CN115665741A - 安全服务实现方法、装置、安全服务系统、设备及介质 - Google Patents
安全服务实现方法、装置、安全服务系统、设备及介质 Download PDFInfo
- Publication number
- CN115665741A CN115665741A CN202211329071.7A CN202211329071A CN115665741A CN 115665741 A CN115665741 A CN 115665741A CN 202211329071 A CN202211329071 A CN 202211329071A CN 115665741 A CN115665741 A CN 115665741A
- Authority
- CN
- China
- Prior art keywords
- security
- service
- mec
- authorized
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及一种安全服务实现方法、装置、安全服务系统、电子设备及可读存储介质,应用于移动通信技术领域。其中,方法包括:MEC服务器将接收的安全服务需求指令和与其对应的源于核心网络的安全策略,转换为适用于MEC平台的安全服务参数,并发送该安全服务参数。MEC主机预先构建用于存储授权用户终端、授权业务应用及安全策略之间的对应关系的端到端安全信息;在基于安全服务参数配置MEC主机之后,MEC主机基于端到端安全列表为授权发起方提供相匹配的安全业务。本公开可在兼顾网络安全性能和网络质量需求的基础上,实现适用于5G网络的安全服务。
Description
技术领域
本申请涉及移动通信技术领域,具体的,涉及一种安全服务实现方法、装置、安全服务系统、电子设备及可读存储介质。
背景技术
随着互联网技术的快速发展以及其被广泛应用于日常工作生活中,用户的网络性能需求也越来越高。5G(5th Generation Mobile Communication Technology,第五代移动通信技术)作为具有高速率、低时延和大连接特点的新一代宽带移动通信技术,在各行各业已大规模商用,链接万物的5G时代已经到来。
可以理解的是,对于网络来说,安全性是其不可忽略的性能参数。相关技术中,网络基于自身数据传输安全需求,会建设基于传输的安全设施;应用厂商、安全厂商基于应用,又会叠加一层应用安全设施,从而有效提升网络的安全性能。这种不考虑网络属性,以牺牲网络性能来提高安全性能的方法,适用于网络质量如网络时延、网络抖动等需求不高的应用场景。对于5G这种提供性能保障、按需定制的网络,其对网络性能要求较高,相关技术所采用的安全策略并不适用于5G网络。
鉴于此,如何确定适用于5G网络的安全策略,以在提高网络安全性能的同时满足网络质量需求,是所属领域技术人员需要解决的技术问题。
发明内容
本公开的目的是提供了一种安全服务实现方法、装置、安全服务系统、电子设备及可读存储介质,在兼顾网络安全性能和网络质量需求的基础上,实现适用于5G网络的安全服务。
为实现上述目的,本公开提供以下技术方案:
本公开第一方面提供了一种安全服务实现方法,应用于MEC平台的MEC服务器,所述MEC平台还包括多个MEC主机,各MEC主机预先构建用于存储授权用户终端、授权业务应用及安全策略之间的对应关系的端到端安全信息;包括:
将接收的安全服务需求指令、和与其对应的源于目标网络的安全策略,转换为适用于目标MEC主机的安全服务参数;
发送所述安全服务参数,以基于所述安全服务参数配置所述目标MEC主机,并利用所述目标MEC主机基于所述端到端安全信息为授权发起方提供相匹配的安全业务;
其中,所述目标MEC主机为用于执行所述安全服务需求指令对应的安全业务的MEC主机。
可选的,所述将接收的安全服务需求指令、和与其对应的源于目标网络的安全策略,转换为适用于目标MEC主机的安全服务参数,包括:
当接收到第三方业务应用通过所述MEC平台发起目标安全属性业务,将所述目标安全属性业务翻译为适用于MEC平台的业务属性信息;
根据所述业务属性信息和业务调度信息,生成网络需求信令,并将所述网络需求信令发送至所述目标网络;
获取所述目标网络发送的安全策略;所述安全策略为所述目标网络基于所述网络需求信令和网络环境信息所生成;
将所述安全策略翻译为所述安全服务参数。
可选的,所述将接收的安全服务需求指令、和与其对应的源于目标网络的安全策略,转换为适用于目标MEC主机的安全服务参数,包括:
当接收到目标用户终端通过所述目标网络发送的网络安全需求消息,将所述网络安全需求信息翻译为安全服务参数;
其中,所述网络安全需求消息包括所述用户终端的安全服务需求和安全策略。
可选的,所述将接收的安全服务需求指令、和与其对应的源于目标网络的安全策略,转换为适用于目标MEC主机的安全服务参数,包括:
当接收到目标网元发送的网络安全需求消息,将所述网络安全需求信息翻译为安全服务参数;
其中,所述网络安全需求消息包括所述网元的安全服务需求和安全策略。
可选的,所述将接收的安全服务需求指令、和与其对应的源于目标网络的安全策略之前,还包括:
当接收到安全服务需求指令,自动为所述安全服务需求指令对应的安全业务生成安全业务ID;
其中,所述安全业务ID用于替代所述安全服务需求指令的发起方的ID。
本公开第二方面提供了一种安全服务实现方法,应用于MEC平台的MEC主机,所述MEC平台还包括MEC服务器;包括:
预先构建用于存储授权用户终端、授权业务应用及安全策略之间对应关系的端到端安全信息;
当检测到安全服务参数已完成配置,基于所述端到端安全信息判断安全服务需求指令对应的发起方是否已被授权;
若所述发起方已被授权,则基于端到端安全信息为所述发起方提供相匹配的安全业务;
其中,所述安全服务参数为所述MEC服务器根据接收的安全服务需求指令、和与其对应的源于目标网络的安全策略,转换生成。
可选的,所述基于所述端到端安全信息判断安全服务需求指令对应的发起方是否已被授权之后,还包括:
若所述发起方未被授权,则生成鉴权任务,并在身份鉴权通过之后,发送所述鉴权任务;
获取鉴权参数信息;所述鉴权参数信息为在所述MEC平台基于业务配置信息为所述发起方分配相应资源,并通知所述MEC平台的控制器之后,由所述MEC服务器获取并传输;所述业务配置信息为所述目标网络根据所述鉴权任务和网络环境信息为所述发起方所配置的资源信息;
基于所述鉴权参数信息更新所述端到端安全信息,并向所述发起方发送鉴权通过信息。
可选的,所述构建用于存储授权用户终端、授权业务应用及安全策略之间对应关系的端到端安全信息,包括:
获取各类安全业务数据;
对各类安全业务数据进行分类处理,得到隶属不同行业的多组安全业务数据;
分别对每一组安全业务数据,根据行业安全属性进行安全赋能,以作为相应安全业务数据的安全策略;
根据安全赋能后的安全业务数据和每组安全业务数据的数据访问信息,构建端到端安全列表。
可选的,所述构建用于存储授权用户终端、授权业务应用及安全策略之间对应关系的端到端安全信息,包括:
基于安全级别,对所述端到端安全信息中的各授权用户终端进行分类,得到多个终端组;同一终端组内的授权终端为同一安全级别;
基于安全级别,对所述端到端安全信息中的各授权业务应用进行分类,得到多个业务组;同一业务组内的授权业务应用为同一安全级别;
其中,同一业务组内的每个授权业务应用在业务安全生命周期内有权访问其余各授权业务应用以及同一授权终端组内的每个授权终端;同一终端组内的各授权终端在业务安全生命周期内有权访问各授权终端以及同一授权业务组内的每个授权业务应用。
可选的,所述基于所述端到端安全信息判断安全服务需求指令对应的发起方是否已被授权,包括:
确定所述安全服务需求指令的发起方和被访问方;
若所述发起方和所述被访问方位于同一业务组,则所述发起方已被授权;
若所述发起方和所述被访问方位于同一终端组,则所述发起方已被授权;
若所述发起方所属业务组中存在有权访问所述被访问方所在终端组的用户终端,则所述发起方已被授权;
若所述发起方所属终端组中存在有权访问所述被访问方所在业务组的业务应用,则所述发起方已被授权。
本公开第三方面提供了一种安全服务实现装置,应用于MEC平台的MEC服务器,所述MEC平台还包括多个MEC主机,各MEC主机预先构建用于存储授权用户终端、授权业务应用及安全策略之间的对应关系的端到端安全信息;包括:
转换模块,用于将接收的安全服务需求指令、和与其对应的源于目标网络的安全策略,转换为适用于目标MEC主机的安全服务参数;其中,所述目标MEC主机为用于执行所述安全服务需求指令对应的安全业务的MEC主机;
发送模块,用于发送所述安全服务参数,以基于所述安全服务参数配置所述目标MEC主机,并利用所述目标MEC主机基于所述端到端安全信息为授权发起方提供相匹配的安全业务。
本公开第四方面提供了一种安全服务实现装置,应用于MEC平台的MEC主机,所述MEC平台还包括MEC服务器;包括:
关系构建模块,用于预先构建用于存储授权用户终端、授权业务应用及安全策略之间对应关系的端到端安全信息;
安全业务提供模块,用于当检测到安全服务参数已完成配置,若基于所述端到端安全信息判定安全服务需求指令对应的发起方已被授权,则基于端到端安全信息为所述发起方提供相匹配的安全业务;其中,所述安全服务参数为所述MEC服务器根据接收的安全服务需求指令、和与其对应的源于目标网络的安全策略,转换生成。
本公开第五方面还提供了一种安全服务系统,内嵌于MEC平台,包括安全服务调度层、多个相同的安全服务业务层和MEC主机管理模块;
所述安全服务调度层部署于MEC服务器,各安全服务业务层部署于相应的MEC主机中;每个安全服务业务层均包括多个用于被第三方业务应用调用的安全服务接口;
所述安全服务调度层用于执行计算机程序时实现如前任一项所述的安全服务实现方法;各安全服务业务层用于执行计算机程序时实现如前任一项所述的安全服务实现方法;所述MEC主机管理模块用于将所述安全服务调度层生成的安全服务参数映射至相应MEC主机的目标安全服务接口。
本公开第六方面还提供了一种电子设备,包括:
存储器,其上存储有计算机程序;
处理器,用于执行所述存储器存储的计算机程序时实现如前任一项所述的安全服务实现方法的步骤。
本公开最后还提供了一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如前任一项所述安全服务实现方法的步骤。
通过上述技术方案,MEC平台将安全服务需求转化为平台所理解的信息,同时获取核心网络对该安全服务需求基于当前网络环境所分配的资源情况,基于安全服务需求、安全资源和网络资源配置执行安全业务的MEC主机,由于安全策略是源于目标网络基于当前网络环境所确定的,以网络需求质量保障为基本输入条件调配资源、优化流程,不仅可在保障分层安全等级的同时满足网络质量需求;而且当网络质量需求变化时,MEC平台能够根据网络需求重构,按需定制相应的安全业务服务。MEC主机预先将用户终端、安全策略、业务应用关联起来作为业务安全处理的依据,基于该关联信息响应安全服务需求,从而实现向用户终端、网元和业务应用提供统一安全业务。将通过网络进行数据访问以及开展业务的过程利用MEC平台来实现,安全作为一种服务,能够与网络联合编排,可以解决相关技术所存在的安全保障与网络脱节的现象,无需牺牲网络性能,可以在兼顾网络安全性能和网络质量需求的基础上,实现适用于5G网络的安全服务。
本公开的其他特征和优点将在随后的具体实施方式部分予以详细说明。
此外,本发明实施例还针对安全服务实现方法提供了相应的实现装置、安全服务系统、电子设备及可读存储介质,进一步使得所述方法更具有实用性,所述装置、安全服务系统、电子设备及可读存储介质具有相应的优点。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本公开。
附图说明
附图是用来提供对本公开的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本公开,但并不构成对本公开的限制。在附图中:
图1为本公开提供的一种安全服务实现方法的流程示意图;
图2为本公开提供的一种安全服务管理调度方法的流程示意图;
图3为本公开提供的另一种安全服务实现方法的流程示意图;
图4为本公开提供的一种第三方业务应用发起安全业务的交互流程示意图;
图5为本公开提供的一种端到端安全列表示意图;
图6为本公开提供的安全服务实现装置的一种具体实施方式结构图;
图7为本公开提供的安全服务实现装置的另一种具体实施方式结构图;
图8为本公开提供的安全服务实现装置的再一种具体实施方式结构图;
图9为本公开提供的安全服务实现装置的再一种具体实施方式结构图;
图10为本公开提供的电子设备的一种具体实施方式结构图;
图11为本公开提供的电子设备的另一种具体实施方式结构图。
图12为本公开提供的安全服务系统的一种具体实施方式结构图;
图13为本公开提供的一个示例性应用场景的MEC平台框架示意图。
具体实施方式
以下结合附图对本公开的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本公开,并不用于限制本公开。
本公开的说明书和权利要求书及上述附图中的术语“包括”和“具有”以及他们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可包括没有列出的步骤或单元。
本公开的发明人经过调研发现,MEC(Multi-Access Edge Computing,多接入边缘计算)可将IT(Internet Technology,互联网技术)服务环境和云计算技术在网络边缘相结合,采用分布式架构以提高边缘网络的计算能力和存储能力,降低网络操作和服务交付的时延,提升用户体验。在5G网络中引入边缘计算,大量业务可在5G网络边缘终结,关键业务以及部分核心网元下沉到边缘网络,形成行业应用专网,其可作为5G产业的通用应用场景,成为运营商为用户在5G时代设计的新型基础设施。为了使未来网络与边缘计算有机结合,第三代伙伴计划(3rd generation partnership project,3GPP)与欧洲电信标准化组织(European Telecommunication Standards Institute,ETSI)就5G网络及MEC网络交互已经制定了诸多协议,使得5G网络能够根据业务需求及业务服务器地址等信息,改变用户面路由信息,使得用户面数据经过基站后通过UPF(User Plane Function,用户面功能)在边缘MEC服务器上进行数据的边缘卸载功能。
基于此,为了解决安全服务和网络部署互相独立且以牺牲网络性能提升网络安全的问题,本公开可将网络架构与安全综合考虑,通过引用边缘计算解决5G网络的安全及时性问题,以在提高安全性能的同时满足网络质量需求。本公开结合边缘计算服务器受限于应用架构、部署、体积等特点,采用与未来网络服务化架构同样的理念,建立基于MEC平台架构的、端到端闭环的安全服务系统,通过该MEC平台为边缘网络各个网元、终端、应用等提供统一安全服务。下面详细的说明本公开的各种非限制性实施方式。
首先请参见图1,图1为本发明实施例提供的一种安全服务实现方法的流程示意图,本发明实施例应用于MEC平台的MEC服务器,也即下述方法的执行主语是MEC平台的MEC服务器,MEC平台包括MEC服务器和多个MEC主机,可包括以下内容:
在步骤S101中,将接收的安全服务需求指令、和与其对应的源于目标网络的安全策略,转换为适用于目标MEC主机的安全服务参数。
在本步骤中,安全服务需求指令可以是用户终端通过网络发送至MEC平台的,也可以是网元发送至MEC平台的,还可以第三方业务应用向MEC平台发起的,安全服务需求指令用于表示发起方如用户终端或网元或第三方业务应用的安全服务需求,安全服务需求可以为开展某一项安全业务如敏感调度数据业务、用户身份保护业务、用户隐私保护业务、应用鉴权保护等,也可以是用户终端和第三方业务应用之间的数据访问业务。目标网络为核心网络,也即支持安全服务需求的网络,如5G网络。安全策略为核心网络基于需求信息如来源于MEC平台的安全服务需求、用户终端需求、核心网网元需求,网络负载和服务质量需求等综合生成的网络资源保障策略及安全资源保障策略。MEC平台受整个网络端到端安全等级策略编排,将统一的网络安全策略翻译成MEC对应提供的安全服务,支撑边缘数据应用系统的安全。以网络需求质量保障为基本输入条件调配资源、优化流程,从而可在保障分层安全等级的同时满足网络质量需求。由于安全策略是源于目标网络基于网络环境所确定的,当网络质量需求变化时,MEC平台能够根据网络需求重构,按需定制相应的安全业务服务。
本实施例中,不同的安全业务使用MEC平台的不同MEC主机承载,为了不引起歧义,本步骤将用于执行安全服务需求指令对应的安全业务的MEC主机称为目标MEC主机。每个MEC主机使用不同的安全服务参数完成不同安全等级的业务,也即不同MEC主机的安全服务参数配置不同。为了配置MEC主机的安全服务参数,需要将安全服务需求指令和与其对应的安全策略进行翻译,举例来说,可将安全服务需求指令发起方ID和安全策略翻译为目标MEC主机ID、MEC平台的安全策略、存储安全、计算资源等。
在步骤S102中,发送安全服务参数,以基于安全服务参数配置目标MEC主机,并利用目标MEC主机基于端到端安全信息为授权发起方提供相匹配的安全业务。
在本步骤中,MEC服务器在将安全服务需求指令和安全策略翻译为适用于MEC主机或者是说MEC平台的安全服务参数之后,将安全服务参数发送至MEC主机管理模块,MEC主机管理模块将安全服务参数映射至目标MEC主机的安全服务参数接口,目标MEC主机向基础设施层下发实例化安全资源需求,以用于支持安全业务的开展。为了提高安全性能,MEC平台支持授权用户终端或授权业务应用的安全业务需求,故每个业务应用和用户终端均需要事先在MEC平台中注册,并完成身份保护或者是鉴权任务,成为MEC平台的授权用户终端或者是授权业务应用。本实施例的授权发起方是指已被MEC平台授权可以进行安全业务的发起方,或者是说安全服务需求指令的发起方是已被授权的,授权发起方可为授权用户终端或授权业务应用或授权网元。安全业务也即授权发起方需求开展的业务。对于MEC平台的每个MEC主机,每个MEC主机均会预先构建用于存储授权用户终端、授权业务应用及安全策略之间对应关系的端到端安全信息,从而将用户终端、业务应用和安全策略进行关联。端到端安全信息例如可为端到端安全列表,当然,也可以其他形式来表现用户终端、业务应用和安全策略的对应关系。在将安全服务参数配置在MEC主机之后,MEC主机获悉发起方的相关信息和相应的安全策略,基于端到端安全信息便可唯一确定安全业务,进而执行该安全业务。
在本发明实施例提供的技术方案中,MEC平台将安全服务需求转化为平台所理解的信息,同时获取核心网络对该安全服务需求基于当前网络环境所分配的资源情况,基于安全服务需求、安全资源和网络资源配置执行安全业务的MEC主机,由于安全策略是源于目标网络基于当前网络环境所确定的,以网络需求质量保障为基本输入条件调配资源、优化流程,不仅可在保障分层安全等级的同时满足网络质量需求;而且当网络质量需求变化时,MEC平台能够根据网络需求重构,按需定制相应的安全业务服务。MEC主机预先将用户终端、安全策略、业务应用关联起来作为业务安全处理的依据,基于该关联信息响应安全服务需求,从而实现向用户终端、网元和业务应用提供统一安全业务。将通过网络进行数据访问以及开展业务的过程利用MEC平台来实现,安全作为一种服务,能够与网络联合编排,可以解决相关技术所存在的安全保障与网络脱节的现象,无需牺牲网络性能,可以在兼顾网络安全性能和网络质量需求的基础上,实现适用于5G网络的安全服务。
可以理解的是,安全服务需求指令可为用户终端或网元通过目标网络发送的网络安全需求消息,也可为第三方业务应用通过MEC平台发起的目标安全属性业务。基于此,本公开给出了上述实施例中步骤S101即“将接收的安全服务需求指令、和与其对应的源于目标网络的安全策略,转换为适用于目标MEC主机的安全服务参数”在不同应用场景的实现过程,可包括下述内容:
作为一种可选的实施方式,MEC平台对外提供应用接入接口,第三方业务应用可通过接口接入至平台。第三方业务应用是接入MEC平台的应用,MEC平台是承载接入应用和接入终端的中间体。第三方业务应用向MEC平台发起目标安全属性业务,MEC服务器接收到该目标安全属性业务,将目标安全属性业务翻译为适用于MEC平台的业务属性信息;根据业务属性信息和业务调度信息,生成网络需求信令,并将网络需求信令发送至目标网络;获取目标网络发送的安全策略;将安全策略翻译为安全服务参数。
在本实施例中,目标安全属性业务为第三方业务应用发起的安全服务需求,业务属性信息为MEC平台能够理解的安全信息语言,其包括业务信息和安全信息,业务属性信息例如可包括业务属性如一项高可靠低延时服务、第三方业务应用ID、安全算法、安全存储空间等。业务调度信息是从MEC平台的编排调度器中获取的MEC平台的业务调度信息,网络需求信令是用于向目标网络告知目标安全属性业务所在MEC平台的安全能力及业务能力需求。目标网络在接收到网络需求信令之后,根据网络需求信令和网络环境信息为目标安全属性业务生成对应的安全策略,网络环境信息为核心网络所接收到的MEC平台需求信息、用户终端需求信息、核心网网元需求信息,网络当前的负载情况和网络服务质量需求。安全策略可包括网络如5G网络为目标安全属性业务所分配的网络资源数据以及安全资源数据。为了使得MEC平台获取网络的安全策略,MEC服务器需要将接收到的安全策略进行翻译,得到MEC平台能够使用的参数如MEC主机ID、MEC平台安全策略、存储安全、计算资源等。
为了使所属领域技术人员更加清楚明白本公开如何实现第三方业务应用的安全管理调度,本公开结合图2给出了一种可选的实施方式,在本实施例中,MEC服务器中执行实现第三方业务应用的安全管理调度方法所对应计算机程序的功能模块称为安全服务调度层,目标网络为5G核心网络,MEC平台还包括编排调度器,例如可为MEAO(Multiaccess-EdgeApplication Orchestration,多接入边缘应用编排器),编排调度器用于对整个MEC平台的边缘计算业务进行全局编排,并统筹平台的边缘业务,实现MEC平台的边缘业务的调度。MEC主机中用于提供安全服务的功能模块称为安全服务业务层。基于此,该实施例可包括下述内容:
在步骤S201中,第三方业务应用通过MEC平台发起某一安全属性的业务,如敏感数据访问业务。
在步骤S202中,MEC服务器的安全服务调度层获取该安全属性业务所包含的业务信息及安全信息后,将其翻译为MEC平台的安全信息语言,本实施例称为业务属性信息,如该业务属性为一项高可靠低延时服务、该安全属性的业务的服务ID、安全算法、安全存储空间等级等。
在步骤S203中,业务属性信息与MEC编排调度器中的业务调度信息融合生成MEC平台安全能力及业务能力需求。
在步骤S204中,将这个业务能力及安全能力反馈到5G核心网络,也即向核心网络上报MEC平台需要开展的业务类型、业务安全需求和MEC平台的基础能力。步骤S201-S204完成了由边缘网络的第三方业务应用发起的安全业务的需求,通过MEC平台的边缘网络发送到核心网络的步骤,整个过程MEC平台的编排调度器及MEC服务器内的安全服务调度层完成。5G核心网络汇聚MEC平台需求、用户终端需求、核心网网元需求网络负载、Qos(Qualityof Service,服务质量)需求等,综合形成完成第三方业务应用的端到端网络资源保障策略及安全资源保障策略,以作为该安全属性的业务的安全策略,也即5G核心网根据各方收集的数据信息,统一部署某一项端到端的切片业务所使用的资源和安全等级等。进一步,5G核心将该安全策略下发到各个网元、用户终端、MEC平台,以用于通知各个网元、用户终端及MEC平台准备好资源承载即将开始的业务,至此建立业务资源分配上下文。5G核心网络可将安全策略通过会话管理层发送至MEC平台,以使MEC平台对该安全策略解析之后,利用统一协调的业务资源开展业务,当然,业务资源包括安全资源。
在步骤S205中,MEC平台接收到来自于5G核心网络为该安全属性的业务分配资源参数,安全调度层从编排调度器获取到安全需求如业务ID、安全策略、安全业务属性等,将其翻译成MEC平台的安全服务业务层能够使用的参数也即安全服务参数,如MEC平台对应的MEC主机ID、MEC平台安全策略、存储安全、计算资源等。
在步骤S206中,将翻译好的参数也即安全服务参数由MEC主机管理模块中安全管理模块将其映射至负责开展该安全属性的业务的MEC主机的安全参数管理接口。
在步骤S207中,MEC主机基础实施层下达实例化安全资源需求,以按照该实例化安全服务所需要的资源进一步开展安全业务。
在步骤S208中,将安全服务参数配置到安全服务业务层。
作为另外一种可选的实施方式,对于用户终端通过目标网络如5G核心网络发送至MEC平台的安全服务需求,或者是网元直接发送至MEC平台的网络安全需求,MEC服务器当接收到目标用户终端通过目标网络发送的网络安全需求消息,将网络安全需求信息翻译为安全服务参数。MEC服务器在接收到目标网元发送的网络安全需求消息,将网络安全需求信息翻译为安全服务参数。在MEC服务器将来自网络安全需求消息通过解析和翻译,生成MEC平台可以理解的消息。并把这些消息交给编排调度器如MEAO,编排调度器将传统资源与安全资源统一编排、统一规划,组合到MEC系统层控制MEC平台的消息中,统一发送到MEC的业务承载管理平台及对应边缘业务开展的MEC主机。进一步的,编排调度器根据MEC服务器的安全服务调度消息,启动相应的安全支撑虚拟化资源。不论是用户终端还是网元发送的网络安全需求,由于其是经由目标网络直接所发送至MEC平台的,目标网络在接收到用户终端的安全服务需求或者是网元所需求的安全服务需求时,会先汇聚MEC需求、用户终端需求、核心网网元需求网络负载、Qos需求(Quality of Service,服务质量)等,综合生成包含网络资源保障策略及安全资源保障策略的安全策略,也就是说,网络安全需求消息中已包括用户终端或网元的安全服务需求和安全策略。
由上可知,MEC服务器接收网络安全需求信息,也接收来自外部接入MEC平台的第三方业务应用的安全需求信息,对安全需求信息进行安全业务的调度处理,形成安全业务闭环。在安全业务调度过程中,安全与网络结合,安全为网络资源分配的一个内生因素,本实施例在不同应用场景下,均将其作为网络资源编排的一个影响因素,MEC服务器深入解析网络命令,协助网络完成对安全业务的建设,将网络不同的网络需求翻译成不同的安全保障服务,在统一网络质量保障条件下,安全策略统一编排,共同完成不同行业对网络的差异化需求,完成业务平台安全切片按需的安全定制,实现安全的负载均衡和跨区域共享。
为了进一步提升业务的安全性能,基于上述实施例,在步骤“将接收的安全服务需求指令、和与其对应的源于目标网络的安全策略”之前,还可包括:
当接收到安全服务需求指令,自动为安全服务需求指令对应的安全业务生成安全业务ID。
在本实施例中,对于能够开展安全业务的用户终端或第三方业务应用是预先在MEC平台注册且经过身份验证即通过鉴权的,且MEC平台提供安全业务是在预先构建的端到端安全信息的范围内,也就是说,对于承载安全服务的MEC平台,当鉴权完毕后,由于存储了端到端的映射关系,在业务进行中,不传输第三方业务用户的ID与用户终端的ID,根据端到端安全信息中所包含的映射关系中自定义的安全策略重新分配安全业务ID,利用该安全业务ID用于替代安全服务需求指令的发起方的ID,从而在开放的MEC平台上,能够保护第三方业务应用及用户终端的隐私,进一步提升安全服务性能。
由上可知,本实施例为端到端业务建立安全链接,编排安全业务ID,在完成安全业务的同时,做到了隐私保护,还有利于提高安全业务效率。
可以理解的是,本公开通过MEC平台为边缘网络的各网元、用户终端和第三方业务应用提供统一安全业务,依托标准的MEC架构,提供安全业务需要MEC服务器和MEC主机共同支持,上述实施例是以MEC服务器为执行主语,阐述MEC平台的安全服务实现过程,下面各方法实施例是以MEC主机为执行主语,阐述MEC平台的安全服务实现过程。下述实施例可应用于MEC平台中的任意一台MEC主机,可包括下述内容:
在S301中,预先构建用于存储授权用户终端、授权业务应用及安全策略之间对应关系的端到端安全信息。
本步骤与上述实施例的S102所记载的相关内容的描述一致,此处不再赘述。
在S302中,当检测到安全服务参数已完成配置,基于端到端安全信息判断安全服务需求指令对应的发起方是否已被授权。
本步骤与上述实施例的S102所记载的相关内容的描述一致,此处不再赘述。
在步骤S303中,若发起方已被授权,则基于端到端安全信息为发起方提供相匹配的安全业务。
本步骤与上述实施例的S102所记载的相关内容的描述一致,此处不再赘述。其中,安全服务参数为MEC服务器根据接收的安全服务需求指令、和与其对应的源于目标网络的安全策略,转换生成。安全服务参数的生成过程与上述实施例的S101所记载的相关内容的描述一致,此处不再赘述。
由上可知,本发明实施例可在兼顾网络安全性能和网络质量需求的基础上,实现适用于5G网络的安全服务。
基于上述实施例可知,边缘计算业务场景下,用户虽然已经在网络中注册,但是却不是注册在业务中,业务安全属性与网络信令的安全属性是可以不同的,因此在MEC平台业务进行之前,用户终端需要在MEC平台的边缘网络中进行注册;同样的,MEC平台上的第三方业务应用需要发起,仍然需要获得许可才行。网络需要鉴别用户终端的合法性、业务应用的合法性,再将合法的终端、合法的应用编辑到与之安全级别对应的边缘网络端到端的切片资源中,从而保障端到端安全。也就是说,对于支持在MEC平台开展安全业务的用户终端和第三方业务应用,需要在MEC平台进行注册并完成鉴权操作,上述实施例对如何进行用户终端和第三方业务应用的鉴权操作,并未进行限定,本实施例还给出了一种可选的实施方式,同样的,对于在步骤“基于端到端安全信息判断安全服务需求指令对应的发起方是否已被授权”之后,对未被授权的发起方的授权的实现过程,同样也可采用下面实施例所提供的实施方式,可包括下述内容:
当检测到存在用户终端或第三方业务应用的注册请求或者是授权请求,MEC主机生成鉴权任务,并在身份鉴权通过之后,发送鉴权任务;获取鉴权参数信息;基于鉴权参数信息更新端到端安全信息,并向发起方发送鉴权通过信息。
在本实施例,鉴权任务携带需要进行鉴权的发起方的相关数据信息,也即业务参数。MEC主机在发起业务鉴权并通过业务鉴权之后,将相应的业务参数传送至MEC服务器,MEC服务器连同MEC编排调度器将该业务对于的业务参数组合为业务需求信息发送至目标网络,目标网络根据鉴权任务对应的业务需求信息和网络环境信息为发起方配置资源信息,以作为发起方的业务配置信息,并将该业务配置信息反馈至MEC平台。MEC平台基于该业务配置信息为发起方分配相应资源,并通知MEC平台的控制器为该发起方开展业务。资源分配完成之后,MEC服务器获取该鉴权任务在当前MEC平台的鉴权参数信息,并将该鉴权参数信息反馈至发起鉴权任务的MEC主机中,完成鉴权任务的发起方的鉴权操作或者是说授权操作。
在本实施例中,对于MEC平台的第三方业务应用发起建立请求,首先触发MEC主机的应用身份鉴权机制,身份鉴权通过,才能把请求命令发送到MEC的编排调度器MEAO,进一步将该请求发送到网络,表示某一个边缘平台需要发起某项业务,包括安全的业务基本需求,业务的终点等。进一步,被新业务应用寻呼的目标用户终端,此时也需要注册到该条业务中去,目标用户终端将会发起该MEC平台的业务注册任务,MEC平台可根据该目标用户终端携带的业务ID许可判决该终端是否能接入。
为了使所属领域技术人员更加清楚明白本公开如何实现进行鉴权操作,本公开结合图4给出了如何在MEC平台发起安全业务的一种可选实施方式,在本实施例中,MEC服务器中执行实现安全业务发起流程处理方法所对应计算机程序的功能模块称为安全服务调度层,目标网络例如可为5G核心网络,MEC主机中用于提供安全服务的功能模块称为安全服务业务层。基于此,该实施例可包括下述内容:
在步骤S401中,MEC平台上发起第三方新业务应用注册任务。
在步骤S402中,MEC平台将新业务应用注册定位至安全服务业务层,并启动业务鉴权。
在步骤S403中,安全服务业务层鉴权通过,并将相应的业务参数传送到安全服务调度层。
在步骤S404中,安全服务调度层将需要开展新业务应用对应的安全业务的信息通知到MEC编排调度器。
在步骤S405中,编排调度器联合MEC平台的其它业务信息,组合生成业务需求消息,并发送到核心网络。
在步骤S406中,核心网络综合当前端到端业务数据、网络资源信息及负载等网络环境信息综合配置端到端业务信息,也即生成新业务应用的业务配置信息,并将该业务配置信息发送至MEC平台的编排调度器。
在步骤S407中,编排调度器接收到网络的安全业务配置信息之后,对该新业务应用需要的资源进行实例化分配,并通知MEC平台相应的控制器业务开始进行。
在步骤S408中,安全服务调度层获取到安全业务相关参数,也即鉴权参数信息。
在步骤S409中,安全服务调度层将鉴权参数信息传输到安全服务业务层。
在步骤S410中,安全服务业务层为新业务应用建立端到端安全业务链,更新端到端安全信息。
在步骤S411中,安全服务业务层通知第三方业务层,鉴权通过,业务可以开展。
由上可知,本实施例通过MEC平台可以实现边缘计算应用场景中的用户身份保护、用户隐私保护、MEC平台应用鉴权保护、MEC平台安全、MEC端到端的安全传输等,从而建立起MEC平台的边缘业务与用户终端的通信可能性。在对各用户终端和业务应用进行身份鉴权之后,MEC平台上的第三方业务应用之间,用户终端与用户终端之间的通信,都可以通过该MEC平台实现。在边缘平台上提供安全服务,终端的业务加入鉴权,第三方应用的业务开展鉴权,同网络一起建立起MEC平台上端到端安全业务接入保障,有利于MEC平台稳定、可靠、安全地开展业务,还是大数据产业稳定进行的保障。
基于上述实施例,MEC平台对用户终端或第三方业务应用的身份进行鉴别后,可为各个业务应用及用户终端分配各自的安全等级、安全角色等,结合编排调度器反馈的网络安全策略,可完成某一业务端到端安全策略及参数对应关系存储,也即构建端到端安全信息,以作为安全业务资源分配、业务迁移的参考。上述实施例对如何进行端到端安全信息的构建并未进行限定,本实施例还给出端到端安全信息的一种可选的构建方式,可包括:
获取各类安全业务数据;对各类安全业务数据进行分类处理,得到隶属不同行业的多组安全业务数据。分别对每一组安全业务数据,根据行业安全属性进行安全赋能,以作为相应安全业务数据的安全策略。根据安全赋能后的安全业务数据和每组安全业务数据的数据访问信息,构建端到端安全列表。
在本实施例中,安全业务数据是指从MEC主机的安全的基础设施层获取到的各种类型的安全数据,例如鉴权数据,加密数据等。在获取到安全数据之后,可先对这些安全数据进行数据分类,如可将所有的鉴权数据聚类至一组,还可基于数据是否需要上报至高层处理进行分类,还可基于数据是否需要进行二次分析进行分类,然后可按照不同行业进行分类。其次,可根据数据属性提炼预先构建的端到端安全列表中,如图5所示,端到端安全列表为端到端安全通信列表及策略列表链,其是将终端安全-安全策略-安全边缘应用串成链条,从而形成MEC平台资源、数据、存储等安全分类处理的基本依据。利用行业安全数据整合模块,基于大数据分析能力,对行业安全属性进行提炼,针对边缘应用场景下端到端安全赋能。
进一步的,MEC主机的安全服务业务层维护着端到端安全列表,该表将终端、安全策略、业务关联起来,作为边缘平台上业务切片分片安全处理的依据,同时业务管理之后还赋予一个新的安全业务ID,在MEC平台上就不用多次传输用户终端ID及第三方业务应用的ID,从而可起到隐私保护的作用。为了进一步提高安全业务的实现效率,提升用户使用体验,本实施例还可按照安全等级对端到端安全列表的各用户终端和各业务应用进行分组。可选的,可基于安全级别,对端到端安全信息中的各授权用户终端进行分类,得到多个终端组;同一终端组内的授权终端为同一安全级别。基于安全级别,对端到端安全信息中的各授权业务应用进行分类,得到多个业务组。同一业务组内的授权业务应用为同一安全级别。这样,处于同一业务组内的第三方边缘应用或者处于同一安全组内的安全终端在业务安全生命周期内都是可以互相访问的,也即:同一业务组内的每个授权业务应用在业务安全生命周期内有权访问其余各授权业务应用以及同一授权终端组内的每个授权终端;同一终端组内的各授权终端在业务安全生命周期内有权访问各授权终端以及同一授权业务组内的每个授权业务应用。举例来说,如图5所示,边缘业务ID1对应第三方业务ID2,终端组1内所有终端都可以接入第三方业务ID2,不需要重新鉴权。
本实施例通过对端到端安全信息中的用户终端和业务应用的映射关系进一步优化,对于海量终端、海量业务应用场景,可有效节约空口资源,提高用户体验。
基于该实施例,上述实施例中步骤“基于端到端安全信息判断安全服务需求指令对应的发起方是否已被授权”的一种可选的实施方式,可包括:
确定安全服务需求指令的发起方和被访问方;若发起方和被访问方位于同一业务组,则发起方已被授权;若发起方和被访问方位于同一终端组,则发起方已被授权;若发起方所属业务组中存在有权访问被访问方所在终端组的用户终端,则发起方已被授权;若发起方所属终端组中存在有权访问被访问方所在业务组的业务应用,则发起方已被授权。
也就是说,发起方或被访问方没有被授权,或者是发起方访问的业务组或终端组中不存在被授权的业务或用户终端,则均需要进行重新鉴权,鉴权的实现过程可参阅上述鉴权实施例所记载的方法。
在本实施例中,针对海量用户终端及海量应用业务,本实施例将用户终端和第三方应用按照安全等级分组,在边缘计算场景下,用户终端访问用户终端、MEC平台上第三方业务应用访问第三方业务应用情况下,能够有效缩减鉴权流程,同一组内的终端和同一组内的应用能够相互访问,为复杂的网络业务提供可行的简化流程,有效提升安全服务的实现效率。
需要说明的是,本公开中各步骤之间没有严格的先后执行顺序,只要符合逻辑上的顺序,则这些步骤可以同时执行,也可按照某种预设顺序执行,各方法流程图只是一种示意方式,并不代表只能是这样的执行顺序。
本发明实施例还针对安全服务实现方法提供了相应的装置,进一步使得方法更具有实用性。其中,装置可从功能模块的角度和硬件的角度分别说明。下面对本发明实施例提供的安全服务实现装置进行介绍,下文描述的安全服务实现装置与上文描述的安全服务实现方法可相互对应参照。
基于功能模块的角度,请参见图6,图6为本发明实施例提供的安全服务实现装置在一种实施方式下的结构图,装置应用于MEC平台的MEC服务器,MEC平台还包括多个MEC主机,各MEC主机预先构建用于存储授权用户终端、授权业务应用及安全策略之间的对应关系的端到端安全信息;该装置可包括:
转换模块601,用于将接收的安全服务需求指令、和与其对应的源于目标网络的安全策略,转换为适用于目标MEC主机的安全服务参数;其中,目标MEC主机为用于执行安全服务需求指令对应的安全业务的MEC主机。
发送模块602,用于发送安全服务参数,以基于安全服务参数配置目标MEC主机,并利用目标MEC主机基于端到端安全信息为授权发起方提供相匹配的安全业务。
可选的,作为上述实施例的一种可选的实施方式,上述转换模块601还可用于:当接收到第三方业务应用通过MEC平台发起目标安全属性业务,将目标安全属性业务翻译为适用于MEC平台的业务属性信息;根据业务属性信息和业务调度信息,生成网络需求信令,并将网络需求信令发送至目标网络;获取目标网络发送的安全策略;安全策略为目标网络基于网络需求信令和网络环境信息所生成;将安全策略翻译为安全服务参数。
作为与上述实施例并列的一种可选的实施方式,上述转换模块601可进一步用于:当接收到目标用户终端通过目标网络发送的网络安全需求消息,将网络安全需求信息翻译为安全服务参数;其中,网络安全需求消息包括用户终端的安全服务需求和安全策略。
作为与上述实施例并列的另一种可选的实施方式,上述转换模块601还可进一步用于:当接收到目标网元发送的网络安全需求消息,将网络安全需求信息翻译为安全服务参数;其中,网络安全需求消息包括网元的安全服务需求和安全策略。
可选的,作为上述实施例的另一种可选的实施方式,请参阅图7,上述装置还可包括业务ID分配模块603,用于当接收到安全服务需求指令,自动为安全服务需求指令对应的安全业务生成安全业务ID;其中,安全业务ID用于替代安全服务需求指令的发起方的ID。
上述装置实施例,是基于MEC平台的MEC服务器中的功能模块的角度,本实施例还基于MEC平台的MEC主机中的功能模块的角度阐述该装置,请参见图8,图8为本发明实施例提供的安全服务实现装置在另一种实施方式下的结构图,该装置应用于MEC平台的MEC主机,MEC平台还包括MEC服务器;装置可包括:
关系构建模块801,用于预先构建用于存储授权用户终端、授权业务应用及安全策略之间对应关系的端到端安全信息;
安全业务提供模块802,用于当检测到安全服务参数已完成配置,若基于端到端安全信息判定安全服务需求指令对应的发起方已被授权,则基于端到端安全信息为发起方提供相匹配的安全业务;其中,安全服务参数为MEC服务器根据接收的安全服务需求指令、和与其对应的源于目标网络的安全策略,转换生成。
可选的,作为上述实施例的一种可选的实施方式,请参阅图9,该装置还可包括鉴权模块803,用于若发起方未被授权,则生成鉴权任务,并在身份鉴权通过之后,发送鉴权任务;获取鉴权参数信息;鉴权参数信息为在MEC平台基于业务配置信息为发起方分配相应资源,并通知MEC平台的控制器之后,由MEC服务器获取并传输;业务配置信息为目标网络根据鉴权任务和网络环境信息为发起方所配置的资源信息;基于鉴权参数信息更新端到端安全信息,并向发起方发送鉴权通过信息。
可选的,作为上述实施例的另一种可选的实施方式,上述关系构建模块801可进一步用于:获取各类安全业务数据;对各类安全业务数据进行分类处理,得到隶属不同行业的多组安全业务数据;分别对每一组安全业务数据,根据行业安全属性进行安全赋能,以作为相应安全业务数据的安全策略;根据安全赋能后的安全业务数据和每组安全业务数据的数据访问信息,构建端到端安全列表。
作为上述实施例的一种可选的实施方式,上述关系构建模块801还可进一步用于:基于安全级别,对端到端安全信息中的各授权用户终端进行分类,得到多个终端组;同一终端组内的授权终端为同一安全级别;基于安全级别,对端到端安全信息中的各授权业务应用进行分类,得到多个业务组;同一业务组内的授权业务应用为同一安全级别;其中,同一业务组内的每个授权业务应用在业务安全生命周期内有权访问其余各授权业务应用以及同一授权终端组内的每个授权终端;同一终端组内的各授权终端在业务安全生命周期内有权访问各授权终端以及同一授权业务组内的每个授权业务应用。
作为上述实施例的另一种可选的实施方式,上述安全业务提供模块802还可进一步用于:确定安全服务需求指令的发起方和被访问方;若发起方和被访问方位于同一业务组,则发起方已被授权;若发起方和被访问方位于同一终端组,则发起方已被授权;若发起方所属业务组中存在有权访问被访问方所在终端组的用户终端,则发起方已被授权;若发起方所属终端组中存在有权访问被访问方所在业务组的业务应用,则发起方已被授权。
本发明实施例安全服务实现装置的各功能模块的功能可根据上述方法实施例中的方法具体实现,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
由上可知,本发明实施例可在兼顾网络安全性能和网络质量需求的基础上,实现适用于5G网络的安全服务。
上文中提到的安全服务实现装置是从功能模块的角度描述,图10是根据一示例性实施例示出的一种电子设备1000的框图。如图10所示,该电子设备1000可以包括:处理器1001,存储器1002。该电子设备1000还可以包括多媒体组件1003,输入/输出(I/O)接口1004,以及通信组件1005中的一者或多者。
其中,处理器1001用于控制该电子设备1000的整体操作,以完成上述的安全服务实现方法中的全部或部分步骤。存储器1002用于存储各种类型的数据以支持在该电子设备1000的操作,这些数据例如可以包括用于在该电子设备1000上操作的任何应用程序或方法的指令,以及应用程序相关的数据,例如联系人数据、收发的消息、图片、音频、视频等等。该存储器1002可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,例如静态随机存取存储器(Static Random Access Memory,简称SRAM),电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,简称EEPROM),可擦除可编程只读存储器(Erasable Programmable Read-Only Memory,简称EPROM),可编程只读存储器(Programmable Read-Only Memory,简称PROM),只读存储器(Read-Only Memory,简称ROM),磁存储器,快闪存储器,磁盘或光盘。多媒体组件1003可以包括屏幕和音频组件。其中屏幕例如可以是触摸屏,音频组件用于输出和/或输入音频信号。例如,音频组件可以包括一个麦克风,麦克风用于接收外部音频信号。所接收的音频信号可以被进一步存储在存储器1002或通过通信组件1005发送。音频组件还包括至少一个扬声器,用于输出音频信号。I/O接口1004为处理器1001和其他接口模块之间提供接口,上述其他接口模块可以是键盘,鼠标,按钮等。这些按钮可以是虚拟按钮或者实体按钮。通信组件1005用于该电子设备1000与其他设备之间进行有线或无线通信。无线通信,例如Wi-Fi,蓝牙,近场通信(Near FieldCommunication,简称NFC),2G、3G或4G,或它们中的一种或几种的组合,因此相应的该通信组件1005可以包括:Wi-Fi模块,蓝牙模块,NFC模块。
在一示例性实施例中,电子设备1000可以被一个或多个应用专用集成电路(Application Specific Integrated Circuit,简称ASIC)、数字信号处理器(DigitalSignal Processor,简称DSP)、数字信号处理设备(Digital Signal Processing Device,简称DSPD)、可编程逻辑器件(Programmable Logic Device,简称PLD)、现场可编程门阵列(Field Programmable Gate Array,简称FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述的安全服务实现方法。
在另一示例性实施例中,还提供了一种包括程序指令的计算机可读存储介质,该程序指令被处理器执行时实现上述的安全服务实现方法的步骤。例如,该计算机可读存储介质可以为上述包括程序指令的存储器1002,上述程序指令可由电子设备1000的处理器1001执行以完成上述的安全服务实现方法。
图11是根据一示例性实施例示出的一种电子设备1100的框图。例如,电子设备1100可以被提供为一服务器。参照图11,电子设备1100可包括处理器1122,其数量可以为一个或多个,以及存储器1132,用于存储可由处理器1122执行的计算机程序。存储器1132中存储的计算机程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理器1122可以被配置为执行该计算机程序,以执行上述的安全服务实现方法。
另外,电子设备1100还可以包括电源组件1126和通信组件1150,该电源组件1126可以被配置为执行电子设备1100的电源管理,该通信组件1150可以被配置为实现电子设备1100的通信,例如,有线或无线通信。此外,该电子设备1100还可以包括输入/输出(I/O)接口1158。电子设备1100可以操作基于存储在存储器1132的操作系统,例如WindowsServerTM,Mac OS XTM,UnixTM,LinuxTM等等。
在另一示例性实施例中,还提供了一种包括程序指令的计算机可读存储介质,该程序指令被处理器执行时实现上述的安全服务实现方法的步骤。例如,该计算机可读存储介质可以为上述包括程序指令的存储器1132,上述程序指令可由电子设备1100的处理器1122执行以完成上述的安全服务实现方法。
最后,本发明实施例还提供了一种安全服务实现系统,该安全服务实现系统可内嵌于MEC平台,请参见图12,可包括:
安全服务系统120可包括安全服务调度层121、多个相同的安全服务业务层122和MEC主机管理模块123。安全服务调度层121部署于MEC服务器,各安全服务业务层122部署于相应的MEC主机中;每个安全服务业务层122均包括多个用于被第三方业务应用调用的安全服务接口。安全服务调度层121用于执行计算机程序时实现上述任意一个安全服务实现方法实施例中的方法步骤。各安全服务业务层用于执行计算机程序时实现上述任意一个安全服务实现方法实施例中的方法步骤;在数据处理上,MEC主机的安全服务业务层122可为MEC平台提供第三方应用鉴权能力、终端鉴权能力、隐私保护能力、加密数据保护能力及根据应用需求开发各种内置安全能力的安全APP,如图12所示。MEC主机管理模块123可用于管理多个MEC主机,并可用于将安全服务调度层121生成的安全服务参数映射至相应MEC主机的目标安全服务接口。
本发明实施例安全服务系统的各功能模块的功能可根据上述方法实施例中的方法具体实现,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
为了使所属领域技术人员更加清楚明白本实施例的技术方案,本实施例还结合图13给出了一个示意性例子,可包括下述内容:
在本实施例中,MEC平台包括内置于MEC边缘服务器系统层中的安全服务调度层121、内置于MEC主机管理模块123中的安全管理模块、内置于MEC平台的一个MEC主机中的安全服务业务层122。
安全服务调度层121辅助MEC编排调度器完成边缘计算中的安全调度工作,可选的,安全服务调度层121可用于解析网络安全参数翻译成MEC的安全服务平台需要的安全输入;还用于将MEC平台的安全需求翻译成网络参数,提交到5G网络中。安全管理模块完成安全调度参数与某一个MEC主机的映射工作,以实现对该MEC主机的安全服务参数的配置。安全服务业务层122为MEC主机提供安全服务,如第三方应用鉴权、接入终端鉴权、端到端同一安全等级业务,隐私保护等。此外,安全服务业务层122还可进一步派生出安全服务APP124,各安全服务APP为MEC平台提供不同安全服务接口,供第三方业务应用调用,提供诸如应用的鉴权服务、应用数据的加密服务等安全服务。
基于上述实施例的MEC平台,本公开的应用场景之一可以通过用户终端访问第三方业务应用来实现。用户终端通过5G网络向MEC平台发起访问第三方业务应用数据的安全访问服务,安全访问服务携带用户终端ID、5G网络为该安全访问服务生成的安全策略以及被访问第三方业务应用ID。MEC平台的安全服务调度层接收到安全访问服务,将该安全访问服务翻译为MEC平台理解的安全服务参数,并为该安全访问服务分配边缘业务ID。MEC主机管理模块将该安全服务参数映射至开展该安全访问服务的MEC主机的安全服务参数的接口上,MEC主机下发实例化安全资源需求,并将安全服务参数配置至安全服务业务层,安全服务业务层调用端到端安全列表,若用户终端ID与第三方业务应用ID在该端到端安全列表中没有被授权可以互相访问,则需要进行鉴权。若第三业务应用ID不在端到端安全列表中,则可生成注册提醒指令。若该用户终端ID和第三方业务应用ID在该端到端安全列表中已被授权可以互相访问,则允许用户终端接入该第三方业务应用中,此时,用户终端便可访问第三方业务应用的相干数据。
需要注意的是,上述应用场景仅是为了便于理解本公开的思想和原理而示出,本公开的实施方式在此方面不受任何限制。相反,本公开的实施方式可以应用于适用的任何场景。
由上可知,本发明实施例可在兼顾网络安全性能和网络质量需求的基础上,实现适用于5G网络的安全服务。
以上结合附图详细描述了本公开的可选实施方式,但是,本公开并不限于上述实施方式中的具体细节,在本公开的技术构思范围内,可以对本公开的技术方案进行多种简单变型,这些简单变型均属于本公开的保护范围。例如,可以将5G网络改变为4G网络。另外需要说明的是,在上述具体实施方式中所描述的各个具体技术特征,在不矛盾的情况下,可以通过任何合适的方式进行组合,为了避免不必要的重复,本公开对各种可能的组合方式不再另行说明。
此外,本公开的各种不同的实施方式之间也可以进行任意组合,只要其不违背本公开的思想,其同样应当视为本公开所公开的内容。
Claims (15)
1.一种安全服务实现方法,其特征在于,应用于MEC平台的MEC服务器,所述MEC平台还包括多个MEC主机,各MEC主机预先构建用于存储授权用户终端、授权业务应用及安全策略之间的对应关系的端到端安全信息;所述方法包括:
将接收的安全服务需求指令、和与其对应的源于目标网络的安全策略,转换为适用于目标MEC主机的安全服务参数;
发送所述安全服务参数,以基于所述安全服务参数配置所述目标MEC主机,并利用所述目标MEC主机基于所述端到端安全信息为授权发起方提供相匹配的安全业务;
其中,所述目标MEC主机为用于执行所述安全服务需求指令对应的安全业务的MEC主机。
2.根据权利要求1所述的安全服务实现方法,其特征在于,所述将接收的安全服务需求指令、和与其对应的源于目标网络的安全策略,转换为适用于目标MEC主机的安全服务参数,包括:
当接收到第三方业务应用通过所述MEC平台发起目标安全属性业务,将所述目标安全属性业务翻译为适用于MEC平台的业务属性信息;
根据所述业务属性信息和业务调度信息,生成网络需求信令,并将所述网络需求信令发送至所述目标网络;
获取所述目标网络发送的安全策略;所述安全策略为所述目标网络基于所述网络需求信令和网络环境信息所生成;
将所述安全策略翻译为所述安全服务参数。
3.根据权利要求1所述的安全服务实现方法,其特征在于,所述将接收的安全服务需求指令、和与其对应的源于目标网络的安全策略,转换为适用于目标MEC主机的安全服务参数,包括:
当接收到目标用户终端通过所述目标网络发送的网络安全需求消息,将所述网络安全需求信息翻译为安全服务参数;
其中,所述网络安全需求消息包括所述用户终端的安全服务需求和安全策略。
4.根据权利要求1所述的安全服务实现方法,其特征在于,所述将接收的安全服务需求指令、和与其对应的源于目标网络的安全策略,转换为适用于目标MEC主机的安全服务参数,包括:
当接收到目标网元发送的网络安全需求消息,将所述网络安全需求信息翻译为安全服务参数;
其中,所述网络安全需求消息包括所述网元的安全服务需求和安全策略。
5.根据权利要求1至4任意一项所述的安全服务实现方法,其特征在于,所述将接收的安全服务需求指令、和与其对应的源于目标网络的安全策略之前,还包括:
当接收到安全服务需求指令,自动为所述安全服务需求指令对应的安全业务生成安全业务ID;
其中,所述安全业务ID用于替代所述安全服务需求指令的发起方的ID。
6.一种安全服务实现方法,其特征在于,应用于MEC平台的MEC主机,所述MEC平台还包括MEC服务器;所述方法包括:
预先构建用于存储授权用户终端、授权业务应用及安全策略之间对应关系的端到端安全信息;
当检测到安全服务参数已完成配置,基于所述端到端安全信息判断安全服务需求指令对应的发起方是否已被授权;
若所述发起方已被授权,则基于端到端安全信息为所述发起方提供相匹配的安全业务;
其中,所述安全服务参数为所述MEC服务器根据接收的安全服务需求指令、和与其对应的源于目标网络的安全策略,转换生成。
7.根据权利要求6所述的安全服务实现方法,其特征在于,所述基于所述端到端安全信息判断安全服务需求指令对应的发起方是否已被授权之后,还包括:
若所述发起方未被授权,则生成鉴权任务,并在身份鉴权通过之后,发送所述鉴权任务;
获取鉴权参数信息;所述鉴权参数信息为在所述MEC平台基于业务配置信息为所述发起方分配相应资源,并通知所述MEC平台的控制器之后,由所述MEC服务器获取并传输;所述业务配置信息为所述目标网络根据所述鉴权任务和网络环境信息为所述发起方所配置的资源信息;
基于所述鉴权参数信息更新所述端到端安全信息,并向所述发起方发送鉴权通过信息。
8.根据权利要求6所述的安全服务实现方法,其特征在于,所述构建用于存储授权用户终端、授权业务应用及安全策略之间对应关系的端到端安全信息,包括:
获取各类安全业务数据;
对各类安全业务数据进行分类处理,得到隶属不同行业的多组安全业务数据;
分别对每一组安全业务数据,根据行业安全属性进行安全赋能,以作为相应安全业务数据的安全策略;
根据安全赋能后的安全业务数据和每组安全业务数据的数据访问信息,构建端到端安全列表。
9.根据权利要求6至8任意一项所述的安全服务实现方法,其特征在于,所述构建用于存储授权用户终端、授权业务应用及安全策略之间对应关系的端到端安全信息,包括:
基于安全级别,对所述端到端安全信息中的各授权用户终端进行分类,得到多个终端组;同一终端组内的授权终端为同一安全级别;
基于安全级别,对所述端到端安全信息中的各授权业务应用进行分类,得到多个业务组;同一业务组内的授权业务应用为同一安全级别;
其中,同一业务组内的每个授权业务应用在业务安全生命周期内有权访问其余各授权业务应用以及同一授权终端组内的每个授权终端;同一终端组内的各授权终端在业务安全生命周期内有权访问各授权终端以及同一授权业务组内的每个授权业务应用。
10.根据权利要求9所述的安全服务实现方法,其特征在于,所述基于所述端到端安全信息判断安全服务需求指令对应的发起方是否已被授权,包括:
确定所述安全服务需求指令的发起方和被访问方;
若所述发起方和所述被访问方位于同一业务组,则所述发起方已被授权;
若所述发起方和所述被访问方位于同一终端组,则所述发起方已被授权;
若所述发起方所属业务组中存在有权访问所述被访问方所在终端组的用户终端,则所述发起方已被授权;
若所述发起方所属终端组中存在有权访问所述被访问方所在业务组的业务应用,则所述发起方已被授权。
11.一种安全服务实现装置,其特征在于,应用于MEC平台的MEC服务器,所述MEC平台还包括多个MEC主机,各MEC主机预先构建用于存储授权用户终端、授权业务应用及安全策略之间的对应关系的端到端安全信息;所述装置包括:
转换模块,用于将接收的安全服务需求指令、和与其对应的源于目标网络的安全策略,转换为适用于目标MEC主机的安全服务参数;其中,所述目标MEC主机为用于执行所述安全服务需求指令对应的安全业务的MEC主机;
发送模块,用于发送所述安全服务参数,以基于所述安全服务参数配置所述目标MEC主机,并利用所述目标MEC主机基于所述端到端安全信息为授权发起方提供相匹配的安全业务。
12.一种安全服务实现装置,其特征在于,应用于MEC平台的MEC主机,所述MEC平台还包括MEC服务器;所述装置包括:
关系构建模块,用于预先构建用于存储授权用户终端、授权业务应用及安全策略之间对应关系的端到端安全信息;
安全业务提供模块,用于当检测到安全服务参数已完成配置,若基于所述端到端安全信息判定安全服务需求指令对应的发起方已被授权,则基于端到端安全信息为所述发起方提供相匹配的安全业务;其中,所述安全服务参数为所述MEC服务器根据接收的安全服务需求指令、和与其对应的源于目标网络的安全策略,转换生成。
13.一种安全服务系统,其特征在于,内嵌于MEC平台,包括安全服务调度层、多个相同的安全服务业务层和MEC主机管理模块;
所述安全服务调度层部署于MEC服务器,各安全服务业务层部署于相应的MEC主机中;每个安全服务业务层均包括多个用于被第三方业务应用调用的安全服务接口;
所述安全服务调度层用于执行计算机程序时实现如权利要求1至5任一项所述的安全服务实现方法;各安全服务业务层用于执行计算机程序时实现如权利要求6至10任一项所述的安全服务实现方法;所述MEC主机管理模块用于将所述安全服务调度层生成的安全服务参数映射至相应MEC主机的目标安全服务接口。
14.一种电子设备,其特征在于,包括:
存储器,其上存储有计算机程序;
处理器,用于执行所述存储器存储的计算机程序时实现如权利要求1至5任一项所述的安全服务实现方法和/或如权利要求6至10任一项所述的安全服务实现方法的步骤。
15.一种可读存储介质,其特征在于,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述的安全服务实现方法和/或如权利要求6至10任一项所述的安全服务实现方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211329071.7A CN115665741A (zh) | 2022-10-27 | 2022-10-27 | 安全服务实现方法、装置、安全服务系统、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211329071.7A CN115665741A (zh) | 2022-10-27 | 2022-10-27 | 安全服务实现方法、装置、安全服务系统、设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115665741A true CN115665741A (zh) | 2023-01-31 |
Family
ID=84993120
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211329071.7A Pending CN115665741A (zh) | 2022-10-27 | 2022-10-27 | 安全服务实现方法、装置、安全服务系统、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115665741A (zh) |
-
2022
- 2022-10-27 CN CN202211329071.7A patent/CN115665741A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10361843B1 (en) | Native blockchain platform for improving workload mobility in telecommunication networks | |
| Singh et al. | Ai-based mobile edge computing for iot: Applications, challenges, and future scope | |
| Somula et al. | A survey on mobile cloud computing: mobile computing+ cloud computing (MCC= MC+ CC) | |
| EP4002904A1 (en) | Technologies for radio equipment cybersecurity and multiradio interface testing | |
| US10764072B2 (en) | Systems and methods for configuring a private multi-access edge computing environment | |
| Novo et al. | Capillary networks-bridging the cellular and IoT worlds | |
| Shiraz et al. | A review on distributed application processing frameworks in smart mobile devices for mobile cloud computing | |
| KR20220092366A (ko) | 하이브리드 에지 컴퓨팅 플랫폼에서의 보안 듀얼 모드 에지 애플리케이션 프로그래밍 인터페이스 소비를 위한 상호운용가능한 프레임워크 | |
| US20220167026A1 (en) | Network based media processing control | |
| KR102140636B1 (ko) | Nfv를 통한 풀 기반 m2m 서비스 계층 구축 | |
| US11706617B2 (en) | Authenticating radio access network components using distributed ledger technology | |
| US11658963B2 (en) | Cooperative communication validation | |
| JP2020517132A (ja) | ポリシ制御を実装するための方法、装置、およびシステム | |
| US11140565B2 (en) | Methods and systems for optimizing processing of application requests | |
| Sabella et al. | Edge computing: from standard to actual infrastructure deployment and software development | |
| KR20210141639A (ko) | 네트워크 기반 미디어 처리 보안 | |
| US20170325092A1 (en) | Discovery mechanism for service server connection | |
| CN107425980B (zh) | 工作空间之间的通信 | |
| CN113923023B (zh) | 权限配置和数据处理的方法、装置、电子设备及介质 | |
| CN112243016A (zh) | 一种中间件平台、终端设备、5g人工智能云处理系统及处理方法 | |
| CN111182074A (zh) | 具有边缘计算能力的智能设备终端、计算机可读存储介质 | |
| CN112492592A (zh) | 一种多个nrf场景下的授权方法 | |
| US20230232228A1 (en) | Method and apparatus for establishing secure communication | |
| US11516663B2 (en) | Systems and methods for secure endpoint connection and communication | |
| US20230124206A1 (en) | Apparatus, methods, and computer programs |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |