CN101771992B - 国际移动用户标识符imsi机密性保护的方法、设备及系统 - Google Patents
国际移动用户标识符imsi机密性保护的方法、设备及系统 Download PDFInfo
- Publication number
- CN101771992B CN101771992B CN2009100764531A CN200910076453A CN101771992B CN 101771992 B CN101771992 B CN 101771992B CN 2009100764531 A CN2009100764531 A CN 2009100764531A CN 200910076453 A CN200910076453 A CN 200910076453A CN 101771992 B CN101771992 B CN 101771992B
- Authority
- CN
- China
- Prior art keywords
- guti
- imsi
- tabulation
- hss
- mme
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明公开了一种国际移动用户标识符IMSI机密性保护方法,该方法包括:移动管理实体MME根据用户设备UE上报的IMSI生成全球唯一临时标示符GUTI后,将GUTI发送给UE,将IMSI、GUTI发送给归属签约用户服务器HSS;HSS保存接收的IMSI、GUTI并进行映射;重鉴权时,若MME无法通过UE上报的GUTI确认用户身份,则由HSS利用保存的GUTI对用户进行识别。本发明同时公开一种MME、HSS、IMSI机密性保护系统。采用本发明可以在不改变原有AKA协议的基础上,简单易行地提供一种基于假名保护IMSI的方案,并且该方案安全性较高。
Description
技术领域
本发明涉及通信技术领域,尤其涉及国际移动用户标识符IMSI机密性保护方法、设备及系统。
背景技术
防止攻击者通过空中接口获得IMSI(International Mobile SubscriberIdentifier,国际移动用户标识符),减轻攻击者截获IMSI所带来的威胁,提供优于UTRAN(UMTS Terrestrial Radio Access Network,UMTS陆地无线接入网;UMTS:Universal Mobile Telecommunications System,通用移动通信系统)系统的安全性,是未来网络安全中考虑的一个重要课题。
可以由网络分配临时标识来标识用户,或者给UE(User Equipment,用户设备)提供一个至少归属网络可识别的伪标识来替代IMSI的标识,称之为基于假名的方法。从密码学角度来分析,也可以使用公钥或对称密钥加密隐藏IMSI。
在3GPP TR33.821 V0.5.0中,给出了基于假名保护和公钥体制保护IMSI的方案。其中基于假名的方案是用假名来代替IMSI,而假名的产生是由HLR(Home Location Register,归属位置寄存器)和UE共享的密钥k,即使用对称密钥来产生假名,假名的更新频率和执行AKA的频率一致。故这种方法也可以看作是一种基于对称密钥的方法。以下是其方案简单描述:
基于假名的思想,一般按以下方式进行修改:五元组本身在AUTN(Authentication token认证令牌)参数中包含一个假名,UE可以通过在USIM(UMTS SubscriberIdentity Module,UMTS用户身份模块;UMTS:UniversalMobile Telecommunication System,通用移动通信系统)中与HLR共享的长期密钥进行鉴定。当UE下次需要提供身份时,此时不再与网络共享一个TMSI(Temporary Mobile Subscriber Identify,临时移动用户识别号码),可以使用从先前已鉴别的AUTN参数中得到的一个假名。
在HSS(Home Subscriber Server,归属签约用户服务器)中产生假名的方式,是通过HSS中一个带有密钥标识符(KID)的密钥K’来产生的。HSS用K’加密IMSI和一些随机变量生成假名,然后将这个假名和KID扩展到AUTN参数中(具体扩展算法,标准中未给出)。密钥K’不需要在HSS之外被传递,一旦HSS获得基于假名鉴权的请求,它将通过标识密钥的KID找到相应的密钥K’,对假名进行解密,从而解密得到完整的IMSI。
假名的创建和基于假名的IMSI识别都是在HLR的内部完成的,假名还可以是一个比特串(可能长度是可变的),因此创建假名的算法不会影响到网络和UE。
由上述可见,在3GPP TR33.821V0.5.0的保护方案中,由于对AKA(Authentication and Key Agreement,认证和密钥协商)协议中的参数AUTN进行了扩展(具体的扩展操作,方案中并未交待),这种扩展是对AKA中协议算法的修改,因此这种保护方案只能用于使用该保护机制的USIM卡,而对于其他的USIM卡和SIM卡不能起到保护的作用,这些卡要使用这种机制的话,就必须对AKA进行升级。另外,由于没有密钥更新机制,故产生假名的密钥一旦被破译,那么方案对IMSI的保护就失去作用。
此外,方案中还存在一些未解决细化的问题。在鉴权中,HSS发送给同一UE的KID和上次鉴权时的KID相同的,还是互不相同的。另外,每个UE和HSS共享的K’是互不相同,还是相同的。如何将原有的AUTN参数加以扩展,将假名添加其中。
除了基于假名的方法之外,3GPP TR33.821V0.5.0中给出了基于公钥的方案,而这种公钥方案的公钥证书的问题还是没有得到解决,即公钥证书在每次身份请求或者UE首次接入网络之前需要提供给UE,UE也必须有能力鉴别公共密钥证书。
发明内容
本发明实施例提供一种国际移动用户标识符IMSI机密性保护,用以在不改变原有AKA协议的基础上,提供一种基于假名保护IMSI的简单易操作、且安全性较高的方案,该方法包括:
移动管理实体MME根据用户设备UE上报的IMSI生成全球唯一临时标示符GUTI后,将GUTI发送给UE,将IMSI、GUTI发送给归属签约用户服务器HSS;
HSS保存接收的IMSI、GUTI并进行映射;
重鉴权过程中,MME给UE分配一个新的GUTI,同时将该新的GUTI和其对应的之前使用的GUTI发送给HSS,HSS在第二列表中存储最新的GUTI,在第三列表中存储之前使用的GUTI;
重鉴权时,若MME无法通过UE上报的GUTI确认用户身份,则由MME向HSS发送身份鉴权请求,所述身份鉴权请求中包括UE上报的GUTI;
HSS在第二列表中查找到与所述身份鉴权请求中的GUTI相同的GUTI时,确认用户身份,HSS在第二列表中未查找到与所述身份鉴权请求中的GUTI相同的GUTI时,在第三列表中查找,查找到时确认用户身份,HSS在第三列表中未查找到与所述身份鉴权请求中的GUTI相同的GUTI时,通知MME请求UE重发IMSI进行识别。
本发明实施例还提供一种MME,用以在不改变原有AKA协议的基础上,提供一种基于假名保护IMSI的简单易操作、且安全性较高的方案,该MME包括:
生成模块,用于根据UE上报的IMSI生成GUTI;
发送模块,用于将生成的GUTI发送给UE,将IMSI、生成的GUTI发送给HSS;
用于在重鉴权过程中将分配给UE的新的GUTI和其对应的之前使用的GUTI发送给HSS的模块;
接收模块,用于在重鉴权时,接收UE上报的GUTI;
提交模块,用于在无法通过UE上报的GUTI确认用户身份时,将UE上报的GUTI提交至HSS,指示HSS执行以下操作:
HSS在第二列表中查找到与UE上报的GUTI相同的GUTI时,确认用户身份,HSS在第二列表中未查找到与UE上报的GUTI相同的GUTI时,在第三列表中查找,查找到时确认用户身份,HSS在第三列表中未查找到与UE上报的GUTI相同的GUTI时,通知MME请求UE重发IMSI进行识别,所述第二列表中存储最新的GUTI,所述第三列表中存储之前使用的GUTI。
本发明实施例还提供一种HSS,用以在不改变原有AKA协议的基础上,提供一种基于假名保护IMSI的简单易操作、且安全性较高的方案,该HSS包括:
接收模块,用于接收MME发送的IMSI、以及根据IMSI生成的GUTI;在重鉴权时,接收MME转发的、UE上报的GUTI;
存储模块,用于存储接收的IMSI、GUTI并进行映射;
用于在重鉴权过程中,在第二列表中存储最新的GUTI,在第三列表中存储之前使用的GUTI的模块;
重鉴权模块,用于对重鉴权时接收的GUTI,在第二列表中查找到与重鉴权时接收的GUTI相同的GUTI时,确认用户身份,HSS在第二列表中未查找到与重鉴权时接收的GUTI相同的GUTI时,在第三列表中查找,查找到时确认用户身份,HSS在第三列表中未查找到与重鉴权时接收的GUTI相同的GUTI时,通知MME请求UE重发IMSI进行识别。
本发明实施例还提供一种IMSI机密性保护系统,用以在不改变原有AKA协议的基础上,提供一种基于假名保护IMSI的简单易操作、且安全性较高的方案,该系统包括:
UE,用于上报IMSI;接收根据IMSI生成的GUTI并在重鉴权时上报;
MME,用于根据UE上报的IMSI生成GUTI后,将GUTI发送给UE,将IMSI、GUTI发送给HSS,并在重鉴权过程中,给UE分配一个新的GUTI,同时将该新的GUTI和其对应的之前使用的GUTI发送给HSS,重鉴权时,若无法通过UE上报的GUTI确认用户身份,发送身份鉴权请求,所述身份鉴权请求中包括UE上报的GUTI;
HSS,用于保存接收的IMSI、GUTI并进行映射;在重鉴权过程中,将在第二列表中存储最新的GUTI,在第三列表中存储之前使用的GUTI,并在接收到MME发送的身份鉴权请求时,在第二列表中查找到与所述身份鉴权请求中的GUTI相同的GUTI时,确认用户身份,HSS在第二列表中未查找到与所述身份鉴权请求中的GUTI相同的GUTI时,在第三列表中查找,查找到时确认用户身份,HSS在第三列表中未查找到与所述身份鉴权请求中的GUTI相同的GUTI时,通知MME请求UE重发IMSI进行识别。
本发明实施例中,移动管理实体MME根据用户设备UE上报的IMSI生成全球唯一临时标示符GUTI后,将GUTI发送给UE,将IMSI、GUTI发送给归属签约用户服务器HSS;HSS保存接收的IMSI、GUTI并进行映射;重鉴权时,若MME无法通过UE上报的GUTI确认用户身份,则由HSS利用保存的GUTI对用户进行识别,从而在不改变原有AKA协议的基础上,提供一种基于假名保护IMSI的简单易操作、且安全性较高的方案。
附图说明
图1为本发明实施例中国际移动用户标识符IMSI机密性保护方法流程图;
图2为本发明实施例中初始入网阶段时的一个具体实例的流程图;
图3为本发明实施例中重鉴权的一个具体实例的流程图;
图4为本发明实施例中MME的结构示意图;
图5为本发明实施例中HSS的结构示意图;
图6为本发明实施例中IMSI机密性保护系统的结构示意图。
具体实施方式
下面结合说明书附图对本发明实施例进行详细说明。
如图1所示,本发明实施例中,国际移动用户标识符IMSI机密性保护方法流程可以包括:
步骤101、MME(Mobility Management Entity,移动管理实体)根据用户设备UE上报的IMSI生成全球唯一临时标示符GUTI后,将GUTI发送给UE,将IMSI、GUTI发送给HSS(Home Subscriber Server,归属签约用户服务器)。
步骤102、HSS保存接收的IMSI、GUTI并进行映射。
步骤103、重鉴权时,若MME无法通过UE上报的GUTI确认用户身份,则由HSS利用保存的GUTI对用户进行识别。
实施中,在每次鉴权成功后,把MME给UE分配的GUTI作为IMSI的假名,HSS和UE都存储该值。在后续发起重鉴权时,UE发送最近一次鉴权时被分配的GUTI。
步骤101、步骤102实际上是初始入网阶段的处理过程,一个实施例中,HSS保存接收的IMSI、GUTI并进行映射,可以包括:
HSS在第一列表中查找接收的IMSI;若不存在则先加入该IMSI;所述第一列表用于存储IMSI;
HSS在第二列表中查找与该IMSI对应的GUTI,若存在,则将第二列表中与该IMSI对应的GUTI移至第三列表;将接收的GUTI存入第二列表;若不存在,则直接将接收的GUTI存入第二列表;所述第二列表用于存储最新的GUTI;所述第三列表用于存储之前使用的GUTI。
如图2所示,在一个具体实例中,初始入网阶段时的完整处理流程可以包括:
步骤201、UE首次入网,这时向MME发送IMSI。
步骤202、MME接收到IMSI后,向HSS发送鉴权请求的消息,其中包含了IMSI。
步骤203、HSS执行AKA中相应的算法,产生鉴权向量AV[1,...,n]。
步骤204、MME从收到的鉴权向量中选择一个在本次鉴权中使用,把该鉴权向量中的{RAND,AUTN}发送给UE。
步骤205、UE收到以后,用根密钥检验AUTN。如果验证通过,则进一步计算出RES(Response,鉴权响应)并发送至MME。
步骤206、MME检验RES是否等于XRES(Expected Response,期望响应),如果相等,则对UE的鉴权通过。
步骤207a-b、MME给UE分配一个GUTI(Globally Unique TemporaryIdentity,全球唯一临时标示符)作为临时身份,同时也把这个值和其对应的用户标识IMSI发送给HSS。
步骤208a-b、HSS有一个用于存储IMSI的存储单元,包括三个列表:第一列表用于记录IMSI信息,第二列表用于记录最新的GUTI,第三列表用于记录之前使用的GUTI,其中第二列表和第三列表可以为空。当HSS收到MME发来的用户IMSI及对应的GUTI时,则将该IMSI所对应的原来的GUTI(如果存在的话)移到第三列表,将收到的GUTI添加到第二列表。
从图2可以看到,步骤201-206、207a和208a就是3GPP中的一个AKA鉴权过程,与现有技术的不同之处是HSS要存储IMSI对应的两个GUTI,主要是在下次鉴权时HSS能通过存储的GUTI识别UE。
当用户已经完成初始入网,因为某种原因失去与访问网络的同步(即与访问网络的SPI(sequence parameter index序列号参数)不同)时,需要重新通过归属网络HSS进行鉴权,这时的鉴权是重鉴权,其处理过程如图3所示,可以包括:
步骤301、由于是重鉴权,USIM卡里已经存储了一个上次鉴权时收到的GUTI,因此UE提取GUTI存储的值,发送给MME。
步骤302a-b、当MME收到GUTI时,分两种情况处理:即步骤302a、如果它能通过收到的GUTI确定用户身份,则找出相应鉴权向量,这是正常的不需要通过HSS的鉴权过程。如果不能,则必须通过HSS完成鉴权过程。假定GUTI信息中包含用户归属网络的信息,此时执行步骤302b、MME向HSS发送身份鉴权请求,其中包括UE上报的GUTI。
步骤303、HSS收到GUTI时,先在第二列表中找到相同的GUTI,从而确定UE,发送相应的鉴权向量AV[1,...,n]五元组。
在少数情况下可能会发生这样的情况:HSS从第二列表中找不到相同的GUTI,这时HSS就需要查找第三列表。发生这种情况主要是在GUTI分配时,用户更新GUTI没有和HSS同步而造成的,其所发生的概率和网络性能有关。这是在HSS端,保存两个GUTI列表的目的。
如果在第三列表中也无法找到相同的GUTI,那么这时HSS也不能通过GUTI确定UE,只能通知MME请求UE重发IMSI。可以明确的是,连续两次鉴权过程中,UE都没有收到HSS分配的GUTI概率很小。
步骤304、MME从收到的鉴权向量中选择一个在本次鉴权中使用,把该鉴权向量中的{RAND,AUTN}发送给UE。
步骤305、UE收到以后,用根密钥检验AUTN。如果验证通过,则进一步计算出RES并发送至MME。
步骤306、MME检验RES是否等于XRES,如果相等,则对UE的鉴权通过。
步骤307a-b、MME给UE分配一个新的GUTI(图中表示为GUTI’)作为临时身份,同时也把这个值和其对应的原有的GUTI发送给HSS。
步骤308a-b、UE、HSS向MME反馈收到新的GUTI。
上述方案在设计时,在HSS使用两个GUTI的存储列表目的在于解决当UE和HSS存储的GUTI不同步的问题。还有一种方法,就是尽量避免GUTI不同步问题的发生。由于UE和MME的通信要弱于MME和HSS之间的通信,因此不同步问题往往是在UE方可能没有收到MME发送的GUTI而导致的。这样,可以在MME确认UE收到GUTI之后,再把GUTI、IMSI发送给HSS,即把图2中的207b、208b往后移至第209、第210步。当然该方法也可以与前述使用两个GUTI的存储列表的方法结合使用。
本领域普通技术人员可以理解上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:ROM、RAM、磁盘或光盘等。
基于同一发明构思,本发明实施例还提供一种移动管理实体MME,其结构如图4所示,可以包括:
生成模块401,用于根据UE上报的IMSI生成GUTI;
发送模块402,用于将生成的GUTI发送给UE,将IMSI、生成的GUTI发送给HSS;
接收模块403,用于在重鉴权时,接收UE上报的GUTI;
提交模块404,用于在无法通过UE上报的GUTI确认用户身份时,将UE上报的GUTI提交至HSS进行识别。
一个实施例中,发送模块在确认UE接收到GUTI之后,再将IMSI、GUTI发送给HSS。
基于同一发明构思,本发明实施例还提供一种归属签约用户服务器HSS,其结构如图5所示,可以包括:
接收模块501,用于接收MME发送的IMSI、以及根据IMSI生成的GUTI;在重鉴权时,接收MME转发的、UE上报的GUTI;
存储模块502,用于存储接收的IMSI、GUTI并进行映射;
重鉴权模块503,用于对重鉴权时接收的GUTI,利用保存的GUTI对用户进行识别。
一个实施例中,存储模块进一步用于:
在第一列表中查找接收的IMSI;若不存在则先加入该IMSI;所述第一列表用于存储IMSI;
在第二列表中查找与该IMSI对应的GUTI,若存在,则将第二列表中与该IMSI对应的GUTI移至第三列表;将接收的GUTI存入第二列表;若不存在,则直接将接收的GUTI存入第二列表;所述第二列表用于存储最新的GUTI;所述第三列表用于存储之前使用的GUTI。
一个实施例中,重鉴权模块进一步用于:
在第二列表中查找与重鉴权时接收的GUTI相同的GUTI,查找到时确认用户身份,发送相应的五元组。
一个实施例中,重鉴权模块进一步用于:
在第二列表中未查找到与重鉴权时接收的GUTI相同的GUTI时,进一步在第三列表中查找,查找到时确认用户身份,发送相应的五元组。
一个实施例中,重鉴权模块进一步用于:
在第三列表中未查找到与重鉴权时接收的GUTI相同的GUTI时,通知MME请求UE重发IMSI。
基于同一发明构思,本发明实施例还提供一种IMSI机密性保护系统,其结构如图6所示,可以包括:
UE601,用于上报IMSI;接收根据IMSI生成的GUTI并在重鉴权时上报;
MME602,用于根据UE上报的IMSI生成GUTI后,将GUTI发送给UE,将IMSI、GUTI发送给HSS;
HSS603,用于保存接收的IMSI、GUTI并进行映射;在重鉴权、MME无法通过UE上报的GUTI确认用户身份时,利用保存的GUTI对用户进行识别。
本发明实施例同UMTS AKA协议相比,UE端的操作是一致的,对于MME和HSS,则有以下几点不同之处:一、在每次鉴权时,MME需要在向UE分配GUTI的同时,将该GUTI及之前的GUTI(或IMSI,如果是初始入网)发送给HSS,HSS需要将该值和相应的IMSI对应存储,并发送确认消息;二、重鉴权时,当MME不能通过GUTI确定UE身份时,它不是请求UE发送IMSI,而是向HSS转发GUTI用于鉴权请求。
本发明实施例的有益效果如下:
一、实现简单:利用3G中已有的GUTI分配机制,给附加上一个产生假名的功能,而这一功能的实现,只需要MME把鉴权之后分配给UE的GUTI发送给HSS,HSS存储这一值即可。
二、不需要修改AKA协议。首先利用MME分配给UE的GUTI作为假名,HSS存储这个假名,使之与IMSI对应,以便后续MME不能确认UE身份时使用。因此,方案不存在AKA协议升级的问题。
三、假名更新频率可控、易操作:以GUTI作为IMSI的假名具有唯一标识性,在每次执行AKA协议之后,假名都会更新一次。也就是这里的更新频率也是用假名进行鉴权的频率,即和TR33.821基于假名方案的更新频率一致。如果需要提高更新频率,操作也很简单,不需要执行AKA协议(标准中的假名该方案需要),只需要由MME再分配GUTI时发送给HSS即可,亦即执行图3所示流程中的步骤306至308。
而如果说TR33.821需要额外提高更新频率的话,那么就需要重新执行一次AKA。
四、在HSS端保持两个GUTI的存储列表,是为了解决HSS和UE存储的假名不同步的问题。MME在确认UE接收到GUTI之后,再将IMSI、GUTI发送给HSS,则是避免不同步问题的发生(MME的HSS的通信安全性高于MME和UE之间的通信)。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若对本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种国际移动用户标识符IMSI机密性保护方法,其特征在于,该方法包括:
移动管理实体MME根据用户设备UE上报的IMSI生成全球唯一临时标示符GUTI后,将GUTI发送给UE,将IMSI、GUTI发送给归属签约用户服务器HSS;
HSS保存接收的IMSI、GUTI并进行映射;
重鉴权过程中,MME给UE分配一个新的GUTI,同时将该新的GUTI和其对应的之前使用的GUTI发送给HSS,HSS在第二列表中存储最新的GUTI,在第三列表中存储之前使用的GUTI;
重鉴权时,若MME无法通过UE上报的GUTI确认用户身份,则由MME向HSS发送身份鉴权请求,所述身份鉴权请求中包括UE上报的GUTI;
HSS在第二列表中查找到与所述身份鉴权请求中的GUTI相同的GUTI时,确认用户身份,HSS在第二列表中未查找到与所述身份鉴权请求中的GUTI相同的GUTI时,在第三列表中查找,查找到时确认用户身份,HSS在第三列表中未查找到与所述身份鉴权请求中的GUTI相同的GUTI时,通知MME请求UE重发IMSI进行识别。
2.如权利要求1所述的方法,其特征在于,HSS保存接收的IMSI、GUTI并进行映射,包括:
HSS在第一列表中查找接收的IMSI;若不存在则先加入该IMSI;所述第一列表用于存储IMSI;
HSS在第二列表中查找与该IMSI对应的GUTI,若存在,则将第二列表中与该IMSI对应的GUTI移至第三列表;将接收的GUTI存入第二列表;若不存在,则直接将接收的GUTI存入第二列表。
3.如权利要求2所述的方法,其特征在于,
当确认用户身份时,发送相应的五元组。
4.如权利要求1至3任一项所述的方法,其特征在于,MME在确认UE接收到GUTI之后,再将IMSI、GUTI发送给HSS。
5.一种MME,其特征在于,包括:
生成模块,用于根据UE上报的IMSI生成GUTI;
发送模块,用于将生成的GUTI发送给UE,将IMSI、生成的GUTI发送给HSS;
用于在重鉴权过程中将分配给UE的新的GUTI和其对应的之前使用的GUTI发送给HSS的模块;
接收模块,用于在重鉴权时,接收UE上报的GUTI;
提交模块,用于在无法通过UE上报的GUTI确认用户身份时,将UE上报的GUTI提交至HSS,指示HSS执行以下操作:
HSS在第二列表中查找到与UE上报的GUTI相同的GUTI时,确认用户身份,HSS在第二列表中未查找到与UE上报的GUTI相同的GUTI时,在第三列表中查找,查找到时确认用户身份,HSS在第三列表中未查找到与UE上报的GUTI相同的GUTI时,通知MME请求UE重发IMSI进行识别,所述第二列表中存储最新的GUTI,所述第三列表中存储之前使用的GUTI。
6.如权利要求5所述的MME,其特征在于,所述发送模块在确认UE接收到GUTI之后,再将IMSI、GUTI发送给HSS。
7.一种HSS,其特征在于,包括:
接收模块,用于接收MME发送的IMSI、以及根据IMSI生成的GUTI;在重鉴权时,接收MME转发的、UE上报的GUTI;
存储模块,用于存储接收的IMSI、GUTI并进行映射;
用于在重鉴权过程中,在第二列表中存储最新的GUTI,在第三列表中存储之前使用的GUTI的模块;
重鉴权模块,用于对重鉴权时接收的GUTI,在第二列表中查找到与重鉴权时接收的GUTI相同的GUTI时,确认用户身份,HSS在第二列表中未查找到与重鉴权时接收的GUTI相同的GUTI时,在第三列表中查找,查找到时确认用户身份,HSS在第三列表中未查找到与重鉴权时接收的GUTI相同的GUTI时,通知MME请求UE重发IMSI进行识别。
8.如权利要求7所述的HSS,其特征在于,所述存储模块进一步用于:
在第一列表中查找接收的IMSI;若不存在则先加入该IMSI;所述第一列表用于存储IMSI;
在第二列表中查找与该IMSI对应的GUTI,若存在,则将第二列表中与该IMSI对应的GUTI移至第三列表;将接收的GUTI存入第二列表;若不存在,则直接将接收的GUTI存入第二列表。
9.如权利要求7所述的HSS,其特征在于,所述重鉴权模块进一步用于:
当确认用户身份时,发送相应的五元组。
10.一种IMSI机密性保护系统,其特征在于,包括:
UE,用于上报IMSI;接收根据IMSI生成的GUTI并在重鉴权时上报;
MME,用于根据UE上报的IMSI生成GUTI后,将GUTI发送给UE,将IMSI、GUTI发送给HSS,并在重鉴权过程中,给UE分配一个新的GUTI,同时将该新的GUTI和其对应的之前使用的GUTI发送给HSS,重鉴权时,若无法通过UE上报的GUTI确认用户身份,则发送身份鉴权请求,所述身份鉴权请求中包括UE上报的GUTI;
HSS,用于保存接收的IMSI、GUTI并进行映射;在重鉴权过程中,将在第二列表中存储最新的GUTI,在第三列表中存储之前使用的GUTI,并在接收到MME发送的身份鉴权请求时,在第二列表中查找到与所述身份鉴权请求中的GUTI相同的GUTI时,确认用户身份,HSS在第二列表中未查找到与所述身份鉴权请求中的GUTI相同的GUTI时,在第三列表中查找,查找到时确认用户身份,HSS在第三列表中未查找到与所述身份鉴权请求中的GUTI相同的GUTI时,通知MME请求UE重发IMSI进行识别。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009100764531A CN101771992B (zh) | 2009-01-04 | 2009-01-04 | 国际移动用户标识符imsi机密性保护的方法、设备及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009100764531A CN101771992B (zh) | 2009-01-04 | 2009-01-04 | 国际移动用户标识符imsi机密性保护的方法、设备及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101771992A CN101771992A (zh) | 2010-07-07 |
CN101771992B true CN101771992B (zh) | 2012-06-27 |
Family
ID=42504516
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009100764531A Active CN101771992B (zh) | 2009-01-04 | 2009-01-04 | 国际移动用户标识符imsi机密性保护的方法、设备及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101771992B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018045842A1 (zh) * | 2016-09-12 | 2018-03-15 | 中兴通讯股份有限公司 | 入网认证处理方法及装置 |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170201884A1 (en) * | 2014-07-21 | 2017-07-13 | Yulong Computer Telecommunication Scientific (Shenzhen) Co., Ltd. | Mobility Management Entity, Terminal, and Identity Authentication Method |
CN108353279B (zh) * | 2016-07-14 | 2020-08-14 | 华为技术有限公司 | 一种认证方法和认证系统 |
WO2018053804A1 (zh) * | 2016-09-23 | 2018-03-29 | 华为技术有限公司 | 一种加密保护方法及相关设备 |
CN108012266B (zh) * | 2016-10-31 | 2021-04-09 | 华为技术有限公司 | 一种数据传输方法及相关设备 |
CN109548010B (zh) * | 2017-07-31 | 2021-02-12 | 华为技术有限公司 | 获取终端设备的身份标识的方法及装置 |
CN107911813B (zh) * | 2017-11-24 | 2020-07-07 | 中国科学院信息工程研究所 | 透明模式的移动用户身份管理方法及系统 |
CN107911814B (zh) * | 2017-11-24 | 2020-08-25 | 中国科学院信息工程研究所 | 一种基于hss增强的用户身份信息保护方法及系统 |
CN108848502B (zh) * | 2018-05-18 | 2021-07-23 | 兴唐通信科技有限公司 | 一种利用5g-aka对supi进行保护的方法 |
CN108848495B (zh) * | 2018-05-18 | 2021-03-23 | 兴唐通信科技有限公司 | 一种使用预置密钥的用户身份更新方法 |
CN112134831B (zh) * | 2019-06-25 | 2023-02-21 | 中兴通讯股份有限公司 | 接入请求的发送、处理方法及装置 |
CN111143351B (zh) * | 2019-11-27 | 2023-03-21 | 中国联合网络通信集团有限公司 | Imsi数据管理方法及设备 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1164307A (zh) * | 1994-10-27 | 1997-11-05 | 国际商业机器公司 | 通信网移动用户保密标识方法及设备 |
CN101047945A (zh) * | 2006-03-28 | 2007-10-03 | 华为技术有限公司 | 移动通信系统及用户临时身份分发方法 |
-
2009
- 2009-01-04 CN CN2009100764531A patent/CN101771992B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1164307A (zh) * | 1994-10-27 | 1997-11-05 | 国际商业机器公司 | 通信网移动用户保密标识方法及设备 |
CN101047945A (zh) * | 2006-03-28 | 2007-10-03 | 华为技术有限公司 | 移动通信系统及用户临时身份分发方法 |
Non-Patent Citations (2)
Title |
---|
Huawei.3GPP TSG SA WG3 Security — S3#49, S3-070682, User Identity protection in SAE/LTE.《3GPP TSG SA WG3 Security — S3#49, S3-070682, User Identity protection in SAE/LTE》.2007, * |
Huawei.3GPP TSG SA WG3 Security — S3#49b IMS SAE/LTE adhoc,S3a070946, Preventing active IMSI attack in SAE/LTE.《3GPP TSG SA WG3 Security — S3#49b IMS SAE/LTE adhoc,S3a070946, Preventing active IMSI attack in SAE/LTE》.2007, * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018045842A1 (zh) * | 2016-09-12 | 2018-03-15 | 中兴通讯股份有限公司 | 入网认证处理方法及装置 |
US11778458B2 (en) | 2016-09-12 | 2023-10-03 | Zte Corporation | Network access authentication method and device |
Also Published As
Publication number | Publication date |
---|---|
CN101771992A (zh) | 2010-07-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101771992B (zh) | 国际移动用户标识符imsi机密性保护的方法、设备及系统 | |
EP2850862B1 (en) | Secure paging | |
CN101512537B (zh) | 在自组无线网络中安全处理认证密钥资料的方法和系统 | |
EP2702741B1 (en) | Authenticating a device in a network | |
CN100388852C (zh) | 用于询问-应答用户鉴权的方法和系统 | |
US8397071B2 (en) | Generation method and update method of authorization key for mobile communication | |
Mathur et al. | Digital signatures for centralized DSA networks | |
CN101836470A (zh) | 用于启用lte移动单元中非接入层(nas)安全性的方法和设备 | |
EP1639777A2 (en) | Secure two-message synchronization in wireless networks | |
CN105101158A (zh) | Profile切换方法、信号强度检测方法及设备 | |
CN100488281C (zh) | 一种目标基站获取鉴权密钥上下文信息的方法 | |
CN101588579B (zh) | 一种对用户设备鉴权的系统、方法及其基站子系统 | |
CN108012266B (zh) | 一种数据传输方法及相关设备 | |
CN102480727A (zh) | 机器与机器通信中的组认证方法及系统 | |
Rizomiliotis et al. | Security analysis of the Song-Mitchell authentication protocol for low-cost RFID tags | |
CN102469458A (zh) | 一种m2m通信中的组认证方法和系统 | |
Khan et al. | Trashing IMSI catchers in mobile networks | |
CN101631306A (zh) | 空口密钥的更新方法、终端以及基站 | |
CN105407109A (zh) | 一种蓝牙设备间数据安全传输方法 | |
CN102217239B (zh) | 一种组临时密钥更新方法、装置和系统 | |
CN103220174A (zh) | 配置节点的方法、相关节点和配置服务器 | |
JP2002232962A (ja) | 移動通信認証インターワーキング方式 | |
WO2005041532A1 (en) | Naming of 802.11 group keys to allow support of multiple broadcast and multicast domains | |
Chakrabarty et al. | Black networks for Bluetooth low energy | |
Mobarhan et al. | REPS-AKA5: A robust group-based authentication protocol for IoT applications in LTE system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |