一种鉴权认证方法和系统、ProSe功能实体以及UE的制作方法
【技术领域】
[0001]本发明涉及移动通信领域,具体涉及一种鉴权认证的方法和系统、ProSe功能实体以及UE。
【背景技术】
[0002]为了保持第三代移动通信系统在通信领域的竞争力,并为用户提供速率更快、时延更低、更加个性化的移动通信服务,同时,为了降低运营商的运营成本,第三代合作伙伴计划(3GPP,3rd Generat1n Partnership Project)标准工作组正致力于演进分组系统(EPS, Evolved Packet System)的研究。整个 EPS 包括无线接入网(E-UTRAN, EvolvedUniversal Terrestrial Rad1 Access Network)和移动核心网(EPC, Evolved PacketCore Networking),其中,EPC 包含了归属用户服务器(HSS, Home Subscriber Server)、移动性管理实体(MME, Mobility Management Entity)、服务 GPRS 支持节点(SGSN, ServingGPRS Support Node)、策略计费规则功能(PCRF, Policy and Charging Rule Funct1n)、服务网关(S-GW, Serving Gateway)、分组数据网关(P-GW, PDN Gateway)和分组数据网络(PDN, Packet Data Network)。
[0003]当两个用户设备(UE,User Equipment)通过EPS进行通信时,两个UE需要分别与EPS建立承载。但是考虑到UE以及各种移动互联网业务的快速发展,很多业务希望能够发现临近的UE并且进行通信,因此催生了设备到设备(D2D,Device to Device)业务,D2D业务还被称为基于距离的业务(ProSe, Proximity-based Services)。在D2D业务中,当两个UE位置比较接近的时候,可以直接通信,其连接的数据路径可以不绕回到核心网,这样,一方面可以减少数据路由的迂回,另一方面也能够减少网络数据负荷。因此,D2D业务已得到了很多运营商的重视。
[0004]目前,常用的D2D业务有D2D发现业务,D2D发现业务的通信架构如图1所示,D2D接入的两个UE只能通过E-UTRAN接入EPC,两个UE可以都属于一个公用陆地移动网络(PLMN,Public Land Mobile Network)或者分属于两个 PLMN ;对于一个 UE,PLMN 可以分为归属的PLMN (HPLMN, Home PLMN)和当该UE从其他的PLMN接入时的拜访的PLMN(VPLMN, Visited PLMN),对于UE当前所处区域的PLMN可以统称为本地的公用陆地移动网络(LPLMN,Local PLMN),无论该本地的PLMN是HPLMN还是VPLMN。为了实现D2D发现业务,在运营商侧不仅仅部署了 EPS,还包括部署D2D发现业务的ProSe应用服务器(ProSeApplicat1n Server), ProSe应用服务器可以由运营D2D业务的业务提供商提供,也可以由运营EPS的网络运营商提供,在不同PLMN还部署了 ProSe功能实体(ProSe Funct1n)。
[0005]在D2D发现业务通信架构中,由于UE提供相关的ProSe应用(APP, Applicat1n),其和ProSe应用服务器的接口为PCl接口,提供相关认证功能。UE与UE之间的接口为PC5,用于UE之间的相互直接发现和通信,而UE与ProSe功能实体之间的接口是PC3,用于通过网络的发现认证。ProSe功能实体与现有EPC之间的接口是PC4,包含与P-GW的用户面接口和与HSS的控制面接口,用于D2D发现业务发现认证。ProSe功能实体与ProSe应用服务器的接口为PC2,用于D2D发现业务的应用实现。ProSe功能实体与ProSe功能实体分别有PC6和PC7接口,分别用于UE在漫游和非漫游的两种情况,UE漫游时为PC7接口,UE非漫游时是为PC6接口,这两个接口用于UE进行D2D发现业务时执行两个ProSe功能实体之间的信息交互。
[0006]图2为现有技术中UE实现D2D发现业务的流程图,包括以下步骤:
[0007]步骤201、当UE需要向其它一个或者多个被发现UE发起D2D发现业务时,UE首先需要向自身的HPLMN下的ProSe功能实体进行D2D发现业务认证;具体的,UE和HPLMN下的ProSe功能实体建立安全连接后,向HPLMN下的ProSe功能实体发送发现业务请求消息,所述发现业务请求消息包含发现业务类型以及用户标识,所述用户标识为国际移动用户识别码(IMSI, Internat1nal Mobile Subscriber Identificat1n Number)或者移动台国际 ISDN号码(MSISDN,Mobile Stat1n internat1nal ISDN number),其中 ISDN为综合业务数字网(Integrated Services Digital Network);
[0008]所述发现业务类型有:公布(announce),即被发现UE发起的发现请求;监听(monitor),即发现UE发起的发现请求;匹配(match),即发现UE向能够发现的ProSe功能实体发送匹配报告。
[0009]步骤202、HPLMN下的ProSe功能实体对UE执行发现业务认证流程,这里,按照现有的技术方案执行UE的发现业务认证;当UE的发现请求获得认证后,转至步骤203由HPLMN下的ProSe功能实体为UE向其他一个或者多个被发现UE发起对应的发现业务流程;
[0010]步骤203、HPLMN下的ProSe功能实体根据对应的业务类型向一个或者多个被发现UE的本地的PLMN下的ProSe功能实体发起对应的发现业务流程。
[0011]当业务类型为公布时,则HPLMN下的ProSe功能实体向被发现UE的本地的PLMN下的ProSe功能实体发送公布请求消息,被发现UE的本地的PLMN下的ProSe功能实体向HPLMN下的ProSe功能实体对应的回送公布响应消息;同理;当业务类型为监听时,则HPLMN下的ProSe功能实体向被发现UE的本地的PLMN下的ProSe功能实体发送监听请求消息,被发现UE的本地的PLMN下的ProSe功能实体向HPLMN下的ProSe功能实体回送监听响应消息;同理,当业务类型为匹配时,则HPLMN下的ProSe功能实体向被发现UE的本地的PLMN下的ProSe功能实体发送匹配请求消息,匹配成功,被发现UE的本地的PLMN下的ProSe功能实体向HPLMN下的ProSe功能实体回送匹配响应消息。
[0012]步骤204、当D2D发现业务处理完成后,HPLMN下的ProSe功能实体向发起发现业务的UE回送相应的发现业务请求响应消息,所述UE完成相关的无线资源分配。
[0013]在现有技术中,MSISDN参数仅仅由HSS签约,可以下载到EPC的控制网元,UE中一般没有签约的MSISDN参数,但是UE中的MSISDN参数可以由用户随意配置,这种情况下,如果配置了错误的MSISDN,将导致发现业务请求出错;另外,如果采用MSI实现认证鉴权,则会使IMSI暴露在发现业务请求消息中,这将导致用户的隐私信息暴露,增加用户被攻击者攻击的风险。
【发明内容】
[0014]为了解决现有技术存在的问题,本发明实施例期望提供一种鉴权认证的方法和系统、ProSe功能实体以及UE,避免暴露用户的隐私信息。
[0015]本发明的技术方案是这样实现的:
[0016]本发明实施例提供的一种鉴权认证方法,所述方法包括:
[0017]第一 ProSe功能实体向用户设备UE下发配置参数;所述UE根据所述配置参数向所述第一 ProSe功能实体发起鉴权认证过程,所述第一 ProSe功能实体对所述UE鉴权认证成功后,向所述UE分配D2D业务临时标识。
[0018]上述方案中,所述配置参数包括UE支持的PLMN标识列表和所述第一 ProSe功能实体为UE分配的D2D业务临时标识、或者所述配置参数仅包括所述UE支持的PLMN标识列表。
[0019]上述方案中,在所述第一 ProSe功能实体对UE鉴权认证之前,所述方法还包括:
[0020]UE确定本地PLMN标识在接收到的PLMN标识列表中,向第二 ProSe功能实体发起鉴权认证请求。
[0021]上述方案中,当所述UE收到的配置参数包括所述UE支持的PLMN标识列表以及所述第一 ProSe功能实体为UE分配的D2D业务临时标识时,所述UE根据所述配置参数向所述第一 ProSe功能实体发起鉴权认证过程,包括:
[0022]UE向第二 ProSe功能实体发送鉴权认证请求,所述鉴权认证请求携带本地PLMN标识以及所述UE收到的D2D业务临时标识;
[0023]第二 ProSe功能实体向所述第一 ProSe功能实体转发所述鉴权认证请求;
[0024]所述第一 ProSe功能实体根据所述D2D业务临时标识查找所述UE对应的UE上下文;
[0025]当查找到所述UE对应的UE上下文时,所述第一 ProSe功能实体对UE鉴权认证成功,向UE返回分配的D2D业务临时标识;
[0026]当没有查找到UE对应的上下文时,所述第一 ProSe功能实体向归属用户服务器HSS发起所述UE的UE上下文获取过程,所述UE上下文获取成功后,所述第一 ProSe功能实体对所述UE鉴权认证成功,向所述UE返回分配的D2D业务临时标识。
[0027]上述方案中,当所述UE收到的配置参数仅包括所述UE支持的PLMN标识列表时,所述UE根据所述配置参数向所述第一 ProSe功能实体发起鉴权认证过程,包括:
[0028]UE向第二 ProSe功能实体发送鉴权认证请求,所述鉴权认证请求携带国际移动用户识别码MSI或D2D业务临时标识;
[0029]第二 ProSe功能实体将所述鉴权认证请求转发给所述第一 ProSe功能实体;
[0030]所述第一 ProSe功能实体根据所述MSI或D2D业务临时标识执行UE鉴权认证过程。
[0031]上述方案中,所述第一 ProSe功能实体根据所述MSI或D2D业务临时标识执行UE鉴权认证过程,包括:
[0032]所述第一 ProSe功能实体根据所述MSI或D2D业务临时标识查找与所述UE相对应的UE上下文;
[0033]当查找到所述UE对应的UE上下文时,所述第一 ProSe功能实体对所述UE鉴权认证成功,向所述UE返回分配的D2D业务临时标识;
[0034]当没有查找到所述UE对应的上下文时,所述第一 ProSe功能实体向HSS发起UE上下文获取过程,UE上下文获取成功后,所述第一 ProSe功能实体对UE鉴权认证成功,向UE返回分配的D2D业务临时标识。
[0035]上述方案中,所述第一 ProSe功能实体向UE分配D2D业务临时标识后,所述方法还包括:
[0036]UE向所述第一 ProSe功能实体发送发现业务请求消息;所述发现业务请求消息包括:发现业务类型和D2D业务临时标识;
[0037]所述第一 ProSe功能实体对UE的发现请求进行认证;
[0038]如果发现请求获得认证,所述第一 ProSe功能实体根据对应的业务类型发起对应的发现业务流程;
[0039]当发现业务处理完成后,所述第一 ProSe功能实体向UE回送发现业务请求响应消息,所述消息携带所述第一 ProSe功能实体为UE分配的D2D业务临时标识。
[0040]上述方案中,所述第一 ProSe功能实体对UE的发现请求进行认证,包括:
[0041 ] 所述第一 ProSe功能实体根据D2D业务临时标识查找与所述UE相关的UE上下文,当查找到UE对应的UE上下文时,所述UE发现请求获得认证;
[0042]当没有查找到UE对应的UE上下文时,所述第一 ProSe功能实体向UE发起获取IMSI请求;UE向所述第一 ProSe功能实体回送获取MSI响应,并携带所述UE对应的MSI ;所述第一 ProSe功能实体根据IMSI查询是否存在与所述UE对应的UE上下文,存在时,所述UE发现请求获得认证;
[0043]如果不存在,所述第一 ProSe功能实体向HSS进行发现业务认证鉴权,所述HSS为所述UE建立新的UE上下文,所述UE发现请求获得认证。
[0044]本发明实施例提供的一种鉴权认证方法,所述方法包括:
[0045]第一 ProSe功能实体向UE下发配置参数;所述第一 ProSe功能实体对所述UE鉴权认证成功后,向所述UE分配D2D业务临时标识。
[0046]上述方案中,所述配置参数包括UE支持的PLMN标识列表和所述第一 ProSe功能实体为UE分配的D2D业务临时标识,或者所述配置参数仅包括所述UE支持的PLMN标识列表。
[0047]上述方案中,所述第一 ProSe功能实体对UE鉴权认证,包括:
[0048]所述第一 ProSe功能实体接收到第二 ProSe功能实体发送的鉴权认证请求,所述鉴权认证请求携带本地PLMN标识以及所述UE收到的D2D业务临时标识;
[0049]所述第一 ProSe功能实体根据所述D2D业务临时标识查找所述UE对应的UE上下文;
[0050]当查找到UE对应的上下文时,所述第一 ProSe功能实体对UE鉴权认证成功,向UE返回分配D2D业务临时标识;
[0051]当没有查找到UE对应的上下文时,所述第一 ProSe功能实体向HSS发起UE上下文获取过程,UE上下文获取成功后,所述第一 ProSe功能实体对UE鉴权认证成功,向UE返回分配D2D业务临时标识。
[0052]上述方案中,所述第一 ProSe功能实体对UE鉴权认证,包括:
[0053]所述第一 ProSe功能实体接收到第二 ProSe功能实体发送的鉴权认证请求,所述鉴权认证请求携带