CN115812317A - 用于防止网络切片中的网络攻击的方法和装置 - Google Patents
用于防止网络切片中的网络攻击的方法和装置 Download PDFInfo
- Publication number
- CN115812317A CN115812317A CN202080102713.2A CN202080102713A CN115812317A CN 115812317 A CN115812317 A CN 115812317A CN 202080102713 A CN202080102713 A CN 202080102713A CN 115812317 A CN115812317 A CN 115812317A
- Authority
- CN
- China
- Prior art keywords
- network slice
- security
- instance
- instances
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 91
- 239000000470 constituent Substances 0.000 claims abstract description 56
- 230000006870 function Effects 0.000 claims description 159
- 238000004590 computer program Methods 0.000 claims description 25
- 230000008859 change Effects 0.000 claims description 12
- 230000004044 response Effects 0.000 claims description 8
- 238000012544 monitoring process Methods 0.000 claims description 6
- 238000004458 analytical method Methods 0.000 claims description 5
- 238000007726 management method Methods 0.000 description 40
- 230000008569 process Effects 0.000 description 28
- 238000001914 filtration Methods 0.000 description 14
- 230000008901 benefit Effects 0.000 description 8
- 238000004891 communication Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 7
- 238000007405 data analysis Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 235000018734 Sambucus australis Nutrition 0.000 description 4
- 244000180577 Sambucus australis Species 0.000 description 4
- 238000013480 data collection Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 238000001514 detection method Methods 0.000 description 3
- 238000002360 preparation method Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000004913 activation Effects 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 239000013589 supplement Substances 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 1
- 238000012517 data analytics Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 108020001568 subdomains Proteins 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0895—Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/40—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/5041—Network service management, e.g. ensuring proper service fulfilment according to agreements characterised by the time relationship between creation and deployment of a service
- H04L41/5051—Service on demand, e.g. definition and deployment of services in real time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0896—Bandwidth or capacity management, i.e. automatically increasing or decreasing capacities
- H04L41/0897—Bandwidth or capacity management, i.e. automatically increasing or decreasing capacities by horizontal or vertical scaling of resources, or by migrating entities, e.g. virtual resources or entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/508—Network service management, e.g. ensuring proper service fulfilment according to agreements based on type of value added network service under agreement
- H04L41/5096—Network service management, e.g. ensuring proper service fulfilment according to agreements based on type of value added network service under agreement wherein the managed service relates to distributed or central networked applications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
公开了用于防止网络切片中的网络攻击的方法和装置。一种方法可以包括:获得网络切片实例的安全性需求;基于所述网络切片实例的所述安全性需求,确定将要应用于所述网络切片实例的多个组成网络切片子网实例中的每个组成网络切片子网实例的各个安全性策略;以及使得所述多个组成网络切片子网实例中的每个组成网络切片子网实例被提供根据各个确定的安全性策略配置的一个或多个安全性功能实例。该方法可以在网络切片层中执行。
Description
技术领域
本公开的实施例一般涉及与网络切片相关的安全性技术,并且更特别地涉及用于防止网络切片中的网络攻击的方法和装置。
背景技术
下一代(或5G)移动网络中使用的一个概念是网络切片的概念。通过网络切片,运营商可以部署多个网络切片实例,从而为不同的UE群组输送不同的特征,例如,由于它们输送不同的承诺服务,和/或因为它们可能专用于客户、企业或垂直行业。这些UE群组可以享受根据他们的具体要求(例如,数据速度、质量、延迟、可靠性、安全性、定价模型等)定制的移动网络的连接性和数据处理,遵守与其相关联服务、客户、企业或垂直行业商定的服务级协议(SLA)。这意味着移动网络(例如AN(接入网)、CN(核心网))可以由多方共享,诸如多个服务、客户、企业或垂直行业。
在此类网络和系统中引入网络切片带来了新的技术问题,需要新的解决方案。此类新技术问题的示例是提供安全的网络切片间和网络切片内的通信,以及防止网络切片边缘处的攻击。例如,对于移动网络运营商(MNO)或行业垂直部门来说,提供安全的互联网接入是主要要求。
本公开示出了一种用于防止网络切片中的网络攻击的解决方案。
发明内容
本发明内容不意图识别所要求保护的主题的关键特征或基本特征,也不意图用来限制所要求保护的主题的范围。
根据本公开的第一方面,提供了一种方法。所述方法包括获得网络切片实例的安全性需求;基于所述网络切片实例的所述安全性需求,确定将要应用于所述网络切片实例的多个组成网络切片子网实例中的每个组成网络切片子网实例的各个安全性策略;以及使得所述多个组成网络切片子网实例中的每个组成网络切片子网实例具有根据各个确定的安全性策略配置的一个或多个安全性功能实例。该方法可以在网络切片层中执行。
在实施例中,该方法可以进一步包括:将所述网络切片实例的安全性需求分解为与所述多个组成网络切片子网实例中的每个组成网络切片子网实例对应的分开的安全性需求。可以通过基于与所述多个组成网络切片子网实例中的每个组成网络切片子网实例对应的分开的安全性需求来导出各个安全性策略,来确定所述各个安全性策略。
在实施例中,该方法可以进一步包括:接收用于为服务分配网络切片实例的请求;确定所述服务的安全性需求;以及根据所述服务的安全性需求来确定所述网络切片实例的安全性需求。该方法可以进一步包括:基于所述网络切片实例的安全性需求,为网络切片实例选择网络切片网络资源模块。所述网络切片网络资源模块定义所述网络切片实例的多个组成网络切片子网。该方法可以进一步包括:发送对应请求,用以为所述网络切片实例分配所述多个组成网络切片子网实例。所述对应请求中的每个可以包含组成网络切片子网实例的各自的安全性策略。
在实施例中,该方法可以进一步包括:接收指示在所述多个组成网络切片子网实例中的一个组成网络切片子网实例中的安全性事件的报告或警报;基于所述安全性事件更新所述多个组成网络切片子网实例中的至少一个网络切片子网实例的安全性策略;以及使得所述至少一个网络切片子网实例更新,以便根据所更新的安全性策略被提供新的安全性功能实例或重新配置的现有安全性功能实例。
在实施例中,所述一个或多个安全性功能实例可以包括将要被部署在各个网络切片子网实例的边缘处的安全性功能实例。
在实施例中,该方法可以进一步包括:发送请求以在所述网络切片实例的边缘处创建安全性网络切片子网实例,其中所述请求包含根据网络切片实例的安全性需求而确定的安全性策略。
在实施例中,所述一个或多个安全性功能实例可以包括防火墙。
根据本公开的第二方面,提供了一种方法。所述方法包括接收为网络切片实例分配组成网络切片子网实例的请求,其中所述请求包含将要应用于所述组成网络切片子网实例的安全性策略;以及使得所述组成网络切片子网实例具有根据所述安全性策略而配置的一个或多个安全性功能实例。所述安全性策略是基于所述网络切片实例的安全性需求而确定的。该方法可以在网络切片子网层中执行。
在实施例中,该方法可以进一步包括:检查安全性策略与共享所述组成网络切片子网实例的另一个网络切片实例的安全性策略一致还是冲突。该方法可以进一步包括检查该安全性策略是与应用于相同网络切片实例的另一个组成网络切片子网实例的安全性策略一致还是冲突。
在实施例中,该方法可以进一步包括:基于所述安全性策略为所述组成网络切片子网实例选择网络切片子网网络资源模块。该网络切片子网网络资源模块定义了一个或多个安全性功能。
在实施例中,该方法可以进一步包括:在所述网络切片实例的操作期间监视安全性功能实例;确定所述安全性功能实例的性能或能力变化;以及根据所述性能或能力变化向内扩展或向外扩展所述安全性功能实例的能力。
在实施例中,该方法可以进一步包括:在所述网络切片实例的操作期间收集所述组成网络切片子网实例的安全性相关数据;基于对所述安全性相关数据的分析来确定安全性事件;以及从安全性事件确定新的安全性策略,以便根据新的安全性策略配置安全性功能实例和/或创建新的安全性功能实例。该方法可以进一步包括:向网络切片层发送指示所述安全性事件的报告或警报。
在实施例中,所述请求可以是用以更新所述组成网络切片子网实例的请求。所述响应可以包含将要应用于所述组成网络切片子网实例的更新的安全性策略。
在实施例中,所述一个或多个安全性功能实例包括将要部署在各个网络切片子网实例的边缘处的安全性功能实例。该一个或多个安全性功能实例可以包括防火墙。
根据本公开的第三方面,提供了一种装置。所述装置可以包括至少一个处理器、包括计算机程序代码的至少一个存储器,所述存储器和所述计算机程序代码被配置为与所述至少一个处理器一起工作,使得该装置:获得网络切片实例的安全性需求;基于所述网络切片实例的所述安全性需求,确定将要应用于所述网络切片实例的多个组成网络切片子网实例中的每个组成网络切片子网实例的各个安全性策略;以及使得所述多个组成网络切片子网实例中的每个组成网络切片子网实例被提供根据各个确定的安全性策略而配置的一个或多个安全性功能实例。
根据本公开的第四方面,提供了一种装置。所述装置可以包括至少一个处理器、包括计算机程序代码的至少一个存储器,所述存储器和所述计算机程序代码被配置为与所述至少一个处理器一起工作,使得所述装置:接收为网络切片实例分配组成网络切片子网实例的请求,其中所述请求包含将要应用于所述组成网络切片子网实例的安全性策略;以及使得所述组成网络切片子网实例被提供根据该安全性策略而配置的一个或多个安全性功能实例。所述安全性策略是基于所述网络切片实例的所述安全性需求而确定的。
根据本公开的第五方面,提供了一种计算机可读存储介质,其上存储有指令,当由至少一个处理器执行所述指令时,所述指令使至少一个处理器执行根据第一方面和/或第二方面的方法。
根据本公开的第六方面,提供了包括指令的计算机程序产品,当由至少一个处理器执行所述指令时,所述指令使至少一个处理器执行根据第一方面和/或第二方面的方法。
本公开的这些和其他目标、特征和优点将从对其说明性实施例的以下详细描述中变得明显,该描述应与附图一起阅读。
附图说明
现在将参考附图描述一些示例实施例,在附图中:
图1示出了其中可以实施本公开的实施例的网络切片管理和编排的示例性架构;
图2示出了根据本公开的实施例的为网络切片创建和配置安全性功能实例的示例性过程;
图3示出了根据本公开的实施例的为网络切片调整安全性功能实例的示例性过程;
图4示出了根据本公开的实施例的示例性系统,其中安全性功能实例被配置在相应网络切片子网实例的边缘处;
图5示出了根据本公开的实施例的示例性系统,其中分开的安全性功能实例被配置在网络切片实例的边缘处;
图6示出了根据本公开的实施例的安全性功能实例在网络切片实例的边缘处防止网络攻击的能力;
图7是描绘根据本公开的实施例的方法的流程图;
图8是描绘根据本公开的实施例的方法的流程图;以及
图9是根据本公开的实施例的装置的简化框图。
具体实施方式
参考附图详细描述了本公开的实施例。应该理解的是,讨论这些实施例只是为了使本领域技术人员能够更好地理解本公开并因此实施本公开,而不是建议对本公开的范围进行任何限制。在整个本说明书中提到特征、优点或类似的语言不意味着可以通过本公开实现的所有特征和优点都应该是或存在于本公开的任何单个实施例中。相反,提到特征和优点的语言被理解为意味着与实施例相关的特定特征、优点或特性被包括在本公开的至少一个实施例中。此外,本公开的所描述的特征、优点和特性可以以任何合适的方式组合在一个或多个实施例中。相关领域技术人员将认识到,在没有特别实施例的特定特征或优点中的一个或多个的情况下,也可以实践本公开。在其他情况下,在某些实施例中可以认识到额外的特征和优点,这些特征和优点可能不存在于本公开的所有实施例中。
本公开针对通过在组成网络切片子网实例中部署和配置安全性功能实例来防止网络切片中的网络攻击。经由网络切片共享网络资源的来自不同垂直行业的用户的不同UE群组将需要不同级别的安全性保护。相关联安全性功能的安全性策略/规则,例如防火墙中的数据过滤(例如,在核心网的边缘处)可以是不同的并且可以动态改变。因此,建议动态配置用于安全性功能的安全性策略/规则,以便支持对网络攻击的自动保护。
部署在网络切片实例的组成NSSI(网络切片子网实例)中的安全性功能,例如在CNNSSI中或甚至在UPF(用户平面功能)处,不应该被单独管理。相反,每个NSSI中的安全性功能应该了解其他NSSI(例如,AN NSSI、TN(传输网络)NSSI)的安全性状态,以避免不同NSSI之间的不一致。例如,为NSSI部署的防火墙中的数据过滤策略/规则可能与其他组成NSSI的策略/规则不一致或甚至冲突。此外,每个NSSI中的安全性功能的部署和配置应该意识到网络切片的服务概要中的安全性考虑。
因此,本公开是考虑通过从整体观点,例如,关于边缘保护的整体观点,来部署和运行安全性功能(例如,防火墙),以防止在网络切片的NSS域处的网络攻击。例如,以这种方式,经由接口N6对CN NSSI的网络攻击以及对其他NSSI(例如,AN NSSI、TN NSSI)的网络攻击可以被高效地联合防止。
图1示出了网络切片管理和编排的示例性架构,本公开的实施例可以在其中实施。网络切片管理和编排的架构100包括网络切片管理功能(NSMF)120和网络切片子网管理功能(NSSMF)130。NSMF 120在网络切片(NS)层中操作,该层针对与网络切片相关的功能和操作。NSMF120负责网络切片实例(NSI)的管理和编排,从网络切片相关的需求中导出网络切片子网相关的需求;并与NSSMF 130和通信服务管理功能(未示出)通信。例如,如3GPP TS23.501中指示,网络切片(NS)是指逻辑网络,其提供特定的网络能力和网络特性,从而支持网络切片客户的各种服务性质。网络切片实例(NSI)是网络切片的实例。网络切片实例包括一组网络功能实例和形成部署的网络切片所需的资源(例如,计算、存储和联网资源)。
NSMF 120的功能可以分布到多个功能实体中,例如,其包括NS编排124、NS资源建模125、NS实例库存126、NS管理121、NS数据收集122和NS数据分析123。NS编排124可以被配置为从网络切片消费门户110接收对具有某些特性(例如,包括网络切片类型(例如eMBB)、优先级、带宽、延迟、吞吐量、最大UE数量等参数的服务概要)的网络切片分配资源的请求。NS编排124可以将接收到的请求映射到适当的资源模块(例如链式网络切片子网)和网络切片子网需求(例如网络切片概要、网络切片子网类型(例如无线电接入网eMBB(增强型移动宽带)、核心网eMBB)、优先级、带宽、延迟、吞吐量、最大UE数量),以便满足所请求的网络切片服务的需求。NS编排124可以通过从NS实例库存126中检查活动网络切片实例,来决定将针对网络切片的分配资源的该请求分配给现有的网络切片实例,或者是否创建新的网络切片实例。如果没有活动的网络切片实例用于所请求的网络切片服务,那么NS编排124就会知道链接的网络切片子网(例如NSS_a和NSS_b),并且然后将针对网络切片子网的分配资源的请求分开发送给(例如NSS_a和NSS_b的)对应的NSS编排。NS协调124可以从对应的NSS编排(例如NSS_a的NSS编排134)接收网络切片子网实例分配的确认响应,并确认给网络切片消费门户110的网络切片实例的分配。
NS资源建模125可以被配置为存储网络切片资源模型,其描述了网络切片的静态参数和功能部件,包括服务概要、网络切片类型(例如eMBB)、附加系统特征(例如多播、边缘计算)、优先级。NS实例库存126被配置为存储关于可用的网络切片实例的信息。
NS管理121可以被配置为支持网络切片实例的以下操作:激活、监督、性能报告(例如,用于KPI监视)、资源能力规划、和修改。NS数据收集122可以被配置为收集网络数据(例如,服务、网络切片、网络切片子网和/或网络功能相关的数据),以支持改善网络性能和效率,从而适应和支持服务和需求的多样性。NS数据分析123可以被配置为利用所收集的网络数据来执行分析,以便协助和补充管理服务用于最佳的网络性能和服务保证。
NSSMF 130在网络切片子网(NSS)层中操作,该层针对与网络切片子网相关的功能和操作。NSSMF 130负责NSSI的管理和协调,并且与NSMF 120进行通信。例如,如3GPP TS28.530中指示,网络切片子网(NSS)是一组管理功能和所需资源(例如计算、存储和联网资源)的管理方面的表示。网络切片子网实例(NSSI)是指网络切片子网的实例。网络切片可以由几个网络切片子网组成。此类网络切片子网也可以被称为网络切片的组成网络切片子网。网络切片子网是在网络切片子网域上被创建,诸如接入网、传输网和核心网,并且此类网络切片子网由连接的子网组成。域是网络和网络功能的群组,其作为具有共同规则和规程的单位进行管理。NSI通常覆盖多个技术域,其可以包括终端、接入网(AN)、传输网(TN)和核心网(CN),以及托管来自垂直行业的第三方应用的数据中心(DC)域。
NSSMF 130的功能可以分布到多个功能实体中,例如,其可以包括NSS编排134、NSS资源建模135、NSS实例库存136、NSS管理131、NSS数据收集132、和NSS数据分析133。NSS编排134可以被配置为接收对网络切片子网分配资源的请求,并将接收到的请求映射到“NSS资源模块”的适当资源模块(例如,链式下层网络切片子网、被管理的网络功能及其配置参数的列表、虚拟化情况下的网络服务等)。NSS编排134可以进一步被配置为通过从NSS实例库存136中检查活动网络切片子网实例来决定是否将针对网络切片子网的分配资源的请求分配给现有的网络切片子网实例,或者是否创建新的网络切片子网实例。如果没有活动的网络切片子网实例,则NSS编排134向相关功能实体(未示出),诸如NFV-MANO(网络功能虚拟化管理和编排),发送对网络服务的分配资源的请求,以备虚拟化资源将被提供。因此,NSS编排134可以接收网络服务实例分配的确认响应,例如来自NFV-MANO,并且确认网络切片子网实例分配给NSMF 120。
NSS资源建模135可以被配置为存储网络切片子网资源模型,其描述了网络切片子网的静态参数和功能部件,包括网络切片子网概要、网络切片子网类型(例如无线电网络eMBB、核心网eMBB)、附加系统特征(例如多播、边缘计算)、优先级、QoS属性(例如带宽、延迟、订户数量)等。NSS实例库存136可以被配置为存储关于可用网络切片子网实例的信息。
NSS管理131可以被配置为支持网络切片子网实例的以下操作:激活、监督、性能报告(例如用于KPI监视)、资源能力规划和修改。NSS数据收集132可以被配置为收集网络数据(例如,网络切片、网络切片子网、网络服务和/或网络功能相关的数据),以支持改善网络性能和效率,从而适应和支持服务和要求的多样性。NSS数据分析133可以被配置为利用所收集的网络数据来执行分析,以便协助和补充管理服务以用于最佳的网络性能和服务保证。
本公开提出在网络切片层中增强安全性编排(包括策略强制执行)以支持安全性保护相关的策略,例如,在网络切片子网域的边缘处的流量过滤策略。本公开进一步介绍了网络切片子网层中的安全性控制器,以用于协作针对多个NSS域中的网络攻击的防止。图2示出了根据本公开的实施例的为网络切片创建和配置安全性功能实例的示例性过程200。过程200是在为服务准备和创建端到端NSI的阶段期间执行。如操作210所示,可以确定该服务的安全性需求。这些安全性需求可以被定义为服务等级规范的一部分,该规范包括与要由网络切片实例满足的服务等级协议相关联的一组服务等级需求。在示例中,服务的服务概要包括服务的各种需求,例如,数据速度、质量、延迟、安全性等的需求,这些需求用对应的属性指示。服务的安全性需求可以从安全性的属性中确定,例如,可以设置属性参数以指示需要在网络切片的边缘处进行安全性保护。可替代地或另外,服务的安全性需求可以基于服务类型的安全性基线来确定,例如IoT、医疗保健、游戏等。例如,安全性基线可以是根据网络威胁和对应的安全性策略定义的默认安全性控制。作为可替代方案,网络切片的消费者可以在服务概要中设置安全性需求。
至少从服务的安全性需求,可以导出NSI的安全性需求,如220所示。例如,包括数据速度、质量、延迟、安全性等的需求的服务概要,例如与对应属性一起,可以由网络切片层中的管理功能实体(例如NSMF)转化为切片概要(例如,数据速度、质量、延迟、安全性保护需求等)。因此,服务概要中具有安全性属性的安全性需求(例如,在网络切片边缘处的安全性保护)可以被转化为具有安全性保护需求属性的网络切片实例的安全性需求,例如防火墙。
在操作230,选择适当的网络切片资源模块,以准备创建满足导出的安全性需求的NSI。资源模块包括多个NSS,诸如AN(接入网)NSS、TN(传输网)NSS、CN(核心网)NSS,或用于特定功能或服务的其他NSS,诸如网络保护特定的NSS、用于VoIP(互联网协议语音)或IMS(IP多媒体子系统)的NSS。在这方面,可以使用来自服务概要的信息来决定组成NSSI和将要创建的NSI的拓扑结构,这些信息可以包括NSI的安全性需求和NSI的其他种类的需求。在示例中,网络切片资源模块的选择可以进一步基于服务的安全性基线和网络拓扑结构。
在操作240,基于NSI的安全性需求,确定NSI的多个组成NSSI中的每个组成NSSI的安全性策略。在这方面,NSI的安全性需求可以被分解为多个组成NSSI的资源需求,以便导出每个组成NSSI的安全性策略。每个组成NSSI的安全性策略可以反映到NSS服务/切片概要中。每个组成NSSI的安全性策略(例如,一般的数据过滤规则)是从整个NSI的一个方面导出的。因此,每个组成NSSI的那些安全性策略可以相互关联,以在每个NSS域中部署和配置安全性功能,并进一步合作和协作,以便支持整个NSI的安全性需求。此外,支持一个NSI的组成NSSI的安全性策略被确定为确保它们是一致的和完整的。例如,没有必要在每个NSS域(例如,AN NSS、CN NSS、TN NSS)中重复防止/阻止相同的网络攻击。在一个合适的NSS域中为一种网络攻击部署安全性功能就足够了。以这种方式,可以高性能地防止或阻止网络攻击,并且可以减少NSS域上的开销。
有示例来解释如何为切片层中的每个组成NSSI导出安全性策略。根据具有指示网络切片的边缘处的安全性保护的安全性属性的服务概要,网络切片层中的管理功能实体可以将服务概要转化为具有安全性保护需求(例如,防火墙)的属性的切片概要(例如,数据速度、质量、延迟、安全性保护需求等)。然后,管理功能实体可以选择网络切片资源模型,例如,其包括AN NSS、TN NSS和CN NSS,并因此准备创建NSI。例如,每个组成NSSI的所导出安全性策略可以是部署在对应NSS域的边缘处的对应流量过滤功能,如下所示。
·管理功能实体可以定义数据过滤策略以为AN NSS域防止来自IoT设备的DDoS攻击;
·管理功能实体可以定义数据过滤策略以为CN NSS域防止来自互联网的攻击;以及
·管理功能实体可以定义数据过滤策略以为TN NSS域引导流量。
然后,管理功能实体可以请求对应的NSSMF分开创建组成NSSI,如在250所示。例如,NSMF可以向该组成NSSI的每个NSS域的各个NSSMF发送请求,以分配网络资源来创建支持对应安全性策略的NSSI。该请求可以包含NSS相关需求,其包括对应安全性策略。
对于每个组成NSSI,对应的NSS域中的NSSMF可以基于包括对应安全性策略的NSS相关需求来选择适当的NSS网络资源模型,如在260所示。然后,可以创建NSSI以支持对应安全性策略,如在270所示。NSSI可以包括一个或多个安全性功能实例(例如,防火墙)或安全性NSSI(例如,防火墙NSSI),它们根据安全性策略被配置以保护对应的NSS域。在一些实施例中,NSSI或安全性功能由多个网络切片实例共享,或者安全性功能与相同网络切片实例的其他组成NSSI相关联。在此情况下,重要的是检查安全性功能是否对其他相关网络切片或相关NSSI有负面影响。
在一些实施例中,基于包括对应安全性策略的NSS相关需求,NSSMF可以确定重用现有NSSI。然后,NSSMF可以触发更新或修改现有NSSI以满足包括对应安全性策略的NSS相关需求。可以根据安全性策略更新对应安全性功能实例的配置。当更新或修改现有NSSI时,重要的是检查安全性策略是否对服务于其他网络切片或服务的现有NSSI有负面影响。
在一些实施例中,安全性功能实例包括部署在NSS域的边缘处的防火墙。通过每个组成NSSI中的防火墙,可以在所有NSS域的边缘处成功地防止/阻止网络攻击。因此可以在NSI的网络切片域的边缘处防止/阻止网络攻击。
在一些实施例中,可以在NSI或其组成NSSI的边缘处创建和部署分开的安全NSSI,以支持NSI的安全性需求。例如,NSI的安全性需求可以全部转化为安全性NSSI的需求。安全性NSSI可以检测和防止/阻止对整个NSI的网络攻击。该情况的细节将在后面参考图5和图6描述。
现在参考图3,其示出了调整用于网络切片实例的安全性功能实例的示例性过程。在端到端NSI操作的阶段期间,安全性策略/规则由每个NSS域中的安全性功能实例强制执行。例如,防火墙可以在每个NSS域的边缘处强制执行对应的安全性策略/规则。如在310所示,网络切片的一个组成NSSI中的安全性功能实例可以由NSS层中的管理功能实体(例如安全性控制器或对应的NSSMF)监视。
在一些实施例中,管理功能实体可以检测安全性功能实例的性能和/或能力变化,如在320所示。当检测到性能和/或能力变化时,管理功能实体可以使得根据NSSI的性能或能力变化来向外扩展/向内扩展安全性功能,如在330所示。例如,当数据速率突然增加时,可以检测到NSS域的边缘处的防火墙的能力不足。管理功能实体可以使得该NSS域中的NSSMF重新分配网络资源,并在NSS域的边缘处部署额外的防火墙。
在一些实施例中,管理功能实体可以如340所示在NSI的运行中基于安全性数据分析来检测新的安全性事件,并在350动态和自动地响应新安全性事件。更具体地说,在示例中,响应于对新安全性事件的检测,可以更新现有安全性功能的配置以处理新的安全性事件,如在351所示。例如,当检测到新网络攻击时,NSSMF可以检查其安全性策略,并发现安全性功能(例如,防火墙)的安全性策略不能防止检测到的新网络攻击。于是,NSSMF可以用新安全性策略来配置已部署的安全性功能。之后,安全性功能可以执行最新配置的策略以防止新网络攻击。
在另一个示例中,响应于对新安全性事件的检测,NSSMF可以被触发以部署新安全性功能(例如,防火墙)来处理新安全性事件,如在352所示。例如,如果检测到新网络攻击,并且如果现有的防火墙不能阻止新网络攻击,可以部署新的增强型防火墙。
在另一个示例中,响应于对新安全性事件的检测,NSS层中的管理功能实体可以向NS层发送警报或报告,或者将新安全性事件升级到NS层,如在353所示,例如,在它不能处置新安全性事件的情况下。作为响应,NS层中的管理功能实体可以触发对NSI的组成NSSI的更新,如在360所示。在这方面,可以调整用于组成NSSI的安全性策略,以协作地处理新安全性事件。例如,报告新网络攻击的NSSI和/或NSI的其他相关联NSSI的安全性策略可以被更新。在示例中,可以更新现有的NSSI或可以创建新NSSI以防止/阻止新网络攻击。对NSI的组成NSSI的更新可以参考操作240-270执行。
现在参考图4,其示出了根据本公开的实施例的示例性系统400,其中安全性功能实例被配置在组成NSSI的边缘处。用于在NSS域的边缘处创建和配置安全性功能实例以防止网络攻击的过程可以如下描述。
在第一阶段中,NSMF 420接收来自网络切片消费门户410的请求,从而为服务创建网络切片实例。例如,该服务可以是IoT服务、游戏、医疗保健等。该请求可以包含服务概要,其指定了服务的需求(诸如,数据速度、质量、延迟、安全等)和对应属性。特别地,服务概要包含服务的安全性需求与对应的安全性属性。在示例中,安全性属性指示在网络切片的边缘处需要安全性保护。在一些实施例中,安全性需求可以由网络切片的消费者提出。例如,安全性需求可以通过在消费者和网络切片的提供商/运营商之间的协商来确定。在一些实施例中,安全性需求可以由NSMF 420从请求服务的服务类型(例如,IoT、医疗保健、游戏)的安全基线(例如,根据网络威胁和对应安全性策略定义的安全性控制)获得。
服务概要(例如,数据速度、质量、延迟、安全性,等等)可以被转移到切片概要(例如,数据速度、质量、延迟、安全性需求,等等)。在一些实施例中,管理功能实体,诸如安全编排(SecO)421可以被布置在网络切片层中,以将服务概要中定义的服务级安全性需求转移到切片级安全性需求中,并继而在端到端NSI的切片概要中保持服务概要为切片级安全性需求。如图4所示,SecO 421可以被分开部署在NSMF 420外部。然而,应该理解的是,SecO421是逻辑功能,并且可以作为单个部件部署在NSMF 420内部,或分布在NSMF 420中的一个或多个现有部件中。在示例中,NSMF 420调用SecO 421以将服务概要的安全性属性(例如,网络切片边缘处的安全性保护)转化为切片概要的安全性需求(例如,防火墙)。
接下来,在第二阶段中,基于网络切片网络资源模型(例如,AN NSS、TN NSS和CNNSS)和切片概要(例如,数据速度、质量、延迟、安全性求等),NSMF 420为AN NSS、TN NSS和CN NSS向相应NSSMF(例如,AN NSSMF 432、TN NSSMF 433和CN NSSMF 434)分开地发送请求,以创建相应NSSI(例如,AN NSSI 442、TN NSSI 443和CN NSSI 444),它们在各自的NSS域(AN NSS域、TN NSS域和CN NSS域)的边缘处具有保护,以防止网络攻击。请求可以包含相应NSS的安全性策略,这些策略从切片概要中定义的安全性需求导出。例如,SecO 421可以在对应的NSS域的边缘处为相应NSSI定义数据过滤策略,如下所示:
·AN NSS域:DDoS(分布式拒绝服务)保护、电信级NAT(网络地址转换)、QoS(服务质量)策略强制执行、L7检查、流量引导等;
·TN NSS域:流量引导、QoS策略强制执行等;以及
·CN NSS域:流量引导、应用层网关、电信级NAT、DDoS保护、L7检查、QoS策略强制执行等。
在一些实施例中,安全性功能可以通过专用的安全性(例如,防火墙)NSS来部署。可以创建专用的安全性NSSI以防止在网络切片实例的边缘处的网络攻击。
在第三阶段中,在每个NSS域中,对应的NSSMF可以基于接收到的请求中的NSS网络资源模型和安全性策略来创建NSSI,其中在NSSI域的边缘处部署安全性功能(例如,防火墙)。在一些实施例中,可以在网络切片子网层中实施管理功能实体(诸如安全性控制器(SecC)),以管理或配置每个NSS域中的安全性功能。如图4所示,SecC 431(诸如防火墙管理器)可以作为分开的功能实体部署在每个NSS域外部,并可以控制多个NSS域中的安全性功能。应该注意的是,SecC 431是逻辑功能,其可以作为独立的功能实体部署在NSS层处,或分开部署在每个NSS域处,或作为各自的NSSMF的一部分部署。
在示例中,在防火墙管理器431的协助下,AN NSSMF 432可以创建AN NSSI 442,其中在AN NSSI 442的域的边缘处部署安全性功能(例如,防火墙451和防火墙452)。可以触发防火墙管理器431,以根据为AN NSSI442定义的安全性策略,为防火墙451和防火墙452配置防火墙策略。例如,防火墙451可以被配置为强制执行DDoS保护、电信级NAT、QoS策略强制执行和流量引导;以及防火墙452可以被配置为执行电信级NAT。
在防火墙管理器431的协助下,TN NSSMF 433可以创建TN NSSI 443,其中以相同的方式在TN NSS域的边缘处部署和配置安全性功能(例如,防火墙453和防火墙454)。例如,防火墙453和防火墙454可以被配置为根据为TN NSSI 443定义的安全性策略执行流量引导和QoS策略强制执行。类似地,CN NSSMF 434可以创建CN NSSI 444,其中在CN NSS域的边缘处部署和配置安全性功能(例如,防火墙455和防火墙456)。根据为CN NSSI 444定义的安全性策略,防火墙455可以被配置为执行电信级NAT,并且防火墙456可以被配置为执行例如流量引导、应用层网关、电信级NAT、DDoS保护、L7检查、QoS策略强制执行、IPS和AV。
当NSSMF为网络切片创建组成NSSI,其中部署安全性功能(例如,在NSSI域的边缘处的防火墙)时,防火墙管理器431可以检查以确认它不会对其他相关网络切片或其他相关NSSI造成任何负面影响。在这方面,防火墙管理器431可以维持每个网络切片实例的安全性策略(例如,防火墙策略),并检查组成NSSI的安全性策略(例如,应用于防火墙的数据过滤策略/规则)是与应用于共享NSSI的其他网络切片实例(例如用于其他网络切片服务)的安全性策略(例如,数据过滤策略/规则)一致还是冲突。可替代地或附加地,防火墙管理器431可以检查组成NSSI的安全性策略是与应用于相同网络切片实例的其他组成NSSI的安全性策略一致还是冲突。例如,如果一个NSSI的数据过滤策略/规则与其他相关NSI和/或其他相关NSSI的策略/规则不一致或冲突,则防火墙管理器431可以部署专门用于该新创建的NSSI的物理安全性功能(例如防火墙)或虚拟化安全性功能(例如虚拟防火墙)。以这种方式,可以避免对其他网络切片实例或其他NSSI的负面影响。
然后,所请求的NSI 430可以被创建为具有能力,以防止针对NS(网络切片)间通信和NS内通信的网络攻击,以及有效地防止在网络切片的边缘处(例如,CN NSS域和互联网460之间的接口N6)的网络攻击。
如图4,安全性策略可以由在AN NSSI 442、TN NSSI 443和CN NSSI444的域的边缘处运行的六个防火墙强制执行,以防止在端到端NSI 430的操作期间的网络攻击。为了监视该NSI 430的安全性状态,可以收集和分析安全性数据。基于安全性数据分析,可以例如通过使用正常技术来检测一些新网络攻击。基于安全性数据分析来检测新网络攻击的细节不是本公开的重点。
当在NSS域的边缘处检测到新网络攻击时,可以通知该NSS域的NSSMF采取一些行动以防止该新网络攻击。例如,当通过图4中的CN NSSI 444和互联网460之间的数据流检测到新的攻击时,CN NSSMF 434将被通知采取如下一些行动。
在一些实施例中,防火墙管理器431或CN NSS的逻辑防火墙管理功能,可以检查应用于防火墙456的防火墙策略,并发现该防火墙策略不能防止检测到的新网络攻击。然后,防火墙管理器431或CN NSS的逻辑防火墙管理功能可以用新的或额外的防火墙策略重新配置防火墙456。之后,防火墙456强制执行最新配置的策略以防止新网络攻击。
在一些实施例中,防火墙管理器431或CN NSS的逻辑防火墙管理功能可以检查应用于防火墙456的防火墙策略,并且发现现有的防火墙策略不能防止检测到的新网络攻击。于是,防火墙管理器431或CN NSS的逻辑防火墙管理器功能可以触发部署新的防火墙以减轻风险。在一些情况下,防火墙管理器431或CN NSS的逻辑防火墙管理功能不知道如何防止新网络攻击。此时,防火墙管理器431或CN NSS的逻辑功能防火墙管理器可以向SecO 421发送警报。SecO 421可能知道如何防止新网络攻击,并且然后触发NSMF 420重新分配网络资源并更新相关联NSSI的安全性策略以配合防火墙456。例如,相关联NSSI可以是TN NSSI443或专门的安全NSSI。这意味着NSI 430的组成NSSI将被更新。否则,如果SecO 421可能不知道如何防止新网络攻击,则SecO 421可以向更高级别的管理员发送警报。这意味着NSMF420将更新NSI 430。
在一些实施例中,防火墙管理器431或CN NSS的逻辑防火墙管理功能可能发现,防火墙456中的现有防火墙策略足以防止CN NSSI域的边缘处的网络攻击。然而,在CN NSSI域的边缘处,数据速率突然增加,并且防火墙456的能力不足以进行数据过滤。此时,防火墙管理器431或CN NSS的逻辑防火墙管理功能可以触发CN NSSMF 434在CN NSSI域的边缘处部署额外的防火墙,并与防火墙456配合以进行数据过滤。这意味着CN NSSI 444被更新。
现在参考图5,其示出了根据本公开的实施例的示例性系统,其中分开的安全性功能实例被配置在网络切片实例的边缘处。在某些情况下,可以假定NSI的组成NSSI的各个域之间的通信是安全的。于是,可以仅在NSI的边缘处部署分开的安全性功能实例。
例如,企业可以为其公司服务请求分开的NSI 530。NSI 530可以由AN NSSI 542、TN NSSI 543和CN NSSI 544组成。应该注意的是,NSI 530可以由其他NSSI组合组成。例如,NSI 530可以由TN NSSI和CN TSSI组成。在示例中,可以假设AN NSS域和TN NSS域之间的通信,以及TN NSS域和CN NSS域之间的通信是安全的。因此,没有必要在AN NSSI 542和TNNSSI 543之间的边缘处,以及在TN NSSI 543和CN NSSI 544之间的边缘处部署安全性功能。还可以假设基站部署在办公园区内,并且无线电接入是安全的。因此,没有必要在ANNSSI 542和UE之间的AN NSSI542的边缘处部署安全性功能。然而,当NSI 530的用户访问互联网560或服务570和580的网络时,CN NSSI域与互联网560或用于服务570和580的网络之间的通信是不安全的。因此,在NSI 530的该边缘处防止网络攻击是非常重要的。
如图5所示,可以在NSI 530的边缘处创建和部署分开的安全性NSSI545,以自动防止来自不同服务和不同网络层的网络攻击。在准备和创建SEC NSSI 545期间,NSMF 520可以请求SEC NSSMF 535分配SEC NSSI545,以根据服务/切片概要中包括的安全性需求来保护NSI 530的互联网/服务接口。SEC NSSMF 535可以创建或重用SEC NSSI 545以满足从NSMF 520接收到的NSI 530的安全性需求。在示例中,SEC NSSMF 535可以将安全性需求分解为安全性功能和各个安全性功能的策略。然后,安全性功能可以根据对应策略而被部署和配置。例如,可以在SEC NSSMF535中部署防火墙管理器或逻辑防火墙管理功能,以将需求分解为防火墙和防火墙的策略,然后部署防火墙并在防火墙上配置对应策略。SEC NSSI545可以在AN NSSI 542、TN NSSI 543和CN NSSI 544的分配之前被分配。
在运行时间期间,SEC NSSI 545中的安全性功能实例可以基于对应安全性策略进行入口/出口数据,并报告安全性状态和相关安全性事件。SEC NSSMF 535可以触发以更新或扩展安全性功能,例如基于安全性需求、网络能力或安全性态势等的变化。
SEC NSS可以具有防止来自不同服务和不同网络层的网络攻击的能力,如图6所示。例如,SEC NSSMF 535的防火墙管理器可以为服务A部署和配置安全性功能“安全性网关”和“防火墙”,为服务B部署和配置另一个安全性功能“防火墙”,以及为服务C(例如,互联网服务)部署和配置安全性功能“WAF(网络应用防火墙)”。SEC NSSI 545可以通过基于对应标识符(例如服务标识符、用户标识符、网络切片标识符和/或网络切片子网标识符等)识别数据,来通过对应的安全性功能过滤不同服务或网络层的数据。
现在参考图7,其示出了根据本公开的实施例的方法的流程图。该方法可以在网络切片层处执行,例如由如图4和图5所示的SecO 421、NSMF420、SecO 521、NSMF 520执行。
如在框710所示,过程700继续进行以获得网络切片实例的安全性需求。在框720,过程700继续进行,以基于网络切片实例的安全性需求确定将要应用于网络切片实例的多个组成网络切片子网实例中的每个组成网络切片子网实例的各个安全性策略。网络切片实例的安全性需求可以被分解为与多个组成网络切片子网实例中的每个组成网络切片子网实例对应的分开的安全性需求。于是,可以基于与多个组成网络切片子网实例中的每个组成网络切片子网实例对应的分开的安全性需求来导出各个安全性策略。在框730,过程700继续进行,以使得多个组成网络切片子网实例中的每个组成网络切片子网实例具有根据各个确定的安全性策略而配置的一个或多个安全性功能实例。因此,可以从整体观点,即从关于网络切片实例的保护的整体观点,来部署每个组成网络切片子网实例的安全性策略。
在一些实施例中,过程700在网络切片实例的创建期间执行。过程700可以进一步包括:接收为服务分配网络切片实例的请求;确定该服务的安全性需求;以及根据该服务的安全性需求来确定该网络切片实例的安全性需求。可以基于该网络切片实例的安全性需求为网络切片实例选择网络切片网络资源模块。根据所选择的网络切片网络资源模块,创建新的网络切片实例或重用现有的网络切片实例。网络切片网络资源模块定义网络切片实例的多个组成网络切片子网。根据所选择的网络切片网络资源模块,可以创建新的网络切片实例,或可以为将现有的网络切片实例重用于该服务。
过程700可以进一步包括:发送对应请求,用以为网络切片实例分配多个组成网络切片子网实例。对应请求中的每个可以包含对应组成网络切片子网实例各自的安全性策略。在示例中,例如,可以向相应NSSMF发送请求,以创建或重用多个组成网络切片子网实例中的至少一个网络切片子网实例。该请求可以包含为至少一个网络切片子网实例确定的各自的安全性策略。
在一些实施例中,过程700可以在网络切片实例的操作期间执行。在示例中,过程700可以进一步包括:更新网络切片实例的安全性需求和进一步更新网络切片实例。然后,可以发送请求以更新多个组成网络切片子网实例的至少一个网络切片子网实例。该请求包含为至少一个网络切片子网实例确定的安全性策略。
在另一个示例中,过程700可以进一步包括:接收指示多个组成网络切片子网实例中的一个组成网络切片子网实例中的安全性事件的报告或警报;以及基于安全性事件更新网络切片实例的安全性需求。可以基于安全性事件来更新多个组成网络切片子网实例中的至少一个网络切片子网实例的安全性策略。然后,过程700可以使得以根据更新的安全性策略配置的一个或多个安全性功能实例更新至少一个网络切片子网实例。可以将更新至少一个网络切片子网实例的请求发送给例如至少一个网络切片子网实例的相应NSSMF。该请求可以包含为至少一个网络切片子网实例确定的安全性策略。将要更新的网络切片子网实例可以与报告安全性事件的网络切片子网实例不同。
在一些实施例中,安全性功能实例可以部署在各个网络切片子网实例的边缘处。在一些实施例中,安全网络切片子网实例被部署在网络切片实例的边缘处以支持网络切片实例的安全性需求。过程700可以进一步包括:发送请求以创建安全性网络切片子网实例。该请求可以包含将要应用到安全网络切片子网实例的安全性策略。安全性策略根据网络切片实例的安全性需求来确定。
图8是描绘根据本公开的实施例的方法的流程图。该方法可以在网络切片子网层处执行,例如,由如图4、图5和图6所示的SecC 431、531和防火墙管理器执行。
如在框810所示,过程800继续进行以接收为网络切片实例分配组成网络切片子网实例的请求。该请求包含将要应用于组成网络切片子网实例的安全性策略。在框820,过程800继续进行以使得组成网络切片子网实例具有根据该安全性策略配置的一个或多个安全性功能实例。安该全性策略是基于网络切片实例的安全性需求而确定的。
过程800可以进一步包括:检查该安全性策略是与共享组成网络切片子网实例的另一个网络切片实例的安全性策略一致还是冲突,如在框830所示。可替代地或附加地,过程800可以进一步包括:检查该安全性策略是与应用于相同网络切片实例的另一个组成网络切片子网实例的安全性策略一致还是冲突。如果安全性策略与另一个网络切片实例或另一个组成网络切片子网实例的安全性策略一致,则可以确定可以部署该安全性功能实例。
在一些实施例中,过程800可以进一步包括:基于安全性策略为组成网络切片子网实例选择网络切片子网网络资源模块。网络切片子网网络资源模块定义一个或多个安全性功能。请求可以是创建新的网络切片子网实例的请求,或者重用现有的网络切片子网实例的请求。在该示例中,过程800可以进一步包括使得根据所选择的NSS网络资源模块,创建新的网络切片子网实例或重用现有的网络切片子网实例。
在一些实施例中,过程800可以进一步包括:在网络切片实例的操作期间监视安全性功能实例;确定该安全性功能实例的性能或能力变化;以及根据该性能或能力变化向外扩展或向内扩展该安全性功能实例的能力。
在一些实施例中,过程800可以进一步包括:在网络切片实例的操作期间收集组成网络切片子网实例的安全性相关数据;以及基于对安全性相关数据的分析来确定安全性事件。可以根据安全性事件确定新的安全性策略,以配置安全性功能实例和/或新的安全性功能实例。在一些实施例中,指示安全性事件的报告或警报可以被发送到网络切片层,例如,以触发网络切片实例的一个或多个组成网络切片实例的更新。
图9示出了根据本公开的实施例的装置的简化框图。如图9所示,装置900包括处理器904、存储器905以及与处理器904可操作地通信的收发器901。收发器901包括至少一个发射器902和至少一个接收器903。虽然图9中只示出了一个处理器,但处理器904可以包括多个处理器或多核处理器。此外,处理器904还可以包括缓存以促进处理操作。对于已关于图2、图3、图7和8描述的一些相同或类似的部分,为了简洁起见,这里省略了这些部分的描述。
计算机可执行指令可以加载在存储器905中,并且当由处理器904执行时,该指令使装置900实施上述方法。
此外,本公开的一个方面可以利用在计算设备上运行的软件。此种实施方式可以采用例如处理器、存储器和例如由显示器和键盘形成的输入/输出接口。本文中所用的术语“处理器”意图包括任何处理设备,诸如,例如,包括CPU(中央处理单元)和/或其他形式的处理电路系统的处理设备。此外,术语“处理器”可以指一个以上的单独处理器。术语“存储器”意图包括与处理器或CPU相关联的存储器,诸如,例如,随机存取存储器(RAM)、只读存储器(ROM)、固定存储器装置(例如,硬盘驱动器)、可移除存储器设备(例如,软盘)、闪存等。处理器、存储器和输入/输出接口(诸如显示器和键盘)可以例如,经由作为数据处理单元的一部分的总线互连。也可以向网络接口(诸如网卡,其可以被设置为与计算机网络相接口),以及向媒体接口(诸如软盘或CD-ROM驱动器,其可以设置为与媒体相接口)提供例如经由总线的适当的互连。
因此,包括用于执行如本文中描述的本公开的方法的指令或代码的计算机软件,可以存储在相关联的存储设备(例如,ROM、固定或可移除存储器)中,并且当准备利用时,由CPU部分或全部加载(例如,到RAM中)并实施。此种软件可以包括但不限于固件、常驻软件、微代码等。
如前所述,本公开的各方面可以采取计算机程序产品的形式,该计算机程序产品被具体化在其上具体化有计算机可读程序代码的计算机可读介质中。而且,可以利用计算机可读介质的任何组合。计算机可读介质可以是计算机可读信号介质或计算机可读存储介质。计算机可读存储介质可以是例如但不限于,电子、磁、光、电磁、红外或半导体系统、装置或设备,或上述的任何适当组合。计算机可读存储介质的更具体的示例(非详尽列表)包括以下内容:具有一条或多条导线的电连接、便携式计算机软盘、硬盘、RAM、ROM、可擦除可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑光盘只读存储器(CD-ROM)、光存储设备、磁存储设备或上述的任何适当组合。在本文档的上下文中,计算机可读存储介质可以是可以包含或存储供指令执行系统、装置或设备使用或与其相关的程序的任何有形介质。
用于执行本发明的各方面的操作的计算机程序代码可以以至少一种编程语言的任何组合来编写,包括面向对象的编程语言,诸如Java、Smalltalk、C++等,以及传统的程序性编程语言,诸如“C”编程语言或类似编程语言。程序代码可以完全在用户的计算机上执行、部分在用户的计算机上执行、作为独立的软件包执行、部分在用户的计算机上执行并且部分在远程计算机上执行,或完全在远程计算机或服务器上执行。
附图中的流程图和框图示出了根据本公开的各种实施例的系统、方法和计算机程序产品的可能的实施方式的架构、功能和操作。就这一点而言,流程图或框图中的每个方框可以表示代码的模块、部件、片段或部分,其包括用于实施(多个)指定的逻辑功能的至少一个可执行指令。还应该注意的是,在一些可替代实施方式中,方框中指出的功能可以不按附图中指出的顺序发生。例如,取决于所涉及的功能,实际上可以基本上同时执行连续示出的两个方框,或者有时可以以相反的顺序执行方框。还应注意的是,框图和/或流程图的每个方框以及框图和/或流程图中的方框的组合可以由执行指定功能或动作或执行特定目的的硬件和计算机指令的组合的基于特定目的硬件的系统来实施。
在任何情况下,应该理解本公开中说明的部件可以以各种形式的硬件、软件或其组合来实施,例如,(多个)专用集成电路(ASIC)、功能电路系统、具有相关联存储器的适当编程的通用数字计算机等。鉴于本文中提供的本公开的教导,相关技术领域的普通技术人员将能够设想本公开的部件的其他实施方式。
本文中使用的术语仅用于描述特别实施例的目的,并且不意图限制本公开。如本文所用,单数形式“一个/一种(a、an)”和“所述(the)”意图也包括复数形式,除非上下文另有清楚指示。将进一步理解,术语“包括(comprises)”、“包含”和/或“包括(comprising)”,当在本说明书中使用时,指定存在所陈述的特征、整数、步骤、操作、元件和/或部件,但不排除存在或添加另一个特征、整数、步骤、操作、元件、部件和/或其群组。术语“基于”应理解为“至少部分基于”。术语“一个实施例”和“实施例”应理解为“至少一个实施例”。术语“另一个实施例”应理解为“至少一个其他实施例”。其他明确和隐含的定义可包括在下面。
对各种实施例的描述是为了说明的目的而提出的,但并不意图详尽无遗或限于所公开的实施例。对于本领域普通技术人员来说,在不偏离所描述的实施例的范围和精神的情况下,许多修改和变化将是显而易见的。
Claims (39)
1.一种方法,包括:
获得网络切片实例的安全性需求;
基于所述网络切片实例的所述安全性需求,确定将要应用于所述网络切片实例的多个组成网络切片子网实例中的每个组成网络切片子网实例的各个安全性策略;以及
使得所述多个组成网络切片子网实例中的每个组成网络切片子网实例被提供根据各个确定的安全性策略而配置的一个或多个安全性功能实例。
2.根据权利要求1所述的方法,进一步包括:
将所述网络切片实例的所述安全性需求分解为与所述多个组成网络切片子网实例中的每个组成网络切片子网实例对应的分开的安全性需求,
其中确定所述各个安全性策略包括:基于与所述多个组成网络切片子网实例中的每个组成网络切片子网实例对应的分开的安全性需求,来导出所述各个安全性策略。
3.根据权利要求1所述的方法,进一步包括:
接收用于为服务分配所述网络切片实例的请求;
确定所述服务的安全性需求;以及
根据所述服务的所述安全性需求来确定所述网络切片实例的所述安全性需求。
4.根据权利要求3所述的方法,进一步包括:
基于所述网络切片实例的所述安全性需求,为所述网络切片实例选择网络切片网络资源模块,所述网络切片网络资源模块定义所述网络切片实例的多个组成网络切片子网。
5.根据权利要求1至4中任一项所述的方法,进一步包括:
发送对应请求,用以为所述网络切片实例分配所述多个组成网络切片子网实例,其中所述对应请求中的每个包含对应组成网络切片子网实例各自的安全性策略。
6.根据权利要求1所述的方法,进一步包括:
接收指示在所述多个组成网络切片子网实例中的一个组成网络切片子网实例中的安全性事件的报告或警报;以及
基于所述安全性事件更新所述多个组成网络切片子网实例中的至少一个网络切片子网实例的安全性策略;以及
使得所述至少一个网络切片子网实例被更新,以便根据所更新的安全性策略被提供新的安全性功能实例或重新配置的现有安全性功能实例。
7.根据权利要求1至6中任一项所述的方法,其中,所述一个或多个安全性功能实例包括将要被部署在各个网络切片子网实例的边缘处的安全性功能实例。
8.根据权利要求1所述的方法,进一步包括:
发送请求以在所述网络切片实例的边缘处创建安全性网络切片子网实例,其中所述请求包含根据所述网络切片实例的所述安全性需求而确定的安全性策略。
9.根据权利要求1至8中任一项所述的方法,其中,所述一个或多个安全性功能实例包括防火墙。
10.根据权利要求1至9中任一项所述的方法,其中,所述方法在网络切片层中执行。
11.一种方法,包括:
接收为网络切片实例分配组成网络切片子网实例的请求,其中所述请求包含将要应用于所述组成网络切片子网实例的安全性策略;以及
使得所述组成网络切片子网实例被提供根据所述安全性策略而配置的一个或多个安全性功能实例,
其中,所述安全性策略是基于所述网络切片实例的安全性需求而确定的。
12.根据权利要求11所述的方法,进一步包括:
检查所述安全性策略是与共享所述组成网络切片子网实例的另一个网络切片实例的安全性策略一致还是冲突。
13.根据权利要求11或12所述的方法,进一步包括:
检查所述安全性策略是与应用于相同网络切片实例的另一个组成网络切片子网实例的安全性策略一致还是冲突。
14.根据权利要求11所述的方法,进一步包括:
基于所述安全性策略为所述组成网络切片子网实例选择网络切片子网网络资源模块,所述网络切片子网网络资源模块定义了一个或多个安全性功能。
15.根据权利要求11所述的方法,进一步包括:
在所述网络切片实例的操作期间监视所述安全性功能实例;
确定所述安全性功能实例的性能或能力变化;以及
根据所述性能或能力变化向内扩展或向外扩展所述安全性功能实例的能力。
16.根据权利要求11所述的方法,进一步包括:
在所述网络切片实例的操作期间收集所述组成网络切片子网实例的安全性相关数据;
基于对所述安全性相关数据的分析来确定安全性事件;以及
从所述安全性事件确定新的安全性策略,以便根据所述新的安全性策略配置所述安全性功能实例和/或创建一个或多个新的安全性功能实例。
17.根据权利要求16所述的方法,进一步包括:
向网络切片层发送指示所述安全性事件的报告或警报。
18.根据权利要求11所述的方法,其中,所述请求是用以更新所述组成网络切片子网实例的请求,其中所述响应包含将要应用于所述组成网络切片子网示例的更新的安全性策略。
19.根据权利要求11至18中任一项所述的方法,其中,所述一个或多个安全性功能包括将要部署在各个网络切片子网实例的边缘处的安全性功能实例。
20.根据权利要求11至19中任一项所述的方法,其中,所述一个或多个安全性功能实例包括防火墙。
21.根据权利要求11至20中任一项所述的方法,其中,所述方法在网络切片子网层中执行。
22.一种装置,包括:
至少一个处理器;
包括计算机程序代码的至少一个存储器,所述存储器和所述计算机程序代码被配置为与所述至少一个处理器一起工作,使得所述装置:
获得网络切片实例的安全性需求;
基于所述网络切片实例的所述安全性需求,确定将要应用于所述网络切片实例的多个组成网络切片子网实例中的每个组成网络切片子网实例的各个安全性策略;以及
使得所述多个组成网络切片子网实例中的每个组成网络切片子网实例被提供根据各个确定的安全性策略而配置的一个或多个安全性功能实例。
23.根据权利要求22所述的装置,其中,所述存储器和所述计算机程序代码被配置为与所述处理器一起,进一步使得所述装置,
将所述网络切片实例的所述安全性要求分解为与所述多个组成网络切片子网实例中的每个组成网络切片子网实例对应的分开的安全性需求,
其中通过基于与所述多个组成网络切片子网实例中的每个组成网络切片子网实例对应的所述分开的安全性需求来导出所述各个安全性策略,确定所述各个安全性策略。
24.根据权利要求22所述的装置,其中,所述存储器和所述计算机程序代码被配置为与所述处理器一起,进一步使得所述装置,
接收用于为服务分配所述网络切片实例的请求;
确定所述服务的安全性需求;以及
根据所述服务的所述安全性需求来确定所述网络切片实例的所述安全性需求。
25.根据权利要求24所述的装置,其中,所述存储器和所述计算机程序代码被配置为与所述处理器一起,进一步使得所述装置,
基于所述网络切片实例的所述安全性需求,为所述网络切片实例选择网络切片网络资源模块,所述网络切片网络资源模块定义了所述网络切片实例的多个组成网络切片子网。
26.根据权利要求22至25中任一项所述的装置,其中,所述存储器和所述计算机程序代码被配置为与所述处理器一起,进一步使得所述装置,
发送对应请求,用以为所述网络切片实例分配所述多个组成网络切片子网实例,其中所述对应请求中的每个包含对应组成网络切片子网实例各自的安全性策略。
27.根据权利要求26所述的装置,其中,所述存储器和所述计算机程序代码被配置为与所述处理器一起,进一步使得所述装置,
接收指示在所述多个组成网络切片子网实例中的一个组成网络切片子网实例中的安全性事件的报告或警报;
基于所述安全性事件更新所述多个组成网络切片子网实例中的至少一个网络切片子网实例的安全性策略;以及
使得所述至少一个网络切片子网实例被更新,以便根据所更新的安全性策略被提供新的安全性功能实例或重新配置的现有安全性功能实例。
28.根据权利要求22至27中任一项所述的装置,其中,所述一个或多个安全性功能实例包括将要被部署在各个网络切片子网实例的边缘处的安全性功能实例。
29.根据权利要求22所述的装置,其中,所述存储器和所述计算机程序代码被配置为与所述处理器一起,进一步使得所述装置,
发送请求以在所述网络切片实例的所述边缘处创建安全性网络切片子网实例,其中所述请求包含根据所述网络切片实例的所述安全性需求而确定的安全性策略。
30.根据权利要求22至29中任一项所述的装置,其中,所述安全性功能实例包括防火墙。
31.一种装置,包括:
至少一个处理器;
包括计算机程序代码的至少一个存储器,所述存储器和所述计算机程序代码被配置为与所述至少一个处理器一起工作,使得所述装置:
接收为网络切片实例分配组成网络切片子网实例的请求,其中所述请求包含将要应用于所述组成网络切片子网实例的安全性策略;以及
使得所述组成网络切片子网实例被提供根据所述安全性策略而配置的一个或多个安全性功能实例,
其中,所述安全性策略是基于所述网络切片实例的安全性需求而确定的。
32.根据权利要求31所述的装置,其中,所述存储器和所述计算机程序代码被配置为与所述处理器一起,进一步使得所述装置,
检查所述安全性策略是与共享所述组成网络切片子网实例的另一个网络切片实例的安全性策略一致还是冲突。
33.根据权利要求31或32所述的装置,其中,所述存储器和所述计算机程序代码被配置为与所述处理器一起,进一步使得所述装置,
检查所述安全性策略是与应用于相同网络切片实例的另一个组成网络切片子网实例的安全性策略一致还是冲突。
34.根据权利要求31所述的装置,其中,所述存储器和所述计算机程序代码被配置为与所述处理器一起,进一步使所述装置,
基于所述安全性策略为所述组成网络切片子网实例选择网络切片子网网络资源模块,所述网络切片子网网络资源模块定义了一个或多个安全性功能。
35.根据权利要求31所述的装置,其中,所述存储器和所述计算机程序代码被配置为与所述处理器一起,进一步使得所述装置,
在所述网络切片实例的操作期间监视所述安全性功能实例;
确定所述安全性功能实例的性能或能力变化;以及
根据所述性能或能力变化向内扩展或向外扩展所述安全性功能实例的能力。
36.根据权利要求31所述的装置,其中,所述存储器和所述计算机程序代码被配置为与所述处理器一起,进一步使所述装置,
在所述网络切片实例的操作期间收集所述组成网络切片子网实例的安全性相关数据;
基于对所述安全性相关数据的分析来确定安全性事件;以及
从所述安全性事件确定新的安全性策略,以便根据所述新的安全性策略配置所述安全性功能实例和/或创建一个或多个新的安全性功能实例。
37.根据权利要求36所述的装置,其中,所述存储器和所述计算机程序代码被配置为与所述处理器一起,进一步使得所述装置,
向网络切片层发送指示所述安全性事件的报告或警报。
38.一种计算机可读存储介质,其上存储有指令,当由至少一个处理器执行所述指令时,所述指令使所述至少一个处理器执行根据权利要求1至21中任一项所述的方法。
39.一种包括指令的计算机程序产品,当由至少一个处理器执行时所述指令,所述指令使所述至少一个处理器执行根据权利要求1至21中任一项所述的方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2020/088792 WO2021223103A1 (en) | 2020-05-06 | 2020-05-06 | Method and apparatus for preventing network attacks in a network slice |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115812317A true CN115812317A (zh) | 2023-03-17 |
Family
ID=78468563
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080102713.2A Pending CN115812317A (zh) | 2020-05-06 | 2020-05-06 | 用于防止网络切片中的网络攻击的方法和装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20230179638A1 (zh) |
| EP (1) | EP4147419A4 (zh) |
| CN (1) | CN115812317A (zh) |
| WO (1) | WO2021223103A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220263722A1 (en) * | 2021-02-17 | 2022-08-18 | At&T Intellectual Property I, L.P. | Apparatuses and methods for facilitating automated interdomain communications analytics automation functionality and profiling |
| US20230132095A1 (en) * | 2021-10-26 | 2023-04-27 | Dell Products, Lp | System and method for network-assisted and self-adjusting power and security control for wireless links |
| CN114363052B (zh) * | 2021-12-31 | 2022-11-18 | 北京海泰方圆科技股份有限公司 | 一种网络切片中安全策略的配置方法、装置、设备及介质 |
| US11903044B2 (en) * | 2022-04-04 | 2024-02-13 | Verizon Patent And Licensing Inc. | Systems and methods for network slice traffic identification using dynamic network addressing |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108632848A (zh) * | 2017-03-20 | 2018-10-09 | 华为技术有限公司 | 网络切片自优化协调方法及装置 |
| CN108809671A (zh) * | 2017-04-26 | 2018-11-13 | 华为技术有限公司 | 通信方法、网络设备和系统 |
| CN109121185A (zh) * | 2017-06-23 | 2019-01-01 | 中兴通讯股份有限公司 | 网络切片子网的选择方法及装置、计算机可读存储介质 |
| CN109547232A (zh) * | 2017-09-22 | 2019-03-29 | 华为技术有限公司 | 一种网络切片时间管理方法及相关产品 |
| CN109768875A (zh) * | 2017-11-10 | 2019-05-17 | 华为技术有限公司 | 网络切片的策略管理方法、装置、设备及系统 |
| CN109802850A (zh) * | 2017-11-17 | 2019-05-24 | 华为技术有限公司 | 通信方法和通信装置 |
| CN110167024A (zh) * | 2018-02-12 | 2019-08-23 | 华为技术有限公司 | 网络切片实例重用的方法及装置 |
| CN110476453A (zh) * | 2017-04-28 | 2019-11-19 | 华为技术有限公司 | 用于向客户提供网络切片的服务发放 |
Family Cites Families (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10200293B2 (en) * | 2014-10-20 | 2019-02-05 | Futurewei Technologies, Inc. | Dynamically offloading flows from a service chain |
| US9462084B2 (en) * | 2014-12-23 | 2016-10-04 | Intel Corporation | Parallel processing of service functions in service function chains |
| US9667656B2 (en) * | 2015-03-30 | 2017-05-30 | Amazon Technologies, Inc. | Networking flow logs for multi-tenant environments |
| JP6583048B2 (ja) * | 2016-02-25 | 2019-10-02 | 富士通株式会社 | ワークロード推定方法およびワークロード推定装置 |
| CN107734708B (zh) * | 2016-08-12 | 2023-07-28 | 华为技术有限公司 | 无线网络的接入控制方法及装置 |
| US10361969B2 (en) * | 2016-08-30 | 2019-07-23 | Cisco Technology, Inc. | System and method for managing chained services in a network environment |
| WO2018089634A1 (en) * | 2016-11-11 | 2018-05-17 | Intel IP Corporation | Network slice management |
| CN108243110B (zh) * | 2016-12-26 | 2021-09-14 | 华为技术有限公司 | 一种资源调整方法、装置和系统 |
| CN106790294B (zh) * | 2017-03-10 | 2019-07-16 | 北京科技大学 | 一种5g网络安全风险评估方法 |
| US12081401B2 (en) * | 2017-03-16 | 2024-09-03 | Apple Inc. | Supporting SON functions on network slice instances |
| CN108632058B (zh) * | 2017-03-18 | 2020-10-09 | 华为技术有限公司 | 网络切片的管理方法和装置 |
| CN108632063B (zh) * | 2017-03-20 | 2021-01-05 | 华为技术有限公司 | 管理网络切片实例的方法、装置和系统 |
| US11039321B2 (en) * | 2017-07-05 | 2021-06-15 | Huawei Technologies Co., Ltd. | Methods and systems for network slicing |
| CN114745728A (zh) * | 2017-09-30 | 2022-07-12 | 华为技术有限公司 | 网络资源部署及评估的方法、和设备 |
| WO2019111267A1 (en) * | 2017-12-06 | 2019-06-13 | Telefonaktiebolaget Lm Ericsson (Publ) | First node, second node, and methods performed thereby for managing a network slice instance |
| CN108337110B (zh) * | 2018-01-02 | 2022-01-28 | 中兴通讯股份有限公司 | 一种虚拟资源管理方法及装置、计算机可读存储介质 |
| US10986540B2 (en) * | 2018-01-12 | 2021-04-20 | Huawei Technologies Co., Ltd. | Network slice provisioning and operation |
| US10863376B2 (en) * | 2018-01-18 | 2020-12-08 | Intel Corporation | Measurement job creation and performance data reporting for advanced networks including network slicing |
| US10965522B2 (en) * | 2018-03-12 | 2021-03-30 | Apple Inc. | Management services for 5G networks and network functions |
| CN110324164B (zh) * | 2018-03-29 | 2020-10-16 | 华为技术有限公司 | 一种网络切片的部署方法及装置 |
| CN110324837B (zh) * | 2018-03-29 | 2022-03-08 | 中兴通讯股份有限公司 | 一种网络管理方法和装置 |
| CN110611926B (zh) * | 2018-06-15 | 2021-06-01 | 华为技术有限公司 | 一种告警的方法及装置 |
| US11750447B2 (en) * | 2018-06-15 | 2023-09-05 | Telefonaktiebolaget Lm Ericsson (Publ) | Configuring a network slice |
| US11444957B2 (en) * | 2018-07-31 | 2022-09-13 | Fortinet, Inc. | Automated feature extraction and artificial intelligence (AI) based detection and classification of malware |
| WO2020069758A1 (en) * | 2018-10-05 | 2020-04-09 | Huawei Technologies Co., Ltd. | Device and method for managing a service related to multiple network slices |
| US11026106B2 (en) * | 2018-11-09 | 2021-06-01 | Huawei Technologies Co., Ltd. | Method and system of performance assurance with conflict management in provisioning a network slice service |
| KR20200059474A (ko) * | 2018-11-21 | 2020-05-29 | 주식회사 케이티 | 가상화 댁내 서비스 제공 시스템 및 방법 |
| WO2020182289A1 (en) * | 2019-03-11 | 2020-09-17 | Huawei Technologies Co., Ltd. | Devices for supporting slices in an edge computing system |
| US11201783B2 (en) * | 2019-06-26 | 2021-12-14 | Vmware, Inc. | Analyzing and configuring workload distribution in slice-based networks to optimize network performance |
| CN114208136A (zh) * | 2019-08-08 | 2022-03-18 | 三星电子株式会社 | 用于无线通信系统中通信服务的意图驱动部署和管理的方法和系统 |
| CN110401946A (zh) * | 2019-08-08 | 2019-11-01 | 广州爱浦路网络技术有限公司 | 5g核心网的网络切片方法和网络切片装置 |
| CN112751768B (zh) * | 2019-10-29 | 2023-11-21 | 华为技术有限公司 | 业务报文转发方法、装置及计算机存储介质 |
| US11405931B2 (en) * | 2019-12-12 | 2022-08-02 | Oracle International Corporation | Methods, systems, and computer readable media for providing for network slice management using feedback mechanism |
| KR20210127566A (ko) * | 2020-04-14 | 2021-10-22 | 삼성전자주식회사 | 네트워크 슬라이스를 제공하는 방법 및 장치 |
| US20230284127A1 (en) * | 2020-07-07 | 2023-09-07 | Samsung Electronics Co., Ltd. | System and method configuring a slice profile in a fifth generation network |
| US12107937B2 (en) * | 2022-02-24 | 2024-10-01 | Cisco Technology, Inc. | Dynamic proxy placement for policy-based routing |
-
2020
- 2020-05-06 WO PCT/CN2020/088792 patent/WO2021223103A1/en unknown
- 2020-05-06 CN CN202080102713.2A patent/CN115812317A/zh active Pending
- 2020-05-06 EP EP20934308.6A patent/EP4147419A4/en active Pending
- 2020-05-06 US US17/923,722 patent/US20230179638A1/en active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108632848A (zh) * | 2017-03-20 | 2018-10-09 | 华为技术有限公司 | 网络切片自优化协调方法及装置 |
| CN108809671A (zh) * | 2017-04-26 | 2018-11-13 | 华为技术有限公司 | 通信方法、网络设备和系统 |
| CN110476453A (zh) * | 2017-04-28 | 2019-11-19 | 华为技术有限公司 | 用于向客户提供网络切片的服务发放 |
| CN109121185A (zh) * | 2017-06-23 | 2019-01-01 | 中兴通讯股份有限公司 | 网络切片子网的选择方法及装置、计算机可读存储介质 |
| CN109547232A (zh) * | 2017-09-22 | 2019-03-29 | 华为技术有限公司 | 一种网络切片时间管理方法及相关产品 |
| CN109768875A (zh) * | 2017-11-10 | 2019-05-17 | 华为技术有限公司 | 网络切片的策略管理方法、装置、设备及系统 |
| CN109802850A (zh) * | 2017-11-17 | 2019-05-24 | 华为技术有限公司 | 通信方法和通信装置 |
| CN110167024A (zh) * | 2018-02-12 | 2019-08-23 | 华为技术有限公司 | 网络切片实例重用的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20230179638A1 (en) | 2023-06-08 |
| WO2021223103A1 (en) | 2021-11-11 |
| EP4147419A4 (en) | 2024-01-17 |
| EP4147419A1 (en) | 2023-03-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110546920B (zh) | 使用切片的服务提供步骤及相关定义 | |
| US10484334B1 (en) | Distributed firewall security system that extends across different cloud computing networks | |
| EP3494682B1 (en) | Security-on-demand architecture | |
| US20230179638A1 (en) | Method and apparatus for preventing network attacks in a network slice | |
| US11368489B2 (en) | Apparatus, system and method for security management based on event correlation in a distributed multi-layered cloud environment | |
| EP3449600B1 (en) | A data driven intent based networking approach using a light weight distributed sdn controller for delivering intelligent consumer experiences | |
| EP3679704B1 (en) | Method and apparatus for sla management in distributed cloud environments | |
| WO2021159461A1 (en) | Method for network slice isolation management | |
| CN115843429A (zh) | 用于网络切片中隔离支持的方法与装置 | |
| Hares et al. | Interface to network security functions (I2NSF): Problem statement and use cases | |
| US11870815B2 (en) | Security of network traffic in a containerized computing environment | |
| US20180316655A1 (en) | Restricting fake multicast service announcements | |
| CN117561703A (zh) | 一种实例化边缘应用服务器的方法和装置 | |
| US8266303B2 (en) | Managing network connections | |
| CN112751814B (zh) | 一种信息上报方法、数据处理方法及装置 | |
| Tamim et al. | Introducing virtual security functions into latency-aware placement for NFV applications | |
| KR102184114B1 (ko) | 네트워크 보안 서비스를 제공하기 위한 방법 및 이를 위한 장치 | |
| CN114365454B (zh) | 无状态安全功能的分布 | |
| US20130028136A1 (en) | Network edge switch configuration based on connection profile | |
| Kamoun-Abid et al. | DVF-fog: distributed virtual firewall in fog computing based on risk analysis | |
| US10785115B2 (en) | Allocating enforcement of a segmentation policy between host and network devices | |
| US9147172B2 (en) | Source configuration based on connection profile | |
| CN112565203B (zh) | 一种集中管理平台 | |
| US20240146727A1 (en) | Exchange engine for secure access service edge (sase) provider roaming | |
| US12120128B1 (en) | Route and packet flow evaluation on a cloud exchange |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |