CN111726799A - 一种隐私保护方法及装置 - Google Patents

Abstract

本发明公开了一种隐私保护方法及装置，属于通信技术领域。该隐私保护方法包括：终端向基站发送接入请求；其中，接入请求包括终端的身份参数；当终端的身份参数为隐私身份参数时，与隐私保护网络切片建立连接；当触发上报隐私身份参数事件时，接收隐私保护网络切片中鉴权服务网元发送的加密参数和加密规则；基于加密参数、隐私身份参数和加密规则，生成加密隐私身份参数；将加密隐私身份参数发送至鉴权服务网元，以供鉴权服务网元对加密隐私身份参数进行解密，获得解密后的隐私身份参数，并基于解密后的隐私身份参数进行鉴权，可以防止IMSI泄露，同时还可降低在终端侧加密IMSI对终端和SIM卡造成的成本增加。

Description

一种隐私保护方法及装置

技术领域

本发明涉及通信技术领域，具体涉及一种隐私保护方法及装置。

背景技术

国际移动用户识别码(International Mobile Subscriber Identity，简称IMSI)是用于区分蜂窝网络中不同用户的、在所有蜂窝网络中不重复的识别码。IMSI一旦泄露将给用户带来安全威胁。目前，第三代合作伙伴计划标准化机构(3rd GenerationPartnership Project，简称3GPP)提供的IMSI保密方案为：在终端侧对IMSI进行加密，获得密文，并将该密文传送至核心网，核心网根据预设的公钥对接收的密文进行解密，获得IMSI，由此确保IMSI不以明文进行传输。但是，3GPP规定此方案为非必选项，即运营商可以自行制定IMSI的加密和解密算法，甚至可以选择不对IMSI进行加密。考虑到在终端侧对IMSI加密需要对终端和SIM卡进行定制，这将增加成本，从而导致部分运营商选择不对IMSI进行加密，这样不利于对用户隐私的保护。

因此，如何防止IMSI被泄露，同时降低由于在终端侧加密IMSI对终端和SIM卡造成的成本增加成为本领域亟待解决的问题。

发明内容

为此，本发明提供一种隐私保护方法及装置，以解决在终端侧加密IMSI造成的成本增加容易导致运营商不对IMSI进行加密，从而导致IMSI容易被泄露的问题。

为了实现上述目的，本发明第一方面提供一种隐私保护方法，应用于终端，该隐私保护方法包括：

向基站发送接入请求；其中，所述接入请求包括终端的身份参数；

当所述终端的身份参数为隐私身份参数时，与隐私保护网络切片建立连接；其中，所述隐私保护网络切片为具有加密所述隐私身份参数功能的网络切片；

当触发上报隐私身份参数事件时，接收所述隐私保护网络切片中鉴权服务网元发送的加密参数和加密规则；

基于所述加密参数、所述隐私身份参数和所述加密规则，生成加密隐私身份参数；

将所述加密隐私身份参数发送至所述鉴权服务网元，以供所述鉴权服务网元对所述加密隐私身份参数进行解密，获得解密后的隐私身份参数，并基于解密后的隐私身份参数进行鉴权。

进一步地，所述向基站发送接入请求之后，所述与隐私保护网络切片建立连接之前，还包括：

向所述基站发送注册请求；其中，所述注册请求包括所述终端的网络切片选择辅助信息和所述隐私身份参数。

进一步地，所述当所述身份参数为隐私身份参数时，与隐私保护网络切片建立连接，包括：

接入第一接入和移动管理网元，以供所述第一接入和移动管理网元判断所述终端对应的所述身份参数是否为所述隐私身份参数，并在所述身份参数为所述隐私身份参数时，根据所述终端的网络切片选择辅助信息和网络切片签约信息将所述终端转移至所述隐私保护网络切片对应的第二接入和移动管理网元；

接入所述第二接入和移动管理网元；

通过所述第二接入和移动管理网元与所述隐私保护网络切片建立连接。

进一步地，所述与隐私保护网络切片建立连接之后，还包括：

触发与所述基站对应的无线接入网的去激活态连接；

与所述无线接入网保持轻连接。

进一步地，所述无线接入网与核心网之间的逻辑接口保持建立，所述核心网的接入和移动管理网元存储所述终端的上下文信息。

为了实现上述目的，本发明第二方面提供一种隐私保护方法，应用于鉴权服务网元，该隐私保护方法包括：

向终端发送加密参数和加密规则；其中，所述加密参数为加密所述终端对应的隐私身份参数使用的参数，所述加密规则为加密所述隐私身份参数使用的规则，所述加密参数和所述加密规则为在所述终端触发上报隐私身份参数事件时由所述鉴权服务网元向所述终端发送的信息，所述鉴权服务网元为处于隐私保护网络切片中的网元，所述隐私保护网络切片为具有加密所述隐私身份参数功能的网络切片；

接收所述终端返回的加密隐私身份参数；其中，所述加密隐私身份参数为基于所述加密参数、所述终端对应的隐私身份参数和所述加密规则生成的信息；

对所述加密隐私身份参数进行解密，获得隐私身份参数；

基于所述隐私身份参数对所述终端进行鉴权。

为了实现上述目的，本发明第三方面提供一种隐私保护装置，应用于终端，该隐私保护装置包括：

终端发送模块，用于向基站发送接入请求；其中，所述接入请求包括终端的身份参数；

终端连接模块，用于当所述终端的身份参数为隐私身份参数时，与隐私保护网络切片建立连接；其中，所述隐私保护网络切片为具有加密所述隐私身份参数功能的网络切片；

终端接收模块，用于当触发上报隐私身份参数事件时，接收所述隐私保护网络切片中鉴权服务网元发送的加密参数和加密规则；

终端加密模块，用于基于所述加密参数、所述隐私身份参数和所述加密规则，生成加密隐私身份参数；

所述终端发送模块，还用于将所述加密隐私身份参数发送至所述鉴权服务网元，以供所述鉴权服务网元对所述加密隐私身份参数进行解密，获得解密后的隐私身份参数，并基于解密后的隐私身份参数进行鉴权。

进一步地，所述连接模块，包括：

第一接入单元，用于接入第一接入和移动管理网元，以供所述第一接入和移动管理网元判断所述终端对应的所述身份参数是否为所述隐私身份参数，并在所述身份参数为所述隐私身份参数时，根据所述终端的网络切片选择辅助信息和网络切片签约信息将所述终端转移至所述隐私保护网络切片对应的第二接入和移动管理网元；

第二接入单元，用于接入所述第二接入和移动管理网元；

建立连接单元，用于通过所述第二接入和移动管理网元与所述隐私保护网络切片建立连接。

进一步地，所述隐私保护装置，还包括：

触发模块，用于触发与所述基站对应的无线接入网的去激活态连接；

轻连接模块，用于与所述无线接入网保持轻连接。

为了实现上述目的，本发明第四方面提供一种隐私保护装置，应用于鉴权服务网元，该隐私保护装置包括：

网元发送模块，用于向终端发送加密参数和加密规则；其中，所述加密参数为加密所述终端对应的隐私身份参数使用的参数，所述加密规则为加密所述隐私身份参数使用的规则，所述加密参数和所述加密规则为在所述终端触发上报隐私身份参数事件时由所述鉴权服务网元向所述终端发送的信息，所述鉴权服务网元为处于隐私保护网络切片中的网元；所述隐私保护网络切片为具有加密所述隐私身份参数功能的网络切片；

网元接收模块，用于接收所述终端返回的加密隐私身份参数；其中，所述加密隐私身份参数为基于所述加密参数、所述终端对应的隐私身份参数和所述加密规则生成的信息；

网元解密模块，用于对所述加密隐私身份参数进行解密，获得隐私身份参数；

网元鉴权模块，用于基于所述隐私身份参数对所述终端进行鉴权。

本发明具有如下优点：

本发明提供的隐私保护方法，终端向基站发送接入请求；其中，接入请求包括终端的身份参数；当终端的身份参数为隐私身份参数时，与隐私保护网络切片建立连接；其中，隐私保护网络切片为具有加密隐私身份参数功能的网络切片；当触发上报隐私身份参数事件时，接收隐私保护网络切片中鉴权服务网元发送的加密参数和加密规则；基于加密参数、隐私身份参数和加密规则，生成加密隐私身份参数；将加密隐私身份参数发送至鉴权服务网元，以供鉴权服务网元对加密隐私身份参数进行解密，获得解密后的隐私身份参数，并基于解密后的隐私身份参数进行鉴权，可以防止IMSI泄露，同时还可降低在终端侧加密IMSI对终端和SIM卡造成的成本增加。

附图说明

附图是用来提供对本发明的进一步理解，并且构成说明书的一部分，与下面的具体实施方式一起用于解释本发明，但并不构成对本发明的限制。

图1为本发明第一实施例提供的一种隐私保护方法的流程图；

图2为本发明第二实施例提供的一种隐私保护方法的流程图；

图3为本发明第三实施例提供的一种隐私保护方法的流程图；

图4为本发明第四实施例提供的一种隐私保护方法的流程图；

图5为本发明第五实施例提供的一种隐私保护装置的原理框图；

图6为本发明第六实施例提供的一种隐私保护装置的原理框图；

图7为本发明第七实施例提供的一种隐私保护装置的原理框图。

具体实施方式

以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是，此处所描述的具体实施方式仅用于说明和解释本发明，并不用于限制本发明。

本发明实施例提供的隐私保护方法及装置，考虑到3GPP虽然提供了IMSI的保密方案，但是3GPP规定此方案为非必选项，因此，运营商可以自行制定IMSI的加密和解密算法，甚至可以选择不对IMSI进行加密，这样不利于对用户隐私的保护。而且，如果在终端侧对IMSI加密需要对终端和SIM卡进行定制加工，这无疑将增加成本，更加导致部分运营商为降低成本而选择不对IMSI进行加密，从而加剧了用户隐私泄露的风险。因此，提出一种新的隐私保护方法，通过引入隐私保护网络切片，将未加密的IMSI对应终端接入该隐私保护网络切片，从而防止IMSI泄露，同时还可降低在终端侧加密IMSI对终端和SIM卡造成的成本增加。

图1是本发明第一实施例提供的一种隐私保护方法的流程图，应用于终端。如图1所示，该隐私保护方法可包括如下步骤：

步骤S101，向基站发送接入请求。

其中，接入请求包括终端的身份参数。终端的身份参数类似居民的身份证号码，可以唯一标识终端，而且，基站也正是根据终端的身份参数将终端接入运营商网络，进而由运营商网络基于终端的身份参数对终端进行鉴权和接入操作。在实际使用中，终端的身份参数包括多种类型，常见的身份参数包括国际移动用户识别码(International MobileSubscriber Identity，简称IMSI)、全球唯一临时终端标识(Globally Unique TemporaryUE Identity，简称GUTI)和隐藏性用户标识符(Subscription Concealed Identifier，简称SUCI)等。其中，IMSI的编码标准为全球统一的(南美等少数国家除外)，IMSI编码结构包括三组码段，分别是移动国家码(Mobile Country Code，MCC)、移动网络码(MobileNetwork Code，MNC)和移动用户识别号码(Mobile Subscriber Identification Number，MSIN)；其中，MCC指移动国家代码，通常为3位码，MNC是指移动网代码，通常为2位码，MSIN是指移动用户识别号码，通常为10位码。GUTI同样可以在网络中唯一标识终端，从而减少IMSI等终端隐私身份参数暴露在网络传输中，且GUTI与IMSI存在一一对应关系。SUCI是对唯一永久身份标志(Subscription Permanent Identifier，SUPI)进行加密后获得的，SUPI是5G网络中用户唯一的永久性的身份标识，类似于IMSI。

终端在第一次附着到网络时需要向基站和运营商网络提供终端身份参数，此时终端提供的身份参数为IMSI，而且IMSI信息是以明文形式进行传输的。终端在后续进行网络接入时，其接入请求中一般携带GUTI或者SUCI作为终端的身份参数，而不再以明文方式传输IMSI，从而尽量避免终端的IMSI被泄露。其中，对于接入请求中携带SUCI的情形，由于SUCI为对SUPI加密后的身份参数，黑客即便截获SUCI，但是由于不知道SUCI的解密方法，所以无法获知终端的SUPI(类似于IMSI)；对于接入请求中携带GUTI的情形，考虑到GUTI与IMSI存在一一对应关系，且GUTI未经过有效加密，一旦黑客截获GUTI，其容易根据GUTI与IMSI的对应关系获取终端的IMSI，而IMSI的泄露会直接导致用户身份信息的泄露。因此，针对接入请求中携带的终端的身份参数为GUTI等隐私身份参数时，提供本实施例的隐私保护方法，避免黑客获取终端的IMSI。

在一个实施方式中，终端检测到周围存在可接入基站后，向该基站发送接入请求。其中，接入请求中包括GUTI，GUTI为终端的身份参数。

可以理解的是，如果终端发送的接入请求中终端的身份参数为SUCI时，考虑到黑客难以破解SUCI，终端的SUPI或IMSI不易泄露，因此，不需要对终端实施本实施例后续的相关步骤，按照常规的终端鉴权和接入流程执行即可。

步骤S102，当终端的身份参数为隐私身份参数时，与隐私保护网络切片建立连接。

其中，隐私保护网络切片为具有加密隐私身份参数功能的网络切片；隐私身份参数即为容易被破解的终端的身份参数，如GUTI。

网络切片是一种按需组网的方式，可以让运营商在统一的基础设施上分离出多个虚拟的端到端网络，每个网络切片从无线接入网承载网再到核心网上进行逻辑隔离，以适配各种各样类型的应用。在本实施例中，隐私保护网络切片即为应用于保护终端隐私身份参数的网络切片。运营商在隐私保护网络切片对应的安全锚点网元中新增具有判断功能的单元(判断终端的身份参数是否为隐私身份参数)，在隐私保护网络切片对应的鉴权服务网元中新增具有加密和解密功能的单元(加密隐私身份参数，解密加密隐私身份参数)，从而实现对终端鉴权的分级管理，将隐私身份参数对应终端引流至安全的隐私保护网络切片，从而防止泄露IMSI。同时，避免了运营商为加密隐私身份参数对终端侧或SIM卡侧的定制改造，降低了成本。

在一个实施方式中，基站收到终端发送的接入请求后，将接入请求转发至安全锚点网元。安全锚点网元接收接入请求后，对接入请求进行解析，获取接入请求中携带的终端的身份参数，并进一步判断该身份参数是否为隐私身份参数。具体地，当终端的身份参数为SUCI时，判断终端的身份参数为非隐私身份参数(此时无需再对终端进行本实施例中的后续步骤，该终端按照正常的注册、鉴权认证和接入流程进行网络接入即可)；当终端的身份参数为GUTI时，判断终端的身份参数为隐私身份参数。当安全锚点网元判断终端的身份参数为隐私身份参数时(即终端的身份参数为GUTI)，向核心网的切片管理网元上报GUTI。切片管理网元收到GUTI后，根据GUTI与IMSI的映射关系，将GUTI映射至对应的IMSI，并对IMSI进行切片签约数据核实，以判断IMSI对应用户是否为隐私保护网络切片的合法用户。如果切片管理网元判断IMSI对应用户为隐私保护网络切片的合法用户，则对该IMSI或IMSI用户进行标识。然后，安全锚点网元将接入请求转发至第一接入和移动管理网元，终端与第一接入和移动管理网元建立连接，第一接入和移动管理网元向切片管理网元查询终端的切片签约信息，当确定终端支持隐私保护网络切片，且根据IMSI或IMSI用户的标识确定终端的身份参数为隐私身份参数(即GUTI)时，第一接入和移动管理网元将终端转移至第二接入和移动管理网元(第二接入和移动管理网元为与隐私保护网络切片对应的网元)。终端接入第二接入和移动管理网元，并通过第二接入和移动管理网元与隐私保护网络切片建立连接，进而通过隐私保护网络切片进行终端的鉴权和接入等操作。

步骤S103，当触发上报隐私身份参数事件时，接收隐私保护网络切片中鉴权服务网元发送的加密参数和加密规则。

其中，上报隐私身份参数事件包括需要终端上报隐私身份参数的事件，包括但不限于协议数据单元(Protocol Data Unit，PDU)会话、位置更新、小区切换、GUTI同步失败等；加密参数为加密隐私身份参数时使用的参数，加密规则为加密隐私身份参数时使用的算法或需要遵循的规定，加密参数和加密规则由鉴权服务网元生成或设置。

当终端触发上报隐私身份参数事件时，为防止终端在上报隐私身份参数过程中泄漏IMSI，因此，由隐私保护网络切片中的鉴权服务网元为终端下发加密参数和加密规则，终端使用加密参数和加密规则获得加密隐私身份参数，并向鉴权服务网元传送加密隐私身份参数。隐私保护网络切片中的鉴权服务网元较常规的鉴权服务网元而言，新增了加密和解密等功能。

在一个实施方式中，当终端触发上报隐私身份参数事件时，隐私保护网络切片中的鉴权服务网元生成加密参数，并设置相应的加密规则，然后将加密参数和加密规则发送至终端。其中，加密参数包括多种类型和形式，如，加密参数可以是静态验证码，也可以是动态验证码，还可以是其他任何变量形式。加密规则包括傅里叶变化加密、卷积加密等形式。

需要说明的是，加密参数包括现在的和将来出现的任何加密参数类型，加密规则包括现在的和将来出现的任何加密算法。

可以理解的是，加密规则是支持加密参数形式或类型的加密方法。

步骤S104，基于加密参数、隐私身份参数和加密规则，生成加密隐私身份参数。

在一个实施方式中，终端收到加密参数和加密规则后，按照加密规则使用加密参数和隐私身份参数进行计算，获得计算结果，该计算结果即为加密隐私身份参数。

步骤S105，将加密隐私身份参数发送至鉴权服务网元，以供鉴权服务网元对加密隐私身份参数进行解密，获得解密后的隐私身份参数，并基于解密后的隐私身份参数进行鉴权。

在鉴权服务网元需要终端提供其隐私身份参数时，终端并未直接将隐私身份参数传输至鉴权服务网元，而是将隐私身份参数加密后再进行传输，从而可以避免终端的隐私身份参数在传输过程中被泄露，进而防止终端的IMSI被泄露。

在一个实施方式中，终端计算获得加密隐私身份参数后，将加密隐私身份参数发送至隐私保护网络切片中的鉴权服务网元。鉴权服务网元收到加密隐私身份后，使用预先约定的或预设的解密算法对加密隐私身份参数进行解密操作。若解密成功，则鉴权服务网元获得该终端的正确的隐私身份参数，并基于该隐私身份参数对终端进行鉴权操作。

需要说明的是，在终端与隐私保护网络切片建立连接之后，若核心网中的接入和移动管理网元等其他网元需要向会话管理网元或者统一数据管理网元等上报信令时，如果需要调用IMSI，都将传输加密隐私身份参数替代IMSI和GUTI。

图2是本发明第二实施例提供的一种隐私保护方法的流程图，应用于终端，与本发明第一实施例基本相同，区别之处在于：终端还向基站发送注册请求。如图2所示，该隐私保护方法可包括如下步骤：

步骤S201，向基站发送接入请求。

本实施例中的步骤S201与本发明第一实施例中步骤S101的内容相同，在此不再赘述。

步骤S202，向基站发送注册请求。

其中，注册请求包括终端的网络切片选择辅助信息和隐私身份参数。

在一个实施方式中，终端向基站发送注册请求，注册请求中携带Requested NSSAI(Requested Single Network Slice Selection Assistance Information，简称Requested NSSAI，即网络切片选择辅助信息)和GUTI。Requested NSSAI表示终端在本次注册中请求支持或使用的网络切片，其可帮助接入和移动管理网元为终端分配网络切片。具体地，只有IMSI用户为支持隐私保护网络切片，且签约隐私保护网络切片的用户时，IMSI用户对应终端才可以接入隐私保护网络切片。其中，IMSI用户是否支持隐私保护网络切片可以根据Requested NSSAI确定。

步骤S203，当终端的身份参数为隐私身份参数时，与隐私保护网络切片建立连接。

本实施例中的步骤S203与本发明第一实施例中步骤S102的内容相同，在此不再赘述。

步骤S204，当触发上报隐私身份参数事件时，接收隐私保护网络切片中鉴权服务网元发送的加密参数和加密规则。

本实施例中的步骤S204与本发明第一实施例中步骤S103的内容相同，在此不再赘述。

步骤S205，基于加密参数、隐私身份参数和加密规则，生成加密隐私身份参数。

本实施例中的步骤S204与本发明第一实施例中步骤S104的内容相同，在此不再赘述。

步骤S206，将加密隐私身份参数发送至鉴权服务网元，以供鉴权服务网元对加密隐私身份参数进行解密，获得解密后的隐私身份参数，并基于解密后的隐私身份参数进行鉴权。

本实施例中的步骤S205与本发明第一实施例中步骤S105的内容相同，在此不再赘述。

图3是本发明第三实施例提供的一种隐私保护方法的流程图，应用于终端，与本发明第一实施例基本相同，区别之处在于：终端与隐私保护切片建立连接后，与无线接入网保持轻连接。如图3所示，该隐私保护方法可包括如下步骤：

步骤S301，向基站发送接入请求。

本实施例中的步骤301与本发明第一实施例中步骤S101的内容相同，在此不再赘述。

步骤S302，当终端的身份参数为隐私身份参数时，与隐私保护网络切片建立连接。

本实施例中的步骤302与本发明第一实施例中步骤S102的内容相同，在此不再赘述。

步骤S303，触发与基站对应的无线接入网的去激活态连接。

终端和网络通过无线信道相互通信，彼此交换大量的信息，因此双方需要一种控制机制来交换配置信息并达成一致，这种控制机制就是无线资源控制(Radio ResourceControl，简称RRC)。RRC可以被理解为终端和网络相互沟通的共同语言，这个语言让网络和终端配合默契。在5G网络中RRC支持三种状态，分别是RRC_IDLE、RRC_INACTIVE、RRC_CONNECTED。相较于4G网络只有RRC_IDLE和RRC_CONNECTED两种RRC状态而言，5G网络新引入一个新状态，即RRC_INACTIVE。这是考虑到5G网络中，大量设备零星传送少量的数据，会带来过高的信令开销，为减少信令消耗和功耗，从而引入RRC_INACTIVE。在RRC_INACTIVE状态下，终端处于省电的“休眠”状态，同时又要随机待命，所以仍然保留部分RAN上下文(无线接入网络上下文，如，安全上下文，终端能力信息等)，终端始终保持与网络连接，并且可以通过类似于寻呼的消息快速从RRC_INACTIVE状态转移到RRC_CONNECTED状态，且减少信令数量。

在一个实施方式中，终端根据终端路由选择策略中的网络切片选择策略读取到终端与隐私保护网络切片建立连接之后，终端触发与基站对应无线接入网的去激活态连接。终端触发去激活态连接之后，终端与无线接入网之间从RRC_CONNECTED状态转变为RRC_INACTIVE状态。

步骤S304，与无线接入网保持轻连接。

其中，轻连接即指RRC_INACTIVE连接。在RRC_INACTIVE状态下，终端释放无线接入网接入资源，维持着与无线接入网之间的连接状态。

在一个实施方式中，终端与无线接入网保持轻连接，同时无线接入网与核心网之间的逻辑接口保持建立，且核心网的接入和移动管理网元存储了终端的上下文信息。终端与无线接入网保持轻连接状态下，一方面可以节省信令开销，降低功耗，另一方面又可以在终端与无线接入网需要重新建立连接时，在较短时间内恢复连接，从而避免核心网与无线接入网之间过频繁地寻呼，进而避免在频繁寻呼过程中泄露IMSI或GUTI。

步骤S305，当触发上报隐私身份参数事件时，接收隐私保护网络切片中鉴权服务网元发送的加密参数和加密规则。

本实施例中的步骤305与本发明第一实施例中步骤S103的内容相同，在此不再赘述。

步骤S306，基于加密参数、隐私身份参数和加密规则，生成加密隐私身份参数。

本实施例中的步骤306与本发明第一实施例中步骤S104的内容相同，在此不再赘述。

步骤S307，将加密隐私身份参数发送至鉴权服务网元，以供鉴权服务网元对加密隐私身份参数进行解密，获得解密后的隐私身份参数，并基于解密后的隐私身份参数进行鉴权。

本实施例中的步骤307与本发明第一实施例中步骤S105的内容相同，在此不再赘述。

图4是本发明第四实施例提供的一种隐私保护方法的流程图，应用于鉴权服务网元。如图4所示，该隐私保护方法可包括如下步骤：

步骤S401，向终端发送加密参数和加密规则。

其中，加密参数为加密终端对应的隐私身份参数使用的参数，加密规则为加密隐私身份参数使用的规则，加密参数和加密规则为在终端触发上报隐私身份参数事件时由鉴权服务网元向终端发送的信息；鉴权服务网元为处于隐私保护网络切片中的网元，其较普通的鉴权服务网元而言，新增了加密和解密等功能；隐私保护网络切片为具有加密隐私身份参数功能的网络切片。

在一个实施方式中，当终端触发上报隐私身份参数事件后，终端需要重新上报隐私身份参数。此时，隐私保护网络切片中的鉴权服务网元生成加密参数，设置相应的加密规则，并将加密参数和加密规则发送至终端。

步骤S402，接收终端返回的加密隐私身份参数。

其中，加密隐私身份参数为基于加密参数、终端对应的隐私身份参数和加密规则生成的信息。

在一个实施方式中，终端收到鉴权服务网元发送的加密参数和加密规则后，按照加密规则使用加密参数和隐私身份参数生成，加密隐私身份参数，并将加密隐私身份参数发送至鉴权服务网元。鉴权服务网元收到终端返回的加密隐私身份参数。

步骤S403，对加密隐私身份参数进行解密，获得隐私身份参数。

鉴权服务网元设置了与加密隐私身份参数使用的加密规则对应的解密规则，可以使用该解密规则对加密身份参数进行解密。

在一个实施方式中，鉴权服务网元接收到终端发送的加密隐私身份参数后，按照预设的解密规则对加密隐私身份参数进行解密，获得终端对应的隐私身份参数。

步骤S404，基于隐私身份参数对终端进行鉴权。

鉴权服务网元通过解密获得终端的隐私身份参数后，即可使用隐私身份参数进行终端的鉴权、认证等操作。

在一个实施方式中，鉴权服务网元使用解密后获得的终端的隐私身份参数对终端进行鉴权和认证等操作。

上面各种方法的步骤划分，只是为了描述清楚，实现时可以合并为一个步骤或者对某些步骤进行拆分，分解为多个步骤，只要包括相同的逻辑关系，都在本专利的保护范围内；对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计，但不改变其算法和流程的核心设计都在该专利的保护范围内。

图5是本发明第五实施例提供的一种隐私保护装置的原理框图，应用于终端。如图5所示，该隐私保护装置包括：终端发送模块501、终端连接模块502、终端接收模块503和终端加密模块504。

终端发送模块501，用于向基站发送接入请求。

其中，接入请求包括终端的身份参数。终端的身份参数类似居民的身份证号码，可以唯一标识终端。在实际使用中，终端的身份参数包括多种类型，常见的身份参数包括IMSI、GUTI和SUCI等。一般情况下，IMSI只在终端首次接入网络时作为身份参数使用，在后续接入中，一般使用GUTI和SUCI作为终端的身份参数。如果接入请求中携带的身份参数为SUCI，由于SUCI为加密信息，所以可以在一定程度上避免终端身份参数泄露；如果接入请求中携带的身份参数为GUTI时，考虑到GUTI未经过有效加密，容易导致终端的IMSI被泄露，因此，针对接入请求中携带的终端的身份参数为GUTI等隐私身份参数时，提供本实施例的隐私保护装置，避免黑客获取终端的IMSI。

在一个实施方式中，终端检测到周围存在可接入基站后，通过终端发送模块501向该基站发送接入请求。其中，接入请求中包括GUTI，GUTI为终端的身份参数。

终端连接模块502，用于当终端的身份参数为隐私身份参数时，与隐私保护网络切片建立连接。

其中，隐私保护网络切片为具有加密隐私身份参数功能的网络切片；隐私身份参数即为容易被破解的终端身份参数，如GUTI。

在本实施例中，隐私保护网络切片即为应用于保护终端隐私身份参数的网络切片。运营商在隐私保护网络切片对应的安全锚点网元中新增具有判断功能的单元，在隐私保护网络切片对应的鉴权服务网元中新增具有加密和解密功能的单元，从而实现对终端鉴权的分级管理，将隐私身份参数对应终端引流至安全的隐私保护网络切片，从而防止泄露IMSI，同时还可避免运营商为加密隐私身份参数对终端侧或SIM卡侧的定制改造，降低成本。

在一个实施方式中，基站收到终端发送的接入请求后，将接入请求转发至安全锚点网元。安全锚点网元接收接入请求后，对接入请求进行解析，获取接入请求中携带的终端的身份参数，并进一步判断该身份参数是否为隐私身份参数。具体地，当终端的身份参数为SUCI时，判断终端的身份参数为非隐私身份参数(此时无需再对终端进行本实施例中的后续步骤，该终端按照正常的注册、鉴权认证和接入流程进行网络接入即可)；当终端的身份参数为GUTI时，判断终端的身份参数为隐私身份参数。当安全锚点网元判断终端的身份参数为隐私身份参数时(即终端的身份参数为GUTI)，向核心网的切片管理网元上报GUTI。切片管理网元收到GUTI后，根据GUTI与IMSI的映射关系，将GUTI映射至对应的IMSI，并对IMSI进行切片签约数据核实，以判断IMSI对应用户是否为隐私保护网络切片的合法用户。如果切片管理网元判断IMSI对应用户为隐私保护网络切片的合法用户，则对该IMSI或IMSI用户进行标识。然后，安全锚点网元将接入请求转发至第一接入和移动管理网元，终端与第一接入和移动管理网元建立连接，第一接入和移动管理网元向切片管理网元查询终端的切片签约信息，当确定终端支持隐私保护网络切片，且根据IMSI或IMSI用户的标识确定终端的身份参数为隐私身份参数(即GUTI)时，第一接入和移动管理网元将终端转移至第二接入和移动管理网元(第二接入和移动管理网元为与隐私保护网络切片对应的网元)。终端接入第二接入和移动管理网元，并通过终端连接模块502与隐私保护网络切片建立连接，进而通过隐私保护网络切片进行终端的鉴权和接入等操作。

终端接收模块503，用于当触发上报隐私身份参数事件时，接收隐私保护网络切片中鉴权服务网元发送的加密参数和加密规则。

其中，上报隐私身份参数事件包括但不限于PDU会话、位置更新、小区切换、GUTI同步失败等；加密参数为加密隐私身份参数时使用的变量，加密规则为加密隐私身份参数时使用的算法和需要遵循的规定，加密参数和加密规则由鉴权服务网元生成或设置。

当终端触发上报隐私身份参数事件时，为防止终端在上报隐私身份参数过程中泄漏IMSI，因此，由隐私保护网络切片中的鉴权服务网元为终端下发加密参数和加密规则，终端使用其获得加密隐私身份参数，并向鉴权服务网元传送加密隐私身份参数。隐私保护网络切片中的鉴权服务网元较常规的鉴权服务网元而言，新增了加密和解密等功能。

在一个实施方式中，当终端触发上报隐私身份参数事件时，隐私保护网络切片中的鉴权服务网元生成加密参数，并设置相应的加密规则，然后将加密参数和加密规则发送至终端。终端通过终端接收模块503接收加密参数和加密规则。

需要说明的是，加密参数包括现在的和将来出现的任何加密参数类型，加密规则包括现在的和将来出现的任何加密算法。

可以理解的是，加密规则是支持加密参数形式或类型的加密方法。

终端加密模块504，用于基于加密参数、隐私身份参数和加密规则，生成加密隐私身份参数。

在一个实施方式中，终端收到加密参数和加密规则后，通过终端加密模块504，按照加密规则使用加密参数和隐私身份参数进行计算，获得计算结果，该计算结果即为加密隐私身份参数。

终端发送模块501，还用于将加密隐私身份参数发送至鉴权服务网元，以供鉴权服务网元对加密隐私身份参数进行解密，获得解密后的隐私身份参数，并基于解密后的隐私身份参数进行鉴权。

在鉴权服务网元需要终端提供其隐私身份参数时，终端并未直接将隐私身份参数传输至鉴权服务网元，而是将隐私身份参数加密后再进行传输，从而可以避免终端的隐私身份参数在传输过程中被泄露，进而防止终端的IMSI被泄露。

在一个实施方式中，终端计算获得加密隐私身份参数后，通过终端发送模块501将加密隐私身份参数发送至隐私保护网络切片中的鉴权服务网元。鉴权服务网元收到加密隐私身份后，使用预先约定的或预设的解密算法对加密隐私身份参数进行解密操作。若解密成功，则鉴权服务网元获得该终端的正确的隐私身份参数，并基于该隐私身份参数对终端进行鉴权操作。

需要说明的是，在终端与隐私保护网络切片建立连接之后，若其他网元需要调用IMSI，都将传输加密隐私身份参数替代IMSI和GUTI。

图6是本发明第六实施例提供的一种隐私保护装置的原理框图，应用于终端。如图6所示，该隐私保护装置包括：终端发送模块601、终端连接模块602、终端接收模块603、终端加密模块604、触发模块605和轻连接模块606。

终端发送模块601，用于向基站发送接入请求。

本实施例中的终端发送模块601与本发明第五实施例中终端发送模块501的内容相同，在此不再赘述。

终端连接模块602，用于当终端的身份参数为隐私身份参数时，与隐私保护网络切片建立连接。

本实施例中的终端连接模块602与本发明第五实施例中终端连接模块502的内容相同，在此不再赘述。

终端接收模块603，用于当触发上报隐私身份参数事件时，接收隐私保护网络切片中鉴权服务网元发送的加密参数和加密规则。

本实施例中的终端接收模块603与本发明第五实施例中终端接收模块503的内容相同，在此不再赘述。

终端加密模块604，用于基于加密参数、隐私身份参数和加密规则，生成加密隐私身份参数。

本实施例中的终端加密模块604与本发明第五实施例中终端加密模块504的内容相同，在此不再赘述。

终端发送模块601，还用于将加密隐私身份参数发送至鉴权服务网元，以供鉴权服务网元对加密隐私身份参数进行解密，获得解密后的隐私身份参数，并基于解密后的隐私身份参数进行鉴权。

本实施例中的终端发送模块601与本发明第五实施例中终端发送模块501的内容相同，在此不再赘述。

触发模块605，用于触发与所述基站对应的无线接入网的去激活态连接。

终端在去激活态连接时处于省电的“休眠”状态，同时又要随机待命，所以仍然保留部分RAN上下文(无线接入网络上下文，如，安全上下文，终端能力信息等)，终端始终保持与网络连接，并且可以通过类似于寻呼的消息快速从去激活态连接转移到正常的连接状态，从而达到降低信令开销的目的。

在一个实施方式中，终端根据终端路由选择策略中的网络切片选择策略读取到终端与隐私保护网络切片建立连接之后，终端通过触发模块605触发与基站对应无线接入网的去激活态连接。终端触发去激活态连接之后，终端与无线接入网之间从RRC_CONNECTED状态转变为RRC_INACTIVE状态。

轻连接模块606，用于与所述无线接入网保持轻连接。

在一个实施方式中，终端与无线接入网通过轻连接模块606保持轻连接，同时无线接入网与核心网之间的逻辑接口保持建立，且核心网的接入和移动管理网元存储了终端的上下文信息。终端与无线接入网保持轻连接状态下，一方面可以节省信令开销，降低功耗，另一方面又可以在终端与无线接入网需要重新建立连接时，在较短时间内恢复连接，从而避免核心网与无线接入网之间过频繁地寻呼，进而避免在频繁寻呼过程中泄露IMSI或GUTI。

图7是本发明第七实施例提供的一种隐私保护装置的原理框图，应用于鉴权服务网元。如图7所示，该隐私保护装置包括：网元发送模块701、网元接收模块702、网元解密模块703和网元鉴权模块704。

网元发送模块701，用于向终端发送加密参数和加密规则。

其中，加密参数为加密终端对应的隐私身份参数使用的参数，加密规则为加密隐私身份参数使用的规则，加密参数和加密规则为在终端触发上报隐私身份参数事件时由鉴权服务网元向终端发送的信息，鉴权服务网元为处于隐私保护网络切片中的网元；隐私保护网络切片为具有加密隐私身份参数功能的网络切片。

在一个实施方式中，当终端触发上报隐私身份参数事件后，终端需要重新上报隐私身份参数。此时，隐私保护网络切片中的鉴权服务网元生成加密参数，设置相应的加密规则，并通过网元发送模块701将加密参数和加密规则发送至终端。

网元接收模块702，用于接收终端返回的加密隐私身份参数。

在一个实施方式中，终端收到鉴权服务网元发送的加密参数和加密规则后，按照加密规则使用加密参数和隐私身份参数生成，加密隐私身份参数，并将加密隐私身份参数发送至鉴权服务网元。鉴权服务网元通过网元接收模块702接收终端返回的加密隐私身份参数。

网元解密模块703，用于对加密隐私身份参数进行解密，获得隐私身份参数。

在一个实施方式中，鉴权服务网元接收到终端发送的加密隐私身份参数后，通过网元解密模块703按照预设的解密规则对加密隐私身份参数进行解密，获得终端对应的隐私身份参数。

网元鉴权模块704，用于基于隐私身份参数对终端进行鉴权。

在一个实施方式中，鉴权服务网元通过网元鉴权模块704使用解密后获得的终端的隐私身份参数对终端进行鉴权和认证等操作。

值得一提的是，本实施方式中所涉及到的各模块均为逻辑模块，在实际应用中，一个逻辑单元可以是一个物理单元，也可以是一个物理单元的一部分，还可以以多个物理单元的组合实现。此外，为了突出本发明的创新部分，本实施方式中并没有将与解决本发明所提出的技术问题关系不太密切的单元引入，但这并不表明本实施方式中不存在其它的单元。

可以理解的是，以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式，然而本发明并不局限于此。对于本领域内的普通技术人员而言，在不脱离本发明的精神和实质的情况下，可以做出各种变型和改进，这些变型和改进也视为本发明的保护范围。

Claims (10)

1.一种隐私保护方法，其特征在于，包括：

向基站发送接入请求；其中，所述接入请求包括终端的身份参数；

当所述终端的身份参数为隐私身份参数时，与隐私保护网络切片建立连接；其中，所述隐私保护网络切片为具有加密所述隐私身份参数功能的网络切片；

当触发上报隐私身份参数事件时，接收所述隐私保护网络切片中鉴权服务网元发送的加密参数和加密规则；

基于所述加密参数、所述隐私身份参数和所述加密规则，生成加密隐私身份参数；

将所述加密隐私身份参数发送至所述鉴权服务网元，以供所述鉴权服务网元对所述加密隐私身份参数进行解密，获得解密后的隐私身份参数，并基于解密后的隐私身份参数进行鉴权。

2.根据权利要求1所述的隐私保护方法，其特征在于，所述向基站发送接入请求之后，所述与隐私保护网络切片建立连接之前，还包括：

向所述基站发送注册请求；其中，所述注册请求包括所述终端的网络切片选择辅助信息和所述隐私身份参数。

3.根据权利要求1所述的隐私保护方法，其特征在于，所述当所述身份参数为隐私身份参数时，所述与隐私保护网络切片建立连接，包括：

接入第一接入和移动管理网元，以供所述第一接入和移动管理网元判断所述终端对应的所述身份参数是否为所述隐私身份参数，并在所述身份参数为所述隐私身份参数时，根据所述终端的网络切片选择辅助信息和网络切片签约信息将所述终端转移至所述隐私保护网络切片对应的第二接入和移动管理网元；

接入所述第二接入和移动管理网元；

通过所述第二接入和移动管理网元与所述隐私保护网络切片建立连接。

4.根据权利要求1所述的隐私保护方法，其特征在于，所述与隐私保护网络切片建立连接之后，还包括：

触发与所述基站对应的无线接入网的去激活态连接；

与所述无线接入网保持轻连接。

5.根据权利要求4所述的隐私保护方法，其特征在于，所述无线接入网与核心网之间的逻辑接口保持建立，所述核心网的接入和移动管理网元存储所述终端的上下文信息。

6.一种隐私保护方法，应用于鉴权服务网元，其特征在于，包括：

向终端发送加密参数和加密规则；其中，所述加密参数为加密所述终端对应的隐私身份参数使用的参数，所述加密规则为加密所述隐私身份参数使用的规则，所述加密参数和所述加密规则为在所述终端触发上报隐私身份参数事件时由所述鉴权服务网元向所述终端发送的信息，所述鉴权服务网元为处于隐私保护网络切片中的网元，所述隐私保护网络切片为具有加密所述隐私身份参数功能的网络切片；

接收所述终端返回的加密隐私身份参数；其中，所述加密隐私身份参数为基于所述加密参数、所述终端对应的隐私身份参数和所述加密规则生成的信息；

对所述加密隐私身份参数进行解密，获得所述隐私身份参数；

基于所述隐私身份参数对所述终端进行鉴权。

7.一种隐私保护装置，其特征在于，包括：

终端发送模块，用于向基站发送接入请求；其中，所述接入请求包括终端的身份参数；

终端连接模块，用于当所述终端的身份参数为隐私身份参数时，与隐私保护网络切片建立连接；其中，所述隐私保护网络切片为具有加密所述隐私身份参数功能的网络切片；

终端接收模块，用于当触发上报隐私身份参数事件时，接收所述隐私保护网络切片中鉴权服务网元发送的加密参数和加密规则；

终端加密模块，用于基于所述加密参数、所述隐私身份参数和所述加密规则，生成加密隐私身份参数；

所述终端发送模块，还用于将所述加密隐私身份参数发送至所述鉴权服务网元，以供所述鉴权服务网元对所述加密隐私身份参数进行解密，获得解密后的隐私身份参数，并基于解密后的隐私身份参数进行鉴权。

8.根据权利要求7所述的隐私保护装置，其特征在于，所述连接模块，包括：

第一接入单元，用于接入第一接入和移动管理网元，以供所述第一接入和移动管理网元判断所述终端对应的所述身份参数是否为所述隐私身份参数，并在所述身份参数为所述隐私身份参数时，根据所述终端的网络切片选择辅助信息和网络切片签约信息将所述终端转移至所述隐私保护网络切片对应的第二接入和移动管理网元；

第二接入单元，用于接入所述第二接入和移动管理网元；

建立连接单元，用于通过所述第二接入和移动管理网元与所述隐私保护网络切片建立连接。

9.根据权利要求7所述的隐私保护装置，其特征在于，所述隐私保护装置，还包括：

触发模块，用于触发与所述基站对应的无线接入网的去激活态连接；

轻连接模块，用于与所述无线接入网保持轻连接。

10.一种隐私保护装置，应用于鉴权服务网元，其特征在于，包括：

网元发送模块，用于向终端发送加密参数和加密规则；其中，所述加密参数为加密所述终端对应的隐私身份参数使用的参数，所述加密规则为加密所述隐私身份参数使用的规则，所述加密参数和所述加密规则为在所述终端触发上报隐私身份参数事件时由所述鉴权服务网元向所述终端发送的信息，所述鉴权服务网元为处于隐私保护网络切片中的网元；所述隐私保护网络切片为具有加密所述隐私身份参数功能的网络切片；

网元接收模块，用于接收所述终端返回的加密隐私身份参数；其中，所述加密隐私身份参数为基于所述加密参数、所述终端对应的隐私身份参数和所述加密规则生成的信息；

网元解密模块，用于对所述加密隐私身份参数进行解密，获得所述隐私身份参数；

网元鉴权模块，用于基于所述隐私身份参数对所述终端进行鉴权。

Images