在电信网络中增强移动订户隐私的制作方法

背景技术：

诸如蜂窝电话之类的用户设备(有时称为用户设备或ue)可以连接到由不同公司运营的各种无线电信网络。这些电信网络可以是根据各种协议进行操作的蜂窝网络，例如长期演进(lte)、lte语音(volte)、非许可频谱中的lte(lte-u)或第五代移动网络(5g)协议。在用户设备注册到电信网络并通过电信网络进行通信的过程中，可以在用户设备和电信网络之间传送标识该用户设备的用户的信息。

附图说明

具体实施方式参考附图进行阐述。

图1示出了用于电信网络的示例网络架构，该网络架构提供了增强的移动订户隐私。

图2示出了用于实现增强的移动订户隐私的计算设备的各个组件的框图。

图3描绘了在用户设备信任服务网络的情况下，用于用户设备向归属地网络注册的，在用户设备、服务网络和归属地网络之间的示例信号流。

图4描绘了在用户设备不信任服务网络的情况下，用于用户设备向归属地网络注册的，在用户设备、服务网络和归属地网络之间的示例信号流。

图5描绘了用于使用增强的移动订户隐私，服务网络与用户设备和归属地网络进行通信的示例操作过程的流程图。

具体实施方式

概要

在用户设备注册到电信网络并通过电信网络进行通信的过程中，用户设备可以向电信网络提供用于标识用户设备的个人可识别信息(pii)。如本文所使用的，用户设备可以是特征电话、智能电话、平板计算机、平板电话、嵌入式计算机系统或能够使用由多种类型的通信网络提供的无线通信服务的任何其他设备。

该pii可以包括国际移动订户身份(imsi)、国际移动设备身份(imei)或移动订户国际订户目录号(msisdn)。imsi可以包含14位或15位数字，该数字存储在订户身份模块(sim)卡上，该卡插入用户设备并存储在归属运营商数据库中(例如归属位置寄存器(hlr)、或归属订户服务器(hss))。如果攻击者获得了查看电信网络上通信的访问权限，则攻击者可以根据与他或她的用户设备相关联的imsi来识别特定用户。由于用户设备连接到电信网络上的特定物理点(例如，蜂窝塔或住宅热点)，因此攻击者可能会使用此imsi来确定和跟踪用户的物理位置。

因此，针对攻击者能够跟踪用户的这一问题的解决方案是防止攻击者获取和监视imsi。一种解决方案是对imsi进行加密。例如，使用公钥密码术，当发送imsi时，可以使用目标设备的公钥，例如，用户设备、服务网络(与用户设备直接通信的电信网络的一部分；当用户设备正在漫游时，服务网络是受访网络)或归属地网络的公钥进行加密。然后，该目的地，例如用户设备、服务网络或归属地网络，可以使用其私钥来解密imsi。

但是，这种加密方法的问题在于，它可能会打开分布式拒绝服务(ddos)攻击的攻击向量。一个或更多个用户设备可以通过在注册过程中发送加密的虚假imsi来发起针对归属地网络的hlr或hss的ddos攻击。在将hlr/hss配置为解密imsi，而未对电信网络的其他组件进行该配置的情况下，则hlr/hss将计算资源花费在解密这些虚假imsi上，这样做可能会变得超负荷。

可以通过在用户设备与服务网络和归属地网络之间的通信过程中包括信任指示符(tri)字段来缓解ddos攻击的问题。信任指示符的使用通常可以分为两种情况：用户设备信任服务网络的情况，以及用户设备不信任服务网络的情况。

在用户设备信任服务网络的情况下，用户设备可以开始注册过程，并且从服务网络接收针对服务网络的信任指示符。用户设备然后可以查证该信任指示符。然后，用户设备可以将加密的imsi和用于用户设备的信任指示符发送到服务网络。可以对imsi进行加密，使得服务网络可以对其进行解码。服务网络可以将解码后的imsi和用于用户设备的信任指示符发送到归属地网络，该归属地网络查证用户设备的信任指示符。然后，归属地网络向用户设备发送伪imsi。

该伪imsi可以包括evisi的替代品，其可以代替imsi用于在用户设备与电信网络的通信会话的持续时间内标识用户设备。如果用户设备在将来的某个时刻重新注册到电信网络，则可以利用新的伪imsi。通过在每次注册时更改伪imsi，即使攻击者确实获得了一个伪imsi，该了解也将具有时间限制，因为伪imsi将在新注册后发生变化。

使用信任指示符的另一种一般情况是用户设备不信任服务网络。在此，用户设备可以像以前一样查证服务网络的信任指示符。然后，用户设备对imsi进行加密，使得归属地网络可以对imsi进行解码，但是服务网络缺乏对imsi进行解码的配置。服务网络将加密的imsi发送到归属地网络，然后，归属地网络对加密的imsi进行解码。另外，与用户设备信任服务网络的情形相比，归属地网络加密伪imsi，使得用户设备可以解码伪imsi，但是服务网络缺乏解码伪imsi的配置。用户设备解码并查证伪imsi以完成注册过程。

虽然本文描述的实施方式通常集中于imsi的使用，但是可以理解，这些技术可以应用于其他形式的pii。

示例硬件，软件和通信环境

图1示出了用于电信网络的示例网络架构100，其提供了增强的移动订户隐私。可以理解，该图示出了网络架构的示例，并且可能存在可以实现增强的移动订户隐私的其他网络架构。如图所示，在示例网络体系结构100中有两个用户设备-用户设备102a和用户设备102b。

用户设备102a连接到作为回程104的一部分的演进型节点b(enb)106。回程104(和回程110)包括电信网络的核心与用户设备可以连接的边缘之间的通信连接。enb106是电信网络中与诸如用户设备102a之类的用户设备连接的点。enb106可以发送和接收与用户设备102a的无线通信。enb106与演进分组核心(epc)112的移动管理实体(mme)114连接。mme114被配置为查找、路由、维护和转移通信。mme114被配置为执行核心网络之间的端到端连接信令和安全服务，并且维护有关用户设备的连接信息，并且确定要使用哪个网关将用户设备连接到另一个网络。

mme114与服务网关(sgw)118连接。sgw118被配置为路由和转发数据分组，并且在用户设备102a物理移动时充当网络连接的锚，从而从enb106切换到另一个enb(未示出)。诸如用户设备102a的用户设备可以与诸如sgw118的单个sgw相关联，并且mme114可以确定用户设备102a将利用sgw118进行当前会话。在包括受访网络和归属地网络的体系结构中，sgw118还被配置为通过与归属地网络的分组网关(pgw)(诸如pgw120)进行通信而成为受访网络与归属地网络的联系点。

除了被配置为受访网络和归属地网络之间的联系点之外，pgw120还被配置为执行如管理用于通信的服务质量(qos)、执行深度分组检查以及执行策略和收费执行功能(pcef)。

pgw120经由互联网通信网络122与数据中心124通信。数据中心124可以包括hlr/hss126，在一些示例中，hlr/hss126可以是hlr或hss。hlr/hss126是一个主用户数据库，其中包含与归属地网络关联的一个或更多个用户设备用户的订户简档，对用户的用户设备执行身份验证和授权，并且可以提供有关用户设备的物理位置的信息和互联网协议(ip)信息。

另一个用户设备，例如用户设备102b，通过图1的该系统架构的与用户设备102a相比不同的路径可通信地耦合到hlr/hss126。用户设备102b可地耦合到住宅热点108。住宅热点108被配置成提供用户设备102b和hlr/hss126之间的wifi或蜂窝式无线通信链路。住宅热点108通过回程110(其类似于回程104)连接到epc112并可以通过epdg116连接到epc112。epdg116可以确保与用户设备(诸如用户设备102b)的数据传输，当它通过不遵循第三代合作伙伴项目协议(3gpp)协议的通信链路连接到epc112。以这种能力，epdg116可以用作与用户设备102b建立的ip安全协议隧道的终止节点。

在该示例网络体系结构100中还存在六个攻击者，即imsi捕获器128a、imsi捕获器128b、imsi捕获器128c、imsi捕获器128d、imsi捕获器128e和imsi捕获器128f。这些imsi捕获器中的每一个都可以经由硬件(例如，图2的计算设备200)或在硬件上实现的软件组件来实现。这些imsi捕获器中的每一个都存在于示例性网络体系结构100中的不同点处，但是具有相同的功能，即，其被配置为捕获诸如imsi的移动订户的pii。

imsi捕获器128a被描述为硬件或软件。imsi捕获器128a处于主动状态，因为它主动尝试通过模拟伪基站或流氓基站获取用户设备102a的imsi，并且欺骗用户设备102a与其连接，而不是与真实的基站enb106连接。然后，imsi捕获器128b被描绘为被配置为捕获在用户设备102a与enb106之间传输的imsi的计算设备。与imsi捕获器128a的主动fmsi捕获器相比，imsi捕获器128b可以被认为是被动imsi捕获器。

imsi捕获器128c被描绘为被配置为捕获在用户设备102b和住宅热点108之间传输的imsi的硬件或软件。imsi捕获器128d被描述为被配置为捕获通过回程104传输的imsi的硬件。imsi捕获器128e被描绘为被配置为捕获通过epc112传输的imsi的硬件。imsi捕获器128f被描述为被配置为捕获通过数据中心124传输的imsi的硬件。

攻击者可以利用这六个imsi捕获器中的每一个来破坏移动订户数据。为了阻止包含的移动订户数据，网络架构100可以被配置为实现图3-4的一个或更多个信号流和图5的操作过程，如本文所述。

图2示出了用于实现增强的移动订户隐私的计算设备的各个组件的框图。

如图所示，图2包含计算设备200。在一些实施方式中，计算设备200可以是诸如蜂窝电话或计算机服务器之类的用户设备(例如图1的用户设备102a或用户设备102b)。在一些实施例中，计算设备200的实例可以用于实现图1的演进节点b(enb；有时称为e-utran节点b或enodeb)106、住宅热点108、移动管理实体(mme)114、演进分组数据网关(epdg)116、服务网关(sgw)118、公共数据网络(pdn)网关(pgw)120和hss126。在一些实施例中，计算设备200的实例也可以用于实现图1的imsi捕获器128a、imsi捕获器128b、imsi捕获器128c、imsi捕获器128d、imsi捕获器128e和imsi捕获器128f。

计算设备200包含几个组件，包括处理器202、存储器204、显示器206、输入设备208和网络连接210。

处理器202是微处理器，例如被配置为执行计算机可执行指令的中央处理单元(cpu)。存储器204可以使用计算机可读介质(例如计算机存储介质)来实现，该计算机可读介质被配置为存储计算机可执行指令。计算机可读介质至少包括两种类型的计算机可读介质，即计算机存储介质和通信介质。

计算机存储介质包括用于存储诸如计算机可读指令、数据结构、程序模块或其他数据之类的信息的以任何方法或技术实现的非瞬时性和非易失性，可移除和不可移除介质。计算机存储介质包括但不限于ram、rom、eeprom、闪存或其他存储器和/或存储技术，或可用于存储信息以供计算设备访问的任何其他非传输介质。

相反，通信介质可以在诸如载波的调制数据信号或其他传输机制中体现计算机可读指令、数据结构、程序模块或其他数据。如本文所定义，计算机存储介质不包括通信介质。

显示器206是显示器，诸如液晶显示器(lcd)，其被配置为显示计算设备200的视觉输出。输入设备208是计算机硬件，其被配置为接收和处理诸如触摸输入之类的用户输入，或用户可以按下的物理按钮，例如通过鼠标或键盘。在输入设备208被配置为接收触摸输入的情况下，输入设备208和显示器206可以一起形成触摸屏。

网络连接210可以是被配置为发送和/或接收无线通信的一个或更多个无线电。网络连接210可以被配置为诸如经由lte、volte或lte-u协议发送和接收蜂窝网络通信。网络连接210还可被配置为诸如经由wifi协议或另一802.11协议来发送无线局域网通信。网络连接210也可以被配置为经由物理连接通信，诸如经由以太网电缆的传输控制协议/互联网协议(tcp/ip)协议。

计算设备200的一个或更多个实例可用于实现本公开的各个方面，诸如实现图3-4的信号流和图5的操作过程。例如，对应于图3-4的信号流中的至少一个和图5的操作过程的计算机可执行指令可以存储在存储器204中，并且由处理器202作为软件模块212执行。软件模块是一组计算机可执行文件指令作为离散的整体存储在一起。软件模块的示例包括二进制可执行文件，诸如静态库、动态链接库和可执行程序。软件模块的其他示例包括在运行时执行的解释性可执行文件，诸如servlet、applet、p-编码二进制文件和java二进制文件。软件模块包括可以在内核模式和/或用户模式下运行的计算机可执行指令。

在用户设备信任服务网络的情况下注册带有增强隐私的用户设备

图3描绘了用户设备302、服务网络304和归属地网络306之间的示例信号流300，用于用户设备302信任服务网络304的情况下用户设备302注册到的归属地网络306。在一些实施例中，用户设备302、服务网络304和归属地网络306中的每一个都可以由图2的计算设备200的一个或更多个实例来实现。可以理解，图3的信号流是示例信号流，并且存在可以实施比所描绘的信号更多或更少的信号的实施方式，或者存在以与本文所描绘的顺序不同的顺序来实施信号的实施方式。

信号流300开始于用户设备302向服务网络304发送附接请求308。该消息可以发起附接或注册过程。

在接收到附接请求308之后，服务网络304向用户设备302发送身份请求310。该身份请求可以包括服务网络的信任指示符。可以使用服务网络的私钥对该信任指示符进行加密，以便用户设备可以使用服务网络的公钥对服务网络的信任指示符进行解码，以查证服务网络的信任指示符确实来自服务网络。

在308之后，用户设备302查证服务网络的信任指示符312。查证服务网络的信任指示符可以包括用户设备用用户设备的私钥对加密的信任指示符进行解码。服务网络的信任指示符可以包括证书(如关于图5的操作506所述)，并且用户设备可以通过确定服务网络的信任指示符是由受信证书颁发机构颁发的有效证书来查证服务网络的信任指示符，并且正确指示服务网络。

在查证服务网络的信任指示符之后，用户设备302向服务网络304发送附接请求314。该附接请求314与附接请求308的不同之处在于，它既包括用户设备的imsi，也包括用户设备的信任指示符(可以理解，可能存在一些实施例，其中用户设备的信任指示符是隐式的，因此没有明确发送，这在其他地方有更详细的描述)。

在一些实施方式中，imsi和用户设备的信任指示符可以被加密。如图所示，imsi用服务网络的公钥加密，以便服务网络可以解码imsi(与图4所示的实施例相比，由于用户设备信任服务网络，因此使用了服务网络的公钥)。另外，如图所示，用用户设备的私钥对用户设备的信任指示符进行加密，以便可以(使用用户设备的公钥)查证用户设备的信任指示符源自用户设备。

在接收到附接请求314之后，服务网络304将认证请求316发送到归属地网络306。在一些实施例中，认证请求316可以包括imsi(由服务网络解码)和仍然加密的用户设备的信任指示符。

在接收到认证请求316之后，归属地网络306查证用户设备的信任指示符318。在一些实施例中，可以类似于在312中查证服务网络的信任指示符的方式来执行查证用户设备的信任指示符。

在查证用户设备的信任指示符之后，归属地网络306向服务网络304发送授权答复320。该授权答复可以向服务网络指示该用户设备被进行注册的归属地网络授权。

在接收到授权答复320之后，服务网络304和用户设备302交换由服务网络304发起的认证请求和响应322。消息的交换可以由服务网络发起，并由服务网络和用户设备使用，以确认该用户设备已被归属地网络授权。

服务网络304向归属地网络306发送更新位置请求324。该更新位置请求包括解码的imsi，并指示归属地网络更新用户设备正在连接到网络上的电信网络上的位置(在这里，在服务网络上)。

在324之后，归属地网络306向服务网络304发送更新位置答复326。该更新位置答复向服务网络确认更新位置请求已被成功处理，并且还包含伪imsi，在用户设备与电信网络的会话的持续时间内，即直到用户设备稍后再次向电信网络注册之前，可以使用该伪imsi代替imsi。使用伪imsi可以提高安全性，因为即使攻击者获得了伪imsi，当用户设备重新注册到电信网络并被发布新的伪imsi时，攻击者使用之前伪imsi跟踪用户设备的能力也会终止。

在326之后，服务网络向用户设备302发送附接接受328。该附接接受可以包括服务网络在324中接收到的伪imsi，并且可以向用户设备指示该用户设备被注册为使用电信网络，以及用户设备在使用电信网络时将使用伪imsi代替imsi。

在用户设备302接收并处理了附接接受328之后，用户设备302被注册到归属地网络306并且可以经由归属地网络306进行通信。另外，通过图3的该信号流300，保护了用户设备的imsi不受攻击者的攻击，诸如图1中所示的imsi捕获器128a-f中的一个。

在用户设备不信任服务网络的情况下，以注册具有增强隐私的用户设备

图4描绘了用户设备402、服务网络404和归属地网络406之间的示例信号流400，用于用户设备不信任服务网络404的情况下用户设备402注册到归属地网络406。在一些实施例中，用户设备402、服务网络404和归属地网络406中的每一个都可以由图2的计算设备200的一个或更多个实例来实现。可以理解，图4的信号流是示例信号流，并且可以存在实现比所描绘的信号更多或更少的信号的实施例，或存在以与此处所描绘的顺序不同的顺序来实现信号的实施方式。

信号流400开始于用户设备402向服务网络404发送附接请求408。在实施方式中，可以以与图3的附接请求308类似的方式来实现附接请求408。

在408之后，服务网络404向用户设备402发送身份请求410。在实施例中，可以以与图3的附加请求310类似的方式实现身份请求410。

在410之后，用户设备402查证服务网络的信任指示符412。在实施例中，此处可以以与图3的查证服务网络的信任指示符312类似的方式查证服务网络的信任指示符。

在412之后，用户设备402向服务网络404发送附接请求414。在一些实施例中-与图3相比-这里，imsi用归属地网络的公钥加密(图3描绘了imsi使用服务网络的公钥加密附加请求314)。图3和图4之间的差异是由于在图3中用户设备信任服务网络(因此使用服务网络的公钥对imsi进行加密，以便服务网络可以解码imsi)以及在图4中用户设备不信任服务网络(因此，使用归属地网络的公用密钥对imsi进行加密，以便归属地网络可以解码imsi，但服务网络无法解码imsi)。在一些实施例中，除了imsi加密中的这种差异之外，可以以与图3的附接请求314类似的方式来实现该附接请求414。

在414之后，服务网络404向归属地网络406发送认证请求416。在一些实施例中，可以以与图3的认证请求316类似的方式来实现该认证请求，除了imsi被加密发送外(因为服务网络缺少归属地网络的私钥，该私钥用于解码imsi)。

在416之后，归属地网络404查证用户设备的信任指示符418。在一些实施例中，可以以与图3中的查证用户设备的信任指示符318类似的方式来实现查证用户设备的信任指示符。

在418之后，归属地网络404向服务网络404发送授权答复420。在一些实施例中，可以类似于图3中的查证用户设备的信任指示符318的方式来实现查证用户设备的信任指示符。

在420之后，服务网络404和用户设备402交换由服务网络404发起的认证请求和响应422。在一些实施例中，可以以与图3中交换认证请求响应320类似的方式实现交换认证请求和响应

在422之后，服务网络404向归属地网络406发送更新位置请求424。在一些实施例中，可以以与图3的更新位置请求324类似的方式来实现该更新位置请求，除了imsi被加密发送之外(因为在416中，服务网络缺少归属地网络的私钥，该私钥用于解码imsi)。

在424之后，归属地网络406向服务网络404发送更新位置答复426。在一些实施例中，可以以与图3的更新位置答复326类似的方式来实现该更新位置答复，除了伪imsi被加密发之外。伪imsi可以用用户设备的公钥加密，使得用户设备可以用其私钥对伪imsi进行解码，但是(不受信任的)服务网络缺乏对伪imsi进行解码的能力。

在426之后，服务网络向用户设备402发送附接接受428。在一些实施例中，可以以与图3的附接接受328类似的方式来实现该附接接受，除了伪imsi被加密发送之外。由于服务网络以加密格式接收伪imsi，并且缺少解码伪imsi的配置，因此服务网络向用户设备发送加密格式的伪imsi。

在用户设备402接收并处理了附接接受428之后，用户设备402查证伪imsi430。查证伪imsi可以包括用户设备用用户设备的私钥对伪imsi进行解码，其中伪imsi也包含可查证的指示，表明它源自归属地网络(诸如，通过证书，如操作506所述)。

在查证了伪imsi430之后，用户设备被注册到归属地网络406，并且可以经由归属地网络406进行通信。另外，通过图4的该信号流400，保护用户设备的imsi免受攻击者的攻击，例如图1中所示的imsi捕获器128a-f中的一个。

服务网络与归属地网络和用户设备进行通信以注册用户设备

图5描绘了用于使用增强的移动订户隐私，服务网络与用户设备和归属地网络进行通信的示例操作过程的流程图。可以理解的是，图5的操作过程是示例操作过程，并且可以存在实现比所描绘的更多或更少的操作的实施例，或者存在以与这里所描绘的顺序不同的顺序来实现这些操作的实施例。

在一些实施例中，图5的操作过程可以由经由计算设备200的一个或更多个实例(例如通过存储在存储器204中并由处理器202执行的计算机可执行指令)实现的服务网络(诸如图3的服务网络304或图4的服务网络404)来实现。可以理解的是，图5的描述涉及描述用户设备信任服务网络(例如在图3中)和用户设备不信任服务网络(例如在图4中)的两个实施例。

在一些实施例中，可以实现图5的操作过程(以及本公开的其他方面)以实现一种用于保护与包括服务网络和归属地网络的电信网络中的用户设备相关联的订户信息的方法。在一些实施例中，图5的操作过程(以及本公开的其他方面)可以在包括至少一个处理器和可通信地耦合到至少一个处理器的至少一个存储器的系统上实现，该至少一个存储器承载处理器可执行指令，该指令在由至少一个处理器执行时使系统至少执行某些功能。在一些实施例中，图5的操作过程(以及本公开的其他方面)可以在具有计算机可执行指令的非临时性计算机可读存储介质上实现，所述计算机可执行指令在计算设备上执行时引起计算设备至少执行某些功能。

图5的操作过程始于操作504。操作504描绘了从用户设备接收注册请求。用户设备(例如，图3的用户设备302)可以通过向服务网络304发送附接请求308来发起注册请求。在其他实施例中，操作504可以包括图4的用户设备402向服务网络404发送附接请求408。

在一些实施例中，操作504包括：由服务网络接收由用户设备发起的注册用户设备到电信网络的请求。在操作504之后，图5的操作过程移至操作506。

操作506描绘了向用户设备发送服务网络的信任指示符。在一些实施例中，该信任指示符可以作为身份请求消息的一部分发送。例如，图3的服务网络304可以向用户设备302发送身份请求310，或者图4的服务网络404可以向用户设备402发送身份请求410。

在一些实施例中，操作506包括由服务网络向用户设备发送服务网络的信任指示符，或由用户设备发送服务网络的信任指示符。

在一些实施例中，服务网络的信任指示符包括标识服务网络的信息。例如，服务网络的信任指示符可以是证书(有时称为公钥证书、身份证书或数字证书)。该证书可以标识服务网络，并由颁发者(例如证书颁发机构或归属地网络)进行数字签名。

在一些实施例中，操作506包括向用户设备发送服务网络的信任指示符，该信任指示符已经用用户设备的公钥加密，该用户设备被配置为利用用户设备的私钥对服务网络的信任指示符进行解码。在操作506之后，图5的操作过程移至操作508。

操作508描绘了确定用户设备是否查证了服务网络的信任指示符。这可以包括用户设备查证服务网络的信任指示符(诸如在图3的312中或在图4的412中)。然后，用户设备可以向服务网络发送消息，该消息允许服务网络确定用户设备已经查证了服务网络的信任指示符。来自用户设备的该消息可以是图3的314或图4的414中的附接请求消息。

在一些实施例中，用户设备可以通过停止与服务网络的未来通信来响应确定其不能查证服务网络的信任指示符。在这些实施例中，服务网络可以在操作508中确定用户设备在存在超时的情况下(服务网络在在向用户设备发送身份请求之后的预定时间段内没有从用户设备接收通信)没有查证服务网络的信任指示符。

在一些实施例中，操作508包括：响应于用户设备已经查证了服务网络的信任指示符，由服务网络并且从用户设备接收订户信息的指示。在一些实施例中，该订户信息可以被称为与用户设备相关联的订户信息。在一些实施例中，该订户信息可以包括国际移动订户身份(imsi)。其他信息也可以用作订户信息，诸如国际移动设备标识(imei)或移动站国际订户目录号(msidsn)。

在操作508中确定用户设备查证了服务网络的信任指示符的情况下，则图5的操作过程移至操作510。相反，在操作508中确定用户设备未查证服务网络的信任指示符的情况下，则图5的操作过程移至操作518。

从操作508到达操作510，其中在操作508中，确定用户设备查证了服务网络的信任指示符。操作510描绘了向归属地网络发送用户设备的订户信息。在一些实施例中，这可以包括图3中的服务网络304向归属地网络306发送认证请求316，或者图4中的服务网络404向归属地网络406发送认证请求416。

在一些实施例中，操作510包括在将订户信息的指示发送到归属地网络之前解码订户信息。这可能在用户设备信任服务网络的实施例中发生(例如在图3中)，因此向服务网络发送已用服务网络的公钥加密的用户指示(在指示用户设备已验证服务网络的信任指示符的附加请求中)。由于服务网络具有相应的私钥，因此它能够解码订户信息。

在一些实施例中，操作510包括以加密形式(例如，图4中)将订户信息的指示发送到归属地网络，该归属地网络被配置为对订户信息进行解码。这可能发生在用户设备不信任服务网络的实施例中，因此向服务网络发送用归属地网络的公钥加密的订户指示。由于服务网络缺少相应的私钥，因此它无法解码订户信息(尽管归属地网络具有相应的密钥，并且可以解码订户信息)。在操作510之后，图5的操作过程移至操作512。

操作512描绘了确定归属地网络是否查证了用户设备的信任指示符。在一些实施例中，当服务设备网络接收到用户设备的授权答复时，诸如在图3的320或图4的420中，服务网络可以确定该归属地网络已经查证了该用户设备的信任指示符。在一些实施例中，归属地网络无法查证用户设备的信任指示符的情况下归属地网络不会响应服务网络(可以在服务网络向归属地网络发送身份验证请求后的预定时间内未收到响应时确定)，或者可以向服务网络发送消息指示它无法查证用户设备的信任指示符。

在一些实施例中，用户设备的信任指示符可以是显式的，即，它被插入到用户设备经由服务网络向归属地网络发送的通信中(诸如在图3的附接请求314和认证请求316中，或图4的附加请求414和身份验证请求416中)。即，在一些实施例中，用户设备的信任指示符是通信的一部分，其由服务网络从用户设备接收，并且从服务网络发送到归属地网络。

在用户设备的信任指示符是显式的情况下，用户设备可以用归属地网络的公钥加密其信任指示符。服务网络可以以这种加密形式接收用户设备的信任指示符，并以该加密形式将其发送到归属地网络。换句话说，在一些实施例中，操作512包括将用户设备的信任指示符的指示发送给归属地网络，该指示符已经用归属地网络的公钥加密，该归属地网络被配置为用归属地网络私钥解码用户设备的信任指示符。

在一些实施例中，以加密形式接收订户信息。例如，用户设备可能已经用归属地网络的公钥加密了其信任指示符，使得归属地网络可以在接收到其信任指示符后用其私钥对该信任指示符进行解码。在一些实施例中，用户设备的信任指示符包括标识用户设备的信息。例如，用户设备的信任指示符可以包括证书，其类似于以上针对服务网络的信任指示符描述的证书。

与显式信任指示符相反，在一些实施例中，用户设备的信任指示符可以是隐式的-也就是说，关于用户设备的信息没有作为用于传达它是一个信任指示符的消息的单独部分而被发送。例如，归属地网络可以维护先前在归属地网络上曾表现出恶意行为的用户设备的数据库，且使用该数据库中用户设备的存在作为隐式信任指示符，该指示符指示该用户设备不被信任。

对于另一个示例，归属地网络可以维护用户设备的数据库，该数据库指示用户设备的软件是否已经被根模式化(rooted)(或者可以向用户设备查询该信息)。在该示例中，该设备是否已被根模式化用作隐式信任指示符，其中已被根模式化的用户设备不受信任，而未被根模式化的用户设备受信任。在一些实施例中，隐式信任指示符的这种使用可以被表达为用户设备的信任指示符包括信息，在由电信网络在服务网络接收源自用户设备将用户设备注册到电信网络的请求之前，该与用户设备有关的信息存储在数据库中。

在一些实施例中，在用户设备与归属地网络的会话的持续时间内，归属地网络可以提供伪imsi以代替imsi(或伪imei代替imei等)。然后，可以在用户设备，归属地网络和服务网络之间传送伪imsi，使得如果攻击者获得了伪imsi，攻击者将能够使用此信息来跟踪用户设备的有限量的时间，因为用户设备将在下一次注册到归属地网络时获得新的伪imsi。也就是说，在一些实施例中，操作512包括：由服务网络接收第二订户信息，第二订户信息将被用于代替订户信息来标识用户设备；服务网络向用户设备发送第二订户信息，服务网络通过第二订户信息标识用户设备。在一些实施例中，在电信网络上用户设备的通信会话的持续时间内服务网络通过第二订户信息来标识用户设备。

换句话说，在一些实施例中，操作512包括从归属地网络接收不同于订户信息的用户设备的标识符；并且从归属地网络中将不同于订户信息的用户设备的标识发送给用户设备，用户设备在与归属地网络进行通信时，使用不同于订户信息的来自所述归属地网络的用户设备的标识符。

返回到当用户设备再次向归属地网络注册时发布的新的伪imsi，这可以被表达为，向用户设备从归属地网络发送不同于订户信息的用户设备第一标识符，并且将在第一会话期间使用；响应于第一会话终止并开始第二会话，从归属地网络向用户设备发送该用户设备的第二标识符，该第二标识符与订户信息不同并且将在第二会话期间使用。

在一些实施例中，该伪imsi可以由归属地网络使用用户设备的公钥来加密，使得用户设备可以利用其私钥对伪imsi进行解码。也就是说，在一些实施例中，以加密形式接收来自归属地网络的不同于订户信息的用户设备的标识符，并且以加密形式将其发送给用户设备，该用户设备被配置为解密来自归属地网络用户设备的与订户信息不同的标识符。

在一些实施例中，操作512包括：在从归属地网络接收不同于订户信息的用户设备的标识符之前，以加密形式向归属地网络发送包括订户信息的更新位置请求。在一些实施例中，在用户设备不信任服务网络的情况下，由于归属地网络被配置为对evisi进行解码，但是服务网络未被如此配置，服务设备可以发送加密的imsi作为更新位置请求的一部分。

在操作512中确定归属地网络已查证用户设备的信任指示符的情况下，则图5的操作过程移至操作514。相反，在操作512中确定归属地网络未查证用户设备的信任指示符的情况下，则图5的操作过程移至操作518。

从操作512到达操作514，其中在操作512中，确定归属地网络已查证用户设备的信任指示符。操作514描绘了将用户设备注册到电信网络。一旦用户设备注册到电信网络，用户设备就可以使用电信网络，例如通过拨打电话或发送数据。

在一些实施例中，操作514包括：响应于归属地网络查证用户设备的信任指示符，由服务网络允许用户设备经由电信网络(可以包括归属地网络)进行通信。在操作514之后，图5的操作过程结束。

从操作508到达操作518，其中在操作508中，确定用户设备未查证服务网络的信任指示符。还从操作512到达操作518，其中在操作512中，确定归属地网络未查证用户设备的信任指示符。操作518描绘了引发错误。在一些实施例中，引发错误可以包括向用户设备和/或归属地网络发送存在错误的错误消息，该消息指示注册过程将终止。在其他实施例中，引发错误可以包括服务网络在存储在服务网络的计算机存储器中的日志中记录失败的注册尝试的指示。

在操作518之后，图5的操作过程结束。

结论

尽管已经用特定于结构特征和/或方法动作的语言描述了主题，但是应该理解，所附权利要求书中定义的主题不必限于上述特定特征或动作。相反，上述特定特征和动作被公开为实现权利要求的示例形式。