一种安全资源调度方法、装置、电子设备及存储介质与流程

1.本技术涉及网络安全技术领域，尤其涉及一种安全资源调度方法、装置、电子设备及存储介质。


背景技术：

2.目前，第五代移动通信(5th generation mobile networks，5g)通过多接入边缘计算(multi-access edge computing，mec)技术，将应用部署到数据侧，而不是将所有的数据发送到集中的数据中心，以满足应用的实时性。
3.进一步地，为了实现对mec中数据的安全防护，通常需要根据mec的资源约束、分布式、实时性等特征，设置具有针对性的mec安全防护架构。
4.例如，在5g用户平面功能(user plane function，upf)部署在企业侧的场景中，将采用多种安全资源对数据包进行深度解析的一体机网关部署在5gupf侧，从而根据5g upf的数据流量多样性，以及一体机网关的一刀切的业务处理逻辑和全局的服务质量，支撑多种多样的业务类型的数据处理。
5.然而，采用上述的安全防护方法，根据业务数据的业务类型，调用一体机网关中，与业务数据的业务类型相匹配的至少一种安全资源，会由于业务数据的业务类型的种类较多或者数据量较大时，会因大量的匹配操作耗费大量的时间；并且，如果安全资源的选取不及时，会影响对业务数据的安全防护。
6.因此，采用上述方式，安全资源的调度效率较低。


技术实现要素：

7.本技术实施例提供了一种安全资源调度方法、装置、电子设备及存储介质，用以提高安全资源的调度效率。
8.第一方面，本技术实施例提供了一种安全资源调度方法，所述方法包括：
9.接收业务数据发送方发送的目标业务数据，并对目标业务数据进行数据解析，获得目标业务数据的目标数据类型；
10.从预设的至少一个候选安全资源集合中，筛选出与目标数据类型相匹配的目标安全资源集合；其中，目标安全资源集合至少包括：目标业务数据的各种安全资源需求各自对应的安全资源；
11.基于目标业务数据的各种安全资源需求，各自归属的资源需求区间，分别确定各种安全资源需求各自对应的安全资源调度占比；
12.基于获得的各个安全资源调度占比，以及所述目标安全资源集合，针对目标业务数据进行安全资源调度。
13.第二方面，本技术实施例还提供了一种安全资源调度装置，所述装置包括：
14.接收模块，用于接收业务数据发送方发送的目标业务数据，并对目标业务数据进行数据解析，获得目标业务数据的目标数据类型；
15.筛选模块，用于从预设的至少一个候选安全资源集合中，筛选出与目标数据类型相匹配的目标安全资源集合；其中，目标安全资源集合至少包括：所述目标业务数据的各种安全资源需求各自对应的安全资源；
16.确定模块，用于基于目标业务数据的各种安全资源需求，各自归属的资源需求区间，分别确定各种安全资源需求各自对应的安全资源调度占比；
17.调度模块，用于基于获得的各个安全资源调度占比，以及目标安全资源集合，针对目标业务数据进行安全资源调度。
18.一种可能的实施例中，在接收业务数据发送方发送的目标业务数据之前，所述筛选模块还用于：
19.针对各种历史业务数据，分别执行以下操作：
20.获取一种历史业务数据的特征属性信息；其中，特征属性信息表征：一种历史业务数据的历史数据类型；
21.基于特征属性信息包含的各特征属性，分别确定各特征属性各自对应的安全资源；
22.将获得的各种安全资源，添加到对应一种历史业务数据的历史数据类型设置的候选安全资源集合。
23.一种可能的实施例中，在获取一种历史业务数据的特征属性信息之后，所述筛选模块还用于：
24.按照预设的属性信息转换格式，将特征属性信息转换为标准属性信息；
25.基于标准属性信息包含的安全策略数据和服务质量数据，进行相应的安全资源调度的预先配置。
26.一种可能的实施例中，在对目标业务数据进行数据解析，获得目标业务数据的目标数据类型时，所述接收模块具体用于：
27.对目标业务数据进行数据解析，获得目标业务数据的标识信息；
28.基于预设的标识信息与数据类型之间的对应关系，确定目标业务数据的目标数据标识。
29.一种可能的实施例中，在基于获得的各个安全资源调度占比，以及目标安全资源集合，针对目标业务数据进行安全资源调度时，所述调度模块具体用于：
30.分别确定目标安全资源集合包含的各种安全资源，各自对应的安全资源调优先级；
31.按照各个安全资源调度占比及其各自对应的安全资源调用优先级，针对目标业务数据进行安全资源调度。
32.第三方面，提出了一种电子设备，其包括处理器和存储器，其中，所述存储器存储有程序代码，当所述程序代码被所述处理器执行时，使得所述处理器执行上述第一方面所述的安全资源调度方法的步骤。
33.第四方面，提出一种计算机可读存储介质，其包括程序代码，当所述程序代码在电子设备上运行时，所述程序代码用于使所述电子设备执行上述第一方面所述的安全资源调度方法的步骤。
34.第五方面，提供一种计算机程序产品，所述计算机程序产品在被计算机调用时，使
得所述计算机执行如第一方面所述的安全资源调度方法步骤。
35.本技术有益效果如下：
36.在本技术实施例所提供的安全资源调度方法中，接收业务数据发送方发送的目标业务数据，并对目标业务数据进行数据解析，获得目标业务数据的目标数据类型；接着，从预设的至少一个候选安全资源集合中，筛选出与目标数据类型相匹配的目标安全资源集合；其中，目标安全资源集合至少包括：目标业务数据的各种安全资源需求各自对应的安全资源；进一步地，基于目标业务数据的各种安全资源需求，各自归属的资源需求区间，分别确定各种安全资源需求各自对应的安全资源调度占比；最终，基于获得的各个安全资源调度占比，以及目标安全资源集合，针对目标业务数据进行安全资源调度。
37.采用这种方式，基于获得的各个安全资源调度占比，以及目标安全资源集合，针对目标业务数据进行安全资源调度，避免了现有技术中，业务数据的业务类型的种类较多或者数据量较大时，会因大量的匹配操作耗费大量的时间；并且，如果安全资源的选取不及时，会影响对业务数据的安全防护的技术弊端，故而，提高了安全资源的调度效率。
38.此外，本技术的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者，通过实施本技术而了解。本技术的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
39.图1示例性示出了本技术实施例提供的一种s-nssai的组成结构示意图；
40.图2示例性示出了本技术实施例适用的一种可选的应用场景示意图；
41.图3示例性示出了本技术实施例提供的一种设置候选安全资源集合的方法流程示意图；
42.图4示例性示出了本技术实施例提供的一种确定安全资源的逻辑示意图；
43.图5示例性示出了本技术实施例提供的一种设置安全资源的逻辑示意图；
44.图6示例性示出了本技术实施例提供的一种安全资源调度方法的方法实施流程图；
45.图7示例性示出了本技术实施例提供的一种融合安全网关架构的结构示意图；
46.图8示例性示出了本技术实施例提供的一种执行安全资源调度方法的逻辑示意图；
47.图9示例性示出了本技术实施例提供的一种基于图6的具体应用场景示意图；
48.图10示例性示出了本技术实施例提供的一种安全资源调度装置的结构示意图；
49.图11示例性示出了本技术实施例提供的一种电子设备的结构示意图。
具体实施方式
50.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术技术方案的一部分实施例，而不是全部的实施例。基于本技术文件中记载的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本技术技术方案保护的范围。
51.需要说明的是，在本技术的描述中“多个”理解为“至少两个”。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。a与b连接，可以表示：a与b直接连接和a与b通过c连接这两种情况。另外，在本技术的描述中，“第一”、“第二”等词汇，仅用于区分描述的目的，而不能理解为指示或暗示相对重要性，也不能理解为指示或暗示顺序。
52.以下对本技术实施例中的部分技术用语进行解释说明，以便于本领域技术人员理解。
53.(1)mec：作为5g网络新型网络架构之一，通过将云计算能力和it服务环境下沉到移动通信网络边缘，就近向用户提供服务，从而构建一个具备高性能、低时延与高带宽的电信级服务环境。
54.需要说明的是，mec将核心网功能下沉到网络边缘，具备丰富的应用场景，带来新的安全挑战的同时，也加大了安全监管难度；与此同时，原有的安全防护方案并没有覆盖到边缘场景。
55.其中，mec是指在靠近用户业务数据源头的一侧，提供近端边缘计算服务，满足行业在低时延、高带宽、安全与隐私保护等方面的基本需求，如：更接近用户位置的实时、安全处理数据等。
56.示例性的，综合不同业务对时延、成本和企业数据安全性的考量，下沉到汇聚机房和园区是主力部署方案，mec的部署场景可分为广域mec和局域mec两大类。对于安全与隐私保护高敏感的行业，可以选择将mec部署在园区，以满足数据不出园的要求。
57.(2)网络切片：是一种按需组网的方式，可以让运营商在统一的基础设施上分离出多个虚拟的端到端网络，每个网络切片从无线接入网到承载网再到核心网上进行逻辑隔离，以适配各种各样类型的应用。其中，在一个网络切片中，至少可分为：无线网子切片、承载网子切片和核心网子切片三部分。
58.需要说明的是，通过网络切片，运营商能够在一个通用的物理网络之上构建多个专用的、虚拟化的、互相隔离的逻辑网络，来满足不同客户对网络能力的差异化要求。
59.(3)单个网络切片选择协助信息(single network slice selection assistance information，s-nssai)：参阅图1所示，由8bits切片/服务类型(sst)和24bits切片分量(sd)组成，其中，sst指示s-nssai的切片和服务类型，是指在功能和服务方面预期的网络片行为，sd是s-nssai参数切片、服务类型的组成和切片分量，是对切片/服务类型进行补充以在同一切片/服务类型的多个网络切片之间进行区分的可选信息。
60.(4)融合安全网关：也称之为融合多种安全能力的安全网关，如病毒检测、入侵检测与防护、漏洞扫描等安全能力，通过部署一台独立设备达到传统需要多台安全设备才能满足的多种安全检测及防护能力需求。
61.(5)服务质量(quality of service，qos)：指一个网络能够利用各种基础技术，为指定的网络通信提供更好的服务能力，是网络的一种安全机制，用来解决网络延迟和阻塞等问题的一种技术，需要说明的是，qos的保证对于容量有限的网络来说是十分重要的。
62.下面对本技术实施例的设计思想进行简要介绍：
63.传统融合安全网关针对传统网络环境的安全防护，直接部署在5g网络环境下，因为对网络切片无感知，所以安全业务的处理可能无法很好满足实际业务特性的防护需求。
64.例如，针对确定性时延问题，不同业务对于带宽和时延有着截然不同的需求。传统业务对网络e2e(end-to-end，端到端)时延的要求一般在100ms以上，时延要求较低。但实时交互和工业控制类业务，如电网差动保护业务，对ip承载网络的时延要求是2ms，且要求网络提供确定性、可承诺的时延保证。
65.不难看出，现有技术中，根据业务数据的业务类型，调用传统安全网关中，与业务数据的业务类型相匹配的至少一种安全资源，会由于业务数据的业务类型的种类较多或者数据量较大时，会因大量的匹配操作耗费大量的时间；并且，如果安全资源的选取不及时，会影响对业务数据的安全防护。
66.鉴于此，为解决当前在5g mec场景下，直接使用传统安全网关存在的诸多问题，即提高安全资源的调度效率，本技术实施例提出了一种安全资源调度方法，具体包括：接收业务数据发送方发送的目标业务数据，并对目标业务数据进行数据解析，获得目标业务数据的目标数据类型；接着，从预设的至少一个候选安全资源集合中，筛选出与目标数据类型相匹配的目标安全资源集合；其中，目标安全资源集合至少包括：目标业务数据的各种安全资源需求各自对应的安全资源；进一步地，基于目标业务数据的各种安全资源需求，各自归属的资源需求区间，分别确定各种安全资源需求各自对应的安全资源调度占比；最终，基于获得的各个安全资源调度占比，以及目标安全资源集合，针对目标业务数据进行安全资源调度。
67.特别地，以下结合说明书附图对本技术的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本技术，并不用于限定本技术，并且在不冲突的情况下，本技术实施例及实施例中的特征可以相互组合。
68.参阅图2所示，其为本技术实施例适用的一种可选的应用场景示意图，该应用场景主要包括：业务数据发送方201、融合安全网关202以及业务数据接收方203，其中，业务数据发送方201，可经过融合安全网关202与业务数据接收方203进行信息交互；此外，业务数据发送方201与业务数据接收方203之间可通过通信网络进行信息交互，其中，通信网络采用的通信方式可包括：无线通信方式和有线通信方式。
69.示例性的，业务数据发送方201可通过蜂窝移动通信技术接入网络，与业务数据接收方203进行通信，其中，所述蜂窝移动通信技术，比如，包括5g技术。
70.可选的，业务数据发送方201可通过短距离无线通信方式接入网络，与业务数据接收方203进行通信，其中，所述短距离无线通信方式，比如，包括无线保真(wireless fidelity，wi-fi)技术。
71.可以理解的是，实际状况中，上述应用场景包含的业务数据接收方和业务数据发送方的数量可以为指定的任意数目，本技术对此不做任何限制，为便于理解，本技术实施例仅以业务数据发送方201和业务数据接收方203为例进行描述，下面对上述设备及其各自的功能进行简要介绍。
72.可选的，业务数据发送方201和业务数据接收方203，均是一种可以向用户提供语音和/或数据连通性的设备，包括：具有无线连接功能的手持式终端设备、车载终端设备等。
73.示例性的，终端设备包括但不限于：手机、平板电脑、笔记本电脑、掌上电脑、移动互联网设备(mobile internet device，mid)、可穿戴设备，虚拟现实(virtual reality，vr)设备、增强现实(augmented reality，ar)设备、工业控制中的无线终端设备、无人驾驶
中的无线终端设备、智能电网中的无线终端设备、运输安全中的无线终端设备、智慧城市中的无线终端设备，或智慧家庭中的无线终端设备等。
74.此外，终端设备上可以安装有相关的客户端，该客户端可以是软件(例如，应用程序、浏览器、短视频软件等)，也可以是网页、小程序等。在本技术实施例中，业务数据发送方201和业务数据接收方203，分别为一种可发送业务数据，和/或，接收业务数据的终端设备。
75.在本技术实施例中，融合安全网关202用于接收业务数据发送方发送的目标业务数据，并对目标业务数据进行数据解析，获得目标业务数据的目标数据类型；接着，从预设的至少一个候选安全资源集合中，筛选出与目标数据类型相匹配的目标安全资源集合；进一步地，基于目标业务数据的各种安全资源需求，各自归属的资源需求区间，分别确定各种安全资源需求各自对应的安全资源调度占比；最终，基于获得的各个安全资源调度占比，以及目标安全资源集合，针对目标业务数据进行安全资源调度。
76.下面结合上述的应用场景，以及参考附图来描述本技术示例性实施方式提供的安全资源调度方法，需要注意的是，上述系统架构仅是为了便于理解本技术的精神和原理而示出，本技术的实施方式在此方面不受任何限制。
77.需要说明的是，在融合安全网关接收到业务数据发送方发送的目标业务数据之前，需针对各种历史业务数据，分别设置相应的候选安全资源集合，以便后续可直接根据目标业务数据的数据类型调用相应的目标安全资源集合，参阅图3所示，执行主体以融合安全网关为例，针对各种历史业务数据，分别执行以下操作：
78.s301：获取一种历史业务数据的特征属性信息。
79.具体的，在执行步骤s301时，融合安全网关在接收到上述一种历史业务数据之后，便可对上述一种历史业务数据进行特征信息提取，从而获得上述一种历史业务数据的特征属性信息。
80.可选的，在获得上述一种历史业务数据的特征属性信息之后，可按照预设的属性信息转换格式，将特征属性信息转换为标准属性信息；进一步地，基于标准属性信息包含的安全策略数据和服务质量数据，进行相应的安全资源调度的预先配置，以便后续的安全资源调度。
81.s302：基于特征属性信息包含的各特征属性，分别确定各特征属性各自对应的安全资源。
82.具体的，执行步骤s302时，融合安全网关在获取到上述一种历史业务数据的特征属性信息之后，便可基于预设的特征属性与安全资源之间的映射关系，分别确定上述一种历史业务数据的各特征属性，各自对应的安全资源。
83.参阅图4所示，融合安全网关在确定历史业务数据his.bus.data的特征属性信息fea.att.infor之后，便可基于特征属性信息fea.att.infor包含的各特征属性(比如，fea.att.1、fea.att.2和fea.att.3)，以及预设的特征属性与安全资源之间的映射关系mapping relationship，确定历史业务数据his.bus.data的各特征属性(比如，fea.att.1、fea.att.2和fea.att.3)，各自对应的安全资源(依次为：sec.re1、sec.re2和sec.re3)。
84.s303：将获得的各种安全资源，添加到对应一种历史业务数据的历史数据类型设置的候选安全资源集合。
85.具体的，在执行步骤s303时，融合安全网关在确定各特征属性各自对应的安全资
源之后，便可从预设的安全资源中心，将获得的各种安全资源，添加到对应上述一种历史业务数据的历史数据类型设置的候选安全资源集合中，其中，预设的安全资源中心保存各类型的安全资源。
86.示例性的，参阅图5所示，融合安全网关在获取历史业务数据his.bus.data的特征属性信息fea.att.infor之后，便可初步确定历史业务数据his.bus.data的历史数据类型type.his.data，从而针对历史业务数据his.bus.data的历史数据类型type.his.data设置相应的候选安全资源集合can.sec.res.set；进一步地，从预设的安全资源中心sec.res.center，将获得的各安全资源(sec.re1、sec.re2和sec.re3)，添加到候选安全资源集合can.sec.res.set中。
87.由此可见，基于上述的方法步骤，针对各种历史业务数据，分别设置了包含相应安全资源的候选安全资源集合，以便后续业务数据的安全资源调度；进一步地，参阅图6所示，其为本技术实施例提供的一种安全资源调度方法的方法实施流程图，该方法的具体实施流程如下：
88.s601：接收业务数据发送方发送的目标业务数据，并对目标业务数据进行数据解析，获得目标业务数据的目标数据类型。
89.具体的，在执行步骤s601时，融合安全网关在接收到业务数据发送方发送的目标业务数据之后，便可基于预设的标识信息提取算法，对目标业务数据进行数据解析，从而获得目标业务数据的标识信息；进一步地，基于预设的标识信息与数据类型之间的对应关系，确定目标业务数据的目标数据类型。
90.示例性的，融合安全网关在接收到业务数据发送方发送的目标业务数据之后，便可获取到相应的候选安全资源集合的选择协助信息(比如，s-nssai)，从而从s-nssai中，获得目标业务数据的标识信息(即sst value)，进而根据标识信息与数据类型之间的对应关系，确定目标业务数据的目标数据类型(即sst)，其中，标识信息与数据类型之间的对应关系如表1所示：
91.表1
92.标识信息sst value123数据类型sstembburllcmiot
93.基于标识信息与数据类型之间的对应关系可知，数据类型sst可大致分为三类，依次为：embb、urllc和miot，其中，embb：适用于5g增强移动带宽，如超高清视频等大流量的移动宽带业务；urllc：适用于高可靠低时延通信，如无人驾驶；miot：适用于大规模物联网业务。
94.因此，若从目标业务数据的s-nssai，确定目标业务数据的标识信息sst value为2，则可基于上述表1中标识信息与数据类型之间的对应关系，确定目标业务数据的目标数据类型sst为urllc。
95.需要说明的是，还可基于目标业务数据的s-nssai包含的sd进行相应的辅助判定，从而确定目标业务数据的目标数据类型sst。
96.s602：从预设的至少一个候选安全资源集合中，筛选出与目标数据类型相匹配的目标安全资源集合。
97.具体的，在执行步骤s602时，融合安全网关在获得目标业务数据的目标数据类型
之后，便可基于目标业务数据的目标数据类型，从预设的至少一个候选安全资源集合中，筛选与目标数据类型相匹配的目标安全资源集合。
98.示例性的，假定仍以上述的3种数据类型sst，即embb、urllc和miot为例，对应的候选安全资源集合依次为：候选安全资源集合1、候选安全资源集合2和候选安全资源集合3，则在确定目标业务数据的目标数据类型sst为urllc后，便可从上述3个候选安全资源集合中，筛选与目标数据类型相匹配的目标安全资源集合为候选安全资源集合2。
99.需要说明的是，上述的各候选安全资源集合各自满足相应的至少一种安全资源需求。例如，上述3个候选安全资源集合满足的安全资源需求依次为：候选安全资源集合1：安全资源需求1、安全资源需求2、安全资源需求3，候选安全资源集合2：安全资源需求4、安全资源需求5、安全资源需求6，候选安全资源集合3：安全资源需求7、安全资源需求8、安全资源需求9。
100.s603：基于目标业务数据的各种安全资源需求，各自归属的资源需求区间，分别确定各种安全资源需求各自对应的安全资源调度占比。
101.具体的，在执行步骤s603时，融合安全网关在筛选出与目标数据类型相匹配的目标安全资源集合之后，便可基于预设的资源需求划分区间，确定目标业务数据的各种安全资源需求，各自归属的资源需求区间，从而根据资源需求区间与安全资源调度占比之间的对应关系，分别确定各种安全资源需求各自对应的安全资源调度占比。
102.示例性的，假定若以安全资源需求评分来衡量安全资源需求，且资源需求区间按照安全资源需求从小到大可依次分为：第一资源需求区间(安全资源需求：0-29)、第二资源需求区间(安全资源需求：30-70)和第三资源需求区间(安全资源需求：71-100)，若目标业务数据的安全资源需求为：安全资源需求4：62和安全资源需求6：85，则可确定目标业务数据的安全资源需求4对应的安全资源区间为第二资源需求区间，目标业务数据的安全资源需求6对应的安全资源区间为第三资源需求区间。
103.接着，融合安全网关在确定标业务数据的各种安全资源需求，各自归属的资源需求区间之后，便可基于资源需求区间与安全资源调度占比之间的对应关系，便可分别确定各种安全资源需求各自对应的安全资源调度占比。
104.示例性的，若资源需求区间与安全资源调度占比之间的对应关系如表2所示，则融合安全网关在确定目标业务数据对应的各个资源需求区间之后，便可确定相应安全资源需求的安全资源调度占比，其中，每个安全资源调度占比表征：相应安全资源的调度程度。
105.表2
106.资源需求区间第一第二第三安全资源调度占比35％65％95％
107.基于上述表格，仍以目标业务数据的安全资源需求为：安全资源需求4：62和安全资源需求6：85为例，再确定目标业务数据的安全资源需求4对应的安全资源区间为第二资源需求区间，目标业务数据的安全资源需求6对应的安全资源区间为第三资源需求区间，便可进一步确定对于安全资源需求4对应的安全资源4的安全资源调度占比为65％，以及对于安全资源需求6对应的安全资源6的安全资源调度占比为95％，需要说明的是，各资源需求区间各自对应的安全资源调度占比，可根据实际情况进行设定，在此不做任何限制。
108.s604：基于获得的各个安全资源调度占比，以及目标安全资源集合，针对目标业务
数据进行安全资源调度。
109.具体的，在执行步骤s604时，融合安全网关在分别确定各种安全资源需求各自对应的安全资源调度占比之后，便可分别确定目标安全资源集合包含的各种安全资源，各自对应的安全资源调优先级，进而按照各个安全资源调度占比及其各自对应的安全资源调用优先级，针对目标业务数据进行安全资源调度。
110.示例性的，仍以上述目标业务数据为例，融合安全网关可基于预设的安全资源与安全资源调用优先级的对应关系，确定安全资源需求4对应的安全资源4的安全资源调用优先级为：ⅰ，以及安全资源需求6对应的安全资源6的安全资源调用优先级为：ⅱ；进一步地，便可先基于65％的安全资源调度占比，对安全资源4进行安全资源调度，再基于95％的安全资源调度占比，对安全资源6进行安全资源调度，从而完成针对目标业务数据进行安全资源调度。
111.在一种可能的实现方式中，参阅图7所示，其为本技术实施例提供的一种融合安全网关架构的结构示意图，该融合安全网关架构包括：安全网关北向接口、安全切片控制平面、安全切面数据平面和安全原子能力。其中，安全网关北向接口提供基于网络切片的动态服务链策略接口，支持通过s-nssai网络切片标识信息建立安全服务链策略，通过安全切片管理器控制层实现sst/sd与安全原子能力服务链配置映射，以及提供qos参数配置接口，保证网络切片业务优先级及带宽；安全切片控制平面将来自北向接口的网络切片参数，转换为本地安全切片设置，包括预置的安全策略设置、qos设置；安全切片数据平面用于下发安全切面数据平面操作，包括网络切片参数映射的服务链操作；安全原子能力提供特性安全能力如漏洞扫描、恶意病毒检测、入侵防御、网络web应用防护等安全组件。
112.进一步地，基于上述的融合安全网关，参阅图8所示，融合安全网关可执行上述的安全资源调度方法(即数据流)，以及通过网关北向接口下发的控制流，实现对安全切片能力的选择和编排，和通过安全切片数据平面，依据编排结果实现各自的业务处理。由此可见，通过在面向网络切片的融合安全网关，满足5g网络切片在mec环境下对各种不同类型业务的安全防护需求，细粒度的将特定业务与安全能力进行灵活关联，并通过设备的北向控制管理接口接受管理平台的调度管理，从而保障网络切片环境下的e2e业务安全。
113.基于上述融合安全网关的安全资源调度方法，参阅图9所示，其为本技术实施例提供的一种安全资源调度方法的具体应用场景示意图，接收业务数据发送方发送的目标业务数据tra.bus.data，并对目标业务数据tra.bus.data进行数据解析，获得目标业务数据tra.bus.data的目标数据类型type.tra.data；接着，从预设的至少一个候选安全资源集合(比如，can.set1、can.set2和can.set3)中，筛选出与目标数据类型type.tra.data相匹配的目标安全资源集合can.set2；进一步地，基于目标业务数据tra.bus.data的各种安全资源需求(比如，sec.re1和sec.re2)，各自归属的资源需求区间(依次为：3和2)，分别确定各种安全资源需求(sec.re1和sec.re2)各自对应的安全资源调度占比(依次为：95％和65％)；最终，基于获得的各个安全资源调度占比(95％和65％)，以及目标安全资源集合can.set2，针对目标业务数据tra.bus.data进行安全资源调度。
114.综上所述，在本技术实施例所提供的安全资源调度方法中，接收业务数据发送方发送的目标业务数据，并对目标业务数据进行数据解析，获得目标业务数据的目标数据类型；接着，从预设的至少一个候选安全资源集合中，筛选出与目标数据类型相匹配的目标安
全资源集合；进一步地，基于目标业务数据的各种安全资源需求，各自归属的资源需求区间，分别确定各种安全资源需求各自对应的安全资源调度占比；最终，基于获得的各个安全资源调度占比，以及目标安全资源集合，针对目标业务数据进行安全资源调度。
115.采用这种方式，基于获得的各个安全资源调度占比，以及目标安全资源集合，针对目标业务数据进行安全资源调度，避免了现有技术中，业务数据的业务类型的种类较多或者数据量较大时，会因大量的匹配操作耗费大量的时间；并且，如果安全资源的选取不及时，会影响对业务数据的安全防护的技术弊端，故而，提高了安全资源的调度效率。
116.进一步地，基于相同的技术构思，本技术实施例还提供了一种安全资源调度装置，该安全资源调度装置用以实现本技术实施例的上述的安全资源调度方法流程。参阅图10所示，该安全资源调度装置包括：接收模块1001、筛选模块1002、确定模块1003以及调度模块1004，其中：
117.接收模块1001，用于接收业务数据发送方发送的目标业务数据，并对目标业务数据进行数据解析，获得目标业务数据的目标数据类型；
118.筛选模块1002，用于从预设的至少一个候选安全资源集合中，筛选出与目标数据类型相匹配的目标安全资源集合；其中，目标安全资源集合至少包括：所述目标业务数据的各种安全资源需求各自对应的安全资源；
119.确定模块1003，用于基于目标业务数据的各种安全资源需求，各自归属的资源需求区间，分别确定各种安全资源需求各自对应的安全资源调度占比；
120.调度模块1004，用于基于获得的各个安全资源调度占比，以及目标安全资源集合，针对目标业务数据进行安全资源调度。
121.一种可能的实施例中，在接收业务数据发送方发送的目标业务数据之前，所述筛选模块1002还用于：
122.针对各种历史业务数据，分别执行以下操作：
123.获取一种历史业务数据的特征属性信息；其中，特征属性信息表征：一种历史业务数据的历史数据类型；
124.基于特征属性信息包含的各特征属性，分别确定各特征属性各自对应的安全资源；
125.将获得的各种安全资源，添加到对应一种历史业务数据的历史数据类型设置的候选安全资源集合。
126.一种可能的实施例中，在获取一种历史业务数据的特征属性信息之后，所述筛选模块1002还用于：
127.按照预设的属性信息转换格式，将特征属性信息转换为标准属性信息；
128.基于标准属性信息包含的安全策略数据和服务质量数据，进行相应的安全资源调度的预先配置。
129.一种可能的实施例中，在对目标业务数据进行数据解析，获得目标业务数据的目标数据类型时，所述接收模块1001具体用于：
130.对目标业务数据进行数据解析，获得目标业务数据的标识信息；
131.基于预设的标识信息与数据类型之间的对应关系，确定目标业务数据的目标数据标识。
132.一种可能的实施例中，在基于获得的各个安全资源调度占比，以及目标安全资源集合，针对目标业务数据进行安全资源调度时，所述调度模块1004具体用于：
133.分别确定目标安全资源集合包含的各种安全资源，各自对应的安全资源调优先级；
134.按照各个安全资源调度占比及其各自对应的安全资源调用优先级，针对目标业务数据进行安全资源调度。
135.基于相同的技术构思，本技术实施例还提供了一种电子设备，该电子设备可实现本技术上述实施例提供的安全资源调度方法流程。在一种实施例中，该电子设备可以是服务器，也可以是终端设备或其他电子设备。如图11所示，该电子设备可包括：
136.至少一个处理器1101，以及与至少一个处理器1101连接的存储器1102，本技术实施例中不限定处理器1101与存储器1102之间的具体连接介质，图11中是以处理器1101和存储器1102之间通过总线1100连接为例。总线1100在图11中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。总线1100可以分为地址总线、数据总线、控制总线等，为便于表示，图11中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。或者，处理器1101也可以称为控制器，对于名称不做限制。
137.在本技术实施例中，存储器1102存储有可被至少一个处理器1101执行的指令，至少一个处理器1101通过执行存储器1102存储的指令，可以执行前文论述的一种安全资源调度方法。处理器1101可以实现图10所示的装置中各个模块的功能。
138.其中，处理器1101是该装置的控制中心，可以利用各种接口和线路连接整个该控制设备的各个部分，通过运行或执行存储在存储器1102内的指令以及调用存储在存储器1102内的数据，该装置的各种功能和处理数据，从而对该装置进行整体监控。
139.在一种可能的设计中，处理器1101可包括一个或多个处理单元，处理器1101可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器1101中。在一些实施例中，处理器1101和存储器1102可以在同一芯片上实现，在一些实施例中，它们也可以在独立的芯片上分别实现。
140.处理器1101可以是通用处理器，例如cpu、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，可以实现或者执行本技术实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本技术实施例所公开的一种安全资源调度方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。
141.存储器1102作为一种非易失性计算机可读存储介质，可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器1102可以包括至少一种类型的存储介质，例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(random access memory，ram)、静态随机访问存储器(static random access memory，sram)、可编程只读存储器(programmable read only memory，prom)、只读存储器(read only memory，rom)、带电可擦除可编程只读存储器(electrically erasable programmable read-only memory，eeprom)、磁性存储器、磁盘、光盘等等。存储器1102是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。本技术实
施例中的存储器1102还可以是电路或者其它任意能够实现存储功能的装置，用于存储程序指令和/或数据。
142.通过对处理器1101进行设计编程，可以将前述实施例中介绍的一种安全资源调度方法所对应的代码固化到芯片内，从而使芯片在运行时能够执行图6所示的实施例的一种安全资源调度方法的步骤。如何对处理器1101进行设计编程为本领域技术人员所公知的技术，这里不再赘述。
143.基于同一发明构思，本技术实施例还提供一种存储介质，该存储介质存储有计算机指令，当该计算机指令在计算机上运行时，使得计算机执行前文论述的一种安全资源调度方法。
144.在一些可能的实施方式中，本技术提供一种安全资源调度方法的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当程序产品在装置上运行时，程序代码用于使该控制设备执行本说明书上述描述的根据本技术各种示例性实施方式的一种安全资源调度方法中的步骤。
145.应当注意，尽管在上文详细描述中提及了装置的若干单元或子单元，但是这种划分仅仅是示例性的并非强制性的。实际上，根据本技术的实施方式，上文描述的两个或更多单元的特征和功能可以在一个单元中具体化。反之，上文描述的一个单元的特征和功能可以进一步划分为由多个单元来具体化。
146.此外，尽管在附图中以特定顺序描述了本技术方法的操作，但是，这并非要求或者暗示必须按照该特定顺序来执行这些操作，或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地，可以省略某些步骤，将多个步骤合并为一个步骤执行，和/或将一个步骤分解为多个步骤执行。
147.本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
148.本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个服务器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
149.可使用一种或多种程序设计语言的任意组合来编写用于执行本技术操作的程序代码，程序设计语言包括面向对象的程序设计语言，诸如java、c++等，还包括常规的过程式程序设计语言，诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算装置上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算装置上部分在远程计算装置上执行、或者完全在远程计算装置或服务器上执行。
150.在涉及远程计算装置的情形中，远程计算装置可以通过任意种类的网络包括局域
网(lan)或广域网(wan)连接到用户计算装置，或者，可以连接到外部计算装置(例如，利用因特网服务提供商来通过因特网连接)。
151.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
152.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
153.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
154.显然，本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的精神和范围。这样，倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内，则本技术也意图包含这些改动和变型在内。