本發明專利技術公開了一種國際移動用戶標識符IMSI機密性保護方法,該方法包括:移動管理實體MME根據用戶設備UE上報的IMSI生成全球唯一臨時標示符GUTI后,將GUTI發送給UE,將IMSI、GUTI發送給歸屬簽約用戶服務器HSS;HSS保存接收的IMSI、GUTI并進行映射;重鑒權時,若MME無法通過UE上報的GUTI確認用戶身份,則由HSS利用保存的GUTI對用戶進行識別。本發明專利技術同時公開一種MME、HSS、IMSI機密性保護系統。采用本發明專利技術可以在不改變原有AKA協議的基礎上,簡單易行地提供一種基于假名保護IMSI的方案,并且該方案安全性較高。
【技術實現步驟摘要】
本專利技術涉及通信
,尤其涉及國際移動用戶標識符IMSI機密性保護方法、 設備及系統。
技術介紹
防止攻擊者通過空中接口獲得IMSI (International Mobile Subscriberldentifier,國際移動用戶標識符),減輕攻擊者截獲IMSI所帶來的威脅,提 供優于UTRAN(UMTS Terrestrial Radio Access Network, UMTS陸地無線接入網;UMTS : Universal Mobile Telecommunications System,通用移動通信系統)系統的安全性,是未 來網絡安全中考慮的一個重要課題。 可以由網絡分配臨時標識來標識用戶,或者給UE (User Equipment,用戶設備)提 供一個至少歸屬網絡可識別的偽標識來替代IMSI的標識,稱之為基于假名的方法。從密碼 學角度來分析,也可以使用公鑰或對稱密鑰加密隱藏IMSI。 在3GPP TR33. 821V0. 5. 0中,給出了基于假名保護和公鑰體制保護IMSI的方 案。其中基于假名的方案是用假名來代替頂SI,而假名的產生是由HLR(Home Location Register,歸屬位置寄存器)和UE共享的密鑰k,即使用對稱密鑰來產生假名,假名的更新 頻率和執行AKA的頻率一致。故這種方法也可以看作是一種基于對稱密鑰的方法。以下是 其方案簡單描述 基于假名的思想,一般按以下方式進行修改五元組本身在AUTN(Authentication token認證令牌)參數中包含一個假名,UE可以通過在USIM(UMTS Subscriber Identity Module, UMTS用戶身份模塊;UMTS :UniversalMobile Telecommunication System,通用移 動通信系統)中與HLR共享的長期密鑰進行鑒定。當UE下次需要提供身份時,此時不再與 網絡共享一個TMSI (Temporary Mobile Subscriber Identify,臨時移動用戶識別號碼), 可以使用從先前已鑒別的AUTN參數中得到的一個假名。 在HSS(Home Subscriber Server,歸屬簽約用戶服務器)中產生假名的方式,是通 過HSS中一個帶有密鑰標識符(KID)的密鑰K'來產生的。HSS用K'加密IMSI和一些隨 機變量生成假名,然后將這個假名和KID擴展到AUTN參數中(具體擴展算法,標準中未給 出)。密鑰K'不需要在HSS之外被傳遞, 一旦HSS獲得基于假名鑒權的請求,它將通過標識 密鑰的KID找到相應的密鑰K',對假名進行解密,從而解密得到完整的IMSI。 假名的創建和基于假名的IMSI識別都是在HLR的內部完成的,假名還可以是一個 比特串(可能長度是可變的),因此創建假名的算法不會影響到網絡和UE。 由上述可見,在3GPP TR33. 821V0. 5. 0的保護方案中,由于對AKA (Authentication and Key Agreement,認證和密鑰協商)協議中的參數AUTN進行了擴展(具體的擴展操作, 方案中并未交待),這種擴展是對AKA中協議算法的修改,因此這種保護方案只能用于使用 該保護機制的USIM卡,而對于其他的USIM卡和SIM卡不能起到保護的作用,這些卡要使用 這種機制的話,就必須對AKA進行升級。另外,由于沒有密鑰更新機制,故產生假名的密鑰4一旦被破譯,那么方案對IMSI的保護就失去作用。 此外,方案中還存在一些未解決細化的問題。在鑒權中,HSS發送給同一UE的KID 和上次鑒權時的KID相同的,還是互不相同的。另外,每個UE和HSS共享的K'是互不相同, 還是相同的。如何將原有的AUTN參數加以擴展,將假名添加其中。 除了基于假名的方法之外,3GPP TR33. 821V0. 5. 0中給出了基于公鑰的方案,而這 種公鑰方案的公鑰證書的問題還是沒有得到解決,即公鑰證書在每次身份請求或者UE首 次接入網絡之前需要提供給UE, UE也必須有能力鑒別公共密鑰證書。
技術實現思路
本專利技術實施例提供一種國際移動用戶標識符IMSI機密性保護,用以在不改變原 有AKA協議的基礎上,提供一種基于假名保護IMSI的簡單易操作、且安全性較高的方案,該 方法包括 移動管理實體匪E根據用戶設備UE上報的IMSI生成全球唯一臨時標示符GUTI 后,將GUTI發送給UE,將IMSI、GUTI發送給歸屬簽約用戶服務器HSS ; HSS保存接收的IMSI 、 GUTI并進行映射; 重鑒權時,若匪E無法通過UE上報的GUTI確認用戶身份,則由HSS利用保存的 GUTI對用戶進行識別。 本專利技術實施例還提供一種匪E,用以在不改變原有AKA協議的基礎上,提供一種基 于假名保護頂SI的簡單易操作、且安全性較高的方案,該匪E包括 生成模塊,用于根據UE上報的IMSI生成GUTI ; 發送模塊,用于將生成的GUTI發送給UE,將IMSI、生成的GUTI發送給HSS ; 接收模塊,用于在重鑒權時,接收UE上報的GUTI ; 提交模塊,用于在無法通過UE上報的GUTI確認用戶身份時,將UE上報的GUTI提 交至HSS進行識別。 本專利技術實施例還提供一種HSS,用以在不改變原有AKA協議的基礎上,提供一種基 于假名保護頂SI的簡單易操作、且安全性較高的方案,該HSS包括 接收模塊,用于接收匪E發送的IMSI、以及根據IMSI生成的GUTI ;在重鑒權時,接 收匪E轉發的、UE上報的GUTI ; 存儲模塊,用于存儲接收的IMSI 、 GUTI并進行映射; 重鑒權模塊,用于對重鑒權時接收的GUTI,利用保存的GUTI對用戶進行識別。 本專利技術實施例還提供一種IMSI機密性保護系統,用以在不改變原有AKA協議的基 礎上,提供一種基于假名保護MSI的簡單易操作、且安全性較高的方案,該系統包括 UE,用于上報IMSI ;接收根據IMSI生成的GUTI并在重鑒權時上報; 匪E,用于根據UE上報的MSI生成GUTI后,將GUTI發送給UE,將IMSI、 GUTI發 送給HSS ; HSS,用于保存接收的IMSI、 GUTI并進行映射;在重鑒權、匪E無法通過UE上報的 GUTI確認用戶身份時,利用保存的GUTI對用戶進行識別。 本專利技術實施例中,移動管理實體匪E根據用戶設備UE上報的IMSI生成全球唯一 臨時標示符GUTI后,將GUTI發送給UE,將IMSI、GUTI發送給歸屬簽約用戶服務器HSS ;HSS保存接收的MSI、GUTI并進行映射;重鑒權時,若匪E無法通過UE上報的GUTI確認用戶身 份,則由HSS利用保存的GUTI對用戶進行識別,從而在不改變原有AKA協議的基礎上,提供 一種基于假名保護IMSI的簡單易操作、且安全性較高的方案。附圖說明 圖1為本專利技術實施例中國際移動用戶標識符IMSI機密性保護方法流程圖; 圖2為本專利技術實施例中初始入網階段時的一個具體實例的流程圖; 圖3為本專利技術實施例中重鑒權的一個具體實例的流程圖; 圖4為本專利技術實施例中匪E的結構示意圖; 圖5為本專利技術實施例中HSS的結構示意圖; 圖6為本專利技術實施例中IMSI機密性保護系統的結構示意圖。本文檔來自技高網...
【技術保護點】
一種國際移動用戶標識符IMSI機密性保護方法,其特征在于,該方法包括:移動管理實體MME根據用戶設備UE上報的IMSI生成全球唯一臨時標示符GUTI后,將GUTI發送給UE,將IMSI、GUTI發送給歸屬簽約用戶服務器HSS;HSS保存接收的IMSI、GUTI并進行映射;重鑒權時,若MME無法通過UE上報的GUTI確認用戶身份,則由HSS利用保存的GUTI對用戶進行識別。
【技術特征摘要】
一種國際移動用戶標識符IMSI機密性保護方法,其特征在于,該方法包括移動管理實體MME根據用戶設備UE上報的IMSI生成全球唯一臨時標示符GUTI后,將GUTI發送給UE,將IMSI、GUTI發送給歸屬簽約用戶服務器HSS;HSS保存接收的IMSI、GUTI并進行映射;重鑒權時,若MME無法通過UE上報的GUTI確認用戶身份,則由HSS利用保存的GUTI對用戶進行識別。2. 如權利要求1所述的方法,其特征在于,HSS保存接收的IMSI、 GUTI并進行映射,包括HSS在第一列表中查找接收的IMSI ;若不存在則先加入該MSI ;所述第一列表用于存儲MSI ;HSS在第二列表中查找與該IMSI對應的GUTI,若存在,則將第二列表中與該IMSI對應 的GUTI移至第三列表;將接收的GUTI存入第二列表;若不存在,則直接將接收的GUTI存入 第二列表;所述第二列表用于存儲最新的GUTI ;所述第三列表用于存儲之前使用的GUTI。3. 如權利要求2所述的方法,其特征在于,重鑒權時,若匪E無法通過UE上報的GUTI 確認用戶身份,則由HSS利用保存的GUTI對用戶進行識別,包括匪E向HSS發送身份鑒權請求,所述身份鑒權請求中包括UE上報的GUTI ; HSS在第二列表中查找與所述身份鑒權請求中的GUTI相同的GUTI,查找到時確認用戶 身份,發送相應的五元組。4. 如權利要求3所述的方法,其特征在于,HSS在第二列表中未查找到與所述身份鑒權 請求中的GUTI相同的GUTI時,進一步在第三列表中查找,查找到時確認用戶身份,發送相 應的五元組。5. 如權利要求4所述的方法,其特征在于,HSS在第三列表中未查找到與所述身份鑒權 請求中的GUTI相同的GUTI時,通知匪E請求UE重發IMSI 。6. 如權利要求1至5任一項所述的方法,其特征在于,匪E在確認UE接收到GUTI之 后,再將IMS I 、 GUTI發送給HSS。7. —種匪E,其特征在于,包括 生成模塊,用于根據UE上報的IMSI生成GUTI ;發送模塊,用于將生成的GUTI發送給UE,將IMSI、生成的GUTI發送給HSS ; 接收模塊,用于在重鑒權時,接收UE上報的GUTI ...
【專利技術屬性】
技術研發人員:朱紅儒,齊旻鵬,魏凌波,
申請(專利權)人:中國移動通信集團公司,
類型:發明
國別省市:11[中國|北京]
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。