CN112235736B - 漫游场景下的用户标识认定方法 - Google Patents
漫游场景下的用户标识认定方法 Download PDFInfo
- Publication number
- CN112235736B CN112235736B CN202011090814.0A CN202011090814A CN112235736B CN 112235736 B CN112235736 B CN 112235736B CN 202011090814 A CN202011090814 A CN 202011090814A CN 112235736 B CN112235736 B CN 112235736B
- Authority
- CN
- China
- Prior art keywords
- suci
- identification
- current
- identifier
- roaming
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 53
- 230000001172 regenerating effect Effects 0.000 claims description 6
- 230000009286 beneficial effect Effects 0.000 abstract description 2
- CSRZQMIRAZTJOY-UHFFFAOYSA-N trimethylsilyl iodide Substances C[Si](C)(C)I CSRZQMIRAZTJOY-UHFFFAOYSA-N 0.000 abstract 1
- 230000006854 communication Effects 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 238000007726 management method Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 238000013507 mapping Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000012790 confirmation Methods 0.000 description 2
- 230000002349 favourable effect Effects 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000003190 augmentative effect Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000010076 replication Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/24—Accounting or billing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
- H04W8/20—Transfer of user or subscriber data
- H04W8/205—Transfer to or from user equipment or user record carrier
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种漫游场景下的用户标识认定方法、计费方法及AMF,所述用户标识认定方法包括:接收漫游终端发送的注册请求,所述注册请求携带当前SUCI标识,所述当前SUCI标识包括加密模式标识和用户标识密文;判断所述加密模式标识是否为标准加密模式标识;若判断结果为否,则将所述当前SUCI标识作为用户标识。该用户标识认定方法、计费方法及AMF能够解决现有技术中漫游场景下采用明文SUPI作为用户标识不利于用户SUPI在漫游地的隐私保护,以及采用漫游地的TMSI作为用户标识容易造成漫游地单方乱扣费问题。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种漫游场景下的用户标识认定方法、计费方法及AMF。
背景技术
为了保护用户的隐私,5G网络将用户的用户永久标识 SUPI(SubscriberPermanent Identifier)加密成用户隐藏标识SUCI (SubscriptionConcealedIdentifier)进行传输,但当用户漫游到异网或者国外时,由于SUCI是加密且动态变化的,且漫游地公共陆地移动网络(Visited Public Land Mobile Network,以下简称:漫游网络)没有归属地公共陆地移动网络(Home Public Land Mobile Network,以下简称:归属网络)的密钥。因此无法实时对 SUCI进行解密。此外,若采用明文SUPI传输的方案,这样在漫游场景下,由于其安全等级不受控,不利于用户SUPI在漫游地的隐私保护。如果采用漫游地网络为用户分配实时变化的TMSI (Temporary Mobile Subscriber Identity,临时移动用户标识)的方案,此类方案对于非漫游场景尚可,但对于漫游场景:由于TMSI 是接入地(漫游国)单方面进行设定的用户标识,不经过归属地网络的认证、鉴权,存在漫游地单方乱扣费的风险。
因此,提供一种漫游场景下的用户标识认定方法是本领域技术人员亟待解决的问题。
发明内容
本发明所要解决的技术问题是针对现有技术的上述不足,提供一种漫游场景下的用户标识认定方法、计费方法及AMF,用以解决现有技术中漫游场景下采用明文SUPI作为用户标识不利于用户SUPI在漫游地的隐私保护,以及采用漫游地的TMSI作为用户标识容易造成漫游地单方乱扣费问题。
第一方面,本发明实施例提供一种漫游场景下的用户标识认定方法,应用于漫游网络,所述方法包括:
接收漫游终端发送的注册请求,所述注册请求携带当前SUCI 标识,所述当前SUCI标识包括加密模式标识和用户标识密文;
判断所述加密模式标识是否为标准加密模式标识;
若判断结果为否,则将所述当前SUCI标识作为用户标识。
优选地,所述方法还包括:
若判断结果为是,则向所述漫游终端所在的归属网络发送鉴权请求,以使所述归属网络对所述漫游终端进行鉴权;
接收所述归属网络发送的所述当前SUCI标识和对所述用户标识密文解密后的SUPI标识,并将解密后的SUPI标识作为用户标识。
第二方面,本发明实施例提供一种漫游场景下的用户标识认定方法,应用于漫游终端,所述方法包括:
判断本次漫游是否是当前漫游网络下的初次漫游;
若不是初次漫游,则进一步判断上一SUCI标识是否超过更新周期;
若未超过更新周期,则根据上一SUCI生成当前SUCI标识,所述当前SUCI标识包括加密模式标识和用户标识密文,所述当前 SUCI标识的加密模式标识为非标准加密模式标识,所述当前SUCI 标识的用户标识密文与所述上一SUCI的用户标识密文相同;
向所述漫游网络发送注册请求,所述注册请求携带所述当前 SUCI标识。
优选地,所述方法还包括:
若是初次漫游,则生成新的SUCI标识作为当前SUCI标识,所述当前SUCI标识包括加密模式标识和用户标识密文,所述当前 SUCI标识的加密模式标识为标准加密模式标识;
保存所述当前SUCI标识以及所述当前SUCI标识的生成时间点;
向所述漫游网络发送注册请求,所述注册请求携带所述当前 SUCI标识。
优选地,所述方法还包括:
若上一SUCI标识超过更新周期,则重新生成新的SUCI标识作为当前SUCI标识,所述新的SUCI标识包括加密模式标识和用户标识密文,所述新的SUCI标识的加密模式标识为标准加密模式标识;
保存所述当前SUCI标识以及所述当前SUCI标识的生成时间点;
向所述漫游网络发送注册请求,所述注册请求携带所述当前 SUCI标识。
优选地,所述重新生成新的SUCI标识,包括:
生成新的私钥,并依次采用所述私钥和归属网络的公钥对所述漫游终端的SUPI标识进行加密,得到SUPI加密后的密文;
根据所述SUPI加密后的密文生成新的SUCI标识,其中,所述新的SUCI标识包括加密模式标识和用户标识密文,所述新的SUCI标识的加密模式标识为标准加密模式标识,所述新的SUCI 标识的用户标识密文为所述SUPI加密后的密文。
第三方面,本发明实施例提供一种漫游场景下的计费方法,所述方法包括:
根据第一方面所述的漫游场景下的用户标识认定方法获取当前SUCI标识;以及,
生成与所述当前SUCI标识对应的话单文件,其中,所述话单文件的文件名包含所述当前SUCI标识;
获取预存的SUCI与SUPI对应关系表中所述当前SUCI标识所对应的SUPI标识;
根据所述当前SUCI标识对应的话单文件对所述SUPI标识对应的用户进行计费处理。
优选地,所述根据所述当前SUCI标识对应的话单文件对所述SUPI标识对应的用户进行计费处理的步骤之后,所述方法还包括:
将上一SUCI标识所对应的话单文件的文件名中的上一SUCI 标识替换为当前SUCI标识。
优选地,根据第一方面所述的漫游场景下的用户标识认定方法获取当前SUCI标识,所述方法还包括:
将当前SUCI标识和解密后的SUPI标识的对应关系保存至预存的SUCI与SUPI对应关系表中。
第四方面,本发明实施例提供一种接入及移动性管理功能实体AMF,包括:
接收模块,用于接收漫游终端发送的注册请求,所述注册请求携带当前SUCI标识,所述当前SUCI标识包括加密模式标识和用户标识密文;
判断模块,与所述接收模块连接,用于判断所述加密模式标识是否为标准加密模式标识;
认定模块,与所述判断模块连接,用于若判断结果为否,则将所述当前SUCI标识作为用户标识。
本发明实施例提供的漫游场景下的用户标识认定方法、计费方法及AMF,通过采用当前SUCI标识作为用户标识,保证了用户SUPI的安全性,同时,通过当前SUCI标识中的加密模式标识可以判断是否需要向归属网络发送鉴权请求,即若是标准加密模式标识,则代表上一SUCI已超过更新周期,为了保持SUCI的新鲜度,需要生成新的SUCI并向归属网络发送鉴权请求,实现对 SUCI更新频率的控制;若是非标准加密模式标识,则代表上一 SUCI未超过更新周期,为了避免因频繁向归属网络发送鉴权请求而给归属网络造成负担,以及为了提高漫游网络的效率,在更新周期内,通过将上一SUCI的用户标识密文直接复制,生成新的SUCI,并直接将其作为用户标识,从而使得漫游网络在不用对当前SUCI标识进行解密的情况下实现对用户标识的认定,解决了现有技术中漫游场景下采用明文SUPI作为用户标识不利于用户SUPI在漫游地的隐私保护,以及采用漫游地的TMSI作为用户标识容易造成漫游地单方乱扣费问题。
附图说明
图1:为本发明实施例1的一种漫游场景下的用户标识认定方法的流程图;
图2:为本发明实施例2的一种漫游场景下的用户标识认定方法的流程图;
图3:为本发明实施例3的一种漫游场景下的计费方法的流程图;
图4:为本发明实施例4的一种接入及移动性管理功能实体 AMF的结构图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
实施例1:
本实施例提供一种漫游场景下的用户标识认定方法,应用于漫游网络,如图1所示,该方法包括:
步骤S102:接收漫游终端发送的注册请求,所述注册请求携带当前SUCI标识,所述当前SUCI标识包括加密模式标识和用户标识密文。
在本实施例中,终端是一种具有无线收发功能的设备,该终端可以是用户设备UE(User Equipment),手机、平板电脑、带无线收发功能的电脑、虚拟现实终端、增强现实终端、工业控制中的无线终端等等。
在本实施例中,漫游终端即终端从归属网络漫游到漫游网络。具体地,终端漫游到漫游网络后根据网络广播的PLMN(Public Land Mobile Network,公共陆地移动网),判定是否从一个PLMN 网络漫游到了新的PLMN网络,即PLMN有刷新。当终端漫游到异网或者国外,终端向漫游网络提出注册申请,终端首先判定本次漫游是否为该漫游网络下的初次漫游注册。如果是初次漫游,由于该漫游网络的核心网都没有储存该用户的相关信息,终端对SUPI进行加密生成当前SUCI标识,并向漫游网络的接入及移动性管理功能实体AMF(Accessand Mobility Management Function) 发起网络注册时上报该SUCI标识。
步骤S104:判断所述加密模式标识是否为标准加密模式标识。
在本实施例中,SUCI标识包括加密模式标识和用户标识密文,加密模式标识用于指示SUCI的加密模式,加密模式可以包括标准加密模式和非标准加密模式标识。标准加密模式用于指示 SUCI是标准加密方式,例如ECIES加密方式,代表SUCI是加密的用户标识需要向归属网络发送鉴权请求进行鉴权和解密。非标准加密模式标识用于指示SUCI是空方案模式,在该模式下,依据现有通信协议,网元实体在收到用户的SUCI注册请求或者会话请求时,当识别是空方案模式时,无需再向归属网络发送SUCI进行鉴权和解密,可以直接采用SUCI作为用户标识,即网元实体默认 SUCI是没有加密的SUPI,可以直接作为用户标识。通过SUCI 包括的加密模式标识判断是否需要向归属网络发送鉴权请求,以便在不改变现有通信协议架构的情况下,实现对SUCI更新频率进行控制。用户标识密文为依据某类特定的加密方式(例如ECIES 加密方式)将SUPI加密后的结果。具体地,终端在USIM卡 (UniversalSubscriber Identity Module,全球用户识别卡)上对SUPI 进行加密,分别使用USIM生成的本地私钥及归属网络提供的公钥,对SUPI加密形成用户标识密文。终端可以内置密钥生成器,每次生成不同的私钥和公钥对,在发送注册请求或其他请求时,先采用生成的本地私钥对SUPI加密,再使用归属网络提供的公钥进一步加密,同时将生成的公钥附加在注册请求或其他请求中,以使得归属网络收到对应的请求时,先用自身的私钥对SUCI进行解密,再采用终端发送的公钥进一步解密,从而得到SUPI,进一步保证了用户标识传输的安全性。其中,SUCI还可以包括SUPI 类型、归属地网络标识符、路由指示器、加密方案编号、归属地网络公钥ID等等,比如,归属地网络标识符可以用于标识终端归属地所属的网络,可以由MCC(Mobile Country Code,移动国家码) 和MNC(Mobile Network Code,移动网络号码)组成,也可以是由字符串组成的域名,以方便漫游网络获取终端的归属网络信息。
在本实施例中,通过采用归属网络的公钥对终端的SUPI进行加密,并直接采用SUCI作为用户标识,保证了用户SUPI的安全性,同时通过向归属网络发送鉴权请求来获取SUCI对应的SUPI,并存储SUPI与SUCI的映射关系,避免漫游网络由于没有归属网络的密钥,无法实时对SUCI进行解密的问题,同时通过SUCI包括的加密模式标识判断是否需要再次向归属网络发送鉴权请求,以便在不改变现有通信协议架构的情况下,实现对SUCI更新频率进行控制。
在本实施例中,终端生成私钥后,会记录本次生成的私钥,生成的SUCI标识、或本次加密后的用户标识密文和生成时间点,比如,初次漫游,终端生成标准私钥,并依次采用标准私钥和归属网络的公钥对终端的SUPI进行加密得到用户标识密文,并生成当前SUCI,即当前SUCI包括标准加密模式标识和用户标识密文,终端存储标准私钥、当前SUCI以及当前SUCI的生成时间点。
可选地,所述方法还可以包括:
若判断结果为是,则向所述漫游终端所在的归属网络发送鉴权请求,以使所述归属网络对所述漫游终端进行鉴权;
接收所述归属网络发送的所述当前SUCI标识和对所述用户标识密文解密后的SUPI标识,并将解密后的SUPI标识作为用户标识。
在本实施例中,漫游网络的AMF根据收到SUCI进行判断,若SUCI的加密模式为标准加密模式,将SUCI转发给归属网络的鉴权服务功能实体AUSF(Authentication ServerFunction)、统一数据管理功能实体UDM(Unified Data Repository)进行SUCI 的解密。归属网络的核心网完成与终端的AKA鉴权,即5G端网双向鉴权,再由归属网络的UDM发送鉴权向量AV给终端,终端收到鉴权向量AV后根据AV做相应的运算再反馈给归属网络的 AUSF,由AUSF判定运算结果,判定端网鉴权是否通过,通过后再发送给漫游网络的AMF解密后的SUPI。鉴权通过后,漫游网络的AMF使用SUPI作为内部终端对应的用户标识,并将该SUPI 与SUCI的映射关系存储至预设的SUCI与SUPI对应关系表中。
在本实施例中,若是初次注册请求,漫游网络的AMF通过 SMF向漫游网络的计费相关实体发送用户标识更新请求,计费相关实体如策略控制功能实体PCF(policy controlfunction)、计费功能实体CHF(Charging Function)等,用户标识更新请求包括解密后的SUPI以及当前SUCI,计费相关实体调取初始化的计费策略、创建初始化的业务话单。由于初始化的文件寻址标识、用户身份标识都为SUPI,因此,计费相关实体先调取用户话单,随后,将用户标识从SUPI替换成当前SUCI。同时存储SUPI与当前SUCI 的映射关系。最后,CHF/PCF发给AMF一个确认响应消息,AMF 再通知终端在漫游网络计费系统完成注册,漫游网络计费系统存储SUPI与当前SUCI的映射关系。
在本实施例中,当终端发起PDU会话时,AMF、SMF、UDM 等网元建立通信交互,CHF生成与所述当前SUCI标识对应的话单文件,其中,所述话单文件的文件名包含所述当前SUCI标识,并向计费系统发送包括当前SUCI标识的计费请求,即计费请求将当前SUCI标识替换原有的SUPI标识,起到了隐藏用户SUPI的作用,保证用户SUPI不出核心网,在计费域不暴露用户SUPI隐私。计费系统在接收到计费请求后,获取预存的SUCI与SUPI对应关系表中所述当前SUCI标识所对应的SUPI标识后,并根据所述当前SUCI标识对应的话单文件对所述SUPI标识对应的用户进行计费处理。同时,将CDR话单的寻址路径、用户标识修改成当前SUCI标识,以便能够实现仅通过上一SUCI标识或当前SUCI 标识找到属于用户自己的话单,保证了5G系统整体安全性。
步骤S106:若判断结果为否,则将所述当前SUCI标识作为用户标识。
在本实施例中,为了避免因注册请求而导致的终端频繁生成密钥以及归属网络频繁鉴权,同时为了保持SUCI的新鲜度,可以设置SUCI更新周期,通过预存的上一SUCI的生成时间点判断当前用户标识是否超过更新周期,并通过更改SUCI的加密模式标识实现在不改变现有通信协议架构的情况下对SUCI更新频率的控制。
在本实施例中,对于非初次注册的用户,终端向漫游网络的 AMF发起注册请求时仍需要上报SUCI,当终端判断在漫游网络不是首次注册,且当前用户标识没有超过更新周期,终端将调用 SIM卡储存的上一次加密的用户标识密文或上一SUCI用以生成新SUCI,比如根据上一SUCI生成当前SUCI,即相对上一SUCI, 保持当前SUCI中加密模式标识以外的其他数据位不改变,仍保持与上一SUCI相同,只将标准加密模式标识改成非标准加密模式标识,而用户标识密文不变。在进行会话请求时,当SMF向CHF以及PCF发送信令时,发送SUPI的位置也将使用未解密的当前SUCI 作为用户标识,由于PCF以及CHF以当前SUCI作为用户标识,且存储有SUCI与SUPI对应关系表,由于当前SUCI与上一SUCI 具有相同的用户标识密文,因此在SUCI未进行刷新前PCF以及 CHF都可以匹配到用户标准SUPI。
在本实施例中,对于非初次注册的用户,当上一SUCI标识超过更新周期时,终端重新生成与上一次不同的私钥,并进一步生成新的SUCI,与上一次生成的SUCI相比,新的SUCI具有不同的用户标识密文,终端生成新的SUCI后,漫游网络的AMF再次向归属网络发送包含新的SUCI的鉴权请求,以实现对终端的鉴权。
在本实施例中,在用户SUCI每次进行更新前,由终端在漫游网络与归属网络之间进行三方通知、确认,保证SUCI的信息在漫游网络与归属网络双方都完成认证,确保计费的准确性得到双方网络认可。具体地,终端对SUPI重新加密生成新的SUCI,加密模式为标准加密模式标识。漫游网络的AMF根据标准加密模式标识判定此类加密模式为标准加密模式,无法获取用户标识,于是需要按照3GPP规定AKA流程向归属网络进行解密、认证。在 AKA认证的通信过程中恰好可以将新的SUCI在双方网络之间进行通知确认,归属网络的UDM和AUSF将新的SUCI进行解密得到SUPI,并在归属网络的AUSF发送给归属网络的AMF上的 SEAF安全锚点的Nausf_UEAuthentication_Authenticate响应中,伴随Kseaf参数,将新的SUCI与解密后的SUPI一起发送。归属网络的AMF根据存储的SUCI与SUPI对应关系表查找与该SUPI 相同的SUPI,并将新的SUCI与原有的SUCI进行匹配。归属网络的AMF通知SMF、PCF和CHF将原有的SUCI更换为当前新的SUCI。漫游网络的AMF随后给归属网络的AUSF以及终端发送确认消息,表示三者AKA鉴权成功,同时,归属网络的计费系统的用户标识也都改为新的SUCI。此外,计费系统将新的SUCI 标识和解密后的SUPI标识的对应关系保存至预存的SUCI与SUPI对应关系表中,或将SUCI与SUPI对应关系表中该SUPI标识对应的原有的上一SUCI标识修改成当前SUCI标识,以便能够在更新频率内及时找到当前SUCI所对应的SUPI。
当漫游网络建立PDU会话期间,漫游网络的SMF会通知 AMF和终端不可进行SUCI的替换,否则容易造成话单记录的错乱,SMF建立会话后可以向终端发送例如:推迟SUCI更新的时间指令等。
本实施例提供的漫游场景下的用户标识认定方法,通过采用当前SUCI标识作为用户标识,保证了用户SUPI的安全性,同时,通过当前SUCI标识中的加密模式标识可以判断是否需要向归属网络发送鉴权请求,即若是标准加密模式标识,则代表上一SUCI 已超过更新周期,为了保持SUCI的新鲜度,需要生成新的SUCI 并向归属网络发送鉴权请求,实现对SUCI更新频率的控制;若是非标准加密模式标识,则代表上一SUCI未超过更新周期,为了避免因频繁向归属网络发送鉴权请求而给归属网络造成负担,以及为了提高漫游网络的效率,在更新周期内,通过将上一SUCI的用户标识密文直接复制,生成新的SUCI,并直接将其作为用户标识,从而使得漫游网络在不用对当前SUCI标识进行解密的情况下实现对用户标识的认定,解决了现有技术中漫游场景下采用明文 SUPI作为用户标识不利于用户SUPI在漫游地的隐私保护,以及采用漫游地的TMSI作为用户标识容易造成漫游地单方乱扣费问题。
实施例2:
如图2所示,本实施例提供一种漫游场景下的用户标识认定方法,应用于漫游终端,包括以下步骤:
步骤S202:判断本次漫游是否是当前漫游网络下的初次漫游;
步骤S204:若不是初次漫游,则进一步判断上一SUCI标识是否超过更新周期;
步骤S206:若未超过更新周期,则根据上一SUCI生成当前 SUCI标识,所述当前SUCI标识包括加密模式标识和用户标识密文,所述当前SUCI标识的加密模式标识为非标准加密模式标识,所述当前SUCI标识的用户标识密文与所述上一SUCI的用户标识密文相同;
步骤S208:向所述漫游网络发送注册请求,所述注册请求携带所述当前SUCI标识。
优选地,所述方法还可以包括:
若是初次漫游,则生成新的SUCI标识作为当前SUCI标识,所述当前SUCI标识包括加密模式标识和用户标识密文,所述当前SUCI标识的加密模式标识为标准加密模式标识;
保存所述当前SUCI标识以及所述当前SUCI标识的生成时间点;
向所述漫游网络发送注册请求,所述注册请求携带所述当前 SUCI标识。
优选地,所述方法还可以包括:
若上一SUCI标识超过更新周期,则重新生成新的SUCI标识作为当前SUCI标识,所述新的SUCI标识包括加密模式标识和用户标识密文,所述新的SUCI标识的加密模式标识为标准加密模式标识;
保存所述当前SUCI标识以及所述当前SUCI标识的生成时间点;
向所述漫游网络发送注册请求,所述注册请求携带所述当前 SUCI标识。
优选地,所述重新生成新的SUCI标识,可以包括:
生成新的私钥,并依次采用所述私钥和归属网络的公钥对所述漫游终端的SUPI标识进行加密,得到SUPI加密后的密文;
根据所述SUPI加密后的密文生成新的SUCI标识,其中,所述新的SUCI标识包括加密模式标识和用户标识密文,所述新的 SUCI标识的加密模式标识为标准加密模式标识,所述新的SUCI 标识的用户标识密文为所述SUPI加密后的密文。
实施例3:
如图3所示,本实施例提供一种漫游场景下的计费方法,包括:
步骤S302:根据实施例1所述的漫游场景下的用户标识认定方法获取当前SUCI标识;以及,
步骤S304:生成与所述当前SUCI标识对应的话单文件,其中,所述话单文件的文件名包含所述当前SUCI标识;
步骤S306:获取预存的SUCI与SUPI对应关系表中所述当前SUCI标识所对应的SUPI标识;
步骤S308:根据所述当前SUCI标识对应的话单文件对所述 SUPI标识对应的用户进行计费处理。
优选地,所述根据所述当前SUCI标识对应的话单文件对所述SUPI标识对应的用户进行计费处理的步骤之后,所述方法还可以包括:
将上一SUCI标识所对应的话单文件的文件名中的上一SUCI 标识替换为当前SUCI标识。
优选地,根据实施例1所述的漫游场景下的用户标识认定方法获取当前SUCI标识,所述方法还可以包括:
将当前SUCI标识和解密后的SUPI标识的对应关系保存至预存的SUCI与SUPI对应关系表中。
实施例4:
如图4所示,本实施例提供一种接入及移动性管理功能实体 AMF,包括:
接收模块20,用于接收漫游终端发送的注册请求,注册请求携带当前SUCI标识,当前SUCI标识包括加密模式标识和用户标识密文;
判断模块21,与接收模块20连接,用于判断加密模式标识是否为标准加密模式标识;
认定模块22,与判断模块21连接,用于若判断结果为否,则将当前SUCI标识作为用户标识。
优选地,所述AMF还可以包括:
鉴权模块,与判断模块21连接,用于若判断结果为是,则向所述漫游终端所在的归属网络发送鉴权请求,以使所述归属网络对所述漫游终端进行鉴权;
SUPI接收模块,用于接收所述归属网络发送的所述当前SUCI 标识和对所述用户标识密文解密后的SUPI标识,并将解密后的 SUPI标识作为用户标识。
实施例2至实施例4提供的漫游场景下的用户标识认定方法、计费方法及AMF,通过采用当前SUCI标识作为用户标识,保证了用户SUPI的安全性,同时,通过当前SUCI标识中的加密模式标识可以判断是否需要向归属网络发送鉴权请求,即若是标准加密模式标识,则代表上一SUCI已超过更新周期,为了保持SUCI 的新鲜度,需要生成新的SUCI并向归属网络发送鉴权请求,实现对SUCI更新频率的控制;若是非标准加密模式标识,则代表上一 SUCI未超过更新周期,为了避免因频繁向归属网络发送鉴权请求而给归属网络造成负担,以及为了提高漫游网络的效率,在更新周期内,通过将上一SUCI的用户标识密文直接复制,生成新的 SUCI,并直接将其作为用户标识,从而使得漫游网络在不用对当前SUCI标识进行解密的情况下实现对用户标识的认定,解决了现有技术中漫游场景下采用明文SUPI作为用户标识不利于用户 SUPI在漫游地的隐私保护,以及采用漫游地的TMSI作为用户标识容易造成漫游地单方乱扣费问题。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。
Claims (4)
1.一种漫游场景下的用户标识认定方法,其特征在于,应用于漫游终端,所述方法包括:
判断本次漫游是否是当前漫游网络下的初次漫游;
若不是初次漫游,则进一步判断上一SUCI标识是否超过更新周期;
若未超过更新周期,则根据上一SUCI生成当前SUCI标识,所述当前SUCI标识包括加密模式标识和用户标识密文,所述当前SUCI标识的加密模式标识为非标准加密模式标识,所述当前SUCI标识的用户标识密文与所述上一SUCI的用户标识密文相同;
向所述漫游网络发送注册请求,所述注册请求携带所述当前SUCI标识。
2.根据权利要求1所述的漫游场景下的用户标识认定方法,其特征在于,所述方法还包括:
若是初次漫游,则生成新的SUCI标识作为当前SUCI标识,所述当前SUCI标识包括加密模式标识和用户标识密文,所述当前SUCI标识的加密模式标识为标准加密模式标识;
保存所述当前SUCI标识以及所述当前SUCI标识的生成时间点;
向所述漫游网络发送注册请求,所述注册请求携带所述当前SUCI标识。
3.根据权利要求1所述的漫游场景下的用户标识认定方法,其特征在于,所述方法还包括:
若上一SUCI标识超过更新周期,则重新生成新的SUCI标识作为当前SUCI标识,所述新的SUCI标识包括加密模式标识和用户标识密文,所述新的SUCI标识的加密模式标识为标准加密模式标识;
保存所述当前SUCI标识以及所述当前SUCI标识的生成时间点;
向所述漫游网络发送注册请求,所述注册请求携带所述当前SUCI标识。
4.根据权利要求3所述的漫游场景下的用户标识认定方法,其特征在于,所述重新生成新的SUCI标识,包括:
生成新的私钥,并依次采用所述私钥和归属网络的公钥对所述漫游终端的SUPI标识进行加密,得到SUPI加密后的密文;
根据所述SUPI加密后的密文生成新的SUCI标识,其中,所述新的SUCI标识包括加密模式标识和用户标识密文,所述新的SUCI标识的加密模式标识为标准加密模式标识,所述新的SUCI标识的用户标识密文为所述SUPI加密后的密文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011090814.0A CN112235736B (zh) | 2020-10-13 | 2020-10-13 | 漫游场景下的用户标识认定方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011090814.0A CN112235736B (zh) | 2020-10-13 | 2020-10-13 | 漫游场景下的用户标识认定方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112235736A CN112235736A (zh) | 2021-01-15 |
| CN112235736B true CN112235736B (zh) | 2022-04-15 |
Family
ID=74113476
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011090814.0A Active CN112235736B (zh) | 2020-10-13 | 2020-10-13 | 漫游场景下的用户标识认定方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112235736B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108848502A (zh) * | 2018-05-18 | 2018-11-20 | 兴唐通信科技有限公司 | 一种利用5g-aka对supi进行保护的方法 |
| CN110475247A (zh) * | 2018-05-11 | 2019-11-19 | 电信科学技术研究院有限公司 | 消息处理方法及装置 |
| WO2020095938A1 (en) * | 2018-11-06 | 2020-05-14 | Nec Corporation | Apparatus and method |
| CN111327432A (zh) * | 2018-12-14 | 2020-06-23 | 中兴通讯股份有限公司 | 计费处理方法及装置、存储介质和电子装置 |
-
2020
- 2020-10-13 CN CN202011090814.0A patent/CN112235736B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110475247A (zh) * | 2018-05-11 | 2019-11-19 | 电信科学技术研究院有限公司 | 消息处理方法及装置 |
| CN108848502A (zh) * | 2018-05-18 | 2018-11-20 | 兴唐通信科技有限公司 | 一种利用5g-aka对supi进行保护的方法 |
| WO2020095938A1 (en) * | 2018-11-06 | 2020-05-14 | Nec Corporation | Apparatus and method |
| CN111327432A (zh) * | 2018-12-14 | 2020-06-23 | 中兴通讯股份有限公司 | 计费处理方法及装置、存储介质和电子装置 |
Non-Patent Citations (2)
| Title |
|---|
| 3GPP Technical Specification Group Services and System Aspects.3GPP TS33.501 V15.10.0.《Security architecture and procedures for 5G system(release 15)》.2020,5.2.5,5.8.2, 5.8a,6.1.2,6.12.2,6.12.4,B2.1.1. * |
| 3GPP TS33.501 V15.10.0;3GPP Technical Specification Group Services and System Aspects;《Security architecture and procedures for 5G system(release 15)》;20200925;5.2.5,5.8.2, 5.8a,6.1.2,6.12.2,6.12.4,B2.1.1 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112235736A (zh) | 2021-01-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108848502B (zh) | 一种利用5g-aka对supi进行保护的方法 | |
| US11228442B2 (en) | Authentication method, authentication apparatus, and authentication system | |
| CN101606372B (zh) | 支持无uicc呼叫 | |
| EP3726797B1 (en) | Key distribution method, device and system | |
| US7200383B2 (en) | Subscriber authentication for unlicensed mobile access signaling | |
| CN101322428B (zh) | 用于传递密钥信息的方法和设备 | |
| JP4475377B2 (ja) | 無線通信システム、共通鍵管理サーバ、および無線端末装置 | |
| KR101438243B1 (ko) | Sim 기반 인증방법 | |
| CN111147421B (zh) | 一种基于通用引导架构gba的认证方法及相关设备 | |
| JP2003501891A (ja) | 安全に通信するための方法及び装置 | |
| CN105142136B (zh) | 一种防伪基站攻击的方法 | |
| CN113228721B (zh) | 通信方法和相关产品 | |
| JPH1098774A (ja) | 加入者を認証するための及び/又は情報をコード化するための方法及び装置 | |
| CN108235300B (zh) | 移动通信网络用户数据安全保护方法及系统 | |
| CN117041955A (zh) | 签约数据更新方法、装置、节点和存储介质 | |
| US7136646B1 (en) | Method and apparatus for electing an identification confirmation information | |
| Angermeier et al. | PAL-privacy augmented LTE: A privacy-preserving scheme for vehicular LTE communication | |
| CN111988777B (zh) | 一号双终端业务的处理方法及核心网设备、服务器 | |
| EP3673675B1 (en) | Registering user equipment with a visited public land mobile network | |
| EP3518491A1 (en) | Registering or authenticating user equipment to a visited public land mobile network | |
| CN112235736B (zh) | 漫游场景下的用户标识认定方法 | |
| US11381387B2 (en) | Proof-of-presence indicator | |
| EP3439344A1 (en) | Registering user equipment to a visited public land mobile network | |
| KR20140039674A (ko) | 이동 통신 시스템에서 단말의 보안 관리 방법 및 장치 | |
| KR20140055675A (ko) | 이동통신망에서 지리 정보를 이용한 무선랜 선인증 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |