基于广域网上实现移动用户位置隐藏的运作方法与装置与流程

1.本发明涉及一种通信安全技术领域，特别指一种基于广域网上实现移动用户位置隐藏的运作方法与装置。


背景技术：

2.近年来，随着各种黑科技的不断发展,移动用户的信息安全得到了越来越多的关注,现有的成熟技术都主要集中在各个层面的用户认证,数据(电路域+分组域)加密上,然而在位置隐藏(用户身份、用户位置泄漏等)上,却没有很好的解决方案。目前移动用户位置信息和身份泄漏主要渠道有：
3.1.通过运营商的无线基站来定位移动用户的真实位置信息
4.2.通过运营商的核心网直接获取用户身份信息
5.3.不法分子通过伪基站也能盗取用户身份信息
6.从如上描述可知，现有通信系统很难回避如上的泄漏渠道。
7.众所周知,ipsec是一系列基于ip网络(包括intranet、extranet和internet)由互联网工程任务组(ietf，the internet engineering task force)正式定制的开放性ip安全标准，为ip网络提供完整安全性的协议和服务的集合，这些服务和协议结合起来提供不同类型的服务，因为ipsec工作在ip层，所以它能为上层协议和应用提供透明的安全服务。ipsec为用户提供安全的隧道服务，虽然是在公网上传输，但可以得到加密和认证保护。
8.有鉴于此，本发明设计人有鉴于现有技术中所产生的缺失，经过悉心试验与研究，提出一种基于广域网上实现移动用户位置隐藏的运作方法与装置，以解决现有技术中存在的上述技术问题，并一本锲而不舍的精神，终构思出本发明以克服上述问题。


技术实现要素：

9.本发明的目的在于提供一种基于广域网上实现移动用户位置隐藏的运作方法与装置，通过客户端设备中的第一sim卡(流量卡)与专用网关连接,以在专用网关建立专属ip安全隧道；通过第二sim卡(用户卡)经由第一sim卡建立的专属ip隧道完成第二sim卡在其所属核心网的接入和业务执行,可以解决在运营商层面(基站+核心网)的用户信息泄漏以及伪基站的身份盗听。
10.为达成本发明的目的，本发明提供的一技术方案如下：
11.一种基于广域网上实现移动用户位置隐藏的运作方法,包括以下步骤：在广域网上部署一专用网关连接移动用户与移动用户所属核心网；
12.使一用户端设备执行网络连接；
13.通过用户端设备中的第一sim卡与专用网关连接,以在专用网关建立一专属ip安全隧道；
14.通过用户端设备中的第二sim卡经由专属ip安全隧道,以完成第二sim卡在其所属核心网的接入和业务执行。
15.在一种可能的设计中,用户端设备通过第一sim卡与部署在广域网上的专用网关连结并建立到客户端设备的第一网络隧道,与所述专用网关通过预配置密钥或者数字证书形式进行用户身分认证,并于身分认证确定后建立连结专属ip安全隧道的第二网络隧道,以完成第二sim卡在其所属核心网的接入和业务执行。
16.在一种可能的设计中,根据与用户端设备关联的用户安全证书建立第一网络隧道和第二网络隧道,通过第一网络隧道和第二网络隧道允许在用户端设备和专用网关的网络之间安全地交换数据。
17.在一种可能的设计中,第一网络隧道和第二网络隧道是ipsec隧道。
18.在一种可能的设计中,第一网络隧道和第二网络隧道是采用可扩展认证协议eap、非对称加密算法rsa或者预配置密钥psk建立。
19.在一种可能的设计中,通过认证服务器认证用户端设备具有交换公钥-私钥对应。
20.在一种可能的设计中,通过认证服务器认证以及数据加密是和用户端设备所关联的数据分组。
21.为达成本发明的一目的，本发明提供的一技术方案如下：
22.一种基于广域网上实现移动用户位置隐藏的装置，其特征在于，在广域网上部署一专用网关连接移动用户与移动用户所属核心网；基于广域网上实现移动用户位置隐藏的装置包括处理器单元、第一sim卡、第二sim卡、通信模块以及密钥处理模块,处理器单元具有用于执行基于广域网上实现移动用户位置隐藏的运作方法的指令；其中
23.第一sim卡用于提供在专用网关建立一专属ip安全隧道；
24.第二sim卡用于提供基于ip安全隧道完成到所属核心网的接入和业务执行；
25.通信模块用于提供处理器单元、第一sim卡和第二sim卡的相关信令和业务数据发送和接收；
26.密钥处理模块用于提供所述专属ip安全隧道建立的相关密钥数据存储、加密和解密演算处理。
27.在一种可能的设计中,处理器单元包含应用程序处理器以及通信处理器,应用程序处理器用于完成用户业务需求执行,通信处理器连接通信模块以处理自通信模块接收的相关数据,以完成无线网络的接入和无线信号收发。
28.在一种可能的设计中,密钥处理模块为含有微处理器、加解密算法器以及内部存储器的加密t卡,以对所述专属ip安全隧道建立的相关密钥数据存储、加密和解密演算处理。
附图说明
29.图1是本发明的运作方法的流程图。
30.图2是本发明的通过专属ip安全隧道传输的数据分组的方块示意图。
31.图3是基于本发明图1的运作架构示意图。
32.图4是执行本发明图2的运作方法的用户端设备配置示意图。
33.附图标记说明：100-ue,200-wag,210,213-数据分组,211,214-ip标头,212,218-数据字段,215-esp标头,216-外部ip标头,217-原始ip标头219-内部ip标头,300-用户端设备,310-处理器单元,320-第一sim卡，330-第二sim卡，340-通信模块，350-存储模块，s10～
s40-基于无线广域网上安全链路的运作方法流程。
具体实施方式
34.有关本发明的详细说明及技术内容，配合图式说明如下，然而所附图式仅提供参考与说明用，并非用来对本发明加以限制。以下结合附图对本发明的各种实施例进行详细描述，但本发明并不仅仅限于这些实施例。本发明涵盖任何在本发明的精髓和范围上做的替代、修改、等效方法以及方案。为了使公众对本发明有彻底的了解，在以下本发明优选实施例中详细说明了具体的细节，而对本领域技术人员来说没有这些细节的描述也可以完全理解本发明。
35.除非另外定义，本公开使用的技术术语或者科学术语应当为本发明所属领域内具有一般技能的人士所理解的通常意义。本公开中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的结构部分。本公开中使用的“包括”、“包含”、“具备”等类似的词语意指出现词前面的组件或者对象涵盖出现在词后面列举的组件或者对象及其等同，而不排除其他组件或者对象。“上”、“下”等用语仅用于表示相对位置关系，当被描述对象的绝对位置改变后，则相对位置关系也可能相应地改变。
36.本发明提出一种基于无线广域网上用户端设备及其运作方法方案，主要考虑如下2个方面：屏蔽真实的无线基站，防止伪基站的信息盗取或者运营商基站对终端的位置定位；屏蔽第一sim卡所属运营商的核心网(由于第一sim卡是与用户身份无绑定关系的)，防止该运营商核心网对用户的身份鉴定,可避免通过基站获取用户的位置信息。基于上述考虑,本发明之基于广域网上安全链路的运作方法,在说明本发明的运作方法前,首先说明,本发明ipsec的esp加密安全机制，esp加密机制通过对数据进行编码来保证数据的机密性，以防数据在传输过程中被窃听。esp协议定义了加密和可选认证的应用方法，提供可靠性保证。ipsec的工作模式主要采用esp头(ipsec esp封装安全负荷头)方式进行安全封装。
37.请参考图1并配合图2-3所示,本发明的运作方法包含以下步骤:
38.s10:在广域网上部署一专用网关连接移动用户与移动用户所属核心网；
39.s20:使一用户端设备执行网络连接；
40.s30:通过用户端设备中的一第一sim卡与专用网关连接,以在专用网关建立一专属ip隧道；
41.s40:通过用户端设备中的第二sim卡经由专属ip安全隧道完成第二sim卡在其所属核心网的接入和业务执行；
42.根据上述运作方法可以通过能够执行程序化指令的计算机系统或其它硬件的组件来执行的动作或功能的序列来描述本发明的许多方面。将意识到，可通过专门化电路、通过由一个或多个处理器执行的程序指令、或通过两者的组合来执行各种动作。此外，可另外考虑在包含将使得处理器进行本文中描述的技术的计算机指令的合适集合的任何形式的计算机可读载体或载波内完全实施本发明。
43.在此说明,在公共广域网上建立受信网络之间的安全网络隧道,受信网络包括多个通过网络相互连接的用户端设备,网络通常是诸如以太网网络之类的局域网(lan)并分别通过专用网关和与公共广域网相连。网络隧道建立在基础广域网之上。隧道上传输的数据对于广域网而言是不可见的并且经过封装与广域网的业务隔离。隧道内的业务对于广域
网而言似乎只是要经过的另一业务流。此外，两个网络之间承载有效负载的数据分组与附加分组标识和安全信息一起封装在广域网协议的分组内。
44.图2示出了在隧道之类的基于ipsec的vpn通道上发送的数据分组的一个实例。数据分组210包括ip标头211和数据字段212。ip标头211一般包含数据类型、分组号、传输的分组总数以及发送方和接收方的ip地址。为了使ip标头211和数据字段212的内容对发送方和接收方而言是保密的，当在广域网上发送时，这些字段包括在更大的数据分组213内。数据分组213包括新的ip标头214和封装安全有效负载(esp)标头215。新的ip标头214和esp标头215被称为外部ip标头(216)。原始ip标头217和数据字段218被称为数据分组213的内部ip标头(219)。为了额外的安全保护，内部ip标头219和原始数据字段212一般在传输之前被发送节点进行加密，然后被接收节点进行解密。
45.图3示出了用于允许用户端设备ue使用专用网关通过3gpp网络运营商无线网络接入专用网络的网络配置的一个实例。实际用户端设备即可以通过3gpp标准的蜂窝网络(例如:2/3/4g移动通信网路)也可以通过诸如无线局域网(例如:ieee 802.11a/b/g/n)来接入到专用网关进行第二sim卡与其所属核心网的通信。为了防止未经授权的用户访问通过公共或运营商网络接入到专用网关进行用户信令和业务传输，专用网关会对用户进行认证并采用安全隧道在最终用户设备与其所属核心网之间交换数据。
46.在本实施例中,用户端设备ue通过第一sim卡接入到部署在广域网的专用网关连结以建立到客户端设备ue的第一网络隧道,并与专用网关通过预配置密钥psk(pre-shared-key)或者数字证书pki(public key infrastructure)形式进行用户身分认证,并于身分认证确定后建立连结专属ip安全隧道的第二网络隧道,以完成第二sim卡在其所属核心网的接入和业务执行。ipsec可以通过预配置密钥psk和数字证书pki两种认证方式完成ipsec安全隧道的建立。使用预配置密钥进行身份验证建立ipsec链路的两个实体都必须维护一对预配置密钥，此限制进一步降低了部署安全性，增加了发生错误的机率。大规模组网情形下，预配置密钥psk存在配置复杂并且维护困难等缺点，所以一般站点较多时，从维护运营以及安全性的角度来说，可采用数字证书pki认证方式。数字证书(ca)对网络用户在网络交流中的信息和数据等以加密或解密的形式,保证了信息和数据的完整性和安全性。其中数字证书(ca)的基本架构是公开密钥pki，即利用一对密钥实施加密和解密,密钥包括私钥和公钥，私钥主要用于签名和解密，由用户自定义，只有用户自己知道；公钥用于签名验证和加密，可被多个用户共享。
47.首先说明数字证书pki认证运作的整体架构配置,主要包含ca服务器、专用网关、用户端设备ue；在上述各网元中，与建立ipsec安全隧道相关的功能如下：
48.专用网关：与用户端设备建立ipsec安全隧道，保证用户端设备与核心网之间传输数据在前端的安全性。
49.ca服务器：响应用户端设备证书申请、证书更新、密钥更新请求，向用户端设备、专用网关颁发证书、撤销证书、提供证书状态查询。
50.用户端设备ue：从ca服务器申请到数字证书(用户端设备ue通过第一sim卡建立的分组业务接入到ca服务器并请求获取数字证书，分组业务接入ca服务器的方式还可以有其他方法，比如利用wifi接入也可以)，然后与专用网关建立安全隧道：
51.安全隧道建立第一阶段：与专用网关协商创建一个身份认证和安全保护的通信信
道isakmp sa,即网络密钥交换协议的安全联盟(ike sa)的第一网络隧道接入到部署在广域网的专用网关；第一阶段主模式的协商过程中包含sa交换、密钥交换以及身份验证交换。
52.安全隧道建立第二阶段：用户端设备ue在第一阶段建立的第一网络隧道(isakmp sa)为ipsec协商安全服务，即为ipsec协商具体的sa，藉由已建立的第一网络隧道(isakmp sa)建立用于最终的ip数据安全传输的第二网络隧道(ipsec sa)。具体地，协商sa通过快速交换模式完成。由于快速交换模式使用第一阶段生成的密钥对isakmp sa消息的完整性和身份进行验证，使用密钥对isakmp消息进行加密，故保证了交换的安全性。在快速交换模式中，通信双方协商ipsec sa的各项参数，并为数据传输衍生出密钥；其中快速交换模式可通过3个消息完成双方ipsec sa的建立：
53.消息1:发送本端的安全参数和身份认证信息；
54.消息2:响应消息1，发送响应方的安全参数和身份认证信息并生成新的密钥；
55.消息3:响应消息2，确认与响应方可以通信，协商结束。
56.也就是说，阶段2的目的就是建立用来传输数据的ipsec sa,分两个阶段来完成这些服务有助于提高密钥交换的速度,并且在专用网关建立起的专属ip安全隧道。ipsec身份认证(pki中的ca证书认证方式)维护简单。随着分部数量越来越多，只需要向ca服务器申请证书即可,安全风险低,不同的分部使用不同的证书，对应的密钥也不同,以此解决在运营商层面(基站+核心网)的用户信息泄漏以及伪基站的身份盗听。
57.在本发明的示例性实施例中，无线网络的用户端设备ue认证可基于可扩展认证协议(eap)来实现,可扩展认证协议(eap)是经常用于无线网络和点对点连接的认证框架。尽管eap框架不限于无线网络并可用于有线局域网认证，但是它在无线环境中更加常用；亦可以是基于非对称加密算法rsa来实现。
58.具体而言,根据上述本发明的运作方法,步骤s30～s40中,主要通过用户端设备ue中的第一sim卡(用户卡)和3gpp网络运营商无线网络之间或者通过用户终端ue设备和公共无线网络之间建立与专用网关网络的通信。然后通过部属的专用网络的认证服务器对用户端设备ue的身份进行认证。当用户端设备ue经过与专用网络关联的认证服务器的认证，在用户端设备ue和专用网络的网关之间建立专属ip安全隧道,从而允许用户端设备ue安全地接入专用网络。用户端设备ue可以是指,例如:可以是行动通讯设备、平板、笔电等，换句话说，它可以是除了诸如lte或5g的可能的其它蜂窝接口之外还支持wifi接口(例如，ieee 802.11接口)的任何用户装置或消费型电子装置。上文提到的用户端设备ue利用wifi接口连接以便接入互联网和/或用户的运营商分组核心网络和服务。
59.基于本发明基于广域网上实现移动用户位置隐藏的运作方法,在无线接入网层面，只能看到流量卡，不能看到用户卡，而流量卡由于采用与移动用户无绑定关系的数据卡，可以很好的阻止了基于无线基站的移动用户位置定位，实现移动终端用户的位置隐藏，同时也很好的防止了伪基站的身份窃取。在流量卡上仅执行用户卡到专用网关的基于安全ip隧道的通信，而流量卡自身业务全部禁止，而用户卡的所有信息是基于安全ip隧道的ip通信，这样就很好的防止了伪基站的身份窃取。由于与用户身份绑定的用户卡，在运营商网络上实际位置不可见(nas信令和payload都基于终端与专用网关之间的安全ip隧道进行加密传输，而专用网关无法给用户卡所属核心网反馈用户卡的真实位置信息)，也很好的防止了用户身份的泄漏，实现了真实身份隐藏的功能。
60.依据上述运作方法,请参考图1并配合图4所示。本发明再提出一种基于广域网上实现移动用户位置隐藏的装置。装置300包括至少一处理器单元310,处理器单元310用于执行上述实施例的运作方法；两个独立的sim卡主要包含上述的第一sim卡和第二sim卡(320,330)，第一sim卡320用以与专用网关连接以在专用网关建立专属ip安全隧道,第二sim卡330用于通过专属ip安全隧道完成第二sim卡在其所属核心网的接入和业务执行；处理器单元310包含应用程序处理器(ap)以及通信处理器(cp)并在单一操作系统下运作,而应用程序处理器(ap)主要功能在于对应操作系统下的一ap软件套件执行运作处理；通信模块340(例如:基带电路和射频电路等相关电器组件)以提供处理器单元310、第一sim卡320和第二sim卡330的相关信令和业务数据发送和接收；其中通信处理器连接通信模块340以处理自通信模块340接收的相关数据,以完成无线网络的接入和无线信号收发。
61.补充说明,操作系统负责用户端设备300的数据业务通信，具体的数据业务通信可以包括：移动互联网访问、sns(social network service，社会性网络服务)应用访问、p2p数据通信等，这个操作系统用户可以设置其禁止访问用户的通信录及短信等个人信息，以防止用户个人信息泄露或被互联网病毒或恶意应用程序攻击；另外,操作系统亦包含负责传统的语音通话和短信通信，可以访问用户的通信录及短信。
62.承上,第一sim卡320用于提供专属ip隧道建立的一命令信息；第二sim卡330用于提供所属核心网授权的用户身分；通信模块340用于根据第一sim卡320和第二sim卡330的运作以通过操作系统执行数据业务和信令。
63.根据本发明一实施例,用户端设备300还包括密钥处理模块350,例如含有微处理器、加解密算法器以及内部存储器的加密t卡,主要用于对专属ip安全隧道建立的流程管理以及相关密钥数据存储、加密和解密演算处理。进一步说明,ap软件套件和t卡的功能划分可以根据实际情况，进行划分和调整(比如协议(nas)实现，安全隧道实现都放在t卡中，ap软件套件仅做与商用终端的适配，或者仅安全隧道实现放在t卡中。
64.根据本发明一实施例,通信模块340支持2g/3g/4g、wi-fi、蓝牙、nfc近场通信。
65.根据本发明一实施例,处理器单元ue运行于单一操作系统,操作系统采用ios、android或者windows的操作系统。
66.本发明的用户端设备可以采取体现在一个或多个计算机可读介质(其中包含计算机可读程序代码)中的计算机程序产品的形式。可以使用一个或多个计算机可读介质的任意组合。本发明的用户端设备主要是指手机终端设备。
67.用于执行本发明的各方面的操作的计算机程序代码可以以一种或多种程序设计语言的任何组合来编写，程序设计语言包括面向对象的程序设计语言，如java、smalltalk、c++之类，还包括常规的过程序程序设计语言，如”c”程序设计语言或类似的程序设计语言。程序代码可以完全地在用户的计算上执行、部分地在用户的计算机上执行、作为一个独立的软件包执行、部分在用户的计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在后一种情形中，远程计算机可以通过任何种类的网络-包括局域网(lan)或广域网(wan)-连接到用户的手机终端设备，或者，可以(例如利用广域网服务提供商来通过广域网)连接到外部手机终端设备。
68.这些计算机程序指令也可以被存储在可引导计算机或其他可编程数据处理装置或其他设备以特定方式工作的计算机可读介质中，以便存储在计算机可读介质中的指令产
生一件包括实现在一个或多个流程图和/或方块图方块中指定的功能/操作的指令的制品。计算机程序指令还可被加载到计算机、其他可编程数据处理装置或其他设备上，以导致在手机终端设备、其他可编程装置或其他设备上执行一系列操作步骤以产生手机终端设备实现的过程，从而在手机终端设备或其他可编程装置上执行的指令提供用于实现在一个或多个流程图和/或方块图方块中指定的功能/操作的过程。
69.本发明的基于广域网上安全链路的用户端设备及其运作方法,不同于现行常规运行方式,现行方式是将各层的新增功能分布到各自对应的处理核中实现，比如nas协议功能放在通信处理器中实现，安全ip隧道建立放在应用处理器中实现，安全加密功能软实现或者独立硬件处理器实现，这样会导致每款新的用户端设备导入该功能都需要修改各个处理器的实现，而且针对通信处理器，基本没有办法按照独立模块加载的方式导入，用户端设备的开发调测周期将非常长。本发明的用户端设备的配置是将所有功能都集中在一个ap软件套件及一张加密t卡中实现，终端导入该功能时，仅需按照ap处理器运行之用的软件，再针对软件做少量的接口适配即可。据此，把身份隐藏功能集中在这新增的两部分组件中完成。两个组件(ap处理器运行之用的软件和t卡)的功能划分可以根据实际情况，进行划分和调整(比如协议(nas)实现，安全隧道实现都放在t卡中，ap处理器运行之用的软件仅做与商用终端的适配，或者仅安全隧道实现放在t卡中，其他终端适配和协议实现放在ap处理器运行之用的软件中实现)。
70.综所上述，本发明所提出的基于广域网上安全链路的用户端设备及其运作方法,具有以下特点:
71.1.用于建立安全ip隧道到专用网关的第一sim卡由于采用与移动用户无绑定关系的数据卡，可以很好的阻止了基于无线基站的移动用户位置定位，实现移动终端用户的位置隐藏，同时也很好的防止了伪基站的身份窃取。
72.2.在第一sim卡上仅执行第二sim卡到专用网关的基于安全ip隧道的通信，而第一sim卡自身业务全部禁止，而第二sim卡的所有信息是基于安全ip隧道的ip通信，这样就很好的防止了伪基站的身份窃取。
73.3.由于与用户身份绑定的第二sim卡，在运营商网络上实际位置不可见(nas信令和pay load都基于终端与专用网关之间的安全ip隧道进行加密传输，而专用网关无法给用户卡所属核心网反馈用户卡的真实位置信息)，也很好的防止了用户身份的泄漏，实现了真实身份隐藏的功能。
74.4.将位置隐藏功能集中在ap软件套件和加密t卡(或其他具备微处理器的卡)中，使得各终端厂商可以快速导入位置隐藏功能。
75.上述说明示出并描述了本发明的若干优选实施方式，但如前，应当理解本发明并非局限于本文所披露的形式，不应看作是对其他实施方式的排除，而可用于各种其他组合、修改和环境，并能够在本文发明构想范围内，通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围，则都应在本发明所附权利要求的保护范围内。