(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111561480.5 (22)申请日 2021.12.20 (71)申请人 广西壮族自治区公众信息产业有限 公司 地址 530031 广西壮 族自治区南宁市广西- 东盟经济技术开发区武华大道35号华 强科技孵化园1号综合楼310 -6室 (72)发明人 覃雄宁　尹敏全　黄俊杰　李宝坤　 徐超礼　杨胜朝　 (74)专利代理 机构 南宁深之意专利代理事务所 (特殊普通 合伙) 45123 专利代理师 黄南概 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/0894(2022.01)H04L 41/5022(2022.01) H04L 67/141(2022.01) H04W 72/12(2009.01) H04W 76/12(2018.01) (54)发明名称 一种基于网络切片的云安全策略管理方法 (57)摘要 本发明公开了一种基于网络切片的云安全 策略管理方法， 通过在云安全中心通过网络切片 标识S‑NSSAI对该网络切片的安全需求进行标识 管理和资源调度， 并对相同安全需求的5G业务聚 合到同一个网络切片， 终端基于安全等级需求可 以获取正确的切片标识， 从而确保业务网络通过 对应的切片通道获得所需的云安全资源， 再通过 在5GC新增基于5G应用安全需求的切片标识管理 模块实现5G终端用户按不同业务安全等级需求 进入不同的切片隔离通道内， 从而实现不同的业 务安全需求承 载在不同的网络资源环 境， 最终实 现业务的SLA差异化。 权利要求书1页 说明书5页 附图1页 CN 114499936 A 2022.05.13 CN 114499936 A 1.一种基于网络切片的云安全策略管理方法， 其特征在于： 通过在云安全中心通过网 络切片标识S ‑NSSAI对该网络切片的安全需求进行标识管理和资源调度， 并对相同安全需 求的5G业务聚合到同一个网络切片， 终端基于安全等级需求可以获取正确的切片标识， 从 而确保业务网络通过对应的切片通道获得所需的云安全资源， 再通过在5GC新增 基于5G应 用安全需求的切片标识管理模块实现5G终端用户按不同业务安全等级需求进入不同的切 片隔离通道内， 从而实现不同的业务安全需求承载在不同的网络资源环境， 最终实现业务 的SLA差异化。 2.根据权利要求1所述基于网络切片的云安全策略管理方法， 其特征在于： 所述的云安 全策略管理方法实现的流 程包括以下步骤： S1： 首先终端携带业务的应用ID和 DNN等信息向基站侧发起会话连接请求， 此请求通过 基站发送到AMF； S2： AMF收到会话连接请求后， 向UDM查询用户签约的默认切 片ID， 每个5G用户都会签约 一个默认切片， 由UDM返回查询结果； S3： AMF携带用户的DN N、 默认切片ID、 业 务ID等信息向SMF发送终端的会话连接请求； S4： SMF收到请求后， 向切片标识管理模块发送查询请求， 查询用户当前使用的应用ID 对应的切片ID； 标识管理模块向云安全 管理模块请求资源分配ID， 并存储 该安全分配ID， 发 送到UPF进行路由分配管理； S5： 切片标识管理模块向SMF反馈查询 结果， SMF判断结果中切片ID字段是否和默认切 片ID相同： 如果相同或者未查询到， 则继续向UPF发送会话请求， UPF下发终端IP， 会话激活成功， 基站与UPF之间的GTP隧道建立， 用户数据报文通过隧道开始正常传输； 如果不同， 则SMF首先通过AMF、 基站向终端下发新的与用户当前使用的业务所对应的 切片ID， 然后终端带着新的切片ID重新发起P DU会话连接请求， 重新启动上述 流程。 3.根据权利要求2所述基于网络切片的云安全策略管理方法， 其特征在于： 所述终端在 使用不同的应用时能够根据安全需求将 应用聚合到对应的切片， 并在网络侧切换所述终端 所携带的切片标识信息 。 4.根据权利要求3所述基于网络切片的云安全策略管理方法， 其特征在于： 终端侧能根 据应用的安全需求， 将应用ID与切片类型编号， 向切片标识管理模块查询实际使用的切片 ID， 下发至终端。 5.根据权利要求4所述基于网络切片的云安全策略管理方法， 其特征在于： 终端携带对 应的切片标识重新 发送会话连接请求时， 无线、 承载、 核心网感知用户切片ID能生 成对应的 子切片， 并将用户业 务承载在专用的切片通道内。 6.根据权利要求5所述基于网络切片的云安全策略管理方法， 其特征在于： 每新增一个 切片， 各网元对应增加支持此切片信息的配置， 切片标识管理模块能与SMF网元合设， 或者 单独部署。 7.根据权利要求6所述基于网络切片的云安全策略管理方法， 其特征在于： 每新增一个 网络切片通道， 各管 理模块对应完成切片新增管理， 并对应生 成新的子切片ID进 行管理， 同 时对应生成云安全子切片资源为 新增切片提供对应的安全服 务。权　利　要　求　书 1/1 页 2 CN 114499936 A 2一种基于网 络切片的云安全策略管理 方法 技术领域 [0001]本发明涉及涉及计算机领域， 具体为 一种基于网络切片的云安全策略管理方法。 背景技术 [0002]4G网络主要为智能手机而生。 进入5G时代， 我们将面临 “下一件大事(the  next  big thing)”—物联网。 无物不联的时代， 将有大量的设备接入网络， 这些设备分属不同的 工业领域， 它们具有不同的特点和需求。 换句话说， 它们对于网络的移动性、 安全性、 时延 性、 可靠性， 甚至是计费方式的需求是不同的。 所以， 面向不同的应用领域， 5G 网络必须得像 瑞士军刀一样灵活方便且具有 多功能性。 当全世界都在谈5G的时候， 通信业界里谈论得最多的是—5G网络切片技术 (Network Slicing)。 网络切片， 已成为中国移动， 韩国KT、 SK电信， 日本 KDDI 和NTT， 以及爱 立信、 诺基亚、 华为等设备商公认的最理想的5G网络构架。 网络切片最简单的理解， 就是将一个物理网络切割成多个虚拟的端到端的网络， 每个虚拟网络 之间， 包括网络内的设备、 接入、 传输和核心网， 是逻辑独立的， 任何一个虚拟 网络发生故障都不会影响到其它虚拟网络。 每个虚拟网络就像是瑞士军刀上 的钳子、 锯子 一样， 具备不同的功能特点， 面向不同的需求和服 务。 [0003]随便5G业务的不断多样化， SLA差异化需求也日益突出， 不同的性能指标要求的网 络资源环境也不同， 运营商需要根据不同的网络性能、 安全指标需求在5G网络中划分出了 一些针对不同场景和行业需求的切片资源， 那么同一个终端用户可能有不同的5 G业务需要 承载在不同的切片通道内， 那么如何正确地、 灵活地根据不同的5G业务匹配到不同的切片 资源是迫切需要解决的问题。 [0004]经检索涉及基于网络切片的云安全策略管理方法的公开中国专利文献有： 1 .一种网络切片内终端安全策略实现方法及设备 ， “申请(专利)号 ：   CN201910343376.5  申请日： 2019.04.26 ”， 公开了一种网络切片内终端安全策略实现方 法及设备。 本申请中， 会话管 理功能实体获得目标终端的网络切片安全策略配置信息， 所述 网络切片安全策略配置信息包括网络切片安全密钥类型指示信息， 所述网络切片安全密钥 类型指示信息所指示的相 应类型的网络切片安全密钥用于在所述目标终端和所述目标终 端的服务网络接入节 点之间进行用户数据保护； 所述会话管理功能实体将所述目标终端的 网络切片安全策略配置信息发送 给接入移动性管 理功能实体， 以使得所述目标终端的网络 切片安全策略配置信息通过所述接入移动性管理功 能实体发送到所述目标终端的服务网 络接入节点和所述目标终端。 [0005]2.一种网络切片配置方法及装置， “申请(专利)号：  CN202110681375.9  申请日：  2021.06.18 ”， 公开了一种网络切片配置方法及装置， 其中， 所述网络切片配置方法执行于 网络切片管理系统中的控制器上， 包括： 获取网络切片； 其中， 所述网络切片对应至少两个 虚拟网络功能单元构成的序列； 在对应配置线程中， 确定所述网络切片对基础设施网络的 资源利用情况 的状态集； 根据所述网络切片承载的应用对安全性的需求以及所述状态集，说　明　书 1/5 页 3 CN 114499936 A 3