CN105847237A - 一种基于nfv的安全管理方法和装置 - Google Patents
一种基于nfv的安全管理方法和装置 Download PDFInfo
- Publication number
- CN105847237A CN105847237A CN201610147763.8A CN201610147763A CN105847237A CN 105847237 A CN105847237 A CN 105847237A CN 201610147763 A CN201610147763 A CN 201610147763A CN 105847237 A CN105847237 A CN 105847237A
- Authority
- CN
- China
- Prior art keywords
- network
- nfv
- data
- entity
- territory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
本发明公开了一种基于网络功能虚拟化NFV的安全管理的方法和装置,涉及网络工程技术领域,用以为整个NFV网络提供其需要的安全策略,进而解决现有技术中以虚拟机等为单位进行保护导致网络架构复杂的问题。本发明的基于网络功能虚拟化NFV的安全管理的方法包括:确定NFV业务网络域中变更的目标节点;获取所述目标节点传输的网络数据;分析所述网络数据中是否存在不安全事件,若存在不安全事件,则生成对应的安全策略;将所述安全策略发送至NFV管理编排域的功能实体,以便所述功能实体根据所述安全策略对所述目标节点进行配置。
Description
技术领域
本发明涉及通信网络技术领域,尤其涉及一种基于网络功能虚拟化NFV的安全管理方法和装置。
背景技术
现如今,NFV(Network Function Virtualization,网络功能虚拟化)技术为运营商在如何建立自己的网络,并实施新的服务上带来翻天覆地的变化,它具有能够降低网络建设和运维成本,提供网络弹性伸缩能力以及缩短网络上线时间等优点。但是,在安全方面,NFV仍存在多方面的威胁:更多的信任分域、更容易遭受攻击、多租户资源共享、有限的网络隔离等问题。
为了应对NFV网络中的安全威胁,现有技术中多以虚拟机等为单位进行保护,如果NFV网络中的每个虚拟机均需要保护,那就需要设置非常多的安全网关,造成网络架构相对复杂;而随着对应网络服务功能需求的增多,需要增设相应的虚拟机,网络架构的复杂度还会更大。
发明内容
本发明实施例提供了一种基于网络功能虚拟化NFV的安全管理的方法和装置,用以为整个NFV网络提供其需要的安全策略,进而解决现有技术中以虚拟机等为单位进行保护导致网络架构复杂的问题。
为解决上述技术问题,本发明的实施例采用如下技术方案:
一方面,提供一种基于网络功能虚拟化NFV的安全管理的方法,所述方法包括:
确定NFV业务网络域中变更的目标节点;
获取所述目标节点传输的网络数据;
分析所述网络数据中是否存在不安全事件,若存在不安全事件,则生成对应的安全策略;
将所述安全策略发送至NFV管理编排域的功能实体。
另一方面,提供一种基于网络功能虚拟化NFV的安全管理的装置,所述装置包括:数据获取模块、安全监控模块、安全编排模块;
所述数据获取模块,用于确定NFV业务网络域中变更的目标节点,并获取所述目标节点传输的网络数据,将获取的网络数据发送至所述安全监控模块;
所述安全监控模块,用于分析所述数据获取模块获取的网络数据中是否存在不安全事件,若存在不安全事件,则生成对应的安全策略,并将所述安全策略发送至所述安全编排模块;
所述安全编排模块,用于将所述安全策略发送至NFV管理编排域的功能实体。
本发明实施例提供的基于网络功能虚拟化NFV的安全管理的方法和装置,通过获取NFV业务网络域中变更的目标节点传输的网络数据,对该数据分析后针对不安全事件生成安全策略,并提供给NFV网络。那么对网络数据分析后若没有不安全事件,就不需要生成安全策略。本发明实施例提供的方案,基于NFV的安全管理装置能够确定NFV业务网络域中变更的目标节点,并生成针对该目标节点的安全策略,这样使得NFV业务网络域中的各个节点都可以由该安全管理装置管理,从而为整个NFV网络提供其需要的安全策略;由于无需每个节点单独进行安全管理,从而解决现有技术中以虚拟机等为单位进行保护导致网络架构复杂的问题。示例的,NFV业务网络域中包含多个虚拟机,按照现有技术需要每个虚拟机对应设置一个安全网关;采用本发明实施例可以仅通过一个安全管理装置,当其中任一个虚拟机不安全(例如受到攻击),则可以生成针对该虚拟机的安全策略;当增设一个虚拟机时,则仍可以采用该安全管理装置生成针对该增设的虚拟机的安全策略,而无需增设安全管理装置。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术中提供的一种NFV架构图;
图2为本发明实施例提供的一种NFV网络架构图;
图3为本发明实施例提供的另一种NFV网络架构图;
图4为本发明实施例提供的一种基于NFV部署一个网络服务的示意图;
图5为本发明实施例提供的一种基于网络功能虚拟化NFV的安全管理的方法流程图;
图6为本发明实施例提供的另一种基于网络功能虚拟化NFV的安全管理的方法流程图;
图7为本发明实施例提供的一种基于网络功能虚拟化NFV的安全管理的装置框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了便于清楚描述本发明实施例的技术方案,在本发明的实施例中,采用了“第一”“第二”、“第三”等字样对功能和作用基本相同的相同项或相似项进行区分,本领域技术人员可以理解“第一”、“第二”、“第三”等字样并不对数量和执行次序进行限定。
图1示出了现有技术中提供的一种NFV网络架构图,NFV网络从横向看,NFV网络分为两个域:业务网络域和管理编排域。
其中,业务网络域就是目前的各电信业务网络。该业务网络域又可分为三层,包括:基础设施层、虚拟网络层以及运营支撑实体层。
基础设施层,即NFVI(Network Function VirtualizationInfrastructure,NFV基础设施),从云计算的角度看,就是一个资源池。NFVI映射到的物理基础设施是多个地理上分散的数据中心,通过高速通信网连接起来。NFVI需要将物理的计算/存储/交换资源转换为虚拟的计算/存储/交换资源。
虚拟网络层,对应的是目前各个电信业务网络,每个物理网元映射为一个虚拟网元,即图中的VNF(Virtual Network Function,虚拟网络功能)网元,且VNF网元由EMS(Element Management System,单元管理系统,也可缩写为EM)管理。VNF所需资源需要分解为虚拟的计算/存储/交换资源,由NFVI来承载。
运营支撑实体层是目前的OSS(Operation Support System,操作支撑系统)和BSS(Business Support System,业务支撑系统,支持各种端到端的电信服务,如订单、帐单、续约、排障等),需要为虚拟化进行必要的修改和调整。
另外,管理编排域(Management and Orchestrator,简称MANO),负责整个NFVI资源的管理和编排,负责业务网络和NFVI资源的映射和关联,负责OSS业务资源流程的实施等。MANO内部包括VIM(VirtualizedInfrastructure Manager,虚拟基础设施管理),VNFM(Virtual NetworkFunction Manager,虚拟网络功能管理)和NFVO(Network FunctionVirtualization Orchestrator,NFV编排器)三个实体,分别完成对NFVI,VNF和NS(Network Service,业务网络提供的网络服务)三个层次的管理。
现有技术中针对上述的NFV网络在安全保护方面没有行之有效的方法,本发明在现有NFV网络中引入安全管理装置,能够提供为NFV网络提供安全保护。
如图2所示,为本发明实施例提供的一种网络架构图,可以看出,在现有技术的NFV架构图中,增加了基于NFV的安全管理装置,该装置与图1所示的NFV网络连接,具体可以包括基于NFV的安全管理装置可以直接或者通过SEM(Security Element Management,安全单元管理)间接与虚拟化安全功能(Virtual Security Function,简称为VSF)网元连接,进而对该VSF网元进行安全管理。更进一步的,基于NFV的安全管理装置还可以与物理网络相连,从而具有NFV网络和物理网络的全局视野,具体包括:能够直接或者通过SEM间接与物理安全功能(PhysicalSecurity Function,简称为PSF)网元连接,进而可以对PSF网元进行安全管理,示例的可以包括PSF网元直接向基于NFV的安全管理装置上报需要安全管理的请求,基于NFV的安全管理装置向PSF网元发送安全策略。
实施例一
本发明实施例提供的基于NFV的安全管理方法,该方法的执行主体可以是基于NFV的安全管理装置。
如图5所示,本发明实施例提供的基于NFV的安全管理的方法,包括以下步骤:
步骤S101:确定NFV业务网络域中变更的目标节点。
NFV网络在运营过程中,会根据某种需求对网络进行变更,示例的,可以是网络运行商根据需求在业务网络域中新增节点,也可以是网络运营过程中因故障等原因发生变化的节点。所谓节点可以是业务网络域中的某个网元,例如可以是VNF、NFVI中的虚拟计算网元、物理计算网元等,也可以是业务网络域中的某个虚拟机(即NFVI中的虚拟化资源),例如可以是虚拟计算、虚拟存储或者虚拟交换资源等,当然,也可以包含多个网元整体,例如是某个层,可以是NFVI等。
示例的,图3示出了本发明实施例提供的一种网络架构图,在该图中3个NFVI(NFVI-1、NFVI-2和NFVI-3)通过网络连接起来,目标节点可以是其中的某个NFVI,例如若NFVI-1发生变更,则目标节点为NFVI-1,当然也可以为其他。
又示例的,图4示出了本发明实施例提供的一种基于NFV部署一个网络服务的示意图,其中,VNF-2A、VNF-2B、VNF-2C通过逻辑链路构成了VNF-FG(VNF-Forwarding Graph,VNF转发图)2,且VNF-FG2与VNF-1、VNF-3通过逻辑链路连接。此时,目标节点可以是其中的某个网元,例如VNF-1、VNF-2A等,也可以包含多个网元,例如VNF-FG2。
正如上述所说,NFV业务网络域的变更包括两种情形:一种是人为控制的网络变更,另一种是网络自身发生变更。
当网络管理员发现NFV网络需要进行某种变更,随即向运营支撑实体层(包括OSS和BSS)发送一变更通知,具体可以向OSS发送该变更通知,OSS根据该变更通知对NFV网络进行相应的变更,且OSS也会向基于NFV的安全管理装置发送网络服务生命周期的改变通知,以告知基于NFV的安全管理装置网络出现变更。示例的,NFV网络运营一段时间后,网络管理员发现网络容量不够,随即向OSS发送网络服务生命周期的改变通知,以增加一个NFVI目标节点,例如增加图3中的NFVI-1。
或者,NFV网络中的NFVO实体发现网络需要进行某种变更后,会对网络进行变更,并向基于NFV的安全管理装置直接发送变更通知,或通过OSS向基于NFV的安全管理装置直接发送网络服务生命周期的改变通知,以告知基于NFV的安全管理装置网络出现变更。示例的,参考图4,NFV网络运营一段时间后,NFVO实体发现VNF-1网元出现故障,此时会向基于NFV的安全管理装置发送网络服务生命周期的改变通知。
其中,网元从建立到终止的过程为网元生命周期,在网元生命周期中可能有多个状态,生命周期的改变通知为网元生命周期状态发生改变时引起的通知,例如:网元进行实例化、启动、扩容、缩容、停止、终止等。以VNF为例,VNF的生命周期可以包括实例化、启动、升级、更新、扩容、缩容、停止和终止等状态,那么VNF的生命周期的改变通知用于表明VNF从实例化到终止过程中的状态改变。
又或者,还可以是VSF直接向基于NFV的安全管理装置发送网络服务生命周期的改变通知,也可以是VSF通过SEM间接向基于NFV的安全管理装置发送网络服务生命周期的改变通知。
可选的,基于NFV的安全管理装置在接收网络服务生命周期的改变通知后,从NFV数据库中查询得到NFV业务网络域中变更的目标节点。
基于NFV的安全管理装置收到网络服务生命周期的改变通知,得知NFV网络有变更,因此需要确定变更的目标节点。示例的,网络服务生命周期的改变通知可以携带有目标节点的信息,那么基于NFV的安全管理装置由此可以确定目标节点。本发明实施例中优选的,是该安全管理装置在得知NFV网络有变更,从NFV数据库中查询得知目标节点。
NFV数据库中包含一些网络记录信息,包括例如网络带宽大小、网元如何连接等信息。例如的,安全管理装置可以从数据库中查询当前网元连接信息与之前某个时间点的网元连接信息是否存在不同,若不同,则可得知哪个网元或哪些网元的连接出现变更,进而得到目标节点。
步骤S102:获取目标节点传输的网络数据。
所谓目标节点传输的网络数据,可以是由目标节点向外(其他节点)发送的网络数据,也可以是该目标节点接收的网络数据。示例的,可以从该目标节点获取这些网络数据,也可以是从该目标节点所在的链路上获取这些网络数据。优选的,采集数据是采用镜像方式,即相当于拷贝了传输的网络数据。
由于有时,并不需要对该目标节点传输的所有网络数据进行采集,因此在本实施例中可选的,从目标节点所在的所有链路中,确定需监控链路,采集需监控链路上传输的网络数据。
一般的,目标节点所在的链路可能不止一条,但是并非所有链路都需要进行监控,只有对那些存在安全隐患的链路才需要监控。示例的,目标节点为图4中VNF-2A,目标节点所在的链路包括:VNF-1与VNF-2A的逻辑链路,VNF-2A与VNF-2B的逻辑链路,以及VNF-2A与VNF-2C的逻辑链路等。此时,可以根据需要从中选出需监控链路。例如:后两条链路同属于一个VNF-FG,这种情况下存在安全隐患的可能性较低,此时可以从中选出需监控链路为VNF-1与VNF-2A的逻辑链路,并采集这条链路上的网络数据。
步骤S103:分析网络数据中是否存在不安全事件。
不安全事件是指网络中传输的不安全的数据部分。不安全事件的种类可以有多种,此时可以分析网络数据中是否存在某一种不安全事件,也可以分析网络数据中是否存在多种不安全事件。
示例的,可以分析网络数据中是否有攻击类型的脚本数据,也可以分析网络数据中是否存在不符合国家法规的内容等等。总之,具体如何分析是否存在不安全事件的方案可以根据实际需求而设置,采用常规的分析方法即可,在此不加详述。
可选的,从数据分析数据库中选取至少一个数据分析规则,并采用此数据分析规则对网络数据进行分析,以确定网络数据中是否存在不安全事件。其中,数据分析数据库中存储有数据分析规则,数据分析规则用于确定分析对象中是否存储不安全事件。数据分析数据库中存储有针对不同不安全事件的不同数据分析规则。该数据分析规则正如上面所说,可以是常规的分析方法。
若存在不安全事件,则进行步骤S104;若不存在不安全事件,则认为NFV业务网络的该目标节点相关链路可正常运行,而不需生成安全策略。
步骤S104:若存在不安全事件,则生成对应的安全策略。
所谓安全策略是针对不安全事件所制定的方案,以避免不安全事件带来的威胁;具体的,可以包括访问控制、攻击检查、攻击过滤、内容审计等。示例的,若图4中VNF-1与VNF-2A的逻辑链路上传输的网络数据中存在攻击类型的脚本数据,则此时生成的安全策略可以是攻击检查和/或攻击过滤等安全策略。又示例的,若图4中VNF-1与VNF-2A的逻辑链路上传输的网络数据中存在不符合国家法规的内容,则此时生成的安全策略可以是内容审计等安全策略。安全策略可以采用常规安全方案,在此不加详述。
这些安全策略也可以存储在一数据库中,使得安全管理装置在确定出现哪种不安全事件后,从数据库中选取对应该不安全事件的安全策略即可。
步骤S105:将安全策略发送至NFV管理编排域的功能实体。
其中,安全管理装置通过逻辑接口向NFV管理编排域的功能实体进行安全策略下发,这些功能实体根据安全策略对NFV业务网络域进行相应的配置,具体是要针对该目标节点进行安全策略的配置。
由于NFV管理编排域中包含3个功能实体,本实施例中可选的,将安全策略发送至所述NFV管理编排域中的NFVO实体、VNFM实体、以及VIM实体中的至少一个。
具体的,若安全策略需要3个实体中的某个实体配置,则发给该实体即可,若安全策略需要3个实体中的至少两个实体进行配置,则发送这些实体即可。
其中,安全管理装置可以通过第一接口将第一安全策略发送至NFVO实体,这里的第一接口是指安全管理装置上用于下发策略至NFVO实体的接口,示例的可以是SecO-Vi接口;这里的第一安全策略是指可由NFVO实体进行配置的安全策略,由于NFVO实体主要负责对VNF和NFVI所提供的端到端网络服务进行编排、管理和自动化操作(具体可参见现有技术),因此这里的第一安全策略的对象也可以是VNF和NFVI所提供的端到端网络服务,即可以称为网络服务安全策略,以对该端到端网络服务进行安全管理。
安全管理装置可以通过第二接口将第二安全策略发送至VNFM实体,这里的第二接口是指安全管理装置上用于下发策略至VNFM实体的接口,示例的可以是SecO-Vnfm接口;这里的第二安全策略是指可由VNFM实体进行配置的安全策略,由于VNFM实体负责VNF的生命周期管理,包括实例化、升级、查询、扩展和终止。可以部署一个或多个VNFM实体,这取决于一个VNFM实体对应一个VNF,还是一个VNFM实体可以管理多个VNF;因此这里第二安全策略的对象也可以是VNF,即可以称为VNF安全策略,以实现对VNF的安全管理。
安全管理装置可以通过第三接口将第三安全策略发送至VIM实体,这里的第三接口是指安全管理装置上用于下发策略至VIM实体的接口,示例的可以是SecO-Nfvo接口;这里的第三安全策略是指可由VIM实体进行配置的安全策略,由于VIM实体用于控制和管理VNF与底层(基础设置层)的计算、存储和网络资源的交互,因此这里第三安全策略的对象也可以是VNF与底层的计算、存储和网络资源的交互,即可以称为基础设施安全策略,以实现VNF与底层的计算、存储和网络资源的交互过程中的安全管理。
本发明实施例提供的方案,基于NFV的安全管理装置能够确定NFV业务网络域中变更的目标节点,并生成针对该目标节点的安全策略,这样使得NFV业务网络域中的各个节点都可以由该安全管理装置管理,从而为整个NFV网络提供其需要的安全策略;由于无需每个节点单独进行安全管理,从而解决现有技术中以虚拟机等为单位进行保护导致网络架构复杂的问题。示例的,NFV业务网络域中包含多个虚拟机,按照现有技术需要每个虚拟机对应设置一个安全网关;采用本发明实施例可以仅通过一个安全管理装置,当其中任一个虚拟机不安全(例如受到攻击),则可以生成针对该虚拟机的安全策略;当增设一个虚拟机时,则仍可以采用该安全管理装置生成针对该增设的虚拟机的安全策略,而无需增设安全管理装置。
实施例二
为了使网络管理人员知道网络当前状态,本发明实施例生成对应的安全策略之后,向NFV运营支撑实体发送安全告警提示。如图6所示,在实施例1的基础上,在步骤S104之后,在步骤S105之前,本发明实施例提供的基于网络功能虚拟化NFV的安全管理的方法,还包括以下步骤:
步骤S106:向NFV运营支撑实体(包括OSS和BSS)发送安全告警提示。
具体是向NFV运营支撑实体中的OSS发送安全告警提示。
本发明实施例提供的基于网络功能虚拟化NFV的安全管理的方法,在安全管理装置生成对应的安全策略之后,向NFV运营支撑实体发送安全告警提示。这样的话,可以及时将NFV网络中的变更以及针对不安全事件采取的措施告知网络管理人员,使网络管理人员能够及时了解当前NFV网络的运营情况。
实施例三
本发明实施例提供了一种基于NFV的安全管理的装置,用于执行上述任一实施例(实施例一或实施例二)所示的基于NFV的安全管理的方法。
如图7所示,该基于NFV的安全管理的装置包括:数据获取模块、安全监控模块、安全编排模块;
所述数据获取模块71,用于确定NFV业务网络域中变更的目标节点,并获取所述目标节点传输的网络数据,将获取的网络数据发送至所述安全监控模块;
所述安全监控模块72,用于分析所述数据获取模块71获取的网络数据中是否存在不安全事件,若存在不安全事件,则生成对应的安全策略,并将所述安全策略发送至所述安全编排模块;
所述安全编排模块73,用于将所述安全策略发送至NFV管理编排域的功能实体,以便所述功能实体根据所述安全策略对所述目标节点进行配置。
可见,图2中安全管理装置与NFV管理编排域相连,具体是安全编排模块73与NFV管理编排域相连。进一步的,安全编排模块73与NFVO实体、VNFM实体、VIM实体中的至少一个相连。
可选的,所述数据获取模块71具体用于在接收网络服务生命周期的改变通知后,从NFV数据库中查询得到NFV业务网络域中变更的目标节点。
可选的,所述数据获取模块71具体用于从所述目标节点所在的所有链路中,确定需监控链路;采集所述需监控链路上传输的网络数据。
进一步的,该基于NFV的安全管理的装置还包括:数据分析数据库74,所述数据分析数据库74中存储有数据分析规则,所述数据分析规则用于确定分析对象中是否存储不安全事件;
所述安全监控模块72具体用于从所述数据分析数据库74中选取至少一个数据分析规则,并采用所述数据分析规则对所述网络数据进行分析,以确定所述网络数据中是否存在不安全事件。
可选的,所述安全编排模块73具体用于将所述安全策略发送至所述NFV管理编排域中的NFVO实体、VNFM实体、以及VIM实体中的至少一个。
可选的,所述安全编排模块73具体用于通过第一接口将第一安全策略发送至所述NFVO实体;
和/或,所述安全编排模块73具体用于通过第二接口将第二安全策略发送至所述VNFM实体;
和/或,所述安全编排模块73具体用于通过第三接口将第三安全策略发送至所述VIM实体。
进一步的,所述安全编排模块73还用于向NFV运营支撑实体发送安全告警提示。
需要说明的是,本实施例中的数据获取模块71、安全监控模块72、安全编排模块73可以为单独设立的处理器,也可以为集成在安全管理装置的某一个处理器中实现,此外,也可以以程序代码的形式存储于安全管理装置的存储器中,由安全管理装置的某一个处理器调用并执行以上数据获取模块71、安全监控模块72、安全编排模块73的功能。其中,数据分析数据库74可以存储于存储器中。当然这几个模块可以分布在不同的装置中,由装置之间交互实现各自的功能。
这里所述的处理器可以是一个中央处理器(英文全称:CentralProcessing Unit,英文简称:CPU),或者是特定集成电路(英文全称:Application Specific Integrated Circuit,英文简称:ASIC),或者是被配置成实施本发明实施例的一个或多个集成电路。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、设备和方法,可以通过其它的方式实现。例如,以上所描述的设备(装置)实施例仅仅是示意性的,例如,所述单元(模块)的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元(模块)或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,设备或单元(模块)的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离(模块)部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元(模块)的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(英文简称:ROM,英文全称:Read-Only Memory)、随机存取存储器(英文简称:RAM,英文全称:Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (13)
1.一种基于网络功能虚拟化NFV的安全管理的方法,其特征在于,包括:
确定NFV业务网络域中变更的目标节点;
获取所述目标节点传输的网络数据;
分析所述网络数据中是否存在不安全事件,若存在不安全事件,则生成对应的安全策略;
将所述安全策略发送至NFV管理编排域的功能实体。
2.根据权利要求1所述的方法,其特征在于,所述确定NFV业务网络域中变更的目标节点具体包括:
在接收网络服务生命周期的改变通知后,从NFV数据库中查询得到NFV业务网络域中变更的目标节点。
3.根据权利要求1所述的方法,其特征在于,所述获取所述目标节点传输的网络数据具体包括:
从所述目标节点所在的所有链路中,确定需监控链路;
采集所述需监控链路上传输的网络数据。
4.根据权利要求1所述的方法,其特征在于,所述分析所述网络数据中是否存在不安全事件具体包括:从数据分析数据库中选取至少一个数据分析规则,并采用所述数据分析规则对所述网络数据进行分析,以确定所述网络数据中是否存在不安全事件;
其中,所述数据分析数据库中存储有数据分析规则,所述数据分析规则用于确定分析对象中是否存储不安全事件。
5.根据权利要求1所述的方法,其特征在于,将所述安全策略发送至所述NFV管理编排域的功能实体具体包括:
将所述安全策略发送至所述NFV管理编排域中的网络功能虚拟编排NFVO实体、虚拟网络功能管理VNFM实体、以及虚拟基础设施管理VIM实体中的至少一个。
6.根据权利要求1-5任一项所述的方法,其特征在于,在所述生成对应的安全策略之后,所述方法还包括:向NFV运营支撑实体发送安全告警提示。
7.一种基于网络功能虚拟化NFV的安全管理的装置,其特征在于,包括:数据获取模块、安全监控模块、安全编排模块;
所述数据获取模块,用于确定NFV业务网络域中变更的目标节点,并获取所述目标节点传输的网络数据,将获取的网络数据发送至所述安全监控模块;
所述安全监控模块,用于分析所述数据获取模块获取的网络数据中是否存在不安全事件,若存在不安全事件,则生成对应的安全策略,并将所述安全策略发送至所述安全编排模块;
所述安全编排模块,用于将所述安全策略发送至NFV管理编排域的功能实体。
8.根据权利要求7所述的装置,其特征在于,所述数据获取模块具体用于在接收网络服务生命周期的改变通知后,从NFV数据库中查询得到NFV业务网络域中变更的目标节点。
9.根据权利要求7所述的装置,其特征在于,所述数据获取模块具体用于:从所述目标节点所在的所有链路中,确定需监控链路;采集所述需监控链路上传输的网络数据。
10.根据权利要求7所述的装置,其特征在于,还包括:
数据分析数据库,所述数据分析数据库中存储有数据分析规则,所述数据分析规则用于确定分析对象中是否存储不安全事件;
所述安全监控模块,具体用于从所述数据分析数据库中选取至少一个数据分析规则,并采用所述数据分析规则对所述网络数据进行分析,以确定所述网络数据中是否存在不安全事件。
11.根据权利要求7所述的装置,其特征在于,所述安全编排模块具体用于:将所述安全策略发送至所述NFV管理编排域中的网络功能虚拟编排NFVO实体、虚拟网络功能管理VNFM实体、以及虚拟基础设施管理VIM实体中的至少一个。
12.根据权利要求11所述的装置,其特征在于,所述安全编排模块具体用于通过第一接口将第一安全策略发送至所述NFVO实体;
和/或,所述安全编排模块具体用于通过第二接口将第二安全策略发送至所述VNFM实体;
和/或,所述安全偏偏模块具体用于通过第三接口将第三安全策略发送至所述VIM实体。
13.根据权利要求7-11任一项所述的装置,其特征在于,所述安全编排模块还用于向NFV运营支撑实体发送安全告警提示。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610147763.8A CN105847237B (zh) | 2016-03-15 | 2016-03-15 | 一种基于nfv的安全管理方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610147763.8A CN105847237B (zh) | 2016-03-15 | 2016-03-15 | 一种基于nfv的安全管理方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105847237A true CN105847237A (zh) | 2016-08-10 |
| CN105847237B CN105847237B (zh) | 2019-01-15 |
Family
ID=56587966
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610147763.8A Active CN105847237B (zh) | 2016-03-15 | 2016-03-15 | 一种基于nfv的安全管理方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105847237B (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106487719A (zh) * | 2015-08-25 | 2017-03-08 | 谷歌公司 | 经由分组中继使网络功能外部化的系统和方法 |
| WO2018036310A1 (zh) * | 2016-08-24 | 2018-03-01 | 中兴通讯股份有限公司 | 一种管理网络功能虚拟化管理编排实体的方法和装置 |
| WO2018053686A1 (zh) * | 2016-09-20 | 2018-03-29 | 华为技术有限公司 | 安全策略部署方法与装置 |
| WO2018068202A1 (en) * | 2016-10-11 | 2018-04-19 | Nokia Technologies Oy | Virtualized network function security wrapping orchestration in the cloud environment |
| WO2018166398A1 (zh) * | 2017-03-13 | 2018-09-20 | 华为技术有限公司 | 一种nfv网络中许可证的管理系统 |
| WO2019047913A1 (zh) * | 2017-09-07 | 2019-03-14 | 华为技术有限公司 | 一种通信方法、相关设备和系统 |
| CN110351229A (zh) * | 2018-04-04 | 2019-10-18 | 电信科学技术研究院有限公司 | 一种终端ue管控方法及装置 |
| CN110727498A (zh) * | 2019-09-03 | 2020-01-24 | 中国联合网络通信集团有限公司 | 一种虚拟网络功能的管理方法、nfvo、区块链节点及mano网元 |
| CN110971439A (zh) * | 2018-09-30 | 2020-04-07 | 中兴通讯股份有限公司 | 策略决策方法及装置、系统、存储介质、策略决策单元及集群 |
| CN111641515A (zh) * | 2019-03-01 | 2020-09-08 | 华为技术有限公司 | Vnf的生命周期管理方法及装置 |
| CN111835679A (zh) * | 2019-04-18 | 2020-10-27 | 华为技术有限公司 | 多租户场景下的租户资源管理方法和装置 |
| CN111917571A (zh) * | 2017-01-25 | 2020-11-10 | 华为技术有限公司 | 一种策略管理方法、装置和系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103607379A (zh) * | 2013-11-04 | 2014-02-26 | 中兴通讯股份有限公司 | 一种软件定义网络安全实施方法、系统及控制器 |
| CN104125214A (zh) * | 2014-06-30 | 2014-10-29 | 北京邮电大学 | 一种实现软件定义安全的安全架构系统及安全控制器 |
| CN104685830A (zh) * | 2013-09-30 | 2015-06-03 | 华为技术有限公司 | 故障管理的方法、实体和系统 |
| US20150381423A1 (en) * | 2014-06-26 | 2015-12-31 | Futurewei Technologies, Inc. | System and Method for Virtual Network Function Policy Management |
| CN105245555A (zh) * | 2015-12-02 | 2016-01-13 | 江苏省电力公司淮安供电公司 | 一种用于电力串口服务器通信协议安全防护系统 |
| CN105337758A (zh) * | 2014-08-15 | 2016-02-17 | 中兴通讯股份有限公司 | 告警处理方法、装置、nms、oss及ems |
| CN105376246A (zh) * | 2015-11-30 | 2016-03-02 | 中国电子科技网络信息安全有限公司 | 一种基于sdn的安全策略自适应生成管理系统及方法 |
-
2016
- 2016-03-15 CN CN201610147763.8A patent/CN105847237B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104685830A (zh) * | 2013-09-30 | 2015-06-03 | 华为技术有限公司 | 故障管理的方法、实体和系统 |
| CN103607379A (zh) * | 2013-11-04 | 2014-02-26 | 中兴通讯股份有限公司 | 一种软件定义网络安全实施方法、系统及控制器 |
| US20150381423A1 (en) * | 2014-06-26 | 2015-12-31 | Futurewei Technologies, Inc. | System and Method for Virtual Network Function Policy Management |
| CN104125214A (zh) * | 2014-06-30 | 2014-10-29 | 北京邮电大学 | 一种实现软件定义安全的安全架构系统及安全控制器 |
| CN105337758A (zh) * | 2014-08-15 | 2016-02-17 | 中兴通讯股份有限公司 | 告警处理方法、装置、nms、oss及ems |
| CN105376246A (zh) * | 2015-11-30 | 2016-03-02 | 中国电子科技网络信息安全有限公司 | 一种基于sdn的安全策略自适应生成管理系统及方法 |
| CN105245555A (zh) * | 2015-12-02 | 2016-01-13 | 江苏省电力公司淮安供电公司 | 一种用于电力串口服务器通信协议安全防护系统 |
Cited By (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106487719A (zh) * | 2015-08-25 | 2017-03-08 | 谷歌公司 | 经由分组中继使网络功能外部化的系统和方法 |
| CN106487719B (zh) * | 2015-08-25 | 2020-06-09 | 谷歌有限责任公司 | 经由分组中继使网络功能外部化的系统和方法 |
| WO2018036310A1 (zh) * | 2016-08-24 | 2018-03-01 | 中兴通讯股份有限公司 | 一种管理网络功能虚拟化管理编排实体的方法和装置 |
| EP3506582A4 (en) * | 2016-09-20 | 2019-09-04 | Huawei Technologies Co., Ltd. | METHOD AND DEVICE FOR USING A SAFETY POLICY |
| US11489873B2 (en) | 2016-09-20 | 2022-11-01 | Huawei Technologies Co., Ltd. | Security policy deployment method and apparatus |
| EP3866435A1 (en) * | 2016-09-20 | 2021-08-18 | Huawei Technologies Co., Ltd. | Security policy deployment method and apparatus |
| WO2018053686A1 (zh) * | 2016-09-20 | 2018-03-29 | 华为技术有限公司 | 安全策略部署方法与装置 |
| CN108370368A (zh) * | 2016-09-20 | 2018-08-03 | 华为技术有限公司 | 安全策略部署方法与装置 |
| CN108370368B (zh) * | 2016-09-20 | 2020-04-21 | 华为技术有限公司 | 安全策略部署方法与装置 |
| WO2018068202A1 (en) * | 2016-10-11 | 2018-04-19 | Nokia Technologies Oy | Virtualized network function security wrapping orchestration in the cloud environment |
| US11165829B2 (en) | 2016-10-11 | 2021-11-02 | Nokia Technologies Oy | Virtualized network function security wrapping orchestration in the cloud environment |
| US11611481B2 (en) | 2017-01-25 | 2023-03-21 | Huawei Technologies Co., Ltd. | Policy management method and system, and apparatus |
| CN111917571B (zh) * | 2017-01-25 | 2022-09-23 | 华为技术有限公司 | 一种策略管理方法、装置和系统 |
| CN111917571A (zh) * | 2017-01-25 | 2020-11-10 | 华为技术有限公司 | 一种策略管理方法、装置和系统 |
| CN108574593B (zh) * | 2017-03-13 | 2019-11-15 | 华为技术有限公司 | 一种nfv网络中许可证的管理系统和管理方法 |
| CN108574593A (zh) * | 2017-03-13 | 2018-09-25 | 华为技术有限公司 | 一种nfv网络中许可证的管理系统 |
| WO2018166398A1 (zh) * | 2017-03-13 | 2018-09-20 | 华为技术有限公司 | 一种nfv网络中许可证的管理系统 |
| WO2019047913A1 (zh) * | 2017-09-07 | 2019-03-14 | 华为技术有限公司 | 一种通信方法、相关设备和系统 |
| US11252583B2 (en) | 2017-09-07 | 2022-02-15 | Huawei Technologies Co., Ltd. | Communication method, related device, and system |
| US11206541B2 (en) | 2018-04-04 | 2021-12-21 | Datang Mobile Communications Equipment Co., Ltd. | Method and device for managing and controlling terminal UE |
| CN110351229A (zh) * | 2018-04-04 | 2019-10-18 | 电信科学技术研究院有限公司 | 一种终端ue管控方法及装置 |
| CN110971439A (zh) * | 2018-09-30 | 2020-04-07 | 中兴通讯股份有限公司 | 策略决策方法及装置、系统、存储介质、策略决策单元及集群 |
| WO2020177564A1 (zh) * | 2019-03-01 | 2020-09-10 | 华为技术有限公司 | Vnf的生命周期管理方法及装置 |
| CN111641515A (zh) * | 2019-03-01 | 2020-09-08 | 华为技术有限公司 | Vnf的生命周期管理方法及装置 |
| CN111641515B (zh) * | 2019-03-01 | 2021-11-19 | 华为技术有限公司 | Vnf的生命周期管理方法及装置 |
| CN111835679A (zh) * | 2019-04-18 | 2020-10-27 | 华为技术有限公司 | 多租户场景下的租户资源管理方法和装置 |
| CN111835679B (zh) * | 2019-04-18 | 2022-03-25 | 华为技术有限公司 | 多租户场景下的租户资源管理方法和装置 |
| CN110727498A (zh) * | 2019-09-03 | 2020-01-24 | 中国联合网络通信集团有限公司 | 一种虚拟网络功能的管理方法、nfvo、区块链节点及mano网元 |
| CN110727498B (zh) * | 2019-09-03 | 2023-04-07 | 中国联合网络通信集团有限公司 | 一种虚拟网络功能的管理方法、nfvo、区块链节点及mano网元 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105847237B (zh) | 2019-01-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105847237A (zh) | 一种基于nfv的安全管理方法和装置 | |
| CN108234168B (zh) | 一种基于业务拓扑的数据展示方法及系统 | |
| US8938489B2 (en) | Monitoring system performance changes based on configuration modification | |
| CN109714192A (zh) | 一种监控云平台的监控方法及系统 | |
| KR102001898B1 (ko) | 알람 정보 처리 방법, 관련 디바이스 및 시스템 | |
| CN111124850A (zh) | Mqtt服务器性能测试方法、系统、计算机设备及存储介质 | |
| CN109214704A (zh) | 一种分布式智能化运维平台、方法、装置及可读存储介质 | |
| US10419553B2 (en) | Dynamic docker pool recycling | |
| CN104579765B (zh) | 一种集群系统的容灾方法和装置 | |
| CN106464545A (zh) | 细粒度网络监控 | |
| CN106095641A (zh) | 一种监控方法、装置和系统 | |
| CN108347343A (zh) | 一种策略管理方法、装置和系统 | |
| CN108347339A (zh) | 一种业务恢复方法及装置 | |
| CN105592088A (zh) | 一种虚拟机流量的监控方法及装置、终端 | |
| US20060212568A1 (en) | System and method for managing a computer network | |
| CN110968479B (zh) | 一种针对应用程序的业务级全链路监控方法及服务器 | |
| CN106304136A (zh) | 获取网络状态信息的方法、系统、控制器和模拟移动设备 | |
| CN106576260A (zh) | Nfv系统中的策略协调方法和装置 | |
| CN108696373B (zh) | 虚拟资源分配方法、nfvo和系统 | |
| CN109873730A (zh) | 一种网络切片测试管理方法及相关产品 | |
| CN106547790A (zh) | 一种关系型数据库服务系统 | |
| CN109995558A (zh) | 故障信息处理方法、装置、设备及存储介质 | |
| CN103778026A (zh) | 对象调用方法和装置 | |
| CN109995554A (zh) | 多级数据中心主备切换的控制方法及云调度指挥器 | |
| CN104734896B (zh) | 业务子系统运行情况的获取方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |