CN110621016B - 一种用户身份保护方法、用户终端和基站 - Google Patents
一种用户身份保护方法、用户终端和基站 Download PDFInfo
- Publication number
- CN110621016B CN110621016B CN201910995210.1A CN201910995210A CN110621016B CN 110621016 B CN110621016 B CN 110621016B CN 201910995210 A CN201910995210 A CN 201910995210A CN 110621016 B CN110621016 B CN 110621016B
- Authority
- CN
- China
- Prior art keywords
- public key
- imsi
- base station
- user terminal
- identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 73
- 238000004891 communication Methods 0.000 claims abstract description 74
- 230000004044 response Effects 0.000 claims abstract description 57
- 230000005540 biological transmission Effects 0.000 claims abstract description 28
- 238000012545 processing Methods 0.000 claims description 51
- 230000011664 signaling Effects 0.000 description 16
- 230000006870 function Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 9
- 230000008569 process Effects 0.000 description 7
- 238000004590 computer program Methods 0.000 description 5
- 230000007547 defect Effects 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 238000012360 testing method Methods 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000005242 forging Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例提供一种用户身份保护方法、用户终端和基站,涉及通信领域,能够提高用户身份信息的安全性,避免身份信息被盗取。该方法包括:用户终端接收基站发送的携带有第一公钥的第一身份请求信息,并根据第一公钥和第二公钥对IMSI进行加密,生成加密IMSI,第二公钥为用户终端的存储器中的公钥,存储器存储有用户终端上一次与基站进行安全传输数据时使用的公钥,将携带有第一公钥、第二公钥和加密IMSI的第一身份请求响应发送给基站,以使基站对加密IMSI进行解密,得到IMSI,将携带有IMSI的第二身份请求响应发送给核心网。本申请方法用于保护用户身份信息不被盗取。
Description
技术领域
本发明涉及通信领域,尤其涉及一种用户身份保护方法、用户终端和基站。
背景技术
在现代社会,不法分子会建造伪基站用于获取用户隐私信息,包括国际移动用户识别码(international mobile subscriber identity,IMSI),伪基站会广播小区,处在伪基站广播小区内的用户终端会发起跟踪区更新(tracking area update,TAU)流程,用户终端发送的TAU请求消息中携带有全球唯一临时UE标识(globally unique temporary ueidentity,GUTI),基站获取到GUTI之后,会伪造出特定的身份查询请求信息(identityrequest),要求终端上报IMSI,由于长期演进(long term evolution,LTE)协议中用户终端UE侧对identity request不需要完整性保护,因此UE在收到该信令后会发送身份应答(identity response)信息,identity response中包含了IMSI信息,因此伪基站的存在可以盗取用户的隐私信息,对用户造成损害,如何保护用户的身份信息不被盗取是需要解决的问题。
发明内容
本发明的实施例提供一种用户身份保护方法、用户终端和基站,用于保护用户终端的身份信息,避免用户的身份信息被盗取。
为达到上述目的,本发明的实施例采用如下技术方案:
第一方面,提供一种用户身份保护方法,应用于用户终端,包括:
接收基站发送的第一身份请求信息,第一身份请求信息中携带有第一公钥,第一身份请求信息用于请求获取所述用户终端的IMSI;第一公钥为基站存储的多组非对称密钥对中任一对中的公钥;
根据第一公钥和第二公钥对IMSI进行加密,以生成加密IMSI,第二公钥为用户终端的存储器中的公钥;存储器存储有用户终端上一次与基站进行安全传输数据时使用的公钥;
将携带有第一公钥、第二公钥和加密IMSI的第一身份请求响应发送给基站。
本发明实施例提供的一种用户身份保护方法,该方法包括:用户终端接收基站发送的携带有第一公钥的第一身份请求信息,第一公钥为基站存储的多组非对称密钥对中任一对中的公钥,并根据第一公钥和第二公钥对IMSI进行加密,生成加密IMSI,将携带有第一公钥、第二公钥和加密IMSI的第一身份请求响应发送给基站,以使基站对加密IMSI进行解密,得到IMSI,基站将IMSI发送给核心网。所以本发明实施例提供的技术方案中用户终端在接收到第一身份请求信息后,会根据第一身份请求信息中的第一公钥和用户终端存储的第二公钥对IMSI进行加密,不再以明文的形式进行传输IMSI,提高了用户身份信息的安全性,由于运营商的基站具有连续分布的特点,可以保证用户终端在此次传输之前一次传输密钥的过程是安全的,而伪基站无法满足连续分布的特点,所以伪基站无法获取第二公钥和第二私钥,可以防止伪基站伪造第一公钥来获取用户终端的IMSI,避免了用户终端的身份信息被伪基站盗取,并且由于运营商的基站与核心网之间是通过专线进行传输信息的,所以伪基站无法从基站与核心网之间的专线上获取用户终端的身份信息,则将第一公钥存储在基站以及在基站进行解密身份信息是安全的。因此本发明实施例提供的技术方案,能够提高用户身份信息的安全性,避免身份信息被盗取。
第二方面,提供一种用户身份保护方法,应用于基站,包括:
接收核心网发送的第二身份请求信息,并在第二身份请求信息中添加第一公钥,以生成第一身份请求信息,第二身份请求信息和第一身份请求信息都用于请求获取用户终端的IMSI,第一公钥为基站存储的多组非对称密钥对中任一对中的公钥;
将第一身份请求信息发送给用户终端;
接收用户终端发送的携带有第一公钥、第二公钥和加密IMSI的第一身份请求响应,并对第一身份请求响应进行解密,得到IMSI;第二公钥为用户终端的存储器中的公钥,存储器存储有用户终端上一次与基站进行安全传输数据时使用的公钥;
将携带有IMSI的第二身份请求响应发送核心网。
第三方面,提供一种用户终端,包括:第一通信模块和第一处理模块;
第一通信模块,用于接收基站发送的第一身份请求信息,第一身份请求信息中携带有第一公钥,第一身份请求信息用于请求获取用户终端的IMSI;第一公钥为基站存储的多组非对称密钥对中任一对中的公钥;
第一处理模块,用于根据第二公钥和第一通信模块接收的第一公钥对IMSI进行加密,以生成加密IMSI,第二公钥为用户终端的存储器中的公钥;存储器存储有用户终端上一次与基站进行安全传输数据时使用的公钥;
第一通信模块,还用于将携带有第一公钥、第二公钥和第一处理模块生成的加密IMSI的第一身份请求响应发送给基站。
第四方面,提供一种基站,包括:第二通信模块和第二处理模块;
第二通信模块,用于接收核心网发送的第二身份请求信息,第二身份请求信息用于请求获取用户终端的IMSI;
第二处理模块,用于在第二通信模块接收的第二身份请求信息中添加第一公钥,以生成第一身份请求信息,第一公钥为基站存储的多组非对称密钥对中任一对中的公钥,第一身份请求信息用于请求获取用户终端的IMSI;
第二通信模块,还用于将第二处理模块生成的第一身份请求信息发送给用户终端;
第二通信模块,还用于接收用户终端发送的携带有第一公钥、第二公钥和加密IMSI的第一身份请求响应,第二公钥为用户终端的存储器中的公钥,存储器存储有用户终端上一次与基站进行安全传输数据时使用的公钥;
第二处理模块,还用于对第二通信模块接收的第一身份请求响应进行解密,得到IMSI;
第二通信模块,还用于将携带有第二处理模块解密的IMSI的第二身份请求响应发送给核心网。
第五方面,提供一种用户身份保护装置,包括存储器、处理器、总线和通信接口;存储器用于存储计算机执行指令,处理器与存储器通过总线连接;当用户身份保护装置运行时,处理器执行存储器存储的计算机执行指令,以使用户身份保护装置执行如第一方面或第二方面提供的用户身份保护方法。
第六方面,提供一种计算机存储介质,计算机存储介质包括计算机执行指令,当计算机执行指令在计算机上运行时,使得计算机执行如第一方面或第二方面提供的用户身份保护方法。
第七方面,提供一种用户身份保护系统,包括如第三方面提供的用户终端,以及如第四方面提供的基站。
本发明实施例提供一种用户身份保护方法、用户终端和基站,该方法包括:用户终端接收基站发送的携带有第一公钥的第一身份请求信息,第一公钥为基站存储的多组非对称密钥对中任一对中的公钥,并根据第一公钥和第二公钥对IMSI进行加密,以生成加密IMSI,然后将携带有第一公钥、第二公钥和加密IMSI的第一身份请求响应发送给基站,以使基站接收用户终端发送的携带有第一公钥、第二公钥和加密IMSI的第一身份请求响应,并对第一身份请求响应进行解密,得到IMSI,将IMSI发送给核心网。本发明实施例提供的用户身份保护方法,在用户终端将IMSI发送给基站时,根据第一公钥和第二公钥对IMSI进行加密,以使IMSI不再以明文进行传输,同时由于运营商的基站具有连续分布的特点,可以保证用户终端在上一次传输密钥的过程是安全的,而伪基站无法满足连续分布的特点,所以伪基站无法获取第二公钥和第二私钥,即使伪基站伪造第一公钥获取了第一身份请求响应,也没有与第二公钥对应的第二私钥,避免了伪基站盗取用户终端的身份信息,并且由于运营商的基站与核心网之间是通过专线进行传输信息的,所以伪基站无法从基站与核心网之间的专线上获取用户终端的身份信息,则将第一公钥存储在基站以及在基站进行解密身份信息是安全的。因此本发明实施例提供的技术方案,能够提高用户身份信息的安全性,避免身份信息被盗取。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种道路的测试记录示意图;
图2为本发明实施例提供的一种用户终端的信令片段示意图;
图3为本发明实施例提供的一种运营商基站的TAU流程的信令交互示意图;
图4为本发明实施例提供的一种伪基站的TAU流程的信令交互示意图;
图5为本发明实施例提供的一种用户身份保护方法的流程示意图;
图6为本发明实施例提供的另一种用户身份保护方法的流程示意图;
图7为本发明实施例提供的另一种用户身份保护方法的流程示意图;
图8为本发明实施例提供的另一种用户身份保护方法的流程示意图;
图9为本发明实施例提供的一种用户身份保护系统的结构示意图;
图10为本发明实施例提供的用户终端的结构示意图;
图11为本发明实施例提供的基站的结构示意图;
图12为本发明实施例提供的另一种用户身份保护系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,本发明实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本发明实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
还需要说明的是,本发明实施例中,“的(英文:of)”,“相应的(英文:corresponding,relevant)”和“对应的(英文:corresponding)”有时可以混用,应当指出的是,在不强调其区别时,其所要表达的含义是一致的。
为了便于清楚描述本发明实施例的技术方案,在本发明的实施例中,采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分,本领域技术人员可以理解“第一”、“第二”等字样并不是在对数量和执行次序进行限定。
伪基站是指没有通过国家无线电发射设备型号核准,未取得进网许可的一种非法的无线电设备。伪基站被用来获取用户隐私信息,包括IMSI,以次来窃取用户信息。
某段道路附近存在三个物理小区标识(physical cell identifier,PCI)为63、64和65,跟踪区代码(tracking area code,TAC)是4116,不同区域的TAC是不同的,区域大小的划分以及不同区域对应的TAC为运营商设定的。通过用户终端对该段道路进行测试,该段道路的测试记录如图1所示,从图1中A可以得出该路段的参考信号接收功率(referencesignal receiving power,RSRP)在-95dBm左右,从图1中B得出该段道路存在3个服务小区标识(serving cell identity)为18、63和64,同时在测试过程中接收到PCI=18,TAC=92的非常强的干扰信号,该区域的TAC为4116,所以初步判断干扰信号是伪基站导致。进一步分析该段道路的信令,如图2所示,从用户终端中得出该段道路的信令片段,上述信令片段的详细内容如下表1所示。
表1
从信令的详细内容中得出,该PCI为18的小区已经获取了用户终端的IMSI信息(4600116******41),并且拒绝了UE的TAU请求,由此判断出该PCI为18的小区即为伪基站广播的小区。
由图2和表1得出该伪基站的工作原理是根据TAU流程来获取用户终端的IMSI的,结合图3所示的运营商的基站的TAU流程,可以得出如图4所示的伪基站的TAU流程。
具体的,图3中运营商的基站的TAU流程为:
UE发现当前服务小区的TAI不在其已保存的TAI列表中,1、信息传输(TAU请求);基站接收信令1并转发给4G核心网,即2、上行NAS传输(TAU请求),非接入层(non-accessstratum,NAS);4G核心网接收TAU请求,3、网络节点更新UE上下文,4、下行NAS传输(TAU接受);基站转发给UE,5、数据信息传输(TAU接受);UE接收,6、信息传输(TAU完成);基站转发,7、上行NAS传输(TAU完成)。
图4中伪基站的信令流程为:
1、伪基站广播系统信息块类型1;即伪基站广播小区,2、UE发现当前服务小区的TAI不在其已保存的TAI列表中;3、信息传输(TAU请求);4、身份请求;5、身份响应;6、TAU拒绝。
具体的,以上述图1-图3中的内容为例,其对应的伪基站大功率广播一个异常的TAC=92,PCI=18的小区,因为终端发现新的小区的TAI不在其TAI列表中,所以终端发起TAU流程,在TAU请求消息中携带GUTI。伪基站获取到终端GUTI后,伪造出特定的NAS消息(身份请求)要求终端上报IMSI信息。由于LTE协议中UE侧对身份信息不需要完整性保护,因此UE在收到该身份请求信令后回复携带IMSI信息的身份响应信令,然后伪基站直接拒绝UE的TAU申请。
通过分析伪基站的工作原理我们可以得出,因为第三代合作伙伴计划(3rdgeneration partnership project,3GPP)的协议漏洞导致用户的隐私暴露;目前已有很多专家学者对于该漏洞给出了改进的方案,其中包括:
1)基于白名单机制,辨别伪基站的方案;构造位置区码(location area code,LAC)值白名单,判信息中的LAC数值是否为异常数据,以次辨识伪基站。
2)基于计算伪基站与相邻基站特征值的插值,辨别伪基站的方案;终端获取多个小区接入特征参数的测量值,将测量值与参考值进行匹配得到多个小区各自的匹配特征值,对比特征值的结果辨识伪基站。
3)基于终端对基站鉴权的方案;核心网根据随机数确定鉴权向量,鉴权向量通过基站发送至终端,终端根据接收到的鉴权向量对于基站进行鉴权,伪基站无法通过鉴权。
4)基于IMSI加密的方案;终端与基站之间协商加密密钥,终端使用密钥对IMSI加密后再传输,基站利用解密密钥解密信息获取IMSI。
5)基于公钥机制的用户身份保护方案:终端采用公钥加密IMSI信息,网络层使用对应的私钥解密IMSI信息。攻击者无法获取私钥信息,无法解密截获的密文。
然而上述针对该漏洞给出改进的方案,存在以下的缺陷:
1)基于LAC白名单机制辨识伪基站方法,主要存在的缺陷包括白名单列表不完整容易导致误判,白名单保密性较差容易被伪基站伪造;
2)基于计算基站特征值辨别伪基站的方案,主要缺陷在于终端采集小区信息计算基站特征值,增大了终端的计算量,缩短了终端电池寿命;
3)基于终端对基站的鉴权方案,主要缺陷在于从终端发起鉴权请求,到鉴权通过发送反馈信息,整个鉴权过程略为复杂,对于3GPP协议改动较大;
4)基于IMSI加密的方案,加密/解密的密钥通过空口协商传输,容易导致密钥的泄露带来安全隐患;
5)基于公钥机制的用户身份保护方案,在更换公钥时,终端采用老的公钥文件来验证新的公钥文件。因为所有的公钥都是明文传输的,伪基站可能利用截获的老的公钥来伪造新的公钥,以此获取终端IMSI。
因此,上述技术方案并未很好的解决伪基站盗取用户身份的问题,参照图5所示,针对如图4所示的用户身份易泄露至伪基站的缺陷,本申请实施例提供了一种用户身份保护方法,能够避免伪基站成功实施如图4所示的信令流程,避免用户身份的泄露,该方法包括:
101、基站接收核心网发送的第二身份请求信息,并在第二身份请求信息中添加第一公钥,以生成第一身份请求信息。
其中,第二身份请求信息和第一身份请求信息都用于请求获取用户终端的IMSI,第一公钥为基站存储的多组非对称密钥对中任一对中的公钥。
示例性的,非对称密钥对中的任一对密钥对包括公钥以及与公钥相对应的私钥。
102、基站将第一身份请求信息发送给用户终端。
示例性的,用户终端可以是用户使用的手机,用户终端可以是还包含其他功能诸如个人数字助理和/或音乐播放器功能的便携式电子设备,诸如手机、平板电脑、具备无线通讯功能的可穿戴设备(如智能手表)等。便携式电子设备的示例性实施例包括但不限于搭载 或者其他操作系统的便携式电子设备。上述便携式电子设备也可以是其他便携式电子设备,诸如具有触敏表面(例如触控面板)的膝上型计算机(laptop)等。还应当理解的是,在本申请其他一些实施例中,上述用户终端也可以不是便携式电子设备,而是具有触敏表面(例如触控面板)的台式计算机。
103、用户终端接收基站发送的第一身份请求信息。
其中,第一身份请求信息中携带有第一公钥,第一身份请求信息用于请求获取用户终端的IMSI。
104、用户终端根据第一公钥和第二公钥对IMSI进行加密,以生成加密IMSI。
其中,第二公钥为用户终端的存储器中的公钥;存储器存储有用户终端上一次与基站进行安全传输数据时使用的公钥。
示例性的,本次用户终端与核心网进行数据传输可以为第n次,第n-1次用户终端与核心网进行安全数据传输时,可以是使用第一公钥A和第二公钥B对IMSI进行加密;则第n次用户终端与核心网进行传输数据时,用户终端使用第一公钥C和第二公钥D对IMSI进行加密,第二公钥D则为第n-1次用户终端与核心网传输时使用的第一公钥A。
105、用户终端将携带有第一公钥、第二公钥和加密IMSI的第一身份请求响应发送给基站。
106、基站接收用户终端发送的携带有第一公钥、第二公钥和加密IMSI的第一身份请求响应。
107、基站对第一身份请求响应进行解密,得到IMSI。
108、基站将携带有IMSI的第二身份请求响应发送给核心网。
需要说明的是,本发明实施例提供的用户身份保护方法在初始使用时,用户终端的存储器中需要存储有一个第一初始公钥作为第二公钥,以供用户终端使用从基站得到的第一公钥和该第一初始公钥对IMSI进行加密。
示例性的,第一初始公钥的获取可以是如下流程:
用户终端在初次激活后,通过互相认证,向合法的基站请求一个公钥存储在自身存储器中作为第一初始公钥,该公钥可以是基站内部存储的多组密钥对中的任一组中的公钥。
在上述流程之后,在随后的身份请求相关的信令流程中便可以使用本发明实施例提供的技术方案了。
本发明实施例提供的一种用户身份保护方法,该方法包括:用户终端接收基站发送的携带有第一公钥的第一身份请求信息,第一公钥为基站存储的多组非对称密钥对中任一对中的公钥,并根据第一公钥和第二公钥对IMSI进行加密,生成加密IMSI,将携带有第一公钥、第二公钥和加密IMSI的第一身份请求响应发送给基站,以使基站对加密IMSI进行解密,得到IMSI,基站将IMSI发送给核心网。所以本发明实施例提供的技术方案中用户终端在接收到第一身份请求信息后,会根据第一身份请求信息中的第一公钥和用户终端存储的第二公钥对IMSI进行加密,不再以明文的形式进行传输IMSI,提高了用户身份信息的安全性,由于运营商的基站具有连续分布的特点,可以保证用户终端在此次传输之前一次传输密钥的过程是安全的,而伪基站无法满足连续分布的特点,所以伪基站无法获取第二公钥和第二私钥,可以防止伪基站伪造第一公钥来获取用户终端的IMSI,避免了用户终端的身份信息被伪基站盗取,并且由于运营商的基站与核心网之间是通过专线进行传输信息的,所以伪基站无法从基站与核心网之间的专线上获取用户终端的身份信息,则将第一公钥存储在基站以及在基站进行解密身份信息是安全的。因此本发明实施例提供的技术方案,能够提高用户身份信息的安全性,避免身份信息被盗取。
可选的,如图6所示,步骤103之后,还包括:103A和103B。
103A、用户终端判断第一公钥是否符合预设规则。
当用户终端确定第一公钥符合预设规则时,执行104;当用户终端确定第一公钥不符合预设规则时,执行103B。
示例性的,预设规则为用户终端与基站在实施本方法之前设定的,预设规则可以为公钥的形式,例如:数字和字母。还可以对数字的位数进行具体的设定。
103B、用户终端不对IMSI进行加密,拒绝向基站发送第一身份请求响应。
示例性的,当第一公钥不符合预设规则时,则表明此第一公钥是伪基站伪造发送的,所以此时的基站应当是伪基站,用户终端拒绝向基站发送第一身份请求响应,即用户终端拒绝向伪基站发送第一身份请求响应,保护了用户终端的身份信息不被盗取。
可选的,步骤104的一种实现方式,如图6所示,包括1041和1042。
1041、用户终端根据第一公钥对IMSI的第一部分进行加密,以生成IMSI0。
示例性的,IMSI由移动国家码MCC、移动网络号码MNC和MSIN组成;根据第一公钥对IMSI的第一部分进行加密,包括:1、对MSIN的整体加密(或者对MCC整体加密,或者对MSIN整体加密);2、对MSIN的部分加密(或者对MCC的部分加密,或者对MSIN的部分加密);3、对MNC整体和MSIN整体进行加密(或者对MCC整体和MNC整体加密,或者对MCC整体和MSIN整体加密);4、对MNC整体和MSIN的部分加密(或者对MCC整体和MNC的部分加密,或者对MSIN整体和MNC的部分加密)。
1042、用户终端根据第二公钥对IMSI0中未加密的第二部分进行加密,以生成加密IMSI。
示例性的,对IMSI0中未加密的第二部分加密包括:1、对未加密的第二部分整体加密(例如:未加密的第二部分为:MSIN整体,则对MSIN整体进行加密);2、对未加密的第二部分的部分加密(例如:未加密的第二部分为:MSIN整体,则对MSIN的部分加密)。
可选的,步骤104的另一种实现方式,如图7所示,包括1043和1044。
1043、用户终端根据第一公钥对IMSI整体进行加密,以生成IMSI1。
1044、用户终端根据第二公钥对IMSI1整体进行加密,以生成加密IMSI。
示例性的,图7所示的第一公钥和第二公钥对IMSI1加密是相当于对IMSI进行了两次加密,其与图6所示的方式并不相同,图6所示的方式相当于运用两种公钥(第一公钥和第二公钥)对IMSI进行了一次加密。
可选的,步骤107的一种实现方式,如图6所示,包括1071、1072和1073。
1071、基站确定与第二公钥对应的第二私钥,以及与第一公钥对应的第一私钥。
示例性的,第二公钥为用户终端上一次与基站进行安全传输数据时使用的公钥,则基站存储有与第二公钥相对用的第二私钥。
1072、基站根据第二私钥对加密IMSI进行解密,得到IMSI0。
1073、基站根据第一私钥对IMSI0进行解密,得到IMSI。
示例性的,图6所示的步骤107的具体解密方法与图6中104的具体加密方式相对应。
可选的,步骤107的一种实现方式,如图7所示,包括1071、1074和1075。
1074、基站根据第二私钥对加密IMSI进行解密,得到IMSI1。
1075、基站根据第一私钥对IMSI1进行解密,得到IMSI。
示例性的,图7所示的步骤107的具体解密方法与图7中步骤104的具体加密方式相对应。
可选的,参照图8所示,在步骤107之后,还包括107A-107E。
107A、基站对IMSI进行Hash运算,将运算结果IMSI Hash发送给用户终端。
示例性的,在实施本方法之前,用户终端与基站对IMSI的Hash运算进行了设定,由于Hash算法很难找到逆向规律,使得用户终端可以根据判断运算结果IMSI Hash是否正确,来判断与用户终端传输的是基站还是伪基站。
需要说明的是,步骤107A与步骤108并不相关,故并不限定步骤107A与步骤108的执行先后顺序。
107B、用户终端接收基站发送的IMSI Hash。
107C、用户终端判断IMSI Hash是否正确。
当用户终端确定IMSI Hash正确时,执行步骤107D;当用户终端确定IMSI Hash不正确时,执行步骤107E。
示例性的,用户终端存储有IMSI的IMSI Hash,当用户终端确定接收到基站发送的IMSI Hash与自身存储的IMSI的Hash计算结果IMSI Hash相同时,则确定IMSI Hash正确,当确定IMSI Hash正确时,则表明此次与用户终端传输的是运营商的基站,所以本次传输的第一公钥为安全传输公钥。
107D、用户终端将存储器中的公钥更新为第一公钥。
示例性的,本次用户终端与核心网进行数据传输可以为第n次,第n次用户终端与核心网进行传输数据时,用户终端使用第一公钥C和第二公钥D对IMSI进行加密,当用户终端判断基站发送的IMSI Hash正确时,用户终端将存储器中的第二公钥D更新成第一公钥C,则用户终端的存储器中的第一公钥C将作为第n+1次用户终端与核心网进行数据传输时的第二公钥;存储器中的公钥一直在更新,则加密的第二公钥一直在改变,避免长时间重复使用一种公钥进行加密,保护IMSI不被破解。
107E、用户终端将第二公钥从存储器中删除。
示例性的,当用户终端确定IMSI Hash不正确时,则表明用户终端与伪基站进行了传输,所以第二公钥已经被伪基站破解了,将第二公钥从存储器中删除,避免了下次传输时再次使用此第二公钥,导致信息被盗取的情况,当然,这种情况出现的概率非常小,因为伪基站没有与第二公钥对应的第二私钥,即无法破解加密IMSI,本步骤是为了当出现此情况时,为了保证下一次传输数据(IMSI)的安全性所作出的方法;当出现这种情况时,用户终端的存储器中没有存储公钥,则此情况相当于初始实施本申请提供的用户身份保护方法,即需要在存储器中存储一个第二初始公钥作为第二公钥,以供用户终端使用从基站得到的第一公钥和该第二初始公钥对IMSI进行加密。
示例性的,第二初始公钥的获取方式参照前述108步骤下第一初始公钥的获取方式的描述,此处不再赘述。在随后的身份请求相关的信令流程中便可以使用本发明实施例提供的技术方案。
本发明实施例提供一种用户身份保护方法、用户终端和基站,该方法包括:用户终端接收基站发送的携带有第一公钥的第一身份请求信息,第一公钥为基站存储的多组非对称密钥对中任一对中的公钥,并根据第一公钥和第二公钥对IMSI进行加密,以生成加密IMSI,然后将携带有第一公钥、第二公钥和加密IMSI的第一身份请求响应发送给基站,以使基站接收用户终端发送的携带有第一公钥、第二公钥和加密IMSI的第一身份请求响应,并对第一身份请求响应进行解密,得到IMSI,将IMSI发送给核心网。本发明实施例提供的用户身份保护方法,在用户终端将IMSI发送给基站时,根据第一公钥和第二公钥对IMSI进行加密,以使IMSI不再以明文进行传输,同时由于运营商的基站具有连续分布的特点,可以保证用户终端在此次传输之前一次传输密钥的过程是安全的,而伪基站无法满足连续分布的特点,所以伪基站无法获取第二公钥和第二私钥,即使伪基站伪造第一公钥获取了第一身份请求响应,也没有与第二公钥对应的第二私钥,避免了伪基站盗取用户终端的身份信息,并且由于运营商的基站与核心网之间是通过专线进行传输信息的,所以伪基站无法从基站与核心网之间的专线上获取用户终端的身份信息,则将第一公钥存储在基站以及在基站进行解密身份信息是安全的。因此本发明实施例提供的技术方案,能够提高用户身份信息的安全性,避免身份信息被盗取。
本申请实施例可以根据上述方法示例对网络设备进行功能模块或者功能单元划分,例如,可以对应各个功能划分各个功能模块或者功能单元,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块或者功能单元的形式实现。其中,本申请实施例中对模块或者单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
如图9所示,本申请实施例提供一种用户身份保护系统01,包括:用户终端02和基站03。
图10示出了上述实施例中所涉及的用户身份保护系统01中的用户终端02的一种可能的结构示意图。该用户终端02包括第一通信模块21和第一处理模块22。
第一通信模块21,用于接收基站03发送的第一身份请求信息。第一身份请求信息中携带有第一公钥,第一身份请求信息用于请求获取用户终端02的IMSI;第一公钥为基站03存储的多组非对称密钥对中任一对中的公钥;
第一处理模块22,用于根据第二公钥和第一通信模块21接收的第一公钥对IMSI进行加密,以生成加密IMSI。第二公钥为用户终端02的存储器中的公钥,存储器存储有用户终端02上一次与基站03进行安全传输数据时使用的公钥;
第一通信模块21,还用于将携带有第一公钥、第二公钥和第一处理模块22生成的加密IMSI的第一身份请求响应发送给基站03。
示例性的,加密IMSI与第一公钥和第二公钥结合到一起为第一身份请求响应,所以第一处理模块22可以生成第一身份请求响应,第一通信模块21也可以生成第一身份请求响应。
可选的,第一处理模块22,还用于判断第一通信模块21接收的第一公钥是否符合预设规则;
若第一处理模块22确定第一通信模块21接收到第一公钥符合预设规则,则第一处理模块22用于根据第二公钥和第一通信模块21接收的第一公钥对IMSI进行加密,生成加密IMSI。
可选的,第一处理模块22具体用于:
根据第一通信模块21接收的第一公钥对IMSI的第一部分进行加密,以生成IMSI0;根据第二公钥对IMSI0中未加密的第二部分进行加密,以生成加密IMSI。
可选的,第一处理模块22具体用于:
根据第一通信模块21接收的第一公钥对IMSI整体进行加密,以生成IMSI1;根据第二公钥对IMSI1整体进行加密,以生成加密IMSI。
可选的,第一通信模块21,还用于接收基站03发送的IMSI的Hash值IMSI Hash;
第一处理模块22,还用于判断第一通信模块21接收的IMSI Hash是否正确;
当第一处理模块22确定第一通信模块21接收的IMSI Hash正确时,第一处理模块22将存储器中的公钥更新为第一通信模块21接收的第一公钥。
图11示出了上述实施例中所涉及的用户身份保护系统01中的基站03的一种可能的结构示意图。该基站03包括第二通信模块31和第二处理模块32。
第二通信模块31,用于接收核心网04发送的第二身份请求信息,第二身份请求信息用于请求获取用户终端02的IMSI;
第二处理模块32,用于在第二通信模块31接收的第二身份请求信息中添加第一公钥,以生成第一身份请求信息,第一公钥为基站03存储的多组非对称密钥对中任一对中的公钥,第一身份请求信息用于请求获取用户终端02的IMSI;
第二通信模块31,还用于将第二处理模块32生成的第一身份请求信息发送给用户终端02;
第二通信模块31,还用于接收用户终端02发送的携带有第一公钥、第二公钥和加密IMSI的第一身份请求响应,第二公钥为用户终端02的存储器中的公钥,存储器存储有用户终端02上一次与基站03进行安全传输数据时使用的公钥;
第二处理模块32,还用于对第二通信模块31接收的第一身份请求响应进行解密,得到IMSI。
第二通信模块31,还用于将携带有第二处理模块32解密的IMSI的第二身份请求响应发送给核心网04。
示例性的,第二身份请求响应的实质内容为IMSI,所以第二处理模块32可以生成第二身份请求响应。
可选的,第二处理模块32具体用于:
确定与第二通信模块31接收的第二公钥对应的第二私钥,以及与第二通信模块31接收的第一公钥对应的第一私钥;根据第二私钥对加密IMSI进行解密,得到IMSI0;根据第一私钥对IMSI0进行解密,得到IMSI。
可选的,第二处理模块32具体用于:
确定与第二通信模块31接收的第二公钥对应的第二私钥,以及与第二通信模块31接收的第一公钥对应的第一私钥;根据第二私钥对加密IMSI进行解密,得到IMSI1;根据第一私钥对IMSI1进行解密,得到IMSI。
可选的,第二处理模块32,还用于对IMSI进行Hash运算,以得出运算结果IMSIHash;
第二通信模块31,还用于将第二处理模块32得出的IMSI Hash发送给用户终端02。
本申请实施例提供一种用户身份保护系统,包括用户终端和基站。用户终端接收基站发送的携带有第一公钥的第一身份请求信息,第一公钥为基站存储的多组非对称密钥对中任一对中的公钥,并根据第一公钥和第二公钥对IMSI进行加密,以生成加密IMSI,然后将携带有第一公钥、第二公钥和加密IMSI的第一身份请求响应发送给基站,以使基站接收用户终端发送的携带有第一公钥、第二公钥和加密IMSI的第一身份请求响应,并对第一身份请求响应进行解密,得到IMSI,将IMSI发送给核心网。本发明实施例提供的用户身份保护方法,在用户终端将IMSI发送给基站时,根据第一公钥和第二公钥对IMSI进行加密,以使IMSI不再以明文进行传输,同时由于运营商的基站具有连续分布的特点,可以保证用户终端在此次传输之前一次传输密钥的过程是安全的,而伪基站无法满足连续分布的特点,所以伪基站无法获取第二公钥和第二私钥,运用第二公钥进行加密,即使伪基站伪造第一公钥获取了第一身份请求响应,也没有与第二公钥对应的第二私钥,避免了无法盗取用户终端的身份信息被盗取,并且由于运营商的基站与核心网之间是通过专线进行传输信息的,所以伪基站无法从基站与核心网之间的专线上获取用户终端的身份信息,则将第一公钥存储在基站以及在基站进行解密身份信息是安全的。因此本发明实施例提供的技术方案,能够提高用户身份信息的安全性,避免身份信息被盗取。
参照图12所示,本发明实施例还提供另一种用户身份保护装置,包括存储器41、处理器42、总线43和通信接口44;存储器41用于存储计算机执行指令,处理器42与存储器41通过总线43连接;当用户身份保护装置运行时,处理器42执行存储器41存储的计算机执行指令,以使用户身份保护装置执行如上述实施例提供的用户身份保护方法。
在具体的实现中,作为一种实施例,处理器42(42-1和42-2)可以包括一个或多个CPU,例如图12中所示的CPU0和CPU1。且作为一种实施例,用户身份保护装置可以包括多个处理器42,例如图12中所示的处理器42-1和处理器42-2。这些处理器42中的每一个CPU可以是一个单核处理器(single-CPU),也可以是一个多核处理器(multi-CPU)。这里的处理器42可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。
存储器41可以是只读存储器41(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory,EEPROM)、只读光盘(compactdisc read-only memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器41可以是独立存在,通过总线43与处理器42相连接。存储器41也可以和处理器42集成在一起。
在具体的实现中,存储器41,用于存储本申请中的数据和执行本申请的软件程序对应的计算机执行指令。处理器42可以通过运行或执行存储在存储器41内的软件程序,以及调用存储在存储器41内的数据,用户身份保护装置的各种功能。
通信接口44,使用任何收发器一类的装置,用于与其他设备或通信网络通信,如控制系统、无线接入网(radio access network,RAN),无线局域网(wireless local areanetworks,WLAN)等。通信接口44可以包括接收单元实现接收功能,以及发送单元实现发送功能。
总线43,可以是工业标准体系结构(industry standard architecture,ISA)总线、外部设备互连(peripheral component interconnect,PCI)总线或扩展工业标准体系结构(extended industry standard architecture,EISA)总线等。该总线43可以分为地址总线、数据总线、控制总线等。为便于表示,图12中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
本发明实施例还提供一种计算机存储介质,计算机存储介质包括计算机执行指令,当计算机执行指令在计算机上运行时,使得计算机执行如上述实施例提供的用户身份保护方法。
本发明实施例还提供一种计算机程序,该计算机程序可直接加载到存储器中,并含有软件代码,该计算机程序经由计算机载入并执行后能够实现上述实施例提供的用户身份保护方法。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本发明所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时,可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。例如多个单元或组件可以结合或者可以集成到另一个装置,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是一个物理单元或多个物理单元,即可以位于一个地方,或者也可以分布到多个不同地方。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (20)
1.一种用户身份保护方法,应用于用户终端,其特征在于,包括:
接收运营商的基站发送的第一身份请求信息,所述第一身份请求信息中携带有第一公钥,所述第一身份请求信息用于请求获取所述用户终端的国际移动用户识别码IMSI;所述第一公钥为所述基站存储的多组非对称密钥对中任一对中的公钥;
根据所述第一公钥和第二公钥对所述IMSI进行加密,以生成加密IMSI,所述第二公钥为所述用户终端的存储器中的公钥;所述存储器存储有所述用户终端上一次与所述基站进行安全传输数据时使用的公钥;
将携带有所述第一公钥、所述第二公钥和所述加密IMSI的第一身份请求响应发送给所述基站。
2.根据权利要求1所述的用户身份保护方法,其特征在于,所述接收所述运营商的基站发送的第一身份请求信息之后,还包括:
判断所述第一公钥是否符合预设规则;
当确定所述第一公钥符合所述预设规则时,根据所述第一公钥和所述第二公钥对所述IMSI进行加密,以生成所述加密IMSI。
3.根据权利要求1所述的用户身份保护方法,其特征在于,所述根据所述第一公钥和第二公钥对所述IMSI进行加密,以生成加密IMSI包括:
根据所述第一公钥对所述IMSI的第一部分进行加密,以生成IMSI0;
根据所述第二公钥对所述IMSI0中未加密的第二部分进行加密,以生成所述加密IMSI。
4.根据权利要求1所述的用户身份保护方法,其特征在于,所述根据所述第一公钥和第二公钥对所述IMSI进行加密,以生成加密IMSI包括:
根据所述第一公钥对所述IMSI整体进行加密,以生成IMSI1;
根据所述第二公钥对所述IMSI1整体进行加密,以生成所述加密IMSI。
5.根据权利要求1-4任一项所述的用户身份保护方法,其特征在于,所述将携带有所述第一公钥、所述第二公钥和所述加密IMSI的第一身份请求响应发送给所述基站之后,还包括:
接收所述基站发送的所述IMSI的散列Hash值IMSI Hash,并判断所述IMSI Hash是否正确;
当确定所述IMSI Hash正确时,将所述存储器中的公钥更新为所述第一公钥。
6.一种用户身份保护方法,应用于运营商的基站,其特征在于,包括:
接收核心网发送的第二身份请求信息,并在所述第二身份请求信息中添加第一公钥,以生成第一身份请求信息,所述第二身份请求信息和所述第一身份请求信息都用于请求获取用户终端的IMSI,所述第一公钥为所述基站存储的多组非对称密钥对中任一对中的公钥;
将所述第一身份请求信息发送给所述用户终端;
接收所述用户终端发送的携带有所述第一公钥、第二公钥和加密IMSI的第一身份请求响应,并对所述第一身份请求响应进行解密,得到所述IMSI;所述第二公钥为所述用户终端的存储器中的公钥,所述存储器存储有所述用户终端上一次与所述基站进行安全传输数据时使用的公钥;
将携带有所述IMSI的第二身份请求响应发送给所述核心网。
7.根据权利要求6所述的用户身份保护方法,其特征在于,所述对所述第一身份请求响应进行解密,得到所述IMSI具体包括:
确定与所述第二公钥对应的第二私钥,以及与所述第一公钥对应的第一私钥;
根据所述第二私钥对所述加密IMSI进行解密,得到IMSI0;
根据所述第一私钥对所述IMSI0进行解密,得到所述IMSI。
8.根据权利要求6所述的用户身份保护方法,其特征在于,所述对所述第一身份请求响应进行解密,得到所述IMSI具体包括:
确定与所述第二公钥对应的第二私钥,以及与所述第一公钥对应的第一私钥;
根据所述第二私钥对所述加密IMSI进行解密,得到IMSI1;
根据所述第一私钥对所述IMSI1进行解密,得到所述IMSI。
9.根据权利要求6所述的用户身份保护方法,其特征在于,所述接收所述用户终端发送的携带有所述第一公钥、第二公钥和加密IMSI的第一身份请求响应,并对所述第一身份请求响应进行解密,得到所述IMSI之后,还包括:
对所述IMSI进行Hash运算,将运算结果IMSI Hash发送给所述用户终端。
10.一种用户终端,其特征在于,包括:第一通信模块和第一处理模块;
所述第一通信模块,用于接收运营商的基站发送的第一身份请求信息,所述第一身份请求信息中携带有第一公钥,所述第一身份请求信息用于请求获取所述用户终端的IMSI;所述第一公钥为所述基站存储的多组非对称密钥对中任一对中的公钥;
所述第一处理模块,用于根据第二公钥和所述第一通信模块接收的所述第一公钥对所述IMSI进行加密,以生成加密IMSI,所述第二公钥为所述用户终端的存储器中的公钥;所述存储器存储有所述用户终端上一次与所述基站进行安全传输数据时使用的公钥;
所述第一通信模块,还用于将携带有所述第一公钥、所述第二公钥和所述第一处理模块生成的所述加密IMSI的第一身份请求响应发送给所述基站。
11.根据权利要求10所述的用户终端,其特征在于,所述第一处理模块还用于:
判断所述第一通信模块接收的所述第一公钥是否符合预设规则;
当确定所述第一通信模块接收的所述第一公钥符合所述预设规则时,根据所述第二公钥和所述第一通信模块接收的所述第一公钥对所述IMSI进行加密,以生成所述加密IMSI。
12.根据权利要求10所述的用户终端,其特征在于,所述第一处理模块具体用于:
根据所述第一通信模块接收的所述第一公钥对所述IMSI的第一部分进行加密,以生成IMSI0;
根据所述第二公钥对所述IMSI0中未加密的第二部分进行加密,以生成所述加密IMSI。
13.根据权利要求10所述的用户终端,其特征在于,所述第一处理模块具体用于:
根据所述第一通信模块接收的所述第一公钥对所述IMSI整体进行加密,以生成IMSI1;
根据所述第二公钥对所述IMSI1整体进行加密,以生成所述加密IMSI。
14.根据权利要求10-13任一项所述的用户终端,其特征在于,
所述第一通信模块,还用于接收所述基站发送的所述IMSI的散列Hash值IMSI Hash;
所述第一处理模块,还用于判断所述第一通信模块接收的所述IMSI Hash是否正确;
当所述第一处理模块确定所述第一通信模块接收的所述IMSI Hash正确时,所述第一处理模块将所述存储器中的公钥更新为所述第一通信模块接收的所述第一公钥。
15.一种运营商的基站,其特征在于,包括:第二通信模块和第二处理模块;
所述第二通信模块,用于接收核心网发送的第二身份请求信息,所述第二身份请求信息用于请求获取用户终端的IMSI;
所述第二处理模块,用于在所述第二通信模块接收的所述第二身份请求信息中添加第一公钥,以生成第一身份请求信息,所述第一公钥为所述基站存储的多组非对称密钥对中任一对中的公钥,所述第一身份请求信息用于请求获取所述用户终端的IMSI;
所述第二通信模块,还用于将所述第二处理模块生成的所述第一身份请求信息发送给所述用户终端;
所述第二通信模块,还用于接收所述用户终端发送的携带有所述第一公钥、第二公钥和加密IMSI的第一身份请求响应,所述第二公钥为所述用户终端的存储器中的公钥,所述存储器存储有所述用户终端上一次与所述基站进行安全传输数据时使用的公钥;
所述第二处理模块,还用于对所述第二通信模块接收的所述第一身份请求响应进行解密,得到所述IMSI;
所述第二通信模块,还用于将携带有所述第二处理模块解密的所述IMSI的第二身份请求响应发送给所述核心网。
16.根据权利要求15所述的基站,其特征在于,所述第二处理模块具体用于:
确定与所述第二通信模块接收的所述第二公钥对应的第二私钥,以及与所述第二通信模块接收的所述第一公钥对应的第一私钥;
根据所述第二私钥对所述加密IMSI进行解密,得到IMSI0;
根据所述第一私钥对所述IMSI0进行解密,得到所述IMSI。
17.根据权利要求15所述的基站,其特征在于,所述第二处理模块具体用于:
确定与所述第二通信模块接收的所述第二公钥对应的第二私钥,以及与所述第二通信模块接收的所述第一公钥对应的第一私钥;
根据所述第二私钥对所述加密IMSI进行解密,得到IMSI1;
根据所述第一私钥对所述IMSI1进行解密,得到所述IMSI。
18.根据权利要求15所述的基站,其特征在于,
所述第二处理模块,还用于对所述IMSI进行Hash运算,以得出运算结果IMSI Hash;
所述第二通信模块,还用于将所述第二处理模块得出的所述IMSI Hash发送给所述用户终端。
19.一种用户身份保护装置,其特征在于,包括存储器、处理器、总线和通信接口;所述存储器用于存储计算机执行指令,所述处理器与所述存储器通过所述总线连接;当所述用户身份保护装置运行时,所述处理器执行所述存储器存储的所述计算机执行指令,以使所述用户身份保护装置执行如权利要求1-5任一项所述的用户身份保护方法或如权利要求6-9任一项所述的用户身份保护方法。
20.一种计算机存储介质,其特征在于,所述计算机存储介质包括计算机执行指令,当所述计算机执行指令在计算机上运行时,使得所述计算机执行如权利要求1-5任一项所述的用户身份保护方法或如权利要求6-9任一项所述的用户身份保护方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910995210.1A CN110621016B (zh) | 2019-10-18 | 2019-10-18 | 一种用户身份保护方法、用户终端和基站 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910995210.1A CN110621016B (zh) | 2019-10-18 | 2019-10-18 | 一种用户身份保护方法、用户终端和基站 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110621016A CN110621016A (zh) | 2019-12-27 |
CN110621016B true CN110621016B (zh) | 2022-08-12 |
Family
ID=68926185
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910995210.1A Active CN110621016B (zh) | 2019-10-18 | 2019-10-18 | 一种用户身份保护方法、用户终端和基站 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110621016B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111726799B (zh) * | 2020-06-19 | 2023-04-07 | 中国联合网络通信集团有限公司 | 一种隐私保护方法及装置 |
CN112711745A (zh) * | 2021-01-06 | 2021-04-27 | 章伟 | 基于加密加强网络安全的方法和装置 |
CN114584969B (zh) * | 2022-05-09 | 2023-06-20 | 成都信息工程大学 | 基于关联加密的信息处理方法及装置 |
CN114640988B (zh) * | 2022-05-17 | 2023-03-14 | 成都信息工程大学 | 基于隐式指示加密的信息处理方法及装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103152731A (zh) * | 2013-02-27 | 2013-06-12 | 东南大学 | 一种3g接入的imsi隐私保护方法 |
WO2016180180A1 (zh) * | 2015-09-09 | 2016-11-17 | 中兴通讯股份有限公司 | 一种语音通话的加密方法及装置 |
CN108605225A (zh) * | 2016-02-06 | 2018-09-28 | 华为技术有限公司 | 一种安全处理方法及相关设备 |
CN108882233A (zh) * | 2018-07-17 | 2018-11-23 | 中国联合网络通信集团有限公司 | 一种imsi的加密方法、核心网和用户终端 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114826673A (zh) * | 2016-07-06 | 2022-07-29 | 华为技术有限公司 | 一种传输数据的保护系统、方法及装置 |
-
2019
- 2019-10-18 CN CN201910995210.1A patent/CN110621016B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103152731A (zh) * | 2013-02-27 | 2013-06-12 | 东南大学 | 一种3g接入的imsi隐私保护方法 |
WO2016180180A1 (zh) * | 2015-09-09 | 2016-11-17 | 中兴通讯股份有限公司 | 一种语音通话的加密方法及装置 |
CN108605225A (zh) * | 2016-02-06 | 2018-09-28 | 华为技术有限公司 | 一种安全处理方法及相关设备 |
CN108882233A (zh) * | 2018-07-17 | 2018-11-23 | 中国联合网络通信集团有限公司 | 一种imsi的加密方法、核心网和用户终端 |
Also Published As
Publication number | Publication date |
---|---|
CN110621016A (zh) | 2019-12-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11178125B2 (en) | Wireless network connection method, wireless access point, server, and system | |
CN110621016B (zh) | 一种用户身份保护方法、用户终端和基站 | |
CN106686008B (zh) | 信息存储方法及装置 | |
EP3609121B1 (en) | Method and device for managing digital certificate | |
CA2956590C (en) | Apparatus and method for sharing a hardware security module interface in a collaborative network | |
CN109413645B (zh) | 接入认证的方法和装置 | |
WO2016011778A1 (zh) | 数据处理的方法和装置 | |
CN110730447B (zh) | 一种用户身份保护方法、用户终端和核心网 | |
US10021562B2 (en) | Mobile trusted module (MTM)-based short message service security system and method thereof | |
CN101777978A (zh) | 一种基于无线终端的数字证书申请方法、系统及无线终端 | |
EP3511853A1 (en) | Security authentication method, integrated circuit and system | |
WO2021103772A1 (zh) | 数据传输方法和装置 | |
CN113392418A (zh) | 数据部署方法及装置、计算机可读存储介质、部署设备、用户端 | |
CN111355575A (zh) | 通信加密方法、电子设备及可读存储介质 | |
CN115348023A (zh) | 一种数据安全处理方法和装置 | |
CN104243452A (zh) | 一种云计算访问控制方法及系统 | |
CN104243153B (zh) | 一种用于发现设备的用户的方法和用户设备 | |
CN111836260B (zh) | 一种认证信息处理方法、终端和网络设备 | |
US20230140461A1 (en) | Systems and methods for cryptocurrency administration | |
CN111107550A (zh) | 5g终端设备双通道接入注册方法、设备及存储介质 | |
KR20210049421A (ko) | 블록체인 키를 이용한 사용자 인증 기반의 요청 처리 방법, 그 방법이 적용된 시스템 | |
US20220174490A1 (en) | System, method, storage medium and equipment for mobile network access | |
US11258871B2 (en) | Message push method and terminal | |
KR101960583B1 (ko) | 인증서 발급 방법 | |
EP4228292A1 (en) | Terminal positioning method, terminal positioning system, storage medium and electronic device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |