CN113973275A - 数据处理方法、装置和介质 - Google Patents
数据处理方法、装置和介质 Download PDFInfo
- Publication number
- CN113973275A CN113973275A CN202111262595.4A CN202111262595A CN113973275A CN 113973275 A CN113973275 A CN 113973275A CN 202111262595 A CN202111262595 A CN 202111262595A CN 113973275 A CN113973275 A CN 113973275A
- Authority
- CN
- China
- Prior art keywords
- instruction
- network element
- preset
- type
- white list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/66—Trust-dependent, e.g. using trust scores or trust relationships
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W28/00—Network traffic management; Network resource management
- H04W28/02—Traffic management, e.g. flow control or congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W28/00—Network traffic management; Network resource management
- H04W28/16—Central resource management; Negotiation of resources or communication parameters, e.g. negotiating bandwidth or QoS [Quality of Service]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Abstract
本申请提供数据处理方法、装置和介质。该处理方法包括:获取业务平台发送的第一指令,该第一指令携带业务应用标识、目标网元标识和控制请求,该控制请求用于指示目标网元执行查询和/或配置参数的操作;根据业务应用标识,判断第一指令是否在业务应用标识对应的预设应用指令白名单中;若第一指令在预设应用指令白名单中,且预设网元指令白名单存在,则判断第一指令是否在预设网元指令白名单中;若第一指令在预设网元指令白名单中,且第一指令风险等级小于预设等级,向目标网元标识对应的目标网元发送控制请求,使所述目标网元执行所述查询和/或配置参数的操作。本申请的数据处理方法可以提高指令集成平台的安全性。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及数据处理方法、装置和介质。
背景技术
随着新型技术互联网的发展,发展使用过程中存在多方面的不足之处,系统需不断更新完善提高,不断满足用户使用网络集成系统的需求。已有的业务应用系统只提供了网管平台,网管平台进一步管理网元设备,在业务应用系统调用网管平台的过程中,业务应用系统和网管平台需要各自对接,调测工作量大,缺乏一个综合平台提供者,资源难以整合,无法进行承上启下的整合和统一接入,所以本领域技术人员提出了一种指令集成平台。
指令集成平台是一个综合性的平台,业务应用系统在通过指令调用网管平台时,指令会经过指令集成平台进行处理,处理得到该指令符合预设标准后,才能够到达网管平台,这样可以做到对网管平台的统一管理和对接,而不用业务应用系统和网管平台每次各自对接。指令集成平台是业务交互的桥梁,其一边对接的业务应用数量众多,领域广泛,另一边与全网多专业网元打通对接,覆盖全国所有网元设备,类型丰富,所以,该指令集成平台的复杂性、开放性和异构性对安全要求严苛,且业务侧有访问安全的需求,有数据安全的需求,有服务能力稳定性的需求。
因此,如何提高指令集成平台的安全性成为亟待解决的技术问题。
发明内容
本申请提供数据处理方法,用以提高指令集成平台的安全性。
第一方面,本申请提供一种数据处理方法,所述方法包括:获取业务平台发送的第一指令,所述第一指令携带业务应用标识、目标网元标识和控制请求,所述控制请求用于指示目标网元执行查询和/或配置参数的操作;根据所述业务应用标识,判断所述第一指令是否在所述业务应用标识对应的预设应用指令白名单中;若所述第一指令在所述预设应用指令白名单中,且预设网元指令白名单存在,则判断所述第一指令是否在所述预设网元指令白名单中;若所述第一指令在所述预设网元指令白名单中,且所述第一指令风险等级小于预设等级,向所述目标网元标识对应的目标网元发送所述控制请求,使所述目标网元执行所述查询和/或配置参数的操作。
该方法中,指令集成平台对业务平台发送的指令进行了进一步的判断和处理,符合预设标准后,该指令才可以对目标网元设备进行调用,该方法可以增强业务平台调用网元设备的指令的安全管控,有效避免了不明指令的攻击,对指令下发业务流程做到可管可控,提高指令集成平台的安全性。
结合第一方面,在一种可能的实现方式中,所述方法还包括:若所述第一指令在所述预设网元指令白名单中,且所述第一指令风险等级大于或等于预设等级,向所述业务平台返回第一信息,所述第一信息用于指示所述第一指令对所述目标网元没有操作权限。
该实现方式中,描述了当第一指令在预设网元指令白名单中,但是该第一指令的风险等级高时,则指令集成平台禁止该第一指令通行,也就是说第一指令对目标网元设备没有操作权限,这种管控可以提高业务平台调用网元设备的指令的安全性。
结合第一方面,在一种可能的实现方式中,所述方法还包括:若所述第一指令不在所述预设应用指令白名单中,则向所述业务平台返回第二信息,所述第二信息用于指示所述业务平台对所述第一指令没有操作权限。
该实现方式中,描述了当第一指令不在预设应用指令白名单时,则业务平台对第一指令没有操作权限,这种管控可以提高业务平台调用网元设备的指令的安全性。
结合第一方面,在一种可能的实现方式中,所述第一指令还携带有所述控制请求的类型,所述方法还包括:若所述第一指令在所述预设应用指令白名单中,且所述预设网元指令白名单不存在,则将所述控制请求的类型与预设的业务应用类型进行匹配,所述预设的业务应用类型包括查询类型、配置类型和查询且配置类型;若所述控制请求的类型与所述预设的业务应用类型相同,则向所述目标网元发送所述控制请求;若所述控制请求的类型与所述预设的业务应用类型不同,则重新配置业务应用的类型,所述重新配置的业务应用类型与所述控制请求的类型相同。
该实现方式中,通过对业务应用类型的进一步判断,可以增强业务平台调用网元设备的指令的安全管控。
第二方面,本申请提供一种数据处理装置,所述装置包括:获取模块,用于获取业务平台发送的第一指令,所述第一指令携带业务应用标识、目标网元标识和控制请求,所述控制请求用于指示目标网元执行查询和/或配置参数的操作;判断模块,用于根据所述业务应用标识,判断所述第一指令是否在所述业务应用标识对应的预设应用指令白名单中;所述判断模块还用于若所述第一指令在所述预设应用指令白名单中,且预设网元指令白名单存在,则判断所述第一指令是否在所述预设网元指令白名单中;发送模块,用于若所述第一指令在所述预设网元指令白名单中,且所述第一指令风险等级小于预设等级,向所述目标网元标识对应的目标网元发送所述控制请求,使所述目标网元执行所述查询和/或配置参数的操作。
结合第二方面,在一种可能的实现方式中,所述装置还包括:返回模块,用于若所述第一指令在所述预设网元指令白名单中,且所述第一指令风险等级大于或等于预设等级,向所述业务平台返回第一信息,所述第一信息用于指示所述第一指令对所述目标网元没有操作权限。
结合第二方面,在一种可能的实现方式中,所述返回模块还用于:若所述第一指令不在所述预设应用指令白名单中,则向所述业务平台返回第二信息,所述第二信息用于指示所述业务平台对所述第一指令没有操作权限。
结合第二方面,在一种可能的实现方式中,所述第一指令还携带有所述控制请求的类型,所述装置还包括:匹配模块,用于若所述第一指令在所述预设应用指令白名单中,且所述预设网元指令白名单不存在,则将所述控制请求的类型与预设的业务应用类型进行匹配,所述预设的业务应用类型包括查询类型、配置类型和查询且配置类型;所述发送模块还用于若所述控制请求的类型与所述预设的业务应用类型相同,则向所述目标网元发送所述控制请求;配置模块,用于若所述控制请求的类型与所述预设的业务应用类型不同,则重新配置业务应用的类型,所述重新配置的业务应用类型与所述控制请求的类型相同。
第三方面,本申请提供一种数据处理装置,包括:存储器和处理器;所述存储器用于存储程序指令;所述处理器用于调用所述存储器中的程序指令执行如第一方面或者其中任意一种可能的实现方式所述的方法。
第四方面,本申请提供一种服务器,包括:处理器,以及与所述处理器通信连接的存储器;所述存储器用于存储程序指令;所述处理器用于调用所述存储器中的程序指令执行如第一方面或者其中任意一种可能的实现方式所述的方法。
第五方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如第一方面或者其中任意一种可能的实现方式所述的方法。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为本申请一个实施例提供的应用场景架构示意图;
图2为本申请一个实施例提供的网状互联的系统示意图;
图3为本申请一个实施例提供的安全管控模块的模块示意图;
图4为本申请一个实施例提供的数据处理方法的流程图;
图5为本申请一个实施例提供的安全管控模块配置白名单的流程示意图;
图6为本申请一个实施例提供的指令处理流程示意图;
图7为本申请一个实施例提供的数据处理装置的示意性框图;
图8为本申请另一个实施例提供的装置示意图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
本申请具体的应用场景架构如图1所示,该场景架构包括业务应用系统101、指令集成平台102和网管平台103。业务应用系统101发送指令调用网管平台103时,该指令会先经过指令集成平台102的处理,指令集成平台102判断该指令符合一定要求后,使得指令通过,发送至网管平台103。
具体地,业务应用系统101包括总部业务系统、子公司业务系统和合作方相关信息,总部业务系统包括第五代移动通信技术核心网(5th generation mobilecommunication technology core network,5GC)数据业务开通、局数据配置核查、巡视系统和排障系统等,子公司业务系统包括本地应用和创新应用等,合作方相关信息包括与和合作方的创新应用等。指令集成平台102是一个综合性的平台,该平台具有指令通道功能、指令一点管控功能和指令编排控制引擎功能,其中的安全管控模块可以做到对指令的安全管控,指令集成平台是业务交互的桥梁,其一边对接的业务应用数量众多,领域广泛,另一边与全网多专业网元打通对接,覆盖全国所有网元设备,类型丰富。网管平台103包括无线网管、核心网管和传送及承载网管,网管是网络设备的管理平台,运维工程师可以通过网管平台103可以单一与批量操作管理网元设备。
随着新型技术互联网的发展,发展使用过程中存在多方面的不足之处,系统需不断更新完善提高,不断满足用户使用网络集成系统的需求。已有的业务应用系统单独,基本一种业务对应一个系统,孤岛制。也就是说,已有的业务应用系统只提供了网管平台,在业务应用系统调用网管平台的过程中,业务应用系统和网管平台需要各自对接,调测工作量大,且设备与系统单独,网元分散化,平台能力分散,没有构成物网的链接,没有适用新型物联网的时代要求。运维工程师只能通过网管与网元执行,操作时间重复繁琐,比较耗费多的时间,系统平台功能重复建设,成本叠加。
示例性地,如图2中所示的网状互联系统,网管平台的运维人员只能通过网管平台批量操作管理网元,例如图中所示的网元1、网元2、网元3、网元4和网元5等,也可以直接管理网元,运维人员通过百万的指令管理,设备管理与服务没有详细的资源统筹配置。
因此,本领域技术人员提出了一种指令集成平台。该平台位于业务应用系统与网管平台中间,是一个综合性的平台,业务应用系统在通过指令调用网管平台时,指令会经过指令集成平台进行处理,处理得到该指令符合预设标准后,才能够到达网管平台,这样可以做到对网管平台的统一管理和对接,而不用业务应用系统和网管平台每次各自对接。指令集成平台是业务交互的桥梁,其一边对接的业务应用数量众多,领域广泛,涉及网络维护、运营等,面向内部、外部客户等领域,另一边与全网多专业网元打通对接,覆盖全国所有网元设备,类型丰富,数量多,包含物联网、人联网、无线、核心网、传送网、接入网等,涉及多种制式。
由于该指令集成平台的复杂性、开放性和异构性对安全要求严苛,且业务侧有访问安全的需求,有数据安全的需求,有服务能力稳定性的需求。因此,如何提高指令集成平台的安全性成为亟待解决的技术问题。
有鉴于此,本申请提供数据处理方法,旨在解决现有技术的如上技术问题。
下面以具体的实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本申请的实施例进行描述。
在介绍本申请的数据处理方法之前,先对该数据处理方法基于的指令集成平台中的安全管控模块的具体功能和配置进行介绍,安全管控模块中功能模块联动,可以实现该数据处理方法。
安全管控模块的模块示意图如图3所示,安全管控模块300包括应用管理模块301、白名单管理模块302、设备管理模块303和用户/角色管理模块304。
具体地,应用管理模块301用于管理业务应用系统,应用的具体参数包括应用名称、编码、网元级白名单开关、应用类型等级等,其中,编码就是应用对应的身份标识号(identity document,ID)。网元级白名单开关是由业务应用系统申请触发,触发执行事件,决定应用级白名单是否同步到网元级白名单,同时决定是否将网元级白名单指令配置参数同步到用户/角色管理模块304中的用户待办事项,如网元级白名单开启,则执行上述两类同步事件,若关闭,则不执行。应用类型等级指的是配置应用类型的等级,根据应用提交的指令定义业务应用系统的优先等级,若对应的指令只包含查询类指令,则该业务应用类型等级配置为低;若对应的指令包含配置类指令,则该业务应用类型等级配置为中,配置令指令例如对参数进行修改、增加和删除等。
本申请的实施例中,应用级白名单也可以称作应用指令白名单,网元级白名单也可以称作网元指令白名单。
白名单管理模块302主要负责应用指令白名单的管理。当业务应用系统访问指令集成平台时,需在指令集成平台上,为该业务应用系统配置应用指令白名单,后续调用网元指令,通过应用指令白名单是首要条件,否则,则不能对网元设备做任何查询和配置参数的操作。同时配置应用指令黑名单列表,若某指令在应指令黑名单列表中,则强制禁止。
白名单管理模块302中包含以下参数:应用名称、白名单指令、归属专业、设备类型、设备商和保留位。
其中,应用名称为定义业务应用系统的名称。白名单指令为应用指令白名单,即允许该业务应用系统通过白名单里的指令对网元做查询或配置操作。归属专业指的是按照平台既定的分类选择。设备类型为按照企业规范化的类型选择。设备商指设备生产商。
设备管理模块303用于管理对接的网元设备,同时管理网元设备的指令白名单(网元指令白名单)。
网元设备的管理参数包括:设备名称、设备网络之间互连的协议(internetprotocol,IP)、设备商、归属地、归属专业和设备类型。
其中,设备名称为设备的管理名称。设备IP为设备的IP地址。设备商为设备生产商。归属地为设备归属的大区或者省份。归属专业为按照平台既定的分类选择。设备类型为按照企业规范化的类型选择。
网元设备的指令白名单包含具体参数包括:设备名称、设备IP、设备商、归属地、归属专业、设备类型、白名单指令、指令风险等级和保留位。
其中,设备名称、设备IP、设备商、归属地、归属专业和设备类型同上述参数解释,白名单指令指的是网元白名单指令集,即允许该网元上操作的指令,通过指令下发实现对参数的配置或查询。指令风险等级为确定操作该指令的风险,定义为高中低;若为高,则禁止通过该指令对网元设备进行操作,若为低,则允许通过该指令对设备进行操作,若为中,则需要进行二次授权认证机制,需通过进一步审核方能执行。保留位为根据后续更多功能拓展的字段。
作为一种示例,归属专业、设备类型等是对设备所属专业的管理,网类别可以是核心网,专业可以是移动互联网和核心网的结合或移动互联网、物联网和核心网的结合,移动互联网和核心网的结合对应的归属专业包括5G核心网、视频监控智能运维系统、移网信令网和移网智能网,移动互联网、物联网和核心网的结合对应的归属专业包括射频识别协议和5G核心网,具体的设备类型根据设备的实际情况获取。
用户/角色管理模块304用于制定指令平台管理的用户,同时根据角色分配权限,执行相应的操作。
用户属性的具体参数包括:用户名、归属角色、角色权限、归属功能类别、管理网元归属专业、管理网元设备类型、权限级别、设备名称和保留位。
其中,用户名为按照规则定义用户名称。归属角色包括管理员和普通用户。角色权限设置为管理员管理普通用户,普通用户可以执行白名单配置、白名单查看和白名单审核。归属功能类别包括指令通道功能、指令一点管控功能、指令编排功能。管理网元归属专业为该角色管理的设备所属专业。管理网元设备类型为该角色管理的设备类型。权限级别包括普通权限和高权限,用于区分网元级白名单配置生效的权限,若到该设备网元由多人管理,只有高权限的白名单配置角色对网元设备配置网元级白名单方可生效,若均为普通权限,则优先配置优先生效。
可选地,设定权限级别的方法也可以有其他方式,上面只是一种示例。
图4为本申请一个实施例提供的数据处理方法的流程图。如图4所示,本申请实施例提供的方法包括S401、S402、S403和S404。下面详细说明图4所示的方法中的各个步骤。
S401,获取业务平台发送的第一指令,该第一指令携带业务应用标识、目标网元标识和控制请求,该控制请求用于指示目标网元执行查询和/或配置参数的操作。
该步骤中,指令集成平台接收业务平台发送的第一指令,该第一指令携带业务应用标识、目标网元标识和控制请求,其中,通过业务应用标识可以获知该第一指令来自哪个业务平台以及指令集成平台中白名单管理模块302为该业务平台配置的应用指令白名单;目标网元标识指示该第一指令想要操作的网管平台下的目标网元设备。
需要说明的是,本申请实施例中的业务应用系统也可以称作业务平台。
S402,根据业务应用标识,判断第一指令是否在业务应用标识对应的预设应用指令白名单中。
该步骤中,根据业务应用标识,得到对应的应用指令白名单后,则判断第一指令是否位于该应用指令白名单,若在,则执行S403。
S403,若第一指令在预设应用指令白名单中,且预设网元指令白名单存在,则判断第一指令是否在预设网元指令白名单中。
该步骤中,当第一指令在预设应用指令白名单中,且预设网元指令白名单存在时,说明预设网元指令白名单已经配置完成,具体的配置方法为:将上述得到的应用指令白名单同步到网元指令白名单中,网元指令白名单中包含了网元设备管理的参数,通过网元指令白名单,可以确定大区归属下具体网元设备可以操作的指令。
进一步地,用户/角色管理模块304中用户属性信息中,通过设备类型和设备名称确定了设备的唯一性,同时明确了唯一设备的管理员信息,通过待办事项的方式,将网元指令白名单推送到该用户管理信息下。若某个唯一设备对应多个管理用户,则根据用户属性中的权限级别判断,若权限级别不同,则权限级别高的配置生效,若权限级别相同,则遵循优先配置优先生效。
预设网元指令白名单配置完成后,则将第一指令与预设网元指令白名单中的指令进行匹配,判断第一指令是否在预设网元指令白名单中。
作为一种可选的实施方式,当第一指令在预设应用指令白名单中,且预设网元指令白名单不存在时,说明只配置完成应用指令白名单,但是第一指令能不能到达目标网元,还需进一步判断。
进一步地,第一指令还携带有控制请求的类型。该控制请求用于指示目标网元执行查询和/或配置参数的操作,控制请求的类型包括查询类型、配置类型和查询且配置类型;预设的业务应用类型也包括查询类型、配置类型和查询且配置类型。将控制请求的类型与预设的业务应用类型进行匹配,若相同,则第一指令通过,即向目标网元发送控制请求;若不同,则重新配置业务应用的类型,将该业务应用类型配置的与控制请求的类型相同。
可选地,根据业务应用提交的指令可以定义应用系统的优先等级,若对应的指令只包含查询类指令,则该业务应用类型等级配置为低;若对应的指令包含配置类指令,则该业务应用类型等级配置为中。也就是说,控制请求的类型中,查询类型对应于业务应用类型等级配置为低,配置类型和查询且配置类型对应于业务应用类型等级配置为中;预设的业务应用类型等级也包括中和低。将根据第一指令定义的业务应用类型等级与预设的业务应用类型等级进行匹配,若相同,则第一指令通过,即向目标网元发送控制请求;若不同,则重新配置业务应用类型等级,将该业务应用类型等级配置的与第一指令定义的业务应用类型等级相同。
作为另一种可选的实施方式,当第一指令不在预设应用指令白名单中时,则说明该业务平台对该第一指令没有操作权限,即禁止第一指令在指令集成平台通行。
S404,若第一指令在预设网元指令白名单中,且第一指令风险等级小于预设等级,向目标网元标识对应的目标网元发送控制请求,使目标网元执行查询和/或配置参数的操作。
当第一指令在预设网元指令白名单中,则根据已有指令库中指令对应的风险等级配置第一指令的风险等级。
具体地,当第一指令的风险等级小于预设等级,则配置操作第一指令的风险等级为低,使得第一指令通过,即向目标网元发送控制请求,使目标网元执行查询和/或配置参数的操作。
当第一指令的风险等级大于或等于预设等级,则配置操作第一指令的风险等级为高,此时第一指令被禁止通行,不能发送至目标网元,也就是说,该第一指令对目标网元没有操作权限。
可选地,对于指令风险等级的界定方法不限于上述的方法,风险等级还可以位于高和低的中间,即风险等级为中的情况,若为中,则需要对第一指令进行进一步授权,即进行二次授权认证机制,审核后才能够再执行。
上述实施例中的方法,通过指令集成平台中的安全管控模块,对业务应用系统下发调用网元设备的指令进行管控,可以避免不明指令的攻击,对指令下发业务流程做到可管可控,提高指令集成平台的安全性。
作为一种示例,图5为本申请一个实施例提供的安全管控模块配置白名单的流程示意图。如图5所示,该流程包括S501至S514。
S501,配置应用,关键参数为应用类型等级和网元级白名单开关。
该步骤中,当业务应用系统发起申请时,利用应用管理模块301配置应用信息,应用信息的参数包括:应用名称、编码、网元级白名单开关、应用类型等级等参数。
S502,配置应用级白名单。
该步骤中,利用白名单管理模块302配置应用级白名单,归属在某应用级白名单中的指令,通过业务应用系统调用该指令,才可以对网元设备执行操作。
可选地,应用级白名单是全网范围内。
S503,查询是否配置网元级白名单。
该步骤中,业务应用系统识别是否配置网元级白名单。
S504,判断是否开启网元级白名单,若开启,则执行S505,否则,执行S514。
S505,将应用级白名单同步至网元级白名单中。
网元级白名单中包含了网元设备管理的参数,通过网元级白名单,可以确定大区归属下具体网元设备可以操作的指令。
S506,根据设备类型归属用户角色,将网元级白名单推送至用户角色。
该步骤中,获取用户/角色管理模块304中的用户属性信息,通过设备类型和设备名称可以确定唯一设备,同时明确了唯一设备的管理员信息,通过待办事项的方式,将网元级白名单推送到该用户管理信息下。
S507,判断白名单配置人员权限等级是否相同。若相同,则执行S509,若不同,则执行S508。
S508,配置高的配置人员有配置权限。
该步骤中,若某个唯一设备对应多个管理用户,则根据用户属性中的权限级别判断,若权限级别不相同,则权限级别高的配置生效
S509,优先配置优先生效。
若权限级别相同,则遵循优先配置优先生效。
S510,配置网元级白名单。
具体网元级白名单的参数信息可以参考上述实施例中的描述。
S511,判断是否开启二次授权。
配置好网元级白名单之后,在网元级白名单的参数中指令风险等级,根据已有指令库里的风险等级自动配置,若为新增指令,可由网元设备管理用户配置。
根据指令风险等级判断是否进行二次授权,若指令风险等级为高,则禁止通过该指令对网元设备进行操作,若指令风险等级为低,则允许通过该指令对网元设备进行操作,若指令风险等级为中,则执行S512。
S512,网元级白名单增加指令风险等级。
该步骤中,当指令风险等级为中时,需要进行二次授权认证机制,需通过进一步审核方能执行。
S513,配置完成网元级白名单。
S514,配置完成。
作为另一种示例,图6为本申请一个实施例提供的指令处理流程示意图。如图6所示,该流程包括S601至S615。
S601,应用方发起指令应用。
S602,是否在应用黑名单。若在,则执行S615,否则,执行S603。
该步骤中,判断应用方发起的指令是否在应用黑名单中,也即应用级黑名单,该黑名单是提前预设好的,当应用申请触发时,指令集成平台为该应用系统配置了应用级白名单和应用级黑名单。
S603,判断该指令是否在应用级白名单。若在,则执行S604,否则,执行S615。
S604,判断是否开启网元级白名单。若开启,则执行S605,否则,执行S610。
S605,判断该指令是否在网元级白名单。若在,则执行S606,否则,执行S614。
S606,判断该指令是否具有指令二次授权。
S607,指令高、中、低风险。
该步骤中,根据指令的风险等级决定该指令要执行的操作,若该指令的风险等级为高,则执行S615,若该指令的风险等级为中,则执行S608,若该指令的风险等级为低,则执行S609。
S608,进行二次授权。
S609,指令通过。
S610,根据应用提交的指令,定义应用优先级。
该步骤中,当判断了该指令在应用级白名单,且不开启网元级白名单时,则根据该指令的类型,定义该指令对应的应用类型等级,若对应的指令只包含查询类指令,则该应用类型等级配置为低;若对应的指令包含配置类指令,则该应用类型等级配置为中。
S611,判断优先级是否匹配。
该步骤中,将上述根据指令配置的应用类型等级与预设的应用类型等级进行匹配,若匹配出两者等级相同,则执行S609,否则,执行S612。
S612,应用配置为低,但指令中有配置指令。
S613,无法通过网关查询类账号,重新定义优先级。
该步骤中,根据指令对应的应用类型等级重新配置应用类型等级。
S614,判断该指令是否在网元级黑名单。
该步骤中,判断该指令是否在网元级黑名单,若在,则禁止放行,否则定义为未分类。
S615,禁止放行。
该实施例详细描述了业务应系统发起指令操作调用网元设备时,指令的具体通过流程,结合图5中描述的白名单的配置,可以提高指令集成平台的安全性。
图7示出了本申请实施例提供的数据处理装置700,该装置700包括:获取模块701、判断模块702、发送模块703、返回模块704、匹配模块705和配置模块706。
其中,获取模块701,用于获取业务平台发送的第一指令,该第一指令携带业务应用标识、目标网元标识和控制请求,控制请求用于指示目标网元执行查询和/或配置参数的操作;判断模块702,用于根据业务应用标识,判断第一指令是否在业务应用标识对应的预设应用指令白名单中;判断模块702还用于若所述第一指令在预设应用指令白名单中,且预设网元指令白名单存在,则判断第一指令是否在预设网元指令白名单中;发送模块703,用于若所述第一指令在所述预设网元指令白名单中,且所述第一指令风险等级小于预设等级,向所述目标网元标识对应的目标网元发送所述控制请求,使所述目标网元执行所述查询和/或配置参数的操作。
作为一种示例,装置700可以用于执行图4所示的方法,例如,获取模块701用于执行S401,判断模块702用于执行S402和S403,发送模块703用于执行S404。
在一种可能的实现方式中,所述装置还包括:返回模块,用于若第一指令在预设网元指令白名单中,且第一指令风险等级大于或等于预设等级,向业务平台返回第一信息,该第一信息用于指示第一指令对目标网元没有操作权限。
在一种可能的实现方式中,所述返回模块还用于:若第一指令不在预设应用指令白名单中,则向业务平台返回第二信息,该第二信息用于指示业务平台对第一指令没有操作权限。
在一种可能的实现方式中,第一指令还携带有控制请求的类型,所述装置还包括:匹配模块,用于若第一指令在预设应用指令白名单中,且预设网元指令白名单不存在,则将控制请求的类型与预设的业务应用类型进行匹配,预设的业务应用类型包括查询类型、配置类型和查询且配置类型;发送模块还用于若控制请求的类型与预设的业务应用类型相同,则向目标网元发送控制请求;配置模块,用于若控制请求的类型与预设的业务应用类型不同,则重新配置业务应用的类型,重新配置的业务应用类型与控制请求的类型相同。
图8为本申请另一个实施例提供的装置示意图。图8所示的装置可以用于执行前述任意一个实施例所述的方法。
如图8所示,本实施例的装置800包括:存储器801、处理器802、通信接口803以及总线804。其中,存储器801、处理器802、通信接口803通过总线804实现彼此之间的通信连接。
存储器801可以是只读存储器(read only memory,ROM),静态存储设备,动态存储设备或者随机存取存储器(random access memory,RAM)。存储器801可以存储程序,当存储器801中存储的程序被处理器802执行时,处理器802用于执行上述实施例中的方法的各个步骤。
处理器802可以采用通用的中央处理器(central processing unit,CPU),微处理器,应用专用集成电路(application specific integrated circuit,ASIC),或者一个或多个集成电路,用于执行相关程序,以实现本申请实施例中的各个方法。
处理器802还可以是一种集成电路芯片,具有信号的处理能力。在实现过程中,本申请实施例的方法的各个步骤可以通过处理器802中的硬件的集成逻辑电路或者软件形式的指令完成。
上述处理器802还可以是通用处理器、数字信号处理器(digital signalprocessing,DSP)、ASIC、现成可编程门阵列(field programmable gate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器801,处理器802读取存储器801中的信息,结合其硬件完成本申请装置包括的单元所需执行的功能。
通信接口803可以使用但不限于收发器一类的收发装置,来实现装置800与其他设备或通信网络之间的通信。
总线804可以包括在装置800各个部件(例如,存储器801、处理器802、通信接口803)之间传送信息的通路。
应理解,本申请实施例所示的装置800可以是电子设备,或者,也可以是配置于电子设备中的芯片。
应理解,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况,其中A,B可以是单数或者复数。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系,但也可能表示的是一种“和/或”的关系,具体可参考前后文进行理解。
本申请中,“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b或c中的至少一项(个),可以表示:a,b,c,a-b,a-c,b-c或a-b-c,其中a,b,c可以是单个,也可以是多个。
应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。
以上,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (11)
1.一种数据处理方法,其特征在于,包括:
获取业务平台发送的第一指令,所述第一指令携带业务应用标识、目标网元标识和控制请求,所述控制请求用于指示目标网元执行查询和/或配置参数的操作;
根据所述业务应用标识,判断所述第一指令是否在所述业务应用标识对应的预设应用指令白名单中;
若所述第一指令在所述预设应用指令白名单中,且预设网元指令白名单存在,则判断所述第一指令是否在所述预设网元指令白名单中;
若所述第一指令在所述预设网元指令白名单中,且所述第一指令风险等级小于预设等级,向所述目标网元标识对应的目标网元发送所述控制请求,使所述目标网元执行所述查询和/或配置参数的操作。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述第一指令在所述预设网元指令白名单中,且所述第一指令风险等级大于或等于预设等级,向所述业务平台返回第一信息,所述第一信息用于指示所述第一指令对所述目标网元没有操作权限。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
若所述第一指令不在所述预设应用指令白名单中,则向所述业务平台返回第二信息,所述第二信息用于指示所述业务平台对所述第一指令没有操作权限。
4.根据权利要求1或2所述的方法,其特征在于,所述第一指令还携带有所述控制请求的类型,所述方法还包括:
若所述第一指令在所述预设应用指令白名单中,且所述预设网元指令白名单不存在,则将所述控制请求的类型与预设的业务应用类型进行匹配,所述预设的业务应用类型包括查询类型、配置类型和查询且配置类型;
若所述控制请求的类型与所述预设的业务应用类型相同,则向所述目标网元发送所述控制请求;
若所述控制请求的类型与所述预设的业务应用类型不同,则重新配置业务应用的类型,所述重新配置的业务应用类型与所述控制请求的类型相同。
5.一种数据处理装置,其特征在于,包括:
获取模块,用于获取业务平台发送的第一指令,所述第一指令携带业务应用标识、目标网元标识和控制请求,所述控制请求用于指示目标网元执行查询和/或配置参数的操作;
判断模块,用于根据所述业务应用标识,判断所述第一指令是否在所述业务应用标识对应的预设应用指令白名单中;
所述判断模块还用于若所述第一指令在所述预设应用指令白名单中,且预设网元指令白名单存在,则判断所述第一指令是否在所述预设网元指令白名单中;
发送模块,用于若所述第一指令在所述预设网元指令白名单中,且所述第一指令风险等级小于预设等级,向所述目标网元标识对应的目标网元发送所述控制请求,使所述目标网元执行所述查询和/或配置参数的操作。
6.根据权利要求5所述的装置,其特征在于,所述装置还包括:
返回模块,用于若所述第一指令在所述预设网元指令白名单中,且所述第一指令风险等级大于或等于预设等级,向所述业务平台返回第一信息,所述第一信息用于指示所述第一指令对所述目标网元没有操作权限。
7.根据权利要求6所述的装置,其特征在于,所述返回模块还用于若所述第一指令不在所述预设应用指令白名单中,则向所述业务平台返回第二信息,所述第二信息用于指示所述业务平台对所述第一指令没有操作权限。
8.根据权利要求5或6所述的装置,其特征在于,所述第一指令还携带有所述控制请求的类型,所述装置还包括:
匹配模块,用于若所述第一指令在所述预设应用指令白名单中,且所述预设网元指令白名单不存在,则将所述控制请求的类型与预设的业务应用类型进行匹配,所述预设的业务应用类型包括查询类型、配置类型和查询且配置类型;
所述发送模块还用于若所述控制请求的类型与所述预设的业务应用类型相同,则向所述目标网元发送所述控制请求;
配置模块,用于若所述控制请求的类型与所述预设的业务应用类型不同,则重新配置业务应用的类型,所述重新配置的业务应用类型与所述控制请求的类型相同。
9.一种数据处理装置,其特征在于,包括:存储器和处理器;
所述存储器用于存储程序指令;
所述处理器用于调用所述存储器中的程序指令执行如权利要求1至4中任一项所述的方法。
10.一种服务器,其特征在于,包括:处理器,以及与所述处理器通信连接的存储器;
所述存储器用于存储程序指令;
所述处理器用于调用所述存储器中的程序指令执行如权利要求1至4中任一项所述的方法。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1至4中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111262595.4A CN113973275B (zh) | 2021-10-28 | 2021-10-28 | 数据处理方法、装置和介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111262595.4A CN113973275B (zh) | 2021-10-28 | 2021-10-28 | 数据处理方法、装置和介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113973275A true CN113973275A (zh) | 2022-01-25 |
CN113973275B CN113973275B (zh) | 2023-06-27 |
Family
ID=79588840
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111262595.4A Active CN113973275B (zh) | 2021-10-28 | 2021-10-28 | 数据处理方法、装置和介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113973275B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115001779A (zh) * | 2022-05-26 | 2022-09-02 | 中国农业银行股份有限公司 | 一种操作指令的验证方法、装置、设备及介质 |
CN115174224A (zh) * | 2022-07-06 | 2022-10-11 | 北京神州慧安科技有限公司 | 一种适用于工业控制网络的信息安全监测方法和装置 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101997712A (zh) * | 2009-08-28 | 2011-03-30 | 华为终端有限公司 | 管理终端的方法、装置和系统 |
CN104320332A (zh) * | 2014-11-13 | 2015-01-28 | 济南华汉电气科技有限公司 | 多协议工业通信安全网关及应用该网关的通信方法 |
CN104753659A (zh) * | 2013-12-25 | 2015-07-01 | 中国移动通信集团内蒙古有限公司 | 一种多网元数据同步加载的方法、装置及系统 |
CN105657073A (zh) * | 2016-04-01 | 2016-06-08 | 蒋闯 | 一种智能家居系统 |
CN105704066A (zh) * | 2016-01-12 | 2016-06-22 | 北京奇虎科技有限公司 | 联网控制方法和装置、系统、安全网关、移动终端 |
US10659462B1 (en) * | 2019-09-24 | 2020-05-19 | Pribit Technology, Inc. | Secure data transmission using a controlled node flow |
CN111245859A (zh) * | 2020-01-19 | 2020-06-05 | 格尔软件股份有限公司 | 一种智能家居用网络链路访问控制方法 |
CN111611023A (zh) * | 2020-04-28 | 2020-09-01 | 百度在线网络技术(北京)有限公司 | 智能设备的控制方法、装置、电子设备和存储介质 |
US20210092097A1 (en) * | 2019-09-23 | 2021-03-25 | Fisher-Rosemount Systems, Inc. | Whitelisting for HART Communications in a Process Control System |
US20210216306A1 (en) * | 2020-01-09 | 2021-07-15 | Myomega Systems Gmbh | Secure deployment of software on industrial control systems |
-
2021
- 2021-10-28 CN CN202111262595.4A patent/CN113973275B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101997712A (zh) * | 2009-08-28 | 2011-03-30 | 华为终端有限公司 | 管理终端的方法、装置和系统 |
CN104753659A (zh) * | 2013-12-25 | 2015-07-01 | 中国移动通信集团内蒙古有限公司 | 一种多网元数据同步加载的方法、装置及系统 |
CN104320332A (zh) * | 2014-11-13 | 2015-01-28 | 济南华汉电气科技有限公司 | 多协议工业通信安全网关及应用该网关的通信方法 |
CN105704066A (zh) * | 2016-01-12 | 2016-06-22 | 北京奇虎科技有限公司 | 联网控制方法和装置、系统、安全网关、移动终端 |
CN105657073A (zh) * | 2016-04-01 | 2016-06-08 | 蒋闯 | 一种智能家居系统 |
US20210092097A1 (en) * | 2019-09-23 | 2021-03-25 | Fisher-Rosemount Systems, Inc. | Whitelisting for HART Communications in a Process Control System |
US10659462B1 (en) * | 2019-09-24 | 2020-05-19 | Pribit Technology, Inc. | Secure data transmission using a controlled node flow |
US20210216306A1 (en) * | 2020-01-09 | 2021-07-15 | Myomega Systems Gmbh | Secure deployment of software on industrial control systems |
CN111245859A (zh) * | 2020-01-19 | 2020-06-05 | 格尔软件股份有限公司 | 一种智能家居用网络链路访问控制方法 |
CN111611023A (zh) * | 2020-04-28 | 2020-09-01 | 百度在线网络技术(北京)有限公司 | 智能设备的控制方法、装置、电子设备和存储介质 |
Non-Patent Citations (1)
Title |
---|
陆?周昊;: "电力终端通信接入网安全防护体系技术研究与应用", 大众用电, no. 1 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115001779A (zh) * | 2022-05-26 | 2022-09-02 | 中国农业银行股份有限公司 | 一种操作指令的验证方法、装置、设备及介质 |
CN115174224A (zh) * | 2022-07-06 | 2022-10-11 | 北京神州慧安科技有限公司 | 一种适用于工业控制网络的信息安全监测方法和装置 |
CN115174224B (zh) * | 2022-07-06 | 2024-02-23 | 北京神州慧安科技有限公司 | 一种适用于工业控制网络的信息安全监测方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN113973275B (zh) | 2023-06-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8935398B2 (en) | Access control in client-server systems | |
CN108134764B (zh) | 一种分布式数据共享交换方法及系统 | |
CN112367321B (zh) | 快速构建服务调用的方法及中台api网关 | |
EP2733909B1 (en) | Terminal control method and device, and terminal | |
US10275607B2 (en) | Location and time based mobile app policies | |
EP2820584B1 (en) | System and method for access decision evaluation for building automation and control systems | |
CN113973275B (zh) | 数据处理方法、装置和介质 | |
CN103077335A (zh) | 在移动终端中控制权限的装置和方法 | |
CN110289965B (zh) | 一种应用程序服务的管理方法及装置 | |
CN108966216B (zh) | 一种应用于配电网的移动通信方法及系统 | |
CN104135378A (zh) | 对物联网网关进行管理控制的方法及物联网网关管控实体 | |
US20060259955A1 (en) | Attribute-based allocation of resources to security domains | |
EP2887703B1 (en) | Application protection in a mobile telecommunication device | |
CN113872940A (zh) | 基于NC-Link的访问控制方法、装置及设备 | |
US9426253B2 (en) | Method for re-enabling a disabled capability of a terminal and a device management system for the same | |
CN111327602B (zh) | 一种设备接入处理方法、设备及存储介质 | |
KR20150067037A (ko) | M2m 시스템에서 구독의 기준정보 최적화 방법 및 장치 | |
KR102206847B1 (ko) | 하이브리드 보안 시스템 및 통합보안방법 | |
Rhee et al. | High-level design for a secure mobile device management system | |
CN103392322B (zh) | 用于通信的方法和通信网络中的部件 | |
CN113966594A (zh) | 配置物联网设备的方法和物联网设备 | |
CN112738281B (zh) | 服务调用系统 | |
KR20150002238A (ko) | 우선순위 변경 및 스위칭 기능을 갖는 중간노드를 포함하는 m2m 시스템 | |
EP1853083A1 (en) | System and method for controlling network access | |
CN109088886B (zh) | 在防火墙上监控策略的管理方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |