CN114302396B - 数据管理方法、装置、设备、存储介质及*** - Google Patents
数据管理方法、装置、设备、存储介质及*** Download PDFInfo
- Publication number
- CN114302396B CN114302396B CN202111528603.5A CN202111528603A CN114302396B CN 114302396 B CN114302396 B CN 114302396B CN 202111528603 A CN202111528603 A CN 202111528603A CN 114302396 B CN114302396 B CN 114302396B
- Authority
- CN
- China
- Prior art keywords
- node
- user
- information
- edge
- authentication information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 89
- 238000013523 data management Methods 0.000 title claims abstract description 59
- 238000012795 verification Methods 0.000 claims abstract description 19
- 238000012545 processing Methods 0.000 claims description 20
- 230000008569 process Effects 0.000 abstract description 7
- 238000004891 communication Methods 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 20
- 230000008520 organization Effects 0.000 description 12
- 230000007246 mechanism Effects 0.000 description 10
- 238000007726 management method Methods 0.000 description 8
- 238000004519 manufacturing process Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 7
- 238000013478 data encryption standard Methods 0.000 description 6
- 238000004590 computer program Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000010295 mobile communication Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种数据管理方法、装置、设备、存储介质及***,涉及通信领域。该方法应用于UDM***中的第一节点,该方法包括:获取第一用户的鉴权信息;广播第一用户的鉴权信息;接收来自至少一个第二节点分别发送的第一信息;第二节点是多个边缘节点中除第一节点之外的节点或者中心节点;第一信息是第二节点根据第一用户的鉴权信息、第二节点中存储的第一用户的注册信息校验第一用户是否为有效注册用户之后生成的;第一信息用于指示第一用户的鉴权信息是否通过第二节点的校验;根据指示通过第二节点校验的第一信息,在所有第一信息中的占比、预设的第一比例,确定第一用户的鉴权结果。该方法适用于鉴权过程中,用于提高UDM***的安全性。
Description
技术领域
本申请涉及通信领域,尤其涉及一种数据管理方法、装置、设备、存储介质及***。
背景技术
统一数据管理(unified data management,UDM)网元是第五代移动通信技术(5thgeneration mobile communication technology,5G)核心网中的网元之一。UDM网元可以用于存储用户的签约数据、以及鉴权等。例如,UDM网元可以获取用户设备发送的鉴权信息,当用户设备发送的鉴权信息和UDM网元中预存的注册信息相同时,UDM网元可以确定该用户设备鉴权通过。鉴权通过之后,UDM网元可以根据该用户的签约数据中的服务信息为用户提供服务。例如,服务信息可以包括服务质量(quality of service,QoS)信息。
目前,部分用户需要建立柔性生产线,建立柔性生产线需要高可用性(highavailability,HA)的网络。为了给用户提供高可用性的网络,运营商提出了分布式UDM***。分布式UDM***可以包括中心UDM网元、以及边缘UDM网元。中心UDM网元和多个边缘UDM网元星型连接。每个边缘UDM网元可以从中心UDM网元中获取该边缘UDM网元对应的子网中的用户的注册信息和签约数据并存储。每个边缘UMD网元可以根据该边缘UDM网元对应的子网的用户的注册信息和签约数据,在该边缘UDM网元对应的子网中实现上述UDM网元的功能。
但是,目前的分布式UDM***中,可能存在边缘UDM网元的使用者恶意断开边缘UDM网元与中心UDM网元之间的连接,私自篡改边缘UDM网元中存储的用户的注册信息和签约数据的风险。
发明内容
本申请提供一种数据管理方法、装置、设备及存储介质,可以防止边缘节点的使用者恶意断开边缘节点和中心节点的连接,私自篡改用户的注册信息,提高UDM***的安全性。
第一方面,本申请提供一种数据管理方法,该方法应用于统一数据管理UDM***中的第一节点,UDM***包括中心节点、以及多个边缘节点;每个边缘节点与中心节点连接,且每个边缘节点与多个边缘节点中的至少一个其他边缘节点连接;第一节点是多个边缘节点中的一个。该方法包括:第一节点获取第一用户的鉴权信息,第一用户为第一节点对应的子网的用户;第一节点广播第一用户的鉴权信息;第一节点接收来自至少一个第二节点分别发送的第一信息;第二节点是多个边缘节点中除第一节点之外的节点、以及中心节点中的至少一个;第一信息是第二节点根据第一用户的鉴权信息、以及第二节点中存储的第一用户的注册信息,校验第一用户是否为有效注册用户之后生成的;第一信息用于指示第一用户的鉴权信息是否通过第二节点的校验;第一节点根据指示通过第二节点校验的第一信息,在所有第一信息中的占比、以及预设的第一比例,确定第一用户的鉴权结果。
一种可能的实现方式中,第一节点广播第一用户的鉴权信息之前,该方法还包括:第一节点根据第一用户的鉴权信息、以及第一节点中存储的第一用户的注册信息,确定第一用户为有效注册用户。
另一种可能的实现方式中,该方法还包括:在中心节点和边缘节点断开的情况下,第一节点接收来自除第一节点之外的边缘节点发送的,和/或,第一节点对应的子网的管理人员输入的第一用户的注册信息,并存储第一用户的注册信息。
又一种可能的实现方式中,第一节点广播第一用户的鉴权信息,包括:第一节点根据第一用户的鉴权信息生成区块;区块包括第一用户的鉴权信息、以及第一节点的身份信息;第一节点的身份信息用于第二节点验证第一节点的身份;第一节点广播区块。
又一种可能的实现方式中,第一节点广播第一用户的鉴权信息,包括:第一节点向第三节点发送第一用户的鉴权信息,以使得第三节点根据第一用户的鉴权信息生成区块,并广播区块;第三节点是多个边缘节点中除第一节点之外的边缘节点或者中心节点。
又一种可能的实现方式中,第一节点与第一网络设备连接,第一节点存储有每个边缘节点对应的子网的用户的服务质量信息;第一用户的鉴权结果包括:通过或不通过;该方法还包括:第一节点确定第一用户为有效注册用户之后,根据每个边缘节点对应的子网的用户的服务质量信息,确定第一用户的服务质量信息并记录;当第一用户的鉴权结果为通过时,第一节点向第一网络设备发送第一用户的服务质量信息,以使得第一网络设备按照第一用户的服务质量信息为第一用户提供服务。
又一种可能的实现方式中,第一节点与第一网络设备连接,第一节点存储有每个边缘节点对应的子网的用户的服务质量信息;第一用户的鉴权结果包括:通过或不通过;该方法还包括:第一节点接收中心节点发送的第一指令,第一指令用于当第一用户的鉴权结果为通过时,命令第一节点向第一网络设备发送基础服务质量信息;第一指令是当第一节点连接的其他边缘节点的数量小于预设的数量阈值时由中心节点发送的;响应于第一指令,当第一用户的鉴权结果为通过时,第一节点向第一网络设备发送基础服务质量信息,以使得第一网络设备根据基础服务质量信息为第一用户提供服务。
又一种可能的实现方式中,中心节点包括多个;多个中心节点相互连接;每个边缘节点与中心节点连接,是指:每个边缘节点与多个中心节点中的一个连接;第二节点是中心节点,是指:第二节点是多个中心节点中的一个。
本申请实施例提供的数据管理方法中,UDM***中的中心节点和中心节点之间、中心节点和边缘节点之间、边缘节点和边缘节点之间均采用点对点(point to point,P2P)的形式连接,与现有的星型连接相比,P2P连接的鲁棒性更好。UDM***中的中心节点、以及每个边缘节点中均可以存储有每个边缘节点对应的子网的用户的注册信息。UDM***中的某个边缘节点(例如前文所述的第一节点)可以获取该边缘节点对应的子网中的用户的鉴权信息,并广播。UDM***中的其他边缘节点或者中心节点(例如前文所述的第二节点)可以根据各自存储的每个边缘节点对应的子网的用户的注册信息对该用户的鉴权信息进行校验,生成第一信息并向广播用户的鉴权信息的边缘节点发送。广播用户的鉴权信息的边缘节点可以根据第一信息确定该用户的鉴权结果。广播用户的鉴权信息的边缘节点只有接收到其他边缘节点根据该用户的鉴权信息校验得到的第一信息才能进行正常鉴权,当某个边缘节点的使用者恶意断开该边缘节点和中心节点的连接,企图私自篡改用户的注册信息时,其他边缘节点中存储的该边缘节点对应的子网的用户与私自篡改之后的用户的注册信息不同,此时该边缘节点不会通过私自篡改注册信息的用户的鉴权。提高了UDM***的安全性。
第二方面,本申请提供一种数据管理装置,该装置可以应用于上述第一方面所述的统一数据管理UDM***中的第一节点,UDM***包括中心节点、以及多个边缘节点;每个边缘节点与中心节点连接,且每个边缘节点与多个边缘节点中的至少一个其他边缘节点连接;第一节点是多个边缘节点中的一个。该装置可以包括:获取单元、发送单元、以及处理单元。获取单元,用于获取第一用户的鉴权信息,第一用户为第一节点对应的子网的用户。发送单元,用于广播第一用户的鉴权信息。获取单元,还用于接收来自至少一个第二节点分别发送的第一信息;第二节点是多个边缘节点中除第一节点之外的节点、以及中心节点中的至少一个;第一信息是第二节点根据第一用户的鉴权信息、以及第二节点中存储的第一用户的注册信息,校验第一用户是否为有效注册用户之后生成的;第一信息用于指示第一用户的鉴权信息是否通过第二节点的校验。处理单元,用于根据指示通过第二节点校验的第一信息,在所有第一信息中的占比、以及预设的第一比例,确定第一用户的鉴权结果。
一种可能的实现方式中,处理单元,还用于在发送单元广播第一用户的鉴权信息之前,根据第一用户的鉴权信息、以及第一节点中存储的第一用户的注册信息,确定第一用户为有效注册用户。
另一种可能的实现方式中,获取单元,还用于在中心节点和边缘节点断开的情况下,接收来自除第一节点之外的边缘节点发送的,和/或,第一节点对应的子网的管理人员输入的第一用户的注册信息,并存储第一用户的注册信息。
又一种可能的实现方式中,发送单元,具体用于根据第一用户的鉴权信息生成区块,区块包括第一用户的鉴权信息、以及第一节点的身份信息;第一节点的而身份信息用于第二节点验证第一节点的身份;广播区块。
又一种可能的实现方式中,发送单元,具体用于向第三节点发送第一用户的鉴权信息,以使得第三节点根据第一用户的鉴权信息生成区块,并广播;第三节点是多个边缘节点中除第一节点之外的边缘节点或者中心节点。
又一种可能的实现方式中,第一节点与第一网络设备连接,第一节点存储有每个边缘节点对应的子网的用户的服务质量信息;第一用户的鉴权结果包括:通过或不通过。处理单元,还用于确定第一用户为有效注册用户之后,根据每个边缘节点对应的子网的用户的服务质量信息,确定第一用户的服务质量信息并记录。发送单元,还用于当第一用户的鉴权结果为通过时,向第一网络设备发送第一用户的服务质量信息,以使得第一网络设备按照第一用户的服务质量信息为第一用户提供服务。
又一种可能的实现方式中,获取单元,还用于接收中心节点发送的第一指令,第一指令用于当第一用户的鉴权结果为通过时,命令第一节点向第一网络设备发送基础服务质量信息;第一指令是当第一节点连接的其他边缘节点的数量小于预设的数量阈值时由中心节点发送的。发送单元,还用于响应于第一指令,当第一用户的鉴权结果为通过时,向第一网络设备发送基础服务质量信息,以使得第一网络设备根据基础服务质量信息为第一用户提供服务。
又一种可能的实现方式中,中心节点包括多个;多个中心节点相互连接。每个边缘节点与中心节点连接,是指:每个边缘节点与多个中心节点中的一个连接。第二节点是中心节点,是指:第二节点是多个中心节点中的一个。
第三方面,本申请提供一种数据管理方法,该方法可以应用于UDM***中的第二节点,UDM***包括中心节点、以及多个边缘节点;每个边缘节点与中心节点连接,且每个边缘节点与多个边缘节点中的至少一个其他边缘节点连接;第二节点是多个边缘节点中除第一节点之外的节点、以及中心节点中的至少一个,第一节点是多个边缘节点中的一个。该方法包括:第二节点接收第一节点广播的第一用户的鉴权信息,第一用户为第一节点对应的子网的用户;第二节点根据第一用户的鉴权信息、以及第二节点中存储的第一用户的注册信息,校验第一用户是否为有效注册用户;第二节点根据校验第一用户是否为有效注册用户的结果,生成第一信息;第一信息用于指示第二节点通过或不通过第一用户的鉴权信息;第二节点向第一节点发送第一信息,以使得第一节点根据指示通过第二节点校验的第一信息,在所有第一信息中的占比、以及预设的第一比例,确定第一用户的鉴权结果。
一种可能的实现方式中,第二节点接收的第一节点广播的第一用户的鉴权信息,是第一节点根据第一用户的鉴权信息、以及第一节点中存储的第一用户的注册信息,确定第一用户为有效注册用户之后发送的。
另一种可能的实现方式中,在中心节点和边缘节点断开的情况下,第一节点中存储的第一用户的注册信息是第一节点之外的边缘节点发送的,和/或,第一节点对应的子网的管理人员输入的。
又一种可能的实现方式中,第二节点接收第一节点广播的第一用户的鉴权信息,包括:第二节点接收第一节点广播的区块,区块是第一节点根据第一用户的鉴权信息生成的,区块包括第一用户的鉴权信息、以及第一节点的身份信息;第一节点的身份信息用于第二节点验证第一节点的身份。
又一种可能的实现方式中,第二节点接收第一节点广播的第一用户的鉴权信息,包括:第二节点接收第三节点广播的区块,该区块是第一节点向第三节点发送第一用户的鉴权信息之后,由第三节点根据第一用户的鉴权信息生成的,区块包括第一用户的鉴权信息、以及第三节点的身份信息;第三节点的身份信息用于中心节点、以及边缘节点验证第三节点的身份;第三节点是多个边缘节点中除第一节点之外的边缘节点或者中心节点。
又一种可能的实现方式中,第二节点存储有每个边缘节点对应的子网的用户的服务质量信息;第二节点根据第一用户的鉴权信息、以及第二节点中存储的第一用户的注册信息,校验第一用户是否为有效注册用户之后,该方法还包括:当第二节点确定第一用户是有效注册用户时,第二节点根据第二边缘节点中存储的每个边缘节点对应的子网的用户的服务质量信息,确定第一用户的服务质量信息并记录。
又一种可能的实现方式中,中心节点包括多个;多个中心节点相互连接。每个边缘节点与中心节点连接,是指:每个边缘节点与多个中心节点中的一个连接。第二节点是中心节点,是指:第二节点是多个中心节点中的一个。
第四方面,本申请提供一种数据管理装置,该装置可以应用于上述第三方面所述的UDM***中的第二节点,UDM***包括中心节点、以及多个边缘节点;每个边缘节点与中心节点连接,且每个边缘节点与多个边缘节点中的至少一个其他边缘节点连接;第二节点是多个边缘节点中除第一节点之外的节点、以及中心节点中的至少一个,第一节点是多个边缘节点中的一个。该装置可以包括:获取单元、处理单元、以及发送单元。获取单元,用于接收第一节点广播的第一用户的鉴权信息,第一用户为第一节点对应的子网的用户。处理单元,用于根据第一用户的鉴权信息、以及第二节点中存储的第一用户的注册信息,校验第一用户是否为有效注册用户;根据校验第一用户是否为有效注册用户的结果,生成第一信息,第一信息用于指示第一用户的鉴权信息是否通过第二节点的校验。发送单元,用于向第一节点发送第一信息,以使得第一节点根据指示通过第二节点校验的第一信息,在所有第一信息中的占比、以及预设的第一比例,确定第一用户的鉴权结果。
一种可能的实现方式中,第二节点接收的第一节点广播的第一用户的鉴权信息,是第一节点根据第一用户的鉴权信息、以及第一节点中存储的第一用户的注册信息,确定第一用户为有效注册用户之后发送的。
另一种可能的实现方式中,在中心节点和边缘节点断开的情况下,第一节点中存储的第一用户的注册信息是第一节点之外的边缘节点发送的,和/或,第一节点对应的子网的管理人员输入的。
又一种可能的实现方式中,获取单元,具体用于接收第一节点广播的区块,区块是第一节点根据第一用户的鉴权信息生成的,区块包括第一用户的鉴权信息、以及第一节点的身份信息;第一节点的身份信息用于第二节点验证第一节点的身份。
又一种可能的实现方式中,获取单元,具体用于接收第三节点广播的区块,该区块是第一节点向第三节点发送第一用户的鉴权信息之后,由第三节点根据第一用户的鉴权信息生成的;第三节点是多个边缘节点中除第一节点之外的边缘节点或者中心节点。
又一种可能的实现方式中,第二节点存储有每个边缘节点对应的子网的用户的服务质量信息。处理单元,还用于当确定第一用户是有效注册用户时,根据第二节点中存储的每个边缘节点对应的子网的用户的服务质量信息,确定第一用户的服务质量信息并记录。
又一种可能的实现方式中,中心节点包括多个;多个中心节点相互连接。每个边缘节点与中心节点连接,是指:每个边缘节点与多个中心节点中的一个连接。第二节点是中心节点,是指:第二节点是多个中心节点中的一个。
第五方面,本申请提供一种数据管理方法,该方法可以应用于UDM***中的中心节点,UDM***包括中心节点、以及多个边缘节点;每个边缘节点与中心节点连接,且每个边缘节点与多个边缘节点中的至少一个其他边缘节点连接;边缘节点与第一机构的身份信息一一对应。该方法包括:中心节点获取***日志集,***日志集包括边缘节点、以及边缘节点对应的事件信息。对每一个边缘节点,当***日志集中,边缘节点对应的事件信息满足预设条件时,中心节点确定边缘节点为恶意节点,并生成第一请求。中心节点广播第一请求、以及第一请求对应的第一日志,第一请求用于请求揭示恶意节点对应的第一机构的身份信息,第一日志为***日志集中记录了恶意节点对应的事件信息的日志。中心节点获取边缘节点对第一请求的投票。当投票中,同意第一请求的比例大于预设的第二比例时,中心节点广播第一请求对应的恶意节点所对应的第一机构的身份信息。
第六方面,本申请提供一种数据管理装置,该装置可以应用于上述第五方面所述的UDM***中的中心节点,UDM***包括中心节点、以及多个边缘节点;每个边缘节点与中心节点连接,且每个边缘节点与多个边缘节点中的至少一个其他边缘节点连接;边缘节点与第一机构的身份信息一一对应。该装置包括:获取单元、处理单元、以及发送单元。获取单元,用于获取***日志集,***日志集包括边缘节点、以及边缘节点对应的事件信息。处理单元,用于对每一个边缘节点,当***日志集中,边缘节点对应的事件信息满足预设条件时,确定边缘节点为恶意节点,并生成第一请求。发送单元,用于广播第一请求、以及第一请求对应的第一日志,第一请求用于请求揭示恶意节点对应的第一机构的身份信息,第一日志为***日志集中记录了恶意节点对应的事件信息的日志。获取单元,还用于获取边缘节点对第一请求的投票。发送单元,还用于当投票中,同意第一请求的比例大于预设的第二比例时,广播第一请求对应的恶意节点所对应的第一机构的身份信息。
第七方面,本申请提供一种统一数据管理UDM***,UDM***包括中心节点、以及多个边缘节点;每个边缘节点与中心节点连接,且每个边缘节点与多个边缘节点中的至少一个其他边缘节点连接;第一节点获取第一用户的鉴权信息,第一用户为第一节点对应的子网的用户;第一节点是多个边缘节点中的一个;第一节点广播第一用户的鉴权信息;第二节点根据第一用户的鉴权信息、以及第二节点中存储的第一用户的注册信息,校验第一用户是否为有效注册用户;第二节点是多个边缘节点中除第一节点之外的节点或者中心节点;第二节点根据校验第一用户是否为有效注册用户的结果,生成第一信息;第一信息用于指示第一用户的鉴权信息是否通过第二节点的校验;第二节点向第一节点发送第一信息;第一节点根据指示通过第二节点校验的第一信息,在所有第一信息中的占比、以及预设的第一比例,确定第一用户的鉴权结果。
另外,本申请提供的统一数据管理UDM***还可以执行上述第一方面中第一节点、上述第三方面中的第二节点、以及上述第五方面中的中心节点所执行的步骤,以实现上述第一方面中第一节点、上述第三方面中的第二节点、以及上述第五方面中的中心节点的全部功能,在此不再一一赘述。
第八方面,本申请提供一种计算机程序产品,当该计算机程序产品在计算机上运行时,使得计算机执行上述第一方面、或者第三方面、又或者第五方面所述相关方法的步骤,以实现上述第一方面、或者第三方面、又或者第五方面所述的方法。
第九方面,本申请提供一种网络设备,该网络设备包括:处理器和存储器;存储器存储有处理器可执行的指令;处理器被配置为执行指令时,使得网络设备实现上述第一方面、或者第三方面、又或者第五方面所述的方法。
第十方面,本申请提供一种计算机可读存储介质,该计算机可读存储介质包括:计算机软件指令;当计算机软件指令在网络设备中运行时,使得网络设备实现上述第一方面、或者第三方面、又或者第五方面所述的方法。
上述第二方面至第十方面的有益效果可以参考第一方面所述,不再赘述。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为分布式UDM***的连接示意图;
图2为本申请提供的UDM***的连接示意图;
图3为本申请实施例提供的数据管理方法的流程示意图;
图4为本申请实施例提供的数据管理方法的另一种流程示意图;
图5为本申请实施例提供的区块组成示意图;
图6为本申请实施例提供的数据管理方法的又一种流程示意图;
图7为本申请实施例提供的另一种区块组成示意图;
图8为本申请实施例提供的又一种区块组成示意图;
图9为本申请实施例提供的第一节点的组成示意图;
图10为本申请实施例提供的数据管理方法的又一种流程示意图;
图11为本申请实施例提供的数据管理方法的又一种流程示意图;
图12为本申请实施例提供的数据管理装置的组成示意图;
图13为本申请实施例提供的另一种数据管理装置的组成示意图;
图14为本申请实施例提供的又一种数据管理装置的组成示意图;
图15为本申请实施例提供的网络设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,本申请实施例中,“示例性地”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性地”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性地”或者“例如”等词旨在以具体方式呈现相关概念。
为了便于清楚描述本申请实施例的技术方案,在本申请的实施例中,采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分,本领域技术人员可以理解“第一”、“第二”等字样并不是在对数量和执行次序进行限定。
统一数据管理(unified data management,UDM)网元是第五代移动通信技术(5thgeneration mobile communication technology,5G)核心网中的网元之一。UDM网元可以与运营商具有对应关系。例如,UDM网元可以与运营商一一对应。UDM网元可以用于存储用户的签约数据、以及注册信息、以及根据存储的用户的注册信息进行鉴权等。
例如,UDM网元可以获取用户设备发送的鉴权信息,当用户设备发送的鉴权信息和UDM网元中存储的注册信息匹配时,UDM网元可以确定该用户设备鉴权通过。鉴权通过之后,UDM网元可以向数据平面的网元发送该用户的签约数据中的服务信息,以使得数据平面的网元根据该用户的签约数据中的服务信息为该用户提供服务。例如,数据平面的网元可以包括数据网络(data network,DN)。
其中,服务信息可以包括服务质量(quality of service,QoS)信息。
示例性地,以服务质量信息包括时延、吞吐量、以及丢包率为例,则用户的服务质量信息可以如下述表1所示。
表1
如表1所示,用户的服务质量信息可以包括时延、吞吐量、以及丢包率。用户可以包括用户1、用户2、用户3、用户4、以及用户5等。
其中,用户1对应的服务质量信息可以包括:时延小于(“<”表示小于)1毫秒(ms)、吞吐量为1千兆比特每秒(Gbps)、以及丢包率小于10-5;用户2对应的服务质量信息可以包括:时延小于5ms、吞吐量为1Gbps、以及丢包率小于10-5;用户3对应的服务质量信息可以包括:时延小于10ms、吞吐量为500兆比特每秒(Mbps)、以及丢包率小于10-5;用户4对应的服务质量信息可以包括:时延小于20ms、吞吐量为300Mbps、以及丢包率小于10-4;用户5对应的服务质量信息可以包括:时延小于25ms、吞吐量为150Mbps、以及丢包率小于10-3。
柔性生产线是指把多台可以调整的机床联结起来,配以自动运送装置组成的生产线。柔性生产线依靠计算机管理。计算机管理柔性生产线需要高可用性(highavailability,HA)的网络。为了给用户提供高可用性的网络,运营商提出了分布式UDM***。分布式UDM***可以包括中心UDM网元、以及边缘UDM网元。中心UDM网元可以和多个边缘UDM网元星型连接。
其中,中心UDM网元可以存储有每个边缘UDM网元分别对应的子网的用户注册信息、以及签约数据。每个边缘UDM网元可以从中心UDM网元中获取该边缘UDM网元对应的子网中的用户的注册信息和签约数据并存储。每个边缘UMD网元可以根据该边缘UDM网元对应的子网的用户的注册信息和签约数据,在该边缘UDM网元对应的子网中实现上述UDM网元的功能。
但是,目前的分布式UDM***中,可能存在边缘UDM网元的使用者恶意断开边缘UDM网元与中心UDM网元之间的连接,私自篡改边缘UDM网元中存储的用户的注册信息和签约数据的风险。
示例性地,图1为分布式UDM***的连接示意图。如图1所示,分布式UDM***可以包括一个中心UDM网元(图中以中心UDM网元1为例示出)、以及多个边缘UDM网元(图中以8个为例示出,也即边缘UDM网元1、边缘UDM网元2、边缘UDM网元3、边缘UDM网元4、边缘UDM网元5、边缘UDM网元6、边缘UDM网元7、以及边缘UDM网元8)。
其中,边缘UDM网元1、边缘UDM网元2、边缘UDM网元3、边缘UDM网元4、边缘UDM网元5、边缘UDM网元6、边缘UDM网元7、以及边缘UDM网元8可以分别对应一个子网。中心UDM网元1可以存储边缘UDM网元1、边缘UDM网元2、边缘UDM网元3、边缘UDM网元4、边缘UDM网元5、边缘UDM网元6、边缘UDM网元7、以及边缘UDM网元8对应的子网的用户的注册信息和签约数据。边缘UDM网元1、边缘UDM网元2、边缘UDM网元3、边缘UDM网元4、边缘UDM网元5、边缘UDM网元6、边缘UDM网元7、以及边缘UDM网元8可以分别从中心UDM网元1中获取各自对应的子网的用户的注册信息和签约数据。并根据用户的注册信息和签约数据,对各自对应的子网的用户进行鉴权。
以边缘UDM网元1,以及边缘UDM网元1对应的子网的用户包括用户1为例,边缘UDM网元1的使用者可以恶意断开边缘UDM网元1与中心UDM网元1的连接,并私自篡改边缘UDM网元1中用户1的注册信息,以使得用户1可以按照私自篡改之后的注册信息进行鉴权并获得私自篡改之后的注册信息对应的服务。
在此背景技术下,本申请提供一种数据管理方法,该方法可以应用于UDM***。UDM***可以包括一个或多个中心UDM网元、以及多个边缘UDM网元。当中心UDM网元有多个时,多个中心UDM网元可以彼此互相连接。每个边缘UDM网元可以和一个中心UDM网元连接。例如,边缘UDM网元和相邻的中心UDM网元连接。对每个边缘UDM网元,该边缘UDM网元可以与一个或多个边缘UDM网元连接。例如,该边缘UDM网元与相邻的一个或多个边缘UDM网元连接。当中心UDM网元仅有一个时,所有的边缘UDM网元可以与该中心UDM网元连接。
中心UDM网元可以存储有每个边缘UDM网元分别对应的子网的用户注册信息、以及签约数据。
边缘UDM网元也可以存储有每个边缘UDM网元分别对应的子网的用户注册信息、以及签约数据。例如,边缘UDM网元可以获取该边缘UDM网元对应的子网的管理人员输入的用户的注册信息、以及签约数据并存储。再例如,边缘UDM网元还可以获取中心UDM网元发送的用户的注册信息、以及签约数据并存储。又例如,边缘UDM网元还可以获取与该边缘UDM网元连接的其他边缘UDM网元发送的其他边缘UDM网元分别对应的子网的用户的注册信息、以及签约数据并存储。
对某一个边缘UDM网元,该边缘UDM网元还可以获取用户的鉴权信息。该边缘UDM网元还可以向UDM***中的其他UDM网元广播该用户的鉴权信息。UDM***中的其他UDM网元可以根据该用户的鉴权信息、以及UDM***中的其他UDM网元存储的该用户的注册信息,生成第一信息。该边缘UDM网元可以接收UDM***中的其他UDM网元发送的第一信息,并根据第一信息确定该用户的鉴权结果。
例如,以上述柔性生产线为例。边缘UDM网元1对应子网1,子网1对应工厂1,工厂1包括机床1、机床2、机床3、计算机1、计算机2、以及计算机3。计算机1控制机床1,计算机2控制机床2,计算机3控制机床3。生产产品A需要机床1和机床2,生产产品B需要机床2和机床3。假设由需要生产产品A变为需要生产产品B,则需要对计算机2和计算机3重新鉴权,计算机2和计算机3可以分别向边缘UDM网元1发送鉴权请求,鉴权请求包括计算机2和计算机3的鉴权信息。边缘UDM网元1可以对计算机2和计算机3进行鉴权。鉴权结果可以包括通过和不通过。当鉴权结果为通过时,计算机2和计算机3可以接入子网1并分别控制机床2和机床3,以使得机床2和机床3配合生产产品B。
以下对本申请实施例提供的数据管理方法进行详细介绍。
示例性地,图2为本申请提供的UDM***的连接示意图。如图2所示,UDM***可以包括一个或多个中心节点(图中以三个为例示出,也即中心节点1、中心节点2、以及中心节点3)、以及多个边缘节点(图中以四个为例示出,也即边缘节点1、边缘节点2、边缘节点3、以及边缘节点4)。
其中,中心节点1、中心节点2、以及中心节点3可以彼此互相连接。边缘节点1可以和中心节点1、以及边缘节点2连接。边缘节点2可以和中心节点2、边缘节点1、以及边缘节点3连接。边缘节点3可以和中心节点3、边缘节点2、以及边缘节点4连接。边缘节点4可以和中心节点3、以及边缘节点3连接。
需要说明的是,中心节点可以是上述图1中的中心UDM网元。边缘节点可以是上述图1中的边缘UDM网元。中心节点也可以是上述中心UDM网元中的节点。也即,中心UDM网元可以由多个中心节点组成。例如,同样以上述图2所述的UDM***的连接示意图为例,中心节点1、中心节点2、以及中心节点3也可以是某一个中心UDM网元中的三个节点。
可选地,中心节点可以归属于运营商,且中心节点在UDM***中占有的比例可以在20%至50%之间,以保障UDM***的稳定性和可信度。
图3为本申请实施例提供的数据管理方法的流程示意图。如图3所示,该方法可以包括S301至S306。
S301、第一节点获取第一用户的鉴权信息。
其中,第一节点可以是UDM***中的任意一个边缘节点。第一用户可以是第一节点对应的子网的用户。
S302、第一节点广播第一用户的鉴权信息。
相对应地,第二节点可以接收第一节点广播的第一用户的鉴权信息。
其中,第二节点可以是多个边缘节点中除第一节点之外的节点、以及中心节点中的至少一个。
S303、第二节点根据第一用户的鉴权信息、以及第二节点中存储的第一用户的注册信息,校验第一用户是否为有效注册用户。
例如,当第一用户的鉴权信息与第二节点中存储的第一用户的注册信息匹配时,第二节点可以确定第一用户为有效注册用户。当第一用户的鉴权信息与第二节点中存储的第一用户的注册信息不匹配时,第二节点可以确定第一用户为无效注册用户。
一种可能的实现方式中,用户的注册信息可以直接存储在UDM***中的中心节点、以及边缘节点中。第二节点可以直接根据第一用户的鉴权信息、以及存储的第二用户的注册信息,校验第一用户是否为有效注册用户。
另一种可能的实现方式中,用户的注册信息可以加密后存储在UDM***中的中心节点、以及边缘节点中。第二节点根据第一用户的鉴权信息、以及第二节点中存储的第一用户的注册信息,校验第一用户是否为有效注册用户,可以包括:第二节点对第一用户的注册信息解密;第二节点根据第一用户的鉴权信息、以及解密之后的第一用户的注册信息,校验第一用户是否为有效注册用户。
可选地,UDM***中的中心节点、以及边缘节点可以利用数据加密标准(dataencryption standard,DES)算法、三重数据加密标准(triple data encryptionstandard,3DES)算法、国际数据加密算法(international data encryption algorithm,IDEA)、以及数字签名算法(digital signature algorithm,DSA)等对用户的注册信息进行加密。本申请实施例对UDM***中的中心节点、以及边缘节点的具体加密手段不做限制。
S304、第二节点根据校验第一用户是否为有效注册用户的结果,生成第一信息。
其中,如上所述,第二节点校验第一用户是否为有效注册用户的结果可以包括:第一用户是有效注册用户或不是有效注册用户。相对应地,第一信息可以用于指示第二节点通过或不通过第一用户的鉴权信息,或者说,第一信息用于指示第一用户的鉴权信息是否通过第二节点的校验。
S305、第二节点向第一节点发送第一信息。
相对应地,第一节点接收第二节点发送的第一信息。
需要说明的是,向第一节点发送第一信息的第二节点可以包括一个或多个。也即,第二节点向第一节点发送第一信息,可以包括:至少一个第二节点向第一节点发送第一信息。
S306、第一节点根据第一信息确定第一用户的鉴权结果。
其中,第一用户的鉴权结果可以包括通过或不通过。
一种可能的实现方式中,第一节点根据第一信息确定第一用户的鉴权结果,可以包括:第一节点根据第一信息、以及预设的第一比例,确定第一用户的鉴权结果。
其中,第一比例可以由管理人员预设。例如,第一比例为50%、或者70%等。本申请实施例对第一比例的具体数值不作限制。
可选地,如上所述,第一信息可以用于指示第二节点通过或不通过第一用户的鉴权信息。第一节点根据第一信息、以及预设的第一比例,确定第一用户的鉴权结果,可以包括:第一节点根据指示通过第二节点校验的第一信息,在所有第一信息中的占比、以及预设的第一比例,确定第一用户的鉴权结果。
示例性地,同样以上述图2所示的UDM***为例,假设第一节点为边缘节点2,预设的第一比例为50%,边缘节点2接收到边缘节点1的第一信息中指示第一用户为无效注册用户,边缘节点2接收到中心节点2的第一信息中指示第一用户为有效注册用户,边缘节点2接收到边缘节点3的第一信息中指示第一用户为有效注册用户。则边缘节点2可以根据指示第一用户为有效注册用户的第一信息的比例为66.7%,大于预设的第一比例50%,确定第一用户的鉴权结果为通过。
示例性地,同样以上述图2所示的UDM***为例,假设第一节点为边缘节点2,预设的第一比例为50%,边缘节点2接收的到边缘节点1的第一信息中指示第一用户为无效注册用户,边缘节点2接收到中心节点2中的第一信息中指示第一用户为无效注册用户,边缘节点2接收到边缘节点3中的第一信息中指示第一用户为有效注册用户。则边缘节点2可以根据指示第一用户为有效注册用户的第一信息的比例为33.3%,小于预设的第一比例50%,确定第一用户的鉴权结果为不通过。
示例性地,同样以上述图2所示的UDM***为例,假设第一节点为边缘节点1,预设的第一比例为100%,中心节点1与边缘节点1之间的连接断开,边缘节点1接收到边缘节点2的第一信息中指示第一用户为有效注册用户。则边缘节点1可以根据指示第一用户为有效注册用户的第一信息的比例为100%,等于预设的第一比例100%,确定第一用户的鉴权结果为通过。
本申请实施例提供的数据管理方法中,UDM***中的中心节点和中心节点之间、中心节点和边缘节点之间、边缘节点和边缘节点之间均采用点对点(point to point,P2P)的形式连接,与现有的星型连接相比,P2P连接的鲁棒性更好。UDM***中的中心节点、以及每个边缘节点中均可以存储有每个边缘节点对应的子网的用户的注册信息。UDM***中的某个边缘节点(例如前文所述的第一节点)可以获取该边缘节点对应的子网中的用户的鉴权信息,并广播。UDM***中的其他边缘节点或者中心节点(例如前文所述的第二节点)可以根据各自存储的每个边缘节点对应的子网的用户的注册信息对该用户的鉴权信息进行校验,生成第一信息并向广播用户的鉴权信息的边缘节点发送。广播用户的鉴权信息的边缘节点可以根据第一信息确定该用户的鉴权结果。广播用户的鉴权信息的边缘节点只有接收到其他边缘节点根据该用户的鉴权信息校验得到的第一信息才能进行正常鉴权,当某个边缘节点的使用者恶意断开该边缘节点和中心节点的连接,企图私自篡改用户的注册信息时,其他边缘节点中存储的该边缘节点对应的子网的用户与私自篡改之后的用户的注册信息不同,此时该边缘节点不会通过私自篡改注册信息的用户的鉴权。提高了UDM***的安全性。
可选地,在S302中第一节点广播第一用户的鉴权信息之前,第一节点还可以根据第一用户的鉴权信息、以及第一节点中存储的第一用户的注册信息,初步判断第一用户是否为有效注册用户。当第一节点初步判断第一用户为有效注册用户之后,第一节点才触发广播第一用户的鉴权信息的步骤。也即,在第一节点广播第一用户的鉴权信息之前,该方法还可以包括:第一节点根据第一用户的鉴权信息、以及第一节点中存储的第一用户的注册信息,确定第一用户为有效注册用户。
需要说明的是,第一节点根据第一用户的鉴权信息、以及第一节点中存储的第一用户的注册信息,初步判断第一用户是否为有效注册用户可以参照上述S303中第二节点根据第一用户的鉴权信息、以及第二节点中存储的第一用户的注册信息,校验第一用户是否为有效注册用户的步骤所述,此处不再赘述。
本申请实施例提供的数据管理方法中,第一节点获取到第一用户的鉴权信息之后,可以首先根据第一用户的鉴权信息、以及第一节点中存储的第一用户的注册信息,初步判断第一用户是否为有效注册用户。当确定第一用户是有效注册用户之后,第一节点触发广播第一用户的鉴权信息的步骤,第一节点广播的第一用户的鉴权信息通过第二节点的校验的可能性较高,整体上提高了UDM***对第一用户鉴权的效率。
可选地,如上所述,边缘节点可以获取该边缘节点对应的子网的管理人员输入的、以及其他边缘节点发送的用户的注册信息、以及签约数据并存储。也即,在中心节点和边缘节点断开的情况下,第一节点可以接收来自除第一节点之外的边缘节点发送的,和/或,第一节点对应的子网的管理人员输入的第一用户的注册信息、以及签约数据。
类似地,在中心节点和边缘节点断开的情况下,第二节点可以接收第一节点发送的第一用户的注册信息、以及签约数据;第一节点发送的第一用户的注册信息、以及签约数据,可以是第一节点对应的子网的管理人员输入第一节点并由第一节点保存的。
本申请实施例提供的数据管理方法中,当中心节点或者中心节点与边缘节点之间的连接发生故障,且有新注册的用户或者有需要变更注册信息的老用户时,UDM***中的边缘节点可以从管理人员获取新注册的用户的注册信息或者变更后的老用户的注册信息,并向UDM***的其他边缘节点同步更新。更新之后也可以按照上述图3所示的过程对新注册的用户或者变更注册信息的老用户进行鉴权。整体上提高了UDM***的可用性。
一些可能的实施例中,上述UDM***中的中心节点和边缘节点还可以划分为主节点和从节点。主节点的数量可以是一个。从节点可以包括UDM***中不同于主节点的边缘节点、或者中心节点。主节点可以根据第一用户的鉴权信息生成区块,并向从节点广播。从节点可以分别根据判断的第一用户是否为有效注册用户的结果对该区块投票。第一节点可以获取投票的结果,并根据投票的结果确定第一用户的鉴权结果。
可选地,UDM***中的中心节点、以及边缘节点可以按照随机队列担任主节点。例如,UDM***中的某个中心节点、或者某个边缘节点(可以称为队列节点)可以以时间戳为种子生产随机队列,UDM***中的中心节点、以及边缘节点可以按照该随机队列中的顺序依次担任主节点。当UDM***中的中心节点、以及边缘节点均按照该随机队列中的顺序担任过一次主节点之后,UDM***中的另一个节点可以再次以时间戳为种子生成新的随机队列,UDM***中的中心节点、以及边缘节点可以按照该新的随机队列中的顺序依次担任主节点,并以此循环。
一种可能的实现方式中,主节点可以由第一节点担任。也即,第一节点为主节点,第二节点为从节点。图4为本申请实施例提供的数据管理方法的另一种流程示意图。如图4所示,当第一节点担任主节点时,该方法可以包括S401至S407。
S401、第一节点获取第一用户的鉴权信息。
S401可以参照上述S301所述,此处不再赘述。
S402、第一节点根据第一用户的鉴权信息生成区块。
其中,区块可以包括第一用户的鉴权信息、以及第一节点的身份信息,第一节点的身份信息用于第二节点验证第一节点的身份。
示例性地,图5为本申请实施例提供的区块组成示意图。如图5所示,第一节点生成的区块可以包括区块头(block header)、块数据(block data)、以及区块元数据(blockmetadata)。其中,区块头可以包括区块编号、区块哈希值、以及前一区块哈希值。块数据可以包括第一用户的鉴权信息。区块元数据可以包括主节点(区块创建者,此处可以是第一节点)的身份信息。主节点的身份信息可以包括主节点的证书、以及主节点的数字签名等。节点的证书可以在注册安装时由运营商分配,用于验证节点的身份。数字签名与节点具有对应关系。
S403、第一节点广播区块。
需要说明的是,S402和S403也即上述S302的一种可能的实现方式。或者说,第一节点广播第一用户的鉴权信息,可以包括:第一节点根据第一用户的鉴权信息生成区块,区块包括第一用户的鉴权信息、以及第一节点的身份信息,第一节点的身份信息用于第二节点验证第一节点的身份,第一节点广播该区块。
相对应地,第二节点可以接收第一节点广播的区块。
S404、第二节点根据第一用户的鉴权信息、以及第二节点中存储的第一用户的注册信息,校验第一用户是否为有效注册用户。
S404可以参照上述S303所述,此处不再赘述。
S405、第二节点根据校验第一用户是否为有效注册用户的结果,生成第一信息。
S405可以参照上述S304所述,此处不再赘述。
S406、第二节点向第一节点发送第一信息。
S406可以参照上述S305所述,此处不再赘述。
需要说明的是,如上所述,主节点可以生成区块,从节点可以对区块投票。S404至S406中第二节点根据第一用户的鉴权信息、以及第二节点中存储的第一用户的注册信息,校验第一用户是否为有效注册用户,根据校验第一用户是否为有效注册用户的结果,生成第一信息并向第一节点发送,可以看作是第二节点(从节点)对区块投票的一种形式。
S407、第一节点根据第一信息确定第一用户的鉴权结果。
S407可以参照上述S306所述,此处不再赘述。
另一种可能的实现方式中,主节点可以由UDM***中除第一节点之外的边缘节点、或者中心节点担任。例如,第三节点是多个边缘节点中除第一节点之外的节点或者中心节点,第三节点是主节点,UDM***中除第三节点之外的节点均为从节点。图6为本申请实施例提供的数据管理方法的又一种流程示意图。如图6所示,当第三节点担任主节点时,该方法可以包括S601至S608。
S601、第一节点获取第一用户的鉴权信息。
S601可以参照上述S301所述,此处不再赘述。
S602、第一节点向第三节点发送第一用户的鉴权信息。
可选地,第一节点向第三节点发送第一用户的鉴权信息,可以包括:第一节点通过广播的形式向第三节点发送第一用户的鉴权信息。
S603、第三节点根据第一用户的鉴权信息生成区块。
其中,第三节点生成的区块可以参照上述图5所示,此处不再赘述。
S604、第三节点广播区块。
需要说明的是,上述S602至S604也即上述S303的一种可能的实现方式。或者说,第一节点广播第一用户的鉴权信息,可以包括:第一节点向第三节点发送第一用户的鉴权信息,以使得第三节点根据第一用户的鉴权信息生成区块,并广播该区块。
相对应地,第二节点可以接收第三节点广播的区块。
S605、第二节点根据第一用户的鉴权信息、以及第二节点中存储的第一用户的注册信息,校验第一用户是否为有效注册用户。
S605可以参照上述S303所述,此处不再赘述。
S606、第二节点根据校验第一用户是否为有效注册用户的结果,生成第一信息。
S606可以参照上述S304所述,此处不再赘述。
S607、第二节点向第一节点发送第一信息。
需要说明的是,和上述S404至S406类似的理由,S605至S607也可以看作是第二节点(从节点)对区块投票的一种形式。
同样需要说明的是,上述S606至S607也即第二节点根据校验第一用户是否为有效注册用户的结果,生成第一信息之后,直接向第一节点发送第一信息进行投票。
可选地,第二节点在根据校验第一用户是否为有效注册用户的结果,生成第一信息之后,还可以向第三节点发送第一信息,由第三节点向第一节点转发第二节点发送的第一信息进行投票。
S608、第一节点根据第一信息确定第一用户的鉴权结果。
S608可以参照上述S306所述,此处不再赘述。
可选地,当从节点对区块的投票的结果中通过的比例大于预设的第一比例时,主节点(例如上述的第一节点或者第三节点)还可以将该区块作为最高区块加入区块链。
本申请实施例提供的数据管理方法中,UDM***中的边缘节点、以及中心节点还可以划分为主节点和从节点。主节点可以根据第一用户的鉴权信息生成区块,并向从节点广播。区块可以包括区块头、块数据、以及区块元数据,区块元数据中可以包括区块创建者的身份信息,UDM***中的边缘节点、以及中心节点可以根据区块中的区块创建者的身份信息对第一用户的鉴权进行监督,整体上提高了UDM***的安全性。
另外,从节点可以分别根据判断的第一用户是否为有效注册的结果对该区块投票。主节点可汇总从节点的投票。第一节点可以获取投票的结果,并根据投票的结果确定第一用户的鉴权结果。将鉴权过程与共识过程相结合,并且该共识过程仅包括生成区块和对区块投票,与传统的实用拜占庭容错算法(practical byzantine fault tolerance,PBFT)的共识过程相比,本申请的共识过程的步骤更少。
需要说明的是,上述S301中的第一节点获取第一用户的鉴权信息、以及S302中的第一节点广播第一用户的鉴权信息,任意一个第二节点也可以获取第一用户的鉴权信息。也即,在第一节点确定第一用户是有效注册用户之后,UDM***中的每个中心节点和边缘节点均可以获取到第一用户的鉴权信息。
可选地,UDM***中的中心节点和边缘节点在获取到第一用户的鉴权信息之后,可以将第一用户的鉴权信息记录在临时账本中。主节点根据第一用户的鉴权信息生成区块,可以包括:主节点根据记录在临时账本中的第一用户的鉴权信息生成区块。
一种可能的实现方式中,区块中的用户的鉴权信息可以包括一个。也即,当主节点获取到第一用户的鉴权信息并将第一用户的鉴权信息记录在临时账本时,主节点就可以触发根据第一用户的鉴权信息生成区块的步骤。图7为本申请实施例提供的另一种区块组成示意图。如图7所示,同样以上述图5所示的区块的组成为例,假设第一用户为用户1,则主节点生成的区块中的块数据可以包括用户1的鉴权信息。
另一种可能的实现方式中,区块中的用户的鉴权信息可以包括多个,当当前时间与前一区块的生成时间的时间差达到第一周期时,主节点就可以触发根据第一用户的鉴权信息生成区块的步骤。也即,主节点根据记录在临时账本中的第一用户的鉴权信息生成区块,可以包括:主节点根据记录在临时账本中的第一周期内的第一用户的鉴权信息生成区块。图8为本申请实施例提供的又一种区块组成示意图。如图8所示,同样以上述图5所示的区块的组成为例,假设主节点的临时账本中的第一周期内的用户的鉴权信息包括用户1的鉴权信息、用户2的鉴权信息、用户3的鉴权信息、以及用户4的鉴权信息,则主节点根据记录在临时账本中的第一周期内的第一用户的鉴权信息生成的区块中的块数据,可以包括用户1的鉴权信息、用户2的鉴权信息、用户3的鉴权信息、以及用户4的鉴权信息。
其中,第一周期可以由管理人员预设。例如,第一周期为1秒、2秒等。本申请实施例对第一周期的具体时长不作限制。
本申请实施例提供的数据管理方法中,在第一节点广播第一用户的鉴权信息之后,UDM***中的节点均可以获取到第一用户的鉴权信息,并将第一用户的鉴权信息记录在临时账本中。主节点可以根据记录在临时账本中的第一周期内的第一用户的鉴权信息生成区块,可以避免频繁生成区块、以及频繁对区块进行投票,整体上提高了UDM***对用户鉴权的效率。
一些可能的实施例中,第一节点中还存储有每个边缘节点对应的子网的用户的服务质量信息。当第一节点确定第一用户为有效注册用户之后,第一节点还可以根据第一节点中存储的每个边缘节点对应的子网的用户的服务质量信息,确定第一用户的服务质量信息并记录。类似地,当第二节点确定第一用户为有效注册用户之后,第二节点还可以根据第二节点中存储的每个边缘节点对应的子网的用户的服务质量信息,确定第一用户的服务质量信息并记录。
示例性地,以第一节点为例,第一用户的鉴权信息可以包括第一用户的身份标识。第一用户的身份标识可以与第一用户的服务质量信息一一对应。当第一节点确定第一用户的鉴权结果为通过时,第一节点可以根据第一用户的身份标识查询第一节点中存储的每个边缘节点对应的子网的用户的服务质量信息,确定第一用户的服务质量信息并记录。
本申请实施例提供的数据管理方法中,当第一节点确定第一用户为有效注册用户之后,第一节点还可以根据第一节点中存储的服务质量信息确定第一用户的服务质量信息并记录。当第二节点确定第一用户为有效注册用户之后,第二节点可以根据第二节点中存储的服务质量信息确定第一用户的服务质量信息并记录。第二节点可以对第一用户的服务质量信息进行第三方记录和监督,并且当第一用户对自己实际获得的服务质量产生疑问时,可以根据第一节点和第二节点分别记录的第一用户的服务质量信息进行印证,从而提高服务的透明性和可信性。
可选地,上述第一节点执行的步骤可以由第一节点中的功能模块来执行。图9为本申请实施例提供的第一节点的组成示意图。如图9所示,第一节点可以包括服务管理(service manager)模块。第一节点获取第一用户的鉴权信息,可以包括:第一节点中的服务管理模块获取第一用户的鉴权信息。例如,第一用户的终端设备接入第一节点对应的子网时连接服务管理模块,并通过服务管理模块向第一节点发送第一用户的鉴权信息。
可选地,UDM***中的边缘节点还可以与数据平面的网元连接。当第一节点确定第一用户的鉴权结果为通过时,第一节点可以向数据平面的网元发送第一用户的服务质量信息,以使得数据平面的网元根据第一用户的服务质量信息为第一用户提供服务。
例如,数据平面的网元可以布置在第一网络设备上。当第一节点确定第一用户的鉴权结果为通过时,第一节点向数据平面的网元发送第一用户的服务质量信息,以使得数据平面的网元根据第一用户的服务质量信息为第一用户提供服务,可以包括:当第一节点确定第一用户的鉴权结果为通过时,第一节点向第一网络设备发送第一用户的服务质量信息,以使得第一网络设备根据第一用户的服务质量信息为第一用户提供服务。
又例如,第一节点可以通过服务管理模块向第一网络设备发送第一用户的签约数据中的服务质量信息,以使得第一网络设备根据第一用户的签约数据中的服务质量信息为第一用户提供服务。
示例性地,数据平面的网元可以包括数据网络(data network,DN)。
一些可能的实施例中,在第一节点向第一网络设备发送第一用户的服务质量信息,以使得第一网络设备根据第一用户的服务质量信息为第一用户提供服务之前,中心节点还可以获取第一节点连接的其他边缘节点(除第一节点之外的边缘节点)的数量。当第一节点连接的其他边缘节点的数量小于预设的数量阈值时,中心节点可以控制第一节点向第一网络设备发送基础服务质量信息,以使得第一网络设备根据基础服务质量信息为第一用户提供服务。
其中,数量阈值可以由运营商预设。例如,数量阈值为3个、或者4个等。本申请实施例对数量阈值的具体数值不作限制。
一种可能的实现方式中,中心节点获取第一节点连接的其他边缘节点的数量的步骤可以在S301之前执行。图10为本申请实施例提供的数据管理方法的又一种流程示意图。如图10所示,该方法可以包括新的边缘节点注册、新的边缘节点启动、新的边缘节点建立与老的边缘节点的P2P连接、新的边缘节点建立与中心节点的P2P连接、同步用户注册信息、更新节点连接状态、接收用户鉴权信息、完成用户鉴权等部分。
1、对新的边缘节点注册部分:
第一机构可以根据第一机构的身份信息向运营商申请新的边缘节点。新的边缘节点在首次安装时,可以获得运营商根据第一机构的身份信息分配的证书,证书和第一机构的身份信息一一对应,证书用于验证节点、以及第一机构的身份。UDM***中的中心节点可以存储第一机构的身份信息。
其中,第一机构可以包括任意一个单位或个人。
示例性地,第一机构的身份信息可以如下述表2所示。
表2
| 边缘节点 | 证书 | 第一机构的身份信息 |
| 边缘节点1 | 证书1 | 身份信息1 |
| 边缘节点2 | 证书2 | 身份信息2 |
| 边缘节点3 | 证书3 | 身份信息3 |
如表2所示,该表可以包括边缘节点项、证书项、以及第一机构的身份信息项。其中,边缘节点项可以包括边缘节点1、边缘节点2、边缘节点3等边缘节点。证书项可以包括证书1、证书2、以及证书3等证书。第一机构的身份信息项可以包括身份信息1、身份信息2、以及身份信息3等第一机构的身份信息。边缘节点1、证书1、以及身份信息1具有对应关系。边缘节点2、证书2、以及身份信息2具有对应关系。边缘节点3、证书3、以及身份信息3具有对应关系。
2、对新的边缘节点启动部分:
新的边缘节点首次安装之后,可以首次启动,并接受管理人员的配置。
3、对新的边缘节点建立与老的边缘节点的P2P连接部分:
新的边缘节点首次启动,并接受管理人员的配置之后,可以和地理上临近的其他子网的老的边缘节点建立P2P连接。例如,边缘节点处于同一个城区、或者边缘节点处于同一个城市、再或者边缘节点处于同一个省份、又或者边缘节点间的直线距离小于预设的距离阈值可以称为地理上临近。本申请实施例对地理上临近的具体标准不作限制。
4、对新的边缘节点建立与中心节点的P2P连接部分:
新的边缘节点可以获取首次启动后和地理上临近的其他子网的老的边缘节点建立P2P连接的网络拓扑信息;新的边缘节点可以向中心节点发送自己的证书、以及该网络拓扑信息。中心节点对新的边缘节点的证书验证通过之后,可以建立新的边缘节点和中心节点的P2P连接。
可以理解的是,上述中心节点获取第一节点连接的其他边缘节点的数量,可以由中心节点根据第一节点建立与中心节点的P2P连接部分时,由第一节点向中心节点发送的网络拓扑信息获得。
5、对同步用户注册信息部分:
如上所述,UDM***中的边缘节点可以从管理人员、中心节点、以及与该边缘节点连接的其他边缘节点获取其他边缘节点对应的子网的用户的注册信息、以及运营商网络的用户的签约数据,UDM***中的边缘节点之间可以定期同步更新用户的注册信息。
6、对更新节点连接状态部分:
UDM***中相互连接的节点之间可以定时互相发送心跳包,定期检查连接是否正常。当某个边缘节点无法正常地接收到与该节点连接的其他边缘节点发送的心跳包时,该边缘节点可以确定与无法正常地接收到的心跳包对应的边缘节点的连接故障,并向中心节点上报该无法正常地接收到的心跳包对应的边缘节点的证书。
可以理解的是,上述中心节点获取第一节点连接的其他边缘节点的数量,还可以根据UDM***中的边缘节点上报的无法正常地接收到的心跳包对应的边缘节点的证书获得。
7、对接收用户鉴权请求部分:
如上述S301所述,此处不再赘述。
8、对完成用户鉴权部分:
如上述图3、图4、以及图6所示的实施例中所述,此处不再赘述。
可选地,如上所述,第一节点根据第一信息确定的第一用户的鉴权结果可以包括通过和不通过。当第一节点连接的其他边缘节点的数量小于预设的数量阈值时,中心节点可以向第一节点发送第一指令,第一指令用于当第一用户的鉴权结果为通过时,命令第一节点向第一网络设备发送基础服务质量信息,以使得第一网络设备根据基础服务质量信息为第一用户提供服务。
例如,当第一节点连接的其他边缘节点的数量小于预设的数量阈值时,中心节点向第一节点中的服务管理模块发送第一指令。服务管理模块可以接收第一指令。服务管理模块,还可以用于响应第一指令,当第一节点确定第一用户的鉴权结果为通过时,向第一网络设备发送基础服务质量信息,以使得第一网络设备根据基础服务质量信息为第一用户提供服务。
本申请实施例提供的数据管理方法中,中心节点可以获取第一节点连接的其他边缘节点的数量。当第一节点确定第一用户的鉴权结果为通过,且第一节点连接的其他边缘节点的数量小于预设的数量阈值时,中心节点可以控制第一节点向第一网络设备发送基础服务质量信息,以使得第一网络设备根据基础服务质量信息为第一用户提供服务。当第一节点连接的其他边缘节点数量过少时,存在子网使用者恶意断开边缘节点与其他边缘节点、以及中心节点的连接,私自篡改用户的服务质量信息的风险。此时限制第一节点对应的子网的用户的服务质量信息,可以防止子网使用者恶意断开边缘节点与其他边缘节点、以及中心节点的连接,私自篡改服务质量信息,提高UDM***的安全性。
如上所述,第一机构可以根据第一机构的身份信息向运营商申请新的边缘节点。新的边缘节点在首次安装时,可以获得运营商根据第一机构的身份信息分配的证书,证书和第一机构的身份信息一一对应,证书用于验证节点、以及第一机构的身份。UDM***中的中心节点可以存储有第一机构的身份信息。且主节点可以根据第一用户的鉴权信息生成区块,并向从节点广播。从节点可以分别根据判断的第一用户是否为有效注册用户的结果对该区块投票。
一些可能的实施例中,从节点对该区块的投票可以以匿名投票的方式进行。边缘节点间可以通过证书来验证身份。也即,从节点分别根据判断的第一用户是否为有效注册用户的结果对该区块投票,可以包括:从节点分别根据判断的第一用户是否为有效注册用户的结果对该区块匿名投票。
可选地,UDM***中的中心节点、以及边缘节点还可以分别将每一次鉴权的过程记录在各自的***日志集中。***日志集可以包括一条或多条日志。日志可以包括边缘节点、以及边缘节点对应的事件信息。
可选地,UDM***中的中心节点、以及边缘节点还可以获取***日志集中的事件信息,当***日志中的节点对应的事件信息满足预设条件时,UDM***中的中心节点、以及边缘节点可以进行投票揭示边缘节点对应的第一机构的身份信息。
以下以UDM***中的中心节点发起投票揭示边缘节点对应的第一机构的身份信息为例进行说明。图11为本申请实施例提供的数据管理方法的又一种流程示意图。如图11所示,该方法还可以包括S1101至S1104。
S1101、中心节点获取第一请求、以及第一请求对应的第一日志。
其中,第一请求用于请求揭示恶意节点对应的第一机构的身份信息。第一日志可以包括***日志集中记录了恶意节点对应的事件信息的日志。
一种可能的实现方式中,第一请求可以由中心节点生成。也即,中心节点获取第一请求,可以包括:中心节点根据***日志集生成第一请求。
例如,对每一个边缘节点,当***日志集中,该边缘节点对应的事件信息满足预设条件时,中心节点可以确定该边缘节点为恶意节点,并生成第一请求。
其中,预设条件可以包括:
1、边缘节点广播错误鉴权信息次数大于预设次数阈值。
2、边缘节点担任主节点生成区块失败次数大于预设次数阈值。
3、边缘节点连接的节点数量小于数量阈值的时长大于预设时长阈值。
需要说明的是,次数阈值、以及时长阈值等均可以由管理人员预设在UDM***中的节点中。例如,次数阈值为3次、或者5次等。时长阈值为一周、或者一个月等。本申请实施例对次数阈值、以及时长阈值的具体数值不做限制。
同样需要说明的是,上述预设条件中,边缘节点广播错误鉴权信息对应的次数阈值、以及边缘节点担任主节点生成区块失败对应的次数阈值可以相同也可以不同,本申请实施例对此不作限制。
另一种可能的实现方式中,第一请求可以由边缘节点生成。也即,中新节点获取第一请求,可以包括:中心节点接收边缘节点发送的第一请求,第一请求是边缘节点根据***日志集生成的。
需要说明的是,边缘节点生成第一请求的步骤可以参照上述中心节点生成第一请求的步骤中所述,此处不再赘述。
S1102、中心节点广播第一请求、以及第一请求对应的第一日志。
S1103、中心节点获取边缘节点对第一请求的投票。
其中,边缘节点对第一请求的投票可以包括同意第一请求、或者不同意第一请求。
S1104、当边缘节点对第一请求的投票中,同意第一请求的比例大于预设的第二比例时,中心节点广播第一请求对应的恶意节点所对应的第一机构的身份信息。
其中,第二比例可以由管理人员预设在UDM***中的节点中。例如,第二比例为50%、或者70%等。本申请实施例对第二比例的具体数值不作限制。
需要说明的是,当同意第一请求的节点的比例小于预设的第二比例时,中心节点可以驳回第一请求。也即,对UDM***中的每个边缘节点,中心节点获取该边缘节点发送的对第一请求的投票之后,还可以根据同意第一请求的边缘节点的比例、以及预设的第二比例,判断是否广播第一请求对应的恶意节点所对应的第一机构的身份信息。
本申请实施例提供的数据管理方法中,当UDM***存在恶意节点时,UDM***中的中心节点、以及边缘节点还可以分别将每一次鉴权的过程记录在各自的***日志集中,并根据***日志集确定恶意节点,投票揭示恶意节点对应的第一机构的身份信息,从而防止恶意节点对应的第一机构持续利用恶意节点干扰UDM***的正常鉴权。
在示例性的实施例中,上述第一节点中的功能模块还可以集成为单元。本申实施例提供一种数据管理装置,该装置可以应用于上述方法实施例中的第一节点。图12为本申请实施例提供的数据管理装置的组成示意图。如图12所示,该数据管理装置1200可以包括:获取单元1201、发送单元1202、以及处理单元1203。获取单元1201,可以用于获取第一用户的鉴权信息,第一用户为第一节点对应的子网的用户。发送单元1202,可以用于广播第一用户的鉴权信息。获取单元1201,还可以用于接收来自至少一个第二节点分别发送的第一信息;第二节点是多个边缘节点中除第一节点之外的节点、以及中心节点中的至少一个;第一信息是第二节点根据第一用户的鉴权信息、以及第二节点中存储的第一用户的注册信息,校验第一用户是否为有效注册用户之后生成的;第一信息可以用于指示第一用户的鉴权信心是否通过第二节点的校验。处理单元1203,可以用于根据指示通过第二节点校验的第一信息,在所有第一信息中的占比、以及预设的第一比例,确定第一用户的鉴权结果。
一些可能的实施例中,处理单元1203,还可以用于在发送单元1202广播第一用户的鉴权信息之前,根据第一用户的鉴权信息、以及第一节点中存储的第一用户的注册信息,确定第一用户为有效注册用户。
另一些可能的实施例中,获取单元1201,还可以用于在中心节点和边缘节点断开的情况下,接收来自除第一节点之外的边缘节点发送的,和/或,第一节点对应的子网的管理人员输入的第一用户的注册信息,并存储第一用户的注册信息。
又一些可能的实施例中,发送单元1202,具体可以用于根据第一用户的鉴权信息生成区块,区块包括第一用户的鉴权信息、以及第一节点的身份信息;第一节点的而身份信息可以用于第二节点验证第一节点的身份;广播区块。
又一些可能的实施例中,发送单元1202,具体可以用于向第三节点发送第一用户的鉴权信息,以使得第三节点根据第一用户的鉴权信息生成区块,并广播;第三节点是多个边缘节点中除第一节点之外的边缘节点或者中心节点。
又一些可能的实施例中,第一节点与第一网络设备连接,第一节点存储有每个边缘节点对应的子网的用户的服务质量信息;第一用户的鉴权结果包括:通过或不通过。处理单元1203,还可以用于确定第一用户为有效注册用户之后,根据每个边缘节点对应的子网的用户的服务质量信息,确定第一用户的服务质量信息并记录。发送单元1202,还可以用于当第一用户的鉴权结果为通过时,向第一网络设备发送第一用户的服务质量信息,以使得第一网络设备按照第一用户的服务质量信息为第一用户提供服务。
又一些可能的实施例中,获取单元1201,还可以用于接收中心节点发送的第一指令,第一指令可以用于当第一用户的鉴权结果为通过时,命令第一节点向第一网络设备发送基础服务质量信息;第一指令是当第一节点连接的其他边缘节点的数量小于预设的数量阈值时由中心节点发送的。发送单元1202,还可以用于响应于第一指令,当第一用户的鉴权结果为通过时,向第一网络设备发送基础服务质量信息,以使得第一网络设备根据基础服务质量信息为第一用户提供服务。
又一些可能的实施例中,中心节点包括多个;多个中心节点相互连接。每个边缘节点与中心节点连接,是指:每个边缘节点与多个中心节点中的一个连接。第二节点是中心节点,是指:第二节点是多个中心节点中的一个。
在示例性的实施例中,本申请实施例又提供一种数据管理装置,该装置可以应用于上述方法实施例中的第二节点。图13为本申请实施例提供的数据管理装置的组成示意图。如图13所示,该数据管理装置1300可以包括:获取单元1301、处理单元1302、以及发送单元1303。获取单元1301,可以用于接收第一节点广播的第一用户的鉴权信息,第一用户为第一节点对应的子网的用户。处理单元1302,可以用于根据第一用户的鉴权信息、以及第二节点中存储的第一用户的注册信息,校验第一用户是否为有效注册用户;根据校验第一用户是否为有效注册用户的结果,生成第一信息,第一信息可以用于指示第一用户的鉴权信息是否通过第二节点的校验。发送单元1303,可以用于向第一节点发送第一信息,以使得第一节点根据指示通过第二节点校验的第一信息,在所有第一信息中的占比、以及预设的第一比例,确定第一用户的鉴权结果。
一些可能的实施例中,第二节点接收的第一节点广播的第一用户的鉴权信息,是第一节点根据第一用户的鉴权信息、以及第一节点中存储的第一用户的注册信息,确定第一用户为有效注册用户之后发送的。
另一些可能的实施例中,在中心节点和边缘节点断开的情况下,第一节点中存储的第一用户的注册信息是第一节点之外的边缘节点发送的,和/或,第一节点对应的子网的管理人员输入的。
又一些可能的实施例中,获取单元1301,具体可以用于接收第一节点广播的区块,区块是第一节点根据第一用户的鉴权信息生成的,区块包括第一用户的鉴权信息、以及第一节点的身份信息;第一节点的身份信息可以用于第二节点验证第一节点的身份。
又一些可能的实施例中,获取单元1301,具体可以用于接收第三节点广播的区块,该区块是第一节点向第三节点发送第一用户的鉴权信息之后,由第三节点根据第一用户的鉴权信息生成的;第三节点是多个边缘节点中除第一节点之外的边缘节点或者中心节点。
又一些可能的实施例中,第二节点存储有每个边缘节点对应的子网的用户的服务质量信息。处理单元1302,还可以用于当确定第一用户是有效注册用户时,根据第二节点中存储的每个边缘节点对应的子网的用户的服务质量信息,确定第一用户的服务质量信息并记录。
又一些可能的实施例中,中心节点包括多个;多个中心节点相互连接。每个边缘节点与中心节点连接,是指:每个边缘节点与多个中心节点中的一个连接。第二节点是中心节点,是指:第二节点是多个中心节点中的一个。
在示例性的实施例中,本申请实施例还提供一种数据管理装置,该装置可以应用于上述方法实施例中的中心节点。图14为本申请实施例提供的数据管理装置的组成示意图。如图14所示,该数据管理装置1400可以包括:获取单元1401、处理单元1402、以及发送单元1403。获取单元1401,可以用于获取***日志集,***日志集包括边缘节点、以及边缘节点对应的事件信息。处理单元1402,可以用于对每一个边缘节点,当***日志集中,边缘节点对应的事件信息满足预设条件时,确定边缘节点为恶意节点,并生成第一请求。发送单元1403,可以用于广播第一请求、以及第一请求对应的第一日志,第一请求可以用于请求揭示恶意节点对应的第一机构的身份信息,第一日志为***日志集中记录了恶意节点对应的事件信息的日志。获取单元1401,还可以用于获取边缘节点对第一请求的投票。发送单元1403,还可以用于当投票中,同意第一请求的比例大于预设的第二比例时,广播第一请求对应的恶意节点所对应的第一机构的身份信息。
在示例性的实施例中,本申请实施例还提供了一种统一数据管理UDM***,该UDM***包括中心节点、以及多个边缘节点;每个边缘节点与中心节点连接,且每个边缘节点与多个边缘节点中的至少一个其他边缘节点连接;第一节点获取第一用户的鉴权信息,第一用户为第一节点对应的子网的用户;第一节点是多个边缘节点中的一个;第一节点广播第一用户的鉴权信息;第二节点根据第一用户的鉴权信息、以及第二节点中存储的第一用户的注册信息,校验第一用户是否为有效注册用户;第二节点根据校验第一用户是否为有效注册用户的结果,生成第一信息;第一信息用于指示第一用户的鉴权信息是否通过第二节点的校验;第一节点根据指示通过第二节点校验的第一信息,在所有第一信息中的占比、以及预设的第一比例,确定第一用户的鉴权结果。
需要说明的是,本申请实施例提供的统一数据管理UDM***还可以执行上述方法实施例中第一节点、第二节点、以及中心节点等所执行的步骤,以实现上述方法实施例中第一节点、第二节点、以及中心节点等的全部功能,在此不再一一赘述。
在示例性的实施例中,本申请实施例还提供了一种计算机程序产品,当该计算机程序产品在计算机上运行时,使得计算机执行上述相关方法步骤,以实现上述实施例中的数据管理方法。
在示例性的实施例中,本申请实施例还提供了一种网络设备。图15为本申请实施例提供的网络设备的结构示意图。如图15所示,该网络设备可以包括:处理器1501和存储器1502;存储器1502存储有处理器1501可执行的指令;处理器1501被配置为执行指令时,使得网络设备实现如前述方法实施例中所述的方法。
在示例性的实施例中,本申请实施例还提供一种计算机可读存储介质,其上存储有计算机程序指令;当所述计算机程序指令被网络设备执行时,使得网络设备实现如前述实施例中所述的方法。计算机可读存储介质可以是非临时性计算机可读存储介质,例如,所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何在本申请揭露的技术范围内的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应该以权利要求的保护范围为准。
Claims (11)
1.一种数据管理方法,其特征在于,所述方法应用于统一数据管理UDM***中的第一节点,所述UDM***包括中心节点、以及多个边缘节点;每个所述边缘节点与所述中心节点连接,且每个所述边缘节点与所述多个边缘节点中的至少一个其他边缘节点连接;所述第一节点是多个所述边缘节点中的一个;
所述方法包括:
所述第一节点获取第一用户的鉴权信息,所述第一用户为所述第一节点对应的子网的用户;
所述第一节点广播所述第一用户的鉴权信息;
所述第一节点接收来自至少一个第二节点分别发送的第一信息;所述第二节点是多个所述边缘节点中除所述第一节点之外的节点或者所述中心节点;所述第一信息是所述第二节点根据所述第一用户的鉴权信息、以及第二节点中存储的所述第一用户的注册信息,校验所述第一用户是否为有效注册用户之后生成的;所述第一信息用于指示所述第一用户的鉴权信息是否通过所述第二节点的校验;
所述第一节点根据指示通过所述第二节点校验的所述第一信息,在所有所述第一信息中的占比、以及预设的第一比例,确定所述第一用户的鉴权结果;
在所述中心节点和所述边缘节点断开的情况下,所述第一节点接收来自除所述第一节点之外的边缘节点发送的,和/或,所述第一节点对应的子网的管理人员输入的所述第一用户的注册信息,并存储所述第一用户的注册信息。
2.根据权利要求1所述的方法,其特征在于,所述第一节点广播所述第一用户的鉴权信息之前,所述方法还包括:
所述第一节点根据所述第一用户的鉴权信息、以及所述第一节点中存储的所述第一用户的注册信息,确定所述第一用户为有效注册用户。
3.根据权利要求1所述的方法,其特征在于,所述第一节点广播所述第一用户的鉴权信息,包括:
所述第一节点根据所述第一用户的鉴权信息生成区块;所述区块包括所述第一用户的鉴权信息、以及所述第一节点的身份信息;所述第一节点的身份信息用于所述第二节点验证所述第一节点的身份;
所述第一节点广播所述区块。
4.根据权利要求1所述的方法,其特征在于,所述第一节点广播所述第一用户的鉴权信息,包括:
所述第一节点向第三节点发送所述第一用户的鉴权信息,以使得所述第三节点根据所述第一用户的鉴权信息生成区块,并广播所述区块;所述第三节点是多个所述边缘节点中除所述第一节点之外的边缘节点或者所述中心节点。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述第一节点与第一网络设备连接,所述第一节点存储有每个所述边缘节点对应的子网的用户的服务质量信息;所述第一用户的鉴权结果包括:通过或不通过;所述方法还包括:
所述第一节点确定所述第一用户为有效注册用户之后,根据每个所述边缘节点对应的子网的用户的服务质量信息,确定所述第一用户的服务质量信息并记录;
当所述第一用户的鉴权结果为通过时,所述第一节点向所述第一网络设备发送所述第一用户的服务质量信息,以使得所述第一网络设备按照所述第一用户的服务质量信息为所述第一用户提供服务。
6.根据权利要求1-4任一项所述的方法,其特征在于,所述第一节点与第一网络设备连接,所述第一节点存储有每个所述边缘节点对应的子网的用户的服务质量信息;所述第一用户的鉴权结果包括:通过或不通过;所述方法还包括:
所述第一节点接收所述中心节点发送的第一指令,所述第一指令用于当所述第一用户的鉴权结果为通过时,命令所述第一节点向所述第一网络设备发送基础服务质量信息;所述第一指令是当所述第一节点连接的其他边缘节点的数量小于预设的数量阈值时由所述中心节点发送的;
响应于所述第一指令,当所述第一用户的鉴权结果为通过时,所述第一节点向所述第一网络设备发送所述基础服务质量信息,以使得所述第一网络设备根据所述基础服务质量信息为所述第一用户提供服务。
7.根据权利要求1所述的方法,其特征在于,所述中心节点包括多个;
多个所述中心节点相互连接;
所述每个所述边缘节点与所述中心节点连接,是指:每个所述边缘节点与多个所述中心节点中的一个连接;
所述第二节点是所述中心节点,是指:所述第二节点是多个所述中心节点中的一个。
8.一种数据管理装置,其特征在于,所述装置应用于统一数据管理UDM***中的第一节点,所述UDM***包括中心节点、以及多个边缘节点;每个所述边缘节点与所述中心节点连接,且每个所述边缘节点与所述多个边缘节点中的至少一个其他边缘节点连接;所述第一节点是多个所述边缘节点中的一个,且所述第一节点存储有每个所述边缘节点对应的子网的用户的注册信息;
所述装置包括:获取单元、发送单元、以及处理单元;
所述获取单元,用于获取第一用户的鉴权信息,所述第一用户为所述第一节点对应的子网的用户;
所述发送单元,用于广播所述第一用户的鉴权信息;
所述获取单元,还用于接收来自至少一个第二节点分别发送的第一信息;所述第二节点是多个所述边缘节点中除所述第一节点之外的节点或者所述中心节点;所述第一信息是所述第二节点根据所述第一用户的鉴权信息、以及第二节点中存储的第一用户的注册信息,校验第一用户是否为有效注册用户之后,由所述第二节点根据校验第一用户是否为有效注册用户的结果确定的;所述第一信息用于指示所述第一节点通过所述第一用户的鉴权信息,或者不通过所述第一用户的鉴权信息;
所述处理单元,用于根据至少一个第二节点分别发送的第一信息中指示第一节点通过所述第一用户的鉴权信息的比例、以及预设的第一比例,确定所述第一用户的鉴权结果;
所述获取单元,还用于在所述中心节点和所述边缘节点断开的情况下,接收来自除所述第一节点之外的边缘节点发送的,和/或,所述第一节点对应的子网的管理人员输入的所述第一用户的注册信息,并存储所述第一用户的注册信息。
9.一种网络设备,其特征在于,所述网络设备包括:处理器和存储器;
所述存储器存储有所述处理器可执行的指令;
所述处理器被配置为执行所述指令时,使得所述网络设备实现如权利要求1-7任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括:计算机软件指令;
当所述计算机软件指令在网络设备中运行时,使得所述网络设备实现如权利要求1-7任一项所述的方法。
11.一种统一数据管理UDM***,其特征在于,所述UDM***包括中心节点、以及多个边缘节点;每个所述边缘节点与所述中心节点连接,且每个所述边缘节点与所述多个边缘节点中的至少一个其他边缘节点连接;
第一节点获取第一用户的鉴权信息,所述第一用户为所述第一节点对应的子网的用户;所述第一节点是多个所述边缘节点中的一个;
所述第一节点广播所述第一用户的鉴权信息;
第二节点根据所述第一用户的鉴权信息、以及第二节点中存储的第一用户的注册信息,校验第一用户是否为有效注册用户;所述第二节点是多个所述边缘节点中除所述第一节点之外的节点或者所述中心节点;
所述第二节点根据校验第一用户是否为有效注册用户的结果,生成第一信息;所述第一信息用于指示所述第一用户的鉴权信息是否通过第二节点的校验;
所述第二节向所述第一节点发送所述第一信息;
所述第一节点根据指示通过所述第二节点校验的所述第一信息,在所有所述第一信息中的占比、以及预设的第一比例,确定所述第一用户的鉴权结果;
在所述中心节点和所述边缘节点断开的情况下,所述第一节点接收来自除所述第一节点之外的边缘节点发送的,和/或,所述第一节点对应的子网的管理人员输入的所述第一用户的注册信息,并存储所述第一用户的注册信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111528603.5A CN114302396B (zh) | 2021-12-14 | 2021-12-14 | 数据管理方法、装置、设备、存储介质及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111528603.5A CN114302396B (zh) | 2021-12-14 | 2021-12-14 | 数据管理方法、装置、设备、存储介质及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114302396A CN114302396A (zh) | 2022-04-08 |
| CN114302396B true CN114302396B (zh) | 2023-11-07 |
Family
ID=80968556
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111528603.5A Active CN114302396B (zh) | 2021-12-14 | 2021-12-14 | 数据管理方法、装置、设备、存储介质及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114302396B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117633848B (zh) * | 2024-01-25 | 2024-04-12 | 中信证券股份有限公司 | 用户信息联合处理方法、装置、设备和计算机可读介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107231363A (zh) * | 2017-06-12 | 2017-10-03 | 华南理工大学 | 一种分布式认证方法与认证模型 |
| WO2018174846A1 (en) * | 2017-03-20 | 2018-09-27 | Nokia Technologies Oy | Distributed network policy decision making |
| CN111294315A (zh) * | 2018-12-07 | 2020-06-16 | ***通信集团贵州有限公司 | 基于区块链的安全认证方法、装置、设备及存储介质 |
| CN111711711A (zh) * | 2020-05-28 | 2020-09-25 | 北京邮电大学 | 基于区块链的顶级域名管理和解析方法及*** |
| CN112583858A (zh) * | 2021-01-05 | 2021-03-30 | 广州华资软件技术有限公司 | 一种基于区块链pbft算法的统一身份鉴权方法 |
| CN112738751A (zh) * | 2020-12-08 | 2021-04-30 | 中车工业研究院有限公司 | 无线传感器接入鉴权方法、装置及*** |
| CN113010872A (zh) * | 2021-04-09 | 2021-06-22 | 国网信息通信产业集团有限公司 | 一种身份认证方法、装置、计算机设备及存储介质 |
| CN113099449A (zh) * | 2019-12-19 | 2021-07-09 | 中国电信股份有限公司 | 分布式核心网的鉴权方法和***、归属签约用户服务器 |
| CN113613248A (zh) * | 2020-04-20 | 2021-11-05 | 华为技术有限公司 | 认证事件处理方法及装置、*** |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10951615B1 (en) * | 2018-10-16 | 2021-03-16 | Sprint Communications Company L.P. | Wireless network access for data appliances |
-
2021
- 2021-12-14 CN CN202111528603.5A patent/CN114302396B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018174846A1 (en) * | 2017-03-20 | 2018-09-27 | Nokia Technologies Oy | Distributed network policy decision making |
| CN107231363A (zh) * | 2017-06-12 | 2017-10-03 | 华南理工大学 | 一种分布式认证方法与认证模型 |
| CN111294315A (zh) * | 2018-12-07 | 2020-06-16 | ***通信集团贵州有限公司 | 基于区块链的安全认证方法、装置、设备及存储介质 |
| CN113099449A (zh) * | 2019-12-19 | 2021-07-09 | 中国电信股份有限公司 | 分布式核心网的鉴权方法和***、归属签约用户服务器 |
| CN113613248A (zh) * | 2020-04-20 | 2021-11-05 | 华为技术有限公司 | 认证事件处理方法及装置、*** |
| CN111711711A (zh) * | 2020-05-28 | 2020-09-25 | 北京邮电大学 | 基于区块链的顶级域名管理和解析方法及*** |
| CN112738751A (zh) * | 2020-12-08 | 2021-04-30 | 中车工业研究院有限公司 | 无线传感器接入鉴权方法、装置及*** |
| CN112583858A (zh) * | 2021-01-05 | 2021-03-30 | 广州华资软件技术有限公司 | 一种基于区块链pbft算法的统一身份鉴权方法 |
| CN113010872A (zh) * | 2021-04-09 | 2021-06-22 | 国网信息通信产业集团有限公司 | 一种身份认证方法、装置、计算机设备及存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| Nokia, Nokia Shanghai Bell.S3-192276 "Definition of authentication subscription data".3GPP tsg_sa\wg3_security.2019,(tsgs3_95bis_sapporo),全文. * |
| 基于Cloud Native全融合5G UDM应用研究;郑航帅;;邮电设计技术(第09期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114302396A (zh) | 2022-04-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108616596B (zh) | 基于动态授权和网络环境感知的区块链自适应共识方法 | |
| US9578003B2 (en) | Determining whether to use a local authentication server | |
| EP2566204B1 (en) | Authentication method and device, authentication centre and system | |
| TWI454112B (zh) | 通信網路金鑰管理 | |
| US6275859B1 (en) | Tree-based reliable multicast system where sessions are established by repair nodes that authenticate receiver nodes presenting participation certificates granted by a central authority | |
| US7669230B2 (en) | Secure switching system for networks and method for securing switching | |
| US11962685B2 (en) | High availability secure network including dual mode authentication | |
| WO2019047631A1 (zh) | 基于区块链的微基站通信管理方法、***及设备 | |
| US20090158394A1 (en) | Super peer based peer-to-peer network system and peer authentication method thereof | |
| CN104780069B (zh) | 一种面向sdn网络的控制层与数据层通信通道自配置方法及其*** | |
| CN108881169A (zh) | 基于区块链的时间分发和同步方法及***、数据处理*** | |
| WO2008083628A1 (fr) | Serveur d'authentification, procédé, système et dispositif d'authentification mutuelle dans un réseau sans fil maillé | |
| CN113079215B (zh) | 一种基于区块链的配电物联网无线安全接入方法 | |
| CN101087236B (zh) | Vpn接入方法和设备 | |
| CN112671763A (zh) | 组网环境下的数据同步方法、装置、计算机设备 | |
| CN106576101A (zh) | 用于管理自组织网络中的安全通信的***和方法 | |
| CN114302396B (zh) | 数据管理方法、装置、设备、存储介质及*** | |
| CN115038084A (zh) | 一种面向蜂窝基站的去中心化可信接入方法 | |
| KR20090002328A (ko) | 무선 센서 네트워크에서의 새로운 장치 참여 방법 | |
| CN112491845B (zh) | 普通节点准入方法、装置、电子设备及可读存储介质 | |
| CN113972995B (zh) | 一种网络配置方法及装置 | |
| CN111031012B (zh) | 一种实现dds域参与者安全认证的方法 | |
| Piccoli et al. | Group key management in constrained IoT settings | |
| CN116669032A (zh) | 一种城域物联网***及其安全认证方法、装置、存储介质 | |
| CN113691394B (zh) | 一种vpn通信的建立和切换的方法和*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |