CN101034979A - 一种用户身份的保护方法 - Google Patents
一种用户身份的保护方法 Download PDFInfo
- Publication number
- CN101034979A CN101034979A CN200710073877.3A CN200710073877A CN101034979A CN 101034979 A CN101034979 A CN 101034979A CN 200710073877 A CN200710073877 A CN 200710073877A CN 101034979 A CN101034979 A CN 101034979A
- Authority
- CN
- China
- Prior art keywords
- network element
- pub
- user terminal
- utilize
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了提供一种用户身份的保护方法,其特征在于:用户终端利用与网元A部分相同的加密机制加密要传送的用户身份数据,得到加密数据1,再利用与网元B相同的加密机制加密数据1,得到加密数据2,然后再将数据2传送给网元B;网元B接收到数据2后进行解密得到数据1,利用数据2中特定信息确定网元A位置,利用网元A对数据1进行解密,得到用户身份数据后返回给网元B。利用本发明的方法来可以完成特定网络中的用户终端身份信息的保护,从而使得用户终端的身份信息能够安全到达网元。
Description
技术领域
本发明涉及电信通讯行业的安全领域,特别涉及电信安全领域的用户身份保护技术。
背景技术
在电信网络中,通常有这样一种情形:用户终端身份信息UID由网元A发放,用户终端身份信息包括两个部分:用户终端的归属网元A标识信息AID,用于在网络中识别A,用户终端在其归属网元中分配的身份序号UAID;网元B的某些信息在不停地广播,用户终端能够收到这些广播信息;网元B需要用到用户终端提供自身的身份信息UID,并且用户终端和网元B之间的通讯处于非信任域中,如果用户终端利用明文发送身份信息UID到网元B,则可能让暴露用户身份信息。如何利用这种网络的特点,使得用户终端的身份信息UID能够安全到达网元B就是一个较为重要的问题。
发明内容
本发明的目的在于,提供一种用户身份保护方法,利用一种公钥方法来完成特定网络中的用户终端身份信息的保护,从而使得用户终端的身份信息能够安全到达网元。
为解决上述技术问题,本发明提供一种用户身份保护方法,其特征在于:网元A和所有由网元A分配身份信息的用户终端共享一种公钥加密算法F1,所有由网元A分配身份信息的用户终端都拥有同一种随机数离散算法f,网元A拥有f的逆算法f-1;网元B和用户终端共享一种公钥加密算法F2;网元A有一公私钥对(KA PUB,KA PRI),其中,网元A保留私钥KA PRI,所有由网元A分配身份信息的用户终端都拥有公钥KA PUB;网元B生成或获取公私钥对(KB PUB,KB PRI),网元B为其分配一个标识KID,网元B保留私钥KB PRI;
所述方法包括:
步骤一:用户终端通过广播获取携带有网元B的信息(KID,KB PUB),并保存(KID,KB PUB);
步骤二:用户终端在发送身份信息UID到网元B时,首先生成随机数R,然后利用f和R离散化UA ID,生成f(R,UA ID),然后利用F1及KA PUB加密f(R,UA ID),生成F1(KA PUB,f(R,UA ID));利用最新保存的KID选择KB PUB,然后利用F2和KB PUB加密AID、F1(KA PUB,f(R,UA ID)),生成加密信息F2(KB PUB,AID,F1(KA PUB,f(R,UA ID))),然后将信息(KID,F2(KB PUB,AID,F1(KA PUB,f(R,UA ID))))发送给网元B;
步骤三:网元B在收到用户终端发送的信息(KID,F2(KB PUB,AID,F1(KA PUB,f(R,UA ID))))时,利用KID选择对应的KB PRI,然后利用F2及KB PRI解密F2(KB PUB,AID,F1(KA PUB,f(R,UA ID)))获得(AID,F1(KA PUB,f(R,UA ID)));
步骤四:网元B将利用AID找到网元A的位置,然后将信息(AID,F1(KA PUB,f(R,UA ID)))发送给网元A;
步骤五:网元A在收到(AID,F1(KA PUB,f(R,UA ID)))之后,利用F1及KA PRI解密F1(KA PUB,f(R,UA ID))获得f(R,UA ID),然后利用f-1及随机数R得到UA ID;
步骤六:网元A根据AID、UA ID生成UID,网元A将UID发送给网元B。
进一步地,在步骤二中,用户身份信息在用户终端中,或者在用户终端使用的智能卡中。
进一步地,在步骤一中,网元B的信息由网元B进行广播,或者由其他能够取得网元B的信息的实体进行广播。
进一步地,在步骤三中,所述网元B不考虑密钥更新时,网元B只有唯一的一对公私钥对(KB PUB,KB PRI),网元B无需分配一个标识KID,网元B保留私钥KB PRI。
本发明还提供了另一种用户身份保护方法,其特征在于:网元A和所有由网元A分配身份信息的用户终端共享一种公钥加密算法F1,所有由网元A分配身份信息的用户终端都拥有同一种随机数离散算法f,网元A拥有f的逆算法f-1;网元B和用户终端共享一种公钥加密算法F2;网元A有一公私钥对(KA PUB,KA PRI),其中,网元A保留私钥KA PRI,所有由网元A分配身份信息的用户终端都拥有公钥KA PUB;网元B生成或获取公私钥对(KB PUB,KB PRI),网元B保留私钥KB PRI;
所述方法包括:
步骤一:用户终端通过广播获取携带有网元B的信息KB PUB,用户保存KB PUB;
步骤二:用户终端在发送身份信息UID到网元B时,首先生成随机数R,然后利用f和R离散化UA ID,生成f(R,UA ID),然后利用F1及KA PUB加密f(R,UA ID),生成F1(KA PUB,f(R,UA ID));然后利用F2和KB PUB加密AID、F1(KA PUB,f(R,UA ID)),生成加密后的信息F2(KB PUB,AID,F1(KA PUB,f(R,UA ID))),然后将信息F2(KB PUB,AID,F1(KA PUB,f(R,UA ID)))发送给网元B;
步骤三:网元B在收到用户终端发送的信息F2(KB PUB,AID,F1(KA PUB,f(R,UA ID)))时,利用F2及KB PRI解密F2(KR PUB,AID,F1(KA PUB,f(R,UA ID)))获得(AID,F1(KA PUB,f(R,UA ID)));
步骤四:网元B将利用AID找到网元A的位置,然后将信息(AID,F1(KA PUB,f(R,UA ID)))发送给网元A;
步骤五:网元A在收到(AID,F1(KA PUB,f(R,UA ID)))之后,利用F1及KA PRI解密F1(KA PUB,f(R,UA ID))获得f(R,UA ID),然后利用f-1及随机数R得到UA ID;
步骤六:网元A根据AID、UA ID生成UID,网元A将UID发送给网元B。
进一步地,在步骤二中,用户身份信息在用户终端中,或者在用户终端使用的智能卡中。
进一步地,在步骤一中,网元B的信息由网元B进行广播,或者由其他能够取得网元B的信息的实体进行广播。
本发明还提供一种用户身份的传送方法,其特征在于:用户终端利用与网元A部分相同的加密机制加密要传送的用户身份数据,得到加密数据1,再利用与网元B相同的加密机制加密数据1,得到加密数据2,然后再将数据2传送给网元B;网元B接收到数据2后进行解密得到数据1,利用数据2中特定信息确定网元A位置,利用网元A对数据1进行解密,得到用户身份数据后返回给网元B。
本发明利用一种公钥方法来完成特定网络中的用户终端身份信息的保护,可以在网元A和网元B之间建立可信的链路,除网元A之外的其他设备不能够解密用户终端的身份信息,所以这就保证了用户终端的身份信息能够安全地传送到网元B,从而避免暴露用户身份信息。
附图说明
图1是本发明的身份信息保护图;
图2是本发明应用例的身份信息保护图。
具体实施方式
为便于深刻理解本发明的技术内容,下面结合附图及具体实施例对本发明进行详细说明。
本发明提供一种用户身份的传送方法,其特征在于:用户终端利用与网元A部分相同的加密机制加密要传送的用户身份数据,得到加密数据1,再利用与网元B相同的加密机制加密数据1,得到加密数据2,然后再将数据2传送给网元B;网元B接收到数据2后进行解密得到数据1,利用数据2中特定信息确定网元A位置,利用网元A对数据1进行解密,得到用户身份数据后返回给网元B。
下面将结合3G中对用户IMSI的保护给出本发明的一个实施例。
在3G中,HLR是指用户归属网络寄存器,VLR是指用户访问网络寄存器,Node B是指基站,UE是指诸如手机之类的用户设备,IMSI是用户身份标识,由HLR分配,包括三个部分内容(MCC,MNC,MSIN),MSIN前4位为HLR标识,将(MCC,MNC,MSIN前4位)一起记为HID,利用HID可以在全球定位HLR,MSIN后6位为用户在HLR中的标识,记为UH ID,IMSI位于SIM卡中,SIM卡由UE使用。VLR的系统信息可以通过Node B进行广播,UE可以接受Node B的广播。在用户接入过程中,需要UE将IMSI传送给VLR,考虑到用户的身份信息的安全的重要性,在传送的时候,需要进行安全保护。而现有的网络中,UE初始接入时,UE和VLR之间的通信是没有安全通道的。
下面我们将逐步看通过本发明是如何完成IMSI的保护:
步骤一:HLR和所有由该HLR分配的SIM卡共享一种公钥加密算法F1,所有由HLR分配的SIM卡都拥有同一种随机数离散算法f,HLR拥有f的逆算法f-1,VLR和UE或者SIM卡共享一种公钥加密算法F2;
步骤二:HLR有一公私钥对(KH PUB,KH PRI),其中,HLR保留私钥KHP RI,所有由HLR分配的SIM卡都拥有公钥KH PUB;
步骤三:VLR生成或获取公私钥对(KV PUB,KV PRI),VLR为其分配一个标识KID,VLR保留私钥KV PRI;
步骤四:Node B的广播信息中,携带VLR的如下信息:(KID,KV PUB),UE通过广播获取到的信息:(KID,KV PUB),用户保存(KID,KV PUB);
步骤五:UE在发送身份信息IMSI到VLR时,首先SIM卡生成随机数R,然后SIM卡利用f和R离散化UH ID,生成f(R,UH ID),然后SIM卡利用F1及KH PUB加密f(R,UH ID),生成F1(KH PUB,f(R,UH ID));然后UE利用最新保存的KID选择KV PUB,然后UE或者SIM卡利用F2和KV PUB加密HID、F1(KH PUB,f(R,UH ID)),生成加密后信息F2(KV PUB,HID,F1(KH PUB,f(R,UH ID))),然后将信息(KID,F2(KV PUB,HID,F1(KH PUB,f(R,UH ID))))发送给VLR;
步骤六:VLR在收到UE发送的信息(KID,F2(KV PUB,HID,F1(KH PUB,f(R,UH ID))))时,利用KID选择对应的KV PRI,然后利用F2及KV PRI解密F2(KV PUB,HID,F1(KH PUB,f(R,UH ID)))获得(HID,F1(KH PUB,f(R,UH ID)))。
步骤七:VLR将利用HID找到HLR的位置,然后将信息(HID,F1(KH PUB,f(R,UH ID)))发送给HLR;
步骤八:HLR在收到(HID,F1(KH PUB,f(R,UH ID)))之后,利用F1及KH PRI解密F1(KH PUB,f(R,UH ID))获得f(R,UH ID),然后利用f-1及随机数R得到UH ID;
步骤九:HLR合并HID、UH ID生成IMSI,HLR将IMSI发送给VLR。
采用本发明,除HLR之外的其他设备不能够解密UE的IMSI,同时,由于HLR和VLR之间的链路是可信的,所以UE的IMSI能够安全地传送到VLR,这就保证了UE的IMSI能够安全传送到VLR。
当然,本发明还可有其他多种实施例,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (8)
1、一种用户身份的传送方法,其特征在于:用户终端利用与网元A部分相同的加密机制加密要传送的用户身份数据,得到加密数据1,再利用与网元B相同的加密机制加密数据1,得到加密数据2,然后再将数据2传送给网元B;网元B接收到数据2后进行解密得到数据1,利用数据2中特定信息确定网元A位置,利用网元A对数据1进行解密,得到用户身份数据后返回给网元B。
2、一种用户身份保护方法,其特征在于:网元A和所有由网元A分配身份信息的用户终端共享一种公钥加密算法F1,所有由网元A分配身份信息的用户终端都拥有同一种随机数离散算法f,网元A拥有f的逆算法f-1;网元B和用户终端共享一种公钥加密算法F2;网元A有一公私钥对(KA PUB,KA PRI),其中,网元A保留私钥KA PRI,所有由网元A分配身份信息的用户终端都拥有公钥KA PUB;网元B生成或获取公私钥对(KB PUB,KB PRI),网元B为其分配一个标识KID,网元B保留私钥KB PRI;
所述方法包括:
步骤一:用户终端通过广播获取携带有网元B的信息(KID,KB PUB),并保存(KID,KB PUB);
步骤二:用户终端在发送身份信息UID到网元B时,首先生成随机数R,然后利用f和R离散化UA ID,生成f(R,UA ID),然后利用F1及KA PUB加密f(R,UA ID),生成F1(KA PUB,f(R,UA ID));利用最新保存的KID选择KB PUB,然后利用F2和KB PUB加密AID、F1(KA PUB,f(R,UA ID)),生成加密信息F2(KB PUB,AID,F1(KA PUB,f(R,UA ID))),然后将信息(KID,F2(KB PUB,AID,F1(KA PUB,f(R,UA ID))))发送给网元B;
步骤三:网元B在收到用户终端发送的信息(KID,F2(KR PUB,AID,F1(KA PUB,f(R,UA ID))))时,利用KID选择对应的KB PRI,然后利用F2及KB PRI解密F2(KB PUB,AID,F1(KA PUB,f(R,UA ID)))获得(AID,F1(KA PUB,f(R,UA ID)));
步骤四:网元B将利用AID找到网元A的位置,然后将信息(AID,F1(KA PUB,f(R,UA ID)))发送给网元A;
步骤五:网元A在收到(AID,F1(KA PUB,f(R,UA ID)))之后,利用F1及KA PRI解密F1(KA PUB,f(R,UA ID))获得f(R,UA ID),然后利用f-1及随机数R得到UA ID;
步骤六:网元A根据AID、UA ID生成UID,网元A将UID发送给网元B。
3、根据权利要求1所述的方法,其特征在于:在步骤二中,用户身份信息在用户终端中,或者在用户终端使用的智能卡中。
4、根据权利要求1所述的方法,其特征在于:在步骤一中,网元B的信息由网元B进行广播,或者由其他能够取得网元B的信息的实体进行广播。
5、根据权利要求1所述的方法,其特征在于:所述网元B不考虑密钥更新时,网元B只有唯一的一对公私钥对(KB PUB,KB PRI),网元B无需分配一个标识KID,网元B保留私钥KB PRI。
6、一种用户身份保护方法,其特征在于:网元A和所有由网元A分配身份信息的用户终端共享一种公钥加密算法F1,所有由网元A分配身份信息的用户终端都拥有同一种随机数离散算法f,网元A拥有f的逆算法f-1;网元B和用户终端共享一种公钥加密算法F2;网元A有一公私钥对(KA PUB,KA PRI),其中,网元A保留私钥KA PRI,所有由网元A分配身份信息的用户终端都拥有公钥KA PUB;网元B生成或获取公私钥对(KB PUB,KB PRI),网元B保留私钥KB PRI;
所述方法包括:
步骤一:用户终端通过广播获取携带有网元B的信息KB PUB,用户保存KB PUR;
步骤二:用户终端在发送身份信息UID到网元B时,首先生成随机数R,然后利用f和R离散化UA ID,生成f(R,UA ID),然后利用F1及KA PUB加密f(R,UA ID),生成F1(KA PUB,f(R,UA ID));然后利用F2和KB PUB加密AID、F1(KA PUB,f(R,UA ID)),生成加密后的信息F2(KB PUB,AID,F1(KA PUB,f(R,UA ID))),然后将信息F2(KB PUB,AID,F1(KA PUB,f(R,UA ID)))发送给网元B;
步骤三:网元B在收到用户终端发送的信息F2(KB PUB,AID,F1(KA PUB,f(R,UA ID)))时,利用F2及KB PRI解密F2(KB PUB,AID,F1(KA PUB,f(R,UA ID)))获得(AID,F1(KA PUB,f(R,UA ID)));
步骤四:网元B将利用AID找到网元A的位置,然后将信息(AID,F1(KA PUB,f(R,UA ID)))发送给网元A;
步骤五:网元A在收到(AID,F1(KA PUB,f(R,UA ID)))之后,利用F1及KA PRI解密F1(KA PUB,f(R,UA ID))获得f(R,UA ID),然后利用f-1及随机数R得到UA ID;
步骤六:网元A根据AID、UA ID生成UID,网元A将UID发送给网元B。
7、根据权利要求1所述的方法,其特征在于:在步骤二中,用户身份信息在用户终端中,或者在用户终端使用的智能卡中。
8、根据权利要求1所述的方法,其特征在于:在步骤一中,网元B的信息由网元B进行广播,或者由其他能够取得网元B的信息的实体进行广播。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2007100738773A CN101034979B (zh) | 2007-04-10 | 2007-04-10 | 一种用户身份的保护方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2007100738773A CN101034979B (zh) | 2007-04-10 | 2007-04-10 | 一种用户身份的保护方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101034979A true CN101034979A (zh) | 2007-09-12 |
CN101034979B CN101034979B (zh) | 2011-05-11 |
Family
ID=38731299
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2007100738773A Expired - Fee Related CN101034979B (zh) | 2007-04-10 | 2007-04-10 | 一种用户身份的保护方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101034979B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101784048A (zh) * | 2009-01-21 | 2010-07-21 | 中兴通讯股份有限公司 | 动态更新密钥的身份认证和密钥协商方法及系统 |
CN112134831A (zh) * | 2019-06-25 | 2020-12-25 | 中兴通讯股份有限公司 | 接入请求的发送、处理方法及装置 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1658553B (zh) * | 2004-02-20 | 2011-04-27 | 中国电子科技集团公司第三十研究所 | 一种采用公开密钥密码算法加密模式的强鉴别方法 |
CN1286050C (zh) * | 2004-09-16 | 2006-11-22 | 四川华旗数据软件有限责任公司 | 身份信息加/解密方法及识别系统 |
CN100589381C (zh) * | 2004-12-14 | 2010-02-10 | 中兴通讯股份有限公司 | 一种通信系统中用户身份保密的方法 |
-
2007
- 2007-04-10 CN CN2007100738773A patent/CN101034979B/zh not_active Expired - Fee Related
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101784048A (zh) * | 2009-01-21 | 2010-07-21 | 中兴通讯股份有限公司 | 动态更新密钥的身份认证和密钥协商方法及系统 |
CN112134831A (zh) * | 2019-06-25 | 2020-12-25 | 中兴通讯股份有限公司 | 接入请求的发送、处理方法及装置 |
CN112134831B (zh) * | 2019-06-25 | 2023-02-21 | 中兴通讯股份有限公司 | 接入请求的发送、处理方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN101034979B (zh) | 2011-05-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1123159C (zh) | 加密电信网中的无线电业务的方法和设备 | |
US6983376B2 (en) | Method and apparatus for providing privacy of user identity and characteristics in a communication system | |
RU2341028C2 (ru) | Эффективная передача криптографической информации в протоколе безопасности реального времени | |
US5889861A (en) | Identity confidentiality method in radio communication system | |
EP3465978B1 (en) | Protection of privacy in wireless telecommunication networks | |
US7987369B2 (en) | Using watermarking to reduce communication overhead | |
US20060291660A1 (en) | SIM UICC based broadcast protection | |
CN1160990C (zh) | 用于对无线传输的信息加密和用于验证用户的方法与通信系统 | |
CN1427635A (zh) | 一种基于移动国家码确定保密通信中加密算法的方法 | |
WO2019068731A1 (en) | METHOD FOR TRANSMITTING, TO A PHYSICAL OR VIRTUAL ELEMENT OF A TELECOMMUNICATIONS NETWORK, A PAID-TYPE SUBSCRIPTION IDENTIFIER STORED IN A SECURITY ELEMENT, SECURITY ELEMENT AND CORRESPONDING PHYSICAL OR VIRTUAL ELEMENT, AND TERMINAL COLLABORATING WITH SAID SECURITY ELEMENT | |
CN1288643A (zh) | 电信系统中的消息处理过程和系统 | |
CN1790984A (zh) | 一种通信系统中用户身份保密的方法 | |
KR20060087271A (ko) | 이동통신 가입자 인증의 보안 전송 방법 | |
EP1995908B1 (en) | Method, system, apparatus and bsf entity for preventing bsf entity from attack | |
CN105471845A (zh) | 防止中间人攻击的通信方法及系统 | |
RU2356170C2 (ru) | Способ и устройство для защиты в системе обработки данных | |
NZ556741A (en) | System and method for three-phase data encryption | |
CN101034979A (zh) | 一种用户身份的保护方法 | |
CN101034980A (zh) | 一种用户身份保护及传送方法 | |
CN111800791B (zh) | 认证方法及核心网设备、终端 | |
AU2012311701B2 (en) | System and method for the safe spontaneous transmission of confidential data over unsecure connections and switching computers | |
JP6499315B2 (ja) | 移動通信システム及び通信網 | |
CN108156112B (zh) | 数据加密方法、电子设备及网络侧设备 | |
KR20030082855A (ko) | 무선랜 보안 방법 | |
CN1846395A (zh) | 安全广播系统的装置和方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110511 Termination date: 20190410 |