一种移动通信用户身份保护方法专利检索-国际申请申请专利权专利检索查询-专利查询网

积极推动地理标志专门立法

2022-03-10 地理标志，立法，知识产权
保护知识产权是对创新最大的激励

2022-03-10 保护知识产权，创新，激励
谢商华：加快制定知识产权基本法

2022-03-10 知识产权基本法
擦亮“双奥之城”品牌

2022-03-10 双奥，知识产权
让冰雪运动“热”力全开

2022-03-10 冰雪运动，知识产权
携手共奋进　走好强国路

2022-03-10 强国，知识产权
坚持创新引领　方能稳中求进

2022-03-10 创新，稳中求进，知识产权
答好“两张卷” 奋进新征程

2022-03-10 知识产权
专家解读政府工作报告中的创新和知识产权相关部署

2022-03-10 政府工作报告，创新，知识产权
今年政府工作报告指出：加强知识产权保护和运用

2022-03-10 政府工作报告，知识产权保护

一种移动通信用户身份保护方法

阅读：562发布：2021-02-17

IPRDB可以提供一种移动通信用户身份保护方法专利检索，专利查询，专利分析的服务。并且本发明适用于移动通信领域，提供了一种移动通信用户身份保护方法，所述方法通过为每个用户设置了一个假名，在UE/USIM卡首次接入LTE/SAE网络时仍然使用IMSI表示自己的身份，但之后则使用假名接入网络，IMSI将不再使用，而且假名可以由USIM自主更新，从而可以有效的保护用户身份的安全。，下面是一种移动通信用户身份保护方法专利的具体信息内容。

权利要求

1.一种移动通信用户身份保护方法，其特征在于，在该用户的用户设备UE中的用户身份模块USIM卡首次接入通信网络时，所述方法包括下述步骤：A、UE在收到移动管理实体MME发送的用户身份请求时上报自己的国际移动用户身份号IMSI；

B、MME收到上述IMSI后，向归属用户服务器HSS发送该IMSI，并申请鉴权向量；

C、HSS根据上述IMSI查找该用户对应的密钥，生成鉴权向量AV，并向MME下发；

D、MME从AV中提取出随机数和认证令牌AUTN发送给UE；

E、UE启动USIM首先验证AUTN，再计算出响应值RES，同时USIM内部生成假名PSE，最后将RES和PSE一起发送给MME；

F、MME收到RES后首先验证UE的合法性，成功后生成全球唯一临时身份GUTI下发给UE，并保留GUTI与IMSI的对应关系；

G、UE收到GUTI后表示首次接入认证成功，USIM卡中保存PSE，下次使用PSE接入网络，如果未收到GUTI，表示首次接入认证不成功，清除PSE数据，下次继续使用IMSI接入网络；

H、MME将PSE上传至HSS，HSS保存IMSI与PSE的对应关系；

所述假名PSE包括假名标志、HSS标识及假名数据这3部分信息。

2.如权利要求1所述的移动通信用户身份保护方法，其特征在于，当UE首次接入网络成功后，后续接入网络时，在所述步骤A中，UE上报给MME的为自己的PSE；所述步骤B为MME收到PSE后，根据PSE中的HSS标识向UE归属的HSS发送PSE，并申请鉴权向量；所述步骤C为HSS通过PSE找到对应的IMSI，生成鉴权向量AV，并向MME下发；在所述步骤E中，USIM内部将生成新假名PSE’，并将RES和PSE’发送给MME；在所述步骤G中，UE收到GUTI后表示本次接入认证成功，使用新假名PSE’替代旧假名PSE并保存在USIM卡中，下次使用PSE’接入网络，如果UE未收到GUTI，表示本次接入认证不成功，清除新假名PSE’，保留旧假名PSE，下次继续使用旧假名PSE接入网络；在所述步骤H中，MME将PSE’上传至HSS，HSS使用新假名PSE’替代旧假名PSE，保存IMSI与PSE’的对应关系，下次鉴权时使用PSE’。

3、如权利要求1所述的移动通信用户身份保护方法，其特征在于，所述假名数据通过随机产生或者计算产生，并大于或等于16字节。

4、如权利要求3所述的移动通信用户身份保护方法，其特征在于，所述假名数据采用单向哈希函数对IMSI和随机数R运算后产生。

5、如权利要求2所述的移动通信用户身份保护方法，其特征在于，在USIM卡中保存接入标志AF，并设置当AF=0时表示当前USIM卡是首次接入网络，AF=1时表示当前USIM卡是后续接入网络，AF的初始状态为0，在所述步骤A中，UE通过USIM卡中的AF的值来判断该次接入是首次接入或是后续接入，从而上报相应的信息。

6、如权利要求2所述的移动通信用户身份保护方法，其特征在于，所述步骤G进一步包括：如果UE连续3次接入认证不成功，则下次使用IMSI进行接入认证。

说明书全文

一种移动通信用户身份保护方法

技术领域

[0001] 本发明属于移动通信领域，尤其涉及一种移动通信用户身份保护方法。

背景技术

[0002] 在长期演进/系统架构演进（LTE/SAE）系统中，采用全球唯一临时身份（GUTI）机制对用户身份进行保护。当用户设备/用户身份模块（UE/USIM）首次接入网络时（如开机），必须以明文方式上报自己的国际移动用户身份号（IMSI），进行鉴权和密钥协商（AKA）双向认证。通过AKA认证后移动管理实体（MME）向UE分配GUTI，并存储GUTI和IMSI之间的对应关系。此后用户使用GUTI与网络建立联系，如请求接入网络、路由更新、附着请求、寻呼消息等。此机制减少了IMSI在无线信道上的传输，增加了攻击者截获的难度，对IMSI保护起到了一定的作用。但当用户无法获得GUTI或网络无法获得IMSI-GUTI对应关系时，用户必须使用IMSI标识自己身份，IMSI也将以明文形式暴露在空中接口中。

[0003] 如果攻击者通过被动或主动攻击获得某个特定用户的IMSI，并获取到用户真实身份与IMSI的对应关系时，用户位置将被追踪，隐私将被泄漏。因此目前的IMSI保护机制对于保护IMSI是不完善的，并且存在明显的缺陷，那就是IMSI经常要在空中以明文的方式发送，给用户位置信息的安全带来威胁，不能满足高端用户的安全需求。

发明内容

[0004] 本发明的目的在于：提供一种移动通信用户身份保护方法，旨在解决现有的移动通信用户在用户设备接入认证时，身份信息难以得到全面有效的安全保证的问题。

[0005] 本发明的目的是这样实现的：

[0006] 一种移动通信用户身份保护方法，在该用户的用户设备UE中的用户身份模块USIM卡首次接入通信网络时，所述方法包括下述步骤：

[0007] A、UE在收到移动管理实体MME发送的用户身份请求时上报自己的国际移动用户身份号IMSI；

[0008] B、MME收到上述IMSI后，向归属用户服务器HSS发送该IMSI，并申请鉴权向量；

[0009] C、HSS根据上述IMSI查找该用户对应的密钥，生成鉴权向量AV，并向MME下发；

[0010] D、MME从AV中提取出随机数和认证令牌AUTN发送给UE；

[0011] E、UE启动USIM首先验证AUTN，再计算出响应值RES，同时USIM内部生成假名PSE，最后将RES和PSE一起发送给MME；

[0012] F、MME收到RES后首先验证UE的合法性，成功后生成全球唯一临时身份GUTI下发给UE，并保留GUTI与IMSI的对应关系；

[0013] G、UE收到GUTI后表示首次接入认证成功，USIM卡中保存PSE，下次使用PSE接入网络，如果未收到GUTI，表示首次接入认证不成功，清除PSE数据，下次继续使用IMSI接入网络；

[0014] H、MME将PSE上传至HSS，HSS保存IMSI与PSE的对应关系；

[0015] 所述假名PSE包括假名标志、HSS标识及假名数据这3部分信息。

[0016] 当UE首次接入网络成功后，后续接入网络时，在所述步骤A中，UE上报给MME的为自己的PSE；所述步骤B为MME收到PSE后，根据PSE中的HSS标识向UE归属的HSS发送PSE，并申请鉴权向量；所述步骤C为HSS通过PSE找到对应的IMSI，生成鉴权向量AV，并向MME下发；在所述步骤E中，USIM内部将生成新假名PSE’，并将RES和PSE’发送给MME；在所述步骤G中，UE收到GUTI后表示本次接入认证成功，使用新假名PSE’替代旧假名PSE并保存在USIM卡中，下次使用PSE’接入网络，如果UE未收到GUTI，表示本次接入认证不成功，清除新假名PSE’，保留旧假名PSE，下次继续使用旧假名PSE接入网络；在所述步骤H中，MME将PSE’上传至HSS，HSS使用新假名PSE’替代旧假名PSE，保存IMSI与PSE’的对应关系，下次鉴权时使用PSE’。

[0017] 所述假名数据通过随机产生或者计算产生，并大于或等于16字节。

[0018] 所述假名数据采用单向哈希函数对IMSI和随机数R运算后产生。

[0019] 在USIM卡中保存接入标志AF，并设置当AF=0时表示当前USIM卡是首次接入网络，AF=1时表示当前USIM卡是后续接入网络，AF的初始状态为0，在所述步骤A中，UE通过USIM卡中的AF的值来判断该次接入是首次接入或是后续接入，从而上报相应的信息。

[0020] 所述步骤G进一步包括：

[0021] 如果UE连续3次接入认证不成功，则下次使用IMSI进行接入认证。

[0022] 本发明的突出优点是：本发明通过使用假名机制，使IMSI只在首次接入时使用（正常情况下只使用一次），以后终端均使用假名进行网络接入，即使攻击者采用主动攻击或者被动攻击获得了PSE数据，也不能推导出IMSI信息，同时该发明还具有PSE更新功能，更增加了攻击者的跟踪难度，因此较好的实现了IMSI的保护，能够满足高端用户对移动通信用户身份保护的需求。

附图说明

[0023] 图1是本发明实施例提供的假名的格式图；

[0024] 图2是本发明实施例提供的移动通信用户身份保护方法首次接入网络的时序图；

[0025] 图3是本发明实施例提供的移动通信用户身份保护方法后续接入网络的时序图。

具体实施方式

[0026] 为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

[0027] 本发明实施例提供的移动通信用户身份保护方法为每个用户设置了一个假名，在UE/USIM卡首次接入LTE/SAE网络时仍然使用IMSI表示自己的身份，但之后则使用假名接入网络，IMSI将不再使用，而且假名可以由USIM自主更新，通过该方式可以有效的保护用户身份的安全。

[0028] 在本发明实施例中，所述假名（以下使用PSE表示）包括三个部分：PSE_FLAG、HSS_ID和PSE_DATA，PSE的格式如图1所示。其中：

[0029] PSE_FLAG表示假名的标志，MME和归属用户服务器（HSS）即通过该标志判断收到的用户身份信息是假名。数据长度为2字节。

[0030] HSS_ID表示HSS标识，内部包含了归属网的国家代码、网络接入代码和HSS号码等信息。数据长度为8字节。

[0031] PSE_DATA表示生成的假名数据，PSE_DATA的作用是既要临时代表IMSI的身份，同时要求不同用户的假名数据不能出现相同的情况，以免造成接入失败。

[0032] 为了有效的防止假名数据碰撞，假名数据不少于16字节。假名数据的产生可以通过多种方式得到，例如通过随机产生或者通过计算产生。

[0033] 作为本发明的一个优选实施例，假名数据可以通过IMSI和随机数R运算后得到，即PSE_DATA=F（IMSI||R），函数F为单向哈希函数。其中，IMSI长度为8字节，R长度为32字节，PSE_DATA长度为16字节。采用该机制生成的PSE_DATA可以有效的防止假名数据碰撞。

[0034] 在USIM卡中保存接入标志AF，并设置当AF=0时表示当前USIM卡是首次接入网络，AF=1时则表示当前USIM卡是后续接入网络。AF的初始状态为0。

[0035] 当新的USIM卡首次使用时，此时AF=0，为首次接入网络，采用IMSI进行身份认证，图2即示出了本发明实施例提供的移动通信用户身份保护方法在首次接入网络时的时序，流程描述如下：

[0036] 1、MME向UE发送用户身份请求。

[0037] 2、UE通过USIM卡中的AF（此时为0）标志确定该次接入是首次接入，上报自己的IMSI。

[0038] 3、MME收到IMSI后，向HSS发送该IMSI，并申请鉴权向量。

[0039] 4、HSS根据IMSI查找该用户对应的密钥K，生成鉴权向量AV，并向MME下发。

[0040] 5、MME从AV中提取出随机数RAND和认证令牌AUTN发送给UE。

[0041] 6、UE启动USIM进行鉴权操作，首先验证AUTN，再计算出响应值RES。同时USIM内部生成假名PSE，最后将RES和PSE发送给MME。

[0042] 7、MME收到RES后首先验证UE的合法性，成功后生成GUTI下发给UE，并保留GUTI与IMSI的对应关系。UE收到GUTI后表示首次接入认证成功，USIM卡中接入标志AF设置为1，USIM卡中保存PSE，下次使用PSE接入网络。如果未收到GUTI，表示首次接入认证不成功，AF状态保持为0，清除PSE数据，下次继续使用IMSI接入网络。

[0043] 8、MME将PES上传至HSS，HSS保存IMSI与PSE的对应关系。

[0044] 当UE重新开机或者当MME无法获取该手机GUTI与IMSI的对应关系时，进入后续接入流程，此时AF=1，采用PSE进行身份认证。图3示出了本发明实施例提供的移动通信用户身份保护方法在后续接入网络时的时序，详述如下：

[0045] 1、MME向UE发送用户身份请求。

[0046] 2、UE通过USIM卡中的AF（此时为1）标志确定该次接入是后续接入，上报自己的PSE。

[0047] 3、MME收到PSE后，根据HSS_ID向UE归属的HSS发送PSE，并申请鉴权向量。

[0048] 4、HSS通过PSE找到对应的IMSI，生成鉴权向量AV，并向MME下发。

[0049] 5、MME从AV中提取出认证随机数RAND和认证令牌AUTN发送给UE。

[0050] 6、UE启动USIM进行鉴权操作，首先验证AUTN，再计算出响应值RES。同时USIM内部生成新假名PSE’，最后将RES和PSE’发送给MME。

[0051] 7、MME收到RES后首先验证UE的合法性，成功后生成GUTI下发给UE，并保留GUTI与IMSI的对应关系。UE收到GUTI后表示本次接入认证成功，使用新假名PSE’替代旧假名PSE并保存在USIM卡中，下次使用PSE’接入网络。如果UE未收到GUTI，表示本次接入认证不成功，清除新假名PSE’，保留旧假名PSE，下次继续使用旧假名PSE接入网络。

[0052] 此外，如果UE连续3次接入认证不成功，则可以将AF设置为0，下次使用IMSI进行接入认证。

[0053] 8、MME将PES’上传至HSS，HSS使用新假名PSE’替代老假名PSE，保存IMSI与PSE’的对应关系，下次鉴权时使用PSE’。

[0054] 本发明实施例通过使用假名机制，使IMSI只在首次接入时使用（正常情况下只使用一次），以后终端均使用假名进行网络接入，即使攻击者采用主动攻击或者被动攻击获得了PSE数据，也不能推导出IMSI信息，同时该发明还具有PSE更新功能，更增加了攻击者的跟踪难度，因此较好的实现了IMSI的保护，能够满足高端用户对移动通信用户身份保护的需求。此外，PSE的产生、分配、同步不改变现有LTE/SAE的AKA认证机制的流程，与AKA机制进行了较好的融合，利用RES上报流程附带实现了PSE上报，没有增加HSS和MME的负担，具有较高的可实现性。

[0055] 以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

标题	发布/更新时间	阅读量
枚举类的国际化方法、装置、计算机设备及存储介质-专利编号CN110795197A	2020-05-12	550
专利生命周期管理系统-专利编号CN104160417A	2020-05-12	711
用于医疗辅助终端设备和后端设备的抗凝管理方法及装置-专利编号CN107292110A	2020-05-12	350
一种国际漫游代理呼叫业务的方法-专利编号CN101098558B	2020-05-11	416
境外开通国际漫游的方法和系统以及国际漫游系统-专利编号CN104519476A	2020-05-11	216
一种国际漫游代理呼叫业务的方法-专利编号CN101098558A	2020-05-11	991
一种价格查询方法及设备-专利编号CN107066610A	2020-05-11	983
路由重选方法、系统、国际关口局和归属位置寄存器-专利编号CN103369617B	2020-05-13	468
一种日志国际化方法、系统、设备及计算机可读存储介质-专利编号CN108897742A	2020-05-12	738
国际移动用户识别码获取方法、装置和计算机设备-专利编号CN111107538A	2020-05-13	819

一种移动通信用户身份保护方法

一种移动通信用户身份保护方法

技术领域

背景技术

发明内容

附图说明

具体实施方式

IPRDB

热门服务

关于我们

友情链接

联系方式