技术领域
[0001] 本
发明涉及移动通信网安全防护技术领域,尤其涉及一种5G用户数据去关联存储系统及存取方法。
背景技术
[0002] 由于5G新场景和新业务的出现,相比于4G网络中的归属用户
服务器(Home Subscriber Server,HSS),5G中的统一数据存储单元(Unified Data Repository,UDR)将存储更多的用户数据信息。大多数情形下,移动网用户
数据库中单个用户的所有数据都存储于一个表项,例如,用户的身份、
位置、签约数据等。用户数据的集中关联存储存在着连
锁泄露的
风险,恶意入侵者利用已知部分信息能够得到用户的其他隐私信息,可能使用户面临被
跟踪定位等威胁。
[0003] 现有数据库分库分表操作的主要目的是分散单台设备的负载以及提高系统的整体可用性,采用
水平切分或垂直切分的规则,将一个大的数据库切分成多个小的子数据库,解决写入性能
瓶颈问题以及提升整个数据库集群的可扩展性。但是,当前的分库分表操作并没有着重考虑数据库存储内容的隐私安全,未充分考虑各数据之间的关联关系和由此可能导致的连锁泄露风险。
发明内容
[0004] 针对现有5G用户数据集中关联存储于UDR,可能被攻击者根据已有信息关联获取或越权
访问造成连锁泄露的问题,本发明提供一种5G用户数据去关联存储系统及存取方法,把不同种类的数据以及同类数据的不同表现形式进行逻辑上和物理上的去关联分置存储,利用在物理上去耦合分离、弱关联解析、去关联存储的方式,消除用户信息关联存储引起的信息泄露隐患。
[0005] 第一方面,本发明提供一种5G用户数据去关联存储系统,包括:索引控制单元和多个子UDR
节点;其中:
[0006] 所述索引控制单元,用于对用户数据进行分类,为得到的各类数据确定索引,对各类数据的索引进行加密并保存各加密索引值间的关联关系;以及在接收到数据访问服务提供单元发送的数据访问
请求时,判断所述数据访问服务提供单元对用户数据的访问权限;
[0007] 多个所述子UDR节点,用于存储对用户数据进行分类后得到的各类数据;以及在接收到数据访问服务提供单元发送的数据访问请求时,根据待访问数据的索引返回对应数据。
[0008] 进一步地,所述索引控制单元位于所述数据访问服务提供单元的后端。
[0009] 第二方面,本发明提供一种基于上述的5G用户数据去关联存储系统的去关联存储方法,该方法包括:
[0010] 步骤1.1、索引控制单元对用户数据进行分类,将得到的各类数据存储至各子UDR节点;
[0011] 步骤1.2、索引控制单元根据各子UDR节点的节点信息为各类数据确定索引,分别对各类数据的索引进行加密,并保存各加密索引值间的关联关系。
[0012] 第三方面,本发明提供一种基于上述的5G用户数据去关联存储系统的数据读取方法,该方法包括:
[0013] 步骤2.1、在接收到数据访问服务提供单元发送的数据访问请求时,索引控制单元判断所述数据访问服务提供单元对用户数据的访问权限;
[0014] 步骤2.2、若判定所述数据访问服务提供单元对待访问类别数据具有访问权限,索引控制单元查找待访问类别数据的索引,所述子UDR节点根据所述待访问类别数据的索引返回对应数据;
[0015] 步骤2.3、若判定所述数据访问服务提供单元对待访问类别数据以外的其他类别数据具有访问权限,索引控制单元根据所述其他类别数据与所述待访问类别数据的加密索引值间的关联关系确定待访问类别数据的索引,所述子UDR节点根据所述待访问类别数据的索引返回对应数据;
[0016] 步骤2.4、若判定所述数据访问服务提供单元对所有类别数据均无权访问,则丢弃所述数据访问请求。
[0017] 进一步地,所述步骤2.3中的索引控制单元根据所述其他类别数据与所述待访问类别数据的加密索引值间的关联关系确定待访问类别数据的索引具体为:索引控制单元查找具有访问权限的所述其他类别数据的索引,对所述其他类别数据的索引进行加密,根据所述其他类别数据的加密索引值和各加密索引值间的关联关系确定所述待访问数据类别的加密索引值,对所述待访问数据类别的加密索引值进行解密得到所述待访问数据类别的索引,所述子UDR节点根据索引返回对应数据。
[0018] 本发明的有益效果:
[0019] 本发明提供的一种5G用户数据去关联存储系统及存取方法,该存储系统通过设置索引控制单元和多个子UDR节点,索引控制单元根据预先设置的分类方法将用户数据分类,然后将不同类别的用户数据存储至各子UDR节点;接着索引控制单元确定索引,加密各类数据的索引并保存同一用户各加密索引值间的关联关系。在接到访问请求时,索引控制单元判断访问用户数据的DAP的访问权限,对于其请求访问的数据类别有直接访问权限的,根据索引直接查找并返回用户数据,有间接访问权限的,根据其加密索引及关联关系查找请求访问数据类别的加密索引值,再解密得到索引并查找、返回用户数据。通过上述设置,索引控制单元仅知道同一用户各类数据加密索引值的关联关系却不知道具体的用户数据,各子UDR节点也仅知道某一类用户数据内容及其索引,无法关联推测出其他种类的用户数据,从而有效降低了用户信息关联存储引起的信息泄露风险。
附图说明
[0020] 图1为
现有技术提供的3GPP 5G用户数据存储架构示意图;
[0021] 图2为本发明
实施例提供的一种5G用户数据去关联存储系统的结构示意图之一;
[0022] 图3为本发明实施例提供的一种5G用户数据去关联存储系统的结构示意图之二;
[0023] 图4为本发明实施例提供的一种5G用户数据存储方法的示意图;
[0024] 图5为本发明实施例提供的一种5G用户数据读取方法的流程示意图。
具体实施方式
[0025] 为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0026] 图1为现有技术提供的3GPP 5G用户数据存储架构示意图。图2和图3分别为本发明实施例提供的5G用户数据去关联存储系统的两种结构示意图。图2和图3的不同之处在于,索引控制单元可以设置数据访问服务提单元的内部后端。如图2和图3所示,该存储系统包括:索引控制单元101和N个子UDR节点102;其中:
[0027] 所述索引控制单元101,用于对用户数据进行分类,为得到的各类数据确定索引,对各类数据的索引进行加密并保存各加密索引值间的关联关系;以及在接收到数据访问服务提供单元发送的数据访问请求时,判断所述数据访问服务提供单元对用户数据的访问权限;
[0028] 多个所述子UDR节点102,用于存储对用户数据进行分类后得到的各类数据;以及在接收到数据访问服务提供单元发送的数据访问请求时,根据待访问数据的索引返回对应数据。
[0029] 具体地,索引控制单元位于数据访问服务提供单元(Data Access Provider,DAP)的后端,用于根据预先设置的分类方法将用户数据分类并为不同类别的数据确定数据库中的索引,加密各类数据的索引并保存同一用户各加密索引值间的关联关系;所述的索引控制单元还用于判断访问用户数据的DAP的访问权限,判断该DAP是否有权访问某一类别的用户数据。
[0030] 所述的子UDR节点用于存储各个类别的用户数据,并在收到DAP的请求时根据索引查找并返回相应的用户数据,各子UDR节点物理上相互隔离,仅与DAP交互数据。
[0031] 索引控制单元与各子UDR节点相互配合,实现用户数据的逻辑分类和物理上的去关联存储,并保证不同权限等级的用户无法访问超出其权限范围的数据类别,消除攻击者关联分析、连锁窃取用户隐私数据的可能性。
[0032] 本发明实施例的5G用户数据去关联存储系统,首先通过索引控制单元对同一用户的数据进行分类、建立各类数据的索引以及加密各类数据的索引,然后将加密索引值间的关联关系存储至索引控制单元处,将各类数据的具体内容存储至各子UDR节点。如此,索引控制单元仅知道同一用户各类数据加密索引值的关联关系却不知道具体的用户数据,各子UDR节点仅知道某一类用户数据内容及其索引,这样攻击者即使从索引控制单元处窃取到信息,也无法得知用户数据的具体内容;即使进一步从某子UDR节点获取了用户的部分信息,也无法关联推测出其他种类的用户数据,从而有效降低了用户信息关联存储引起的信息泄露风险。
[0033] 在上述实施例的
基础上,本发明实施例提供的5G用户数据去关联存储系统的存储方法包括以下步骤:
[0034] S101、索引控制单元对用户数据进行分类,将得到的各类数据存储至各子UDR节点;
[0035] 具体地,索引控制单元对用户数据进行分类的分类原则具体为:将功能相对独立且关联存储后容易引起用户隐私信息
泄漏的数据分开放置。作为一种可实施方式,将功能相对独立且关联度大于预设
阈值的数据分为不同类别。
[0036] S102、索引控制单元根据各子UDR节点的节点信息为各类数据确定索引,分别对各类数据的索引进行加密,并保存各加密索引值间的关联关系。
[0037] 图4为本发明实施例提供的一种5G用户数据去关联存存储方法的示意图。结合图4,本发明实施例将5G用户数据分为3(即N=3)类。
[0038] 5G用户数据库UDR中存储移动用户的身份标识信息(MDN/SUPI)、位置信息(5G-GUTI号码、小区ID)、状态信息(开机、关机)、资格信息以及签约信息(包括安全参数、呼叫和漫游权限、签约业务)等移动用户全部注册信息,另外还存有体现业务场景的切片标识(NSSAI、NSI ID)等信息。
[0039] 由于用户的SUPI作为隐含通信标识不对外公布,将用户的位置信息、业务信息(签约信息)等数据与SUPI存储在一起,不会引起重要信息的泄露。用户的MDN号码作为开户时对外公开信息,可以和其它公开的、被叫业务处理相关的信息存储在一起。
[0040] 同时,结合5G网络新应用场景所产生的新的用户数据,根据不同类型用户标识的关联程度可以将5G用户数据分为三类:
[0041] (1)用户被叫服务相关数据
[0042] 以MDN为索引,同时包含与用户呼叫过程相关的用户信息,加密MDN得到的加密索引值为INDEX1。
[0043] (2)用户主叫服务相关数据
[0044] 以SUPI为索引,SUPI号码作为移动用户标识码,在移动用户开户时分配,不对外公布,在移动通信网中的作用是身份标识,其主要功能是完成网络对用户的认证、计费以及移动性管理等。同时包含用户的认证信息、状态信息、位置信息以及漫游与计费相关的签约信息等。加密SUPI得到的加密索引值为INDEX2。
[0045] (3)5G业务相关数据
[0046] 以网络切片标识NSI ID为索引,同时包含与切片相关的业务与计费相关信息,并根据不同用户需求和业务场景具有一定的可扩展性,加密NSI ID得到的加密索引值为INDEX3。
[0047] 按照上述分类方法和存储方法,在单一信息遗失后,入侵者因无法将目标用户的MDN与SUPI相关联,而不能确定用户的真实身份信息,无法通过用户MDN或SUPI对用户进行定位等其它操作,这种分离存储的方式有效消除了公开用户标识与私有用户标识之间的关联、消除了公开用户标识与用户数据之间的直接关联,能够保证用户信息的安全。
[0048] 在接收到数据访问服务提供单元的数据访问请求时,可以按照图5所示的读取流程进行用户数据的读取,此处不再赘述。
[0049] 5G UDR要满足电信级的服务要求,对通信时延要求非常严格,上述分类方式既保证了5G用户数据逻辑上的去关联性,满足了安全需求,也充分考虑了通信效率问题,保证了业务的相互独立性,通过减少跨子UDR节点的交互操作来提高通信效率,保证了业务的可用性。
[0050] 图5为本发明实施例提供的5G用户数据读取方法的流程示意图。如图5所示,该方法包括以下步骤:
[0051] S201、在接收到数据访问服务提供单元发送的数据访问请求时,索引控制单元判断所述数据访问服务提供单元对用户数据的访问权限;
[0052] 例如,索引控制单元预先按照设定的数据分类方法将用户数据分为N类。DAP向存储系统UDR发起数据读取请求,请求读取的数据属于第j类(1≤j≤N);索引控制单元对该DAP执行访问检验,判断该DAP是否有权访问第j类用户数据。
[0053] S202、若判定所述数据访问服务提供单元对待访问类别数据具有访问权限,索引控制单元查找待访问类别数据的索引,所述子UDR节点根据所述待访问类别数据的索引返回对应数据;反之则执行步骤S203;
[0054] 例如,若判定该DAP具有第j类用户数据的访问权限,数据访问服务提供单元直接读取并返回第j个子UDR中相应的用户数据;
[0055] S203、若判定所述数据访问服务提供单元对待访问类别数据以外的其他类别数据具有访问权限,索引控制单元根据所述其他类别数据与所述待访问类别数据的加密索引值间的关联关系确定待访问类别数据的索引,所述子UDR节点根据所述待访问类别数据的索引返回对应数据;反之则执行步骤S204;
[0056] 具体地,索引控制单元根据所述其他类别数据与所述待访问类别数据的加密索引值间的关联关系确定待访问类别数据的索引具体为:索引控制单元查找具有访问权限的所述其他类别数据的索引,对所述其他类别数据的索引进行加密,根据所述其他类别数据的加密索引值和各加密索引值间的关联关系确定所述待访问数据类别的加密索引值,对所述待访问数据类别的加密索引值进行解密得到所述待访问数据类别的索引,所述子UDR节点根据索引返回对应数据。
[0057] 例如,若判定该DAP有权访问第i类(1≤i≤N,且i≠j)用户数据,索引控制单元加密第i类用户数据的索引得到加密索引值INDEX i;
[0058] 索引控制单元根据保存的关联关系,获得第j类用户数据的加密索引值INDEX j,再解密得到第j类用户数据的索引;
[0059] 根据第j类用户数据的索引,数据访问服务提供单元读取并返回第j个子UDR中相应的用户数据。
[0060] S204、若判定所述数据访问服务提供单元对所有类别数据均无权访问,则丢弃所述数据访问请求。
[0061] 最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行
修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
