CN104219650A - 发送用户身份认证信息的方法及用户设备 - Google Patents
发送用户身份认证信息的方法及用户设备 Download PDFInfo
- Publication number
- CN104219650A CN104219650A CN201410488473.0A CN201410488473A CN104219650A CN 104219650 A CN104219650 A CN 104219650A CN 201410488473 A CN201410488473 A CN 201410488473A CN 104219650 A CN104219650 A CN 104219650A
- Authority
- CN
- China
- Prior art keywords
- information
- international mobile
- user
- mobile subscriber
- identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种发送用户身份认证信息的方法及用户设备、确定归属位置寄存器的方法及拜访位置寄存器、确定用户合法身份的方法及归属位置寄存器,发送方法包括:接收拜访位置寄存器发送的用户身份信息请求;根据请求生成随机序列号;利用用户设备存储的第一密钥对随机序列号与IMSI串接形成的序列号加密,得到加密序列号;将包括根据IMSI获得的第一信息、根据MSISDN获得的第二信息、随机序列号和加密序列号的用户身份认证信息返回拜访位置寄存器。在特殊情况下用户设备响应用户身份信息请求返回的用户身份认证信息中不包括IMSI,减小了直接明文传输IMSI带来的风险,结合加解密过程可防止恶意第三方冒充合法用户,加强了对用户身份的保护与认证。
Description
技术领域
本发明涉及移动通信系统用户身份安全认证技术领域,尤其涉及一种发送用户身份认证信息的方法以及与该发送方法相对应的用户设备,本发明还涉及确定归属位置寄存器的方法以及与该确定归属位置寄存器的方法相对应的拜访位置寄存器、确定用户合法身份的方法以及与该确定用户合法身份相对应的归属位置寄存器。
背景技术
当前,移动通信技术广泛应用在全球范围内,如第二代移动通信系统(2G,2ndGeneration)时代的全球移动通信系统(GSM,Global System for Mobile Communication);第三代移动通信系统(3G,3rd Generation)时代的宽带码分多址(WCDMA,Wideband CodeDivision Multiple Access),码分多址2000(CDMA2000,Code Division Multiple Access 2000)和时分同步码分多址(TD-SCDMA,Time Division-Synchronous Code Division MultipleAccess);以及当前大力发展的由第三代合作伙伴计划(3GPP,3rd Generation PartnershipProject)制定的第四代移动通信系统(4G,4th Generation)长期演进技术(LTE,Long TermEvolution)。
移动通信可以让用户不受时间、地点的限制,随时随地地接入网络,以获取各种应用与服务。但是正是由于能够“随时随地”的特性及无线数据链路本身的开放性,使得移动通信网络在数据传输上面临更大的安全威胁。其中多种安全威胁正是由于恶意第三方冒充合法用户身份而实施的。
为防止恶意第三方对网络服务的非法使用,移动网络运营商在用户设备(UE,UserEquipment)接入服务网络时通常需要对用户身份信息进行验证——即网络安全中身份认证(Authentication)过程。身份认证是为了保证用户身份的合法性,因为只有合法用户的UE方能付费使用移动运营商的网络服务。对用户的身份认证基本方法可以分为这三种:(1)根据你所知道的信息来证明你的身份(what you know,你知道什么);(2)根据你所拥有的东西来证明你的身份(what you have,你有什么);(3)直接根据独一无二的身体特征来证明你的身份(who you are,你是谁)。身份认证的核心就是用户必须证明“他/她知道某些其他用户所不知道的信息”。需要特别指出的是,网络要对用户的身份信息进行认证,其必须事先知道用户的身份信息,不然网络就无法验证其合法性。
国际移动用户识别码(IMSI,International Mobile Subscriber Identification Number)的提出,正是为了解决用户身份认证问题。因为IMSI是国际上为唯一识别一个移动用户所分配的号码。IMSI采用国际电信联盟远程通信标准化组织(ITU-T,ITU TelecommunicationStandardization Sector)E.212编码方式,用户端存储在用户设备的用户识别卡(SIM/USIM,Subscriber Identity Module/Universal Subscriber Identity Module)中,而在网络侧,主要存储在归属位置寄存器(2G/3G时代归属位置寄存器表示为HLR,即Home Location Register;4G时代归属位置寄存器表示为HSS,即Home Subscriber Serve,其也称为归属用户服务器)中,其总长度一般为15位,每一位编码使用0~9中的数字。图1示出了国际移动用户识别码(IMSI)的组成结构,如图1所示,IMSI由从左至右顺序排布的移动国家号码(MCC,Mobile Country Code)、移动网号(MNC,Mobile Network Code)和移动用户识别码(MSIN,Mobile Subscriber Identification Number)构成,其中MCC的资源由国际电信联盟(ITU)统一分配和管理,由3位数字组成,其唯一地识别移动用户所属的国家,例如对应中国的MCC码为460;MNC用于识别移动用户所归属的移动网,由2位数字组成,例如对应中国移动系统使用的MNC为00、02、07,对应中国联通GSM系统使用的MNC为01、06,对应中国电信CDMA系统使用的MNC为03、05;MSIN用于唯一地识别国内的移动网络中的移动用户,由10位数字组成,不同运营商有不同的与国际移动用户号码(MSISDN,Mobile Subscriber International ISDN/PSTN Number,简称MDN)间的对应关系,MSIN的结构为:EF+M0M1M2M3+ABCD,其中的M0M1M2M3和国际移动用户号码(MSISDN)中的H0H1H2H3可存在对应关系,ABCD四位为自由分配的数字。
现有移动通信系统中,为了防止用户设备通过直接传输IMSI进行身份认证导致的用户身份泄露,在2G及3G网络中,采用临时识别码(TMSI,Temporary Mobile SubscriberIdentity)机制代替直接传输IMSI来保护用户身份,即用户设备通过直接传输临时识别码(TMSI)进行身份认证;同时,在4G LTE网络中,采用全球唯一临时UE标识(GUTI,Globally Unique Temporary UE Identity)机制代替直接传输IMSI来保护用户身份,即用户设备通过直接传输全球唯一临时UE标识(GUTI)进行身份认证,可以看出,以上两种机制均能够减少类似于IMSI等用户私有身份信息在网络传输中暴露。
但是,以上两种机制均存在部分技术缺陷。具体地,在第三代移动通信标准化组织3GPP的技术规范TS 33.102中,提到了当用户设备第一次接入到网络以及服务网络无法识别TMSI机制时,服务网络将向用户设备请求明文传输IMSI以识别用户身份。同样地,在3GPP技术规范TS 33.401中也提到服务网络利用GUTI机制无法正常识别用户身份时,也需要明文传输IMSI以识别用户身份。也就是说,当遇到上述特殊情况时,用户设备还是会响应服务网络的请求以明文的形式传输带有用户私人身份信息的IMSI,此种技术缺陷会被恶意第三方攻击者利用,即恶意第三方能够获取用户设备以明文传输的IMSI,从而获取合法用户的身份信息。因此,目前亟待提出一种用户设备向服务网络安全传输用户身份信息的方法,以避免上述两种机制中明文传输IMSI的情况的发生。
发明内容
本发明所要解决的技术问题是,在2G及3G网络中采用的临时识别码(TMSI)机制和4G LTE网络中采用的全球唯一临时UE标识(GUTI)机制中,存在用户设备以明文的形式向服务网络传输IMSI的技术缺陷,而该技术缺陷会被恶意第三方攻击者利用,不利于用户信息的保密。
为了解决上述技术问题,本发明提供了一种发送用户身份认证信息的方法以及与该发送方法相对应的用户设备,还提供了一种确定归属位置寄存器的方法以及与该确定归属位置寄存器的方法相对应的拜访位置寄存器、一种确定用户合法身份的方法以及与该确定用户合法身份相对应的归属位置寄存器,以保证用户设备安全地将用户身份信息发送至服务网络。
本发明的技术方案为:
一种发送用户身份认证信息的方法,包括:
接收拜访位置寄存器发送的用户身份信息请求;
根据所述用户身份信息请求生成随机序列号;
利用用户设备存储的第一密钥对所述随机序列号与国际移动用户识别码串接形成的序列号加密,得到加密序列号;
将包括第一信息、第二信息、所述随机序列号和所述加密序列号的用户身份认证信息返回至所述拜访位置寄存器,所述第一信息根据所述国际移动用户识别码获得,所述第二信息根据国际移动用户号码获得。
优选的是,所述第一信息为所述国际移动用户识别码的前r位,r为大于等于11且小于所述国际移动用户识别码总长度的自然数,所述第二信息为所述国际移动用户号码的后s位,s为小于所述国际移动用户号码总长度的自然数。
一种确定归属位置寄存器的方法,包括:
向用户设备发送用户身份信息请求;
接收所述用户设备响应所述用户身份信息请求所发送的用户身份认证信息,所述用户身份认证信息包括根据国际移动用户识别码获得的第一信息、根据国际移动用户号码获得的第二信息、随机序列号和对所述随机序列号与所述国际移动用户识别码串接形成的序列号加密得到的加密序列号;
根据所述第一信息确定归属位置寄存器。
优选的是,所述第一信息为所述国际移动用户识别码的前r位,r为大于等于11且小于所述国际移动用户识别码总长度的自然数,所述第二信息为所述国际移动用户号码的后s位,s为小于所述国际移动用户号码总长度的自然数。
一种确定用户合法身份的方法,包括:
接收拜访位置寄存器发送的用户身份认证信息,所述用户身份认证信息是用户设备为响应所述拜访位置寄存器发送的用户身份信息请求而返回至所述拜访位置寄存器的,所述用户身份认证信息包括根据国际移动用户识别码获得的第一信息、根据国际移动用户号码获得的第二信息、随机序列号和对所述随机序列号与所述国际移动用户识别码串接形成的序列号加密得到的加密序列号;
在归属位置寄存器存储的用户信息库中查询得到与所述第一信息和所述第二信息相对应的第一国际移动用户识别码和第二密钥;
利用所述第二密钥对所述加密序列号进行解密,得到第二国际移动用户识别码;
根据所述第一国际移动用户识别码与所述第二国际移动用户识别码确定用户合法身份。
优选的是,所述第一信息为所述国际移动用户识别码的前r位,r为大于等于11且小于所述国际移动用户识别码总长度的自然数,所述第二信息为所述国际移动用户号码的后s位,s为小于所述国际移动用户号码总长度的自然数。
优选的是,所述根据所述第一国际移动用户识别码与所述第二国际移动用户识别码确定用户合法身份包括:
判断所述第一国际移动用户识别码与所述第二国际移动用户识别码是否一致;
如果是,则确定用户身份合法。
优选的是,该方法还包括:在确定用户身份合法后,将所述第一国际移动用户识别码发送至所述拜访位置寄存器。
一种用户设备,包括:
第一接收单元,设置为接收拜访位置寄存器发送的用户身份信息请求;
随机序列号生成单元,设置为根据所述用户身份信息请求生成随机序列号;
加密单元,设置为利用所述用户设备存储的第一密钥对所述随机序列号与国际移动用户识别码串接形成的序列号加密,得到加密序列号;
信息返回单元,设置为将包括第一信息、第二信息、所述随机序列号和所述加密序列号的用户身份认证信息返回至所述拜访位置寄存器,所述第一信息根据所述国际移动用户识别码获得,所述第二信息根据国际移动用户号码获得。
优选的是,所述第一信息为所述国际移动用户识别码的前r位,r为大于等于11且小于所述国际移动用户识别码总长度的自然数,所述第二信息为所述国际移动用户号码的后s位,s为小于所述国际移动用户号码总长度的自然数。
一种拜访位置寄存器,包括:
请求单元,设置为向用户设备发送用户身份信息请求;
第二接收单元,设置为接收所述用户设备响应所述用户身份信息请求所发送的用户身份认证信息,所述用户身份认证信息包括根据国际移动用户识别码获得的第一信息、根据国际移动用户号码获得的第二信息、随机序列号和对所述随机序列号与所述国际移动用户识别码串接形成的序列号加密得到的加密序列号;
归属位置寄存器确定单元,设置为根据所述第一信息确定归属位置寄存器。
优选的是,所述第一信息为所述国际移动用户识别码的前r位,r为大于等于11且小于所述国际移动用户识别码总长度的自然数,所述第二信息为所述国际移动用户号码的后s位,s为小于所述国际移动用户号码总长度的自然数。
一种归属位置寄存器,包括:
第三接收单元,设置为接收拜访位置寄存器发送的用户身份认证信息,所述用户身份认证信息是用户设备为响应所述拜访位置寄存器发送的用户身份信息请求而返回至所述拜访位置寄存器的,所述用户身份认证信息包括根据国际移动用户识别码获得的第一信息、根据国际移动用户号码获得的第二信息、随机序列号和对所述随机序列号与所述国际移动用户识别码串接形成的序列号加密得到的加密序列号;
查询单元,设置为在所述归属位置寄存器存储的用户信息库中查询得到与所述第一信息和所述第二信息相对应的第一国际移动用户识别码和第二密钥;
解密单元,设置为利用所述第二密钥对所述加密序列号进行解密,得到第二国际移动用户识别码;
判断单元,设置为根据所述第一国际移动用户识别码与所述第二国际移动用户识别码确定用户合法身份。
优选的是,所述第一信息为所述国际移动用户识别码的前r位,r为大于等于11且小于所述国际移动用户识别码总长度的自然数,所述第二信息为所述国际移动用户号码的后s位,s为小于所述国际移动用户号码总长度的自然数。
优选的是,所述判断单元具体设置为判断出所述第一国际移动用户识别码与所述第二国际移动用户识别码一致时,确定用户身份合法。
优选的是,所述归属位置寄存器还包括国际移动用户识别码发送单元,设置为在所述判断单元确定用户身份合法的情况下,将所述第一国际移动用户识别码发送至所述拜访位置寄存器。
与现有技术相比,上述方案中的一个或多个实施例可以具有如下优点或有益效果:
应用本发明实施例提供发送用户身份认证信息的方法,在特殊情况(对应2G及3G网络为当用户设备第一次接入到网络以及服务网络无法识别临时识别码时,对应4G LTE网络为当无法正常识别用户身份时)下,用户设备为响应服务网络发送的用户身份信息请求返回的用户身份认证信息中不包括国际移动用户识别码(IMSI),而是返回根据国际移动用户识别码码获得的第一信息、根据国际移动用户号码获得的第二信息以及对随机序列号与国际移动用户识别码串接形成的序列号进行加密得到的加密序列号,从而减小了直接明文传输国际移动用户识别码带来的风险;同时,用户设备返回的用户身份认证信息中的加密序列号,与服务网络侧的解密过程相结合,可实现对用户合法身份的再次确认,从而能防止恶意第三方获取第一信息和第二信息后冒充合法用户,加强了对用户身份的保护与认证。综上,应用本实施例所述的发送用户身份认证信息的方法能够解决背景技术中提到的在2G及3G网络中采用的临时识别码(TMSI)机制和4G LTE网络中采用的全球唯一临时UE标识(GUTI)机制中,存在用户设备以明文的形式向服务网络传输IMSI的技术缺陷。
本发明的其它特征和优点将在随后的说明书中阐述,并且部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例共同用于解释本发明,并不构成对本发明的限制。在附图中:
图1示出了国际移动用户识别码(IMSI)的组成结构;
图2示出了国际移动用户号码(MSISDN)的组成结构;
图3示出了现有技术中3GPP协议TS 33.102中的永久用户身份鉴别机制流程图;
图4示出了现有技术中3GPP协议TS 33.401中的用户身份询问机制流程图;
图5示出了本发明实施例发送用户身份认证信息的方法的流程图;
图6示出了本发明实施例确定归属位置寄存器的方法的流程图;
图7示出了本发明实施例确定用户合法身份的方法的流程图;
图8示出了本发明实施例用户身份认证方法的流程图;
图9示出了现有技术中3GPP协议TS 23.401中规定的用户初始附着方法的部分流程图;
图10示出了本发明实施例在3GPP协议TS 23.401中改进的用户初始附着方法的流程图,所述改进的用户初始附着方法采用图8中所示的用户身份认证方法;
图11示出了本发明实施例在EPS-AKA中使用图8中所示的用户身份认证方法的流程图;
图12示出了本发明实施例用户设备的结构示意图;
图13示出了本发明实施例拜访位置寄存器的结构示意图;
图14示出了本发明实施例归属位置寄存器的结构示意图。
具体实施方式
以下将结合附图及实施例来详细说明本发明的实施方式,借此对本发明如何应用技术手段来解决技术问题,并达成技术效果的实现过程能充分理解并据以实施。需要说明的是,只要不构成冲突,本发明中的各个实施例以及各实施例中的各个特征可以相互结合,所形成的技术方案均在本发明的保护范围之内。
本发明实施例所要解决的技术问题是:在2G及3G网络中采用的临时识别码(TMSI)机制和4G LTE网络中采用的全球唯一临时UE标识(GUTI)机制中,存在用户设备以明文的形式向服务网络传输IMSI的技术缺陷,即用户设备会在特殊的情况下(对应2G及3G网络为当用户设备第一次接入到网络以及服务网络无法识别临时识别码时,对应4G LTE网络为当无法正常识别用户身份时)为响应服务网络发送的用户身份信息请求而以明文的形式传输包括用户身份信息的IMSI的技术缺陷,此种技术缺陷会被恶意第三方攻击者利用,从而获取合法用户的身份信息。为解决上述技术问题,本发明实施例提供了一种发送用户身份认证信息的方法以及与该发送方法相对应的用户设备,还提供了一种确定归属位置寄存器的方法以及与该确定归属位置寄存器的方法相对应的拜访位置寄存器、一种确定用户合法身份的方法以及与该确定用户合法身份相对应的归属位置寄存器,以保证用户设备安全地将用户身份信息发送至服务网络,通过在上述特殊情况下用户设备采用部分明传的方式传输包括用户身份信息的国际移动用户识别码(IMSI)和国际移动用户号码(MSISDN),达到减少IMSI直接明文传输带来的风险,同时结合对传输信息进行加密解密,能够有效防止恶意第三方获取部分国际移动用户识别码和部分国际移动用户号码后冒充合法用户,提高了用户身份信息传输的安全性。
在具体展开说明本发明的各个具体实施例之前,首先对国际移动用户号码(MSISDN)的构成进行简要说明:
国际移动用户号码(MSISDN,简称MDN)就是我们所熟知的手机号码,是在公共电话网交换网络编号计划中,唯一能识别移动用户的号码。同国际移动用户识别码(IMSI类似),MSISDN也是一个能验证用户身份的号码,并且IMSI与MSISDN的组成结构中有部分对应关系,其采取ITU-T E.164编码方式。图2示出了国际移动用户号码(MSISDN)的组成结构,如图2所示,MSISDN由从左至右顺序排布的国家码(CC,Country Code)、国内目的码(NDC,Network Destination Code)和用户号码(SN,Subscriber Number)构成,其中中国对应的国家码为86,国内目的码包括接入号N1N2N3和归属位置寄存器(HLR)识别号H0H1H2H3,归属位置寄存器识别号表示用户归属的HLR,也表示移动业务本地网号。
为了清楚地展示本发明实施例的方案和有益效果,作为对照,以下对现有技术中3GPP协议TS 33.102中的永久用户身份鉴别机制和现有技术中3GPP协议TS 33.401中的用户身份询问机制进行展开说明:
图3示出了现有技术中3GPP协议TS 33.102中的永久用户身份鉴别机制流程图,该永久用户身份鉴别机制仅在无线通路上用户设备第一次注册到网络,或者无法通过TMSI机制检索到IMSI时使用,参照图3,所述永久用户身份鉴别机制包括以下步骤:
步骤101:拜访位置寄存器/服务GPRS支持节点(VLR/SGSN)给用户设备/全球用户识别卡(UE/USIM)发送一个标识请求消息(相当于用户身份信息请求)来请求IMSI;
步骤102:UE/USIM响应所述标识请求消息返回IMSI。
同样地,图4示出了现有技术中3GPP协议TS 33.401中的用户身份询问机制流程图,该用户身份询问机制仅在无线通路上服务网络无法通过临时标识(GUTI)来识别用户身份时使用,在此种情况下服务网络将向用户设备(UE)请求IMSI,参照图4,所述用户身份询问机制包括以下步骤:
步骤201:移动管理实体(MME)给用户设备/全球用户识别卡(UE/USIM)发送一个标识请求消息(相当于用户身份信息请求)来请求IMSI;
步骤202:UE/USIM响应所述标识请求消息返回IMSI。
通过上述对3GPP协议TS 33.102中的永久用户身份鉴别机制和3GPP协议TS 33.401中的用户身份询问机制的说明,可以看出,3GPP协议TS 33.102和3GPP协议TS 33.401存在用户设备以明文的形式向服务网络传输IMSI的技术缺陷,为解决上述技术缺陷,同时为了防止恶意第三方冒充合法用户,本发明实施例提供了一种发送用户身份认证信息的方法,图5示出了本发明实施例发送用户身份认证信息的方法的流程图,参照图5,所述发送用户身份认证信息的方法包括以下步骤:
步骤301:接收拜访位置寄存器发送的用户身份信息请求。
具体地,在特殊情况下,拜访位置寄存器(VLR,Visitor Location Register)向用户设备(UE,User Equipment)发送用户身份信息请求。这里特殊情况指的是:对应2G及3G网络,该特殊情况为当用户设备第一次接入到网络以及服务网络无法识别临时识别码时;对应4G LTE网络,该特殊情况为当无法正常识别用户身份时。
步骤302:根据所述用户身份信息请求生成随机序列号。
具体地,用户设备接收拜访位置寄存器发送的用户身份信息请求,并根据该用户身份信息请求在生成随机序列号Random。
步骤303:利用用户设备存储的第一密钥对所述随机序列号与国际移动用户识别码串接形成的序列号加密,得到加密序列号。
具体地,用户设备利用其本地存储的第一密钥对步骤302生成的随机序列号Random与IMSI串接形成的序列号进行加密处理,得到加密序列号ERandom。特别地,所述第一密钥存储在所述用户设备的存储器中,并且所述随机序列号由所述存储器生成。所述存储器为用户设备的SIM/USIM卡。
步骤304:将包括第一信息、第二信息、所述随机序列号和所述加密序列号的用户身份认证信息返回至所述拜访位置寄存器,所述第一信息根据国际移动用户识别码(IMSI)获得,所述第二信息根据国际移动用户号码(MSISDN)获得。
具体地,用户设备将用户身份认证信息返回至所述拜访位置寄存器,这里,用户身份认证信息包括第一信息,第二信息、由步骤302生成的随机序列号Random和由步骤303对随机序列号Random与IMSI串接形成的序列号进行加密得到的加密序列号ERandom,用户身份认证信息是以上四种数据串接得到,串接的顺序可以按照第一信息、第二信息、随机序列号和加密序列号的排列顺序,也可以不按照上述排列顺序进行串接。用户身份认证信息中,第一信息由国际移动用户识别码获得,第二信息由国际移动用户号码获得。
进一步地,第一信息由国际移动用户识别码中的部分码组成,并且构成的第一信息需满足:拜访位置寄存器能根据所述第一信息确定对应所述用户设备的归属位置寄存器;第二信息由国际移动用户号码中的部分码组成,可以选取国际移动用户号码中的部分连续码作为所述第二信息,也可以从国际移动用户号码中不按顺序地抽取部分码作为所述第二信息。
更进一步地,所述第一信息为所述国际移动用户识别码的前r位,r为大于等于11且小于所述国际移动用户识别码总长度的自然数,所述第二信息为所述国际移动用户号码的后s位,s为小于所述国际移动用户号码总长度的自然数,从而所述用户身份认证信息可以表示为“IMSIr||MSISDNs||Random||ERandom”,其中IMSIr表示第一信息,代表国际移动用户识别码的前r位,MSISDNs表示第二信息,代表国际移动用户号码的后s位,Random表示随机序列号,ERandom表示加密序列号。在本发明的一优选的实施例中,所述第一信息为所述国际移动用户识别码的前11位码,所述第二信息为国际移动用户号码的后4位码,在该实施例中,所述用户身份认证信息可以表示为“IMSI11||MSISDN4||Random||ERandom”。
应用本实施例所述的发送用户身份认证信息的方法,在特殊情况(对应2G及3G网络为当用户设备第一次接入到网络以及服务网络无法识别临时识别码时,对应4G LTE网络为当无法正常识别用户身份时)下,用户设备为响应服务网络发送的用户身份信息请求返回的用户身份认证信息中不包括国际移动用户识别码(IMSI),而是返回根据国际移动用户识别码码获得的第一信息、根据国际移动用户号码获得的第二信息以及对随机序列号与国际移动用户识别码串接形成的序列号进行加密得到的加密序列号,从而减小了直接明文传输国际移动用户识别码带来的风险;同时,用户设备返回的用户身份认证信息中的加密序列号,与服务网络侧的解密过程相结合,可实现对用户合法身份的再次确认,从而能防止恶意第三方获取第一信息和第二信息后冒充合法用户,加强了对用户身份的保护与认证。综上,应用本实施例所述的发送用户身份认证信息的方法能够解决背景技术中提到的在2G及3G网络中采用的临时识别码(TMSI)机制和4G LTE网络中采用的全球唯一临时UE标识(GUTI)机制中,存在用户设备以明文的形式向服务网络传输IMSI的技术缺陷。
相对应地,本发明实施例还提供了与上述发送用户身份认证信息的方法相对应的确定归属位置寄存器的方法以及确定用户合法身份的方法。
具体地,图6示出了本发明实施例确定归属位置寄存器的方法的流程图,如图6所示,所述确定归属位置寄存器的方法,包括以下步骤:
步骤401:向用户设备发送用户身份信息请求。
具体地,在特殊情况下,拜访位置寄存器(VLR,Visitor Location Register)向用户设备(UE,User Equipment)发送用户身份信息请求。这里特殊情况指的是:对应2G及3G网络,该特殊情况为当用户设备第一次接入到网络以及服务网络无法识别临时识别码时;对应4G LTE网络,该特殊情况为当无法正常识别用户身份时。
步骤402:接收所述用户设备响应所述用户身份信息请求所发送的用户身份认证信息,所述用户身份认证信息包括根据国际移动用户识别码获得的第一信息、根据国际移动用户号码获得的第二信息、随机序列号和对所述随机序列号与所述国际移动用户识别码串接形成的序列号加密得到的加密序列号。
具体地,在接收到拜访位置寄存器发送的用户身份信息请求后,用户设备将包括第一信息、第二信息、随机序列号和加密序列号的用户身份认证信息返回给所述拜访位置寄存器,在用户身份认证信息中,所述第一信息由国际移动用户识别码获得,第二信息由国际移动用户号码获得,对随机序列号与IMSI串接形成的序列号进行加密后得到所述加密序列号。
进一步地,第一信息由国际移动用户识别码中的部分码组成,并且构成的第一信息需满足:拜访位置寄存器能根据所述第一信息确定对应所述用户设备的归属位置寄存器;第二信息由国际移动用户号码中的部分码组成,可以选取国际移动用户号码中的部分连续码作为所述第二信息,也可以从国际移动用户号码中不按顺序地抽取部分码作为所述第二信息。
更进一步地,所述第一信息为所述国际移动用户识别码的前r位,r为大于等于11且小于所述国际移动用户识别码总长度的自然数,所述第二信息为所述国际移动用户号码的后s位,s为小于所述国际移动用户号码总长度的自然数,从而所述用户身份认证信息可以表示为“IMSIr||MSISDNs||Random||ERandom”,其中IMSIr表示第一信息,代表国际移动用户识别码的前r位,MSISDNs表示第二信息,代表国际移动用户号码的后s位,Random表示随机序列号,ERandom表示加密序列号。在本发明的一优选的实施例中,所述第一信息为所述国际移动用户识别码的前11位码,所述第二信息为国际移动用户号码的后4位码,在该实施例中,所述用户身份认证信息可以表示为“IMSI11||MSISDN4||Random||ERandom”。
步骤403:根据所述第一信息确定归属位置寄存器。
具体地,拜访位置寄存器在接收到用户设备返回的用户身份认证信息后,能够根据该用户身份认证信息中的第一信息确定与该用户设备相对应的归属位置寄存器。
应用本实施例所述的确定归属位置寄存器的方法,在特殊情况(对应2G及3G网络为当用户设备第一次接入到网络以及服务网络无法识别临时识别码时,对应4G LTE网络为当无法正常识别用户身份时)下,拜访位置寄存器从用户设备处接收到的,用户设备为响应该拜访位置寄存器发送的用户身份信息请求而返回的用户身份认证信息中不包括国际移动用户识别码(IMSI),而是返回根据国际移动用户识别码码获得的第一信息、根据国际移动用户号码获得的第二信息以及对随机序列号与国际移动用户识别码串接形成的序列号进行加密得到的加密序列号,从而减小了直接明文传输国际移动用户识别码带来的风险;同时,用户设备返回的用户身份认证信息中的加密序列号,与归属位置寄存器处的解密过程相结合,可实现对用户合法身份的再次确认,从而能防止恶意第三方获取第一信息和第二信息后冒充合法用户,加强了对用户身份的保护与认证。综上,应用本实施例所述的确定归属位置寄存器的方法能够解决背景技术中提到的在2G及3G网络中采用的临时识别码(TMSI)机制和4G LTE网络中采用的全球唯一临时UE标识(GUTI)机制中,存在用户设备以明文的形式向服务网络传输IMSI的技术缺陷。
图7示出了本发明实施例确定用户合法身份的方法的流程图,如图7所示,所述确定用户合法身份的方法,包括以下步骤:
步骤501:接收拜访位置寄存器发送的用户身份认证信息,所述拜访位置寄存器发送的用户身份认证信息是从用户设备处获得的,所述用户身份认证信息包括根据国际移动用户识别码获得的第一信息、根据国际移动用户号码获得的第二信息、随机序列号和对所述随机序列号与国际移动用户识别码串接形成的序列号加密得到的加密序列号。
具体地,与用户设备相对应的归属位置寄存器接收拜访位置寄存器发送的用户身份认证信息,这里,需要说明的是,所述用户身份认证信息是用户设备为响应拜访位置寄存器发送的用户身份信息请求而返回至拜访位置寄存器的。该用户身份认证信息包括第一信息、第二信息、随机序列号和加密序列号,其中第一信息由国际移动用户识别码获得,第二信息由国际移动用户号码获得,对随机序列号与IMSI串接形成的序列号进行加密后得到所述加密序列号。
进一步地,第一信息由国际移动用户识别码中的部分码组成,并且构成的第一信息需满足:拜访位置寄存器能根据所述第一信息确定对应所述用户设备的归属位置寄存器;第二信息由国际移动用户号码中的部分码组成,可以选取国际移动用户号码中的部分连续码作为所述第二信息,也可以从国际移动用户号码中不按顺序地抽取部分码作为所述第二信息。
更进一步地,所述第一信息为所述国际移动用户识别码的前r位,r为大于等于11且小于所述国际移动用户识别码总长度的自然数,所述第二信息为所述国际移动用户号码的后s位,s为小于所述国际移动用户号码总长度的自然数,从而所述用户身份认证信息可以表示为“IMSIr||MSISDNs||Random||ERandom”,其中IMSIr表示第一信息,代表国际移动用户识别码的前r位,MSISDNs表示第二信息,代表国际移动用户号码的后s位,Random表示随机序列号,ERandom表示加密序列号。在本发明的一优选的实施例中,所述第一信息为所述国际移动用户识别码的前11位码,所述第二信息为国际移动用户号码的后4位码,在该实施例中,所述用户身份认证信息可以表示为“IMSI11||MSISDN4||Random||ERandom”。
步骤502:在归属位置寄存器存储的用户信息库中查询得到与所述第一信息和所述第二信息相对应的第一国际移动用户识别码和第二密钥。
具体地,在归属位置寄存器中事先存储有用户信息库,在用户信息库中存储有第一信息和第二信息、以及与该第一信息和第二信息相对应的第一国际移动用户识别码和用于解密用的第二密钥。归属位置寄存器在接收所述拜访位置寄存器发送的用户身份认证信息后,可以根据所述用户身份认证信息中的第一信息和第二信息,在其本地存储的用户信息表中查询得到与该第一信息和第二信息相对应的第一国际移动用户识别码和第二密钥,其中第一国际移动用户识别码用于后续的步骤504中进行用户合法身份的判断,还用于后续的步骤505中在确定用户身份合法后,将该第一国际移动用户识别码发送至拜访位置寄存器,而第二密钥用于后续的步骤503中对所述用户身份认证信息中的加密序列号进行解密。特别地,上述查询的方法优选为查表的方法,即在归属位置寄存器存储的用户信息库中查表得到与所述第一信息和所述第二信息相对应的第一国际移动用户识别码和第二密钥。
步骤503:利用所述第二密钥对所述加密序列号进行解密,得到第二国际移动用户识别码。
具体地,归属位置寄存器在获取第二密钥后对用户身份认证信息中的加密序列号进行解密,得到串接在一起的解密后序列号和第二国际移动用户识别码,其中解密后序列号对应加密前的随机序列号,而第二国际移动用户识别码对应加密前的国际移动用户识别码。在本发明的一优选的实施例中,所述第二密钥与第一密钥相同,即两者构成了对称密钥,进行加密的方法与进行解密的方法相对应,即上述加密方法和解密方法互为逆过程,从而对应本优选的实施例,步骤504中实际就是通过判断查询所得的第一国际移动用户识别码与解密所得的第二国际移动用户识别码是否相同,来确定用户合法身份的。所述加密和解密方法可选择本领域技术人员常规采用的加密算法和解密算法,故在此不进行展开说明。
步骤504:根据所述第一国际移动用户识别码与所述第二国际移动用户识别码确定用户合法身份。
具体地,在本发明一优选的实施例中,所述确定用户合法身份的方法为:归属位置寄存器判断所述第一国际移动用户识别码与所述第二国际移动用户识别码是否一致;如果是,则确定用户身份合法,否则,确定用户身份不合法。
进一步地,对应步骤503中所述的优选的实施例,所述确定用户合法身份的方法为:归属位置寄存器判断所述第一国际移动用户识别码与所述第二国际移动用户识别码是否相同;如果是,则确定用户身份合法,否则,确定用户身份不合法。
更进一步地,所述确定用户合法身份的方法还包括:在确定用户身份合法后,归属位置寄存器将根据步骤502获取到的第一国际移动用户识别码发送给拜访位置寄存器,从而使得拜访位置寄存器获知用户身份信息,以进行后续鉴权认证流程。另外,所述确定用户合法身份的方法还包括:如果确定用户身份不合法,可能是恶意第三方获取用户设备或者拜访位置寄存器向外发送的用户身份认证信息后非法接入网络,也可能是归属位置寄存器接收到的用户身份认证信息中随机序列号和加密序列号部分信息(即Random||ERandom)不完整,此时需要重新获取用户身份,即归属位置寄存器需要通知拜访位置寄存器重新向用户设备发送用户身份信息请求。
应用本实施例所述的确定用户合法身份的方法,在特殊情况(对应2G及3G网络为当用户设备第一次接入到网络以及服务网络无法识别临时识别码时,对应4G LTE网络为当无法正常识别用户身份时)下,归属位置寄存器从拜访位置寄存器处接收到的,用户设备为响应该拜访位置寄存器发送的用户身份信息请求而返回的用户身份认证信息中不包括国际移动用户识别码(IMSI),而是返回根据国际移动用户识别码码获得的第一信息、根据国际移动用户号码获得的第二信息以及对随机序列号与国际移动用户识别码串接形成的序列号进行加密得到的加密序列号,从而减小了直接明文传输国际移动用户识别码带来的风险;同时,归属位置寄存器根据从拜访位置寄存器处接收到的用户身份认证信息中的第一信息和第二信息,在其存储的用户信息库中查询第一国际移动用户识别码和第二密钥,并利用第二密钥对加密序列号进行解密得到第二国际移动用户识别码,然后根据第一国际移动用户识别码和第二国际移动用户识别码确定用户身份是否合法,可实现对用户合法身份的再次确认,从而能防止恶意第三方获取第一信息和第二信息后冒充合法用户,加强了对用户身份的保护与认证。综上,应用本实施例所述的确定用户合法身份的方法能够解决背景技术中提到的在2G及3G网络中采用的临时识别码(TMSI)机制和4G LTE网络中采用的全球唯一临时UE标识(GUTI)机制中,存在用户设备以明文的形式向服务网络传输IMSI的技术缺陷。
以上三种方法:发送用户身份认证信息的方法、确定归属位置寄存器的方法和确定用户合法身份的方法,是分别站在用户设备、拜访位置寄存器和归属位置寄存器描述本发明的技术方案的,为了进一步地使具体实施者清楚地了解本发明的技术方案,下面站在全局的角度上展开说明涵盖上述三种方法的用户身份认证方法,图8示出了本发明实施例用户身份认证方法的流程图,参照图8,所述用户身份认证方法包括:
步骤601:拜访位置寄存器向用户设备发送用户身份信息请求;
步骤602:所述用户设备根据所述用户身份信息请求,生成随机序列号并利用该用户设备存储的第一密钥对所述随机序列号与国际移动用户识别码串接形成的序列号加密,得到加密序列号;所述用户设备将包括第一信息、第二信息、所述随机序列号和所述加密序列号的用户身份认证信息返回至所述拜访位置寄存器,所述第一信息根据国际移动用户识别码获得,所述第二信息根据国际移动用户号码获得;
步骤603:所述拜访位置寄存器根据接收到的所述用户身份认证信息中的第一信息,确定归属位置寄存器;
步骤604:所述拜访位置寄存器将所述用户身份认证信息发送至所述归属位置寄存器;
步骤605:(1)所述归属位置寄存器接收所述用户身份认证信息,并在该归属位置寄存器存储的用户信息库中查询得到与所述第一信息和所述第二信息相对应的第一国际移动用户识别码和第二密钥;(2)所述归属位置寄存器利用所述第二密钥对所述用户身份认证信息中的加密序列号进行解密,得到第二国际移动用户识别码;(3)所述归属位置寄存器并根据所述第一国际移动用户识别码与所述第二国际移动用户识别码确定用户合法身份。
步骤606:如果确定用户身份合法,则归属位置寄存器将第一国际移动用户识别码返回至拜访位置寄存器;
步骤607:如果确定用户身份不合法,则归属位置寄存器通知拜访位置寄存器重新向用户设备发送用户身份信息请求,以重新获取用户身份信息。
本发明实施例用户身份认证方法具有以下有益效果:该方法基于现有移动通信系统网络架构及资源,易于应用于实际网络中;实现对用户身份信息的加密保护,同时实现对用户身份的两次认证,避免了恶意第三方冒充用户接入网络;基于现有用户身份认证机制,同时也克服了背景技术中所述的技术缺陷。
以下详细阐述上述用户身份认证方法的两个应用实例,分别为在3GPP协议TS 23.401中改进的用户初始附着方法、以及在EPS-AKA(Evolved Packet System-Authentication andKey Agreement,演进的分组系统-认证与密钥协商)中使用图8中所示的用户身份认证方法。
为与现有技术中3GPP协议TS 23.401中规定的用户初始附着方法进行参照,首先对现有技术中3GPP协议TS 23.401中规定的用户初始附着方法进行简要说明,图9示出了现有技术中3GPP协议TS 23.401中规定的用户初始附着方法的部分流程图,该用户初始附着方法包括以下步骤:
步骤701.附着请求:用户设备(UE)启动附着程序,向演进的节点B(eNode B)发送附着请求消息、网络选择标识及原全球唯一MME标识符(GUMMEI)的无线资源控制(RRC,Radio Resource Control)参数;
步骤702.附着请求:eNode B从带有原GUMMEI的RRC参数和网络选择标识中获取移动管理实体(MME,Mobility Management Entity)。如果这个MME与eNode B不相关或者原GUMMEI不可用,那么eNode B通过“MME选择功能”去选择一个MME。eNodeB转发附着请求消息给新MME。
步骤703.核实请求:如果UE用全球唯一临时UE标识(GUTI)识别自己并且分离后MME发生改变,新MME利用接收自UE的GUTI获取原MME/SGSN(移动管理实体/服务GPRS支持节点,Mobility Management Entity/Serving GPRS Support Node)地址,并且向原MME/SGSN发送一个标识请求消息来请求IMSI。如果请求被发送到一个原MME,那么这个MME首先通过非接入层/消息鉴权码(NAS/MAC,Non-access stratum/MessageAuthentication code)核实这个请求消息,然后通过标识响应返回IMSI和MM上下文。如果请求被发送到一个原SGSN,那么这个SGSN首先通过P-TMSI(Packet-Temporary MobileSubscriber Identity)签名核实这个请求消息,然后通过标识响应返回MM上下文。
步骤704.标识请求:如果UE不知道原MME/SGSN和新MME,那么新MME给UE发送一个标识请求消息(相当于用户身份信息请求)来请求IMSI。标识响应:UE通过标识响应消息返回IMSI。
步骤705a.鉴权/安全:如果网络中没有UE上下文存在,或者附着请求(在步骤701中发送)无完整性保护,那么系统将发起强制性鉴权与安全性检查。如果NAS安全算法会改变,NAS安全设置在这一步执行。所有NAS消息需要通过NAS安全算法(完整性和加密)得到保护。NAS安全算法由MME标识。
步骤705b.鉴权请求/响应:ME标识(IMEISV国际移动台标识软件版本)从UE中检索,且应该加密传输。为了使信令延时最小化,ME标识检索可与步骤705a中的NAS安全设置相结合。ME身份检查:MME会向EIR(设备标识寄存器)发送ME标识检查请求(包括ME标识、IMSI)。设备识别寄存器(EIR)应该通过ME标识检查ACK响应。基于这一结果,MME决定是否继续这一附着程序或者拒绝UE附着。
上述用户初始附着流程的步骤704中在请求IMSI时,UE将IMSI信息明文传输给MME,这可能会导致遭受恶意第三方的非法窃听,从而导致用户身份信息泄漏。可将本发明提出的用户身份认证方法应用于用户初始附着流程中,从而保护用户身份信息。详细地,图10示出了本发明实施例在3GPP协议TS 23.401中改进的用户初始附着方法的流程图,所述改进的用户初始附着方法采用图8中所示的用户身份认证方法。改进部分涉及步骤704,具体包括如下步骤:
步骤704a:如果UE不知道原MME/SGSN和新MME,那么新MME给UE发送一个标识请求消息(相当于用户身份信息请求)来请求IMSI。
步骤704b:UE在收到请求消息后,由USIM产生一个随机序列号Random,利用USIM中存储的第一密钥加密Random与IMSI串接形成的序列号,得到加密序列号ERandom,并将“IMSIr||MSISDNs||Random||ERandom”消息发送到新MME。
步骤704c.新MME根据收到的信息中的IMSIr可获知接入用户的归属位置寄存器信息,并将接收到的“IMSIr||MSISDNs||Random||ERandom”信息转发到归属位置寄存器。
步骤704d.归属位置寄存器根据接收到的信息可获知并验证接入用户的身份信息,具体操作如下:
1)根据IMSIr与MSISDNs信息,归属位置寄存器可在用户信息库中检索到相应的用户身份信息——第一国际移动用户识别码及第二密钥信息。
2)利用检索到的第二密钥解密加密序列号,得到串接在一起的解密后序列号和第二国际移动用户识别码。
3)验证第一国际移动用户识别码与第二国际移动用户识别码是否一致。如果一致,说明用户身份是合法的;如果不一致,可能是恶意第三方获取步骤702中身份信息后非法接入网络,也可能是Random||ERandom部分信息不完整,则需要重新获取用户身份。当确认用户身份信息合法之后,归属位置寄存器将向MME/VLR发送第一国际移动用户识别码,以进行后续鉴权认证流程。
通过对比改进前后的用户初始附着流程,由于用户设备在特殊情况下未使用明文传输IMSI,而是通过传输用户身份认证信息来进行用户身份合法性验证,实现对用户身份信息的加密保护,同时实现对用户身份的两次认证,避免了恶意第三方冒充用户接入网络。
图11示出了本发明实施例在EPS(演进的分组系统)-AKA(认证与密钥协商方法)中使用图8中所示的用户身份认证方法的流程图,如图11所示,所述认证与密钥协商方法包括网络认证方法和用户认证方法,所述认证与密钥协商方法包括以下步骤:
下面结合图10介绍在EPS(演进的分组系统)-AKA(认证与密钥协商)中采用改进的用户身份保密的方法的具体实施方式。因为现有EPS-AKA过程中用户向MME发起服务请求时在无线链路上会明文传输IMSI信息。具体实施方式包括以下步骤:
步骤801:服务请求:UE向MME发送服务请求,请求接入服务网络。
步骤802:用户身份请求:MME在收到UE发送的服务请求后,向UE发送用户身份请求消息。
步骤803:用户身份响应:UE在收到请求消息后,由USIM产生一个随机序列号Random,利用USIM中存储的第一密钥加密Random与IMSI串接形成的序列号,得到加密序列号ERandom,并将“IMSIr||MSISDNs||Random||ERandom”消息的响应消息发送到MME。
步骤804:认证数据请求:MME根据收到的信息中的IMSIr可获知接入用户的归属位置寄存器信息,MME在将接收到的“IMSIr||MSISDNs||Random||ERandom”信息转发到归属位置寄存器的同时,向所在的服务网络发送SN id(服务网络号),对该用户身份和所在网络进行认证,并请求认证数据。
步骤805:认证数据响应:归属位置寄存器根据接收到的信息可获知并验证接入用户的身份信息,详细步骤类似于步骤704d。根据SN id对用户所在的服务网络进行验证。若验证通过,则生成SQN(序列号)和RAND(随机数),并与长期密钥K共同作为密钥生成函数的参数产生包含KASME的AV(Authentication Vector,鉴权向量),以单个或分组的形式发送给MME;
存储认证向量并按序选择认证向量:MME收到AV或AV组之后,按序存储AV或AV组。
步骤806:用户认证请求:选择一个序号最小的AV的RAND和AUTN(认证令牌)发送给UE,请求UE产生认证数据。
UE收到MME发来的认证请求后,首先验证AUTN中AMF的分离位;然后计算XMAC,并与AUTN中的MAC相比较。若验证通过,步骤807:用户认证响应:则UE将计算RES和根密钥KASME,并将RES发送给MME。
步骤808:MME收到UE发送的RES后,将RES与AV中的XRES进行比较,若两者相同则整个AKA过程成功。随后的本地认证过程中,AS和NAS将根据相应的密钥产生算法和相应的KASME生成加密密钥和完整性保护密钥。
本发明实施例还提供了分别与上述发送用户身份认证信息的方法、确定归属位置寄存器的方法和确定用户合法身份的方法一一对应的设备,分别为:用户设备、拜访位置寄存器和归属位置寄存器。各个设备的结构将在下面结合图12至图14进行说明。
图12示出了本发明实施例用户设备的结构示意图,参照图12,所述用户设备包括:
第一接收单元901,设置为接收拜访位置寄存器发送的用户身份信息请求;
随机序列号生成单元902,设置为根据所述用户身份信息请求生成随机序列号;
加密单元903,设置为利用所述用户设备存储的第一密钥对所述随机序列号与国际移动用户识别码串接形成的序列号加密,得到加密序列号;
信息返回单元904,设置为将包括第一信息、第二信息、所述随机序列号和所述加密序列号的用户身份认证信息返回至所述拜访位置寄存器,所述第一信息根据所述国际移动用户识别码获得,所述第二信息根据国际移动用户号码获得。
进一步地,所述第一信息为所述国际移动用户识别码的前r位,r为大于等于11且小于所述国际移动用户识别码总长度的自然数,所述第二信息为所述国际移动用户号码的后s位,s为小于所述国际移动用户号码总长度的自然数。
图13示出了本发明实施例拜访位置寄存器的结构示意图,参照图13,所述拜访位置寄存器包括:
请求单元1001,设置为向用户设备发送用户身份信息请求;
第二接收单元1002,设置为接收所述用户设备响应所述用户身份信息请求所发送的用户身份认证信息,所述用户身份认证信息包括根据国际移动用户识别码获得的第一信息、根据国际移动用户号码获得的第二信息、随机序列号和对所述随机序列号与所述国际移动用户识别码串接形成的序列号加密得到的加密序列号;
归属位置寄存器确定单元1003,设置为根据所述第一信息确定归属位置寄存器。
进一步地,所述第一信息为所述国际移动用户识别码的前r位,r为大于等于11且小于所述国际移动用户识别码总长度的自然数,所述第二信息为所述国际移动用户号码的后s位,s为小于所述国际移动用户号码总长度的自然数。
图14示出了本发明实施例归属位置寄存器的结构示意图,参照图14,所述归属位置寄存器包括:
第三接收单元1101,设置为接收拜访位置寄存器发送的用户身份认证信息,所述拜访位置寄存器发送的用户身份认证信息是从用户设备处获得的,所述用户身份认证信息包括根据国际移动用户识别码获得的第一信息、根据国际移动用户号码获得的第二信息、随机序列号和对所述随机序列号与所述国际移动用户识别码串接形成的序列号加密得到的加密序列号;
查询单元1102,设置为在所述归属位置寄存器存储的用户信息库中查询得到与所述第一信息和所述第二信息相对应的第一国际移动用户识别码和第二密钥;
解密单元1103,设置为利用所述第二密钥对所述加密序列号进行解密,得到第二国际移动用户识别码;
判断单元1104,设置为根据所述第一国际移动用户识别码与所述第二国际移动用户识别码确定用户合法身份。
进一步地,所述第一信息为所述国际移动用户识别码的前r位,r为大于等于11且小于所述国际移动用户识别码总长度的自然数,所述第二信息为所述国际移动用户号码的后s位,s为小于所述国际移动用户号码总长度的自然数。
进一步地,所述判断单元1104具体设置为判断出所述第一国际移动用户识别码与所述第二国际移动用户识别码一致时,确定用户身份合法。
特别地,所述归属位置寄存器还包括国际移动用户识别码发送单元,设置为在所述判断单元1104确定用户身份合法的情况下,将所述第一国际移动用户识别码发送至所述拜访位置寄存器。
上述各单元的具体处理过程可参照前面本发明实施例的方法中的描述,在此不再赘述。
综上所述,应用本发明实施例提供的用户设备、拜访位置寄存器或归属位置寄存器,在特殊情况(对应2G及3G网络为当用户设备第一次接入到网络以及服务网络无法识别临时识别码时,对应4G LTE网络为当无法正常识别用户身份时)下,用户设备为响应服务网络发送的用户身份信息请求返回的用户身份认证信息中不包括国际移动用户识别码(IMSI),而是返回根据国际移动用户识别码码获得的第一信息、根据国际移动用户号码获得的第二信息以及对随机序列号与国际移动用户识别码串接形成的序列号进行加密得到的加密序列号,从而减小了直接明文传输国际移动用户识别码带来的风险;同时,用户设备返回的用户身份认证信息中的加密序列号,与服务网络侧的解密过程相结合,可实现对用户合法身份的再次确认,从而能防止恶意第三方获取第一信息和第二信息后冒充合法用户,加强了对用户身份的保护与认证。综上,应用本实施例所述的用户设备、拜访位置寄存器或归属位置寄存器能够解决背景技术中提到的在2G及3G网络中采用的临时识别码(TMSI)机制和4G LTE网络中采用的全球唯一临时UE标识(GUTI)机制中,存在用户设备以明文的形式向服务网络传输IMSI的技术缺陷。
本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
虽然本发明所公开的实施方式如上,但所述的内容只是为了便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属技术领域内的技术人员,在不脱离本发明所公开的精神和范围的前提下,可以在实施的形式上及细节上作任何的修改与变化,但本发明的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
Claims (16)
1.一种发送用户身份认证信息的方法,其特征在于,包括:
接收拜访位置寄存器发送的用户身份信息请求;
根据所述用户身份信息请求生成随机序列号;
利用用户设备存储的第一密钥对所述随机序列号与国际移动用户识别码串接形成的序列号加密,得到加密序列号;
将包括第一信息、第二信息、所述随机序列号和所述加密序列号的用户身份认证信息返回至所述拜访位置寄存器,所述第一信息根据所述国际移动用户识别码获得,所述第二信息根据国际移动用户号码获得。
2.根据权利要求1所述的方法,其特征在于,所述第一信息为所述国际移动用户识别码的前r位,r为大于等于11且小于所述国际移动用户识别码总长度的自然数,所述第二信息为所述国际移动用户号码的后s位,s为小于所述国际移动用户号码总长度的自然数。
3.一种确定归属位置寄存器的方法,其特征在于,包括:
向用户设备发送用户身份信息请求;
接收所述用户设备响应所述用户身份信息请求所发送的用户身份认证信息,所述用户身份认证信息包括根据国际移动用户识别码获得的第一信息、根据国际移动用户号码获得的第二信息、随机序列号和对所述随机序列号与所述国际移动用户识别码串接形成的序列号加密得到的加密序列号;
根据所述第一信息确定归属位置寄存器。
4.根据权利要求3所述的方法,其特征在于,所述第一信息为所述国际移动用户识别码的前r位,r为大于等于11且小于所述国际移动用户识别码总长度的自然数,所述第二信息为所述国际移动用户号码的后s位,s为小于所述国际移动用户号码总长度的自然数。
5.一种确定用户合法身份的方法,其特征在于,包括:
接收拜访位置寄存器发送的用户身份认证信息,所述用户身份认证信息是用户设备为响应所述拜访位置寄存器发送的用户身份信息请求而返回至所述拜访位置寄存器的,所述用户身份认证信息包括根据国际移动用户识别码获得的第一信息、根据国际移动用户号码获得的第二信息、随机序列号和对所述随机序列号与所述国际移动用户识别码串接形成的序列号加密得到的加密序列号;
在归属位置寄存器存储的用户信息库中查询得到与所述第一信息和所述第二信息相对应的第一国际移动用户识别码和第二密钥;
利用所述第二密钥对所述加密序列号进行解密,得到第二国际移动用户识别码;
根据所述第一国际移动用户识别码与所述第二国际移动用户识别码确定用户合法身份。
6.根据权利要求5所述的方法,其特征在于,所述第一信息为所述国际移动用户识别码的前r位,r为大于等于11且小于所述国际移动用户识别码总长度的自然数,所述第二信息为所述国际移动用户号码的后s位,s为小于所述国际移动用户号码总长度的自然数。
7.根据权利要求5所述的方法,其特征在于,所述根据所述第一国际移动用户识别码与所述第二国际移动用户识别码确定用户合法身份包括:
判断所述第一国际移动用户识别码与所述第二国际移动用户识别码是否一致;
如果是,则确定用户身份合法。
8.根据权利要求5至7任一项所述的方法,其特征在于,该方法还包括:在确定用户身份合法后,将所述第一国际移动用户识别码发送至所述拜访位置寄存器。
9.一种用户设备,其特征在于,包括:
第一接收单元,设置为接收拜访位置寄存器发送的用户身份信息请求;
随机序列号生成单元,设置为根据所述用户身份信息请求生成随机序列号;
加密单元,设置为利用所述用户设备存储的第一密钥对所述随机序列号与国际移动用户识别码串接形成的序列号加密,得到加密序列号;
信息返回单元,设置为将包括第一信息、第二信息、所述随机序列号和所述加密序列号的用户身份认证信息返回至所述拜访位置寄存器,所述第一信息根据所述国际移动用户识别码获得,所述第二信息根据国际移动用户号码获得。
10.根据权利要求9所述的用户设备,其特征在于,所述第一信息为所述国际移动用户识别码的前r位,r为大于等于11且小于所述国际移动用户识别码总长度的自然数,所述第二信息为所述国际移动用户号码的后s位,s为小于所述国际移动用户号码总长度的自然数。
11.一种拜访位置寄存器,其特征在于,包括:
请求单元,设置为向用户设备发送用户身份信息请求;
第二接收单元,设置为接收所述用户设备响应所述用户身份信息请求所发送的用户身份认证信息,所述用户身份认证信息包括根据国际移动用户识别码获得的第一信息、根据国际移动用户号码获得的第二信息、随机序列号和对所述随机序列号与所述国际移动用户识别码串接形成的序列号加密得到的加密序列号;
归属位置寄存器确定单元,设置为根据所述第一信息确定归属位置寄存器。
12.根据权利要求11所述的拜访位置寄存器,其特征在于,所述第一信息为所述国际移动用户识别码的前r位,r为大于等于11且小于所述国际移动用户识别码总长度的自然数,所述第二信息为所述国际移动用户号码的后s位,s为小于所述国际移动用户号码总长度的自然数。
13.一种归属位置寄存器,其特征在于,包括:
第三接收单元,设置为接收拜访位置寄存器发送的用户身份认证信息,所述用户身份认证信息是用户设备为响应所述拜访位置寄存器发送的用户身份信息请求而返回至所述拜访位置寄存器的,所述用户身份认证信息包括根据国际移动用户识别码获得的第一信息、根据国际移动用户号码获得的第二信息、随机序列号和对所述随机序列号与所述国际移动用户识别码串接形成的序列号加密得到的加密序列号;
查询单元,设置为在所述归属位置寄存器存储的用户信息库中查询得到与所述第一信息和所述第二信息相对应的第一国际移动用户识别码和第二密钥;
解密单元,设置为利用所述第二密钥对所述加密序列号进行解密,得到第二国际移动用户识别码;
判断单元,设置为根据所述第一国际移动用户识别码与所述第二国际移动用户识别码确定用户合法身份。
14.根据权利要求13所述的归属位置寄存器,其特征在于,所述第一信息为所述国际移动用户识别码的前r位,r为大于等于11且小于所述国际移动用户识别码总长度的自然数,所述第二信息为所述国际移动用户号码的后s位,s为小于所述国际移动用户号码总长度的自然数。
15.根据权利要求13所述的归属位置寄存器,其特征在于,所述判断单元具体设置为判断出所述第一国际移动用户识别码与所述第二国际移动用户识别码一致时,确定用户身份合法。
16.根据权利要求13至15任一项所述的归属位置寄存器,其特征在于,所述归属位置寄存器还包括国际移动用户识别码发送单元,设置为在所述判断单元确定用户身份合法的情况下,将所述第一国际移动用户识别码发送至所述拜访位置寄存器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410488473.0A CN104219650B (zh) | 2014-09-22 | 2014-09-22 | 发送用户身份认证信息的方法及用户设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410488473.0A CN104219650B (zh) | 2014-09-22 | 2014-09-22 | 发送用户身份认证信息的方法及用户设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104219650A true CN104219650A (zh) | 2014-12-17 |
| CN104219650B CN104219650B (zh) | 2017-12-12 |
Family
ID=52100714
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410488473.0A Expired - Fee Related CN104219650B (zh) | 2014-09-22 | 2014-09-22 | 发送用户身份认证信息的方法及用户设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104219650B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104540136A (zh) * | 2015-01-30 | 2015-04-22 | 中国联合网络通信集团有限公司 | 一种登录无线局域网的方法和系统 |
| CN104581710A (zh) * | 2014-12-18 | 2015-04-29 | 中国科学院信息工程研究所 | 一种在空口上安全传输lte用户imsi的方法和系统 |
| CN104852902A (zh) * | 2015-04-10 | 2015-08-19 | 中国民航大学 | 基于改进Diameter/EAP-TLS协议的民航SWIM用户认证方法 |
| CN106454842A (zh) * | 2016-10-28 | 2017-02-22 | 努比亚技术有限公司 | 一种防止伪基站骚扰的方法及终端 |
| WO2018053804A1 (zh) * | 2016-09-23 | 2018-03-29 | 华为技术有限公司 | 一种加密保护方法及相关设备 |
| CN109788480A (zh) * | 2017-11-14 | 2019-05-21 | 华为技术有限公司 | 一种通信方法及装置 |
| CN113994739A (zh) * | 2019-04-26 | 2022-01-28 | 北欧半导体公司 | 用于使用选择的访问技术向长期演进(lte)蜂窝网络登记设备的设备和方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011249880A (ja) * | 2010-05-21 | 2011-12-08 | Ntt Docomo Inc | サービスを提供するシステム、制御装置及び方法 |
| JP4855371B2 (ja) * | 2007-10-19 | 2012-01-18 | ソフトバンクモバイル株式会社 | プリペイド携帯電話システム及びプリペイド携帯電話システムの制御方法 |
| CN102461231A (zh) * | 2009-06-16 | 2012-05-16 | 联邦印刷有限公司 | 在无线移动通讯网络注册无线移动通讯设备的程序 |
-
2014
- 2014-09-22 CN CN201410488473.0A patent/CN104219650B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4855371B2 (ja) * | 2007-10-19 | 2012-01-18 | ソフトバンクモバイル株式会社 | プリペイド携帯電話システム及びプリペイド携帯電話システムの制御方法 |
| CN102461231A (zh) * | 2009-06-16 | 2012-05-16 | 联邦印刷有限公司 | 在无线移动通讯网络注册无线移动通讯设备的程序 |
| JP2011249880A (ja) * | 2010-05-21 | 2011-12-08 | Ntt Docomo Inc | サービスを提供するシステム、制御装置及び方法 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104581710A (zh) * | 2014-12-18 | 2015-04-29 | 中国科学院信息工程研究所 | 一种在空口上安全传输lte用户imsi的方法和系统 |
| CN104581710B (zh) * | 2014-12-18 | 2018-11-23 | 中国科学院信息工程研究所 | 一种在空口上安全传输lte用户imsi的方法和系统 |
| CN104540136A (zh) * | 2015-01-30 | 2015-04-22 | 中国联合网络通信集团有限公司 | 一种登录无线局域网的方法和系统 |
| CN104540136B (zh) * | 2015-01-30 | 2018-09-11 | 中国联合网络通信集团有限公司 | 一种登录无线局域网的方法和系统 |
| CN104852902A (zh) * | 2015-04-10 | 2015-08-19 | 中国民航大学 | 基于改进Diameter/EAP-TLS协议的民航SWIM用户认证方法 |
| WO2018053804A1 (zh) * | 2016-09-23 | 2018-03-29 | 华为技术有限公司 | 一种加密保护方法及相关设备 |
| CN106454842A (zh) * | 2016-10-28 | 2017-02-22 | 努比亚技术有限公司 | 一种防止伪基站骚扰的方法及终端 |
| CN109788480A (zh) * | 2017-11-14 | 2019-05-21 | 华为技术有限公司 | 一种通信方法及装置 |
| WO2019095990A1 (zh) * | 2017-11-14 | 2019-05-23 | 华为技术有限公司 | 一种通信方法及装置 |
| CN109788480B (zh) * | 2017-11-14 | 2021-01-05 | 华为技术有限公司 | 一种通信方法及装置 |
| US11082843B2 (en) | 2017-11-14 | 2021-08-03 | Huawei Technologies Co., Ltd. | Communication method and communications apparatus |
| CN113994739A (zh) * | 2019-04-26 | 2022-01-28 | 北欧半导体公司 | 用于使用选择的访问技术向长期演进(lte)蜂窝网络登记设备的设备和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104219650B (zh) | 2017-12-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100625503B1 (ko) | 무선 통신 시스템에서 비밀 공유 데이터를 갱신하는 방법 | |
| Van Den Broek et al. | Defeating IMSI catchers | |
| US7933591B2 (en) | Security in a mobile communications system | |
| EP0998095B1 (en) | Method for two party authentication and key agreement | |
| RU2663972C1 (ru) | Обеспечение безопасности при связи между устройством связи и сетевым устройством | |
| EP2033479B1 (en) | Method and apparatus for security protection of an original user identity in an initial signaling message | |
| US8792641B2 (en) | Secure wireless communication | |
| CN102594555B (zh) | 数据的安全保护方法、网络侧实体和通信终端 | |
| CN104219650A (zh) | 发送用户身份认证信息的方法及用户设备 | |
| CN107431916A (zh) | 无线网络中的身份私密性 | |
| US20070192602A1 (en) | Clone resistant mutual authentication in a radio communication network | |
| Liu et al. | Toward a secure access to 5G network | |
| CN111147421B (zh) | 一种基于通用引导架构gba的认证方法及相关设备 | |
| PT1432271E (pt) | Verificação de integridade num sistema de comunicação | |
| US20220116777A1 (en) | A Method for Authentication a Secure Element Cooperating with a Mobile Equipment within a Terminal in a Telecommunication Network | |
| CN108683510A (zh) | 一种加密传输的用户身份更新方法 | |
| CA2371365C (en) | Integrity protection method for radio network signaling | |
| CN108809637A (zh) | 基于混合密码的lte-r车-地通信非接入层认证密钥协商方法 | |
| EP3525503A1 (en) | Registering or authenticating user equipment to a visited public land mobile network | |
| Mobarhan et al. | Evaluation of security attacks on UMTS authentication mechanism | |
| CN105471845A (zh) | 防止中间人攻击的通信方法及系统 | |
| EP1683387A1 (en) | Method and apparatus for authentication in wireless communications | |
| Muthana et al. | Analysis of user identity privacy in LTE and proposed solution | |
| Sher et al. | Network access security management (NASM) model for next generation mobile telecommunication networks | |
| Liu et al. | Security enhancements to subscriber privacy protection scheme in 5G systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20171212 Termination date: 20180922 |