本發明涉及一種利用5G?AKA對SUPI進行保護的方法，屬于5G通信技術領域，解決了現有技術中不能很好的隱藏用戶的身份、位置、業務等多種重要敏感信息的問題。包括：終端發起鑒權請求，核心網通過終端的級別和敏感程度判定是否需要更換身份信息；當確定需要更換身份信息時，選用SUPI'作為終端新的“在用”身份標識；將加密后的SUPI'發送給終端；終端對鑒權響應進行驗證，更換“在用”身份后的終端發起二次鑒權請求，利用新的“在用”身份標識進行鑒權。該方法對網絡改造成本低，用戶無感、效率高，并且維持了網絡鑒權原有的安全性；在不改變當前核心網協議體系的前提下，利用終端用戶到移動通信網絡鑒權的通道，實現用戶敏感信息的防護。

技術領域

本發明涉及5G通信技術領域，尤其涉及一種利用5G-AKA對SUPI進行保護的方法。

背景技術

根據2/3/4G(第2、3、4代)移動核心網標準規范體系，任何用戶必須歸屬某一歸屬位置寄存器(HLR，Home Location Register)且只歸屬該HLR，移動用戶的號碼及其國際移動用戶識別碼(IMSI，International Mobile Subscriber Identity)作為一種資源，具有歸屬屬性，是支撐移動用戶業務實現的重要數據。如果一個用戶的國際移動用戶識別碼被泄露，攻擊系統可以通過移動通信網絡獲取移動通信網用戶的身份、位置、業務等多種重要敏感信息，進而實現對特定用戶的攻擊。

在傳統2/3/4G(第2、3、4代)移動通信網絡中，通過構建可信安全專網的環境，實現用戶雙歸屬技術提升用戶信息身份、位置等重要信息隱藏能力。部署用戶信息防護設備于專網HLR的前端，接管本地HLR的對外接口，與本地HLR以直連七號鏈路通信，通過過濾實現對用戶信息的安全掩護，通過采用用戶雙歸屬、位置、號碼與IMSI的去關聯存儲以及訪問者身份的關聯匹配檢測等技術完成HLR數據庫中用戶信息的防竊取和防篡改，實現用戶位置、業務路由信息的防泄漏、防攻擊功能。

用戶信息防護設備串接在專網中的專用HLR前面，對專用HLR及重要用戶信息提供防護，如圖1所示。該解決方案的特點是能夠比較徹底的將用戶的公網身份與專網身份進行分離；缺點是建設成本較高，需要構建專網環境并且需要部署專用的用戶信息防護設備。

在5G(第五代)移動通信網絡中，移動核心網的整體架構和協議交互方式發生了很大變化，移動用戶的號碼及其內部身份也不再使用IMSI，而是采用注冊用戶永久識別碼(SUPI，Subscription Permanent Identifier)作為移動核心網內部識別移動用戶的號碼。

在5G(第五代)移動通信網絡中，采用公鑰算法解決了接入時終端(UE,UserEquipment)必須上報用戶真實身份SUPI這一難題，終端用公鑰算法對注冊用戶永久識別碼進行加密獲得注冊用戶掩蓋識別碼(SUCI，Subscription Concealed Identifier)，核心網統一數據管理平臺(UDM，Unified Data Management)/ARPF(Authentication credentialRepository and Processing Function)恢復出SUPI以實現對用戶身份的識別。但是，這種方式在5G公眾網絡中不能夠很好的隱藏用戶網絡歸屬特性，缺乏對用戶敏感信息的保護。

發明內容

鑒于上述的分析，本發明旨在提供一種利用5G-AKA對SUPI進行保護的方法，用以解決5G通信中不能很好的隱藏用戶的身份、位置、業務等多種重要敏感信息的問題。

本發明的目的主要是通過以下技術方案實現的：

第一方面，提供了一種利用5G-AKA對SUPI進行保護的方法，包括以下步驟：

接收終端發起的鑒權請求，對終端上報的SUCI進行解密，得到SUPI；

當確定需要更換身份信息時，選擇一新的“在用”身份標識SUPI'；