一种保护5G网络漫游用户身份的方法与流程

本发明涉及移动通信，特别是涉及一种保护5g网络漫游用户身份的方法。

背景技术：

1、suci(subscription concealed identifier)是第五代移动通信网络(简称5g网络)相比第四代移动通信网络(简称4g网络)新增的一个安全特性。suci代替用户的supi(subscription permanent identifier，一般是imsi-international mobile subscriberidentity)以明文的形式在空口传输，预防用户被跟踪等严重的安全问题。suci对supi进行加密和完整性保护，可以通过ota(over the air)过程更新。

2、然而，用户漫游时，用户的supi仍会被传递到拜访域的amf(access and mobilitymanagement function)，smf(session management function)等设备。如果拜访域的安全保护不足，用户supi就会面临泄密，用户就会面临被跟踪的威胁。

3、5g网络漫游场景下的安全主要依赖sepp(security edge protection proxy)提供，sepp提供的安全机制包括消息过滤和拓扑隐藏，没有隐藏用户supi的能力。

4、因此，本领域亟需一种能够在5g漫游场景下保护用户身份的技术方案。

技术实现思路

1、本发明的目的是提供一种防止5g网络漫游用户的supi被泄漏的技术方案。

2、为实现上述目的，本发明提供了如下方案：

3、一种保护5g网络漫游用户身份的方法，包括：

4、5g网络用户的归属域预先准备一批专用于漫游的临时supi，在归属域sepp建立漫游专用临时supi池；

5、5g网络漫游用户在拜访域注册时，当归属域按照标准要求在归属域ausf对ue鉴权成功后，向拜访域提供用户真实supi时，归属域sepp从漫游专用临时supi池中随机选择一个当前未使用的临时supi提供给拜访域，同时，归属域sepp记录用户真实supi和临时supi的映射关系；

6、5g网络漫游用户使用网络服务的过程中，对于拜访域在信令中使用的用户临时supi，归属域sepp根据自己记录的用户真实supi和临时supi映射关系，将信令中的用户临时supi转换为真实supi后再转往归属域；对于归属域在信令中使用的用户真实supi，归属域sepp根据自己记录的用户真实supi和临时supi映射关系，将信令中的用户真实supi转换为临时supi后再转往拜访域；

7、5g网络漫游用户在拜访域注销后，归属域sepp释放分配给用户的临时supi，将临时supi归还漫游专用临时supi池。

8、可选的，对于话单、跟踪单等5g网络漫游用户使用5g网络服务的相关记录，拜访域以用户临时supi标识，归属域以用户真实supi标识，sepp提供查询用户真实supi和临时supi关联历史的功能，以便归属域正确关联拜访域和归属域的话单与跟踪单。

9、与现有技术相比，本发明具有以下有益效果：

10、(1)本发明为5g网络漫游用户提供更高的安全性。

11、(2)本发明增强了sepp的安全能力。

技术特征：

1.一种保护5g网络漫游用户身份的方法，其特征在于，包括：

2.根据权利要求1所述的保护5g网络漫游用户身份的方法，其特征在于，对于话单和跟踪单的5g网络漫游用户使用5g网络服务的相关记录，拜访域以用户临时supi标识，归属域以用户真实supi标识，sepp提供查询用户真实supi和临时supi关联历史的功能，以便归属域正确关联拜访域和归属域的话单与跟踪单。

技术总结
本发明提供了一种保护5G网络漫游用户身份的方法，先建立漫游专用临时SUPI池，接着归属域SEPP从漫游专用临时SUPI池中随机选择一个当前未使用的临时SUPI提供给拜访域，同时，归属域SEPP记录用户真实SUPI和临时SUPI的映射关系，然后对于归属域在信令中使用的用户真实SUPI，归属域SEPP根据自己记录的用户真实SUPI和临时SUPI映射关系，将信令中的用户真实SUPI转换为临时SUPI后再转往拜访域，在5G网络漫游用户在拜访域注销后，归属域SEPP释放分配给用户的临时SUPI，将临时SUPI归还漫游专用临时SUPI池。本发明提供的方法为5G网络漫游用户提供了更高的安全性，增强了SEPP的安全能力。

技术研发人员：华岳
受保护的技术使用者：西安晨扬通信技术有限公司
技术研发日：
技术公布日：2024/1/16