1.示例和非限制性实施例一般涉及安全、隐私和数字权限管理,更具体地,涉及用于网络切片隔离管理的方法。
背景技术:
::2.已知在无线通信网络中提供资源。技术实现要素:3.以下概述仅旨在作为示例。该概述并非旨在限制权利要求的范围。4.在一方面,一种方法,包括:针对至少一个服务指定或创建一个或多个隔离组,其中,在隔离组中指定的服务的资源在具有或没有隔离的情况下被共享;其中,在每个层和每个域中针对至少一个资源定义隔离组,以聚集该至少一个服务的该至少一个资源;针对一个或多个隔离组中的每个隔离组链接隔离配置文件,其中,该隔离配置文件包括用于保护该一个或多个隔离组的该至少一个资源的至少一个策略,并且其中,该隔离配置文件至少包括用于定义隔离类型的隔离级别;以及基于被链接到该一个或多个隔离组的该隔离配置文件,向该至少一个服务分配或重新分配该至少一个资源。5.在另一方面,一种装置,包括:至少一个处理器;以及包括计算机程序代码的至少一个非暂时性存储器;其中,该至少一个存储器和该计算机程序代码被配置为与该至少一个处理器一起使该装置至少执行:针对至少一个服务指定或创建一个或多个隔离组,其中,在隔离组中指定的服务的资源在具有或没有隔离的情况下被共享;其中,在每个层和每个域中针对至少一个资源定义隔离组,以聚集该至少一个服务的该至少一个资源;针对一个或多个隔离组中的每个隔离组链接隔离配置文件,其中,该隔离配置文件包括用于保护该一个或多个隔离组的该至少一个资源的至少一个策略,并且其中,该隔离配置文件至少包括用于定义隔离类型的隔离级别;以及基于被链接到该一个或多个隔离组的该隔离配置文件,向该至少一个服务分配或重新分配该至少一个资源。6.在另一方面,提供了一种机器可读的示例性非暂时性程序存储设备,其有形地体现可由该机器执行以执行操作的指令程序,这些操作包括:针对至少一个服务指定或创建一个或多个隔离组,其中,在隔离组中指定的服务的资源在具有或没有隔离的情况下被共享;其中,在每个层和每个域中针对至少一个资源定义隔离组,以聚集该至少一个服务的该至少一个资源;针对一个或多个隔离组中的每个隔离组链接隔离配置文件,其中,该隔离配置文件包括用于保护该一个或多个隔离组的该至少一个资源的至少一个策略,并且其中,该隔离配置文件至少包括用于定义隔离类型的隔离级别;以及基于被链接到该一个或多个隔离组的该隔离配置文件,向该至少一个服务分配或重新分配该至少一个资源。7.在另一方面,一种装置,包括:用于针对至少一个服务指定或创建一个或多个隔离组的部件,其中,在隔离组中指定的服务的资源在具有或没有隔离的情况下被共享;其中,在每个层和每个域中针对至少一个资源定义隔离组,以聚集该至少一个服务的该至少一个资源;用于针对一个或多个隔离组中的每个隔离组链接隔离配置文件的部件,其中,该隔离配置文件包括用于保护该一个或多个隔离组的该至少一个资源的至少一个策略,并且其中,该隔离配置文件至少包括用于定义隔离类型的隔离级别;以及用于基于被链接到该一个或多个隔离组的该隔离配置文件,向该至少一个服务分配或重新分配该至少一个资源的部件。附图说明8.结合附图在以下描述中说明前述各方面和其他特征,其中:9.图1是可以在硬件中实现的被配置为基于本文描述的示例来实现网络切片隔离管理的示例设备。10.图2示出支持资源隔离的类图。11.图3示出针对两个租户的网络切片资源的隔离组的示例。12.图4示出针对两个租户的网络切片资源的隔离组的另一个示例。13.图5示出针对两个租户的网络切片资源的隔离组的另一个示例。14.图6a示出隔离组的创建和验证的工作流。15.图6b示出描述具有隔离组的资源的(重新)分配的工作流。16.图7是支持资源分配的网络切片类图。17.图8示出e2e域中的网络切片隔离的示例工作流。18.图9示出ran域中的网络切片隔离的示例工作流。19.图10示出cn域中的网络切片隔离的示例工作流。20.图11是基于本文描述的示例来实现网络切片隔离管理的示例方法。具体实施方式21.可以在说明书和/或附图中找到的以下首字母缩略词和缩写词被定义如下:22.3gpp第三代合作伙伴计划23.5g第五代24.5gc5g核心网络25.ac接入网络26.cn核心网络27.cs电路切换28.dn区分名称(distinguishname)29.e2e端到端30.embb增强型移动宽带31.etsi欧洲电信标准协会32.f假33.fm故障管理34.gnb(或gnodeb)用于5g/nr的基站,即,向ue提供nr用户面和控制面协议终止并经由ng接口被连接到5gc的节点35.gsm全球移动通信系统36.gsmagsm协会37.gsmanggsma网络组38.gst通用切片模板39.id标识符40.i/g接口41.ig隔离组42.ioc信息对象类43.iot物联网44.m强制45.mf被管理功能46.mfpran被管理功能提供商无线电接入网络47.mfc被管理功能消费者48.mfi被管理功能实例49.mfp被管理功能提供商/生产商50.mfpcnmfp核心网络51.miot大规模物联网52.mno移动网络运营商53.mns管理服务54.moi被管理对象实例55.nf网络功能56.nfvo网络功能虚拟化编排器57.ng或ng新一代58.nr新无线电59.ns网络切片60.nsc网络服务消费者61.nsi网络切片实例62.nsp网络服务提供商63.nss网络切片子网64.nssc网络切片子网消费者65.nsscn网络切片子网核心网络66.nssi网络切片子网实例67.nssp网络切片子网提供商/生产商68.nsspcn网络切片子网提供商/生产商核心网络69.nsspran网络切片子网提供商/生产商无线电接入网络70.nssptn网络切片子网提供商/生产商传输网络71.nssran网络切片子网无线电接入网络72.nsstn网络切片子网传输网络73.nw网络74.o可选75.pm性能管理76.pnf物理网络功能77.pol策略78.ran无线电接入网络79.rls行级别安全性80.sa2服务架构——工作组281.sa5服务架构——工作组582.sd切片差分器83.sla服务水平协议84.s-nssai单网络切片选择辅助信息85.ssl安全套接层86.sst切片/服务类型87.t真88.tls传输层安全性89.tn传输网络90.ts技术规范91.ue用户设备(例如,无线设备,通常是移动设备)92.uml统一建模语言93.urllc超可靠低延迟通信94.v对(vesa2rsion)95.vlan虚拟局域网96.vim虚拟基础架构管理器97.vm虚拟机98.vnf虚拟网络功能99.vnfmvnf管理器100.vpn虚拟专用网络101.zsm零接触网络和服务管理102.本文描述的是涉及e2e网络切片和服务管理架构的示例。103.图1是可以在硬件中实现的被配置为基于本文描述的示例来实现网络切片隔离管理的示例装置100。装置100包括处理器102以及包括计算机程序代码105的至少一个非暂时性存储器104,其中,至少一个存储器104和计算机程序代码105被配置为与至少一个处理器102一起使该装置基于本文描述的示例来实现网络切片隔离管理106。装置100可选地包括显示器108,显示器108可用于显示系统的各方面或者提供输入和输出(i/o)。装置100可选地包括一个或多个网络(nw)接口(i/f)110。nwi/f110可以是有线和/或无线的并且利用任何通信技术通过因特网/其他网络进行通信。nwi/f110可以包括一个或多个发射机和一个或多个接收机。104.装置100可以被配置为实现网络切片管理功能/提供商(nsmf/nsp)、或网络切片子网管理功能/提供商(nssmf/nssp)、或网络功能管理功能/被管理功能提供商(nfmf/mfp)的功能。管理功能通常是独立的设备,但在一些有限的情况下,管理功能可以是网络单元的一部分。105.网络切片已在3gppsa2和sa5(参见3gppts23.501、ts28.530和ts28.531)中被规定为规范性内容。在3gppsa2或sa5上下文中的网络切片是在e2e切片或服务层/域上,而网络切片子网是在另一个特定层/域上。106.在3gppts28.530v16.1.0(2019-12)中,第4.1.9节描述了租户信息概念,表明租户信息的目的是支持5g网络管理中的多租户环境,并进一步表明3gpp管理系统可以使用租户信息将通信服务与租户相关联,并控制租户的管理能力访问。107.作为5g网络的关键技术,网络切片使移动网络运营商(mno)能够更有效地且高效地向其企业或垂直消费者提供网络资源。108.弱的网络切片隔离可损害整个5g网络的安全性。例如,在网络切片内管理的敏感数据可能会通过副信道攻击(sidechannelattacks)被暴露给在其他网络切片服务中运行的应用。这种风险甚至更高,因为隔离被分布在底层5g安全架构的每个安全域上。因此,租户/切片隔离对于确保可靠且有保障的服务保证非常重要,并且对于基于网络切片技术的5g网络的商业部署至关重要。109.切片的隔离包括多个域(例如,ran、核心、传输等)中的管理资源(例如,数据、功能或服务)和被管理资源(例如,数据、网络功能、基础架构资源等)的隔离。110.切片的资源可以专用于该切片或者与其他切片共享。切片隔离挑战是切片之间的资源的隔离。111.在多个层(e2e切片/服务、切片子网、被管理功能等)进行隔离以确保网络切片的预期安全级别对于移动网络运营商(mno)在商业上部署5g网络至关重要。gsm协会(gsma)在通用切片模板(gst)中定义了以不同级别隔离网络切片的资源的要求(参见gsmang.116——通用网络切片模板)。一些运营商还在3gpp中提出了用于网络切片之间的资源隔离的要求。112.然而,到目前为止,还没有已知的中央统一管理/编排解决方案以隔离或分离跨多个域(例如,e2e服务/切片管理域、核心网络、无线电接入网络(ran)、传输网络、虚拟基础架构管理域、基础架构(包括pnf、vnf、虚拟基础架构等域))的具有不同隔离级别的网络切片的资源。113.此外,即使网络切片可以基于公共特征(characters)和特性(characteristics)(例如,相同的租户,相同的安全性要求等)而被分组,在网络切片实例部署和运行时期间也尚未考虑网络切片组之间的隔离。114.本文描述的示例引入了一种新方法,用于在部署和运行时期间,尤其是在管理平面时,跨多个域/层将网络切片的资源与其他网络切片隔离。115.引入了隔离组(或隔离区)或者类似地隔离组或隔离区以在具有或没有隔离的情况下聚集网络切片(或各个层中的其他服务)的共享资源。116.在构成e2e网络切片的每个资源层中定义隔离组。例如,在e2e切片层中存在隔离组以将网络切片服务的资源进行分组,在网络切片子网(nss)层中存在隔离组以将nss服务的资源进行分组,在被管理功能(mf)层中存在隔离组以将mf服务的资源进行分组等。117.可以基于资源的类型进一步定义隔离组。例如,在特定层中存在隔离组以将服务的管理资源进行分组,在该层中存在隔离组以将服务的被管理资源进行分组。118.隔离组可以进一步由特征和特性(租户、sst、行业、区域、iot设备的类型等)来定义。119.每个网络切片或nss服务或mf服务等都被指定一个或多个隔离组。在一个实施例中,至少一个服务是网络切片层中的承诺服务、切片子网层中的网络切片子网服务、被管理功能层中的被管理功能服务、或虚拟网络功能。因此,服务可以是网络切片服务、网络切片子网服务、被管理功能服务。120.在同一隔离组中被指定的网络切片在具有或没有隔离的情况下共享公共资源。121.被分配给网络切片(或nss服务或mf服务等)的资源与在不同的隔离组中被指定的其他网络切片(或nss服务或mf服务等)的资源在物理上或逻辑上隔离。122.当网络切片消费者(或nssc或mfc)请求网络切片(或nss服务或mf服务)提供商/生产商(nsp/nssp/mfp)针对网络切片(或nss服务或mf服务)分配/修改一个或多个资源时,网络切片(或nss服务或mf服务)消费者(nsc/nssc/mfc)可以明确地针对网络切片(或nss服务或mf服务)创建隔离组,设置隔离组。123.否则,服务提供商/生产商(例如,nsp、nssp或mfp)可以根据隔离配置文件或者来自服务消费者针对所请求的服务的其他隔离或共享要求,针对网络切片(或nss服务或mf服务)创建或选择一个多个隔离组,并向网络切片(或nss服务或mf服务)指定该一个多个隔离组。124.引入了隔离配置文件(类似地隔离配置文件)以定义隔离组的隔离要求。每个隔离组都与隔离配置文件相关联。隔离配置文件包括隔离级别(或隔离水平,如gst中所定义的)。隔离配置文件应包括用于隔离和保护被指定到隔离组的资源的隔离策略。在不同的域(例如,e2e、ran、核心、传输、虚拟化等域)或不同的层(例如,网络切片、切片子网、被管理功能、网络服务、vnf等)中的隔离配置文件和隔离策略可以不同。125.根据隔离配置文件,一个隔离组的资源与其他隔离组分离。通常,隔离配置文件与隔离组相关联。在某些情况下,隔离配置文件可以与所支持的服务的服务配置文件相关联,或者可以是独立的,例如,在具有隔离要求但没有明确地标识隔离组的服务分配请求中。在这种情况下,nsp/nssp/mfp可以针对该服务创建或选择一个或多个隔离组,将一个或多个隔离配置文件链接到该一个或多个组,并向该服务指定该一个或多个组。126.支持对所支持的服务的资源隔离的类图。图2描绘了支持对所支持的服务的资源隔离的类图200。在图2中,基于uml,聚合(aggregation)被图形地表示为空心菱形,复合(composition)被图形地表示为实心菱形,星号“*”表示多个实例,“1”表示一个实例,箭头表示方向关联。127.示出了类型informationobjectclass的若干类,包括supportedservice202类、allocatedresource204类、isolationgroup206类、isolationprofile208类、以及isolationpolicy210类。128.在图2中,在supportedservice202与allocatedresource204之间存在双向关联。在supportedservice202与isolationgroup206之间存在方向关联。在supportedservice202与isolationprofile208之间存在方向关联。在isolationgroup206与isolationprofile208之间存在方向关联。在isolationprofile208与isolationpolicy210之间存在方向关联。在isolationgroup206与它自己之间存在命名包含(namingcontainment)(由文本“名称”和实心菱形关联表示),以及在isolationprofile208与它自己之间的聚合。129.supportedservice202可以是网络切片层中的承诺服务、切片子网层中的nss服务、被管理功能层中的mf服务、虚拟化情况下的网络服务和vnf等。allocatedresource204可以是网络切片层中的网络切片实例(nsi)、切片子网层中的nss实例(nssi)、被管理功能层中的mf实例(mfi)、或虚拟化资源层中的网络切片实例和vnf实例(基于vm或容器的)等。因此,在某些实施例中,所分配的资源可以是网络切片层中的网络切片实例、切片子网层中的网络切片子网实例、被管理功能层中的被管理功能实例、或虚拟化资源层中的虚拟网络功能实例。130.一个服务与一个或多个隔离组相关联。每个组被用于基于组类型(例如,租户、区域、服务类型(sst)、或混合等),聚集针对服务而请求的一种类型的资源(例如,管理资源、被管理资源、或混合资源)。例如,管理资源(例如,支持fm的资源、切片的pm数据、支持针对切片的创建、读取、更新、删除操作的资源等)和被管理资源(例如,支持ran、tn、cn、网络功能/nf服务的资源、订户数据)两者都可被用于网络切片管理、操作和服务终端用户。可以创建若干隔离组以支持网络切片的资源隔离。一些组用于管理资源隔离,而一些组用于被管理资源隔离。131.隔离组可以是根隔离组或者由另一个隔离组(更大的范围)包含。例如,sst隔离组可以由租户隔离组包含。每个隔离组与隔离配置文件相关联,以定义隔离级别、隔离和保护策略等(例如,isolationpolicy210)。如果一个隔离组包含另一个隔离组,则包含隔离组的隔离级别可以比被包含隔离组的隔离级别严格。例如,如果sst隔离组由租户隔离组包含,并且sst隔离组的隔离级别是逻辑隔离,则租户隔离组的隔离级别可以是逻辑或物理隔离。如果sst隔离组的隔离级别是物理隔离,则租户隔离组的隔离级别应当是物理隔离。132.针对所支持的服务的隔离可以基于每个资源类型的隔离组的隔离配置文件。示例方法被概述如下:133.·检查资源一的所链接的隔离组的隔离配置文件134.ο检查所链接的隔离组(叶隔离组)的隔离配置文件135.ο检查包含隔离组(中间ig)的隔离配置文件136.ο检查中间ig的包含隔离组(中间ig或根ig)的隔离配置文件,直到到达根隔离组为止137.·检查资源二的所链接的隔离组的隔离配置文件138.ο检查所链接的隔离组(叶隔离组)的隔离配置文件139.ο检查包含隔离组(中间ig)的隔离配置文件140.ο检查中间ig的包含隔离组(中间ig或根ig)的隔离配置文件,直到到达根隔离组为止141.·检查所链接的隔离组的隔离配置文件,直到所有资源类型都被寻址为止142.因此,换句话说,该方法包括确定以下内容。如果被链接到服务的资源的隔离组是叶隔离组,则它由另一个组(例如,父组)包含,并且该另一个组可以由进一步的组包含,直到继续到根隔离组为止。进而,该方法考虑所链接的隔离组本身的隔离配置文件,然后是其父组的隔离配置文件,然后是该父组的父组的隔离配置文件,等等,直到根组被寻址为止。143.图3描绘了针对两个租户的网络切片资源和两个sst的网络切片资源的隔离组的示例300。图3中所示的示例300是网络切片提供商的被管理资源(例如,an、cn和tn)302。两个租户隔离组是ig_tenant-1-dedicated310和ig_tenant-2-dedicated350。这两个租户隔离组彼此在物理上隔离并与其他ig在物理上隔离。在ig_tenant-1-dedicated310内包含的隔离组是ig_sst-embb320和ig_sst-urllc330,ig320和330彼此在物理上隔离。ig_sd-1322和ig_sd-2324被包含在ig_sst-embb320内,并且彼此在逻辑上隔离。在ig_tenant-2-dedicated350内包含的隔离组是ig_sst-embb360、ig_sst-urllc370、ig_sst-miot-1380和ig_sst-miot-2385,ig370和385与其他ig在物理上隔离,而360和380与其他ig在逻辑上隔离。ig_sd-1362和ig_sd-2364被包含在ig_sst-embb360中,并且在逻辑上隔离。ig_sd-1372和ig_sd-2374被包含在ig_sst-urllc370内,并且在逻辑上隔离。网络切片提供商的被管理资源(例如,an、cn和tn)302还包括隔离组ig_sst-embb-common390和ig_sst-miot-common395,以聚集用于embb和miotsst的被管理资源,ig390和395与其他ig在逻辑上隔离。隔离组ig_sd-1396和ig_sd-2397被包含在ig_sst-miot-common395内,并且彼此在逻辑上隔离。因此,如图3中所示,一个或多个隔离组可以包括租户隔离组和公共隔离组。144.可以理解,在图3中并且贯穿本公开的其余部分,隔离组对象和其他对象基于它们相关或服务的功能来命名。例如,ig_sst-embb定义了增强型移动宽带(embb)切片/服务类型(sst)隔离组(ig),ig_sd-1定义了切片差分器(sd)隔离组(ig),ig_sst-urllc定义了超可靠低延迟通信切片/服务类型(sst)隔离组(ig),ig_sst-miot-1定义了大规模物联网(miot)切片/服务类型(sst)隔离组(ig)等。145.在隔离组中被指定的服务的资源可以在具有或没有隔离的情况下被共享。例如,在图3中,存在更大的(例如,包含)隔离组(诸如ig310),也存在更小的(例如,被包含)和叶隔离组(诸如330)。服务提供商始终针对特定资源向服务指定叶ig。在这个叶ig(例如,330)内部,被指定给服务(例如,service-urllc-1和service-urllc-2)的资源被共享而无需隔离。在另一种情况下,存在第三服务即embb服务(service-embb-sd1-3)。服务提供商将会向该embb服务指定另一个叶ig(例如,322)。因此,service-embb-sd1-3和service-urllc-1/service-urllc-2的资源应相互隔离,因为它们属于不同的隔离组(ig)。322和330两者都在同一个更大的ig310下。超级ig(ig310)的不同子ig中的服务资源应被隔离。因此,该超级ig中的服务资源可以在具有或没有隔离的情况下。例如,在这个场景中,service-urllc-1和service-urllc-2被指定而无需隔离。在此,被指定到ig330的两个服务被指定而无需彼此隔离,因为它们共享一个公共ig,即,ig330。同时,被指定到ig330的服务和被指定到ig322的服务是具有隔离的,即使它们共享一个公共ig,即,ig310。146.图4描绘了针对两个租户的网络切片资源的隔离组的另一个示例400。图4中所示的示例400是网络切片提供商的管理资源(例如,fm、pm数据)402。两个租户隔离组是ig_tenant-1-dedicated410和ig_tenant-2-dedicated450。这两个租户隔离组彼此在物理上隔离并与其他ig在物理上隔离。在ig_tenant-1-dedicated410内包含的隔离组是ig_sst-embb420和ig_sst-urllc430。420与其他ig在逻辑上隔离,而430与其他ig在物理上隔离。在ig_tenant-2-dedicated450内包含的隔离组是ig_sst-embb452、ig_sst-urllc456、ig_sst-miot-1454和ig_sst-miot-2458,这些ig彼此在逻辑上隔离。147.图5描绘了针对两个租户的网络切片资源的隔离组的另一个示例500。图5中所示的示例500是网络切片提供商的管理资源(例如,fm、pm管理服务(mns))502。两个租户隔离组是ig_tenant-1-dedicated510和ig_tenant-2-dedicated550。这两个租户隔离组彼此在物理上隔离并与其他ig在物理上隔离。在ig_tenant-1-dedicated510内包含的隔离组是ig_sst-embb520和ig_sst-urllc530。它们彼此在逻辑上隔离。在ig_tenant-2-dedicated550内包含的隔离组是ig_sst-urllc560。网络切片提供商的管理资源(例如,fm、pmmns)502还包括与其他ig在逻辑上隔离的隔离组ig_common590。148.信息对象类定义149.隔离组(isolationgroup)。isolationgroupioc包括从topioc继承的属性和以下属性:150.属性名称支持限定符isreadableiswritableisinvariantisnotifyableresourcetypemtftfgrouptypemtftf与角色相关的属性ꢀꢀꢀꢀꢀisolationprofilemttft151.resourcetype定义了可以被分配给所支持的服务的资源的类型。resourcetype可以例如是管理资源(数据、管理服务等)、被管理资源(管理数据、功能、服务等)、或混合类型的资源。管理资源可以是一般地支持监督(例如,性能管理和故障管理)的管理资源。被管理资源可以是支持无线电接入网络、传输网络或核心网络功能或服务的资源。服务的每种类型的资源可以与一个isolationgroup相关联。grouptype定义了isolationgroup的特征,例如,它可以是基于租户的、基于服务类型的、基于区域的、基于行业的、或混合的等。isolationgroup可以由相同resourcetype的另一个isolationgroup包含。在隔离要求实现期间,服务提供商可以在所链接的isolationgroup(从叶到根)的id的整个区分名称(dn)路径中检查被链接到isolationgroup的服务配置文件。152.隔离配置文件(isolationprofile)。isolationprofileioc包括从topioc继承的属性和以下属性:153.属性名称支持限定符isreadableiswritableisinvariantisnotifyableisolationlayermtftfisolationdomainmtftfresourcetypemtftfisolationlevelmttft与角色相关的属性ꢀꢀꢀꢀꢀisolationpolicymttftisolationprofileottft154.isolationlayer定义了在其中相关资源被分配和隔离的网络的层,它可以例如是e2e服务/网络切片层、切片子网层、被管理功能层、虚拟化情况下的网络服务和vnf层。isolationdomain定义了在其中相关资源被分配和隔离的网络的域,它可以例如是e2e服务/网络切片域、核心网络(cn)域、接入网络(an)域、传输网络(tn)域、虚拟化域等。155.对于isolationlevel的定义,参见gsmang.116(通用网络切片模板)。156.对于不同的隔离层和域,隔离级别和/或策略可以不同。157.isolationprofile(例如,isolationprofile208)可以由相同resourcetype、isolationlayer和isolationdomain的另一个isolationprofile聚合。当服务提供商根据服务消费者所标识的isolationprofile创建一个或多个isolationgroup(例如,isolationgroup206中的一个或多个)时,它应根据一个或多个isolationprofile的聚合关系创建从根组到叶组的一个或多个isolationgroup。如果isolationprofile未由另一个isolationprofile聚合,则可以针对服务所请求的此类资源创建单个isolationgroup,其既是根组又是叶组。158.可替代地,isolationprofile可以不在层次结构中定义。可以存在单个isolationprofile以包括所有级别的隔离要求。在这种情况下,服务提供商也可以根据在isolationprofile中定义的要求,创建从根组到叶组的一个或多个isolationgroup。159.隔离策略(isolationpolicy)(例如,isolationpolicy210)ioc包括从topioc继承的属性和以下属性:160.属性名称支持限定符isreadableiswritableisinvariantisnotifyableisolationrulesmttft161.isolationrules定义了用于隔离和保护在特定层和域中的特定资源的规则。例如,在isolationrules中定义的用于在e2e切片层中在逻辑上隔离服务的通用管理数据(fm、pm数据、日志等)的规则可以是“利用访问控制和静态加密保护数据,利用tls/ssl通过在传输中使用切片特定的凭证来保护数据”。用于在逻辑上隔离管理服务的规则可以是“应针对切片创建专用管理服务实例”。用于在物理上隔离网络切片的无线电接入网络子网的规则可以是“应向切片分配专用du/单元”等。用于在逻辑上隔离网络切片的核心网络子网的规则可以是“利用虚拟化层的稳健实现(例如,管理程序(hypervisor)、容器平台等)分离子网络的nf/nf服务,以及利用专用虚拟交换机、vlan分离nf/nf服务的流量等”。162.服务提供商/生产商中的资源隔离的工作流。图6a示出了隔离组的创建和验证的示例工作流600-1(即,示例方法)。图6b示出了描述具有隔离组的资源的(重新)分配(例如,分配或重新分配)的示例工作流600-2(例如,示例方法)。图6a和图6b可以被认为是属于一起的。163.在图6a中,处理请求(601)。在602,该方法包括:接收服务分配/修改请求。在604,该方法包括:从该请求中提取并解译一个或多个隔离组。在606,该方法确定该一个或多个隔离组是否为空。如果在606的确定是肯定的(例如,“是”),则在608,该方法包括:从该请求中提取并解译一个或多个隔离配置文件。如果在606处的确定是否定的(例如,“否”),则该方法前进到工作流中的附图标记624。在610,该方法包括:确定该一个或多个隔离配置文件是否为空。如果在610的确定是肯定的(例如,“是”),则在612,该方法包括:向所请求的服务指定该一个或多个隔离配置文件。如果在610处的确定是否定的(例如,“否”),则该方法前进到工作流中的附图标记614。164.在614,该方法包括:验证一个或多个隔离配置文件。在616,该方法包括:确定该一个或多个隔离配置文件是否有效。如果在616的确定是否定的(例如,“否”),则在618报告错误。如果在616的确定是肯定的(例如,“是”),则在620,该方法包括:针对所请求的服务,基于该一个或多个隔离配置文件,创建一个或多个隔离组。在622,该方法包括:将一个或多个隔离配置文件链接到相关的一个或多个隔离组。在624,该方法包括:验证一个或多个隔离组。在626,该方法包括:确定该一个或多个隔离组是否有效。如果在626的确定是否定的(例如,“否”),则在628报告错误。如果在626的确定是肯定的(例如,“是”),则该方法前进到图6b中所示的工作流/方法600-2中的附图标记630。165.在图6b中,利用所隔离的资源实现服务请求(629)。在630,该方法包括:针对服务,分配或重新分配资源。在632,该方法包括:获得针对该服务而请求的资源类型的隔离组。在634,该方法包括:确定相同隔离组(该资源类型的原始ig)的资源是否存在。如果在634的确定是肯定的(例如,“是”),则该方法继续向该服务分配资源(648)。如果在634的确定是否定的(例如,“否”),则该方法前进到636。在636,该方法包括:获得当前ig的父隔离组。在638,该方法包括:确定父ig是否存在以及父ig的资源是否不存在。如果在638的确定是肯定的(例如,“是”),则该方法前进到636。如果在638的确定是否定的(例如,“否”),则该方法前进到640。166.在640,该方法包括:获得当前隔离组的隔离配置文件。在642,该方法包括:根据当前隔离组的隔离配置文件的隔离级别和策略,在其父隔离组的资源下创建并保护当前隔离组的资源。如在644处所示,在642的步骤包括:如果针对当前隔离组不存在父ig,则在公共资源下创建该资源。在646,该方法包括:将新资源链接到当前隔离组,进而继续进行634以再次检查相同隔离组的资源(其是针对该服务的资源类型的原始ig)是否存在。在648,该方法包括:向该服务分配该相同隔离组的资源而无需隔离。如在650处所示,如果该相同ig的资源不能满足服务要求,则在648的步骤可以包括:向外扩展(scaleout)或重新配置资源。在652,该方法包括:确定是否存在更多的资源类型。如果在652的确定是肯定的(例如,“是”),则该方法前进到632,否则该方法600-2终止。167.支持资源隔离的网络切片类图。至少提供了两个类实现选项。168.选项1:隔离组是基于每个层中的“服务的网络切片(servednetworkslice)”。在此选项中,在e2e服务层中对网络切片对象进行建模。moi由dn唯一地标识,并且是指e2e切片id(s-nssai)。169.选项2:隔离组是基于每个层中的“服务的服务(servedservice)”。在此选项中,在每个层中对服务对象进行建模。moi由dn唯一地标识,并且独立于e2e切片id(s-nssai)。170.图7是支持资源分配的示例网络切片类图700。在图7中,基于uml,聚合被图形地表示为空心菱形,星号“*”表示多个实例,“1”表示一个实例,“0..1”表示零或一个或者一次一个,箭头表示方向关联。171.在图7所示的例子中,每个类都是informationobjectclass类型。在isolationgroup(cs)704与isolationprofilens702之间存在方向关联。在committedservice714与isolationgroup(cs)704之间存在方向关联。在networkslice720与committedservice714之间存在方向关联。在isolationgroup(nss)708与isolationprofilenss706之间存在方向关联。在nssservice716与isolationgroup(nss)708之间存在方向关联。在networkslicesubnet722与nssservice716之间存在方向关联。在networkslice720与networkslicesubnet722之间存在方向关联。在networkslicesubnet722与它自己之间存在方向关联。在isolationgroup(ns)728与isolationprofilens726之间存在方向关联。在networkservice730与isolationgroup(ns)728之间存在方向关联。172.在networkslicesubnet722与networkservice730之间存在方向关联。在isolationgroup(mf)710与isolationprofilemf712之间存在方向关联。在mfservice718与isolationgroup(mf)710之间存在方向关联。在managedfunction724与mfservice718之间存在方向关联。在networkslicesubnet722与managedfunction724之间存在方向关联。在managedfunction724与vnf732之间存在方向关联。在networkservice730与vnf732之间存在方向关联。在vnf732与isolationgroup(vnf)734之间存在方向关联。在isolationgroup(vnf)734与isolationprofilevnf736之间存在方向关联。173.可以理解,在图7中并且贯穿本公开的其余部分,对象(例如,类对象)的名称基于它涉及或服务的功能。例如,类对象isolationprofilens702是网络切片隔离配置文件类对象,isolationgroup(nss)708是网络切片子网隔离组类对象等。174.在用于网络切片分配的多个层中资源隔离实现的工作流。做出以下假定:175.1.在此实施例中,网络切片可以由构成ran、cn和tnnssi的网络切片实例(nsi)支持。176.2.gnb是物理框(physicalbox),cn是虚拟化的。177.3.针对网络切片定义了三个isolationprofile。[0178][0179]4.在此实施例中,没有资源被分配给具有相同isolationgroup的网络切片、nss、mf或nf。否则,该过程可以不同。[0180]图8描绘了e2e域中的网络切片隔离的示例工作流800。在图8中所示的是nsc820、nsp830、nsspran840、nsspcn850、以及nssptn860。在图8中,附图标记801至813分别对应于编号1至13。在图8中,方向箭头是示例,从而在其他实施例中,实体可以针对与工作流800中所示不同的实体中的另一个实体执行动作。[0181]在801,nsc820请求nsp830针对网络切片分配资源,其中,输入参数包括例如serviceprofile、一个或多个isolationprofilens等。如在870处所示,nsc可以包括在该请求之前创建的一个或多个isolationgroup,而不是使用一个或多个isolationprofilens作为输入参数。在802,nsp830验证该一个或多个隔离配置文件,并相应地创建一个或多个隔离组。如在880处所示,如果该一个或多个隔离配置文件为空,则可以基于系统配置或租户的策略或sla,使用该网络切片的租户的一个或多个默认配置文件。[0182]在803,nsp830根据服务配置文件和一个或多个isolationgroup,将网络切片请求分解为一个或多个nss请求。在804,nsp830将该网络切片请求中的一个或多个isolationgroup的一个或多个isolationprofilens转换为一个或多个isolationprofilenssran、一个或多个isolationprofilensscn、以及一个或多个isolationprofilensstn。如在890处所示,针对ran、cn和tnnss的isolationprofile对于管理资源可以是相同的(例如参见图4和图5),但对于被管理资源可以是不同的(例如参见图3)。例如,针对ran资源的isolationrules可以是[“在rls层上及以上分离”],针对核心资源的isolationrules可以是[“利用稳健的虚拟化层隔离nf/nf服务”,“利用专用虚拟交换机分离nf/nf服务的流量”],针对tn资源的isolationrules可以是[“利用vpn进行分离”]。[0183]在805,nsp830请求nsspran840针对rannss服务分配资源。输入参数包括例如sliceprofile、一个或多个isolationprofilenssran等。在806,nsspran840向nsp830提供分配响应,包括例如rannss服务实例、一个或多个isolationgroup等。在807,nsp830请求nsspcn850针对cnnss服务分配资源,其中,输入参数包括例如sliceprofile、一个或多个isolationprofilensscn等。在808,nsspran840向nsp830提供分配响应,包括例如cnnss服务实例、一个或多个isolationgroup等。在809,nsp830请求nssptn860针对tnnss服务分配资源,其中,输入参数包括例如sliceprofile、一个或多个isolationprofilensstn等。在810,nsspran840向nsp830提供分配响应,包括例如tnnss服务实例、一个或多个isolationgroup等。在811,nsp830针对网络切片创建网络切片和承诺服务实例,将该一个或多个isolationgroup与该承诺服务实例相关联,并将该承诺服务实例与nsi相关联。在812,nsp830针对该网络切片的管理数据和服务,基于该网络切片的管理资源的一个或多个相关isolationprofile,分配资源。在813,nsp830向nsc820发送响应,包括承诺服务实例、一个或多个isolationgroup等。[0184]图9描绘了ran域中的网络切片隔离的示例工作流900。在图9中所示的是nsp920、nsspran930、以及mfpran940。在图9中,附图标记901至910分别对应于编号1至10。在图9中,方向箭头是示例,从而在其他实施例中,实体可以针对与工作流900中所示不同的实体中的另一个实体执行动作。此示例示出了服务消费者指定一个或多个isolationgroup的选项。[0185]在901,nsp920请求nsspran930分配一个或多个isolationgroup,其中,输入参数包括例如一个或多个isolationprofilenssran、s-nssai等。在902,nsspran930验证该一个或多个隔离配置文件,并相应地创建一个或多个隔离组。如在950处所示,如果该一个或多个隔离配置文件为空,则可以基于系统配置使用s-nssai的sst的一个或多个默认配置文件。在903,nsspran930向nsp920提供关于所创建的一个或多个isolationgroup的响应。[0186]在904,nsp1020请求nsspran930针对网络切片分配rannss,其中,输入参数包括例如s-nssai、sliceprofileran、一个或多个isolationgroup等。[0187]在905,nsspran930根据切片配置文件和该一个或多个isolationgroup的一个或多个isolationprofile,将该nss请求映射到ranmf的配置参数。在906,nsspran930针对mfpran940在ranmf上配置参数,诸如s-nssai以及功能和隔离相关的参数。在907,mfpran940向nsspran930提供配置响应。在908,nsspran930针对s-nssai创建rannssi和nss服务实例,将该一个或多个isolationgroup与该nss服务实例相关联,并将该nss服务实例与nssi相关联。在909,nsspran930针对管理数据和服务针对s-nssai,基于nss的管理资源的一个或多个相关isolationprofile,分配资源。在910,nsspran930向nsp920提供分配响应,诸如rannssi、rannss服务实例等。[0188]图10描绘了cn域中的网络切片隔离的示例工作流1000。在图10中所示的是nsp1020、nsspcn1030、nfvo1050、vim或vnfm1060、以及mfpcn1070。在图10中,附图标记1001至1013分别对应于编号1至13。在图10中,方向箭头是示例,从而在其他实施例中,实体可以针对与工作流1000中所示不同的实体中的另一个实体执行动作。此示例1000示出了服务消费者指定一个或多个isolationgroup的选项。[0189]在1001,nsp1020请求nsspcn1030分配一个或多个isolationgroup,其中,输入参数包括例如一个或多个isolationprofilensscn、s-nssai等。在1002,nsspcn1030验证该一个或多个隔离配置文件,并相应地创建一个或多个隔离组。如在1080处所示,如果该一个或多个隔离配置文件为空,则可以基于系统配置使用s-nssai的sst的一个或多个默认配置文件。在1003,nsspcn1030向nsp1020提供具有所创建的一个或多个isolationgroup的响应。[0190]在1004,nsp1020请求nsspcn1030针对网络切片分配cnnss,其中,输入参数包括例如s-nssai、sliceprofilecn、一个或多个isolationgroup等。在1005,nsspcn1030根据切片配置文件和一个或多个isolationgroup的isolationprofile,将该nss请求映射到具有配置参数的网络服务和cnmf。在1006,nsspcn1030请求nfvo1050部署并配置网络服务。在1007,nfvo1050请求vim或vnfm1060基于该资源和隔离请求来部署vnf。[0191]在1008,nfvo1050向nsspcn1030提供部署响应,包括具有vnf信息的ns。在1009,nsspcn1030针对mfpcn1070在核心mf上配置参数,包括s-nssai和功能相关的参数。在1010,mfpcn1070向nsspcn1030提供配置响应。在1011,nsspcn1030针对s-nssai创建cnnssi和nss服务实例,将该一个或多个isolationgroup与该nss服务实例相关联,并将该nss服务实例与nssi相关联。在1012,nsspcn1030针对管理数据和服务针对s-nssai,基于nss的管理资源的一个或多个相关isolationprofile,分配资源。在1013,nsspcn1030向nsp1020提供分配响应,包括cnnssi、cnnss服务实例等。[0192]本文描述的示例可以对3gppsa5或etsizsm规范做出贡献。[0193]图11是基于本文描述的示例来实现网络切片隔离管理的示例方法1100。在1102,该方法包括:针对至少一个服务指定或创建一个或多个隔离组,其中,在隔离组中指定的服务的资源在具有或没有隔离的情况下被共享。在1104,该方法包括:其中,在每个层和每个域中针对至少一个资源定义隔离组,以聚集该至少一个服务的该至少一个资源。在1106,该方法包括:针对一个或多个隔离组中的每个隔离组链接隔离配置文件,其中,该隔离配置文件包括用于保护该一个或多个隔离组的该至少一个资源的至少一个策略,并且其中,该隔离配置文件至少包括用于定义隔离类型的隔离级别。在1108,该方法包括:基于被链接到该一个或多个隔离组的该隔离配置文件,向该至少一个服务分配或重新分配该至少一个资源。[0194]示例方法包括:针对至少一个服务指定或创建一个或多个隔离组,其中,在隔离组中指定的服务的资源在具有或没有隔离的情况下被共享;其中,在每个层和每个域中针对至少一个资源定义隔离组,以聚集该至少一个服务的该至少一个资源;针对一个或多个隔离组中的每个隔离组链接隔离配置文件,其中,该隔离配置文件包括用于保护该一个或多个隔离组的该至少一个资源的至少一个策略,并且其中,该隔离配置文件至少包括用于定义隔离类型的隔离级别;以及基于被链接到该一个或多个隔离组的该隔离配置文件,向该至少一个服务分配或重新分配该至少一个资源。[0195]该方法可以进一步包括:其中,隔离组是基于至少一个资源的类型以及该至少一个资源所支持的服务特性而定义的。[0196]该方法可以进一步包括:其中,基于隔离配置文件,被分配给服务的资源与在不同的隔离组中指定的其他服务的资源在物理上或逻辑上隔离。[0197]该方法可以进一步包括:其中,由服务消费者或服务生产商指定或创建一个或多个隔离组。[0198]该方法可以进一步包括:其中,隔离级别是物理或逻辑隔离。[0199]该方法可以进一步包括:其中,隔离配置文件与所支持的服务的服务配置文件相关联,或者是独立的。[0200]该方法可以进一步包括:其中,至少一个资源是管理资源,并且该至少一个资源是被管理资源。[0201]该方法可以进一步包括:其中,一个或多个隔离组是根隔离组,或者一个或多个隔离组由另一个隔离组包含。[0202]该方法可以进一步包括:其中,包含隔离组的隔离级别比被包含隔离组的隔离级别严格。[0203]该方法可以进一步包括:通过以下操作来针对一个服务的至少一个资源确定隔离:检查包含隔离组的隔离配置文件,直到包括根隔离组的包含隔离组链中的所有隔离组都被寻址或被考虑为止。[0204]该方法可以进一步包括:通过以下操作来针对至少一个服务确定隔离:检查所链接的隔离组的隔离配置文件,直到多个资源类型被寻址为止。[0205]该方法可以进一步包括:其中,当服务的资源在公共隔离组中被指定时,在隔离组中指定的该服务的资源被共享而无需隔离;以及其中,当服务的资源在该公共隔离组内的不同的隔离组中被进一步指定时,在隔离组中指定的该服务的资源在隔离的情况下被共享。[0206]一种示例装置,包括:至少一个处理器;以及包括计算机程序代码的至少一个非暂时性存储器;其中,该至少一个存储器和该计算机程序代码被配置为与该至少一个处理器一起使该装置至少执行:针对至少一个服务指定或创建一个或多个隔离组,其中,在隔离组中指定的服务的资源在具有或没有隔离的情况下被共享;其中,在每个层和每个域中针对至少一个资源定义隔离组,以聚集该至少一个服务的该至少一个资源;针对一个或多个隔离组中的每个隔离组链接隔离配置文件,其中,该隔离配置文件包括用于保护该一个或多个隔离组的该至少一个资源的至少一个策略,并且其中,该隔离配置文件至少包括用于定义隔离类型的隔离级别;以及基于被链接到该一个或多个隔离组的该隔离配置文件,向该至少一个服务分配或重新分配该至少一个资源。[0207]该装置可以进一步包括:其中,隔离组是基于至少一个资源的类型以及该至少一个资源所支持的服务特性而定义的。[0208]该装置可以进一步包括:其中,基于隔离配置文件,被分配给服务的资源与在不同的隔离组中指定的其他服务的资源在物理上或逻辑上隔离。[0209]该装置可以进一步包括:其中,一个或多个隔离组由服务消费者或服务生产商指定或创建。[0210]该装置可以进一步包括:其中,隔离级别是物理或逻辑隔离。[0211]该装置可以进一步包括:其中,隔离配置文件与所支持的服务的服务配置文件相关联,或者是独立的。[0212]该装置可以进一步包括:其中,至少一个资源是管理资源,并且该至少一个资源是被管理资源。[0213]该装置可以进一步包括:其中,一个或多个隔离组是根隔离组,或者一个或多个隔离组由另一个隔离组包含。[0214]该装置可以进一步包括:其中,包含隔离组的隔离级别比被包含隔离组的隔离级别严格。[0215]该装置可以进一步包括:其中,该至少一个存储器和该计算机程序代码进一步被配置为与该至少一个处理器一起使该装置至少执行:通过以下操作来针对一个服务的至少一个资源确定隔离:检查包含隔离组的隔离配置文件,直到包括根隔离组的包含隔离组链中的所有隔离组都被寻址或被考虑为止。[0216]该装置可以进一步包括:其中,该至少一个存储器和该计算机程序代码进一步被配置为与该至少一个处理器一起使该装置至少执行:通过以下操作来针对至少一个服务确定隔离:检查所链接的隔离组的隔离配置文件,直到多个资源类型被寻址为止。[0217]该装置可以进一步包括:其中,当服务的资源在公共隔离组中被指定时,在隔离组中指定的该服务的资源被共享而无需隔离;以及其中,当服务的资源在该公共隔离组内的不同的隔离组中被进一步指定时,在隔离组中指定的该服务的资源在隔离的情况下被共享。[0218]提供了一种机器可读的示例性非暂时性程序存储设备,其有形地体现可由该机器执行以执行操作的指令程序,这些操作包括:针对至少一个服务指定或创建一个或多个隔离组,其中,在隔离组中指定的服务的资源在具有或没有隔离的情况下被共享;其中,在每个层和每个域中针对至少一个资源定义隔离组,以聚集该至少一个服务的该至少一个资源;针对一个或多个隔离组中的每个隔离组链接隔离配置文件,其中,该隔离配置文件包括用于保护该一个或多个隔离组的该至少一个资源的至少一个策略,并且其中,该隔离配置文件至少包括用于定义隔离类型的隔离级别;以及基于被链接到该一个或多个隔离组的该隔离配置文件,向该至少一个服务分配或重新分配该至少一个资源。[0219]这些非暂时性程序存储设备操作可以进一步包括:其中,隔离组是基于至少一个资源的类型以及该至少一个资源所支持的服务特性而定义的。[0220]这些非暂时性程序存储设备操作可以进一步包括:其中,基于隔离配置文件,被分配给服务的资源与在不同的隔离组中指定的其他服务的资源在物理上或逻辑上隔离。[0221]这些非暂时性程序存储设备操作可以进一步包括:其中,一个或多个隔离组由服务消费者或服务生产商指定或创建。[0222]这些非暂时性程序存储设备操作可以进一步包括:其中,隔离级别是物理或逻辑隔离。[0223]这些非暂时性程序存储设备操作可以进一步包括:其中,隔离配置文件与所支持的服务的服务配置文件相关联,或者是独立的。[0224]这些非暂时性程序存储设备操作可以进一步包括:其中,至少一个资源是管理资源,并且该至少一个资源是被管理资源。[0225]这些非暂时性程序存储设备操作可以进一步包括:其中,一个或多个隔离组是根隔离组,或者一个或多个隔离组由另一个隔离组包含。[0226]这些非暂时性程序存储设备操作可以进一步包括:其中,包含隔离组的隔离级别比被包含隔离组的隔离级别严格。[0227]这些非暂时性程序存储设备操作可以进一步包括:通过以下操作来针对一个服务的至少一个资源确定隔离:检查包含隔离组的隔离配置文件,直到包括根隔离组的包含隔离组链中的所有隔离组都被寻址或被考虑为止。[0228]这些非暂时性程序存储设备操作可以进一步包括:通过以下操作来针对至少一个服务确定隔离:检查所链接的隔离组的隔离配置文件,直到多个资源类型被寻址为止。[0229]这些非暂时性程序存储设备操作可以进一步包括:其中,当服务的资源在公共隔离组中被指定时,在隔离组中指定的该服务的资源被共享而无需隔离;以及其中,当服务的资源在该公共隔离组内的不同的隔离组中被进一步指定时,在隔离组中指定的该服务的资源在隔离的情况下被共享。[0230]一种示例装置,包括:用于针对至少一个服务指定或创建一个或多个隔离组的部件,其中,在隔离组中指定的服务的资源在具有或没有隔离的情况下被共享;其中,在每个层和每个域中针对至少一个资源定义隔离组,以聚集该至少一个服务的该至少一个资源;用于针对一个或多个隔离组中的每个隔离组链接隔离配置文件的部件,其中,该隔离配置文件包括用于保护该一个或多个隔离组的该至少一个资源的至少一个策略,并且其中,该隔离配置文件至少包括用于定义隔离类型的隔离级别;以及用于基于被链接到该一个或多个隔离组的该隔离配置文件,向该至少一个服务分配或重新分配该至少一个资源的部件。[0231]该装置可以进一步包括:其中,隔离组是基于至少一个资源的类型以及该至少一个资源所支持的服务特性而定义的。[0232]该装置可以进一步包括:其中,基于隔离配置文件,被分配给服务的资源与在不同的隔离组中指定的其他服务的资源在物理上或逻辑上隔离。[0233]该装置可以进一步包括:其中,一个或多个隔离组由服务消费者或服务生产商指定或创建。[0234]该装置可以进一步包括:其中,隔离级别是物理或逻辑隔离。[0235]该装置可以进一步包括:其中,隔离配置文件与所支持的服务的服务配置文件相关联,或者是独立的。[0236]该装置可以进一步包括:其中,至少一个资源是管理资源,并且该至少一个资源是被管理资源。[0237]该装置可以进一步包括:其中,一个或多个隔离组是根隔离组,或者一个或多个隔离组由另一个隔离组包含。[0238]该装置可以进一步包括:其中,包含隔离组的隔离级别比被包含隔离组的隔离级别严格。[0239]该装置可以进一步包括用于通过以下操作来针对一个服务的至少一个资源确定隔离的部件:检查包含隔离组的隔离配置文件,直到包括根隔离组的包含隔离组链中的所有隔离组都被寻址或被考虑为止。[0240]该装置可以进一步包括用于通过以下操作来针对至少一个服务确定隔离的部件:检查所链接的隔离组的隔离配置文件,直到多个资源类型被寻址为止。[0241]该装置可以进一步包括:其中,当服务的资源在公共隔离组中被指定时,在隔离组中指定的该服务的资源被共享而无需隔离;以及其中,当服务的资源在该公共隔离组内的不同的隔离组中被进一步指定时,在隔离组中指定的该服务的资源在隔离的情况下被共享。[0242]应当理解,上述描述仅仅是说明性的。本领域技术人员可以设计各种替代和修改。例如,各种从属权利要求中所述的特征可以以任何合适的组合彼此组合。此外,来自上述不同实施例的特征可以被选择性地组合成新的实施例。因此,该描述旨在涵盖落入所附权利要求的范围内的所有此类替代、修改和变化。当前第1页12当前第1页12