CN115225363A - 边缘能力的开放方法及装置、存储介质、电子设备 - Google Patents
边缘能力的开放方法及装置、存储介质、电子设备 Download PDFInfo
- Publication number
- CN115225363A CN115225363A CN202210828460.8A CN202210828460A CN115225363A CN 115225363 A CN115225363 A CN 115225363A CN 202210828460 A CN202210828460 A CN 202210828460A CN 115225363 A CN115225363 A CN 115225363A
- Authority
- CN
- China
- Prior art keywords
- capability
- open
- attribute
- policy
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 58
- 238000011217 control strategy Methods 0.000 claims abstract description 28
- 238000012545 processing Methods 0.000 claims description 10
- 239000000284 extract Substances 0.000 claims description 7
- 238000000605 extraction Methods 0.000 claims description 6
- 238000004590 computer program Methods 0.000 claims description 2
- 230000007246 mechanism Effects 0.000 abstract description 9
- 238000010586 diagram Methods 0.000 description 11
- 230000014509 gene expression Effects 0.000 description 9
- 230000008569 process Effects 0.000 description 6
- 230000006855 networking Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000010295 mobile communication Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 210000003311 CFU-EM Anatomy 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000003190 augmentative effect Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000008092 positive effect Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本公开属于网络安全技术领域,涉及一种边缘能力的开放方法及装置、存储介质、电子设备。该方法包括:获取调用方的调用请求和开放能力策略池,并提取调用请求中的至少两组属性集合;其中,开放能力策略池包括访问控制策略;比对至少两组属性集合得到共有属性集,并对共有属性集进行替换得到去重属性集;根据去重属性集在访问控制策略中确定开放能力策略,以使调用方调用与开放能力策略对应的开放能力。本公开保护了调用方的隐私信息的安全性,解决了开放能力被滥用和调用方隐私泄露的问题,支持创建安全可靠的能力开放机制,引入了访问控制策略的可用性的匹配判断机制,实现了边缘开放能力的可管及可控,满足了跨域开放能力复杂多变的场景需求。
Description
技术领域
本公开涉及网络安全技术领域,尤其涉及一种边缘能力的开放方法与边缘能力的开放装置、计算机可读存储介质及电子设备。
背景技术
基于5G(5th Generation Mobile Communication Technology,第五代移动通信技术)MEC(Mobile Edge Computing,移动边缘计算)的跨域能力开放作为边缘能力,对外提供灵活、便捷的MEC服务能力是重要方式之一。在ETSI GR MEC 035标准中仅考虑了MEC内的边缘能力调用的身份认证和授权,未定义在跨域访问MEC开放能力的访问控制流程和调用方的身份隐私保护机制。
如果MEC开放能力未加限制,存在随意开放被滥用的安全风险。MEC开放能力访问控制仅限在本地服务单一属性匹配,访问控制范围受限。此外,在调用开放能力的过程中,调用方的隐私信息未加保护,将导致调用方的隐私信息被泄露的后果。
鉴于此,本领域亟需开发一种新的边缘能力的开放方法及装置。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开的目的在于提供一种边缘能力的开放方法、边缘能力的开放装置、计算机可读存储介质及电子设备,进而至少在一定程度上克服由于相关技术的限制而导致的开放能力滥用、访问范围受限和调用方隐私信息泄露的技术问题。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本发明实施例的第一个方面,提供一种边缘能力的开放方法,所述方法包括:
获取调用方的调用请求和开放能力策略池,并提取所述调用请求中的至少两组属性集合;其中,所述开放能力策略池包括访问控制策略;
比对所述至少两组属性集合得到共有属性集,并对所述共有属性集进行替换得到去重属性集;
根据所述去重属性集在所述访问控制策略中确定开放能力策略,以使所述调用方调用与所述开放能力策略对应的开放能力。
在本发明的一种示例性实施例中,所述获取调用方的调用请求和开放能力策略池,包括:
获取调用方的调用请求和边缘开放能力,并提取所述边缘开放能力的属性特征;
根据所述属性特征确定对应的访问控制策略,并根据所述访问控制策略构建开放能力策略池。
在本发明的一种示例性实施例中,所述根据所述访问控制策略构建开放能力策略池,包括:
对所述访问控制策略进行逻辑组合得到逻辑树结构,以根据所述逻辑树结构构建开放能力策略池。
在本发明的一种示例性实施例中,所述根据所述去重属性集在所述访问控制策略中确定开放能力策略,包括:
确定与所述开放能力策略池的所述访问控制策略对应的逻辑树结构,并将所述去重属性集与所述逻辑树结构进行匹配确定开放能力策略。
在本发明的一种示例性实施例中,所述逻辑树结构,包括:二叉逻辑树结构。
在本发明的一种示例性实施例中,所述属性特征,包括:应用场景、服务归属地和所需服务。
在本发明的一种示例性实施例中,所述对所述共有属性集进行替换得到去重属性集,包括:
获取与所述共有属性集对应的通配符属性;
利用所述通配符属性在所述至少两组属性集合中替换所述共有属性集得到去重属性集。
根据本发明实施例的第二个方面,提供一种边缘能力的开放装置,包括:
属性提取模块,被配置为获取调用方的调用请求和开放能力策略池,并提取所述调用请求中的至少两组属性集合;其中,所述开放能力策略池包括访问控制策略;
替换处理模块,被配置为比对所述至少两组属性集合得到共有属性集,并对所述共有属性集进行替换得到去重属性集;
能力调用模块,被配置为根据所述去重属性集在所述访问控制策略中确定开放能力策略,以使所述调用方调用与所述开放能力策略对应的开放能力。
根据本发明实施例的第三个方面,提供一种电子设备,包括:处理器和存储器;其中,存储器上存储有计算机可读指令,所述计算机可读指令被所述处理器执行时实现上述任意示例性实施例中的边缘能力的开放方法。
根据本发明实施例的第四个方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任意示例性实施例中的边缘能力的开放方法。
由上述技术方案可知,本公开示例性实施例中的边缘能力的开放方法、边缘能力的开放装置、计算机存储介质及电子设备至少具备以下优点和积极效果:
在本公开的示例性实施例提供的方法及装置中,通过对共有属性集进行替换得到对应的去重属性集,保护了调用方的隐私信息的安全性,解决了开放能力被滥用和调用方隐私泄露的问题,支持创建安全可靠的能力开放机制。进一步的,根据去重属性集在访问控制策略中匹配对应的开放能力策略,引入了访问控制策略的可用性的匹配判断机制,实现了边缘开放能力的可管及可控,满足了跨域开放能力复杂多变的场景需求,推动了边缘开放能力的落地和发展。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示意性示出本公开示例性实施例中一种边缘能力的开放方法的流程示意图;
图2示意性示出本公开示例性实施例中获取调用请求和开放能力策略池的方法的流程示意图;
图3示意性示出本公开示例性实施例中一种二叉逻辑树结构的结构示意图;
图4示意性示出本公开示例性实施例中另一种二叉逻辑树结构的结构示意图;
图5示意性示出本公开示例性实施例中替换共有属性集的方法的流程示意图;
图6示意性示出本公开示例性实施例中应用场景下边缘能力的开放方法的流程示意图;
图7示意性示出本公开示例性实施例中应用场景下边缘能力开放的控制方法的架构示意图;
图8示意性示出本公开示例性实施例中一种边缘能力的开放装置的结构示意图;
图9意性示出本公开示例性实施例中一种用于实现边缘能力的开放方法的电子设备;
图10意性示出本公开示例性实施例中一种用于实现边缘能力的开放方法的计算机可读存储介质。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中,提供许多具体细节从而给出对本公开的实施方式的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而省略所述特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知技术方案以避免喧宾夺主而使得本公开的各方面变得模糊。
本说明书中使用用语“一个”、“一”、“该”和“所述”用以表示存在一个或多个要素/组成部分/等;用语“包括”和“具有”用以表示开放式的包括在内的意思并且是指除了列出的要素/组成部分/等之外还可存在另外的要素/组成部分/等;用语“第一”和“第二”等仅作为标记使用,不是对其对象的数量限制。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。
针对相关技术中存在的问题,本公开提出了一种边缘能力的开放方法。图1示出了边缘能力的开放方法的流程图,如图1所示,边缘能力的开放方法至少包括以下步骤:
步骤S110.获取调用方的调用请求和开放能力策略池,并提取调用请求中的至少两组属性集合;其中,开放能力策略池包括访问控制策略。
步骤S120.比对至少两组属性集合得到共有属性集,并对共有属性集进行替换得到去重属性集。
步骤S130.根据去重属性集在访问控制策略中确定开放能力策略,以使调用方调用与开放能力策略对应的开放能力。
在本公开的示例性实施例中,通过对共有属性集进行替换得到对应的去重属性集,保护了调用方的隐私信息的安全性,解决了开放能力被滥用和调用方隐私泄露的问题,支持创建安全可靠的能力开放机制。进一步的,根据去重属性集在访问控制策略中匹配对应的开放能力策略,引入了访问控制策略的可用性的匹配判断机制,实现了边缘开放能力的可管及可控,满足了跨域开放能力复杂多变的场景需求,推动了边缘开放能力的落地和发展。
下面对边缘能力的开放方法的各个步骤进行详细说明。
在步骤S110中,获取调用方的调用请求和开放能力策略池,并提取调用请求中的至少两组属性集合;其中,开放能力策略池包括访问控制策略。
在本公开的示例性实施例中,跨域的云服务系统的实例需要调用开放能力,因此调用方的会发送对应的调用请求。
在可选的实施例中,图2示出了获取调用请求和开放能力策略池的方法的流程示意图,如图2所示,该方法至少可以包括以下步骤:在步骤S210中,获取调用方的调用请求和边缘开放能力,并提取边缘开放能力的属性特征。
一方面,当调用方发送调用请求之后,可以获取到对应的调用请求。
另一方面,多个MEC App(Application,应用程序)通过向MEP(Mobile EdgePlatform,移动边缘平台)注册自己的开放能力的方式,使得能够获取到边缘开放能力。
进一步的,MEP能够提取边缘开放能力的属性特征。
在可选的实施例中,属性特征,包括:应用场景、服务归属地和所需服务。
在MEP提取边缘开放能力的属性特征时,可以是按照5G+应用场景、服务归属地和所需服务等元数据项进行提取。在实际应用场景下,属性特征还可以包括其他特征,本示例性实施例对此不做特殊限定。
举例而言,提取到的边缘开放能力1的属性特征的集合可以是{场景:车联网;服务归属地:北京;所需服务:位置服务};提取到的边缘开放能力2的属性特征的集合可以是{场景:AR/VR(Augmented Reality,,增强现实/Virtual Reality,虚拟现实);服务归属地:北京;所需服务:流量管理服务};提取到的边缘开放能力3的属性特征的集合可以是{场景:智能制造;服务归属地:广州;所需服务:无线网络信息服务}。
在步骤S220中,根据属性特征确定对应的访问控制策略,并根据访问控制策略构建开放能力策略池。
在提取到属性特征之后,可以根据属性特征确定对应的访问控制策略。
具体的,可以是根据属性特征中的元数据分类,由MEP为边缘开放能力分配访问控制策略,以进一步构建开放能力策略池。
举例而言,MEP分配的两个可用的开放能力对应的访问控制策略可以是{(场景:车联网AND服务归属地:北京;)AND(所需服务:位置服务)},以及{(场景:AR/VR;AND服务归属地:北京;)AND(所需服务:位置服务)}。
在可选的实施例中,对访问控制策略进行逻辑组合得到逻辑树结构,以根据逻辑树结构构建开放能力策略池。
利用逻辑树结构可以表达边缘开放能力的访问控制策略的可访问程度。
在可选的实施例中,逻辑树结构,包括:二叉逻辑树结构。
当访问控制策略为{(场景:车联网AND服务归属地:北京;)AND(所需服务:位置服务)}时,可以进一步绘制对应的二叉逻辑树结构。
图3示出了一种二叉逻辑树结构的结构示意图,如图3所示,该访问控制策略是AND逻辑表达,表示如果需要访问该逻辑控制策略,应用场景为车联网应用,服务归属地在北京,所需开放能力服务是位置服务。
当访问控制策略为{(场景:AR/VR;AND服务归属地:北京;)AND(所需服务:位置服务)}时,也可以进一步绘制对应的二叉逻辑树结构。
图4示出了另一种二叉逻辑树结构的结构示意图,如图4所示,该访问控制策略也是AND逻辑表达,表示如果需要满足该访问控制策略,应用场景为AR/VR应用,服务归属地在北京,所需开放能力服务是位置服务。
值得说明的是,在访问控制策略中,除了AND逻辑表达,还可以使用OR逻辑表达和其他逻辑表达,本示例性实施例对此不做特殊限定。
在生成访问控制策略对应的逻辑树结构之后,可以以该逻辑树结构的形式构建开放能力策略池,以细化访问控制策略的表达粒度,并为后续的匹配过程提供数据依据和理论支持。
在构建好开放能力策略池之后,可以提取调用请求中的至少两组属性集合。
当云服务实例1为{场景:车联网;服务归属地:北京;所需服务:位置服务},云服务实例2为{场景:AR/VR;服务归属地:北京;所需服务:位置服务}时,云系统接收到这两个云服务实例的调用请求之后,可以提取到对应的两组属性集合分别为{场景:车联网;服务归属地:北京;所需服务:位置服务}和{场景:AR/VR;服务归属地:北京;所需服务:位置服务}。
在步骤S120中,比对至少两组属性集合得到共有属性集,并对共有属性集进行替换得到去重属性集。
在本公开的示例性实施例中,在提取出至少两组属性集合之后,通过比对两个云服务实例的属性集合,发现两个属性集合存在共同的属性集{服务归属地:北京;所需服务:位置服务},因此,可以确定共同的属性集为共有属性集,以进一步对共有属性集进行替换。
在可选的实施例中,图5示出了替换共有属性集的方法的流程示意图,如图5所示,该方法至少可以包括以下步骤:在步骤S510中,获取与共有属性集对应的通配符属性。
一般的,通配符属性可以是“*”,也可以根据实际情况设定其他通配符属性,本示例性实施例对此不做特殊限定。
在步骤S520中,利用通配符属性在至少两组属性集合中替换共有属性集得到去重属性集。
在获取到通配符属性之后,可以通过通配符属性“*”替换共同的共有属性集,以得到替换后的去重属性集。
具体的,当共有属性集为{服务归属地:北京;所需服务:位置服务}时,可以确定“服务归属地”和“所需服务”为其中的属性名,“北京”和“位置服务”为其中的属性值。
因此,利用通配符属性对共有属性集进行替换,可以是对共有属性集中的属性值进行替换。
举例而言,替换后的两个云服务实例的去重属性集可以是云服务实例1为{场景:AR/VR;服务归属地:*;所需服务:*};云服务实例2为{场景:车联网;服务归属地:*;所需服务:*}。
除此之外,也可以根据实际情况,利用通配符属性对共有属性集中的属性名和属性值进行替换,本示例性实施例对此不做特殊限定。
在本示例性实施例中,采用通配符属性替换调用方共用的共有属性集,保护调用方的隐私信息,解决了当前开放能力被滥用和能力调用方隐私泄露的问题。
在步骤S130中,根据去重属性集在访问控制策略中确定开放能力策略,以使调用方调用与开放能力策略对应的开放能力。
在本公开的示例性实施例中,在替换得到去重属性集之后,可以根据去重属性集在访问控制策略中确定开放能力策略。
在可选的实施例中,确定与开放能力策略池的访问控制策略对应的逻辑树结构,并将去重属性集与逻辑树结构进行匹配确定开放能力策略。
为对去重属性集与访问控制策略进行匹配,可以在开放能力策略池中确定与访问访问控制策略对应的逻辑树结构,通过逻辑树结构的方式进行匹配。
举例而言,当开放能力策略池中的逻辑树结构包括图3和图4所示的二叉逻辑树结构,且去重属性集可以是云服务实例1为{场景:AR/VR;服务归属地:*;所需服务:*};云服务实例2为{场景:车联网;服务归属地:*;所需服务:*}时,可以确定替换后的两个云服务实例的去重属性集分别满足开放能力策略池中的图3和图4所示的开放能力策略1和开放能力策略2。
此时,MEP就可以将开放能力策略分别提供给云服务实例1和云服务实例2,以便于调用方调用与开放能力策略对应的开放能力。
下面结合一应用场景对本公开实施例中的边缘能力的开放方法做出详细说明。
图6示出了应用场景下边缘能力的开放方法的流程示意图,如图6所示,在步骤S610中,MEC开放能力向MEP注册。
多个MEC App通过向MEP注册自己的开放能力的方式,使得能够获取到边缘开放能力。
在步骤S620中,对MEC开放能力的属性特征提取。
MEP能够提取边缘开放能力的属性特征。并且,在MEP提取边缘开放能力的属性特征时,可以是按照5G+应用场景、服务归属地和所需服务等元数据项进行提取。在实际应用场景下,属性特征还可以包括其他特征,本示例性实施例对此不做特殊限定。
举例而言,提取到的边缘开放能力1的属性特征的集合可以是{场景:车联网;服务归属地:北京;所需服务:位置服务};提取到的边缘开放能力2的属性特征的集合可以是{场景:AR/VR;服务归属地:北京;所需服务:流量管理服务};提取到的边缘开放能力3的属性特征的集合可以是{场景:智能制造;服务归属地:广州;所需服务:无线网络信息服务}。
在步骤S630中,MEP为开放能力分配访问策略。
在步骤S631中,确定每个开放能力属性集合。
在提取到属性特征之后,可以根据属性特征确定对应的访问控制策略。
具体的,根据属性特征中的元数据分类,由MEP为边缘开放能力分配访问控制策略,以进一步构建开放能力策略池。
举例而言,MEP分配的两个可用的开放能力对应的访问控制策略可以是{(场景:车联网AND服务归属地:北京;)AND(所需服务:位置服务)},以及{(场景:AR/VR;AND服务归属地:北京;)AND(所需服务:位置服务)}。
在步骤S632中,将每个开放能力属性集合进行逻辑组合,形成开放能力策略池。
利用逻辑树结构可以表达边缘开放能力的访问控制策略的可访问程度。
举例而言,当访问控制策略为{(场景:车联网AND服务归属地:北京;)AND(所需服务:位置服务)}时,可以进一步绘制对应的二叉逻辑树结构。
该访问控制策略是AND逻辑表达,二叉逻辑树结构表示如果需要访问该逻辑控制策略,应用场景为车联网应用,服务归属地在北京,所需开放能力服务是位置服务。
当访问控制策略为{(场景:AR/VR;AND服务归属地:北京;)AND(所需服务:位置服务)}时,也可以进一步绘制对应的二叉逻辑树结构。
该访问控制策略也是AND逻辑表达,二叉逻辑树结构表示如果需要满足该访问控制策略,应用场景为AR/VR应用,服务归属地在北京,所需开放能力服务是位置服务。
值得说明的是,在访问控制策略中,除了AND逻辑表达,还可以使用OR逻辑表达和其他逻辑表达,本示例性实施例对此不做特殊限定。
在步骤S633中,开放能力的可用性更新。
对于开放能力策略池中的访问控制策略,还可以对应设定时限。当超过该时限时,可以将对应的访问控制策略设置为不可用。或者是在达到某一时限时,调整访问控制策略为可用。
在步骤S634中,开放能力的策略更新。
根据MEC App所注册边缘开放能力的变化,还可以对应更新开放能力策略池中的访问控制策略。
在步骤S640中,从开放能力调用请求获取调用方的应用场景、服务归属地和所需服务信息,通配符属性替换。
在构建好开放能力策略池之后,可以提取调用请求中的至少两组属性集合。
当云服务实例1为{场景:车联网;服务归属地:北京;所需服务:位置服务},云服务实例2为{场景:AR/VR;服务归属地:北京;所需服务:位置服务}时,云系统接收到这两个云服务实例的调用请求之后,可以提取到对应的两组属性集合分别为{场景:车联网;服务归属地:北京;所需服务:位置服务}和{场景:AR/VR;服务归属地:北京;所需服务:位置服务}。
在提取出至少两组属性集合之后,通过比对两个云服务实例的属性集合,发现两个属性集合存在共同的属性集{服务归属地:北京;所需服务:位置服务},因此,可以确定共同的属性集为共有属性集,以进一步对共有属性集进行替换。
具体的,获取与共有属性集对应的通配符属性。
一般的,通配符属性可以是“*”,也可以根据实际情况设定其他通配符属性,本示例性实施例对此不做特殊限定。
利用通配符属性在至少两组属性集合中替换共有属性集得到去重属性集。
在获取到通配符属性之后,可以通过通配符属性“*”替换共同的共有属性集,以得到替换后的去重属性集。
具体的,当共有属性集为{服务归属地:北京;所需服务:位置服务}时,可以确定“服务归属地”和“所需服务”为其中的属性名,“北京”和“位置服务”为其中的属性值。
因此,利用通配符属性对共有属性集进行替换,可以是对共有属性集中的属性值进行替换。
举例而言,替换后的两个云服务实例的去重属性集可以是云服务实例1为{场景:AR/VR;服务归属地:*;所需服务:*};云服务实例2为{场景:车联网;服务归属地:*;所需服务:*}。
在步骤S650中,判断所请求的开放能力是否可用且调用方是否满足开放能力访问策略。
由于开放能力的可用性和开放能力的策略会进行更新,因此,在得到去重属性集之后,可以对所请求的开放能力是否可用,以及调用方是否还满足开放能力访问策略进行判断。
在步骤S660中,调用开放能力。
在替换得到去重属性集之后,判断所请求的开放能力可用,且调用方满足开放能力访问策略的情况下,可以根据去重属性集在访问控制策略中确定开放能力策略。
为对去重属性集与访问控制策略进行匹配,可以在开放能力策略池中确定与访问访问控制策略对应的逻辑树结构,通过逻辑树结构的方式进行匹配。
举例而言,当开放能力策略池中的逻辑树结构包括对应的二叉逻辑树结构,且去重属性集可以是云服务实例1为{场景:AR/VR;服务归属地:*;所需服务:*};云服务实例2为{场景:车联网;服务归属地:*;所需服务:*}时,可以确定替换后的两个云服务实例的去重属性集分别满足开放能力策略池中的开放能力策略1和开放能力策略2。
此时,MEP就可以将开放能力策略分别提供给云服务实例1和云服务实例2,以便于调用方调用与开放能力策略对应的开放能力。
图7示出了应用场景下边缘能力开放的控制方法的架构示意图,如图7所示,首先,根据MEC开放能力的特征对开放能力进行细粒度的属性特征提取。该属性特征可以包括5G+应用场景、服务归属地、所需服务等元数据项。
然后,根据元数据分类由MEP为开放能力分配访问策略,以形成开放能力策略池,并动态更新其可用性和策略。
具体的,根据开放能力属性特征确定每个开放能力属性集合,然后,MEP从开放能力的属性集合形成开放能力策略池。除此之外,还可以根据开放能力的可用性和策略进行动态更新。
最后,判断MEC开放能力可用性,提取调用方的应用场景、服务归属地和所需服务信息。进一步的,通过通配符属性替换去重属性集,再跟开放能力访问策略进行匹配。当调用方满足可用MEC开放能力的访问策略时,即可调用开放能力。
在该应用场景下的边缘能力的开放方法,基于ETSI GR MEC 035标准架构和流程,通过对开放能力属性特征提取和开放能力策略池动态调整MEC开放能力的访问范围。
考虑能力调用方在调用过程中容易泄露隐私信息,通过对调用请求的属性提取和通配符属性替换机制保护能力调用方的隐私信息安全。
除此之外,该边缘能力的开放方法还具有易实现和良好的扩展性,可用容器化的模块实现嵌入在边缘开放能力访问和调用过程,满足MEC跨域开放能力复杂多变场景。
接下来,该边缘能力的开放方法可以应用于基于MEC的能力跨域开放场景,兼容云计算环境下的跨域能力调用,以适用于MEC、云计算、5G应用等多种有开放能力需求的应用场景,也可以应用于MEC能力开放平台,提供能力调用的细粒度访问和保证信息隐私等安全差异化需求。
对应的,基于可显著减少MEC开放能力调用的隐私暴露面,降低MEC开放能力滥用的风险,创建安全可靠的MEC能力开放机制。
进一步的,助力建立安全的MEC能力开放体系,通过安全创新加速基于MEC能力开放的商业部署进程,推动MEC能力开放方案在5G行业应用落地。
图8示出了边缘能力的开放装置的结构示意图,如图8所示,边缘能力的开放装置800,可以包括:属性提取模块810、替换处理模块820和能力调用模块830。其中:
属性提取模块810,被配置为获取调用方的调用请求和开放能力策略池,并提取所述调用请求中的至少两组属性集合;其中,所述开放能力策略池包括访问控制策略;
替换处理模块820,被配置为比对所述至少两组属性集合得到共有属性集,并对所述共有属性集进行替换得到去重属性集;
能力调用模块830,被配置为根据所述去重属性集在所述访问控制策略中确定开放能力策略,以使所述调用方调用与所述开放能力策略对应的开放能力。
在本发明的一种示例性实施例中,所述获取调用方的调用请求和开放能力策略池,包括:
获取调用方的调用请求和边缘开放能力,并提取所述边缘开放能力的属性特征;
根据所述属性特征确定对应的访问控制策略,并根据所述访问控制策略构建开放能力策略池。
在本发明的一种示例性实施例中,所述根据所述访问控制策略构建开放能力策略池,包括:
对所述访问控制策略进行逻辑组合得到逻辑树结构,以根据所述逻辑树结构构建开放能力策略池。
在本发明的一种示例性实施例中,所述根据所述去重属性集在所述访问控制策略中确定开放能力策略,包括:
确定与所述开放能力策略池的所述访问控制策略对应的逻辑树结构,并将所述去重属性集与所述逻辑树结构进行匹配确定开放能力策略。
在本发明的一种示例性实施例中,所述逻辑树结构,包括:二叉逻辑树结构。
在本发明的一种示例性实施例中,所述属性特征,包括:应用场景、服务归属地和所需服务。
在本发明的一种示例性实施例中,所述对所述共有属性集进行替换得到去重属性集,包括:
获取与所述共有属性集对应的通配符属性;
利用所述通配符属性在所述至少两组属性集合中替换所述共有属性集得到去重属性集。
上述边缘能力的开放装置800的具体细节已经在对应的边缘能力的开放方法中进行了详细的描述,因此此处不再赘述。
应当注意,尽管在上文详细描述中提及了边缘能力的开放装置800的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
此外,在本公开的示例性实施例中,还提供了一种能够实现上述方法的电子设备。
下面参照图9来描述根据本发明的这种实施例的电子设备900。图9显示的电子设备900仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图9所示,电子设备900以通用计算设备的形式表现。电子设备900的组件可以包括但不限于:上述至少一个处理单元910、上述至少一个存储单元920、连接不同系统组件(包括存储单元920和处理单元910)的总线930、显示单元940。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元910执行,使得所述处理单元910执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施例的步骤。
存储单元920可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)921和/或高速缓存存储单元922,还可以进一步包括只读存储单元(ROM)923。
存储单元920还可以包括具有一组(至少一个)程序模块925的程序/实用工具924,这样的程序模块925包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线930可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备900也可以与一个或多个外部设备1100(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备900交互的设备通信,和/或与使得该电子设备900能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口950进行。并且,电子设备900还可以通过网络适配器960与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器960通过总线930与电子设备900的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备900使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施例的描述,本领域的技术人员易于理解,这里描述的示例实施例可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施例的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施例中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施例的步骤。
参考图10所示,描述了根据本发明的实施例的用于实现上述方法的程序产品1000,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其他实施例。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由权利要求指出。
Claims (10)
1.一种边缘能力的开放方法,其特征在于,所述方法包括:
获取调用方的调用请求和开放能力策略池,并提取所述调用请求中的至少两组属性集合;其中,所述开放能力策略池包括访问控制策略;
比对所述至少两组属性集合得到共有属性集,并对所述共有属性集进行替换得到去重属性集;
根据所述去重属性集在所述访问控制策略中确定开放能力策略,以使所述调用方调用与所述开放能力策略对应的开放能力。
2.根据权利要求1所述的边缘能力的开放方法,其特征在于,所述获取调用方的调用请求和开放能力策略池,包括:
获取调用方的调用请求和边缘开放能力,并提取所述边缘开放能力的属性特征;
根据所述属性特征确定对应的访问控制策略,并根据所述访问控制策略构建开放能力策略池。
3.根据权利要求2所述的边缘能力的开放方法,其特征在于,所述根据所述访问控制策略构建开放能力策略池,包括:
对所述访问控制策略进行逻辑组合得到逻辑树结构,以根据所述逻辑树结构构建开放能力策略池。
4.根据权利要求3所述的边缘能力的开放方法,其特征在于,所述根据所述去重属性集在所述访问控制策略中确定开放能力策略,包括:
确定与所述开放能力策略池的所述访问控制策略对应的逻辑树结构,并将所述去重属性集与所述逻辑树结构进行匹配确定开放能力策略。
5.根据权利要求4所述的边缘能力的开放方法,其特征在于,所述逻辑树结构,包括:二叉逻辑树结构。
6.根据权利要求2所述的边缘能力的开放方法,其特征在于,所述属性特征,包括:应用场景、服务归属地和所需服务。
7.根据权利要求1所述的边缘能力的开放方法,其特征在于,所述对所述共有属性集进行替换得到去重属性集,包括:
获取与所述共有属性集对应的通配符属性;
利用所述通配符属性在所述至少两组属性集合中替换所述共有属性集得到去重属性集。
8.一种边缘能力的开放装置,其特征在于,包括:
属性提取模块,被配置为获取调用方的调用请求和开放能力策略池,并提取所述调用请求中的至少两组属性集合;其中,所述开放能力策略池包括访问控制策略;
替换处理模块,被配置为比对所述至少两组属性集合得到共有属性集,并对所述共有属性集进行替换得到去重属性集;
能力调用模块,被配置为根据所述去重属性集在所述访问控制策略中确定开放能力策略,以使所述调用方调用与所述开放能力策略对应的开放能力。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-7中任意一项所述的边缘能力的开放方法。
10.一种电子设备,其特征在于,包括:
处理器;
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器被配置为经由执行所述可执行指令来执行权利要求1-7中任意一项所述的边缘能力的开放方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210828460.8A CN115225363B (zh) | 2022-07-13 | 2022-07-13 | 边缘能力的开放方法及装置、存储介质、电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210828460.8A CN115225363B (zh) | 2022-07-13 | 2022-07-13 | 边缘能力的开放方法及装置、存储介质、电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115225363A true CN115225363A (zh) | 2022-10-21 |
CN115225363B CN115225363B (zh) | 2024-01-30 |
Family
ID=83611288
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210828460.8A Active CN115225363B (zh) | 2022-07-13 | 2022-07-13 | 边缘能力的开放方法及装置、存储介质、电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115225363B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104954465A (zh) * | 2015-06-15 | 2015-09-30 | 北京工业大学 | 一种适用于云服务组合场景下隐私策略合成方法 |
US20200389531A1 (en) * | 2018-07-13 | 2020-12-10 | Samsung Electronics Co., Ltd. | Method and electronic device for edge computing service |
CN112153698A (zh) * | 2020-09-10 | 2020-12-29 | 中国联合网络通信集团有限公司 | 一种跨域多接入边缘计算策略生成的方法及设备 |
CN112187799A (zh) * | 2020-09-28 | 2021-01-05 | 京东数字科技控股股份有限公司 | 资源访问策略生成方法及装置、存储介质、电子设备 |
CN114567895A (zh) * | 2022-02-23 | 2022-05-31 | 重庆邮电大学 | 一种mec服务器集群的智能协同策略的实现方法 |
-
2022
- 2022-07-13 CN CN202210828460.8A patent/CN115225363B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104954465A (zh) * | 2015-06-15 | 2015-09-30 | 北京工业大学 | 一种适用于云服务组合场景下隐私策略合成方法 |
US20200389531A1 (en) * | 2018-07-13 | 2020-12-10 | Samsung Electronics Co., Ltd. | Method and electronic device for edge computing service |
CN112153698A (zh) * | 2020-09-10 | 2020-12-29 | 中国联合网络通信集团有限公司 | 一种跨域多接入边缘计算策略生成的方法及设备 |
CN112187799A (zh) * | 2020-09-28 | 2021-01-05 | 京东数字科技控股股份有限公司 | 资源访问策略生成方法及装置、存储介质、电子设备 |
CN114567895A (zh) * | 2022-02-23 | 2022-05-31 | 重庆邮电大学 | 一种mec服务器集群的智能协同策略的实现方法 |
Also Published As
Publication number | Publication date |
---|---|
CN115225363B (zh) | 2024-01-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10129205B2 (en) | Address management in an overlay network environment | |
CN100375033C (zh) | 一种用于在操作系统分区环境中使用细粒度特权模型管理进程活动的方法和设备 | |
CN103907366A (zh) | 用于有选择地公开用户数据的方法 | |
US20220188437A1 (en) | Data Access Monitoring and Control | |
CN104866976A (zh) | 面向多租户的管理信息系统 | |
US9535723B2 (en) | Methods and apparatuses for generating desktop cloud instances based upon mobile device user file selections | |
US11379621B2 (en) | Apparatus and method for tracking access permissions over multiple execution environments | |
US11763409B2 (en) | Determine passenger drop-off location based on influencing factors | |
CN111950724A (zh) | 分离ai中的公共知识与私有知识 | |
CN204695386U (zh) | 面向多租户的管理信息系统 | |
CN114418828A (zh) | 显存管理方法、装置、设备、存储介质及程序产品 | |
CN113268450A (zh) | 文件访问方法及装置、电子设备、存储介质 | |
US11150934B2 (en) | Region based processing and storage of data | |
CN111459609A (zh) | 虚拟机安全防护方法、装置及电子设备 | |
US11646866B2 (en) | Blockchain based service reservation and delegation | |
CN111970162B (zh) | 一种超融合架构下的异构gis平台服务中控系统 | |
CN113010238A (zh) | 一种微应用调用接口的权限确定方法、装置和系统 | |
CN111143800B (zh) | 一种云计算资源的管理方法、装置、设备和存储介质 | |
US11080379B2 (en) | User authentication | |
CN115225363B (zh) | 边缘能力的开放方法及装置、存储介质、电子设备 | |
CN114296651B (zh) | 一种用于存储自定义数据信息的方法与设备 | |
US20230085012A1 (en) | Ai based system and method for corners of trust for a caller | |
CN112417402B (zh) | 权限控制方法、权限控制装置、权限控制设备及存储介质 | |
CN112508693B (zh) | 基于用户标签的资源分配渠道分配方法、装置和电子设备 | |
CN111091899B (zh) | 权限分配方法及装置、电子设备和计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |