CN101034979A - 一种用户身份的保护方法 - Google Patents

一种用户身份的保护方法 Download PDF

Info

Publication number
CN101034979A
CN101034979A CN200710073877.3A CN200710073877A CN101034979A CN 101034979 A CN101034979 A CN 101034979A CN 200710073877 A CN200710073877 A CN 200710073877A CN 101034979 A CN101034979 A CN 101034979A
Authority
CN
China
Prior art keywords
network element
pub
user terminal
utilize
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN200710073877.3A
Other languages
English (en)
Other versions
CN101034979B (zh
Inventor
蒋亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN2007100738773A priority Critical patent/CN101034979B/zh
Publication of CN101034979A publication Critical patent/CN101034979A/zh
Application granted granted Critical
Publication of CN101034979B publication Critical patent/CN101034979B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明公开了提供一种用户身份的保护方法,其特征在于:用户终端利用与网元A部分相同的加密机制加密要传送的用户身份数据,得到加密数据1,再利用与网元B相同的加密机制加密数据1,得到加密数据2,然后再将数据2传送给网元B;网元B接收到数据2后进行解密得到数据1,利用数据2中特定信息确定网元A位置,利用网元A对数据1进行解密,得到用户身份数据后返回给网元B。利用本发明的方法来可以完成特定网络中的用户终端身份信息的保护,从而使得用户终端的身份信息能够安全到达网元。

Description

一种用户身份的保护方法
技术领域
本发明涉及电信通讯行业的安全领域,特别涉及电信安全领域的用户身份保护技术。
背景技术
在电信网络中,通常有这样一种情形:用户终端身份信息UID由网元A发放,用户终端身份信息包括两个部分:用户终端的归属网元A标识信息AID,用于在网络中识别A,用户终端在其归属网元中分配的身份序号UAID;网元B的某些信息在不停地广播,用户终端能够收到这些广播信息;网元B需要用到用户终端提供自身的身份信息UID,并且用户终端和网元B之间的通讯处于非信任域中,如果用户终端利用明文发送身份信息UID到网元B,则可能让暴露用户身份信息。如何利用这种网络的特点,使得用户终端的身份信息UID能够安全到达网元B就是一个较为重要的问题。
发明内容
本发明的目的在于,提供一种用户身份保护方法,利用一种公钥方法来完成特定网络中的用户终端身份信息的保护,从而使得用户终端的身份信息能够安全到达网元。
为解决上述技术问题,本发明提供一种用户身份保护方法,其特征在于:网元A和所有由网元A分配身份信息的用户终端共享一种公钥加密算法F1,所有由网元A分配身份信息的用户终端都拥有同一种随机数离散算法f,网元A拥有f的逆算法f-1;网元B和用户终端共享一种公钥加密算法F2;网元A有一公私钥对(KA PUB,KA PRI),其中,网元A保留私钥KA PRI,所有由网元A分配身份信息的用户终端都拥有公钥KA PUB;网元B生成或获取公私钥对(KB PUB,KB PRI),网元B为其分配一个标识KID,网元B保留私钥KB PRI
所述方法包括:
步骤一:用户终端通过广播获取携带有网元B的信息(KID,KB PUB),并保存(KID,KB PUB);
步骤二:用户终端在发送身份信息UID到网元B时,首先生成随机数R,然后利用f和R离散化UA ID,生成f(R,UA ID),然后利用F1及KA PUB加密f(R,UA ID),生成F1(KA PUB,f(R,UA ID));利用最新保存的KID选择KB PUB,然后利用F2和KB PUB加密AID、F1(KA PUB,f(R,UA ID)),生成加密信息F2(KB PUB,AID,F1(KA PUB,f(R,UA ID))),然后将信息(KID,F2(KB PUB,AID,F1(KA PUB,f(R,UA ID))))发送给网元B;
步骤三:网元B在收到用户终端发送的信息(KID,F2(KB PUB,AID,F1(KA PUB,f(R,UA ID))))时,利用KID选择对应的KB PRI,然后利用F2及KB PRI解密F2(KB PUB,AID,F1(KA PUB,f(R,UA ID)))获得(AID,F1(KA PUB,f(R,UA ID)));
步骤四:网元B将利用AID找到网元A的位置,然后将信息(AID,F1(KA PUB,f(R,UA ID)))发送给网元A;
步骤五:网元A在收到(AID,F1(KA PUB,f(R,UA ID)))之后,利用F1及KA PRI解密F1(KA PUB,f(R,UA ID))获得f(R,UA ID),然后利用f-1及随机数R得到UA ID
步骤六:网元A根据AID、UA ID生成UID,网元A将UID发送给网元B。
进一步地,在步骤二中,用户身份信息在用户终端中,或者在用户终端使用的智能卡中。
进一步地,在步骤一中,网元B的信息由网元B进行广播,或者由其他能够取得网元B的信息的实体进行广播。
进一步地,在步骤三中,所述网元B不考虑密钥更新时,网元B只有唯一的一对公私钥对(KB PUB,KB PRI),网元B无需分配一个标识KID,网元B保留私钥KB PRI
本发明还提供了另一种用户身份保护方法,其特征在于:网元A和所有由网元A分配身份信息的用户终端共享一种公钥加密算法F1,所有由网元A分配身份信息的用户终端都拥有同一种随机数离散算法f,网元A拥有f的逆算法f-1;网元B和用户终端共享一种公钥加密算法F2;网元A有一公私钥对(KA PUB,KA PRI),其中,网元A保留私钥KA PRI,所有由网元A分配身份信息的用户终端都拥有公钥KA PUB;网元B生成或获取公私钥对(KB PUB,KB PRI),网元B保留私钥KB PRI
所述方法包括:
步骤一:用户终端通过广播获取携带有网元B的信息KB PUB,用户保存KB PUB
步骤二:用户终端在发送身份信息UID到网元B时,首先生成随机数R,然后利用f和R离散化UA ID,生成f(R,UA ID),然后利用F1及KA PUB加密f(R,UA ID),生成F1(KA PUB,f(R,UA ID));然后利用F2和KB PUB加密AID、F1(KA PUB,f(R,UA ID)),生成加密后的信息F2(KB PUB,AID,F1(KA PUB,f(R,UA ID))),然后将信息F2(KB PUB,AID,F1(KA PUB,f(R,UA ID)))发送给网元B;
步骤三:网元B在收到用户终端发送的信息F2(KB PUB,AID,F1(KA PUB,f(R,UA ID)))时,利用F2及KB PRI解密F2(KR PUB,AID,F1(KA PUB,f(R,UA ID)))获得(AID,F1(KA PUB,f(R,UA ID)));
步骤四:网元B将利用AID找到网元A的位置,然后将信息(AID,F1(KA PUB,f(R,UA ID)))发送给网元A;
步骤五:网元A在收到(AID,F1(KA PUB,f(R,UA ID)))之后,利用F1及KA PRI解密F1(KA PUB,f(R,UA ID))获得f(R,UA ID),然后利用f-1及随机数R得到UA ID
步骤六:网元A根据AID、UA ID生成UID,网元A将UID发送给网元B。
进一步地,在步骤二中,用户身份信息在用户终端中,或者在用户终端使用的智能卡中。
进一步地,在步骤一中,网元B的信息由网元B进行广播,或者由其他能够取得网元B的信息的实体进行广播。
本发明还提供一种用户身份的传送方法,其特征在于:用户终端利用与网元A部分相同的加密机制加密要传送的用户身份数据,得到加密数据1,再利用与网元B相同的加密机制加密数据1,得到加密数据2,然后再将数据2传送给网元B;网元B接收到数据2后进行解密得到数据1,利用数据2中特定信息确定网元A位置,利用网元A对数据1进行解密,得到用户身份数据后返回给网元B。
本发明利用一种公钥方法来完成特定网络中的用户终端身份信息的保护,可以在网元A和网元B之间建立可信的链路,除网元A之外的其他设备不能够解密用户终端的身份信息,所以这就保证了用户终端的身份信息能够安全地传送到网元B,从而避免暴露用户身份信息。
附图说明
图1是本发明的身份信息保护图;
图2是本发明应用例的身份信息保护图。
具体实施方式
为便于深刻理解本发明的技术内容,下面结合附图及具体实施例对本发明进行详细说明。
本发明提供一种用户身份的传送方法,其特征在于:用户终端利用与网元A部分相同的加密机制加密要传送的用户身份数据,得到加密数据1,再利用与网元B相同的加密机制加密数据1,得到加密数据2,然后再将数据2传送给网元B;网元B接收到数据2后进行解密得到数据1,利用数据2中特定信息确定网元A位置,利用网元A对数据1进行解密,得到用户身份数据后返回给网元B。
下面将结合3G中对用户IMSI的保护给出本发明的一个实施例。
在3G中,HLR是指用户归属网络寄存器,VLR是指用户访问网络寄存器,Node B是指基站,UE是指诸如手机之类的用户设备,IMSI是用户身份标识,由HLR分配,包括三个部分内容(MCC,MNC,MSIN),MSIN前4位为HLR标识,将(MCC,MNC,MSIN前4位)一起记为HID,利用HID可以在全球定位HLR,MSIN后6位为用户在HLR中的标识,记为UH ID,IMSI位于SIM卡中,SIM卡由UE使用。VLR的系统信息可以通过Node B进行广播,UE可以接受Node B的广播。在用户接入过程中,需要UE将IMSI传送给VLR,考虑到用户的身份信息的安全的重要性,在传送的时候,需要进行安全保护。而现有的网络中,UE初始接入时,UE和VLR之间的通信是没有安全通道的。
下面我们将逐步看通过本发明是如何完成IMSI的保护:
步骤一:HLR和所有由该HLR分配的SIM卡共享一种公钥加密算法F1,所有由HLR分配的SIM卡都拥有同一种随机数离散算法f,HLR拥有f的逆算法f-1,VLR和UE或者SIM卡共享一种公钥加密算法F2;
步骤二:HLR有一公私钥对(KH PUB,KH PRI),其中,HLR保留私钥KHP RI,所有由HLR分配的SIM卡都拥有公钥KH PUB
步骤三:VLR生成或获取公私钥对(KV PUB,KV PRI),VLR为其分配一个标识KID,VLR保留私钥KV PRI
步骤四:Node B的广播信息中,携带VLR的如下信息:(KID,KV PUB),UE通过广播获取到的信息:(KID,KV PUB),用户保存(KID,KV PUB);
步骤五:UE在发送身份信息IMSI到VLR时,首先SIM卡生成随机数R,然后SIM卡利用f和R离散化UH ID,生成f(R,UH ID),然后SIM卡利用F1及KH PUB加密f(R,UH ID),生成F1(KH PUB,f(R,UH ID));然后UE利用最新保存的KID选择KV PUB,然后UE或者SIM卡利用F2和KV PUB加密HID、F1(KH PUB,f(R,UH ID)),生成加密后信息F2(KV PUB,HID,F1(KH PUB,f(R,UH ID))),然后将信息(KID,F2(KV PUB,HID,F1(KH PUB,f(R,UH ID))))发送给VLR;
步骤六:VLR在收到UE发送的信息(KID,F2(KV PUB,HID,F1(KH PUB,f(R,UH ID))))时,利用KID选择对应的KV PRI,然后利用F2及KV PRI解密F2(KV PUB,HID,F1(KH PUB,f(R,UH ID)))获得(HID,F1(KH PUB,f(R,UH ID)))。
步骤七:VLR将利用HID找到HLR的位置,然后将信息(HID,F1(KH PUB,f(R,UH ID)))发送给HLR;
步骤八:HLR在收到(HID,F1(KH PUB,f(R,UH ID)))之后,利用F1及KH PRI解密F1(KH PUB,f(R,UH ID))获得f(R,UH ID),然后利用f-1及随机数R得到UH ID
步骤九:HLR合并HID、UH ID生成IMSI,HLR将IMSI发送给VLR。
采用本发明,除HLR之外的其他设备不能够解密UE的IMSI,同时,由于HLR和VLR之间的链路是可信的,所以UE的IMSI能够安全地传送到VLR,这就保证了UE的IMSI能够安全传送到VLR。
当然,本发明还可有其他多种实施例,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。

Claims (8)

1、一种用户身份的传送方法,其特征在于:用户终端利用与网元A部分相同的加密机制加密要传送的用户身份数据,得到加密数据1,再利用与网元B相同的加密机制加密数据1,得到加密数据2,然后再将数据2传送给网元B;网元B接收到数据2后进行解密得到数据1,利用数据2中特定信息确定网元A位置,利用网元A对数据1进行解密,得到用户身份数据后返回给网元B。
2、一种用户身份保护方法,其特征在于:网元A和所有由网元A分配身份信息的用户终端共享一种公钥加密算法F1,所有由网元A分配身份信息的用户终端都拥有同一种随机数离散算法f,网元A拥有f的逆算法f-1;网元B和用户终端共享一种公钥加密算法F2;网元A有一公私钥对(KA PUB,KA PRI),其中,网元A保留私钥KA PRI,所有由网元A分配身份信息的用户终端都拥有公钥KA PUB;网元B生成或获取公私钥对(KB PUB,KB PRI),网元B为其分配一个标识KID,网元B保留私钥KB PRI
所述方法包括:
步骤一:用户终端通过广播获取携带有网元B的信息(KID,KB PUB),并保存(KID,KB PUB);
步骤二:用户终端在发送身份信息UID到网元B时,首先生成随机数R,然后利用f和R离散化UA ID,生成f(R,UA ID),然后利用F1及KA PUB加密f(R,UA ID),生成F1(KA PUB,f(R,UA ID));利用最新保存的KID选择KB PUB,然后利用F2和KB PUB加密AID、F1(KA PUB,f(R,UA ID)),生成加密信息F2(KB PUB,AID,F1(KA PUB,f(R,UA ID))),然后将信息(KID,F2(KB PUB,AID,F1(KA PUB,f(R,UA ID))))发送给网元B;
步骤三:网元B在收到用户终端发送的信息(KID,F2(KR PUB,AID,F1(KA PUB,f(R,UA ID))))时,利用KID选择对应的KB PRI,然后利用F2及KB PRI解密F2(KB PUB,AID,F1(KA PUB,f(R,UA ID)))获得(AID,F1(KA PUB,f(R,UA ID)));
步骤四:网元B将利用AID找到网元A的位置,然后将信息(AID,F1(KA PUB,f(R,UA ID)))发送给网元A;
步骤五:网元A在收到(AID,F1(KA PUB,f(R,UA ID)))之后,利用F1及KA PRI解密F1(KA PUB,f(R,UA ID))获得f(R,UA ID),然后利用f-1及随机数R得到UA ID
步骤六:网元A根据AID、UA ID生成UID,网元A将UID发送给网元B。
3、根据权利要求1所述的方法,其特征在于:在步骤二中,用户身份信息在用户终端中,或者在用户终端使用的智能卡中。
4、根据权利要求1所述的方法,其特征在于:在步骤一中,网元B的信息由网元B进行广播,或者由其他能够取得网元B的信息的实体进行广播。
5、根据权利要求1所述的方法,其特征在于:所述网元B不考虑密钥更新时,网元B只有唯一的一对公私钥对(KB PUB,KB PRI),网元B无需分配一个标识KID,网元B保留私钥KB PRI
6、一种用户身份保护方法,其特征在于:网元A和所有由网元A分配身份信息的用户终端共享一种公钥加密算法F1,所有由网元A分配身份信息的用户终端都拥有同一种随机数离散算法f,网元A拥有f的逆算法f-1;网元B和用户终端共享一种公钥加密算法F2;网元A有一公私钥对(KA PUB,KA PRI),其中,网元A保留私钥KA PRI,所有由网元A分配身份信息的用户终端都拥有公钥KA PUB;网元B生成或获取公私钥对(KB PUB,KB PRI),网元B保留私钥KB PRI
所述方法包括:
步骤一:用户终端通过广播获取携带有网元B的信息KB PUB,用户保存KB PUR
步骤二:用户终端在发送身份信息UID到网元B时,首先生成随机数R,然后利用f和R离散化UA ID,生成f(R,UA ID),然后利用F1及KA PUB加密f(R,UA ID),生成F1(KA PUB,f(R,UA ID));然后利用F2和KB PUB加密AID、F1(KA PUB,f(R,UA ID)),生成加密后的信息F2(KB PUB,AID,F1(KA PUB,f(R,UA ID))),然后将信息F2(KB PUB,AID,F1(KA PUB,f(R,UA ID)))发送给网元B;
步骤三:网元B在收到用户终端发送的信息F2(KB PUB,AID,F1(KA PUB,f(R,UA ID)))时,利用F2及KB PRI解密F2(KB PUB,AID,F1(KA PUB,f(R,UA ID)))获得(AID,F1(KA PUB,f(R,UA ID)));
步骤四:网元B将利用AID找到网元A的位置,然后将信息(AID,F1(KA PUB,f(R,UA ID)))发送给网元A;
步骤五:网元A在收到(AID,F1(KA PUB,f(R,UA ID)))之后,利用F1及KA PRI解密F1(KA PUB,f(R,UA ID))获得f(R,UA ID),然后利用f-1及随机数R得到UA ID
步骤六:网元A根据AID、UA ID生成UID,网元A将UID发送给网元B。
7、根据权利要求1所述的方法,其特征在于:在步骤二中,用户身份信息在用户终端中,或者在用户终端使用的智能卡中。
8、根据权利要求1所述的方法,其特征在于:在步骤一中,网元B的信息由网元B进行广播,或者由其他能够取得网元B的信息的实体进行广播。
CN2007100738773A 2007-04-10 2007-04-10 一种用户身份的保护方法 Expired - Fee Related CN101034979B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2007100738773A CN101034979B (zh) 2007-04-10 2007-04-10 一种用户身份的保护方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2007100738773A CN101034979B (zh) 2007-04-10 2007-04-10 一种用户身份的保护方法

Publications (2)

Publication Number Publication Date
CN101034979A true CN101034979A (zh) 2007-09-12
CN101034979B CN101034979B (zh) 2011-05-11

Family

ID=38731299

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2007100738773A Expired - Fee Related CN101034979B (zh) 2007-04-10 2007-04-10 一种用户身份的保护方法

Country Status (1)

Country Link
CN (1) CN101034979B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101784048A (zh) * 2009-01-21 2010-07-21 中兴通讯股份有限公司 动态更新密钥的身份认证和密钥协商方法及系统
CN112134831A (zh) * 2019-06-25 2020-12-25 中兴通讯股份有限公司 接入请求的发送、处理方法及装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1658553B (zh) * 2004-02-20 2011-04-27 中国电子科技集团公司第三十研究所 一种采用公开密钥密码算法加密模式的强鉴别方法
CN1286050C (zh) * 2004-09-16 2006-11-22 四川华旗数据软件有限责任公司 身份信息加/解密方法及识别系统
CN100589381C (zh) * 2004-12-14 2010-02-10 中兴通讯股份有限公司 一种通信系统中用户身份保密的方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101784048A (zh) * 2009-01-21 2010-07-21 中兴通讯股份有限公司 动态更新密钥的身份认证和密钥协商方法及系统
CN112134831A (zh) * 2019-06-25 2020-12-25 中兴通讯股份有限公司 接入请求的发送、处理方法及装置
CN112134831B (zh) * 2019-06-25 2023-02-21 中兴通讯股份有限公司 接入请求的发送、处理方法及装置

Also Published As

Publication number Publication date
CN101034979B (zh) 2011-05-11

Similar Documents

Publication Publication Date Title
CN1123159C (zh) 加密电信网中的无线电业务的方法和设备
US6983376B2 (en) Method and apparatus for providing privacy of user identity and characteristics in a communication system
RU2341028C2 (ru) Эффективная передача криптографической информации в протоколе безопасности реального времени
US5889861A (en) Identity confidentiality method in radio communication system
EP3465978B1 (en) Protection of privacy in wireless telecommunication networks
US7987369B2 (en) Using watermarking to reduce communication overhead
US20060291660A1 (en) SIM UICC based broadcast protection
CN1160990C (zh) 用于对无线传输的信息加密和用于验证用户的方法与通信系统
CN1427635A (zh) 一种基于移动国家码确定保密通信中加密算法的方法
WO2019068731A1 (en) METHOD FOR TRANSMITTING, TO A PHYSICAL OR VIRTUAL ELEMENT OF A TELECOMMUNICATIONS NETWORK, A PAID-TYPE SUBSCRIPTION IDENTIFIER STORED IN A SECURITY ELEMENT, SECURITY ELEMENT AND CORRESPONDING PHYSICAL OR VIRTUAL ELEMENT, AND TERMINAL COLLABORATING WITH SAID SECURITY ELEMENT
CN1288643A (zh) 电信系统中的消息处理过程和系统
CN1790984A (zh) 一种通信系统中用户身份保密的方法
KR20060087271A (ko) 이동통신 가입자 인증의 보안 전송 방법
EP1995908B1 (en) Method, system, apparatus and bsf entity for preventing bsf entity from attack
CN105471845A (zh) 防止中间人攻击的通信方法及系统
RU2356170C2 (ru) Способ и устройство для защиты в системе обработки данных
NZ556741A (en) System and method for three-phase data encryption
CN101034979A (zh) 一种用户身份的保护方法
CN101034980A (zh) 一种用户身份保护及传送方法
CN111800791B (zh) 认证方法及核心网设备、终端
AU2012311701B2 (en) System and method for the safe spontaneous transmission of confidential data over unsecure connections and switching computers
JP6499315B2 (ja) 移動通信システム及び通信網
CN108156112B (zh) 数据加密方法、电子设备及网络侧设备
KR20030082855A (ko) 무선랜 보안 방법
CN1846395A (zh) 安全广播系统的装置和方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20110511

Termination date: 20190410