用于在通信网络中管理受损通信装置的方法和设备与流程

1.本发明涉及通信网络，并且具体地涉及在通信网络中管理受损通信装置。


背景技术：

[0002]“通信装置”或“装置”是可操作以接入通信网络的任何通信设备，其中非限制性示例是具有无线电通信接口的物联网（iot）装置，该无线电通信接口可操作以接入通信网络的无线电接入网（ran）部分，以便可通信地耦合到经由该通信网络可接入的应用服务器（as）。此类装置可称为“用户设备”或ue，以将它们标识为通信网络的“用户”，而不是属于网络基础设施的设备。在此上下文中的“用户”不一定暗示或要求ue的人工使用，并且在许多情况下，所讨论的ue是机器类型通信（mtc）装置或iot装置。
[0003]
特别关注的领域包括窄带iot（nb-iot）装置和m1类mtc装置。nb-iot支持具有非常窄的带宽（即，200khz）的超低复杂度装置。由于窄带宽的缘故，对nb-iot而言，数据速率峰值为大约每秒250kbs，然而，一个关键优势是nb-iot载波可以被部署在否则不会被使用的频谱中，诸如在lte载波的保护频带内。cat-m1装置以更高的带宽（例如，以1.4mhz带宽）操作，并且通常具有比nb-iot装置更高的复杂度。参阅第三代合作伙伴项目（3gpp）技术规范（ts）22.368 v15.0.0（2019-07-04），例如有关iot装置的信息。
[0004]
鉴于基于第五代（5g）新空口（nr）规范的网络所提供的新能力和用例，网络运营商期望为多种多样的应用大规模部署通信装置，这些应用包括公用事业的智能计量、安全和监控、过程控制、车辆对车辆（v2v）通信和车辆对一切（v2x）通信，诸如用于智能交通管理和自主驾驶中。
[0005]
举例来说，一家公用事业公司安装了数以千计的智能计量表，用于计量电、水或另一种分布式消耗品，其中每个计量表包含使用通信网络以与公用事业公司控制的应用服务器（as）通信的嵌入式通信装置。通信网络例如是无线通信网络，诸如基于3gpp发布的5g/nr规范（诸如ts 38.300 v15.7.0（2019-09-26））的蜂窝通信网络。嵌入式通信装置中的每一个与授权该通信装置接入无线通信网络的预订或其它凭证相关联。而且，当然，可能存在多个其它的第三方公司也使用通信网络与其它部署的通信装置的集合连接。更进一步，通信网络可支持许多单独的订户，诸如为了一系列数据服务而使用智能电话或其它个人移动装置的移动宽带客户。
[0006]“网络切片化”表示一种用于使用分隔的网络资源来支持不同类型的通信装置或不同类型的通信服务的快速发展的技术。“网络切片”是在共享的物理网络基础设施上实例化的分开的“逻辑网络”，其中逻辑网络使用网络功能虚拟化（nfv）和软件定义网络（sdn）技术来实现。通过使用网络切片，通信网络提供多个不同的逻辑网络，例如，其中每个逻辑网络支持不同的用户组或用户类型。例如，可针对不同类型的通信服务定义不同的网络切片或切片组，其中每个切片则被配置用于适用的服务参数，诸如服务质量（qos）要求、与服务水平协定（sla）相关联的性能度量等。
[0007]
然而，由于这种通信网络所支持的潜在地大量的通信装置，装置不当行为的可能
性成为严重的忧虑。考虑一个示例情况，其中恶意的或有缺陷的软件增加大量已部署通信装置的传输速率或传输大小。作为具体的场景，某种类型的iot装置可被大量部署，用于不频繁地（例如，每天）报告少量收集的数据。就在装置中有缺陷或恶意更改的软件促使它们更频繁地通信或发送超过正常量的数据来说，网络处于拥塞或甚至停机的风险中。


技术实现要素：

[0008]
通信网络在潜在地大量的物联网（iot）装置和/或其它类型的通信装置与附属于通信装置中的相应通信装置的一个或多个应用服务器（as）之间提供通信耦合。通信网络中的一个或多个网络功能可操作以确定通信装置中的任何给定一个通信装置受损，或者多个此类装置受损，并且在网络内作为“受损”装置对此类装置提供管理。受损装置管理的方面包括强制重新注册此类装置，以将它们隔离在一个或多个隔离网络切片中，以及在修复损坏后恢复被隔离的装置。恢复操作包括强制重新注册正被恢复的装置，以迁回它们的（一个或多个）正常或常规网络切片。
[0009]
一个实施例限定一种在通信网络中管理受损装置的方法。在通信网络中实现网络开放功能（nef）的一个或多个网络节点执行该方法，该方法包括与应用服务器（as）可通信地耦合，as支持通信装置所使用的一个或多个应用服务，通信装置经由通信网络提供的第一网络切片与as可通信地耦合。此外，该方法包括确定通信装置受损。该确定是基于检测到关于通信装置的装置异常，装置异常是通信装置的异常状态或异常行为，或者该确定是基于接收到从as传入的指示通信装置（12）受损的信令。
[0010]
在任一情况中，该方法包括：响应于确定通信装置受损，发起隔离操作以将通信装置从第一网络切片移动到第二网络切片，以便将通信装置作为受损装置来管理。第二网络切片称为隔离网络切片，并且隔离操作包括向网络切片选择功能（nssf）发送请求以发起通信装置向通信网络的重新注册，以便将通信装置经由隔离网络切片重新连接到通信网络。
[0011]
在另一个示例实施例中，网络节点被配置用于在通信网络中操作，其中该节点包括接口电路和处理电路。接口电路被配置为将网络节点与as可通信地耦合，as支持通信装置所使用的一个或多个应用服务，通信装置经由通信网络提供的第一网络切片与as可通信地耦合。
[0012]
处理电路与接口电路可操作地相关联并且被配置为在通信网络中实现nef，其中nef被配置为确定通信装置受损。例如，该确定是基于nef检测到关于通信装置的装置异常，装置异常是通信装置的异常状态或异常行为，或者该确定是基于nef接收到从as传入的指示通信装置受损的信令。无论哪种方式，nef都被配置为发起隔离操作以将通信装置从第一网络切片移动到第二网络切片，以便将通信装置作为受损装置来管理。第二网络切片称为隔离网络切片，并且nef响应于确定通信装置受损而发起隔离操作。示例隔离操作包括向nssf发送请求以发起通信装置向通信网络的重新注册，以便将通信装置经由隔离网络切片重新连接到通信网络。
[0013]
在另一个示例实施例中，网络节点被配置用于在通信网络中操作，并且它包括在通信网络中可操作为nef的处理模块的集合。该集合包括通信模块，通信模块被配置为将nef与as可通信地耦合，as支持通信装置所使用的一个或多个应用服务，通信装置经由通信网络提供的第一网络切片与as可通信地耦合。此外，该集合包括确定模块，确定模块被配置
为：基于检测到关于通信装置的装置异常，或者基于接收到从as传入的指示通信装置受损的信令，确定通信装置受损，装置异常是通信装置的异常状态或异常行为。更进一步，该集合包括隔离模块，隔离模块被配置为发起隔离操作以将通信装置从第一网络切片移动到第二网络切片，以便将通信装置作为受损装置来管理。第二网络切片称为隔离网络切片，并且隔离模块响应于确定通信装置受损而发起隔离操作。此类操作包括向nssf发送请求以发起通信装置向通信网络的重新注册，以便将通信装置经由隔离网络切片重新连接到通信网络。
[0014]
当然，本发明不限于上述特征和优点。实际上，本领域技术人员在阅读以下详细描述并且在查看附图后，将会认识到附加的特征和优点。
附图说明
[0015]
图1是通信网络的一个实施例的框图。
[0016]
图2a和图2b是用于管理受损通信装置的、在通信网络中实例化的示例网络切片的框图。
[0017]
图3是用于实现通信网络的核心网部分的功能元件中的一个或多个的、一个或多个网络节点的一个实施例的框图。
[0018]
图4-7是在通信网络中管理受损通信装置时直接或间接涉及的某些网络功能的示例实现的框图。
[0019]
图8是由相应网络功能实行的、用于隔离被确定为受损的通信装置的信令和相关操作的一个实施例的信令流程图。
[0020]
图9是由相应网络功能实行的、用于恢复先前被隔离的通信装置的信令和相关操作的一个实施例的信令流程图。
[0021]
图10是在通信网络中作为网络开放功能（nef）操作的网络节点的操作方法的一个实施例的逻辑流程图。
[0022]
图11是可用于向nef提供关于通信网络中通信装置的操作的行为数据或其它信息的分析节点和相关功能的一个实施例的框图。
[0023]
图12和图13是进一步的信令流程图，这些流程图示出与在通信网络中管理受损通信装置的各方面相关联的示例信令流。
具体实施方式
[0024]
图1示出通信网络10（“网络10”），使用与符合第三代合作伙伴项目（3gpp）发布的适用技术规范（ts）的第五代（5g）新空口（nr）无线通信网络相关联的示例命名。例如，参阅3gpp ts 23.501 v16.2.0（2019-09-24）。然而，本文公开的用于管理“受损”通信装置的方法和设备不限于基于5g/nr标准的网络10的实现，并且将会理解，其它网络标准或类型可使用不同的命名来标识相同或相似的底层功能性。
[0025]
虽然为简单起见，该图仅描绘一个通信装置12，但是网络10支持潜在地大量的通信装置12。通信装置12与外部数据网络（dn）16通过网络10可通信地耦合为通信装置12提供对应用服务器（as）14的接入。在示例情况中，as 14属于第三方—并非网络10的所有者/运营商所拥有—并且通信装置12运行一个或多个软件应用，这些软件应用涉及通信装置12和
as 14之间的通信交换。例如，通信装置12是嵌入式通信装置，诸如mtc或iot装置，其执行监控或控制，并且与as 14交换相关数据和控制信令。可能存在许多这样的由网络10支持的通信装置12，并且大量的通信装置12可涉及不同类型的装置和不同类型的通信服务。
[0026]
对应地，网络10可通过相同或附加的dn 16耦合到附加的as 14。例如，可存在多个第三方，每个第三方提供一个或多个as 14，并且每个第三方部署潜在地大的通信装置12的组或集合，这些装置12有凭证或以其它方式被授权通过网络10接入它们的相应as 14。因此，一个或多个操作场景中的网络10支持不同组或不同种类的通信装置12，诸如多个组或多个种类的iot装置。
[0027]
在其构成部件或部分当中，网络10包括核心网（cn）18和无线电接入网（ran）20，其中ran 20提供用于连接到相应通信装置12的无线电链路。ran 20包括多个接入点，诸如基站或其它类型的无线电收发器节点。在5g/nr上下文中，术语“gnb”表示无线电基站，并且示例ran 20包括一个或多个gnb 22。
[0028]
cn 18包括一个或多个网络开放功能（nef）30、一个或多个网络切片选择功能（nssf）32、一个或多个接入和移动性管理功能（amf）34、一个或多个用户平面功能（upf）36、一个或多个统一数据管理（udm）38、一个或多个应用功能（af）40、一个或多个策略和控制功能（pcf）42、一个或多个网络存储库功能（nrf）44、一个或多个会话管理功能（smf）46、以及一个或多个认证服务器功能（ausf）48。一个或多个网络节点24实现前述这批功能，例如，一个或多个适当配置的计算机服务器或者具有用于功能间通信的接口电路的其它基于计算机的处理节点。
[0029]
前述功能中的至少一些功能的操作细节不与本文设想的用于管理受损通信装置的方法和设备直接密切相关，但是在3gpp ts 23.501中详细说明了一般化的操作。本文中，“受损”通信装置是被标识为与装置异常相关联的通信装置12。
[0030]“装置异常”是通信装置12的异常状态或异常行为，其在它背离预期状态或行为的意义上是“异常的”。术语“受损”因此反映了“认定的”或“逻辑的”状态或质量，其中网络10很可能、但不一定明确知道通信装置12操作不正确或被滥用。虽然术语“受损”涵盖由病毒、恶意软件或装置软件的其它恶意更改引起的装置行为，但是它更广泛地指代被检测到或标识为具有异常配置或表现出异常行为的任何通信装置12。例如，给定的通信装置12可能具有潜伏的硬件或软件错误，该错误导致它在其初始部署之后的某个时间误动作。
[0031]
行为异常的示例包括偏离用户平面或控制平面活动的历史或特征模式。这样的通信装置12也可称为表现出“反常”行为。在一个或多个示例实施例中，或者在至少一个操作场景中，通信装置12具有“预期”状态或行为，这是基于网络10存储为通信装置12收集的定义预期状态或行为的历史信息。附加地或备选地，网络10存储定义给定通信装置12、通信装置12的给定组、或者通信装置12的给定类型、类或类别的预期状态或行为的配置信息。
[0032]
在针对图1的cn 18示出的功能当中，有几个特别令人关注，包括（一个或多个）nef 30。在第四代（4g）网络上下文中，nef 30的至少一些功能性是经由服务能力开放功能（scef）实现的，并且应当理解，除非另有说明，否则本文对“nef”的任何提及都涵盖scef。尤其是，scef通过允许在控制平面信令中运送少量数据（这允许了来自iot/mtc装置的小业务突发经由控制平面连接来递送，而不是为每个这样的突发建立用户平面连接），为在4g上下文中使用iot/mtc装置提供了优势。
[0033]
在5g/nr上下文中，nef 30提供一种用于对外部系统和服务开放网络能力和网络事件（诸如在网络10内涉及特定通信装置12的操作的事件）的机制，同时维护网络安全。nef 30还提供来自外部应用的信息的安全供应，以及在网络10和外部系统（诸如图1中描绘的as 14）之间转译信息。有关nef 30和iot上下文的令人关注的3gpp文档包括ts 23.724、tr 23.791、ts 29.122和ts 29.522。
[0034]
在本文设想的各种技术当中，nef 30执行用于管理网络10内的受损通信装置12的操作。例如，nef 30执行导致受损通信装置12从“正常”或“常规”网络切片移动到“隔离”网络切片的操作。图2a和图2b一起示出通信装置12从常规切片到隔离切片的迁移，要理解，迁移响应于确定通信装置12受损而发生。
[0035]
网络10提供例如正常或常规网络切片50（例如，常规网络切片50-1、50-2等）的组或集合52。除非为清楚起见需要加后缀，否则没有加后缀的参考数字“50”指代任何给定的一个或多个常规网络切片。类似地，本文中其它参考数字加后缀仅在有助于上下文区分之处出现。此外，词语“正常”和“常规”具有它们的普通含义，并且正常或常规网络切片50可以被理解为被提供或建立以用于向一个或多个通信装置12或者针对通信装置12的一个或多个组、类型或类别提供连接性和通信服务。例如，不同的常规网络切片50可对应于不同的服务水平协定（sla）或其它商业协定、或者不同的服务质量（qos）要求、或者不同种类的通信服务、或者不同的as 14、或者不同的数据网络名称（dnn）、或者任何此类参数的不同组合。
[0036]
常规网络切片50的适用说明是：作为一般提议，它们用于未受损的通信装置12－即，尚未被网络10确定为受损的通信装置12。对应地，网络10可提供或以其它方式定义一个或多个附加网络切片54（称为一个或多个“隔离”网络切片54）。例如，网络10定义隔离切片54（例如，隔离网络切片54-1、54-2等）的组或集合56。
[0037]
常规网络切片50和隔离网络切片54之间可能存在对应关系。例如，对于特定于特定通信装置12或者特定于通信装置12的特定组、类型或类别的每个常规网络切片50，可存在对应的隔离切片54。这样的布置构成了常规切片50和隔离切片54之间的一对一映射。设想其它布置，诸如多对一映射，其中多个常规网络切片50映射到一个隔离网络切片54。而且，当然，关于常规网络切片50或隔离网络切片54或两者，网络切片实例化可以是按需的。例如，网络10可实例化新的常规网络切片50以控制在任何给定常规网络切片50中所服务的通信装置12的数量，并且类似地，可依据正在隔离中操作的通信装置12的数量来控制被实例化的隔离网络切片54的数量。
[0038]
为了更多地了解网络10如何在切片化网络上下文中管理受损通信装置12，图3描绘了一个或多个网络节点24，例如，24-1、24-2、24-3等等，它们被用来实现网络10的cn 18。cn 18中可存在任何数量的网络节点24以及它们之间的网络互连，而且，虽然参考数字“24”被用作cn 18中任何给定网络节点的公共标识符，但是cn 18中的不同节点可具有不同的实现细节，包括处理架构和功率的差异，输入/输出接口的差异等。此外，除非另有说明，否则对单数的网络节点24的任何提及都应当被理解为设想一个或多个网络节点24，诸如其中不同的功能驻留在不同的网络节点24中，或者其中给定的功能涉及分布式实现，分布式实现涉及跨两个或更多网络节点24的协作处理。更进一步，任何或所有底层处理电路和网络节点24进行的对应功能实例化可以是基于云的，或者以其它方式被虚拟化在一个或多个主机服务器中，例如，在数据中心中。当然，虚拟化的网络节点或功能仍然需要底层物理计算机
系统中的物理处理电路和接口电路。
[0039]
在示出的示例中，网络节点24包括接口电路60，该接口电路60包括传送器电路62和接收器电路64。在示例实施例中，接口电路60包括计算机数据网络接口，诸如以太网接口。当然，以太网示例是非限制性的，并且接口电路60更一般地包括用于信令的有线或无线传输和接收的物理层电路，连同用于嵌入和恢复来自此类信令的控制消息和数据的支持协议处理器。
[0040]
示例网络节点24进一步包括处理电路66和相关联的存储装置68。相关联的存储装置68包括例如一种或多种类型的计算机可读介质，诸如用于程序执行和数据处理的易失性工作存储器、以及用于长期存储的非易失性存储器或存储装置。在至少一个实施例中，存储装置68包括存储历史数据（hist.data）72和/或配置数据（cfg.data）74（用于检测具体通信装置12或通信装置12的具体组、种类、类型或类别的装置异常）的计算机可读介质。存储装置68的非限制性示例包括sram、dram、flash、eeprom、固态盘（ssd）和电磁盘存储装置中的任何一种或多种。
[0041]
处理电路66包括被编程电路或者固定电路或者被编程电路和固定电路的组合。在至少一个实施例中，处理电路66经由一个或多个微处理器或其它数字处理电路来实现，其特别适合于基于存储的计算机程序指令的执行来实行本文描述的处理操作。例如，存储装置68包括一个或多个存储器电路，存储器电路存储一个或多个计算机程序（（一个或多个）cp）70，计算机程序包括用于由数字处理电路执行的计算机程序指令，该执行实现本文描述的处理电路配置。
[0042]
同样，虽然图3示出不同功能（nef、nssf和amf）在分开的网络节点24-1、24-2和24-3中实现，但是给定的网络节点24可实现相同或不同类型的多个功能，例如，nef 30的多个实例化，或者nssf 32的多个实例化，等等，或者共处一地的nef 30和nssf 32的实例化。而且，当然，无论是基于虚拟化还是其它布置，都可跨两个或更多网络节点24以分布式方式实现给定的功能，诸如给定的nef 30。
[0043]
考虑到上述实现灵活性，在示例实施例中，网络节点24被配置用于在通信网络（例如，图1中描绘的网络10）中操作。示例网络节点24包括接口电路60，该接口电路60被配置为将网络节点24与as 14可通信地耦合，as 14支持通信装置12所使用的一个或多个应用服务，通信装置12经由通信网络10提供的第一网络切片50与as 14可通信地耦合。“可通信地耦合”涵盖直接和间接通信两者。例如，接口电路60可将网络节点24与as 14基于它们交换的通信来可通信地耦合，通过一个或多个中间节点（诸如网关、互通功能等）承载或路由它们交换的通信。
[0044]
示例网络节点24进一步包括与接口电路60可操作地相关联的处理电路66。在此，与接口电路60“可操作地相关联”意味着接口电路60提供从as 14和/或网络10中的其它节点和/或从相同节点内的其它处理元件传入到处理电路66的消息或其它信令。同样，接口电路60向处理电路66提供用于将处理结果和其它信令发送到同一节点中和/或其它节点中的其它处理元件的机制。因此，如先前所指出，接口电路60可包括数据网络接口，但是，附加地或备选地，接口电路60可包括计算机总线接口电路，例如，在服务器刀片、处理集群等等之间。
[0045]
处理电路66被配置为在通信网络10中实现nef 30，其中nef 30被配置为确定通信
装置12受损。该确定是基于nef 30检测到关于通信装置12的装置异常（装置异常是通信装置12的异常状态或异常行为），或者是基于nef 30接收到从as 14传入的指示通信装置12受损的信令。nef 30的至少一些实施例支持这两种可能性，即，nef 30检测装置异常作为标识受损通信装置12的一种方式，并且支持所涉及的（一个或多个）as 14对受损通信装置12的外部检测。
[0046]
在任何情况中，处理电路66被配置为发起隔离操作以将（受损的）通信装置12从第一网络切片50移动到第二网络切片54，以便将通信装置12作为受损装置来管理。nef 30响应于确定通信装置12受损而承担发起，无论该确定是如何做出的。而且，在此上下文中，第二网络切片54称为隔离网络切片54。
[0047]
隔离操作包括nef 30向nssf 32发送请求以发起通信装置12向通信网络10的重新注册，以便将通信装置12经由隔离网络切片54重新连接到通信网络10。nef 30所对准的特定nssf 32可取决于例如通信装置12的当前网络位置，即，网络中的哪个设备当前涉及为受损通信装置12服务。例如，网络10可被划分为不同的逻辑区域，诸如跟踪或路由选择区域，并且不同的逻辑区域可具有对应地相关联的网络功能，诸如nef 30、nssf 32等。
[0048]
在一个或多个实施例中，处理电路66被进一步配置为实现nssf 32，该nssf 32被配置为通过更新针对通信装置12的切片信息以指示隔离网络切片54来响应来自nef 30的请求。nssf 32被进一步配置为向通信网络10的amf 34发送信令，该信令向amf 34指示发起通信装置12的重新注册。特别是，nssf 32向amf 34指示应该为通信装置12选择隔离网络切片54。
[0049]
在一个示例中，称处理电路66被进一步配置为实现nssf 32意味着，单个网络节点24内的处理电路66实现nef 30和nssf 32两者。在另一个示例中，称处理电路66被进一步配置为实现nssf 32意味着，术语“处理电路66”指的是处理电路66跨两个或更多分开的网络节点24（其间具有协作通信）的相应实现。
[0050]
为了检测装置异常，在一个实施例中，nef 30被配置为检测在通信装置12中运行以支持通信装置12所使用的一个或多个应用服务的软件应用的不正确的软件标识符或软件指纹，作为异常状态。此类检测是基于比较针对通信装置12检测到的软件标识符或检测到的软件指纹与针对通信装置12保存在通信网络10中的存储的软件标识符或存储的软件指纹。存储的标识符或指纹是可作为图3中描绘的配置数据74保存的信息类型的另一个示例。
[0051]
在相同或其它的（一个或多个）实施例中，nef 30被配置为检测通信装置12在网络10中的异常通信活动，作为异常行为。在至少一个这样的实施例中，检测是基于nef 30检测通信装置12与历史或特征通信活动的偏离，所述偏离从针对通信装置12存储在通信网络10中的对应信息得知。异常通信活动包括例如用户平面和/或控制平面活动，其中，为了检测通信装置12与历史或特征通信活动的偏离，nef 30被配置为评估针对通信装置12在通信网络10中收集的历史通信活动数据，并且辨别涉及通信装置12的、相对于由历史通信数据活动建立的规范模式是异常的一个或多个用户平面或控制平面事件。
[0052]
例如，异常用户平面事件是在类型、格式或数量上与历史信息中看到的存在差异的数据传输。差异可以是附条件的，诸如其中数据传输被认定异常，因为数据量与历史定额或平均值的差异超过阈值量。可施加进一步的条件，诸如要求看到超过定义的最小数量的
异常传输。在控制平面上下文中，异常活动的示例包括非特征连接/断开连接活动，例如，当历史模式指示每天一次为通信装置12的“正常”行为时，某一天连接多次。其它示例涉及非预期的操作区域，例如，对于打算用在固定位置或其周围的通信装置12，在与该固定位置相关联的网络服务区域之外的连接。或者，更一般地，在相关存储记录中标记为固定的通信装置12在网络10内的移动性。
[0053]
在其它示例中或者在其它实施例中，其中异常通信活动包括用户平面和/或控制平面活动，为了检测通信装置12与其历史或特征通信活动的偏离，nef 30被配置为评估针对通信装置12在网络10中收集的历史通信活动数据，并且辨别涉及通信装置12的、相对于由历史通信数据活动建立的规范模式是异常的一个或多个用户平面或控制平面事件。
[0054]“检测”个体通信装置12的异常行为可涉及nef 30收集和存储基线信息—历史或配置数据—用于检测装置异常，并且执行此类检测所需的数据处理和比较。备选地，nef 30可访问由cn 18中的其它节点收集和存储的信息。更进一步，在至少一些实施例中，nef 30依据从另一个节点接收到指示受损状态或状况的信令（例如，从as 14传入到nef 30的信令），确定任何给定通信装置12受损，该as 14支持在通信装置12上运行的软件应用中的一个或多个。
[0055]
虽然不限于此，但是此类检测在嵌入式通信装置（诸如mtc或iot装置）的大规模部署的上下文中提供特别的优势。对应地，在至少一个实施例中，网络10将作为令人关注的通信装置12的物联网（iot）装置可通信地耦合到作为令人关注的as 14的iot as。广义地，网络10可支持巨大数量的—数百万的—基于iot的通信装置12，其中那些装置可以是各不相同的类型的，具有各不相同的特征行为，并且可能具有通信装置12在所附属第三方所有者、应用或服务类型、装置类型或类别等方面的多个分隔。
[0056]
在nef 30的上述实施例的任一个中，或者在nef 30的进一步实施例中，nef 30被配置为向as 14提供通信装置12的通信活动数据。在至少一个实施例中，通信活动数据指示通信网络10中涉及通信装置12的控制平面事件。因此，该信息使as 14能够基于as 14检测到涉及通信装置12的异常控制平面活动而检测到通信装置12为受损的。然后，as 14可以例如向nef 30发送指示通信装置12受损的信令。
[0057]
在至少一个实施例中，如上所述的nef 30是“第一”nef 30-1，并且相同或另一个网络节点24中的处理电路66实现与通信装置12已被移动到的隔离网络切片54相关联的“第二”nef 30-2。nef 30-2被配置为从as 14接收通信装置12的损坏结束的指示，并且响应于接收到该指示，发起恢复操作以将通信装置12返回到第一网络切片50，以便将通信装置12作为未受损装置来管理。恢复操作包括nef 30-2向nssf 32发送进一步请求以发起通信装置12向网络10的重新注册，以便将通信装置12经由第一网络切片50重新连接到网络10。
[0058]
在前述操作的扩展中，nef 30被配置为针对先前移动到隔离网络切片54的通信装置12发起恢复操作。例如，nef 30-1基于确定通信装置12是受损装置，针对通信装置12发起隔离操作，以及随后，一旦确定通信装置12不再被认定受损，第二nef 30-2就针对通信装置12发起恢复操作。两个nef 30-1和30-2可在功能上是分开的，但是两者都在单个网络节点24的处理电路66中被实例化，或者单个nef 30可被配置为例如，基于nef 30与相应的常规网络切片50和/或相应的隔离网络切片54之间的映射或关联，执行隔离和恢复两项操作。
[0059]
此外，nef 30可被配置为使得在针对通信装置12发起恢复操作之后，nef 30响应
于检测到通信装置12经由常规网络切片50重新连接到网络10，向与通信装置12相关联的（一个或多个）as 14发送返回指示。更进一步，可优先考虑nef操作和相关操作（例如，通过支持nssf 32恢复操作）。
[0060]
例如，考虑一种情况，其中在隔离网络切片54中操作的通信装置12是两个或更多通信装置12当中的一个，这些通信装置12作为受损装置曾被移动到隔离网络切片54，但是现在被确定为未受损，使得它们应该被返回到与它们相关联的（一个或多个）常规网络切片50。在有利的布置中，充当所涉及的nef 30的处理电路66被配置为基于比较与两个或更多通信装置12中的每个所使用的一个或多个应用服务相关联的通信关键性度量或财务度量，优先考虑针对两个或更多通信装置12中的至少一个的恢复操作的执行。
[0061]
这样的信息可从cn 18中的另一个功能到达nef 30，或者nef 30可被配置为从cn 18中的数据存储中检索这样的信息。通信关键性度量的示例包括例如关于个体通信装置12是否涉及安全相关应用、关键控制或监控应用的信息，或者可包括关于与它们相关联的qos要求的信息。财务度量的示例可包括关于相应通信装置12所运行的（一个或多个）应用的商业重要性（在网络10的运营商的收入方面）的等级或评级，或者可包括商业协定数据，诸如在sla中定义并作为优先级数据记录在网络中的重要性排序或等级。在任何情况中，在一个或多个实施例中，从nef 30发送到nssf 32以发起恢复的请求包括进一步请求是恢复操作的指示，以供nssf 32用于优先考虑该进一步请求。
[0062]
在至少一个实施例中或者在至少一个操作场景中，通信装置12被移动到的隔离网络切片54是用户组特定的。因此，发起隔离的nef 30被配置为确定通信装置12的组附属，并且基于该通信装置12的组附属，从为隔离使用定义的两个或更多可用网络切片54的集合56当中选择隔离网络切片54。附加地或备选地，隔离网络切片54是网络10的网络区域特定的，并且nef 30被配置为例如基于通信装置12可通信地耦合到网络10中的哪个接入节点22或哪些接入节点22，确定通信装置12的网络位置，并且基于包括该网络位置的网络区域，从为隔离使用定义的两个或更多可用网络切片54的集合56当中选择隔离网络切片54。
[0063]
在图3描绘了用于实现网络节点24的电路的示例布置的同时，图4描绘网络节点24在其经由多个处理模块或单元的实现方面的另一个实施例。处理模块或单元包括例如一个或多个软件配置的微处理器或其它数字处理器，诸如专用集成电路（asic）、现场可编程门阵列（fpga）等。在至少一个实施例中，处理模块或单元被实例化为（诸如可被包括在网络10的cn 18中或耦合到网络10的cn 18的）数据中心或其它云计算环境中的虚拟化处理模块。
[0064]
特别是，图4示出功能模块的集合400，用于实现如上所述的nef 30。集合400包括通信模块402，该通信模块402被配置为将nef 30与as 14可通信地耦合，该as 14支持通信装置12所使用的一个或多个应用服务，该通信装置经由通信网络10提供的第一网络切片50与as 14可通信地耦合。集合400进一步包括确定模块404，该确定模块404被配置为基于检测到关于通信装置12的装置异常（装置异常是通信装置12的异常状态或异常行为），或者基于接收到从as 14传入的指示通信装置（12）受损的信令，确定通信装置12受损。
[0065]
此外，集合400包括隔离模块406，该隔离模块406被配置为发起隔离操作以将通信装置12从第一网络切片50移动到第二网络切片54，以便将通信装置12作为受损装置来管理。第二网络切片54称为隔离网络切片54，并且由隔离模块406响应于确定通信装置12受损而发起隔离操作。隔离操作包括向nssf 32发送请求以发起通信装置12向网络10的重新注
册，以便将通信装置12经由隔离网络切片54重新连接到网络10。
[0066]
图5描绘处理模块的另一集合500，其或者在图4中讨论的相同nef 30中实现，或者在支持从隔离网络切片54恢复受损通信装置12的另一个nef 30中实现。处理模块的集合500包括通信模块502，该通信模块502被配置为从as 14接收通信装置12的损坏结束的指示。集合500中进一步包括恢复模块504，该恢复模块504被配置为通过发起恢复操作以将通信装置12返回到第一网络切片50（常规切片）来响应接收到的指示，以便将通信装置12作为未受损装置来管理。恢复操作包括nef 30向所涉及的nssf 32发送请求以发起通信装置12向网络10的重新注册，以便将通信装置12经由常规网络切片50重新连接到网络10。通信装置12恢复到的常规网络切片50可以是默认的常规网络切片50，或者是特定选择的一个网络切片，比如它曾被从其中移除的那个网络切片。
[0067]
图6示出例如经由可操作为nssf 32的网络节点24的处理电路66实现的处理模块的集合600，该nssf 32为隔离通信装置12提供支持。该集合600包括通信模块602，该通信模块602被配置为接收来自nef 30的请求以发起通信装置12向网络10的重新注册，以便将通信装置12经由隔离网络切片54重新连接到网络10。也就是说，该请求提到当前指派给被定义为常规网络切片的第一网络切片50的通信装置12，并且该请求会请求将通信装置12重新连接到被定义为隔离网络切片的第二网络切片54。对应地，处理模块的集合600包括发起模块604，该发起模块604被配置为通过向支持amf 34发送信令来触发重新注册，请求amf 34发起通信装置12的重新注册。然后nssf 32与amf 34交换关于切片选择的信令，以便将通信装置12连接到隔离网络切片54。
[0068]
图7示出例如经由可操作为amf 34的网络节点24的处理电路66实现的处理模块的集合700，amf 34为隔离通信装置12提供支持。集合700包括通信模块702，该通信模块702被配置为从nssf 32接收信令，发起通信装置12的重新注册，使得通信装置12与其当前的常规网络切片50断开连接并且重新连接到隔离网络切片54。集合700进一步包括注册模块704，该注册模块704被配置为执行注册/重新注册操作，以便将通信装置12从常规网络切片50移动到隔离网络切片54，其中这类操作包括与nssf 32交换切片选择信息。
[0069]
图8描绘对应于nef 30-1、nef 30-2、nssf 32和amf 34以及它们之间进行的以上详述的隔离操作的一种实现的示例信令流程图。通信装置12（在信令图中被描绘为iot装置并且也称为“ue”）使用常规网络切片50接入as 14，该网络切片被描绘成为机器类型通信（mtc）配置的切片。nef 30-1例如通过提供用户平面和/或控制平面活动信息（这允许as 14检测通信装置12的异常行为），来对于as 14提供开放功能和支持操作。
[0070]
as 14向nef 30-1报告异常行为，例如，它发送指示通信装置12被认定受损的信令。作为响应，nef 30-1请求nssf 32将通信装置12移动到隔离网络切片54。这种信令中通信装置12的标识包括例如imsi、ip地址、msidn、mac地址等中的任一个。
[0071]
nssf 32通过发起与通信装置12相关联的切片信息的改变，并且请求amf 34发起通信装置12的重新注册，来响应来自nef 30-1的请求。作为响应，amf 34发起通信装置12的重新注册，并且它可从通信装置12接收网络切片选择辅助信息（nssai）作为重新连接信令的一部分。amf 34将nssai提供给nssf 32，nssf 32作为响应而提供切片选择—即，隔离切片选择信息，以便将通信装置12经由选择的隔离网络切片54连接到as 14。
[0072]
图9描绘可在网络10中以集中式或分布式实现的、nef 30-1、nef 30-2、nssf 32、
amf 34和数据分析功能（daf）58以及它们之间进行的上述恢复操作的一个实施例的示例信令流程图。备选地，as 14与daf 58合并或者与daf 58相关联。作为用于理解信令流的起始状态，通信装置12先前曾被认定受损并被移动到隔离网络切片54。
[0073]
as 14诸如通过经由管理隔离网络切片54的nef 30-2向通信装置12发送软件或固件补丁，采取纠正措施来结束通信装置12的受损状况。通信装置12更新其软件或固件（其中“软件”被广义地用于涵盖任一者或两者）并且在更新之后与as 14通信。
[0074]
as 14或daf 58认识到通信装置12被更新并且认定受损状况被清除，并且向nef 30-2发送通信装置12已被纠正的指示。nef 30-2通过联系nssf 32进行响应，请求恢复通信装置12，即，返回到常规或正常网络切片50，诸如用于通信装置12的先前的常规网络切片50、新选择的常规网络切片50、或默认的常规网络切片50。在一种或多种情况中，通信装置12的类型或身份或者as 14的身份或附属决定了通信装置12要恢复到的常规网络切片50。
[0075]
nssf 32通过向amf 34发送切片信息，采用对应的切片信息，发起通信装置12向常规网络切片50的恢复或返回。amf 34通过发起通信装置12的重新注册来响应来自nssf 32的信令，其中，通信装置12从隔离切片54断开连接并且向网络10重新注册，在此重新连接期间，amf 34和nssf 32协作以将通信装置指派给常规网络切片50。或者nef 30-2或者nef 30-1通知as 14通信装置12作为正常或未受损装置重新连接到网络10。
[0076]
因此，在一个或多个实施例中，daf 58充当智能数据库，用于保存在运营商的通信网络中正常情况下不可用的信息。在至少一个实施例中，daf 58收集或以其它方式保存以下任何一项或多项：可以用于检测装置12的反常操作的模板或特征数据；由daf 58收集或提供给daf 58以建立用于检测反常装置行为的使用或其它行为模式的历史数据；从历史行为数据导出的用于检测反常装置行为的统计数据或模式数据；第三方黑名单信息；安全警报信息等。行为数据可包括用户平面和/或控制平面数据，并且可针对个体装置12和/或装置12的组和/或装置12的类型和/或装置12的类别来保存信息。
[0077]
此外，在至少一个实施例中，daf 58提供或以其它方式促进“纠正”已被确定为受损的通信装置12。例如，通过支持装置12的固件更新或以其它方式确认已在装置12执行固件更新。daf 58可向nef 30报告“纠正的”装置12，以便将纠正的装置12复原（重新连接）到正常网络切片—即，以便将纠正的装置12从隔离切片移动到其正常切片。
[0078]
图10描绘例如经由具有对应配置的处理电路66的网络节点24来实现的nef 30的操作方法1000，由此nef 30隔离被确定为受损的通信装置12。方法1000为在通信网络中（例如，在网络10中）管理受损装置12而提供。在至少一个实施例中，方法1000由在网络10中实现nef 30的一个或多个网络节点24执行。
[0079]
方法1000包括nef 30与as 14可通信地耦合（框1002），该as 14支持通信装置12所使用的一个或多个应用服务，该通信装置12经由网络10提供的第一网络切片50与as 14可通信地耦合。此外，方法1000包括基于检测到关于通信装置12的装置异常来确定（框1004）通信装置12受损，装置异常是通信装置12的异常状态或异常行为。备选地，确定是基于nef 30接收到从as 14传入的指示通信装置12受损的信令。
[0080]
此外，方法1000包括响应于确定通信装置12受损，nef 30发起（框1006）隔离操作以将通信装置12从第一网络切片50移动到第二网络切片54，以便将通信装置12作为受损装置来管理。第二网络切片54称为隔离网络切片54，并且隔离操作包括向nssf 32发送请求以
发起通信装置12向网络10的重新注册，以便将通信装置12经由隔离网络切片54重新连接到网络10。
[0081]
一个或多个网络节点24可进一步实现nssf 32，其中nssf 32通过更新针对通信装置12的切片信息来响应来自nef 30的请求。该更新指示隔离网络切片54，并且nssf 32向网络10的支持amf 34发送信令。该信令向amf 34指示发起通信装置12的重新注册，包括指示应该为通信装置12选择隔离网络切片54。注意，与通信装置12相关联的预订信息或者与所涉及的as 14相关联的信息可确定用于通信装置12的（一个或多个）常规网络切片50和/或可确定用于通信装置12的隔离网络切片54。
[0082]
至于在通信装置12的装置异常中检测，在一个或多个实施例中，nef 30检测在通信装置12中运行以支持通信装置12所使用的一个或多个应用服务的软件应用的不正确的软件标识符或软件指纹，作为通信装置12的异常状态。该检测例如是基于比较针对通信装置12检测到的软件标识符或检测到的软件指纹与针对通信装置12保存在通信网络10中的存储的软件标识符或存储的软件指纹。
[0083]
在方法1000的相同或另一个实施例中，检测装置异常包括检测通信装置12在网络10中的异常通信活动，作为通信装置12的异常行为。此类检测是基于例如检测通信装置12与历史或特征通信活动的偏离，该偏离从针对通信装置12存储在网络10中的对应信息得知。在示例实现中，异常通信活动包括用户平面和/或控制平面活动。对应地，检测偏离包括评估针对通信装置12在网络10中收集的历史通信活动数据，并且辨别涉及通信装置12的、相对于由历史通信数据活动建立的规范模式是异常的一个或多个用户平面或控制平面事件。
[0084]
在一个或多个实施例中，方法1000包括nef 30向as 14提供针对通信装置12的通信活动数据。例如，通信活动数据指示网络10中涉及通信装置12的控制平面事件，并且由此使as 14能够基于as 14检测到涉及通信装置12的异常控制平面活动，检测到通信装置12受损。
[0085]
在一个或多个实施例中，nef 30包括例如与常规网络切片50相关联的第一nef 30-1，所述常规网络切片50与已被确定为受损的通信装置12相关联。对应地，方法1000进一步包括第一nef 30-1或者与隔离网络切片54相关联的第二nef 30-2从as 14接收通信装置12的损坏结束的指示。作为响应，nef 30发起恢复操作以将通信装置12返回到第一网络切片50，以便将通信装置12作为未受损装置来管理。恢复操作包括向nssf 32发送进一步请求以发起通信装置12向网络10的重新注册，以便将通信装置12经由第一网络切片50重新连接到网络10。
[0086]
在此上下文中，通信装置12可以是作为受损装置（已经）被移动到隔离网络切片54的两个或更多通信装置12当中的一个。在方法1000的至少一种实现中，方法1000进一步包括基于比较与两个或更多通信装置12中的每个所使用的一个或多个应用服务相关联的通信关键性度量或财务度量，优先考虑针对两个或更多通信装置12中的至少一个的恢复操作的执行。因此，当所涉及的nef 30发起恢复操作时，此类操作可包括nef 30指示给nssf 32的将通信装置12从隔离网络切片54改变到常规网络切片50的请求是恢复操作。此类信息允许nssf 32优先考虑将通信装置12恢复回到常规网络切片50，并且可包括nssf 32将恢复指示传播到支持amf 34，以触发在amf 34优先考虑装置重新注册操作。
[0087]
方法1000的一个或多个实现还包括：作为装置恢复操作的一部分，所涉及的nef 30响应于检测到通信装置12经由第一网络切片50重新连接到网络10，向as 14发送返回指示。
[0088]
此外，在至少一个实施例中，受损通信装置12被移动到的隔离网络切片54是用户组特定的，并且方法1000进一步包括所涉及的nef 30和/或nssf 32确定通信装置12的组附属，并且基于通信装置12的组附属，从为隔离使用定义的两个或更多可用网络切片54的集合56当中选择隔离网络切片54。附加地或备选地，受损通信装置12被移动到的隔离网络切片54是通信网络10的网络区域特定的。对应地，方法1000进一步包括基于通信装置12可通信地耦合到网络10的哪个接入节点22或哪些接入节点22，确定通信装置12的网络位置，并且基于包括该网络位置的网络区域，从为隔离使用定义的两个或更多可用网络切片54的集合56当中选择隔离网络切片54。
[0089]
较早的观点重视本文描述的技术对多种类型或种类的网络的适用性。例如，5g基于服务的架构（sba）引入了nef，其可以被理解为4g网络中定义的服务功能开放功能（scef）的增强版。同样，参阅3gpp ts 23.501以获取关于为基于5g的网络定义的系统架构的参考细节。
[0090]
在5g网络中nef的一般操作和特征当中，该nef：支持将网络能力和事件开放给其它网络功能和外部功能，例如，第三方服务器、边缘计算应用等；使用到udm的标准化接口（nudr）作为结构化数据来存储和检索信息，所述udm与所述nef在同一公共陆地移动网络（plmn）内；将来自外部应用的信息的安全供应提供到网络中；为af提供机制以安全地向网络提供信息，诸如指示通信装置12或通信装置12的特定组、类型、种类或类别的预期或特征行为的信息；协助使af减速；与af（包括外部as）交换的信息的转译，诸如在af-service-identifier和内部5g核心信息（诸如dnn、s-nssai）之间的转译；以及根据网络策略向外部af/as提供网络和用户敏感信息的屏蔽。这里，“af”可以被理解为与用于应用服务器的“as”同义，或者可以被理解为指的是服务器提供的特定功能性。
[0091]
附加地，nef提供来自其它网络功能的信息的接收（基于其它网络功能的被开放的能力）。nef使用到统一数据存储库（udr）的标准化接口将接收到的信息存储为结构化数据。nef可以访问存储的信息并将其“重新开放”给其它网络功能和af，并用于其它目的（诸如分析）。nef也可支持分组流描述（pfd）功能，pfd功能在udr中存储（一个或多个）pfd/从udr中检索（一个或多个）pfd，并且应请求或响应于nef进行的pfd管理，向smf提供（一个或多个）pfd，诸如在3gpp ts 23.503中所描述。
[0092]
为了实现大规模iot扩展，运营商将需要采纳低功率广域（lpwa）技术，诸如nb-iot和lte cat-m1/m2。iot装置需要小数据传递，并且3gpp已确定经由控制平面递送远远优于使用数据平面。在版本13中，3gpp建议将scef用于非ip数据递送（nidd），作为用于在iot装置和as之间传递少量数据的优选机制。3gpp已使nidd成为小数据传递的一项要求。而且，如较早所指出的，随着向着数百万此类装置依赖通信网络来接入和连接到相关联as推进，此类网络将面临新的和更广泛的安全威胁。例如，机器对机器（m2m）装置可能被黑客入侵，诸如其中被黑客入侵的智能计量表被更改为比计划更频繁地连接到通信网络，或者被更改为发送比计划更多的数据。
[0093]
本文公开的技术，包括各种备选和扩展，允许所涉及的通信网络对不当行为或行
为模式先发制人。例如，通信网络10具有根据本文公开的细节来配置的nef 30，使得nef 30在保护网络10方面扮演关键角色，例如，在网络10中操作的受损通信装置12的早期检测中与as 14协作。
[0094]
nef 30（或scef）与daf 58交互，例如，以主动开始收集相关信息以用于检测通信装置10的损坏，并且如果需要，则对于正在进行的会话或会话后关闭，触发将通信装置12重新定位到隔离网络切片54。假设例如iot装置被标识为受损，对于网络有两个对应的选项：（a）对于正在进行的会话（例如，当正在传递数据、如装置日志等时），改变iot装置以锁定/附着到另一个网络切片，或者（b）一旦当前会话结束，就改变iot装置以锁定/附着到新的网络切片，例如，隔离切片。
[0095]
虽然此类操作在支持使用nidd协议的大量mtc/iot装置或基于控制平面的数据交换的其它布置的上下文中可能具有特别的优势，但是这些操作对用户平面数据操作也有重大意义。
[0096]
所公开的技术为网络10及其用户提供显著的优势。例如，一旦nef 30确定通信装置12受损，nef 30就通过发起装置12从常规网络切片50到隔离网络切片54的重新注册来隔离通信装置12。采用跨潜在地大量的装置12应用的该类控制，网络10避免或大大减少了昂贵的信令和业务阻塞开销。除了提供分隔优势之外，隔离还为附加的数据收集和控制提供了机会。
[0097]
例如，隔离网络切片54可具有在它中实例化的附加网络功能，诸如防火墙功能、防病毒功能、或者限制恶意内容扩散和网络10阻塞的其它功能。此外，在一个或多个实施例中，隔离网络切片54提供关于连接到隔离网络切片54的通信装置12的操作的附加的或更全面的数据记录。对已记录数据的基于人工智能（ai）的评估提供了例如用于进一步分析损坏细节的机制，并且可允许对更改的软件或对（一个或多个）通信装置12的受损状况下的其它反常进行指纹识别或者其它表征。
[0098]
总体而言，网络30可以被理解为提供或以其它方式支持受损装置12的管理，包括主动行动，诸如经由强制重新注册来隔离，以及促进对网络12内的受损装置12的识别，连同随后恢复已返回到正常状况（未受损状况）的先前受损装置12。
[0099]
在至少一个实施例中，网络10中的一个或多个nef 30被配置为执行可被表征为预收集阶段的操作。此类操作包括例如填充网络域中的相关信息以检测iot装置或其它通信装置12的反常行为模式/历史数据。nef 30或网络10中的另一功能（诸如daf 58）收集假定在网络10中正常操作的相应通信装置12的连接性、信令和用户数据模式或统计。
[0100]
在用户平面数据填充的一个示例中，例如具有集成daf 58的nef 30例如使用合法拦截，捕获iot数据，包括作为nidd的一部分的用户平面数据，并且由此以用户平面信息填充一个或多个数据库条目以供分析或参考，以便检测非特征行为。捕获可适用于多种数据类型。备选地，与nef 30分开实现的daf 58可提供此类收集。
[0101]
在控制平面数据填充的一个示例中，nef 30或 daf 58捕获iot装置和/或其它类型的通信装置12的连接性模式，用于建立随后可以被用于标识反常行为的规范模式。通信装置12的反常连接性行为的一个示例是过度切换，例如，在网络10中跨小区边界来回切换。
[0102]
其它数据收集活动可包括收集与商业服务系统（bss）相关的数据，诸如可用于优先考虑受损装置12的恢复。此外，收益相关的信息可被收集并用于非实时分析由于装置12
受损而导致的收益损失、或者与sla承诺伴随的问题等。
[0103]
网络10中的nef 30或daf 58还可从诸如全球安全存储库和防病毒系统之类的外部源接收信息，以用于受损装置12的检测。例如，检测是基于识别特征数据或者先前已被表征为构成受损行为的行为模式。此类信息可来自操作系统和软件公司，比如来自microsoft等，以及诸如来自ibm维护的产品安全事件响应团队（psirt）的警报。
[0104]
在预收集操作之后的收集后阶段中，预收集信息可用于检测在网络10中操作的通信装置12的反常行为。当然，随着新的通信装置12或通信装置12的新类型在网络10中被预订或变成活动的，可发生附加的收集。也就是说，在至少一些实施例中，网络10连续地或重复地收集数据，这些数据则被用于检测成为受损装置12的通信装置12。ai或其它机器学习算法可应用于数据收集，例如，用于建立规范行为、标识反常行为、标识活动趋势等。
[0105]
在收集后或主动管理阶段，网络10可采取立即行动来隔离已被确定为受损的通信装置12。可针对当前通信会话触发隔离操作—例如，有问题的通信装置12当前连接到网络10并向网络10注册，并且通信装置12参加了通信会话，而且在当前会话正在进行的同时触发隔离操作。备选地，与通信装置12相关联的标识符可被标记或以其它方式被记住，其中该标记用于在通信装置12的下一次通信会话建立时触发对通信装置12的隔离。
[0106]
如所指出的，nef 30、daf 58和/或网络10内的其它网络功能可继续收集受损通信装置12的操作信息，例如，以便更好地理解和表征它们的受损状况。此类收集还可以用于确定受损装置12是开始返回到正常操作，还是继续退化。
[0107]
理解通信装置12的受损行为允许例如网络10对损坏进行表征或分类，其中每个这样的分类则被链接或映射到对应定义的补救措施，或者以其它方式链接到最可能的补救。在一个示例中，至少某些类型的受损行为导致所涉及的通信装置12被标记，以便进行软件更新。关于受损行为的此类信息或相关信息还允许网络评估损坏的收益影响，并且确定网络更新以针对损坏减少未来漏洞。
[0108]
图11示出用于网络10的示例细节，这些细节是用于对标识受损的通信装置12有用的数据的预收集，以及用于与在网络10中操作的给定通信装置12相关的、随着时间对数据正在进行的收集，例如，以便进一步学习构成特定通信装置12、或通信装置12的特定组、或通信装置12的特定类型或类别的规范行为的行为特征。
[0109]
执法管理功能（lemf）80与管理功能（admf）82通过接口连接，管理功能（admf）82包括调解功能84。在网络10的至少一些实施例中，lemf 80还与前述的daf 58（分析功能）通过接口连接。lemf 80提供用于收集经由网络10与通信装置12交换的用户平面数据的接口，可全部或部分地收集该数据以形成历史记录。附加地或备选地，可处理数据以形成统计表示，诸如平均有效载荷或传输大小等。形成关于给定通信装置12或其组或类型的通信模式的信息为网络10提供了检测与这类定额的偏离（即，反常行为）的参考框架。
[0110]
用户平面信息可通过与3gpp ts 33.107中为归属订户服务器（hss）定义的“x2”接口类似的所定义接口从lemf 80/admf 82提供给网络10中的nef 30。iot装置的用户平面信息将类似于oma装置web api（oma-er-device_webapis-vl_0-20160419-c）中规定的参数，其中“oma”表示开放移动联盟。
[0111]
示例用户平面消息结构如下，其中该示例假设为血压监测配置的iot装置：序列1“type”关键字值指定传感器信息类型（oma规范作为医疗装置通信提及）作为关键字值。
[0112]“metric-id”关键字值指定oma规范中指定的mdc类型子代码。
[0113]“nu-observedvalue”关键字值指定传感器信息值，例如，温度、脉率、体重、湿度、电压、血压等。
[0114]“unit-code”指定用于规定的观察值的单位信息。
[0115]
以上装置信息被视为oma规范oma-ts-blood_pressure_monitor_apis-vl_0-20160419-c中所规定的示例。
[0116]
附加地或备选地，网络10被配置用于捕获控制平面和网络级信息。考虑以下情况，其中给定as 14向网络10中的nef 30发送信令，触发nef 30向网络10中的hss/udm发送监控请求消息，以从与请求所针对的通信装置12相关联的移动性管理实体（mme）发起订户数据请求。作为响应，mme经由s6a接口向hss/udm返回针对通信装置12的ran相关细节，例如，作为附加参数集。对于相关接口细节，参阅3gpp ts 29.272，其中nef 30可使用s6t接口向hss/udm发送请求。可用于请求hss捕获针对特定通信装置12的信息的示例请求如下：序列2
经由上述操作捕获的一些重要参数包括但不限于软件-版本/固件、edrx-周期-长度、imei和订户收益。例如，可对照存储在网络10中的黑名单记录检查imei。此外，虽然上述细节利用了可能是特定类型的通信网络代特有的某些网络名称或行话。然而，应当理解，本文公开的技术具有广泛的适用性，并且不同类型或不同代的网络可包括与本文公开的技术密切相关的类似或相似的功能和功能性。例如，虽然mme可支持4g网络上下文中的某些网络监控，但是接入和移动性管理功能（amf）可在5g网络上下文中提供相同或相似的监控。
[0117]
至于bss和sla相关信息，此类数据可通过多种方式被填充在nef 30或支持daf 58。图12示出提供此类信息在网络10中的daf 58的填充的示例信令流。示出的实体或功能包括上述nef 30和daf 58，连同商业支持系统（bss）节点90和运营支持系统（oss）节点92。
[0118]
在示例实现或操作场景中，oss节点92向nef 30提供服务保证信息，nef 30将其提供给daf 58，以用于收集与一个或多个sla规定相关的信息，诸如关键性能指标（kpi）。在至少一个示例中，此类信息被用于优先考虑纠正受损通信装置12所需的操作。例如，为给定通信装置12存储的信息指示纠正操作至少相对而言具有较长的前置时间，或者指示该通信装置具有较低的关键性或较小的商业影响。所谈及的通信装置12例如是在农业操作中起非关
键作用的联网传感器。
[0119]
相反，为另一个通信装置12存储的信息指示它例如在安全或商业影响方面具有更高的关键性。用于关键地震监测或机器控制的传感器充当更高优先级装置的示例。因此，在网络10作为受损装置来管理的潜在地大量的通信装置12当中，sla/kpi相关信息为nef 30和/或网络10内的其它功能提供了优先考虑装置纠正所需的数据。此类纠正可涉及例如在daf 58填充的全球安全补丁。附加地或备选地，与相应通信装置12或通信装置12的组相关联的各种as 14可提供或应用纠正补丁。
[0120]
在至少一个示例实现中，nef 30预订一个或多个外部安全警报系统，以便获取用于检测受损装置或标识受损装置的信息。图13示出示例布置，其中nef 30从一个或多个外部安全服务器94接收安全信息和/或纠正的软件补丁或版本。例如，nef 30可将这类信息和数据转发到daf 58，以用于检测和/或纠正受损的通信装置12。
[0121]
而且，如本文所详述，nef 30发起隔离操作，用于移动被确定为受损的通信装置12，导致那些装置从它们的（一个或多个）常规网络切片50移动到一个或多个隔离网络切片54中。在一个或多个实施例中，由nef 30自主承担确定和对应的隔离，而一个或多个其它实施例涉及nef 30从所涉及的as 14接收指示相应通信装置12的受损状况的信令，并且由nef 30和支持下游功能（例如，所涉及的nssf 32和amf 34）发起隔离操作。
[0122]
在示例情况中，as 14例如基于nef 30转发给它的信息，断定附属于它的通信装置12之一受损，并且它向nef传送消息以采取适当的行动。支持与nef 30的此类交互的应用程序接口（api）例如是基于表示状态传递（rest）的api，并且可使用超文本传输协议（http）。在至少一些实现中，nef 30可与as 14并行地工作以标识受损通信装置12。如较早所指出的，nef 30处于在网络10内检测反常行为的有利位置，所述反常行为对as 14来说不一定是明显的，除非被nef 30开放。
[0123]
在至少一种实现中，当nef 30和/或daf 58确定个体通信装置受损时，或者当nef 30和/或daf 58对这类通信装置12采取纠正操作时，nef 30和/或daf 58使用从受损装置12或针对受损装置12搜集的信息来搜索可能类似地受损的其它通信装置12。
[0124]
确定一个或多个通信装置12受损例如为nef 30和/或daf 58怀疑与受损装置12在同一组或类别中的其它通信装置12也可能受损提供了某种根据。更广义地说，可能存在多个通信装置12之间共有的任何数量的共同性或附属性，并且确定它们其中一个受损可触发nef 30和/或daf 58在附属通信装置12中的一个或多个中寻找受损的证据。此类操作包括例如执行为附属装置12收集的数据的附加分析，或者增加为所有附属装置12收集的数据的数量或频率或类型，以便加速检测任何扩散的病毒感染。
[0125]
作为另一示例，已经被确定为受损的通信装置12的软件版本和/或（一个或多个）软件应用标识符充当可以被nef 30和/或daf 58用来搜索网络10中也可能受损的其它通信装置12的信息。在另一个示例中，与已被确定为受损的通信装置12相关联的业务/信令模式充当可以被nef 30和/或daf 58用来搜索网络中也可能受损的其它通信装置12的模板。在又一示例中，一旦在给定的网络区域或对应的地理位置中的一个或多个通信装置12已被确定为受损，则nef 30和/或daf 58在该区域或位置中搜索可能受损的通信装置12。这里，如所指出的，“搜索”受损装置12可包括寻找相似的行为模式、经由更积极的数据收集来应用加强的详细审查等。
[0126]
值得注意的是，受益于前面描述和相关附图中呈现的教导的本领域技术人员将会想到所公开的（一个或多个）发明的修改和其它实施例。因此，要理解，所述（一个或多个）发明不限于所公开的具体实施例，并且修改和其它实施例意在被包括在本公开的范围内。虽然具体术语可能被用于本文，但是它们仅在一般性和描述性意义上被使用，而不是出于限定的目的。