一种基于HSS增强的用户身份信息保护方法及系统与流程

本发明属于网络通信安全技术领域，涉及一种在移动通网络中用户身份信息保护方法及系统。

背景技术：

移动通信网络服务由于其移动性和便利性已经广泛应用于人们的日常生活。随着4g移动通信网络的大规模部署，越来越多人开始使用4g网络服务。在享受移动通信网络带来的便利同时，通信监听以及个人隐私泄露也成为日益严重的问题。

移动网络用户使用3g、4g等网络业务的过程中，恶意用户通过截取用户接入无线网的接入请求过程中尚未安全保护信令消息，分析信令消息获取用户身份信息，或者通过恶意软件模仿核心网发起用户身份信息请求机制，恶意获取用户的身份信息，即真实imsi信息，然后通过结合非法途径获取移动用户签约信息感知imsi代表的用户身份。从而通过截取特定imsi相关的信令及流量信息，对用户位置进行非法跟踪导致用户敏感信息泄露。

现有的3g、4g移动网络为了降低用户真实imsi信息被泄露的风险，采取临时身份信息，即p-tmsi及guti，用户在首次成功接入网络以后，以后再访问网络业务时就使用网络侧分配的临时身份信息以标识自己身份。网络侧靠动态变更临时签约身份信息，从而降低用户真实身份信息imsi泄露的风险。

现有机制靠临时身份信息能够在一定程度降低用户真实身份信息被泄露的风险。但是目前的4g网络设计还是存在一定漏洞。在用户接入移动网络过程中，核心网的网元收到临时签约身份信息如果无法识别，就会主动要求用户以明文方式上报其真实身份信息。这个机制目前可以被恶意软件或机构伪装核心网，从而获取用户的真实身份信息。非法使用用户真实身份信息可能导致用户位置信息泄露。所以目前的4g移动网络机制还存在一定缺陷无法解决用户真实身份信息泄露及位置被跟踪的安全威胁。

本发明提出了一种移动通信网络用户身份信息保护方法可以避免用户长期签约身份信息泄露，从而保护用户身份及位置等隐私信息不被发现。

技术实现要素：

本发明提出了一种移动通信网络用户长期签约身份信息保护方法及系统。该方法通过动态为用户分配临时签约身份信息(临时签约身份信息的形式仍然是imsi)，用户每次接入移动网络时使用临时签约身份信息接入移动网络进行接入认证，从而避免在不安全网络环境中暴露用户真实身份信息导致用户真实身份信息被恶意截获、用户位置被跟踪。

本发明的技术方案为：

一种基于hss增强的用户身份信息保护方法，其步骤包括：

1)用户终端开机或打开移动网络连接时，利用用户的长期签约身份信息或临时签约身份信息发起移动网络附着流程，完成网络附着；

2)该用户终端发送身份请求消息给身份位置保护服务器，该身份请求消息包含用户当前的临时签约身份信息imsin或长期签约身份信息imsi0；

3)身份位置保护服务器收到用户身份请求消息后，从临时签约身份信息池中为该用户分配新的临时签约身份信息imsin+1并发送动态身份请求消息通知hss对该用户身份信息进行更新；该动态身份请求消息包括，用户当前的临时签约身份信息imsin或长期签约身份信息imsi0，以及未来即将使用的新临时签约身份信息imsi信息；

4)如果该动态身份请求消息包含的是新临时签约身份信息imsin+1及当前临时签约身份信息imsin，则hss利用该用户的新临时签约身份信息imsin+1替换当前保存的临时签约身份信息；如果该动态身份请求消息包含的是临时签约身份信息imsin及长期签约身份信息imsi0，则hss将该临时签约身份信息imsin和imsi0绑定起来；

5)hss发送更新成功消息给身份位置保护服务器；

6)身份位置保护服务器回复响应消息给该用户终端，该响应消息应包含该用户的新临时签约身份信息imsin+1；

7)mme收到用户终端设备发起的附着请求消息后，mme向hss发送认证数据请求消息，如果认证数据请求消息中的用户身份信息是临时签约身份信息且存在该临时签约身份信息相关绑定信息时，则hss启动用户身份信息认证过程，否则不生成认证数据；

该附着请求消息包含用户长期签约身份信息imsi0或临时签约身份信息imsin。

所述临时签约身份信息imsin、所述新的临时签约身份信息imsin+1与长期签约身份信息imsi的数据格式相同。

所述步骤7)中，如果该认证数据请求中的身份信息是用户长期签约身份信息且没有任何绑定关系，则hss按现有3gpp规范执行。

hss收到用户使用新临时签约身份信息附着网络后，释放该用户的之前临时签约身份信息和用户长期签约身份信息之间的绑定。

hss收到用户使用新临时签约身份信息附着网络后，启动定时器，该定时器超时后，释放该用户的之前临时签约身份信息和用户长期签约身份信息之间的绑定。

hss为同一用户的长期签约身份信息绑定一个或多个临时签约身份信息。

一种基于hss增强的用户身份信息保护系统，其特征在于，包括身份位置保护服务器、hss和mme；其中，

所述身份位置保护服务器，用于从临时签约身份信息池中为用户分配新的临时签约身份信息imsin+1并发送动态身份请求消息通知hss对该用户身份信息进行更新；该动态身份请求消息包括，用户当前的临时签约身份信息imsin或长期签约身份信息imsi0，以及未来即将使用的新临时签约身份信息imsi信息；以及收到hss发送的更新成功消息后回复响应消息给用户终端，该响应消息应包含该用户的新临时签约身份信息imsin+1；

hss用于根据收到的动态身份请求消息对用户身份信息进行更新，如果该动态身份请求消息包含的是新临时签约身份信息imsin+1及当前临时签约身份信息imsin，则hss利用该用户的新临时签约身份信息imsin+1替换当前保存的临时签约身份信息；如果该动态身份请求消息包含的是临时签约身份信息imsin及长期签约身份信息imsi0，则hss将该临时签约身份信息imsin和imsi0绑定起来；hss发送更新成功消息给身份位置保护服务器；

mme用于收到用户终端设备发起的附着请求消息并向hss发送认证数据请求消息，如果认证数据请求消息中的用户身份信息是临时签约身份信息且存在该临时签约身份信息相关绑定信息时，则hss启动用户身份信息认证过程，否则不生成认证数据；该附着请求消息包含用户长期签约身份信息imsi0或临时签约身份信息imsin。

本发明对现有移动核心网络hss功能进行增强，hss收到用户身份位置保护服务器发来的用户身份信息更新通知后，需要将用户的新临时签约身份信息和用户长久签约身份信息或旧临时签约身份信息绑定起来。当用户使用临时签约身份信息接入hss时，如果hss中存在该临时签约身份信息相关绑定信息时就启动用户身份信息认证过程，否则直接拒绝该用户接入移动网络。

本发明的架构如图1所示，本发明对现有移动核心网中的hss功能进行增强，同时引入新的网络功能，身份位置保护服务器。在增强的hss和身份位置保护服务器之间定义新的接口实现动态用户身份更新功能。身份位置保护服务器为用户临时签约身份信息(临时签约身份信息和长期签约身份信息imsi的形式是相同的)后，发送接口消息通知hss对该用户身份信息进行更新。hss收到用户身份位置保护服务器发来的用户身份信息更新通知后，需要用该用户的临时签约身份信息替换长久签约身份信息,或者需要用该用户新的临时签约身份信息替换旧的动态身份信息。当用户下次进行网络附着时，hss根据mme发送的认证数据请求消息中的临时签约身份信息确定是否为该用户生成认证数据。如果认证数据请求消息中的用户身份信息是临时签约身份信息且存在该临时签约身份信息相关绑定信息时就启动用户身份信息认证过程，否则不生成认证数据，间接拒绝该用户接入移动网络。

具体来说，该方案主要有以下发明点：

在新定义的网络功能和增强的hss之间定义新的接口，增强hss通过该接口和hss交互完成动态身份更新功能。

身份位置保护服务器通过发送动态身份请求消息通知相关hss进行用户身份信息更新。该请求消息包括，用户当前使用的临时签约身份信息imsin或长期签约身份信息imsi0，以及未来即将使用的新临时签约身份信息imsi信息。

收到来自安全接入服务器的请求消息后，根据消息内容hss进行不同的操作完成动态身份信息更新：

·如果该消息包含的是用户长期签约身份信息imsi0及即将使用的临时签约身份信息imsin，hss将临时签约身份信息和长期签约身份信息进行绑定，即临时签约身份信息等价于长期签约身份信息。并将绑定信息写入数据库。

·如果该消息包含的是当前临时签约身份信息imsin及下一次将使用的临时签约身份信息imsin+1，hss用下一次即将使用的临时签约身份信息imsin+1替换当前临时签约身份信息imsin或之前的imsin-1。

用户长期签约身份信息imsi0绑定动态身份信息imsin后，根据安全策略hss可以决定是否接受用户使用长期签约身份信息接入网络，及相关条件。

临时签约身份信息更新完毕后，hss并通知身份位置保护服务器该用户身份信息已经更新，即用户可以使用新的临时签约身份信息接入网络。

用户附着时，收到来自mme的认证数据请求时，hss在查找数据库确定该临时签约身份信息是否存相应绑定：

·如果该身份信息是临时签约身份信息而且没绑定任何长期签约身份信息，则拒绝该用户；

·如果是临时签约身份信息且存在和长期签约身份信息绑定，则接受该用户认证请求，同时使用长期签约身份信息对应的凭据信息对该用户进行认证。

此外，hss收到用户使用新临时签约身份信息附着网络后，可立释放，或启动定时器，等定时器超时后，释放旧的临时签约身份信息和用户长期签约身份信息之间的绑定。hss可以为某个具体用户的长期签约身份信息绑定一个或多个临时签约身份信息。

与现有技术相比，本发明的积极效果为：

本发明可以大大减少，或完全避免用户长期签约身份信息以明文形式(即包含在附着请求或者身份响应消息)在空中接口传送，避免被恶意分子主动或被动截获/监听，提高对用户身份位置等隐私信息的保护。

附图说明

图1为用户身份及位置信息保护方案架构图；

图2为用户动态身份信息分配流程图；

图3为用户动态身份信息启用及绑定关系释放过程图。

具体实施方式

为使本发明的上述特征和优点能更明显易懂，下文特举实施例，并配合所附图作详细说明。

1)动态身份信息分配过程

如图2所示，动态身份信息分配主要步骤如下：

(1)用户设备开机或打开移动网络连接时，用户终端设备上的协议栈功能使用长期签约身份信息或临时签约身份信息发起移动网络附着流程，完成网络附着。

(2)附着完成后，用户终端发送身份请求消息给身份位置保护服务器，该身份请求消息包含用户当前正在使用的临时签约身份信息(imsin)或长期签约身份信息(imsi0)。

(3)身份位置保护服务器收到用户身份请求消息后，从临时签约身份信息池中为该用户分配新的临时签约身份信息imsin+1。

(4)身份位置保护服务器发送身份更新消息给该用户相关的hss，该消息包含用户当前临时签约身份信息imsin(或长期签约身份信息imsi0)，及新的临时签约身份信息imsin+1。

5a.如果该消息包含的是新临时签约身份信息imsin+1及当前临时签约身份信息imsin,hss利用用户新的临时签约身份信息imsin+1替换当前保存的临时签约身份信息。

5b.如果该消息包含的是临时签约身份信息imsin及长期签约身份信息imsi0,hss将该临时签约身份信息imsin和imsi0绑定起来，即将imsin和imsi0等价，并将该绑定关系存入数据库。

(6)hss回复响应消息给身份位置保护服务器表示用户临时签约身份信息更新成功。

(7)身份位置保护服务器回复响应消息给用户终端设备，该消息应包含用户新的临时签约身份信息imsin+1。

2)动态身份信启用及绑定关系释放过程

如图3所示，临时签约身份信息回收主要步骤如下：

(1)用户终端设备(重)新启动。

(2)用户终端设备向mme发起附着请求消息，该消息包含用户长期签约身份信息imsi0或身份位置保护服务器之前分配的临时签约身份信息imsin。

(3)mme向hss发送认证数据请求消息，该消息包含用户当前身份信息imsin或imsi0。

4ahss收到消息后，检查消息中的身份信息及相关数据库。如果是用户长期签约身份信息且没有任何绑定关系存，则按现有3gpp规范执行。如果是用户长期签约身份信息且绑定了临时签约身份信息，则按配置的安全策略确定是否为该用户生成签约数据。安全策略可以规定某个用户使用某一具体动态身份信息的使用时间段(几小时，几天等)或次数(1次，5次)。如果用户使用某个动态身份信息过长，则安全性降低，极限情况下就回退到现有机制了，动态签约身份＝长期签约身份信息；安全策略可以配置到hss里作为用户签约信息的一部分，不同用户可能对于隐私保护需求不同，因此可以实现用户级的定制。

4bhss收到消息后，检查消息中的身份信息及相关数据库。如果是临时签约身份信息且没有任何绑定关系存，则不生成认证数据拒绝该用户接入网络。如果是临时签约身份信息且绑定了长期签约身份信息，则使用长期签约身份信息对应的凭据信息为该用户生成认证数据信息。

(4)hss以响应消息回复mme，该消息可包含认证数据及结果信息，mme依据认证数据信息完成和该用户之间的相互认证。

(5)mme回复用户终端设备附着响应消息。

综上所述，本发明公开了适用于移动网络用户身长期签约身份信息及位置保护方法。

本发明的描述是为了示例和描述起见而给出的，而并不是无遗漏的或者将本发明限于所公开的形式。显然，本领域的普通技术人员可以对本发明的示例进行各种改动和变形而不脱离本发明的精神和原则。选择和描述实施例是为了更好说明本发明的原理和实际应用，并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。