一种标识符的注册方法和实现注册方法的节点与流程

本发明大体上涉及通信网络领域，尤其涉及使用用户设备的一次性标识符的注册方法和实现注册方法的节点。

背景技术：

1、第五代(fifth generation，5g)移动通信网络将连接世界上大部分人口。5g网络引入了各种新奇的东西，包括新的架构、技术和网络服务。5g网络的引入会给安全和隐私保护带来新的挑战，因为这些网络将携带包含用户(也称为签约用户)身份标识、位置和隐私内容等个人信息的数据和信令。尤其是连接用户数量之大引起了人们对隐私泄露的严重担忧。此外，由于在线身份标识盗窃近来有上升趋势，用户通常不愿意向其他各方或服务提供商揭露他们的永久身份标识或他们的用户设备(user equipment，ue)的永久身份标识，而宁愿保持匿名。

2、5g网络(或简称“5g”)提出在5g无线接入网上加密用户标识符，以隐藏用户和其设备的身份标识。然而，5g核心网(core network，cn)中的用户隐私仍是个问题，因为所有5gcn组件都知道永久用户标识符。

3、第三代合作伙伴项目(3rd generation partnership project，3gpp)发布的5g规范使用了许多对用户和ue本身进行寻址的标识符。这种标识符的示例包括签约永久标识符(subscription permanent identifier，supi)、永久设备标识符(permanent equipmentidentifier，pei)和通用公共签约标识符(generic public subscription identifier，gpsi)。这种标识符是永久性的，披露这种标识符可能会对用户的隐私造成风险。此外，可能会有来自核心网(core network，cn)本身的威胁和攻击。与5g采用的基于服务的架构相关的一些安全挑战包括：

4、a.攻击者非法访问5g cn中的网络功能，安装恶意软件；

5、b.攻击者非法控制网络功能；

6、c.攻击者非法访问网络功能接口上的敏感用户数据。

7、这些安全挑战意味着，某些cn组件可能并不可信，也不应访问包括永久用户标识符在内的敏感和隐私用户数据。因此，与早期网络技术相比，5g需要更高的安全级别。

8、3gpp 5g规范定义了5g全球唯一临时标识符(5g globally unique temporaryidentifier，5g-guti)、5g临时移动签约用户身份标识(5g temporary mobile subscriberidentity，5g-tmsi)和5g s临时移动签约用户身份标识(5g s-temporary mobilesubscriber identity，5g-s-tmsi)，这些都旨在为5g用户提供一定程度的匿名性。然而，这些改进未能阻止各种cn组件访问永久用户身份标识。

9、为了提高认证性能并保护用户隐私，提出了各种安全方案。例如，为了防止用户感兴趣的服务信息泄露，提出一种高效、安全的面向服务的5g物联网(internet of things，iot)服务认证框架。然而，用于内容隐私保护的加密方法很复杂。为了抵御国际移动用户身份标识(international mobile user identity，imsi)捕捉器，提出一种基于假名的方案，其中，用户设备用临时标识符而非imsi来标识自己。但是，这种方案不保护supi和其他用户永久标识符。因为这种方案只考虑空中接口上例如使用假的长期演进(long termevolution，lte)基站的活跃攻击者，而未考虑5g核心组件受损时可能有来自5g核心网本身的攻击。其他人则提出一种安全、高效、轻量级的认证和密钥协定(authentication andkey agreement，aka)协议，该协议不需要5g网络的公钥基础设施(public keyinfrastructure，pki)，这种方法旨在最大限度地减少拒绝服务攻击，防御重放攻击，并减少认证时间延迟。其他技术旨在保护用户位置信息，防止用户活动泄露，并提高对使用另一种5g认证协议的主动攻击和恶意服务网络的抵抗。另一种不需要全局pki的5g附着过程的方案提出防止中间人和可链接性攻击，并保护用户隐私。但是，这些方案只保护用户的imsi和supi。还提出一种基于区块链技术的5g超密集网络安全认证方案。然而，这种方案具有不同的目标，即，当用户在不同接入点之间移动时，最大限度地减少所需交互和认证的次数。

10、因此，需要能保护5g核心网中各种形式的永久用户和用户设备身份标识的方案。

技术实现思路

1、本发明的目标(即，可实现本文描述的一个或多个实施例产生的一个或多个潜在好处的方向之一)是提供一种在用户设备(user equipment，ue)中实现的注册方法，该注册方法包括：

2、所述ue向核心网(core network，cn)的可信节点发送第一注册请求，所述第一注册请求包括存储在所述ue的存储设备中的第一临时标识符；

3、在所述ue处接收来自所述可信节点的第一注册响应，所述第一注册响应包括第一随机质询；

4、在所述ue处使用所述第一随机质询为所述ue生成第二临时标识符；

5、在所述ue的所述存储设备中用所述第二临时标识符覆盖所述第一临时标识符。

6、在至少一个实施例中，所述注册方法还包括在接收到所述第一注册响应后，在所述ue处使用所述第一临时标识符与所述cn的其他节点通信。

7、在至少一个实施例中，所述注册方法还包括：所述ue向所述可信节点发送第二注册请求，所述第二注册请求包括所述第二临时标识符；所述ue接收来自所述可信节点的第二注册响应，所述第二注册响应包括第二随机质询；所述ue使用所述第二随机质询为所述ue生成第三临时标识符；以及在所述ue的所述存储设备中用所述第三临时标识符覆盖所述第二临时标识符。

8、在至少一个实施例中，所述注册方法还包括在接收到所述第二注册响应后，在所述ue处使用所述第二临时标识符与所述cn的其他节点通信。

9、在至少一个实施例中，所述注册方法还包括：在向所述可信节点发送所述第一注册请求之前，所述ue从所述ue的所述存储设备中存储的临时标识符池中选择所述第一临时标识符；其中，在所述临时标识符池内用所述第二临时标识符覆盖所述第一临时标识符。

10、在至少一个实施例中，从所述ue的所述存储设备中存储的所述临时标识符池中随机选择所述第一临时标识符。

11、在至少一个实施例中，所述注册方法还包括：所述ue从所述ue的所述存储设备中存储的所述临时标识符池中选择第三临时标识符；所述ue向所述可信节点发送第二注册请求，所述第二注册请求包括所述第三临时标识符；所述ue接收来自所述可信节点的第二注册响应，所述第二注册响应包括第二随机质询；所述ue使用所述第二随机质询为所述ue生成第四临时标识符；以及在所述临时标识符池内用所述第四临时标识符覆盖所述第三临时标识符。

12、在至少一个实施例中，所述注册方法还包括：所述ue从所述ue的所述存储设备中存储的所述临时标识符池中选择第三临时标识符；所述ue向所述可信节点发送第二注册请求，所述第二注册请求包括所述第三临时标识符；所述ue确定在预定时间延迟后尚未从所述可信节点接收到携带第二随机质询的第二注册响应；所述ue从所述ue的所述存储设备中存储的所述临时标识符池中选择第四临时标识符；所述ue向所述可信节点发送第三注册请求，所述第三注册请求包括所述第四临时标识符；所述ue接收来自所述可信节点的第三注册响应，所述第三注册响应包括第三随机质询；所述ue使用所述第三随机质询为所述ue生成第五临时标识符；以及在所述临时标识符池内用所述第五临时标识符覆盖所述第四临时标识符。

13、在至少一个实施例中，在所述ue处使用所述第一随机质询为所述ue生成第二临时标识符包括：在所述ue处将所述第一临时标识符和所述ue的加密密钥输入到密钥派生函数中以生成第一中间输出；在所述ue处将所述第一中间输出截断为预定长度以生成一次性标识符(one-time-identifier，oti)加密密钥；在所述ue处将所述第一随机质询和所述oti加密密钥应用于异或函数以生成第二中间输出；以及在所述ue处将所述第二中间输出应用于反向最优非对称加密填充函数以生成所述第二临时标识符。

14、在至少一个实施例中，所述ue的所述加密密钥为所述ue的长期密钥k。

15、在至少一个实施例中，所述注册方法还包括：在所述ue处接收来自所述cn的不可信节点的身份标识请求；从所述ue向所述不可信节点发送身份标识响应，所述身份标识响应包括存储在所述ue的存储设备中的第一临时设备标识符(temporary equipmentidentifier，tpei)；在所述ue处接收来自所述不可信节点的注册接受消息，所述注册接受消息包括第二tpei的加密版本；在所述ue处使用所述oti加密密钥对所述第二tpei的所述加密版本进行解密；以及在所述ue的所述存储设备中用所述第二tpei覆盖所述第一tpei。

16、在至少一个实施例中，所述注册接受消息还包括第二tgpsi的加密版本，所述注册方法还包括：在所述ue处使用所述oti加密密钥对所述第二tgpsi的所述加密版本进行解密；以及在所述ue的所述存储设备中用所述第二tgpsi覆盖第一tgpsi。

17、在至少一个实施例中，所述第一临时标识符为所述ue的第一临时签约永久标识符(temporary subscription permanent identifier，tsupi)；所述第一临时标识符以加密形式包括在所述注册请求中。

18、在至少一个实施例中，所述第一tsupi的所述加密形式为通过用所述cn的公钥加密所述第一tsupi而获得的所述ue的第一临时签约隐藏标识符(temporary subscriptionconcealed identifier，tsuci)。

19、在至少一个实施例中，所述cn的所述公钥为所述ue的移动网络运营商(mobilenetwork operator，mno)的公钥。

20、在至少一个实施例中，所述注册方法还包括在所述ue处接收到来自所述可信节点的所述第一注册响应之后，所述ue向所述可信节点发送包括确认接收到所述第二临时标识符的字段的注册完成消息。

21、本发明另一目标是提供一种用户设备(user equipment，ue)，所述ue包括：

22、收发器，用于允许所述ue通过无线接入网(radio access network，ran)与核心网(core network，cn)的节点通信；

23、存储设备；

24、处理器，以操作方式连接到所述收发器和所述存储设备；

25、所述存储设备包括用于存储指令的非瞬时性计算机可读存储介质，所述指令可由所述处理器执行以执行所述ue实现的注册方法的操作。

26、本发明另一目标是提供一种在核心网(core network，cn)的统一数据管理(unified data management，udm)中实现的注册方法，所述udm标识为所述cn的可信节点，所述注册方法包括：

27、在所述udm处接收来自用户设备(user equipment，ue)的第一注册请求，所述第一注册请求包括所述ue的第一临时标识符；

28、如果所述udm确定所述ue的所述第一临时标识符存储在所述udm的存储设备中：

29、在所述udm处生成所述ue的第二临时标识符，

30、在所述udm的所述存储设备中用所述第二临时标识符覆盖所述第一临时标识符，

31、在所述udm处根据所述ue的所述第二临时标识符生成第一随机质询；

32、从所述udm向所述ue发送包括所述第一随机质询的第一注册响应。

33、在至少一个实施例中，所述注册方法还包括如果所述udm确定所述ue的所述第一临时标识符未存储在所述udm的所述存储设备中，那么在所述udm处拒绝所述注册请求。

34、在至少一个实施例中，所述注册方法还包括在发送所述第一注册响应后，在所述udm处使用所述ue的所述第一临时标识符与所述cn的其他节点通信。

35、在至少一个实施例中，所述注册方法还包括：在所述udm处接收来自所述ue的第二注册请求，所述第二注册请求包括第三临时标识符；如果所述udm确定所述ue的所述第三临时标识符存储在所述udm的所述存储设备中，则在所述udm处生成所述ue的第四临时标识符，在所述udm的所述存储设备中用所述第四临时标识符覆盖所述第三临时标识符，在所述udm处根据所述ue的所述第四临时标识符生成第二随机质询，从所述udm向所述ue发送包括所述第四随机质询的第二注册响应。

36、在至少一个实施例中，所述注册方法还包括在发送所述第二注册响应之后，在所述udm处使用所述ue的所述第三临时标识符与所述cn的其他节点通信。

37、在至少一个实施例中，所述udm的所述存储设备存储所述ue的临时标识符池；在所述临时标识符池内，用所述第二临时标识符覆盖所述第一临时标识符。

38、在至少一个实施例中，所述ue的所述第二临时标识符在所述udm处随机生成。

39、在至少一个实施例中，在所述udm处根据所述ue的所述第二临时标识符生成所述第一随机质询包括：在所述udm处将所述第一临时标识符和所述ue的加密密钥输入到密钥派生函数中以生成第一中间输出；在所述udm处将所述第一中间输出截断为预定长度以生成一次性标识符(one-time-identifier，oti)加密密钥；在所述udm处将所述第二临时标识符应用于最优非对称加密填充函数以生成第二中间输出；在所述udm处将所述oti加密密钥和所述第二中间输出应用于异或函数以生成所述第一随机质询。

40、在至少一个实施例中，所述ue的所述加密密钥为存储在所述udm的所述存储设备中的所述ue的长期密钥k。

41、在至少一个实施例中，所述第一临时标识符为所述ue的第一临时签约永久标识符(temporary subscription permanent identifier，tsupi)；所述第一临时标识符以加密形式包括在所述注册请求中。

42、在至少一个实施例中，所述第一tsupi的所述加密形式为所述ue的第一临时签约隐藏标识符(temporary subscription concealed identifier，tsuci)；所述方法还包括在所述udm处使用所述cn的私钥对所述第一tsuci进行解密以恢复所述第一tsupi。

43、在至少一个实施例中，所述cn的所述私钥为所述udm的私钥。

44、在至少一个实施例中，所述注册方法还包括在从所述udm向所述ue发送所述第一注册响应之后，在所述udm处从所述ue接收包括确认接收到所述第二临时标识符的字段的注册完成消息。

45、在至少一个实施例中，所述注册方法还包括：从所述cn的另一可信节点接收提供所述ue的位置信息的请求；以及通过提供当前为所述ue服务的所述cn的不可信节点的网络地址，从所述udm响应所述cn的另一可信节点。

46、在至少一个实施例中，所述注册方法还包括：在所述udm处从所述cn的另一可信节点接收解析所述ue的临时通用公共签约标识符(generic public subscriptionidentifier，gpsi)的请求；利用所述ue的gpsi从所述udm响应所述cn的所述另一可信节点；在所述udm处从所述cn的所述另一可信节点接收解析所述ue所呼叫的被叫方的gpsi的请求；以及利用所述ue所呼叫的所述被叫方的临时gpsi从所述udm响应所述cn的所述另一可信节点。

47、在至少一个实施例中，利用所述ue的所述gpsi从所述udm响应所述cn的所述另一可信节点包括：从所述udm向所述cn的所述另一可信节点发送所述ue的临时签约永久标识符(temporary subscription permanent identifier，tsupi)，在所述udm处从所述cn的所述另一可信节点接收所述ue的所述tsupi，以及从所述udm向所述cn的所述另一可信节点发送所述ue的所述gpsi；而利用所述ue所呼叫的所述被叫方的所述临时gpsi从所述udm响应所述cn的所述另一可信节点包括：从所述udm向所述cn的所述另一可信节点发送所述ue所呼叫的所述被叫方的tsupi，在所述udm处从所述cn的所述另一可信节点接收所述ue所呼叫的所述被叫方的所述tsupi，以及从所述udm向所述cn的所述另一可信节点发送所述ue的所述gpsi。

48、在至少一个实施例中，所述注册方法还包括：在所述udm处从所述cn的第一不可信节点接收将所述cn的所述不可信节点注册为所述ue的服务节点的第一请求，所述第一请求包括所述ue的所述第一临时标识符；在所述udm处从所述cn的所述第一不可信节点接收为所述ue提取用户数据的第二请求，所述第二请求包括所述ue的所述第一临时标识符；将所述ue的所述用户数据从所述udm发送到所述cn的所述不可信节点；以及从所述udm向所述cn的所述不可信节点发送包括所述ue的先前临时标识符的注销消息。

49、在至少一个实施例中，所述注册方法还包括：在所述udm处从所述cn的第二不可信节点接收对所述ue的会话管理签约数据的请求，所述第一请求包括所述ue的所述第一临时标识符；以及从所述udm向所述cn的所述第二不可信节点发送响应，所述响应指示所述ue的所述第一临时标识符和所述ue的所述先前临时标识符均为所述ue的临时标识符。

50、本发明又一目标是提供一种统一数据管理(unified data management，udm)，所述udm包括：

51、输入/输出设备，用于允许所述udm与核心网(core network，cn)的节点以及与用户设备(user equipment，ue)通信；

52、存储设备；

53、处理器，以操作方式连接到收发器和所述存储设备；

54、所述存储设备包括用于存储指令的非瞬时性计算机可读存储介质，所述指令可由所述处理器执行以执行所述udm中实现的注册方法的操作。

55、本发明另一目标是提供一种在核心网(core network，cn)的设备身份标识寄存器(equipment identity register，eir)中实现的注册方法，所述eir标识为所述cn的部分可信节点，所述注册方法包括：

56、在所述eir处，从接入和移动性管理功能(access and mobility managementfunction，amf)接收包括用户设备(user equipment，ue)的临时设备标识符(temporaryequipment identifier，tpei)的设备身份标识验证请求；

57、有选择地将从所述eir接收到的tpei转发到统一数据管理(unified datamanagement，udm)；

58、在所述eir处从所述udm接收新的tpei；

59、将所述新的tpei从所述eir转发给所述amf。

60、本发明又一目标是提供一种设备身份标识寄存器(equipment identityregister，eir)，所述eir包括：

61、输入/输出设备，用于允许所述eir与核心网(core network，cn)的节点通信；

62、存储设备；

63、处理器，以操作方式连接到收发器和所述存储设备；

64、所述存储设备包括用于存储指令的非瞬时性计算机可读存储介质，所述指令可由所述处理器执行以执行所述eir中实现的注册方法的操作。