CN112087746B - 通信方法、系统、终端和可读存储介质 - Google Patents

通信方法、系统、终端和可读存储介质 Download PDF

Info

Publication number
CN112087746B
CN112087746B CN201910513040.9A CN201910513040A CN112087746B CN 112087746 B CN112087746 B CN 112087746B CN 201910513040 A CN201910513040 A CN 201910513040A CN 112087746 B CN112087746 B CN 112087746B
Authority
CN
China
Prior art keywords
public key
terminal
sublist
supi
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910513040.9A
Other languages
English (en)
Other versions
CN112087746A (zh
Inventor
何伟俊
戴国华
黄健文
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN201910513040.9A priority Critical patent/CN112087746B/zh
Publication of CN112087746A publication Critical patent/CN112087746A/zh
Application granted granted Critical
Publication of CN112087746B publication Critical patent/CN112087746B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Mathematical Physics (AREA)
  • Physics & Mathematics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Computing Systems (AREA)
  • Mathematical Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephone Function (AREA)

Abstract

本公开涉及一种通信方法、系统、终端和可读存储介质,涉及通信技术领域。本公开的方法包括:终端根据用户归属网络的公共陆地移动网络标识PLMN ID,从本终端的固定存储中获取相应的加密算法和公钥子列表;终端随机选取公钥;终端利用加密算法和公钥对签约用户永久标识符SUPI进行加密,得到签约用户隐藏标识符SUCI信息;终端将SUCI信息加入身份验证消息,发送至5G网络侧。

Description

通信方法、系统、终端和可读存储介质
技术领域
本公开涉及通信技术领域,特别涉及一种通信方法、系统、终端和可读存储介质。
背景技术
在LTE网络中,终端开机从用户卡(例如,USIM(Universal Subscriber IdentityModule,全球用户身份模块))应用中读取用户的身份标识(例如,IMSI(InternationalMobile Identification Number,国际移动用户识别码)),当终端需要向网络提供身份信息时,例如,终端准备发送注册请求(Registration Request)消息给网络时或者终端接收到网络的身份核验请求(Identity Request)消息后进行身份验证时,终端会以明文的方式向网络提供用户的身份标识,这样一来,存在用户的身份标识信息被伪基站等监听的风险,导致用户隐私泄露(如位置信息),甚至被伪基站利用身份标识进行攻击。
针对此问题,3GPP(3rd Generation Partnership Project,第三代合作伙伴计划)的5G标准工作组在制定5G网络安全相关标准时,针对采用服务化架构的新5G核心网(5GCore Network,5GC),提出了对用户的身份标识进行机密传输到5GC的方案。在5G中将用户的IMSI或NAI(Network Access Identifier,网络接入标识符)等身份标识称为SUPI(Subscription Permanent Identifier,用户永久标识符),对SUPI进行加密为SUCI(Subscription Concealed Identifier,签约用户隐藏标识)。5GC把SUCI根据路由指示传送至归属UDM(Unified Data Management,统一数据管理),UDM对SUCI进行解密。如此一来,只有归属网络运营商可解密终端上传的SUCI,攻击者捕获SUCI后因没有私钥而无法获取SUPI,从而避免因SUPI被捕获造成用户隐私泄露。
目前,终端向网络提供SUCI的方法有两种,一种是,LTE用户更换新的具有SUCI功能的用户卡或修改原用户卡,用户卡应用预先存储了相应的加密算法相关的信息,由用户卡或终端(ME,Mobile Equipment)利用用户卡应用中的信息对SUPI进行加密得到SUCI。另一种是,在用户不换卡的情况下,终端不对SUPI进行有效加密,直接利用SUPI明文构造对应的SUCI,从而使终端能够接入5G网络。
发明内容
发明人发现:在用户卡中预置加密算法相关的信息的方法,需要用户到营业厅或者业务系统对用户卡进行修改,增加运营成本之余影响了用户体验。而不对SUPI进行有效加密的方法,无法实现对用户的有效隐私保护,存在用户的身份标识被非法获取的风险。
本公开所要解决的一个技术问题是:如何在用户不换卡或不修改用户卡的情况下实现对用户隐私的保护。
根据本公开的一些实施例,提供的一种通信方法,包括:终端根据用户归属网络的公共陆地移动网络标识PLMN ID,从本终端的固定存储中获取相应的加密算法和公钥子列表;终端从公钥子列表中随机选取公钥;终端利用加密算法和公钥对签约用户永久标识符SUPI进行加密,得到签约用户隐藏标识符SUCI信息;终端将SUCI信息加入身份验证消息,发送至5G网络侧。
在一些实施例中,终端根据SUPI中确定用户归属网络的PLMN ID。
在一些实施例中,该方法还包括:终端读取用户卡中的服务列表文件中的标志位,判断标志位是否激活,在未激活的情况下,执行终端根据用户归属网络的PLMN ID,获取相应的加密算法和公钥子列表的步骤。
在一些实施例中,终端从公钥子列表中采用服从均匀分布的随机整数生成器随机选取一个公钥。
在一些实施例中,SUCI信息包括:公钥在公钥子列表中的标识,SUPI的密文,以及调用公钥子列表标识位;其中,调用公钥子列表标识位用于表示公钥是从公钥子列表中选取的,以便网络侧根据SUCI信息调取相同的公钥子列表获取对应的公钥,进而查找对应的私钥对SUPI的密文进行解密。
在一些实施例中,终端中存储加密计算主信息表,加密计算主信息表包括:至少一个PLMN ID对应的加密算法标识和公钥子列表索引号;获取相应的加密算法和公钥子列表包括:终端根据加密算法标识获取相应的加密算法,根据公钥子列表索引号获取相应的公钥子列表。
根据本公开的另一些实施例,提供的一种终端,包括:加密信息获取模块,用于根据用户归属网络的公共陆地移动网络标识PLMN ID,从本终端的固定存储中获取相应的加密算法和公钥子列表;公钥选取模块,用于从公钥子列表中随机选取公钥;加密模块,用于利用加密算法和公钥对签约用户永久标识符SUPI进行加密,得到签约用户隐藏标识符SUCI信息;信息发送模块,用于将SUCI信息加入身份验证消息,发送至5G网络侧。
在一些实施例中,加密信息获取模块还用于根据SUPI确定用户归属网络的PLMNID。
在一些实施例中,该终端还包括:加密方法选择模块,用于读取用户卡中的服务列表文件中的标志位,判断标志位是否激活,在未激活的情况下,通知加密信息获取模块根据用户归属网络的PLMN ID,获取相应的加密算法和公钥子列表。
在一些实施例中,公钥选取模块用于从公钥子列表中采用服从均匀分布的随机整数生成器随机选取一个公钥。
在一些实施例中,SUCI信息包括:公钥在公钥子列表中的标识,SUPI的密文,以及调用公钥子列表标识位;其中,调用公钥子列表标识位用于表示公钥是从公钥子列表中选取的,以便网络侧根据SUCI信息调取相同的公钥子列表获取对应的公钥,进而查找对应的私钥对SUPI的密文进行解密。
在一些实施例中,终端中存储加密计算主信息表,加密计算主信息表包括:至少一个PLMN ID对应的加密算法标识和公钥子列表索引号;加密信息获取模块,用于根据加密算法标识获取相应的加密算法,根据公钥子列表索引号获取相应的公钥子列表。
根据本公开的又一些实施例,提供的一种终端,包括:存储器;以及耦接至存储器的处理器,处理器被配置为基于存储在存储器中的指令,执行如前述任意实施例的通信方法。
根据本公开的再一些实施例,提供的一种计算机可读存储介质,其上存储有计算机程序,其中,该程序被处理器执行时实现前述任意实施例的通信方法。
根据本公开的又一些实施例,提供的一种通信系统,包括:终端;以及统一数据管理UDM,用于接收身份验证消息,根据SUCI信息,解密后获取SUPI,以便根据SUPI对终端进行验证。
在一些实施例中,SUCI信息包括:公钥在公钥子列表中的标识,SUPI的密文,以及调用公钥子列表标识位;UDM用于根据调用公钥子列表标识位调取相同的公钥子列表,根据公钥在公钥子列表中的标识获取对应的私钥,利用私钥对SUPI的密文进行解密,得到SUPI。
本公开中在5G终端中预先配置不同PLMN ID对应的加密算法和公钥子列表,由终端根据PLMN ID获取相应的加密算法和公钥,利用公钥对SUPI加密,得到SUCI信息,将SUCI信息加入身份验证消息,传输到5G核心网。由于用户使用5G网络,需使用具备5G功能的终端,在5G终端出厂前可以配置加密算法和公钥子列表,由终端对SUPI进行加密,不需要用户再进行换卡或者修改卡等操作,即可实现对用户隐私的保护。并且终端中可以预置不同运营商的加密策略和公钥子列表,当用户更换运营商的情况下也可自动实现对用户隐私的保护,保证了用户身份标识的安全传输,适应不同网络,提升用户体验。
通过以下参照附图对本公开的示例性实施例进行详细描述,本公开的其它特征及其优点将会变得清楚。
附图说明
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出本公开的一些实施例的通信方法的流程示意图。
图2示出本公开的另一些实施例的通信方法的流程示意图。
图3示出本公开的一些实施例的终端的结构示意图。
图4示出本公开的另一些实施例的终端的结构示意图。
图5示出本公开的又一些实施例的终端的结构示意图。
图6示出本公开的一些实施例的通信系统的结构示意图。
具体实施方式
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。基于本公开中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
本公开提出一种5G网络中的通信方法,可以提升用户身份标识等隐私信息传输的安全性。下面结合图1描述本公开通信方法的一些实施例。
图1为本公开通信方法一些实施例的流程图。如图1所示,该实施例的方法包括:步骤S102~S108。
在步骤S102中,终端根据用户归属网络的PLMN ID,从本终端的固定存储中获取相应的加密算法和公钥子列表。
终端可以从SUPI中读取用户归属网络的PLMN ID(Public Land Mobile NetworkID,公共陆地移动网络标识)。例如,SUPI为IMSI的情况下,IMSI由MCC(Mobile CountryCode,移动国家码),MNC(Mobile Network Code,移动网络码)和MSIN(Mobile SubscriberIdentification Number,移动用户识别码)组成。PLMN ID是根据MCC和MNC生成的。因此,终端可以对SUPI进行解析,从而通过SUPI获知用户归属网络的PLMN ID。
在5G终端出厂前可以根据需求在终端的固定存储中预置SUPI的加密计算主信息表,加密计算主信息表中包括:至少一个PLMN ID对应的加密算法标识和公钥子列表索引号。终端中还可以存储至少一个加密算法和至少一个公钥子列表,不同的PLMN ID可以对应相同的加密算法或不同的加密算法,不同的PLMN ID可以对应相同的公钥子列表或不同的公钥子列表。终端可以根据PLMN ID查询对应的加密算法标识和公钥子列表索引号,进一步根据加密算法标识获取相应的加密算法,根据公钥子列表索引号获取相应的公钥子列表。
在一些实施例中,加密计算主信息表中还包含不同的PLMN ID对应的路由指示信息,用于指示终端将SUCI信息发送至对应的UDM。加密计算主信息表例如可以采用表1的形式。
表1
Figure BDA0002094122710000061
Figure BDA0002094122710000071
上述加密计算主信息表1可以由ME制造商在出厂前写入ME的固定存储区域,只供读取。该表中的“公钥子列表索引号”项,长度可以预先设置,例如长度为3位数字(十进制),对应的值(索引号)按1,2,……,m进行编号,m≤999,且不同PLMN ID可对应同一个索引号,即可对应同一个公钥子列表。PLMN ID的总个数可以由ME制造商根据合作运营商的数量及每个运营商对应的PLMN ID数量具体确定。PLMNID为长度为5位数字。该表中“加密算法ID”长度和编码方式可以根据加密算法的种类确定,“加密算法ID”与“路由指示”的长度和编码方式均可以参考3GPP标准中的方式,在此不再赘述。
公钥子列表例如可以采用表2的形式。
表2
公钥ID 归属网络公钥值
ID 1 公钥1
ID 2 公钥2
ID 3 公钥3
ID N 公钥N
表2可以由ME制造商在出厂前写入ME的固定存储区域,只供读取。表2中的“公钥ID”项的长度可以预先设置,例如,长度为3位数字(十进制),按1,2,……,N进行编号,N为公钥子列表的总公钥数,N≤255,具体可由合作运营商给定。表2中的“归属公钥值”的长度设置及编码方式,可以根据具体的加密算法进行设置。
在步骤S104中,终端从公钥子列表中随机选取公钥。
在一些实施例中,终端采用服从均匀分布的随机整数生成器从公钥子列表中随机选取一个公钥。例如,终端中可以根据公钥的个数预置随机数生成模块,随机数生成模块生成一个随机整数Z作为公钥ID,例如采用以下公式生成Z。
Figure BDA0002094122710000082
Figure BDA0002094122710000083
表示对X0向下取整数,X~U(1,N+1)表示X服从1到N+1的均匀分布,N为公钥子列表中的总公钥数,具体数值可以根据实际需求进行设置。
终端每次随机选取公钥的方式,降低了长期使用某一公私钥被破解的风险,降低了造成用户隐私保护失效的可能性,进一步提高用户身份标识传输的安全性。
在步骤S106中,终端利用加密算法和公钥对SUPI进行加密,得到SUCI信息。
在一些实施例中,本公开中的加密算法可以采用椭圆曲线加密算法,具体算法可以参考3GPP中椭圆曲线密码体制的相关标准中的方法,在此不再赘述。
生成的SUCI信息中可以包括:SUPI的密文、公钥标识(即步骤S104中随机选取的公钥ID),加密算法标识和调用公钥子列表标识位,还可以包括:路由指示,SUPI类型,ID类型,以及MCC和MNC等信息。SUCI信息可以采用表3的形式。
表3
Figure BDA0002094122710000081
Figure BDA0002094122710000091
例如,表3中,保留位占1bit,SUPI类型占3bit,ID类型占3bit,用于表示该信息为SUCI信息或者其他类型的信息(例如,IMEI(国际移动设备识别码)等),ID类型的具体编码方式可以参考相关标准。加密算法ID占4bit,MCC和MNC的每个数字占4bit,每个数字按照表中的顺序添加在预设位置,例如,表的第2行第1列4bit表示MCC的第2个数字。调用公钥子列表标识位可以占1比特,ME在调用相应的公钥子列表计算密文M后,输出SUCI的情况下,可以将调用公钥子列表标识位置“1”,以便网络侧根据该位置的“1”,从而调用公钥子列表并根据公钥ID提取公钥,查询对应私钥后进行解密。
在步骤S108中,终端将SUCI信息加入身份验证消息,发送至5G网络侧。
例如,终端将SUCI信息添加到注册请求(Registration Request)消息,或者终端接收到网络的身份核验请求(Identity Request)消息后将SUCI信息加入回复的消息中发送至5GC,5GC根据路由指示将SUCI传送至归属UDM,UDM对SUCI信息进行解析,获取SUPI的密文,根据调用公钥子列表标识位,调用公钥子列表并根据公钥ID提取公钥,查询对应私钥后对SUPI的密文进行解密。UDM得到SUPI后5GC即可对用户的身份进行验证。终端也可以将SUPI的密文用于其他需要提供身份信息的应用场景,不限于所举示例。
上述实施例的方法中在5G终端中预先配置不同PLMN ID对应的加密算法和公钥子列表,由终端根据PLMN ID获取相应的加密算法和公钥,利用公钥对SUPI加密,得到SUCI信息,将SUCI信息加入身份验证消息,传输到5G核心网。由于用户使用5G网络,肯定使用具备5G功能的终端,在5G终端出厂前可以配置加密算法和公钥子列表,由终端对SUPI进行加密,不需要用户再进行换卡或者修改卡等操作,即可实现对用户隐私的保护。并且终端中可以预置不同运营商的加密策略和公钥子列表,当用户更换运营商的情况下也可自动实现对用户隐私的保护,保证了用户身份标识的安全传输,适应不同网络,提升用户体验。此外,采用公钥随机选择机制,降低了长期使用某一公私钥被破解造成用户隐私保护失效的可能性,提高了用户隐私传输的安全性。
下面结合图2描述本公开通信方法的另一些实施例。
图2为本公开通信方法另一些实施例的流程图。如图2所示,该实施例的方法包括:步骤S202~S214。
在步骤S202中,终端读取用户卡中的服务列表文件中的标志位,判断标志位是否激活,如果已经激活,则执行步骤S203,否则,执行步骤S204。
用户卡中的服务列表文件EFUST中的标志位可以用来表示是否由用户卡应用对SUPI进行加密处理,例如,n°124未激活的情况表示用户卡中没有存储相应的加密信息,需要采用本公开的利用终端对SUPI加密的方案。
在步骤S203中,利用用户卡中的EFUAC_AIC文件对SUPI加密,得到SUCI信息。
例如,EFUST中的另一标志位n°125可以用来表示在用户卡中存储相应的加密信息(EFUAC_AIC文件)的情况下,采用用户卡进行加密计算或者采用终端进行加密计算。因此,可以根据n°125的激活情况,判断加密计算由用户卡还是终端执行。
在步骤S204中,终端根据SUPI确定用户归属网络的PLMN ID。
在步骤S206中,终端根据PLMN ID查询SUPI的加密计算主信息表中是否存在该PLMN ID对应的加密信息,如果不存在,则执行步骤S207,否则,执行步骤S208。
PLMN ID对应的加密信息包括:加密算法标识、公钥子列表索引号,以及路由指示等。
在步骤S207中,终端利用SUPI明文生成SUCI信息。
参考前述实施例中表3,此处生成SUCI信息中M密文处填写的是SUPI明文,相当于没有对SUPI进行有效加密,并且调用公钥子列表标识位置为空。在该情况下,仍然需要生成SUCI以符合5G信令标准,但并没有对SUPI进行有效加密。
在步骤S208中,终端采用服从均匀分布的随机整数生成器随机生成公钥ID,并根据公钥ID从公钥子列表中选取公钥,对SUPI进行加密,得到SUPI的密文。
在步骤S210中,终端根据SUPI的密文生成SUCI信息,将SUCI信息中的调用公钥子列表标识位设置为预设值,并将SUCI信息携带在身份验证消息发送至归属UDM。
例如,调用公钥子列表标识位设置为1,表示本次对SUPI进行加密采用的是终端中预置的公钥子列表中的公钥。SUCI信息的具体内容参考前述实施例表3。
在步骤S212中,UDM查询SUCI信息中的调用公钥子列表标识位,如果为预设值,则执行步骤S214,否则,执行步骤S213。
在步骤S213中,UDM在SUCI信息中的公钥ID不为空的情况下,获取对应的私钥对SUPI的密文进行解密,在公钥ID为空的情况下,直接获取SUPI的明文。
公钥ID不为空表示采用用户卡存储加密信息的方式进行加密,可以直接获取对应的私钥,进行解密。公钥ID为空表示对SUPI进行了无效加密,可以直接获取SUPI明文。
在步骤S214中,UDM调取与终端相同的公钥子列表,根据公钥ID获取对应的私钥,利用对应的私钥对SUPI的密文进行解密。以便根据SUPI对终端进行验证。
上述实施例的方案,在用户更换或修改了用户卡的情况下,根据用户卡中的配置文件对SUPI进行加密处理。在用户没有更换或修改用户卡的情况下,可以利用终端实现对SUPI的加密处理,在保证用户隐私安全的情况下,符合通信标准需求,提升用户体验。并且,通过公钥随机选取的机制,进一步提高了信息传输的安全性。
下面描述本公开的通信方法的一些应用例。
假设LTE用户的用户卡的服务列表文件EFUST的n°124和n°125均未激活,用户卡对应IMSI号为46011******1001。ME中预置了的SUPI的加密主信息表和公钥子列表,假设预置的公钥子列表中总公钥数N为100,加密主信息表和公钥子列表分别如表4和表5所示。
表4
Figure BDA0002094122710000121
表5
Figure BDA0002094122710000122
加密的具体步骤如下。
(1)ME检查用户卡中的服务列表文件中n°124和n°125均未激活时,根据用户IMSI识别其归属网络的PLMN ID。
(2)ME查询SUPI的加密计算主信息表中是否该PLMN ID,如存在,则进一步查询PLMN ID对应的加密信息,包括加密算法ID、对应的公钥子列表索引号(例如为2)。
(3)ME根据公钥子列表索引号查询对应的公钥子列表,根据加密算法标识确定对应的加密算法。
(4)ME调用随机整数生成模块在1~100中随机生成一个整数Z作为公钥ID。假设生成随机公钥ID为58。
(5)在公钥子列表2中查询对应根据公钥ID 58查询对应公钥值(例如,长度为256bit)。根据查询到的公钥值和加密算法ID(0x1)调用ECIES(椭圆曲线集成加密算法)对SUPI进行加密计算,计算得到密文M。
(6)ME把“调用公钥子列表标识位”置“1”,把密文M连同SUPI类型、ID类型、归属网络ID、路由指示、加密算法ID、公钥ID等按表3格式输出SUCI,然后发送至5GC。
(7)5GC把SUCI根据路由指示把SUCI发送至归属UDM,UDM判断SUCI中的“调用公钥子列表标识位”,若被置“1”,执行步骤(8)。
(8)调取与ME侧相同的公钥列表,根据SUCI中的公钥ID 58,获取对应的私钥,根据加密算法ID(0x1)对SUCI解密,获取SUPI信息。
本公开还提供一种终端,下面结合图3进行描述。
图3为本公开终端的一些实施例的结构图。如图3所示,该实施例的终端30包括:加密信息获取模块302,公钥选取模块304,加密模块306,信息发送模块308。
加密信息获取模块302,用于根据用户归属网络的公共陆地移动网络标识PLMNID,从本终端的固定存储中获取相应的加密算法和公钥子列表。
在一些实施例中,加密信息获取模块302还用于根据SUPI中确定用户归属网络的PLMN ID。
在一些实施例中,终端中存储加密计算主信息表,加密计算主信息表包括:至少一个PLMN ID对应的加密算法标识和公钥子列表索引号。加密信息获取模块302,用于根据加密算法标识获取相应的加密算法,根据公钥子列表索引号获取相应的公钥子列表。
公钥选取模块304,用于从公钥子列表中随机选取公钥。
在一些实施例中,公钥选取模块304用于从公钥子列表中采用服从均匀分布的随机整数生成器随机选取一个公钥。
加密模块306,用于利用加密算法和公钥对签约用户永久标识符SUPI进行加密,得到签约用户隐藏标识符SUCI信息。
在一些实施例中,SUCI信息包括:公钥在公钥子列表中的标识,SUPI的密文,以及调用公钥子列表标识位。调用公钥子列表标识位用于表示公钥是从公钥子列表中选取的,以便网络侧根据SUCI信息调取相同的公钥子列表获取对应的公钥,进而查找对应的私钥对SUPI的密文进行解密。
信息发送模块308,用于将SUCI信息加入身份验证消息,发送至5G网络侧。
在一些实施例中,终端30还包括:加密方法选择模块310,用于读取用户卡中的服务列表文件中的标志位,判断标志位是否激活,在未激活的情况下,通知加密信息获取模块302根据用户归属网络的PLMN ID,获取相应的加密算法和公钥子列表。
本公开的实施例中的终端可各由各种计算设备或计算机系统来实现,下面结合图4以及图5进行描述。
图4为本公开终端的一些实施例的结构图。如图4所示,该实施例的终端40包括:存储器410以及耦接至该存储器410的处理器420,处理器420被配置为基于存储在存储器410中的指令,执行本公开中任意一些实施例中的通信方法。
其中,存储器410例如可以包括系统存储器、固定非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序(Boot Loader)、数据库以及其他程序等。
图5为本公开终端的另一些实施例的结构图。如图5所示,该实施例的终端50包括:存储器510以及处理器520,分别与存储器410以及处理器420类似。还可以包括输入输出接口530、网络接口540、存储接口550等。这些接口530,540,550以及存储器510和处理器520之间例如可以通过总线560连接。其中,输入输出接口530为显示器、鼠标、键盘、触摸屏等输入输出设备提供连接接口。网络接口540为各种联网设备提供连接接口,例如可以连接到数据库服务器或者云端存储服务器等。存储接口550为SD卡、U盘等外置存储设备提供连接接口。
本公开还提供一种通信系统,下面结合图6进行描述。
图6为本公开通信系统的一些实施例的结构图。如图6所示,该实施例的系统6包括:前述任意实施例的终端30/40/50,以及UDM(统一数据管理)62。
UDM 62,用于接收身份验证消息,根据SUCI信息,解密后获取SUPI,以便根据SUPI对终端进行验证。
在一些实施例中,SUCI信息包括:公钥在公钥子列表中的标识,SUPI的密文,以及调用公钥子列表标识位。UDM62用于根据调用公钥子列表标识位调取相同的公钥子列表,根据公钥在公钥子列表中的标识获取对应的私钥,利用私钥对SUPI的密文进行解密,得到SUPI。
本领域内的技术人员应当明白,本公开的实施例可提供为方法、系统、或计算机程序产品。因此,本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本公开是参照根据本公开实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解为可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本公开的较佳实施例,并不用以限制本公开,凡在本公开的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本公开的保护范围之内。

Claims (14)

1.一种通信方法,包括:
终端读取用户卡中的服务列表文件中的标志位,判断所述标志位是否激活;
在未激活的情况下,终端根据用户归属网络的公共陆地移动网络标识PLMNID,从本终端的固定存储中获取相应的加密算法和公钥子列表;
所述终端从所述公钥子列表中随机选取公钥;
所述终端利用所述加密算法和所述公钥对签约用户永久标识符SUPI进行加密,得到签约用户隐藏标识符SUCI信息;
所述终端将所述SUCI信息加入身份验证消息,发送至5G网络侧。
2.根据权利要求1所述的通信方法,其中,
所述终端根据所述SUPI中确定用户归属网络的PLMNID。
3.根据权利要求1所述的通信方法,其中,
所述终端采用服从均匀分布的随机整数生成器从所述公钥子列表中随机选取一个公钥。
4.根据权利要求1所述的通信方法,其中,
所述SUCI信息包括:所述公钥在所述公钥子列表中的标识,所述SUPI的密文,以及调用公钥子列表标识位;
其中,所述调用公钥子列表标识位用于表示所述公钥是从所述公钥子列表中选取的,以便所述网络侧根据所述SUCI信息调取相同的公钥子列表获取对应的公钥,进而查找对应的私钥对所述SUPI的密文进行解密。
5.根据权利要求1所述的通信方法,其中,
所述终端中存储加密计算主信息表,所述加密计算主信息表包括:至少一个PLMNID对应的加密算法标识和公钥子列表索引号;
所述获取相应的加密算法和公钥子列表包括:
所述终端根据所述加密算法标识获取相应的加密算法,根据所述公钥子列表索引号获取相应的公钥子列表。
6.一种终端,包括:
加密方法选择模块,用于读取用户卡中的服务列表文件中的标志位,判断所述标志位是否激活;
加密信息获取模块,用于在未激活的情况下,根据用户归属网络的公共陆地移动网络标识PLMNID,从本终端的固定存储中获取相应的加密算法和公钥子列表;
公钥选取模块,用于从所述公钥子列表中随机选取公钥;
加密模块,用于利用所述加密算法和所述公钥对签约用户永久标识符SUPI进行加密,得到签约用户隐藏标识符SUCI信息;
信息发送模块,用于将所述SUCI信息加入身份验证消息,发送至5G网络侧。
7.根据权利要求6所述的终端,其中,
所述加密信息获取模块还用于根据所述SUPI中确定用户归属网络的PLMNID。
8.根据权利要求6所述的终端,其中,
所述公钥选取模块用于从所述公钥子列表中采用服从均匀分布的随机整数生成器随机选取一个公钥。
9.根据权利要求6所述的终端,其中,
所述SUCI信息包括:所述公钥在所述公钥子列表中的标识,所述SUPI的密文,以及调用公钥子列表标识位;
其中,所述调用公钥子列表标识位用于表示所述公钥是从所述公钥子列表中选取的,以便所述网络侧根据所述SUCI信息调取相同的公钥子列表获取对应的公钥,进而查找对应的私钥对所述SUPI的密文进行解密。
10.根据权利要求6所述的终端,其中,
所述终端中存储加密计算主信息表,所述加密计算主信息表包括:至少一个PLMNID对应的加密算法标识和公钥子列表索引号;
所述加密信息获取模块,用于根据所述加密算法标识获取相应的加密算法,根据所述公钥子列表索引号获取相应的公钥子列表。
11.一种终端,包括:
存储器;以及
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行如权利要求1-5任一项所述的通信方法。
12.一种计算机可读存储介质,其上存储有计算机程序,其中,该程序被处理器执行时实现权利要求1-5任一项所述方法的步骤。
13.一种通信系统,包括:权利要求6-10任一项所述的终端;以及
统一数据管理UDM,用于接收所述身份验证消息,根据所述SUCI信息,解密后获取SUPI,以便根据所述SUPI对所述终端进行验证。
14.根据权利要求13所述的通信系统,其中,
所述SUCI信息包括:所述公钥在所述公钥子列表中的标识,所述SUPI的密文,以及调用公钥子列表标识位;
所述UDM用于根据所述调用公钥子列表标识位调取相同的公钥子列表,根据公钥在所述公钥子列表中的标识获取对应的私钥,利用所述私钥对所述SUPI的密文进行解密,得到所述SUPI。
CN201910513040.9A 2019-06-14 2019-06-14 通信方法、系统、终端和可读存储介质 Active CN112087746B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910513040.9A CN112087746B (zh) 2019-06-14 2019-06-14 通信方法、系统、终端和可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910513040.9A CN112087746B (zh) 2019-06-14 2019-06-14 通信方法、系统、终端和可读存储介质

Publications (2)

Publication Number Publication Date
CN112087746A CN112087746A (zh) 2020-12-15
CN112087746B true CN112087746B (zh) 2023-04-18

Family

ID=73734529

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910513040.9A Active CN112087746B (zh) 2019-06-14 2019-06-14 通信方法、系统、终端和可读存储介质

Country Status (1)

Country Link
CN (1) CN112087746B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114301663A (zh) * 2021-12-27 2022-04-08 中国电信股份有限公司 数据处理方法、装置、电子设备及计算机可读存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108848502A (zh) * 2018-05-18 2018-11-20 兴唐通信科技有限公司 一种利用5g-aka对supi进行保护的方法
CN109041054A (zh) * 2018-07-27 2018-12-18 中国电子科技集团公司第三十研究所 一种网络侧发起号码变更的隐私保护方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10574457B2 (en) * 2017-05-12 2020-02-25 Nokia Technologies Oy Indicator for determination of key for processing message in communication system
EP3659314B1 (en) * 2017-07-25 2021-06-16 Telefonaktiebolaget LM Ericsson (Publ) Subscription concealed identifier
CN109587680B (zh) * 2017-09-29 2021-11-30 华为技术有限公司 参数的保护方法、设备和系统
CN109699031B (zh) * 2018-01-11 2020-03-20 华为技术有限公司 采用共享密钥、公钥和私钥的验证方法及装置
CN108683510B (zh) * 2018-05-18 2021-03-23 兴唐通信科技有限公司 一种加密传输的用户身份更新方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108848502A (zh) * 2018-05-18 2018-11-20 兴唐通信科技有限公司 一种利用5g-aka对supi进行保护的方法
CN109041054A (zh) * 2018-07-27 2018-12-18 中国电子科技集团公司第三十研究所 一种网络侧发起号码变更的隐私保护方法

Also Published As

Publication number Publication date
CN112087746A (zh) 2020-12-15

Similar Documents

Publication Publication Date Title
JP7139420B2 (ja) 電気通信ネットワークの物理的要素又は仮想要素にセキュリティエレメントに格納されている暗号化されたサブスクリプション識別子を送信する方法、対応するセキュリティエレメント、物理的要素又は仮想要素及びこのセキュリティエレメントと協働する端末
RU2683853C1 (ru) Способ улучшения ключа системы gprs, устройство sgsn, пользовательское устройство, hlr/hss и система gprs
CN111355571B (zh) 生成身份认证私钥的方法、终端、连接管理平台和系统
US11159311B2 (en) Encryption key management method and apparatus
CN112087746B (zh) 通信方法、系统、终端和可读存储介质
CN102883311B (zh) 一种基于oid编码的无线传感网设备寻址方法
US11330428B2 (en) Privacy key in a wireless communication system
US10560436B2 (en) Pseudonymous proximity location device
CN101515933A (zh) 一种网络设备的软硬件完整性检测方法及系统
CN101534482B (zh) 一种锁网方法及系统
CN107592624B (zh) 用于自动生成共享密钥的方法和系统
Choudhury et al. End-to-end user identity confidentiality for umts networks
CN111885595B (zh) 智能家电配置入网方法、装置和系统
CN112134831B (zh) 接入请求的发送、处理方法及装置
CN102523581B (zh) 基于短信对3g设备进行带外管理的安全通信方法及系统
KR20200071052A (ko) 메시지 서비스 장치 및 그 인증 확인 방법
CN1968096B (zh) 一种同步流程优化方法和系统
CN113079506A (zh) 网络安全认证方法、装置及设备
US11552796B2 (en) Cryptographic processing events for encrypting or decrypting data
CN111431839B (zh) 隐藏用户标识的处理方法及装置
CN101489220B (zh) 软件安全管理的方法与系统
KR20170016114A (ko) 통화 발신자 인증 방법 및 인증 서버
CN116489639A (zh) 一种身份认证方法、设备及存储介质
CN116863565A (zh) 基于密钥的智能门锁控制方法及装置
CN113556736A (zh) 接入方法、服务端、待接入端、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant