CN111414645B - 一种实现隐私保护功能的安全hss/udm设计方法及系统 - Google Patents

Abstract

本发明涉及无线通信技术领域，本发明公开了一种实现隐私保护功能的安全HSS/UDM设计方法及系统，该系统包括定制HSS/UDM设备以及至少一个隐私保护设备，定制HSS/UDM设备完成标准HSS/UDM除鉴权向量以外的功能，隐私保护设备动态随机选择新IMSI/SUPI，并将其安全封装到鉴权向量，完成鉴权向量的生成，并基于主认证鉴权成功消息与终端同步切换新IMSI/SUPI。隐私保护设备与定制HSS/UDM设备之间，通过自定义接口协同完成网络侧的隐私保护功能。本发明可根据不同安全需求的用户配置实现不同安全算法和IMSI/SUPI空间的隐私保护设备，这样既满足隐私保护功能需要，又最大限度的适应了现有产业链的发展现状，且能够使一个HSS/UDM能够支持多个特殊行业用户，有利于隐私保护功能的实现与推广。

Description

一种实现隐私保护功能的安全HSS/UDM设计方法及系统

技术领域

本发明涉及无线通信网络技术领域，尤其涉及一种实现隐私保护功能的安全HSS/UDM设计方法及系统。

背景技术

5G网络中使用IMSI/SUPI(International Mobile Subscriber Identity，国际移动用户识别码/Subscription Permanent Identifier，用户永久标识)作为移动终端的身份标识符，在3GPP R15架构下，该IMSI/SUPI能够被拜访网络合法获知，但如果拜访网络的运营商内部存在恶意管理员，则存在泄露给第三方的安全隐患。若某些特殊行业安全敏感终端的身份位置等隐私信息泄露，便能够在拜访网络上以IMSI/SUPI为索引截获该终端相关的信令及流量信息，对终端位置、通信行为、通信内容等进行非法监听及跟踪定位。目前已有一些专利、文献已在不影响标准5G信息流程的基础上，提出网络侧与终端侧同步进行IMSI/SUPI动态映射实现身份标识隐私保护的解决方法，以满足以上安全需求。

进一步分析发现，这种隐私保护方案在网络侧距离落地实现仍有以下不足：

(1)缺乏HSS/UDM改造的具体方法：需要对如何改造HSS/UDM(Home SubscriberServer，归属签约用户服务器/Unified Data Management，统一数据管理)功能实体进行阐述说明，提出能落地的设备级具体实现解决方法。

(2)具有隐私保护能力的HSS/UDM需要能够同时服务多个特殊行业用户：在运营商真实5G网络中，HSS/UDM容量和处理能力均在百万级用户量级；而在专门为特殊行业用户提供高安全服务的5G专网中，单个特殊行业用户数量相对较少，若一个改造HSS/UDM仅为单个特殊行业用户服务，势必造成HSS/UDM资源浪费。一方面运营商资源闲置，另一方面行业用户成本也不必要地增加，这是行业用户和运营商双方都不希望看到的结果。

(3)具有隐私保护能力的HSS/UDM需要能够提供差异化的隐私保护安全服务：不同特殊行业用户对5G系统安全防护等级要求也不同，在IMSI/SUPI的隐私保护过程中，需要根据具体情况为其定制不同的安全算法以保护IMSI/SUPI。

(4)具有隐私保护能力的HSS/UDM需要符合现有产业链模式：HSS/UDM若按行业用户定制的模式研制生产，将会对设备厂商的生产模式与运营商的运维管理方面产生重大影响，即会产生一系列因行业用户而异的定制产品，运营商也难于进行入网测试、维护，这些都不利于隐私保护功能在5G网中的落地实现与推广。

发明内容

为了解决上述问题，本发明提出一种实现隐私保护功能的安全HSS/UDM设计方法及系统，本发明通过将标准HSS/UDM一分为二，其中鉴权向量功能部分形成隐私保护设备，剩余功能作为定制HSS/UDM设备，两者之间通过定制接口协同完成安全HSS/UDM的隐私保护功能，共同组成安全HSS/UDM系统。定制HSS/UDM设备的开发、生产、部署与运维模式与标准HSS/UDM网元保持一致，隐私保护设备则遵循行业用户相应安全管理规定，不同安全需求的用户配置实现不同安全算法和IMSI/SUPI空间的隐私保护设备，这样既满足隐私保护功能需要，又最大限度的适应了现有产业链的发展现状，且能够使一个HSS/UDM能够支持多个特殊行业用户，有利于隐私保护功能的实现与推广。

本发明提出的一种实现隐私保护功能的安全HSS/UDM系统，包括：

定制HSS/UDM设备，所述定制HSS/UDM设备完成标准HSS/UDM除鉴权向量以外的功能；

以及至少一个隐私保护设备，所述隐私保护设备动态随机选择新IMSI/SUPI，并将其安全封装到鉴权向量，完成鉴权向量的生成，并基于主认证鉴权成功消息与终端同步切换新IMSI/SUPI；所述隐私保护设备与所述定制HSS/UDM设备之间，通过自定义接口协同完成网络侧的隐私保护功能。

进一步的，所述定制HSS/UDM设备包括：

标准HSS/UDM功能模块，所述标准HSS/UDM功能模块按照3GPP标准完成标准HSS/UDM除鉴权向量以外的其他功能；

IMSI/SUPI行业分类信息管理模块，所述IMSI/SUPI行业分类信息管理模块在所述安全HSS/UDM系统初始出厂信息灌装时，将IMSI/SUPI行业分类信息导入所述定制HSS/UDM设备中的用户签约信息表，通过所述用户签约信息表中的专网IMSI/SUPI与终端所属行业类别之间的映射关系，由相应隐私保护设备实现不同安全等级行业网络侧隐私保护功能；所述IMSI/SUPI行业分类信息包括特殊行业类别和对应隐私保护设备的IP地址端口号；

以及第一隐私保护定制消息处理模块，所述隐私保护定制消息处理模块完成所述定制HSS/UDM设备与所述隐私保护设备之间的接口通信及消息处理。

进一步的，所述隐私保护设备包括：

IMSI/SUPI空间管理模块，所述IMSI/SUPI空间管理模块将专网IMSI/SUPI资源划分为在用空间、预留空间和空闲空间的三个空间资源池，并在所述隐私保护设备初始出厂信息灌装时，为每个用户分配的IMSI/SUPI作为其相应的原始IMSI/SUPI，同时在为每个用户分配IMSI/SUPI之外预留一部分的冗余IMSI/SUPI用作IMSI/SUPI切换使用，将所述原始IMSI/SUPI导入到所述在用空间和所述预留空间，将所述冗余IMSI/SUPI导入到所述空闲空间；

IMSI/SUPI定时器管理模块，所述IMSI/SUPI定时器管理模块在终端入网附着后，为该终端创建两个定时器：新IMSI/SUPI定时器和在用IMSI/SUPI超时定时器；所述新IMSI/SUPI定时器将周期定时触发该终端去附着，自动为该终端周期性地生成并下发新IMSI/SUPI；所述在用IMSI/SUPI超时定时器在该终端长时间没有切换IMSI/SUPI时，删除该终端所有定时器；

用户隐私签约信息管理模块，所述用户隐私签约信息管理模块将用户隐私签约信息导入所述隐私保护设备；所述用户隐私签约信息包括用于生成鉴权向量的参数和用于隐私功能的参数；所述用于生成鉴权向量的参数包括原始IMSI/SUPI、根密钥K、鉴权参数OPC、随机数RAND和同步序列SQN；所述用于隐私功能的参数包括在用IMSI/SUPI、IMSI/SUPI保护算法和IMSI/SUPI保护密钥；

以及第二隐私保护定制消息处理模块，所述第二隐私保护定制消息处理模块完成所述隐私保护设备与所述定制HSS/UDM设备之间的接口通信及消息处理。

进一步的，所述在用空间为当前终端正使用的IMSI/SUPI组成的空间，鉴权成功后触发该IMSI/SUPI由所述在用空间切换到所述空闲空间，或所述在用IMSI/SUPI超时定时器触发切换到空闲空间；

所述预留空间为所述隐私保护设备期望终端下一次入网时使用的IMSI/SUPI组成的空间，下一次入网鉴权成功后触发该IMSI/SUPI切换到所述在用空间；

所述空闲空间为没分配的IMSI/SUPI组成的空间，所述新IMSI/SUPI定时器触发或人工触发时，从所述空闲空间随机提取出空闲IMSI/SUPI作为新IMSI/SUPI，鉴权成功后触发该新IMSI/SUPI切换到所述预留空间。

进一步的，所述隐私保护设备与所述定制HSS/UDM设备之间的接口包括定制通信协议、远程调用和服务化接口，在接口处理过程中，所述隐私保护设备作为服务者，所述定制HSS/UDM设备作为消费者，所述隐私保护设备的服务器IP地址和端口由所述定制HSS/UDM设备配置。

本发明提出的一种实现隐私保护功能的安全HSS/UDM设计方法中，隐私保护设备与定制HSS/UDM设备之间的接口包括三个接口原语鉴权向量接口原语、同步更新接口原语和IMSI/SUPI查询接口原语；

采用所述鉴权向量接口原语进行处理的流程包括以下步骤：

所述定制HSS/UDM设备在主认证鉴权标准流程中，查询用户签约信息，向对应隐私保护设备发起鉴权向量服务请求；所述隐私保护设备接收到请求后，生成认证向量，并返回AKA类型和所述认证向量给所述定制HSS/UDM设备；所述定制HSS/UDM设备按照标准流程进行后续处理；其中，所述认证向量包括无效认证向量、不含新IMSI/SUPI的有效认证向量以及内含新IMSI/SUPI的有效认证向量。

进一步的，采用所述同步更新接口原语进行处理的流程包括以下步骤：

所述定制HSS/UDM设备在主认证鉴权标准流程中，若接收到主认证鉴权成功消息，查询用户签约信息，向对应隐私保护设备发起同步更新请求；所述隐私保护设备接收到请求后，将接收到的需要同步切换的主认证鉴权成功终端对应的IMSI/SUPI与预留IMSI/SUPI相比较，若匹配且该终端新IMSI/SUPI存在，先将在用IMSI/SUPI释放到所述空闲空间，然后将预留IMSI/SUPI切换到所述在用空间，再将新IMSI/SUPI放入所述预留空间，以实现与终端IMSI/SUPI的同步切换，最后更新用户隐私签约信息中的在用IMSI/SUPI。

进一步的，采用所述IMSI/SUPI查询接口原语进行处理的流程包括通过在用IMSI/SUPI值查询原始IMSI/SUPI值，以及通过原始IMSI/SUPI值查询在用IMSI/SUPI值；

所述通过在用IMSI/SUPI值查询原始IMSI/SUPI值包括：所述定制HSS/UDM设备收到核心网中其他核心网元的请求，需要查询某个专网IMSI/SUPI对应的签约信息时，先查询用户签约信息，向对应隐私保护设备发起IMSI/SUPI查询请求；所述隐私保护设备接收到请求后，查询用户隐私签约信息，解出原始的IMSI/SUPI，并返回给所述定制HSS/UDM设备；所述定制HSS/UDM设备根据原始的IMSI/SUPI检索用户签约信息，再将原始IMSI/SUPI对应的签约信息反馈给其他核心网元；

通过原始IMSI/SUPI值查询在用IMSI/SUPI值包括：所述安全HSS/UDM系统的外部实体需要获取某终端在用IMSI/SUPI时，所述定制HSS/UDM设备向对应隐私保护设备发起IMSI/SUPI查询请求；隐私保护设备接收到请求后，查询用户隐私签约信息，解出在用IMSI/SUPI，并通过所述定制HSS/UDM设备将在用IMSI/SUPI反馈给所述安全HSS/UDM系统的外部实体。

进一步的，所述隐私保护设备与所述定制HSS/UDM设备的隐私保护功能涉及的流程包括新IMSI/SUPI生成下发流程、IMSI/SUPI同步切换流程和IMSI/SUPI超时异常处理流程；

所述新IMSI/SUPI生成下发流程包括以下步骤：

S11.所述定制HSS/UDM设备执行主认证鉴权流程，若接收到SUCI则解密得到IMSI/SUPI，查询用户签约信息获得对应的隐私保护设备；

S12.向所述隐私保护设备发起生成鉴权向量请求；

S13.所述隐私保护设备将接收到的IMSI/SUPI与预留或在用IMSI/SUPI相比较，若不匹配，则通过向所述定制HSS/UDM设备返回无效认证向量即失败信息，进入步骤S17；若匹配，则进入步骤S14；

S14.若主认证鉴权流程的触发条件为假即该流程既不由所述新IMSI/SUPI定时器触发，也不由人工主动触发，则进入步骤S15；若主认证鉴权流程的触发条件为真即该流程由所述新IMSI/SUPI定时器或人工主动触发，则进入步骤S16；

S15.若该终端的定时器不存在则创建定时器，进入步骤S16，否则生成不含新IMSI/SUPI的有效认证向量，并返回给所述定制HSS/UDM设备，进入步骤S17；

S16.从空闲空间中随机提取出IMSI/SUPI作为新IMSI/SUPI，进行加密及完整性保护并生成内含新IMSI/SUPI的有效认证向量，返回给所述定制HSS/UDM设备；重置定时器并重置触发条件为假；

S17.由所述定制HSS/UDM设备执行主认证后续标准流程。

进一步的，所述IMSI/SUPI同步切换流程包括以下步骤：所述定制HSS/UDM设备接收到主认证鉴权成功消息后，通知相应的隐私保护设备；所述隐私保护设备将接收到的IMSI/SUPI与预留IMSI/SUPI相比较，若匹配且该终端新IMSI/SUPI存在，先将在用IMSI/SUPI释放到所述空闲空间，然后将预留IMSI/SUPI切换到所述在用空间，再将新IMSI/SUPI放入所述预留空间，以实现与终端IMSI/SUPI的同步切换，最后更新用户隐私签约信息中的在用IMSI/SUPI，启动该终端的所述新IMSI/SUPI定时器和所述在用IMSI/SUPI超时定时器；

进一步的，所述IMSI/SUPI超时异常处理流程包括以下步骤：若终端长时间没有切换IMSI/SUPI，触发所述在用IMSI/SUPI超时定时器，删除该终端所有定时器；待该终端下一次重新入网附着时，所述隐私保护设备发现该终端无定时器，将为该终端生成并下发新IMSI/SUPI。

本发明的有益效果在于：

本专利提出了一种可用于在网络侧实现隐私保护功能的方法，通过将标准HSS/UDM一分为二，其中鉴权功能部分形成隐私保护设备，剩余功能作为定制HSS/UDM设备，两者之间自定义接口，协同完成网络侧的隐私保护功能，本发明的有益效果体现在：

(1)提出了一种通信功能与安全功能解耦的HSS/UDM改造方法：将标准HSS/UDM通信功能与隐私保护安全后台功能解耦，提供了一种灵活可变、高度可扩展性的HSS/UDM隐私保护功能改造方法；

(2)定制HSS/UDM设备与隐私保护设备支持一对多部署方式：充分利用HSS/UDM资源和处理能力，实现运营商网络中的一个定制HSS/UDM同时服务于多个特殊行业用户的目的；

(3)支持不同特殊行业用户之间的差异化隐私保护安全需求：不同的隐私保护设备可按照不同特殊行业用户的安全管理规则使用不同的安全算法以保护IMSI/SUPI，根据不同特殊行业用户的安全要求形成不同的行业定制设备；

(4)符合现有产业链模式：在采用定制HSS/UDM设备加上多个隐私保护设备灵活组合的方式中，运营商需要关注的是定制HSS/UDM设备，其开发、生产、部署与运维模式可与标准HSS/UDM保持一致；而隐私保护设备受特殊行业安全管理规则制约，是行业特定的安全定制设备，符合现有产业链的发展现状。

附图说明

图1安全HSS/UDM系统的功能实体组成示意图；

图2定制HSS/UDM设备的功能模块组成示意图；

图3隐私保护设备的功能模块组成示意图；

图4隐私保护功能流程示意图。

具体实施方式

为了对本发明的技术特征、目的和效果有更加清楚的理解，现说明本发明的具体实施方式。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明，即所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

本实施例提供了一种实现隐私保护功能的安全HSS/UDM设计方法及系统，该安全HSS/UDM系统按照定制IMSI/SUPI保护算法，在生成的鉴权向量中植入受到保护IMSI/SUPI和控制信息，将鉴权向量返回给核心网其他网元进行主认证后续流程，这些控制信息在被终端侧具有隐私保护能力的SIM卡接收解析后，能在主认证AKA(Authentication and KeyAgreement，认证与密钥协商协议)过程中自动或人工主动变换IMSI/SUPI，实现对IMSI/SUPI进行隐私保护的效果，从而避免了由于IMSI/SUPI被不法分子利用造成用于隐私泄露。安全HSS/UDM系统功能实体包括定制HSS/UDM设备、隐私保护设备两部分，其中：定制HSS/UDM设备完成标准HSS/UDM除鉴权向量以外的其他功能；隐私保护设备动态随机选择新IMSI/SUPI，并将其安全封装到鉴权向量，完成鉴权向量的生成，并基于主认证鉴权成功消息与终端同步切换新IMSI/SUPI；隐私保护设备与定制HSS/UDM设备之间通过定制接口协同完成隐私保护功能。

定制HSS/UDM设备完成标准HSS/UDM除鉴权向量以外的其他功能；隐私保护设备完成新IMSI/SUPI生成下发及同步切换功能；隐私保护设备与定制HSS/UDM设备之间通过定制接口协同完成隐私保护功能。定制HSS/UDM设备和隐私保护设备之间是一对多的关系，对于不同特殊行业具有不同安全防护等级的终端用户，定制HSS/UDM设备识别特殊用户，通过相应隐私保护设备完成不同特殊行业用户需要的隐私保护功能，如图1所示。

1.定制HSS/UDM设备功能模块组成

从仅与隐私保护功能相关的角度，定制HSS/UDM设备包含三个内部功能模块：标准HSS/UDM功能模块、IMSI/SUPI行业分类信息管理模块、隐私保护定制消息处理模块，如图2所示。

1.1标准HSS/UDM功能模块

按照3GPP标准完成标准HSS/UDM除鉴权向量以外的其他功能，详细信息请参见3GPP TS 23.501R15，此处不再重述。

1.2IMSI/SUPI行业分类信息管理

IMSI/SUPI行业分类信息包含特殊行业类别和对应隐私保护设备IP地址端口号等信息。在HSS/UDM安全系统初始出厂信息灌装时，通过IMSI/SUPI行业分类信息管理模块，将IMSI/SUPI行业分类信息导入定制HSS/UDM设备中的用户签约信息表。通过用户签约信息表中专网IMSI/SUPI与终端所属行业类别之间的映射关系，由相应隐私保护设备实现不同安全等级行业网络侧隐私保护功能。

1.3隐私保护定制消息处理

隐私保护定制消息处理模块，完成定制HSS/UDM设备与隐私保护设备之间的接口通信及定制消息收发解析处理，定制消息请参见下文“3.3.定制HSS/UDM设备与隐私保护设备之间接口”。

2.隐私保护设备功能模块组成

隐私保护设备生成新IMSI/SUPI并将其封装到鉴权向量完成AKA过程鉴权向量的生成，并完成同步切换新IMSI/SUPI，实现隐私保护功能。从仅与隐私保护功能相关的角度，隐私保护设备包含四个内部功能模块：IMSI/SUPI空间管理模块、IMSI/SUPI定时器管理模块、用户隐私签约信息管理模块、隐私保护定制消息处理模块，如图3所示。

2.1IMSI/SUPI空间管理模块

将专网IMSI/SUPI资源划分为三个空间资源池：在用空间、预留空间和空闲空间。

预留空间是隐私保护设备期望终端下一次入网时使用的IMSI/SUPI组成的空间，下一次入网鉴权成功后触发该IMSI/SUPI切换到在用空间。

在用空间是当前终端正使用的IMSI/SUPI组成的空间，鉴权成功后触发该IMSI/SUPI由在用空间切换到空闲空间，或在用IMSI/SUPI超时定时器触发切换到空闲空间。

空闲空间是没分配的IMSI/SUPI组成的空间，隐私保护设备新IMSI/SUPI定时器触发或人工触发时，从空闲空间随机提取出空闲IMSI/SUPI作为新IMSI/SUPI，鉴权成功后触发该新IMSI/SUPI切换到预留空间。

在隐私保护设备初始出厂信息灌装时，为每个用户分配的IMSI/SUPI作为其相应的原始IMSI/SUPI，同时在为每个用户分配IMSI/SUPI之外预留一部分的冗余IMSI/SUPI用作IMSI/SUPI切换使用，将原始IMSI/SUPI导入到在用空间和预留空间，将冗余IMSI/SUPI导入到空闲空间；

在隐私保护全流程中，在不同事件触发下，IMSI/SUPI在三个IMSI/SUPI空间中迁移，具体流程如下：

1)隐私保护设备初始出厂，预留空间中存在IMSI/SUPI，记为IMSI/SUPI_A；

2)隐私保护设备新IMSI/SUPI定时器触发或人工触发时，从空闲空间随机提取出IMSI/SUPI作为新IMSI/SUPI，记为IMSI/SUPI_B；

3)IMSI/SUPI_A鉴权成功后，先将预留空间中的IMSI/SUPI_A切换到在用空间，再将IMSI/SUPI_B导入预留空间(此时IMSI/SUPI_B不再是新生成的IMSI/SUPI，隐私保护设备中无新IMSI/SUPI)；

4)隐私保护设备新IMSI/SUPI定时器触发或人工触发时，从空闲空间随机提取出IMSI/SUPI作为新IMSI/SUPI，记为IMSI/SUPI_C；

5)IMSI/SUPI_B鉴权成功后，先将在用空间中的IMSI/SUPI_A释放到空闲空间，再将预留空间中的IMSI/SUPI_B切换到在用空间(记为IMSI/SUPI_A)，再将IMSI/SUPI_C导入预留空间(记为IMSI/SUPI_B)(此时IMSI/SUPI_C不再是新生成的IMSI/SUPI，隐私保护设备中无新IMSI/SUPI)；

如此循环重复4)-5)，实现IMSI/SUPI在事件触发下在三个空间中的迁移。

2.2用户隐私签约信息管理模块

用户隐私签约信息包含用于生成鉴权向量的参数：原始IMSI/SUPI、根密钥K、鉴权参数OPC、随机数RAND以及同步序列SQN，以及用于隐私功能的参数：在用IMSI/SUPI、IMSI/SUPI保护算法以及IMSI/SUPI保护密钥。

在HSS/UDM安全系统初始出厂信息灌装时，通过用户隐私签约信息管理模块，将用户隐私签约信息导入隐私保护设备。

2.3IMSI/SUPI定时器管理模块

当终端入网附着后，IMSI/SUPI定时器管理模块为该终端创建两个定时器。

新IMSI/SUPI定时器：周期定时触发终端去附着，自动为该终端周期性地生成并下发新IMSI/SUPI。

在用IMSI/SUPI超时定时器：当终端由于某种原因(如关机或网络故障)长时间没有切换IMSI/SUPI，触发该定时器，删除该终端所有定时器。

2.4隐私保护定制消息处理

隐私保护定制消息处理模块，完成定制HSS/UDM设备与隐私保护设备之间的接口通信及定制消息收发解析处理，定制消息请参见下文“3.3.定制HSS/UDM设备与隐私保护设备之间接口”。

3.定制HSS/UDM设备与隐私保护设备之间接口

隐私保护定制消息处理模块完成定制HSS/UDM设备与隐私保护设备之间的接口通信和消息处理，定制HSS/UDM设备与隐私保护设备之间的接口包括定制通信协议、远程调用、服务化接口等，在接口处理过程中，隐私保护设备作为服务者，定制HSS/UDM设备作为消费者，其服务器IP地址和端口在定制HSS/UDM设备配置。

定制HSS/UDM与隐私保护设备之间接口包含三类接口原语，接口原语如下：

·鉴权向量接口原语(authentication-vector)：AV_REQ和AV_RESP；

·同步更新接口原语(synchronization-update)：SYNC_UPDATE_REQ；

·IMSI/SUPI查询接口原语(imsi/supi-query)：IMSI/SUPI_REQ和IMSI/SUPI_RESP。

上述接口请求与响应原语分别包含如下参数：

·AV_REQ包含参数：发起主认证的终端对应的IMSI/SUPI值、AKA类型及计算认证向量输入参数；

·AV_RESP包含参数：AKA类型和认证向量AV，其中认证向量AV的RAND参数中含有控制信息，将AV分为以下三种之一：无效认证向量(invalid_av)、不含新IMSI/SUPI的有效认证向量(valid_av)以及内含新IMSI/SUPI的有效认证向量(valid_av_with_IMSI/SUPI)；

·SYNC_UPDATE_REQ包含参数：需要同步切换的主认证鉴权成功终端对应的IMSI/SUPI值；

·IMSI/SUPI_REQ包含参数：IMSI/SUPI查询类型和输入IMSI/SUPI值，IMSI/SUPI查询有两种情况：输入IMSI/SUPI值为在用IMSI/SUPI值，由此查询原始IMSI/SUPI值；反之，输入IMSI/SUPI值为原始IMSI/SUPI值，由此查询在用IMSI/SUPI值，这两种情况通过IMSI/SUPI类型来区分标识。

·IMSI/SUPI_RESP包含参数：由输入IMSI/SUPI值查询到的对应IMSI/SUPI值。

4.隐私保护功能处理流程

4.1.定制接口处理流程

(1)鉴权向量接口

定制HSS/UDM设备在主认证鉴权标准流程中，查询用户签约信息，向对应隐私保护设备发起authentication-vector请求AV_REQ；

隐私保护设备接收到请求后，生成认证向量AV，并返回响应AV_RESP给定制HSS/UDM设备，返回的AV为以下三种类型之一：无效认证向量(invalid_av)、不含新IMSI/SUPI的有效认证向量(valid_av)以及内含新IMSI/SUPI的有效认证向量(valid_av_with_IMSI/SUPI)；

定制HSS/UDM设备按照标准流程进行后续处理。

(2)同步更新接口

定制HSS/UDM设备在主认证鉴权标准流程中，若接收到主认证鉴权成功消息，查询用户签约信息，向对应隐私保护设备发起synchronization-update请求SYNC_UPDATE_REQ；

隐私保护设备接收到请求后，将接收到的IMSI/SUPI与预留IMSI/SUPI相比较，若匹配且该终端新IMSI/SUPI存在，先将在用IMSI/SUPI释放到空闲空间，然后将预留IMSI/SUPI切换到在用空间，再将新IMSI/SUPI放入预留空间，从而实现与终端IMSI/SUPI的同步切换，最后更新用户隐私签约信息中的在用IMSI/SUPI。

(3)IMSI/SUPI查询接口

IMSI/SUPI查询分为查询原始IMSI/SUPI值和查询在用IMSI/SUPI值两种情况。

通过在用IMSI/SUPI值查询原始IMSI/SUPI值：定制HSS/UDM设备收到核心网中其他网元的请求，需要查询某个专网IMSI/SUPI对应的签约信息时，先查询用户签约信息，向对应隐私保护设备发起imsi/supi-query请求IMSI/SUPI_REQ；隐私保护设备接收到请求后，查询用户隐私签约信息，解出原始的IMSI/SUPI，返回响应IMSI/SUPI_RESP给定制HSS/UDM设备；定制HSS/UDM设备根据原始的IMSI/SUPI检索用户签约信息，再将原始IMSI/SUPI对应的签约信息反馈给其他核心网元。

通过原始IMSI/SUPI值查询在用IMSI/SUPI值：HSS/UDM外部实体需要获取某终端在用IMSI/SUPI时，定制HSS/UDM设备向对应隐私保护设备发起imsi/supi-query请求IMSI/SUPI_REQ；；隐私保护设备接收到请求后，查询用户隐私签约信息，解出在用IMSI/SUPI，返回响应IMSI/SUPI_RESP给定制HSS/UDM设备；由定制HSS/UDM设备信息反馈给HSS/UDM外部实体。

4.2.隐私保护功能流程

安全HSS/UDM系统按照3GPP的两种AKA标准流程，从附着请求中获得IMSI/SUPI或SUCI(SubscriptionConcealed Identifier，用户隐藏标识)，并基于上述定制HSS/UDM设备与隐私保护设备间接口原语交互，实现隐私保护功能。

安全HSS/UDM系统隐私保护功能相关流程包含三个定制流程：新IMSI/SUPI生成下发流程、IMSI/SUPI同步切换流程以及IMSI/SUPI超时异常处理流程。对于前两个定制流程，在时序上先执行新IMSI/SUPI生成下发流程，之后可能会夹杂执行其他标准流程，才会执行IMSI/SUPI同步切换流程，这两个定制流程逻辑上先后紧密关联，时序上相对独立，不一定会紧接着执行。

安全HSS/UDM系统中的主认证鉴权处理流程有可能是由新IMSI/SUPI定时器触发或人工主动触发，若该处理流程既不由新IMSI/SUPI定时器触发，也不由人工主动触发，二者皆没触发，则定义触发条件为假；若该处理流程由新IMSI/SUPI定时器或人工主动，二者之一触发，则定义触发条件为真。在终端入网附着主认证鉴权处理流程中，若触发条件为真，隐私保护设备才会执行新IMSI/SUPI生成下发流程。

(1)新IMSI/SUPI生成下发流程

S11.定制HSS/UDM设备执行主认证鉴权流程，若接收到SUCI则解密得到IMSI/SUPI，查询用户签约信息获得对应的隐私保护设备。

S12.向隐私保护设备发起生成鉴权向量请求AV_REQ。

S13.隐私保护设备将接收到的IMSI/SUPI与预留或在用IMSI/SUPI相比较：

S13a.若不匹配，则通过AV_RESP向定制HSS/UDM设备返回无效认证向量AV(invalid_av)，即失败信息，进入步骤S16。

若匹配则分以下两种情况处理：

S14.若触发条件为假，则进入步骤S14a；若触发条件为真，则进入步骤S14b。

S14a.若该终端的定时器不存在，则创建定时器，进入步骤S14b；否则生成不含新IMSI/SUPI的有效认证向量AV(valid_av)，通过AV_RESP返回AV

(valid_av)给定制HSS/UDM设备，进入步骤S16。

S14b.从空闲空间中随机提取出IMSI/SUPI作为新IMSI/SUPI。用定制安全算法对新IMSI/SUPI进行机密性及完整性保护，并封装到AV的RAND参数中，生成内含新IMSI/SUPI的有效认证向量AV(valid_av_with_IMSI/SUPI)。通过AV_RESP将AV(valid_av_with_IMSI/SUPI)返回给定制HSS/UDM设备(定制HSS/UDM设备在步骤S16中将该新IMSI/SUPI下发到终端)。

S15.重置定时器并重置触发条件为假。

S16.由定制HSS/UDM设备执行主认证后续标准流程。

(2)IMSI/SUPI同步切换流程

S21.定制HSS/UDM设备接收到主认证鉴权成功消息。

S22.定制HSS/UDM设备通过SYNC_UPDATE_REQ通知相应的隐私保护设备。

S23.隐私保护设备将接收到的IMSI/SUPI与预留IMSI/SUPI相比较，若匹配且该终端新IMSI/SUPI存在，先将在用IMSI/SUPI释放到空闲空间，然后将预留IMSI/SUPI切换到在用空间，再将新IMSI/SUPI导入预留空间，从而实现与终端IMSI/SUPI的同步切换，最后更新用户隐私签约信息中的在用IMSI/SUPI，启动该终端新IMSI/SUPI定时器和在用IMSI/SUPI超时定时器。

(3)IMSI/SUPI超时异常处理流程

若终端长时间没有切换IMSI/SUPI，触发在用IMSI/SUPI超时定时器，删除该终端所有定时器。待该终端下一次重新入网附着时，隐私保护设备会发现该终端无定时器，将为其生成并下发新IMSI/SUPI。

以上所述仅是本发明的优选实施方式，应当理解本发明并非局限于本文所披露的形式，不应看作是对其他实施例的排除，而可用于各种其他组合、修改和环境，并能够在本文所述构想范围内，通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围，则都应在本发明所附权利要求的保护范围内。

在本发明的描述中，需要说明的是，术语“第一”、“第二”、“第三”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

Claims (8)

1.一种实现隐私保护功能的安全HSS/UDM系统，其特征在于，包括：

定制HSS/UDM设备，所述定制HSS/UDM设备完成标准HSS/UDM除鉴权向量以外的功能；

以及至少一个隐私保护设备，所述隐私保护设备动态随机选择新IMSI/SUPI，并将其安全封装到鉴权向量，完成鉴权向量的生成，并基于主认证鉴权成功消息与终端同步切换新IMSI/SUPI；所述隐私保护设备与所述定制HSS/UDM设备之间，通过自定义接口协同完成网络侧的隐私保护功能；

所述定制HSS/UDM设备包括：

标准HSS/UDM功能模块，所述标准HSS/UDM功能模块按照3GPP标准完成标准HSS/UDM除鉴权向量以外的其他功能；

IMSI/SUPI行业分类信息管理模块，所述IMSI/SUPI行业分类信息管理模块在所述安全HSS/UDM系统初始出厂信息灌装时，将IMSI/SUPI行业分类信息导入所述定制HSS/UDM设备中的用户签约信息表，通过所述用户签约信息表中的专网IMSI/SUPI与终端所属行业类别之间的映射关系，由相应隐私保护设备实现不同安全等级行业网络侧隐私保护功能；所述IMSI/SUPI行业分类信息包括特殊行业类别和对应隐私保护设备的IP地址端口号；

以及第一隐私保护定制消息处理模块，所述隐私保护定制消息处理模块完成所述定制HSS/UDM设备与所述隐私保护设备之间的接口通信及消息处理；

所述隐私保护设备包括：

IMSI/SUPI空间管理模块，所述IMSI/SUPI空间管理模块将专网IMSI/SUPI资源划分为在用空间、预留空间和空闲空间的三个空间资源池，并在所述隐私保护设备初始出厂信息灌装时，为每个用户分配的IMSI/SUPI作为其相应的原始IMSI/SUPI，同时在为每个用户分配IMSI/SUPI之外预留一部分的冗余IMSI/SUPI用作IMSI/SUPI切换使用，将所述原始IMSI/SUPI导入到所述在用空间和所述预留空间，将所述冗余IMSI/SUPI导入到所述空闲空间；

IMSI/SUPI定时器管理模块，所述IMSI/SUPI定时器管理模块在终端入网附着后，为该终端创建两个定时器：新IMSI/SUPI定时器和在用IMSI/SUPI超时定时器；所述新IMSI/SUPI定时器将周期定时触发该终端去附着，自动为该终端周期性地生成并下发新IMSI/SUPI；所述在用IMSI/SUPI超时定时器在该终端长时间没有切换IMSI/SUPI时，删除该终端所有定时器；

用户隐私签约信息管理模块，所述用户隐私签约信息管理模块将用户隐私签约信息导入所述隐私保护设备；所述用户隐私签约信息包括用于生成鉴权向量的参数和用于隐私功能的参数；所述用于生成鉴权向量的参数包括原始IMSI/SUPI、根密钥K、鉴权参数OPC、随机数RAND和同步序列SQN；所述用于隐私功能的参数包括在用IMSI/SUPI、IMSI/SUPI保护算法和IMSI/SUPI保护密钥；

以及第二隐私保护定制消息处理模块，所述第二隐私保护定制消息处理模块完成所述隐私保护设备与所述定制HSS/UDM设备之间的接口通信及消息处理。

2.根据权利要求1所述的一种实现隐私保护功能的安全HSS/UDM系统，其特征在于，所述在用空间为当前终端正使用的IMSI/SUPI组成的空间，鉴权成功后触发该IMSI/SUPI由所述在用空间切换到所述空闲空间，或所述在用IMSI/SUPI超时定时器触发切换到空闲空间；

所述预留空间为所述隐私保护设备期望终端下一次入网时使用的IMSI/SUPI组成的空间，下一次入网鉴权成功后触发该IMSI/SUPI切换到所述在用空间；

所述空闲空间为没分配的IMSI/SUPI组成的空间，所述新IMSI/SUPI定时器触发或人工触发时，从所述空闲空间随机提取出空闲IMSI/SUPI作为新IMSI/SUPI，鉴权成功后触发该新IMSI/SUPI导入到所述预留空间。

3.根据权利要求2所述的一种实现隐私保护功能的安全HSS/UDM系统，其特征在于，所述隐私保护设备与所述定制HSS/UDM设备之间的接口包括定制通信协议、远程调用和服务化接口，在接口处理过程中，所述隐私保护设备作为服务者，所述定制HSS/UDM设备作为消费者，在所述定制HSS/UDM设备中存有所述隐私保护设备的IP地址和端口配置信息。

4.一种采用如权利要求3所述的实现隐私保护功能的安全HSS/UDM系统的安全HSS/UDM设计方法，其特征在于，所述隐私保护设备与所述定制HSS/UDM设备之间的接口包括三个接口原语：鉴权向量接口原语、同步更新接口原语和IMSI/SUPI查询接口原语；

采用所述鉴权向量接口原语进行处理的流程包括以下步骤：

所述定制HSS/UDM设备在主认证鉴权标准流程中，查询用户签约信息，向对应隐私保护设备发起鉴权向量服务请求；所述隐私保护设备接收到请求后，生成认证向量，并返回AKA类型和所述认证向量给所述定制HSS/UDM设备；所述定制HSS/UDM设备按照标准流程进行后续处理；其中，所述认证向量包括无效认证向量、不含新IMSI/SUPI的有效认证向量以及内含新IMSI/SUPI的有效认证向量。

5.根据权利要求4所述的一种实现隐私保护功能的安全HSS/UDM设计方法，其特征在于，采用所述同步更新接口原语进行处理的流程包括以下步骤：

所述定制HSS/UDM设备在主认证鉴权标准流程中，若接收到主认证鉴权成功消息，查询用户签约信息，向对应隐私保护设备发起同步更新请求；所述隐私保护设备接收到请求后，将接收到的需要同步切换的主认证鉴权成功终端对应的IMSI/SUPI与预留IMSI/SUPI相比较，若匹配且该终端新IMSI/SUPI存在，先将在用IMSI/SUPI释放到所述空闲空间，然后将预留IMSI/SUPI切换到所述在用空间，再将新IMSI/SUPI导入所述预留空间，以实现与终端IMSI/SUPI的同步切换，最后更新用户隐私签约信息中的在用IMSI/SUPI。

6.根据权利要求4所述的一种实现隐私保护功能的安全HSS/UDM设计方法，其特征在于，采用所述IMSI/SUPI查询接口原语进行处理的流程包括通过在用IMSI/SUPI值查询原始IMSI/SUPI值，以及通过原始IMSI/SUPI值查询在用IMSI/SUPI值；

所述通过在用IMSI/SUPI值查询原始IMSI/SUPI值包括：所述定制HSS/UDM设备收到核心网中其他核心网元的请求，需要查询某个专网IMSI/SUPI对应的签约信息时，先查询用户签约信息，向对应隐私保护设备发起IMSI/SUPI查询请求；所述隐私保护设备接收到请求后，查询用户隐私签约信息，解出原始的IMSI/SUPI，并返回给所述定制HSS/UDM设备；所述定制HSS/UDM设备根据原始的IMSI/SUPI检索用户签约信息，再将原始IMSI/SUPI对应的签约信息反馈给其他核心网元；

通过原始IMSI/SUPI值查询在用IMSI/SUPI值包括：所述安全HSS/UDM系统的外部实体需要获取某终端在用IMSI/SUPI时，所述定制HSS/UDM设备向对应隐私保护设备发起IMSI/SUPI查询请求；隐私保护设备接收到请求后，查询用户隐私签约信息，解出在用IMSI/SUPI，并通过所述定制HSS/UDM设备将在用IMSI/SUPI反馈给所述安全HSS/UDM系统的外部实体。

7.根据权利要求4所述的一种实现隐私保护功能的安全HSS/UDM设计方法，其特征在于，所述隐私保护设备与所述定制HSS/UDM设备的隐私保护功能涉及的流程包括新IMSI/SUPI生成下发流程、IMSI/SUPI同步切换流程和IMSI/SUPI超时异常处理流程；

所述新IMSI/SUPI生成下发流程包括以下步骤：

S11. 所述定制HSS/UDM设备执行主认证鉴权流程，若接收到SUCI则解密得到IMSI/SUPI，查询用户签约信息获得对应的隐私保护设备；

S12. 向所述隐私保护设备发起生成鉴权向量请求；

S13. 所述隐私保护设备将接收到的IMSI/SUPI与预留或在用IMSI/SUPI相比较，若不匹配，则通过向所述定制HSS/UDM设备返回无效认证向量即失败信息，进入步骤S17；若匹配，则进入步骤S14；

S14. 若主认证鉴权流程的触发条件为假即该流程既不由所述新IMSI/SUPI定时器触发，也不由人工主动触发，则进入步骤S15；若主认证鉴权流程的触发条件为真即该流程由所述新IMSI/SUPI定时器或人工主动触发，则进入步骤S16；

S15.若该终端的定时器不存在则创建定时器，进入步骤S16，否则生成不含新IMSI/SUPI的有效认证向量，并返回给所述定制HSS/UDM设备，进入步骤S17；

S16. 从空闲空间中随机提取出IMSI/SUPI作为新IMSI/SUPI，进行加密及完整性保护并生成内含新IMSI/SUPI的有效认证向量，返回给所述定制HSS/UDM设备；重置定时器并重置触发条件为假；

S17. 由所述定制HSS/UDM设备执行主认证后续标准流程。

8.根据权利要求4所述的一种实现隐私保护功能的安全HSS/UDM设计方法，其特征在于：

所述IMSI/SUPI同步切换流程包括以下步骤：所述定制HSS/UDM设备接收到主认证鉴权成功消息后，通知相应的隐私保护设备；所述隐私保护设备将接收到的IMSI/SUPI与预留IMSI/SUPI相比较，若匹配且该终端新IMSI/SUPI存在，先将在用IMSI/SUPI释放到所述空闲空间，然后将预留IMSI/SUPI切换到所述在用空间，再将新IMSI/SUPI导入所述预留空间，以实现与终端IMSI/SUPI的同步切换，最后更新用户隐私签约信息中的在用IMSI/SUPI，启动该终端的所述新IMSI/SUPI定时器和所述在用IMSI/SUPI超时定时器；

所述IMSI/SUPI超时异常处理流程包括以下步骤：若终端长时间没有切换IMSI/SUPI，触发所述在用IMSI/SUPI超时定时器，删除该终端所有定时器；待该终端下一次重新入网附着时，所述隐私保护设备发现该终端无定时器，将为该终端生成并下发新IMSI/SUPI。

Images