(UE)中的应用所发送的发现请求的信息，其中所述发现请求的所述信息包括用于所述应用的应用标识符(ID)；

在所述授权机制处，确定用于所述发现授权过程的验证规则；

从所述授权机制向所述UE发送安全质询消息，来请求针对被映射到所述应用ID的安全参数的质询值；

在所述授权机制处，从所述UE接收响应于所述安全质询消息的安全应答消息；

在所述授权机制处，从所述UE所提供的所述安全应答消息中提取针对所述安全参数的所述质询值；

基于针对所述安全参数的所述质询值和所述验证规则，确定所述应用是否被授权使用所述应用ID进行直接发现；以及

如果所述应用被授权使用所述应用ID进行直接发现则，生成验证指示符来对所述应用所发送的所述发现请求进行授权，其中向邻近服务(ProSe)功能输出所述验证指示符，其中所述验证指示符指示所述邻近服务(ProSe)功能是否允许所述用户设备(UE)或所述应用使用所述应用ID执行直接发现。

12.根据权利要求11所述的方法，还包括：

当所述应用未被授权使用所述应用ID进行直接发现时，生成拒绝指示符以拒绝所述应用所发送的所述发现请求。

13.根据权利要求11或12所述的方法，还包括：

存储将所述安全参数映射到所述应用ID的数据库；

其中被映射到所述应用ID的所述安全参数包括针对所述应用ID配设的授权值。

14.根据权利要求13所述的方法，其中确定所述应用是否被授权进行直接发现包括：

标识针对被映射到所述应用ID的所述安全参数的所述授权值；以及

将所述UE所提供的所述质询值与针对所述应用ID配设的所述授权值进行比较，以确定所述应用是否被授权使用所述应用ID进行直接发现。

15.一种非瞬态计算机可读介质，实施由一个或多个处理器执行的经编程的指令，其中所述指令指引所述处理器实现：

授权机制，所述授权机制执行用于邻近服务(ProSe)的发现授权过程，其中在执行所述发现授权过程时，所述授权机制被配置为：

接收针对用户设备(UE)中的应用所发送的发现请求的信息，其中所述发现请求的所述信息包括用于所述应用的应用标识符(ID)；

确定用于所述发现授权过程的验证规则；

向所述UE发送安全质询消息来请求针对被映射到所述应用ID的安全参数的质询值；

从所述UE接收响应于所述安全质询消息的安全应答消息；

从所述UE所提供的所述安全应答消息中提取针对所述安全参数的所述质询值；

基于针对所述安全参数的所述质询值和所述验证规则来确定所述应用是否被授权使用所述应用ID进行直接发现；以及

如果所述应用被授权使用所述应用ID进行直接发现，则生成验证指示符来对所述应用所发送的所述发现请求进行授权，其中向邻近服务(ProSe)功能输出所述验证指示符，其中所述验证指示符指示所述邻近服务(ProSe)功能是否允许所述用户设备(UE)或所述应用使用所述应用ID执行直接发现。

16.根据权利要求15所述的计算机可读介质，其中：

所述授权机制被配置为当所述应用未被授权使用所述应用ID进行直接发现时，生成拒绝指示符以拒绝所述应用所发送的所述发现请求。

17.根据权利要求15所述的计算机可读介质，其中：

所述授权机制被配置为存储数据库，所述数据库将所述安全参数映射到所述应用ID；以及

被映射到所述应用ID的所述安全参数包括针对所述应用ID配设的授权值。

18.根据权利要求17所述的计算机可读介质，其中：

所述授权机制被配置为标识针对被映射到所述应用ID的所述安全参数的所述授权值，并且将所述UE所提供的所述质询值与针对所述应用ID配设的所述授权值进行比较，以确定所述应用是否被授权使用所述应用ID进行直接发现。

19.根据权利要求15至18中任一项所述的计算机可读介质，其中：

所述授权机制在所述邻近服务(ProSe)功能中被实现，所述邻近服务(ProSe)功能从所述UE接收所述发现请求。

20.根据权利要求15至18中任一项所述的计算机可读介质，其中：

所述授权机制在邻近服务(ProSe)应用服务器中被实现，所述邻近服务(ProSe)应用服务器通信地耦合到所述邻近服务(ProSe)功能，所述邻近服务(ProSe)功能从所述UE接收所述发现请求。