一种终端发起的移动通信系统用户身份隐匿方法与流程

本发明涉及一种终端发起的移动通信系统用户身份隐匿方法。

背景技术：

当前5G移动通信系统第一阶段标准已经确定，但5G网络作为一个复杂的生态系统，存在基础设施提供商、移动通信网络运营商、虚拟运营商等多种类型参与方，用户数据在这个由多种接入技术、多种设备和多个参与方交互的复杂网络中存储、传输和处理，面临着诸多隐私泄露的风险。

5G网络中大量引入虚拟化技术，支持各种垂直行业应用，在带来灵活性的同时也使得网络安全边界更加的模糊，在多租户共享计算资源的情况下，用户的隐私数据更容易受到攻击和泄露。相比传统网络而言，这种情况所产生的隐私泄露影响范围更广、危害更大。因此，对5G网络的隐私保护提出了更高的挑战。现有4G网络中也暴露了一些隐私问题需要解决，比如国际移动用户标识符(IMSI)泄露问题以及位置信息的泄露问题。永久标识符的泄露会直接导致用户身份信息的泄露。

而在4G和5G网络中，主要通过全球唯一的IMSI或签约永久标识符(SUPI)来唯一标识用户身份，进而关联到用户的身份、位置、电话号码等隐私信息。而日益发展的移动支付也需要提取用户的IMSI/SUPI，作为确定用户身份的依据之一。因此保护用户的IMSI/SUPI，是保护用户隐私信息的重要方面。

在4G网络中，IMSI在首次认证时会明文传输，存在泄漏的风险；在5G里面，采用了对SUPI进行加密获得签约隐藏身份标识符(SUCI)的方法来避免SUPI的空口明文传输。但国际标准规定，移动通信网络必须满足国家安全的需要，虽然5G对用户的SUPI进行了加密，但要求服务网络能够识别用户的真实身份以方便执行特定的国家安全政策，也就是说，在用户漫游的服务网络里面，仍然会从归属网络获取并记录用户真实IMSI或SUPI信息，且5G标准流程中规定还要与终端提供的SUPI进行比较。因此，攻击者可以通过攻击服务网络或伪装成合法的服务网络以及其他渠道获得用户IMSI或SUPI，从而进一步获得用户的隐私信息，包括GUTI(全球唯一临时标识符，俗称临时身份标识)、安全上下文信息(包括各种密钥)等，为进一步的攻击创造条件。

随着移动互联网和物联网的发展，移动通信网对社会的渗透越来越深入。移动通信系统不再只是面向普通公众用户，还需要承载有高安全需求的特殊行业用户和业务。这些用户的信息敏感，泄漏会造成严重的后果或经济损失，是攻击者的主要目标更是有组织攻击者的主要目标。而移动通信网络主要面向公众用户，其提供的安全措施难以满足高安全用户的需要，也无法抵抗有组织的攻击或APT攻击。随着移动通信网络从封闭走向开放，特别是5G采用面向服务的架构(SBA)、网络虚拟化技术和支持网络能力开放以后，造成网络攻击面扩大，受到的威胁或攻击更多，用户身份特别是高安全用户身份的隐匿，显得尤为重要。

因此，迫切需要在符合移动通信系统国际标准的前提下，针对重要用户提供IMSI或SUPI等身份标识的隐匿方法，从网络层面为用户的隐私保护提供解决措施。

技术实现要素：

为了克服现有技术的上述缺点，本发明提供了一种终端发起的移动通信系统用户身份隐匿方法，由终端(UE)发起用户IMSI或SUPI身份信息的隐匿，在满足4G/5G相关标准和流程的前提下，通过较少的更改和定制，实现用户身份的隐匿和更新，增加攻击者通过IMSI或SUPI来跟踪用户身份的难度，满足高安全特殊行业用户对用户隐私保护的需求。

本发明解决其技术问题所采用的技术方案是：一种终端发起的移动通信系统用户身份隐匿方法，包括如下内容：

一、终端产生新的IMSI或SUPI：

步骤S101，特定行业向运营商申请可用的IMSI或SUPI号码资源并转交定制服务，所述可用号码资源的数量大于用户数量的2倍；

步骤S102，定制服务将可用号码资源进行分段，每段号码资源的数量大于等于用户数量；

步骤S103，特殊用户向自己所属的特定行业申请身份隐匿服务，特定行业审核通过后将该申请转交给定制服务，定制服务从号段1中对该用户分配初始IMSI或SUPI，并确定该用户的跳变算法和跳变控制参数，确定跳变的触发条件；

步骤S104，定制服务将初始IMSI或SUPI写入用户的USIM卡或eSIM中，将触发条件和跳变控制参数写入UE中，并同时将跳变算法和号段信息写入用户终端的可定制组件中；

步骤S105，UE用初始IMSI或SUPI进行初始附着和注册，如果注册失败，则UE重新开始初始附着过程；如果注册成功，则开始正常通信，直到触发条件到来；

步骤S106，达到触发条件，UE产生去附着行为，使用标准的流程和协议向移动网络注销当前用户；

二、终端使用新的IMSI或SUPI向网络进行信息更新、同步和碰撞消除：

步骤S201，终端发起去附着流程，将旧的IMSI或SUPI注销，该消息通过标准的协议通知给特定行业进行定制服务的HSS或UDM/UDR，收到消息后HSS或UDM/UDR将该用户的状态标识为离线，同时对离线状态用户依旧保存其IMSI或SUPI直到被新产生的IMSI*或SUPI*取代；

步骤S202，终端获取IMSI*或SUPI*，并按照标准流程向网络发起注册流程；

步骤S203，AMF/MME根据收到的IMSI*或SUCI*和相关的指示符，将该附着消息发送给为特定行业进行定制服务的HSS或AUSF/UDM/UDR；

步骤S204，HSS或UDM/UDR对收到的附着消息中的IMSI*或SUCI*进行碰撞检查：如果发生碰撞，HSS或UDM/UDR通知终端注册失败，终端重新用新的跳变参数在跳变号段生成新的IMSI或SUPI，然后转到步骤S202；如果没有发生碰撞，HSS或UDM/UDR将新生成的IMSI*或SUPI*与接收到的注册消息中的IMSI*或SUPI*进行匹配，如果匹配成功，则将该IMSI*或SUPI*对应的用户状态修改为在线，并按照协议标准，返回认证向量，继续后续的标准流程，如果匹配失败，则转到步骤S202。

与现有技术相比，本发明的积极效果是：

本发明通过采用一种用于移动通信系统的终端发起的IMSI或SUPI隐匿方法，仅需对终端的USIM/eSIM卡进行定制或对通信处理器(CP)中可定制固件部分进行软件定制，以及后端服务于特定行业的HSS或AUSF/UDM/UDR进行少量修改，使得具有高安全需求的用户或特殊行业能够以一种不改变移动通信标准架构和标准协议流程的方式，达到同一用户与IMSI或SUPI的对应关系随机变化的效果，增加攻击者通过捕获IMSI或SUPI来跟踪用户或推导用户在真实空间中身份的难度。该方法适用范围广，不仅适用于5G网络，还适用于4G网络以及未来以IMSI或SUPI作为永久身份标识的移动通信系统。该方法能够解决特殊行业用户、国家关键行业的大型企事业单位用户以及高价值用户群体使用移动通信系统公共基础设施开展高安全应用时隐私保护的需求，使移动通信系统更好的服务于社会的各行各业。

附图说明

本发明将通过例子并参照附图的方式说明，其中：

图1为终端发起的用户身份隐匿流程示意图。

具体实施方式

针对现有技术中难以在服务网络中隐藏UE真实IMSI或SUPI的问题，本发明提供了一种用于移动通信系统由终端发起的IMSI或SUPI隐匿的方法，该方法建立在如下基础之上：需要这种身份隐匿的用户(简称特殊用户)属于同一行业或同一组织或同一群体，他们可以是特定的行业、党政军、政府部门、大型企业或运营商针对需要特殊安全服务的用户而建立的特定用户群(简称特定行业)，具有相同的身份信息隐匿要求，用户的签约信息在非授权时对移动运营商不可见；运营商愿意为特殊用户提供身份隐匿的支持，提供额外的IMSI或SUPI号码资源，且对该号码资源的具体分配在非授权时不进行干预和知悉，由特定行业自己负责；特定行业自己定制IMSI或SUPI分配规则和跳变算法，并能对UE、USIM卡(或eSIM卡)进行必要的修改或定制，同时能对网络中管辖该用户群体的实体HSS或AUSF/UDM/UDR进行必要定制修改(简称定制服务)，该项定制服务工作可由特定行业自己完成，也可以授权给运营商或可信第三方。

终端发起的移动通信系统用户身份隐匿方法包含二个相互关联的方法和过程，一是终端产生新的IMSI或SUPI的方法，二是终端使用新的IMSI或SUPI向网络进行信息更新、同步和碰撞消除过程。

终端产生新的IMSI或SUPI具体包含以下步骤：

步骤S101，特定行业根据本行业的用户数量，向运营商申请可用的IMSI或SUPI号码资源并转交定制服务，要求可用号码资源的数量大于用户数量的2倍；

步骤S102，定制服务将可用号码资源根据用户数量进行分段，分为初始号段(假设称为号段1)和跳变号段，每段号码资源的数量大于等于用户数量，号码段尽量连续以减少后续的计算量，用户签约时在号段1选定一个号码作为初始号码，在该用户跳变后，该号码将释放并加入跳变号段，以增加跳变空间；

步骤S103，特殊用户向自己所属的特定行业申请身份隐匿服务，特定行业审核通过后将该申请转交给定制服务，定制服务从号段1中对该用户分配初始IMSI或SUPI，并确定该用户的跳变算法和跳变控制参数，确定跳变的触发条件；

步骤S104，定制服务将初始IMSI或SUPI写入用户的USIM卡(或eSIM卡)中，将触发条件和跳变控制参数写入UE中，并同时将跳变算法和号段信息等写入用户终端的可定制组件中，可定制组件包括定制的USIM卡(或eSIM卡)、也可以是UE的通信处理器(CP)中可定制固件部分；

步骤S105，UE用初始IMSI或SUPI(在5G里是用SUPI加密后的代码SUCI)进行初始附着和注册，如果注册成功，则开始正常通信，直到触发条件到来；如果注册失败，则转到步骤S107；

步骤S106，达到触发条件，UE产生去附着行为，使用标准的流程和协议向移动网络注销当前用户；

步骤S107，UE重新开始初始附着过程，首先UE重新生成新的跳变控制参数，输入UE的可定制组件中，可定制组件根据跳变控制参数，从当前IMSI或SUPI所属跳变号段中，调用跳变算法获得一个随机的新的IMSI或SUPI号码(记为IMSI*或SUPI*)，UE用该IMSI*或SUPI*，重新开始新的附着注册过程。

该方法中，跳变算法主要用于为UE随机选择一个新的IMSI或SUPI号码，确保攻击者无法从UE的上一个IMSI或SUPI推导出新的IMSI或SUPI，跳变算法可以是号码动态随机映射的规则，也可以是保留格式的加密算法，但必须保证在不同的跳变控制参数时，在同一号段取值是唯一的。跳变控制参数是用于计算IMSI*或SUPI*的控制变量，在同一号段取值时，控制跳变算法输出的值是唯一的、互相不冲突的，该参数与当前IMSI或SUPI、该用户对应的密钥(或随机数种子、偏置量)和一个全网可获取的唯一状态变量(例如时间或序列号)有关，用于控制同一用户在UE侧和网络的HSS或UDM/UDR产生相同的IMSI*或SUPI*，不同用户间互不冲突。触发条件是指终端进行号码跳变的时机，如果是周期性跳变则可以是时间，如果是触发性的则可以是终端预先设置的事件或网络下发的通知。终端UE和网络侧定制服务的HSS或UDM/UDR要保存相同跳变算法和跳变控制参数，以保持同步。

终端使用新的IMSI或SUPI向网络进行信息更新、同步和碰撞消除过程如下：

步骤S201，终端发起去附着流程，将旧的IMSI或SUPI注销，该消息将通过标准的协议通知给特定行业进行定制服务的HSS或UDM/UDR，它们将该用户的状态标识为离线，否则标识为在线状态，HSS或UDM/UDR对离线状态用户依旧保存其IMSI或SUPI直到被IMSI*或SUPI*取代；

步骤S202，终端获取IMSI*或SUPI*，并按照标准流程向网络发起注册流程，其过程和首次注册一样，也和4G/5G标准规定的流程和协议一致，如果是4G网络，则是直接用IMSI*进行注册，如果是5G网络则要将SUPI*进行加密成为新的SUCI*，加密算法可以采用标准算法，也可由特定行业定制；

步骤S203，AMF/MME根据收到的IMSI*或SUCI*和相关的指示符，将该附着消息发送给为特定行业进行定制服务的HSS或AUSF/UDM/UDR；

步骤S204，定制服务的HSS或UDM/UDR对收到的附着消息中的IMSI*或SUCI*进行碰撞检查，对于4G网络，直接用该IMSI*在在线状态的用户中查找是否已经被注册占用，对于5G网络，则需要UDM/UDR对该SUCI*进行解密，还原成SUPI*，用该SUPI*对在线状态的用户进行查找是否已经被注册占用；

步骤S205，如果已经被注册，则发生碰撞，HSS或UDM/UDR通知终端注册失败，终端重新用新的跳变参数在跳变号段生成新的IMSI或SUPI，转到步骤S202；

步骤S206，如果没有发生碰撞，定制服务的HSS或UDM/UDR对所有离线状态的用户，调用对应跳变函数和当前的跳变控制参数，生成IMSI*或SUPI*，并将接收到注册消息中的IMSI*或SUPI*与计算出的IMSI*或SUPI*进行匹配，如果匹配成功，则将该IMSI*或SUPI*对应的用户状态修改为在线，并按照协议标准，返回认证向量等，继续后续的标准流程，如果匹配失败，则转到步骤S202。

在步骤S206中，还有一种变通的方法是直接用非碰撞的IMSI*或SUPI*反向解密出IMSI或SUPI进而完成注册，从而无须对所有离线用户进行跳变计算，但这种方法对跳变算法及其安全性要求较高，可以作为本发明的低安全性方法采用。

本发明还有一种跳变号码生成的替代方法，为了降低对跳变控制参数中全网可获取的唯一状态变量或序列号的要求，简述如下：首先将全部可用号码根据用户数量进行分段，例如号段1、2、3，并规定用户侧和网络同时按照该顺序跳变取值，即用户第一次跳变时取值空间在号段1，第二次跳变时在号段2，第三次在号段3，然后轮回；跳变算法保证每个用户在同一号段取值是唯一的、不冲突的，但不同轮次取值是随机的；HSS或UDM/UDR对每个用户保存两个值，当前号码和下一跳号码，周期性计算每个用户的取值并存入该用户的下一跳号码中，周期性计算的目的是确保用户的映射关系是一一对应的，周期的长短由特定行业确定，周期越短则跳变越快；终端注册时如果IMSI*或SUPI*与在线用户的当前号码发生碰撞或与所有离线用户的下一跳号码匹配不成功，则表明终端和网络不同步，认证失败，终端重新产生新号码并在下一号段中重新取值，直到认证成功。这样通过有限的几次(最大次数是号段数减1)重新注册认证，就可完成同步，而跳变控制参数中终端和网络都可同时获取的全网唯一状态变量则可以取消，用号段及其取值顺序代替。主要改变的流程如下：

1)在步骤S102中，定制服务将可用号码资源根据用户数量进行分段，每段号码资源的数量大于等于用户数量，号码段尽量连续以减少后续的计算量，称为号段1、号段2……，并选定一个号段作为初始号段(假设称为号段1)；

2)在步骤S104中，号段信息及顺序作为跳变控制参数的一部分，一起写入UE；

3)在步骤S107中，跳变算法将从当前IMSI或SUPI所属号段的下一个顺序号段中，产生IMSI*或SUPI*并注册；

4)步骤S204中，用注册消息中的IMSI*或SUPI*在在线状态用户的当前号码中查找，以确定是否已经被注册占用；

5)步骤S206中，如果没有发生碰撞，定制服务的HSS或UDM/UDR查找离线用户的下一跳号码并与接收到注册消息中的IMSI*或SUPI*进行匹配，如果匹配成功，则将该IMSI*或SUPI*写入当前号码表，将对应的用户状态修改为在线，并按照协议标准，返回认证向量等，继续后续的标准流程，如果匹配失败，则按照碰撞处理。

其余流程基本相同，这里不再进行赘述。这种替代方法的好处是UE与网络HSS或UDM/UDR无须通过全网唯一状态变量来同步，而是通过网络HSS或UDM/UDR的周期性计算来实现同步，缺点是UE注册失败的概率会增加。

本发明还公开了一种用于移动通信系统IMSI或SUPI身份保护的系统，其特征在于其遵循国际标准标准架构，该功能实体包括UE(包括USIM/eSIM卡)、服务AMF/MME、特定行业的可信HSS或AUSF/UDM/UDR。所述UE用于执行IMSI或SUPI变更以及发起网络附着/去附着请求，服务AMF/MME用于将该消息正确转发到可信HSS或AUSF/UDM/UDR，可信HSS或AUSF/UDM/UDR用于按照特定行业的特殊用户的策略为UE生成新IMSI或SUPI信息，并进行碰撞检测、同步等。

通过采用以上技术方案，本发明的有益效果体现为几个方面：其一，通过改变IMSI或SUPI，达到同一用户与IMSI或SUPI的对应关系随机变化的效果，增加攻击者通过捕获IMSI或SUPI来跟踪用户或推导用户在真实空间中身份的难度；其二，所有增加的处理都在终端的特定组件和网络后端服务于特定行业的存储管理网元，中间的协议交互、信令格式等完全符合相关移动通信协议标准，对服务网络网元没有新增额外要求，在产业上容易实现，特定行业需要增加的建设运营成本并不高；其三，终端发起，不需要显式的全网同步流程，网络通信开销小，通过对号段的控制和跳变算法的选择，更容易根据行业特征和规模实现个性化定制，更好满足不同特定行业的需要；其四，该方法适用范围广，不仅适用于5G网络，还适用于4G网络以及未来以IMSI或SUPI作为永久身份标识的移动通信系统。

本发明提供了一种终端发起的移动通信系统用户身份隐匿方法和系统，以下结合附图以及实施例，以5G网络为例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用于解释本发明，并不限定本发明。

本实施例中，使用该种终端发起的移动通信系统用户身份隐匿方法的功能实体包括：移动终端UE、无线接入网RAN、拜访网络功能、归属网络通用功能、归属网络统一数据管理/认证服务功能UDM/AUSF。

移动终端UE用于生成新的跳变参数，并根据该参数通过跳变算法运算获得新的掩护SUPI号码，并基于该SUPI生成相应的SUCI*，并发起网络去附着/附着流程。

接入网络、拜访网络以及归属网络通用功能与标准完全一致，被动配合安全终端完成网络去附着与附着过程。

归属网络UDM/AUSF用于按照一定策略判断该用户的新SUPI号码是否与其他用户的SUPI号码发生冲突或碰撞，若发生碰撞则向UE响应认证失败。

具体流程如图1所示，移动终端UE触发了跳变条件之后，UE将会发起并执行SUPI变更的过程；如果是本发明的替代方法，则UDM将周期性计算下一跳的SUPI(见图1的虚框1)；

首先UE发起网络去附着过程，用于清除掉旧的SUPI在移动通信网络中的痕迹；

完成去附着过程之后，UE生成新的跳变参数，并基于跳变算法生成新的SUPI号码，并基于该新的SUPI号码生成相应的SUCI*；

UE使用SUCI*发起网络附着过程；

归属网络UDM/AUSF解密SUCI*获得新的SUPI号码；

归属网络UDM/AUSF检查该用户新的SUPI号码是否与其他用户冲突或碰撞，若未发生冲突则返回认证成功，否则返回认证失败；

UE若收到认证成功，则继续完成附着流程；否则重新生成新的SUPI号码，再重新发起附着流程。