技術(shù)領(lǐng)域

本發(fā)明涉及通信技術(shù)領(lǐng)域，具體涉及一種國際移動用戶識別碼的保護(hù)方法、裝置和通信系統(tǒng)。

背景技術(shù)

移動通信系統(tǒng)由于其廣泛的應(yīng)用，以及與用戶生活的緊密相關(guān)性，其系統(tǒng)安全性歷來受到人們的關(guān)注。

移動通信系統(tǒng)中，國際移動用戶識別碼(IMSI，International?MobileSubscriber?Identity)是用戶在全球唯一的身份標(biāo)識。包括國家代碼(MCC，Mobile?Country?Code)、移動網(wǎng)絡(luò)代碼(MNC，Mobile?Network?Code)和移動用戶身份代碼(MSIN，Mobile?Subscriber?Identification?Number)。從用戶的私密性的角度，IMSI標(biāo)識了用戶的身份，如果被截獲或跟蹤，將給用戶的信息安全帶來嚴(yán)重威脅。同時，IMSI被截獲也可能使網(wǎng)絡(luò)容易遭到攻擊。為此，需要對IMSI進(jìn)行一定的保護(hù)。

目前，基于對IMSI的保護(hù)而提出的機制有幾種，其中較常見的為假名機制，即在需要向網(wǎng)絡(luò)側(cè)設(shè)備提交IMSI時，終端提交一個IMSI的假名給網(wǎng)絡(luò)側(cè)設(shè)備，然后網(wǎng)絡(luò)側(cè)設(shè)備通過IMSI與假名的對應(yīng)關(guān)系獲取IMSI，并獲取認(rèn)證信息，即，通過在空口傳播假名來代替在空口傳播IMSI，降低了IMSI暴露的機率，從而提高了IMSI的安全性。

在現(xiàn)有技術(shù)中，網(wǎng)絡(luò)側(cè)設(shè)備在接收到終端提交的假名A后，可以利用假名A查找相關(guān)的認(rèn)證信息，然后根據(jù)該認(rèn)證信息完成認(rèn)證和密鑰協(xié)商，此后，網(wǎng)絡(luò)側(cè)設(shè)備會對終端的假名進(jìn)行更新，即產(chǎn)生一個新的假名B以替換自身所保存的原假名A，并將該新的假名B發(fā)送給終端，終端接收到后，更新自身所保存的假名為新的假名B，以便下次可以利用該新的假名B接入網(wǎng)絡(luò)。

在對現(xiàn)有技術(shù)的研究和實踐過程中，本發(fā)明的發(fā)明人發(fā)現(xiàn)，如果網(wǎng)絡(luò)側(cè)在更新了假名之后，并沒有成功地通知給終端，則終端在下次接入網(wǎng)絡(luò)時仍會采用舊的假名，那么，網(wǎng)絡(luò)側(cè)在接收到該舊的假名后，由于之前假名已經(jīng)被更新，因此將查找不到與該舊的假名相應(yīng)的記錄，最終導(dǎo)致終端需要在空口傳播IMSI以接入網(wǎng)絡(luò)(即暴露了IMSI)，這也就是通常所說的終端和網(wǎng)絡(luò)側(cè)假名更新不同步(簡稱假名更新不同步)的問題。

發(fā)明內(nèi)容

本發(fā)明實施例提供一種國際移動用戶識別碼的保護(hù)方法、裝置和通信系統(tǒng)，可以避免假名更新不同步的問題，實現(xiàn)對IMSI的保護(hù)。

一種國際移動用戶識別碼的保護(hù)方法，包括：

接收第一假名；

將保存的兩個假名與接收到的第一假名進(jìn)行比較，以區(qū)分出與第一假名相匹配的匹配假名和與第一假名不相匹配的不匹配假名；

根據(jù)所述匹配假名生成認(rèn)證數(shù)據(jù)，并將所述認(rèn)證數(shù)據(jù)提供給移動管理實體，以便所述移動管理實體利用該認(rèn)證數(shù)據(jù)與終端進(jìn)行認(rèn)證和密鑰協(xié)商；在所述移動管理實體與終端進(jìn)行認(rèn)證和密鑰協(xié)商成功之后，生成第二假名，將所述不匹配假名更新為第二假名，并將第二假名發(fā)送給所述移動管理實體，以便所述移動管理實體將第二假名發(fā)送給終端。

一種網(wǎng)絡(luò)側(cè)設(shè)備，包括：

接收單元，用于接收第一假名；

比較單元，用于將保存的兩個假名與接收單元接收到的第一假名進(jìn)行比較，以區(qū)分出與第一假名相匹配的匹配假名和與第一假名不相匹配的不匹配假名；

認(rèn)證數(shù)據(jù)提供單元，用于根據(jù)比較單元區(qū)分出的匹配假名生成認(rèn)證數(shù)據(jù)，將所述認(rèn)證數(shù)據(jù)提供給移動管理實體，以便所述移動管理實體利用該認(rèn)證數(shù)據(jù)與終端進(jìn)行認(rèn)證和密鑰協(xié)商；

生成單元，用于在所述移動管理實體與終端進(jìn)行認(rèn)證和密鑰協(xié)商成功之后，生成第二假名，將比較單元區(qū)分出的不匹配假名更新為第二假名，并將第二假名發(fā)送給所述移動管理實體，以便所述移動管理實體將第二假名發(fā)送給終端。

一種通信系統(tǒng)，包括終端和網(wǎng)絡(luò)側(cè)設(shè)備

移動管理實體，用于接收終端發(fā)送的第一假名，并將該第一假名提供給歸屬設(shè)備，接收所述歸屬設(shè)備提供的認(rèn)證數(shù)據(jù)，利用所述認(rèn)證數(shù)據(jù)與終端進(jìn)行認(rèn)證和密鑰協(xié)商，并接收所述歸屬設(shè)備發(fā)送的第二假名，將該第二假名發(fā)送給終端，以便終端更新所述第一假名為第二假名；歸屬設(shè)備，用于接收所述移動管理實體提供的第一假名，將保存的兩個假名與接收到的第一假名進(jìn)行比較，以區(qū)分出與第一假名相匹配的匹配假名和與第一假名不相匹配的不匹配假名，并根據(jù)所述匹配假名生成認(rèn)證數(shù)據(jù)，將所述認(rèn)證數(shù)據(jù)提供給所述移動管理實體，在所述移動管理實體進(jìn)行認(rèn)證和密鑰協(xié)商成功之后，生成第二假名，將所述不匹配假名更新為第二假名，并將第二假名發(fā)送給所述移動管理實體。