CN101808313B - 获取tmsi的方法、移动台、归属位置寄存器和通信*** - Google Patents

获取tmsi的方法、移动台、归属位置寄存器和通信*** Download PDF

Info

Publication number
CN101808313B
CN101808313B CN2010101221018A CN201010122101A CN101808313B CN 101808313 B CN101808313 B CN 101808313B CN 2010101221018 A CN2010101221018 A CN 2010101221018A CN 201010122101 A CN201010122101 A CN 201010122101A CN 101808313 B CN101808313 B CN 101808313B
Authority
CN
China
Prior art keywords
random number
subscriber identity
mobile subscriber
imsi
international mobile
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN2010101221018A
Other languages
English (en)
Other versions
CN101808313A (zh
Inventor
郑强
杨亚涛
谷勇浩
辛阳
郭江
郇海滨
翁武林
陈颖浩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tianjin China Boson New Materials Co ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN2010101221018A priority Critical patent/CN101808313B/zh
Publication of CN101808313A publication Critical patent/CN101808313A/zh
Application granted granted Critical
Publication of CN101808313B publication Critical patent/CN101808313B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

本发明实施例提供一种获取TMSI的方法、移动台、归属位置寄存器和通信***,属于信息安全技术领域。所述方法包括:采用与归属位置寄存器商定的加密机制对国际移动用户识别码进行加密;将加密后的所述国际移动用户识别码通过访问位置寄存器发送给所述归属位置寄存器;接收所述访问位置寄存器根据解密后的所述国际移动用户识别码生成的客户临时识别码。所述移动台包括:加密模块和第一发送模块。所述归属位置寄存器包括:解密模块和第二发送模块。所述***包括:移动台、访问位置寄存器和归属位置寄存器。本发明实施例在获取TMSI的过程中使得IMSI在无线链路上以密文形式传输,保护了IMSI,且加密方法简单,可直接用于GSM***。

Description

获取TMSI的方法、移动台、归属位置寄存器和通信***
技术领域
本发明实施例涉及信息安全技术领域,尤其涉及一种获取TMSI的方法、移动台、归属位置寄存器和通信***。
背景技术
移动通信中,国际移动用户识别码(International Mobile SubscriberIdentification,以下简称IMSI)是识别移动台(Mobile Station,以下简称MS)用户的标志,相当于MS用户在全球移动通讯***(Global System for MobileCommunications,以下简称GSM)网络里的身份证。由于IMSI在全网和全球中是唯一的,为了让网络更安全,GSM***中一般不使用IMSI来识别用户,而是采用MS的客户临时识别码(Temporary Mobile Subscriber Identity,以下简称TMSI)来识别MS,即对进入其访问区的每个MS用户,访问位置寄存器(visiting location register,以下简称VLR)都会分配一个TMSI,用户在通信过程中,只要使用TMSI和位置区识别码(Location Area ID,以下简称LAI)即可标识自己的身份。
在实现本发明过程中,发明人发现现有技术中至少存在如下问题:当MS第一次在服务网络内注册,或者与MS交互的服务网络不能根据MS的TMSI获得相应的IMSI时,就必须使用IMSI。这种情况下,需要将IMSI在无线链路上以明文进行传输,这就可能在获取TMSI的过程中会造成IMSI的泄漏。
发明内容
本发明实施例提供一种获取TMSI的方法、移动台、归属位置寄存器和通信***,用以解决现有技术中在明文传输IMSI来获取TMSI时造成IMSI泄漏的缺陷,以保护IMSI的安全。
本发明实施例提供一种获取客户临时识别码的方法,所述方法包括:
采用与归属位置寄存器商定的加密机制对国际移动用户识别码进行加密;
将加密后的所述国际移动用户识别码通过访问位置寄存器发送给所述归属位置寄存器,以使所述归属位置寄存器根据所述商定的加密机制对加密后的所述国际移动用户识别码进行解密并将解密后的所述国际移动用户识别码发送给所述访问位置寄存器;
接收所述访问位置寄存器根据解密后的所述国际移动用户识别码生成的客户临时识别码。
本发明实施例提供一种移动台,所述移动台包括:加密模块和第一发送模块;
所述加密模块,用于采用与归属位置寄存器商定的加密机制对国际移动用户识别码进行加密;
所述第一发送模块,用于将所述加密模块加密后的所述国际移动用户识别码通过访问位置寄存器发送给所述归属位置寄存器,以使所述归属位置寄存器根据所述商定的加密机制对加密后的所述国际移动用户识别码进行解密并将解密后的所述国际移动用户识别码发送给所述访问位置寄存器。
本发明实施例一种归属位置寄存器,所述归属位置寄存器包括:解密模块和第二发送模块;
所述解密模块,用于采用与移动台商定的加密机制对收到的加密后的国际移动用户识别码进行解密,得到解密后的所述国际移动用户识别码;
第二发送模块,用于将所述解密模块得到的解密后的所述国际移动用户识别码发送给访问位置寄存器,以使所述访问位置寄存器根据解密后的所述国际移动用户识别码生成客户临时识别码。
本发明实施例提供一种通信***,所述***包括:移动台、访问位置寄存器和归属位置寄存器;
所述移动台,用于采用与所述归属位置寄存器商定的加密机制对国际移动用户识别码进行加密;并将加密后的所述国际移动用户识别码发送给所述访问位置寄存器,以使所述国际移动用户识别码在无线链路上以密文形式传输;
所述访问位置寄存器,用于收到所述移动台发送的加密后的所述国际移动用户识别码后,将加密后的所述国际移动用户识别码发送给所述归属位置寄存器;还用于接收所述归属位置寄存器发送的解密后的所述国际移动用户识别码,并根据解密后的所述国际移动用户识别码生成客户临时识别码。
所述归属位置寄存器,用于根据与所述移动台商定的加密机制对收到的加密后的所述国际移动用户识别码进行解密,并将解密后的所述国际移动用户识别码发送给所述访问位置寄存器。
本发明实施例通过采用与HLR商定的加密机制对IMSI进行加密,将加密的IMSI通过VLR发送给HLR,HLR收到加密的IMSI后,根据商定的加密机制对加密后的IMSI进行解密,并将解密后的IMSI发送给VLR,使VLR根据解密后的IMSI生成TMSI,在获取TMSI的过程中使得IMSI在无线链路上以密文形式传输,保护了IMSI的安全;获取TMSI后,VLR和MS之间的命令交换就使用TMIS,而不使用IMSI,防止了非法个人或团体通过监听无线路径上的信令交换而窃得MS用户的IMSI或跟踪MS用户的位置。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1a为GSM***结构示意图;
图1b为本发明获取客户临时识别码的方法第一实施例流程示意图;
图2为本发明获取客户临时识别码的方法第二实施例流程示意图;
图3为本发明获取客户临时识别码的方法第三实施例流程示意图;
图4为本发明获取客户临时识别码的方法第四实施例流程示意图;
图5为本发明移动台的第一实施例结构示意图;
图6为本发明移动台的第二实施例结构示意图;
图7为本发明移动台的第三实施例结构示意图;
图8为本发明归属位置寄存器的第一实施例结构示意图;
图9为本发明归属位置寄存器的第二实施例结构示意图;
图10为本发明归属位置寄存器的第三实施例结构示意图;
图11为本发明通信***第一实施例结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
本实施例提供的方法,可以应用于GSM***中。图1a为GSM***结构示意图,请参见图1a,GSM***主要由MS、网络交换子***(NetworkSwitching Subsystem,以下简称NSS)、基站子***(Base Station Subsystem,以下简称BSS)和操作支持子***(operation support Subsystem,以下简称OSS)四部分组成。
NSS是整个GSM***的核心。它对GSM用户之间及用户与其它通信网用户之间通信起着交换连接与管理的功能。MS、BSS和NSS组成GSM***的实体部分,BSS在MS和NSS之间提供和管理传输通路,特别是包括了MS与GSM***的功能实体之间的无线接口管理。
具体的,NSS包括移动交换中心(Mobile Switching Center,以下简称MSC)、拜访位置寄存器VLR、归属位置寄存器HLR、鉴权中心(AUthenticationCenter,简称AUC)、和设备识别寄存器(equipment identity register,简称EIR)。
MSC是整个交换网络的核心,完成或参与NSS的全部功能,对呼叫进行控制与接续,提供计费信息并协调与控制整个GSM网络中的各个功能实体。
VLR是服务于其控制区域内移动用户的数据库。***存储着进入其控制区域内已登记的移动用户相关信息,为已登记的移动用户提供建立呼叫接续的必要条件。当某用户进入VLR控制区后,此VLR将向该移动用户的归属位置寄存器HLR获取并存储必要数据,而一旦此用户离开后则取消VLR中此用户的数据。VLR通常与MSC合设在一起。
HLR是一个存储移动用户数据的静态数据库。包括用户识别号码,访问能力,用户类别和补充业务等数据。同时也存储移动用户所在VLR区域的有关动态数据。
NSS还包括网络管理子***(Network Management Subsystem,以下简称NMS),NMS又叫操作与维护中心(Operation & Maintenance Center,以下简称OMC),OMC负责NSS和BSS***的维护管理工作。
BSS由基站控制器(Base Station Control,以下简称BSC)和基站收发信台(Base Transceiver Station,以下简称BTS)组成。BSC是基站子***BSS的控制部分。主要完成接口管理,BTS--BSC之间的地面信道管理,无线参数及无线资源管理测量和统计切换支持呼叫控制操作与维护等功能。BTS受控于基站控制器BSC,属于基站子***BSS的无线部分,是服务于某小区的无线收发信台设备。
OSS包括网络管理中心(Net Manage Center,以下简称NMC)、数据后处理***(Date PostProcessing System,以下简称DPPS)、用户识别卡个人化中心(personal Center System,以下简称PCS)和安全性管理中心(SEcurityManagement Center,以下简称SEMC)。
该GSM***还包括公用数据网(Public Date Net,以下简称PDN)、公用电话网(Public Switched Telephone Network,以下简称PSTN)、综合业务数字网(Integrated Services Digital Network,以下简称ISDN)。
GSM***中,国际移动用户识别码IMSI是唯一识别一个移动台用户的号码。IMSI在GSM***所有服务区中都是有效的,在呼叫建立与位置更新时需要用到IMSI,IMSI保存在HLR、VLR和SIM卡中。考虑到移动用户的IMSI的安全性,VLR可给来访的每一个移动台用户分配一个唯一的TMSI,凡是在无线链路上传递的IMSI都用TMSI代替,在每次鉴权后分配,只在某一VLR管辖区内有效,当用户离开此VLR服务区后释放此号码,在呼叫建立和位置更新时可使用TMSI。
请参见图1b,为获取客户临时识别码的方法第一实施例流程示意图,如图1b所示,该方法包括:
步骤101:采用与归属位置寄存器商定的加密机制对IMSI进行加密。
步骤102:将加密后的IMSI通过VLR发送给HLR,以使HLR根据上述商定的加密机制对加密后的IMSI进行解密并将解密后的IMSI发送给VLR。
例如,将加密后的IMSI和HLR的标识发送给VLR,实现IMSI在无线链路上以密文形式传输,然后VLR会根据HLR的标识将加密后的IMSI发送给HLR。
步骤103:接收VLR根据解密后的IMSI生成的TMSI。
收到TMSI后,VLR和MS之间的命令交换就使用TMIS,用户的IMSI在无线链路上便不再以明文形式传送,防止了非法个人或团体通过监听无线路径上的信令交换而窃得移动客户的IMSI或跟踪移动客户的位置。
通过采用与HLR商定的加密机制对IMSI进行加密,将加密的IMSI通过VLR发送给HLR,HLR收到加密的IMSI后,根据商定的加密机制对加密后的IMSI进行解密,并将解密后的IMSI发送给VLR,使VLR根据解密后的IMSI生成TMSI,在获取TMSI的过程中使得IMSI在无线链路上以密文形式传输,保护了IMSI的安全;获取TMSI后,VLR和MS之间的命令交换就使用TMIS,而不使用IMSI,防止了非法个人或团体通过监听无线路径上的信令交换而窃得MS用户的IMSI或跟踪MS用户的位置。
实施例2
图2为获取客户临时识别码的方法第二实施例流程示意图,如图2所示,该方法包括:
步骤201:MS通过VLR向HLR发送请求,请求HLR发送HLR的公钥。
步骤202:MS通过VLR接收HLR的公钥。
步骤203:MS采用收到的HLR的公钥对IMSI进行加密。
步骤204:MS将HLR的标识和加密后的IMSI发送给VLR,以使IMSI在无线链路上以密文形式传输,并使VLR根据HLR的标识将加密后的IMSI发送给对应的HLR。
其中,如果只用HLR的公钥加密IMSI,虽然可以保护IMSI,但是却防止不了重放攻击,因为只用HLR的公钥加密IMSI的话,每次的加密的结果Esk(IMSI)都是相同的,则攻击者经常监听到这个加密结果后,这个攻击者也可以冒充合法的MS,通过VLR向HLR发送Esk(IMSI),这就是重放攻击,重放攻击在任何网络通讯过程中都可能发生。
为了防止重放攻击,MS自身可以产生一个随机数,用查询到的HLR的公钥将IMSI和该随机数加密后通过VLR发送给HLR,这样不仅保护了IMSI,同时也防止了重放攻击。
因为用HLR的公钥对IMSI和随机数加密的话,由于每次产生的随机数不相同,所以每次加密后的结果Esk(RAND||IMSI)也是不相同的,攻击者每次监听到的都是不同的加密结果,因此攻击者无法通过VLR向HLR发送正确的加密IMSI的结果,所以用随机数和HLR的公钥一起加密IMSI可以很好的防止重放攻击。
进一步地,HLR通过VLR收到MS发送的加密结果后,通过HLR存储的私钥进行解密,如果只是加密IMSI,则解密后可以直接得到IMSI;如果加密的是IMSI和随机数,则解密后得到的结果包括IMSI和随机数,由于加密机制是预先商定的,随机数和IMSI的关系也都是预知的,加密时,如果随机数在IMSI的前面,则解密后的结果中后面15位就是IMSI;如果随机数在IMSI的后面,则解密后的结果中前面15位就是IMSI;也可以将随机数置于IMSI的中间,由于IMSI是由15位0和/或1组成的,而随机数大多不是0或1,因此很容易区分开。但是在随机数是0或1时,可以在随机数的前后加上其它字符,以和IMSI区分开,例如,解密得到结果为01010*1*0010111001,则可以去掉*号中间的1,余下即为IMSI。
HLR解密得到IMSI后,根据该IMSI获取对应的主密钥Ki,根据该主密钥和自身产生的随机数生成认证信息,将该认证信息发送给VLR,使VLR根据该认证信息验证IMSI对应的MS是否合法,如果合法,则将解密后的所述国际移动用户识别码发送给所述访问位置寄存器。
本实施例中,该认证信息可以是一个多元组,该多元组至少包括:HLR产生的随机数Rand,由Rand和Ki通过认证算法产生的认证参数RES,由Rand和Ki通过加密算法产生的加密密钥Kc。
例如,VLR根据该认证信息验证MS是否合法的过程可以为:
a:VLR向MS发送HLR产生的随机数;
b:MS收到后,利用A3算法对该随机数进行认证运算,将得到的认证运算结果SERS发送发给VLR;
c:VLR收到MS发送的SERS后,与三元组中的RES进行比较,如果两者相等,则验证成功,表示该MS是合法的,并向HLR发送验证成功的消息。
d:HLR收到VLR发送的验证成功的消息后,向VLR发送该MS的IMSI,使VLR根据该IMSI生成TMSI,并将生成的TMSI发送给上述MS,使MS进行通信时使用TMSI,而不用IMSI,因而保证了IMSI的安全。
本实施例提供的方法,可应用于用户身份的请求过程中,如当MS第一次在服务网络内注册,或者与MS交互的服务网络不能根据MS的TMSI获得相应的IMSI时,即可以采用本实施例提供的方法以密文形式传输IMSI,并产生TMSI。
本实施例通过用HLR的公钥对IMSI进行加密,将加密的IMSI通过VLR发送给HLR,HLR收到加密的IMSI后,采用HLR的私钥对加密后的IMSI进行解密,并将解密后的IMSI发送给VLR,使VLR根据解密后的IMSI生成TMSI,在获取TMSI的过程中使得IMSI在无线链路上以密文形式传输,保护了IMSI的安全;与3G中加密IMSI的方法相比,本实施例加密TMSI的方法简单,可以直接应用到GSM***中,对GSM***的各种硬件设备无须做较大改动;获取TMSI后,VLR和MS之间的命令交换就使用TMIS,而不使用IMSI,防止了非法个人或团体通过监听无线路径上的信令交换而窃得MS用户的IMSI或跟踪MS用户的位置。
实施例3
图3为获取客户临时识别码的方法第三实施例流程示意图,如图3所示,该方法包括:
步骤301:与HLR协商同态加密算法。
步骤302:通过VLR接收HLR发送的HLR采用同态加密算法加密的多个随机数;该随机数的个数与MS的IMSI的位数相同。
其中,该同态加密算法需要满足如下的性质:对于域内的3个数a,b,c,E(a)*E(b)=E(a+b),E(a)c=E(c·a)。
例如,由于目前IMSI的位数是15位,因此HLR用上述同态加密算法加密自身选择的15个随机数r1,r2,...r15,这15个随机数r1,r2,...r15均不等于0。
如果将15个随机数一起加密的话,计算过程可能比较复杂,为了简化计算过程,HLR可以将自己选择的这15个随机数进行分批加密,即E(r1r2r3)||E(r4r5r6)||...||E(r13r14r15),||表示为链接,然后将分批加密后的这15个随机数通过VLR发送给MS。
需要说明的是,本实施例对分批加密的批次和每批的随机数个数都不作限制。
步骤303:通过VLR收到HLR发送的加密的多个随机数后,根据上述同态加密算法的性质,采用IMSI对该加密的多个随机数进行同态加密运算,完成对IMSI的加密。
具体的,可以利用同态加密算法的性质E(a)c=E(c·a),采用IMSI对该加密的多个随机数进行幂运算,例如:
E(r1r2r3)a1a2a3||E(r4r5r6)a4a5a6||...||E(r13r14r15)a13a14a15,a1,a2,...,a15为IMSI的15位。
也可以利用同态加密算法的性质E(a)*E(b)=E(a+b),采用IMSI对该加密的多个随机数进行乘运算,例如:
E(r1r2r3)*E(a1a2a3)||E(r4r5r6)*E(a4a5a6)||...||E(r13r14r15)*E(a13a14a15)。
步骤304:将HLR的标识和加密后的IMSI发送给VLR,以使IMSI在无线链路上以密文形式传输,并使VLR根据HLR的标识将加密后的IMSI发送给对应的HLR。
进一步地,HLR收到加密后的IMSI之后,利用同态加密算法的性质,对IMSI进行同态解密运算,得到IMSI。
具体的,当HLR收到E(r1r2r3)a1a2a3||E(r4r5r6)a4a5a6||...||E(r13r14r15)a13a14a15后,利用同态加密算法的性质E(a)c=E(c·a)进行解密,得到
a1a2a3·r1r2r3,a4a5a6·r4r5r6,...,a13a14a15·r13r14r15,然后通过除法运算得到a1,a2,...,a15,从而得到IMSI;
当HLR收到E(r1r2r3)*E(a1a2a3)||E(r4r5r6)*E(a4a5a6)||...||E(r13r14r15)*E(a13a14a15)时,利用同态加密算法的性质E(a)*E(b)=E(a+b)进行解密,得到
r1r2r3+a1a2a3||r4r5r6+a4a5a6...||r13r14r15+a13a14a15,然后减去15个随机数,得到a1,a2,...,a15,从而得到解密后的IMSI。
HLR得到解密后的IMSI后的处理过程与实施例1中HLR得到解密后的IMSI后的处理过程相同,在此不再赘述。
本实施例提供的方法,可应用于用户身份的请求过程中,如当MS第一次在服务网络内注册,或者与MS交互的服务网络不能根据MS的TMSI获得相应的IMSI时,即可以采用本实施例提供的方法以密文形式传输IMSI,并产生TMSI。
本实施例中,MS收到HLR用与MS协商的同态加密算法加密的多个随机数后,利用同态加密算法的性质,采用IMSI对该加密的多个随机数进行同态加密运算,完成对该IMSI的加密,将加密后的IMSI通过VLR发送给HLR,HLR收到加密的IMSI后,根据商定的同态加密算法对加密后的IMSI进行解密,并将解密后的IMSI发送给VLR,使VLR根据解密后的IMSI生成TMSI,在获取TMSI的过程中使得IMSI在无线链路上以密文形式传输,保护了IMSI的安全,同时也防止了重放攻击;与3G中加密IMSI的方法相比,本实施例加密TMSI的方法简单,可以直接应用到GSM***中,对GSM***的各种硬件设备无须做较大改动;获取TMSI后,VLR和MS之间的命令交换就使用TMIS,而不使用IMSI,防止了非法个人或团体通过监听无线路径上的信令交换而窃得MS用户的IMSI或跟踪MS用户的位置。
实施例4
图4为获取客户临时识别码的方法第四实施例流程示意图,如图4所示,该方法包括:
步骤401:MS通过VLR向HLR发送自身产生的第一随机数,并通过VLR接收HLR发送的HLR产生的第二随机数。
例如,设MS产生的第一随机数为R1,通过VLR将R1发送给HLR;设HLR的产生第二随机数为R2,通过VLR将R2发送给MS。
步骤402:MS对自身产生的第一随机数和收到的第二随机数进行认证运算和异或运算,得到第三随机数,将该第三随机数再与自身的IMSI进行异或运算,得到加密后的IMSI。
步骤403:将加密后的IMSI和HLR的标识发送给VLR,以使IMSI在无线链路上以密文形式传输,并使VLR根据HLR的标识将加密后的IMSI发送给HLR。
其中,MS通过VLR向HLR发送自身产生的第一随机数,并通过VLR接收HLR发送的HLR产生的第二随机数之后,MS将自身产生的第一随机数和收到的第二随机数进行认证运算和异或运算之前,本实施例提供的方法还可以包括:
对该第一随机数和第二随机数进行认证运算,得到第一认证运算结果,将所述第一认证运算结果通过VLR发送给HLR;
通过VLR接收HLR发送的第二认证运算结果;该第二认证运算结果为HLR采用相同的认证算法对第一随机数和第二随计数进行认证运算得到的;
当第一认证运算结果和第二认证运算结果相同时,MS确认第二随机数是HLR发送的,HLR也确认第一随机数是MS发送的。
下面以认证运算的算法以A3算法为例进一步说明,例如,
MS将R1和R2经过A3运算后,将第一认证运算结果通过VLR发送给HLR;
HLR将R1和R2经过A3运算后,将第二认证运算结果通过VLR发送给MS;
如果MS收到的HLR发送的第二认证运算结果和自身得到的第一认证运算结果相同,则MS向HLR发送认证成功的消息;
如果HLR收到的MS发送的第一认证运算结果和自身得到的第二认证运算结果相同,则HLR向MS发送认证成功的消息;
如果MS认证成功,并且收到了HLR发送的认证成功的消息,则MS再对自身产生的第一随机数R1和收到的第二随机数R2进行认证运算和异或运算。
其中,MS对自身产生的第一随机数和收到的第二随机数进行认证和异或运算,具体可以为:
MS对第一随机数和第二随机数进行认证运算,将所述认证运算后的结果与第一随机数进行异或运算,然后再将异或运算的结果与第二随机数进行认证运算,得到第三随机数。
仍以A3算法作为认证算法为例进行说明,则第三随机数R为R=A3(R1⊕A3(R1,R2),R2)。
进一步地,HLR通过VLR收到加密后的IMSI之后,根据MS发送的第一随机数和自身产生的第二随机数计算出第三随机数,然后将计算出的第三随机数和收到的加密后的IMSI进行异或运算,得到解密后的IMSI。
HLR得到解密后的IMSI之后的处理过程与实施例1中HLR得到解密后的IMSI之后的处理过程相同,在此不再赘述。
需要说明的是,MS和HLR在进行异或运算前,需要将待进行异或运算的随机数转化为二进制。
本实施例提供的方法,可应用于用户身份的请求过程中,如当MS第一次在服务网络内注册,或者与MS交互的服务网络不能根据MS的TMSI获得相应的IMSI时,即可以采用本实施例提供的方法以密文形式传输IMSI,并产生TMSI。
本实施例中MS通过将自身产生的第一随机数和收到的第二随机数进行认证运算和异或运算,得到第三随机数,将该三随机数再与自身的IMSI进行异或运算,得到加密后的IMSI,HLR收到加密的IMSI后,通过异或运算,对加密后的IMSI进行解密,并将解密后的IMSI发送给VLR,使VLR根据解密后的IMSI生成TMSI,在获取TMSI的过程中使得IMSI在无线链路上以密文形式传输,保护了IMSI的安全,同时也防止了重放攻击;与3G中加密IMSI的方法相比,本实施例加密TMSI的方法简单,可以直接应用到GSM***中,对GSM***的各种硬件设备无须做较大改动;而且异或方式简单,没有大量的加解密的运算,大大提高了效率;获取TMSI后,VLR和MS之间的命令交换就使用TMIS,而不使用IMSI,防止了非法个人或团体通过监听无线路径上的信令交换而窃得MS用户的IMSI或跟踪MS用户的位置。
实施例5
图5为移动台的第一实施例结构示意图,如图5所示,该移动台包括:加密模块501和第一发送模块502;
加密模块501,用于采用与归属位置寄存器商定的加密机制对IMSI进行加密。
第一发送模块502,用于将加密模块501加密后的IMSI通过VLR发送给HLR,以使HLR根据商定的加密机制对加密后的IMSI进行解密并将解密后的IMSI发送给VLR。
第一发送模块502可以将HLR的标识和加密后的IMSI发送给VLR,实现IMSI在无线链路上以密文形式传输,然后VLR会根据HLR的标识将加密后的IMSI发送给HLR。
具体的,加密模块501采用HLR的公钥对IMSI进行加密,或者采用HLR的公钥对IMSI和随机数进行加密,该随机数用于使每次加密后的IMSI不同。相应的,HLR通过VLR收到MS发送的加密结果后,通过自身存储的私钥进行解密,得到该MS的IMSI,并根据该IMSI获取对应的主密钥Ki,根据该主密钥和自身产生的随机数生成验证信息,将该认证信息发送给VLR,使VLR根据该认证信息对MS进行验证,以确定该IMSI对应的移动台是合法的。
本实施例中,该验证信息可以是一个多元组,该多元组至少包括:HLR产生的随机数Rand,由Rand和Ki通过认证算法产生的认证参数RES,由Rand和Ki通过加密算法产生的加密密钥Kc。
例如,VLR根据该验证信息对MS进行验证的具体过程可以为:
a:VLR向MS发送HLR产生的随机数;
b:MS收到后,利用A3算法对该随机数进行认证运算,将得到的认证运算结果SERS发送发给VLR;
c:VLR收到MS发送的SERS后,与三元组中的RES进行比较,如果两者相等,则验证成功,表示该MS是合法的,并向HLR发送验证成功的消息。
d:HLR收到VLR发送的验证成功的消息后,向VLR发送该MS的IMSI,使VLR根据该IMSI生成TMSI。
本实施例提供的移动台,可应用于用户身份的请求过程中,如当MS第一次在服务网络内注册,或者与MS交互的服务网络不能根据MS的TMSI获得相应的IMSI时,即可以采用本实施例提供的方法以密文形式传输IMSI,并产生TMSI。
本实施例通过采用与HLR商定的加密机制对IMSI进行加密,将加密的IMSI通过VLR发送给HLR,HLR收到加密的IMSI后,采用自身的私钥对加密后的IMSI进行解密,并将解密后的IMSI发送给VLR,使VLR根据解密后的IMSI生成TMSI,在获取TMSI的过程中使得IMSI在无线链路上以密文形式传输,保护了IMSI的安全,与3G中加密IMSI的方案相比,利用本实施例提供的MS将IMSI以密文形式传输,结构简单,可以直接应用到GSM***中,对GSM***的各种硬件设备无须做较大改动;获取TMSI后,VLR和MS之间的命令交换就使用TMIS,而不使用IMSI,防止了非法个人或团体通过监听无线路径上的信令交换而窃得MS用户的IMSI或跟踪MS用户的位置。
实施例6
图6为移动台的第二实施例结构示意图,如图6所示,该移动台包括:加密模块501和第一发送模块502;
具体的,加密模块501包括:第一协商单元5010,第一接收单元5011,第一加密单元5012;
第一协商单元5010,用于与HLR协商同态加密算法。
其中,该同态加密算法需要满足如下的性质:对于域内的3个数a,b,c,E(a)*E(b)=E(a+b),E(a)c=E(c·a)。
第一接收单元5011,用于通过VLR接收HLR发送的HLR采用上述同态加密算法加密的多个随机数;该随机数的个数与IMSI的位数相同。
例如,由于目前IMSI的位数是15位,因此HLR采用同态加密算法加密15个随机数r1,r2,...r15,这15个随机数r1,r2,...r15均不等于0。
如果将15个随机数r1,r2,...r15一起加密的话,计算过程可能比较复杂,为了简化计算过程,HLR可以分批加密自身选择的15个随机数;例如,
E(r1r2r3)||E(r4r5r6)||...||E(r13r14r15),||表示为链接。
第一加密单元5012,用于在第一接收单元5011收到加密的多个随机数后,利用同态加密算法的性质,采用IMSI对加密的多个随机数进行同态加密运算,完成对IMSI的加密。
具体的,第一加密单元5012利用同态加密算法的性质E(a)c=E(c·a),采用IMSI对加密的多个随机数进行幂运算,完成对IMSI的加密,例如E(r1r2r3)a1a2a3||E(r4r5r6)a4a5a6||...||E(r13r14r15)a13a14a15,a1,a2,...,a15为IMSI的15位;
第一加密单元5012也可以利用同态加密算法的性质E(a)*E(b)=E(a+b),采用IMSI对该加密的多个随机数进行乘运算,例如:
E(r1r2r3)*E(a1a2a3)||E(r4r5r6)*E(a4a5a6)||...||E(r13r14r15)*E(a13a14a15)。
第一发送模块502,用于将HLR的标识和加密模块501加密后的IMSI发送给VLR,以使IMSI在无线链路上以密文形式传输,并使VLR根据HLR的标识将加密后的IMSI发送给HLR;
进一步地,HLR收到加密后的IMSI之后,利用同态加密算法的性质,对IMSI进行同态解密运算,并将解密后的IMSI发送给VLR,使VLR根据解密后的IMSI生成TMSI。
本实施例提供的移动台,可应用于用户身份的请求过程中,如当MS第一次在服务网络内注册,或者与MS交互的服务网络不能根据MS的TMSI获得相应的IMSI时,即可以采用本实施例提供的方法以密文形式传输IMSI,并产生TMSI。
本实施例中,MS收到HLR用与MS协商的同态加密算法加密的多个随机数后,利用同态加密算法的性质,用IMSI对该加密的多个随机数进行同态加密运算,将运算结果通过VLR发送给HLR,完成对IMSI的加密,并将加密后的IMSI通过VLR发送给HLR,HLR收到加密的IMSI后,根据商定的同态加密算法对加密后的IMSI进行同态解密运算,并将解密后的IMSI发送给VLR,使VLR根据解密后的IMSI生成TMSI,在获取TMSI的过程中使得IMSI在无线链路上以密文形式传输,保护了IMSI的安全,同时也防止了重放攻击,与3G中加密IMSI的方案相比,利用本实施例提供的MS将IMSI以密文形式传输,结构简单,可以直接应用到GSM***中,对GSM***的各种硬件设备无须做较大改动;获取TMSI后,VLR和MS之间的命令交换就使用TMIS,而不使用IMSI,防止了非法个人或团体通过监听无线路径上的信令交换而窃得MS用户的IMSI或跟踪MS用户的位置。
实施例7
图7为移动台的第三实施例结构示意图,如图7所示,该移动台包括:加密模块501和第一发送模块502;
该加密模块501包括:第一发送单元5013,第二接收单元5014和第二加密单元5015;
第一发送单元5013,用于通过VLR向HLR发送第一随机数。
例如,第一发送单元5013通过VLR将第一随机数R1发送给HLR。
第二接收单元5014,用于通过VLR接收HLR发送的HLR产生的第二随机数。
例如,HLR产生第二随机数R2后,通过VLR将R2发送给MS。
第二加密单元5015,用于对第一随机数和第二随机数进行认证运算和异或运算,得到第三随机数;将第三随机数再与自身的IMSI进行异或运算,完成对IMSI的加密。
本实施例可以采用A3算法为认证算法,则第三随机数R为R=A3(R1⊕A3(R1,R2),R2)。
加密模块501还可以包括:第一认证单元和第一确认单元;
第一认证单元,用于对第一随机数和第二随机数进行认证运算,得到第一认证运算结果,将该第一认证运算结果通过VLR发送给HLR;
还用于通过VLR接收HLR发送的第二认证运算结果;该第二认证运算结果为HLR采用与第一认证单元相同的认证算法对第一随机数和第二随机数进行认证运算得到的。
第一确认单元,用于当第一认证运算结果和第二认证运算结果相同时,确认第二随机数是HLR发送的,触发所述第二加密单元5015。
具体的,第二加密单元5015用于对第一随机数和第二随机数进行认证运算,将认证运算后的结果与第一随机数进行异或运算,然后再将异或运算的结果与第二随机数进行认证运算,得到第三随机数;将该第三随机数再与自身的IMSI进行异或运算,完成对IMSI的加密。
第一发送模块502,用于将加密模块501加密后的IMSI和HLR的标识发送给VLR,以使IMSI在无线链路上以密文形式传输,并使VLR根据HLR的标识将加密后的IMSI发送给HLR。
HLR通过VLR收到加密的IMSI之后,根据MS发送的第一随机数和自身产生的第二随机数计算出第三随机数,然后将计算出的第三随机数和收到的加密的IMSI进行异或运算,得到解密后的IMSI,并将解密后的IMSI发送给VLR,使VLR根据解密后的IMSI生成TMSI。
本实施例提供的移动台,可应用于用户身份的请求过程中,如当MS第一次在服务网络内注册,或者与MS交互的服务网络不能根据MS的TMSI获得相应的IMSI时,即可以采用本实施例提供的方法以密文形式传输IMSI,并产生TMSI。
本实施例中MS通过将自身产生的第一随机数和收到的第二随机数进行认证运算和异或运算,得到第三随机数,将该三随机数再与自身的IMSI进行异或运算,完成对IMSI的加密,将加密后的IMSI通过VLR发送给HLR,HLR收到加密后的IMSI之后,根据MS发送的第一随机数和自身产生的第二随机数计算出第三随机数,然后将计算出的第三随机数和收到的加密后的IMSI进行异或运算,得到解密后的IMSI,并将解密后的IMSI发送给VLR,使VLR根据解密后的IMSI生成TMSI,在获取TMSI的过程中使得IMSI在无线链路上以密文形式传输,保护了IMSI的安全,同时也防止了重放攻击,与3G中加密IMSI的方案相比,利用本实施例提供的MS将IMSI以密文形式传输,MS结构简单,可以直接应用到GSM***中,对GSM***的各种硬件设备无须做较大改动;获取TMSI后,VLR和MS之间的命令交换就使用TMIS,而不使用IMSI,防止了非法个人或团体通过监听无线路径上的信令交换而窃得MS用户的IMSI或跟踪MS用户的位置。
实施例8
图8为归属位置寄存器的第一实施例结构示意图,如图8所示,该HLR包括:解密模块601和第二发送模块602;
解密模块601,用于采用与MS商定的加密机制对收到的加密后的IMSI进行解密,得到解密后的IMSI。
当实施例5中的加密模块501具体采用HLR的公钥对IMSI进行加密时,相应的,解密模块601采用HLR的私钥对收到的加密后的IMSI进行解密,得到解密后的IMSI。
第二发送模块602,用于将解密模块601得到的解密后的IMSI发送给VLR,以使VLR根据解密后的IMSI生成TMSI。
本实施例中,HLR通过采用与MS商定的加密机制对收到的加密后的IMSI进行解密,得到解密后的IMSI,并将解密后的IMSI发送给VLR,使VLR根据解密后的IMSI生成TMSI,获取TMSI后,VLR和MS之间的命令交换就使用TMIS,而不使用IMSI,防止了非法个人或团体通过监听无线链路上的信令交换而窃得MS用户的IMSI或跟踪MS用户的位置。
实施例9
图9为归属位置寄存器的第二实施例结构示意图,如图9所示,该HLR包括:解密模块601和第二发送模块602;其中,解密模块601具体包括:第二协商单元6010、第三加密单元6011、第二发送单元6012和第一解密单元6013;
第二协商单元6010,用于与MS协商同态加密算法。
本实施例中的MS的结构与实施例6中的MS结构相同。
第三加密单元6011,用于采用第二协商单元6010协商的同态加密算法加密自身选择的多个随机数,该随机数的个数与IMSI的位数相同。
例如,由于目前IMSI的位数是15位,因此第三加密单元6011采用第二协商单元6010协商的同态加密算法加密自身选择的15个随机数r1,r2,...r15,这15个随机数r1,r2,...r15均不等于0。
如果将15个随机数r1,r2,...r15一起加密的话,计算过程可能比较复杂,为了简化计算过程,第三加密单元6011可以分批加密自身选择的15个随机数;例如,E(r1r2r3)||E(r4r5r6)||...||E(r13r14r15),||表示为链接。
需要说明的是,本实施例对分批加密的批次和每批的随机数个数都不作限制。
第二发送单元6012,用于将第三加密单元6011加密的多个随机数通过VLR发送给MS。
第一解密单元6013,用于通过VLR收到MS发送的加密的IMSI后,利用同态加密算法的性质对加密后的IMSI进行同态解密运算,得到解密后的IMSI。
继续上述例子,当实施例6中第一加密单元5012将IMSI加密为E(r1r2r3)a1a2a3||E(r4r5r6)a4a5a6||...||E(r13r14r15)a13a14a15时,第一解密单元6013利用同态加密算法的性质E(a)c=E(c·a)进行同态解密运算,得到
a1a2a3·r1r2r3,a4a5a6·r4r5r6,...,a13a14a15·r13r14r15,然后通过除法运算得到a1,a2,...,a15,从而得到解密后的IMSI;
当实施例6中第一加密单元5012将IMSI加密为
E(r1r2r3)*E(a1a2a3)||E(r4r5r6)*E(a4a5a6)||...||E(r13r14r15)*E(a13a14a15)时,第一解密单元6013利用同态加密算法的性质E(a)*E(b)=E(a+b)进行同态解密运算,得到
r1r2r3+a1a2a3||r4r5r6+a4a5a6...||r13r14r15+a13a14a15,然后减去15个随机数,得到a1,a2,...,a15,从而得到解密后的IMSI。
第二发送模块602,用于将解密模块601得到的解密后的IMSI发送给VLR,以使VLR根据解密后的IMSI生成TMSI。
本实施例中,HLR通过采用与MS商定的同态加密算法对收到的加密后的IMSI进行同态解密运算,得到解密后的IMSI,并将解密后的IMSI发送给VLR,使VLR根据解密后的IMSI生成TMSI,获取TMSI后,VLR和MS之间的命令交换就使用TMIS,而不使用IMSI,防止了非法个人或团体通过监听无线路径上的信令交换而窃得MS用户的IMSI或跟踪MS用户的位置。
实施例10
图10为归属位置寄存器的第三实施例结构示意图,如图10所示,该HLR包括:解密模块601和第二发送模块602;其中,解密模块601具体包括:第三接收单元6014,第三发送单元6015和第二解密单元6016;
第三接收单元6014,用于通过VLR接收MS发送的第一随机数。
本实施例中的MS的结构与实施例7中的MS结构相同。
第三发送单元6015,用于通过VLR向MS发送第二随机数。
第二解密单元6016,用于根据第一随机数和第二随机数计算出第三随机数,然后将计算出的第三随机数和收到的加密后的IMSI进行异或运算,得到解密后的IMSI。
第二发送模块602,用于将解密模块601得到的解密后的IMSI发送给VLR,以使VLR根据解密后的IMSI生成TMSI。
其中,解密模块601还包括:第二认证单元和第二确认单元;
第二认证单元,用于对第一随机数和第二随机数进行认证运算,得到第二认证运算结果,将该第二认证运算结果通过VLR发送给MS;
还用于通过VLR接收MS发送的第一认证运算结果;该第一认证运算结果为MS采用与第二认证单元相同的认证算法对第一随机数和第二随计数进行认证运算得到的。
第二确认单元,用于当第一认证运算结果和第二认证运算结果相同时,确认第一随机数是MS发送的,并向MS发送认证成功的消息。
需要说明的是,在进行异或运算前,需要将待进行异或运算的随机数转化为二进制。
本实施例中,HLR通过采用与MS商定的异或的加密机制对收到的加密的IMSI进行异或运算,得到解密后的IMSI,并将解密后的IMSI发送给VLR,使VLR根据解密后的IMSI生成TMSI,获取TMSI后,VLR和MS之间的命令交换就使用TMIS,而不使用IMSI,防止了非法个人或团体通过监听无线路径上的信令交换而窃得MS的IMSI或跟踪MS用户的位置。
实施例11
图11为通信***第一实施例结构示意图,如图11所示,该***包括:MS11、VLR12和HLR13;
MS11,用于采用与HLR13商定的加密机制对IMSI进行加密,并将加密后的IMSI发送给VLR12,以使IMSI在无线链路上以密文形式传输。
VLR12,用于收到MS11发送的加密后的IMSI后,将加密后的IMSI发送给HLR13;还用于接收HLR13发送的解密后的IMSI,并根据解密后的IMSI生成TMSI。
HLR13,用于根据与MS11商定的加密机制对收到的加密后的IMSI进行解密,并将解密后的IMSI发送给VLR12。
其中,HLR13将解密后的IMSI发送给VLR之前,还用于根据解密后的IMSI获取对应的主密钥,根据该主密钥和自身产生的随机数生成验证信息,并将该验证信息发送给VLR;
相应的,VLR根据该验证信息对IMSI对应的移动台进行验证,以确认IMSI对应的MS是合法的。
本实施例中,MS采用与HLR商定的加密机制对IMSI进行加密,将加密的IMSI通过VLR发送给HLR,HLR收到加密的IMSI后,根据商定的加密机制对加密后的IMSI进行解密,并将解密后的IMSI发送给VLR,使VLR根据解密后的IMSI生成TMSI,在获取TMSI的过程中使得IMSI在无线链路上以密文形式传输,保护了IMSI的安全;与3G中加密IMSI的方案相比,本实施例中加密IMSI的方案简单,可以直接应用到GSM***中,对GSM***的各种硬件设备无须做较大改动;获取TMSI后,VLR和MS之间的命令交换就使用TMIS,而不使用IMSI,防止了非法个人或团体通过监听无线路径上的信令交换而窃得移动客户的IMSI或跟踪移动客户的位置。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (8)

1.一种获取客户临时识别码的方法,其特征在于,所述方法包括:
采用与归属位置寄存器商定的加密机制对国际移动用户识别码进行加密;
将加密后的所述国际移动用户识别码通过访问位置寄存器发送给所述归属位置寄存器,以使所述归属位置寄存器根据所述商定的加密机制对加密后的所述国际移动用户识别码进行解密并将解密后的所述国际移动用户识别码发送给所述访问位置寄存器;
接收所述访问位置寄存器根据解密后的所述国际移动用户识别码生成的客户临时识别码;
所述采用与归属位置寄存器商定的加密机制对国际移动用户识别码进行加密,包括:
通过所述访问位置寄存器向所述归属位置寄存器发送第一随机数,并通过所述访问位置寄存器接收所述归属位置寄存器发送的第二随机数;
对所述第一随机数和所述第二随机数进行认证运算和异或运算,得到第三随机数;将所述第三随机数与所述国际移动用户识别码进行异或运算,得到加密后的所述国际移动用户识别码;
相应的,所述归属位置寄存器根据所述商定的加密机制对加密后的所述国际移动用户识别码进行解密,包括:
所述归属位置寄存器根据收到的所述第一随机数和所述第二随机数计算出第三随机数,然后将计算出的所述第三随机数和收到的加密后的所述国际移动用户识别码进行异或运算,得到解密后的所述国际移动用户识别码。
2.根据权利要求1所述的方法,其特征在于,所述通过所述访问位置寄存器向所述归属位置寄存器发送第一随机数,并通过所述访问位置寄存器接收所述归属位置寄存器发送的第二随机数之后,所述将所述第一随机数和所述第二随机数进行认证运算和异或运算之前,还包括:
对所述第一随机数和所述第二随机数进行认证运算,得到第一认证运算结果,将所述第一认证运算结果通过所述访问位置寄存器发送给所述归属位置寄存器;
通过所述访问位置寄存器接收所述归属位置寄存器发送的第二认证运算结果,所述第二认证运算结果为所述归属位置寄存器对所述第一随机数和所述第二随计数进行认证运算得到的;
当所述第一认证运算结果和第二认证运算结果相同时,确认所述第二随机数是所述归属位置寄存器发送的。
3.根据权利要求1或2所述的方法,其特征在于,所述将解密后的所述国际移动用户识别码发送给所述访问位置寄存器之前,还包括:
所述归属位置寄存器根据解密后的所述国际移动用户识别码获取对应的主密钥;
根据所述主密钥和随机数生成认证信息,并将所述认证信息发送给所述访问位置寄存器,使所述访问位置寄存器根据所述认证信息验证所述国际移动用户识别码对应的移动台是否合法,如果合法,执行将解密后的所述国际移动用户识别码发送给所述访问位置寄存器的步骤。
4.一种移动台,其特征在于,所述移动台包括:加密模块和第一发送模块;
所述加密模块,用于采用与归属位置寄存器商定的加密机制对国际移动用户识别码进行加密;
所述第一发送模块,用于将所述加密模块加密后的所述国际移动用户识别码通过访问位置寄存器发送给所述归属位置寄存器,以使所述归属位置寄存器根据所述商定的加密机制对加密后的所述国际移动用户识别码进行解密并将解密后的所述国际移动用户识别码发送给所述访问位置寄存器;
所述加密模块,包括:第一发送单元,第二接收单元和第二加密单元;
所述第一发送单元,用于通过所述访问位置寄存器向所述归属位置寄存器发送第一随机数;
所述第二接收单元,用于通过所述访问位置寄存器接收所述归属位置寄存器发送的第二随机数;
所述第二加密单元,用于对所述第一随机数和所述第二随机数进行认证运算和异或运算,得到第三随机数,将所述第三随机数再与国际移动用户识别码进行异或运算,得到加密后的所述国际移动用户识别码。
5.根据权利要求4所述的移动台,其特征在于,所述加密模块还包括:第一认证单元和第一确认单元;
所述第一认证单元,用于对所述第一随机数和所述第二随机数进行认证运算,得到第一认证运算结果,将所述第一认证运算结果通过所述访问位置寄存器发送给所述归属位置寄存器;
所述第一认证单元,还用于通过所述访问位置寄存器接收所述归属位置寄存器发送的第二认证运算结果,所述第二认证运算结果为所述归属位置寄存器对所述第一随机数和所述第二随机数进行认证运算得到的;
第一确认单元,用于当所述第一认证运算结果和第二认证运算结果相同时,确认所述第二随机数是所述归属位置寄存器发送的,触发所述第二加密单元。
6.一种归属位置寄存器,其特征在于,所述归属位置寄存器包括:解密模块和第二发送模块;
所述解密模块,用于采用与移动台商定的加密机制对收到的加密后的国际移动用户识别码进行解密,得到解密后的所述国际移动用户识别码;
第二发送模块,用于将所述解密模块得到的解密后的所述国际移动用户识别码发送给访问位置寄存器,以使所述访问位置寄存器根据解密后的所述国际移动用户识别码生成客户临时识别码;
所述解密模块包括:第三接收单元、第三发送单元和第二解密单元;
第三接收单元,用于通过所述访问位置寄存器接收所述移动台发送的第一随机数;
第三发送单元,用于通过所述访问位置寄存器向所述移动台发送第二随机数;
第二解密单元,用于根据所述第一随机数和所述第二随机数计算出第三随机数,然后将计算出的所述第三随机数和收到的加密后的所述国际移动用户识别码进行异或运算,得到解密后的所述国际移动用户识别码。
7.根据权利要求6所述的归属位置寄存器,其特征在于,所述解密模块还包括:第二认证单元和第二确认单元;
所述第二认证单元,用于通过所述访问位置寄存器接收所述移动台发送的第一认证运算结果,所述第一认证运算结果为所述移动台对所述第一随机数和所述第二随计数进行认证运算得到的;
还用于对所述第一随机数和所述第二随机数进行认证运算,得到第二认证运算结果,将所述第二认证运算结果通过所述访问位置寄存器发送给所述移动台;
第二确认单元,用于当所述第一认证运算结果和所述第二认证运算结果相同时,确认所述第一随机数是所述移动台发送的,并向所述移动台发送认证成功的消息。
8.一种通信***,其特征在于,所述***包括:如权利要求4或5所述的移动台、访问位置寄存器和归属位置寄存器;
所述访问位置寄存器,用于收到所述移动台发送的加密后的所述国际移动用户识别码后,将加密后的所述国际移动用户识别码发送给所述归属位置寄存器;还用于接收所述归属位置寄存器发送的解密后的所述国际移动用户识别码,并根据解密后的所述国际移动用户识别码生成客户临时识别码。
所述归属位置寄存器,用于根据与所述移动台商定的加密机制对收到的加密后的所述国际移动用户识别码进行解密,并将解密后的所述国际移动用户识别码发送给所述访问位置寄存器;
所述归属位置寄存器根据所述商定的加密机制对加密后的所述国际移动用户识别码进行解密,包括:
所述归属位置寄存器根据收到的所述第一随机数和所述第二随机数计算出第三随机数,然后将计算出的所述第三随机数和收到的加密后的所述国际移动用户识别码进行异或运算,得到解密后的所述国际移动用户识别码。
CN2010101221018A 2010-03-09 2010-03-09 获取tmsi的方法、移动台、归属位置寄存器和通信*** Expired - Fee Related CN101808313B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2010101221018A CN101808313B (zh) 2010-03-09 2010-03-09 获取tmsi的方法、移动台、归属位置寄存器和通信***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2010101221018A CN101808313B (zh) 2010-03-09 2010-03-09 获取tmsi的方法、移动台、归属位置寄存器和通信***

Publications (2)

Publication Number Publication Date
CN101808313A CN101808313A (zh) 2010-08-18
CN101808313B true CN101808313B (zh) 2012-11-21

Family

ID=42609887

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2010101221018A Expired - Fee Related CN101808313B (zh) 2010-03-09 2010-03-09 获取tmsi的方法、移动台、归属位置寄存器和通信***

Country Status (1)

Country Link
CN (1) CN101808313B (zh)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102131188B (zh) * 2010-09-01 2013-12-04 华为技术有限公司 用户身份信息传输的方法、用户设备、网络侧设备及***
CN101969638B (zh) * 2010-09-30 2013-08-14 中国科学院软件研究所 一种移动通信中对imsi进行保护的方法
CN102932318A (zh) * 2011-08-10 2013-02-13 华为技术有限公司 一种双向转发检测会话的验证方法及节点
CN104270737B (zh) * 2014-10-17 2018-07-03 中国联合网络通信集团有限公司 Imsi的保护方法及装置
CN105208552A (zh) * 2015-09-06 2015-12-30 集怡嘉数码科技(深圳)有限公司 一种移动终端与智能卡绑定的实现方法
WO2018015243A1 (en) * 2016-07-18 2018-01-25 Telefonaktiebolaget Lm Ericsson (Publ) Operation related to user equipment using secret identifier
US11172360B2 (en) * 2017-10-13 2021-11-09 Qualcomm Incorporated Transfer of security protected configuration data from HPLMN
CN111246464B (zh) * 2018-11-29 2023-04-07 中国电信股份有限公司 身份鉴别方法、装置和***、计算机可读存储介质
CN110933670A (zh) * 2019-11-28 2020-03-27 楚天龙股份有限公司 一种实现主认证增强的安全usim卡及终端的主认证方法
CN110995409B (zh) * 2020-02-27 2020-06-23 南京红阵网络安全技术研究院有限公司 基于部分同态加密算法的拟态防御裁决方法和***

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1111952A2 (en) * 1999-12-22 2001-06-27 Nokia Corporation Method for transmitting an encryption number in a communication system and a communication system
CN1790984A (zh) * 2004-12-14 2006-06-21 中兴通讯股份有限公司 一种通信***中用户身份保密的方法
CN101365219A (zh) * 2007-08-09 2009-02-11 展讯通信(上海)有限公司 一种手机注册方法及手机端处理方法和网络侧处理方法
CN102111760A (zh) * 2009-12-28 2011-06-29 北京安码科技有限公司 一种imsi安全性提升方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1111952A2 (en) * 1999-12-22 2001-06-27 Nokia Corporation Method for transmitting an encryption number in a communication system and a communication system
CN1790984A (zh) * 2004-12-14 2006-06-21 中兴通讯股份有限公司 一种通信***中用户身份保密的方法
CN101365219A (zh) * 2007-08-09 2009-02-11 展讯通信(上海)有限公司 一种手机注册方法及手机端处理方法和网络侧处理方法
CN102111760A (zh) * 2009-12-28 2011-06-29 北京安码科技有限公司 一种imsi安全性提升方法

Also Published As

Publication number Publication date
CN101808313A (zh) 2010-08-18

Similar Documents

Publication Publication Date Title
CN101808313B (zh) 获取tmsi的方法、移动台、归属位置寄存器和通信***
JP4263384B2 (ja) ユーザ加入識別モジュールの認証についての改善された方法
Lee et al. Enhanced privacy and authentication for the global system for mobile communications
CN1602643B (zh) 在通信***中提供用户标识和特性的私密性的方法和装置
CN101094065B (zh) 无线通信网络中的密钥分发方法和***
CN102594555B (zh) 数据的安全保护方法、网络侧实体和通信终端
CN101741555B (zh) 身份认证和密钥协商方法及***
CN101969638B (zh) 一种移动通信中对imsi进行保护的方法
CA2377292C (en) System and method for providing secure communications between wireless units using a common key
CN101102186B (zh) 通用鉴权框架推送业务实现方法
CN100589381C (zh) 一种通信***中用户身份保密的方法
EP2656648B1 (en) Operator-assisted key establishment
CN101552668A (zh) 用户设备接入网络时的认证方法、用户设备及基站
CN105553951A (zh) 数据传输方法和装置
CN101635924B (zh) 一种cdma端到端加密通信***及其密钥分发方法
CN108848495B (zh) 一种使用预置密钥的用户身份更新方法
CN101340443A (zh) 一种通信网络中会话密钥协商方法、***和服务器
CN103152731A (zh) 一种3g接入的imsi隐私保护方法
CN104244245A (zh) 一种无线接入认证方法、无线路由设备和无线终端
CN101511082A (zh) 组密钥的更新方法、设备及***
US20120142315A1 (en) Method for authentication and key establishment in a mobile communication system and method of operating a mobile station and a visitor location register
CN112020038A (zh) 一种适用于轨道交通移动应用的国产加密终端
CN101895881A (zh) 一种实现gba密钥的方法及终端可插拔设备
CN103179514A (zh) 一种敏感信息的手机安全群分发方法和装置
CN101784048B (zh) 动态更新密钥的身份认证和密钥协商方法及***

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20171207

Address after: 225327 Mingzhu Avenue, Yongan Town, Taizhou City, Jiangsu Province, No. 108

Patentee after: Wei Liqiang

Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen

Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd.

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20180102

Address after: 300000 Tianjin Jixian County economic development zone and Tianjin Special Automobile Industrial Park

Patentee after: Tianjin China boson new materials Co.,Ltd.

Address before: 225327 Mingzhu Avenue, Yongan Town, Taizhou City, Jiangsu Province, No. 108

Patentee before: Wei Liqiang

CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20121121