CN114584969B - 基于关联加密的信息处理方法及装置 - Google Patents
基于关联加密的信息处理方法及装置 Download PDFInfo
- Publication number
- CN114584969B CN114584969B CN202210496862.2A CN202210496862A CN114584969B CN 114584969 B CN114584969 B CN 114584969B CN 202210496862 A CN202210496862 A CN 202210496862A CN 114584969 B CN114584969 B CN 114584969B
- Authority
- CN
- China
- Prior art keywords
- user plane
- service
- data
- key
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申请实施例提供了一种基于关联加密的信息处理方法及装置。该方法包括:终端接收来自用户面网元的第一业务的第一用户面信息,以及第二业务的第二用户面信息;第一业务与第二业务关联。终端使用第一密钥组对第一用户面信息进行解密得到第一用户数据,以及使用第一密钥组对第二用户面信息进行解密得到第二用户面数据;第一用户数据和第二用户面数据为明文数据,第一密钥组包括第一私钥和第二私钥,第一私钥与第一业务对应,第二私钥与第二业务对应。由于用户面数据的不仅被自身业务对应的密钥加密,还被其他关联业务的密钥加密,从而极大的提高了用户面数据传输的安全性,以实现在高安全需求场景下,保障用户面数据传输的安全。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种基于关联加密的信息处理方法及装置。
背景技术
第五代移动通信***(5th generation,5G)中,为保证用户面数据的安全,用户装置(UE,user equipment)与gNB之间通过空口传输的用户面数据会经过加密,gNB与用户面功能(user plane function,UPF)之间通过Nx口传输的用户面数据也会经过加密,直至用户面数据传输至数据网络(date network,DN)。
在第三代合作伙伴计划(3rd Generation Partnership Project,3GPP)的R18讨论中指出目前的用户面数据的安全方案,无法满足未来更高的安全需求。
发明内容
本申请实施例提供一种基于关联加密的信息处理方法及装置,用以满足高安全需求,保障用户面数据传输的安全。
为达到上述目的,本申请采用如下技术方案:
第一方面,本申请实施例提供了一种基于关联加密的信息处理方法。该方法包括:终端接收来自用户面网元的第一业务的第一用户面信息,以及第二业务的第二用户面信息;第一业务与第二业务关联。终端使用第一密钥组对第一用户面信息进行解密得到第一用户数据,以及使用第一密钥组对第二用户面信息进行解密得到第二用户面数据;第一用户数据和第二用户面数据为明文数据,第一密钥组包括第一私钥和第二私钥,第一私钥与第一业务对应,第二私钥与第二业务对应。
一种可能的设计方案中,终端使用第一密钥组对第一用户面信息进行解密得到第一用户数据,以及使用第一密钥组对第二用户面信息进行解密得到第二用户面数据,包括:终端将第一私钥和第二私钥组合,得到关联私钥;终端使用关联私钥对第一用户面信息进行解密得到第一用户数据,以及使用关联私钥对第二用户面信息进行解密得到第二用户面数据。这种情况下,即使攻击者获取到第一密钥组,其也因为不知道如何组合,而无法破译加密的用户面数据,从而可以进一步提高通信安全。
一种可能的设计方案中,终端使用第一密钥组对第一用户面信息进行解密得到第一用户数据,以及使用第一密钥组对第二用户面信息进行解密得到第二用户面数据,包括:终端使用第二私钥对第一用户面信息进行解密得到第一中间数据,以及使用第一私钥对第一中间数据进行解密得到第一用户数据;以及,终端使用第一私钥对第二用户面信息进行解密得到第二中间数据,以及使用第二私钥对第二中间数据进行解密得到第二用户数据。如此,可以实现多层级的加密,以进一步提高通信安全。
此外,可以理解,本申请实施例是以两个业务关联为例,多个业务的关联也同样适用于本申请,也即多个密钥的组合,或者多个层级的加密/解密,其可以参考理解,不再赘述。
一种可能的设计方案中,第一业务与第二业务关联是指:承载第一业务的第一协议数据单元PDU会话,与承载第二业务的第二PDU会话具有关联关系。如此,终端无需额外维护业务的关联关系,以节约资源,便于终端节能。
第二方面,本申请实施例提供了一种基于关联加密的信息处理方法。该方法包括:用户面网元使用第二密钥组对第一业务的第一用户面数据进行加密得到第一用户面信息,以及使用第二密钥组对第二业务的第二用户面数据进行加密得到第二用户面信息;第一业务与第二业务关联;第二密钥组包括第一公钥和第二公钥,第一公钥与第一业务对应,第二公钥与第二业务对应;用户面网元向终端发送第一用户面信息和第二用户面信息。
基于第一方面和第二方面所述的方法可知,在业务关联的情况下,用户面网元可以使用这些关联业务对应的公钥组成的密钥组,分别对这些业务各自的用户面数据进行加密,得到用户面信息。相应的,终端可以使用这些关联业务对应的私钥组成的密钥组,分别对这些业务各自的用户面信息进行加密,得到用户面数据。这种情况下,由于用户面数据的不仅被自身业务对应的密钥加密,还被其他关联业务的密钥加密,从而极大的提高了用户面数据传输的安全性,以实现在高安全需求场景下,保障用户面数据传输的安全。
需要指出的是,用户面网元直接对用户面数据进行加密,以及终端直接对用户面数据进行解密的前提是:用户面网元与终端之间建立的用户面安全隧道。这种情况下,位于用户面安全隧道上的接入网设备(基站)不对用户面数据进行保护,而可以直接透传用户面数据,从而可以降低用户面数据在接入网设备上暴露的风险,以进一步提高通信安全。
一种可能的设计方案中,用户面网元使用第二密钥组对第一业务的第一用户面数据进行加密得到第一用户面信息,以及使用第二密钥组对第二业务的第二用户面数据进行加密得到第二用户面信息,包括:用户面网元将第一公钥和第二公钥组合,得到关联公钥;用户面网元使用关联公钥对第一用户数据进行加密得到第一用户面信息,以及使用关联公钥对第二用户数据进行加密得到第二用户面信息。
一种可能的设计方案中,用户面网元使用第二密钥组对第一业务的第一用户面数据进行加密得到第一用户面信息,以及使用第二密钥组对第二业务的第二用户面数据进行加密得到第二用户面信息,包括:用户面网元使用第二公钥对第一用户数据进行加密得到第一中间数据,以及使用第一公钥对第一中间数据进行加密得到第一用户面信息;以及,用户面网元使用第一公钥对第二用户数据进行加密得到第二中间数据,以及使用第二公钥对第二中间数据进行加密得到第二用户面信息。
一种可能的设计方案中,第一业务与第二业务关联是指:承载第一业务的第一协议数据单元PDU会话,与承载第二业务的第二PDU会话具有关联关系。
其中,上述第二方面的技术效果可参考上述第一方面的相关介绍,在此不再赘述。
第三方面,本申请实施例提供了一种基于关联加密的信息处理装置。该装置包括:收发模块,用于接收来自用户面网元的第一业务的第一用户面信息,以及第二业务的第二用户面信息;第一业务与第二业务关联;处理模块,用于使用第一密钥组对第一用户面信息进行解密得到第一用户数据,以及使用第一密钥组对第二用户面信息进行解密得到第二用户面数据;第一用户数据和第二用户面数据为明文数据,第一密钥组包括第一私钥和第二私钥,第一私钥与第一业务对应,第二私钥与第二业务对应。
一种可能的设计方案中,处理模块,还用于使用关联私钥对第一用户面信息进行解密得到第一用户数据,以及使用关联私钥对第二用户面信息进行解密得到第二用户面数据。
一种可能的设计方案中,处理模块,还用于终端使用第二私钥对第一用户面信息进行解密得到第一中间数据,以及使用第一私钥对第一中间数据进行解密得到第一用户数据;以及,终端使用第一私钥对第二用户面信息进行解密得到第二中间数据,以及使用第二私钥对第二中间数据进行解密得到第二用户数据。
一种可能的设计方案中,第一业务与第二业务关联是指:承载第一业务的第一协议数据单元PDU会话,与承载第二业务的第二PDU会话具有关联关系。
其中,上述第三方面的技术效果可参考上述第一方面的相关介绍,在此不再赘述。
第四方面,本申请实施例提供了一种基于关联加密的信息处理装置。该装置包括:处理模块,用于使用第二密钥组对第一业务的第一用户面数据进行加密得到第一用户面信息,以及使用第二密钥组对第二业务的第二用户面数据进行加密得到第二用户面信息;第一业务与第二业务关联;第二密钥组包括第一公钥和第二公钥,第一公钥与第一业务对应,第二公钥与第二业务对应;收发模块,用于向终端发送第一用户面信息和第二用户面信息。
一种可能的设计方案中,处理模块,还用于将第一公钥和第二公钥组合,得到关联公钥;用户面网元使用关联公钥对第一用户数据进行加密得到第一用户面信息,以及使用关联公钥对第二用户数据进行加密得到第二用户面信息。
一种可能的设计方案中,处理模块,还用于使用第二公钥对第一用户数据进行加密得到第一中间数据,以及使用第一公钥对第一中间数据进行加密得到第一用户面信息;以及,用户面网元使用第一公钥对第二用户数据进行加密得到第二中间数据,以及使用第二公钥对第二中间数据进行加密得到第二用户面信息。
一种可能的设计方案中,第一业务与第二业务关联是指:承载第一业务的第一协议数据单元PDU会话,与承载第二业务的第二PDU会话具有关联关系。
其中,上述第四方面的技术效果可参考上述第一方面的相关介绍,在此不再赘述。
第五方面,本申请实施例提供了一种计算机可读存储介质,所述存储介质上存储有程序代码,当所述程序代码被所述计算机运行时,执行如第一方面或第二方面所述的方法。
附图说明
图1为5G***的架构示意图;
图2为本申请实施例提供的一种通信***的架构示意图一;
图3为本申请实施例提供的一种基于关联加密的信息处理方法的流程图;
图4为本申请实施例提供的一种基于关联加密的信息处理装置的结构示意图一;
图5为本申请实施例提供的一种基于关联加密的信息处理装置的结构示意图二。
具体实施方式
下面将结合附图,对本申请中的技术方案进行描述。
图1为5G***的架构示意图,如图1所示,5G***包括:接入网(access network,AN)和核心网(core network,CN),还可以包括:终端。
上述终端可以为具有收发功能的终端,或为可设置于该终端的芯片或芯片***。该终端也可以称为用户装置(uesr equipment,UE)、接入终端、用户单元(subscriberunit)、用户站、移动站(mobile station,MS)、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。本申请的实施例中的终端可以是手机(mobile phone)、蜂窝电话(cellular phone)、智能电话(smart phone)、平板电脑(Pad)、无线数据卡、个人数字助理电脑(personal digital assistant,PDA)、无线调制解调器(modem)、手持设备(handset)、膝上型电脑(laptop computer)、机器类型通信(machinetype communication,MTC)终端、带无线收发功能的电脑、虚拟现实(virtual reality,VR)终端、增强现实(augmented reality,AR)终端、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端、车载终端、具有终端功能的路边单元(road side unit,RSU)等。本申请的终端还可以是作为一个或多个部件或者单元而内置于车辆的车载模块、车载模组、车载部件、车载芯片或者车载单元。
上述AN用于实现接入有关的功能,可以为特定区域的授权用户提供入网功能,并能够根据用户的级别,业务的需求等确定不同质量的传输链路以传输用户数据。AN在终端与CN之间转发控制信号和用户数据。AN可以包括:接入网设备,也可以称为无线接入网设备(radio access network,RAN)设备。
RAN设备可以是为终端提供接入的设备。例如,RAN设备可以包括:下一代移动通信***,例如6G的接入网设备,例如6G基站,或者在下一代移动通信***中,该网络设备也可以有其他命名方式,其均涵盖在本申请实施例的保护范围以内,本申请对此不做任何限定。或者,RAN设备也可以包括5G,如新空口(new radio,NR)***中的gNB,或,5G中的基站的一个或一组(包括多个天线面板)天线面板,或者,还可以为构成gNB、传输点(transmissionand reception point,TRP或者transmission point,TP)或传输测量功能(transmissionmeasurement function,TMF)的网络节点,如基带单元(building base band unit,BBU),或,集中单元(centralized unit,CU)或分布单元(distributed unit,DU)、具有基站功能的RSU,或者有线接入网关,或者5G的核心网网元。或者,RAN设备还可以包括无线保真(wireless fidelity,WiFi)***中的接入点(access point,AP),无线中继节点、无线回传节点、各种形式的宏基站、微基站(也称为小站)、中继站、接入点、可穿戴设备、车载设备等等。
CN主要负责维护移动网络的签约数据,为终端提供会话管理、移动性管理、策略管理以及安全认证等功能。CN主要包括如下网元:用户面功能(user plane function,UPF)网元、认证服务功能(authentication server function,AUSF)网元、接入和移动性管理功能(access and mobility management function,AMF)网元、会话管理功能(sessionmanagement function,SMF)网元、网络切片选择功能(network slice selectionfunction,NSSF)网元、网络开放功能(network exposure function,NEF)网元、网络功能仓储功能(NF repository function,NRF)网元、策略控制功能(policy control function,PCF)网元、统一数据管理(unified data management,UDM)网元、统一数据存储(unifieddata repository,UDR)、应用功能(application function,AF)网元、以及计费功能(charging function,CHF)网元。
其中,UPF网元主要负责用户数据处理(转发、接收、计费等)。例如,UPF网元可以接收来自数据网络(data network,DN)的用户数据,通过接入网设备向终端转发该用户数据。UPF网元也可以通过接入网设备接收来自终端的用户数据,并向DN转发该用户数据。DN网元指的是为用户提供数据传输服务的运营商网络。例如网际互连协议(internet protocol,IP)多媒体业务(IP multi-media srvice,IMS)、互联网(internet)等。DN可以为运营商外部网络,也可以为运营商控制的网络,用于向终端设备提供业务服务。
AUSF网元主要用于执行终端的安全认证。
AMF网元主要用于移动网络中的移动性管理。例如用户位置更新、用户注册网络、用户切换等。
SMF网元主要用于移动网络中的会话管理。例如会话建立、修改、释放。具体功能例如为用户分配互联网协议(internet protocol,IP)地址,选择提供报文转发功能的UPF等。
PCF网元主要支持提供统一的策略框架来控制网络行为,提供策略规则给控制层网络功能,同时负责获取与策略决策相关的用户签约信息。PCF网元可以向AMF网元、SMF网元提供策略,例如服务质量(quality of service,QoS)策略、切片选择策略等。
NSSF网元主要用于为终端选择网络切片。
NEF网元主要用于支持能力和事件的开放。
UDM网元主要用于存储用户数据,例如签约数据、鉴权/授权数据等。
UDR网元主要用于存储结构化数据,存储的内容包括签约数据和策略数据、对外暴露的结构化数据和应用相关的数据。
AF网元主要支持与CN交互来提供服务,例如影响数据路由决策、策略控制功能或者向网络侧提供第三方的一些服务。
请参阅图2,本申请实施例提供了一种通信***,该通信***可以包括:终端和用户面网元。其中,终端可以是上述UE,用户面网元可以是上述UPF网元。终端和用户面网元的功能可以参考上述图1的相关介绍,不再赘述。下面将结合方法,对上述通信***中用户面网元与终端的交互进行详细说明。
请参阅图3,本申请实施例提供了一种基于关联加密的信息处理方法。该方法可以适用于终端和用户面网元。该方法的流程包括:
S301,用户面网元使用第二密钥组对第一业务的第一用户面数据进行加密得到第一用户面信息,以及使用第二密钥组对第二业务的第二用户面数据进行加密得到第二用户面信息。
一种可能的设计方案中,用户面网元将第一公钥和第二公钥组合,得到关联公钥;用户面网元使用关联公钥对第一用户数据进行加密得到第一用户面信息,以及使用关联公钥对第二用户数据进行加密得到第二用户面信息。
或者,一种可能的设计方案中,用户面网元可以使用第二公钥对第一用户数据进行加密得到第一中间数据,以及使用第一公钥对第一中间数据进行加密得到第一用户面信息;以及,用户面网元使用第一公钥对第二用户数据进行加密得到第二中间数据,以及使用第二公钥对第二中间数据进行加密得到第二用户面信息。
其中,第一业务与第二业务关联是指:承载第一业务的第一协议数据单元PDU会话,与承载第二业务的第二PDU会话具有关联关系。也即,用户面网元可以在维护PDU会话的同时,也维护了第一业务与第二业务关联关系。
S302,用户面网元向终端发送第一用户面信息和第二用户面信息。相应的,终端接收来自用户面网元的第一业务的第一用户面信息,以及第二业务的第二用户面信息。
需要指出的是,用户面网元直接对用户面数据进行加密,以及终端直接对用户面数据进行解密的前提是:用户面网元与终端之间建立的用户面安全隧道。这种情况下,位于用户面安全隧道上的接入网设备(基站)不对用户面数据进行保护,而可以直接透传用户面数据,从而可以降低用户面数据在接入网设备上暴露的风险,以进一步提高通信安全。
S303,终端使用第一密钥组对第一用户面信息进行解密得到第一用户数据,以及使用第一密钥组对第二用户面信息进行解密得到第二用户面数据。
一种可能的设计方案中,终端可以将第一私钥和第二私钥组合,得到关联私钥;终端使用关联私钥对第一用户面信息进行解密得到第一用户数据,以及使用关联私钥对第二用户面信息进行解密得到第二用户面数据。这种情况下,即使攻击者获取到第一密钥组,其也因为不知道如何组合,而无法破译加密的用户面数据,从而可以进一步提高通信安全。
或者,一种可能的设计方案中,终端可以使用第二私钥对第一用户面信息进行解密得到第一中间数据,以及使用第一私钥对第一中间数据进行解密得到第一用户数据;以及,终端使用第一私钥对第二用户面信息进行解密得到第二中间数据,以及使用第二私钥对第二中间数据进行解密得到第二用户数据。如此,可以实现多层级的加密,以进一步提高通信安全。
此外,可以理解,本申请实施例是以两个业务关联为例,多个业务的关联也同样适用于本申请,也即多个密钥的组合,或者多个层级的加密/解密,其可以参考理解,不再赘述。
其中,第一业务与第二业务关联是指:承载第一业务的第一协议数据单元PDU会话,与承载第二业务的第二PDU会话具有关联关系。如此,终端无需额外维护业务的关联关系,以节约资源,便于终端节能。
综上,在业务关联的情况下,用户面网元可以使用这些关联业务对应的公钥组成的密钥组,分别对这些业务各自的用户面数据进行加密,得到用户面信息。相应的,终端可以使用这些关联业务对应的私钥组成的密钥组,分别对这些业务各自的用户面信息进行加密,得到用户面数据。这种情况下,由于用户面数据的不仅被自身业务对应的密钥加密,还被其他关联业务的密钥加密,从而极大的提高了用户面数据传输的安全性,以实现在高安全需求场景下,保障用户面数据传输的安全。
请参阅图4,本实施例中还提供了一种基于关联加密的信息处理装置400,该装置400包括:收发模块401和处理模块402。
一些实施例中,该装置400适用于上述方法实施例中的终端。
其中,收发模块401,用于接收来自用户面网元的第一业务的第一用户面信息,以及第二业务的第二用户面信息;第一业务与第二业务关联;处理模块402,用于使用第一密钥组对第一用户面信息进行解密得到第一用户数据,以及使用第一密钥组对第二用户面信息进行解密得到第二用户面数据;第一用户数据和第二用户面数据为明文数据,第一密钥组包括第一私钥和第二私钥,第一私钥与第一业务对应,第二私钥与第二业务对应。
一种可能的设计方案中,处理模块402,还用于使用关联私钥对第一用户面信息进行解密得到第一用户数据,以及使用关联私钥对第二用户面信息进行解密得到第二用户面数据。
一种可能的设计方案中,处理模块402,还用于终端使用第二私钥对第一用户面信息进行解密得到第一中间数据,以及使用第一私钥对第一中间数据进行解密得到第一用户数据;以及,终端使用第一私钥对第二用户面信息进行解密得到第二中间数据,以及使用第二私钥对第二中间数据进行解密得到第二用户数据。
一种可能的设计方案中,第一业务与第二业务关联是指:承载第一业务的第一协议数据单元PDU会话,与承载第二业务的第二PDU会话具有关联关系。
另一些实施例中,该装置400适用于上述方法实施例中的用户面网元。
处理模块402,用于使用第二密钥组对第一业务的第一用户面数据进行加密得到第一用户面信息,以及使用第二密钥组对第二业务的第二用户面数据进行加密得到第二用户面信息;第一业务与第二业务关联;第二密钥组包括第一公钥和第二公钥,第一公钥与第一业务对应,第二公钥与第二业务对应;收发模块401,用于向终端发送第一用户面信息和第二用户面信息。
一种可能的设计方案中,处理模块402,还用于将第一公钥和第二公钥组合,得到关联公钥;用户面网元使用关联公钥对第一用户数据进行加密得到第一用户面信息,以及使用关联公钥对第二用户数据进行加密得到第二用户面信息。
一种可能的设计方案中,处理模块402,还用于使用第二公钥对第一用户数据进行加密得到第一中间数据,以及使用第一公钥对第一中间数据进行加密得到第一用户面信息;以及,用户面网元使用第一公钥对第二用户数据进行加密得到第二中间数据,以及使用第二公钥对第二中间数据进行加密得到第二用户面信息。
一种可能的设计方案中,第一业务与第二业务关联是指:承载第一业务的第一协议数据单元PDU会话,与承载第二业务的第二PDU会话具有关联关系。
下面结合图5对基于关联加密的信息处理装置500的各个构成部件进行具体的介绍:
其中,处理器501是基于关联加密的信息处理装置500的控制中心,可以是一个处理器,也可以是多个处理元件的统称。例如,处理器501是一个或多个中央处理器(centralprocessing unit,CPU),也可以是特定集成电路(application specific integratedcircuit,ASIC),或者是被配置成实施本申请实施例的一个或多个集成电路,例如:一个或多个微处理器(digital signal processor,DSP),或,一个或者多个现场可编程门阵列(field programmable gate array,FPGA)。
可选地,处理器501可以通过运行或执行存储在存储器502内的软件程序,以及调用存储在存储器502内的数据,执行基于关联加密的信息处理装置500的各种功能。
在具体的实现中,作为一种实施例,处理器501可以包括一个或多个CPU,例如图5中所示出的CPU0和CPU1。
在具体实现中,作为一种实施例,基于关联加密的信息处理装置500也可以包括多个处理器,例如图5中所示的处理器501和处理器504。这些处理器中的每一个可以是一个单核处理器(single-CPU),也可以是一个多核处理器(multi-CPU)。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。
其中,存储器502用于存储执行本申请方案的软件程序,并由处理器501来控制执行,具体实现方式可以参考上述方法实施例,此处不再赘述。
可选地,存储器502可以是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)或
可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory,EEPROM)、只读光盘(compact disc read-only memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器502可以和处理器501集成在一起,也可以独立存在,并通过5G通信装置500
的接口电路(图5中未示出)与处理器501耦合,本申请实施例对此不作具体限定。
收发器503,用于与其他装置之间的通信。例如,基于关联加密的信息处理装置为网络设备,收发器503可以用于与终端设备通信,或者与另一个网络设备通信。
可选地,收发器503可以包括接收器和发送器(图5中未单独示出)。其中,接收器用于实现接收功能,发送器用于实现发送功能。
可选地,收发器503可以和处理器501集成在一起,也可以独立存在,并通过基于关联加密的信息处理装置500的接口电路(图5中未示出)与处理器501耦合,本申请实施例对此不作具体限定。
需要说明的是,图5中示出的基于关联加密的信息处理装置500的结构并不构成对该基于关联加密的信息处理装置500的限定,实际的基于关联加密的信息处理装置500可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
此外,基于关联加密的信息处理装置500的技术效果可以参考上述方法实施例的方法的技术效果,此处不再赘述。
应理解,在本申请实施例中的处理器可以是中央处理单元(central processingunit,CPU),该处理器还可以是其他通用处理器、数字信号处理器(digital signalprocessor,DSP)、专用集成电路(application specific integrated circuit,ASIC)、现成可编程门阵列(field programmable gate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
还应理解,本申请实施例中的存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(read-only memory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的随机存取存储器(random accessmemory,RAM)可用,例如静态随机存取存储器(static RAM,SRAM)、动态随机存取存储器(DRAM)、同步动态随机存取存储器(synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM,DR RAM)。
上述实施例,可以全部或部分地通过软件、硬件(如电路)、固件或其他任意组合来实现。当使用软件实现时,上述实施例可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机指令或计算机程序。在计算机上加载或执行计算机指令或计算机程序时,全部或部分地产生按照本申请实施例的流程或功能。计算机可以为通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集合的服务器、数据中心等数据存储设备。可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质。半导体介质可以是固态硬盘。
应理解,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况,其中A,B可以是单数或者复数。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系,但也可能表示的是一种“和/或”的关系,具体可参考前后文进行理解。
本申请中,“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b,或c中的至少一项(个),可以表示:a, b, c, a-b, a-c, b-c, 或a-b-c,其中a,b,c可以是单个,也可以是多个。
应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的***、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征字段可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (6)
1.一种基于关联加密的信息处理方法,其特征在于,所述方法包括:
终端接收来自用户面网元的第一业务的第一用户面信息,以及第二业务的第二用户面信息;所述第一业务与所述第二业务关联;
所述终端使用第一密钥组对所述第一用户面信息进行解密得到第一用户面数据,以及使用所述第一密钥组对所述第二用户面信息进行解密得到第二用户面数据;所述第一用户面数据和所述第二用户面数据为明文数据,所述第一密钥组包括第一私钥和第二私钥,所述第一私钥与所述第一业务对应,所述第二私钥与所述第二业务对应;所述第一密钥组是所述第一私钥和所述第二私钥组合得到的关联私钥;
其中,所述终端使用第一密钥组对所述第一用户面信息进行解密得到第一用户面数据,以及使用所述第一密钥组对所述第二用户面信息进行解密得到第二用户面数据,包括:
所述终端使用所述第二私钥对所述第一用户面信息进行解密得到第一中间数据,以及使用所述第一私钥对所述第一中间数据进行解密得到所述第一用户面数据;以及,
所述终端使用所述第一私钥对所述第二用户面信息进行解密得到第二中间数据,以及使用所述第二私钥对所述第二中间数据进行解密得到所述第二用户面数据。
2.根据权利要求1所述的方法,其特征在于,所述第一业务与所述第二业务关联是指:承载所述第一业务的第一协议数据单元PDU会话,与承载所述第二业务的第二PDU会话具有关联关系。
3.一种基于关联加密的信息处理方法,其特征在于,所述方法包括:
用户面网元使用第二密钥组对第一业务的第一用户面数据进行加密得到第一用户面信息,以及使用所述第二密钥组对第二业务的第二用户面数据进行加密得到第二用户面信息;所述第一业务与所述第二业务关联;所述第二密钥组包括第一公钥和第二公钥,所述第一公钥与所述第一业务对应,所述第二公钥与所述第二业务对应;所述第二密钥组是所述第一公钥和所述第二公钥组合得到的关联公钥;
所述用户面网元向终端发送所述第一用户面信息和所述第二用户面信息;
其中,所述用户面网元使用第二密钥组对第一业务的第一用户面数据进行加密得到第一用户面信息,以及使用所述第二密钥组对第二业务的第二用户面数据进行加密得到第二用户面信息,包括:
所述用户面网元使用所述第二公钥对所述第一用户面数据进行加密得到第一中间数据,以及使用所述第一公钥对所述第一中间数据进行加密得到所述第一用户面信息;以及,
所述用户面网元使用所述第一公钥对所述第二用户面数据进行加密得到第二中间数据,以及使用所述第二公钥对所述第二中间数据进行加密得到所述第二用户面信息。
4.根据权利要求3所述的方法,其特征在于,所述第一业务与所述第二业务关联是指:承载所述第一业务的第一协议数据单元PDU会话,与承载所述第二业务的第二PDU会话具有关联关系。
5.一种基于关联加密的信息处理装置,其特征在于,所述装置包括:
收发模块,用于接收来自用户面网元的第一业务的第一用户面信息,以及第二业务的第二用户面信息;所述第一业务与所述第二业务关联;
处理模块,用于使用第一密钥组对所述第一用户面信息进行解密得到第一用户面数据,以及使用所述第一密钥组对所述第二用户面信息进行解密得到第二用户面数据;所述第一用户面数据和所述第二用户面数据为明文数据,所述第一密钥组包括第一私钥和第二私钥,所述第一私钥与所述第一业务对应,所述第二私钥与所述第二业务对应;
其中,所述处理模块,具体用于终端使用所述第二私钥对所述第一用户面信息进行解密得到第一中间数据,以及使用所述第一私钥对所述第一中间数据进行解密得到所述第一用户面数据;以及,
所述处理模块,具体用于所述终端使用所述第一私钥对所述第二用户面信息进行解密得到第二中间数据,以及使用所述第二私钥对所述第二中间数据进行解密得到所述第二用户面数据。
6.一种基于关联加密的信息处理装置,其特征在于,所述装置包括:
处理模块,用于使用第二密钥组对第一业务的第一用户面数据进行加密得到第一用户面信息,以及使用所述第二密钥组对第二业务的第二用户面数据进行加密得到第二用户面信息;所述第一业务与所述第二业务关联;所述第二密钥组包括第一公钥和第二公钥,所述第一公钥与所述第一业务对应,所述第二公钥与所述第二业务对应;
收发模块,用于向终端发送所述第一用户面信息和所述第二用户面信息;
其中,所述处理模块,具体用于所述用户面网元使用所述第二公钥对所述第一用户面数据进行加密得到第一中间数据,以及使用所述第一公钥对所述第一中间数据进行加密得到所述第一用户面信息;以及,
所述处理模块,具体用于用户面网元使用所述第一公钥对所述第二用户面数据进行加密得到第二中间数据,以及使用所述第二公钥对所述第二中间数据进行加密得到所述第二用户面信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210496862.2A CN114584969B (zh) | 2022-05-09 | 2022-05-09 | 基于关联加密的信息处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210496862.2A CN114584969B (zh) | 2022-05-09 | 2022-05-09 | 基于关联加密的信息处理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114584969A CN114584969A (zh) | 2022-06-03 |
| CN114584969B true CN114584969B (zh) | 2023-06-20 |
Family
ID=81767609
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210496862.2A Active CN114584969B (zh) | 2022-05-09 | 2022-05-09 | 基于关联加密的信息处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114584969B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117439765B (zh) * | 2023-09-08 | 2024-07-23 | 重庆数智融合创新科技有限公司 | 基于应用感知的数据存储转发方法及*** |
| CN118101350B (zh) * | 2024-04-26 | 2024-07-16 | 中国人民解放军总医院第一医学中心 | 一种监测生命体征的穿戴设备和控制方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111885053A (zh) * | 2020-07-22 | 2020-11-03 | 东莞市盟大塑化科技有限公司 | 基于区块链的数据处理方法、装置和计算机设备 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1612636A1 (de) * | 2004-07-01 | 2006-01-04 | Tecnostore AG | Verfahren zur Datenarchivierung mit automatischer Ver- und Entschlüsselung |
| US9268918B2 (en) * | 2007-03-13 | 2016-02-23 | Nxp, B.V. | Encryption and decryption of a dataset in at least two dimensions |
| CN104639516B (zh) * | 2013-11-13 | 2018-02-06 | 华为技术有限公司 | 身份认证方法、设备及*** |
| US9509679B2 (en) * | 2014-11-21 | 2016-11-29 | Dropbox, Inc. | System and method for non-replayable communication sessions |
| US10581812B2 (en) * | 2015-12-01 | 2020-03-03 | Duality Technologies, Inc. | Device, system and method for fast and secure proxy re-encryption |
| CN111527762A (zh) * | 2018-01-04 | 2020-08-11 | 昕诺飞控股有限公司 | 用于设备到设备通信网络中端到端安全通信的***和方法 |
| US11889307B2 (en) * | 2018-08-20 | 2024-01-30 | T-Mobile Usa, Inc. | End-to-end security for roaming 5G-NR communications |
| US11082235B2 (en) * | 2019-02-14 | 2021-08-03 | Anchor Labs, Inc. | Cryptoasset custodial system with different cryptographic keys controlling access to separate groups of private keys |
| CN112492584B (zh) * | 2019-08-23 | 2022-07-22 | 华为技术有限公司 | 终端设备和用户面网元之间的安全通信方法、装置及*** |
| CN110621016B (zh) * | 2019-10-18 | 2022-08-12 | 中国联合网络通信集团有限公司 | 一种用户身份保护方法、用户终端和基站 |
| CN112637836B (zh) * | 2020-12-18 | 2023-08-11 | 珠海格力电器股份有限公司 | 一种数据处理方法、装置、电子设备及存储介质 |
-
2022
- 2022-05-09 CN CN202210496862.2A patent/CN114584969B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111885053A (zh) * | 2020-07-22 | 2020-11-03 | 东莞市盟大塑化科技有限公司 | 基于区块链的数据处理方法、装置和计算机设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114584969A (zh) | 2022-06-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110830989B (zh) | 一种通信方法和装置 | |
| CN114584969B (zh) | 基于关联加密的信息处理方法及装置 | |
| CN113841366B (zh) | 通信方法及装置 | |
| CN116723507B (zh) | 针对边缘网络的终端安全方法及装置 | |
| US20240080340A1 (en) | Security for Groupcast Message in D2D Communication | |
| CN117157651A (zh) | 联邦学习方法、联邦学习***、第一设备和第三设备 | |
| CN113873492A (zh) | 一种通信方法以及相关装置 | |
| Amgoune et al. | 5g: Interconnection of services and security approaches | |
| WO2023011630A1 (zh) | 授权验证的方法及装置 | |
| CN105340353A (zh) | 设备到设备通信安全 | |
| CN114640988B (zh) | 基于隐式指示加密的信息处理方法及装置 | |
| CN116528234B (zh) | 一种虚拟机的安全可信验证方法及装置 | |
| CN117715040B (zh) | Dplc模组的配网通信方法及装置 | |
| CN116561810B (zh) | 基于混合云平台的仓储管理大数据处理方法及装置 | |
| CN115499470B (zh) | 一种智能电表数据的存储管理方法及装置 | |
| CN117202287B (zh) | 基于大数据分析的订单配送管理方法及装置 | |
| CN115320428B (zh) | 一种电动汽车充电桩的充电控制方法及装置 | |
| CN117082612B (zh) | 针对电机的集群式控制方法及装置 | |
| CN117062015B (zh) | 利用北斗定位及短报文***的数据连接分配方法及装置 | |
| CN114208240B (zh) | 数据传输方法、装置及*** | |
| CN117221884B (zh) | 基站***信息管理方法及*** | |
| CN117062173B (zh) | 边缘网络下的安全通信方法及装置 | |
| US20230361989A1 (en) | Apparatus, methods, and computer programs | |
| CN116996985A (zh) | 一种基于边缘网络的通信方法及装置 | |
| CN117156610A (zh) | 空间网络与地面多跳网络异构融合的传输控制方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |