本发明专利技术公开了一种策略消息处理方法、设备及存储介质,包括:PDE生成策略消息;向CE发送策略消息。CE接收PDE发送的策略消息,对策略消息进行校验;在校验通过后将策略消息发送到部署在物理网络的边界的DE。DE接收CE发送的策略消息,DE将策略消息中的指令抽取后发送给网元实体设备。采用本发明专利技术,能够保障了下发策略的安全性,也解决了数字孪生网络生成的策略将直接作用在物理网络层存在的安全问题。接作用在物理网络层存在的安全问题。接作用在物理网络层存在的安全问题。
【技术实现步骤摘要】
一种策略消息处理方法、设备及存储介质
[0001]本专利技术涉及数据安全
,特别涉及一种策略消息处理方法、设备及存储介质。
技术介绍
[0002]数字孪生是物理实体在数字世界的实时镜像,正在成为全球信息技术发展和产业数字化转型的新焦点。在未来网络,数字孪生技术将广泛地运用于智能制造、智慧城市和科学研究等领域,使得整个社会走向虚拟与现实结合的“数字孪生”世界。
[0003]DTN(数字孪生网络,Digital Twin Network)是一个具有物理网络实体及虚拟孪生体,且二者可进行实时交互映射的网络系统。在此系统中,各种网络管理和应用可利用数字孪生技术构建的网络虚拟孪生体,基于数据和模型对物理网络进行高效的分析、诊断、仿真和控制。网络孪生体可帮助物理网络实现低成本试错、智能化决策、高效率创新和预测性维护。将数字孪生网络作为未来移动通信网络的关键使能平台,可助力移动通信网络达成分布式自治的目标。同时,数字孪生网络可通过能力开放和孪生体拷贝,按需帮助用户清晰感知网络状态、高效挖掘网络有价值信息、以更友好的沉浸交互界面探索网络创新应用。
[0004]数字孪生网络已在ITU(国际电联,International Telecommunication Union)立项讨论,已基本完成框架设计,但其不足在于:该框架未从安全角度进行全面考虑策略下发过程中的安全问题。
技术实现思路
[0005]本专利技术提供了一种策略消息处理方法、设备及存储介质,用以解决数字孪生网络框架未从安全角度进行全面考虑策略下发过程中的安全问题。
[0006]本专利技术提供以下技术方案:
[0007]一种策略消息处理方法,包括:
[0008]CE接收PDE发送的策略消息;
[0009]CE对策略消息进行校验;
[0010]CE在校验通过后将策略消息发送到部署在物理网络的边界的DE。
[0011]其中,所述CE是在对PDE发送的策略消息校验通过后发送策略消息到部署在物理网络的边界的DE的实体,所述DE是将策略消息中的指令抽取后发送给网元实体设备的实体。
[0012]实施中,CE对策略消息进行校验前,进一步包括:
[0013]使用CE与PDE协商的第一密钥对策略消息进行解密。
[0014]实施中,在校验通过后发送至DE的策略消息的部分信息是PDE使用DE与PDE协商的第二密钥加密的。
[0015]实施中,CE与DE之间使用TLS传输策略消息。
[0016]实施中,对策略消息进行校验,包括以下校验之一或者其组合:
[0017]源验证、目标验证、包括策略完整性与稳定性验证的策略后验证。
[0018]实施中,稳定性验证包括以下验证之一或者其组合:
[0019]采用可动态基线对比,将历史数据作为输入,策略的调整幅度超过预设值时,使用人工进行二次确认;
[0020]对目标对象的策略意图与真实网元设备的功能进行对比,防止策略意图错误作用到其他网元设备上;
[0021]对策略进行路由成环过滤,用以防止出现路由环路。
[0022]实施中,对策略消息进行校验,包括:
[0023]接收到策略消息后,对策略消息的完整性进行验证;
[0024]验证通过后,将策略消息中的策略内容进行提取;
[0025]策略内容提取后进行hash处理并与存储的原始hash值进行比对;
[0026]hash值比对通过后,策略消息校验成功。
[0027]一种策略消息处理方法,包括:
[0028]DE接收CE发送的策略消息;
[0029]DE将策略消息中的指令抽取后发送给网元实体设备。
[0030]其中,所述CE是在对PDE发送的策略消息校验通过后发送策略消息到部署在物理网络的边界的DE的实体,所述DE是将策略消息中的指令抽取后发送给网元实体设备的实体。
[0031]实施中,接收CE发送的策略消息后,进一步包括:
[0032]使用DE与PDE协商的第二密钥对策略消息的部分信息进行解密。
[0033]一种策略消息处理方法,包括:
[0034]PDE生成策略消息;
[0035]PDE向CE发送策略消息。
[0036]其中,所述CE是在对PDE发送的策略消息校验通过后发送策略消息到部署在物理网络的边界的DE的实体,所述DE是将策略消息中的指令抽取后发送给网元实体设备的实体。
[0037]实施中,向CE发送策略消息前,进一步包括:
[0038]使用CE与PDE协商的第一密钥对策略消息进行加密;
[0039]使用DE与PDE协商的第二密钥对策略消息的部分信息进行加密。
[0040]实施中,生成策略消息后,进一步包括:
[0041]将策略消息进行Hash处理后存储该Hash值。
[0042]一种CE,包括:
[0043]处理器,用于读取存储器中的程序,执行下列过程:
[0044]接收PDE发送的策略消息;
[0045]对策略消息进行校验;
[0046]在校验通过后将策略消息发送到部署在物理网络的边界的DE;
[0047]收发机,用于在处理器的控制下接收和发送数据。
[0048]其中,所述CE是在对PDE发送的策略消息校验通过后发送策略消息到部署在物理网络的边界的DE的实体,所述DE是将策略消息中的指令抽取后发送给网元实体设备的实
体。
[0049]实施中,对策略消息进行校验前,进一步包括:
[0050]使用CE与PDE协商的第一密钥对策略消息进行解密。
[0051]实施中,在校验通过后发送至DE的策略消息的部分信息是PDE使用DE与PDE协商的第二密钥加密的。
[0052]实施中,与DE之间使用TLS传输策略消息。
[0053]实施中,对策略消息进行校验,包括以下校验之一或者其组合:
[0054]源验证、目标验证、包括策略完整性与稳定性验证的策略后验证。
[0055]实施中,稳定性验证包括以下验证之一或者其组合:
[0056]采用可动态基线对比,将历史数据作为输入,策略的调整幅度超过预设值时,使用人工进行二次确认;
[0057]对目标对象的策略意图与真实网元设备的功能进行对比,防止策略意图错误作用到其他网元设备上;
[0058]对策略进行路由成环过滤,用以防止出现路由环路。
[0059]实施中,对策略消息进行校验,包括:
[0060]接收到策略消息后,对策略消息的完整性进行验证;
[0061]验证通过后,将策略消息中的策略内容进行提取;
[0062]策略内容提取后进行hash处理并与存储的原始hash值进行比对;
[0063]hash值比对通过后,策略消息校验成功。
[0064]一种CE,包括:
[0065]CE接收模块,用于接收PDE发送的策略消息;本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种策略消息处理方法,其特征在于,包括:中央实体CE接收策略发送实体PDE发送的策略消息;CE对策略消息进行校验;CE在校验通过后将策略消息发送到部署在物理网络的边界的DE。2.如权利要求1所述的方法,其特征在于,CE对策略消息进行校验前,进一步包括:使用CE与PDE协商的第一密钥对策略消息进行解密。3.如权利要求1所述的方法,其特征在于,在校验通过后发送至DE的策略消息的部分信息是PDE使用DE与PDE协商的第二密钥加密的。4.如权利要求1所述的方法,其特征在于,CE与DE之间使用传输层安全TLS传输策略消息。5.如权利要求1所述的方法,其特征在于,对策略消息进行校验,包括以下校验之一或者其组合:源验证、目标验证、包括策略完整性与稳定性验证的策略后验证。6.如权利要求5所述的方法,其特征在于,稳定性验证包括以下验证之一或者其组合:采用可动态基线对比,将历史数据作为输入,策略的调整幅度超过预设值时,使用人工进行二次确认;对目标对象的策略意图与真实网元设备的功能进行对比,防止策略意图错误作用到其他网元设备上;对策略进行路由成环过滤,用以防止出现路由环路。7.如权利要求1所述的方法,其特征在于,对策略消息进行校验,包括:接收到策略消息后,对策略消息的完整性进行验证;验证通过后,将策略消息中的策略内容进行提取;策略内容提取后进行hash处理并与存储的原始hash值进行比对;hash值比对通过后,策略消息校验成功。8.一种策略消息处理方法,其特征在于,包括:DE接收CE发送的策略消息;DE将策略消息中的指令抽取后发送给网元实体设备。9.如权利要求8所述的方法,其特征在于,接收CE发送的策略消息后,进一步包括:使用DE与PDE协商的第二密钥对策略消息的部分信息进行解密。10.一种策略消息处理方法,其特征...
【专利技术属性】
技术研发人员:陈美玲,邵京,粟栗,杜海涛,何申,
申请(专利权)人:中国移动通信集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。