CN114095158A - 网络切片选择方法、***、设备及存储介质 - Google Patents

网络切片选择方法、***、设备及存储介质 Download PDF

Info

Publication number
CN114095158A
CN114095158A CN202111299230.9A CN202111299230A CN114095158A CN 114095158 A CN114095158 A CN 114095158A CN 202111299230 A CN202111299230 A CN 202111299230A CN 114095158 A CN114095158 A CN 114095158A
Authority
CN
China
Prior art keywords
identifier
equipment
network slice
service
terminal equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111299230.9A
Other languages
English (en)
Inventor
张建宇
孟阼君
陆晨晖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN202111299230.9A priority Critical patent/CN114095158A/zh
Publication of CN114095158A publication Critical patent/CN114095158A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/34Source routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供网络切片选择方法、***、设备及存储介质,其中,方法包括:接入网关接收终端设备基于更新IP包头发送的至少一个目标业务的联网需求,从更新IP包头中提取终端设备的设备标识和所述目标业务的业务标识对所述终端设备的设备标识进行接入认证,在接入认证通过的情况下,根据业务标识选择对应的目标网络切片。本发明能够在接入网关实现终端设备的设备接入认证以及基于业务标识的网络切片选择,解决了现有技术中设备接入认证及网络切片选择多头分散管理的问题。由于设备接入认证及网络切片选择集中在一端执行,能够确保时间管理上的一致性,有利于提升终端设备与网络切片的联网配置效率。

Description

网络切片选择方法、***、设备及存储介质
技术领域
本发明涉及网络安全领域,具体地说,涉及网络切片选择方法、***、设备及存储介质。
背景技术
随着多种多样的通信业务的不断涌现,不同的通信业务对网络性能的需求存在显著的区别,进而引入了网络切片(network slice,NS)的概念,以应对不同通信业务对网络性能的需求的差异。
网络切片是指支持特定通信业务需求的逻辑网络功能实体的集合,主要借助于软件定义网络SDN(英文全称:software defined network)技术与网络功能虚拟化NFV(英文全称:network function virtualization)技术,实现通信业务可定制化的服务。SDN将网络转发功能与网络控制功能分开,其目标是创建可集中管理和可编程的网络。NFV则是从硬件中抽象出网络功能。NFV通过提供可运行SDN软件的基础架构来支持SDN。
为终端设备上的不同业务服务选择对应的网络切片,能够实现终端设备为用户提供多样化的服务,因此,如何为终端设备提供高效地网络切片选择服务,是业界普遍研究的课题。
发明内容
针对现有技术中的问题,本发明的目的在于提供网络切片选择方法、***、设备及存储介质,克服了现有技术的困难,能够在网络层的接入网关进行终端设备认证及网络切片选择,解决终端设备认证及网络切片选择分离所导致的网络切片选择效率低下的问题。
本发明实施例提供一种网络切片选择方法,应用于终端设备,包括:
根据至少一个目标业务的联网需求调用IP协议栈;
在IP协议栈中将终端设备的设备标识和目标业务的业务标识嵌入IP包头,获得更新IP包头;
将更新IP包头作为联网需求的数据封装头部,将联网需求发送给接入网关,其中设备标识用于接入网关对终端设备进行接入认证,业务标识用于在接入认证通过的情况下为终端设备选择对应的目标网络切片。
优选地,方法还包括:
在IP协议栈中将终端设备的设备标识和目标业务的业务标识嵌入IP包头之前,利用设备私钥对设备标识进行签名,得到带有签名信息的设备标识;
在IP协议栈中将终端设备的设备标识和目标业务的业务标识嵌入IP包头,包括:
在IP协议栈中将带有签名信息的设备标识和目标业务的业务标识嵌入IP包头。
优选地,在IP协议栈中将终端设备的设备标识和目标业务的业务标识嵌入IP包头,包括:
在IP协议栈中将终端设备的设备标识和目标业务的业务标识嵌入IP包头的SRv6标签中。
本发明实施例还提供一种网络切片选择方法,应用于接入网关,包括:
接收终端设备基于更新IP包头发送的至少一个目标业务的联网需求;
从更新IP包头中提取终端设备的设备标识和目标业务的业务标识;
对终端设备的设备标识进行接入认证;
在接入认证通过的情况下,根据业务标识为终端设备选择对应的目标网络切片。
优选地,对终端设备的设备标识进行接入认证,包括:
在设备标识带有签名信息的情况下,获取公钥,对签名信息进行验证,其中签名信息是利用公钥对应的设备私钥对设备标识进行签名得到的。
优选地,业务标识为终端设备上运行的目标应用的应用标识,则获取公钥,包括:
根据应用标识获取对应的目标应用矩阵;
根据目标应用矩阵确定对应的公钥。
优选地,网络切片选择方法还包括:
根据联网需求将终端设备接入网络切片,并通过网络切片转发数据包。
本发明实施例还提供一种网络切片选择***,包括:
终端设备,根据至少一个目标业务的联网需求调用IP协议栈,在IP协议栈中将终端设备的设备标识和目标业务的业务标识嵌入IP包头,获得更新IP包头,将更新IP包头作为联网需求的数据封装头部,将联网需求发送给接入网关;
接入网关,接收终端设备发送的至少一个目标业务的联网需求,从更新IP包头中提取终端设备的设备标识和目标业务的业务标识,对终端设备的设备标识进行接入认证,在认证通过的情况下,根据业务标识为终端设备选择对应的目标网络切片。
本发明实施例还提供一种网络切片选择设备,应用于终端设备,包括:
调用模块,根据至少一个目标业务的联网需求调用IP协议栈;
嵌入模块,在IP协议栈中将终端设备的设备标识和目标业务的业务标识嵌入IP包头,获得更新IP包头;
认证发起模块,将更新IP包头作为联网需求的数据封装头部,将联网需求发送给接入网关,其中设备标识用于接入网关对终端设备进行接入认证,业务标识用于在接入认证通过的情况下为终端设备选择对应的目标网络切片。
本发明实施例还提供一种网络切片选择设备,应用于接入网关,包括:
接收模块,接收终端设备基于更新IP包头发送的至少一个目标业务的联网需求;
提取模块,从更新IP包头中提取终端设备的设备标识和目标业务的业务标识;
认证模块,对终端设备的设备标识进行接入认证;
选择模块,在接入认证通过的情况下,根据业务标识为终端设备选择对应的目标网络切片。
本发明实施例还提供一种网络切片选择设备,包括:
处理器;
存储器,其中存储有处理器的可执行指令;
其中,处理器配置为经由执行可执行指令来执行上述网络切片选择方法的步骤。
本发明的实施例还提供一种计算机可读存储介质,用于存储程序,程序被执行时实现上述网络切片选择方法的步骤。
本发明的目的在于提供网络切片选择方法、***、设备及存储介质,终端设备向接入网关发起基于设备接入认证的联网需求,在接入网关实现终端设备的设备接入认证以及基于业务标识的网络切片选择,解决了现有技术中设备接入认证及网络切片选择多头分散管理的问题。由于设备接入认证及网络切片选择集中在一端执行,能够确保时间管理上的一致性,有利于提升终端设备与网络切片的联网配置效率。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显。
图1是本发明实施例的网络切片选择***的结构示意图;
图2是本发明实施例的网络切片选择方法的流程图之一;
图3是本发明实施例的网络切片选择方法的流程图之二;
图4是本发明实施例的网络切片选择方法的流程图之三;
图5是本发明实施例的网络切片选择方法的流程图之四;
图6是本发明实施例的网络切片选择方法的流程图之五;
图7是本发明实施例的网络切片选择方法的流程图之六;
图8是本发明实施例的网络切片选择设备的结构图之一;
图9是本发明实施例的网络切片选择设备的结构图之二;
图10是本发明实施例的网络切片选择设备的结构图之三;
图11是本发明实施例的网络切片选择设备的结构图之四;
图12是本发明实施例的网络切片选择***运行的示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的实施方式。相反,提供这些实施方式使本发明全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。
附图仅为本发明的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件转发模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
此外,附图中所示的流程仅是示例性说明,不是必须包括所有的步骤。例如,有的步骤可以分解,有的步骤可以合并或部分合并,且实际执行的顺序有可能根据实际情况改变。具体描述时使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。需要说明的是,在不冲突的情况下,本发明的实施例及不同实施例中的特征可以相互组合。
在实际应用中发现,现有技术中终端设备的接入认证及业务准入配置是分离的,分别由不同主体实现,也就是在设备接入及数据传输环节并不做业务区分。这就导致,多头管理和时间管理上的不一致导致终端设备的入网管理、网络切片的选择及连接等操作繁琐且分散,效率低。另外也考虑到,多头管理及时间不一致还可能导致业务中断或暴露时间过长的安全风险。
本发明实施例提出解决上述技术问题的技术方案,在接入网关实现终端设备的设备接入认证以及基于业务标识的网络切片选择,解决了现有技术中设备接入认证及网络切片选择多头分散管理的问题。由于设备接入认证及网络切片选择集中在一端执行,能够确保时间管理上的一致性,确保终端设备与网络切片的配置效率高,连接效率高。
另外,本发明实施例还能够降低多头管理所带来的业务中断或暴露时间过长的安全风险问题。
图1是本发明实施例的网络切片选择***的结构图,本***包括:
终端设备110,根据至少一个目标业务的联网需求调用IP协议栈,在IP协议栈中将终端设备110的设备标识和目标业务的业务标识嵌入IP包头,获得更新IP包头,将更新IP包头作为联网需求的数据封装头部,将联网需求发送给接入网关120;
接入网关120,接收终端设备110发送的至少一个目标业务的联网需求,从更新IP包头中提取终端设备110的设备标识和目标业务的业务标识,对终端设备110的设备标识进行接入认证,在认证通过的情况下,根据业务标识为终端设备110选择对应的目标网络切片。
在可选实施例中,接入网关120可以接收并处理一个或多个终端设备110发送的联网需求,对每个终端设备110的联网需求集中执行设备认证及基于业务标识的网络切片选择,避免分散执行问题,终端设备的网络配置效率高。
同时,由于在接入网关层面即基于业务标识实现网络切片选择,对各类业务在接入环节第一跳即能进行分流隔离,解决现有技术中各类业务在传输环节不做隔离的问题,能够一定限度地保证业务安全,而且减少了配置环节,效率更高。
在可选实施例中,终端设备110可以是智能手机、笔记本电脑、平板电脑、摄像设备等,或者,该终端设备110可以是远程终端设备RTU(Remote terminal unit)或可编程逻辑控制器RTU(programmable logic controller)等工业应用设备,在此不做具体限定。
RTU是微处理器控制,用作设备界面的电子设备,将资料引入分布式控制***或数据采集与监控***(SCADA),通过传输遥测数据到主***,并且使用主监控***的数据控制所连接的设备。RTU也可解释为远程遥测设备或远程遥控设备。
PLC是一种具有微处理器的数字电子设备,用于自动化控制的数字逻辑控制器,可以将控制指令随时加载存储器内存储与运行。
在可选实施例中,接入网关可以为光线路终端ONU(Optical NetWork Unit),该ONU用于实现光信号和电信号之间的转换及光信号的复用和分离。ONU通常称为光调制解调器,但不同之处在于调制解调器进行通信的模数转换,ONU进行光数信号转换。
图2为本发明实施例的网络切片选择方法的流程图,本方法的执行主体为待接入网络的终端设备、或安装在终端设备的应用,在此不做限定。
参考图2,本发明实施例提供的网络切片选择方法包括如下步骤:
步骤210:根据至少一个目标业务的联网需求调用IP协议栈;
步骤220:在IP协议栈中将终端设备的设备标识和目标业务的业务标识嵌入IP包头,获得更新IP包头;
步骤230:将更新IP包头作为联网需求的数据封装头部,将联网需求发送给接入网关,其中设备标识用于接入网关对终端设备进行接入认证,业务标识用于在接入认证通过的情况下为终端设备选择对应的目标网络切片。
在本实施例中,业务标识为用于确定具体业务的标识信息。一个网络切片可以承载一个或者一类业务,因此网络切片与业务标识之间具有一定的对应关系。
在终端设备一侧对IP包头进行改动,设备标识及业务标识被嵌入到IP包头中,发送给接入网关,进而实现在接入网关一侧进行设备接入认证及基于业务标识的网络切片选择,从而解决相关技术中设备接入认证及网络切片选择分散管理导致的终端设备入网配置效率低的问题。
在可选实施例中,业务标识可以是提供业务服务的目标应用的应用标识、或终端设备内执行具体业务功能的控制器的标识信息。
图3为本发明提供的一种网络切片选择方法的可选实施例的流程图,本方法具体包括如下步骤:
步骤310:根据至少一个目标业务的联网需求调用IP协议栈;
步骤320:利用设备私钥对设备标识进行签名,得到带有签名信息的设备标识;
步骤330:在IP协议栈中将带有签名信息的设备标识和目标业务的业务标识嵌入IP包头,获得更新IP包头;
步骤340:将更新IP包头作为联网需求的数据封装头部,将联网需求发送给接入网关,其中设备标识用于接入网关对终端设备进行接入认证,业务标识用于在接入认证通过的情况下为终端设备选择对应的目标网络切片。
本实施例采用非对称签名技术,在终端设备一侧,使用设备私钥对设备标识进行签名,之后在接入网关一侧,使用设备私钥对应的公钥对该签名信息进行验签。
使用非对称签名技术,设备私钥和对应的公钥是分离的,设备私钥由终端设备持有,公钥是公开的,只有使用真实的设备私钥的签名信息才能被公钥验签通过,因此即使使用了冒充的设备标识,但是设备私钥是错误的,验签认证不能通过,因此非对称签名技术可以增强信息安全性。
其中,设备私钥可以是接入网关与终端设备事先约定的。
在可选实施例中,还可以选择对称加密技术对设备标识进行加密,并由接入网关进行解密验证。
在可选实施例中,设备私钥与业务标识之间具有预先设置的对应关系。因此,在利用设备私钥对设备标识进行签名之前,可以根据业务标识获取对应的设备私钥。
在这种情况下,对应每项业务均具有对应的设备私钥。
参考图4,在可选实施例中,在IP协议栈中将终端设备的设备标识和目标业务的业务标识嵌入IP包头的SRv6标签,如业务ID和签名字符串,该签名字符串即为签名信息。
SRv6为分段路由互联网协议第六版(Segment Routing IPv6)的简称,其采用现有的IPv6转发技术,通过灵活的IPv6扩展头,实现网络可编程。SRv6简化了网络协议类型,具有良好的扩展性和可编程性,可满足更多新业务的多样化需求,提供高可靠性。
SRv6标签定义了存储分段式路由的下一跳地址,本实施例在地址之前***设备标识和目标业务的业务标识,从而对该下一跳地址进行重定义,提供了一种新的协议表达。因此,本实施例利用SRv6的可编程性,能够在IP包头中自动嵌入设备标识和业务标识等认证信息,这增强了本实施例方案的可信性和可靠性。
图5为本发明实施例提供的网络切片选择方法的流程图,本方法的执行主体是接入网关AG(access gateway),位于软交换架构当中的边缘接入层,提供模拟用户线接口,用于直接将普通电话用户接入到软交换网中。
在三层IP网络中,接入网关泛指网络边缘连接用户主机的各种IP网关设备。典型的接入网关包括:宽带接入网关(BRAS)、无线接入网关(WiFi路由器)、家庭(接入)网关、各种拨号(协议)接入网关、专线接入网关、VPN接入网关、企业接入网关等。
本方法包括如下步骤:
步骤510:接收终端设备基于更新IP包头发送的至少一个目标业务的联网需求;
步骤520:从更新IP包头中提取终端设备的设备标识和目标业务的业务标识;
步骤530:对终端设备的设备标识进行接入认证;
步骤540:在接入认证通过的情况下,根据业务标识为终端设备选择对应的目标网络切片。
在本发明实施例中,在接入网关部署终端设备接入认证和网络切片选择功能,解决相关技术中接入认证及网络切片选择分离处理导致的网络接入效率低的问题。
图6为本发明提供的网络切片选择方法的一个实施例的流程图,本方法包括如下步骤:
步骤610:接收终端设备基于更新IP包头发送的至少一个目标业务的联网需求;
步骤620:从更新IP包头中提取终端设备的设备标识和目标业务的业务标识;
步骤630:在设备标识带有签名信息的情况下,获取公钥,对签名信息进行验证,其中签名信息是利用公钥对应的设备私钥对设备标识进行签名得到的;
步骤640:在接入认证通过的情况下,根据业务标识为终端设备选择对应的目标网络切片。
其中,步骤610、620、640分别参考上文步骤210、220、240,再次不再赘述。
对应于上文图3所示实施例,此处公钥与终端设备一侧的设备私钥构成密钥对,接入网关利用公钥对签名信息进行解密,如果解析得到正确的设备标识,则表明该签名信息有效,基于业务标识查询对应的目标网络切片;如果解析不出正确的设备标识,则对联网需求丢弃,结束当前流程。
在可选实施例中,业务标识为终端设备上运行的目标应用的应用标识,则获取公钥,包括如下步骤:
根据应用标识获取对应的目标应用矩阵;
根据目标应用矩阵确定对应的公钥。
其中,目标应用矩阵可以直接作为公钥使用,也可以根据目标应用矩阵生成公钥。
在可选实施例中,在接入网关选择目标网络切片的情况下,本方法还包括:
根据联网需求将终端设备接入网络切片,并通过网络切片转发数据包。
这可以实现即时的业务分流隔离,能做到业务透明。
图7为本发明实施例提供的网络切片选择方法的一个实施例的流程图,本方法具体包括如下步骤:
步骤710:终端设备上安装的应用启动联网发送需求,调用IP协议栈,该联网发送需求对应上文的联网需求;
步骤720:终端设备利用设备私钥对设备ID进行签名,在IP协议栈中将签名信息和应用ID嵌入SRv6标签;
步骤730:接入网关从终端设备接收携带数据包的联网发送需求,利用应用ID获取对应的应用矩阵,利用预制的应用矩阵得到公钥,利用公钥对签名信息进行验证,若验证通过则转入步骤740,若验证不通过则转入步骤760;
步骤740:接入网关查询并配置策略,具体可以包括:利用应用ID查询对该应用ID所提供业务配置的分流策略、访问控制策略和安全审计要求等,开通相应的VLAN(VirtualLAN),翻译成中文是“虚拟局域网”,该虚拟局域网为上网目标网络切片的一个示例,并在接入网关的防火墙配置规则;
步骤750:根据预先配置的各策略,对终端设备的数据包分配VLAN,执行对应的过滤策略,进行分流转发;
步骤760:如果认证不通过,则接入网关将数据包丢弃,并结束流程。
在可选实施例中,接入网关上增加设备接入认证和分流环节,接入网关可以基于为各终端设备上的业务选择的网络切片提供及时的网络分流服务,各业务数据包被接入网关分别输出到对应的网络切片,实现网络端到端的业务隔离,实现在接入认证环节的第一跳即能进行分流,充分保证业务安全,减少配置环节。
图8为本发明实施例提供给的一种网络切片选择设备,该***应用于终端设备,包括:
调用模块810,根据至少一个目标应用的联网需求调用IP协议栈;
嵌入模块820,在IP协议栈中将终端设备的设备标识和目标应用的应用标识嵌入IP包头,获得更新IP包头;
认证发起模块830,将更新IP包头作为联网需求的数据封装头部,将联网需求发送给接入网关,其中设备标识用于接入网关对终端设备进行接入认证,业务标识用于在接入认证通过的情况下为终端设备选择对应的目标网络切片。
上述模块的实现原理参见网络切片选择方法中的相关介绍,此处不再赘述。
本发明的网络切片选择设备能够将设备标识及业务标识均嵌入到IP包头中,发送给接入网关,进而实现在接入网关一侧进行设备接入认证及基于业务标识的网络切片选择,从而解决相关技术中设备接入认证及网络切片选择分散管理导致的终端设备入网配置效率低的问题。
在可选实施例中,嵌入模块820具体可以用于:
在IP协议栈中将终端设备的设备标识和目标业务的业务标识嵌入IP包头的SRv6标签中。
在可选实施例中,与图8相比,图9所示网络切片选择设备还包括:
签名模块910,在IP协议栈中将终端设备的设备标识和目标业务的业务标识嵌入IP包头之前,利用设备私钥对设备标识进行签名,得到带有签名信息的设备标识;
其中,嵌入模块920具体可用于:
在IP协议栈中将带有签名信息的设备标识和目标业务的业务标识嵌入IP包头。
图10为本发明提供的网络切片选择设备的结构图,该网络切片设备应用于接入网关,包括:
接收模块1010,接收终端设备基于更新IP包头发送的至少一个目标业务的联网需求;
提取模块1020,从更新IP包头中提取终端设备的设备标识和目标业务的应用标识;
认证模块1030,对终端设备的设备标识进行接入认证;
选择模块1040,在接入认证通过的情况下,根据业务标识为终端设备选择对应的目标网络切片。
本网络切片选择设备能够在接入网关部署终端设备接入认证和网络切片选择功能,解决相关技术中接入认证及网络切片选择分离处理导致的网络接入效率低的问题。
在可选实施例中,认证模块1030具体可以用于:
在设备标识带有签名信息的情况下,获取公钥,对签名信息进行验证,其中签名信息是利用公钥对应的设备私钥对设备标识进行签名得到的。
在可选实施例中,认证模块1030具体可以用于:
根据应用标识获取对应的目标应用矩阵;
根据目标应用矩阵确定对应的公钥。
在可选实施例中,参考图11,与图10相比,网络切片选择设备还可以包括:
策略执行模块1110,利用应用ID查询对目标业务配置的分流策略、访问控制策略和安全审计要求,并开通相应的VLAN;
网络分流模块1120,根据分流策略对终端设备的数据包进行分流。
图12是本发明的网络切片选择设备的结构示意图。下面参照图12来描述根据本发明的这种实施方式的电子设备1200。图12显示的电子设备1200仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图12所示,电子设备1200以通用计算设备的形式表现。电子设备1200的组件可以包括但不限于:至少一个处理单元1210、至少一个存储单元1220、连接不同平台组件(包括存储单元1220和处理单元1210)的总线1230、显示单元1240等。
其中,存储单元存储有程序代码,程序代码可以被处理单元1210执行,使得处理单元1210执行本说明书上述电子处方流转处理方法部分中描述的根据本发明各种示例性实施方式的步骤。例如,处理单元1210可以执行如图2-图7任一实施例中所示的步骤。
存储单元1220可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)1221和/或高速缓存存储单元1222,还可以进一步包括只读存储单元(ROM)1223。
存储单元1220还可以包括具有一组(至少一个)程序模块1225的程序/实用工具1224,这样的程序模块1225包括但不限于:处理***、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线1230可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、***总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备1200也可以与一个或多个外部设备1250(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备1200交互的设备通信,和/或与使得该电子设备1200能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口1260进行。并且,电子设备1200还可以通过网络适配器1270与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器1270可以通过总线1230与电子设备1200的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备1200使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID***、磁带驱动器以及数据备份存储平台等。
本发明实施例还提供一种计算机可读存储介质,用于存储程序,程序被执行时实现的网络切片选择方法的步骤。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在终端设备上运行时,程序代码用于使终端设备执行本说明书上述网络切片选择方法部分中描述的根据本发明各种示例性实施方式的步骤。
根据本发明的实施方式的用于实现上述方法的程序产品800,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明处理的程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
综上,本发明的目的在于提供网络切片选择方法、***、设备及存储介质,在接入网关实现终端设备的设备接入认证以及基于业务标识的网络切片选择,解决了现有技术中设备接入认证及网络切片选择多头分散管理的问题。由于设备接入认证及网络切片选择集中在一端执行,能够确保时间管理上的一致性,有利于提升终端设备与网络切片的联网配置效率。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。

Claims (12)

1.一种网络切片选择方法,其特征在于,应用于终端设备,包括:
根据至少一个目标业务的联网需求调用IP协议栈;
在所述IP协议栈中将所述终端设备的设备标识和所述目标业务的业务标识嵌入IP包头,获得更新IP包头;
将所述更新IP包头作为所述联网需求的数据封装头部,将所述联网需求发送给接入网关,其中所述设备标识用于接入网关对所述终端设备进行接入认证,所述业务标识用于在接入认证通过的情况下为所述终端设备选择对应的目标网络切片。
2.根据权利要求1所述的网络切片选择方法,其特征在于,所述方法还包括:
在所述IP协议栈中将所述终端设备的设备标识和所述目标业务的业务标识嵌入IP包头之前,利用设备私钥对所述设备标识进行签名,得到带有签名信息的设备标识;
在所述IP协议栈中将所述终端设备的设备标识和所述目标业务的业务标识嵌入IP包头,包括:
在所述IP协议栈中将所述带有签名信息的设备标识和所述目标业务的业务标识嵌入IP包头。
3.根据权利要求1所述的网络切片选择方法,其特征在于,在所述IP协议栈中将所述终端设备的设备标识和所述目标业务的业务标识嵌入IP包头,包括:
在所述IP协议栈中将所述终端设备的设备标识和所述目标业务的业务标识嵌入所述IP包头的SRv6标签中。
4.一种网络切片选择方法,其特征在于,应用于接入网关,包括:
接收终端设备基于更新IP包头发送的至少一个目标业务的联网需求;
从所述更新IP包头中提取所述终端设备的设备标识和所述目标业务的业务标识;
对所述终端设备的设备标识进行接入认证;
在接入认证通过的情况下,根据所述业务标识为所述终端设备选择对应的目标网络切片。
5.根据权利要求4所述的网络切片选择方法,其特征在于,所述对所述终端设备的设备标识进行接入认证,包括:
在所述设备标识带有签名信息的情况下,获取公钥,对所述签名信息进行验证,其中所述签名信息是利用所述公钥对应的设备私钥对所述设备标识进行签名得到的。
6.根据权利要求5所述的网络切片选择方法,其特征在于,所述业务标识为所述终端设备上运行的目标应用的应用标识,则所述获取公钥,包括:
根据所述应用标识获取对应的目标应用矩阵;
根据所述目标应用矩阵确定对应的所述公钥。
7.根据权利要求4所述的网络切片选择方法,其特征在于,还包括:
根据所述联网需求将所述终端设备接入所述网络切片,并通过所述网络切片转发数据包。
8.一种网络切片选择***,其特征在于,包括:
终端设备,根据至少一个目标业务的联网需求调用IP协议栈,在所述IP协议栈中将所述终端设备的设备标识和所述目标业务的业务标识嵌入IP包头,获得更新IP包头,将所述更新IP包头作为所述联网需求的数据封装头部,将所述联网需求发送给接入网关;
接入网关,接收所述终端设备发送的所述至少一个目标业务的联网需求,从所述更新IP包头中提取所述终端设备的设备标识和目标业务的业务标识,对所述终端设备的设备标识进行接入认证,在认证通过的情况下,根据所述业务标识为所述终端设备选择对应的目标网络切片。
9.一种网络切片选择设备,其特征在于,应用于终端设备,包括:
调用模块,根据至少一个目标业务的联网需求调用IP协议栈;
嵌入模块,在所述IP协议栈中将所述终端设备的设备标识和所述目标业务的业务标识嵌入IP包头,获得更新IP包头;
认证发起模块,将所述更新IP包头作为所述联网需求的数据封装头部,将所述联网需求发送给接入网关,其中所述设备标识用于接入网关对所述终端设备进行接入认证,所述业务标识用于在接入认证通过的情况下为所述终端设备选择对应的目标网络切片。
10.一种网络切片选择设备,其特征在于,应用于接入网关,包括:
接收模块,接收终端设备基于更新IP包头发送的至少一个目标业务的联网需求;
提取模块,从所述更新IP包头中提取所述终端设备的设备标识和目标业务的业务标识;
认证模块,对所述终端设备的设备标识进行接入认证;
选择模块,在接入认证通过的情况下,根据所述业务标识为所述终端设备选择对应的目标网络切片。
11.一种网络切片选择设备,其特征在于,包括:
处理器;
存储器,其中存储有所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1至7任意一项所述网络切片选择方法的步骤。
12.一种计算机可读存储介质,用于存储程序,其特征在于,所述程序被处理器执行时实现权利要求1至7任意一项所述网络切片选择方法的步骤。
CN202111299230.9A 2021-11-04 2021-11-04 网络切片选择方法、***、设备及存储介质 Pending CN114095158A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111299230.9A CN114095158A (zh) 2021-11-04 2021-11-04 网络切片选择方法、***、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111299230.9A CN114095158A (zh) 2021-11-04 2021-11-04 网络切片选择方法、***、设备及存储介质

Publications (1)

Publication Number Publication Date
CN114095158A true CN114095158A (zh) 2022-02-25

Family

ID=80298938

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111299230.9A Pending CN114095158A (zh) 2021-11-04 2021-11-04 网络切片选择方法、***、设备及存储介质

Country Status (1)

Country Link
CN (1) CN114095158A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220191761A1 (en) * 2020-12-16 2022-06-16 Huawei Technologies Co., Ltd. Terminal identification method and apparatus

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101094061A (zh) * 2006-06-24 2007-12-26 华为技术有限公司 数字网关***、设备和网络终端设备的接入签权认证方法
CN101789906A (zh) * 2010-02-24 2010-07-28 杭州华三通信技术有限公司 用户接入认证的方法和***
CN108243483A (zh) * 2016-12-23 2018-07-03 大唐移动通信设备有限公司 一种通信方法、装置及***
CN110881207A (zh) * 2019-10-31 2020-03-13 华为技术有限公司 一种网络切片选择方法及相关产品
CN112019428A (zh) * 2020-09-02 2020-12-01 成都西加云杉科技有限公司 一种网关
CN112073248A (zh) * 2020-09-11 2020-12-11 Oppo(重庆)智能科技有限公司 网络接入方法、装置、终端及存储介质
WO2021134377A1 (zh) * 2019-12-30 2021-07-08 华为技术有限公司 接入网络切片的方法和装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101094061A (zh) * 2006-06-24 2007-12-26 华为技术有限公司 数字网关***、设备和网络终端设备的接入签权认证方法
CN101789906A (zh) * 2010-02-24 2010-07-28 杭州华三通信技术有限公司 用户接入认证的方法和***
CN108243483A (zh) * 2016-12-23 2018-07-03 大唐移动通信设备有限公司 一种通信方法、装置及***
CN110881207A (zh) * 2019-10-31 2020-03-13 华为技术有限公司 一种网络切片选择方法及相关产品
WO2021134377A1 (zh) * 2019-12-30 2021-07-08 华为技术有限公司 接入网络切片的方法和装置
CN112019428A (zh) * 2020-09-02 2020-12-01 成都西加云杉科技有限公司 一种网关
CN112073248A (zh) * 2020-09-11 2020-12-11 Oppo(重庆)智能科技有限公司 网络接入方法、装置、终端及存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220191761A1 (en) * 2020-12-16 2022-06-16 Huawei Technologies Co., Ltd. Terminal identification method and apparatus
US11991582B2 (en) * 2020-12-16 2024-05-21 Huawei Technologies Co., Ltd. Terminal identification method and apparatus

Similar Documents

Publication Publication Date Title
US9602307B2 (en) Tagging virtual overlay packets in a virtual networking system
CN109561108B (zh) 一种基于策略的容器网络资源隔离控制方法
CN111131037B (zh) 基于虚拟网关的数据传输方法、装置、介质与电子设备
US9667653B2 (en) Context-aware network service policy management
CN104685500A (zh) 向虚拟覆盖网络流量提供服务
CN107733795B (zh) 以太网虚拟私有网络evpn与公网互通方法及其装置
CN100534034C (zh) 接入控制方法和装置
US20040039847A1 (en) Computer system, method and network
JP2014036240A (ja) 制御装置、方法及びプログラム、並びにシステム及び情報処理方法
US10178068B2 (en) Translating network attributes of packets in a multi-tenant environment
US10868792B2 (en) Configuration of sub-interfaces to enable communication with external network devices
CN104993993B (zh) 一种报文处理方法、设备和***
CN104283786B (zh) 用于增加软件定义网络的可缩放性的***和方法
CN108093041A (zh) 单通道vdi代理服务***及实现方法
CN104205764A (zh) 基于以太网类型的帧传送
CN110677337B (zh) 数据转发方法、装置、网络设备及计算机可读存储介质
CN114095158A (zh) 网络切片选择方法、***、设备及存储介质
US20150244677A1 (en) Architecture for network management in a multi-service network
US20160365987A1 (en) Personal computer network
JP5940632B2 (ja) ネットワークグループ分けシステム及びそのネットワークグループ分け方法
CN114827057A (zh) 通信方法以及通信***
CN112737947B (zh) 基于mpls的虚拟网络跨域传输方法、***、设备和介质
KR100788138B1 (ko) 네트워크 기반의 서비스 플랫폼을 이용한 통신 서비스제공 시스템 및 방법
US11836382B2 (en) Data read method, data storage method, electronic device, and computer program product
CN113014507B (zh) 流量的处理方法、装置、***和计算机可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination