本技术涉及通信,尤其涉及一种标识信息处理方法及通信装置。
背景技术:
1、在移动通信网络中,每个用户具有唯一的永久标识,即用户永久标识信息,例如第五代(5th-generation,5g)通信系统中的订阅永久标识(subscription permanentidentifier,supi)。用户永久标识信息与用户识别模块(subscriber identity module,sim)或全球用户识别模块(universal subscriber identity module,usim)绑定,可以唯一标识一个用户。
2、为了保护用户的隐私,减少用户永久标识信息被追踪的概率,可对用户永久标识信息进行加密处理,例如对supi进行加密处理可得到订阅隐藏标识(subscriptionconcealed identifier,suci)。目前加密算法采用流密码加密模式,使得密文输出长度与明文长度相同。
3、supi可以分为两种类型,一种类型为固定长度的supi,例如国际移动用户标识符(international mobile subscriber identity,imsi),另一种类型为可变长度的supi,例如网络接入标识符(network access identifier,nai)。imsi由固定长度的字符串组成,采用流密码加密模式对其进行加密处理得到的suci也由固定长度的字符串组成。但是nai类型的supi,其用户名长度通常不是固定长度,即nai类型的supi的字符串长度不固定。由于nai类型的supi的字符串长度不固定,以及流密码加密模式的特点,攻击者可以根据加密处理得到的suci的字符串长度,推测出对应的supi的字符串长度,如果此长度范围内的用户个数较少,则有可能根据此长度推测出该suci对应的用户,从而导致用户隐私被泄露。
技术实现思路
1、本技术实施例提供一种标识信息处理方法及通信装置,可以降低用户隐私被泄露的风险,有助于提高用户匿名性。
2、第一方面,本技术实施例提供一种标识信息处理方法,该方法可由终端设备执行,或由与终端设备匹配的装置执行,例如芯片或芯片系统或处理器等。该方法可包括:确定针对用户永久标识信息的保护方案,针对用户永久标识信息的用户标识编码方式,以及用户永久标识信息的标识类型;标识类型为nai类型,根据nai类型、用户标识编码方式以及预设用户名长度值,生成用户永久标识信息对应的输入信息;根据输入信息,执行保护方案,得到输出信息;根据输出信息,生成用户永久标识信息对应的空口传输信息,空口传输信息包括保护方案的保护方案标识符和用户标识编码方式。
3、可见,在用户永久标识信息的标识类型为nai类型的情况下,将与用户标识编码方式以及预设用户名长度值有关的输入信息输入保护方案,以进行加密处理,可以降低用户隐私被泄露的风险,有助于提高用户匿名性。降低用户隐私被泄露的风险,可以理解为降低用户永久标识信息在空口传输过程中泄露用户隐私的风险。
4、在一种可能的实现方式中,用户永久标识信息的标识类型为nai类型,表明用户永久标识信息为可变长度的用户永久标识信息。从而可提高可变长度的用户永久标识信息的隐私性。
5、在一种可能的实现方式中,空口传输信息包括保护方案标识符字段,该保护方案标识符字段的取值用于指示上述保护方案标识符和上述用户标识编码方式。通过保护方案标识符字段的取值指示保护方案标识符和用户标识编码方式,可节省开销。
6、在另一种可能的实现方式中,空口传输信息包括保护方案标识符字段和编码指示符字段,该保护方案标识符字段的取值用于指示上述保护方案标识符,该编码指示符字段的取值用于指示上述用户标识编码方式。通过在空口传输信息中增加编码指示符字段来指示用户标识编码方式,便于核心网设备可以快速获得用户标识编码方式。
7、在一种可能的实现方式中,在根据nai类型、用户标识编码方式以及预设用户名长度值,生成用户永久标识信息对应的输入信息时,根据nai类型,从用户永久标识信息中提取用户名信息;确定预设用户名长度值;根据用户标识编码方式和预设用户名长度值,对用户名信息进行编码,得到用户永久标识信息对应的输入信息;该输入信息的长度与预设用户名长度值相同。通过采用预设用户名长度值和用户标识编码方式对用户名信息进行编码,有助于提高输入信息的隐私性。
8、在一种可能的实现方式中,在确定预设用户名长度值时,可以从用户识别模块中读取预设用户名长度值;或者,预设用户名长度值预置在终端设备中,即终端设备的预置信息包括预设用户名长度值,那么可以从终端设备的预置信息中读取预设用户名长度值;或者,可以从核心网设备或接入网设备获取预设用户名长度值。例如,核心网设备或接入网设备可以将预设用户名长度值发送至终端设备。
9、在一种可能的实现方式中,在确定针对用户永久标识信息的用户标识编码方式时,确定针对用户永久标识信息的用户标识编码方式为第一预设用户标识编码方式。其中,第一预设用户标识编码方式可以理解为默认用户标识编码方式。在无法从用户识别模块获取针对用户永久标识信息的用户标识编码方式的情况下,可使用默认用户标识编码方式,以减少操作流程。默认用户标识编码方式对于终端设备和核心网设备都可知。
10、在另一种可能的实现方式中,在确定针对用户永久标识信息的用户标识编码方式时,从用户识别模块中读取至少一个用户标识编码方式,从至少一个用户标识编码方式中选择针对用户永久标识信息的用户标识编码方式。即选择本次对用户永久标识信息进行编码所使用的用户标识编码方式。可见,通过从用户识别模块预配置的至少一个用户标识编码方式中选择一个用户标识编码方式进行编码,可进一步提高用户匿名性。
11、可选的,上述至少一个用户标识方式包括用户标识编码方式优先级列表所包括的用户标识编码方式和/或第二预设用户标识编码方式。其中,基于用户标识编码方式优先级列表选择用于编码的用户标识编码方式,例如可选择优先级最高的用户标识编码方式,从而有助于提高用户匿名性。第二预设用户标识编码方式,可以理解为用户识别模块预配置的用户标识编码方式,使得加密符合运营商的要求。
12、在一种可能的实现方式中,上述用户标识编码方式为最优非对称加密填充(optimal asymmetric encryption padding,oaep)方式或线性编码(linear-code)方式。oaep方式可以将加密之前的信息填充到固定的位数,同时,与加密结合可以有效保证信息的机密性不被破坏。oaep方式可以分为多种,例如信息增强编码(enhanced messageencoding,eme)-oaep方式等。oaep方式和线性编码方式用于举例,实际应用中,用户标识编码方式可能是其它编码方式,例如交织编码方式等。
13、在一种可能的实现方式中,空口传输信息还包括上述输出信息,该输出信息包括椭圆曲线密码学(elliptic curve cryptography,ecc)临时公钥,对上述输入信息进行加密得到的密文值和对该密文值进行消息认证码(message authentication code,mac)计算得到的mac标记(tag)值。
14、第二方面,本技术实施例提供一种标识信息处理方法,该方法可由核心网设备执行,或由与核心网设备匹配的装置执行,例如芯片或芯片系统或处理器等。该方法可包括:在接收到空口传输信息的情况下,根据空口传输信息,获取保护方案标识符和用户标识编码方式;根据保护方案标识符,得到空口传输信息对应的明文输入信息;根据用户标识编码方式,对明文输入信息进行解码,得到明文信息;根据明文信息,生成空口传输信息对应的用户永久标识信息。
15、可见,通过用户标识编码方式进行解码,可以获得原始明文信息,从而可以恢复得到用户永久标识信息。
16、在一种可能的实现方式中,空口传输信息包括保护方案标识符字段;在根据空口传输信息,获取保护方案标识符和用户标识编码方式时:根据空口传输信息中的保护方案标识符字段的取值,获取保护方案标识符和用户标识编码方式。通过保护方案标识符字段的取值指示保护方案标识符和用户标识编码方式,可节省开销。
17、在另一种可能的实现方式中,空口传输信息包括保护方案标识符字段和编码指示符字段;在根据空口传输信息,获取保护方案标识符和用户标识编码方式时,根据空口传输信息中的保护方案标识符字段的取值,获取保护方案标识符;根据空口传输信息中的编码指示符字段的取值,获取用户标识编码方式。通过在空口传输信息中增加编码指示符字段来指示用户标识编码方式,便于快速获得用户标识编码方式。
18、在一种可能的实现方式中,用户标识编码方式为最优非对称加密填充(oaep)方式或线性编码方式。oaep方式可以将加密之前的信息填充到固定的位数,同时,与加密结合可以有效保证信息的机密性不被破坏。oaep方式可以分为多种,例如eme-oaep方式等。oaep方式和线性编码方式用于举例,实际应用中,用户标识编码方式可能是其它编码方式,例如交织编码方式等。
19、在一种可能的实现方式中,空口传输信息还包括输出信息,输出信息包括椭圆曲线密码学ecc临时公钥,密文值和mac标记值。
20、在一种可能的实现方式中,在根据保护方案标识符,得到空口传输信息对应的明文输入信息时:使用ecc临时公钥和归属网络的私钥,按照保护方案标识符对应的配置文件,使用ecies算法计算得到密钥交换秘密值;将密钥交换密钥值作为密钥导出函数的输入,得到密钥数据和mac密钥;解析保护方案标识符,使用mac密钥校验mac标记值;校验通过,对输出信息中的密文值进行解密,得到空口传输信息对应的明文输入信息。
21、第三方面,本技术提供了一种通信装置,该通信装置可以是终端设备,也可以是终端设备中的装置,或者是能够和终端设备匹配使用的装置。其中,该通信装置还可以为芯片系统。该通信装置可执行第一方面所述的方法。该通信装置的功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的单元或模块。该单元或模块可以是软件和/或硬件。该通信装置执行的操作及有益效果可以参见上述第一方面所述的方法以及有益效果。
22、第四方面,本技术提供了一种通信装置,该通信装置可以是核心网设备,也可以是核心网设备中的装置,或者是能够和核心网设备匹配使用的装置。其中,该通信装置还可以为芯片系统。该通信装置可执行第二方面所述的方法。该通信装置的功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的单元或模块。该单元或模块可以是软件和/或硬件。该通信装置执行的操作及有益效果可以参见上述第二方面所述的方法以及有益效果。
23、第五方面,本技术提供了一种通信装置,通信装置包括处理器,处理器与存储器耦合,存储器用于存储程序或指令,当程序或指令被处理器执行时,使得通信装置执行第一方面中任一方面所述的方法,或执行第二方面中任一方面所述的方法。
24、第六方面,本技术提供了一种通信装置,通信装置包括逻辑电路和通信接口,通信接口用于接收信息或者发送信息,逻辑电路用于通过通信接口接收信息或者发送信息,使得如第一方面所述的方法被执行;或使得如第二方面所述的方法被执行。
25、第七方面,本技术提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序或指令,当所述计算机程序或指令被通信装置执行时,实现如第一方面所述的方法;或如第二方面所述的方法。
26、第八方面,本技术提供一种包括指令的计算机程序产品,当通信装置读取并执行该指令时,使得通信装置执行如第一方面的方法,或如第二方面所述的方法。