CN111385794B - 面向行业用户的移动通信网络隐私保护方法与系统 - Google Patents
面向行业用户的移动通信网络隐私保护方法与系统 Download PDFInfo
- Publication number
- CN111385794B CN111385794B CN202010193954.4A CN202010193954A CN111385794B CN 111385794 B CN111385794 B CN 111385794B CN 202010193954 A CN202010193954 A CN 202010193954A CN 111385794 B CN111385794 B CN 111385794B
- Authority
- CN
- China
- Prior art keywords
- user
- industry
- network
- information
- privacy protection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
Abstract
本发明涉及无线通信技术领域,本发明公开了一种面向行业用户的移动通信网络隐私保护方法与系统,该隐私保护方法通过将用户的信息进行分类,从管理、控制和用户三个层面面向行业应用进行全方位的隐私保护增强,其中管理层面对用户网络身份和资源配置进行保护,控制层面对用户入网认证鉴权的相关流程进行保护,用户层面对用户数据通信地址、数据传输通道、数据网络存储进行保护。本发明从行业用户的管理信息、控制信息和用户数据信息的隐私保护方面,提出面向行业应用的隐私保护框架和体系化的流程来防范危害和风险,进行统一的隐私保护,避免出现木桶效应或脆弱点,使垂直行业在使用移动通信网络时,隐私和敏感数据不会被泄露或利用。
Description
技术领域
本发明涉及无线通信技术领域,尤其涉及一种面向行业用户的移动通信网络隐私保护方法与系统。
背景技术
当前5G移动通信系统已开始商用,但5G网络作为一个复杂的生态系统,存在基础设施提供商、移动通信网络运营商、虚拟运营商以及各种垂直行业等多种类型参与方,用户数据在这个由多种接入技术、多种设备和多个参与方交互的复杂网络中存储、传输和处理,面临着诸多隐私泄露的风险。除了移动互联网应用,5G还需要为车联网、物联网(IoT)、虚拟现实、高速铁路等新兴行业的发展提供快速响应、无处不在的网络接入,为垂直行业的快速发展、创新提供信息基础平台,满足增强移动宽带、低时延高可靠、低功耗大连接等场景的需要,将在无线传输、网络方面采用大量先进技术,在技术、架构和业务等方面与3G、4G或其它无线通信系统存在很大的区别,将会带来全新的安全需求和风险,对安全机制和用户隐私保护提出全新的挑战。
5G网络中大量引入虚拟化技术,支持各种垂直行业应用,在带来灵活性的同时也使得网络安全边界更加的模糊,在多租户共享计算资源的情况下,用户的隐私数据更容易受到攻击和泄露。相比传统网络而言,这种情况所产生的隐私泄露影响范围更广、危害更大。针对垂直行业而言,由于其涉及到的利益重大,对国家社会的影响更广,其对安全性要求更高,对用户的隐私保护范围更广,要求更严苛,隐私保护的时间范围也更长,而作为一个整体,垂直行业需要对自身的安全性或隐私保护的能力具有一定的可控性和独立性,以提高隐私保护的能力并在存在隐私泄露风险时提前采取相应的防范措施。当前5G标准虽然采取了很多措施来保护用户的隐私,但相对垂直行业的用户,还存在很多不足。
首先,垂直行业通常具有较高的利益相关性,但在移动通信网络中通信时,其用户身份信息和敏感数据的保护全依赖于运营商,行业自身缺乏有效的安全控制手段;垂直行业作为一个整体,任何个人的隐私泄露都可能对和整个行业带来危害,造成不可预计的后果;在用户通信的过程中,任何流程的不安全或不可控都有可能带来未知的风险,当这种风险给攻击者带来的收益达到一定程度后,风险会变成危害。5G是一个复杂的系统,需要有一个面向行业应用的隐私保护框架和体系化的流程来防范危害和风险,从管理、控制和用户数据等层面进行统一的隐私保护,避免出现木桶效应或脆弱点,使垂直行业在使用移动通信网络时,隐私和敏感数据不会被泄露或利用。
其次,垂直行业用户的身份信息需要根据行业需要提供专用防护措施防止身份信息被泄露。现有4G网络中也暴露了一些隐私问题需要解决,比如国际移动用户标识符(IMSI)泄露问题以及位置信息的泄露问题。永久标识符的泄露会直接导致用户身份信息的泄露。5G虽然采用了对SUPI进行加密获得签约隐藏身份标识符(SUCI)的方法来避免SUPI的空口明文传输,但依然无法抵御通过运营商发起的身份信息窃取攻击。
第三,面向垂直行业用户的信令需要进行增强以满足行业用户身份认证和用户访问授权的需要,并提供可由垂直行业控制的鉴权能力。垂直行业的用户通常具有价值高、身份敏感等特点,一旦被假冒,带来的后果将更加严重,同时垂直行业和运营商之间的商业关系也受到利益的影响,行业需要对自己的用户进行强控制以提高安全性和可控性。
最后,垂直行业的业务需要针对行业特点进行专用安全保护以避免应用数据的泄露。当5G网络为垂直行业提供承载服务时,网络通常要对行业的数据进行缓存或转发,特别是5G采用了虚拟化和云化的技术,用户的数据通常会在网络大量存储。对垂直行业而言,敏感数据的泄露带来的风险更大,不仅会面临各种被动的泄露,而且各种主动的攻击窃取也需要进行防范。
随着移动互联网和物联网的发展,移动通信网对社会的渗透越来越深入。移动通信系统不再只是面向普通公众用户,还需要承载有高安全需求的特殊行业用户和业务。这些用户的信息敏感,泄漏会造成严重的后果或经济损失,是攻击者的主要目标更是有组织攻击者的主要目标。而移动通信网络主要面向公众用户,其提供的安全措施难以满足高安全用户的需要,也无法抵抗有组织的攻击或APT攻击,无法满足行业应用的需要。随着移动通信网络从封闭走向开放,特别是5G采用面向服务的架构(SBA)、网络虚拟化技术和支持网络能力开放以后,造成网络攻击面扩大,受到的威胁或攻击更多,面向行业用户的隐私保护显得尤为重要。
因此,迫切需要在符合移动通信系统国际标准的前提下,针对垂直行业用户的需要,提供体系性的隐私保护方法,全方位全流程的为用户的隐私保护提供解决措施。
发明内容
本发明的目的是提供一种移动通信系统中面向行业应用和行业用户且可由行业控制(或委托给可信的第三方)的隐私保护方法和系统,包括管理信息、控制信息和用户数据信息的隐私保护,主要涉及到行业用户身份信息保护、专用控制信令增强与解析、行业用户通信地址分配、端到端业务传输以及行业数据在移动通信网络中存储与转移等方面,通过增加行业可控或定制的隐私保护策略,实现与运营商隐私保护的无缝融合,避免行业敏感信息保护完全依赖运营商带来的隐患,从而提高行业、组织对用户施行专用全流程隐私保护策略的能力,避免某个环节或某个用户的隐私策略缺失或不当造成整个行业隐私的泄露。具体的,本发明提出一种面向行业用户的移动通信网络隐私保护方法与系统,该隐私保护方法是通过将用户的信息进行分类并引入行业隐私保护机制,从管理、控制和用户三个层面面向行业应用进行全方位的隐私保护增强,其中:
所述管理层面:对用户网络身份和资源配置进行保护,为行业以及行业用户提供入网注册相关信息的管理和处理,进行相应的隐私保护,行业通过对用户身份与网络身份的映射方法的控制来避免用户身份信息的泄露;
所述控制层面:对用户入网认证鉴权的相关流程进行保护,并对行业提供额外的隐私保护增强措施以实现对用户入网过程和用户链路建立过程的隐私保护,行业通过指定用户入网认证方法和控制用户权限的方法避免非法用户接入行业专用网络资源;
所述用户层面:对用户数据通信地址、数据传输通道、数据网络存储进行保护,行业通过指定或提供的网络传输和存储的加密算法和密钥来保护行业自身的隐私数据。
进一步的,所述管理层面中,所述用户网络身份和资源配置包括与行业用户相关的真实身份、权限、MSISDN、行业的网络身份IMSI或SUPI集合,以及与用户身份和MSISDN的映射关系和安全策略。
进一步的,所述管理层面,采用用户身份与网络身份的动态映射且映射方法和时机可由行业进行定制或控制,避免攻击方通过追踪网络身份信息获得用户的隐私信息和位置信息;通过对行业分配专用的一个或一组切片实现行业信息的内部流通,根据行业的专用隐私保护要求对切片网络存储节点和传输资源进行指定,引入可由行业控制的第三方用户访问切片的认证和授权方法,部署虚拟或实体的接入控制设备或防火墙,确保信息的受控流通,从资源分配、传输路径以及用户使用和访问的角度,降低隐私信息泄露的风险。
进一步的,所述控制层面,用于实现用户信令信息以及接入和认证过程中的隐私保护,采用行业指定的主认证协议对用户接入的主认证进行增强,以支持用户网络身份的动态映射和行业专用的认证算法,通过主认证的用户立即进行由行业定制的切片二次认证和授权,确保访问行业专用切片的用户的合法性,避免非法用户接入专用切片,防止行业内部通信信息的外泄。
进一步的,所述用户层面,用于实现用户通信过程、数据传输和存储过程的保护,首先根据用户的二次认证和授权情况,分配专用通信地址和加密算法,根据管理配置下发的传输资源和存储节点策略指定传输路径和数据存储位置;所述专用通信地址和所述指定传输路径主要用于行业用户业务能穿越行业切片配置的指定实体、虚拟防火墙或接入控制设备,所述加密算法及相应的密钥则对用户的数据信息进行从终端到存储节点或到对端用户的端到端传输保护,由行业指定或提供或由行业委托的可信第三方提供,不同安全等级的信息可以选择不同的算法或密钥长度,以避免行业用户信息在网络传输和存储过程中被内部或外部非法获取。
本发明提出的一种面向行业用户的移动通信网络隐私保护系统,包括:
终端侧隐私保护设备,所述终端侧隐私保护设备用于为用户提供身份、认证、授权以及数据传输方面的隐私保护;
以及网络侧隐私保护设备,所述网络侧隐私保护设备用于为用户提供隐私保护的基础环境和通用的隐私保护,以及为行业提供专用的用户信息和数据保护;所述为用户提供隐私保护的基础环境和通用的隐私保护包括用户信息管理和认证、网络资源和传输保护、流量控制;所述为行业提供专用的用户信息和数据保护包括网络身份动态映射、用户身份认证和授权、传输和存储加解密以及敏感信息的存储。
进一步的,所述终端侧隐私保护设备包括用户的身份保护组件、二次认证组件和传输加密组件。
进一步的,所述网络侧隐私保护设备包括位于运营商环境的进行用户信息管理的UDM和认证功能AUSF、切片编排功能MANO和NSSF、切片边缘的行业专用防火墙或接入控制设备,以及由行业提供或运营商针对行业的专用定制用户IMSI/SUPI映射设备、二次认证和授权设备、密码设备和专用存储节点。
本发明的有益效果在于:
(1)本发明针对垂直行业对用户隐私保护要求较高的特点,从行业用户的管理信息、控制信息和用户数据信息的隐私保护方面,提出面向行业应用的隐私保护框架和体系化的流程来防范危害和风险,进行统一的隐私保护,避免出现木桶效应或脆弱点,使垂直行业在使用移动通信网络时,隐私和敏感数据不会被泄露或利用。本发明能够解决党政军特殊行业用户、国家关键行业的大型企事业单位用户以及高价值用户群体使用移动通信系统公共基础设施开展高安全应用时隐私保护的需求,满足国家军民融合战略,使移动通信系统更好的服务于社会的各行各业。
(2)本发明采用管理-控制-用户3面联动的隐私保护方式,达到对用户身份和敏感信息的全方位保护,管理面基于用户MSISDN号码对用户的网络身份进行隐藏和扰乱,防止通过用户网络身份追踪用户的位置、身份和行为,控制面采用面向行业定制的专用认证增强协议和由行业控制的二次认证等方式,提高对用户群体的保护,避免行业之外的非法用户进入群体内部窃取隐私信息,用户面采用行业定制专用切片实现传输资源和存储资源的专用,并对进入切片的流量进行清洗和过滤等方法避免隐私信息外泄,实现用户数据传输和存储使用过程中的保护。
(3)本发明从配置到认证到使用全链条中增加行业专用的隐私保护措施,达到行业对用户隐私信息全过程的可管可控,从用户的初始配置到用户的认证,从用户的认证到用户的授权,从用户的授权到用户隐私信息使用过程中的传输和存储等方面,增加行业对用户身份和敏感信息的控制手段和控制方式,改变过去单纯依靠运营商提供隐私保护能力的方式,提高用户隐私保护的效果,为运营商和行业第三方安全责任的区分奠定基础。
附图说明
图1是本发明的隐私保护方法的示意图;
图2是本发明的隐私保护流程图。
具体实施方式
为了对本发明的技术特征、目的和效果有更加清楚的理解,现说明本发明的具体实施方式。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明,即所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
本实施例提供了一种面向行业用户的移动通信网络隐私保护方法与系统,该隐私保护方法通过将用户的信息进行分类并引入行业隐私保护机制,从管理、控制和用户三个方面面向行业应用进行全方位的隐私保护增强,其中:
管理信息保护,主要是指与行业用户相关的真实身份、权限、MSISDN、行业的网络身份IMSI或SUPI集合及其与用户身份和MSISDN的映射关系、安全策略以及其它签约信息等保护,为行业以及行业用户提供入网注册相关信息的管理和处理,进行相关的隐私保护,行业通过对用户身份与网络身份的映射方法的控制来避免用户身份信息的泄露;
控制信息保护,包括用户入网认证鉴权的相关流程的保护,并对行业提供额外的隐私保护增强措施以实现对用户入网过程和用户链路建立过程的隐私保护,行业通过指定用户入网认证方法和控制用户权限的方法避免非法用户接入行业专用网络资源;
用户信息保护,包括用户数据通信地址(或IP地址)保护、数据传输通道保护、数据网络存储保护等,行业通过指定或提供网络传输和存储的加密算法和密钥来保护行业自身的隐私数据。
该隐私保护方法主要包括管理、控制和用户数据3个层面面向行业应用进行隐私保护增强,用户配置、认证和使用3个过程隐私保护方法实现行业和运营商的整体联动,本实施例的隐私保护方法的示意图如图1所示。
管理方面实现用户网络身份和资源配置的保护:采用用户身份与网络身份的动态映射且映射方法和时机可由行业进行定制或控制,避免攻击方通过追踪网络身份信息获得用户的隐私信息和位置信息;通过对行业分配专用的一个或一组切片实现行业信息的内部流通,根据行业的专用隐私保护要求对切片网络存储节点和传输资源进行指定,引入可由行业控制的第三方用户访问切片的认证和授权方法,部署虚拟或实体的接入控制设备或防火墙等,确保信息的受控流通,从资源分配、传输路径以及用户使用和访问的角度,降低隐私信息泄露的风险。
控制方面实现用户信令信息以及接入和认证过程中的隐私保护:采用行业指定的主认证协议对用户接入的主认证进行增强,以支持用户网络身份的动态映射和行业专用的认证算法,通过主认证的用户立即进行由行业定制的切片二次认证和授权,确保访问行业专用切片的用户的合法性,避免非法用户接入专用切片,防止行业内部通信信息的外泄;
用户信息方面实现用户通信过程和数据传输、存储过程的保护:首先根据用户的二次认证和授权情况,分配专用的通信地址和加密算法,根据管理配置下发的传输资源和存储节点策略指定传输路径和数据存储位置,专用通信地址和指定传输路径主要用于行业用户业务能穿越行业切片配置的指定实体或虚拟防火墙或接入控制设备,加密算法和密钥则对用户的数据信息进行从终端到存储节点或到对端用户的端到端传输保护,由行业指定或提供或行业委托的可信第三方提供,不同安全等级的信息可以选择不同的算法或密钥长度,从而避免行业用户信息在网络传输和存储过程中被内部或外部非法获取。
本实施例具体包括以下几个方面的隐私保护。
首先,需要进行特殊隐私保护的行业用户作为一个整体,通过与运营商签约等方式,获得一个专属于该行业用户和应用的特殊群体身份ID,该ID可以是移动通信网络的切片标识符,也可以是一个其它标识符或字符串,主要用于识别和区分该行业的用户。通过该ID,运营商将关联并管理一组面向该行业的专门隐私保护的范围和策略,包括针对该行业的管理信息,例如用户的电话号码集合MSISDN、网络身份IMSI或SUPI集合、它们的映射关系、切片构成等。运营商将该行业的所有用户的MSISDN关联到该ID下,并针对每个用户的MSISDN,分配一个初始IMSI或SUPI。同时,针对该ID或该行业,运营商分配一组大于用户数量的IMSI或SUPI数量集合,由行业自身定义并控制用户身份或MSISDN号码与IMSI或SUPI的映射方法,采用事件触发动态映射或周期性动态映射等方法,实现用户身份对应的IMSI或SUPI动态改变,并实现终端和网络侧UDM用户身份与IMSI或SUPI映射的同步,避免攻击方通过IMSI或SUPI追踪用户的身份或位置;同时根据行业的要求,给该行业的用户分配一个切片或一组切片,根据行业隐私保护的要求确定切片采用硬切片或软切片方式构建,对每个切片分配符合行业安全性要求的网络传输资源和存储资源,或将行业自身提供的第三方专用传输或存储资源编排到切片中,并指定和配置一组虚拟或实体的接入控制设备或防火墙,用于对切片内的数据流进行合法性检查,避免切片内的信息被非法窃取;配置切片用户的主认证增强方法和切片认证或二次认证与授权方法,对不同权限的用户确定用户可使用的网络资源、存储资源和传输路径建立方法,配置群体ID对应的切片标识集合、主认证或二次认证方法、传输加密算法和密钥等参数到终端、网络传输节点和存储节点,其中主认证增强方法可由行业指定,二次认证与授权方法可由行业自身运营管理,也可以委托给运营商管理,加密算法和密钥由行业指定或提供,部分高度敏感的存储节点也可由行业提供。终端隐私保护组件包括用户的身份保护组件、二次认证组件、传输保护组件,分别用于接收并存储相应的身份信息和主认证协议配置信息、二次认证协议及配置信息、通信传输保护的地址及加密信息等。
其次,根据管理配置信息,行业的用户终端要配置一些专用的隐私保护组件,在初次入网时,终端调用SIM卡和用户身份保护组件中的初始身份,进行入网认证,网络侧在发现该用户属于某个特殊行业时,根据该行业ID获取相应指定的认证方法和隐私保护策略,在入网认证通过后,行业将通过动态IMSI或SUPI映射设备重新给该用户生成一个新的IMSI或SUPI,并将该行业ID中对应该用户的隐私保护策略一起下发并配置到终端的相应组件中,重新进行附着;当用户重新附着时,采用行业新分配的IMSI或SUPI和主认证协议发起初始附着过程,并将切片标识集合携带在信令消息中,网络根据切片标识,选择对应的服务于该行业的UDM,该UDM与行业的动态IMSI或SUPI映射设备进行交互获取用户当前的IMSI或SUPI,对用户的身份采用该行业指定的主认证协议进行认证,如果通过主认证,则根据该用户的二次认证配置要求,在终端和网络侧同步启动二次认证和授权过程,采用终端二次认证组件和行业自管或委托管理的网络二次认证服务器中指定的二次认证协议和参数对用户的身份进行进一步的鉴权,如果不通过,网络将拒绝用户接入该行业切片,避免非法用户进入切片内获取信息,如果通过,网络则根据该用户的授权信息,进一步配置该网络可以使用的网络传输节点、存储节点以及终端的隐私保护组件,调用行业提供的密码服务器分发并配置相应的传输和存储加密算法和密钥,二次认证服务器可由行业定制委托运营商管理配置,也可以由行业自己或委托的可信第三方进行配置管理,以提高行业自身对用户和隐私数据的控制能力。
最后,如果用户需要发起会话过程进行通信或数据传输,网络的会话管理功能SMF将根据该用户二次认证和授权后的权限,分配对应的通信IP地址,配置到终端的传输保护组件和该行业切片指定实体或虚拟防火墙或接入控制设备中,并同时配置该用户在该次通话过程中的传输路径,保证用户通信过程中隐私信息的可控;切片的防火墙或接入控制设备将对进入该切片的流量进行分析,根据SMF的配置信息采用白名单等技术,允许合法的IP地址数据通过,丢弃非授权的IP地址的通信,避免非法流量进入到切片中;如果用户信息需要在网络中进行存储,则网络根据该行业指定或提供的存储节点集合,选择一个或几个对该用户最合适的网络存储节点,配置用户访问控制策略和存储位置,避免用户信息存储到不安全的节点中,存储节点根据节点的IP地址判断是否具有本节点存储资源使用权限,如果有,则根据网络配置的该用户对应的存储位置进行存储,如果用户要访问自己的数据或公共的数据,存储节点也需要根据用户的权限和配置的访问策略,取出对应的数据并返回给用户,用户数据是否加密存储及怎么加密存储,由行业和用户自己确定,如果属于用户自身的专用数据,则用户采用自己的网络存储加密算法和密钥对数据进行加密,存储节点只负责存取,如果用户数据在本行业内公开,则由存储节点采用行业的加密算法和密钥进行存储,对本行业的用户是公开的。
面向行业用户的移动通信网络隐私保护方法的流程图如图2所示,图中阴影框中的内容代表是由行业或第三方提供或定制的功能或设备。
本实施例提供的一种用于移动通信系统的面向行业用户隐私保护系统,其结合移动通信系统的管理功能、信令控制功能和用户数据功能,实现对行业用户隐私信息的全流程保护。该功能实体包括终端侧隐私保护设备和网络侧隐私保护设备,其中终端的隐私保护设备包括用户的身份保护组件、二次认证组件、传输加密组件,网络侧隐私保护设备包括位于运营商环境的进行用户信息管理的UDM和认证功能AUSF、切片编排功能MANO和NSSF、切片边缘的行业专用防火墙或接入控制设备,以及由行业提供或运营商针对行业的专用定制用户IMSI/SUPI映射设备、二次认证和授权设备、密码设备以及专用存储节点等。终端侧隐私保护设备用于为用户提供身份、认证、授权以及数据传输等方面的隐私保护功能和载体;运营商网络侧隐私保护设备主要为用户提供隐私保护的基础环境和通用的隐私保护功能,包括用户信息管理和认证、网络资源和传输保护、流量控制等;由行业提供的或行业定制委托运营商(或可信第三方)提供的设备主要是针对行业专用的用户信息和数据保护功能,包括网络身份动态映射、用户身份认证和授权、传输和存储加解密以及敏感信息的存储等。
以上所述仅是本发明的优选实施方式,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
Claims (5)
1.一种面向行业用户的移动通信网络隐私保护方法,其特征在于,通过将用户的信息进行分类并引入行业隐私保护机制,从管理、控制和用户三个层面面向行业应用进行全方位的隐私保护增强,其中:
所述管理层面:对用户网络身份和资源配置进行保护,为行业以及行业用户提供入网注册相关信息的管理和处理,进行相应的隐私保护,行业通过对用户身份与网络身份的映射方法的控制来避免用户身份信息的泄露;采用用户身份与网络身份的动态映射且映射方法和时机可由行业进行定制或控制,避免攻击方通过追踪网络身份信息获得用户的隐私信息和位置信息;通过对行业分配专用的一个或一组切片实现行业信息的内部流通,根据行业的专用隐私保护要求对切片网络存储节点和传输资源进行指定,引入可由行业控制的第三方用户访问切片的认证和授权方法,部署虚拟或实体的接入控制设备或防火墙,确保信息的受控流通,从资源分配、传输路径以及用户使用和访问的角度,降低隐私信息泄露的风险;
所述控制层面:对用户入网认证鉴权的相关流程进行保护,并对行业提供额外的隐私保护增强措施以实现对用户入网过程和用户链路建立过程的隐私保护,行业通过指定用户入网认证方法和控制用户权限的方法避免非法用户接入行业专用网络资源;实现用户信令信息以及接入和认证过程中的隐私保护,采用行业指定的主认证协议对用户接入的主认证进行增强,以支持用户网络身份的动态映射和行业专用的认证算法,通过主认证的用户立即进行由行业定制的切片二次认证和授权,确保访问行业专用切片的用户的合法性,避免非法用户接入专用切片,防止行业内部通信信息的外泄;
所述用户层面:对用户数据通信地址、数据传输通道、数据网络存储进行保护,行业通过指定或提供的网络传输和存储的加密算法和密钥来保护行业自身的隐私数据;实现用户通信过程、数据传输和存储过程的保护,首先根据用户的二次认证和授权情况,分配专用通信地址和加密算法,根据管理配置下发的传输资源和存储节点策略指定传输路径和数据存储位置;所述专用通信地址和所述指定传输路径主要用于行业用户业务能穿越行业切片配置的指定实体、虚拟防火墙或接入控制设备,所述加密算法及相应的密钥则对用户的数据信息进行从终端到存储节点或到对端用户的端到端传输保护,由行业指定或提供或由行业委托的可信第三方提供,不同安全等级的信息可以选择不同的算法或密钥长度,以避免行业用户信息在网络传输和存储过程中被内部或外部非法获取。
2.根据权利要求1所述的一种面向行业用户的移动通信网络隐私保护方法,其特征在于,所述管理层面中,所述用户网络身份和资源配置包括与行业用户相关的真实身份、权限、MSISDN、行业的网络身份IMSI或SUPI集合,以及与用户身份和MSISDN的映射关系和安全策略。
3.一种面向行业用户的移动通信网络隐私保护系统,其特征在于,包括:
终端侧隐私保护设备,所述终端侧隐私保护设备用于为用户提供身份、认证、授权以及数据传输方面的隐私保护;
以及网络侧隐私保护设备,所述网络侧隐私保护设备用于为用户提供隐私保护的基础环境和通用的隐私保护,以及为行业提供专用的用户信息和数据保护;所述为用户提供隐私保护的基础环境和通用的隐私保护包括用户信息管理和认证、网络资源和传输保护、流量控制;所述为行业提供专用的用户信息和数据保护包括网络身份动态映射、用户身份认证和授权、传输和存储加解密以及敏感信息的存储;
所述终端侧隐私保护设备和所述网络侧隐私保护设备协同完成:
对用户网络身份和资源配置进行保护,为行业以及行业用户提供入网注册相关信息的管理和处理,进行相应的隐私保护,行业通过对用户身份与网络身份的映射方法的控制来避免用户身份信息的泄露;采用用户身份与网络身份的动态映射且映射方法和时机可由行业进行定制或控制,避免攻击方通过追踪网络身份信息获得用户的隐私信息和位置信息;通过对行业分配专用的一个或一组切片实现行业信息的内部流通,根据行业的专用隐私保护要求对切片网络存储节点和传输资源进行指定,引入可由行业控制的第三方用户访问切片的认证和授权方法,部署虚拟或实体的接入控制设备或防火墙,确保信息的受控流通,从资源分配、传输路径以及用户使用和访问的角度,降低隐私信息泄露的风险;
对用户入网认证鉴权的相关流程进行保护,并对行业提供额外的隐私保护增强措施以实现对用户入网过程和用户链路建立过程的隐私保护,行业通过指定用户入网认证方法和控制用户权限的方法避免非法用户接入行业专用网络资源;实现用户信令信息以及接入和认证过程中的隐私保护,采用行业指定的主认证协议对用户接入的主认证进行增强,以支持用户网络身份的动态映射和行业专用的认证算法,通过主认证的用户立即进行由行业定制的切片二次认证和授权,确保访问行业专用切片的用户的合法性,避免非法用户接入专用切片,防止行业内部通信信息的外泄;
对用户数据通信地址、数据传输通道、数据网络存储进行保护,行业通过指定或提供的网络传输和存储的加密算法和密钥来保护行业自身的隐私数据;实现用户通信过程、数据传输和存储过程的保护,首先根据用户的二次认证和授权情况,分配专用通信地址和加密算法,根据管理配置下发的传输资源和存储节点策略指定传输路径和数据存储位置;所述专用通信地址和所述指定传输路径主要用于行业用户业务能穿越行业切片配置的指定实体、虚拟防火墙或接入控制设备,所述加密算法及相应的密钥则对用户的数据信息进行从终端到存储节点或到对端用户的端到端传输保护,由行业指定或提供或由行业委托的可信第三方提供,不同安全等级的信息可以选择不同的算法或密钥长度,以避免行业用户信息在网络传输和存储过程中被内部或外部非法获取。
4.根据权利要求3所述的一种面向行业用户的移动通信网络隐私保护系统,其特征在于,所述终端侧隐私保护设备包括用户的身份保护组件、二次认证组件和传输加密组件。
5.根据权利要求3所述的一种面向行业用户的移动通信网络隐私保护系统,其特征在于,所述网络侧隐私保护设备包括位于运营商环境的进行用户信息管理的UDM和认证功能AUSF、切片编排功能MANO和NSSF、切片边缘的行业专用防火墙或接入控制设备,以及由行业提供或运营商针对行业的专用定制用户IMSI/SUPI映射设备、二次认证和授权设备、密码设备和专用存储节点。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010193954.4A CN111385794B (zh) | 2020-03-19 | 2020-03-19 | 面向行业用户的移动通信网络隐私保护方法与系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010193954.4A CN111385794B (zh) | 2020-03-19 | 2020-03-19 | 面向行业用户的移动通信网络隐私保护方法与系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111385794A CN111385794A (zh) | 2020-07-07 |
| CN111385794B true CN111385794B (zh) | 2022-03-18 |
Family
ID=71222713
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010193954.4A Active CN111385794B (zh) | 2020-03-19 | 2020-03-19 | 面向行业用户的移动通信网络隐私保护方法与系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111385794B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111898163A (zh) * | 2020-09-30 | 2020-11-06 | 南京信同诚信息技术有限公司 | 一种大数据中心等级保护安全系统 |
| WO2023087329A1 (zh) * | 2021-11-22 | 2023-05-25 | 北京小米移动软件有限公司 | 协作测距方法、装置、通信设备和存储介质 |
| CN114599025A (zh) * | 2022-03-15 | 2022-06-07 | 北京京东拓先科技有限公司 | 请求发送方法、请求处理方法和装置 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109417687A (zh) * | 2016-07-01 | 2019-03-01 | 金雅拓M2M有限责任公司 | 用于蜂窝网络中的用户设备的远程供给的方法 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100492958B1 (ko) * | 2002-09-10 | 2005-06-07 | 삼성전자주식회사 | 무선 고속 데이터 시스템에서 공중망과 사설망의 공통사용 방법 및 시스템 |
| US9015301B2 (en) * | 2007-01-05 | 2015-04-21 | Digital Doors, Inc. | Information infrastructure management tools with extractor, secure storage, content analysis and classification and method therefor |
| CN103379114B (zh) * | 2012-04-28 | 2016-12-14 | 国际商业机器公司 | 用于在MapReduce系统中保护隐私数据的方法和装置 |
| CN103607371B (zh) * | 2013-07-02 | 2016-12-28 | 燕山大学 | 一种通过第三方平台保护互联网用户隐私的方法 |
| WO2016004397A1 (en) * | 2014-07-03 | 2016-01-07 | Huawei Technologies Co., Ltd. | System and method for wireless network access protection and security architecture |
| US10536946B2 (en) * | 2015-12-08 | 2020-01-14 | Huawei Technologies Co., Ltd. | Method and system for performing network slicing in a radio access network |
| EP3513531B1 (en) * | 2016-09-18 | 2021-06-23 | Alcatel Lucent | Unified security architecture |
| CN107580324B (zh) * | 2017-09-22 | 2020-05-08 | 中国电子科技集团公司第三十研究所 | 一种用于移动通信系统imsi隐私保护的方法 |
| US10693648B2 (en) * | 2018-03-26 | 2020-06-23 | Ca, Inc. | System and method for dynamic grid authentication |
| CN110602024B (zh) * | 2018-06-13 | 2021-12-21 | 中国电信股份有限公司 | 用户终端二次认证方法和系统、接入和移动性管理装置 |
| CN109743322A (zh) * | 2019-01-04 | 2019-05-10 | 中国联合网络通信集团有限公司 | 身份认证方法、身份认证系统 |
| CN110049483A (zh) * | 2019-04-09 | 2019-07-23 | 中国电子科技集团公司第三十研究所 | 移动通信系统用户网络身份跳变隐藏网络功能的实现方法 |
-
2020
- 2020-03-19 CN CN202010193954.4A patent/CN111385794B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109417687A (zh) * | 2016-07-01 | 2019-03-01 | 金雅拓M2M有限责任公司 | 用于蜂窝网络中的用户设备的远程供给的方法 |
Non-Patent Citations (3)
| Title |
|---|
| Overview of 5G security technology;Xinsheng Ji;《Springer》;20180709;全文 * |
| Security architecture and procedures for 5G system;3GPP;《3GPP TS 23.501 V15.4.0(301903)》;20190331;全文 * |
| 基于任务变换的隐私保护技术在云计算平台下电子病历中的应用;王均;《中国数字医学》;20190115;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111385794A (zh) | 2020-07-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111385794B (zh) | 面向行业用户的移动通信网络隐私保护方法与系统 | |
| Wei et al. | Mobishare: Flexible privacy-preserving location sharing in mobile online social networks | |
| CN112765639B (zh) | 基于零信任访问策略的安全微服务架构及实现方法 | |
| CN100589381C (zh) | 一种通信系统中用户身份保密的方法 | |
| Saeed et al. | A comprehensive review on the users’ identity privacy for 5G networks | |
| CN113872944A (zh) | 一种面向区块链的零信任安全架构及其集群部署框架 | |
| Sharma et al. | Secure authentication protocol for 5G enabled IoT network | |
| Sattar et al. | A stride threat model for 5g core slicing | |
| CN115664693A (zh) | 资源访问系统、方法、电子设备和存储介质 | |
| Omar et al. | A comparative study of network access control and software-defined perimeter | |
| CN113810404A (zh) | 一种基于sdn网络的网络全视图变换动态防御系统及方法 | |
| CN115134175B (zh) | 一种基于授权策略的安全通讯方法及装置 | |
| Aich et al. | Study on cloud security risk and remedy | |
| CN109246124B (zh) | 一种加密信息的主动防御方法 | |
| CN114024767B (zh) | 密码定义网络安全体系构建方法、体系架构及数据转发方法 | |
| KR20210026710A (ko) | 공공 IoT용 신뢰-인식 역할-기반 액세스 제어 시스템 | |
| CN114021170A (zh) | 一种零信任架构下的敏感数据防护机制 | |
| Edris et al. | Security in network services delivery for 5g enabled d2d communications: Challenges and solutions | |
| Thompson et al. | A Secured System for Internet Enabled Host Devices. | |
| Lee et al. | Hierarchical access control for SDP-IoT | |
| Niewolski et al. | Security architecture for authorized anonymous communication in 5G MEC | |
| KR20090012000A (ko) | 상호 인증 및 핸드오버 보안을 강화한 모바일 인증 방법 | |
| Thandeeswaran et al. | Bi-level user authentication for enriching legitimates and eradicating duplicates in cloud infrastructure | |
| Ashrafzadeh et al. | Security Challenges for Ubiquitous Services in Mobile Environment | |
| Shahba et al. | Security Threats for Widespread Services in Mobile Environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |