WO2022116695A1

WO2022116695A1 - 发送用户标识的方法和装置

Info

Publication number: WO2022116695A1
Application number: PCT/CN2021/123683
Authority: WO
Inventors: 谢宜煌; 王凯航; 周好
Original assignee: 合肥途鸽科技有限公司
Priority date: 2020-12-03
Filing date: 2021-10-14
Publication date: 2022-06-09
Also published as: EP4221285A1; JP2023546509A; US20230396988A1; CN112770314A; EP4221285A4; CN112770314B; JP7450816B2; WO2022116696A1

Abstract

本申请提供了一种发送用户标识的方法和装置，该方法包括：ME通过第一通信连接从云卡池中的UICC接收USIM卡信息；所述ME从5G SA网络接收身份请求，所述身份请求用于请求获取SUCI；所述ME根据所述身份请求和所述USIM卡信息获取所述SUCI，所述USIM卡信息用于指示所述SUCI的生成设备为所述ME或者所述UICC；所述ME向所述5G SA网络发送所述SUCI，所述SUCI用于建立第二通信连接。SUCI可以在ME侧生成，也可以在UICC侧生成。第一通信连接可以是漫游通信连接，第二通信连接可以是非漫游通信连接，上述方法可以在云通信场景中建立非漫游的5G通信连接，为用户节省费用。

Description

发送用户标识的方法和装置

技术领域

本申请涉及通信领域，具体涉及一种发送用户标识的方法和装置。

背景技术

云通信是一种无需使用实体用户识别模块(subscriber identity module，SIM)卡即可建立通信连接的方法。终端设备可以通过实体或虚拟SIM卡建立第一个通信连接，通过该通信连接从云端获取云SIM卡信息，使用云SIM卡信息建立第二个通信连接，无需在终端设备中设置两个卡槽，从而节省了终端设备的成本。

若上述第二个通信连接是第五代(5 ^th generation，5G)移动通信系统中独立(standalone，SA)网络的通信连接，则在建立第二个通信连接时SA网络需要对终端设备的身份进行校验，终端设备如何完成SA网络的身份校验以建立云通信场景中的第二个通信连接是当前需要解决的问题。

发明内容

本申请提供了一种发送用户标识的方法和装置，能够在云通信场景中完成SA网络的身份校验，从而建立第二个通信连接。

第一方面，提供了一种发送用户标识的方法，包括：移动设备(mobile equipment，ME)通过第一通信连接从云卡池中的通用集成电路卡(universal integrated circuit card，UICC)接收全球用户身份模块(universal subscriber identity module，USIM)卡信息；所述ME从5G SA网络接收身份请求，所述身份请求用于请求获取用户加密标识(subscriber concealed identifier，SUCI)；所述ME根据所述身份请求和所述USIM卡信息获取所述SUCI，所述USIM卡信息用于指示所述SUCI的生成设备为所述ME或者所述UICC；所述ME向所述5G SA网络发送所述SUCI，所述SUCI用于建立第二通信连接。

SUCI可以在ME侧生成，也可以在UICC侧生成。在一些情况中，USIM卡信息指示在ME侧生成SUCI，则ME可以在本地生成SUCI，避免了从UICC获取SUCI的时延，从而可以快速建立第二通信连接。在另一些情况中，USIM卡信息指示在UICC侧生成SUCI，例如，USIM卡信息缺少124服务和125服务，则ME可以从UICC获取SUCI，从而保证了第二通信连接的成功建立。

第二方面，提供了一种发送用户标识的装置，包括用于执行第一方面中任一种方法的单元。

第三方面，提供了一种发送用户标识的设备，包括处理器和存储器，该存储器用于存储计算机程序，该处理器用于从存储器中调用并运行该计算机程序，使得该设备执行第一方面中任一种方法。

第四方面，提供了一种计算机程序产品，所述计算机程序产品包括：计算机程序代码，当所述计算机程序代码被发送用户标识的装置运行时，使得该装置执行第一方面中任一种方法。

第五方面，提供了一种计算机可读介质，所述计算机可读介质存储有程序代码，所述程序代码包括用于执行第一方面中任一种方法的指令。

本申请一种发送用户标识的方法和装置，能够在云通信场景中完成SA网络的身份校验，从而在5G中的移动通信系统独立网络建立第二个通信连接。

附图说明

图1是本申请提供的一种通信系统的示意图；

图2是本申请提供的一种发送用户标识的方法的示意图；

图3是本申请提供的另一种发送用户标识的方法的示意图；

图4是本申请提供的再一种发送用户标识的方法的示意图；

图5是本申请提供的一种发送用户标识的装置的示意图；

图6是本申请提供的一种发送用户标识的设备的示意图。

具体实施方式

下面将结合附图，对本申请中的技术方案进行描述。

首先介绍本申请的应用场景，图1是一种适用于本申请的通信系统的示意图。

通信系统100包括网络设备110、网络设备120和终端设备130。

在本申请中，网络设备110可以是3GPP所定义的基站，例如，5G通信系统中的基站(gNB)。网络设备110还可以是中继站、接入点、车载设备、可穿戴设备以及其它类型的通信设备。

网络设备120可以是服务器，用于为终端设备130提供建立通信连接所需的信息。例如，该服务器可以包括至少一个UICC，当终端设备130需要与网络设备110建立通信连接时，该服务器提供建立通信连接过程中所需鉴权服务，因此，网络设备120也可以称为远端鉴权模块或云卡池。

终端设备130能够与网络设备110和网络设备120进行通信。终端设备130可以包括各种具有无线通信功能的手持设备、车载设备或者可穿戴设备，例如，第三代合作伙伴计划(3 ^rd generation partnership project，3GPP)所定义的用户设备(user equipment，UE)、移动台(mobile station，MS)、ME等等。

通信系统100仅是举例说明，适用本申请的通信系统不限于此，例如，通信系统100中包含更多的网络设备。

为了保证网络的安全性，终端设备130在尝试与网络设备110建立通信连接的过程中，网络设备110需要验证终端设备130的身份，即，网络设备110需要获取终端设备130的SUCI。SUCI可以在终端设备130处生成，也可以在网络设备120处生成。终端设备130在获取SUCI后可以向网络设备110发送SUCI，以便于网络设备110对SUCI进行安全校验后建立通信连接。

下面，将详细描述本申请提供的发送用户标识的方法。如图2所示，方法200包括：

S210，ME通过第一通信连接从云卡池中的UICC接收USIM卡信息。

第一通信连接可以是无线连接，如蜂窝网络连接或Wi-Fi连接；第一通信连接也可以是有线连接。本申请对第一通信连接的具体形式不做限定。

本申请中，“第一”、“第二”等形容词用于区分同一类型的对象中的不同个体，例如，第一通信连接与下文中的第二通信连接表示两个不同的通信连接。

USIM卡信息可以是EFust文件(即，USIM服务表)，也可以是其它信息，本申请对USIM卡信息的具体内容不做限定。

USIM卡信息用于建立第二通信连接，ME获取USIM卡信息后可以建立与5G SA网络之间的无线资源控制(radio resource control，RRC)链路，并通过该RRC链路向5G SA网络发送包含全球唯一临时标识(globally unique temporary identifier，GUTI)的注册请求。5G SA网络收到该注册请求后向ME发送身份请求，则ME可以执行下列步骤。

S220，所述ME从5G SA网络接收身份请求，所述身份请求用于请求获取SUCI。

S230，所述ME根据所述身份请求和所述USIM卡信息获取所述SUCI，所述USIM卡信息用于指示所述SUCI的生成设备为所述ME或者所述UICC。

表1示出了ME获取SUCI的几种情况。

表1

表1中，客户(client)指的是运营商。

当客户在USIM卡信息中配置了执行不加密策略的信息时，并且，当USIM卡信息满足表1中的四个条件中的任意一个时，ME根据身份请求在本地获取SUCI。当客户在USIM卡信息中配置了执行不加密策略的信息时，并且，当USIM卡信息不满足表1中的四个条件中的任意一个时(即，表1中的“N/A”所示的含义)，ME根据身份请求从UICC获取SUCI。

表1中的四个条件即：USIM卡信息包括运营商请求在ME处生成SUCI的配置信息；USIM卡信息包括无授权紧急会话的配置信息；USIM卡信息为R15之前的卡的信息；USIM卡信息为R15的卡的信息，但是该R15的卡被配置为不加密卡。

当客户在USIM卡信息中配置了执行加密策略的信息时，ME可以基于EFust文件是否包含124服务和125服务确定SUCI的生成方式，其中，该加密策略例如是椭圆曲线集成加密策略(elliptic curve integrate encrypt scheme，ECIES)。

例如，当EFust文件不包括124服务和125服务时，ME在本地生成SUCI；当EFust文件包括124服务和125服务时，ME从UICC获取SUCI。

当ME根据身份请求从UICC获取SUCI时，ME可以通过第一通信连接向UICC发送SUCI获取请求，并通过第一通信连接从UICC接收SUCI。

ME获取SUCI后，可以执行下列步骤。

S240，所述ME向所述5G SA网络发送所述SUCI，所述SUCI用于建立第二通信连接。

第一通信连接可以是漫游通信连接，第二通信连接可以是非漫游通信连接，通过方法200可以在云通信场景中建立非漫游的5G通信连接，为用户节省费用。

下面结合图3和图4进一步说明第二通信连接的建立流程。

如图3所示，ME在建立第一通信连接后，建立于5G SA网络之间的RRC链路。随后，ME通过RRC链路从5G SA网络接收身份请求(identity request)，并根据该身份请求确定获取SUCI。

ME可以根据USIM卡信息判断是否执行不加密策略。若执行不加密策略，则可以从UICC获取SUCI；若不执行不加密策略，则可以执行ECIES，并根据EFust文件是否包含124服务和125服务确定SUCI的生成方式。

当EFust文件不包括124服务和125服务时，ME在本地生成SUCI；当EFust文件包括124服务和125服务时，ME从UICC获取SUCI。

ME获取SUCI后，可以通过RRC链路向5G SA网络发送包含SUCI的身份响应，随后，可以通过RRC链路从5G SA网络接受鉴权请求(authentication request)。ME可以向UICC转发该鉴权请求，待收到UICC发送的鉴权响应后，通过RRC链路向5G SA网络转发鉴权响应，以便于建立与5G SA网络的通信连接(即，第二通信连接)。

图4是建立第二通信连接的另一示意图。

ME向5G核心网(5G core，5GC)发送鉴权响应之前的步骤与图3相同，在此不再赘述。其中，鉴权请求可以包括5G鉴权与密钥协商(authentication and key agreement，AKA)信息，也可以包括扩展鉴权协议(extensible authentication protocol，EAP)-AKA信息。

5GC完成鉴权任务后，可以通过无线接入网(radio access network，RAN)向ME发送非接入层(non-access stratum，NAS)安全模式命令。ME收到NAS安全模式命令后执行NAS安全模式，并通过RAN向5GC发送NAS安全模式完成消息。

随后，RAN向ME发送接入层(access stratum，AS)安全模式命令，ME收到AS安全模式命令后执行AS安全模式，并向RAN发送AS安全模式完成消息。

RAN还可以向ME发送5G能力查询消息，ME收到5G能力查询消息向RAN发送5G能力上报消息。

随后，5GC可以通过RAN向ME发送注册接受消息，并通过RAN从ME接收注册完成消息，从而建立了第二通信连接。

上文详细介绍了本申请提供的发送用户标识的方法的示例。可以理解的是，发送用户标识的装置为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

本申请可以根据上述方法示例对发送用户标识的装置进行功能单元的划分，例如，可以将各个功能划分为各个功能单元，也可以将两个或两个以上的功能集成在一个处理单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。需要说明的是，本申请中对单元的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

图5示出了本申请提供的一种发送用户标识的装置的结构示意图。装置500包括处理单元510、接收单元520和发送单元530，处理单元510能够通过接收单元520实现接收功能，处理单元510还能够通过发送单元530实现发送功能。

所述接收单元520用于：通过第一通信连接从云卡池中的UICC接收USIM卡信息；从5G SA网络接收身份请求，所述身份请求用于请求获取SUCI；

所述处理单元510用于：根据所述身份请求和所述USIM卡信息获取所述SUCI，所述USIM卡信息用于指示所述SUCI的生成设备为所述装置500或者所述UICC；

所述发送单元530用于：向所述5G SA网络发送所述SUCI，所述SUCI用于建立第二通信连接。

可选地，所述处理单元510具体用于：

当所述USIM卡信息包括加密指示信息时，并且，当所述USIM卡配置信息不包括124服务和125服务时，根据所述身份请求在本地获取所述SUCI；或者，

当所述USIM卡信息包括加密指示信息时，并且，当所述USIM卡配置信息包括124服务和125服务时，根据所述身份请求从所述UICC获取所述SUCI。

可选地，所述处理单元具体510用于：根据所述身份请求通过所述第一通信连接向所述UICC发送SUCI获取请求；通过所述第一通信连接从所述UICC获取所述SUCI。

可选地，所述处理单元510具体用于：

当所述USIM卡信息不包括加密指示信息时，并且，当所述USIM卡信息不满足下列四个条件中的任意一个时，根据所述身份请求从所述UICC获取所述SUCI；或者，

当所述USIM卡信息不包括加密指示信息时，并且，当所述USIM卡信息满足下列四个条件中的任意一个时，根据所述身份请求在本地获取所述SUCI；

所述四个条件为：所述USIM卡信息包括运营商请求在所述装置500处生成所述SUCI的配置信息；所述USIM卡信息包括无授权紧急会话的配置信息；所述USIM卡信息为R15之前的卡的信息；所述USIM卡信息为R15的卡的信息，但是所述R15的卡被配置为不加密卡。

可选地，所述处理单元510具体用于：根据所述身份请求通过所述第一通信连接向所述UICC发送SUCI获取请求；通过所述第一通信连接从所述UICC获取所述SUCI。

装置500执行方法200的具体方式以及产生的有益效果可以参见上述方法实施例中的相关描述。

图6示出了本申请提供的一种发送用户标识的设备的结构示意图，其中，虚线框表示该模块或单元为可选的。设备600可用于实现上述方法实施例中描述的方法，设备600可以是芯片或终端设备。

设备600包括一个或多个处理器601，该一个或多个处理器601可支持设备600实现图2所对应的方法实施例中的方法。处理器601可以是通用处理器或者专用处理器。例如，处理器601可以是中央处理器(central processing unit，CPU)或基带处理器。基带处理器可以用于处理通信数据(例如，SUCI)，CPU可以用于对设备600进行控制，执行软件程序，处理软件程序的数据。

设备600还可以包括收发单元605和天线606，用以实现信号的输入(接收)和输出(发送)。

例如，设备600可以是芯片，收发单元605可以是该芯片的输入和/或输出电路，或者，收发单元605可以是该芯片的通信接口，该芯片可以作为终端设备或其它无线通信设备的组成部分。

设备600中可以包括一个或多个存储器602，其上存有程序604，程序604可被处理器601运行，生成指令603，使得处理器601根据指令603执行上述方法实施例中描述的方法。可选地，存储器602中还可以存储有数据。可选地，处理器601还可以读取存储器602中存储的数据，该数据可以与程序604存储在相同的存储地址，该数据也可以与程序604存储在不同的存储地址。

处理器601和存储器602可以单独设置，也可以集成在一起，例如，集成在系统级芯片(system on chip，SOC)上。

应理解，上述方法实施例的各步骤可以通过处理器601中的硬件形式的逻辑电路或者软件形式的指令完成。处理器601可以是CPU、数字信号处理器(digital signal processor，DSP)、专用集成电路(application specific integrated circuit，ASIC)、现场可编程门阵列(field programmable gate array，FPGA)或者其它可编程逻辑器件，例如，分立门、晶体管逻辑器件或分立硬件组件。

设备600执行方法200的具体方式以及产生的有益效果可以参见上述方法实施例中的相关描述。

本申请还提供了一种计算机程序产品，该计算机程序产品被处理器601执行时实现本申请中任一方法实施例所述的通信方法。

该计算机程序产品可以存储在存储器602中，例如是程序604，程序604经过预处理、编译、汇编和链接等处理过程最终被转换为能够被处理器601执行的可执行目标文件。

本申请还提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被计算机执行时实现本申请中任一方法实施例所述的通信方法。该计算机程序可以是高级语言程序，也可以是可执行目标程序。

该计算机可读存储介质例如是存储器602。存储器602可以是易失性存储器或非易失性存储器，或者，存储器602可以同时包括易失性存储器和非易失性存储器。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(dynamic RAM，DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM，DR RAM)。

本领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的方法实施例的一些特征可以忽略，或不执行。以上所描述的装置实施例仅仅是示意性的，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，多个单元或组件可以结合或者可以集成到另一个系统。另外，各单元之间的耦合或各个组件之间的耦合可以是直接耦合，也可以是间接耦合，上述耦合包括电的、机械的或其它形式的连接。

应理解，在本申请的各种实施例中，各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请的实施例的实施过程构成任何限定。

另外，本文中术语“系统”和“网络”在本文中常被可互换使用。本文中的术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

总之，以上所述仅为本申请技术方案的较佳实施例而已，并非用于限定本申请的保护范围。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

Claims

一种发送用户标识的方法，其特征在于，包括：

移动设备ME通过第一通信连接从云卡池中的通用集成电路卡UICC接收全球用户身份模块USIM卡信息；

所述ME从第五代5G独立SA网络接收身份请求，所述身份请求用于请求获取用户加密标识SUCI；

所述ME根据所述身份请求和所述USIM卡信息获取所述SUCI，所述USIM卡信息用于指示所述SUCI的生成设备为所述ME或者所述UICC；

所述ME向所述5G SA网络发送所述SUCI，所述SUCI用于建立第二通信连接。
根据权利要求1所述的方法，其特征在于，所述ME根据所述身份请求和所述USIM卡信息获取SUCI，包括：

当所述USIM卡信息包括加密指示信息时，并且，当所述USIM卡配置信息不包括124服务和125服务时，所述ME根据所述身份请求在本地获取所述SUCI；或者，

当所述USIM卡信息包括加密指示信息时，并且，当所述USIM卡配置信息包括124服务和125服务时，所述ME根据所述身份请求从所述UICC获取所述SUCI。
根据权利要求2所述的方法，其特征在于，所述ME根据所述身份请求从所述UICC获取所述SUCI，包括：

所述ME根据所述身份请求通过所述第一通信连接向所述UICC发送SUCI获取请求；

所述ME通过所述第一通信连接从所述UICC获取所述SUCI。
根据权利要求1所述的方法，其特征在于，所述ME根据所述身份请求和所述USIM卡信息获取SUCI，包括：

当所述USIM卡信息不包括加密指示信息时，并且，当所述USIM卡信息不满足下列四个条件中的任意一个时，所述ME根据所述身份请求从所述UICC获取所述SUCI；或者，

当所述USIM卡信息不包括加密指示信息时，并且，当所述USIM卡信息满足下列四个条件中的任意一个时，所述ME根据所述身份请求在本地获取所述SUCI；

所述四个条件为：所述USIM卡信息包括运营商请求在所述ME处生成所述SUCI的配置信息；所述USIM卡信息包括无授权紧急会话的配置信息；所述USIM卡信息为R15之前的卡的信息；所述USIM卡信息为R15的卡的信息，但是所述R15的卡被配置为不加密卡。
根据权利要求4所述的方法，其特征在于，所述ME根据所述身份请求从所述UICC获取所述SUCI，包括：

所述ME根据所述身份请求通过所述第一通信连接向所述UICC发送SUCI获取请求；

所述ME通过所述第一通信连接从所述UICC获取所述SUCI。
一种发送用户标识的装置，其特征在于，包括接收单元、处理单元和发送单元，

所述接收单元用于：通过第一通信连接从云卡池中的通用集成电路卡UICC接收全球用户身份模块USIM卡信息；从第五代5G独立SA网络接收身份请求，所述身份请求用于请求获取用户加密标识SUCI；

所述处理单元用于：根据所述身份请求和所述USIM卡信息获取所述SUCI，所述USIM卡信息用于指示所述SUCI的生成设备为所述装置或者所述UICC；

所述发送单元用于：向所述5G SA网络发送所述SUCI，所述SUCI用于建立第二通信连接。
根据权利要求6所述的装置，其特征在于，所述处理单元具体用于：

当所述USIM卡信息包括加密指示信息时，并且，当所述USIM卡配置信息不包括124服务和125服务时，根据所述身份请求在本地获取所述SUCI；或者，

当所述USIM卡信息包括加密指示信息时，并且，当所述USIM卡配置信息包括124服务和125服务时，根据所述身份请求从所述UICC获取所述SUCI。
根据权利要求7所述的装置，其特征在于，所述处理单元具体用于：

根据所述身份请求通过所述第一通信连接向所述UICC发送SUCI获取请求；

通过所述第一通信连接从所述UICC获取所述SUCI。
根据权利要求6所述的装置，其特征在于，所述处理单元具体用于：

当所述USIM卡信息不包括加密指示信息时，并且，当所述USIM卡信息不满足下列四个条件中的任意一个时，根据所述身份请求从所述UICC获取所述SUCI；或者，

当所述USIM卡信息不包括加密指示信息时，并且，当所述USIM卡信息满足下列四个条件中的任意一个时，根据所述身份请求在本地获取所述SUCI；

所述四个条件为：所述USIM卡信息包括运营商请求在所述装置处生成所述SUCI的配置信息；所述USIM卡信息包括无授权紧急会话的配置信息；所述USIM卡信息为R15之前的卡的信息；所述USIM卡信息为R15的卡的信息，但是所述R15的卡被配置为不加密卡。
根据权利要求9所述的装置，其特征在于，所述处理单元具体用于：

根据所述身份请求通过所述第一通信连接向所述UICC发送SUCI获取请求；

通过所述第一通信连接从所述UICC获取所述SUCI。