本發明涉及通信領域，公開了一種實現SUPI變換的方法及裝置、識別卡、存儲介質。所述方法包括至少一次SUPI更新流程：接收來自終端發送的鑒權請求，鑒權請求中攜帶原始SUPI/SUCI；根據鑒權請求創建鑒權矢量AV，生成新SUPI，并將新SUPI附著到AV中形成新鑒權矢量AV′；將攜帶AV′的NAS鑒權消息發送至終端；在接收到鑒權成功通知時，對用戶SUPI映射表進行更新，使得當前用戶與新SUPI形成映射關系。本發明實施例改變了用戶身份與SUPI的常規的唯一映射方式，利用SIM/USIM卡實現SUPI變換，使其再次啟用附著流程時啟用新SUPI，可有效阻止網絡追蹤，提升保護力度。

技術領域

本發明涉及通信技術領域，尤其涉及一種實現SUPI變換的方法及裝置、識別卡、存儲介質。

背景技術

在2G/3G/4G移動網絡中，用戶設備(user equipment,UE)在首次注冊時，由于UE和網絡還沒有協商出用于空口加密的空口密鑰，所以用戶永久標識，如：國際移動用戶標識符(international mobile subscriber identifier，IMSI)只能在空口明文傳遞。但是IMSI在空口明文傳輸，容易導致用戶的IMSI信息被截獲，從而導致用戶的信息(如位置信息)被泄露。

5G移動通信網絡中，利用網絡功能虛擬化(Network Function Virtualization，NFV)/軟件定義網絡(Software Defined Network，SDN)技術，把移動通信網絡中的所有的硬件抽象為計算、存儲和網絡三類資源進行統一管理再分配，給不同的切片不同大小的資源，且完全隔離互不干擾，實現邏輯上的高層統一管理和靈活切割，即網絡切片技術。通過網絡切片技術，5G網絡具備更強的靈活性、多用途性，充分滿足垂直行業的需求。但5G網絡的開放性與切片間的隔離對系統安全提出更高的要求，以抵御高級可持續威脅(AdvancedPersistent Threat，APT)攻擊、分布式拒絕服務(Distributed denial of serviceattack，DDOS)攻擊、計算機蠕蟲(Worm)惡意軟件攻擊等各類網絡操控及攻擊手段。

5G移動通信網絡中，用戶身份鑒權機制引入了相當于IMSI的用戶永久標識符(Subscriber Permanent Identifier，SUPI)和用戶隱藏標識符(Subscriber ConcealedIdentifier，SUCI)，利用公私鑰加密技術從SUPI推導出SUCI并使用SUCI進行空口傳輸，從而有效地保護了SUPI。但在實際的網絡部署中，一方面并非全球運營商都能按此實施，另外SIM/USIM卡也無法為所有國家和地區的運營商提供公鑰或證書。因此SUPI仍然會被泄露進而用戶位置被追蹤定位。

發明內容

本發明的目的在于提供一種實現SUPI變換的方法及裝置、識別卡、存儲介質，通過改變常規的用戶身份與SUPI之間唯一映射關系的方式，有效提升對用戶位置信息等私密信息的保護力度。

為達此目的，本發明采用以下技術方案：

一種實現用戶永久標識符SUPI變換的方法，包括至少一次SUPI更新流程；

所述SUPI更新流程包括：

接收來自終端的鑒權請求，所述鑒權請求中攜帶原始SUPI/用戶隱藏標識符SUCI；

根據所述鑒權請求創建鑒權矢量AV，生成新SUPI，并將所述新SUPI附著到所述AV中形成新鑒權矢量AV′；

將攜帶所述AV′的NAS鑒權消息發送至所述終端；

在接收到鑒權成功的鑒權結果通知時，對用戶SUPI映射表進行更新，使得當前用戶與所述新SUPI形成映射關系。

可選的，所述方法還包括：啟動定時/計數更新機制，按照所述定時/計數更新機制執行多次所述SUPI更新流程。