专利名称:移动通信系统及用户临时身份分发方法
技术领域:
本发明涉及移动通信技术领域,更具体的说,本发明涉及一种移动通信系统及用户临时身份分发方法。
背景技术:
在移动通信系统中,用户在每次接入网络时,都需要向网络表明自己的身份。攻击者可以通过窃听用户的身份来追踪用户的位置,这会影响用户的私密性。因此需要对用户身份进行机密性保护,防止攻击者通过窃听用户的身份来追踪用户的位置。
目前,对用户身份进行机密性保护主要有两种方法,第一种方法是通过加密的方法来实现,另外一种方法是通过频繁地变化用户身份来实现对用户身份的保护。
对于第一种方法通过加密来实现对用户身份的保护,其方案是用户在发送其用户身份时,利用加密算法对用户身份进行加密,这样攻击者也就无法窃听得到用户真实身份。而且,对用户身份进行加密的输入参数需要有变化,即每次对相同的用户身份加密得到的结果是不一样的,从而可真正的防止攻击者跟踪得到用户的位置。对用户身份进行加密的加密算法可以采用基于公钥机制的算法,也可以采用基于共享密钥机制的算法。如果采用基于公钥机制的算法,则用户需要事先获得接入网络的公钥;如果采用基于共享密钥机制的算法,则用户需要实现和网络预先共享一个密钥。
对于第二种方法中通过频繁变化用户身份来实现对用户身份的保护,其方案是用户在第一次访问网络时,使用真实身份来访问网络。然后网络分配一个临时身份给用户,用户下次访问网络时使用临时身份来访问网络。分配临时身份的过程必须提供机密性保护,这样攻击者就无法关联用户临时身份和真实身份,从而防止了攻击者通过窃听用户身份而追踪用户的位置。
为了给网络分配临时身份的过程提供机密性保护,现有技术中规定分配临时身份的信令必须在加密模式开启后进行,即对所有的信令都先进行加密处理,也即临时身份信令也被加密保护了。目前网络进行演进时要求减少接入延迟,因此对于信令的加密需求需要重新进行考虑,对于临时身份的分配需要提供机密性保护,但是对于其它信令来说,不一定需要提供机密性保护。
发明内容
本发明解决的技术问题是提供一种移动通信系统及移动通信系统中用户临时身份分发方法,以对移动通信系统中的临时用户身份的分配进行机密性保护,同时减少了信令的机密性保护需求,降低了系统的加密成本。
为解决上述问题,本发明的一种移动通信网络中用户临时身份分发方法,该方法主要包括网络中临时身份分发实体生成用户临时身份,并根据第一密钥和随机生成的随机数推演得到第二密钥;临时身份分发实体以所述第二密钥加密用户临时身份,并将所述加密后的用户临时身份以及该随机生成的随机数通过临时身份分配信令发送给用户设备;用户设备根据第一密钥和所述随机数推演得到第二密钥,并以所述第二密钥解密获取用户临时身份。
其中,推演第二密钥的推演函数预先设定或在鉴权过程协商确定。
其中,所述临时身份分发实体为基站或接入网关。
相应地的,本发明的另一种移动通信网络中用户临时身份分发方法,该方法主要包括临时身份分发实体根据与用户设备共享的密钥和随机生成的随机数推演得到用户的临时身份;临时身份分发实体将所述推演得到的用户临时身份以及该随机生成的随机数通过临时身份分配信令发送给用户设备;用户设备根据与网络共享的密钥和所述随机数推演得到用户临时身份。
其中,推演用户临时身份的推演函数可预先设定或在鉴权过程协商确定。
其中,所述临时身份分发实体可为基站或接入网关。
相应地,本发明的另一种移动通信网络中用户临时身份分发方法,该方法主要包括用户设备和网络确定信令加密保护的安全关联;网络的临时身份分发实体以所述安全关联对临时身份分配信令加密;临时身份分发实体将所述信令加密的临时身份分配信令发送给用户设备;用户设备以所述安全关联解密临时身份分配信令获取用户临时身份。
其中,所述临时身份分发实体可为基站或接入网关。
相应地的,本发明的一种移动通信系统,包括网络侧和用户设备侧,其中所述网络侧包括有临时身份分配实体,所述临时身份分发实体包括有有信令加密模块,所述信令加密模块识别临时身份分配信令,并对所述临时身份分配信令进行加密;所述用户设备侧包括有信令解密模块,所述信令解密模块识别临时身份分配信令,并对所述临时身份分配信令进行解密。
其中,所述临时身份分发实体为基站或接入网关。
相应地,本发明的一种移动通信网络中用户临时身份分发方法,该方法主要包括a、网络与用户设备进行临时身份分配机制的协商;b、临时身份分发实体按照所述协商确定的临时身份分配机制进行临时身份分配。
可选地,所述协商确定的临时身份分配机制为对用户临时身份进行加密传送,步骤b具体包括临时身份分发实体生成该用户临时身份,并根据第一密钥和随机生成的随机数推演得到第二密钥;临时身份分发实体以所述第二密钥加密用户临时身份,并将所述加密后的用户临时身份以及该随机生成的随机数通过临时身份分配信令发送给用户设备;用户设备根据第一密钥和所述随机数推演得到第二密钥,并以所述第二密钥解密获取用户临时身份。
可选地,所述协商的临时身份分配机制为根据共享密钥和随机数推演用户临时身份,步骤b具体包括临时身份分发实体根据与用户设备共享的密钥和随机生成的随机数推演得到用户的临时身份;临时身份分发实体将所述推演得到的用户临时身份以及该随机生成的随机数通过临时身份分配信令发送给用户设备;用户设备根据与网络共享的密钥和所述随机数推演得到用户临时身份。
可选地,所述协商的临时身份分配机制为对临时身份分配信令加密传送,步骤b具体包括用户设备和网络确定信令加密保护的安全关联;
网络的临时身份分发实体以所述安全关联对临时身份分配信令加密;临时身份分发实体将所述信令加密的临时身份分配信令发送给用户设备;用户设备以所述安全关联解密临时身份分配信令获取用户临时身份。
其中,所述临时身份分发实体可为基站或接入网关。
与现有技术相比,本发明具有以下有益效果本发明中由网络与用户设备进行临时身份分配机制的协商,然后按照所述协商的临时身份分配机制进行用户临时身份分配,具体实现时可通过网络侧临时身份分发实体按照共享密钥对分配给用户的临时身份加密,用户设备侧按照所述共享密钥解密获取用户的临时身份;也可以采用网络侧临时身份分发实体根据与用户设备共享的密钥和随机生成的随机数推演得到用户的临时身份;然后将所述用户临时身份和随机数发送给用户设备侧,用户设备侧根据所述随机数和共享密钥推演得到用户临时身份,另外,本发明中也可以只对临时身份分配信令进行加密。本发明可实现对移动通信系统中的临时用户身份的分配进行机密性保护,同时不需或仅需对临时身份分配信令进行加密,减少了信令的机密性保护需求,降低了系统的加密成本。
图1是本发明移动通信系统中用户临时身份分发方法第一实施例的流程图;图2是本发明移动通信系统中用户临时身份分发方法第二实施例的流程图;图3是本发明移动通信系统中用户临时身份分发方法第三实施例的流程图;
图4是本发明移动通信系统中用户临时身份分发方法第四实施例的流程图。
具体实施例方式
本发明的核心在于临时身份分发实体分配用户临时身份时,无需对信令加密或者仅仅对临时身份分配信令进行加密,从而减少信令的机密性保护需求,降低系统的加密成本,本发明中所指的临时身份分发实体通常指基站或接入网关,下面以具体实施例进行说明。
参考图1,该图是本发明移动通信系统中用户临时身份分发方法第一实施例的流程图。
本实施例中用户设备中存储用户的永久身份和临时身份,网络中负责分配临时身份的网络实体为临时身份分发实体(TIDE),具体进行临时身份分发主要包括以下步骤步骤s101,用户设备(UE)向网络表明自己的身份。
步骤s102,UE和TIDE执行后续的过程,如鉴权、协商安全关联等。
通过步骤s102,UE和TIDE得到共享密钥K,在步骤s103,TIDE生成一个随机数Rand,同时TIDE生成用户的临时身份,其中所述随机数Rand被用来与共享密钥K一起推导得到用于加密用户临时身份的密钥Kk,在生成密钥Kk的过程中加入随机数Rand的作用是保证每次用来加密临时身份的密钥都不相同。
步骤s104,TIDE根据Rand和密钥K推导得到密钥Kk,TIDE利用Kk对用户的临时身份进行加密。本发明中可以利用SHA-1,SHA-256等算法来推导得到密钥Kk,另外利用Kk加密用户临时身份可以通过加密算法来进行,也可以通过Kk直接异或用户临时身份进行。当采用Kk直接异或用户临时身份的方法时,密钥Kk的长度需要和用户临时身份的长度相同。加密临时身份采用的方法必须和UE事先协商好。协商临时身份的过程可以在通信之前由UE和TIDE事先设定好,也可以在通信的过程进行临时协商。临时协商的过程可以单独进行,也可以和步骤s102中的过程(如鉴权过程、安全关联协商过程)结合在一起进行。
步骤s105,TIDE发送临时身份分配信令给UE,其中包含Rand和加密后的临时身份。
步骤s106,UE根据密钥K和参数Rand推演得到密钥Kk,按照和TIDE预先协商好的解密方法,利用Kk解密得到用户的临时身份。
综上,本实施例中,在分配用户的临时身份时,用户和网络利用共享的一个或多个密钥和其他一些保证新鲜性的参数,利用密钥推导函数推导得到密钥Kk,利用Kk对网络生成的用户临时身份进行加密。网络将加密后的用户临时身份发送给用户从而实现用户临时身份分发,可实现用户临时身份的机密性保护,由于无需对信令进行加密,可降低系统的加密成本。
参考图2,该图是本发明移动通信系统中用户临时身份分发方法第二实施例的流程图。
本实施例中同样在用户设备中存储有用户的永久身份和临时身份,网络中负责分配临时身份的网络实体为临时身份分发实体(TIDE),具体进行临时身份分发主要包括以下步骤步骤s201,UE向网络表明自己的身份。
步骤s202,UE和TIDE执行后续的过程,如鉴权、协商安全关联等。
步骤s203,UE和TIDE得到共享密钥K1和K2,TIDE生成随机数Rand。此随机数Rand被用来保证每次生成的临时身份不同。
步骤s204,TIDE根据密钥K1、K2以及随机数Rand,利用临时身份推演函数推演得到用户的临时身份。推演的算法必须事先和UE协商好,具体临时身份推演函数可以是SHA-1、SHA-256等算法,UE和TIDE需要就临时身份推演函数达成一致,具体可以预先在UE和TIDE上设定好使用哪种临时身份推演函数,也可以在通信过程中进行协商,本实施例中协商临时身份推演函数的过程可以单独进行,也可以和步骤s202中的过程(如鉴权过程、安全关联协商过程)结合在一起进行。
步骤s205,TIDE发送临时身份分配信令给UE,其中包含Rand。
步骤s206,UE根据密钥K1、K2以及随机数Rand,利用协商好的临时身份推演函数推演得到用户的临时身份。
综上,本实施例中在分配用户的临时身份时,用户和网络利用共享的一个或多个密钥和其他一些保证新鲜性的参数共同推导可得到用户的新的临时身份,可实现用户临时身份的机密性保护,由于无需对信令进行加密,可降低系统的加密成本。
参考图3,该图是本发明移动通信系统中用户临时身份分发方法第三实施例的流程图。
本实施例中移动通信系统的网络侧中负责分配临时身份的网络实体为临时身份分发实体(TIDE),所述临时身份分发实体包括有信令加密模块,所述信令加密模块识别临时身份分配信令,并对所述临时身份分配信令进行加密,用户设备侧存储有用户的永久身份和临时身份,其包括有信令解密模块,所述信令解密模块识别临时身份分配信令,并对所述临时身份信令进行解密,具体进行临时身份分发主要包括以下步骤
步骤s01,UE向网络表明自己的身份。
步骤s302,UE和TIDE执行后续的过程,如鉴权、协商安全关联等。
步骤s303,UE和TIDE得到用于保护信令的,可提供机密性保护的安全关联。TIDE生成UE的临时身份。并生成临时身份分配信令。
步骤s304,TIDE将用户临时身份分配信令交给信令加密模块处理。
步骤s305,信令加密模块能够对信令的类型进行区分,从而对不同的信令进行不同的操作,本实施例中信令加密模块识别出此信令为临时身份分配信令,则信令加密模块利用协商好的安全关联对此信令进行加密。
步骤s306,信令加密模块将加密后的临时身份分配信令返回给TIDE,TIDE发送加密后的临时身份分配信令给UE,UE将加密后的临时身份分配信令交给信令解密模块处理。
步骤s307,信令解密模块能够对信令的类型进行区分,从而对不同的信令进行不同的操作,本实施例中信令解密模块识别出此信令为临时身份分配信令,信令解密模块利用协商好的安全关联对此信令进行解密。
步骤s308,信令解密模块将解密后的临时身份分配信令返回给UE,这样UE就得到了临时身分。
本实施例中由于仅需对临时身份分配信令进行加密处理,可实现用户临时身份的机密性保护,而由于不需要对所有的信令进行加密,同样也减少了系统的加密成本。
参考图4,该图是本发明移动通信系统中用户临时身份分发方法第二实施例的流程图。
本实施例中用户设备中存储用户的永久身份和临时身份,网络中负责分配临时身份的网络实体为临时身份分发实体(TIDE)。另外,若需采用对临时身份信令进行信令加密方式进行临时身份分发则在所述临时身份分发实体需包括有信令加密模块,所述信令加密模块用于识别临时身份分配信令,并对所述临时身份分配信令进行加密,用户设备侧则需包括有信令解密模块,所述信令解密模块识别临时身份分配信令,并对所述临时身份信令进行解密,具体进行临时身份分发主要包括以下步骤步骤s401,UE向网络表明自己的身份。
步骤s402,UE和TIDE执行后续的过程,如鉴权、协商安全关联等。
步骤s403,UE上报其支持的临时身份分配机制列表,列表中临时身份分配机制按照优先级顺序进行排列。
步骤s404,TIDE根据其上存储的临时身份分配机制列表和临时身份分配机制的优先级,以及UE发来的临时身份分配机制列表决定采用何种临时身份分配机制。
步骤s405,TIDE通知UE采用的临时身份分配机制。需要说明的,所述步骤s403、步骤s404和步骤s405可以和步骤s402中的鉴权、协商安全关联等步骤结合在一起进行。
步骤s406,UE和TIDE按照选定的临时身份分配机制进行操作。具体临时身份分发机制可采用第一实施例、第二实施例、第三实施例进行,这里不再赘述。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
权利要求
1.一种移动通信网络中用户临时身份分发方法,其特征在于,包括网络中临时身份分发实体生成用户临时身份,并根据第一密钥和随机生成的随机数推演得到第二密钥;临时身份分发实体以所述第二密钥加密用户临时身份,并将所述加密后的用户临时身份以及该随机生成的随机数通过临时身份分配信令发送给用户设备;用户设备根据第一密钥和所述随机数推演得到第二密钥,并以所述第二密钥解密获取用户临时身份。
2.根据权利要求1所述的移动通信网络中用户临时身份分发方法,其特征在于,推演第二密钥的推演函数预先设定或在鉴权过程协商确定。
3.根据权利要求1或2所述的移动通信网络中用户临时身份分发方法,其特征在于,所述临时身份分发实体为基站或接入网关。
4.一种移动通信网络中用户临时身份分发方法,其特征在于,包括临时身份分发实体根据与用户设备共享的密钥和随机生成的随机数推演得到用户的临时身份;临时身份分发实体将所述推演得到的用户临时身份以及该随机生成的随机数通过临时身份分配信令发送给用户设备;用户设备根据与网络共享的密钥和所述随机数推演得到用户临时身份。
5.根据权利要求4所述的移动通信网络中用户临时身份分发方法,其特征在于,推演用户临时身份的推演函数预先设定或在鉴权过程协商确定。
6.根据权利要求4或5所述的移动通信网络中用户临时身份分发方法,其特征在于,所述临时身份分发实体为基站或接入网关。
7.一种移动通信网络中用户临时身份分发方法,其特征在于,包括用户设备和网络确定信令加密保护的安全关联;网络的临时身份分发实体以所述安全关联对临时身份分配信令加密;临时身份分发实体将所述信令加密的临时身份分配信令发送给用户设备;用户设备以所述安全关联解密临时身份分配信令获取用户临时身份。
8.根据权利要求7所述的移动通信网络中用户临时身份分发方法,其特征在于,所述临时身份分发实体为基站或接入网关。
9.一种移动通信系统,包括网络侧和用户设备侧,其特征在于,所述网络侧包括有临时身份分配实体,所述临时身份分发实体包括有有信令加密模块,所述信令加密模块识别临时身份分配信令,并对所述临时身份分配信令进行加密;所述用户设备侧包括有信令解密模块,所述信令解密模块识别临时身份分配信令,并对所述临时身份分配信令进行解密。
10.根据权利要求9所述的移动通信系统,其特征在于,所述临时身份分发实体为基站或接入网关。
11.一种移动通信网络中用户临时身份分发方法,其特征在于,包括a、网络与用户设备进行临时身份分配机制的协商;b、临时身份分发实体按照所述协商确定的临时身份分配机制进行临时身份分配。
12.根据权利要求11所述的移动通信网络中用户临时身份分发方法,其特征在于,所述协商确定的临时身份分配机制为对用户临时身份进行加密传送,步骤b具体包括临时身份分发实体生成该用户临时身份,并根据第一密钥和随机生成的随机数推演得到第二密钥;临时身份分发实体以所述第二密钥加密用户临时身份,并将所述加密后的用户临时身份以及该随机生成的随机数通过临时身份分配信令发送给用户设备;用户设备根据第一密钥和所述随机数推演得到第二密钥,并以所述第二密钥解密获取用户临时身份。
13.根据权利要求11所述的移动通信网络中用户临时身份分发方法,其特征在于,所述协商的临时身份分配机制为根据共享密钥和随机数推演用户临时身份,步骤b具体包括临时身份分发实体根据与用户设备共享的密钥和随机生成的随机数推演得到用户的临时身份;临时身份分发实体将所述推演得到的用户临时身份以及该随机生成的随机数通过临时身份分配信令发送给用户设备;用户设备根据与网络共享的密钥和所述随机数推演得到用户临时身份。
14.根据权利要求11所述的移动通信网络中用户临时身份分发方法,其特征在于,所述协商的临时身份分配机制为对临时身份分配信令加密传送,步骤b具体包括用户设备和网络确定信令加密保护的安全关联;网络的临时身份分发实体以所述安全关联对临时身份分配信令加密;临时身份分发实体将所述信令加密的临时身份分配信令发送给用户设备;用户设备以所述安全关联解密临时身份分配信令获取用户临时身份。
15.根据权利要求11-14任一项所述的移动通信网络中用户临时身份分发方法,所述临时身份分发实体为基站或接入网关。
全文摘要
本发明中公开移动通信系统及移动通信系统中用户临时身份的分发方法,所述方法主要由网络与用户设备进行临时身份分配机制的协商,然后按照所述协商的临时身份分配机制进行用户临时身份分配,具体实现时可通过对分配给用户的临时身份加密实现,也可以采用根据共享密钥和随机数推演用户临时身份实现,另外,本发明还可以仅对临时身份分配信令加密实现。本发明由于可实现对移动通信系统中的临时用户身份的分配进行机密性保护,同时不需或仅需对临时身份分配信令进行加密,减少了信令的机密性保护需求,降低了系统的加密成本。
文档编号H04W12/02GK101047945SQ20061003467
公开日2007年10月3日 申请日期2006年3月28日 优先权日2006年3月28日
发明者陈璟, 黄迎新 申请人:华为技术有限公司