一种标识符的注册方法和实现注册方法的节点

相关申请案的交叉引用

这是针对即时公开的技术提交的首次申请。

技术领域

本发明大体上涉及通信网络领域，尤其涉及使用用户设备的一次性标识符的注册方法和实现注册方法的节点。

背景技术

第五代(fifth generation，5G)移动通信网络将连接世界上大部分人口。5G网络引入了各种新奇的东西，包括新的架构、技术和网络服务。5G网络的引入会给安全和隐私保护带来新的挑战，因为这些网络将携带包含用户(也称为签约用户)身份标识、位置和隐私内容等个人信息的数据和信令。尤其是连接用户数量之大引起了人们对隐私泄露的严重担忧。此外，由于在线身份标识盗窃近来有上升趋势，用户通常不愿意向其他各方或服务提供商揭露他们的永久身份标识或他们的用户设备(user equipment，UE)的永久身份标识，而宁愿保持匿名。

5G网络(或简称“5G”)提出在5G无线接入网上加密用户标识符，以隐藏用户和其设备的身份标识。然而，5G核心网(core network，CN)中的用户隐私仍是个问题，因为所有5GCN组件都知道永久用户标识符。

第三代合作伙伴项目(3rd generation partnership project，3GPP)发布的5G规范使用了许多对用户和UE本身进行寻址的标识符。这种标识符的示例包括签约永久标识符(subscription permanent identifier，SUPI)、永久设备标识符(permanent equipmentidentifier，PEI)和通用公共签约标识符(generic public subscription identifier，GPSI)。这种标识符是永久性的，披露这种标识符可能会对用户的隐私造成风险。此外，可能会有来自核心网(core network，CN)本身的威胁和攻击。与5G采用的基于服务的架构相关的一些安全挑战包括：

a.攻击者非法访问5G CN中的网络功能，安装恶意软件；

b.攻击者非法控制网络功能；

c.攻击者非法访问网络功能接口上的敏感用户数据。

这些安全挑战意味着，某些CN组件可能并不可信，也不应访问包括永久用户标识符在内的敏感和隐私用户数据。因此，与早期网络技术相比，5G需要更高的安全级别。

3GPP 5G规范定义了5G全球唯一临时标识符(5G globally unique temporaryidentifier，5G-GUTI)、5G临时移动签约用户身份标识(5G temporary mobile subscriberidentity，5G-TMSI)和5G S临时移动签约用户身份标识(5G S-temporary mobilesubscriber identity，5G-S-TMSI)，这些都旨在为5G用户提供一定程度的匿名性。然而，这些改进未能阻止各种CN组件访问永久用户身份标识。

为了提高认证性能并保护用户隐私，提出了各种安全方案。例如，为了防止用户感兴趣的服务信息泄露，提出一种高效、安全的面向服务的5G物联网(internet of things，IoT)服务认证框架。然而，用于内容隐私保护的加密方法很复杂。为了抵御国际移动用户身份标识(international mobile user identity，IMSI)捕捉器，提出一种基于假名的方案，其中，用户设备用临时标识符而非IMSI来标识自己。但是，这种方案不保护SUPI和其他用户永久标识符。因为这种方案只考虑空中接口上例如使用假的长期演进(long termevolution，LTE)基站的活跃攻击者，而未考虑5G核心组件受损时可能有来自5G核心网本身的攻击。其他人则提出一种安全、高效、轻量级的认证和密钥协定(authentication andkey agreement，AKA)协议，该协议不需要5G网络的公钥基础设施(public keyinfrastructure，PKI)，这种方法旨在最大限度地减少拒绝服务攻击，防御重放攻击，并减少认证时间延迟。其他技术旨在保护用户位置信息，防止用户活动泄露，并提高对使用另一种5G认证协议的主动攻击和恶意服务网络的抵抗。另一种不需要全局PKI的5G附着过程的方案提出防止中间人和可链接性攻击，并保护用户隐私。但是，这些方案只保护用户的IMSI和SUPI。还提出一种基于区块链技术的5G超密集网络安全认证方案。然而，这种方案具有不同的目标，即，当用户在不同接入点之间移动时，最大限度地减少所需交互和认证的次数。

因此，需要能保护5G核心网中各种形式的永久用户和用户设备身份标识的方案。

发明内容

本发明的目标(即，可实现本文描述的一个或多个实施例产生的一个或多个潜在好处的方向之一)是提供一种在用户设备(user equipment，UE)中实现的注册方法，该注册方法包括：

所述UE向核心网(core network，CN)的可信节点发送第一注册请求，所述第一注册请求包括存储在所述UE的存储设备中的第一临时标识符；

在所述UE处接收来自所述可信节点的第一注册响应，所述第一注册响应包括第一随机质询；

在所述UE处使用所述第一随机质询为所述UE生成第二临时标识符；

在所述UE的所述存储设备中用所述第二临时标识符覆盖所述第一临时标识符。

在至少一个实施例中，所述注册方法还包括在接收到所述第一注册响应后，在所述UE处使用所述第一临时标识符与所述CN的其他节点通信。

在至少一个实施例中，所述注册方法还包括：所述UE向所述可信节点发送第二注册请求，所述第二注册请求包括所述第二临时标识符；所述UE接收来自所述可信节点的第二注册响应，所述第二注册响应包括第二随机质询；所述UE使用所述第二随机质询为所述UE生成第三临时标识符；以及在所述UE的所述存储设备中用所述第三临时标识符覆盖所述第二临时标识符。

在至少一个实施例中，所述注册方法还包括在接收到所述第二注册响应后，在所述UE处使用所述第二临时标识符与所述CN的其他节点通信。

在至少一个实施例中，所述注册方法还包括：在向所述可信节点发送所述第一注册请求之前，所述UE从所述UE的所述存储设备中存储的临时标识符池中选择所述第一临时标识符；其中，在所述临时标识符池内用所述第二临时标识符覆盖所述第一临时标识符。

在至少一个实施例中，从所述UE的所述存储设备中存储的所述临时标识符池中随机选择所述第一临时标识符。

在至少一个实施例中，所述注册方法还包括：所述UE从所述UE的所述存储设备中存储的所述临时标识符池中选择第三临时标识符；所述UE向所述可信节点发送第二注册请求，所述第二注册请求包括所述第三临时标识符；所述UE接收来自所述可信节点的第二注册响应，所述第二注册响应包括第二随机质询；所述UE使用所述第二随机质询为所述UE生成第四临时标识符；以及在所述临时标识符池内用所述第四临时标识符覆盖所述第三临时标识符。

在至少一个实施例中，所述注册方法还包括：所述UE从所述UE的所述存储设备中存储的所述临时标识符池中选择第三临时标识符；所述UE向所述可信节点发送第二注册请求，所述第二注册请求包括所述第三临时标识符；所述UE确定在预定时间延迟后尚未从所述可信节点接收到携带第二随机质询的第二注册响应；所述UE从所述UE的所述存储设备中存储的所述临时标识符池中选择第四临时标识符；所述UE向所述可信节点发送第三注册请求，所述第三注册请求包括所述第四临时标识符；所述UE接收来自所述可信节点的第三注册响应，所述第三注册响应包括第三随机质询；所述UE使用所述第三随机质询为所述UE生成第五临时标识符；以及在所述临时标识符池内用所述第五临时标识符覆盖所述第四临时标识符。

在至少一个实施例中，在所述UE处使用所述第一随机质询为所述UE生成第二临时标识符包括：在所述UE处将所述第一临时标识符和所述UE的加密密钥输入到密钥派生函数中以生成第一中间输出；在所述UE处将所述第一中间输出截断为预定长度以生成一次性标识符(one-time-identifier，OTI)加密密钥；在所述UE处将所述第一随机质询和所述OTI加密密钥应用于异或函数以生成第二中间输出；以及在所述UE处将所述第二中间输出应用于反向最优非对称加密填充函数以生成所述第二临时标识符。

在至少一个实施例中，所述UE的所述加密密钥为所述UE的长期密钥K。

在至少一个实施例中，所述注册方法还包括：在所述UE处接收来自所述CN的不可信节点的身份标识请求；从所述UE向所述不可信节点发送身份标识响应，所述身份标识响应包括存储在所述UE的存储设备中的第一临时设备标识符(temporary equipmentidentifier，TPEI)；在所述UE处接收来自所述不可信节点的注册接受消息，所述注册接受消息包括第二TPEI的加密版本；在所述UE处使用所述OTI加密密钥对所述第二TPEI的所述加密版本进行解密；以及在所述UE的所述存储设备中用所述第二TPEI覆盖所述第一TPEI。

在至少一个实施例中，所述注册接受消息还包括第二TGPSI的加密版本，所述注册方法还包括：在所述UE处使用所述OTI加密密钥对所述第二TGPSI的所述加密版本进行解密；以及在所述UE的所述存储设备中用所述第二TGPSI覆盖第一TGPSI。

在至少一个实施例中，所述第一临时标识符为所述UE的第一临时签约永久标识符(temporary subscription permanent identifier，TSUPI)；所述第一临时标识符以加密形式包括在所述注册请求中。

在至少一个实施例中，所述第一TSUPI的所述加密形式为通过用所述CN的公钥加密所述第一TSUPI而获得的所述UE的第一临时签约隐藏标识符(temporary subscriptionconcealed identifier，TSUCI)。

在至少一个实施例中，所述CN的所述公钥为所述UE的移动网络运营商(mobilenetwork operator，MNO)的公钥。

在至少一个实施例中，所述注册方法还包括在所述UE处接收到来自所述可信节点的所述第一注册响应之后，所述UE向所述可信节点发送包括确认接收到所述第二临时标识符的字段的注册完成消息。

本发明另一目标是提供一种用户设备(user equipment，UE)，所述UE包括：

收发器，用于允许所述UE通过无线接入网(radio access network，RAN)与核心网(core network，CN)的节点通信；

存储设备；

处理器，以操作方式连接到所述收发器和所述存储设备；

所述存储设备包括用于存储指令的非瞬时性计算机可读存储介质，所述指令可由所述处理器执行以执行所述UE实现的注册方法的操作。

本发明另一目标是提供一种在核心网(core network，CN)的统一数据管理(unified data management，UDM)中实现的注册方法，所述UDM标识为所述CN的可信节点，所述注册方法包括：

在所述UDM处接收来自用户设备(user equipment，UE)的第一注册请求，所述第一注册请求包括所述UE的第一临时标识符；

如果所述UDM确定所述UE的所述第一临时标识符存储在所述UDM的存储设备中：

在所述UDM处生成所述UE的第二临时标识符，

在所述UDM的所述存储设备中用所述第二临时标识符覆盖所述第一临时标识符，

在所述UDM处根据所述UE的所述第二临时标识符生成第一随机质询；

从所述UDM向所述UE发送包括所述第一随机质询的第一注册响应。

在至少一个实施例中，所述注册方法还包括如果所述UDM确定所述UE的所述第一临时标识符未存储在所述UDM的所述存储设备中，那么在所述UDM处拒绝所述注册请求。

在至少一个实施例中，所述注册方法还包括在发送所述第一注册响应后，在所述UDM处使用所述UE的所述第一临时标识符与所述CN的其他节点通信。

在至少一个实施例中，所述注册方法还包括：在所述UDM处接收来自所述UE的第二注册请求，所述第二注册请求包括第三临时标识符；如果所述UDM确定所述UE的所述第三临时标识符存储在所述UDM的所述存储设备中，则在所述UDM处生成所述UE的第四临时标识符，在所述UDM的所述存储设备中用所述第四临时标识符覆盖所述第三临时标识符，在所述UDM处根据所述UE的所述第四临时标识符生成第二随机质询，从所述UDM向所述UE发送包括所述第四随机质询的第二注册响应。

在至少一个实施例中，所述注册方法还包括在发送所述第二注册响应之后，在所述UDM处使用所述UE的所述第三临时标识符与所述CN的其他节点通信。

在至少一个实施例中，所述UDM的所述存储设备存储所述UE的临时标识符池；在所述临时标识符池内，用所述第二临时标识符覆盖所述第一临时标识符。

在至少一个实施例中，所述UE的所述第二临时标识符在所述UDM处随机生成。

在至少一个实施例中，在所述UDM处根据所述UE的所述第二临时标识符生成所述第一随机质询包括：在所述UDM处将所述第一临时标识符和所述UE的加密密钥输入到密钥派生函数中以生成第一中间输出；在所述UDM处将所述第一中间输出截断为预定长度以生成一次性标识符(one-time-identifier，OTI)加密密钥；在所述UDM处将所述第二临时标识符应用于最优非对称加密填充函数以生成第二中间输出；在所述UDM处将所述OTI加密密钥和所述第二中间输出应用于异或函数以生成所述第一随机质询。

在至少一个实施例中，所述UE的所述加密密钥为存储在所述UDM的所述存储设备中的所述UE的长期密钥K。

在至少一个实施例中，所述第一临时标识符为所述UE的第一临时签约永久标识符(temporary subscription permanent identifier，TSUPI)；所述第一临时标识符以加密形式包括在所述注册请求中。

在至少一个实施例中，所述第一TSUPI的所述加密形式为所述UE的第一临时签约隐藏标识符(temporary subscription concealed identifier，TSUCI)；所述方法还包括在所述UDM处使用所述CN的私钥对所述第一TSUCI进行解密以恢复所述第一TSUPI。

在至少一个实施例中，所述CN的所述私钥为所述UDM的私钥。

在至少一个实施例中，所述注册方法还包括在从所述UDM向所述UE发送所述第一注册响应之后，在所述UDM处从所述UE接收包括确认接收到所述第二临时标识符的字段的注册完成消息。

在至少一个实施例中，所述注册方法还包括：从所述CN的另一可信节点接收提供所述UE的位置信息的请求；以及通过提供当前为所述UE服务的所述CN的不可信节点的网络地址，从所述UDM响应所述CN的另一可信节点。

在至少一个实施例中，所述注册方法还包括：在所述UDM处从所述CN的另一可信节点接收解析所述UE的临时通用公共签约标识符(generic public subscriptionidentifier，GPSI)的请求；利用所述UE的GPSI从所述UDM响应所述CN的所述另一可信节点；在所述UDM处从所述CN的所述另一可信节点接收解析所述UE所呼叫的被叫方的GPSI的请求；以及利用所述UE所呼叫的所述被叫方的临时GPSI从所述UDM响应所述CN的所述另一可信节点。

在至少一个实施例中，利用所述UE的所述GPSI从所述UDM响应所述CN的所述另一可信节点包括：从所述UDM向所述CN的所述另一可信节点发送所述UE的临时签约永久标识符(temporary subscription permanent identifier，TSUPI)，在所述UDM处从所述CN的所述另一可信节点接收所述UE的所述TSUPI，以及从所述UDM向所述CN的所述另一可信节点发送所述UE的所述GPSI；而利用所述UE所呼叫的所述被叫方的所述临时GPSI从所述UDM响应所述CN的所述另一可信节点包括：从所述UDM向所述CN的所述另一可信节点发送所述UE所呼叫的所述被叫方的TSUPI，在所述UDM处从所述CN的所述另一可信节点接收所述UE所呼叫的所述被叫方的所述TSUPI，以及从所述UDM向所述CN的所述另一可信节点发送所述UE的所述GPSI。

在至少一个实施例中，所述注册方法还包括：在所述UDM处从所述CN的第一不可信节点接收将所述CN的所述不可信节点注册为所述UE的服务节点的第一请求，所述第一请求包括所述UE的所述第一临时标识符；在所述UDM处从所述CN的所述第一不可信节点接收为所述UE提取用户数据的第二请求，所述第二请求包括所述UE的所述第一临时标识符；将所述UE的所述用户数据从所述UDM发送到所述CN的所述不可信节点；以及从所述UDM向所述CN的所述不可信节点发送包括所述UE的先前临时标识符的注销消息。

在至少一个实施例中，所述注册方法还包括：在所述UDM处从所述CN的第二不可信节点接收对所述UE的会话管理签约数据的请求，所述第一请求包括所述UE的所述第一临时标识符；以及从所述UDM向所述CN的所述第二不可信节点发送响应，所述响应指示所述UE的所述第一临时标识符和所述UE的所述先前临时标识符均为所述UE的临时标识符。

本发明又一目标是提供一种统一数据管理(unified data management，UDM)，所述UDM包括：

输入/输出设备，用于允许所述UDM与核心网(core network，CN)的节点以及与用户设备(user equipment，UE)通信；

存储设备；

处理器，以操作方式连接到收发器和所述存储设备；

所述存储设备包括用于存储指令的非瞬时性计算机可读存储介质，所述指令可由所述处理器执行以执行所述UDM中实现的注册方法的操作。

本发明另一目标是提供一种在核心网(core network，CN)的设备身份标识寄存器(equipment identity register，EIR)中实现的注册方法，所述EIR标识为所述CN的部分可信节点，所述注册方法包括：

在所述EIR处，从接入和移动性管理功能(access and mobility managementfunction，AMF)接收包括用户设备(user equipment，UE)的临时设备标识符(temporaryequipment identifier，TPEI)的设备身份标识验证请求；

有选择地将从所述EIR接收到的TPEI转发到统一数据管理(unified datamanagement，UDM)；

在所述EIR处从所述UDM接收新的TPEI；

将所述新的TPEI从所述EIR转发给所述AMF。

本发明又一目标是提供一种设备身份标识寄存器(equipment identityregister，EIR)，所述EIR包括：

输入/输出设备，用于允许所述EIR与核心网(core network，CN)的节点通信；

存储设备；

处理器，以操作方式连接到收发器和所述存储设备；

所述存储设备包括用于存储指令的非瞬时性计算机可读存储介质，所述指令可由所述处理器执行以执行所述EIR中实现的注册方法的操作。

附图说明

结合附图，通过以下详细描述，本发明的特征和优点将变得显而易见，在附图中：

图1示出了3GPP 5G规范中定义的5G架构的简化版本；

图2总结了3GPP 5G规范中描述的原始5G UE注册过程；

图3示出了本技术实施例的基于OTI的注册过程；

图4a和4b示出了本技术实施例的修改后的5G注册过程；

图5a至5e示出了作为图4a和4b的修改后的5G注册过程的一部分的子例程；

图6示出了注册完成信号中发送的OTI

图7示出了本技术实施例的根据获权使用服务的外部位置服务(locationservice，LCS)客户端的请求确定用户位置的一般过程；

图8a和8b示出了本技术实施例的使用IP多媒体子系统(IP multimediasubsystem，IMS)在双方之间建立5G语音呼叫的一般过程；

图9示出了为研究TSUPI

图10示出了3GPP规范中定义的三个不同的SSC模式；

图11a和11b描述了本技术实施例的基于OTI的5G移动注册更新过程；

图12为本技术实施例的用户设备(user equipment，UE)的示意性框图；

图13为本技术实施例的5G CN的统一数据管理(unified data management，UDM)组件的示意性框图；

图14为本技术实施例的5G CN的统一数据储存库(unified data repository，UDR)组件的示意性框图；

图15为本技术实施例的5G CN的设备身份标识寄存器(equipment identityregister，EIR)组件的示意性框图。

应理解，在所有附图和对应的描述中，相同的特征由相同的附图标记标识。此外，还应理解，附图和以下的描述仅用于说明目的，并且这些公开内容并不旨在限制权利要求书的范围。

具体实施方式

除非上下文另有定义或指示，否则本文中使用的所有技术和科学术语具有与所描述实施例所属领域普通技术人员通常理解的相同含义。

总的来说，本技术旨在使用一次性标识符(one-time identifier，OTI)过程保护第五代(fifth generation，5G)核心网(core network，CN)中的用户隐私。由于5G标准对实现新的安全方案和增强用户隐私是开放的，本发明在5G注册过程中应用OTI方案以限制允许访问永久用户标识符的CN组件的数量，永久用户标识符包括签约永久标识符(subscription permanent identifier，SUPI)、永久设备标识符(permanent equipmentidentifier，PEI)和通用公共签约标识符(general public subscription identifier，GPSI)。使用OTI时，5G网络的用户，例如移动用户，使用临时5G标识符而非用户的永久5G标识符。本发明的基于OTI的5G注册过程可无缝应用于各种5G服务。

如本文所用，5G的OTI安全技术通过限制5G CN中能访问此用户的永久标识符的组件的数量来防止用户隐私泄露。5G CN的一些组件(或节点)被认为是可信的，一些其他组件(或节点)被认为是不可信的。在5G CN的不可信组件受损的情况下，由于5G CN的不可信组件无权访问永久用户标识符，用户隐私得以维护。更详细地，通过修改传统5G注册过程以及将一组OTI分配给用户，5G CN中有权访问永久用户标识符的组件的数量得到限制。使用本发明基于OTI的5G注册过程，用户使用可随着时间推移而变的临时标识符向5G CN标识自己。这组临时用户标识符由5G CN的少量可信组件跟踪和维护，可信组件包括例如但不限于均在5G规范中定义的统一数据管理(unified data management，UDM)和统一数据储存库(unified data repository，UDR)。在一方面，5G服务仍可使用基于OTI的5G注册过程和临时标识符来操作。

应理解，虽然5G网络支持用户(或签约用户)和其设备(称为“用户设备(userequipment，UE)”)的移动性，但预计许多用户和用户设备可能会驻扎在固定位置。非限制性示例可包括在所谓的“物联网(internet of things，IoT)”上下文中使用的各种设备。因此，在本发明的上下文中，提及“5G移动通信网络”和类似叙述并不限制本发明的一般性，本发明可同样适用于固定和移动用户以及固定和移动UE。

还应理解，本发明基于OTI的注册过程不限于5G网络中的蜂窝通信，即，移动设备与5G核心网之间的蜂窝通信。例如但不限于，本发明基于OTI的注册过程可用作自动驾驶车辆(车辆网络)、智慧城市基础设施中的IoT、交通管理和工业自动化、增强现实和虚拟现实、无人机以及可穿戴设备中的5G注册过程的部分。

在本发明的上下文中，术语“用户”、“签约用户”和“UE”有时可以互换使用。签约用户通常是指拥有服务签约并为签约付费的个人或其他实体。用户通常是指可能与付费签约用户不同、与UE不同的个人。因此，用户可能无法向网络发送信号和从网络接收信号，因为信令交换发生在用户设备、UE和网络之间。在IoT的上下文中，用户可以是连接到UE的设备。本发明以旨在简化各种实施例的说明的方式使用术语“用户”、“签约用户”和“UE”，而非意在限制所公开技术的一般性。

本发明包括对OTI方案的保密性质的分析。此分析验证了分配的临时标识符的保密性，并确认了本技术在避免攻击者损害用户身份标识方面的有效性。此分析使用“Tamarin Prover”安全协议验证工具进行，该工具是基于多组重写规则和一阶逻辑的符号分析工具，可在Github网站(https://tamarin-prover.github.io/)上获得。结果表明，通过应用OTI，5G CN中标识为不可信的受损组件可能在注册和认证过程中仍无法了解用户的身份标识。此外，使用基于OTI的5G注册协议对一些5G服务(位置服务、计费和收费服务以及呼叫建立)操作的分析表明，这些服务在采用临时标识符的情况下仍可无缝运行。

本发明OTI方案可在现有5G网络中实现，对第三代合作伙伴项目(3rd generationpartnership project，3GPP)5G规范的变化最小。

如前所述，并非所有CN组件都可被放心赋予敏感用户数据和永久标识符。因此，明智的方法是限制有权访问永久用户标识符的CN组件的数量。因此，本技术更进一步保护用户永久标识符。相比于以前的工作，本技术引入一种修改后的5G注册方案，该方案使用一次性标识符(one-time identifier，OTI)的概念保护SUPI、PEI和GPSI(5G中UE的永久身份标识)。在实施例中，这通过建立在5G网络中UE与核心组件之间频繁变化的临时标识符来实现。临时标识符可在UE本地和用户的归属网络中导出，不会影响现有的通用签约用户身份标识模块。采用OTI方法带来的结果有两部分：

●在UE与5G CN之间的许多信令交互中，不再需要使用长期永久用户标识符；

●临时标识符可能会频繁变化，以防止能够损害CN组件的攻击者跟踪用户活动。

本发明从技术角度呈现本技术，然后评估其可行性。然后，提供对公开的基于OTI的5G注册方案的正式验证分析。

I.5G系统概述

I-A.5G核心网架构

图1示出3GPP 5G规范定义的5G架构1的简化版本。在5G架构1中，5G CN 10采用控制面和用户面分离，以允许5G服务的可扩展性和灵活部署。图1中的5G CN 10的上部构成控制面，其中每个网络功能在基于服务的架构20中交互，并通过基于服务的接口25显露其功能。控制面中的网络功能的示例包括接入和移动管理功能(access and mobilitymanagement function，AMF)30、会话管理功能(session management function，SMF)35、认证服务器功能(authentication server function，AUSF)40、策略控制功能(policycontrol function，PCF)45、统一数据管理(unified data management，UDM)50、统一数据储存库(unified data repository，UDR)55、设备身份标识寄存器(equipment identityregister，EIR)90(在本说明书中也称为5G-EIR)、包括收费功能(charging function，CHF)的融合收费系统(converged charging system，CCS)95、位置管理功能(locationmanagement function，LMF)60和网关移动位置中心(gateway mobile location center，GMLC)65。这些网络功能通过基于服务的接口25交互，如图1所示。

AMF 30负责非接入层加密和完整性保护、注册管理、连接管理、移动管理、接入认证和授权。SMF 35负责会话管理、用户/签约用户的互联网协议(Internet Protocol，IP)地址分配和管理，以及与会话管理相关的非接入层信令的终止。AUSF 40充当认证服务器。PCF45向控制面的功能提供策略规则，并为UDR 55中的策略决策提供访问签约信息。UDM 50负责生成认证和密钥协定(authentication and key agreement，AKA)凭据、用户身份处理、访问授权和签约管理。55UDR负责存储和检索UDM 50的签约数据、PCF 45的策略数据以及用于暴露的结构化数据。EIR 90持有关于移动设备序列号以及它们是否被列入黑名单的信息。EIR 90保存的这些信息可包括每个移动设备的永久设备标识符(permanent equipmentidentifier，PEI)。CCS 95负责签约用户收费，并提供与计费域的接口。LMF 60负责用户的位置确定和获得位置测量值。GMLC 65支持位置服务。

5G CN 10的下部形成包括用户面功能(user plane function，UPF)70的用户面，其负责分组路由和转发、分组检查、服务质量处理，并充当与外部数据网络(data network，DN)75互连的外部分组数据单元(packet data unit，PDU)会话点。5G CN 10与5G无线接入网(radio access network，RAN)80联合操作，以向一个或多个UE 85提供对5G CN 10和外部数据网络(data network，DN)75的服务。最后，IP多媒体子系统(IP multimediasubsystem，IMS)690是5G提供语音和多媒体服务所依赖的子系统。

I-B.5G标识符

在5G中，在用户级和设备级(即，在UE 85)使用若干标识符。这里的一些标识符是永久的，而为了支持用户机密性保护，其他标识符是动态的。本技术的相关标识符包括：永久标识符，包括如上所述的SUPI、PEI和GPSI；以及动态标识符，包括签约隐藏标识符(subscription concealed identifier，SUCI)、5G全局唯一临时标识符(5G globallyunique temporary identifier，5G-GUTI)、5G临时移动签约用户身份标识(5G temporarymobile subscriber identity，5G-TMSI)和5G S临时移动签约用户身份标识(5G S-temporary mobile subscriber identity，5G-S-TMSI)。值得一提的是，永久标识符在用户签约有效期内不变。因此，通过识别永久标识符，可揭示用户的身份标识。因此，为了加强用户隐私，希望通过限制有权访问这些标识符的CN组件的数量来保护用户的永久标识符。一些5G标识符简要说明如下：

I-B.1)SUPI

5G中的每个用户都会被分配称为SUPI的全局唯一标识符，这是个永久标识符。该永久标识符在3GPP 5G规范中定义，并在UDM 50和UDR 55中提供。SUPI可包含国际移动签约用户身份标识(international mobile subscriber identity，IMSI)，该IMSI是在全球移动系统(global system for mobile，GSM)、通用移动电话系统(universal mobiletelephone system，UMTS)和演进分组系统(evolved packet system，EPS)等各种系统中分配给用户的唯一标识符。或者，SUPI可包含采用网络接入标识符(network accessidentifier，NAI)格式的网络特定标识符。如果SUPI包含IMSI，则为15位十进制数字，前3位表示移动国家码(mobile country code，MCC)，下2位或3位表示移动网络码(mobilenetwork code，MNC)，最后9位或10位表示标识公共陆地移动网络(PLMN)内的移动签约的移动签约标识号(mobile subscription identification number，MSIN)。

I-B.2)PEI

PEI是永久标识符，标识移动设备本身，即UE 85。该PEI可指示国际移动设备身份标识(international mobile equipment identity，IMEI)或IMEI和软件版本号(IMEI andsoftware version number，IMEISV)。因此，用户的UE向网络指示PEI和其格式。如果PEI指示IMEI，则包含8位类型分配码(type allocation code，TAC)和6位序列号(serialnumber，SNR)。PEI可用于检查给定UE是否列入黑名单。

I-B.3)GPSI

GPSI是永久公共标识符，在3GPP 5G规范之内和之外用于寻址不同数据网络中的3GPP签约。GPSI可指示移动签约用户ISDN号(mobile subscriber ISDN number，MSISDN)或外部标识符。如果GPSI指示MSISDN，则最大长度为15位，由1至3位国家码(country code，CC)、国内目的地码(national destination code，NDC)和签约用户号(subscribernumber，SN)构成，使得NDC+SN的长度为12至14位。

I-C.5G信任模型

在一般蜂窝网络中，特别是在5G网络中，信任模型确定哪些实体可被放心赋予敏感用户数据。第四代(fourth generation，4G)LTE网络中引入的信任模型包括签约用户(用户)、移动设备(mobile equipment，ME——UE 85的另一术语)、移动网络运营商(mobilenetwork operator，MNO)、虚拟MNO(virtual MNO，VMNO)、服务提供商和设备制造商等实体。传统上，用户和其UE 85信任MNO、VMNO和服务提供商，通常认为与MNO的签约合同中的条款条件都将得到正确遵守。MNO负责以应当保护用户隐私的方式向用户提供网络连接。然而，有报道称存在一些漏洞，其中用户的长期标识符(IMSI)被无线窃听。

在传统5G过程中，使用公钥加密机制来保护RAN 80上的SUPI(4G IMSI的5G等同对象)。UE通过MNO的公钥加密SUPI来生成SUCI，并将加密后的SUCI无线发送给AMF 30。虽然AMF 30无法从接收到的SUCI中提取SUPI，但会将SUCI中继到UDM 50，然后从UDM 50接收SUCI的解密版本。此后，SUPI在5G CN 10的所有组件之间传输，以便标识用户。因此，在传统5G过程中，通常假定所有CN组件都是可信的，并被授予对所有永久用户标识符的访问权限。

I-D.5G注册过程

图2总结了3GPP 5G规范中描述的传统5G UE注册过程100。序列100的各种操作的顺序可能与图2的图示不同，并且在一些实施例中可能不存在某些操作。5G UE注册过程100从操作105和110开始，UE 85通过接入网(access network，AN)，例如但不限于RAN 80，向AMF 30发送注册请求信号。注册请求信号指示注册类型。UE 85通过其SUCI、5G-GUTI或PEI来标识自己。如果SUCI并非由UE 85提供，AMF 30可在操作115从UE 85获得SUCI。在操作120，AUSF 40的选择发生在UE 85与UDM 50之间，并且根据3GPP 5G规范执行UE 85的认证过程。在操作120期间，UDM 50解密SUCI并将SUPI发回AMF 30。此后，如果UE 85尚未将其PEI提供给AMF 30，AMF 30可在操作125从UE 85获得PEI。使用提供的PEI，AMF 30随后在操作130联系5G设备身份标识寄存器(equipment identity register，EIR)90以检查PEI的状态，从而验证UE 85未列入黑名单。在操作135，根据提供的SUPI，AMF 30选择UDM 50，向UDM注册，并获取UE 85的相关用户签约数据。在本操作135中，AMF 30获得用户的GPSI。此后，在操作140，AMF 30与PCF 45建立接入和移动策略关联，随后AMF 30在操作145结合SMF 35执行PDU会话更新。最后，AMF 30在操作150向UE发送注册接受消息，UE通过在操作155发送注册完成信号来响应该消息。届时，5G注册过程完成。

可观察到，CN组件可能识别不同的标识符并确定不同的标识符属于同一用户，这一事实可能为可追溯性攻击打开大门。在可追溯性攻击中，攻击者可能会推断不同的服务是否被传递给同一用户。这可通过注意传递给不同标识符的服务，然后推断这些标识符属于同一用户来实现。

II.现有技术的一次性标识符方案

II-A.一次性标识符

如前所述，5G中的每个用户都被分配了以下永久标识符：SUPI、PEI和GPSI，可分别理解为‘原始SUPI’、‘原始PEI’和‘原始GPSI’。任何一个这些永久标识符都可揭示用户身份标识。5G潜在隐私泄露的根本原因在于错误地假设所有CN组件都是可信的，并且可以合法访问长期永久标识符。这在某些CN组件受损的情况下可能会引发问题。因此，为了保护用户隐私，本技术并不假定5G CN 10的所有组件都是可信的。在实施例中，本技术确定不同的CN组件具有不同信任级别。表I示出本技术实施例的与5G信任模型相比的信任模型。

表I

如表I所示，传统5G技术假设所有5G核心网节点都忠实地实现5G协议和过程，并且完全可信。相反，本技术可考虑三种不同类型的CN组件的最多三个信任级别，这些级别包括可信、部分可信和不可信。

根据本技术的各种实施例，允许可信CN组件知道永久用户标识符并能够跟踪分配给用户的临时标识符。部分可信CN组件是不允许知道永久用户标识符但允许识别由本技术定义的一组临时标识符属于同一用户而不揭示原始永久用户标识符的组件。最后，不可信CN组件既不允许知道用户的永久标识符，也不允许识别一组临时标识符属于同一用户。

根据本技术的实施例，在基于OTI的5G注册过程中，每个UE 85维护3GPP 5G规范中定义的其原始标识符，另外维护一组临时标识符。这组临时标识符是可信CN组件已知的，可用于基于OTI的5G-AKA方案。该组临时标识符可例如但不限于包含一个或多个临时SUPI(temporary SUPI，TSUPI)、一个或多个临时PEI(temporary PEI，TPEI)和一个或多个临时GPSI(temporary GPSI，TGPSI)。在实施例中，每个移动设备的临时PEI(temporary PEI，TPEI)池可保存在EIR 90中。在实施例中，TSUPI可采用与SUPI类似的格式，TPEI可采用与PEI类似的格式，TGPSI可采用与GPSI类似的格式，从而允许不可信和部分可信CN组件透明地使用这些标识符。

在实施例中，可针对给定UE 85定义单个TSUPI、单个TPEI和单个TGPSI。在另一实施例中，多个临时标识符可包括在由给定UE 85定义的组中。当针对给定UE 85定义多个TSUPI、TPEI和/或TGPSI时，这些临时标识符形成每个临时标识符类型的标识符池。在每个UE 85中，通用签约用户身份标识模块可包括一组N个临时标识符{TempID

图3示出本技术实施例的基于OTI的注册过程200。序列200的各种操作的顺序可能与图3的图示不同，并且在一些实施例中可能不存在某些操作。注册过程200包括发生在UE85内和5G CN 10的可信节点96内的内部过程，该可信节点可例如为UDM 50。注册过程200还包括UE 85与可信节点96之间的信令交互。UE 85持有临时标识符或临时标识符池。可信节点96持有包括UE 85在内的多个UE的等效临时标识符或临时标识符池。以下对注册过程200的描述建议使用临时标识符池，而不将本过程200的适用性限制于使用单个临时标识符的情况。

在操作205，UE 85确定需要发送注册请求。US 85从其标识符池中随机选择临时标识符TempID

在接收到新的临时标识符TempID

在持续时间可能较长的操作230，UE 85使用在操作205选择的临时标识符TempID

当需要在操作240向可信节点96发送另一注册请求时，UE 85可在操作235从更新的标识符池中选择另一临时标识符。可信节点96在执行UE 85的注册和认证时生成新的临时标识符TempID

UE 85在操作235选择的临时标识符有可能是在操作220存储于标识符池中的TempID

考虑到图3的序列200，可观察到，获权访问UE 85在操作205选择的临时标识符的部分可信CN节点无法根据在操作235对新的临时标识符的选择识别同一UE 85。还可观察到，在实施例中，基于OTI的注册过程200可仅通过修改UE 85和充当可信节点96的UDM 50来集成于5G UE注册过程100中。图2中所示的5G UE注册过程100中涉及的各种其他节点可能仍然不知道UE 85的永久身份标识已替换为临时身份标识。因此，基于OTI的注册过程200可在不修改标准5G UE注册过程的情况下实现。

II-B.基于OTI的5G注册过程

本技术的一些实施例可引入对5G注册过程的修改，以限制5G CN 10中有权访问用户永久标识符的组件的数量。更具体地，本技术可仅限UDM和UDR知晓用户永久标识符，因为这些数据库存储诸如SUPI、长期密钥K和用于对SUCI解除隐藏和重建SUPI的MNO私钥等信息。

图4a和4b示出本技术实施例的修改后的5G注册过程300。序列300的各种操作的顺序可能与图4a和4b的图示不同，并且在一些实施例中可能不存在某些操作。图5a至5e示出作为图4a和4b的修改后的5G注册过程的一部分的子例程。参考图4a、4b和5a至5e，UE 85从其标识符池中选择临时SUPI(TSUPI

传统5G注册过程100和基于OTI的注册过程200都包括认证操作，其中UDM 50生成包括在提供给UE 85的注册响应中的认证向量(authentication vector，AV)。在本技术的一方面，传统5G注册过程100可修改为在操作308，UDM 50将AV和TSUPI

图5a示出用于生成

K

在等式(1)中，Trunc(·)表示将所得输出截断为128位，KDF(·)是密钥派生函数，⊕表示XOR函数，OAEP(·)是将输入填充为128位的最优非对称加密填充函数。

图5b所示的反向过程可由UE 85侧用来生成TSUPI

认证和安全验证可在操作314例如根据3GPP 5G规范在操作120(图2)的情况下使用UE 85与UDM 50之间交换的信令进行。

在操作316，AMF 30可请求UE 85提供其PEI。UE 85可选择临时PEI(TPEI

在修改后的5G注册过程300中，AMF 30可在操作330发送请求，以从UDM 50获得UE85的接入和移动签约数据。AMF 30发送的该请求携带实际上与在操作310从AUSF 40接收的TSUPI

最后，UE 85可在操作338向AMF 30发送注册完成信号，确认接收到新的临时标识符。在该信号中，长度为8位的“注册完成消息身份标识”字段可用于指示注册完成消息并传递OTI

将图4a和4b作为整体考虑，操作302至314可理解为提供5G-AKASUPI保护特征。操作316至328可理解为提供PEI保护特征。操作330至340可理解为提供GPSI保护特征。

应注意，根据3GPP 5G规范，UE 85可使用以下类型发起5G注册过程：初始注册、移动注册更新(由于用户移动性，或由于用户需要更新其协议参数或请求更改允许用户使用的网络分片集)和周期注册(由于周期注册更新计时器到期)。修改后的5G注册过程300在初始注册时使用。与基于OTI的移动注册更新相关的信令流修改将在下面的第IV节中描述。至于周期注册，在UE 85与5G CN 10之间不执行完整的序列300。因此，对于周期注册过程，UE85简单地使用在初始注册时设置的临时标识符向5G CN 10的节点标识自己。

II-B.1)同步丢失问题：

在基于OTI的注册协议中可能发生的一种场景是，在UE 85将其注册完成消息发送给AMF 30之后，AMF 30可能例如由于链路错误或中断而无法将该消息传递给UDM 50。在这种情况下，UE 85可能错误地认定已向5G CN 10确认UE成功接收到临时标识符并更新了其标识符池。同时，由于UDM 50可能没有接收到注册完成消息，也可能错误地认定UE 85没有成功接收到临时标识符。因此，在这种场景中，UDM 50可能不使用新的临时标识符更新标识符池。另一种可能发生的场景是，UE 85未能从AMF 30接收到AMF已接收到注册完成消息的确认。因此，UE 85可能不使用新的临时标识符更新其标识符池。同时，AMF 30可能将注册完成消息转发给UDM 50。因此，UDM 50可能基于UE 85已成功接收到临时标识符的错误判断更新标识符池。

虽然上述问题场景可能很少发生，但这些情况可能导致UE 85和UDM 50处的两个标识符池之间的不匹配。在UE 85使用单个临时标识符而非临时标识符池的实施例中，UE下次试图发起修改后的5G注册过程300时可能无法向5G CN 10注册，因为5G CN 10的组件可能无法识别UE 85在其注册请求消息中发送的临时标识符。相反，在UE 85使用临时标识符池的实施例中，如果UE未能使用一个特定临时标识符注册，例如当在预定的时间延迟后没有接收到成功注册响应时，该UE可使用标识符池中的另一临时标识符重试发起修改后的5G注册过程300。

II-B.2)用户可追溯性问题：

希望在保护用户长期标识符的同时防止受损AMF 30等不可信CN组件推断出两个不同的临时标识符属于同一用户。否则，不可信CN组件可能会对用户进行可追溯性攻击。由于本发明OTI技术的性质，临时标识符如TSUPI、TGPSI和TPEI无法用于可追溯性攻击，因为它们不断变化。然而，5G-GUTI是如果由UE 85长时间使用就可能用于可追溯性攻击的另一临时标识符。根据3GPP 5G规范，5G-GUTI的目的是为UE 85提供不向5G CN 10揭示UE 85的长期标识符的标识。5G-GUTI由两部分构成：一部分标识分配了5G-GUTI的AMF 30，另一部分标识AMF 30内的UE 85。为了防止受损AMF 30等不可信CN组件使用5G-GUTI跟踪UE 85，本发明OTI技术可防止UE 85在注册请求信号中提供其5G-GUTI。实际上，UE 85可通过TSUCI

可以注意的是，3GPP 5G规范已考虑为5G供应商提出专有保护方案。5G安全架构和过程的3GPP 5G规范中隐藏SUPI的保护方案分别由支持空方案、模板A和模板B的标识符0x0、0x1和0x2决定。此外，标识符0xC-0xF保留用于专有保护方案。因此，本技术的实施例可使用标识符0xC将修改后的5G注册过程300集成到现有5G信号中。

II-C.更改标识符例程(Change Identifier Routine，CIR)

本节描述UE触发基于OTI的注册以更改其标识符时可遵循的例程。此例程称为更改标识符例程(change identifier routine，CIR)，仅适用于初始注册过程。CIR是在不与用户接触的情况下将UE重新注册到CN的仿真，即，移动设备实际上没有关闭。事实上，通过遵循CIR，UE接收到新的临时标识符并改变其身份标识。CIR可使用以下两个步骤执行：

1.注销操作：

UE可使用其5G-GUTI向AMF发送注销请求信号。在该信号中，UE指示注销类型为“关闭”。发送该信号的结果是会释放属于用户的PDU会话、IP地址、资源和上下文。

2.初始注册操作：

在执行注销请求操作后，UE并没有真正关闭，而是发起基于OTI的初始注册过程。UE获取新的标识符TSUPI

频繁发起CIR可提高用户隐私，因为这允许UE不断更改其标识符。但是，如果大量UE频繁发起CIR过程，这可能会给5G CN带来巨大负担。这表明，CIR过程的实际触发频率可仔细优化，以在用户安全和隐私与5G CN负载之间进行折中。换句话说，CIR的发起频率可随用户配置文件和设置而变。例如但不限于，UE操作系统可选择在午夜之后在用户睡着而不使用其移动设备时发起CIR。可选地或附加地，CIR的发起频率可随5G CN信令负载而变。CIR的最优发起频率的确定可公式化为优化问题。这种问题的解决方法可能取决于目标函数的公式制定以及问题中使用的决策变量和约束的类型。此外，优化问题需要解决的频率以及是实时还是离线需要方案，可能会影响所选的解决方法。

III.公开的OTI方案的可行性和其形式验证

III-A.5G服务无缝运行

在实施例中，本发明OTI方案保持了各种5G服务的无缝运行。当使用本技术的动态临时标识符时，5G服务和过程仍可在不中断的情况下运作。在实施例中，UDM 50和UDR 55维护与UE 85相同的一组临时标识符，以便促进本技术在5G服务和过程中的集成。以下段落提供了一些5G服务的示例，以及这些服务在使用临时标识符时仍然运行的方式。

III-A.1)位置服务：

图7示出本技术实施例的根据获权使用服务的外部位置服务(external locationservice，LCS)客户端的请求确定用户位置的一般过程500。序列500的各种操作的顺序可能与图7的图示不同，并且在一些实施例中可能不存在某些操作。该过程开始时，外部LCS客户端590在操作510向(图1的描述中介绍的)GMLC 65发送请求以确定由其SUPI或GPSI标识的特定UE 85的位置。GMLC 65在操作515将请求转发给UDM 50。UDM 50可在操作520以当前为UE 85服务的AMF 30的网络地址响应GMLC 65。在该操作520中，UDM 50可指示GMLC 65使用当前分配给UE 85的临时标识符(TSUPI

如图7所示，UE 85的位置信息可使用其临时标识符获得。同样，这是可能的，因为UDM知道当前分配给UE 85的任何临时标识符。

III-A.2)收费和计费服务：

根据3GPP 5G规范，5G网络采用融合收费系统(converged charging system，CCS)95，该系统组合了离线收费和在线收费两种收费机制。离线收费时，在使用资源的同时收集用户网络资源使用的收费信息。然后，将这些收费信息置于收费数据记录(charging datarecord，CDR)的形式。这些CDR旨在稍后发送到计费域，以生成和处理用户计费过程。使用基于OTI的注册，同一用户的计费域中的CDR最终可能会携带不同的UE标识符，包括临时标识符。如上所述，UDM 50和UDR 55维护具有分配给用户的该组临时标识符的记录。在UDM 50和UDR 55中维护的记录还包含临时标识符的分配时间。因此，计费域可与UDM 50和UDR 55交互，以将具有不同标识符的CDR分配给它们的适当用户和它们各自的UE 85。因此，计费域能够例如在账单生成时找到用户的临时标识符。另一方面，一些在线收费机制采用配额管理，其中用户可在CCS 95中拥有预先配置的配额。在这种情况下，在授予用户对网络资源的访问权限之前，可能需要从CCS 95获得授权。由于请求可使用临时标识符，CCS 95可向UDR 55发出请求，以将某个临时标识符解析为先前临时标识符，并找到正确的用户配额。一旦用户使用网络资源，CCS 95就会实时从用户的可用配额中减去消耗的资源量。因此，对于在线收费，CCS 95可识别用户的不同临时标识符，而不揭示用户的永久标识符。

III-A.3)呼叫建立：

图8a和8b示出本技术实施例的使用IMS 690在双方之间建立5G语音呼叫的一般过程600。序列600的各种操作的顺序可能与8a和8b的图示不同，并且在一些实施例中可能不存在某些操作。双方都是5G用户，其中主叫方UE 85记为“主叫方85

在操作615，主叫方85

在操作625，指定为主叫方85

继续图8b，IMS 690发起与UDM 50的两组信令交换，一组信令交换用于将临时标识符TGPSI

在操作675，IMS 690将SIP邀请消息转发给被叫方85

III.B.OTI的形式验证

以下段落对本发明基于OTI的5G-AKA方案使用Tamarin Prover进行了形式分析。通过修改传统5G-AKA Tamarin模型，定义了基于OTI的5G-AKA Tamarin模型。在本发明基于OTI的5G-AKATamarin模型中，将攻击者建模为视作能够拦截发送的消息、检查其内容并插入自己的消息的Dolev-Yao攻击者。此外，本发明基于OTI的5G-AKA Tamarin模型被制成使用三个网络组件来表示图4a和4b的5G注册过程，这三个网络组件是：5G用户、服务网络(扮演AMF 30的角色)和家庭网络(扮演AUSF 40、UDM 50和UDR 55的角色)。在此模型中，用户与服务网络之间的信道不安全，可能会受到攻击者的窃听、拦截和操控。然而，家庭网络与服务网络之间的信道被认为是安全的，能提供机密性、完整性、真实性和重放保护。因此，根据本发明基于OTI的5G-AKA Tamarin模型，AMF 30是有可能被攻击者损害的CN组件。

使用本发明基于OTI的5G-AKA Tamarin模型，研究了临时SUPI标识符TSUPI

a.通过建模揭示加密密钥K

b.对加密密钥K

c.生成了新的随机值TSUPI

d.对用户侧加密密钥K

e.添加了健全性检查，以验证代码是否可执行；

f.增加了限制，以便本发明基于OTI的5G-AKA Tamarin模型考虑了成功解密和提取TSUPI

为了验证TSUPI

表II呈现使用基于OTI的5G-AKA Tamarin模型获得的模拟结果，示出TSUPI

表II

如所预期，当长期密钥K和TSUPI

还如预期，当TSUPI

然而，表II中示出的一些有利结果最初出乎意料：当TSUPI

IV.利用OTI的会话连续性

本节论述应用OTI时的会话和服务连续性(session and service continuity，SSC)。UE在5G中通常使用以下类型发起注册过程：a)初始注册，b)周期注册，c)移动注册更新。初始注册在UE要建立5G连接时发生。周期注册因周期注册更新计时器到期而发生。移动注册更新归因于用户的移动性，也可能在UE需要更新其协议参数或请求更改网络分片时发生。在初始注册过程之前，不存在已建立会话。此外，周期注册过程不会触发更改用户标识符的身份认证过程。因此，OTI方法不能与周期注册过程一起使用。另一方面，发送移动注册更新信号可触发认证过程，该过程引起通过OTI生成新的临时标识符。

为了针对需求不同的各种用户应用提供SSC，3GPP协议中定义了三个SSC模式。图10示出3GPP规范中定义的三个不同的SSC模式。这些模式称为SSC模式1、SSC模式2和SSC模式3。有效的SSC模式影响PDU会话过程中向UE 85分配特定UPF 70。

在SSC模式1中，当UE 85在接入网之间移动时，例如在RAN 80a与RAN 80b之间移动时，该UE保持其IP地址，并通过相同的UPF 70保持连接到5G CN 10和DN 75。在SSC模式2中，当UE 85在RAN 80a与RAN 80b之间移动时，该UE的旧IP地址替换为新IP地址，同时，该UE与DN 75的连接从一个UPF 70a改变到另一UPF 70b。这可涉及释放PDU会话并建立新的PDU会话。SSC模式3使用“先通后断(make-before-break)”概念将UE 85连接到DN 70。在第一阶段，UE 85从RAN 80a移动到RAN 80b，同时保持与UPF 70a的连接。此时，UE 85在保持其旧IP地址的同时获取新的IP地址。此后，在第二阶段，UE 85的连接改变到UPF 70b，并且UE 85和UE 85的旧IP地址被释放。

本发明主要关注SSC模式2，其中5G CN可释放用户正在进行的PDU会话，然后指示UE 85重新建立与同一DN 75的新PDU会话。该过程使UE 85使用新的IP地址通过新的UPF 70连接到同一DN 75。

因此，图11a和11b描述了本技术实施例的基于OTI的5G移动注册更新过程。在这些图中，移动注册更新过程更新以适应OTI。换句话说，基于OTI的移动注册更新过程提供会话和服务连续性，同时隐藏用户身份标识并防止SSC模式2的PDU会话的可追溯性攻击。该过程可概述如下：

操作805-在5G中，每当UE 85向AMF 30发送移动注册更新请求时会包括该UE的5G-GUTI。然而，考虑到AMF 30在OTI中不可信，如在5G中常规操作那样在移动注册更新中包括5G-GUTI会使AMF 30能够对UE 85运行可追溯性攻击。因此，在实施例中，UE 85在向AMF 30发送移动注册更新信号时使用仿真5G-GUTI。注册信号还包括名为“待激活PDU会话列表”的字段，该字段列出所有具有待处理上行数据的PDU会话(由PDU会话ID标识)。在实施例中，该字段包括用于SSC模式2的PDU会话。

操作810-RAN 80或其他接入网选择AMF 30并向该AMF发送注册请求信号。

操作815-由于AMF 30无法识别仿真5G-GUTI，AMF 30将身份标识请求信号发回UE85。UE 85用其TSUCIn响应。

操作820-AMF 30发起对UE 85的认证过程。在此操作期间，UE 85获得新的TSUPIN+1。

操作825-在认证成功后，AMF 30向UDM 50注册自己作为UE 85的服务AMF 30。

操作830-AMF 30意识到它没有对应于标识符TSUPIn的有效用户上下文。因此，AMF30向UDM 50发送Nudm_SDM_Get请求信号，以获取必要的用户数据来形成用户上下文。

操作835–UDM 50返回请求的签约数据作为响应。

操作840-在5G中，当用户从旧AMF 30移动到新AMF 30时，UDM 50向旧AMF 30发送Nudm_UECM_DeregistrationNotify信号，以便旧AMF 30可删除该用户上下文。在实施例中，采用相同的技术来防止AMF 30为同一UE 85维护对应于先前标识符TSUPIn-1的两个用户上下文。可以注意的是，AMF 30不知道对应于TSUPIn-1和TSU的两个用户上下文。

操作845–通过PCF 45发现和选择过程，AMF 30选择PCF 45并向其发送NpcfAMPolicyControl创建信号以建立接入和移动(access and mobility，AM)策略控制关联。在实施例中，本操作使用创建信号而不是当前5G规范的更新信号。在此上下文中，“创建”是指创建新关联的信号(例如，Npcf AMPolicyControl创建)而不是更新现有关联的信号。

操作850-为了允许PCF 45识别TSUPIn，PCF 45使用Nudr_DataRepository查询请求信号从UDR 55获取用户策略数据。

操作855–UDR 55使用请求的策略数据回复PCF 45。

操作860-PCF 45通过提供AM相关的策略信息(例如服务区限制)来答复AMF 30。在实施例中，本操作使用创建信号而不是当前5G规范的更新信号。

操作865–AMF 30向SMF 35发送Nsmf_PDUSession_CreateSMContext请求信号，以在SMF 35创建UE 85的SM上下文。在实施例中，本操作也使用创建信号而不是当前5G规范的更新信号。

操作870-SMF 35没有TSUPIn的会话管理(session management，SM)上下文。因此，SMF 35使用Nudm_SDM Get请求信号从UDM 50获取相应的会话管理签约数据。此外，SMF 35将所请求的PDU会话的SSC模式通知UDM 50。

操作875-UDM 50通过提供必要的会话管理签约数据来响应SMF 35，不让SMF 35知道TSUPIn和TSUPIn-1属于同一UE 85。

操作880-SMF 35向PCF 45发送Npcf_SMPolicyControl创建信号，以与PCF 45建立SM策略关联。在实施例中，本操作也使用创建信号而不是当前5G规范的更新信号。

操作895–SMF 35通过Npcf_SMPolicyControl创建响应信号从PCF 45获得确认。在实施例中，本操作也使用创建信号而不是当前5G规范的更新信号。

操作890-此时，SMF 35拒绝激活SSC模式2PDU会话的UP连接。

操作895–SMF 35随后通过发送Nsmf_PDUSession CreateSMContext响应来回复AMF 30，指示该SMF已拒绝激活SSC模式2PDU会话的用户面(user plane，UP)连接。SMF 35还指示需要重新建立PDU会话。在实施例中，本操作也使用创建信号而不是当前5G规范的更新信号。

操作898-根据当前的5G规范，AMF 30向UE 85发送注册接受信号，该信号具有新分配的5G-GUTI和新的TPEI

操作899-然后，UE 85生成新的PDU会话ID，并向同一DN 75发起PDU会话建立过程。

给定当前序列800，UE 85已获得新的临时标识符，并重新建立与相同DN 75的新PDU会话。此外，SMF 35仍然无法意识到当前TSUPI

应当理解，序列100、200、300、500、600和800的至少一些操作也可由以各种活动和非活动形式存在的计算机程序执行。例如，计算机程序可以作为包括源代码、目标代码、可执行代码或其他格式的程序指令的一个或多个软件程序存在。上述各项都可以以压缩或未压缩形式体现在包括存储设备和信号的计算机可读介质上。代表性计算机可读存储设备包括传统的计算机系统随机存取存储器(random access memory，RAM)、只读存储器(readonly memory，ROM)、可擦除可编程ROM(erasable,programmable ROM，EPROM)、电可擦除可编程ROM(electrically erasable,programmable ROM，EEPROM)以及磁盘或光盘或磁带。代表性计算机可读信号，无论是否使用载波调制，都是托管或运行计算机程序的计算机系统可访问的信号，包括通过互联网或其他网络下载的信号。上述各项的具体示例包括在CDROM上或通过互联网下载分发程序。从某种意义上说，互联网本身作为抽象实体是一种计算机可读介质。计算机网络大体上也是如此。

应当理解，所描述的UE 85和5G CN 10的组件、它们的组成组件和关联过程的操作和功能可通过基于硬件、基于软件和基于固件的元件中的任何一个元件或多个元件来实现。这类操作替代方案并不以任何方式限制本发明的范围。

例如，图12为本技术实施例的用户设备(user equipment，UE)85的示意性框图。UE85包括处理器或多个协作处理器(为简单起见表示为处理器86)、存储设备或多个存储设备(为简单起见表示为存储设备87)以及允许UE 85通过RAN 80与5G CN 10通信的收发器88。处理器86以操作方式连接到存储设备87和收发器88。存储设备87包括用于存储参数的存储器87a，参数包括例如但不限于上述永久和临时标识符。存储设备87可包括非瞬时性计算机可读介质87b，用于存储可由处理器87执行的指令，以允许UE 85执行在序列100至300、500、600和800中分配给UE 85的各种任务。

图13为本技术实施例的5G CN 10的统一数据管理(unified data management，UDM)50组件的示意性框图。UDM 50包括处理器或多个协作处理器(为简单起见表示为处理器51)、存储设备或多个存储设备(为简单起见表示为存储设备52)以及输入/输出设备或多个输入/输出设备(为简单起见表示为输入/输出设备53)。可存在单独的输入设备和输出设备(未示)来代替输入/输出设备53。输入/输出设备53允许UDM 55通过基于服务的接口25与5G CN 10中的其他节点通信，并通过RAN 80与UE 85通信。处理器51以操作方式连接到存储设备52和输入/输出设备53。存储设备52包括用于存储参数的存储器52a，参数包括例如但不限于多个UE 85的上述永久和临时标识符。存储设备52可包括非瞬时性计算机可读介质52b，用于存储可由处理器51执行的指令，以允许UDM 50执行在序列100至300、500、600和800中分配给UDM 50的各种任务。

图14为本技术实施例的5G CN 10的统一数据储存库(unified data repository，UDR)55组件的示意性框图。UDR 55包括处理器或多个协作处理器(为简单起见表示为处理器56)、存储设备或多个存储设备(为简单起见表示为存储设备57)以及输入/输出设备或多个输入/输出设备(为简单起见表示为输入/输出设备58)。可存在单独的输入设备和输出设备(未示)来代替输入/输出设备58。输入/输出设备58允许UDR 55通过基于服务的接口25与5G CN 10的其他节点通信。处理器56以操作方式连接到存储设备57和输入/输出设备58。存储设备57包括用于存储参数的存储器57a，参数包括例如但不限于多个UE 85的上述永久和临时标识符。存储设备57可包括非瞬时性计算机可读介质57b，用于存储可由处理器56执行的指令，以允许UDR 55执行在序列300和800中分配给UDR 55的各种任务。

图15为本技术实施例的5G CN 10的设备身份标识寄存器(equipment identityregister，EIR)90组件的示意性框图。EIR 90包括处理器或多个协作处理器(为简单起见表示为处理器91)、存储设备或多个存储设备(为简单起见表示为存储设备92)以及输入/输出设备或多个输入/输出设备(为简单起见表示为输入/输出设备93)。可存在单独的输入设备和输出设备(未示)来代替输入/输出设备93。输入/输出设备93允许EIR 90通过基于服务的接口25与5G CN 10的其他节点通信。处理器91以操作方式连接到存储设备92和输入/输出设备93。存储设备92包括用于存储参数的存储器92a，参数包括例如但不限于多个UE 85中的每一个UE的上述永久设备标识符(permanent equipment identifier，PEI)和临时永久标识符(temporary permanent identifier，TPEI)池。存储设备92可包括非瞬时性计算机可读介质92b，用于存储可由处理器91执行的指令，以允许EIR 90执行在序列100和300中分配给EIR 90的各种任务。

还应理解，尽管本文中提出的实施例已经参考特定特征和结构描述，但很明显，可在不脱离这些公开内容的情况下进行各种修改和组合。因此，说明书和附图仅被视为所附权利要求书限定的对论述的实现方式或实施例和其原理的说明，并且预期覆盖属于本发明的范围内的任何和所有修改、变化、组合或等同物。