一种5G网络中边缘计算用户信息安全保护系统及方法与流程

本发明属于5g边缘计算应用及用户隐私安全，涉及一种5g网络中边缘计算用户信息安全保护系统及方法。

背景技术：

1、随着5g网络级应用场景越来越成熟，边缘计算被视为不可或缺的关键技术，因为它可以满足低延迟、高带宽、大规模连接等要求，边缘计算在各行各业广泛开展，接入了大量的第三方互联网渠道。目前5g边缘计算中，能实现通过upf（user plane function，用户平面功能）头增强携带用户手机号码，将用户手机号码传送给边缘计算应用，以方便应用实现方便快捷的身份认证。如果边缘计算应用的运营方对用户手机号码保管不善、恶意泄露等，均会对用户号码隐私带来极大隐患。

2、公开号为cn116319496a的专利文献，提出了一种upf头增强功能的测试方法，能够完成对各项异常场景的模拟，避免了由于接收到的包不符合异常测试场景，无法验证该异常场景下upf的处理是否正确的问题。

3、公开号为cn113691547a的专利文献，提出了一种5g upf网元的https头增强方法，实现了将用户特征信息插入到自有业务/第三方合作业务client hello报文的extension字段中;保证了用户与httpsserver原有的tcp session不断连正常通信。

4、互联网文章《5g专网校园网融合方案》（链接地址：http://www.jdkj.cc/index.php/post/43.html）一文中描述了“upf侧：1. 在分流到校园网的数据包，在upf上配置"头增强"功能，添加msisdn（用户手机号），校方通过识别msisdn获悉用户身份；2.panabit设备串接在运营商5g网络和校园网之添加msisdn信息间，当用户数据包通过5g网络传输到学校时候，panabit设备在数据包里面识别msisdn（用户、手机号）获悉用户身份，同时记录ip和用户名的对应关系。”该文具体阐明了如何利用头增强携带用户号码以在边缘计算系统中实现身份识别。

5、上述已有专利或者文献中，阐述了通过头增强等技术可将用户号码传递给边缘计算应用侧，极大方便了边缘计算应用获取用户号码后进行用户免认证等应用场景。但也由此带来了较大的用户隐私信息保护问题。

技术实现思路

1、为解决上述相关现有技术不足，本发明提供一种5g网络中边缘计算用户信息安全保护系统及方法，通过在5g核心网与边缘计算应用之间增加用户隐私保护系统，对边缘计算应用的分级安全管控机制并对用户敏感度进行分析，以实施不同用户号码传递机制，实现对用户号码隐私的保护，也为边缘计算应用提供了用户信息以进行用户身份识别、免认证等方便快捷的应用使用体验。

2、为了实现本发明的目的，拟采用以下方案：

3、一种5g网络中边缘计算用户信息安全保护系统，设于5g核心网与边缘计算应用之间，包括：

4、边缘计算应用策略模块，用于在接入边缘计算设备时，根据接入的边缘计算应用的用途、所在行业、预期用户规模对其赋予初始用户隐私保护安全等级分，并在运营中根据基于规则的内容健康检测方法对各边缘计算应用的用户隐私保护安全等级分进行扣分；

5、用户策略模块，用于实时采集用户在通信网络运营商的历史投诉记录以分析其对号码隐私的敏感度，根据用户出现的投诉其用户号码保护类问题的次数及咨询其用户号码保护类问题的次数，对用户隐私敏感度得分进行扣分；

6、用户号码保护模块，用于接收upf发出的消息，并调用用户隐私保护安全等级分和用户隐私敏感度得分进行用户号码发送策略判断：

7、若用户隐私保护安全等级分和用户隐私敏感度得分均大于第一预设值，对从upf接收的消息中，从http头增强的字段中获取用户号码，并对用户号码采用可逆加密算法加密后替换http头增强的字段中的用户号码字段，传递给对应的边缘计算应用，以使边缘计算应用获得加密串后进行解密得到用户信息进行身份认证或者涉及用户信息相关的应用功能开展；

8、若用户隐私保护安全等级分和用户隐私敏感度得分均大于第二预设值，并小于等于第一预设值，对从upf接收的消息中，从http头增强的字段中获取用户号码，对用户号码采用不可逆加密算法加密后替换http头增强的字段中的用户号码字段，传递给边缘计算应用，以使边缘计算应用获得加密后的用户信息进行身份认证；

9、若用户隐私保护安全等级分和用户隐私敏感度得分为其余情况，则对从upf接收的消息中，从http头增强的字段中去掉用户号码相关字段后，传递给边缘计算应用。

10、进一步，对用户号码采用不可逆加密算法加密时，同一个边缘计算应用每次加密密钥及加密算法相同。

11、进一步，可逆加密算法采用des 、aes、3des、rsa、dsa中的一种或多种；不可逆加密算法采用md5和/或shs。

12、进一步，基于规则的内容健康检测方法包括：

13、对边缘计算应用提交的内容进行预处理，预处理包括分词、去除停用词、去除特殊符号中的一种或多种；

14、从预处理后的文本中提取出与违规行为相关的特征，违规行为相关的特征包括关键词频率和/或文本长度；

15、提取出的特征与预设的规则库中的规则进行匹配，若匹配成功，则认为边缘计算应用存在违规行为，按预设扣分规则进行用户隐私保护安全等级分的扣分；

16、其中，预设的规则库中的规则包括正则表达式、关键词黑名单、语法模式中的一种或多种。

17、进一步，初始用户隐私保护安全等级分为100分，出现一次违规行为，扣除1分。

18、进一步，出现1次用户号码保护类问题的投诉，从用户隐私敏感度得分中扣除2分，出现1次用户号码保护类问题的咨询，从用户隐私敏感度得分中扣除1分。第一预设值为90分，第二预设值为80分。

19、一种5g网络中边缘计算用户信息安全保护方法，应用于5g核心网与边缘计算应用之间，包括步骤：

20、在接入边缘计算设备时，根据接入的边缘计算应用的用途、所在行业、预期用户规模对其赋予初始用户隐私保护安全等级分，并在运营中根据基于规则的内容健康检测方法对各边缘计算应用的用户隐私保护安全等级分进行扣分；

21、实时采集用户在通信网络运营商的历史投诉记录以分析其对号码隐私的敏感度，根据用户出现的投诉其用户号码保护类问题的次数及咨询其用户号码保护类问题的次数，对用户隐私敏感度得分进行扣分；

22、接收upf发出的消息，并调用用户隐私保护安全等级分和用户隐私敏感度得分进行用户号码发送策略判断：

23、若用户隐私保护安全等级分和用户隐私敏感度得分均大于第一预设值，对从upf接收的消息中，从http头增强的字段中获取用户号码，并对用户号码采用可逆加密算法加密后替换http头增强的字段中的用户号码字段，传递给对应的边缘计算应用，以使边缘计算应用获得加密串后进行解密得到用户信息进行身份认证或者涉及用户信息相关的应用功能开展；

24、若用户隐私保护安全等级分和用户隐私敏感度得分均大于第二预设值，并小于等于第一预设值，对从upf接收的消息中，从http头增强的字段中获取用户号码，对用户号码采用不可逆加密算法加密后替换http头增强的字段中的用户号码字段，传递给边缘计算应用，以使边缘计算应用获得加密后的用户信息进行身份认证；；

25、若用户隐私保护安全等级分和用户隐私敏感度得分为其余情况，则对从upf接收的消息中，从http头增强的字段中去掉用户号码相关字段后，传递给边缘计算应用。

26、一种电子设备，包括：至少一个处理器和存储器；其中，所述存储器存储有计算机执行指令；在所述至少一个处理器执行所述存储器存储的计算机执行指令，使得所述至少一个处理器执行所述的5g网络中边缘计算用户信息安全保护方法。

27、一种计算机可读存储介质，其上存储有计算机程序，在所述计算机程序被处理器运行时控制所述存储介质所在设备执行所述的5g网络中边缘计算用户信息安全保护方法。

28、本发明的有益效果：

29、在upf头增强的基础上，对用户号码进行了分级处理技术手段，通过在5g核心网与边缘计算应用之间增加用户隐私保护系统，对边缘计算应用的分级安全管控机制并对用户敏感度进行分析，以实施不同用户号码传递机制，实现对用户号码隐私的保护，也为边缘计算应用提供了用户信息以进行用户身份识别、免认证等方便快捷的应用使用体验。