一种网络切片检测方法、装置和存储介质与流程

1.本发明涉及网络切片技术，尤其涉及一种网络切片检测方法、装置和存储介质。


背景技术：

2.网络切片是提供特定网络能力的、端到端的逻辑专用网络。一个网络切片实例是由网络功能和所需的物理/虚拟资源的集合，具体可包括接入网、核心网、传输承载网及应用。网络切片可基于传统的专有硬件构建，也可基于网络功能虚拟化(nfv，network functions virtualization)/软件定义网络(sdn，software defined network)的通用基础设施构建，尽可能基于统一基础架构，实现低成本高效运营。
3.终端在用户终端路由选择策略(ursp，ue route selection policy)中使用应用程序(app，application)标识(id，identity document)、网际互连协议(ip，internet protocol)三元组、全称域名(fqdn，fully qualified domain name)、数据网络名称(dnn，datanetwork name)或者连接信息(connection)等来映射单个网络切片选择辅助信息(s-nssai，single network slice selection assistance information)对应的网络切片时，app id、ip三元组、fqdn、dnn或者connection由终端上的app、业务或终端来填写，就会存在app id、fqdn、dnn或者connection冒用的问题；这样存在破坏运营商网络通过网络切片来对签约app和非签约app提供差分服务保障机制的可能。


技术实现要素：

4.有鉴于此，本发明的主要目的在于提供一种网络切片检测方法、装置和存储介质。
5.为达到上述目的，本发明的技术方案是这样实现的：
6.本发明实施例提供一种网络切片检测方法，所述方法包括：
7.第一网络设备接收来自终端发送的数据包，检测所述数据包的特定标识位；
8.判断所述特定标识位携带的数据是否对应于第一切片标识，基于判断结果确定所述数据包是否属于所述第一切片标识对应的网络切片。
9.上述方案中，所述判断所述特定标识位携带的数据是否对应于第一切片标识之前，所述方法包括：确定预设的判断模式；
10.所述检测所述数据包的特定标识位，包括：
11.相应于所述判断模式为第一模式时，检测所述数据包的第一特定标识位指示的第一目的ip地址；
12.相应于所述判断模式为第二模式时，检测所述数据包的第二特定标识位指示的特定数据。
13.上述方案中，所述检测第一特定标识位指示的第一目的ip地址，包括：
14.检测所述数据包的包头的所述第一特定标识位，所述第一特定标识位用于指示所述数据包对应的第一目的ip地址；
15.所述判断所述特定标识位携带的数据是否对应于第一切片标识，基于判断结果确
定所述数据包是否属于所述第一切片标识对应的网络切片，包括：
16.获得第二网络设备发送的第一映射集合；所述第一映射集合包括：多组切片标识和ip地址列表的映射关系；
17.判断所述第一目的ip地址是否在所述第一映射集合中的第一切片标识对应的ip地址列表中；
18.确定所述第一目的ip地址在所述第一切片标识对应的ip地址列表中时，确定所述数据包属于所述第一切片标识对应的网络切片。
19.上述方案中，所述检测第二特定标识位指示的特定数据，包括：
20.检测所述数据包的包头的所述第二特定标识位指示的特定数据，所述特定数据为采用预设加密方式加密后的加密数据；
21.所述判断所述特定标识位携带的数据是否对应于第一切片标识，基于判断结果确定所述数据包是否属于所述第一切片标识对应的网络切片，包括：
22.判断所述加密数据是否可通过所述第一切片标识对应的预设解密方式进行解密处理；
23.确定所述加密数据可通过所述第一切片标识对应的预设解密方式进行解密时，确定所述数据包属于所述第一切片标识对应的网络切片。
24.本发明实施例提供了一种网络切片检测方法，所述方法包括：
25.第二网络设备获得来自终端的网络切片选择结果；所述网络切片选择结果包括针对相应应用程序的至少一个网络切片标识；
26.根据所述至少一个网络切片和预先获得的第二映射集合，建立协议数据单元(pdu，protocol data unit)会话并确定第一映射集合；所述第一映射集合包括：多组切片标识和ip地址列表的映射关系；
27.将所述第一映射集合发送给第一网络设备。
28.上述方案中，所述根据所述至少一个网络切片和预先获得的第二映射集合，确定第一映射集合，包括：
29.从所述至少一个网络切片标识中选择目标网络切片标识；
30.根据所述目标网络切片标识和所述第二映射集合，确定所述目标网络切片标识对应的ip地址列表；所述第二映射集合从第三网络设备获得；所述第二映射集合包括：针对不同应用程序的各切片标识和ip地址列表的映射关系；
31.根据所述目标网络切片标识和所述目标网络切片标识对应的ip地址列表，确定所述第一映射集合。
32.本发明实施例提供了一种网络切片检测装置，所述装置包括：第一处理模块、第二处理模块，其中，
33.所述第一处理模块，用于接收来自终端发送的数据包，检测所述数据包的特定标识位；
34.所述第二处理模块，用于判断所述特定标识位携带的数据是否对应于第一切片标识，基于判断结果确定所述数据包是否属于所述第一切片标识对应的网络切片。
35.上述方案中，所述第二处理模块，还用于判断所述特定标识位携带的数据是否对应于第一切片标识之前，确定预设的判断模式；
36.所述第一处理模块，具体用于相应于所述判断模式为第一模式时，检测所述数据包的第一特定标识位指示的第一目的ip地址；
37.相应于所述判断模式为第二模式时，检测所述数据包的第二特定标识位指示的特定数据。
38.上述方案中，所述第一处理模块，具体用于检测所述数据包的包头的所述第一特定标识位，所述第一特定标识位用于指示所述数据包对应的第一目的ip地址；
39.所述第二处理模块，用于获得第二网络设备发送的第一映射集合；所述第一映射集合包括：多组切片标识和ip地址列表的映射关系；
40.判断所述第一目的ip地址是否在所述第一映射集合中的第一切片标识对应的ip地址列表中；
41.确定所述第一目的ip地址在所述第一切片标识对应的ip地址列表中时，确定所述数据包属于所述第一切片标识对应的网络切片。
42.上述方案中，所述第一处理模块，用于检测所述数据包的包头的所述第二特定标识位指示的特定数据，所述特定数据为采用预设加密方式加密后的加密数据；
43.所述第二处理模块，用于判断所述加密数据是否可通过所述第一切片标识对应的预设解密方式进行解密处理；
44.确定所述加密数据可通过所述第一切片标识对应的预设解密方式进行解密时，确定所述数据包属于所述第一切片标识对应的网络切片。
45.本发明实施例提供了一种网络切片检测装置，所述装置包括：第三处理模块、第四处理模块；其中，
46.所述第三处理模块，用于获得来自终端的网络切片选择结果；所述网络切片选择结果包括针对相应应用程序的至少一个网络切片标识；
47.所述第四处理模块，用于根据所述至少一个网络切片和预先获得的第二映射集合，建立pdu会话并确定第一映射集合；将所述第一映射集合发送给第一网络设备；所述第一映射集合包括：多组切片标识和ip地址列表的映射关系。
48.上述方案中，所述第四处理模块，用于从所述至少一个网络切片标识中选择目标网络切片标识；
49.根据所述目标网络切片标识和所述第二映射集合，确定所述目标网络切片标识对应的ip地址列表；所述第二映射集合从第三网络设备获得；所述第二映射集合包括：针对不同应用程序的各切片标识和ip地址列表的映射关系；
50.根据所述目标网络切片标识和所述目标网络切片标识对应的ip地址列表，确定所述第一映射集合。
51.本发明实施例提供了一种网络切片检测装置，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现第一网络设备侧的所述网络切片检测方法的步骤；或者，
52.所述处理器执行所述程序时实现第二网络设备侧的所述网络切片检测方法的步骤。
53.本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现第一网络设备侧的所述网络切片检测方法的步骤；或者，
function)、策略控制功能(pcf，policy control function)、统一数据管理功能(udm，unified data management)、应用层功能(af，application function)。
71.其中，上述网元功能实体的具体功能如下：amf用于负责用户的接入和移动性管理；smf用于负责用户的会话管理；ausf用于负责对用户的3gpp和非3gpp接入进行认证；upf用于负责用户面处理；dn负责数据网络，例如运营商业务，互联网接入或者第三方业务；nssf用于负责选择用户业务采用的网络切片；nrf用于负责网络功能的注册、发现和选择；nef用于负责将5g网络的能力开放给外部系统；pcf用于负责用户的策略控制，包括会话的策略、移动性策略等；udm用于完成用户签约数据管理、认证信息生成、移动性管理、短消息路由等功能；af用于负责与核心网互通以为用户提供业务。
72.上述网元功能实体的连接关系如下：ue通过n1接口与amf连接，(r)an与amf通过n2接口连接，(r)an与upf通过n3接口连接，upf与smf通过n4接口连接，upf内部通过n9接口传输数据，upf与dn通过n6接口连接，服务化架构中采用it化总线，amf通过基于业务的接口namf接入上述总线，ausf通过基于业务的接口nausf接入上述总线，smf通过基于业务的接口nsmf接入上述总线，nssf通过基于业务的接口nssf接入上述总线，nef通过基于业务的接口nnef接入上述总线，nrf通过基于业务的接口nnrf接入上述总线，pcf通过基于业务的接口npcf接入上述总线，udm通过基于业务的接口nudm接入上述总线，af通过基于业务的接口naf接入上述总线。
73.图2为一种5g网络切片逻辑架构的示意图；如图2所示，5g三大网络切片类型包括：物联网大连接场景的网络切片、增强宽带场景的网络切片、超低时延超高可靠场景下的网络切片。
74.图3为一种网络切片的映射关系示意图；如图3所示，网络切片通过s-nssai标识。s-nssai贯穿网络切片全生命周期，在ue注册至相应网络切片及会话建立过程中均需携带。
75.在5g会话建立时，终端基于ursp中app id、ip三元组、fqdn、dnn或者connection与s-nssai建立业务与切标识片之间的映射关系，在5g会话建立请求中携带s-nssai，帮助网络为会话建立相应的网络切片。
76.但是，app id、ip三元组、fqdn、dnn或者connection由终端上的app、业务或终端来填写，就会存在app id、fqdn、dnn或者connection冒用的问题(ip三元组不太可能出现冒用的问题)；以app id为例，例如，app1的app id为app id1，app1签约了网络切片1，对应s-nssai 1；app2未签约网络切片，但app2却在app id中填写app id1；如果网络侧不做具体检测，网络会使用网络切片1来保障app2的业务，这样会破坏运营商网络通过网络切片来对签约app和非签约app提供差分服务的保障机制。
77.基于此，本发明实施例提供的方法，第一网络设备接收来自终端发送的数据包，检测所述数据包的特定标识位；判断所述特定标识位携带的数据是否对应于第一切片标识，基于判断结果确定所述数据包是否属于所述第一切片标识对应的网络切片；如此，通过特定标识位进行网络切片的检验，提高网络切片合法性检测的准确率；
78.第二网络设备获得来自终端的网络切片选择结果；所述网络切片选择结果包括针对相应应用程序的至少一个网络切片标识；根据所述至少一个网络切片和预先获得的第二映射集合，建立pdu会话并确定第一映射集合；所述第一映射集合包括：多组切片标识和ip地址列表的映射关系；将所述第一映射集合发送给第一网络设备。
79.下面结合实施例对本发明再作进一步详细的说明。
80.图4为本发明实施例提供的一种网络切片检测方法的流程示意图；如图4所示，所述网络切片检测方法应用于第一网络设备；所述方法包括：
81.步骤401、第一网络设备接收来自终端发送的数据包，检测所述数据包的特定标识位；
82.步骤402、判断所述特定标识位携带的数据是否对应于第一切片标识，基于判断结果确定所述数据包是否属于所述第一切片标识对应的网络切片。
83.具体来说，所述第一网络设备为提供5g服务的5g网络架构中的一个网元功能实体，具体为upf(参见图1所示结构)。
84.当终端与提供5g服务的5g网络架构建立pdu会话后，终端发送数据包，所述upf可以接收到所述终端发送的数据包，进而可以运用本发明实施例提供的方法进行网络切片的检测。
85.具体地，所述判断所述特定标识位携带的数据是否对应于第一切片标识之前，所述方法包括：确定预设的判断模式；
86.所述预设的判断模式的确定方式可以是多样的，在一实施例中，判断模式可以预先由开发人员设定并保存在第一网络设备中，从而可以直接在自身读取；在另一实施例中，所述判断模型可以保存在第二网络设备，由第二网络设备将判断模式的相关信息发送给第一网络设备，从而第一网络设备基于接收的判断模式的相关信息确定；当然还可以是其他方式，这里不做限定。
87.所述检测所述数据包的特定标识位，包括：
88.相应于所述判断模式为第一模式时，检测所述数据包的第一特定标识位指示的第一目的ip地址；
89.相应于所述判断模式为第二模式时，检测所述数据包的第二特定标识位指示的特定数据。
90.这里，所述数据包的包头具有特定标识位；所述数据包可以为ip数据包、非ip数据包。
91.所述特定标识位包括：第一特定标识位、第二特定标识位。
92.具体地，所述检测第一特定标识位指示的第一目的ip地址，包括：
93.检测所述数据包的包头的所述第一特定标识位，所述第一特定标识位用于指示所述数据包对应的第一目的ip地址；
94.相应地，所述判断所述特定标识位携带的数据是否对应于第一切片标识，基于判断结果确定所述数据包是否属于所述第一切片标识对应的网络切片，包括：
95.获得第二网络设备发送的第一映射集合；所述第一映射集合包括：多组切片标识和ip地址列表的映射关系；
96.判断所述第一目的ip地址是否在所述第一映射集合中的第一切片标识对应的ip地址列表中；
97.确定所述第一目的ip地址在所述第一切片标识对应的ip地址列表中时，确定所述数据包属于所述第一切片标识对应的网络切片。
98.具体来说，相应于所述数据包采用第一模式为判断模式时，通过检测数据包的目
的ip地址(即所述第一目的ip地址)进行网络切片的检测。
99.所述第一映射集合包括：多组切片标识和ip地址列表的映射关系；例如，所述第一映射集合包括：切片标识(即s-nssai x，x为1至n的任意值)、ip地址列表(包括ip address1，ip address y
…
，y为1至m的任意值)。
100.实际应用时，第二网络设备(具体可以为smf)在会话建立流程中确定相应pdu会话使用的网络切片的切片标识，从而第一网络设备可以从smf处获取使用所述pdu会话传输的所述数据包所对应的切片标识(即第一切片标识)；然后，根据所述第一映射集合确定第一切片标识对应的ip地址列表，进而可以判断所述第一目的ip地址是否在所述第一映射集合中的第一切片标识对应的ip地址列表中。
101.需要说明的是，网络切片和pdu会话存在对应关系，所述第一映射集合还可以包括：相应的pdu会话的会话标识(pdu session)；从而，实际应用时，可以基于数据包对应的会话标识和/或切片标识，确定数据包对应的会话标识和/或切片标识所对应的ip地址列表。
102.以下提供一种第一映射集合的示例，具体包括：
103.s-nssai 1(切片标识)、对应的会话1(pdu会话的标识)、对应的ip地址列表1(ip address1、ip address2、ip address3)；
104.s-nssai 2(切片标识)、对应的会话2(pdu会话的标识)、对应的ip地址列表2(ip address6、ip address9、ip address10、ip address11)；
105.s-nssai 3(切片标识)、对应的会话3(pdu会话的标识)、对应的ip地址列表3(ip address4、ip address5、ip address7、ip address8)。
106.具体地，所述检测第二特定标识位指示的特定数据，包括：
107.检测所述数据包的包头的所述第二特定标识位指示的特定数据，所述特定数据为采用预设加密方式加密后的加密数据；
108.相应地，所述判断所述特定标识位携带的数据是否对应于第一切片标识，基于判断结果确定所述数据包是否属于所述第一切片标识对应的网络切片，包括：
109.判断所述加密数据是否可通过所述第一切片标识对应的预设解密方式进行解密处理；
110.确定所述加密数据可通过所述第一切片标识对应的预设解密方式进行解密时，确定所述数据包属于所述第一切片标识对应的网络切片。
111.具体来说，相应于所述数据包采用第二模式为判断模式时，通过检测数据包的第二特定标识位是否可以进行解密的方式，以进行网络切片的检测。
112.这里，每个网络切片对应一个预设解密方式和预设加密方式，所述预设解密方式可以对预设加密方式加密后的数据进行解密。
113.所述第一网络设备存储有每个网络切片对应的预设解密方式和预设加密方式；
114.举例来说，所述第一网络设备可以存储有：
115.s-nssai4(切片标识)、对应的解密方式4、对应的加密方式4；所述解密方式4可以对通过加密方式4加密后的数据进行解密；
116.s-nssai5(切片标识)、对应的解密方式5、对应的加密方式5；所述解密方式5可以对通过加密方式5加密后的数据进行解密。
117.具体地，所述加密数据，可以包括：ursp中用于切片映射的信息app id、fqdn、dnn或者connection等，所述加密数据可以是使用服务提供商和运营商网络预先协商好的加密方式进行加密，加密后的加密数据携带在数据包的包头固定位置(即所述第二特定标识位)，如ip包头中的option字段中；从而，所述upf可以通过检测这个固定位置以判定此数据包是否属于当前网络切片。
118.其中，用于app id、fqdn、dnn或者connection等信息加解密的方式举例如下：app id、fqdn、dnn或者connection信息通过使用app id、fqdn、dnn或者connection对应的私钥加密，加密后的数据放在数据包报头固定位置，如ip包头中的option字段中。当数据包传送到upf时，upf通过使用app id、fqdn、dnn或者connection对应的共钥解密，若解密成功，则认为是合法的app id、fqdn、dnn或者connection(即确定所述数据包属于当前网络切片)，如解密不成功，则upf可以扔包或者通知smf释放pdu会话。
119.需要说明的是，网络切片和pdu会话存在对应关系，也就是说，对应有预设解密方式和预设加密方式的网络切片还可以对应有会话标识；从而，实际应用时，可以基于数据包对应的会话标识和/或切片标识，确定相应的会话和/或网络切片对应的解密方式，从而，运用得到的解密方式进行解密，判断是否可完成解密，基于解密结果判断数据包是否属于会话标识和/或切片标识对应的会话和/或网络切片。
120.图5为本发明实施例提供的一种数据包的包头结构的示意图；如图5所示，所述数据包的包头至少包括：源ip地址、目的ip地址、选项(option)；
121.其中，目的ip地址相当于上述第一目的ip地址，即图5所示的目的ip地址对应第一特定标识位，用于进行网络切片检测；具体通过判断目的ip地址是否属于相应网络切片(即数据包对应的网络切片)对应的ip地址列表中，根据判断结果确定数据包是否属于相应网络切片。
122.所述选项，可以包括：加密的app id、rqdn、dnn或connection，所述选项对应第二特定标识位，用于进行网络切片检测。具体通过判断是否可以通过相应网络切片(即数据包对应的网络切片)对应的预设解密密钥对加密的app id、rqdn、dnn或connection进行解密，根据解密结果判断数据包是否属于相应网络切片。
123.上述根据第一特定标识位、第二特定标识位进行网络切片检测的方法可以具体参照图4所示方法，这里不再赘述。
124.图6为本发明实施例提供的另一种网络切片检测方法的流程示意图；如图6所示，所述网络切片检测方法应用于第二网络设备；所述方法包括：
125.步骤601、第二网络设备获得来自终端的网络切片选择结果；所述网络切片选择结果包括针对相应应用程序的至少一个网络切片标识；
126.步骤602、根据所述至少一个网络切片和预先获得的第二映射集合，建立pdu会话并确定第一映射集合；所述第一映射集合包括：多组切片标识和ip地址列表的映射关系；
127.步骤603、将所述第一映射集合发送给第一网络设备。
128.这里，所述第一网络设备和所述第二网络设备属于提供5g服务的5g网络架构中的一个网元功能实体。所述第一网络设备具体为upf，所述第二网络设备具体为smf。
129.具体地，所述根据所述至少一个网络切片和预先获得的第二映射集合，确定第一映射集合，包括：
130.从所述至少一个网络切片标识中选择目标网络切片标识；
131.根据所述目标网络切片标识和所述第二映射集合，确定所述目标网络切片标识对应的ip地址列表；所述第二映射集合从第三网络设备获得；所述第二映射集合包括：针对不同应用程序的各切片标识和ip地址列表的映射关系；
132.根据所述目标网络切片标识和所述目标网络切片标识对应的ip地址列表，确定所述第一映射集合。
133.这里，所述第二网络设备获得的来自终端的网络切片选择结果可以包括针对相应应用程序的至少一个网络切片标识，具体来说，终端侧的应用程序可以根据ursp中应用程序标识(app id)与切片标识的对应关系，选择至少一个网络切片标识。
134.例如，选择有：切片a、切片b、切片c；
135.相应地，所述第二网络设备从所述至少一个网络切片标识中选择目标网络切片标识，即，所述第二网络设备根据网络状态或相应策略，从切片a、切片b、切片c具体选择一个切片标识对应的网络切片，例如选择切片b对应的网络切片，提供给相应的应用程序进行数据传输。
136.所述第二映射集合，包括：针对不同应用程序(用应用程序标识进行标记，记做app idz)的各切片标识和ip地址列表的映射关系；
137.即所述第二映射集合包括app idz、切片标识(记做s-nssai x)、ip地址列表之间的对应关系。
138.这里，所述第二网络设备获得的所述第二映射集合具体从第三网络设备获得，所述第三网络设备可以为提供5g服务的5g网络架构中的一个设备，所述第三网络设备可以为pcf。
139.所述pcf具体可以从第四网络设备(具体为af)获取app id与ip地址列表之间的对应关系；这里，app id与ip地址列表之间的对应关系预先设定，具体由网络运营商为不同应用程序分配，即确定app idz对应的ip地址列表。
140.所述pcf可以针对每个应用程序分配网络切片，从而可以得到应用程序、网络切片、ip地址列表之间的对应关系；即确定各应用程序对应的网络切片及各网络切片对应的ip地址列表。
141.以下提供一种第二映射集合的示例，具体包括：
142.app id 6、s-nssai 6(切片标识)、对应的会话6(pdu会话的标识)、对应的ip地址列表6(如包括ip address61、ip address62、ip address63)；
143.app id 7、s-nssai 7(切片标识)、对应的ip地址列表7(如包括ip address76、ip address79、ip address70、ip address71)。
144.结合上述示例，对所述根据所述目标网络切片标识和所述第二映射集合，确定所述目标网络切片标识对应的ip地址列表具体说明；
145.例如，针对相应应用程序的目标网络切片标识为s-nssai 7，确定对应的ip地址列表7(包括ip address76、ip address79、ip address70、ip address71)
146.相应地，根据所述目标网络切片标识和所述目标网络切片标识对应的ip地址列表，确定所述第一映射集合；
147.基于上述目标网络切片标识确定应用程序标识为app id7，从而确定所述第一映
射集合，包括：一组针对app id7的对应关系，具体为s-nssai 7(切片标识)、对应的ip地址列表7(包括ip address76、ip address79、ip address70、ip address71)。
148.所述第一映射集合具体可以包括多组切片标识和ip地址列表的映射关系，上述各组切片标识和ip地址列表的映射关系可以对应不同的应用程序；任意至少两组也可以对应同一应用程序(对应了为该应用程序提供了至少两个网络切片的情况)。
149.需要说明的是，由于pdu会话和网络切片存在对应关系，在步骤602建立pdu会话时可以记录建立的pdu会话的会话标识，并将pdu会话与网络切片的对应关系保存在第一映射集合中。
150.本发明实施例的方法，upf(即第一网络设备)运用图4所示方法，根据上行数据包的目的ip地址或者特定字段，判断所述上行数据包是否属于当前网络切片(具体为判断数据包中的目的ip地址是否在upf维护的与此网络切片或此会话对应的ip地址列表中，或者判断数据包中特定字段中加密的app id、fqdn、dnn或者connection等信息能否使用预先协商好的网络切片对应的密钥进行解密)，若不是，则upf可以扔包或者通知smf释放会话。
151.smf(即第二网络设备)根据从pcf获取或者本地配置(pcf不部署时)的策略信息1确定切片、会话、ip地址列表之间的对应关系(s-nssai x；pdu session；ip address1、ip address y
…
)、即策略信息2并向upf发送策略信息2，所述策略信息2用于切片合法性检测；并且，smf还用于收到upf检测不合格通知时，释放当前会话。
152.通过上述方法，可以根据特定标识位(具体包括对应第一特定标识位的目的ip地址，对应第二特定标识位的加密的特定数据)进行网络切片的检验，提高网络切片合法性检测的准确率。
153.图7为本发明实施例提供的再一种网络切片检测方法的流程示意图；如图7所示，所述网络切片检测方法，应用于提供5g服务的5g网络架构，具体涉及ue、upf、smf、pcf、nef、af；所述方法包括：
154.步骤700、af向pcf发送app id与ip地址列表之间的对应关系；
155.所述af具体包括针对不同app类型的af，app类型如新浪、微信、微博等；
156.所述app id与ip地址列表之间的对应关系包括：app idz、ip地址列表(可以包括ip address1、ip address y
…
)。
157.步骤701、业务请求出发app向ue发送app idz；
158.具体来说，app打开后，立即向ue发送相应业务请求，从而ue可以确定所述app idz；这里，所述app idz指打开的app的应用标识。
159.步骤702、pdu会话建立过程；
160.这里，可以包括：所述ue根据ursp中应用程序标识(用app id记录)与网络切片之间的对应关系，选择网络切片并进行核心网网元的选择；
161.步骤703、pcf向smf发送策略信息1；
162.所述策略信息1表征app id、切片、ip地址列表之间的对应关系；所述策略信息1可以包括：app idz、s-nssai x、ip地址列表(包括ip add ress1，ip address y
…
)；
163.这里，所述策略信息1相当于图5所示方法中的第二映射集合；关于第二映射集合的确定方法和使用方法具体可以参照图5所示方法，这里不再赘述。
164.步骤704、smf根据从pcf获取或者本地配置(假设pcf不部署时)的策略信息1确定
网络切片、会话、ip地址列表之间的对应关系；
165.所述网络切片、会话、ip地址列表之间的对应关系，包括：s-nssaix、pdu session、ip地址列表(包括ip address1，ip address y
…
)；
166.所述网络切片、会话、ip地址列表之间的对应关系记做策略信息2；
167.这里，所述策略信息2相当于图4和图5所示方法中的第一映射集合，关于第一映射集合的具体确定方法和使用方法可以参照图4和图5所示方法，这里不再赘述。
168.步骤705、smf向upf发送策略信息2；
169.步骤706、通过ue、upf、smf、pcf完成会话建立，确定app idz上的数据使用网络切片s-nssaix；
170.步骤707、app向ue发送数据包；
171.步骤708、ue向upf发送所述数据包；
172.所述步骤707和所述步骤708表征会话建立完成后，所述app可以通过ue向upf发送数据包。
173.步骤709、upf根据从smf获取的策略信息2检测来自ue的数据包；
174.这里，所述up根据从smf获取的策略信息2检测来自ue的数据包，包括：
175.检测所述数据包的包头的第一特定标识位，以确定所述数据包的目的ip地址；
176.根据所述策略信息2，判断所述数据包的目的ip地址是否属于发送策略信息2中所述数据包对应的切片标识所对应的ip地址列表中；
177.确定属于时，则继续会话；确定不属于时，则表征检测不通过，进入步骤710；
178.步骤710、基于检测结果确定检测不通过，upf通知smf释放会话，并且，upf自身丢弃所述数据包。
179.图8为本发明实施例提供的一种会话建立的流程示意图；基于图8所示流程，可以看出步骤703和步骤705在会话3gpp 5g网络中pdu会话建立流程中的更新；图8中所述策略1对应图7所述的策略信息1，策略2对应图7所述的策略信息2。
180.以下对图8所示流程具体说明，包括：
181.步骤1、ue向amf发送会话建立请求(记做pdu session establishment requset)；
182.这里，所述pdu session establishment requset是一个非接入层(nas，non-access stratum)消息。实际是由ue发给(r)an，然后由(r)an传给amf。
183.步骤2、amf为初始会话选择smf(smf selection)；
184.具体来说，步骤2为进一步路由会话管理(sm，sessionmanagement)信息准备。
185.amf收到步骤1的消息后，amf基于该请求类型指示“初始请求”，确定该消息对应于对新pdu会话的请求，并且该pdu会话id不同于ue的任何现有pdu会话。
186.如果nas消息中不包含s-nssai，则amf根据ue用户确定所请求的pdu会话的默认s-nssai，或者基于运营商策略，选择一个s-nssai。
187.步骤3、amf向给smf发送会话管理上下文建立请求(记做nsmf_pdusession_createsmcontext req)；
188.步骤4、smf与udm交互，进行订阅检索/订阅更新；
189.步骤5、smf向amf答复会话管理上下文建立请求；
190.步骤6、pdu会话辅助授权/认证(pdu session authentication/authorization)。
191.步骤7a、smf进行pcf的选择(pcf selection)；
192.在进行pcf选择期间可以考虑以下因素：
193.a)本地运营商策略；
194.b)选定的数据网络名称(dnn)。
195.7b、会话管理策略协商(sm policy association establishment)建立或者smf发起会话管理策略的关联修改(smf initiated sm policy association modification)；
196.步骤7b中所述的会话管理策略对应上述策略信息1；
197.步骤8、smf为初始会话选择upf(upf selection)；
198.步骤9、smf发起会话管理策略(sm policy association modify)建立；
199.这里，步骤9得到的会话管理策略(即策略1)为上述策略信息1；
200.如果请求类型是“初始请求”并且部署了动态pcc并且pdu会话类型是互联网协议第4版(ipv4，internet protocol version4)、互联网协议第6版(ipv6，internetprotocol version 6)或互联网协议第4版第6版(ipv4v6，internet protocol version6)，则smf用所分配的ue ip地址/前缀通知pcf。
201.步骤10a-步骤10b、smf向所选择的upf发起n4会话建立流程：
202.步骤10a为smf向upf发送n4会话建立/修改请求，并为该pdu会话提供要在upf上安装的分组检测，执行和报告规则。如果核心网(cn，core network)隧道信息是由smf分配的，则在这一步中将cn隧道信息提供给upf。如果该pdu会话需要执行选择性用户面去激活，则smf决定定时器(inactivity timer)，并将其提供给upf。
203.步骤10b为upf通过向smf发送n4会话建立/修改响应来确认。如果cn隧道信息由upf分配，则在这一步中将cn隧道信息提供给smf。
204.步骤11-步骤14、smf通过amf发送n1sm信息和n2sm信息(记做namf_communication_n1n2messagetransfer)，通知ran(无线接入网，radio access network)侧对应的n3隧道的核心网地址，完成ran侧用户面资源的分配，完成上行数据链路的建立，并返回an隧道信息给cn。
205.步骤15、amf向smf发送更新会话管理上下文请求请求(记做nsmf_pdusession_updatesmcontext)；
206.步骤16a、smf向upf发送n4会话修改请求(记做n4 session modification request)；
207.这里，步骤16a得到的策略2为上述策略消息2；
208.步骤16b、upf向smf发送n4会话修改响应(记做n4 session modification rsp)；
209.步骤17、smf向amf响应更新会话管理上下文请求；
210.步骤18、[有条件的]smf向amf发送会话管理上下文状态通知(记做nsmf_pdusession_smcontextstatusnotify)；
[0211]
步骤19、smf经过upf向ue发送ipv6地址配置；
[0212]
这里，如果pdu类型为ipv4或ipv6或ipv4v6，smf生成ipv6路由通知，并通过n4发给ue和upf。
[0213]
步骤20、如果在流程步骤4之后pdu会话建立失败，则smf去注册pdu会话。
[0214]
图9为本发明实施例提供的一种网络切片检测装置的结构示意图；如图9所示，所
述网络切片检测装置，包括：第一处理模块、第二处理模块，其中，
[0215]
所述第一处理模块，用于接收来自终端发送的数据包，检测所述数据包的特定标识位；
[0216]
所述第二处理模块，用于判断所述特定标识位携带的数据是否对应于第一切片标识，基于判断结果确定所述数据包是否属于所述第一切片标识对应的网络切片。
[0217]
具体地，所述第二处理模块，还用于判断所述特定标识位携带的数据是否对应于第一切片标识之前，确定预设的判断模式；
[0218]
所述第一处理模块，具体用于相应于所述判断模式为第一模式时，检测所述数据包的第一特定标识位指示的第一目的ip地址；
[0219]
相应于所述判断模式为第二模式时，检测所述数据包的第二特定标识位指示的特定数据。
[0220]
具体地，所述第一处理模块，具体用于检测所述数据包的包头的所述第一特定标识位，所述第一特定标识位用于指示所述数据包对应的第一目的ip地址；
[0221]
所述第二处理模块，用于获得第二网络设备发送的第一映射集合；所述第一映射集合包括：多组切片标识和ip地址列表的映射关系；
[0222]
判断所述第一目的ip地址是否在所述第一映射集合中的第一切片标识对应的ip地址列表中；
[0223]
确定所述第一目的ip地址在所述第一切片标识对应的ip地址列表中时，确定所述数据包属于所述第一切片标识对应的网络切片。
[0224]
具体地，所述第一处理模块，用于检测所述数据包的包头的所述第二特定标识位指示的特定数据，所述特定数据为采用预设加密方式加密后的加密数据；
[0225]
所述第二处理模块，用于判断所述加密数据是否可通过所述第一切片标识对应的预设解密方式进行解密处理；
[0226]
确定所述加密数据可通过所述第一切片标识对应的预设解密方式进行解密时，确定所述数据包属于所述第一切片标识对应的网络切片。
[0227]
需要说明的是：上述实施例提供的网络切片检测装置在实现相应网络切片检测方法时，仅以上述各程序模块的划分进行举例说明，实际应用中，可以根据需要而将上述处理分配由不同的程序模块完成，即将网络设备的内部结构划分成不同的程序模块，以完成以上描述的全部或者部分处理。另外，上述实施例提供的装置与相应方法的实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。
[0228]
图10为本发明实施例提供的另一种网络切片检测装置的结构示意图；如图10所示，所述网络切片检测装置包括：第三处理模块、第四处理模块；其中，所述第三处理模块，用于获得来自终端的网络切片选择结果；所述网络切片选择结果包括针对相应应用程序的至少一个网络切片标识；
[0229]
所述第四处理模块，用于根据所述至少一个网络切片和预先获得的第二映射集合，建立pdu会话并确定第一映射集合；将所述第一映射集合发送给第一网络设备；所述第一映射集合包括：多组切片标识和ip地址列表的映射关系。
[0230]
具体地，所述第四处理模块，用于从所述至少一个网络切片标识中选择目标网络切片标识；
[0231]
根据所述目标网络切片标识和所述第二映射集合，确定所述目标网络切片标识对应的ip地址列表；所述第二映射集合从第三网络设备获得；所述第二映射集合包括：针对不同应用程序的各切片标识和ip地址列表的映射关系；
[0232]
根据所述目标网络切片标识和所述目标网络切片标识对应的ip地址列表，确定所述第一映射集合。
[0233]
需要说明的是：上述实施例提供的网络切片检测装置在实现相应网络切片检测方法时，仅以上述各程序模块的划分进行举例说明，实际应用中，可以根据需要而将上述处理分配由不同的程序模块完成，即将网络设备的内部结构划分成不同的程序模块，以完成以上描述的全部或者部分处理。另外，上述实施例提供的装置与相应方法的实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。
[0234]
图11为本发明实施例提供的一种网络切片检测装置的结构示意图；如图11所示，所述装置110包括：处理器1101和用于存储能够在所述处理器上运行的计算机程序的存储器1102；其中，
[0235]
所述装置应用于第一网络设备时，所述处理器1101用于运行所述计算机程序时，执行：接收来自终端发送的数据包，检测所述数据包的特定标识位；判断所述特定标识位携带的数据是否对应于第一切片标识，基于判断结果确定所述数据包是否属于所述第一切片标识对应的网络切片。
[0236]
在一实施例中，所述处理器1101用于运行所述计算机程序时，执行：确定预设的判断模式；以及，相应于所述判断模式为第一模式时，检测所述数据包的第一特定标识位指示的第一目的ip地址；
[0237]
相应于所述判断模式为第二模式时，检测所述数据包的第二特定标识位指示的特定数据。
[0238]
在一实施例中，所述处理器1101用于运行所述计算机程序时，执行：检测所述数据包的包头的所述第一特定标识位，所述第一特定标识位用于指示所述数据包对应的第一目的ip地址；以及，获得第二网络设备发送的第一映射集合；所述第一映射集合包括：多组切片标识和ip地址列表的映射关系；判断所述第一目的ip地址是否在所述第一映射集合中的第一切片标识对应的ip地址列表中；确定所述第一目的ip地址在所述第一切片标识对应的ip地址列表中时，确定所述数据包属于所述第一切片标识对应的网络切片。
[0239]
在一实施例中，所述处理器1101用于运行所述计算机程序时，执行：检测所述数据包的包头的所述第二特定标识位指示的特定数据，所述特定数据为采用预设加密方式加密后的加密数据；以及，
[0240]
判断所述加密数据是否可通过所述第一切片标识对应的预设解密方式进行解密处理；确定所述加密数据可通过所述第一切片标识对应的预设解密方式进行解密时，确定所述数据包属于所述第一切片标识对应的网络切片。
[0241]
所述装置应用于第二网络设备时，所述处理器1101用于运行所述计算机程序时，执行：获得来自终端的网络切片选择结果；所述网络切片选择结果包括针对相应应用程序的至少一个网络切片标识；根据所述至少一个网络切片和预先获得的第二映射集合，建立pdu会话并确定第一映射集合；所述第一映射集合包括：多组切片标识和ip地址列表的映射关系；将所述第一映射集合发送给第一网络设备。
[0242]
在一实施例中，所述处理器1101用于运行所述计算机程序时，执行：从所述至少一个网络切片标识中选择目标网络切片标识；根据所述目标网络切片标识和所述第二映射集合，确定所述目标网络切片标识对应的ip地址列表；所述第二映射集合从第三网络设备获得；所述第二映射集合包括：针对不同应用程序的各切片标识和ip地址列表的映射关系；根据所述目标网络切片标识和所述目标网络切片标识对应的ip地址列表，确定所述第一映射集合。
[0243]
实际应用时，所述装置110还可以包括：至少一个网络接口1103。切片检测装置110中的各个组件通过总线系统1104耦合在一起。可理解，总线系统1104用于实现这些组件之间的连接通信。总线系统1104除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图11中将各种总线都标为总线系统1104。其中，所述处理器1101的个数可以为至少一个。网络接口1103用于网络切片检测装置110与其他设备之间有线或无线方式的通信。
[0244]
本发明实施例中的存储器1102用于存储各种类型的数据以支持切片检测装置110的操作。
[0245]
上述本发明实施例揭示的方法可以应用于处理器1101中，或者由处理器1101实现。处理器1101可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器1101中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器1101可以是通用处理器、数字信号处理器(dsp，digital signal processor)，或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器1101可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤，可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中，该存储介质位于存储器1102，处理器1101读取存储器1102中的信息，结合其硬件完成前述方法的步骤。
[0246]
在示例性实施例中，切片检测装置110可以被一个或多个应用专用集成电路(asic，application specific integrated circuit)、dsp、可编程逻辑器件(pld，programmable logic device)、复杂可编程逻辑器件(cpld，complex programmable logic device)、现场可编程门阵列(fpga，field-programmable gate array)、通用处理器、控制器、微控制器(mcu，micro controller unit)、微处理器(microprocessor)、或其他电子元件实现，用于执行前述方法。
[0247]
本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序；所述计算机可读存储介质应用于第一网络设备时，所述计算机程序被处理器运行时，执行：接收来自终端发送的数据包，检测所述数据包的特定标识位；判断所述特定标识位携带的数据是否对应于第一切片标识，基于判断结果确定所述数据包是否属于所述第一切片标识对应的网络切片。
[0248]
在一实施例中，所述计算机程序被处理器运行时，执行：确定预设的判断模式；以及，相应于所述判断模式为第一模式时，检测所述数据包的第一特定标识位指示的第一目的ip地址；
[0249]
相应于所述判断模式为第二模式时，检测所述数据包的第二特定标识位指示的特
定数据。
[0250]
在一实施例中，所述计算机程序被处理器运行时，执行：检测所述数据包的包头的所述第一特定标识位，所述第一特定标识位用于指示所述数据包对应的第一目的ip地址；以及，获得第二网络设备发送的第一映射集合；所述第一映射集合包括：多组切片标识和ip地址列表的映射关系；判断所述第一目的ip地址是否在所述第一映射集合中的第一切片标识对应的ip地址列表中；确定所述第一目的ip地址在所述第一切片标识对应的ip地址列表中时，确定所述数据包属于所述第一切片标识对应的网络切片。
[0251]
在一实施例中，所述计算机程序被处理器运行时，执行：检测所述数据包的包头的所述第二特定标识位指示的特定数据，所述特定数据为采用预设加密方式加密后的加密数据；以及，
[0252]
判断所述加密数据是否可通过所述第一切片标识对应的预设解密方式进行解密处理；确定所述加密数据可通过所述第一切片标识对应的预设解密方式进行解密时，确定所述数据包属于所述第一切片标识对应的网络切片。
[0253]
所述计算机可读存储介质应用于第二网络设备时，所述计算机程序被处理器运行时，执行：获得来自终端的网络切片选择结果；所述网络切片选择结果包括针对相应应用程序的至少一个网络切片标识；根据所述至少一个网络切片和预先获得的第二映射集合，建立pdu会话并确定第一映射集合；所述第一映射集合包括：多组切片标识和ip地址列表的映射关系；将所述第一映射集合发送给第一网络设备。
[0254]
在一实施例中，所述计算机程序被处理器运行时，执行：从所述至少一个网络切片标识中选择目标网络切片标识；根据所述目标网络切片标识和所述第二映射集合，确定所述目标网络切片标识对应的ip地址列表；所述第二映射集合从第三网络设备获得；所述第二映射集合包括：针对不同应用程序的各切片标识和ip地址列表的映射关系；根据所述目标网络切片标识和所述目标网络切片标识对应的ip地址列表，确定所述第一映射集合。
[0255]
在本技术所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可以结合，或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性的、机械的或其它形式的。
[0256]
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元，即可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
[0257]
另外，在本发明各实施例中的各功能单元可以全部集成在一个处理单元中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。
[0258]
本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或
者光盘等各种可以存储程序代码的介质。
[0259]
或者，本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括：移动存储设备、rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。
[0260]
以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。