[发明专利]隐藏用户标识的处理方法及装置

说明书

本发明提供了一种隐藏用户标识的处理方法及装置，其中，上述方法包括：向移动网络发送隐藏用户标识；其中，所述隐藏用户标识基于第一密钥和明文用户标识生成；所述第一密钥与用户无关，且为对称算法密钥，采用上述技术方案，解决了相关技术中隐藏用户标识的加密机制容易被攻破或信令开销大等问题。

技术领域

本发明涉及通信领域，具体而言，涉及一种隐藏用户标识的处理方法及装置。

背景技术

第三代合作伙伴计划(3rd Generation Partnership Project，简称为3GPP)制定了隐藏用户标识的规范。终端用户与网络通讯时，为保证安全，必须使用用户相关的上下文信息，包括安全信息，从而将不同终端用户的通讯隔离开来(否则某个用户就可以获取其他用户的通讯内容)。在终端没有用户相关的上下文信息的情况下(比如初始接入网络时，或重新插入USIM卡时)，终端除了签约用户永久标识(Subscription User PermanentIdentifier，简称为SUPI)及与用户相关的永久密钥(Long Term Key，简称为LTK)外，没有任何可以标识用户的信息。网络侧保存有所有服务用户的相关信息，包括SUPI和LTK。终端为了获取用于网络通讯的用户相关的上下文信息，必须指示网络与该用户相关的信息，比如用户标识信息，从而使网络能够查询到该用户的相关信息，比如LTK，并基于这些信息为该用户生成网络侧的上下文信息，同时指示终端为用户生成上下文信息，终端侧与网络侧生成的上下文信息相同，包括安全相关的信息，从而可以实现安全通讯。

在上述情况下，当终端向网络发送用户标识时，如果该用户标识被明文发送，则会被攻击者轻易截获并用于后续的攻击行动。若终端使用用户相关的密钥(比如LTK)加密用户标识，则网络无法获取该用户标识，也就无法查询与该用户相关的信息，为用户建立上下文信息。

现有技术使用了与用户无关的密钥加密用户标识，即终端预先通过其他方式获取归属网的公钥(比如预先写进全球用户识别卡(Universal Subscriber Identity Module，简称为USIM)卡中)，上述情况下，终端使用归属网的公钥对用户标识进行加密后传递给归属网，归属网使用与该公钥对应的私钥解密后获得明文的用户标识，再基于明文的用户标识查询用户相关的信息。

现有的隐藏用户标识技术，使用了非对称加密机制而非对称加密机制。众所周知，对称加密机制的输出增加的字节数非常小，且对称加密机制无法被量子计算轻松攻破，但目前非对称加密机制是可以被量子计算轻松攻破的(即无法对抗量子攻击)，且非对称加密机制会产生很大的输出(最大3000多字节)，如果应用将来可对抗量子攻击的非对称加密机制，输出还会更大，这对信令来说是个非常大的开销。

针对相关技术中，隐藏用户标识的加密机制容易被攻破或信令开销大等问题，尚未提出有效的技术方案。

发明内容

本发明实施例提供了一种隐藏用户标识的处理方法及装置，以至少解决相关技术中隐藏用户标识的加密机制容易被攻破或信令开销大等问题。

根据本发明的一个实施例，提供了一种隐藏用户标识的处理方法，所述方法包括：向移动网络发送隐藏用户标识；其中，所述隐藏用户标识基于第一密钥和明文用户标识生成；所述第一密钥与用户无关，且为对称算法密钥。

根据本发明的一个实施例，还提供了一种隐藏用户标识的处理方法，所述方法包括：接收到来自移动终端的隐藏用户标识，根据所述隐藏用户标识生成明文用户标识；其中，所述明文用户标识基于第一密钥和所述隐藏用户标识生成；所述第一密钥与用户无关，且为对称算法密钥。

根据本发明的另一个实施例，还提供了一种隐藏用户标识的处理方法，所述方法包括：接收到来自终端设备的调用，向所述终端设备返回明文用户标识和保护密钥，或向所述终端设备返回隐藏用户标识；其中，所述保护密钥基于第一密钥生成，所述隐藏用户标识基于第一密钥与明文用户标识生成；所述第一密钥与用户无关，且为对称算法密钥。