CN117998341A - 数据传输方法、装置、网络实体及介质 - Google Patents
数据传输方法、装置、网络实体及介质 Download PDFInfo
- Publication number
- CN117998341A CN117998341A CN202211358887.2A CN202211358887A CN117998341A CN 117998341 A CN117998341 A CN 117998341A CN 202211358887 A CN202211358887 A CN 202211358887A CN 117998341 A CN117998341 A CN 117998341A
- Authority
- CN
- China
- Prior art keywords
- network
- data
- home
- entity
- network entity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 84
- 230000005540 biological transmission Effects 0.000 title claims abstract description 60
- 238000013480 data collection Methods 0.000 claims abstract description 182
- 238000004364 calculation method Methods 0.000 claims abstract description 65
- 238000012545 processing Methods 0.000 claims description 61
- 230000006870 function Effects 0.000 claims description 57
- 238000013475 authorization Methods 0.000 claims description 21
- 230000004044 response Effects 0.000 claims description 17
- 238000007405 data analysis Methods 0.000 claims description 14
- 238000004590 computer program Methods 0.000 claims description 11
- PMFYASCWMUOSTD-UHFFFAOYSA-N n-(2-chloro-4,5-difluoro-3-methylphenyl)-2-fluoro-2-propylpentanamide Chemical compound CCCC(F)(CCC)C(=O)NC1=CC(F)=C(F)C(C)=C1Cl PMFYASCWMUOSTD-UHFFFAOYSA-N 0.000 description 48
- 238000010586 diagram Methods 0.000 description 15
- 230000003993 interaction Effects 0.000 description 10
- 238000012795 verification Methods 0.000 description 10
- 230000007246 mechanism Effects 0.000 description 9
- 230000008569 process Effects 0.000 description 9
- 101000684181 Homo sapiens Selenoprotein P Proteins 0.000 description 6
- 102100023843 Selenoprotein P Human genes 0.000 description 6
- 238000004422 calculation algorithm Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 6
- 238000003012 network analysis Methods 0.000 description 6
- 229940119265 sepp Drugs 0.000 description 6
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000006978 adaptation Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 102100031702 Endoplasmic reticulum membrane sensor NFE2L1 Human genes 0.000 description 1
- 101000588298 Homo sapiens Endoplasmic reticulum membrane sensor NFE2L1 Proteins 0.000 description 1
- 101000588302 Homo sapiens Nuclear factor erythroid 2-related factor 2 Proteins 0.000 description 1
- 101000577547 Homo sapiens Nuclear respiratory factor 1 Proteins 0.000 description 1
- 102100031701 Nuclear factor erythroid 2-related factor 2 Human genes 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000012517 data analytics Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 239000011814 protection agent Substances 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
- H04W8/14—Mobility data transfer between corresponding nodes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种数据传输方法、装置、网络实体及介质,该方法包括拜访地网络的第一网络实体向N个归属地网络的第二网络实体发送数据收集请求消息,在N为大于或者等于2的正整数的情况下,数据收集请求消息包括:拜访地网络的网络地址、N个归属地网络的网络地址和N个归属地网络的优先级,拜访地网络与各个归属地网络属于不同的公共陆地移动网络;接收至少一个归属地网络的第三网络实体发送的第一数据,其中,第一数据是归属地网络的第三网络实体基于第一原始数据执行安全多方计算后获得的,安全多方计算的参与方包括各个归属地网络的第三网络实体,安全多方计算流程基于N个归属地网络的优先级发起。
Description
技术领域
本发明涉及通信技术领域,尤其是涉及一种数据传输方法、装置、网络实体及介质。
背景技术
现有技术中,3GPP定义了网络数据分析功能(Network Data Analytic Function,NWDAF)跨网数据收集的方法,通过拜访地网络的NWDAF实体向归属网络的NWDAF实体发起数据收集请求,再由归属网络NWDAF实体收集本网NF实体的数据,通过安全策略进行处理后反馈给拜访网络NWDAF实体。在互联互通部分,由网络边缘安全保护代理(Security EdgeProtection Proxy,SEPP)间的安全机制保护其传输安全。
跨运营商的数据收集相对与单个运营商网内的数据收集,应该具有更高等级的安全保护机制。现有方案仅定义了跨运营商收集数据需要由归属地网络NWDAF实体在本网进行数据收集,仅说明了需要由归属地安全策略对数据进行处理,但并未定义数据保护的具体方法,而SEPP间的安全机制仅可以保护数据在传输过程中的安全,并不能从源头上实现数据的隐私保护,存在运营商网内的一些敏感信息跨网传输,增大敏感数据泄露以及暴露给其他运营商的风险。
发明内容
本发明的目的在于提供一种数据传输方法、装置、网络实体及介质,用以解决现有跨运营商收集数据的方案存在的运营商网内的一些敏感信息跨网传输,增大敏感数据泄露以及暴露给其他运营商的风险的问题。
为了达到上述目的,第一方面,本发明提供一种数据传输方法,包括:
拜访地网络的第一网络实体向N个归属地网络的第二网络实体发送数据收集请求消息,其中,在N为大于或者等于2的正整数的情况下,所述数据收集请求消息包括:所述拜访地网络的网络地址、所述N个归属地网络的网络地址和所述N个归属地网络的优先级,所述拜访地网络与各个归属地网络属于不同的公共陆地移动网络;
所述第一网络实体接收至少一个归属地网络的第三网络实体发送的第一数据,其中,所述第一数据是所述归属地网络的第三网络实体基于第一原始数据执行安全多方计算后获得的,所述安全多方计算的参与方包括各个归属地网络的第三网络实体,安全多方计算流程基于N个归属地网络的优先级发起;
或者,在N为1的情况下,所述数据收集请求消息包括:所述拜访地网络的网络地址和所述归属地网络的网络地址;
所述第一数据是基于第二原始数据进行数据安全处理后获得的,所述第二原始数据是所述归属地网络中收集的数据。
其中,所述方法还包括:
在数据收集请求消息为业务请求消息的情况下,所述第一网络实体向N个归属地网络的第四网络实体发送身份认证请求消息,所述身份认证请求消息包括请求的数据类型,其中,所述请求的数据类型用于所述第四网络实体确定是否向所述拜访地网络返回数据;
所述第一网络实体接收所述第四网络实体返回的身份认证响应消息;
其中,在所述身份认证响应消息表示身份认证授权成功的情况下,所述数据收集请求消息包括授权信息。
其中,所述数据收集请求消息为业务请求消息或数据检索订阅请求消息。
其中,在所述数据收集请求消息为数据检索订阅请求消息情况下,若所述第二网络实体具有网络数据分析功能,则所述第二网络实体在第四网络实体注册有数据检索服务,所述第四网络实体具有网络存储功能。
第二方面,本发明还提供了一种数据传输方法,包括:
归属地网络的第二网络实体接收拜访地网络的第一网络实体发送的数据收集请求消息,其中,在N为大于或者等于2的正整数的情况下,所述数据收集请求消息包括:所述拜访地网络的网络地址、所述N个归属地网络的网络地址和所述N个归属地网络的优先级;在N为1的情况下,所述数据收集请求消息包括:所述拜访地网络的网络地址和所述归属地网络的网络地址;
所述第二网络实体获得所述归属地网络中收集的第二原始数据;
在根据所述拜访地网络的网络地址确定所述归属地网络与所述拜访地网络为两个不同的公共陆地移动网络,且N为大于或者等于2的正整数的情况下,所述第二网络实体向所述归属地网络的第三网络实体发送所述第二原始数据和所述N个归属地网络的优先级;其中,所述第三网络实体用于基于第一原始数据执行安全多方计算,获得第一数据,所述安全多方计算的参与方包括各个归属地网络的第三网络实体,安全多方计算流程基于N个归属地网络的优先级发起;
或者,在根据所述拜访地网络的网络地址确定所述归属地网络与所述拜访地网络为两个不同的公共陆地移动网络,且N为1的情况下,所述第二网络实体向所述归属地网络的第三网络实体发送所述第二原始数据,其中,所述第三网络实体用于基于所述第二原始数据进行数据安全处理,获得第一数据。
其中,在所述第二网络实体具有网络功能的情况下,所述第二网络实体获得所述归属地网络中收集的第二原始数据,包括:
所述第二网络实体获得自身收集的第二原始数据。
其中,在所述第二网络实体具有网络数据分析功能,所述第二网络实体获得所述归属地网络中收集的第二原始数据,包括:
所述第二网络实体接收所述归属地网络中第五网络实体收集的第二原始数据。
其中,所述数据收集请求消息为业务请求消息或数据检索订阅请求消息。
其中,在所述数据收集请求消息为数据检索订阅请求消息情况下,若所述第二网络实体具有网络数据分析功能,则所述第二网络实体在第四网络实体注册有数据检索服务,所述第四网络实体具有网络存储功能。
第三方面,本发明还提供一种数据传输方法,包括:
归属地网络的第三网络实体接收所述归属地网络的第二网络实体发送的第二原始数据和包括所述归属地网络的N个归属地网络的优先级,N为大于或者等于2的正整数;并基于第一原始数据执行安全多方计算,获得第一数据,所述安全多方计算的参与方包括各个归属地网络的第三网络实体,安全多方计算流程基于N个归属地网络的优先级发起;
或者,归属地网络的第三网络实体接收所述归属地网络的第二网络实体发送的第二原始数据,并基于所述第二原始数据进行数据安全处理,获得第一数据;
所述归属地网络的第三网络实体向拜访地网络的第一网络实体发送所述第一数据,其中,所述拜访地网络与各个归属地网络属于不同的公共陆地移动网络。
第四方面,本发明还提供了一种数据传输装置,应用于拜访地网络的第一网络实体,包括:
第一发送模块,用于向N个归属地网络的第二网络实体发送数据收集请求消息,其中,在N为大于或者等于2的正整数的情况下,所述数据收集请求消息包括:所述拜访地网络的网络地址、所述N个归属地网络的网络地址和所述N个归属地网络的优先级,所述拜访地网络与各个归属地网络属于不同的公共陆地移动网络;
第一接收模块,用于接收至少一个归属地网络的第三网络实体发送的第一数据,其中,所述第一数据是所述归属地网络的第三网络实体基于第一原始数据执行安全多方计算后获得的,所述安全多方计算的参与方包括各个归属地网络的第三网络实体,安全多方计算流程基于N个归属地网络的优先级发起;
或者,在N为1的情况下,所述数据收集请求消息包括:所述拜访地网络的网络地址和所述归属地网络的网络地址;
所述第一数据是基于第二原始数据进行数据安全处理后获得的,所述第二原始数据是所述归属地网络中收集的数据。
第五方面,本发明还提供了一种数据传输装置,应用于归属地网络的第二网络实体,包括:
第二接收模块,用于接收拜访地网络的第一网络实体发送的数据收集请求消息,其中,在N为大于或者等于2的正整数的情况下,所述数据收集请求消息包括:所述拜访地网络的网络地址、所述N个归属地网络的网络地址和所述N个归属地网络的优先级,在N为1的情况下,所述数据收集请求消息包括:所述拜访地网络的网络地址和所述归属地网络的网络地址;
第一获取模块,用于获得所述归属地网络中收集的第二原始数据;
第二发送模块,用于在根据所述拜访地网络的网络地址确定所述归属地网络与所述拜访地网络为两个不同的公共陆地移动网络,且N为大于或者等于2的正整数的情况下,向所述归属地网络的第三网络实体发送所述第二原始数据和所述N个归属地网络的优先级;其中,所述第三网络实体用于基于第一原始数据执行安全多方计算,获得第一数据,所述安全多方计算的参与方包括各个归属地网络的第三网络实体,安全多方计算流程基于N个归属地网络的优先级发起;
或者,在根据所述拜访地网络的网络地址确定所述归属地网络与所述拜访地网络为两个不同的公共陆地移动网络,且N为1的情况下,向所述归属地网络的第三网络实体发送所述第二原始数据,其中,所述第三网络实体用于基于所述第二原始数据进行数据安全处理,获得第一数据。
第六方面,本发明还提供了一种数据传输装置,应用于归属地网络的第三网络实体,包括:
第三接收模块,用于接收归属地网络的第二网络实体发送的第二原始数据和包括所述归属地网络的N个归属地网络的优先级,N为大于或者等于2的正整数;
隐私计算模块,用于基于第一原始数据执行安全多方计算,获得第一数据,所述安全多方计算的参与方包括各个归属地网络的第三网络实体,安全多方计算流程基于N个归属地网络的优先级发起;
或者,所述第三接收模块还用于接收所述归属地网络的第二网络实体发送的第二原始数据;
所述隐私计算模块还用于基于所述第二原始数据进行数据安全处理,获得第一数据;
第三发送模块,用于向拜访地网络的第一网络实体发送所述第一数据,其中,所述拜访地网络与各个归属地网络属于不同的公共陆地移动网络。
第七方面,本发明还提供一种网络实体,所述网络实体为拜访地网络的第一网络实体,包括处理器和收发器,所述收发器在处理器的控制下接收和发送数据,所述收发器用于执行以下操作:
向N个归属地网络的第二网络实体发送数据收集请求消息,其中,在N为大于或者等于2的正整数的情况下,所述数据收集请求消息包括:所述拜访地网络的网络地址、所述N个归属地网络的网络地址和所述N个归属地网络的优先级,所述拜访地网络与各个归属地网络属于不同的公共陆地移动网络;
接收至少一个归属地网络的第三网络实体发送的第一数据,其中,所述第一数据是所述归属地网络的第三网络实体基于第一原始数据执行安全多方计算后获得的,所述安全多方计算的参与方包括各个归属地网络的第三网络实体,安全多方计算流程基于N个归属地网络的优先级发起;
或者,在N为1的情况下,所述数据收集请求消息包括:所述拜访地网络的网络地址和所述归属地网络的网络地址;
所述第一数据是基于第二原始数据进行数据安全处理后获得的,所述第二原始数据是所述归属地网络中收集的数据。
第八方面,本发明还提供一种网络实体,所述网络实体为归属地网络的第二网络实体,包括处理器和收发器,所述收发器在处理器的控制下接收和发送数据,所述处理器用于执行以下操作:
通过收发器接收拜访地网络的第一网络实体发送的数据收集请求消息,其中,在N为大于或者等于2的正整数的情况下,所述数据收集请求消息包括:所述拜访地网络的网络地址、所述N个归属地网络的网络地址和所述N个归属地网络的优先级;在N为1的情况下,所述数据收集请求消息包括:所述拜访地网络的网络地址和所述归属地网络的网络地址;
获得所述归属地网络中收集的第二原始数据;
在根据所述拜访地网络的网络地址确定所述归属地网络与所述拜访地网络为两个不同的公共陆地移动网络,且N为大于或者等于2的正整数的情况下,通过收发器向所述归属地网络的第三网络实体发送所述第二原始数据和所述N个归属地网络的优先级;其中,所述第三网络实体用于基于第一原始数据执行安全多方计算,获得第一数据,所述安全多方计算的参与方包括各个归属地网络的第三网络实体,安全多方计算流程基于N个归属地网络的优先级发起;
或者,在根据所述拜访地网络的网络地址确定所述归属地网络与所述拜访地网络为两个不同的公共陆地移动网络,且N为1的情况下,通过所述收发器向所述归属地网络的第三网络实体发送所述第二原始数据,其中,所述第三网络实体用于基于所述第二原始数据进行数据安全处理,获得第一数据。
第九方面,本发明还提供网络实体,所述网络实体为归属地网络的第三网络实体,包括处理器和收发器,所述收发器在处理器的控制下接收和发送数据,所述处理器用于执行以下操作:
通过收发器接收所述归属地网络的第二网络实体发送的第二原始数据和包括所述归属地网络的N个归属地网络的优先级,N为大于或者等于2的正整数;并基于第一原始数据执行安全多方计算,获得第一数据,所述安全多方计算的参与方包括各个归属地网络的第三网络实体,安全多方计算流程基于N个归属地网络的优先级发起;
或者,通过所述收发器接收所述归属地网络的第二网络实体发送的第二原始数据,并基于所述第二原始数据进行数据安全处理,获得第一数据;
通过收发器向拜访地网络的第一网络实体发送所述第一数据,其中,所述拜访地网络与各个归属地网络属于不同的公共陆地移动网络。
第十方面,本发明还提供一种网络实体,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;所述处理器执行所述程序时实现如上述第一方面所述的数据传输方法,或者实现如上述第二方面所述的数据传输方法,或者实现如第三方面所述的数据传输方法。
第十一方面,本发明还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一方面所述的数据传输方法中的步骤,或者实现如上述第二方面所述的数据传输方法中的步骤,或者实现如上述第三方面所述的数据传输方法中的步骤。
本发明的上述技术方案至少具有如下有益效果:
本发明实施例中,拜访地网络的第一网络实体向N个归属地网络的第二网络实体发送数据收集请求消息,其中,在N为大于或者等于2的正整数的情况下,数据收集请求消息包括:拜访地网络的网络地址、N个归属地网络的网络地址和N个归属地网络的优先级,拜访地网络与各个归属地网络属于不同的公共陆地移动网络;第一网络实体接收至少一个归属地网络的第三网络实体发送的第一数据,其中,第一数据是归属地网络的第三网络实体基于第一原始数据执行安全多方计算后获得的,安全多方计算的参与方包括各个归属地网络的第三网络实体,安全多方计算流程基于N个归属地网络的优先级发起;或者在N为1的情况下,数据收集请求消息包括:拜访地网络的网络地址和归属地网络的网络地址;第一数据是基于第二原始数据进行数据安全处理后获得的,第二原始数据是归属地网络中收集的数据,这样,针对跨网络收集数据的场景,在归属地网络将本网数据传输给拜访地网络之前对数据进行隐私计算处理,可以保证网内数据不进行跨网传输,在保证多个数据源头提供的数据可被利用的同时,保证敏感数据不暴露给其他网络,有效降低网内数据泄露风险。
附图说明
图1表示现有跨运营商互联互通安全架构示意图;
图2表示本发明实施例提供的数据传输方法的流程示意图之一;
图3表示本发明实施例提供的数据传输方法的流程示意图之二;
图4表示本发明实施例提供的数据传输方法的流程示意图之三;
图5表示本发明实施例的数据收集架构示意图之一;
图6表示本发明实施例的数据收集架构示意图之二;
图7表示本发明实施例提供的数据传输方法的流程示意图之四;
图8表示本发明实施例提供的数据传输方法的流程示意图之五;
图9表示本发明实施例提供的数据传输方法的流程示意图之六;
图10表示本发明实施例提供的数据传输方法的流程示意图之七;
图11表示本发明实施例提供的数据传输装置的模块示意图之一;
图12表示本发明实施例提供的数据传输装置的模块示意图之二;
图13表示本发明实施例提供的数据传输装置的模块示意图之三;
图14表示本发明实施例提供的网络实体的硬件结构示意图之一;
图15表示本发明实施例提供的网络实体的硬件结构示意图之二;
图16表示本发明实施例提供的网络实体的硬件结构示意图之三。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
在对本申请实施例进行说明之前,首先对相关技术点进行说明:
当前的5G网络在进行跨运营商漫游时,互联互通安全由SEPP提供,根据归属的运营商不同,分别被称为业务请求的cSEPP和业务响应方的pSEPP。如果cSEPP和pSEPP间没有IPX(两个网络之间的转发机制)供应商,应使用传输层安全协议TLS进行传输;如果cSEPP和pSEPP间有IPX供应商,应使用TLS或应用层安全协议PRINS进行传输保护。
SEPP使用基于国际互联网工程任务组(The Internet Engineering Task Force,IETF)备忘录(Request For Comments,RFC)7516定义的JWE(JSON Web Encryption)机制为N32接口上的消息提供加密。使用基于IETF RFC7515定义的JWS(JSON Web Signature)机制为N32接口上的中间节点所需的信令修改提供签名。
参见图1,业务请求方的一个网络功能(Network Function,NF)实体要向业务响应方的NF实体发送消息。如果这个消息是跨运营商的,即通过N32接口发送。
cSEPP接收业务请求方的NF实体发送的消息并使用对称密钥对该消息提供应用层的保护,生成JWE对象。
cSEPP将生成的JWE对象发送至中间节点cIPX。
cIPX和pIPX可以对N32互联互通接口上传输的消息进行修改。对消息的修改内容进行签名后,IPX将包含签名和修改内容的JWS对象附加在消息后面。
pSEPP接收来自于pIPX的消息,验证JWE对象的真伪,从而恢复来自于NF的原始消息,再验证JWS对象中的签名,并结合中间节点的改动更新消息内的相应内容。最终,pSEPP将消息转发给目标NF实体。
当前的NWDAF实体跨网数据收集的方案,在互联互通安全的基础上由拜访地网络的NWDAF实体向归属网络的NWDAF实体发起数据收集请求,再由归属网络的NWDAF实体验证过请求后收集归属网络的NF实体的数据,并根据本地安全策略对本网数据进行安全处理,之后再跨网反馈给拜访地网络的NWDAF实体。其中,在互联互通部分,由SEPP间的安全机制(TLS或PRINS)保护其传输安全。
跨运营商的数据收集相对与单个运营商网内的数据收集,应该具有更高等级的安全保护机制。现有方案仅定义了跨运营商收集数据需要由归属地网络NWDAF实体在本网进行数据收集,仅说明了需要由归属地安全策略对数据进行处理,但并未定义数据保护的具体方法,而SEPP间的安全机制仅可以保护数据在传输过程中的安全,并不能从源头上实现数据的隐私保护,存在运营商网内的一些敏感信息跨网传输,增大敏感数据泄露以及暴露给其他运营商的风险。
同时,在拜访地运营商向多个归属地运营商收集数据的场景下,既要保证数据离开归属网络运营商时是进行了隐私保护或匿名化处理,又要保证从不同的归属地运营商收集到的数据是可利用的。如果不同的归属地运营商(数据源)采用不同的隐私保护或匿名化数据处理方法,则在拜访地运营商收集完成数据后,可能会存在数据无法被合起来利用的问题。
为了解决上述问题,本发明提供一种数据传输方法、装置、网络实体及介质,其中,方法和装置是基于同一申请构思的,由于方法和装置解决问题的原理相似,因此装置和方法的实施可以相互参见,重复之处不再赘述。
如图2所示,为本发明实施例提供的数据传输方法的流程示意图。该方法可具体包括:
步骤201,拜访地网络的第一网络实体向N个归属地网络的第二网络实体发送数据收集请求消息,其中,在N为大于或者等于2的正整数的情况下,数据收集请求消息包括:拜访地网络的网络地址、N个归属地网络的网络地址和N个归属地网络的优先级,拜访地网络与各个归属地网络属于不同的公共陆地移动网络。
其中,第一网络实体具有网络分析功能,也就是第一网络实体为NWDAF实体,拜访地网络的第一网络实体可表示为NWDAFc。
第二网络实体具有网络功能,也就是第二网络实体为NF实体。或者,第二网络实体具有网络分析功能,也就是第二网络实体为NWDAF实体。
这里,拜访地网络的第一网络实体向N个归属地网络的第二网络实体发送数据收集请求消息指的是,拜访地网络的第一网络实体向N个归属地网络中每个归属地网络的第二网络实体分别发送数据收集请求消息。
可选地,数据收集请求消息为业务请求(service request)消息或数据检索订阅请求(data retrieval subscribe request)消息。
这里,拜访地网络的网络地址可以是拜访地网络的公共陆地移动网络(PublicLand Mobile Network,PLMN ID),归属地网络的网络地址可以是归属地网络的PLMN ID。
归属地网络的优先级的高低可通过赋值的大小表示。可选地,设定一个优先级列表priority list,将表示优先级priority的不同值赋予不同的归属地网络,用于表示N个归属地网络的优先级。比如,将“priority=X(X=1,2,3…)”封装在数据收集请求消息中。
步骤202,第一网络实体接收至少一个归属地网络的第三网络实体发送的第一数据,其中,第一数据是归属地网络的第三网络实体基于第一原始数据执行安全多方计算后获得的,安全多方计算的参与方包括各个归属地网络的第三网络实体,安全多方计算流程基于N个归属地网络的优先级发起;或者,在N为1的情况下,数据收集请求消息包括:拜访地网络的网络地址和归属地网络的网络地址;第一数据是基于第二原始数据进行数据安全处理后获得的,第二原始数据是归属地网络中收集的数据。
可选地,第三网络实体具有数据隐私计算功能(Data Privacy ComputingFunction,DPCF),也就是第三网络实体为DPCF实体。
这里,拜访地网络的第一网络实体接收至少一个归属地网络的第三网络实体发送的第一数据,可以是拜访地网络的第一网络实体接收每个归属地网络的第三网络实体发送的第一数据,也可以是拜访地网络的第一网络实体接收一部分归属地网络的第三网络实体发送的第一数据。其中,一部分归属地网络的第三网络实体可以是优先级高一些的归属地网络的第三网络实体,具体的可通过安全多方计算的策略确定。
这里,在归属地网络为多个(大于或者等于2)的情况下,各归属地网络将本网数据传输给拜访地网络的第一网络实体之前为了保证网内数据不进行跨网传输需要对第一原始数据执行安全多方计算处理。
这里,第一原始数据可以是归属地网络的第三网络实体收集的数据(第二原始数据),还可以是归属地网络的第三网络实体收集的数据(第二原始数据)以及该归属地网络的第三网络实体与其他归属地网络的第三网络实体通过安全多方计算流程之间的数据交互获得的其他归属地网络传输的数据。
其中,安全多方计算流程基于N个归属地网络的优先级发起;具体的,由优先级高的归属地网络的第三网络实体,向优先级低的归属地网络的第三网络实体,发起安全多方计算的数据交互请求;在不同归属地的第三网络实体间建立通信后,再根据具体的算法和函数进行后续的安全多方计算流程。当然这里仅为一个示例,也可以是按照预设的优先级规则,通过归属地网络的第三网络实体发起安全多方计算的数据交互请求。这里不做具体限定。
安全多方计算的参与方包括各个归属地网络的第三网络实体,可通过一个示例简要说明一下安全多方计算过程。设归属地网络A的DPCF实体1获得本网内用户人均收入4000元、归属地网络B的DPCF实体2获得本网内用户人均收入5000元、归属地网络C的DPCF实体2获得本网内用户人均收入6000元;为了保证敏感数据不暴露给其他网络,降低网内数据泄露风险,DPCF实体1、DPCF实体2和DPCF实体3相互之间按照预设隐私算法进行隐私计算,比如,DPCF实体1将4000减去500给DPCF实体2,DPCF实体2将5000减去1000给DPCF实体3,DPCF实体3将6000减去1500给DPCF实体1,则DPCF实体1执行隐私计算4000-500+1500,获得处理后的数据为5000,DPCF实体2执行隐私计算5000+500-1000,获得处理后的数据为4500,DPCF实体2执行隐私计算6000+1000-1500,获得处理后的数据为5500。之后,各DPCF实体分别将处理后的数据发送给拜访地网络的NWDAF实体。
所以,第一数据是归属地网络的第三网络实体基于原始数据执行安全多方计算后获得的,可以理解为第一数据是归属地网络的第三网络实体基于原始数据,结合其他归属地网络的第三网络实体的部分原始数据执行隐私计算后获得的。
综上,由于N个归属地网络应用一套隐私计算流程,能够在拜访地网络收集完成数据后,保证多个数据源头提供的数据可被利用,同时由于数据经过了隐私计算处理,还可以保证敏感数据不暴露给其他网络,有效降低网内数据泄露风险。
需要说明的是,在N为1的情况下,说明拜访地网络的第一网络实体仅向一个归属地网络的第二网络实体发送数据收集请求消息,也就没有归属地网络的优先级之说了,因此第一数据是归属地网络的第三网络实体(DPCF实体)基于本地采集的原始数据进行本地安全计算处理后获得的。这样,由于数据经过了隐私计算处理,也可以保证敏感数据不暴露给其他网络,有效降低网内数据泄露风险。
作为一可选地实现方式,本发明实施例的方法还可包括:
S11,在数据收集消息为业务请求消息的情况下,拜访地网络的第一网络实体向N个归属地网络的第四网络实体发送身份认证请求消息,身份认证请求消息包括请求的数据类型,其中,请求的数据类型用于第四网络实体确定是否向拜访地网络返回数据;
这里,第四网络实体具有网络存储功能(NF Repository Function,NRF),也就是第四网络实体为NRF实体。归属地网络的第四网络实体可用hNRF表示。
这里,拜访地网络的第一网络实体向N个归属地网络的第四网络实体发送身份认证请求消息指的是,拜访地网络的第一网络实体向N个归属地网络中每个归属地网络的第四网络实体分别发送身份认证请求消息。
需要说明的是,身份认证请求消息除了包括请求的数据类型(requested datatype)外,还包括NF消费者类型(NF consumer type)、目标NF类型(target NF type)、预期的NF服务名称(expected NF Service name)。
可选地,身份认证请求消息是令牌请求token request消息,其中,token表示令牌。这里,令牌是服务端(这里指归属地网络的第四网络实体)生成的一串字符串,以作为客户端(这里指拜访地网络的第一网络实体)访问资源接口时所需要的资源凭证。若客户端获得令牌后,在后续向服务端请求数据时,携带该令牌,以使服务端进行有效性验证,验证成功后方可向客户端返回请求的数据。
比如,身份认证请求消息可以是Nnrf_AccessToken_Get Request消息。
S12,拜访地网络的第一网络实体接收第四网络实体返回的身份认证响应消息;其中,在身份认证响应消息表示身份认证授权成功的情况下,数据收集请求消息包括授权信息。
这里,归属地网络的第四网络实体在接收到拜访地网络的第一网络实体发送的身份认证请求消息后,验证身份认证请求消息中的相关参数,并验证所请求的数据类型,根据本地策略决定所请求的数据类型是否可以将对应的数据返回拜访地网络的第一网络实体。若验证通过,则为拜访地网络的第一网络实体进行授权,也就是说,拜访地网络的第一网络实体接收到的归属地网络的第四网络实体发送的身份认证响应消息中包括授权信息。
比如,身份认证请求消息是Nnrf_AccessToken_Get Request消息,则授权信息为AccessToken。
参见图3,下面通过实施例一说明拜访地网络的NWDAF(实体)从N为1即单一归属地网络收集数据的情况下,本发明方法的实现过程。
实施例一
需要说明的是,本实施例中,拜访地网络属于PLMN1,归属地网络属于PLMN2,即拜访地网络与归属地网络属于不同的PLMN。
1.拜访地网络的NWDAFc向归属地网络的hNRF发送token request消息;
其中,该token request消息包括NF consumer type、target NF type、expectedNF Service name以及requested data type。
2.归属地网络的hNRF验证requested data type,并根据在根据本地策略决定可以将所请求的数据类型对应的数据返回至拜访地网络的NWDAFc的情况下,确定验证通过,为NWDAFc进行授权。
3.归属地网络的hNRF向拜访地网络的NWDAFc发送Token_Get response消息,该消息中包括授权信息Access Token。
4.拜访地网络的NWDAFc向归属地网络的NF发送数据收集请求消息,该数据收集请求消息包括Access Token和拜访地网络所属的PLMN ID。
本实施例中,拜访地网络所属的PLMN ID为PLMN1。
5.归属地网络的NF验证该数据收集请求消息;
这里,归属地网络的NF在验证中发现业务请求者是其他PLMN的NWDAF。
6.归属地网络的NF在验证发现数据收集请求消息的请求方是其他PLMN,则将NF侧采集的未经处理的数据发送至归属地网络的DPCF。
7.归属地网络的DPCF对未经处理的数据进行本地安全计算处理,获得处理后的数据;
8.归属地网络的DPCF向拜访地网络的NWDAF发送数据收集响应消息,该数据收集响应消息包括处理后的数据。
可选地,在数据收集请求消息为数据检索订阅请求消息情况下,若第二网络实体具有网络数据分析功能,则第二网络实体在第四网络实体注册有数据检索服务,第四网络实体具有网络存储功能。
该情况对应拜访地网络的第一网络实体(NWDAF实体)向归属地网络的第二网络实体(该实施例中为NWDAF实体)进行数据收集请求,归属地网络的NWDAF再向本网络内的其他网元(比如NF实体)请求数据,该场景下归属地网络的NWDAF实体需要在NRF实体注册新服务,即数据检索服务。
本发明实施例的数据传输方法,拜访地网络的第一网络实体向N个归属地网络的第二网络实体发送数据收集请求消息,其中,在N为大于或者等于2的正整数的情况下,数据收集请求消息包括:拜访地网络的网络地址、N个归属地网络的网络地址和N个归属地网络的优先级,拜访地网络与各个归属地网络属于不同的公共陆地移动网络;第一网络实体接收至少一个归属地网络的第三网络实体发送的第一数据,其中,第一数据是归属地网络的第三网络实体基于第一原始数据执行安全多方计算后获得的,安全多方计算的参与方包括各个归属地网络的第三网络实体,安全多方计算流程基于N个归属地网络的优先级发起;或者在N为1的情况下,数据收集请求消息包括:拜访地网络的网络地址和归属地网络的网络地址;第一数据是基于第二原始数据进行数据安全处理后获得的,第二原始数据是归属地网络中收集的数据,这样,针对跨网络收集数据的场景,在归属地网络将本网数据传输给拜访地网络之前对数据进行隐私计算处理,可以保证网内数据不进行跨网传输,在保证多个数据源头提供的数据可被利用的同时,保证敏感数据不暴露给其他网络,有效降低网内数据泄露风险。
如图4所示,本发明实施例还提供一种数据传输方法,该方法由归属地网络的第二网络实体执行。具体的,该方法包括:
步骤401,归属地网络的第二网络实体接收拜访地网络的第一网络实体发送的数据收集请求消息,其中,在N为大于或者等于2的正整数的情况下,数据收集请求消息包括:拜访地网络的网络地址、N个归属地网络的网络地址和N个归属地网络的优先级;在N为1的情况下,数据收集请求消息包括:拜访地网络的网络地址和归属地网络的网络地址;
其中,第二网络实体具有网络功能,也就是第二网络实体为NF实体。或者,第二网络实体具有网络分析功能,也就是第二网络实体为NWDAF实体。
第一网络实体具有网络分析功能,也就是第一网络实体为NWDAF实体,拜访地网络的第一网络实体可表示为NWDAFc。
可选地,数据收集请求消息为业务请求(service request)消息或数据检索订阅请求(data retrieval subscribe request)消息。
这里,拜访地网络的网络地址可以是拜访地网络的PLMN ID,归属地网络的网络地址可以是归属地网络的PLMN ID。
归属地网络的优先级的高低可通过赋值的大小表示。可选地,设定一个优先级列表priority list,将表示优先级priority的不同值赋予不同的归属地网络,用于表示N个归属地网络的优先级。比如,将“priority=X(X=1,2,3…)”封装在数据收集请求消息中。
步骤402,归属地网络的第二网络实体获得归属地网络中收集的第二原始数据;
本步骤可具体包括:
在归属地网络的第二网络实体具有网络功能,也就是第二网络实体为NF实体的情况下,第二网络实体获得自身收集的第二原始数据;
或者,在归属地网络的第二网络实体具有网络分析功能,也就是第二网络实体为NWDAF实体的情况下,第二网络实体接收归属地网络中第五网络实体收集的第二原始数据,其中,第五网络实体具有网络功能,也就是第五网络实体为NF实体。
也就是说,在归属地网络的第二网络实体为NF实体,拜访地网络的第一网络实体向该归属地网络的NF实体发送数据收集请求消息的情况下,对应于拜访地网络的NWDAF实体直接进行数据收集(即请求的归属地网络的NF实体是数据源)的模式一。
参见图5,在该模式一种,拜访地网络的NWDAF1在通过各归属地网络的NRF验证后,直接向各归属地网络的NF发送数据收集请求消息;各归属地网络的NF在接收到该数据收集请求消息后,检查请求消息中所携带的PLMN ID,若发现是异网PLMN ID,则各归属地网络的NF将所请求的数据(NF收集的原始数据)分别返回至本网的DPCF,由DPCF间进行安全多方计算处理后,再分别将处理后的数据返回至拜访网络的NWDAF。
而在归属地网络的第二网络实体为NWDAF实体,拜访地网络的第一网络实体向该归属地网络的NWDAF实体发送数据收集请求消息的情况下,对应于拜访地网络的NWDAF实体间接进行数据收集(即拜访地网络的NWDAFc向归属地网络的NWDAFp进行数据请求,NWDAFp再向其他网元请求数据)的模式二。
参见图6,在该模式二中,拜访地网络的NWDAF1通过向归属地网络的NWDAF2与另一归属地网络的NWDAF3发送数据收集请求消息,由各归属地网络的NWDAF代替拜访地网络的NWDAF进行数据的收集(各归属地网络的NWDAF向本网内其他网元请求数据)。在数据收集完成后,各归属地网络的NWDAF将所请求的数据分别返回到本网的DPCF,由DPCF间进行安全多方计算处理后,再分别将处理后的数据返回至拜访网络NWDAF。
步骤403,在根据拜访地网络的网络地址确定归属地网络与拜访地网络为两个不同的公共陆地移动网络,且N为大于或者等于2的正整数的情况下,第二网络实体向归属地网络的第三网络实体发送第二原始数据和N个归属地网络的优先级;其中,第三网络实体用于基于第一原始数据执行安全多方计算,获得第一数据,安全多方计算的参与方包括各个归属地网络的第三网络实体,安全多方计算流程基于N个归属地网络的优先级发起;
或者,在根据拜访地网络的网络地址确定归属地网络与拜访地网络为两个不同的公共陆地移动网络,且N为1的情况下,第二网络实体向归属地网络的第三网络实体发送第二原始数据,其中,第三网络实体用于基于第二原始数据进行数据安全处理,获得第一数据。
可选地,第三网络实体具有数据隐私计算功能,也就是第三网络实体为DPCF实体。这里,在归属地网络为多个(大于或者等于2)的情况下,各归属地网络将本网数据传输给拜访地网络的第一网络实体之前对数据执行安全多方计算处理。这样可以保证网内数据不进行跨网传输。
第一数据是归属地网络的第三网络实体基于第一原始数据执行安全多方计算后获得的,可以理解为第一数据是归属地网络的第三网络实体基于第二原始数据,或者基于第二原始数据和该归属地网络的第三网络实体与其他归属地网络的第三网络实体通过安全多方计算流程之间的数据交互获得的其他归属地网络传输的数据,执行隐私计算后获得的。由于N个归属地网络应用一套隐私计算流程,能够在拜访地网络收集完成数据后,保证多个数据源头提供的数据可被利用,同时由于数据经过了隐私计算处理,还可以保证敏感数据不暴露给其他网络,有效降低网内数据泄露风险。
在N为1的情况下,说明拜访地网络的第一网络实体仅向一个归属地网络的第二网络实体发送数据收集请求消息,也就没有归属地网络的优先级之说了,因此第一数据是归属地网络的第三网络实体(DPCF实体)基于本地采集的第二原始数据进行本地安全计算处理后获得的。这样,由于数据经过了隐私计算处理,也可以保证敏感数据不暴露给其他网络,有效降低网内数据泄露风险。
可选地,在数据收集请求消息为数据检索订阅请求消息情况下,若第二网络实体具有网络数据分析功能,则第二网络实体在第四网络实体注册有数据检索服务,第四网络实体具有网络存储功能。
该情况对应拜访地网络的第一网络实体(NWDAF实体)向归属地网络的第二网络实体(该实施例中为NWDAF实体)进行数据收集请求,归属地网络的NWDAF再向本网络内的其他网元(比如NF实体)请求数据,该场景下归属地网络的NWDAF实体需要在NRF实体注册新服务,即数据检索服务。
本发明实施例的数据传输方法,归属地网络的第二网络实体接收拜访地网络的第一网络实体发送的数据收集请求消息,其中,在N为大于或者等于2的正整数的情况下,数据收集请求消息包括:拜访地网络的网络地址、N个归属地网络的网络地址和N个归属地网络的优先级;在N为1的情况下,数据收集请求消息包括:拜访地网络的网络地址和归属地网络的网络地址;第二网络实体获得归属地网络中收集的第二原始数据;在根据拜访地网络的网络地址确定归属地网络与拜访地网络为两个不同的公共陆地移动网络,且N为大于或者等于2的正整数的情况下,第二网络实体向归属地网络的第三网络实体发送第二原始数据和N个归属地网络的优先级;其中,第三网络实体用于基于第一原始数据执行安全多方计算,获得第一数据,安全多方计算的参与方包括各个归属地网络的第三网络实体,安全多方计算流程基于N个归属地网络的优先级发起;或者,在根据拜访地网络的网络地址确定归属地网络与拜访地网络为两个不同的公共陆地移动网络,且N为1的情况下,向归属地网络的第三网络实体发送第二原始数据,其中,第三网络实体用于基于第二原始数据进行数据安全处理,获得第一数据,这样,针对跨网络收集数据的场景,在归属地网络将本网数据传输给拜访地网络之前对数据进行隐私计算处理,可以保证网内数据不进行跨网传输,在保证多个数据源头提供的数据可被利用的同时,保证敏感数据不暴露给其他网络,有效降低网内数据泄露风险。
如图7所示,本发明实施例还提供一种数据传输方法,该方法由归属地网络的第三网络实体执行。具体的,该方法可包括:
步骤701,归属地网络的第三网络实体接收归属地网络的第二网络实体发送的第一原始数据和包括归属地网络的N个归属地网络的优先级,N为大于或者等于2的正整数;并基于第一原始数据执行安全多方计算,获得第一数据,安全多方计算的参与方包括各个归属地网络的第三网络实体,安全多方计算流程基于N个归属地网络的优先级发起;或者,归属地网络的第三网络实体所述归属地网络的第二网络实体发送的第二原始数据,并基于第二原始数据进行数据安全处理,获得第一数据;
可选地,第三网络实体具有数据隐私计算功能,也就是第三网络实体为DPCF实体。
第二网络实体具有网络功能,也就是第二网络实体为NF实体。或者,第二网络实体具有网络分析功能,也就是第二网络实体为NWDAF实体。
需要说明的是,在归属地网络为多个(大于或者等于2)的情况下,各归属地网络将本网数据传输给拜访地网络的第一网络实体之前对数据执行安全多方计算处理,这样可以保证网内数据不进行跨网传输。
第一数据是归属地网络的第三网络实体基于第一原始数据执行安全多方计算后获得的,可以理解为第一数据是归属地网络的第三网络实体基于第二原始数据,或者基于第二原始数据和该归属地网络的第三网络实体与其他归属地网络的第三网络实体通过安全多方计算流程之间的数据交互获得的其他归属地网络传输的数据,执行隐私计算后获得的。
安全多方计算流程基于N个归属地网络的优先级发起;具体的,由优先级高的归属地网络的第三网络实体,向优先级低的归属地网络的第三网络实体,发起安全多方计算的数据交互请求;在不同归属地的第三网络实体间建立通信后,再根据具体的算法和函数进行后续的安全多方计算流程。当然这里仅为一个示例,也可以是按照预设的优先级规则,通过归属地网络的第三网络实体发起安全多方计算的数据交互请求。这里不做具体限定。这样,由于N个归属地网络应用一套隐私计算流程,能够在拜访地网络收集完成数据后,保证多个数据源头提供的数据可被利用,同时由于数据经过了隐私计算处理,还可以保证敏感数据不暴露给其他网络,有效降低网内数据泄露风险。
需要说明的是,在N为1的情况下,说明拜访地网络的第一网络实体仅向一个归属地网络的第二网络实体发送数据收集请求消息,也就没有归属地网络的优先级之说了,因此第一数据是归属地网络的第三网络实体(DPCF实体)基于本地采集的第二原始数据进行本地安全计算处理后获得的。这样,由于数据经过了隐私计算处理,也可以保证敏感数据不暴露给其他网络,有效降低网内数据泄露风险。
步骤702,归属地网络的第三网络实体向拜访地网络的第一网络实体发送第一数据,其中,拜访地网络与各个归属地网络属于不同的公共陆地移动网络。
需要说明的是,拜访地网络的第一网络实体(NWDAF实体)还具有数据隐私计算功能,可通过与DPCF合设或其他方式具备数据隐私计算功能。
本发明实施例的数据传输方法,通过归属地网络的第三网络实体接收归属地网络的第二网络实体发送的第二原始数据和包括归属地网络的N个归属地网络的优先级,N为大于或者等于2的正整数;并基于第一原始数据执行安全多方计算,获得第一数据,安全多方计算的参与方包括各个归属地网络的第三网络实体,安全多方计算流程基于N个归属地网络的优先级发起;或者,接收归属地网络的第二网络实体发送的第二原始数据,并基于第二原始数据进行数据安全处理,获得第一数据;归属地网络的第三网络实体向拜访地网络的第一网络实体发送第一数据,其中,拜访地网络与各个归属地网络属于不同的公共陆地移动网络,这样,针对跨网络收集数据的场景,在归属地网络将本网数据传输给拜访地网络之前对数据进行隐私计算处理,可以保证网内数据不进行跨网传输,在保证多个数据源头提供的数据可被利用的同时,保证敏感数据不暴露给其他网络,有效降低网内数据泄露风险。
通过下述实施例说明拜访地网络的NWDAF从N大于或者等于2即多个归属地网络收集数据的情况下,本发明方法的实现过程。
实施例二
参见图8,需要说明的是,本实施例对应于拜访地网络的NWDAF实体直接进行数据收集的模式一。该实施例中归属地网络PLMN2的优先级高于归属地网络PLMN3。其中,该实施例中的数据收集请求消息是业务请求service request消息。
1a.拜访地网络PLMN1的NWDAFc向归属地网络PLMN2的hNRF1发送token request消息;
其中,该token request消息包括NF consumer type、target NF type、expectedNF Service name以及requested data type。
1b.拜访地网络PLMN1的NWDAFc向归属地网络PLMN3的hNRF2发起token request消息;
其中,该token request消息包括NF consumer type、target NF type、expectedNF Service name以及requested data type。
2a.归属地网络PLMN2的hNRF1验证requested data type,并根据在根据本地策略决定可以将所请求的数据类型对应的数据返回至拜访地网络PLMN1的NWDAFc的情况下,确定验证通过,为NWDAFc进行授权。
2b.归属地网络PLMN3的hNRF2验证requested data type,并根据在根据本地策略决定可以将所请求的数据类型对应的数据返回至拜访地网络PLMN1的NWDAFc的情况下,确定验证通过,为NWDAFc进行授权。
3a.归属地网络PLMN2的hNRF1向拜访地网络PLMN1的NWDAFc发送Token_Getresponse消息,该消息中包括授权信息Access Token。
3b.归属地网络PLMN3的hNRF2向拜访地网络PLMN1的NWDAFc发送Token_Getresponse消息,该消息中包括授权信息Access Token。
4a.拜访地网络PLMN1的NWDAFc向归属地网络PLMN2的NF1发送数据收集请求消息,该数据收集请求消息包括Access Token、拜访地网络所属的PLMN ID以及归属地网络的优先级priority indicator;
这里,NF1收到数据收集请求消息后返回OK消息给NWDAFc。
4b.拜访地网络PLMN1的NWDAFc向归属地网络PLMN3的NF2发送数据收集请求消息,该数据收集请求消息包括Access Token、拜访地网络所属的PLMN ID以及归属地网络的优先级priority indicator;
这里,NF2收到数据收集请求消息后返回OK消息给NWDAFc。
5a.归属地网络PLMN2的NF1验证数据收集请求消息;
5b.归属地网络PLMN3的NF2验证数据收集请求消息;
6a.归属地网络PLMN2的NF1在验证发现数据收集请求消息的请求方是其他PLMN,则将NF1侧采集的未经处理的数据和归属地网络的优先级priority indicator发送至归属地网络PLMN2的DPCF1;
这里,归属地网络PLMN2的DPCF1返回OK消息至NF1。
6b.归属地网络PLMN3的NF2在验证发现数据收集请求消息的请求方是其他PLMN,则将NF2侧采集的未经处理的数据和归属地网络的优先级priority indicator发送至归属地网络PLMN3的DPCF2;
这里,归属地网络PLMN3的DPCF2返回OK消息至NF2。
7.归属地网络PLMN2的DPCF1根据收到的priority indicator对优先级低的归属地网络PLMN3的DPCF2发起安全多方计算流程。
这里,安全多方计算应理解为隐私计算,隐私计算的参与方包括DPCF1和DPCF2,安全多方计算流程基于归属地网络PLMN2和PLMN3的优先级发起,具体的,由优先级高的归属地网络PLMN2向优先级低的归属地网络PLMN3安全多方计算的数据交互请求;在不同归属地的第三网络实体间建立通信后,再根据具体的算法和函数进行后续的安全多方计算流程。
8a.归属地网络PLMN2的DPCF1将处理过的数据返回给拜访地网络PLMN1的NWDAFc;
拜访地网络PLMN1的NWDAFc收到处理过的数据返回OK消息至DPCF1。
8b.归属地网络PLMN3的DPCF2将处理后的数据返回给拜访地网络PLMN1的NWDAFc。
拜访地网络PLMN1的NWDAFc收到处理过的数据返回OK消息至DPCF2。
实施例三
参见图9,需要说明的是,本实施例对应于拜访地网络的NWDAF实体间接进行数据收集的模式二。该实施例中归属地网络PLMN2的优先级高于归属地网络PLMN3。其中,该实施例中的数据收集请求消息是业务请求service request消息。
1a.拜访地网络PLMN1的NWDAFc向归属地网络PLMN2的hNRF1发起token request消息;
其中,该token request消息包括NF consumer type、target NF type、expectedNF Service name以及requested data type。
1b.拜访地网络PLMN1的NWDAFc向归属地网络PLMN3的hNRF2发起token request消息;
其中,该token request消息包括NF consumer type、target NF type、expectedNF Service name以及requested data type。
2a.归属地网络PLMN2的hNRF1验证requested data type,并根据在根据本地策略决定可以将所请求的数据类型对应的数据返回至拜访地网络PLMN1的NWDAFc的情况下,确定验证通过,为NWDAFc进行授权。
2b.归属地网络PLMN3的hNRF2验证requested data type,并根据在根据本地策略决定可以将所请求的数据类型对应的数据返回至拜访地网络PLMN1的NWDAFc的情况下,确定验证通过,为NWDAFc进行授权。
3a.归属地网络PLMN2的hNRF1向拜访地网络PLMN1的NWDAFc发送Token_Getresponse消息,该消息中包括授权信息Access Token。
3b.归属地网络PLMN3的hNRF2向拜访地网络PLMN1的NWDAFc发送Token_Getresponse消息,该消息中包括授权信息Access Token。
4a.拜访地网络PLMN1的NWDAFc向归属地网络PLMN2的NWDAF1发送数据收集请求消息,该数据收集请求消息包括Access Token、拜访地网络所属的PLMN ID以及归属地网络的优先级priority indicator;
这里,NWDAF1收到数据收集请求消息后返回OK消息给NWDAFc。
4b.拜访地网络PLMN1的NWDAFc向归属地网络PLMN3的NWDAF2发送数据收集请求消息,该数据收集请求消息包括Access Token、拜访地网络所属的PLMN ID以及归属地网络的优先级priority indicator;
这里,NWDAF2收到数据收集请求消息后返回OK消息给NWDAFc。
5a.归属地网络PLMN2的NWDAF1验证数据收集请求消息;
5b.归属地网络PLMN3的NWDAF2验证数据收集请求消息;
6a.归属地网络PLMN2的NWDAF1在验证发现数据收集请求消息的请求方是其他PLMN,则NWDAF1向归属地网络PLMN2的NF1收集数据;
6b.归属地网络PLMN3的NWDAF2在验证发现数据收集请求消息的请求方是其他PLMN,则NWDAF2向归属地网络PLMN3的NF2收集数据;
7a.归属地网络PLMN2的NWDAF1将获得的未经处理的数据(raw data)和归属地网络的优先级priority indicator发送至归属地网络PLMN2的DPCF1;
这里,DPCF1收到未经处理的数据和归属地网络的优先级priority indicator返回OK消息至NWDAF1。
7b.归属地网络PLMN3的NWDAF2将获得的未经处理的数据和归属地网络的优先级priority indicator发送至归属地网络PLMN3的DPCF2;
这里,DPCF2收到未经处理的数据和归属地网络的优先级priority indicator返回OK消息至NWDAF2。
8.归属地网络PLMN2的DPCF1根据收到的priority indicator对优先级低的归属地网络PLMN3的DPCF2发起安全多方计算流程。
这里,安全多方计算应理解为隐私计算,隐私计算的参与方包括DPCF1和DPCF2,安全多方计算流程基于归属地网络PLMN2和PLMN3的优先级发起,具体的,由优先级高的归属地网络PLMN2向优先级低的归属地网络PLMN3安全多方计算的数据交互请求;在不同归属地的第三网络实体间建立通信后,再根据具体的算法和函数进行后续的安全多方计算流程。
9a.归属地网络PLMN2的DPCF1将处理过的数据(proccessed data)返回给拜访地网络PLMN1的NWDAFc;
拜访地网络PLMN1的NWDAFc收到处理过的数据返回OK消息至DPCF1。
9b.归属地网络PLMN3的DPCF2将处理后的数据返回给拜访地网络PLMN1的NWDAFc。
拜访地网络PLMN1的NWDAFc收到处理过的数据返回OK消息至DPCF2。
实施例四
参见图10,需要说明的是,本实施例对应于拜访地网络的NWDAF实体间接进行数据收集的模式二。其中,该实施例中的数据收集请求消息是数据检索订阅请求dataretrieval subscribe request。该场景下归属地网络的NWDAF实体需要在NRF实体注册新服务,即数据检索服务。
1a.归属地网络PLMN2的NWDAF1在该归属地网络PLMN2的NRF1注册并可调用数据检索服务;
1b.归属地网络PLMN3的NWDAF2在该归属地网络PLMN3的NRF2注册并可调用数据检索服务;
2a.拜访地网络PLMN1的NWDAFc向归属地网络PLMN2的NWDAF1发送数据收集请求消息,该数据收集请求消息包括target NFs、target UEs、UE groups、requested data、拜访地网络所属的PLMN ID以及归属地网络的优先级priority indicator;
2b.拜访地网络PLMN1的NWDAFc向归属地网络PLMN3的NWDAF2发送数据收集请求消息,该数据收集请求消息包括target NFs、target UEs、UE groups、requested data、拜访地网络所属的PLMN ID以及归属地网络的优先级priority indicator;
3a.归属地网络PLMN2的NWDAF1验证数据收集请求消息;
这里,NWDAF1验证通过后,向拜访地网络PLMN1的NWDAFc返回OK消息。
3b.归属地网络PLMN3的NWDAF2验证数据收集请求消息;
这里,NWDAF2验证通过后,向拜访地网络PLMN1的NWDAFc返回OK消息。
4a.归属地网络PLMN2的NWDAF1在验证发现数据收集请求消息的请求方是其他PLMN,则NWDAF1向归属地网络PLMN2的NF1收集数据;
4b.归属地网络PLMN3的NWDAF2在验证发现数据收集请求消息的请求方是其他PLMN,则NWDAF2向归属地网络PLMN3的NF2收集数据;
5a.归属地网络PLMN2的NWDAF1将获得的未经处理的数据和归属地网络的优先级priority indicator发送至归属地网络PLMN2的DPCF1;
这里,DPCF1收到未经处理的数据和归属地网络的优先级priority indicator返回OK消息至NWDAF1。
5b.归属地网络PLMN3的NWDAF2将获得的未经处理的数据和归属地网络的优先级priority indicator发送至归属地网络PLMN3的DPCF2;
这里,DPCF2收到未经处理的数据和归属地网络的优先级priority indicator返回OK消息至NWDAF2。
6.归属地网络PLMN2的DPCF1根据收到的priority indicator对优先级低的归属地网络PLMN3的DPCF2发起安全多方计算流程。
这里,安全多方计算应理解为隐私计算,隐私计算的参与方包括DPCF1和DPCF2,安全多方计算流程基于归属地网络PLMN2和PLMN3的优先级发起,具体的,由优先级高的归属地网络PLMN2向优先级低的归属地网络PLMN3安全多方计算的数据交互请求;在不同归属地的第三网络实体间建立通信后,再根据具体的算法和函数进行后续的安全多方计算流程。
7a.归属地网络PLMN2的DPCF1将处理过的数据返回给拜访地网络PLMN1的NWDAFc;
拜访地网络PLMN1的NWDAFc收到处理过的数据返回OK消息至DPCF1。
7b.归属地网络PLMN3的DPCF2将处理后的数据返回给拜访地网络PLMN1的NWDAFc。
拜访地网络PLMN1的NWDAFc收到处理过的数据返回OK消息至DPCF2。
如图11所示,本发明实施例还提供一种数据传输装置,该装置应用于拜访地网络的第一网络实体,该装置包括:
第一发送模块1101,用于向N个归属地网络的第二网络实体发送数据收集请求消息,其中,在N为大于或者等于2的正整数的情况下,数据收集请求消息包括:拜访地网络的网络地址、N个归属地网络的网络地址和N个归属地网络的优先级,拜访地网络与各个归属地网络属于不同的公共陆地移动网络;
第一接收模块1102,用于接收至少一个归属地网络的第三网络实体发送的第一数据,其中,第一数据是归属地网络的第三网络实体基于第一原始数据执行安全多方计算后获得的,安全多方计算的参与方包括各个归属地网络的第三网络实体,安全多方计算流程基于N个归属地网络的优先级发起;或者,在N为1的情况下,数据收集请求消息包括:拜访地网络的网络地址和归属地网络的网络地址;第一数据是基于第二原始数据进行数据安全处理后获得的,第二原始数据是归属地网络中收集的数据。
可选地,本发明实施例的数据传输装置还包括:
第四发送模块,用于在数据收集请求消息为业务请求消息的情况下,向N个归属地网络的第四网络实体发送身份认证请求消息,身份认证请求消息包括请求的数据类型,其中,请求的数据类型用于第四网络实体确定是否向拜访地网络返回数据;
第四接收模块,用于接收第四网络实体返回的身份认证响应消息;
其中,在身份认证响应消息表示身份认证授权成功的情况下,数据收集请求消息包括授权信息。
可选地,数据收集请求消息为业务请求消息或数据检索订阅请求消息。
可选地,在数据收集请求消息为数据检索订阅请求消息情况下,若第二网络实体具有网络数据分析功能,则第二网络实体在第四网络实体注册有数据检索服务,第四网络实体具有网络存储功能。
本发明实施例的数据传输装置,通过向N个归属地网络的第二网络实体发送数据收集请求消息,其中,在N为大于或者等于2的正整数的情况下,数据收集请求消息包括:拜访地网络的网络地址、N个归属地网络的网络地址和N个归属地网络的优先级,拜访地网络与各个归属地网络属于不同的公共陆地移动网络;接收至少一个归属地网络的第三网络实体发送的第一数据,其中,第一数据是归属地网络的第三网络实体基于第一原始数据执行安全多方计算后获得的,安全多方计算的参与方包括各个归属地网络的第三网络实体,安全多方计算流程基于N个归属地网络的优先级发起;或者在N为1的情况下,数据收集请求消息包括:拜访地网络的网络地址和归属地网络的网络地址;第一数据是基于第二原始数据进行数据安全处理后获得的,第二原始数据是归属地网络中收集的数据,这样,针对跨网络收集数据的场景,在归属地网络将本网数据传输给拜访地网络之前对数据进行隐私计算处理,可以保证网内数据不进行跨网传输,在保证多个数据源头提供的数据可被利用的同时,保证敏感数据不暴露给其他网络,有效降低网内数据泄露风险。
如图12所示,本发明实施例还提供一种数据传输装置,该装置应用于归属地网络的第二网络实体,该装置可包括:
第二接收模块1201,用于接收拜访地网络的第一网络实体发送的数据收集请求消息,其中,在N为大于或者等于2的正整数的情况下,数据收集请求消息包括:拜访地网络的网络地址、N个归属地网络的网络地址和N个归属地网络的优先级;在N为1的情况下,数据收集请求消息包括:拜访地网络的网络地址和归属地网络的网络地址;
第一获取模块1202,用于获得归属地网络中收集的第二原始数据;
第二发送模块1203,用于在根据拜访地网络的网络地址确定归属地网络与拜访地网络为两个不同的公共陆地移动网络,且N为大于或者等于2的正整数的情况下,向归属地网络的第三网络实体发送第二原始数据和N个归属地网络的优先级;其中,第三网络实体用于基于第一原始数据执行安全多方计算,获得第一数据,安全多方计算的参与方包括各个归属地网络的第三网络实体,安全多方计算流程基于N个归属地网络的优先级发起;或者,在根据拜访地网络的网络地址确定归属地网络与拜访地网络为两个不同的公共陆地移动网络,且N为1的情况下,向归属地网络的第三网络实体发送第二原始数据,其中,第三网络实体用于基于第二原始数据进行数据安全处理,获得第一数据。
可选地,第一获取模块1202可包括:
第一获取单元,用于在第二网络实体具有网络功能的情况下,获得自身收集的第二原始数据。
可选地,第一获取模块可包括:
第一接收单元,用于在第二网络实体具有网络数据分析功能的情况下,接收归属地网络中第五网络实体收集的第二原始数据。
可选地,数据收集请求消息为业务请求消息或数据检索订阅请求消息。
可选地,在数据收集请求消息为数据检索订阅请求消息情况下,若第二网络实体具有网络数据分析功能,则第二网络实体在第四网络实体注册有数据检索服务,第四网络实体具有网络存储功能。
本发明实施例的数据传输装置,通过接收拜访地网络的第一网络实体发送的数据收集请求消息,其中,在N为大于或者等于2的正整数的情况下,数据收集请求消息包括:拜访地网络的网络地址、N个归属地网络的网络地址和N个归属地网络的优先级;在N为1的情况下,数据收集请求消息包括:拜访地网络的网络地址和归属地网络的网络地址;获得归属地网络中收集的第二原始数据;在根据拜访地网络的网络地址确定归属地网络与拜访地网络为两个不同的公共陆地移动网络,且N为大于或者等于2的正整数的情况下,向归属地网络的第三网络实体发送第二原始数据和N个归属地网络的优先级;其中,第三网络实体用于基于第一原始数据执行安全多方计算,获得第一数据,安全多方计算的参与方包括各个归属地网络的第三网络实体,安全多方计算流程基于N个归属地网络的优先级发起;或者,在根据拜访地网络的网络地址确定归属地网络与拜访地网络为两个不同的公共陆地移动网络,且N为1的情况下,第二网络实体向归属地网络的第三网络实体发送第二原始数据,其中,第三网络实体用于基于第二原始数据进行数据安全处理,获得第一数据,这样,针对跨网络收集数据的场景,在归属地网络将本网数据传输给拜访地网络之前对数据进行隐私计算处理,可以保证网内数据不进行跨网传输,在保证多个数据源头提供的数据可被利用的同时,保证敏感数据不暴露给其他网络,有效降低网内数据泄露风险。
如图13所示,本发明实施例还提供一种数据传输装置,该装置应用于归属地网络的第三网络实体,该装置可包括:
第三接收模块1301,用于接收归属地网络的第二网络实体发送的第一原始数据和包括归属地网络的N个归属地网络的优先级,N为大于或者等于2的正整数;
隐私计算模块1302,用于基于第一原始数据执行安全多方计算,获得第一数据,安全多方计算的参与方包括各个归属地网络的第三网络实体,安全多方计算流程基于N个归属地网络的优先级发起;
或者,第三接收模块1301还用于接收归属地网络的第二网络实体发送的第二原始数据;
隐私计算模块1302还用于基于第二原始数据进行数据安全处理,获得第一数据;
第三发送模块1303,用于向拜访地网络的第一网络实体发送第一数据,其中,拜访地网络与各个归属地网络属于不同的公共陆地移动网络。
本发明实施例的数据传输装置,通过接收归属地网络的第二网络实体发送的第一原始数据和包括归属地网络的N个归属地网络的优先级,N为大于或者等于2的正整数;并基于第一原始数据执行安全多方计算,获得第一数据,安全多方计算的参与方包括各个归属地网络的第三网络实体,安全多方计算流程基于N个归属地网络的优先级发起;或者,接收归属地网络的第二网络实体发送的第二原始数据,并基于第二原始数据进行数据安全处理,获得第一数据,这样,针对跨网络收集数据的场景,在归属地网络将本网数据传输给拜访地网络之前对数据进行隐私计算处理,可以保证网内数据不进行跨网传输,在保证多个数据源头提供的数据可被利用的同时,保证敏感数据不暴露给其他网络,有效降低网内数据泄露风险。
为了更好的实现上述目的,如图14所示,本发明实施例还提供一种网络实体,网络实体为拜访地网络的第一网络实体,包括处理器1400和收发器1410,所述收发器1410用于执行如下过程:
向N个归属地网络的第二网络实体发送数据收集请求消息,其中,在N为大于或者等于2的正整数的情况下,数据收集请求消息包括:拜访地网络的网络地址、N个归属地网络的网络地址和N个归属地网络的优先级,拜访地网络与各个归属地网络属于不同的公共陆地移动网络;
接收至少一个归属地网络的第三网络实体发送的第一数据,其中,第一数据是归属地网络的第三网络实体基于第一原始数据执行安全多方计算后获得的,安全多方计算的参与方包括各个归属地网络的第三网络实体,安全多方计算流程基于N个归属地网络的优先级发起;或者,在N为1的情况下,数据收集请求消息包括:拜访地网络的网络地址和归属地网络的网络地址;第一数据是基于第二原始数据进行数据安全处理后获得的,第二原始数据是归属地网络中收集的数据。
可选地,收发器1410还用于:
在数据收集请求消息为业务请求消息的情况下,向N个归属地网络的第四网络实体发送身份认证请求消息,身份认证请求消息包括请求的数据类型,其中,请求的数据类型用于第四网络实体确定是否向拜访地网络返回数据;
接收第四网络实体返回的身份认证响应消息;
其中,在身份认证响应消息表示身份认证授权成功的情况下,数据收集请求消息包括授权信息。
可选地,数据收集请求消息为业务请求消息或数据检索订阅请求消息。
可选地,在数据收集请求消息为数据检索订阅请求消息情况下,若第二网络实体具有网络数据分析功能,则第二网络实体在第四网络实体注册有数据检索服务,第四网络实体具有网络存储功能。
本发明实施例的网络实体,通过通过向N个归属地网络的第二网络实体发送数据收集请求消息,其中,在N为大于或者等于2的正整数的情况下,数据收集请求消息包括:拜访地网络的网络地址、N个归属地网络的网络地址和N个归属地网络的优先级,拜访地网络与各个归属地网络属于不同的公共陆地移动网络;接收至少一个归属地网络的第三网络实体发送的第一数据,其中,第一数据是归属地网络的第三网络实体基于第一原始数据执行安全多方计算后获得的,安全多方计算的参与方包括各个归属地网络的第三网络实体,安全多方计算流程基于N个归属地网络的优先级发起;或者在N为1的情况下,数据收集请求消息包括:拜访地网络的网络地址和归属地网络的网络地址;第一数据是基于第二原始数据进行数据安全处理后获得的,第二原始数据是归属地网络中收集的数据,这样,针对跨网络收集数据的场景,在归属地网络将本网数据传输给拜访地网络之前对数据进行隐私计算处理,可以保证网内数据不进行跨网传输,在保证多个数据源头提供的数据可被利用的同时,保证敏感数据不暴露给其他网络,有效降低网内数据泄露风险。
如图15所示,本发明实施例还提供一种网络实体,网络实体为归属地网络的第二网络实体,包括处理器1500和收发器1510,所述处理器1500用于执行如下过程:
通过收发器1510接收拜访地网络的第一网络实体发送的数据收集请求消息,其中,在N为大于或者等于2的正整数的情况下,数据收集请求消息包括:拜访地网络的网络地址、N个归属地网络的网络地址和N个归属地网络的优先级;在N为1的情况下,所述数据收集请求消息包括:所述拜访地网络的网络地址和所述归属地网络的网络地址;
获得归属地网络中收集的第二原始数据;
在根据拜访地网络的网络地址确定归属地网络与拜访地网络为两个不同的公共陆地移动网络,且N为大于或者等于2的正整数的情况下,通过收发器1510向归属地网络的第三网络实体发送第二原始数据和N个归属地网络的优先级;其中,第三网络实体用于基于第一原始数据执行安全多方计算,获得第一数据,安全多方计算的参与方包括各个归属地网络的第三网络实体,安全多方计算流程基于N个归属地网络的优先级发起;
或者,在根据拜访地网络的网络地址确定归属地网络与拜访地网络为两个不同的公共陆地移动网络,且N为1的情况下,通过收发器1510向归属地网络的第三网络实体发送第二原始数据,其中,第三网络实体用于基于第二原始数据进行数据安全处理,获得第一数据。
可选地,处理器1500还用于:
在第二网络实体具有网络功能的情况下,获得自身收集的第二原始数据。
可选地,收发器1510还用于:
在第二网络实体具有网络数据分析功能的情况下,接收归属地网络中第五网络实体收集的第二原始数据。
可选地,数据收集请求消息为业务请求消息或数据检索订阅请求消息。
可选地,在数据收集请求消息为数据检索订阅请求消息情况下,若第二网络实体具有网络数据分析功能,则第二网络实体在第四网络实体注册有数据检索服务,第四网络实体具有网络存储功能。
本发明实施例的网络实体,通过接收拜访地网络的第一网络实体发送的数据收集请求消息,其中,在N为大于或者等于2的正整数的情况下,数据收集请求消息包括:拜访地网络的网络地址、N个归属地网络的网络地址和N个归属地网络的优先级;在N为1的情况下,数据收集请求消息包括:拜访地网络的网络地址和归属地网络的网络地址;获得归属地网络中收集的第二原始数据;在根据拜访地网络的网络地址确定归属地网络与拜访地网络为两个不同的公共陆地移动网络,且N为大于或者等于2的正整数的情况下,向归属地网络的第三网络实体发送第二原始数据和N个归属地网络的优先级;其中,第三网络实体用于基于第一原始数据执行安全多方计算,获得第一数据,安全多方计算的参与方包括各个归属地网络的第三网络实体,安全多方计算流程基于N个归属地网络的优先级发起;或者,在根据拜访地网络的网络地址确定归属地网络与拜访地网络为两个不同的公共陆地移动网络,且N为1的情况下,向归属地网络的第三网络实体发送第二原始数据,其中,第三网络实体用于基于第二原始数据进行数据安全处理,获得第一数据,这样,针对跨网络收集数据的场景,在归属地网络将本网数据传输给拜访地网络之前对数据进行隐私计算处理,可以保证网内数据不进行跨网传输,在保证多个数据源头提供的数据可被利用的同时,保证敏感数据不暴露给其他网络,有效降低网内数据泄露风险。
如图16所示,本发明实施例还提供一种网络实体,该网络实体为归属地网络的第三网络实体,包括处理器1600和收发器1610,所述处理器1600用于执行如下过程:
通过收发器1610接收归属地网络的第二网络实体发送的第二原始数据和包括归属地网络的N个归属地网络的优先级,N为大于或者等于2的正整数;并基于第一原始数据执行安全多方计算,获得第一数据,安全多方计算的参与方包括各个归属地网络的第三网络实体,安全多方计算流程基于N个归属地网络的优先级发起;
或者,通过收发器1610接收所述归属地网络的第二网络实体发送的第二原始数据,并基于第二原始数据进行数据安全处理,获得第一数据;
通过收发器1610向拜访地网络的第一网络实体发送第一数据,其中,拜访地网络与各个归属地网络属于不同的公共陆地移动网络。
本发明实施例的网络实体,通过接收归属地网络的第二网络实体发送的第二原始数据和包括归属地网络的N个归属地网络的优先级,N为大于或者等于2的正整数;并基于第一原始数据执行安全多方计算,获得第一数据,安全多方计算的参与方包括各个归属地网络的第三网络实体,安全多方计算流程基于N个归属地网络的优先级发起;或者,接收归属地网络的第二网络实体发送的第二原始数据,并基于第二原始数据进行数据安全处理,获得第一数据;向拜访地网络的第一网络实体发送第一数据,其中,拜访地网络与各个归属地网络属于不同的公共陆地移动网络,这样,针对跨网络收集数据的场景,在归属地网络将本网数据传输给拜访地网络之前对数据进行隐私计算处理,可以保证网内数据不进行跨网传输,在保证多个数据源头提供的数据可被利用的同时,保证敏感数据不暴露给其他网络,有效降低网内数据泄露风险。
本发明实施例还提供一种网络实体,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现如上所述的数据传输方法实施例中的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上所述的数据传输方法实施例中的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,所述的计算机可读存储介质,如只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可读存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储介质中,使得存储在该计算机可读存储介质中的指令产生包括指令装置的纸制品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他科编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (18)
1.一种数据传输方法,其特征在于,包括:
拜访地网络的第一网络实体向N个归属地网络的第二网络实体发送数据收集请求消息,其中,在N为大于或者等于2的正整数的情况下,所述数据收集请求消息包括:所述拜访地网络的网络地址、所述N个归属地网络的网络地址和所述N个归属地网络的优先级,所述拜访地网络与各个归属地网络属于不同的公共陆地移动网络;
所述第一网络实体接收至少一个归属地网络的第三网络实体发送的第一数据,其中,所述第一数据是所述归属地网络的第三网络实体基于第一原始数据执行安全多方计算后获得的,所述安全多方计算的参与方包括各个归属地网络的第三网络实体,安全多方计算流程基于N个归属地网络的优先级发起;
或者,在N为1的情况下,所述数据收集请求消息包括:所述拜访地网络的网络地址和所述归属地网络的网络地址;
所述第一数据是基于第二原始数据进行数据安全处理后获得的,所述第二原始数据是所述归属地网络中收集的数据。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在数据收集请求消息为业务请求消息的情况下,所述第一网络实体向N个归属地网络的第四网络实体发送身份认证请求消息,所述身份认证请求消息包括请求的数据类型,其中,所述请求的数据类型用于所述第四网络实体确定是否向所述拜访地网络返回数据;
所述第一网络实体接收所述第四网络实体返回的身份认证响应消息;
其中,在所述身份认证响应消息表示身份认证授权成功的情况下,所述数据收集请求消息包括授权信息。
3.根据权利要求1所述的方法,其特征在于,所述数据收集请求消息为业务请求消息或数据检索订阅请求消息。
4.根据权利要求1所述的方法,其特征在于,在所述数据收集请求消息为数据检索订阅请求消息情况下,若所述第二网络实体具有网络数据分析功能,则所述第二网络实体在第四网络实体注册有数据检索服务,所述第四网络实体具有网络存储功能。
5.一种数据传输方法,其特征在于,包括:
归属地网络的第二网络实体接收拜访地网络的第一网络实体发送的数据收集请求消息,其中,在N为大于或者等于2的正整数的情况下,所述数据收集请求消息包括:所述拜访地网络的网络地址、所述N个归属地网络的网络地址和所述N个归属地网络的优先级;在N为1的情况下,所述数据收集请求消息包括:所述拜访地网络的网络地址和所述归属地网络的网络地址;
所述第二网络实体获得所述归属地网络中收集的第二原始数据;
在根据所述拜访地网络的网络地址确定所述归属地网络与所述拜访地网络为两个不同的公共陆地移动网络,且N为大于或者等于2的正整数的情况下,所述第二网络实体向所述归属地网络的第三网络实体发送所述第二原始数据和所述N个归属地网络的优先级;其中,所述第三网络实体用于基于第一原始数据执行安全多方计算,获得第一数据,所述安全多方计算的参与方包括各个归属地网络的第三网络实体,安全多方计算流程基于N个归属地网络的优先级发起;
或者,在根据所述拜访地网络的网络地址确定所述归属地网络与所述拜访地网络为两个不同的公共陆地移动网络,且N为1的情况下,所述第二网络实体向所述归属地网络的第三网络实体发送所述第二原始数据,其中,所述第三网络实体用于基于所述第二原始数据进行数据安全处理,获得第一数据。
6.根据权利要求5所述的方法,其特征在于,在所述第二网络实体具有网络功能的情况下,所述第二网络实体获得所述归属地网络中收集的第二原始数据,包括:
所述第二网络实体获得自身收集的第二原始数据。
7.根据权利要求5所述的方法,其特征在于,在所述第二网络实体具有网络数据分析功能的情况下,所述第二网络实体获得所述归属地网络中收集的第二原始数据,包括:
所述第二网络实体接收所述归属地网络中第五网络实体收集的第二原始数据。
8.根据权利要求5所述的方法,其特征在于,所述数据收集请求消息为业务请求消息或数据检索订阅请求消息。
9.根据权利要求5所述的方法,其特征在于,在所述数据收集请求消息为数据检索订阅请求消息情况下,若所述第二网络实体具有网络数据分析功能,则所述第二网络实体在第四网络实体注册有数据检索服务,所述第四网络实体具有网络存储功能。
10.一种数据传输方法,其特征在于,包括:
归属地网络的第三网络实体接收所述归属地网络的第二网络实体发送的第二原始数据和包括所述归属地网络的N个归属地网络的优先级,N为大于或者等于2的正整数;并基于第一原始数据执行安全多方计算,获得第一数据,所述安全多方计算的参与方包括各个归属地网络的第三网络实体,安全多方计算流程基于N个归属地网络的优先级发起;
或者,归属地网络的第三网络实体接收所述归属地网络的第二网络实体发送的第二原始数据,并基于所述第二原始数据进行数据安全处理,获得第一数据;
所述归属地网络的第三网络实体向拜访地网络的第一网络实体发送所述第一数据,其中,所述拜访地网络与各个归属地网络属于不同的公共陆地移动网络。
11.一种数据传输装置,应用于拜访地网络的第一网络实体,其特征在于,包括:
第一发送模块,用于向N个归属地网络的第二网络实体发送数据收集请求消息,其中,在N为大于或者等于2的正整数的情况下,所述数据收集请求消息包括:所述拜访地网络的网络地址、所述N个归属地网络的网络地址和所述N个归属地网络的优先级,所述拜访地网络与各个归属地网络属于不同的公共陆地移动网络;
第一接收模块,用于接收至少一个归属地网络的第三网络实体发送的第一数据,其中,所述第一数据是所述归属地网络的第三网络实体基于第一原始数据执行安全多方计算后获得的,所述安全多方计算的参与方包括各个归属地网络的第三网络实体,安全多方计算流程基于N个归属地网络的优先级发起;
或者,在N为1的情况下,所述数据收集请求消息包括:所述拜访地网络的网络地址和所述归属地网络的网络地址;
所述第一数据是基于第二原始数据进行数据安全处理后获得的,所述第二原始数据是所述归属地网络中收集的数据。
12.一种数据传输装置,应用于归属地网络的第二网络实体,其特征在于,包括:
第二接收模块,用于接收拜访地网络的第一网络实体发送的数据收集请求消息,其中,在N为大于或者等于2的正整数的情况下,所述数据收集请求消息包括:所述拜访地网络的网络地址、所述N个归属地网络的网络地址和所述N个归属地网络的优先级,在N为1的情况下,所述数据收集请求消息包括:所述拜访地网络的网络地址和所述归属地网络的网络地址;
第一获取模块,用于获得所述归属地网络中收集的第二原始数据;
第二发送模块,用于在根据所述拜访地网络的网络地址确定所述归属地网络与所述拜访地网络为两个不同的公共陆地移动网络,且N为大于或者等于2的正整数的情况下,向所述归属地网络的第三网络实体发送所述第二原始数据和所述N个归属地网络的优先级;其中,所述第三网络实体用于基于第一原始数据执行安全多方计算,获得第一数据,所述安全多方计算的参与方包括各个归属地网络的第三网络实体,安全多方计算流程基于N个归属地网络的优先级发起;
或者,在根据所述拜访地网络的网络地址确定所述归属地网络与所述拜访地网络为两个不同的公共陆地移动网络,且N为1的情况下,向所述归属地网络的第三网络实体发送所述第二原始数据,其中,所述第三网络实体用于基于所述第二原始数据进行数据安全处理,获得第一数据。
13.一种数据传输装置,应用于归属地网络的第三网络实体,其特征在于,包括:
第三接收模块,用于接收归属地网络的第二网络实体发送的第二原始数据和包括所述归属地网络的N个归属地网络的优先级,N为大于或者等于2的正整数;
隐私计算模块,用于基于第一原始数据执行安全多方计算,获得第一数据,所述安全多方计算的参与方包括各个归属地网络的第三网络实体,安全多方计算流程基于N个归属地网络的优先级发起;
或者,所述第三接收模块还用于接收所述归属地网络的第二网络实体发送的第二原始数据;
所述隐私计算模块还用于基于所述第二原始数据进行数据安全处理,获得第一数据;
第三发送模块,用于向拜访地网络的第一网络实体发送所述第一数据,其中,所述拜访地网络与各个归属地网络属于不同的公共陆地移动网络。
14.一种网络实体,所述网络实体为拜访地网络的第一网络实体,包括处理器和收发器,所述收发器在处理器的控制下接收和发送数据,其特征在于,所述收发器用于执行以下操作:
向N个归属地网络的第二网络实体发送数据收集请求消息,其中,在N为大于或者等于2的正整数的情况下,所述数据收集请求消息包括:所述拜访地网络的网络地址、所述N个归属地网络的网络地址和所述N个归属地网络的优先级,所述拜访地网络与各个归属地网络属于不同的公共陆地移动网络;
接收至少一个归属地网络的第三网络实体发送的第一数据,其中,所述第一数据是所述归属地网络的第三网络实体基于第一原始数据执行安全多方计算后获得的,所述安全多方计算的参与方包括各个归属地网络的第三网络实体,安全多方计算流程基于N个归属地网络的优先级发起;
或者,在N为1的情况下,所述数据收集请求消息包括:所述拜访地网络的网络地址和所述归属地网络的网络地址;
所述第一数据是基于第二原始数据进行数据安全处理后获得的,所述第二原始数据是所述归属地网络中收集的数据。
15.一种网络实体,所述网络实体为归属地网络的第二网络实体,包括处理器和收发器,所述收发器在处理器的控制下接收和发送数据,其特征在于,所述处理器用于执行以下操作:
通过收发器接收拜访地网络的第一网络实体发送的数据收集请求消息,其中,在N为大于或者等于2的正整数的情况下,所述数据收集请求消息包括:所述拜访地网络的网络地址、所述N个归属地网络的网络地址和所述N个归属地网络的优先级;在N为1的情况下,所述数据收集请求消息包括:所述拜访地网络的网络地址和所述归属地网络的网络地址;
获得所述归属地网络中收集的第二原始数据;
在根据所述拜访地网络的网络地址确定所述归属地网络与所述拜访地网络为两个不同的公共陆地移动网络,且N为大于或者等于2的正整数的情况下,通过收发器向所述归属地网络的第三网络实体发送所述第二原始数据和所述N个归属地网络的优先级;其中,所述第三网络实体用于基于第一原始数据执行安全多方计算,获得第一数据,所述安全多方计算的参与方包括各个归属地网络的第三网络实体,安全多方计算流程基于N个归属地网络的优先级发起;
或者,在根据所述拜访地网络的网络地址确定所述归属地网络与所述拜访地网络为两个不同的公共陆地移动网络,且N为1的情况下,通过所述收发器向所述归属地网络的第三网络实体发送所述第二原始数据,其中,所述第三网络实体用于基于所述第二原始数据进行数据安全处理,获得第一数据。
16.一种网络实体,所述网络实体为归属地网络的第三网络实体,包括处理器和收发器,所述收发器在处理器的控制下接收和发送数据,其特征在于,所述处理器用于执行以下操作:
通过收发器接收所述归属地网络的第二网络实体发送的第二原始数据和包括所述归属地网络的N个归属地网络的优先级,N为大于或者等于2的正整数;并基于第一原始数据执行安全多方计算,获得第一数据,所述安全多方计算的参与方包括各个归属地网络的第三网络实体,安全多方计算流程基于N个归属地网络的优先级发起;
或者,通过所述收发器接收所述归属地网络的第二网络实体发送的第二原始数据,并基于所述第二原始数据进行数据安全处理,获得第一数据;
通过收发器向拜访地网络的第一网络实体发送所述第一数据,其中,所述拜访地网络与各个归属地网络属于不同的公共陆地移动网络。
17.一种网络实体,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;其特征在于,所述处理器执行所述程序时实现如权利要求1至4任一项所述的数据传输方法,或者实现如权利要求5至9任一项所述的数据传输方法,或者实现如权利要求10所述的数据传输方法。
18.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至4任一项所述的数据传输方法中的步骤,或者实现如权利要求5至9任一项所述的数据传输方法中的步骤,或者实现如权利要求10所述的数据传输方法中的步骤。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211358887.2A CN117998341A (zh) | 2022-11-01 | 2022-11-01 | 数据传输方法、装置、网络实体及介质 |
PCT/CN2023/123370 WO2024093613A1 (zh) | 2022-11-01 | 2023-10-08 | 数据传输方法、装置、网络实体及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211358887.2A CN117998341A (zh) | 2022-11-01 | 2022-11-01 | 数据传输方法、装置、网络实体及介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117998341A true CN117998341A (zh) | 2024-05-07 |
Family
ID=90896068
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211358887.2A Pending CN117998341A (zh) | 2022-11-01 | 2022-11-01 | 数据传输方法、装置、网络实体及介质 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN117998341A (zh) |
WO (1) | WO2024093613A1 (zh) |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100466846C (zh) * | 2007-01-08 | 2009-03-04 | 华为技术有限公司 | 接入归属地分组数据网络的方法和系统 |
CN109474927B (zh) * | 2017-09-08 | 2022-04-01 | 中国电信股份有限公司 | 信息交互方法、归属网络、用户终端以及信息交互系统 |
CN112584371B (zh) * | 2019-09-30 | 2022-05-10 | 华为技术有限公司 | 漫游信令消息发送的方法、相关设备和通信系统 |
WO2021069057A1 (en) * | 2019-10-07 | 2021-04-15 | Huawei Technologies Co., Ltd. | Network entities for intra and inter plmn roaming |
-
2022
- 2022-11-01 CN CN202211358887.2A patent/CN117998341A/zh active Pending
-
2023
- 2023-10-08 WO PCT/CN2023/123370 patent/WO2024093613A1/zh unknown
Also Published As
Publication number | Publication date |
---|---|
WO2024093613A1 (zh) | 2024-05-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11431695B2 (en) | Authorization method and network element | |
CN113194469B (zh) | 基于区块链的5g无人机跨域身份认证方法、系统及终端 | |
US8706085B2 (en) | Method and apparatus for authenticating communication device | |
DE602004011573T2 (de) | Verbesserungen der authentifikation und autorisierung in heterogenen netzwerken | |
US8555345B2 (en) | User authentication and authorisation in a communications system | |
JP2023553496A (ja) | 第5世代(5g)通信ネットワークにおいてメッセージ検証を実行するための方法、システムおよびコンピュータ可読媒体 | |
CN104980434B (zh) | 基于ims的多媒体广播和多播服务中的安全密钥管理方法 | |
US8914867B2 (en) | Method and apparatus for redirecting data traffic | |
US11627467B2 (en) | Methods, systems, and computer readable media for generating and using single-use OAuth 2.0 access tokens for securing specific service-based architecture (SBA) interfaces | |
CN111865888B (zh) | 一种代理订阅的授权方法及装置 | |
US11895501B2 (en) | Methods, systems, and computer readable media for automatic key management of network function (NF) repository function (NRF) access token public keys for 5G core (5GC) authorization to mitigate security attacks | |
CN112910861A (zh) | 基于群组认证和分段鉴权的电力物联网终端设备认证方法 | |
CN111447616B (zh) | 一种面向lte-r移动中继的组认证及密钥协商方法 | |
CN117280656A (zh) | 用于隐藏网络功能实例标识符的方法、系统和计算机可读介质 | |
WO2023040527A1 (zh) | 一种基于区块链的网络节点控制方法、系统及共识节点 | |
CN113014379A (zh) | 支持跨云域数据分享的三方认证和密钥协商方法、系统和计算机存储介质 | |
CN112769568A (zh) | 雾计算环境中的安全认证通信系统、方法、物联网设备 | |
WO2022121589A1 (zh) | 一种数据信息获取方法、装置、相关设备及介质 | |
CN117998341A (zh) | 数据传输方法、装置、网络实体及介质 | |
CN115715004A (zh) | 一种针对大规模异构网络的隐私保护跨域认证方法 | |
CN114584975A (zh) | 一种基于sdn的抗量子卫星网络接入认证方法 | |
Niewolski et al. | Security architecture for authorized anonymous communication in 5G MEC | |
US20240163271A1 (en) | Methods, systems, and computer readable media for detecting stolen access tokens | |
WO2023202412A1 (zh) | 一种通信方法及装置 | |
CN116684113A (zh) | 一种基于软件定义边界sdp的业务处理方法及相关装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |