CN109413194B - 用于移动通信系统的用户信息云端协同处理及转移方法 - Google Patents

Abstract

本发明公开了一种用于移动通信系统的用户信息云端协同处理及转移方法，包括如下架构：云终端UE：主要用于键盘或传感器信息的输入处理、通信、从云端获取输出给UE的信息；根节点DC：负责为所服务的签约用户分配一个虚拟空间，加密存储用户信息；叶节点MEC：MEC作为临时工作节点，根据用户切换过程，与根节点建立安全传输通道和双向认证，并对该用户开辟专用临时工作空间；S‑CDN：用户信息的安全分发和控制，根据运营商配置和策略，根据用户网络位置选择临时根节点DC‑v和叶节点MEC，并在根节点、叶节点间按需建立安全传输通道，进行用户信息的安全分发。本发明能满足移动通信系统用户信息保护、云端协同的应用、移动办公以及多切片接入等方面的需要。

Description

用于移动通信系统的用户信息云端协同处理及转移方法

技术领域

本发明涉及一种用于移动通信系统的用户信息云端协同处理及转移方法。

背景技术

5G移动通信系统需要满足千倍流量增长、低时延、海量设备连接的网络发展需要，支持异构网络融合和满足eMBB(增强移动宽带)、mMTC(海量机器类通信)和uRLLC(超可靠低时延通信)等场景的需要，用户体验速率达1Gbit/s，峰值速率达10Gbit/s，流量密度达10Tbit/s每平方千米以上，所期望的端到端时延在毫秒数量级上。与4G等移动通信系统主要应用场景不同，5G将采用基于SDN/NFV和云化的新网络架构，支持各种垂直行业应用，将连接人和万物，成为各行业数字化转型的关键基础设施。5G业务的多样性决定了5G网络有能力支持极速移动超大宽带、物联网海量连接、超可靠超低时延连接的需求，同时提供一个更灵活、更智能、可编程、可拓展的网络，以应对新业务和新应用。

多接入边缘计算(Multi-Acess Edge Computing，MEC)是在靠近人、物或数据源头的网络边缘侧，融合网络、计算、存储、应用核心能力的开放平台，就近提供边缘智能服务，满足行业在敏捷联接、实时业务、数据优化、应用智能、安全与隐私保护等方面的关键需求。MEC通过部署在接入网边缘的IT服务环境提供了基于位置的云计算能力和实时的内容信息，使移动运营商和内容服务供应商能提供更多的应用和服务，并促使更多创新的应用在更广领域进行快速部署，给相关参与者提供更多的价值。终端用户通过MEC实时的网络连接和内容获取，可获得极速的个性化用户体验。

5G将以超低时延、超高可靠性等优势，与车联网、工业互联网、移动医疗、能源等垂直行业应用相结合，例如，高清视频、智慧城市、B2B业务等对宽带接入需求是几十到数百Mbit/s，而4K视频、3D视频、AR、VR等对网络带宽的要求高达几十Gbit/s，这将对无线回传网络造成巨大的压力。同时，移动终端的应用越来越丰富，隐私信息越来越多，各种跨终端、跨平台的协同应用、图像实时处理等计算存储资源密集型应用越来越多，一方面要求终端的能力越来越强，成本越来越高；另一方面终端的安全隐患越来越多，被攻击或丢失造成的隐患越来越大。必须有一种方法，既能充分利用5G网络的优势和特点，又能满足多种应用对计算、存储和用户体验方面的要求。

因此，迫切需要充分结合5G移动通信系统的能力特点和网络云计算的优势，从终端、MEC和核心网数据中心DC等协同工作的角度，提出一种满足多种协同应用和安全性要求的移动通信系统用户信息云端协同及其信息安全转移的方法，为5G终端和应用的创新发展以及用户信息安全保障提供解决方法。

发明内容

为了克服现有技术的上述缺点，本发明提供了一种由终端、MEC和核心网数据中心DC构成的移动通信系统用户信息云端处理方法和结合移动通信系统注册、切换/漫游流程的用户信息云端安全转移方法。通过利用移动通信系统的高速数据传输能力、超低传输时延和核心网云数据中心以及部署于移动通信网络边缘的MEC，为用户提供随遇接入、即插即用的移动云服务和用户信息的安全转移能力，满足移动通信系统用户信息保护、云端协同的应用、移动办公、多切片接入信息隔离以及物联网、车联网、工业控制网等对信息协同处理等方面的需要。

本发明解决其技术问题所采用的技术方案是：一种用于移动通信系统的用户信息云端协同处理及转移方法，包括如下架构：

A1、云终端UE：主要用于键盘或传感器信息的输入处理、通信、从云端获取输出给UE的信息、以及对云端获得的结果进行显示、提供用户体验；通过插入用户的uSIM/eSIM卡，完成与移动通信网络的入网和通信。

A2、根节点DC：负责为所服务的签约用户分配一个虚拟空间，加密存储用户信息；用户访问时通过用户身份类信息对用户的身份进行认证鉴权，并执行工作信息的访问控制、鉴权、信息加密等相关安全保密策略和协议；对用户存储的信息安全状态进行监控；对下级叶节点进行安全验证和鉴权，根据用户当前鉴权信息确定向该叶节点转移的用户身份类信息和工作信息的具体内容。

A3、叶节点MEC：MEC作为临时工作节点，根据用户切换过程，对该用户分配专用临时工作空间和计算资源，并通过S-CDN与根节点或切换前的叶节点建立安全传输通道并双向认证；根据S-CDN下发的密钥和算法，通过空口与UE建立安全连接，与用户进行双向认证和访问控制；从根节点或切换前叶节点获取该用户的当前工作信息，加载和配置相应的工作环境；根据用户请求，按需从根节点获取用户必要的临时工作信息，接受用户上传或产生的工作信息，并对工作信息加密存储；在用户切换时，将该用户运行空间所有信息通过S-CDN上传给根节点或根据根节点指示直接转移到切换后的新叶节点。

A4、用户信息安全控制分发系统S-CDN：负责用户信息的安全分发和控制，根据运营商配置的根节点DC-h、DC-b和临时根节点DC-v选择策略，结合用户当前的网络位置确定是否选择临时根节点DC-v以及选择哪个DC作为DC-v；在根节点DC-h、DC-b以及DC-v之间建立安全传输通道，在它们之间进行用户信息的同步；根据运营商配置的叶节点选择原则，结合用户当前网络位置选择合适的叶节点MEC；在根节点与叶节点之间建立安全传输通道，下发和上传用户当前的工作信息；确定根节点、叶节点工作空间和UE用户信息的加解密算法和密钥派生方法；制定用户根节点、叶节点以及UE之间互认证、访问控制等协议、算法和凭证，并配置到相关的根节点、叶节点和UE中；对用户信息的安全状态进行监控与管理。

与现有技术相比，本发明的积极效果是：

本发明提出用户信息的云端存储处理架构和用户信息安全转移方法，利用云计算中心、边缘计算和用户移动通信的相关信息，实现用户信息的安全转移和移动过程中的即时服务，满足移动通信系统用户信息保护、云端协同的应用、移动办公以及多切片接入等方面的需要。其优点主要有：简化终端，可以以较低的终端成本支持计算密集型的移动应用；安全性高；支持多终端协同应用；支持多切片特别是不同安全等级切片的信息处理和隔离；方便用户或营运商使用新应用，等等。该方法适用范围广，不仅适用于5G网络，还适用于支持云计算服务的4G网络以及未来移动通信系统。该方法不仅可以满足普通用户对大型移动在线游戏、高清直播等方面的需求，而且可以用于物联网、车联网、工业控制网等多源信息或应用的协同处理和传输，此外，该方法能够解决党政军特殊行业用户、国家关键行业的大型企事业单位用户以及高价值用户群体使用移动通信系统公共基础设施在不同的环境开展移动办公或进行高安全应用的信息安全要求，例如同一用户需要在多个不同安全等级的域内工作、在多个移动终端之间切换工作等，使移动通信系统更好的服务于社会的各行各业。

通过采用以上技术方案，本发明的有益效果体现为几个方面：其一，将用户信息和特定的终端解耦，不仅可以简化终端，降低成本，而且可以实现计算密集型应用，例如在线游戏、移动办公等；其二，可以实现用户信息的强安全保护，避免现有终端存在的信息泄漏、木马攻击和升级不及时造成安全隐患等，多切片接入时也可实现信息的安全隔离；其三，可以实现多终端协同的应用，例如工业控制、车载信息的共享、V2X传感信息的融合、物联网信息处理等；其四，可以方便垂直行业或运营商部署新的应用，用户也可以方便获取新的应用而无需对终端进行升级；最后，该方法适用范围广，不仅适用于5G网络，还适用于支持云计算服务的4G网络以及未来移动通信系统。

附图说明

本发明将通过例子并参照附图的方式说明，其中：

图1为终端云端协同架构示意图；

图2为用户信息云端协同处理及安全转移流程。

具体实施方式

针对现有移动通信系统终端复杂、安全性较低、无法支持各种计算存储资源密集型应用和跨终端协同应用等缺点，本发明提供了一种利用移动通信系统特征和协议的用户信息云端协同处理及安全转移方法，该方法建立在如下基础之上：移动通信系统提供给用户的体验速率能够满足用户信息高速传输的需要、端到端传输时延在毫秒或数十毫秒量级，移动通信系统能提供MEC和核心网的云计算中心等基础设施。所涉及到的实体主要包括：云终端、MEC、核心网云计算和数据中心(DC)以及相应的移动通信接入网和核心网等网元，以及网络的接入与移动性管理功能、认证鉴权AUSF和统一数据管理UDM等控制面功能实体，在漫游到外地时还涉及到拜访网络的MEC和DC。所述方法的架构示意图如图1所示。

本发明的基本方法是：利用移动通信系统高带宽和低时延特性，以及核心网的数据中心、MEC资源，将传统用户终端UE所承担的功能进行分离，将应用处理、信息存储等功能剥离，由网络DC和MEC来完成，云终端UE仅承担输入、显示和通信功能；在同一切片内，服务UE的云端采用2级逻辑结构，分别存储用户的永久信息(根节点)和临时工作信息(叶节点)；在核心网的DC中针对该用户分配相应的云资源，负责处理和存储该用户的工作信息和其它个人身份类信息，并作为该用户云端的根节点；当用户开始移动应用时，在完成通信系统认证后将与根节点进行双向认证，认证通过后，根节点将根据AMF或AUSF/UDM的信息，将用户的工作信息通过用户信息安全控制分发系统(S-CDN)分发到合适的MEC上，作为该用户该时段的临时工作云节点(叶节点)，此后用户通过UE将直接与该临时节点进行协同，获取相应的服务。服务于同一用户的MEC、DC之间要进行信息的同步，根DC可以是一个，也可以是一组DC的合集，并可根据用户漫游情况进行延伸，服务某个用户的临时MEC是用户使用的UE当前位置就近可用的MEC。如果用户需要同时接入多个网络切片，则每个切片内都需要按照上述要求部署2层云服务；同一用户可工作于不同的UE上。

本发明方法的架构如下：

A1、云终端UE：主要用于键盘或传感器信息的输入处理、通信、从云端获取输出给UE的信息、以及对云端获得的结果进行显示、提供用户体验等，UE可根据用户需要进行某些方面的增强，例如增强图形处理能力以支持在线云游戏高清显示，屏幕增大以适应移动办公等。包括两种类型的终端，瘦终端或零终端，瘦终端具有一定的处理能力和存储能力，可本地进行必要的处理；零终端仅进行输入和输出，不具有对应用进行处理和存储的能力；云终端UE需要插入用户的uSIM卡或eSIM卡才可以接入移动通信系统。

A2、数据中心DC(根节点)：由一组城域DC、核心网DC构成，具体构成方式由用户签约和运营商DC的分布与应用策略确定。DC组将为所服务的签约用户分配一个虚拟空间，加密存储用户信息；用户访问时通过用户身份类信息对用户的身份进行认证鉴权，并执行工作信息的访问控制、鉴权、信息加密等相关安全保密策略和协议；对用户存储的信息安全状态进行监控；对下级叶节点进行安全验证和鉴权，根据用户当前鉴权信息确定向该叶节点转移的用户身份类信息和工作信息的具体内容。

A3、MEC(叶节点，临时工作节点)：MEC作为临时工作节点，为用户的各种移动应用就近提供云端服务和相应工作环境，确保用户移动过程中工作过程不间断。根据用户切换过程，对该用户分配专用临时工作空间和计算资源，并通过S-CDN与根节点或切换前的叶节点建立安全传输通道并双向认证；根据S-CDN下发的密钥和算法，通过空口与UE建立安全连接，与用户进行双向认证和访问控制；从根节点或切换前叶节点获取该用户的当前工作信息，加载和配置相应的工作环境；根据用户请求，按需从根节点获取用户必要的临时工作信息，接受用户上传或产生的工作信息，并对工作信息加密存储；在用户切换时，将该用户运行空间所有信息通过S-CDN上传给根节点或根据根节点指示直接转移到切换后的新叶节点。

A4、用户信息安全控制分发系统(S-CDN)：负责用户信息的安全分发和控制，在运营商和用户签约信息的配置下，选择合适的根节点和叶节点，加载相应的安全保密策略，保证用户信息在网络中传输、分发和转移过程中安全性的同时为用户提供更优质的服务。根据运营商配置的根节点DC-h、DC-b和临时根节点DC-v选择策略，结合用户当前的网络位置确定是否选择临时根节点DC-v以及选择哪个DC作为DC-v；在根节点DC-h、DC-b以及DC-v之间建立安全传输通道，在它们之间进行用户信息的同步；根据运营商配置的叶节点选择原则，结合用户当前网络位置选择合适的叶节点MEC；在根节点与叶节点之间建立安全传输通道，下发和上传用户当前的工作信息；确定根节点、叶节点工作空间和UE用户信息的加解密算法和密钥派生方法；制定用户根节点、叶节点以及UE之间互认证、访问控制等协议、算法和凭证，并配置到相关的根节点、叶节点和UE中；对用户信息的安全状态进行监控与管理。

本发明方法还包括以下几个方面：一是移动终端用户信息的分类及云-端部署处理方式；二是提供网络云服务的根节点DC和叶节点MEC部署方式；三是用户信息在网络DC和MEC之间处理和转移方法，即S-CDN的具体实现方法。

本发明的用户信息的分类及云-端部署处理方式，包含以下方面：

T1、终端UE通信类信息：与移动通信系统网络通信的相关信息，包括UE的SUPI/IMSI以及相关的移动通信认证、鉴权等信息，固定部署于在云终端UE的uSIM/eSIM卡、移动核心网的AMF/AUSF/UDM等。

T2、用户身份类信息：标志用户身份的唯一凭证，是用户与运营商签约云服务时所产生的标识用户身份和权利相关的信息，包括采用USBKey保存或其它方式保存的用户名、密码或凭证以及其它生物特征，与根节点的互认证凭证或密钥、对不同信息的访问控制凭证等。

T3、工作信息：用户通过终端UE开展工作或进行其它信息处理相关的信息，主要包含以下类别：(1)应用身份类信息：包括用户的电子交易、银行卡等信息，为了保证安全，这类信息保存于云端根节点上，并加密存储，云终端和叶节点不长期保存相关信息，需要时根据用户请求从根节点转移到叶节点，由用户输入解密指令和密码后使用，使用完成后从叶节点清除；(2)应用类信息：包括应用程序或逻辑及其配置参数、工作状态和上下文信息、处理结果等，对于零客户端，应用类信息全部部署于云端，对于瘦客户端，应用程序或逻辑可根据需要部署于云端或客户端，工作状态和上下文信息全部部署于云端，根据需要从叶节点获取，如果UE需要从外部获取信息，则叶节点将代替UE完成信息获取并保存；(3)传感与协同类信息：包括各种终端传感器信息和需要跨终端协同处理的信息，所有信息均实时上传并接受云端的处理结果。用户每次工作时，通常仅需要工作信息的一部分，该部分按需从根节点获取，并转移到当前叶节点的临时工作空间。

提供网络云服务的根节点DC和叶节点MEC部署方式如下：

C1、根节点的部署方式：根节点包含主根节点DC-h、备根节点DC-b和临时根节点DC-v，其中DC-v随着用户的移动和漫游情况将动态改变。用户与运营商签约成为移动云用户时，运营商根据签约信息和自身的策略，在城域数据中心DC或核心网DC中生成一个该用户的S-CDN实例并为该用户分配一个单独的云空间，存储该用户的所有用户信息，该云空间就是对应该用户的主根节点DC-h，同时为该用户配置1个或多个备根节点DC-b以实现用户的数据备份，并生成临时根节点DC-v选择策略等，全部配置到S-CDN中；当用户入网注册开始工作时，S-CDN根据运营商配置的DC-v选择策略，确定是否选择以及选择哪些DC-v，特别是当用户漫游到外地时，在运营商策略允许和安全性有保证的情况下，S-CDN选择漫游地的可信DC作为用户DC-v和运行锚点，将用户信息推送过去以提高用户工作效率；DC-h、DC-b和DC-v构成该用户的根节点集。

C2、叶节点的部署方式：用户注册时，运营商根据对该用户的签约信息和服务策略，确定选择服务该用户的叶节点MEC的策略，包括MEC必须具备的资源条件和安全状态，配置到S-CDN；当用户注册后，根据用户注册区域，S-CDN从符合要求的MEC备选中，选择离一个最适合的MEC作为该用户当前时间和注册区域的叶节点，同时在根节点集中选择一个合适的根节点作为该用户的运行锚点，为该用户就近提供云服务；叶节点和运行锚点之间通过S-CDN构成安全传输通道，并为用户信息的转移提供安全保护；在用户高速移动时，可以同时选择一组MEC作为叶节点以降低切换时延，在该组MEC之间以及运行锚点之间通过S-CDN进行信息的传输和同步。

S-CDN包括以下具体实现方法：

S101：用户签约，与营运商确定UE通信类信息T1和用户身份类信息T2及其认证方法；T1和T2将分别以合适的方式提供给用户；

S102：运营商根据签约信息，确定主根节点DC-h、备份根节点DC-b以及临时根节点DC-v的选择策略，在AAA服务器中建立该用户与DC-h的关联，建立并配置该用户的S-CDN，包括用户的安全策略、指定的密码算法与根密钥、密钥派生算法、DC-v和MEC选择原则以及与UDM/AUSF/SMF/AMF/OSS/AAA之间信息交互的接口协议、用户T1和T2身份信息的关联关系等，S-CDN用根密钥对这些信息加密后存储于DC-h和DC-b中指定区域；

S103：S-CDN根据用户安全策略，通过根密钥派生出根节点密钥，DC-h和DC-b采用该密钥和指定密码算法对用户的工作信息T3进行加密；

S104：当用户使用加载了T1信息的UE附着后，立即用T2中的身份信息发起二次认证过程，AAA对用户身份进行验证，成功后将该消息转发给对应的S-CDN，S-CDN通过T2和T1用户身份信息的关联关系获得当前通信标识SUPI，并向AUSF/SMF/AMF订阅使用该SUPI进行通信的终端UE相关注册和位置更新信息；同时在UE和DC-h之间建立临时鉴权通道，用户通过互认证凭证和访问控制凭证与根节点进行互认证，并订阅需要访问的工作信息，同时S-CDN派生一个临时认证凭证，下发给用户用于用户与叶节点进行互认证；

S105：S-CDN根据UE注册位置和DC-v选择策略，确定是否增加临时根节点DC-v以及增加哪几个可信DC作为DC-v；对DC-h、DC-b派生根节点互认证凭证，建立安全传输通道，在完成相互认证后将加密后的用户信息进行同步；在DC-h、DC-b与DC-v之间派生临时根节点密钥和认证凭证，然后建立安全传输通道并在认证通过后，用临时根节点密钥将用户信息加密后传输到DC-v中，该DC-v将作为用户当前的运行锚点；如果不需要增加DC-v，则在DC-h、DC-b中选择一个作为用户当前的运行锚点；

S106：当用户当前使用的UE注册成功后，AMF给该UE分配临时号码GUTI，同时AMF将该UE的区域网络位置信息传递给S-CDN，根据网络位置和叶节点MEC选择原则，S-CDN根据选择一个符合条件和安全要求的MEC，作为该用户此时的叶节点，并产生叶节点和根节点互认证凭证、叶节点信息密钥，并与S104中产生的用户临时认证凭证一起配置到叶节点；

S107：S-CDN对运行锚点配置叶节点和根节点互认证凭证，在叶节点和该运行锚点之间建立安全传输通道，通过互认证凭证进行相互认证，并定期进行同步；

S108：叶节点根据S-CDN要求，给用户分配专用临时工作空间并用叶节点信息密钥和相应算法对该空间进行安全隔离和保密，在安全传输通道建立后，运行锚点取出用户最近工作信息，如果运行锚点是DC-v则用临时根节点密钥解密、如果是运行锚点是DC-h或DC-b则用根节点密钥解密，用叶节点信息密钥再次进行加密，传递给叶节点；

S109：叶节点将这些信息解密，存储于专用临时工作空间中，配置相应的应用程序，并与用户通过临时认证凭证进行相互认证；如果用户当前使用的UE是零终端，则仅将输出信息推送给云终端UE；如果UE是瘦终端，则还需要推送必要的工作信息和临时工作密钥，临时工作密钥由叶节点产生，用于瘦终端对工作信息的加解密；

S110：UE和叶节点之间建立安全传输通道和实时工作连接，UE通过叶节点临时工作空间开展工作，如果UE需要新的工作信息或访问外部资源，由叶节点实时向根节点请求或向外部资源进行访问，此外叶节点还执行安全监控和检查，确保工作空间信息的安全；

S111：当用户从当前位置区域切换时，AMF将用户切换的相关信息通知给S-CDN，S-CDN从用户即将切换到的区域重新选择一个新叶节点并派生出新的叶节点密钥和认证凭证，在新旧叶节点之间建立安全传输通道，认证完成后将旧叶节点临时工作空间中的信息用旧叶节点密钥加密后转移到新叶节点，新叶节点用旧叶节点密钥解密后用新叶节点密钥加密存储，重新在运行锚点和新叶节点之间建立安全传输通道并进行认证和信息同步；同时旧叶节点将工作空间信息传递给运行锚点，S-CDN撤除运行锚点和旧叶节点之间的安全连接，清除旧叶节点工作空间，废弃旧叶节点信息密钥，并通知运行锚点启用新叶节点信息密钥，然后转到步骤S109；

S112：当用户从当前UE注销或漫游到外地时，S-CDN将用户离线或漫游前叶节点的所有信息同步到根节点，并清除叶节点的相关信息和安全通道，解除用户与当前UE的关联，然后转到步骤S104。

在本方法中，根密钥、根节点密钥、临时根密钥、叶节点密钥、临时工作密钥以及不同传输通道采用的传输密钥等均通过根密钥进行派生，临时认证凭证或其它互认证凭证也可通过根密钥派生，密钥以及密钥派生算法应保证足够的安全性并符合3GPP关于密钥派生的相关要求，根节点密钥也要定期或在节点变化时重新派生以确保安全性。

本发明结合移动通信系统的云服务能力和通信流程，实现对云用户信息的安全转移和快速服务。本发明所涉及的功能实体包括UE、服务UDM/AUSF/SMF/AMF/OSS/AAA、为用户提供云服务的数据中心DC和MEC，提供数据安全管理和转移的S-CDN。所述UE用于为用户提供云服务，UDM/AUSF/SMF/AMF对用户当前使用的终端进行认证鉴权，并提供位置信息，AAA为用户提供二次认证，OSS为用户服务的DC和MEC以及S-CDN提供基本的配置、管理，S-CDN由运营商为用户提供并个性化配置，负责用户信息的安全转移及其安全监控。

本实施例中，功能实体包括：用户、云终端UE、接入与移动性管理功能AMF、统一数据管理/认证服务功能UDM/AUSF/SMF、二次认证AAA、根节点DC、叶节点MEC、S-CDN。

用户首先和运营商签约，运营商建立相应的根节点和S-CDN，并配置相关参数。

当用户通过某个云终端UE开始工作时，该UE通过标准流程进行注册或附着，用户通过该UE进行二次认证并通过S-CDN建立叶节点，为用户的当前工作提供工作环境。

当用户移动切换时，S-CDN根据情况会对叶节点进行重新选择并对用户的工作环境进行转移；当用户漫游时，S-CDN的根节点会改变并重新选择叶节点。

UE附着、注册、移动、漫游和二次认证等通用功能与标准完全一致。

具体流程如图2所示。

Claims (5)

1.一种用于移动通信系统的用户信息云端协同处理及转移方法，其特征在于：包括如下架构：

A1、云终端UE：主要用于键盘或传感器信息的输入处理、通信、从云端获取输出给UE的信息、以及对云端获得的结果进行显示；通过插入用户的uSIM/eSIM卡，完成与移动通信网络的入网和通信；

A2、根节点DC：负责为所服务的签约用户分配一个虚拟空间，加密存储用户信息；用户访问时通过用户身份类信息对用户的身份进行认证鉴权，并执行工作信息的访问控制、鉴权、信息加密等相关安全保密策略和协议；对用户存储的信息安全状态进行监控；对下级叶节点进行安全验证和鉴权，根据用户当前鉴权信息确定向该叶节点转移的用户身份类信息和工作信息的具体内容；

A3、叶节点MEC：MEC作为临时工作节点，根据用户切换过程，对该用户分配专用临时工作空间和计算资源，并通过S-CDN与根节点或切换前的叶节点建立安全传输通道并双向认证；根据S-CDN下发的密钥和算法，通过空口与UE建立安全连接，与用户进行双向认证和访问控制；从根节点或切换前叶节点获取该用户的当前工作信息，加载和配置相应的工作环境；根据用户请求，按需从根节点获取用户必要的临时工作信息，接受用户上传或产生的工作信息，并对工作信息加密存储；在用户切换时，将该用户运行空间所有信息通过S-CDN上传给根节点或根据根节点指示直接转移到切换后的新叶节点；

A4、用户信息安全控制分发系统S-CDN：负责用户信息的安全分发和控制，根据运营商配置的根节点DC-h、DC-b和临时根节点DC-v选择策略，结合用户当前的网络位置确定是否选择临时根节点DC-v以及选择哪个DC作为DC-v；在根节点DC-h、DC-b以及DC-v之间建立安全传输通道，在它们之间进行用户信息的同步；根据运营商配置的叶节点选择原则，结合用户当前网络位置选择合适的叶节点MEC；在根节点与叶节点之间建立安全传输通道，下发和上传用户当前的工作信息；确定根节点、叶节点工作空间和UE用户信息的加解密算法和密钥派生方法；制定用户根节点、叶节点以及UE之间互认证、访问控制等协议、算法和凭证，并配置到相关的根节点、叶节点和UE中；对用户信息的安全状态进行监控与管理。

2.根据权利要求1所述的用于移动通信系统的用户信息云端协同处理及转移方法，其特征在于：所述用户信息的分类及部署处理方式为：

T1、终端UE通信类信息：与移动通信系统网络通信的相关信息，包括UE的SUPI/IMSI以及相关的移动通信认证、鉴权等信息，固定部署于在云终端UE的uSIM/eSIM卡、移动核心网的AMF/AUSF/UDM等；

T2、用户身份类信息：用户与运营商签约云服务时所产生的标识用户身份和权利相关的信息，包括采用USBKey保存或其它方式保存的用户名、密码或凭证以及其它生物特征，与根节点的互认证凭证或密钥、对不同信息的访问控制凭证等；

T3、工作信息：用户通过终端UE开展工作或进行其它信息处理相关的信息，主要包含以下类别：(1)应用身份类信息：包括用户的电子交易、银行卡等信息或访问其它外部网络资源所需要的身份信息；(2)应用类信息：包括应用程序或逻辑及其配置参数、工作状态和上下文信息、处理结果等，对于零客户端，应用类信息全部部署于云端，对于瘦客户端，应用程序根据需要部署于云端或客户端，工作状态和上下文信息全部部署于云端；(3)传感与协同类信息：包括各种终端传感器信息和需要跨终端协同处理的信息，所有信息均实时上传并接受云端的处理结果。

3.根据权利要求2所述的用于移动通信系统的用户信息云端协同处理及转移方法，其特征在于：根节点DC和叶节点MEC部署方式为：

C1、根节点的部署方式：根节点包含主根节点DC-h、备根节点DC-b和临时根节点DC-v，其中DC-v随着用户的移动和漫游情况将动态改变；用户与运营商签约成为移动云用户时，运营商根据签约信息和自身的策略，在城域数据中心DC或核心网DC中生成一个该用户的S-CDN实例并为该用户分配一个单独的云空间，存储该用户的所有用户信息，该云空间就是对应该用户的主根节点DC-h，同时为该用户配置1个或多个备根节点DC-b以实现用户的数据备份，并生成临时根节点DC-v选择策略等，全部配置到S-CDN中；当用户入网注册开始工作时，S-CDN根据运营商配置的DC-v选择策略，确定是否选择以及选择哪些DC-v，特别是当用户漫游到外地时，在运营商策略允许和安全性有保证的情况下，S-CDN选择漫游地的可信DC作为用户DC-v和运行锚点，将用户信息推送过去以提高用户工作效率；DC-h、DC-b和DC-v构成该用户的根节点集；

C2、叶节点的部署方式：用户注册时，运营商根据对该用户的签约信息和服务策略，确定该用户的叶节点MEC选择策略并配置到S-CDN；当用户注册后，根据用户注册区域，S-CDN从符合要求的MEC备选中，选择一个或一组最适合的MEC作为该用户当前时间和注册区域的叶节点，同时在根节点集中选择一个合适的根节点担任该用户的运行锚点，为该用户就近提供云服务。

4.根据权利要求3所述的用于移动通信系统的用户信息云端协同处理及转移方法，其特征在于：根节点之间采用S-CDN构成安全传输通道，采用事件驱动同步机制，只有当所存储的用户信息发生变化时，才发起同步过程；叶节点和担任运行锚点的根节点之间通过S-CDN构成安全传输通道，并为用户信息的转移提供安全保护；在用户高速移动时，可同时选择一组MEC作为叶节点以降低切换时延，在该组MEC之间以及与运行锚点之间通过S-CDN进行信息的传输和同步。

5.根据权利要求3所述的用于移动通信系统的用户信息云端协同处理及转移方法，其特征在于：用户信息在根节点DC和叶节点MEC之间处理和转移的过程为：

S101：用户签约，与营运商确定UE通信类信息T1和用户身份类信息T2及其认证方法；T1和T2将分别以合适的方式提供给用户；

S102：运营商根据签约信息，确定主根节点DC-h、备份根节点DC-b以及临时根节点DC-v的选择策略，在AAA服务器中建立该用户与DC-h的关联，建立并配置该用户的S-CDN，包括用户的安全策略、指定的密码算法与根密钥、密钥派生算法、DC-v和MEC选择原则以及与UDM/AUSF/SMF/AMF/OSS/AAA之间信息交互的接口协议、用户T1和T2身份信息的关联关系等，S-CDN用根密钥对这些信息加密后存储于DC-h和DC-b中指定区域；

S103：S-CDN根据用户安全策略，通过根密钥派生出根节点密钥，DC-h和DC-b采用该密钥和指定密码算法对用户的工作信息T3进行加密；

S104：当用户使用加载了T1信息的UE附着后，立即用T2中的身份信息发起二次认证过程，AAA对用户身份进行验证，成功后将消息转发给对应的S-CDN，S-CDN通过T2和T1用户身份信息的关联关系获得当前通信标识SUPI/IMSI，并向AUSF/SMF/AMF订阅使用该SUPI进行通信的终端UE相关注册和位置更新信息；同时在UE和DC-h之间建立临时鉴权通道，用户通过互认证凭证和访问控制凭证与根节点进行互认证，并订阅需要访问的工作信息，同时S-CDN派生一个临时认证凭证，下发给用户用于用户与叶节点进行互认证；

S105：S-CDN根据UE注册位置和DC-v选择策略，确定是否增加临时根节点DC-v以及增加哪几个可信DC作为DC-v；对DC-h、DC-b派生根节点互认证凭证，建立安全传输通道，在完成相互认证后将加密后的用户信息进行同步；在DC-h、DC-b与DC-v之间派生临时根节点密钥和认证凭证，然后建立安全传输通道并在认证通过后，用临时根节点密钥将用户信息加密后传输到DC-v中，该DC-v将作为用户当前的运行锚点；如果不需要增加DC-v，则在DC-h、DC-b中选择一个作为用户当前的运行锚点；

S106：当用户当前使用的UE注册成功后，AMF给该UE分配临时号码GUTI，同时AMF将该UE的区域网络位置信息传递给S-CDN，根据网络位置和叶节点MEC选择原则，S-CDN根据选择一个符合条件和安全要求的MEC，作为该用户此时的叶节点，并产生叶节点和根节点互认证凭证、叶节点信息密钥，并与S104中产生的用户临时认证凭证一起配置到叶节点；

S107：S-CDN对运行锚点配置叶节点和根节点互认证凭证，在叶节点和该运行锚点之间建立安全传输通道，通过互认证凭证进行相互认证，并定期进行同步；

S108：叶节点根据S-CDN要求，给用户分配专用临时工作空间并用叶节点信息密钥和相应算法对该空间进行安全隔离和保密，在安全传输通道建立后，运行锚点取出用户最近工作信息，如果运行锚点是DC-v则用临时根节点密钥解密、如果是运行锚点是DC-h或DC-b则用根节点密钥解密，用叶节点信息密钥再次进行加密，传递给叶节点；

S109：叶节点将这些信息解密，存储于专用临时工作空间中，配置相应的应用程序，并与用户通过临时认证凭证进行相互认证；如果用户当前使用的UE是零终端，则仅将输出信息推送给云终端UE；如果UE是瘦终端，则还需要推送必要的工作信息和临时工作密钥，临时工作密钥由叶节点产生，用于瘦终端对工作信息的加解密；

S110：UE和叶节点之间建立安全传输通道和实时工作连接，UE通过叶节点临时工作空间开展工作，如果UE需要新的工作信息或访问外部资源，由叶节点实时向根节点请求或向外部资源进行访问，此外叶节点还执行安全监控和检查，确保工作空间信息的安全；

S111：当用户从当前位置区域切换时，AMF将用户切换的相关信息通知给S-CDN，S-CDN从用户即将切换到的区域重新选择一个新叶节点并派生出新的叶节点信息密钥和认证凭证，在新旧叶节点之间建立安全传输通道，认证完成后将旧叶节点临时工作空间中的信息用旧叶节点信息密钥加密后转移到新叶节点，新叶节点用旧叶节点信息密钥解密后用新叶节点信息密钥加密存储，重新在运行锚点和新叶节点之间建立安全传输通道并进行认证和信息同步；同时旧叶节点将工作空间信息传递给运行锚点，S-CDN撤除运行锚点和旧叶节点之间的安全连接，清除旧叶节点工作空间，废弃旧叶节点信息密钥，并通知运行锚点启用新叶节点信息密钥，然后转到步骤S109；

S112：当用户从当前UE注销或漫游到外地时，S-CDN将用户离线或漫游前叶节点的所有信息同步到根节点，并清除叶节点的相关信息和安全通道，解除用户与当前UE的关联，然后转到步骤S104。

Images