具体实施方式

下面结合附图和实施例对本申请进行说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本申请，而非对本申请的限定。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。另外还需要说明的是，为了便于描述，附图中仅示出了与本申请相关的部分而非全部结构。

对于第三代通信系统(the Third Generation，3G)或第四代通信系统(theFourth Generation，4G)的控制面业务，由归属位置寄存器(Home Location Register，HLR)或归属签约用户服务器(Home Subscriber Server，HSS)向拜访位置寄存器(VisitedLocation Register，VLR)、服务GPRS支持节点(Serving GPRS Support Node，SGSN)或移动管理实体(Mobility Management Entity，MME)始发消息的过程中，例如发送删除位置请求(Cancel Location Request，CLR)、下插用户数据请求(Insert Subscriber DataRequest，IDR)或删除用户数据请求(Delete Subscriber Data Request，DSR)等，由于缺乏安全检查机制，任意的HLR/HSS都可以向VLR/SGSN/MME发送CLR/IDR/DSR消息，因此无法避免非法篡改用户签约信息的情况，安全性低。在第五代通信系统(the Fifth Generation，5G)协议中，用户数据的去注册通知(Deregistration Notification，对应于3G或4G中的CLR)和变更通知(Notification，对应于3G或4G中的IDR或DSR)等流程中也存在类似的问题。

在本申请实施例中，提供一种校验方法，针对5G中存在的非法篡改用户数据、数据同步的安全性差的情况，在UDM网元请求数据同步的情况下，由控制面网元对数据同步请求中携带的标识进行校验，根据校验标识的匹配结果确定是否允许UDM同步数据，从而避免非法篡改、提高数据同步的安全性。

图1为一实施例提供的一种校验方法的流程图。本实施例提供的校验方法可应用于控制面网元，例如接入和移动管理功能(Access And Mobility Management Function，AMF)或会话管理功能(Session Management Function，SMF)网元。如图1所示，该方法包括步骤110-130。

在步骤110中，接收UDM网元的用户数据同步请求，所述用户数据同步请求中携带第一校验标识。

在步骤120中，将所述第一校验标识与本地的第二校验标识进行匹配。

在步骤130中，根据所述匹配结果向所述UDM网元发送同步状态信息。

本实施例中，在UDM网元上用户签约发生变更、用户数据更新等情况下，UDM向AMF或SMF发送用户数据同步请求(包括去注册通知和变更通知的请求)，以请求将用户数据同步至AMF或SMF，用户数据同步请求中携带了第一校验标识。AMF或SMF接收到用户数据同步请求后，将其中的第一校验标识与本地存储的第二校验标识进行匹配，据此生成同步状态信息并发送至UDM，同步状态信息包括允许同步和禁止同步。例如，在第一校验标识与第二校验标识两者相匹配或一致的情况下，向UDM发送允许同步的消息；在两者不一致的情况下，发送禁止同步的消息，用户数据同步失败。

在一实施例中，在所述接收UDM网元的用户数据同步请求之前，还包括：向所述UDM网元发送用户数据获取请求；从所述UDM网元反馈的用户数据中提取第二校验标识并存储在本地。

本实施例中，AMF或SMF向UDM发送用户数据获取(GET)请求，请求获取用户的接入移动管理数据(Access And Mobility Management Data，AM-DATA)、网络切片选择辅助信息(Network Slice Selection Assistance Information，NSSAI)等；UDM响应GET请求并反馈相应的用户数据，其中携带了一个新增的参数修改标识(MODIFY ID)，即第二校验标识；AMF或SMF从中提取出第二校验标识存储在本地。

在一实施例中，所述第二校验标识对应于请求数据同步的UDM网元，或者，所述第二校验标识对应于请求数据同步的UDM网元所在的网元池。

本实施例中，第二校验标识由UDM静态配置，一个UDM配置一个第二校验标识，或者，多个UDM组成一个网元池(POOL)，一个网元池配置一个第二校验标识。

在一实施例中，所述第二校验标识由所述UDM网元根据用户的首次注册请求生成。

本实施例中，第二校验标识由UDM动态生成：在用户通过AMF/SMF到UDM首次注册的情况下，由UDM动态生成一个第二校验标识。

本实施例在UDM请求用户数据同步的情况下，通过控制面网元对数据同步请求中携带的标识进行校验，根据校验标识的匹配结果确定是否允许UDM同步数据，从而避免非法篡改、提高数据同步的安全性。

本申请实施例还提供一种数据同步方法，应用于UDM。

图2为一实施例提供的一种数据同步方法的流程图。本实施例提供的数据同步方法可应用于UDM网元。如图2所示，该方法包括步骤210-230。

在步骤210中，向控制面网元发送用户数据同步请求，所述用户数据同步请求中携带第一校验标识。

在步骤220中，接收所述控制面网元发送的同步状态信息。

在步骤230中，根据所述同步状态信息将用户数据同步至所述控制面网元。

本实施例中，UDM在用户签约发生变更等用户数据更新需要同步的情况下向AMF或SMF发送用户数据同步请求(包括去注册通知和变更通知的请求)，以请求将用户数据同步至AMF或SMF，在用户数据同步请求中携带了第一校验标识。AMF或SMF接收到用户数据同步请求后，将其中的第一校验标识与本地存储的第二校验标识进行匹配，根据匹配结果向UDM发送同步状态信息，同步状态信息包括允许同步和禁止同步。UDM接收到同步状态信息后，如果是允许同步，则执行用户数据同步的操作，否则无法同步，用户数据同步失败。

在一实施例中，在所述接收UDM网元的用户数据同步请求之前，还包括：向所述UDM网元发送用户数据获取请求；从所述UDM网元反馈的用户数据中提取第二校验标识并存储在本地。

本实施例中，UDM在接收到AMF或SMF网元发送的用户数据获取(GET)请求后，响应GET请求并反馈相应的用户数据，如AM-DATA、NSSAI等，其中携带了一个新增的参数修改标识(MODIFY ID)，即第二校验标识，第二校验标识存储在AMF或SMF网元本地，用于AMF或SMF网元对用户数据同步请求进行校验。

在一实施例中，所述第二校验标识对应于请求数据同步的UDM网元，或者，所述第二校验标识对应于请求数据同步的UDM网元所在的网元池。

本实施例中，第二校验标识由UDM静态配置，一个UDM配置一个第二校验标识，或者，多个UDM组成一个网元池，一个网元池配置一个第二校验标识。

在一实施例中，所述第二校验标识由所述UDM网元根据用户的首次注册请求生成。

本实施例中，第二校验标识由UDM动态生成：在用户通过AMF/SMF到UDM首次注册的情况下，由UDM动态生成一个第二校验标识。

本实施例在UDM向AMF或SMF请求数据同步的情况下，由控制面网元对数据同步请求中携带的标识进行校验并发送同步状态信息，UDM根据同步状态信息执行数据同步的操作，在第一校验标识与第二校验表示一致的情况下才会执行数据同步的操作，否则同步失败，避免了非法篡改的现象、提高了数据同步的安全性。

本申请实施例还提供一种校验装置。图3为一实施例提供的校验装置的结构示意图。如图3所示，所述校验装置包括：同步请求接收模块310、校验模块320和同步状态发送模块330。

同步请求接收模块310，设置为接收统一数据管理UDM网元的用户数据同步请求，所述用户数据同步请求中携带第一校验标识；

校验模块320，设置为将所述第一校验标识与本地的第二校验标识进行匹配；

同步状态发送模块330，设置为根据所述匹配结果向所述UDM网元发送同步状态信息。

本实施例在UDM请求数据同步的情况下，控制面网元对数据同步请求中携带的标识进行校验，根据校验标识的匹配结果确定是否允许UDM同步数据，从而避免非法篡改、提高数据同步的安全性。

在一实施例中，在所述接收UDM网元的用户数据同步请求之前，还包括：

向所述UDM网元发送用户数据获取请求；

从所述UDM网元反馈的用户数据中提取第二校验标识并存储在本地。

在一实施例中，所述第二校验标识对应于请求数据同步的UDM网元，或者，所述第二校验标识对应于请求数据同步的UDM网元所在的网元池。

在一实施例中，所述第二校验标识由所述UDM网元根据用户的首次注册请求生成。

本实施例提出的校验装置与上述实施例提出的校验方法属于同一发明构思，未在本实施例中详尽描述的技术细节可参见上述任意实施例，并且本实施例具备与执行校验方法相同的有益效果。

本申请实施例还提供一种数据同步装置。图4为一实施例提供的数据同步装置的结构示意图。如图4所示，所述校验装置包括：同步请求发送模块410、同步状态接收模块420和同步模块430。

同步请求发送模块410，设置为向控制面网元发送用户数据同步请求，所述用户数据同步请求中携带第一校验标识；

同步状态接收模块420，设置为接收所述控制面网元发送的同步状态信息；

同步模块430，设置为根据所述同步状态信息将用户数据同步至所述控制面网元。

本实施例在UDM向AMF或SMF请求数据同步的情况下，由控制面网元对数据同步请求中携带的标识进行校验并发送同步状态信息，UDM根据同步状态信息执行数据同步的操作，在第一校验标识与第二校验表示一致的情况下才会执行数据同步的操作，否则同步失败，避免了非法篡改的现象、提高了数据同步的安全性。

在一实施例中，在所述接收UDM网元的用户数据同步请求之前，还包括：

向所述UDM网元发送用户数据获取请求；

从所述UDM网元反馈的用户数据中提取第二校验标识并存储在本地。

在一实施例中，所述第二校验标识对应于请求数据同步的UDM网元，或者，所述第二校验标识对应于请求数据同步的UDM网元所在的网元池。

在一实施例中，所述第二校验标识由所述UDM网元根据用户的首次注册请求生成。

本实施例提出的数据同步装置与上述实施例提出的数据同步方法属于同一发明构思，未在本实施例中详尽描述的技术细节可参见上述任意实施例，并且本实施例具备与执行数据同步方法相同的有益效果。

本申请实施例还提供一种网元。所述校验方法可以由校验装置执行，该校验装置可以通过软件和/或硬件的方式实现，并集成在所述网元中。所述网元为控制面网元。

图5为一实施例提供的一种网元的结构示意图。如图5所示，本实施例提供的一种网元，包括：处理器510和存储装置520。该网元中的处理器可以是一个或多个，图5中以一个处理器510为例，所述设备中的处理器510和存储装置520可以通过总线或其他方式连接，图5中以通过总线连接为例。

所述一个或多个程序被所述一个或多个处理器510执行，使得所述一个或多个处理器实现上述任一实施例所述的校验方法。

该网元中的存储装置520作为一种计算机可读存储介质，可用于存储一个或多个程序，所述程序可以是软件程序、计算机可执行程序以及模块，如本发明实施例中校验方法对应的程序指令/模块(例如，附图3所示的校验装置中的模块，包括：同步请求接收模块310、校验模块320和同步状态发送模块330)。处理器510通过运行存储在存储装置520中的软件程序、指令以及模块，从而执行网元的各种功能应用以及数据处理，即实现上述方法实施例中的校验方法。

存储装置520主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序；存储数据区可存储根据设备的使用所创建的数据等(如上述实施例中的第一校验标识、同步状态信息等)。此外，存储装置520可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中，存储装置520可进一步包括相对于处理器510远程设置的存储器，这些远程存储器可以通过网络连接至网元。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

并且，当上述网元中所包括一个或者多个程序被所述一个或者多个处理器510执行时，实现如下操作：接收统一数据管理UDM网元的用户数据同步请求，所述用户数据同步请求中携带第一校验标识；将所述第一校验标识与本地的第二校验标识进行匹配；根据所述匹配结果向所述UDM网元发送同步状态信息。

本实施例提出的网元与上述实施例提出的校验方法属于同一发明构思，未在本实施例中详尽描述的技术细节可参见上述任意实施例，并且本实施例具备与执行校验方法相同的有益效果。

本申请实施例还提供一种网元。所述数据同步方法可以由数据同步装置执行，该数据同步装置可以通过软件和/或硬件的方式实现，并集成在所述网元中。所述网元为UDM网元。

图6为一实施例提供的一种网元的结构示意图。如图6所示，本实施例提供的一种网元，包括：处理器610和存储装置620。该网元中的处理器可以是一个或多个，图6中以一个处理器610为例，所述设备中的处理器610和存储装置620可以通过总线或其他方式连接，图6中以通过总线连接为例。

所述一个或多个程序被所述一个或多个处理器610执行，使得所述一个或多个处理器实现上述任一实施例所述的校验方法。

该网元中的存储装置620作为一种计算机可读存储介质，可用于存储一个或多个程序，所述程序可以是软件程序、计算机可执行程序以及模块，如本发明实施例中数据同步方法对应的程序指令/模块(例如，附图4所示的数据同步装置中的模块，包括：同步请求发送模块410、同步状态接收模块420和同步模块430)。处理器610通过运行存储在存储装置620中的软件程序、指令以及模块，从而执行网元的各种功能应用以及数据处理，即实现上述方法实施例中的数据同步方法。

存储装置620主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序；存储数据区可存储根据设备的使用所创建的数据等(如上述实施例中的第一校验标识、同步状态信息等)。此外，存储装置620可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中，存储装置620可进一步包括相对于处理器610远程设置的存储器，这些远程存储器可以通过网络连接至网元。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

并且，当上述网元中所包括一个或者多个程序被所述一个或者多个处理器610执行时，实现如下操作：向控制面网元发送用户数据同步请求，所述用户数据同步请求中携带第一校验标识；接收所述控制面网元发送的同步状态信息；根据所述同步状态信息将用户数据同步至所述控制面网元。

本实施例提出的网元与上述实施例提出的校验方法属于同一发明构思，未在本实施例中详尽描述的技术细节可参见上述任意实施例，并且本实施例具备与执行数据同步方法相同的有益效果。

本申请实施例还提供一种包含计算机可执行指令的存储介质，计算机可执行指令在由计算机处理器执行时用于执行一种校验方法或者一种数据同步方法。

通过以上关于实施方式的描述，所属领域的技术人员可以了解到，本申请可借助软件及通用硬件来实现，也可以通过硬件实现。基于这样的理解，本申请的技术方案可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random AccessMemory,RAM)、闪存(FLASH)、硬盘或光盘等，包括多个指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请任意实施例所述的方法。

以上所述，仅为本申请的示例性实施例而已，并非用于限定本申请的保护范围。

本申请附图中的任何逻辑流程的框图可以表示程序步骤，或者可以表示相互连接的逻辑电路、模块和功能，或者可以表示程序步骤与逻辑电路、模块和功能的组合。计算机程序可以存储在存储器上。存储器可以具有任何适合于本地技术环境的类型并且可以使用任何适合的数据存储技术实现，例如但不限于只读存储器(ROM)、随机访问存储器(RAM)、光存储器装置和系统(数码多功能光碟DVD或CD光盘)等。计算机可读介质可以包括非瞬时性存储介质。数据处理器可以是任何适合于本地技术环境的类型，例如但不限于通用计算机、专用计算机、微处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、可编程逻辑器件(FGPA)以及基于多核处理器架构的处理器。

通过示范性和非限制性的示例，上文已提供了对本申请的示范实施例的详细描述。但结合附图和权利要求来考虑，对以上实施例的多种修改和调整对本领域技术人员来说是显而易见的，但不偏离本发明的范围。因此，本发明的恰当范围将根据权利要求确定。