CN110691351A - 基于隐私保护的5g网络移动性管理方法及装置 - Google Patents

Abstract

本发明公开了一种基于隐私保护的5G网络移动性管理方法及装置，其中，该方法包括：在分布式处理中心配置接入点序列号管理框架和用户识别号管理框架；通过接入点序列号管理框架计算分布式处理中心所属范围内的所有接入点哈希值，并将所有接入点哈希值发送至各个接入点；根据每个接入点的自身序列号和所有接入点哈希值计算每个接入点对应的哈希值；根据用户识别号管理框架、用户识别号和所有接入点哈希值，计算临时用户识别号；根据接入点对应的哈希值和临时用户识别号对接入点和用户的合法性进行验证。该方法通过分布式处理中心处理移动性管理，提升处理效率；通过用户识别号管理框架计算临时用户识别号，防止用户识别号泄露，保护用户隐私安全。

Description

基于隐私保护的5G网络移动性管理方法及装置

技术领域

本发明涉及5G网络技术领域，特别涉及一种基于隐私保护的5G网络移动性管理方法及装置。

背景技术

5G基于服务的网络架构具有更加扁平化、数据面下沉、控制转发分离。随着SDN(Network Defined Software，软件定义网络)、NFV(Network Function Virtualization，网络功能虚拟化)及云计算的发展应用，在未来的5G网络架构中，对低时延和高吞吐的业务而言，必须靠近用户才能满足时延、带宽等需求，大量的网络功能将在边缘实现云化，从而形成5G网络的边缘节点，并形成统一的分布式数据中心。部分终端(如智能抄表设备等)对移动性要求不高，同时部分终端(智能手机等)需要高移动性，终端的移动性管理存在安全问题，主要表现在伪基站识别及用户识别号泄露给用户带来安全性问题。

4G网络中，Syed Rafiul Hussain等人提出，用户终端在注册(attach)、寻呼(paging)、注销(detach)移动性管理策略中，由于用户终端搜索信号最佳的基站，容易受到伪基站(malicious eNodeB)的攻击，这种情况在5G中也会存在。同时，在用户终端与网络的交互过程中，Byeongdo Hong等人提出，现有LTE网络国际移动用户标识(InternationalMobile Subscriber Identity，IMSI)转化为临时移动用户标识(Globally UniqueTemporary Identity，GUTI)的方式并不完善，提出了一种分配不可预测的临时标识并经常更新的解决方案，对LTE网络提出了有效保护，但是否适用于密集部署的5G网络还需要进一步验证。

Cas Cremers等人分析了3GPP提出的5G AKA(Authentication and KeyAgreement)协议，虽然采用对用户识别号进行加密处理等方式，但在服务网络(ServingNetwork，SN)和用户(User Equipment，UE)对各自识别号的相互确认，用户和归宿地网络(Home Network，HN)对SN识别号的确认等问题上仍然存在漏洞。此外，还有大量5G网络的移动性管理策略主要关注于降低信令负载(signalling load)，监控开销(monitoringoverhead)和切换延时(handover latency)，如Mohamed A等人提出了一种基于上下文感知记忆的预测性移动管理策略，通过预测未来的切换事件以及预期的切换时间，在密集部署场景中以最小的开销和延迟启用快速和提前的信令交换，从而提高切换效率。但是切换过程的信令交互中，来自伪基站的威胁和本机用户识别号的泄露将对用户的隐私和安全造成威胁，尤其在用户终端密集部署和小区范围缩小的场景下，频繁的切换过程将会带来更严重的威胁，因此，需要一种识别并拒绝伪基站的技术，以及更好的用户识别号保护策略。

发明内容

本发明旨在至少在一定程度上解决相关技术中的技术问题之一。

为此，本发明的一个目的在于提出一种基于隐私保护的5G网络移动性管理方法，该方法通过分布式处理中心处理移动性管理，提升处理效率，通过用户识别号管理框架，结合网络和用户识别号计算临时用户识别号，防止用户识别号泄露，保护用户隐私安全。

本发明的另一个目的在于提出一种基于隐私保护的5G网络移动性管理装置。

为达到上述目的，本发明一方面实施例提出了一种基于隐私保护的5G网络移动性管理方法，包括：

S1，在分布式处理中心配置接入点序列号管理框架和用户识别号管理框架；

S2，通过所述接入点序列号管理框架计算所述分布式处理中心所属范围内的所有接入点哈希值，并将所述所有接入点哈希值发送至各个接入点；

S3，根据每个接入点的自身序列号和所述所有接入点哈希值计算每个接入点对应的哈希值；

S4，根据所述用户识别号管理框架、用户识别号和所述所有接入点哈希值，计算临时用户识别号；

S5，根据接入点对应的哈希值和所述临时用户识别号对接入点和用户的合法性进行验证。

本发明实施例的基于隐私保护的5G网络移动性管理方法，通过在网络分布式处理中心节点配置接入点序列号管理框架和用户识别号管理框架；接入点序列号管理框架在用户终端注册、切换、注销过程中，分布式处理中心节点将所有无线接入点序列号进行哈希处理，并将哈希值下发到基站和固定、移动无线接入点；当有新的移动接入点进入及固定时间间隔触发时，中心计算新的哈希值并下发，用户终端注册、切换和注销过程，各分布式处理中心对各接入点提交的哈希值进行鉴别，拒绝伪接入点提供恶意服务。用户识别号管理框架在用户终端将统一用户识别号通过计算哈希值转换成临时用户识别号，在注册、切换和注销过程使用用户终端计算的临时用户识别号，防止用户识别号泄露，保护用户隐私安全，提升网络和用户安全性。

另外，根据本发明上述实施例的基于隐私保护的5G网络移动性管理方法还可以具有以下附加的技术特征：

进一步地，在本发明的一个实施例中，所述所有接入点哈希值为：

H_A＝hash(S_S+S_N+T)

其中，S_s为所述分布式处理中心所属范围内的固定接入点序列号之和，S_N为所述分布式处理中心所属范围内的移动接入点序列号之和，T为当前时间戳。

进一步地，在本发明的一个实施例中，所述S3进一步包括：

每个接入点根据接收到的所述所有接入点哈希值和自身序列号计算每个接入点对应的哈希值，公式为：

H_a＝hash(N_a+H_A)

其中，N_a为接入点序列号。

进一步地，在本发明的一个实施例中，所述S4进一步包括：

所述用户识别号管理框架根据用户识别号和所述所有接入点哈希值，计算所述临时用户识别号，所述临时用户识别号为：

SUCI＝hash(SUPI+H_A)

其中，SUPI为用户识别号。

进一步地，在本发明的一个实施例中，还包括：

在所述分布式处理中心所属范围内接入点发生变化后，对所述分布式处理中心所属范围内的接入点序列号进行更新，并重新计算所述所有接入点哈希值。

进一步地，在本发明的一个实施例中，还包括：

根据预设时间间隔计算所述分布式处理中心所属范围内所述所有接入点哈希值，并发送至各个接入点。

进一步地，在本发明的一个实施例中，还包括：

通过所述分布式处理中心计算所述分布式处理中心所属范围内每个接入点对应的哈希值，并存入哈希值库，通过在所述哈希值库中获取每个接入点对应的哈希值来验证接入点和用户的合法性。

进一步地，在本发明的一个实施例中，还包括：

通过所述分布式处理中心为每一个在用的用户识别号计算所述临时用户识别号，并存入临时用户识别号库，通过在所述临时用户识别号库中获取所述临时用户识别号来验证接入点和用户的合法性。

进一步地，在本发明的一个实施例中，还包括：

根据接入点对应的哈希值、所述临时用户识别号和归宿地网络对用户识别号的合法性进行验证。

为达到上述目的，本发明另一方面实施例提出了一种基于隐私保护的5G网络移动性管理装置，包括：

配置模块，用于在分布式处理中心配置接入点序列号管理框架和用户识别号管理框架；

第一计算模块，用于通过所述接入点序列号管理框架计算所述分布式处理中心所属范围内的所有接入点哈希值，并将所述所有接入点哈希值发送至各个接入点；

第二计算模块，用于根据每个接入点的自身序列号和所述所有接入点哈希值计算每个接入点对应的哈希值；

第三计算模块，用于根据所述用户识别号管理框架、用户识别号和所述所有接入点哈希值，计算临时用户识别号；

验证模块，用于根据接入点对应的哈希值和所述临时用户识别号对接入点和用户的合法性进行验证。

本发明实施例的基于隐私保护的5G网络移动性管理方法，通过在网络分布式处理中心节点配置接入点序列号管理框架和用户识别号管理框架；接入点序列号管理框架在用户终端注册、切换、注销过程中，分布式处理中心节点将所有无线接入点序列号进行哈希处理，并将哈希值下发到基站和固定、移动无线接入点；当有新的移动接入点进入及固定时间间隔触发时，中心计算新的哈希值并下发，用户终端注册、切换和注销过程，各分布式处理中心对各接入点提交的哈希值进行鉴别，拒绝伪接入点提供恶意服务。用户识别号管理框架在用户终端将统一用户识别号通过计算哈希值转换成临时用户识别号，在注册、切换和注销过程使用用户终端计算的临时用户识别号，防止用户识别号泄露，保护用户隐私安全，提升网络和用户安全性。

本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：

图1为根据本发明一个实施例的基于隐私保护的5G网络移动性管理方法流程图；

图2为根据本发明一个实施例的各分布式处理中心部署示意图；

图3为根据本发明一个实施例的接入点序列号和用户识别号管理框架图；

图4为根据本发明一个实施例的分布式处理中心哈希值计算及更新流程图；

图5为根据本发明一个实施例的分布式交换中心部署实例图；

图6为根据本发明一个实施例的用户终端移动性管理流程图；

图7为根据本发明一个实施例的基于隐私保护的5G网络移动性管理装置结构示意图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的限制。

下面参照附图描述根据本发明实施例提出的基于隐私保护的5G网络移动性管理方法及装置。

首先将参照附图描述根据本发明实施例提出的基于隐私保护的5G网络移动性管理方法。

图1为根据本发明一个实施例的基于隐私保护的5G网络移动性管理方法流程图。

如图1所示，该基于隐私保护的5G网络移动性管理方法包括以下步骤：

步骤S1，在分布式处理中心配置接入点序列号管理框架和用户识别号管理框架。

如图2所示，为各分布式处理中心部署示意图，其中，基站(Base Station，BS)覆盖范围较大，为适应5G网络应用，部署密集的覆盖范围较小的无线接入点(Acess Point，AP)，其中固定AP的组成覆盖范围较小的小区(Small Cell，SC)，移动AP覆盖范围为移动的单元(Nomadic Cell，NC)，在一定范围内设立一个分布式处理中心，BS与部分AP之间与分布式处理中心连接(包括有线或无线方式，部分AP需要通过别的AP转接)，各分布式处理中心作为服务网络(SN)的一部分，通过SN与各归宿地网络(HN)连接，其中HN包括各归宿地用户识别号等信息。用户终端与各接入点(BS或SC、NC)通过不可信的无线信道连接，SN与HN之间为通过可信信道连接，SN与各接入点通过不可信的有线或无线信道连接。用户终端在接入点覆盖范围内获取服务，在移动性管理过程中，各分布式处理中心通过接入点序列号管理和用户识别号管理框架，辅助SN、HN完成用户注册、切换、注销管理，提升网络和用户安全性。

如图3所示，展示了在分布式处理中心新增接入点序列号框架和用户识别号管理框架，在分布式处理中心、接入点和用户终端上新增以下模块：其中在分布式处理中心新增接入点序列号接收、接入点哈希值计算及发送模块、验证模块、接入点序列号库及哈希值库、用户识别号接收及验证模块，各接入点新增序列号哈希值接收模块、计算模块和序列号发送模块，用户终端新增序列号哈希值获取模块、临时用户识别号计算模块和提交模块。

步骤S2，通过接入点序列号管理框架计算分布式处理中心所属范围内的所有接入点哈希值，并将所有接入点哈希值发送至各个接入点。

具体地，每个分布式处理中心计算一个接入点哈希值H_A，每个哈希值由分布式处理中心所属范围内的固定接入点序列号之和(S_s)及移动接入点序列号之和(S_N)，以及当前的时间戳T计算，公式为：

H_A＝hash(S_S+S_N+T) (1)

其中，固定接入点序列号是固定的，移动接入点序列号会发生变化，序列号和及序列号和相加可采用序列号首尾相加、截短和补位等(或别的方式)。并将计算值下发到各接入点。

步骤S3，根据每个接入点的自身序列号和所有接入点哈希值计算每个接入点对应的哈希值。

用户在选择接入点时，对接入点进行验证，接入点信息经过分布式处理中心验证，避免伪基站影响网络安全。

具体地，用户终端通过信号强弱识别接入点，在注册，切换和注销过程中通过接入点与中心连接，实现移动性管理，提升处理效率。各接入点根据H_A和自己的序列号N_a，计算新的哈希值：

H_a＝hash(N_a+H_A) (2)

在移动性管理过程中使用该哈希值与分布式处理中心联系，分布式处理中心通过验证模块验证接入点的合法性。

进一步地，在本发明的实施例中，还包括：通过分布式处理中心计算分布式处理中心所属范围内每个接入点对应的哈希值，并存入哈希值库，通过在哈希值库中获取每个接入点对应的哈希值来验证接入点和用户的合法性。

具体地，为提升分布式处理中心鉴别接入点合法性效率，分布式处理中心将所属范围内所有接入点序列号与H_A计算一个哈希值，并存入哈希值库，验证时可通过直接对比方式鉴别。

步骤S4，根据用户识别号管理框架、用户识别号和所有接入点哈希值，计算临时用户识别号(如Subscription Concealed Identifier，SUCI等)。

进一步地，在本发明的一个实施例中，还包括：

通过分布式处理中心为每一个在用的用户识别号计算临时用户识别号，并存入临时用户识别号库，通过在临时用户识别号库中获取临时用户识别号来验证接入点和用户的合法性。

用户识别号管理框架根据用户识别号SUPI和所有接入点哈希值H_A，计算临时用户识别号，临时用户识别号为：

SUCI＝hash(SUPI+H_A) (3)

其中，SUPI为用户识别号。

进一步地，在本发明的一个实施例中，还包括：

在分布式处理中心所属范围内接入点发生变化后，对分布式处理中心所属范围内的接入点序列号进行更新，并重新计算所有接入点哈希值。

进一步地，在本发明的一个实施例中，还包括：根据预设时间间隔计算分布式处理中心所属范围内所有接入点哈希值，并发送至各个接入点。

可以理解的是，在计算过程中，针对分布式处理中心中接入点的变化，需要更新接入点哈希值，有新的移动接入点进入或移动接入点离开分布式处理中心所属网络时，计算所属范围内所有接入点的哈希值；或根据一定时间间隔生成新的哈希值，更新方法不限于上述两种方法。

如图4所示，为接入点哈希值H_A计算及更新过程，更新触发主要包括两种情况，一是所属范围内移动接入点发生变化时，根据新的移动接入点序列和计算新的哈希值，二是设定一定时间间隔计算新的哈希值。为保证新旧哈希值更新时网络工作正常，哈希值库会保留前n个旧的哈希值，确保接入点未完成更新前能够通过中心验证。

步骤S5，根据接入点对应的哈希值和临时用户识别号对接入点和用户的合法性进行验证。

用户注册、切换和注销过程，通过接入点计算的哈希值和临时用户识别号，由分布式处理中心完成接入点合法性鉴别，以及与归宿地网络配合完成用户合法性鉴别。

具体地，用户注册、切换和注销过程，通过接入点哈希值和临时用户识别号(如SUCI)完成验证。注册阶段，分布式处理中心接收用户传送的临时用户识别号和用户归宿地网络号，向HN配置的分布式处理中心传送临时用户识别号及SN接入点哈希值，HN分布式处理中心鉴别用户识别号合法性，并通过可信信道将用户识别号传送至分布式处理中心，分布式处理中心将该用户识别号添加至在用用户识别号库，再提交SN进行后续处理。为提升切换和注销过程中用户识别号鉴别效率，分布式处理中心为每个在用用户识别号根据当前H_A计算一个临时用户识别号，存入临时用户识别号库，鉴别时可以直接比对。

切换过程中，分布式处理中心首先根据接入点哈希值验证接入点合法性，然后区分两种情况分别处理：一是同一SN范围内不同接入点间切换，分布式处理中心根据临时用户识别号和临时用户识别号库鉴别用户识别号合法性，提交SN进行后续处理；二是不同SN范围内接入点间切换，切换前分布式处理中心根据临时用户识别号和在用用户识别号库鉴别用户识别号合法性，并将用户识别号提交至切换后的分布式处理中心，切换前的分布式处理中心删除该用户识别号及相应的临时用户识别号，切换后的分布式处理中心将该用户识别号添加至在用用户识别号库，并计算相应的临时用户识别号，提交SN进行后续处理。

注销过程中，分布式处理中心根据临时用户识别号和临时用户识别号库鉴别用户识别号合法性，删除相应的用户识别号，提交SN进行后续处理。

如图5所示，为一个分布式交换中心及所属范围内接入点、用户终端示意图，其中虚线箭头所示为用户终端移动轨迹。对分布式处理中心、接入点和用户终端部署管理框架如图3所示，主要参数如下：

(1)分布式处理中心部署接入点序列号获取、接入点哈希值计算及发送模块、验证模块、接入点序列号库及哈希值库、用户识别号验证模块(与HN用户识别号验证模块连接)、归属用户识别号库和在用用户，识别号库，各接入点部署序列号哈希值接收模块、哈希值计算模块和发送模块，移动节点部署序列号发送模块，用户终端部署序列号哈希值获取模块、临时用户识别号计算模块和提交模块。

(2)本实施例中，分布式处理中心范围内，固定接入节点(位于商业大楼、街道等)配置1000个，各类移动接入节点(位于车辆、无人驾驶设备等)配置20个，分布式处理中心接收接入节点序列号，通过序列号首尾相加、截短和补位等方式将固定接入节点序列号和及移动接入节点序列号和分别处理成适合SHA256处理的数据格式，然后采用公式(1)计算哈希值，其中接入点序列和相加为按位与方式，计算和更新流程如图4所示，其中更新时间间隔设置为300秒。

本实施例中，用户终端U搜索接入点信号，根据信号强度等规则选择接入点完成注册、切换、注销等移动性管理操作。U所选接入点为A，接入点A根据自己的序列号和接收的H_A根据公式(2)计算自己的哈希值H_a，U从接入点A处获取H_A并使用公式(3)计算自己的临时用户识别号。接入点在移动过程中所需移动性管理操作如图6所示。

步骤1)初始化阶段：分布式处理中心计算和更新哈希值H_A，并将H_A下发至各类接入点。为使得部分未更新最新H_A值的接入点能够通过验证，分布式处理中心哈希值库中保存前3个最近的哈希值历史纪录。为提升分布式处理中心鉴别接入点合法性效率，分布式处理中心将所属范围内所有接入点序列号与H_A计算一个哈希值，并存入哈希值库，通过直接对比方式鉴别接入点是否合法。

步骤2)注册阶段：用户终端U搜索接入点信号，识别出最适合接入的接入点A，通过接入点A，向SN分布式处理中心传送临时用户识别号(SUCI)和归属地网络(HN)号，SN分布式处理中心首先鉴别接入点合法性，然后根据用户HN号向HN部署的分布式处理中心传送临时用户识别号和SN接入点哈希值，通过HN验证用户识别号合法性，HN验证合法后，向SN分布式处理中心传送用户识别号，SN分布式处理中心将该用户识别号加入在用用户识别号库，再通过SN完成后续操作。为提升切换和注销过程中用户识别号鉴别效率，分布式处理中心为每个在用用户识别号根据当前H_A计算一个临时用户识别号，鉴别时可以直接比对。

步骤3)切换阶段：切换分为两种情况，即同一SN范围和不同SN范围内切换，如图5所示。

用户终端U在同一SN范围内发现更适合接入的接入点B，使用自己的临时用户识别号通过分布式处理中心切换接入点，分布式处理中心根据接入点B哈希值验证请求的合法性，然后通过临时用户识别号鉴别用户合法性，通知SN实施后续切换操作。

用户终端U进入接入点C，B和C属于不同的SN，因此切换在不同SN范围内进行，切换前B所在的分布式处理中心根据临时用户识别号和在用用户识别号库鉴别用户识别号合法性，并将U的用户识别号提交至切换后的分布式处理中心，切换前的分布式处理中心删除该用户识别号及相应的临时用户识别号，切换后的分布式处理中心将该用户识别号添加至在用用户识别号库，并计算相应的临时用户识别号，提交C所在的SN进行后续处理。

步骤4)注销阶段：用户终端U在接入点C实施注销操作，通过所处接入点C向分布式处理中心发送注销请求，分布式处理中心根据接入点C哈希值验证接入点合法性，然后根据临时用户识别号鉴别用户合法性，通知SN实施后续注销操作。

根据本发明实施例提出的基于隐私保护的5G网络移动性管理方法，通过在网络分布式处理中心节点配置接入点序列号管理框架和用户识别号管理框架；接入点序列号管理框架在用户终端注册、切换、注销过程中，分布式处理中心节点将所有无线接入点序列号进行哈希处理，并将哈希值下发到基站和固定、移动无线接入点；当有新的移动接入点进入及固定时间间隔触发时，中心计算新的哈希值并下发，用户终端注册、切换和注销过程，各分布式处理中心对各接入点提交的哈希值进行鉴别，拒绝伪接入点提供恶意服务。用户识别号管理框架在用户终端将统一用户识别号通过计算哈希值转换成临时用户识别号，在注册、切换和注销过程使用用户终端计算的临时用户识别号，防止用户识别号泄露，保护用户隐私安全，提升网络和用户安全性。

其次参照附图描述根据本发明实施例提出的基于隐私保护的5G网络移动性管理装置。

图7为根据本发明一个实施例的基于隐私保护的5G网络移动性管理装置结构示意图。

如图7所示，该基于隐私保护的5G网络移动性管理装置包括：配置模块100、第一计算模块200、第二计算模块300、第三计算模块400和验证模块500。

配置模块100，用于在分布式处理中心配置接入点序列号管理框架和用户识别号管理框架。

第一计算模块200，用于通过接入点序列号管理框架计算分布式处理中心所属范围内的所有接入点哈希值，并将所有接入点哈希值发送至各个接入点。

第二计算模块300，用于根据每个接入点的自身序列号和所有接入点哈希值计算每个接入点对应的哈希值。

第三计算模块400，用于根据用户识别号管理框架、用户识别号和所有接入点哈希值，计算临时用户识别号。

验证模块500，用于根据接入点对应的哈希值和临时用户识别号对接入点和用户的合法性进行验证。

需要说明的是，前述对基于隐私保护的5G网络移动性管理方法实施例的解释说明也适用于该实施例的装置，此处不再赘述。

根据本发明实施例提出的基于隐私保护的5G网络移动性管理装置，通过在网络分布式处理中心节点配置接入点序列号管理框架和用户识别号管理框架；接入点序列号管理框架在用户终端注册、切换、注销过程中，分布式处理中心节点将所有无线接入点序列号进行哈希处理，并将哈希值下发到基站和固定、移动无线接入点；当有新的移动接入点进入及固定时间间隔触发时，中心计算新的哈希值并下发，用户终端注册、切换和注销过程，各分布式处理中心对各接入点提交的哈希值进行鉴别，拒绝伪接入点提供恶意服务。用户识别号管理框架在用户终端将统一用户识别号通过计算哈希值转换成临时用户识别号，在注册、切换和注销过程使用用户终端计算的临时用户识别号，防止用户识别号泄露，保护用户隐私安全，提升网络和用户安全性。

此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (10)

1.一种基于隐私保护的5G网络移动性管理方法，其特征在于，包括以下步骤：

S1，在分布式处理中心配置接入点序列号管理框架和用户识别号管理框架；

S2，通过所述接入点序列号管理框架计算所述分布式处理中心所属范围内的所有接入点哈希值，并将所述所有接入点哈希值发送至各个接入点；

S3，根据每个接入点的自身序列号和所述所有接入点哈希值计算每个接入点对应的哈希值；

S4，根据所述用户识别号管理框架、用户识别号和所述所有接入点哈希值，计算临时用户识别号；

S5，根据接入点对应的哈希值和所述临时用户识别号对接入点和用户的合法性进行验证。

2.根据权利要求1所述的基于隐私保护的5G网络移动性管理方法，其特征在于，所述所有接入点哈希值为：

H_A＝hash(S_S+S_N+T)

其中，S_s为所述分布式处理中心所属范围内的固定接入点序列号之和，S_N为所述分布式处理中心所属范围内的移动接入点序列号之和，T为当前时间戳。

3.根据权利要求1所述的基于隐私保护的5G网络移动性管理方法，其特征在于，所述S3进一步包括：

每个接入点根据接收到的所述所有接入点哈希值和自身序列号计算每个接入点对应的哈希值，公式为：

H_a＝hash(N_a+H_A)

其中，N_a为接入点序列号。

4.根据权利要求1所述的基于隐私保护的5G网络移动性管理方法，其特征在于，所述S4进一步包括：

所述用户识别号管理框架根据用户识别号和所述所有接入点哈希值，计算所述临时用户识别号，所述临时用户识别号为：

SUCI＝hash(SUPI+H_A)

其中，SUPI为用户识别号。

5.根据权利要求1所述的基于隐私保护的5G网络移动性管理方法，其特征在于，还包括：

在所述分布式处理中心所属范围内接入点发生变化后，对所述分布式处理中心所属范围内的接入点序列号进行更新，并重新计算所述所有接入点哈希值。

6.根据权利要求1所述的基于隐私保护的5G网络移动性管理方法，其特征在于，还包括：

根据预设时间间隔计算所述分布式处理中心所属范围内所述所有接入点哈希值，并发送至各个接入点。

7.根据权利要求1所述的基于隐私保护的5G网络移动性管理方法，其特征在于，还包括：

通过所述分布式处理中心计算所述分布式处理中心所属范围内每个接入点对应的哈希值，并存入哈希值库，通过在所述哈希值库中获取每个接入点对应的哈希值来验证接入点和用户的合法性。

8.根据权利要求1所述的基于隐私保护的5G网络移动性管理方法，其特征在于，还包括：

通过所述分布式处理中心为每一个在用的用户识别号计算所述临时用户识别号，并存入临时用户识别号库，通过在所述临时用户识别号库中获取所述临时用户识别号来验证接入点和用户的合法性。

9.根据权利要求1所述的基于隐私保护的5G网络移动性管理方法，其特征在于，还包括：

根据接入点对应的哈希值、所述临时用户识别号和归宿地网络对用户识别号的合法性进行验证。

10.一种基于隐私保护的5G网络移动性管理装置，其特征在于，包括：

配置模块，用于在分布式处理中心配置接入点序列号管理框架和用户识别号管理框架；

第一计算模块，用于通过所述接入点序列号管理框架计算所述分布式处理中心所属范围内的所有接入点哈希值，并将所述所有接入点哈希值发送至各个接入点；

第二计算模块，用于根据每个接入点的自身序列号和所述所有接入点哈希值计算每个接入点对应的哈希值；

第三计算模块，用于根据所述用户识别号管理框架、用户识别号和所述所有接入点哈希值，计算临时用户识别号；

验证模块，用于根据接入点对应的哈希值和所述临时用户识别号对接入点和用户的合法性进行验证。

Images