CN101720086B - 一种移动通信用户身份保护方法 - Google Patents
一种移动通信用户身份保护方法 Download PDFInfo
- Publication number
- CN101720086B CN101720086B CN2009103121191A CN200910312119A CN101720086B CN 101720086 B CN101720086 B CN 101720086B CN 2009103121191 A CN2009103121191 A CN 2009103121191A CN 200910312119 A CN200910312119 A CN 200910312119A CN 101720086 B CN101720086 B CN 101720086B
- Authority
- CN
- China
- Prior art keywords
- pse
- imsi
- mme
- hss
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明适用于移动通信领域,提供了一种移动通信用户身份保护方法,所述方法通过为每个用户设置了一个假名,在UE/USIM卡首次接入LTE/SAE网络时仍然使用IMSI表示自己的身份,但之后则使用假名接入网络,IMSI将不再使用,而且假名可以由USIM自主更新,从而可以有效的保护用户身份的安全。
Description
技术领域
本发明属于移动通信领域,尤其涉及一种移动通信用户身份保护方法。
背景技术
在长期演进/系统架构演进(LTE/SAE)系统中,采用全球唯一临时身份(GUTI)机制对用户身份进行保护。当用户设备/用户身份模块(UE/USIM)首次接入网络时(如开机),必须以明文方式上报自己的国际移动用户身份号(IMSI),进行鉴权和密钥协商(AKA)双向认证。通过AKA认证后移动管理实体(MME)向UE分配GUTI,并存储GUTI和IMSI之间的对应关系。此后用户使用GUTI与网络建立联系,如请求接入网络、路由更新、附着请求、寻呼消息等。此机制减少了IMSI在无线信道上的传输,增加了攻击者截获的难度,对IMSI保护起到了一定的作用。但当用户无法获得GUTI或网络无法获得IMSI-GUTI对应关系时,用户必须使用IMSI标识自己身份,IMSI也将以明文形式暴露在空中接口中。
如果攻击者通过被动或主动攻击获得某个特定用户的IMSI,并获取到用户真实身份与IMSI的对应关系时,用户位置将被追踪,隐私将被泄漏。因此目前的IMSI保护机制对于保护IMSI是不完善的,并且存在明显的缺陷,那就是IMSI经常要在空中以明文的方式发送,给用户位置信息的安全带来威胁,不能满足高端用户的安全需求。
发明内容
本发明的目的在于:提供一种移动通信用户身份保护方法,旨在解决现有的移动通信用户在用户设备接入认证时,身份信息难以得到全面有效的安全保证的问题。
本发明的目的是这样实现的:
一种移动通信用户身份保护方法,在该用户的用户设备UE中的用户身份模块USIM卡首次接入通信网络时,所述方法包括下述步骤:
A、UE在收到移动管理实体MME发送的用户身份请求时上报自己的国际移动用户身份号IMSI;
B、MME收到上述IMSI后,向归属用户服务器HSS发送该IMSI,并申请鉴权向量;
C、HSS根据上述IMSI查找该用户对应的密钥,生成鉴权向量AV,并向MME下发;
D、MME从AV中提取出随机数和认证令牌AUTN发送给UE;
E、UE启动USIM首先验证AUTN,再计算出响应值RES,同时USIM内部生成假名PSE,最后将RES和PSE一起发送给MME;
F、MME收到RES后首先验证UE的合法性,成功后生成全球唯一临时身份GUTI下发给UE,并保留GUTI与IMSI的对应关系;
G、UE收到GUTI后表示首次接入认证成功,USIM卡中保存PSE,下次使用PSE接入网络,如果未收到GUTI,表示首次接入认证不成功,清除PSE数据,下次继续使用IMSI接入网络;
H、MME将PSE上传至HSS,HSS保存IMSI与PSE的对应关系;
所述假名PSE包括假名标志、HSS标识及假名数据这3部分信息。
当UE首次接入网络成功后,后续接入网络时,在所述步骤A中,UE上报给MME的为自己的PSE;所述步骤B为MME收到PSE后,根据PSE中的HSS标识向UE归属的HSS发送PSE,并申请鉴权向量;所述步骤C为HSS通过PSE找到对应的IMSI,生成鉴权向量AV,并向MME下发;在所述步骤E中,USIM内部将生成新假名PSE’,并将RES和PSE’发送给MME;在所述步骤G中,UE收到GUTI后表示本次接入认证成功,使用新假名PSE’替代旧假名PSE并保存在USIM卡中,下次使用PSE’接入网络,如果UE未收到GUTI,表示本次接入认证不成功,清除新假名PSE’,保留旧假名PSE,下次继续使用旧假名PSE接入网络;在所述步骤H中,MME将PSE’上传至HSS,HSS使用新假名PSE’替代旧假名PSE,保存IMSI与PSE’的对应关系,下次鉴权时使用PSE’。
所述假名数据通过随机产生或者计算产生,并大于或等于16字节。
所述假名数据采用单向哈希函数对IMSI和随机数R运算后产生。
在USIM卡中保存接入标志AF,并设置当AF=0时表示当前USIM卡是首次接入网络,AF=1时表示当前USIM卡是后续接入网络,AF的初始状态为0,在所述步骤A中,UE通过USIM卡中的AF的值来判断该次接入是首次接入或是后续接入,从而上报相应的信息。
所述步骤G进一步包括:
如果UE连续3次接入认证不成功,则下次使用IMSI进行接入认证。
本发明的突出优点是:本发明通过使用假名机制,使IMSI只在首次接入时使用(正常情况下只使用一次),以后终端均使用假名进行网络接入,即使攻击者采用主动攻击或者被动攻击获得了PSE数据,也不能推导出IMSI信息,同时该发明还具有PSE更新功能,更增加了攻击者的跟踪难度,因此较好的实现了IMSI的保护,能够满足高端用户对移动通信用户身份保护的需求。
附图说明
图1是本发明实施例提供的假名的格式图;
图2是本发明实施例提供的移动通信用户身份保护方法首次接入网络的时序图;
图3是本发明实施例提供的移动通信用户身份保护方法后续接入网络的时序图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例提供的移动通信用户身份保护方法为每个用户设置了一个假名,在UE/USIM卡首次接入LTE/SAE网络时仍然使用IMSI表示自己的身份,但之后则使用假名接入网络,IMSI将不再使用,而且假名可以由USIM自主更新,通过该方式可以有效的保护用户身份的安全。
在本发明实施例中,所述假名(以下使用PSE表示)包括三个部分:PSE_FLAG、HSS_ID和PSE_DATA,PSE的格式如图1所示。其中:
PSE_FLAG表示假名的标志,MME和归属用户服务器(HSS)即通过该标志判断收到的用户身份信息是假名。数据长度为2字节。
HSS_ID表示HSS标识,内部包含了归属网的国家代码、网络接入代码和HSS号码等信息。数据长度为8字节。
PSE_DATA表示生成的假名数据,PSE_DATA的作用是既要临时代表IMSI的身份,同时要求不同用户的假名数据不能出现相同的情况,以免造成接入失败。
为了有效的防止假名数据碰撞,假名数据不少于16字节。假名数据的产生可以通过多种方式得到,例如通过随机产生或者通过计算产生。
作为本发明的一个优选实施例,假名数据可以通过IMSI和随机数R运算后得到,即PSE_DATA=F(IMSI||R),函数F为单向哈希函数。其中,IMSI长度为8字节,R长度为32字节,PSE_DATA长度为16字节。采用该机制生成的PSE_DATA可以有效的防止假名数据碰撞。
在USIM卡中保存接入标志AF,并设置当AF=0时表示当前USIM卡是首次接入网络,AF=1时则表示当前USIM卡是后续接入网络。AF的初始状态为0。
当新的USIM卡首次使用时,此时AF=0,为首次接入网络,采用IMSI进行身份认证,图2即示出了本发明实施例提供的移动通信用户身份保护方法在首次接入网络时的时序,流程描述如下:
1、MME向UE发送用户身份请求。
2、UE通过USIM卡中的AF(此时为0)标志确定该次接入是首次接入,上报自己的IMSI。
3、MME收到IMSI后,向HSS发送该IMSI,并申请鉴权向量。
4、HSS根据IMSI查找该用户对应的密钥K,生成鉴权向量AV,并向MME下发。
5、MME从AV中提取出随机数RAND和认证令牌AUTN发送给UE。
6、UE启动USIM进行鉴权操作,首先验证AUTN,再计算出响应值RES。同时USIM内部生成假名PSE,最后将RES和PSE发送给MME。
7、MME收到RES后首先验证UE的合法性,成功后生成GUTI下发给UE,并保留GUTI与IMSI的对应关系。UE收到GUTI后表示首次接入认证成功,USIM卡中接入标志AF设置为1,USIM卡中保存PSE,下次使用PSE接入网络。如果未收到GUTI,表示首次接入认证不成功,AF状态保持为0,清除PSE数据,下次继续使用IMSI接入网络。
8、MME将PES上传至HSS,HSS保存IMSI与PSE的对应关系。
当UE重新开机或者当MME无法获取该手机GUTI与IMSI的对应关系时,进入后续接入流程,此时AF=1,采用PSE进行身份认证。图3示出了本发明实施例提供的移动通信用户身份保护方法在后续接入网络时的时序,详述如下:
1、MME向UE发送用户身份请求。
2、UE通过USIM卡中的AF(此时为1)标志确定该次接入是后续接入,上报自己的PSE。
3、MME收到PSE后,根据HSS_ID向UE归属的HSS发送PSE,并申请鉴权向量。
4、HSS通过PSE找到对应的IMSI,生成鉴权向量AV,并向MME下发。
5、MME从AV中提取出认证随机数RAND和认证令牌AUTN发送给UE。
6、UE启动USIM进行鉴权操作,首先验证AUTN,再计算出响应值RES。同时USIM内部生成新假名PSE’,最后将RES和PSE’发送给MME。
7、MME收到RES后首先验证UE的合法性,成功后生成GUTI下发给UE,并保留GUTI与IMSI的对应关系。UE收到GUTI后表示本次接入认证成功,使用新假名PSE’替代旧假名PSE并保存在USIM卡中,下次使用PSE’接入网络。如果UE未收到GUTI,表示本次接入认证不成功,清除新假名PSE’,保留旧假名PSE,下次继续使用旧假名PSE接入网络。
此外,如果UE连续3次接入认证不成功,则可以将AF设置为0,下次使用IMSI进行接入认证。
8、MME将PES’上传至HSS,HSS使用新假名PSE’替代老假名PSE,保存IMSI与PSE’的对应关系,下次鉴权时使用PSE’。
本发明实施例通过使用假名机制,使IMSI只在首次接入时使用(正常情况下只使用一次),以后终端均使用假名进行网络接入,即使攻击者采用主动攻击或者被动攻击获得了PSE数据,也不能推导出IMSI信息,同时该发明还具有PSE更新功能,更增加了攻击者的跟踪难度,因此较好的实现了IMSI的保护,能够满足高端用户对移动通信用户身份保护的需求。此外,PSE的产生、分配、同步不改变现有LTE/SAE的AKA认证机制的流程,与AKA机制进行了较好的融合,利用RES上报流程附带实现了PSE上报,没有增加HSS和MME的负担,具有较高的可实现性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (2)
1.一种移动通信用户身份保护方法,其特征在于,在该用户的用户设备UE中的用户身份模块USIM卡首次接入通信网络时,所述方法包括下述步骤:
A、UE在收到移动管理实体MME发送的用户身份请求时上报自己的国际移动用户身份号IMSI;
B、MME收到上述IMSI后,向归属用户服务器HSS发送该IMSI,并申请鉴权向量;
C、HSS根据上述IMSI查找该用户对应的密钥,生成鉴权向量AV,并向MME下发;
D、MME从AV中提取出随机数和认证令牌AUTN发送给UE;
E、UE启动USIM首先验证AUTN,再计算出响应值RES,同时USIM内部生成假名PSE,最后将RES和PSE一起发送给MME;
F、MME收到RES后首先验证UE的合法性,成功后生成全球唯一临时身份GUTI下发给UE,并保留GUTI与IMSI的对应关系;
G、UE收到GUTI后表示首次接入认证成功,USIM卡中保存PSE,下次使用PSE接入网络,如果未收到GUTI,表示首次接入认证不成功,清除PSE数据,下次继续使用IMSI接入网络;
H、MME将PSE上传至HSS,HSS保存IMSI与PSE的对应关系;
所述假名PSE包括假名标志、HSS标识及假名数据这3部分信息。
2.如权利要求1所述的移动通信用户身份保护方法,其特征在于,当UE首次接入网络成功后,后续接入网络时,在所述步骤A中,UE上报给MME的为自己的PSE;所述步骤B为MME收到PSE后,根据PSE中的HSS标识向UE归属的HSS发送PSE,并申请鉴权向量;所述步骤C为HSS通过PSE找到对应的IMSI,生成鉴权向量AV,并向MME下发;在所述步骤E中,USIM内部将生成新假名PSE’,并将RES和PSE’发送给MME;在所述步骤G中,UE收到GUTI后表示本次接入认证成功,使用新假名PSE’替代旧假名PSE并保存在USIM卡中,下次使用PSE’接入网络,如果UE未收到GUTI,表示本次接入认证不成功,清除新假名PSE’,保留旧假名PSE,下次继续使用旧假名PSE接入网络;在所述步骤H中,MME将PSE’上传至HSS,HSS使用新假名PSE’替代旧假名PSE,保存IMSI与PSE’的对应关系,下次鉴权时使用PSE’。
3、如权利要求1所述的移动通信用户身份保护方法,其特征在于,所述假名数据通过随机产生或者计算产生,并大于或等于16字节。
4、如权利要求3所述的移动通信用户身份保护方法,其特征在于,所述假名数据采用单向哈希函数对IMSI和随机数R运算后产生。
5、如权利要求2所述的移动通信用户身份保护方法,其特征在于,在USIM卡中保存接入标志AF,并设置当AF=0时表示当前USIM卡是首次接入网络,AF=1时表示当前USIM卡是后续接入网络,AF的初始状态为0,在所述步骤A中,UE通过USIM卡中的AF的值来判断该次接入是首次接入或是后续接入,从而上报相应的信息。
6、如权利要求2所述的移动通信用户身份保护方法,其特征在于,所述步骤G进一步包括:
如果UE连续3次接入认证不成功,则下次使用IMSI进行接入认证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009103121191A CN101720086B (zh) | 2009-12-23 | 2009-12-23 | 一种移动通信用户身份保护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009103121191A CN101720086B (zh) | 2009-12-23 | 2009-12-23 | 一种移动通信用户身份保护方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101720086A CN101720086A (zh) | 2010-06-02 |
| CN101720086B true CN101720086B (zh) | 2011-12-28 |
Family
ID=42434587
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009103121191A Active CN101720086B (zh) | 2009-12-23 | 2009-12-23 | 一种移动通信用户身份保护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101720086B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10136318B1 (en) | 2017-06-21 | 2018-11-20 | At&T Intellectual Property I, L.P. | Authentication device selection to facilitate authentication via an updateable subscriber identifier |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102026178B (zh) * | 2010-12-31 | 2013-06-12 | 成都三零瑞通移动通信有限公司 | 一种基于公钥机制的用户身份保护方法 |
| WO2013097886A1 (en) * | 2011-12-27 | 2013-07-04 | Telecom Italia S.P.A. | Dynamic pseudonymization method for user data profiling networks and user data profiling network implementing the method |
| US10237729B2 (en) | 2015-03-05 | 2019-03-19 | Qualcomm Incorporated | Identity privacy in wireless networks |
| CN113923659B (zh) | 2016-09-12 | 2024-02-23 | 中兴通讯股份有限公司 | 入网认证方法及装置 |
| US20190014095A1 (en) | 2017-07-06 | 2019-01-10 | At&T Intellectual Property I, L.P. | Facilitating provisioning of an out-of-band pseudonym over a secure communication channel |
| CN108093402B (zh) * | 2017-11-24 | 2021-02-09 | 中国科学院信息工程研究所 | 一种基于终端增强的用户隐私信息保护方法及系统 |
| CN107911814B (zh) * | 2017-11-24 | 2020-08-25 | 中国科学院信息工程研究所 | 一种基于hss增强的用户身份信息保护方法及系统 |
| CN110351721A (zh) * | 2018-04-08 | 2019-10-18 | 中兴通讯股份有限公司 | 接入网络切片的方法及装置、存储介质、电子装置 |
| CN110417563A (zh) * | 2018-04-26 | 2019-11-05 | 中兴通讯股份有限公司 | 一种网络切片接入的方法、装置和系统 |
| CN110418335A (zh) * | 2018-04-28 | 2019-11-05 | 中国移动通信有限公司研究院 | 一种信息处理方法、网络设备及终端 |
-
2009
- 2009-12-23 CN CN2009103121191A patent/CN101720086B/zh active Active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10136318B1 (en) | 2017-06-21 | 2018-11-20 | At&T Intellectual Property I, L.P. | Authentication device selection to facilitate authentication via an updateable subscriber identifier |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101720086A (zh) | 2010-06-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101720086B (zh) | 一种移动通信用户身份保护方法 | |
| CN108901018B (zh) | 一种终端发起的移动通信系统用户身份隐匿方法 | |
| Van Den Broek et al. | Defeating IMSI catchers | |
| CN101400054B (zh) | 保护用户终端的隐私的方法、系统和设备 | |
| US8166528B2 (en) | Wireless communication system and wireless communication method | |
| CN101959183B (zh) | 一种基于假名的移动用户标识码imsi保护方法 | |
| CN100433910C (zh) | 一种移动通信系统中移动终端身份保护的方法 | |
| EP1757139B1 (en) | Method of preventing or limiting the number of simultaneous sessions in wireless local area network (wlan) | |
| CN108260102B (zh) | 基于代理签名的lte-r车-地通信非接入层认证方法 | |
| CN100488281C (zh) | 一种目标基站获取鉴权密钥上下文信息的方法 | |
| CN102480727B (zh) | 机器与机器通信中的组认证方法及系统 | |
| CN101771992B (zh) | 国际移动用户标识符imsi机密性保护的方法、设备及系统 | |
| EP4333481A2 (en) | Apparatus and method | |
| CN101248644A (zh) | 用户数据的管理 | |
| Khan et al. | Defeating the downgrade attack on identity privacy in 5G | |
| EP3024170A1 (en) | Method and system for key distribution in a wireless communication network | |
| CN102149088A (zh) | 一种保护移动用户数据完整性的方法 | |
| CN101090513B (zh) | 一种获取业务密钥的方法 | |
| CN101616407A (zh) | 预认证的方法和认证系统 | |
| EP3518491A1 (en) | Registering or authenticating user equipment to a visited public land mobile network | |
| CN116235462A (zh) | 用于防止加密的用户身份受到重放攻击的方法 | |
| CN101431754B (zh) | 一种防止克隆终端接入的方法 | |
| CN101909052A (zh) | 一种家庭网关认证方法和系统 | |
| CN107786937B (zh) | 移动终端本地化漫游的实现方法、移动终端及漫游服务器 | |
| CN101163326A (zh) | 一种抗重放攻击的方法、系统及移动终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |