CN117062054A - 通信方法和装置 - Google Patents

通信方法和装置 Download PDF

Info

Publication number
CN117062054A
CN117062054A CN202210488627.0A CN202210488627A CN117062054A CN 117062054 A CN117062054 A CN 117062054A CN 202210488627 A CN202210488627 A CN 202210488627A CN 117062054 A CN117062054 A CN 117062054A
Authority
CN
China
Prior art keywords
user
identifier
pseudo
identity
permanent
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210488627.0A
Other languages
English (en)
Inventor
诺阿门·本·亨达
胡力
吴�荣
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202210488627.0A priority Critical patent/CN117062054A/zh
Priority to PCT/CN2023/090190 priority patent/WO2023213205A1/zh
Publication of CN117062054A publication Critical patent/CN117062054A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent

Abstract

本申请提供了一种通信方法和装置,其中,在一种实现方式中,该通信方式应用于通用集成电路卡,通用集成电路卡配置有用户永久标识以及该用户永久标识对应的伪标识,该方法包括:该通用集成电路卡根据该伪标识生成用户隐藏标识,其中,该伪标识中包含的用户名的长度和该用户永久标识中包含的用户名的长度不同,且该伪标识中包含的用户名的长度大于第一阈值且小于第二阈值,然后该通用集成电路卡向移动设备发送该用户隐藏标识。通过上述方案可以提高用户的隐私安全。

Description

通信方法和装置
技术领域
本申请涉及通信技术领域,尤其涉及一种通信方法和装置。
背景技术
用户永久标识(subscription permanent identifier,SUPI)是运营商或第三方为用户分配的的全球唯一的永久标识符。在5G通信过程中,为了防止在空口暴露用户的SUPI,可以对SUPI进行加密计算得到用户隐藏标识(subscription concealedidentifier,SUCI),用户可以使用SUCI进行网络注册。
然而在某些情况下,使用SUCI进行网络注册仍然有可能泄露用户的身份,导致用户的隐私泄露。如何提高用户的隐私安全是当前需要考虑的问题。
发明内容
本申请提供了一种通信方法,可以提高用户的隐私安全。
第一方面,提供了一种应用于通用集成电路卡的通信方法,其中,该通用集成电路卡配置有用户永久标识以及该用户永久标识对应的伪标识,该方法包括:该通用集成电路卡根据该伪标识生成用户隐藏标识,其中,该伪标识中包含的用户名的长度和该用户永久标识中包含的用户名的长度不同,且该伪标识中包含的用户名的长度大于第一阈值且小于第二阈值;该通用集成电路卡向移动设备发送该用户隐藏标识。
在上述方案中,通用集成电路卡根据伪标识生成用户隐藏标识。由于伪标识包含的用户名的长度大于第一阈值且小于第二阈值,因此生成的用户隐藏标识的长度也大于第一阈值且小于第二阈值,因此可以防止因用户隐藏标识的长度过长或多短(如大于第二阈值或小于第一阈值),导致攻击者可以根据用户隐藏标识的长度推测出用户身份的情况,从而可以保护用户的隐私。
结合第一方面,在第一方面的某些实现方式中,该方法还包括:该通用集成电路卡接收来自该移动设备的用户标识请求消息;响应于该用户标识请求消息,该通用集成电路卡将该用户永久标识发送给该移动设备。
结合第一方面,在第一方面的某些实现方式中,该用户永久标识包含的用户名的长度小于该第一阈值或者大于该第二阈值。
在上述方案中,在用户永久标识包含的用户名的长度过长或者过短(即大于第二阈值或小于第一阈值)的情况下,采用伪标识而非用户永久标识生成用户隐藏标识,可以防止因用户隐藏标识的长度过长或多短,导致攻击者可以根据用户隐藏标识的长度推测出用户身份的情况,从而可以保护用户的隐私。
结合第一方面,在第一方面的某些实现方式中,该第一阈值和该第二阈值的取值由运营商网络中签约的多个用户永久标识包含的用户名的长度分布决定。结合第一方面,在第一方面的某些实现方式中,该方法还包括:该通用集成电路卡确定加密算法;该通用集成电路卡根据该伪标识生成用户隐藏标识,具体为:在该加密算法为非空算法的情况下,该通用集成电路卡根据该伪标识以及该加密算法生成用户隐藏标识。
在上述方案中,在用于生成伪标识的加密算法为非空算法的情况下,通用集成电路卡才根据伪标识以及该非空加密算法生成用户隐藏标识。换句话说,在用于生成伪标识的加密算法为空算法的时候,说明用户并没有相应的安全需求,在这种情况下,通用集成电路卡可以不使用伪标识,而使用用户永久标识生成用户隐藏标识。
结合第一方面,在第一方面的某些实现方式中,该用户隐藏标识包括第一指示信息,该第一指示信息用于指示该用户隐藏标识是通过该伪标识生成的。
在上述方案中,可以在用户隐藏标识中携带第一指示信息,以便其他网元(如数据管理网元)可以根据该第一指示信息确定该用户隐藏标识是根据伪标识生成的。
结合第一方面,在第一方面的某些实现方式中,该伪标识包括第二指示信息,该第二指示信息用于指示该伪标识中包含的用户名为映射的用户名。
在上述方案中,可以在伪标识中携带第二指示信息,以便其他网元(如数据管理网元)可以根据该第二指示信息确定该用户隐藏标识是根据伪标识生成的。
结合第一方面,在第一方面的某些实现方式中,该伪标识和该用户永久标识均采用网络接入标识格式来表征。
第二方面,提供了通信方法,该方法可以由数据管理网元执行,或者,也可以由数据管理网元的组成部件(例如芯片或者电路)执行,对此不作限定。为了便于描述,下面以由数据管理网元执行为例进行说明。该数据管理网元配置有用户永久标识以及该用户永久标识对应的伪标识,该方法包括:该数据管理网元接收来自鉴权服务功能网元的请求消息,该请求消息包括用户隐藏标识;该数据管理网元对该用户隐藏标识进行解密获得该伪标识;该数据管理网元根据该伪标识确定该用户永久标识,该伪标识中包含的用户名的长度和该用户永久标识中包含的用户名长度不同,该伪标识中包含的用户名的长度大于第一阈值且小于第二阈值;该数据管理网元向该鉴权服务功能网元发送响应消息,该响应消息包括该用户永久标识。
在上述方案中,数据管理网元获取用户隐藏标识之后,通过对用户隐藏标识进行解密获得伪标识,并根据为伪标识确定用户永久标识,并使用该用户永久标识执行后续流程。由于伪标识中包含的用户名的长度大于第一阈值且小于第二阈值,因此用户隐藏标识的长度也大于第一阈值且小于第二阈值,因此可以防止因用户隐藏标识的长度过长或多短(如大于第二阈值或小于第一阈值),导致攻击者可以根据用户隐藏标识的长度推测出用户身份的情况,从而可以保护用户的隐私。
结合第二方面,在第二方面的某些实现方式中,该用户永久标识包含的用户名的长度小于该第一阈值或者大于该第二阈值。
结合第二方面,在第二方面的某些实现方式中,该第一阈值和该第二阈值的取值由运营商网络中签约的多个用户永久标识包含的用户名的长度分布决定。
结合第二方面,在第二方面的某些实现方式中,该数据管理网元根据该伪标识确定该用户永久标识,包括:在该用户隐藏标识包括第一指示信息的情况下,该数据管理网元根据该伪标识确定该用户永久标识,该第一指示信息用于指示该用户隐藏标识是通过该伪标识生成的。
在上述方案中,数据管理网元可以根据第一指示信息确定该用户隐藏标识是通过伪标识生成的,基于此,数据管理网元可以根据该伪标识确定出用户的真实身份,即确定用户永久标识。
结合第二方面,在第二方面的某些实现方式中,该数据管理网元根据该伪标识确定该用户永久标识,包括:在该伪标识包括第二指示信息的情况下,该数据管理网元根据该伪标识确定该用户永久标识,该第二指示信息用于指示该用户隐藏标识是通过该伪标识生成。
在上述方案中,数据管理网元可以根据第二指示信息确定该用户隐藏标识是通过伪标识生成的,基于此,数据管理网元可以根据该伪标识确定出用户的真实身份,即确定用户永久标识。
结合第二方面,在第二方面的某些实现方式中,该数据管理网元根据该伪标识确定该用户永久标识,包括:在该数据管理网元没有存储与该伪标识对应的签约数据的情况下,该数据管理网元根据该伪标识确定用户永久标识。
在上述方案中,数据管理网元确定没有存储与该伪标识对应的签约数据的情况下,数据管理网元并不直接执行认证失败的流程,而是根据该伪标识确定对应的用户永久标识。
结合第二方面,在第二方面的某些实现方式中,该伪标识和该用户永久标识均采用网络接入标识格式来表征。
第三方面,提供了一种通信方法,该方法包括:移动设备从通用集成电路卡获得用户永久标识和该用户永久标识对应的伪标识,该伪标识中包含的用户名的长度和该用户永久标识中包含的用户名的长度不同,且该伪标识中包含的用户名的长度大于第一阈值且小于第二阈值;该移动设备根据该伪标识,生成用户隐藏标识;该移动设备向移动管理网元发送注册请求消息,该注册请求消息包括该用户隐藏标识;该移动设备接收来自该移动管理网元的认证完成消息;响应于该认证完成消息,该移动设备根据该用户永久标识生成与该移动管理网元通信使用的密钥。
基于上述方案,移动设备从通用集成电路卡获取伪标识之后,根据伪标识生成用户隐藏标识,并使用该伪标识发起注册流程。由于伪标识中包含的用户名的长度大于第一阈值且小于第二阈值,因此用户隐藏标识的长度也大于第一阈值且小于第二阈值,因此可以防止因用户隐藏标识的长度过长或多短(如大于第二阈值或小于第一阈值),导致攻击者可以根据用户隐藏标识的长度推测出用户身份的情况,从而可以保护用户的隐私。
结合第三方面,在第三方面的某些实现方式中,该用户永久标识包含的用户名的长度小于该第一阈值或者大于该第二阈值。
结合第三方面,在第三方面的某些实现方式中,该第一阈值和该第二阈值的取值由运营商网络中签约的多个用户永久标识包含的用户名的长度分布决定。
结合第三方面,在第三方面的某些实现方式中,该用户隐藏标识包括第一指示信息,该第一指示信息用于指示该用户隐藏标识是通过该伪标识生成的。
在上述方案中,可以在用户隐藏标识中携带第一指示信息,以便其他网元(如数据管理网元)可以根据该第一指示信息确定该用户隐藏标识是根据伪标识生成的。
结合第三方面,在第三方面的某些实现方式中,该伪标识包括第二指示信息,该第二指示信息用于指示该伪标识中包含的用户名为映射的用户名。
在上述方案中,可以在伪标识中携带第二指示信息,以便其他网元(如数据管理网元)可以根据该第二指示信息确定该用户隐藏标识是根据伪标识生成的。
结合第三方面,在第三方面的某些实现方式中,该移动设备从通用集成电路卡获得用户永久标识和该用户永久标识对应的伪标识,包括:该移动设备向该通用集成电路卡发送用户标识请求消息;该移动设备接收来自该通用集成电路卡的该用户永久标识和该伪标识。
结合第三方面,在第三方面的某些实现方式中,该移动设备从通用集成电路卡获得用户永久标识和该用户永久标识对应的伪标识,包括:该移动设备向该通用集成电路卡发送用户标识请求消息;该移动设备接收来自该通用集成电路卡的该用户永久标识;该移动设备向该通用集成电路卡发送计算信息请求消息;该移动设备接收来自该通用集成电路卡的公钥和该伪标识,该公钥用于生成该用户隐藏标识。
结合第三方面,在第三方面的某些实现方式中,该伪标识和该用户永久标识均采用网络接入标识格式来表征。
第四方面,提供了一种通信方法,该方法包括:移动设备接收来自通用集成电路卡的用户永久标识;该移动设备判断该用户永久标识的用户名的长度是否大于该第二阈值,或小于该第一阈值;在该用户永久标识的用户名的长度大于该第二阈值,或小于该第一阈值的情况下,该数据管理网元根据该用户永久标识生成伪标识;该移动设备根据该伪标识生成该用户隐藏标识;该移动设备向移动管理网元发送注册请求消息,该注册请求消息包括该用户隐藏标识。
结合第四方面,在第四方面的某些实现方式中,该移动设备根据该用户永久标识生成该伪标识,包括:该移动设备将该用户永久标识的域名作为该伪标识的域名;该移动设备对该用户永久标识的用户名进行哈希运算生成该伪标识的用户名。
结合第四方面,在第四方面的某些实现方式中,该方法还包括:该移动设备接收来自该通用集成电路卡的该第一阈值和该第二阈值。
结合第四方面,在第四方面的某些实现方式中,该用户隐藏标识包括第一指示信息,该第一指示信息用于指示该用户隐藏标识是通过该伪标识生成的。
结合第四方面,在第四方面的某些实现方式中,该伪标识包括第二指示信息,该第二指示信息用于指示该伪标识中包含的用户名为映射的用户名。
结合第四方面,在第四方面的某些实现方式中,该伪标识和该用户永久标识均采用网络接入标识来表征。
第五方面,提供了一种通信方法,该方法包括:通用集成电路卡获取伪标识,该伪标识与用户永久标识对应,该伪标识的用户名的长度和该用户永久标识的用户名的长度不同,该伪标识的用户名的长度大于第一阈值且小于第二阈值;该通用集成电路卡向该移动设备发送伪标识。
结合第五方面,在第五方面的某些实现方式中,该伪标识的用户名包括指示信息,该指示信息用于指示该用户隐藏标识是通过该伪标识生成的。
结合第五方面,在第五方面的某些实现方式中,通用集成电路卡获取伪标识,包括:该通用集成电路卡判断该用户永久标识的用户名的长度是否大于该第二阈值,或小于该第一阈值;在该用户永久标识包含的用户名的长度大于该第二阈值,或小于该第一阈值的情况下,该通用集成电路卡根据该用户永久标识生成该伪标识。
结合第五方面,在第五方面的某些实现方式中,该通用集成电路卡根据该用户永久标识生成该伪标识,包括:该通用集成电路卡将该用户永久标识的域名作为该伪标识的域名;该通用集成电路卡对该用户永久标识的用户名进行哈希运算生成该伪标识的用户名。
结合第五方面,在第五方面的某些实现方式中,该伪标识和该用户永久标识均采用网络接入标识来表征。
第六方面,提供了一种通信装置,其中,该装置配置有用户永久标识以及该用户永久标识对应的伪标识,该装置包括:处理模块,用于根据该伪标识生成用户隐藏标识,其中,该伪标识中包含的用户名的长度和该用户永久标识中包含的用户名的长度不同,且该伪标识中包含的用户名的长度大于第一阈值且小于第二阈值;收发模块,用于向移动设备发送该用户隐藏标识。
结合第六方面,在第六方面的某些实现方式中,该收发模块,还用于接收来自该移动设备的用户标识请求消息;以及,将该用户永久标识发送给该移动设备。
结合第六方面,在第六方面的某些实现方式中,该用户永久标识包含的用户名的长度小于该第一阈值或者大于该第二阈值。
结合第六方面,在第六方面的某些实现方式中,该第一阈值和该第二阈值的取值由运营商网络中签约的多个用户永久标识包含的用户名的长度分布决定。
结合第六方面,在第六方面的某些实现方式中,该处理模块,还用于确定加密算法;该处理模块,具体用于在该加密算法为非空算法的情况下,该通用集成电路卡根据该伪标识以及该加密算法生成用户隐藏标识。
结合第六方面,在第六方面的某些实现方式中,该用户隐藏标识包括第一指示信息,该第一指示信息用于指示该用户隐藏标识是通过该伪标识生成的。
结合第六方面,在第六方面的某些实现方式中,该伪标识包括第二指示信息,该第二指示信息用于指示该伪标识中包含的用户名为映射的用户名。
结合第六方面,在第六方面的某些实现方式中,该伪标识和该用户永久标识均采用网络接入标识格式来表征。
第七方面,提供了一种通信装置,该装置配置有用户永久标识以及该用户永久标识对应的伪标识,该装置包括:收发模块,用于接收来自鉴权服务功能网元的请求消息,该请求消息包括用户隐藏标识;处理模块,用于对该用户隐藏标识进行解密获得该伪标识;以及,根据该伪标识确定该用户永久标识,该伪标识中包含的用户名的长度和该用户永久标识中包含的用户名长度不同,该伪标识中包含的用户名的长度大于第一阈值且小于第二阈值;该收发模块,还用于向该鉴权服务功能网元发送响应消息,该响应消息包括该用户永久标识。
结合第七方面,在第七方面的某些实现方式中,该用户永久标识包含的用户名的长度小于该第一阈值或者大于该第二阈值。
结合第七方面,在第七方面的某些实现方式中,该第一阈值和该第二阈值的取值由运营商网络中签约的多个用户永久标识包含的用户名的长度分布决定。
结合第七方面,在第七方面的某些实现方式中,在该用户隐藏标识包括第一指示信息的情况下,该处理模块,具体用于根据该伪标识确定该用户永久标识,该第一指示信息用于指示该用户隐藏标识是通过该伪标识生成的。
结合第七方面,在第七方面的某些实现方式中,在该伪标识包括第二指示信息的情况下,该处理模块,具体用于根据该伪标识确定该用户永久标识,该第二指示信息用于指示该用户隐藏标识是通过该伪标识生成。
结合第七方面,在第七方面的某些实现方式中,在该数据管理网元没有存储与该伪标识对应的签约数据的情况下,该处理模块,具体用于根据该伪标识确定用户永久标识。
结合第七方面,在第七方面的某些实现方式中,该伪标识和该用户永久标识均采用网络接入标识格式来表征。
第八方面,提供了一种通信装置,该装置包括:收发模块,用于从通用集成电路卡获得用户永久标识和该用户永久标识对应的伪标识,该伪标识中包含的用户名的长度和该用户永久标识中包含的用户名的长度不同,且该伪标识中包含的用户名的长度大于第一阈值且小于第二阈值;处理模块,用于根据该伪标识,生成用户隐藏标识;该收发模块,还用于向移动管理网元发送注册请求消息,该注册请求消息包括该用户隐藏标识;该移动设备接收来自该移动管理网元的认证完成消息;该处理模块,还用于根据该用户永久标识生成与该移动管理网元通信使用的密钥。
结合第八方面,在第八方面的某些实现方式中,该用户永久标识包含的用户名的长度小于该第一阈值或者大于该第二阈值。
结合第八方面,在第八方面的某些实现方式中,该第一阈值和该第二阈值的取值由运营商网络中签约的多个用户永久标识包含的用户名的长度分布决定。
结合第八方面,在第八方面的某些实现方式中,该用户隐藏标识包括第一指示信息,该第一指示信息用于指示该用户隐藏标识是通过该伪标识生成的。
结合第八方面,在第八方面的某些实现方式中,该伪标识包括第二指示信息,该第二指示信息用于指示该伪标识中包含的用户名为映射的用户名。
结合第八方面,在第八方面的某些实现方式中,该收发模块,具体用于向该通用集成电路卡发送用户标识请求消息;以及接收来自该通用集成电路卡的该用户永久标识和该伪标识。
结合第八方面,在第八方面的某些实现方式中,该收发模块,具体用于向该通用集成电路卡发送用户标识请求消息;接收来自该通用集成电路卡的该用户永久标识;向该通用集成电路卡发送计算信息请求消息;接收来自该通用集成电路卡的公钥和该伪标识,该公钥用于生成该用户隐藏标识。
结合第八方面,在第八方面的某些实现方式中,该伪标识和该用户永久标识均采用网络接入标识格式来表征。
第九方面,提供了一种通信装置,该装置包括:收发模块,用于接收来自通用集成电路卡的用户永久标识;处理模块,用于判断该用户永久标识的用户名的长度是否大于该第二阈值,或小于该第一阈值;处理模块,还用于在该用户永久标识的用户名的长度大于该第二阈值,或小于该第一阈值的情况下,根据该用户永久标识生成伪标识;根据该伪标识生成该用户隐藏标识;该收发模块,还用于向移动管理网元发送注册请求消息,该注册请求消息包括该用户隐藏标识。
结合第九方面,在第九方面的某些实现方式中,该处理模块,具体用于将该用户永久标识的域名作为该伪标识的域名;对该用户永久标识的用户名进行哈希运算生成该伪标识的用户名。
结合第九方面,在第九方面的某些实现方式中,该装置还包括:该收发模块,还用于接收来自该通用集成电路卡的该第一阈值和该第二阈值。
结合第九方面,在第九方面的某些实现方式中,该用户隐藏标识包括第一指示信息,该第一指示信息用于指示该用户隐藏标识是通过该伪标识生成的。
结合第九方面,在第九方面的某些实现方式中,该伪标识包括第二指示信息,该第二指示信息用于指示该伪标识中包含的用户名为映射的用户名。
结合第九方面,在第九方面的某些实现方式中,该伪标识和该用户永久标识均采用网络接入标识来表征。
第十方面,提供了一种通信装置,该装置包括:处理模块,用于获取伪标识,该伪标识与用户永久标识对应,该伪标识的用户名的长度和该用户永久标识的用户名的长度不同,该伪标识的用户名的长度大于第一阈值且小于第二阈值;收发模块,用于向该移动设备发送伪标识。
结合第十方面,在第十方面的某些实现方式中,该伪标识的用户名包括指示信息,该指示信息用于指示该用户隐藏标识是通过该伪标识生成的。
结合第十方面,在第十方面的某些实现方式中,该处理模块,具体用于判断该用户永久标识的用户名的长度是否大于该第二阈值,或小于该第一阈值;在该用户永久标识包含的用户名的长度大于该第二阈值,或小于该第一阈值的情况下,根据该用户永久标识生成该伪标识。
结合第十方面,在第十方面的某些实现方式中,该处理模块,具体用于将该用户永久标识的域名作为该伪标识的域名;对该用户永久标识的用户名进行哈希运算生成该伪标识的用户名。
结合第十方面,在第十方面的某些实现方式中,该伪标识和该用户永久标识均采用网络接入标识来表征。
第十一方面,提供通信装置,该装置用于执行上述第一方面至第五方面提供的任一方法。具体地,该装置可以包括用于执行第一方面至第五方面提供的方法的单元和/或模块,如处理模块和/或收发模块(也可以成为通信模块)。
在一种实现方式中,该装置为通用集成电路卡。或者为通用集成电路卡中的芯片、芯片系统或电路。当该装置为通用集成电路卡中的芯片、芯片系统或电路时,通信模块可以是该芯片、芯片系统或电路上的输入/输出接口、接口电路、输出电路、输入电路、管脚或相关电路等;处理模块可以是处理器、处理电路或逻辑电路等。在该情况下,该装置可以包括用于执行第一方面或第五方面提供的方法的单元和/或模块,如处理单元和/或通信单元。
又一种可能情况,该装置为数据管理网元,或者数据管理网元中的芯片、芯片系统或电路。在该情况下,该装置可以包括用于执行第二方面提供的方法的单元和/或模块,如处理模块和/或收发模块。
又一种可能情况,该装置为移动设备元,或者移动设备中的芯片、芯片系统或电路。在该情况下,该装置可以包括用于执行第三方面或第四方面提供的方法的单元和/或模块,如处理模块和/或收发模块。
可选地,上述收发器可以为收发电路。可选地,上述输入/输出接口可以为输入/输出电路。
可选地,上述收发器可以为收发电路。可选地,上述输入/输出接口可以为输入/输出电路。
第十二方面,提供一种通信装置,该装置包括:存储器,用于存储程序;处理器,用于执行存储器存储的程序,当存储器存储的程序被执行时,处理器用于执行上述第一方面至第五方面提供的任一方法。
第十三方面,本申请提供一种处理器,用于执行上述各方面提供的方法。在执行这些方法的过程中,上述方法中有关发送上述信息和获取/接收上述信息的过程,可以理解为由处理器输出上述信息的过程,以及处理器接收输入的上述信息的过程。在输出上述信息时,处理器将该上述信息输出给收发器,以便由收发器进行发射。该上述信息在由处理器输出之后,还可能需要进行其他的处理,然后再到达收发器。类似的,处理器接收输入的上述信息时,收发器获取/接收该上述信息,并将其输入处理器。更进一步的,在收发器收到该上述信息之后,该上述信息可能需要进行其他的处理,然后再输入处理器。
基于上述原理,举例来说,前述方法中提及的接收请求消息可以理解为处理器接收输入的信息。
对于处理器所涉及的发射、发送和获取/接收等操作,如果没有特殊说明,或者,如果未与其在相关描述中的实际作用或者内在逻辑相抵触,则均可以更加一般性的理解为处理器输出和接收、输入等操作,而不是直接由射频电路和天线所进行的发射、发送和接收操作。
在实现过程中,上述处理器可以是专门用于执行这些方法的处理器,也可以是执行存储器中的计算机指令来执行这些方法的处理器,例如通用处理器。上述存储器可以为非瞬时性(non-transitory)存储器,例如只读存储器(read only memory,ROM),其可以与处理器集成在同一块芯片上,也可以分别设置在不同的芯片上,本申请实施例对存储器的类型以及存储器与处理器的设置方式不做限定。
第十四方面,提供一种计算机可读存储介质,该计算机可读介质存储用于设备执行的程序代码,该程序代码包括用于执行上述第一方面至第五方面提供的任一方法。
第十五方面,提供一种包含指令的计算机程序产品,当该计算机程序产品在计算机上运行时,使得计算机执行上述第一方面至第五方面提供的任一方法。
第十六方面,提供一种芯片,该芯片包括处理器与通信接口,该处理器通过该通信接口读取存储器上存储的指令,执行上述第一方面至第五方面提供的任一方法。
可选地,作为一种实现方式,该芯片还可以包括存储器,该存储器中存储有指令,该处理器用于执行该存储器上存储的指令,当该指令被执行时,该处理器用于执行上述第一方面至第五方面提供的任一方法。
第十七方面,提供一种终端设备,包括前述通用集成电路卡和所述移动设备。
第十八方面,提供了一种通信系统,包括前述会话管理网元。
可选地,该通信系统还可以包括上述通用集成电路卡。
可选地,该通信系统还可以包括上述移动设备。
附图说明
图1的(a)和图1的(b)示出了本申请实施例适用的网络架构的示意图。
图2示出了一种用户隐藏标识的结构示意图。
图3示出了一种网络注册及认证流程300。
图4的(a)和图4的(b)示出了本申请实施例提供的方法400和方法410的示意性流程图。
图5的(a)示出了本申请实施例提供的方法500的示意性流程图。
图5的(b)示出了一种用户永久标识包含的用户名的的长度及用户永久标识的计数值的关系曲线图。
图6是本申请实施例提供的方法600的示意性流程图。
图7是本申请实施例提供的方法700的示意性流程图。
图8是本申请实施例提供的方法800的示意性流程图。
图9是本申请实施例提供的方法900的示意性流程图。
图10是本申请实施例提供的方法1000的示意性流程图。
图11是本申请实施例提供的方法1100的示意性流程图。
图12是本申请一个实施例提供的通信装置的示意性框图。
图13是本申请另一个实施例提供的通信装置的示意性框图。
图14是本申请又一个实施例提供的通信装置的示意性框图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述。方法实施例中的具体操作方法也可以应用于装置实施例或系统实施例中。其中,在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。
在本申请的各个实施例中,如果没有特殊说明以及逻辑冲突,不同的实施例之间的术语和/或描述具有一致性、且可以相互引用,不同的实施例中的技术特征根据其内在的逻辑关系可以组合形成新的实施例。
可以理解的是,在本申请中涉及的各种数字编号仅为描述方便进行的区分,并不用来限制本申请的范围。上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”以及其他各种术语标号等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本申请提供的技术方案可以应用于各种通信系统,例如:第五代(5thgeneration,5G)或新无线(new radio,NR)系统、长期演进(long term evolution,LTE)系统、LTE频分双工(frequency division duplex,FDD)系统、LTE时分双工(time divisionduplex,TDD)系统等。本申请提供的技术方案还可以应用于未来的通信系统,如第六代移动通信系统。本申请提供的技术方案还可以应用于设备到设备(device to device,D2D)通信,车到万物(vehicle-to-everything,V2X)通信,机器到机器(machine to machine,M2M)通信,机器类型通信(machine type communication,MTC),以及物联网(internet ofthings,IoT)通信系统或者其他通信系统。
下面将结合图1的(a)和图1的(b)举例说明本申请实施例适用的5G系统。应理解,本文中描述的5G系统仅是示例,不应对本申请构成任何限定。
还应理解,5G系统中某些网元之间可以采用服务化接口,或点对点的接口进行通信,下面结合图1的(a)和图1的(b)分别介绍基于点对点接口的5G系统框架,以及基于服务化接口的5G系统框架。
作为示例性说明,图1的(a)示出了本申请实施例适用的5G系统100的架构示意图。图1的(a)为基于点对点接口的5G网络架构示意图。如图1的(a)所示,该网络架构可以包括但不限于以下网元(或者称为功能网元、功能实体、节点、设备等):
(无线)接入网设备(radio access network,(R)AN)、接入和移动性管理功能(access and mobility management function,AMF)网元、会话管理功能(sessionmanagement function,SMF)网元、用户面功能(user plane function,UPF)网元、策略控制功能(policy control function,PCF)网元、统一数据管理(unified data management,UDM)网元、AF网元、数据网络(data network,DN)、网络切片选择功能(network sliceselection function,NSSF)、认证服务器功能(authentication server function,AUSF)、统一数据管理(unified data management,UDM)、BSF网元、统一数据存储(unified datarepository,UDR)等。
下面对图1的(a)中示出的各网元进行简单介绍:
1、用户设备(user equipment,UE):可以称为终端设备(terminal equipment)、终端装置、接入终端、用户单元、用户站、移动站、移动台(mobile station,MS)、移动终端(mobile terminal,MT)、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。终端设备可以是一种向用户提供语音/数据连通性的设备,例如,具有无线连接功能的手持式设备、车载设备等。目前,一些终端的举例可以为:手机(mobilephone)、平板电脑(pad)、带无线收发功能的电脑(如笔记本电脑、掌上电脑等)、移动互联网设备(mobile internet device,MID)、虚拟现实(virtual reality,VR)设备、增强现实(augmented reality,AR)设备、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端、蜂窝电话、无绳电话、会话启动协议(session initiation protocol,SIP)电话、无线本地环路(wireless localloop,WLL)站、个人数字助理(personal digital assistant,PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备,5G网络中的终端设备或者未来演进的公用陆地移动通信网络(public land mobile network,PLMN)中的终端设备等。
此外,终端设备还可以是物联网(Internet of things,IoT)系统中的终端设备。IoT是未来信息技术发展的重要组成部分,其主要技术特点是将物品通过通信技术与网络连接,从而实现人机互连,物物互连的智能化网络。IoT技术可以通过例如窄带(narrowband,NB)技术,做到海量连接,深度覆盖,终端省电。
此外,终端设备还可以包括智能打印机、火车探测器等,主要功能包括收集数据(部分终端设备)、接收网络设备的控制信息与下行数据,并发送电磁波,向网络设备传输上行数据。
应理解,用户设备可以是任何可以接入网络的设备。终端设备与接入网设备之间可以采用某种空口技术相互通信。
可选地,用户设备可以用于充当基站。例如,用户设备可以充当调度实体,其在V2X或D2D等中的用户设备之间提供侧行链路信号。比如,蜂窝电话和汽车利用侧行链路信号彼此通信。蜂窝电话和智能家居设备之间通信,而无需通过基站中继通信信号。
本申请实施例中的终端设备包括移动设备(mobile equipment,ME)和通用集成电路卡(universal integrated circuit card,UICC),其中该UICC是一种物理意义上的安全设备,例如IC卡(或智能卡),UICC可以从ME中插入和移除,UICC可以包括一个或多个应用程序。作为一种实现方式,UICC包括的应用程序中包括全球用户身份模块(universalsubscriber identity module,USIM)。可以理解的是,在一种可能的情况下,本申请实施例中UICC均可以替换成USIM。
2、(无线)接入网((radio)access network,(R)AN)设备:用于为特定区域的授权用户设备提供入网功能,并能够根据用户设备的级别,业务的需求等使用不同服务质量的传输隧道。
(R)AN能够管理无线资源,为用户设备提供接入服务,进而完成控制信号和用户设备数据在用户设备和核心网之间的转发,(R)AN也可以理解为传统网络中的基站。
示例性地,本申请实施例中的接入网设备可以是用于与用户设备通信的任意一种具有无线收发功能的通信设备。该接入网设备包括但不限为演进型节点B(evolved NodeB,eNB)或5G,如,NR,系统中的gNB,或,传输点(TRP或TP),5G系统中的基站的一个或一组(包括多个天线面板)天线面板,或者,还可以为构成gNB或传输点的网络节点,如基带单元(BBU),或,分布式单元(distributed unit,DU)等。
在一些部署中,gNB可以包括集中式单元(centralized unit,CU)和DU。gNB还可以包括有源天线单元(active antenna unit,AAU)。CU实现gNB的部分功能,DU实现gNB的部分功能。比如,CU负责处理非实时协议和服务,实现无线资源控制(radio resource control,RRC),分组数据汇聚层协议(packet data convergence protocol,PDCP)层的功能。DU负责处理物理层协议和实时服务,实现无线链路控制(radio link control,RLC)层、媒体接入控制(media access control,MAC)层和物理(physical,PHY)层的功能。AAU实现部分物理层处理功能、射频处理及有源天线的相关功能。由于RRC层的信息最终会变成PHY层的信息,或者,由PHY层的信息转变而来,因而,在这种架构下,高层信令,如RRC层信令,也可以认为是由DU发送的,或者,由DU+AAU发送的。可以理解的是,接入网设备可以为包括CU节点、DU节点、AAU节点中一项或多项的设备。此外,可以将CU划分为接入网(radio access network,RAN)中的接入网设备,也可以将CU划分为核心网(core network,CN)中的接入网设备,本申请对此不做限定。
3、用户面功能(user plane function,UPF)网元:用于分组路由和转发以及用户面数据的服务质量(quality of service,QoS)处理等。
在5G通信系统中,该用户面网元可以是用户面功能(user plane function,UPF)网元。在未来通信系统中,用户面网元仍可以是UPF网元,或者,还可以有其它的名称,本申请不做限定。
4、接入和移动管理功能(access and mobility management function,AMF)网元:接入和移动管理功能网元主要用于移动性管理和接入管理等,可以用于实现MME功能中除会话管理之外的其它功能,例如,接入授权/鉴权等功能。
在未来通信系统中,接入和移动管理设备仍可以是AMF,或者,还可以有其它的名称,本申请不做限定。
5、会话管理功能(session management function,SMF)网元:主要用于会话管理、用户设备的网络互连协议(internet protocol,IP)地址分配和管理、选择可管理用户平面功能、策略控制和收费功能接口的终结点以及下行数据通知等。
在未来通信系统中,会话管理网元仍可以是SMF网元,或者,还可以有其它的名称,本申请不做限定。
6、策略控制功能(policy control function,PCF)网元:用于指导网络行为的统一策略框架,为控制面功能网元(例如AMF,SMF等)提供策略规则信息等。
在未来通信系统中,策略控制网元仍可以是PCF网元,或者,还可以有其它的名称,本申请不做限定。
7、应用功能(application function,AF):用于进行应用影响的数据路由,无线接入网络开放功能网元,与策略框架交互进行策略控制等。
在未来通信系统中,应用网元仍可以是AF网元,或者,还可以有其它的名称,本申请不做限定。
8、数据管理网元:用于处理UE标识,接入鉴权,注册以及移动性管理等。数据管理网元可以指的是系统100中的统一数据管理(unified data management,UDM)网元,和/或统一数据存储(unified data repository,UDR)网元。
9、认证服务器(authentication server function,AUSF)网元:用于鉴权服务、产生密钥实现对用户设备的双向鉴权,支持统一的鉴权框架。
在未来通信系统中,认证服务器功能网元仍可以是AUSF网元,或者,还可以有其它的名称,本申请不做限定。
10、网络数据分析功能(network data analytics function,NWDAF)网元:用于识别网络切片实例、加载网络切片实例的负载级别信息。网络数据分析功能可使NF消费者订阅或取消订阅定期通知,并在超过阈值的情况下,通知消费者。
在未来通信系统中,网络数据分析功能网元仍可以是NWDAF网元,或者,还可以有其它的名称,本申请不做限定。
11、数据网络(data network,DN):DN是位于运营商网络之外的网络,运营商网络可以接入多个DN,DN上可部署多种业务,可为终端设备提供数据和/或语音等服务。例如,DN是某智能工厂的私有网络,智能工厂安装在车间的传感器可为终端设备,DN中部署了传感器的控制服务器,控制服务器可为传感器提供服务。传感器可与控制服务器通信,获取控制服务器的指令,根据指令将采集的传感器数据传送给控制服务器等。又例如,DN是某公司的内部办公网络,该公司员工的手机或者电脑可为终端设备,员工的手机或者电脑可以访问公司内部办公网络上的信息、数据资源等。
图1的(a)中Nausf、Nnef、Npcf、Nudm、Naf、Namf、Nsmf、N1、N2、N3、N4,以及N6为接口序列号。这些接口序列号的含义可参见3GPP标准协议中定义的含义,在此不做限制。
在图1的(a)所示的网络架构中,各网元之间可以通过图中所示的接口通信。如图所示,UE和AMF之间可以通过N1接口进行交互,交互消息例如可以称为N1消息(N1Message)。RAN和AMF之间可以通过N2接口进行交互,N2接口可以用于非接入层(non-access stratum,NAS)消息的发送等。RAN和UPF之间可以通过N3接口进行交互,N3接口可以用于传输用户面的数据等。SMF和UPF之间可以通过N4接口进行交互,N4接口可以用于传输例如N3连接的隧道标识信息,数据缓存指示信息,以及下行数据通知消息等信息。UPF和DN之间可以通过N6接口进行交互,N6接口可以于传输用户面的数据等。其他接口与各网元之间的关系如1中所示,为了简洁,这里不一一详述。
如图1的(b)所示,为基于点对点接口的5G网络架构示意图,其中的网元的功能的介绍可以参考1中对应的网元的功能的介绍,不再赘述。图1的(b)与图1的(a)的主要区别在于:图1的(b)中的各个网元之间的接口是点对点的接口,而不是服务化的接口。
在图1的(b)所示的架构中,各个网元之间的接口名称及功能如下:
1)N7:PCF与SMF之间的接口,用于下发协议数据单元(protocol data unit,PDU)会话粒度以及业务数据流粒度控制策略。
2)N15:PCF与AMF之间的接口,用于下发UE策略及接入控制相关策略。
3)N5:AF与PCF之间的接口,用于应用业务请求下发以及网络事件上报。
4)N4:SMF与UPF之间的接口,用于控制面与用户面之间传递信息,包括控制面向用户面的转发规则、QoS控制规则、流量统计规则等的下发以及用户面的信息上报。
5)N11:SMF与AMF之间的接口,用于传递RAN和UPF之间的PDU会话隧道信息、传递发送给UE的控制消息、传递发送给RAN的无线资源控制信息等。
6)N2:AMF与RAN之间的接口,用于传递核心网侧至RAN的无线承载控制信息等。
7)N1:AMF与UE之间的接口,接入无关,用于向UE传递QoS控制规则等。
8)N8:AMF与UDM间的接口,用于AMF向UDM获取接入与移动性管理相关签约数据与鉴权数据,以及AMF向UDM注册UE当前移动性管理相关信息等。
9)N10:SMF与UDM间的接口,用于SMF向UDM获取会话管理相关签约数据,以及SMF向UDM注册UE当前会话相关信息等。
10)N35:UDM与UDR间的接口,用于UDM从UDR中获取用户签约数据信息。
11)N36:PCF与UDR间的接口,用于PCF从UDR中获取策略相关签约数据以及应用数据相关信息。
12)N12:AMF和AUSF间的接口,用于AMF向AUSF发起鉴权流程,其中可携带SUCI作为签约标识;
13)N13:UDM与AUSF间的接口,用于AUSF向UDM获取用户鉴权向量,以执行鉴权流程。
应理解,上述命名仅为便于区分不同的功能而定义,不应对本申请构成任何限定。本申请并不排除在5G网络以及未来其它的网络中采用其他命名的可能。例如,在6G网络中,上述各个网元中的部分或全部可以沿用5G中的术语,也可能采用其他名称等。图1的(a)和图1的(b)中的各个网元之间的接口名称只是一个示例,具体实现中接口的名称可能为其他的名称,本申请对此不作具体限定。此外,上述各个网元之间的所传输的消息(或信令)的名称也仅仅是一个示例,对消息本身的功能不构成任何限定。
可以理解的是,上述网元或者功能既可以是硬件设备中的网络元件,也可以是在专用硬件上运行软件功能,或者是平台(例如,云平台)上实例化的虚拟化功能。为方便说明,本申请后续,以网络设备为接入和移动管理网元AMF,基站为无线接入网络RAN为例进行说明。
应理解,上述应用于本申请实施例的网络架构仅是一种举例说明,适用本申请实施例的网络架构并不局限于此,任何能够实现上述各个网元的功能的网络架构都适用于本申请实施例。
本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着网络架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
本申请实施例的各个方面或特征可以用于实现成方法,或者通过装置或标准编程和/或工程技术的制品进行实现。本申请中使用的术语“制品”涵盖可从任何计算机可读器件、载体或介质访问的计算机程序。例如,计算机可读介质可以包括,但不限于:磁存储器件(例如,硬盘、软盘或磁带等),光盘(例如,压缩盘(compact disc,CD)、数字通用盘(digitalversatile disc,DVD)等),智能卡和闪存器件(例如,可擦写可编程只读存储器(erasableprogrammable read-only memory,EPROM)、卡、棒或钥匙驱动器等)。另外,本文描述的各种存储介质可代表用于存储信息的一个或多个设备和/或其它机器可读介质。术语“机器可读介质”可包括但不限于,无线信道和能够存储、包含和/或承载指令和/或数据的各种其它介质。
为了便于理解本申请实施例的技术方案,在以5G架构为基础介绍本申请实施例的方案之前,首先对本申请实施例可能涉及到的5G中的一些术语或概念,以及本申请可能涉及但上述网络架构未示出的网元进行简单描述。
1、用户永久标识(subscription permanent identifier,SUPI)
SUPI是分配给每个用户的5G全球唯一用户永久标识符,包括四种类型(SUPItype):IMSI,NSI(network specific identifier),Global Line Identifier(GLI)、Global Cable Identifier(GCI),其中,NSI、GLI、GCI类型的SUPI均为NAI格式。
其中,NAI格式的SUPI是由第三方,而非运营商生成的一种SUPI的类型,它是一种通用格式,其表现形式为username@realm。其中,username表示SUPI对应的用户名,realm表示SUPI对应的域名。
需要说明的是,本申请实施例中SUPI的长度,均指的是SUPI包含的username的长度。
2、用户隐藏标识(subscription concealed identifier,SUCI)
为了不在空口暴露用户的SUPI,通过对SUPI中的部分内容进行计算得到一个结果,该结果是用户隐藏标识(subscription concealed identifier,SUCI)的一部分。
图2示出了SUCI的一种结构。如图2所示,SUCI主要包含的内容如下:
SUPI类型(SUPI type):取值范围为0-7,其中,0代表IMSI;1代表NSI;2代表GLI;3代表GCI;4到7还没有被定义。
归属地网络标识符(Home Network Identifier):标注用户注册地网络。当SUPI为IMSI时,其注册地标识包括MCC和MNC;当SUPI为NAI时,其注册地网络长度不定代表域名的字符串;
当SUPI type是IMSI的时候,归属地网络标识符为移动国家码(mobile countrycode,MCC)和移动网络码(mobile network code,MNC)。当SUPI类型是NSI的时候,HomeNetwork Identifier是一个格式为username@realm的字符串。当SUPI type是GCI时,HomeNetwork Identifier的格式为5gc.mnc<MNC>.mcc<MCC>.3gppnetwork.org。
路由标识(Routing Indicator):包括1—4个十进制数据,用于标识注册网络运营商和UICC;
保护方法标识(Protection Scheme Id):用于标识生成SUCI所使用的算法,包括以下三种:NULL-scheme:0,Profile<A>:1,Profile<B>:2。即Protection Scheme Id为0时,表示SUCI是使用空算法NULL-scheme生成的;Protection Scheme Id为1时,表示SUCI是使用算法Profile<A>生成的;Protection Scheme Id为2时,表示SUCI是使用算法Profile<B>生成的。其中,Profile<A>和Profile<B>可以称为非空算法。若使用空算法生成SUCI,则表示不对SUPI进行加密;若使用非空算法(Profile<A>或Profile<B>)生成SUCI,则表示需要对SUPI进行加密。Profile<A>代表256比特公钥长度的ECIES算法,Profile<B>代表264比特公钥长度的ECISE算法。
归属网络公钥标识(Home Network Public Key Id):取值0-255由HPLMN提供公共密钥用于进行SUPI保护;当未启用(null-scheme)时,取值为0。
方案输出(Scheme Output):由长度可变或16进制数字的字符串组成,其依赖所使用保护方案。示例性地,对于NAI格式的SUPI,对SUPI包含的username部分进行加密计算得到参数可作为SUCI的Scheme Output部分。
需要说明的是,本申请实施例中的SUCI的长度均指的是SUCI包含的SchemeOutput部分的长度。
3、认证、授权和计费(authentication,authorization,and accounting,AAA)
AAA是网络安全中进行访问控制的一种安全管理设备,用于对接入的终端设备提供认证、授权和计费三种安全服务。
上文结合图1的(a)和图1的(b)介绍了本申请实施例能够应用的网络架构,还简单介绍了本申请中涉及的基本概念,下文中将结合附图详细介绍本申请提供的通信方法和装置。
下文示出的实施例并未对本申请实施例提供的方法的执行主体的具体结构特别限定,只要能够通过运行记录有本申请实施例的提供的方法的代码的程序,以根据本申请实施例提供的方法进行通信即可,例如,本申请实施例提供的方法的执行主体可以是核心网设备和终端设备,或者是核心网设备或者终端设备中能够调用程序并执行程序的功能模块。
为了便于理解本申请实施例,做出以下几点说明。
第一,在本申请中,“用于指示”可以理解为“使能”,“使能”可以包括直接使能和间接使能。当描述某一信息用于使能A时,可以包括该信息直接使能A或间接使能A,而并不代表该信息中一定携带有A。
将信息所使能的信息称为待使能信息,则具体实现过程中,对待使能信息进行使能的方式有很多种,例如但不限于,可以直接使能待使能信息,如待使能信息本身或者该待使能信息的索引等。也可以通过使能其他信息来间接使能待使能信息,其中该其他信息与待使能信息之间存在关联关系。还可以仅仅使能待使能信息的一部分,而待使能信息的其他部分则是已知的或者提前约定的。例如,还可以借助预先约定(例如协议规定)的各个信息的排列顺序来实现对特定信息的使能,从而在一定程度上降低使能开销。同时,还可以识别各个信息的通用部分并统一使能,以降低单独使能同样的信息而带来的使能开销。
第二,在本申请中示出的第一、第二以及各种数字编号(例如,“#1”、“#2”等)仅为描述方便,用于区分的对象,并不用来限制本申请实施例的范围。例如,区分不同消息等。而不是用于描述特定的顺序或先后次序。应该理解这样描述的对象在适当情况下可以互换,以便能够描述本申请的实施例以外的方案。
第三,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
第四,在本申请中,“预配置”可包括预先定义,例如,协议定义。其中,“预先定义”可以通过在设备(例如,包括各个网元)中预先保存相应的代码、表格或其他可用于指示相关信息的方式来实现,本申请对于其具体的实现方式不做限定。
第五,本申请实施例中涉及的“保存”,可以是指的保存在一个或者多个存储器中。所述一个或者多个存储器,可以是单独的设置,也可以是集成在编码器或者译码器,处理器、或通信装置中。所述一个或者多个存储器,也可以是一部分单独设置,一部分集成在译码器、处理器、或通信装置中。存储器的类型可以是任意形式的存储介质,本申请并不对此限定。
第六,本申请实施例中涉及的“协议”可以是指通信领域的标准协议,例如可以包括5G协议、新空口(new radio,NR)协议以及应用于未来的通信系统中的相关协议,本申请对此不做限定。
第七,本申请说明书附图部分的方法流程图中的虚线框表示可选的步骤。
以下,以网元之间的交互为例详细说明本申请实施例提供的通信方法。应理解,本申请中的各实施例中术语和步骤可以互相参考。
下面结合方法300介绍一种移动设备(mobile equipment,ME)的网络注册流程及认证流程。
首先,ME需要通过UICC获取SUCI以发起注册请求。下面结合图3中的方式1和方式2介绍两种可能的实现方式。
方式1:
S301,ME向UICC发送获取标识(Get Identity)请求消息,该获取标识请求消息用于请求获取SUCI。对应地,UICC接收来自ME的该获取标识请求消息。
S302,UICC根据SUPI,PK,PK ID生成SUCI。
示例性地,UICC接收来自ME的获取标识请求消息之后,根据预置的SUPI,公钥PK,公钥标识PK ID等生成SUCI,例如,可以使用空算法(null-scheme)、Profile<A>、Profile<B>中的任一种算法生成SUCI。
S303,UICC向ME发送获取标识响应(Get Identity Response)消息,该获取标识响应消息中包括SUCI。对应地,ME接收来自UICC的该获取标识响应消息,并从该获取标识响应消息中获取SUCI。
方式2:
S304,ME向UICC发送用户标识请求(User Identity Request)消息,该用户标识请求消息用于请求获取SUPI。对应地,UICC接收来自ME的该用户标识请求消息。
S305,UICC向ME发送用户标识响应消息,该用户标识响应消息中包括SUPI。对应地,ME接收来自UICC的该用户标识响应消息,并从该用户标识响应消息中获取SUPI。
S306,ME向UICC发送参数请求消息,该参数请求消息用于请求获取SUCI的计算参数,该参数请求消息也可以称为SUCI计算信息流程(SUCI Calculation Informationprocedure)消息。
S307,UICC向ME发送参数响应消息,该参数响应消息包括公钥PK和公钥标识PKID。对应地,UE接收来自UICC的该参数响应消息,并从该参数响应消息中获取该PK和该PKID。
S308,ME根据SUPI、PK,PK ID生成SUCI,具体方式可以参见S302中UICC生成SUCI的方法。
ME获取SUCI之后,向网络侧发起注册流程,然后网络侧执行对ME的认证流程。下面结合S309-S322做示例性说明。
S309,ME向AMF发送注册请求(Registration Request)消息,该注册请求消息包括SUCI。对应地,AMF接收来自ME的该注册请求消息。
S310,AMF向AUSF发送认证请求(Nausf_UEAuthentication_AuthenticateRequest)消息,该认证请求消息中包括SUCI。对应地,AUSF接收来自AMF的该认证请求消息。
S311,AUSF向UDM发送认证参数请求(Nudm_UEAuthentication_Get Request)消息,该认证参数请求消息中包括SUCI。对应地,UDM接收来自AUSF的该认证参数请求消息。
S312,UDM根据SUCI获得SUPI。
示例性地,UDM接收到来自AUSF的认证参数请求消息之后,从该认证参数请求消息中获取SUCI,然后对SUCI进行解密获得SUPI,具体方式可参考现有协议,本申请不作限定。
S313,UDM向AUSF发送认证参数响应(Nudm_UEAuthentication_Get Response)消息,该认证参数响应消息中包括SUPI,以及用于认证的参数或信息,例如认证向量,认证方式等。
S314,UICC、ME与AUSF执行认证流程。
示例性地,AUSF可能触发两类认证:内部认证和外部认证。
其中,内部认证指的是AUSF根据认证的指示信息触发与UE(ME和UICC)的认证,认证方式可以为5G AKA,EAP AKA’,EAP TLS以及其他EAP方法。具体认证方式可参考现有协议,这里不再详细说明。
外部认证包括一下流程:
S315,AUSF通过SUPI寻址AAA。
示例性地,AUSF将SUPI发送到外部AAA,AUSF可以通过中间网元,例如NSSAAF中转SUPI到外部AAA。
S316,UICC、ME与AAA执行认证流程。
示例性地,AAA接收到来自AUSF的SUPI之后,根据SUPI获得ME的认证信息,与ME执行认证,认证方法可以包含EAP AKA’,EAP TLS,EAP TTLS以及其他EAP方法。
在认证过程中,AUSF向AMF发送认证响应(Nausf_UEAuthentication_Authenticate Response)消息,该认证响应消息包括SUPI和Kausf。其中,该Kausf是AUSF在完成认证后生成的。
响应于该认证响应消息,AMF向ME发送认证完成消息。对应的,ME接收来自AMF的该认证完成消息。该认证完成消息用于指示认证完成,该认证完成消息具体可以是认证请求消息、认证结果消息、安全命令模式消息等。
S317,AMF根据Kausf生成Kseaf,再根据Kseaf和SUPI生成Kamf。
S318,ME向UICC发送用户标识请求(User Identity Request)消息,该用户标识请求消息用于请求获取SUPI。
S319,UICC向ME发送用户标识响应消息,该用户标识响应消息中包括SUPI。对应地,ME接收来自UICC的该用户标识响应消息,并从该用户标识响应消息中获取SUPI。
应理解,如果ME是通过方式2获取SUCI的,则ME可以不执行S318和S319。
S320,ME根据Kausf生成Kseaf,再根据Kseaf和SUPI生成Kamf。应理解,该Kausf是ME在S316的认证完成之后生成的。
S321,ME和AMF基于Kamf执行后续通信,例如NAS SMC流程等。
示例性的,ME和AMF进一步的根据Kamf生成KNASenc以及KNASint,其中,KNASenc用于对所述移动设备与所述移动管理网元之间传输的NAS消息进行加密保护;KNASint用于对所述移动设备与所述移动管理网元之间传输的NAS消息进行完整性保护。
图4的(a)示出了本申请实施例提供的方法400的示例性流程图。下面结合图4的(a)中的各个步骤对方法400作示例性说明。
S401,通用集成电路卡根据伪标识生成用户隐藏标识。
示例性地,该通用集成电路卡配置有用户永久标识以及该用户永久标识对应的伪标识,该伪标识中包含的用户名的长度和用户永久标识中包含的用户名的长度不同,且该伪标识中包含的用户名的长度大于第一阈值且小于第二阈值。在一种实现方式中,该第一阈值和该第二阈值的取值是由运营商网络中的签约的多个用户永久标识包含的用户名的长度分布决定的。
该通用集成电路卡根据配置的伪标识生成用户隐藏标识。在一种实现方式中,通用集成电路卡根据移动设备的请求生成用户隐藏标识。下面结合S402做示例性说明。
可选地,S402,移动设备向通用集成电路卡发送获取标识请求消息,该获取标识请求消息用于请求用户隐藏标识。对应地,通用集成电路卡接收来自该移动设备的该获取标识请求消息。
示例性地,通用集成电路卡接收来自移动设备的获取标识请求消息,然后根据伪标识生成用户隐藏标识,即执行S401。在一种实现方式中,通用集成电路卡确定加密算法,该加密算法指的是用于生成用户隐藏标识的算法,在该加密算法为非空算法(如Profile<A>或Profile<B>)的情况下,通用集成电路卡根据该非空算法以及该伪标识生成用户隐藏标识。可以理解的是,在该加密算法为空算法的情况下,可以根据伪标识生成用户隐藏标识,也可以根据用户永久标识生成用户隐藏标识,本申请不做限定。
可以理解的是,本申请实施例提供了一种通过伪标识,而非用户永久标识生成用户隐藏标识的方法。在用户永久标识采用网络接入标识格式来表征的情况下,用户永久标识中包含的用户名可以由第三方生成,因此用户永久标识中包含的用户名的长度可能会相对其他用户永久标识中包含的用户名过长或者过短,具备这种异常长度的用户永久标识的样本数量稀少。由于用户隐藏标识的长度与用户永久标识中包含的用户名的长度相同,在这种情况下,如果根据用户永久标识来生成用户隐藏标识的话,因此攻击者可能会通过用户隐藏标识的长度确定对应的用户永久标识,从而导致用户隐私泄露。而本申请实施例提供的伪标识中包含的用户名的长度在设定的阈值之间(即第一阈值和第二阈值之间),因此通过该伪标识来生成用户隐藏标识,可以防止攻击者根据用户隐藏标识的长度推测对应的用户永久标识。在一种实现方式中,伪标识采用网络接入标识格式来表征,且该伪标识包含的域名部分与用户永久标识包含的域名部分相同,该伪标识包含的用户名部分与用户永久标识中包含的用户名的长度不同。例如,该用户永久标识中包含的用户名的长度小于第一阈值。又例如,该用户永久标识中包含的用户名的长度大于第二阈值。
可选地,本申请实施例中的用户隐藏标识还可以包括第一指示信息,该第一指示信息用于指示用户隐藏标识是通过所述伪标识生成的。该第一指示信息可以是通用集成电路卡在生成用户隐藏标识的时候,将其携带了用户隐藏标识中的,例如,可以将该第一指示信息携带在用户隐藏标识的保护方法标识中。其他网元(例如数据管理网元)可以根据该第一指示信息确定该用户隐藏标识是通过该伪标识生成的。
可选地,本申请实施例中的伪标识可以包括第二指示信息,该第二指示信息用于指示该伪标识中包含的用户名为映射的用户名,该第二指示信息可以是预设的字符串。其他网元(例如数据管理网元)可以根据该第二指示信息确定该用户隐藏标识是通过该伪标识生成的,或者,其他网元可以根据第二指示信息确定伪标识中的用户名不是用户签约的用户名,或者,其他网元可以根据第二指示信息确定从用户隐藏标识解密出来的标识不是用户永久标识,或者,其他网元可以根据第二指示信息确定从用户隐藏标识解密出来的标识不是用户签约的用户名。例如,该第二指示信息可以携带在伪标识的用户名部分。具体例如,在伪标识原有的用户名之外添加预设的字符串“anonymous”,该预设的字符串“anonymous”表示上述第二指示信息。
S403,通用集成电路卡向移动设备发送用户隐藏标识。对应地,移动设备接收来自该通用集成电路卡的该用户隐藏标识。
示例性地,响应于移动设备的获取标识请求消息,该通用集成电路卡向该移动设备发送该用户隐藏标识。
以上,结合S401至S403介绍了本申请实施例提供的一种移动设备获取用户隐藏标识的方案(记为方案A)。下面结合S403和S404介绍本申请实施例提供的另一种移动设备获取用户隐藏标识的方案(记为方案B)。
S404,移动设备从通用集成电路卡获得用户永久标识和该用户永久标识对应的伪标识。
示例性地,该通用集成电路卡配置有用户永久标识以及该用户永久标识对应的伪标识,该伪标识的含义可参考S401部分的描述,这里不再赘述。
在一种实现方式中,该移动设备向该通用集成电路卡发送用户标识请求消息,通用集成电路卡根据该用户标识请求消息向移动设备发送该用户永久标识和该伪标识。对应地,该移动设备接收来自该通用集成电路卡的该用户永久标识和该伪标识。
在另一种实现方式中,该移动设备向该通用集成电路卡发送用户标识请求消息,通用集成电路卡根据该用户标识请求消息向移动设备发送该用户永久标识。进一步地,移动设备向该通用集成电路卡发送计算信息请求消息,通用集成电路卡根据该计算信息请求消息向该移动设备发送公钥和该伪标识,其中,该公钥用于生成该用户隐藏标识。对应地,该移动设备接收来自该通用集成电路卡的公钥和该伪标识。
也就是说,通用集成电路卡可以在同一条消息中向移动设备发送用户永久标识和伪标识,也可以在不同的消息中向移动设备发送用户永久标识和伪标识。
S405,移动设备根据伪标识生成用户隐藏标识。
应理解,移动设备根据伪标识生成用户隐藏标识的方式,与通用集成电路卡根据伪标识生成用户隐藏标识的方式类似,具体可参考S401部分的描述,这里不再赘述。
进一步地,移动设备可以根据获得的用户隐藏标识发起注册流程。下面结合S405-S407作示例性说明。
可选地,S406,移动设备向移动管理网元发送注册请求消息,该注册请求消息包括用户隐藏标识。对应地,移动管理网元接收来自该移动设备的注册请求消息。
可选地,S407,移动管理网元向移动设备发送认证完成消息。对应地,移动设备接收来自该移动管理网元的该认证完成消息。
示例性地,在网络侧认证完成之后,移动管理网元向该移动设备发送认证完成消息。
可选地,S408,移动设备根据用户永久标识生成与该移动管理网元通信使用的密钥。
示例性地,移动设备接收来自移动管理网元的认证完成消息之后,响应于该认证完成消息,该移动设备根据用户永久标识生成与该移动管理网元通信使用的密钥。例如移动设备根据Kausf生成Kseaf,再根据Kseaf和用户永久标识生成Kamf,进一步的,根据Kamf生成KNASenc以及KNASint,其中,KNASenc用于对所述移动设备与所述移动管理网元之间传输的NAS消息进行加密保护;KNASint用于对所述移动设备与所述移动管理网元之间传输的NAS消息进行完整性保护。其中,Kausf表示移动设备与认证服务功能网元之间使用的密钥,Kseaf表示移动设备与鉴权锚点功能网元之间使用的密钥,Kamf表示移动设备和移动管理网元使用的密钥,KNASenc以及KNASint为所述移动设备与所述移动管理网元通信使用的密钥。应理解,该Kausf可以是移动设备认证完成之后生成的。
可以理解的是,在上述方案A中,如果移动设备在S407之后还未获得用户永久标识,则移动设备可以向通用集成电路卡请求获得用户永久标识。例如,该移动设备向该通用集成电路卡发送用户标识请求消息;通用集成电路卡根据该用户标识请求消息向移动设备发送该用户永久标识。
在上述方案中,通用集成电路卡根据伪标识生成用户隐藏标识。由于伪标识包含的用户名的长度大于第一阈值且小于第二阈值,因此生成的用户隐藏标识的长度也大于第一阈值且小于第二阈值,因此可以防止因用户隐藏标识的长度过长或多短(如大于第二阈值或小于第一阈值),导致攻击者可以根据用户隐藏标识的长度推测出用户身份的情况,从而可以保护用户的隐私。
图4的(b)示出了本申请实施例提供的方法410的示意性流程图。可以理解的是,该方法410可以独立实施,也可以和方法400结合实施。例如,方法400可以是在方法410之前执行的方案。
下面结合图4的(b)对方法410作示例性说明。
S411,鉴权服务功能网元向数据管理网元发送请求消息,该请求消息包括用户隐藏标识。对应地,数据管理网元接收来自该鉴权服务功能网元的该请求消息。
在一种可能的实现方式中,该鉴权服务功能网元接收来自移动管理网元的携带了该用户隐藏标识的认证请求消息,响应于该认证请求消息,鉴权服务功能网元向数据管理网元发送请求消息,并在该请求消息中携带该用户隐藏标识。该请求消息可以是认证参数请求消息,该请求消息用于向数据管理网元请求与该用户隐藏标识对应的认证参数。
S412,数据管理网元对用户隐藏标识进行解密获得伪标识。
示例性地,数据管理网元接收来自鉴权服务功能网元的请求消息之后,从该请求消息中获取用户隐藏标识,然后对该用户隐藏标识进行解密获得了一个标识。数据管理网元可以判断该标识是否是伪标识,或者说,数据管理网元可以判断该用户隐藏标识是否是由伪标识生成的,或者说,数据管理网元判断是否需要执行S413。
在一种可能的实现方式中,在该用户隐藏标识包括第一指示信息的情况下,该数据管理网元确定解密获得的标识为伪标识,或者说,数据管理网元确定该用户隐藏标识是由伪标识生成的,或者说,数据管理网元确定需要根据解密出来的该标识确定对应的用户永久标识(即确定是否需要执行S413)。为了简洁,后续实现方式中以第一种表述为例进行说明。其中,该第一指示信息用于指示该用户隐藏标识是通过该伪标识生成的。
在另一种可能的实现方式中,在该伪标识包括第二指示信息的情况下,该数据管理网元确定解密获得的标识为伪标识,其中,该第二指示信息用于指示该用户隐藏标识是通过该伪标识生成。该第二指示信息可以是预设的字符或字符串。
在又一种可能的实现方式中,在该数据管理网元没有存储与该伪标识对应的签约数据的情况下,该数据管理网元检索是否存储有与该标识对应的映射关系,如果存在的话,该数据管理网元确定解密获得的标识为伪标识,其中,该映射关系为伪标识和用户永久标识之间的映射关系,且数据管理网元提前预置了该映射关系。
在又一种可能的实现方式中,在该数据管理网元获得该伪标识之后,检索与该伪标识对应的签约数据,在存在与该伪标识对应的签约数据,并且该签约数据包括第三指示信息的情况下,该数据管理网元确定该用户隐藏标识是通过该伪标识生成的。
S413,数据管理网元根据伪标识确定用户永久标识。
示例性地,在数据管理网元确定解密获得的标识为伪标识的情况下,或者说,在数据管理网元确定用户隐藏标识是根据伪标识生成的情况下,或者说,在数据管理网元确定需要根据解密获得的标识确定用户永久标识的情况下,数据管理网元根据该伪标识确定用户永久标识。
在一种实现方式中,数据管理网元根据该伪标识,以及预置的映射关系确定用户永久标识,该映射关系为伪标识和用户永久标识之间的映射关系。
在另一种可能的实现方式中,数据管理网元获得伪标识之后,检索与该伪标识对应的签约数据,若该签约信息中存在用户永久标识,则该数据管理网元直接从该签约数据中获得与该伪标识对应的用户永久标识。可以理解的是,在这种实现方式中,数据管理网元可以不必判断解密获得的标识是否是伪标识。
S414,数据管理网元向鉴权服务功能网元发送响应消息,该响应消息中包括数据管理网元在S413确定的用户永久标识。
在上述方案中,数据管理网元获取用户隐藏标识之后,通过对用户隐藏标识进行解密获得伪标识,并根据为伪标识确定用户永久标识,并使用该用户永久标识执行后续流程。由于伪标识中包含的用户名的长度大于第一阈值且小于第二阈值,因此用户隐藏标识的长度也大于第一阈值且小于第二阈值,因此可以防止因用户隐藏标识的长度过长或多短(如大于第二阈值或小于第一阈值),导致攻击者可以根据用户隐藏标识的长度推测出用户身份的情况,从而可以保护用户的隐私。
下面以5G系统为基础,详细介绍本申请实施例提供的通信方法。应理解,后续方法500至方法1100可应用于图1的(a)或图1的(b)中所示的网络架构中。在一种实现方式中,方法500至方法1100中的UICC可对应于方法400中的通用集成电路卡,方法500至方法1100中的ME可对应于方法400中的移动设备,方法500至方法1100中的AMF可对应于方法400中的移动管理网元,方法500至方法1100中的AUSF可对应于方法410中的鉴权服务功能网元,方法500至方法1100中的UDM可对应于方法410中的数据管理网元,方法500至方法1100中PSUPI可对应于方法400和方法410中的伪标识,方法500至方法1100中阈值#1和阈值#2可对应于方法400和方法410中的第一阈值和第二阈值。
图5的(a)示出了本申请实施例提供的方法500的示例性流程图。在方法500中,UICC预置了SUPI以及SUPI对应的PSUPI。ME向UICC请求SUCI后,UICC可以根据PSUPI生成SUCI并发送给ME,ME根据该SUCI执行注册流程。下面结合图5的(a)中的各个步骤对方法500作示例性说明。
S501a,UICC配置SUPI以及SUPI对应的为用户永久标识(pseudonym subscriptionpermanent identifier,PSUPI)。
示例性地,UICC上预先配置了SUPI以及PSUPI,且该PSUPI与该SUPI一一对应,或者说,该PSUPI与该SUPI存在映射关系。例如,在激活UICC的时候,由人工将SUPI以及与该SUPI对应的PSUPI配置在UICC上。可以理解的是,该PSUPI还可以叫做其他名称,例如,该PSUPI还可以称为假名,或者是伪标识等等,本申请不做限定。
在一种实现方式中,本实施例中的PSUPI与SUPI均采用NAI格式来表征,具体格式为username@realm,其中username表示用户名,realm表示域名。PSUPI包含的realm与PSUPI包含的realm相同,PSUPI包含的username与SUPI包含的username不同。
在一种实现方式中,PSUPI包含的username的长度大于阈值#1且小于阈值#2,而PSUPI包含的username的长度与PSUPI包含的username的长度不同。在一种可能的情况下,SUPI包含的用户名的长度小于阈值#1;在另一种可能的情况下,SUPI包含的用户名的长度大于阈值#2。也就是说,PSUPI包含的username的长度处于设定的阈值范围之内,而SUPI的username的长度处于设定的阈值范围之外。其中,这里的阈值#1和阈值#2的取值由运营商网络中签约的多个SUPI包含的username的长度分布决定。下面结合图5的(b)对一种可能的实现方式作示例性说明。
首先,可以对运营商签约的多个SUPI包含的username的长度进行统计。在一种实现方式中,这里的多个SUPI可以指的是运营商签约的所有SUPI。假设SUPI的username的长度分布如图5的(b)所示,图5的(b)中的曲线为SUPI包含的username的长度与SUPI的计数值之间的关系曲线。可以通过设定K值来确定与K值对应的x和y,其中,x小于y且x和y均为正数。这里的x和y可以分别对应上述示例中的阈值#1和阈值#2。也就是说,可以通过设定K值来确定阈值范围。在图5的(b)的示例中,PSUPI包含的username的长度介于x和y之间,SUPI包含的username的长度小于x或大于y。也就是说,对于username的长度小于x或大于y的SUPI,均配置了一个username的长度大于x且小于y的PSUPI。在一种实现方式中,在确定PSUPI包含的username的长度时,可以在x和y之间随机选择一个数作为PSUPI包含的username的长度,或者采用一定的方式,使得不同PSUPI包含的username的长度均匀的分布在x和y之间。这样做的好处是可以防止PSUPI包含的username的长度过于集中,导致攻击者可以根据PSUPI包含的用户名的长度推测用户的身份。
示例性地,可以通过以下任一种方式生成PSUPI所包含的username:
方式1:随机以允许的字符串生成长度介于x和y之间的的username,其中,允许的字符串指的是RFC 7542或RFC 3629中规定的可用于构造NAI的字符串。如果生成username后,该username结合realm与某个SUPI重叠,则重新生成新的username。
方式2:以预设字符串+计数的方式递增构成username,例如user_1,user_2等。
方式3:以预设字符串+随机生成的字符串生成username。
方式4:通过哈希函数对当前的SUPI进行哈希运算生成username,可选的,可以增加其他新鲜性输入,例如realm,随机数,计数器等,哈希函数可以是KDF,MD5,SHA1等。如果生成username后,该username结合realm与某个SUPI重叠,则更换新鲜性输入后,生成新的username。
在一种实现方式中,该PSUPI中包括指示信息#1,该指示信息#1用于指示该PSUPI中包含的username为映射的username。该指示信息#1例如可以是预设的字符串,该预设的字符串可以采用不能用于构造username的字符串。例如,该指示信息#1可以携带在PSUPI的username部分,在原有的username之外添加预设的字符串“anonymous”。
可以理解的是,上述实施例提供的方案中,如果SUPI包含的用户名的长度小于阈值#1,或大于阈值#2,则为该SUPI配置一个PSUPI,且该PSUPI包含的username的长度大于阈值#1或小于阈值#2。但在另一种可能的实现方式中,如果username的长度小于阈值#1或大于阈值#2的SUPI的数量比较大,为这些SUPI配置的PSUPI所包含的username的长度也可以不处于阈值#1和阈值#2之间。例如,username小于阈值#1的SUPI的数量大于K,则为这些SUPI配置的PSUPI的username的长度可以小于阈值#1,例如,可以这些SUPI对应的PSUPI包含的username的长度设置为相同的且小于阈值#1的值。
S501b,UDM配置SUPI以及SUPI对应的PSUPI。
S501b可参考S501a部分的描述,区别在于S501b由UDM执行,这里不再赘述。
S502,ME向UICC发送获取标识(Get Identity)请求消息。对应地,UICC接收来自ME的该获取标识请求消息。应理解。S502与方法300中的S301类似,这里不再赘述。
S503,UICC根据PSUPI生成SUCI。
可选地,UICC在生成SUCI之前,确定用于生成SUCI的加密算法。在该加密算法为空算法的情况下,UICC根据SUPI生成SUCI。
在该加密算法为非空算法的情况下,则UICC根据PSUPI生成SUCI。例如,UICC生成一对公钥PKu和私钥PRu,并根据私钥PRu和UDM的公钥PK生成对称密钥,然后将PSUPI的username和对称密钥作为输入参数,进行加密运算得到密文,作为SUCI的Scheme Output部分,然后填充其他字段之后,得到SUCI。具体过程可参考现有协议,本申请不做限定。
可选地,UICC还可以在SUCI中携带指示信息#2,该指示信息#2用于指示该SUCI是由PSUPI生成的。例如,该指示信息#2可以携带在SUCI的保护方法标识中。
S504,UICC向ME发送获取标识响应消息,该获取标识响应消息中包括UICC在S503生成的SUCI。对应地,ME接收来自UICC的该获取标识响应消息,并从该获取标识响应消息中获取SUCI。
S505-S507与方法300中的S309-S311类似,这里不再赘述。
S508,UDM根据SUCI获得PSUPI。
示例性地,UDM接收来自AUSF的认证参数请求消息之后,从该认证参数请求消息中获取SUCI,然后对SUCI进行解密获得PSUPI。例如,UDM利用SUCI中的公钥PKu以及预置的私钥PR对SUCI进行解密获得PSUPI。
S509,UDM根据PSUPI获得SUPI。
在一种实现方式中,在PSUPI包含的username包括指示信息#1的情况下,UDM根据该指示信息#1,确定该SUCI是由PSUPI生成的。例如,在PSUPI包含的username包含字符串“anonymous”,确定该SUCI是由PSUPI生成的。进一步地,UDM根据该PSUPI,检索是否存在包括该PSUPI的映射关系,如果存在的话,UDM根据该PSUPI以及该映射关系,确定与该PSUPI对应的SUPI。
在另一种实现方式中,在SUCI携带了指示信息#2的情况下,UDM根据该指示信息#2,确定该SUCI是由PSUPI生成的,基于此,UDM根据该PSUPI,检索是否存在包括该PSUPI的映射关系,如果存在的话,UDM根据该PSUPI以及该映射关系,确定与该PSUPI对应的SUPI;
在又一种实现方式中,UDM获得PSUPI之后,检索是否存在与该PSUPI对应的签约数据,如果不存在的话,UDM根据该PSUPI,检索是否存在包括该PSUPI的映射关系,如果存在的话,UDM根据该PSUPI以及该映射关系,确定与该PSUPI对应的SUPI。
在又一种实现方式中,UDM获得PSUPI之后,检索与该PSUPI对应的签约数据,在如果存在与该PSUPI对应的签约数据,并且该签约数据包括指示信息#3的情况下,UDM确定该SUCI是由PSUPI生成的,基于此UDM根据该PSUPI检索是否存在包括该PSUPI的映射关系,如果存在的话,UDM根据该PSUPI以及该映射关系,确定与该PSUPI对应的SUPI。这里的映射关系指的是PSUPI和SUPI之间的映射关系
在又一种实现方式中,UDM获得PSUPI之后,检索与该PSUPI对应的签约数据,若该签约信息中存在SUPI,则UDM直接从该签约数据中获得与该PSUPI对应的SUPI。
S510-S518与方法300中的S313-S321类似,这里不再赘述。图6示出了本申请实施例提供的方法600的示例性流程图。在方法600中,UICC预置了SUPI以及SUPI对应的PSUPI。ME向UICC请求SUPI后,UICC可以将SUPI和SUPI对应的PSUPI一起发送给ME,以便ME根据PSUPI生成SUCI,并使用生成的SUCI发起注册流程。下面结合图6对方法600的各个步骤进行示例性说明。
S601a,UICC配置SUPI以及SUPI对应的PSUPI。
S601b,UDM配置SUPI以及SUPI对应的PSUPI。
应理解,S601a和S601b与方法500中的S501a和S501b类似,这里不再赘述。
S602,ME向UICC发送用户标识请求(User Identity Request)消息,该用户标识请求消息用于请求获取SUPI。对应地,UICC接收来自ME的该用户标识请求消息。
S603,UICC向ME发送用户标识响应消息,该用户标识响应消息中包括SUPI和PSUPI。对应地,ME接收来自UICC的该用户标识响应消息,并从该用户标识响应消息中获取PSUPI。
S604和S605与方法300中的S306-S307类似,这里不再赘述。
S606,ME根据PSUPI生成SUCI。
可选地,ME在生成SUCI之前,确定用于生成SUCI的加密算法。在该加密算法为空算法的情况下,ME根据PSUPI生成SUCI。
在该加密算法为非空算法的情况下,ME根据PSUPI生成SUCI。例如,ME生成一对公钥PKu和私钥PRu,并根据私钥PRu以及从UICC获得的UDM的公钥PK生成对称密钥,将PSUPI的username和对称密钥作为输入参数,进行加密运算得到密文,作为SUCI的Scheme Output部分,然后填充其他字段之后,得到SUCI。具体过程可参考现有协议,本申请不做限定。
S607-S609与方法300中的S309-S311类似,S610-S611与方法500中的S508-S509类似,S612-S618与方法300中的S313-S321类似,这里不再赘述。
图7示出了本申请实施例提供的方法700的示例性流程图。在方法700中,UICC预置了SUPI以及SUPI对应的PSUPI。ME向UICC请求SUCI的计算参数后,UICC可以将PSUPI以及PK、PK ID一起发送给ME,以便ME根据PSUPI生成SUCI,并使用生成的SUCI发起注册流程。下面结合图7对方法700的各个步骤进行示例性说明。
S701a,UICC配置SUPI以及SUPI对应的PSUPI。
S701b,UDM配置SUPI以及SUPI对应的PSUPI。
应理解,S601a和S601b与方法500中的S501a和S501b类似,这里不再赘述。
S702-S704与方法300中的S304-S306类似,这里不再重复说明。
S705,UICC向ME发送参数响应消息,该参数响应消息包括PSUPI,PK,PK ID。对应地,ME接收来自UICC的该参数响应消息,并从该参数响应消息获取该PSUPI,PK,PK ID。
S706,ME根据PSUPI生成SUCI。S706与方法600中的S606类似,这里不再赘述。
S707-S709与方法300中的S309-S311类似,S710-S711与方法500中的S508-S509类似,S712-S718与方法300中的S313-S321类似,这里不再赘述。
在上述方法500-方法700中,用户设备(UICC或ME)根据PSUPI生成SUCI。由于PSUPI包含的用户名的长度大于阈值#1且小于阈值#2,因此生成的SUCI的长度也大于阈值#1且小于阈值#2,因此可以防止因用户隐藏标识的长度过长或多短,导致攻击者可以根据SUCI的长度推测出用户身份的情况,从而可以保护用户的隐私。例如,在SUPI包含的username的长度大于阈值#2或小于阈值#1的情况下,如果使用该SUPI生成SUCI的话,攻击者有可能根据SUCI的长度推测出对应的SUPI,从而导致用户隐私泄露,而如果在这种情况下采用SUPI对应的PSUPI生成SUCI的话,便可以提高用户的隐私安全。另一方面,在上述方案中,虽然采用了PSUPI生成了SUCI,但在后续流程,使用了SUPI来生成Kamf,因此仍然可以满足合法监听的需求,保障签约用户可以接入网络。
图8示出了本申请实施例提供的方法800的示例性流程图。在方法800中,UICC预置了两个阈值,即阈值#1和阈值#2。UICC可以预先判断SUPI包含的username的长度是否大于阈值#2或小于阈值#1,如果是的话,则根据SUPI生成PSUPI,然后根据PSUPI生成SUCI,并将根据PSUPI生成的SUCI发送给ME,以便ME可以使用该SUCI执行注册流程。下面结合图8对方法800的各个步骤进行示例性说明。
S801a,UICC预配置阈值#1和阈值#2。
示例性地,阈值#2大于阈值#1,且阈值#2和阈值#1均大于0。该阈值#1和阈值#2可以是在激活UICC的时候预配置在UICC上的。该阈值#1和阈值#2用于判断是否需要生成PSUPI,或者说,该阈值#1和阈值#2用于判断是否通过PSUPI生成SUCI,或者说,该阈值#1和阈值#2用于判断使用通过SUPI生成的SUCI是否存在安全风险。
S802a,UICC判断SUPI的长度是否大于阈值#2,或者小于阈值#1。
示例性地,UICC可以在写入SUPI的时候,判断SUPI的长度是否大于阈值#2,或者小于阈值#1。
在SUPI包含的username的长度大于阈值#2,或者小于阈值#1的情况下,UICC确定需要生成PSUPI,或者说,UICC确定需要通过PSUPI生成SUCI,或者说,UICC确定使用通过SUPI生成的SUCI存在安全风险。基于此,UICC执行S803a。
S803a,UICC生成与SUPI对应的PSUPI。
示例性地,关于PSUPI的定义可参考方法500中的S501a部分的描述,这里不再赘述。
当SUPI包含的username的长度小于阈值#1,UICC可通过以下方法生成PSUPI包含的username:
方式a:将当前SUPI包含的username填充字符串到预设长度,用于填充的字符串可以是连续的相同字符,例如0x20,也可以是随机的根据RFC 7542或RFC 3629中规定的构造NAI不可使用的字符串组合。预设长度可以是介于阈值#1和阈值#2之间的一个长度。
方式b:使用哈希函数对当前SUPI包含的username进行哈希运算生成PSUPI所包含的username,生成的PSUPI所包含的username的长度介于阈值#1和阈值#2之间。可选地,在进行哈希运算时还可以增加其他新鲜性输入,例如realm,随机数,计数器等,哈希函数可以是KDF,MD256等。
USIM生成username后判断该username结合realm后是否与正常SUPI重叠,如果重叠的话,则更换新鲜性参数后重新生成新的username,若如此,UICC还需要再预配置一个新鲜性参数。
当SUPI包含的username的长度大于阈值#2的时候,UICC可以通过上述方式b生成PSUPI包含的username部分。
UICC生成PSUPI之后,保存PSUPI和SUPI之间的映射关系。
S801b,UDM预配置阈值#2和阈值#1。
S802b,UDM判断SUPI的长度是否大于阈值#2,或者小于阈值#1。
示例性地,UDM可以在写入SUPI的时候,判断SUPI的长度是否大于阈值#2,或者小于阈值#1。
可选地,在SUPI的长度大于阈值#2,或者小于阈值#1的情况下,UDM执行S803b。
需要说明的是,UDM生成PSUPI包含的username的方式应当与UICC生成PSUPI包含的username的方式一致。
还需要说明的是,如果在SUPI的长度小于阈值#1的情况下UICC和UDM是采用上述方式a生成PSUPI的,则UDM可以不执行S803b。
还需要说明的是,如果UDM执行了S803b,则UDM在生成PSUPI之后,保存SUPI和PSUPI之间的映射关系。
S804-S810与方法500中的S502-S508类似,为了简洁,这里不再赘述。
S811,UDM根据PSUPI获得SUPI。
示例性地,如果UDM执行了S803b,则UDM根据PSUPI,以及本地保存的SUPI和PSUPI之间的映射关系,确定SUPI,确定的方式可以参见S509。如果UDM没有执行S803b,即UICC和UDM采用上述方式a生成的PSUPI,则UICC可以通过删除PSUPI填充的字符串的方式获得SUPI。
S812-S820与方法300中的S313-S321类似,这里不再赘述。
图9示出了本申请实施例提供的方法900的示例性流程图。在方法900中,UICC预置了两个阈值,即阈值#1和阈值#2。在ME向UICC请求获取SUPI后,UICC可以判断SUPI包含的username的长度是否大于阈值#2或小于阈值#1,如果是的话,则根据SUPI生成PSUPI,然后根据PSUPI生成SUCI,将根据PSUPI生成的SUCI发送给ME,以便ME可以使用该SUCI执行注册流程。下面结合图9对方法900的各个步骤进行示例性说明。
S901a,UICC预配置阈值#1和阈值#2。S901a与方法800中的S801a类似,这里不再赘述。
S902a,ME向UICC发送获取标识请求消息。对应地,UICC接收来自ME的该获取标识请求消息。
S903a,UICC判断SUPI的长度是否大于阈值#2,或者小于阈值#1。
示例性地,UICC接收到来自ME的获取标识请求消息之后,判断SUPI的长度是否大于阈值#2,或者小于阈值#1。
在SUPI的长度大于阈值#2,或者小于阈值#1的情况下,UICC执行S904a。应理解,S903a与方法800的S802a类似,区别在于执行的时机不同。
S904与方法800中的S803a类似,S905与方法800中的S805类似,S901b-S903b与方法800中的S801b-S803b类似,S906与方法300中的S303类似,S907-S909与方法300中S309-S311的类似,S910-S911与方法800中的S810-S811类似,S912-S920与方法300中的S313-S321类似,这里不再赘述。
在上述方法800-方法900中,UICC在生成SUCI之前,先判断了SUPI的username的长度是否大于阈值#2或小于阈值#1。在SUPI包含的username的长度大于阈值#2或小于阈值#1的情况下,采用SUPI对应的PSUPI生成SUCI。由于PSUPI包含的用户名的长度大于阈值#1且小于阈值#2,因此生成的SUCI的长度也大于阈值#1且小于阈值#2,因此可以防止因用户隐藏标识的长度过长或多短,导致攻击者可以根据SUCI的长度推测出用户身份的情况,从而可以保护用户的隐私。而如果在SUPI包含的username的长度大于阈值#2或小于阈值#1的情况下,使用SUPI生成SUCI的话,则攻击者便有可能通过SUCI的长度推测出对应的SUPI,从而导致隐私泄露。
图10示出了本申请实施例提供的方法1000的示例性流程图。在方法1000中,UICC预置了两个阈值,即阈值#1和阈值#2。UICC可以预先判断SUPI包含的username的长度是否大于阈值#2或小于阈值#1,如果是的话,则根据SUPI生成PSUPI。UICC可以将PSUPI发送给ME,以便ME可以根据该PSUPI生成SUCI,然后使用该SUCI执行注册流程。下面结合图10对方法1000的各个步骤进行示例性说明。
应理解,S1001a-S1003a与方法800中的S801a-S803a类似,S1001b-S1003b与方法800中的S801b-S803b类似,这里不再赘述。
S1004,ME向UICC发送获取标识请求消息。对应地,UICC接收来自ME的该获取标识请求消息。
S1005,UICC向ME发送获取标识响应消息,该获取标识响应消息中包括SUPI和PSUPI。对应地,ME接收来自UICC的该获取标识响应消息,并从该获取标识响应消息中获取SUPI和PSUPI。
S1006-S1007与方法300中的S306-S307类似,这里不再赘述。
应理解,上述示例是以UICC在S1005向ME发送PSUPI为例进行说明的,但UICC还可以在S1007向ME发送PSUPI,本申请不作限定。
S1008,ME根据PSUPI生成SUIC。S1008与方法600中的S606类似,这里不再赘述。
S1009-S1011与方法300中的S309-S311类似,S1012-S1013与方法800中的S810-S811类似,S1014-S1020与方法300中的S313-S321类似,这里不再赘述。
在上述方法1000中,UICC可以判断SUPI的username的长度是否大于阈值#2或小于阈值#1。在SUPI包含的username的长度大于阈值#2或小于阈值#1的情况下,UICC生成SUPI对应的PSUPI,便将该PSUPI发送给ME,以便ME可以根据PSUPI生成SUCI。由于PSUPI包含的用户名的长度大于阈值#1且小于阈值#2,因此生成的SUCI的长度也大于阈值#1且小于阈值#2,因此可以防止因用户隐藏标识的长度过长或多短,导致攻击者可以根据SUCI的长度推测出用户身份的情况,从而可以保护用户的隐私。而如果在SUPI包含的username的长度大于阈值#2或小于阈值#1的情况下,使用SUPI生成SUCI的话,则攻击者便有可能通过SUCI的长度推测出对应的SUPI,从而导致隐私泄露。
图11示出了本申请实施例提供的方法1100的示例性流程图。在方法1100中,UICC预置了两个阈值,即阈值#1和阈值#2。UICC可以将这两个阈值发送给ME,以便ME可以判断SUPI包含的username的长度是否大于阈值#2或小于阈值#1,如果是的话,则根据SUPI生成PSUPI,并根据该PSUPI生成SUCI,然后使用该SUCI执行注册流程。下面结合图11对方法1100的各个步骤进行示例性说明。
S1101a,UICC预置阈值#1和阈值#2。S1001a与方法800中的S801a类似,这里不再赘述。
S1102a-S1104与方法300中的S304-S306类似,S1101b、S1106b、S1107b与方法800的S801b-S803b类似,这里不再赘述。
S1105,UICC向ME发送参数响应消息,该参数响应消息包括阈值#1、阈值#2、PK和PKID。
S1106,ME判断SUPI的长度是否大于阈值#2,或小于阈值#1。
示例性地,ME接收到SUPI,以及阈值#1和阈值#2之后,判断SUPI的长度是否大于阈值#2,或者小于阈值#1。
在SUPI的长度大于阈值#1,或者小于阈值#2的情况下,ME确定需要生成PSUPI,或者说,ME确定需要通过PSUPI生成SUCI,或者说,ME确定使用通过SUPI生成的SUCI存在安全风险。基于此,ME执行S1107a。
S1107,ME生成与SUPI对应的PSUPI。
S1107与方法800中的S803a类似,区别在于S803a由UICC执行,S1107a由ME执行,这里不再赘述。
S1108与方法600中的S606类似,S1109-S1111与方法300中的S309-S311类似,S1001b-S1103b与方法800中的SS801b-S803b类似,S1112-S1113与方法800中的S810-S811类似,S1114-S1118与方法300中的S313-S317类似,S1119-S1120与方法300中的S320-S321类似这里不再赘述。
在上述方法1100中,ME可以从UICC获取阈值#1和阈值#2,并在生成SUCI之前,先判断了SUPI的username的长度是否大于阈值#2或小于阈值#1。在SUPI包含的username的长度大于阈值#2或小于阈值#1的情况下,则ME采用SUPI对应的PSUPI生成SUCI。由于PSUPI包含的用户名的长度大于阈值#1且小于阈值#2,因此生成的SUCI的长度也大于阈值#1且小于阈值#2,因此可以防止因用户隐藏标识的长度过长或多短,导致攻击者可以根据SUCI的长度推测出用户身份的情况,从而可以保护用户的隐私。而如果在SUPI包含的username的长度大于阈值#2或小于阈值#1的情况下,使用SUPI生成SUCI的话,则攻击者便有可能通过SUCI的长度推测出对应的SUPI,从而导致隐私泄露。
相应于上述各方法实施例给出的方法,本申请实施例还提供了相应的装置,该装置包括用于执行上述各个方法实施例相应的模块。该模块可以是软件,也可以是硬件,或者是软件和硬件结合。可以理解的是,上述各方法实施例所描述的技术特征同样适用于以下装置实施例,因此,未详细描述的内容可以参见上文方法实施例,为了简洁,这里不再赘述。
图12是本申请实施例提供的通信装置10的示意性框图。该装置10包括收发模块11和处理模块12。收发模块11可以实现相应的通信功能,处理模块12用于进行数据处理,或者说该收发模块11用于执行接收和发送相关的操作,该处理模块12用于执行除了接收和发送以外的其他操作。收发模块11还可以称为通信接口或通信单元。
可选地,该装置10还可以包括存储模块13,该存储模块13可以用于存储指令和/或数据,处理模块12可以读取存储模块中的指令和/或数据,以使得装置实现前述各个方法实施例中设备或网元的动作。
在第一种设计中,该装置10可对应于上文方法实施例中的通用集成电路卡(如方法400和410中的通用集成电路卡,或者是方法500至方法1100中的UICC),或者是通用集成电路卡的组成部件(如芯片)。
该装置10可实现对应于上文方法实施例中的通用集成电路卡执行的步骤或者流程,其中,收发模块11可用于执行上文方法实施例中通用集成电路卡的收发相关的操作,处理模块12可用于执行上文方法实施例中通用集成电路卡的处理相关的操作。
在一种可能的实现方式,处理模块12,用于根据该伪标识生成用户隐藏标识,其中,该伪标识中包含的用户名的长度和该用户永久标识中包含的用户名的长度不同,且该伪标识中包含的用户名的长度大于第一阈值且小于第二阈值;收发模块11,用于向移动设备发送该用户隐藏标识。
在第二种设计中,该装置10可对应于上文方法实施例中的数据管理网元(如方法410中的数据管理网元,或者是方法500-方法1100中的UDM),或者是数据管理网元的组成部件(如芯片)。
该装置10可实现对应于上文方法实施例中的数据管理网元执行的步骤或者流程,其中,收发模块11可用于执行上文方法实施例中数据管理网元的收发相关的操作,处理模块12可用于执行上文方法实施例中数据管理网元的处理相关的操作。
一种可能的实现方式,收发模块11,用于接收来自鉴权服务功能网元的请求消息,该请求消息包括用户隐藏标识;处理模块12,用于对该用户隐藏标识进行解密获得该伪标识;以及,根据该伪标识确定该用户永久标识,该伪标识中包含的用户名的长度和该用户永久标识中包含的用户名长度不同,该伪标识中包含的用户名的长度大于第一阈值且小于第二阈值;该收发模块11,还用于向该鉴权服务功能网元发送响应消息,该响应消息包括该用户永久标识。
第三种设计中,该装置10可对应于上文方法实施例中的移动设备(如方法400中的移动设备,或者是方法500-方法1100中的ME),或者是移动设备的组成部件(如芯片)。
该装置10可实现对应于上文方法实施例中的移动设备执行的步骤或者流程,其中,收发模块11可用于执行上文方法实施例中的移动设备的收发相关的操作,处理模块12可用于执行上文方法实施例中移动设备的处理相关的操作。
一种可能的实现方式,收发模块11,用于从通用集成电路卡获得用户永久标识和该用户永久标识对应的伪标识,该伪标识中包含的用户名的长度和该用户永久标识中包含的用户名的长度不同,且该伪标识中包含的用户名的长度大于第一阈值且小于第二阈值;处理模块12,用于根据该伪标识,生成用户隐藏标识;该收发模块11,还用于向移动管理网元发送注册请求消息,该注册请求消息包括该用户隐藏标识;该移动设备接收来自该移动管理网元的认证完成消息;该处理模块12,还用于根据该用户永久标识生成与该移动管理网元通信使用的密钥。
应理解,各模块执行上述相应步骤的具体过程在上述各方法实施例中已经详细说明,为了简洁,在此不再赘述。
还应理解,这里的装置10以功能模块的形式体现。这里的术语“模块”可以指应用特有集成电路(application specific integrated circuit,ASIC)、电子电路、用于执行一个或多个软件或固件程序的处理器(例如共享处理器、专有处理器或组处理器等)和存储器、合并逻辑电路和/或其它支持所描述的功能的合适组件。在一个可选例子中,本领域技术人员可以理解,装置10可以具体为上述实施例中的移动管理网元,可以用于执行上述各方法实施例中与移动管理网元对应的各个流程和/或步骤;或者,装置10可以具体为上述实施例中的终端设备,可以用于执行上述各方法实施例中与终端设备对应的各个流程和/或步骤,为避免重复,在此不再赘述。
上述各个方案的装置10具有实现上述方法中的设备(如移动管理网元,或会话管理网元,或中继终端设备,或远端终端设备)所执行的相应步骤的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块;例如收发模块可以由收发机替代(例如,收发模块中的发送单元可以由发送机替代,收发模块中的接收单元可以由接收机替代),其它单元,如处理模块等可以由处理器替代,分别执行各个方法实施例中的收发操作以及相关的处理操作。
此外,上述收发模块11还可以是收发电路(例如可以包括接收电路和发送电路),处理模块可以是处理电路。
图13是本申请实施例提供另一种通信装置20的示意图。该装置20包括处理器21,处理器21用于执行存储器22存储的计算机程序或指令,或读取存储器22存储的数据/信令,以执行上文各方法实施例中的方法。可选地,处理器21为一个或多个。
可选地,如图13所示,该装置20还包括存储器22,存储器22用于存储计算机程序或指令和/或数据。该存储器22可以与处理器21集成在一起,或者也可以分离设置。可选地,存储器22为一个或多个。
可选地,如图13所示,该装置20还包括收发器23,收发器23用于信号的接收和/或发送。例如,处理器21用于控制收发器23进行信号的接收和/或发送。
作为一种方案,该装置20用于实现上文各个方法实施例中由通用集成电路卡执行的操作。
作为另一种方案,该装置20用于实现上文各个方法实施例中由数据管理网元执行的操作。
作为另一种方案,该装置20用于实现上文各个方法实施例中由移动设备执行的操作。
应理解,本申请实施例中提及的处理器可以是中央处理单元(centralprocessing unit,CPU),还可以是其他通用处理器、数字信号处理器(digital signalprocessor,DSP)、专用集成电路(application specific integrated circuit,ASIC)、现成可编程门阵列(field programmable gate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
还应理解,本申请实施例中提及的存储器可以是易失性存储器和/或非易失性存储器。其中,非易失性存储器可以是只读存储器(read-only memory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory,RAM)。例如,RAM可以用作外部高速缓存。作为示例而非限定,RAM包括如下多种形式:静态随机存取存储器(static RAM,SRAM)、动态随机存取存储器(dynamic RAM,DRAM)、同步动态随机存取存储器(synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(synchlinkDRAM,SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM,DR RAM)。
需要说明的是,当处理器为通用处理器、DSP、ASIC、FPGA或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件时,存储器(存储模块)可以集成在处理器中。
还需要说明的是,本文描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
图14是本申请实施例提供一种芯片系统30的示意图。该芯片系统30(或者也可以称为处理系统)包括逻辑电路31以及输入/输出接口(input/output interface)32。
其中,逻辑电路31可以为芯片系统30中的处理电路。逻辑电路31可以耦合连接存储单元,调用存储单元中的指令,使得芯片系统30可以实现本申请各实施例的方法和功能。输入/输出接口32,可以为芯片系统30中的输入输出电路,将芯片系统30处理好的信息输出,或将待处理的数据或信令信息输入芯片系统30进行处理。
作为另一种方案,该芯片系统30用于实现上文各个方法实施例中由通用集成电路卡(如图4的(a)中的通用集成电路卡,或图5-图11中的UICC)执行的操作。
例如,逻辑电路31用于实现上文方法实施例中由通用集成电路卡执行的处理相关的操作,如,图4的(a)所示实施例中的移动管理网元执行的处理相关的操作,或图5至图11中任意一个所示实施例中的UICC执行的处理相关的操作;输入/输出接口32用于实现上文方法实施例中由通用集成电路卡执行的发送和/或接收相关的操作,如,图4的(a)所示实施例中的通用集成电路卡执行的发送和/或接收相关的操作,或图5至图11中任意一个所示实施例中的UICC执行的发送和/或接收相关的操作。
作为另一种方案,该芯片系统30用于实现上文各个方法实施例中由数据管理网元(如图4的(b)中的数据管理网元,或图5-图11中的UDM)执行的操作。
例如,逻辑电路31用于实现上文方法实施例中由数据管理网元执行的处理相关的操作,如,图4的(b)所示实施例中的数据管理网元执行的处理相关的操作,或图5至图11中任意一个所示实施例中的UDF执行的处理相关的操作;输入/输出接口32用于实现上文方法实施例中由会话管理网元执行的发送和/或接收相关的操作,如,图4的(b)所示实施例中的数据管理网元执行的发送和/或接收相关的操作,或图5至图11中任意一个所示实施例中的UDM执行的发送和/或接收相关的操作。
作为另一种方案,该芯片系统30用于实现上文各个方法实施例中由移动设备(如图4的(a)中的移动设备,或图5-图11中的ME)执行的操作。
例如,逻辑电路31用于实现上文方法实施例中由移动设备执行的处理相关的操作,如,图4的(a)所示实施例中的移动设备执行的处理相关的操作,或图5至图11中任意一个所示实施例中的ME执行的处理相关的操作;输入/输出接口32用于实现上文方法实施例中由移动设备执行的发送和/或接收相关的操作,如,图4的(a)所示实施例中的移动设备执行的发送和/或接收相关的操作,或图5至图11中任意一个所示实施例中的ME执行的发送和/或接收相关的操作。
本申请实施例还提供一种计算机可读存储介质,其上存储有用于实现上述各方法实施例中由设备执行的方法的计算机指令。
例如,该计算机程序被计算机执行时,使得该计算机可以实现上述方法各实施例中由移动管理网元执行的方法。
又如,该计算机程序被计算机执行时,使得该计算机可以实现上述方法各实施例中由终端设备执行的方法。
本申请实施例还提供一种计算机程序产品,包含指令,该指令被计算机执行时以实现上述各方法实施例中由设备(如通用集成电路卡,又如移动设备设备,又如数据管理网元)执行的方法。
本申请实施例还提供一种终端设备,包括前述的通用集成电路卡和移动设备。
本申请实施例还提供了一种通信系统,包括前述的数据管理网元。可选地,还包括前述的通用集成电路卡和移动设备。
上述提供的任一种装置中相关内容的解释及有益效果均可参考上文提供的对应的方法实施例,此处不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。此外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。例如,所述计算机可以是个人计算机,服务器,或者网络设备等。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(solid state disk,SSD)等。例如,前述的可用介质包括但不限于:U盘、移动硬盘、只读存储器(read-onlymemory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。

Claims (36)

1.一种应用于终端设备的通信方法,其特征在于,所述终端设备包括通用集成电路卡和移动设备,所述通用集成电路卡配置有用户永久标识以及所述用户永久标识对应的伪标识,所述方法包括:
所述移动设备向所述通用集成电路卡发送获取标识请求消息;
所述通用集成电路卡接收来自所述移动设备的所述获取标识请求消息;
响应于所述获取标识请求消息,所述通用集成电路卡根据据所述伪标识生成用户隐藏标识,其中,所述伪标识中包含的用户名的长度和所述用户永久标识中包含的用户名的长度不同,且所述伪标识中包含的用户名的长度大于第一阈值且小于第二阈值;
所述通用集成电路卡向所述移动设备发送所述用户隐藏标识;
所述移动设备接收来自所述通用集成电路卡的所述用户隐藏标识;
所述移动设备向移动管理网元发送注册请求消息,所述注册请求消息包括所述用户隐藏标识。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述移动设备接收来自所述移动管理网元的认证完成消息;
所述移动设备向所述通用集成电路卡发送用户标识请求消息;
所述通用集成电路卡接收来自所述移动设备的所述用户标识请求消息;
响应于所述用户标识请求消息,所述通用集成电路卡将所述用户永久标识发送给所述移动设备;
所述移动设备接收来自所述通用集成电路卡的所述用户永久标识;
所述移动设备根据所述用户永久标识生成与所述移动管理网元通信使用的密钥。
3.根据权利要求1或2所述的方法,其特征在于,所述用户永久标识包含的用户名的长度小于所述第一阈值或者大于所述第二阈值。
4.根据权利要求1至3中任一项所述的方法,其特征在于,所述第一阈值和所述第二阈值的取值由运营商网络中签约的多个用户永久标识包含的用户名的长度分布决定。
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述方法还包括:
所述通用集成电路卡确定加密算法;
所述通用集成电路卡根据所述伪标识生成用户隐藏标识,具体为:
在所述加密算法为非空算法的情况下,所述通用集成电路卡根据所述伪标识以及所述加密算法生成用户隐藏标识。
6.根据权利要求1至5中任一项所述的方法,其特征在于,所述用户隐藏标识包括第一指示信息,所述第一指示信息用于指示所述用户隐藏标识是通过所述伪标识生成的。
7.根据权利要求1至5中任一项所述的方法,其特征在于,所述伪标识包括第二指示信息,所述第二指示信息用于指示所述伪标识中包含的用户名为映射的用户名。
8.根据权利要求1至7中任一项所述的方法,其特征在于,所述伪标识和所述用户永久标识均采用网络接入标识格式来表征。
9.一种应用于通用集成电路卡的通信方法,其特征在于,所述通用集成电路卡配置有用户永久标识以及所述用户永久标识对应的伪标识,所述方法包括:
所述通用集成电路卡根据所述伪标识生成用户隐藏标识,其中,所述伪标识中包含的用户名的长度和所述用户永久标识中包含的用户名的长度不同,且所述伪标识中包含的用户名的长度大于第一阈值且小于第二阈值;
所述通用集成电路卡向移动设备发送所述用户隐藏标识。
10.根据权利要求9所述的方法,其特征在于,所述方法还包括:
所述通用集成电路卡接收来自所述移动设备的用户标识请求消息;
响应于所述用户标识请求消息,所述通用集成电路卡将所述用户永久标识发送给所述移动设备。
11.根据权利要求9或10所述的方法,其特征在于,所述用户永久标识包含的用户名的长度小于所述第一阈值或者大于所述第二阈值。
12.根据权利要求1至3中任一项所述的方法,其特征在于,所述第一阈值和所述第二阈值的取值由运营商网络中签约的多个用户永久标识包含的用户名的长度分布决定。
13.根据权利要求9至12中任一项所述的方法,其特征在于,所述方法还包括:
所述通用集成电路卡确定加密算法;
所述通用集成电路卡根据所述伪标识生成用户隐藏标识,具体为:
在所述加密算法为非空算法的情况下,所述通用集成电路卡根据所述伪标识以及所述加密算法生成用户隐藏标识。
14.根据权利要求9至13中任一项所述的方法,其特征在于,所述用户隐藏标识包括第一指示信息,所述第一指示信息用于指示所述用户隐藏标识是通过所述伪标识生成的。
15.根据权利要求9至13中任一项所述的方法,其特征在于,所述伪标识包括第二指示信息,所述第二指示信息用于指示所述伪标识中包含的用户名为映射的用户名。
16.根据权利要求9至15中任一项所述的方法,其特征在于,所述伪标识和所述用户永久标识均采用网络接入标识格式来表征。
17.一种应用于数据管理网元的通信方法,其特征在于,所述数据管理网元配置有用户永久标识以及所述用户永久标识对应的伪标识,所述方法包括:
所述数据管理网元接收来自鉴权服务功能网元的请求消息,所述请求消息包括用户隐藏标识;
所述数据管理网元对所述用户隐藏标识进行解密获得所述伪标识;
所述数据管理网元根据所述伪标识确定所述用户永久标识,所述伪标识中包含的用户名的长度和所述用户永久标识中包含的用户名长度不同,所述伪标识中包含的用户名的长度大于第一阈值且小于第二阈值;
所述数据管理网元向所述鉴权服务功能网元发送响应消息,所述响应消息包括所述用户永久标识。
18.根据权利要求17所述的方法,其特征在于,所述用户永久标识包含的用户名的长度小于所述第一阈值或者大于所述第二阈值。
19.根据权利要求17或18所述的方法,其特征在于,所述第一阈值和所述第二阈值的取值由运营商网络中签约的多个用户永久标识包含的用户名的长度分布决定。
20.根据权利要求17至19中任一项所述的方法,其特征在于,所述数据管理网元根据所述伪标识确定所述用户永久标识,包括:
在所述用户隐藏标识包括第一指示信息的情况下,所述数据管理网元根据所述伪标识确定所述用户永久标识,所述第一指示信息用于指示所述用户隐藏标识是通过所述伪标识生成的。
21.根据权利要求7至19中任一项所述的方法,其特征在于,所述数据管理网元根据所述伪标识确定所述用户永久标识,包括:
在所述伪标识包括第二指示信息的情况下,所述数据管理网元根据所述伪标识确定所述用户永久标识,所述第二指示信息用于指示所述用户隐藏标识是通过所述伪标识生成。
22.根据权利要求17至19中任一项所述的方法,其特征在于,所述数据管理网元根据所述伪标识确定所述用户永久标识,包括:
在所述数据管理网元没有存储与所述伪标识对应的签约数据的情况下,所述数据管理网元根据所述伪标识确定用户永久标识。
23.根据权利要求17至22中任一项所述的方法,其特征在于,所述伪标识和所述用户永久标识均采用网络接入标识格式来表征。
24.一种通信方法,其特征在于,包括:
移动设备从通用集成电路卡获得用户永久标识和所述用户永久标识对应的伪标识,所述伪标识中包含的用户名的长度和所述用户永久标识中包含的用户名的长度不同,且所述伪标识中包含的用户名的长度大于第一阈值且小于第二阈值;
所述移动设备根据所述伪标识,生成用户隐藏标识;
所述移动设备向移动管理网元发送注册请求消息,所述注册请求消息包括所述用户隐藏标识;
所述移动设备接收来自所述移动管理网元的认证完成消息;
响应于所述认证完成消息,所述移动设备根据所述用户永久标识生成与所述移动管理网元通信使用的密钥。
25.根据权利要求24所述的方法,其特征在于,所述用户永久标识包含的用户名的长度小于所述第一阈值或者大于所述第二阈值。
26.根据权利要求24或25所述的方法,其特征在于,所述第一阈值和所述第二阈值的取值由运营商网络中签约的多个用户永久标识包含的用户名的长度分布决定。
27.根据权利要求24至26中任一项所述的方法,其特征在于,所述用户隐藏标识包括第一指示信息,所述第一指示信息用于指示所述用户隐藏标识是通过所述伪标识生成的。
28.根据权利要求24至27中任一项所述的方法,其特征在于,所述伪标识包括第二指示信息,所述第二指示信息用于指示所述伪标识中包含的用户名为映射的用户名。
29.根据权利要求24至28中任一项所述的方法,其特征在于,所述移动设备从通用集成电路卡获得用户永久标识和所述用户永久标识对应的伪标识,包括:
所述移动设备向所述通用集成电路卡发送用户标识请求消息;
所述移动设备接收来自所述通用集成电路卡的所述用户永久标识和所述伪标识。
30.根据权利要求24至28中任一项所述的方法,其特征在于,所述移动设备从通用集成电路卡获得用户永久标识和所述用户永久标识对应的伪标识,包括:
所述移动设备向所述通用集成电路卡发送用户标识请求消息;
所述移动设备接收来自所述通用集成电路卡的所述用户永久标识;
所述移动设备向所述通用集成电路卡发送计算信息请求消息;
所述移动设备接收来自所述通用集成电路卡的公钥和所述伪标识,所述公钥用于生成所述用户隐藏标识。
31.根据权利要求24至30中任一项所述的方法,其特征在于,所述伪标识和所述用户永久标识均采用网络接入标识格式来表征。
32.一种通信装置,其特征在于,所述装置包括:用于执行如权利要求9至16中任一项所述的方法的模块,或者用于执行如权利要求17至23中任一项所述的方法的模块,或者用于执行如权利要求24至31中任一项所述的方法的模块。
33.一种终端设备,其特征在于,包括通用集成电路卡和移动设备,所述通用集成电路卡用于执行如权利要求9至16中任一项所述的方法,所述移动设备用于执行如权利要求24至31中任一项所述的方法。
34.一种通信装置,其特征在于,包括:
处理器,用于执行存储器中存储的计算机程序,以使得所述装置执行如权利要求9至16中任一项所述的方法,或者以使得所述装置执行如权利要求17至23中任一项所述的方法,或者以使得所述装置执行如权利要求24至31中任一项所述的方法。
35.一种计算机程序产品,其特征在于,所述计算机程序产品包括用于执行如权利要求9至16中任一项所述的方法的指令,或者,所述计算机程序产品包括用于执行如权利要求17至23中任一项所述的方法的指令,或者,所述计算机程序产品包括用于执行如权利要求4至31中任一项所述的方法的指令。
36.一种计算机可读存储介质,其特征在于,包括:所述计算机可读存储介质存储有计算机程序;所述计算机程序在计算机上运行时,使得所述计算机执行如权利要求9至16中任一项所述的方法,或者使得所述计算机执行如权利要求17至23中任一项所述的方法,或者使得所述计算机执行如权利要求24至31中任一项所述的方法。
CN202210488627.0A 2022-05-06 2022-05-06 通信方法和装置 Pending CN117062054A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202210488627.0A CN117062054A (zh) 2022-05-06 2022-05-06 通信方法和装置
PCT/CN2023/090190 WO2023213205A1 (zh) 2022-05-06 2023-04-24 通信方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210488627.0A CN117062054A (zh) 2022-05-06 2022-05-06 通信方法和装置

Publications (1)

Publication Number Publication Date
CN117062054A true CN117062054A (zh) 2023-11-14

Family

ID=88646244

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210488627.0A Pending CN117062054A (zh) 2022-05-06 2022-05-06 通信方法和装置

Country Status (2)

Country Link
CN (1) CN117062054A (zh)
WO (1) WO2023213205A1 (zh)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200413253A1 (en) * 2019-06-26 2020-12-31 Qualcomm Incorporated Method and apparatus for enabling 5g services with pre-5g universal integrated circuit card (uicc)
CN112218287B (zh) * 2019-07-12 2023-05-12 华为技术有限公司 一种通信方法及装置
CN114651461A (zh) * 2019-11-04 2022-06-21 瑞典爱立信有限公司 签约隐藏标识符隐私
EP4055859A4 (en) * 2019-11-08 2022-10-26 ZTE Corporation WIRELESS COMMUNICATION METHOD FOR REGISTRATION PROCEDURES

Also Published As

Publication number Publication date
WO2023213205A1 (zh) 2023-11-09

Similar Documents

Publication Publication Date Title
US11743970B2 (en) Session establishment method and apparatus, and packet sending method and apparatus
CN110881184B (zh) 通信方法和装置
KR102332020B1 (ko) 통신 방법 및 통신 장치
JP7127689B2 (ja) コアネットワーク装置、通信端末、及び通信方法
CN107736047A (zh) 用于蜂窝物联网的网络安全架构
CN108886685B (zh) 一种终端匹配方法、装置
CN113543126B (zh) 密钥获取方法及装置
WO2017133021A1 (zh) 一种安全处理方法及相关设备
CN116458109A (zh) 密钥获取方法和通信装置
EP3622736B1 (en) Privacy key in a wireless communication system
WO2023213205A1 (zh) 通信方法和装置
CN113573297B (zh) 一种通信方法及装置
CN111865569B (zh) 一种密钥协商方法及装置
WO2020090743A1 (en) Procedure to update the parameters related to unified access control
WO2023160390A1 (zh) 通信方法与装置
CN113873492B (zh) 一种通信方法以及相关装置
US20240137756A1 (en) Procedure to update the parameters related to unified access control
US20220159457A1 (en) Providing ue capability information to an authentication server
CN117098129A (zh) 通信方法和装置
CN117544947A (zh) 通信方法、装置及可读存储介质
WO2021069359A1 (en) Cryptographic security mechanism for groupcast communication
CN116074828A (zh) 管理安全上下文的方法和装置
CN116074822A (zh) 通信方法、装置及系统
CN116709168A (zh) 一种通信方法及装置
CN115706973A (zh) 一种安全通信的方法及通信装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication