CN109155775A - 一种移动设备、网络节点及其方法 - Google Patents

Abstract

本发明涉及一种移动设备100和网络节点500。所述移动设备(100)包括：收发器(102)，用于接收至少一个编码的临时标识(EP、EP')，并获取机密性密钥(CK)和完整性密钥(IK)；处理器(104)，用于基于所述机密性密钥(CK)和所述完整性密钥(IK)导出所述移动设备(100)的隐私性密钥(Kp)，并基于所述隐私性密钥(Kp)获得至少一个临时标识(P、P')。所述网络节点(500)包括：收发器(502)，用于接收移动设备(100)的请求消息；处理器(504)，用于导出所述移动设备(100)的隐私性密钥(Kp)，并基于所述隐私性密钥(Kp)对至少一个临时标识(P、P')进行加密，其中，所述收发器(502)用于发送所述移动设备(100)的加密的临时标识(P、P')。此外，本发明还涉及相应方法、包含这种移动设备的用户设备、计算机程序，以及计算机程序产品。

Description

一种移动设备、网络节点及其方法

技术领域

本发明涉及一种移动设备和网络节点。此外，本发明还涉及相应方法、包含这种移动设备的用户设备、计算机程序，以及计算机程序产品。

背景技术

本技术领域涉及无线通信系统如蜂窝网络中的移动用户的身份和位置隐私。

移动装置接入的网络称为“服务网络”，而移动用户签约的网络称为“归属网络”。当移动用户漫游到移动用户归属网络的覆盖范围之外时，所述服务网络称为“拜访网络”。除此之外，例如，在非漫游情况下所述服务网络与所述归属网络相同。用户设备(UserEquipment，UE)是3GPP用语中移动用户的移动装置。所述UE通常包括移动设备(MobileEquipment，ME)，即移动装置，以及通用集成电路卡(Universal Integrated CircuitCard，UICC)，即具有移动用户签约信息的智能IC卡。

所述ME是终端设备，通常是智能手机，包含无线接口功能、网络协议栈，以及用户界面。全球用户身份模块(Universal Subscriber Identity Module，USIM)是在UICC内运行的应用。用户的运营商相关数据存储在所述USIM中。该数据包括：国际移动用户标识(International Mobile Subscriber identity，IMSI)，其为用户的长期标识；以及用户的主密钥K，其与归属网络共享。3GPP TS 31.101“UICC终端接口：物理和逻辑特征”中定义了ME与USIM之间的UE内部接口。

所述主密钥K不提供给所述服务网络。为了保护所述UE与所述服务网络之间的通信，所述归属网络和所述UE两者都导出接入安全管理实体(Access Security ManagementEntity，ASME)密钥K_ASME。将该密钥K_ASME从所述归属网络发送到所述服务网络。

所述USIM导出加密密钥(Ciphering Key，CK)和完整性密钥(Integrity Key，IK)并提供给所述ME。采用加密密钥导出函数(Key Derivation Function，KDF)从CK、IK和服务网络标识(Serving Network Identity，SN ID)中导出所述ASME密钥K_ASME。所述SN ID通常包括所述服务网络的移动国家码(Mobile Country Code，MCC)和移动网码(MobileNetwork Code，MNC)。然后，从所述ASME密钥K_ASME中导出所述UE与所述服务网络之间的各种安全机制所需的所有加密密钥。KDF的特点在于，无法在实践中根据输出K_ASME计算出其输入。在LTE中，KDF使用3GPP TS 33.220中规定的通用KDF。在该通用KDF中，核心密码学原语是HMAC-SHA-256算法(带密钥的哈希消息认证码–安全哈希算法)。

在GSM的设计阶段(20世纪80年代)明确了通过监听公共控制信道来跟踪移动用户的可能性。因此，为了识别和定位所述移动用户，建立了一种采用临时标识，即临时移动用户标识(Temporary Mobile Subscriber Identity，TMSI)的机制，来代替永久标识，即国际移动用户标识(IMSI)。一旦特定移动用户与网络之间建立了加密的专用信道，所述网络就可以安全地更新假名TMSI。如果没有临时标识，则需要基于所述永久标识，即IMSI来识别所述移动用户。例如，移动用户在长途飞行后漫游到其他国家并打开移动装置的时候会发生这种情况。又如，当出现所述临时标识在移动用户侧或网络侧丢失或者两个临时标识不再相同的故障时也会发生这种情况。

主动攻击者会利用这种机会冒充真实网络，假装丢失了临时标识并向所述移动用户索要永久标识。这种攻击者称为“IMSI捕手”，并且这类实际攻击已经在一些国家受到了关注。需要说明的是，“IMSI捕手”一词有时具有更广泛的含义，指的是扩展攻击，包括“中间人”类型的攻击。但是，本文讨论的“IMSI捕手”是狭义的，其攻击目的是“捕获IMSI”，即获取所述移动用户的长期标识。

蜂窝网络技术的两个主要升级，第三代(the third generation，3G)和第四代(the fourth generation，4G或LTE，即长期演进)网络中也采用了相同的机制来防御被动攻击者试图侵犯GSM中的身份和位置隐私。然而，这些技术都没有提供针对主动攻击者的保护。

3G安全架构的基石之一是3GPP认证和密钥协商(Authentication and KeyAgreement，AKA)流程提供的双向认证，即3GPP TS 33.102中的3G安全和安全架构v.12.2.0。

4G安全的设计中建立的3GPP报告TR 33.821考虑了如何保护用户身份隐私免受外部攻击。TR 33.821中概述的增强用户身份机密性特征的思想是遵循蜂窝AKA原则，增强之处在于，IMSI不作为明文在所述UE与所述服务网络之间的无线接口上发送。

TR 33.821概述了两种增强用户身份机密性的主要方案类型：基于公钥的方法和基于假名的方法。所述基于公钥的方法需要支持公钥分发的基础设施与归属网络服务器中的附加加密元素。所述基于假名的方法需要在大型分布式系统中保持同步状态。这两种方案均没有被LTE采纳，因为它们并非足够“轻量”。TR 33.821中没有讨论当具有增强的用户身份隐私的UE访问传统网络时该怎么办的问题。

在所述基于公钥的方法中，所述IMSI总是在无线接口上加密发送，并在所述归属网络中解密。所述加密/解密操作基于非对称密码术：所述UE通过该无线接口将其采用所述归属网络的公钥加密的IMSI与所述归属网络的标识一起发送到所述服务网络。所述服务网络将密文转发到所述归属网络，所述归属网络使用归属网络的私钥解密该IMSI。所述归属网络服务器上解密所带来的负载取决于公钥密码系统的选择及其配置(例如密钥大小)、以及发往所述归属网络服务器的流量大小。

需要说明的是，加密/解密操作也可以基于对称密码术。3G标准化期间3GPP考虑了这种方案：一组移动用户具有与该组其他成员及所述归属网络共享的对称密钥。当向所述拜访网络发送所述IMSI时，所述移动用户将使用对称密钥来加密其IMSI。在漫游情况下，所述移动设备仅需要向所述拜访网络展示其归属运营商的标识和该组的标识。通过该信息，所述拜访网络能够将加密的IMSI转发到正确的归属运营商，所述归属运营商能够使用正确的密钥对其进行解密。此后，将所述IMSI和运行AKA流程所需的认证数据一起发送到所述拜访网络。

在所述通用的基于假名的方法中，(除了自GSM以来就已使用的TMSI/全球唯一临时标识(Globally Unique Temporary Identity，GUTI)之外)将第二层临时标识/假名也添加到所述系统中。所述UE通过无线接口将假名P与所述归属网络的标识一起发送到所述服务网络，而不发送IMSI。所述服务网络将假名P转发到所述归属网络。所述归属网络使用假名P来识别所述UE。此时，“IMSI捕手”只能获得临时标识，即假名P。

在一种传统方案中，其是基于假名的方法的变体，所述假名P具有与IMSI相同的格式，即，存在不变的部分(指向正确的归属网络)和移动用户识别号(Mobile SubscriberIdentity Number，MSIN)形式的变化部分。因此，所述变化部分的长度是9或10位十进制数字，其可以编码为小于40比特。此外，新假名的推导是由UICC(智能IC卡)内的USIM应用完成的。这种传统方案的优势是假名看起来就跟正常的IMSI一样。无线接口和服务网络到归属网络接口的消息看起来与传统网络到服务网络和ME的消息相同。因此，该设计兼容传统的3G/4G服务网络和传统的ME。伪装成传统网络的IMSI捕手只会捕获临时假名，而不能获取真正的IMSI。

然而，所述提及的传统方案的缺陷至少在于，需要新的USIM来导出新的假名。当部署下一代，即第五代(fifth generation，5G)移动网络时，可能需要新的ME来利用该网络。因此，将新的USIM与传统的ME结合在5G中并不太重要。另一方面，5G ME使用传统的4G USIM也是5G中可能的场景。

发明内容

本发明实施例的目的是提供一种方案，以减轻或解决传统方案的缺陷和问题。

本发明实施例的另一个目的是提供一种比传统方案更安全的方案。

上述目的及其他目的通过独立权利要求的标的物来实现。本发明的其他有益实现方式通过从属权利要求来限定。

根据本发明的第一方面，通过一种用于无线通信系统的移动设备来实现上述目的及其他目的，其中，所述移动设备包括：

收发器，用于：

接收至少一个编码的临时标识；

获取机密性密钥和完整性密钥；

处理器，用于：

基于所述机密性密钥和所述完整性密钥导出所述移动设备的隐私性密钥；

基于所述隐私性密钥导出至少一个临时标识。

通常，在新一代移动网络中，无线接口发生了很大的变化，使得前一代移动设备无法使用该无线接口。但是UE的UICC部分不像新一代移动网络中的ME那样有太大的变化。保留传统UICC的优势在于，可以节省移动网络运营商替换UICC的成本。因此，移动用户的UE具有新一代移动设备ME和传统UICC的场景在过去是常见的。同样，在5G移动网络中，UE包括5G移动设备和传统4G UICC的场景也是可能的。根据第一方面所述的ME的优势在于，在这一场景中能够提高移动用户的身份隐私。

根据第一方面，在所述移动设备的第一种可能的实现方式中，所述处理器用于：

基于所述隐私性密钥解密安全通道，导出所述临时标识，其中，所述安全通道为基于所述隐私性密钥进行加密和完整性保护。

这种可能的实现方式具有以下优势：即使在没有移动网络覆盖的地方也可以导出所述临时标识，因为所述安全通道可以通过Wi-Fi链路甚至有线连接等非蜂窝访问的方式来建立。

根据第一方面，在所述移动设备的第二种可能的实现方式中，所述收发器用于：

接收携带随机挑战RAND的净荷，其中，所述携带RAND的净荷包括加密的临时标识，并且所述净荷包括指示存在所述加密的临时标识的标识位；

其中，所述处理器用于：

识别所述标识位；

基于所述隐私性密钥解密所述加密的临时标识，导出所述临时标识。

这种可能的实现方式具有以下优势：ME不需要建立单独的通信信道来接收所述加密的临时标识。所述加密的临时标识嵌入在RAND中，其是无线接口信令的一部分。

根据第一方面或第一方面的实现方式，在所述移动设备的第三种可能的实现方式中，所述处理器用于：

导出第一临时标识和至少一个第二临时标识；

其中，所述收发器用于：

向无线网络发送第一消息，其中，所述第一消息包括用于识别所述移动设备的第一临时标识或第二临时标识。

这种可能的实现方式的优势在于，攻击者难以获得所述移动用户的长期标识。

根据第一方面的第三种实现方式，在所述移动设备的第四种可能的实现方式中，所述第一消息包括所述第一临时标识。

根据第一方面的第四种实现方式，在所述移动设备的第五种可能的实现方式中，所述收发器用于：

接收错误消息以响应于所述第一消息的发送；

重新发送所述包括第一临时标识的第一消息。

在这种可能的实现方式中，可以使所述ME处理所述第一消息的传输不可靠的故障情况。

根据第一方面的第四种实现方式，在所述移动设备的第六种可能的实现方式中，所述收发器用于：

接收错误消息以响应于所述第一消息的发送；

向所述无线网络发送至少一个第二消息以响应于所述错误消息的接收，其中，所述第二消息包括用于识别所述移动设备的第二临时标识或IMSI。

在这种可能的实现方式中，可以使所述ME处理所述第一消息的传输不可靠的故障情况。

根据第一方面的第三种实现方式，在所述移动设备的第七种可能的实现方式中，所述第一消息包括所述第二临时标识。

根据第一方面的第七种实现方式，在所述移动设备的第八种可能的实现方式中，所述收发器用于：

接收错误消息以响应于所述第一消息的发送；

向所述无线网络发送至少一个第二消息以响应于所述错误消息的接收，其中，所述第二消息包括用于识别所述移动设备的第一临时标识或所述IMSI。

在这种可能的实现方式中，可以使所述ME处理所述第一消息的传输不可靠的故障情况。

根据第一方面的第六种或第八种实现方式，在所述移动设备的第九种可能的实现方式中，还包括输出装置，用于当所述第二消息包括所述IMSI时，

向所述无线网络输出信息，其中，所述信息指示用于识别所述移动设备的IMSI的使用。

在这种可能的实现方式中，使得所述ME能够处理所述第一消息的传输不可靠的故障情况。这种可能的实现方式包括提醒所述移动用户。

根据第一方面的第六种或第八种实现方式，在所述移动设备的第十种可能的实现方式中，所述收发器用于：

接收错误消息以响应于所述第二消息的发送；

在预设时间段后重新发送所述至少一个第一消息。

在这种可能的实现方式中，可以使所述ME处理所述第二消息的传输不可靠的故障情况。

根据第一方面的第六种或第八种实现方式，在所述移动设备的第十一种可能的实现方式中，还包括输出装置；

所述第二消息包括所述第一临时标识或所述第二临时标识；

所述收发器用于：

接收错误消息以响应于所述第二消息的发送；

所述输出装置用于：

输出指示所述错误消息的信息。

在这种可能的实现方式中，可以使所述ME处理所述第一消息或第二消息的传输不可靠的故障情况。这种可能的实现方式包括提醒所述移动用户。

根据第一方面的第一种至第十一种实现方式中的任一种，在所述移动设备的第十二种可能的实现方式中，所述处理器用于：

导出新的第二临时标识；

丢弃所述第一临时标识；

将所述第二临时标识设置为所述第一临时标识；

将所述新的第二临时标识设置为所述第二临时标识。

在这种可能的实现方式中，可以使所述ME不再重用之前的临时标识。

在第一方面的其他可能的实现方式中，所述第一消息和所述第二消息中的至少一个是附着消息。

在第一方面的其他可能的实现方式中，所述标识位位于所述携带RAND的净荷的认证和管理字段(Authentication and Management Field，AMF)中。

在第一方面的其他可能的实现方式中，所述AMF位于所述携带RAND的净荷的认证令牌中。

根据本发明的第二方面，通过一种包括根据前述权利要求中任一项所述的移动设备和全球用户身份模块UICC的用户设备来实现上述目的及其他目的。

其中，所述UICC用于：

提供机密性密钥和完整性密钥。

根据本发明的第三方面，通过一种用于无线通信系统的网络节点来实现上述目的及其他目的，其中，所述网络节点包括：

收发器，用于：

接收移动设备的请求消息；

处理器，用于：

导出所述移动设备的隐私性密钥；

基于所述隐私性密钥加密至少一个临时标识；

其中，所述收发器用于：

向所述移动设备发送所述加密的临时标识。

根据第三方面所述的网络节点使得能够根据本方案在所述ME中处理临时标识。

根据第三方面，在所述网络节点的第一种可能的实现方式中，所述处理器用于：

提供携带RAND的净荷，其中，所述RAND包括加密的临时标识，并且所述净荷包括指示所述加密的临时标识标识位；

所述收发器用于：

向所述移动设备发送所述携带RAND的净荷以响应所述请求消息。

这种可能的实现方式的优势在于，不需要采用单独的通信信道来将所述加密的临时标识发送到所述ME。

根据第三方面，在所述网络节点的第二种可能的实现方式中，所述收发器用于：

在安全通道上发送至少一个临时标识，其中，所述安全通道基于所述隐私性密钥进行加密和完整性保护。

这种可能的实现方式具有以下优势：即使在没有移动网络覆盖的地方也可以将所述临时标识传输到所述ME，因为所述安全通道可以通过Wi-Fi链路甚至有线连接等非蜂窝访问的方式来建立。

在第三方面的其他可能的实现方式中，所述请求消息包括所述移动设备的IMSI。

根据本发明的第四方面，通过一种方法来实现上述目的及其他目的，其中，所述方法包括：

接收至少一个编码的临时标识；

获取机密性密钥和完整性密钥；

基于所述机密性密钥和所述完整性密钥导出所述移动设备的隐私性密钥；

基于所述隐私性密钥导出至少一个临时标识。

根据第四方面，在所述方法的第一种可能的实现方式中，所述方法包括：

基于所述隐私性密钥解密安全通道，导出所述临时标识，其中，所述安全通道为基于所述隐私性密钥进行加密和完整性保护。

根据第四方面，在所述方法的第二种可能的实现方式中，所述方法包括：

接收携带随机挑战RAND的净荷，其中，所述携带RAND的净荷包括加密的临时标识，并且所述净荷包括指示存在所述加密的临时标识标识位；

识别所述标识位；

通过基于所述隐私性密钥解密所述加密的临时标识来导出所述临时标识。

根据第四方面或第四方面的可能的实现方式，在所述方法的第三种可能的实现方式中，所述方法包括：

导出第一临时标识和至少一个第二临时标识；

向无线网络发送第一消息，其中，所述第一消息包括用于识别所述移动设备的第一临时标识或第二临时标识。

根据第四方面的第三种实现方式，在所述方法的第四种可能的实现方式中，所述第一消息包括所述第一临时标识。

根据第四方面的第四种可能的实现方式，在所述方法的第五种可能的实现方式中，所述方法包括：

接收错误消息以响应于所述第一消息的发送；

重新发送所述包括第一临时标识的第一消息。

根据第四方面的第四种可能的实现方式，在所述方法的第六种可能的实现方式中，所述方法包括：

接收错误消息以响应于所述第一消息的发送；

向所述无线网络发送至少一个第二消息以响应于所述错误消息的接收，其中，所述第二消息包括用于识别所述移动设备的第二临时标识或IMSI。

根据第四方面的第三种实现方式，在所述方法的第七种可能的实现方式中，所述第一消息包括所述第二临时标识。

根据第四方面的第七种可能的实现方式，在所述方法的第八种可能的实现方式中，所述方法包括：

接收错误消息以响应于所述第一消息的发送；

向所述无线网络发送至少一个第二消息以响应于接收所述错误消息的接收，其中，所述第二消息包括用于识别所述移动设备的第一临时标识或所述IMSI。

根据第四方面的第六种或第八种实现方式，在所述方法的第九种可能的实现方式中，当所述第二消息包括所述IMSI时，所述方法还包括：

向所述无线网络输出信息，其中，所述信息指示用于识别所述移动设备的IMSI的使用。

根据第四方面的第六种或第八种可能的实现方式，在所述方法的第十种可能的实现方式中，所述方法包括：

接收错误消息以响应于所述第二消息的发送；

在预设时间段后重新发送所述至少一个第一消息。

根据第四方面的第六种或第八种可能的实现方式，在所述方法的第十一种可能的实现方式中，所述第二消息包括所述第一临时标识或所述第二临时标识，所述方法包括：

接收错误消息以响应于所述第二消息的发送；

输出指示所述错误消息的信息。

根据第四方面的第三种至第十一种可能的实现方式的任一种，在所述方法的第十二种可能的实现方式中，所述方法包括：

导出新的第二临时标识；

丢弃所述第一临时标识；

将所述第二临时标识设置为所述第一临时标识；

将所述新的第二临时标识设置为所述第二临时标识。

根据本发明的第五方面，通过一种方法来实现上述目的及其他目的，其中，所述方法包括：

接收移动设备的请求消息；

导出所述移动设备的隐私性密钥；

基于所述隐私性密钥加密至少一个临时标识；

向所述移动设备发送所述加密的临时标识。

根据第五方面，在所述方法的第一种可能的实现方式中，所述方法包括：

提供携带RAND的净荷，其中，所述RAND包括加密的临时标识，并且所述净荷包括指示所述加密的临时标识标识位；

向所述移动设备发送所述携带RAND的净荷以响应所述请求消息。

根据第五方面，在所述方法的第二种可能的实现方式中，所述方法包括：

在安全通道上发送至少一个临时标识，其中，所述安全通道为基于所述隐私性密钥进行加密和完整性保护。

根据第四方面和第五方面所述的方法的优势分别与根据第一方面和第三方面所述的相应移动设备和网络节点的优势相同。

本发明实施例还涉及一种具有编码装置的计算机程序，当所述计算机程序由处理装置运行时，使所述处理装置执行根据本发明的任何方法。此外，本发明还涉及一种计算机产品，包括计算机可读介质和所述计算机程序，其中，所述计算机程序包括在所述计算机可读介质中，并且包括以下分组中的一种或者两种：只读存储器(Read-Only Memor，ROM)、可编程ROM(Programmable ROM，PROM)、可擦除PROM(Erasable PROM，EPROM)、闪速存储器、电EPROM(Electrically EPROM，EEPROM)，以及硬盘驱动器。

本发明的其他应用和优势将会在以下详细说明中清楚描述。

附图说明

附图意在阐明和阐释本发明的各个实施例，其中：

·图1示出了本发明实施例提供的用户设备；

·图2示出了本发明实施例提供的相应方法；

·图3示出了本发明另一实施例提供的网络节点；

·图4示出了本发明实施例提供的相应方法；

·图5示出了根据本发明示例性实施例提供的信令方面；

·图6示出了归属网络中移动用户记录的示例性部分；

·图7示出了归属网络中移动用户记录的示例性部分；

·图8示出了用户设备中的密钥的推导；

·图9示出了移动设备与网络节点之间的信号。

具体实施方式

需要说明的是，术语“假名”完全对应于表达“临时标识”，并且在以下公开内容中可以互换使用。假名或临时标识用于ME来向无线通信系统的无线网络标识所述ME。在本公开中，假名/临时标识由P和P'表示。需要说明的是，还可以使用其他假名/临时标识，本方案不限于两个假名/临时标识。

图1示出了本发明提供的ME 100的实施例。图1还示出了当所述ME 100集成在用户设备300中时的实施例，其中，所述用户设备300此时还包括全球用户身份模块(UICC)310。所述用户设备300可以例如是UE。所述ME 100包括收发器102，其在该特定情况下可选地耦合到用于接收无线通信信号的接收装置116(例如用于无线通信的天线)。所述收发器102还耦合到所述ME 100的处理器104。在该特定实施例中，所述收发器102和所述处理器104也通信地耦合到所述UICC 310。如上所述，USIM是在智能IC卡内运行的应用，其也称为UICC310。用户的运营商相关数据存储在所述USIM中。该数据包括:IMSI，其为用户的长期标识；以及用户的主密钥K，其与归属网络共享。

根据本方案，所述收发器102用于接收至少一个编码的临时标识EP、EP'，并获取机密性密钥CK和完整性密钥IK。所述处理器104用于基于所述机密性密钥CK和所述完整性密钥IK导出所述移动设备100的隐私性密钥Kp，并基于所述隐私性密钥Kp导出至少一个临时标识P、P'。

图2示出了可以在例如图1中所示的ME 100中实现的相应方法200。所述方法200包括步骤202：接收至少一个编码的临时标识EP、EP'。所述方法200还包括步骤204：获取机密性密钥CK和完整性密钥IK。所述方法200还包括步骤206：基于所述机密性密钥CK和所述完整性密钥IK导出所述移动设备100的隐私性密钥Kp。所述方法200还包括步骤208：基于所述隐私性密钥Kp导出至少一个临时标识P、P'。

在一实施例中，所ME 100还包括如图1所示可选的输出装置108。所述输出装置可以是用于向所述ME 100的用户(未示出)输出信息的任何合适的装置。所述信息可以是视觉信息、音频信息、触觉信息等。根据本方案，所述输出装置108用于输出信息120，其中，所述信息向无线网络指示用于识别ME 100的IMSI的使用或指示错误消息的接收。从而，所述ME100的用户获知上述任一情况。

图3示出了本发明实施例提供的网络节点500。所述网络节点500包括收发器502，其在该特定情况下可选地耦合到用于接收和发送无线通信信号的接收装置506(例如用于无线通信的天线)。所述网络节点500还可以可选地包括调制解调器508，用于接收和发送有线通信信号。

根据本方案，所述收发器502用于接收移动设备100的请求消息。所述处理器504用于导出所述移动设备100的隐私性密钥Kp，并基于所述隐私性密钥Kp加密至少一个临时标识P、P'。所述收发器502用于向所述移动设备100发送所述加密的临时标识P、P'。

图4示出了可以在例如图3中所示的网络节点300中实现的相应方法400。所述方法400包括步骤402：接收移动设备100的请求消息。所述方法400还包括步骤404：导出所述移动设备100的隐私性密钥Kp。所述方法400还包括步骤406：基于所述隐私性密钥Kp加密至少一个临时标识P、P'。所述方法400还包括步骤408：向所述移动设备100发送所述加密的临时标识P、P'。

在一实施例中，所述临时标识P、P'具有与IMSI相同的格式。因此，存在指向正确归属网络的不变的部分和MSIN形式的变化部分。因此，所述变化部分的长度是9或10位十进制数字，其可以编码为小于40比特。

在一实施例中，所述ME 100的处理器104用于基于所述隐私性密钥Kp解密安全通道702，导出所述临时标识P、P'，其中，所述安全通道702为基于所述隐私性密钥Kp进行加密和完整性保护。这在图9中进行说明，其中，所述ME 100通过所述安全通道702从网络节点500接收所述临时标识P、P'。相应地，所述网络节点500的收发器502用于通过安全通道702发送至少一个临时标识P、P'，其中，所述安全通道702为基于所述隐私性密钥Kp进行加密和完整性保护。

在另一实施例中，所述ME 100的收发器102用于接收携带随机挑战(RAND)的净荷，其中，所述携带RAND的净荷包括至少一个加密的临时标识EP、EP'。此外，所述净荷包括指示存在所述加密的临时标识EP、EP'的标识位。所述处理器104用于识别所述标识位，并且基于所述隐私性密钥Kp解密所述加密的临时标识EP、EP，导出临时标识P、P'。这也在图9中进行说明，其中，所述ME 100从网络节点500接收携带RAND的净荷。相应地，所述网络节点500的处理器504用于提供携带RAND的净荷，其中，所述携带RAND的净荷包括至少一个加密的临时标识EP、EP'。所述RAND的净荷包括指示所述加密的临时标识EP、EP'的标识位。所述收发器502用于向所述ME 100发送所述携带RAND的净荷以响应于请求消息。在一实施例中，所述请求消息包括所述ME 100的IMSI。

需要说明的是，所述网络节点500与所述ME 100可以通过一个或多个中间通信节点进行通信。

在又一实施例中，所述ME 100的处理器104用于导出第一临时标识P和至少一个第二临时标识P'。所述收发器102还用于向无线网络发送第一消息M1，其中，所述第一消息M1包括用于识别所述移动设备100的第一临时标识P或第二临时标识。这在图9中进行说明，其中，所述ME 100发送所述第一消息M1。

在图8中说明了所述ME 100对隐私性密钥Kp的推导。与K_ASME一样，从加密密钥CK、完整性密钥IK，以及服务网络ID(SN ID)中导出所述隐私性密钥Kp。不同之处在于，K_ASME从归属网络发送到服务网络，而所述隐私性密钥Kp却不从归属网络发送到服务网络。在UICC310中运行的USIM导出所述加密密钥CK和所述完整性密钥IK并提供给所述ME 100。采用加密密钥导出函数(KDF)从CK、IK和SN ID中导出K_ASME。然后，从K_ASME中导出所述ME 100与所述服务网络之间的各种安全机制所需的所有加密密钥。KDF的特点在于，无法在实践中根据输出K_ASME计算出其输入。在LTE中，KDF使用3GPP TS 33.220中规定的通用KDF。在该通用KDF中，核心密码学原语是HMAC-SHA-256算法(带密钥的哈希消息认证码–安全哈希算法)。

在一实施例中，在所述ME 100中使用认证令牌AUTN的认证管理字段(Authentication Management Field，AMF)中的标识位来区分正常RAND和携带包括加密假名EP、EP'的RAND的特殊净荷。

此外，图5示出了本发明示例性实施例提供的消息流程图。本示例性实施例设置在3GPP系统上下文中，因此使用所述术语和系统假设。例如，此时，用户设备300对应于UE，并且网络节点500对应于归属用户服务器(Home Subscriber Server，HSS)。然而，技术人员认识到本发明实施例不限于此。

此外，在该特定示例中，服务网络的网络节点600与UE 300(所述UE 300包括ME100和UICC 310)以及归属网络的网络节点500进行互操作。因此，当使用表达“服务网络”时，该表达也可以读作“服务网络的网络节点600”，而当使用表达“归属网络”时，该表达也可以读作“归属网络的网络节点300”。

此外，技术人员容易认识到，本方案还适用于所述服务网络与所述归属网络相同的情况。

(1)

未认证的UE 100(包括ME 100和UICC 310)通过无线接口将其临时标识之一，即第一假名P或第二假名P'与归属网络500的标识一起发送到服务网络600。在此之前，所述UE300的所述ME 100部分决定使用哪个标识。该决定封装在方框A中。

方框A

在根据本发明实施例描述ME 100中的假名选择之前，回顾一下当前，例如LTE中ME100在这方面的操作：

·一附着(连接)到新的服务网络时，所述ME 100就使用IMSI；

·在AKA和安全设置后，所述ME 100从服务网络接收(加密消息中的)临时标识TMSI；

·只要所述ME 100保持附着到所述服务网络，所述ME 100就在与该服务网络的后续通信中使用TMSI；

·如果TMSI无效，则所述ME 100将重新使用其IMSI。

现在继续根据本方案描述所述ME 100中的假名选择。

首先，之前从未从所述归属网络500获得假名P的ME 100使用在其首次附着到所述服务网络600时的(从USIM获得的)IMSI(例如，这可能是新的“开箱即用”的ME)。在附着操作成功后，所述ME 100从所述归属网络500获得第一假名P和第二假名P'。如前所述，获得假名的两种选择是：经由专用安全通道获取，或者从携带RAND的特殊净荷中获取。

其次，在所述ME 100从所述归属网络500获得假名P后，所述ME 100执行以下操作：

·一附着(连接)到新的服务网络，就使用第一假名P；

·在AKA和安全设置之后，从服务网络接收(加密消息中的)TMSI。该操作在方框E中成功验证RES之后执行，但未在图5中示出；

·在附着操作成功后，所述ME 100从归属网络获得第二假名P'；

·只要ME 100保持附着到所述服务网络，所述ME 100就在与该服务网络的后续通信中使用TMSI；

·如果TMSI无效，则所述ME 100将重新使用第一假名P；

·在下一次附着到服务网络时，所述ME将使用第二假名P'。

上述操作可以内置到所述ME 100中。但是如果第二假名P'无效，则所述ME 100可以使用第一假名P或第二假名P'进行下一次尝试。现在将描所述述ME 100中的三种不同的假名使用策略。然而，本方案并不限于此，因此可应用于更多策略中。

策略1：不再采用先前使用的第一假名P。经过相当长的一段时间后，如果第二假名P'在多次尝试中无效，就通知用户。若用户允许，则在附着请求中发送IMSI；否则，用户必须到运营商处进行恢复。

策略2：首先再次尝试第二假名P'，但是在一段(短)时间后切换到尝试先前使用的第一假名P。如果第一假名P和第二假名P'都无效，在相当长的一段时间后再次尝试。如果仍然无效，就通知用户。若用户允许，则发送IMSI；否则，用户必须到运营商处进行恢复。

策略3：首先尝试第一假名P(即回到先前使用的假名)，但如果像在策略2中一样无效，即尝试第二假名P'，如果仍然无效，则再次尝试第一假名P。

在一实施例中，所述ME 100可以从移动网络运营商获得策略，包括说明“短”和“相当长”的时间段有多长的参数。这可以通过USIM或通过从运营商服务器到ME 100的安全通道来完成。例如，所述策略可以由运营商预先安装在所述ME 100中。在另一示例中，可以采用与提供下一假名的方式相同的方式来向所述ME 100提供和更新假名使用策略。然而，需要说明的是，预计所述策略的变化频率低于假名。

还需要说明的是，针对不同的策略，采用本发明提供的假名的ME 100可能会不同程度地受到恶意攻击的影响。例如，以下两种攻击：

·拒绝服务(Denial of Service，DoS)攻击，强制所述ME 100用完有效的假名。

·可链接性攻击，其中，攻击者的目标是找到当前的假名，以及所述ME 100先前的假名，即，攻击者试图找出所述ME 100的有效标识对(P，P')。

上述策略1易受到DoS攻击，但对于可链接性攻击可以提供全面保护。上述策略2和3易受可链接性攻击，但不易受到DoS攻击。

(2)

所述服务网络600例如在认证信息请求消息中将第一假名P和SN ID转发到所述归属网络500。

方框B

基于所述第一假名P，所述归属网络500找到所述ME 100的IMSI和用户的主密钥K。然后，计算认证矢量(Authentication Vector，AV)，为所述ME 100选择第二假名P'(如果尚未这样做)，并使用从所述主密钥K导出的隐私性密钥Kp加密所述第二假名P'。将更详细地描述这些操作。

当从所述服务网络600接收到消息2，例如，长期ID(IMSI)的认证信息请求消息时，所述归属网络500将第一假名P嵌入到所述AV的RAND中(如果尚未这样做)，并且在消息3如认证信息应答消息中将所述AV发送到所述服务网络600。例如，如果第一次附着，则所述UE300使用其长期ID(IMSI)，然后将接收到所述第一假名P。当从所述服务网络60接收到消息2，例如，第一假名P的认证信息请求消息时，所述归属网络500将第二假名P'嵌入到所述AV的RAND中(如果尚未这样做)，并在消息3如认证信息应答消息中将所述AV发送到所述服务网络600。此时，所述归属网络500中的用户记录部分可以如图6所示。除了用户的长期标识外，所述记录还包括P和P'。

在接收到第二假名P'的消息2时，所述归属网络500执行以下操作：

i为用户分配新的第二假名Pnew'(如果尚未这样做)；

ii将所述新的第二假名Pnew'嵌入到所述AV的RAND中(如果尚未这样做)，并且在消息3中将所述AV发送到所述服务网络600。此时，所述归属网络500中的用户记录部分可以如图7所示。除了用户的长期标识外，所述记录还包括P、P'，以及Pnew'。

(3)

所述归属网络500将第一假名P、所述AV，以及加密的第二假名P'发送到所述服务网络600。

(4)

所述服务网络600采用所述接收的AV与所述UE 300执行蜂窝AKA流程。所述服务网络600从所述AV中获取RAND认证令牌AUTN和RAND的预期响应(expected response，XRES)，并且在例如认证请求消息中将RAND和AUTN发送到所述UE 300。

(5)

所述ME 100将RAND和AUTN对转发到所述USIM。

方框C

所述USIM检查RAND和AUTN对是否有效。如果所述对通过验证，则所述USIM导出密钥CK、IK并计算响应RES。

(6)

所述USIM向ME 100返回CK、IK，以及响应RES。

方框D

所述ME 100导出K_ASME。在所述ME 100中使用AUTN的认证管理字段(AMF)中的标识位来区分正常RAND和携带RAND的特殊净荷，该RAND包括下一个假名P'的加密EP'。所述ME100根据AUTN的AMF验证所述RAND是否包括嵌入的第二假名P'。如果是，则所述ME 100导出隐私性密钥Kp，解密第二假名P'并更新其内部假名列表。

(7)

所述ME 100向所述服务网络600发送响应RES。

方框E

所述服务网络600将响应RES与作为认证向量AV的一部分的预期响应(XRES)进行比较。当匹配时，则所述UE300的认证成功。

(8)

在成功认证后，所述服务网络向所述归属网络500发送消息8，例如，第一假名P的更新位置请求消息。

方框F

所述归属网络500更新用户记录中的标识，下面将更为详细地描述。

当从所述服务网络600接收到消息8，例如，第二假名P'的更新位置请求消息时，所述归属网络500执行以下操作：

·为用户分配新的第二假名Pnew'(如果尚未这样做)；

·释放/丢弃所述第一假名P；

·设置第二假名P'＝第一假名P；

·设置新的第二假名Pnew'＝第二假名P'；

在执行这些操作后，所述用户记录可以再次如图6所示。

为了能够将所述服务网络600产生的计费数据记录(Charging Data Record，CDR)与用户的正确长期ID相关联，在释放所述第一假名P后所述归属网络500需要在一段时间内记住所述UE 300使用的第一假名P。因此，在T2之后的一段时间内，所述UE 300已使用的每个假名和其分配给该UE 300的分配时间T1以及其释放时间T2将一起存储在所述归属网络500中。

(9)

最后，所述归属网络500向所述服务网络600确认接收到更新位置请求消息8。

另外，根据本发明实施例的任意方法可以在具有编码方式的计算机程序中实现，当通过处理措施运行时，可使所述处理措施执行方法步骤。计算机程序包括在计算机程序产品的计算机可读介质之中。计算机可读介质基本可以包括任意存储器，如只读存储器(ROM)、可编程只读存储器(PROM)、可擦除可编程只读存储器(EPROM)、闪存、电可擦可编程只读存储器(EEPROM)，以及硬盘驱动器。

此外，技术人员可以认识到，所述ME 100和所述网络节点500包括用于执行本方案的例如功能、装置、单元、元件等形式的必要通信能力。其他类似装置、单元、元件、功能的举例有：处理器、存储器、缓存器、控制逻辑、编码器、解码器、速率匹配器、解速率匹配器、映射单元、乘法器、决策单元、选择单元、开关、交织器、解交织器、调制器、解调器、输入、输出、天线、放大器、接收单元、发射单元、DSP、MSD、TCM编码器、TCM解码器、电源单元、电力馈线、通信接口、通信协议等，其适当地布置在一起以执行本方案。

尤其，处理器可包括例如中央处理单元(Central Processing Unit，CPU)、处理单元、处理电路、处理器、专用集成电路(Application-Specific Integrated Circuit，ASIC)、微处理器或可解释和执行指令的其它处理逻辑的一个或多个实例。术语“处理器”因此可表示包括多个处理电路的处理电路，所述多个处理电路实例为以上列举项中的任何、一些或所有项。所述处理电路可进一步执行数据处理功能，输入、输出以及处理数据，所述功能包括数据缓冲和装置控制功能，例如，呼叫处理控制、用户界面控制等。

最后，应了解，本发明并不局限于上述实施例，而且还涉及且并入所附独立权利要求书的范围内的所有实施例。

Claims (19)

1.一种用于无线通信系统(700)的移动设备，其特征在于，所述移动设备(100)包括：

收发器(102)，用于：

接收至少一个编码的临时标识(EP、EP')；

获取机密性密钥(CK)和完整性密钥(IK)；

处理器(104)，用于：

基于所述机密性密钥(CK)和所述完整性密钥(IK)导出所述移动设备(100)的隐私性密钥(Kp)；

基于所述隐私性密钥(Kp)导出至少一个临时标识(P、P')。

2.根据权利要求1所述的移动设备(100)，其特征在于，所述处理器(104)用于：

基于所述隐私性密钥(Kp)解密安全通道(702)，导出所述临时标识(P、P')，其中，所述安全通道(702)为基于所述隐私性密钥(Kp)进行加密和完整性保护。

3.根据权利要求1所述的移动设备(100)，其特征在于，所述收发器(102)用于：

接收携带随机挑战RAND的净荷，其中，所述携带RAND的净荷包括加密的临时标识(EP、EP')，并且所述净荷包括指示存在所述加密的临时标识(EP、EP')的标识位；

其中，所述处理器(104)用于：

识别所述标识位；

基于所述隐私性密钥(Kp)解密所述加密的临时标识(EP、EP')，导出所述临时标识(P、P')。

4.根据前述权利要求任一项所述的移动设备(100)，其特征在于，所述处理器(104)用于：

导出第一临时标识(P)和至少一个第二临时标识(P')；

其中，所述收发器(102)用于：

向无线网络发送第一消息(M1)，其中，所述第一消息(M1)包括用于识别所述移动设备(100)的第一临时标识(P)或第二临时标识(P')。

5.根据权利要求4所述的移动设备(100)，其特征在于，所述第一消息(M1)包括所述第一临时标识(P)。

6.根据权利要求5所述的移动设备(100)，其特征在于，所述收发器(102)用于：

接收错误消息(E)以响应于所述第一消息(M1)的发送；

重新发送所述包括第一临时标识(P)的第一消息(M1)。

7.根据权利要求5所述的移动设备(100)，其特征在于，所述收发器(102)用于：

接收错误消息(E)以响应于所述第一消息(M1)的发送；

向所述无线网络发送至少一个第二消息(M2)以响应于所述错误消息(E)的接收，其中，所述第二消息(M2)包括用于识别所述移动设备(100)的第二临时标识(P')或IMSI。

8.根据权利要求4所述的移动设备(100)，其特征在于，所述第一消息(M1)包括所述第二临时标识(P')。

9.根据权利要求8所述的移动设备(100)，其特征在于，所述收发器(102)用于：

接收错误消息(E)以响应于所述第一消息(M1)的发送；

向所述无线网络发送至少一个第二消息(M2)以响应于所述错误消息(E)的接收，其中，所述第二消息(M2)包括用于识别所述移动设备(100)的第一临时标识(P)或所述IMSI。

10.根据权利要求7或9所述的移动设备(100)，其特征在于，还包括输出装置(108)，用于当所述第二消息(M2)包括所述IMSI时，

向所述无线网络输出信息(120)，其中，所述信息指示用于识别所述移动设备(100)的IMSI的使用。

11.根据权利要求7或9所述的移动设备(100)，其特征在于，所述收发器(102)用于：

接收错误消息(E)以响应于所述第二消息(M2)的发送；

在预设时间段后重新发送所述至少一个第一消息(M1)。

12.根据权利要求7或9所述的移动设备(100)，其特征在于，还包括输出装置(108)；

所述第二消息(M2)包括所述第一临时标识(P)或所述第二临时标识(P')；

所述收发器(102)用于：

接收错误消息(E)以响应于所述第二消息(M2)的发送；

所述输出装置(108)用于：

输出指示所述错误消息(E)的信息(120)。

13.根据权利要求4至12所述的移动设备(100)，其特征在于，所述处理器(104)用于：

导出新的第二临时标识(Pnew')；

丢弃所述第一临时标识(P)；

将所述第二临时标识(P')设置为所述第一临时标识(P)；

将所述新的第二临时标识(Pnew')设置为所述第二临时标识(P')。

14.一种用于无线通信系统(700)的网络节点，其特征在于，所述网络节点(500)包括：

收发器(502)，用于：

接收移动设备(100)的请求消息；

处理器(504)，用于：

导出所述移动设备(100)的隐私性密钥(Kp)；

基于所述隐私性密钥(Kp)加密至少一个临时标识(P、P')；

其中，所述收发器(502)用于：

发送所述移动设备(100)的加密的临时标识(P、P')。

15.根据权利要求14所述的网络节点(500)，其特征在于，所述处理器(504)用于：

提供携带RAND的净荷，其中，所述RAND包括加密的临时标识(EP、EP')，并且所述净荷包括指示所述加密的临时标识(EP、EP')的标识位；

所述收发器(502)用于：

向所述移动设备(100)发送所述携带RAND的净荷以响应所述请求消息(RM)。

16.根据权利要求14所述的网络节点(500)，其特征在于，所述收发器(502)用于：

在安全通道(702)上发送至少一个临时标识(P、P')，其中，所述安全通道为基于所述隐私性密钥(Kp)进行加密和完整性保护。

17.一种方法(200)，其特征在于，包括：

(202)接收至少一个编码的临时标识(EP、EP')；

(204)获取机密性密钥(CK)和完整性密钥(IK)；

(206)基于所述机密性密钥(CK)和所述完整性密钥(IK)导出所述移动设备(100)的隐私性密钥(Kp)；

(208)基于所述隐私性密钥(Kp)导出至少一个临时标识(P、P')。

18.一种方法(400)，其特征在于，包括：

(402)接收移动设备(100)的请求消息(RM)；

(404)导出所述移动设备(100)的隐私性密钥(Kp)；

(406)基于所述隐私性密钥(Kp)加密至少一个临时标识(P、P')

(408)发送所述移动设备(100)的加密的临时标识(P、P')。

19.一种包括程序代码的计算机程序，其特征在于，当所述计算机程序在计算机上运行时，用于执行根据权利要求17或18所述的方法。