CN117061346A - 业务管理方法和装置 - Google Patents

业务管理方法和装置 Download PDF

Info

Publication number
CN117061346A
CN117061346A CN202210493765.8A CN202210493765A CN117061346A CN 117061346 A CN117061346 A CN 117061346A CN 202210493765 A CN202210493765 A CN 202210493765A CN 117061346 A CN117061346 A CN 117061346A
Authority
CN
China
Prior art keywords
network element
metric
measurement
information
scene
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210493765.8A
Other languages
English (en)
Inventor
李论
吴义壮
崔洋
雷骜
张万强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202210493765.8A priority Critical patent/CN117061346A/zh
Priority to PCT/CN2023/090142 priority patent/WO2023216856A1/zh
Publication of CN117061346A publication Critical patent/CN117061346A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Environmental & Geological Engineering (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例提供了一种业务管理方法和装置,该方法包括:接收第一请求信息,第一请求信息用于请求针对第一度量场景的度量;根据映射关系,确定至少一个第二网元;向至少一个第二网元发送第二请求信息,第二请求信息用于请求进行针对至少一个第一度量对象进行度量。从而,能够在特定触发场景下对NFV中特定的部分进行度量,降低度量的复杂度,节约通信和计算的开销,进一步地提高远程证明实用效果。

Description

业务管理方法和装置
技术领域
本申请涉及网络功能虚拟化领域,特别涉及一种网络功能虚拟化NFV架构中业务管理方法和装置。
背景技术
网络功能虚拟化(network function virtualization,NFV)是通过使用通用硬件设备及虚拟化技术实现传统通信网络中专用设备的功能,且可以通过资源共享快速部署新的网络服务(network service,NS),从而降低网络部署成本,提高网络运行效率。
在NFV架构中,通常利用基于远程证明(remote attestation,RA)的方式来保证虚拟网络功能(virtual network function,VNF)的安全,然而,由于VNF由多个虚拟实例(virtual instance,VI)实现,在对VNF进行度量时,无论什么触发场景,都会将VNF当成一个整体,对VNF的每个部分都进行度量,这样会导致整个远程证明流程冗长且不实用。
因此,如何降低远程证明度量的复杂度,提高度量的效率,成为业界亟需解决的问题。
发明内容
本申请提供一种业务管理方法,能够在特定触发场景下对NFV中特定的部分进行度量,降低度量的复杂度,节约通信和计算的开销,进一步地提高远程证明实用效果。
第一方面,提供了一种业务管理方法,该方法可以由第一网元执行,或者,也可以由第一网元的组成部件(例如芯片或者电路)执行,对此不作限定,为了便于描述,下面以由第一网元执行为例进行说明。
该方法可以包括:接收第一请求信息,第一请求信息用于请求针对第一度量场景的度量,第一度量场景包括多个度量对象;根据映射关系,确定至少一个第二网元,该映射关系用于指示多个度量对象和多个网元的对应关系,至少一个第二网元与至少一个第一度量对象对应,第一度量对象属于第一度量场景包括的多个度量对象;向至少一个第二网元发送第二请求信息,第二请求信息用于请求针对至少一个第一度量对象进行度量。
基于上述方案,第一网元能够根据不同的度量场景,针对特定的内容和对象进行度量,根据度量结果确定该度量场景是否满足要求,避免了对业务网元的每个部分进行度量带来的开销浪费,从而降低度量的复杂度,实现节约通信和计算开销。
应理解,一个第一度量对象对应一个第二网元,第二网元可以对应一个或多个第一度量对象,向至少一个第二网元发送第二请求信息可以理解为,第一网元根据度量对象的不同,请求第一度量对象对应第二网元,对该第一度量对象进行度量。也就是说,第二网元对与其对应的第一度量对象进行度量,并不对其他第一度量对象进行度量。
示例性地,第一网元向两个第二网元分别发送第二请求信息,每个第二网元分别对应一个第一度量对象,则发给其中一个第二网元的第二请求信息是请求对该第二网元对应的第一度量对象进行度量,并无需该第二网元对两个第一度量对象都进行度量。
结合第一方面,在第一方面的某些实现方式中,该方法还包括:接收第一度量信息,第一度量信息包括至少一个第二网元发送的至少一个第一度量结果信息,第一度量结果信息用于指示针对第一度量对象的第一度量结果;根据第一度量信息,发送针对第一请求信息的第一反馈信息。
基于上述方案,第一网元能够接收多个第二网元的度量结果,综合判断多个度量结果是否满足度量场景的要求,降低了度量的复杂度。
结合第一方面,在第一方面的某些实现方式中,该方法还包括:向第一网元对应的至少一个度量网元发送第三请求信息,第三请求信息用于请求针对第一度量场景包括的多个度量对象中的至少一个第二度量对象进行度量,第二度量对象属于第一网元对应的度量网元能够度量的度量对象;接收第二度量信息,第二度量信息包括第一网元对应的至少一个度量网元发送的至少一个第二度量结果信息,第二度量信息用于指示针对第二度量对象的第二度量结果;以及根据第一度量信息,发送针对第一请求信息的第一反馈信息,包括:根据第一度量信息和第二度量信息,发送针对第一请求信息的第一反馈信息。
基于上述方案,第一网元对自身能够进行度量的度量对象进行度量,并结合第二网元的度量结果,确定该度量场景是否满足要求,增加了度量方案的灵活性。
结合第一方面,在第一方面的某些实现方式中,映射关系具体用于指示多个索引与多个参数组之间的对应关系,其中,每个索引对应至少一个度量场景,每个参数组包括以下至少一个参数:度量对象、度量指标、度量等级,以及,第一请求信息包括第一度量场景对应的索引。
基于上述方案,第一网元能够根据映射关系确定请求的度量对象自身是否能够进行度量,从而确定度量方案。
结合第一方面,在第一方面的某些实现方式中,多个度量场景包括以下至少一个度量场景:第一场景,用于度量业务网元的部署环境或迁移环境的安全性是否满足要求;第二场景,用于度量业务网元的一个或多个虚拟存储实例的地理位置是否满足要求;第三场景,用于度量业务网元的一个或多个软件是否满足要求。
结合第一方面,在第一方面的某些实现方式中,当第一度量场景包括第一场景时,第一度量场景对应的度量对象包括以下至少一项:业务网元的镜像文件、部署环境迁移环境对应的一个或多个虚拟化层、部署环境迁移环境对应的一个或多个硬件的属性。
结合第一方面,在第一方面的某些实现方式中,当第一度量场景的度量对象所述业务网元的镜像文件时,第一网元包括业务网元管理网元,业务网元管理网元用于管理业务网元,第二网元包括镜像验证网元,镜像验证网元用于验证业务网元的镜像文件的正确性,其中,第二请求信息包括业务网元的镜像文件的标识信息;或者,
当第一度量场景的度量对象包括部署环境迁移环境对应的一个或多个虚拟化层时,第一网元包括业务网元管理网元,第二网元包括虚拟化基础设施管理网元,虚拟化基础设施管理网元用于验证部署环境迁移环境对应的一个或多个虚拟化层的安全性;或者,
当第一度量场景的度量对象包括部署环境迁移环境对应的一个或多个硬件的属性时,第一网元包括虚拟化基础设施管理网元,虚拟化基础设施管理网元用于管理虚拟化基础设施,第二网元包括地理位置验证网元,地理位置验证网元用于验证部署环境对应的一个或多个硬件的地理位置的属性。
结合第一方面,在第一方面的某些实现方式中,当业务网元部署或迁移成功时,该方法还包括:接收来自业务网元管理网元的部署结果信息,部署结果信息用于指示业务网元部署或迁移成功,部署结果信息包括业务网元部署或迁移的的证明信息;根据证明信息,验证业务网元是否部署或迁移成功。
基于上述方案,当业务网元部署或迁移成功时,第一网元还能够根据反馈的部署结果进一步验证是否部署成功,增加了部署的可靠性。
结合第一方面,在第一方面的某些实现方式中,当第一度量场景包括第二场景时,第一度量场景对应的度量对象包括业务网元对应的一个或多个负责存储信息的虚拟实例的地理位置,第一网元包括业务网元验证网元,业务网元验证网元用于验证一个或多个负责存储信息的虚拟实例的地理位置,第二网元包括地理位置验证网元,地理位置验证网元用于验证负责存储信息的虚拟实例的地理位置。
结合第一方面,在第一方面的某些实现方式中,该方法还包括:获得第一配置信息,第一配置信息用于指示多个标识与多个虚拟实例组的对应关系,任意两个虚拟实例组对应的存储内容不同,存储内容包括以下至少一项:用户信息、通信记录、业务数据;以及第一请求信息还包括第一标识,第二请求信息还包括第一虚拟实例组中的虚拟实例的标识,第一虚拟实例组是第一配置信息中与第一标识对应的虚拟实例组。
基于上述方案,第一网元能够通过获得的第一配置信息,进一步地根据第一配置信息中一个或多个负责存储内容的虚拟实例组与VI对应的标识对度量对象进行度量。
结合第一方面,在第一方面的某些实现方式中,当第一度量场景包括第三场景时,第一度量场景对应的度量对象包括以下至少一项:虚拟实例中的软件、虚拟实例部署的虚拟化层的软件。
结合第一方面,在第一方面的某些实现方式中,当第一度量场景的度量对象包括虚拟实例中的软件时,第一网元包括业务网元验证网元,业务网元验证网元用于验证业务网元的一个或多个软件是否满足要求,第二网元包括客户系统验证网元,客户系统验证网元用于验证虚拟实例中的软件是否满足要求;或者,
当第一度量场景的度量对象包括虚拟实例部署的虚拟化层的软件时,第一网元包括业务网元验证网元,第二网元包括云操作系统验证网元,云操作系统验证网元用于验证虚拟实例部署的虚拟化层的软件是否满足要求。
结合第一方面,在第一方面的某些实现方式中,该方法还包括:获得第二配置信息,第二配置信息用于指示多个标识与多个软件的对应关系,多个软件包括以下至少一项:虚拟实例中的软件、虚拟实例部署的虚拟化层的软件;以及第一请求信息还包括第二标识,第二请求信息还包括第一软件的标识,第一软件是所述第二配置信息中与所述第二标识对应的第一软件。
基于上述方案,第一网元能够通过获得的第二配置信息,进一步地根据第二配置信息中各个软件与VI对应的标识对度量对象进行度量,避免了存储大量软件信息而造成的开销浪费,节约了存储空间。
结合第一方面,在第一方面的某些实现方式中,当第一反馈信息用于指示第一度量信息不符合度量指标时,该方法还包括:向业务网元管理网元发送第一指示信息,第一指示信息用于指示对一个或多个度量对象进行重新配置。
第二方面,提供了一种业务管理方法。该方法可以由第二网元执行,或者,也可以由第二网元的组成部件(例如芯片或者电路)执行,对此不作限定,为了便于描述,下面以由第二网元执行为例进行说
该方法可以包括:接收第二请求信息,第二请求信息用于请求进行针对至少一个第一度量对象进行度量,第一度量对象属于多个度量场景中第一度量场景包括的多个度量对象;对至少一个第一度量对象进行度量,确定第一度量结果信息。
基于上述方案,第二网元能够根据第一网元的度量请求,针对不同的度量场景,特定的内容和对象进行度量,并将度量结果反馈给第一网元,避免了对业务网元的每个部分进行度量带来的开销浪费,从而降低度量的复杂度,实现节约通信和计算开销。
结合第二方面,在第二方面的某些实现方式中,对至少一个第一度量对象进行度量,确定第一度量结果信息,包括:向第二网元对应的至少一个度量网元发送第四请求信息,第四请求信息用于请求针对至少一个第一度量对象进行度量;接收第三度量信息,第三度量信息包括第二网元对应的至少一个度量网元发送的至少一个第三度量结果信息,第三度量信息用于指示针对第一度量对象的第二度量结果;根据第三度量信息,确定第一度量结果信息。
基于上述方案,第二网元能够根据第一网元的度量请求,请求其对应的度量网元针对不同的度量场景,特定的内容和对象进行度量,实现节约通信和计算开销。
结合第二方面,在第二方面的某些实现方式中,该方法还包括:发送第一度量结果信息,第一度量结果信息用于指示针对至少一个第一度量对象的第一度量结果。
结合第二方面,在第二方面的某些实现方式中,多个度量场景包括以下至少一个度量场景:第一场景,用于度量业务网元的部署环境或迁移环境的安全性是否满足要求;第二场景,用于度量业务网元的一个或多个虚拟存储实例的地理位置是否满足要求;第三场景,用于度量业务网元的一个或多个软件是否满足要求。
结合第二方面,在第二方面的某些实现方式中,当第一度量场景包括第一场景时,第一度量场景对应的度量对象包括以下至少一项:业务网元的镜像文件、部署环境迁移环境对应的一个或多个虚拟化层、部署环境迁移环境对应的一个或多个硬件的属性。
结合第二方面,在第二方面的某些实现方式中,当第一度量场景包括第二场景时,第一度量场景对应的度量对象包括业务网元对应的一个或多个负责存储信息的虚拟实例的地理位置。
结合第二方面,在第二方面的某些实现方式中,当第一度量场景包括第三场景时,第一度量场景对应的度量对象包括以下至少一项:虚拟实例中的软件、虚拟实例部署的虚拟化层的软件。
第三方面,提供了一种业务管理方法,该方法可以由第一网元执行,或者,也可以由第一网元的组成部件(例如芯片或者电路)执行,对此不作限定,为了便于描述,下面以由第一网元执行为例进行说明。
该方法可以包括:获得映射关系,该映射关系用于指示多个度量场景和多个网元的对应关系;接收第一请求信息,该第一请求信息用于进行针对第一度量场景的度量;根据该映射关系,从多个网元中确定与第一度量场景对应的第二网元;向该第二网元发送第二请求信息,该第二请求信息用于请求进行针对第一度量场景的度量。
基于上述方案,第一网元能够不同的度量场景,针对性地特定的内容和对象进行度量,根据度量结果确定该度量场景是否满足要求,避免了对业务网元的每个部分进行度量带来的开销浪费,从而降低度量的复杂度,实现节约通信和计算开销。
结合第三方面,在第三方面的某些实现方式中,第一请求信息包括以下至少一项信息:第一度量场景对应的度量对象的指示信息、第一度量场景对应的度量指标的指示信息、第一度量场景对应的度量等级的指示信息;第二请求信息包括以下至少一项信息:第一度量场景对应的度量对象的指示信息、第一度量场景对应的度量指标的指示信息、第一度量场景对应的度量等级的指示信息。
基于上述方案,第一网元能够根据第一请求信息中的内容,映射关系中确定对应的度量场景,度量对象等,减少了信息传递中的信令开销。
结合第三方面,在第三方面的某些实现方式中,映射关系具体用于指示多个索引与多个参数组之间的对应关系,其中,每个索引对应至少一个度量场景,每个参数组包括以下至少一个参数:度量对象、度量指标、度量等级,以及,第一请求信息包括第一度量场景对应的索引。
基于上述方案,第一网元能够确定判断度量请求中的度量对象自身是否能够进行度量,将不能够度量的度量对象请求其他网元进行度量,增加了度量方案的灵活性。
结合第三方面,在第三方面的某些实现方式中,多个度量场景包括以下至少一个度量场景:第一场景,用于度量业务网元的部署环境或迁移环境的安全性是否满足要求;第二场景,用于度量业务网元的一个或多个虚拟存储实例的地理位置是否满足要求;第三场景,用于度量业务网元的一个或多个软件是否满足要求。
结合第三方面,在第三方面的某些实现方式中,该方法还包括:接收第一度量信息,第一度量信息包括一个或多个度量对象对应的一个或多个第一度量结果信息;根据第一度量信息是否符合度量指标,确定第二度量结果信息。
基于上述方案,第一网元能够根据接收到的度量结果综合性地判断该度量场景是否满足要求,减少了度量的复杂度。
结合第三方面,在第三方面的某些实现方式中,当第一网元为业务网元验证网元时,该方法还包括:向业务触发方发送第二度量结果信息。
结合第三方面,在第三方面的某些实现方式中,当第二度量结果信息用于指示第一度量信息不符合度量指标时,该方法还包括:向业务网元管理网元发送第一指示信息,第一指示信息用于指示对一个或多个度量对象进行重新配置。
结合第三方面,在第三方面的某些实现方式中,该方法还包括:获得负责存储信息的业务网元功能组件的第一配置信息,负责存储信息的业务网元功能组件包括一个或多个负责存储信息的虚拟实例,第一配置信息包括负责存储信息的业务网元功能组件的编号、和一个或多个负责存储信息的虚拟实例的一个或多个编号。
基于上述方案,第一网元能够通过获得的第一配置信息,进一步地根据第一配置信息中各个虚拟实例组与VI对应的标识对度量对象进行度量,避免了存储大量虚拟实例组信息而造成的开销浪费,节约了存储空间。
结合第三方面,在第三方面的某些实现方式中,获得负责存储信息的业务网元功能组件的第一配置信息,包括:向业务网元功能组件管理网元发送第三请求信息,第三请求信息用于请求查询第一配置信息;接收第一配置信息。
基于上述方案,第一网元能够通过向业务网元功能组件管理网元请求查询的方式获得第一配置信息,增加了方案的灵活性。
结合第三方面,在第三方面的某些实现方式中,获得负责存储信息的业务网元功能组件的第一配置信息,包括:向第一网元的度量网元发送第四请求信息,第四请求信息用于请求度量业务网元的第二配置信息;接收业务网元的第二配置信息,第二配置信息包括业务网元功能组件的类型、业务网元功能组件的编号、业务网元功能组件对应的一个或多个虚拟实例的编号;对所述第二配置信息进行验证,获得第一配置信息。
基于上述方案,第一网元能够通过请求度量网元度量的方式获得第一配置信息,增加了方案的灵活性。
第四方面,提供了一种业务管理方法。该方法可以由第二网元执行,或者,也可以由第二网元的组成部件(例如芯片或者电路)执行,对此不作限定,为了便于描述,下面以由第二网元执行为例进行说
该方法可以包括:接收第二请求信息,第二请求信息用于请求进行针对第一度量场景的度量;对第一度量场景进行度量;发送第一度量信息,第一度量信息包括一个或多个度量对象对应的一个或多个第一度量结果信息。
基于上述方案,第二网元能够根据第一网元的度量请求,针对不同的度量场景,特定的内容和对象进行度量,并将度量结果反馈给第一网元,避免了对业务网元的每个部分进行度量带来的开销浪费,从而降低度量的复杂度,实现节约通信和计算开销。
结合第四方面,在第四方面的某些实现方式中,当第二网元为验证网元时,确定第一度量信息,包括:向第二网元的一个或多个度量网元发送第二请求信息;接收第三度量结果信息,第三度量结果信息包括第二网元的一个或多个度量方对第一度量场景进行度量的一个或多个结果;根据第三度量信息是否符合度量指标,确定第一度量结果信息。
基于上述方案,第二网元能够根据第一网元的度量请求,请求其对应的度量网元针对不同的度量场景,特定的内容和对象进行度量,实现节约通信和计算开销。
结合第四方面,在第四方面的某些实现方式中,第二请求信息包括以下至少一项信息:第一度量场景对应的度量对象的指示信息、第一度量场景对应的度量指标的指示信息、第一度量场景对应的度量等级的指示信息。
结合第四方面,在第四方面的某些实现方式中,映射关系具体用于指示多个索引与多个参数组之间的对应关系,其中,每个索引对应至少一个度量场景,每个参数组包括以下至少一个参数:度量对象、度量指标、度量等级,以及,第一请求信息包括第一度量场景对应的索引。
结合第四方面,在第四方面的某些实现方式中,多个度量场景包括以下至少一个度量场景:第一场景,用于度量业务网元的部署环境的安全性是否满足要求;第二场景,用于度量业务网元的一个或多个存储器的地理位置是否满足要求;第三场景,用于度量业务网元的一个或多个软件是否满足要求。
第五方面,提供了一种业务管理装置,包括用于执行上述第一方面所示的方法的单元,该通信的装置可以是第一网元,或者,也可以是设置于第一网元中的芯片或电路执行,本申请对此不作限定。
该通信装置包括:
收发单元,用于接收第一请求信息,第一请求信息用于请求针对第一度量场景的度量,第一度量场景包括多个度量对象;处理单元,用于根据映射关系,确定至少一个第二网元,该映射关系用于指示多个度量对象和多个网元的对应关系,至少一个第二网元与至少一个第一度量对象对应,第一度量对象属于第一度量场景包括的多个度量对象;收发单元,还用于向至少一个第二网元发送第二请求信息,第二请求信息用于请求针对至少一个第一度量对象进行度量。
结合第五方面,在第五方面的某些实现方式中,收发单元,还用于接收第一度量信息,第一度量信息包括至少一个第二网元发送的至少一个第一度量结果信息,第一度量结果信息用于指示针对第一度量对象的第一度量结果;收发单元,还用于根据第一度量信息,发送针对第一请求信息的第一反馈信息。
结合第五方面,在第五方面的某些实现方式中,收发单元,还用于向第一网元对应的至少一个度量网元发送第三请求信息,第三请求信息用于请求针对第一度量场景包括的多个度量对象中的至少一个第二度量对象进行度量,第二度量对象属于第一网元对应的度量网元能够度量的度量对象;收发单元,还用于接收第二度量信息,第二度量信息包括第一网元对应的至少一个度量网元发送的至少一个第二度量结果信息,第二度量信息用于指示针对第二度量对象的第二度量结果;收发单元,还用于根据第一度量信息和第二度量信息,发送针对第一请求信息的第一反馈信息。
结合第五方面,在第五方面的某些实现方式中,映射关系具体用于指示多个索引与多个参数组之间的对应关系,其中,每个索引对应至少一个度量场景,每个参数组包括以下至少一个参数:度量对象、度量指标、度量等级,以及,第一请求信息包括第一度量场景对应的索引。
结合第五方面,在第五方面的某些实现方式中,多个度量场景包括以下至少一个度量场景:第一场景,用于度量业务网元的部署环境或迁移环境的安全性是否满足要求;第二场景,用于度量业务网元的一个或多个虚拟存储实例的地理位置是否满足要求;第三场景,用于度量业务网元的一个或多个软件是否满足要求。
结合第五方面,在第五方面的某些实现方式中,当第一度量场景包括第一场景时,第一度量场景对应的度量对象包括以下至少一项:业务网元的镜像文件、部署环境迁移环境对应的一个或多个虚拟化层、部署环境迁移环境对应的一个或多个硬件的属性。
结合第五方面,在第五方面的某些实现方式中,当第一度量场景的度量对象所述业务网元的镜像文件时,第一网元包括业务网元管理网元,业务网元管理网元用于管理业务网元,第二网元包括镜像验证网元,镜像验证网元用于验证业务网元的镜像文件的正确性,其中,第二请求信息包括业务网元的镜像文件的标识信息;或者,
当第一度量场景的度量对象包括部署环境迁移环境对应的一个或多个虚拟化层时,第一网元包括业务网元管理网元,第二网元包括虚拟化基础设施管理网元,虚拟化基础设施管理网元用于验证部署环境迁移环境对应的一个或多个虚拟化层的安全性;或者,
当第一度量场景的度量对象包括部署环境迁移环境对应的一个或多个硬件的属性时,第一网元包括虚拟化基础设施管理网元,虚拟化基础设施管理网元用于管理虚拟化基础设施,第二网元包括地理位置验证网元,地理位置验证网元用于验证部署环境对应的一个或多个硬件的地理位置的属性。
结合第五方面,在第五方面的某些实现方式中,收发单元,还用于接收来自业务网元管理网元的部署结果信息,部署结果信息用于指示业务网元部署或迁移成功,部署结果信息包括业务网元部署或迁移的的证明信息;处理单元,还用于根据证明信息,验证业务网元是否部署或迁移成功。
结合第五方面,在第五方面的某些实现方式中,当第一度量场景包括第二场景时,第一度量场景对应的度量对象包括业务网元对应的一个或多个负责存储信息的虚拟实例的地理位置,第一网元包括业务网元验证网元,业务网元验证网元用于验证一个或多个负责存储信息的虚拟实例的地理位置,第二网元包括地理位置验证网元,地理位置验证网元用于验证负责存储信息的虚拟实例的地理位置。
结合第五方面,在第五方面的某些实现方式中,收发单元,还用于获得第一配置信息,第一配置信息用于指示多个标识与多个虚拟实例组的对应关系,任意两个虚拟实例组对应的存储内容不同,存储内容包括以下至少一项:用户信息、通信记录、业务数据;以及第一请求信息还包括第一标识,第二请求信息还包括第一虚拟实例组中的虚拟实例的标识,第一虚拟实例组是第一配置信息中与第一标识对应的虚拟实例组。
结合第五方面,在第五方面的某些实现方式中,当第一度量场景包括第三场景时,第一度量场景对应的度量对象包括以下至少一项:虚拟实例中的软件、虚拟实例部署的虚拟化层的软件。
结合第五方面,在第五方面的某些实现方式中,当第一度量场景的度量对象包括虚拟实例中的软件时,第一网元包括业务网元验证网元,业务网元验证网元用于验证业务网元的一个或多个软件是否满足要求,第二网元包括客户系统验证网元,客户系统验证网元用于验证虚拟实例中的软件是否满足要求;或者,
当第一度量场景的度量对象包括虚拟实例部署的虚拟化层的软件时,第一网元包括业务网元验证网元,第二网元包括云操作系统验证网元,云操作系统验证网元用于验证虚拟实例部署的虚拟化层的软件是否满足要求。
结合第五方面,在第五方面的某些实现方式中,收发单元,还用于获得第二配置信息,第二配置信息用于指示多个标识与多个软件的对应关系,多个软件包括以下至少一项:虚拟实例中的软件、虚拟实例部署的虚拟化层的软件;以及第一请求信息还包括第二标识,第二请求信息还包括第一软件的标识,第一软件是所述第二配置信息中与所述第二标识对应的第一软件。
结合第五方面,在第五方面的某些实现方式中,收发单元,还用于向业务网元管理网元发送第一指示信息,第一指示信息用于指示对一个或多个度量对象进行重新配置。
第五方面提供的通信的装置相关内容的解释及有益效果均可参考第一方面所示的方法,此处不再赘述。
第六方面,提供了一种业务管理装置,包括用于执行上述第二方面所示的方法的单元,该通信的装置可以是第二网元,或者,也可以是设置于第二网元中的芯片或电路执行,本申请对此不作限定。
该通信装置包括:
收发单元,用于接收第二请求信息,第二请求信息用于请求进行针对至少一个第一度量对象进行度量,第一度量对象属于多个度量场景中第一度量场景包括的多个度量对象;处理单元,还用于对至少一个第一度量对象进行度量,确定第一度量结果信息。
结合第六方面,在第六方面的某些实现方式中,收发单元,还用于向第二网元对应的至少一个度量网元发送第四请求信息,第四请求信息用于请求针对至少一个第一度量对象进行度量;收发单元,还用于接收第三度量信息,第三度量信息包括第二网元对应的至少一个度量网元发送的至少一个第三度量结果信息,第三度量信息用于指示针对第一度量对象的第二度量结果;处理单元,还用于根据第三度量信息,确定第一度量结果信息。
结合第六方面,在第六方面的某些实现方式中,收发单元,还用于发送第一度量结果信息,第一度量结果信息用于指示针对至少一个第一度量对象的第一度量结果。
结合第六方面,在第六方面的某些实现方式中,多个度量场景包括以下至少一个度量场景:第一场景,用于度量业务网元的部署环境或迁移环境的安全性是否满足要求;第二场景,用于度量业务网元的一个或多个虚拟存储实例的地理位置是否满足要求;第三场景,用于度量业务网元的一个或多个软件是否满足要求。
结合第六方面,在第六方面的某些实现方式中,当第一度量场景包括第一场景时,第一度量场景对应的度量对象包括以下至少一项:业务网元的镜像文件、部署环境迁移环境对应的一个或多个虚拟化层、部署环境迁移环境对应的一个或多个硬件的属性。
结合第六方面,在第六方面的某些实现方式中,当第一度量场景包括第二场景时,第一度量场景对应的度量对象包括业务网元对应的一个或多个负责存储信息的虚拟实例的地理位置。
结合第六方面,在第六方面的某些实现方式中,当第一度量场景包括第三场景时,第一度量场景对应的度量对象包括以下至少一项:虚拟实例中的软件、虚拟实例部署的虚拟化层的软件。
第六方面提供的通信的装置相关内容的解释及有益效果均可参考第二方面所示的方法,此处不再赘述。
第七方面,提供了一种业务管理装置,包括用于执行上述第三方面所示的方法的单元,该通信的装置可以是第一网元,或者,也可以是设置于第一网元中的芯片或电路执行,本申请对此不作限定。
该通信装置包括:
收发单元,用于获得映射关系,该映射关系用于指示多个度量场景和多个网元的对应关系;收发单元,还用于接收第一请求信息,该第一请求信息用于进行针对第一度量场景的度量;处理单元,用于根据该映射关系,从多个网元中确定与第一度量场景对应的第二网元;收发单元,还用于向该第二网元发送第二请求信息,该第二请求信息用于请求进行针对第一度量场景的度量。
结合第七方面,在第七方面的某些实现方式中,第一请求信息包括以下至少一项信息:第一度量场景对应的度量对象的指示信息、第一度量场景对应的度量指标的指示信息、第一度量场景对应的度量等级的指示信息;第二请求信息包括以下至少一项信息:第一度量场景对应的度量对象的指示信息、第一度量场景对应的度量指标的指示信息、第一度量场景对应的度量等级的指示信息。
结合第七方面,在第七方面的某些实现方式中,映射关系具体用于指示多个索引与多个参数组之间的对应关系,其中,每个索引对应至少一个度量场景,每个参数组包括以下至少一个参数:度量对象、度量指标、度量等级,以及,第一请求信息包括第一度量场景对应的索引。
结合第七方面,在第七方面的某些实现方式中,多个度量场景包括以下至少一个度量场景:第一场景,用于度量业务网元的部署环境的安全性是否满足要求;第二场景,用于度量业务网元的一个或多个存储器的地理位置是否满足要求;第三场景,用于度量业务网元的一个或多个软件是否满足要求。
结合第七方面,在第七方面的某些实现方式中,收发单元,还用于接收第一度量信息,第一度量信息包括一个或多个度量对象对应的一个或多个第一度量结果信息;处理单元,还用于根据第一度量信息是否符合度量指标,确定第二度量结果信息。
结合第七方面,在第七方面的某些实现方式中,当第一网元为业务网元验证网元时,收发单元,还用于向业务触发方发送第二度量结果信息。
结合第七方面,在第七方面的某些实现方式中,收发单元,还用于向业务网元管理网元发送第一指示信息,第一指示信息用于指示对一个或多个度量对象进行重新配置。
结合第七方面,在第七方面的某些实现方式中,收发单元,还用于获得负责存储信息的业务网元功能组件的第一配置信息,负责存储信息的业务网元功能组件包括一个或多个负责存储信息的虚拟实例,第一配置信息包括负责存储信息的业务网元功能组件的编号、和一个或多个负责存储信息的虚拟实例的一个或多个编号。
结合第七方面,在第七方面的某些实现方式中,收发单元,还用于向业务网元功能组件管理网元发送第三请求信息,第三请求信息用于请求查询第一配置信息;收发单元,还用于接收第一配置信息。
结合第七方面,在第七方面的某些实现方式中,收发单元,还用于向第一网元的度量网元发送第四请求信息,第四请求信息用于请求度量业务网元的第二配置信息;收发单元,还用于接收业务网元的第二配置信息,第二配置信息包括业务网元功能组件的类型、业务网元功能组件的编号、业务网元功能组件对应的一个或多个虚拟实例的编号;处理单元,还用于对所述第二配置信息进行验证,获得第一配置信息。
第七方面提供的通信的装置相关内容的解释及有益效果均可参考第三方面所示的方法,此处不再赘述。
第八方面,提供了一种业务管理装置,包括用于执行上述第四方面所示的方法的单元,该通信的装置可以是第二网元,或者,也可以是设置于第二网元中的芯片或电路执行,本申请对此不作限定。
该通信装置包括:
收发单元,用于接收第二请求信息,第二请求信息用于请求进行针对第一度量场景的度量;处理单元,用于对第一度量场景进行度量;收发单元,还用于发送第一度量信息,第一度量信息包括一个或多个度量对象对应的一个或多个第一度量结果信息。
结合第八方面,在第八方面的某些实现方式中,收发单元,还用于向第二网元的一个或多个度量网元发送第二请求信息;收发单元,还用于接收第三度量结果信息,第三度量结果信息包括第二网元的一个或多个度量方对第一度量场景进行度量的一个或多个结果;处理单元,还用于根据第三度量信息是否符合度量指标,确定第一度量结果信息。
结合第八方面,在第八方面的某些实现方式中,第二请求信息包括以下至少一项信息:第一度量场景对应的度量对象的指示信息、第一度量场景对应的度量指标的指示信息、第一度量场景对应的度量等级的指示信息。
结合第八方面,在第八方面的某些实现方式中,映射关系具体用于指示多个索引与多个参数组之间的对应关系,其中,每个索引对应至少一个度量场景,每个参数组包括以下至少一个参数:度量对象、度量指标、度量等级,以及,第一请求信息包括第一度量场景对应的索引。
结合第八方面,在第八方面的某些实现方式中,多个度量场景包括以下至少一个度量场景:第一场景,用于度量业务网元的部署环境的安全性是否满足要求;第二场景,用于度量业务网元的一个或多个存储器的地理位置是否满足要求;第三场景,用于度量业务网元的一个或多个软件是否满足要求。
第八方面提供的通信的装置相关内容的解释及有益效果均可参考第四方面所示的方法,此处不再赘述。
第九方面,提供一种业务管理装置,该装置包括:存储器,用于存储程序;至少一个处理器,用于执行存储器存储的计算机程序或指令,以执行上述第一方面至第四方面中任一种可能实现方式的方法。
在一种实现方式中,该装置为第一网元。
在另一种实现方式中,该装置为用于第一网元中的芯片、芯片系统或电路。
第十方面,本申请提供一种处理器,用于执行上述各方面提供的方法。
对于处理器所涉及的发送和获取/接收等操作,如果没有特殊说明,或者,如果未与其在相关描述中的实际作用或者内在逻辑相抵触,则可以理解为处理器输出和接收、输入等操作,也可以理解为由射频电路和天线所进行的发送和接收操作,本申请对此不做限定。
第十一方面,提供一种计算机可读存储介质,该计算机可读介质存储用于设备执行的程序代码,该程序代码包括用于执行上述第一方面至第四方面中任一种可能实现方式的方法。
第十二方面,提供一种包含指令的计算机程序产品,当该计算机程序产品在计算机上运行时,使得计算机执行上述第一方面至第四方面中任一种可能实现方式的方法。
第十三方面,提供一种芯片,芯片包括处理器与通信接口,处理器通过通信接口读取存储器上存储的指令,执行上述第一方面至第四方面中任一种可能实现方式的方法。
可选地,作为一种实现方式,芯片还包括存储器,存储器中存储有计算机程序或指令,处理器用于执行存储器上存储的计算机程序或指令,当计算机程序或指令被执行时,处理器用于执行上述第一方面至第四方面中任一种可能实现方式的方法。
第十四方面,提供一种通信系统,包括上文的第一网元和第二网元中的一个或多个。
附图说明
图1示出了适用于本申请实施例的网络架构的示意图。
图2示出了本申请实施例的NFV系统的示意性架构图。
图3示出了本申请实施例的提供的一种业务管理方法300的示意性流程图。
图4示出了本申请实施例的提供的一种业务管理方法400的示意性流程图。
图5示出了本申请实施例的提供的一种业务管理方法500的示意性流程图。
图6示出了本申请实施例的提供的一种业务管理方法600的示意性流程图。
图7示出了本申请实施例提供的一种通信装置700的示意性框图。
图8示出了本申请实施例提供的另一种通信装置800的示意性框图。
图9示出了本申请实施例提供的一种芯片系统900的示意图。
具体实施方式
下面将结合附图,对本申请实施例中的技术方案进行描述。
本申请实施例的技术方案可以应用于各种通信系统,例如:全球移动通讯(globalsystem of mobile communication,GSM)系统、码分多址(code division multipleaccess,CDMA)系统、宽带码分多址(wideband code division multiple access,WCDMA)系统、通用分组无线业务(general packet radio service,GPRS)、长期演进(long termevolution,LTE)系统、LTE频分双工(frequency division duplex,FDD)系统、LTE时分双工(time division duplex,TDD)、通用移动通信系统(universal mobiletelecommunication system,UMTS)、全球互联微波接入(worldwide interoperabilityfor microwave access,WiMAX)通信系统、未来的第五代(5th generation,5G)系统或新无线(new radio,NR)等。
图1是本申请实施例的应用的系统架构或场景图。
如图1所示,该网络架构以5G系统(the 5th generation system,5GS)为例。该网络架构中可包括三部分,分别是UE部分、数据网络(data network,DN)部分和运营商网络部分。其中,运营商网络可包括以下网元中的一个或多个:(无线)接入网((radio)accessnetwork,(R)AN)设备、用户面功能(user plane function,UPF)网元、认证服务器功能(authentication server function,AUSF)网元、统一数据库(unified data repository,UDR)网元、接入和移动性管理功能(access and mobility management function,AMF)网元、SMF网元、网络开放功能(network exposure function,NEF)网元、网络功能库功能(network repository function,NRF)网元、策略控制功能(policy control function,PCF)网元、统一数据管理(unified data management,UDM)网元和应用功能(applicationfunction,AF)网元。上述运营商网络中,除(R)AN部分之外的部分可以称为核心网部分。在本申请中,将用户设备、(无线)接入网设备、UPF网元、AUSF网元、UDR网元、AMF网元、SMF网元、NEF网元、NRF网元、PCF网元、UDM网元、AF网元分别简称为UE、(R)AN设备、UPF、AUSF、UDR、AMF、SMF、NEF、NRF、PCF、UDM、AF。
下面对图1中涉及的各网元进行简单描述。
1、UE
UE主要通过无线空口接入5G网络并获得服务,UE通过空口和RAN进行交互,通过非接入层信令(non-access stratum,NAS)和核心网的AMF进行交互。
本申请实施例中的UE也可以称为终端设备、用户、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。UE可以是蜂窝电话、智能手表、无线数据卡、手机、平板电脑、个人数字助理(personal digital assistant,PDA)电脑、无线调制解调器、手持设备、膝上型电脑、机器类型通信(machine type communication,MTC)终端、带无线收发功能的电脑、物联网终端、虚拟现实终端设备、增强现实终端设备、可穿戴设备、车辆、设备到设备(device-to-device,D2D)通信中的终端、车物(vehicle to everything,V2X)通信中的终端、机器类通信(machine-type communication,MTC)中的终端、物联网(internet of things,IOT)中的终端、智能办公中的终端、工业控制中的终端、无人驾驶中的终端、远程手术中的终端、智能电网中的终端、运输安全中的终端、智慧城市中的终端、智慧家庭中的终端、卫星通信中的终端(例如,卫星电话或卫星终端)。UE还可以是客户终端设备(customer-premisesequipment,CPE)、电话、路由器、网络交换机、家庭网关(residential gateway,RG)、机顶盒、固定移动融合产品、家庭网络适配器、以及互联网接入网关。
本申请的实施例对UE所采用的具体技术和具体设备形态不做限定。
2、(R)AN设备
(R)AN设备可以为特定区域的授权用户提供接入通信网络的功能,具体可以包括第三代合作伙伴计划(3rd generation partnership project,3GPP)网络中无线网络设备也可以包括非3GPP(non-3GPP)网络中的接入点。下文为方便描述采用AN设备表示。
AN设备可以为采用不同的无线接入技术。目前的无线接入技术有两种类型:3GPP接入技术(例如,第三代(3rd generation,3G)、第四代(4th generation,4G)或5G系统中采用的无线接入技术)和非3GPP(non-3GPP)接入技术。3GPP接入技术是指符合3GPP标准规范的接入技术,例如,5G系统中的接入网设备称为下一代基站节点(next generation nodebase station,gNB)或者(R)AN设备。非3GPP接入技术可以包括以无线保真(wirelessfidelity,WiFi)中的接入点(access point,AP)为代表的空口技术、全球互联微波接入(worldwide interoperability for microwave access,WiMAX)、码分多址(codedivision multiple access,CDMA)等。AN设备可以允许终端设备和3GPP核心网之间采用非3GPP技术互连互通。
AN设备能够负责空口侧的无线资源管理、服务质量(quality of service,QoS)管理、数据压缩和加密等功能。AN设备为终端设备提供接入服务,进而完成控制信号和用户数据在终端设备和核心网之间的转发。
AN设备例如可以包括但不限于:宏基站、微基站(也称为小站)、无线网络控制器(radio network controller,RNC)、节点B(node B,NB)、基站控制器(base stationcontroller,BSC)、基站收发台(base transceiver station,BTS)、家庭基站(例如,homeevolved NodeB,或home node B,HNB)、基带单元(baseband unit,BBU),WiFi系统中的AP、WiMAX中的(base station,BS)、无线中继节点、无线回传节点、传输点(transmissionpoint,TP)或者发送接收点(transmission and reception point,TRP)等,还可以为5G(如,NR)系统中的gNB或传输点(TRP或TP),5G系统中的基站的一个或一组(包括多个天线面板)天线面板,或者,还可以为构成gNB或传输点的网络节点,如分布式单元(distributedunit,DU),或者下一代通信6G系统中的基站等。
本申请实施例对AN设备所采用的具体技术和具体设备形态不做限定。
3、UPF
UPF主要提供用户报文的转发、处理、与DN的连接、会话锚点、服务质量(qualityof service,QoS)策略执行等用户面功能。例如,UPF可以从DN接收用户面数据,并通过AN设备将用户面数据发送给终端设备。UPF还可以通过AN设备从终端设备接收用户面数据,并转发到DN。
4、DN
DN主要用于为UE提供数据服务的运营商网络。例如,因特网、第三方的业务网络、IP多媒体服务业务(internet protocol multi-media service,IMS)网络等。
5、AUSF
AUSF主要用于用户鉴权等。
6、UDR
UDR主要提供签约数据、策略数据及能力开放相关数据的存储能力。
7、AMF
AMF主要用于接入控制、移动性管理、附着与去附着等功能。
8、SMF
SMF主要负责会话管理(如会话建立、修改、释放)、因特网协议(internetprotocol,IP)地址分配和管理、UPF的选择和控制等。
9、NEF
NEF主要用于安全地向外部开放由3GPP网络功能提供的业务和能力等。
10、NRF
NRF主要用于保存网络功能实体以及其提供服务的描述信息等。
11、PCF
PCF主要用于指导网络行为的统一策略框架,为控制面网元(例如AMF,SMF等)提供策略规则信息等。
12、UDM
UDM主要用于UE的签约数据管理,包括UE标识的存储和管理,UE的接入授权等。
13、AF
AF主要用于向3GPP网络提供业务,如与PCF之间交互以进行策略控制等。
在图1所示的网络架构中,各网元之间可以通过图中所示的接口通信,部分接口可以采用服务化接口的方式实现。如图1所示,UE和AMF之间可以通过N1接口进行通信。RAN和AMF之间可以通过N2接口进行通信。其他接口与各网元之间的关系如图1中所示,为了简洁,这里不一一详述。
应理解,上述所示的网络架构仅是示例性说明,适用本申请实施例的网络架构并不局限于此,任何能够实现上述各个网元的功能的网络架构都适用于本申请实施例。
还应理解,图1中所示的AMF、SMF、UPF、PCF、UDM、AUSF、UDR、NEF、NRF、AF等功能或者网元,可以理解为用于实现不同功能的网元,例如可以按需组合成网络切片。这些网元可以各自独立的设备,也可以集成于同一设备中实现不同的功能,或者可以是硬件设备中的网络元件,也可以是在专用硬件上运行的软件功能,或者是平台(例如,云平台)上实例化的虚拟化功能,本申请对于上述网元的具体形态不作限定。
还应理解,上述网元或者功能可划分出一个或多个服务,进一步,还可能会出现独立于网络功能存在的服务。在本申请中,上述功能的实例、或上述功能中包括的服务的实例、或独立于网络功能存在的服务实例均可称为服务实例。此外,在实际部署中,不同功能的网元可以合设。例如,接入与移动性管理网元可以与会话管理网元合设;会话管理网元可以与用户面网元合设。当两个网元合设的时候,本申请实施例提供的这两个网元之间的交互就成为该合设网元的内部操作或者可以省略。
还应理解,上述命名仅为便于区分不同的功能而定义,不应对本申请构成任何限定。本申请并不排除在6G网络以及未来其它的网络中采用其他命名的可能。例如,在6G网络中,上述各个网元中的部分或全部可以沿用5G中的术语,也可能采用其他名称等。
还应理解,图1中的各个网元之间的接口名称只是一个示例,具体实现中接口的名称可能为其他的名称,本申请对此不作具体限定。此外,上述各个网元之间的所传输的消息(或信令)的名称也仅仅是一个示例,对消息本身的功能不构成任何限定。
图2示出了本申请实施例的NFV系统的示意性架构图。如图2所示,NFV的参考架构由以下几个主要功能构件组成:
1、NFV基础设施(NFV infrastructure,NFVI),用于提供支撑NFV的执行所需要的虚拟化资源,包括商业现货供应(commercial off the shelf,COTS)的硬件、必要的加速器组件,以及对底层硬件进行虚拟化和抽象化的软件层。
例如,NFVI可以包括计算硬件、存储硬件、网络硬件组成的硬件资源层、虚拟化层、以及虚拟计算、虚拟存储和虚拟网络组成的虚拟资源层。
其中,虚拟化层为用于承载虚拟实例所需要的软件构成的软件层,其安装在COTS主机的硬件层之上,虚拟化层包括但是不限于:引导程序,云操作系统(Cloud OS)或宿主操作系统(host OS),虚拟机监视器(hypervisor),虚拟机管理器(VMM)以及其他支撑虚拟实例工作的安全、传输、业务需要的软件等,本申请不予限制。
2、虚拟网络功能(virtual network function,VNF)是能够在NFVI上运行的网络功能(network function,NF)的软件实现,可能还附有组件管理系统(element managementsystem,EMS)来理解和管理单独的VNF及其特性。VNF相当于网络节点的实体,被期望以摆脱硬件依赖的纯软件来交付。
其中,VNF之内进一步定义了以下功能构件:
(1)虚拟网络功能组件(virtual network function component,VNFC),是VNF的组成部分,用于实现特定的VNF一部分功能,例如:计算,存储,通信等。一般来说VNF具有多个VNFC,每个VNFC都由一个或者多个VI构成,可以将一个VNFC理解为一个虚拟实例VI组。
(2)虚拟网络功能平台(virtual network function platform,VNFP),是VNF的组成部分,提供管理VNFC、联络网管,管理虚拟设备、总线通信等功能。一般来说一个VNF只有一个VNFP,VNFP可以有不同的形态,例如,VNFP可以和VNFC合并设置,或者VNFP可以作为管理软件置入到构成VNF的VI中,或者可以作为一组配置列表存储在VNF的配置信息中,本申请对此不做限制。
3、管理和编排(management and orchestration,MANO),用于提供综合管理能力,包含但不限于编排、支撑基础设施虚拟化的物理和/或软件资源的生命周期管理、VNF的生命周期管理等。MANO还可以与(NFV外部的)运营支撑系统(operation support system,OSS)/业务支撑系统(business support system,BSS)进行交互,实现对NFV的管理。
其中,MANO之内进一步定义了以下功能构件:
(1)NFV编排器(NFV orchestrator,NFVO),主要用于网络业务的部署和管理,并根据网络业务协调VNF的部署和管理。NFVO还可以对接OSS/BSS,以获得网络业务的业务描述,NFVO还可以用于协调VIM和VNFM部署或管理对应的VNF。
(2)VNF管理器(VNF manager,VNFM),主要负责部署或管理对应的VNF。应理解,每个VNF都被假定具有一个关联的VNFM,一个VNFM可以被指派管理单一VNF实例或者管理多个相同或相异类型的VNF实例。VNFM主要负责:VNF实例化、VNF配置NFV资源、VNF实例更新、VNF实例缩放、VNF实例相关NFVI性能度量和事件的收集以及与VNF实例相关事件的关联、VNF实例受助或自动康复、VNF实例终止、VNF实例贯穿其生命周期的完整性管理、为NFVI和EMS之间的配置和事件报告担当全局协调和适配的角色等,例如,VNFM可以根据网管的需求增加VNF、删除VNF、查找VNF、或者管理VNF,如对VNF的状态监控和调整。
(3)虚拟化基础设施管理器(virtualized infrastructure manager,VIM),主要负责控制NFVI为VNF提供对应的虚拟资源。应理解,在一个运营商的基础设施子域内,一个VIM可以专门处理某类NFV资源或者可以管理多种类型的NFV资源。VIM主要负责编排NFV资源的分配/升级/解除分配/回收利用,管理虚拟化资源与计算、存储、网络资源的关联;管理硬件资源(计算、存储、网络)和软件资源(例如管理程序)的目录;收集和转发虚拟化资源的性能度量和事件等。例如,VIM可以根据NFVO调度,控制NFVI为VNF的部署或管理提供对应的虚拟资源。VIM可以是一个云平台,例如开源的云平台,如openstack,或者商业的云平台,如VMWare。
需要说明的是,虚拟实例(VI)为通过各种虚拟化方式实现的功能实体,包括但是不限于:基于虚拟机技术实现的传统虚拟机,或者是基于容器(container)技术实现的虚拟实例(例如,docker)等。
应理解,本申请实施例中,名词“网元”表示NFV架构中的功能组件,例如,网元可以为NFVO、OSS、VNF或者VNFM等,“网元”也可以称为“功能组件”、“设备”或者“装置”等,本申请实施例并不限于此。
为便于理解本申请实施例,对本申请中涉及到的术语或技术进行简单说明。
1、网络功能虚拟化(Network Functions Virtualization,NFV):将许多传统类型的网络设备(如servers,switches和storage等)的网络功能与其物理设备剥离并以软件的形式运行在商业现成主机(commercial off-the-shelf,COTS)上。也可以说是通过借用IT的虚拟化技术虚拟化形成虚拟机(virtual machine,VM),然后将传统的通信业务部署到NFVI上。
2、远程证明(remote attestation,RA):远程证明是一种独特的安全服务,请求度量网元(称为attester)获取数据,发送给验证网元(称为verifier)用来验证或解释可能感染恶意软件的远程不受信任的内部状态(包括内存和存储)。远程证明可以扩展以允许远程代码更新。这可用于安全地更新设备上运行的软件、重置受感染的设备或擦除设备。一种简单的验证实现RA的一种常见方法是“挑战-响应(challenge and response)”协议,具体为以下四个步骤:
(1)挑战:verifier生成一个“挑战”包含一些随机数唯一参考和请求信息,请求attester进行度量。
(2)计算度量内部状态:attester通过度量等手段计算出需要的散列值,
(3)响应:包含(1)中包括的证据经过计算或签名等操作之后打包发送给verifier。
(4)证据有效性检查和证明:verifier核实attester发送的响应是唯一对应于之前挑战的,之后通过检查散列值内容判断目标响应是否符合规范。
3、网元管理系统(element management system,EMS):简称网管,主要负责VNF的功能管理,包括但不限于故障、配置、计费、性能和安全管理等。EMS可以通过专有接口管理VNF。EMS可以管理一个或者多个VNF。EMS部署形态是灵活的,有可能是虚拟化部署与VNF合并设置,也有可能是实体部署在机房中。
4、依赖方(relying party):根据证明结果以采取后续的行动,依赖方的具体形态不做限制,举例来说:可以是某个普通的网元,(例如,NRF),也可以是位于EMS处的网元,或者是位于MANO中的一个网元。
5、度量场景:可以理解为在特定场景下对一个或多个指定的度量对象进行指定的度量流程,例如,度量场景为度量业务网元的部署环境或迁移环境的安全性是否满足要求,满足安全性要求需要依次对一个或多个度量对象度量并验证。
6、度量对象:可以理解为对某一度量场景进行度量时的具体的目标,一个度量场景可以对应一个或多个度量对象,例如,上述度量场景对应的度量对象可以为业务网元的镜像文件。
7、度量内容:可以理解为对度量对象进行度量时的具体证据,一个度量对象可以对应一个或多个度量内容,例如,上述度量对象的度量内容可以为镜像文件的生成日期、散列值、修改日期等。
8、度量指标:可以理解为一种基线值,即期望度量结果应满足的条件,一个度量内容对应一个度量指标,例如镜像文件的生成日期为部署该业务网元的生产日期等。
可以理解,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
上面对本申请中涉及到的术语做了简单说明,下文实施例中不再赘述。下文将结合附图详细说明本申请实施例提供的通信方法。本申请提供的实施例可以应用于上述图1和图2所示的架构中,不作限定。
基于图2的NFV架构中,可以采用面向租户的的远程证明,对NFV架构中部分租户(例如,VNF)进行单独的远程证明,例如,利用基于远程证明的方式来保证VNF的安全。然而,由于VNF由多个VI实现,在对VNF进行度量时,无论什么触发场景,attester都会将VNF当成一个整体,对VNF的每个部分都进行度量,同时,也无法对特定的内容和对象进行度量,这样会导致整个远程证明流程冗长且不实用。
因此,本申请提供了一种业务管理方法,根据不同的度量场景,触发对特定的内容和对象进行远程证明,对于特定触发场景度量NFV中特定的部分,从而降低度量的复杂度,实现节约通信和计算开销,进一步地提高远程证明实用效果。
下面,结合具体的实施例,详细描述本申请实施例提供的业务管理方法。
图3是本申请实施例提供的一种业务管理方法300的示意性流程图,如图3所示,该方法300具体包括以下步骤。
S310,第一网元接收第一请求信息。
具体地,第一网元接收来自业务触发方的第一请求信息。
应理解,业务触发方,即请求发起度量的功能模块,可以是核心网中的一个网络功能,比如会话管理网元或者安全功能网元;还可以是位于NFVI中的管理设备,例如OSS/BSS或者EMS;还可以是定期触发的事件发生器模块等,本申请不予限制。
其中,第一请求信息用于请求进行针对第一度量场景的度量,第一度量场景为需要进行度量的度量场景。
具体地,第一请求信息包括以下至少一项信息:第一度量场景对应的度量对象的指示信息、第一度量场景对应的度量指标的指示信息、第一度量场景对应的度量等级的指示信息、第一度量场景对应的索引。
S320,第一网元根据映射关系,确定至少一个第二网元。
具体地,第一网元根据本地的映射关系,确定该第一度量场景对应的至少一个第一度量对象和与第一度量对象对应的第二网元。
应理解,第二网元可以是能够对第一度量对象进行度量的网元,一个第二网元可以对应多个第一度量对象,本申请不予限制。
应理解,第一网元可以通过预配置等方式获得映射关系,例如,该映射关系通过本地配置的方式配置在第一网元中,本申请对此不予限制。
其中,映射关系具体用于指示多个索引与多个参数组之间的对应关系,每个索引对应至少一个度量场景。
示例性地,度量场景包括但不限制于:
第一场景,用于度量业务网元的部署环境或迁移环境的安全性是否满足要求。
其中,部署环境可以为将尚未实例化或尚未启动的业务网元部署到新的环境。
其中,迁移环境可以为将已经实例化或已启动的业务网元迁移到新的环境。
示例性地,对于尚未实例化,或者尚未启动的业务网元,将其部署到新的环境(例如,NFV,或者虚拟化网元部署环境,或者云平台,或者电信云)时,需要度量该环境的镜像文件、虚拟化层、硬件的属性等是否安全或符合部署的要求。
示例性地,对于已经实例化,或者已启动的业务网元,通过迁移等方式部署到新的环境(例如,NFV,或者虚拟化网元部署环境,或者云平台,或者电信云)时,需要度量该环境的镜像文件、虚拟化层、硬件的属性等是否安全或符合部署的要求,本申请不予限制。
其中,业务网元可以是通信系统中的各个网元,例如,会话管理网元、移动性管理网元等,本申请不予限制。
其中,部署环境的硬件可以为承载业务网元的主机中的主板、CPU、安全芯片等,本申请不予限制。
第二场景,用于度量业务网元的一个或多个虚拟存储实例的地理位置是否满足要求。例如,对于业务网元对应的一个或多个负责存储信息的虚拟实例,判断其地理位置是否位于合理的地理位置范围内,本申请不予限制。
第三场景,用于度量业务网元的一个或多个软件是否满足要求。例如,对于虚拟化层中的软件,判断该软件的版本是否在合理的软件版本范围内,本申请不予限制。
其中,每个参数组包括以下至少一个参数:度量索引、度量对象、度量指标、度量等级。
其中,度量索引用于指示对应的度量场景,一个度量索引对应一个度量场景。
其中,度量对象为对某一度量场景进行度量的目标,例如,业务网元的镜像文件、业务网元对应的一个或多个负责存储信息的虚拟实例的地理位置、虚拟实例部署的虚拟化层的软件等,本申请不予限制。
其中,度量内容为需要获取的度量对象的相关证据,例如,软件的版本、业务网元的镜像文件的散列值等,本申请不予限制。
其中,度量指标为根据度量内容得到的度量结果应满足的预期范围,也可以称为基线值。示例性地,该度量指标可以为一个阈值,例如,度量指标为“合理的软件版本范围为v1.1-v1.5”,若度量结果为“软件的版本为v1.2”,则满足度量指标。示例性地,该度量指标还可以为“具体文字”,例如度量指标为“地理位置为中国”,若度量结果为“虚拟实例的地理位置为中国”,则满足度量指标。示例性地,该度量指标还可以为“日期”,例如,度量指标为“2019年6月至2019年12月”,若度量结果为“2019年8月”,则满足度量指标。示例性地,该度量指标还可以为“散列值”,例如,度量指标为“3ac295783649”,若度量结果为“3ac295783649”,则满足度量指标。应理解,本申请对此不予限制。
应理解,度量指标可以为第一网元本地配置的,也可以为从业务触发方接收得到的,本申请不予限制。
其中,度量等级为针对某一度量场景进行度量时的能够进行度量的度量对象的范围,也可以称为安全等级,例如,当度量等级为1级时,能够对该度量场景对应的全部度量对象进行度量;再例如,当度量等级为2级时,对该度量场景中度量级别前2级的度量对象进行度量,本申请不予限制。
为了便于理解,下面表1示例性地列出了部分映射关系,即多个索引与多个参数组之间的对应关系。
表1映射关系列表
从上述表1可以看出,一个度量索引可以对应一个,一个度量场景可以对应一个或多个度量对象。应理解,上述表1仅为示例,本申请不予限制。
为了便于理解,下面对确定第二网元进行举例说明。
示例性地,当第一度量场景对应的索引为1时,第一网元根据映射关系确定度量场景为第一场景,再根据度量等级为1,确定度量对象为业务网元的镜像文件、部署环境或迁移环境对应的一个或多个虚拟化层和部署环境或迁移环境对应的一个或多个硬件的属性,进一步确定第二网元可以为镜像验证网元(例如,位于MANO的IMG verifier)、虚拟化基础设施管理网元(例如,位于虚拟化层的MANO-VIM)和地理位置验证网元(例如,位于虚拟化层的Cloud OS verifier)。
示例性地,当第一度量场景对应的索引为2时,第一网元根据映射关系确定度量场景为第二场景,再根据度量等级为1,确定度量对象为业务网元对应的一个或多个负责存储信息的虚拟实例的地理位置,进一步确定第二网元可以为地理位置验证网元(例如,位于虚拟化层的Cloud OS verifier)。
示例性地,当第一度量场景对应的索引为3时,第一网元根据映射关系确定度量场景为第三场景,再根据度量等级为2,确定度量对象为虚拟实例部署的虚拟化层的软件,进一步确定第二网元可以为云操作系统验证网元(例如,位于虚拟化层的Cloud OSverifier)。
需要说明的是,上述确定第二网元的方式仅为示例,本申请对此不予限制。
需要说明的是,上述的IMG verifier、Cloud OS verifier等为部署于不同位置,具有不同功能的验证网元verifier,其中,IMG verifier、Cloud OS verifier仅为示例,本申请可能还涉及其他功能的verifier,例如Guest OS verifier,VNF verifier等,本申请不予限制。
其中,IMG verifier可以为位于MANO中的一个网元,例如部署在MANO-VNFM上,IMGverifier主要用于验证镜像文件的完整性相关证据,例如,位于MANO的IMG verifier向其对应的IMG attester请求获取镜像文件的相关证据,并对相关证据进行验证等,本申请不予限制。
其中,Cloud OS verifier可以为位于MANO中或者虚拟化层的一个网元,Cloud OSVerifie主要用于验证指定的虚拟化层和硬件层是否安全以及配置的相关证据,例如,位于虚拟化层的Cloud OS verifier向其对应的Cloud OS attester请求获取位于硬件层、虚拟化层、或虚拟示例中的相关证据,并对相关证据进行验证等,本申请不予限制。
其中,Guest OS verifier可以为位于虚拟实例中的一个网元,Guest OSverifier主要用于验证虚拟实例中的软件是否安全以及配置的相关证据,例如,位于虚拟实例的Guest OS verifier向其对应的Guest OS attester请求获取虚拟实例中的软件的相关证据,并对相关证据进行验证等,本申请不予限制。
其中,VNF verifier,即业务网元验证网元,可以为EMS上的一个功能模块,也可以为位于其他业务网元上的验证功能模块,VNF verifier主要用于验证业务网元的安全以及配置的相关证据,例如,位于EMS上的VNF verifier向其对应的VNF attester请求获取VNFP的相关证据,并对相关证据进行验证等,本申请不予限制。
一种可能的实施方式,当第一网元判断第一请求信息中的至少一个度量对象中,有第一网元对应的度量网元不能够度量的度量对象时,第二网元将该度量对象确定为第一度量对象,通过根据映射关系,确定能够度量第一度量对象的第二网元,向该第二网元发送第二请求信息,以请求对该第一度量对象进行度量。
其中,第一网元判断第一请求信息中的至少一个度量对象中,是否有第一网元对应的度量网元不能够度量的度量对象时,可以通过以下几种方式进行判断:
一种可能的实施方式,第一网元获取到需要度量的度量对象后,根据映射关系,确定该度量对象对应的进行度量的网元,若该网元为其他网元,则确定该度量对象为第一网元对应的度量网元不能够度量的度量对象。
示例性地,第一网元为MANO-VNFM,度量对象为业务网元的镜像文件,第一网元通过映射关系确定度量镜像文件的为IMG verifier,并不是MANO-VNFM,则第一网元确定业务网元的镜像文件为不能够度量的度量对象。
一种可能的实施方式,第一网元根据预配置的度量指标,确定预配置的度量指标中未包括能够验证该度量对象的度量指标,则第一网元确定该度量对象为第一网元对应的度量网元不能够度量的度量对象。
示例性地,度量对象为虚拟实例的软件,该度量对象对应的度量指标为“软件的版本范围为v1.1-v1.5”,第一网元预配置的度量指标中未包括“软件的版本范围为v1.1-v1.5”,则第一网元确定业务网元的镜像文件为不能够度量的度量对象。
一种可能的实施方式,第一网元根据预配置的可度量对象,确定预配置的可度量对象中未包括需要度量的该度量对象,则第一网元确定该度量对象为第一网元对应的度量网元不能够度量的度量对象。
示例性地,需要度量的该度量对象为业务网元的镜像文件,第一网元预配置的可度量对象中未包括业务网元的镜像文件,则第一网元确定该度量对象为第一网元对应的度量网元不能够度量的度量对象。
需要说明的是,上述判断第一请求信息中的至少一个度量对象中,是否有第一网元对应的度量网元不能够度量的度量对象的方式仅为示例,本申请对此不予限制。
S330,第一网元向至少一个第二网元发送第二请求信息。
应理解,第一网元确定至少一个第一度量对象后,根据映射关系,确定该第一度量对象对应的第二网元,向该第二网元发送第二请求信息,以请求对第一度量对象进行度量。
其中,第二请求信息用于请求进行针对第一度量场景的度量。
一种可能的方式,该第二请求信息中还包括度量内容和度量指标。
一种可能的方式,该第二请求信息中未包括度量内容和度量指标,第二网元通过本地预配置获得对于第一度量场景的度量的度量内容和度量指标。
一种可能的实施方式,当第一网元判断第一请求信息中的至少一个度量对象中,有第一网元对应的度量网元能够度量的度量对象时,第一网元将该度量对象确定为第二度量对象,第一网元向第一网元对应的至少一个度量网元发送第三请求信息,以请求对该第二度量对象进行度量。
可选地,当度量场景为第二场景时,该方法300还包括:
S331,第一网元获得第一配置信息。
其中,该第一配置信息用于指示多个标识与多个虚拟实例组的对应关系。
应理解,每个虚拟实例组包括多个虚拟实例,任意两个虚拟实例组对应的存储内容不同,例如,编号01的虚拟实例组用于存储数据信息,编号02的虚拟实例组用于计算等,本申请不予限制。
示例性地,虚拟实例组可以为虚拟网络功能组件(virtual network functioncomponent,VNFC),本申请不予限制。
应理解,在NFV系统中,每个VNF包括多个不同功能的VNFC,可以理解为,NFV系统中包括多个VNF,其中每个VNF由多个VI构成,将一个或多个VI根据其功能不同,划分到不同的VNFC中。
其中,存储内容包括以下至少一项:用户信息、通信记录、业务数据。
示例性地,用户信息可以包括终端设备在网络中的信息,通信记录可以包括多个网元之间的记录信息,业务数据可以包括终端设备的签约数据库信息等,本申请不予限制。
一种可能的实施方式,第一网元通过向VNFP请求查询的方式获得第一配置信息。
一种可能的实施方式,第一网元通过业务网元验证网元度量的方式获得第一配置信息。
应理解,当第一网元获得第一配置信息后,可通过第一请求信息中的度量对象,确定需要验证的虚拟实例组,将该虚拟实例组中虚拟实例的标识携带在请求信息中,请求第二网元对该虚拟实例组进行度量。
可选地,当度量场景为第三场景时,该方法300还包括:
S332,第一网元获得第二配置信息。
其中,该第二配置信息用于指示多个标识与多个软件的对应关系,其中,多个软件包括以下至少一项:虚拟实例中的软件、虚拟实例部署的虚拟化层的软件,例如,编号0001对应的VI-1包括装有Cloud OS-1和hypervisor-1软件等,本申请不予限制。
一种可能的实施方式,第一网元通过向VNFP请求查询的方式获得第二配置信息。
一种可能的实施方式,第一网元通过业务网元验证网元度量的方式获得第二配置信息。
示例性地,业务网元验证网元可以为VNF verifier,本申请不予限制。
应理解,当第一网元获得第二配置信息后,可通过第一请求信息中的度量对象,确定需要验证的VI对应的软件,将该软件的标识携带在请求信息中,请求第二网元对该软件进行度量。
S340,第二网元对至少一个第一度量对象进行度量,确定第一度量结果信息。
应理解,第二网元接收到来自第一网元的第二请求信息后,根据度量场景、度量对象、度量内容和度量指标对第一度量场景进行度量,确定第一度量结果信息。
其中,该第一度量结果信息用于指示针对所述至少一个第一度量对象的第一度量结果。一种可能的实施方式,当度量场景为第一场景时:
示例性地,当度量对象为业务网元的镜像文件时,第二网元(例如IMG verifier),对业务网元的镜像文件的正确性进行验证,得到第一度量结果。
其中,对业务网元的镜像文件的正确性进行验证可以包括验证镜像文件是否完整,例如,镜像文件的散列值、文件名,修改时间是否符合基线值,本申请不予限制。
示例性地,当度量对象为部署环境或迁移环境对应的一个或多个虚拟化层时,第二网元(例如MANO-VIM)对部署环境或迁移环境对应的一个或多个虚拟化层的安全性进行验证,得到第一度量结果。
示例性地,当度量对象为部署环境或迁移环境对应的一个或多个的硬件的属性时,第二网元(例如位于虚拟化层的Cloud OS verifier)对部署环境或迁移环境对应的一个或多个的硬件的属性进行验证,得到第一度量结果。
其中,对部署环境或迁移环境对应的一个或多个的硬件的属性进行验证可以包括验证该硬件中是否包括安全硬件(例如,安全芯片、全球定位系统(global positioningsystem,GPS)模块等),或者该硬件所在的云服务器的地理位置是否安全等,本申请不予限制。
一种可能的实施方式,当度量场景为第二场景时:
示例性地,当度量对象为业务网元对应的一个或多个负责存储信息的虚拟实例的地理位置时,第二网元(例如Cloud OS verifier),对上述虚拟实例的地理位置进行验证,得到第一度量结果。
其中,对虚拟实例的地理位置进行验证可以包括验证该负责存储信息的虚拟实例的地理位置是否位于预期地理位置内等,例如,VI-1的地理位置是否位于预期的“中国-北京”,本申请不予限制。
一种可能的实施方式,当度量场景为第三场景时:
示例性地,当度量对象为虚拟实例中的软件时,第二网元(例如位于虚拟实例中的Guest OS verifier),对虚拟实例中的软件进行验证,得到第一度量结果。
其中,对虚拟实例中的软件进行验证可以包括验证该软件的版本是否为合理的软件版本范围内等,本申请不予限制。
示例性地,当度量对象为虚拟实例部署的虚拟化层的软件时,第二网元(例如位于虚拟化层的Cloud OS verifier),对虚拟实例部署的虚拟化层的软件进行验证,得到第一度量结果。
其中,对虚拟实例部署的虚拟化层的软件进行验证可以包括验证该软件的版本是否为合理的软件版本范围内等,本申请不予限制。
S350,第一网元接收第一度量信息。
其中,第一度量信息包括所述至少一个第二网元发送的至少一个第一度量结果信息。
一种可能的实施方式,当第一网元判断第一请求信息中的至少一个度量对象中,有第一网元对应的度量网元能够度量的度量对象,即第二度量对象时,第一网元请求第一网元对应的至少一个度量网元对该第二度量对象进行度量,接收第二度量信息。
其中,该第二度量信息包括第一网元对应的至少一个度量网元发送的至少一个第二度量结果信息,该第二度量信息用于指示针对所述第二度量对象的第二度量结果。
S360,第一网元根据第一度量信息,发送针对第一请求信息的第一反馈信息。
应理解,第一网元根据第一度量信息是否符合度量指标,确定第一反馈信息,并向业务触发方反馈。
其中,该第一反馈信息用于指示该第一度量场景是否满足要求。
一种可能的实施方式,当第一网元接收到第二度量信息时,第一网元根据第一度量信息和第二度量信息,确定第一反馈信息,并向业务触发方反馈。
可选地,当第一反馈信息用于指示第一度量场景不满足要求时,该方法还包括:
S370,第一网元向业务网元管理网元发送第一指示信息。
其中,该第一指示信息用于指示对一个或多个度量对象进行重新配置。
示例性地,对度量对象进行重新配置包括但不限于:对不符合要求的虚拟实例进行重新启动、利用镜像文件对业务网元重新进行实例化、重新提供镜像文件等,本申请对此不予限制。
基于上述方案,第一网元能够根据业务触发方触发的不同度量场景,针对性地对NFV中特定的部分进行度量,降低度量的复杂度,实现节约通信和计算开销,进一步地提高远程证明实用效果。
基于上述方法300所提供的业务管理方法,在不同的度量场景下,进行度量的网元及度量的流程有所不同,下面结合图4-图6,对不同度量场景的具体度量流程进行详细说明。
当度量场景为度量业务网元的部署环境的安全性是否满足要求时,可采用如图4所示的方法进行度量,下面结合图4进行详细介绍。
图4是本申请实施例提供的一种通信方法400的示意图。图4可参考图3的描述,该方法400可以包括如下步骤。
S401,接收触发请求信息。
应理解,当将尚未实例化或尚未启动的业务网元部署到新的环境,或者将已经实例化或已启动的业务网元迁移到新的环境时,需要度量新的环境的安全性是否满足要求,此时,触发网管EMS对业务网元的部署环境的安全性进行度量。
一种可能的实施方式,由业务触发方向EMS发送触发请求信息,以触发对业务网元的部署环境的安全性进行度量。
一种可能的实施方式,当业务触发方与EMS合一部署时,由内部触发EMS对业务网元的部署环境的安全性进行度量。
其中,该触发请求信息包括以下至少一项:网元类型、度量等级。
具体的,在一种可能的实现方式中,该触发请求信息中包括网元类型、度量等级。
其中,网元类型用于网管EMS确定部署业务网元时采用的安全环境,以便请求度量新的环境是否满足该安全环境。
其中,度量等级用于指示度量部署环境的安全性时需要度量的度量对象,度量等级还可以称为安全级别或者安全需求描述,本申请对该名称不做限定。
示例性地,当度量等级为1时,度量对象共有三个,具体为业务网元的镜像文件,部署环境对应的一个或多个虚拟化层和部署环境对应的一个或多个硬件的安全性。
示例性地,当度量等级为2时,度量对象共有两个,具体为业务网元的镜像文件和部署环境对应的一个或多个虚拟化层。
应理解,每个度量等级对应的度量对象中都包括部署环境对应的一个或多个虚拟化层。
应理解,度量对象还可以指其他对象,并不限于上述三种,本申请实施例对此不作限制。
可选地,在一种可能的实现方式中,该触发请求信息中也可以不包括度量等级,即,该触发请求信息中仅包括网元类型,则EMS根据预配置确定度量部署环境时采用的度量等级。
S402,EMS向MANO-VNFM(MANO-VNF manager)发送第一请求信息。
相应地,MANO-VNFM接收来自EMS的第一请求信息。
应理解,上述S402中的MANO-VNFM即可以理解为S330中的第一网元。
需要说明的是,MANO-VNFM是位于MANO中,负责管理虚拟网络功能的网元,包括但不限于对虚拟网络功能实例化、监控、修复、扩展、更新及备份等。
其中,该第一请求信息用于请求度量业务网元的部署环境的安全性是否满足要求。
具体地,该第一请求信息包括度量策略。
其中,度量策略为度量等级对应的度量对象的度量结果反馈,例如,对于业务网元的镜像文件的度量结果,对于部署环境对应的一个或多个虚拟化层的度量结果,对于部署环境对应的一个或多个硬件的属性的度量结果等,本申请对此不予限制。
可选地,在一种可能的实现方式中,该第一请求信息中还可以包括NFVI部署位置需求。
其中,NFVI部署位置需求为业务网元预期部署的地理位置,该地理位置可以为一个具体的位置,还可以为一个位置范围,例如,NFVI部署位置需求可以是指要求硬件COTS具备可信执行环境;或者NFVI部署位置需求还可以是指虚拟实例采用容器;再或者NFVI部署位置需求还可以是指传统虚拟机方式实现;再或者NFVI部署位置需求还可以是指组成VNF来自指定的虚拟机分组标识(例如,指定虚拟数据中心(virtual data center,vDC)编号);再或者NFVI部署位置需求还可以是承载Cloud OS位于硬件地理位置标识(例如,可用区域(availability zone,Az)编号),本申请实施例对此不作限制。
S403,MANO-VNFM确定度量对象。
具体地,MANO-VNFM分析第一请求信息中的度量策略,确定度量对象。
应理解,一个度量对象对应一个或多个度量指标,该度量指标为度量对象的度量结果应满足的预期范围。应理解,该度量指标可以为EMS发送得到的,还可以为MANO-VNFM根据本地配置得到的,本申请不予限制。
应理解,根据度量对象的不同,进行度量的方式也有所不同,下面针对不同的度量对象介绍相应的度量方式。
一种可能的实施方式,当度量对象包括业务网元的镜像文件时,该方法还可以包括S404-S406。
S404,MANO-VNFM向IMG verifier发送第二请求信息。
相应地,IMG verifier接收来自MANO-VNFM的第二请求信息。
应理解,上述S404中的MANO-VNFM可以理解为S330中的第一网元,IMG verifier可以理解为S330中的第二网元。
应理解,IMG verifier为MANO系统中,用于验证镜像文件的网元。需要说明的是,用于验证镜像文件的网元还可以为其他网元,本申请仅以IMG verifier作为示例进行说明,对此不做限制。
其中,该第二请求信息用于请求IMGverifier验证业务网元的镜像文件的正确性。
其中,该第二请求信息中包括业务网元的镜像文件的标识信息。该标识信息用于指示业务网元对应的镜像文件,该标识信息可以包括文件名、文件的散列值、文件的目录等,本申请不予限制。
应理解,验证业务网元的镜像文件的正确性可以理解为验证镜像文件是否完整或是否被篡改,例如,镜像文件的散列值、文件名,修改时间是否符合度量指标或基线值。
S405,IMGverifier向IMG attester请求对业务网元的镜像文件进行度量。
应理解,IMGverifier接收到第二请求信息之后,向IMG attester请求证据,接收到对应的证据后,根据度量指标,对上述一个或多个证据进行验证,得到第一度量结果信息。
其中,该第一度量结果信息用于指示该业务网元的镜像文件是否符合度量指标。
S406,IMGverifier向MANO-VNFM返回业务网元的镜像文件对应的第一度量结果信息。
为了便于理解,对度量对象为业务网元的镜像文件时的度量过程,即S404-S406进行举例说明。
示例性地,当MANO-VNFM向IMG verifier发送的第二请求信息中包括的业务网元的镜像文件的标识信息为“udm123.img文件”时,IMG verifier请求自己对应的IMGattester到存储装置中找到对应udm123.img文件,IMG attester对该文件进行度量,获得该文件的生成日期、散列值、修改日期等证据,将这些证据回复给IMG verifier。IMGverifier与MANO-VNFM发送的度量指标或者本地配置的度量指标进行校验,判断上述证据是否符合度量指标,确定udm123.img文件的第一度量结果信息,例如,“udm123.img远程证明结果为合格”,并将该第一度量结果信息返回给MANO-VNFM。
一种可能的实施方式,当度量对象为部署环境对应的一个或多个虚拟化层时,该方法400还可以包括S407-S408。
S407,MANO-VNFM向MANO-VIM发送第三请求信息。
相应地,MANO-VIM接收来自MANO-VNFM的第三请求信息。
应理解,上述S407中的MANO-VNFM可以理解为S330中的第一网元,MANO-VIM可以理解为S330中的第二网元。
其中,该第三请求信息用于请求MANO-VIM验证部署环境中指定的NFVI部分中的一个或多个虚拟化层的安全性。
一种可能的实施方式,当第一请求信息中包括的NFVI部署位置需求时,MANO-VNFM请求MANO-VIM对指定的NFVI区域内的一个或多个虚拟化层进行远程证明。
一种可能的实施方式,当第一请求信息中未包括的NFVI部署位置需求时,MANO-VNFM根据预配置指定的NFVI区域,请求MANO-VIM对指定的NFVI区域内的一个或多个虚拟化层进行远程证明。
S408,MANO-VIM请求对部署环境对应的一个或多个虚拟化层进行度量。
具体地,MANO-VIM对接收到的第三请求信息中的NFVI部署位置需求进行解析,向MANO-VIM对应的attester请求获取部署环境对应的一个或多个虚拟化层的相关证据。MANO-VIM接收到相关证据后,根据度量指标,对上述证据进行验证,得到第一度量结果信息。
S409,MANO-VIM向MANO-VNFM返回部署环境对应的一个或多个虚拟化层对应的第一度量结果信息。
其中,该第一度量结果信息用于指示部署环境对应的一个或多个虚拟化层是否符合度量指标。
为了便于理解,下面对度量对象为部署环境对应的一个或多个虚拟化层时的度量过程,即S407-S409进行举例说明。
示例性地,当NFVI部署位置需求指示在Az编号为0010的COTS主机中部署,MANO-VNFM接收到对Az编号为0010的COTS主机进行远程证明的请求后,向MANO-VIM发送第二请求信息,以请求对Az编号为0010的COTS主机是否执行可信启动进行验证,MANO-VIM收到请求之后,使用MANO-VIM对应的attester获取相关的证据,例如获得可信启动后的证明文件、可信启动执行后的时间、可信启动过程中产生的散列值序列等,进而MANO-VIM对上述证据根据度量指标进行校验后,得到第一度量结果信息,例如,“Az编号为0010的COTS主机远程证明结果为合格”并将该第一度量结果信息返回给MANO-VNFM。
一种可能的实施方式,当度量对象为部署环境对应的一个或多个硬件的安全性时,该方法400还可以包括S410-S414。
S410,MANO-VNFM向MANO-VIM发送第四请求信息。
其中,该第二请求信息用于请求MANO-VIM对部署环境中指定的NFVI部分中的一个或多个硬件的安全性进行远程证明。
其中,一个或多个硬件的安全性可以理解为该一个或多个硬件中是否有安全硬件(例如,是否有安全平台芯片、安全执行环境等),或者可以理解为该一个或多个硬件是否部署于预定的地理范围内(例如,数据中心编号、机架号等是否位于预定的地理范围内)应理解,本申请实施例不限于上述两种情况。
S411,MANO-VIM向Cloud OSverifier发送该第四请求信息。
应理解,MANO-VIM接收到第四请求信息后,判断自身不具备度量一个或多个硬件的安全性的能力,因此将该第四请求信息转发给地理位置验证网元。
应理解,MANO-VIM向地理位置验证网元发送该第四请求信息,该地理位置验证网元可以位于Cloud OS中,例如Cloud OS verifier,下面以Cloud OS verifier为例进行说明。
一种可能的实施方式,当第一请求信息中包括的NFVI部署位置需求时,MANO-VIM请求Cloud OS verifier对指定的NFVI区域内的一个或多个硬件的安全性进行远程证明。
一种可能的实施方式,当第一请求信息中未包括的NFVI部署位置需求时,MANO-VIM根据预配置指定的NFVI区域,请求Cloud OS verifier对指定的NFVI区域内的一个或多个硬件的安全性进行远程证明。
S412,Cloud OS verifier请求Cloud OS attester对指定的NFVI区域内的一个或多个硬件的安全性进行度量。
具体地,Cloud OS verifier向Cloud OS attester请求获取部署环境对应的一个或多个硬件的安全性的证据。Cloud OS verifier接收到相应证据后,根据度量指标,对上述证据进行验证,得到第一度量结果信息。
S413,Cloud OS verifier向MANO-VIM返回部署环境对应的一个或多个硬件的安全性对应的第一度量结果信息。
其中,该第一度量结果信息用于指示该部署环境对应的一个或多个硬件的安全性是否符合度量指标
S414,MANO-VIM向MANO-VNFM返回部署环境对应的一个或多个硬件的安全性对应的第一度量结果信息。
为了便于理解,对度量对象为部署环境对应的一个或多个硬件的安全性时的度量过程,即S410-S414进行举例说明。
示例性地,当NFVI部署位置需求指示在编号为0010的硬件层中部署,MANO-VNFM接收到对编号为0010的硬件层进行远程证明的请求后,向MANO-VIM发送第二请求信息,MANO-VIM将该第二请求信息转发给Cloud OS verifier,请求Cloud OS verifier对编号为0010的硬件层的安全性进行远程证明,Cloud OS verifier向Cloud OS attester请求对其进行度量,例如对编号为0010的主机是否具有安全硬件(可信执行环境、可信根)、编号为0010的主机是否位于指定的地理位置内(例如,国家、数据中心)、对编号为0010的主机的BIOS固件版本进行度量、Cloud OS verifier获取到相关证据,例如,获得可信启动后的证明文件、可信启动执行后的时间、可信启动过程中产生的散列值序列等,进而Cloud OS verifier对上述证据根据度量指标进行校验后,得到第一度量结果信息,例如,“编号为0010的主机的远程证明结果为合格”等,并将该第一度量结果信息通过MANO-VIM返回给MANO-VNFM。
S415,MANO-VNFM向EMS返回第一度量信息。
其中,第一度量信息包括一个或多个度量对象对应的一个或多个第一度量结果信息。具体地,MANO-VNFM汇总从MANO-VIM、IMGverifier等收到的一个或多个第一度量结果信息,将一个或多个第一度量结果信息携带在第一度量信息中返回给EMS。例如,业务网元的镜像文件的远征证明结果合格、部署环境对应的一个或多个虚拟化层的远征证明结果不合格、部署环境对应的一个或多个硬件的安全性合格等,本申请对此不予限制。
一种可能的实施方式,当度量对象包括部署环境对应的一个或多个虚拟化层和部署环境对应的一个或多个硬件的安全性时,当MANO-VIM将接收到的部署环境对应的一个或多个硬件的安全性的第一度量结果信息返回给MANO-VNFM后,MANO-VNFM将部署环境对应的一个或多个虚拟化层的第一度量结果信息和部署环境对应的一个或多个硬件的安全性的第一度量结果信息一并返回给EMS。换句话说,当度量对象包括部署环境对应的一个或多个虚拟化层和部署环境对应的一个或多个硬件的安全性时,在获得部署环境对应的一个或多个硬件的安全性的第一度量结果信息时,需等待MANO-VNFM获得部署环境对应的一个或多个虚拟化层的第一度量结果信息之后,MANO-VNFM才会将两个第一度量结果信息一并返回给EMS。
S416,EMS根据S415中接收到的第一度量信息,综合判断指定的NFVI区域的部署环境是否具备部署/迁移业务网元的条件。
示例性地,当S401中的度量等级为1时,若业务网元的镜像文件,部署环境对应的一个或多个虚拟化层和部署环境对应的一个或多个硬件的安全性对应的第一度量结果信息均为合格时,则此时EMS判断指定的NFVI区域的部署环境具备部署/迁移VNF的条件。
示例性地,当S401中的度量等级为1时,若业务网元的镜像文件,部署环境对应的一个或多个虚拟化层和部署环境对应的一个或多个硬件的安全性对应的第一度量结果信息中有一个为不合格时,则此时EMS判断指定的NFVI区域的部署环境不具备部署/迁移VNF的条件。
在一种可能的实现方式中,若EMS判断指定的NFVI区域的部署环境具备部署/迁移VNF的条件,该方法还可以包括:S417,EMS在指定的NFVI区域中确定一个部署位置,指示MANO-VNFM和MANO-VIM在该部署位置上部署业务网元。需要说明的是,部署业务网元可参考现有技术的具体流程,本申请在此不作赘述。
S418,MANO-VNFM对业务网元进行部署,并对业务网元是否成功部署进行远程证明。
示例性地,MANO-VNFM指示MANO-VIM在编号为0010的已经证明过的位置利用UDM123.img文件初始化一个业务网元,MANO-VNFM中的软件将业务网元通过该dum123.img文件初始化,并且该软件让业务网元执行可信启动产生了一系列的散列值,存储在MANO-VNFM中,MANO-VIM报告业务网元启动后所在的地理位置编号,并提供远程证明结果给MANO-VNFM。
一种可能的实施方式,当业务网元成功部署后,该方法400还包括:S419,MANO-VNFM向EMS返回部署结果信息。
其中,该部署结果信息用于指示业务网元部署成功。
具体地,该部署结果信息包括业务网元部署的证明信息。
其中,该业务网元部署的证明信息可以包括:VNFM的签名,业务网元成功部署产生的散列值、部署成功的虚拟实例的编号、部署vDC编号、业务网元对应硬件的Az编号等,本申请实施例对此不作限制。
S420,EMS验证S419中业务网元部署的证明信息,判断MANO-VNFM是否可信的执行的业务网元的部署。
示例性地,EMS通过验证VNFM的签名、业务网元成功部署产生的散列值等,判断MANO-VNFM是否可信的执行的业务网元的部署,本申请对此不予限制。
S421,EMS向业务触发方返回部署结果响应信息。
一种可能的实施方式,若S416或者S419中任意一个步骤判断不具备相应的条件,则EMS向业务触发方回复无法安全部署业务网元的部署结果响应信息。
一种可能的实施方式,若S416和S419中的步骤都判断具备相应的条件,则EMS向业务触发方回复按需求部署业务网元成功的部署结果响应信息。
基于上述方案,本实施例提供的方法,在部署某个新的网元时,能够通过对NFVI特定的部分进行度量的方式判断该部署环境是否安全,从而确定是否能在该部署位置进行部署,实现了针对场景触发的精准度量,节约了度量开销,增加了实用性。
当度量场景为度量业务网元的一个或多个存储器的地理位置是否满足要求时,可采用如图5所示的方法进行度量,下面结合图5进行详细介绍。
图5是本申请实施例提供的一种通信方法500的示意图。图5可参考图3的描述,该方法500可以包括如下步骤。
S501,EMS接收第一请求信息。
应理解,当需要验证存储器的地理位置是否满足使用规定时,向EMS发送第一请求信息,以触发EMS对业务网元的一个或多个虚拟存储实例的地理位置进行度量。
具体地,业务网元的一个或多个虚拟存储实例的地理位置可以是国家、城市等实际位置,例如,虚拟存储实例位于的国家、城市、具体区域的地理位置等,还可以是硬件、设施、机架等编号,例如虚拟实例所部署的数据中心编号(例如,Az编号、数据中心(datacenter,DC)编号)、虚拟数据中心编号(例如,vDC)、虚拟私有云编号(例如,专有网络(virtual private cloud,vPC)编号)、虚拟网络功能编号(例如,VNF编号)等,本申请不予限制。
一种可能的实施方式,由网络设备,例如,业务网元、OSS/BSS、NFVI管理网元等,向EMS发送第一请求信息,以触发对业务网元的一个或多个存储器的地理位置进行度量。
一种可能的实施方式,当业务触发方与EMS合一部署时,由EMS内部的程序模块定期向EMS发送第一请求信息,以触发对业务网元的一个或多个虚拟存储实例的地理位置进行度量。
一种可能的实施方式,由OSS/BSS向EMS发送第一请求信息,以触发EMS对业务网元的一个或多个虚拟存储实例的地理位置进行度量。
其中,该第一请求信息包括:业务网元对应的一个或多个负责存储信息的虚拟实例的标识。
其中,负责存储信息的虚拟实例用于存储通信过程中的数据信息、通信过程中的用户设备的信息等,本申请不予限制。
S502,EMS获得第一配置信息。
其中,第一配置信息用于指示多个标识与多个虚拟实例组的对应关系。
应理解,多个VI根据不同的功能分为了多个虚拟实例组,任意两个虚拟实例组对应的存储内容不同,存储内容包括但不限于用户信息、通信记录、业务数据等。
示例性地,在NFV系统中,包括多个VNF,其中每个VNF由多个VI构成,将多个VI根据其功能不同,划分到不同的VNFC中。即每个VNF包括多个不同功能的VNFC,例如负责存储信息的VNFC、负责计算的VNFC等,每个VNFC中包括多个VI,其中,多个VNFC由一个VNFP对其进行管理。
需要说明的是,为了便于描述,下文将业务网元功能组件用VNFC替代,将虚拟实例用VI替代。
示例性地,第一配置信息可以为表2的形式:
表2第一配置信息列表
如上表2所示,第一配置列表中包括了多个VNFC的编号、VI编号和每个VI所在的地理位置,例如,VNFC-1包括VI-1至VI-3共三个VI,三个VI所在的地理位置分别为Az-0001、Az-0002、Az-0001。需要说明的是,上述表2仅为示例,本申请对此不做限制。
具体地,EMS获得第一配置信息具有以下两种方式。
一种可能的实施方式,EMS通过向VNFP请求查询的方式获得第一配置信息,即S503-S504:
S503,EMS向VNFP发送第三请求信息,获得VNFC配置列表。
具体地,当VNFP可以接受EMS的查询请求时,EMS向VNFP发送第三请求信息,该第三请求信息用于请求查询获得VNFC配置列表,EMS接收来自VNFP的VNFC配置列表。
其中,VNFC配置列表包括多个VNFC的标识。
可选地,VNFC配置列表还可以包括VNF的类型等,本申请不予限制。
S504,EMS请求VNF verifier对VNFC配置列表进行远程证明,获得第一配置信息。
具体地,EMS请求VNF verifier对负责存储信息的VNFC的标识进行远程证明,VNFverifier向VNF attester发起度量,度量内容包括但不限于:VNFC包含的VI的标识,每个VI所在的地理位置(例如vDC编号)等。VNF verifier获得负责存储信息的VNFC对应的一个或多个VI的标识,即第一配置信息,返回给EMS。
一种可能的实施方式,EMS通过向VNF verifier请求度量的方式获得第一配置信息,即S505-S507:
S505,EMS向VNF verifier请求对VNFP进行远程证明,以获取VNFC配置列表。
应理解,VNFP不一定具备回复信息的能力,若EMS不能通过请求VNFP查询的方式获得VNFC配置列表时,则EMS需要请求VNF verifier通过度量VNFP的方式获得VNFC配置列表。
具体地,VNF verifier向VNF attester发起对VNFP的度量,例如,对VNF的身份标识、VNFP的配置地址、负责存储信息的VNFC的标识等的度量,获得包括负责存储信息的VNFC的标识的VNFC配置列表。
S506,EMS请求VNF verifier对VNFC配置列表进行远程证明,获得第一配置信息。
需要说明的是,上述S506的过程与S504的过程相似,这里,为了避免赘述,省略其详细说明。
进一步地,EMS获得第一配置信息之后,根据S501中请求度量的业务网元对应的一个或多个负责存储信息的VI的标识,确定VI对应的预期地理位置的编号。
S507,EMS确定负责存储信息的VI对应的预期地理位置的编号。
应理解,EMS可以通过预配置的国家和Az编号对应关系,或数据外部库查询等方式,确定负责存储信息的VI对应的预期地理位置的编号。
应理解,预期地理位置可以为一个具体的位置,也可以为一个位置范围,本申请不予限制。
示例性地,Az编号为0001的VI的预期地理位置为中国-北京,Az编号为0002的VI的预期地理位置为中国-上海等,本申请不予限制。
一种可能的实施方式,EMS可以配置不同地理位置级别的对应列表,当EMS接收到不同级别的地理位置时,可以根据该对应列表,确定该地理位置对应的不同级别的其他位置。
示例性地,不同地理位置级别的对应列表可以为表3的形式:
表3不同地理位置级别的对应列表
地理位置1-Az编号 地理位置2-国家 地理位置3-城市
Az-0001 中国 江苏
Az-0002 美国 佐治亚
S508,EMS向Cloud OS verifier发送第二请求信息。
应理解,EMS向地理位置验证网元发送该第二请求信息,该地理位置验证网元可以为MANO-VIM或者为Cloud OS verifier,本申请不予限制,下面以Cloud OS verifier为例进行说明。
其中,第二请求信息用于请求Cloud OS verifier验证业务网元对应的一个或多个负责存储信息的VI的标识是否位于预期地理位置内。
其中,该第二请求信息中包括业务网元对应的一个或多个负责存储信息的VI的标识和上述一个或多个VI对应的预期地理位置。
S509,Cloud OS verifier请求Cloud OS attester进行度量,获得相关证据,即业务网元对应的一个或多个负责存储信息的VI的实际地理位置。
需要说明的是,Cloud OS verifier与Cloud OS attester之间的度量过程可参考现有技术,本申请在此不作赘述。
S510,Cloud OS verifier对相关证据进行验证,得到第一度量结果信息。
应理解,Cloud OS verifier接收来自Cloud OS attester的相关证据之后,根据度量指标,即VI对应的预期地理位置,对上述相关证据进行验证,得到第一度量结果信息。
其中,该第一度量结果信息用于指示该业务网元对应的一个或多个负责存储信息的VI是否符合度量指标。
示例性地,该第一度量结果信息可以为“VI-1的地理位置符合预期地理位置”,或者还可以为“VI-2的地理位置不符合预期地理位置”等,本申请不予限制。
S511,Cloud OS verifier向EMS发送第一度量信息。
其中,该第一度量信息包括一个或多个第一度量结果信息。
S512,EMS根据第一度量信息,判断第一度量结果是否满足要求。
一种可能的实施方式,当EMS根据VI对应的预期地理位置,对所有VI进行验证时,若有一个VI的地理位置不符合预期地理位置,则判断该业务网元对应的一个或多个负责存储信息的VI都不满足要求。
一种可能的实施方式,当EMS根据VI对应的预期地理位置,对所有VI进行验证时,若有90%的VI的地理位置符合预期地理位置,则判断该业务网元对应的一个或多个负责存储信息的VI满足要求。
进一步地,当EMS判断VI的地理位置不符合预期地理位置时,该方法500还可以包括:
S513,EMS向VNFM请求对不符合预期地理位置的VI进行重新实例化。
需要说明的时,EMS向VNFM请求对VI进行重新实例化的过程可以理解为对该VI进行删除,在该VI对应的VNFC中重新安装VI的过程,即对VI重新部署的过程,具体过程可参考S402-S420,这里不再赘述。
可选地,当EMS判断业务网元对应的一个或多个负责存储信息的VI不满足要求时,该方法500还可以包括:
S514,EMS向相关依赖方发送报错告警。
其中,依赖方能够根据远程证明结果以采取后续的行动,应理解,依赖方的具体形态不做限制,例如,依赖方可以是某个普通的网元(例如,NRF),也可以是位于网管处的功能,还可以是位于MANO中的一个功能等,本申请不予限制。
示例性地,当EMS判断业务网元对应的一个或多个负责存储信息的VI不满足要求时,EMS向OSS/BSS进行报错告警。
基于上述方案,本实施例提供的方法能够对已经运行的VNF中特定组件VNFC的地理位置进行精准度量。另一方面,当VNFC的地理位置不符合预期位置范围时,能够对特定的VNFC重新进行部署,增加了实用性。
当度量场景为度量业务网元的一个或多个软件是否满足要求时,可采用如图6所示的方法进行度量,下面结合图6进行详细介绍。
图6是本申请实施例提供的一种通信方法600的示意图。图6可参考图3的描述,该方法600可以包括如下步骤。
S601,EMS接收第一请求信息。
应理解,当需要验证软件是否满足要求时,向EMS发送第一请求信息,以触发EMS对业务网元的一个或多个软件进行度量,验证该软件是否满足度量场景的要求。
示例性地,软件是否满足度量场景的要求可以理解为该软件的版本是否在合理的软件版本范围,或者为该软件是否打上了指定版本的漏洞补丁,或者为该软件管理操作的异常次数是否在合理范围内,或者为度量是否安装有安全软件等,本申请不予限制。其中,业务网元的一个或多个软件包括虚拟实例中的软件和虚拟实例部署的虚拟化层的软件。
其中,虚拟实例中的软件可以理解为安装在VI中的操作系统,例如,Guest OS等,本申请不予限制。下文以Guest OS为例。
其中,虚拟实例部署的虚拟化层的软件可以理解为安装在虚拟化层中的模块,例如,虚拟机监视器hypervisor、虚拟机管理器VMM等,本申请不予限制。下文以hypervisor为例。
具体地,该第一请求信息包括以下至少一项:度量对象、度量指标、度量等级。
其中,度量对象包括但不限于Guest OS、hypervisor。
S602,EMS获得第二配置信息。
其中,该第二配置信息用于指示多个标识与多个软件的对应关系。其中,第二配置信息包括VNFC的标识,和VNFC对应的VI的标识,该标识可以为身份标识,还可以为编号,本申请不予限制。
示例性地,第二配置信息可以为表4的形式:
表4第二配置信息列表
如上表4所示,第二配置列表中包括了多个VNFC的编号、VI编号和每个VI部署的hypervisor的标识,例如,VNFC-1包括VI-1至VI-3共三个VI,三个VI部署的hypervisor的标识所在的地理位置分别为hypervisor-1、hypervisor-2、hypervisor-2。需要说明的是,上述表4仅为示例,本申请对此不做限制。
需要说明的是,上述S602的过程与S502-S507的过程类似,EMS通过向VNFP请求查询的方式或向VNF verifier请求度量的方式获得VNFC配置列表,进一步地请求VNFverifier对VNFC配置列表进行远程证明,获得第二配置信息。这里,为了避免赘述,省略其详细说明。
可选地,当度量对象为Guest OS时,该方法600还可以包括以下S603-S605。
S603,EMS向Guest OS verifier发送第二请求信息。
相应地,Guest OS verifier接收来自EMS的第二请求信息。
应理解,上述S603中的EMS可以理解为S330中的第一网元,Guest OS verifier可以理解为S330中的第二网元。
其中,该第二请求信息用于请求对Guest OS可信启动进行远程证明。
其中,该第二请求信息中包括VI的标识,要求验证GUEST OS是否执行可信启动的描述。
可选地,该第二请求信息中还可以包括Guest OS可信的基线值,具体地,该GuestOS可信的基线值可以包括以下内容中的任意一项或几项:系统版本的基线值,主要应用程序安全版本的基线值,关键进程执行文件(例如二级制执行文件)数字签名基线值等,本申请不予限制。
S604,Guest OS verifier请求Guest OS attester对Guest OS可信启动进行度量,
应理解,Guest OS verifier根据GUEST OS是否执行可信启动的描述,请求GuestOS attester,获得相关证据。
S605,Guest OS verifier根据Guest OS可信的基线值和相关证据,对VI所在的GUEST OS进行验证,得到第一度量结果信息。
其中,该第一度量结果信息包括VI的标识和VI所在的Guest OS的可信启动结果。
可选地,当度量对象为hypervisor时,该方法600还可以包括以下S606-S608。
S606,EMS向Cloud OS verifier发送第三请求信息。
相应地,Cloud OS verifier接收来自EMS的第三请求信息。
应理解,上述S606中的EMS可以理解为S330中的第一网元,Cloud OS verifier可以理解为S330中的第二网元。
其中,该第三请求信息用于请求对hypervisor可信启动进行远程证明。
其中,该第三请求信息中包括hypervisor的标识和要求验证hypervisor是否执行可信启动的描述。
可选地,该第二请求信息中还可以包括hypervisor可信的基线值,具体地,该hypervisor可信的基线值可以包括以下内容中的任意一项或几项:虚拟机管理软件版本,度量管理操作异常次数等,本申请不予限制。
S607,Cloud OS verifier请求CloudOS attester对hypervisor可信启动进行度量。
应理解,CloudOS verifier根据hypervisor是否执行可信启动的描述,请求CloudOS attester,获得可信启动的证据(例如,散列值序列等)。
S608,Cloud OS verifier根据hypervisor可信的基线值和相关证据,对VI所在的GUEST OS进行验证,得到第一度量结果信息。
其中,该第一度量结果信息包括hypervisor的标识和hypervisor的可信启动结果。
示例性地,该第一度量结果可以为“VI-1的虚拟机管理软件版本为v2.1”,本申请不予限制。
进一步地,在获得第一度量结果信息之后,返回给EMS,该方法600还包括:
S609,EMS接收第一度量信息。
其中,第一度量信息包括一个或多个第一度量结果信息。
应理解,在获得第一度量结果信息之后,Guest OS verifier和/或Cloud OSverifier向EMS发送一个或多个第一度量结果信息。
示例性地,该第一度量结果信息包括“VI-1的虚拟机管理软件版本为v2.1”,“VI-1的Guest OS的版本为v1.0”等,本申请不予限制。
S610,EMS根据第一度量信息,判断业务网元的一个或多个软件是否满足要求。
应理解,本申请对判断业务网元的一个或多个软件是否满足要求的方式不做限制。
示例性地,通过验证软件的版本是否为合理的软件版本范围内来判断业务网元的一个或多个软件是否满足要求,具体地,当EMS根据合理的软件版本范围,对业务网元的一个或多个软件的版本进行验证时,若有3个软件的版本不在合理的软件版本范围内时,则判断该业务网元对应的一个或多个软件的都不满足要求。
进一步地,当EMS判断业务网元对应的一个或多个软件不满足要求时,该方法600还可以包括:
可选地,S611,EMS通知VNFM更新相关镜像文件。
应理解,当EMS判断虚拟实例的软件,例如Guest OS软件不满足要求时,则通知VNFM对该Guest OS对应的VI的镜像文件进行更新。
可选地,S612,EMS请求VNFM对该业务网元重新实例化。
应理解,当EMS判断虚拟实例部署的虚拟化层的软件,例如hypervisor的版本不满足要求时,则请求VNFM销毁该业务网元或该hypervisor对应的VNFC,并重新根据需求在合适的虚拟化层重新实例化该业务网元或对应的VNFC。
基于上述方案,本实施例提供的方法能够针对性的对指定软件的信息进行度量,节约了度量开销,可以实现更高效的度量与远程证明流程。
可以理解,本申请实施例中的图3至图6中的例子仅仅是为了便于本领域技术人员理解本申请实施例,并非要将本申请实施例限于例示的具体场景。本领域技术人员根据图3至图6的例子,显然可以进行各种等价的修改或变化,这样的修改或变化也落入本申请实施例的范围内。
还可以理解,本申请的各实施例中的一些可选的特征,在某些场景下,可以不依赖于其他特征,也可以在某些场景下,与其他特征进行结合,不作限定。
还可以理解,本申请的各实施例中的方案可以进行合理的组合使用,并且实施例中出现的各个术语的解释或说明可以在各个实施例中互相参考或解释,对此不作限定。
还可以理解,在本申请的各实施例中的各种数字序号的大小并不意味着执行顺序的先后,仅为描述方便进行的区分,不应对本申请实施例的实施过程构成任何限定。
还可以理解,在本申请的各实施例中涉及到一些消息名称,如业务发现功能实体选择信息或策略信息,等等,应理解,其命名不对本申请实施例的保护范围造成限定。
还可以理解,上述各个方法实施例中,由终端设备实现的方法和操作,也可以由可由终端设备的组成部件(例如芯片或者电路)来实现;此外,由网络设备实现的方法和操作,也可以由可由网络设备的组成部件(例如芯片或者电路)来实现,不作限定。相应于上述各方法实施例给出的方法,本申请实施例还提供了相应的装置,所述装置包括用于执行上述各个方法实施例相应的模块。该模块可以是软件,也可以是硬件,或者是软件和硬件结合。可以理解的是,上述各方法实施例所描述的技术特征同样适用于以下装置实施例。
应理解,第一网元和第二网元可以执行上述实施例中的部分或全部步骤,这些步骤或操作仅是示例,本申请实施例还可以执行其它操作或者各种操作的变形。此外,各个步骤可以按照上述实施例呈现的不同的顺序来执行,并且有可能并非要执行上述实施例中的全部操作。
上面结合图3-图6详细介绍了本申请实施例提供的通信的方法,下面结合图7-图9详细介绍本申请实施例提供的通信装置。应理解,装置实施例的描述与方法实施例的描述相互对应,因此,未详细描述的内容可以参见上文方法实施例,为了简洁,部分内容不再赘述。
图7是本申请实施例提供的通信装置的示意性框图。该装置700包括收发单元710,收发单元710可以用于实现相应的通信功能。收发单元710还可以称为通信接口或通信单元。
可选地,该装置700还可以包括处理单元720,处理单元720可以用于进行数据处理。
可选地,该装置700还包括存储单元,该存储单元可以用于存储指令和/或数据,处理单元720可以读取存储单元中的指令和/或数据,以使得装置实现前述各个方法实施例中不同的终端设备的动作,例如,第一网元或第二网元的动作。
该装置700可以用于执行上文各个方法实施例中第一网元或第二网元所执行的动作,这时,该装置700可以为第一网元或第二网元,或者第一网元或第二网元的组成部件,收发单元710用于执行上文方法实施例中第一网元或第二网元的收发相关的操作,处理单元720用于执行上文方法实施例中第一网元或第二网元的处理相关的操作。
还应理解,这里的装置700以功能单元的形式体现。这里的术语“单元”可以指应用特有集成电路(application specific integrated circuit,ASIC)、电子电路、用于执行一个或多个软件或固件程序的处理器(例如共享处理器、专有处理器或组处理器等)和存储器、合并逻辑电路和/或其它支持所描述的功能的合适组件。在一个可选例子中,本领域技术人员可以理解,装置700可以具体为上述实施例中的第一网元或第二网元,可以用于执行上述各方法实施例中与第一网元或第二网元对应的各个流程和/或步骤,或者,装置700可以具体为上述实施例中的第一网元或第二网元,可以用于执行上述各方法实施例中与第一网元或第二网元对应的各个流程和/或步骤,为避免重复,在此不再赘述。
上述各个方案的装置700具有实现上述方法中第一网元或第二网元所执行的相应步骤的功能,或者,上述各个方案的装置700具有实现上述方法中第一网元或第二网元所执行的相应步骤的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块;例如收发单元可以由收发机替代(例如,收发单元中的发送单元可以由发送机替代,收发单元中的接收单元可以由接收机替代),其它单元,如处理单元等可以由处理器替代,分别执行各个方法实施例中的收发操作以及相关的处理操作。
此外,上述收发单元710还可以是收发电路(例如可以包括接收电路和发送电路),处理单元可以是处理电路。
需要指出的是,图7中的装置可以是前述实施例中的网元或设备,也可以是芯片或者芯片系统,例如:片上系统(system on chip,SoC)。其中,收发单元可以是输入输出电路、通信接口;处理单元为该芯片上集成的处理器或者微处理器或者集成电路。在此不做限定。
如图8所示,本申请实施例提供另一种通信装置800。该装置800包括处理器810,处理器810与存储器820耦合,存储器820用于存储计算机程序或指令和/或数据,处理器810用于执行存储器820存储的计算机程序或指令,或读取存储器820存储的数据,以执行上文各方法实施例中的方法。
可选地,处理器810为一个或多个。
可选地,存储器820为一个或多个。
可选地,该存储器820与该处理器810集成在一起,或者分离设置。
可选地,如图8所示,该装置800还包括收发器830,收发器830用于信号的接收和/或发送。例如,处理器810用于控制收发器830进行信号的接收和/或发送。
作为一种方案,该装置800用于实现上文各个方法实施例中由第一网元或第二网元执行的操作。
例如,处理器810用于执行存储器820存储的计算机程序或指令,以实现上文各个方法实施例中第一SMF的相关操作。例如,图3至图6中任意一个所示实施例中的第一网元,或图3至图6中任意一个所示实施例中的第一网元的方法。
应理解,本申请实施例中提及的处理器可以是中央处理单元(centralprocessing unit,CPU),还可以是其他通用处理器、数字信号处理器(digital signalprocessor,DSP)、专用集成电路(application specific integrated circuit,ASIC)、现成可编程门阵列(field programmable gate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
还应理解,本申请实施例中提及的存储器可以是易失性存储器和/或非易失性存储器。其中,非易失性存储器可以是只读存储器(read-only memory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory,RAM)。例如,RAM可以用作外部高速缓存。作为示例而非限定,RAM包括如下多种形式:静态随机存取存储器(static RAM,SRAM)、动态随机存取存储器(dynamic RAM,DRAM)、同步动态随机存取存储器(synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(synchlinkDRAM,SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM,DR RAM)。
需要说明的是,当处理器为通用处理器、DSP、ASIC、FPGA或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件时,存储器(存储模块)可以集成在处理器中。
还需要说明的是,本文描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
如图9,本申请实施例提供一种芯片系统900。该芯片系统900(或者也可以称为处理系统)包括逻辑电路910以及输入/输出接口(input/output interface)920。
其中,逻辑电路910可以为芯片系统900中的处理电路。逻辑电路910可以耦合连接存储单元,调用存储单元中的指令,使得芯片系统900可以实现本申请各实施例的方法和功能。输入/输出接口920,可以为芯片系统900中的输入输出电路,将芯片系统700处理好的信息输出,或将待处理的数据或信令信息输入芯片系统19000进行处理。
作为一种方案,该芯片系统1000用于实现上文各个方法实施例中由第一网元或第二网元执行的操作。
例如,逻辑电路910用于实现上文方法实施例中由第一网元的处理相关的操作,如图3至图6中任意一个所示实施例中的第一网元的处理相关的操作;输入/输出接口920用于实现上文方法实施例中由第一网元的发送和/或接收相关的操作,如图3至图6中任意一个所示实施例中的第一网元执行的发送和/或接收相关的操作。
本申请实施例还提供一种计算机可读存储介质,其上存储有用于实现上述各方法实施例中由第一网元或第二网元执行的方法的计算机指令。
例如,该计算机程序被计算机执行时,使得该计算机可以实现上述方法各实施例中由第一网元或第二网元执行的方法。
本申请实施例还提供一种计算机程序产品,包含指令,该指令被计算机执行时以实现上述各方法实施例中由第一网元或第二网元执行的方法。
上述提供的任一种装置中相关内容的解释及有益效果均可参考上文提供的对应的方法实施例,此处不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。此外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。例如,所述计算机可以是个人计算机,服务器,或者网络设备等。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(solid state disk,SSD)等。例如,前述的可用介质包括但不限于:U盘、移动硬盘、只读存储器(read-onlymemory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。

Claims (25)

1.一种业务管理方法,其特征在于,所述方法由第一网元执行,包括:
接收第一请求信息,所述第一请求信息用于请求针对第一度量场景的度量,所述第一度量场景包括多个度量对象;
根据映射关系,确定至少一个第二网元,所述映射关系用于指示所述多个度量对象和多个网元的对应关系,所述至少一个第二网元与至少一个第一度量对象对应,所述第一度量对象属于所述第一度量场景包括的所述多个度量对象;
向所述至少一个第二网元发送第二请求信息,所述第二请求信息用于请求针对所述至少一个第一度量对象进行度量。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收第一度量信息,所述第一度量信息包括所述至少一个第二网元发送的至少一个第一度量结果信息,所述第一度量结果信息用于指示针对所述第一度量对象的第一度量结果;
根据所述第一度量信息,发送针对所述第一请求信息的第一反馈信息。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
向所述第一网元对应的至少一个度量网元发送第三请求信息,所述第三请求信息用于请求针对所述第一度量场景包括的多个度量对象中的至少一个第二度量对象进行度量,所述第二度量对象属于所述第一网元对应的度量网元能够度量的度量对象;
接收第二度量信息,所述第二度量信息包括所述第一网元对应的至少一个度量网元发送的至少一个第二度量结果信息,所述第二度量信息用于指示针对所述第二度量对象的第二度量结果;以及
所述根据所述第一度量信息,发送针对所述第一请求信息的第一反馈信息,包括:
根据所述第一度量信息和所述第二度量信息,发送针对所述第一请求信息的第一反馈信息。
4.根据权利要求1至3中任一项所述的方法,其特征在于,所述映射关系具体用于指示多个索引与多个参数组之间的对应关系,
其中,每个索引对应至少一个度量场景,
每个参数组包括以下至少一个参数:度量对象、度量指标、度量等级,
以及,所述第一请求信息包括所述第一度量场景对应的索引。
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述多个度量场景包括以下至少一个度量场景:
第一场景,用于度量业务网元的部署环境或迁移环境的安全性是否满足要求;
第二场景,用于度量业务网元的一个或多个虚拟存储实例的地理位置是否满足要求;
第三场景,用于度量业务网元的一个或多个软件是否满足要求。
6.根据权利要求5所述的方法,其特征在于,当所述第一度量场景包括所述第一场景时,所述第一度量场景对应的度量对象包括以下至少一项:
业务网元的镜像文件、所述部署环境或所述迁移环境对应的一个或多个虚拟化层、所述部署环境或所述迁移环境对应的一个或多个硬件的属性。
7.根据权利要求6所述的方法,其特征在于,
当所述第一度量场景的度量对象包括所述业务网元的镜像文件时,所述第一网元包括业务网元管理网元,所述业务网元管理网元用于管理所述业务网元,所述第二网元包括镜像验证网元,所述镜像验证网元用于验证所述业务网元的镜像文件的正确性,其中,所述第二请求信息包括所述业务网元的镜像文件的标识信息;或者,
当所述第一度量场景的度量对象包括所述部署环境或所述迁移环境对应的一个或多个虚拟化层时,所述第一网元包括所述业务网元管理网元,所述第二网元包括虚拟化基础设施管理网元,所述虚拟化基础设施管理网元用于验证所述部署环境或所述迁移环境对应的一个或多个虚拟化层的安全性;或者,
当所述第一度量场景的度量对象包括所述部署环境或所述迁移环境对应的一个或多个硬件的属性时,所述第一网元包括虚拟化基础设施管理网元,所述虚拟化基础设施管理网元用于管理虚拟化基础设施,所述第二网元包括地理位置验证网元,所述地理位置验证网元用于验证所述部署环境或所述迁移环境对应的一个或多个硬件的属性。
8.根据权利要求6或7所述的方法,其特征在于,当所述业务网元部署或迁移成功时,所述方法还包括:
接收来自所述业务网元管理网元的部署结果信息,所述部署结果信息用于指示所述业务网元部署或迁移成功,所述部署结果信息包括所述业务网元部署或迁移的的证明信息;
根据所述证明信息,验证所述业务网元是否部署或迁移成功。
9.根据权利要求5所述的方法,其特征在于,当所述第一度量场景包括所述第二场景时,所述第一度量场景对应的度量对象包括所述业务网元对应的一个或多个负责存储信息的虚拟实例的地理位置,所述第一网元包括业务网元验证网元,所述业务网元验证网元用于验证一个或多个所述负责存储信息的虚拟实例的地理位置,所述第二网元包括地理位置验证网元,所述地理位置验证网元用于验证所述负责存储信息的虚拟实例的地理位置。
10.根据权利要求9所述的方法,其特征在于,所述方法还包括:
获得第一配置信息,所述第一配置信息用于指示多个标识与多个虚拟实例组的对应关系,任意两个虚拟实例组对应的存储内容不同,所述存储内容包括以下至少一项:用户信息、通信记录、业务数据;以及
所述第一请求信息还包括第一标识,
所述第二请求信息还包括第一虚拟实例组中的虚拟实例的标识,所述第一虚拟实例组是所述第一配置信息中与所述第一标识对应的虚拟实例组。
11.根据权利要求5所述的方法,其特征在于,当所述第一度量场景包括所述第三场景时,所述第一度量场景对应的度量对象包括以下至少一项:
虚拟实例中的软件、虚拟实例部署的虚拟化层的软件。
12.根据权利要求11所述的方法,其特征在于,
当所述第一度量场景的度量对象包括所述虚拟实例中的软件时,所述第一网元包括业务网元验证网元,所述业务网元验证网元用于验证所述业务网元的一个或多个软件是否满足要求,所述第二网元包括客户系统验证网元,所述客户系统验证网元用于验证所述虚拟实例中的软件是否满足要求;或者,
当所述第一度量场景的度量对象包括所述虚拟实例部署的虚拟化层的软件时,所述第一网元包括所述业务网元验证网元,所述第二网元包括云操作系统验证网元,所述云操作系统验证网元用于验证所述虚拟实例部署的虚拟化层的软件是否满足要求。
13.根据权利要求11或12所述的方法,其特征在于,所述方法还包括:
获得第二配置信息,所述第二配置信息用于指示多个标识与多个软件的对应关系,所述多个软件包括以下至少一项:所述虚拟实例中的软件、所述虚拟实例部署的虚拟化层的软件;以及
所述第一请求信息还包括第二标识,
所述第二请求信息还包括第一软件的标识,所述第一软件是所述第二配置信息中与所述第二标识对应的第一软件。
14.根据权利要求1至13中任一项所述的方法,其特征在于,当所述第一反馈信息用于指示所述第一度量信息不符合所述度量指标时,所述方法还包括:
向业务网元管理网元发送第一指示信息,所述第一指示信息用于指示对一个或多个度量对象进行重新配置。
15.一种业务管理方法,其特征在于,所述方法由第二网元执行,包括:
接收第二请求信息,所述第二请求信息用于请求进行针对至少一个第一度量对象进行度量,所述第一度量对象属于多个度量场景中第一度量场景包括的多个度量对象;
对所述至少一个第一度量对象进行度量,确定第一度量结果信息。
16.根据权利要求15所述的方法,其特征在于,所述对所述至少一个第一度量对象进行度量,确定第一度量结果信息,包括:
向所述第二网元对应的至少一个度量网元发送第四请求信息,所述第四请求信息用于请求针对所述至少一个第一度量对象进行度量;
接收第三度量信息,所述第三度量信息包括所述第二网元对应的至少一个度量网元发送的至少一个第三度量结果信息,所述第三度量信息用于指示针对所述第一度量对象的第二度量结果;
根据所述第三度量信息,确定所述第一度量结果信息。
17.根据权利要求15或16所述的方法,其特征在于,
发送第一度量结果信息,所述第一度量结果信息用于指示针对所述至少一个第一度量对象的第一度量结果。
18.根据权利要求15至17中任一项所述的方法,其特征在于,所述多个度量场景包括以下至少一个度量场景:
第一场景,用于度量业务网元的部署环境或迁移环境的安全性是否满足要求;
第二场景,用于度量业务网元的一个或多个虚拟存储实例的地理位置是否满足要求;
第三场景,用于度量业务网元的一个或多个软件是否满足要求。
19.根据权利要求18所述的方法,其特征在于,当所述第一度量场景包括所述第一场景时,所述第一度量场景对应的度量对象包括以下至少一项:
业务网元的镜像文件、所述部署环境或所述迁移环境对应的一个或多个虚拟化层、所述部署环境或所述迁移环境对应的一个或多个硬件的属性。
20.根据权利要求18所述的方法,其特征在于,当所述第一度量场景包括所述第二场景时,所述第一度量场景对应的度量对象包括所述业务网元对应的一个或多个负责存储信息的虚拟实例的地理位置。
21.根据权利要求18所述的方法,其特征在于,当所述第一度量场景包括所述第三场景时,所述第一度量场景对应的度量对象包括以下至少一项:
虚拟实例中的软件、虚拟实例部署的虚拟化层的软件。
22.一种通信装置,其特征在于,包括:
处理器,用于执行存储器中存储的计算机程序,以使得所述通信装置执行权利要求1至21中任一项所述的方法。
23.一种计算机可读存储介质,其特征在于,其上存储有计算机程序或指令,其特征在于,该计算机程序或指令被处理器执行时,使得如权利要求1至21中任一项所述方法被执行。
24.一种包含指令的计算机程序产品,当其在计算机上运行时,使得如权利要求1至21中任一项所述方法被执行。
25.一种芯片系统,其特征在于,包括:处理器,用于从存储器中调用并运行计算机程序或指令,使得安装有所述芯片系统的通信装置实现如权利要求1至21中任一项所述的方法。
CN202210493765.8A 2022-05-07 2022-05-07 业务管理方法和装置 Pending CN117061346A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202210493765.8A CN117061346A (zh) 2022-05-07 2022-05-07 业务管理方法和装置
PCT/CN2023/090142 WO2023216856A1 (zh) 2022-05-07 2023-04-23 业务管理方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210493765.8A CN117061346A (zh) 2022-05-07 2022-05-07 业务管理方法和装置

Publications (1)

Publication Number Publication Date
CN117061346A true CN117061346A (zh) 2023-11-14

Family

ID=88652363

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210493765.8A Pending CN117061346A (zh) 2022-05-07 2022-05-07 业务管理方法和装置

Country Status (2)

Country Link
CN (1) CN117061346A (zh)
WO (1) WO2023216856A1 (zh)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018022951A2 (en) * 2016-07-29 2018-02-01 Intel IP Corporation Collection of vnf (virtual network function) performance measurements related to virtualized resources
CN112350841B (zh) * 2019-08-08 2022-05-17 华为技术有限公司 一种管理数据的获取方法及装置
CN112787817B (zh) * 2019-11-11 2024-07-09 华为技术有限公司 一种远程证明方法、装置,系统及计算机存储介质
CN112787988B (zh) * 2019-11-11 2023-06-02 华为技术有限公司 远程证明方法、装置,系统及计算机存储介质
CN114091110A (zh) * 2020-08-04 2022-02-25 华为技术有限公司 一种完整性度量方法和完整性度量装置

Also Published As

Publication number Publication date
WO2023216856A1 (zh) 2023-11-16

Similar Documents

Publication Publication Date Title
US11095731B2 (en) System and methods for generating a slice deployment description for a network slice instance
US11258822B2 (en) Network function service discovery method and device
US11812496B2 (en) User group session management method and apparatus
EP3993486A1 (en) Method, device and system for sending event report
EP3713372A1 (en) Method and device for creating user group
EP3700252A1 (en) Communication method and device
US11516310B2 (en) Method and apparatus for invoking application programming interface
TW201633745A (zh) 網路功能虛擬化
US11489825B2 (en) Systems and methods for configuring a network function proxy for secure communication
US20220394473A1 (en) Methods for trust information in communication network and related communication equipment and communication device
KR102296704B1 (ko) 라디오 애플리케이션들을 재구성가능한 라디오 장비에 전달하기 위한 시스템들 및 방법들
US20240064510A1 (en) User equipment (ue) identifier request
EP4150877A1 (en) Secondary or slice-specific access control in a wireless communication network
US20240080664A1 (en) Routing indicator retrival for akma
WO2020052463A1 (zh) 通信方法和网元
CN114501612B (zh) 一种资源分配方法及终端、网络设备、存储介质
CN117061346A (zh) 业务管理方法和装置
WO2022088106A1 (zh) 消息传输方法及装置
EP4278312A1 (en) Enterprise subscription management
CN116746188A (zh) 使用允许性指示来支持应用认证和密钥管理(akma)的方法和系统
WO2023216913A1 (zh) 通信方法及装置
WO2023231631A1 (zh) 认证方法及通信装置
WO2024065503A1 (en) Negotiation of authentication procedures in edge computing
WO2022252658A1 (zh) 一种漫游接入方法及装置
WO2023046310A1 (en) First node, second node, third node, communications system and methods performed thereby for handling security

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication