CN101969638A - 一种移动通信中对imsi进行保护的方法 - Google Patents
一种移动通信中对imsi进行保护的方法 Download PDFInfo
- Publication number
- CN101969638A CN101969638A CN2010105005291A CN201010500529A CN101969638A CN 101969638 A CN101969638 A CN 101969638A CN 2010105005291 A CN2010105005291 A CN 2010105005291A CN 201010500529 A CN201010500529 A CN 201010500529A CN 101969638 A CN101969638 A CN 101969638A
- Authority
- CN
- China
- Prior art keywords
- imsi
- user
- vlr
- hlr
- pki
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种移动通信中对IMSI进行保护的方法,在移动通信原有的身份标识和认证协议的基础上,用户使用HLR公钥对IMSI进行加密并发送给VLR,VLR将加密后的IMSI发送给HLR,由HLR解密后产生认证向量,HLR再将加密后的IMSI和相应的认证向量发送给VLR,VLR据此对用户进行认证。此外,也可以结合公钥证书的使用来实现对IMSI的保护。这样,攻击者无论通过被动窃听还是主动诱骗都不能确认用户的身份,不能进行对用户的行踪等隐私的捕获,同时又不会影响到VLR对用户所在的HLR的确认,从而使得AKA协议能够顺利进行。
Description
技术领域
本发明属于移动通信安全领域,特别涉及一种在基于IMSI对用户或者基站进行认证的场景中实现对用户隐私保护的方法。
背景技术
国际移动用户识别码(IMSI,International Mobile Subscriber Identity)是国际上为唯一识别一个移动用户所分配的号码。IMSI由移动通信运营商向注册用户发布,存储于移动通信运营商核心网端的归属寄存器(HLR,Home Location Register)以及用户端的全球用户识别卡(USIM,Universal Subscriber Identity Module)中。
IMSI为15位,每一位为0到9的十进位数字,由移动国家码MCC、移动网络码MNC、移动用户识别号码MSIN三部分组成。其中,MCC(Mobile Country Code)由国际电信联盟(ITU)统一分配和管理,唯一识别移动用户所属的国家,共3位,中国为460;MNC(Mobile NetworkCode)唯一识别用户所属移动通信网络,共2位;MSIN(Mobile Subscriber IdentificationNumber)共十位,其结构如下:09+M0M1M2M3+ABCD,其中M0M1M2M3标识用户IMSI所存储的HLR,ABCD随机分配标识用户。
移动通信运营商向注册用户发布IMSI的同时,会向用户发布共享密钥K,K也存储在HLR及USIM卡中。当用户接入移动通信网络的时候,会向运营商核心网发送IMSI,双方基于共享密钥K,使用AKA(Authentication and Key Agreement)协议,实现相互认证,以及会话密钥的产生和分配。
但是IMSI在通话中明文发送,如果非法个人或团体通过监听无线路径上的信令交换而窃得IMSI从而跟踪移动客户的位置,这样就造成对用户隐私的侵害,所以移动通信中使用临时识别码(TMSI)来减少IMSI的使用,从而实现对用户隐私的保护。
TMSI(Temporary Mobile Subscriber Identity)是一个本地号码,只在一个给定的区域有意义,这个区域由位置区识别码LAI(Location Area Identity)来标识。当通过AKA认证后访问寄存器VLR(Visitor Location Register)生成并向用户分配TMSI,存储TMSI与IMSI之间的对应关系。之后用户使用TMSI与网络建立联系,如请求接入网络、路由更新、附着请求、寻呼消息等。只有VLR不能在LAI标识的区域查找到合法的TMSI的情况下,才会向用户发出IMSI的要求。
在移动通信网络中,在TMSI方案保护的情况下,IMSI明文仍然会在以下场合使用:
1)用户第一次接入网络;
2)用户开机;
3)用户漫游到一个新的网络,新网络与原网络之间没有漫游协议;
4)网络侧TMSI丢失。
此外,更大的威胁是攻击者可以伪造基站,向用户发送TMSI接入失败的伪造信息,诱骗用户发送IMSI。这样,攻击者可以搜集一个区域内的IMSI,当这些IMSI与用户身份关联在一起,攻击者可以实现对用户行踪的跟踪。这样,基于TMSI的保护方案便没有意义了。
申请号为200910076453.1的中国专利申请提供了一种基于假名的IMSI保护方案。当用户与移动运营商核心网络通过认证以后,VLR给UE(User Equipment,用户设备)分配一个GUTI(Globally Unique Temporary Identity,全球唯一临时识别码)作为临时身份,同时也把这个值和其对应的用户标识IMSI发送给HLR。HLR有一个用于存储IMSI的存储单元,包括IMSI信息、最新的GUTI以及之前使用的GUTI。在以后的连接中,若TMSI认证失败,需要发送IMSI时,用户只发送GUTI作为自己的身份标识。HLR根据所存储的IMSI与GUTI的对应关系确定用户,并且由VLR更新升级GUTI。
上述基于假名的IMSI保护方案对于移动通信中原有的用户身份方案有较大的改动,在网络端和用户端的存储和管理也都需要有较大的更新和改变。另外,基于假名的IMSI保护由于GUTI动态更新,不能排除认证失败的可能,此时用户仍然需要发送IMSI,只要存在IMSI发送的情况,攻击者就可以伪造基站诱骗用户发送IMSI,仍然可以获得用户的行踪。
发明内容
本发明的目的在于提供一种对国际移动用户识别码(IMSI)机密性保护的方法,通过在移动通信中隐藏IMSI来实现对用户的隐私性保护,适用于基于IMSI对用户或者基站进行认证等场景。该方法能够在基本不改变原有***和协议的情况下,有效的防止攻击者对用户行踪等隐私性的破坏。
本发明的技术方案基于以下考虑和原则:
1.要从根本上防止假冒基站欺骗用户IMSI的攻击,应该避免IMSI的明文在用户向VLR发起的无线连接中发送;
2.对于VLR向用户发送认证数据时,虽然并没有发送IMSI,但是这时并没有协商好TMSI,仍需要通过IMSI来确认连接用户,这时IMSI也可以被攻击者捕获,因此也需要对这时的IMSI进行加密和保护;
3.由于用户端的存储和计算能力都比较弱,用户端所进行的存储尽量小,所以所进行的运算应尽量简单;
4.对于移动通信中已经相对成熟和完善的身份标识格式和认证的基本协议AKA协议不能进行大的改动;
5.HLR在得到IMSI明文之前并不能确定用户的唯一身份,所以所有在HLR注册的用户使用共同的密钥;
6.利用随机数计数器或者时间戳使得每次发送的经过加密的IMSI不相同,以免攻击者得到用户信息。
根据以上考虑和原则,在本发明的第一方面,提供如下技术方案:
一种移动通信中对IMSI进行保护的方法,包括以下步骤:
1)HLR向其注册用户发布公钥,公钥与用户的IMSI和用户密钥K一起存储在SIM卡或USIM卡中;
2)当用户需要向VLR发送IMSI进行身份验证的时候,利用公钥对IMSI进行加密处理,用户将加密结果(即加密后的IMSI)发送给VLR,而不是发送IMSI;
3)VLR得到用户加密后的IMSI密文,将密文发送至用户归属的HLR;
4)HLR利用私钥解密VLR传来的密文后得到明文IMSI,确定用户后使用相应的用户密钥K产生AKA认证协议的认证向量(三元组或五元组)并传给VLR;
5)VLR存储加密后的IMSI,以此作为用户的身份标识,并与从所述HLR接收到的认证向量进行关联记录,对用户进行认证。
上述基于公钥的IMSI保护方法的流程如图1所示,ME代表用户,用户使用HLR的公钥对IMSI进行加密的结果是IMSI*,用户将IMSI*发送给VLR;VLR识别出IMSI*中标识HLR的信息,将IMSI*发送给用户归属的HLR;HLR使用私钥对IMSI*进行解密得到IMSI,并计算认证向量;HLR将IMSI*及相应的认证向量发送给VLR;VLR根据IMSI*和认证向量对用户进行认证;同时,VLR产生与IMSI*相关联的临时身份标识TMSI,用于下一次连接认证。
上述步骤2)中利用公钥对IMSI进行加密处理使用的公钥加密算法优选是椭圆曲线公钥加密算法。
上述步骤5)中VLR必要时还可以为用户产生与所述加密后的IMSI相关联的临时身份标识TMSI。VLR存储TMSI,并将其与加密后的IMSI和认证向量相关联,用于下一次连接认证。
上述步骤2)对IMSI进行加密处理的方法可以采用以下两种具体方案之一:
方案一:为防止攻击者得到用户的IMSI,当VLR要求用户发送IMSI的时候,用户使用HLR的公钥对IMSI进行加密。但是由于VLR并不能解密出IMSI,所以不能得到有关HLR的信息,因此,用户需要在发送加密后的IMSI的同时,把IMSI中标识HLR的部分也发送给VLR。也就是说,用户对IMSI进行加密后,发送给VLR的数据除加密得到的密文外,还包括所述IMSI的前11位数字。这样,VLR不需要解密,只把加密的IMSI后的密文发送给相应HLR,由HLR使用私钥解密得到IMSI,并进行下一步的AKA认证。
方案二:本方案基于IMSI的结构特点,特别是IMSI的第三部分移动用户身份码MSIN的结构特点。由于MSIN中使用4个十进位标识用户所注册的即认证所进行的另一方的HLR,而另外4个十进位标识用户本身,因此,对IMSI进行加密时,可以只加密IMSI最后4位数字,而保留IMSI的前11位数字不变。可以使用一种公钥加密方案,使用预置于用户端的所注册HLR的公钥对标识用户身份的4个十进位进行隐藏,而标识HLR的4个十进位仍然以明文形式发送,使得用户当前所存在的VLR可以直接得到HLR的信息以进行下一步的AKA认证。
由于HLR与VLR之间的连接非无线连接,我们一般认为是安全的,但是VLR得到HLR的数据后,仍要根据IMSI来寻找用户,这也可能会被攻击者的捕获。因此,HLR仍可以发还加密后的IMSI给VLR,而用户端在发送加密后的IMSI后保存,暂时以其为身份标识,直到通过认证,建立连接。同时,为了防止每次加密后发送相同的结果,用户端在加密之前应该对数据填充随机数以保护不被攻击者从密文中发现规律,保证攻击者无法得到HLR以外的信息,也就是在对IMSI进行加密处理时引入一个随机数,使得每次加密得到的密文不同。由于这里的随机数的作用只是避免加密后出现相同结果,因此对伪随机性好坏并无要求,用户端可以根据时间戳等可变参数产生变化的结果,或者采用一个计时器产生变化的结果即可。
本发明的IMSI保护方法是在使用TMSI保护IMSI策略的基础上,即TMSI认证失败以后,必须使用IMSI认证的情况下进行的。在正常情况下,用户仍然是更多的使用TMSI来发起连接。本发明更适合于防止攻击者伪造基站的主动攻击行为,以及对隐私性有较高要求的特殊用户。这样是为了减少用户端及网络端的计算负担,也为了减小对原有方案的改动。
相比较而言,上述对IMSI进行加密处理的方案一发送数据需要额外添加HLR信息,所修改的内容也有多余的并不需要保护的内容,也会对原有格式有相对较大的改动,不如方案二灵活和实效。而方案二为了满足公钥加密的要求,要对加密数据做更多的填充。随着移动通信网络的升级与更新,IMSI的格式和要求发生的变化会给方案二带来更大的影响和改动,在兼容性上,方案一优于方案二。
在本发明的另一方面,还可以结合公钥证书的使用来对IMSI进行保护。在公钥证书使用的情况下,用户不需要预置HLR的公钥,而是预置可信机构的公钥来验证公钥证书中可信机构的签名,可以考虑利用VLR的证书,或者是利用HLR的证书。其他地方则与上述的预置HLR公钥的方案基本相同。
(一)利用VLR证书的技术方案
在TMSI认证失败以后,VLR在向用户要求IMSI的同时向用户发送自己的公钥证书,由于用户此时不能接入网络,VLR还要向用户发送可信机构的证书撤销列表或者证书状态查询结果,以及由用户所信任可信机构到此VLR的信任链上的所有证书。用户在确认VLR公钥的合法性和可用性以后,使用VLR的公钥按照以上加密方案加密IMSI,VLR利用自己的私钥解密后将IMSI交给HLR。具体步骤包括:
1)用户预置可信机构的公钥,当用户需要向VLR发送IMSI进行身份验证的时候,由VLR向用户发送自己的公钥证书,以及用户所信任的可信机构的证书撤销列表或者证书状态查询结果,和可信机构到此VLR的信任链上的所有证书,然后用户利用可信机构的公钥对可信机构的签名进行验证;
2)如果用户确认VLR公钥证书中的VLR公钥是合法且可用的,则利用VLR公钥对IMSI进行加密处理,用户将加密结果(即加密后的IMSI)发送给VLR,而不是发送IMSI;
3)VLR得到用户加密后的IMSI密文后,利用自己的私钥解密得到IMSI,并将IMSI发送至用户归属的HLR;
4)HLR收到IMSI,确定用户后使用相应的用户密钥K产生AKA认证协议的认证向量(三元组或五元组)并传给VLR;
5)VLR存储加密后的IMSI,以此作为用户的身份标识,并与从HLR接收到的认证向量进行关联记录,对用户进行认证。
(二)利用HLR证书的技术方案
在TMSI认证失败以后,VLR在向用户要求IMSI之前先询问用户所在HLR,向HLR询问证书后发送给用户。具体步骤包括:
1)用户预置可信机构的公钥,当用户需要向VLR发送IMSI进行身份验证的时候,VLR先向用户询问用户归属的HLR,然后向HLR询问公钥证书后发送给用户,同时发送用户所信任的可信机构的证书撤销列表或者证书状态查询结果,和可信机构到此HLR的信任链上的所有证书,然后用户利用可信机构的公钥对可信机构的签名进行验证;
2)如果用户确认HLR公钥证书中的HLR公钥是合法且可用的,则利用HLR公钥对IMSI进行加密处理,用户将加密结果(即加密后的IMSI)发送给VLR,而不是发送IMSI;
3)VLR得到用户加密后的IMSI密文,将密文发送至用户归属的HLR;
4)HLR利用私钥解密VLR传来的密文后得到明文IMSI,确定用户后使用相应的用户密钥K产生AKA认证协议的认证向量(三元组或五元组)并传给VLR;
5)VLR存储加密后的IMSI,以此作为用户的身份标识,并与从所述HLR接收到的认证向量进行关联记录,对用户进行认证。
结合公钥证书的技术方案虽然用户同样要预置公钥,并且交换证书的过程以及证书验证的过程比前述预置HLR公钥方案都要复杂,但是,用户预置的公钥是难以改动的,因此在预置HLR公钥的方案中,如果HLR的私钥泄漏了,想要改变公私秘钥对比较困难,而在用公钥证书的情况下,用户预置的是可信机构的公钥,可信机构的安全级别相对较高,风险较小,可以忽略可能出现的需要改动的情形。可信机构的证书可以更广泛的应用,并且证书的应用使得公钥的管理更加方便,也可以考虑结合公钥证书的技术方案在PKI(Public KeyInfrastructure,公钥基础设施)下的应用场景。
对本发明方法的安全性分析:
a)隐私性
由用户向VLR发送的IMSI,以及VLR向用户发起认证连接时发送的身份标识都是经过公钥加密的IMSI*,在算法安全的保证下,攻击者不能从中得到用户信息。由于有4个十进制位标识用户,攻击者从HLR信息中得到用户信息的可能性约为万分之一,从而使得攻击没有实际意义。同时,由于加密过程中加入了随机数,使得每次加密的结果并不相同,攻击者并不能从加密后的数据中得到用户的有关信息而得到用户行踪。
b)认证性
IMSI*的引入没有引起新的安全问题。攻击者无法得到用户与HLR的共享密钥K而假冒用户通过AKA协议的认证,也不能进行重放攻击。实际上本发明方法只是对用户标识进行改动,完全不影响以后的认证的过程。
此外,本发明的技术方案是使用公钥加密算法(即非对称密码算法)来对IMSI进行加密处理的,但并不排除使用对称密码算法的保护方案的可行性。若使用对称密钥密码算法,可以通过更小的计算量来加密保护IMSI,不过为了保证HLR可以解密出标识用户身份的IMSI,必须使HLR与在此HLR注册的每一个相关用户共享同一个密钥,在加密解密密钥相同的情况下,任一个用户端密钥的泄漏都会导致整个HLR注册域内的方案无效。可见,公钥加密方案在安全性上要优于私钥加密方案。
综上,本发明在移动通信原有的身份标识和认证协议的基础上,通过对IMSI结构和原有认证***的分析,提出使用公钥加密算法对IMSI中标识用户身份的部分进行隐藏的用户隐私保护方法。这样,攻击者无论通过被动窃听还是主动的诱骗都不能确认用户的身份,不能进行对用户的行踪等隐私的捕获。同时又不会影响到VLR对用户所在的HLR的确认,从而使得AKA协议能够顺利进行。本发明对移动通信原有的的身份标识方法和认证***改动较小,其代价是加密后的IMSI格式与明文IMSI数据格式有区别,在用户端略微增加计算量和存储量,没有增加新的安全威胁,能够有效保护IMSI的隐私性。
附图说明
图1是本发明基于公钥的IMSI保护方法的流程图。
图2为本发明实施例1描述的使用公钥保护IMSI方案一的具体流程图。
图3为本发明实施例2描述的使用公钥保护IMSI方案二的具体流程图。
具体实施方式
下面结合附图,通过实施例进一步描述本发明,但不以任何方式限制本发明的范围。
用户注册得到USIM,其中包括用户的身份标识IMSI、用户与HLR的共享密钥K、HLR的公钥PK,以及相关公钥加密参数。
在用户首次接入网,或者在TMSI认证失败的情况下,VLR向用户询问IMSI。
实施例1:对IMSI加密处理的方案一
如图2所示,用户计算IMSI*=IMSI0||EPK(IMSI||N),用户存储IMSI*并发送给VLR,其中IMSI0包括IMSI中标识HLR的部分,N为用户产生的随机数,EPK为公钥加密算法;VLR根据IMSI0得到HLR信息,并把IMSI*发送给相关HLR;HLR使用私钥对IMSI*中IMSI0后面的部分解密,得到IMSI;确定用户后,HLR使用相应的与用户共享的密钥K产生多个AKA认证协议的五元组,将这些五元组和IMSI*发送给VLR;VLR存储五元组,并根据IMSI*和其中的任一组五元组进行AKA协议对用户进行认证。
实施例2:对IMSI加密处理的的方案二
如图3所示,用户计算IMSI*=IMSI1||EPK(IMSI2||N),用户存储IMSI*并发送给VLR,其中IMSI1包括IMSI中的MCC、MNC及MSIN中标识HLR的部分,IMSI2为标识用户身份的部分,N为用户产生的随机数,EPK为公钥加密算法;VLR根据IMSI1得到HLR信息,把IMSI*发送给相关HLR,HLR使用私钥解密,得到IMSI2,从而得到完整的IMSI;确定用户后,HLR使用相应的与用户共享的密钥K产生多个AKA认证协议的五元组,将这些五元组和IMSI*发送给VLR;VLR存储五元组,并根据IMSI*和其中的任一组五元组进行AKA协议对用户进行认证。
上述实施例1或2认证通过以后,由VLR产生TMSI,并使用AKA协议中协商的会话密钥加密后发送给用户。认证结束。VLR存储TMSI,并与IMSI*以及五元组相关联,用于下一次连接认证。
关于加密算法的具体实例
椭圆曲线密码体制与其他公钥密码体制相比,无论是安全性还是计算性能上都有明显优势,这里以椭圆曲线公钥加密算法为例,描述一个本发明的具体实例。
注册用户A的IMSI为460030901178649,其中460为MCC标识国家中国,03为MNC标识网络,0901178649为MSIN唯一标识用户其中0117标识用户所注册的HLR,8649标识用户个人。IMSI存储于用户的USIM卡中。
在椭圆曲线公钥加密算法中,HLR与用户共享以下参数,:
p=6277101735386680763835789423207666416083908700390324961279,
a=fffffffffffffffffffffffffffffffefffffffffffffffc,
b=64210519e59c80e70fa7e9ab72243049feb8deecc146b9b1,
G=03188da80eb03090f67cbf20eb43a18800f4ff0afd82ff1012,
n=6277101735386680763835789423176059013767194773182842284081,
其中p、n为十进制,a、b、G为十六进制。
HLR私钥为651056770906015076056810763456358567190100156695615665659,计算公钥为0262b12d60690cdcf330babab6e69763b471f994dd702d16a5,公钥公开。HLR的公钥和以上共享参数也存储于用户端的USIM卡中。
当用户第一次接入网络或者使用TMSI认证失败时,按照如下方案一或方案二进行,对IMSI进行保护:
方案一:用户生成N=12345,IMSI填充到20位,并使用HLR的公钥加密得
6E9E9196C358AF435A3F4E73C4E771FD09BDAA8B377005F4D85FCB55C2A5CF4D6618E9FA1EAEEE78,在加密后的数据前添加HLR信息得:
IMSI*=460030901176E9E9196C358AF435A3F4E73C4E771FD09BDAA8B377005F4D85FCB55C2A5CF4D6618E9FA1EAEEE78
用户存储IMSI*并发送给VLR。
VLR收到数据后,根据IMSI0=46003090117,把IMSI*发送给号码为0117的HLR。
HLR使用自己的私钥对0117以后的数据进行解密,去掉填充得到IMSI=460030901178649,根据IMSI所标识的用户,找到相应的共享密钥K,产生AKA协议认证需要的五元组发送给VLR。
VLR根据IMSI*标识连接用户,进行AKA协议认证。
方案二:用户生成N=1234567890123456,对IMSI中标识用户个人的部分IMSI2=8649填充到20位,使用HLR的公钥对IMSI2||N=86491234567890123456加密,得
EPK(IMSI2||N)=AB4907A43BC84802F3DA6E960849A12A89944E180E559B79598520B500D09E5475D6C14E7ACC6292,
再加上IMSI中标识国家网络和HLR的IMSI1部分:
IMSI*=46003090117AB4907A43BC84802F3DA6E960849A12A89944E180E559B79598520B500D09E5475D6C14E7ACC6292,
VLR收到数据后,根据IMSI1得到HLR标识,把数据发送给号码为0117的HLR。
HLR使用自己的私钥对0117以后的数据进行解密,去掉填充得到
IMSI=460030901178649,根据IMSI所标识的用户,找到相应的共享密钥K,产生AKA协议认证需要的五元组发送给VLR。
VLR根据IMSI*标识连接用户,进行AKA协议认证。
Claims (9)
1.一种移动通信中对IMSI进行保护的方法,包括以下步骤:
1)HLR向其注册用户发布公钥,公钥与用户的IMSI和用户密钥K一起存储在SIM卡或USIM卡中;
2)当用户需要向VLR发送IMSI进行身份验证的时候,用户利用公钥对IMSI进行加密处理,将加密后的IMSI发送给VLR;
3)VLR得到加密后的IMSI后将其发送至用户归属的HLR;
4)HLR利用私钥解密加密后的IMSI得到明文IMSI,确定用户后使用相应的用户密钥K产生AKA认证协议的认证向量并传给VLR;
5)VLR存储加密后的IMSI,以此作为用户的身份标识,并与从所述HLR接收到的认证向量进行关联记录,对用户进行认证。
2.一种移动通信中对IMSI进行保护的方法,包括以下步骤:
1)用户预置可信机构的公钥,当用户需要向VLR发送IMSI进行身份验证的时候,由VLR向用户发送自己的公钥证书,以及用户所信任的可信机构的证书撤销列表或者证书状态查询结果,和可信机构到此VLR的信任链上的所有证书,然后用户利用可信机构的公钥对可信机构的签名进行验证;
2)如果用户确认VLR公钥证书中的VLR公钥是合法且可用的,则利用VLR公钥对IMSI进行加密处理,并将加密后的IMSI发送给VLR;
3)VLR利用自己的私钥解密加密后的IMSI得到IMSI,并将其发送至用户归属的HLR;
4)HLR收到IMSI,确定用户后使用相应的用户密钥K产生AKA认证协议的认证向量并传给VLR;
5)VLR存储加密后的IMSI,以此作为用户的身份标识,并与从HLR接收到的认证向量进行关联记录,对用户进行认证。
3.一种移动通信中对IMSI进行保护的方法,包括以下步骤:
1)用户预置可信机构的公钥,当用户需要向VLR发送IMSI进行身份验证的时候,VLR先向用户询问用户归属的HLR,然后向HLR询问公钥证书后发送给用户,同时发送用户所信任的可信机构的证书撤销列表或者证书状态查询结果,和可信机构到此HLR的信任链上的所有证书,然后用户利用可信机构的公钥对可信机构的签名进行验证;
2)如果用户确认HLR公钥证书中的HLR公钥是合法且可用的,则利用HLR公钥对IMSI进行加密处理,并将加密后的IMSI发送给VLR;
3)VLR得到用户加密后的IMSI,将其发送至用户归属的HLR;
4)HLR利用私钥解密加密后的IMSI得到明文IMSI,确定用户后使用相应的用户密钥K产生AKA认证协议的认证向量并传给VLR;
5)VLR存储加密后的IMSI,以此作为用户的身份标识,并与从所述HLR接收到的认证向量进行关联记录,对用户进行认证。
4.如权利要求1或2或3所述的方法,其特征在于,步骤2)用户利用公钥对IMSI进行加密处理采用的公钥加密算法是椭圆曲线公钥加密算法。
5.如权利要求1或2或3所述的方法,其特征在于,在步骤5)VLR为用户产生一个临时身份标识TMSI,并将其与加密后的IMSI和认证向量相关联,用于下一次连接认证。
6.如权利要求1或2或3所述的方法,其特征在于,步骤2)所述加密后的IMSI中包括对IMSI整个进行加密处理后的结果,还包括标识HLR的部分。
7.如权利要求6所述的方法,其特征在于,步骤2)用户在对IMSI进行加密处理时引入一个随机数,使得每次加密得到的密文不同。
8.如权利要求1或2或3所述的方法,其特征在于,步骤2)用户对IMSI进行加密时,只加密IMSI的最后4位数字,而保留IMSI的前11位数字不变。
9.如权利要求8所述的方法,其特征在于,步骤2)用户在对IMSI进行加密处理时引入一个随机数,使得每次加密得到的密文不同。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010500529.1A CN101969638B (zh) | 2010-09-30 | 2010-09-30 | 一种移动通信中对imsi进行保护的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010500529.1A CN101969638B (zh) | 2010-09-30 | 2010-09-30 | 一种移动通信中对imsi进行保护的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101969638A true CN101969638A (zh) | 2011-02-09 |
| CN101969638B CN101969638B (zh) | 2013-08-14 |
Family
ID=43548707
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010500529.1A Expired - Fee Related CN101969638B (zh) | 2010-09-30 | 2010-09-30 | 一种移动通信中对imsi进行保护的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101969638B (zh) |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104580314A (zh) * | 2013-10-24 | 2015-04-29 | ***通信集团广东有限公司 | 一种云计算***数据隔离的方法、装置及终端 |
| CN105208552A (zh) * | 2015-09-06 | 2015-12-30 | 集怡嘉数码科技(深圳)有限公司 | 一种移动终端与智能卡绑定的实现方法 |
| CN105306406A (zh) * | 2014-05-26 | 2016-02-03 | ***通信集团公司 | 认证和密钥协商算法的协商方法、网络侧设备和用户设备 |
| CN105813066A (zh) * | 2014-12-29 | 2016-07-27 | 联芯科技有限公司 | 防止跟踪移动终端的方法和*** |
| CN107431916A (zh) * | 2015-03-05 | 2017-12-01 | 高通股份有限公司 | 无线网络中的身份私密性 |
| CN107708103A (zh) * | 2017-11-05 | 2018-02-16 | 浙江东信昆辰科技股份有限公司 | 基于map信令实现号码保密的方法及*** |
| CN109496412A (zh) * | 2016-07-17 | 2019-03-19 | 高通股份有限公司 | 使用隐私识别码的验证 |
| CN109691058A (zh) * | 2016-07-18 | 2019-04-26 | 瑞典爱立信有限公司 | 使用秘密标识符的与用户设备有关的操作 |
| CN109803251A (zh) * | 2017-11-16 | 2019-05-24 | 诺基亚技术有限公司 | 用于通信***中的隐私管理实体选择的方法和装置 |
| CN109905879A (zh) * | 2019-03-23 | 2019-06-18 | 西安电子科技大学 | 基于ecc算法的输电线路监测终端安全接入方法 |
| CN110167013A (zh) * | 2018-02-13 | 2019-08-23 | 华为技术有限公司 | 一种通信方法及装置 |
| CN110248359A (zh) * | 2018-03-07 | 2019-09-17 | ***通信有限公司研究院 | 一种加密方案、终端、网元设备及计算机存储介质 |
| CN110351721A (zh) * | 2018-04-08 | 2019-10-18 | 中兴通讯股份有限公司 | 接入网络切片的方法及装置、存储介质、电子装置 |
| CN110830990A (zh) * | 2018-08-09 | 2020-02-21 | 华为技术有限公司 | 一种身份信息的处理方法、设备及*** |
| US10834063B2 (en) | 2017-07-06 | 2020-11-10 | At&T Intellectual Property I, L.P. | Facilitating provisioning of an out-of-band pseudonym over a secure communication channel |
| US10931445B2 (en) | 2015-11-12 | 2021-02-23 | Huawei International Pte Ltd. | Method and system for session key generation with diffie-hellman procedure |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| SG10201603367TA (en) | 2016-04-27 | 2017-11-29 | Huawei Int Pte Ltd | Method and system for authentication with asymmetric key |
| US10136318B1 (en) | 2017-06-21 | 2018-11-20 | At&T Intellectual Property I, L.P. | Authentication device selection to facilitate authentication via an updateable subscriber identifier |
| CN107580324B (zh) * | 2017-09-22 | 2020-05-08 | 中国电子科技集团公司第三十研究所 | 一种用于移动通信***imsi隐私保护的方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101552668A (zh) * | 2008-03-31 | 2009-10-07 | 展讯通信(上海)有限公司 | 用户设备接入网络时的认证方法、用户设备及基站 |
| CN101741555A (zh) * | 2008-11-12 | 2010-06-16 | 中兴通讯股份有限公司 | 身份认证和密钥协商方法及*** |
| CN101808313A (zh) * | 2010-03-09 | 2010-08-18 | 华为技术有限公司 | 获取tmsi的方法、移动台、归属位置寄存器和通信*** |
-
2010
- 2010-09-30 CN CN201010500529.1A patent/CN101969638B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101552668A (zh) * | 2008-03-31 | 2009-10-07 | 展讯通信(上海)有限公司 | 用户设备接入网络时的认证方法、用户设备及基站 |
| CN101741555A (zh) * | 2008-11-12 | 2010-06-16 | 中兴通讯股份有限公司 | 身份认证和密钥协商方法及*** |
| CN101808313A (zh) * | 2010-03-09 | 2010-08-18 | 华为技术有限公司 | 获取tmsi的方法、移动台、归属位置寄存器和通信*** |
Non-Patent Citations (2)
| Title |
|---|
| 曾勇: "一种基于非对称密钥密码体制的IMSI保护方案", 《通信技术》, no. 09, 30 September 2008 (2008-09-30) * |
| 邓亚平等: "基于公钥体制的3GPP认证与密钥协商协议", 《计算机应用》, no. 11, 30 November 2009 (2009-11-30) * |
Cited By (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104580314A (zh) * | 2013-10-24 | 2015-04-29 | ***通信集团广东有限公司 | 一种云计算***数据隔离的方法、装置及终端 |
| CN105306406A (zh) * | 2014-05-26 | 2016-02-03 | ***通信集团公司 | 认证和密钥协商算法的协商方法、网络侧设备和用户设备 |
| CN105813066A (zh) * | 2014-12-29 | 2016-07-27 | 联芯科技有限公司 | 防止跟踪移动终端的方法和*** |
| CN107431916B (zh) * | 2015-03-05 | 2020-11-13 | 高通股份有限公司 | 一种用于网络接入技术的方法、用户设备、服务器以及非暂时性计算机可读介质 |
| CN107431916A (zh) * | 2015-03-05 | 2017-12-01 | 高通股份有限公司 | 无线网络中的身份私密性 |
| US10237729B2 (en) | 2015-03-05 | 2019-03-19 | Qualcomm Incorporated | Identity privacy in wireless networks |
| US11496891B2 (en) | 2015-03-05 | 2022-11-08 | Qualcomm Incorporated | Identity privacy in wireless networks |
| CN105208552A (zh) * | 2015-09-06 | 2015-12-30 | 集怡嘉数码科技(深圳)有限公司 | 一种移动终端与智能卡绑定的实现方法 |
| US10931445B2 (en) | 2015-11-12 | 2021-02-23 | Huawei International Pte Ltd. | Method and system for session key generation with diffie-hellman procedure |
| CN109496412B (zh) * | 2016-07-17 | 2021-12-31 | 高通股份有限公司 | 使用隐私识别码的验证 |
| CN109496412A (zh) * | 2016-07-17 | 2019-03-19 | 高通股份有限公司 | 使用隐私识别码的验证 |
| US11870765B2 (en) | 2016-07-18 | 2024-01-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Operation related to user equipment using secret identifier |
| US11539683B2 (en) | 2016-07-18 | 2022-12-27 | Telefonaktiebolaget Lm Ericsson (Publ) | Operation related to user equipment using secret identifier |
| CN109691058A (zh) * | 2016-07-18 | 2019-04-26 | 瑞典爱立信有限公司 | 使用秘密标识符的与用户设备有关的操作 |
| US10834063B2 (en) | 2017-07-06 | 2020-11-10 | At&T Intellectual Property I, L.P. | Facilitating provisioning of an out-of-band pseudonym over a secure communication channel |
| CN107708103B (zh) * | 2017-11-05 | 2020-08-14 | 浙江东信昆辰科技股份有限公司 | 基于map信令实现号码保密的方法 |
| CN107708103A (zh) * | 2017-11-05 | 2018-02-16 | 浙江东信昆辰科技股份有限公司 | 基于map信令实现号码保密的方法及*** |
| CN109803251A (zh) * | 2017-11-16 | 2019-05-24 | 诺基亚技术有限公司 | 用于通信***中的隐私管理实体选择的方法和装置 |
| CN109803251B (zh) * | 2017-11-16 | 2021-11-26 | 诺基亚技术有限公司 | 用于通信***中的隐私管理实体选择的方法和装置 |
| CN110167013B (zh) * | 2018-02-13 | 2020-10-27 | 华为技术有限公司 | 一种通信方法及装置 |
| CN110167013A (zh) * | 2018-02-13 | 2019-08-23 | 华为技术有限公司 | 一种通信方法及装置 |
| CN110248359A (zh) * | 2018-03-07 | 2019-09-17 | ***通信有限公司研究院 | 一种加密方案、终端、网元设备及计算机存储介质 |
| CN110351721A (zh) * | 2018-04-08 | 2019-10-18 | 中兴通讯股份有限公司 | 接入网络切片的方法及装置、存储介质、电子装置 |
| CN110830990A (zh) * | 2018-08-09 | 2020-02-21 | 华为技术有限公司 | 一种身份信息的处理方法、设备及*** |
| US11510052B2 (en) | 2018-08-09 | 2022-11-22 | Huawei Technologies Co., Ltd. | Identity information processing method, device, and system |
| CN109905879B (zh) * | 2019-03-23 | 2021-04-02 | 西安电子科技大学 | 基于ecc算法的输电线路监测终端安全接入方法 |
| CN109905879A (zh) * | 2019-03-23 | 2019-06-18 | 西安电子科技大学 | 基于ecc算法的输电线路监测终端安全接入方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101969638B (zh) | 2013-08-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101969638B (zh) | 一种移动通信中对imsi进行保护的方法 | |
| CN101116284B (zh) | 无线电通信网络中的防克隆相互鉴权的方法、身份模块、服务器以及*** | |
| US7269730B2 (en) | Method and apparatus for providing peer authentication for an internet key exchange | |
| US9253178B2 (en) | Method and apparatus for authenticating a communication device | |
| CN101052033B (zh) | 基于ttp的认证与密钥协商方法及其装置 | |
| CN1929371B (zh) | 用户和***设备协商共享密钥的方法 | |
| CN100589381C (zh) | 一种通信***中用户身份保密的方法 | |
| CN101102186B (zh) | 通用鉴权框架推送业务实现方法 | |
| Liu et al. | Toward a secure access to 5G network | |
| CN108683510A (zh) | 一种加密传输的用户身份更新方法 | |
| Khan et al. | Defeating the downgrade attack on identity privacy in 5G | |
| CN101741555A (zh) | 身份认证和密钥协商方法及*** | |
| CN110995418A (zh) | 云存储认证方法及***、边缘计算服务器、用户路由器 | |
| CN108964897B (zh) | 基于群组通信的身份认证***和方法 | |
| CN114765534B (zh) | 基于国密标识密码算法的私钥分发***和方法 | |
| CN103118363A (zh) | 一种互传秘密信息的方法、***、终端设备及平台设备 | |
| Madhusudhan | A secure and lightweight authentication scheme for roaming service in global mobile networks | |
| CN101192927B (zh) | 基于身份保密的授权与多重认证方法 | |
| Amadeo et al. | Securing the mobile edge through named data networking | |
| Hwang et al. | On the security of an enhanced UMTS authentication and key agreement protocol | |
| Niu et al. | A novel user authentication scheme with anonymity for wireless communications | |
| Yang et al. | A trust and privacy preserving handover authentication protocol for wireless networks | |
| Zheng et al. | Trusted computing-based security architecture for 4G mobile networks | |
| WO2021093811A1 (zh) | 一种网络接入方法及相关设备 | |
| Go et al. | Wireless authentication protocol preserving user anonymity |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130814 Termination date: 20160930 |