CN111788839A - 用户身份隐私保护和网络密钥管理 - Google Patents

Abstract

公开了通过使用多个临时非对称密钥来保护在用户装备(UE)和蜂窝无线网络实体之间传送的消息中的用户身份的技术。所述UE确定多个临时UE公共密钥和秘密密钥对，同时所述蜂窝无线网络实体向所述UE提供网络公共密钥。所述网络公共密钥可随时间推移而更新。导出基于所述多个临时UE秘密密钥和公共网络密钥的多个加密密钥，并将所述多个加密密钥用于对用户永久标识符(SUPI)进行加密以生成多个用户隐藏标识符(SUCI)。每个SUCI仅针对传送到蜂窝无线网络的消息被使用一次，并且在使用之后被丢弃。当更新所述网络公共密钥时，生成新的SUCI。

Description

用户身份隐私保护和网络密钥管理

技术领域

本文所描述的实施方案阐述了用于通过预先生成加密的用户身份的集合并在网络密钥改变时管理更新来有效地保护在无线设备和蜂窝无线网络实体之间传送的消息中的用户身份的技术。

背景技术

许多无线设备被配置为使用可移除的通用集成电路卡(UICC)，该可移除的通用集成电路卡使得无线设备能够访问由移动网络运营商(MNO)所提供的服务。具体地讲，每个UICC至少包括微处理器和只读存储器(ROM)，其中ROM被配置为存储MNO简档，无线设备可使用此MNO简档来注册并与MNO进行交互以通过蜂窝无线网络获取无线服务。通常，UICC采取小的可移除卡(通常称为用户身份模块(SIM)卡)的形式，其被配置为插入到包括在无线设备中的UICC接收区内。在最近的具体实施中，将UICC直接嵌入到无线设备的系统板中。这些嵌入式UICC(eUICC)可提供优于传统的可移除UICC的若干优点。例如，一些eUICC包括可重写存储器，该可重写存储器可有利于安装、修改和/或删除一个或多个电子SIM(eSIM)，该一个或多个eSIM可提供用于访问由MNO提供的扩展特征的新的和/或不同的服务和/或更新。eUICC可存储多个MNO简档(在本文中也称为eSIM)，并可消除将UICC接收区包括在无线设备中的需要。

MNO简档包括全球唯一用户永久标识符(SUPI)，诸如国际移动用户身份(IMSI)，由此可通过蜂窝无线网络唯一地识别订阅由MNO提供的服务的用户。SUPI包括移动国家代码(MCC)、移动网络代码(MNC)和移动用户标识号(MSIN)。在蜂窝无线网络和无线设备之间发送的某些消息可包括清晰可读的未加密格式的SUPI，因此该SUPI对通过被动监听或主动请求和应答捕获技术的窥探是开放的。加密SUPI以形成用户隐藏标识符(SUCI)可减少窥探并且可基于由无线设备和由无线网络实体生成的非对称密钥对。非对称密钥对可一次性使用并且/或者随时间推移而更新。

发明内容

代表性的实施方案阐述了用于通过预先对用户永久标识符(SUPI)进行加密以使用由用户装备(UE)生成的一次性临时非对称密钥和网络提供的密钥形成一次性使用的用户隐藏标识符(SUCI)的集合来有效地保护用户身份的技术。UE基于一次性临时UE秘密密钥和网络公共密钥来生成一次性临时UE公共密钥和秘密密钥对的集合以及一次性加密密钥。UE使用一次性加密密钥来加密移动用户标识符，诸如SUPI的MSIN部分，以生成一次性使用的SUCI的集合。UE存储具有对应的一次性临时UE公共密钥的一次性使用的SUCI。为了与蜂窝无线网络进行认证，UE向蜂窝无线网络实体诸如向演进型NodeB(eNodeB)或下一代NodeB(gNB)发送上行链路(UL)消息。UL消息包括一次性SUCI、对应的一次性临时UE公共密钥以及用于对该SUCI进行加密的网络公共密钥的标识符。蜂窝无线网络实体可以验证网络公共密钥并通过使用一次性临时UE公共密钥和对应于所验证的网络公共密钥的网络秘密密钥导出加密密钥来解密该SUCI。对于后续认证，UE发送UL消息，该UL消息包括不同的一次性SUCI、对应的一次性临时UE公共密钥以及网络公共密钥标识符。当网络公共密钥例如通过对UE进行空中(OTA)更新和/或通过由网络实体例如由蜂窝无线网络实体或由提供运营商绑定更新的第三方服务器向UE发送的下行链路(DL)消息而被更新时，先前生成的未使用的一次SUCI被丢弃。基于新导出的加密密钥生成附加的新的一次性SUCI，该新导出的加密密钥基于更新的网络公共密钥和附加的一次性临时UE秘密密钥。在一些实施方案中，UE保留先前生成的未使用的临时UE秘密密钥，并且仅在使用相关联的一次性SUCI时才丢弃这些秘密密钥。可以重新使用未使用的临时UE秘密密钥来基于更新的网络公共密钥导出新的加密密钥。当没有未使用的临时UE秘密密钥可用时，UE生成用于导出新的一次性加密密钥的附加的一次性临时密钥对。在一些实施方案中，UE基于椭圆曲线迪菲赫尔曼(ECDH)密钥协商协议生成一次性加密密钥。在一些实施方案中，网络公共密钥由UE的安全元件(SE)(例如，嵌入式通用集成电路卡(eUICC)和/或用户身份模块(SIM)卡)维护。在一些实施方案中，网络公共密钥由UE的SE外部的处理电路维护。在一些实施方案中，蜂窝无线网络实体通过向UE的SE发送OTA更新来更新由该SE维护的网络公共密钥。在一些实施方案中，第三方服务器向UE的SE外部的处理电路提供运营商绑定更新，该运营商绑定更新包括用于一个或多个蜂窝无线网络的一个或多个更新的网络公共密钥。在一些实施方案中，在向蜂窝无线网络实体发送包括SUCI的UL消息之前，UE确定是否使用利用由SE维护的网络公共密钥进行加密的SUCI或利用由该SE外部的处理电路维护的网络公共密钥进行加密的SUCI。在一些实施方案中，当SE和该SE外部的处理电路两者分别维护网络公共密钥时，UE按照基于设备的策略或基于网络的策略中的一者或多者来确定要用于加密SUPI的网络公共密钥。在一些实施方案中，基于网络的策略和/或基于设备的策略需要对由SE维护的网络公共密钥的使用优先于对由该SE外部的处理电路维护的网络公共密钥的使用。在一些实施方案中，基于设备的策略和/或基于网络的策略需要使用最近的网络公共密钥，诸如基于时间戳和/或修订指示符。在一些实施方案中，基于设备的策略和/或基于网络的策略需要使用由SE或由该SE外部的处理电路维护的可用网络公共密钥，直到无线网络接受一个可用网络公共密钥。在一些实施方案中，基于设备的策略和/或基于网络的策略需要在没有网络公共密钥可用时或在没有可用网络公共密钥能够与无线网络进行成功认证时向该无线网络发送未加密的SUPI而不是加密的SUCI。

提供本发明内容仅用于概述一些示例性实施方案的目的，以便提供对本文所述主题的一些方面的基本理解。因此，应当理解，上述特征仅为示例，并且不应解释为以任何方式缩窄本发明所描述的主题的范围或实质。本文所描述的主题的其它特征、方面和优点将通过以下具体实施方式、附图和权利要求书而变得显而易见。

根据结合以举例的方式示出所述实施方案的原理的附图而进行的以下详细描述，本文所述的实施方案的其他方面和优点将变得显而易见。

附图说明

所包括的附图用于说明性目的，并且仅用于提供所公开的用于提供无线计算设备的本发明装置和方法的可能的结构和布置方式的示例。这些附图决不限制本领域的技术人员在不脱离实施方案的实质和范围的情况下可对实施方案作出的在形式和细节上的任何改变。该实施方案通过以下结合附图的详细描述将易于理解，其中相似的附图标号指代相似的结构元件。

图1示出了根据一些实施方案的被配置为实现本文所述的各种技术的示例性系统的不同部件的框图。

图2示出了根据一些实施方案的图1的系统的示例性部件的更详细视图的框图。

图3示出了根据一些实施方案的用于捕获用户身份的示例性系统的框图。

图4A和图4B示出了用于保护用户身份的现有技术加密技术的流程图。

图5A示出了根据一些实施方案的使用预先加密的用户身份以保护用户身份的隐私的示例性消息交换。

图5B示出了根据一些实施方案的用于保护用户身份的隐私(包括更新加密的用户身份)的示例性消息交换。

图5C示出了根据一些实施方案的用于保护用户身份的隐私(包括更新加密的用户身份)的另一个示例性消息交换。

图6A和图6B示出了根据一些实施方案的基于更新的网络密钥更新加密的用户身份。

图7示出了根据一些实施方案的网络密钥管理和用户身份加密的示例。

图8示出了用于对网络密钥的使用的重叠时间段的示例的框图。

图9A、图9B和图9C示出了根据一些实施方案的由UE执行以实现保护用户身份的隐私的方法的动作的示例性流程图。

图10示出了根据一些实施方案的由UE执行以实现保护用户身份的隐私的另一个方法的动作的示例性流程图。

图11示出了根据一些实施方案的可用于实现本文所述的各种方法的代表性计算设备的详细视图。

具体实施方式

在本部分中提供了根据本发明所述的实施方案的装置和方法的代表性应用。提供这些示例仅为了添加上下文并有助于理解所描述的实施方案。因此对于本领域的技术人员将显而易见的是，当前描述的实施方案可在不具有这些具体细节中的一些或所有的情况下被实践。在其他实例中，未详细描述众所周知的工艺步骤，以便避免不必要地使当前描述的实施方案晦涩难懂。其他应用是可能的，使得以下示例不应被当作是限制性的。

根据本文所述的各种实施方案，术语“无线通信设备”、“无线设备”、“移动设备”、“移动站”、和“用户装备(UE)”在本文中可互换使用，以描述可能够执行与本公开的各种实施方案相关联的过程的一个或多个普通的消费电子设备。根据各种具体实施，这些消费电子设备中的任一种消费电子设备可涉及：蜂窝电话或智能电话、平板电脑、膝上型计算机、笔记本计算机、个人计算机、上网本计算机、媒体播放器设备、电子书设备、

设备、可穿戴计算设备、以及具有无限通信能力的任何其他类型的电子计算设备，该无限通信能力可包括经由一种或多种无线通信协议的通信，该无线通信协议诸如用于在以下网络上进行通信的协议：无线广域网(WWAN)、无线城域网(WMAN)、无线局域网(WLAN)、无线个人区域网(WPAN)、近场通信(NFC)、蜂窝无线网络、第四代(4G)长期演进(LTE)、高级LTE(LTE-A)、和/或第五代(5G)或其他当前或将来开发的高级蜂窝无线网络。

在一些实施方案中，无线通信设备还可作为无线通信系统的一部分来操作，该无线通信系统可包括也可被称为站、客户端无线设备、或客户端无线通信设备的一组客户端设备，其被互连到接入点(AP)例如作为WLAN的一部分，和/或彼此互连例如作为WPAN和/或“自组织”无线网络的一部分。在一些实施方案中，客户端设备可为能够经由WLAN技术(例如，根据无线局域网通信协议)来进行通信的任何无线通信设备。在一些实施方案中，WLAN技术可包括Wi-Fi(或更一般地，WLAN)无线通信子系统或无线电部件，该Wi-Fi无线电部件可实施电气电子工程师协会(IEEE)802.11技术，诸如以下中的一种或多种：IEEE 802.11a；IEEE802.11b；IEEE 802.11g；IEEE 802.11-2007；IEEE 802.11n；IEEE 802.11-2012；IEEE802.11ac；或其他当前或将来开发的IEEE 802.11技术。

另外，应当理解，本文所述的一些UE可被配置作为还能够经由不同的第三代(3G)和/或第二代(2G)RAT进行通信的多模无线通信设备。在这些情况下，多模用户装备(UE)可被配置为与提供较低数据速率吞吐量的其他3G传统网络相比更偏好附接到提供较快数据速率吞吐量的LTE网络。例如，在一些实施方式中，多模UE可被配置为在LTE和LTE-A网络以其他方式不可用时回退到3G传统网络，例如演进型高速分组接入(HSPA+)网络、或码分多址(CDMA)2000演进-仅数据(EV-DO)网络。

本文所述的代表性实施方案阐述了用于通过基于从网络公共密钥导出的一次性使用的加密密钥和一次性使用的临时用户装备(UE)秘密密钥预先生成加密的用户身份的集合来有效地保护在无线设备和蜂窝无线网络实体之间传送的消息中的用户身份的技术。当更新网络公共密钥时，UE基于所更新的网络公共密钥和未使用的一次性使用的临时UE秘密密钥重新生成新的一次性使用的加密密钥。UE可基于从蜂窝无线网络实体接收的空中(OTA)更新维护安全元件(SE)中的网络公共密钥。UE还可基于从第三方服务器安全接收的运营商更新绑定来维护SE外部的处理电路中的网络公共密钥。

在一些实施方案中，蜂窝无线网络实体诸如演进型NodeB(eNodeB或eNB)或下一代节点(gNodeB或gNB)被配置有网络公共密钥和网络秘密密钥，同时无线设备诸如用户装备(UE)也被配置有网络公共密钥。UE生成一个或多个一次性使用的临时UE公共密钥和临时UE秘密密钥对的集合，并且基于该一次性使用的临时UE秘密密钥和网络公共密钥导出一个或多个一次性使用的加密密钥的集合。UE使用这些一次性使用的加密密钥来加密用户永久标识符(SUPI)的移动用户标识符，例如，国际移动用户身份(IMSI)的移动用户标识号(MSIN)部分，以形成一次性使用的用户隐藏标识符(SUCI)的集合。UE可存储一次性使用的加密密钥和相关联的一次性使用的临时UE公共密钥，以用于与提供网络公共密钥的蜂窝无线网络的蜂窝无线网络实体进行后续认证。当需要与蜂窝无线网络进行认证(或需要UE的安全标识其他消息)时，诸如在发起网络附接时，UE向蜂窝无线网络实体发送上行链路(UL)消息，该UL消息包括一次性使用的SUCI和相关联的一次性使用的临时UE公共密钥以及网络公共密钥的标识符中的一者。蜂窝无线网络实体可验证用于加密SUCI的网络公共密钥，并且当该网络公共密钥被验证时，通过使用包括在UL消息中的一次性使用的临时UE公共密钥和与所验证的网络公共密钥相关联的网络秘密密钥来解密该SUCI。对于后续认证，UE发送UL消息，该UL消息包括不同的一次性SUCI、对应的一次性使用的临时UE公共密钥以及网络公共密钥标识符。

当网络公共密钥例如通过对UE进行空中(OTA)更新和/或通过由蜂窝无线网络实体向UE发送的下行链路(DL)消息而被更新时，先前生成的未使用的一次SUCI被丢弃。基于新导出的加密密钥生成附加的新的一次性SUCI，该新导出的加密密钥基于更新的网络公共密钥和附加的一次性临时UE秘密密钥。在一些实施方案中，UE保留先前生成的未使用的临时UE秘密密钥，并且仅在使用相关联的一次性SUCI时才丢弃这些秘密密钥。可以重新使用未使用的临时UE秘密密钥来基于更新的网络公共密钥导出新的加密密钥。当没有未使用的临时UE秘密密钥可用时，UE生成用于导出新的一次性加密密钥的附加的一次性临时密钥对。可将一次性加密密钥导出为高级加密标准(AES)密钥。在一些实施方案中，UE基于椭圆曲线迪菲赫尔曼(ECDH)密钥协商协议生成一次性加密密钥。

在一些实施方案中，网络公共密钥由UE的安全元件(SE)(例如，嵌入式通用集成电路卡(eUICC)和/或用户身份模块(SIM)卡)维护。在一些实施方案中，网络公共密钥由UE的SE外部的处理电路维护。在一些实施方案中，蜂窝无线网络实体通过向UE的SE发送OTA更新来更新由该SE维护的网络公共密钥。在一些实施方案中，第三方服务器向UE的SE外部的处理电路提供运营商绑定更新，该运营商绑定更新包括用于一个或多个蜂窝无线网络的一个或多个更新的网络公共密钥。在一些实施方案中，在向蜂窝无线网络实体发送包括SUCI的UL消息之前，UE确定是否使用利用由SE维护的网络公共密钥进行加密的SUCI或利用由该SE外部的处理电路维护的网络公共密钥进行加密的SUCI。在一些实施方案中，当SE和该SE外部的处理电路两者分别维护网络公共密钥时，UE按照基于设备的策略或基于网络的策略中的一者或多者来确定要用于加密SUPI的网络公共密钥。在一些实施方案中，基于网络的策略和/或基于设备的策略需要对由SE维护的网络公共密钥的使用优先于对由该SE外部的处理电路维护的网络公共密钥的使用。在一些实施方案中，基于设备的策略和/或基于网络的策略需要使用最近的网络公共密钥，诸如基于时间戳和/或修订指示符。在一些实施方案中，基于设备的策略和/或基于网络的策略可需要使用由SE或由该SE外部的处理电路维护的可用网络公共密钥，直到无线网络接受利用可用网络公共密钥中的一个可用网络公共密钥进行加密的SUCI或者已经尝试了所有可用网络公共密钥。在一些实施方案中，基于设备的策略和/或基于网络的策略可需要在没有网络公共密钥可用时或在没有可用网络公共密钥能够与无线网络进行成功认证时向该无线网络发送未加密的SUPI而不是加密的SUCI。在一些实施方案中，当基于可用网络公共密钥使用加密的SUCI与无线网络认证不成功时，UE可以报告错误状态，诸如经由UE的界面。

在一些实施方案中，从蜂窝无线网络实体发送到UE的DL消息包括具有用于验证该DL消息的附带签名的网络公共密钥。在一些实施方案中，从蜂窝无线网络实体发送到UE的DL消息包括没有用于验证的签名的网络公共密钥。在一些实施方案中，从UE发送到蜂窝无线网络实体的UL消息包括网络密钥标识符，以允许蜂窝无线网络实体确定UE用来生成加密密钥的网络公共密钥。

在一些实施方案中，网络公共密钥(和对应的网络秘密密钥)可随时间推移而旋转，诸如通过使用安全通信信道从蜂窝无线网络实体向UE提供空中(OTA)更新。在一些实施方案中，对网络密钥对和所更新的网络密钥对的使用可在有限的时间段内重叠。因此，在一些实施方案中，在接收到新的所更新的网络密钥对之后，UE可在有限的时间段内使用先前的网络密钥对。可在重叠的有限时间段期间使用先前的“旧的”网络密钥对或“新的”网络密钥对。这允许网络密钥对以稳健性旋转，因为最新的网络密钥对的通信可能由于在传输中被损坏而失败并需要重新传输，或者UE可能在处理期间失败并因此未正确地接收和更新该网络密钥对。

以下参考图1至图11来论述这些实施方案和其他实施方案；然而，本领域的技术人员将容易地理解，本文相对于这些附图的所给出的详细描述仅出于说明性目的并且不应理解为限制性的。

图1示出了根据一些实施方案的被配置为实现本文所述的各种技术的系统100的不同部件的框图。更具体地，图1示出了系统100的简要概览，如图所示，该系统包括用户装备(UE)102、由不同移动网络运营商(MNO)114管理的一组基站112-1至112-n以及与MNO 114通信的配置服务器116的集合。UE 102可表示移动计算设备(例如

的

或

)，基站112-1至112-n可表示被配置为与UE 102通信的蜂窝无线网络实体，包括演进型NodeB(eNodeB或eNB)和/或下一代NodeB(gNodeB或gNB)，并且MNO 114可表示提供可供UE102订阅的特定服务(例如语音和数据)的不同的无线服务提供商。

如图1所示，UE 102可包括处理电路、嵌入式通用集成电路卡(eUICC)108和基带部件110，该处理电路可包括处理器104和存储器106。在一些实施方案中，除了eUICC之外或替代eUICC，UE 102包括一个或多个物理用户身份模块(SIM)卡(未示出)。UE 102的这些部件协同工作以使UE 102能够向UE 102的用户提供有用的特征，诸如局部计算、基于位置的服务和互联网连接。eUICC 108可被配置为存储用于通过基站112-1至112-n访问不同MNO 114的多个电子SIM(eSIM)。例如，eUICC 108可被配置为存储和管理针对与UE 102相关联的不同订阅的一个或多个MNO 114的一个或多个eSIM。为了能够访问由MNO提供的服务，可将eSIM配置给eUICC 108。在一些实施方案中，eUICC 108从一个或多个相关联的配置服务器116获取一个或多个eSIM(或一个或多个eSIM的更新)。需注意，配置服务器116可由UE 102的制造商、MNO 114、第三方实体等来维护。在配置服务器116和eUICC 108之间(或在配置服务器116与eUICC 108外部的UE 102的处理电路例如处理器104之间)的eSIM数据通信可使用安全通信信道。

图2示出了根据一些实施方案的图1的UE 102的特定部件的更详细视图200的框图。如图2所示，结合存储器106的处理器104可实现主操作系统(OS)202，该主OS被配置为执行应用程序204(例如，本地OS应用程序和用户应用程序)。同样如图2所示，eUICC 108可被配置为实现eUICC OS 206，该eUICC OS被配置为管理eUICC 108的硬件资源(例如，嵌入在eUICC 108中的处理器和存储器)。eUICC OS 206还可被配置为例如通过启用、禁用、修改或以其他方式执行对eUICC 108内的eSIM 208的管理并且向基带部件110提供对eSIM 208的访问以将对无线服务的访问提供给UE 102，来管理由eUICC 108存储的eSIM 208。eUICC108OS可包括eSIM管理器210，该eSIM管理器可对各种eSIM执行管理功能。根据图2所示的图示，每个eSIM 208可包括定义eSIM 208的操作方式的多个小程序212。例如，小程序212中的一个或多个小程序在由基带部件110和eUICC 108实现时，可被配置为使UE 102能够与MNO114通信并且向UE102的用户提供有用的特征(例如，电话呼叫和互联网)。

同样如图2所示，UE 102的基带部件110可包括基带OS 214，该基带OS被配置为管理基带部件110的硬件资源(例如，处理器、存储器、不同的无线电部件等)。根据一些实施方案，基带部件110可实现基带管理器216，该基带管理器被配置为与eUICC 108进行交互以与配置服务器116建立安全信道并且从配置服务器116获取信息(诸如eSIM数据)以用于管理eSIM 208。基带管理器216可被配置为实现服务218，这表示软件模块集合，这些软件模块通过包括在eUICC 108中的启用的eSIM 208的各种小程序212而被实例化。例如，服务218可被配置为根据在eUICC 108内被启用的不同eSIM 208来管理UE 102和MNO 114之间的不同连接。

图3示出了用于捕获用户身份的示例性系统的框图300。该系统包括UE 102，该UE102包括未加密的用户永久标识符(SUPI)304，通过该用户永久标识符可唯一地识别UE 102的用户的订阅，UE 102与示例性蜂窝无线网络实体即演进型NodeB(eNodeB)306通信。SUPI304的示例包括国际移动用户身份(IMSI)。UE 102和eNodeB 306可经由Uu接口通信，该Uu接口对于一些消息或对于某些时间段(诸如在UE 102和eNodeB 306之间建立安全连接之前)来说，可受到第三方窃听。在一些情况下，当eNodeB 306经由安全S1-MME接口连接到核心网络的移动性管理实体(MME)308，并且MME 308经由安全S6a接口连接到归属用户服务器(HSS)310时，eNodeB 306可“明确”向UE 102发送一些消息并从该UE接收一些消息。例如，从eNodeB 306发送到UE 102的无线电资源控制(RRC)寻呼消息可以未受保护的方式包括UE102的SUPI 304。类似地，从UE 102发送到eNodeB 306的某些RRC网络接入层(NAS)消息还可以包括UE 102的SUPI 304，在不使用加密的情况下保护SUPI 304免受窃听者的窃听。示例性RRC NAS消息包括RRC附接请求消息、UE发起的RRC去附接请求消息和RRC身份响应消息。被动窃听实体诸如被动SUPI捕捉器312可监听从eNodeB 306发送的通信诸如寻呼消息，或从UE 102发送的通信诸如附接/去附接请求消息，并确定UE 102的SUPI 304。此外，主动窃听实体诸如主动SUPI捕捉器314可模仿来自eNodeB 306的通信，并且向UE 102发送请求身份消息并接收包括UE 102的SUPI 304的身份响应消息。UE 102和eNodeB 306之间的Uu接口由于被动和/或主动攻击而易受SUPI暴露的影响。当通过不安全的通信链路进行通信时，通过使UE 102和eNodeB 306对SUPI 304的至少一部分(诸如移动用户标识号(MSIN))进行安全地加密，可保护SUPI 304以免遭窃听。此外，在使用一次性使用的临时公共/秘密密钥对的情况下，如果先前使用的秘密密钥受到损害，则可保护SUPI 304以免遭未来解密。

本文呈现的技术可应用于包括在UE 102和蜂窝无线网络实体之间传送的全球唯一移动用户标识符的任何消息，包括通过易受窃听的不安全连接。无线网络实体的示例包括无线电接入网络实体诸如eNodeB 306或下一代NodeB(也称为gNodeB或gNB)，或核心网络实体诸如MME 308、HSS 310、认证服务器功能(AUSF)或接入和移动性功能(AMF)。消息可包括移动用户标识符，诸如SUPI 304的MSIN，其可被安全地加密以保护移动用户标识符的隐私。SUPI 304的加密版本可以被称为用户隐藏标识符(SUCI)。

图4A和图4B示出了用于保护用户身份的现有技术加密技术的流程图400/450。对于UE侧加密流程图400，UE 102生成临时密钥对，该临时密钥对包括可以提供给另一方(诸如提供给蜂窝无线网络侧实体，例如，eNodeB 306)的临时UE公共密钥和临时UE私有密钥(也可称为秘密密钥)。基于UE 102和蜂窝无线网络实体都知道的密钥协商，UE 102可以基于临时UE私有密钥和公共网络密钥(也称为归属公共陆地移动网络或HPLMN的公共ECC密钥)生成共享密钥(也可以称为共享秘密)。类似地，蜂窝无线网络实体，例如eNodeB 306，可使用由UE 102提供给蜂窝无线网络实体的临时UE公共密钥和对应于UE 102已知的公共网络密钥的私有(秘密)网络密钥，基于密钥协商来生成共享密钥。UE 102和蜂窝无线网络实体可使用公共密钥导出技术来确定临时加密密钥，利用该临时加密密钥进行加密(以从SUPI 304形成SUCI)和解密(以从SUCI恢复SUPI304)。在一些实施方案中，SUPI 304的MSIN部分被加密，而SUPI 304的MCC/MNC部分可保持未加密。UE侧加密和网络侧加密两者可基于椭圆曲线集成加密方案(ECIES)。图4A和图4B所示的加密技术可以基于静态网络公共密钥和私有(秘密)密钥，因此如果静态网络私有密钥受到损害，则可以解密包括利用静态网络公共密钥进行加密的SUPI的先前通信。随时间推移而改变网络公共密钥可以克服这种缺陷。

图5A示出了根据一些实施方案的用于在传送消息时预先生成加密的用户身份以保护用户身份的隐私的示例性消息交换500。起初，UE 102可被配置有网络公共密钥(PKnw)，而蜂窝无线网络实体550可被预先配置有对应的网络秘密密钥(SKnw)和PKnw。(需注意，术语“秘密密钥”在本文中用于术语“私有密钥”的同义词)。PKnw可经由与蜂窝无线网络实体的安全通信信道传送至UE 102，诸如在UE 102和配置服务器116之间，或在UE 102和HSS 310之间，或在UE 102和另一个基于网络的服务器之间，包括在一些实施方案中的第三方服务器(未示出)。在一些实施方案中，UE 102结合eSIM 208(或物理UICC的SIM)获取PKnw。

在502处，UE 102可生成临时密钥对的多个集合，每个临时密钥对包括临时UE公共密钥(ePKue)和对应的临时UE秘密密钥(eSKue)。UE102预先生成临时UE密钥对{ePKue,eSKue}以在稍后使用用户身份的加密版本(例如，使用SUCIs)与无线网络实体进行认证时减少处理时间，而不是在与无线网络进行认证期间生成临时密钥对、加密密钥和加密的身份。在504处，UE 102使用UE生成的eSKue和蜂窝无线网络提供的公共密钥PKnw导出加密密钥，例如高级加密标准(AES)加密密钥(K_AES)。在506处，UE 102通过使用加密密钥K_AES对移动用户标识符诸如UE 102的SUPI 304的MSIN部分进行加密来生成加密的用户标识符的集合，即来自SUPI 304的SUCI的集合。UE 102可存储加密的SUCI和相关联的临时公共密钥ePKue以供稍后诸如在需要与蜂窝无线网络进行认证的附接过程期间将消息传送至蜂窝无线网络实体550。在一些实施方案中，UE 102在对SUCI进行加密之后丢弃临时秘密密钥eSKue。在一些实施方案中，如果网络公共密钥PKnw改变，则UE 102保留临时秘密密钥eSKue以重新使用，一旦使用了SUCI，就丢弃与该SUCI相关联的临时秘密密钥eSKue。在一些实施方案中，UE102在对SUCI进行加密之后丢弃加密密钥K_AES。

在508处，UE 102向蜂窝无线网络实体450发送第一上行链路(UL)消息，该第一UL消息包括SUCI中的一个SUCI、与用于对SUCI中的一个SUCI进行加密的临时UE秘密密钥eSKue相关联的临时UE公共密钥ePKue以及用于指示用于SUCI的密钥加密的网络公共密钥的网络公共密钥标识符(例如，PKnw ID)。在一些实施方案中，PKnw ID是PKnw的散列或计数值，其中蜂窝无线网络实体550可确定UE 102生成加密密钥K_AES所使用的是哪个网络公共密钥PK_nw，利用该加密密钥对SUPI进行加密以形成SUCI。在一些实施方案中，每个SUCI仅被使用一次，并且UE 102在UL消息中包括SUCI之后丢弃该SUCI和相关联的临时密钥，例如，eSKue和ePKeu。

在510处，蜂窝无线网络实体550基于在UL消息中接收到的标识符PKnw ID验证公共网络密钥PKnw，并且当该PKnw被验证时，蜂窝无线网络实体550使用从UE 102接收的临时UE公共密钥ePKue和与该公共网络密钥PKnw相关联并且蜂窝无线网络实体550已知的秘密网络密钥SKnw来导出加密密钥K_AES。蜂窝无线网络实体550使用所导出的加密密钥K_AES来解密SUCI。在一些实施方案中，由蜂窝无线网络实体执行的动作可以不同的顺序执行，例如，蜂窝无线网络实体550可使用由UE 102在UL消息中提供的临时UE公共密钥ePKue和已知有效的秘密网络密钥SKnw来导出加密密钥K_AES，并且使用所生成的加密密钥K_AES来解密SUCI。如果SUCI解密未能产生有效的SUPI，则蜂窝无线网络实体550可检查公共网络密钥标识符PKnw ID以确定UE 102是否正在使用过期公共网络密钥PKnw。

在512处，UE 102向蜂窝无线网络实体450发送第二上行链路(UL)消息，该第二UL消息包括指示为SUIC'的SUCI中的第二个SUCI、指示为ePKue'的与用于对SUPI进行加密以生成SUCI中的第二个SUCI的第二临时UE秘密密钥eSKue'相关联的第二临时UE公共密钥以及网络公共密钥标识符，例如PKnw ID。先前的SUCI仅被使用了一次，因此先前的SUCI受到的任何损坏都不影响当前SUCI的安全性，因为每个SUCI使用一次性临时UE秘密密钥eSKue来加密。

在514处，蜂窝无线网络实体550验证PKnw ID，并且当该PKnw ID被验证时，使用第二临时UE公共密钥ePKue'和网络秘密密钥SKnw来导出第二加密密钥K_AES'。蜂窝无线网络实体550然后可使用K_AES'来解密SUCI'以恢复SUPI。UE 102可预先生成加密的SUCI并将它们用于UL消息，只要用于生成加密密钥K_AES的公共网络密钥PKnw保持有效。如果公共网络密钥PKnw被更新，则可以丢弃未使用的SUCI并且基于更新的PKnw生成新的SUCI，如本文进一步所述。

图5B示出了根据一些实施方案的用于保护用户身份的隐私(包括响应于网络公共密钥的变化而更新加密的用户身份)的示例性消息交换520。如图5A所示，在502处，UE 102预先生成临时密钥对{ePKue,eSKue}的集合，并且在504处，基于当前公共网络密钥PKnw和临时秘密密钥{eSKue}的集合导出加密密钥{K_AES}的集合。在506处，UE 102从UE 102的永久用户标识符SUPI生成加密用户标识符{SUCI}的集合，例如，通过使用加密密钥{K_AES}的集合对SUPI的MSIN部分进行加密，其中每个加密密钥K_AES可以用于从UE 102的永久用户标识符SUPI生成唯一的加密的一次性使用的SUCI。在508处，UE 102向蜂窝无线网络实体550传送UL消息，诸如用于认证以附接到无线网络或向无线网络提供位置区域更新，其中UL消息包括加密的SUCI中的一个SUCI连同相关联的临时UE公共密钥ePKue和网络公共密钥PKnw的标识符。在510处，蜂窝无线网络实体550基于标识符PKnw ID验证由UE 102使用的网络公共密钥PKnw，并且当该PKnw被验证时使用来自UL消息的临时UE公共密钥ePKue和对应于网络公共密钥PKnw的秘密网络密钥SKnw来导出加密密钥K_AES。在510处，蜂窝无线网络实体550然后可使用所导出的加密密钥K_AES来解密来自UL消息的SUCI以获取SUPI。

在522处，蜂窝无线网络实体550生成新的网络密钥对{PKnw',SKnw'}。在524处，蜂窝无线网络实体550向UE 102发送下行链路(DL)消息，该DL消息根据新生成的网络密钥对{PKnw',SKnw'}提供更新的公共网络密钥PKnw'。在一些实施方案中，蜂窝无线网络实体550预先生成多个网络密钥对{PKnw,SKnw}并选择新的密钥对以随时间推移而替换旧的密钥对。在526处，UE 102基于新的公共网络密钥PKnw'和任何未使用的和/或新的临时秘密密钥{eSKue}导出新的加密密钥{K_AES'}的集合。在一些实施方案中，诸如当先前未使用的临时秘密密钥{eSKue}在被用于生成前先的加密密钥{K_AES}的集合之后被丢弃时，UE 102导出新的临时秘密密钥{eSKue'}并且与新的公共网络密钥PKnw'一起使用新的临时秘密密钥{eSKue'}来生成新的加密密钥{K_AES'}的集合。在528处，UE 102丢弃任何未使用的先前生成的加密的用户隐藏标识符{SUCI}，并且使用新的加密密钥{K_AES'}的集合根据UE 102的SUPI预先生成新的加密的用户隐藏标识符{SUCI'}的集合。新的{SUCI'}的集合当向无线网络实体发送消息诸如用于认证时可替换先前的{SUCI}的集合。在530处，UE 102向蜂窝无线网络实体550发送UL消息，该UL消息包括{SUCI'}中的一个SUCI'、与用于生成加密密钥K_AES'的临时UE秘密密钥eSKue'相关联的临时UE公共密钥ePKue'，该加密密钥用于对SUCI'进行加密，以及同样用于生成加密密钥K_AES'的网络公共密钥PKnw'的标识符PKnw'ID。在532处，蜂窝无线网络实体550基于标识符PKnw'ID验证由UE 102使用的网络公共密钥PKnw'，并且当该PKnw'被验证时使用从UL消息提取的临时UE公共密钥ePKue'和对应于网络公共密钥PKnw'的秘密网络密钥SKnw'来导出加密密钥K_AES'。蜂窝无线网络实体550然后可使用所导出的加密密钥K_AES'来解密来自UL消息的SUCI'以获取SUPI。

图5C示出了根据一些实施方案的用于保护用户身份的隐私(包括基于网络公共密钥的变化的更新的加密用户身份)的示例性消息交换560。如图5A和图5B所示，UE 102可被配置有网络公共密钥(PKnw)，而蜂窝无线网络实体550可被预先配置有对应的网络秘密密钥(SKnw)和PKnw。UE 102预先生成临时密钥对{ePKue,eSKue}的集合，并且在504处，基于当前公共网络密钥PKnw和临时秘密密钥{eSKue}的集合导出加密密钥{K_AES}的集合。在506处，UE 102从UE 102的永久用户标识符SUPI生成加密用户标识符{SUCI}的集合，例如，通过使用加密密钥{K_AES}的集合对SUPI的MSIN部分进行加密，其中每个加密密钥K_AES可以用于从UE102的永久用户标识符SUPI生成唯一的加密的一次性使用的SUCI。UE 102可存储用于未来UL消息的{SUCI}的集合。在562处，蜂窝无线网络实体550生成新的网络密钥对{PKnw',SKnw'}。然而，与图5B不同，UE 102可能不知道新的网络公共密钥PKnw'。例如，新的网络公共密钥对PKnw'到UE102的通信可被损坏或以其他方式失败，因此UE 102继续使用基于先前的网络公共密钥PKnw生成的{SUCI}的集合。在564处，UE 102向蜂窝无线网络实体550传送UL消息，诸如用于认证以附接到无线网络或向无线网络提供位置区域更新，其中UL消息包括加密的SUCI中的一个SUCI连同相关联的临时UE公共密钥ePKue和网络公共密钥PKnw的标识符PKnw ID。在566处，蜂窝无线网络实体550可确定网络公共密钥标识符PKnw ID无效，因为对最近生成的密钥对{PKnw',SKnw'}的使用可取代对先前生成的密钥对{PKnw,SKnw}的使用。在一些实施方案中，密钥对与有效性时间段相关联，该有效性时间段可在连续生成的密钥对之间的有限时间段内重叠以允许更新。对于图5C的消息交换560，先前生成的密钥对{PKnw,SKnw}可能不再有效，例如当有效性时间段已经过去时。由于UE 102用于加密SUCI的网络公共密钥PKnw不再有效，因此蜂窝无线网络实体可丢弃UL消息并且例如在568处经由DL消息向UE 102提供更新，该DL消息包括更新的公共密钥PKnw'的指示。响应于接收到该DL消息，UE 102可识别基于先前的公共密钥PKnw生成的{SUCI}的集合已过期。在570处，UE102可基于更新的公共密钥PKnw'和未使用的和/或新的临时UE秘密密钥{eSKue}的集合导出新的加密密钥{K_AES'}的集合。在一些实施方案中，UE102生成新的临时UE秘密密钥{eSKue'}的集合和相关联的临时UE公共密钥{ePKue'}，并基于该新的临时UE秘密密钥{eSKus'}的集合和更新的公共密钥PKnw'生成新的加密密钥{K_AES'}的集合。在572处，UE 102从先前生成的{SUCI}的集合中丢弃未使用的SUCI，并且使用新的加密密钥{K_AES'}的集合来预先生成新的{SUCI'}的集合。在574处，UE 102发送新的UL消息，该新的UL消息包括新的加密用户标识符SUCI'连同相关联的临时UE公共密钥ePKue'和更新的公共密钥PKnw'的标识符PKnw'ID。在574处发送的新的UL消息允许UE 102重试执行先前基于过期的网络公共密钥PKnw失败的动作，诸如与蜂窝无线网络实体550进行认证。在576处，蜂窝无线网络实体550基于从UL消息获取的标识符PKnw'ID验证用于UE102的公共密钥PKnw'，并且当该PKnw'被验证时，使用包括在UL消息中的临时UE公共密钥ePKue'和与公共密钥PKnw'相关联的当前有效的秘密网络密钥SKnw'来导出加密密钥K_AES'。蜂窝无线网络实体550使用所导出的加密密钥K_AES'来解密来自UL消息的SUCI'以获取未加密用户标识符SUPI。

在一些实施方案中，网络公共密钥PKnw与由蜂窝无线网络实体(诸如由与MNO 114相关联的配置服务器116或由另一个基于网络的服务器)提供的eSIM 208相关联。eSIM网络公共密钥PKnw可存储在UE 102的eUICC 108的存储器中，并且可通过经由配置服务器116或另一个基于网络的服务器从MNO 114直接到UE 102的eUICC 108的通信来更新。由UE102的eUICC 108维护的网络公共密钥PKnw的副本可被称为eSIM PKnw。在一些实施方案中，每个eSIM 208可具有与其自身相关联的网络公共密钥eSIM PKnw。在一些实施方案中，与公共MNO 114相关联的eSIM 208的集合可具有相关联的eSIM PKnw。在一些实施方案中，eUICC108的处理电路生成加密密钥{K_AES}并加密SUPI以形成{SUCI}的集合。一般来讲，UE102的eUICC 108外部的处理电路具有优于eUICC 108的处理电路的有限处理能力的计算能力，因此在一些实施方案中，用于形成{SUCI}的集合的加密密钥{K_AES}的计算和SUPI的加密可被卸载到eUICC 108外部的处理电路，例如处理器104。eUICC 108外部的处理电路(例如，处理器104)可维护其自身的用于相关联的eSIM 208(或用于公共MNO 114的eSIM 208的集合)的网络公共密钥副本，并且该副本可被称为处理器PKnw。在一些实施方案中，处理器104使处理器PKnw与由eUICC 108维护的eSIM PKnw同步。

可以通过不同的机制向UE 102提供初始网络公共密钥和对网络公共密钥的更新。在一些实施方案中，蜂窝无线网络实体通过向UE的安全元件(SE)(例如，eUICC 108)发送OTA更新来更新由该SE维护的网络公共密钥。在一些实施方案中，第三方服务器向UE的SE外部的处理电路(例如，处理器104)提供运营商绑定更新，该运营商绑定更新包括用于一个或多个蜂窝无线网络的一个或多个更新的网络公共密钥。由于eUICC108外部的处理电路可与eUICC 108的内部处理电路分开维护网络公共密钥，因此UE 102可交叉检查由每个处理电路维护的网络公共密钥，并根据设备策略和/或网络策略在分开维护的网络公共密钥之间更新或选择。由运营商无线网络直接提供给eUICC 108的更新可能对eUICC 108外部的处理电路是未知的，直到被eUICC 108通知更新或通过查询eUICC 108。

图6A示出了图示600，其中eUICC 108外部的UE 102的处理电路基于检查由eUICC108维护的网络公共密钥(例如，eSIM PKnw)的更新来更新加密用户身份(例如，{SUCI})。在602处，处理器104从eUICC108请求由eUICC 108维护的用于eSIM 208(或用于公共MNO 114的eSIM 208的集合)的当前eSIM PKnw。在604处，eUICC 108向处理器104提供最近的eSIMPKnw的指示。在608处，处理器确定处理器PKnw是否匹配eSIM PKnw。当处理器PKnw与eSIMPKnw匹配时，在610处，处理器104可继续保持并使用来自用处理器PKnw生成的{SUCI}的集合中的任何未使用的SUCI。当处理器PKnw与eSIM PKnw不匹配时，在612处，处理器104可从用处理器PKnw生成的{SUCI}的集合中丢弃任何未使用的SUIC。在614处，处理器104可基于由eUICC 108提供的eSIM PKnw更新处理器PKnw。在616处，处理器104可基于更新的PKnw和任何先前生成的未使用的临时秘密密钥{eSKue}以及/或者基于新的临时秘密密钥导出新的加密密钥{K_AES'}的集合。在一些实施方案中，处理器104生成新的临时密钥对{ePKue',eSKue'}的集合，并且使用新生成的临时秘密密钥{eSKue'}连同更新的PKnw来生成新的加密密钥{K_AES'}的集合。在618处，处理器104通过使用新的加密密钥{K_AES'}的集合对SUPI进行加密来生成新的加密用户标识符{SUCI'}的集合。

图6B示出了图620，其中eUICC 108外部的UE 102的处理电路响应于接收到由eUICC 108维护的网络公共密钥(例如，eSIM PKnw)的更新而更新加密用户身份(例如，{SUCI})。在622处，eUICC 108例如基于从基于网络的服务器(诸如与MNO 114相关联的配置服务器116)接收的消息更新在eUICC 108处维护的eSIM PKnw。在624处，eUICC 108可主动地向eUICC 108外部的处理电路(处理器104)发送消息，该消息向eSIM PKnw提供更新。处理器104可如图6A中在608处那样继续，以检查处理器PKnw是否与由eUICC 108提供的eSIMPKnw匹配。当处理器PKnw与eSIM PKnw匹配时，在610处，处理器104可继续保持并使用来自用处理器PKnw生成的{SUCI}的集合中的任何未使用的SUCI。当处理器PKnw与eSIM PKnw不匹配时，在612处，处理器104可从用处理器PKnw生成的{SUCI}的集合中丢弃任何未使用的SUIC。在614处，处理器104可基于由eUICC 108提供的eSIM PKnw更新处理器PKnw。在616处，处理器104可基于更新的PKnw和任何先前生成的未使用的临时秘密密钥{eSKue}以及/或者使用新的临时秘密密钥导出新的加密密钥{K_AES'}的集合。在一些实施方案中，处理器104生成新的临时密钥对{ePKue',eSKue'}的集合，并且使用新生成的临时秘密密钥{eSKue'}连同更新的PKnw来生成新的加密密钥{K_AES'}的集合。在618处，处理器104通过使用新的加密密钥{K_AES'}的集合对SUPI进行加密来生成新的加密用户标识符{SUCI'}的集合。

图7示出了示例性网络密钥管理过程的图示700，该过程用于确定是否对用户身份(例如，SUPI)进行加密，以及如果是则要使用哪些参数来对用户身份进行加密以形成加密用户身份(例如，SUCI)。网络公共密钥{PKnw}可由基于MNO的服务器诸如配置服务器116提供，或者由另一个蜂窝无线网络实体提供给UE 102的安全元件(SE)，例如eUICC 108或包括用于MNO 114的SIM的物理UICC。另外，在一些实施方案中，运营商绑定可由第三方服务器提供给SE外部的处理电路，例如，提供给UE 102的处理器104。运营商绑定可包括用于一个或多个MNO 114的一个或多个网络公共密钥。可由证书对运营商绑定进行签名，以允许UE 102检查运营商绑定是由可由UE 102信任的有效服务器提供的。第三方服务器可经由用于提供其他网络软件更新的业务信道从MNO 114获取适用的网络公共密钥。当由eUICC 108外部的处理电路执行对用户标识符(例如，SUPI)的加密时，该处理电路可确定用于生成加密密钥以对SUPI进行加密从而形成SUCI的适用的网络公共密钥。在一些实施方案中，处理电路基于在其上预占UE 102的公共陆地移动网络(PLMN)选择网络公共密钥。在一些实施方案中，UE 102的处理电路在由eUICC 108外部的处理电路维护的一个或多个公共网络密钥和由eUICC 108维护的一个或多个公共网络密钥之间进行选择。

在702处，UE 102可发起到蜂窝无线网络的附接。在704处，UE 102可确定eUICC108是否维护由eUICC 108存储的eSIM 208的eSIM公共网络密钥PKnw，其中eSIM 208包括用于访问UE 102试图附接到蜂窝无线网络的凭证。当eUICC 108不包括用于eSIM 208的eSIM公共网络密钥PKnw时，在710处，UE 102可确定eUICC 108外部的处理电路是否维护用于eSIM 208的处理器公共网络PKnw。当既不存在由eUICC 108维护的eSIM PKnw也不存在由eUICC 108外部的处理电路维护的处理器PKnw时，在712处，UE 102可继续使用用户标识符(例如，SUPI)的未加密版本，以用于与蜂窝无线网络通信的一个或多个消息。当不存在由eUICC108维护的eSIM PKnw但存在由eUICC 108外部的处理电路维护的处理器PKnw时，在714处，UE 102可使用SUPI的加密版本(例如，SUCI)以用于与蜂窝无线网络通信。在一些实施方案中，在网络附接过程期间执行对SUPI的加密以形成SUCI，而在其他实施方案中，对SUPI的加密以形成SUCI可发生在过去，例如，由UE 102预先生成SUCI，并且UE 102可检索预先生成的SUCI以用于与蜂窝无线网络通信的消息中。当eUICC 108包括用于eSIM 208的eSIM公共网络密钥PKnw时，在706处，UE 102可确定eUICC 108外部的处理电路是否还维护用于eSIM 208的处理器公共网络PKnw。当UE 102未由eUICC 108外部的处理电路维护处理器PKnw但由eUICC 108维护eSIM PKnw时，在708处，UE 102可使用eSIM Pknw对SUPI进行加密。在一些实施方案中，由eUICC 108的处理电路执行对SUPI的加密以形成加密用户身份{SUCI}的集合。在一些实施方案中，由eUICC 108外部的UE 102的处理电路例如由处理器104执行对SUPI的加密。在一些实施方案中，在网络附接过程启动之前发生对SUPI的加密以形成{SUCI}的集合。当UE 102维护处理器PKnw和eSIM PKnw两者时，在716处，UE 102可基于设备策略以及/或者基于网络策略选择用于对SUPI进行加密的PKnw。在一些实施方案中，网络策略可需要eSIM PKnw(当可用时)相对于处理器PKnw具有加密优先级。在一些实施方案中，网络策略和/或设备策略可使用处理器PKnw和eSIM PKnw的时间戳和/或版本号来确定PKnw和eSIM PKnw中的最近(最新)一者，并且因此将其用于对SUPI的加密以形成{SUCI}的集合。在一些实施方案中，基于设备的策略和/或基于网络的策略可需要尝试使用由SE或由该SE外部的处理电路维护的可用网络公共密钥，直到无线网络接受利用网络公共密钥中的一个网络公共密钥进行加密的SUCI或者已经尝试了所有网络公共密钥。在一些实施方案中，基于设备的策略和/或基于网络的策略可需要在没有网络公共密钥可用时或在没有可用网络公共密钥能够与无线网络进行成功认证时向该无线网络发送未加密的SUPI而不是加密的SUCI。

图8示出了用于对公共网络密钥PKnw的使用的重叠时间段的示例的框图800。在802所指示的时间处，建立第一公共网络密钥K1以供在指示为K1寿命的时间段内使用。当在不同的公共网络密钥之间改变时，诸如当将公共网络密钥K1更新至K2时，先前公共网络密钥的寿命可与最新公共网络密钥的寿命重叠。例如，在804所指示的时间处，建立第二公共网络密钥K2以供在指示为K2寿命的时间段内使用。如图8所示，K1和K2寿命跨越重叠时间段812，其中第一密钥K1和第二密钥K2两者可在第一密钥K1在时间806处过期之前被有效地使用。重叠允许UE 102能够使用可变时间从使用第一密钥K1切换到使用第二密钥K2。类似地，当在时间808处建立第三密钥K3时，第三密钥K3的寿命与时间段814重叠，直到第二密钥K2在时间810处过期为止。在一些实施方案中，可由蜂窝无线网络实体550使用蜂窝无线网络实体550与UE 102之间的空中(OTA)安全连接来更新网络密钥对。类似地，在一些实施方案中，网络密钥对可以在时间上重叠，以允许更新的网络公共密钥从蜂窝无线网络实体550到UE102的传输的意外中断，并且允许在UE 102处更新网络公共密钥的延迟。可以通过在重叠寿命期间保持旧的密钥和新的密钥两者的生存(例如，由UE 102有效使用)来实现稳健的密钥旋转。如本文所讨论的，来自UE 102的一些UL消息可以包括密钥ID，以指示当导出加密密钥时UE 102使用的网络公共密钥，利用该加密密钥对移动用户标识符(诸如UE 102的IMSI的MSIN)进行加密以从SUPI形成SUCI。

图9A示出了根据一些实施方案的用于保护由UE 102实现的用户身份的示例性方法的流程图900。在902处，UE生成多个临时密钥对{ePKue,eSKue}，每个临时密钥对包括临时UE公共密钥(ePKue)和临时UE秘密密钥(eSKue)。每个临时密钥对可以用于对用户身份(诸如用户永久标识符(SUPI))进行加密，以形成用户隐藏标识符(SUCI)。SUCI可在将消息传送到无线网络时被使用一次，诸如在UE 102与无线网络的无线网络实体进行认证期间。UE 102的认证可需要附接到无线网络，并且还可在位置区域更新期间以及无线网络的网络策略所需的其他过程中使用。在904处，UE导出多个加密密钥{K_AES}的集合，其中每个加密密钥K_AES可基于蜂窝无线网络(诸如归属公共陆地移动网络(HPLMN))的公共网络密钥(PKnw)，并且基于临时密钥对{ePKue,eSKue}的临时UE秘密密钥中的相应的一个临时UE秘密密钥。UE 102可在诸如从配置服务器116、从用于MNO 114的另一个基于网络的服务器或从第三方服务器导出加密密钥{K_AES}之前获取PKnw。在一些实施方案中，第三方服务器提供运营商绑定更新，该运营商绑定更新包括用于一个或多个蜂窝无线网络和/或MNO 114的当前PKnw。在一些实施方案中，PKnw随时间推移而更新，诸如通过由MNO 114维护的服务器和/或经由第三方服务器直接提供给UE的运营商更新。在一些实施方案中，UE 102在导出加密密钥{K_AES}之后丢弃临时秘密密钥{eSKue}。在一些实施方案中，当已在发送到蜂窝无线网络的消息中使用加密的用户身份(例如，利用特定加密密钥K_AES进行加密的SUCI)时，UE 102丢弃与该特定K_AES相关联的特定临时秘密密钥(eSKue)。在906处，UE 102生成多个用户隐藏标识符{SUCI}的集合，每个SUCI基于用户永久标识符(SUPI)和该多个加密密钥{K_AES}的集合中的相应加密密钥K_AES进行加密。在908处，UE 102将多个SUCI的集合存储在UE 102的存储介质中。在一些实施方案中，由eUICC 108外部的处理电路例如由处理器104执行SUCI的生成，并且将所生成的SUCI存储在eUICC 108外部的存储器例如存储器106中。在一些实施方案中，由eUICC 108的处理电路执行SUCI的生成，并且将所生成的SUCI存储在eUICC 108的存储器中。在910处，UE 102向蜂窝无线网络实体发送第一上行链路(UL)消息，该第一UL消息包括临时UE密钥对{ePKue,eSKue}中的一个临时UE密钥对的ePKue、利用从临时密钥对{ePKue,eSKue}中的一个临时密钥对的eSKue导出的加密密钥K_AES进行加密的第一USCI以及网络公共密钥PKnw。在912处，在向蜂窝无线网络实体发送第一UL消息之后，UE 102从UE102的存储介质中删除第一SUCI。在一些实施方案中，UE 102基于图9B和/或图9C中概述的附加动作继续该方法。

图9B示出了根据一些实施方案的附加动作的流程图920，这些附加动作可沿循图9A的流程图900中所示的动作以保护用户身份，这些动作由UE 102执行。在922处，UE 102向蜂窝无线网络实体发送第二UL消息，该第二UL消息包括临时密钥对{ePKue,eSKue}中的另一个临时密钥对的ePKue、利用从临时UE密钥对{ePKue,eSKue}中的另一个临时UE密钥对的eSKue导出的K_AES进行加密的第二SUCI以及网络公共密钥PKnw。在923处，在向蜂窝无线网络实体发送第二UL消息之后，UE 102从UE 102的存储介质中删除第二SUCI。第一SUCI和第二SUCI可各自利用不同的临时UE秘密密钥eSKue以及相同的网络公共密钥PKnw进行加密。如本文所讨论的，SUCI可根据传送到无线网络的消息被使用一次，并且在使用之后被丢弃。

图9C示出了根据一些实施方案的附加动作的流程图940，这些附加动作可沿循图9A的流程图900中所示的动作以保护用户身份，这些动作由UE 102执行。在922处，UE 102从基于网络的服务器(例如，蜂窝无线网络实体、配置服务器116或第三方服务器)接收包括更新的网络公共密钥(PKnw')的下行链路(DL)消息。在924处，UE 102从UE 102的存储介质中删除该多个SUCI的集合中的任何未使用的SUCI。在一些实施方案中，UE 102对照用于生成多个SUCI的先前网络公共密钥PKnw来检查更新的网络公共密钥PKnw'，并且如果更新的网络公共密钥PKnw'与先前的网络公共密钥PKnw相同，则可以继续使用并且不丢弃该多个SUCI的集合。在926处，UE 102基于更新的网络公共密钥PKnw'导出新的多个加密密钥{K_AES'}的集合。在一些实施方案中，UE 102生成新的临时UE密钥对{ePKue',eSKue'}的集合，并且使用新生成的临时UE密钥{eSKue'}导出新的多个加密密钥{K_AES'}的集合。在一些实施方案中，UE 102根据任何未使用的SUCI来使用先前生成的临时UE密钥对{ePKue,eSKue}，例如，对于这些未使用的SUCI，未向蜂窝无线网络发送包括这些未使用的SUCI的消息。在928处，UE 102生成多个新的SUCI'的集合，每个新的SUCI'基于SUPI和该多个加密密钥{K_AES}的集合中的相应的新的加密密钥K_AES进行加密。在930处，UE 102将多个新的SUCI'的集合存储在UE 102的存储介质中。

在一些实施方案中，包括更新的网络公共密钥PKnw'的DL消息包括用于多个移动网络运营商(MNO)114的运营商绑定更新，其中PKnw'是用于MNO 114中的至少一个MNO的无线网络的更新的网络公共密钥。在一些实施方案中，由UE 102的eUICC 108外部的UE 102的处理电路处理DL消息。在一些实施方案中，UE 102从其接收DL消息的基于网络的服务器是由除MNO 114之外的实体维护的第三方服务器。在一些实施方案中，DL消息是来自MNO 114的配置服务器116的空中(OTA)更新，并且DL消息被提供给UE 102的eUICC 108或物理SIM卡(例如，UICC)。在一些实施方案中，新的加密密钥K_AES'中的至少一个加密密钥基于对应于未使用的SUCI中的一个SUCI的临时UE秘密密钥(eSKue)。在一些实施方案中，新的加密密钥K_AES'中的至少一个加密密钥基于新生成的临时UE秘密密钥(eSKue')。在一些实施方案中，由UE 102发送到蜂窝无线网络实体的第一UL消息包括密钥标识符(ID)，该密钥ID向蜂窝无线网络实体指示UE导出加密密钥K_AES所使用的是哪个公共网络密钥PKnw，该加密密钥用于对SUPI进行加密以形成包括在第一UL消息中的SUCI。在一些实施方案中，密钥ID是PKnw、PKnw的散列或计数值。在一些实施方案中，蜂窝无线网络实体是演进型NodeB(eNodeB)或下一代NodeB(gNB)。在一些实施方案中，SUPI是国际移动用户身份(IMSI)，并且SUCI是IMSI的移动用户标识号(MSIN)的加密版本。

图10示出了根据一些实施方案的用于保护由UE 102实现的用户身份的另一个示例性方法的流程图1000。图10中所示的动作可以被UE 102用于确定是否对用户身份(例如，SUPI)进行加密，以及当加密发生时确定要使用的公共网络密钥(PKnw)。在一些实施方案中，UE 102在eUICC108外部(或UE 102的SIM卡或UICC外部)的处理电路上维护一个或多个公共网络密钥。在一些实施方案中，UE 102在eUICC 108(或UE 102的SIM卡或UICC)上维护一个或多个公共网络密钥。在一些实施方案中，UE 102使用eUICC 108外部(或UE 102的SIM卡或UICC外部)的处理电路来使用公共网络密钥对SUCI进行加密，该处理电路被配置为确定若干公共网络密钥中要使用的公共网络密钥，例如，当公共网络密钥存储在(i)eUICC108外部(或UE 102的SIM卡或UICC外部)的处理电路上，或存储在(ii)eUICC 108(或UE 102的SIM卡或UICC)上，或者存储在该两者上时。在一些实施方案中，在公共网络密钥之间进行选择以将其用于对用户身份进行加密(例如，对SUPI进行加密)可基于设备策略以及/或者基于网络策略。

在1002处，UE 102确定eUICC 108(和/或UE 102的SIM卡或UICC)是否包括用于无线网络的第一网络公共密钥(PKnw1)。在1004处，UE 102确定eUICC 108外部(和/或UE 102的SIM卡或UICC外部)的UE 102的处理电路是否包括用于无线网络的第二网络公共密钥(PKnw2)。在1006处，当UE 102包括PKnw1但不包括PKnw2时，UE102使用临时UE秘密密钥(eSKue)和PKnw1来导出至少一个加密密钥。在1008处，当UE 102包括PKnw2但不包括PKnw1时，UE 102使用eSKue和PKnw2来导出至少一个加密密钥。在1010处，当UE 102包括PKnw1和PKnw2两者时，UE 102基于设备策略以及/或者基于网络策略使用eSKue以及PKnw1或PKnw2来导出至少一个加密密钥。在1012处，UE102使用该至少一个加密密钥来对SUPI进行加密以生成SUCI。在1014处，UE 102向无线网络的蜂窝无线网络实体发送UL消息，该UL消息包括对应于eSKue和SUCI的临时UE公共密钥(ePKue)。

在一些实施方案中，设备策略和/或网络策略需要UE 102在PKnw1可用时使用该PKnw1导出该至少一个加密密钥。在一些实施方案中，由与无线网络的MNO 114相关联的基于网络的服务器提供PKnw1，UE 102试图使用SUCI与该无线网络进行认证。在一些实施方案中，经由配置服务器116(或由MNO 114管理的另一个服务器)与eUICC 108(或UE 102的SIM卡或UICC)之间的安全连接提供PKnw1。在一些实施方案中，设备策略和/或网络策略需要UE102使用PKnw1或PKnw2中的最近一者导出该至少一个加密密钥。在一些实施方案中，UE 102基于时间戳、发布时间、版本号等来确定PKnw1或PKnw2中的最近一者。在一些实施方案中，由UE 102导出的至少一个加密密钥包括多个加密密钥，每个加密密钥基于来自多个eSKue的集合的唯一eSKue。在一些实施方案中，UE 102使用多个加密密钥来生成多个SUCI的集合以对SUPI单独进行加密并将该多个SUCI的集合存储在UE 102的存储介质上。加密密钥和SUCI的导出可以在需要使用SUCI进行认证的过程之前发生。在一些实施方案中，在向蜂窝无线网络实体发送包括SUCI的对应的UL消息之后，UE 102从UE 102的存储介质中删除SUCI。在一些实施方案中，由UE 102发送的UL消息包括密钥标识符(ID)，该密钥ID向蜂窝无线网络实体指示UE 102确定该至少一个加密密钥所使用的是PKnw1或PKnw2中的哪个公共网络密钥。在一些实施方案中，该密钥ID是以下中的一者：(i)PKnw1或PKnw2，(ii)PKnw1或PKnw2的散列，或(iii)PKnw1或PKnw2的计数值。在一些实施方案中，该至少一个加密密钥包括高级加密标准(AES)加密密钥。在一些实施方案中，蜂窝无线网络实体是演进型NodeB(eNodeB)或下一代NodeB(gNB)。

在一些实施方案中，能够配置用于在UE 102中操作的装置包括处理器和存储器，该存储器存储指令，当由该处理器执行时，这些指令使得UE执行如本文所述的一种或多种方法。在一些实施方案中，UE 102包括无线电路和处理电路，该无线电路能够配置用于与无线网络进行无线通信，并且该处理电路通信地耦接到该无线电路并且包括处理器和存储器，该存储器存储指令，当由该处理器执行时，这些指令使得UE执行如本文所述的一种或多种方法。

图11示出了根据一些实施方案的可用于实现本文所述的各种方法的代表性计算设备1100的详细视图。具体地讲，该详细视图示出了可包括在图1所示的UE 102中的各种部件。如图11所示，计算设备1100可包括表示用于控制计算设备1100的总体操作的微处理器或控制器的处理器1102。计算设备1100还可包括用户输入设备1108，该用户输入设备允许计算设备1100的用户与计算设备1100进行交互。例如，用户输入设备1108可采取多种形式，诸如按钮、小键盘、拨号盘、触摸屏、音频输入接口、视觉/图像捕获输入接口、传感器数据形式的输入等。更进一步地，计算设备1100可包括可由处理器1102控制以向用户显示信息的显示器1110(屏幕显示器)。数据总线1116可便于至少存储设备1140、处理器1102和控制器1113之间的数据传输。控制器1113可用于通过装备控制总线1114来与不同装备进行交互并对其进行控制。计算设备1100还可包括耦接至数据链路1112的网络/总线接口1111。在无线连接的情况下，网络/总线接口1111可包括无线收发器。

计算设备1100还包括存储设备1140(其可以包括单个磁盘或多个磁盘，例如硬盘驱动器)，并且包括管理存储设备1140内的一个或多个分区的存储管理模块。在一些实施方案中，存储设备1140可包括闪存存储器、半导体(固态)存储器等。计算设备1100还可包括随机存取存储器(RAM)1120和只读存储器(ROM)1122。ROM 1122可存储将以非易失性方式执行的程序、实用程序或过程。RAM 1120可提供易失性数据存储并存储与计算设备1100的操作相关的指令。计算设备1100还可包括安全元件(SE)1150，该安全元件可表示UE 102的eUICC108。

可单独地或以任何组合使用所述实施方案的各个方面、实施方案、具体实施或特征。可由软件、硬件或硬件与软件的组合来实现所述实施方案的各个方面。所述实施方案还可实施为在非暂态计算机可读介质上的计算机可读代码。非暂态计算机可读介质为可存储数据的任何数据存储设备，这些数据之后可由计算机系统读取。该非暂态计算机可读介质的示例包括只读存储器、随机存取存储器、CD-ROM、DVD、磁带、硬盘驱动器、固态驱动器和光学数据存储设备。

为了说明的目的，前述描述使用具体命名以提供对所述实施方案的透彻理解。然而，对于本领域的技术人员而言将显而易见的是，不需要具体细节即可实践所述实施方案。因此，具体实施方案的前述描述被呈现用于例示和描述的目的。前述描述不旨在为穷举性的或将所述的实施方案限制为所公开的精确形式。对于本领域的普通技术人员而言将显而易见的是，鉴于上面的教导内容，许多修改和变型是可行的。

Claims (26)

1.一种用于保护包括在用户装备(UE)中的用户身份的隐私的方法，所述方法包括：

由所述UE：

生成多个临时UE密钥对，每个临时UE密钥对包括临时UE公共密钥(ePKue)和临时UE秘密密钥(eSKue)；

导出多个加密密钥，每个加密密钥K_AES基于公共网络密钥(PKnw)和所述临时UE密钥对中的一个临时UE密钥对的相应eSKue；

生成多个订阅隐藏标识符(SUCI)，每个订阅隐藏标识符(SUCI)基于订阅永久标识符(SUPI)和所述多个加密密钥中的相应加密密钥K_AES进行了加密；

将所述多个SUCI存储在所述UE的存储介质中；

向蜂窝无线网络实体发送第一上行链路(UL)消息，所述第一UL消息包括所述临时UE密钥对中的一个临时UE密钥对的ePKue、利用从所述临时密钥对中的所述一个临时密钥对的eSKue导出的所述K_AES进行加密的第一SUCI以及所述PKnw；以及

在发送所述第一UL消息之后，从所述UE的所述存储介质中删除所述第一SUCI。

2.根据权利要求1所述的方法，还包括：

由所述UE：

向所述蜂窝无线网络实体发送第二UL消息，所述第二UL消息包括所述临时UE密钥对中的另一个临时UE密钥对的ePKue、利用从所述临时密钥对中的所述另一个临时密钥对的eSKue导出的所述K_AES进行加密的第二SUCI以及所述PKnw；以及

在发送所述第二UL消息之后，从所述UE的所述存储介质中删除所述第二SUCI。

3.根据权利要求1所述的方法，还包括：

由所述UE：

从基于网络的服务器接收下行链路(DL)消息，所述DL消息包括更新的网络公共密钥(PKnw')；

从所述UE的所述存储介质中删除所述多个SUCI中的任何未使用的SUCI；

导出多个新的加密密钥，每个新的加密密钥K_AES'基于所更新的公共网络密钥PKnw'；

生成多个新的SUCI'，每个新的SUCI'基于所述SUPI和所述多个新的加密密钥中的相应新的加密密钥K_AES'进行了加密；以及

将所述多个新的SUCI'存储在所述UE的所述存储介质中。

4.根据权利要求3所述的方法，其中所述DL消息包括用于多个移动网络运营商(MNO)的运营商绑定更新，所述运营商绑定更新包括用于所述MNO中的至少一个MNO的无线网络的所更新的PKnw'，所述DL消息由所述UE的嵌入式通用集成电路卡(eUICC)外部的所述UE的处理电路处理。

5.根据权利要求4所述的方法，其中所述基于网络的服务器包括由所述MNO之外的实体维护的第三方服务器。

6.根据权利要求3所述的方法，其中所述DL消息包括来自MNO的配置服务器的空中(OTA)更新，所述DL消息被提供至所述UE的所述eUICC或物理用户身份模块(SIM)卡。

7.根据权利要求3所述的方法，其中至少一个新的加密密钥K_AES'还基于对应于所述未使用的SUCI中的一个未使用的SUCI的所述eSKue。

8.根据权利要求3所述的方法，其中至少一个新的加密密钥K_AES'还基于新生成的临时UE秘密密钥(eSKue')。

9.根据权利要求1所述的方法，其中所述第一UL消息还包括密钥标识符(ID)，所述密钥ID向所述蜂窝无线网络实体指示所述UE导出所述加密密钥K_AES所使用的是哪个公共网络密钥PKnw。

10.根据权利要求9所述的方法，其中所述密钥ID包括PKnw、PKnw的散列、或计数值。

11.根据权利要求1所述的方法，其中所述蜂窝无线网络实体包括演进型NodeB(eNodeB)或下一代NodeB(gNB)。

12.根据权利要求1所述的方法，其中：

所述SUPI包括国际移动用户身份(IMSI)；并且

所述SUCI包括所述IMSI的移动用户标识号(MSIN)的加密版本。

13.一种能够配置用于在用户装备(UE)中操作的装置，所述装置包括处理器和存储器，所述存储器存储指令，所述指令当由所述处理器执行时使所述UE执行根据权利要求1至12中任一项所述的方法。

14.一种用户装备(UE)，包括：

无线电路，所述无线电路能够配置用于与无线网络进行无线通信；和处理电路，所述处理电路通信地耦接到所述无线电路并且包括处理器和存储器，所述存储器存储指令，所述指令当由所述处理器执行时使所述UE执行根据权利要求1至12中任一项所述的方法。

15.一种用于在与无线网络的附接过程期间保护包括在用户装备(UE)中的用户身份的隐私的方法，所述方法包括：

由所述UE：

确定所述UE的嵌入式通用集成电路卡(eUICC)和/或物理用户身份模块(SIM)卡是否包括用于所述无线网络的第一网络公共密钥(PKnw1)；

确定在所述UE的所述eUICC和/或所述物理SIM卡外部的所述UE的处理电路是否包括用于所述无线网络的第二网络公共密钥(PKnw2)；

当所述UE包括PKnw1但不包括PKnw2时，使用临时UE秘密密钥(eSKue)和PKnw1导出至少一个加密密钥；

当所述UE包括PKnw2但不包括PKnw1时，使用eSKue和PKnw2导出所述至少一个加密密钥；

当所述UE包括PKnw1和PKnw2两者时，基于设备策略和/或网络策略使用eSKue以及PKnw1或PKnw2导出所述至少一个加密密钥；

使用所述至少一个加密密钥对订阅永久标识符(SUPI)进行加密以生成订阅隐藏标识符(SUCI)；以及

向所述无线网络的蜂窝无线网络实体发送上行链路(UL)消息，所述UL消息包括对应于eSKue的临时UE公共密钥(ePKue)和所述SUCI。

16.根据权利要求15所述的方法，其中所述设备策略和/或所述网络策略要求所述UE在PKnw1可用时使用所述PKnw1导出所述至少一个加密密钥。

17.根据权利要求15所述的方法，其中所述设备策略和/或所述网络策略要求所述UE使用PKnw1或PKnw2中最近的一者导出所述至少一个加密密钥。

18.根据权利要求15所述的方法，其中所述至少一个加密密钥包括多个加密密钥，每个加密密钥基于一个唯一的eSKue。

19.根据权利要求18所述的方法，还包括：

由所述UE：

使用所述多个加密密钥对所述SUPI进行加密以生成多个SUCI；以及

将所述多个SUCI存储在所述UE的存储介质上。

20.根据权利要求19所述的方法，还包括所述UE在发送所述UL消息之后从所述UE的所述存储介质中删除所述SUCI。

21.根据权利要求15所述的方法，其中所述UL消息还包括密钥标识符(ID)，所述密钥ID向所述蜂窝无线网络实体指示所述UE确定所述至少一个加密密钥所使用的是PKnw1或PKnw2中的哪个公共网络密钥。

22.根据权利要求21所述的方法，所述密钥ID包括以下中的一者：(i)PKnw1或PKnw2，(ii)PKnw1或PKnw2的散列，或(iii)PKnw1或PKnw2的计数值。

23.根据权利要求15所述的方法，其中所述至少一个加密密钥包括高级加密标准(AES)加密密钥。

24.根据权利要求15所述的方法，其中所述蜂窝无线网络实体包括演进型NodeB(eNodeB)或下一代NodeB(gNB)。

25.一种能够配置用于在用户装备(UE)中操作的装置，所述装置包括处理器和存储器，所述存储器存储指令，所述指令当由所述处理器执行时使所述UE执行根据权利要求15至24中任一项所述的方法。

26.一种用户装备(UE)，包括：

无线电路，所述无线电路能够配置用于与无线网络进行无线通信；和处理电路，所述处理电路通信地耦接到所述无线电路并且包括处理器和存储器，所述存储器存储指令，所述指令当由所述处理器执行时使所述UE执行根据权利要求15至24中任一项所述的方法。

Images