[发明专利]一种IMSI的加密方法、核心网和用户终端

说明书

本发明实施例提供一种IMSI的加密方法、核心网和用户终端，涉及通信领域，能够在不增加基站负荷的基础上避免用户的IMSI在上网过程中被泄露。该方法包括：用户终端将自身的加密协议列表和与加密协议列表中的加密协议对应的版本信息经由基站发送给HTTP AUSF网元；HTTP AUSF网元根据版本信息从加密协议列表中选取目标加密协议，并将目标加密协议和携带有公钥的CA证书经由基站发送给用户终端；用户终端根据目标加密协议生成密钥，同时使用CA证书中的公钥加密密钥生成密钥包，并将密钥包经由基站发送给HTTP AUSF网元；HTTP AUSF网元使用自身预存的私钥对密钥包解密得到密钥，并将密钥发送给MME网元；公钥与私钥对应。

技术领域

本发明涉及通信领域，尤其涉及一种国际移动用户识别码(InternationalMobile Subscriber Identification Number，IMSI)的加密方法、核心网和用户终端。

背景技术

用户IMSI(International Mobile Subscriber Identification Number，国际移动用户识别码)信息是用户的唯一标识，在通信网络具有重要的作用。IMSI信息在空口传输可能会造成用户的隐私泄漏，影响运营商的声誉。目前现网中在鉴权之前的附着消息和取用户标识消息都有可能会携带用户的IMSI信息，而由于这些消息在鉴权之前，而鉴权之前需要识别用户的IMSI信息，因此消息没有进行加密即在空口进行传输。为了解决这个问题，现有技术中一般是通过基站协商密钥，再对用户的NAS层消息进行加密。但是如果通过空口进行密钥协商，会存在密钥泄漏的风险，仍然会造成IMSI信息泄漏。如果将密钥内置在SIM(Subscriber Identification Module，用户身份识别卡)卡内，会增加换卡的繁琐性，而且基站作为无线信号的发送接收装置，不宜作为鉴权加密的网元。

发明内容

本发明的实施例提供一种IMSI的加密方法、核心网和用户终端，能够在不增加基站负荷的基础上避免用户的IMSI在上网过程中被泄露。

为达到上述目的，本发明的实施例采用如下技术方案：

第一方面，提供一种IMSI的加密方法，包括：

用户终端将自身的加密协议列表和与加密协议列表中的加密协议对应的版本信息经由基站发送给HTTP AUSF(HyperText Transfer Protocol Authentication SystemFunction，超文本传输协议鉴权系统功能)网元；

HTTP AUSF网元根据版本信息从加密协议列表中选取目标加密协议，并将目标加密协议和携带有公钥的CA(Certificate Authority，数字证书认证中心)证书经由基站发送给用户终端；

用户终端根据目标加密协议生成密钥，同时使用CA证书中的公钥加密密钥生成密钥包，并将密钥包经由基站发送给HTTP AUSF网元；

HTTP AUSF网元使用自身预存的私钥对密钥包解密得到密钥，并将密钥发送给MME(Mobility Management Entity，移动管理实体)网元；公钥与私钥对应。

可选的，用户终端根据目标加密协议生成密钥之前包括：

用户终端使用预存的根证书判断CA证书是否合法；

当用户终端确定CA证书不合法时，用户终端重新将自身的加密协议列表和与加密协议列表中的加密协议对应的版本信息经由基站发送给超文本传输协议鉴权系统功能HTTP AUSF网元；

当用户终端确定CA证书合法时，根据目标加密协议生成密钥。

可选的，HTTP AUSF网元将密钥发送给MME网元之后还包括：

MME网元生成确认消息，并经由HTTP AUSF网元和基站将确认消息发送给用户终端。