用户隐藏标识的生成控制方法及装置、终端与流程

本公开实施例涉及通信技术领域，特别涉及一种用户隐藏标识的生成控制方法及装置、用户识别模块、移动设备、终端。

背景技术：

目前，国内5g技术已进入商用发展的快车道，通信技术的发展又将进入一个新的时代。在3g和4g时代，主要业务是语音、短信和移动宽带，业务类型相对比较单一。5g技术在带来高速率、短时延、大连接的业务体验和更多应用场景的同时，在很多具体技术要求方面也有了明显的创新和进步，用户鉴权认证就是其中之一。针对4g网络鉴权中存在的安全问题，在5g网络鉴权方案中进行了修正和改进，最典型的就是使用公私钥加密体制对imsi进行了加密，避免了imsi的明文传输及由此带来的非法分子在空中对imsi进行监听和捕获的问题。在5g技术中，通常将相当于imsi的终端的真实身份标识称为用户永久标识(subscriptionpermanentidentifier，简称：supi)，supi经过公钥加密后形成密文，该密文称为用户隐藏标识(subscriptionconcealedidentifier，简称：suci)，suci经由5g基站gnb传输到5g核心网后，即可进行网络鉴权认证流程。

由于5g目前还处于发展初期，无论网络、终端还是通用用户识别模块(usim)卡的能力都在定义和开发当中，而且还需要考虑和4g的平稳过渡，因此网络鉴权认证方案存在不同选择：既可以是标准的终端的用户永久标识(supi)加密方案，也可以是非加密方案，甚至可以是4g网络的鉴权方案。即便是加密方案，加密的执行主体也有所不同，运营商会根据整体策略确定所需的鉴权方案，并且通过usim的设置来表示在鉴权方面的意愿，以实现对鉴权方案的控制和管理。

在现有技术中，鉴权方案一经设置，supi的加密计算的执行主体将固定而不能更改，无法满足更多的supi的加密计算的执行主体的需求，降低了supi的加密计算的计算效率、成功率和灵活性。

技术实现要素：

本公开实施例旨在至少解决现有技术中存在的技术问题之一，提供一种用户隐藏标识的生成控制方法及装置、用户识别模块、移动设备、终端。

第一方面，本公开实施例提供一种用户隐藏标识的生成控制方法，应用于终端的用户识别模块，该生成控制方法包括：

生成用户隐藏标识计算设置命令，所述用户隐藏标识计算设置命令包括用于执行用户隐藏标识的计算过程的主体的主体信息，所述用于执行用户隐藏标识的计算过程的主体包括所述用户识别模块和所述移动设备；

向所述终端的移动设备发送所述用户隐藏标识计算设置命令；

接收所述移动设备返回的命令响应消息，所述命令响应消息包括用于表示所述移动设备是否支持用户隐藏标识的计算的信息；

根据所述命令响应消息和所述主体信息，确定出当前用于执行所述用户隐藏标识的计算过程的主体，以触发该主体执行所述用户隐藏标识的计算过程，生成所述用户隐藏标识。

在一些实施例中，所述主体信息包括优先级信息；所述根据所述命令响应消息和所述主体信息，确定出当前用于执行所述用户隐藏标识的计算过程的主体，包括：

当所述移动设备支持用户隐藏标识的计算时，将所述优先级信息中第一优先级对应的主体确定为当前用于执行用户隐藏标识的计算过程的主体；

所述触发该主体执行所述用户隐藏标识的计算过程，生成所述用户隐藏标识，包括：触发所述优先级信息中第一优先级对应的主体执行所述用户隐藏标识的计算过程，生成所述用户隐藏标识。

在一些实施例中，当所述移动设备不支持用户隐藏标识的计算时，确定出当前用于执行所述用户隐藏标识的计算过程的主体为所述用户识别模块，并触发所述用户识别模块执行所述用户隐藏标识的计算过程，以生成所述用户隐藏标识。

在一些实施例中，所述触发所述优先级信息中第一优先级对应的主体执行用户隐藏标识的计算过程之后，还包括：

判断所述第一优先级对应的主体是否成功生成所述用户隐藏标识；

若判断出所述第一优先级对应的主体未成功生成所述用户隐藏标识时，触发所述优先级信息中第二优先级对应的主体执行用户隐藏标识的计算过程，以生成所述用户隐藏标识。

第二方面，本公开实施例提供一种用户隐藏标识的生成控制方法，应用于终端的移动设备，该生成控制方法包括：

接收用户识别模块发送的用户隐藏标识计算设置命令，所述用户隐藏标识计算设置命令包括用于执行用户隐藏标识的计算过程的主体的主体信息，所述用于执行用户隐藏标识的计算过程的主体包括所述用户识别模块和所述移动设备；

当从所述用户隐藏标识计算设置命令识别出用于执行用户隐藏标识的计算过程的主体包括自身时，则确定自身是否支持用户隐藏标识的计算；

向所述用户识别模块返回命令响应消息，所述命令响应消息包括用于表示自身是否支持用户隐藏标识的计算的信息，以供所述用户识别模块根据所述命令响应消息和所述主体信息确定出当前用于执行所述用户隐藏标识的计算过程的主体。

在一些实施例中，所述接收所述用户识别模块发送的用户隐藏标识计算设置命令之前，还包括：

在开机启动时，读取所述用户识别模块预设的服务列表；

根据所述服务列表确定所述用户识别模块是否具有多方计算用户隐藏标识的需求；

若确定所述用户识别模块具有多方计算用户隐藏标识的需求时，则等待接收所述用户识别模块的命令。

第三方面，本公开实施例提供一种用户隐藏标识的生成控制装置，包括：

生成模块，用于生成用户隐藏标识计算设置命令，所述用户隐藏标识计算设置命令包括用于执行用户隐藏标识的计算过程的主体的主体信息，所述用于执行用户隐藏标识的计算过程的主体包括所述终端的用户识别模块和所述终端的移动设备；

第一发送模块，用于向所述终端的移动设备发送所述用户隐藏标识计算设置命令；

第一接收模块，用于接收所述移动设备返回的命令响应消息，所述命令响应消息包括用于表示所述移动设备是否支持用户隐藏标识的计算的信息；

第一确定模块，用于根据所述命令响应消息和所述主体信息，确定出当前用于执行所述用户隐藏标识的计算过程的主体；以及

触发模块，用于触发所确定出的主体执行所述用户隐藏标识的计算过程，以生成所述用户隐藏标识。

在一些实施例中，所述主体信息包括优先级信息；

所述第一确定模块具体用于当所述移动设备支持用户隐藏标识的计算时，将所述优先级信息中第一优先级对应的主体确定为当前用于执行用户隐藏标识的计算过程的主体；

所述触发模块具体用于触发所述优先级信息中第一优先级对应的主体执行所述用户隐藏标识的计算过程，生成所述用户隐藏标识。

在一些实施例中，所述第一确定模块还用于当所述移动设备不支持用户隐藏标识的计算时，确定出当前用于执行所述用户隐藏标识的计算过程的主体为所述用户识别模块；

所述触发模块还用于触发所述用户识别模块执行用户隐藏标识的计算过程，以生成所述用户隐藏标识。

在一些实施例中，还包括判断模块；

所述判断模块用于在所述触发模块触发所述优先级信息中第一优先级对应的主体执行用户隐藏标识的计算过程之后，判断所述第一优先级对应的主体是否成功生成所述用户隐藏标识；

所述触发模块还用于若所述判断模块判断出所述第一优先级对应的主体未成功生成所述用户隐藏标识时，触发所述优先级信息中第二优先级对应的主体执行用户隐藏标识的计算过程，以生成所述用户隐藏标识。

第四方面，本公开实施例提供一种用户识别模块，包括上述任一实施例所提供的用户隐藏标识的生成控制装置。

第五方面，本公开实施例提供一种移动设备，包括：

第二接收模块，用于接收用户识别模块发送的用户隐藏标识计算设置命令，所述用户隐藏标识计算设置命令包括用于执行用户隐藏标识的计算过程的主体的主体信息，所述用于执行用户隐藏标识的计算过程的主体包括所述用户识别模块和所述移动设备；

第二确定模块，用于当从所述用户隐藏标识计算设置命令识别出用于执行用户隐藏标识的计算过程的主体包括所述移动设备时，则确定所述移动设备是否支持用户隐藏标识的计算；

第二发送模块，用于向所述用户识别模块返回命令响应消息，所述命令响应消息包括用于表示所述移动设备是否支持用户隐藏标识的计算的信息，以供所述用户识别模块根据所述命令响应消息和所述主体信息确定出当前用于执行所述用户隐藏标识的计算过程的主体。

在一些实施例中，还包括读取模块；

所述读取模块用于在所述移动设备开机启动时，读取用户识别模块预设的服务列表；

所述第二确定模块还用于根据所述服务列表确定所述用户识别模块是否具有多方计算用户隐藏标识的需求；若确定所述用户识别模块具有多方计算用户隐藏标识的需求时，则使所述第二接收模块等待接收所述用户识别模块的命令。

第六方面，本公开实施例提供一种终端，包括移动设备和用户识别模块，所述用户识别模块包括上述任一实施例所提供的用户识别模块，和/或，所述移动设备包括上述任一实施例所提供的移动设备。

本公开实施例所提供的用户隐藏标识的生成控制方法及装置、用户识别模块、移动设备、终端，通过向终端的移动设备发送用户隐藏标识计算设置命令，用户隐藏标识计算设置命令包括用于执行用户隐藏标识的计算过程的主体的主体信息；接收移动设备返回的命令响应消息，命令响应消息包括用于表示移动设备是否支持用户隐藏标识的计算的信息；根据命令响应消息和主体信息，确定出当前用于执行用户隐藏标识的计算过程的主体，以触发该主体执行用户隐藏标识的计算过程，生成用户隐藏标识。在终端进行接入移动网络的鉴权流程之前，通过增加新的机卡交互指令的方式实现用于执行suci的计算过程的主体的选择和切换，扩大了终端的移动设备和用户识别模块的交互能力和范围，实现了更多的对更多的标识加密策略的支撑，并且有效提升了标识加密的计算效率、成功率和灵活性。

附图说明

图1为本公开实施例提供的一种用户隐藏标识的生成控制方法的流程图；

图2为本公开实施例中步骤13的一种具体实现方式的流程图；

图3为本公开实施例提供的另一种用户隐藏标识的生成控制方法的流程图；

图4为本公开实施例提供的又一种用户隐藏标识的生成控制方法的流程图；

图5为一种用户识别模块的服务列表中第17字节的示意图；

图6为一种用户识别模块的服务列表中第16字节的示意图；

图7为本公开实施例提供的再一种用户隐藏标识的生成控制方法的流程图；

图8为本公开实施例提供的一种用户隐藏标识的生成控制装置的结构示意图；

图9为本公开实施例提供的一种移动设备的结构示意图；

图10为本公开实施例提供的一种终端的结构示意图。

具体实施方式

为使本领域的技术人员更好地理解本公开的技术方案，下面结合附图对本公开提供的用户隐藏标识的生成控制方法及装置、用户识别模块、移动设备、终端进行详细描述。

除非另外定义，本公开使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本公开中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。同样，“一个”、“一”或者“该”等类似词语也不表示数量限制，而是表示存在至少一个。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同，而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电性的连接，不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系，当被描述对象的绝对位置改变后，则该相对位置关系也可能相应地改变。

图1为本公开实施例提供的一种用户隐藏标识的生成控制方法的流程图，如图1所示，该方法可以由用户隐藏标识的生成控制装置来执行，该装置可以通过软件和/或硬件的方式实现，该装置可以集成在终端的用户识别模块中，该用户隐藏标识的生成控制方法可以应用于该终端的用户识别模块，该用户隐藏标识的生成控制方法包括：

步骤10、生成用户隐藏标识计算设置命令，用户隐藏标识计算设置命令包括用于执行用户隐藏标识的计算过程的主体的主体信息。

步骤11、向终端的移动设备发送用户隐藏标识计算设置命令。

其中，终端为用户终端(userequipment，简称：ue)，例如，终端为5g终端。其中，终端(ue)包括用户识别模块和移动设备(mobileequipment，简称：me)。其中，用户识别模块可以为通用用户识别模块(universalsubscriberidentitymodule，简称：usim)卡。

应当了解的是，usim卡集成于通用集成电路卡(universalintegratedcircuitcard，简称：uicc)上，usim卡可以通过引入usim应用工具箱(usimapplicationtoolkit，简称：usat)机制，能够根据应用需求主动要求终端的移动设备执行相应功能。其中，usat是以usim卡为代表的电信智能卡的基本能力之一，是指在cu接口(终端的移动设备和usim卡的接口)的协议栈中引入的usat协议层，该usat协议层在传输层提供的服务基础之上提供了一种服务机制，其允许usim应用与支持这种机制的终端的移动设备进行交互和操作，使得usim可以主动要求终端的移动设备执行某个操作，在usat中，usat指令集是电信智能卡通过终端的移动设备实现业务的基础和主要方式。

在本公开实施例中，在终端进行接入移动网络的鉴权流程之前，首先需要获得用户隐藏标识(subscriptionconcealedidentifier，简称：suci)，而用户隐藏标识suci通常是通过对终端的用户永久标识(subscriptionpermanentidentifier，简称：supi)进行加密计算得到。在本公开实施例中，在终端开机启动时，在进行接入移动网络的鉴权流程之前，首先，在步骤10中，生成用户隐藏标识计算设置命令，而后，在步骤11中，向终端(ue)的移动设备(me)发送用户隐藏标识计算设置命令，其中，用户隐藏标识计算设置命令为用户识别模块预先扩展增加的主动式指令。

在本公开实施例中，用户隐藏标识计算设置命令包括用于执行用户隐藏标识suci的计算过程的主体的主体信息，主体信息包括各主体的优先级信息。其中，用于执行用户隐藏标识的计算过程的主体包括用户识别模块和移动设备(me)，即能够用于执行用户隐藏标识的计算过程的主体可以为用户识别模块，也可以为移动设备(me)。

表1示出了用户隐藏标识计算设置命令的结构，如表1所示，suci计算设置是扩展的新增数据对象，suci计算设置指示用于执行suci的计算过程的主体以及各主体的优先级信息。

在扩展的suci计算设置中表示suci计算设置的内容的部分定义有两个取值：“01”和“02”，其余取值保留定义。其中，“01”表示优先由用户识别模块执行suci的计算过程，当用户识别模块不支持suci计算或计算失败时则由终端的移动设备执行suci的计算过程，即在用于执行suci的计算过程的主体中，用户识别模块的优先级为第一优先级，移动设备的优先级为第二优先级；“02”表示优先由移动设备执行suci的计算过程，当移动设备不支持suci计算或计算失败时则由用户识别模块执行suci的计算过程，即在用于执行suci的计算过程的主体中，移动设备的优先级为第一优先级，用户识别模块的优先级为第二优先级。其中，第一优先级高于第二优先级。运营商可以根据实际需要，配置扩展的suci计算设置中表示suci计算设置的内容的部分的具体取值，本公开实施例对此不作限制。例如，配置扩展的suci计算设置中表示suci计算设置的内容的部分的取值为“01”。

表1

步骤12、接收移动设备返回的命令响应消息，命令响应消息包括用于表示移动设备是否支持用户隐藏标识的计算的信息。

在本公开实施例中，移动设备接收到用户隐藏标识计算设置命令后，对用户隐藏标识计算设置命令进行解析，获取用户识别模块的要求，当识别出用户隐藏标识计算设置命令中用于执行用户隐藏标识的计算过程的主体包括移动设备时，确定移动设备是否支持suci的计算，即移动设备是否支持对supi进行加密计算以生成suci，并生成命令响应消息，而后，向用户识别模块返回命令响应消息。其中，命令响应消息包括用于表示移动设备是否支持用户隐藏标识的计算的信息。

表2示出了移动设备返回的命令响应消息的结构，如表2所示，命令响应消息中指示移动设备执行用户隐藏标识计算设置命令的结果。其中，结果中表示结果的内容的部分定义有多个取值：“00”、“01”、“02”和“15”，其余取值为常规取值，其中，“15”表示虽然用户隐藏标识计算设置命令执行成功，但终端的移动设备不支持suci的计算，其余取值还表示终端的移动设备支持suci的计算。运营商可以根据实际需要配置命令响应消息中用于表示移动设备是否支持用户隐藏标识的计算的信息，本公开实施例对此不作限制。

表2

步骤13、根据命令响应消息和主体信息，确定出当前用于执行用户隐藏标识的计算过程的主体，以触发该主体执行用户隐藏标识的计算过程，生成用户隐藏标识。

在本公开实施例中，根据终端的移动设备返回的命令响应消息和预先设置的用于执行suci的计算过程的主体的主体信息，确定出当前用于执行用户隐藏标识的计算过程的主体，并触发该主体执行用户隐藏标识的计算过程，生成用户隐藏标识。例如，根据终端的移动设备返回的命令响应消息和预先设置的用于执行suci的计算过程的主体的主体信息，确定出当前用于执行用户隐藏标识的计算过程的主体为移动设备，则触发移动设备执行suci的计算过程，以生成用户隐藏标识suci。例如，根据终端的移动设备返回的命令响应消息和预先设置的用于执行suci的计算过程的主体的主体信息，确定出当前用于执行用户隐藏标识的计算过程的主体为用户识别模块，则触发用户识别模块执行suci的计算过程，以生成用户隐藏标识suci。

图2为本公开实施例中步骤13的一种具体实现方式的流程图，在一些实施例中，如图2所示，步骤13包括：

步骤131、根据命令响应消息判断移动设备是否支持用户隐藏标识的计算，若是，执行步骤132，若否，执行步骤133。

在步骤131中，在接收到终端的移动设备返回的命令响应消息后，对命令响应消息进行解析，从命令响应消息中用于表示移动设备是否支持用户隐藏标识的计算的信息中，识别终端的移动设备是否支持suci的计算。例如，当命令响应消息中结果的取值为“15”时，表明终端的移动设备不支持suci的计算，当命令响应消息中结果的取值为“00”、“01”、“02”、“10”等中的任一者时，可以认为终端的移动设备支持suci的计算。

步骤132、将优先级信息中第一优先级对应的主体确定为当前用于执行用户隐藏标识的计算过程的主体，并触发优先级信息中第一优先级对应的主体执行用户隐藏标识的计算过程，生成用户隐藏标识。

在步骤132中，当识别出移动设备支持suci的计算时，则将优先级信息中第一优先级对应的主体确定为当前用于执行用户隐藏标识的计算过程的主体。例如，当用户隐藏标识计算设置命令中，suci计算设置中的suci计算设置的内容部分的取值为“01”时，则表明用户识别模块对应的优先级为第一优先级，移动设备对应的优先级为第二优先级，因此，在识别出移动设备支持suci的计算时，首先将优先级信息中第一优先级对应的主体即用户识别模块确定为当前用于执行用户隐藏标识的计算过程的主体。例如，当用户隐藏标识计算设置命令中，suci计算设置中的suci计算设置的内容部分的取值为“02”时，则表明用户识别模块对应的优先级为第二优先级，移动设备对应的优先级为第一优先级，因此，在识别出移动设备支持suci的计算时，首先将优先级信息中第一优先级对应的主体即用户识别模块确定为当前用于执行用户隐藏标识的计算过程的主体。

在将优先级信息中第一优先级对应的主体确定为当前用于执行用户隐藏标识的计算过程的主体后，触发优先级信息中第一优先级对应的主体执行用户隐藏标识的计算过程，生成用户隐藏标识。在本公开实施例中，用于加密supi以生成suci的公钥存放于用户识别模块中，当用户隐藏标识suci的计算过程由第一优先级对应的主体执行时，第一优先级对应的主体可以采用通用的椭圆曲线集成加密方案(ellipticcurveintegrateencryptscheme，简称：ecies)或其他合适的个性化的加密方案对预先获取的终端的supi进行加密计算，以生成用户隐藏标识suci。

步骤133、确定出当前用于执行用户隐藏标识的计算过程的主体为用户识别模块，并触发用户识别模块执行用户隐藏标识的计算过程，以生成用户隐藏标识。

在步骤133中，当识别出移动设备不支持用户隐藏标识suci的计算时，确定出当前用于执行所述用户隐藏标识的计算过程的主体为用户识别模块，并触发用户识别模块执行用户隐藏标识的计算过程，以生成用户隐藏标识。其中，用户识别模块可以采用通用的椭圆曲线集成加密方案(ellipticcurveintegrateencryptscheme，简称：ecies)或其他合适的个性化的加密方案对预先获取的终端的supi进行加密计算，以生成用户隐藏标识suci。

图3为本公开实施例提供的另一种用户隐藏标识的生成控制方法的流程图，如图3所示，与前述图2所示的实施例不同的是，在本公开实施例中，在步骤132之后，还包括：

步骤1321、判断第一优先级对应的主体是否成功生成用户隐藏标识，若是，结束流程，否则，执行步骤1322。

在一些实施例中，若第一优先级对应的主体为用户识别模块，则在步骤1321中，用户识别模块在执行suci的计算过程中，可以判断自身进行的suci的计算过程是否失败，若成功计算出用户隐藏标识时，则结束流程，若未成功计算出用户隐藏标识时，则执行步骤1322。

在一些实施例中，若第一优先级对应的主体为移动设备，则可以预先获取移动设备执行suci的计算过程的计算结果，该计算结果由移动设备反馈，并在步骤1321中，根据移动设备的计算结果判断移动设备是否成功生成用户隐藏标识，若判断出移动设备成功计算出用户隐藏标识时，则结束流程，若判断出移动设备未成功计算出用户隐藏标识时，则执行步骤1322。

步骤1322、触发优先级信息中第二优先级对应的主体执行用户隐藏标识的计算过程，以生成用户隐藏标识。

可以理解的是，若第一优先级对应的主体为用户识别模块，则第二优先级对应的主体为移动设备；若第一优先级对应的主体为移动设备，则第二优先级对应的主体为用户识别模块。

在一些实施例中，若第一优先级对应的主体为移动设备，则步骤1321和步骤1322的执行主体也可以为移动设备，由移动设备自身判断其执行的suci的计算过程是否计算成功，若计算成功，则结束流程，否则由移动设备自身触发用户隐藏标识计算设置命令中优先级信息中第二优先级对应的主体即用户识别模块执行suci的计算过程。

本公开实施例所提供的用户隐藏标识的生成控制方法，通过向终端的移动设备发送用户隐藏标识计算设置命令，用户隐藏标识计算设置命令包括用于执行用户隐藏标识的计算过程的主体的主体信息；接收移动设备返回的命令响应消息，命令响应消息包括用于表示移动设备是否支持用户隐藏标识的计算的信息；根据命令响应消息和主体信息，确定出当前用于执行用户隐藏标识的计算过程的主体，以触发该主体执行用户隐藏标识的计算过程，生成用户隐藏标识。在终端进行接入移动网络的鉴权流程之前，通过增加新的机卡交互指令的方式实现用于执行suci的计算过程的主体的选择和切换，扩大了终端的移动设备和用户识别模块的交互能力和范围，实现了更多的对更多的标识加密策略的支撑，并且有效提升了标识加密的计算效率、成功率和灵活性。

图4为本公开实施例提供的又一种用户隐藏标识的生成控制方法的流程图，如图4所示，该用户隐藏标识的生成控制方法应用于终端的移动设备，该用户隐藏标识的生成控制方法包括：

步骤20、在开机启动时，移动设备读取用户识别模块预设的服务列表。

在本公开实施例中，运营商确定终端进行接入移动网络的鉴权方案中既定的多方计算suci的策略，并按照既定的策略扩展用户识别模块(如usim)中的服务列表的设置。

图5为一种用户识别模块的服务列表中第17字节的示意图，如图5所示，在本公开实施例中，通过扩展用户识别模块的服务列表，启用该服务列表的第17字节的b3保留位，将第17字节的b3保留位定义为表示支持多方计算suci，例如，将第17字节的b3保留位设置为1，用以表示用户识别模块支持多方计算suci，即用户识别模块具有多方计算suci的需求。

图6为一种用户识别模块的服务列表中第16字节的示意图，如图6所示，在本公开实施例中，用户识别模块可以在用户识别模块的服务列表的特定的不同的服务标识位标示与suci的计算相关的特性，包括是否支持suci计算和是否支持suci计算的执行。例如，可以预先将用户识别模块的服务列表中第16字节的b4、b5均设置为1，用于表示用户识别模块支持suci的计算且用户识别模块可以执行suci的计算过程。

在本公开实施例中，移动设备在开机启动时，在进行接入移动网络的鉴权流程之前，首先读取用户识别模块预设的服务列表。

步骤21、移动设备根据服务列表确定用户识别模块是否具有多方计算用户隐藏标识的需求。

移动设备可以通过识别图5和图6中对应字节的服务标识位来识别用户识别模块是否具有多方计算用户隐藏标识的需求。例如，通过判断服务列表中第17字节的b3标识位是否为1来识别用户识别模块是否具有多方计算用户隐藏标识的需求，当第17字节的b3标识位为1时，则识别出用户识别模块具有多方计算用户隐藏标识的需求，否则，识别出用户识别模块不具有多方计算用户隐藏标识的需求。

步骤22、移动设备若确定用户识别模块具有多方计算用户隐藏标识的需求时，则等待接收所述用户识别模块的命令。

在步骤22中，移动设备若确定用户识别模块具有多方计算用户隐藏标识的需求时，则暂不执行接入移动网络的鉴权流程，并等待接收用户识别模块的后续命令。

步骤23、移动设备接收用户识别模块发送的用户隐藏标识计算设置命令，用户隐藏标识计算设置命令包括用于执行用户隐藏标识的计算过程的主体的主体信息。

其中，用于执行用户隐藏标识的计算过程的主体包括用户识别模块和移动设备。

关于该终端、该用户隐藏标识计算设置命令以及该步骤23的具体相关描述可参见上述图1所示的实施例中对步骤11的描述，此处不再赘述。

步骤24、当从用户隐藏标识计算设置命令识别出用于执行用户隐藏标识的计算过程的主体包括移动设备时，移动设备确定自身是否支持用户隐藏标识的计算。

在步骤24中，移动设备接收到用户隐藏标识计算设置命令后，对用户隐藏标识计算设置命令进行解析，获取用户识别模块的要求，当识别出用户隐藏标识计算设置命令中用于执行用户隐藏标识的计算过程的主体包括移动设备时，确定移动设备是否支持suci的计算，即移动设备是否支持对supi进行加密计算以生成suci，并生成命令响应消息。具体地，移动设备可以根据自身的计算能力确定自身是否支持suci的计算。

步骤25、移动设备向用户识别模块返回命令响应消息，命令响应消息包括用于表示自身是否支持用户隐藏标识的计算的信息，以供用户识别模块根据命令响应消息和主体信息确定出当前用于执行用户隐藏标识的计算过程的主体。

其中，关于命令响应消息的具体相关描述可参见在上述步骤12中的描述，此处不再赘述。

图7为本公开实施例提供的再一种用户隐藏标识的生成控制方法的流程图，如图7所示，该用户隐藏标识的生成控制方法包括：

步骤31、在开机启动时，移动设备读取用户识别模块预设的服务列表。

关于该步骤31的具体描述可参见上述对步骤20的描述，此处不再赘述。

步骤32、移动设备根据服务列表确定用户识别模块是否具有多方计算用户隐藏标识的需求。

关于该步骤32的具体描述可参见上述对步骤21的描述，此处不再赘述。

步骤33、移动设备若确定用户识别模块具有多方计算用户隐藏标识的需求时，则等待接收所述用户识别模块的命令。

关于该步骤31的具体描述可参见上述对步骤22的描述，此处不再赘述。

步骤34、用户识别模块向终端的移动设备发送用户隐藏标识计算设置命令，用户隐藏标识计算设置命令包括用于执行用户隐藏标识的计算过程的主体的主体信息。

在步骤34之前，还包括用户识别模块生成用户隐藏标识计算设置命令的步骤。

关于该步骤34的具体描述可参见上述对步骤11的描述，此处不再赘述。

步骤35、当移动设备从用户隐藏标识计算设置命令识别出用于执行用户隐藏标识的计算过程的主体包括移动设备时，移动设备确定自身是否支持用户隐藏标识的计算。

关于该步骤35的具体描述可参见上述对步骤24的描述，此处不再赘述。

步骤36、用户识别模块接收移动设备返回的命令响应消息，命令响应消息包括用于表示移动设备是否支持用户隐藏标识的计算的信息。

关于该步骤36的具体描述可参见上述对步骤12的描述，此处不再赘述。

步骤37、用户识别模块根据命令响应消息判断移动设备是否支持用户隐藏标识的计算，若是，执行步骤38，若否，执行步骤39。

关于该步骤37的具体描述可参见上述对步骤131的描述，此处不再赘述。

步骤38、用户识别模块将优先级信息中第一优先级对应的主体确定为当前用于执行用户隐藏标识的计算过程的主体，并触发优先级信息中第一优先级对应的主体执行用户隐藏标识的计算过程，生成用户隐藏标识。

关于该步骤38的具体描述可参见上述对步骤132的描述，此处不再赘述。

步骤39、用户识别模块判断第一优先级对应的主体是否成功生成用户隐藏标识，若是，结束流程，否则，执行步骤40。

关于该步骤39的具体描述可参见上述对步骤1321的描述，此处不再赘述。

步骤40、用户识别模块触发优先级信息中第二优先级对应的主体执行用户隐藏标识的计算过程，以生成用户隐藏标识，并结束流程。

关于该步骤40的具体描述可参见上述对步骤1322的描述，此处不再赘述。

步骤41、用户识别模块确定出当前用于执行用户隐藏标识的计算过程的主体为用户识别模块，并执行用户隐藏标识的计算过程，以生成用户隐藏标识，并结束流程。

关于该步骤41的具体描述可参见上述对步骤133的描述，此处不再赘述。

本公开实施例所提供的用户隐藏标识的生成控制方法，通过向终端的移动设备发送用户隐藏标识计算设置命令，用户隐藏标识计算设置命令包括用于执行用户隐藏标识的计算过程的主体的主体信息；接收移动设备返回的命令响应消息，命令响应消息包括用于表示移动设备是否支持用户隐藏标识的计算的信息；根据命令响应消息和主体信息，确定出当前用于执行用户隐藏标识的计算过程的主体，以触发该主体执行用户隐藏标识的计算过程，生成用户隐藏标识。在终端进行接入移动网络的鉴权流程之前，通过扩展用户识别模块的服务列表和增加新的机卡交互指令的方式实现用于执行suci的计算过程的主体的选择和切换，扩大了终端的移动设备和用户识别模块的交互能力和范围，实现了更多的对更多的标识加密策略的支撑，并且有效提升了标识加密的计算效率、成功率和灵活性。

图8为本公开实施例提供的一种用户隐藏标识的生成控制装置的结构示意图，如图8所示，该生成控制装置包括：生成模块400、第一发送模块401、第一接收模块402、第一确定模块403、触发模块404。

其中，生成模块400用于生成用户隐藏标识计算设置命令，用户隐藏标识计算设置命令包括用于执行用户隐藏标识的计算过程的主体的主体信息，用于执行用户隐藏标识的计算过程的主体包括终端的用户识别模块和终端的移动设备。

第一发送模块401用于向终端的移动设备发送用户隐藏标识计算设置命令。

第一接收模块402用于接收移动设备返回的命令响应消息，命令响应消息包括用于表示移动设备是否支持用户隐藏标识的计算的信息。

第一确定模块403用于根据命令响应消息和主体信息，确定出当前用于执行用户隐藏标识的计算过程的主体；以及

触发模块404用于触发第一确定模块403所确定出的主体执行用户隐藏标识的计算过程，以生成用户隐藏标识。

可选地，主体信息包括优先级信息；第一确定模块403具体用于当移动设备支持用户隐藏标识的计算时，将优先级信息中第一优先级对应的主体确定为当前用于执行用户隐藏标识的计算过程的主体；触发模块404具体用于触发优先级信息中第一优先级对应的主体执行用户隐藏标识的计算过程，生成用户隐藏标识。

可选地，第一确定模块403还用于当移动设备不支持用户隐藏标识的计算时，确定出当前用于执行用户隐藏标识的计算过程的主体为用户识别模块；触发模块404还用于触发用户识别模块执行用户隐藏标识的计算过程，以生成用户隐藏标识。

可选地。用户隐藏标识的生成控制装置还包括判断模块405；判断模块405用于在触发模块404触发优先级信息中第一优先级对应的主体执行用户隐藏标识的计算过程之后，判断第一优先级对应的主体是否成功生成用户隐藏标识；触发模块404还用于若判断模块405判断出第一优先级对应的主体未成功生成用户隐藏标识时，触发优先级信息中第二优先级对应的主体执行用户隐藏标识的计算过程，以生成用户隐藏标识。

此外，本公开实施例所提供的用户隐藏标识的生成控制装置，用于实现上述图1、图2、图3所示的实施例所提供的用户隐藏标识的生成控制方法，具体描述可参见上述图1、图2、图3所示的实施例的描述，此处不再赘述。

相应的，本公开实施例还提供了一种用户识别模块，该识别模块包括前述实施例提供的用户隐藏标识的生成控制装置。

图9为本公开实施例提供的一种移动设备的结构示意图，如图9所示，该移动设备包括：第二接收模块501、第二确定模块502、第二发送模块503。

第二接收模块501用于接收用户识别模块发送的用户隐藏标识计算设置命令，用户隐藏标识计算设置命令包括用于执行用户隐藏标识的计算过程的主体的主体信息，用于执行用户隐藏标识的计算过程的主体包括用户识别模块和移动设备。

第二确定模块502用于当从用户隐藏标识计算设置命令识别出用于执行用户隐藏标识的计算过程的主体包括移动设备时，则确定移动设备是否支持用户隐藏标识的计算。

第二发送模块503用于向用户识别模块返回命令响应消息，命令响应消息包括用于表示移动设备是否支持用户隐藏标识的计算的信息，以供用户识别模块根据命令响应消息和主体信息确定出当前用于执行用户隐藏标识的计算过程的主体。

可选地，移动设备还包括读取模块504；读取模块504用于在移动设备开机启动时，读取用户识别模块预设的服务列表。

第二确定模块502还用于根据服务列表确定用户识别模块是否具有多方计算用户隐藏标识的需求；若确定用户识别模块具有多方计算用户隐藏标识的需求时，则使第二接收模块501等待接收用户识别模块的命令。

此外，本公开实施例所提供的移动设备，用于实现上述图4所示的实施例所提供的用户隐藏标识生成控制方法，具体描述可参见上述图4所示的实施例的描述，此处不再赘述。

图10为本公开实施例提供的一种终端的结构示意图，如图10所示，该终端包括用户识别模块601和移动设备602。

其中，用户识别模块601包括上述任一实施例所提供的用户识别模块，和/或，移动设备602包括上述任一实施例所提供的移动设备。

本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、系统、装置、设备中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中，在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分；例如，一个物理组件可以具有多个功能，或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器，如中央处理器、数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读介质上，计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的，术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于ram、rom、eeprom、闪存或其他存储器技术、cd-rom、数字多功能盘(dvd)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。

可以理解的是，以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式，然而本发明并不局限于此。对于本领域内的普通技术人员而言，在不脱离本发明的精神和实质的情况下，可以做出各种变型和改进，这些变型和改进也视为本发明的保护范围。