CN115277046B - 5g能力开放安全控制方法、装置、设备及存储介质 - Google Patents

Abstract

本发明提供了5G能力开放安全控制方法、装置、设备及存储介质，该方法包括：接收服务订阅者的API服务订阅请求；将所述API服务订阅请求发送至API服务方；接收所述API服务方响应所述服务订阅者的调用返回的数据；根据所述服务订阅者的有限敏感数据控制策略，对所述API服务方返回的数据进行脱敏；将脱敏后的数据发送至所述服务订阅者。本发明对API服务进行分级授权控制，以避免由于能力滥用、误用等导致的敏感数据泄露风险。

Description

5G能力开放安全控制方法、装置、设备及存储介质

技术领域

本发明涉及通信领域，具体地说，涉及5G能力开放安全控制方法、装置、设备及存储介质。

背景技术

能力开放是5G架构重要的组成部分，通过开放的API(Application ProgrammingInterface，应用程序接口)将5G各种能力开放给第三方应用调用，有利于垂直行业加速推出新型业务，也有利于运营商提升网络附加值，提升用户的业务体验。

为了实现5G能力向外部开放，3GPP定义了一个CAPIF(Common API Framework for3GPP Northbound APIs，通用的API开放框架)。CAPIF分为四个逻辑功能：CAPIF CoreFunction：定义了API身份验证，授权，日志记录、计费等功能，提供了使用网络能力开放API的通用要求；API Exposing Function(API暴露功能)；API Publishing Function(API发布功能)；APIManagement Function(API管理功能)。

在3GPP协议R15中,定义了NEF(Network Exposure Function，网络开放功能)作为5G网路能力开放功能,面向AF(Application Function，应用功能)提供标准能力开放服务。

目前，标准规范中对API调用者的授权粒度是整个API服务的使用权，未对这个API服务如何使用进行更细粒度的分级授权控制，容易出现能力滥用、误用等导致的敏感数据泄露风险。

由此，如何对API服务进行分级授权控制，以避免由于能力滥用、误用等导致的敏感数据泄露风险，是本领域技术人员亟待解决的技术问题。

需要说明的是，上述背景技术部分公开的信息仅用于加强对本发明的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

发明内容

针对现有技术中的问题，本发明的目的在于提供5G能力开放安全控制方法、装置、设备及存储介质，克服了现有技术的困难，对API服务进行分级授权控制，以避免由于能力滥用、误用等导致的敏感数据泄露风险。

本发明的实施例提供一种5G能力开放安全控制方法，包括：

接收服务订阅者的API服务订阅请求；

将所述API服务订阅请求发送至API服务方；

接收所述API服务方响应所述服务订阅者的调用返回的数据；

根据所述服务订阅者的有限敏感数据控制策略，对所述API服务方返回的数据进行脱敏；

将脱敏后的数据发送至所述服务订阅者。

在本申请的一些实施例中，所述接收服务订阅者的API服务订阅请求包括：

查询所述API服务方是否存在有限敏感数据标签；

若是，则根据所述服务订阅者的签约规则，生成关联所述服务订阅者的有限敏感数据控制策略。

在本申请的一些实施例中，所述有限敏感数据控制策略以集合的方式规定了有限授权的参数、该参数授权的属性以及授权范围。

在本申请的一些实施例中，所述根据所述服务订阅者的有限敏感数据控制策略，对所述API服务方返回的数据进行脱敏包括：

判断所述服务订阅者的属性信息与所述参数授权的属性以及授权范围是否匹配；

若是，则直接将所述API服务方返回的数据发送至所述服务订阅者；

若否，则对所述API服务方返回的数据进行脱敏。

在本申请的一些实施例中，所述根据所述服务订阅者的有限敏感数据控制策略，对所述API服务方返回的数据进行脱敏包括：

判断所述API服务方是否存在绝对敏感数据标签；

若是，则根据所述绝对敏感数据标签，对所述API服务方返回的数据进行脱敏。

在本申请的一些实施例中，所述接收服务订阅者的API服务订阅请求之前包括：

接收所述API服务的服务注册请求，并根据所述API服务的服务类别以及返回的数据类型进行绝对敏感数据标签和有限敏感数据标签的设置。

在本申请的一些实施例中，所述根据所述API服务的服务类别以及返回的数据类型进行绝对敏感数据标签和有限敏感数据标签的设置包括：

判断所述API服务的服务类别是否属于提供监控管理、传递网络相关信息和数据类的服务；

若是，则对所述API服务的返回的数据类型进行绝对敏感数据标签和有限敏感数据标签的设置。

根据本申请的又一方面，还提供一种5G能力开放安全控制装置，包括：

第一接收模块，配置成接收服务订阅者的API服务订阅请求；

第一发送模块，配置成将所述API服务订阅请求发送至API服务方；

第二接收模块，配置成接收所述API服务方响应所述服务订阅者的调用返回的数据；

第一脱敏模块，配置成根据所述服务订阅者的有限敏感数据控制策略，对所述API服务方返回的数据进行脱敏；

第二发送模块，配置成将脱敏后的数据发送至所述服务订阅者。

根据本发明的又一方面，还提供一种5G能力开放安全控制处理设备，包括：

处理器；

存储器，其中存储有所述处理器的可执行指令；

其中，所述处理器配置为经由执行所述可执行指令来执行如上所述5G能力开放安全控制方法的步骤。

本发明的实施例还提供一种计算机可读存储介质，用于存储程序，所述程序被执行时实现上述5G能力开放安全控制方法的步骤。

相比现有技术，本发明的目的在于：

针对现在5G能力开放的标准规范中对，未对API服务如何使用进行更细粒度的分级授权控制，容易出现能力滥用、误用等导致的敏感数据泄露风险的问题，提出了一种5G能力开放安全控制方法，通过引入数据过滤控制模块，根据5G能力开放的API类型以及API调用者的属性信息，应用分类分级的数据过滤策略，对API调用返回的结果数据进行过滤后再返回第三方应用，降低敏感数据泄露安全风险。

附图说明

通过阅读参照以下附图对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显。

图1是本发明的5G能力开放安全控制方法的一种实施例的流程图。

图2是本发明的5G能力开放安全控制方法的系统示意图。

图3是本发明的5G能力开放安全控制方法的API服务注册的流程图。

图4是本发明的5G能力开放安全控制方法的API服务订阅请求的流程图。

图5是本发明的API服务返回数据分级脱敏的流程图。

图6是本发明的5G能力开放安全控制装置的一种实施例的模块图。

图7是本发明的5G能力开放安全控制装置的另一种实施例的模块图。

图8是本发明的5G能力开放安全控制设备的结构示意图。

图9是本发明一实施例的计算机可读存储介质的结构示意图。

具体实施方式

现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的实施方式。相反，提供这些实施方式使得本发明将全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的结构，因而将省略对它们的重复描述。

参见图1，图1是本发明的应用于主叫终端的5G能力开放安全控制方法的一种实施例的流程图。本发明的实施例提供一种5G能力开放安全控制方法，包括以下步骤：

步骤S110：接收服务订阅者的API服务订阅请求。

步骤S120：将所述API服务订阅请求发送至API服务方。

步骤S130：接收所述API服务方响应所述服务订阅者的调用返回的数据。

步骤S140：根据所述服务订阅者的有限敏感数据控制策略，对所述API服务方返回的数据进行脱敏。

步骤S150：将脱敏后的数据发送至所述服务订阅者。

由此，针对现在5G能力开放的标准规范中对，未对API服务如何使用进行更细粒度的分级授权控制，容易出现能力滥用、误用等导致的敏感数据泄露风险的问题，通过引入数据过滤控制模块，根据5G能力开放的API类型以及API调用者的属性信息，应用分类分级的数据过滤策略，对API调用返回的结果数据进行过滤后再返回第三方应用，降低敏感数据泄露安全风险。

图2是本发明的5G能力开放安全控制方法的系统示意图。本实施例中，为原有的CAPIF221和NEF222设置一数据过滤控制模块223以对服务订阅者21和API服务23之间的数据进行过滤控制。具体而言数据过滤控制模块223可以包括数据处理模块以及数据过滤模块。数据处理模块负责在API服务注册以及API服务订阅流程中，根据预定的规则进行分级分类标签的处理，并生成有限敏感数据授权控制策略。数据过滤模块，负责对API调用返回的结果数据进行过滤处理，降低敏感数据泄露安全风险。

具体而言，API服务注册时，数据处理模块根据API服务的服务类别、返回的数据类型，进行分级分类标签处理。如果API服务的类别是属于提供监控管理、传递网络相关信息和数据类的服务，则进行分类分级数据标签的处理。其中，如果包含绝对敏感数据，则标注需要脱敏的参数，并打上绝对敏感数据标签。如果包含有限授权数据，则标注有限授权的参数，授权属性范围，并打上有限敏感数据标签。

具体而言，当服务订阅者A申请订阅API服务B时，数据处理模块查询API服务B是否有有限敏感数据标签，如果有，则根据服务订阅者A的签约规则确定API服务B的授权范围，生成针对A的有限敏感数据授权控制策略。有限敏感数据授权控制策略以集合的方式规定了有限授权的参数和此参数授权的属性以及范围，如{参数1，属性类型，授权范围}、{参数2，属性类型，授权范围}，默认情况授权范围为NULL，即默认此参数均要进行脱敏操作。

具体而言，收到API服务方返回的数据时，数据过滤模块检查API服务方是否有绝对敏感数据标签，如果有，则采用匿名模糊化等通用脱敏技术进行数据脱敏操作。

具体而言，收到API服务方返回的数据时，数据过滤模块检查API服务方是否有有限敏感数据标签。如果有，则根据有限敏感数据授权控制策略和本次调用的参数类型，以模式匹配的方式，依次验证。如果属于有限授权参数，则验证其位置、所属组织等属性信息是否在授权范围内，如果不在，则采用匿名模糊化等通用脱敏技术进行数据脱敏操作。

具体而言，数据过滤操作完成后，NEF将处理过的数据返回服务调用方。

目前5G能力开放标准对API调用者的授权粒度是整个API服务的使用权，未对这个API服务如何使用进行更细粒度的分级授权控制，容易出现能力滥用、误用等导致敏感数据泄露的安全风险。而本专利提出的方法通过应用数据分级分类过滤策略，实现对于不同的第三方应用调用同一个API能力，返回不同粒度的数据，降低敏感数据泄露风险。

下面参见图3，图3是本发明的5G能力开放安全控制方法的API服务注册的流程图。

步骤S310：接收所述API服务的服务注册请求；

步骤S320：判断所述API服务的服务类别是否属于提供监控管理、传递网络相关信息和数据类的服务；

若步骤S320判断为是，则执行步骤S330：对所述API服务的返回的数据类型进行绝对敏感数据标签和有限敏感数据标签的设置。

具体而言，绝对敏感数据类型可以为DNN、S-NSSAI、SUPI等参数，对所有的非5GC网元，均不能暴露，必须脱敏处理。有限授权敏感数据类型可以为用户标识、位置信息等数据只能被限定API使用者获取，其余只能获取脱敏后的数据。

由此，当5G内部核心网元在NEF注册发布API服务后，数据处理模块查询其服务类别，是否属于提供监控管理、传递网络相关信息和数据类的服务。如果是，则需要进行分类分级数据标签标签处理。如果包含DNN、S-NSSAI、SUPI等绝对敏感数据，则标注需要脱敏的参数，并打上绝对敏感标签。如果包含用户标识、位置信息等有限授权数据，则标注有限授权的参数，并打上有限敏感标签。

下面参见图4，图4是本发明的5G能力开放安全控制方法的API服务订阅请求的流程图。图4共示出如下步骤：

步骤S410：接收服务订阅者的API服务订阅请求；

步骤S420：查询所述API服务方是否存在有限敏感数据标签；

若步骤S410判断为是，则执行步骤S430：根据所述服务订阅者的签约规则，生成关联所述服务订阅者的有限敏感数据控制策略。

具体而言，签约规则可以按需设定，本申请并非以此为限制。

关联所述服务订阅者的有限敏感数据控制策略。

当A申请API服务B时，数据处理模块查询API服务B是否有有限敏感标签，如果有，则根据服务订阅者A的签约规则确定API服务B的授权范围，生成针对A的有限敏感数据授权控制策略。例如只有当A的IP处于某个范围之内时，则用户标识这个参数的数据不用脱敏，否则必须脱敏。默认这个有限授权控制参数的授权范围为NULL，即此参数均要脱敏操作。

下面参见图5，图5是本发明的API服务返回数据分级脱敏的流程图。图5共示出如下步骤：

步骤S510：接收所述API服务方响应所述服务订阅者的调用返回的数据。

步骤S520：判断API服务方是否有敏感数据标签。

若步骤S520判断为否，则执行步骤S570：数据直接转发至服务订阅方。

若步骤S520判断为是，则执行步骤S530：判断API服务方是否存在绝对敏感数据标签。

若步骤S530判断为是则执行步骤S540：对具有决定敏感数据标签的数据进行脱敏，并继续执行步骤S550。

若步骤S530判断为否，则执行步骤S550：查询服务订阅方的有限敏感数据控制策略，判断是否需要脱敏。

若步骤S550判断为是，则执行步骤S560，根据所述服务订阅者的有限敏感数据控制策略，对所述API服务方返回的数据进行脱敏，并继续执行步骤S570。具体而言，可以根据所述服务订阅者的属性信息与所述参数授权的属性以及授权范围的匹配结果，对有限授权之外的所述API服务方返回的数据进行脱敏。

若步骤S550判断为否，则执行步骤S570：将数据发送至服务订阅者。

具体而言，收到服务方B返回A的数据时，数据处理模块检查B是否有敏感数据标签，如果有，则进行数据脱敏操作。接下来数据处理模块继续检查B是否有有限敏感数据标签。如果有，则根据有限敏感数据授权控制策略、调用的参数，以及A的位置、所属组织等属性信息，验证其是否在授权范围内？如果不在，则进行数据脱敏操作。操作完成后，NEF将处理过的数据返回A。

以上仅仅是示意性地描述本发明的具体实现方式，本发明并非也以此为限制，步骤的拆分、合并、执行顺序的变化、模块的拆分、合并、信息传输的变化皆在本发明的保护范围之内。

图6是本发明的5G能力开放安全控制装置的一种实施例的模块图。本发明的5G能力开放安全控制装置600，如图6所示，包括但不限于：第一接收模块610、第一发送模块620、第二接收模块630、第一脱敏模块640以及第二发送模块650。

第一接收模块610配置成接收服务订阅者的API服务订阅请求；

第一发送模块620配置成将所述API服务订阅请求发送至API服务方；

第二接收模块630配置成接收所述API服务方响应所述服务订阅者的调用返回的数据；

第一脱敏模块640配置成根据所述服务订阅者的有限敏感数据控制策略，对所述API服务方返回的数据进行脱敏；

第二发送模块650配置成将脱敏后的数据发送至所述服务订阅者。

上述模块的实现原理参见5G能力开放安全控制方法中的相关介绍，此处不再赘述。

图7是本发明的5G能力开放安全控制装置的另一种实施例的模块示意图。本发明的5G能力开放安全控制装700包括但不限于：服务注册模块701、第一判断模块702、敏感标签设置模块703、第一接收模块704、第一判断模块705、策略生成模块706、第一发生模块707、第二接收模块708、绝对敏感脱敏模块709、第一脱敏模块710以及第二发送模块711。

服务注册模块701配置成接收所述API服务的服务注册请求；

第一判断模块702配置成判断所述API服务的服务类别是否属于提供监控管理、传递网络相关信息和数据类的服务；

敏感标签设置模块703配置成第一判断模块702判断为是时，对所述API服务的返回的数据类型进行绝对敏感数据标签和有限敏感数据标签的设置；

第一接收模块704配置成接收服务订阅者的API服务订阅请求；

第一判断模块705配置成查询所述API服务方是否存在有限敏感数据标签；

策略生成模块706配置成第一判断模块705判断为是时，根据所述服务订阅者的签约规则，生成关联所述服务订阅者的有限敏感数据控制策略；

第一发送模块707配置成将所述API服务订阅请求发送至API服务方；

第二接收模块708配置成接收所述API服务方响应所述服务订阅者的调用返回的数据；

绝对敏感脱敏模块709配置成判断所述API服务方是否存在绝对敏感数据标签，若是，则根据所述绝对敏感数据标签，对所述API服务方返回的数据进行脱敏；

第一脱敏模块710配置成根据所述服务订阅者的有限敏感数据控制策略，对所述API服务方返回的数据进行脱敏；

第二发送模块711配置成将脱敏后的数据发送至所述服务订阅者。

上述模块的实现原理参见5G能力开放安全控制方法中的相关介绍，此处不再赘述。

本发明的5G能力开放安全控制装置针对现在5G能力开放的标准规范中对，未对API服务如何使用进行更细粒度的分级授权控制，容易出现能力滥用、误用等导致的敏感数据泄露风险的问题，通过引入数据过滤控制模块，根据5G能力开放的API类型以及API调用者的属性信息，应用分类分级的数据过滤策略，对API调用返回的结果数据进行过滤后再返回第三方应用，降低敏感数据泄露安全风险。

图6和图7仅仅是示意性的分别示出本发明提供的5G能力开放安全控制装置600和700，在不违背本发明构思的前提下，模块的拆分、合并、增加都在本发明的保护范围之内。本发明提供的5G能力开放安全控制装置600和700可以由软件、硬件、固件、插件及他们之间的任意组合来实现，本发明并非以此为限。

本发明实施例还提供一种5G能力开放安全控制处理设备，包括处理器。存储器，其中存储有处理器的可执行指令。其中，处理器配置为经由执行可执行指令来执行的5G能力开放安全控制方法的步骤。

如上所示，该实施例本发明的5G能力开放安全控制处理设备由此，针对现在5G能力开放的标准规范中对，未对API服务如何使用进行更细粒度的分级授权控制，容易出现能力滥用、误用等导致的敏感数据泄露风险的问题，通过引入数据过滤控制模块，根据5G能力开放的API类型以及API调用者的属性信息，应用分类分级的数据过滤策略，对API调用返回的结果数据进行过滤后再返回第三方应用，降低敏感数据泄露安全风险。

所属技术领域的技术人员能够理解，本发明的各个方面可以实现为系统、方法或程序产品。因此，本发明的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“平台”。

图8是本发明的5G能力开放安全控制处理设备的结构示意图。下面参照图8来描述根据本发明的这种实施方式的电子设备700。图8显示的电子设备800仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

如图8所示，电子设备800以通用计算设备的形式表现。电子设备800的组件可以包括但不限于：至少一个处理单元810、至少一个存储单元820、连接不同平台组件(包括存储单元820和处理单元810)的总线830、显示单元840等。

其中，存储单元存储有程序代码，程序代码可以被处理单元810执行，使得处理单元810执行本说明书上述5G能力开放安全控制方法部分中描述的根据本发明各种示例性实施方式的步骤。例如，处理单元810可以执行如图1中所示的步骤。

存储单元820可以包括易失性存储单元形式的可读介质，例如随机存取存储单元(RAM)8201和/或高速缓存存储单元8202，还可以进一步包括只读存储单元(ROM)8203。

存储单元820还可以包括具有一组(至少一个)程序模块8205的程序/实用工具8204，这样的程序模块8205包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。

总线830可以为表示几类总线结构中的一种或多种，包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。

电子设备800也可以与一个或多个外部设备8001(例如键盘、指向设备、蓝牙设备等)通信，还可与一个或者多个使得用户能与该电子设备800交互的设备通信，和/或与使得该电子设备800能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口850进行。并且，电子设备800还可以通过网络适配器860与一个或者多个网络(例如局域网(LAN)，广域网(WAN)和/或公共网络，例如因特网)通信。网络适配器860可以通过总线830与电子设备800的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备800使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储平台等。

本发明实施例还提供一种计算机可读存储介质，用于存储程序，程序被执行时实现的5G能力开放安全控制方法的步骤。在一些可能的实施方式中，本发明的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当程序产品在终端设备上运行时，程序代码用于使终端设备执行本说明书上述5G能力开放安全控制方法部分中描述的根据本发明各种示例性实施方式的步骤。

如上所示，该实施例的用以执行5G能力开放安全控制的计算机可读存储介质针对现在5G能力开放的标准规范中对，未对API服务如何使用进行更细粒度的分级授权控制，容易出现能力滥用、误用等导致的敏感数据泄露风险的问题，通过引入数据过滤控制模块，根据5G能力开放的API类型以及API调用者的属性信息，应用分类分级的数据过滤策略，对API调用返回的结果数据进行过滤后再返回第三方应用，降低敏感数据泄露安全风险。

图9是本发明的计算机可读存储介质的结构示意图。参考图9所示，描述了根据本发明的实施方式的用于实现上述方法的程序产品900，其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码，并可以在终端设备，例如个人电脑上运行。然而，本发明的程序产品不限于此，在本文件中，可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。

计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、RF等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码，程序设计语言包括面向对象的程序设计语言—诸如Java、C++等，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(LAN)或广域网(WAN)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。

综上，本申请通过将多维温度参数及机房IT负载参数参与到决策指标的计算与评估过程，从而使得机房制冷控制系统能够智能地根据多维温度参数和机房负载的变化做出温度控制策略迭代与否的决策，从而减少了人工在决策中的干预，减少了温度控制策略迭代次数，提高了人工智能算法对机房制冷的节能效率。

以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明，不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干简单推演或替换，都应当视为属于本发明的保护范围。

Claims (9)

1.一种5G能力开放安全控制方法，其特征在于，包括：

接收服务订阅者的API服务订阅请求；

将所述API服务订阅请求发送至API服务方；

接收所述API服务方响应所述服务订阅者的调用返回的数据；

根据所述服务订阅者的有限敏感数据控制策略，对所述API服务方返回的数据进行脱敏；

将脱敏后的数据发送至所述服务订阅者；

其中，在所述接收服务订阅者的API服务订阅请求之前，所述方法还包括：接收所述API服务的服务注册请求，并根据所述API服务的服务类别以及返回的数据类型进行绝对敏感数据标签和有限敏感数据标签的设置。

2.根据权利要求1所述的5G能力开放安全控制方法，其特征在于，所述接收服务订阅者的API服务订阅请求包括：

查询所述API服务方是否存在有限敏感数据标签；

若是，则根据所述服务订阅者的签约规则，生成关联所述服务订阅者的有限敏感数据控制策略。

3.根据权利要求2所述的5G能力开放安全控制方法，其特征在于，所述有限敏感数据控制策略以集合的方式规定了有限授权的参数、该参数授权的属性以及授权范围。

4.根据权利要求3所述的5G能力开放安全控制方法，其特征在于，所述根据所述服务订阅者的有限敏感数据控制策略，对所述API服务方返回的数据进行脱敏包括：

判断所述服务订阅者的属性信息与所述参数授权的属性以及授权范围是否匹配；

若是，则直接将所述API服务方返回的数据发送至所述服务订阅者；

若否，则对所述API服务方返回的数据进行脱敏。

5.根据权利要求1所述的5G能力开放安全控制方法，其特征在于，所述根据所述服务订阅者的有限敏感数据控制策略，对所述API服务方返回的数据进行脱敏包括：

判断所述API服务方是否存在绝对敏感数据标签；

若是，则根据所述绝对敏感数据标签，对所述API服务方返回的数据进行脱敏。

6.根据权利要求1所述的5G能力开放安全控制方法，其特征在于，所述根据所述API服务的服务类别以及返回的数据类型进行绝对敏感数据标签和有限敏感数据标签的设置包括：

判断所述API服务的服务类别是否属于提供监控管理、传递网络相关信息和数据类的服务；

若是，则对所述API服务的返回的数据类型进行绝对敏感数据标签和有限敏感数据标签的设置。

7.一种5G能力开放安全控制装置，其特征在于，包括：

第一接收模块，配置成接收服务订阅者的API服务订阅请求；

第一发送模块，配置成将所述API服务订阅请求发送至API服务方；

第二接收模块，配置成接收所述API服务方响应所述服务订阅者的调用返回的数据；

第一脱敏模块，配置成根据所述服务订阅者的有限敏感数据控制策略，对所述API服务方返回的数据进行脱敏；

第二发送模块，配置成将脱敏后的数据发送至所述服务订阅者；

其中，所述5G能力开放安全控制装置还包括：服务注册模块和敏感标签设置模块，所述服务注册模块配置成接收所述API服务的服务注册请求，所述敏感标签设置模块配置成根据所述API服务的服务类别以及返回的数据类型进行绝对敏感数据标签和有限敏感数据标签的设置。

8.一种5G能力开放安全控制处理设备，其特征在于，包括：

处理器；

存储器，其中存储有所述处理器的可执行指令；

其中，所述处理器配置为经由执行所述可执行指令来执行：

权利要求1至6任意一项所述5G能力开放安全控制方法。

9.一种计算机可读存储介质，用于存储程序，其特征在于，所述程序被执行时实现：

权利要求1至6任意一项所述5G能力开放安全控制方法。