CN110049483A - 移动通信系统用户网络身份跳变隐藏网络功能的实现方法 - Google Patents

移动通信系统用户网络身份跳变隐藏网络功能的实现方法 Download PDF

Info

Publication number
CN110049483A
CN110049483A CN201910278634.6A CN201910278634A CN110049483A CN 110049483 A CN110049483 A CN 110049483A CN 201910278634 A CN201910278634 A CN 201910278634A CN 110049483 A CN110049483 A CN 110049483A
Authority
CN
China
Prior art keywords
supi
imsi
user
new
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910278634.6A
Other languages
English (en)
Inventor
吴坤
王俊
张力
田永春
曾浩洋
姜永广
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CETC 30 Research Institute
Original Assignee
CETC 30 Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CETC 30 Research Institute filed Critical CETC 30 Research Institute
Priority to CN201910278634.6A priority Critical patent/CN110049483A/zh
Publication of CN110049483A publication Critical patent/CN110049483A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • H04W60/02Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration by periodical registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • H04W60/06De-registration or detaching
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/04Registration at HLR or HSS [Home Subscriber Server]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种移动通信系统用户网络身份跳变隐藏网络功能的实现方法,包括新用户网络身份标识的产生及处理、交互控制和更新控制三大模块,其中,所述新用户网络身份标识的产生及处理模块的功能包括建立IMSI/SUPI映射表、生成新IMSI/SUPI及封装;所述交互控制模块的功能包括新IMSI/SUPI的下发交互、表更新通知、标识更新管理通知;所述更新控制模块的功能包括周期控制和注销控制。本发明能实现移动通信系统中用户网络身份IMSI/SUPI的不断跳变,满足关键行业用户隐私保护需求;适用性强;不对标准网络架构和协议流程提任何要求,仅与归属网络中的HSS或UDM/UDR或SMSC或其他锚点网元进行接口定制及信息交互。

Description

移动通信系统用户网络身份跳变隐藏网络功能的实现方法
技术领域
本发明涉及一种移动通信系统用户网络身份跳变隐藏网络功能的实现方法。
背景技术
移动通信系统能够为用户提供随时随地的无线连接能力,是当今信息社会实现信息交换的重要公共基础设施,其服务的用户既包括普通公众用户,也包括具有更高安全需求的行业用户。对于行业用户,既要充分利用已有的公用基础设施资源,又要通过安全增强来满足高安全业务需求。
传统的安全增强手段主要是通过基于用户面对用户业务数据加密、二次认证等来实现,控制面的安全则完全依赖于运营商,特殊行业等高安全行业用户迫切希望在控制面上进行安全增强,尤其是在高安全行业用户网络身份的隐私保护方面。
在3G/4G和5G网络是以全球唯一的IMSI和签约永久标识符(SUPI)作为用户身份标识和寻址的根索引信息,同时所有用户签约、位置信息以及属性信息都以此根索引信息为基础建立映射,一旦用户IMSI/SUPI被非法窃取,就存在着通过跟踪行业用户IMSI/SUPI达到跟踪行业用户位置等信息和网络通信行为的风险,对用户的隐私安全造成非常严重的影响。
3G/4G中,IMSI的主要泄露途径之一是在网络附着初始过程中空口上明文传输时被截获,5G通过对SUPI进行加密获得签约隐藏身份标识符(SUCI),在一定程度上解决了用户网络身份明文传输泄露的问题。但是,在5G标准架构和流程下,访问地和归属地的AMF(SEAF)、AUSF等网元依旧能够在AKA过程中合法地获取到用户的IMSI/SUPI,而对于关键行业安全用户来讲,可以通过网元定制增强来提升归属网络的安全性,但难以对拜访网络(如国外漫游时的国外运营商)进行定制安全增强,拜访网络通过劫持用户永久身份标识就能够得出用户签约、位置信息以及属性信息等相关信息,并实现对用户位置和网络通信行为的持续跟踪,给高安全行业用户带来巨大的安全隐患。
为了增加攻击者通过劫持用户永久身份标识发动持续跟踪攻击的难度,一种有效的方法就是通过对用户永久身份标识的跳变,来解耦和打乱永久身份标识与用户签约、位置信息以及属性信息等相关信息之间的固定映射关系。
用户永久身份标识的跳变的实现需要有网络功能的支撑,并与终端侧功能配对使用,其中网络功能主要功能需要包括:
(1)产生新的用户永久身份标识,并将其封装成合适形式;
(2)在满足标准网络架构和流程的前提下,仅通过对归属地相关网元进行较少的定制更改,将封装好的新用户永久身份标识通过合适的途径下发到终端侧;
(3)设置用户永久身份标识的更新控制策略,包括正常更新维护、更新周期控制、注销等处理,保证身份标识的持续同步更新。
当前网络功能显然不足以支持这种用户网络身份跳变隐藏方法的实施,随着关键行业对移动通信网络建设的参与度的提高,此外,5G提出可以根据用户业务需求进行网络功能和网络切片定制,这为高安全行业用户通过网络功能定制的方法实现控制面安全增强提供了可能。
因此,迫切需要设计一种定制网络功能,在满足标准网络架构和流程的前提下,通过对归属地标准网元较少的定制更改,用于实现用户永久身份标识跳变的网络侧控制,包括新身份的生成与处理、信息交互控制以及更新控制。
发明内容
为了克服现有技术的上述缺点,本发明提供了一种移动通信系统用户网络身份跳变隐藏网络功能的实现方法,该方法主要包含了新用户网络身份标识的产生及处理、交互控制和更新控制三大功能模块,用于实现新用户网络身份(IMSI/SUPI)的生成及封装处理、信息交互处理、用户网络身份的更新及注销等,该方法通过与终端侧功能的配对使用,在满足4G/5G标准网络架构和流程的前提下,通过对相关网元较少的更改和定制,实现用户网络身份的在线跳变更新。
本发明解决其技术问题所采用的技术方案是:一种移动通信系统用户网络身份跳变隐藏网络功能的实现方法,包括新用户网络身份标识的产生及处理、交互控制和更新控制三大模块,其中,所述新用户网络身份标识的产生及处理模块的功能包括建立IMSI/SUPI映射表、生成新IMSI/SUPI及封装;所述交互控制模块的功能包括新IMSI/SUPI的下发交互、表更新通知、标识更新管理通知;所述更新控制模块的功能包括周期控制和注销控制。
与现有技术相比,本发明的积极效果是:
其一,完成了一种网络功能的设计,并给出了此网络功能的使用方法,通过该网络功能的部署应用,与用户侧的配对使用后,实现移动通信系统中用户网络身份IMSI/SUPI的不断跳变,满足关键行业用户隐私保护需求。
其二,功能完善,不仅具有新用户永久标识的产生、处理、下发等支持IMSI/SUPI跳变的基本功能,还明确的指出了针对用户不进行标识更新所引起的超时及超次数门限的判断及处理机制。
其三,不对标准网络架构和协议流程提任何要求,仅与归属网络中的HSS或UDM/UDR或SMSC或其他锚点网元进行交互,仅需对与其进行对接的网元进行接口定制,不改变对接网元的标准功能和对外呈现。
其四,本发明方法适用性强,不仅适用于5G网络,还适用于4G网络以及未来以IMSI/SUPI作为永久身份标识的移动通信系统。
本发明在网络功能部署后,不对标准网络架构和协议流程提任何要求,仅与归属网络中的HSS或UDM/UDR或SMSC或其他锚点网元进行接口定制及信息交互,实现移动通信系统中用户网络身份IMSI/SUPI的不断跳变,一定程度上实现了对用户永久标识与与用户签约、位置信息以及属性信息等相关信息之间固定映射关系的解耦,增加攻击者通过捕获用户IMSI/SUPI来对用户进行跟踪和持续性攻击的难度。本发明适用范围广,不仅适用于5G网络,还适用于4G网络以及以唯一永久身份标识用户网络身份的移动通信系统。本发明能够很好地满足特殊行业高安全用户在使用公共移动通信系统开展高安全应用时的隐私保护需求。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1为本发明的网络功能软件结构框图;
图2为本发明的网络功能与其他网元功能的信息交互流程。
具体实施方式
针对现有网络功能不足以支持用户网络身份跳变隐藏方法的实施,本发明提供了一种移动通信系统用户网络身份跳变隐藏的实现方法,本发明通过与终端侧功能的配对使用,在遵循标准网络架构和协议流程的前提下,通过较少的标准网元定制更改,实现用户永久身份标识跳变隐藏时的网络侧控制,包括新身份的生成与处理、对外信息交互以及身份标识更新控制,满足关键行业高安全用户的隐私保护要求。
本发明的网络功能是针对用户利用网络身份跳变隐藏进行隐私保护的方法,在网络侧为行业用户提供新的IMSI/SUPI生成、新标识的封装、带有新标识封装包的下发等对外信息交互控制、用户网络身份映射表的建立与更新、用户标识更新控制等功能,通过与终端侧功能的配对使用,实现新用户标识的产生、交互及更新启用,根据具体作用,该网络功能具有以下特征:
S101,本发明的网络功能的形态可以是独立的虚拟网络功能(vNF)、物理网络功能(PNF),也可以是以模块的形式集成进HSS/UDM/UDR等标准网元,从而形成定制网元的形态,此功能直接与HSS/UDM/UDR/SMSC等进行信息交互,并与终端侧功能配对使用;
S102,本发明包括新用户网络身份标识的产生及处理、交互控制、更新控制三大模块,其中模块一(新用户网络身份标识的产生及处理模块)包括建立IMSI/SUPI映射表、生成新IMSI/SUPI及封装;模块二(交互控制)包括新IMSI/SUPI下发交互、表更新通知、标识更新管理通知;模块三(更新控制)包括周期控制、注销控制;
S103,基于S102,模块一中建立IMSI/SUPI映射表,映射表包括两个作用,一个是建立用户、当前IMSI/SUPI以及待用IMSI/SUPI的映射关系,另一个是建立未被占用的空闲IMSI/SUPI池,映射表中每个IMSI/SUPI均应该是唯一存在的,否则可能引起用户身份冲突;
S104,基于S103,需要对映射表进行初始化,即导入初始IMSI/SUPI,作为初始映射关系,同时完成与行业的对接,导入用于跳变的额外IMSI/SUPI,作为初始空闲IMSI/SUPI池;
S105,基于S104,需要对映射表进行更新,包括:1)当用户规模扩大,引入新用户时,映射表更新主要完成增量导入这些新用户的初始IMSI/SUPI以及由此带来的用于跳变的额外IMSI/SUPI;2)当用户销户时,映射表更新主要完成删除销户用户的初始IMSI/SUPI及映射关系;3)当用户完成IMSI/SUPI跳变时,映射表更新主要完成同步更新用户映射关系,并将旧IMSI/SUPI释放进空闲池;4)当用户生成新IMSI/SUPI后,映射表更新主要完成将已占用的IMSI/SUPI移出空闲池;
S106,基于S102,模块一中生成新IMSI/SUPI,当网络功能接收到产生新IMSI/SUPI的通知后,首先通过映射表比对确认用户身份的合法性,若用户身份合法(发起请求的用户身份属于映射关系表),且空闲IMSI/SUPI池不为空,则从空闲IMSI/SUPI池中随机抽出一个IMSI/SUPI作为新IMSI/SUPI,并完成映射表更新,否则不生成新IMSI/SUPI;
S107,基于S106,对新IMSI/SUPI进行封装,按照一定规则对新IMSI/SUPI进行处理,如果依托于主认证流程中的AV向量组从控制面下发,在不破坏AV向量组原有格式和作用的前提下,将新IMSI/SUPI携带进AV向量组;如果依托于短消息业务(SMS)下发,则将新IMSI/SUPI封装成短消息;如果是依托于用户面的数据业务下发,则将新IMSI/SUPI封装成对应格式的数据包;
S108,基于S102,模块二中新IMSI/SUPI下发交互,当触发新IMSI/SUPI生成条件时(例如用户侧发起新IMSI/SUPI请求时),通知模块一(S106)生成新IMSI/SUPI,在获取封装好的新IMSI/SUPI后,将其下发给终端侧;
S109,基于S102,模块二中表更新通知,当该网络功能接收到用户侧成功接收新IMSI/SUPI通知后,通知模块一(S105)完成IMSI/SUPI映射表更新,若用户侧通知接收新IMSI/SUPI失败,则通知模块一(S106)重新生成新IMSI/SUPI,并更新映射表(S105);
S110,基于S102,模块二中标识更新管理通知,当接收到模块三(更新控制)形成标识更新管理通知时,将通知通过HSS/UDM或SMSC下发给终端,或者以用户面业务数据包的形式下发给终端;
S111,基于S102,模块三中周期控制,本功能主要起更新提醒的作用,是针对用户获取新IMSI/SUPI后一直不发起重新附着,或用户一直不请求新IMSI/SUPI,而导致IMSI/SUPI更新超时时所采取的措施,即给每个用户设置一个定时器,开始计时后,若用户发起新IMSI/SUPI请求,且发起请求的用户身份与上次身份不一致,即用户完成新IMSI/SUPI的启用,则定时器清零,重新计时,否则当定时器超时且经查询,用户没有更新IMSI/SUPI时,则通过(S110)向用户侧发送IMSI/SUPI更新提醒通知;
S112,基于S102,模块三中注销控制,此功能用于实现对用户的销户,主要用于应对以下几种情况:1)针对恶意用户持续不更新IMSI/SUPI,一直仅以同一IMSI/SUPI进行附着和通信,且计数器超过门限值时;2)合法用户由于故障造成持续回退而不能更新IMSI/SUPI,只能以同一IMSI/SUPI进行附着和通信,且计数器超过门限值时;3)当管理人员需要对特定用户(例如失去控制的用户)进行远程遥毙时。针对以上几种情况,该网络功能通过(S110)通知UDM/HSS注销用户,同时删除此用户的IMSI/SUPI映射表(S105),注销后,用户将无法入网,需要重新领卡注册。
本发明还公开了该网络功能的使用方法,此功能根据使用场景和下发通道的不同,在具体使用时,会与HSS或UDM/UDR或SMSC等网元功能发生信息交互,其使用方法包括以下四个过程:
S201,IMSI/SUPI映射表初始化,在网络功能部署后,在网络功能启用之前,首先对IMSI/SUPI映射表进行初始化,包括两个方面:一是从行业资源库导入额外IMSI/SUPI,完成空闲IMSI/SUPI池的初始化,二是从用户签约数据库(HSS或UDM/UDR)导入签约用户初始身份信息;
S202,新IMSI/SUPI生成与下发,网络功能启用后,当触发新IMSI/SUPI生成条件时(例如用户侧发起新IMSI/SUPI请求时),网络功能通过内部计算,产生新IMSI/SUPI,完成封装后,将其下发给发起请求的锚点网元功能;
S203,映射表同步更新,对IMSI/SUPI映射表进行更新,用户侧成功接收新IMSI/SUPI后,网络功能接收到IMSI/SUPI映射表通知后,完成IMSI/SUPI映射表的更新;
S204,更新控制提醒,网络功能通过定时器和计数器对用户IMSI/SUPI更新状态进行计数,当定时器超时时,网络功能生成IMSI/SUPI更新提醒通知,当计数器超时或需要销户时,网络功能生成用户注销通知,网络功能将通知下发给HSS或UDM/UDR或SMSC等网元功能,网元功能通过去附着等措施完成更新控制。
本发明的有益效果体现为以下四个方面:其一,完成了一种网络功能的设计,通过该网络功能的部署应用,实现移动通信系统中用户网络身份IMSI/SUPI的不断跳变,满足关键行业用户隐私保护需求。其二,功能完善,不仅具有新用户永久标识的产生、处理、下发等支持IMSI/SUPI跳变的基本功能,还明确的指出了针对用户不进行标识更新所引起的超时和超次数门限的判断及处理机制,同时还给出了此网络功能的使用方法,增强了发明的实用性。其三,不对标准网络架构和协议流程提任何要求,仅与归属网络中的HSS或UDM/UDR或SMSC等进行交互,仅需要进行少量的接口定制。其四,该网络功能适用性强,不仅适用于5G网络,还适用于4G网络以及未来以IMSI/SUPI作为永久身份标识的移动通信系统。
以下结合附图以及实施例,以5G网络为例,对本发明进行进一步详细说明。
本实施例中,给出了该用于移动通信系统用户网络身份跳变隐藏的网络功能的软件结构框图,还给出了使用该网络功能的方法,使用该种网络功能时,相关的功能实体包括:身份跳变隐藏的网络功能、归属网络UDM/UDR、行业资源库。
身份跳变隐藏的网络功能主要包括新用户网络身份标识的产生及处理、交互控制、更新控制三大功能模块,能够完成建立IMSI/SUPI映射表、生成新IMSI/SUPI及封装、新IMSI/SUPI下发交互、表更新通知、标识更新管理通知、周期控制、注销控制等功能。
归属网络UDM/UDR直接与身份跳变隐藏的网络功能进行信息交互,完成新SUPI生成、下发及更新控制时的通知收发。
行业资源数据库需要与运营商达成协议,并从运营商处获取额外的可用SUPI,作为初始的空闲SUPI池。
网络功能的软件结构框图如图1所示,其中的各项功能对应于本发明的各项特征。
使用本发明时,与其他网元功能的交互信息如图2所示。
本发明仅以UDM/UDR为例进行说明,如果替换成HSS或者短消息业务中心SMSC等或者通过用户面业务数据进行信息交互同样适用,主要包括四个过程。
在网络功能启用之前,通过从行业资源库和用户签约数据库导入初始空闲IMSI/SUPI和签约用户初始身份信息,完成对IMSI/SUPI映射表进行初始化;
当触发新IMSI/SUPI生成条件时(例如UDM/UDR向该网络功能发出新IMSI/SUPI请求时),网络功能通过内部计算,产生新IMSI/SUPI,完成封装后,将其下发给对应的网元功能;
该网络功能接收到IMSI/SUPI映射表更新通知后,完成IMSI/SUPI映射表的更新;
该网络功能维护的更新提醒计数器/定时器超时时,向UDM/UDR发送IMSI/SUPI更新提醒/用户注销通知。

Claims (10)

1.一种移动通信系统用户网络身份跳变隐藏网络功能的实现方法,其特征在于:包括新用户网络身份标识的产生及处理、交互控制和更新控制三大模块,其中,所述新用户网络身份标识的产生及处理模块的功能包括建立IMSI/SUPI映射表、生成新IMSI/SUPI及封装;所述交互控制模块的功能包括新IMSI/SUPI的下发交互、表更新通知、标识更新管理通知;所述更新控制模块的功能包括周期控制和注销控制。
2.根据权利要求1所述的移动通信系统用户网络身份跳变隐藏网络功能的实现方法,其特征在于:所述建立IMSI/SUPI映射表包括如下内容:
(1)建立用户、当前IMSI/SUPI以及待用IMSI/SUPI的映射关系;
(2)建立未被占用的空闲IMSI/SUPI池,确保映射表中每个IMSI/SUPI均是唯一存在的,以免引起用户身份冲突;
(3)对映射表进行初始化:导入初始IMSI/SUPI,作为初始映射关系,同时完成与行业的对接,导入用于跳变的额外IMSI/SUPI,作为初始空闲IMSI/SUPI池;
(4)对映射表进行更新:
1)当用户规模扩大,引入新用户时,完成增量导入新用户的初始IMSI/SUPI以及由此带来的用于跳变的额外IMSI/SUPI;
2)当用户销户时,完成删除销户用户的初始IMSI/SUPI及映射关系;
3)当用户完成IMSI/SUPI跳变时,完成同步更新用户映射关系,并将旧IMSI/SUPI释放进空闲IMSI/SUPI池;
4)当用户生成新IMSI/SUPI后,完成将已占用的IMSI/SUPI移出空闲IMSI/SUPI池。
3.根据权利要求1所述的移动通信系统用户网络身份跳变隐藏网络功能的实现方法,其特征在于:所述生成新IMSI/SUPI的方法为:当网络功能接收到产生新IMSI/SUPI的通知后,首先通过映射表比对确认用户身份的合法性,若用户身份合法且空闲IMSI/SUPI池不为空,则从空闲IMSI/SUPI池中随机抽出一个IMSI/SUPI作为新IMSI/SUPI,并完成映射表更新。
4.根据权利要求3所述的移动通信系统用户网络身份跳变隐藏网络功能的实现方法,其特征在于:所述新IMSI/SUPI的封装方法为:如果依托于主认证流程中的AV向量组从控制面下发,在不破坏AV向量组原有格式和作用的前提下,将新IMSI/SUPI携带进AV向量组;如果依托于短消息业务下发,则将新IMSI/SUPI封装成短消息;如果依托于用户面的数据业务下发,则将新IMSI/SUPI封装成对应格式的数据包。
5.根据权利要求1所述的移动通信系统用户网络身份跳变隐藏网络功能的实现方法,其特征在于:所述新IMSI/SUPI的下发交互方法为:当触发新IMSI/SUPI生成条件时,通知新用户网络身份标识的产生及处理模块生成新IMSI/SUPI,在获取封装好的新IMSI/SUPI后,将其下发给终端侧。
6.根据权利要求1所述的移动通信系统用户网络身份跳变隐藏网络功能的实现方法,其特征在于:所述表更新通知的方法为:当网络功能接收到用户侧成功接收新IMSI/SUPI通知后,通知新用户网络身份标识的产生及处理模块完成IMSI/SUPI映射表更新,若用户侧通知接收新IMSI/SUPI失败,则通知新用户网络身份标识的产生及处理模块重新生成新IMSI/SUPI,并更新映射表。
7.根据权利要求1所述的移动通信系统用户网络身份跳变隐藏网络功能的实现方法,其特征在于:所述标识更新管理通知,当接收到更新控制模块发出的形成标识更新管理通知时,将通知通过HSS/UDM或SMSC下发给终端,或者以用户面业务数据包的形式下发给终端。
8.根据权利要求1所述的移动通信系统用户网络身份跳变隐藏网络功能的实现方法,其特征在于:所述周期控制是指当用户获取新IMSI/SUPI后一直不发起重新附着,或在用户一直不请求新IMSI/SUPI而导致IMSI/SUPI更新超时时,所采取的更新提醒措施:给每个用户设置一个定时器,开始计时后,若用户发起新IMSI/SUPI请求,且发起请求的用户身份与上次身份不一致,则定时器清零,重新计时,否则当定时器超时且经查询,用户没有更新IMSI/SUPI时,则通过所述交互控制模块发出的标识更新管理通知向用户侧发送IMSI/SUPI更新提醒通知。
9.根据权利要求1所述的移动通信系统用户网络身份跳变隐藏网络功能的实现方法,其特征在于:所述注销控制用于实现以下情况发生时对用户的销户:
1)针对恶意用户持续不更新IMSI/SUPI,一直仅以同一IMSI/SUPI进行附着和通信,且计数器超过门限值时;
2)合法用户由于故障造成持续回退而不能更新IMSI/SUPI,只能以同一IMSI/SUPI进行附着和通信,且计数器超过门限值时;
3)当管理人员需要对特定用户进行远程遥毙时;
需要销户时,通过所述交互控制模块发出的标识更新管理通知,通知UDM/HSS注销用户,同时删除用户的IMSI/SUPI映射表。
10.根据权利要求1所述的移动通信系统用户网络身份跳变隐藏网络功能的实现方法,其特征在于:根据使用场景和下发通道的不同,网络功能与网元功能发生信息交互的过程包括:
(1)在网络功能启用之前,通过从行业资源库和用户签约数据库导入初始空闲IMSI/SUPI和签约用户初始身份信息,完成对IMSI/SUPI映射表进行初始化;
(2)当触发新IMSI/SUPI生成条件时,网络功能通过内部计算,产生新IMSI/SUPI,完成封装后,将其下发给对应的网元功能;
(3)当网络功能接收到IMSI/SUPI映射表更新通知后,完成IMSI/SUPI映射表的更新;
(4)当网络功能维护的更新提醒定时器超时时,向网元功能发送IMSI/SUPI更新提醒通知,当网络功能维护的更新计数器超时或需要销户时,向网元功能发送用户注销通知。
CN201910278634.6A 2019-04-09 2019-04-09 移动通信系统用户网络身份跳变隐藏网络功能的实现方法 Pending CN110049483A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910278634.6A CN110049483A (zh) 2019-04-09 2019-04-09 移动通信系统用户网络身份跳变隐藏网络功能的实现方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910278634.6A CN110049483A (zh) 2019-04-09 2019-04-09 移动通信系统用户网络身份跳变隐藏网络功能的实现方法

Publications (1)

Publication Number Publication Date
CN110049483A true CN110049483A (zh) 2019-07-23

Family

ID=67276407

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910278634.6A Pending CN110049483A (zh) 2019-04-09 2019-04-09 移动通信系统用户网络身份跳变隐藏网络功能的实现方法

Country Status (1)

Country Link
CN (1) CN110049483A (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111049831A (zh) * 2019-12-13 2020-04-21 中国联合网络通信集团有限公司 用户隐藏标识的生成控制方法及装置、终端
CN111385794A (zh) * 2020-03-19 2020-07-07 中国电子科技集团公司第三十研究所 面向行业用户的移动通信网络隐私保护方法与系统
CN111405557A (zh) * 2020-03-19 2020-07-10 中国电子科技集团公司第三十研究所 一种使5g网络灵活支撑多种主认证鉴权算法的方法及系统
CN111414645A (zh) * 2020-03-19 2020-07-14 中国电子科技集团公司第三十研究所 一种实现隐私保护功能的安全hss/udm设计方法及系统
CN114640992A (zh) * 2020-11-30 2022-06-17 华为技术有限公司 更新用户身份标识的方法和装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107580324A (zh) * 2017-09-22 2018-01-12 中国电子科技集团公司第三十研究所 一种用于移动通信系统imsi隐私保护的方法
CN108848495A (zh) * 2018-05-18 2018-11-20 兴唐通信科技有限公司 一种使用预置密钥的用户身份更新方法
CN108848502A (zh) * 2018-05-18 2018-11-20 兴唐通信科技有限公司 一种利用5g-aka对supi进行保护的方法
CN108901018A (zh) * 2018-07-27 2018-11-27 中国电子科技集团公司第三十研究所 一种终端发起的移动通信系统用户身份隐匿方法
CN109041054A (zh) * 2018-07-27 2018-12-18 中国电子科技集团公司第三十研究所 一种网络侧发起号码变更的隐私保护方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107580324A (zh) * 2017-09-22 2018-01-12 中国电子科技集团公司第三十研究所 一种用于移动通信系统imsi隐私保护的方法
CN108848495A (zh) * 2018-05-18 2018-11-20 兴唐通信科技有限公司 一种使用预置密钥的用户身份更新方法
CN108848502A (zh) * 2018-05-18 2018-11-20 兴唐通信科技有限公司 一种利用5g-aka对supi进行保护的方法
CN108901018A (zh) * 2018-07-27 2018-11-27 中国电子科技集团公司第三十研究所 一种终端发起的移动通信系统用户身份隐匿方法
CN109041054A (zh) * 2018-07-27 2018-12-18 中国电子科技集团公司第三十研究所 一种网络侧发起号码变更的隐私保护方法

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111049831A (zh) * 2019-12-13 2020-04-21 中国联合网络通信集团有限公司 用户隐藏标识的生成控制方法及装置、终端
CN111049831B (zh) * 2019-12-13 2022-03-18 中国联合网络通信集团有限公司 用户隐藏标识的生成控制方法及装置、终端
CN111385794A (zh) * 2020-03-19 2020-07-07 中国电子科技集团公司第三十研究所 面向行业用户的移动通信网络隐私保护方法与系统
CN111405557A (zh) * 2020-03-19 2020-07-10 中国电子科技集团公司第三十研究所 一种使5g网络灵活支撑多种主认证鉴权算法的方法及系统
CN111414645A (zh) * 2020-03-19 2020-07-14 中国电子科技集团公司第三十研究所 一种实现隐私保护功能的安全hss/udm设计方法及系统
CN111405557B (zh) * 2020-03-19 2022-03-15 中国电子科技集团公司第三十研究所 一种使5g网络灵活支撑多种主认证鉴权算法的方法及系统
CN114640992A (zh) * 2020-11-30 2022-06-17 华为技术有限公司 更新用户身份标识的方法和装置
CN114640992B (zh) * 2020-11-30 2024-06-11 华为技术有限公司 更新用户身份标识的方法和装置

Similar Documents

Publication Publication Date Title
CN110049483A (zh) 移动通信系统用户网络身份跳变隐藏网络功能的实现方法
CN103987025B (zh) 基于移动双通道虚拟卡号鉴权的漫游通信方法及其设备
CN111669276B (zh) 一种网络验证方法、装置及系统
RU2663972C1 (ru) Обеспечение безопасности при связи между устройством связи и сетевым устройством
EP2893734B1 (en) Establishing a device-to-device communication session
US20120263298A1 (en) Method and system for supporting security in a mobile communication system
CN109923830A (zh) 用于配置无线网络接入设备的系统和方法
US9888385B1 (en) Method for subscriber authentication in cellular IoT device, IoT device for subscriber authentication, and base station apparatus for subscriber authentication
CN107094293A (zh) 一种获取WiFi终端真实MAC地址的装置及方法
EP3675541B1 (en) Authentication method and device
CN108901018A (zh) 一种终端发起的移动通信系统用户身份隐匿方法
CN107393071A (zh) 一种基于蓝牙距离感应的通行设备控制方法及控制系统
CN108683690A (zh) 鉴权方法、用户设备、鉴权装置、鉴权服务器和存储介质
CN108112012A (zh) 一种群组终端的网络认证方法及装置
CN106330445B (zh) 车辆认证方法及装置
CN109150899B (zh) 一种物联网移动通信方法及系统
CN111630882A (zh) 确定用于保护用户设备与应用服务器之间的通信的密钥的方法
DK1121822T3 (da) Autentificering i et mobilkommunikationssystem
CN110121196A (zh) 一种安全标识管理方法及装置
CN114071452A (zh) 用户签约数据的获取方法及装置
CN101192927A (zh) 基于身份保密的授权与多重认证方法
CN108235300A (zh) 移动通信网络用户数据安全保护方法及系统
CN108134783A (zh) 一种云安全认证方法及认证设备
CN111464306A (zh) 认证处理方法、装置、存储介质及电子装置
CN103428689B (zh) 密钥处理方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20190723

RJ01 Rejection of invention patent application after publication