CN109417475B

CN109417475B - 无线电信网络中的隐私保护

Info

Publication number: CN109417475B
Application number: CN201680087417.3A
Authority: CN
Inventors: M·巴尔塔图; L·科斯塔; R·达米科; J·格历克; D·隆巴尔多
Original assignee: Telecom Italia SpA
Current assignee: Telecom Italia SpA
Priority date: 2016-05-30
Filing date: 2016-05-30
Publication date: 2022-06-28
Anticipated expiration: 2036-05-30
Also published as: CN109417475A; WO2017207017A1; US20200322794A1; EP3465978A1; EP3465978B1

Abstract

一种保护无线通信网络中的隐私敏感数据(SI)的交换的方法，该方法包括：生成并向第一实体(EE1，EEi，EEn；MD；WD)提供公共密钥(PubK)，第一实体拥有要通过无线连接(HMC；VMC)发送到无线通信网络(105；105a，105b；HMN，VMN)的隐私敏感数据(SI)；生成并向第二实体(SEEe，SEEc；SEEl，SEE2；HSS_SSE；HMME，HAE，VME；HLR/HSS)提供私有秘密密钥(PSK；PSK1，PSK2；HPSK；VPSK)，第二实体是隐私敏感数据(SI)的预期的中间接收方或最终接收方，私有秘密密钥(PSK；PSK1，PSK2；HPSK；VPSK)被绑定到公共密钥并且与适合于标识无线通信网络的隐私支持上下文信息(CI；CI1，CI2；HCI；VCI)相关联；使无线通信网络向第一实体发送相应的无线网络隐私支持上下文信息；使第一实体接收由无线通信网络发送的无线网络隐私支持上下文信息并使用公共密钥和所接收的无线网络隐私支持上下文信息来对隐私敏感数据(SI)进行加密，以获得受保护的、加密的隐私敏感数据(PSIl；PSIi；PSIn)；使第一实体通过无线通信网络向第二实体发送加密的隐私敏感数据；使第二实体利用私有秘密密钥来对加密的隐私敏感数据进行解密。

Description

无线电信网络中的隐私保护

技术领域

本文档中公开的解决方案总体上涉及电信网络，并且更具体地涉及无线电信网络。

更具体而言，本文档中公开的解决方案涉及恰好在终端用户与网络元件之间或网络元件本身之间的无线电信网络(例如，移动网络和Wi-Fi网络)中交换的隐私敏感的信息片段的保护(或用户的敏感信息的隐私保护)。

出于这里公开的解决方案的目的，无线电信网络意味着任何无线网络，包括任何类型的移动网络，例如第二代网络(2G)(例如，GSM—全球移动通信系统)、第三代网络(3G)(例如，UMTS—通用移动电信系统)、第四代网络(4G)(例如，LTE/LTE-A—长期演进/LTE-高级)和目前正在定义的第五代网络(5G)，以及基于各种IEEE标准/技术的任何Wi-Fi网络。

背景技术

隐私是如今无线电信网络(简称无线网络)中的重要问题，其中隐私敏感数据有时未加密地(即，以明文)在空中交换。

目前，在无线网络中，基于移动网络技术或者Wi-Fi技术，在许多情况下，隐私敏感的信息片段以明文在空中暴露。碰巧暴露的隐私敏感信息的示例包括：用户或订户的身份、用户设备标识符和能力、认证信息、位置信息等。从订户的角度来看，这些信息片段是至关重要的，因此，应当优选地沿着从其源(发送者)到其最终目的地(接收者)的整条路径来保护它们免受未经授权的公开和处理/处置。

无线电信中的当前实践要求使用对称密码(对称加密)方案来保证通过空中发送的数据的机密性。这种对称密码方案基于用户先前已被无线网络识别的假设。例如，通过技术规范组服务和系统方面；3GPP系统体系架构演进(SAE)；安全体系架构(标准文档可参见http://www.3gpp.org/DynaReport.33401.htm)，在当今的移动网络(如3G和4G网络)中使用的常见算法实现AKA(认证密钥协定)方法，如在第三代合作伙伴计划(3GPP)的技术规范3GPP TS 33.401中定义的。在AKA方法中，用户需要向移动网络提供他/她的订户标识符(即，IMSI-国际移动订户身份)，以便移动网络能够随后检索用户的凭证并执行用户认证过程。用户标识符以明文被发送到移动网络，因为在AKA过程结束之前，用户和网络之间还没有可用/共享的密码材料。

因此，当今移动网络中使用的对称加密方案不允许保护在完成用户认证过程之前交换的任何隐私敏感数据。这个脆弱性可能通过被动和主动攻击危及用户的隐私。

例如，借助于IMSI嗅探器，攻击者可以搜集在某个地理区域中处于活动的所有IMSI。IMSI嗅探器可以以两种不同的方式实现：被动和主动。被动嗅探器将简单地观察未加密的无线流量并存储所有观察到的IMSI。主动嗅探器将使用假基站(假的BTS-基站收发站)，由于检测到更强的无线电信号，其附近的移动电话将尝试连接到该基站：并且假基站将请求(利用身份请求消息)每个用户识别自己。主动IMSI嗅探在移动网络环境中也被称为IMSI捕获，并且它被认为是一种可行的攻击，并且近年来甚至可通过使用现成的工具来实现，如在Altaf Shaik、Ravishankar Borgaonkar、N.Asokan、Valtteri Niemi、Jean-PierreSeifert的“Practical attacks against privacy and availability in 4G/LTE mobilecommunication systems”(可从http://arxiv.org/pdf/1510.07563.pdf获得)和https:// www.sba-research.org/wp-content/uploads/publications/DabrowskiEtAl-IMSI- Catcher-Catcher-ACSAC2014.pdf中详细解释的那样。

IMSI嗅探/捕获攻击主要涉及用户的位置隐私的问题，因为IMSI的传输揭示了用户的大致位置。位置隐私攻击尝试将身份链接到位置。用户的位置跟踪是通过嗅探在空中以明文发送的用户身份来执行的。攻击者可以在某个区域或地点(例如，在机场)收集用户的身份，并且还可以跟踪用户的存在和移动，如在https://www.sba-research.org/wp- content/uploads/publications/DabrowskiEtAl-IMSI-Catcher-Catcher-ACSAC2014.pdf中详细解释的。

文献中提出了一些挫败IMSI嗅探/捕获的机制。在第30届计算机安全应用1会议论文集第246-255页ACM，2014的Adrian Dabrowski、Nicola Pianta、Thomas Klepp、MartinMulazzani和Edgar Weippl的“IMSI-catch me if you can:IMSI-catcher-catchers”中(可在https://www.sba-research.org/wp-content/uploads/publications/ DabrowskiEtAl-IMSI-Catcher-Catcher-ACSAC2014.pdf获得)，已经给出了针对IMSI捕获器的可能存在的几个指示器。它们基于固定测量设备的网络和Android应用，每个都能够检测IMSI捕获器。R实验室Snoopsnitch网站在https：//opensource.srlabs.de/projects/ snoopsnitch还提出了使用能够检测IMSI捕获器的Android应用。该应用收集并分析移动无线电数据，以使用户了解移动网络安全性并向用户警告如假基站(IMSI捕获器)、用户跟踪和空中更新等威胁。这些机制基于启发式方法，并且对于向用户警告假BTS的可能存在可以是有用的，但它们实际上并未阻止IMSI嗅探。

回到基于AKA的当前网络的传统认证方法，由于在用户识别和AKA过程完成之前终端设备和移动网络之间没有共享公共的秘密，因此这种对称密码方案不能在用户识别期间和在AKA之前为敏感数据交换提供足够的保护。但是，非对称(或基于公钥)的密码解决方案可以在这个阶段期间为敏感的用户标识信息提供足够的保护。在4G标准化处理期间曾讨论了这种类型的解决方案，例如“Rationaleand track of security decisions in LongTerm Evolved(LTE)RAN/3GPP System Architecture Evolution(SAE)”的第5.1节，3GPPTR 33.821，可在http://www.3gpp.org/DynaReport/33821.htm获得(已经在3G的Rel-99标准化中)。不过，3GPP决定不使用公钥机制，因为实现/管理成本被认为太高。但是，最近的发现(诸如已经引用的工作“Practical attacks against privacy and availability in4G/LTE mobile communication systems”，Altaf Shaik、Ravishankar Borgaonkar、N.Asokan、Valtteri Niemi、Jean-Pierre Seifert，http://arxiv.org/pdf/1510.07563.pdf)证明了4G/LTE系统的脆弱性。

一些研究报告已经显示了如何有可能利用一些信令脆弱性来实现不同类型的攻击，如订户的细粒度位置和拒绝服务(DoS)。

2014年12月在http://www.youtube.com/watch？v＝lQ0I5tl0YLY上在youtube上发布的“SS7:Locate,Track&Manipulate”视频中，作者示出了如何利用SS7信令协议的缺陷获得对SS7网络的访问权并对移动订户执行攻击。

另一项工作例示了如何使用此类访问拦截和操纵蜂窝对话(“Mobile_Self_Defense”，Karsten_Nohl-31C3-vl.pdf，可在https://events.ccc.de/congress/2014/Fahrplan/system/attachments/2493/original/Mobile_Self_Defense-Karsten_Nohl-31C3-vl.pdf检索)，而P1Security，2014http://labs.plsec.com/2014/12/05/ss7map-mapping-wlnerability-of-the-international-mobile-roaming-infrastructure-at-31c3/给出SS7全球安全地图。通过利用信令互连的可用性，事实上可以检索用户敏感数据，因为移动网络中的信令是基于电信网络运营商相互信任的假设在没有本地认证的情况下设计的。信令消息中缺少内置的认证方法允许攻击者向用户的家归属网络(home network)发送称为SendAuthenticationInfo(SAI)的欺骗性SS7MAP(移动接入协议)消息，以检索用于执行用户认证的数据。以这种方式，攻击者拥有成功模仿合法网络所需的信息。

遗憾的是，SendAuthenticationlnfo消息在漫游场景中被合法使用，无法在边界被过滤掉。使用SendAuthenticationlnfo消息只是个示例，如在“The Fall of SS7How Canthe Critical Security Controls Help”(https://www.sans.org/reading-room/ whitepapers/critical/fall-ss7--critical-security-controls-help-36225)中也有报道，其中作者描述了可以如何非法发送其它消息，如Hostile MAP更新位置请求，导致针对合法订户的DoS。更新位置请求消息由漫游网络实体朝着用户的归属网络发送，以便更新(在归属订户系统—HSS中)所存储的关于特定订户的位置信息。这通常在切换(即，订户从其归属网络移动到另一个网络)的情况下发生。目标订户的用户身份(IMSI)是位置更新请求中的必填字段。通过请求将这个用户(IMSI)重新定位到归属网络HSS内不存在的网络实体，发送恶意位置更新消息可以用于造成针对一个特定订户的DoS。然后，该用户被视为不可用，并且他/她在网络上变得无法到达。这意味着用户既不接收呼叫也不接收消息。因此，需要一种机制来确保请求的发起者的真实性以及返回的敏感信息的机密性。

新的信令协议，诸如4G网络中使用的DIAMETER协议，可以用于相同的目的。

在Fabian van den Broek、Roel Verdult、Joeri de Ruiter的“Defeating IMSICatchers”(可在http://www.cs.ru.nl/～rverdult/Defeating_IMSI_Catchers-CCS_2015.pdf获得)中，提出了一种机制，该机制部分地挫败了IMSI捕获攻击并增加与归属网络的相互认证的可信度。所提出的机制用变化的假名替换用户身份(IMSI)，该假名只能由用户归属网络识别。因此，这些假名是中间网络提供商和恶意攻击者无法链接的，因此可以缓和被动攻击和主动攻击。假名以保密方式提供，连续假名之间具有不可链接性。

US2012/0170745A1提出了一种用于在寻呼过程期间对订户身份进行加密的方法和设备，特别适于由MME使用IMSI执行的寻呼。该方法包括：A、使用由被呼叫UE的订户身份生成的密钥对基于该订户身份获得的数据Y进行加密，然后使用密文执行寻呼；以及B、在被呼叫UE接收到寻呼之后，由被呼叫UE确定是否包括密文，并且如果包括密文，那么将其自身作为被呼叫UE。在第一优选实施例中，数据Y是订户身份；在第二优选实施例中，数据Y是由订户身份和随机数据X组合的数据，并且随机数据X在寻呼期间与密文一起发送；在第三优选实施例中，数据Y是由订户身份和随机数据Z组合的数据，并且数据Y包含具体位置处的订户身份，当接收到寻呼时，UE使用订户身份执行解密并确定解密的明文是否在与该具体位置相同的位置处包含订户身份，以确定寻呼是否针对其自身。

发明内容

申请人已经观察到，虽然已经做了努力，但是在当前的无线网络中用户隐私仍然存在风险。

特别地，关于Fabian van den Broek等人的工作，申请人已经观察到其中所提出的方法没有完全消除IMSI捕获，因为仅当用户被成功认证并且将仅在后续身份请求消息中使用时才接收新的假名。那个工作中提出的解决方案的优点在于，它不需要在当前为3GPP移动电话定义的消息中进行协议改变，因为该解决方案被设计为符合当前标准。但是这个优点的代价是使IMSI在例如附接请求(Attach Request)消息中不受保护。因此，如果嗅探器捕获了附接请求，那么它仍然可以获得IMSI。

关于US2012/0170745A1，IMSI在寻呼请求消息中被加密，使得仅目的地UE(用户的移动设备)可以对其进行解密。加密密钥是IMSI本身。描述了三个实施例。在第一实施例中，使用IMSI作为密钥来加密同一IMSI。在第二实施例中，使用IMSI作为密钥来加密IMSI和随机数据。在第三实施例中，使用IMSI作为密钥来加密随机数据和UE位置。申请人已经观察到其中提出的解决方案特定于LTE并且不涵盖所有其它情况(例如，5G移动网络、Wi-Fi网络)。而且，该解决方案旨在仅保护寻呼请求消息内的IMSI，而非UE以明文方式发送IMSI的所有其它情况。因此，US2012/0170745A1的解决方案不能完全阻止IMSI捕获攻击，它在AKA过程完成之前无法保护由用户发送的IMSI和任何其它敏感信息，并且不提供用于例如在漫游场景中保护(加密和认证)在不同网络元素之间交换的敏感数据的手段。

申请人已经观察到，现在和将来的移动设备的增加的计算能力可以支持(现在已经或在不久的将来)使用迄今为止已被3GPP标准化组拒绝的非对称(基于公钥)的密码技术，其中私钥部署在用于签名和解密的网络元素/实体上，而所有最终用户都有权执行公钥加密操作，以便保护它们发送到被授权的网络元素的任何敏感信息。

申请人已经解决了消除或至少降低在无线网络中暴露用户隐私敏感数据的风险的问题。

特别地，申请人已经意识到因此需要一种在无线网络中提供信令消息的机密性和认证的方案。

根据其一个方面，本文档中公开的解决方案提出了一种保护无线通信网络中的隐私敏感数据的交换的方法。该方法包括：

-生成并向第一实体提供公共密码密钥，第一实体拥有要通过无线连接发送到无线通信网络的隐私敏感数据；

-生成并向第二实体提供私有秘密密钥(private secret cryptographic key)，第二实体是隐私敏感数据的预期的中间接收者或最终接收者，私有秘密密钥被绑定到公共密钥并且与适合于标识无线通信网络的隐私支持上下文信息相关联；

-使无线通信网络向第一实体发送相应的无线网络隐私支持上下文信息；

-使第一实体接收由无线通信网络发送的无线网络隐私支持上下文信息，并使用公共密码密钥和所接收的无线网络隐私支持上下文信息加密隐私敏感数据，以获得受保护的加密的隐私敏感数据；

-使第一实体通过无线通信网络向第二实体发送加密的隐私敏感数据；

-使第二实体利用私有秘密密钥对加密的隐私敏感数据进行解密。

所述适合于标识无线通信网络的隐私支持上下文信息可以例如包括以下之一：无线通信网络标识符，特别是公共陆地移动网络标识符PLMN；服务集标识符SSID。

所述隐私支持上下文信息可以例如包括所述无线通信网络标识符和适于标识第二实体的功能的功能指示的组合。

在本文公开的解决方案的实施例中，所述隐私支持上下文信息包括无线通信网络的两个或更多个标识符的组合。

在本文公开的解决方案的实施例中，所述适合于标识无线通信网络的隐私支持上下文信息包括适于标识无线通信网络的当前有效的私有秘密密钥的标识信息。

所述隐私支持上下文信息可以例如由无线通信网络广播到第一实体，特别是通过利用至少一个信令消息。

特别地，所述隐私支持上下文信息可以例如使用以下之一来发送：至少一个无线电资源控制消息，特别是RRC MIB消息或RRC SYSTEM INFORMATION消息；至少一个Beacon消息。

在本文公开的解决方案的实施例中，所述隐私支持上下文信息作为由第一实体通过无线网络实体执行的无线通信网络的选择过程的上下文或一部分、由提供到无线通信网络的无线连接的无线网络实体发送到第一实体，特别是作为Wi-Fi网络发现过程或移动设备同步过程的上下文或一部分。

所述公共密钥可以例如在第一实体订阅无线通信网络时或随后在空中提供给第一实体。

在本文公开的解决方案的实施例中，无线通信网络可以包括第一无线通信网络和第二无线通信网络，第一无线通信网络和第二无线通信网络均包括已经分别被提供有第一和第二私有秘密密钥，第一和第二私有秘密密钥绑定到公共密钥并且与相应的第一和第二隐私支持上下文信息关联。

第一实体可以例如连接到第一无线网络并且可以必须将隐私敏感数据发送到作为最终接收者的第二无线网络的第二实体之一。

在这种场景下，该方法可以包括：

-使第一无线通信网络和第二无线通信网络向彼此传送相应的第一和第二隐私支持上下文信息；

-在第一实体处，接收由第一无线通信网络发送的第一隐私支持上下文信息，并使用公共密钥和第一无线网络的第一隐私支持上下文信息对隐私敏感数据进行加密，以获得第一受保护的加密的隐私敏感数据；

-使第一实体将加密的隐私敏感数据发送到作为中间接收者的第一无线网络的第二实体之一；

-使第一无线网络的第二实体利用第一私有秘密密钥对加密的隐私敏感数据进行解密，以恢复隐私敏感数据；

-使第一无线网络的第二实体通过查看所恢复的隐私敏感数据来恢复第二无线网络的第二隐私支持上下文信息；

-使第一无线网络的第二实体利用公共密钥和第二无线网络的第二隐私支持上下文信息对隐私敏感数据进行加密，以获得第二受保护的加密的隐私敏感数据；

-使第一无线网络的第二实体将第二受保护的加密的隐私敏感数据发送到作为最终接收者的第二无线网络的第二实体之一；

-使第二无线网络的第二实体利用第二私有秘密密钥对接收到的第二受保护的加密的隐私敏感数据进行解密。

优选地，该方法还包括：

-使第一无线网络的第二实体在向第二无线网络的第二实体发送第二受保护的加密的隐私敏感数据之前利用第一无线网络的第一隐私支持上下文信息和第一私有秘密密钥将数字签名应用于第二受保护的加密的隐私敏感数据，以及

-使第二无线网络的第二实体通过利用公共密钥和第一无线网络的第一隐私支持上下文信息来验证由第一无线网络的第二网络实体应用的数字签名。

特别地，所述隐私敏感数据可以包括用于认证所述无线通信网络中的第一实体的标识信息。

在本文公开的解决方案的实施例中，该方法可以还包括：

-使第二无线网络的第二实体验证第一实体的标识信息并计算用于第一网络实体的认证的认证数据；

-使第二无线网络的第二实体使用公共密钥和第一无线网络的第一隐私支持上下文信息对用于第一实体的认证的所述认证数据进行加密，以获得用于第一实体的认证的受保护的加密的认证数据；

-使第二无线网络的第二实体将所述受保护的加密的认证数据发送到第一无线网络的第二实体；

-使第一无线网络的第二实体使用第一私有秘密密钥对所述受保护的加密的认证数据进行解密，以恢复认证数据，以及

-使第一无线网络的第二实体认证第一网络实体。

优选地，该方法可以还包括：

-使第二无线网络的第二实体在向第一无线网络的第二实体发送之前，使用第二无线网络的第二私有秘密密钥和第二隐私支持上下文信息将数字签名应用于受保护的加密的认证数据；

-通过使用公共密钥和第二无线网络的第二隐私支持上下文信息，使第一无线网络的第二实体验证由第二无线网络的第二实体应用的数字签名。

所述数字签名可以例如通过使用基于属性的加密和签名密码系统来应用。

在本文公开的解决方案的实施例中，所述生成和提供私有秘密密钥包括生成并向所述第二实体提供至少两个私有秘密密钥，并且其中，适用于标识无线通信网络的隐私支持上下文信息包括所述至少两个私有秘密密钥当中的当前使用的私有秘密密钥的指示。

优选地，该方法可以还包括撤销所述至少两个私有秘密密钥中的一个。

根据其另一个方面，本文档中公开的解决方案提出了一种用于保护无线通信网络中的隐私敏感数据的交换的系统。该系统包括：

-无线通信网络，向拥有隐私敏感数据的第一实体提供无线连接，所述隐私敏感数据要通过无线连接发送到无线通信网络；

-第一实体中的加密功能，用于使用从无线通信网络接收的公共密钥和无线网络隐私支持上下文信息来对要发送的隐私敏感数据进行加密，以获得受保护的加密的隐私敏感数据，其中无线网络隐私支持上下文信息适用于标识所述无线通信网络；

-无线通信网络中的第二实体，是隐私敏感数据的预期的中间接收者或最终接收者；

-第二实体中的解密功能，用于使用绑定到公共密钥并与适用于标识无线通信网络的隐私支持上下文信息相关联的私有秘密密钥来对从第一实体接收的加密的隐私敏感数据进行解密。

本文公开的解决方案提出了使用动态的组合式数字签名和加密方案，以保护隐私敏感数据免受会导致用户跟踪或针对用户的服务拒绝攻击的暴露和未经授权的处置。

有利地，所提出的解决方案非常轻，因为它不需要部署传统且完整的公钥基础设施(PKI)，对于本上下文来说，PKI在过去被认为太昂贵，不一定是从计算的角度来看，而主要是因为它隐含地意味着数十亿(移动)用户的公钥/私钥对的问题和管理。即使仍基于公钥密码方法，所提出的解决方案也显著降低了密钥部署和管理的复杂性和成本，因为大多数涉及的实体(例如，基本上所有最终用户)仅仅是加密实体，而仅授权的网络元素/实体执行数字签名和加密操作。而且，所提出的解决方案并未让终端设备过多涉及密钥管理过程，同时它提供(可能平滑的)密钥撤销，使得所有实体始终使用当前有效的公共(及其对应的私有)密钥而不是某个被撤销的、过时的甚至是被危及的密钥。

有利地，所提出的解决方案可以仅需要一个公钥，这对于所涉及的所有通信元件可以是相同的，并且私钥的数量至少等于漫游无线网络合作伙伴的数量。通过使用标识有权使用私钥的无线网络实体的具体隐私支持信息，每个私有秘密密钥被绑定到公钥。私有秘密密钥由其所有者(被授权使用它的无线网络实体)使用，以潜在地签名朝着漫游无线网络实体发送的任何信令消息，以便证明请求的真实性。私有秘密密钥还能够对用(唯一)公钥和被授权解密的无线网络实体的具体隐私支持信息加密的任何敏感数据进行解密。公共隐私支持信息用于在每次被授权执行解密或签名验证时动态地区分被授权的无线网络实体(属于移动网络术语中的不同管理域或不同运营商的无线网络的网络元素/实体)。

有利地，所提出的解决方案可以应用于无线网络中的不同点：在无线接入网络级别，以保护在无线网络中OTA发送的隐私敏感数据，以及在无线核心网络级别，以保护在属于其间具有漫游协议的无线网络的网络实体之间交换的隐私敏感数据。

当在无线接入网络级别应用时，在隐私敏感信息的源(例如，最终用户设备)处执行保护/加密，并且在负责用户移动性的被授权的无线网络元素/实体上动态地启用解密。在这种情况下，所提出的解决方案通过避免以明文传输来确保隐私敏感数据不会OTA暴露。

当在无线核心网络级别应用时，当接收隐私敏感数据的无线网络不负责拥有隐私敏感数据的用户并需要与用户的归属网络交换隐私敏感数据时，使用动态的组合式数字签名和加密方案；这种情况对于漫游场景是典型的。在这种情况下，所提出的解决方案确保以受保护的方式交换隐私敏感数据，并且仅由通过认证和授权的无线网络实体处理。

在这两个级别上应用保护方案确保了对隐私敏感信息的端到端保护，从而在漫游场景中也确保了隐私敏感信息的保护，以及对敏感信息的交换中所涉及的所有无线网络实体的认证。

本文提出的解决方案尤其在在AKA过程尚未完成时发送的所有单播消息(包括附接请求消息)中提供IMSI加密。因此，本文提出的解决方案防止了大多数情况下的IMSI嗅探并且可以与IMSI假名的改进使用相结合，因为4G和3G/2G网络已经使用临时身份来代替IMSI(例如，TMSI—临时移动订户身份，GUTI—全球唯一的临时ID)。而且，所提出的解决方案还可以通过向包含如果泄露则可能危及用户隐私的信息的所有消息提供机密和认证来保护任何类型的隐私敏感信息。

附图说明

通过阅读仅以非限制性示例的方式提供的示例性实施例的以下详细描述，将更好地理解本文公开的解决方案的这些和其它特征和优点。为了更好的可理解性，应当参考附图阅读以下描述，其中：

图1是在移动网络中实现的根据本文公开的解决方案的实施例的方案的逻辑-功能体系架构；

图2描绘了根据本文公开的解决方案的实施例的方案在一般性移动网络漫游场景中的实现；

图3描绘了在图2的漫游场景中移动网络之间的数据交换；

图4图示了根据本文公开的解决方案的实施例的示例性初始化和密码材料提供过程；

图5描绘了用于多个无线移动网络的场景的密钥生成和管理模型；

图6针对用户设备所连接的用户归属移动网络中的隐私敏感信息的保护，示出了本文公开的解决方案的实施例；

图7针对用户在移动性改变之后的漫游中连接到的服务受访移动网络中和在用户归属移动网络中的隐私敏感信息的保护，示出了本文公开的解决方案的另一个实施例，以及

图8针对用户采用EAP-SIM或EAP-AKA或EAP-AKA'认证过程的Wi-Fi网络的，示出了本文公开的解决方案的又一个实施例。

具体实施方式

图1图示了在无线网络中实现的根据本文公开的解决方案的实施例的方案的高级逻辑-功能体系架构，该无线网络在下文中也称为“隐私感知无线网络”。在图1所示的示例中，无线网络是移动网络105，并且包括无线接入网络(“隐私感知无线接入网络”)110和核心网络(“隐私感知核心网络”)115。

根据本文公开的解决方案，隐私感知无线网络105包括两个基本的逻辑-功能元素/实体：EE实体和SEE实体。

EE实体(如图1中所示的实体EE1、EEi和EEn)基本上是加密实体，其实现用于加密他们必须空中(OTA)发送到隐私感知无线网络105的隐私敏感数据(敏感信息)SI(图1中的SI1、Sli、Sin)的加密功能。为了执行加密，EE实体拥有公钥PubK以及简称为“上下文信息”CI的“隐私支持上下文信息”，公钥PubK如后面详细描述地被生成并提供给EE实体，CI由例如隐私感知无线网络105广播。EE实体还可以启用数字签名验证功能。例如，根据本文公开的解决方案，移动网络中的最终用户设备(智能电话、平板电脑、配备有互联网密钥的个人计算机)，在移动网络术语中也称为用户装备(UE)，是EE实体。

SEE实体(如图1中所示的实体SEEe和SEEc)既是数字签名实体又是加密实体，但它们还启用了数字签名验证功能并且可以启用解密功能。SEE实体是拥有私有秘密密钥PSK(如稍后详细描述的那样生成和提供)以用于数字签名和解密(而EE实体仅需要知道公钥PubK和以受保护的模式成功OTA递送其隐私敏感数据SI所需的正确的上下文信息CI)的元素。

取决于所部署的特定无线网络体系架构，SEE实体的功能可以在位于隐私感知无线接入网络110和隐私感知核心网络115之间的边缘处的网络元素(如图1中的SEE实体SEEe)上实现，或直接在核心网络元素(如图1中的SEE实体SEEc)上实现，或者SEE实体的功能可以在上述类型的网络元素上以分布式方式实现。

根据本文公开的解决方案的有利实施例，对于根据本文公开的解决方案的方案中涉及的所有网络实体，公钥PubK可以是相同的。特别地，如稍后更详细描述的，根据本文公开的解决方案，公钥PubK对于参与SI保护方案的所有不同隐私感知无线网络(诸如移动网络术语中属于不同管理域或不同网络运营商的无线网络)可以是相同的。

可替代地，可以将不同的被授权的隐私感知无线网络或网络实体分组在集群中，其中公钥PubK在集群内是相同的并且对于不同集群是不同的。这样可以减小(一个或多个)公钥PubK的位尺寸，这对于一些实现会是有利的。

相反，对于不同的隐私感知无线网络，需要不同的上下文信息CI，以在被授权的隐私感知无线网络(以及因此相应的被授权网络实体)之间进行区分/动态地选择，如稍后更详细描述的。上下文信息CI可以是与隐私感知无线网络105的身份直接相关的数据，并且例如在密码系统初始化阶段(如稍后描述的)生成。合适的上下文信息CI可以例如是或包括无线网络标识符(例如，对于移动网络)、可能与标识多个存储的私有秘密密钥中的私有秘密密钥的信息(例如，标识移动网络的SEE实体当前使用的当前有效的私有秘密密钥PSK的索引)串联的公共陆地移动网络标识符(PLMN ID，如已知的，它是移动国家代码MCC加上移动网络代码MNC)，或与私有秘密密钥标识信息或任何其它标识信息结构串联的用于Wi-Fi网络的服务集标识符(SSID)。更一般而言，上下文信息CI可以涉及许多不同的被授权隐私感知无线网络或其它实体(例如，用于合法拦截)，在这种情况下，存在个体上下文信息CI的集合[CI]。而且，在上下文信息CI内，各种无线网络标识符也可以在逻辑上组合(通过使用例如“与”、“或”和“非”逻辑运算符)，并且还可以包含各种网络角色/功能，如例如：用于PLMN的移动性管理实体(MME)的个体上下文信息的(PLMN ID和角色：MME)，或者用于PLMN的归属订户服务器(HSS)的个体上下文信息的(PLMN ID和角色：HSS)。这可能满足某些网络配置的需要。

一旦加密，隐私敏感数据SI就被称为“受保护的SI”(PSI)。图1中的标号PSI1、PSIi和PSIn分别表示由EE实体EE1、EEi和EEn通过使用公钥PubK和由隐私感知无线网络105广播的上下文信息CI加密其隐私敏感数据SI SI1、Sli、Sin而生成的加密的受保护的隐私敏感数据SI。在图1中，由EE实体EEI、EEi和EEn执行的各个隐私敏感数据SI SI1、Sli、Sin的加密操作表示为Enc(PubK&CI，SIl)，Enc(PubK&CI，SIi)，Enc(PubK&CI，SIn)。

EE实体EE1、EEi和EEn将受保护的隐私敏感数据SI PSI1、PSIi和PSIn OTA发送到隐私感知无线网络105。

加密(和解密)功能可以用于保护任何具体的隐私敏感数据SI，如隐私敏感的用户识别数据或一般性的隐私敏感数据(例如，用户/订户的身份、用户设备标识符、用户设备能力、网络能力、用户相关的认证信息、用户相关的位置信息等)，或者保护用于传达SI的整个消息。

通过使用由服务隐私感知无线网络提供的上下文信息CI和公钥PubK来执行加密，其中“服务隐私感知无线网络”是指在某个时刻提供到EE实体(用户设备)的无线连接以及隐私敏感的数据保护服务的无线网络。

服务隐私感知无线网络可以是所考虑的用户的归属无线网络，即，用户订阅无线通信服务(例如，移动通信服务)的无线网络，如图1的示例中那样。

由于用户的移动性，服务隐私感知无线(移动)网络也可以是受访无线(移动)网络，如图2和3中描绘的示例中那样，其中105a和105b表示两个互连的隐私感知无线(移动)网络，例如具有漫游协议并且参与根据本文公开的解决方案的保护方案的两个无线(移动)网络。两个隐私感知无线网络105a和105b具有各自的隐私感知无线接入网络110a和110b以及各自的隐私感知核心网络115a和115b。SEE1表示隐私感知无线网络105a的SEE实体SEE1的SEE实体，SEE2表示隐私感知无线网络105b的SEE实体SEE2的SEE实体。CI1和CI2分别表示隐私感知无线网络105a和105b的上下文信息，并且PSK1和PSK2分别表示隐私感知无线网络105a和105b的私有秘密密钥。EE实体EE1和EEn例如由其归属无线网络105a服务，而作为隐私感知无线网络105b的订户的EE实体EEi在所考虑的时刻由受访无线网络105a服务，如图3中所描绘的。

可以应用数字签名(和数字签名验证)功能来相互认证隐私敏感数据SI的处理/处置或者仅仅传送中涉及的网络实体。例如，参考图2，应用数字签名和数字签名验证功能，以相互认证两个隐私感知无线网络105a和105b的SEE实体SEE1和SEE2(如图2中的SEE实体SEE1和SEE2)。通过使用隐私感知无线网络105a、105b的私有秘密密钥PSK1、PSK2和与其相关联的上下文信息CI1、CI2来执行数字签名。以这种方式，进行接收的网络实体可以确保进行发送签名的网络实体确实被认证(即，拥有与所声明的上下文信息CI1/CI2对应的私有秘密密钥PSK1/PSK2)。

基于用户移动性，本文公开的解决方案本质上且动态地仅在授权的网络实体上启用解密功能。被授权的网络实体是已经被提供(如稍后所述)与对应的上下文信息(如上下文信息CI1、CI2)相关联/绑定的必需的解密和签名私有秘密密钥(如私有秘密密钥PSK1、PSK2)的那些网络实体。因此，仅允许被授权的网络实体解密由EE实体加密的信息(其中EE实体可以是用户设备，例如UE，或其它网络实体)。同样，如果处置SI的网络实体是不同管理网络的一部分(例如，在漫游场景中)，即，每当CI信息沿着隐私敏感数据SI的源和隐私敏感数据SI的最终目的地之间的路径改变时，数字签名功能被自动启用。

在图1的示例中，被授权的网络实体是用户设备EE1、EEi、EEn连接到的归属无线网络105的SEE实体SEEe、SEEc。

在图2和3的示例中，被授权的网络实体可以是用户的归属无线网络的SEE实体以及用户(如由图3中的EE实体EEi所表示的用户)在移动性改变之后连接到的服务受访无线网络和用户的归属无线网络的SEE实体。在这种情况下，受访无线网络的被授权的网络实体(归属无线网络的漫游合作伙伴)可以向用户的归属无线网络请求或发送隐私敏感数据：隐私敏感数据的这种交换还需要验证，因此需要签名。

有利地，本文公开的解决方案允许任何EE实体(移动网络术语中的无线设备或UE)基于从服务无线网络OTA接收的上下文信息CI动态地选择被授权执行EE实体所拥有的隐私敏感数据SI的解密的SEE实体。

在其实施例中，本文公开的解决方案基于组合的基于属性的加密和签名密码系统(ABES)。在这种密码系统中，为每个通信实体指派一组属性，并且针对关于属性的给定访问策略或结构，对敏感信息进行加密和/或签名。在基于属性的加密(ABE)密码系统中，敏感信息以这样的方式被加密：只有其属性满足给定访问策略的实体才能被解密。类似地，在基于属性的签名(ABS)密码系统中，敏感信息以这样的方式被签名：只有其属性满足给定访问策略的实体才能产生有效签名。

根据本文公开的解决方案的密码系统实现初始化过程Init、(一个或多个)私有秘密密钥生成过程KeyGen、加密和解密过程Encrypt和Decrypt、数字签名和数字签名验证过程Sign和Verify，以及(一个或多个)私有秘密密钥撤销过程Revoke。这些过程例如被实现为由数据处理系统执行的算法。

现在，暂时搁置初始化、私有秘密密钥生成和私有秘密密钥撤销过程(稍后将提供其描述)。

存在两种主要类型的ABE加密系统，即，密文策略ABE(CP-ABE)密码系统和密钥策略ABE(KP-ABE)密码系统。在前者中，总访问策略嵌入在加密功能中并且因此嵌入在密文中(并且也是密文的一部分)，而解密实体属性嵌入到其私有秘密密钥(并且是私有秘密密钥的一部分)。在后者中，总属性集嵌入在加密函数中并且因此嵌入在密文中(并且也是密文的一部分)，而解密实体访问策略嵌入到其私有秘密密钥中(并且是私有秘密密钥的一部分)。后续描述的解决方案的实施例遵循CP类型符号，但是，对于所考虑的特定属性，可以等效地表示为KP类型密码系统。

加密过程Encrypt(PubK,SI,A)在EE实体上执行，有时也在SEE实体上执行。加密过程Encrypt(PubK,SI,A)将表示公钥PubK的公共参数PP、要保护的隐私敏感信息SI以及作为给定PubK的属性的在所有接受的隐私支持上下文信息CI的全集U上定义的访问结构(也称为访问策略)A作为输入。一般而言，全集U是所有相关属性的集合，并且访问结构A是全集U中满足访问策略的属性的一组子集S。加密过程输出等于受保护的隐私敏感信息PSI的密文CT，使得当且仅当S∈A时，从子集S生成的私有秘密密钥PSK可以用于解密密文(受保护的隐私敏感信息)PSI。访问结构A隐含地包括在密文中。在本文公开的解决方案中，其中全集U是所有接受的隐私支持上下文信息CI的集合，对于给定的单个隐私支持上下文信息(属性)CI，访问结构被定义为A＝{CI}，因此当且仅当S＝CI时，全集U的单元素子集S满足访问策略。

更一般而言，对于不同上下文信息CI的给定集合[CI]，可以将访问结构A定义为包含集合[CI]的至少一个元素(即，与集合[CI]具有非零交集)的全集U的所有子集S的集合。在这种情况下，当且仅当S∈[CI]时，单元素子集S满足访问策略。要注意的是，单元素子集S确定用于系统中的个体网络或网络实体的私有秘密密钥PSK。

优选地，加密过程应当固有地相对于隐私敏感数据SI和访问结构A进行随机化。这意味着对于相同的隐私敏感数据SI和/或相同的访问结构A重复执行加密过程应当产生随机密文。这个特性允许确保使用相同公钥PubK重复加密的不可链接性。

解密过程Decrypt(PubK,PSI,PSK)在SEE实体上执行。解密过程将公共参数PubK、包含访问结构A的密文(受保护的隐私敏感数据PSI)以及与属性S的子集相关联的私有秘密密钥PSK作为输入。如果是S∈A，那么它以明文输出隐私敏感数据SI。如果对于给定的上下文信息CI，A＝{CI}，并且如果S是单元素集合，那么如果S＝CI，则解密过程输出隐私敏感数据SI。

数字签名过程Sign(PubK,PSK,A,SI)在SEE实体上执行。数字签名过程将公钥PubK、隐私敏感数据SI、访问结构A和与属性S的子集相关联的私有秘密密钥PSK作为输入。如果S∈A，那么它输出有效数字签名σ。访问结构A隐含地包括在签名中。在本文公开的解决方案中，A＝{CI}并且因此如果S＝CI则数字签名有效，其中CI是隐私支持上下文信息。

数字签名验证过程Verify(PubK,σ,SI)在SEE实体上执行，但也可以由EE实体执行。数字签名验证过程将公钥PubK、(接收的)隐私敏感数据SI、具有访问结构A和公钥PubK的签名σ作为输入。如果数字签名有效，那么数字签名验证过程输出“真”，否则输出“假”。如果S∈A(即，S＝CI)并且SI是通过认证的，即，与数字签名过程中使用的相同，那么数字签名被验证为有效。

在基本ABES数学可以与引用的方案描述的相同的意义上，根据本文公开的解决方案的过程可以用诸如CCP-ABES(组合密文策略–基于属性的加密和签名)之类的方案来实现，该方案被呈现于Cheng Chen、Jie Chen、HoonWei Lim、Zhenfeng Zhang和DengguoFeng：“Combined Public-Key Schemes:The Case of ABE and ABS”，Proceedings ofProvable Security，第六届国际会议ProveSec 2012，中国。应当注意的是，这个方案可以处理与任意线性秘密共享方案对应的接入结构。本文公开的解决方案中使用的隐私支持上下文信息CI以如上所述的方式与属性对应。算法的元组(Init,KeyGen,Encrypt,Decrypt,Sign,Verify,Revoke)部分匹配ABES方案中的元组(Setup,KeyGen,Encrypt,Decrypt,Sign,Verify)。取决于部署背景，初始化和撤销过程需要额外的具体步骤。

图4图示了根据本文公开的解决方案的实施例的密码材料和公共标识数据的初始化和分发(供应)的可能过程。

初始化阶段优选地在可信密钥生成实体(KGE)405上执行，可信密钥生成实体(KGE)405执行上面提到的初始化过程Init。初始化过程Init(sK,U)将安全参数sk和所接受的上下文信息CI(即，所有隐私感知无线网络(即，它们在保护方案中涉及的SEE实体)的上下文信息CI)的全集U作为输入，其中ck对于ABE(基于属性的加密)方案的数学安全性分析是固有的，并且如此定义了可实现的安全级别。安全参数sk和所接受的上下文信息CI的全集U例如由无线网络运营商的代表定义/同意。在初始化过程中，生成共同形成系统公钥PubK的公共参数PP和主秘密密钥MSK(其仅为可信KGE 405所知)。安全参数sk和主密钥MSK是所有ABE方案固有的熟知参数，并且它们的角色例如在上面引用的相同工作“CombinedPublic-Key Schemes:The Case of ABE and ABS”中或者在可从https:// eprint.iacr.org/2006/309.pdf获得的V.Goyal、O.Pandey、A.Sahai、B.Waters的“Attribute-Based Encryption for Fine-Grained Access Control of EncryptedData”中定义。实际实现的安全级别取决于安全参数sk的仔细选择和主密钥MSK的绝对保密性。

应当注意的是，在ABES方案的已知实现中，公钥PubK的位尺寸在全集U的基数|U|中是线性的。因此，如果具有不同上下文信息CI的被授权的网络实体的总数非常大，那么所公开的方案可能会变得不太有效。在这种情况下，为了减小公钥PubK的位尺寸，可以将网络实体聚类在各自与不同公钥PubK相关联的组中。特别地，集群可以围绕网络运营商及其漫游合作伙伴。

可信KGE 405还执行私有秘密密钥生成过程KeyGen。私有秘密密钥生成过程KeyGen(PubK,MSK,CI)将输入公钥PubK、主密钥MSK和支持上下文信息CI(属于全集U)作为输入，并输出与上下文信息CI关联的私有秘密密钥PSK。一般而言，私有秘密密钥生成过程KeyGen应当优选地相对于上下文信息CI进行随机化，即，如果针对相同的上下文信息CI重复私有秘密密钥生成过程KeyGen，那么私有秘密密钥PSK应当是随机的。更一般而言，如果A与不同上下文信息CI的集合[CI]对应，那么对于相同的公钥PubK，私有秘密密钥生成过程KeyGen可以针对每个上下文信息CI∈[CI]输出随机的私有秘密密钥PSK。在这种情况下，存在与不同上下文信息CI∈[CI]对应的多个不同私有秘密密钥PSK，并且每个这样的私有秘密密钥PSK可以解密由加密过程产生的相同加密消息。

可以在初始化阶段或随后(例如，在无线网络(以及因此其授权的SEE实体)在系统中变得活跃(即，成为授权的隐私感知无线网络)的任何时候)生成私有秘密密钥PSK(即，可以执行私有秘密密钥生成过程)。

被授权的隐私感知无线网络可能需要不止一个私有秘密密钥PSK，例如预定数量的私有秘密密钥PSK(私有秘密密钥集)，以便保证实现平滑的私有秘密密钥撤销的可能性(不中断通信和/或隐私敏感数据SI保护功能)。所有私有秘密密钥PSK都绑定到公钥PubK，并且私有秘密密钥PSK由加密实体隐含地选择/授权并且由签名实体借助于具体的上下文信息CI(例如，通过使用指向正确密钥的索引)指示。

优选地，由可信KGE 405生成的私有秘密密钥被安全地提供给不同的被授权隐私感知无线网络的SEE实体，例如使用安全的带外(OOB)安全通信信道。

在任何设备附接过程可以开始之前，不同的被授权隐私感知无线网络的上下文信息CI应当对所有连接的EE实体可用，并且对所有通信的SEE实体(例如，属于归属无线网络和漫游合作伙伴无线网络的SEE)可用。

更新后的上下文信息CI由所有的被授权隐私感知无线网络连续地提供给连接的设备(EE实体)，以及提供给漫游合作伙伴无线网络。对于连接的EE实体，可以在适当的信令消息中以广播提供上下文信息CI，该信令消息特定于下层通信技术。优选地，这个过程是借助于以上下文的方式在广播中发送到网络选择过程(例如，Wi-Fi发现过程，或移动网络中的设备同步过程等)或者作为其一部分的具体信令消息来执行的。

优选地，通过扩展已定义的信令消息类型之一的用途或通过在已定义的消息类型内定义新的专用字段(在上下文信息CI不适合为当前信令消息定义的尺寸的情况下，这可能是必要的)来发送上下文信息CI。可替代地，可以在预期用于下一代移动网络的新型广播或单播信令消息中发送上下文信息CI。

作为示例，在移动网络的情况下，可以使用在广播中发送的RRC(无线电资源控制)消息之一(如RRC MIB或RRC SYSTEM INFORMATION消息)来发送上下文信息CI。

相反，在Wi-Fi网络的情况下，可以通过使用例如Beacon消息来发送上下文信息CI。

优选地，还在上下文信息CI内提供私有秘密密钥标识信息(当前网络隐私属性PA)，以允许平滑的密钥撤销过程。

图5描绘了在由彼此具有漫游协议并且愿意根据本文公开的解决方案参与相同的隐私保护方案的不同移动网络运营商拥有和管理的给定数量n个移动网络MN1，MN2，MN3，...，MNn的场景中生成和分发密码材料和公共标识数据的处理。

参与隐私保护方案的每个移动网络MNi(i∈[1,n])必须向EE实体和其它移动网络的SEE实体提供其自己的隐私支持上下文信息CIi(i∈[l，n])。如前面所解释的，移动网络MNi的上下文信息CIi基本上标识移动网络MNi，并且还提供标识对应的当前有效的私有秘密密钥PSKi(i∈[l，n])的索引方案。所有上下文信息CI1，CI2，CI3，...，CIn形成所接受的上下文信息的全集U：U≡CI₁∪CI₂∪..CI_n。

所有移动网络MNi(例如，移动网络运营商的代表)也同意安全参数sk。

可信KGE实体405以所接受的上下文信息的全集U和安全参数sk作为输入，并生成主密钥MSK(其对于KGE实体405仍然是保密的)和系统的公钥PubK。

可信KGE实体405附加地生成每个移动网络所需的私有秘密密钥：优选地，为每个移动网络MNi提供私有秘密密钥集

用于允许平滑的私有秘密密钥撤销。在一般的移动网络MNi(i∈[1，n])中，私有秘密密钥PSKi(i∈[1，n])将被(网络的SEE实体)用于解密由其自己的用户通过通信网络发送的隐私敏感数据SI，并对在参与该方案的移动网络之间交换的隐私敏感数据SI进行签名。

公钥PubK可用于该方案中的任何参与者(无论是EE实体还是SEE实体)，而任何移动网络MNi的私有秘密密钥PSKi对于其它移动网络(以及EE实体)以及任何其它未经授权的实体保密。所接受的上下文信息的全集U也可用于所有合作伙伴移动网络MNI、MN2、MN3、...、MNn，并且每个移动网络MNi向其所服务的用户广播其自己的当前上下文信息CI。

优选地，一般的移动网络MNi将相应的私有秘密密钥PSKi(或私有秘密密钥的集合)存储在适当的移动性管理实体(MME)中，其确切位置取决于具体的网络体系架构。私有秘密密钥PSKi也可能存储在移动网络MNi的认证实体(基本上是归属用户服务器—4G网络中的HSS)中并且最终存储在Diameter边缘代理(DEA，在漫游场景中通常是到归属移动网络的第一入口点)。

应向移动网络用户提供公钥PubK和当前服务的移动网络MNi的上下文信息CI。如前面所解释的，公钥PubK(例如，对于整个移动网络系统唯一)和当前服务的移动网络MNi的上下文信息CIi是用户设备MD对发送到当前服务的移动网络MNi的SEE实体(例如，当前服务的移动网络的MME)的用户隐私敏感数据SI进行加密所必需的仅有的输入。

与漫游用户相关的隐私敏感数据SI的任何交换中涉及的漫游合作伙伴移动网络应当能够正确地识别其对应的上下文信息CI，以便能够加密/解密和签名或验证隐私敏感数据SI或者他们交换的受保护的隐私敏感数据PSI。如前面所提到的，隐私敏感数据SI可以是漫游用户的标识信息、用户的认证数据、漫游用户的位置数据等。

将公共密码密钥PubK提供给移动设备MD可以由归属移动网络在订阅时或经由安全的OTA过程来执行。

私有秘密密钥撤销过程Revoke(CI,PSK)，用于撤销私有秘密密钥(由于它接近其到期时间或由于它已被危及或泄露等)，或者，主要由可信KGE 405(或者如合作伙伴移动网络运营商之间商定的那样由专门的可信第三方)执行。为此目的，可信KGE 405具有其自己的私有秘密密钥PSKrev和上下文信息CIrev。私有秘密密钥PSKrev像主秘密密钥MSK一样保密(因为其保护和保密性与主秘密密钥MSK的保护和保密性一样高)。当出于任何原因撤销某个私有秘密密钥PSK时，对应的上下文信息CI被插入在由可信KGE 405用私有秘密密钥PSKrev和可信KGE上下文信息CIrev签名的撤销列表中。然后，撤销列表可供每个合作伙伴无线网络使用，每个合作伙伴无线网络优选地在其网络上周期性广播的特殊撤销消息中将撤销列表与可信KGE 405的上下文信息CIrev一起提供给它的用户，以便用户设备能够验证签名的真实性，从而验证其中包含的信息的真实性。在加密其隐私敏感数据SI之前，用户设备应当控制：在正常CI消息中广播的当前服务的移动网络的上下文信息CI未包括在撤销列表中。广播的撤销消息的周期可以长于正常CI广播消息的周期。

图6示出了本文公开的解决方案用于保护移动用户设备(UE)所连接的归属网络中的敏感信息的实施例。

移动用户设备MD经由移动通信连接MC(如3G、4G、5G连接)连接到其归属移动网络HMN，但移动用户设备MD尚未在归属移动网络HMN中被认证。

归属移动网络HMN已被指派(例如，在初始化阶段，如前所述)并且正在广播(归属移动网络)上下文信息HCI(即，当前网络隐私属性)。由于归属移动网络HMN的SEE实体被授权解密用户(其为归属移动网络HMN的订户)的隐私敏感数据SI并且还对SI记录进行数字签名，因此归属移动网络HMN的SEE实体(HMME、HAE，如下文简短讨论的)被提供当前对应的私有秘密密钥HPSK以用于解密和数字签名。

归属网络HMN的所有用户订户的移动设备(如图中所描绘的移动用户设备MD)被提供(在订阅时或使用某个合适的OTA过程)对应的加密公钥PubK。这个公钥PubK和归属网络HMN的当前上下文信息HCI将由所有归属网络用户设备(所有EE实体)用来通过执行加密过程Encrypt(PubK,SI,A)来加密隐私敏感数据SI(图6中的标号EALG)。

因此，移动设备MD连接到其归属网络HMN(但尚未被认证)，并且它在无线电接入过程期间已经接收到用于执行加密并因此保护隐私敏感数据SI的归属网络上下文信息HCI。移动设备MD是EE实体并且总是将公钥PubK与广播的归属网络上下文信息HCI一起使用以加密隐私敏感数据SI，否则隐私敏感数据SI将在移动连接MC上以明文发送，因为在这个阶段尚未执行/完成传统的认证程序。

归属网络HMN的被授权的SEE实体接收受保护(加密)的敏感信息PSI并且，通过使用归属网络私有秘密密钥HPSK、相关联的归属网络上下文信息HCI，执行解密过程Decrypt(PubK,PSI,PSK)(图6中的标号DALG)，并以明文恢复隐私敏感数据SI。以这种方式，归属网络HMN能够识别用户并执行认证(例如，以完成AKA过程)。

解密操作可以由归属网络HMN中的任何被授权的SEE实体(诸如归属认证实体HAE(例如，LTE网络中的HSS)或由负责移动性管理的实体HMME(例如，LTE网络中的MME)来执行：取决于特定的网络体系架构，一种配置可能优先于另一种配置。例如，在归属网络HMN中采用负载平衡解决方案的情况下，对移动性管理实体HMME的依赖是合适的，负载平衡解决方案需要以明文形式标识隐私敏感数据SI的可用性，以便能够标识归属网络HMN中负责特定用户的认证的实体。在这种情况下，因此有必要在网络的第一入口点以明文恢复标识敏感数据，并且这种第一入口点可以是归属移动性管理实体HMME。因此，负责解密隐私敏感数据的SEE实体的位置和移动网络功能取决于归属网络体系架构和配置。

虽然执行解密操作的位置可能随着移动网络体系架构的不同而变化，但是数字签名功能(图6中的标号SALG)优选地总是位于请求或产生与用户相关的隐私敏感数据SI的SEE实体上，因为数字签名要求私有秘密密钥PSK的可用性。例如，为了发送用户认证数据(例如，LTE AKA中的用户认证向量)，进行发布的归属认证实体HAE(LTE网络中的HSS)可以在传输到归属移动性管理实体HMME之前对它们进行潜在签名和加密。利用公钥PubK执行加密，而数字签名采用归属私有秘密密钥HPSK。归属移动性管理实体HMME还可以对其请求进行数字签名。如果在交换中涉及的网络元素之间已经存在安全通道，那么该机制是多余的，因为它们属于同一个移动网络MN。不过，当涉及的元素属于不同的移动网络MN时，如在漫游场景中(如下所述)，这种机制可以被认为是有用的。

图7对于用户设备(UE)在移动性改变之后漫游连接到的受访服务移动网络以及和归属网络中的隐私敏感信息的保护，示出了本文公开的解决方案的另一个实施例。因此，图7的实施例表示漫游场景，其中移动用户设备连接到与其归属移动网络不同的服务移动网络。

当移动设备MD改变位置并从归属移动网络HMN移动到新的移动网络(本文称为受访移动网络VMN)时，移动设备MD应当能够通过使用在受访移动连接VMC上广播的受访网络上下文信息VCI动态地授权受访移动网络VMN执行受保护的隐私敏感数据的解密。

移动设备MD接收通过受访移动连接VMC广播的受访网络上下文信息VCI，并且移动设备MD使用接收到的受访移动网络上下文信息VCI以及公钥PubK来执行隐私敏感(标识)数据SI的加密(图7中的标号EALG)。因此，移动设备MD是受访移动网络VMN中的EE实体，因为它将位于其归属移动网络HMN中，并且上下文信息动态地并以隐形的方式从先前的归属移动网络上下文信息HCI改变为给定的移动上下文中的正确上下文信息(受访移动网络上下文信息VCI)。

受访移动网络VMN从移动设备MD接收受保护的(加密的)隐私敏感数据PSI。受访移动网络VMN中的受访移动网络SEE实体VMME(其优选地是在受访移动网络VMN中负责移动性管理的网络实体)对加密的隐私敏感数据PSI进行解密(图7中的标号DALG)并以明文恢复隐私敏感数据SI。为此目的，(在初始化阶段或之后)为受访移动网络SEE实体VMME提供了必要的私有秘密解密密钥VPSK(其不同于归属网络私有秘密解密密钥HPSK)。

受访移动网络SEE实体VMME以明文恢复隐私敏感数据SI，并且基于此，正确地识别用户的归属移动网络HMN。受访移动网络SEE实体VMME必须将隐私敏感数据SI转发到归属移动网络HMN，以便例如恢复用户认证数据(实际上，认证数据由归属移动网络计算)。因此，受访移动网络SEE实体VMME检索归属移动网络HMN的归属网络上下文信息HCI，并且在转发之前，利用归属移动网络上下文信息HCI和公钥PubK加密(图7中的标号EALG)隐私敏感信息SI；受访移动网络SEE实体VMME还利用其自己的受访移动网络私有秘密密钥VPSK和受访移动网络上下文信息VCI签名(图7中的标号SALG)要发送的消息，以便保证对发送者的认证。

有利地，以这种方式，隐私敏感数据在漫游期间也得到保护。

归属移动网络HMN中从受访移动网络VMN接收具有被加密且签名的隐私敏感数据PSI的消息的SEE实体能够使用归属移动网络私有秘密密钥HPSK解密(图7中的标号DALG)接收到的消息并用公钥PubK和受访移动网络上下文信息VCI验证(图7中的标号VALG)签名。

归属移动网络HMN中的这种SEE实体可以是归属网络认证实体HAE或通常在漫游场景中用作归属移动网络HMN的第一入口点的Diameter边缘代理DEA。这个选择取决于网络体系架构和具体配置。

在Diameter边缘代理DEA是SEE实体的情况下，Diameter边缘代理DEA应当被提供归属移动网络私有秘密密钥HPSK，以便能够以明文解密和恢复加密的隐私敏感信息PSI并然后向归属网络认证实体HAE转发认证请求。公钥PubK应当对于所有元素可用，因此Diameter边缘代理DEA也应当能够验证签名。

响应于认证请求，归属网络HMN的归属移动网络认证实体HAE验证隐私敏感数据SI中包含的用户的标识信息，并计算需要发送回受访移动网络VMN的SEE实体VMME的认证数据。因此，归属移动网络认证实体HAE检索受访移动网络VMN的受访移动网络上下文信息VCI，并且在转发认证数据之前，用受访移动网络上下文信息VCI和公钥PubK加密(图7中的标号EALG)隐私敏感信息(其现在包含认证数据)。归属移动网络认证实体HAE还可以用其自己的归属移动网络私有秘密密钥HPSK和归属移动网络上下文信息HCI对要发送的消息进行数字签名(图7中的标号SALG)，以便向受访移动网络VMN保证隐私敏感信息SI的发送者的真实性。随后，新的受保护的隐私敏感信息PSI被发送到受访移动网络VMN。

受访移动网络VMN中接收到具有被加密并签名的隐私敏感数据PSI的消息的SEE实体VMME能够使用受访移动网络私有秘密密钥VPSK对其进行解密(图7中的标号DALG)并用公钥PubK和归属移动网络上下文信息HCI验证(图7中的标号VALG)签名。

无论何时受访移动网络VMN和归属移动网络HMN交换隐私敏感信息SI，都可以使用刚才描述的方案，隐私敏感信息SI可以是但不限于：用户标识信息(诸如附接请求和身份响应中存在的订户标识符)、认证数据(与Diameter信令协议相关的认证信息请求AIR及相关答复(验证信息答复AIA))、位置信息(与Diameter协议相关的更新位置请求ULR及相关答复(更新位置答案ULA))等。

这里公开的解决方案的所述实施例的优点是使用在通信信道上广播的本地上下文隐私支持信息，这允许移动设备取决于移动设备连接到的无线网络而仅向被授权的网络实体动态地授权隐私敏感数据的解密。

这里公开的解决方案的所述实施例的另一个优点是必须分发给移动设备并且因此必须在设备上管理的密码材料的量有限(仅一个公共加密密钥PubK)。

本文公开的解决方案向归属移动网络HMN提供归属移动网络私有秘密密钥HPSK(用于解密和签名)，取决于网络配置和体系架构，归属移动网络私有秘密密钥HPSK可以存储在归属移动网络的具有SEE实体的角色的任何实体中：这种SEE实体可以例如是归属移动网络移动性管理实体HMME、归属移动网络认证实体HAE或Diameter边缘实体DEA。归属移动网络私有秘密密钥HPSK在归属移动网络HMN中的所有SEE实体中是相同的。

归属移动网络私有秘密密钥HPSK绑定到归属移动网络上下文信息HCI，并允许所有归属移动网络用户的隐私敏感数据的解密，以及为所有用户生成隐私敏感数据的签名(并因此认证)。

任何受访移动网络VMN(即，与归属移动网络HMN具有漫游协议的任何移动网络)被提供它自己的私有秘密密钥(在上述实施例中为受访网络私有秘密密钥VPSK)，以对所有其服务用户(包括属于在漫游中并且必须使用正确的受访移动网络上下文信息VCI的另一个归属移动网络HMN的被服务用户(即，订户))的加密的隐私敏感数据PSI进行解密。受访移动网络私有秘密密钥VPSK可以存储在任何在受访移动网络中扮演SEE实体的角色的受访移动网络移动性管理实体VMME中。

图8描绘了本文公开的解决方案应用于Wi-Fi场景的实施例，在Wi-Fi场景中，通常实现基于明文的隐私敏感标识信息的交换的任何认证方法(例如，就像在使用EAP-SIM(在IETF RFC 4186中定义)、EAP-AKA(在IETF RFC 4187中定义)或EAP-AKA'(在IETF RFC 5448中定义)认证协议时)。

无线用户设备WD经由无线连接(如例如由IEEE 802.11无线LAN标准指定的那些)连接到(隐私感知的)Wi-Fi网络WN。无线用户设备WD支持3GPP访问能力，即，它设有USIM，并且设备的USIM卡中的凭证用于认证过程。

已经提供了Wi-Fi网络WN(例如，在初始化阶段)并且它正在广播隐私支持上下文信息WCI(即，当前网络隐私属性)；例如，上下文信息WCI由Wi-Fi网络WN的接入点广播。所支持的用户认证协议之一(例如，EAP-SIM、EAP-AKA、EAP-AKA')基于明文的隐私敏感用户标识信息SI的初始交换。

无线设备WD是EE实体：它们具有可用的(已经被提供)公钥PubK并且从接入点接收当前上下文信息WCI。密码系统的公钥PubK在订阅时或通过使用安全OTA过程被提供给作为Wi-Fi网络WN的订户的所有用户的无线设备WD。

Wi-Fi网络WN的SEE实体被提供当前对应的私有秘密密钥HPSK(用于解密和数字签名)，因为SEE实体被授权解密其归属(订户)用户的隐私敏感数据SI并且还签名SI记录。

通过使用Wi-Fi网络WN的当前上下文信息WCI，所有无线设备WD(所有EE实体)将使用公钥PubK来加密(图8中的标号EALG)隐私敏感数据SI。

因此，图8中所示的无线设备WD连接到Wi-Fi网络WN，并且在无线接入过程期间已经接收了上下文信息WCI，以便能够执行加密并因此保护隐私敏感数据SI(否则，隐私敏感数据SI将会以明文在无线连接上发送，因为尚未执行/完成传统的认证过程)。

附加的认证服务器3GPP AAA服务器AuthS也可以存在于Wi-Fi网络WN中，但是通常这可能不需要具有SEE实体的角色，因为它应当足以让这个网络元素向配置的SEE实体转发加密的隐私敏感信息SI。为了路由加密的隐私敏感信息SI，认证服务器AuthS使用领域(realm)，这是标识归属Wi-Fi网络的完全合格的域名。领域在用户身份中以被称为NAI(即，“username@realm”)的格式表示。Username可以是IMSI或临时假名，并且“realm”将是标识归属Wi-Fi网络的完全合格的域名。用于3GPP WLAN联网的NAI的使用和格式已在3GPPTS23.003中定义。为此，无线设备WD仅加密NAI的username部分。

Wi-Fi网络WN的被授权的SEE实体是用户的归属移动网络HMN的元素，即，用户已订阅并接收其订户ID和SIM(订户身份模块)的移动网络。典型地，被授权的SEE实体是HLR(归属位置寄存器)或HSS(归属订户服务器)。SEE实体接收受保护的(加密的)隐私敏感数据PSI并且，通过使用归属移动网络私有秘密密钥HPSK和相关联的上下文信息WCI来执行解密(图8中的标号DALG)，以恢复明文的敏感信息SI。以这种方式，归属移动网络HMN能够识别用户并执行认证(例如，以完成AKA过程)。SEE的位置可以因网络架构而异。

数字签名功能(图8中的标号SALG)总是位于产生与用户相关的隐私敏感SI数据的SEE实体上。例如，为了发送认证数据(例如，在AKA中为用户的认证向量)，发布实体HLR或HSS可以在传输到Wi-Fi网络WN的认证服务器AuthS之前对它们进行签名。如果这种信息也被加密，那么认证服务器AuthS将具有归属移动网络私有秘密密钥HPSK。利用公钥PubK执行加密(图8中的标号EALG)，而数字签名过程采用归属移动网络私有秘密密钥HPSK。在这个场景中，加密功能在该方案中涉及的所有网络元素上可用。

基于适当的上下文信息以及隐私敏感数据的处置/处理中涉及的所有网络实体的认证，在漫游场景中也保证了对隐私敏感数据的保护。

§§§§§

通过仅在可以基于用户移动性动态地改变的被特别授权的网络实体/元素上动态地启用加密和数字签名功能以及解密和数字签名验证功能，本文档中公开的解决方案提供了在无线网络(如Wi-Fi网络和移动网络，包括未来的5G移动网络)中交换的任何隐私敏感数据或信息SI的保护；通过利用在无线网络中交换的公共上下文信息来使得这种动态变得可能。

根据本文公开的解决方案，隐私敏感数据的所有者通过仅允许被授权的网络实体访问隐私敏感数据来控制并保证她/他的隐私敏感数据的保护。当这种数据通过无线网络传播到其最终目的地(即，被授权处置隐私敏感数据的接收者网络实体)时，对隐私敏感数据的保护得到维持。

私有秘密密钥仅部署在必须执行签名和解密操作的被授权的网络实体上，而所有最终用户有权执行有针对性的基于公钥的加密操作，以便保护他们发送到无线网络的任何隐私敏感数据并选择能够解密和处置最终用户发送的隐私敏感数据的被授权网络实体。

根据本文公开的解决方案，基于适当的上下文信息，在漫游场景中也保证对隐私敏感数据的保护，以及对隐私敏感数据的处置/处理中涉及的所有网络实体的认证。

本文公开的解决方案的显著优点在于它不会在密钥管理过程中过度涉及最终用户设备，并且可以提供平滑的私有秘密密钥撤销，使得所有通信实体总是使用当前有效的公钥和私钥。而不是一些被撤销的过期的或甚至被危及的密钥。在不破坏通信或保护服务的意义上，密钥撤销是平滑的。

本文公开的解决方案的另一个优点是虚假上下文信息(诸如虚假网络和密钥标识符)的广播不会危及对所交换的隐私敏感数据的保护，因为不允许未授权实体对加密的隐私敏感数据进行解密，至少有两个原因。首先，这种虚假实体没有被提供对应的解密私有秘密密钥，其次，拥有隐私敏感数据的EE实体不能通过使用虚假标识符/属性信息对其进行加密：加密过程将失败，因为虚假上下文信息最初不存在于CI全集U中。

而且，即使虚假网络(实体)知道相关联的上下文信息，虚假网络(实体)也不能像被授权的网络(实体)那样签名携带隐私敏感数据的消息，当然，除非被授权的SEE实体的私有秘密密钥已被泄露。

虚假实体可以广播例如涉及已被撤销并且不再在系统中使用的被危及的过去私有秘密密钥的虚假上下文信息。因此，所有EE实体应当具有在任何给定时刻控制广播的上下文信息是否有效的手段。前面描述的撤销过程满足这个要求：被撤销的上下文信息(或被撤销的上下文信息的列表)以安全的方式发送到被正确认证的所有EE实体。利用当前服务无线网络的私有秘密密钥签名发送这种信息，使得它可以被EE实体认证(数字签名被正确验证)。

此外，如果上下文信息未被网络实体(如当设备执行附接过程时的受访网络或Wi-Fi网络)广播，那么用户设备将不执行网络的附接过程，但是它将寻找替代方案无线网络，如果可用，它保证隐私敏感识别数据的隐私性。

Claims

1.一种保护无线通信网络中的隐私敏感数据的交换的方法，该方法包括：

-生成并向第一实体提供公共密钥，第一实体拥有要通过无线连接发送到无线通信网络的隐私敏感数据；

-生成并向第二实体提供私有秘密密钥，第二实体是隐私敏感数据的预期的中间接收方或最终接收方，私有秘密密钥被绑定到公共密钥并且与适合于标识无线通信网络的隐私支持上下文信息相关联；

-使第一实体接收由无线通信网络发送的无线网络隐私支持上下文信息并使用公共密钥和所接收的无线网络隐私支持上下文信息来对隐私敏感数据进行加密，以获得受保护的、加密的隐私敏感数据；

-使第二实体利用私有秘密密钥来对加密的隐私敏感数据进行解密，

其中无线通信网络包括第一无线通信网络和第二无线通信网络，第一无线通信网络和第二无线通信网络均包括已经分别被提供有第一和第二私有秘密密钥的相应的第二实体，第一和第二私有秘密密钥绑定到公共密钥并且与相应的第一隐私支持上下文信息和第二隐私支持上下文信息关联，并且

其中第一实体连接到第一无线网络并且必须将隐私敏感数据发送到作为最终接收者的第二无线网络的第二实体之一，

该方法包括：

-使第一无线通信网络和第二无线通信网络向彼此传送相应的第一隐私支持上下文信息和第二隐私支持上下文信息；

2.如权利要求1所述的方法，其中，适合于标识无线通信网络的所述隐私支持上下文信息包括以下之一：无线通信网络标识符；服务集标识符SSID。

3.如权利要求2所述的方法，其中，所述无线通信网络标识符是公共陆地移动网络标识符PLMN。

4.如权利要求2所述的方法，其中，所述隐私支持上下文信息包括所述无线通信网络标识符和适于标识第二实体的功能的功能指示的组合。

5.如权利要求2-4中任一项所述的方法，其中，所述隐私支持上下文信息包括无线通信网络的两个或更多个标识符的组合。

6.如权利要求1-4中任一项所述的方法，其中，适合于标识无线通信网络的所述隐私支持上下文信息包括适于标识无线通信网络的当前有效的私有秘密密钥的标识信息。

7.如权利要求1-4中任一项所述的方法，其中，所述隐私支持上下文信息由无线通信网络广播到第一实体。

8.如权利要求7所述的方法，其中，所述隐私支持上下文信息由无线通信网络利用至少一个信令消息广播到第一实体。

9.如权利要求7所述的方法，其中，所述隐私支持上下文信息使用以下之一来发送：至少一个无线电资源控制消息；至少一个Beacon消息。

10.如权利要求9所述的方法，其中，所述无线电资源控制消息是RRC MIB消息或RRCSYSTEM INFORMATION消息。

11.如权利要求1-4中任一项所述的方法，其中，所述隐私支持上下文信息作为由第一实体通过无线网络实体执行的无线通信网络的选择过程的上下文或一部分、由提供到无线通信网络的无线连接的无线网络实体发送到第一实体。

12.如权利要求11所述的方法，其中，所述隐私支持上下文信息作为Wi-Fi网络发现过程或移动设备同步过程的上下文或一部分发送到第一实体。

13.如权利要求1-4中任一项所述的方法，其中，所述公共密钥在第一实体订阅无线通信网络时或随后在空中提供给第一实体。

14.如权利要求1所述的方法，还包括：

15.如权利要求1-4、14中任一项所述的方法，其中，所述隐私敏感数据包括用于认证所述无线通信网络中的第一实体的标识信息。

16.如从属于权利要求15所述的方法，还包括：

-使第一无线网络的第二实体认证第一网络实体。

17.如权利要求16所述的方法，还包括：

18.如权利要求14或17所述的方法，其中，所述数字签名通过使用基于属性的加密和签名密码系统来应用。

19.如权利要求1-4、14中任一项所述的方法，其中，所述生成和提供私有秘密密钥包括生成并向所述第二实体提供至少两个私有秘密密钥，并且其中，适用于标识无线通信网络的隐私支持上下文信息包括所述至少两个私有秘密密钥当中的当前使用的私有秘密密钥的指示。

20.如权利要求19所述的方法，还包括撤销所述至少两个私有秘密密钥中的一个。

21.一种用于保护无线通信网络中的隐私敏感数据的交换的系统，该系统包括：

-第一实体中的加密功能，用于使用从无线通信网络接收的无线网络隐私支持上下文信息和公共密钥来对要发送的隐私敏感数据进行加密，以获得受保护的加密的隐私敏感数据，其中无线网络隐私支持上下文信息适用于标识所述无线通信网络；

-第二实体中的解密功能，用于使用绑定到公共密钥并与适用于标识无线通信网络的隐私支持上下文信息相关联的私有秘密密钥来对从第一实体接收的加密的隐私敏感数据进行解密，

其中无线通信网络包括第一无线通信网络和第二无线通信网络，第一无线通信网络和第二无线通信网络均包括已经分别被提供有第一私有秘密密钥和第二私有秘密密钥的相应的第二实体，第一私有秘密密钥和第二私有秘密密钥绑定到公共密钥并且与相应的第一隐私支持上下文信息和第二隐私支持上下文信息关联，并且

其中：

第一无线通信网络和第二无线通信网络向彼此传送相应的第一隐私支持上下文信息和第二隐私支持上下文信息；

第一实体中的加密功能被配置用于使用公共密钥和第一无线网络的第一隐私支持上下文信息对隐私敏感数据进行加密，以获得第一受保护的加密的隐私敏感数据；

作为第一受保护的加密的隐私敏感数据的中间接收者的第一无线网络的第二实体中的解密功能被配置用于利用第一私有秘密密钥对第一受保护的加密的隐私敏感数据进行解密，以恢复隐私敏感数据；

第一无线网络的第二实体被配置用于通过查看所恢复的隐私敏感数据来恢复第二无线网络的第二隐私支持上下文信息；

第一无线网络的第二实体中的加密功能被配置用于利用公共密钥和第二无线网络的第二隐私支持上下文信息对隐私敏感数据进行加密，以获得第二受保护的加密的隐私敏感数据；

作为隐私敏感数据的最终接收者的第二无线网络的第二实体中的解密功能被配置用于利用第二私有秘密密钥对从第一无线网络的第二实体接收到的第二受保护的加密的隐私敏感数据进行解密。