本发明专利技术公开了一种基于终端增强的用户隐私信息保护方法及系统。本方法包括:1)用户终端设备完成网络附着后,向网络侧的身份位置保护服务器发起身份请求消息;该身份请求消息包含用户当前的临时签约身份信息IMSIn或长期签约身份信息IMSI0;2)用户终端设备接收身份位置保护服务器返回的响应消息;该响应消息应包含用户新的临时签约身份信息IMSIn+1、临时签约身份信息的生命周期以及临时签约身份信息的更新策略;3)用户终端设备从响应消息中获取IMSIn+1将其写入用户终端设备的USIM卡;该用户终端设备再次进行网络附着时,该用户终端设备从USIM卡读取写入的该临时签约身份信息IMSIn+1完成网络附着。
【技术实现步骤摘要】
一种基于终端增强的用户隐私信息保护方法及系统
本专利技术涉及网络通信安全
,尤其涉及在移动通网络中一种基于终端增强的用户隐私信息保护方法及系统。
技术介绍
移动通信网络服务由于其移动性和便利性已经广泛应用于人们的日常生活。随着4G移动通信网络的大规模不部署,越来越多人开始使用4G网络服务。在享受移动通信网络带来的便利同时,通信监听以及个人隐私泄露也成为日益严重的问题。移动网络用户使用3G、4G等网络业务的过程中,恶意用户通过截取用户接入无线网的接入请求过程中尚未安全保护信令消息,分析信令消息用户身份信息,或者通过恶意软件模仿核心网发起用户身份信息请求机制,恶意获取用户的身份信息,即长期签约信息(IMSI信息),然后通过结合非法途径获取移动用户签约信息感知IMSI代表的用户身份。从而通过截取特定IMSI相关的信令及流量信息,从而对用户位置进行非法跟踪导致用户敏感信息泄露的安全威胁。现有的3G、4G移动网络为了降低用户长期签约信息(IMSI信息)被泄露的风险,采取来临时身份信息,即P-TMSI及GUTI,用户在首次成功接入网络以后,以后再访问网络业务时就使用网络侧分配的临时身份信息以标识自己身份。网络侧靠动态变更临时签约身份信息,从而降低用户长期签约身份信息IMSI泄露的风险。现有机制靠临时身份信息能够在一定程度降低用户长期签约身份信息被泄露的风险。但是目前的4G网络设计还是存在一定漏洞。在用户接入移动网络过程中,核心网的网元收到临时签约身份信息如果无法识别,就会主动要求用户以明文方式上报其长期签约身份信息。这个机制目前可以被恶意软件或机构伪装核心网,从而获取用户的长期签约身份信息。非法使用用户长期签约身份信息可能导致用户位置信息泄露。所以目前的4G移动网络机制还存在一定缺陷无法解决用户长期签约身份信息泄露及位置被跟踪的安全威胁。本专利技术提出了一种移动通信网络用户身份信息保护方法可以避免用户长期签约身份信息泄露,从而保护用户身份及位置等隐私信息不被发现。
技术实现思路
本专利技术提出了一种移动通信网络用户长期签约身份信息保护方法及系统。该方法通过动态为用户分配临时签约身份信息,用户每次接入移动网络时使用临时签约身份信息接入移动网络进行接入认证,从而避免在不安全网络环境中暴露用户长期签约身份信息导致用户长期签约身份信息被恶意截获、用户位置被跟踪。本专利技术对现有移动用户终端功能进行增强,通过增强终端功能和网络侧的身份位置保护服务器配合实现对长期用户签约身份信息的保护。本专利技术对现有移动核心网中的用户终端设备功能进行增强,并引入新的网络功能身份位置保护服务器。增强用户终端和身份位置保护服务器引入新定义的接口传递交互信息。移动终端附着网络后通过和身份位置保护服务器之间的相互认证后,依据临时签约身份信息(即动态身份信息)更新策略,主动或被动向身份位置保护服务器发送身份请求信息请求分配新的临时签约身份信息。移动用户终端UE收到用户身份位置保护功能发来的用户身份信息更新通知后,需要将用户的新临时签约身份信息告诉移动终端的USIM卡。USIM卡收到新的临时签约身份信息后保存起来暂时不立即启用该临时签约身份信息。用户终端设备发起网络去附着之前或关机之前,发送消息给身份位置保护服务器以释放之前分配给该用户的旧的临时签约身份信息,同时触发USIM卡用新的临时签约身份信息替换旧的临时签约身份信息或者长期签约身份信息。当手机重启动或移动网络连接断开重新建立网络连接时,USIM卡将新的临时签约身份信息告诉终端设备的无线协议栈,移动终端协议栈使用新的临时签约身份信息接入移动网络,完成网络附着。本专利技术的技术方案为:一种基于终端增强的用户隐私信息保护方法,其步骤包括:1)用户终端设备完成网络附着后,向网络侧的身份位置保护服务器发起身份请求消息;该身份请求消息包含用户当前的临时签约身份信息IMSIn或长期签约身份信息IMSI0;2)用户终端设备接收身份位置保护服务器返回的响应消息;该响应消息应包含用户新的临时签约身份信息IMSIn+1、临时签约身份信息的生命周期以及临时签约身份信息的更新策略;3)用户终端设备从响应消息中获取临时签约身份信息IMSIn+1,并在用户终端设备即将关机或去附着网络时将该临时身份签约信息IMSIn+1写入用户终端设备的USIM卡;该用户终端设备再次进行网络附着时,该用户终端设备从USIM卡读取写入的该临时签约身份信息IMSIn+1完成网络附着。进一步的,所述临时签约身份信息IMSIn、所述新的临时签约身份信息IMSIn+1与长期签约身份信息IMSI的数据格式相同。进一步的,该用户终端依据身份位置保护服务器下发的动态身份信息更新策略,主动发送身份请求消息给身份位置保护服务器进行身份信息更新。进一步的,所述动态身份策略中包含基于用户隐私保护偏好、时间、地点和附着次数设置的动态身份更新触发条件。进一步的,所述用户终端包括一终端安全接入控制中间件,该终端安全接入控制中间件收到新的临时签约身份信息IMSIn+1后,通过API接口调用将用户新的临时签约身份信息IMSIn+1发送给该用户终端的USIM卡;该USIM卡保存该新临时签约身份信息IMSIn+1,并发送一用户身份信息配置成功信息给该终端安全接入控制中间件。进一步的,当该用户终端进行关机或断开移动网络连接处理时,该用户终端发送去网络附着消息给身份位置保护服务器;该去网络附着消息包含用户的长期签约身份信息或当前临时签约身份信息。进一步的,当该用户终端收到的新临时签约身份信息IMSIn+1时,利用该临时签约身份信息IMSIn+1替换当前临时签约身份信息IMSIn或者用户长期签约身份信息IMSI0。一种基于终端增强的用户隐私信息保护系统,其特征在于,包括一身份位置保护服务器和若干用户终端;其中,所述身份位置保护服务器,用于对完成网络附着的用户终端进行认证;认证通过后,根据收到的该用户终端发送的身份请求消息回复响应消息给该用户终端设备;该身份请求消息包含用户当前的临时签约身份信息IMSIn或长期签约身份信息IMSI0;该响应消息应包含用户新的临时签约身份信息IMSIn+1、临时签约身份信息的生命周期以及临时签约身份信息的更新策略;所述用户终端,用于对所述身份位置保护服务器;认证通过后,发送身份请求消息给所述身份位置保护服务器;该用户终端设备再次进行网络附着时,该用户终端使用新临时签约身份信息IMSIn+1完成网络附着。具体来说,该方案主要有以下专利技术点:用户终端成功附着到移动网络后,通过和身份位置保护服务器之间的认证后,根据动态身份更新策略,主动或被动发起临时签约身份信息请求消息给身份位置保护服务器。该消息包含用户正在使用的身份信息(长期签约身份信息或临时签约身份信息)动态身份更新策略可以预配置或由网络侧的身份位置管理服务器通过接口消息提供给到用户终端。动态身份策略定义了基于用户隐私保护偏好,时间,地点,附着次数等因素动态身份更新的触发条件,例如:·某个具体临时签约身份信息使用一定时间,几分钟,小时或天就触发动态身份更新。·某个具体临时签约身份信息附着网络一定次数后,一次或数次后就出发动态身份更新。·根据用户偏好,移动过程中,随时发起动态身份更新。用户终端收到身份位置保护服务器提本文档来自技高网...
【技术保护点】
一种基于终端增强的用户隐私信息保护方法,其步骤包括:1)用户终端设备完成网络附着后,向网络侧的身份位置保护服务器发起身份请求消息;该身份请求消息包含用户当前的临时签约身份信息IMSIn或长期签约身份信息IMSI0;2)用户终端设备接收身份位置保护服务器返回的响应消息;该响应消息应包含用户新的临时签约身份信息IMSIn+1、临时签约身份信息的生命周期以及临时签约身份信息的更新策略;3)用户终端设备从响应消息中获取临时签约身份信息IMSIn+1,并在用户终端设备即将关机或去附着网络时将该临时身份签约信息IMSIn+1写入用户终端设备的USIM卡;该用户终端设备再次进行网络附着时,该用户终端设备从USIM卡读取写入的该临时签约身份信息IMSIn+1完成网络附着。
【技术特征摘要】
1.一种基于终端增强的用户隐私信息保护方法,其步骤包括:1)用户终端设备完成网络附着后,向网络侧的身份位置保护服务器发起身份请求消息;该身份请求消息包含用户当前的临时签约身份信息IMSIn或长期签约身份信息IMSI0;2)用户终端设备接收身份位置保护服务器返回的响应消息;该响应消息应包含用户新的临时签约身份信息IMSIn+1、临时签约身份信息的生命周期以及临时签约身份信息的更新策略;3)用户终端设备从响应消息中获取临时签约身份信息IMSIn+1,并在用户终端设备即将关机或去附着网络时将该临时身份签约信息IMSIn+1写入用户终端设备的USIM卡;该用户终端设备再次进行网络附着时,该用户终端设备从USIM卡读取写入的该临时签约身份信息IMSIn+1完成网络附着。2.如权利要求1所述的方法,其特征在于,所述临时签约身份信息IMSIn、所述新的临时签约身份信息IMSIn+1与长期签约身份信息IMSI的数据格式相同。3.如权利要求1所述的方法,其特征在于,该用户终端依据身份位置保护服务器下发的动态身份信息更新策略,主动发送身份请求消息给身份位置保护服务器进行身份信息更新。4.如权利要求3所述的方法,其特征在于,所述动态身份策略中包含基于用户隐私保护偏好、时间、地点和附着次数设置的动态身份更新触发条件。5.如权利要求1所述的方法,其特征在于,所述用户终端包括一终端安全接入控制中间件,该终端安全接入控制中间件收到新的临时签约身份信息IMSIn+1后,通过API接口调用将用户新的临时签约身份信息IMSIn+1发送给该用户终端的USIM卡;该USIM卡保存该新临时签约身份信息IMSIn+1,并发送一用户身份信息配置成功信息给该终端安全接入控制中间件。6.如权利要求1所述的方法,其特征在于,当该用户终端进行关机或断开移动网络连接处理时,该用户终端发送去网络附着消息给身份位置保护服务器;该去网络附着消息包含用户的长...
【专利技术属性】
技术研发人员:张顺亮,周卫华,汪永明,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。