一种用户身份的保护方法

文档序号:7648326阅读:129来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:一种用户身份的保护方法
技术领域
本发明涉及电信通讯行业的安全领域,特别涉及电信安全领域的用户身份保护技术。
背景技术
在电信网络中,通常有这样一种情形用户终端身份信息UID由网元A发放,用户终端身份信息包括两个部分用户终端的归属网元A标识信息AID,用于在网络中识别A,用户终端在其归属网元中分配的身份序号UAID;网元B的某些信息在不停地广播,用户终端能够收到这些广播信息;网元B需要用到用户终端提供自身的身份信息UID,并且用户终端和网元B之间的通讯处于非信任域中,如果用户终端利用明文发送身份信息UID到网元B,则可能让暴露用户身份信息。如何利用这种网络的特点,使得用户终端的身份信息UID能够安全到达网元B就是一个较为重要的问题。

发明内容
本发明的目的在于,提供一种用户身份保护方法,利用一种公钥方法来完成特定网络中的用户终端身份信息的保护,从而使得用户终端的身份信息能够安全到达网元。
为解决上述技术问题,本发明提供一种用户身份保护方法,其特征在于网元A和所有由网元A分配身份信息的用户终端共享一种公钥加密算法F1,所有由网元A分配身份信息的用户终端都拥有同一种随机数离散算法f,网元A拥有f的逆算法f-1;网元B和用户终端共享一种公钥加密算法F2;网元A有一公私钥对(KA PUB,KA PRI),其中,网元A保留私钥KA PRI,所有由网元A分配身份信息的用户终端都拥有公钥KA PUB;网元B生成或获取公私钥对(KB PUB,KB PRI),网元B为其分配一个标识KID,网元B保留私钥KB PRI;所述方法包括步骤一用户终端通过广播获取携带有网元B的信息(KID,KB PUB),并保存(KID,KB PUB);步骤二用户终端在发送身份信息UID到网元B时,首先生成随机数R,然后利用f和R离散化UA ID,生成f(R,UA ID),然后利用F1及KA PUB加密f(R,UA ID),生成F1(KA PUB,f(R,UA ID));利用最新保存的KID选择KB PUB,然后利用F2和KB PUB加密AID、F1(KA PUB,f(R,UA ID)),生成加密信息F2(KB PUB,AID,F1(KA PUB,f(R,UA ID))),然后将信息(KID,F2(KB PUB,AID,F1(KA PUB,f(R,UA ID))))发送给网元B;步骤三网元B在收到用户终端发送的信息(KID,F2(KB PUB,AID,F1(KA PUB,f(R,UA ID))))时,利用KID选择对应的KB PRI,然后利用F2及KB PRI解密F2(KB PUB,AID,F1(KA PUB,f(R,UA ID)))获得(AID,F1(KA PUB,f(R,UA ID)));步骤四网元B将利用AID找到网元A的位置,然后将信息(AID,F1(KA PUB,f(R,UA ID)))发送给网元A;步骤五网元A在收到(AID,F1(KA PUB,f(R,UA ID)))之后,利用F1及KA PRI解密F1(KA PUB,f(R,UA ID))获得f(R,UA ID),然后利用f-1及随机数R得到UA ID;步骤六网元A根据AID、UA ID生成UID,网元A将UID发送给网元B。
进一步地,在步骤二中,用户身份信息在用户终端中,或者在用户终端使用的智能卡中。
进一步地,在步骤一中,网元B的信息由网元B进行广播,或者由其他能够取得网元B的信息的实体进行广播。
进一步地,在步骤三中,所述网元B不考虑密钥更新时,网元B只有唯一的一对公私钥对(KB PUB,KB PRI),网元B无需分配一个标识KID,网元B保留私钥KB PRI。
本发明还提供了另一种用户身份保护方法,其特征在于网元A和所有由网元A分配身份信息的用户终端共享一种公钥加密算法F1,所有由网元A分配身份信息的用户终端都拥有同一种随机数离散算法f,网元A拥有f的逆算法f-1;网元B和用户终端共享一种公钥加密算法F2;网元A有一公私钥对(KA PUB,KA PRI),其中,网元A保留私钥KA PRI,所有由网元A分配身份信息的用户终端都拥有公钥KA PUB;网元B生成或获取公私钥对(KB PUB,KB PRI),网元B保留私钥KB PRI;所述方法包括步骤一用户终端通过广播获取携带有网元B的信息KB PUB,用户保存KB PUB;步骤二用户终端在发送身份信息UID到网元B时,首先生成随机数R,然后利用f和R离散化UA ID,生成f(R,UA ID),然后利用F1及KA PUB加密f(R,UA ID),生成F1(KA PUB,f(R,UA ID));然后利用F2和KB PUB加密AID、F1(KA PUB,f(R,UA ID)),生成加密后的信息F2(KB PUB,AID,F1(KA PUB,f(R,UA ID))),然后将信息F2(KB PUB,AID,F1(KA PUB,f(R,UA ID)))发送给网元B;步骤三网元B在收到用户终端发送的信息F2(KB PUB,AID,F1(KA PUB,f(R,UA ID)))时,利用F2及KB PRI解密F2(KR PUB,AID,F1(KA PUB,f(R,UA ID)))获得(AID,F1(KA PUB,f(R,UA ID)));步骤四网元B将利用AID找到网元A的位置,然后将信息(AID,F1(KA PUB,f(R,UA ID)))发送给网元A;步骤五网元A在收到(AID,F1(KA PUB,f(R,UA ID)))之后,利用F1及KA PRI解密F1(KA PUB,f(R,UA ID))获得f(R,UA ID),然后利用f-1及随机数R得到UA ID;步骤六网元A根据AID、UA ID生成UID,网元A将UID发送给网元B。
进一步地,在步骤二中,用户身份信息在用户终端中,或者在用户终端使用的智能卡中。
进一步地,在步骤一中,网元B的信息由网元B进行广播,或者由其他能够取得网元B的信息的实体进行广播。
本发明还提供一种用户身份的传送方法,其特征在于用户终端利用与网元A部分相同的加密机制加密要传送的用户身份数据,得到加密数据1,再利用与网元B相同的加密机制加密数据1,得到加密数据2,然后再将数据2传送给网元B;网元B接收到数据2后进行解密得到数据1,利用数据2中特定信息确定网元A位置,利用网元A对数据1进行解密,得到用户身份数据后返回给网元B。
本发明利用一种公钥方法来完成特定网络中的用户终端身份信息的保护,可以在网元A和网元B之间建立可信的链路,除网元A之外的其他设备不能够解密用户终端的身份信息,所以这就保证了用户终端的身份信息能够安全地传送到网元B,从而避免暴露用户身份信息。


图1是本发明的身份信息保护图;图2是本发明应用例的身份信息保护图。
具体实施例方式
为便于深刻理解本发明的技术内容,下面结合附图及具体实施例对本发明进行详细说明。
本发明提供一种用户身份的传送方法,其特征在于用户终端利用与网元A部分相同的加密机制加密要传送的用户身份数据,得到加密数据1,再利用与网元B相同的加密机制加密数据1,得到加密数据2,然后再将数据2传送给网元B;网元B接收到数据2后进行解密得到数据1,利用数据2中特定信息确定网元A位置,利用网元A对数据1进行解密,得到用户身份数据后返回给网元B。
下面将结合3G中对用户IMSI的保护给出本发明的一个实施例。
在3G中,HLR是指用户归属网络寄存器,VLR是指用户访问网络寄存器,Node B是指基站,UE是指诸如手机之类的用户设备,IMSI是用户身份标识,由HLR分配,包括三个部分内容(MCC,MNC,MSIN),MSIN前4位为HLR标识,将(MCC,MNC,MSIN前4位)一起记为HID,利用HID可以在全球定位HLR,MSIN后6位为用户在HLR中的标识,记为UH ID,IMSI位于SIM卡中,SIM卡由UE使用。VLR的系统信息可以通过Node B进行广播,UE可以接受Node B的广播。在用户接入过程中,需要UE将IMSI传送给VLR,考虑到用户的身份信息的安全的重要性,在传送的时候,需要进行安全保护。而现有的网络中,UE初始接入时,UE和VLR之间的通信是没有安全通道的。
下面我们将逐步看通过本发明是如何完成IMSI的保护步骤一HLR和所有由该HLR分配的SIM卡共享一种公钥加密算法F1,所有由HLR分配的SIM卡都拥有同一种随机数离散算法f,HLR拥有f的逆算法f-1,VLR和UE或者SIM卡共享一种公钥加密算法F2;步骤二HLR有一公私钥对(KH PUB,KH PRI),其中,HLR保留私钥KHP RI,所有由HLR分配的SIM卡都拥有公钥KH PUB;步骤三VLR生成或获取公私钥对(KV PUB,KV PRI),VLR为其分配一个标识KID,VLR保留私钥KV PRI;步骤四Node B的广播信息中,携带VLR的如下信息(KID,KV PUB),UE通过广播获取到的信息(KID,KV PUB),用户保存(KID,KV PUB);步骤五UE在发送身份信息IMSI到VLR时,首先SIM卡生成随机数R,然后SIM卡利用f和R离散化UH ID,生成f(R,UH ID),然后SIM卡利用F1及KH PUB加密f(R,UH ID),生成F1(KH PUB,f(R,UH ID));然后UE利用最新保存的KID选择KV PUB,然后UE或者SIM卡利用F2和KV PUB加密HID、F1(KH PUB,f(R,UH ID)),生成加密后信息F2(KV PUB,HID,F1(KH PUB,f(R,UH ID))),然后将信息(KID,F2(KV PUB,HID,F1(KH PUB,f(R,UH ID))))发送给VLR;步骤六VLR在收到UE发送的信息(KID,F2(KV PUB,HID,F1(KH PUB,f(R,UH ID))))时,利用KID选择对应的KV PRI,然后利用F2及KV PRI解密F2(KV PUB,HID,F1(KH PUB,f(R,UH ID)))获得(HID,F1(KH PUB,f(R,UH ID)))。
步骤七VLR将利用HID找到HLR的位置,然后将信息(HID,F1(KH PUB,f(R,UH ID)))发送给HLR;步骤八HLR在收到(HID,F1(KH PUB,f(R,UH ID)))之后,利用F1及KH PRI解密F1(KH PUB,f(R,UH ID))获得f(R,UH ID),然后利用f-1及随机数R得到UH ID;步骤九HLR合并HID、UH ID生成IMSI,HLR将IMSI发送给VLR。
采用本发明,除HLR之外的其他设备不能够解密UE的IMSI,同时,由于HLR和VLR之间的链路是可信的,所以UE的IMSI能够安全地传送到VLR,这就保证了UE的IMSI能够安全传送到VLR。
当然,本发明还可有其他多种实施例,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
权利要求
1.一种用户身份的传送方法,其特征在于用户终端利用与网元A部分相同的加密机制加密要传送的用户身份数据,得到加密数据1,再利用与网元B相同的加密机制加密数据1,得到加密数据2,然后再将数据2传送给网元B;网元B接收到数据2后进行解密得到数据1,利用数据2中特定信息确定网元A位置,利用网元A对数据1进行解密,得到用户身份数据后返回给网元B。
2.一种用户身份保护方法,其特征在于网元A和所有由网元A分配身份信息的用户终端共享一种公钥加密算法F1,所有由网元A分配身份信息的用户终端都拥有同一种随机数离散算法f,网元A拥有f的逆算法f-1;网元B和用户终端共享一种公钥加密算法F2;网元A有一公私钥对(KA PUB,KA PRI),其中,网元A保留私钥KA PRI,所有由网元A分配身份信息的用户终端都拥有公钥KA PUB;网元B生成或获取公私钥对(KB PUB,KB PRI),网元B为其分配一个标识KID,网元B保留私钥KB PRI;所述方法包括步骤一用户终端通过广播获取携带有网元B的信息(KID,KB PUB),并保存(KID,KB PUB);步骤二用户终端在发送身份信息UID到网元B时,首先生成随机数R,然后利用f和R离散化UA ID,生成f(R,UA ID),然后利用F1及KA PUB加密f(R,UA ID),生成F1(KA PUB,f(R,UA ID));利用最新保存的KID选择KB PUB,然后利用F2和KB PUB加密AID、F1(KA PUB,f(R,UA ID)),生成加密信息F2(KB PUB,AID,F1(KA PUB,f(R,UA ID))),然后将信息(KID,F2(KB PUB,AID,F1(KA PUB,f(R,UA ID))))发送给网元B;步骤三网元B在收到用户终端发送的信息(KID,F2(KR PUB,AID,F1(KA PUB,f(R,UA ID))))时,利用KID选择对应的KB PRI,然后利用F2及KB PRI解密F2(KB PUB,AID,F1(KA PUB,f(R,UA ID)))获得(AID,F1(KA PUB,f(R,UA ID)));步骤四网元B将利用AID找到网元A的位置,然后将信息(AID,F1(KA PUB,f(R,UA ID)))发送给网元A;步骤五网元A在收到(AID,F1(KA PUB,f(R,UA ID)))之后,利用F1及KA PRI解密F1(KA PUB,f(R,UA ID))获得f(R,UA ID),然后利用f-1及随机数R得到UA ID;步骤六网元A根据AID、UA ID生成UID,网元A将UID发送给网元B。
3.根据权利要求1所述的方法,其特征在于在步骤二中,用户身份信息在用户终端中,或者在用户终端使用的智能卡中。
4.根据权利要求1所述的方法,其特征在于在步骤一中,网元B的信息由网元B进行广播,或者由其他能够取得网元B的信息的实体进行广播。
5.根据权利要求1所述的方法,其特征在于所述网元B不考虑密钥更新时,网元B只有唯一的一对公私钥对(KB PUB,KB PRI),网元B无需分配一个标识KID,网元B保留私钥KB PRI。
6.一种用户身份保护方法,其特征在于网元A和所有由网元A分配身份信息的用户终端共享一种公钥加密算法F1,所有由网元A分配身份信息的用户终端都拥有同一种随机数离散算法f,网元A拥有f的逆算法f-1;网元B和用户终端共享一种公钥加密算法F2;网元A有一公私钥对(KA PUB,KA PRI),其中,网元A保留私钥KA PRI,所有由网元A分配身份信息的用户终端都拥有公钥KA PUB;网元B生成或获取公私钥对(KB PUB,KB PRI),网元B保留私钥KB PRI;所述方法包括步骤一用户终端通过广播获取携带有网元B的信息KB PUB,用户保存KB PUR;步骤二用户终端在发送身份信息UID到网元B时,首先生成随机数R,然后利用f和R离散化UA ID,生成f(R,UA ID),然后利用F1及KA PUB加密f(R,UA ID),生成F1(KA PUB,f(R,UA ID));然后利用F2和KB PUB加密AID、F1(KA PUB,f(R,UA ID)),生成加密后的信息F2(KB PUB,AID,F1(KA PUB,f(R,UA ID))),然后将信息F2(KB PUB,AID,F1(KA PUB,f(R,UA ID)))发送给网元B;步骤三网元B在收到用户终端发送的信息F2(KB PUB,AID,F1(KA PUB,f(R,UA ID)))时,利用F2及KB PRI解密F2(KB PUB,AID,F1(KA PUB,f(R,UA ID)))获得(AID,F1(KA PUB,f(R,UA ID)));步骤四网元B将利用AID找到网元A的位置,然后将信息(AID,F1(KA PUB,f(R,UA ID)))发送给网元A;步骤五网元A在收到(AID,F1(KA PUB,f(R,UA ID)))之后,利用F1及KA PRI解密F1(KA PUB,f(R,UA ID))获得f(R,UA ID),然后利用f-1及随机数R得到UA ID;步骤六网元A根据AID、UA ID生成UID,网元A将UID发送给网元B。
7.根据权利要求1所述的方法,其特征在于在步骤二中,用户身份信息在用户终端中,或者在用户终端使用的智能卡中。
8.根据权利要求1所述的方法,其特征在于在步骤一中,网元B的信息由网元B进行广播,或者由其他能够取得网元B的信息的实体进行广播。
全文摘要
本发明公开了提供一种用户身份的保护方法,其特征在于用户终端利用与网元A部分相同的加密机制加密要传送的用户身份数据,得到加密数据1,再利用与网元B相同的加密机制加密数据1,得到加密数据2,然后再将数据2传送给网元B;网元B接收到数据2后进行解密得到数据1,利用数据2中特定信息确定网元A位置,利用网元A对数据1进行解密,得到用户身份数据后返回给网元B。利用本发明的方法来可以完成特定网络中的用户终端身份信息的保护,从而使得用户终端的身份信息能够安全到达网元。
文档编号H04L9/08GK101034979SQ20071007387
公开日2007年9月12日 申请日期2007年4月10日 优先权日2007年4月10日
发明者蒋亮 申请人:中兴通讯股份有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:蒋亮
  • 技术所有人:中兴通讯股份有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2