一种网络切片中安全策略的配置方法、装置、设备及介质与流程

1.本技术涉及信息安全技术领域，尤其涉及一种网络切片中安全策略的配置方法、装置、设备及介质。


背景技术：

2.随着第五代移动通信技术(5th generation mobile communication technology，5g)技术的发展，借助于网络切片的方式，能够实现对于网络中的功能、性能、隔离，以及运维方面的灵活设计，创建并提供专用网络，为不同垂直行业的业务提供相互隔离，功能可定制的网络服务，其中，网络服务具体表现为网络基本通信、资源、定制功能、组网，以及安全等多个层面的服务。
3.目前，为了实现安全防护，通常在网络切片形成的同时确定对应的安全策略，使得基于配置的网络切片为指定业务提供服务时，预先制定的安全策略将起到防护作用，如针对采用网络切片安全的执行车联网业务。
4.然而，由于网络切片中的安全策略是在网络切片形成时同步配置的，因此构建的安全策略是依据经验和业务需求配置的，仅能对预期的威胁情况起到防护作用，因而无法在多变的业务服务过程中实现有效的安全防护，降低了业务服务的安全性。
5.有鉴于此，需要一种新的网络切片中安全策略的配置方法，以解决上述问题。


技术实现要素：

6.本发明实施例提供一种网络切片中安全策略的配置方法及装置，用以解决现有技术中存在的无法在多变的业务服务过程中实现有效的安全防护的问题。
7.本发明实施例提供的具体技术方案如下：
8.第一方面，提出一种网络切片中安全策略的配置方法，包括：
9.确定为目标业务提供服务的目标网络切片，并获取所述目标业务下各个服务质量信息各自对应的信息值和所述目标业务的业务状态信息，以及获取针对所述各个服务质量信息分别配置的权重参数和状态质量参考值；
10.根据所述目标业务对应的各个信息值和业务状态信息，以及所述各个服务质量信息各自对应的权重参数和状态质量参考值，分别确定所述各个服务质量信息各自对应的质量评价结果；
11.在各个质量评价结果中，确定满足预设条件的目标质量评价结果，并获取与所述目标质量评价结果的取值对应的安全策略，以及将所述安全策略编排至所述目标网络切片中执行。
12.可选的，所述确定为目标业务提供服务的目标网络切片，包括：
13.确定目标业务对应的业务服务需求，并确定所述目标业务对应的业务场景；
14.确定对应所述业务场景以及所述业务服务需求定制的目标网络切片。
15.可选的，所述获取所述目标业务对应的各个服务质量信息各自对应的信息值和所
述目标业务的业务状态信息，包括：
16.采用预设的数据采集接口，获取所述目标业务对应的网络局部拓扑信息、数据载荷量信息、安全隔离度信息、网络通信跳数信息，以及通信带宽信息，以及获取所述目标业务对应的业务状态变化速率；
17.将所述网络局部拓扑信息、数据载荷量信息、安全隔离度信息、网络通信跳数信息，以及通信带宽信息，作为所述目标业务对应的各个服务质量信息，以及将所述业务状态变化速率作为所述目标业务对应的业务状态信息。
18.可选的，所述根据所述目标业务对应的各个信息值和业务状态信息，以及所述各个服务质量信息各自对应的权重参数和状态质量参考值，分别确定所述各个服务质量信息各自对应的质量评价结果，包括：
19.根据所述各个服务质量信息各自对应的信息值和权重参数，分别计算所述各个服务质量信息各自对应的信息加权结果，将各个信息加权结果，分别作为对应的服务质量信息的服务质量评价值；
20.根据业务状态信息，以及所述各个服务质量信息各自对应的状态质量参考值，确定所述各个服务质量信息各自对应的服务质量参考值；
21.根据各个服务质量评价值和各个服务质量参考值，确定所述各个服务质量信息各自对应的质量评价结果。
22.可选的，还包括：
23.预先针对质量评价结果划分各个取值区间，并对应所述各个取值区间分别设置相应的安全防护等级；
24.针对各个安全等级，分别配置对应的安全策略，其中，所述安全策略中至少包括对应配置的计算性能资源量、加密强度等级，并发处理的业务总量，以及密钥管理等级。
25.可选的，所述预设条件包括：服务质量评价结果的绝对值最小。
26.第二方面，提出一种网络切片中安全策略的配置装置，包括：
27.获取单元，用于确定为目标业务提供服务的目标网络切片，并获取所述目标业务下各个服务质量信息各自对应的信息值和所述目标业务的业务状态信息，以及获取针对所述各个服务质量信息分别配置的权重参数和状态质量参考值；
28.确定单元，用于根据所述目标业务对应的各个信息值和业务状态信息，以及所述各个服务质量信息各自对应的权重参数和状态质量参考值，分别确定所述各个服务质量信息各自对应的质量评价结果；
29.编排单元，在各个质量评价结果中，确定满足预设条件的目标质量评价结果，并获取与所述目标质量评价结果的取值对应的安全策略，以及将所述安全策略编排至所述目标网络切片中执行。
30.可选的，所述确定为目标业务提供服务的目标网络切片时，所述获取单元用于：
31.确定目标业务对应的业务服务需求，并确定所述目标业务对应的业务场景；
32.确定对应所述业务场景以及所述业务服务需求定制的目标网络切片。
33.可选的，所述获取所述目标业务对应的各个服务质量信息各自对应的信息值和所述目标业务的业务状态信息时，所述获取单元用于：
34.采用预设的数据采集接口，获取所述目标业务对应的网络局部拓扑信息、数据载
荷量信息、安全隔离度信息、网络通信跳数信息，以及通信带宽信息，以及获取所述目标业务对应的业务状态变化速率；
35.将所述网络局部拓扑信息、数据载荷量信息、安全隔离度信息、网络通信跳数信息，以及通信带宽信息，作为所述目标业务对应的各个服务质量信息，以及将所述业务状态变化速率作为所述目标业务对应的业务状态信息。
36.可选的，所述根据所述目标业务对应的各个信息值和业务状态信息，以及所述各个服务质量信息各自对应的权重参数和状态质量参考值，分别确定所述各个服务质量信息各自对应的质量评价结果时，所述确定单元用于：
37.根据所述各个服务质量信息各自对应的信息值和权重参数，分别计算所述各个服务质量信息各自对应的信息加权结果，将各个信息加权结果，分别作为对应的服务质量信息的服务质量评价值；
38.根据业务状态信息，以及所述各个服务质量信息各自对应的状态质量参考值，确定所述各个服务质量信息各自对应的服务质量参考值；
39.根据各个服务质量评价值和各个服务质量参考值，确定所述各个服务质量信息各自对应的质量评价结果。
40.可选的，所述装置还包括创建单元，所述创建单元用于：
41.预先针对质量评价结果划分各个取值区间，并对应所述各个取值区间分别设置相应的安全防护等级；
42.针对各个安全等级，分别配置对应的安全策略，其中，所述安全策略中至少包括对应配置的计算性能资源量、加密强度等级，并发处理的业务总量，以及密钥管理等级。
43.可选的，所述预设条件包括：服务质量评价结果的绝对值最小。
44.第三方面，提出一种计算机可读的电子设备，包括：
45.存储器，用于存储可执行指令；
46.处理器，用于读取并执行所述存储器中存储的可执行指令，以实现上述第一方面中任一项所述的方法。
47.第四方面，一种存储介质，当所述存储介质中的指令由电子设备执行时，使得所述电子设备能够执行上述第一方面中任一项所述的方法。
48.本发明有益效果如下：
49.本技术提出了一种网络切片中安全策略的配置方法、装置、设备及介质，确定为目标业务提供服务的目标网络切片，并获取所述目标业务对应的各个服务质量信息各自对应的信息值和所述目标业务的业务状态信息，以及获取针对所述各个服务质量信息分别配置的权重参数和状态质量参考值，再根据所述目标业务对应的各个信息值和业务状态信息，以及所述各个服务质量信息各自对应的权重参数和状态质量参考值，分别确定所述各个服务质量信息各自对应的质量评价结果，然后在各个质量评价结果中，确定满足预设条件的目标质量评价结果，并获取与所述目标质量评价结果的取值对应的安全策略，以及将所述安全策略编排至所述目标网络切片中执行。
50.这样，能够根据实际获取的目标业务的业务状态信息、所述目标业务下各个服务质量信息各自对应的信息值，以及所述各个服务质量信息各自对应的权重参数和状态质量参考值，评估出当前服务所述目标业务的目标网络切片所匹配的安全策略，进而根据目前
业务当前的业务情况确定出适宜的安全策略，并编排在目标网络切片中进行执行，实现了安全策略确定和安全策略编排的协同作用，使得目标网络切片在后续提供服务时能够执行与当前业务执行情况相适应的安全策略，相当于能够根据业务运行状态，对已有的安全策略进行调整，使得安全策略的制定以实际的服务质量和业务状态为依据，能够更好的在业务服务过程中起到有效防护作用，提高了业务服务的安全性，更加灵活的支撑变化的业务安全需求。
附图说明
51.图1为本技术实施例中端到端的网络切片的通用架构示意图；
52.图2为本技术实施例中网络切片架构示意图；
53.图3为本技术实施例中网络切片中安全策略的配置流程示意图；
54.图4所示，其为本技术实施例中网络切片中安全策略的配置装置的逻辑结构示意图；
55.图5为应用本技术实施例的一种电子设备的一个硬件组成结构示意图。
具体实施方式
56.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术技术方案的一部分实施例，而不是全部的实施例。基于本技术文件中记载的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本技术技术方案保护的范围。
57.本技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够在除了这里图示或描述的那些以外的顺序实施。
58.网络切片是5g技术下的产物，是在5g在独立组网(standardalone，sa)模式下提供的一种组织结构和服务提供模式，可以使用5g网络针对不同用户需求和场景，提供不同安全等级、不同服务质量的“逻辑虚拟网络”服务，网络切片通过在网络中进行功能、性能、隔离、运维等多方面的精心设计和灵活运营，能够创建并持续提供能力可定制的“专用网络”，提供性能可保证的网络切片服务，为不同垂直行业提供相互隔离、功能可定制的网络服务，其中，网络服务体现在网络基本通信、资源、定制功能、组网、安全等多个层面。
59.网络切片采用端到端的形式，实现网络资源的灵活分配，以及网络能力的按需组合，这样，基于一个物理的5g系统，能够虚拟出多个具备不同特性的逻辑子网。每个端到端的网络切片均包括切片无线接入子网、切片承载子网，以及切片核心子网三部分，并借助于端到端的切片管理系统实现统一管理。网络切片基于网络功能虚拟化(network functions virtualization，nfv)，以及软件定义网络(software defined network，sdn)技术的基础设施构建。
60.参阅附图1所示，其为本技术实施例中端到端的网络切片的通用架构示意图，根据图1所示意的内容可知，网络切片的通用架构中包括的模型具体如下：
61.通信服务管理功能(communication service management function，csmf)：能够面向用户提供切片服务订购，以及高层级服务等级协议(service level agreement，sla)设置等服务，能够将用户业务需求及sla进行转化并传递给网络切片管理功能(networkslicemanagementfunction，nsmf)。
62.nsmf：负责网络切片实例的管理与编排，将与网络切片相关的需求及低层级sla，设置转化为与网络切片子网实例相关的需求和参数，并下发给网络切片子网管理功能(networkslicesubnetmanagementfunction，nssmf)。
63.nssmf：负责网络切片子网实例的管理与编排，并根据与切片子网实例相关的需求(如无线接入技术、带宽、端到端时延、服务质量(quality of service，qos)等)生成网络服务(network service，ns)资源模型和业务配置，下发给nfv编排器(nfv orchestrator，nfvo)、网元管理系统(element management system，ems)，其中，每个网络切片子网(无线接入子网、承载子网、核心子网)在逻辑上均存在对应的nssmf和ems，ems能够提供对一个或多个网络功能的管理功能。
64.无线接入子网(radio access network，ran)：能够根据nsmf下发的不同业务的不同sla需求，进行灵活的子切片定制。提供切片感知、接入和移动性管理功能(access and mobility management function，amf)选择与重写向，qos流映射等功能，其中，集中式单元(centralized unit，cu)与分布式单元(distributed unit，du)相分离，且由ran ems所管理，管理和编排(management and orchestration，mano)提供了nfv的整体管理和编排，向上接入业务支撑系统/运营支撑系统(oss/bss)，由nfv配置器(nfv orchestrator，nfvo)、虚拟网络功能管理器(virtual network feature manager，vnfm)以及虚拟化基础设施管理器(virtualised infrastructure manager，vim)三者共同组成。
65.承载子网(bearer network，bn)：能够传输切片分组网络(slicing packet network，spn)，并支持同一物理网络中虚拟出的多个独立逻辑网络，各逻辑网络具备独立的网络资源，其中，bn内部的功能实现中包括网络控制编排器(nco)和软件定义网络通信(sdnc)。
66.核心子网(core network，cn)：使用sa组网，基于服务化架构构建网络切片，支持切片签约、选择、能力开放，支持切片互通、切片的多层次安全隔离等功能，其中，在cn功能实现中涉及到宽带远程接入服务器(broadband remote access server，vbras)，会话和移动性管理功能(access and mobility management function，amf)，用户面功能(user plane function，ufm)，以及包括nfvo、cnfm，以及vim的mano，并包括基础设备nfvi。需要说明的是，amf负责用户的接入和移动性管理，upf负责用户面处理。
67.目前，为了实现网络切片中的安全防护，通常针对不同的业务针对性地设置固态的安全防护机制，在网络切片形成的同时确定对应的安全策略，使得基于配置的网络切片为指定业务提供服务时，预先制定的安全策略起到防护作用。
68.但是，这种防护方式仅基于预先制定的防护策略实现防护作用，而无法在多变的业务服务过程中实现有效的安全防护，无法应付多变的业务状态，使得配置的安全策略无法满足安全防护需求。
69.针对性地，本技术针对性的提出一种网络切片中安全策略的配置方法、装置、设备及介质，本技术所提出的技术方案中，确定为目标业务提供服务的目标网络切片，并获取所
述目标业务对应的各个服务质量信息各自对应的信息值和所述目标业务的业务状态信息，以及获取针对所述各个服务质量信息分别配置的权重参数和状态质量参考值，再根据所述目标业务对应的各个信息值和业务状态信息，以及所述各个服务质量信息各自对应的权重参数和状态质量参考值，分别确定所述各个服务质量信息各自对应的质量评价结果，然后在各个质量评价结果中，确定满足预设条件的目标质量评价结果，并获取与所述目标质量评价结果的取值对应的安全策略，以及将所述安全策略编排至所述目标网络切片中执行。
70.这样，能够根据实际获取的目标业务的业务状态信息、所述目标业务下各个服务质量信息各自对应的信息值，以及所述各个服务质量信息各自对应的权重参数和状态质量参考值，评估出当前服务所述目标业务的目标网络切片所匹配的安全策略，进而根据目前业务当前的业务情况确定出适宜的安全策略，并编排在目标网络切片中进行执行，实现了安全策略确定和安全策略编排的协同作用，使得目标网络切片在后续提供服务时能够执行与当前业务执行情况相适应的安全策略，相当于能够根据业务运行状态，对已有的安全策略进行调整，使得安全策略的制定以实际的服务质量和业务状态为依据，能够更好的在业务服务过程中起到有效防护作用，提高了业务服务的安全性，更加灵活的支撑变化的业务安全需求。
71.下面结合附图，对本技术优选的实施例进行进一步详细说明：
72.需要说明的是，本技术实施例中提出的技术方案，应用于核心网侧，针对网络切片实现动态的安全架构设计，引入了新的安全架构来实现5g网络切片与垂直行业的应用安全结合，因而能够更有针对性地支持垂直行业的业务应用，进而根据业务服务需求针对网络切片定制对应的安全保护机制，提供动态的安全策略，考虑到不同垂直行业的业务服务需求不同，因此配置的安全策略不同，故能够为垂直行业提供差异化的安全防护，提高网络切片中的安全防护能力。
73.另外，本技术提出的技术方案，可以以软件形式部署在核心网侧的处理设备中，便于网络切片中安全策略的配置方法的更新、升级，以及扩展，有利于灵活的应对垂直行业内不断变化的应用安全需求，提高了网络切片中安全策略的配置方法的适用范围。以下仅以核心网侧的处理设备为执行主体为例，对本技术提出的技术方案进行详细说明。
74.参阅图2所示，其为本技术实施例中网络切片架构示意图，下面结合附图2，对本技术实施例中安全策略的配置过程中，采用的组件的功能进行说明：
75.图2示意的安全网络切片架构中，核心网侧的处理设备根据不同垂直行业应用所对应的不同安全需求，针对性地为垂直行业应用定制对应的网络切片，本技术公开的技术方案中，网络切片中安全策略的配置具有涉及图2虚线中所框选的模块组件，具体包括用于对服务质量信息进行评估的qos动态评估模块、安全防护等级别管控模块、安全策略的细化分析模块，以及业务安全管理模块，其中，
76.1)qos动态评估模块
77.用于通过各种应用数据采集接口，实际或周期性地获取各种业务处理过程中与服务质量有关的参数，具体的，确定为目标业务提供服务的目标网络切片后，获取所述目标业务对应的各个服务质量信息各自对应的信息值和所述目标业务的业务状态信息，以及获取针对所述各个服务质量信息分别配置的权重参数和状态质量参考值，再根据所述目标业务对应的各个信息值和业务状态信息，以及所述各个服务质量信息各自对应的权重参数和状
态质量参考值，分别确定所述各个服务质量信息各自对应的质量评价结果。
78.进一步的，在各个服务质量评价结果中筛选出目标服务质量评价结果后，在预先建立的服务质量评价结果的取值区间与安全防护等级的对应关系中，确定对应的安全防护等级。
79.2)安全防护等级别管控模块
80.用于根据得到的安全防护等级，确定匹配的安全策略，并将确定的安全策略所约束的内容以指令的形式下发给相应的安全策略的细化分析模块。
81.例如，假设根据某时刻采集的各个服务质量信息和业务状态信息，确定匹配的安全防护等级为n级，则将n级对应的安全策略：配置的计算性能资源：cpu的算力为xghz；资源调度为m台并发设备，数据传输的加密算法中密钥位数为a位，权限为优先访问，密钥管理为采用二级对称密钥对分发。
82.3)安全策略的细化分析模块
83.用于将接收的安全策略，进一步细化为具体的执行操作，并发送给vim/mano组件，由sdn和nfv具体生成相应的网络切片，其中，细化分析的内容包括资源管理配置、资源调度配置、权限控制配置，以及密钥管理配置等。
84.4)业务安全管理模块
85.用于提供一种平行于以上自动计算安全防护等级，能够确定安全策略的机制，即在某些特殊应用场景下，可以接收配置的安全防护等级，并按照接收的安全防护等级对应的安全策略，实现对目标网络切片的安全防护。
86.基于图2所示意的各个组件模块，处理设备能够基于nfv/sdn的密码安全保障机制，在实时或周期性地执行网络切片中安全策略的配置时，针对网络切片建立有效的安全策略，为业务数据的安全传输动态提供最优安全通道，确保在环境因素不断变化的过程始终保证数据传输的机密性、完整性以及防重放攻击。与此同时，借助于本技术提出的网络切片中安全策略的配置方式，能够为不同安全防护等级别的垂直行业用户提供差异化地提供安全服务，相当于能够实现需求定制和动态调整两个方面操作。
87.需要说明的是，需求定制主要解决垂直行业的差异化需求，对5g网络切片资源调度和安全策略的影响。动态调整则是根据不同应用场景下业务处理过程中相关因素的变化，确定匹配的安全策略，并采用匹配的安全策略实优化网络切片中的安全防护。
88.参阅图3所示，其为本技术实施例中网络切片中安全策略的配置流程示意图，下面结合附图3，对本技术实施例中，处理设备执行网络切片中安全策略配置的过程进行说明：
89.步骤301：处理设备确定为目标业务提供服务的目标网络切片，并获取所述目标业务下各个服务质量信息各自对应的信息值和所述目标业务的业务状态信息，以及获取针对所述各个服务质量信息分别配置的权重参数和状态质量参考值。
90.本技术实施例中，处理设备确定目标业务对应的业务服务需求，并确定所述目标业务对应的业务场景，再确定对应所述业务场景以及所述业务服务需求定制的目标网络切片。
91.具体的，处理设备根据目标对象针对目标业务触发的服务请求，确定与所述目标对象触发的目标业务对应的业务服务需求，其中，所述业务服务需求中至少包括数据传输需求以及相关技术下确定网络切片时的需求参数。进而处理设备依据所述业务服务需求，
以及所述目标业务对应的业务场景，确定对应的目标网络切片。
92.需要说明的是，由于本申侧重于在业务场景中，实现根据实际的服务质量和业务状态，为网络切片针对性配置有效的防护策略，因此，本技术不对确定业务对应的业务场景的过程进行说明，以及不对针对目标业务确定对应的目标网络切片的过程进行说明。确定目标业务对应的业务场景和业务需求，以及确定目标业务对应的目标网络切片是本领域的成熟技术，在此将不再展开说明。本技术中，针对不同垂直行业的业务分别对应配置有对应的业务场景，其中，所述业务场景可能是增强移动宽带(enhanced mobile broadband，embb)、低时延高可靠(ultra reliable&lowlatency communication，urllc)，以及海量物联网通信或大规模物联网业务(massive machine type communication，mmtc)中的一种。
93.这样，能够对应目标业务，以及目标业务对应的业务场景，确定能够为所述目标业务提供服务的目标网络切片。
94.本技术实施例中，所述处理设备为了更好的确定所述目标网络切片提供的业务服务情况，处理设备可以获取所述目标业务下各个服务质量信息各自对应的信息值和所述目标业务的业务状态信息，以及获取针对所述各个服务质量信息分别配置的权重参数和状态质量参考值。
95.具体的，处理设备在获取目标业务对应的各个服务质量信息和业务状态信息时，可以采用预设的数据采集接口，获取所述目标业务对应的网络局部拓扑信息、数据载荷量信息、安全隔离度信息、网络通信跳数信息，以及通信带宽信息，以及获取所述目标业务对应的业务状态变化速率，再将所述网络局部拓扑信息、数据载荷量信息、安全隔离度信息、网络通信跳数信息，以及通信带宽信息，作为所述目标业务对应的各个服务质量信息，以及将所述业务状态变化速率作为所述目标业务对应的业务状态信息，其中，所述业务状态信息用于指标业务处理过程中的状态变化情况。
96.例如，在车联网业务下，对应车联网业务获得的各个服务质量信息中，至少包括应用复杂度(网络拓扑)信息、安全隔离度信息、网络通信跳数信息、通信带宽，以及数据载荷量信息；获得的业务状态信息具体可能是车辆的行驶速度信息。
97.需要说明的是，本技术实施例中，各个服务质量信息中包括的具体内容，根据实际的业务场景确定，处理设备可以根据不同垂直行业的业务场景，适应性地调整上述各个服务质量信息中包括的参数信息。
98.另外，对于获得的各个服务质量信息而言，获得的网络局部拓扑信息可以从运营商基站的拓扑结构表中获得，获得的安全隔离度信息可以从应用服务类型需求中获得，获得的网络通信跳数和通信带宽等可以从5g网络运营商的网络状态中获得。
99.这样，能够获取对业务服务进行评估的各个服务质量信息和业务状态信息，为后续针对目标业务的各个服务质量信息进行的质量评价提供处理依据。
100.本技术实施例中，所述处理设备还可以获取针对各个服务质量信息分别配置的权重参数和状态质量参考值，其中，所述权重参数是根据实际的处理需要设置的，各个服务质量信息对应的权重参数的和为1，且权重参数的取值越大，表征对于相应的服务质量信息的关注程度越高，即，表征对应的服务质量信息在服务质量评估中的影响程度越大，反之，则说明对于对应的服务质量信息的关注度越低，对应的服务质量在服务质量评估中的影响程度越小。
101.需要说明的是，不同垂直行业中的业务中，针对所述各个服务质量信息配置的权重参数可能不同，对应所述各个服务质量信息分别配置的状态质量参考值，用于表征对于各个服务质量信息各自在单位状态信息下的取值结果，其中，各个状态质量参考值根据实际的处理需要设置，不同服务质量信息对应的状态质量参考值可能相同或者不同，本技术不做具体限制。
102.例如，在车联网业务下对应的状态质量参考值具体可以是，各个服务质量信息各自在单位速度下的取值结果。
103.另外，本技术实施例中，处理设备可以根据实际的处理需要，周期性或实时地获取各个服务质量信息对应的信息值和业务状态信息，并依据获取的各个服务质量信息和业务状态信息执行后续确定目标网络切片匹配的安全策略的方案。
104.这样，相当于在核心网侧引入了动态评估机制，能够根据应用场景中多种服务质量信息和业务状态信息的即时状况，动态确定当前的目标网络切片的服务情况，为后续基于确定与业务服务情况匹配的安全策略提供了处理依据。
105.步骤302：处理设备根据目标业务对应的各个信息值和业务状态信息，以及各个服务质量信息各自对应的权重参数和状态质量参考值，分别确定所述各个服务质量信息各自对应的质量评价结果。
106.本技术实施例中，处理设备可以根据所述各个服务质量信息各自对应的信息值和权重参数，分别计算所述各个服务质量信息各自对应的信息加权结果，将各个信息加权结果，分别作为对应的服务质量信息的服务质量评价值，再根据业务状态信息，以及所述各个服务质量信息各自对应的状态质量参考值，确定所述各个服务质量信息各自对应的服务质量参考值，然后根据各个服务质量评价值和各个服务质量参考值，确定所述各个服务质量信息各自对应的质量评价结果。
107.具体的，所述处理设备可以根据所述目标业务下各个服务质量信息各自对应的信息值，分别构建对应的服务质量矩阵，以及根据各个服务指令信息各自对应的权重参数，构建对应的权重参数矩阵，其中，所述权重参数矩阵为对角矩阵。
108.下面将仅以服务质量信息中包括网络局部拓扑信息、数据载荷量信息、安全隔离度信息、网络通信跳数信息，以及通信带宽信息为例进行示意性说明，本技术实施例中，根据具体的应用场景服务质量信息中包括的信息数目各不相同，本技术不做具体限制。
109.tp表示网络局部拓扑信息，en表示数据载荷量信息，sn表示安全隔离度信息，nh表示网络通信跳数信息，bc表示通信带宽信息。根据当前时间t下获取的各个服务质量信息的信息值，能够构建的服务参数矩阵pm(t)为：
110.pm(t)＝《qos
tp
(t),qos
en
(t),qos
sn
(t),qos
nh
(t),qos
bc
(t),...》
111.假设w
tp
表示网络局部拓扑信息对应的权重参数，w
en
表示数据载荷量信息对应的权重参数，w
sn
表示安全隔离度信息对应的权重参数，w
nh
表示网络通信跳数信息对应的权重参数，w
bc
表示通信带宽信息对应的权重参数。根据实际业务场景下对于不同服务质量信息的关注程度，建立对应的权重参数矩阵qos(a)形式如下所示：
[0112][0113]
其中，w
tp
+w
en
+w
sn
+w
nh
+w
bc
＝1。
[0114]
假设针对网络局部拓扑信息配置的权重参数为0.3，针对数据载荷量信息配置的权重参数为0.2，针对安全隔离度信息配置的权重参数为0.2，针对网络通信跳数信息配置的权重参数为0.15，针对通信带宽信配置的权重参数为0.15，那么对应构建的权重参数向量为：
[0115][0116]
需要说明的是，针对各个服务质量信息配置的权重参数的和为1。
[0117]
进一步的，所述处理设备采用以下公式，基于针对所述各个服务质量信息分别配置的权重参数，分别确定所述各个服务质量信息对应的服务质量评价值，具体公式如下：
[0118][0119]
其中，qos(p)表征时间t下由各个服务质量信息各自对应的服务质量评价值建立的服务质量状态矩阵，qos(a)表征对应各个服务质量信息设置的权重参数矩阵，pm(t)表征由各个服务质量信息各自对应的信息值建立的服务参数矩阵。
[0120]
在根据各个服务质量信息各自对应的状态质量参考值，以及业务的业务状态信息确定业务对应的服务质量参考值时，采用如下公式实现：
[0121][0122]
其中，qos
ck
表征根据由各个服务质量信息各自对应的服务质量参考值，组成的服务质量参考矩阵，qos
ck
为1行m列矩阵；s(t)当前时间t对应的业务状态信息；e
qos
表征由各个服务质量信息各自对应的理想状态质量参考值确定的参考值矩阵，e
qos
为对角阵。
[0123]
当e
qos
由5个服务质量信息组成，具体包括网络局部拓扑信息对应的理想状态质量参考值tp(ck)，数据载荷量信息对应的理想状态质量参考值en(ck)，隔离度信息对应的理
想状态质量参考值sn(ck)，网络通信跳数据信息对应的理想状态质量参考值nh(ck)，以及通信带宽信息对应的理想状态质量参考值bc(ck)时，则可以整理为如下矩阵所示：
[0124][0125]
需要说明的是，本技术实施例中，各个服务质量信息各自对应的状态质量参考值可以是从同种业务场景下的大量应用实践中的统计得到的，或者，可以根据实际处理需要自行设置的，其中，所述状态质量信息用于表征当前业务状态下各个服务质量信息需要达到的取值。
[0126]
进一步的，在确定所述各个服务质量信息各自对应的服务质量评价值和服务质量参考值后，基于服务质量信息的服务质量参考值和服务质量评价值之间的差值，确定所述各个服务质量信息各自对应质量评价结果。
[0127]
具体的，在确定所述各个服务质量信息各自对应的质量评价结果时，具体采用以下公式实现：
[0128]
min(|{s(t)
·eqos-qos(p)}|)
[0129]
本技术实施例中，对于上述确定各个质量评价结果的算法，该算法的最终目的在于对应当前发起目标业务的目标对象，确定与目标业务对应的业务场景匹配的各个服务质量信息后，根据采集的各个服务质量信息各自对应的信息值，与对应所述各个服务质量信息设置的权重参数，确定当前状态下所述各个服务质量信息对应的服务质量评价值，以及根据理想状态下各个服务质量信息各自对应的状态质量参考值，确定各个服务质量信息各自对应的服务质量参考值，进而基于各个服务质量指标中，与对应的服务质量参考值之间的最小差异值，确定相匹配的安全策略。
[0130]
另外，考虑到目标应用在实际的业务处理过程中，由于服务需求及目标业务所处的环境因素是随着时间而变化。为保证通信服务的最佳效果，本技术结合了不同状态的各种性能参数，作为服务质量信息，比如应用复杂度、安全隔离度、节点传递跳数、通信带宽、数据载荷量等。因此在某一时间开始进行安全策略的配置时，需要计算当前时间下各个服务质量信息的服务质量评价值，作为后续确定安全策略的依据。
[0131]
需要说明的是，在车联网业务场景下，目标业务的业务状态信息具体是的车辆速度信息。
[0132]
这样，能够根据实际获取的目标业务下各个服务质量信息各自对应的信息值、状态质量参考值，以及权重参数，并结合目标业务的业务状态信息，能够确定各个业务各自对应的服务质量评价值和服务质量参考值，为后续安全策略的调整提供了处理依据。
[0133]
步骤303：处理设备在各个质量评价结果中，确定满足预设条件的目标质量评价结果，并获取与所述目标质量评价结果的取值对应的安全策略，以及将所述安全策略编排至所述目标网络切片中执行。
[0134]
具体的，处理设备在获得各个服务质量信息各自对应的质量评价结果后，在各个质量评价结果中筛选出满足预设条件的目标质量评价结果，其中，所述筛选条件可以是质
量评价结果的绝对值最小，具体的实现公式如下：
[0135]
min(|{s(t)*e
qos-qos(p)}|)
[0136]
其中，min()表示在各个服务质量信息各自对应的质量评价结果中，确定质量评价结果的绝对值最小的一个质量评价结果，“||”表示取绝对值。
[0137]
需要说明的是，各个服务指量信息彼此之间不存在线性关系，因此本技术实施例中，在依据质量评价结果调整目标网络切片的安全策略时，根据各个服务质量信息各自对应的服务质量评价值和服务质量参考值，筛选出最接近服务质量参考值的目标质量评价结果，相当于确定了最逼近理想状态(服务质量参考值)的服务质量信息，并以此为依据确定对应匹配的安全策略。
[0138]
这样，在各个服务质量评价结果中筛选出取值最小的目标质量评价结果，相当于在各个服务质量评价结果中，筛选出与对应的服务质量参考值差异最小的服务质量信息，也就是筛选出当前状态下的最优服务质量信息，进而基于筛选出的目标质量评价结果，进行后续安全策略的判定。
[0139]
所述处理设备确定满足预设条件的目标质量评价结果后，获取与所述目标质量评价结果对应的安全策略，并将所述安全策略编排至，为目标业务提供服务的目标网络切片中。
[0140]
本技术实施例中，所述处理设备通常预先针对质量评价结果划分各个取值区间，并对应所述各个取值区间分别设置相应的安全防护等级，再针对各个安全等级，分别配置对应的安全策略，其中，所述安全策略中至少包括对应配置的计算性能资源量、加密强度等级，并发处理的业务总量，以及密钥管理等级。
[0141]
具体的，所述处理设备可以根据实际处理需要，设置各个质量评价结果的取值区间，并针对各个取值区间分别设置相应的安全防护等级，以及针对各个安全防护等级设置对应的安全策略。
[0142]
例如，设置三个取值区间，分别为[0，9)、[9，99)，以及[99，+∞)，以及将取值范围[0，9)对应设置为低安全防护等级、将取值范围[9，99)对应设置为中安全防护等级，以及将取值范围[99，+∞)对应设置为高安全防护等级。针对低安全防护等级，配置的安全策略为：在计算性能资源方面，设置处理器的主频为1ghz、数据传输的加密算法为128位、资源调度为10台并发设备、密钥管理采用1级对称密钥对分发；针对中安全防护等级，配置的安全策略为：在计算性能资源方面，设置处理器的主频为1.5ghz、数据传输的加密算法为256位、资源调度为12台并发设备、密钥管理采用2级对称密钥对分发；针对高安全防护等级，配置的安全策略为：在计算性能资源方面，处理器的主频为2ghz、数据传输的加密算法为512位、资源调度为15台并发设备、密钥管理采用3级对称密钥对分发。
[0143]
基于此，处理设备在确定目标质量评价结果后，先确定目标质量评价结果对应的安全防护等级，再根据确定的安全防护等级确定对应的安全策略。
[0144]
需要说明的是，在目标网络切片中进行策略的编排，是本领域的成熟技术，本技术在此不再赘述。
[0145]
这样，实现了安全策略确定和安全策略编排的协同作用，使得目标网络切片在后续提供服务时能够执行与当前业务执行情况相适应的安全策略，相当于能够根据业务运行状态，对已有的安全策略进行调整，使得安全策略的定制以实际的服务质量和业务状态为
依据，能够更好的在业务服务过程中起到有效防护作用，提高了业务服务的安全性，更加灵活的支撑变化的业务安全需求。
[0146]
下面以目标业务为对应urrlc业务场景的，汽车c触发的车辆网业务为例，对本技术实施例中，对确定服务车辆网业务的目标网络切片中安全策略的过程进行说明：
[0147]
s1：5g核心网侧的处理设备接收汽车c发送的服务请求后，获取汽车c的即时车速v(t1)＝10作为业务状态信息，获取的各个服务质量信息包括：网络拓扑tp(t1)＝5；数据载荷量en(t1)＝2，安全隔离度sn(t1)＝3；网络通信跳数nh(t1)＝2；通信带宽bc(t1)＝0.6，构建对应的服务质量矩阵qos(t1)具体为：：
[0148]
qos(t1)＝[5 2 3 2 0.6]
[0149]
s2：处理设备计算汽车c的车联网业务中，各个服务质量信息各自对应的质量评价结果。
[0150]
处理设备获取对应各个服务质量信息分别设置的状态质量参考值，网络拓扑tp(ck)＝0.2；数据载荷量en(ck)＝0.2；安全隔离度sn(ck)＝0.2；网络通信跳数nh(ck)＝0.2；通信带宽bc(ck)＝0.2，构建对应的矩阵e
qos
，具体为：
[0151][0152]
s3：处理设备获对应各个服务质量信息分别设置的权重参数，网络拓扑tp(ck)＝0.3；数据载荷量en(ck)＝0.2；安全隔离度sn(ck)＝0.2；网络通信跳数nh(ck)＝0.15；通信带宽bc(ck)＝0.15，构建对应的矩阵qos(a)，具体为：
[0153][0154]
s4：根据s(t)*e
qos-qos(p)，以及qos(p)＝pm(t)*qos(a)的公式，计算得到各个服务质量信息各自对应的质量评价结果，得到如下结果：
[0155][0156]
进一步的，采用如下公式公式得到质量评价结果：
[0157][0158]
那么min|{0.5，1.6，1.4，1.7，1.91}|＝0.5
[0159]
s5：处理设备将各个质量评价结果中绝对值最小的质量评价结果，作为目标质量评价结果，并确定目标质量评价结果对应的安全策略。
[0160]
具体的，处理设备采用基于min(|{s(t)*e
qos-qos(p)}|)，得到min(0.5，1.6，1.4，1.7，1.91)的结果，进而确定目标质量评价结果为0.5，再确定目标质量评价结果对应的安全防护等级，以及确定所述安全防护等级对应的安全策略。
[0161]
结合图2中的结构，qos动态评估模块确定安全防护级别后，将安全防护级别发送至安全级别管控单元，进而由安全级别管控单元采用所述安全防护级别对应的安全策略，配置相应的策略指令，并下发至安全策略的细化分析模模块，进而将细化后的安全策略发送至vim/mano组件，由sdn和nfv将安全策略编排至目标网络切片中。
[0162]
例如，假设确定的安全策略为：选择主频为1ghz的处理器、并发数为10台、选择对称加密算法、密钥管理采用1级对称密钥对分发，加密算法为128位，则将细化的安全策略发送给vim/mano组件，由sdn和nfv具体生成相应的网络切片。
[0163]
需要说明的是，本技术实施例中，处理设备可以以预设的时间长度为周期，轮询执行上述s1-s3的操作，当前的时间周期内，目标网络切片本身存在对应的初始安全策略，所述初始安全策略为初始默认配置的，或者，是上一个轮询周期设置的，在完成对于目标网络切片的安全编排后，目标设备则可以采用更新后的安全策略，为车辆c提供车联网服务。
[0164]
这样，通过在核心网侧对5g网络切片实现安全策略配置，相当于实现了对于网络切片的安全架构设计，进行安全策略配置的过程，不同垂直领域对应的业务状态信息和对应的各个服务质量信息可能不相同，因而在不同的垂直领域灵活的配置相关的信息，能够
从网络资源基础设施和业务处理两个维度，增强与垂直行业应用的结合度及适用范围，从而更加灵活方便地支撑垂直行业应用安全需求，另外，结合图2所示，本技术在传统网络切片架构中增加了安全级别管控模块，该模块可以利用用于确定目标质量评价结果的动态分析算法，从应用场景、数据机密性完整性需求、网络环境等因素进行综合评估，并将网络切片资源及多种安全能力相关联，充分匹配与垂直行业应用安全需求相适应的网络切片资源和安全策略，从而提高网络切片服务效率和安全性，再者，借助于本技术提出的安全策略配置方式，能够从技术上实现网络切片动态安全防护机制，为应用场景快速变化的垂直行业应用场景的安全需求，提供有效的防护策略和防护手段。
[0165]
基于同一发明构思，参阅图4所示，其为本技术实施例中网络切片中安全策略的配置装置的逻辑结构示意图，网络切片中安全策略的配置装置400中包括，获取单元401，确定单元402，编排单元403，其中，
[0166]
获取单元401，用于确定为目标业务提供服务的目标网络切片，并获取所述目标业务下各个服务质量信息各自对应的信息值和所述目标业务的业务状态信息，以及获取针对所述各个服务质量信息分别配置的权重参数和状态质量参考值；
[0167]
确定单元402，用于根据所述目标业务对应的各个信息值和业务状态信息，以及所述各个服务质量信息各自对应的权重参数和状态质量参考值，分别确定所述各个服务质量信息各自对应的质量评价结果；
[0168]
编排单元403，在各个质量评价结果中，确定满足预设条件的目标质量评价结果，并获取与所述目标质量评价结果的取值对应的安全策略，以及将所述安全策略编排至所述目标网络切片中执行。
[0169]
可选的，所述确定为目标业务提供服务的目标网络切片时，所述获取单元401用于：
[0170]
确定目标业务对应的业务服务需求，并确定所述目标业务对应的业务场景；
[0171]
确定对应所述业务场景以及所述业务服务需求定制的目标网络切片。
[0172]
可选的，所述获取所述目标业务对应的各个服务质量信息各自对应的信息值和所述目标业务的业务状态信息时，所述获取单元401用于：
[0173]
采用预设的数据采集接口，获取所述目标业务对应的网络局部拓扑信息、数据载荷量信息、安全隔离度信息、网络通信跳数信息，以及通信带宽信息，以及获取所述目标业务对应的业务状态变化速率；
[0174]
将所述网络局部拓扑信息、数据载荷量信息、安全隔离度信息、网络通信跳数信息，以及通信带宽信息，作为所述目标业务对应的各个服务质量信息，以及将所述业务状态变化速率作为所述目标业务对应的业务状态信息。
[0175]
可选的，所述根据所述目标业务对应的各个信息值和业务状态信息，以及所述各个服务质量信息各自对应的权重参数和状态质量参考值，分别确定所述各个服务质量信息各自对应的质量评价结果时，所述确定单元402用于：
[0176]
根据所述各个服务质量信息各自对应的信息值和权重参数，分别计算所述各个服务质量信息各自对应的信息加权结果，将各个信息加权结果，分别作为对应的服务质量信息的服务质量评价值；
[0177]
根据业务状态信息，以及所述各个服务质量信息各自对应的状态质量参考值，确
定所述各个服务质量信息各自对应的服务质量参考值；
[0178]
根据各个服务质量评价值和各个服务质量参考值，确定所述各个服务质量信息各自对应的质量评价结果。
[0179]
可选的，所述装置还包括创建单元404，所述创建单元404用于：
[0180]
预先针对质量评价结果划分各个取值区间，并对应所述各个取值区间分别设置相应的安全防护等级；
[0181]
针对各个安全等级，分别配置对应的安全策略，其中，所述安全策略中至少包括对应配置的计算性能资源量、加密强度等级，并发处理的业务总量，以及密钥管理等级。
[0182]
可选的，所述预设条件包括：服务质量评价结果的绝对值最小。
[0183]
与上述方法实施例基于同一发明构思，本技术实施例中还提供了一种电子设备，参阅图5所示，其为应用本技术实施例的一种电子设备的一个硬件组成结构示意图，电子设备500可以至少包括处理器501、以及存储器502。其中，存储器502存储有程序代码，当程序代码被处理器501执行时，使得处理器501执行上述任意一种网络切片中安全策略的配置步骤。
[0184]
在一些可能的实施方式中，根据本技术的计算装置可以至少包括至少一个处理器、以及至少一个存储器。其中，存储器存储有程序代码，当程序代码被处理器执行时，使得处理器执行本说明书上述描述的根据本技术各种示例性实施方式的网络切片中安全策略的配置步骤。例如，处理器可以执行如图3中所示的步骤。
[0185]
基于同一发明构思，本技术实施例中基于网络切片中安全策略的配置的实施例中提供一种计算机可读存储介质，当所述存储介质中的指令由电子设备执行时，使得所述电子设备能够执行上述网络切片中安全策略的配置方法。
[0186]
综上所述，本技术提出了一种网络切片中安全策略的配置方法及装置，确定为目标业务提供服务的目标网络切片，并获取所述目标业务对应的各个服务质量信息各自对应的信息值和所述目标业务的业务状态信息，以及获取针对所述各个服务质量信息分别配置的权重参数和状态质量参考值，再根据所述目标业务对应的各个信息值和业务状态信息，以及所述各个服务质量信息各自对应的权重参数和状态质量参考值，分别确定所述各个服务质量信息各自对应的质量评价结果，然后在各个质量评价结果中，确定满足预设条件的目标质量评价结果，并获取与所述目标质量评价结果的取值对应的安全策略，以及将所述安全策略编排至所述目标网络切片中执行。
[0187]
这样，能够根据实际获取的目标业务的业务状态信息、所述目标业务下各个服务质量信息各自对应的信息值，以及所述各个服务质量信息各自对应的权重参数和状态质量参考值，评估出当前服务所述目标业务的目标网络切片所匹配的安全策略，进而根据目前业务当前的业务情况确定出适宜的安全策略，并编排在目标网络切片中进行执行，实现了安全策略确定和安全策略编排的协同作用，使得目标网络切片在后续提供服务时能够执行与当前业务执行情况相适应的安全策略，相当于能够根据业务运行状态，对已有的安全策略进行调整，使得安全策略的定制以实际的服务质量和业务状态为依据，能够更好的在业务服务过程中起到有效防护作用，提高了业务服务的安全性，更加灵活的支撑变化的业务安全需求。
[0188]
本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序
产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
[0189]
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0190]
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0191]
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0192]
尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
[0193]
显然，本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样，倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。