5G能力开放安全控制方法、装置、设备及存储介质与流程

5g能力开放安全控制方法、装置、设备及存储介质
技术领域
1.本发明涉及通信领域，具体地说，涉及5g能力开放安全控制方法、 装置、设备及存储介质。


背景技术：

2.能力开放是5g架构重要的组成部分，通过开放的api(applicationprogramming interface，应用程序接口)将5g各种能力开放给第三方应 用调用，有利于垂直行业加速推出新型业务，也有利于运营商提升网络附 加值，提升用户的业务体验。
3.为了实现5g能力向外部开放，3gpp定义了一个capif(commonapi framework for 3gpp northbound apis，通用的api开放框架)。 capif分为四个逻辑功能：capif core function：定义了api身份验 证，授权，日志记录、计费等功能，提供了使用网络能力开放api的通 用要求；api exposing function(api暴露功能)；api publishingfunction(api发布功能)；api management function(api管理功能)。
4.在3gpp协议r15中,定义了nef(network exposure function，网 络开放功能)作为5g网路能力开放功能,面向af(application function， 应用功能)提供标准能力开放服务。
5.目前，标准规范中对api调用者的授权粒度是整个api服务的使用 权，未对这个api服务如何使用进行更细粒度的分级授权控制，容易出现 能力滥用、误用等导致的敏感数据泄露风险。
6.由此，如何对api服务进行分级授权控制，以避免由于能力滥用、误 用等导致的敏感数据泄露风险，是本领域技术人员亟待解决的技术问题。
7.需要说明的是，上述背景技术部分公开的信息仅用于加强对本发明的 背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术 的信息。


技术实现要素：

8.针对现有技术中的问题，本发明的目的在于提供5g能力开放安全控 制方法、装置、设备及存储介质，克服了现有技术的困难，对api服务进 行分级授权控制，以避免由于能力滥用、误用等导致的敏感数据泄露风险。
9.本发明的实施例提供一种5g能力开放安全控制方法，包括：
10.接收服务订阅者的api服务订阅请求；
11.将所述api服务订阅请求发送至api服务方；
12.接收所述api服务方响应所述服务订阅者的调用返回的数据；
13.根据所述服务订阅者的有限敏感数据控制策略，对所述api服务方返 回的数据进行脱敏；
14.将脱敏后的数据发送至所述服务订阅者。
15.在本技术的一些实施例中，所述接收服务订阅者的api服务订阅请求 包括：
16.查询所述api服务方是否存在有限敏感数据标签；
17.若是，则根据所述服务订阅者的签约规则，生成关联所述服务订阅者 的有限敏感数据控制策略。
18.在本技术的一些实施例中，所述有限敏感数据控制策略以集合的方式 规定了有限授权的参数、该参数授权的属性以及授权范围。
19.在本技术的一些实施例中，所述根据所述服务订阅者的有限敏感数据 控制策略，对所述api服务方返回的数据进行脱敏包括：
20.判断所述服务订阅者的属性信息与所述参数授权的属性以及授权范 围是否匹配；
21.若是，则直接将所述api服务方返回的数据发送至所述服务订阅者；
22.若否，则对所述api服务方返回的数据进行脱敏。
23.在本技术的一些实施例中，所述根据所述服务订阅者的有限敏感数据 控制策略，对所述api服务方返回的数据进行脱敏包括：
24.判断所述api服务方是否存在绝对敏感数据标签；
25.若是，则根据所述绝对敏感数据标签，对所述api服务方返回的数据 进行脱敏。
26.在本技术的一些实施例中，所述接收服务订阅者的api服务订阅请求 之前包括：
27.接收所述api服务的服务注册请求，并根据所述api服务的服务类 别以及返回的数据类型进行绝对敏感数据标签和有限敏感数据标签的设 置。
28.在本技术的一些实施例中，所述根据所述api服务的服务类别以及返 回的数据类型进行绝对敏感数据标签和有限敏感数据标签的设置包括：
29.判断所述api服务的服务类别是否属于提供监控管理、传递网络相关 信息和数据类的服务；
30.若是，则对所述api服务的返回的数据类型进行绝对敏感数据标签和 有限敏感数据标签的设置。
31.根据本技术的又一方面，还提供一种5g能力开放安全控制装置，包 括：
32.第一接收模块，配置成接收服务订阅者的api服务订阅请求；
33.第一发送模块，配置成将所述api服务订阅请求发送至api服务方；
34.第二接收模块，配置成接收所述api服务方响应所述服务订阅者的调 用返回的数据；
35.第一脱敏模块，配置成根据所述服务订阅者的有限敏感数据控制策略， 对所述api服务方返回的数据进行脱敏；
36.第二发送模块，配置成将脱敏后的数据发送至所述服务订阅者。
37.根据本发明的又一方面，还提供一种5g能力开放安全控制处理设备， 包括：
38.处理器；
39.存储器，其中存储有所述处理器的可执行指令；
40.其中，所述处理器配置为经由执行所述可执行指令来执行如上所述 5g能力开放安全控制方法的步骤。
41.本发明的实施例还提供一种计算机可读存储介质，用于存储程序，所 述程序被执行时实现上述5g能力开放安全控制方法的步骤。
42.相比现有技术，本发明的目的在于：
43.针对现在5g能力开放的标准规范中对，未对api服务如何使用进行 更细粒度的分级授权控制，容易出现能力滥用、误用等导致的敏感数据泄 露风险的问题，提出了一种5g能力开放安全控制方法，通过引入数据过 滤控制模块，根据5g能力开放的api类型以及api调用者的属性信息， 应用分类分级的数据过滤策略，对api调用返回的结果数据进行过滤后再 返回第三方应用，降低敏感数据泄露安全风险。
附图说明
44.通过阅读参照以下附图对非限制性实施例所作的详细描述，本发明的 其它特征、目的和优点将会变得更明显。
45.图1是本发明的5g能力开放安全控制方法的一种实施例的流程图。
46.图2是本发明的5g能力开放安全控制方法的系统示意图。
47.图3是本发明的5g能力开放安全控制方法的api服务注册的流程图。
48.图4是本发明的5g能力开放安全控制方法的api服务订阅请求的流 程图。
49.图5是本发明的api服务返回数据分级脱敏的流程图。
50.图6是本发明的5g能力开放安全控制装置的一种实施例的模块图。
51.图7是本发明的5g能力开放安全控制装置的另一种实施例的模块图。
52.图8是本发明的5g能力开放安全控制设备的结构示意图。
53.图9是本发明一实施例的计算机可读存储介质的结构示意图。
具体实施方式
54.现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能 够以多种形式实施，且不应被理解为限于在此阐述的实施方式。相反，提 供这些实施方式使得本发明将全面和完整，并将示例实施方式的构思全面 地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的结 构，因而将省略对它们的重复描述。
55.参见图1，图1是本发明的应用于主叫终端的5g能力开放安全控制 方法的一种实施例的流程图。本发明的实施例提供一种5g能力开放安全 控制方法，包括以下步骤：
56.步骤s110：接收服务订阅者的api服务订阅请求。
57.步骤s120：将所述api服务订阅请求发送至api服务方。
58.步骤s130：接收所述api服务方响应所述服务订阅者的调用返回的 数据。
59.步骤s140：根据所述服务订阅者的有限敏感数据控制策略，对所述 api服务方返回的数据进行脱敏。
60.步骤s150：将脱敏后的数据发送至所述服务订阅者。
61.由此，针对现在5g能力开放的标准规范中对，未对api服务如何使 用进行更细粒度的分级授权控制，容易出现能力滥用、误用等导致的敏感 数据泄露风险的问题，通过引入数据过滤控制模块，根据5g能力开放的 api类型以及api调用者的属性信息，应用分类分级的数据过滤策略，对 api调用返回的结果数据进行过滤后再返回第三方应用，降低敏感数据泄 露安全风险。
62.图2是本发明的5g能力开放安全控制方法的系统示意图。本实施例 中，为原有的
capif221和nef222设置一数据过滤控制模块223以对 服务订阅者21和api服务23之间的数据进行过滤控制。具体而言数据 过滤控制模块223可以包括数据处理模块以及数据过滤模块。数据处理 模块负责在api服务注册以及api服务订阅流程中，根据预定的规则进 行分级分类标签的处理，并生成有限敏感数据授权控制策略。数据过滤模 块，负责对api调用返回的结果数据进行过滤处理，降低敏感数据泄露安 全风险。
63.具体而言，api服务注册时，数据处理模块根据api服务的服务类别、 返回的数据类型，进行分级分类标签处理。如果api服务的类别是属于提 供监控管理、传递网络相关信息和数据类的服务，则进行分类分级数据标 签的处理。其中，如果包含绝对敏感数据，则标注需要脱敏的参数，并打 上绝对敏感数据标签。如果包含有限授权数据，则标注有限授权的参数， 授权属性范围，并打上有限敏感数据标签。
64.具体而言，当服务订阅者a申请订阅api服务b时，数据处理模块 查询api服务b是否有有限敏感数据标签，如果有，则根据服务订阅者a 的签约规则确定api服务b的授权范围，生成针对a的有限敏感数据授 权控制策略。有限敏感数据授权控制策略以集合的方式规定了有限授权的 参数和此参数授权的属性以及范围，如{参数1，属性类型，授权范围}、{参 数2，属性类型，授权范围}，默认情况授权范围为null，即默认此参数 均要进行脱敏操作。
65.具体而言，收到api服务方返回的数据时，数据过滤模块检查api 服务方是否有绝对敏感数据标签，如果有，则采用匿名模糊化等通用脱敏 技术进行数据脱敏操作。
66.具体而言，收到api服务方返回的数据时，数据过滤模块检查api 服务方是否有有限敏感数据标签。如果有，则根据有限敏感数据授权控制 策略和本次调用的参数类型，以模式匹配的方式，依次验证。如果属于有 限授权参数，则验证其位置、所属组织等属性信息是否在授权范围内，如 果不在，则采用匿名模糊化等通用脱敏技术进行数据脱敏操作。
67.具体而言，数据过滤操作完成后，nef将处理过的数据返回服务调 用方。
68.目前5g能力开放标准对api调用者的授权粒度是整个api服务的使 用权，未对这个api服务如何使用进行更细粒度的分级授权控制，容易出 现能力滥用、误用等导致敏感数据泄露的安全风险。而本专利提出的方法 通过应用数据分级分类过滤策略，实现对于不同的第三方应用调用同一个 api能力，返回不同粒度的数据，降低敏感数据泄露风险。
69.下面参见图3，图3是本发明的5g能力开放安全控制方法的api服 务注册的流程图。
70.步骤s310：接收所述api服务的服务注册请求；
71.步骤s320：判断所述api服务的服务类别是否属于提供监控管理、 传递网络相关信息和数据类的服务；
72.若步骤s320判断为是，则执行步骤s330：对所述api服务的返回 的数据类型进行绝对敏感数据标签和有限敏感数据标签的设置。
73.具体而言，绝对敏感数据类型可以为dnn、s-nssai、supi等参数， 对所有的非5gc网元，均不能暴露，必须脱敏处理。有限授权敏感数据 类型可以为用户标识、位置信息等数据只能被限定api使用者获取，其余 只能获取脱敏后的数据。
74.由此，当5g内部核心网元在nef注册发布api服务后，数据处理 模块查询其服务类别，是否属于提供监控管理、传递网络相关信息和数据 类的服务。如果是，则需要进行分类
分级数据标签标签处理。如果包含 dnn、s-nssai、supi等绝对敏感数据，则标注需要脱敏的参数，并打 上绝对敏感标签。如果包含用户标识、位置信息等有限授权数据，则标注 有限授权的参数，并打上有限敏感标签。
75.下面参见图4，图4是本发明的5g能力开放安全控制方法的api服 务订阅请求的流程图。图4共示出如下步骤：
76.步骤s410：接收服务订阅者的api服务订阅请求；
77.步骤s420：查询所述api服务方是否存在有限敏感数据标签；
78.若步骤s410判断为是，则执行步骤s430：根据所述服务订阅者的 签约规则，生成关联所述服务订阅者的有限敏感数据控制策略。
79.具体而言，签约规则可以按需设定，本技术并非以此为限制。
80.关联所述服务订阅者的有限敏感数据控制策略。
81.当a申请api服务b时，数据处理模块查询api服务b是否有有限 敏感标签，如果有，则根据服务订阅者a的签约规则确定api服务b的 授权范围，生成针对a的有限敏感数据授权控制策略。例如只有当a的 ip处于某个范围之内时，则用户标识这个参数的数据不用脱敏，否则必 须脱敏。默认这个有限授权控制参数的授权范围为null，即此参数均要 脱敏操作。
82.下面参见图5，图5是本发明的api服务返回数据分级脱敏的流程图。 图5共示出如下步骤：
83.步骤s510：接收所述api服务方响应所述服务订阅者的调用返回的 数据。
84.步骤s520：判断api服务方是否有敏感数据标签。
85.若步骤s520判断为否，则执行步骤s570：数据直接转发至服务订 阅方。
86.若步骤s520判断为是，则执行步骤s530：判断api服务方是否存 在绝对敏感数据标签。
87.若步骤s530判断为是则执行步骤s540：对具有决定敏感数据标签 的数据进行脱敏，并继续执行步骤s550。
88.若步骤s530判断为否，则执行步骤s550：查询服务订阅方的有限 敏感数据控制策略，判断是否需要脱敏。
89.若步骤s550判断为是，则执行步骤s560，根据所述服务订阅者的 有限敏感数据控制策略，对所述api服务方返回的数据进行脱敏，并继续 执行步骤s570。具体而言，可以根据所述服务订阅者的属性信息与所述 参数授权的属性以及授权范围的匹配结果，对有限授权之外的所述api 服务方返回的数据进行脱敏。
90.若步骤s550判断为否，则执行步骤s570：将数据发送至服务订阅 者。
91.具体而言，收到服务方b返回a的数据时，数据处理模块检查b是 否有敏感数据标签，如果有，则进行数据脱敏操作。接下来数据处理模块 继续检查b是否有有限敏感数据标签。如果有，则根据有限敏感数据授 权控制策略、调用的参数，以及a的位置、所属组织等属性信息，验证 其是否在授权范围内？如果不在，则进行数据脱敏操作。操作完成后， nef将处理过的数据返回a。
92.以上仅仅是示意性地描述本发明的具体实现方式，本发明并非也以此 为限制，步骤的拆分、合并、执行顺序的变化、模块的拆分、合并、信息 传输的变化皆在本发明的保护
范围之内。
93.图6是本发明的5g能力开放安全控制装置的一种实施例的模块图。 本发明的5g能力开放安全控制装置600，如图6所示，包括但不限于： 第一接收模块610、第一发送模块620、第二接收模块630、第一脱敏模 块640以及第二发送模块650。
94.第一接收模块610配置成接收服务订阅者的api服务订阅请求；
95.第一发送模块620配置成将所述api服务订阅请求发送至api服务 方；
96.第二接收模块630配置成接收所述api服务方响应所述服务订阅者 的调用返回的数据；
97.第一脱敏模块640配置成根据所述服务订阅者的有限敏感数据控制 策略，对所述api服务方返回的数据进行脱敏；
98.第二发送模块650配置成将脱敏后的数据发送至所述服务订阅者。
99.上述模块的实现原理参见5g能力开放安全控制方法中的相关介绍， 此处不再赘述。
100.图7是本发明的5g能力开放安全控制装置的另一种实施例的模块示 意图。本发明的5g能力开放安全控制装700包括但不限于：服务注册模 块701、第一判断模块702、敏感标签设置模块703、第一接收模块704、 第一判断模块705、策略生成模块706、第一发生模块707、第二接收模 块708、绝对敏感脱敏模块709、第一脱敏模块710以及第二发送模块 711。
101.服务注册模块701配置成接收所述api服务的服务注册请求；
102.第一判断模块702配置成判断所述api服务的服务类别是否属于提 供监控管理、传递网络相关信息和数据类的服务；
103.敏感标签设置模块703配置成第一判断模块702判断为是时，对所 述api服务的返回的数据类型进行绝对敏感数据标签和有限敏感数据标 签的设置；
104.第一接收模块704配置成接收服务订阅者的api服务订阅请求；
105.第一判断模块705配置成查询所述api服务方是否存在有限敏感数 据标签；
106.策略生成模块706配置成第一判断模块705判断为是时，根据所述 服务订阅者的签约规则，生成关联所述服务订阅者的有限敏感数据控制策 略；
107.第一发送模块707配置成将所述api服务订阅请求发送至api服务 方；
108.第二接收模块708配置成接收所述api服务方响应所述服务订阅者 的调用返回的数据；
109.绝对敏感脱敏模块709配置成判断所述api服务方是否存在绝对敏 感数据标签，若是，则根据所述绝对敏感数据标签，对所述api服务方返 回的数据进行脱敏；
110.第一脱敏模块710配置成根据所述服务订阅者的有限敏感数据控制 策略，对所述api服务方返回的数据进行脱敏；
111.第二发送模块711配置成将脱敏后的数据发送至所述服务订阅者。
112.上述模块的实现原理参见5g能力开放安全控制方法中的相关介绍， 此处不再赘述。
113.本发明的5g能力开放安全控制装置针对现在5g能力开放的标准规 范中对，未对api服务如何使用进行更细粒度的分级授权控制，容易出现 能力滥用、误用等导致的敏感数据泄露风险的问题，通过引入数据过滤控 制模块，根据5g能力开放的api类型以及api调
可以通过网络适配器860与一个或者多个网络(例如局域网(lan)，广 域网(wan)和/或公共网络，例如因特网)通信。网络适配器860可以 通过总线830与电子设备800的其它模块通信。应当明白，尽管图中未 示出，可以结合电子设备800使用其它硬件和/或软件模块，包括但不限 于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、raid系 统、磁带驱动器以及数据备份存储平台等。
125.本发明实施例还提供一种计算机可读存储介质，用于存储程序，程序 被执行时实现的5g能力开放安全控制方法的步骤。在一些可能的实施方 式中，本发明的各个方面还可以实现为一种程序产品的形式，其包括程序 代码，当程序产品在终端设备上运行时，程序代码用于使终端设备执行本 说明书上述5g能力开放安全控制方法部分中描述的根据本发明各种示例 性实施方式的步骤。
126.如上所示，该实施例的用以执行5g能力开放安全控制的计算机可读 存储介质针对现在5g能力开放的标准规范中对，未对api服务如何使用 进行更细粒度的分级授权控制，容易出现能力滥用、误用等导致的敏感数 据泄露风险的问题，通过引入数据过滤控制模块，根据5g能力开放的 api类型以及api调用者的属性信息，应用分类分级的数据过滤策略，对 api调用返回的结果数据进行过滤后再返回第三方应用，降低敏感数据泄 露安全风险。
127.图9是本发明的计算机可读存储介质的结构示意图。参考图9所示， 描述了根据本发明的实施方式的用于实现上述方法的程序产品900，其可 以采用便携式紧凑盘只读存储器(cd-rom)并包括程序代码，并可以在 终端设备，例如个人电脑上运行。然而，本发明的程序产品不限于此，在 本文件中，可读存储介质可以是任何包含或存储程序的有形介质，该程序 可以被指令执行系统、装置或者器件使用或者与其结合使用。
128.程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是 可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、 磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的 组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或 多个导线的电连接、便携式盘、硬盘、随机存取存储器(ram)、只读 存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、 便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者 上述的任意合适的组合。
129.计算机可读存储介质可以包括在基带中或者作为载波一部分传播的 数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种 形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存 储介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、 传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用 的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输，包 括但不限于无线、有线、光缆、rf等等，或者上述的任意合适的组合。
130.可以以一种或多种程序设计语言的任意组合来编写用于执行本发明 操作的程序代码，程序设计语言包括面向对象的程序设计语言—诸如 java、c++等，还包括常规的过程式程序设计语言—诸如“c”语言或类 似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地 在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上 部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。 在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络， 包括局域网(lan)或广域
网(wan)，连接到用户计算设备，或者， 可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连 接)。
131.综上，本技术通过将多维温度参数及机房it负载参数参与到决策指 标的计算与评估过程，从而使得机房制冷控制系统能够智能地根据多维温 度参数和机房负载的变化做出温度控制策略迭代与否的决策，从而减少了 人工在决策中的干预，减少了温度控制策略迭代次数，提高了人工智能算 法对机房制冷的节能效率。
132.以上内容是结合具体的优选实施方式对本发明所作的进一步详细说 明，不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术 领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若 干简单推演或替换，都应当视为属于本发明的保护范围。