CN114448643B - 网络切片数据验证方法及其相关设备 - Google Patents
网络切片数据验证方法及其相关设备 Download PDFInfo
- Publication number
- CN114448643B CN114448643B CN202210134549.4A CN202210134549A CN114448643B CN 114448643 B CN114448643 B CN 114448643B CN 202210134549 A CN202210134549 A CN 202210134549A CN 114448643 B CN114448643 B CN 114448643B
- Authority
- CN
- China
- Prior art keywords
- network slice
- data
- slice data
- access request
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000013524 data verification Methods 0.000 title claims abstract description 66
- 238000000034 method Methods 0.000 title claims abstract description 55
- 238000007726 management method Methods 0.000 claims abstract description 78
- 238000013523 data management Methods 0.000 claims abstract description 62
- 238000013502 data validation Methods 0.000 claims abstract description 8
- 230000006870 function Effects 0.000 claims description 46
- 238000012795 verification Methods 0.000 claims description 6
- 238000004590 computer program Methods 0.000 claims description 3
- 101000979909 Homo sapiens NMDA receptor synaptonuclear signaling and neuronal migration factor Proteins 0.000 claims 3
- 102100024546 NMDA receptor synaptonuclear signaling and neuronal migration factor Human genes 0.000 claims 3
- 238000004891 communication Methods 0.000 abstract description 8
- 238000012545 processing Methods 0.000 description 13
- 238000012544 monitoring process Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 10
- 230000004044 response Effects 0.000 description 9
- 230000008569 process Effects 0.000 description 6
- 239000003795 chemical substances by application Substances 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 238000013500 data storage Methods 0.000 description 4
- 238000001514 detection method Methods 0.000 description 4
- 238000002955 isolation Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000006978 adaptation Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 230000010076 replication Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供了一种网络切片数据验证方法及其相关设备,涉及通信技术领域。该方法包括:向网络切片数据管理节点发送第一访问请求,第一访问请求用于请求访问网络切片数据属性信息,网络切片数据管理节点为分布式账本中的节点;当第一访问请求通过时,接收网络切片数据管理节点返回的网络切片数据属性信息,网络切片数据属性信息包括数据定位信息及第一数据验证信息;向NSSMF设备发送第二访问请求,第二访问请求用于基于数据定位信息请求访问网络切片数据;当第二访问请求通过时,接收NSSMF设备返回的网络切片数据;基于第一数据验证信息对网络切片数据进行验证。本公开可对原始网络切片管理数据进行完整性检测,及时发现数据是否被篡改。
Description
技术领域
本公开涉及通信技术领域,尤其涉及一种网络切片数据验证方法及其相关设备。
背景技术
5G端到端切片由核心网、无线网、传输网子切片组合而成,并通过端到端切片管理系统,下发不同业务的服务等级(SLA:Service-Level Agreement)需求,进行统一定制和管理。切片系统需要提供从网络功能虚拟化基础设施(NFVI:Network FunctionVirtualization Infrastructure)、虚拟网络功能(VNF:Virtual Network Function)到管理层的多级安全隔离。在NFVI可以提供基于独立硬件的高安全性的隔离,以及基于NFVI租户支持的vCPU(虚拟处理器)、vNet(虚拟网络)、vStorage(虚拟储存)虚拟资源的隔离。在VNF应用层支持逻辑隔离,如根据切片标识配置该切片所支持的用户数量。在管理层,支持根据切片ID分权分域,给不同租户提供故障、配置、计费、性能和安全(FCAPS)的隔离。
一个网络切片实例由一个或多个网络切片子网实例组成,而网络切片子网则是由一组网络功能、传输网络组成的。在网络切片实例运行过程中,垂直行业可以通过定期检查网络切片的管理数据(包括:性能数据、故障数据、配置数据、安全数据等),以确保网络切片的性能和可用性满足业务服务等级(SLA:Service-Level Agreement)的要求。当网络切片服务性能降低或不可用的时候,可以通过这些网络切片管理数据分析故障发生的原因。但是为了达到推卸产生网络故障责任的目的,这些分别存在于网络切片全生命周期管理系统,核心网、无线、传输切片子网络管理系统,或者虚拟网络功能管理系统中的网络切片管理数据可能会被篡改,从而导致5G网络切片管理的决策错误或预测失效等问题。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开提供一种网络切片数据验证方法及其相关设备,至少在一定程度上克服相关技术中网络切片数据被篡改的问题。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本公开的一个方面,提供一种网络切片数据验证方法,包括:
向网络切片数据管理节点发送第一访问请求,所述第一访问请求用于请求访问网络切片数据属性信息,所述网络切片数据管理节点为分布式账本中的节点;
当第一访问请求通过时,接收所述网络切片数据管理节点返回的网络切片数据属性信息,所述网络切片数据属性信息包括数据定位信息及第一数据验证信息;
向网络切片子网管理功能NSSMF设备发送第二访问请求,所述第二访问请求用于基于所述数据定位信息请求访问网络切片数据;
当第二访问请求通过时,接收所述NSSMF设备返回的网络切片数据;
基于所述第一数据验证信息对所述网络切片数据进行验证。
在本公开的一个实施例中,所述第一访问请求包括用户身份信息,在向网络切片数据管理节点发送第一访问请求之后,所述方法还包括:
接收用户身份认证结果,所述用户身份认证结果由所述网络切片数据管理节点基于所述用户身份信息生成;
若所述用户身份认证结果为用户身份认证通过,则确定第一访问请求通过。
在本公开的一个实施例中,所述第一访问请求包括数据查询信息,所述接收所述网络切片数据管理节点返回的网络切片数据属性信息,具体包括:
接收所述网络切片数据管理节点返回的与所述数据查询信息对应的网络切片数据属性信息。
在本公开的一个实施例中,所述方法还包括:
当第一访问请求通过时,接收访问令牌,所述访问令牌由所述网络切片数据管理节点生成,用于认证用户权限。
在本公开的一个实施例中,所述第二访问请求包括访问令牌,在向网络切片子网管理功能NSSMF设备发送第二访问请求之后,所述方法还包括:
接收用户权限认证结果,所述用户权限认证结果由NSSMF设备基于访问令牌生成;
若所述用户权限认证结果为用户权限通过认证,则确定第二访问请求通过。
在本公开的一个实施例中,所述基于所述网络切片数据属性信息对所述网络切片数据进行验证,具体包括:
基于所述网络切片数据生成第二数据验证信息;
对比所述第二数据验证信息和所述第一数据验证信息;
若所述第二数据验证信息和所述第一数据验证信息相同,则所述网络切片数据通过验证。
在本公开的一个实施例中,NSMF设备和NSSMF设备上均设有代理节点,所述代理节点用于采集网络切片数据属性信息并将网络切片数据属性信息发送至所述网络切片数据管理节点。
根据本公开的另一个方面,提供一种网络切片管理功能NSMF设备,包括:
第一数据请求模块,用于向网络切片数据管理节点发送第一访问请求,所述第一访问请求用于请求访问网络切片数据属性信息,所述网络切片数据管理节点为分布式账本中的节点;
第一数据接收模块,用于当第一访问请求通过时,接收所述网络切片数据管理节点返回的网络切片数据属性信息,所述网络切片数据属性信息包括数据定位信息及第一数据验证信息;
第二数据请求模块,用于向网络切片子网管理功能NSSMF设备发送第二访问请求,所述第二访问请求用于基于所述数据定位信息请求访问网络切片数据;
第二数据接收模块,用于当第二访问请求通过时,接收所述NSSMF设备返回的网络切片数据;
数据验证模块,用于基于所述第一数据验证信息对所述网络切片数据进行验证。
根据本公开的再一个方面,提供一种电子设备,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;其中,所述处理器配置为经由执行所述可执行指令来执行上述的网络切片数据验证方法。
根据本公开的又一个方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述的网络切片数据验证方法。
本公开实施例所提供的网络切片数据验证方法及其相关设备,通过将网络切片数据属性放到分布式账本的网络切片数据管理节点中,保证了网络切片数据属性不被篡改,同时通过向网络切片数据管理节点发送访问请求,只有当请求通过时才能获得访问原始网络切片数据的权限,进而根据网络切片数据管理节点中存储的网络切片数据属性信息验证原始网络切片数据的属性信息,从而可以对原始网络切片管理数据进行完整性检测,及时发现数据是否被篡改。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出本公开实施例中一种网络切片实例的示意图;
图2示出本公开实施例中一种网络切片数据验证方法的系统架构示意图;
图3示出本公开实施例中一种网络切片数据验证方法的流程图;
图4示出本公开实施例中一种网络切片数据验证方法的消息传输路径示意图;
图5示出本公开实施例中一种网络切片数据属性构成示意图;
图6示出本公开实施例中一种数据验证过程示意图;
图7示出本公开实施例中一种NSMF设备示意图;和
图8示出本公开实施例中一种电子设备的结构框图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
为了便于理解,下面首先对本公开涉及到的几个名词进行解释如下:
5G网络切片是一种按需组网的方式,可以让运营商在统一的基础设施上切出多个虚拟的端到端网络,每个网络从无线网、承载网、核心网在逻辑上隔离以适配不同的业务需求。一个端到端5G切片是无线网、承载网与核心网各子域切片的组合。由于5G网络切片涉及到运营商网络中无线网、承载网、核心网多个子网切片的生命周期管理以及子网切片之间的打通。为了实现网络切片的自动化管理,5G网络中新增了网络切片的管理功能,包括:通信服务管理功能CSMF(Communication Service Management Function)、网络切片管理功能NSMF(Network Slice Management Function)和网络切片子网管理功能NSSMF(NetworkSlice Subnet Management Function)。
其中,NSMF为网络切片管理功能,接收从CSMF下发的网络切片部署请求,将网络切片的SLA(Service Level Agreement,服务级别协议)需求分解为网络切片子网的SLA需求,并向NSSMF下发网络切片子网部署请求。
NSSMF为网络切片子网管理功能,按照专业领域分为无线NSSMF(AN-NSSMF)、承载NSSMF(TN-NSSMF)和核心网NSSMF(CN-NSSMF),图1示出了NSMF与NSSMF的连接示意图,各领域NSSMF接收从NSMF下发的网络切片子网部署需求,将网络切片子网的SLA需求转换为网元业务参数并下发给网元。
在目前网络切片的实现方案中,为了在产生网络故障时达到推卸责任的目的,这些分别存在于网络切片全生命周期管理系统,核心网、无线、传输切片子网络管理系统,或者虚拟网络功能管理系统中的网络切片数据可能会被篡改,从而导致5G网络切片管理的决策错误或预测失效等问题。
为了避免上述问题的发生,本公开提出的网络切片数据验证方法,主要是针对网络切片管理系统存在不可信任跨领域、跨厂家、跨运营商的网络管理特点,在网络切片管理的功能模块上增加分布代理节点逻辑功能模块,以及基于分布式账本的数据管理节点逻辑功能模块,将5G网络切片各个子系统管理数据的属性信息存放在分布式账本中,数据安全监控模块通过获取分布式账本中的数据属性,实现对原始切片网络管理数据的访问,以及哈希值比较,从而保证5G网络切片管理过程中的数据安全,实现管理数据防篡改、溯源和反制等措施。
具体地,本公开提供的网络切片数据验证方法可应用于但不限于NSMF设备,该方法包括:向网络切片数据管理节点发送第一访问请求,第一访问请求用于请求访问网络切片数据属性信息,网络切片数据管理节点为分布式账本中的节点;当第一访问请求通过时,接收网络切片数据管理节点返回的网络切片数据属性信息,网络切片数据属性信息包括数据定位信息及第一数据验证信息;向NSSMF设备发送第二访问请求,第二访问请求用于基于数据定位信息请求访问网络切片数据;当第二访问请求通过时,接收NSSMF设备返回的网络切片数据;基于第一数据验证信息对网络切片数据进行验证。
在介绍了本申请的基本原理之后,下面将参照图2说明应用于本公开实施例的网络切片数据验证方法的系统架构。
如图2所示,在本公开实施例提供的网络切片实例中,各NSMF设备及NSSMF设备上均设有分布式账本代理节点,分布式账本代理节点可以完成数据访问控制、数据完整性检查、数据加解密、公钥/私钥对(数据属性信息生成者和使用者的私钥、相关的业务提供者的公钥)存储等功能。
在上述网络切片实例之外,本公开实施例还设有基于分布式账本的数据管理节点,数据管理节点作为区块链节点,可以产生并保存包含网络切片数据属性的账本,并完成对数据属性生成者和使用者的注册(包括:网络功能实体ID、以及相关的业务提供者的公钥)、对数据属性信息用户或使用者进行认证和鉴权。
需要说明的是,分布式账本是分布在多个节点或计算设备上的数据库,每个节点都可以复制并保存一个分类帐,且每个节点都可以进行独立更新。它的特征是分类账不由任何中央机构维护,分类账的更新是由每个节点独立构建和记录的。节点可以对这些更新进行投票,以确保其符合大多数人的意见。这种投票又被称为共识,共识会通过算法自动达成。共识一旦达成,分布式分类账就会自行更新,分类账的最新的商定版本将分别保存在每个节点上。区块链是分布式账本技术的一种形式,区块链分布在点对点的网络上并由其管理。由于它是一个分布式账本,因此可以在没有中央服务器的管理的情况下运行,并且可以通过数据库复制和信任计算来维护其数据质量。
本公开通过在网络切片管理功能模块中增加分布代理节点逻辑功能模块和基于分布式账本的数据管理节点逻辑功能模块,将网络切片数据属性存储在分布式账本中,通过对网络切片数据的完整性检测,实现网络切片数据安全防护,保证数据防篡改、溯源和反制等措施。
需要说明的是,在上述架构中,NSSMF设备的代理节点可与NSMF设备的代理节点建立通信连接,且NSSMF设备的代理节点以及NSMF设备的代理节点均可与数据管理节点建立通信连接。上述通信连接用于实现代理节点及数据管理节点的节点功能。
进一步地,节点功能通过NSSMF设备或NSMF设备中的安全监控管理模块调用。安全监控管理模块可以认为是本公开中分布式账本的来源和使用者,可向代理节点下发命令或提供网络切片数据属性信息。本领域技术人员可以理解,安全监控管理模块是NSMF设备或NSSMF设备中的功能模块,任一NSMF设备中均存在网络切片安全监控管理模块,任一NSSMF设备中均存在网络切片子网安全监控管理模块。
具体地,安全监控管理模块是网络切片管理的基本功能模块,本公开通过在安全监控管理模块上增加分布代理节点逻辑功能模块,并设置基于分布式账本的数据管理节点逻辑功能模块,将5G网络切片各个子网管理数据的属性信息存放在分布式账本中。
需要说明的是,本公开实施例中的网络切片数据属性通过NSMF设备或NSSMF设备的分布式账本代理节点通过同一设备上的网络切片的安全监控管理模块中获取。
需要说明的是,获取的网络切片数据属性信息,包括:网络切片数据属性索引值、网络切片数据类型(如:性能数据、故障数据、配置数据、安全数据等)、网络切片数据的生成者和使用者、网络切片数据采集或生成的时间戳、网络切片数据存储的位置(如:文件、数据库等)、网络切片数据的哈希值等。
本公开提出的网络切片数据验证方法,利用区块链技术将网络切片数据属性放到分布式账本中,保证了网络切片数据属性不被篡改,原始的网络切片数据仍然存储在各个切片管理子系统中。并且通过对网络切片提供者的公钥进行认证,只有认证通过且在数据使用者列表中的数据访问者,才被允许访问原始网络切片数据,才能获得原始数据哈希值、数据访问令牌、数据存储位置等信息。通过与数据属性信息中数据哈希值比较,可以对原始网络切片数据进行完整性检测,及时发现数据是否被篡改。
下面结合附图及实施例对本示例实施方式进行详细说明。
首先,本公开实施例中提供了一种网络切片数据验证方法,该方法可以由任意具备计算处理能力的电子设备执行。
图3示出本公开实施例中一种网络切片数据验证方法流程图,同时参照图4中结合本公开应用的系统架构示出的消息传播路径,本公开实施例中提供的网络切片数据验证方法包括如下步骤:
S302,向网络切片数据管理节点发送第一访问请求,第一访问请求用于请求访问网络切片数据属性信息,网络切片数据管理节点为分布式账本中的节点。
需要说明的是,本公开所称的网络切片数据可理解为网络切片管理数据,可以包括网络切片数据中的性能数据、故障数据、安全数据、配置数据等等。这些数据的共同点是数据量大,且相对比较敏感,因此不适合直接储存至分布式账本的网络切片数据管理节点中,分布式账本中只需要保留网络切片各个子系统的网络切片管理数据的属性信息,这些数据量较小且不涉及敏感信息。
原始的网络切片数据仍存储在各个切片管理子系统中,当这些数据有意或无意被修改时,可以通过检测存储在分布式账本中的网络切片数据属性变化发现这些修改的行为。
进一步地,本公开所称的网络切片数据属性信息可理解为网络切片管理数据属性信息。如图5所示,网络切片管理数据属性信息可以包括:网络切片管理数据属性索引值、网络切片管理数据类型、网络切片管理数据的生成者、网络切片管理数据的使用者,网络切片管理数据采集或生成的时间戳、网络切片管理数据存储的位置、网络切片管理数据的哈希值以及数字签名等。
需要说明的是,本公开实施例中的第一访问请求由NSMF设备的网络切片安全监控模块(数据属性使用者)通过位于同一NSMF设备的分布式账本代理节点向分布式账本的数据管理节点发送,第一访问请求的请求消息可以包括:用户身份信息(例如:网络切片提供者的公钥、网络切片子网提供者的公钥等);数据查询信息,例如:网络切片实例信息、数据类型(如:FCAPS管理数据)、数据采集或生成的时间等。本领域技术人员可以理解,任意可以验证用户身份或表示查询数据特征的消息均可作为第一访问请求的请求消息的一部分,本公开实施例对此不作限定。
网络切片数据管理节点在接收到第一访问请求后,基于上述用户身份信息对发起请求的用户(如:携带公钥的网络切片提供者)进行认证,其中,认证过程可包括对网络切片提供者携带公钥的认证,以及检查该网络切片提供者是否在网络切片数据的用户列表中。只有认证通过且在数据使用者列表中的数据访问者,才被允许访问原始网络切片管理数据,才能获得原始数据哈希值、数据访问令牌、数据存储位置等信息。
需要说明的是,本公开实施例中分布式账本的网络切片数据管理节点为区块链节点,用于产生并保存包含网络切片数据属性的账本,并完成对数据属性生成者和使用者的注册(包括:网络功能实体ID、以及相关的业务提供者的公钥等)、对数据属性信息用户或使用者进行认证和鉴权等。
S304,当第一访问请求通过时,接收网络切片数据管理节点返回的网络切片数据属性信息,网络切片数据属性信息包括数据定位信息及第一数据验证信息;
需要说明的是,NSMF设备的分布式账本代理节点用于接收用户身份认证结果,用户身份认证结果由网络切片数据管理节点基于上述用户身份信息生成;若用户身份认证结果为用户身份认证通过,则确定第一访问请求通过。
具体地,当第一访问请求通过时,分布式账本的数据管理节点生成访问令牌,并返回数据属性访问响应消息给NSMF设备的分布式账本代理节点,上述数据属性访问响应消息为网络切片数据属性信息,包括:数据定位信息、第一数据验证信息,其中,数据定位信息可以是网络切片数据的存储位置,第一数据验证信息可以是用于验证网络切片数据的哈希值等。
更具体地,上述数据属性访问响应消息还可以包括访问令牌,访问令牌用于验证用户获取原始网络切片数据的权限。
需要说明的是,返回的数据属性访问响应消息是与上述网络切片数据查询信息对应的数据属性访问响应信息,例如,若第一访问请求中指定查询某一时刻生成的网络切片数据,则返回的数据属性访问响应消息为该时刻的网络切片数据的定位信息,以及该时刻的网络切片数据的访问令牌。
S306,向网络切片子网管理功能NSSMF设备发送第二访问请求,第二访问请求用于基于数据定位信息请求访问网络切片数据;
具体地,NSMF设备的分布式账本代理节点在收到数据属性访问响应消息后,向NSSMF设备的分布式账本代理节点发送第二访问请求(用于访问原始网络切片数据的访问请求)。
更具体地,本公开实施例中的第二访问请求由NSMF设备的网络切片安全监控模块(数据属性使用者)通过位于同一NSMF设备的分布式账本代理节点向NSSMF设备的分布式账本代理节点发送,第二访问请求的请求消息可以包括:数据定位信息(如上述数据存储位置)、以及网络切片提供者的公钥、访问令牌等。
需要说明的是,网络切片提供者的公钥及访问令牌用于验证用户的身份和权限,当验证通过时,数据定位信息用于在NSSMF设备中定位具体地网络切片数据。
S308,当第二访问请求通过时,接收NSSMF设备返回的网络切片数据;
需要说明的是,NSSMF设备的分布式账本代理节点在接收到第二访问请求后,验证访问令牌。若访问令牌是有效的,则第二访问请求通过。
具体地,当第二访问请求通过时,NSSMF设备的分布式账本代理节点返回数据访问响应给NSMF设备的分布式账本代理节点,响应消息中包括:请求的原始网络切片数据。
S310,基于第一数据验证信息对网络切片数据进行验证。
具体地,如图6所示,NSMF设备在访问令牌通过验证后,接收原始网络切片数据,随后生成原始网络切片数据的第二数据验证信息,再与S304中从分布式账本的数据管理节点上接收到的第一数据验证信息进行比较。如果第一数据验证信息和第二数据验证信息相同,说明原始网络切片数据没有被篡改;相反如果第一数据验证信息和第二数据验证信息不同,则说明原始网络切片数据被篡改。
需要说明的是,第二数据验证信息与第一数据验证信息的类型相同,例如,当第一数据验证信息为哈希值时,第二数据验证信息也为哈希值。
通过与数据属性信息中数据哈希值比较,可以对原始网络切片管理数据进行完整性检测,及时发现数据是否被篡改,从而保证5G网络切片管理过程中的数据安全。
基于同一发明构思,本公开实施例中还提供了一种网络切片管理功能NSMF设备,如下面的实施例所述。由于该设备实施例解决问题的原理与上述方法实施例相似,因此该设备实施例的实施可以参见上述方法实施例的实施,重复之处不再赘述。
图7示出本公开实施例中一种网络切片管理功能NSMF设备示意图,如图7所示,该设备700包括:
第一数据请求模块701,用于向网络切片数据管理节点发送第一访问请求,第一访问请求用于请求访问网络切片数据属性信息,网络切片数据管理节点为分布式账本中的节点;
第一数据接收模块702,用于当第一访问请求通过时,接收网络切片数据管理节点返回的网络切片数据属性信息,网络切片数据属性信息包括数据定位信息及第一数据验证信息;
第二数据请求模块703,用于向网络切片子网管理功能NSSMF设备发送第二访问请求,第二访问请求用于基于数据定位信息请求访问网络切片数据;
第二数据接收模块704,用于当第二访问请求通过时,接收NSSMF设备返回的网络切片数据;
数据验证模块705,用于基于第一数据验证信息对网络切片数据进行验证。
可选地,第一数据接收模块702还可用于:
接收用户身份认证结果,用户身份认证结果由网络切片数据管理节点基于用户身份信息生成;
若用户身份认证结果为用户身份认证通过,则确定第一访问请求通过。
可选地,第一数据接收模块702具体用于:
接收网络切片数据管理节点返回的与数据查询信息对应的网络切片数据属性信息。
可选地,第一数据接收模块702具体用于:
当第一访问请求通过时,接收访问令牌,访问令牌由网络切片数据管理节点生成,用于认证用户权限。
可选地,第二数据接收模块704还可用于:
接收用户权限认证结果,用户权限认证结果由NSSMF设备基于访问令牌生成;
若用户权限认证结果为用户权限通过认证,则确定第二访问请求通过。
可选地,数据验证模块705具体用于:
基于网络切片数据生成第二数据验证信息;
对比第二数据验证信息和第一数据验证信息;
若第二数据验证信息和第一数据验证信息相同,则网络切片数据通过验证。
需要说明的是,上述实施例提供的网络切片管理功能NSMF设备在用于网络切片数据验证时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的网络切片管理功能NSMF设备与网络切片数据验证方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
所属技术领域的技术人员能够理解,本公开的各个方面可以实现为系统、方法或程序产品。因此,本公开的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
下面参照图8来描述根据本公开的这种实施方式的电子设备800。图8显示的电子设备800仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图8所示,电子设备800以通用计算设备的形式表现。电子设备800的组件可以包括但不限于:上述至少一个处理单元810、上述至少一个存储单元820、连接不同系统组件(包括存储单元820和处理单元810)的总线830。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元810执行,使得所述处理单元810执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施方式的步骤。例如,所述处理单元810可以执行上述方法实施例的如下步骤:向网络切片数据管理节点发送第一访问请求,第一访问请求用于请求访问网络切片数据属性信息,网络切片数据管理节点为分布式账本中的节点;当第一访问请求通过时,接收网络切片数据管理节点返回的网络切片数据属性信息,网络切片数据属性信息包括数据定位信息及第一数据验证信息;向网络切片子网管理功能NSSMF设备发送第二访问请求,第二访问请求用于基于数据定位信息请求访问网络切片数据;当第二访问请求通过时,接收NSSMF设备返回的网络切片数据;基于第一数据验证信息对网络切片数据进行验证。
可选地,上述处理单元810还可执行:
接收用户身份认证结果,用户身份认证结果由网络切片数据管理节点基于用户身份信息生成;
若用户身份认证结果为用户身份认证通过,则确定第一访问请求通过。
可选地,上述处理单元810具体可执行:
接收网络切片数据管理节点返回的与数据查询信息对应的网络切片数据属性信息。
可选地,上述处理单元810还可执行:
当第一访问请求通过时,接收访问令牌,访问令牌由网络切片数据管理节点生成,用于认证用户权限。
可选地,上述处理单元810还可执行:
接收用户权限认证结果,用户权限认证结果由NSSMF设备基于访问令牌生成;
若用户权限认证结果为用户权限通过认证,则确定第二访问请求通过。
可选地,上述处理单元810具体可执行:
基于网络切片数据生成第二数据验证信息;
对比第二数据验证信息和第一数据验证信息;
若第二数据验证信息和第一数据验证信息相同,则网络切片数据通过验证。
存储单元820可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)8201和/或高速缓存存储单元8202,还可以进一步包括只读存储单元(ROM)8203。
存储单元820还可以包括具有一组(至少一个)程序模块8205的程序/实用工具8204,这样的程序模块8205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线830可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备800也可以与一个或多个外部设备840(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备800交互的设备通信,和/或与使得该电子设备800能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口850进行。并且,电子设备800还可以通过网络适配器860与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器860通过总线830与电子设备800的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备800使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质可以是可读信号介质或者可读存储介质。其上存储有能够实现本公开上述方法的程序产品。在一些可能的实施方式中,本公开的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施方式的步骤。
本公开中的计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
在本公开中,计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可选地,计算机可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
在具体实施时,可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
通过以上实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本公开旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由所附的权利要求指出。
Claims (10)
1.一种网络切片数据验证方法,其特征在于,应用于网络切片管理功能NSMF设备,所述方法包括:
向网络切片数据管理节点发送第一访问请求,所述第一访问请求用于请求访问网络切片数据属性信息,所述网络切片数据管理节点为分布式账本中的节点;
当第一访问请求通过时,接收所述网络切片数据管理节点返回的网络切片数据属性信息,所述网络切片数据属性信息包括数据定位信息及第一数据验证信息;
向网络切片子网管理功能NSSMF设备发送第二访问请求,所述第二访问请求用于基于所述数据定位信息请求访问网络切片数据;
当第二访问请求通过时,接收所述NSSMF设备返回的网络切片数据;
基于所述第一数据验证信息对所述网络切片数据进行验证。
2.根据权利要求1所述的网络切片数据验证方法,其特征在于,所述第一访问请求包括用户身份信息,在向网络切片数据管理节点发送第一访问请求之后,所述方法还包括:
接收用户身份认证结果,所述用户身份认证结果由所述网络切片数据管理节点基于所述用户身份信息生成;
若所述用户身份认证结果为用户身份认证通过,则确定第一访问请求通过。
3.根据权利要求1所述的网络切片数据验证方法,其特征在于,所述第一访问请求包括数据查询信息,所述接收所述网络切片数据管理节点返回的网络切片数据属性信息,具体包括:
接收所述网络切片数据管理节点返回的与所述数据查询信息对应的网络切片数据属性信息。
4.根据权利要求1所述的网络切片数据验证方法,其特征在于,所述方法还包括:
当第一访问请求通过时,接收访问令牌,所述访问令牌由所述网络切片数据管理节点生成,用于认证用户权限。
5.根据权利要求4所述的网络切片数据验证方法,其特征在于,所述第二访问请求包括访问令牌,在向网络切片子网管理功能NSSMF设备发送第二访问请求之后,所述方法还包括:
接收用户权限认证结果,所述用户权限认证结果由NSSMF设备基于访问令牌生成;
若所述用户权限认证结果为用户权限通过认证,则确定第二访问请求通过。
6.根据权利要求1所述的网络切片数据验证方法,其特征在于,所述基于所述网络切片数据属性信息对所述网络切片数据进行验证,具体包括:
基于所述网络切片数据生成第二数据验证信息;
对比所述第二数据验证信息和所述第一数据验证信息;
若所述第二数据验证信息和所述第一数据验证信息相同,则所述网络切片数据通过验证。
7.根据权利要求1所述的网络切片数据验证方法,其特征在于,NSMF设备和NSSMF设备上均设有代理节点,所述代理节点用于采集网络切片数据属性信息并将网络切片数据属性信息发送至所述网络切片数据管理节点。
8.一种网络切片管理功能NSMF设备,其特征在于,包括:
第一数据请求模块,用于向网络切片数据管理节点发送第一访问请求,所述第一访问请求用于请求访问网络切片数据属性信息,所述网络切片数据管理节点为分布式账本中的节点;
第一数据接收模块,用于当第一访问请求通过时,接收所述网络切片数据管理节点返回的网络切片数据属性信息,所述网络切片数据属性信息包括数据定位信息及第一数据验证信息;
第二数据请求模块,用于向网络切片子网管理功能NSSMF设备发送第二访问请求,所述第二访问请求用于基于所述数据定位信息请求访问网络切片数据;
第二数据接收模块,用于当第二访问请求通过时,接收所述NSSMF设备返回的网络切片数据;
数据验证模块,用于基于所述第一数据验证信息对所述网络切片数据进行验证。
9.一种电子设备,其特征在于,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1~7中任意一项所述的网络切片数据验证方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1~7中任意一项所述的网络切片数据验证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210134549.4A CN114448643B (zh) | 2022-02-14 | 2022-02-14 | 网络切片数据验证方法及其相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210134549.4A CN114448643B (zh) | 2022-02-14 | 2022-02-14 | 网络切片数据验证方法及其相关设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114448643A CN114448643A (zh) | 2022-05-06 |
| CN114448643B true CN114448643B (zh) | 2024-03-26 |
Family
ID=81374345
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210134549.4A Active CN114448643B (zh) | 2022-02-14 | 2022-02-14 | 网络切片数据验证方法及其相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114448643B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111669754A (zh) * | 2020-05-22 | 2020-09-15 | 中国联合网络通信集团有限公司 | 验证方法及装置 |
| CN111935737A (zh) * | 2020-07-16 | 2020-11-13 | 北京思特奇信息技术股份有限公司 | 实现网络切片生命周期管理的网络切片管理系统和方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180317134A1 (en) * | 2017-04-28 | 2018-11-01 | Huawei Technologies Co., Ltd. | Nssmf nsmf interaction connecting virtual 5g networks and subnets |
-
2022
- 2022-02-14 CN CN202210134549.4A patent/CN114448643B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111669754A (zh) * | 2020-05-22 | 2020-09-15 | 中国联合网络通信集团有限公司 | 验证方法及装置 |
| CN111935737A (zh) * | 2020-07-16 | 2020-11-13 | 北京思特奇信息技术股份有限公司 | 实现网络切片生命周期管理的网络切片管理系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114448643A (zh) | 2022-05-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5522307B2 (ja) | 仮想機械によるソフトウェアテストを用いた電子ネットワークにおけるクライアントシステムの遠隔保守のためのシステム及び方法 | |
| US10891383B2 (en) | Validating computer resource usage | |
| CN112583802B (zh) | 基于区块链的数据共享平台系统、设备以及数据共享方法 | |
| US7809940B2 (en) | Remote certificate management | |
| CN108289098B (zh) | 分布式文件系统的权限管理方法和装置、服务器、介质 | |
| KR101832535B1 (ko) | 서비스로서 신뢰할 수 있는 장치 클레임 제공 기법 | |
| CN110730081B (zh) | 基于区块链网络的证书吊销方法、相关设备及介质 | |
| US11928605B2 (en) | Techniques for cyber-attack event log fabrication | |
| US20210314224A1 (en) | Communication system, provider node, communication node, and method for providing a virtual network function to a customer node | |
| CN113761509B (zh) | iframe验证登录方法及装置 | |
| CN112131041A (zh) | 用于管理数据放置的方法、设备和计算机程序产品 | |
| CN114374699A (zh) | 跨链交互方法和跨链交互的审计方法 | |
| CN111614476A (zh) | 设备配置方法、系统和装置 | |
| CN114448643B (zh) | 网络切片数据验证方法及其相关设备 | |
| US11956639B2 (en) | Internet of things device provisioning | |
| Kanstrén et al. | Architecture for high confidence cloud security monitoring | |
| Zheng et al. | Secure distributed applications the decent way | |
| CN114978551B (zh) | 访问令牌下发方法、获取方法、装置、系统、设备及介质 | |
| López et al. | A secure and auto-configurable environment for mobile agents in ubiquitous computing scenarios | |
| CN114928617B (zh) | 专网签约数据管理方法、装置、设备及介质 | |
| US20230061057A1 (en) | Verifying signatures | |
| Bhargava et al. | Version Control System Gateway to Optimize Firmware over the Air (FOTA) Update for IoT Wireless Devices | |
| Bicchierai et al. | Validating the BIECO Security Evaluation Methodology within a Smart Grid Monitoring SW | |
| CN117319021A (zh) | 基于k8s搭建的容器云平台的授权方法、装置及设备 | |
| Zhang | Secure and Practical Splitting of IoT Device Functionalities |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |