CN113630390B - 基于大数据的终端设备的网络安全通信方法及装置 - Google Patents

Abstract

本申请提供一种基于大数据的终端设备的网络安全通信方法及装置，该方法包括：接收来自第一终端设备的网络接入请求，网络接入请求中携带有第一终端设备的第一设备标识；根据第一设备标识遍历数据库，以确定出第一终端设备所在的节点树，其中，第一终端设备对应节点树中的一个根节点；从节点树的各树状分支中，确定出与第一终端设备相关的节点；在数据库中确定出相关的节点对应的网络安全通信策略；向第一终端设备下发网络安全通信策略。如此，便可以将相关的节点对应的网络安全通信策略配置给第一终端设备，以实现将相似的设备的网络安全通信策略也配置给第一终端设备，故能够提高网络安全通信策略的保护力度。

Description

基于大数据的终端设备的网络安全通信方法及装置

技术领域

本申请涉及通信领域，尤其涉及一种基于大数据的终端设备的网络安全通信方法及装置。

背景技术

在当今网络时代，网络与人们的生活息息相关，如打车、购物、餐饮、娱乐等生活的方方面面都可以在网络。因此，如何保证网络中各用户的数据安全在当今时代显得尤其重要。

具体地，在目前的技术中，网络侧的网络设备，如服务器，可以为用户设备(UserEquipment，UE)配置该UE的网络安全通信策略，以便UE基于该网络安全通信策略的保护下访问网络并进行通信，以保障用户的数据安全。

然而，目前配置网络安全通信策略的方式主要以业务为粒度，比如，针对UE1的A业务配置一种网络安全通信策略，针对UE1的B业务再配置另一种网络安全通信策略。显然，以业务为粒度会导致网络安全通信策略的防护比较单薄，在用户的数据安全要求越来越高的今天，以逐渐无法满足要求。

发明内容

本申请实施例提供一种大数据的终端设备的网络安全通信方法及装置，能够提高网络安全通信策略的保护力度，从而保障用户的数据安全。

为达到上述目的，本申请采用如下技术方案：

第一方面，提供一种基于大数据的终端设备的网络安全通信方法，应用于网络设备，所述网络设备与第一终端设备连接，包括：接收来自第一终端设备的网络接入请求，其中，所述网络接入请求中携带有所述第一终端设备的第一设备标识；根据所述第一设备标识遍历数据库，以确定出所述第一终端设备所在的节点树，其中，所述第一终端设备对应所述节点树中的一个根节点；从所述节点树的各树状分支中，确定出与所述第一终端设备相关的节点；在所述数据库中确定出所述相关的节点对应的网络安全通信策略；向所述第一终端设备下发所述网络安全通信策略，以便所述第一终端设备配置所述网络安全通信策略。

基于第一方面所述方法可知，通过确定第一终端设备所在的节点树，并在节点树中确定与第一终端设备相关的节点，从而获得相关的节点对应的网络安全通信策略。如此，在向第一终端设备配置网络安全通信策略，便可以将相关的节点对应的网络安全通信策略配置给第一终端设备，以实现将相似的设备的网络安全通信策略也配置给第一终端设备，故能够提高网络安全通信策略的保护力度，从而保障用户的数据安全。

可选地，所述根据所述唯一标识遍历数据库，以确定出所述第一终端设备所在的节点树，包括：根据所述唯一标示遍历所述数据库，从所述数据库中确定出与所述第一设备标识相关的第二设备标识；根据所述第二设备标识遍历所述数据库，从所述数据库中确定出与所述第二设备标识相关的第三设备标识，依次类推，直至迭代到预设的第N次，确定出与第N-1设备标识相关的第N设备标识；其中，N为大于或等于3的整数，所述第二设备标识对应第二终端设备，所述第三设备标识对应第三终端设备，依次类推，所述第N设备标识对应第N终端设备；其中，所述第一设备标识至所述第N设备标识依次相关，表示所述第一终端设备至所述第N终端设备为相似的终端设备；根据所述第一设备标识至所述第N设备标识依次的相关关系，构建出所述节点树，所述第一终端设备即为所述节点树中的一个根节点。这样一来，网络设备通过迭代，便能够准确且完整的构建出节点树，以便确定出相似的节点。

可选地，所述相似的终端设备表示所述第一终端设备至所述第N终端设备中任意两个设备的如下一项或者多项相似：设备类型相似、业务相似、或设备型号相似。

可选地，所述从所述节点树的各树状分支中，确定出与所述第一终端设备相关的节点，包括：判断所述节点树的各树状分支中，最末端节点的业务类型与所述第一终端设备的业务类型是否相似；若相似，且相似的最末端节点数量到达上限值，则确定出所述相似的最末端节点所在的树状分支内包含的所有第一节点，其中，所述所有第一节点为所述相关的节点；若相似，且所述相似的最末端节点数量未到达上限值，则从所述节点树的各树状分支的倒数第二末端节点中，确定出业务类型与所述第一终端设备的业务类型相似的倒数第二末端节点，并确定出所述相似的最末端节点所在的树状分支内包含的所有第二节点，所述相关的节点包括：所述所有第二节点与所述相似的倒数第二末端节点。若不相似，则从所述节点树的各树状分支的倒数第二末端节点中，确定出业务类型与所述第一终端设备的业务类型相似的倒数第二末端节点，所述相似的倒数第二末端节点即为所述相关的节点。如此，通过明确分支的主次关系，能够有序且准确的从节点树中确定出相似的节点。

可选地，所述在所述数据库中确定出所述相关的节点对应的网络安全通信策略，包括：根据所述相关的节点在所述节点树中的位置分布，在所述相关的节点中确定出位于所述位置分布中心处的中心节点；在所述数据库中确定出所述中心节点的网络安全通信策略，其中，所述中心节点的网络安全通信策略即为所述第一终端设备的网络安全通信策略。如此，由于中心节点的位置关系能够表示中心节点在各方面的策略都比较有代表性，从而基于中心节点能够确定出综合安全性比较高的网络安全通信策略。

可选地，所述在所述数据库中确定出所述相关的节点对应的网络安全通信策略，包括：在所述数据库中确定出所述相关的节点各自对应的网络安全通信策略，从而获得网络安全通信策略集合；确定所述网络安全通信策略集合中策略内容的并集，所述并集包含的策略内容即为所述第一终端设备的网络安全通信策略。如此，能够确保策略的全面性，以进一步提高安全性。

可选地，所述在所述数据库中确定出所述相关的节点对应的网络安全通信策略，包括：在所述数据库中确定出所述相关的节点各自对应的网络安全通信策略，从而获得网络安全通信策略集合；确定所述网络安全通信策略集合中策略内容的交集，所述交集包含的策略内容即为所述第一终端设备的网络安全通信策略。如此，实现了在保证安全性的基础上，还能够节约通信开销。

可选地，所述网络接入请求承载PUCCH上，所述接收来自第一终端设备的网络接入请求之后，所述方法还包括：确定所述PUCCH的时域位置；相应的，所述向所述第一终端设备下发所述网络安全通信策略，包括：以预设最小的时隙间隔，确定出所述时域位置之后PDSCH的时域位置；在所述PDSCH的时域位置处，向所述第一终端设备下发所述PDSCH，其中，所述网络安全通信策略承载在所述PDSCH上。如此，可以确保策略的实时性。

第二方面，提供一种基于大数据的终端设备的网络安全通信装置，应用于网络设备，所述网络设备与第一终端设备连接，包括：收发模块，用于接收来自第一终端设备的网络接入请求，其中，所述网络接入请求中携带有所述第一终端设备的第一设备标识；处理模块，用于根据所述第一设备标识遍历数据库，以确定出所述第一终端设备所在的节点树，其中，所述第一终端设备对应所述节点树中的一个根节点；从所述节点树的各树状分支中，确定出与所述第一终端设备相关的节点；在所述数据库中确定出所述相关的节点对应的网络安全通信策略；所述收发模块，还用于向所述第一终端设备下发所述网络安全通信策略，以便所述第一终端设备配置所述网络安全通信策略。

可选地，所述处理模块，还用于根据所述唯一标示遍历所述数据库，从所述数据库中确定出与所述第一设备标识相关的第二设备标识；根据所述第二设备标识遍历所述数据库，从所述数据库中确定出与所述第二设备标识相关的第三设备标识，依次类推，直至迭代到预设的第N次，确定出与第N-1设备标识相关的第N设备标识；其中，N为大于或等于3的整数，所述第二设备标识对应第二终端设备，所述第三设备标识对应第三终端设备，依次类推，所述第N设备标识对应第N终端设备；其中，所述第一设备标识至所述第N设备标识依次相关，表示所述第一终端设备至所述第N终端设备为相似的终端设备；根据所述第一设备标识至所述第N设备标识依次的相关关系，构建出所述节点树，所述第一终端设备即为所述节点树中的一个根节点。

可选地，所述相似的终端设备表示所述第一终端设备至所述第N终端设备中任意两个设备的如下一项或者多项相似：设备类型相似、业务相似、或设备型号相似。

可选地，所述处理模块，还用于判断所述节点树的各树状分支中，最末端节点的业务类型与所述第一终端设备的业务类型是否相似；若相似，且相似的最末端节点数量到达上限值，则确定出所述相似的最末端节点所在的树状分支内包含的所有第一节点，其中，所述所有第一节点为所述相关的节点；若相似，且所述相似的最末端节点数量未到达上限值，则从所述节点树的各树状分支的倒数第二末端节点中，确定出业务类型与所述第一终端设备的业务类型相似的倒数第二末端节点，并确定出所述相似的最末端节点所在的树状分支内包含的所有第二节点，所述相关的节点包括：所述所有第二节点与所述相似的倒数第二末端节点。若不相似，则从所述节点树的各树状分支的倒数第二末端节点中，确定出业务类型与所述第一终端设备的业务类型相似的倒数第二末端节点，所述相似的倒数第二末端节点即为所述相关的节点。

可选地，所述处理模块，还用于根据所述相关的节点在所述节点树中的位置分布，在所述相关的节点中确定出位于所述位置分布中心处的中心节点；在所述数据库中确定出所述中心节点的网络安全通信策略，其中，所述中心节点的网络安全通信策略即为所述第一终端设备的网络安全通信策略。

可选地，所述处理模块，还用于在所述数据库中确定出所述相关的节点各自对应的网络安全通信策略，从而获得网络安全通信策略集合；确定所述网络安全通信策略集合中策略内容的并集，所述并集包含的策略内容即为所述第一终端设备的网络安全通信策略。

可选地，所述处理模块，还用于在所述数据库中确定出所述相关的节点各自对应的网络安全通信策略，从而获得网络安全通信策略集合；确定所述网络安全通信策略集合中策略内容的交集，所述交集包含的策略内容即为所述第一终端设备的网络安全通信策略。

可选地，所述网络接入请求承载PUCCH上，可选地，所述收发模块，还用于确定所述PUCCH的时域位置；所述处理模块，还用于以预设最小的时隙间隔，确定出所述时域位置之后PDSCH的时域位置；所述处理模块，还用于在所述PDSCH的时域位置处，控制所述收发模块向所述第一终端设备下发所述PDSCH，其中，所述网络安全通信策略承载在所述PDSCH上。

第三方面，提供一种计算机可读存储介质所述计算机可读存储介质包括：计算机程序或指令，当所述计算机程序或指令在计算机上运行时，使得所述计算机执行如第一方面所述的方法。

附图说明

图1为本申请实施例提供的通信系统的架构示意图；

图2为本申请实施例提供的方法的流程示意图；

图3为本申请实施例提供的方法的应用场景图；

图4为本申请实施例提供的装置的结构示意图一；

图5为本申请实施例提供的装置的结构示意图二。

具体实施方式

下面将结合附图，对本申请中的技术方案进行描述。

本申请实施例的技术方案可以应用于各种通信系统，例如无线保真(wirelessfidelity，WiFi)系统，车到任意物体(vehicle to everything，V2X)通信系统、设备间(device-todevie，D2D)通信系统、车联网通信系统、第4代(4th generation，4G)移动通信系统，如长期演进(long term evolution，LTE)系统、全球互联微波接入(worldwideinteroperability for microwave access，WiMAX)通信系统、第五代(5th generation，5G)移动通信系统，如新空口(new radio，NR)系统，以及未来的通信系统，如第六代(6thgeneration，6G)移动通信系统等。

本申请将围绕可包括多个设备、组件、模块等的系统来呈现各个方面、实施例或特征。应当理解和明白的是，各个系统可以包括另外的设备、组件、模块等，并且/或者可以并不包括结合附图讨论的所有设备、组件、模块等。此外，还可以使用这些方案的组合。

另外，在本申请实施例中，“示例地”、“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用示例的一词旨在以具体方式呈现概念。

本申请实施例中，“信息(information)”，“信号(signal)”，“消息(message)”，“信道(channel)”、“信令(singaling)”有时可以混用，应当指出的是，在不强调其区别时，其所要表达的含义是一致的。“的(of)”，“相应的(corresponding，relevant)”和“对应的(corresponding)”有时可以混用，应当指出的是，在不强调其区别时，其所要表达的含义是一致的。

本申请实施例中，有时候下标如W₁可能会笔误为非下标的形式如W1，在不强调其区别时，其所要表达的含义是一致的。

本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

为便于理解本申请实施例，首先以图1中示出的通信系统为例详细说明适用于本申请实施例的通信系统。示例性地，图1为本申请实施例提供的方法所适用的一种通信系统的架构示意图。

如图1所示，该通信系统包括网络设备和终端设备。

其中，上述网络设备为位于上述通信系统的网络侧，且具有无线收发功能的设备或可设置于该设备的芯片或芯片系统。该网络设备包括但不限于：无线保真(wirelessfidelity，WiFi)系统中的接入点(access point，AP)，如家庭网关、路由器、服务器、交换机、网桥等，演进型节点B(evolved Node B，eNB)、无线网络控制器(radio networkcontroller，RNC)、节点B(Node B，NB)、基站控制器(base station controller，BSC)、基站收发台(base transceiver station，BTS)、家庭基站(例如，home evolved NodeB，或homeNode B，HNB)、基带单元(baseband unit，BBU)，无线中继节点、无线回传节点、传输点(transmission and reception point，TRP或者transmission point，TP)等，还可以为5G，如，新空口(new radio，NR)系统中的gNB，或，传输点(TRP或TP)，5G系统中的基站的一个或一组(包括多个天线面板)天线面板，或者，还可以为构成gNB或传输点的网络节点，如基带单元(BBU)，或，分布式单元(distributed unit，DU)、具有基站功能的路边单元(road sideunit，RSU)等。

上述终端设备为接入上述通信系统，且具有无线收发功能的终端或可设置于该终端的芯片或芯片系统。该终端设备也可以称为用户装置、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。本申请的实施例中的终端设备可以是手机(mobile phone)、平板电脑(Pad)、带无线收发功能的电脑、虚拟现实(virtual reality，VR)终端设备、增强现实(augmentedreality，AR)终端设备、工业控制(industrial control)中的无线终端、无人驾驶(selfdriving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smartgrid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smartcity)中的无线终端、智慧家庭(smart home)中的无线终端。

需要说明的是，本申请实施例提供的方法，可以适用于图1所示的终端设备与网络设备之间，具体实现可以参考下述方法实施例，此处不再赘述。

应当指出的是，本申请实施例中的方案还可以应用于其他通信系统中，相应的名称也可以用其他通信系统中的对应功能的名称进行替代。

应理解，图1仅为便于理解而示例的简化示意图，该通信系统中还可以包括其他网络设备，和/或，其他终端设备，图1中未予以画出。

下面将结合图2对本申请实施例提供的方法进行具体阐述。

示例性地，图2为本申请实施例提供的基于大数据的终端设备的网络安全通信方法的流程示意图。该通信方法可以适用于图1所示的网络设备与终端设备之间的通信。

如图2所示，该方法包括如下步骤：

S201，第一终端设备向网络设备发送网络接入请求，网络设备接收来自第一终端设备的网络接入请求。

其中，网络接入请求承载PUCCH(物理上行共享信道)上，网络接入请求中携带有第一终端设备的第一设备标识。

S202，网络设备根据第一设备标识遍历数据库，以确定出第一终端设备所在的节点树。

可选地，网络设备可以根据唯一标示遍历所述数据库，从所述数据库中确定出与第一设备标识相关的第二设备标识。然后，网络设备可以根据第二设备标识继续遍历数据库，从数据库中确定出与第二设备标识相关的第三设备标识，依次类推，直至迭代到预设的第N次，确定出与第N-1设备标识相关的第N设备标识。其中，N为大于或等于3的整数述第二设备标识对应第二终端设备，第三设备标识对应第三终端设备，依次类推，第N设备标识对应第N终端设备。其中，第一设备标识至第N设备标识依次相关，表示第一终端设备至第N终端设备均可以为相似的终端设备。其中，相似的终端设备可以表示第一终端设备至第N终端设备中任意两个设备的如下一项或者多项相似：设备类型相似、业务相似、或设备型号相似。

如此，网络设备可以根据第一设备标识至第N设备标识依次的相关关系，构建出节点树，第一终端设备即为节点树中的一个根节点。

比如：第一终端设备为设备A，若设备A的设备标识与设备B的设备标识相似，设备B的设备标识分别与设备C的设备标识以及设备D的设备标识相似，设备C的设备标识与设备E的设备标识相似，设备D的设备标识与设备F的设备标识相似，设备E的设备标识与设备B的设备标识相似，而设备F的设备标识分别与设备G的设备标识以及设备H的设备标识相似，如此，构建出的节点树便可以如图3所示。

S203，网络设备从节点树的各树状分支中，确定出与第一终端设备相关的节点。

其中，网络设备可以判断节点树的各树状分支中，最末端节点的业务类型与第一终端设备的业务类型是否相似。

若相似，且相似的最末端节点数量到达上限值，则网络设备可以确定出相似的最末端节点所在的树状分支内包含的所有第一节点，其中，所有第一节点为相关的节点。比如图3所示，若上限值为2，且设备G和设备H的业务类型与设备A的业务类型相似，则树状分支为两个，其一为：设备A→设备B→设备D→设备F→设备G，其二为：设备A→设备B→设备D→设备F→设备H。如此，所有第一节点则包括：设备A、设备B、设备D、设备F、设备G、设备H。

若相似，且相似的最末端节点数量未到达上限值，则网络设备可以从节点树的各树状分支的倒数第二末端节点中，确定出业务类型与第一终端设备的业务类型相似的倒数第二末端节点，并确定出相似的最末端节点所在的树状分支内包含的所有第二节点，该相关的节点包括：所有第二节点与该相似的倒数第二末端节点。比如图3所示，若上限值为2，且设备G与设备A的业务类型相似(未达到上限值)，则基于倒数第二末端节点包括：设备E和设备F，从而确定设备E与设备A的业务类型相似，如此，相关的节点则包括：设备A、设备B、设备C、设备E。

若不相似，则网络设备可以从节点树的各树状分支的倒数第二末端节点中，确定出业务类型与第一终端设备的业务类型相似的倒数第二末端节点，相似的倒数第二末端节点即为所述相关的节点。比如图3所示，若上限值为2，且为末端节点的设备B、设备G以及设备H与设备A的业务类型均不相似，则可以确定出相似的倒数第二末端节点包括：设备F，如此，相关的节点则包括：设备A、设备B、设备D、设备F。

S204，网络设备在数据库中确定出相关的节点对应的网络安全通信策略。

可选地，网络设备可以根据相关的节点在节点树中的位置分布，在相关的节点中确定出位于所述位置分布中心处的中心节点；从而在数据库中确定出中心节点的网络安全通信策略，其中，中心节点的网络安全通信策略即为第一终端设备的网络安全通信策略。

可选地，网络设备也可以在数据库中确定出相关的节点各自对应的网络安全通信策略，从而获得网络安全通信策略集合，进而确定网络安全通信策略集合中策略内容的并集，该并集包含的策略内容即为第一终端设备的网络安全通信策略。

可选地，网络设备还可以在数据库中确定出相关的节点各自对应的网络安全通信策略，从而获得网络安全通信策略集合，进而确定网络安全通信策略集合中策略内容的交集，该交集包含的策略内容即为第一终端设备的网络安全通信策略。

S205，网络设备向第一终端设备下发网络安全通信策略，第一终端设备接收来自网络设备的网络安全通信策略。

可选地，网络设备可以确定PUCCH的时域位置，从而以预设最小的时隙间隔，确定出时域位置之后PDSCH(物理下行数据信道)的时域位置，进而在所述PDSCH的时域位置处，向第一终端设备下发所述PDSCH，其中，网络安全通信策略承载在所述PDSCH上。如此，第一终端设备便可以配置该网络安全通信策略。

示例性地，图4是本申请实施例提供的基于大数据的终端设备的网络安全通信装置的结构示意。如图4所示，该装置400包括：处理模块401和收发模块402。为了便于说明，图4仅示出了该装置的主要部件。

收发模块402，用于接收来自第一终端设备的网络接入请求，其中，所述网络接入请求中携带有所述第一终端设备的第一设备标识；处理模块401，用于根据所述第一设备标识遍历数据库，以确定出所述第一终端设备所在的节点树，其中，所述第一终端设备对应所述节点树中的一个根节点；从所述节点树的各树状分支中，确定出与所述第一终端设备相关的节点；在所述数据库中确定出所述相关的节点对应的网络安全通信策略；所述收发模块402，还用于向所述第一终端设备下发所述网络安全通信策略，以便所述第一终端设备配置所述网络安全通信策略。

可选地，所述处理模块401，还用于根据所述唯一标示遍历所述数据库，从所述数据库中确定出与所述第一设备标识相关的第二设备标识；根据所述第二设备标识遍历所述数据库，从所述数据库中确定出与所述第二设备标识相关的第三设备标识，依次类推，直至迭代到预设的第N次，确定出与第N-1设备标识相关的第N设备标识；其中，N为大于或等于3的整数，所述第二设备标识对应第二终端设备，所述第三设备标识对应第三终端设备，依次类推，所述第N设备标识对应第N终端设备；其中，所述第一设备标识至所述第N设备标识依次相关，表示所述第一终端设备至所述第N终端设备为相似的终端设备；根据所述第一设备标识至所述第N设备标识依次的相关关系，构建出所述节点树，所述第一终端设备即为所述节点树中的一个根节点。

可选地，所述相似的终端设备表示所述第一终端设备至所述第N终端设备中任意两个设备的如下一项或者多项相似：设备类型相似、业务相似、或设备型号相似。

可选地，所述处理模块401，还用于判断所述节点树的各树状分支中，最末端节点的业务类型与所述第一终端设备的业务类型是否相似；若相似，且相似的最末端节点数量到达上限值，则确定出所述相似的最末端节点所在的树状分支内包含的所有第一节点，其中，所述所有第一节点为所述相关的节点；若相似，且所述相似的最末端节点数量未到达上限值，则从所述节点树的各树状分支的倒数第二末端节点中，确定出业务类型与所述第一终端设备的业务类型相似的倒数第二末端节点，并确定出所述相似的最末端节点所在的树状分支内包含的所有第二节点，所述相关的节点包括：所述所有第二节点与所述相似的倒数第二末端节点。若不相似，则从所述节点树的各树状分支的倒数第二末端节点中，确定出业务类型与所述第一终端设备的业务类型相似的倒数第二末端节点，所述相似的倒数第二末端节点即为所述相关的节点。

可选地，所述处理模块401，还用于根据所述相关的节点在所述节点树中的位置分布，在所述相关的节点中确定出位于所述位置分布中心处的中心节点；在所述数据库中确定出所述中心节点的网络安全通信策略，其中，所述中心节点的网络安全通信策略即为所述第一终端设备的网络安全通信策略。

可选地，所述处理模块401，还用于在所述数据库中确定出所述相关的节点各自对应的网络安全通信策略，从而获得网络安全通信策略集合；确定所述网络安全通信策略集合中策略内容的并集，所述并集包含的策略内容即为所述第一终端设备的网络安全通信策略。

可选地，所述处理模块401，还用于在所述数据库中确定出所述相关的节点各自对应的网络安全通信策略，从而获得网络安全通信策略集合；确定所述网络安全通信策略集合中策略内容的交集，所述交集包含的策略内容即为所述第一终端设备的网络安全通信策略。

可选地，所述网络接入请求承载PUCCH上，可选地，所述收发模块402，还用于确定所述PUCCH的时域位置；所述处理模块401，还用于以预设最小的时隙间隔，确定出所述时域位置之后PDSCH的时域位置；所述处理模块401，还用于在所述PDSCH的时域位置处，控制所述收发模块402向所述第一终端设备下发所述PDSCH，其中，所述网络安全通信策略承载在所述PDSCH上。

示例性地，图5为本申请实施例提供的通信装置的结构示意图二。该通信装置可以是终端设备或网络设备，也可以是可设置于终端设备或网络设备的芯片(系统)或其他部件或组件。如图5所示，通信装置500可以包括处理器501。可选地，通信装置500还可以包括存储器502和/或收发器503。其中，处理器501与存储器502和收发器503耦合，如可以通过通信总线连接。

下面结合图5对通信装置500的各个构成部件进行具体的介绍：

其中，处理器501是通信装置500的控制中心，可以是一个处理器，也可以是多个处理元件的统称。例如，处理器501是一个或多个中央处理器(central processing unit，CPU)，也可以是特定集成电路(application specific integrated circuit，ASIC)，或者是被配置成实施本申请实施例的一个或多个集成电路，例如：一个或多个微处理器(digital signal processor，DSP)，或，一个或者多个现场可编程门阵列(fieldprogrammable gate array，FPGA)。

可选地，处理器501可以通过运行或执行存储在存储器502内的软件程序，以及调用存储在存储器502内的数据，执行通信装置500的各种功能。

在具体的实现中，作为一种实施例，处理器501可以包括一个或多个CPU，例如图5中所示出的CPU0和CPU1。

在具体实现中，作为一种实施例，通信装置500也可以包括多个处理器，例如图2中所示的处理器501和处理器504。这些处理器中的每一个可以是一个单核处理器(single-CPU)，也可以是一个多核处理器(multi-CPU)。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。

其中，所述存储器502用于存储执行本申请方案的软件程序，并由处理器501来控制执行，具体实现方式可以参考上述方法实施例，此处不再赘述。

可选地，存储器502可以是只读存储器(read-only memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory，EEPROM)、只读光盘(compactdisc read-only memory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器502可以和处理器501集成在一起，也可以独立存在，并通过通信装置500的接口电路(图5中未示出)与处理器501耦合，本申请实施例对此不作具体限定。

收发器503，用于与其他通信装置之间的通信。例如，通信装置500为终端设备，收发器503可以用于与网络设备通信，或者与另一个终端设备通信。又例如，通信装置500为网络设备，收发器503可以用于与终端设备通信，或者与另一个网络设备通信。

可选地，收发器503可以包括接收器和发送器(图5中未单独示出)。其中，接收器用于实现接收功能，发送器用于实现发送功能。

可选地，收发器503可以和处理器501集成在一起，也可以独立存在，并通过通信装置500的接口电路(图5中未示出)与处理器501耦合，本申请实施例对此不作具体限定。

需要说明的是，图5中示出的通信装置500的结构并不构成对该通信装置的限定，实际的通信装置可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

此外，通信装置500的技术效果可以参考上述方法实施例所述的方法的技术效果，此处不再赘述。

应理解，在本申请实施例中的处理器可以是中央处理单元(central processingunit，CPU)，该处理器还可以是其他通用处理器、数字信号处理器(digital signalprocessor，DSP)、专用集成电路(application specific integrated circuit，ASIC)、现成可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

还应理解，本申请实施例中的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的随机存取存储器(random accessmemory，RAM)可用，例如静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM，DR RAM)。

上述实施例，可以全部或部分地通过软件、硬件(如电路)、固件或其他任意组合来实现。当使用软件实现时，上述实施例可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令或计算机程序。在计算机上加载或执行所述计算机指令或计算机程序时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以为通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集合的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质。半导体介质可以是固态硬盘。

应理解，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况，其中A,B可以是单数或者复数。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系，但也可能表示的是一种“和/或”的关系，具体可参考前后文进行理解。

本申请中，“至少一个”是指一个或者多个，“多个”是指两个或两个以上。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a,b,或c中的至少一项(个)，可以表示：a,b,c,a-b,a-c,b-c,或a-b-c，其中a,b,c可以是单个，也可以是多个。

应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims (8)

1.一种基于大数据的终端设备的网络安全通信方法，其特征在于，应用于网络设备，所述网络设备与第一终端设备连接，包括：

接收来自第一终端设备的网络接入请求，其中，所述网络接入请求中携带有所述第一终端设备的第一设备标识；

根据所述第一设备标识遍历数据库，以确定出所述第一终端设备所在的节点树，其中，所述第一终端设备对应所述节点树中的一个根节点；

从所述节点树的各树状分支中，确定出与所述第一终端设备相关的节点；

在所述数据库中确定出所述相关的节点对应的网络安全通信策略；

向所述第一终端设备下发所述网络安全通信策略，以便所述第一终端设备配置所述网络安全通信策略；

其中，所述根据所述第一设备标识遍历数据库，以确定出所述第一终端设备所在的节点树，包括：

根据所述第一设备标识遍历所述数据库，从所述数据库中确定出与所述第一设备标识相关的第二设备标识；

根据所述第二设备标识遍历所述数据库，从所述数据库中确定出与所述第二设备标识相关的第三设备标识，依次类推，直至迭代到预设的第N次，确定出与第N-1设备标识相关的第N设备标识；其中，N为大于或等于3的整数，所述第二设备标识对应第二终端设备，所述第三设备标识对应第三终端设备，依次类推，所述第N设备标识对应第N终端设备；其中，所述第一设备标识至所述第N设备标识依次相关，表示所述第一终端设备至所述第N终端设备为相似的终端设备；

根据所述第一设备标识至所述第N设备标识依次的相关关系，构建出所述节点树，所述第一终端设备即为所述节点树中的一个根节点；

以及，所述从所述节点树的各树状分支中，确定出与所述第一终端设备相关的节点，包括：

判断所述节点树的各树状分支中，最末端节点的业务类型与所述第一终端设备的业务类型是否相似；

若相似，且相似的最末端节点数量到达上限值，则确定出所述相似的最末端节点所在的树状分支内包含的所有第一节点，其中，所述所有第一节点为所述相关的节点；

若相似，且所述相似的最末端节点数量未到达上限值，则从所述节点树的各树状分支的倒数第二末端节点中，确定出业务类型与所述第一终端设备的业务类型相似的倒数第二末端节点，并确定出所述相似的最末端节点所在的树状分支内包含的所有第二节点，所述相关的节点包括：所述所有第二节点与所述相似的倒数第二末端节点；

若不相似，则从所述节点树的各树状分支的倒数第二末端节点中，确定出业务类型与所述第一终端设备的业务类型相似的倒数第二末端节点，所述倒数第二末端节点即为所述相关的节点。

2.根据权利要求1所述的基于大数据的终端设备的网络安全通信方法，其特征在于，

所述相似的终端设备表示所述第一终端设备至所述第N终端设备中任意两个设备的如下一项或者多项相似：设备类型相似、业务相似、或设备型号相似。

3.根据权利要求1所述的基于大数据的终端设备的网络安全通信方法，其特征在于，所述在所述数据库中确定出所述相关的节点对应的网络安全通信策略，包括：

根据所述相关的节点在所述节点树中的位置分布，在所述相关的节点中确定出位于所述位置分布中心处的中心节点；

在所述数据库中确定出所述中心节点的网络安全通信策略，其中，所述中心节点的网络安全通信策略即为所述第一终端设备的网络安全通信策略。

4.根据权利要求1所述的基于大数据的终端设备的网络安全通信方法，其特征在于，所述在所述数据库中确定出所述相关的节点对应的网络安全通信策略，包括：

在所述数据库中确定出所述相关的节点各自对应的网络安全通信策略，从而获得网络安全通信策略集合；

确定所述网络安全通信策略集合中策略内容的并集，所述并集包含的策略内容即为所述第一终端设备的网络安全通信策略。

5.根据权利要求1所述的基于大数据的终端设备的网络安全通信方法，其特征在于，所述在所述数据库中确定出所述相关的节点对应的网络安全通信策略，包括：

在所述数据库中确定出所述相关的节点各自对应的网络安全通信策略，从而获得网络安全通信策略集合；

确定所述网络安全通信策略集合中策略内容的交集，所述交集包含的策略内容即为所述第一终端设备的网络安全通信策略。

6.根据权利要求1所述的基于大数据的终端设备的网络安全通信方法，其特征在于，所述网络接入请求承载PUCCH上，所述接收来自第一终端设备的网络接入请求之后，所述方法还包括：

确定所述PUCCH的时域位置；

相应的，所述向所述第一终端设备下发所述网络安全通信策略，包括：

以预设最小的时隙间隔，确定出所述时域位置之后PDSCH的时域位置；

在所述PDSCH的时域位置处，向所述第一终端设备下发所述PDSCH，其中，所述网络安全通信策略承载在所述PDSCH上。

7.一种基于大数据的终端设备的网络安全通信装置，其特征在于，应用于网络设备，所述网络设备与第一终端设备连接，包括：

收发模块，用于接收来自第一终端设备的网络接入请求，其中，所述网络接入请求中携带有所述第一终端设备的第一设备标识；

处理模块，用于根据所述第一设备标识遍历数据库，以确定出所述第一终端设备所在的节点树，其中，所述第一终端设备对应所述节点树中的一个根节点；从所述节点树的各树状分支中，确定出与所述第一终端设备相关的节点；在所述数据库中确定出所述相关的节点对应的网络安全通信策略；

所述收发模块，还用于向所述第一终端设备下发所述网络安全通信策略，以便所述第一终端设备配置所述网络安全通信策略；

其中，所述处理模块，还用于根据所述第一设备标识遍历所述数据库，从所述数据库中确定出与所述第一设备标识相关的第二设备标识；根据所述第二设备标识遍历所述数据库，从所述数据库中确定出与所述第二设备标识相关的第三设备标识，依次类推，直至迭代到预设的第N次，确定出与第N-1设备标识相关的第N设备标识；其中，N为大于或等于3的整数，所述第二设备标识对应第二终端设备，所述第三设备标识对应第三终端设备，依次类推，所述第N设备标识对应第N终端设备；其中，所述第一设备标识至所述第N设备标识依次相关，表示所述第一终端设备至所述第N终端设备为相似的终端设备；根据所述第一设备标识至所述第N设备标识依次的相关关系，构建出所述节点树，所述第一终端设备即为所述节点树中的一个根节点；

以及，所述处理模块，具体用于判断所述节点树的各树状分支中，最末端节点的业务类型与所述第一终端设备的业务类型是否相似；

若相似，且相似的最末端节点数量到达上限值，则确定出所述相似的最末端节点所在的树状分支内包含的所有第一节点，其中，所述所有第一节点为所述相关的节点；

若相似，且所述相似的最末端节点数量未到达上限值，则从所述节点树的各树状分支的倒数第二末端节点中，确定出业务类型与所述第一终端设备的业务类型相似的倒数第二末端节点，并确定出所述相似的最末端节点所在的树状分支内包含的所有第二节点，所述相关的节点包括：所述所有第二节点与所述相似的倒数第二末端节点；

若不相似，则从所述节点树的各树状分支的倒数第二末端节点中，确定出业务类型与所述第一终端设备的业务类型相似的倒数第二末端节点，所述倒数第二末端节点即为所述相关的节点。

8.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质包括：计算机程序或指令，当所述计算机程序或指令在计算机上运行时，使得所述计算机执行如权利要求1-6任一项所述的方法。