用于安全保障自动化的方法和装置与流程

1.本公开一般地涉及网络和服务开发和运营领域，更具体地，本公开涉及一种用于网络功能(nf)或管理功能(mnf)或服务的安全保障自动化的方法和装置。


背景技术：

2.在5g网络中，nf安全是一个关键问题。由于5g网络中的nf的复杂性不断增加以及nf的新技术和开发进程，nf供应商和运营商可能无法在整个nf开发和运营期间对nf安全进行高效且有效的投资。因此，他们很可能面临服务不可用、关键数据丢失/被盗或其知识产权和声誉受损的风险。
3.在5g中引入的垂直行业带来了来自各个行业的多样化安全要求。此外，服务提供商及其供应链被强制遵守国家/地区特定的安全法律和法规，其中涵盖了不同的安全要求并要求不同级别的安全合规性。
4.nf虚拟化(nfv)/软件定义网络(sdn)使能自动开发、测试、部署和更新5g中的nf，从而允许nf运营商快速向其客户发布新特征。目前有很多标准化规范和开源项目支持5g网络和网络切片部署和更新自动化。然而，由第三代合作伙伴计划(3gpp)和全球移动通信系统协会(gsma)所定义的已有nf安全保障方法仍然是基于静态安全要求定义和人工验证。因此，这样的nf安全保障方法不能适应5g中的nf开发和运营。此外，3gpp和gsma推荐了许多安全测试工具以支持nf测试和部署自动化。但这些工具只能促进nf安全测试自动化。在其他nf开发和运营阶段中的nf安全保障仍然需要人为干预，尤其是依赖于安全专家进行风险分析、定义安全要求、设计安全解决方案、开发测试用例、执行测试计划、分析安全报告并在需要时提供修复计划。这些工作难度大、耗时长且容易出问题。
5.因此，需要提供更有效的解决方案以在整个nf开发和运营生命周期期间实现nf安全保障自动化。


技术实现要素：

6.本公开将通过提出一种用于安全保障自动化的方法和装置来解决前述问题，以便在nf或mnf或服务的整个开发和运营生命周期期间实现安全保障自动化。当结合附图阅读以下针对特定实施例的描述时，还将理解本公开的实施例的其他特征和优势，其中这些附图以示例的方式示出了本公开的实施例的原理。
7.在本公开的第一方面，提供一种用于安全保障自动化的方法。该方法包括：基于nf的安全简档以及部署和运行环境，生成用于nf的安全要求；基于安全要求，生成用于nf的安全策略和安全测试规范，该安全策略定义安全功能和安全功能的配置，并且该安全测试规范定义至少一个安全测试；基于安全策略，部署nf和安全功能；用安全测试规范验证nf的安全合规性；以及响应于nf符合安全策略，激活nf。
8.在一些实施例中，生成安全要求可以包括：根据nf的安全简档和部署要求，确定原始安全要求；从原始安全要求中识别语义相同的安全要求和语义相似的安全要求；移除多
余的语义相同的安全要求；以及将语义相似的安全要求组合成组合安全要求，该组合安全要求具有最高安全度。
9.在一些实施例中，从原始安全要求中识别语义相同的安全要求和语义相似的安全要求可以包括：计算原始安全要求之间的语义相似度；将语义相似度大于第一阈值的安全要求识别为语义相同的安全要求；以及将语义相似度大于第二阈值的安全要求识别为语义相似的安全要求。
10.在一些实施例中，将语义相似的安全要求组合成组合安全要求可以包括：基于语义相似的安全要求的安全度，对语义相似的安全要求进行等级排序(rank)；选择具有最高安全度的语义相似的安全要求；以及移除其余的语义相似的安全要求。
11.在一些实施例中，安全要求的安全度可以由安全要求的粒度和安全要求的安全级别中的至少一个来表示。
12.在一些实施例中，生成安全要求可以进一步包括：基于预定义的安全要求基线，在所生成的安全要求中检查是否存在任何缺失的安全要求，该安全要求基线包括nf所需的默认安全要求；以及响应于存在缺失的安全要求，将缺失的安全要求添加到所生成的安全要求中。
13.在一些实施例中，安全简档可以包括以下中的一项或多项：硬件和软件技术和架构信息；功能；以及外部和内部接口。
14.在一些实施例中，部署和运行环境可以包括以下中的一项或多项：部署国家/地区；所应用的行业；部署模式；运行生态系统；以及由nf供应商、网络运营商或服务提供商提供的附加要求。
15.在一些实施例中，部署模式可以指示网络功能被部署为物理节点、虚拟化节点和混合节点之一。在一些实施例中，运行生态系统可以指示网络功能将在其中工作的通信网络是公共网络、专用网络和混合网络之一。
16.在一些实施例中，生成安全要求和安全测试规范可以是在智能模型中实现的。
17.在一些实施例中，安全测试可以包括测试用例、被用于执行测试用例的一个或多个测试工具、定义测试用例的调度的测试进度表、以及用于配置一个或多个测试工具的测试配置。
18.在一些实施例中，基于安全测试规范来验证nf的安全合规性可以包括：针对安全测试规范中的至少一个安全测试中的每个安全测试：根据测试配置，配置一个或多个测试工具；根据测试进度表，执行测试用例，以确定安全测试是否被通过；以及响应于所有至少一个安全测试都被通过，确定nf符合安全要求；响应于至少一个安全测试中的任何一个安全测试未被通过，确定nf不符合安全要求。
19.在一些实施例中，基于安全测试规范来验证nf的安全合规性可以进一步包括：如果nf不符合安全要求，则生成安全测试报告，该安全测试报告建议后续的动作。
20.在一些实施例中，该方法可以进一步包括：存储安全要求、安全策略和安全测试规范。
21.在一些实施例中，该方法可以进一步包括：在激活nf后，监视在工作中的nf的安全状态；以及生成安全监视报告，该安全监视报告指示所监视的安全状态，并且如果所监视的安全状态指示不安全状态，则建议后续的动作。
22.在一些实施例中，安全测试报告和安全监视报告可以基于用于nf的安全报告策略而生成。在一个实施例中，安全报告策略可以定义安全测试报告和安全监视报告的格式和内容。
23.在一些实施例中，该方法可以进一步包括：响应于以下中的一项或多项而更新安全要求：安全简档的变化；nf的部署和运行环境的变化；nf的安全状态的变化；以及更新请求。
24.在本公开的第二方面，提供了一种用于安全保障自动化的装置。该装置包括至少一个处理器和包括计算机可执行指令的至少一个存储器。该至少一个存储器和计算机可执行指令被配置为与至少一个处理器一起使该装置至少执行根据本公开的第一方面所述的方法的任一步骤。
25.在本公开的第三方面，提供了一种计算机可读存储介质，在其上体现有计算机可执行指令，该计算机可执行指令在计算机上被执行时使该计算机执行根据本公开的第一方面所述的方法的任一步骤。
26.基于如上所述的本公开的各个方面和实施例，可以提供一种新的解决方案以在整个nf开发和运营生命周期期间实现nf安全保障自动化。
附图说明
27.本公开的各种实施例的上述和其他方面、特征和益处在通过示例参考附图阅读以下的详细描述时将变得更加显而易见，在附图中，相同的参考标号或字母用于指定相似或等同的元件。附图的示出是为了便于更好地理解本公开的实施例，并且并非按比例绘制，其中：
28.图1是示出根据本公开的一些实施例的用于nf安全保障自动化的方法的流程图；
29.图2是示出根据本公开的一些实施例的生成安全要求的过程的流程图；
30.图3是示出生成安全要求的示例性实现的示意图；
31.图4是示出nf安全保障自动化的示例性实现的示意图；
32.图5是示出可以在其中实现根据本公开的一些实施例的用于nf安全保障自动化的方法的示例性网络和服务自动化框架的示意图；
33.图6是示出在如图5中所示的网络和服务自动化框架中用于nf安全保障的示例性工作流程的示意图；
34.图7是示出在如图5所示的网络和服务自动化框架中用于nf安全保障的另一示例性工作流程的示意图；
35.图8是示出根据本公开的一些实施例的用于nf安全保障自动化的装置的示意框图。
具体实施方式
36.在下文中，将参考说明性实施例描述本公开的原理。应当理解，所有这些实施例仅是为了使本领域技术人员更好地理解和进一步实践本发明而给出的，并不用于限制本公开的范围。例如，作为一个实施例的一部分而示出或描述的特征可以与另一实施例一起使用以产生又一实施例。为了清楚起见，本说明书中并未描述实际实现的所有特征。
37.在说明书中，对“一个实施例”、“实施例”、“示例性实施例”等的提及指示所描述的实施例可以包括特定的特征、结构或特性，但并非每个实施例都包括特定的特征、结构或特性。此外，这样的短语并非指示相同的实施例。此外，当结合实施例描述特定的特征、结构或特性时，可以认为本领域技术人员能够结合其他实施例来影响这种特征、结构或特性，无论这些其他实施例是否明确地被描述。
38.为了说明的目的，将在5g网络的上下文中描述本公开的若干实施例。然而，本领域技术人员将理解，本公开的若干实施例的概念和原理也可以应用于其他类型的通信网络。
39.如在本技术中所使用的，术语“电路”可以是指以下中的一个或多个或全部：
40.(a)仅硬件电路实现(诸如仅模拟和/或数字电路的实现)；
41.(b)硬件电路和软件的组合，诸如(如果适用)：(i)模拟和/或数字硬件电路与软件/固件的组合；以及(ii)具有软件的硬件处理器的任何部分(包括数字信号处理器、软件和存储器，其一起工作以使诸如移动电话或服务器之类的装置执行各种功能)；以及
42.(c)硬件电路和/或处理器，诸如微处理器或微处理器的一部分，其需要软件(例如，固件)来操作，但操作不需要软件时可以不存在软件。
[0043]“电路”的这一定义适用于在本技术中该术语的全部使用，包括在任何权利要求中的使用。作为另一个示例，如在本技术中使用的，术语“电路”还覆盖仅硬件电路或处理器(或多个处理器)或硬件电路或处理器的一部分及其伴随的软件和/或固件的实现。术语“电路”还覆盖(例如且如果适用于具体要求的元件)用于移动设备的基带集成电路或处理器集成电路、或者服务器、蜂窝网络设备或其他计算或网络设备中的类似集成电路。
[0044]
如本文所使用的，单数形式的“一”、“一个”和“该”也旨在包括复数形式，除非上下文另外明确指出。术语“包括”及其变体应被理解为开放术语，表示“包括但不限于”。术语“基于”应被理解为“至少部分地基于”。术语“一个实施例”和“实施例”应被理解为“至少一个实施例”。术语“另一实施例”应被理解为“至少一个其他实施例”。下面可以包括其他定义，无论是显式的还是隐式的。
[0045]
如上所述，当前的nf安全保障方法是基于静态安全要求并且需要人工干预。在整个nf开发和运营生命周期期间没有用于使nf安全保障自动化的解决方案。随着不同国家/地区和行业对nf安全要求的需求不断增长、灵活且自动化的nf安全开发和更新过程以及虚拟化和可编程技术的出现、以及未来网络的开放性，需要一种新的用于在nf开发和运营期间实现nf安全保障自动化的方法。
[0046]
根据一些示例性实施例，本公开提供了一种用于在整个nf开发和运营生命周期期间使能nf安全保障自动化的解决方案。该解决方案可以被应用于任何类型的通信网络，例如，5g网络。
[0047]
图1是示出根据本公开的实施例的用于nf的安全保障自动化的方法100的流程图。图1中所示的方法100可以由计算设备或服务器来执行，这将在后面进行描述。
[0048]
如图1中所示，计算设备基于nf的安全简档以及部署和运行环境来生成用于nf的安全要求，如框101中所示。在一些实施例中，nf的安全简档可以包括与nf的特性相关的信息，例如，nf硬件和软件技术和架构信息、功能、外部和内部接口。nf硬件和软件技术和架构信息可以指示被用于nf的硬件和软件技术以及nf的架构。功能可以指定由nf提供的功能。外部和内部接口可以指示nf的外部和内部接口及其配置。根据nf的安全简档，可以确定相
关的3gpp或gsma规范或其他涉及nf安全的规范。
[0049]
在一些实施例中，nf的部署和运行环境可以包括与nf的部署和运行相关的信息，例如，部署国家/地区、所应用的行业、部署模式、运行生态系统、以及由nf供应商、网络运营商或服务提供商提供的附加要求。部署国家/地区可以指示将要被部署的目标国家/地区，从而可以确定部署国家/地区中的安全法律和法规。例如，如果部署国家/地区是欧洲，则相关的安全法律和法规至少包括通用数据保护条例(gdpr)。如果部署国家/地区是中国，则相关的安全法律和法规至少包括中国网络安全法(csl)。所应用的行业可以指示将要被应用的目标行业，从而可以确定与安全相关的行业特定标准和法规。例如，行业特定标准可以包括但不限于通用标准(cc)和国际标准化组织(iso)标准。可选地，可以确定针对相关法律和法规以及行业特定标准的安全合规性级别。例如，可以确定cc eal+4或四级的信息安全等级保护。行业特定法规例如可以包括通信和电子商务行业中的联邦信息安全管理法案(fisma)、金融行业中的支付卡行业数据安全标准(pci-dss)、以及医疗保健行业中的健康保险流通和责任法案(hippa)。部署模式可以指示nf被部署为物理节点、虚拟化节点(例如，虚拟机(vm))、或混合节点等。运行生态系统可以指示nf将在其中工作的通信网络。通信网络可以是公共网络、专用网络、或混合网络。由nf供应商、网络运营商或服务提供商提供的附加要求可以指示来自nf供应商、网络运营商和/或服务提供商的特殊要求。在本文中，附加要求也可以被称为“组织策略”。
[0050]
下面将参考图2和图3对生成安全要求进行详细描述。图2示出了图示生成安全要求(如框101中所示)的过程的流程图，而图3示出了图示生成安全要求的示例性实现的示意图。在图3中，安全要求的生成可以在智能模型中实现。智能模型可以是基于人工智能(ai)或机器学习(ml)技术，例如，自然语言处理(nlp)技术。智能模型可以包括学习阶段和预测阶段。在学习阶段期间，智能模型可以通过将ai/ml工具(例如，自然语言处理(nlp))应用于安全法律和法规、行业特定标准和法规等来学习安全要求的内部表示。学习阶段可以是在线或离线的。在学习阶段之后，智能模型可能够进行预测，即，识别语义相同或语义相似的安全要求。
[0051]
如图2中所示，在框201中，计算设备可以根据nf的安全简档以及部署和运行环境来确定原始安全要求。在如图3中所示的示例性实现中，nf的安全简档、部署国家/地区、所应用的行业、部署模式、以及可选的组织策略被输入到智能模型中，进而可以基于这些输入，借助于智能模型来确定原始安全要求。
[0052]
然后，在框203中，计算设备可以从原始安全要求中识别语义相同的安全要求和语义相似的安全要求。在一些实施例中，可以计算原始安全要求之间的语义相似度。在一个实施例中，可以使用某一ml工具来计算语义相似度，例如，gensim、simhash等。在另一个实施例中，可以基于安全要求的内部表示(例如，段落向量)的距离来计算两个安全要求之间的语义相似度。在这种情况下，语义相似度可以被表示为安全要求的段落向量之间的距离。进而，语义相似度大于第一阈值的安全要求被识别为语义相同的安全要求，语义相似度大于第二阈值的安全要求被识别为语义相似的安全要求。第一阈值可以高于第二阈值。
[0053]
进而，在框205中，计算设备移除多余的语义相同的安全要求，这可以被认为是重复数据删除操作。因此，在最终的安全要求中将会只保留语义相同的安全要求之一。
[0054]
在框207中，计算设备将语义相似的安全要求组合成组合安全要求，并且该组合安
全要求具有最高安全度。在一些实施例中，安全要求的安全度可以由安全要求的粒度和安全要求的安全级别中的至少一个来表示。在一些实施例中，可以基于语义相似的安全要求的安全度来对语义相似的安全要求进行等级排序。进而，可以选择具有最高安全度的语义相似的安全要求，作为组合安全要求。可以删除其余的语义相似的安全要求。
[0055]
在一些实施例中，安全度可以由安全要求的粒度来表示。例如，一个安全要求指示使用国家商用密码算法，而另一个安全要求指示使用对称密码算法。那么，前者的粒度粗，而后者的粒度细。因此，将选择后者作为组合安全要求。在一些实施例中，安全度可以由安全要求的安全级别来表示。例如，三个安全要求分别指示使用16比特、32比特和64比特的密码。在这种情况下，安全级别可以由密码的长度来表示。进而，指示使用64比特密码的安全要求的安全级别最高，因此，选择指示使用64比特密码的安全要求作为组合安全要求。
[0056]
通过如上所描述的操作，计算设备可以获得最终的安全要求，这些最终的安全要求是在重复数据删除操作和组合操作之后，在原始安全要求中仍保留的安全要求。
[0057]
此外，在一些实施例中，可以针对nf预先定义安全要求基线。安全要求基线可以被用于检查针对nf所生成的安全要求是否完整。安全要求基线可以包括nf所需的默认安全要求。在图3中，计算设备可以通过将所生成的安全要求与安全要求基线相比较来基于安全要求基线检查所生成的安全要求中是否存在任何缺失的安全要求。如果存在缺失的安全要求，则缺失的安全要求将被添加到所生成的安全要求中，如图2的框209中所示。
[0058]
现在返回参考图1，如框103中所示，计算设备基于在框101中生成的安全要求来生成用于nf的安全策略和安全测试规范。在一些实施例中，安全策略可以定义一个或多个安全功能以及安全功能的配置。安全功能的配置可以包括用于安全功能的一个或多个配置规则。安全测试规范可以定义至少一个安全测试以用于安全合规性验证。在一些实施例中，安全测试规范的生成也可以如上所述地在智能模型中实现。在一些实施例中，安全测试可以包括测试用例、被用于执行测试用例的一个或多个测试工具、定义测试用例的调度的测试进度表、以及用于配置一个或多个测试工具的测试配置。
[0059]
进而，在框105中，计算设备可以基于安全策略来部署nf和安全功能。如上所述，安全策略定义了安全功能和安全功能的配置。计算设备可以根据安全策略来部署和配置nf以及用于保护nf的安全功能。
[0060]
然后，在框107中，计算设备用安全测试规范验证nf的安全合规性。在一些实施例中，通过执行在安全测试规范中定义的至少一个安全测试来执行验证。
[0061]
在一些实施例中，在验证时，针对至少一个安全测试中的每个安全测试，计算设备可以根据测试配置来配置一个或多个测试工具。进而，计算设备可以根据测试进度表来执行测试用例，以确定安全测试是否被通过。如果至少一个安全测试中的所有安全测试都被通过，则确定nf符合安全策略。如果至少一个安全测试中的任何一个安全测试未被通过，则确定nf不符合安全策略。
[0062]
此外，在一些实施例中，可以生成安全测试报告。安全测试报告可以指示nf是安全合规的还是非安全合规的，并且可选地，如果nf不符合安全策略，则建议后续的动作。例如，后续的动作可以是终止nf，或者更新用于nf的安全功能的安全配置。在一些实施例中，可以基于用于nf的安全报告策略来生成安全测试报告。在一个实施例中，安全报告策略可以定义安全测试报告的格式和内容，并且可以基于在框101中生成的安全要求而生成。进一步
地，安全报告策略可以指示安全测试报告的接收方。
[0063]
在框109中，如果nf符合安全要求，则计算设备激活nf并且nf处于工作状态中。
[0064]
此外，在一些实施例中，计算设备可以将针对nf而生成的安全要求、安全策略和安全测试规范存储在例如数据库中以供后续使用，例如，nf的部署、以及安全合规性的验证。
[0065]
此外，在一些实施例中，在nf被激活后，计算设备可以定期监视nf的安全状态。在一些实施例中，可以通过基于安全策略检查nf的安全合规性来监视安全状态。安全状态可以包括安全状态和不安全状态。进而，计算设备可以生成安全监视报告。在一些实施例中，安全监视报告可以指示所监视的安全状态，并且可选地，如果所监视的安全状态是不安全状态，则建议后续的动作。后续的动作例如可以是终止nf，或者触发安全要求的更新。在一些实施例中，可以基于安全报告策略来生成安全监视报告。安全报告策略可以基于在框101中生成的安全要求来定义安全监视报告的格式和内容。安全报告策略还可以指示安全监视报告的接收方。
[0066]
另外，在一些实施例中，计算设备可以基于在框101中生成的安全要求和包括安全测试报告和安全监视报告的安全报告来生成用于nf的迁移计划。
[0067]
此外，在一些实施例中，计算设备可以更新安全要求。例如，如果nf的安全简档发生变化，或者nf的部署和运行环境发生变化，或者nf的安全状态发生变化，则计算设备可以基于nf的变化的安全简档或变化的部署和运行环境或变化的安全状态来更新/重新生成安全要求。相应地，安全策略、安全测试规范、安全报告策略和迁移计划将基于所更新/重新生成的安全要求而进行更新。更新/重新生成过程类似于如图1、2和3中所示的安全要求的生成。
[0068]
虽然以上所描述的方法是针对nf的安全保障自动化来描述的，但需要指出，安全保障自动化是网络和服务自动化的一部分，因此上述方法可以被扩展到网络和服务的开发和运营。本领域技术人员将理解，上述安全保障自动化方法可以被应用于功能(例如，网络功能或管理功能)和服务的其他功能保障和非功能保障(例如，执行保障)，以便促进端到端(e2e)服务自动化。
[0069]
图4是示出安全保障自动化的示例性实现的示意图。如图4中所示，安全要求的生成有五个输入。它们是安全简档、部署国家/地区、所应用的行业、部署模式、以及可选的组织策略。在生成安全要求后，基于所生成的安全要求，生成安全策略和安全测试规范。安全策略可以定义一个或多个安全功能以及安全功能的配置。安全测试规范可以定义至少一个安全测试。每个安全测试可以包括测试用例、用于测试用例的一个或多个测试工具、测试进度表、以及用于测试工具的测试配置。进而，可以根据安全策略和nf包，部署nf和安全功能，该nf包包括nf部署相关信息，例如，软件包、部署模式。进而，可以通过执行安全测试规范中的安全测试来验证nf的安全合规性，并且可以生成安全测试报告。当nf被验证为符合安全策略时，nf被激活以进行工作。在nf处于工作状态期间，可以针对安全合规性持续地对nf进行监视，并且可以生成安全监视报告。
[0070]
从以上描述可以看出，根据本发明的实施例的方法可以在整个nf开发和运营生命周期期间实现nf的安全保障自动化。它有助于简化nf开发者、验证者和管理员的工作，统一nf安全鉴定和认证过程，同时即使在不用地区针对不同行业部署nf也仍然能保证nf的安全性。
[0071]
图5是示出可以在其中实现根据本公开的一些实施例的用于安全保障自动化的方法的示例性网络和服务自动化框架的示意图。示例性网络和服务自动化框架可以是基于已有的运营和管理框架。在图5中，运营和管理框架是基于欧洲电信标准协会(etsi)零接触网络和服务管理(zsm)架构。与安全保障自动化相关的功能块和接口被添加到zsm架构中。
[0072]
如图5中所示，该框架至少包括智能服务提供方(intelligence service provider)、编排服务提供方(orchestration service provider)、控制服务提供方(control service provider)、策略服务提供方(policy service provider)、测试服务提供方(test service provider)、分析服务提供方(analytics service provider)、以及数据服务提供方(data service provider)。
[0073]
安全要求功能可以被体现在智能服务提供方中。安全要求功能可以提供用于针对如上所述的特定nf或管理功能(mnf)部署自动地且动态地生成和更新安全要求的服务。安全要求功能可以触发策略服务提供方生成/更新安全策略。安全要求功能还可以触发编排服务提供方基于安全策略来执行nf或mnf的部署。
[0074]
安全测试规范功能也可以被体现在智能服务提供方中。安全测试规范功能可以提供用于针对如上所述的特定nf或mnf部署自动地生成和更新安全测试规范的服务。安全测试规范功能可以触发编排服务提供方执行安全测试以进行安全合规性验证。
[0075]
可以通过添加以下特征来增强编排服务提供方：基于安全策略来部署nf或mnf，检查现有资源是否可以满足安全要求，如果检查通过则触发nf或mnf的部署，触发用安全测试规范验证nf或mnf的安全合规性。可替代地，上述特征可以被体现在用于专门的安全编排的新功能块中。
[0076]
可以通过添加以下特征来增强控制服务提供方：控制和管理nf或mnf的部署，以及根据如上所述的安全策略来部署和配置nf或mnf。可替代地，上述特征可以被体现在用于专门的安全部署管理的新功能块中。
[0077]
可以通过添加以下特征来增强策略服务提供方：基于如上所述的安全要求来生成/更新/删除安全策略。它还提供了用于解决安全策略与其他策略之间的冲突的特征。可替代地，上述特征可以被体现在用于专门的安全策略管理的新功能块中。
[0078]
可以通过添加以下特征来增强测试服务提供方：在激活nf或mnf之前，用安全测试规范来验证安全合规性，如上所述。可替代地，上述特征可以被体现在用于专门的安全测试的新功能块中。在这种情况下，新的安全测试功能可以针对具有附加特定安全测试方法的一般测试用例，重复使用自动测试框架。安全测试可以包括静态安全测试、动态安全测试、交互式安全测试、软件合规性分析、以及渗透性测试(penetration test)。
[0079]
可以通过添加以下特征来增强数据服务提供方：支持安全数据(例如，安全要求、安全策略、安全测试规范等)存储。由于安全数据的敏感性，因此，可以考虑更严格的安全访问控制、隔离和保护。
[0080]
接下来描述如图5中所示的示例性网络和服务自动化框架中的一些新的/受影响的接口及其使用如下。
[0081]
i1接口：涉及由策略服务提供方所提供的安全相关服务，并且可以提供到安全要求功能、编排服务提供方、控制服务提供方和测试服务提供方的接口。
[0082]
i2接口：涉及由编排服务提供方所提供的安全相关服务，并且可以提供到智能服
务提供方的接口。
[0083]
i3接口：涉及由控制服务提供方所提供的安全相关服务，并且可以提供到编排服务提供方的接口。
[0084]
i4接口：涉及安全测试规范功能，并且可以提供到安全要求功能的接口。
[0085]
i5接口：涉及由测试服务提供方所提供的安全相关服务，并且可以提供到智能服务提供方和编排服务提供方的接口。
[0086]
i6接口：涉及安全要求功能，并且可以提供到分析服务提供方和编排服务提供方的接口。
[0087]
i7接口：涉及由数据服务提供方所提供的安全相关服务，并且可以提供到安全测试规范功能、编排服务提供方、控制服务提供方、测试服务提供方、分析服务提供方和策略服务提供方的接口。
[0088]
图6是示出在如图5中所示的网络和服务自动化框架中用于nf安全保障的示例性工作流程的示意图。该工作流被描述如下。
[0089]
1.管理员/用户向编排服务提供方orservprov发送用于部署目标nf或mnf的请求。
[0090]
2.编排服务提供方orservprov向安全要求功能secreqfun发送用于生成用于目标nf或mnf的相关安全要求的请求。
[0091]
3.安全要求功能secreqfun根据nf或mnf的安全简档以及部署和运行环境，用al/ml技术自动地生成安全要求。
[0092]
4.安全要求功能secreqfun要求策略服务提供方polservprov生成用于目标nf或mnf的安全策略。
[0093]
5.策略服务提供方polservprov基于安全要求，生成安全策略。
[0094]
6.安全要求功能secreqfun向安全测试规范功能sectstspefun请求生成用于目标nf或mnf的安全测试规范。可替代地，生成安全测试规范可以由编排服务提供方orservprov或由其他管理功能触发。
[0095]
7.安全测试规范功能sectstspefun基于安全要求，用al/ml技术生成安全测试规范，并命令(call)数据服务提供方以将安全测试规范存储在数据库中。
[0096]
8.安全要求功能secreqfun向编排服务提供方orservprov做出响应即已生成安全要求和安全测试规范。
[0097]
9.编排服务提供方orservprov触发控制服务提供方conservprov基于安全策略，部署目标nf或mnf。
[0098]
10.控制服务提供方conservprov从策略服务提供方polservprov获得安全策略。
[0099]
11.控制服务提供方conservprov针对目标nf或mnf部署安全功能并配置安全措施(security measures)。
[0100]
12.控制服务提供方conservprov向编排服务提供方orservprov做出响应即目标nf或mnf已被部署。
[0101]
13.编排服务提供方orservprov触发测试服务提供方tstservprov验证目标nf或mnf的安全合规性。
[0102]
14.根据从数据服务提供方获取的安全测试规范，测试服务提供方tstservprov基于安全测试规范，执行安全测试。
[0103]
15.测试服务提供方tstservprov向编排服务提供方orservprov报告安全测试结果。
[0104]
16.根据安全测试结果，如果所有安全测试都通过，则编排服务提供方orservprov触发控制服务提供方conservprov激活目标nf或mnf。否则，编排服务提供方orservprov触发安全功能的重新配置或目标nf或mnf的终止。
[0105]
17.在目标nf或mnf被激活后，分析服务提供方anaservprov持续地监视目标nf或mnf的安全状态。
[0106]
18.分析服务提供方anaservprov触发安全要求功能secreqfun更新/重新生成/优化安全要求，以便实现闭环自动化的运行安全保障。
[0107]
图7是示出在如图5中所示的网络和服务自动化框架中用于nf安全保障的另一示例性工作流程的示意图。在图7中，智能服务提供方而非编排服务提供方驱动nf或mnf安全保障自动化。工作流程被描述如下。
[0108]
1.管理员/用户向智能服务提供方intservprov发送用于部署目标nf或mnf的请求。
[0109]
2.智能服务提供方intservprov向安全要求功能secreqfun发送用于生成用于目标nf或mnf的相关安全要求的请求。
[0110]
3.安全要求功能secreqfun根据nf或mnf的安全简档以及部署和运行环境，用al/ml技术自动地生成安全要求。
[0111]
4.安全要求功能secreqfun要求策略服务提供方polservprov生成用于目标nf或mnf的安全策略。
[0112]
5.策略服务提供方polservprov基于安全要求，生成安全策略。
[0113]
6.安全要求功能secreqfun向安全测试规范功能sectstspefun请求生成用于目标nf或mnf的安全测试规范。可替代地，生成安全测试规范可以由智能服务提供方intservprov或由其他管理功能触发。
[0114]
7.安全测试规范功能sectstspefun基于安全要求，用al/ml技术生成安全测试规范，并命令数据服务提供方以将安全测试规范存储在数据库中。
[0115]
8.安全要求功能secreqfun向智能服务提供方intservprov做出响应即已生成安全要求和安全测试规范。
[0116]
9.智能服务提供方intservprov触发编排服务提供方orservprov基于安全策略，部署目标nf或mnf。
[0117]
10.编排服务提供方orservprov从策略服务提供方polservprov获得安全策略。
[0118]
11.编排服务提供方orservprov触发控制服务提供方conservprov针对目标nf或mnf部署安全功能并配置安全措施。
[0119]
12.编排服务提供方orservprov向智能服务提供方intservprov做出响应即目标nf或mnf已被部署。
[0120]
13.智能服务提供方intservprov触发测试服务提供方tstservprov验证目标nf或mnf的安全合规性。
[0121]
14.根据从数据服务提供方获取的安全测试规范，测试服务提供方tstservprov基于安全测试规范，执行安全测试。
[0122]
15.测试服务提供方tstservprov向智能服务提供方intservprov报告安全测试结果。
[0123]
16.根据安全测试结果，如果所有安全测试都通过，则智能服务提供方intservprov触发编排服务提供方orservprov激活目标nf或mnf。否则，智能服务提供方intservprov触发安全功能的重新配置或目标nf或mnf的终止。
[0124]
17.在目标nf或mnf被激活后，分析服务提供方anaservprov持续地监视目标nf或mnf的安全状态。
[0125]
18.分析服务提供方anaservprov触发安全要求功能secreqfun更新/重新生成/优化安全要求，以便实现闭环自动化的运行安全保障。
[0126]
现在参考图8，其示出了根据本公开的一些实施例的装置800的简化框图。该装置可以在诸如5g系统之类的通信系统中被实现。装置800可操作以执行参考图1、2、3和/或4描述的方法、以及可能的任何其他过程或方法。还应当理解，上述任一方法未必完全由装置800来执行。上述方法的一些步骤可以由一个或多个其他实体来执行。
[0127]
装置800可以包括至少一个处理器801(诸如数据处理器(dp))以及被耦接到处理器801的至少一个存储器(mem)802。mem 802存储程序(prog)803。prog 803可以包括指令，这些指令在相关联的处理器801上被执行时使装置800能够根据本公开的实施例来操作，例如执行上述方法。至少一个处理器801和至少一个mem 802的组合可以形成适于实现本公开的各种实施例的处理部件。
[0128]
本公开的各种实施例可以由可由处理器801执行的计算机程序、电路、软件、固件、硬件或它们的组合来实现。处理器801可以具有适合于本地技术环境的任何类型，并且可以包括作为非限制性示例的通用计算机、专用计算机、微处理器、数字信号处理器dsp、以及基于多核处理器架构的处理器中的一个或多个。
[0129]
mem 802可以具有适合于本地技术环境的任何类型，并且可以使用任何合适的数据存储技术来实现，诸如作为非限制性示例的基于半导体的存储设备、磁存储设备和系统、光学存储设备和系统、固定存储器、以及可移动存储器。
[0130]
另外，本公开还可以提供一种包含上述计算机程序的载体，其中，该载体是电信号、光信号、无线电信号或计算机可读存储介质之一。计算机可读存储介质例如可以是光盘或电子存储设备(如ram(随机存取存储器)、rom(只读存储器))、闪存、磁带、cd-rom、dvd、蓝光光盘等。
[0131]
本文描述的技术可以通过各种手段来实现，以使得实现通过实施例描述的对应的装置的一个或多个功能的装置不仅包括现有技术手段，而且还包括用于实现通过实施例描述的对应的装置的一个或多个功能的手段，可以包括用于每个单独的功能的单独的部件，或者部件可以被配置为执行两个或更多个功能。例如，这些技术可以采用硬件(一个或多个装置)、固件(一个或多个装置)、电路、软件(一个或多个模块)、或它们的组合来实现。对于固件、电路或软件，可以通过执行本文描述的功能的模块(例如，过程、功能等)来实现。
[0132]
在上面已经参考方法和装置的框图和流程图描述了本文的实施例。应当理解，框图和流程图的每个框以及框图和流程图的各个框的组合可以通过包括计算机程序指令的各种手段来实现。这些计算机程序指令可以被加载到通用计算机、专用计算机或其他可编程数据处理装置上以产生机器，以使得在计算机或其他可编程数据处理装置上执行的指令
创建用于实现流程图中的一个或多个框中的指定功能的部件。
[0133]
此外，虽然以特定顺序描绘了一些操作，但这不应被理解为要求以所示的特定顺序或以连续的顺序执行这样的操作，或者需要执行所有示出的操作以实现期望的结果。在某些情况下，多任务和并行处理可以是有利的。同样地，虽然在以上讨论中包含若干特定的实现细节，但是这些不应被解释为对本文所述主题的范围的限制，而应被解释为特定于特定实施例的特征的描述。在单独的实施例的上下文中描述的某些特征也可以在单个实施例中组合地实现。相反，在单个实施例的上下文中描述的各种特征也可以单独地或以任何合适的子组合在多个实施例中实现。
[0134]
对于本领域技术人员而言显而易见地，随着技术的进步，可以以各种方式来实现本发明的概念。上述实施例是为了描述而非限制本公开而给出的，将理解，如本领域技术人员容易理解地，可以在不背离本公开的精神和范围的情况下进行各种修改和变型。这样的修改和变型被认为落入本公开和所附权利要求的范围内。本公开的保护范围由所附权利要求限定。