TW201635815A - 無線網路中的身份私密性 - Google Patents

無線網路中的身份私密性 Download PDF

Info

Publication number
TW201635815A
TW201635815A TW105106158A TW105106158A TW201635815A TW 201635815 A TW201635815 A TW 201635815A TW 105106158 A TW105106158 A TW 105106158A TW 105106158 A TW105106158 A TW 105106158A TW 201635815 A TW201635815 A TW 201635815A
Authority
TW
Taiwan
Prior art keywords
pmsi
server
initial
code
causing
Prior art date
Application number
TW105106158A
Other languages
English (en)
Other versions
TWI669970B (zh
Inventor
李秀凡
帕拉尼古德艾納德
伊史考特愛德利恩愛德華
霍恩蓋文伯納德
Original Assignee
高通公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 高通公司 filed Critical 高通公司
Publication of TW201635815A publication Critical patent/TW201635815A/zh
Application granted granted Critical
Publication of TWI669970B publication Critical patent/TWI669970B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/04Registration at HLR or HSS [Home Subscriber Server]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • H04W8/183Processing at user equipment or user record carrier
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/654International mobile subscriber identity [IMSI] numbers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Telephone Function (AREA)

Abstract

揭示用於藉由替代地提供私密性行動用戶身份來保護使用者裝備的國際行動用戶身份的系統和方法。在向服務網路的附著嘗試中,UE提供PMSI而不是IMSI,保護IMSI免受洩露。PMSI是在歸屬網路服務器與UE之間決定的,使得服務網路中的中間節點單元不知曉PMSI與IMSI之間的關係。在接收到附著請求中的PMSI時,伺服器產生要在後續附著請求中使用的下一個PMSI並且將該下一個PMSI發送給UE以進行確認。UE確認下一個PMSI以便在UE與伺服器之間進行同步,並且向伺服器發送確認符記。隨後,UE和伺服器均更新當前和下一個PMSI值的本端複本。

Description

無線網路中的身份私密性 【對相關申請的交叉引用】
本專利申請案請求享有於2015年3月5日提出申請的、名稱為「Identity Privacy in Wireless Networks」的美國臨時專利申請案第62/128,724號的權益,經由引用將其全部揭示內容併入本文。
本案涉及無線通訊系統,並且更具體地說,涉及在無線通訊期間增加用戶身份的私密性。
為了從網路接收服務,未知的使用者裝備(UE)需要向網路進行註冊或以其他方式為網路所知。這是使用網路附著程序來實現的。作為附著程序的一部分,UE發送其國際行動用戶識別(IMSI)號。IMSI是UE在與其進行通訊的(或代表其進行通訊的)所有網路上使用的唯一標識。UE利用附著請求來發送IMSI,該附著請求在行動性管理實體(MME)處接收。
在保護IMSI免受竊聽和追蹤的嘗試中,可以在對UE進行初始地認證之後使用臨時行動用戶身份(TMSI)。TMSI 對特定區域是本地,因此必須在每個區域中重新分配TMSI。此外,TMSI是在UE提供用於初始認證的IMSI之後首次分配的(使得TMSI的分配可以與UE的真實身份相關聯)。有時在初始附著請求中提供全球唯一臨時UE身份(GUTI)而不是IMSI。在UE發送GUTI而不是其IMSI的情況下,MME請求來自可能先前已與UE互動的其他網路單元的標識。若UE為其他網路單元所知,則彼等其他網路單元用IMSI來回應。若UE是未知的,則MME要求UE提供其IMSI以進行標識,該IMSI稍後用於具有位置註冊的更新程序。
在上面方法中的任何一種方法下,IMSI仍然是易受攻擊的。IMSI被包括在初始附著請求中或必須稍後被提供以便被認證。因此,可以經由空中傳輸量來被動地監測IMSI並使用IMSI來決定用戶身份。附著請求中的IMSI常常是明文,使得IMSI對於監測來說甚至更易受攻擊。甚至在UE不發送IMSI的場景中,MME仍然從其他網路單元獲得實際的IMSI,並且數個不同網路單元可以儲存該實際的IMSI(例如,MME、服務閘道(S-GW)及/或PDN閘道(P-GW))。這使得IMSI是易受攻擊的,並且其依賴於服務網路的可信賴性。
在本案內容的一個態樣中,一種用於由使用者裝備(UE)進行的網路存取的方法包括:利用初始附著訊息,從該UE向網路上的伺服器發送私密性行動用戶身份(PMSI),以替代國際行動用戶識別(IMSI)來標識該UE;從該伺服器接收認證請求,該認證請求包括下一個PMSI,該下一個PMSI 是根據該PMSI來推導出的不同值;及從該UE向該伺服器發送對該下一個PMSI的接收確認。
在本案內容的另外態樣中,一種使用者裝備包括:記憶體,其被配置為儲存私密性行動用戶身份(PMSI);收發機,其被配置為利用初始附著訊息,向網路上的伺服器發送PMSI,以替代國際行動用戶識別(IMSI)來標識該UE,以及從該伺服器接收認證請求,該認證請求包括下一個PMSI,該下一個PMSI是根據該PMSI來推導出的不同值;及處理器,其被配置為產生接收確認,其中該收發機亦被配置為向該伺服器發送該接收確認。
在本案內容的另外態樣中,一種具有記錄在其上的程式碼的電腦可讀取媒體包括:用於使使用者裝備(UE)利用初始附著訊息,向網路上的伺服器發送私密性行動用戶身份(PMSI),以替代國際行動用戶識別(IMSI)來標識該UE的代碼;用於使該UE從該伺服器接收認證請求的代碼,該認證請求包括下一個PMSI,該下一個PMSI是根據該PMSI來推導出的不同值;及用於使該UE向該伺服器發送對該下一個PMSI的接收確認的代碼。
在本案內容的另外態樣中,一種用於與網路上的伺服器建立網路存取的方法包括:經由中間服務網路中的一或多個網路單元,經由初始附著訊息來從使用者裝備(UE)接收私密性行動用戶身份(PMSI),以替代國際行動用戶識別(IMSI)來標識該UE;由該伺服器基於該PMSI來決定下一個PMSI;從該伺服器發送包括該下一個PMSI的認證請求;及從 該UE接收包括對該下一個PMSI的確認的接收確認。
在本案內容的另外態樣中,一種伺服器包括:資料庫,其被配置為儲存使用者裝備(UE)的複數個私密性行動用戶身份(PMSI);收發機,其被配置為經由中間服務網路中的一或多個網路單元,經由初始附著訊息來從UE接收私密性行動用戶身份(PMSI),以替代國際行動用戶識別(IMSI)來標識該UE;及處理器,其被配置為基於該PMSI來決定用於該UE的下一個PMSI,其中該收發機亦被配置為發送包括該下一個PMSI的認證請求,以及接收包括對該下一個PMSI的確認的接收確認。
在本案內容的另外態樣中,一種具有記錄在其上的程式碼的電腦可讀取媒體包括:用於使伺服器經由中間服務網路中的一或多個網路單元,經由初始附著訊息來從使用者裝備(UE)接收私密性行動用戶身份(PMSI),以替代國際行動用戶識別(IMSI)來標識該UE的代碼;用於使該伺服器基於該PMSI來決定下一個PMSI的代碼;用於使該伺服器發送包括該下一個PMSI的認證請求的代碼;及用於使該伺服器從該UE接收包括對該下一個PMSI的確認的接收確認的代碼。
100‧‧‧無線通訊網路
102‧‧‧UE
104‧‧‧基地台
106‧‧‧行動性管理實體(MME)
108‧‧‧服務網路
110‧‧‧網路
112‧‧‧伺服器
114‧‧‧歸屬網路
202‧‧‧處理器
204‧‧‧記憶體
206‧‧‧指令
208‧‧‧PMSI模組
210‧‧‧收發機
212‧‧‧數據機子系統
214‧‧‧射頻(RF)單元
216‧‧‧天線
302‧‧‧處理器
304‧‧‧記憶體
306‧‧‧指令
308‧‧‧PMSI模組
310‧‧‧資料庫
312‧‧‧收發機
400‧‧‧MIMO系統
410‧‧‧示例性發射器系統
412‧‧‧資料來源
414‧‧‧發射(TX)資料處理器
420‧‧‧TX MIMO處理器
422a‧‧‧發射器(TMTR)
422t‧‧‧發射器(TMTR)
424a‧‧‧天線
424t‧‧‧天線
430‧‧‧處理器
432‧‧‧記憶體
436‧‧‧資料來源
438‧‧‧TX資料處理器
440‧‧‧解調器
442‧‧‧RX資料處理器
450‧‧‧接收器系統
452a‧‧‧天線
452r‧‧‧天線
454a‧‧‧接收器(RCVR)
454r‧‧‧接收器(RCVR)
460‧‧‧RX資料處理器
470‧‧‧處理器
472‧‧‧記憶體
480‧‧‧TX MIMO處理器
502‧‧‧動作
508‧‧‧動作
514‧‧‧動作
518‧‧‧動作
600‧‧‧示例性方法
602‧‧‧步驟
604‧‧‧步驟
606‧‧‧步驟
608‧‧‧步驟
610‧‧‧步驟
612‧‧‧步驟
614‧‧‧決定步驟
616‧‧‧步驟
618‧‧‧步驟
620‧‧‧步驟
630‧‧‧示例性方法
632‧‧‧步驟
634‧‧‧步驟
636‧‧‧步驟
638‧‧‧步驟
640‧‧‧決定步驟
642‧‧‧步驟
644‧‧‧步驟
646‧‧‧步驟
700‧‧‧示例性方法
702‧‧‧步驟
704‧‧‧決定步驟
706‧‧‧步驟
708‧‧‧步驟
710‧‧‧步驟
712‧‧‧步驟
714‧‧‧決定步驟
716‧‧‧步驟
720‧‧‧示例性方法
722‧‧‧步驟
724‧‧‧步驟
726‧‧‧步驟
728‧‧‧步驟
730‧‧‧決定步驟
734‧‧‧步驟
圖1圖示根據本案內容的各個態樣的無線通訊網路。
圖2是根據本案內容的實施例的示例性UE的方塊圖。
圖3是根據本案內容的實施例的示例性伺服器的方塊圖。
圖4是根據本案內容的各個態樣,圖示示例性發射器系統的方塊圖。
圖5是根據本案內容的各個態樣,圖示在UE、服務網路和歸屬網路之間的、用於支援無線網路中的身份私密性的一些信號傳遞態樣的協定圖。
圖6A是根據本案內容的各個態樣,圖示用於UE發起附著程序的示例性方法的流程圖。
圖6B是根據本案內容的各個態樣,圖示用於伺服器在附著程序中起作用的示例性方法的流程圖。
圖7A是根據本案內容的各個態樣,圖示用於關於UE的PMSI初始化的示例性方法的流程圖。
圖7B是根據本案內容的各個態樣,圖示用於關於伺服器的PMSI初始化的示例性方法的流程圖。
下文結合附圖所闡述的詳細描述意欲作為對各種配置的說明,而非意欲表示其中可以以其實踐本文所描述的概念的唯一配置。出於提供對各種概念的透徹理解的目的,詳細描述包括具體的細節。然而,對於本領域技藝人士來說將顯而易見的是,可以在不具有該等具體細節的情況下實踐該等概念。在一些情形中,以方塊圖形式示出公知的結構和元件以便避免混淆該等概念。
本文所描述的技術可以用於諸如CDMA、TDMA、FDMA、OFDMA、SC-FDMA和其他網路之類的各種無線通訊網路。術語「網路」和「系統」經常可互換地使用。CDMA 網路可以實現諸如通用陸地無線存取(UTRA)、cdma2000等無線技術。UTRA包括寬頻CDMA(WCDMA)以及CDMA的其他變型。cdma2000涵蓋IS-2000、IS-95和IS-856標準。TDMA網路可以實現諸如行動通訊全球系統(GSM)之類的無線技術。OFDMA網路可以實現諸如進化的UTRA(E-UTRA)、超行動寬頻(UMB)、IEEE 802.11(Wi-Fi)、IEEE 802.16(WiMAX)、IEEE 802.20、快閃OFDMA等無線技術。UTRA和E-UTRA是通用行動電信系統(UMTS)的一部分。3GPP長期進化(LTE)和進階的LTE(LTE-A)是UMTS的使用E-UTRA的新版本。在來自名為「第三代合作夥伴計畫」(3GPP)的組織的文件中描述了UTRA、E-UTRA、UMTS、LTE、LTE-A和GSM。在來自名為「第三代合作夥伴計畫2」(3GPP2)的組織的文件中描述了CDMA2000和UMB。本文所描述的技術可以用於上文提到的無線網路和無線技術以及其他無線網路和無線技術,諸如下一代(例如,第五代(5G))網路。本案內容的實施例是針對於可以在上文記載的網路及/或有待開發的網路中的任意一或多個網路上使用的任意類型的調制方案。
本案內容的實施例介紹了用於藉由替代地提供私密性行動用戶身份(PMSI)來保護使用者裝備的國際行動用戶身份的系統和技術。在一個實施例中,UE向服務網路發起附著請求。不是提供IMSI或該服務網路上的一些單元可以仍然用來存取該IMSI的關聯資訊,而是UE為PMSI提供附著請求。隨後,在整個程序中使用PMSI,使得在UE與伺服器之間不需 要IMSI。在一個實施例中,每個PMSI(用於每個UE以及用於特定UE的不同迭代二者)是與眾不同的。這保護IMSI免受竊聽和免受服務網路中的任何潛在的惡意單元之害。繼續該實例,服務網路的單元向UE的歸屬網路上的伺服器(例如,歸屬用戶伺服器(HSS))傳遞PMSI作為認證資訊請求的一部分。HSS定位到PMSI以標識相應的UE並且向網路單元提供認證資訊回應。作為該回應的一部分,HSS亦推導UE用於後續附著請求的下一個PMSI,檢查PMSI衝突,並且向服務網路中的網路單元提供下一個PMSI和PMSI追蹤索引以便傳遞給UE。
可以以加密形式提供下一個PMSI和PMSI追蹤索引。以加密的形式,下一個PMSI和PMSI追蹤索引仍被保護免受服務網路中潛在的惡意網路單元之害和免受竊聽。UE接收所加密的下一個PMSI和PMSI追蹤索引,並且能夠對其進行解密。UE推導出其自身的下一個PMSI副本以確認UE和HSS是同步的。在確認下一個PMSI在UE與HSS之間是同步的之後,UE向伺服器發送確認符記(token)。隨後,UE和伺服器均更新當前和下一個PMSI值的本端複本。HSS不需要為UE儲存PMSI的每次迭代。相反地,HSS可以基於初始PMSI值和期望的PMSI追蹤索引值來得出PMSI的任意迭代。
在進一步的實施例中,初始PMSI可以是在UE與HSS之間商定的。在一個實施例中,初始PMSI是在用戶註冊時商定的,使得將初始PMSI供應給UE的SIM卡並且註冊到HSS。在另一個實施例中,UE在用戶註冊時未被供應有PMSI,而是 發起與HSS的空中註冊。UE可以產生初始PMSI值,並且在使用HSS的公共金鑰(或者UE與HSS之間的其他共享金鑰)來加密該初始PMSI值之後,向HSS發送所建議的初始PMSI。HSS可以利用相應的私密金鑰來解密來自UE的初始PMSI並且決定該PMSI是否與向HSS註冊的任何其他現有PMSI值相衝突。在確認不存在衝突後,HSS可以向UE確認初始PMSI並且儲存該初始PMSI以便在UE稍後發起其第一附著請求時使用。
圖1圖示根據本案內容的各個態樣的無線通訊網路100。無線通訊網路100可以包括多個UE 102以及多個基地台104。僅出於簡化說明和解釋起見,圖1中已圖示單個UE 102和單個基地台104。基地台104可以包括進化型節點B(eNodeB)。基地台亦可以被稱為基地台收發台或存取點。
如所示出的,基地台104與UE 102通訊。UE 102可以經由上行鏈路和下行鏈路與基地台104通訊。下行鏈路(或前向鏈路)代表從基地台104到UE 102的通訊鏈路。上行鏈路(反向鏈路)代表從UE 102到基地台104的鏈路。
UE 102可以散佈於整個無線網路100,並且每個UE 102可以是固定的或移動的。UE 102亦可以被稱為終端、行動站、用戶單元等。UE 102可以是蜂巢式電話、智慧型電話、個人數位助理、無線數據機、膝上型電腦、平板電腦等。無線通訊網路100是應用本案內容的各個態樣的網路的一個例子。
圖1中亦圖示行動性管理實體(MME)106。MME 106可以負責與用戶(例如,UE 102)和通信期管理有關的控制 平面功能。例如,MME 106可以提供行動性通信期管理以及對交遞到其他網路、漫遊和用戶認證的支援。MME 106可以輔助在UE 102的初始附著期間的S-GW的選擇、非存取層(NAS)訊號傳遞、NAS訊號傳遞安全、P-GW選擇、包括專用承載建立的承載管理功能、訊號傳遞傳輸量的合法監聽和其他功能,再次僅舉幾個例子。MME 106和基地台104可以在同一個服務網路108(例如,進化的封包核心(EPC)的一部分)中。將認識到,出於簡化對本案內容的態樣的論述起見,服務網路108包括圖1中未圖示的許多其他網路單元。
MME 106與歸屬網路114中的伺服器112通訊。在一個實施例中,伺服器112是歸屬用戶伺服器(HSS),除了其他事項之外,其維護歸屬位置暫存器(HLR),HLR負責對保存使用者訂閱資訊的一或多個資料庫進行儲存和更新。除了其他事項之外,歸屬網路114中的伺服器112具有UE 102的IMSI(使用者標識/定址)的副本。伺服器112亦可以保存使用者簡檔資訊,該使用者簡檔資訊標識服務訂閱狀態及/或服務品質(QoS)資訊(例如,最大允許的位元速率、允許的傳輸量類別等)。伺服器112亦可以包括認證功能,諸如管理根據使用者身份金鑰來產生的安全資訊和該安全資訊向HLR(和其他網路實體)的供應。利用安全資訊,可以執行網路-UE認證。出於簡化說明和解釋的目的,圖1中圖示一個伺服器112。歸屬網路114可以包括多個HSS。例如,HSS的數量可以取決於行動用戶的數量、設備容量和網路組織。MME 106可以經由網路110來與伺服器112通訊,將認識到,這可以是各種 類型的直接或間接連接。
如下文參照後續的附圖(該附圖包括圖示在UE、服務網路和歸屬網路(以及相關聯的伺服器)之間的、用於支援無線網路中的身份私密性的一些信號傳遞態樣的協定圖)將更詳細描述的,UE 102可以將IMSI排除在外,使用私密性行動用戶身份(PMSI)來與服務網路108和歸屬網路114通訊。PMSI可以是與UE 102特定地相關聯的唯一號碼,並由UE 102和伺服器112保存。在本案內容的實施例中,PMSI可以包括在UE 102和伺服器112二者處商定並保持的初始PMSI。用於UE 102的PMSI的特定值可以使用一次,使得在後續每次UE 102發起附著請求時提供新的PMSI值作為該請求的一部分。UE 102和伺服器112可以僅儲存商定的初始PMSI以及索引。因此,可以基於初始PMSI和用於描述應當執行多少次推導迭代以在UE 102和伺服器112二者處得出特定PMSI的特定索引值的共享知識,來後續地推導出任何PMSI值(例如,使得UE 102和伺服器112關於用於給定通信期的特定PMSI保持一致)。
在一個例子中,UE 102可以將其PMSI而不是IMSI作為其初始附著請求的一部分發送給基地台104。隨後,基地台104將具有UE的PMSI的附著請求轉發給MME 106。MME 106將PMSI包括在去往歸屬網路114的伺服器112的認證資訊請求中。伺服器112能夠基於在來自MME 106的初始附著請求/認證資訊請求中提供的PMSI來標識UE 102,使得不必向服務網路108提供IMSI。從伺服器112回到UE 102的通訊亦同樣基於/包括PMSI而不是IMSI。通訊路徑中的所有該等階段使用 PMSI而不是IMSI減少了UE 102與基地台104之間的空中竊聽的風險,並且消除了從服務網路108中的任何網路單元對UE 102的IMSI的可獲得性,這是由於將儲存PMSI而不是IMSI。
圖2是根據本案內容的實施例的示例性UE 102的方塊圖。UE 102可以具有上文所描述的許多種配置中的任何一種。UE 102可以包括處理器202、記憶體204、PMSI模組208、收發機210和天線216。該等單元可以例如經由一或多個匯流排來彼此直接或間接地通訊。
處理器202可以包括被配置為執行本文中參照上文針對圖1介紹的和下文更詳細論述的UE 102所描述的操作的中央處理單元(CPU)、數位訊號處理器(DSP)、應用特定積體電路(ASIC)、控制器、現場可程式化閘陣列(FPGA)設備、另一種硬體設備、韌體設備,或其任意組合。處理器202亦可以實現為計算設備的組合,例如DSP和微處理器的組合、複數個微處理器、一或多個微處理器連同DSP核心,或任何其他此種結構。
記憶體204可以包括快取記憶體(例如,處理器202的快取記憶體)、隨機存取記憶體(RAM)、磁阻RAM(MRAM)、唯讀記憶體(ROM)、可程式化唯讀記憶體(PROM)、可抹除可程式化唯讀記憶體(EPROM)、電子可抹除可程式化唯讀記憶體(EEPROM)、快閃記憶體、固態記憶體設備、硬碟、其他形式的揮發性和非揮發性記憶體,或不同類型的記憶體的組合。在一個實施例中,記憶體204包括非暫時性電腦可讀取媒體。記憶體204可以儲存指令206。指令206可以包 括以下指令:當該等指令由處理器202執行時,使處理器202執行本文中結合本案內容的實施例參照UE 102所描述的操作。指令206亦可以被稱為代碼。術語「指令」和「代碼」應被廣義地理解為包括任何類型的電腦可讀取語句。例如,術語「指令」和「代碼」可以代表一或多個程式、常式、子常式、函數、程序等。「指令」和「代碼」可以包括單個電腦可讀取語句或許多個電腦可讀取語句。
PMSI模組208可以用於本案內容的各個態樣。例如,PMSI模組208可以涉及初始供應於特定UE 102的PMSI。在一個實施例中,PMSI可以與用於UE 102的IMSI同時被供應給UE 102。例如,在一些情形中,在向HSS(例如,圖1中的伺服器112)進行用戶註冊的期間供應PMSI連同IMSI。可以在製造時在UE 102上的SIM卡中發生此種供應。在另一個實施例中,可以在UE 102與伺服器112之間商定PMSI之前供應IMSI。例如,在已經供應了用於UE 102的IMSI之後,UE 102和伺服器112可以經由空中來商定第一(初始)PMSI。當經由空中商定了PMSI時,UE 102可以產生建議的初始PMSI(如下文關於圖7A將更詳細論述的)並且利用伺服器112所提供的公共金鑰來加密該建議的初始PMSI。以此方式,可以保護由UE 102發送的該建議的初始PMSI免受竊聽和免受服務網路108中潛在受損害的網路單元之害。伺服器112保存相應的私密金鑰並且能夠解密該建議的初始PMSI。伺服器112可以對照一或多個資料庫檢查該建議的初始PMSI,以驗證不存在與由歸屬網路114中的伺服器112或其他單元保存的、任何其他UE的PMSI的衝 突。
PMSI模組208可以額外地涉及到PMSI確認中。如前述,特定的PMSI(基於初始PMSI)可以僅用於預定數量的附著請求(例如,一個、兩個、三個或更多個),使得為後續附著請求提供不同的PMSI值。回應於來自UE 102的附著請求,伺服器112可以產生「下一個PMSI」(將在後續通信期中使用的下一個PMSI值),並且將其作為回應於初始附著請求的認證請求的一部分來與UE 102共享該下一個PMSI。UE 102的PMSI模組208可以基於所儲存的初始PMSI和遞增的索引(如下文進一步所論述的)來計算其自身的下一個PMSI值,並且將本端計算出的下一個PMSI與從伺服器112接收的下一個PMSI進行比較。若存在匹配,則PMSI模組208可以使UE 102產生用於向伺服器112確認該下一個PMSI的回應。若不存在匹配,則PMSI模組208可以利用從具有下一個PMSI的伺服器112接收的索引來更新其本端索引,使得在重新計算之後,該等值匹配。
收發機210可以包括數據機子系統212和射頻(RF)單元214。收發機210被配置為與其他設備(例如,基地台104)雙向地通訊。數據機子系統212可以被配置為根據調制和編碼方案(MCS)(例如,低密度校驗(LDPC)編碼方案、turbo編碼方案、迴旋編碼方案等)對來自PMSI模組208的資料進行調制及/或編碼。RF單元214可以被配置為對來自數據機子系統212(在向外傳輸上)的經調制/經編碼的資料或源自於諸如基地台104之類的另一個源的傳輸的經調制/經編碼的資料進 行處理(例如,執行類比數位轉換或數位類比轉換等)。儘管示出為與收發機210集成在一起,但是數據機子系統212和RF單元214可以是單獨的設備,該等單獨的設備在UE 102處耦合在一起以使得UE 102能夠與其他設備通訊。
RF單元214可以將經調制及/或經處理的資料(例如,資料封包(或者,更一般地,可包含一或多個資料封包或其他資訊(包括PMSI值)的資料訊息))提供給天線216以便傳輸到一或多個其他設備。這可以包括例如根據本案內容的實施例的向基地台104的對資料訊息的傳輸。天線216亦可以接收從基地台104發送的資料訊息並且提供所接收的資料訊息以便在收發機210處進行處理及/或解調。儘管圖2將天線216示出為單個天線,但是天線216可以包括具有相似或不同設計的多個天線以便支援多個傳輸鏈路。
圖3是圖示根據本案內容的實施例的示例性伺服器112的方塊圖。伺服器112可以包括處理器302、記憶體304、PMSI模組308、資料庫310和收發機312。該等單元可以例如經由一或多個匯流排來彼此直接或間接地通訊。如上文參照圖1所提到的,伺服器112可以是提供歸屬位置暫存器和認證功能(僅舉兩個例子)的HSS。
處理器302可以包括被配置為執行本文中參照上文在圖1中介紹的伺服器112所描述的操作的CPU、DSP、ASIC、控制器、FPGA設備、另一種硬體設備、韌體設備,或其任意組合。處理器302亦可以實現為計算設備的組合,例如DSP和微處理器的組合、複數個微處理器、一或多個微處理器連 同DSP核心,或任何其他此種結構。
記憶體304可以包括快取記憶體(例如,處理器302的快取記憶體)、RAM、MRAM、ROM、PROM、EPROM、EEPROM、快閃記憶體、固態記憶體設備、一或多個硬碟、其他形式的揮發性和非揮發性記憶體,或不同類型的記憶體的組合。在一個實施例中,記憶體304包括非暫時性電腦可讀取媒體。記憶體304可以儲存指令306。指令306可以包括以下的指令:當該等指令由處理器302執行時,使處理器302執行本文中結合本案內容的實施例參照伺服器112所描述的操作。指令306亦可以被稱為代碼,其可以被廣義地解釋為包括任何類型的電腦可讀取語句,如上文參照圖2所論述的。
PMSI模組308可以用於本案內容的各個態樣。例如,PMSI模組308可以涉及到初始供應用於特定UE 102的PMSI。在一個實施例中,PMSI可以與用於UE 102的IMSI同時(例如在用戶註冊期間)被供應和儲存在資料庫310中。在另一個實施例中,可以在伺服器112與UE 102之間商定PMSI之前供應IMSI。例如,在已經供應了用於UE 102的IMSI之後,伺服器112可以經由空中與UE 102商定第一(初始)PMSI。當經由空中商定了時,伺服器112可以從UE 102接收由UE 102產生的建議的初始PMSI(如下文關於圖7B將更詳細論述的)。該建議的初始PMSI可能已利用由伺服器112向UE 102提供的公共金鑰來加密。因此,伺服器112可以使用相應的私密金鑰來解密該建議的初始PMSI。以此方式,可以保護PMSI免受竊聽和免受服務網路108中潛在受損害的網路單元之害。伺服器112可 以對照資料庫310中的PMSI值檢查該建議的初始PMSI,以驗證不存在與由歸屬網路114中的伺服器112或其他單元保存的、任何其他UE的PMSI的衝突。
PMSI模組308可以額外地涉及到與UE 102的初始附著程序中。伺服器112可以接收具有來自UE的初始附著請求來的PMSI,並且對照資料庫310中所儲存的PMSI值檢查該PMSI。回應於來自UE 102的附著請求,伺服器112可以產生下一個PMSI,並且將其作為回應於初始附著請求的認證請求的一部分來向UE 102發送該下一個PMSI。回應於從UE 102接收到用於確認下一個PMSI的回應,PMSI模組308更新在資料庫310中所儲存的PMSI值。例如,當前PMSI值變為先前的PMSI值並且下一個PMSI值變為用於後續互動(例如,來自UE 102的後續附著請求)的當前PMSI值。
出於論述的目的,本文提及了四種PMSI值:(1)初始PMSI,其是UE 102和伺服器112用於推導後續PMSI值的初始商定的PMSI值;(2)當前PMSI,其是在當前附著請求程序中使用的PMSI值(例如,UE 102第一次發送初始附著請求時,當前PMSI可以等於初始PMSI,而在其他實施例中可以對PMSI進行迭代一次或多次,使得即使在初始附著請求期間亦保持初始PMSI較安全);(3)在先的或先前的PMSI,其是在當前PMSI之前的PMSI(例如,在先前附著請求中使用的PMSI及/或用於得出當前PMSI的PMSI);及(4)下一個PMSI,其是跟在當前PMSI後面的PMSI(例如,針對商定應當將怎樣的PMSI用於UE 102發起的、與任何給定服務網路108的下一 個附著程序,UE 102和伺服器112二者推導出的PMSI)。
資料庫310可以包括由伺服器112維護的一或多個資料庫,例如上文參照圖1所提到的HLR。資料庫310可以追蹤諸如使用者標識和定址之類的用戶資訊(包括例如IMSI、PMSI(包括初始PMSI、當前PMSI、先前的PMSI及/或下一個PMSI)、PMSI追蹤索引和所有用戶或用戶子集的行動電話號碼)、簡檔資訊(例如,服務訂閱狀態)、以及與每個用戶相關聯的安全資訊(例如,安全金鑰)。
收發機312使得伺服器112能夠進行通訊以向外部源發送資料和從外部源接收資料,該等外部源諸如歸屬網路114或服務網路108中的其他網路單元。收發機312可以實現無線及/或有線通訊。將認識到,收發機312可以包括例如乙太網路連接、WiFi連接,或其他類型的數據機及/或RF子系統。
圖4是根據本案內容的某些態樣,圖示MIMO系統400中的示例性發射器系統410(例如,基地台104)和接收器系統450(例如,UE 102)的方塊圖。在發射器系統410處,從資料來源412向發射(TX)資料處理器414提供多個資料串流的傳輸量資料。根據本案內容的態樣,該傳輸量資料可以包括各種各樣的傳輸量,其包括來自一或多個MME實體的認證請求。
在下行鏈路傳輸中,例如,在各自的發射天線上發送每個資料串流。TX資料處理器414基於為每個資料串流選定的特定編碼方案來對該資料串流的傳輸量資料進行格式化、編碼和交錯以提供經編碼的資料。
可以使用OFDM技術將每個資料串流的經編碼的資料與引導頻資料多工在一起。引導頻資料(例如,引導頻序列)通常是已知的資料模式,其以已知方式被處理並且可以在接收器系統處用於估計通道回應或其他通道參數。可以將引導頻資料格式化成引導頻符號。可以由處理器430執行的指令來決定引導頻符號的數量和引導頻符號在OFDM符號內的放置。
隨後,基於為每個資料串流選定的特定調制方案(例如,BPSK、QSPK、M-PSK或M-QAM)來對該資料串流的多工的引導頻和編碼資料進行調制(亦即,符號映射)以提供調制符號。可以由處理器430執行的指令來決定每個資料串流的資料速率、編碼和調制。亦可以由處理器430執行的指令來決定引導頻符號的數量和引導頻符號在每個訊框中的放置,例如如上文參照圖2或圖3所描述的。發射器系統410亦包括記憶體432,例如如上文參照圖2或圖3所描述的。
隨後將所有資料串流的調制符號提供給TX MIMO處理器420,TX MIMO處理器420可以進一步處理調制符號(例如,針對OFDM)。隨後,TX MIMO處理器420將NT個調制符號串流提供給NT個發射器(TMTR)422 a 至422 t .在一些實施例中,TX MIMO處理器420向資料串流的符號以及向從其發送符號的天線應用波束成形權重。發射器系統410包括具有僅一個天線或具有多個天線的實施例。
每個發射器422接收並處理各自的符號串流以提供一或多個類比信號,並且進一步調節(例如,放大、濾波和 升頻轉換)類比信號以提供適合於在MIMO通道上傳輸的調制信號。隨後,從NT個天線424 a 至424 t 分別發送來自發射器422 a 至422 t 的NT個調制符號。本文所描述的技術亦應用於具有僅一個發射天線的系統。使用一個天線的傳輸比多天線場景要簡單。例如,在單天線場景中可能不需要TX MIMO處理器420。
在接收器系統450處,由NR個天線452 a 至452 r 接收所發送的調制信號,並且將從每個天線452接收的信號提供給各自的接收器(RCVR)454 a 至454 r 。每個接收器454調節(例如,濾波、放大和降頻轉換)各自的接收信號,對經調節的信號進行數位化以提供取樣,並且進一步處理取樣以提供相應的「接收到的」符號串流。本文所描述的技術亦應用於具有僅一個天線452的接收器系統450的實施例。
隨後,RX資料處理器460基於特定的接收器處理技術從接收器454 a 至454 r 接收並處理NR個接收符號串流,以提供NT個經偵測的符號串流。隨後,RX資料處理器460根據需要對每個經偵測的符號串流進行解調、解交錯和解碼,以恢復資料串流的傳輸量資料。根據本案內容的態樣,所恢復的傳輸量可以包括例如來自MME的認證資訊請求中的資訊。由RX資料處理器460進行的處理可以與在發射器系統410處由TX MIMO處理器420和TX資料處理器414執行的處理互補。
由RX資料處理器460所提供的資訊允許處理器470產生諸如通道狀態資訊(CSI)和其他資訊之類的報告以提供給TX資料處理器438。處理器470制定(formulate)包括CSI 及/或引導頻請求的反向鏈路訊息以發送給發射器系統。
處理器470可以實現成例如上文關於圖2或圖3中描述的處理器所描述的。除了反向鏈路訊息之外,接收器系統450可以發送其他各種類型的資訊,包括附著請求、確認符記和用於建立通訊通信期的其他資訊以及在通訊通訊期的資料。訊息可以由TX資料處理器438進行處理、由TX MIMO處理器480進行調制、由發射器454a至454r進行調節,並且被發送回發射器系統410。如所示出的,TX資料處理器438亦可以從資料來源436接收多個資料串流的傳輸量資料。
在發射器系統410處,來自接收器系統450的調制信號由天線424進行接收、由接收器422進行調節、由解調器440進行解調,並且由RX資料處理器442進行處理,以提取由接收器系統450所發送的反向鏈路訊息。因此,可以在發射器系統410與接收器系統450之間發送和接收資料。將認識到,發射器系統410亦可以用於將其從接收器系統450接收的資訊發送給其服務網路內的其他網路單元以及從服務網路中的一或多個其他網路單元接收資訊。圖4中示出的實施例僅是示例性的,本案內容的實施例適用於未在圖4中示出的其他發射器/接收器系統。
圖5是根據本案內容的各個態樣,圖示在UE、服務網路和歸屬網路(以及伺服器)之間的、用於支援無線網路中的身份私密性的一些信號傳遞態樣的協定圖。為了簡化論述,在描述圖5的協定圖中的動作時將引用圖1中示出的單元(例如,UE 102、基地台104(其作為eNB)、MME 106以及 伺服器112(其作為HSS))。進一步出於簡化起見,論述將聚焦於協定流的對本案內容的實施例的態樣進行描述的彼等態樣而不是附著程序的所有態樣(例如,論述將聚焦於除了具有一些重疊的3GPP標準(例如在TS 23.401 5.3.2.1中找到的,或其他附著程序)以外的態樣或不同於具有一些重疊的3GPP標準的態樣)。
在動作502中,UE 102存取在UE 102中所儲存的當前PMSI。在UE 102第一次嘗試附著到服務網路108的情況下,當前PMSI可以對應於初始PMSI(例如,其中PMSI是與UE 102的IMSI同時被供應的,或者其中PMSI是在稍後但在附著請求之前商定的)。在在先的附著程序已發生的實施例中或者由於在伺服器112處的PMSI衝突而成為必要的實施例中,儲存在UE 102中的當前PMSI是在在先的附著程序期間UE與伺服器112之間商定的下一個PMSI。UE 102可以儲存一或多個PMSI值,包括初始PMSI、當前PMSI、先前的PMSI及/或下一個PMSI。在一些情形中,當前PMSI儲存成與先前的PMSI值不同的值。
在一些實施例中,UE 102根據先前的PMSI和PMSI追蹤索引來推導當前PMSI。例如,對於初始PMSI,PMSI追蹤索引可以初始化為0,並且每次UE 102和伺服器112成功地完成附著程序時,可以在UE 102和伺服器112處將PMSI追蹤索引遞增固定值(例如,1)。因此,UE 102和伺服器112中的每一個可以儲存[初始PMSI,PMSI追蹤索引],其可以用於得出當前在使用中的PMSI的任何迭代。每一個亦可以儲存[當前 PMSI,PMSI追蹤索引]並且依賴於PMSI追蹤索引來決定是否需要替代地引用初始PMSI(例如,當索引值在UE 102與伺服器112之間不匹配時)。
在動作504,UE 102例如藉由向基地台104發送初始附著請求,來向服務網路108發送初始附著請求,該初始附著請求隨後前進至MME 106。初始附著請求包括當前PMSI而不是IMSI(或服務網路108內的一或多個單元可以用於與UE 102的IMSI進行關聯的任何其他值)。
在MME 106在動作504期間接收到初始附著請求之後,在動作506,MME 106取得初始附著請求中的資訊並且向伺服器112發送認證資訊請求。該認證資訊請求可以包括當前PMSI和序號,該序號代表UE 102正在存取的服務網路108。
在動作508,在伺服器112在動作506期間已接收到認證資訊請求之後,伺服器112檢查認證資訊請求中所包括的PMSI並且(除了別的操作之外)對照一或多個資料庫檢查PMSI。作為動作508的一部分,伺服器112對PMSI進行解密(當PMSI已被加密時)。例如,伺服器112可以使用與用於對PMSI進行加密的公共金鑰相關聯的私密金鑰來對PMSI進行解密。伺服器112將PMSI與例如在上文圖3中描述的資料庫310中所儲存的值進行比較。當伺服器112發現PMSI值之間的匹配時,伺服器112亦可以檢查與從UE 102接收的當前PMSI相對應的IMSI。
當存在PMSI值的匹配時,作為動作508的一部分,伺服器112(例如,PMSI模組308)可以推導下一個PMSI以便 包括在去往MME 106的認證回應中。在一個實施例中,如以下推導下一個PMSI。將PMSI追蹤索引遞增一固定量(例如,1)並且將其串聯到資料庫310中所儲存的當前PMSI值(如在來自MME 106的認證資訊請求中所標識的)。該值作為輸入連同KPMSI值被包括到另一個推導函數中。KPMSI是PMSI產生金鑰。例如,KPMSI可以是藉由使用金鑰推導函數(KDF)來建立的,該KDF具有原始金鑰K(例如,EPS主金鑰)和PMSI推導上下文CTX作為輸入(例如,KPMSI=KDF(K,CTX))。CTX可以是上下文,例如,諸如「PMSI產生」之類的字串-藉由在金鑰產生中使用上下文,可以使用相同的金鑰K來產生不同的金鑰,諸如藉由併入不同的上下文來得到有差異的金鑰產生結果。
與索引串聯的KPMSI值和PMSI在函數中一起被散列化(例如,(結果=HMAC(KPMSI,PMSI |索引),其中|是串聯運運算元)。可以對函數的結果進行截斷,使得將HMAC函數的輸出(帶金鑰的散列訊息認證碼)限制到固定數量的數位(例如,9-10個數位)。隨後可以將該截斷的結果與行動網路碼(MNC)和行動服務國家碼(MCC)串聯並且所得值變為下一個PMSI。作為截斷的結果,在一個實施例中該值可以是15個數位長,但是將認識到,在不脫離本案內容的範圍的情況下,其他長度(更長和更短)是可能的。在一個實施例中,可以如下描述整個運算:下一個PMSI=MCC | MNC |截斷(HMAC(KPMSI,PMSI |索引)). (公式1)
一般而言,伺服器112可以儲存PMSI(例如,初始及/或當前PMSI)與PMSI追蹤索引。PMSI追蹤索引使得伺服器112能夠藉由對初始PMSI重複地散列化x次來根據初始PMSI計算當前PMSI,其中x等於PMSI追蹤索引值。PMSI追蹤索引對於計帳以及對於衝突避免亦是有用的。例如,伺服器112可以對照其他已知的PMSI值來檢查所產生的下一個PMSI,以驗證不存在與任何其他UE的PMSI的衝突。在存在衝突的情況下,伺服器112可以將索引遞增(例如,遞增1)並且利用新的PMSI-串聯-索引值來重複公式(1)。
在動作510,伺服器112取得所產生的資訊並且將其併入到要發送給MME 106的認證資訊回應中。可以為了認證資訊回應中增加的安全性而對下一個PMSI進行加密,例如,使得MME 106不能夠區分在UE 102與伺服器112之間的下一個PMSI。例如,可以利用根據KPMSI和亂數(RAND)推導出的匿名金鑰(例如,匿名金鑰=函數(KPMSI,RAND))來對下一個PMSI進行加密。
匿名金鑰是藉由將KPMSI和亂數RAND放置到金鑰推導函數中作為輸入而推導出的。金鑰推導函數可以是符合3GPP標準(或未來等同/相似的標準)的任何推導函數,例如f5*。在一個實施例中,金鑰推導函數可以是HMAC函數。因此,在一個實施例中,匿名金鑰可以是由HMAC(KPMSI,RAND)推導出的。在替代的實施例中,匿名金鑰可以是金鑰加密金鑰(KEK),其中啟用了初始服務網路108認證。
作為動作510的一部分,伺服器112可以向MME 106 發送認證資訊回應。認證資訊回應可以包括(除了其他內容以外)認證向量和加密形式的下一個PMSI/PMSI追蹤索引(如由以上描述了其推導的匿名函數所加密的)。在一個實施例中,認證向量自身可以包括認證符記、期望的回應、亂數和本端主金鑰KASME。因此,除了傳統上認證向量可以包括的彼等以外,本案內容的實施例亦包括用於與UE 102同步的下一個PMSI和PMSI追蹤索引。MME 106可以儲存認證向量,但是在一些實施例中,其不儲存經加密的PMSI/PMSI追蹤索引。
在動作512,MME 106藉由向UE 102發送認證請求來參與與UE 102的相互認證。認證請求帶有從動作510的認證資訊回應獲得的資訊。例如,MME 106可以保持期望的回應作為認證的一部分,並且傳遞認證符記、亂數、eUTRAN金鑰集識別符(eKSI)以及經加密的下一個PMSI和PMSI追蹤索引。
在動作514,UE 102(除了與MME 106的傳統相互認證程序以外)確認下一個PMSI並且產生用於返回給伺服器112的確認符記。關於這一點,UE 102從在動作512中接收的認證請求中解密出經加密的下一個PMSI和PMSI追蹤索引值。UE 102能夠解密下一個PMSI和PMSI追蹤索引值,因為UE 102具有伺服器112(而不是MME 106)亦具有的共享秘密金鑰CTX(PMSI推導金鑰)。
UE 102自身推導出下一個PMSI,以便與由伺服器112所產生的下一個PMSI進行比較以確認其是否是同步的。UE 102可以藉由利用下一個PMSI追蹤索引對當前PMSI進行散列化來推導下一個PMSI。或者,UE 102可以藉由對初始 PMSI重複地散列化x次來推導下一個PMSI,其中x等於PMSI追蹤索引值(如UE 102本端地保存的或如從伺服器112解密出的)。隨後UE 102將本端推導出的下一個PMSI與從伺服器112接收的下一個PMSI進行比較。若值匹配,則UE 102可以繼續產生確認符記。
若這兩個下一個PMSI值不匹配(例如,當UE 102使用其自身版本的PMSI追蹤索引時),則UE 102和伺服器112不是同步的。這可能例如在來自UE 102的訊息或去往UE 102的訊息在途中被丟棄的情形中發生。在該場景中,UE 102可以更新其PMSI追蹤索引以對應於從伺服器112接收和解密的PMSI追蹤索引。隨後UE 102可以重新推導下一個PMSI並將其與從伺服器112接收和解密的下一個PMSI再次進行比較。
在下一個PMSI被確認的情況下(該下一個PMSI將用作針對後續附著程序的當前PMSI值),UE 102可以繼續產生確認符記。可以藉由串聯經加密的序號(用於同步)和MAC-A值來產生確認權杖符記。加密態樣包括對在UE 102與伺服器112之間共享的序號進行加密。加密可以是經由另一個匿名金鑰來執行的,在一個實施例中,該另一個匿名金鑰不同於上文在動作510所描述的匿名金鑰(例如,這裡匿名金鑰是使用符合3GPP標準或其他標準的不同函數來推導的)。例如,用於加密序號的匿名金鑰自身可以是由採用上文所描述的KPMSI和亂數作為輸入的各種金鑰推導函數中的任何一種來產生的。
串聯到經加密的序號的MAC-A值是根據訊息認證函 數(例如,f1*)來產生的,訊息認證函數採用另一個匿名金鑰(例如,不同於上文所描述的其他匿名金鑰中的任何一種)、與亂數串聯的序號和認證管理欄位(AMF)值作為輸入。用作訊息認證函數中的輸入的匿名金鑰可以是藉由採用KPMSI和亂數作為輸入的另一個金鑰推導函數來產生的。出於簡化論述起見,描述了該等函數和特定的輸入。將認識到,在不脫離本案內容的範圍的情況下,可以使用其他的函數和對該等函數的其他輸入。
在動作516,UE 102將在動作514產生的確認符記發送回給MME 106和伺服器112作為PMSI確認訊息。PMSI確認訊息可以包括上文關於動作514所產生和描述的認證符記,以及亂數(例如,上文在金鑰推導函數中使用的相同亂數)。在一個實施例中,可以利用附著程序的其他態樣(例如,加密的選項回應訊息)從UE 102向MME 106捎帶(piggyback)PMSI確認訊息,這裡沒有詳細描述。在MME 106處,可以利用發送給伺服器112的另一個訊息(例如,更新位置請求)從MME 106向伺服器112捎帶PMSI確認訊息。
在動作518,在接收到確認符記時,伺服器112用當前PMSI值來更新先前的PMSI,並用下一個PMSI值(其已經由UE 102進行確認,並因此是同步的)來更新當前PMSI。這是有用的,使得在附著程序中使用的PMSI值可以仍然在建立的通訊期在伺服器112、服務網路108和UE 102之間使用,例如在向其他MME的交遞期間,使得UE 102的位置可以向伺服器112適當地更新而無需披露UE 102的IMSI。儘管根據本案內容 ,任何對IMSI的使用由對PMSI的使用來替換,但該附著程序隨後可以繼續包括傳統上執行的其他態樣。
在UE 102的成功認證之後,例如參照圖5所描述的,依據一些管轄區域的法律,可能要求伺服器112向諸如圖1中示出的服務網路108之類的請求服務網路披露UE 102的IMSI。根據本案內容的態樣,在該等情況下伺服器112可以仍然供應PMSI來替代IMSI以防範一或多個惡意網路單元(例如惡意的MME 106)的可能性。
此種請求可能呈現為如下(儘管在圖5中未圖示)。MME 106可以向伺服器112發送對UE 102的IMSI請求。根據本案內容的實施例,由於MME 106在附著程序(或交遞)期間沒有接收到UE 102的IMSI而是接收到PMSI,因此MME 106包括所接收的與UE 102相關聯的PMSI連同KIMSI加密金鑰。KIMSI加密金鑰可以產生為來自函數(例如,具有KASME(存取安全管理實體)和IMSI取回金鑰作為輸入的HMAC函數)的結果。KASME是MME 106基本金鑰,其對於MME 106和伺服器112皆是已知的。
回應於IMSI請求,伺服器112提供IMSI回應。在一個實施例中,在MME 106不具有用來得出IMSI的其他能力的情況下,伺服器112發送PMSI。這是可能的,例如,由於伺服器112仍然保持著UE 102的PMSI與IMSI(其是IMSI請求的主題)之間的關聯,並且因此出於所有意圖,PMSI提供所請求的驗證,這是因為伺服器112將能夠如使用IMSI一樣使用PMSI來存取相同的資訊。在另一個實施例中,伺服器112利用PMSI 以及加密版本的IMSI來進行回應。例如,伺服器112可以取得PMSI和IMSI並且使用KIMSI來對其進行加密。因此,可以僅由有效地擁有KASME的MME 106來正確地解密IMSI。
現在轉到圖6A,根據本案內容的各個態樣,流程圖圖示用於UE使用PMSI來發起附著程序的示例性方法600。可以在與服務網路108(例如,僅示出服務網路108的兩個網路單元,基地台104和MME 106)相通訊的UE 102中實現方法600。出於簡化論述起見,將參照特定的UE 102來描述方法600,但是將認識到的,本文所描述的態樣可以適用於複數個UE 102。應當理解,可以在方法600的步驟之前、期間和之後提供額外的步驟,並且對於方法600的其他實施例來說,可以替換或消除所描述的步驟中的一些步驟。
在步驟602,UE 102存取當前PMSI,該當前PMSI將用於在步驟604處的初始附著請求。如上文參照圖5所論述的,若對於UE 102而言是第一次附著嘗試,則當前PMSI可以是在UE 102處(例如,在記憶體204中)所儲存的初始PMSI。在在先的附著程序已發生的其他實施例中,當前PMSI是在在先的附著程序期間在伺服器112與UE 102之間確認的下一個PMSI。
在步驟604,一旦取得當前PMSI,UE 102就向當前服務網路(例如,如圖1中所示出的108)發送初始附著請求。初始附著請求包括所取得的當前PMSI(而不是IMSI或可以用於重構UE 102的IMSI的其他值)以及其他資訊。初始附著請求可以由基地台104接收,基地台104將該請求轉發給MME 106。在MME 106接收到初始附著請求之後,MME 106取得初始附著請求中的資訊並且向伺服器112發送具有PMSI而不是IMSI的認證資訊請求。
在步驟606,UE 102從服務網路108中的MME 106(例如,經由基地台104)接收認證請求(例如如上文在圖5的動作512處所描述的)。認證請求可以包括來自伺服器112的經加密的下一個PMSI和PMSI追蹤索引,MME 106可能無法存取該經加密的下一個PMSI和PMSI追蹤索引,因為其不具有適當的金鑰來進行解密。
在步驟608,UE 102對從MME 106接收的作為認證請求的一部分的下一個PMSI和PMSI追蹤索引值進行解密。UE 102能夠對下一個PMSI和PMSI追蹤索引值進行解密,因為UE 102具有伺服器112在產生用於加密該等值的匿名金鑰時所使用的共享秘密金鑰,如上文參照圖5的動作508和514所描述的。
在步驟610,UE 102自身推導下一個PMSI值(亦即,無需依賴於在步驟608處接收的下一個PMSI和PMSI追蹤索引)。在一個實施例中,UE 102基於在UE 102處(例如,在記憶體204中)所儲存的先前的PMSI值和PMSI追蹤索引值來推導下一個PMSI值。在另一個實施例中,UE 102基於儲存在UE 102中的初始PMSI值以及PMSI追蹤索引的當前值來推導下一個PMSI值(例如,對PMSI值進行散列化若干次,該次數等於PMSI追蹤索引的當前值)。
在步驟612,UE 102(例如,處理器202與PMSI模組 208合作)將本端推導出的下一個PMSI值與所接收和解密的下一個PMSI值進行比較。
在決定步驟614,若本端推導出的下一個PMSI值與所接收和解密的下一個PMSI值不匹配,則方法600行進到步驟616,其中在步驟616,UE 102將其本端版本的PMSI追蹤索引更新為等於從伺服器112接收和解密的PMSI追蹤索引的值。隨後方法600從步驟616行進回到步驟610,在步驟610該程序如上文所描述的繼續進行。
返回到決定步驟614,若本端推導出的下一個PMSI值與所接收和解密的下一個PMSI值確實匹配,則方法600行進到步驟618。
在步驟618,UE 102(例如,處理器202與PMSI模組208合作)產生要向伺服器112發送的確認符記,例如如上文參照圖5的動作514所描述的。
在步驟620,UE 102例如經由服務網路108的一或多個網路單元向伺服器112發送所產生的確認符記。UE 102亦例如藉由以下方式來更新其本端PMSI值:更新先前的PMSI以反映當前PMSI值(在當前附著程序中使用的PMSI),以及更新當前PMSI以反映同步的下一個PMSI值。將認識到,UE 102和服務網路108可以繼續建立通訊通信期。
圖6B是根據本案內容的各個態樣,圖示用於伺服器在附著程序中使用PMSI的示例性方法630的流程圖。可以在與服務網路108(例如,僅示出服務網路108的一個網路單元例子,MME 106)相通訊的伺服器112中實現方法630。出於簡 化論述起見,將參照伺服器112來描述方法630,但是將認識到的,本文所描述的態樣可以適用於複數個伺服器112。應當理解,可以在方法630的步驟之前、期間和之後提供額外的步驟,並且對於方法630的其他實施例來說可以替換或消除所描述的步驟中的一些步驟。
在步驟632,伺服器112從服務網路108(例如,MME 106)接收認證資訊請求,該認證資訊請求包括由UE 102提供給MME 106的當前PMSI而不是UE 102的IMSI。如上文參照動作506所描述的,MME 106基於該MME 106從UE 102接收的初始附著請求來發送認證資訊請求。
在步驟634,伺服器112(例如,處理器302與PMSI模組308和資料庫310合作)對照已在伺服器112處保存(或可由伺服器112從別處存取)的PMSI值檢查所接收的PMSI,以標識與所接收的PMSI相對應的特定UE 102,例如如上文關於圖5的動作508所描述的。
在步驟636,在發現匹配之後,伺服器112對位於資料庫310中(或可由伺服器112從別處存取)的、與所接收的PMSI相關聯的PMSI追蹤索引進行遞增。PMSI追蹤索引由伺服器112保存並保持與UE的PMSI記錄相關聯。PMSI追蹤索引使得伺服器112能夠基於在UE 102與伺服器112之間商定的初始PMSI來計算UE 102的PMSI的任何迭代,如上文所描述的。此種用於得出PMSI值的任何迭代的能力亦使得伺服器112能夠實現各種計帳和計費目的。伺服器112亦使用PMSI追蹤索引來解決以下情形:其中在由伺服器112推導的可能的下一個PMSI 值與已在伺服器112處保存的用於另一個UE 102的另一個PMSI值之間發生衝突。在一個實施例中,舉例而言,可以將PMSI追蹤索引遞增值1。
在步驟638,伺服器112(例如,處理器302與PMSI模組308合作)推導下一個PMSI。伺服器112可以基於在步驟632處在認證資訊請求中接收的當前PMSI以及來自步驟636的遞增的PMSI追蹤索引來推導下一個PMSI,例如如上文參照圖5中的動作508所描述的。類似地,伺服器可以基於初始PMSI和PMSI追蹤索引值來推導下一個PMSI。
在決定步驟640,伺服器112對照其他已知的PMSI值檢查在步驟638處推導的下一個PMSI,以驗證不存在與任何其他UE的PMSI的衝突。若存在衝突,則方法630行進回到步驟636,其中在步驟636再次遞增PMSI追蹤索引,並且隨後在步驟638利用新的PMSI追蹤索引值來推導下一個PMSI。
返回到決定步驟640,若不存在衝突,則方法630行進到步驟642。在步驟642,伺服器112對下一個PMSI和遞增的PMSI追蹤值進行加密,例如如上文參照圖5中的動作508所描述的。如圖5中所論述的,可以將經加密的下一個PMSI和PMSI追蹤索引值與認證資訊回應連同認證向量包括在一起。
在步驟644,伺服器112向MME 106發送包括經加密的下一個PMSI和PMSI追蹤索引值的認證資訊回應。隨後,MME 106可以參與與UE 102的相互認證。作為該相互認證的一部分,MME 106可以發送經加密的下一個PMSI和PMSI追蹤索引值而無需在MME 106處已解密該資訊。
在UE 102確認下一個PMSI值之後,例如根據圖6A的步驟608-616中的一或多個步驟,方法600行進到步驟646。在步驟646,一旦UE 102確認了下一個PMSI值或者以其他方式完成了同步(例如,藉由發送新建議的下一個PMSI值、請求新的下一個PMSI值,或調整其本端PMSI追蹤索引以反映所接收和解密的PMSI追蹤索引的值),伺服器112經由MME 106從UE 102接收認證符記。作為回應,伺服器112隨後更新其PMSI資訊(例如,伺服器112更新先前的PMSI以反映當前PMSI值(在當前附著程序中使用的PMSI)並且更新當前PMSI以反映同步的下一個PMSI值)。將認識到,UE 102和服務網路108可以繼續建立通訊通信期。
現在轉到圖7A,根據本案內容的各個態樣,流程圖圖示用於關於UE的PMSI初始化的示例性方法700。可以在與基地台104和MME 106相通訊的UE 102中實現方法700。出於簡化論述起見,將參照單個UE 102來描述方法700,但是將認識到的,本文所描述的態樣可以適用於複數個UE 102。應當理解,可以在方法700的步驟之前、期間和之後提供額外的步驟,並且對於方法700的其他實施例來說可以替換或消除所描述的步驟中的一些步驟。
在步驟702,UE 102開始初始化程序。這可以發生在供應(provisioning)UE 102的時候(例如,利用根據本案內容的態樣的IMSI和PMSI值對UE 102的SIM卡進行程式化)或者稍後的時間。
在決定步驟704,UE 102決定其是否已具有在供應的 時候被初始化的PMSI。這可以例如在處理器202、記憶體204和PMSI模組208之間的合作下完成。若PMSI已被初始化,則方法700行進到步驟716,其中在步驟716,儲存初始PMSI並且PMSI初始化方法700結束。若PMSI尚未被初始化,則方法700行進到步驟706。
在步驟706,處理器202和PMSI模組208一起合作並產生建議的初始PMSI。該建議的初始PMSI可以基於各種因素。在一個實施例中,該建議的初始PMSI可以基於UE 102的IMSI,例如基於結合亂數或偽亂數的一或多個散列函數及/或迭代。在另一個實施例中,PMSI未基於UE 102的IMSI,而是基於亂數或偽亂數(僅舉幾個例子),使得任何竊聽者將無法根據PMSI來推導IMSI。
在步驟708,處理器202和PMSI模組208一起合作並對在步驟706處產生的該建議的初始PMSI進行加密。在一個實施例中,PMSI是使用伺服器112在先前一些時間與UE 102共享的公共金鑰來加密的。伺服器112具有用於在接收時對PMSI進行解密的相應私密金鑰。
在步驟710,UE 102例如經由基地台104及/或MME 106,經由收發機210向伺服器112發送經加密的PMSI。
在步驟712,UE 102(經由收發機210)從伺服器112接收用於確認對建議的初始PMSI的接收的回應。
在決定步驟714,處理器202和PMSI模組208一起合作並決定從伺服器112接收的回應是否指示伺服器112接受了建議的初始PMSI。若該回應指示伺服器112接受了建議的初始 PMSI,則方法700行進到步驟716,其中在步驟716,儲存初始PMSI並且方法700結束。若該回應指示伺服器112沒有接受建議的初始PMSI,則方法700返回到步驟706以產生與剛被拒絕的該建議的初始PMSI不同的、新的建議的初始PMSI。例如當存在該PMSI與(例如,在伺服器112的資料庫310中)已儲存的、另一個關聯的UE的任何其他PMSI之間的衝突時,該建議的初始PMSI可能被拒絕。
方法700可以重複進行直到得出UE 102和伺服器112均同意的PMSI為止。在替代的實施例中,若在決定步驟714處UE 102決定伺服器112沒有接受建議的初始PMSI,則UE 102亦可以查看來自伺服器112的回應(與步驟712處相同或不同的回應),以標識伺服器112是否針對UE 102發送其自身建議的初始PMSI。在該實施例中,UE 102可以檢查來自伺服器112的該建議的初始PMSI以決定其對於UE 102是否是可接受的。不出任何問題的話,UE 102可以接受來自伺服器112的該建議的初始PMSI並且向伺服器112通知該接受。一旦商定了初始PMSI,就在UE 102處儲存該初始PMSI以供後續使用,並且方法700在步驟716處結束。
圖7B是根據本案內容的各個態樣,圖示用於關於伺服器的使用PMSI的附著程序的示例性方法720的流程圖。出於簡化論述起見,將關於單個伺服器112和單個UE 102來描述方法720,但是將認識到,本文所描述的態樣可以適用於任意數量的伺服器112及/或UE 102。應當理解,可以在方法720的步驟之前、期間和之後提供額外的步驟,並且對於方法720的其 他實施例來說可以替換或消除所描述的步驟中的一些步驟。
在步驟722,伺服器112例如經由收發機312從UE 102接收經加密的、建議的初始PMSI。
在步驟724,例如經由處理器302、記憶體304和PMSI模組308相合作,伺服器112解密所接收的PMSI。在一個實施例中,所接收的PMSI是利用UE 102處的公共金鑰(其與在伺服器112處保持的私密金鑰或用於伺服器112的私密金鑰相對應)來加密的。
在步驟726,伺服器112將所接收的經解密的PMSI與資料庫310處(或伺服器112處的任何其他資料庫中,或在保存用於複數個UE的資訊並可由伺服器112存取的別處)已存在的用於其他UE的其他PMSI值進行比較。
在步驟728,伺服器112決定是否存在在所接收的、建議的初始PMSI與所儲存的或以其他方式可由伺服器112存取的任何其他PMSI值之間的任何衝突。
在決定步驟730,基於在步驟728的決定結果,伺服器112決定是否接受該建議的初始PMSI。若伺服器112接受該建議的初始PMSI,則方法720行進到步驟734,其中在步驟734,伺服器112向UE 102發送對初始PMSI的接受確認,並且在伺服器112處將該初始PMSI儲存在資料庫310中,使得該初始PMSI與UE 102相關聯(例如,作為伺服器112為UE 102保持的記錄的一部分)。
若在決定步驟730,伺服器112決定其不接受建議的初始PMSI,則方法720行進到步驟732,其中在步驟732,伺服 器112從UE 102請求新的PMSI,伺服器112向UE 102發送請求並等待回應。在替代的實施例中,伺服器112可以替代地自己(on its own accord)產生建議的初始PMSI(回應於決定步驟730),並將該建議的初始PMSI與拒絕一起發送給UE 102。
資訊和信號可以使用多種不同的技術和技藝中的任何技術和技藝來表示。例如,在貫穿上面的描述中可能提及的資料、指令、命令、資訊、信號、位元、符號和碼片可以用電壓、電流、電磁波、磁場或粒子、光場或粒子或者其任意組合來表示。
可以利用被設計為執行本文中所描述功能的通用處理器、DSP、ASIC、FPGA或其他可程式化邏輯裝置、個別閘門或者電晶體邏輯裝置、個別硬體元件或者其任意組合,來實現或執行結合本文揭示內容所描述的各種示例性框和模組。通用處理器可以是微處理器,或者,該處理器亦可以是任何一般的處理器、控制器、微控制器或者狀態機。處理器亦可以實現為計算設備的組合(例如,DSP和微處理器的組合、多個微處理器、一或多個微處理器與DSP核心的結合,或者任何其他此種結構)。
本文所描述的功能可以在硬體、由處理器執行的軟體、韌體,或其任意組合中實現。若在由處理器執行的軟體中實現,則該等功能可以作為一或多個指令或代碼儲存在電腦可讀取媒體上或經由其進行傳輸。其他例子和實現落在本案內容和所附申請專利範圍的保護範圍內。例如,由於軟體的本質,上文所描述的功能可以使用由處理器執行的軟體、 硬體、韌體、硬佈線,或任意該等部件的組合來實現。用於實現功能的特徵亦可以實體地位於各種位置,包括被分佈為使得在不同的實體位置處實現功能的一部分。此外,如本文所使用的(包括在申請專利範圍中),如在項目列表(例如,以諸如「中的至少一個」或「中的一或多個」之類的短語為結束的項目列表)中所使用的「或」指示包含性列表,使得例如列表[A、B或C中的至少一個]意指A或B或C或AB或AC或BC或ABC(亦即,A和B和C)。
本案內容的實施例包括一種使用者裝備(UE),該UE包括:用於利用初始附著訊息,向服務網路發送私密性行動用戶身份(PMSI),以替代國際行動用戶識別(IMSI)來標識該UE的手段;用於從該服務網路接收認證請求的手段,該認證請求包括由與該服務網路進行通訊的伺服器決定的下一個PMSI,該下一個PMSI是根據該PMSI來推導出的;及用於經由該服務網路向該伺服器發送對該下一個PMSI的接收確認的手段。
該UE亦包括:用於根據先前的PMSI來推導該PMSI的手段,其中該先前的PMSI包括初始PMSI。該UE亦包括:用於根據先前的PMSI來推導該PMSI的手段,其中該先前的PMSI包括根據初始PMSI來推導的PMSI值。該UE亦包括:用於由該UE基於初始PMSI來決定用於網路存取的該PMSI的手段。該UE亦包括:用於在該UE向該伺服器進行用戶註冊的期間,接收該初始PMSI的手段。該UE亦包括:用於在經由空中通訊向該伺服器進行用戶註冊之後,供應該初始PMSI的手段。該UE 亦包括:用於產生建議的PMSI的手段;用於使用伺服器公共金鑰來加密所產生的PMSI的手段,其中該伺服器保存相應的伺服器私密金鑰;及用於從該伺服器接收要使用所產生的PMSI作為該初始PMSI的確認的手段。該UE亦包括:用於決定基於UE的下一個PMSI的手段;及用於將該基於UE的下一個PMSI與作為該認證請求的一部分而接收的該下一個PMSI進行比較,以決定是否存在匹配的手段。該UE亦包括:用於回應於決定存在匹配,產生確認符記的手段,該接收確認包括該確認符記;及用於在該UE處儲存所確認的下一個PMSI以用於下一個附著訊息中的手段。該UE亦包括:用於使用匿名金鑰來解密該認證請求中的該下一個PMSI的手段,其中該匿名金鑰是根據在該UE與該伺服器之間共享的秘密金鑰來推導出的。
本案內容的實施例亦包括一種伺服器,該伺服器包括:用於經由中間服務網路中的一或多個網路單元,經由初始附著訊息來從使用者裝備(UE)接收私密性行動用戶身份(PMSI),以替代國際行動用戶識別(IMSI)來標識該UE的手段;用於由該伺服器基於該PMSI來決定下一個PMSI的手段;用於從該伺服器向該服務網路發送包括該下一個PMSI的認證資訊的手段,其中作為認證的一部分,該下一個PMSI由該服務網路中繼給該UE;及用於經由該服務網路從該UE接收包括對該下一個PMSI的確認的接收確認的手段。
該伺服器亦包括:用於根據先前的PMSI來推導該下一個PMSI的手段,其中該先前的PMSI包括初始PMSI。該伺服 器亦包括:用於根據先前的PMSI來推導該下一個PMSI的手段,其中該先前的PMSI包括根據初始PMSI來推導的PMSI值。該伺服器亦包括:用於由該伺服器基於初始PMSI來決定用於網路存取的該PMSI的手段。該伺服器亦包括:用於在該伺服器處,在該UE向該伺服器進行用戶註冊的期間接收該初始PMSI的手段。該伺服器亦包括:用於從該UE接收建議的初始PMSI的手段;用於由該伺服器使用伺服器私密金鑰來解密在該UE處經由相應的伺服器公共金鑰來加密的該建議的初始PMSI的手段;及用於向該UE發送將該建議的初始PMSI作為該初始PMSI的確認的手段。該伺服器亦包括:用於根據在該伺服器與該UE之間共享的秘密金鑰來推導匿名金鑰的手段;用於使用所推導的匿名金鑰來加密該認證資訊中的該下一個PMSI的手段;用於作為該確認的一部分,接收對該下一個PMSI進行確認的確認符記的手段;及用於在該伺服器處儲存該下一個PMSI以替代該PMSI,以用於回應來自該UE的後續初始附著訊息的手段。該伺服器亦包括:用於偵測該下一個PMSI與關聯於不同的UE的另一個現有PMSI之間的衝突的手段;及用於對PMSI索引進行遞增,並且基於該下一個PMSI和經遞增的PMSI索引來決定新的下一個PMSI的手段。該伺服器亦包括:用於從與該伺服器所位於的歸屬網路分開的該服務網路上的行動性管理實體(MME)接收針對該UE的該IMSI的請求的手段;及用於回應於該請求,發送在該初始附著訊息中所使用的、該UE的該PMSI而不是該UE的該IMSI的手段。該伺服器亦包括:用於針對對利用該初始附著訊息包括的該PMSI的匹配, 搜尋一或多個資料庫的手段;及用於回應於沒有定位到匹配,發送針對該UE的通知來修改在該UE處保存的PMSI索引以便在該UE處產生經更新的PMSI的手段。
本案內容的實施例亦包括一種用於由使用者裝備(UE)進行的網路存取的方法,該方法包括:由該UE決定在服務網路處進行附著;及從該UE向該服務網路發送初始附著訊息,該初始附著訊息包括臨時識別符(ID)以替代用於該UE的永久ID,其中基於該臨時ID來建立與該服務網路的認證伺服器(HSS)的安全上下文。
該方法亦包括:從該服務網路的該HSS接收認證請求,該認證請求包括由該HSS決定的下一個臨時ID,該下一個臨時ID是根據該初始附著訊息中所包括的該臨時ID來推導出的。該方法亦包括:從該UE經由該服務網路向該HSS發送對該下一個臨時ID的接收確認。
本案內容的實施例亦包括一種使用者裝備,該使用者裝備包括:記憶體,其被配置為儲存臨時識別符(ID);處理器,其被配置為決定在服務網路處進行附著;及收發機,其被配置為向該服務網路發送初始附著訊息,該初始附著訊息包括臨時ID以替代用於該UE的永久ID,其中與該服務網路的認證伺服器(HSS)的安全上下文是基於該臨時ID來建立的。
該UE亦包括:其中該收發機亦被配置為從該服務網路的該HSS接收認證請求,該認證請求包括由該HSS決定的下一個臨時ID,該下一個臨時ID是根據該初始附著訊息中所包 括的該臨時ID來推導出的。該UE亦包括:其中該處理器亦被配置為產生接收確認,並且該收發機亦被配置為經由該服務網路向該HSS發送該接收確認。
本案內容的實施例亦包括一種用於與網路上的伺服器建立網路存取的方法,該方法包括:經由服務網路從使用者裝備(UE)接收初始附著訊息,該初始附著訊息包括臨時識別符(ID)以替代用於該UE的永久ID;及基於該臨時ID來建立安全上下文。
該方法亦包括:基於該初始附著訊息中所包括的該臨時ID來決定下一個臨時ID。該方法亦包括:作為認證的一部分,從該伺服器經由該服務網路向該UE發送包括該下一個臨時ID的認證資訊。該方法亦包括:經由該服務網路從該UE接收包括對該下一個臨時ID的確認的接收確認。
本案內容的實施例亦包括一種伺服器,該伺服器包括:收發機,其被配置為經由服務網路從使用者裝備(UE)接收初始附著訊息,該初始附著訊息包括臨時識別符(ID)以替代用於該UE的永久ID;及處理器,其被配置為基於該臨時ID來建立安全上下文。
該伺服器亦包括:其中該處理器亦被配置為基於該初始附著訊息中所包括的該臨時ID來決定下一個臨時ID。該伺服器亦包括:其中該收發機亦被配置為:作為認證的一部分,經由該服務網路向該UE發送包括該下一個臨時ID的認證資訊。該伺服器亦包括:其中該收發機亦被配置為經由該服務網路從該UE接收包括對該下一個臨時ID的確認的接收確認 。
如本領域技藝人士到目前為止將意識到的,並且取決於手邊的特定應用,可以在使用本案內容的設備的材料、裝置、配置和方法中或對使用本案內容的設備的材料、裝置、配置和方法進行許多種修改、替換和變更。鑒於這一點,本案內容的範圍不應受限於本文示出和描述的特定實施例,因為該等特定實施例是僅經由其一些例子來舉例說明的,而是相反地,該範圍應與所附申請專利範圍及其功能均等物的範圍完全相稱。
600‧‧‧示例性方法
602‧‧‧步驟
604‧‧‧步驟
606‧‧‧步驟
608‧‧‧步驟
610‧‧‧步驟
612‧‧‧步驟
614‧‧‧決定步驟
616‧‧‧步驟
618‧‧‧步驟
620‧‧‧步驟

Claims (49)

  1. 一種用於由一使用者裝備(UE)進行的網路存取的方法,包括:利用一初始附著訊息,從該UE向一服務網路發送一私密性行動用戶身份(PMSI),以替代一國際行動用戶識別(IMSI)來標識該UE;從該服務網路接收一認證請求,該認證請求包括由與該服務網路進行通訊的一伺服器決定的下一個PMSI,該下一個PMSI是根據該PMSI來推導出的;及從該UE經由該服務網路向該伺服器發送對該下一個PMSI的一接收確認。
  2. 根據請求項1之方法,亦包括:由該UE基於一初始PMSI來決定用於網路存取的該PMSI。
  3. 根據請求項2之方法,亦包括:在該UE向該伺服器進行一用戶註冊的期間,接收該初始PMSI。
  4. 根據請求項2之方法,亦包括:在經由一空中通訊向該伺服器進行一用戶註冊之後,供應該初始PMSI。
  5. 根據請求項4之方法,亦包括:由該UE產生一建議的PMSI;由該UE使用一伺服器公共金鑰來加密所產生的PMSI,其中該伺服器保存一相應的伺服器私密金鑰;及在該UE處,從該伺服器接收要使用所產生的PMSI作為該初始PMSI的確認。
  6. 根據請求項1之方法,亦包括:決定一基於UE的下一個PMSI;及將該基於UE的下一個PMSI與作為該認證請求的一部分而接收的該下一個PMSI進行比較,以決定是否存在一匹配。
  7. 根據請求項6之方法,亦包括:回應於決定存在一匹配,產生一確認符記,該接收確認包括該確認符記;及在該UE處儲存所確認的下一個PMSI以用於下一個附著訊息中。
  8. 根據請求項1之方法,其中該接收該認證請求之步驟亦包括:使用一匿名金鑰來解密該認證請求中的該下一個PMSI,其中該匿名金鑰是根據在該UE與該伺服器之間共享的一秘密金鑰來推導出的。
  9. 一種使用者裝備,包括:一記憶體,其被配置為儲存一私密性行動用戶身份(PMSI);一收發機,其被配置為:利用一初始附著訊息,向一服務網路發送該PMSI,以替代一國際行動用戶識別(IMSI)來標識該UE;及從該服務網路接收一認證請求,該認證請求包括由與該服務網路進行通訊的一伺服器決定的下一個PMSI,該下一個PMSI是根據該PMSI來推導出的;及一處理器,其被配置為產生一接收確認,其中該收發機亦被配置為經由該服務網路向該伺服器發送該接收確認。
  10. 根據請求項9之使用者裝備,其中該處理器亦被配置為:基於儲存在該記憶體中的一初始PMSI來決定用於網路存取的該PMSI。
  11. 根據請求項10之使用者裝備,其中該使用者裝備在該UE向該伺服器進行一用戶註冊的期間接收該初始PMSI。
  12. 根據請求項10之使用者裝備,其中該使用者裝備被配置為在經由一空中通訊向該伺服器進行一用戶註冊之後供應該初始PMSI。
  13. 根據請求項12之使用者裝備,其中: 該處理器亦被配置為產生一建議的初始PMSI,並使用一伺服器公共金鑰來加密所產生的PMSI,其中該網路上的該伺服器保存一相應的伺服器私密金鑰;及該收發機亦被配置為從該伺服器接收要使用所產生的PMSI作為該初始PMSI的確認。
  14. 根據請求項9之使用者裝備,其中該處理器亦被配置為:決定一基於UE的下一個PMSI,並且將該基於UE的下一個PMSI與作為該認證請求的一部分而接收的該下一個PMSI進行比較,以決定是否存在一匹配。
  15. 根據請求項14之使用者裝備,其中該處理器亦被配置為:回應於決定存在一匹配,產生一確認符記,該接收確認包括該確認符記。
  16. 根據請求項14之使用者裝備,其中該記憶體亦被配置為儲存該下一個PMSI以用於一下一個附著訊息中。
  17. 根據請求項9之使用者裝備,其中該處理器亦被配置為使用一匿名金鑰來解密該認證請求中的該下一個PMSI,其中該匿名金鑰是根據在該UE與該伺服器之間共享的一秘密金鑰來推導出的。
  18. 一種用於與一網路上的一伺服器建立網路存取的方法,包括:經由一中間服務網路中的一或多個網路單元,經由一初始附著訊息來從一使用者裝備(UE)接收一私密性行動用戶身份(PMSI),以替代一國際行動用戶識別(IMSI)來標識該UE;由該伺服器基於該PMSI來決定下一個PMSI:從該伺服器向該服務網路發送包括該下一個PMSI的認證資訊,其中作為認證的一部分,該下一個PMSI由該服務網路中繼給該UE;及經由該服務網路從該UE接收包括對該下一個PMSI的確認的一接收確認。
  19. 根據請求項18之方法,亦包括:由該伺服器基於一初始PMSI來決定用於網路存取的該PMSI。
  20. 根據請求項19之方法,亦包括:在該伺服器處,在該UE向該伺服器進行一用戶註冊的期間接收該初始PMSI。
  21. 根據請求項19之方法,亦包括:從該UE接收一建議的初始PMSI;由該伺服器使用一伺服器私密金鑰來解密在該UE處經由 一相應的伺服器公共金鑰來加密的該建議的初始PMSI;及向該UE發送對將該建議的初始PMSI作為該初始PMSI的一確認。
  22. 根據請求項18之方法,亦包括:根據在該伺服器與該UE之間共享的一秘密金鑰來推導一匿名金鑰;使用所推導的匿名金鑰來加密該認證資訊中的該下一個PMSI;作為該確認的一部分,接收用於對該下一個PMSI進行確認的一確認符記;及在該伺服器處儲存該下一個PMSI來替代該PMSI,以用於回應來自該UE的一後續初始附著訊息。
  23. 根據請求項18之方法,其中該決定亦包括:偵測該下一個PMSI與關聯於不同的UE的另一個現有PMSI之間的一衝突;及對一PMSI索引進行遞增,並且基於該下一個PMSI和所遞增的PMSI索引來決定一新的下一個PMSI。
  24. 根據請求項18之方法,亦包括:從與該伺服器所位於的一歸屬網路分開的該服務網路上的一行動性管理實體(MME)接收針對該UE的該IMSI的請求;及 回應於該請求,發送在該初始附著訊息中所使用的、該UE的該PMSI而不是該UE的該IMSI。
  25. 根據請求項18之方法,亦包括:針對對利用該初始附著訊息包括的該PMSI的一匹配,搜尋一或多個資料庫;及回應於沒有定位到一匹配,發送針對該UE的一通知來修改在該UE處保存的一PMSI索引以便在該UE處產生一經更新的PMSI。
  26. 一種伺服器,包括:一資料庫,其被配置為儲存使用者裝備(UE)的複數個私密性行動用戶身份(PMSI);一收發機,其被配置為:經由一中間服務網路中的一或多個網路單元,經由一初始附著訊息來從一UE接收一私密性行動用戶身份(PMSI),以替代一國際行動用戶識別(IMSI)來標識該UE;及一處理器,其被配置為基於該PMSI來決定用於該UE的下一個PMSI;其中該收發機亦被配置為:向該服務網路發送包括該下一個PMSI的認證資訊,其中作為認證的一部分,該下一個PMSI由該服務網路中繼給該UE,並且經由該服務網路從該UE接收包括對該下一個PMSI的確認的一接收確認。
  27. 根據請求項26之伺服器,其中該處理器亦被配置為基於一初始PMSI來決定用於網路存取的該PMSI。
  28. 根據請求項27之伺服器,其中該收發機亦被配置為在該UE向該伺服器進行一用戶註冊的期間接收該初始PMSI。
  29. 根據請求項27之伺服器,其中:該收發機亦被配置為從該UE接收一建議的初始PMSI;該處理器亦被配置為使用一伺服器私密金鑰來解密在該UE處經由一相應的伺服器公共金鑰來加密的該建議的初始PMSI;及該收發機亦被配置為向該UE發送對將該建議的初始PMSI作為該初始PMSI的一確認。
  30. 根據請求項26之伺服器,其中:該處理器亦被配置為根據在該伺服器與該UE之間共享的秘密金鑰來推導匿名金鑰,以及使用所推導的匿名金鑰來加密該認證資訊中的該下一個PMSI;該收發機亦被配置為:作為該確認的一部分,接收用於對該下一個PMSI進行確認的確認符記;及該資料庫亦被配置為儲存該下一個PMSI,以替代該PMSI,以用於回應來自該UE的一後續初始附著訊息。
  31. 根據請求項26之伺服器,其中作為該決定的一部分,該 處理器亦被配置為:在該資料庫中偵測該下一個PMSI與關聯於一不同的UE的另一個現有PMSI之間的一衝突;及對一PMSI索引進行遞增,並且基於該下一個PMSI和所遞增的PMSI索引來決定一新的下一個PMSI。
  32. 根據請求項26之伺服器,其中該收發機亦被配置為:從與該伺服器所位於的一歸屬網路分開的該服務網路上的一行動性管理實體(MME)接收針對該UE的該IMSI的一請求;及回應於該請求,發送在該初始附著訊息中所使用的、該UE的PMSI而不是該UE的該IMSI。
  33. 根據請求項26之伺服器,其中:該處理器亦被配置為:針對對利用該初始附著訊息包括的該PMSI的一匹配,搜尋該資料庫;及該收發機亦被配置為:回應於沒有定位到一匹配,發送針對該UE的一通知來修改在該UE處保存的一PMSI索引以便在該UE處產生一經更新的PMSI。
  34. 一種具有記錄在其上的程式碼的電腦可讀取媒體,該程式碼包括:用於使一使用者裝備(UE)利用一初始附著訊息,向一服務網路發送一私密性行動用戶身份(PMSI),以替代一國 際行動用戶識別(IMSI)來標識該UE的代碼;用於使該UE從該服務網路接收一認證請求的代碼,該認證請求包括由與該服務網路進行通訊的一伺服器決定的下一個PMSI,該下一個PMSI是根據該PMSI來推導出的;及用於使該UE經由該服務網路向該伺服器發送對該下一個PMSI的接收確認的代碼。
  35. 根據請求項34之電腦可讀取媒體,亦包括:用於使該UE基於一初始PMSI來決定用於網路存取的該PMSI的代碼。
  36. 根據請求項35之電腦可讀取媒體,亦包括:用於使該UE在該UE向該伺服器進行一用戶註冊的期間,接收該初始PMSI的代碼。
  37. 根據請求項35之電腦可讀取媒體,亦包括:用於使該UE在經由一空中通訊向該伺服器進行一用戶註冊之後,供應該初始PMSI的代碼。
  38. 根據請求項37之電腦可讀取媒體,亦包括:用於使該UE產生一建議的PMSI的代碼;用於使該UE使用一伺服器公共金鑰來加密所產生的PMSI的代碼,其中該伺服器保存一相應的伺服器私密金鑰;及 用於使該UE從該伺服器接收要使用所產生的PMSI作為該初始PMSI的確認的代碼。
  39. 根據請求項34之電腦可讀取媒體,亦包括:用於使該UE決定一基於UE的下一個PMSI的代碼;及用於使該UE將該基於UE的下一個PMSI與作為該認證請求的一部分而接收的該下一個PMSI進行比較,以決定是否存在一匹配的代碼。
  40. 根據請求項39之電腦可讀取媒體,亦包括:用於使該UE回應於決定存在匹配,產生確認符記的代碼,該接收確認包括該確認符記;及用於使該UE在該UE處儲存所確認的下一個PMSI以用於下一個附著訊息中的代碼。
  41. 根據請求項34之電腦可讀取媒體,亦包括:用於使該UE使用一匿名金鑰來解密該認證請求中的該下一個PMSI的代碼,其中該匿名金鑰是根據在該UE與該伺服器之間共享的一秘密金鑰來推導出的。
  42. 一種具有記錄在其上的程式碼的電腦可讀取媒體,該程式碼包括:用於使一伺服器經由一中間服務網路中的一或多個網路單元經由一初始附著訊息來從一使用者裝備(UE)接收一私 密性行動用戶身份(PMSI),以替代一國際行動用戶識別(IMSI)來標識該UE的代碼;用於使該伺服器基於該PMSI來決定下一個PMSI的代碼;用於使該伺服器向該服務網路發送包括該下一個PMSI的認證資訊的代碼,其中作為認證的一部分,該下一個PMSI由該服務網路中繼給該UE;及用於使該伺服器經由該服務網路從該UE接收包括對該下一個PMSI的確認的一接收確認的代碼。
  43. 根據請求項42之電腦可讀取媒體,亦包括:用於使該伺服器基於一初始PMSI來決定用於網路存取的該PMSI的代碼。
  44. 根據請求項43之電腦可讀取媒體,亦包括:用於使該伺服器在該UE向該伺服器進行一用戶註冊的期間接收該初始PMSI的代碼。
  45. 根據請求項43之電腦可讀取媒體,亦包括:用於使該伺服器從該UE接收一建議的初始PMSI的代碼;用於使該伺服器使用一伺服器私密金鑰來解密在該UE處經由相應的伺服器揭示金鑰來加密的該建議的初始PMSI的代碼;及用於使該伺服器向該UE發送對將該建議的初始PMSI作為該初始PMSI的確認的代碼。
  46. 根據請求項42之電腦可讀取媒體,亦包括:用於使該伺服器根據在該伺服器與該UE之間一共享的秘密金鑰來推導匿名金鑰的代碼;用於使該伺服器使用所推導的匿名金鑰來加密該認證資訊中的該下一個PMSI的代碼;用於使該伺服器作為該確認的一部分,接收對該下一個PMSI進行確認的一確認符記的代碼;及用於使該伺服器在該伺服器處儲存該下一個PMSI,以替代該PMSI,以用於回應來自該UE的一後續初始附著訊息的代碼。
  47. 根據請求項42之電腦可讀取媒體,其中該計算亦包括:用於使該伺服器偵測該下一個PMSI與關聯於一不同的UE的另一個現有PMSI之間的衝突的代碼;及用於使該伺服器對一PMSI索引進行遞增並且基於該下一個PMSI和經遞增的PMSI索引來決定新的下一個PMSI的代碼。
  48. 根據請求項42之電腦可讀取媒體,亦包括:用於使該伺服器從與該伺服器所位於的一歸屬網路分開的該服務網路上的一行動性管理實體(MME)接收針對該UE的該IMSI的一請求的代碼;及用於使該伺服器回應於該請求,發送在該初始附著訊息中所使用的、該UE的PMSI而不是該UE的該IMSI的代碼。
  49. 根據請求項42之電腦可讀取媒體,亦包括:用於使該伺服器針對對利用該初始附著訊息包括的該PMSI的一匹配,搜尋一或多個資料庫的代碼;及用於使該伺服器回應於沒有定位到一匹配,發送針對該UE的一通知來修改在該UE處保存的一PMSI索引以便在該UE處產生一經更新的PMSI的代碼。
TW105106158A 2015-03-05 2016-03-01 無線網路中的身份私密性 TWI669970B (zh)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US201562128724P 2015-03-05 2015-03-05
US62/128,724 2015-03-05
US14/808,862 US10237729B2 (en) 2015-03-05 2015-07-24 Identity privacy in wireless networks
US14/808,862 2015-07-24

Publications (2)

Publication Number Publication Date
TW201635815A true TW201635815A (zh) 2016-10-01
TWI669970B TWI669970B (zh) 2019-08-21

Family

ID=55456952

Family Applications (2)

Application Number Title Priority Date Filing Date
TW108125658A TWI722497B (zh) 2015-03-05 2016-03-01 無線網路中的身份私密性
TW105106158A TWI669970B (zh) 2015-03-05 2016-03-01 無線網路中的身份私密性

Family Applications Before (1)

Application Number Title Priority Date Filing Date
TW108125658A TWI722497B (zh) 2015-03-05 2016-03-01 無線網路中的身份私密性

Country Status (9)

Country Link
US (2) US10237729B2 (zh)
EP (2) EP3846514B1 (zh)
JP (1) JP6588562B2 (zh)
KR (2) KR102255079B1 (zh)
CN (2) CN112312379B (zh)
AU (2) AU2016226500B2 (zh)
ES (1) ES2876269T3 (zh)
TW (2) TWI722497B (zh)
WO (1) WO2016140823A1 (zh)

Families Citing this family (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10237729B2 (en) 2015-03-05 2019-03-19 Qualcomm Incorporated Identity privacy in wireless networks
US9980123B2 (en) * 2015-10-06 2018-05-22 Telefonaktiebolaget Lm Ericsson (Publ) Node and method for providing authentication of a wireless device in a roaming state
US10420055B2 (en) * 2015-10-09 2019-09-17 Microsoft Technology Licensing, Llc SIM provisioning of a mobile device
CN107820245B (zh) * 2016-09-12 2021-10-15 中兴通讯股份有限公司 注册方法
CN107820244B (zh) * 2016-09-12 2021-10-26 中兴通讯股份有限公司 入网认证方法及装置
FI3516819T3 (fi) * 2016-09-20 2023-01-31 Seuraavan sukupolven avainjoukon tunnus
US20180097807A1 (en) * 2016-09-30 2018-04-05 Lg Electronics Inc. Method and apparatus for performing initial access procedure based on authentication in wireless communication system
US10154369B2 (en) * 2016-12-05 2018-12-11 Hewlett Packard Enterprise Development Lp Deterrence of user equipment device location tracking
EP3358867A1 (en) * 2017-02-03 2018-08-08 Gemalto Sa Method for managing communication between a server and a user equipment
US10979904B2 (en) 2017-05-08 2021-04-13 Lg Electronics Inc. Method for securing connection identifier of user equipment in wireless communication system and apparatus therefor
US10492056B2 (en) 2017-06-15 2019-11-26 T-Mobile Usa, Inc. Enhanced mobile subscriber privacy in telecommunications networks
CN110169102B (zh) 2017-07-30 2021-05-18 华为技术有限公司 隐私保护的方法及设备
MX2020002595A (es) * 2017-09-15 2020-10-22 Ericsson Telefon Ab L M Contexto de seguridad en un sistema de comunicacion inalambrica.
CN107580324B (zh) * 2017-09-22 2020-05-08 中国电子科技集团公司第三十研究所 一种用于移动通信系统imsi隐私保护的方法
CN107911813B (zh) * 2017-11-24 2020-07-07 中国科学院信息工程研究所 透明模式的移动用户身份管理方法及系统
CN107896370B (zh) * 2017-12-27 2020-12-18 海能达通信股份有限公司 一种故障弱化模式下接入网络的方法、装置
JP7049462B2 (ja) * 2018-01-12 2022-04-06 テレフオンアクチーボラゲット エルエム エリクソン(パブル) 識別子プライバシーの管理
US20210368345A1 (en) * 2018-01-12 2021-11-25 Telefonaktiebolaget Lm Ericsson (Publ) Validation of Subscription Concealed Identifiers in Mobile Networks
FR3077175A1 (fr) * 2018-01-19 2019-07-26 Orange Technique de determination d'une cle destinee a securiser une communication entre un equipement utilisateur et un serveur applicatif
BR112020017025A2 (pt) 2018-02-21 2020-12-15 Telefonaktiebolaget Lm Ericsson (Publ) Privacidade à prova de futuro
CN110418335A (zh) * 2018-04-28 2019-11-05 中国移动通信有限公司研究院 一种信息处理方法、网络设备及终端
CN108683510B (zh) * 2018-05-18 2021-03-23 兴唐通信科技有限公司 一种加密传输的用户身份更新方法
CN111434133B (zh) 2018-05-18 2023-05-12 日本电气株式会社 用于使通信网络中的ue的状况同步的方法
CN110972135A (zh) * 2018-09-28 2020-04-07 华为技术有限公司 一种安全通信方法、加密信息确定方法及装置
EP3695578B1 (en) * 2018-10-04 2022-11-23 Google LLC Distributed network cellular identity management
EP3664486A1 (en) * 2018-12-03 2020-06-10 Thales Dis France SA Method and apparatuses for ensuring secure attachment in size constrained authentication protocols
US11368839B2 (en) * 2019-12-13 2022-06-21 T-Mobile Usa, Inc. Secure privacy provisioning in 5G networks
CN111262866B (zh) * 2020-01-17 2021-04-20 腾讯科技(深圳)有限公司 一种云服务接入方法、装置、设备及介质
WO2022060498A1 (en) * 2020-09-17 2022-03-24 The Trustees Of Princeton University System and method for phone privacy
JP7540993B2 (ja) 2021-12-28 2024-08-27 ソフトバンク株式会社 プログラム、方法、及び無線通信端末
US12052264B2 (en) * 2022-01-12 2024-07-30 At&T Intellectual Property I, L.P. Methods, systems, and devices for verifying a location of a communication device

Family Cites Families (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI106604B (fi) 1997-04-16 2001-02-28 Nokia Networks Oy Menetelmä tilaajan identiteetin suojaamiseksi
KR100442611B1 (ko) * 2001-07-05 2004-08-02 삼성전자주식회사 올 아이피 망을 기반으로 하는 이동통신시스템에서 음성전송장치 및 방법
US8107937B2 (en) * 2001-07-31 2012-01-31 Nokia Corporation System and method for automatic provisioning detection and notification
US7624266B2 (en) 2002-03-22 2009-11-24 Nokia Corporation System and method using temporary identity for authentication with session initiation protocol
US8260288B2 (en) * 2005-01-13 2012-09-04 Henti Tung Method and apparatus for generating a unique identifier for a wireless device
KR20060087271A (ko) 2005-01-28 2006-08-02 엘지전자 주식회사 이동통신 가입자 인증의 보안 전송 방법
CN1956459A (zh) * 2005-10-27 2007-05-02 日电(中国)有限公司 虚拟用户标识符系统和方法
EP1873674B1 (en) * 2005-12-19 2019-09-04 Nippon Telegraph And Telephone Corporation Terminal identification method, authentication method, authentication system, server, terminal, radio base station, program, and recording medium
EP1967019A2 (en) * 2005-12-20 2008-09-10 Koninklijke Philips Electronics N.V. Method and apparatus for correcting misalignment of a lenticular in a 3-d television receiver
MY140529A (en) * 2006-06-19 2009-12-31 Interdigital Tech Corp Method and apparatus for security protection of an original user identity in an initial signaling message
CN200969108Y (zh) * 2006-08-31 2007-10-31 田哓彦 电子居民身份证
WO2008076031A1 (en) 2006-12-21 2008-06-26 Telefonaktiebolaget Lm Ericsson (Publ) Imsi handling system
CN101400054B (zh) * 2007-09-28 2012-10-17 华为技术有限公司 保护用户终端的隐私的方法、系统和设备
JP4491007B2 (ja) 2007-10-11 2010-06-30 日本電信電話株式会社 ローミングシステム、ローミング方法、および、端末識別方法
US9215731B2 (en) * 2007-12-19 2015-12-15 Qualcomm Incorporated Method and apparatus for transfer of a message on a common control channel for random access in a wireless communication network
CN101511082B (zh) * 2008-02-15 2011-01-05 中国移动通信集团公司 组密钥的更新方法、设备及系统
DE102008024798A1 (de) 2008-05-23 2009-12-17 T-Mobile International Ag Verfahren zur Over-The-Air Personalisierung von Chipkarten in der Telekommunikation
KR101615378B1 (ko) * 2008-09-26 2016-04-25 한국전자통신연구원 구조화된 정보의 업데이트 장치 및 그 방법
CN101998377B (zh) * 2009-08-25 2013-04-17 华为技术有限公司 国际移动用户识别码的保护方法、装置和通信系统
GB0916582D0 (en) 2009-09-22 2009-10-28 Software Cellular Network Ltd Subscriber identification management broker for fixed/mobile networks
CN101720086B (zh) * 2009-12-23 2011-12-28 成都三零瑞通移动通信有限公司 一种移动通信用户身份保护方法
CN101959183B (zh) * 2010-09-21 2013-01-23 中国科学院软件研究所 一种基于假名的移动用户标识码imsi保护方法
CN101969638B (zh) 2010-09-30 2013-08-14 中国科学院软件研究所 一种移动通信中对imsi进行保护的方法
GB2491889A (en) * 2011-06-17 2012-12-19 Sony Corp Trial period cellular network connection with identity modules of multiple devices loaded with multiple identities from a shared pool
US20150106493A1 (en) 2012-03-19 2015-04-16 Nec Corporation Communication Device, Communication-Purpose Identification Information Management Server, Communication-Purpose Identification Information Acquisition Method, Communication-Purpose Identification Information Providing Method, and Recording Medium
US9031539B2 (en) 2012-04-12 2015-05-12 At&T Intellectual Property I, L.P. Anonymous customer reference client
US8667288B2 (en) * 2012-05-29 2014-03-04 Robert Bosch Gmbh System and method for message verification in broadcast and multicast networks
CN104380653B (zh) * 2012-06-08 2017-07-11 诺基亚技术有限公司 用于参与式感测系统的隐私保护
FI20125825A (fi) 2012-08-01 2014-02-02 Ukko Mobile Oy Menetelmä ja järjestelmä viestintää varten eri verkoissa
CN102905265B (zh) 2012-10-11 2016-02-10 大唐移动通信设备有限公司 一种实现移动设备附着的方法及装置
US20170070880A1 (en) * 2014-08-01 2017-03-09 Lg Electronics Inc. Method of performing an initial access by protecting privacy on a network and user equipment therefor
US10237729B2 (en) 2015-03-05 2019-03-19 Qualcomm Incorporated Identity privacy in wireless networks

Also Published As

Publication number Publication date
CN112312379B (zh) 2023-08-22
AU2020202972A1 (en) 2020-05-21
EP3846514B1 (en) 2024-10-02
KR20190125547A (ko) 2019-11-06
WO2016140823A1 (en) 2016-09-09
JP2018513581A (ja) 2018-05-24
ES2876269T3 (es) 2021-11-12
TWI722497B (zh) 2021-03-21
KR20170125831A (ko) 2017-11-15
KR102042327B1 (ko) 2019-11-07
US10237729B2 (en) 2019-03-19
US11496891B2 (en) 2022-11-08
EP3846514A1 (en) 2021-07-07
US20160262015A1 (en) 2016-09-08
AU2016226500A1 (en) 2017-08-10
CN112312379A (zh) 2021-02-02
TWI669970B (zh) 2019-08-21
EP3266234B1 (en) 2021-03-31
JP6588562B2 (ja) 2019-10-09
EP3266234A1 (en) 2018-01-10
TW202002682A (zh) 2020-01-01
US20190394640A1 (en) 2019-12-26
BR112017019055A2 (pt) 2018-04-17
CN107431916B (zh) 2020-11-13
AU2020202972B2 (en) 2021-05-20
AU2016226500B2 (en) 2020-02-06
KR102255079B1 (ko) 2021-05-21
CN107431916A (zh) 2017-12-01

Similar Documents

Publication Publication Date Title
AU2020202972B2 (en) Identity privacy in wireless networks
US10321309B2 (en) Apparatuses and methods for wireless communication
EP3281434B1 (en) Method, apparatus, and system for providing encryption or integrity protection in a wireless network
TWI616084B (zh) 使用現有身份碼的到蜂巢網路的受贊助連接
KR102315881B1 (ko) 사용자 단말과 진화된 패킷 코어 간의 상호 인증
US10931644B2 (en) Methods, network nodes, mobile entity, computer programs and computer program products for protecting privacy of a mobile entity
CN110612729A (zh) 锚密钥生成方法、设备以及系统
BR112017019055B1 (pt) Método para acesso à rede, equipamento de usuário, método para configurar o acesso à rede, servidor e memória legível por computador