CN101034980A - 一种用户身份保护及传送方法 - Google Patents
一种用户身份保护及传送方法 Download PDFInfo
- Publication number
- CN101034980A CN101034980A CN 200710073878 CN200710073878A CN101034980A CN 101034980 A CN101034980 A CN 101034980A CN 200710073878 CN200710073878 CN 200710073878 CN 200710073878 A CN200710073878 A CN 200710073878A CN 101034980 A CN101034980 A CN 101034980A
- Authority
- CN
- China
- Prior art keywords
- network element
- pub
- user terminal
- aid
- utilize
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明公开了提供一种用户身份的传送方法,其特征在于:用户终端利用与网元A部分相同的加密机制加密要传送的用户身份数据,得到加密数据1,再利用与网元B相同的加密机制加密数据1,得到加密数据2,然后再将数据2传送给网元B;网元B接收到数据2后进行解密得到数据1,利用数据2中特定信息确定网元A位置,利用网元A对数据1进行解密,得到用户身份数据后返回给网元B。利用本发明的方法来可以完成特定网络中的用户终端身份信息的保护,从而使得用户终端的身份信息能够安全到达网元。
Description
技术领域
本发明涉及电信通讯行业的安全领域,特别涉及电信安全领域的用户身份保护技术。
背景技术
在电信网络中,通常有这样一种情形:用户终端身份信息UID由网元A发放,用户终端身份信息包括两个部分:用户终端的归属网元A标识信息AID,用于在网络中识别A,用户终端在其归属网元中分配的身份序号UA ID;网元B的某些信息在不停地广播,用户终端能够收到这些广播信息;网元B需要用到用户终端提供自身的身份信息UID,并且用户终端和网元B之间的通讯处于非信任域中,如果用户终端利用明文发送身份信息UID到网元B,则可能让暴露用户身份信息。如何利用这种网络的特点,使得用户终端的身份信息UID能够安全到达网元B就是一个较为重要的问题。
发明内容
本发明的目的在于,提供一种用户身份保护方法,利用一种公钥方法来完成特定网络中的用户终端身份信息的保护,从而使得用户终端的身份信息能够安全到达网元。
为解决上述技术问题,本发明提供一种用户身份保护方法,其特征在于:网元A和所有由网元A分配身份信息的用户终端共享一种公钥加密算法F1,所有由网元A分配身份信息的用户终端都拥有同一种随机数离散算法f,网元A拥有f的逆算法f-1;网元B和用户终端共享一种公钥加密算法F2;网元A有一公私钥对(KA PUB,KA PRI),其中,网元A保留私钥KA PRI,所有由网元A分配身份信息的用户终端都拥有公钥KA PUB;网元B生成或获取公私钥对(KB PUB,KB PRI),网元B为其分配一个标识KID,网元B保留私钥KB PRI;
所述方法包括:
步骤一:用户终端通过广播获取携带有网元B的信息(KID,KB PUB),并保存(KID,KB PUB);
步骤二:用户终端在发送身份信息UID到网元B时,首先生成随机数R,然后利用f和R离散化UA ID,生成f(R,UA ID),然后利用F1及KA PUB加密f(R,UA ID),生成F1(KA PUB,f(R,UA ID));利用最新保存的KID选择KB PUB,然后利用F2和KB PUB加密R、AID、F1(KA PUB,f(R,UA ID)),生成加密信息F2(KB PUB,R,AID,F1(KA PUB,f(R,UA ID))),然后将信息(KID,F2(KB PUB,R,AID,F1(KA PUB,f(R,UA ID))))发送给网元B;
步骤三:网元B在收到用户终端发送的信息(KID,F2(KB PUB,R,AID,F1(KA PUB,f(R,UA ID))))时,利用KID选择对应的KB PRI,然后利用F2及KB PRI解密F2(KB PUB,R,AID,F1(KA PUB,f(R,UA ID)))获得(R,AID,F1(KA PUB,f(R,UA ID)));
步骤四:网元B将利用AID找到网元A的位置,然后将信息(R,AID,F1(KA PUB,f(R,UA ID)))发送给网元A;
步骤五:网元A在收到(R,AID,F1(KA PUB,f(R,UA ID)))之后,利用F1及KA PRI解密F1(KA PUB,f(R,UA ID))获得f(R,UA ID),然后利用f-1及随机数R得到UA ID;
步骤六:网元A根据AID、UA ID生成UID,网元A将UID发送给网元B。
进一步地,在步骤二中,用户身份信息在用户终端中,或者在用户终端使用的智能卡中。
进一步地,在步骤一中,网元B的信息由网元B进行广播,或者由其他能够取得网元B的信息的实体进行广播。
进一步地,在步骤三中,所述网元B不考虑密钥更新时,网元B只有唯一的一对公私钥对(KB PUB,KB PRI),网元B无需分配一个标识KID,网元B保留私钥KB PRI。
本发明还提供了另一种用户身份保护方法,其特征在于:网元A和所有由网元A分配身份信息的用户终端共享一种公钥加密算法F1,所有由网元A分配身份信息的用户终端都拥有同一种随机数离散算法f,网元A拥有f的逆算法f-1;网元B和用户终端共享一种公钥加密算法F2;网元A有一公私钥对(KA PUB,KA PRI),其中,网元A保留私钥KA PRI,所有由网元A分配身份信息的用户终端都拥有公钥KA PUB;网元B生成或获取公私钥对(KB PUB,KB PRI),网元B保留私钥KB PRI;
所述方法包括:
步骤一:用户终端通过广播获取携带有网元B的信息KB PUB,用户保存KB PUB;
步骤二:用户终端在发送身份信息UID到网元B时,首先生成随机数R,然后利用f和R离散化UA ID,生成f(R,UA ID),然后利用F1及KA PUB加密f(R,UA ID),生成F1(KA PUB,f(R,UA ID));然后利用F2和KB PUB加密R、AID、F1(KA PUB,f(R,UA ID)),生成加密后的信息F2(KB PUB,R,AID,F1(KA PUB,f(R,UA ID))),然后将信息F2(KB PUB,R,AID,F1(KA PUB,f(R,UA ID)))发送给网元B;
步骤三:网元B在收到用户终端发送的信息F2(KB PUB,R,AID,F1(KA PUB,f(R,UA ID)))时,利用F2及KB PRI解密F2(KB PUB,R,AID,F1(KA PUB,f(R,UA ID)))获得(R,AID,F1(KA PUB,f(R,UA ID)));
步骤四:网元B将利用AID找到网元A的位置,然后将信息(R,AID,F1(KA PUB,f(R,UA ID)))发送给网元A;
步骤五:网元A在收到(R,AID,F1(KA PUB,f(R,UA ID)))之后,利用F1及KA PRI解密F1(KA PUB,f(R,UA ID))获得f(R,UA ID),然后利用f-1及随机数R得到UA ID;
步骤六:网元A根据AID、UA ID生成UID,网元A将UID发送给网元B。
进一步地,在步骤二中,用户身份信息在用户终端中,或者在用户终端使用的智能卡中。
进一步地,在步骤一中,网元B的信息由网元B进行广播,或者由其他能够取得网元B的信息的实体进行广播。
本发明还提供一种用户身份的传送方法,其特征在于:用户终端利用与网元A部分相同的加密机制加密要传送的用户身份数据,得到加密数据1,再利用与网元B相同的加密机制加密数据1,得到加密数据2,然后再将数据2传送给网元B;网元B接收到数据2后进行解密得到数据1,利用数据2中特定信息确定网元A位置,利用网元A对数据1进行解密,得到用户身份数据后返回给网元B。
本发明利用一种公钥方法来完成特定网络中的用户终端身份信息的保护,可以在网元A和网元B之间建立可信的链路,除网元A之外的其他设备不能够解密用户终端的身份信息,所以这就保证了用户终端的身份信息能够安全地传送到网元B,从而避免暴露用户身份信息。
附图说明
图1是本发明的身份信息保护图;
图2是本发明应用例的身份信息保护图。
具体实施方式
为便于深刻理解本发明的技术内容,下面结合附图及具体实施例对本发明进行详细说明。
本发明提供一种用户身份的传送方法,其特征在于:用户终端利用与网元A部分相同的加密机制加密要传送的用户身份数据,得到加密数据1,再利用与网元B相同的加密机制加密数据1,得到加密数据2,然后再将数据2传送给网元B;网元B接收到数据2后进行解密得到数据1,利用数据2中特定信息确定网元A位置,利用网元A对数据1进行解密,得到用户身份数据后返回给网元B。
下面将结合3G中对用户IMSI的保护给出本发明的一个实施例。
在3G中,HLR是指用户归属网络寄存器,VLR是指用户访问网络寄存器,Node B是指基站,UE是指诸如手机之类的用户设备,IMSI是用户身份标识,由HLR分配,包括三个部分内容(MCC,MNC,MSIN),MSIN前4位为HLR标识,将(MCC,MNC,MSIN前4位)一起记为HID,利用HID可以在全球定位HLR,MSIN后6位为用户在HLR中的标识,记为UH ID,IMSI位于SIM卡中,SIM卡由UE使用。VLR的系统信息可以通过Node B进行广播,UE可以接受Node B的广播。在用户接入过程中,需要UE将IMSI传送给VLR,考虑到用户的身份信息的安全的重要性,在传送的时候,需要进行安全保护。而现有的网络中,UE初始接入时,UE和VLR之间的通信是没有安全通道的。
下面我们将逐步看通过本发明是如何完成IMSI的保护:
步骤一:HLR和所有由该HLR分配的SIM卡共享一种公钥加密算法F1,所有由HLR分配的SIM卡都拥有同一种随机数离散算法f,HLR拥有f的逆算法f-1,VLR和UE或者SIM卡共享一种公钥加密算法F2;
步骤二:HLR有一公私钥对(KH PUB,KH PRI),其中,HLR保留私钥KH PRI,所有由HLR分配的SIM卡都拥有公钥KH PUB;
步骤三:VLR生成或获取公私钥对(KV PUB,KV PRI),VLR为其分配一个标识KID,VLR保留私钥KV PRI;
步骤四:Node B的广播信息中,携带VLR的如下信息:(KID,KV PUB),UE通过广播获取到的信息:(KID,KV PUB),用户保存(KID,KV PUB);
步骤五:UE在发送身份信息IMSI到VLR时,首先SIM卡生成随机数R,然后SIM卡利用f和R离散化UH ID,生成f(R,UH ID),然后SIM卡利用F1及KH PUB加密f(R,UH ID),生成F1(KH PUB,f(R,UH ID));然后UE利用最新保存的KID选择KV PUB,然后UE或者SIM卡利用F2和KV PUB加密R、HID、F1(KH PUB,f(R,UH ID)),生成加密后信息F2(KV PUB,R,HID,F1(KH PUB,f(R,UH ID))),然后将信息(KID,F2(KV PUB,R,HID,F1(KH PUB,f(R,UH ID))))发送给VLR;
步骤六:VLR在收到UE发送的信息(KID,F2(KV PUB,R,HID,F1(KH PUB,f(R,UH ID))))时,利用KID选择对应的KV PRI,然后利用F2及KV PRI解密F2(KV PUB,R,HID,F1(KH PUB,f(R,UH ID)))获得(R,HID,F1(KH PUB,f(R,UH ID)))。
步骤七:VLR将利用HID找到HLR的位置,然后将信息(R,HID,F1(KH PUB,f(R,UH ID)))发送给HLR;
步骤八:HLR在收到(R,HID,F1(KH PUB,f(R,UH ID)))之后,利用F1及KH PRI解密F1(KH PUB,f(R,UH ID))获得f(R,UH ID),然后利用f-1及随机数R得到UH ID;
步骤九:HLR合并HID、UH ID生成IMSI,HLR将IMSI发送给VLR。
采用本发明,除HLR之外的其他设备不能够解密UE的IMSI,同时,由于HLR和VLR之间的链路是可信的,所以UE的IMSI能够安全地传送到VLR,这就保证了UE的IMSI能够安全传送到VLR。
当然,本发明还可有其他多种实施例,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (8)
1、一种用户身份的传送方法,其特征在于:用户终端利用与网元A部分相同的加密机制加密要传送的用户身份数据,得到加密数据1,再利用与网元B相同的加密机制加密数据1,得到加密数据2,然后再将数据2传送给网元B;网元B接收到数据2后进行解密得到数据1,利用数据2中特定信息确定网元A位置,利用网元A对数据1进行解密,得到用户身份数据后返回给网元B。
2、一种用户身份保护方法,其特征在于:网元A和所有由网元A分配身份信息的用户终端共享一种公钥加密算法F1,所有由网元A分配身份信息的用户终端都拥有同一种随机数离散算法f,网元A拥有f的逆算法f-1;网元B和用户终端共享一种公钥加密算法F2;网元A有一公私钥对(KA PUB,KA PRI),其中,网元A保留私钥KA PRI,所有由网元A分配身份信息的用户终端都拥有公钥KA PUB;网元B生成或获取公私钥对(KB PUB,KB PRI),网元B为其分配一个标识KID,网元B保留私钥KB PRI;
所述方法包括:
步骤一:用户终端通过广播获取携带有网元B的信息(KID,KB PUB),并保存(KID,KB PUB);
步骤二:用户终端在发送身份信息UID到网元B时,首先生成随机数R,然后利用f和R离散化UA ID,生成f(R,UA ID),然后利用F1及KA PUB加密f(R,UA ID),生成F1(KA PUB,f(R,UA ID));利用最新保存的KID选择KB PUB,然后利用F2和KB PUB加密R、AID、F1(KA PUB,f(R,UA ID)),生成加密信息F2(KB PUB,R,AID,F1(KA PUB,f(R,UA ID))),然后将信息(KID,F2(KB PUB,R,AID,F1(KA PUB,f(R,UA ID))))发送给网元B;
步骤三:网元B在收到用户终端发送的信息(KID,F2(KB PUB,R,AID,F1(KA PUB,f(R,UA ID))))时,利用KID选择对应的KB PRI,然后利用F2及KB PRI解密F2(KB PUB,R,AID,F1(KA PUB,f(R,UA ID)))获得(R,AID,F1(KA PUB,f(R,UA ID)));
步骤四:网元B将利用AID找到网元A的位置,然后将信息(R,AID,F1(KA PUB,f(R,UA ID)))发送给网元A;
步骤五:网元A在收到(R,AID,F1(KA PUB,f(R,UA ID)))之后,利用F1及KA PRI解密F1(KA PUB,f(R,UA ID))获得f(R,UA ID),然后利用f-1及随机数R得到UA ID;
步骤六:网元A根据AID、UA ID生成UID,网元A将UID发送给网元B。
3、根据权利要求1所述的方法,其特征在于:在步骤二中,用户身份信息在用户终端中,或者在用户终端使用的智能卡中。
4、根据权利要求1所述的方法,其特征在于:在步骤一中,网元B的信息由网元B进行广播,或者由其他能够取得网元B的信息的实体进行广播。
5、根据权利要求1所述的方法,其特征在于:所述网元B不考虑密钥更新时,网元B只有唯一的一对公私钥对(KB PUB,KB PRI),网元B无需分配一个标识KID,网元B保留私钥KB PRI。
6、一种用户身份保护方法,其特征在于:网元A和所有由网元A分配身份信息的用户终端共享一种公钥加密算法F1,所有由网元A分配身份信息的用户终端都拥有同一种随机数离散算法f,网元A拥有f的逆算法f-1;网元B和用户终端共享一种公钥加密算法F2;网元A有一公私钥对(KA PUB,KA PRI),其中,网元A保留私钥KA PRI,所有由网元A分配身份信息的用户终端都拥有公钥KA PUB;网元B生成或获取公私钥对(KB PUB,KB PRI),网元B保留私钥KB PRI;
所述方法包括:
步骤一:用户终端通过广播获取携带有网元B的信息KB PUB,用户保存KB PUB;
步骤二:用户终端在发送身份信息UID到网元B时,首先生成随机数R,然后利用f和R离散化UA ID,生成f(R,UA ID),然后利用F1及KA PUB加密f(R,UA ID),生成F1(KA PUB,f(R,UA ID));然后利用F2和KB PUB加密R、AID、F1(KA PUB,f(R,UA ID)),生成加密后的信息F2(KB PUB,R,AID,F1(KA PUB,f(R,UA ID))),然后将信息F2(KB PUB,R,AID,F1(KA PUB,f(R,UA ID)))发送给网元B;
步骤三:网元B在收到用户终端发送的信息F2(KB PUB,R,AID,F1(KA PUB,f(R,UA ID)))时,利用F2及KB PRI解密F2(KB PUB,R,AID,F1(KA PUB,f(R,UA ID)))获得(R,AID,F1(KA PUB,f(R,UA ID)));
步骤四:网元B将利用AID找到网元A的位置,然后将信息(R,AID,F1(KA PUB,f(R,UA ID)))发送给网元A;
步骤五:网元A在收到(R,AID,F1(KA PUB,f(R,UA ID)))之后,利用F1及KA PRI解密F1(KA PUB,f(R,UA ID))获得f(R,UA ID),然后利用f-1及随机数R得到UA ID;
步骤六:网元A根据AID、UA ID生成UID,网元A将UID发送给网元B。
7、根据权利要求1所述的方法,其特征在于:在步骤二中,用户身份信息在用户终端中,或者在用户终端使用的智能卡中。
8、根据权利要求1所述的方法,其特征在于:在步骤一中,网元B的信息由网元B进行广播,或者由其他能够取得网元B的信息的实体进行广播。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200710073878 CN101034980A (zh) | 2007-04-09 | 2007-04-09 | 一种用户身份保护及传送方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200710073878 CN101034980A (zh) | 2007-04-09 | 2007-04-09 | 一种用户身份保护及传送方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101034980A true CN101034980A (zh) | 2007-09-12 |
Family
ID=38731300
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200710073878 Pending CN101034980A (zh) | 2007-04-09 | 2007-04-09 | 一种用户身份保护及传送方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101034980A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106714151A (zh) * | 2017-03-07 | 2017-05-24 | 北京邮电大学 | 信息传输方法 |
| CN110378753A (zh) * | 2019-07-29 | 2019-10-25 | 秒针信息技术有限公司 | 一种广告投放策略确定方法及装置 |
-
2007
- 2007-04-09 CN CN 200710073878 patent/CN101034980A/zh active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106714151A (zh) * | 2017-03-07 | 2017-05-24 | 北京邮电大学 | 信息传输方法 |
| CN106714151B (zh) * | 2017-03-07 | 2020-04-28 | 北京邮电大学 | 信息传输方法 |
| CN110378753A (zh) * | 2019-07-29 | 2019-10-25 | 秒针信息技术有限公司 | 一种广告投放策略确定方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1123159C (zh) | 加密电信网中的无线电业务的方法和设备 | |
| US6983376B2 (en) | Method and apparatus for providing privacy of user identity and characteristics in a communication system | |
| US5889861A (en) | Identity confidentiality method in radio communication system | |
| RU2341028C2 (ru) | Эффективная передача криптографической информации в протоколе безопасности реального времени | |
| US8769284B2 (en) | Securing communication | |
| US20060291660A1 (en) | SIM UICC based broadcast protection | |
| CN1116771C (zh) | 电信系统中的消息处理方法和系统 | |
| US11528604B2 (en) | Method for transmitting to a physical or virtual element of a telecommunications network an encrypted subscription identifier stored in a security element, corresponding security element, physical or virtual element and terminal cooperating with this security element | |
| US20200322794A1 (en) | Protection of privacy in wireless telecommunication networks | |
| CN1427635A (zh) | 一种基于移动国家码确定保密通信中加密算法的方法 | |
| CN1790984A (zh) | 一种通信系统中用户身份保密的方法 | |
| CN1868162A (zh) | 向通信系统中的广播多播通信提供已验证询问的方法和设备 | |
| US10237731B2 (en) | Communication system with PKI key pair for mobile terminal | |
| Croft et al. | Using an approximated one-time pad to secure short messaging service (SMS) | |
| CN1993920A (zh) | 数据处理系统中的安全方法和装置 | |
| Angermeier et al. | PAL-privacy augmented LTE: A privacy-preserving scheme for vehicular LTE communication | |
| CN101034980A (zh) | 一种用户身份保护及传送方法 | |
| CN101034979A (zh) | 一种用户身份的保护方法 | |
| CN101610509B (zh) | 一种保护通信安全的方法、装置及系统 | |
| CN111800791B (zh) | 认证方法及核心网设备、终端 | |
| AU2012311701B2 (en) | System and method for the safe spontaneous transmission of confidential data over unsecure connections and switching computers | |
| CN108156112B (zh) | 数据加密方法、电子设备及网络侧设备 | |
| JP6499315B2 (ja) | 移動通信システム及び通信網 | |
| US20070008903A1 (en) | Verifying liveness with fast roaming | |
| EP4297386A1 (en) | Call processing method, related device, and storage medium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20070912 |