一种基于可信网络的工业物联网控制方法

技术领域

本申请涉及通信技术领域，尤其涉及一种基于可信网络的工业物联网控制方法。

背景技术

3GPP的全称是“3rd Generation Partnership Project”，中文意思是“第三代合作伙伴计划”。它是一个跨国合作组织，由电信标准化组织欧洲电信标准化协会(ETSI)和全球电信协会(Global System for Mobile Communications Association)组成，主要负责移动通信领域的标准制定工作。

3GPP定义5G网络有不同的类型，如公网(public network)和私网(non-publicnetwork，NPN)。它们的主要区别在于访问范围和使用目的。公网也称为外网，是指没有限制，只要能上网的用户，都可以访问的网络。公网地址是指在因特网上直接可达的地址，如果你有一个公网地址，那就意味着你不但能访问别人，还能被人访问。私网是指局域网，如数据不出园区的网络，只有属于局域网内部的成员，才可以访问。私网地址产生的一个原因是因为公网地址非常缺乏，大家不得不使用同一个公互联网协议(IP)地址上网，这就是共享上网的由来。

就目前来说，私网的业务与公网的业务部署是彼此隔离的，但是随着网络或者需求的演进，在未来，私网与公网可能会产生一些业务融合，因此目前的业务部署方式可能无法满足未来的需求。

发明内容

本申请实施例提供一种基于可信网络的工业物联网控制方法，用以实现公网的业务能够通过公网与私网的融合来由私网承载，使得业务的部署能够更灵活。

为达到上述目的，本申请采用如下技术方案：

第一方面，本申请实施例提供了一种基于可信网络的工业物联网控制方法，该方法应用于网络管理系统NMS，该方法包括：NMS接收来自应用服务器AS的服务订阅消息，其中，服务订阅消息用于订阅NMS对业务组进行用户面配置，业务组包括由AS向公网的工业物联网提供的N个业务，N为大于1的整数；在业务组需要由私有网络NPN承载的情况下，NMS对NPN中的用户面功能UPF网元进行可信验证，得到可信验证结果；NMS根据可信验证结果，对NPN中可信的UPF网元进行针对业务组的用户面配置，其中，对可信的UPF网元进行针对业务组的用户面配置是用以可信的UPF网元能承载业务组的用户面数据。

可选地，服务订阅消息包括如下至少一项信息：AS的标识、述业务组的标识、N个业务各自的标识、或指示信元，其中，指示信元用于请求对业务进行用户面配置，至少一项信息用于联合起来指示NMS对业务组进行用户面配置。

可选地，服务订阅消息还包括业务组的适用范围信息和AS的位置信息，其中，业务组的适用范围信息是业务组粒度的信息，用以指示N个业务在业务组的适用范围信息指示的区域范围内都适用，业务组的适用范围信息具体为区域范围的经纬度信息，AS的位置信息用于指示AS的经纬度坐标位置。

可选地，业务组需要由私有网络NPN承载是指：NMS根据业务组的适用范围信息和AS的位置信息，确定业务组的数据由AS传输到区域范围的路径需要经过NPN，从而确定业务组需要由NPN承载。

可选地，NMS对NPN中的用户面功能UPF网元进行可信验证，得到可信验证结果，包括：NMS根据NPN中的UPF网元的位置以及AS的位置，将与AS的距离小于预设阈值的UPF网元确定为待选UPF网元集合，待选UPF网元集合包括至少一个UPF网元；NMS对待选UPF网元集合中的每个UPF网元进行可信验证，得到可信验证结果，其中，可信验证结果用于指示待选UPF网元集合中每个UPF网元的可信级别，若一个UPF网元的可信级别越高，则表示该UPF网元越被NMS信任，也表示该UPF网元的安全风险越小，待选UPF网元集合中可信级别大于预设级别阈值的UPF网元为可信的UPF网元。

可选地，NMS对待选UPF网元集合中的每个UPF网元进行可信验证，得到可信验证结果，包括：NMS根据从NPN获取的待选UPF网元集合中的每个UPF网元的标识，在NMS本地获取待选UPF网元集合中的每个UPF网元预配置在NMS本地安全凭证，其中，待选UPF网元集合中的每个UPF网元的安全凭证用于指示该UPF网元的可信级别；其中，NPN中一个UPF网元的安全凭证是NMS事先根据NPN上报的该UPF网元的硬件资源类型、用户面数据量、以及上报用户面数据异常的次数确定；NPN中一个UPF网元的硬件资源类型为独享硬件资源比该UPF网元的硬件类型为共享硬件资源所对应的可信得分更高，若NPN中一个UPF网元的用户面数据量越大，则该UPF网元的用户面数据所对应的可信得分越高，若NPN中一个UPF网元上报用户面数据异常的次数越少，则该UPF网元上报用户面数据异常的次数所对应的可信得分越高，若NPN中一个UPF网元的硬件资源类型所对应的可信得分、用户面数据量所对应的可信得分、以及上报用户面数据异常的次数所对应的可信得分之和越高，则该UPF网元的可信级别越高。

可选地，NMS根据可信验证结果，对NPN中可信的UPF网元进行针对业务组的用户面配置，包括：NMS根据N个业务各自的标识，从运营商网络中的策略控制功能PCF网元获取N个业务各自的策略与计费规则PCC规则，其中，运营商网络是N个业务签约的运营商网络；N个业务中每个业务的PCC规则都对应包含该业务的用户面配置，该业务的用户面配置至少包括该业务的包过滤规则、服务质量QoS流的保障方式，QoS流的保障方式包括保证流比特率GFBR和最大流比特率MFBR；NMS将N个业务各自映射到可信的UPF网元中对应的一个UPF网元，其中，可信的UPF网元中可信级别越高的UPF网元越需要优先被N个业务中的业务映射；NMS根据N个业务中每个业务映射到的一个UPF网元的地址，将N个业务中每个业务的用户面配置发送给该业务映射到的一个UPF网元；其中，UPF网元的地址预配置在NMS本地，由NMS根据从NPN获取的UPF网元的标识，在NMS本地获取UPF网元的标识对应的UPF网元的地址。

可选地，服务订阅消息还包括N个业务之间的优先级关系，N个业务之间的优先级关系用于指示N个业务中优先级越高的业务越需要被优先映射到可信的UPF网元中可信级别越高的UPF网元。

可选地，在NMS根据可信验证结果，对NPN中可信的UPF网元进行针对业务组的用户面配置之后，该方法还包括：NMS向AS发送针对服务订阅消息的服务订阅响应消息，其中，服务订阅响应消息用于指示用户面配置成功，具体的，服务订阅响应消息的消息类型用于指示用户面配置成功，或者，服务订阅响应消息携带有结果信元，结果信元用于指示用户面配置成功。

可选地，服务订阅响应消息还携带有N个业务各自的标识与N个UPF网元的地址的一一对应关系，共N个对应关系，其中，N个对应关系中的每个对应关系用于指示N个业务中对应的一个业务的协议数据单元PDU会话锚点为该业务对应的UPF网元，也即，该业务映射到的一个UPF网元，或者说该UPF网元是为该业务进行了用户面配置的网元，用以AS根据每个UPF网元的地址向该UPF网元发送该UPF网元对应的一个业务的数据流。

第二方面，本申请实施例提供了一种基于可信网络的工业物联网控制装置，该装置应用于网络管理系统NMS，该装置被配置为：NMS接收来自应用服务器AS的服务订阅消息，其中，服务订阅消息用于订阅NMS对业务组进行用户面配置，业务组包括由AS向公网的工业物联网提供的N个业务，N为大于1的整数；在业务组需要由私有网络NPN承载的情况下，NMS对NPN中的用户面功能UPF网元进行可信验证，得到可信验证结果；NMS根据可信验证结果，对NPN中可信的UPF网元进行针对业务组的用户面配置，其中，对可信的UPF网元进行针对业务组的用户面配置是用以可信的UPF网元能承载业务组的用户面数据。

可选地，服务订阅消息包括如下至少一项信息：AS的标识、述业务组的标识、N个业务各自的标识、或指示信元，其中，指示信元用于请求对业务进行用户面配置，至少一项信息用于联合起来指示NMS对业务组进行用户面配置。

可选地，服务订阅消息还包括业务组的适用范围信息和AS的位置信息，其中，业务组的适用范围信息是业务组粒度的信息，用以指示N个业务在业务组的适用范围信息指示的区域范围内都适用，业务组的适用范围信息具体为区域范围的经纬度信息，AS的位置信息用于指示AS的经纬度坐标位置。

可选地，业务组需要由私有网络NPN承载是指：NMS根据业务组的适用范围信息和AS的位置信息，确定业务组的数据由AS传输到区域范围的路径需要经过NPN，从而确定业务组需要由NPN承载。

可选地，该装置被配置为：NMS根据NPN中的UPF网元的位置以及AS的位置，将与AS的距离小于预设阈值的UPF网元确定为待选UPF网元集合，待选UPF网元集合包括至少一个UPF网元；NMS对待选UPF网元集合中的每个UPF网元进行可信验证，得到可信验证结果，其中，可信验证结果用于指示待选UPF网元集合中每个UPF网元的可信级别，若一个UPF网元的可信级别越高，则表示该UPF网元越被NMS信任，也表示该UPF网元的安全风险越小，待选UPF网元集合中可信级别大于预设级别阈值的UPF网元为可信的UPF网元。

可选地，该装置被配置为：NMS根据从NPN获取的待选UPF网元集合中的每个UPF网元的标识，在NMS本地获取待选UPF网元集合中的每个UPF网元预配置在NMS本地安全凭证，其中，待选UPF网元集合中的每个UPF网元的安全凭证用于指示该UPF网元的可信级别；其中，NPN中一个UPF网元的安全凭证是NMS事先根据NPN上报的该UPF网元的硬件资源类型、用户面数据量、以及上报用户面数据异常的次数确定；NPN中一个UPF网元的硬件资源类型为独享硬件资源比该UPF网元的硬件类型为共享硬件资源所对应的可信得分更高，若NPN中一个UPF网元的用户面数据量越大，则该UPF网元的用户面数据所对应的可信得分越高，若NPN中一个UPF网元上报用户面数据异常的次数越少，则该UPF网元上报用户面数据异常的次数所对应的可信得分越高，若NPN中一个UPF网元的硬件资源类型所对应的可信得分、用户面数据量所对应的可信得分、以及上报用户面数据异常的次数所对应的可信得分之和越高，则该UPF网元的可信级别越高。

可选地，该装置被配置为：NMS根据N个业务各自的标识，从运营商网络中的策略控制功能PCF网元获取N个业务各自的策略与计费规则PCC规则，其中，运营商网络是N个业务签约的运营商网络；N个业务中每个业务的PCC规则都对应包含该业务的用户面配置，该业务的用户面配置至少包括该业务的包过滤规则、服务质量QoS流的保障方式，QoS流的保障方式包括保证流比特率GFBR和最大流比特率MFBR；NMS将N个业务各自映射到可信的UPF网元中对应的一个UPF网元，其中，可信的UPF网元中可信级别越高的UPF网元越需要优先被N个业务中的业务映射；NMS根据N个业务中每个业务映射到的一个UPF网元的地址，将N个业务中每个业务的用户面配置发送给该业务映射到的一个UPF网元；其中，UPF网元的地址预配置在NMS本地，由NMS根据从NPN获取的UPF网元的标识，在NMS本地获取UPF网元的标识对应的UPF网元的地址。

可选地，服务订阅消息还包括N个业务之间的优先级关系，N个业务之间的优先级关系用于指示N个业务中优先级越高的业务越需要被优先映射到可信的UPF网元中可信级别越高的UPF网元。

可选地，该装置被配置为：在NMS根据可信验证结果，对NPN中可信的UPF网元进行针对业务组的用户面配置之后，NMS向AS发送针对服务订阅消息的服务订阅响应消息，其中，服务订阅响应消息用于指示用户面配置成功，具体的，服务订阅响应消息的消息类型用于指示用户面配置成功，或者，服务订阅响应消息携带有结果信元，结果信元用于指示用户面配置成功。

可选地，服务订阅响应消息还携带有N个业务各自的标识与N个UPF网元的地址的一一对应关系，共N个对应关系，其中，N个对应关系中的每个对应关系用于指示N个业务中对应的一个业务的协议数据单元PDU会话锚点为该业务对应的UPF网元，或者说该UPF网元是为该业务进行了用户面配置的网元，用以AS根据每个UPF网元的地址向该UPF网元发送该UPF网元对应的一个业务的数据流。

第三方面，本申请实施例提供了一种计算机可读存储介质，所述存储介质上存储有程序代码，当所述程序代码被所述计算机运行时，执行如第一方面所述的方法。

综上，上述方法及装置具有如下技术效果：

针对AS为公共的工业物联网提供的业务组，如N个业务，或者说公网的N个业务，通过NMS对NPN的UPF网元可信认证，使得N个业务能够被NPN中可信的UPF网元承载，用以实现公网的业务能够通过公网与私网（NPN）的融合来被私网承载，从而使得业务的部署能够更灵活。此外，由于NPN中用于承载公网的N个业务的UPF网元都是可信的，还可以保证数据传输的安全，避免出现安全风险。

附图说明

图1为5G系统的架构示意图；

图2为本申请实施例提供的一种通信系统的架构示意图；

图3为本申请实施例提供的一种基于可信网络的工业物联网控制方法的流程图；

图4为本申请实施例提供的一种电子设备的结构示意图。

具体实施方式

1、第五代（5th generation，5G）移动通信系统：

图1为5G系统的架构示意图，如图1所示，5G系统包括：接入网（access network，AN）和核心网（core network，CN），还可以包括：终端。

上述终端可以为具有收发功能的终端，或为可设置于该终端的芯片或芯片系统。该终端也可以称为用户装置（uesr equipment，UE）、接入终端、用户单元（subscriberunit）、用户站、移动站（mobile station，MS）、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。本申请的实施例中的终端可以是手机（mobile phone）、蜂窝电话（cellular phone）、智能电话（smart phone）、平板电脑（Pad）、无线数据卡、个人数字助理电脑（personal digital assistant，PDA）、无线调制解调器（modem）、手持设备（handset）、膝上型电脑（laptop computer）、机器类型通信（machinetype communication，MTC）终端、带无线收发功能的电脑、虚拟现实（virtual reality，VR）终端、增强现实（augmented reality，AR）终端、工业控制（industrial control）中的无线终端、无人驾驶（self driving）中的无线终端、远程医疗（remote medical）中的无线终端、智能电网（smart grid）中的无线终端、运输安全（transportation safety）中的无线终端、智慧城市（smart city）中的无线终端、智慧家庭（smart home）中的无线终端、车载终端、具有终端功能的路边单元（road side unit，RSU）等。本申请的终端还可以是作为一个或多个部件或者单元而内置于车辆的车载模块、车载模组、车载部件、车载芯片或者车载单元。

上述AN用于实现接入有关的功能，可以为特定区域的授权用户提供入网功能，并能够根据用户的级别，业务的需求等确定不同质量的传输链路以传输用户数据。AN在终端与CN之间转发控制信号和用户数据。AN可以包括：接入网元，也可以称为无线接入网元（radio access network，RAN）设备。

RAN设备可以是为终端提供接入的设备。例如，RAN设备可以包括：RAN设备也可以包括5G，如新空口（new radio，NR）系统中的gNB，或，5G中的基站的一个或一组（包括多个天线面板）天线面板，或者，还可以为构成gNB、传输点（transmission and reception point，TRP或者transmission point，TP）或传输测量功能（transmission measurementfunction，TMF）的网络节点，如基带单元（building base band unit，BBU），或，集中单元（centralized unit，CU）或分布单元（distributed unit，DU）、具有基站功能的RSU，或者有线接入网关，或者5G的核心网网元。或者，RAN设备还可以包括无线保真（wirelessfidelity，WiFi）系统中的接入点（access point，AP），无线中继节点、无线回传节点、各种形式的宏基站、微基站（也称为小站）、中继站、接入点、可穿戴设备、车载设备等等。或者，RAN设备可以也可以包括下一代移动通信系统，例如6G的接入网元，例如6G基站，或者在下一代移动通信系统中，该网络设备也可以有其他命名方式，其均涵盖在本申请实施例的保护范围以内，本申请对此不做任何限定。

CN主要负责维护移动网络的签约数据，为终端提供会话管理、移动性管理、策略管理以及安全认证等功能。CN主要包括如下网元：用户面功能（user plane function，UPF）网元、认证服务功能（authentication server function，AUSF）网元、接入和移动性管理功能（access and mobility management function，AMF）网元、会话管理功能（sessionmanagement function，SMF）网元、网络切片选择功能（network slice selectionfunction，NSSF）网元、网络开放功能（network exposure function，NEF）网元、网络功能仓储功能（NF repository function，NRF）网元、策略控制功能（policy control function，PCF）网元、统一数据管理（unified data management，UDM）网元、应用功能（applicationfunction，AF）网元、以及网络切片和独立非公共网络（standalone non-public network，SNPN）的鉴权授权功能（network slice-specific and SNPN authentication andauthorization function，NSSAAF）网元。

其中，UPF网元主要负责用户数据处理（转发、接收、计费等）。例如，UPF网元可以接收来自数据网络（data network，DN）的用户数据，通过接入网元向终端转发该用户数据。UPF网元也可以通过接入网元接收来自终端的用户数据，并向DN转发该用户数据。DN网元指的是为用户提供数据传输服务的运营商网络。例如网际互连协议（internet protocol，IP）多媒体业务（IP multi-media srvice，IMS）、互联网（internet）等。

AUSF网元可用于执行终端的安全认证。

AMF网元主要负责移动网络中的移动性管理。例如用户位置更新、用户注册网络、用户切换等。

SMF网元主要负责移动网络中的会话管理。例如会话建立、修改、释放。具体功能例如为用户分配互联网协议（internet protocol，IP）地址，选择提供报文转发功能的UPF等。

PCF网元主要支持提供统一的策略框架来控制网络行为，提供策略规则给控制层网络功能，同时负责获取与策略决策相关的用户签约信息。PCF网元可以向AMF网元、SMF网元提供策略，例如服务质量（quality of service，QoS）策略、切片选择策略等。

NSSF网元可用于为终端选择网络切片。

NEF网元可用于支持能力和事件的开放。

UDM网元可用于存储用户数据，例如签约数据、鉴权/授权数据等。

AF网元主要支持与CN交互来提供服务，例如影响数据路由决策、策略控制功能或者向网络侧提供第三方的一些服务。

在本发明实施例中，“指示”可以包括直接指示和间接指示，也可以包括显式指示和隐式指示。将某一信息所指示的信息称为待指示信息，则具体实现过程中，对待指示信息进行指示的方式有很多种，例如但不限于，可以直接指示待指示信息，如待指示信息本身或者该待指示信息的索引等。也可以通过指示其他信息来间接指示待指示信息，其中该其他信息与待指示信息之间存在关联关系。还可以仅仅指示待指示信息的一部分，而待指示信息的其他部分则是已知的或者提前约定的。例如，还可以借助预先约定(例如协议规定)的各个信息的排列顺序来实现对特定信息的指示，从而在一定程度上降低指示开销。同时，还可以识别各个信息的通用部分并统一指示，以降低单独指示同样的信息而带来的指示开销。

此外，具体的指示方式还可以是现有各种指示方式，例如但不限于，上述指示方式及其各种组合等。各种指示方式的具体细节可以参考现有技术，本文不再赘述。由上文所述可知，举例来说，当需要指示相同类型的多个信息时，可能会出现不同信息的指示方式不相同的情形。具体实现过程中，可以根据具体的需要选择所需的指示方式，本发明实施例对选择的指示方式不做限定，如此一来，本发明实施例涉及的指示方式应理解为涵盖可以使得待指示方获知待指示信息的各种方法。

应理解，待指示信息可以作为一个整体一起发送，也可以分成多个子信息分开发送，而且这些子信息的发送周期和/或发送时机可以相同，也可以不同。具体发送方法本发明实施例不进行限定。其中，这些子信息的发送周期和/或发送时机可以是预先定义的，例如根据协议预先定义的，也可以是发送端设备通过向接收端设备发送配置信息来配置的。

“预先定义”或“预先配置”可以通过在设备中预先保存相应的代码、表格或其他可用于指示相关信息的方式来实现，本发明实施例对于其具体的实现方式不做限定。其中，“保存”可以是指，保存在一个或者多个存储器中。所述一个或者多个存储器可以是单独的设置，也可以是集成在编码器或者译码器，处理器、或电子设备中。所述一个或者多个存储器也可以是一部分单独设置，一部分集成在译码器、处理器、或电子设备中。存储器的类型可以是任意形式的存储介质，本发明实施例并不对此限定。

本发明实施例中涉及的“协议”可以是指通信领域中协议族、类似协议族帧结构的标准协议、或者应用于未来的物联网设备的可靠接入方法系统中的相关协议，本发明实施例对此不作具体限定。

本发明实施例中，“当……时”、“在……的情况下”、“若”以及“如果”等描述均指在某种客观情况下设备会做出相应的处理，并非是限定时间，且也不要求设备在实现时一定要有判断的动作，也不意味着存在其它限定。

在本发明实施例的描述中，除非另有说明，“/”表示前后关联的对象是一种“或”的关系，例如，A/B可以表示A或B；本发明实施例中的“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况，其中A、B可以是单数或者复数。并且，在本发明实施例的描述中，除非另有说明，“多个”是指两个或多于两个。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项（个）或复数项（个）的任意组合。例如，a、b或c中的至少一项（个），可以表示：a，b，c，a-b，a-c，b-c，或a-b-c，其中a，b，c可以是单个，也可以是多个。另外，为了便于清楚描述本发明实施例的技术方案，在本发明的实施例中，采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定，并且“第一”、“第二”等字样也并不限定一定不同。同时，在本发明实施例中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本发明实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念，便于理解。

本发明实施例描述的网络架构以及业务场景是为了更加清楚的说明本发明实施例的技术方案，并不构成对于本发明实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本发明实施例提供的技术方案对于类似的技术问题，同样适用。

下面将结合附图，对本申请中的技术方案进行描述。

请参阅图2，本申请实施例提供了一种通信系统，该通信系统可以包括：网络管理系统(Network Management System，NMS)和NPN。

NMS是一种结合硬件和软件用来监测和管理网络的系统。NMS的五大功能包括告警，性能，配置，安全，计费。它可以对整个网络、服务器以及业务系统的运行的状态、事件、故障、性能等进行全面监控。NMS是一个操作维护中心，负责无线接入系统的设备故障诊断和操作维修、网络操作与网络管理，为网络管理与规划提供数据及统计。NMS通过简单网络管理协议 (Simple Network Management Protocol，SNMP)与被管理的设备进行通信。NMS能够实现跨越管理，如对公网和私网中的网元/网络本身都进行管理。

NPN是指局域网，如数据不出园区的网络，只有属于局域网内部的成员，才可以访问。私网地址产生的一个原因是因为公网地址非常缺乏，大家不得不使用同一个公互联网协议(IP)地址上网，这就是共享上网的由来。

下面将结合方法，对上述通信系统中NMS和NPN的交互进行详细说明。

请参阅图3，本申请实施例提供了一种基于可信网络的工业物联网控制方法。该方法可以适用于NMS和NPN之间的通信。该方法的流程包括：

S301，NMS接收来自应用服务器(Application Service，AS)的服务订阅消息。

其中，服务订阅消息用于订阅NMS对业务组进行用户面配置。业务组包括由AS向公网的工业物联网提供的N个业务，N为大于1的整数。例如，服务订阅消息可以包括如下至少一项信息：AS的标识、业务组的标识（AS为业务组分配的，且是AS与NMS实现对齐的）、N个业务各自的标识（如N个业务各自的流描述信息）、或指示信元（新定义的信元）。其中，指示信元用于请求对业务进行用户面配置，如此，上述的至少一项信息用于联合起来指示NMS对业务组进行用户面配置。

此外，服务订阅消息还可以包括业务组的适用范围信息和AS的位置信息。其中，业务组的适用范围信息可以是业务组粒度的信息，用以指示N个业务在业务组的适用范围信息指示的区域范围内都适用。业务组的适用范围信息具体可以为区域范围的经纬度信息。AS的位置信息可以用于指示AS的经纬度坐标位置。

服务订阅消息可以是已有消息，或者新定义的消息，对此不做限定。

S302，在业务组需要由NPN承载的情况下，NMS对NPN中的UPF网元进行可信验证，得到可信验证结果。

其中，业务组需要由私有网络NPN承载是指：NMS可以根据业务组的适用范围信息和AS的位置信息，确定业务组的数据由AS传输到区域范围的路径需要经过NPN，从而确定业务组需要由NPN承载。如此，NMS可以对NPN中的用户面功能UPF网元进行可信验证，得到可信验证结果，具体如下：

NMS可以根据NPN中的UPF网元的位置以及AS的位置，将与AS的距离小于预设阈值的UPF网元确定为待选UPF网元集合，待选UPF网元集合包括至少一个UPF网元。NMS对待选UPF网元集合中的每个UPF网元进行可信验证，得到可信验证结果。其中，可信验证结果用于指示待选UPF网元集合中每个UPF网元的可信级别，若一个UPF网元的可信级别越高，则表示该UPF网元越被NMS信任，也表示该UPF网元的安全风险越小，待选UPF网元集合中可信级别大于预设级别阈值的UPF网元为可信的UPF网元。例如，可信级别包括1级、2级、直至10级，预设级别阈值为5级，即超过5级的UPF网元为可信的UPF网元。

在一种可能的实现中，NMS可以对待选UPF网元集合中的每个UPF网元进行可信验证，得到可信验证结果，包括：NMS可以根据从NPN获取的待选UPF网元集合中的每个UPF网元的标识，在NMS本地获取待选UPF网元集合中的每个UPF网元预配置在NMS本地安全凭证。

其中，待选UPF网元集合中的每个UPF网元的安全凭证用于指示该UPF网元的可信级别。NPN中一个UPF网元的安全凭证是NMS事先根据NPN上报的该UPF网元的硬件资源类型、用户面数据量、以及上报用户面数据异常的次数确定。NPN中一个UPF网元的硬件资源类型为独享硬件资源比该UPF网元的硬件类型为共享硬件资源所对应的可信得分更高，若NPN中一个UPF网元的用户面数据量越大，则该UPF网元的用户面数据所对应的可信得分越高，若NPN中一个UPF网元上报用户面数据异常的次数越少，则该UPF网元上报用户面数据异常的次数所对应的可信得分越高。若NPN中一个UPF网元的硬件资源类型所对应的可信得分、用户面数据量所对应的可信得分、以及上报用户面数据异常的次数所对应的可信得分之和越高，则该UPF网元的可信级别越高，具体求和分数与可信级别的对应关系可以根据实际情况设置，对此不做限定。

S303，NMS根据可信验证结果，对NPN中可信的UPF网元进行针对业务组的用户面配置。

其中，对可信的UPF网元进行针对业务组的用户面配置是用以可信的UPF网元能承载业务组的用户面数据。

首先，NMS可以根据N个业务各自的标识，从运营商网络中的策略控制功能PCF网元获取N个业务各自的策略与计费规则PCC规则。其中，运营商网络是N个业务签约的运营商网络。N个业务中每个业务的PCC规则都对应包含该业务的用户面配置，该业务的用户面配置至少包括该业务的包过滤规则、服务质量QoS流的保障方式，该QoS流的保障方式包括保证流比特率GFBR和最大流比特率MFBR。

然后，NMS可以将N个业务各自映射到可信的UPF网元中对应的一个UPF网元。其中，可信的UPF网元中可信级别越高的UPF网元越需要优先被N个业务中的业务映射。可选地，服务订阅消息还可以包括N个业务之间的优先级关系，N个业务之间的优先级关系用于指示N个业务中优先级越高的业务越需要被优先映射到可信的UPF网元中可信级别越高的UPF网元。例如，按业务的优先级从高到低依次为：业务#1、业务#2、业务#3、业务#4。可信的UPF网元包括按可信级别从高到低依次为：UPF网元#1、UPF网元#2、UPF网元#3、UPF网元#4。NMS将业务#1映射到UPF网元#1，若此时UPF网元#1为业务#1分配预设负载之后，UPF网元#1所剩余的负载还足够映射业务#2，则NMS向将业务#2也映射到UPF网元#1，此时，UPF网元#1的负载达到上限。然后，NMS将业务#3映射到UPF网元#2，此时，UPF网元#2的负载达到上限。最后，NMS将业务#4映射到UPF网元#3，UPF网元#4未参与映射。

最后，NMS可以根据N个业务中每个业务映射到的一个UPF网元的地址，将N个业务中每个业务的用户面配置发送给该业务映射到的一个UPF网元。其中，UPF网元的地址预配置在NMS本地，由NMS根据从NPN获取的UPF网元的标识，在NMS本地获取UPF网元的标识对应的UPF网元的地址。

在NMS根据可信验证结果，对NPN中可信的UPF网元进行针对业务组的用户面配置之后，该方法还包括：NMS向AS发送针对服务订阅消息的服务订阅响应消息，其中，服务订阅响应消息用于指示用户面配置成功，具体的，服务订阅响应消息的消息类型用于指示用户面配置成功，或者，服务订阅响应消息携带有结果信元，结果信元用于指示用户面配置成功。此外，服务订阅响应消息还可以携带有N个业务各自的标识与N个UPF网元的地址的一一对应关系，共N个对应关系，其中，N个对应关系中的每个对应关系用于指示N个业务中对应的一个业务的协议数据单元PDU会话锚点为该业务对应的UPF网元，也即，该业务映射到的一个UPF网元，或者说该UPF网元是为该业务进行了用户面配置的网元，用以AS根据每个UPF网元的地址向该UPF网元发送该UPF网元对应的一个业务的数据流。

综上，上述方法具有如下技术效果：

针对AS为公共的工业物联网提供的业务组，如N个业务，或者说公网的N个业务，通过NMS对NPN的UPF网元可信认证，使得N个业务能够被NPN中可信的UPF网元承载，用以实现公网的业务能够通过公网与私网（NPN）的融合来被私网承载，从而使得业务的部署能够更灵活。此外，由于NPN中用于承载公网的N个业务的UPF网元都是可信的，还可以保证数据传输的安全，避免出现安全风险。

以上结合图3详细说明了本申请实施例提供的方法。以下介绍用于执行本申请实施例提供的方法的装置。

该装置应用于网络管理系统NMS，该装置被配置为：NMS接收来自应用服务器AS的服务订阅消息，其中，服务订阅消息用于订阅NMS对业务组进行用户面配置，业务组包括由AS向公网的工业物联网提供的N个业务，N为大于1的整数；在业务组需要由私有网络NPN承载的情况下，NMS对NPN中的用户面功能UPF网元进行可信验证，得到可信验证结果；NMS根据可信验证结果，对NPN中可信的UPF网元进行针对业务组的用户面配置，其中，对可信的UPF网元进行针对业务组的用户面配置是用以可信的UPF网元能承载业务组的用户面数据。

可选地，服务订阅消息包括如下至少一项信息：AS的标识、述业务组的标识、N个业务各自的标识、或指示信元，其中，指示信元用于请求对业务进行用户面配置，至少一项信息用于联合起来指示NMS对业务组进行用户面配置。

可选地，服务订阅消息还包括业务组的适用范围信息和AS的位置信息，其中，业务组的适用范围信息是业务组粒度的信息，用以指示N个业务在业务组的适用范围信息指示的区域范围内都适用，业务组的适用范围信息具体为区域范围的经纬度信息，AS的位置信息用于指示AS的经纬度坐标位置。

可选地，业务组需要由私有网络NPN承载是指：NMS根据业务组的适用范围信息和AS的位置信息，确定业务组的数据由AS传输到区域范围的路径需要经过NPN，从而确定业务组需要由NPN承载。

可选地，该装置被配置为：NMS根据NPN中的UPF网元的位置以及AS的位置，将与AS的距离小于预设阈值的UPF网元确定为待选UPF网元集合，待选UPF网元集合包括至少一个UPF网元；NMS对待选UPF网元集合中的每个UPF网元进行可信验证，得到可信验证结果，其中，可信验证结果用于指示待选UPF网元集合中每个UPF网元的可信级别，若一个UPF网元的可信级别越高，则表示该UPF网元越被NMS信任，也表示该UPF网元的安全风险越小，待选UPF网元集合中可信级别大于预设级别阈值的UPF网元为可信的UPF网元。

可选地，该装置被配置为：NMS根据从NPN获取的待选UPF网元集合中的每个UPF网元的标识，在NMS本地获取待选UPF网元集合中的每个UPF网元预配置在NMS本地安全凭证，其中，待选UPF网元集合中的每个UPF网元的安全凭证用于指示该UPF网元的可信级别；其中，NPN中一个UPF网元的安全凭证是NMS事先根据NPN上报的该UPF网元的硬件资源类型、用户面数据量、以及上报用户面数据异常的次数确定；NPN中一个UPF网元的硬件资源类型为独享硬件资源比该UPF网元的硬件类型为共享硬件资源所对应的可信得分更高，若NPN中一个UPF网元的用户面数据量越大，则该UPF网元的用户面数据所对应的可信得分越高，若NPN中一个UPF网元上报用户面数据异常的次数越少，则该UPF网元上报用户面数据异常的次数所对应的可信得分越高，若NPN中一个UPF网元的硬件资源类型所对应的可信得分、用户面数据量所对应的可信得分、以及上报用户面数据异常的次数所对应的可信得分之和越高，则该UPF网元的可信级别越高。

可选地，该装置被配置为：NMS根据N个业务各自的标识，从运营商网络中的策略控制功能PCF网元获取N个业务各自的策略与计费规则PCC规则，其中，运营商网络是N个业务签约的运营商网络；N个业务中每个业务的PCC规则都对应包含该业务的用户面配置，该业务的用户面配置至少包括该业务的包过滤规则、服务质量QoS流的保障方式，QoS流的保障方式包括保证流比特率GFBR和最大流比特率MFBR；NMS将N个业务各自映射到可信的UPF网元中对应的一个UPF网元，其中，可信的UPF网元中可信级别越高的UPF网元越需要优先被N个业务中的业务映射；NMS根据N个业务中每个业务映射到的一个UPF网元的地址，将N个业务中每个业务的用户面配置发送给该业务映射到的一个UPF网元；其中，UPF网元的地址预配置在NMS本地，由NMS根据从NPN获取的UPF网元的标识，在NMS本地获取UPF网元的标识对应的UPF网元的地址。

可选地，服务订阅消息还包括N个业务之间的优先级关系，N个业务之间的优先级关系用于指示N个业务中优先级越高的业务越需要被优先映射到可信的UPF网元中可信级别越高的UPF网元。

可选地，该装置被配置为：在NMS根据可信验证结果，对NPN中可信的UPF网元进行针对业务组的用户面配置之后，NMS向AS发送针对服务订阅消息的服务订阅响应消息，其中，服务订阅响应消息用于指示用户面配置成功，具体的，服务订阅响应消息的消息类型用于指示用户面配置成功，或者，服务订阅响应消息携带有结果信元，结果信元用于指示用户面配置成功。

可选地，服务订阅响应消息还携带有N个业务各自的标识与N个UPF网元的地址的一一对应关系，共N个对应关系，其中，N个对应关系中的每个对应关系用于指示N个业务中对应的一个业务的协议数据单元PDU会话锚点为该业务对应的UPF网元，或者说该UPF网元是为该业务进行了用户面配置的网元，用以AS根据每个UPF网元的地址向该UPF网元发送该UPF网元对应的一个业务的数据流。

下面结合图4对电子设备500的各个构成部件进行具体的介绍：

其中，处理器501是电子设备500的控制中心，可以是一个处理器，也可以是多个处理元件的统称。例如，处理器501是一个或多个中央处理器（central processing unit，CPU），也可以是特定集成电路（application specific integrated circuit，ASIC），或者是被配置成实施本申请实施例的一个或多个集成电路，例如：一个或多个微处理器（digital signal processor，DSP），或，一个或者多个现场可编程门阵列（fieldprogrammable gate array，FPGA）。

可选地，处理器501可以通过运行或执行存储在存储器502内的软件程序，以及调用存储在存储器502内的数据，执行电子设备500的各种功能，如上述图3所示的方法中的功能。

在具体的实现中，作为一种实施例，处理器501可以包括一个或多个CPU，例如图4中所示出的CPU0和CPU1。

在具体实现中，作为一种实施例，电子设备500也可以包括多个处理器。这些处理器中的每一个可以是一个单核处理器（single-CPU），也可以是一个多核处理器（multi-CPU）。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据（例如计算机程序指令）的处理核。

其中，存储器502用于存储执行本申请方案的软件程序，并由处理器501来控制执行，具体实现方式可以参考上述方法实施例，此处不再赘述。

可选地，存储器502可以是只读存储器（read-only memory，ROM）或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器（random access memory，RAM）或

可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器（electrically erasable programmable read-only memory，EEPROM）、只读光盘（compact disc read-only memory，CD-ROM）或其他光盘存储、光碟存储（包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等）、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器502可以和处理器501集成在一起，也可以独立存在，并电子设备500

的接口电路（图4中未示出）与处理器501耦合，本申请实施例对此不作具体限定。

收发器503，用于与其他装置之间的通信。例如，基于多波束的定位装置为终端，收发器503可以用于与网络设备通信，或者与另一个终端通信。

可选地，收发器503可以包括接收器和发送器（图4中未单独示出）。其中，接收器用于实现接收功能，发送器用于实现发送功能。

可选地，收发器503可以和处理器501集成在一起，也可以独立存在，并通过电子设备500的接口电路（图4中未示出）与处理器501耦合，本申请实施例对此不作具体限定。

需要说明的是，图4中示出的电子设备500的结构并不构成对该装置的限定，实际的电子设备500可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

此外，基于电子设备500的技术效果可以参考上述方法实施例的方法的技术效果，此处不再赘述。

应理解，在本申请实施例中的处理器可以是中央处理单元（central processingunit，CPU），该处理器还可以是其他通用处理器、数字信号处理器（digital signalprocessor，DSP）、专用集成电路（application specific integrated circuit，ASIC）、现成可编程门阵列（field programmable gate array，FPGA）或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

还应理解，本申请实施例中的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器（read-only memory，ROM）、可编程只读存储器（programmable ROM，PROM）、可擦除可编程只读存储器（erasable PROM，EPROM）、电可擦除可编程只读存储器（electrically EPROM，EEPROM）或闪存。易失性存储器可以是随机存取存储器（random access memory，RAM），其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的随机存取存储器（random accessmemory，RAM）可用，例如静态随机存取存储器（static RAM，SRAM）、动态随机存取存储器（DRAM）、同步动态随机存取存储器（synchronous DRAM，SDRAM）、双倍数据速率同步动态随机存取存储器（double data rate SDRAM，DDR SDRAM）、增强型同步动态随机存取存储器（enhanced SDRAM，ESDRAM）、同步连接动态随机存取存储器（synchlink DRAM，SLDRAM）和直接内存总线随机存取存储器（direct rambus RAM，DR RAM）。

上述实施例，可以全部或部分地通过软件、硬件（如电路）、固件或其他任意组合来实现。当使用软件实现时，上述实施例可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机指令或计算机程序。在计算机上加载或执行计算机指令或计算机程序时，全部或部分地产生按照本申请实施例的流程或功能。计算机可以为通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线（例如红外、无线、微波等）方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集合的服务器、数据中心等数据存储设备。可用介质可以是磁性介质（例如，软盘、硬盘、磁带）、光介质（例如，DVD）、或者半导体介质。半导体介质可以是固态硬盘。

应理解，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况，其中A,B可以是单数或者复数。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系，但也可能表示的是一种“和/或”的关系，具体可参考前后文进行理解。

本申请中，“至少一个”是指一个或者多个，“多个”是指两个或两个以上。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项（个）或复数项（个）的任意组合。例如，a,b,或c中的至少一项（个），可以表示：a, b, c, a-b, a-c, b-c, 或a-b-c，其中a,b,c可以是单个，也可以是多个。

应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征字段可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器（read-only memory，ROM）、随机存取存储器（random access memory，RAM）、磁碟或者光盘等各种可以存储程序代码的介质。

以上，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以权利要求的保护范围为准。