一种网络侧发起号码变更的隐私保护方法与流程

本发明涉及一种网络侧发起号码变更的隐私保护方法。

背景技术

移动通信系统是当今重要的公共基础设施，它具备广域覆盖性和体制封闭性两个显著特征，前者能够为用户提供随时随地的无线连接能力，后者能够为用户提供相对安全通信能力。因此，越来越多的关键行业都依托于移动通信系统的广域覆盖特征与安全特征来开展其关键业务，并通过移动通信系统用户面的安全防护增强机制来提高其业务安全性。

移动通信系统也不再只是面向普通公众用户，5g在设计之初就提出了要面向垂直行业应用，这就意味着除了用户、运营商、网络设备提供商之外，还将有更多新的利益相关方参与其中。更进一步，随着移动通信技术的发展和国家军民融合战略的实施，运营商将仅仅只是整个移动通信生态中的一个环节，各种垂直行业将成为越来越重要的利益相关方和参与者。面向关键行业的5g高安全应用的需求也就变得越来越迫切。

另一方面，随着5g技术的发展，ict技术的融合将会使得原本封闭的移动通信系统变得开放，互联网的各种安全风险在未来移动通信系统中都将存在，运营商将仅仅只是整个移动通信生态中的一个环节，导致运营商管辖范围内网络的安全性对于关键行业用户来说只是相对的，仅仅在移动通信系统的用户面做安全增强不再足以确保关键行业的安全性，移动通信系统的控制面也需要进行安全防护增强，特别是针对关键行业用户的隐私保护需要。

有高安全需求的关键行业的移动通信系统安全模型如图1所示，包括移动终端-服务网络-可信网络-高安全应用，其中，服务网络包括接入网络和核心网拜访网络，完全依托于移动通信系统的公共基础设施；可信网络主要是核心网归属网络，由通用功能和关键行业的定制功能共同组成；高安全设备是基于通用移动通信终端进行安全增强；高安全应用则是关键行业完全定制的应用功能。

在这个安全模型下，关键行业通过部分定制功能来实现网络的安全增强，为了控制关键行业的投入成本，同时考虑到运营商管辖的边界问题，定制功能只出现在核心网的归属网络，而接入网络和核心网的拜访网络则全是标准的网络功能。

在这个前提下，关键行业用户的高安全设备ue在进行网络附着过程时，服务网络的网元将是从ue到归属网络信息流传输路径上绕不过的必经之路。

国际标准对5g的隐私保护方案有了较大提升，通过引入suci机制，防止攻击者通过空口上捕获用户永久身份标识(在3g/4g中为imsi，在5g中为supi)，从而解决了4g中所遗留的ue在首次附着时可能在空口上暴露用户永久身份标识的问题。然而，5g引入并应用了诸多新技术，ict技术的融合将会使原本封闭的移动通信系统变得开放，导致从接入网络或核心网拜访网络也存在着较大的用户永久身份标识被捕获到的可能性，因此对于有高安全需求的关键行业来说，需要防止通过在运营商的公共基础设施之上捕获用户永久身份标识，解决ue在接入网和拜访网络上暴露用户永久身份标识的问题。

在标准的移动通信架构下，为了确保移动终端ue的正常通信，拜访网络在移动性管理的过程中必定会记录以永久身份标识为索引的各种上下文信息，包括msisdn(移动用户isdn编号，俗称手机号码)、guti(全球唯一临时标识符，俗称临时身份标识)、用户签约信息、ue空闲状态下的tailist(跟踪区域列表)、ue会话状态下的cgi(小区位置信息)等，即永久身份标识与手机号码、临时身份标识等信息之间存在固定映射关系，这些信息对于普通公众用户而言可能无关紧要，但是对于关键行业用户而言属于重要的用户隐私信息，因为只要捕获到永久身份标识就能够得出用户手机号码、临时身份标识、跟踪区信息、小区信息以及其他该用户的一切签约信息，即能够通过跟踪用户的永久身份标识，推导出ue在现实空间中的真实身份以及位置信息，从而为更进一步的apt攻击创造有利条件。

因此，为了增加攻击者通过在安全级别较低的接入网络和拜访网络捕获到用户永久身份标识的难度，需要实现用户永久身份标识与手机号码、位置信息以及其他签约信息的解耦合效果，即通过跳变或加密用户的永久身份标识，从而解耦和打乱永久身份标识与手机号码、位置信息以及其他签约信息之间存在的固定映射关系。

目前国际标准中的隐私保护方案显然是无法完全满足上述需求的，并且目前针对关键行业用户的已有解决方案也只是规定了通过实现用户永久身份标识(3g/4g中为imsi，5g中为supi)与用户手机号码(msisdn)以及用户永久身份标识与用户临时身份标识(guti)之间的双重解耦，达到增加攻击者在接入网和拜访网络上捕获用户永久身份标识难度的效果。但仍有以下几个问题有待解决：

(1)新的永久身份掩护标识的产生如何实现保留格式、地址空间不变且不与其他用户的标识发生冲突和碰撞等效果。

(2)如何确保ue侧和网络侧udm/hss为某用户变更了永久身份之后，不影响该用户和其他用户的正常通信。

(3)网络侧udm/hss按照一定的策略为ue产生新的永久身份标识之后，如何与ue侧同步，且确保不对接入网络和拜访网络的网元功能提任何要求。

因此，为了增加攻击者在移动通信系统公共基础设施上捕获用户永久身份标识的难度，除了需要实现永久身份标识与手机号码、临时身份标识等信息的双重解耦效果之外，如何做到不改变接入网络和拜访网络功能，从而满足特殊行业用户的高安全需求，迫切需要解决以上三个问题。

技术实现要素：

为了克服现有技术的上述缺点，本发明提供了一种网络侧发起号码变更的隐私保护方法，在实现永久身份标识与手机号码、临时身份标识等信息之间的双重解耦效果的前提下，既能够解决新的永久身份掩护标识保留格式、地址空间不变且不发生冲突和碰撞，又不影响该用户以及其他用户的正常通信，而且不对接入网络和拜访网络的网元功能提任何要求，从而达到特殊行业用户的隐私保护效果，以满足特殊行业用户的高安全需求。

本发明解决其技术问题所采用的技术方案是：一种网络侧发起号码变更的隐私保护方法，包括如下内容：

首先由核心网侧的数据管理功能针对某用户产生新的掩护身份，所述掩护身份落入该用户所属行业永久身份标识的池空间中，并且是一个当前未被其他用户使用的身份；

第二，核心网侧的统一身份管理功能将新的掩护身份通过传输通道加密传输到ue侧；

第三，ue接收到来自网络侧的新掩护身份之后，仅在空闲态才触发ue侧的永久身份标识变更的执行；

最后，ue侧在空闲态先用旧永久身份标识发起去附着流程，以释放本用户对旧永久身份标识的占用，然后再以新永久身份标识重新发起附着流程；至此，ue侧和网络侧都以新的永久身份标识来代表该用户。

与现有技术相比，本发明的积极效果是：

本发明通过采用一种网络侧发起号码变更的隐私保护方法，使得关键行业能够以一种不改变国际标准架构和国际标准流程，完全不改接入网络和拜访网络，只通过定制部分归属网络功能的方式，从机制上通过跳变永久身份标识，实现永久身份标识与手机号码、临时身份标识、位置信息以及其他上下文信息与签约信息之间固有映射关系的多重解耦合效果，从而达到增加攻击者通过捕获永久身份标识或临时身份标识来跟踪用户或推到用户在真实空间中身份难度的效果；通过网络侧发起身份的变更，实现避免不同用户在跳变永久身份掩护标识时的碰撞或冲突风险，从根本上避免了ue在跳变永久身份掩护标识时影响自身或其他用户正常通信的可能性。同时由于ue的永久身份掩护标识是基于真永久身份标识池的随机分配，对于接入网络和拜访网络而言都是真永久身份标识，而且对于同一个用户的ue侧和归属网络udm/ausf侧的永久身份标识是准同步变更，因此能够满足国际上合法监听的要求。该方法适用范围广，不仅适用于5g网络，还适用于4g网络以及未来以imsi作为永久身份标识的移动通信系统。能够解决关键行业用户使用移动通信系统公共基础设施开展高安全应用时隐私保护的需求，满足国家军民融合战略。

附图说明

本发明将通过例子并参照附图的方式说明，其中：

图1为关键行业移动通信系统安全模型示意图；

图2为本发明的功能实体组成示意图；

图3为主认证通道方案初始获得掩护身份的流程示意图；

图4为主认证通道方案更新掩护身份的流程示意图；

图5为二次认证通道方案的流程示意图；

图6为up通道方案的流程示意图。

具体实施方式

针对现有隐私保护解决方案存在着导致该用户或其他用户无法正常通信的风险，同时可能对接入网络或拜访网络有要求的问题，本发明提供了一种网络侧发起号码变更的隐私保护方法，在实现永久身份标识与手机号码、临时身份标识等信息之间双重解耦效果的前提下，既能够确保不影响本用户和其他用户正常通信，又不对接入网络和拜访网络提任何要求，以便于满足特殊行业用户的隐私保护需求。

本发明公开了一种网络侧发起号码变更的隐私保护方法，首先由核心网侧的数据管理功能(5g中为udm/udr，4g中为hss)针对某用户产生新的掩护身份，为了不影响其他用户的正常通信，该掩护身份必须仍然落入该行业永久身份标识的池空间中，同时该掩护身份必须是一个当前未被其他用户使用的身份。

第二，核心网侧的统一身份管理功能将该用户相关的新掩护身份通知到ue侧，通知的方式需要依赖相应的通道来进行传输，同时新掩护身份需要加密传输。传输的通道需要具备以下几个条件：

(1)通道需要是ue与核心网归属网络之间端到端贯通的通道；

(2)通道需要是能够携带第三方信息且第三方信息不会被接入网络或拜访网络丢弃的通道。

因此，这个用于通知ue侧新掩护身份的通道包含以下几种情况，其一是利用移动通信系统的主认证通道，通过替换主认证的认证算法，在第三方的认证向量中携带加密后的新掩护身份，从而达到网络侧数据管理功能(udm/udr或hss)将新的掩护身份通知给ue的效果。其二是利用5g特有的二次认证通道，由网络侧数据管理功能通过mp(管理面)通道或新增cp(控制面)通道将新掩护身份传递给二次认证功能，再由二次认证功能在认证过程中携带加密后的新掩护身份，从而达到网络侧数据管理功能(udm/udr或hss)将新的掩护身份通知给ue的效果。其三是利用up通道，由网络侧数据管理功能通过mp(管理面)通道或新增cp(控制面)通道将新掩护身份传递给用户面功能(upf或pgw)，再由用户面功能通过用户面通道直接传递加密后的新掩护身份，从而达到网络侧数据管理功能(udm/udr或hss)将新的掩护身份通知给ue的效果。

第三，ue接收到来自网络侧的新掩护身份之后，为了确保本用户的正常通信不受影响，在空闲态(非通话和非关机状态)才触发ue侧的永久身份标识变更的执行。

最后，ue侧在空闲态先用旧永久身份标识发起去附着流程，以释放本用户对旧永久身份标识的占用，然后再以新永久身份标识重新发起附着流程。至此，ue侧和网络侧都以新的永久身份标识来代表该用户。

从上述方法中可以认为这其中包含了三种情况，第一种情况利用主认证通道发起掩护身份更换协商，要区分终端新开机和开机很长时间而达到更换掩护身份条件的情况，具体步骤如下：

步骤s101，移动终端开机，使用suci发起网络附着流程；

步骤s102，核心网侧归属网络的数据管理功能(5g中为udm/udr，4g中为hss)针对该用户，按照一定策略产生其新的掩护身份(5g中为supi，3g/4g中为imsi)；

步骤s103，核心网侧归属网络的数据管理功能利用主认证通道，在归属网络认证服务功能发送给终端侧的挑战请求信息或状态通知信息中加密携带新掩护身份，从而达到核心网侧归属网络的数据管理功能将新的掩护身份通知给ue的效果；

步骤s104，ue接收到来自核心网侧归属网络的主认证挑战请求信息后，通过解密获得新掩护身份，随后使用该新的掩护身份完成主认证及网络附着的后续流程；

步骤s105，核心网侧归属网络与移动终端完成双向认证之后，将前面步骤中产生的新掩护身份传递给服务网络，从而达到双方协商掩护身份的效果；

步骤s106，经过一个时间周期，核心网侧归属网络的数据管理功能针对该用户按照一定策略产生其新的掩护身份；

步骤s107，核心网侧归属网络的数据管理功能利用主认证的重认证通道，在归属网络认证服务功能发送给终端侧的挑战请求信息中加密携带新掩护身份，从而达到核心网侧归属网络的数据管理功能将新的掩护身份通知给ue的效果；

步骤s108，ue接收到来自核心网侧归属网络的重认证挑战请求信息后，通过解密获得新掩护身份，为了确保本用户的正常通信不受影响，在空闲态(非通话和非关机状态)才触发ue侧的永久身份标识(5g中为supi，3g/4g中为imsi)变更的执行；

步骤s109，ue侧在空闲态使用旧永久身份标识(变更前的)发起网络去附着流程，以释放本用户在网络上对旧永久身份标识的占用；

步骤s1010，完成去附着流程之后，ue再以新永久身份标识(新的掩护身份)重新发起网络附着流程。

步骤s1011，ue完成网络附着流程。至此，ue侧和网络侧都以新的永久身份标识来标识该用户。

第二种情况利用二次认证通道，无论移动终端是新开机还是因为已经开机很久而达到更换掩护身份条件的处理方式相同，具体步骤如下：

步骤s101，核心网侧的数据管理功能(5g中为udm/udr，4g中为hss)针对某用户，按照一定策略产生其新的掩护身份(5g中为supi，3g/4g中为imsi)；

步骤s102，核心网侧的数据管理功能通过mp(管理面)通道或新增cp(控制面)通道将新掩护身份传递给二次认证功能，再利用5g特有的二次认证通道，由二次认证功能在认证过程中加密携带的新掩护身份，从而达到网络侧数据管理功能将新的掩护身份通知给ue的效果；

步骤s103，ue接收到来自网络侧的二次认证信息后，通过解密获得新掩护身份，为了确保本用户的正常通信不收影响，在空闲态(非通话和非关机状态)才触发ue侧的永久身份标识(5g中为supi，3g/4g中为imsi)变更的执行；

步骤s104，ue侧在空闲态使用旧永久身份标识(变更前的)发起网络去附着流程，以释放本用户在网络上对旧永久身份标识的占用；

步骤s105，完成去附着流程之后，ue再以新永久身份标识(新的掩护身份)重新发起网络附着流程。

步骤s106，ue完成网络附着流程。至此，ue侧和网络侧都以新的永久身份标识来标识该用户。

第三种情况利用用户面通道，无论移动终端是新开机还是因为已经开机很久而达到更换掩护身份条件的处理方式相同，具体步骤如下：

步骤s101，核心网侧的数据管理功能(5g中为udm/udr，4g中为hss)针对某用户，按照一定策略产生其新的掩护身份(5g中为supi，3g/4g中为imsi)；

步骤s102，核心网侧的数据管理功能通过能力开放接口、mp(管理面)通道或新增cp(控制面)通道将新掩护身份传递给dn中，用户面功能(5g中为upf，4g中为pgw)，再利用up通道由用户面功能通过用户面通道直接加密传递的新掩护身份，从而达到网络侧数据管理功能(udm/udr或hss)将新的掩护身份通知给ue的效果；

步骤s103，ue接收到来自网络侧up通道的信息后，通过解密获得新掩护身份，为了确保本用户的正常通信不收影响，在空闲态(非通话和非关机状态)才触发ue侧的永久身份标识(5g中为supi，3g/4g中为imsi)变更的执行；

步骤s104，ue侧在空闲态使用旧永久身份标识(变更前的)发起网络去附着流程，以释放本用户在网络上对旧永久身份标识的占用；

步骤s105，完成去附着流程之后，ue再以新永久身份标识(新的掩护身份)重新发起网络附着流程。

步骤s106，ue完成网络附着流程。至此，ue侧和网络侧都以新的永久身份标识来标识该用户。

本发明还公开了一种网络侧发起号码变更隐私保护的系统，其特征在于其遵循国际标准的标准架构，该功能实体包括ue、接入网络ran、拜访网络、归属网络udm/udr/hss，归属网络upf/pgw，归属网络二次认证功能。所属归属网络udm/udr/hss按照某种策略为用户产生新的掩护身份(5g中为supi，3g/4g中为imsi)；ue执行永久身份标识的变更以及发起网络去附着和附着请求；归属网络二次认证功能或upf/pgw可作为加密传输新的掩护身份的通道；而接入网络、拜访网络均与标准功能完全一致。

通过采用以上技术方案，本发明的有益效果体现为以下四个方面：其一，在核心网侧为每个用户产生新的掩护身份，为了确保新的掩护身份能够保留格式，同时不与其他用户发生身份碰撞，无需对算法提出过高的要求。其二，新的掩护身份在核心网侧产生，在终端侧执行，终端侧能够根据自身的状态决定执行永久身份变更的时机，能够确保不影响该用户以及其他用户正常通信的效果。其三，不对接入网络或拜访网络提任何的要求，对核心网的影响只局限于归属网络，只需要小改个别归属网络网元功能即可。其四，该方法适用范围广，不仅适用于5g网络，还适用于4g网络以及未来以imsi作为永久身份标识的移动通信系统。

以下结合附图对本发明进行进一步详细说明。

如图2所示，本发明方法涉及的功能实体包括：安全终端ue、无线接入网ran、拜访网络功能、归属网络通用功能、归属网络统一数据管理/认证服务功能udm/ausf、以及数据网络定制应用系统及定制功能。

安全终端ue从核心网接受新的掩护身份，根据自身状态决定永久身份的变更时机，在空闲态执行永久身份变更行为以及发起并完成网络去附着/附着请求过程。

接入网络、拜访网络以及归属网络通用功能与标准完全一致，被动配合安全终端完成网络去附着与附着过程。

归属网络udm/ausf用于按照一定策略为用户产生新的掩护身份，并按照不同情况完成传输通道的定制。

数据网络定制功能用于二次认证或专用于向ue传递新的掩护身份作用。

以下按照三种情况进行描述。

(1)对于主认证通道方式的supi/imsi变更过程

1)对于移动终端刚开机发起初始附着的情况

首先移动终端开机后使用sim卡中的默认supi或关机前保存的旧掩护supi产生suci，然后用suci发起初始网络附着过程(对于4g情况，则没有suci过程，直接传递默认imsi或关机前保存的旧掩护imsi)。

归属网络udm收到初始附着请求后产生新的supi/imsi，并携带在归属网络发起的认证挑战信息中，由归属网络ausf将新的supi/imsi加密通知给ue，ue获得新的掩护supi/imsi之后，执行掩护身份变更行为，然后使用新的掩护身份完成后续网络附着等相关处理。具体如图3所示。

在这种通道方式下，首先ue开机使用sim卡中的默认supi/imsi或关机前保存的旧掩护supi/imsi发起初始附着流程。在5g中，使用suci发起初始附着；在4g中，直接使用旧掩护身份发起初始附着。

udm/ausf收到认证请求后产生该用户新的掩护supi，并在从udm/ausf向ue发送的消息中携带加密后的新掩护supi信息，这个从udm/ausf向ue发送的消息可以是8)和9)的eaprequest|aka’-challenge中或者是14)optionalexchangeoffurthereapmessage。

ue收到后提取出解密后的新掩护身份信息，并执行掩护身份的变更动作。

ue使用新的掩护身份完成后续网络附着过程。

归属网络udm/ausf使用新的掩护身份发送给服务网络。

2)对于移动终端保持开机状态，达到掩护身份变更条件的情况

首先归属网络udm产生新的supi/imsi，并携带在主认证的挑战请求信息中，由归属网络ausf将新的supi/imsi加密通知给ue，然后由ue完成后续触发执行变更条件、执行变更、完成网络去附着以及完成网络附着等相关处理。具体如图4所示。

这种通道方式下，首先udm/ausf产生某用户新的掩护supi/imsi，并在从udm/ausf向ue发送的消息中携带加密后的新掩护身份信息，这个从udm/ausf向ue发送的消息可以是11)和12)的eaprequest|aka’-challenge中或者是17)optionalexchangeoffurthereapmessage。

ue收到后提取出解密后的新掩护身份信息。

ue完成主认证过程。

ue根据本地策略，触发变更掩护身份的条件，并使用旧的掩护身份发起网络去附着过程。

完成网络去附着过程后，归属网络udm/ausf执行该用户的掩护身份的变更。

ue完成去附着过程后，立即以新的掩护身份发起网络附着过程。

至此该ue将会以新的掩护身份在接入网络、拜访网络上重新建立临时身份标识、位置信息、各种上下文关系以及相关状态信息。

(2)对于二次认证通道方式的supi/imsi变更过程

首先由归属网络udm产生新的supi/imsi，并通过定制接口将该信息传递给归属网络二次认证功能，并携带在定制的二次认证算法的信息中，再由二次认证功能将新的supi/imsi加密通知给ue，然后由ue完成后续触发执行变更条件、执行变更、完成网络去附着以及完成网络附着等相关处理。具体如图5所示。

这种通道方式下，首先udm/ausf产生某用户新的掩护supi。

ue发起认证或认证更新流程时，由二次认证功能从归属网络udm/ausf处获取新的掩护supi信息，并在14)eap-request/eap-responsemessage交互过程中将加密后的新掩护supi通知给ue。

ue在二次认证过程中提取出解密后的新掩护supi信息。

ue完成主认证与二次认证过程。

ue根据本地策略，触发变更掩护supi的条件，并使用旧的掩护supi发起网络去附着过程。

完成网络去附着过程后，归属网络udm/ausf执行该用户的掩护supi的变更。

ue完成去附着过程后，立即以新的掩护supi发起网络附着过程。

至此该ue将会以新的掩护supi在接入网络、拜访网络上重新建立临时身份标识、位置信息、各种上下文关系以及相关状态信息。

(3)对于up通道方式的supi/imsi变更过程

首先由归属网络udm产生新的supi/imsi，并通过能力开放接口或定制接口将该信息传递给数据网络定制功能，由数据网络定制功能通过up通道将新的supi/imsi加密通知给ue，然后由ue完成后续触发执行变更条件、执行变更、完成网络去附着以及完成网络附着等相关处理。具体如图6所示。

这种通道方式下，假设ue已经完成附着过程并建立up通道。

首先udm/ausf产生某用户新的掩护supi，并通知给数据网络的定制功能。

由数据网络的定制功能将加密后的新掩护supi信息通过up通道通知给ue。

ue提取出解密后的新掩护supi信息。

ue根据本地策略，触发变更掩护supi的条件，并使用旧的掩护supi发起网络去附着过程。

完成网络去附着过程后，归属网络udm/ausf执行该用户的掩护supi的变更。

ue完成去附着过程后，立即以新的掩护supi发起网络附着过程。

至此该ue将会以新的掩护supi在接入网络、拜访网络上重新建立临时身份标识、位置信息、各种上下文关系以及相关状态信息。