第五代蜂窝网络切片的应用容器的安全创建的制作方法

第五代蜂窝网络切片的应用容器的安全创建
1.相关应用的交叉引用
2.本技术要求于2020年4月6日提交的、美国第16/841,526号的非临时专利申请的权益和优先权，在此通过引用将其全部内容明确纳入本技术。
技术领域
3.本公开的主题总体涉及安全创建第五代(5g)切片的应用容器的领域，更具体地，涉及基于移动边缘计算(mec)应用的回程路由策略和mec层访问策略来控制通过5g网络对mec应用的访问。


背景技术：

4.随着5g网络技术的不断进化，在所谓的mec解决方案或其他多接入边缘计算解决方案中，提供了使应用更接近终端用户的新服务。具体地，在mec解决方案中，应用在尽可能靠近用户的地方运行，例如在ran内、在附近的聚合点处，或可能在与应用相关的本地位置中。
5.5g网络技术提供在蜂窝网络域中的网络切片。这种切片可以提供基于每个切片的网络服务之间的隔离。此外，网络切片可以促进基于每个切片的服务水平协议(sla)的实现和资源预留。
6.将5g网络切片和mec的能力进行组合可以进一步提供通过5g网络提供网络服务的许多优点。然而，一起实现这些技术会带来许多问题。具体地，一起实现这些技术的主要挑战之一是mec应用部署/实现和切片创建的安全编排。具体地，当从5g架构的不同点访问相关联的应用时，很难保持mec应用之间的切片隔离。


技术实现要素：

7.为了提供对本公开及其特征和优点的更完整的理解，结合附图参考以下描述，其中：
8.图1a示出了示例云计算架构；
9.图1b示出了示例雾计算架构；
10.图2描绘了5g网络环境的示例性示意图，网络切片已经被实现在该5g网络环境中，并且本公开的一个或多个方面可以在该5g网络环境中操作；
11.图3a示出了根据各种实施例的5g网络架构300的示例；
12.图3b示出了根据各种实施例的核心路由和对等系统320的示例；
13.图4示出了根据各种实施例的通过5g回程网络来安全地控制对mec应用的访问的示例方法；
14.图5示出了根据各种实施例的用于基于回程路由策略、通过5g回程网络来安全地控制对mec应用的访问的示例方法；
15.图6示出了根据各种实施例的基于mec层访问策略来安全地控制对5g网络的mec层
的mec应用的访问的示例方法；
16.图7示出了网络设备的示例；以及
17.图8示出了总线计算系统的示例，其中，该系统的组件通过总线彼此电通信。
具体实施方式
18.下面详细讨论本公开的各种实施例。尽管讨论了具体的实现方式，但是，应当理解，仅出于示例性目的而这样做。相关领域的技术人员将认识到，在不脱离本公开的精神和范围的情况下可以使用其他组件和配置。因此，以下描述和附图是说明性的并且不应被理解为是限制性的。为了提供对本公开的全面理解，描述了许多具体细节。然而，在某些情况下，没有描述众所周知的或传统的细节以避免混淆描述。本公开中对一个实施例或一实施例的引用，可以是对同一实施例或任一实施例的引用；并且，这样的引用意味着至少一个实施例。
19.参考“一个实施例”或“一实施例”是指关于该实施例描述的特定特征、结构或特性包括在本公开的至少一个实施例中。在说明书中的各个地方出现的短语“在一个实施例中”不一定都指同一实施例，也不定是与其他实施例相互排斥的单独或替代实施例。此外，描述了可以由一些实施例呈现而由其他实施例不呈现的各种特征。
20.在本说明书中使用的术语在本领域、在本公开的上下文以及在使用每个术语的具体上下文中一般具有它们的普通含义。替代语言和同义词可以用于本文讨论的任何一个或多个术语，并且不应对术语是否在本文中详细阐述或讨论赋予特殊意义。在一些情况下，提供了针对某些术语的同义词。一个或多个同义词的叙述不排除其他同义词的使用。本说明书中任何地方的示例的使用，包括本文讨论的任何术语的示例，仅是说明性的，并不旨在进一步限制本公开或任何示例术语的范围和含义。同样，本公开不限于本说明书中给出的各种实施例。
21.下面给出了根据本公开实施例的仪器、装置、方法及其相关结果的示例，而不限制本公开的范围。注意，为了方便读者，示例中可以使用标题或副标题，这绝不应限制本公开的范围。除非另有定义，否则本文使用的技术和科学术语具有本公开所属领域的普通技术人员通常理解的含义。在发生冲突的情况下，以本文件(包括定义)为准。
22.本公开的附加特征和优点将在随后的描述中阐述，并且部分地从描述中显而易见，或者可以通过实践本文公开的原理而获知。本公开的特征和优点可以通过所附权利要求中特别指出的仪器和组合来实现和获得。本公开的这些和其他特征将通过以下描述和所附权利要求变得更加明显，或者可以通过实践本文阐述的原理而获知。
23.概述
24.在独立权利要求中阐述了本发明的各方面，并且在从属权利要求中阐述了优选特征。一个方面的特征可以单独地或与其他方面结合地应用于任何方面。
25.5g切片的应用容器的安全创建方法包括以下操作。第五代(5g)网络的移动边缘计算(mec)层中的mec应用可以与5g网络的特定网络切片相关联。mec应用的回程路由策略可以基于mec应用与5g网络的特定网络切片的关联来定义。此外，可以通过5g网络回程来生成将mec应用与分段路由隧道相关联的mec应用的分段标识符(sid)。mec应用的mec层访问策略可以基于mec应用的sid来定义。如下所述，通过5g网络对mec应用的访问可以基于mec应
用的回程路由策略和该应用的mec层访问策略两者来控制。
26.一种系统，包括一个或多个处理器，以及其中存储有指令的至少一种计算机可读存储介质，当指令由一个或多个处理器执行时，可以使一个或多个处理器执行以下操作以安全创建5g切片的应用容器。第五代(5g)网络的移动边缘计算(mec)层中的mec应用可以与5g网络的特定网络切片相关联。mec应用的回程路由策略可以基于mec应用与5g网络的特定网络切片的关联来定义。此外，可以通过5g网络回程来生成将mec应用与分段路由隧道相关联的mec应用的分段标识符(sid)。mec应用的mec层访问策略可以基于mec应用的sid来定义。如下所述，通过5g网络对mec应用的访问可以基于mec应用的回程路由策略和该应用的mec层访问策略两者来控制。
27.一种存储有指令的非暂态计算机可读存储介质，当指令由一个或多个处理器执行时，可以使一个或多个处理器执行以下操作以安全创建5g切片的应用容器。第五代(5g)网络的移动边缘计算(mec)层中的mec应用可以与5g网络的特定网络切片相关联。mec应用的回程路由策略可以基于mec应用与5g网络的特定网络切片的关联来定义。此外，可以通过5g网络回程来生成将mec应用与分段路由隧道相关联的mec应用的分段标识符(sid)。mec应用的mec层访问策略可以基于mec应用的sid来定义。如下所述，通过5g网络对mec应用的访问可以基于mec应用的回程路由策略和该应用的mec层访问策略两者来控制。
28.示例实施例
29.所公开的技术解决了本领域中对安全地编排mec应用部署和5g切片创建的需求，例如，对5g网络切片和mec技术的能力进行组合。具体地，所公开的技术解决了本领域中当从5g架构的不同点发生对mec应用的访问时安全地维护mec应用的切片隔离的需要。本技术涉及安全地为5g切片创建应用容器的系统、方法和计算机可读介质。具体地，本技术涉及用于通过5g回程网络来安全地控制对mec应用的访问的系统、方法和计算机可读介质。此外，本技术涉及用于基于回程路由策略和mec层访问策略通过5g回程网络来安全地控制对mec应用的访问的系统、方法和计算机可读介质。
30.图1a示出了示例云计算架构100的图示。该架构可以包括云102。云102可以包括一个或多个专用云、公共云、和/或混合云。此外，云102可以包括云元件104至114。云元件104至114可以包括，例如，服务器104、虚拟机(vm)106、一个或多个软件平台108、应用或服务110、软件容器112和基础设施节点114。基础设施节点114可以包括各种类型的节点，例如，计算节点、存储节点、网络节点、管理系统等。
31.云102可以通过云元件104至114提供各种云计算服务，例如，软件即服务(saas)(例如，协作服务、电子邮件服务、企业资源规划服务、内容服务、通信服务等)、基础设施即服务(iaas)(例如，安全服务、联网服务、系统管理服务等)、平台即服务(paas)(例如，web服务、流传输服务、应用开发服务等)以及其他类型的服务，例如桌面即服务(daas)、信息技术管理即服务(itaas)、托管软件即服务(msaas)、移动后端即服务(mbaas)等。
32.客户端端点116可以与云102连接以从云102获得一项或多项特定服务。客户端端点116可以通过一个或多个公共网络(例如，互联网)、专用网络、和/或混合网络(例如，虚拟专用网络)与元件104至114通信。客户端端点116可以包括具有联网能力的任何设备，例如，笔记本计算机、平板计算机、服务器、台式计算机、智能手机、网络设备(例如，接入点、路由器、交换机等)、智能电视、智能汽车、传感器、gps设备、游戏系统、智能可穿戴对象(例如，智
能手表等)、消费品(例如，互联网冰箱、智能照明系统等)、城市或交通系统(例如，交通管制、收费系统等)、物联网(iot)设备、摄像头、网络打印机、交通系统(例如，飞机、火车、摩托车、船等)，或任何智能或连接的对象(例如，智能家居、智能建筑、智能零售、智能眼镜等)等等。
33.作为访问网络服务的一部分，客户端端点116可以通过基础设施中介消息传送来与元件104至114通信。具体地，元件104至114和客户端端点116之间的通信可以通过客户端端点116和云102之间的网络基础设施来管理和以其他方式来控制。例如，5g基础设施、lte基础设施和wi-fi基础设施中的任何一个都可以将客户端端点的实体位置传送到云服务。反过来，云服务可以使基础设施向客户端端点发送特定信令，以通过云服务来访问网络服务。例如，云服务可以使用lte基础设施，例如通过lte s14接口，以通过wi-fi基础设施来提醒客户端端点wi-fi的可用性。在另一个示例中，云服务可以使用wi-fi基础设施，例如通过mbo wi-fi消息传送，以通过lte基础设施来提醒客户端端点lte的可用性。
34.图1b示出了示例雾计算架构150的图示。雾计算架构150可以包括云层154和雾层156，云层154包括云102和任何其他云系统或环境，雾层156包括雾节点162。客户端端点116可以与云层154和/或雾层156通信。架构150可以包括在云层154、雾层156和客户端端点116之间的一个或多个通信链路152。通信可以向上流动到云层154和/或向下流动到客户端端点116。
35.雾层156或“雾”提供常规的云网络的计算、存储和联网能力，但是更接近端点。因此，雾可以使云102扩展到更靠近客户端端点116。雾节点162可以是雾网络的实体实现方式。此外，雾节点162可以向客户端端点116提供本地或区域服务和/或连接。因此，流量和/或数据可以从云102卸载到雾层156(例如，通过雾节点162)。因此，雾层156可以向客户端端点116提供具有更低的延时的更快的服务和/或连接，以及诸如将数据保持在本地或(一个或多个)区域网络内的安全益处之类的其他优点。
36.雾节点162可以包括任何联网的计算设备，例如，服务器、交换机、路由器、控制器、摄像头、接入点、网关等。此外，雾节点162可以被部署在具有网络连接的任何地方，例如，工厂车间、电线杆、铁轨旁、载具内、石油钻井平台上、机场内、飞机上、购物中心内、医院内、公园内、停车场内、图书馆内等
37.在一些配置中，一个或多个雾节点162可以被部署在雾实例158、160内。雾实例158、160可以是本地或区域云或网络。例如，雾实例158、160可以是区域云或数据中心、局域网、雾节点162的网络等。在一些配置中，一个或多个雾节点162可以被部署在网络内，或例如被部署为独立节点或单个节点。此外，一个或多个雾节点162可以通过各种拓扑结构中的链路164彼此互连，各种拓扑结构包括例如星形、环形、网状或分层布置。
38.在一些情况下，一个或多个雾节点162可以是移动雾节点。移动雾节点可以移动到不同的地理位置、逻辑位置或网络、和/或雾实例，同时保持与云层154和/或端点116的连接。例如，特定的雾节点可以放置在载具中，例如飞机或火车，载具可以从一个地理位置和/或逻辑位置行进到不同的地理位置和/或逻辑位置。在该示例中，特定雾节点在位于起始位置时可以连接到具有云154的特定实体和/或逻辑连接点，并且在位于目的地位置时可以切换到具有云154的不同实体和/或逻辑连接点。因此，特定的雾节点可以在特定的云和/或雾实例中移动，并且因此在不同时间服务来自不同位置的端点。
39.图2描绘了5g网络环境200的示例性示意图，网络切片已经被实现在该5g网络环境中，并且本公开的一个或多个方面可以在该5g网络环境中操作。如图所示，网络环境200被划分为四个域，下面将更深入地解释每个域；用户设备(ue)域210，例如，一个或多个企业的用户设备(ue)域210，多个用户手机或其他连接的设备212位于该ue域210中；无线电接入网络(ran)域220，多个无线电单元、基站、塔、或其他无线电基础设施222位于该ran域220中；核心网络230，多个网络功能(nf)232、234、...、n位于该核心网络230中；以及数据网络240，一个或多个数据通信网络，例如，因特网242，位于该数据网络240中。另外，数据网络240可以支持被配置为向企业(例如，向ue域210中的用户)提供saas的saas提供商。
40.核心网络230包含多个网络功能(nf)，这里被示出为nf 232、nf234...nf n。在一些实施例中，核心网络230是根据一个或多个公认的5g核心网络(5gc)架构或设计的5gc。在一些实施例中，核心网络230是将5gc的各方面和现有4g网络组合的演进分组核心(epc)网络。不管核心网络230的特定设计，多个nf通常在核心网络230的控制平面中执行，从而提供基于服务的架构，其中给定nf允许任何其他授权的nf访问其服务。例如，会话管理功能(smf)控制会话的建立、修改、释放等，并且在这个过程中为其他nf提供对这些构成smf服务的访问。
41.在一些实施例中，核心网络230的多个nf可以包括一个或多个接入和移动性管理功能(amf；通常在核心网络230是5gc网络时使用)和移动性管理实体(mme；通常在核心网络230是epc网络时使用)，为了简单和清楚起见，本文统称为amf/mme。在一些实施例中，amf/mme可以为多个网络切片252中的多个切片所共有或以其他方式共享，并且在一些实施例中，amf/mme对于多个网络切片252中的单个切片可以是唯一的。
42.核心网络230的其余nf也是如此，核心网络230的其余nf可以在一个或多个网络切片之间共享或作为特定于多个网络切片252中的单个网络切片的唯一实例来提供。除了如上所述的包括amf/mme的nf之外，核心网络230的多个nf还可以包括以下项中的一项或多项：用户平面功能(upf)；策略控制功能(pcf)；认证服务器功能(ausf)；统一数据管理功能(udm)；应用功能(af)；网络暴露功能(nef)；nf仓储功能(nrf)；以及网络切片选择功能(nssf)。如本领域普通技术人员将理解的，可以在不脱离本公开的范围的情况下提供各种其他nf。
43.在5g网络环境200的这四个域中，定义了整个运营商网络域250。在一些实施例中，运营商网络域250是公共陆地移动网络(plmn)，并且可以被认为是向ue域210中的终端用户提供蜂窝服务的运营商或商业实体。在运营商网络域250内，创建、定义或以其他方式提供多个网络切片252，以为特定用例或对应于其他请求或规范提供期望的一组被定义的特征和功能，例如saas。注意，对多个网络切片252进行网络切片以端到端的方式来实现，跨越包括管理和编排平面(未示出)的多个不相干的技术和管理域。换言之，网络切片至少从ue域210处的企业或订户边缘、通过ran 120、通过5g接入边缘和5g核心网络230执行到数据网络240。此外，注意，这类网络切片可能跨越多个不同的5g提供商。
44.例如，如这里所示，多个网络切片252包括切片1和切片2，切片1对应于也操作网络域的5g提供商的智能手机订户，切片2对应于从网络域250的实际运营商租用容量的虚拟5g提供商的智能手机订户。还示出了切片3和切片4，切片3可以被提供用于连接的载具的机队，切片4可以被提供用于跨工厂网络或供应链的iot货物或容器跟踪系统。注意，这些网络
切片252是出于说明的目的而提供的，并且根据本公开，运营商网络域250可以按需实现任意数量的网络切片，并且可以出于除了以上列出的那些之外的用户和用户设备的目的、用例或子集而实施这些网络切片。具体地，运营商网络域250可以实现任意数量的网络切片，以将来自saas供应商的saas提供给一个或多个企业。
45.与所有上一代移动和无线网络相比，5g移动和无线网络将提供增强的移动宽带通信，并且旨在提供更广泛的服务和应用。与前几代移动和无线网络相比，5g架构是基于服务的，这意味着只要合适，架构元件被定义为通过通用框架接口向其他网络功能提供其服务的网络功能。为了在不断增长的用户设备(ue)基础上支持这种广泛的服务和网络功能，5g网络并入了上一代架构中使用的网络切片概念。
46.在5g移动和无线网络架构的范围内，网络切片包括一组定义的特征和功能，这些特征和功能一起形成用于向ue提供服务的完整的公共陆地移动网络(plmn)。这类网络切片允许具有特定网络功能的plmn的受控组成以及提供特定使用场景所需的服务。换言之，网络切片使5g网络运营商能够部署多个独立的plmn，其中，通过仅实例化满足ue的给定子集或相关业务客户需求所需的那些特征、能力和服务来定制每个plmn。
47.具体地，因为5g能够支持大量用例和新服务，所以网络切片将在5g网络中发挥关键作用。通过网络切片提供网络服务通常是在企业向amf/mme注册5g网络时请求网络切片时启动的。在注册时，企业通常会向amf/mme询问网络切片的特性，例如，切片带宽、切片延时、处理能力以及与网络切片相关联的切片弹性。这些网络切片特性可用于确保分配的网络切片能够实际向企业提供特定服务，例如，基于服务的请求。
48.将saas和saas提供商与用于向企业提供saas的网络切片相关联可以促进对提供给企业的saas的有效管理。具体地，希望企业/订户将已经获得的saas和saas提供商与正在实际用于向企业提供saas的网络切片相关联。但是，在没有跨企业、网络服务提供商(例如，5g服务提供商)和saas提供商的联合的情况下，将saas和saas提供商与网络切片关联起来是极其困难的。
49.如前所述，当对5g网络切片和mec技术的能力进行组合时，本领域需要将mec应用部署和5g切片创建安全地编排在一起。具体地，当从5g架构的不同点发生对相关联的应用的访问时，安全地维护切片隔离存在困难。还存在通过5g回程网络来安全地控制对mec应用的访问的问题。
50.本技术包括用于解决这些问题/差异的系统、方法和计算机可读介质。
51.图3a示出了根据各种实施例的5g网络架构300的示例。但是，本领域普通技术人员将理解，对于网络架构300以及本公开中所讨论的任何系统，在类似或替代配置中可以有更多或更少的组件。为了简洁和清楚的目的，本公开中提供了图示和示例。其他实施例可以包括不同数量和/或类型的元件，但是本领域的普通技术人员将认识到，这样的变体不脱离本公开的范围。具体地，网络架构300可以至少部分地通过适用的网络环境来实现，例如，图1a、图1b和图2所示的网络架构100、150和200。
52.网络架构300包括ran 302、5g回程网络310以及核心路由和对等系统320。虽然被示出为独立的网络组件，但是核心路由和对等系统320也可以作为5g回程网络310的一部分被包括在内。将根据图3b更详细地描述核心路由和对等系统320。
53.ran 302位于网络设备和5g回程网络312之间并且在网络设备和5g回程网络312之
间提供连接。ran 302还包括端点和5g切片，例如，5g切片304。5g切片是根据用户的请求来创建和定制的，例如，在用户的切片中运行特定应用。网络设备可以通过ran 302与5g网络的其余部分进行通信。
54.5g回程网络310包括边缘路由器，例如，边缘路由器312，以及mec主机，例如，mec主机316。mec主机可以支持通过ran 302向网络设备提供网络服务的应用。用户可以订购要安装在mec主机中的应用，例如，mec主机316中的mec应用318。边缘路由器可以从ran302中的5g切片接收传入分组，并且进一步通过5g回程网络310经由回程信道(例如，回程信道314)来路由分组。回程信道可以包括通过5g回程网络310转发分组的一个或多个路由器节点。
55.回程信道可以形成通过分段路由将分组从边缘路由器传输到mec应用的一个或多个隧道的一部分。由5g回程网络310中的回程信道形成的分段路由隧道可以特定于一个或多个mec应用。例如，回程信道314可以支持特定于mec应用318的分段路由隧道。反过来，边缘路由器312可以通过特定于mec应用318并且由回程信道314支持的分段路由隧道转发去往mec应用318的流量。
56.在5g回程网络310中，每个路由器和每个链路可以与分段标识符(sid)(潜在唯一的sid)相关联。反过来，与路由器和链路相关联的sid可以用于通过5g回程网络310来转发分组，例如，通过分段路由隧道。具体地，可以使用sid来定义分段路由隧道，并且可以使用sid通过适用的分段路由隧道来转发分组。更具体地，包括sid的分段路由栈可以用于通过特定分段路由隧道来路由流量。如下所述，来自特定5g切片的流量可以使用与特定分段路由隧道相关联的sid通过特定分段路由隧道来路由，从而在5g回程网络310中有效地将5g切片彼此分段。从上到下，分段路由栈的每个sid识别通过5g回程网络310的分组的临时目的地，其中sid的顺序指示出针对分组的路由，并且最后一个sid识别出最终目的地。一旦分组到达目的地，识别这个目的地的sid将从分段路由栈的顶部被删除，并且分组将被转发到由分段路由栈的下一个sid识别的下一个目的地。
57.ran 302中的每个5g切片可以与sid相关联。具体地，ran 302中的每个5g切片可以唯一地与一个sid相关联。反过来，5g切片的sid可以用于将5g切片彼此分段。例如，在边缘路由器312处从5g切片304接收到的流量可以包括唯一地与5g切片304相关联的sid。反过来，该sid可以识别从ran 302中的5g切片304而不是从其他5g切片到达的流量，从而有效地将ran 302中的5g切片彼此分段。
58.图3b示出了根据各种实施例的核心路由和对等系统320的示例。如图3b所示，核心路由和对等系统320还包括切片管理器322、mec编排器324和分段路由路径计算元件(sr-pce)326。切片管理器322对5g网络的网络切片进行编排。mec编排器324对与5g网络相关的mec应用进行编排。sr-pce 326使用分段路由栈中的sid来为传入分组计算通过5g回程网络310的路径。sr-pce 326也可以与边缘路由器通信。核心路由和对等系统320的上述元件可以相互协调以将5g切片与应用相关联并且根据各种实施例通过5g回程网络310来安全地部署/维护应用。将根据图4和图5描述这种协调的细节。
59.图4示出了根据各种实施例的通过5g回程网络来安全地控制对mec应用的访问的示例方法。将根据图3a和图3b来描述图4所示的方法。图4所示的方法是作为示例提供的，因为执行该方法有多种方式。此外，虽然示例方法以特定的步骤顺序示出，但是本领域的普通技术人员将理解，图4和图4所示的模块可以以任何顺序执行并且可以包括比示出的模块更
少或更多的模块。
60.一旦用户订购要安装在mec主机中的mec应用，mec编排器就将5g网络的mec层中的mec应用与特定5g网络切片相关联(402)。例如，在用户订购要安装在mec主机316中的mec应用318之后，mec编排器324将5g网络300的mec层中的mec应用318与特定5g网络切片304相关联。在一些实施例中，可以创建新的5g切片以与mec应用相关联。在一些实施例中，用户可以订购要安装在pod内的多个mec应用，并且mec编排器可以将pod与特定网络切片相关联。
61.sr-pce通过5g网络回程来生成mec应用的新的全局前缀sid，该全局前缀sid将mec应用与分段路由隧道相关联(404)。例如，sr-pce 326通过5g回程网络310来生成mec应用318的新的全局前缀sid，该全局前缀sid将mec应用318与分段路由隧道314相关联。新的全局前缀sid可以是全局唯一的。在一些实施例中，可以为多个应用的pod或为同一网络切片中的所有mec应用生成这样的新的全局前缀sid。sr-pce通知mec编排器该新的全局前缀sid。
62.mec编排器基于mec应用与5g网络的特定网络切片的关联来定义mec应用的回程路由策略(406)。在一些实施例中，回程路由策略可以指示特定切片、特定云服务或5g核心网络可以与mec应用通信。具体地，回程路由策略可以指示5g核心网络的(哪个或哪些)特定云服务和/或部分可以通过5g网络的ran中的一个或多个网络切片与mec应用通信。将根据图5更详细地描述回程路由策略。
63.在一些实施例中，过程404被执行以实现在过程406中定义的这种回程路由策略。例如，mec编排器324向切片管理器322通知5g网络300的mec层中的mec应用318与特定5g网络切片304相关联。mec编排器还可以向切片管理器322通知回程路由策略和其中mec应用318所在的mec主机316的位置。切片管理器322或mec编排器324可以将上述信息传送给sr-pce 326，并且sr-pce 326可以通过生成在过程404中详述的前缀sid来实现在过程406中定义的回程路由策略。
64.mec编排器还基于mec应用的前缀sid来定义mec应用的mec层访问策略(408)。在一些实施例中，mec层访问策略可以指定哪些分组可以访问mec应用。此外，未经授权的分组可以在它们访问mec应用之前被丢弃。将根据图6更详细地描述mec层访问策略。
65.核心路由和对等系统以及5g回程网络基于回程路由策略和mec层访问策略两者通过5g网络来控制对mec应用的访问(410)。将根据图5和图6更详细地描述这两种策略。
66.图5示出了根据各种实施例的基于回程路由策略通过5g回程网络来安全地控制对mec应用的访问的示例方法。将根据图3a和图3b来描述图5所示的方法。图5所示的方法是作为示例提供的，因为执行该方法有多种方式。此外，虽然示例方法以特定的步骤顺序示出，但是本领域的普通技术人员将理解，图5和图5所示的模块可以以任何顺序执行并且可以包括比示出的模块更少或更多的模块。
67.如果网络切片与和mec应用相关联的5g网络的特定网络切片相匹配，那么回程路由策略可以指定在一个或多个接入路由器节点/边缘节点处从网络切片接收到的流量的分段路由栈中添加mec应用的新的全局前缀sid。回程路由策略还可以指定在mec应用的新的全局前缀sid被添加到流量后，将流量通过与mec应用相关联的5g网络回程、在分段路由隧道上转发到5g网络的mec层。在一些实施例中，如果该网络切片与回程路由策略中定义的特定网络切片相匹配，那么sr-pce可以将mec应用的这种新的全局前缀sid添加到来自网络切
片的分组的分段路由栈的底部。然后分组可以使用mec应用的新的全局前缀sid通过5g回程网络被转发到mec应用。因为mec应用的前缀sid是分组的分段路由栈的底部的最后一个sid，所以mec应用将被指定为这类分组的最终目的地。
68.为了实施回程路由策略，sr-pce首先部署回程路由策略以访问5g网络回程的路由器节点(502)。例如，sr-pce 326将回程路由策略部署到包括5g回程网络310的边缘路由器312的边缘路由器。在一些实施例中，sr-pce通过将mec应用的前缀sid分配给5g网络回程的接入路由器节点来实现回程路由策略，从而分组可以根据回程路由策略使用mec应用的前缀sid被路由到mec应用。
69.至少一个接入路由器节点从5g网络的网络切片接收传入流量中的分组(504)。例如，边缘路由器312可以通过5g网络300的ran 302从5g网络切片304接收传入流量中的分组。
70.接入路由器节点确定提供流量的网络切片是否是与mec应用相关联的5g网络的特定网络切片(506)。例如，边缘路由器312确定提供流量的网络切片是否是与mec应用318相关联的5g网络的特定5g网络切片304。具体地，传入流量的每个分组可以包括与从其接收流量的网络切片相关联的网络切片sid。因此，这类网络切片sid可以用于确定流量的来源，例如，将流量转发到5g网络回程的网络切片。在一些实施例中，过程506还可以包括确定提供传入流量的分组的网络切片是否是与mec应用相关联的5g网络的特定网络切片。该确定可以基于从网络切片的传入流量的分组中接收到的网络切片sid是否与和(例如，由回程路由策略指示的)5g网络的特定网络切片相关联的特定网络切片sid相匹配。
71.在一些实施例中，因为回程路由策略还可以指示来自特定云服务或5g核心网络的分组可以与mec应用通信，所以接入路由器节点还可以例如基于接收流量的网络切片来确定提供流量的特定云服务或5g核心网络是否是由回程路由策略定义的有效源。
72.基于网络切片是否是与和mec应用相关联的5g网络的特定网络切片，具有接入路由器节点的sr-pce根据回程路由策略通过5g网络回程来控制网络切片对mec应用的访问(508)。因为mec应用的前缀sid形成了将mec应用链接到5g网络的特定网络切片的分段控制，所以对mec应用的访问可以使用这类前缀sid来控制。具体地，可以将与mec应用相关联的sid添加到流量中，并且可以通过与应用相关联的隧道来将流量转发给应用。更具体地，如果从与应用相关联的特定网络切片接收到流量，那么可以将与mec应用相关联的sid添加到流量中。
73.在一些实施例中，mec应用的sid可以通过多协议标签交换(mpls)标记或因特网协议版本6(ipv6)扩展报头被添加到在接入路由器节点处接收到的分组。
74.图6示出了根据各种实施例的基于mec层访问策略来安全地控制对5g网络的mec层的mec应用的访问的示例方法。将根据图3a和图3b来描述图6所示的方法。图6所示的方法是作为示例提供的，因为执行该方法有多种方式。此外，虽然示例方法以特定的步骤顺序示出，但是本领域的普通技术人员将理解，图6和图6所示的模块可以以任何顺序执行并且可以包括比示出的模块更少或更多的模块。
75.mec层访问策略可以指定具有被包括在分组的分段路由栈的底部的mec应用的前缀sid的分组可以访问mec应用。此外，mec层访问策略还可以指定不具有被包括在分组的分段路由栈的底部的mec应用的前缀sid的分组将在它们可以访问应用之前被丢弃。mec层访
问策略可以在5g回程网络的不同点处被实施，例如，在运行mec应用的容器的边车(sidecar)处或在容器级。在mec层访问策略的实施后，分组可以访问mec应用。mec层访问策略还可以指定来自特定云服务或5g核心网络的具有被包括在分组的分段路由栈的底部的正确前缀sid的分组可以访问mec应用。
76.为了实施mec层访问策略，mec编排器首先将mec层访问策略部署到运行mec层中的mec应用的一个或多个容器(602)。例如，mec编排器324将mec层访问策略部署到运行mec层中的mec应用318的一个或多个容器。在一些实施例中，mec编排器部署mec应用并且实施mec层访问策略。在一些实施例中，mec应用可以通过容器编排工具(例如，kubemetes)来部署，或者被部署为虚拟机。在一些实施例中，mec编排器可以部署多个应用的pod。mec编排器可以在运行mec层中的mec应用的一个或多个容器的边车处实施mec层访问策略。
77.一个或多个容器通过5g网络回程从5g网络回程的接入路由器节点接收来自网络切片的流量(604)。例如，mec应用318的一个或多个容器通过5g回程网络310从边缘路由器312接收来自5g网络切片304的流量。在一些实施例中，运行mec层中的mec应用的一个或多个容器的一个或多个边车可以在流量被传递到在一个或多个容器中运行的mec应用之前被拦截。
78.基于网络切片是否是与mec应用相关联的5g网络的特定网络切片，一个或多个容器根据mec层访问策略来控制网络切片对mec应用的访问(608)。在一些实施例中，如果确定提供流量的网络切片是与mec应用相关联的5g网络的特定网络切片，那么流量可以被传输到mec应用。具体地，如果mec应用的sid被包含在来自网络切片的分组的分段路由栈的底部，那么可以将分组传输到mec应用。在一些实施例中，如果提供流量的网络切片是与mec应用相关联的5g网络的特定网络切片，那么一个或多个容器丢弃流量。具体地，如果mec应用的sid不被包括在来自网络切片的分组的分段路由栈中，那么一个或多个容器在分组访问mec应用之前丢弃这些分组。在一些实施例中，上述控制过程也可以在容器的边车处被执行。
79.在根据mec层访问策略来控制对mec应用的访问时，一个或多个容器可以有效地确定提供流量的网络切片是否是与mec应用相关联的5g网络的特定网络切片(606)。例如，mec应用318的一个或多个容器可以确定提供流量的网络切片是否是与mec应用318相关联的5g网络的特定网络切片304。在一些实施例中，容器可以确定从网络切片接收到的流量在分组的分段路由栈的底部是否包括mec应用的sid。如上所述，这是因为由接入路由器节点在一个或多个容器处从网络切片接收到的流量中包括mec应用的sid指示出网络切片是与mec应用相关联的5g网络的特定网络切片。如下所述，如果流量包括mec应用的sid，那么一个或多个容器可以有效地确定流量是从与mec应用相关联的网络切片接收到的。
80.如前所述，根据在接入路由器节点处的回程路由策略的实施，mec应用的sid被添加到在接入路由器节点处从网络切片接收到的流量。此外，一个或多个容器基于包含mec应用的sid根据mec层访问策略来控制到mec应用的流量。因此，在接入路由器节点处的回程路由策略的实施与在mec层级处的mec层访问策略的实施之间存在协调。在5g回程网络与核心路由和对等系统的元件(例如，切片管理器322、mec编排器324和sr-pce 326)之间也存在协调。上述确定过程也可以在容器的边车处执行。
81.图7示出了网络设备700(例如，交换机、路由器、网络器具等)的示例。这样的网络
设备700可以是边缘路由器(例如，边缘路由器312、被包括在回程信道314中的边缘路由器)、mec主机(例如，mec主机316)、核心路由和对等系统320、切片管理器322、mec编排器324和sr-pce 326。网络设备700可以包括主中央处理单元(cpu)704、接口702、以及总线710(例如，pci总线)。当cpu 704在适当软件或固件的控制下工作时，其可以负责执行分组管理、错误检测、和/或路由功能。cpu 704优选地在包括操作系统和任何适当应用软件的软件的控制下完成所有这些功能。cpu 704可以包括一个或多个处理器708，例如，来自motorola系列的微处理器或mips系列的微处理器的处理器。在替代实施例中，处理器708可以是用于控制网络设备700的操作的专门设计的硬件。在实施例中，存储器706(例如，非易失性ram和/或rom)也可以形成cpu 704的一部分。然而，存储器可以以许多不同的方式耦合到系统。
82.接口702可以作为接口卡(有时称为线卡)来提供。接口702可以控制通过网络来发送和接收数据分组，并且有时支持与网络设备700一起使用的其他外围设备。可以提供的接口包括以太网接口、帧中继接口、电缆接口、dsl接口、以及令牌环接口等。此外，可以提供各种超高速接口，例如，快速令牌环接口、无线接口、以太网接口、千兆以太网接口、异步传输模式(atm)接口、高速串行接口(hssi)、sonet上的分组(pos)接口、光纤分布式数据接口(fddi)等。接口704可以包括适合于与适当媒体通信的端口。在一些情况下，接口702还可以包括独立的处理器，并且在一些实例中，还包括易失性ram。独立的处理器可以控制通信密集型任务，例如，分组交换、媒体控制和管理。通过为通信密集型任务提供单独的处理器，接口702可以允许cpu 704有效地执行路由计算、网络诊断、安全功能等。
83.尽管图7所示的系统是实施例的网络设备的示例，但是它绝不是可以在其上实现主题技术的唯一网络设备架构。例如，也可以使用具有可以处理通信和路由计算以及其他网络功能的单个处理器的架构。此外，其他类型的接口和介质也可以与网络设备700一起使用。
84.不管网络设备的配置如何，它都可以使用一个或多个存储器或存储器模块(包括存储器706)，这些存储器或存储器模块被配置为存储本文所述的用于通用网络操作的程序指令以及用于漫游、路由优化和路由功能的机制。程序指令可以控制操作系统和/或一个或多个应用的操作。一个或多个存储器还可以被配置为存储诸如移动绑定、注册和相关表之类的表。
85.图8示出了总线计算系统800的示例，其中，该系统的组件是使用总线806来与彼此进行电通信的。计算系统800可以包括处理单元(cpu或处理器)804和系统总线806，系统总线806可以将包括系统存储器820(例如，只读存储器(rom)818和随机存取存储器(ram)816)的各种系统组件耦合到处理器804。计算系统800可以包括与处理器804直接连接、紧密邻近或被集成为其一部分的高速存储器的缓存802。计算系统800可以将数据从存储器820、rom 818、ram 816、和/或存储设备808复制到缓存802，以供处理器804快速访问。以这种方式，缓存802可以提供性能提升，从而避免了在等待数据时的处理器延时。这些模块和其他模块可以控制处理器804执行各种动作。其他系统存储器820也可供使用。存储器820可以包括具有不同性能特性的多种不同类型的存储器。处理器804可以包括任何通用处理器和服务器、硬件模块或软件模块(例如，存储在存储设备808中的模块810、模块812和模块814)，该通用处理器和服务器、硬件模块或软件模块被配置为控制处理器804以及专用处理器，其中软件指令被并入到实际的处理器设计中。处理器804基本上可以是完全自包含的计算系统，其包含
多个核心或处理器、总线、存储器控制器、缓存等。多核心处理器可以是对称的或非对称的。
86.为了使用户能够与计算系统800进行交互，输入设备822可以表示任何数量的输入机制，例如，用于语音的麦克风、用于手势或图形输入的触敏屏幕、键盘、鼠标、运动输入、语音等等。输出设备824也可以是本领域技术人员已知的许多输出机制中的一种或多种。在一些实例中，多模态系统可以使用户能够提供多种类型的输入以与计算系统800进行通信。通信接口826可以支配和管理用户输入和系统输出。对于在任何特定硬件布置上的操作没有限制，因此在改进的硬件或固件布置被开发时，本文的基本特征可以很容易地被改进的硬件或固件布置替换。
87.存储设备808可以是非易失性存储器，并且可以是硬盘或可以存储可以由计算机访问的数据的其他类型的计算机可读介质，例如，磁带、闪存卡、固态存储器设备、数字通用盘、盒式磁带、随机存取存储器、只读存储器、以及前述项的混合。
88.如上所述，存储设备808可以包括用于控制处理器804的服务或软件模块810、812、814。可以考虑其他硬件或软件模块。存储设备808可以连接到系统总线806。在一些实施例中，执行特定功能的硬件模块可以包括存储在计算机可读介质中的软件组件，该软件组件与必要的硬件组件(例如，处理器804、总线806、输出设备824等)连接以执行该功能。
89.用于安全创建5g切片的应用容器的系统、方法和计算机可读介质。5g网络的mec层中的mec应用可以与5g网络的特定网络切片相关联。mec应用的回程路由策略可以基于mec应用与5g网络的特定网络切片的关联来定义。此外，将mec应用与分段路由隧道相关联的mec应用的sid可以通过5g网络回程来生成。mec应用的mec层访问策略可以基于mec应用的sid来定义。如下所述，通过5g网络对mec应用的访问可以基于mec应用的回程路由策略和应用的mec层访问策略两者来控制。
90.为了解释清楚，在一些情况下，各种实施例可以被表示为包括各个功能框，这些功能框包括设备、设备组件、体现在软件、或硬件和软件的组合中的方法的步骤或例程的功能框。
91.在一些实施例中，计算机可读存储设备、介质和存储器可以包括包含比特流等的电缆或无线信号。然而，当提及时，非暂态计算机可读存储介质明确地排除诸如能量、载波信号、电磁波和信号本身等之类的介质。
92.可以使用存储在计算机可读介质或可以以其他方式从计算机可读介质获得的计算机可执行指令来实现根据上述示例的方法。这样的指令可以包括例如使得或以其他方式配置通用计算机、专用计算机、或专用处理设备来执行某项功能或一组功能的指令和数据。所使用的部分计算机资源可以通过网络来访问。计算机可执行指令可以是例如二进制、中间格式指令(例如，汇编语言、固件、或源代码)。可以用于存储指令、在根据所述示例的方法期间使用的和/或创建的信息的计算机可读介质的示例包括磁盘或光盘、闪存、配设有非易失性存储器的usb设备、网络存储设备等等。
93.根据这些公开内容来实施方法的设备可以包括硬件、固件和/或软件，并且可以采取多种形状因子中的任何一种。这样的形状因子的一些示例包括诸如服务器、机架安装设备、台式计算机、笔记本计算机等之类的通用计算设备，或诸如平板计算机、智能手机、个人数字助理、可穿戴设备等之类的通用移动计算设备。本文描述的功能还可以体现在外围设备或附加卡中。作为进一步的示例，这样的功能也可以在不同芯片或在单个设备中执行的
不同进程之间的电路板上实现。
94.指令、用于传达这样的指令的介质、用于执行这样的指令的计算资源、以及支持这样的计算资源的其他结构是提供这些公开中描述的功能的设备。
95.虽然使用各种示例和其他信息来解释所附权利要求的范围内的各方面，但是不应基于这样的示例中的特定特征或布置来暗示对权利要求的限制，因为本领域的普通技术人员将能够使用这些示例来获取各种各样的实现方式。此外，虽然可能已经用特定于结构特征和/或方法步骤的示例的语言描述了一些主题，但是应理解，所附权利要求中限定的主题不一定限于这些描述的特征或动作。例如，这样的功能性可以不同地分布在除本文所标识的那些组件之外的组件中或在除本文所标识的那些组件之外的组件中执行。相反，将描述的特征和步骤公开为在所附权利要求的范围内的系统的组件和方法的示例。