一种基于边缘计算的终端设备管控方法、电子设备及介质与流程

本公开涉及数据安全传输技术领域，具体地，涉及一种基于边缘计算的终端设备管控方法、装置、电子设备及计算机可读存储介质。

背景技术：

随着5g技术在各行各业中的应用发展，链接万物的5g时代已经到来。移动边缘计算(mobileedgecomputing，mec)，采用分布式架构，将it服务环境和云计算技术在网络边缘相结合，大大提高了边缘网络的计算和存储能力，减少了网络操作和服务交付时延，提升了用户体验，成为了5g核心技术之一。引入边缘计算后的大量业务将在5g网络边缘进行结算，关键业务、部分核心网元下沉到边缘网络，形成行业应用专网，是5g产业目前最典型的应用场景。

在万物互联5g时代，数以亿计的终端设备将被接入到网络中，而终端设备的身份管控对于保障网络安全和业务正常运行来说有重要意义。相关技术中，对用户终端设备的身份管控依然由核心网络执行：各终端设备的身份信息存储在核心网络的数据管理中心(unifieddatamanagement，udm)中，核心网络通过统一身份认证保障仅合法用户才能访问核心网络业务。在5g边缘计算的场景下，业务运行被转入边缘网络，而终端设备在入网时依然需要到核心网络进行身份鉴权，以及后续的周期性身份鉴权。而由于边缘网络与核心网络的路由差导致了时间差的存在，因此不能保障每一包数据的源头均真实可靠，进而整个数据包的不可靠性将导致整个网络数据库的不可靠性，甚至引发数据库瘫痪。

鉴于此，提供一种解决上述技术问题的方案，已经是本领域技术人员所亟需关注的。

技术实现要素：

本公开的目的在于提供一种基于边缘计算的终端设备管控方法、装置、电子设备及计算机可读存储介质，以便及时准确地实现对终端设备身份合法性的核准校验，进而提高业务运行的安全稳定性。

为了实现上述目的，本公开提供一种基于边缘计算的终端设备管控方法，应用于边缘网络设备，包括：

接收目标终端设备发送的网络接入请求，所述网络接入请求携带有所述目标终端设备的目标身份信息；

在预设身份信息库中查找所述目标身份信息；所述预设身份信息库中存储有已获得边缘网络准入资格的各终端设备的身份信息；

若查找成功，则对所述目标终端设备执行网络接入操作；

若查找失败，则对所述目标终端设备执行网络拒入操作。

可选地，所述接收目标终端设备发送的网络接入请求，包括：

在所述目标终端设备接收到核心网络服务器发送的用于接入边缘网络的配置数据后，接收所述目标终端设备发送的所述网络接入请求。

可选地，在所述接收所述目标终端设备发送的所述网络接入请求之前，还包括：

接收所述核心网络服务器发送的终端入网通知消息。

可选地，所述预设身份信息库由核心网络服务器对已注册的终端设备完成业务校验之后生成，并实时更新发送至所述边缘网络设备。

可选地，所述对所述目标终端设备执行网络接入操作，包括：

为所述目标终端设备分配业务资源；

通知所述目标终端设备进行入网连接；

向核心网络服务器发送所述目标终端设备的配置完成消息。

可选地，所述对所述目标终端设备执行网络拒入操作，包括：

通知所述目标终端设备禁止入网连接；

向核心网络服务器发送所述目标终端设备的配置失败消息。

可选地，在所述对所述目标终端设备执行网络接入操作之后，还包括：

周期性通知所述目标终端设备进行身份信息校验并挂起所述目标终端设备的目标业务进程；

接收所述目标终端设备发送的所述目标身份信息；

在所述预设身份信息库中查找所述目标身份信息；

若查找成功，则许可所述目标业务进程继续运行；

若查找失败，则禁止所述目标业务进程的运行并取消所述目标终端设备的业务资源分配。

本公开还提供了另一种基于边缘计算的终端设备管控方法，应用于核心网络服务器，包括：

确定进行业务迁移的目标终端设备；

向所述目标终端设备发送用于接入边缘网络的配置数据，以便所述目标终端设备发送网络接入请求至边缘网络设备；所述网络接入请求携带有所述目标终端设备的目标身份信息；

当所述边缘网络设备在预设身份信息库中查找所述目标身份信息、并根据查找结果对所述目标终端设备对应执行网络接入操作或者网络拒入操作后，接收所述边缘网络设备返回的所述目标终端设备的接入配置结果消息；所述预设身份信息库中存储有已获得边缘网络准入资格的各终端设备的身份信息。

第二方面，本公开还提供了一种电子设备，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序以实现如上所述的终端设备管控方法的步骤。

第三方面，本公开还提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机程序，所述计算机程序被处理器执行时用以实现如上所述的终端设备管控方法的步骤。

通过上述技术方案可知，本公开在采用边缘计算的网络架构基础上，将针对于终端设备的入网管控校验由边缘网络设备执行，令终端设备的身份核准机制合理化，使得边缘网络设备在为终端设备提供业务服务的同时，也能及时有效地对终端设备的身份合法性进行核准校验，进而有效提高了业务运行的安全稳定性。

本公开的其他特征和优点将在随后的具体实施方式部分予以详细说明。

附图说明

附图是用来提供对本公开的进一步理解，并且构成说明书的一部分，与下面的具体实施方式一起用于解释本公开，但并不构成对本公开的限制。在附图中：

图1为本公开实施例提供的一种基于边缘计算的终端设备管控方法的应用场景图；

图2为本公开实施例提供的一种基于边缘计算的终端设备管控方法的流程图；

图3为本公开实施例提供的一种终端设备管控方法的示意图；

图4为本公开实施例提供的又一种终端设备管控方法的示意图；

图5为本公开实施例提供的一种对已入网的终端设备周期性进行身份核准的方法流程图；

图6为本公开实施例提供的又一种基于边缘计算的终端设备管控方法的流程图；

图7为本公开实施例提供的一种电子设备400的框图；

图8为本公开实施例提供的又一种电子设备500的框图。

具体实施方式

以下结合附图对本公开的具体实施方式进行详细说明。应当理解的是，此处所描述的具体实施方式仅用于说明和解释本公开，并不用于限制本公开。

边缘计算(edgecomputing)，指在靠近物或数据源头的网络边缘侧，融合网络、计算、存储、应用核心能力的开放平台，就近提供边缘智能服务，满足行业数字化在敏捷连接、实时业务、数据优化、应用智能、安全与隐私保护等方面的关键需求。

随着5g技术在各行各业中的应用发展，链接万物的5g时代已经到来。引入边缘计算后的大量业务将在5g网络边缘进行结算，关键业务、部分核心网元下沉到边缘网络，形成行业应用专网，这是5g产业目前最典型的应用场景。

在万物互联5g时代，数以亿计的终端设备将被接入到网络中，而终端设备的身份管控对于保障网络安全和业务正常运行来说有重要意义。相关技术中，对用户终端设备的身份管控依然由核心网络执行：各终端设备的身份信息存储在核心网络的数据管理中心(unifieddatamanagement，udm)中，核心网络通过统一身份认证保障仅合法用户才能访问核心网络业务。

但是，在5g边缘计算的场景下，相关技术虽然将业务运行转入边缘网络，但终端设备在入网时依然需要到核心网络进行身份鉴权、以及后续的周期性身份鉴权。而由于边缘网络与核心网络的路由差导致了时间差的存在，因此不能保障每一包数据的源头均真实可靠，进而整个数据包的不可靠性将导致整个网络数据库的不可靠性，甚至引发数据库瘫痪。鉴于此，本公开提供了一种基于边缘计算的终端设备管控方案，可有效解决上述问题。

参见图1，本公开实施例提供了一种基于边缘计算的终端设备管控方法的应用场景图，主要包括终端设备、边缘网络设备和核心网络服务器。

其中，终端设备即接入网络中的各类用户终端；核心网络服务器即为云端服务器，是整个网络系统的架构核心；边缘网络设备即为边缘网络中的处理设备，用于向终端设备提供具体的业务服务。

参见图2，本公开实施例提供了一种基于边缘计算的终端设备管控方法的流程图，该方法应用于如图1中所示的边缘网络设备，主要包括以下步骤：

s101：接收目标终端设备发送的网络接入请求，网络接入请求携带有目标终端设备的目标身份信息。

需要指出的是，本公开所提供的终端设备管控方法中，针对于终端设备的入网管控或称为身份管控，具体是由边缘网络设备操作执行的，即，本公开将对终端设备的入网管控与业务运行一同进行了边缘网络落地化，在边缘网络中利用边缘网络设备对终端设备进行入网管控和业务服务，进一步对核心网络的运行承载进行减负。

由此，在本公开中，待入网的目标终端设备将选择接入边缘网络而非核心网络，向边缘网络设备发送网络接入请求。容易理解的是，为了对请求入网的终端设备进行身份管控，网络接入请求中携带有该目标终端设备的目标身份信息。

进一步地，作为一个具体实施例，一个终端设备的身份信息可具体为该终端设备经加密生成的用户隐藏标识(subscriptionconcealedidentifier，suci)。

s102：在预设身份信息库中查找目标身份信息；预设身份信息库中存储有已获得边缘网络准入资格的各终端设备的身份信息；若查找成功，则进入s103；若查找失败，则进入s104。

边缘网络设备将依据预设身份信息库对请求入网的目标终端设备进行身份校验。该预设身份信息库中存储有所有已经获得了边缘网络准入资格的终端设备的身份信息。因此，在预设身份信息库中存有记录的目标终端设备将被边缘网络设备允许入网，而在预设身份信息库中没有记录的目标终端设备将被边缘网络设备禁止入网。

进一步地，该预设身份信息库可具体由核心网络服务器生成，并发送至边缘网络设备。具体地，核心网络服务器作为整个云系统的架构核心，负责管理终端设备的注册、业务协议等。当有新的终端设备完成在核心网络服务器的注册、成为业务服务的合法用户后，核心网络服务器即可将该终端设备的身份信息更新至预设身份信息库中，并将该预设身份信息库发送至边缘网络设备。

s103：对目标终端设备执行网络接入操作。

s104：对目标终端设备执行网络拒入操作。

可见，本公开在采用边缘计算的网络架构基础上，将针对于终端设备的入网管控校验由边缘网络设备执行，令终端设备的身份核准机制合理化，使得边缘网络设备在为终端设备提供业务服务的同时，也能及时有效地对终端设备的身份合法性进行核准校验，进而有效提高了业务运行的安全稳定性。

作为一种具体实施例，本公开实施例所提供的基于边缘计算的终端设备管控方法在上述内容的基础上，接收目标终端设备发送的网络接入请求，包括：

在目标终端设备接收到核心网络服务器发送的用于接入边缘网络的配置数据后，接收目标终端设备发送的网络接入请求。

具体地，目标终端设备完成了在核心网络服务器的注册而成为合法用户后，核心网络服务器可通知该目标终端设备连接边缘网络，并向该目标终端设备发送用于连接边缘网络的配置数据。其中，容易理解的是，配置数据是目标终端设备按照既定的通信协议与边缘网络设备进行数据通信、执行入网连接、获取业务服务的基础。

作为一种具体实施例，本公开实施例所提供的基于边缘计算的终端设备管控方法在上述内容的基础上，在接收目标终端设备发送的网络接入请求之前，还包括：

接收核心网络服务器发送的终端入网通知消息。

具体地，由于接入边缘网络的目标终端设备可能为多个，因此为了便于边缘网络设备进行终端设备入网管理，核心网络服务器可提前将各目标终端设备要接入边缘网络的消息通知给边缘网络设备。其中，具体地，终端入网通知消息可具体包括各个目标终端设备的设备id以及身份信息。边缘网络设备在接收到终端入网通知消息后，并不会立刻执行针对目标终端设备的入网操作，而是将该终端入网通知消息挂起，等待目标终端设备发来网络接入请求后，再进行消息处理即为终端设备连接入网。

作为一种具体实施例，本公开实施例所提供的基于边缘计算的终端设备管控方法在上述内容的基础上，预设身份信息库由核心网络服务器对已注册的终端设备完成业务校验之后生成，并实时更新发送至边缘网络设备。

具体地，本实施例中，预设身份信息库由核心网络服务器生成，并实时更新且发送至边缘网络设备。对于完成注册的终端设备，可由核心网络服务器对其进一步进行业务校验，以确定该终端设别所需要的业务服务是否可由边缘网络提供。

作为一种具体实施例，本公开实施例所提供的基于边缘计算的终端设备管控方法在上述内容的基础上，对目标终端设备执行网络接入操作，包括：

为目标终端设备分配业务资源；

通知目标终端设备进行入网连接；

向核心网络服务器发送目标终端设备的配置完成消息。

具体地，本实施例中，边缘网络设备为目标终端设备执行网络接入操作时，需要为该目标终端设备分配业务资源，具体包括计算资源、存储资源、安全资源等，然后再通知目标终端设备接入边缘网络，从而可在目标终端设备完成网络接入配置后向其提供业务服务，并可向核心网络服务器发送配置完成消息。

上述过程可对照参考图3，图3为本公开实施例提供的一种基于边缘计算的终端设备管控方法的示意图。

作为一种具体实施例，本公开实施例所提供的基于边缘计算的终端设备管控方法在上述内容的基础上，对目标终端设备执行网络拒入操作，包括：

通知目标终端设备禁止入网连接；

向核心网络服务器发送目标终端设备的配置失败消息。

具体地，本实施例中，边缘网络设备对目标终端设备执行网络拒入操作时，将不会为该目标终端设备分配业务资源，并且禁止目标终端设备的入网连接。目标终端设备无法获准接入边缘网络，即入网配置失败，边缘网络设备可进一步向核心网络服务器发送配置失败消息。

上述过程可对照参考图4，图4为本公开实施例提供的又一种基于边缘计算的终端设备管控方法的示意图。

进一步地，出于安全问题考虑，针对已入网的目标终端设备，其身份管控核准需要周期性定时重复进行。参见图5，图5为本公开实施例提供的一种对已入网的终端设备周期性进行身份核准的方法流程图。

作为一种具体实施例，本公开实施例所提供的基于边缘计算的终端设备管控方法在上述内容的基础上，在对目标终端设备执行网络接入操作之后，还包括：

s201：周期性通知目标终端设备进行身份信息校验并挂起目标终端设备的目标业务进程。

具体地，可利用定时器进行周期计时。当定时器的定时时间到达时，可通知目标终端设备上报身份信息以进行校验，并且，在未完成身份信息校验之前，将该目标终端设备的目标业务进程挂起，暂停对该目标终端设备的服务。

s202：接收目标终端设备发送的目标身份信息；

s203：在预设身份信息库中查找目标身份信息；若查找成功，则进入s204；若查找失败，则进入s205。

目标终端设备发来了身份信息之后，边缘网络设备便在预设身份信息库中进行查找。若查找成功，则说明该目标终端设备为合法设备，则被挂起的目标业务进程可被释放而继续正常运行；若查找失败，则说明该目标终端设备当前并不合法，边缘网络设备可进一步取消为该目标终端设备已分配的业务资源。

s204：许可目标业务进程继续运行；

s205：禁止目标业务进程的运行并取消目标终端设备的业务资源分配。

参见图6所示，本公开实施例提供了另一种基于边缘计算的终端设备管控方法，应用于核心网络服务器，主要包括：

s301：确定进行业务迁移的目标终端设备。

s302：向目标终端设备发送用于接入边缘网络的配置数据，以便目标终端设备发送网络接入请求至边缘网络设备；网络接入请求携带有目标终端设备的目标身份信息。

s303：当边缘网络设备在预设身份信息库中查找目标身份信息、并根据查找结果对目标终端设备对应执行网络接入操作或者网络拒入操作后，接收边缘网络设备返回的目标终端设备的接入配置结果消息；预设身份信息库中存储有已获得边缘网络准入资格的各终端设备的身份信息。

可见，本公开在采用边缘计算的网络架构基础上，将针对于终端设备的入网管控校验由边缘网络设备执行，令终端设备的身份核准机制合理化，使得边缘网络设备在为终端设备提供业务服务的同时，也能及时有效地对终端设备的身份合法性进行核准校验，进而有效提高了业务运行的安全稳定性。

作为一种具体实施例，本公开实施例所提供的基于边缘计算的终端设备管控方法在上述内容的基础上，接收边缘网络设备返回的目标终端设备的接入配置结果消息，包括

当边缘网络设备在预设身份信息库中成功查找到目标身份信息、并对目标终端设备执行网络接入操作后，接收边缘网络设备返回的目标终端设备的配置完成消息；

当边缘网络设备在预设身份信息库中查找目标身份信息失败、并对目标终端设备执行网络拒入操作后，接收边缘网络设备返回的目标终端设备的配置失败消息。

作为一种具体实施例，本公开实施例所提供的基于边缘计算的终端设备管控方法在上述内容的基础上，在向目标终端设备发送用于接入边缘网络的配置数据之后，还包括：

向边缘网络设备发送终端入网通知消息。进一步地，终端入网通知消息包括目标终端设备的设备id和身份信息。

作为一种具体实施例，本公开实施例所提供的基于边缘计算的终端设备管控方法在上述内容的基础上，预设身份信息库由核心网络服务器对已注册的终端设备完成业务校验之后生成，并实时更新发送至边缘网络设备。

进一步地，图7是根据一示例性实施例示出的一种电子设备400的框图。如图7所示，该电子设备400可以包括：处理器401，存储器402。该电子设备400还可以包括多媒体组件403，信息输入/信息输出(i/o)接口404，以及通信组件405中的一者或多者。

其中，处理器401用于控制该电子设备400的整体操作，以完成上述的应用于电子设备中的数据传输方法中的全部或部分步骤；存储器402用于存储各种类型的数据以支持在该电子设备400的操作，这些数据例如可以包括用于在该电子设备400上操作的任何应用程序或方法的指令，以及应用程序相关的数据，例如联系人数据、收发的消息、图片、音频、视频等等。该存储器402可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，例如静态随机存取存储器(staticrandomaccessmemory，简称sram)，电可擦除可编程只读存储器(electricallyerasableprogrammableread-onlymemory，简称eeprom)，可擦除可编程只读存储器(erasableprogrammableread-onlymemory，简称eprom)，可编程只读存储器(programmableread-onlymemory，简称prom)，只读存储器(read-onlymemory，简称rom)，磁存储器，快闪存储器，磁盘或光盘。

多媒体组件403可以包括屏幕和音频组件。其中屏幕例如可以是触摸屏，音频组件用于输出和/或输入音频信号。例如，音频组件可以包括一个麦克风，麦克风用于接收外部音频信号。所接收的音频信号可以被进一步存储在存储器402或通过通信组件405发送。音频组件还包括至少一个扬声器，用于输出音频信号。i/o接口404为处理器401和其他接口模块之间提供接口，上述其他接口模块可以是键盘，鼠标，按钮等。这些按钮可以是虚拟按钮或者实体按钮。通信组件405用于该电子设备400与其他设备之间进行有线或无线通信。无线通信，例如wi-fi，蓝牙，近场通信(nearfieldcommunication，nfc)，2g、3g或4g，或它们中的一种或几种的组合，因此相应的该通信组件405可以包括：wi-fi模块，蓝牙模块，nfc模块。

在一示例性实施例中，电子设备400可以被一个或多个应用专用集成电路(applicationspecificintegratedcircuit，简称asic)、数字信号处理器(digitalsignalprocessor，简称dsp)、数字信号处理设备(digitalsignalprocessingdevice，简称dspd)、可编程逻辑器件(programmablelogicdevice，简称pld)、现场可编程门阵列(fieldprogrammablegatearray，简称fpga)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述给出的应用于边缘网络设备的终端设备管控方法。

在另一示例性实施例中，还提供了一种包括程序指令的计算机可读存储介质，该程序指令被处理器执行时用以实现上述基于边缘计算的终端设备管控方法的步骤。例如，该计算机可读存储介质可以为上述存储有程序指令的存储器402，上述程序指令可由电子设备400的处理器401执行以完成上述应用于边缘网络设备的终端设备管控方法。

关于上述电子设备400和计算机可读存储介质的具体内容，可参考前述关于基于边缘计算的终端设备管控方法的详细介绍，这里就不再赘述。

图8是根据一示例性实施例示出的一另种电子设备500的框图。例如，电子设备500可以被提供为一服务器。参照图8，电子设备500包括处理器501，其数量可以为一个或多个，以及存储器502，用于存储可由处理器501执行的计算机程序。存储器502中存储的计算机程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外，处理器501可以被配置为执行该计算机程序，以执行上述的应用于核心网络服务器的终端设备管控方法。

另外，电子设备500还可以包括电源组件503和通信组件504，该电源组件503可以被配置为执行电子设备500的电源管理，该通信组件504可以被配置为实现电子设备500的通信，例如，有线或无线通信。此外，该电子设备500还可以包括输入/输出(i/o)接口505。电子设备500可以操作基于存储在存储器502的操作系统，例如windowsservertm，macosxtm，unixtm,linuxtm等等。

在另一示例性实施例中，还提供了一种包括程序指令的计算机可读存储介质，该程序指令被处理器执行时实现上述的应用于核心网络服务器的终端设备管控方法的步骤。例如，该计算机可读存储介质可以为上述包括程序指令的存储器502，上述程序指令可由电子设备500的处理器501执行以完成上述的应用于核心网络服务器的终端设备管控方法。

以上结合附图详细描述了本公开的优选实施方式，但是，本公开并不限于上述实施方式中的具体细节，在本公开的技术构思范围内，可以对本公开的技术方案进行多种简单变型，这些简单变型均属于本公开的保护范围。

另外需要说明的是，在上述具体实施方式中所描述的各个具体技术特征，在不矛盾的情况下，可以通过任何合适的方式进行组合。为了避免不必要的重复，本公开对各种可能的组合方式不再另行说明。

此外，本公开的各种不同的实施方式之间也可以进行任意组合，只要其不违背本公开的思想，其同样应当视为本公开所公开的内容。