[发明专利]一种实现SUPI变换的方法及装置、识别卡、存储介质

说明书

本发明涉及通信领域，公开了一种实现SUPI变换的方法及装置、识别卡、存储介质。所述方法包括至少一次SUPI更新流程：接收来自终端发送的鉴权请求，鉴权请求中携带原始SUPI/SUCI；根据鉴权请求创建鉴权矢量AV，生成新SUPI，并将新SUPI附着到AV中形成新鉴权矢量AV′；将携带AV′的NAS鉴权消息发送至终端；在接收到鉴权成功通知时，对用户SUPI映射表进行更新，使得当前用户与新SUPI形成映射关系。本发明实施例改变了用户身份与SUPI的常规的唯一映射方式，利用SIM/USIM卡实现SUPI变换，使其再次启用附着流程时启用新SUPI，可有效阻止网络追踪，提升保护力度。

技术领域

本发明涉及通信技术领域，尤其涉及一种实现SUPI变换的方法及装置、识别卡、存储介质。

背景技术

在2G/3G/4G移动网络中，用户设备(user equipment,UE)在首次注册时，由于UE和网络还没有协商出用于空口加密的空口密钥，所以用户永久标识，如：国际移动用户标识符(international mobile subscriber identifier，IMSI)只能在空口明文传递。但是IMSI在空口明文传输，容易导致用户的IMSI信息被截获，从而导致用户的信息(如位置信息)被泄露。

5G移动通信网络中，利用网络功能虚拟化(Network Function Virtualization，NFV)/软件定义网络(Software Defined Network，SDN)技术，把移动通信网络中的所有的硬件抽象为计算、存储和网络三类资源进行统一管理再分配，给不同的切片不同大小的资源，且完全隔离互不干扰，实现逻辑上的高层统一管理和灵活切割，即网络切片技术。通过网络切片技术，5G网络具备更强的灵活性、多用途性，充分满足垂直行业的需求。但5G网络的开放性与切片间的隔离对系统安全提出更高的要求，以抵御高级可持续威胁(AdvancedPersistent Threat，APT)攻击、分布式拒绝服务(Distributed denial of serviceattack，DDOS)攻击、计算机蠕虫(Worm)恶意软件攻击等各类网络操控及攻击手段。

5G移动通信网络中，用户身份鉴权机制引入了相当于IMSI的用户永久标识符(Subscriber Permanent Identifier，SUPI)和用户隐藏标识符(Subscriber ConcealedIdentifier，SUCI)，利用公私钥加密技术从SUPI推导出SUCI并使用SUCI进行空口传输，从而有效地保护了SUPI。但在实际的网络部署中，一方面并非全球运营商都能按此实施，另外SIM/USIM卡也无法为所有国家和地区的运营商提供公钥或证书。因此SUPI仍然会被泄露进而用户位置被追踪定位。

发明内容

本发明的目的在于提供一种实现SUPI变换的方法及装置、识别卡、存储介质，通过改变常规的用户身份与SUPI之间唯一映射关系的方式，有效提升对用户位置信息等私密信息的保护力度。

为达此目的，本发明采用以下技术方案：

一种实现用户永久标识符SUPI变换的方法，包括至少一次SUPI更新流程；

所述SUPI更新流程包括：

接收来自终端的鉴权请求，所述鉴权请求中携带原始SUPI/用户隐藏标识符SUCI；

根据所述鉴权请求创建鉴权矢量AV，生成新SUPI，并将所述新SUPI附着到所述AV中形成新鉴权矢量AV′；

将携带所述AV′的NAS鉴权消息发送至所述终端；

在接收到鉴权成功的鉴权结果通知时，对用户SUPI映射表进行更新，使得当前用户与所述新SUPI形成映射关系。

可选的，所述方法还包括：启动定时/计数更新机制，按照所述定时/计数更新机制执行多次所述SUPI更新流程。