CN117439819B - 一种pdu机柜安全监控方法 - Google Patents

Abstract

本申请提供一种PDU机柜安全监控方法，属于数据安全技术领域，在该方法中，在将一个NPN的业务，如第一NPN网络的第一业务，开放给另一个NPN，如第二NPN网络承载的情况下，第一NPN网络的网元，如第一SMF网元，可以对第二NPN网络承载的第一业务的业务数据进行监控，从而确定第二NPN网络承载的第一业务的业务数据当前是否有安全风险。在当前有安全风险的情况下，第一SMF网元便可以向第一NPN网络的DN发送告警信息，用以DN停止向第二NPN网络发送第一业务的业务数据。如此，就实现了在保障业务安全的同时，一个NPN的业务可以由其他NPN承载，使得业务的部署和传递都可以更灵活，能够适用未来更多的应用场景。

Description

一种PDU机柜安全监控方法

技术领域

本申请涉及数据安全技术领域，尤其涉及一种PDU机柜安全监控方法。

背景技术

私网（non public network，NPN），如接入独立私网（standalone non publicnetwork，SNPN）、或公网集成的私网（public network integrated-non public network，PNI-NPN）。其中，SNPN可以包括：在线签约独立私网（onboarding-standalone non publicnetwork，O-SNPN）和拥有签约的独立私网（subscription owner -standalone non publicnetwork，SO-SNPN）。其中，O-SNPN可以用于为想要接入SNPN的终端设备提供临时通道，以便终端设备可以从O-SNPN获得接入SNPN所需的凭证，并根据该凭证接入SNPN，如接入SO-SNPN。

对于NPN而言，其业务通常要求是数据不出园区，例如，以电力场景为例，电源分配单元（Power Distribution Unit，PDU）机柜的业务数据通常只在NPN覆盖的电力园区内传输。这样的方式虽然保障了数据安全，却导致业务部署和传递不够灵活，可能无法适用于未来的业务场景。

发明内容

本申请实施例提供一种PDU机柜安全监控方法，用以实现在保障业务安全的同时，一个NPN的业务可以由其他NPN承载，使得业务的部署和传递都可以更灵活，能够适用未来更多的应用场景。

为达到上述目的，本申请采用如下技术方案：

第一方面，本申请实施例提供了一种PDU机柜安全监控方法，应用于电力场景下的第一私网NPN网络中的第一会话管理功能SMF网元，该方法包括：在第一NPN网络的第一业务被开放给第二NPN网络承载的情况下，第一SMF网元通过对第二NPN网络承载的第一业务的业务数据进行监控，确定第二NPN网络承载的第一业务的业务数据当前是否有安全风险；其中，第一业务是第一NPN网络中的数据网络DN提供给电力分配单元PDU机柜的业务，第一SMF网元是被配置为管理第一业务的SMF网元；若当前有安全风险，则第一SMF网元向DN发送告警信息，其中，告警信息用于指示DN停止向第二NPN网络发送第一业务的业务数据；若当前没有安全风险，则第一SMF网元继续对第二NPN网络承载的第一业务的业务数据进行监控。

可选地，第一SMF网元通过对第二NPN网络承载的第一业务的业务数据进行监控，确定第二NPN网络承载的第一业务的业务数据当前是否有安全风险，包括：第一SMF网元从第二NPN网络的会话管理功能UPF网元，获取第二NPN网络承载的第一业务的业务数据的相关信息；其中，UPF网元是第二NPN网络中的协议数据单元PDU会话的锚点，PDU会话是第二NPN网络中用于承载第一业务的业务数据的PDU会话；第一SMF网元通过对相关信息进行分析，确定第二NPN网络承载的第一业务的业务数据当前是否有安全风险。

可选地，第一SMF网元从第二NPN网络的会话管理功能UPF网元，获取第二NPN网络承载的第一业务的业务数据的相关信息，包括：第一SMF网元通过N4接口，接收UPF网元上报的数据包当前特征信息，其中，N4接口是第一SMF网元与UPF网元之间的跨网络接口；相关信息包括数据包当前特征信息，数据包当前特征信息用于表征第二NPN网络承载的第一业务的业务数据中数据包的特征，数据包当前特征信息具体包括如下至少一项信息：数据包当前包含的五元组信息、数据包的当前大小、或数据包的载荷的当前大小。

相应的，第一SMF网元通过对相关信息进行分析，确定第二NPN网络承载的第一业务的业务数据当前是否有安全风险，包括：第一SMF网元根据第一业务的策略与计费PCC规则，确定数据包当前特征信息是否与第一业务预配置的数据包预设特征信息匹配；其中，数据包预设特征信息用于表征第一业务的业务数据中没有安全风险的数据包的特征，数据包预设特征信息具体包括如下至少一项信息：数据包预设包含的五元组信息、数据包的预设大小范围、或数据包的载荷的预设大小范围；若数据包当前特征信息与数据包预设特征信息匹配，则表示当前没有安全风险，若数据包当前特征信息与数据包预设特征信息不匹配，则表示当前有安全风险。

其中，数据包当前特征信息与数据包预设特征信息匹配是指：数据包当前包含的五元组信息属于数据包预设包含的五元组信息，数据包的当前大小在数据包的预设大小范围内，且数据包的载荷的当前大小在数据包的载荷的预设大小范围内。

其中，数据包当前特征信息与数据包预设特征信息不匹配是指：数据包当前包含的五元组信息不属于数据包预设包含的五元组信息，或者数据包的当前大小不在数据包的预设大小范围内，或数据包的载荷的当前大小不在数据包的载荷的预设大小范围内。

可选地，PCC规则包括数据包预设特征信息。

可选地，PDU会话是被第一业务独享的PDU会话，第一SMF网元从第二NPN网络的会话管理功能UPF网元，获取第二NPN网络承载的第一业务的业务数据的相关信息，包括：第一SMF网元通过N4接口，接收UPF网元上报的PDU会话的当前传输速率，其中，N4接口是第一SMF网元与UPF网元之间的跨网络接口，相关信息包括PDU会话的当前传输速率。

相应的，第一SMF网元通过对相关信息进行分析，确定第二NPN网络承载的第一业务的业务数据当前是否有安全风险，包括：第一SMF网元根据第一业务的PCC规则，确定PDU会话的当前传输速率小于或等于第一业务的预配置最大传输速率，其中，第一业务的预配置最大传输速率是DN将第一业务开放给其他NPN网络承载时所允许的最大传输速率；若PDU会话的当前传输速率小于或等于第一业务的预配置最大传输速率，则表示当前没有安全风险，若PDU会话的当前传输速率大于第一业务的预配置最大传输速率，则表示当前有安全风险。

可选地，PCC规则包括第一业务的预配置最大传输速率。

可选地，在第一SMF网元通过对第二NPN网络承载的第一业务的业务数据进行监控之前，该方法还包括：第一SMF网元确定第一业务需要开放给除第一NPN网络以外的其他NPN网络承载；第一SMF网元从与第一NPN网络签约的NPN网络中，确定能与第一NPN网络共享RAN设备的NPN网络，其中，能与第一NPN网络共享无线接入网RAN设备的NPN网络为第二NPN网络，第二NPN网络能与第一NPN网络共享RAN设备是指：第一业务在第一NPN网络中承载的RAN设备与第一业务在第二NPN网络中承载的RAN设备是同一RAN设备；第一SMF网元触发将第一业务开放给第二NPN网络承载。

可选地，第一SMF网元确定第一业务需要开放给除第一NPN网络以外的其他NPN网络承载，包括：第一SMF网元向第一NPN网络中的接入和移动性管理功能AMF网元发送订阅请求，其中，订阅请求用于请求订阅第一业务的带宽大小，AMF网元是被配置为对PDU机柜进行管理的AMF网元；第一SMF网元接收AMF网元返回的订阅响应，其中，订阅响应用于携带有用于指示第一业务的当前带宽大小的信息，AMF网元能根据订阅请求从RAN设备获取第一业务的当前带宽大小；第一SMF网元根据第一业务的PCC规则中的第一业务的预设带宽大小大于第一业务的当前带宽大小，确定第一业务需要开放给除第一NPN网络以外的其他NPN网络承载。

可选地，第一SMF网元从与第一NPN网络签约的NPN网络中，确定能与第一NPN网络共享RAN设备的NPN网络，包括：第一SMF网元根据签约列表，从包含第一业务在第一NPN网络中承载的RAN设备的NPN中选择优先级最高的NPN，其中，签约列表包括第一NPN网络签约的每个NPN网络的标识，第一NPN网络签约的每个NPN网络的优先级，以及第一NPN网络签约的每个NPN网络所包含的RAN设备的标识；优先级最高的NPN即为能与第一NPN网络共享RAN设备的NPN网络。

可选地，第一SMF网元触发将第一业务开放给第二NPN网络承载，包括：第一SMF网元将第一SMF网元的地址携带到事先从AMF网元接收到的会话建立请求中，并向第二NPN网络中的第二SMF网元发送会话建立请求，其中，会话建立请求用于请求建立第一业务的PDU会话，会话建立请求是PDU机柜在第一NPN网络中请求建立会话而通过AMF网元发送给第一SMF网元的请求；第二SMF网元是第一SMF网元默认发送的SMF网元；第一SMF网元接收第二SMF网元返回的会话建立响应，其中，会话建立响应用于指示PDU会话建立成功，且会话建立响应还用于指示UPF网元的地址。

第二方面，本申请实施例提供了一种PDU机柜安全监控系统，该系统包括电力场景下的第一私网NPN网络中的第一会话管理功能SMF网元，该系统被配置为：在第一NPN网络的第一业务被开放给第二NPN网络承载的情况下，第一SMF网元通过对第二NPN网络承载的第一业务的业务数据进行监控，确定第二NPN网络承载的第一业务的业务数据当前是否有安全风险；其中，第一业务是第一NPN网络中的数据网络DN提供给电力分配单元PDU机柜的业务，第一SMF网元是被配置为管理第一业务的SMF网元；若当前有安全风险，则第一SMF网元向DN发送告警信息，其中， 告警信息用于指示DN停止向第二NPN网络发送第一业务的业务数据；若当前没有安全风险，则第一SMF网元继续对第二NPN网络承载的第一业务的业务数据进行监控。

可选地，该系统被配置为：第一SMF网元从第二NPN网络的会话管理功能UPF网元，获取第二NPN网络承载的第一业务的业务数据的相关信息；其中，UPF网元是第二NPN网络中的协议数据单元PDU会话的锚点，PDU会话是第二NPN网络中用于承载第一业务的业务数据的PDU会话；第一SMF网元通过对相关信息进行分析，确定第二NPN网络承载的第一业务的业务数据当前是否有安全风险。

可选地，该系统被配置为：第一SMF网元通过N4接口，接收UPF网元上报的数据包当前特征信息，其中，N4接口是第一SMF网元与UPF网元之间的跨网络接口；相关信息包括数据包当前特征信息，数据包当前特征信息用于表征第二NPN网络承载的第一业务的业务数据中数据包的特征，数据包当前特征信息具体包括如下至少一项信息：数据包当前包含的五元组信息、数据包的当前大小、或数据包的载荷的当前大小。

相应的，该系统被配置为：第一SMF网元根据第一业务的策略与计费PCC规则，确定数据包当前特征信息是否与第一业务预配置的数据包预设特征信息匹配；其中，数据包预设特征信息用于表征第一业务的业务数据中没有安全风险的数据包的特征，数据包预设特征信息具体包括如下至少一项信息：数据包预设包含的五元组信息、数据包的预设大小范围、或数据包的载荷的预设大小范围；若数据包当前特征信息与数据包预设特征信息匹配，则表示当前没有安全风险，若数据包当前特征信息与数据包预设特征信息不匹配，则表示当前有安全风险。

其中，数据包当前特征信息与数据包预设特征信息匹配是指：数据包当前包含的五元组信息属于数据包预设包含的五元组信息，数据包的当前大小在数据包的预设大小范围内，且数据包的载荷的当前大小在数据包的载荷的预设大小范围内。

其中，数据包当前特征信息与数据包预设特征信息不匹配是指：数据包当前包含的五元组信息不属于数据包预设包含的五元组信息，或者数据包的当前大小不在数据包的预设大小范围内，或数据包的载荷的当前大小不在数据包的载荷的预设大小范围内。

可选地，PCC规则包括数据包预设特征信息。

可选地，PDU会话是被第一业务独享的PDU会话，该系统被配置为：第一SMF网元通过N4接口，接收UPF网元上报的PDU会话的当前传输速率，其中，N4接口是第一SMF网元与UPF网元之间的跨网络接口，相关信息包括PDU会话的当前传输速率。

相应的，该系统被配置为：第一SMF网元根据第一业务的PCC规则，确定PDU会话的当前传输速率小于或等于第一业务的预配置最大传输速率，其中，第一业务的预配置最大传输速率是DN将第一业务开放给其他NPN网络承载时所允许的最大传输速率；若PDU会话的当前传输速率小于或等于第一业务的预配置最大传输速率，则表示当前没有安全风险，若PDU会话的当前传输速率大于第一业务的预配置最大传输速率，则表示当前有安全风险。

可选地，PCC规则包括第一业务的预配置最大传输速率。

可选地，该系统被配置为在第一SMF网元通过对第二NPN网络承载的第一业务的业务数据进行监控之前，第一SMF网元确定第一业务需要开放给除第一NPN网络以外的其他NPN网络承载；第一SMF网元从与第一NPN网络签约的NPN网络中，确定能与第一NPN网络共享RAN设备的NPN网络，其中，能与第一NPN网络共享无线接入网RAN设备的NPN网络为第二NPN网络，第二NPN网络能与第一NPN网络共享RAN设备是指：第一业务在第一NPN网络中承载的RAN设备与第一业务在第二NPN网络中承载的RAN设备是同一RAN设备；第一SMF网元触发将第一业务开放给第二NPN网络承载。

可选地，该系统被配置为：第一SMF网元向第一NPN网络中的接入和移动性管理功能AMF网元发送订阅请求，其中，订阅请求用于请求订阅第一业务的带宽大小，AMF网元是被配置为对PDU机柜进行管理的AMF网元；第一SMF网元接收AMF网元返回的订阅响应，其中，订阅响应用于携带有用于指示第一业务的当前带宽大小的信息，AMF网元能根据订阅请求从RAN设备获取第一业务的当前带宽大小；第一SMF网元根据第一业务的PCC规则中的第一业务的预设带宽大小大于第一业务的当前带宽大小，确定第一业务需要开放给除第一NPN网络以外的其他NPN网络承载。

可选地，该系统被配置为：第一SMF网元根据签约列表，从包含第一业务在第一NPN网络中承载的RAN设备的NPN中选择优先级最高的NPN，其中，签约列表包括第一NPN网络签约的每个NPN网络的标识，第一NPN网络签约的每个NPN网络的优先级，以及第一NPN网络签约的每个NPN网络所包含的RAN设备的标识；优先级最高的NPN即为能与第一NPN网络共享RAN设备的NPN网络。

可选地，该系统被配置为：第一SMF网元将第一SMF网元的地址携带到事先从AMF网元接收到的会话建立请求中，并向第二NPN网络中的第二SMF网元发送会话建立请求，其中，会话建立请求用于请求建立第一业务的PDU会话，会话建立请求是PDU机柜在第一NPN网络中请求建立会话而通过AMF网元发送给第一SMF网元的请求；第二SMF网元是第一SMF网元默认发送的SMF网元；第一SMF网元接收第二SMF网元返回的会话建立响应，其中，会话建立响应用于指示PDU会话建立成功，且会话建立响应还用于指示UPF网元的地址。

第三方面，本申请实施例提供了一种计算机可读存储介质，所述存储介质上存储有程序代码，当所述程序代码被所述计算机运行时，执行如第一方面所述的方法。

综上，上述方法及系统具有如下技术效果：

在将一个NPN的业务，如第一NPN网络的第一业务，开放给另一个NPN，如第二NPN网络承载的情况下，第一NPN网络的网元，如第一SMF网元，可以对第二NPN网络承载的第一业务的业务数据进行监控，从而确定第二NPN网络承载的第一业务的业务数据当前是否有安全风险。在当前有安全风险的情况下，第一SMF网元便可以向第一NPN网络的DN发送告警信息，用以DN停止向第二NPN网络发送第一业务的业务数据。 如此，就实现了在保障业务安全的同时，一个NPN的业务可以由其他NPN承载，使得业务的部署和传递都可以更灵活，能够适用未来更多的应用场景。

附图说明

图1为5G系统的架构示意图；

图2为本申请实施例提供的一种通信系统的架构示意图；

图3为本申请实施例提供的一种PDU机柜安全监控方法的流程图；

图4为本申请实施例提供的一种电子设备的结构示意图。

具体实施方式

1、第五代（5th generation，5G）移动通信系统：

图1为5G系统的架构示意图，如图1所示，5G系统包括：接入网（access network，AN）和核心网（core network，CN），还可以包括：终端。

上述终端可以为具有收发功能的终端，或为可设置于该终端的芯片或芯片系统。该终端也可以称为用户装置（uesr equipment，UE）、接入终端、用户单元（subscriberunit）、用户站、移动站（mobile station，MS）、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。本申请的实施例中的终端可以是手机（mobile phone）、蜂窝电话（cellular phone）、智能电话（smart phone）、平板电脑（Pad）、无线数据卡、个人数字助理电脑（personal digital assistant，PDA）、无线调制解调器（modem）、手持设备（handset）、膝上型电脑（laptop computer）、机器类型通信（machinetype communication，MTC）终端、带无线收发功能的电脑、虚拟现实（virtual reality，VR）终端、增强现实（augmented reality，AR）终端、工业控制（industrial control）中的无线终端、无人驾驶（self driving）中的无线终端、远程医疗（remote medical）中的无线终端、智能电网（smart grid）中的无线终端、运输安全（transportation safety）中的无线终端、智慧城市（smart city）中的无线终端、智慧家庭（smart home）中的无线终端、车载终端、具有终端功能的路边单元（road side unit，RSU）等。本申请的终端还可以是作为一个或多个部件或者单元而内置于车辆的车载模块、车载模组、车载部件、车载芯片或者车载单元。

上述AN用于实现接入有关的功能，可以为特定区域的授权用户提供入网功能，并能够根据用户的级别，业务的需求等确定不同质量的传输链路以传输用户数据。AN在终端与CN之间转发控制信号和用户数据。AN可以包括：接入网元，也可以称为无线接入网元（radio access network，RAN）设备。

RAN设备可以是为终端提供接入的设备。例如，RAN设备可以包括：RAN设备也可以包括5G，如新空口（new radio，NR）系统中的gNB，或，5G中的基站的一个或一组（包括多个天线面板）天线面板，或者，还可以为构成gNB、传输点（transmission and reception point，TRP或者transmission point，TP）或传输测量功能（transmission measurementfunction，TMF）的网络节点，如基带单元（building base band unit，BBU），或，集中单元（centralized unit，CU）或分布单元（distributed unit，DU）、具有基站功能的RSU，或者有线接入网关，或者5G的核心网网元。或者，RAN设备还可以包括无线保真（wirelessfidelity，WiFi）系统中的接入点（access point，AP），无线中继节点、无线回传节点、各种形式的宏基站、微基站（也称为小站）、中继站、接入点、可穿戴设备、车载设备等等。或者，RAN设备可以也可以包括下一代移动通信系统，例如6G的接入网元，例如6G基站，或者在下一代移动通信系统中，该网络设备也可以有其他命名方式，其均涵盖在本申请实施例的保护范围以内，本申请对此不做任何限定。

CN主要负责维护移动网络的签约数据，为终端提供会话管理、移动性管理、策略管理以及安全认证等功能。CN主要包括如下网元：用户面功能（user plane function，UPF）网元、认证服务功能（authentication server function，AUSF）网元、接入和移动性管理功能（access and mobility management function，AMF）网元、会话管理功能（sessionmanagement function，SMF）网元、网络切片选择功能（network slice selectionfunction，NSSF）网元、网络开放功能（network exposure function，NEF）网元、网络功能仓储功能（NF repository function，NRF）网元、策略控制功能（policy control function，PCF）网元、统一数据管理（unified data management，UDM）网元、应用功能（applicationfunction，AF）网元、以及网络切片和独立非公共网络（standalone non-public network，SNPN）的鉴权授权功能（network slice-specific and SNPN authentication andauthorization function，NSSAAF）网元。

其中，UPF网元主要负责用户数据处理（转发、接收、计费等）。例如，UPF网元可以接收来自数据网络（data network，DN）的用户数据，通过接入网元向终端转发该用户数据。UPF网元也可以通过接入网元接收来自终端的用户数据，并向DN转发该用户数据。DN网元指的是为用户提供数据传输服务的运营商网络。例如网际互连协议（internet protocol，IP）多媒体业务（IP multi-media srvice，IMS）、互联网（internet）等。

AUSF网元可用于执行终端的安全认证。

AMF网元主要负责移动网络中的移动性管理。例如用户位置更新、用户注册网络、用户切换等。

SMF网元主要负责移动网络中的会话管理。例如会话建立、修改、释放。具体功能例如为用户分配互联网协议（internet protocol，IP）地址，选择提供报文转发功能的UPF等。

PCF网元主要支持提供统一的策略框架来控制网络行为，提供策略规则给控制层网络功能，同时负责获取与策略决策相关的用户签约信息。PCF网元可以向AMF网元、SMF网元提供策略，例如服务质量（quality of service，QoS）策略、切片选择策略等。

NSSF网元可用于为终端选择网络切片。

NEF网元可用于支持能力和事件的开放。

UDM网元可用于存储用户数据，例如签约数据、鉴权/授权数据等。

AF网元主要支持与CN交互来提供服务，例如影响数据路由决策、策略控制功能或者向网络侧提供第三方的一些服务。

在本发明实施例中，“指示”可以包括直接指示和间接指示，也可以包括显式指示和隐式指示。将某一信息所指示的信息称为待指示信息，则具体实现过程中，对待指示信息进行指示的方式有很多种，例如但不限于，可以直接指示待指示信息，如待指示信息本身或者该待指示信息的索引等。也可以通过指示其他信息来间接指示待指示信息，其中该其他信息与待指示信息之间存在关联关系。还可以仅仅指示待指示信息的一部分，而待指示信息的其他部分则是已知的或者提前约定的。例如，还可以借助预先约定(例如协议规定)的各个信息的排列顺序来实现对特定信息的指示，从而在一定程度上降低指示开销。同时，还可以识别各个信息的通用部分并统一指示，以降低单独指示同样的信息而带来的指示开销。

此外，具体的指示方式还可以是现有各种指示方式，例如但不限于，上述指示方式及其各种组合等。各种指示方式的具体细节可以参考现有技术，本文不再赘述。由上文所述可知，举例来说，当需要指示相同类型的多个信息时，可能会出现不同信息的指示方式不相同的情形。具体实现过程中，可以根据具体的需要选择所需的指示方式，本发明实施例对选择的指示方式不做限定，如此一来，本发明实施例涉及的指示方式应理解为涵盖可以使得待指示方获知待指示信息的各种方法。

应理解，待指示信息可以作为一个整体一起发送，也可以分成多个子信息分开发送，而且这些子信息的发送周期和/或发送时机可以相同，也可以不同。具体发送方法本发明实施例不进行限定。其中，这些子信息的发送周期和/或发送时机可以是预先定义的，例如根据协议预先定义的，也可以是发送端设备通过向接收端设备发送配置信息来配置的。

“预先定义”或“预先配置”可以通过在设备中预先保存相应的代码、表格或其他可用于指示相关信息的方式来实现，本发明实施例对于其具体的实现方式不做限定。其中，“保存”可以是指，保存在一个或者多个存储器中。所述一个或者多个存储器可以是单独的设置，也可以是集成在编码器或者译码器，处理器、或电子设备中。所述一个或者多个存储器也可以是一部分单独设置，一部分集成在译码器、处理器、或电子设备中。存储器的类型可以是任意形式的存储介质，本发明实施例并不对此限定。

本发明实施例中涉及的“协议”可以是指通信领域中协议族、类似协议族帧结构的标准协议、或者应用于未来的物联网设备的可靠接入方法系统中的相关协议，本发明实施例对此不作具体限定。

本发明实施例中，“当……时”、“在……的情况下”、“若”以及“如果”等描述均指在某种客观情况下设备会做出相应的处理，并非是限定时间，且也不要求设备在实现时一定要有判断的动作，也不意味着存在其它限定。

在本发明实施例的描述中，除非另有说明，“/”表示前后关联的对象是一种“或”的关系，例如，A/B可以表示A或B；本发明实施例中的“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况，其中A、B可以是单数或者复数。并且，在本发明实施例的描述中，除非另有说明，“多个”是指两个或多于两个。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项（个）或复数项（个）的任意组合。例如，a、b或c中的至少一项（个），可以表示：a，b，c，a-b，a-c，b-c，或a-b-c，其中a，b，c可以是单个，也可以是多个。另外，为了便于清楚描述本发明实施例的技术方案，在本发明的实施例中，采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定，并且“第一”、“第二”等字样也并不限定一定不同。同时，在本发明实施例中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本发明实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念，便于理解。

本发明实施例描述的网络架构以及业务场景是为了更加清楚的说明本发明实施例的技术方案，并不构成对于本发明实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本发明实施例提供的技术方案对于类似的技术问题，同样适用。

下面将结合附图，对本申请中的技术方案进行描述。

请参阅图2，本申请实施例提供了一种通信系统，该通信系统可以包括：多个NPN。

多个NPN都可以是PNI-NPN。NPN内网元也采用5G架构，也即，图1所示的架构。

其中，在电力场景下，NPN中部署有PDU机柜，PDU机柜可以是电力业务的终端。

下面将结合方法，对上述通信系统中NPN和运营商网络的交互进行详细说明。

请参阅图3，本申请实施例提供了一种PDU机柜安全监控方法。该方法可以适用于不同的NPN之间的通信。该方法的流程包括：

S301，在第一NPN网络的第一业务被开放给第二NPN网络承载的情况下，第一SMF网元通过对第二NPN网络承载的第一业务的业务数据进行监控，确定第二NPN网络承载的第一业务的业务数据当前是否有安全风险。

第一业务可以是第一NPN网络中的DN提供给PDU机柜的业务，具体可以是电力业务，或者任何可能类型的业务，不做限定。

第一SMF网元可以是电力场景下的第一NPN网络中的SMF网元。第一SMF网元是被配置为管理第一业务的SMF网元，换言之，第一业务在第一NPN网络中的会话可以是由第一SMF网元触发建立的。

具体的，第一SMF网元可以从第二NPN网络的会话管理功能UPF网元，获取第二NPN网络承载的第一业务的业务数据的相关信息。其中，UPF网元可以是第二NPN网络中的协议数据单元PDU会话的锚点，PDU会话是第二NPN网络中用于承载第一业务的业务数据的PDU会话。第一SMF网元可以通过对上述的相关信息进行分析，确定第二NPN网络承载的第一业务的业务数据当前是否有安全风险。

一种可能的实现中，第一SMF网元通过N4接口，接收UPF网元上报的数据包当前特征信息，其中，N4接口是第一SMF网元与UPF网元之间的跨网络接口。也即，相关信息可以包括数据包当前特征信息，数据包当前特征信息用于表征第二NPN网络承载的第一业务的业务数据中数据包的特征。数据包当前特征信息具体包括如下至少一项信息：数据包当前包含的五元组信息、数据包的当前大小、或数据包的载荷的当前大小。

第一SMF网元可以根据第一业务的策略与计费PCC规则，确定数据包当前特征信息是否与第一业务预配置的数据包预设特征信息匹配。

其中，数据包预设特征信息用于表征第一业务的业务数据中没有安全风险的数据包的特征，数据包预设特征信息具体包括如下至少一项信息：数据包预设包含的五元组信息、数据包的预设大小范围、或数据包的载荷的预设大小范围；若数据包当前特征信息与数据包预设特征信息匹配，则表示当前没有安全风险，若数据包当前特征信息与数据包预设特征信息不匹配，则表示当前有安全风险。

其中，数据包当前特征信息与数据包预设特征信息匹配是指：数据包当前包含的五元组信息属于数据包预设包含的五元组信息，数据包的当前大小在数据包的预设大小范围内，且数据包的载荷的当前大小在数据包的载荷的预设大小范围内。

其中，数据包当前特征信息与数据包预设特征信息不匹配是指：数据包当前包含的五元组信息不属于数据包预设包含的五元组信息，或者数据包的当前大小不在数据包的预设大小范围内，或数据包的载荷的当前大小不在数据包的载荷的预设大小范围内。

可以理解，PCC规则可以包括数据包预设特征信息。也即，第一SMF网元可以根据PCC规则包括数据包预设特征信息，确定当前的监控策略是将接收到的信息与数据包预设特征信息进行匹配。

另一种可能的实现中，PDU会话是被第一业务独享的PDU会话。第一SMF网元可以通过N4接口，接收UPF网元上报的PDU会话的当前传输速率。其中，N4接口是第一SMF网元与UPF网元之间的跨网络接口，上述的相关信息包括PDU会话的当前传输速率。

第一SMF网元可以根据第一业务的PCC规则，确定PDU会话的当前传输速率小于或等于第一业务的预配置最大传输速率。其中，第一业务的预配置最大传输速率是DN将第一业务开放给其他NPN网络承载时所允许的最大传输速率；若PDU会话的当前传输速率小于或等于第一业务的预配置最大传输速率，则表示当前没有安全风险，若PDU会话的当前传输速率大于第一业务的预配置最大传输速率，则表示当前有安全风险。

可以理解，PCC规则可以包括第一业务的预配置最大传输速率。也即，第一SMF网元可以根据PCC规则包括第一业务的预配置最大传输速率，确定当前的监控策略是将接收到的信息与第一业务的预配置最大传输速率进行比较。

S302，若当前有安全风险，则第一SMF网元向DN发送告警信息。

其中，告警信息用于指示DN停止向第二NPN网络发送第一业务的业务数据。

S303，若当前没有安全风险，则第一SMF网元继续对第二NPN网络承载的第一业务的业务数据进行监控。

也即，S303是返回继续执行S301。

其中，在S301之前，也即，在第一SMF网元通过对第二NPN网络承载的第一业务的业务数据进行监控之前，该方法还包括：

步骤1，第一SMF网元确定第一业务需要开放给除第一NPN网络以外的其他NPN网络承载。

例如，第一SMF网元可以向第一NPN网络中的AMF网元发送订阅请求。其中，订阅请求用于请求订阅第一业务的带宽大小。AMF网元是被配置为对上述的PDU机柜进行管理的AMF网元。第一SMF网元可以接收AMF网元返回的订阅响应。其中，订阅响应用于携带有用于指示第一业务的当前带宽大小的信息，也即，AMF网元能根据订阅请求从PDU机柜在第一NPN网络中接入的RAN设备获取第一业务的当前带宽大小。如此，第一SMF网元可以根据第一业务的PCC规则中的第一业务的预设带宽大小大于第一业务的当前带宽大小，确定第一业务需要开放给除第一NPN网络以外的其他NPN网络承载，以保障第一业务的服务质量和业务体验。

步骤2，第一SMF网元从与第一NPN网络签约的NPN网络中，确定能与第一NPN网络共享RAN设备的NPN网。

其中，能与第一NPN网络共享RAN设备的NPN网络为第二NPN网络。第二NPN网络能与第一NPN网络共享RAN设备是指：第一业务在第一NPN网络中承载的RAN设备与第一业务在第二NPN网络中承载的RAN设备是同一RAN设备。

例如，第一SMF网元可以根据签约列表，从包含第一业务在第一NPN网络中承载的RAN设备（或者说，PDU机柜在第一NPN网络中接入的RAN设备）的NPN中选择优先级最高的NPN。其中，签约列表可以包括第一NPN网络签约的每个NPN网络的标识，第一NPN网络签约的每个NPN网络的优先级，以及第一NPN网络签约的每个NPN网络所包含的RAN设备的标识。优先级最高的NPN即为能与第一NPN网络共享RAN设备的NPN网络。

步骤3，第一SMF网元触发将第一业务开放给第二NPN网络承载。

例如，第一SMF网元可以将第一SMF网元的地址携带到事先从上述的AMF网元接收到的会话建立请求中，并向第二NPN网络中的第二SMF网元发送会话建立请求。其中，会话建立请求用于请求建立第一业务的PDU会话， 会话建立请求是PDU机柜在第一NPN网络中请求建立会话而通过AMF网元发送给第一SMF网元的请求，也即，在第一业务在第一NPN网络中建立会话，如PDU会话的时，第一SMF网元接收并缓存该会话建立请求。第二SMF网元是第一SMF网元默认发送的SMF网元。由于第二NPN与第一NPN签约，使得第二SMF网元可以预配置或预定义第一业务的PCC规则，且第二SMF网元可以向第一SMF网元动态订阅第一业务的PCC规则更新，以确保第二SMF网元保存的是最新的第一业务的PCC规则。第二SMF网元可以根据会话建立请求，以及本地保存的第一业务的PCC规则，触发UPF网元建立用于独享第一业务的PDU会话。第二SMF网元可以将第一SMF网元的地址发送给UPF网元，并指示UPF网元周期性地向第一SMF网元（基于第一SMF网元的地址）上报上述的相关信息。此外，第二SMF网元也可以从UPF网元获取UPF网元的地址。在PDU会话建立成功后，第二SMF网元可以向第一SMF网元发送会话建立响应，相应的，第一SMF网元可以接收第二SMF网元返回的会话建立响应。其中，会话建立响应可以用于指示PDU会话建立成功，且会话建立响应还用于指示UPF网元的地址，用以将第一业务在第二NPN中的PDU会话锚点告知给第一SMF网元，使得第一SMF网元能够识别来自UPF网元的信息，如上述的相关信息。

综上，上述方法具有如下技术效果：

在将一个NPN的业务，如第一NPN网络的第一业务，开放给另一个NPN，如第二NPN网络承载的情况下，第一NPN网络的网元，如第一SMF网元，可以对第二NPN网络承载的第一业务的业务数据进行监控，从而确定第二NPN网络承载的第一业务的业务数据当前是否有安全风险。在当前有安全风险的情况下，第一SMF网元便可以向第一NPN网络的DN发送告警信息，用以DN停止向第二NPN网络发送第一业务的业务数据。 如此，就实现了在保障业务安全的同时，一个NPN的业务可以由其他NPN承载，使得业务的部署和传递都可以更灵活，能够适用未来更多的应用场景。

以上结合图3详细说明了本申请实施例提供的方法。以下介绍用于执行本申请实施例提供的方法的系统。

该系统包括电力场景下的第一私网NPN网络中的第一会话管理功能SMF网元，该系统被配置为：在第一NPN网络的第一业务被开放给第二NPN网络承载的情况下，第一SMF网元通过对第二NPN网络承载的第一业务的业务数据进行监控，确定第二NPN网络承载的第一业务的业务数据当前是否有安全风险；其中，第一业务是第一NPN网络中的数据网络DN提供给电力分配单元PDU机柜的业务，第一SMF网元是被配置为管理第一业务的SMF网元；若当前有安全风险，则第一SMF网元向DN发送告警信息，其中， 告警信息用于指示DN停止向第二NPN网络发送第一业务的业务数据；若当前没有安全风险，则第一SMF网元继续对第二NPN网络承载的第一业务的业务数据进行监控。

可选地，该系统被配置为：第一SMF网元从第二NPN网络的会话管理功能UPF网元，获取第二NPN网络承载的第一业务的业务数据的相关信息；其中，UPF网元是第二NPN网络中的协议数据单元PDU会话的锚点，PDU会话是第二NPN网络中用于承载第一业务的业务数据的PDU会话；第一SMF网元通过对相关信息进行分析，确定第二NPN网络承载的第一业务的业务数据当前是否有安全风险。

可选地，该系统被配置为：第一SMF网元通过N4接口，接收UPF网元上报的数据包当前特征信息，其中，N4接口是第一SMF网元与UPF网元之间的跨网络接口；相关信息包括数据包当前特征信息，数据包当前特征信息用于表征第二NPN网络承载的第一业务的业务数据中数据包的特征，数据包当前特征信息具体包括如下至少一项信息：数据包当前包含的五元组信息、数据包的当前大小、或数据包的载荷的当前大小。

相应的，该系统被配置为：第一SMF网元根据第一业务的策略与计费PCC规则，确定数据包当前特征信息是否与第一业务预配置的数据包预设特征信息匹配；其中，数据包预设特征信息用于表征第一业务的业务数据中没有安全风险的数据包的特征，数据包预设特征信息具体包括如下至少一项信息：数据包预设包含的五元组信息、数据包的预设大小范围、或数据包的载荷的预设大小范围；若数据包当前特征信息与数据包预设特征信息匹配，则表示当前没有安全风险，若数据包当前特征信息与数据包预设特征信息不匹配，则表示当前有安全风险。

其中，数据包当前特征信息与数据包预设特征信息匹配是指：数据包当前包含的五元组信息属于数据包预设包含的五元组信息，数据包的当前大小在数据包的预设大小范围内，且数据包的载荷的当前大小在数据包的载荷的预设大小范围内。

其中，数据包当前特征信息与数据包预设特征信息不匹配是指：数据包当前包含的五元组信息不属于数据包预设包含的五元组信息，或者数据包的当前大小不在数据包的预设大小范围内，或数据包的载荷的当前大小不在数据包的载荷的预设大小范围内。

可选地，PCC规则包括数据包预设特征信息。

可选地，PDU会话是被第一业务独享的PDU会话，该系统被配置为：第一SMF网元通过N4接口，接收UPF网元上报的PDU会话的当前传输速率，其中，N4接口是第一SMF网元与UPF网元之间的跨网络接口，相关信息包括PDU会话的当前传输速率。

相应的，该系统被配置为：第一SMF网元根据第一业务的PCC规则，确定PDU会话的当前传输速率小于或等于第一业务的预配置最大传输速率，其中，第一业务的预配置最大传输速率是DN将第一业务开放给其他NPN网络承载时所允许的最大传输速率；若PDU会话的当前传输速率小于或等于第一业务的预配置最大传输速率，则表示当前没有安全风险，若PDU会话的当前传输速率大于第一业务的预配置最大传输速率，则表示当前有安全风险。

可选地，PCC规则包括第一业务的预配置最大传输速率。

可选地，该系统被配置为在第一SMF网元通过对第二NPN网络承载的第一业务的业务数据进行监控之前，第一SMF网元确定第一业务需要开放给除第一NPN网络以外的其他NPN网络承载；第一SMF网元从与第一NPN网络签约的NPN网络中，确定能与第一NPN网络共享RAN设备的NPN网络，其中，能与第一NPN网络共享无线接入网RAN设备的NPN网络为第二NPN网络，第二NPN网络能与第一NPN网络共享RAN设备是指：第一业务在第一NPN网络中承载的RAN设备与第一业务在第二NPN网络中承载的RAN设备是同一RAN设备；第一SMF网元触发将第一业务开放给第二NPN网络承载。

可选地，该系统被配置为：第一SMF网元向第一NPN网络中的接入和移动性管理功能AMF网元发送订阅请求，其中，订阅请求用于请求订阅第一业务的带宽大小，AMF网元是被配置为对PDU机柜进行管理的AMF网元；第一SMF网元接收AMF网元返回的订阅响应，其中，订阅响应用于携带有用于指示第一业务的当前带宽大小的信息，AMF网元能根据订阅请求从RAN设备获取第一业务的当前带宽大小；第一SMF网元根据第一业务的PCC规则中的第一业务的预设带宽大小大于第一业务的当前带宽大小，确定第一业务需要开放给除第一NPN网络以外的其他NPN网络承载。

可选地，该系统被配置为：第一SMF网元根据签约列表，从包含第一业务在第一NPN网络中承载的RAN设备的NPN中选择优先级最高的NPN，其中，签约列表包括第一NPN网络签约的每个NPN网络的标识，第一NPN网络签约的每个NPN网络的优先级，以及第一NPN网络签约的每个NPN网络所包含的RAN设备的标识；优先级最高的NPN即为能与第一NPN网络共享RAN设备的NPN网络。

可选地，该系统被配置为：第一SMF网元将第一SMF网元的地址携带到事先从AMF网元接收到的会话建立请求中，并向第二NPN网络中的第二SMF网元发送会话建立请求，其中，会话建立请求用于请求建立第一业务的PDU会话，会话建立请求是PDU机柜在第一NPN网络中请求建立会话而通过AMF网元发送给第一SMF网元的请求；第二SMF网元是第一SMF网元默认发送的SMF网元；第一SMF网元接收第二SMF网元返回的会话建立响应，其中，会话建立响应用于指示PDU会话建立成功，且会话建立响应还用于指示UPF网元的地址。

下面结合图4对电子设备500的各个构成部件进行具体的介绍：

其中，处理器501是电子设备500的控制中心，可以是一个处理器，也可以是多个处理元件的统称。例如，处理器501是一个或多个中央处理器（central processing unit，CPU），也可以是特定集成电路（application specific integrated circuit，ASIC），或者是被配置成实施本申请实施例的一个或多个集成电路，例如：一个或多个微处理器（digital signal processor，DSP），或，一个或者多个现场可编程门阵列（fieldprogrammable gate array，FPGA）。

可选地，处理器501可以通过运行或执行存储在存储器502内的软件程序，以及调用存储在存储器502内的数据，执行电子设备500的各种功能，如上述图3所示的方法中的功能。

在具体的实现中，作为一种实施例，处理器501可以包括一个或多个CPU，例如图4中所示出的CPU0和CPU1。

在具体实现中，作为一种实施例，电子设备500也可以包括多个处理器。这些处理器中的每一个可以是一个单核处理器（single-CPU），也可以是一个多核处理器（multi-CPU）。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据（例如计算机程序指令）的处理核。

其中，存储器502用于存储执行本申请方案的软件程序，并由处理器501来控制执行，具体实现方式可以参考上述方法实施例，此处不再赘述。

可选地，存储器502可以是只读存储器（read-only memory，ROM）或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器（random access memory，RAM）或

可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器（electrically erasable programmable read-only memory，EEPROM）、只读光盘（compact disc read-only memory，CD-ROM）或其他光盘存储、光碟存储（包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等）、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器502可以和处理器501集成在一起，也可以独立存在，并电子设备500

的接口电路（图4中未示出）与处理器501耦合，本申请实施例对此不作具体限定。

收发器503，用于与其他装置之间的通信。例如，基于多波束的定位装置为终端，收发器503可以用于与网络设备通信，或者与另一个终端通信。

可选地，收发器503可以包括接收器和发送器（图4中未单独示出）。其中，接收器用于实现接收功能，发送器用于实现发送功能。

可选地，收发器503可以和处理器501集成在一起，也可以独立存在，并通过电子设备500的接口电路（图4中未示出）与处理器501耦合，本申请实施例对此不作具体限定。

需要说明的是，图4中示出的电子设备500的结构并不构成对该装置的限定，当前的电子设备500可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

此外，基于电子设备500的技术效果可以参考上述方法实施例的方法的技术效果，此处不再赘述。

应理解，在本申请实施例中的处理器可以是中央处理单元（central processingunit，CPU），该处理器还可以是其他通用处理器、数字信号处理器（digital signalprocessor，DSP）、专用集成电路（application specific integrated circuit，ASIC）、现成可编程门阵列（field programmable gate array，FPGA）或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

还应理解，本申请实施例中的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器（read-only memory，ROM）、可编程只读存储器（programmable ROM，PROM）、可擦除可编程只读存储器（erasable PROM，EPROM）、电可擦除可编程只读存储器（electrically EPROM，EEPROM）或闪存。易失性存储器可以是随机存取存储器（random access memory，RAM），其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的随机存取存储器（random accessmemory，RAM）可用，例如静态随机存取存储器（static RAM，SRAM）、动态随机存取存储器（DRAM）、同步动态随机存取存储器（synchronous DRAM，SDRAM）、双倍数据速率同步动态随机存取存储器（double data rate SDRAM，DDR SDRAM）、增强型同步动态随机存取存储器（enhanced SDRAM，ESDRAM）、同步连接动态随机存取存储器（synchlink DRAM，SLDRAM）和直接内存总线随机存取存储器（direct rambus RAM，DR RAM）。

上述实施例，可以全部或部分地通过软件、硬件（如电路）、固件或其他任意组合来实现。当使用软件实现时，上述实施例可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机指令或计算机程序。在计算机上加载或执行计算机指令或计算机程序时，全部或部分地产生按照本申请实施例的流程或功能。计算机可以为通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线（例如红外、无线、微波等）方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集合的服务器、数据中心等数据存储设备。可用介质可以是磁性介质（例如，软盘、硬盘、磁带）、光介质（例如，DVD）、或者半导体介质。半导体介质可以是固态硬盘。

应理解，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况，其中A,B可以是单数或者复数。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系，但也可能表示的是一种“和/或”的关系，具体可参考前后文进行理解。

本申请中，“至少一个”是指一个或者多个，“多个”是指两个或两个以上。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项（个）或复数项（个）的任意组合。例如，a,b,或c中的至少一项（个），可以表示：a, b, c, a-b, a-c, b-c, 或a-b-c，其中a,b,c可以是单个，也可以是多个。

应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑功能划分，当前实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征字段可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据当前的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器（read-only memory，ROM）、随机存取存储器（random access memory，RAM）、磁碟或者光盘等各种可以存储程序代码的介质。

以上，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以权利要求的保护范围为准。

Claims (9)

1.一种PDU机柜安全监控方法，其特征在于，应用于电力场景下的第一NPN网络中的第一SMF网元，所述方法包括：

在所述第一NPN网络的第一业务被开放给第二NPN网络承载的情况下，所述第一SMF网元通过对所述第二NPN网络承载的所述第一业务的业务数据进行监控，确定所述第二NPN网络承载的所述第一业务的业务数据当前是否有安全风险；其中，所述第一业务是所述第一NPN网络中的数据网络DN提供给电力分配单元PDU机柜的业务，所述第一SMF网元是被配置为管理所述第一业务的SMF网元；

若当前有安全风险，则所述第一SMF网元向所述DN发送告警信息，其中， 所述告警信息用于指示所述DN停止向所述第二NPN网络发送所述第一业务的业务数据；

若当前没有安全风险，则所述第一SMF网元继续对所述第二NPN网络承载的所述第一业务的业务数据进行监控；

其中，所述第一SMF网元通过对所述第二NPN网络承载的所述第一业务的业务数据进行监控，确定所述第二NPN网络承载的所述第一业务的业务数据当前是否有安全风险，包括：

所述第一SMF网元从所述第二NPN网络的会话管理功能UPF网元，获取所述第二NPN网络承载的所述第一业务的业务数据的相关信息；其中，所述UPF网元是所述第二NPN网络中的协议数据单元PDU会话的锚点，所述PDU会话是所述第二NPN网络中用于承载所述第一业务的业务数据的PDU会话；

所述第一SMF网元通过对所述相关信息进行分析，确定所述第二NPN网络承载的所述第一业务的业务数据当前是否有安全风险。

2.根据权利要求1所述的方法，其特征在于，所述第一SMF网元从所述第二NPN网络的会话管理功能UPF网元，获取所述第二NPN网络承载的所述第一业务的业务数据的相关信息，包括：

所述第一SMF网元通过N4接口，接收所述UPF网元上报的数据包当前特征信息，其中，所述N4接口是所述第一SMF网元与所述UPF网元之间的跨网络接口；所述相关信息包括所述数据包当前特征信息，所述数据包当前特征信息用于表征所述第二NPN网络承载的所述第一业务的业务数据中数据包的特征，所述数据包当前特征信息具体包括如下至少一项信息：数据包当前包含的五元组信息、数据包的当前大小、或数据包的载荷的当前大小；

相应的，所述第一SMF网元通过对所述相关信息进行分析，确定所述第二NPN网络承载的所述第一业务的业务数据当前是否有安全风险，包括：

所述第一SMF网元根据所述第一业务的策略与计费PCC规则，确定所述数据包当前特征信息是否与所述第一业务预配置的数据包预设特征信息匹配；其中，所述数据包预设特征信息用于表征所述第一业务的业务数据中没有安全风险的数据包的特征，所述数据包预设特征信息具体包括如下至少一项信息：数据包预设包含的五元组信息、数据包的预设大小范围、或数据包的载荷的预设大小范围；若所述数据包当前特征信息与所述数据包预设特征信息匹配，则表示当前没有安全风险，若所述数据包当前特征信息与所述数据包预设特征信息不匹配，则表示当前有安全风险；

其中，所述数据包当前特征信息与所述数据包预设特征信息匹配是指：所述数据包当前包含的五元组信息属于所述数据包预设包含的五元组信息，所述数据包的当前大小在所述数据包的预设大小范围内，且所述数据包的载荷的当前大小在所述数据包的载荷的预设大小范围内；

其中，所述数据包当前特征信息与所述数据包预设特征信息不匹配是指：所述数据包当前包含的五元组信息不属于所述数据包预设包含的五元组信息，或者所述数据包的当前大小不在所述数据包的预设大小范围内，或所述数据包的载荷的当前大小不在所述数据包的载荷的预设大小范围内。

3.根据权利要求2所述的方法，其特征在于，所述PCC规则包括所述数据包预设特征信息。

4.根据权利要求1所述的方法，其特征在于，所述PDU会话是被所述第一业务独享的PDU会话，所述第一SMF网元从所述第二NPN网络的会话管理功能UPF网元，获取所述第二NPN网络承载的所述第一业务的业务数据的相关信息，包括：

所述第一SMF网元通过N4接口，接收所述UPF网元上报的所述PDU会话的当前传输速率，其中，所述N4接口是所述第一SMF网元与所述UPF网元之间的跨网络接口，所述相关信息包括所述PDU会话的当前传输速率；

相应的，所述第一SMF网元通过对所述相关信息进行分析，确定所述第二NPN网络承载的所述第一业务的业务数据当前是否有安全风险，包括：

所述第一SMF网元根据所述第一业务的PCC规则，确定所述PDU会话的当前传输速率小于或等于所述第一业务的预配置最大传输速率，其中，所述第一业务的预配置最大传输速率是所述DN将所述第一业务开放给其他NPN网络承载时所允许的最大传输速率；若所述PDU会话的当前传输速率小于或等于所述第一业务的预配置最大传输速率，则表示当前没有安全风险，若所述PDU会话的当前传输速率大于所述第一业务的预配置最大传输速率，则表示当前有安全风险。

5.根据权利要求4所述的方法，其特征在于，所述PCC规则包括所述第一业务的预配置最大传输速率。

6.根据权利要求1所述的方法，其特征在于，在所述第一SMF网元通过对所述第二NPN网络承载的所述第一业务的业务数据进行监控之前，所述方法还包括：

所述第一SMF网元确定所述第一业务需要开放给除所述第一NPN网络以外的其他NPN网络承载；

所述第一SMF网元从与所述第一NPN网络签约的NPN网络中，确定能与所述第一NPN网络共享RAN设备的NPN网络，其中，所述能与所述第一NPN网络共享无线接入网RAN设备的NPN网络为所述第二NPN网络，所述第二NPN网络能与所述第一NPN网络共享所述RAN设备是指：所述第一业务在所述第一NPN网络中承载的所述RAN设备与所述第一业务在所述第二NPN网络中承载的所述RAN设备是同一RAN设备；

所述第一SMF网元触发将所述第一业务开放给所述第二NPN网络承载。

7.根据权利要求6所述的方法，其特征在于，所述第一SMF网元确定所述第一业务需要开放给除所述第一NPN网络以外的其他NPN网络承载，包括：

所述第一SMF网元向所述第一NPN网络中的接入和移动性管理功能AMF网元发送订阅请求，其中，所述订阅请求用于请求订阅所述第一业务的带宽大小，所述AMF网元是被配置为对所述PDU机柜进行管理的AMF网元；

所述第一SMF网元接收所述AMF网元返回的订阅响应，其中，所述订阅响应用于携带有用于指示所述第一业务的当前带宽大小的信息，所述AMF网元能根据所述订阅请求从所述RAN设备获取所述第一业务的当前带宽大小；

所述第一SMF网元根据所述第一业务的PCC规则中的所述第一业务的预设带宽大小大于所述第一业务的当前带宽大小，确定所述第一业务需要开放给除所述第一NPN网络以外的其他NPN网络承载。

8.根据权利要求7所述的方法，其特征在于，所述第一SMF网元从与所述第一NPN网络签约的NPN网络中，确定能与所述第一NPN网络共享RAN设备的NPN网络，包括：

所述第一SMF网元根据签约列表，从包含所述第一业务在所述第一NPN网络中承载的所述RAN设备的NPN中选择优先级最高的NPN，其中，所述签约列表包括所述第一NPN网络签约的每个NPN网络的标识，所述第一NPN网络签约的每个NPN网络的优先级，以及所述第一NPN网络签约的每个NPN网络所包含的RAN设备的标识；所述优先级最高的NPN即为所述能与所述第一NPN网络共享RAN设备的NPN网络。

9.根据权利要求8所述的方法，其特征在于，所述第一SMF网元触发将所述第一业务开放给所述第二NPN网络承载，包括：

所述第一SMF网元将所述第一SMF网元的地址携带到事先从所述AMF网元接收到的会话建立请求中，并向所述第二NPN网络中的第二SMF网元发送所述会话建立请求，其中，所述会话建立请求用于请求建立所述第一业务的PDU会话，所述会话建立请求是所述PDU机柜在所述第一NPN网络中请求建立会话而通过所述AMF网元发送给所述第一SMF网元的请求；所述第二SMF网元是所述第一SMF网元默认发送的SMF网元；

所述第一SMF网元接收所述第二SMF网元返回的会话建立响应，其中，所述会话建立响应用于指示所述PDU会话建立成功，且所述会话建立响应还用于指示所述UPF网元的地址。