网络切片的分配资源的制作方法

1.本公开的实施例总体上涉及通信技术，并且更具体地涉及用于网络切片的分配资源的方法、设备和计算机可读介质。


背景技术：

2.随着移动通信技术的发展，人们的生活越来越丰富。未来，移动通信将继续发展，触及诸如汽车、制造、物流、能源等行业领域、以及诸如金融、医疗等目前尚未充分挖掘移动服务潜力的领域。但是，上述各种应用具有不同要求。一些应用可能需要超可靠通信，而其他应用可能需要超高带宽通信或极低延迟。因此，引入了“网络切片”技术以提供不同能力组合，同时满足所有这些不同要求。


技术实现要素：

3.总体上，本公开的实施例涉及一种用于分配网络切片的方法和对应设备。
4.在第一方面，提供了一种第一设备。第一设备包括至少一个处理器；以及包括计算机程序代码的至少一个存储器，至少一个存储器和计算机程序代码被配置为与至少一个处理器一起引起第一设备：从第二设备接收对网络切片的分配资源的请求。第一设备还被引起从该请求中获取网络切片的安全要求。第一设备还被引起基于安全要求确定安全服务列表。第一设备还被引起分配至少满足由所接收的请求指示的安全要求的网络切片实例。第一设备还被引起向第二设备传输所分配的网络切片实例的指示。
5.在第二方面，提供了一种第二设备。第二设备包括至少一个处理器；以及包括计算机程序代码的至少一个存储器，至少一个存储器和计算机程序代码被配置为与至少一个处理器一起引起第二设备：生成对网络切片的分配资源的请求，该请求至少指示安全要求。第二设备还被引起向第一设备传输该请求。第二设备还被引起从第一设备接收所分配的网络切片实例的指示，所分配的网络切片实例至少满足安全要求。
6.在第三方面，提供了一种方法。该方法包括在第一设备处从第二设备接收对网络切片的分配资源的请求。该方法还包括从该请求中获取网络切片的安全要求。该方法还包括基于安全要求确定安全服务列表。该方法还包括分配支持安全服务列表的网络切片实例。该方法还包括向第二设备传输所分配的网络切片实例的指示。
7.在第四方面，提供了一种方法。该方法包括生成对网络切片的分配资源的请求，该请求至少指示安全要求。该方法还包括向第一设备传输该请求。该方法还包括从第一设备接收所分配的网络切片实例的指示，所分配的网络切片实例至少满足安全要求。
8.在第五方面，提供了一种装置。该装置包括用于在第一设备处从第二设备接收对网络切片的分配资源的请求的部件；用于从该请求中获取网络切片的安全要求的部件；用于基于安全要求确定安全服务列表的部件；用于分配支持安全服务列表的网络切片实例的部件；以及用于向第二设备传输所分配的网络切片实例的指示的部件。
9.在第六方面，提供了一种装置。该装置包括用于生成对网络切片的分配资源的请
求的部件，该请求至少指示安全要求；用于向第一设备传输该请求的部件；以及用于从第一设备接收所分配的网络切片实例的指示的部件，所分配的网络切片实例至少满足安全要求。
10.在第七方面，提供了一种计算机可读介质，该计算机可读介质包括用于引起装置至少执行根据以上第三方面或第四方面的方法的程序指令。
11.在第八方面，提供了一种计算机程序产品，该计算机程序产品存储在计算机可读介质上并且包括机器可执行指令，其中该机器可执行指令在被执行时引起机器执行根据上述第三方面或第四方面的方法。
12.应当理解，发明内容部分并非旨在确定本公开的实施例的关键或基本特征，也不旨在用于限制本公开的范围。通过以下描述，本公开的其他特征将变得容易理解。
附图说明
13.现在将参考附图描述一些示例实施例，在附图中：
14.图1示出了根据本公开的一些示例实施例的通信系统的示意图；
15.图2示出了根据本公开的一些示例实施例的网络切片系统的框图；
16.图3示出了根据本公开的一些示例实施例的方法的流程图；
17.图4示出了根据本公开的一些示例实施例的设备之间的交互的示意图；
18.图5示出了根据本公开的一些示例实施例的设备之间的交互的示意图；
19.图6示出了根据本公开的一些示例实施例的方法的流程图；
20.图7示出了适合于实现本公开的示例实施例的装置的简化框图；以及
21.图8示出了根据本公开的一些示例实施例的示例计算机可读介质的框图。
22.在整个附图中，相同或相似的附图标记表示相同或相似的元素。
具体实施方式
23.现在将参考一些示例实施例来描述本公开的原理。应当理解，描述示例实施例仅是为了说明和帮助本领域技术人员理解和实现本公开，并不表示对本公开的范围的任何限制。本文中描述的公开内容可以以除了下面描述的方式之外的各种其他方式来实现。
24.在以下描述和权利要求中，除非另有定义，否则本文中使用的所有技术和科学术语具有与本公开所属领域的普通技术人员通常理解的相同的含义。
25.本公开中对“一个实施例”、“实施例”、“示例实施例”等的引用表明所描述的实施例可以包括特定特征、结构或特性，但不一定每个实施例都包括特定特征、结构或特性。此外，这样的短语不一定指代相同的实施例。此外，当结合示例实施例描述特定特征、结构或特性时，认为结合其他实施例(无论是否明确描述)来影响这样的特征、结构或特性在本领域技术人员的知识范围内。
26.应当理解，尽管在本文中可以使用术语“第一”和“第二”等来描述各种元素，但是这些元素不应受这些术语的限制。这些术语仅用于区分一个元素与另一元素。例如，第一元素可以称为第二元素，并且类似地，第二元素可以称为第一元素，而没有脱离示例实施例的范围。如本文中使用的，术语“和/或”包括所列术语中的一个或多个的任何和所有组合。
27.本文中使用的术语仅出于描述特定实施例的目的，并不旨在限制示例实施例。如
本文中使用的，单数形式“一个(a)”、“一个(an)”和“该(the)”旨在也包括复数形式，除非上下文另有明确指示。将进一步理解，术语“包括(comprises)”、“包括(comprising)”、“具有(has)”、“具有(having)”、“包括(includes)”和/或“包括(including)”当在本文中使用时指定所述特征、元素和/或组件等的存在，但不排除一个或多个其他特征、元素、组件和/或其组合的存在或添加。
28.如本技术中使用的，术语“电路系统”可以指代以下中的一项或多项或全部：
29.(a)纯硬件电路实现(诸如仅使用模拟和/或数字电路系统的实现)，以及
30.(b)硬件电路和软件的组合，诸如(如适用)：
31.(i)(多个)模拟和/或数字硬件电路与软件/固件的组合，以及
32.(ii)具有软件的(多个)硬件处理器(包括(多个)数字信号处理器)、软件和(多个)存储器的任何部分，其一起工作以引起装置(诸如移动电话或服务器)执行各种功能，以及
33.(c)(多个)硬件电路和/或(多个)处理器，诸如(多个)微处理器或(多个)微处理器的一部分，其需要软件(例如，固件)
34.进行操作，但在不需要操作时软件可以不存。
35.该电路系统的定义适合于该术语在本技术中的所有使用，包括在任何权利要求中。作为另一示例，如在本技术中使用的，术语电路系统还涵盖仅硬件电路或处理器(或多个处理器)或硬件电路或处理器的一部分及其(或它们的)随附软件和/或固件的实现。例如，如果适用于特定权利要求元素，则术语电路系统还涵盖用于移动设备的基带集成电路或处理器集成电路、或者服务器、蜂窝网络设备或其他计算或网络设备中的类似集成电路。
36.如本文中使用的，术语“通信网络”是指遵循任何合适的通信标准的网络，诸如长期演进(lte)、高级lte(lte-a)、宽带码分多址(wcdma)、高速分组接入(hspa)、窄带物联网(nb-iot)、新无线电(nr)等。此外，通信网络中的终端设备与网络设备之间的通信可以根据任何合适世代的通信协议来执行，包括但不限于第一代(1g)、第二代(2g)、2.5g、2.55g、第三代(3g)、第四代(4g)、4.5g、未来的第五代(5g)通信协议、和/或当前已知或将来开发的任何其他协议。本公开的实施例可以应用于各种通信系统中。鉴于通信的快速发展，当然也将存在可以体现本公开的未来类型的通信技术和系统。不应当被视为将本公开的范围仅限于上述系统。
37.如本文中使用的，术语“网络设备”是指通信网络中的节点，终端设备经由该节点访问网络并且从其接收服务。网络设备可以指代基站(bs)或接入点(ap)，例如节点b(nodeb或nb)、演进型nodeb(enodeb或enb)、nr nb(也称为gnb)、远程无线电单元(rru)、无线电报头(rh)、远程无线电头端(rrh)、中继、集成接入和回程(iab)节点、低功率节点(诸如毫微微、微微)等，具体取决于所应用的术语和技术。
38.术语“终端设备”是指能够进行无线通信的任何终端设备。作为示例而非限制，终端设备还可以称为通信设备、用户设备(ue)、订户站(ss)、便携式订户站、移动站(ms)或接入终端(at)。终端设备可以包括但不限于移动电话、蜂窝电话、智能电话、ip语音(voip)电话、无线本地环路电话、平板电脑、可穿戴终端设备、个人数字助理(pda)、便携式计算机、台式计算机、诸如数码相机等图像获取终端设备、游戏终端设备、音乐存储和播放设备、车载无线终端设备、无线端点、移动台、笔记本电脑嵌入式设备(lee)、笔记本电脑安装设备(lme)、usb加密狗、智能设备、无线客户端设备(cpe)、物联网(lot)设备、手表或其他可穿戴
设备、头戴式显示器(hmd)、车辆、无人机、医疗设备和应用(例如，远程手术)、工业设备和应用(例如，在工业和/或自动化处理链环境中操作的机器人和/或其他无线设备)、消费电子设备、设备商业运作和/或工业无线网络等。在以下描述中，术语“终端设备”、“通信设备”、“终端”、“用户设备”和“ue”可以互换使用。
39.本文中使用的术语“网络切片”是指允许在公共共享物理基础设施之上创建多个逻辑网络的技术。本文中使用的术语“网络切片”是指运行在共享物理基础设施上的独立端到端逻辑网络，其能够提供协商的服务质量。网络切片在操作和流量方面是自包含的，并且可以有自己的网络架构、工程机制和网络供应。通常是对虚拟化网络资源进行架构、分区和组织，以实现对不同用例实现的灵活支持。本文中使用的术语“网络切片实例”是指网络切片的实例，其是基于网络切片蓝图/模板/资源模块而创建的。本文中使用的术语“网络切片编排”是指自动化和定制能力，其用于提高服务性能和客户满意度。编排可以实现服务创建和交付的自动化。本文中使用的术语“网络切片子网”是指由一组托管网络功能和所需要的资源(例如，计算、存储和网络资源)组成的逻辑网络。本文中使用的术语“网络切片子网实例”是指网络切片子网的实例，它是基于网络切片子网蓝图/模板/资源模块而创建的。
40.如上所述，引入了“网络切片”技术以提供不同能力组合，从而同时满足所有这些不同要求。通过网络切片，各种类型的用户/客户可以享受根据其特定要求(例如，数据速度、质量、延迟、可靠性、安全性和服务)而量身定制的连接和数据处理，这些要求遵守与通信服务提供商商定的服务水平协议(sla)。然而，为消费者、企业和政府部门实现全面的端到端网络切片部署存在一些挑战，例如，端到端精确切片、网络切片可靠性、网络切片可扩展性和网络切片生命周期管理。最重要的挑战中的一个是网络切片安全，它开始受到学术界和工业界的关注。
41.网络切片安全包括若干方面，诸如网络切片管理的安全、网络切片编排的安全、网络切片的访问安全。网络切片编排的安全非常重要，但迄今为止在业界很少受到关注。
42.在一些常规技术中，已经定义了网络切片的管理安全性，例如，管理服务生产者与管理服务消费者之间的接口的认证、授权、完整性保护和机密性保护。此外，还提出了网络切片特定认证和授权、数据机密性和完整性、用户标识隐私和切片间安全隔离。一些另外的传统技术已经定义了网络切片管理暴露接口的安全性和网络切片子网模板(nsst)的完整性保护。然而，关于网络切片编排的安全性的研究很少。
43.根据本公开的实施例，第一设备从第二设备接收对网络切片的分配资源的请求。第一设备基于该请求来分配满足安全要求的网络切片实例。以这种方式，不同消费者的不同安全要求可以得到满足。
44.图1示出了可以在其中实现本公开的实施例的通信系统的示意图。通信系统100包括第一设备110和第二设备120。作为通信网络的一部分的通信系统100包括设备130-1、设备130-2、
……
、设备130-n(其可以统称为“(多个)第三设备130”)。一个或多个设备与小区相关联并且被小区覆盖。应当理解，图1所示的设备和小区的数目是为了说明的目的而给出的，而不是暗示任何限制。通信系统100可以包括任何合适数目的设备和小区。在通信系统100中，第一设备110、第二设备120和第三设备130可以彼此传送数据和控制信息。图1所示的设备数目是出于说明的目的而给出的，而不是暗示任何限制。第二设备120和第一设备110是可互换的。第一设备110可以是网络设备。替代地，第一设备110可以是核心网设备。第
二设备120可以与第一设备110通信以创建网络切片实例。之后，第三设备130可以通过网络切片实例彼此通信。第三设备130可以是终端设备。替代地，第三设备130可以包括网络设备，例如，第三设备130-3和130-4可以是网络设备。第三设备的数目只是一个示例。第三设备130可以能够访问网络切片实例。第一设备110将通过第三设备130-3和/或130-4管理和监测网络切片实例的状态。
45.通信环境100中的通信可以根据任何(多个)适当的通信协议来实现，包括但不限于第一代(1g)、第二代(2g)、第三代(3g)、第四代(4g)和第五代(5g)等的蜂窝通信协议、诸如电气和电子工程师协会(ieee)802.11等无线局域网通信协议、和/或当前已知或将来开发的任何其他协议。此外，通信可以利用任何适当的无线通信技术，包括但不限于：码分多址(cdma)、频分多址(fdma)、时分多址(tdma)、频分双工器(fdd)、时分双工器(tdd)、多输入多输出(mimo)、正交频分多址(ofdma)、和/或当前已知或将来要开发的任何其他技术。
46.下面将参考附图详细描述本公开的示例实施例。图2示出了根据本公开的一些示例实施例的网络切片系统200的框图。网络切片系统200仅是示例而非限制。网络切片系统200还可以包括图2中未示出的其他模块。网络切片系统200可以在任何合适的设备处实现，例如第一设备110。
47.如图2所示，网络切片系统200可以包括网络切片(ns)消费门户205，ns消费门户205可以从消费者(例如，医疗保健提供者)接收对网络切片的分配资源的请求。网络切片系统300可以包括ns管理和编排部分210。ns管理模块2110可以支持网络切片实例的操作。例如，操作可以是激活、监督、性能报告、资源容量规划和修改中的一项或多项。
48.ns数据收集模块2120可以被配置为收集网络数据(例如，与服务、网络切片、网络切片子网和/或网络功能相关的数据)以支持提高网络性能和效率以适应和支持服务和要求的多样性。
49.在一些实施例中，ns管理和编排部分210还可以包括ns数据分析模块2130，ns数据分析模块2130被配置为利用所收集的网络数据来执行分析以便辅助和补充管理服务以获取最佳网络性能和服务保证。ns实例库存模块2160可以被配置为存储关于可用网络切片实例的信息。
50.如图2所示，网络切片系统200包括被配置为请求网络切片的分配资源的ns编排模块2140。此外，描述网络切片的静态参数和功能组件的网络切片模块存储在ns资源模块2150中。在其他实施例中，网络切片系统200中还有其他模块，例如，ns安全策略模块2170、ns安全数据收集模块2180和ns安全数据分析模块2190。例如，ns安全策略模块2170可以被配置为支持将所请求的网络切片服务的安全要求反映到网络切片安全策略。在一些示例实施例中，ns安全数据收集模块2180可以被配置为收集关于网络数据(例如，服务、网络切片、网络切片子网和/或网络功能相关数据)的安全策略实施状态，以支持检查所请求的网络切片服务的安全要求是否满足。ns安全数据分析模块2190可以被配置为利用所收集的关于安全策略实施状态的网络数据来执行分析以获取最佳网络切片安全保证。稍后将参考附图描述上述模块的细节。
51.在一些实施例中，网络切片可以包括多个ns子网(nss)，例如，nss 220-1、nss 220-2或nss 220-3。对于一个nss，有一些相关模块。如图2所示，nss(例如，nss 220-1)可以包括以下中的一项或多项：nss管理模块2210、nss数据收集模块2220、nss数据分析模块
2230、nss编排模块2240、nss资源模块2250、nss实例库存模块2260、nss安全控制模块2270、nss安全数据收集模块2280和nss安全数据分析模块2290。ns子网可以基于不同域来划分，例如，地理区域。替代地，ns子网可以基于不同功能来划分。例如，可以有一个或多个ns子网具有某些安全特性。
52.nss中的上述模块的功能与网络切片中的功能类似，稍后也会进行描述。例如，nss安全控制模块2270可以被配置为支持将网络切片安全策略设置为网络切片子网安全控制。在一些实施例中，nss安全数据收集模块2280可以被配置为收集关于网络数据(例如，网络切片、网络切片子网和/或网络功能相关数据)的安全策略实施状态，以支持检查所请求网络切片子网的安全要求是否满足。此外，nss安全数据分析模块2290可以被配置为利用所收集的关于安全策略实施状态的网络数据来执行分析以获取最佳网络切片子网安全保证。
53.网络切片系统200还可以包括网络功能虚拟化管理和编排(nfv-mano)模块230，nfv-mano模块230被配置为管理网络功能虚拟化基础设施(nfvi)并且编排网络服务和虚拟网络功能(vnf)所需要的资源分配。网络切片系统200中的nfv编排器(nfvo)模块240可以负责跨多个虚拟基础设施管理(vim)的nfvi资源的编排和网络服务的生命周期管理。在一些实施例中，nfvo模块可以包括网络服务目录模块2410、vnf目录模块2420、vfv实例库存2430和nfvi资源模块2440。
54.在一些示例实施例中，网络切片系统200可以包括被配置为负责vnf实例的生命周期管理的vnf管理器(vnfm)。虚拟化基础设施管理器(vim)模块270可以被配置为负责控制和管理nfvi计算、存储和网络资源。包括数据转发策略的sdn控制模块可以被包括到vim中。
55.如图2所示，nfv-mano模块230还可以包括被配置为管理网络服务在其整个生命周期内的安全性的nfv安全管理器模块250。此外，nfv安全管理器模块250中的安全服务目录模块2510可以是具有以下能力的新逻辑功能：1)存储所有板载安全服务；2)支持安全服务资源模型的创建和管理；3)支持创建网络切片子网实例(即，nss_security)。nfv安全管理器模块250还可以包括虚拟安全功能(vsn)目录模块2520，其是特定类型的vnf目录。nfv安全管理器模块250还可以包括vsf实例2530，其是特定类型的vnf实例。本文中使用的vsf可以是指具有定制安全功能(例如，防火墙、ids/ips、虚拟化安全监测功能)的特殊类型的vnf。
56.在示例实施例中，网络切片系统200可以包括nfvi安全管理器230，nfvi安全管理器230被配置为构建和管理nfvi中的安全性，以支持用于在高层中管理网络服务的安全性的nfv安全管理器请求。网络切片系统200中的vnf模块285可以包括vnf和虚拟安全功能(vsf)，vsf是具有定制的安全功能(例如，防火墙、ids/ips、虚拟化安全监测功能)的特殊类型的vnf。基于nfvi的安全功能模块290可以是由nfv基础设施提供的安全功能。它包括虚拟化安全设备或软件安全特征(例如，基于管理程序的防火墙)和基于硬件的安全设备/模块/特征(例如，硬件安全模块、加密加速器或可信平台模块)。网络切片系统200中的物理网络功能(pnf)模块295可以包括一个或多个pnf和一个或多个物理安全功能(psf)，psf是混合网络的物理部分中常规实现的安全功能。
57.现在参考图3，图3示出了根据本公开的一些示例实施例的分配网络切片的信令流300。为了便于讨论，将参考图2来描述过程300。信令流300可以涉及第一设备110和第二设备120。应当注意，图3所示的信令流仅一个示例。
58.现在参考图3，图3示出了根据本公开的一些示例实施例的分配网络切片的方法300的流程图。为了讨论的目的，将参考图2描述方法300。方法300可以在任何合适的设备处实现。例如，该方法可以在第一设备110处实现。
59.在框310，第一设备110从第二设备120接收对网络切片的分配资源的请求。该请求可以经由ns消费门户205被传输给第一设备110。该请求指示网络切片的一个或多个特性。例如，该请求指示网络切片的安全要求。在一些实施例中，该请求可以指示网络切片类型。替代地或另外地，该请求可以指示网络切片的带宽。这些特性可以包括网络切片的优先级。在一些示例实施例中，网络切片的延迟要求可以在该请求中指示。该请求还可以指示网络切片的吞吐量和/或访问网络切片的终端设备的最大数目。
60.在一些实施例中，第一设备110可以基于凭证或预共享密钥来执行第二设备120的认证。替代地或另外地，第二设备120可以由第一设备110基于白/黑名单或访问控制列表(acl)来授权。
61.在框320，第一设备110从该请求中获取网络切片的安全要求。在框330，第一设备110基于安全要求确定安全服务列表。
62.在框340，第一设备110分配支持安全服务列表的网络切片实例。网络切片实例至少满足在请求中指明的安全要求。例如，如果该请求指示需要隔离硬件，则网络切片可以被分配有隔离硬件。以这种方式，所请求的网络切片的安全要求可以得到满足。
63.在一些示例实施例中，第一设备110可以将安全服务列表映射到多个网络切片资源模块，并且获取可用网络切片实例的信息。第一设备110可以获取可用网络切片实例的安全状态，并且确定现有网络切片实例是否满足安全要求。如果现有网络切片实例满足安全要求，则第一设备110可以将现有网络切片实例确定为所请求的网络切片子网的分配资源。如果现有网络切片实例不满足网络切片子网的简档，则第一设备110可以至少部分基于安全要求来创建网络切片实例。
64.在其他示例实施例中，第一设备110可以将安全服务列表映射到多个网络切片子网资源模块，并且获取可用网络切片子网实例的信息。第一设备110可以获取可用网络切片子网实例的安全状态，并且确定现有网络切片子网实例是否满足安全要求。如果现有网络切片子网实例满足安全要求，则第一设备110可以将现有网络切片子网实例确定为所请求的网络切片子网的分配资源。如果现有网络切片子网实例不满足网络切片子网的简档，则第一设备110可以至少部分基于安全要求来创建网络切片子网实例。
65.图4和图5分别示出了根据本公开的一些示例实施例的分配网络切片实例的交互400和500的示意图。特别地，图4示出了在ns级别分配网络切片实例的交互，图5示出了在nss级别分配网络切片子网实例的交互。
66.如图4所示，ns编排模块2140可以从所接收的请求中获取4005安全要求。ns编排模块2140可以基于安全要求确定4010安全服务类型列表。例如，ns编排模块2140可以基于安全要求确定需要数据传输的隔离。替代地，安全服务类型列表可以包括病毒检测和数据清理。在一些示例实施例中，ns编排模块2140可以确定需要对管理数据进行防篡改。传输过程中数据的机密性保护可以被包括在安全服务类型列表中。在其他实施例中，安全服务类型列表可以进一步对传输期间的数据进行完整性保护。安全服务类型列表还可以包括以下中的一项或多项：硬件隔离、软件隔离、防ddos攻击、防病毒和防恶意软件。应当注意，本公开
的实施例不限于此。
67.ns编排模块2140可以访问4015ns资源模块2150以获取网络切片实例的安全状态。如上所述，ns资源模块2150可以存储描述网络切片的静态参数和功能组件的网络切片模块。ns编排模块2140可以将所接收的具有安全服务类型列表的请求映射4020到合适的ns资源模块。例如，合适的ns资源模块的安全简档可以满足在请求中指示的安全要求。合适的ns资源模块的安全简档可以包括数据加密。在其他示例实施例中，数据完整性验证可以被包括在安全简档中。该简档还可以包括数据过滤和/或数据清理。替代地或另外地，合适的ns资源模块可以能够支持在请求中指示的所需要的服务。
68.ns编排模块2140可以访问4025ns实例库存模块2160以获取关于可用网络切片实例的信息。ns编排模块2140可以确定4030现有网络切片实例是否满足请求。在一些示例实施例中，ns编排模块2140可以基于从ns实例库存模块2160获取的信息来检查可用网络切片实例是否可以支持所需要的服务。ns编排模块2140还可以基于从ns实例库存模块2160获取的信息来检查可用网络切片实例是否能够满足请求中的安全要求。如果存在一个现有网络切片实例满足安全要求，则ns编排模块2140可以将现有网络切片实例分配4035给所请求的网络切片的分配。如果不存在满足安全要求的现有网络切片实例，则ns编排模块2140可以创建4040新的网络切片实例。ns编排模块2140可以确定用于创建网络切片实例的多个子网，例如，子网220-1、220-2和220-3。ns编排模块2140可以通过链接多个ns子网来创建网络切片实例。ns编排模块2140可以向nss编排模块2240传输向多个ns子网分配资源的另外的请求，这在图4中未示出。图5示出了在nss级别创建网络切片子网实例的交互。
69.如果nss编排模块2240从ns编排模块2140接收到另外的请求，则nss编排模块2240可以认证和授权ns编排模块2140。nss编排模块2240可以访问5015nss资源模块2250。如上所述，nss资源模块2250可以存储描述网络切片子网的静态参数和功能组件的网络切片子网模块。nss资源模块2250可以获取网络切片子网实例的安全状态。nss编排模块2240可以将所接收的具有安全服务类型列表
70.的请求映射5020到合适的nss资源模块。例如，合适的nss资源模
71.块的安全简档可以满足在另外的请求中指示的安全要求。合适的nss资源模块的安全简档可以包括数据加密。在其他示例实施例中，数据完整性验证可以被包括在安全简档中。该简档还可以包括数据过滤和/或数据清理。替代地或另外地，合适的nss资源模块可以能够支持请求中指示的所需要的服务。
72.nss编排模块2240可以访问5025nss实例库存模块2260以获取关于可用网络切片子网实例的信息。nss编排模块2240可以确定5030现有网络切片子网实例是否满足请求。在一些示例实施例中，nss编排模块2240可以基于从nss实例库存模块2260获取的信息来检查可用网络切片子网实例是否可以支持所需要的服务。nss编排模块2240还可以基于从nss实例库存模块2260获取的信息来检查可用网络切片子网实例是否能够满足另外的请求中的安全要求。如果存在一个现有网络切片子网实例满足安全要求，则nss编排模块2240可以将现有网络切片子网实例分配5035给所请求的网络切片子网的分配资源。nss编排模块2240可以将网络切片子网实例的安全状态提供给ns编排模块2140。
73.如果不存在满足安全要求的现有网络切片子网实例，则nss编排模块2240可以创建5040新的网络切片子网实例。nss编排模块2240可以向nfv-mano 230传输5045对网络服
务的分配资源的另一请求。nfv-mano 230可以执行5050基于凭证的另一请求的认证和基于acl或白/黑名单的另一请求的授权。
74.在认证和授权之后，nfv-mano 230可以将所请求的用于网络切片子网的分配资源分配5055给满足安全要求的一个或多个现有网络服务实例。替代地，nfv-mano 230可以为请求的网络切片子网的分配创建新的网络服务实例。nfv-mano 230可以向nss编排模块2240传输5060网络服务的确认。在一些实施例中，nss编排模块2240可以向ns编排模块2140确认网络切片子网实例的分配。
75.再次参考图3，在框350，第一设备110向第二设备120传输网络切片实例的分配的指示。例如，ns编排模块2140可以经由ns消费门户205向第二设备120传输该指示。ns编排模块2140还可以向第二设备120提供网络切片实例的安全状态。
76.在一些示例实施例中，第一设备110可以监测所分配的网络切片实例上的数据。第一设备110可以基于监测到的数据来确定网络切片的安全要求是否满足。该数据可以是指与网络切片实例或网络切片子网实例相关的日期。例如，ns安全数据收集模块2180可以收集监测数据的安全策略实施状态，以支持检查所请求的网络切片的分配资源的安全要求是否满足。ns安全数据分析模块2190可以利用所收集的关于安全策略实施状态的网络数据来执行分析以获取最佳网络切片子网安全保证。ns安全策略模块2170可以支持将网络切片安全策略设置为网络切片子网安全控制。如果安全要求不满足，则第一设备110可以更新网络切片的分配资源。例如，第一设备110可以重新创建或重新分配网络切片实例。
77.在分配网络切片实例之后，第一设备110可以通过其他设备(例如，作为网络设备的设备130-3和/或130-4)来监测第三设备130-1。第一设备110还可以监测来自第三设备130-3和/或130-4的访问数据。第三设备130-1的异常行为可以由第一设备110基于网络切片实例上经由设备130-3和/或130-4的第三设备130-1的访问数据来检测。
78.图6示出了根据本公开的一些示例实施例的分配网络切片的方法600的流程图。方法600可以在任何合适的设备处实现。例如，该方法可以在第二设备120处实现。
79.在框610，第二设备120生成对网络切片的分配的请求。该请求指示网络切片的一个或多个特性。例如，该请求指示网络切片的安全要求。在一些实施例中，该请求可以指示网络切片类型。替代地或另外地，该请求可以指示网络切片的带宽。这些特性可以包括网络切片的优先级。在一些示例实施例中，网络切片的延迟要求可以在该请求中指示。该请求还可以指示网络切片的吞吐量和/或访问网络切片的终端设备的最大数目。
80.在框620，第二设备120向第一设备110传输该请求。例如，该请求可以经由ns消费门户205传输给第一设备110。在一些实施例中，第二设备120可以由第一设备110在凭证或预共享密钥上进行认证。替代地或另外地，第二设备120可以由第一设备110基于白/黑名单或访问控制列表(acl)来授权。
81.在框630，第二设备120接收到第二设备120的网络切片实例的分配的指示。例如，该指示可以经由ns消费门户205来接收。ns编排模块2140也可以向第二设备120提供网络切片实例的安全状态。
82.在一些实施例中，如果安全要求不满足，则第二设备120可以接收网络切片的更新分配资源的另外的指示。替代地，第二设备120可以接收第三设备130的异常行为的检测的另一指示。
83.在实施例中，一种用于执行方法300的装置(例如，第一设备110)可以包括用于执行方法300中的对应步骤的相应部件。这些部件可以以任何合适的方式来实现。例如，它可以通过电路系统或软件模块来实现。
84.在一些实施例中，该装置包括用于在第一设备处从第二设备接收对网络切片的分配资源的请求的部件；用于从该请求中获取网络切片的安全要求的部件；用于基于安全要求确定安全服务列表的部件；用于分配支持安全服务列表的网络切片实例的部件；以及用于向第二设备传输所分配的网络切片实例的指示的部件。
85.在一些实施例中，用于分配网络切片实例的部件包括：用于将安全服务列表映射到网络切片资源模块的部件；用于获取可用网络切片实例的信息的部件；用于获取可用网络切片实例的安全状态的部件；用于确定现有网络切片实例是否满足安全要求的部件；用于根据确定现有网络切片实例满足安全要求来将现有网络切片实例确定为所请求的网络切片的分配资源的部件；或者用于根据确定现有网络切片实例不满足网络切片的简档而至少部分基于安全要求来创建新的网络切片实例的部件。
86.在一些实施例中，用于创建网络切片实例的部件包括：用于分配满足安全要求和所需要的服务的多个网络切片子网实例的部件；用于通过链接多个网络切片子网实例来创建网络切片实例的部件。
87.在一些实施例中，用于分配多个网络切片子网实例的部件包括用于将安全服务列表映射到多个网络切片子网资源模块的部件；用于获取可用网络切片子网实例的信息的部件；用于获取可用网络切片子网实例的安全状态的部件；用于确定现有网络切片子网实例是否满足安全要求的部件；用于根据确定现有网络切片子网实例满足安全要求来将现有网络切片子网实例确定为所请求的网络切片子网的分配资源的部件；或者用于根据确定现有网络切片子网实例不满足网络切片子网的简档而至少部分基于安全要求来创建网络切片子网实例的部件。
88.在一些实施例中，该装置还包括用于响应于监测网络切片实例上的数据而基于该数据来确定网络切片的安全要求是否满足的部件；以及用于根据确定安全要求不满足来更新网络切片的分配资源的部件。
89.在一些实施例中，该装置还包括用于通过监测网络切片实例上的第三设备的访问数据来检测第三设备的异常行为的部件。
90.在一些实施例中，该装置包括用于将安全服务列表映射到网络切片资源模块的部件；用于获取一个或多个网络切片实例的安全状态的部件；以及用于基于网络切片资源模块分配网络切片实例的部件。
91.在一些实施例中，第一设备是网络设备，第二设备是另一网络设备，并且第三设备是终端设备或另外的网络设备。
92.在实施例中，一种用于执行方法600的装置(例如，第二设备120)可以包括用于执行方法600中的对应步骤的相应部件。这些部件可以以任何合适的方式来实现。例如，它可以通过电路系统或软件模块来实现。
93.在一些实施例中，该装置包括用于生成对网络切片的分配资源的请求的部件，该请求至少指示安全要求；用于向第一设备传输该请求的部件；以及用于从第一设备接收所分配的网络切片实例的指示的部件，所分配的网络切片实例至少满足安全要求。
94.在一些实施例中，该装置还包括用于根据确定安全要求不满足来接收网络切片的更新分配资源的另外的指示的部件。
95.在一些实施例中，该装置还包括用于从第一设备接收第三设备的异常行为的检测的另一指示的部件。
96.在一些实施例中，第一设备是网络设备，第二设备是另一网络设备，并且第三设备是终端设备或另外的网络设备。
97.图7是适合于实现本公开的实施例的设备700的简化框图。可以提供设备700来实现通信设备，例如如图1所示的第一设备110或第二设备120。如图所示，设备700包括一个或多个处理器710、耦合到处理器710的一个或多个存储器720、以及耦合到处理器710的一个或多个通信模块740。
98.通信模块740用于双向通信。通信模块740具有至少一个天线以促进通信。通信接口可以表示与其他网络元件通信所必需的任何接口。
99.处理器710可以是适合本地技术网络的任何类型，并且作为非限制性示例，可以包括以下中的一种或多种：通用计算机、专用计算机、微处理器、数字信号处理器(dsp)和基于多核处理器架构的处理器。设备700可以具有多个处理器，诸如在时间上从属于与主处理器同步的时钟的专用集成电路芯片。
100.存储器720可以包括一个或多个非易失性存储器和一个或多个易失性存储器。非易失性存储器的示例包括但不限于只读存储器(rom)724、电可编程只读存储器(eprom)、闪存、硬盘、压缩盘(cd)、数字视频磁盘(dvd)和其他磁存储和/或光存储。易失性存储器的示例包括但不限于随机存取存储器(ram)722和不会在断电期间持续的其他易失性存储器。
101.计算机程序730包括由相关联的处理器710执行的计算机可执行指令。程序730可以存储在rom 724中。处理器710可以通过将程序730加载到ram 722中来执行任何合适的动作和处理。
102.本公开的实施例可以通过程序720来实现，使得设备700可以执行如参考图2和图6讨论的本公开的任何过程。本公开的实施例也可以通过硬件、或软件和硬件的组合来实现。
103.在一些示例实施例中，程序730可以有形地包含在计算机可读介质中，该计算机可读介质可以被包括在设备700(诸如存储器720)或设备700可访问的其他存储设备中。设备700可以将程序730从计算机可读介质加载到ram 722以供执行。计算机可读介质可以包括任何类型的有形非易失性存储器，诸如rom、eprom、闪存、硬盘、cd、dvd等。图8示出了cd或dvd形式的计算机可读介质800的示例。计算机可读介质上存储有程序730。
104.应当理解，未来的网络可以利用网络功能虚拟化(nfv)，nfv是一种网络架构概念，它提出将网络节点功能虚拟化为可以在操作上连接或链接在一起以提供服务的“构建块”或实体。虚拟化网络功能(vnf)可以包括一个或多个虚拟机，该虚拟机使用标准或通用类型的服务器而不是定制硬件来运行计算机程序代码。也可以使用云计算或数据存储。在无线电通信中，这可以表示节点操作至少部分在操作上耦合到分布式单元du(例如，无线电头端/节点)的中央/集中式单元cu(例如，服务器、主机或节点)中执行。节点操作也可以分布在多个服务器、节点或主机之间。还应当理解，核心网操作与基站操作之间的工作分配可以根据实现而有所不同。
105.在一个实施例中，服务器可以生成虚拟网络，服务器通过该虚拟网络与分布式单
元通信。一般而言，虚拟网络可以涉及将硬件和软件网络资源和网络功能组合成单个基于软件的管理实体(虚拟网络)的过程。这样的虚拟网络可以在服务器与无线电头端/节点之间提供灵活的操作分布。在实践中，任何数字信号处理任务都可以在cu或du中执行，并且cu与du之间职责转移的边界可以根据实现来选择。
106.因此，在一个实施例中，实现了cu-du架构。在这种情况下，设备700可以被包括在可操作地耦合(例如，经由无线或有线网络)到分布式单元(例如，远程无线电头端/节点)的中央单元(例如，控制单元、边缘云服务器、服务器)中。也就是说，中央单元(例如，边缘云服务器)和分布式单元可以是经由无线电路径或经由有线连接彼此通信的独立装置。替代地，它们可以在经由有线连接等进行通信的同一实体中。边缘云或边缘云服务器可以服务于多个分布式单元或无线电接入网。在一个实施例中，所描述的过程中的至少一些可以由中央单元执行。在另一实施例中，设备700可以改为被包括在分布式单元中，并且所描述的过程中的至少一些可以由分布式单元执行。
107.在一个实施例中，设备500的至少一些功能的执行可以在形成一个操作实体的两个物理上分离的设备(du和cu)之间共享。因此，该装置可以被视为描绘了包括用于执行所描述的过程中的至少一些的一个或多个物理上分离的设备的操作实体。在一个实施例中，这样的cu-du架构可以在cu与du之间提供灵活的操作分布。在实践中，任何数字信号处理任务都可以在cu或du中执行，并且cu与du之间职责转移的边界可以根据实现来选择。在一个实施例中，设备500控制过程的执行，而不管装置的位置和过程/功能在哪里执行。
108.通常，本公开的各种实施例可以使用硬件或专用电路、软件、逻辑或其任何组合来实现。一些方面可以使用硬件实现，而其他方面可以使用可以由控制器、微处理器或其他计算设备执行的固件或软件来实现。尽管本公开的实施例的各个方面被图示和描述为框图、流程图或使用一些其他图形表示，但是应当理解，作为非限制性示例，本文中描述的块、设备、系统、技术或方法可以使用硬件、软件、固件、专用电路或逻辑、通用硬件或控制器或其他计算设备、或其某种组合来实现。
109.本公开还提供有形地存储在非暂态计算机可读存储介质上的至少一种计算机程序产品。计算机程序产品包括计算机可执行指令，诸如程序模块中包括的指令，该指令在目标真实或虚拟处理器上的设备中执行，以执行如以上参考图3和图6描述的方法300和400。通常，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、库、对象、类、组件、数据结构等。在各种实施例中，程序模块的功能可以根据需要在程序模块之间组合或拆分。程序模块的机器可执行指令可以在本地或分布式设备内执行。在分布式设备中，程序模块可以位于本地和远程存储介质两者中。
110.用于执行本公开的方法的程序代码可以以一种或多种编程语言的任何组合来编写。这些程序代码可以被提供给通用计算机、专用计算机或其他可编程数据处理设备的处理器或控制器，使得程序代码在由处理器或控制器执行时引起在流程图和/或框图中指定的功能/操作被实现。程序代码可以完全在机器上、部分在机器上、作为独立软件包、部分在机器上和部分在远程机器上、或完全在远程机器或服务器上执行。
111.在本公开的上下文中，计算机程序代码或相关数据可以由任何合适的载体承载，以使得设备、装置或处理器能够执行如上所述的各种过程和操作。载体的示例包括信号、计算机可读介质等。
112.计算机可读介质可以是计算机可读信号介质或计算机可读存储介质。计算机可读介质可以包括但不限于电子、磁性、光学、电磁、红外线或半导体系统、装置或设备、或前述各项的任何合适的组合。计算机可读存储介质的更具体示例将包括具有一根或多根电线的电连接、便携式计算机软盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或闪存)、光纤、便携式光盘只读存储器(cd-rom)、光存储设备、磁存储设备、或前述各项的任何合适的组合。
113.此外，虽然以特定顺序描述操作，但这不应当被理解为需要以所示特定顺序或按顺序执行这样的操作或者执行所有所示操作以获取期望结果。在某些情况下，多任务和并行处理可能是有利的。同样，虽然在上述讨论中包含了若干具体实现细节，但这些不应当被解释为对本公开的范围的限制，而是对可能特定于特定实施例的特征的描述。在单独实施例的上下文中描述的某些特征也可以在单个实施例中组合实现。相反，在单个实施例的上下文中描述的各种特征也可以在多个实施例中单独或以任何合适的子组合来实现。
114.尽管本公开已经以特定于结构特征和/或方法动作的语言进行了描述，但是应当理解，在所附权利要求中定义的本公开不一定限于上述特定特征或动作。相反，上述具体特征和动作被公开作为实现权利要求的示例形式。