一种基于随机数字段携带信息的方法和系统与流程

本发明涉及信息系统的安全技术领域，尤其是一种基于随机数字段携带信息的方法和系统。

背景技术：

移动通信系统作为地面上规模最大的信息通信系统，已经从2g演进到了5g，目前已经进入了预商用阶段。而5g相较前代移动通信系统，不仅在通信能力上有较大提升，在商业模式上也将有重大变革。特别是商业模式，移动通信将从面向普通公众用户提供普适性服务的2c模式转变为面向垂直行业用户提供差异化服务的2b模式。因此，以5g移动通信为代表，包括卫星等，基于公共信息基础设施构建广域覆盖的高安全专网已经成为各种垂直行业的主流技术途径。

特别的，垂直行业中有一些有较高安全需求的关键行业，需要解决基于不可信基础设施构建相对安全信息系统的问题，往往通过在ue和归属地网元上各自进行安全增强的方式来提供端到端的安全增强能力。

如图1所示，以移动通信系统为例，有高安全需求的关键行业的端到端增强安全模型，包括移动终端设备(高安全设备)-服务网络域-可信网络域-高安全应用，其中服务网络域包括接入网络和核心网拜访网络，完全依托于移动通信系统的公共基础设施；可信网络域主要是核心网归属网络，由通用功能和关键行业的定制功能共同组成；高安全设备是基于通用移动通信终端进行安全增强；高安全应用则是关键行业完全定制的应用功能。通过在ue侧和归属地的可信网络域分别进行安全增强从而实现信令面和业务面的端到端安全增强能力，同时达到在标准通信流程中嵌入专用安全机制的效果。

但是基于公共信息基础设施构建高安全专网需要建立在严格遵循国际、国内以及行业等公开标准，同时不改标准、不改协议的前提条件下，在端到端增强安全模型基础上，常常需要通过公开标准所规定的协议通道来传递关键行业自身安全增强机制所需要的协商信息。但公开标准所规定的协议通道往往没有预留冗余字段来为垂直行业提供传递额外信息的空间，因此迫切需要解决基于公开标准所规定的协议字段来携带额外信息，以便于ue和归属地定制网元之间进行协商的难题。

技术实现要素：

本发明的目的是：提供一种基于随机数字段携带信息的方法和系统，该方法和系统通过在随机数字段中携带特定信息经过加密得到的密文信息，既能够不改公开标准、不改公开标准所规定的协议，又能够基于公开标准所规定的协议字段携带信息，从而达到ue和归属地定制网元间端到端协商信息的效果，以满足关键行业构建高安全专网的需求。

本发明提供了一种基于随机数字段携带信息的方法，所述方法为通过终端侧功能组件和网络侧功能组件的端到端配合，利用随机数作为载体来交互及协商信息，同时利用对信息的加密来保证随机数自身的随机性，包括：

(1)当随机数是从网络侧功能组件传递给终端侧功能组件时：网络侧功能组件通过加密机制将特定夹带信息转化为符合随机数规定长度要求的密文信息，并进行完整性保护，确保该密文信息具备随机数特征，并将其填充在随机数字段传递给终端侧功能组件；终端侧功能组件加密机制判断随机数字段中是否携带有特定夹带信息，若没有携带，则按普通随机数执行标准处理流程；若有携带，则通过加密机制从随机数字段中将密文信息提取出来，并在完整性校验后，恢复成特定夹带信息的明文信息，然后在执行完特定夹带信息的相关处理流程后，再将该随机数字段作为普通随机数执行标准处理流程；

(2)当随机数是从终端侧功能组件传递给网络侧功能组件时：终端侧功能组件通过加密机制将特定夹带信息转化为符合随机数规定长度要求的密文信息，并进行完整性保护，确保该密文信息具备随机数特征，并将其填充在随机数字段传递给网络侧功能组件；网络侧功能组件加密机制判断随机数字段中是否携带有特定夹带信息，若没有携带，则按普通随机数执行标准处理流程；若有携带，则通过加密机制从随机数字段中将密文信息提取出来，并在完整性校验后，恢复成特定夹带信息的明文信息，然后在执行完特定夹带信息的相关处理流程后，再将该随机数字段作为普通随机数执行标准处理流程。

进一步地，当随机数是从网络侧功能组件传递给终端侧功能组件时，网络侧功能组件的执行过程包括如下步骤：

步骤s101，网络侧功能组件将特定夹带信息进行编码，转化为加密所需要长度要求的编码后的明文信息；

步骤s102，网络侧功能组件使用编码后的明文信息生成摘要数据；

步骤s103，网络侧功能组件在编码后的明文信息以及摘要数据中插入随机信息，生成符合随机数规定长度要求的明文信息；

步骤s104，网络侧功能组件将符合随机数规定长度要求的明文信息进行加密运算，生成符合随机数规定长度要求的密文信息；

步骤s105，网络侧功能组件将该符合随机数规定长度要求的密文信息填充在随机数字段传递给终端侧功能组件。

进一步地，当随机数是从网络侧功能组件传递给终端侧功能组件时，终端侧功能组件的执行过程包括如下步骤：

步骤s201，终端侧功能组件假设随机数字段中包含符合随机数规定长度要求的密文信息，对随机数字段进行解密运算，得到符合随机数规定长度要求的明文信息；

步骤s202，终端侧功能组件从符合规定长度要求的明文信息中剔除随机信息，得到编码后的明文信息以及摘要数据；

步骤s203，终端侧功能组件使用编码后的明文信息生成摘要数据，并与从随机数字段中解析出来的摘要数据进行比对校验，以此校验结果来作为区分该随机数是否携带了特定夹带信息的依据，同时也作为携带信息完整性校验的依据：

a1、若校验结果为一致，表示该随机数字段携带了特定夹带信息，并且该夹带信息在传输过程中未被篡改，则终端侧功能组件将编码后的明文信息进行反编码转换，得到特定夹带信息；

a2、终端侧功能组件执行特定夹带信息的相关处理流程，最后再将该随机数字段作为普通随机数执行标准处理流程；

b、若校验结果为不一致，表示该随机数字段要么没有携带特定夹带信息，要么所携带的夹带信息在传输过程中被篡改，则终端侧功能组件执行普通随机数的标准处理流程。

进一步地，当随机数是从终端侧功能组件传递给网络侧功能组件时，终端侧功能组件的执行过程包括如下步骤：

步骤s111，终端侧功能组件将特定夹带信息进行编码，转化为加密所需要长度要求的编码后的明文信息；

步骤s112，终端侧功能组件使用编码后的明文信息生成摘要数据；

步骤s113，终端侧功能组件在编码后的明文信息以及摘要数据中插入随机信息，生成符合随机数规定长度要求的明文信息；

步骤s114，终端侧功能组件将符合随机数规定长度要求的明文信息进行加密运算，生成符合随机数规定长度要求的密文信息；

步骤s115，终端侧功能组件将该符合随机数规定长度要求的密文信息填充在随机数字段传递给网络侧功能组件。

进一步地，当随机数是从终端侧功能组件传递给网络侧功能组件时，网络侧功能组件的执行过程包括如下步骤：

步骤s211，网络侧功能组件假设随机数字段中包含符合随机数规定长度要求的密文信息，对随机数字段进行解密运算，得到符合随机数规定长度要求的明文信息；

步骤s212，网络侧功能组件从符合规定长度要求的明文信息中剔除随机信息，得到编码后的明文信息以及摘要数据；

步骤s213，网络侧功能组件使用编码后的明文信息生成摘要数据，并与从随机数字段中解析出来的摘要数据进行比对校验，以此校验结果来作为区分该随机数是否携带了特定夹带信息的依据，同时也作为携带信息完整性校验的依据：

a1、若校验结果为一致，表示该随机数字段携带了特定夹带信息，并且该夹带信息在传输过程中未被篡改，则网络侧功能组件将编码后的明文信息进行反编码转换，得到特定夹带信息；

a2、网络侧功能组件执行特定夹带信息的相关处理流程，最后再将该随机数字段作为普通随机数执行标准处理流程；

b、若校验结果为不一致，表示该随机数字段要么没有携带特定夹带信息，要么所携带的夹带信息在传输过程中被篡改，则网络侧功能组件执行普通随机数的标准处理流程。

本发明还提供一种基于随机数字段携带信息的系统，包括终端侧功能组件和网络侧功能组件；所述终端侧功能组件和网络侧功能组件用于执行上述的基于随机数字段携带信息的方法。

综上所述，由于采用了上述技术方案，本发明的有益效果是：

1、本发明提供的一种基于随机数字段携带信息的方法和系统，可以基于标准协议参数中携带特定信息，也可以基于标准协议协商通道交互私有协商信息，使得终端侧和网络侧能够在不改变端到端协议格式及流程、中间传递信息网元前提下，利用随机数字段进行端到端地交互信息。

2、本发明提供的一种基于随机数字段携带信息的方法和系统适用范围广，不仅适用于移动通信系统，而且原则上适用于任何信息系统。特别地，本发明的方法和系统能够为基于公共基础设施构建高安全专网，落实军民融合战略提供了有力的技术支撑。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为现有技术中有高安全需求的关键行业的端到端增强安全模型的示意图。

图2为本发明的基于随机数字段携带信息的方法是当随机数是从网络侧功能组件传递给终端侧功能组件时的流程示意图。

图3为本发明的基于随机数字段携带信息的方法是当随机数是从终端侧功能组件传递给网络侧功能组件时的流程示意图。

图4为本发明实施例的基于随机数字段携带信息的方法的示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明，即所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的一种基于随机数字段携带信息的系统，包括终端侧功能组件和网络侧功能组件；所述终端侧功能组件和网络侧功能组件用于执行如下述的基于随机数字段携带信息的方法。

如图1所示，所述基于随机数字段携带信息的方法为通过终端侧功能组件和网络侧功能组件的端到端配合，利用随机数作为载体来交互及协商信息，同时利用对信息的加密来保证随机数自身的随机性，以达到在标准通信流程中嵌入专用安全机制的效果，包括：

(1)当随机数是从网络侧功能组件传递给终端侧功能组件时：网络侧功能组件通过加密机制将特定夹带信息转化为符合随机数规定长度要求的密文信息，并进行完整性保护，确保该密文信息具备随机数特征，并将其填充在随机数字段传递给终端侧功能组件；终端侧功能组件加密机制判断随机数字段中是否携带有特定夹带信息，若没有携带，则按普通随机数执行标准处理流程；若有携带，则通过加密机制从随机数字段中将密文信息提取出来，并在完整性校验后，恢复成特定夹带信息的明文信息，然后在执行完特定夹带信息的相关处理流程后，再将该随机数字段作为普通随机数执行标准处理流程；

如图2所示，具体地：

a、网络侧功能组件的执行过程包括如下步骤：

步骤s101，网络侧功能组件将特定夹带信息进行编码，转化为加密所需要长度要求的编码后的明文信息；

步骤s102，网络侧功能组件使用编码后的明文信息生成摘要数据；

步骤s103，网络侧功能组件在编码后的明文信息以及摘要数据中插入随机信息，生成符合随机数规定长度要求的明文信息；

步骤s104，网络侧功能组件将符合随机数规定长度要求的明文信息进行加密运算，生成符合随机数规定长度要求的密文信息；

步骤s105，网络侧功能组件将该符合随机数规定长度要求的密文信息填充在随机数字段传递给终端侧功能组件。

b、终端侧功能组件的执行过程包括如下步骤：

步骤s201，终端侧功能组件假设随机数字段中包含符合随机数规定长度要求的密文信息，对随机数字段进行解密运算，得到符合随机数规定长度要求的明文信息；

步骤s202，终端侧功能组件从符合规定长度要求的明文信息中剔除随机信息，得到编码后的明文信息以及摘要数据；

步骤s203，终端侧功能组件使用编码后的明文信息生成摘要数据，并与从随机数字段中解析出来的摘要数据进行比对校验，以此校验结果来作为区分该随机数是否携带了特定夹带信息的依据，同时也作为携带信息完整性校验的依据：

a1、若校验结果为一致，表示该随机数字段携带了特定夹带信息，并且该夹带信息在传输过程中未被篡改，则终端侧功能组件将编码后的明文信息进行反编码转换，得到特定夹带信息；

a2、终端侧功能组件执行特定夹带信息的相关处理流程，最后再将该随机数字段作为普通随机数执行标准处理流程；

b、若校验结果为不一致，表示该随机数字段要么没有携带特定夹带信息，要么所携带的夹带信息在传输过程中被篡改，则终端侧功能组件执行普通随机数的标准处理流程。

(2)当随机数是从终端侧功能组件传递给网络侧功能组件时，终端侧功能组件和网络侧功能组件的功能正好与随机数从网络侧功能组件传递给终端侧功能组件时的情况相反：终端侧功能组件通过加密机制将特定夹带信息转化为符合随机数规定长度要求的密文信息，并进行完整性保护，确保该密文信息具备随机数特征，并将其填充在随机数字段传递给网络侧功能组件；网络侧功能组件加密机制判断随机数字段中是否携带有特定夹带信息，若没有携带，则按普通随机数执行标准处理流程；若有携带，则通过加密机制从随机数字段中将密文信息提取出来，并在完整性校验后，恢复成特定夹带信息的明文信息，然后在执行完特定夹带信息的相关处理流程后，再将该随机数字段作为普通随机数执行标准处理流程。

如图3所示，具体地：

a、终端侧功能组件的执行过程包括如下步骤：

步骤s111，终端侧功能组件将特定夹带信息进行编码，转化为加密所需要长度要求的编码后的明文信息；

步骤s112，终端侧功能组件使用编码后的明文信息生成摘要数据；

步骤s113，终端侧功能组件在编码后的明文信息以及摘要数据中插入随机信息，生成符合随机数规定长度要求的明文信息；

步骤s114，终端侧功能组件将符合随机数规定长度要求的明文信息进行加密运算，生成符合随机数规定长度要求的密文信息；

步骤s115，终端侧功能组件将该符合随机数规定长度要求的密文信息填充在随机数字段传递给网络侧功能组件。

b、网络侧功能组件的执行过程包括如下步骤：

步骤s211，网络侧功能组件假设随机数字段中包含符合随机数规定长度要求的密文信息，对随机数字段进行解密运算，得到符合随机数规定长度要求的明文信息；

步骤s212，网络侧功能组件从符合规定长度要求的明文信息中剔除随机信息，得到编码后的明文信息以及摘要数据；

步骤s213，网络侧功能组件使用编码后的明文信息生成摘要数据，并与从随机数字段中解析出来的摘要数据进行比对校验，以此校验结果来作为区分该随机数是否携带了特定夹带信息的依据，同时也作为携带信息完整性校验的依据：

a1、若校验结果为一致，表示该随机数字段携带了特定夹带信息并且该夹带信息在传输过程中未被篡改，则网络侧功能组件将编码后的明文信息进行反编码转换，得到特定夹带信息；

a2、网络侧功能组件执行特定夹带信息的相关处理流程，最后再将该随机数字段作为普通随机数执行标准处理流程；

b、若校验结果为不一致，表示该随机数字段要么没有携带特定夹带信息，要么所携带的夹带信息在传输过程中被篡改，则网络侧功能组件执行普通随机数的标准处理流程。

以下结合实施例对本发明的特征和性能作进一步的详细描述。

本实施例中，所述基于随机数字段携带信息的系统中包括的所述终端侧功能组件为5gue(移动终端)的usim卡和usim卡中的功能组件，所述网络侧功能组件为5gudm网络功能和udm中的功能组件；其中，5gue的usim卡与移动通信基站进行移动网络通信；并且，usim卡和udm网络功能之间通过移动通信核心网数据中心进行认证数据交互。另外需要说明的是，udm网络功能和usim卡均需要进行轻度定制，以便于与其各自的功能组件进行交互。

如图2所示是本实施例在移动通信系统中利用鉴权av向量中的rand随机数携带特定夹带信息的示意图，具体包括如下步骤：

s01：ue发起网络附着请求，该网络附着请求经过移动通信基站到达移动通信核心网数据中心，移动通信核心网数据中心向udm网络功能获取鉴权av向量；

s02：udm网络功能所产生的鉴权av向量中包括rand随机数，此时向udm中的功能组件获取特定夹带信息；

s03：udm中的功能组件将特定夹带信息按照前面的方法进行处理，生成符合长度要求的128位密文信息rand*，并传递给udm网络功能；

s04：udm网络功能将携带了特定夹带信息的密文信息rand*填入鉴权av向量的rand字段，并传递给移动通信核心网数据中心；

s05：移动通信核心网数据中心利用鉴权av向量向ue发起双向认证请求；

s06：ue收到该双向认证请求后，提取出鉴权av向量，并将rand字段和autn传递给usim卡；

s07：usim卡从rand字段中取出密文信息rand*，并传递给usim卡中的功能组件，

s08：usim卡中的功能组件获得密文信息rand*后，按照前面的方法进行处理，从而解析出从网络侧功能组件(5gudm网络功能和udm中的功能组件)传递过来的特定夹带信息，若成功解析出特定夹带信息，则返回的返回值为成功；若发现特定夹带信息在传输过程中因误码等因素被篡改，则返回的返回值为失败；

s09：usim卡根据usim卡中的功能组件的返回值，继续后续双向认证处理。

通过上述内容可知，本发明具有的有益效果为：

1、本发明提供的一种基于随机数字段携带信息的方法和系统，可以基于标准协议参数中携带特定信息，也可以基于标准协议协商通道交互私有协商信息，使得终端侧和网络侧能够在不改变端到端协议格式及流程、中间传递信息网元前提下，利用随机数字段进行端到端地交互信息。

2、本发明提供的一种基于随机数字段携带信息的方法和系统适用范围广，不仅适用于移动通信系统，而且原则上适用于任何信息系统。特别地，本发明的方法和系统能够为基于公共基础设施构建高安全专网，落实军民融合战略提供了有力的技术支撑。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。