CN112840615B - 用于策略管理的方法和装置 - Google Patents

用于策略管理的方法和装置 Download PDF

Info

Publication number
CN112840615B
CN112840615B CN201880098773.4A CN201880098773A CN112840615B CN 112840615 B CN112840615 B CN 112840615B CN 201880098773 A CN201880098773 A CN 201880098773A CN 112840615 B CN112840615 B CN 112840615B
Authority
CN
China
Prior art keywords
policy
agent
network element
controller
update
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201880098773.4A
Other languages
English (en)
Other versions
CN112840615A (zh
Inventor
朱天达
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Shanghai Bell Co Ltd
Nokia Solutions and Networks Oy
Original Assignee
Nokia Shanghai Bell Co Ltd
Nokia Solutions and Networks Oy
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Shanghai Bell Co Ltd, Nokia Solutions and Networks Oy filed Critical Nokia Shanghai Bell Co Ltd
Publication of CN112840615A publication Critical patent/CN112840615A/zh
Application granted granted Critical
Publication of CN112840615B publication Critical patent/CN112840615B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开的实施例提供了用于策略管理的方法和装置。一种在策略控制器处实现的方法可以包括确定策略已经被创建、修改或删除和/或所存储的用于实例化该策略的信息已经改变,其中该策略包括第一网络元素的名称和一个或多个地址,一个或多个地址中的至少一个地址包括第二网络元素的名称和映射到第二网络元素的至少一个互联网协议(IP)地址之一的标签,其中第一网络元素的名称包括一个或多个通配符,第二网络元素的名称包括一个或多个通配符,以及第一网络元素与第二网络元素相同或不同;至少部分地基于第一网络元素的名称和一个或多个地址,确定一个或多个实例化策略的增加、更新或删除;向与一个或多个受影响的第一网络元素相关联的一个或多个代理发送策略增加、更新或删除请求;以及接收来自一个或多个代理的策略增加、更新或删除响应。

Description

用于策略管理的方法和装置
技术领域
本公开的非限制性和示例性实施例总体上涉及通信技术领域,并且具体地涉及用于策略管理的方法和装置。
背景技术
本部分介绍可以有助于更好地理解本公开的多个方面。因此,本部分的陈述应从这种角度来阅读,并且不应被理解为承认什么是现有技术中的内容或什么不是现有技术中的内容。
在通信网络中,各种策略可以应用于各种网络元素,例如,依赖于手工工作,这可能是费力且费时的工作。例如,在诸如云BTS(基站收发信台)的电信网络中,运营方可以将互联网协议安全性(IPsec)策略应用于云BTS的分布式单元(DU)和集中式单元(CU)。但是,依赖于手工工作,IPsec管理是一项非常费力且耗时的工作。例如,IPsec策略必须定义隧道端点,例如由于虚拟机(VM)的向内扩展/向外扩展和/或在不同网络中的IPsec网关(GW)使用,该隧道端点可能会在电信网络(例如云BTS)中发生变化。当DU和/或CU的数量增加并且用户场景增加时,在DU和CU之间的IPsec策略配置变得越来越复杂并且难以采用。因此,期望提供一种用于策略管理的有效解决方案。
发明内容
本公开的各种实施例主要旨在提供用于策略管理的方法和装置。当结合以示例方式示出本公开的实施例的原理的附图来阅读时,从以下对具体实施例的描述中,还将理解本公开的实施例的其他特征和优点。
在本公开的第一方面中,提供了一种在策略控制器处实现的方法。该方法可以包括确定策略已经被创建或被修改或被删除和/或所存储的用于实例化该策略的信息已经被改变,其中该策略包括第一网络元素的名称和一个或多个地址,其中一个或多个地址中的至少一个地址包括第二网络元素的名称和映射到第二网络元素的至少一个互联网协议(IP)地址之一的标签,其中第一网络元素的名称包括一个或多个通配符,第二网络元素的名称包括一个或多个通配符,第一网络元素与第二网络元素相同或不同。该方法可以还包括至少部分地基于第一网络元素的名称和一个或多个地址来确定一个或多个实例化策略的增加、更新或删除。该方法可以还包括向与一个或多个受影响的第一网络元素相关联的一个或多个代理发送策略增加、更新或删除请求。该方法可以还包括接收来自一个或多个代理的策略增加、更新或删除响应。
在本公开的第二方面中,提供了一种在策略代理处实现的方法。该方法可以包括接收来自策略控制器或策略委托代理的策略增加、更新或删除请求。该方法可以还包括基于策略增加、更新或删除请求执行对应动作。该方法可以还包括向策略控制器或策略委托代理发送策略增加、更新或删除响应,其中策略控制器被配置为执行根据本公开的第一方面的方法。
在本公开的第三方面中,提供了一种在策略委托代理处实现的方法。该方法可以包括接收来自策略控制器的策略增加、更新或删除请求。该方法可以还包括向由策略委托代理服务的策略代理转发策略增加、更新或删除请求。该方法可以还包括接收来自策略代理的策略增加、更新或删除响应。该方法可以还包括向策略控制器转发策略增加、更新或删除响应,其中该策略控制器被配置为执行根据本公开的第一方面的方法。
在本公开的第四方面中,提供了一种在策略控制器处实现的装置。该装置可以包括处理器;以及耦合到处理器的存储器,所述存储器存储可由所述处理器执行的指令,由此所述装置可操作用于:确定策略已经被创建、修改或删除,和/或所存储的用于实例化该策略的信息已改变,其中,策略包括第一网络元素的名称和一个或多个地址,一个或多个地址中的至少一个地址包括第二网络元素的名称和映射到第二网络元素的至少一个互联网协议(IP)地址之一的标签,其中,第一网络元素的名称包括一个或多个通配符,第二网络元素的名称包括一个或多个通配符,以及第一网络元素与第二网络元素相同或不同。至少部分地基于第一网络元素的名称和一个或多个地址,确定一个或多个实例化策略的增加、更新或删除;向与一个或多个受影响的第一网络元素相关联的一个或多个代理发送策略增加、更新或删除请求;以及接收来自一个或多个代理的策略增加、更新或删除响应。
在本公开的第五方面中,提供了一种在策略代理处实现的装置。该装置可以包括处理器;以及耦合到处理器的存储器,所述存储器存储可由所述处理器执行的指令,由此所述装置可操作用于接收来自策略控制器或策略委托代理的策略增加、更新或删除请求;根据策略的增加、更新或删除请求执行对应动作;以及向策略控制器或策略委托代理发送策略增加、更新或删除响应,其中策略控制器被配置为执行根据本公开的第一方面的方法。
在本公开的第六方面中,提供了一种在策略委托代理处实现的装置。该装置可以包括处理器;以及耦合到处理器的存储器,所述存储器存储可由所述处理器执行的指令,由此所述装置可操作用于:接收来自策略控制器的策略增加、更新或删除请求;向由策略委托代理服务的策略代理转发策略增加、更新或删除请求;接收来自策略代理的策略增加、更新或删除响应;以及向策略控制器转发策略增加、更新或删除响应,其中,策略控制器被配置为执行根据本公开的第一方面的方法。
在本公开的第七方面,提供了一种包括指令的计算机程序,当指令在至少一个处理器上执行时,指令使至少一个处理器执行根据本公开的第一方面的方法。
在本公开的第八方面,提供了一种包括指令的计算机程序,当指令在至少一个处理器上执行时,指令使至少一个处理器执行根据本公开的第二方面的方法。
在本公开的第九方面,提供了一种包括指令的计算机程序,当指令在至少一个处理器上执行时,指令使至少一个处理器执行根据本公开的第三方面的方法。
在本公开的第十方面,提供了一种计算机可读存储介质,其存储指令,所述指令在被至少一个处理器执行时,使所述至少一个处理器执行根据本公开的第一方面的方法。
在本公开的第十一方面,提供了一种计算机可读存储介质,其存储指令,所述指令在被至少一个处理器执行时,使所述至少一个处理器执行根据本公开的第二方面的方法。
在本公开的第十二方面,提供了一种计算机可读存储介质,其存储指令,所述指令在被至少一个处理器执行时,使所述至少一个处理器执行根据本公开的第三方面的方法。
附图说明
通过示例的方式,从参考附图的下面的详细描述中,本公开的各个实施例的上述和其他方面、特征和益处将变得更加完全明显,在附图中,相同的参考标记或字母用于指定相同或等同的元素。附图被示出以用于促进更好地理解本公开的实施例,并且不一定按比例绘制,其中:
图1示意性地示出了云BTS的结构;
图2a示意性地示出了根据本公开的实施例的示意性系统;
图2b示意性地示出了根据本公开的另一实施例的示意性系统;
图3示出了根据本公开实施例的方法的流程图;
图4示出根据本公开的实施例的数据结构;
图5示意性地示出了根据本公开的实施例的注册示例;
图6示出了根据本公开另一实施例的方法的流程图;
图7示意性地示出了根据本公开实施例的映射信息的报告的示例;
图8示出了根据本公开另一实施例的方法的流程图;
图9示意性地示出了实例化策略的示例;
图10和图11示意性地示出了根据本公开实施例的交叉检查;
图12示意性地示出了网络元素的增加的示例;
图13示出了根据本公开另一实施例的方法的流程图;
图14示出了根据本公开另一实施例的方法的流程图;
图15示出了根据本公开另一实施例的方法的流程图;
图16示出了根据本公开另一实施例的方法的流程图;
图17a-c示出了根据本公开的实施例的装置的简化框图;
图18示出根据本公开的实施例的装置的简化框图;
图19示出根据本公开的实施例的装置的简化框图;和
图20示出根据本公开的实施例的装置的简化框图。
具体实施方式
出于说明的目的,在下面的描述中阐述了细节,以便提供对所公开的实施例的透彻理解。然而,对于本领域技术人员而言显而易见的是,可以在没有这些具体细节的情况下或以等效布置来实现实施例。
如本文所使用的,术语“网络”是指遵循任何适当的通信标准的网络,诸如无线网络或有线网络。例如,在无线网络中,通信标准可以包括高级LTE(LTE-A)、LTE、宽带码分多址(WCDMA)、高速分组接入(HSPA)等。此外,可以根据任何适当的通信协议来执行在终端设备/用户设备(UE)与网络中的网络设备之间的通信。例如,在无线网络中,通信协议可以包括但不限于全球移动通信系统(GSM)、通用移动电信系统(UMTS)、长期演进(LTE)和/或其他适合的第一代(1G)、第二代(2G)、2.5G、2.75G、第三代(3G)、第四代(4G)、4.5G、第五代(5G)通信协议、无线局域网(WLAN)标准(例如IEEE 802.11标准)和/或任何其他适当的无线通信标准(例如,微波接入全球互通性(WiMAX)、蓝牙和/或ZigBee标准)和/或任何其他当前已知的或将来被开发的协议。
术语“网络设备”或“网络元素”或“网络功能(NF)”是指终端设备经由其接入网络并从其接收服务的在网络中的设备或元素或功能。例如,在无线网络中,网络设备或“网络元素”可以指代在无线网络中的基站(BS)、接入点(AP)或任何其他合适的设备。BS可以是例如节点B(NodeB或NB)、演进型NodeB(eNodeB或eNB)、或gNB、远程无线电单元(RRU)、无线电头端(RH)、远程无线电头端(RRH)、远程接入点(RAP)、中继器、低功耗节点(如毫微微节点,微微节点)、云BTS的DU和CU、等。网络设备的其他示例可以包括诸如MSR BS的多标准无线电(MSR)无线电设备、诸如无线电网络控制器(RNC)或基站控制器(BSC)的网络控制器、基站收发信台(BTS)、传输点、传输节点。然而,更一般地,网络设备可以表示能够、被配置、被布置和/或可操作用于使能和/或提供终端设备接入无线网络或向已接入无线网络的终端设备提供某种服务的任何合适的设备(或设备组)。术语“NF”可以指代可以在无线/有线通信网络的网络设备/网络元素中实现的任何合适的功能。例如,在5G网络中,NF可以包括AMF(接入和移动性功能),SMF(会话管理功能)、AUSF(身份验证服务功能)、UDM(统一数据管理)、PCF(策略控制功能)、AF(应用功能)、NEF(网络暴露功能)和NRF(NF存储库功能)。
术语“终端设备”指代可以接入网络并从中接收服务的任何终端设备。作为示例而非限制,终端设备指代移动终端、用户设备(UE)或其他合适的设备。终端设备可以是例如订户站(SS)、便携式订户站、移动站(MS)或接入终端(AT)。终端设备可以包括但不限于便携式计算机、诸如数码相机之类的图像捕获设备、游戏终端设备、音乐存储和回放设备、移动电话、蜂窝电话、智能电话、IP语音(VoIP)电话、无线本地环路电话、平板电脑、可穿戴设备、个人数字助理(PDA)、便携式计算机、台式计算机、可穿戴设备、车载无线设备、无线端点、移动台、笔记本电脑嵌入式设备(LEE)、笔记本电脑安装设备(LME)、USB加密狗、智能设备、无线用户驻地设备(CPE)等。在下面的描述中,术语“终端设备”,“终端”,“用户设备”和“UE”可以互换使用。作为一个示例,UE可以表示被配置用于根据由3GPP(第三代合作伙伴计划)发布的一个或多个通信标准(例如3GPP的LTE标准或NR标准)进行通信的终端设备。如本文所使用的,就拥有和/或操作相关设备的人类用户而言,“用户设备”或“UE”可能不一定具有“用户”。在一些实施例中,终端设备可以被配置为在没有直接人类交互的情况下发送和/或接收信息。例如,当被内部或外部事件触发时,或者响应于来自无线通信网络的请求,UE可以被设计为按照预定的调度向网络发送信息。取而代之,UE可以代表旨在出售给人类用户或由人类用户操作但最初可能不与特定人类用户相关联的设备。
作为又一示例,在物联网(IOT)场景中,终端设备可以代表执行监测和/或测量并将这种监测和/或测量的结果发送给另一终端和/或网络设备的机器或其他设备。在这种情况下,UE可以是机器对机器(M2M)设备,在3GPP上下文中其可以被称为机器类型通信(MTC)设备。作为一个特定示例,终端设备可以是实现3GPP窄带物联网(NB-IoT)标准的UE。此类机器或设备的特定示例是传感器、计量设备(例如电表)、工业机械或家用电器(例如电冰箱,电视机)、个人可穿戴设备(例如手表)等。在其他情况下,UE可以代表车辆或其他设备,其能够监测和/或报告其运行状态或与其运行相关的其他功能。
在说明书中对“一个实施例”,“一个实施例”,“示例实施例”等的引用指示所描述的实施例可以包括特定的特征,结构或特性,但是不必每一个实施例都包括特定特征,结构或特性。而且,这样的短语不一定指代相同的实施例。此外,不管是否明确描述,当结合实施例描述特定的特征,结构或特性时,可以认为结合其他实施例来影响这种特征,结构或特性是在本领域技术人员的知识范围内。
应该理解的是,尽管本文可以使用术语“第一”和“第二”等来描述各种元素,但是这些元素不应受到这些术语的限制。这些术语仅用于将一个元素与另一个元素区分开。例如,在不脱离示例实施例的范围的情况下,第一元素可以被称为第二元素,以及类似地,第二元素可以被称为第一元素。如本文所使用的,术语“和/或”包括一个或多个相关列出的术语的任何组合和所有组合。
本文所使用的术语仅出于描述特定实施例的目的,并不旨在限制示例实施例。如本文所使用的,除非上下文另外明确指出,否则单数形式“一”,“一个”和“该”也旨在包括复数形式。将进一步理解的是,当在本文中使用时,术语“包括”,“包含”,“具有”,“拥有”,“涵盖”和/或“含有”指定存在所述特征、元素和/或组件等,但不排除存在或增加一个或多个其他特征、元素、组件和/或它们的组合。
在以下描述和权利要求书中,除非另有定义,否则本文中使用的所有技术和科学术语具有与本公开所属领域的普通技术人员通常所理解的相同含义。
尽管在示例性IPsec策略和云BTS的上下文中描述了一些实施例,但是不应将其解释为限制本公开的精神和范围。本公开的原理和构思可以更普遍地适用于其他系统/网络和其他策略。
云BTS是一种新颖的移动网络架构,其中例如可以根据不同的栈(stack)划分,将BTS划分为具有多级的DU部分和CU部分。图1示意性地示出了云BTS的结构。如图1所示,云BTS可以是树形结构或在其他实施例中可以是任何其他合适的结构。CP表示控制平面,UP表示用户平面。DU1,DU2和DU3表示三个分布式单元,例如,主要托管L2非实时(L2-NRT)、OAM和C平面功能的5G无线电接入控制器(缩写为gNB-CU)。CU1和CU2表示两个集中式单元,例如主要托管L2(第2层)实时(L2-RT)、L1(第1层)功能和RF(射频)的5G无线电接入单元(缩写为gNB-DU)功能。gNB-CU可以控制一个或多个gNB-DU。DU和CU的数量仅是出于说明的目的,在其他实施例中可以有任何其他合适数量的DU和CU。如上所述,在诸如云BTS的网络中,诸如运营方的用户可以将IPsec策略应用于DU和CU。第一种解决方案是为每个CU和DU手工定义IPsec策略。第二种解决方案是在云BTS中引入某种级别的自动功能。第三种解决方案是支持如3GPP TS 32.511定义的自动邻居关系。例如,在具有ANR支持的情况下,诸如eNB的网络元素可以自动建立到诸如eNB的邻居网络元素的IPsec隧道(例如X2接口)。但是,如上所述,依赖于手工工作,IPsec管理是非常费力和费时的工作。例如,IPsec策略必须定义一个隧道端点,例如由于在不同网络中的VM向内扩展/向外扩展和/或IPsec GW使用,该隧道端点可能会在电信网络(例如云BTS)中发生变化。当DU和/或CU的数量增加并且使用场景增加时,DU和CU之间的IPsec策略配置变得越来越复杂并且难以采用。当网络是其他网络或系统和/或策略是其他类型的策略时,可能存在类似或不同的问题。
为了克服或减轻上述问题或其他问题中的至少一个问题或提供有用的解决方案,本公开的实施例提出了一种用于策略管理的解决方案。本公开的一些实施例提出了集中式和自适应(self-adopting)的策略配置管理。在一些实施例中,可以由策略控制器来管理诸如DU和CU之类的不同网络元素。在一些实施例中,当诸如VM或docker容器之类的VNFC(虚拟网络功能组件)向外扩展时,诸如IPsec隧道连接或旁路策略之类的新实例化策略可以通过使用预定义策略而自动生成。然后,可以经由策略控制器和诸如委托策略代理和策略代理之类的代理将该实例化策略应用于每个受影响的网络元素,例如DU和CU。
图2a描绘了根据本公开的实施例的示意性系统,其中可以实现本公开的一些实施例。如图2a所示,系统200a可以包括策略控制器202。策略控制器202可以作为中心实体或分布式系统。例如,当策略控制器是IPsec策略控制器时,该策略控制器可以作为用于在网络中的所有网络元素(例如DU和CU)的中心IPsec(包括IKE(阶段1)和IPsec(阶段2))策略控制器。当策略在策略控制器中被创建/删除/修改和/或已存储的信息(例如用于实例化该策略的注册信息和映射信息)已改变时,则可以此策略更改可以应用于或同步到所有受影响的网络元素。策略控制器可以是单独的实体,也可以被合并到任何其他合适的实体。策略控制器202可以以硬件、软件或其组合的形式被实现,包括但不限于服务器、固定终端、移动终端、便携式终端、台式计算机、VM、膝上型计算机、互联网/网络节点、通信器或它们的任何组合。尽管在图2a中仅示出了一个策略控制器202,但是在其他实施例中可以有任何合适数量的策略控制器。
策略控制器可以是用于输入用于网络元素的策略的主要地方。以IPsec策略为例,在策略控制器中的IPsec/IKE(互联网密钥交换)策略可以具有信息,该信息易于应用于可能具有不同实际IP地址的不同网络元素(例如DU和CU)。例如,在策略控制器中的IPsec/IKE策略可以定义以下参数(参阅在IETF(互联网工程任务组)RFC4301中的SPD(安全策略数据库)):
-IPsec/IKE策略名称
-处理信息
-IPsec模式隧道或传输
-远程隧道地址/本地隧道地址
-IPsec协议--AH或ESP
-IPsec动作--丢弃/旁路/保护
-一个到N个选择器集合,它们与应用特定IPsec动作的“条件”相对应
-本地地址
-远程地址
-下一层协议
-本地端口或ICMP(互联网控制消息协议)消息类型/代码或移动性报头类型(取决于下一层协议)
-远程端口或ICMP消息类型/代码或移动性报头类型(取决于下一层协议)
IPsec/IKE策略可以遵循IKE版本1和IKE版本2的常规IPsec/IKE策略参数定义。IKE v1(IETF RFC2409)具有安全参数/属性,而IKE v2具有如在(IANA(互联网编号分配机构,“互联网密钥交换版本2(IKEv2)参数”,<http://www.iana.org/assignments/ikev2-parameters/>)中定义的参数,例如
-IKE加密算法(主模式/阶段1)
-IKE认证算法(主模式/阶段1)
-DH组(主模式/第一阶段)
-IPsec加密算法(快速模式/阶段2)
-IPsec认证算法(快速模式/阶段2)
-PFS组(快速模式/阶段2)
-流量选择器
-SA生命期
-等等。
当策略是IPsec策略时,以上参数可以被定义在策略控制器中。类似地,当策略控制器用于任何其他类型的策略时,任何其他合适的参数可以被定义在策略控制器中。
系统200a还可以包括通过链路206可操作地连接到策略控制器202的策略代理204,以及通过链路212连接到策略委托代理210的策略代理208。策略代理204和208可以将从策略控制器202和策略委托代理210接收的策略应用于本地策略功能。策略代理204或208可以将其本地信息(诸如网络信息)报告给策略控制器202或策略委托代理210。策略代理204和208可以驻留在需要应用策略的诸如网络元素之类的任何合适的位置上。策略代理204和208可以以硬件,软件或其组合的形式实现,包括但不限于服务器、固定终端、移动终端、便携式终端、台式计算机、VM、膝上型计算机、互联网/网络节点、通信器、或其任何组合。尽管在图2a中仅示出了两个策略代理204和208,但是在其他实施例中可以有任何合适数量的策略代理。
系统200a还可以包括策略委托代理210,该策略委托代理210通过链路214可操作地连接到策略控制器202,以及可以通过链路212可操作地连接到策略代理208。策略委托代理210可以接收来自策略控制器202的策略以及将其转发到其服务或注册的策略代理(多个)。策略委托代理210可以接收从其服务或注册的策略代理报告的信息,以及将其转发给策略控制器202。策略委托代理210可以位于任何合适的位置,例如其服务的策略代理(多个)的中央部分,例如OAM(运营和维护)VM或VNFM(虚拟网络功能管理器),在这里它可以容易地获取VM向内扩展/向外扩展的信息。策略委托代理210可以以硬件,软件或其组合的形式实现,包括但不限于服务器、固定终端、移动终端、便携式终端、台式计算机、VM、膝上型计算机、互联网/网络节点、通信器、或其任何组合。尽管在图2a中仅示出了一个策略委托代理210,但是在其他实施例中可以有任何合适数量的策略委托代理。
链路206、212和214可以是安全通道。例如,可以通过应用安全通信协议(例如,IPsec协议,TLS(传输层安全性)协议,SSL(安全套接字层)协议,OpenSSL(开放安全套接字层)协议,HTTPS(安全超文本传输)协议等)在系统200中的每两个实体之间建立安全通道。
图2b描绘了根据本公开的另一个实施例的示意性系统,其中可以实现本公开的一些实施例。在该实施例中,该系统在云BTS中实现,策略控制器为IPsec策略控制器。CU/VNF(虚拟网络功能)在云基础架构/平台中实现。在此实施例中,策略委托代理驻留在OAM VM处,但是在其他实施例中,它可以驻留在VNFM处。其他部分与在参考图2a的先前实施例中描述的对应部分相似,因此为简洁起见省略其描述。
图3示出了根据本公开实施例的方法的流程图。方法300可以被实现在诸如图2a所示的策略控制器202的策略控制器处。
如图3所示,在框302处,策略控制器可以确定策略已经被创建、修改或删除和/或所存储的用于实例化该策略的信息已经改变。该策略可以包括第一网络元素的名称和一个或多个地址。一个或多个地址中的至少一个地址可以包括第二网络元素的名称和映射到第二网络元素的至少一个互联网协议(IP)地址之一的标签。第一网络元素的名称可以包括一个或多个通配符。第二网络元素的名称可以包括一个或多个通配符。第一网络元素可以与第二网络元素相同或不同。通常,该策略可以是将要被实例化的抽象策略。该策略可以是任何合适类型的策略。例如,该策略可以是IPsec策略。例如,取决于策略的特定类型,该策略可以包括任何合适的对应参数。例如,当该策略是IPsec策略时,该策略可以包括IPsec策略参数。
一个或多个地址可以包括任何合适的地址,例如,真实IP地址或地址标签或任何IP地址的指示等。在一个实施例中,一个或多个地址可以包括以下中的至少一个:一对隧道地址,第一网络元素的IP地址和第二网络元素的IP地址。第二网络元素可以是与策略有关的网络元素。例如,取决于策略的特定类型,一个或多个地址可以包括:仅一对隧道地址,仅第一网络元素的IP地址,仅第二网络元素的IP地址或它们的任何合适组合。在一个实施例中,一个或多个地址可以还包括IP地址的版本,诸如IPv4或IPv6。
第一网络元素可以包括:诸如VM,DU,CU等的需要应用策略的任何合适的网络元素。第二网络元素可以包括任何合适的网络元素,例如VM,DU,CU等。网络元素的名称可以由运营方、网络元素制造方或用户来配置。可替代地,网络元素的名称可以由网络元素本身例如根据统一命名规则或本地命名规则来生成。当应用本地命名规则时,诸如策略代理或策略委托代理或策略控制器之类的实体能够对在统一命名规则与本地命名规则之间的名称进行解释。
包括在网络元素的名称中的一个或多个通配符可以包括任何合适的通配符。例如,通配符可以包括“*”,“?”,“-”等。例如,CU*意味着以“CU”开头的所有网络元素。DU*意味着以“DU”开头的所有网络元素。CU*.VM*意味着在所有“CU*”网络元素下以“VM”开头所有VM。
映射到网络元素的IP地址的标签可以具有任何合适的格式。类似于网络元素的名称,标签可以由运营方、网络元素制造方或用户来配置。可替代地,标签可以由网络元素本身例如根据统一命名规则或本地命名规则来生成。当应用本地命名规则时,诸如策略代理或策略委托代理或策略控制器之类的实体能够对在统一命名规则与本地命名规则之间的标签进行解释。
在一个实施例中,标签可以用于标记IP地址的用法。一个IP地址可能有两种或两种以上的用法,在这种情况下,该IP地址可能有两个或多个对应的标签。IP地址的用法可以包括例如取决于网络的特定类型的任何合适的用法。在一个实施例中,IP地址的用法可以包括控制平面用法,用户平面用法,管理平面用法,控制平面IPsec隧道端点,控制平面IPsec流量选择器,用户平面IPsec隧道端点,用户平面IPsec流量选择器,管理平面IPsec隧道端点,管理平面IPsec流量选择器以及与在两个网络元素之间的接口名称或参考点相对应的用途。例如,在云BTS中,每个DC和CU可以具有管理各自的本地接口和IP地址映射的本地策略代理,每个IP可以具有一个或多个区别标签以标记该IP地址的用法,例如用于F1控制平面的IP地址可以用F1_C标记,用于F1用户平面接口的IP地址可以用F1_U标记,其中F1接口是在gNB CU和gNB DU之间的5G接口。此外,对于IPsec用法,可以将隧道端点和流量选择器增加到区分标签中。例如,F1_C_TP标记并对应于用于F1接口控制平面IPsec隧道端点的IP地址,F1_C_TS标记并对应于用于F1接口控制平面IPsec流量选择器的IP地址,F1_U_TP标记并对应于用于F1接口用户平面IPsec隧道端点的IP地址,F1_U_TS标记并对应于用于F1接口用户平面IPsec流量选择器的IP地址,F1_M_TP标记并对应于用于F1接口管理平面IPsec隧道端点的IP地址,以及F1_M_TS标记并对应于用于F1接口管理平面IPsec流量选择器的IP地址。在另一实施例中,当一个或多个地址还包括诸如IPv4或IPv6的IP地址的版本时,标签可以还包括诸如F1_M_TP/IPv4,F1_M_TP/IPv6等的IP地址的版本。区别标签可以对所有网络元素(例如DC和CU)统一,或者本地代理具有能力对在统一命名规则与本地命名规则之间的名称进行解释。例如,可以通过使用网络元素的名称和以‘.’连接的接口名称来定义网络接口名称。例如,CU1.VM1.lo表示CU1的VM1的环回接口。
策略代理可以具有接口名称+映射到诸如IPv4或IPv6的地址的区分标签。以IPsec策略为例,策略代理可能具有类似的映射表,如以下表1、表2和表3所示。
DU1具有一个接口,以及一个IP地址用于所有流量。DU1可以具有相同的IPsec内部和外部IP地址。与DU1关联的策略代理可以具有与表1相似的映射表。
表1
Figure BDA0003023662310000151
DU2具有用于不同用户/控制/管理(U/C/M)平面流量的不同VLAN接口,但是对于每种类型的流量仍具有相同的IPsec内部和外部IP地址。与DU2关联的策略代理可以具有与表2相似的映射表。
表2
Figure BDA0003023662310000152
DU3具有用于所有U/C/M平面流量的IPsec隧道端点的一个接口和一个IP地址(外部地址)。并且每种类型流量具有在环回接口上针对内部IP地址而配置的自己的IP地址。与DU3关联的策略代理可以具有与表3相似的映射表。
表3
Figure BDA0003023662310000161
CU的VM*具有用于所有U/C平面流量的IPsec隧道端点的一个接口和一个IP地址(外部地址)。每个U/C平面流量具有在环回接口上针对内部IP地址而配置的自己的IP地址。CU的OAM VM(在此实施例中只有一个)具有用于M平面流量的IPsec隧道端点的一个接口和一个IP地址(外部地址)。并且一个IP地址在环回接口上被配置用于内部IP地址。与CU1关联的策略代理可以具有与表4相似的映射表。
表4
Figure BDA0003023662310000162
Figure BDA0003023662310000171
策略代理或策略委托代理可以使用任何合适的数据结构来管理接口名称和IP地址分配,以便策略代理或策略委托代理可以找出在接口名称、区分标签和真实IP地址之间的映射关系。例如,策略代理或策略委托代理可以具有与如图4中所示的树状结构相似的实现。
策略代理和策略委托代理可以向策略控制器注册自身。在策略控制器、策略代理和策略委托代理之间的这种注册和进一步通信可以通过安全协议(例如IPsec)来保护。策略代理和策略委托代理可以具有由策略控制器信任的认证。例如,认证可以通过某些客户的CA(认证机构)进行。策略代理、策略委托代理和策略控制器可以具有对应的IPsec策略以在策略代理、策略委托代理和策略控制器之间建立IPsec连接。
在到策略控制器的这种第一IPsec连接被建立之后,策略代理和策略委托代理可以将其自身注册到策略控制器。例如,策略代理或策略委托代理可以向策略控制器发送注册请求,该注册请求可以包括与策略代理或策略委托代理相关联的网络元素的名称,策略代理或策略委托代理的类型,以及用于通讯的IP地址,等。
在一个实施例中,当策略委托代理在使用中时,策略委托代理与策略代理之间的通信可以被认为是不使用IPsec的安全内部通信。策略委托代理可以接收来自策略代理的注册信息。在另一个实施例中,可以保护在策略代理和策略委托代理之间的连接的安全。然后,在策略代理与策略代理之间的认证可以经由某个CA来建立。与在策略控制器和策略代理之间的IPsec连接类似,策略代理和策略委托代理也可能需要对应的IPsec策略设置以在策略代理和策略委托代理之间建立IPsec连接。图5示意性地示出了根据本公开的实施例的注册示例。
如图6的框602中所示,策略控制器可以接收来自与第三网络元素相关联的诸如策略代理和策略委托代理之类的代理的注册请求。该注册请求包括第三网络元素的名称,该代理的类型以及用于与策略控制器通信的IP地址。如图6的块604所示,策略控制器可以存储第三网络元素的名称,该代理的类型以及用于与策略控制器通信的IP地址。
例如,策略控制器可以记录/存储注册信息,以及在策略控制器、策略代理和策略委托代理之间的通信可以使用注册的IP地址。策略控制器的注册信息的示例如表5所示。如表5所示,委托代理可以将在委托代理下的已注册代理的信息报告给策略控制器。
表5
Figure BDA0003023662310000181
策略委托代理的注册信息的示例如表6所示。在此实施例中,策略委托代理可以接收来自网络元素VM1、VM2和OAM_VM的注册信息,并存储这些注册信息。
表6
Figure BDA0003023662310000182
注意,表5-6仅是示例性的,以及在其他实施例中,注册信息可以具有任何其他合适的格式。例如,除了网络元素名称和IP地址之外,注册信息还可以包括任何其他合适的参数。
策略代理和策略委托代理成功注册自身后。它们可以发送/报告在第三网络元素的一个或多个IP地址与各自对应标签之间的初始或更新的映射信息。例如,当策略代理已经将其自身注册到策略控制器时,策略代理可以将在第三网络元素的一个或多个IP地址与各自对应标签之间的初始或更新的映射信息发送给策略控制器。可替代地,当策略代理已经将其自身注册到策略委托代理时,策略代理可以将初始或更新的映射信息发送给策略委托代理。然后,策略委托代理可以将初始或更新的映射信息发送给策略控制器。初始或更新的映射信息还可以包括与策略代理相关联的第三网络元素的名称(例如接口名称)。
这样的报告可以在至策略控制器的第一次连接或对映射信息的任何改变时被触发。图7示意性地示出了根据本公开实施例的映射信息的报告的示例。
如图8的框802所示,策略控制器可以从诸如策略代理和策略委托代理之类的代理接收在第三网络元素的一个或多个IP地址与各自对应标签之间的初始或更新的映射信息。如图8的框804所示,策略控制器可以存储映射信息。
转到图3的框302,例如当诸如策略管理方之类的用户创建或修改或删除策略时,策略控制器可以确定该策略已经被创建、修改或删除。在另一个实施例中,策略控制器可以确定所存储的用于实例化策略的信息已经改变。可以以各种方式获得所存储的信息。例如,在策略控制器接收来自策略代理和策略委托代理的注册请求以及初始或更新的映射信息时,策略控制器可以获取此信息。可替代地,策略控制器可以从诸如网络管理节点(例如,OAM)之类的另一实体获得该信息。例如,取决于策略的特定类型,所存储的用于实例化策略的信息可以包括任何合适的信息。策略控制器可以确定所存储的用于实例化策略的信息已经以各种方式(例如,当网络元素加入或离开网络,或者与网络元素相关的信息(例如,VM向内扩展/向外扩展,接口故障等)已改变时)改变。
在框304,策略控制器可以至少部分地基于第一网络元素的名称和一个或多个地址来确定一个或多个实例化策略的增加、更新或删除,在框306,向与一个或多个受影响的第一网络元素相关联的一个或多个代理发送策略增加、更新或删除请求,以及在框308,接收来自一个或多个代理的策略增加、更新或删除响应。
例如,在策略已经被创建、修改或删除和/或网络元素已经被增加或删除之后,策略控制器可以检查策略差量(delta)更改。在一个实施例中,策略控制器可以使用针对每个网络元素的实例化策略表。实例化策略表可以具有一个或多个最终实例化策略。例如,策略控制器可以将第一网络元素的名称和一个或多个地址实例化为第一网络元素的真实名称和一个或多个真实地址。图9示意性地示出了实例化策略的示例。如图9所示,CU*.OAM_VM被实例化为CU1.OAM_VM,CU*.OAM_VM/F1_M_TS/IPv4被实例化为10.101.2.1/32,DU*/F1_M_TS/IPv4被实例化为10.2.1.17/32,10.3.1.1/32,10.4.1.1/32,CU*.OAM_VM/F1_M_TP/IPv4被实例化为10.101.1.17/32,DU*/F1_M_TP/IPv4被实例化为10.2.1.17/32,10.3.1.1/32,10.4.1.1/32。
在一个实施例中,当诸如IPsec策略的新策略被客户创建在策略控制器中时,策略控制器可以将针对每个受影响的网络元素的实际的实例化策略生成到每个网络元素的实例化策略表。表7示意性地示出了在策略控制器中的策略的示例。在该实施例中,新的“MP”策略被创建在策略控制器中。
表7
Figure BDA0003023662310000201
Figure BDA0003023662310000211
策略控制器可以交叉检查(cross check)策略地址通配符、网络元素的注册表和网络元素的映射信息,然后它可以找出实际的策略将是多少。在此示例中,假设策略控制器具有上面的表5。有一个CU和一个VM(OAM_VM)将具有此策略,以及地址流量选择器和隧道端点具有针对3种不同DU的3种类型的变体。在图10和图11中示意性地示出了整个交叉检查。
在计算实例化策略表之后,可以将新增加的策略(例如IPsec/IKE策略)同步到例如驻留在每个受影响的网络元素上的策略代理。策略代理可以接收诸如IPsec/IKE策略之类的实例化策略,以及将实例化策略应用于本地策略功能。在策略控制器和策略代理之间的机制可以确保此同步是一致的。在该示例中,策略控制器可以通过向策略代理或策略委托代理发送策略增加(ADD)请求来向CU1发送如表8的三个IPsec策略。策略控制器可以使用策略状态来指示同步状态:“正在增加”表示新策略已被增加,但仍未从策略代理或策略委托代理得到确认。
在确认新策略增加是成功的后,“增加”状态可以被更新为“已同步”状态。
表8
Figure BDA0003023662310000221
在此示例中,最后,表9中示出了针对CU1的策略实例化表。
表9
Figure BDA0003023662310000222
/>
Figure BDA0003023662310000231
在另一个实施例中,当策略例如被用户在策略控制器中删除时,策略控制器可以在实例化策略表中搜索被删除的策略,然后可以将策略删除请求发送给策略代理或策略委托代理。在该实施例中,假设相同的策略“MP”在策略控制器中被删除了,则将具有主策略索引(例如“102”)的策略删除请求发送给CU1的策略委托代理,该CU1的策略委托代理将进一步将策略删除请求转发给OAM VM的策略代理。OAM VM的策略代理将根据索引“102”删除所有相关策略。在来自CU1的策略委托代理的确认后,策略控制器将删除在其CU1的实例化策略表中的策略。否则,这样的删除将是不成功的,以及策略控制器可能会以一定间隔继续发送策略删除请求。
在另一个实施例中,当策略例如被用户在策略控制器中修改时,策略控制器可以重新生成针对受影响的网络元素的临时实例化策略。在将当前实例化策略表与重新生成的实例化策略表进行比较之后,差量部分(与旧的相比,差量部分可以是更少或更多的策略)将被识别并被同步到例如驻留在每个受影响的网络元素上的策略代理。例如,如表10所示,假设相同的策略“MP”被修改以将DU*缩小到DU1。那么这意味着针对DU2和DU3的其他策略应该被删除。
表10
Figure BDA0003023662310000232
在与上述表9进行交叉检查之后,策略控制器可以生成针对此策略的针对CU1的临时实例化策略,MP策略将被更新为表11,其中针对索引2和3的状态被更新为“正在删除”。“正在删除”项目将通过带有主索引和子索引的策略删除请求发送给策略委托代理和/或策略代理。例如,CU1的策略委托代理可以接收来自策略控制器的策略删除请求,然后通过内部注册表将其转发给OAM VM的策略代理,然后OAM VM的策略代理将删除具有主索引102和子索引2和3的相关策略。
表11
Figure BDA0003023662310000241
在OAM VM的策略代理将确认发送给CU的策略委托代理(其进一步将该确认转发给策略控制器)之后,带有项目主索引102以及子索引2和3的策略将从策略控制器中的表11中被删除,否则策略控制器可能会以一定间隔继续发送策略删除请求。
在另一个实施例中,策略控制器可以处理网络元素的加入,其中网络元素的策略代理直接与策略控制器连接。例如,加入的网络元素的策略代理将首先向策略控制器注册自己。可以通过诸如IPsec协议之类的安全协议来保护这种注册和进一步的通信。在至策略控制器的第一个连接被建立后,策略代理将通过发送注册请求将自身注册到策略控制器,该注册请求包括网络元素的名称(例如,用于在策略表中标识网络元素的名称)、策略代理的类型和用于通信的IP地址。在注册后,策略代理将向网络控制器报告在网络元素的一个或多个IP地址与各自对应标签之间的映射信息。图12示意性地示出了网络元素的增加的示例。
在策略控制器接收到注册信息和映射信息之后,策略控制器可以重新生成针对受影响的网络元素的实例化策略表,以及将所有实例化策略同步到受影响的网络元素的策略代理。
在另一个实施例中,策略控制器可以处理网络元素的加入,其中网络元素的策略代理直接与策略委托代理连接。例如,在从策略委托代理到策略控制器的第一连接(例如IPsec连接)被建立后,策略控制器可以接收注册请求,该注册请求包括网络元素的名称、策略委托代理的类型和用于通信的IP地址。在网络元素加入之后,策略委托代理可以接收来自新加入的网络元素的策略代理的注册信息和映射信息。然后,策略委托代理将将从新加入的网络元素的策略代理接收到的映射信息报告给策略控制器。
在一个实施例中,策略控制器可以处理例如在CU中新VM向外扩展。驻留在新VM上的策略代理通过发送注册请求将自己注册到例如驻留在CU上的策略委托代理,该注册请求包括VM的名称和用于通信的IP地址。策略委托代理将更新其本地注册表,本地注册表包括VM名称和IP地址。表12和13分别示出了旧表和新表,其中VM3是新加入的VM。
表12
Figure BDA0003023662310000251
表13
Figure BDA0003023662310000252
在注册之后,策略代理可以将映射信息报告给策略委托代理。策略委托代理可以发送更新请求,该更新请求包括需要增加到策略控制器的完整项目(例如,从策略代理接收到的映射信息)。表14中示出了在VM3向外扩展后的示例映射信息表。
表14
Figure BDA0003023662310000261
在从策略委托代理接收到更新的相关映射信息之后,策略控制器可以重新生成针对受影响的策略和受影响的网络元素的临时实例化策略表。通过将当前实例化策略表与重新生成的实例化策略表进行比较,差量部分可以被识别以及例如通过向那些受影响的网络元素发送更新请求被同步到驻留在每个受影响的网络元素上的策略代理(多个)。例如,表15示出了在VM3向外扩展之后存在以下UP策略。
表15
Figure BDA0003023662310000262
策略控制器可以将以下新策略生成到如表16中所示的CU1的实例化策略表以及还生成如表17,表18和表19中所示的DU1,DU2和DU3的实例化策略表中的对应策略。
表16
Figure BDA0003023662310000271
表17
Figure BDA0003023662310000272
表18
Figure BDA0003023662310000273
表19
Figure BDA0003023662310000274
策略控制器可以将策略更新请求发送给策略代理或策略委托代理。在新策略被策略代理或策略委托代理接收之后,它们可以应用新策略,以及将ACK(确认)发送回给策略控制器,策略控制器可以将那些策略状态标记为“已同步”,否则策略控制器将以一定间隔重复策略更新请求。
在一个实施例中,策略控制器可以处理例如在CU中的新VM向内扩展。通常,VM向内扩展的过程类似于如上所述的VM向外扩展的过程。策略委托代理可以以各种方式确定VM向内扩展。例如,策略委托代理可以通过心跳监督或来自VM生命周期管理的信息来确定VM向内扩展。在策略委托代理确定VM向内扩展后,策略委托代理可以更新注册表和映射信息表以移除向内扩展VM的信息。策略委托代理可以将更新请求发送给策略控制器。在接收到更新请求之后,策略控制器可以重新生成针对受影响的策略(多个)和受影响的网络元素(多个)的临时实例化策略表。通过将当前实例化策略表与临时实例化策略表进行比较,差量部分被识别并被同步到例如驻留在每个受影响的网络元素上的策略代理。
例如,假设CU1的VM2向内扩展如表20所示。
表20
Figure BDA0003023662310000281
策略委托代理可以删除在CU1映射信息表中的VM2项目。策略委托代理可以将具有需要被删除的完整项目(如表21所示)的更新请求发送给策略控制器以移除这些项目。
表21
Figure BDA0003023662310000282
Figure BDA0003023662310000291
例如,策略控制器可以确定在VM2向内扩展之后如表22中所示的以下UP策略将被更新。
表22
Figure BDA0003023662310000292
在接收到映射信息更新请求之后,策略控制器可以识别VM2向内扩展并且移除在策略控制器上的在CU1的实例化策略表中的针对CU1.VM2的如表23中所示的策略,并移除在DU1,DU2和DU3的各自实例化策略表中的如表24,表25和表26所示的DU策略。策略委托代理可以将具有主索引和子索引的策略删除请求发送给DU1,DU2和DU3的各自策略代理以删除相关策略。
表23
Figure BDA0003023662310000293
表24
Figure BDA0003023662310000294
Figure BDA0003023662310000301
表25
Figure BDA0003023662310000302
表26
Figure BDA0003023662310000303
在一个实施例中,策略控制器可以处理网络元素从网络中被移除。作为一个示例,如表27所示,假设DU3从网络中被移除。
表27
Figure BDA0003023662310000304
在策略控制器通过例如心跳监督或OAM的通知确定DU3被移除之后,在策略控制器上的DU3映射信息表可以删除如表28中所示的以下项目。
表28
Figure BDA0003023662310000311
策略控制器可以重新生成针对受影响的策略(多个)和受影响的网络元素(多个)的临时实例化策略表。通过将当前实例化策略表与临时实例化策略表进行比较,差量部分可以被识别以及通过向那些受影响的网络元素发送请求被同步到驻留在每个受影响的网络元素上的策略代理。
例如,策略控制器可以确定在DU3从网络中被移除之后,如表29中所示的以下UP策略将被更新。
表29
Figure BDA0003023662310000312
如表30所示,策略控制器可以确定DU3的删除可以导致移除针对CU1.VM1和VM2至DU3.UP的策略。策略控制器可以将带有主索引和子索引的策略删除请求发送给CU1的策略委托代理,CU1的策略委托代理可以进一步将策略删除请求转发给VM1和VM2的策略代理。VM1和VM2的策略代理可以将删除操作应用于策略功能。
表30
Figure BDA0003023662310000321
图13示出了根据本公开实施例的方法的流程图。方法1300可以被实现在诸如图2所示的策略代理204和208的策略代理处。对于在以上实施例中已经描述的一些部分,出于简洁,这里省略其详细描述。
在框1302,策略代理可以接收来自策略控制器或策略委托代理的策略增加、更新或删除请求。例如,如上所述,策略控制器可以直接向策略代理发送策略增加、更新或删除请求。如上所述,策略控制器可以将策略增加、更新或删除请求发送给策略委托代理,该策略委托代理可以将其转发给策略代理。在这两种情况下,策略代理都可以接收来自策略控制器或策略委托代理的策略增加、更新或删除请求。
在框1304,策略代理可以基于策略增加、更新或删除请求执行对应动作。例如,当请求是策略增加请求时,策略代理可以在策略功能中应用增加的策略。当请求是策略更新请求时,策略代理可以在策略功能中更新相关策略(多个),例如,增加某一策略(多个)和/或删除某一策略(多个)。当请求是策略删除请求时,策略代理可以删除在策略功能中的相关策略(多个)。
在框1306,策略代理可以向策略控制器或策略委托代理发送策略增加、更新或删除响应。
在一个实施例中,策略控制器可以被配置为执行如参考图1、图3和图6描述的方法300、600、800中的任何一个方法以及可能的任何其他过程或方法。
图14示出了根据本公开实施例的方法的流程图。方法1400可以被实现在诸如图2所示的策略代理204和208的策略代理处。对于在以上实施例中已经描述的一些部分,出于简洁,这里省略其详细描述。框1406、1408和1410类似于框1302、1304和1306,为简洁起见,在此省略其详细描述。
在框1402,策略代理可以向策略控制器或策略委托代理发送注册请求,其中,注册请求包括与策略代理相关联的第三网络元素的名称,策略代理的类型和用于与策略控制器或策略委托代理通信的IP地址。
在框1404,策略代理可以向策略控制器或策略委托代理发送在第三网络元素的一个或多个IP地址与各自对应标签之间的初始或更新的映射信息。
图15示出了根据本公开实施例的方法的流程图。方法1500可以被实现在诸如图2所示的策略委托代理210之类的策略委托代理处。对于在以上实施例中已经描述的一些部分,出于简洁,这里省略其详细描述。
在框1502,策略委托代理可以接收来自策略控制器的策略增加、更新或删除请求。
在框1504,策略委托代理可以将策略增加、更新或删除请求转发给由策略委托代理服务的策略代理;以及
在框1506,策略委托代理可以接收来自策略代理的策略增加、更新或删除响应;以及
在框1508,策略委托代理可以向策略控制器转发策略增加、更新或删除响应。
在一个实施例中,策略控制器可以被配置为执行如参考图1、图6和图8所描述的方法300、600、800中的任何一个方法以及可能的任何其他过程或方法。
图16示出了根据本公开实施例的方法的流程图。方法1600可以被实现在诸如图2所示的策略委托代理210之类的策略委托代理处。对于在以上实施例中已经描述的一些部分,出于简洁,这里省略其详细描述。
在框1602,策略委托代理可以接收来自策略代理的注册请求,其中该注册请求包括与该策略代理相关联的第三网络元素的名称、该策略代理的类型以及用于与策略委托代理的通信的IP地址。
在框1604,策略委托代理可以存储被包括在注册请求中的注册信息。
在框1606,策略委托代理可以接收从策略代理接收在第三网络元素的一个或多个IP地址与各自对应标签之间的初始或更新的映射信息。
在框1608,策略委托代理可以将初始或更新的映射信息发送给策略控制器。
在框1610,策略委托代理可以存储初始或更新的映射信息。
在框1612,当一个或多个实例化策略是一个或多个部分实例化策略时,策略委托代理可以基于所存储的注册信息以及所存储的初始或更新的映射信息来实例化一个或多个部分实例化策略,以及在框1614,向由策略委托代理服务的策略代理发送一个或多个被实例化的策略。
在一些实施例中,当代理是策略委托代理时,实例化策略是部分实例化策略。例如,策略控制器可以进行部分实例化,以及给在策略委托代理下的其他网络元素(例如VNF/VNFC)留下在策略委托代理处将执行的实例化部分,该策略委托代理具有其他网络元素实例化信息。例如,表31中示出了在策略控制器中的UP1策略。
表31
Figure BDA0003023662310000341
策略控制器可以执行如在表32中所示的部分实例化,例如,不执行在CU1下的VM实例化。
表32
Figure BDA0003023662310000351
然后,这种部分实例化的策略将被发送给具有相关VM信息的策略委托代理,以便进一步的实例化可以在策略委托代理中进行,例如CU1具有如表33所示的以下注册信息。
表33
Figure BDA0003023662310000352
然后,策略委托代理可以进一步使如表34所示的策略无效。例如,在表32中的每个策略可以被实例化为针对每个VM的两个真实策略(一个针对VM1,一个针对VM2),然后根据策略委托代理已经从每个VM的策略代理接收的映射信息来实例化真实IP地址。
表34
Figure BDA0003023662310000353
/>
Figure BDA0003023662310000361
另外。在策略委托代理下诸如VM的网络元素规模向内扩展/向外扩展的情况下,针对在策略委托代理下的诸如VM部分的网络元素的实例化可以在策略委托代理而不是策略控制器中完成,以及直接向诸如VM的网络元素的策略代理发送实例化策略。策略控制器可以进行与除策略委托代理的网络元素之外的其他受影响的网络元素有关的实例化检查。例如,以下策略实例化(其中目标网络元素为DU*)仍可以在策略控制器中完成。
Figure BDA0003023662310000362
图17a示出了根据本公开的实施例的可以被体现在/作为策略控制器的装置1710的简化框。图17b示出了根据本公开的实施例的可以被体现在/作为策略代理的装置1720。如图17c示出了根据本公开的实施例的可以被体现在/作为策略代理的装置1730。
装置1710可以包括至少一个处理器1711,诸如数据处理器(DP),和耦合到处理器1711的至少一个存储器(MEM)1712。装置1710可以还包括耦合到处理器1711的发射器TX和接收器RX 1713。MEM 1712存储程序(PROG)1714。PROG 1714可以包括指令,当在相关处理器1711上执行指令时,指令使装置1710能够根据本公开的实施例进行操作,例如,执行方法300、600和800中的至少一个方法。至少一个处理器1711和至少一个MEM 1712的组合可以形成适于实现本公开的各种实施例的处理装置1715。
装置1720包括至少一个处理器1721,例如DP,以及耦合到处理器1721的至少一个MEM 1722。装置1720可以还包括耦合到处理器1721的发射器TX和接收器RX 1723。MEM 1722存储PROG 1724。PROG 1724可以包括指令,当在相关处理器1721上执行指令时,指令使装置1720能够根据本公开的实施例进行操作,例如执行方法400、500、600,和方法1300、1400的至少一部分。至少一个处理器1721和至少一个MEM 1722的组合可以形成适于实现本公开的各种实施例的处理装置1725。
装置1730可以包括至少一个处理器1731,例如数据处理器(DP)和耦合到处理器1731的至少一个存储器(MEM)1732。装置1730可以还包括耦合到处理器1731的发射器TX和接收器RX 1733。MEM 1732存储程序(PROG)1734。PROG 1734可以包括指令,当在相关处理器1731上执行指令时,指令使装置1730能够根据本公开的实施例进行操作,例如执行方法1500和1600。至少一个处理器1731和至少一个MEM 1732的组合可以形成适于实现本公开的各种实施例的处理装置1735。
本公开的各种实施例可以通过可由处理器1711、1721和1731中的一个或多个执行的计算机程序,软件,固件,硬件或其组合来实现。
MEM 1712、1722和1732可以具有适合于本地技术环境的任何类型,以及可以使用任何适当的数据存储技术来实现,例如作为非限制性示例,基于半导体的存储设备,磁存储设备和系统,光学存储设备和系统,固定存储器和可移动存储器。
处理器1711、1721和1731可以具有适合于本地技术环境的任何类型,以及作为非限制性示例,可以包括以下中的一个或多个:通用计算机,专用计算机,微处理器,数字信号处理器DSP和基于多核处理器架构的处理器。
现在参考图18,其示出了用于策略控制器的装置1800的示意性框图。装置1800可操作用于执行示例性方法300、600和800。
如图18所示,装置1800可以包括:第一确定单元1802,其被配置为确定策略已经被创建、修改或删除和/或所存储的用于实例化该策略的信息已经改变,其中该策略包括第一网络元素的名称和一个或多个地址,一个或多个地址中的至少一个地址包括第二网络元素的名称和映射到第二网络元素的至少一个互联网协议(IP)地址之一的标签,其中第一网络元素包括一个或多个通配符,第二网络元素的名称包括一个或多个通配符,第一网络元素与第二网络元素相同或不同;第二确定单元1804,其被配置为至少部分地基于所述第一网络元素的名称和所述一个或多个地址,确定一个或多个实例化策略的增加、更新或删除;发送单元1806,其被配置为向与一个或多个受影响的第一网络元素关联的一个或多个代理发送策略增加、更新或删除请求;以及第一接收单元1808,其被配置为接收来自所述一个或多个代理的策略增加、更新或删除响应。
在一个实施例中,一个或多个地址包括以下中的至少一个:一对隧道地址,第一网络元素的IP地址和第二网络元素的IP地址。
在一实施例中,一个或多个地址还包括IP地址的版本。
在一个实施例中,装置1800可以包括:第二接收单元1810,其被配置为接收来自与第三网络元素相关联的代理的注册请求,其中该注册请求包括第三网络元素的名称,该代理的类型和用于与策略控制器通信的IP地址;以及第一存储单元1812,其被配置为存储所述第三网络元素的名称,所述代理的类型以及与所述策略控制器通信的IP地址。
在一个实施例中,装置1800可以包括:第三接收单元1814,其被配置为从代理接收在第三网络元素的一个或多个IP地址与各自对应标签之间的初始或更新的映射信息;以及第二存储单元1816,其被配置为存储所述映射信息。
在一个实施例中,每个映射信息包括对应的接口名称。
在一个实施例中,标签用于标记IP地址的用途。
在一个实施例中,IP地址的用途包括控制平面用途,用户平面用途,管理平面用途,控制平面互联网协议安全(IPsec)隧道端点,控制平面IPsec流量选择器,用户平面IPsec隧道端点,用户平面IPsec流量选择器,管理平面IPsec隧道端点,管理平面IPsec流量选择器,以及与在两个网络元素之间的接口名称或参考点名称相对应的用途。
在一个实施例中,当IP地址具有两个或更多用途时,该IP地址具有两个或更多对应标签。
在一个实施例中,统一命名规则被应用于所有网络元素,或者代理能够对在统一命名规则与本地命名规则之间的名称/标签进行解释。
在一个实施例中,代理包括策略代理和服务一个或多个策略代理的策略委托代理。
在一个实施例中,在策略控制器,策略代理和策略委托代理之间的通信是加密的。
在一个实施例中,网络元素包括虚拟机(VM)。
在一个实施例中,策略包括互联网协议安全(IPsec)策略。
在一个实施例中,实例化策略包括主索引和子索引,以及策略删除请求包括将被删除的实例化策略的主索引和子索引。
在一个实施例中,当代理是策略委托代理时,实例化策略可以是部分实例化策略。
现在参考图19,其示出了用于策略代理的装置1900的示意性框图。装置1900可操作用于执行示例性方法1300和1400。
如图19所示,装置1900可以包括:接收单元1902,其被配置为接收来自策略控制器或策略委托代理的策略增加、更新或删除请求;执行单元1904,其被配置为根据策略的增加、更新或删除请求执行对应动作;第一发送单元1906,其被配置为向所述策略控制器或所述策略委托代理发送策略增加、更新或删除响应,其中,所述策略控制器用于执行根据示例性方法300,600和800的方法。
装置1900还可以包括:第二发送单元1908,其被配置为向策略控制器或策略委托代理发送注册请求,其中,注册请求包括与策略代理关联的第三网络元素的名称、策略代理的类型以及用于与策略控制器或策略委托代理通信的IP地址。
装置1900还可以包括:第三发送单元1910,其被配置为向策略控制器或策略委托代理发送在第三网络元素的一个或多个IP地址与各自对应标签之间的初始或更新的映射信息。
现在参考图20,其示出了用于策略委托代理的装置2000的示意性框图。装置2000可操作用于执行示例性方法1500和1600。
如图20所示,装置2000可以包括:第一接收单元2002,其被配置为接收来自策略控制器的策略增加、更新或删除请求;第一转发单元2004,其被配置为将策略增加、更新或删除请求转发给由策略委托代理所服务的策略代理;第二接收单元2006,其被配置为接收来自策略代理的策略增加、更新或删除响应;第二转发单元2008,其被配置为将策略增加、更新或删除响应转发给策略控制器,其中,策略控制器用于执行根据示例性方法300,600和800的方法。
在一个实施例中,装置2000可以包括:第三接收单元2010,其被配置为接收来自策略代理的注册请求,其中该注册请求包括与策略代理相关联的第三网络元素的名称,所述策略代理的类型和用于与所述策略委托代理通信的IP地址;第一存储单元2012,其被配置为存储在所述注册请求中包含的注册信息。
在一个实施例中,装置2000可以包括:第四接收单元2014,其被配置为从策略代理接收在第三网络元素的一个或多个IP地址与各自对应标签之间的初始或更新的映射信息;第一发送单元2016,其被配置为将初始或更新的映射信息发送给策略控制器。
在一个实施例中,装置2000可以还包括:第二存储单元2018,其被配置为存储初始或更新的映射信息。
在一个实施例中,一个或多个实例化策略是一个或多个部分实例化策略,以及装置2000可以包括:实例化单元2020,其被配置为基于所存储的注册信息和所存储的初始或更新的映射信息来实例化一个或多个部分实例化策略,以及第二发送单元2022,其被配置为向由策略委托代理服务的策略代理发送一个或多个被实例化的策略。
应当理解,在一些实施方式中,在装置1800、1900或2000中的一些单元或模块可以被组合。例如,在一个实施例中,使用单个收发单元来发送和接收信息是可能的。
根据本公开的一方面,提供了一种计算机程序产品,该计算机程序产品被有形地存储在计算机可读存储介质上并且包括指令,当在至少一个处理器上执行该指令时,该指令使至少一个处理器执行与如上所述的策略控制器有关的方法,例如示例性方法300、600和800。
根据本公开的一方面,提供了一种计算机程序产品,该计算机程序产品被有形地存储在计算机可读存储介质上并且包括指令,当在至少一个处理器上执行该指令时,该指令使至少一个处理器执行与策略代理有关的方法,例如示例性方法1300和1400。
根据本公开的一方面,提供了一种计算机程序产品,该计算机程序产品被有形地存储在计算机可读存储介质上并且包括指令,当在至少一个处理器上执行该指令时,该指令使至少一个处理器执行与上述策略委托代理有关的方法,例如示例性方法1500和1600。
一些实施例可以支持集中式和自适应策略,例如用于电信云的IPsec配置管理。一些实施例可以在引入诸如VM自动扩展之类的网络元素并支持大量网络元素(诸如DU)用户情况的同时降低策略管理复杂性。
另外,本公开还可以提供一种包含如上所述的计算机程序的载体,其中该载体是电信号,光信号,无线电信号或计算机可读存储介质之一。计算机可读存储介质可以是例如光盘或诸如RAM(随机存取存储器),ROM(只读存储器),闪速存储器的电子存储设备,磁带,CD-ROM,DVD,蓝光光盘等。
本文描述的技术可以通过各种手段来实现,以使得实现用实施例描述的对应装置的一个或多个功能的装置不仅包括现有技术的构件,而且还包括用于实现用实施例描述的对应装置的一个或多个功能的构件,以及它可以包括用于每个单独功能的单独构件,或者可以被配置为执行两个或更多个功能的构件。例如,这些技术可以以硬件(一个或多个装置),固件(一个或多个装置),软件(一个或多个模块)或其组合来实现。对于固件或软件,可以通过执行本文描述的功能的模块(例如,过程,功能等)来实现。
上面已经参考方法和装置的框图和流程图图示描述了本文的示例性实施例。应当理解,框图和流程图的每个框以及框图和流程图的各个框的组合可以分别通过包括计算机程序指令的各种构件来实现。这些计算机程序指令可以被加载到通用计算机,专用计算机或其他可编程数据处理装置上以产生机器,使得在计算机或其他可编程数据处理装置上执行的指令创建用于实现在流程图框或多个框中指定的功能的构件。
此外,尽管以特定顺序描绘了操作,但是这不应理解为要求以所示的特定顺序或以连续的顺序执行这样的操作,或者执行所有示出的操作,以实现期望的结果。在某些情况下,多任务和并行处理可能是有利的。同样,尽管以上讨论中包含若干特定的实现细节,但是这些不应该被解释为对本文所述主题的范围的限制,而应被解释为特定于特定实施例的特征的描述。在单独的实施例的上下文中描述的某些特征也可以在单个实施例中组合来实现。相反,在单个实施例的上下文中描述的各种特征也可以分别在多个实施例中或以任何合适的子组合来实现。
尽管本说明书包含许多特定的实施细节,但是这些不应被解释为对任何实施方式的范围或可能要求保护的范围的限制,而是作为可以特定于特定实施方式的特定实施例的特征的描述。在单独的实施例的上下文中在本说明书中描述的某些特征也可以在单个实施例中的组合中来实现。相反,在单个实施例的上下文中描述的各种特征也可以分别在多个实施例中或以任何合适的子组合来实现。而且,尽管以上可以将特征描述为在某些组合中起作用并且甚至最初如此声称,但是在某些情况下可以从组合中切除所要求保护的组合中的一个或多个特征,以及所要求保护的组合可以针对子组合或子组合的变体。
对于本领域技术人员而言显而易见的是,随着技术的进步,可以以各种方式来实现本发明的构思。给出上述实施例以用于描述而不是限制本公开,以及应当理解,如本领域技术人员容易理解的那样,可以在不脱离本公开的精神和范围的情况下进行修改和变型。这样的修改和变型被认为在本公开和所附权利要求书的范围内。本公开的保护范围由所附权利要求书限定。

Claims (31)

1.一种在策略控制器处实现的方法,包括:
确定策略已经被创建、修改或删除和/或用于实例化所述策略的存储信息已改变,其中所述策略包括第一网络元素的名称和一个或多个地址,所述一个或多个地址中的至少一个地址包括第二网络元素的名称和映射到所述第二网络元素的至少一个互联网协议IP地址之一的标签,其中所述第一网络元素的名称包括一个或多个通配符,所述第二网络元素的名称包括一个或多个通配符,以及所述第一网络元素与所述第二网络元素相同或不同;
至少部分地基于所述第一网络元素的名称和所述一个或多个地址,确定一个或多个实例化策略的增加、更新或删除;
向与一个或多个受影响的第一网络元素相关联的一个或多个代理发送策略增加、更新或删除请求;以及
接收来自所述一个或多个代理的策略增加、更新或删除响应。
2.根据权利要求1所述的方法,其中,所述一个或多个地址包括以下中的至少一个:一对隧道地址,所述第一网络元素的IP地址和所述第二网络元素的IP地址。
3.根据权利要求2所述的方法,其中,所述一个或多个地址还包括IP地址的版本。
4.根据权利要求1-3中任一项所述的方法,还包括:
接收来自与第三网络元素相关联的代理的注册请求,其中,所述注册请求包括所述第三网络元素的名称,所述代理的类型以及用于与所述策略控制器通信的IP地址;以及
存储所述第三网络元素的名称,所述代理的类型以及所述用于与所述策略控制器通信的IP地址。
5.根据权利要求4所述的方法,还包括
从所述代理接收在所述第三网络元素的一个或多个IP地址与各自对应标签之间的初始或更新的映射信息;
存储所述映射信息。
6.根据权利要求5所述的方法,其中,每个映射信息包括对应的接口名称。
7.根据权利要求1-3中任一项所述的方法,其中,标签用于标记IP地址的用途。
8.根据权利要求7所述的方法,其中,所述IP地址的用途包括控制平面用途,用户平面用途,管理平面用途,控制平面互联网协议安全性IPsec隧道端点,控制平面IPsec流量选择器,用户平面IPsec隧道端点,用户平面IPsec流量选择器,管理平面IPsec隧道端点,管理平面IPsec流量选择器,以及与在两个网络元素之间的接口名称或参考点名称相对应的用途。
9.根据权利要求7所述的方法,其中,当IP地址具有两个或更多用途时,所述IP地址具有两个或更多对应标签。
10.根据权利要求1-3中任一项所述的方法,其中,统一命名规则应用于所有网络元素,或者所述代理能够对在所述统一命名规则与本地命名规则之间的名称/标签进行解释。
11.根据权利要求1-3中任一项所述的方法,其中,所述代理包括策略代理和服务一个或多个策略代理的策略委托代理。
12.根据权利要求11所述的方法,其中,在所述策略控制器,所述策略代理和所述策略委托代理之间的通信是加密的。
13.根据权利要求1-3中任一项所述的方法,其中,所述网络元素包括虚拟机VM。
14.根据权利要求1-3中任一项所述的方法,其中,所述策略包括互联网协议安全性IPsec策略。
15.根据权利要求1-3中任一项所述的方法,其中,所述实例化策略包括主索引和子索引,以及所述策略删除请求包括将被删除的实例化策略的所述主索引和所述子索引。
16.根据权利要求1-3中任一项所述的方法,其中,当所述代理是策略委托代理时,所述一个或多个实例化策略是部分实例化策略。
17.一种在策略代理处实现的方法,包括:
接收来自策略控制器或策略委托代理的策略增加、更新或删除请求;
根据所述策略的增加、更新或删除请求执行对应动作;以及
向所述策略控制器或所述策略委托代理发送策略增加、更新或删除响应,
其中,所述策略控制器被配置为执行根据权利要求1至15中任一项所述的方法。
18.根据权利要求17所述的方法,还包括:
向所述策略控制器或所述策略委托代理发送注册请求,其中,所述注册请求包括与所述策略代理关联的第三网络元素的名称,所述策略代理的类型以及用于与所述策略控制器或所述策略委托代理通信的IP地址。
19.根据权利要求18所述的方法,还包括
向所述策略控制器或所述策略委托代理发送在所述第三网络元素的一个或多个IP地址与各自对应标签之间的初始或更新的映射信息。
20.一种在策略委托代理处实现的方法,包括:
接收来自策略控制器的策略增加、更新或删除请求;
将所述策略增加、更新或删除请求转发给由所述策略委托代理服务的策略代理;
接收来自所述策略代理的策略增加、更新或删除响应;以及
将所述策略增加、更新或删除响应转发给所述策略控制器,
其中,所述策略控制器被配置为执行根据权利要求1至16中任一项所述的方法。
21.根据权利要求20所述的方法,还包括:
接收来自所述策略代理的注册请求,其中,所述注册请求包括与所述策略代理关联的第三网络元素的名称,所述策略代理的类型以及用于与所述策略委托代理通信的IP地址;以及
存储被包括在所述注册请求中的注册信息。
22.根据权利要求21所述的方法,还包括:
从所述策略代理接收在所述第三网络元素的一个或多个IP地址与各自对应标签之间的初始或更新的映射信息;以及
将所述初始或更新的映射信息发送给所述策略控制器。
23.根据权利要求22所述的方法,还包括:
存储所述初始或更新的映射信息。
24.根据权利要求23所述的方法,其中,所述一个或多个实例化策略是一个或多个部分实例化策略,以及所述方法还包括:
基于所存储的注册信息和所存储的初始或更新的映射信息,实例化所述一个或多个部分实例化策略;以及
向由所述策略委托代理所服务的策略代理发送一个或多个被实例化的策略。
25.一种在策略控制器处实现的装置,包括:
处理器;以及
耦合到所述处理器的存储器,所述存储器存储可由所述处理器执行的指令,由此所述装置可操作用于:
确定策略已经被创建、修改或删除和/或用于实例化所述策略的存储信息已改变,其中所述策略包括第一网络元素的名称和一个或多个地址,所述一个或多个地址中的至少一个地址包括第二网络元素的名称和映射到所述第二网络元素的至少一个互联网协议IP地址之一的标签,其中所述第一网络元素的名称包括一个或多个通配符,所述第二网络元素的名称包括一个或多个通配符,所述第一网络元素与所述第二网络元素相同或不同;
至少部分地基于所述第一网络元素的名称和所述一个或多个地址,确定一个或多个实例化策略的增加、更新或删除;
向与一个或多个受影响的第一网络元素相关联的一个或多个代理发送策略增加、更新或删除请求;以及
接收来自所述一个或多个代理的策略增加、更新或删除响应。
26.根据权利要求25所述的装置,其中,所述装置还可操作用于执行根据权利要求2至15中任一项所述的方法。
27.一种在策略代理处实现的装置,包括:
处理器;以及
耦合到所述处理器的存储器,所述存储器存储可由所述处理器执行的指令,由此所述装置可操作用于:
接收来自策略控制器或策略委托代理的策略增加、更新或删除请求;
根据所述策略的增加、更新或删除请求执行对应动作;以及
向所述策略控制器或所述策略委托代理发送策略增加、更新或删除响应,
其中,所述策略控制器被配置为执行根据权利要求1至15中任一项所述的方法。
28.根据权利要求27所述的装置,其中,所述装置还可操作用于执行根据权利要求17至18中任一项所述的方法。
29.一种在策略委托代理处实现的装置,包括:
处理器;以及
耦合到所述处理器的存储器,所述存储器存储可由所述处理器执行的指令,由此所述装置可操作用于:
接收来自策略控制器的策略增加、更新或删除请求;
将所述策略增加、更新或删除请求转发给由所述策略委托代理服务的策略代理;
接收来自所述策略代理的策略增加、更新或删除响应;以及
将所述策略增加、更新或删除响应转发给所述策略控制器,
其中,所述策略控制器被配置为执行根据权利要求1至15中任一项所述的方法。
30.根据权利要求29所述的装置,其中,所述装置还可操作用于执行根据权利要求20至22中任一项所述的方法。
31.一种存储指令的计算机可读存储介质,所述指令在由至少一个处理器执行时使所述至少一个处理器执行根据权利要求1至22中任一项所述的方法。
CN201880098773.4A 2018-10-19 2018-10-19 用于策略管理的方法和装置 Active CN112840615B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2018/110994 WO2020077612A1 (en) 2018-10-19 2018-10-19 Method and apparatus for policy management

Publications (2)

Publication Number Publication Date
CN112840615A CN112840615A (zh) 2021-05-25
CN112840615B true CN112840615B (zh) 2023-07-11

Family

ID=70284400

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201880098773.4A Active CN112840615B (zh) 2018-10-19 2018-10-19 用于策略管理的方法和装置

Country Status (2)

Country Link
CN (1) CN112840615B (zh)
WO (1) WO2020077612A1 (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114095370A (zh) * 2020-08-04 2022-02-25 中国移动通信有限公司研究院 策略配置方法、装置、设备及存储介质
CN116938937A (zh) * 2023-09-18 2023-10-24 国网江苏省电力有限公司扬州供电分公司 一种变电站与多主站云边协同自动对点方法、设备和介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103457933A (zh) * 2013-08-15 2013-12-18 中电长城网际系统应用有限公司 一种虚拟机迁移安全策略动态配置系统和方法
WO2018100437A1 (en) * 2016-11-30 2018-06-07 Telefonaktiebolaget Lm Ericsson (Publ) Policy based configuration in programmable access networks

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101640614B (zh) * 2009-09-03 2012-01-04 成都市华为赛门铁克科技有限公司 一种配置ipsec安全策略的方法及装置
CA2680599A1 (en) * 2009-10-16 2009-12-23 Ibm Canada Limited - Ibm Canada Limitee A method and system for automatically configuring an ipsec-based virtual private network
US9065802B2 (en) * 2012-05-01 2015-06-23 Fortinet, Inc. Policy-based configuration of internet protocol security for a virtual private network
US9571452B2 (en) * 2014-07-01 2017-02-14 Sophos Limited Deploying a security policy based on domain names

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103457933A (zh) * 2013-08-15 2013-12-18 中电长城网际系统应用有限公司 一种虚拟机迁移安全策略动态配置系统和方法
WO2018100437A1 (en) * 2016-11-30 2018-06-07 Telefonaktiebolaget Lm Ericsson (Publ) Policy based configuration in programmable access networks

Also Published As

Publication number Publication date
WO2020077612A1 (en) 2020-04-23
CN112840615A (zh) 2021-05-25

Similar Documents

Publication Publication Date Title
EP3878148B1 (en) Fully qualified domain name handling for service interactions in 5g
CN113396610B (zh) 用于归属路由漫游的pdu会话建立时的辅助授权
CN111901135B (zh) 一种数据分析方法及装置
US11582820B2 (en) Techniques to extend a multiple access session and access traffic steering, switching, and splitting low-layer (ATSSS-LL) policies to an enterprise network
JP2017531405A (ja) Icnネットワークにおいてipデバイスのアンカリング
JP2020509640A (ja) 5gシステムにおけるセキュリティアンカー機能
JP7464683B2 (ja) 5gにおける複数の認証手続のハンドリング
JP7286785B2 (ja) プロトコルデータユニットセッションの確立
EP3817453A1 (en) Communication method and apparatus
JP6937434B2 (ja) ダウンリンクデータ送達状態を管理する方法
CN115997375A (zh) 在第五代(5g)系统中提供对本地化服务的接入(pals)
JP2020535732A (ja) 無線通信システムのハンドオーバにおけるセキュリティコンテキストの管理およびキー導出の実施
CN112840615B (zh) 用于策略管理的方法和装置
CN113595911B (zh) 数据转发方法、装置、电子设备及存储介质
US20230337170A1 (en) Individual User Equipment Management in RAN
US10694358B2 (en) Session continuity for IPv6 over Bluetooth low energy
CN114980074A (zh) 基于虚拟局域网的数据通信方法、装置、设备及介质
CN116746188A (zh) 使用允许性指示来支持应用认证和密钥管理(akma)的方法和系统
KR20240004257A (ko) 업링크 송신에 대한 공간 관계 및 전력 제어 구성
CN105191409A (zh) 分布式移动管理环境中的锚定节点选择
WO2017201027A2 (en) Enhancements for ieee 802.11ah relays
CN116803052A (zh) 用于akma的路由指示符检索
CN115997404A (zh) 针对5g网络支持随机接入信道(rach)优化的rach性能测量
WO2023212872A1 (en) External ip interface management in 5gs ip router node
WO2022021239A1 (en) Notify network about result of authentication and authorization of terminal device

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant