本发明属于通信安全,尤其涉及移动通信网与卫星互联网防定位系统和方法。
背景技术:
1、移动通信网、卫星互联网的身份标识有gpsi或msisdn(电话号码)、supi或imsi(通信标识),位置标识有tai(跟踪区标识)、cell id(小区标识)。为了降低身份标识暴露,3gpp引入非对称密码对supi提供空口的防护,能够防止攻击者通过在空口获取移动通信网、卫星互联网的身份标识信息;另外一些安全增强方案,通过引入supi或imsi的变换,能够防止攻击者通过在核心网拜访域获取移动通信网、卫星互联网的身份标识信息。但是仍然存在以下安全隐患有待解决:
2、在移动通信网、卫星互联网的amf等拜访域网元上仍然有gpsi或msisdn与supi或imsi之间的映射关系。即便对supi或imsi进行了动态掩护处理,通过在拜访域网元上跟踪gpsi或msisdn,仍然可以间接获取到当前的supi或imsi,从而对用户进行跟踪和定位。对重要用户而言,仍然具有较大危害。若是借鉴supi或imsi动态掩护思路,会导致电话拨打主被叫号码的动态变化,从而影响电话拨打使用体验,最终导致方法不具备实施条件。
技术实现思路
1、本发明的目的在于,为克服现有技术缺陷,提供了移动通信网与卫星互联网防定位系统和方法,在不改变3gpp标准流程和协议、不影响用户拨打电话体验的前提下,针对移动通信网、卫星互联网的gpsi或msisdn(电话号码)进行防护,更加全面地解决移动通信网、卫星互联网的防定位问题,满足关键行业应用的高安全需求。
2、本发明目的通过下述技术方案来实现:
3、一种移动通信网与卫星互联网防定位系统,所述卫星互联网包括卫星终端、卫星互联网接入网和卫星互联网核心网,所述卫星互联网核心网包括卫星互联网分组域核心网和卫星互联网ims域核心网,所述移动通信网包括移动终端、移动通信网接入网和移动通信网核心网,所述移动通信网核心网包括移动通信网分组域核心网和移动通信网ims域核心网,所述防定位系统包括:
4、专用udm(unified data management,统一数据管理功能)网元,所述专用udm网元部署于所述卫星互联网分组域核心网和所述移动通信网分组域核心网,对外提供移动通信网及卫星互联网的标准接口,对内提供专用接口与入网认证增强服务对接;
5、专用hss(home subscriber server,归属地用户服务器)网元,所述专用hss网元部署于ims域核心网,对外提供标准移动通信网、卫星互联网的标准接口,对内提供专用接口与入网认证增强服务对接;
6、安全增强usim装置,所述安全增强usim装置部署于所述卫星终端和移动终端内,提供supi(subscription permanent identifier,永久签约信息标识符)或imsi(international mobile subscriber identity,国际移动签约信息标识符)身份掩护功能;
7、入网认证增强服务,所述入网认证增强服务部署于所述卫星互联网核心网和移动通信网核心网,提供supi或imsi身份掩护功能、分组域gpsi(generic publicsubscription identifier,通用公共签约信息标识符)或msisdn(mobile subscriberinternational isdn/pstn number,移动签约信息国际数字电话号码)号码掩护功能、ims域gpsi或msisdn号码掩护功能和分段动态映射功能;
8、号码变换as(application server,应用服务),所述号码变换as部署于所述卫星互联网ims域核心网和所述移动通信网ims域核心网,提供真实号码与掩护号码映射关系变更功能。
9、进一步的,所述卫星终端包括标准卫星互联网体制的商用终端,所述卫星互联网接入网包括标准的卫星和地面信关站,所述卫星互联网分组域核心网包括amf、smf和upf标准分组域核心网网元,所述卫星互联网ims域核心网包括i-cscf、p-cscf以及s-cscf标准ims核心网网元。
10、进一步的,所述移动终端包括标准3g、4g或5g体制的商用终端,移动通信接入网包括标准的3g、4g或5g基站;移动通信网分组域核心网包括amf(access and mobilitymanagement function,接入与移动性管理功能)、smf(session management function,会话管理功能)、upf(user plane function,用户面功能)标准分组域核心网网元,移动通信网ims域核心网包括i-cscf(interrogating call session control function,查询呼叫会话控制功能)、p-cscf(proxy call session control function,代理呼叫会话控制功能)以及s-cscf(serving call session control function,服务呼叫会话控制功能)标准ims(ip multimedia subsystem,ip多媒体子系统)核心网网元。
11、另一方面,本发明还提供了一种移动通信网与卫星互联网防定位方法,所述方法基于前述任一种的移动通信网与卫星互联网防定位系统实现,分组域号码与ims域号码解耦,所述方法包括:
12、对所述分组域号码进行掩护,具体包括:
13、所述入网认证增强服务响应于接收到的分组域号码掩护请求,发起分组域号码掩护;
14、入网认证增强服务通知专用udm添加新用户,包括gpsi或msisdn号码和supi或imsi标识;
15、入网认证增强服务通过专用udm发起用户端去附着操作,触发用户端立即重新入网附着;
16、用户端使用当前supi或imsi标识发起分组域入网附着;
17、安全增强usim装置与入网认证增强服务之间进行分组域入网认证流程,通过下行鉴权向量加密携带supi或imsi变换控制指令;
18、安全增强usim装置解析出supi或imsi变换控制指令后,通知用户端变换supi或imsi;
19、用户端使用新的supi或imsi发起分组域入网附着请求;
20、安全增强usim装置和入网认证增强服务之间进行分组域入网认证;
21、入网认证增强服务通知专用udm删除原用户,释放原有的gpsi或msisdn号码、supi或imsi标识资源。
22、另一方面,本发明还提供了一种移动通信网与卫星互联网防定位方法,所述方法基于前述任一种的移动通信网与卫星互联网防定位系统实现,分组域号码与ims域号码解耦,所述方法包括:
23、对所述ims域号码进行掩护,具体包括:
24、所述入网认证增强服务响应于接收到的ims域号码掩护请求,发起ims域号码掩护;
25、入网认证增强服务通知专用hss网元添加新用户,包括gpsi或msisdn号码和supi或imsi标识;
26、入网认证增强服务通过专用udm发起用户端去附着操作,触发用户端立即重新入网附着;
27、安全增强usim装置与入网认证增强服务通过分组域入网认证流程协商获得新的supi或imsi;
28、安全usim装置通知用户端变换supi或imsi;
29、用户端使用新的supi或imsi发起分组域入网附着请求;
30、安全增强usim装置与入网认证增强服务完成分组域入网认证;
31、用户端使用新的supi或imsi发起ims域入网附着请求;
32、安全增强usim装置与入网认证增强服务完成ims域入网认证流程,通过下行的ims域入网认证响应消息下发新的gpsi或msisdn号码,用户端将其作为自身主叫号码;
33、入网认证增强服务通知专用hss网元删除原用户,释放旧的gpsi或msisdn号码、supi或imsi标识资源;
34、入网认证增强服务通知号码变换as变更该用户端真实gpsi或msisdn与新掩护gpsi或msisdn的号码映射关系。
35、另一方面,本发明还提供了一种移动通信网与卫星互联网防定位方法,所述方法基于前述任一种的移动通信网与卫星互联网防定位系统实现,分组域号码与ims域号码解耦,所述方法包括:
36、对所述ims域分段号码进行动态映射,包括主叫拨号环节的分段号码动态映射;
37、所述主叫拨号环节的分段号码动态映射包括:
38、主叫ue发起呼叫,包含sip报文和invite报文,在invite报文中携带第一信息和第二信息,第一信息包括主叫掩护号码和主叫ue地址,第二信息包括被叫真实号码和cscf地址;
39、cscf通过业务触发机制默认把invite报文转交给号码掩护as应用服务进行处理;
40、号码掩护as对imvite进行号码映射处理,将所述第一信息映射为第三信息,将所述第二信息映射为第四信息,第三信息包括主叫真实号码和cscf地址,第四信息包括被叫掩护号码和cscf地址,完成映射后交还给cscf;
41、cscf将invite路由转发至被叫ue,将第四信息转换为第五信息,第五信息包括被叫掩护号码和被叫ue地址。
42、进一步的,所述动态映射还包括被叫振铃环节的分段号码动态映射,具体包括:
43、被叫ue收到invite报文后,显示主叫号码为主叫真实号码,向cscf返回180ring报文,在180ring报文中携带第六信息和第七信息,第六信息包括主叫真实号码和cscf地址,第七信息包括被叫掩护号码和被叫ue地址;
44、cscf通过业务触发机制默认把180ring转交给号码掩护as应用服务进行处理;
45、号码掩护as对180ring进行号码映射处理,将第六信息映射为第八信息,将第六信息映射为第七信息,第七信息包括主叫掩护号码和cscf地址,第九信息包括被叫真实号码和cscf地址,完成映射后交还给cscf;
46、cscf将180ring路由转发至主叫ue,将第八信息转换为第十信息,第十信息包括主叫掩护号码和主叫ue地址。
47、进一步的,所述动态映射还包括被叫接听环节的分段号码动态映射,具体包括:
48、被叫ue接听后,向cscf返回200ok报文,在200ok报文中携带第十一信息和第十二信息,第十一信息包括主叫真实号码和cscf地址,第十二信息包括被叫掩护号码和被叫ue地址;
49、cscf通过业务触发机制默认把200ok转交给号码掩护as应用服务进行处理;
50、号码掩护as对200ok进行号码映射处理,将第十一信息映射为第十三信息,将第十二信息映射为第十四信息,第十三信息包括主叫掩护号码和cscf地址,第十四信息包括被叫真实号码和cscf地址,完成映射后交还给cscf;
51、cscf将200ok路由转发至主叫ue,将第十三信息转换为第十五信息,第十五信息包括主叫掩护号码和主叫ue地址。
52、进一步的,所述动态映射还包括主叫确认环节的分段号码动态映射,具体包括:
53、主叫ue收到200ok后,发起ack确认,在ack报文中携带第十六信息和第十七信息,第十六信息包括主叫掩护号码和主叫ue地址,第十七信息包括被叫真实号码和cscf地址;
54、cscf通过业务触发机制默认把ack转交给号码掩护as应用服务进行处理;
55、号码掩护as对ack进行号码映射处理,将第十六信息映射为第十八信息,将第十七信息映射为第十九信息,第十八信息包括主叫真实号码和cscf地址,第十九信息包括被叫掩护号码和cscf地址,完成映射后交还给cscf;
56、cscf将ack路由转发至被叫ue,将第十九信息转换为第二十信息,第二十信息包括被叫掩护号码和被叫ue地址。
57、进一步的,所述方法还包括:
58、当在主叫方进行动态映射时,sip报文不同时携带主叫真实号码和主叫ue地址;
59、当在被叫方进行动态映射时,sip报文不同时携带被叫真实号码和被叫ue地址。
60、本发明的有益效果在于:
61、(1)本发明提出了一种面向移动通信网与卫星互联网高安全应用的防定位方法和系统,在不改变3gpp标准流程和协议,不影响用户打电话体验的前提下,通过解耦移动通信网、卫星互联网分组域与ims域电话号码信息,并且采用号码掩护和分段动态映射保护机制。
62、(2)本发明在确保对移动通信网、卫星互联网的公网基础设施部分不产生影响,对用户拨打电话使用习惯不产生影响的同时,达到在移动通信网、卫星互联网公网基础设施部分不暴露电话号码gpsi或msisdn、通信标识supi或imsi的效果,更加全面地解决移动通信网、卫星互联网的防定位问题,满足关键行业用户的高安全需求。
1.一种移动通信网与卫星互联网防定位系统,所述卫星互联网包括卫星终端、卫星互联网接入网和卫星互联网核心网,所述卫星互联网核心网包括卫星互联网分组域核心网和卫星互联网ims域核心网,所述移动通信网包括移动终端、移动通信网接入网和移动通信网核心网,所述移动通信网核心网包括移动通信网分组域核心网和移动通信网ims域核心网,其特征在于,所述防定位系统包括:
2.如权利要求1所述的移动通信网与卫星互联网防定位系统,其特征在于,所述卫星终端包括标准卫星互联网体制的商用终端,所述卫星互联网接入网包括标准的卫星和地面信关站,所述卫星互联网分组域核心网包括amf、smf和upf标准分组域核心网网元,所述卫星互联网ims域核心网包括i-cscf、p-cscf以及s-cscf标准ims域核心网网元。
3.如权利要求1所述的移动通信网与卫星互联网防定位系统,其特征在于,所述移动终端包括标准3g、4g或5g体制的商用终端,移动通信接入网包括标准的3g、4g或5g基站;移动通信网分组域核心网包括amf、smf、upf标准分组域核心网网元,移动通信网ims域核心网包括i-cscf、p-cscf以及s-cscf标准ims域核心网网元。
4.一种移动通信网与卫星互联网防定位方法,所述方法基于权利要求1-3任一所述的移动通信网与卫星互联网防定位系统实现,其特征在于,分组域号码与ims域号码解耦,所述方法包括:
5.一种移动通信网与卫星互联网防定位方法,所述方法基于权利要求1-3任一所述的移动通信网与卫星互联网防定位系统实现,其特征在于,分组域号码与ims域号码解耦,所述方法包括:
6.一种移动通信网与卫星互联网防定位方法,所述方法基于权利要求1-3任一所述的移动通信网与卫星互联网防定位系统实现,其特征在于,分组域号码与ims域号码解耦,所述方法包括:
7.如权利要求6所述的移动通信网与卫星互联网防定位方法,其特征在于,所述动态映射还包括被叫振铃环节的分段号码动态映射,具体包括:
8.如权利要求7所述的移动通信网与卫星互联网防定位方法,其特征在于,所述动态映射还包括被叫接听环节的分段号码动态映射,具体包括:
9.如权利要求8所述的移动通信网与卫星互联网防定位方法,其特征在于,所述动态映射还包括主叫确认环节的分段号码动态映射,具体包括:
10.如权利要求6-9任一所述的移动通信网与卫星互联网防定位方法,其特征在于,所述方法还包括:
