本發明提供一種5G用戶數據去關聯存儲系統及存取方法，該系統包括：索引控制單元和多個子UDR節點；索引控制單元，用于對用戶數據進行分類，為各類數據確定索引，對各類數據的索引進行加密并保存各加密索引值間的關聯關系；以及在接收到數據訪問請求時，判斷數據訪問服務提供單元對用戶數據的訪問權限；多個子UDR節點，用于存儲各類數據；以及在接收到數據訪問請求時，根據待訪問數據的索引返回對應數據。在數據存儲時，該系統通過對用戶數據進行分類，將加密索引值和數據內容分開存儲至索引控制單元和子UDR節點；在數據讀取時，利用索引控制單元判斷訪問權限，根據訪問權限進行數據讀取。本發明可有效降低用戶信息關聯存儲引起的信息泄露風險。

技術領域

本發明涉及移動通信網安全防護技術領域，尤其涉及一種5G用戶數據去關聯存儲系統及存取方法。

背景技術

由于5G新場景和新業務的出現，相比于4G網絡中的歸屬用戶服務器(HomeSubscriber Server，HSS)，5G中的統一數據存儲單元(Unified Data Repository，UDR)將存儲更多的用戶數據信息。大多數情形下，移動網用戶數據庫中單個用戶的所有數據都存儲于一個表項，例如，用戶的身份、位置、簽約數據等。用戶數據的集中關聯存儲存在著連鎖泄露的風險，惡意入侵者利用已知部分信息能夠得到用戶的其他隱私信息，可能使用戶面臨被跟蹤定位等威脅。

現有數據庫分庫分表操作的主要目的是分散單臺設備的負載以及提高系統的整體可用性，采用水平切分或垂直切分的規則，將一個大的數據庫切分成多個小的子數據庫，解決寫入性能瓶頸問題以及提升整個數據庫集群的可擴展性。但是，當前的分庫分表操作并沒有著重考慮數據庫存儲內容的隱私安全，未充分考慮各數據之間的關聯關系和由此可能導致的連鎖泄露風險。

發明內容

針對現有5G用戶數據集中關聯存儲于UDR，可能被攻擊者根據已有信息關聯獲取或越權訪問造成連鎖泄露的問題，本發明提供一種5G用戶數據去關聯存儲系統及存取方法，把不同種類的數據以及同類數據的不同表現形式進行邏輯上和物理上的去關聯分置存儲，利用在物理上去耦合分離、弱關聯解析、去關聯存儲的方式，消除用戶信息關聯存儲引起的信息泄露隱患。

第一方面，本發明提供一種5G用戶數據去關聯存儲系統，包括：索引控制單元和多個子UDR節點；其中：

所述索引控制單元，用于對用戶數據進行分類，為得到的各類數據確定索引，對各類數據的索引進行加密并保存各加密索引值間的關聯關系；以及在接收到數據訪問服務提供單元發送的數據訪問請求時，判斷所述數據訪問服務提供單元對用戶數據的訪問權限；

多個所述子UDR節點，用于存儲對用戶數據進行分類后得到的各類數據；以及在接收到數據訪問服務提供單元發送的數據訪問請求時，根據待訪問數據的索引返回對應數據。

進一步地，所述索引控制單元位于所述數據訪問服務提供單元的后端。

第二方面，本發明提供一種基于上述的5G用戶數據去關聯存儲系統的去關聯存儲方法，該方法包括：

步驟1.1、索引控制單元對用戶數據進行分類，將得到的各類數據存儲至各子UDR節點；

步驟1.2、索引控制單元根據各子UDR節點的節點信息為各類數據確定索引，分別對各類數據的索引進行加密，并保存各加密索引值間的關聯關系。

第三方面，本發明提供一種基于上述的5G用戶數據去關聯存儲系統的數據讀取方法，該方法包括：

步驟2.1、在接收到數據訪問服務提供單元發送的數據訪問請求時，索引控制單元判斷所述數據訪問服務提供單元對用戶數據的訪問權限；

步驟2.2、若判定所述數據訪問服務提供單元對待訪問類別數據具有訪問權限，索引控制單元查找待訪問類別數據的索引，所述子UDR節點根據所述待訪問類別數據的索引返回對應數據；