CN115152268A - 用于网络切片隔离管理的方法 - Google Patents
用于网络切片隔离管理的方法 Download PDFInfo
- Publication number
- CN115152268A CN115152268A CN202080096495.6A CN202080096495A CN115152268A CN 115152268 A CN115152268 A CN 115152268A CN 202080096495 A CN202080096495 A CN 202080096495A CN 115152268 A CN115152268 A CN 115152268A
- Authority
- CN
- China
- Prior art keywords
- quarantine
- isolation
- service
- resource
- group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W16/00—Network planning, e.g. coverage or traffic planning tools; Network deployment, e.g. resource partitioning or cells structures
- H04W16/02—Resource partitioning among network components, e.g. reuse partitioning
- H04W16/10—Dynamic resource partitioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/02—Arrangements for optimising operational condition
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/76—Admission control; Resource allocation using dynamic resource allocation, e.g. in-call renegotiation requested by the user or requested by the network in response to changing network conditions
- H04L47/762—Admission control; Resource allocation using dynamic resource allocation, e.g. in-call renegotiation requested by the user or requested by the network in response to changing network conditions triggered by the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/18—Selecting a network or a communication service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
Abstract
描述了一种用于网络隔离管理的方法。该方法包括:针对至少一个服务指定或创建一个或多个隔离组,其中,在隔离组中指定的服务的资源在具有或没有隔离的情况下被共享;其中,在每个层和每个域中针对至少一个资源定义隔离组,以聚集该至少一个服务的该至少一个资源;针对一个或多个隔离组中的每个隔离组链接隔离配置文件,其中,该隔离配置文件包括用于保护该一个或多个隔离组的该至少一个资源的至少一个策略,并且其中,该隔离配置文件至少包括用于定义隔离类型的隔离级别;以及基于被链接到该一个或多个隔离组的该隔离配置文件,向该至少一个服务分配或重新分配该至少一个资源。
Description
技术领域
示例和非限制性实施例一般涉及安全、隐私和数字权限管理,更具体地,涉及用于网络切片隔离管理的方法。
背景技术
已知在无线通信网络中提供资源。
发明内容
以下概述仅旨在作为示例。该概述并非旨在限制权利要求的范围。
在一方面,一种方法,包括:针对至少一个服务指定或创建一个或多个隔离组,其中,在隔离组中指定的服务的资源在具有或没有隔离的情况下被共享;其中,在每个层和每个域中针对至少一个资源定义隔离组,以聚集该至少一个服务的该至少一个资源;针对一个或多个隔离组中的每个隔离组链接隔离配置文件,其中,该隔离配置文件包括用于保护该一个或多个隔离组的该至少一个资源的至少一个策略,并且其中,该隔离配置文件至少包括用于定义隔离类型的隔离级别;以及基于被链接到该一个或多个隔离组的该隔离配置文件,向该至少一个服务分配或重新分配该至少一个资源。
在另一方面,一种装置,包括:至少一个处理器;以及包括计算机程序代码的至少一个非暂时性存储器;其中,该至少一个存储器和该计算机程序代码被配置为与该至少一个处理器一起使该装置至少执行:针对至少一个服务指定或创建一个或多个隔离组,其中,在隔离组中指定的服务的资源在具有或没有隔离的情况下被共享;其中,在每个层和每个域中针对至少一个资源定义隔离组,以聚集该至少一个服务的该至少一个资源;针对一个或多个隔离组中的每个隔离组链接隔离配置文件,其中,该隔离配置文件包括用于保护该一个或多个隔离组的该至少一个资源的至少一个策略,并且其中,该隔离配置文件至少包括用于定义隔离类型的隔离级别;以及基于被链接到该一个或多个隔离组的该隔离配置文件,向该至少一个服务分配或重新分配该至少一个资源。
在另一方面,提供了一种机器可读的示例性非暂时性程序存储设备,其有形地体现可由该机器执行以执行操作的指令程序,这些操作包括:针对至少一个服务指定或创建一个或多个隔离组,其中,在隔离组中指定的服务的资源在具有或没有隔离的情况下被共享;其中,在每个层和每个域中针对至少一个资源定义隔离组,以聚集该至少一个服务的该至少一个资源;针对一个或多个隔离组中的每个隔离组链接隔离配置文件,其中,该隔离配置文件包括用于保护该一个或多个隔离组的该至少一个资源的至少一个策略,并且其中,该隔离配置文件至少包括用于定义隔离类型的隔离级别;以及基于被链接到该一个或多个隔离组的该隔离配置文件,向该至少一个服务分配或重新分配该至少一个资源。
在另一方面,一种装置,包括:用于针对至少一个服务指定或创建一个或多个隔离组的部件,其中,在隔离组中指定的服务的资源在具有或没有隔离的情况下被共享;其中,在每个层和每个域中针对至少一个资源定义隔离组,以聚集该至少一个服务的该至少一个资源;用于针对一个或多个隔离组中的每个隔离组链接隔离配置文件的部件,其中,该隔离配置文件包括用于保护该一个或多个隔离组的该至少一个资源的至少一个策略,并且其中,该隔离配置文件至少包括用于定义隔离类型的隔离级别;以及用于基于被链接到该一个或多个隔离组的该隔离配置文件,向该至少一个服务分配或重新分配该至少一个资源的部件。
附图说明
结合附图在以下描述中说明前述各方面和其他特征,其中:
图1是可以在硬件中实现的被配置为基于本文描述的示例来实现网络切片隔离管理的示例设备。
图2示出支持资源隔离的类图。
图3示出针对两个租户的网络切片资源的隔离组的示例。
图4示出针对两个租户的网络切片资源的隔离组的另一个示例。
图5示出针对两个租户的网络切片资源的隔离组的另一个示例。
图6A示出隔离组的创建和验证的工作流。
图6B示出描述具有隔离组的资源的(重新)分配的工作流。
图7是支持资源分配的网络切片类图。
图8示出E2E域中的网络切片隔离的示例工作流。
图9示出RAN域中的网络切片隔离的示例工作流。
图10示出CN域中的网络切片隔离的示例工作流。
图11是基于本文描述的示例来实现网络切片隔离管理的示例方法。
具体实施方式
可以在说明书和/或附图中找到的以下首字母缩略词和缩写词被定义如下:
3GPP 第三代合作伙伴计划
5G 第五代
5GC 5G核心网络
AC 接入网络
CN 核心网络
CS 电路切换
DN 区分名称(Distinguish Name)
E2E 端到端
eMBB 增强型移动宽带
ETSI 欧洲电信标准协会
F 假
FM 故障管理
gNB(或gNodeB)用于5G/NR的基站,即,向UE提供NR用户面和控制面协议终止并经由NG接口被连接到5GC的节点
GSM 全球移动通信系统
GSMA GSM 协会
GSMA NG GSMA 网络组
GST 通用切片模板
Id 标识符
I/G 接口
IG 隔离组
IOC 信息对象类
IoT 物联网
M 强制
MF 被管理功能
MFPRAN 被管理功能提供商无线电接入网络
MFC 被管理功能消费者
MFI 被管理功能实例
MFP 被管理功能提供商/生产商
MFPCN MFP核心网络
mIoT 大规模物联网
MNO 移动网络运营商
MnS 管理服务
MOI 被管理对象实例
NF 网络功能
NFVO 网络功能虚拟化编排器
ng或NG 新一代
NR 新无线电
NS 网络切片
NSC 网络服务消费者
NSI 网络切片实例
NSP 网络服务提供商
NSS 网络切片子网
NSSC 网络切片子网消费者
NSSCN 网络切片子网核心网络
NSSI 网络切片子网实例
NSSP 网络切片子网提供商/生产商
NSSPCN 网络切片子网提供商/生产商核心网络
NSSPRAN 网络切片子网提供商/生产商无线电接入网络
NSSPTN 网络切片子网提供商/生产商传输网络
NSSRAN 网络切片子网无线电接入网络
NSSTN 网络切片子网传输网络
NW 网络
O 可选
PM 性能管理
PNF 物理网络功能
Pol 策略
RAN 无线电接入网络
RLS 行级别安全性
SA2 服务架构——工作组2
SA5 服务架构——工作组5
SD 切片差分器
SLA 服务水平协议
S-NSSAI 单网络切片选择辅助信息
SSL 安全套接层
SST 切片/服务类型
T 真
TLS 传输层安全性
TN 传输网络
TS 技术规范
UE 用户设备(例如,无线设备,通常是移动设备)
UML 统一建模语言
uRLLC 超可靠低延迟通信
V 对(vesa2rsion)
VLAN 虚拟局域网
VIM 虚拟基础架构管理器
VM 虚拟机
VNF 虚拟网络功能
VNFM VNF管理器
VPN 虚拟专用网络
ZSM 零接触网络和服务管理
本文描述的是涉及E2E网络切片和服务管理架构的示例。
图1是可以在硬件中实现的被配置为基于本文描述的示例来实现网络切片隔离管理的示例装置100。装置100包括处理器102以及包括计算机程序代码105的至少一个非暂时性存储器104,其中,至少一个存储器104和计算机程序代码105被配置为与至少一个处理器102一起使该装置基于本文描述的示例来实现网络切片隔离管理106。装置100可选地包括显示器108,显示器108可用于显示系统的各方面或者提供输入和输出(I/O)。装置100可选地包括一个或多个网络(NW)接口(I/F)110。NW I/F 110可以是有线和/或无线的并且利用任何通信技术通过因特网/其他网络进行通信。NW I/F 110可以包括一个或多个发射机和一个或多个接收机。
装置100可以被配置为实现网络切片管理功能/提供商(NSMF/NSP)、或网络切片子网管理功能/提供商(NSSMF/NSSP)、或网络功能管理功能/被管理功能提供商(NFMF/MFP)的功能。管理功能通常是独立的设备,但在一些有限的情况下,管理功能可以是网络单元的一部分。
网络切片已在3GPP SA2和SA5(参见3GPP TS 23.501、TS 28.530和TS 28.531)中被规定为规范性内容。在3GPP SA2或SA5上下文中的网络切片是在E2E切片或服务层/域上,而网络切片子网是在另一个特定层/域上。
在3GPP TS 28.530V16.1.0(2019-12)中,第4.1.9节描述了租户信息概念,表明租户信息的目的是支持5G网络管理中的多租户环境,并进一步表明3GPP管理系统可以使用租户信息将通信服务与租户相关联,并控制租户的管理能力访问。
作为5G网络的关键技术,网络切片使移动网络运营商(MNO)能够更有效地且高效地向其企业或垂直消费者提供网络资源。
弱的网络切片隔离可损害整个5G网络的安全性。例如,在网络切片内管理的敏感数据可能会通过副信道攻击(side channel attacks)被暴露给在其他网络切片服务中运行的应用。这种风险甚至更高,因为隔离被分布在底层5G安全架构的每个安全域上。因此,租户/切片隔离对于确保可靠且有保障的服务保证非常重要,并且对于基于网络切片技术的5G网络的商业部署至关重要。
切片的隔离包括多个域(例如,RAN、核心、传输等)中的管理资源(例如,数据、功能或服务)和被管理资源(例如,数据、网络功能、基础架构资源等)的隔离。
切片的资源可以专用于该切片或者与其他切片共享。切片隔离挑战是切片之间的资源的隔离。
在多个层(E2E切片/服务、切片子网、被管理功能等)进行隔离以确保网络切片的预期安全级别对于移动网络运营商(MNO)在商业上部署5G网络至关重要。GSM协会(GSMA)在通用切片模板(GST)中定义了以不同级别隔离网络切片的资源的要求(参见GSMANG.116——通用网络切片模板)。一些运营商还在3GPP中提出了用于网络切片之间的资源隔离的要求。
然而,到目前为止,还没有已知的中央统一管理/编排解决方案以隔离或分离跨多个域(例如,E2E服务/切片管理域、核心网络、无线电接入网络(RAN)、传输网络、虚拟基础架构管理域、基础架构(包括PNF、VNF、虚拟基础架构等域))的具有不同隔离级别的网络切片的资源。
此外,即使网络切片可以基于公共特征(characters)和特性(characteristics)(例如,相同的租户,相同的安全性要求等)而被分组,在网络切片实例部署和运行时期间也尚未考虑网络切片组之间的隔离。
本文描述的示例引入了一种新方法,用于在部署和运行时期间,尤其是在管理平面时,跨多个域/层将网络切片的资源与其他网络切片隔离。
引入了隔离组(或隔离区)或者类似地隔离组或隔离区以在具有或没有隔离的情况下聚集网络切片(或各个层中的其他服务)的共享资源。
在构成E2E网络切片的每个资源层中定义隔离组。例如,在E2E切片层中存在隔离组以将网络切片服务的资源进行分组,在网络切片子网(NSS)层中存在隔离组以将NSS服务的资源进行分组,在被管理功能(MF)层中存在隔离组以将MF服务的资源进行分组等。
可以基于资源的类型进一步定义隔离组。例如,在特定层中存在隔离组以将服务的管理资源进行分组,在该层中存在隔离组以将服务的被管理资源进行分组。
隔离组可以进一步由特征和特性(租户、SST、行业、区域、IoT设备的类型等)来定义。
每个网络切片或NSS服务或MF服务等都被指定一个或多个隔离组。在一个实施例中,至少一个服务是网络切片层中的承诺服务、切片子网层中的网络切片子网服务、被管理功能层中的被管理功能服务、或虚拟网络功能。因此,服务可以是网络切片服务、网络切片子网服务、被管理功能服务。
在同一隔离组中被指定的网络切片在具有或没有隔离的情况下共享公共资源。
被分配给网络切片(或NSS服务或MF服务等)的资源与在不同的隔离组中被指定的其他网络切片(或NSS服务或MF服务等)的资源在物理上或逻辑上隔离。
当网络切片消费者(或NSSC或MFC)请求网络切片(或NSS服务或MF服务)提供商/生产商(NSP/NSSP/MFP)针对网络切片(或NSS服务或MF服务)分配/修改一个或多个资源时,网络切片(或NSS服务或MF服务)消费者(NSC/NSSC/MFC)可以明确地针对网络切片(或NSS服务或MF服务)创建隔离组,设置隔离组。
否则,服务提供商/生产商(例如,NSP、NSSP或MFP)可以根据隔离配置文件或者来自服务消费者针对所请求的服务的其他隔离或共享要求,针对网络切片(或NSS服务或MF服务)创建或选择一个多个隔离组,并向网络切片(或NSS服务或MF服务)指定该一个多个隔离组。
引入了隔离配置文件(类似地隔离配置文件)以定义隔离组的隔离要求。每个隔离组都与隔离配置文件相关联。隔离配置文件包括隔离级别(或隔离水平,如GST中所定义的)。隔离配置文件应包括用于隔离和保护被指定到隔离组的资源的隔离策略。在不同的域(例如,E2E、RAN、核心、传输、虚拟化等域)或不同的层(例如,网络切片、切片子网、被管理功能、网络服务、VNF等)中的隔离配置文件和隔离策略可以不同。
根据隔离配置文件,一个隔离组的资源与其他隔离组分离。通常,隔离配置文件与隔离组相关联。在某些情况下,隔离配置文件可以与所支持的服务的服务配置文件相关联,或者可以是独立的,例如,在具有隔离要求但没有明确地标识隔离组的服务分配请求中。在这种情况下,NSP/NSSP/MFP可以针对该服务创建或选择一个或多个隔离组,将一个或多个隔离配置文件链接到该一个或多个组,并向该服务指定该一个或多个组。
支持对所支持的服务的资源隔离的类图。图2描绘了支持对所支持的服务的资源隔离的类图200。在图2中,基于UML,聚合(aggregation)被图形地表示为空心菱形,复合(composition)被图形地表示为实心菱形,星号“*”表示多个实例,“1”表示一个实例,箭头表示方向关联。
示出了类型InformationObjectClass的若干类,包括SupportedService202类、AllocatedResource 204类、IsolationGroup 206类、IsolationProfile208类、以及IsolationPolicy 210类。
在图2中,在SupportedService 202与AllocatedResource 204之间存在双向关联。在SupportedService202与IsolationGroup 206之间存在方向关联。在SupportedService202与IsolationProfile 208之间存在方向关联。在IsolationGroup206与IsolationProfile 208之间存在方向关联。在IsolationProfile 208与IsolationPolicy 210之间存在方向关联。在IsolationGroup 206与它自己之间存在命名包含(naming containment)(由文本“名称”和实心菱形关联表示),以及在IsolationProfile 208与它自己之间的聚合。
SupportedService 202可以是网络切片层中的承诺服务、切片子网层中的NSS服务、被管理功能层中的MF服务、虚拟化情况下的网络服务和VNF等。AllocatedResource 204可以是网络切片层中的网络切片实例(NSI)、切片子网层中的NSS实例(NSSI)、被管理功能层中的MF实例(MFI)、或虚拟化资源层中的网络切片实例和VNF实例(基于VM或容器的)等。因此,在某些实施例中,所分配的资源可以是网络切片层中的网络切片实例、切片子网层中的网络切片子网实例、被管理功能层中的被管理功能实例、或虚拟化资源层中的虚拟网络功能实例。
一个服务与一个或多个隔离组相关联。每个组被用于基于组类型(例如,租户、区域、服务类型(SST)、或混合等),聚集针对服务而请求的一种类型的资源(例如,管理资源、被管理资源、或混合资源)。例如,管理资源(例如,支持FM的资源、切片的PM数据、支持针对切片的创建、读取、更新、删除操作的资源等)和被管理资源(例如,支持RAN、TN、CN、网络功能/NF服务的资源、订户数据)两者都可被用于网络切片管理、操作和服务终端用户。可以创建若干隔离组以支持网络切片的资源隔离。一些组用于管理资源隔离,而一些组用于被管理资源隔离。
隔离组可以是根隔离组或者由另一个隔离组(更大的范围)包含。例如,SST隔离组可以由租户隔离组包含。每个隔离组与隔离配置文件相关联,以定义隔离级别、隔离和保护策略等(例如,IsolationPolicy 210)。如果一个隔离组包含另一个隔离组,则包含隔离组的隔离级别可以比被包含隔离组的隔离级别严格。例如,如果SST隔离组由租户隔离组包含,并且SST隔离组的隔离级别是逻辑隔离,则租户隔离组的隔离级别可以是逻辑或物理隔离。如果SST隔离组的隔离级别是物理隔离,则租户隔离组的隔离级别应当是物理隔离。
针对所支持的服务的隔离可以基于每个资源类型的隔离组的隔离配置文件。示例方法被概述如下:
·检查资源一的所链接的隔离组的隔离配置文件
ο检查所链接的隔离组(叶隔离组)的隔离配置文件
ο检查包含隔离组(中间IG)的隔离配置文件
ο检查中间IG的包含隔离组(中间IG或根IG)的隔离配置文件,直到到达根隔离组为止
·检查资源二的所链接的隔离组的隔离配置文件
ο检查所链接的隔离组(叶隔离组)的隔离配置文件
ο检查包含隔离组(中间IG)的隔离配置文件
ο检查中间IG的包含隔离组(中间IG或根IG)的隔离配置文件,直到到达根隔离组为止
·检查所链接的隔离组的隔离配置文件,直到所有资源类型都被寻址为止
因此,换句话说,该方法包括确定以下内容。如果被链接到服务的资源的隔离组是叶隔离组,则它由另一个组(例如,父组)包含,并且该另一个组可以由进一步的组包含,直到继续到根隔离组为止。进而,该方法考虑所链接的隔离组本身的隔离配置文件,然后是其父组的隔离配置文件,然后是该父组的父组的隔离配置文件,等等,直到根组被寻址为止。
图3描绘了针对两个租户的网络切片资源和两个SST的网络切片资源的隔离组的示例300。图3中所示的示例300是网络切片提供商的被管理资源(例如,AN、CN和TN)302。两个租户隔离组是IG_Tenant-1-dedicated 310和IG_Tenant-2-dedicated 350。这两个租户隔离组彼此在物理上隔离并与其他IG在物理上隔离。在IG_Tenant-1-dedicated 310内包含的隔离组是IG_SST-eMBB 320和IG_SST-uRLLC 330,IG 320和330彼此在物理上隔离。IG_SD-1 322和IG_SD-2 324被包含在IG_SST-eMBB 320内,并且彼此在逻辑上隔离。在IG_Tenant-2-dedicated 350内包含的隔离组是IG_SST-eMBB 360、IG_SST-uRLLC 370、IG_SST-mIOT-1 380和IG_SST-mIOT-2 385,IG 370和385与其他IG在物理上隔离,而360和380与其他IG在逻辑上隔离。IG_SD-1 362和IG_SD-2 364被包含在IG_SST-eMBB 360中,并且在逻辑上隔离。IG_SD-1 372和IG_SD-2 374被包含在IG_SST-uRLLC 370内,并且在逻辑上隔离。网络切片提供商的被管理资源(例如,AN、CN和TN)302还包括隔离组IG_SST-eMBB-common 390和IG_SST-mIOT-common 395,以聚集用于eMBB和mIOT SST的被管理资源,IG390和395与其他IG在逻辑上隔离。隔离组IG_SD-1 396和IG_SD-2 397被包含在IG_SST-mIOT-common 395内,并且彼此在逻辑上隔离。因此,如图3中所示,一个或多个隔离组可以包括租户隔离组和公共隔离组。
可以理解,在图3中并且贯穿本公开的其余部分,隔离组对象和其他对象基于它们相关或服务的功能来命名。例如,IG_SST-eMBB定义了增强型移动宽带(eMBB)切片/服务类型(SST)隔离组(IG),IG_SD-1定义了切片差分器(SD)隔离组(IG),IG_SST-uRLLC定义了超可靠低延迟通信切片/服务类型(SST)隔离组(IG),IG_SST-mIOT-1定义了大规模物联网(mIoT)切片/服务类型(SST)隔离组(IG)等。
在隔离组中被指定的服务的资源可以在具有或没有隔离的情况下被共享。例如,在图3中,存在更大的(例如,包含)隔离组(诸如IG 310),也存在更小的(例如,被包含)和叶隔离组(诸如330)。服务提供商始终针对特定资源向服务指定叶IG。在这个叶IG(例如,330)内部,被指定给服务(例如,service-uRLLC-1和service-uRLLC-2)的资源被共享而无需隔离。在另一种情况下,存在第三服务即eMBB服务(service-eMBB-SD1-3)。服务提供商将会向该eMBB服务指定另一个叶IG(例如,322)。因此,service-eMBB-SD1-3和service-uRLLC-1/service-uRLLC-2的资源应相互隔离,因为它们属于不同的隔离组(IG)。322和330两者都在同一个更大的IG 310下。超级IG(IG 310)的不同子IG中的服务资源应被隔离。因此,该超级IG中的服务资源可以在具有或没有隔离的情况下。例如,在这个场景中,service-uRLLC-1和service-uRLLC-2被指定而无需隔离。在此,被指定到IG 330的两个服务被指定而无需彼此隔离,因为它们共享一个公共IG,即,IG 330。同时,被指定到IG 330的服务和被指定到IG322的服务是具有隔离的,即使它们共享一个公共IG,即,IG 310。
图4描绘了针对两个租户的网络切片资源的隔离组的另一个示例400。图4中所示的示例400是网络切片提供商的管理资源(例如,FM、PM数据)402。两个租户隔离组是IG_Tenant-1-dedicated 410和IG_Tenant-2-dedicated 450。这两个租户隔离组彼此在物理上隔离并与其他IG在物理上隔离。在IG_Tenant-1-dedicated 410内包含的隔离组是IG_SST-eMBB 420和IG_SST-uRLLC 430。420与其他IG在逻辑上隔离,而430与其他IG在物理上隔离。在IG_Tenant-2-dedicated 450内包含的隔离组是IG_SST-eMBB 452、IG_SST-uRLLC456、IG_SST-mIOT-1 454和IG_SST-mIOT-2 458,这些IG彼此在逻辑上隔离。
图5描绘了针对两个租户的网络切片资源的隔离组的另一个示例500。图5中所示的示例500是网络切片提供商的管理资源(例如,FM、PM管理服务(MnS))502。两个租户隔离组是IG_Tenant-1-dedicated 510和IG_Tenant-2-dedicated 550。这两个租户隔离组彼此在物理上隔离并与其他IG在物理上隔离。在IG_Tenant-1-dedicated 510内包含的隔离组是IG_SST-eMBB 520和IG_SST-uRLLC 530。它们彼此在逻辑上隔离。在IG_Tenant-2-dedicated 550内包含的隔离组是IG_SST-uRLLC 560。网络切片提供商的管理资源(例如,FM、PMMnS)502还包括与其他IG在逻辑上隔离的隔离组IG_Common 590。
信息对象类定义
隔离组(IsolationGroup)。IsolationGroup IOC包括从Top IOC继承的属性和以下属性:
| 属性名称 | 支持限定符 | isReadable | isWritable | isInvariant | isNotifyable |
| resourceType | M | T | F | T | F |
| groupType | M | T | F | T | F |
| 与角色相关的属性 | |||||
| isolationProfile | M | T | T | F | T |
resourceType定义了可以被分配给所支持的服务的资源的类型。resourceType可以例如是管理资源(数据、管理服务等)、被管理资源(管理数据、功能、服务等)、或混合类型的资源。管理资源可以是一般地支持监督(例如,性能管理和故障管理)的管理资源。被管理资源可以是支持无线电接入网络、传输网络或核心网络功能或服务的资源。服务的每种类型的资源可以与一个IsolationGroup相关联。groupType定义了IsolationGroup的特征,例如,它可以是基于租户的、基于服务类型的、基于区域的、基于行业的、或混合的等。IsolationGroup可以由相同resourceType的另一个IsolationGroup包含。在隔离要求实现期间,服务提供商可以在所链接的IsolationGroup(从叶到根)的id的整个区分名称(DN)路径中检查被链接到IsolationGroup的服务配置文件。
隔离配置文件(IsolationProfile)。IsolationProfile IOC包括从Top IOC继承的属性和以下属性:
| 属性名称 | 支持限定符 | isReadable | isWritable | isInvariant | isNotifyable |
| isolationLayer | M | T | F | T | F |
| isolationDomain | M | T | F | T | F |
| resourceType | M | T | F | T | F |
| isolationLevel | M | T | T | F | T |
| 与角色相关的属性 | |||||
| isolationPolicy | M | T | T | F | T |
| isolationProfile | O | T | T | F | T |
isolationLayer定义了在其中相关资源被分配和隔离的网络的层,它可以例如是E2E服务/网络切片层、切片子网层、被管理功能层、虚拟化情况下的网络服务和VNF层。isolationDomain定义了在其中相关资源被分配和隔离的网络的域,它可以例如是E2E服务/网络切片域、核心网络(CN)域、接入网络(AN)域、传输网络(TN)域、虚拟化域等。
对于isolationLevel的定义,参见GSMA NG.116(通用网络切片模板)。
对于不同的隔离层和域,隔离级别和/或策略可以不同。
IsolationProfile(例如,IsolationProfile 208)可以由相同resourceType、isolationLayer和isolationDomain的另一个IsolationProfile聚合。当服务提供商根据服务消费者所标识的IsolationProfile创建一个或多个IsolationGroup(例如,IsolationGroup 206中的一个或多个)时,它应根据一个或多个IsolationProfile的聚合关系创建从根组到叶组的一个或多个IsolationGroup。如果IsolationProfile未由另一个IsolationProfile聚合,则可以针对服务所请求的此类资源创建单个IsolationGroup,其既是根组又是叶组。
可替代地,IsolationProfile可以不在层次结构中定义。可以存在单个IsolationProfile以包括所有级别的隔离要求。在这种情况下,服务提供商也可以根据在IsolationProfile中定义的要求,创建从根组到叶组的一个或多个IsolationGroup。
隔离策略(IsolationPolicy)(例如,IsolationPolicy 210)IOC包括从Top IOC继承的属性和以下属性:
| 属性名称 | 支持限定符 | isReadable | isWritable | isInvariant | isNotifyable |
| isolationRules | M | T | T | F | T |
isolationRules定义了用于隔离和保护在特定层和域中的特定资源的规则。例如,在isolationRules中定义的用于在E2E切片层中在逻辑上隔离服务的通用管理数据(FM、PM数据、日志等)的规则可以是“利用访问控制和静态加密保护数据,利用TLS/SSL通过在传输中使用切片特定的凭证来保护数据”。用于在逻辑上隔离管理服务的规则可以是“应针对切片创建专用管理服务实例”。用于在物理上隔离网络切片的无线电接入网络子网的规则可以是“应向切片分配专用DU/单元”等。用于在逻辑上隔离网络切片的核心网络子网的规则可以是“利用虚拟化层的稳健实现(例如,管理程序(hypervisor)、容器平台等)分离子网络的NF/NF服务,以及利用专用虚拟交换机、VLAN分离NF/NF服务的流量等”。
服务提供商/生产商中的资源隔离的工作流。图6A示出了隔离组的创建和验证的示例工作流600-1(即,示例方法)。图6B示出了描述具有隔离组的资源的(重新)分配(例如,分配或重新分配)的示例工作流600-2(例如,示例方法)。图6A和图6B可以被认为是属于一起的。
在图6A中,处理请求(601)。在602,该方法包括:接收服务分配/修改请求。在604,该方法包括:从该请求中提取并解译一个或多个隔离组。在606,该方法确定该一个或多个隔离组是否为空。如果在606的确定是肯定的(例如,“是”),则在608,该方法包括:从该请求中提取并解译一个或多个隔离配置文件。如果在606处的确定是否定的(例如,“否”),则该方法前进到工作流中的附图标记624。在610,该方法包括:确定该一个或多个隔离配置文件是否为空。如果在610的确定是肯定的(例如,“是”),则在612,该方法包括:向所请求的服务指定该一个或多个隔离配置文件。如果在610处的确定是否定的(例如,“否”),则该方法前进到工作流中的附图标记614。
在614,该方法包括:验证一个或多个隔离配置文件。在616,该方法包括:确定该一个或多个隔离配置文件是否有效。如果在616的确定是否定的(例如,“否”),则在618报告错误。如果在616的确定是肯定的(例如,“是”),则在620,该方法包括:针对所请求的服务,基于该一个或多个隔离配置文件,创建一个或多个隔离组。在622,该方法包括:将一个或多个隔离配置文件链接到相关的一个或多个隔离组。在624,该方法包括:验证一个或多个隔离组。在626,该方法包括:确定该一个或多个隔离组是否有效。如果在626的确定是否定的(例如,“否”),则在628报告错误。如果在626的确定是肯定的(例如,“是”),则该方法前进到图6B中所示的工作流/方法600-2中的附图标记630。
在图6B中,利用所隔离的资源实现服务请求(629)。在630,该方法包括:针对服务,分配或重新分配资源。在632,该方法包括:获得针对该服务而请求的资源类型的隔离组。在634,该方法包括:确定相同隔离组(该资源类型的原始IG)的资源是否存在。如果在634的确定是肯定的(例如,“是”),则该方法继续向该服务分配资源(648)。如果在634的确定是否定的(例如,“否”),则该方法前进到636。在636,该方法包括:获得当前IG的父隔离组。在638,该方法包括:确定父IG是否存在以及父IG的资源是否不存在。如果在638的确定是肯定的(例如,“是”),则该方法前进到636。如果在638的确定是否定的(例如,“否”),则该方法前进到640。
在640,该方法包括:获得当前隔离组的隔离配置文件。在642,该方法包括:根据当前隔离组的隔离配置文件的隔离级别和策略,在其父隔离组的资源下创建并保护当前隔离组的资源。如在644处所示,在642的步骤包括:如果针对当前隔离组不存在父IG,则在公共资源下创建该资源。在646,该方法包括:将新资源链接到当前隔离组,进而继续进行634以再次检查相同隔离组的资源(其是针对该服务的资源类型的原始IG)是否存在。在648,该方法包括:向该服务分配该相同隔离组的资源而无需隔离。如在650处所示,如果该相同IG的资源不能满足服务要求,则在648的步骤可以包括:向外扩展(scale out)或重新配置资源。在652,该方法包括:确定是否存在更多的资源类型。如果在652的确定是肯定的(例如,“是”),则该方法前进到632,否则该方法600-2终止。
支持资源隔离的网络切片类图。至少提供了两个类实现选项。
选项1:隔离组是基于每个层中的“服务的网络切片(Served Network Slice)”。在此选项中,在E2E服务层中对网络切片对象进行建模。MOI由DN唯一地标识,并且是指E2E切片Id(S-NSSAI)。
选项2:隔离组是基于每个层中的“服务的服务(Served Service)”。在此选项中,在每个层中对服务对象进行建模。MOI由DN唯一地标识,并且独立于E2E切片Id(S-NSSAI)。
图7是支持资源分配的示例网络切片类图700。在图7中,基于UML,聚合被图形地表示为空心菱形,星号“*”表示多个实例,“1”表示一个实例,“0..1”表示零或一个或者一次一个,箭头表示方向关联。
在图7所示的例子中,每个类都是InformationObjectClass类型。在IsolationGroup(CS)704与IsolationProfileNS 702之间存在方向关联。在CommittedService 714与IsolationGroup(CS)704之间存在方向关联。在NetworkSlice720与CommittedService 714之间存在方向关联。在IsolationGroup(NSS)708与IsolationProfileNSS 706之间存在方向关联。在NSSService 716与IsolationGroup(NSS)708之间存在方向关联。在NetworkSliceSubnet 722与NSSService 716之间存在方向关联。在NetworkSlice 720与NetworkSliceSubnet 722之间存在方向关联。在NetworkSliceSubnet 722与它自己之间存在方向关联。在IsolationGroup(NS)728与IsolationProfileNS 726之间存在方向关联。在NetworkService 730与IsolationGroup(NS)728之间存在方向关联。
在NetworkSliceSubnet 722与NetworkService 730之间存在方向关联。在IsolationGroup(MF)710与IsolationProfileMF 712之间存在方向关联。在MFService 718与IsolationGroup(MF)710之间存在方向关联。在ManagedFunction 724与MFService 718之间存在方向关联。在NetworkSliceSubnet 722与ManagedFunction 724之间存在方向关联。在ManagedFunction 724与VNF 732之间存在方向关联。在NetworkService 730与VNF732之间存在方向关联。在VNF 732与IsolationGroup(VNF)734之间存在方向关联。在IsolationGroup(VNF)734与IsolationProfileVNF 736之间存在方向关联。
可以理解,在图7中并且贯穿本公开的其余部分,对象(例如,类对象)的名称基于它涉及或服务的功能。例如,类对象IsolationProfileNS 702是网络切片隔离配置文件类对象,IsolationGroup(NSS)708是网络切片子网隔离组类对象等。
在用于网络切片分配的多个层中资源隔离实现的工作流。做出以下假定:
1.在此实施例中,网络切片可以由构成RAN、CN和TN NSSI的网络切片实例(NSI)支持。
2.gNB是物理框(physical box),CN是虚拟化的。
3.针对网络切片定义了三个IsolationProfile。
4.在此实施例中,没有资源被分配给具有相同IsolationGroup的网络切片、NSS、MF或NF。否则,该过程可以不同。
图8描绘了E2E域中的网络切片隔离的示例工作流800。在图8中所示的是NSC 820、NSP 830、NSSPRAN 840、NSSPCN 850、以及NSSPTN 860。在图8中,附图标记801至813分别对应于编号1至13。在图8中,方向箭头是示例,从而在其他实施例中,实体可以针对与工作流800中所示不同的实体中的另一个实体执行动作。
在801,NSC 820请求NSP 830针对网络切片分配资源,其中,输入参数包括例如ServiceProfile、一个或多个IsolationProfileNS等。如在870处所示,NSC可以包括在该请求之前创建的一个或多个IsolationGroup,而不是使用一个或多个IsolationProfileNS作为输入参数。在802,NSP 830验证该一个或多个隔离配置文件,并相应地创建一个或多个隔离组。如在880处所示,如果该一个或多个隔离配置文件为空,则可以基于系统配置或租户的策略或SLA,使用该网络切片的租户的一个或多个默认配置文件。
在803,NSP 830根据服务配置文件和一个或多个IsolationGroup,将网络切片请求分解为一个或多个NSS请求。在804,NSP 830将该网络切片请求中的一个或多个IsolationGroup的一个或多个IsolationProfileNS转换为一个或多个IsolationProfileNSSRAN、一个或多个IsolationProfileNSSCN、以及一个或多个IsolationProfileNSSTN。如在890处所示,针对RAN、CN和TN NSS的IsolationProfile对于管理资源可以是相同的(例如参见图4和图5),但对于被管理资源可以是不同的(例如参见图3)。例如,针对RAN资源的IsolationRules可以是[“在RLS层上及以上分离”],针对核心资源的IsolationRules可以是[“利用稳健的虚拟化层隔离NF/NF服务”,“利用专用虚拟交换机分离NF/NF服务的流量”],针对TN资源的IsolationRules可以是[“利用VPN进行分离”]。
在805,NSP 830请求NSSPRAN 840针对RAN NSS服务分配资源。输入参数包括例如SliceProfile、一个或多个IsolationProfileNSSRAN等。在806,NSSPRAN 840向NSP 830提供分配响应,包括例如RAN NSS服务实例、一个或多个IsolationGroup等。在807,NSP 830请求NSSPCN 850针对CN NSS服务分配资源,其中,输入参数包括例如SliceProfile、一个或多个IsolationProfileNSSCN等。在808,NSSPRAN 840向NSP 830提供分配响应,包括例如CNNSS服务实例、一个或多个IsolationGroup等。在809,NSP 830请求NSSPTN 860针对TN NSS服务分配资源,其中,输入参数包括例如SliceProfile、一个或多个IsolationProfileNSSTN等。在810,NSSPRAN 840向NSP 830提供分配响应,包括例如TN NSS服务实例、一个或多个IsolationGroup等。在811,NSP 830针对网络切片创建网络切片和承诺服务实例,将该一个或多个IsolationGroup与该承诺服务实例相关联,并将该承诺服务实例与NSI相关联。在812,NSP 830针对该网络切片的管理数据和服务,基于该网络切片的管理资源的一个或多个相关IsolationProfile,分配资源。在813,NSP 830向NSC 820发送响应,包括承诺服务实例、一个或多个IsolationGroup等。
图9描绘了RAN域中的网络切片隔离的示例工作流900。在图9中所示的是NSP 920、NSSPRAN 930、以及MFPRAN 940。在图9中,附图标记901至910分别对应于编号1至10。在图9中,方向箭头是示例,从而在其他实施例中,实体可以针对与工作流900中所示不同的实体中的另一个实体执行动作。此示例示出了服务消费者指定一个或多个IsolationGroup的选项。
在901,NSP 920请求NSSPRAN 930分配一个或多个IsolationGroup,其中,输入参数包括例如一个或多个IsolationProfileNSSRAN、S-NSSAI等。在902,NSSPRAN 930验证该一个或多个隔离配置文件,并相应地创建一个或多个隔离组。如在950处所示,如果该一个或多个隔离配置文件为空,则可以基于系统配置使用S-NSSAI的SST的一个或多个默认配置文件。在903,NSSPRAN 930向NSP 920提供关于所创建的一个或多个IsolationGroup的响应。
在904,NSP 1020请求NSSPRAN 930针对网络切片分配RAN NSS,其中,输入参数包括例如S-NSSAI、SliceProfileRAN、一个或多个IsolationGroup等。
在905,NSSPRAN 930根据切片配置文件和该一个或多个IsolationGroup的一个或多个IsolationProfile,将该NSS请求映射到RAN MF的配置参数。在906,NSSPRAN 930针对MFPRAN 940在RAN MF上配置参数,诸如S-NSSAI以及功能和隔离相关的参数。在907,MFPRAN940向NSSPRAN 930提供配置响应。在908,NSSPRAN 930针对S-NSSAI创建RAN NSSI和NSS服务实例,将该一个或多个IsolationGroup与该NSS服务实例相关联,并将该NSS服务实例与NSSI相关联。在909,NSSPRAN 930针对管理数据和服务针对S-NSSAI,基于NSS的管理资源的一个或多个相关IsolationProfile,分配资源。在910,NSSPRAN 930向NSP 920提供分配响应,诸如RAN NSSI、RAN NSS服务实例等。
图10描绘了CN域中的网络切片隔离的示例工作流1000。在图10中所示的是NSP1020、NSSPCN 1030、NFVO 1050、VIM或VNFM 1060、以及MFPCN 1070。在图10中,附图标记1001至1013分别对应于编号1至13。在图10中,方向箭头是示例,从而在其他实施例中,实体可以针对与工作流1000中所示不同的实体中的另一个实体执行动作。此示例1000示出了服务消费者指定一个或多个IsolationGroup的选项。
在1001,NSP 1020请求NSSPCN 1030分配一个或多个IsolationGroup,其中,输入参数包括例如一个或多个IsolationProfileNSSCN、S-NSSAI等。在1002,NSSPCN 1030验证该一个或多个隔离配置文件,并相应地创建一个或多个隔离组。如在1080处所示,如果该一个或多个隔离配置文件为空,则可以基于系统配置使用S-NSSAI的SST的一个或多个默认配置文件。在1003,NSSPCN 1030向NSP 1020提供具有所创建的一个或多个IsolationGroup的响应。
在1004,NSP 1020请求NSSPCN 1030针对网络切片分配CN NSS,其中,输入参数包括例如S-NSSAI、SliceProfileCN、一个或多个IsolationGroup等。在1005,NSSPCN 1030根据切片配置文件和一个或多个IsolationGroup的IsolationProfile,将该NSS请求映射到具有配置参数的网络服务和CN MF。在1006,NSSPCN 1030请求NFVO 1050部署并配置网络服务。在1007,NFVO 1050请求VIM或VNFM 1060基于该资源和隔离请求来部署VNF。
在1008,NFVO 1050向NSSPCN 1030提供部署响应,包括具有VNF信息的NS。在1009,NSSPCN 1030针对MFPCN 1070在核心MF上配置参数,包括S-NSSAI和功能相关的参数。在1010,MFPCN 1070向NSSPCN 1030提供配置响应。在1011,NSSPCN 1030针对S-NSSAI创建CNNSSI和NSS服务实例,将该一个或多个IsolationGroup与该NSS服务实例相关联,并将该NSS服务实例与NSSI相关联。在1012,NSSPCN 1030针对管理数据和服务针对S-NSSAI,基于NSS的管理资源的一个或多个相关IsolationProfile,分配资源。在1013,NSSPCN 1030向NSP1020提供分配响应,包括CN NSSI、CN NSS服务实例等。
本文描述的示例可以对3GPP SA5或ETSI ZSM规范做出贡献。
图11是基于本文描述的示例来实现网络切片隔离管理的示例方法1100。在1102,该方法包括:针对至少一个服务指定或创建一个或多个隔离组,其中,在隔离组中指定的服务的资源在具有或没有隔离的情况下被共享。在1104,该方法包括:其中,在每个层和每个域中针对至少一个资源定义隔离组,以聚集该至少一个服务的该至少一个资源。在1106,该方法包括:针对一个或多个隔离组中的每个隔离组链接隔离配置文件,其中,该隔离配置文件包括用于保护该一个或多个隔离组的该至少一个资源的至少一个策略,并且其中,该隔离配置文件至少包括用于定义隔离类型的隔离级别。在1108,该方法包括:基于被链接到该一个或多个隔离组的该隔离配置文件,向该至少一个服务分配或重新分配该至少一个资源。
示例方法包括:针对至少一个服务指定或创建一个或多个隔离组,其中,在隔离组中指定的服务的资源在具有或没有隔离的情况下被共享;其中,在每个层和每个域中针对至少一个资源定义隔离组,以聚集该至少一个服务的该至少一个资源;针对一个或多个隔离组中的每个隔离组链接隔离配置文件,其中,该隔离配置文件包括用于保护该一个或多个隔离组的该至少一个资源的至少一个策略,并且其中,该隔离配置文件至少包括用于定义隔离类型的隔离级别;以及基于被链接到该一个或多个隔离组的该隔离配置文件,向该至少一个服务分配或重新分配该至少一个资源。
该方法可以进一步包括:其中,隔离组是基于至少一个资源的类型以及该至少一个资源所支持的服务特性而定义的。
该方法可以进一步包括:其中,基于隔离配置文件,被分配给服务的资源与在不同的隔离组中指定的其他服务的资源在物理上或逻辑上隔离。
该方法可以进一步包括:其中,由服务消费者或服务生产商指定或创建一个或多个隔离组。
该方法可以进一步包括:其中,隔离级别是物理或逻辑隔离。
该方法可以进一步包括:其中,隔离配置文件与所支持的服务的服务配置文件相关联,或者是独立的。
该方法可以进一步包括:其中,至少一个资源是管理资源,并且该至少一个资源是被管理资源。
该方法可以进一步包括:其中,一个或多个隔离组是根隔离组,或者一个或多个隔离组由另一个隔离组包含。
该方法可以进一步包括:其中,包含隔离组的隔离级别比被包含隔离组的隔离级别严格。
该方法可以进一步包括:通过以下操作来针对一个服务的至少一个资源确定隔离:检查包含隔离组的隔离配置文件,直到包括根隔离组的包含隔离组链中的所有隔离组都被寻址或被考虑为止。
该方法可以进一步包括:通过以下操作来针对至少一个服务确定隔离:检查所链接的隔离组的隔离配置文件,直到多个资源类型被寻址为止。
该方法可以进一步包括:其中,当服务的资源在公共隔离组中被指定时,在隔离组中指定的该服务的资源被共享而无需隔离;以及其中,当服务的资源在该公共隔离组内的不同的隔离组中被进一步指定时,在隔离组中指定的该服务的资源在隔离的情况下被共享。
一种示例装置,包括:至少一个处理器;以及包括计算机程序代码的至少一个非暂时性存储器;其中,该至少一个存储器和该计算机程序代码被配置为与该至少一个处理器一起使该装置至少执行:针对至少一个服务指定或创建一个或多个隔离组,其中,在隔离组中指定的服务的资源在具有或没有隔离的情况下被共享;其中,在每个层和每个域中针对至少一个资源定义隔离组,以聚集该至少一个服务的该至少一个资源;针对一个或多个隔离组中的每个隔离组链接隔离配置文件,其中,该隔离配置文件包括用于保护该一个或多个隔离组的该至少一个资源的至少一个策略,并且其中,该隔离配置文件至少包括用于定义隔离类型的隔离级别;以及基于被链接到该一个或多个隔离组的该隔离配置文件,向该至少一个服务分配或重新分配该至少一个资源。
该装置可以进一步包括:其中,隔离组是基于至少一个资源的类型以及该至少一个资源所支持的服务特性而定义的。
该装置可以进一步包括:其中,基于隔离配置文件,被分配给服务的资源与在不同的隔离组中指定的其他服务的资源在物理上或逻辑上隔离。
该装置可以进一步包括:其中,一个或多个隔离组由服务消费者或服务生产商指定或创建。
该装置可以进一步包括:其中,隔离级别是物理或逻辑隔离。
该装置可以进一步包括:其中,隔离配置文件与所支持的服务的服务配置文件相关联,或者是独立的。
该装置可以进一步包括:其中,至少一个资源是管理资源,并且该至少一个资源是被管理资源。
该装置可以进一步包括:其中,一个或多个隔离组是根隔离组,或者一个或多个隔离组由另一个隔离组包含。
该装置可以进一步包括:其中,包含隔离组的隔离级别比被包含隔离组的隔离级别严格。
该装置可以进一步包括:其中,该至少一个存储器和该计算机程序代码进一步被配置为与该至少一个处理器一起使该装置至少执行:通过以下操作来针对一个服务的至少一个资源确定隔离:检查包含隔离组的隔离配置文件,直到包括根隔离组的包含隔离组链中的所有隔离组都被寻址或被考虑为止。
该装置可以进一步包括:其中,该至少一个存储器和该计算机程序代码进一步被配置为与该至少一个处理器一起使该装置至少执行:通过以下操作来针对至少一个服务确定隔离:检查所链接的隔离组的隔离配置文件,直到多个资源类型被寻址为止。
该装置可以进一步包括:其中,当服务的资源在公共隔离组中被指定时,在隔离组中指定的该服务的资源被共享而无需隔离;以及其中,当服务的资源在该公共隔离组内的不同的隔离组中被进一步指定时,在隔离组中指定的该服务的资源在隔离的情况下被共享。
提供了一种机器可读的示例性非暂时性程序存储设备,其有形地体现可由该机器执行以执行操作的指令程序,这些操作包括:针对至少一个服务指定或创建一个或多个隔离组,其中,在隔离组中指定的服务的资源在具有或没有隔离的情况下被共享;其中,在每个层和每个域中针对至少一个资源定义隔离组,以聚集该至少一个服务的该至少一个资源;针对一个或多个隔离组中的每个隔离组链接隔离配置文件,其中,该隔离配置文件包括用于保护该一个或多个隔离组的该至少一个资源的至少一个策略,并且其中,该隔离配置文件至少包括用于定义隔离类型的隔离级别;以及基于被链接到该一个或多个隔离组的该隔离配置文件,向该至少一个服务分配或重新分配该至少一个资源。
这些非暂时性程序存储设备操作可以进一步包括:其中,隔离组是基于至少一个资源的类型以及该至少一个资源所支持的服务特性而定义的。
这些非暂时性程序存储设备操作可以进一步包括:其中,基于隔离配置文件,被分配给服务的资源与在不同的隔离组中指定的其他服务的资源在物理上或逻辑上隔离。
这些非暂时性程序存储设备操作可以进一步包括:其中,一个或多个隔离组由服务消费者或服务生产商指定或创建。
这些非暂时性程序存储设备操作可以进一步包括:其中,隔离级别是物理或逻辑隔离。
这些非暂时性程序存储设备操作可以进一步包括:其中,隔离配置文件与所支持的服务的服务配置文件相关联,或者是独立的。
这些非暂时性程序存储设备操作可以进一步包括:其中,至少一个资源是管理资源,并且该至少一个资源是被管理资源。
这些非暂时性程序存储设备操作可以进一步包括:其中,一个或多个隔离组是根隔离组,或者一个或多个隔离组由另一个隔离组包含。
这些非暂时性程序存储设备操作可以进一步包括:其中,包含隔离组的隔离级别比被包含隔离组的隔离级别严格。
这些非暂时性程序存储设备操作可以进一步包括:通过以下操作来针对一个服务的至少一个资源确定隔离:检查包含隔离组的隔离配置文件,直到包括根隔离组的包含隔离组链中的所有隔离组都被寻址或被考虑为止。
这些非暂时性程序存储设备操作可以进一步包括:通过以下操作来针对至少一个服务确定隔离:检查所链接的隔离组的隔离配置文件,直到多个资源类型被寻址为止。
这些非暂时性程序存储设备操作可以进一步包括:其中,当服务的资源在公共隔离组中被指定时,在隔离组中指定的该服务的资源被共享而无需隔离;以及其中,当服务的资源在该公共隔离组内的不同的隔离组中被进一步指定时,在隔离组中指定的该服务的资源在隔离的情况下被共享。
一种示例装置,包括:用于针对至少一个服务指定或创建一个或多个隔离组的部件,其中,在隔离组中指定的服务的资源在具有或没有隔离的情况下被共享;其中,在每个层和每个域中针对至少一个资源定义隔离组,以聚集该至少一个服务的该至少一个资源;用于针对一个或多个隔离组中的每个隔离组链接隔离配置文件的部件,其中,该隔离配置文件包括用于保护该一个或多个隔离组的该至少一个资源的至少一个策略,并且其中,该隔离配置文件至少包括用于定义隔离类型的隔离级别;以及用于基于被链接到该一个或多个隔离组的该隔离配置文件,向该至少一个服务分配或重新分配该至少一个资源的部件。
该装置可以进一步包括:其中,隔离组是基于至少一个资源的类型以及该至少一个资源所支持的服务特性而定义的。
该装置可以进一步包括:其中,基于隔离配置文件,被分配给服务的资源与在不同的隔离组中指定的其他服务的资源在物理上或逻辑上隔离。
该装置可以进一步包括:其中,一个或多个隔离组由服务消费者或服务生产商指定或创建。
该装置可以进一步包括:其中,隔离级别是物理或逻辑隔离。
该装置可以进一步包括:其中,隔离配置文件与所支持的服务的服务配置文件相关联,或者是独立的。
该装置可以进一步包括:其中,至少一个资源是管理资源,并且该至少一个资源是被管理资源。
该装置可以进一步包括:其中,一个或多个隔离组是根隔离组,或者一个或多个隔离组由另一个隔离组包含。
该装置可以进一步包括:其中,包含隔离组的隔离级别比被包含隔离组的隔离级别严格。
该装置可以进一步包括用于通过以下操作来针对一个服务的至少一个资源确定隔离的部件:检查包含隔离组的隔离配置文件,直到包括根隔离组的包含隔离组链中的所有隔离组都被寻址或被考虑为止。
该装置可以进一步包括用于通过以下操作来针对至少一个服务确定隔离的部件:检查所链接的隔离组的隔离配置文件,直到多个资源类型被寻址为止。
该装置可以进一步包括:其中,当服务的资源在公共隔离组中被指定时,在隔离组中指定的该服务的资源被共享而无需隔离;以及其中,当服务的资源在该公共隔离组内的不同的隔离组中被进一步指定时,在隔离组中指定的该服务的资源在隔离的情况下被共享。
应当理解,上述描述仅仅是说明性的。本领域技术人员可以设计各种替代和修改。例如,各种从属权利要求中所述的特征可以以任何合适的组合彼此组合。此外,来自上述不同实施例的特征可以被选择性地组合成新的实施例。因此,该描述旨在涵盖落入所附权利要求的范围内的所有此类替代、修改和变化。
Claims (48)
1.一种方法,包括:
针对至少一个服务指定或创建一个或多个隔离组,其中,在隔离组中指定的服务的资源在具有或没有隔离的情况下被共享;
其中,在每个层和每个域中针对至少一个资源定义隔离组,以聚集所述至少一个服务的所述至少一个资源;
针对所述一个或多个隔离组中的每个隔离组链接隔离配置文件,其中,所述隔离配置文件包括用于保护所述一个或多个隔离组的所述至少一个资源的至少一个策略,并且其中,所述隔离配置文件至少包括用于定义隔离类型的隔离级别;以及
基于被链接到所述一个或多个隔离组的所述隔离配置文件,向所述至少一个服务分配或重新分配所述至少一个资源。
2.根据权利要求1所述的方法,其中,所述隔离组是基于所述至少一个资源的类型以及所述至少一个资源所支持的服务特性而定义的。
3.根据权利要求1所述的方法,其中,基于所述隔离配置文件,被分配给服务的资源与在不同的隔离组中指定的其他服务的资源在物理上或逻辑上隔离。
4.根据权利要求1所述的方法,其中,由服务消费者或服务生产商指定或创建所述一个或多个隔离组。
5.根据权利要求1所述的方法,其中,所述隔离级别是物理或逻辑隔离。
6.根据权利要求1所述的方法,其中,所述隔离配置文件与所支持的服务的服务配置文件相关联,或者是独立的。
7.根据权利要求1所述的方法,其中,所述至少一个资源是管理资源,并且所述至少一个资源是被管理资源。
8.根据权利要求1所述的方法,其中所述一个或多个隔离组是根隔离组,或者所述一个或多个隔离组由另一个隔离组包含。
9.根据权利要求8所述的方法,其中,包含隔离组的隔离级别比被包含隔离组的隔离级别严格。
10.根据权利要求8所述的方法,进一步包括:通过以下操作来针对一个服务的所述至少一个资源确定隔离:检查包含隔离组的隔离配置文件,直到包括所述根隔离组的包含隔离组链中的所有隔离组都被寻址或被考虑为止。
11.根据权利要求1所述的方法,进一步包括:通过以下操作来针对所述至少一个服务确定隔离:检查所链接的隔离组的隔离配置文件,直到多个资源类型被寻址为止。
12.根据权利要求1所述的方法,
其中,当所述服务的所述资源在公共隔离组中被指定时,在隔离组中指定的所述服务的所述资源被共享而无需隔离;以及
其中,当所述服务的所述资源在所述公共隔离组内的不同的隔离组中被进一步指定时,在隔离组中指定的所述服务的所述资源在隔离的情况下被共享。
13.一种装置,包括:
至少一个处理器;以及
包括计算机程序代码的至少一个非暂时性存储器;
其中,所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使所述装置至少执行:
针对至少一个服务指定或创建一个或多个隔离组,其中,在隔离组中指定的服务的资源在具有或没有隔离的情况下被共享;
其中,在每个层和每个域中针对至少一个资源定义隔离组,以聚集所述至少一个服务的所述至少一个资源;
针对所述一个或多个隔离组中的每个隔离组链接隔离配置文件,其中,所述隔离配置文件包括用于保护所述一个或多个隔离组的所述至少一个资源的至少一个策略,并且其中,所述隔离配置文件至少包括用于定义隔离类型的隔离级别;以及
基于被链接到所述一个或多个隔离组的所述隔离配置文件,向所述至少一个服务分配或重新分配所述至少一个资源。
14.根据权利要求13所述的装置,其中,所述隔离组是基于所述至少一个资源的类型以及所述至少一个资源所支持的服务特性而定义的。
15.根据权利要求13所述的装置,其中,基于所述隔离配置文件,被分配给服务的资源与在不同的隔离组中指定的其他服务的资源在物理上或逻辑上隔离。
16.根据权利要求13所述的装置,其中,所述一个或多个隔离组由服务消费者或服务生产商指定或创建。
17.根据权利要求13所述的装置,其中,所述隔离级别是物理或逻辑隔离。
18.根据权利要求13所述的装置,其中,所述隔离配置文件与所支持的服务的服务配置文件相关联,或者是独立的。
19.根据权利要求13所述的装置,其中,所述至少一个资源是管理资源,并且所述至少一个资源是被管理资源。
20.根据权利要求13所述的装置,其中,所述一个或多个隔离组是根隔离组,或者所述一个或多个隔离组由另一个隔离组包含。
21.根据权利要求20所述的装置,其中,包含隔离组的隔离级别比被包含隔离组的隔离级别严格。
22.根据权利要求20所述的装置,其中,所述至少一个存储器和所述计算机程序代码还被配置为与所述至少一个处理器一起使所述装置至少执行:通过以下操作来针对一个服务的所述至少一个资源确定隔离:检查包含隔离组的隔离配置文件,直到包括所述根隔离组的包含隔离组链中的所有隔离组都被寻址或被考虑为止。
23.根据权利要求13所述的装置,其中,所述至少一个存储器和所述计算机程序代码还被配置为与所述至少一个处理器一起使所述装置至少执行:通过以下操作来针对所述至少一个服务确定隔离:检查所链接的隔离组的隔离配置文件,直到多个资源类型被寻址为止。
24.根据权利要求13所述的装置,
其中,当所述服务的所述资源在公共隔离组中被指定时,在隔离组中指定的所述服务的所述资源被共享而无需隔离;以及
其中,当所述服务的所述资源在所述公共隔离组内的不同的隔离组中被进一步指定时,在隔离组中指定的所述服务的所述资源在隔离的情况下被共享。
25.一种机器可读的非暂时性程序存储设备,其有形地体现可由所述机器执行以执行操作的指令程序,所述操作包括:
针对至少一个服务指定或创建一个或多个隔离组,其中,在隔离组中指定的服务的资源在具有或没有隔离的情况下被共享;
其中,在每个层和每个域中针对至少一个资源定义隔离组,以聚集所述至少一个服务的所述至少一个资源;
针对所述一个或多个隔离组中的每个隔离组链接隔离配置文件,其中,所述隔离配置文件包括用于保护所述一个或多个隔离组的所述至少一个资源的至少一个策略,并且其中,所述隔离配置文件至少包括用于定义隔离类型的隔离级别;以及
基于被链接到所述一个或多个隔离组的所述隔离配置文件,向所述至少一个服务分配或重新分配所述至少一个资源。
26.根据权利要求25所述的非暂时性程序存储设备,其中,所述隔离组是基于所述至少一个资源的类型以及所述至少一个资源所支持的服务特性而定义的。
27.根据权利要求25所述的非暂时性程序存储设备,其中,基于所述隔离配置文件,被分配给服务的资源与在不同的隔离组中指定的其他服务的资源在物理上或逻辑上隔离。
28.根据权利要求25所述的非暂时性程序存储设备,其中,所述一个或多个隔离组由服务消费者或服务生产商指定或创建。
29.根据权利要求25所述的非暂时性程序存储设备,其中,所述隔离级别是物理或逻辑隔离。
30.根据权利要求25所述的非暂时性程序存储设备,其中,所述隔离配置文件与所支持的服务的服务配置文件相关联,或者是独立的。
31.根据权利要求25所述的非暂时性程序存储设备,其中,所述至少一个资源是管理资源,并且所述至少一个资源是被管理资源。
32.根据权利要求25所述的非暂时性程序存储设备,其中,所述一个或多个隔离组是根隔离组,或者所述一个或多个隔离组由另一个隔离组包含。
33.根据权利要求32所述的非暂时性程序存储设备,其中,包含隔离组的隔离级别比被包含隔离组的隔离级别严格。
34.根据权利要求32所述的非暂时性程序存储设备,其中,所述操作进一步包括:通过以下操作来针对一个服务的所述至少一个资源确定隔离:检查包含隔离组的隔离配置文件,直到包括所述根隔离组的包含隔离组链中的所有隔离组都被寻址或被考虑为止。
35.根据权利要求25所述的非暂时性程序存储设备,其中,所述操作进一步包括:通过以下操作来针对所述至少一个服务确定隔离:检查所链接的隔离组的隔离配置文件,直到多个资源类型被寻址为止。
36.根据权利要求25所述的非暂时性程序存储设备,
其中,当所述服务的所述资源在公共隔离组中被指定时,在隔离组中指定的所述服务的所述资源被共享而无需隔离;以及
其中,当所述服务的所述资源在所述公共隔离组内的不同的隔离组中被进一步指定时,在隔离组中指定的所述服务的所述资源在隔离的情况下被共享。
37.一种装置,包括:
用于针对至少一个服务指定或创建一个或多个隔离组的部件,其中,在隔离组中指定的服务的资源在具有或没有隔离的情况下被共享;
其中,在每个层和每个域中针对至少一个资源定义隔离组,以聚集所述至少一个服务的所述至少一个资源;
用于针对所述一个或多个隔离组中的每个隔离组链接隔离配置文件的部件,其中,所述隔离配置文件包括用于保护所述一个或多个隔离组的所述至少一个资源的至少一个策略,并且其中,所述隔离配置文件至少包括用于定义隔离类型的隔离级别;以及
用于基于被链接到所述一个或多个隔离组的所述隔离配置文件,向所述至少一个服务分配或重新分配所述至少一个资源的部件。
38.根据权利要求37所述的装置,其中,所述隔离组是基于所述至少一个资源的类型以及所述至少一个资源所支持的服务特性而定义的。
39.根据权利要求37所述的装置,其中,基于所述隔离配置文件,被分配给服务的资源与在不同的隔离组中指定的其他服务的资源在物理上或逻辑上隔离。
40.根据权利要求37所述的装置,其中,所述一个或多个隔离组由服务消费者或服务生产商指定或创建。
41.根据权利要求37所述的装置,其中,所述隔离级别是物理或逻辑隔离。
42.根据权利要求37所述的装置,其中,所述隔离配置文件与所支持的服务的服务配置文件相关联,或者是独立的。
43.根据权利要求37所述的装置,其中,所述至少一个资源是管理资源,并且所述至少一个资源是被管理资源。
44.根据权利要求37所述的装置,其中,所述一个或多个隔离组是根隔离组,或者所述一个或多个隔离组由另一个隔离组包含。
45.根据权利要求44所述的装置,其中,包含隔离组的隔离级别比被包含隔离组的隔离级别严格。
46.根据权利要求44所述的装置,进一步包括:用于通过以下操作来针对一个服务的所述至少一个资源确定隔离的部件:检查包含隔离组的隔离配置文件,直到包括所述根隔离组的包含隔离组链中的所有隔离组都被寻址或被考虑为止。
47.根据权利要求37所述的装置,进一步包括:用于通过以下操作来针对所述至少一个服务确定隔离的部件:检查所链接的隔离组的隔离配置文件,直到多个资源类型被寻址为止。
48.根据权利要求37所述的装置,
其中,当所述服务的所述资源在公共隔离组中被指定时,在隔离组中指定的所述服务的所述资源被共享而无需隔离;以及
其中,当所述服务的所述资源在所述公共隔离组内的不同的隔离组中被进一步指定时,在隔离组中指定的所述服务的所述资源在隔离的情况下被共享。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2020/075248 WO2021159461A1 (en) | 2020-02-14 | 2020-02-14 | Method for network slice isolation management |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115152268A true CN115152268A (zh) | 2022-10-04 |
Family
ID=77292011
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080096495.6A Pending CN115152268A (zh) | 2020-02-14 | 2020-02-14 | 用于网络切片隔离管理的方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20230148302A1 (zh) |
| CN (1) | CN115152268A (zh) |
| WO (1) | WO2021159461A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116527731A (zh) * | 2023-02-01 | 2023-08-01 | 武汉华瑞测智能技术有限公司 | 基于网络隔离装置的电厂内外网通信方法、设备及介质 |
| CN117081945A (zh) * | 2023-10-12 | 2023-11-17 | 南京中科境远科技有限公司 | 核心网切片子网实例部署方法及装置 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7409504B2 (ja) * | 2020-07-03 | 2024-01-09 | 日本電信電話株式会社 | ネットワーク仮想化システム、仮想リソース管理装置、仮想リソース管理方法およびプログラム |
| US20220035685A1 (en) * | 2020-08-03 | 2022-02-03 | Juniper Networks, Inc. | Device access control for applications of multiple containers |
| CN113992461B (zh) * | 2021-10-26 | 2024-01-30 | 亿次网联(杭州)科技有限公司 | 一种数据隔离传输方法、系统及存储介质 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11050626B2 (en) * | 2017-04-28 | 2021-06-29 | Huawei Technologies Co., Ltd. | Service provision for offering network slices to a customer |
| US10460111B2 (en) * | 2017-08-04 | 2019-10-29 | Dell Products, Lp | System and method to isolate host and system management in an information handling system |
| WO2019081005A1 (en) * | 2017-10-25 | 2019-05-02 | Huawei Technologies Co., Ltd. | E2E TRENCH HOMOGENEITY GUARANTEE WITH FLEXIBLE WAFER SEGMENTS |
| CN109962806B (zh) * | 2017-12-26 | 2021-10-19 | 中兴通讯股份有限公司 | 一种传送网子切片管理方法和装置 |
-
2020
- 2020-02-14 US US17/799,545 patent/US20230148302A1/en active Pending
- 2020-02-14 CN CN202080096495.6A patent/CN115152268A/zh active Pending
- 2020-02-14 WO PCT/CN2020/075248 patent/WO2021159461A1/en active Application Filing
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116527731A (zh) * | 2023-02-01 | 2023-08-01 | 武汉华瑞测智能技术有限公司 | 基于网络隔离装置的电厂内外网通信方法、设备及介质 |
| CN116527731B (zh) * | 2023-02-01 | 2023-09-26 | 武汉华瑞测智能技术有限公司 | 基于网络隔离装置的电厂内外网通信方法、设备及介质 |
| CN117081945A (zh) * | 2023-10-12 | 2023-11-17 | 南京中科境远科技有限公司 | 核心网切片子网实例部署方法及装置 |
| CN117081945B (zh) * | 2023-10-12 | 2024-01-09 | 南京中科境远科技有限公司 | 核心网切片子网实例部署方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20230148302A1 (en) | 2023-05-11 |
| WO2021159461A1 (en) | 2021-08-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN115152268A (zh) | 用于网络切片隔离管理的方法 | |
| US11838190B2 (en) | System and method to support network slicing in an MEC system providing automatic conflict resolution arising from multiple tenancy in the MEC environment | |
| CN108293004B (zh) | 用于网络切片管理的系统和方法 | |
| US11212731B2 (en) | Mobile network interaction proxy | |
| CN110832827B (zh) | 网络切片方法及系统 | |
| US20190158364A1 (en) | Method and Apparatus for the Specification of a Network Slice Instance and Underlying Information Model | |
| CN110611926B (zh) | 一种告警的方法及装置 | |
| US10999326B1 (en) | Fine grained network security | |
| CN108370328B (zh) | 一种nfv mano策略描述符的管理方法及装置 | |
| KR20190120833A (ko) | 네트워크 슬라이스 관리 방법, 유닛 및 시스템 | |
| KR20190073507A (ko) | 네트워크 슬라이스 관리 방법, 관리 유닛 및 시스템 | |
| JP5242717B2 (ja) | リソース管理サーバ、リソース管理システム、リソース管理方法及びリソース管理プログラム | |
| CN110780912B (zh) | 利用分段支持的分层生成树软件补丁 | |
| US8266303B2 (en) | Managing network connections | |
| CN115843429A (zh) | 用于网络切片中隔离支持的方法与装置 | |
| CN115211159A (zh) | 网络切片的分配资源 | |
| US9147172B2 (en) | Source configuration based on connection profile | |
| US20180098327A1 (en) | Congestion control method and network element device | |
| US20230179638A1 (en) | Method and apparatus for preventing network attacks in a network slice | |
| WO2021072594A1 (en) | Tenant management | |
| JP6460743B2 (ja) | 設定情報生成システム及び設定情報生成方法 | |
| US20230100729A1 (en) | Customer-defined capacity limit plans for communication networks | |
| CN115811798A (zh) | 跨操作技术和网络域之上的切片配置 | |
| CN115190131A (zh) | 基于边缘云计算的节点协同方法 | |
| CN117693932A (zh) | 用于数据流的基于网络策略的流量管理的系统、分类器和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |