一種LTE專網終端提升安全性的方法及裝置與流程
2023-09-23 07:26:35
本發明涉及移動通信技術領域,特別是指一種LTE專網終端提升安全性的方法及裝置。
背景技術:
LTE(Long Term Evolution,長期演進)是由3GPP(The 3rd Generation Partnership Project,第三代合作夥伴計劃)組織制定的UMTS(Universal Mobile Telecommunications System,通用移動通信系統)技術標準的長期演進,是新一代移動通信標準。
現有LTE技術中,終端(UE,User Equipment,用戶設備或者通俗稱為終端)與基站(eNB,Evolved Node B,即LTE網絡中的基站)取得連接的過程中,需要經歷PLMN(Public Land Mobile Network,公共陸地行動網路)選擇(確定接入頻段),小區搜索和選擇(確定接入小區),隨機接入(與小區基站取得初步連接)和附著。其中,附著是指終端通過基站與核心網(EPC,Evolved Packet Core,演進分組核心網,是核心網演進至LTE網絡層次後的名稱)進行交互鑑權,並最終取得接入權限的過程,核心網通過終端中的USIM卡進行用戶身份鑑權認證,全球用戶識別卡USIM(Universal Subscriber Identity Module)是用戶的唯一身份。用戶身份存儲在USIM卡內,與核心網的網元進行交互並滿足認證需求後,終端才能接入LTE網絡,非法用戶無法接入。
在實現本發明的過程中,發明人發現現有技術至少存在以下問題:現有方案只是採用核心網鑑權,而應用層的鑑權是獨立的,不參與核心網過程;當終端通過專網下載到文件後,即使不再使用專網進行網絡連接,仍然可以對本地文件執行訪問、拷貝等操作,使得保密文件存在洩密可能。
技術實現要素:
有鑑於此,本發明的目的在於提出一種LTE專網終端提升安全性的方法及裝置,用以實現在終端沒有連接至專網時,無法訪問從專網中獲取到的文件,從而提高專網終端的安全性。
基於上述目的本發明提供的一種LTE專網終端提升安全性的方法,包括:
在終端接入專網的鑑權過程中,從核心網獲取文件秘鑰,發送至所述終端;
在接收到所述終端發送的文件請求後,用所述文件秘鑰對所述文件請求指定的文件進行加密,將加密後的所述文件發送至所述終端;
所述終端使用所述文件秘鑰對加密後的所述文件進行解密;
當所述終端斷開與專網的連接時,將所述文件秘鑰從所述終端本地刪除。
在一些可選的實施例中,所述方法還包括:
用所述文件秘鑰對所述文件請求指定的文件進行加密後,將所述文件秘鑰與加密後的所述文件之間的對應關係發送至所述核心網進行保存。
在一些可選的實施例中,所述方法還包括:
建立與加密後的所述文件關聯的識別標籤,將所述識別標籤發送至所述終端;
所述將所述文件秘鑰與加密後的所述文件之間的對應關係發送至所述核心網進行保存,包括:
將所述識別標籤和所述文件秘鑰發送至所述核心網,相互關聯地進行保存。
在一些可選的實施例中,所述方法還包括:
在訪問所述終端上保存的第一文件的過程中,在所述終端查找與所述第一文件關聯的第一識別標籤;
從核心網查找與所述第一識別標籤相關聯的第一文件秘鑰,使用所述第一文件秘鑰對所述第一文件進行解密。
在一些可選的實施例中,所述方法還包括:
在所述終端訪問所述文件的過程中,對因訪問所述文件產生的衍生文件使用所述文件秘鑰進行加密。
基於上述目的本發明還提供一種LTE專網終端提升安全性的裝置,包括:
秘鑰傳遞模塊,用於在終端接入專網的鑑權過程中,從核心網獲取文件秘鑰,發送至所述終端;
文件加密模塊,用於在接收到所述終端發送的文件請求後,用所述文件秘鑰對所述文件請求指定的文件進行加密,將加密後的所述文件發送至所述終端;
所述終端使用所述文件秘鑰對加密後的所述文件進行解密;當所述終端斷開與專網的連接時,將所述文件秘鑰從所述終端本地刪除。
在一些可選的實施例中,所述文件加密模塊用於在用所述文件秘鑰對所述文件請求指定的文件進行加密後,將所述文件秘鑰與加密後的所述文件之間的對應關係發送至所述核心網進行保存。
在一些可選的實施例中,所述文件加密模塊用於建立與加密後的所述文件關聯的識別標籤,將所述識別標籤發送至所述終端;所述文件加密模塊還用於將所述識別標籤和所述文件秘鑰發送至所述核心網,相互關聯地進行保存。
在一些可選的實施例中,所述裝置還包括:
管理員模塊,用於在訪問所述終端上保存的第一文件的過程中,在所述終端查找與所述第一文件關聯的第一識別標籤;所述管理員模塊還用於從核心網查找與所述第一識別標籤相關聯的第一文件秘鑰,使用所述第一文件秘鑰對所述第一文件進行解密。
在一些可選的實施例中,所述文件加密模塊用於在所述終端訪問所述文件的過程中,對因訪問所述文件產生的衍生文件使用所述文件秘鑰進行加密。
從上面所述可以看出,本發明提供的一種LTE專網終端提升安全性的方法及裝置,通過在現有的LTE連接過程中,加入從核心網獲取文件密鑰對文件進行加密的相關步驟,使得終端無法在脫離專網環境的時訪問本地從專網獲取到的文件,從而提高了專網終端的安全性,有效避免了文件洩密的發生。
附圖說明
圖1為本發明提供的一種LTE專網終端提升安全性的方法的實施例的流程示意圖;
圖2為本發明提供的一種LTE專網終端提升安全性的方法的可選實施例的流程示意圖;
圖3為本發明提供的一種LTE專網終端提升安全性的方法的另一實施例的流程示意圖;
圖4為本發明提供的一種LTE專網終端提升安全性的方法的又一實施例的流程示意圖;
圖5為本發明提供的一種LTE專網終端提升安全性的裝置的實施例的模塊圖。
具體實施方式
為使本發明的目的、技術方案和優點更加清楚明白,以下結合具體實施例,並參照附圖,對本發明進一步詳細說明。
需要說明的是,本發明實施例中所有使用「第一」和「第二」的表述均是為了區分兩個相同名稱非相同的實體或者非相同的參量,可見「第一」「第二」僅為了表述的方便,不應理解為對本發明實施例的限定,後續實施例對此不再一一說明。
現有技術對於應用層文件的鑑權,通常採用設置秘鑰等應用層方式進行處理,這種加密方式對於終端的網絡環境並無關聯,終端脫離專網後仍然可以對已經保存在本地的文件進行訪問或者拷貝,造成洩密隱患。
圖1為本發明提供的一種LTE專網終端提升安全性的方法的實施例的流程示意圖。如圖所示,為了解決上述問題,在本發明實施例的一個方面,提供一種LTE專網終端提升安全性的方法,包括:
S10,在終端接入專網的鑑權過程中,從核心網獲取文件秘鑰,發送至所述終端。
S11,在接收到所述終端發送的文件請求後,用所述文件秘鑰對所述文件請求指定的文件進行加密,將加密後的所述文件發送至所述終端。
S12,所述終端使用所述文件秘鑰對加密後的所述文件進行解密。
S13,當所述終端斷開與專網的連接時,將所述文件秘鑰從所述終端本地刪除。
在本實施例的步驟S10中,由核心網管理文件秘鑰,僅當終端連接至專網時,才能夠獲取到有效秘鑰,實現文件訪問過程;在步驟S11中,由應用伺服器使用所述文件秘鑰對指定的文件進行加密,並將加密後的文件通過專網發送至終端,需要說明的是,應用伺服器僅僅使用秘鑰進行加密,而不會將秘鑰保留在本地,從根本上避免了秘鑰的遺失;在步驟S13中,當終端斷開與專網的連接時,會刪除保存在本地、用於解密文件的文件秘鑰,從而在沒有連接至專網的前提下,無法再對終端本地保存的、從專網獲取到的文件進行訪問,杜絕了洩密的可能性。
需要說明的時,所述文件秘鑰的來源並不被限定,但對於同一終端而言,其每次接入專網後獲取到的文件秘鑰是不同的;這樣一來,當終端由應用伺服器下載到某一文件後,若其斷開專網連接,並再次建立連接,由於秘鑰已經被刪除,所以之前下載到的文件也無法再次被訪問,再藉助一些現有技術中的權限驗證方式,就可以實現對於終端權限的靈活控制。
在本實施例的一些可選的實施方式中,不同文件所對應的文件秘鑰也是不相同的,即使某一文件的文件秘鑰洩露,也不會影響其他文件的安全性。
在本實施例的一些可選的實施方式中,所述文件秘鑰可以由核心網通過一定加密算法即時生成,也可以預先設置並保存在核心網中,具體的選擇取決於應用伺服器文件的文件數量等。
從上面所述可以看出,本實施例通過在現有的LTE連接過程中,加入從核心網獲取文件密鑰對文件進行加密的相關步驟,使得終端無法在脫離專網環境的時訪問本地從專網獲取到的文件,從而提高了專網終端的安全性,有效避免了文件洩密的發生。
圖2為本發明提供的一種LTE專網終端提升安全性的方法的可選實施例的流程示意圖。如圖所示,在本發明的一些可選實施例中,提供一種LTE專網終端提升安全性的方法,包括:
S10,在終端接入專網的鑑權過程中,從核心網獲取文件秘鑰,發送至所述終端。
S11,在接收到所述終端發送的文件請求後,用所述文件秘鑰對所述文件請求指定的文件進行加密,將加密後的所述文件發送至所述終端。
S20,用所述文件秘鑰對所述文件請求指定的文件進行加密後,將所述文件秘鑰與加密後的所述文件之間的對應關係發送至所述核心網進行保存。
S12,所述終端使用所述文件秘鑰對加密後的所述文件進行解密。
S13,當所述終端斷開與專網的連接時,將所述文件秘鑰從所述終端本地刪除。
在前一實施例的解釋說明中已經提到,文件秘鑰是生成並保存於核心網的,應用伺服器只起到使用文件秘鑰對文件進行加密和傳遞文件秘鑰的作用,終端從核心網斷開連接時,也會刪除本地保存的文件秘鑰,正是以這種方式來保證專網文件的安全性。但是,對於已經發送至終端的文件,若在一些情況下需要對其進行訪問,而終端又已經斷開與專網的連接,則會非常難以操作。
基於上述問題,本實施例增添的步驟S20。在本實施例實施的過程中,應用伺服器除了從核心網獲取文件秘鑰並對指定文件進行加密,還會進一步將該文件秘鑰和所述指定文件的對應關係發送至核心網,由核心網進行保存。若取得核心網管理員權限,則可以調取文件秘鑰和所述指定文件之間的對應關係,從而解密並訪問終端上的任意文件。
圖3為本發明提供的一種LTE專網終端提升安全性的方法的另一實施例的流程示意圖。如圖所示,進一步,在本實施例的一些可選的實施方式中,所述方法還包括:
S30,建立與加密後的所述文件關聯的識別標籤,將所述識別標籤發送至所述終端。
所述步驟S20,將所述文件秘鑰與加密後的所述文件之間的對應關係發送至所述核心網進行保存,包括:
S31,將所述識別標籤和所述文件秘鑰發送至所述核心網,相互關聯地進行保存。
由於每次終端連接至專網後,應用伺服器都會從核心網獲取新的文件秘鑰對文件進行加密,因此即使是同一文件,在兩次不同訪問過程中,也會使用不同的文件秘鑰進行加密。因此,所述文件秘鑰與加密後的所述文件之間的對應關係,並不能僅使用文件名稱作為標誌,還需要增設額外的識別標籤。
上述識別標籤的形式並不被限定。例如,所述識別標籤可以是與所述文件名相關的獨立文件,所述獨立文件通過特定編碼方式保存有一串識別碼,作為識別標籤;又如,所述識別標籤可以是保存在終端的一份列表,所述列表中保存有終端從應用伺服器獲取到的全部文件的文件名,以及與每個文件對應的編號,使用編號作為識別標籤等等。總而言之,所述識別標籤是與文件一起被發送到終端,並被終端所保存的可識別信息,這一可識別信息也同樣被發送至核心網進行保存。當需要訪問終端的某一文件時,首先查詢終端的文件的識別標籤,然後使用核心網管理員權限從核心網中取得與所述識別標籤相關聯的文件秘鑰,從而對所述文件進行解密、訪問。
在本實施例的一些可選的實施方式中,所述方法還包括:
S40,在訪問所述終端上保存的第一文件的過程中,在所述終端查找與所述第一文件關聯的第一識別標籤。
S41,從核心網查找與所述第一識別標籤相關聯的第一文件秘鑰,使用所述第一文件秘鑰對所述第一文件進行解密。
上述步驟S40、S41提供了根據識別標籤對終端文件進行解密的過程。
從上面所述可以看出,本實施例的方法通過將文件秘鑰與文件的對應關係保存至核心網,使核心網管理員可以隨時查看任意終端中的文件;為了便於查詢文件對應的文件秘鑰,還設置了識別標籤這一技術特徵,利用識別標籤與文件之間的關聯,來保存文件與文件秘鑰之間的對應關係,有效解決了文件數量多、文件秘鑰生成頻率高的條件下,文件與其文件秘鑰的對應關係難以查詢的問題。
圖4為本發明提供的一種LTE專網終端提升安全性的方法的又一實施例的流程示意圖。如圖所示,在本發明的又一實施例中,提供一種LTE專網終端提升安全性的方法,包括:
S10,在終端接入專網的鑑權過程中,從核心網獲取文件秘鑰,發送至所述終端。
S11,在接收到所述終端發送的文件請求後,用所述文件秘鑰對所述文件請求指定的文件進行加密,將加密後的所述文件發送至所述終端。
S12,所述終端使用所述文件秘鑰對加密後的所述文件進行解密。
S50,在所述終端訪問所述文件的過程中,對因訪問所述文件產生的衍生文件使用所述文件秘鑰進行加密。
S13,當所述終端斷開與專網的連接時,將所述文件秘鑰從所述終端本地刪除。
本實施例在前面實施例的基礎上,進一步考慮到高複雜度的文件在運行過程中可能出現的洩密問題。例如,當終端從專網中的應用伺服器取得文件並非簡單的可讀文件,而是會在運行過程中產生一些衍生文件的複雜可執行文件,此時僅僅對直接獲取到的文件進行的加密並不能夠滿足安全需求,還需要對這些衍生文件進行一併加密。例如,終端從專網獲取到一款工作軟體的安裝包,執行完安裝步驟後,生成了一個安裝文件夾和一個文檔文件夾;在運行所述工作軟體的過程中,從專網查找到的一些文檔、數據,進一步在終端形成文檔存儲於所述文檔文件夾下。此時,僅僅對軟體安裝包進行加密顯然是不夠的,還需要對安裝文件夾、文檔文件夾進行分別加密。同時,又考慮到密碼數量和複雜程度的問題,將安裝文件夾、文檔文件夾的文件秘鑰設置為與所述安裝包的文件秘鑰相同,可以便於後期查看。
從上面所述可以看出,本實施例提供的方法充分考慮到複雜文件的保密問題,通過使用文件秘鑰對所述文件執行過程中產生的衍生文件進行加密,進一步提高專網數據的安全性。
圖5為本發明提供的一種LTE專網終端提升安全性的裝置的實施例的模塊圖。如圖所示,在本發明實施例的另一方面,提供一種LTE專網終端提升安全性的裝置,如具備專網文件服務功能的應用伺服器等,所述裝置包括:
秘鑰傳遞模塊60,用於在終端接入專網的鑑權過程中,從核心網獲取文件秘鑰,發送至所述終端。
文件加密模塊61,用於在接收到所述終端發送的文件請求後,用所述文件秘鑰對所述文件請求指定的文件進行加密,將加密後的所述文件發送至所述終端。
所述終端使用所述文件秘鑰對加密後的所述文件進行解密;當所述終端斷開與專網的連接時,將所述文件秘鑰從所述終端本地刪除。
從上面所述可以看出,本實施例通過在現有的LTE連接過程中,通過秘鑰傳遞模塊60從核心網獲取文件密鑰並傳遞至終端,利用文件加密模塊61對文件進行加密並發送至終端,使得終端無法在脫離專網環境的時訪問本地從專網獲取到的文件,從而提高了專網終端的安全性,有效避免了文件洩密的發生。
在本發明的一些可選實施例中,所述文件加密模塊61用於在用所述文件秘鑰對所述文件請求指定的文件進行加密後,將所述文件秘鑰與加密後的所述文件之間的對應關係發送至所述核心網進行保存。
在本實施例的一些可選的實施方式中,所述文件加密模塊61用於建立與加密後的所述文件關聯的識別標籤,將所述識別標籤發送至所述終端;所述文件加密模塊61還用於將所述識別標籤和所述文件秘鑰發送至所述核心網,相互關聯地進行保存。
在本實施例的一些可選的實施方式中,所述裝置還包括:
管理員模塊62,用於在訪問所述終端上保存的第一文件的過程中,在所述終端查找與所述第一文件關聯的第一識別標籤;所述管理員模塊62還用於從核心網查找與所述第一識別標籤相關聯的第一文件秘鑰,使用所述第一文件秘鑰對所述第一文件進行解密。
在本發明的一些可選實施例中,所述文件加密模塊61用於在所述終端訪問所述文件的過程中,對因訪問所述文件產生的衍生文件使用所述文件秘鑰進行加密。
一種電子設備,包括:
至少一個處理器;以及,
與所述至少一個處理器通信連接的存儲器;其中,
所述存儲器存儲有可被所述至少一個處理器執行的指令,所述指令被所述至少一個處理器執行,以使所述至少一個處理器能夠:
在終端接入專網的鑑權過程中,從核心網獲取文件秘鑰,發送至所述終端;
在接收到所述終端發送的文件請求後,用所述文件秘鑰對所述文件請求指定的文件進行加密,將加密後的所述文件發送至所述終端;
所述終端使用所述文件秘鑰對加密後的所述文件進行解密;
當所述終端斷開與專網的連接時,將所述文件秘鑰從所述終端本地刪除。
所屬領域的普通技術人員應當理解:以上任何實施例的討論僅為示例性的,並非旨在暗示本公開的範圍(包括權利要求)被限於這些例子;在本發明的思路下,以上實施例或者不同實施例中的技術特徵之間也可以進行組合,步驟可以以任意順序實現,並存在如上所述的本發明的不同方面的許多其它變化,為了簡明它們沒有在細節中提供。
所述領域的普通技術人員可以理解實現上述實施例方法中的全部或部分流程,是可以通過電腦程式來指令相關的硬體來完成,所述的程序可存儲於一計算機可讀取存儲介質中,該程序在執行時,可包括如上述各方法的實施例的流程。其中,所述的存儲介質可為磁碟、光碟、只讀存儲記憶體(Read-Only Memory,ROM)或隨機存儲記憶體(Random AccessMemory,RAM)等。
另外,為簡化說明和討論,並且為了不會使本發明難以理解,在所提供的附圖中可以示出或可以不示出與集成電路(IC)晶片和其它部件的公知的電源/接地連接。此外,可以以框圖的形式示出裝置,以便避免使本發明難以理解,並且這也考慮了以下事實,即關於這些框圖裝置的實施方式的細節是高度取決於將要實施本發明的平臺的(即,這些細節應當完全處於本領域技術人員的理解範圍內)。在闡述了具體細節(例如,電路)以描述本發明的示例性實施例的情況下,對本領域技術人員來說顯而易見的是,可以在沒有這些具體細節的情況下或者這些具體細節有變化的情況下實施本發明。因此,這些描述應被認為是說明性的而不是限制性的。
儘管已經結合了本發明的具體實施例對本發明進行了描述,但是根據前面的描述,這些實施例的很多替換、修改和變型對本領域普通技術人員來說將是顯而易見的。例如,其它存儲器架構(例如,動態RAM(DRAM))可以使用所討論的實施例。
本發明的實施例旨在涵蓋落入所附權利要求的寬泛範圍之內的所有這樣的替換、修改和變型。因此,凡在本發明的精神和原則之內,所做的任何省略、修改、等同替換、改進等,均應包含在本發明的保護範圍之內。