WO2011032389A1

WO2011032389A1 - 一种寻呼过程中用户标识的保密方法及装置

Info

Publication number: WO2011032389A1
Application number: PCT/CN2010/072577
Authority: WO
Inventors: 白晓春
Original assignee: 中兴通讯股份有限公司
Priority date: 2009-09-17
Filing date: 2010-05-10
Publication date: 2011-03-24
Also published as: EP2479921A1; EP2479921A4; US20120170745A1; CN102026174B; CN102026174A; JP5613768B2; JP2013504955A

Description

一种寻呼过程中用户标识的保密方法及装置技术领域

本发明属于通讯技术领域，尤其涉及一种 LTE ( Long Term Evolution, 长期演进）系统寻呼过程中用户标识的保密方法及装置。背景技术

3GPP演进的分组系统（ Evolved Packet System , EPS ) 由演进的陆地无线接入网（ Evolved UMTS Terrestrial Radio Access Network, EUTRAN ) 和 EPS核心网（Evolved Packet Core, EPC )组成。

其中，在演进的 UTRAN中，基站设备为演进的基站（ evolved Node-B, eNB ), 主要负责无线通信、无线通信管理和移动性上下文的管理。

移动性管理实体 (Mobility Management Entity,MME)要主动连接用户终端（UE ), 需要发起寻呼流程。正常情况下， MME通过临时的 s-TMSI (临时移动用户标识）进行寻呼，但是在 MME异常的情况下，需要使用全球移动用户标识 (International Mobile Subscriber Identity , IMSI)进行寻呼。

寻呼消息在空口是以明文形式传输的，当 MME使用 IMSI进行寻呼时，会导致 IMSI号码在空口泄露，从而导致安全隐患。发明内容

本发明要解决的技术问题是提供几种寻呼过程中用户标识的保密方法及装置，以实现寻呼过程中用户标识的保密。

为解决上述技术问题，本发明提供的第一种寻呼过程中用户标识的保密方法包括如下步骤：

步骤 A、使用以被叫用户终端的用户标识生成的密钥对该用户标识进行加密后生成密文 SI , 并使用所述密文 S 1进行寻呼；

步骤 B、被叫用户终端收到寻呼消息后，使用以自身用户标识生成的密钥对自身用户标识加密后生成密文 S2, 如所述密文 S1与密文 S2—致，则认为自己即为该次寻呼的被呼叫用户终端。

相应地，本发明提供的第一种寻呼过程中用户标识的保密装置包括寻呼发起设备和被叫用户终端；

所述寻呼发起设备，用于使用以被叫用户终端的用户标识生成的密钥对该用户标识进行加密后生成密文 S1 , 并使用所述密文 S 1进行寻呼；所述被叫用户终端，用于使用以自身用户标识生成的密钥对自身用户标识加密后获得密文 S2, 并判断寻呼消息中的所述密文 S1与所述密文 S2 是否一致，若一致，则认定自己即为该次寻呼的被叫用户终端。

为解决上述技术问题，本发明提供的第二种寻呼过程中用户标识的保密方法包括如下步骤：

步骤 A、生成随机数据 X, 将所述随机数据 X与被叫用户终端的用户标识组合成数据 Y, 使用以被叫用户终端的用户标识生成的密钥对所述数据 Y进行加密后生成密文 S 1 , 并使用所述密文 S 1和所述随机数据 X进行寻呼；

步骤 B、被叫用户终端收到寻呼消息后，按照与步骤 A中将所述随机数据 X与所述用户标识组合成所述数据 Y相同的方法，将所述随机数据 X 与自己的用户标识组合成一个明文数据，然后使用以自身用户标识生成的密钥对该明文数据加密后获得密文 S2, 如所述密文 S1与密文 S2—致，则认定自己即为该次寻呼的被呼叫用户终端。

进一步地，步骤 A中，将所述随机数据 X与所述用户标识组合成所述数据 Y的方法可以为：

将所述用户标识放在所述随机数据 X的前面，直接得到所述数据 Y; 或，将所述随机数据 X放在所述用户标识的前面，直接得到所述数据 Y。相应地，本发明提供的第二种寻呼过程中用户标识的保密装置包括寻呼发起设备和被叫用户终端；

所述寻呼发起设备，用于生成随机数据 X, 将所述随机数据 X与被叫用户终端的用户标识组合成数据 Υ, 使用以被叫用户终端的用户标识生成的密钥对所述数据 Υ进行加密后生成密文 S1 , 并使用所述密文 S1和所述随机数据 X进行寻呼；

所述被叫用户终端，用于收到寻呼消息后，按照与所述将所述随机数据 X与所述用户标识组合成所述数据 Υ的方法相同的方法，将所述随机数据 X与自己的用户标识组合成一个明文数据，然后使用以自身用户标识生成的密钥对该明文数据加密后获得密文 S2,如所述密文 S1与密文 S2—致，则认定自己即为该次寻呼的被呼叫用户终端。

为解决上述技术问题，本发明提供的第三种寻呼过程中用户标识的保密方法包括如下步骤：

步骤 Α、随机生成一个数据 Ζ, 将所述随机数据 Ζ与被叫用户终端的用户标识组合成数据 Υ, 且所述数据 Υ在特定位置包含所述用户标识，其中，所述特定位置为所述用户标识在所述数据 Υ中出现的位置，且只与所述用户标识相关；

步骤 Β、使用以所述用户标识生成的密钥对所述数据 Υ进行加密，并使用得到的密文进行寻呼；

步骤 C、被叫用户终端收到所述寻呼消息中的所述密文后，使用以自身的用户标识生成的密钥对所述密文进行解密，得到明文数据，然后查看所述明文数据中在与所述特定位置相同的位置是否包含自身的用户标识，如果在与所述特定位置相同的位置包含自身的用户标识，则认为自己即为该次寻呼的被呼叫用户终端。进一步地，步骤 A中，将所述随机数据 Z与所述用户标识组合成所述数据 Y的方法可以为：

将所述用户标识放在所述随机数据 Z的前面，直接得到所述数据 Y; 或，将所述随机数据 Z放在所述用户标识的前面，直接得到所述数据 Y。

相应地，本发明提供的第三种寻呼过程中用户标识的保密装置包括寻呼发起设备和被叫用户终端；

所述寻呼发起设备，用于随机生成一个数据 Ζ, 将所述随机数据 Ζ与被叫用户终端的用户标识组合成数据 Υ, 且所述数据 Υ在特定位置包含所述用户标识，其中，所述特定位置为所述用户标识在所述数据 Υ中出现的位置，且只与所述用户标识相关；然后使用以所述用户标识生成的密钥对所述数据 Υ进行加密，并使用得到的密文进行寻呼；

所述被叫用户终端，用于收到所述寻呼消息中的所述密文后，使用以自身的用户标识生成的密钥对所述密文进行解密，得到明文数据，然后查看所述明文数据中在与所述特定位置相同的位置是否包含自身的用户标识，如果在与所述特定位置相同的位置包含自身的用户标识，则认为自己即为该次寻呼的被呼叫用户终端。

进一步地，对于本发明提供的三种寻呼过程中用户标识的保密方法及装置，均存在如下的优化方案：

所述寻呼过程由移动性管理实体 ΜΜΕ向被叫用户终端发起，所述用户标识为全球移动用户标识 IMSI。

本发明提供的一种寻呼过程中用户标识的保密方法及装置，在向用户终端发起寻呼时，对用户标识进行加密，从而克服了现有技术中直接使用明文寻呼造成的安全隐患，提供了通讯系统的安全性。附图说明

图 1为第一实施例的寻呼过程中用户标识保密处理示意图；图 2为第二实施例的寻呼过程中用户标识保密处理示意图；图 3为第三实施例的寻呼过程中用户标识保密处理示意图。具体实施方式以下结合附图对本发明作进一步详细说明。

本发明提供了三种寻呼过程中用户标识保密方法及装置，以下分别给出了三个实施例。

第一实施例：

图 1 为第一实施例的寻呼过程中用户标识保密处理示意图，该实施例中，以 IMSI作为用户标识，本实施例中，本发明寻呼过程中用户标识保密方法具体包括如下步骤：

S 110: MME判断需要使用 IMSI进行寻呼；

S 120: MME用 IMSI作为密钥，对 IMSI进行加密，得到密文 S 1； S 130: MME将密文 S 1发送给 eNB;

S 140: eNB用密文 S I进行寻呼；

S 150: UE收到寻呼消息，以该 UE的 IMSI为密钥，加密该 UE的 IMSI 号码，得到密文 S2 , 并对比密文 S 1和密文 S2是否一致，如果一致，则认为寻呼的是自己。

优选地，该实施例中，可将用户标识进行一定变形，将变形后的数据作为密钥，用于生成所述 S 1和 S2 , 应当说明的是 MME和 UE所使用的变形算法应当一致。

第二实施例：

由于同一 IMSI按照第一实施例的方法进行加密后，密文总是一样，为了避免这种情况，可以进行如下处理：

在加密前，随机生成一个数据 X,将随机数据 X与 IMSI组合成明文数据 Y。然后以 IMSI为密钥对数据 Y进行加密，得到密文。将随机数据 X 与 IMSI组合成明文数据 Y的方法可以为将用户标识放在随机数据 X的前面，从而直接得到数据 Y, 也可以为将随机数据 X放在用户标识的前面，从而直接得到数据 Y。当然，这里也可以釆用其它组合方式。

寻呼时，除了携带密文外，还需要挟带随机数据 X。

UE收到密文和随机数据 X后，按照与 ΜΜΕ生成密文相同的方法，根据该随机数据 X以及该 UE的 IMSI, 生成一个密文，即首先按照与将随机数据 X与 IMSI组合成明文数据 Y的方式相同的方式，将随机数据 X与该 UE的 IMSI组合成一明文数据，然后以该 UE的 IMSI为密钥对该明文数据进行加密，而得到一个密文。然后对比该两个密文，如果一致，则认为寻呼的是自己。

图 2为第二实施例的寻呼过程中用户标识保密处理示意图，如图所示，本实施例中，本发明寻呼过程中用户标识保密方法具体包括如下步骤： S210: MME判断需要使用 IMSI进行寻呼；

S220: MME用 IMSI作为密钥 , 加密该 IMSI与随机数据 X组合成的明文数据 Y, 得到密文 S1 ;

S230: MME将密文 S 1发送给 eNB进行寻呼；

S240: eNB用密文 SI进行寻呼；

S250: UE收到寻呼消息，根据收到的随机数据 X和自己的 IMSI, 按照与 MME生成密文相同的方法获得密文 S2, 即首先按照与将随机数据 X 与 IMSI组合成明文数据 Y的方式相同的方式，将随机数据 X与该 UE的 IMSI组合成一明文数据，然后以该 UE的 IMSI为密钥对该明文数据进行加密，而得到一个密文 S2, 然后对比密文 S1和 S2, 如果两个密文一致，则认为寻呼的是自己。

优选地，该实施例中，可将用户标识进行一定变形，将变形后的数据作为密钥，用于生成所述 S 1和 S2, 应当说明的是 MME和 UE所使用的变形算法应当一致。

第三实施例：

用第二实施例的方法，能够避免使用同一 IMSI号码每次得到的密文均相同的情况，但是需要多携带一个参数，本实施例提供一种不需要携带参数的方法。

MME在加密前，随机生成一个数据 Z, 用 IMSI与随机数据 Z组合成明文数据丫。数据 Y必须在特定位置包含完整的 IMSI号码，该特定位置指用户标识在数据 Y中出现的位置，为了接收端易于识别，用户标识在数据 Y中出现的位置应该只与 IMSI号码相关。这里将随机数据 Z与 IMSI组合成明文数据 Y的方法可以为将用户标识放在随机数据 Z的前面，从而直接得到数据 Y, 也可以为将随机数据 Z放在用户标识的前面，从而直接得到数据 Y。当然，这里也可以釆用其它组合方式。

然后用 IMSI号码对明文数据 Υ进行加密，得到密文。寻呼时，将密文发送出去。

被叫 UE收到该密文后，用自己的 IMSI号码进行解密得到明文数据，判断该明文数据在与上述特定位置相同的位置是否包含自己的用户标识，如果满足在与该特定位置相同的位置包含自己的用户标识则认为寻呼的是自己。

图 3为第三实施例的寻呼过程中用户标识保密处理示意图，如图所示，本实施例中，本发明寻呼过程中用户标识保密方法具体包括如下步骤： S310: MME判断需要使用 IMSI进行寻呼；

S320: MME用 IMSI作为密钥，加密该 IMSI与随机数据 Z组合的明文数据 Y, 得到密文 S1 , 该明文数据 Y在特定位置包含完整的 IMSI号码； S330: MME将密文 S 1发送给 eNB进行寻呼；

S340: eNB用密文 SI进行寻呼； S350: UE收到寻呼消息，用自己的 IMSI作为密钥，对 S 1进行解密，判断获得的明文在与上述特定位置相同的位置是否包含该 IMSI号码，如果在与该特定位置相同的位置包含该 IMSI号码，则认为寻呼的是自己。

优选地，该实施例中，可将用户标识进行一定变形，将变形后的数据作为密钥，用于生成所述 SI , UE也使用与 MME相同的变形算法对自己的用户标识进行变形，并将变形后的数据作为密钥对 S1进行解密，从而获得明文。

本发明提供的第一种寻呼过程中用户标识的保密装置，包括寻呼发起设备和被叫用户终端。其中寻呼发起设备用于以被叫用户终端的用户标识为密钥，对该用户标识进行加密，并使用得到的密文进行寻呼；被叫用户终端用于以自己的用户标识为密钥，加密该用户标识得到一个密文，判断该密文与其收到的寻呼消息中的密文是否相同，若相同则认定自己即为该次寻呼的被叫用户终端。

本发明提供的第二种寻呼过程中用户标识的保密装置，包括寻呼发起设备和被叫用户终端；其中寻呼发起设备用于随机生成一个数据 X, 将随机数据 X与被叫用户终端的用户标识组合成数据 Y, 以用户标识为密钥，对数据 Y进行加密，并使用得到的密文和随机数据 X进行寻呼；被叫用户终端用于收到寻呼消息后，按照与将随机数据 X与用户标识组合成数据 Y 的方法相同的方法，将随机数据 X与自己的用户标识组合成一个明文数据，然后以用户标识为密钥对该明文数据加密，若得到的密文与收到的寻呼消息中的密文相同，则认定自己即为该次寻呼的被呼叫用户终端。

本发明第三种寻呼过程中用户标识的保密装置，包括寻呼发起设备和被叫用户终端；其中寻呼发起设备用于随机生成一个数据 Z,将所述随机数据 Z与被叫用户终端的用户标识组合成数据 Y, 且所述数据 Y在特定位置包含所述用户标识，其中，所述特定位置为所述用户标识在所述数据 Y中出现的位置，且只与所述用户标识相关；然后以所述用户标识为密钥，对所述数据 Y进行加密，并使用得到的密文进行寻呼；被叫用户终端用于：收到寻呼消息中的密文后，用自己的用户标识进行解密得到明文数据，然后查看明文数据在与上述特定位置相同的位置是否包含自己的用户标识，如果满足在与该特定位置相同的位置包含自己的用户标识则认为自己即为该次寻呼的被呼叫用户终端。

以上所述的具体实施例，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应注意的是，以上所述仅为本发明的具体实施例而的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求记载的技术方案及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims

权利要求书

1、一种寻呼过程中用户标识的保密方法，其特征在于，该方法包括：步骤 A、使用以被叫用户终端的用户标识生成的密钥对该用户标识进行加密后生成密文 S1 , 并使用所述密文 S 1进行寻呼；

2、根据权利要求 1所述的寻呼过程中用户标识的保密方法，其特征在于，所述用户标识为全球移动用户标识（IMSI )。

3、一种寻呼过程中用户标识的保密方法，其特征在于，该方法包括：步骤 A、生成随机数据 X, 将所述随机数据 X与被叫用户终端的用户标识组合成数据 Y, 使用以被叫用户终端的用户标识生成的密钥对所述数据 Y进行加密后生成密文 S 1 , 并使用所述密文 S 1和所述随机数据 X进行寻呼；

4、根据权利要求 3所述的寻呼过程中用户标识的保密方法，其特征在于，步骤 A中，将所述随机数据 X与所述用户标识组合成所述数据 Y的方法为：

将所述用户标识放在所述随机数据 X的前面，直接得到所述数据 Y。

5、一种寻呼过程中用户标识的保密方法，其特征在于，该方法包括：步骤 Α、随机生成一个数据 Ζ, 将所述随机数据 Ζ与被叫用户终端的用户标识组合成数据 Y, 且所述数据 Υ在特定位置包含所述用户标识，其中，所述特定位置为所述用户标识在所述数据 Υ中出现的位置，且只与所述用户标识相关；

步骤 C、被叫用户终端收到所述寻呼消息中的所述密文后，使用以自身的用户标识生成的密钥对所述密文进行解密，得到明文数据，然后查看所述明文数据中在与所述特定位置相同的位置是否包含自身的用户标识，如果在与所述特定位置相同的位置包含自身的用户标识，则认为自己即为该次寻呼的被呼叫用户终端。

6、根据权利要求 5所述的寻呼过程中用户标识的保密方法，其特征在于，步骤 A中，将所述随机数据 Z与所述用户标识组合成所述数据 Y的方法为：

将所述用户标识放在所述随机数据 Z的前面，直接得到所述数据 Y。

7、一种寻呼过程中用户标识的保密装置，其特征在于：

该装置包括寻呼发起设备和被叫用户终端；

所述寻呼发起设备，用于使用以被叫用户终端的用户标识生成的密钥对该用户标识进行加密后生成密文 S1 , 并使用所述密文 S1进行寻呼；所述被叫用户终端，用于使用以自身用户标识生成的密钥对自身用户标识加密后获得密文 S2, 并判断寻呼消息中的所述密文 S1与所述密文 S2 是否一致，若一致，则认定自己即为该次寻呼的被叫用户终端。

8、根据权利要求 7所述的寻呼过程中用户标识的保密装置，其特征在于：

所述寻呼发起设备为移动性管理实体 ΜΜΕ,所述用户标识为全球移动用户标识 IMSI。

9、一种寻呼过程中用户标识的保密装置，其特征在于：

该装置包括寻呼发起设备和被叫用户终端；

所述寻呼发起设备，用于生成随机数据 X, 将所述随机数据 X与被叫用户终端的用户标识组合成数据 Y, 使用以被叫用户终端的用户标识生成的密钥对所述数据 Y进行加密后生成密文 S1 , 并使用所述密文 S1和所述随机数据 X进行寻呼；

所述被叫用户终端，用于收到寻呼消息后，按照与所述将所述随机数据 X与所述用户标识组合成所述数据 Y的方法相同的方法，将所述随机数据 X与自己的用户标识组合成一个明文数据，然后使用以自身用户标识生成的密钥对该明文数据加密后获得密文 S2,如所述密文 S1与密文 S2—致，则认定自己即为该次寻呼的被呼叫用户终端。

10、根据权利要求 9所述的寻呼过程中用户标识的保密装置，其特征在于：

所述寻呼发起设备为移动性管理实体 MME,所述用户标识为全球移动用户标识 IMSI。

11、一种寻呼过程中用户标识的保密装置，其特征在于：

该装置包括寻呼发起设备和被叫用户终端；

所述寻呼发起设备，用于随机生成一个数据 Z, 将所述随机数据 Z与被叫用户终端的用户标识组合成数据 Y, 且所述数据 Y在特定位置包含所述用户标识，其中，所述特定位置为所述用户标识在所述数据 Y中出现的位置，且只与所述用户标识相关；然后使用以所述用户标识生成的密钥对所述数据 Y进行加密，并使用得到的密文进行寻呼；

12、根据权利要求 11所述的寻呼过程中用户标识的保密装置，其特征在于：