CN107251514A - 用于虚拟化网络的可扩缩安全架构的技术 - Google Patents
用于虚拟化网络的可扩缩安全架构的技术 Download PDFInfo
- Publication number
- CN107251514A CN107251514A CN201580075546.6A CN201580075546A CN107251514A CN 107251514 A CN107251514 A CN 107251514A CN 201580075546 A CN201580075546 A CN 201580075546A CN 107251514 A CN107251514 A CN 107251514A
- Authority
- CN
- China
- Prior art keywords
- nfv
- nfv security
- security services
- safety monitoring
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q9/00—Arrangements in telecontrol or telemetry systems for selectively calling a substation from a main station, in which substation desired apparatus is selected for applying a control signal thereto or for obtaining measured values therefrom
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2101—Auditing as a secondary aspect
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/25—Flow control; Congestion control with rate being modified by the source upon detecting a change of network conditions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Debugging And Monitoring (AREA)
Abstract
用于执行网络功能虚拟化(NFV)安全架构(其包括NFV安全服务控制器和一个或多个NFV安全服务代理)的安全监测服务的技术。NFV安全服务控制器配置成向NFV安全服务代理传送安全监测策略,并且在NFV安全服务代理实施安全监测策略。NFV安全服务代理配置成监测遥测数据,并且封装遥测的至少一部分以用于传送到NFV安全架构的NFV安全监测分析系统以供安全威胁分析。描述并且要求保护其他实施例。
Description
相关申请的交叉引用
本申请要求2015年5月11日提交的标题为“TECHNOLOGIES FOR SCALABLE SECURITYARCHITECTURE OF VIRTUALIZED NETWORKS”的美国发明专利申请序号14/709,168,(其根据35 U.S.C. § 119(e)要求2015年2月4日提交的标题为“SCALABLE SECURITY ARCHITECTUREAND TECHNOLOGIES FOR VIRTUALIZED NETWORKS IN SERVICE PROVIDER DEPLOYMENTS”的美国临时专利申请序号62/112,151,的优先权)的优先权。
背景技术
网络运营商和服务提供商通常依靠各种网络虚拟化技术来管理复杂的大规模计算环境、例如高性能计算(HPC)和云计算环境。例如,网络运营商和服务提供商网络可依靠网络功能虚拟化(NFV)部署来部署网络服务(例如防火墙服务、网络地址转换(NAT)服务、负荷平衡服务、深层分组检查(DPI)服务、传输控制协议(TCP)优化服务等)。这类NFV部署通常使用NFV基础设施来编排各种虚拟机(VM),以便对网络业务执行虚拟化网络服务(通常被称作虚拟化网络功能(VNF)),并且管理跨各种VM的网络业务。
与传统非虚拟化部署不同,虚拟化部署将网络功能与基础硬件分离,这产生高动态的并且一般能够被运行于具有通用处理器的现成服务器的网络功能和服务。因此,能够根据需要基于要对网络业务所执行的特定功能或网络服务将VNF向内/向外扩展。但是,接入外露接口(例如经由探头的接入接口)以用于监测传统非虚拟化部署的功能组件之间的网络业务的处理的传统方式对VNF部署中的接入没有不同。例如,欧洲电信标准协会(ETSI)的NFV的工业规范组已发布多个虚拟化模型,其中这类接入/监测接口是含糊的。此外,各种部署中(例如VNF之内、VNF之间等)可用的不同接入接口的数量可使得难以探测与VNF有关的预期信息。例如,一些部署可实现供应商专有非标准化接口,以便优化处理能力并且降低可归因于信令的等待时间,这可限制接入可用性。
附图说明
在附图中以举例的方式而不是限制的方式来说明本文所述的概念。为了说明的简洁和清晰起见,图中所示的元件不一定按比例来绘制。在认为适当的情况下,在附图之内已重复参考标号,以指示对应或类似的元件。
图1是用于监测在包括网络功能虚拟化(NFV)基础设施的一个或多个计算节点的NFV安全架构所处理的网络通信的安全的系统的至少一个实施例的简化框图;
图2是图1的系统的NFV基础设施的计算节点之一的至少一个实施例的简化框图;
图3是图1的系统的端点装置的至少一个实施例的简化框图;
图4是图1的系统的NFV安全架构的至少一个实施例的简化框图;
图5是图1和图4的NFV安全架构的NFV安全服务控制器的环境的至少一个实施例的简化框图;
图6是图4的NFV安全架构的NFV安全服务代理的环境的至少一个实施例的简化框图;
图7是可由图5的NFV安全服务控制器所运行、用于管理安全监测服务的方法的至少一个实施例的简化流程图;
图8是可由图5的NFV安全服务控制器所运行、用于更新安全监测策略的方法的至少一个实施例的简化流程图;
图9是用于初始化图4的NFV安全服务代理之一的通信流程的至少一个实施例的简化流程图;
图10是可由图4的NFV安全服务代理的一个或多个所运行、用于监测图1的NFV网络架构的安全的方法的至少一个实施例的简化流程图;以及
图11是用于监测图1的NFV网络架构的服务功能链(SFC)的安全的通信流程的至少一个实施例的简化流程图。
具体实施方式
虽然本公开的概念可允许各种修改和备选形式,但是其具体实施例以举例的方式在附图中已被示出,并且本文中将详细描述。但是,应当理解,不是意在将本公开的概念限制到所公开的特定形式,相反,意在涵盖符合本公开和所附权利要求的所有修改、等效物和备选方案。
说明书中提到“一个实施例”、“实施例”、“说明性实施例”等指示所述的实施例可包含特定特征、结构或特性,但是每一个实施例可以或可以不一定包含那个特定特征、结构或特性。此外,这类词语不一定指同一实施例。此外,在结合实施例来描述特定特征、结构或特性时,均认为结合其他实施例(无论是否明确描述)来达成这种特征、结构或特性是在本领域的技术人员的知识范围之内的。另外,应当理解,采取“A、B和C中的至少一个”的形式的列表中所包含的项能够表示(A)、(B)、(C)、(A和B)、(A和C)、(B和C)或者(A、B和C)。类似地,采取“A、B或C中的至少一个”的形式所列示的项能够表示(A)、(B)、(C)、(A和B)、(A和C)、(B和C)或者(A、B和C)。
在一些情况中,所公开的实施例可通过硬件、固件、软件或者它们的任何组合来实现。所公开的实施例还可被实现为由一个或多个暂时或者非暂时机器可读(例如计算机可读)存储介质所携带或者其上所存储的指令,其可由一个或多个处理器来读取和运行。机器可读存储介质可体现为用于存储或传送采取机器可读形式的信息的任何存储装置、机制或其他物理结构(例如易失性或非易失性存储器、介质光盘或者另一介质装置)。
在附图中,一些结构或方法特征可按照特定布置和/或排序来来示出。但是,应当理解,这类特定布置和/或排序可以不作要求。相反,在一些实施例中,这类特征可按照与说明性附图所示不同的方式和/或顺序来排列。另外,特定附图中包含结构或方法特征不是有意要暗示在所有实施例中都要求这种特征,而是在一些实施例中可以不包含这种特征或者可与其他特征相结合。
现在参照图1,在所示实施例中,用于监测网络通信的安全的系统100包含网络功能虚拟化(NFV)安全架构116,以处理端点装置118与另一个端点装置120之间的网络通信。NFV安全架构116包括多个网络处理组件,其中包含NFV编排器104、虚拟基础设施管理器(VIM)106和NFV基础设施108。应当理解,在一些实施例中,NFV安全架构116可包含附加和/或备选网络处理组件(物理和/或虚拟),以便对网络业务数据(例如网络业务有效载荷、网络分组报头等)执行处理功能(例如分析、网络功能等)。
另外,NFV安全架构116包含多个安全监测组件,其中包含NFV安全服务控制器102。在使用中,NFV安全服务控制器102管理跨NFV安全架构116的各种安全监测组件,其执行遥测数据的主动和/或被动监测。要这样做,NFV安全服务控制器102例示多个NFV安全服务代理(参见例如图4的NVF安全服务代理468),以基于由NFV安全服务控制器102所管理的安全策略而进行监测(参见例如图4的管理程序462)。NFV安全服务代理还配置成收集、封装和安全地传送遥测数据供分析。
由NFV安全服务代理的每个所收集的遥测数据可体现为或者以其他方式包含任何类型的数据,对所述数据可执行安全分析。例如,说明性遥测数据包含NFV安全服务代理驻留于其上的组件以及相对于那个组件所处理的网络业务数据方面的组件级配置、操作和策略数据。如以下更详细论述,NFV安全服务代理配置成封装信息,并且将所封装信息安全地转移给NFV安全监测分析系统(参见例如图4的NFV安全监测分析系统438)。在使用中,NFV安全监测分析系统确定任何威胁和/或异常是否存在于遥测数据中。NFV安全监测分析系统还为NFV安全服务控制器102提供矫正安全策略,以应对任何所检测的威胁和/或异常。作为响应,NFV安全服务控制器102基于矫正安全策略来更新NFV安全服务代理的安全策略,并且跨NFV安全服务代理来实施所更新安全策略。
如下面将更详细描述,NFV基础设施108包含一个或多个计算节点110,其能够管理(例如创建、移动、销毁等)配置成作为虚拟化网络功能(VNF)实例进行操作的多个虚拟机(VM)。VNF实例的每个或VNF通常依靠一个或多个VM,其可运行不同软件和/或进程,以便对网络业务执行网络服务(例如防火墙服务、网络地址转换(NAT)服务、负荷平衡服务、深层分组检查(DPI)服务、传输控制协议(TCP)优化服务、入侵检测服务等)。此外,要提供某些网络服务,多个VNF可作为服务功能链或者VNF转发图(即,按照有序序列所执行以实现预期网络服务的一系列VNF)来创建。
NFV安全架构116的网络和安全监测组件能够被部署在各种虚拟化网络架构中,例如虚拟演进分组核心(vEPC)基础设施、虚拟化客户驻地设备(vCPE)基础设施或者任何其他类型的运营商虚拟化基础设施。应当理解,根据其中NFV安全架构116所部署的网络架构,NFV安全架构116可包含一个或多个NFV安全服务控制器102、一个或多个NFV编排器104、一个或多个VIM 106和/或一个或多个NFV基础设施108。
NFV安全服务控制器102可体现为或者以其他方式包含能够执行本文所述功能(例如管理NFV安全架构116的安全监测组件)的任何类型的硬件、软件和/或固件。如下面将更详细描述,NFV安全服务控制器102配置成用作安全监测编排器。要这样做,NFV安全服务控制器102配置成传送安全监测策略,其包含各种监测规则(其可包含安全监测策略、安全通信路径策略、配置参数和功能描述符,以便向整个NFV安全架构116的安全监测组件(例如图4的NFV安全服务代理)指示要监测哪个遥测数据以及如何配置安全监测组件)。NFV安全服务控制器102还配置成实施整个NFV安全架构116所传送的安全监测策略。各种安全功能可包含但不限于保护服务功能链(SFC)配备、实施SFC安全配置和监测、提供保密性受保护令牌、管理受保护策略传输以及提供VNF SFC路径间保护。
要检索和/或更新安全监测策略,NFV安全服务控制器102可配置成与一个或多个外部安全系统(例如Intel®安全控制器)、安全数据库(参见图4的NFV安全数据库412)和/或安全策略引擎进行接口。要与外部安全系统进行通信,NFV安全服务控制器102可向外部安全服务编排系统传递应用编程接口(API)和/或安全策略。在一些实施例中,NFV安全服务控制器102可充当可信第三方,以便认证跨NFV安全架构116的各种网络和安全监测组件的消息。应当理解,在一些实施例中,NFV安全服务控制器102可与NFV编排器104并置,例如在NFV管理和编排(MANO)架构框架中。还应当理解,在一些实施例中,NFV安全服务控制器102可具有比NFV安全架构116的其他网络和安全监测组件更高的安全特权,以确保NFV安全服务控制器102的完整性和安全。
NFV编排器104可体现为能够执行本文所述功能(例如经由VNF管理器(参见图4)来管理VNF的生存周期(例如例示、向外/向内扩展、性能测量、事件相关性、终止等)、管理全局资源、验证和授权NFV基础设施108的资源请求、新VNF的板载和/或管理VNF的各种策略和封装)的任何类型的电路和/或硬件、软件和/或固件组件。例如,NFV编排器104可配置成从影响特定VNF的操作员来接收资源请求。在使用中,NFV编排器104基于操作员请求来管理任何适用处理、存储和/或网络配置调整,以便使VNF开始操作或者开始符合资源请求。一旦在操作中,NFV编排器104可监测VNF的容量和利用,其可由NFV编排器104根据需要来调整。
VIM 106可体现为或者以其他方式包含能够执行本文所述功能(例如控制和管理一个运营商的基础设施子域中的NFV基础设施108计算、存储和网络资源(例如物理和虚拟)以及性能测量和事件的收集和转发)的任何类型的硬件、软件和/或固件。应当理解,在一些实施例中,NFV编排器104可与VIM 106并置,例如在NFV MANO架构框架中。
NFV基础设施108可体现为或者以其他方式包含任何类型的虚拟和/或物理处理和存储资源,例如一个或多个服务器或其他计算节点以及虚拟化软件。例如,说明性NFV基础设施108包含一个或多个计算节点110。说明性计算节点110包含:第一计算节点,其被表示为计算节点(1) 112;以及第二计算节点,其被表示为计算节点(N) 114 (即,计算节点110的“第N”计算节点,其中“N”为正整数,并且表示一个或多个附加计算节点110)。
计算节点110可体现为能够执行本文所述功能的任何类型的计算或计算机装置,非限制性地包含服务器(例如单机、机架安装、刀片式等)、网络设备(例如物理或虚拟)、高性能计算装置、网络设备、分布式计算系统、计算机、基于处理器的系统、多处理器系统、智能电话、平板计算机、膝上型计算机、笔记本计算机和/或移动计算装置。如图2所示,在实施例中,计算节点110的每个说明性地包含处理器202、输入/输出(I/O)子系统206、存储器208、数据存储装置214、安全时钟216和通信电路218。当然,在其他实施例中,计算节点110可包含其他或附加组件,例如服务器中常见的那些组件(例如各种输入/输出装置)。另外,在一些实施例中,说明性组件的一个或多个可被结合在另一个组件中或者以其他方式形成另一个组件的一部分。例如,在一些实施例中,存储器208或者其部分可被结合在处理器202中。
处理器202可体现为能够执行本文所述功能的任何类型的处理器。例如,处理器202可体现为(一个或多个)单核或多核处理器、数字信号处理器、微控制器或者其他处理器或处理/控制电路。说明性处理器202包含一个或多个可信执行环境(TEE)支持204或安全包体支持(secure enclave support),其可由计算节点110用于建立可信执行环境中。应当理解,在一些实施例中,TEE支持204提供可信执行环境的硬件加强安全,其中运行代码可被测量、检验或者以其他方式确定为真实的。例如,TEE支持204可体现为Intel®软件防护延展(SGX)技术。虽然TEE支持204在处理器202中说明性地被示出,但是应当理解,在一些实施例中,计算节点110的其他组件的一个或多个可包含TEE支持204。此外,在一些实施例中,计算节点110的处理器202可包含安全引擎(例如以下所论述的安全引擎224)、可管理引擎或者安全协处理器,其配置成利用TEE支持204来建立可信执行环境。
存储器208可体现为能够执行本文所述功能的任何类型的易失性或者非易失性存储器或数据存储装置。在操作中,存储器208可存储计算节点110的操作期间所使用的各种数据和软件,例如操作系统、应用、程序、资料库和驱动程序。存储器208经由I/O子系统206(其可体现为电路和/或组件,以促进与处理器202、存储器208和计算节点110的其他组件的输入/输出操作)在通信上被耦合到处理器202。例如,I/O子系统206可体现为或者以其他方式包含存储控制器集线器、输入/输出控制集线器、固件装置、通信链路(即,点对点链路、总线链路、导线、电缆、光导、印刷电路板迹线等)和/或促进输入/输出操作的其他组件和子系统。
说明性存储器208包含安全存储器210。在一些实施例中,安全存储器210可体现为存储器208的安全分区;而在其他实施例中,安全存储器210可体现或者包含于计算节点110的单独硬件组件上。如本文所述,安全存储器210可存储配备给计算节点110的各种数据。例如,安全存储器210可存储计算节点110的安全密钥(例如鉴证密钥、私有直接匿名鉴证(DAA)密钥、增强保密标识(EPID)密钥或者任何其他类型的安全/密码密钥),其可由芯片组和/或可信执行环境的制造商来配备。安全存储器210还可存储例如由计算节点110的原始设备制造商(OEM)在其中配备的计算节点110的密码、PIN或其他唯一标识符。当然,应当理解,安全存储器210根据特定实施例可存储各种其他数据(例如组名称、装置标识符、白名单、预计PIN值等)。在一些实施例中,所配备数据可被存储在安全存储器210的只读存储器中。
说明性存储器208还包含基本输入/输出系统(BIOS)212。BIOS 212包含指令(例如在计算节点110的引导期间所使用的BIOS驱动程序),以便在引导过程期间初始化计算节点110。在一些实施例中,计算节点110可促进经过主平台固件或预引导固件(例如Intel®平台芯片组的延展或者基于统一可延展固件接口(“UEFI”)规范的平台BIOS 212,其具有统一EFI论坛所发布的若干版本)的VNF的编排。
数据存储装置214可体现为配置用于数据的短期或长期存储的任何类型的一个或多个装置,用作举例,比如存储器装置和电路、存储卡、硬盘驱动器、固态驱动器或者其他数据存储装置。在使用中,如以下所述,数据存储装置214和/或存储器208可存储安全监测策略、配置策略或其他类似数据。
安全时钟216可体现为能够提供安全定时信号或者以其他方式执行本文所述功能的任何(一个或多个)硬件组件或电路。例如,在说明性实施例中,安全时钟216可生成定时信号,其是单独的并且在功能上独立于计算节点110的其他时钟源。相应地,在这类实施例中,安全时钟216可对其他实体(用作举例,比如运行于计算节点110的软件)进行的变更具有免疫性或抗性。应当理解,在一些实施例中,安全时钟216可体现为单机组件或电路,而在其他实施例中,安全时钟216可形成另一个组件(例如处理器202)的安全部分或者与其集成。例如,在一些实施例中,安全时钟216可经由芯片上振荡器来实现,和/或体现为可管理引擎(ME)的安全时钟。还应当理解,安全时钟216可同步到其他计算节点110的安全时钟,以及粒度可具有能够区分不同消息定时的阶数。
计算节点110的通信电路218可体现为任何通信电路、装置或者其集合,其能够实现计算节点110与另一个计算节点110、NFV编排器104、VIM 106、端点装置118和120和/或其他所连接的网络使能计算节点之间的通信。通信电路218可配置成使用任何一个或多个通信技术(例如有线或无线通信)及关联协议(例如以太网、Bluetooth®、Wi-Fi®、WiMAX、GSM、LTE等)来达成这种通信。说明性通信电路218包含网络接口卡(NIC)220和交换机222。NIC 220可体现为一个或多个内插板、子卡、网络接口卡、控制器芯片、芯片组或者可由计算节点110所使用的其他装置。例如,NIC 220可体现为通过扩展总线、例如PCI Express耦合到I/O子系统206的扩展卡。交换机222可体现为能够执行网络交换机操作并且以其他方式执行本文所述功能的任何(一个或多个)硬件组件或电路,例如以太网交换机芯片、PCIExpress交换芯片等。
如上所述,计算节点110还可包含安全引擎224,其可体现为能够建立计算节点110上的可信执行环境(TEE)的任何(一个或多个)硬件组件或电路。具体来说,安全引擎224可支持运行代码和/或访问数据,这独立于计算节点110所运行的其他代码并且是安全而不受计算节点110所运行的其他代码影响的。安全引擎224可体现为可信平台模块(TPM)、可管理引擎(ME)、带外处理器或者其他安全引擎装置或装置集合。在一些实施例中,安全引擎224可体现为计算节点110的芯片上系统(SoC)中所结合的聚合安全及可管理引擎(CSME)。
再次参照图1,说明性NFV安全架构116在通信上耦合于两个端点装置118、120之间。在说明性系统100中,第一端点装置被表示为端点装置(1) 118,而第二端点装置被表示为端点装置(2) 120。但是应当理解,任何数量的端点装置可经过NFV安全架构116来连接。端点装置118、120使用有线或无线技术经由网络(未示出)与NFV安全架构116在通信上耦合,以形成端对端通信系统,其中端点装置(1)能够与端点装置(2)进行通信,反过来也是一样。相应地,NFV安全架构116能够监测和处理端点装置118、120之间所传送的网络通信业务(即,网络分组)。
网络(端点装置118、120经由该网络进行通信)可体现为任何类型的有线或无线通信网络,包含蜂窝网络(例如全球移动通信系统(GSM)或长期演进(LTE))、电话网络、数字用户线(DSL)网络、有线电视网络、局域网或广域网、全球网络(例如因特网)或者它们的任何组合。例如,在一些实施例中,网络可体现为具有vEPC架构的基于NFV的长期演进(LTE)网络。应当理解,网络可用作集中网络,以及在一些实施例中可在通信上耦合到另一个网络(例如因特网)。相应地,网络可根据需要包含虚拟和物理的多种网络装置(例如路由器、交换机、网络集线器、服务器、存储装置、计算装置等),以促进端点装置118、120与NFV安全架构116之间的通信。
端点装置118、120可体现为能够执行本文所述功能的任何类型的计算或计算机装置,非限制性地包含智能电话、移动计算装置、平板计算机、膝上型计算机、笔记本计算机、计算机、服务器(例如单机、机架安装、刀片式等)、网络设备(例如物理或虚拟)、网络设备、分布式计算系统、基于处理器的系统和/或多处理器系统。如图3所示,与图2的计算节点110相似,说明性端点装置(例如图1的端点装置118、120其中之一)包含处理器302、输入/输出(I/O)子系统304、存储器306、数据存储装置308、一个或多个外围装置310和通信电路312。因此,基于关于计算节点110的以上所提供的对应组件的描述同样地适用于端点装置118、120的对应组件的理解,为了描述的清楚起见在本文中不重复相似组件的进一步描述。
当然,在其他实施例中,端点装置118、120可包含其他或附加组件,例如移动计算装置中常见的那些组件(其能够在其他实施例中的电信基础设施中进行操作,例如各种输入/输出装置)。另外,在一些实施例中,说明性组件的一个或多个可结合在另一个组件中或者以其他方式形成另一个组件的一部分。外围装置310可包含任何数量的输入/输出装置、接口装置和/或其他外围装置。例如,在一些实施例中,外围装置310可包含显示器、触摸屏、图形电路、键盘、鼠标、扬声器系统和/或其他输入/输出装置、接口装置和/或外围装置。
现在参照图4,用于监测NFV安全架构116的安全的图1的NFV安全架构116的说明性实施例包含图1的NFV安全服务控制器102、NFV编排器104、VIM 106和NFV基础设施108。说明性实施例116的各安全监测组件包含全球唯一安全标识符,其唯一地标识对应安全监测组件。全球唯一安全标识符可基于例如安全监测组件的介质接入控制(MAC)地址、指配给安全监测组件的因特网协议(IP)地址、嵌入到安全监测组件的安全存储器210中的标识符(例如BIOS 212 (UEFI)标识符、安全监测组件的操作系统的标识符等)。全球唯一安全标识符可在物理TPM或者基于软件的可信模块(例如安全引擎224上的固件TPM(例如可管理引擎(ME)、聚合安全及可管理引擎(CSME)、创新引擎(IE)、安全分区、安全协处理器或单独处理器核心等))内被保护,和/或被存储在安全位置(例如安全存储器210)中。安全监测组件的任一个或者其功能性可在安全环境(例如处理器202的TEE支持204)中被例示。因此,每一个例示可通过全球唯一安全标识符来识别。此外,在一些实施例中,全球唯一安全标识符可在例示时绑定到用例消息传递。
另外,各唯一使用实例包含唯一使用标识符。相应地,NFV安全架构116内的多个使用和流程能够被唯一地识别,例如以用于审计、认证、控制、调试等。如先前所述,在一些实施例中,NFV安全架构116可包含NFV安全服务控制器102、NFV编排器104和VIM 106的一个或多个实例。在这类实施例中,组件的多个实例可被镜像以使用同一外部标识符,并且还包含唯一内部标识符(例如实例安全标识符),以区分被镜像组件。
此外,NFV安全架构116的各逻辑组件可分隔为一个以上物理和/或逻辑组件,以应对具体使用,例如SFC策略、VNF间通信密钥、VIM控制器424策略等。在这类实施例中,物理和/或逻辑组件可由运营商或者云提供商连同全球唯一标识符(GUID)一起签署,其可在安装之前被检验。签署可使用私有密钥来执行,其公有密钥(例如证书密钥、熔丝密钥(fusekey)、具体装置密钥等)可嵌入到NFV基础设施108中并且由NFV安全服务代理来访问。相应地,检验可由NFV安全服务代理在物理和/或逻辑组件的环境的严格控制内执行。
NFV安全服务控制器102经由安全通信信道406在通信上被耦合到NFV编排器104。如上所述,在一些实施例中,NFV安全服务控制器102和NFV编排器104可被并置在例如MANO架构框架中。此外,NFV安全服务控制器102经由安全通信信道414在通信上被耦合到VIM106,以及NFV编排器104经由安全通信信道416在通信上被耦合到VIM 106。安全通信信道406、414、416以及NFV安全架构116的其他安全通信信道可采用NFV安全服务控制器102用来建立可信根(RoT)以建立NFV安全架构116的通信信道(例如安全通信信道406、414、416)的安全密钥(例如会话密钥和/或其他密码密钥)来保护。在一些实施例中,安全密钥可体现为可周期地被刷新的成对会话密钥。因此,NFV安全服务控制器102能够配置成充当认证服务器。
NFV安全架构116还包含操作支持系统和商务支持系统(OSS/BSS)402,其经由通信信道404在通信上被耦合到NFV编排器104。OSS/BSS 402可体现为能够执行本文所述功能(例如支持电话网络中的各种端对端电信服务)的任何类型的计算或计算节点。在一些实施例中,OSS/BSS 402可配置成支持管理功能(例如网络库存、服务配备、网络配置和故障管理)以及各种商务功能,以支持可由OSS/BSS 402所支持的端对端电信服务(例如产品管理、客户管理、收益管理、订单管理等)。
如先前所述,在使用中,NFV安全服务控制器102提供和实施跨NFV安全架构116的各种安全监测组件的安全监测策略。要这样做,NFV安全服务控制器102跨相应安全通信信道向NFV编排器104和VIM 106传送安全监测策略。NFV安全服务控制器102还经由安全通信信道418在通信上被耦合到NFV安全监测分析系统438。
NFV安全监测分析系统438(其将在下文进一步描述)基于NFV安全监测分析系统438在按照当前所实施安全监测策略来接收的遥测数据的分析中是否已检测到安全威胁、例如攻击(例如拒绝服务(DoS)攻击、中间人攻击、窃听、数据修改攻击等)或异常,来为NFV安全服务控制器102提供矫正策略(即,所更新安全监测策略)。相应地,NFV安全服务控制器102配置成基于矫正策略、例如通过可采取以应对威胁或验证异常的矫正动作来实施对安全监测策略的任何更新。例如,矫正动作可包含阻止某些网络业务(即,某些网络分组)、向深层分组检查(DPI) VNF实例流播某些网络业务、速率限制或抑制网络业务等。相应地,NFV安全服务控制器102然后可向VIM 106的NFV安全服务提供器420传送安全策略更新。
另外,说明性NFV安全服务控制器102与两个逻辑安全数据库进行接口:审计数据库410和NFV安全数据库412。审计数据库410是安全数据库,其包含与NFV安全架构116的各种安全监测组件相关的安全审计信息。安全审计信息可包含配置变化日志、网络追踪、调试追踪、应用追踪等。在说明性NFV安全架构116中,审计数据库410还配置成与NFV安全架构116的其他网络和安全监测组件(例如VIM 106和跨NFV安全架构116而分布的各种NFV安全服务代理,其将在下面更详细论述)进行接口。在一些实施例中,与审计数据库410进行接口的说明性NFV安全架构116的各种安全监测组件可使用安全时钟(例如图2的安全时钟216)对于在审计数据库410所接收的遥测数据加时间戳以供安全存储。相应地,NFV安全服务控制器102能够基于遥测数据的时间戳来审计遥测数据(即,对遥测数据进行检验和定序)。
NFV安全数据库412体现为用于部署跨NFV安全架构116(即,跨NFV安全架构116)的安全监测的安全数据库。相应地,NFV安全数据库412可包含安全数据结构,例如NFV订户/租户、SFC策略、SFC路径保护策略、VIM 106(例如VIM控制器424)的控制器策略、NFV安全监测策略和配置、NFV安全配备凭证(例如用于保护SFC)服务功能链、VNF间策略、一个或多个云操作系统安全策略和/或具体租户安全策略。
如先前所述,在使用中,NFV编排器104管理NFV基础设施108中的VNF的生存周期,包含例示、向外/向内扩展、测量性能、相互关连事件、终止等。要这样做,NFV编排器104配置成经由安全通信信道434向VNF管理器432提供指令,以便基于NFV基础设施108的资源来管理NFV基础设施108的VNF(参见VNF实例440)的初始化和配置(即,扩缩和部署)。VNF管理器432还配置成执行配置的总体协调和自适应以及NFV基础设施108的事件报告。VNF管理器432还配置成更新和确保VNF的完整性。要这样做,VNF管理器432配置成经由安全通信信道430与VIM 106协商,以确定在其上例示特定VNF实例的可用物理资源。应当理解,VIM 106可使用任何适当技术、算法和/或机制进行这种确定。还应当理解,在一些实施例中,单个VNF管理器432可负责管理一个或多个VNF实例。换言之,在一些实施例中,可为每个VNF实例来例示VNF管理器432。
又如先前所述,在使用中,VIM 106经由通过安全通信信道474所安全传送的消息来控制和管理NFV基础设施108的虚拟和硬件计算、存储和网络资源的分配。另外,VIM 106可配置成收集NFV基础设施108计算、存储和网络资源(例如物理和虚拟)的性能测量和事件并且将其安全转发至审计数据库410。说明性VIM 106包含NFV安全服务提供器420、VIM控制器424和多个VIM组件428。NFV安全服务提供器420配置成经由安全通信信道414从NFV安全服务控制器102接收安全监测策略,实现跨NFV基础设施108的各种安全监测组件的安全监测策略,并且基于从NFV安全服务控制器102所接收的安全监测策略来配备VNF实例(例如VNF实例440的服务功能链VNF 452)。
另外,NFV安全服务提供器420配置成与VIM 106的NFV安全服务代理的一个或多个和NFV基础设施108安全地通信。VIM控制器424配置成用作网络策略控制器或网络体系服务控制器,用作举例,比如软件定义网络体系(SDN)控制器或OpenStack Neutron。VIM组件428可包含如安装VNF实例和/或激活服务可需要的VIM 106的任何附加物理和/或虚拟计算、存储和网络资源,例如VNF图像管理控制器(例如安装和配备VNF实例440的OpenStack Nova)。说明性VIM控制器424包含NFV安全服务代理426,其配置成收集VIM控制器424的遥测数据、例如基于策略的信息以及来自其他VIM组件428的遥测数据。
NFV基础设施108包含从其中可部署VNF的计算节点110的硬件和软件组件(即,虚拟计算、存储和网络资源、虚拟化软件、硬件计算、存储和网络资源等)的所有。应当理解,NFV基础设施108的物理和/或虚拟组件可跨不同位置、数据中心、地理、提供器等。另外,还应当理解,网络(NFV基础设施108的组件通过该网络用来进行通信和接口的)可被认为包含在NFV基础设施108中。
说明性NFV基础设施108包含一个或多个平台480、图2的BIOS 212、管理程序462和一个或多个VNF实例440。说明性平台480包含:第一平台,其被表示为平台(1) 482;以及第二平台,其被表示为平台(N) 482(即,“第N”平台,其中“N”为正整数,并且表示一个或多个附加平台)。平台480的每个包含图2的I/O子系统206、NIC 220和/或交换机222。说明性平台(1) 482还包含NFV安全服务代理486。NFV安全服务代理486配置成经由安全通信信道488收集在硬件级(即,来自I/O子系统206、NIC 220和/或交换机222)的遥测数据。相应地,由安全监测收集代理486所收集的遥测数据可包含NIC配置信息、各种硬件缺陷、差错和/或异常以及网络分组行为(例如丢弃分组)。在收集时,遥测数据例如经由安全通信信道490安全地被传送给NFV安全监测分析系统438。
管理程序462或虚拟机监测器(VMM)在使用中运行VNF实例440,一般经由一个或多个虚拟机(VM)而用于运行VNF实例440的每个。在一些实施例中,VNF实例440可包含虚拟交换机(vSwitch)、虚拟路由器(vRouter)、防火墙、网络地址转换(NAT)、DPI、演进分组核心(EPC)、移动管理实体(MME)、分组数据网络网关(PGW)、服务网关(SGW)、记帐功能和/或其他虚拟网络功能。在一些实施例中,特定VNF实例440可具有多个子实例,其能够运行于单个平台(例如平台482)或者跨不同平台(例如平台482和平台484)。换言之,当虚拟化时,按传统由与特定平台并置的物理硬件所操控的网络功能可作为多个VNF实例440而跨平台480的一个或多个来分布。VNF实例440的每个可包含任何数量的VNF,VNF的每个可包含一个或多个VNF组件(VNFC)(未示出)。应当理解,VNF实例440可体现为任何适当虚拟网络功能;类似地,VNFC可体现为任何适当VNF组件。VNFC是进行协作以传递一个或多个VNF实例440的功能性的过程和/或实例。例如,在一些实施例中,VNFC可以是VNF实例440的子模块。
与VNF实例440相似,应当理解,VNFC可跨一个或多个平台480来分布。此外,应当理解,特定VNF实例440可跨多个平台480来分布,并且仍然形成平台480的一个之上所建立的VNF实例440的一部分。在一些实施例中,VNF实例440和/或VNFC可运行在同一平台(例如平台482或平台484)上,或者同一数据中心内但是在不同平台480上。此外,在一些实施例中,VNF实例440和/或VNFC可跨不同数据中心而运行。
管理程序462配置成建立和/或利用NFV基础设施108的各种虚拟化硬件资源(例如虚拟存储器、虚拟操作系统、虚拟网络体系组件等)。另外,管理程序462可促进跨VNF实例440和/或VNFC的通信。说明性管理程序462包含虚拟路由器464,其经由安全通信信道466在通信上被耦合到NFV安全服务代理468。NFV安全服务代理468配置成经由NFV安全服务提供器420从NFV安全服务控制器102来接收和实现安全监测策略。换言之,NFV安全服务代理468配置成基于安全监测策略来执行主动和/或被动安全监测。此外,NFV安全服务代理468配置成在NFV安全服务代理468的激活时将用于监测和/或收集的网络业务映射到安全监测策略。
说明性NFV安全服务代理468包含SFC代理(其将在下文进一步来描述)和安全监测收集代理472。安全监测收集代理472配置成收集NFV安全服务代理驻留于其处的NFV安全架构116的组件的遥测信息。在说明性NFV安全服务代理468中,组件是管理程序462,而对于NFV安全服务代理486,组件是平台482。应当理解,虽然只有NFV安全服务代理468示出安全监测收集代理472和SFC代理470,但是跨NFV安全架构116来分布的NFV安全服务代理(例如NFV安全服务代理426、NFV安全服务代理448、NFV安全服务代理458、NFV安全服务代理460和NFV安全服务代理486)的每个可包含安全监测收集代理和/或SFC代理的实例。NFV安全服务代理468的安全监测收集代理472配置成收集在BIOS级(即,在BIOS 212和/或管理程序462)的遥测数据。由安全监测收集代理472所收集的遥测数据例如经由安全通信信道490安全地被传送给NFV安全监测分析系统438。
说明性VNF实例440包含:网络VNF 442,其配置成表现为虚拟网络体系装置(例如vSwitch、vRouter、防火墙、NAT、DPI、EPC、MME、PGW、SGW等);监测装置VNF 446,其配置成用作专用监测代理;以及服务功能链450,其包含能够执行特定虚拟功能或服务的一个或多个服务功能链VNF 452。
服务功能链450的说明性服务功能链VNF 452包含:第一服务功能链VNF,其被表示为VNF (1) 454;以及第二服务功能链VNF,其被表示为VNF (N) 456 (即,“第N”服务功能链VNF,其中“N”为正整数,并且表示一个或多个附加服务功能链VNF实例)。此外,说明性服务功能链VNF 452的每个包含NFV安全服务代理的实例(即,VNF (1) 454的NFV安全服务代理458和VNF (N) 456的NFV安全服务代理460)。NFV安全服务代理458、460的每个配置成收集在虚拟环境级的遥测数据(即,从NFV安全服务代理驻留于其上的服务功能链VNF 452的每个来收集VNF遥测数据)。虽然服务功能链450的说明性服务功能链VNF 452的每个包含NFV安全服务代理458、460,但是应当理解,一些实施例,单个NFV安全服务代理(例如监测服务VNF 446的NFV安全服务代理448)可被用来监测和收集遥测数据。
网络VNF 442可包含处理在用户数据平面的网络业务的分组处理器444,例如Intel®数据平面开发套件(Intel® DPDK)。监测服务VNF 446可包含NFV安全服务代理(SSA)448,其配置成收集在虚拟环境级的遥测数据(即,从VNF实例440的每个来收集VNF遥测数据)。由NFV安全服务代理448的安全监测收集代理(未示出)所收集的遥测数据例如经由安全通信信道490安全地被传送给NFV安全监测分析系统438。
NFV安全监测分析系统438配置成经由安全通信信道490从各种NFV安全服务代理来安全地获取与NFV基础设施108相关的遥测数据以及经由安全通信信道436安全地获取与VNF管理器432相关的VNF配置数据。VNF配置数据可包含所例示NFV的数量、所激活NFV的数量、由每个NFV所提供的功能或服务或者功能或服务的部分等。相应地,NFV安全监测分析系统438能够分析遥测数据和VNF配置数据,以检测任何威胁和/或异常是否存在。在一些实施例中,NFV安全监测分析系统438可分析遥测数据和VNF配置数据,以开发从其可识别安全威胁的遥测模式。NFV安全监测分析系统438还配置成响应已检测到安全威胁而向安全监测组件传递矫正策略(即,所更新安全监测策略)供实施。
说明性NFV安全架构116包含多个安全监测组件,其专门配置成监测NFV基础设施108内所运行的服务功能链的安全。服务功能链(SFC)安全监测组件包含NFV安全服务控制器102的SFC安全控制器408、VIM 106的NFV安全服务提供器420的SFC安全提供器422以及整个NFV基础设施108所分布的多个SFC代理。相互认证NFV安全架构116的SFC安全监测组件以用于安全通信,并且可构建于安全已检验引导。相应地,NFV安全架构116的SFC安全监测组件能够跨不同地理、跨不同托管数据中心和/或通过非可信网络来部署。此外,NFV安全架构安全监测组件在NFV安全架构116内能够安全地配备NFV安全架构116的SFC安全监测组件。
安全监测组件在运行于用作举例,比如vEPC架构内的各种VNF之上的控制、管理和/或数据平面上能够执行SFC安全监测组件。在一些实施例中,运行时具体SFC安全监测策略可通过一个平面上发生的事件来触发,而基于安全监测策略所执行的安全监测可在那个平面上和/或其他平面其中之一或两者上发起。例如,事件可在控制平面中例如通过恶意或残缺网络分组来触发,以及矫正策略可包含用于跨控制、管理和数据平面的事件触发网络分组的匹配的SFC监测和网络数据分组收集。
SFC安全控制器408配置成编排跨NFV基础设施108的SFC安全策略。要这样做,SFC安全控制器408配置成与NFV安全数据库412进行通信,以访问SFC安全策略和凭证。SFC安全策略和凭证可包含任何类型的安全策略,用作举例,比如传输策略(即,用于消息、安全密钥等的安全输送)以及在VNF的安全配备和/或NFV基础设施108的各种节点处的安装时的用于安全监测方面的策略。SFC安全策略和凭证还可包含用于跨SFC和/或SFC的VNF内部的通信的策略,例如通信是否将通过软件(即,虚拟)网络接口卡、交换机和/或路由器的硬件来传送。SFC安全策略和凭证可基于流标识符、租户标识符、订户标识符(例如国际移动用户身份(IMSI))、地理位置、监管域等。
在一些实施例中,具体策略可经过OSS/BSS 402和/或现有安全基础设施、例如第三代合作伙伴项目(3GPP)安全基础设施来配置到SFC安全控制器408中。应当理解,在一些实施例中,对于运行时策略(例如监测某些订户流、租户、应用标签等),策略可使用现有安全基础设施来传递。如先前所述,可相互认证NFV安全架构116的安全监测组件。在其他实施例中,SFC安全控制器408可在SFC代理和/或其他遥测采集组件之间传递安全密钥。作为补充或替代,在一些实施例中,现有安全基础设施还可传递可用于各种VNF间或者每SFC通信或策略实施的安全密钥。另外,SFC安全控制器408还配置成经由安全通信信道414向一个或多个SFC安全提供器422安全地提供SFC安全策略。
与NFV安全服务控制器102相似,SFC安全控制器408配置成基于在NFV安全监测分析系统438所接收的所分析遥测数据从NFV安全监测分析系统438安全地接收矫正安全监测策略,其过程在下文进一步描述。又与由NFV安全服务控制器102所接收的矫正策略相似,由SFC安全控制器408所接收的矫正安全监测策略可包含基于由NFV安全监测分析系统438所执行的遥测数据的分析要对由NFV安全监测分析系统438所怀疑的网络业务所采取的矫正动作。矫正动作可包含阻止某些网络业务、向深层分组检查(DPI) VNF实例流播某些网络业务、速率限制或抑制网络业务或者可对可疑网络业务所采取以便进一步识别根本原因或验证安全威胁的任何其他动作。
SFC安全控制器408还配置成向通信上被耦合到SFC安全控制器408的说明性NFV安全服务提供器420的一个或多个SFC安全提供器422传递安全监测策略更新。SFC安全提供器422配置成跨VIM 106的各种网络和安全监测组件(包括VIM控制器424)来传送安全监测策略更新。SFC安全提供器422还配置成跨整个NFV基础设施108所分布的NFV安全服务代理内的各种SFC代理来传送安全监测策略更新(包含任何适当安全监测动作)。
虽然说明性NFV基础设施108仅包含NFV安全服务代理468的SFC代理470,但是应当理解,SFC代理可在整个NFV基础设施108所分布的NFV安全服务代理的任何一个或多个内来例示。SFC代理(例如SFC代理470)配置成与NFV基础设施108的各种安全监测组件进行通信,以执行遥测数据的提取,并且基于安全监测策略安全地传递所提取遥测数据。遥测数据提取(即,收集)能够使用NFV基础设施108内例如在Open vSwitch、Open vRouter、DPDK、硬件NIC(例如NIC 220)、硬件交换机(例如交换机222、或硬件路由器(它们与SFC代理相连接)等的适当钩子(hook)来发起。
应当理解,与说明性NFV安全服务代理468的安全监测收集代理472相似,每个SFC代理还可包括那个SFC代理特定的收集代理(未示出),和/或依靠SFC代理驻留于其上的NFV安全服务代理的安全监测收集代理,其未示出以保存说明的清楚。换言之,在由SFC代理进行的被动和/或主动安全监测期间所提取的遥测数据可由运行于NFV基础设施108的SFC代理的收集代理(例如修改sFlow等)来收集。
如上所述,遥测数据可体现为对其可被执行安全分析的任何类型的数据。例如,遥测数据可包含安全统计以及来自NFV基础设施108内的各种硬件资源(例如计算、存储和网络)、虚拟化软件和虚拟资源(例如计算、存储和网络)的配置和健康数据。作为补充或替代,遥测数据可包含具体流(即,通过要被监测和/或被收集以供封装和传输的特定流的标识符所确定)、装置、节点、管理域、地理和/或任何管理地所配置流等的完整或部分(例如报头、有效载荷等)网络分组。要这样做,SFC代理可被提供有唯一标识网络分组、装置、节点、地理等的标识符。此外,遥测数据可以是具体于例如特定SFC、合并SFC流或所隧穿SFC流。作为补充或替代,遥测数据可包含完全SFC业务分组流或者SFC业务分组流的子集,例如虚拟局域网(VLAN)以及第二层(L2)或第三层(L3)所隧穿分组。
SFC代理可从NFV基础设施108的任何安全监测组件和/或通信信道(例如安全VM、物理层NIC、交换机、路由器和/或构造)来提取遥测数据。例如,在一些实施例中,在VNF实例440之一的NFV安全服务代理(例如NFV安全服务代理448、NFV安全服务代理458或者NFV安全服务代理460)内所例示和所激活的SFC代理可与Intel® DPDK用户平面应用(例如vSwitch、vRouter、EPC系统等)进行通信,以提取遥测数据。在另一个示例中,在一些实施例中,SFC代理470可与虚拟路由器464(例如虚拟路由器464的Open vSwitch)进行通信,以提取遥测数据。
在使用中,SFC代理封装并且经由安全通信信道490向NFV安全监测分析系统438安全地传递遥测数据。SFC安全控制器408提供和配置从各种SFC代理和NFV安全监测分析系统438所接收并且在其之间配置的保护凭证。要这样做,SFC代理可使用手动密钥配备、预共享密钥和/或使用SFC安全控制器408的另一个相互认证功能的引导程序。此外,通信信道490能够通过一个或多个安全密钥(例如唯一成对随机密钥会话,其具有所配置的合理有限密钥生存期)来保护。
现在参照图5,在使用中,NFV安全服务控制器102在操作期间建立环境500。NFV安全服务控制器102的说明性环境500包含安全通信模块510、安全监测策略管理模块520、受保护传输控制模块530、NFV安全服务代理控制模块540和遥测数据审计模块550。说明性环境500在通信上被耦合到审计数据库410(其存储安全审计信息)和图4的NFV安全数据库412(其存储安全监测策略)。环境500的各种模块可体现为硬件、固件、软件或者其组合。例如,环境500的各种模块、逻辑和其他组件可形成NFV安全服务控制器102的硬件组件的一部分或者以其他方式由其来建立。因此,在一些实施例中,环境500的模块的任何一个或多个可体现为电气装置的电路或集合(例如安全通信电路、安全管理电路、受保护传输控制电路、NFV安全服务代理控制电路和遥测数据审计电路等)。作为补充或替代,在一些实施例中,说明性模块的一个或多个可形成另一个模块的一部分和/或说明性模块和/或子模块的一个或多个(其可体现为单机或独立模块)。
安全通信模块510配置成促进向/从NFV安全服务控制器102的数据(例如消息、安全监测策略等)的安全传输。要这样做,安全通信模块510配置成从外部安全系统(例如从外部安全控制器、图4的OSS/BSS 402等)安全地接收安全策略信息。另外,安全通信模块510配置成经由安全通信信道418从NFV安全监测分析系统438接收矫正安全策略。
安全通信模块510还配置成经由安全通信信道414向NFV安全服务提供器420安全地传送所更新安全策略。类似地,安全通信模块510配置成促进NFV安全服务控制器102与NFV安全数据库412以及NFV安全服务控制器102与审计数据库410之间的数据的安全传输。对于安全通信模块510所传送的安全消息的全部,安全通信模块510包含执行传输的NFV安全服务控制器102的实例的唯一标识符以及认证密钥。要这样做,安全通信模块510可例如使用成对会话密钥(其周期地被刷新)来执行各种密钥管理功能、密码功能、安全通信信道管理和/或其他安全功能。相应地,接收消息的安全监测组件能够经由NFV安全服务控制器102来认证消息。
安全监测策略管理模块520配置成基于所接收安全监测策略来编排跨NFV安全架构116的安全监测策略的管理。要这样做,安全监测策略管理模块520包括安全监测策略分发模块522和安全监测策略实施模块524。安全监测策略分发模块522配置成向整个NFV安全架构116的各种安全监测组件、例如向分布于NFV安全架构116的NFV安全服务代理传送安全监测策略(其包括安全监测组件策略、配置和功能)。
安全监测策略实施模块524配置实施被传送给NFV安全架构116的各种安全监测组件的安全监测策略。要这样做,安全监测策略实施模块524配置成通过检验NFV安全服务代理按照安全监测策略所配置以及按照安全监测策略监测和收集遥测数据来实施安全监测策略。例如,安全监测策略实施模块524可配置成检验在NFV基础设施108的VNF实例、例如NFV基础设施108处的在VNF的板载或者在VNF运行时的安全监测策略,以确保VNF实例正确地被配置,并且当前运行于其上的NFV安全服务代理正在监测和收集遥测数据(其按照安全监测策略)。另外,安全监测策略实施模块524可基于安全监测策略来检验包含多个VNF实例(例如服务功能链450的服务功能链VNF 452)的服务功能链(例如图4的服务功能链450)的拓扑。
受保护传输控制模块530配置成建立VNF、例如服务功能链450的服务功能链VNF452的受保护传输策略(例如应用安全通信信道保护的安全)。如先前所述,NFV安全服务控制器102可配置成充当认证服务器,以保护安全通信信道。相应地,受保护传输控制模块530还可包含消息认证模块534,其配置成表现为认证服务器(即,对整个NFV安全架构116的安全通信信道所传送和所接收的消息执行认证。例如,受保护传输控制模块530可利用一个或多个安全密钥(例如熔丝密钥、会话密钥或者任何类型的密码密钥)来建立可信根(RoT),以保护通信信道(例如经由共享存储器)。在一些实施例中,安全密钥可体现为可周期地被刷新的成对会话密钥。类似地,受保护传输控制模块530配置成保护安全监测组件与审计数据库410之间的安全通信信道。
NFV安全服务代理控制模块540配置成管理NFV安全服务代理(参见图4),其配置成传递整个VIM 106和NFV基础设施108的各种安全功能。要这样做,NFV安全服务代理控制模块540在NFV安全服务代理的引导之前播种适当安全和策略配置信息(例如,要连接哪个VNF管理器),其可由NFV安全服务代理在运行时来提取,以执行特定任务、例如以连接到适当VNF管理器。例如,在其中NFV安全架构116包含服务功能链的多个所例示VNF(例如服务功能链450的服务功能链VNF 452)的实施例中,NFV安全服务代理控制模块540配置成激活服务功能链的VNF,通过在服务功能链的VNF的一个或多个之上运行NFV安全服务的引导程序来发起NFV安全服务代理的部署(即,自旋加速和例示),并且接收引导程序信息(例如可由引导程序所使用以例示NFV安全服务代理的引导程序配置参数、那个特定NFV安全服务代理实例的个性化信息和/或NFV安全服务代理实例的许可证信息等)。
NFV安全服务代理控制模块540还配置成将所例示NFV安全服务代理通知到对应VNF管理器432。NFV安全服务代理可配置成执行相互经认证密钥交换,以用于建立与受保护传输控制模块530的安全通信信道,其能够被NFV安全服务代理控制模块540用来个性化NFV安全服务代理(例如设置名称、安全策略编组、每租户策略,分发与特定NFV安全服务代理驻留于其上的VNF实例的VNF管理器432的用于安全会话建立的密钥资料等)。
遥测数据审计模块550配置成对在审计数据库410所存储的遥测数据执行审计。要这样做,遥测数据审计模块550配置成分析与遥测数据关联的时间戳。如先前所述,遥测数据在被传送给审计数据库410之前由安全时钟(例如图2的安全时钟216)来加时间戳。相应地,遥测数据审计模块550还配置成对遥测数据进行检验和定序作为审计的部分。
现在参照图6,在使用中,每个NFV安全服务代理(例如图4的NFV安全服务代理426、448、458、460、468、486)在操作期间建立环境600。对应NFV安全服务代理的说明性环境600包含安全通信模块610、遥测数据监测模块620、遥测数据封装模块630和引导程序执行模块640。说明性环境600还包含安全策略数据库602(其中存储NFV安全服务代理处的安全监测策略)和遥测数据库604(其中存储NFV安全服务代理处的遥测数据)。
环境600的各种模块可体现为硬件、固件、软件或者其组合。例如,环境600的各种模块、逻辑和其他组件可形成NFV安全服务代理的硬件组件的一部分或者以其他方式由其来建立。因此,在一些实施例中,环境600的模块的任何一个或多个可体现为电气装置的电路或集合(例如安全通信电路、遥测数据监测电路、遥测数据封装电路和引导程序执行电路等)。作为补充或替代,在一些实施例中,说明性模块的一个或多个可形成另一个模块的一部分和/或说明性模块和/或子模块的一个或多个可体现为单机或独立模块。
安全通信模块610配置成促进向/从NFV安全服务代理的数据(例如消息、遥测数据等)的安全传输。例如,如图4所示,NFV基础设施108的NFV安全服务代理配置成使用NFV安全服务控制器102所提供的保护凭证向NFV安全监测分析系统438和审计数据库410传送遥测数据。遥测数据监测模块620配置成监测组件和/或NFV安全服务代理所位于的等级的遥测数据。遥测数据监测模块620还配置成主动和/或被动地监测遥测数据。遥测数据可包含虚拟和/或物理配置数据以及安全统计、完整网络分组、网络分组报头或者与特定流、具体装置、具体演进节点B(又称作E-UTRAN节点B、eNodeB和eNB)、特定地理或者任何管理经配置流关联的所有网络分组。
遥测数据封装模块630配置成收集和封装遥测数据、例如在遥测数据监测模块620所监测的遥测数据。相应地,所收集和所封装的遥测数据可以是任何类型的数据,包含NFV基础设施108或VIM 106的硬件资源(例如计算、存储和网络)、虚拟化软件和/或虚拟资源(例如计算、存储和网络)的信息,例如VNF配置设定、I/O子系统206设定、NIC 220设定、交换机222设定、虚拟路由器464设定、虚拟交换机设定、虚拟网关设定、vEPC设定、控制器设定、网络业务信息、完整和/或部分网络分组等。此外,遥测数据封装模块630配置成例如经由安全通信模块610向专用分析系统(例如图4的NFV安全监测分析系统438)安全地传递所封装遥测数据。
遥测数据监测模块620和/或遥测数据封装模块630还可包含具体代理子模块,以监测和/或收集特定遥测数据。例如,说明性遥测数据监测模块620包含SFC遥测数据监测模块622,以监测具体于NFV基础设施108的服务功能链(例如服务功能链450)的遥测数据。类似地,说明性遥测数据封装模块630包含SFC遥测数据封装模块632,以便收集和封装具体于例如由SFC遥测数据监测模块622所监测的网络基础设施的服务功能链的遥测数据。另外,遥测数据封装模块630和SFC遥测数据封装模块632各配置成使用安全时钟(例如图2的安全时钟216)对用于传输至审计数据库410的遥测数据加时间戳以供安全存储。
引导程序执行模块630配置成运行引导程序以部署NFV安全服务代理,其在计算节点(例如计算节点110之一)上加载NFV安全服务代理。引导程序执行模块630还配置成在NFV安全架构116的网络处理组件的任一个(包括例如VNF实例(例如服务功能链450的服务功能链VNF 452之一)、管理程序462以及平台480之一)之上运行引导程序。
现在参照图7,在使用中,NFV安全服务控制器102可运行用于管理NFV安全架构116的安全监测服务的方法700。方法700开始于框702,其中NFV安全服务控制器102经由安全通信信道(例如图4中到VIM 106的通信信道414)向NFV基础设施108内已经例示的VNF传送安全监测策略。如先前所述,安全监测策略包含各种监测规则,其被VNF用来确定要监测哪个遥测数据以及如何配置VNF的资源和功能性。在使用中,NFV安全服务控制器102通过安全通信信道414随唯一标识NFV安全服务控制器102的标识符向NFV安全服务提供器420传送安全监测策略。在一些实施例中,NFV安全服务控制器102可经由NFV编排器104从外部源、例如外部控制器或者图4的OSS/BSS 402接收安全监测策略。
在框704,NFV安全服务控制器102在VNF检验安全监测策略。例如,NFV安全服务控制器102可检验NFV基础设施108处的在VNF运行时或者在VNF板载的安全监测策略。在框706,NFV安全服务控制器102基于安全监测策略来安装多个VNF之间(包括它们之间的路径(即,通信路径))的SFC拓扑。在一些实施例中,NFV安全服务控制器102可在框708基于安全监测策略来应用路径的安全,以保护跨路径所传送的通信。
在框710,NFV安全服务控制器102基于安全监测策略来检验SFC拓扑,以确保符合安全监测策略。在框712,NFV安全服务控制器102建立用于SFC的VNF(例如图4的服务功能链450的服务功能链VNF 452)的受保护传输策略。在框714,NFV安全服务控制器102激活SFC的VNF的每个。要这样做,NFV安全服务控制器102可经由安全通信信道向VNF的每个传送激活信号。另外,与从要求认证的NFV安全服务控制器102所传送的其他信号(即,消息)相似,激活信号包含唯一标识符,使得VNF能够认证激活信号。
在框716,NFV安全服务控制器102发起NFV安全服务代理的部署(即,自旋加速和例示)。要这样做,NFV安全服务控制器102运行NFV安全服务代理的引导程序。如先前所述,NFV安全服务代理可被分布于整个VIM 106和/或NFV基础设施108,以执行安全监测操作。相应地,NFV安全服务代理可在图4的NFV安全架构116的多个安全监测组件、例如SFC的VNF其中之一来例示。
在框718,NFV安全服务控制器102确定是否从所例示NFV安全服务代理接收引导程序信息。如果没有的话,则方法700循环回到框718,以继续等待从所例示NFV安全服务代理接收引导程序信息。如果NFV安全服务控制器102确定从所例示NFV安全服务代理接收到引导程序信息,则方法700前进到框720,其中NFV安全服务控制器102将其中例示NFV安全服务代理的VNF通知到管理器。通知包含与VNF的实例对应的唯一标识符以及与NFV安全服务代理的实例对应的另一个唯一标识符。相应地,VNF管理器则能够基于唯一标识符来管理所例示NFV安全服务代理并且与其通信。在框722,NFV安全服务控制器102激活所例示NFV安全服务代理。在框724,NFV安全服务控制器102实施跨整个VIM 106和/或NFV基础设施108所分布的NFV安全服务代理的安全监测策略。
现在参照图8,在使用中,NFV安全服务控制器102可运行用于更新安全监测策略的方法800。方法800开始于框802,其中NFV安全服务控制器102确定是否从NFV安全监测分析系统438接收矫正策略。如先前所述,整个VIM 106和/或NFV基础设施108所分布的NFV安全服务代理配置成收集遥测数据,其安全地被传送给NFV安全监测分析系统438供分析,以确定是否检测到任何威胁和/或异常。相应地,在NFV安全监测分析系统438检测到这种安全威胁(例如攻击或异常)的情况下,NFV安全监测分析系统438安全地传送针对解决或者进一步分析所检测安全威胁(其触发矫正策略)的矫正策略。如果NFV安全服务控制器102确定没有接收到矫正策略,则方法800循环回到框802,直到接收到矫正策略。
如果NFV安全服务控制器102接收到矫正策略,则在框804,NFV安全服务控制器102基于在框802所接收的矫正策略来更新当前安全监测策略。在框806,NFV安全服务控制器102经由安全通信信道(例如图4中到VIM 106的通信信道414)向NFV安全服务提供器420传送安全监测策略更新。相应地,安全监测策略更新则能够从NFV安全服务提供器420进一步被传送给整个VIM 106和/或NFV基础设施108所分布的NFV安全服务代理。
在一些实施例中,在框808,NFV安全服务控制器102还经由安全通信信道随安全监测策略向NFV安全服务提供器420传送对NFV安全服务控制器102唯一的标识符。作为补充或替代,在一些实施例中,在框810,NFV安全服务控制器102还经由安全通信信道向NFV安全服务提供器420传送响应矫正策略而要采取的一个或多个矫正动作以及安全监测策略。例如,(一个或多个)矫正动作可包含阻止某些网络业务、向深层分组检查(DPI) VNF实例流播某些网络业务、速率限制或抑制网络业务等。在框812,NFV安全服务控制器102实施跨整个VIM106和/或NFV基础设施108所分布的NFV安全服务代理的所更新安全监测策略。
现在参照图9,用于例示NFV安全服务代理的通信流程900的实施例包含图4的NFV安全架构116的各种安全监测组件。说明性通信流程900包含NFV编排器104、NFV安全服务控制器102、NFV安全服务提供器420、NFV基础设施108、NFV安全服务代理之一(例如NFV安全服务代理426、NFV安全服务代理448、NFV安全服务代理458、NFV安全服务代理460和NFV安全服务代理486)和VNF管理器432。说明性通信流程900还包含多个数据流程,其中的一些可根据实施例单独或共同来运行。
在数据流程902,NFV编排器104向NFV安全服务控制器102传送从OSS/BSS 402所接收的安全监测策略。在数据流程904,NFV安全服务控制器102随NFV安全服务控制器的唯一标识符向NFV安全服务提供器420安全地传送命令,以例示NFV安全服务代理。在数据流程906,NFV安全服务提供器420向NFV基础设施108安全地传送具有NFV安全服务控制器和/或NFV安全服务提供器的唯一标识符的命令,以部署(即,自旋加速和例示)NFV安全服务代理。
在数据流程908,NFV基础设施108自旋加速NFV安全服务代理。如先前所述,NFV安全服务代理可在NFV基础设施108内的各种位置(包含NFV(例如NFV安全服务代理448、NFV安全服务代理458和NFV安全服务代理460)、管理程序462(例如NFV安全服务代理468)和平台480(例如NFV安全服务代理486))来自旋加速。在数据流程910,例示NFV安全服务代理(即,发起NFV安全服务代理的引导程序)。在数据流程912,NFV安全服务代理经过引导程序执行过程。在数据流程914,NFV安全服务代理向NFV安全服务控制器102传送引导程序信息。
在数据流程916,NFV安全服务控制器102通知VNF管理器432,其负责管理NFV安全服务代理。通知可包含与NFV安全服务代理的实例对应的唯一标识符以及与NFV安全服务代理所在的组件(例如服务功能链450的服务功能链VNF 452之一、管理程序462、平台480之一等)对应的另一个唯一标识符。在数据流程918,所例示NFV安全服务代理建立与VNF管理器432的管理会话。
在数据流程920,NFV安全服务控制器102在NFV安全服务提供器420实施安全监测策略。在数据流程922,NFV安全服务提供器420在NFV安全服务代理实施安全监测策略的NFV安全服务代理部分。在框924,NFV安全服务控制器102激活NFV安全服务代理。要这样做,NFV安全服务控制器102经由安全通信信道向NFV安全服务代理提供激活信号。另外,按照需要被认证的NFV安全服务控制器102所传送的其他消息,激活信号可包含唯一标识符。在数据流程926,NFV安全服务代理将网络业务映射到安全监测策略。相应地,NFV安全服务代理能够按照安全监测策略来监测和收集遥测数据。
现在参照图10,在使用中,NFV安全服务代理之一可运行用于监测NFV安全架构116的安全的方法1000。方法1000开始于框1002,其中NFV安全服务代理确定是否接收到例示请求。如果没有的话,则方法1000循环回到框1002,以继续等待例示请求。如果在框1002接收到例示请求,则方法1000前进到框1004。在框1004,NFV安全服务代理运行引导程序过程,以部署NFV安全服务代理,其在计算节点(例如计算节点110之一)上加载NFV安全服务代理。相应地,引导程序过程可使基于NFV基础设施108和/或其上部署NFV安全服务代理的NFV基础设施108的组件的优化得以发生,例如跨NFV基础设施108的NFV安全服务代理的加速、扩展性、快速部署等。
在框1006,NFV安全服务代理向NFV安全服务控制器102传送引导程序信息。引导程序信息可包含例如可由引导程序所使用以例示NFV安全服务代理的引导程序配置参数、特定NFV安全服务代理实例的个性化信息和/或NFV安全服务代理实例的许可证信息。在框1008,NFV安全服务代理建立与VNF管理器(例如VNF管理器432)的管理会话。相应地,已与其建立管理会话的VNF管理器能够承担NFV安全服务代理的管理控制。在框1010,NFV安全服务代理经由NFV安全服务提供器420从NFV安全服务控制器102接收用于主动和/或被动监测的安全监测策略。相应地,NFV安全服务代理可以仅接收与NFV安全服务代理相关的安全监测策略的一部分。
在框1012,NFV安全服务代理基于安全监测策略来映射用于监测和/或收集的网络业务数据。换言之,NFV安全服务代理基于安全监测策略来映射要监测哪个网络业务。在框1014,NFV安全服务代理基于安全监测策略来执行安全监测(例如所映射网络业务的安全监测)。要这样做,在框1016,NFV安全服务代理对控制、管理和/或数据平面执行安全监测。在一些实施例中,基于安全监测策略,监测可以是具有基于手动和自动异常检测的所提供遥测监测或具体监测策略传递和激活的连续监测,。作为补充或替代,在一些实施例中,监测可由管理员基于管理员所指定的标准来触发。
在框1018,NFV安全服务代理收集遥测数据。所收集的遥测数据可包含虚拟和/或物理网络统计、网络健康监测信息、网络分组(例如网络分组的整个流、随机网络分组等)和/或任何其他组件配置或网络分组相关数据。在一些实施例中,NFV安全服务代理可经由配置成在受保护本地存储装置收集遥测数据的安全监测收集代理(例如图4的安全监测收集代理486)来收集遥测数据。在框1020,NFV安全服务代理封装所收集遥测数据、安全输送密钥和NFV安全服务代理的唯一标识符以供受保护传输。在框1022,NFV安全服务代理经由安全通信信道(例如图4的安全通信信道490)向配置成为了威胁和/或异常而分析遥测数据的NFV安全监测分析系统(例如图4的NFV安全监测分析系统438)安全地传送所封装遥测数据、安全输送密钥和唯一标识符。
现在参照图11,用于监测NFV安全架构116的服务功能链(SFC)(例如在图4的说明性服务功能链VNF 452)的安全的通信流程1100的实施例。如先前所述,多个安全监测组件可专门被配置,或者包含附加和/或备选安全监测组件,以监测NFV基础设施(例如NFV基础设施108)内所运行的服务功能链的安全。例如,图4的说明性NFV安全架构116的具体SFC安全监测组件包含NFV安全服务控制器102的SFC安全控制器408、VIM 106的NFV安全服务提供器420的SFC安全提供器422以及在NFV基础设施108的各种网络监测和/或处理组件(虚拟和物理)中的整个NFV基础设施108所分布的多个SFC代理。又如先前所述,虽然SFC代理470在NFV安全服务代理468中被示出,但是应当理解,整个NFV基础设施108所分布的NFV安全服务代理的每个可包含SFC代理。相应地,在一些实施例中,SFC代理可驻留在SFC的VNF(例如服务功能链450的服务功能链VNF 452之一)中。
说明性通信流程1100包含SFC代理470、安全监测收集代理472、NFV安全监测分析系统438、SFC安全控制器408和SFC安全提供器422。说明性通信流程1100还包含多个数据流程,其中的一些可根据实施例单独或共同来运行。在数据流程1102,SFC代理470向安全监测收集代理472安全地传送安装、激活和过滤策略以及SFC代理470的唯一标识符。安装、激活和过滤策略包含与SFC代理470的安装、激活和保护有关的各种指令和信息以及安全监测收集代理472从其能够用来过滤有关网络业务的各种指令和信息。例如,安全监测收集代理472可过滤网络业务,以便仅监测安装、激活和过滤策略所指示的网络业务。相应地,在数据流程1104、安全监测收集代理472基于安装、激活和过滤策略来监测和收集遥测数据。
在数据流程1106,安全监测收集代理472封装所收集遥测数据以供至NFV安全监测分析系统438的安全传输。在数据流程1108,安全监测收集代理472经由安全通信信道向NFV安全监测分析系统438安全地传送所封装遥测数据。另外,所封装遥测数据还可包含SFC代理470的唯一标识符。在数据流程1110,NFV安全监测分析系统438接收所封装遥测数据,并且对所接收遥测数据执行安全威胁分析。在数据流程1112,NFV安全监测分析系统438在检测到安全威胁、例如攻击或异常时经由安全通信信道安全地传送矫正策略和NFV安全监测分析系统438的唯一标识符。矫正策略可包含一个或多个矫正动作,其可响应检测到安全威胁而采取,例如以应对威胁或检验异常。例如,(一个或多个)矫正动作可包含阻止某些网络业务、向深层分组检查(DPI) VNF实例流播某些网络业务、速率限制或抑制网络业务等。
在数据流程1114,SFC安全控制器408基于矫正策略以及其中所包含的一个或多个矫正动作来更新当前安全策略。在数据流程1116,SFC安全控制器408经由安全通信信道向SFC安全提供器422安全地传送所更新安全策略以及具有对SFC安全控制器408的实例唯一的标识符。应当理解,在一些实施例中,SFC安全控制器408可根据VIM 106的拓扑和分布与一个以上SFC安全提供器422进行安全通信。相应地,SFC安全控制器408与SFC安全提供器422的哪个进行通信(例如提供安全监测策略)可取决于安全监测策略。例如,如果服务功能链跨越多个存在点(POP)(例如接入点),则可传递单个SFC策略(即,具体于SFC的安全监测策略)给在不同POP的多个SFC安全提供器422。换言之,每个POP可运行单独VIM 106并且因此运行单独SFC安全提供器422。
在数据流程1118,SFC安全提供器422跨VIM 106(例如VIM控制器424、其他VIM组件428等)传递所更新安全策略。在数据流程1120,SFC安全提供器422向SFC代理470安全地传送所更新安全策略以及对SFC安全提供器422的实例唯一的标识符。
示例
下面提供本文所公开技术的说明性示例。技术的实施例可包含以下所述示例的任一个或多个或者它们的任何组合。
示例1包含用于管理NFV安全架构的安全监测服务的NFV安全架构的网络功能虚拟化(NFV)安全服务控制器,NFV安全控制器包括:安全监测策略分发模块,经由NFV安全架构的虚拟基础设施管理器(VIM)的NFV安全服务提供器向在NFV安全架构的虚拟网络功能(VNF)基础设施中所分布的一个或多个NFV安全服务代理传送安全监测策略,其中安全监测策略包括NFV安全服务代理可用来监测NFV安全架构的遥测数据并且调整NFV安全服务代理的配置设定的监测规则的集合;以及安全监测策略实施模块,实施被传送给NFV安全架构的一个或多个安全监测组件的安全监测策略。
示例2包含示例1的主题,并且其中传送安全监测策略还包括传送标识符,其中标识符是对NFV安全服务控制器唯一的。
示例3包含示例1和2中的任一个的主题,并且其中传送安全监测策略包括经由安全通信信道传送安全监测策略。
示例4包含示例1-3中的任一个的主题,并且其中经由安全通信信道传送安全监测策略包括经由专用于NFV安全服务控制器与NFV安全服务提供器之间的通信的安全通信信道向NVF安全服务提供器传送安全监测策略。
示例5包含示例1-4中的任一个的主题,并且其中经由安全通信信道传送安全监测策略包括建立可信根(RoT),以便使用一个或多个安全密钥来保障通信信道。
示例6包含示例1-5中的任一个的主题,并且其中安全监测策略包含安全监测组件配置信息和遥测数据监测指令,并且其中实施安全监测策略包括(i)检验一个或多个NFV安全服务代理被配置作为安全监测组件配置信息的函数,以及(ii)监测作为遥测数据监测指令的函数的遥测数据。
示例7包含示例1-6中的任一个的主题,并且还包含:安全通信模块,基于安全监测策略从与服务功能链的多个VNF关联的多个服务代理来接收配置数据;受保护传输控制模块,保障服务功能链的多个虚拟网络功能的每个之间的通信路径;以及NFV安全服务代理控制模块,基于所接收的配置数据和安全监测策略来检验服务功能链的多个虚拟网络功能的拓扑。
示例8包含示例1-7中的任一个的主题,并且其中NFV安全服务代理控制模块还(i)激活服务功能链的多个虚拟网络功能,(ii)例示虚拟网络功能的至少一个上的一个或多个NFV安全服务代理的NFV安全代理,以及(iii)激活虚拟网络功能的至少一个上的所例示NFV安全服务代理。
示例9包含示例1-8中的任一个的主题,并且其中安全通信模块还配置成从NFV安全服务代理来接收引导程序信息,其中引导程序信息限定NFV安全服务代理的初始化的特性,以及其中例示NFV安全服务代理包括运行NFV安全服务代理的引导程序,以便在与NFV安全服务控制器进行网络通信的计算节点上加载NFV安全服务代理。
示例10包含示例1-9中的任一个的主题,并且其中接收引导程序信息包括接收引导程序可用来例示NFV安全服务代理的引导程序配置参数的至少一个、NFV安全服务代理实例的个性化信息或者NFV安全服务代理实例的许可证信息。
示例11包含示例1-10中的任一个的主题,并且其中实施安全监测策略包括实施在所激活NFV安全服务代理的安全监测策略。
示例12包含示例1-11中的任一个的主题,并且其中实施在所激活NFV安全服务代理的安全监测策略包括检验在所激活NFV安全服务所监测的遥测数据是按照安全监测策略的监测规则的。
示例13包含示例1-12中的任一个的主题,并且其中检验遥测数据包括检验安全统计、硬件配置数据、软件配置数据、虚拟化软件数据、虚拟组件配置数据、虚拟资源数据、硬件健康数据、硬件资源数据的至少一个或者在所激活NFV安全服务代理所监测的网络分组的至少一部分按照安全监测策略的监测规则来监测。
示例14包含示例1-13中的任一个的主题,并且其中安全通信模块还配置成响应由NFV安全监测分析系统进行的将一个或多个NFV安全服务代理之一所传送的遥测数据的至少一部分识别为安全威胁的确定,而从通信上被耦合到NFV安全服务控制器的NFV安全监测分析系统来接收矫正策略。
示例15包含示例1-14中的任一个的主题,并且还包括安全监测策略管理模块,以便基于矫正策略来更新安全监测策略,其中安全监测策略分发模块还向NFV安全架构的一个或多个安全监测组件传送所更新安全监测策略,以及其中安全监测策略实施模块还实施被传送给NFV安全架构的一个或多个安全监测组件的所更新安全监测策略。
示例16包含示例1-15中的任一个的主题,并且还包含遥测数据审计模块,以便审计被存储在与NFV安全服务控制器进行网络通信的审计数据库的遥测数据,其中遥测数据由与NFV安全服务代理(其向审计数据库传送遥测数据)对应的安全时钟来加时间戳,并且其中审计遥测数据包括(i)检验遥测数据以及(ii)定序遥测数据。
示例17包含用于管理网络功能虚拟化(NFV)安全架构的安全监测服务的方法,该方法包括:由NFV安全架构的NFV安全服务控制器经由NFV安全架构的虚拟基础设施管理器(VIM)的NFV安全服务提供器向在NFV安全架构的虚拟网络功能(VNF)基础设施中所分布的一个或多个NFV安全服务代理传送安全监测策略,其中安全监测策略包括NFV安全服务代理可用来监测NFV安全架构的遥测数据并且调整NFV安全服务代理的配置设定的监测规则的集合;以及由NFV安全服务控制器实施被传送给NFV安全架构的一个或多个安全监测组件的安全监测策略。
示例18包含示例17的主题,并且其中传送安全监测策略还包含传送标识符,其中标识符是对NFV安全服务控制器唯一的。
示例19包含示例17和18中的任一个的主题,并且其中传送安全监测策略包括经由安全通信信道传送安全监测策略。
示例20包含示例17-19中的任一个的主题,并且其中经由安全通信信道传送安全监测策略包括经由专用于NFV安全服务控制器与NVF安全服务提供器之间的通信的安全通信信道向NVF安全服务提供器传送安全监测策略。
示例21包含示例17-20中的任一个的主题,并且其中经由安全通信信道传送安全监测策略包括建立可信根(RoT),以便使用一个或多个安全密钥来保障通信信道。
示例22包含示例17-21中的任一个的主题,并且其中安全监测策略包含安全监测组件配置信息和遥测数据监测指令,并且其中实施安全监测策略包括(i)检验一个或多个NFV安全服务代理被配置作为安全监测组件配置信息的函数,以及(ii)监测作为遥测数据监测指令的函数的遥测数据。
示例23包含示例17-22中的任一个的主题,并且还包含:由NFV安全服务控制器基于安全监测策略从与服务功能链的多个VNF关联的多个服务代理来接收配置数据;由NFV安全服务控制器保障服务功能链的多个虚拟网络功能的每个之间的通信路径;以及由NFV安全服务控制器基于所接收的配置数据和安全监测策略来检验服务功能链的多个虚拟网络功能的拓扑。
示例24包含示例17-23中的任一个的主题,并且还包含由NFV安全服务控制器激活服务功能链的多个虚拟网络功能;由NFV安全服务控制器例示虚拟网络功能的至少一个上的一个或多个NFV安全服务代理的NFV安全代理;以及由NFV安全服务控制器激活虚拟网络功能的至少一个上的所例示NFV安全服务代理。
示例25包含示例17-24中的任一个的主题,并且还包含由NFV安全服务控制器从NFV安全服务代理来接收引导程序信息,其中引导程序信息限定NFV安全服务代理的初始化的特性,其中例示NFV安全服务代理包括运行NFV安全服务代理的引导程序以便在与NFV安全服务控制器进行网络通信的计算节点上加载NFV安全服务代理。
示例26包含示例17-25中的任一个的主题,并且其中接收引导程序信息包括接收引导程序可用来例示NFV安全服务代理的引导程序配置参数的至少一个、NFV安全服务代理实例的个性化信息或者NFV安全服务代理实例的许可证信息。
示例27包含示例17-26中的任一个的主题,并且其中实施安全监测策略包括实施在所激活NFV安全服务代理的安全监测策略。
示例28包含示例17-27中的任一个的主题,并且其中实施在所激活NFV安全服务代理的安全监测策略包括检验在所激活NFV安全服务所监测的遥测数据是按照安全监测策略的监测规则的。
示例29包含示例17-28中的任一个的主题,并且其中检验遥测数据包括检验安全统计、硬件配置数据、软件配置数据、虚拟化软件数据、虚拟组件配置数据、虚拟资源数据、硬件健康数据、硬件资源数据的至少一个或者在所激活NFV安全服务代理所监测的网络分组的至少一部分按照安全监测策略的监测规则来监测。
示例30包含示例17-29中的任一个的主题,并且还包含由NFV安全服务控制器响应由NFV安全监测分析系统进行的将一个或多个NFV安全服务代理之一所传送的遥测数据的至少一部分识别为安全威胁的确定,而从通信上被耦合到NFV安全服务控制器的NFV安全监测分析系统来接收矫正策略。
示例31包含示例17-30中的任一个的主题,并且还包含:由NFV安全服务控制器基于矫正策略来更新安全监测策略;由NFV安全服务控制器向NFV安全架构的一个或多个安全监测组件传送所更新安全监测策略;以及由NFV安全服务控制器实施被传送给NFV安全架构的一个或多个安全监测组件的所更新安全监测策略。
示例32包含示例17-31中的任一个的主题,并且还包含由NFV安全服务控制器审计被存储在与NFV安全服务控制器进行网络通信的审计数据库的遥测数据,其中遥测数据由与NFV安全服务代理(其向审计数据库传送遥测数据)对应的安全时钟来加时间戳,并且其中审计遥测数据包括(i)检验遥测数据以及(ii)定序遥测数据。
示例33包含计算装置,其包括:处理器;以及存储器,其中已存储多个指令,其在由处理器运行时使计算装置执行示例17-32中的任一个的方法。
示例34包含其上存储了多个指令的一个或多个机器可读存储介质,指令响应被运行而使计算装置执行示例17-32的任一个的方法。
示例35包含计算装置,其包括用于执行权利要求17-32中的任一个的方法的部件。
示例36包含用于管理网络功能虚拟化(NFV)安全架构的安全监测服务的NFV安全架构的NFV安全服务代理,NFV安全服务代理包括:遥测监测模块,基于从NFV安全架构的NFV安全服务控制器所接收的安全监测策略来监测网络处理组件的遥测数据,其中NFV安全服务控制器与NFV安全服务代理进行网络通信,其中安全监测策略包括NFV安全服务代理可用来监测NFV安全架构的遥测数据和NFV安全服务代理的配置设定的监测规则的集合;遥测数据封装模块,基于安全监测策略来封装被监测遥测数据的至少一部分;以及安全通信模块,经由安全通信信道向NFV安全监测分析系统传送所封装遥测数据供分析,其中所封装遥测数据基于安全监测策略来传送。
示例37包含示例36的主题,并且其中监测遥测数据包括监测控制平面、管理平面或数据平面的至少一个之上的遥测数据。
示例38包含示例36和37中的任一个的主题,并且其中监测遥测数据包括监测安全统计、硬件配置数据、软件配置数据、虚拟组件配置数据、硬件健康数据的至少一个或者在所激活NFV安全服务代理所监测的网络分组的至少一部分按照安全监测策略的监测规则来监测。
示例39包含示例36-38中的任一个的主题,并且其中监测网络分组的至少一部分包括基于唯一标识流量、装置、节点、管理域或地理中的至少一个的标识符来监测网络分组的至少一部分。
示例40包含示例36-39中的任一个的主题,并且其中封装被监测遥测数据包括封装安全统计、硬件配置数据、软件配置数据、虚拟组件配置数据、硬件健康数据的至少一个或者网络分组的至少一部分。
示例41包含示例36-40中的任一个的主题,并且其中遥测数据封装模块还将唯一标识NFV安全服务代理的标识符与所封装遥测数据进一步封装,并且遥测数据分发模块还随所封装遥测数据传送标识符。
示例42包含示例36-41中的任一个的主题,并且还包含引导程序执行模块以运行引导程序过程,以便响应关于安全通信模块从NFV安全服务控制器接收到例示请求的确定而在NFV安全架构的网络处理组件上加载NFV安全服务代理,其中安全通信模块还向NFV安全服务控制器传送引导程序信息,其中引导程序信息包括接收引导程序可用来例示NFV安全服务代理的引导程序配置参数的至少一个、NFV安全服务代理实例的个性化信息或者NFV安全服务代理实例的许可证信息。
示例43包含示例36-42中的任一个的主题,并且其中安全通信模块还(i)从NFV安全服务控制器接收激活信号,以及(ii)建立与NFV安全架构的NFV管理器的管理会话,并且其中NFV管理器与NFV安全服务代理在通信上耦合。
示例44包含示例36-43中的任一个的主题,并且其中安全通信模块还从NFV安全服务控制器接收安全监测策略。
示例45包含示例36-44中的任一个的主题,并且其中从NFV安全服务控制器接收安全监测策略包括从通信上被耦合到NFV安全服务代理和NFV安全服务控制器的虚拟化接口管理器的NFV安全服务提供器来接收安全监测策略。
示例46包含示例36-45中的任一个的主题,并且其中遥测数据监测模块还基于安全监测策略的监测规则来映射网络业务以用于监测。
示例47包含示例36-46中的任一个的主题,并且其中向NFV安全服务控制器传送引导程序信息包括向通信上被耦合到NFV安全服务代理和NFV安全服务控制器的虚拟化接口管理器的NFV安全服务提供器传送引导程序信息。
示例48包含示例36-47中的任一个的主题,并且其中运行引导程序过程包括在当前运行于NFV安全架构的计算节点上的管理程序、计算节点的平台或者当前运行于计算节点上的虚拟网络功能其中之一之上运行引导程序过程。
示例49包含示例36-48中的任一个的主题,并且其中检验遥测数据包括检验安全统计、硬件配置数据、软件配置数据、虚拟组件配置数据、硬件健康数据的至少一个或者在所激活NFV安全服务代理所监测的网络分组的至少一部分按照安全监测策略的监测规则来监测。
示例50包含示例36-49中的任一个的主题,并且其中安全通信模块还从NFV安全服务控制器接收所更新安全监测策略,其中所更新安全监测策略包含要由NFV安全服务代理所执行以应对所检测安全威胁的矫正动作,并且其中遥测数据监测模块还执行矫正动作以应对所检测安全威胁。
示例51包含示例36-50中的任一个的主题,并且其中遥测数据封装模块还对所封装遥测数据应用时间戳,并且其中安全通信模块还随所封装遥测数据传送时间戳。
示例52包含用于执行网络功能虚拟化(NFV)安全架构的安全监测服务的方法,该方法包括:由NFV安全服务代理基于从NFV安全架构的NFV安全服务控制器所接收的安全监测策略来监测网络处理组件的遥测数据,其中NFV安全服务控制器与NFV安全服务代理进行网络通信,其中安全监测策略包括NFV安全服务代理可用来监测NFV安全架构的遥测数据和NFV安全服务代理的配置设定的监测规则的集合;由NFV安全服务代理基于安全监测策略来封装被监测遥测数据的至少一部分;以及由NFV安全服务代理经由安全通信信道向NFV安全监测分析系统传送所封装遥测数据供分析,其中所封装遥测数据基于安全监测策略来传送。
示例53包含示例52的主题,并且其中监测遥测数据包括监测控制平面、管理平面或数据平面的至少一个之上的遥测数据。
示例54包含示例52和53中的任一个的主题,并且其中监测遥测数据包括监测安全统计、硬件配置数据、软件配置数据、虚拟组件配置数据、硬件健康数据的至少一个或者在所激活NFV安全服务代理所监测的网络分组的至少一部分按照安全监测策略的监测规则来监测。
示例55包含示例52-54中的任一个的主题,并且其中监测网络分组的至少一部分包括基于唯一标识流量、装置、节点、管理域或地理中的至少一个的标识符来监测网络分组的至少一部分。
示例56包含示例52-55中的任一个的主题,并且其中封装被监测遥测数据包括封装安全统计、硬件配置数据、软件配置数据、虚拟组件配置数据、硬件健康数据的至少一个或者网络分组的至少一部分。
示例57包含示例52-56中的任一个的主题,并且还包含将唯一标识NFV安全服务代理的标识符与所封装遥测数据进一步封装,其中传送所封装遥测数据还包括传送标识符。
示例58包含示例52-57中的任一个的主题,并且还包含由NFV安全服务代理从NFV安全服务控制器接收例示请求;由NFV安全服务代理运行引导程序过程,以便在NFV安全架构的网络处理组件上加载NFV安全服务代理;以及由NFV安全服务代理向NFV安全服务控制器传送引导程序信息,其中引导程序信息包括接收引导程序可用来例示NFV安全服务代理的引导程序配置参数的至少一个、NFV安全服务代理实例的个性化信息或者NFV安全服务代理实例的许可证信息。
示例59包含示例52-58中的任一个的主题,并且还包含由NFV安全服务代理从NFV安全服务控制器接收激活信号;以及由NFV安全服务代理建立与NFV安全架构的NFV管理器的管理会话,其中NFV管理器与NFV安全服务代理在通信上耦合。
示例60包含示例52-59中的任一个的主题,并且还包含由NFV安全服务代理从NFV安全服务控制器接收安全监测策略。
示例61包含示例52-60中的任一个的主题,并且其中从NFV安全服务控制器接收安全监测策略包括从通信上被耦合到NFV安全服务代理和NFV安全服务控制器的虚拟化接口管理器的NFV安全服务提供器来接收安全监测策略。
示例62包含示例52-61中的任一个的主题,并且还包含由NFV安全服务代理基于安全监测策略的监测规则来映射网络业务以用于监测。
示例63包含示例52-62中的任一个的主题,并且其中向NFV安全服务控制器传送引导程序信息包括向通信上被耦合到NFV安全服务代理和NFV安全服务控制器的虚拟化接口管理器的NFV安全服务提供器传送引导程序信息。
示例64包含示例52-63中的任一个的主题,并且其中运行引导程序过程包括在当前运行于NFV安全架构的计算节点上的管理程序、计算节点的平台或者当前运行于计算节点上的虚拟网络功能其中之一之上运行引导程序过程。
示例65包含示例52-64中的任一个的主题,并且其中检验遥测数据包括检验安全统计、硬件配置数据、软件配置数据、虚拟组件配置数据、硬件健康数据的至少一个或者在所激活NFV安全服务代理所监测的网络分组的至少一部分按照安全监测策略的监测规则来监测。
示例66包含示例52-65中的任一个的主题,并且还包含:由NFV安全服务代理从NFV安全服务控制器接收所更新安全监测策略,其中所更新安全监测策略包含要由NFV安全服务代理所执行以应对所检测安全威胁的矫正动作;以及由NFV安全服务代理执行矫正动作以应对所检测安全威胁。
示例67包含示例52-66中的任一个的主题,并且还包含将时间戳应用于所封装遥测数据,其中传送所封装遥测数据还包括传送时间戳。
示例68包含计算装置,其包括:处理器;以及存储器,其中已存储多个指令,其在由处理器运行时使计算装置执行示例52-67中的任一个的方法。
示例69包含其上存储了多个指令的一个或多个机器可读存储介质,指令响应被运行而使计算装置执行示例52-67的任一个的方法。
示例70包含计算装置,其包括用于执行权利要求52-67中的任一个的方法的部件。
Claims (25)
1.一种网络功能虚拟化(NFV)安全架构的NFV安全服务控制器,所述NFV安全服务控制器用于管理所述NFV安全架构的安全监测服务,所述NFV安全控制器包括:
安全监测策略分发模块,用来经由安全通信信道向经由所述NFV安全架构的虚拟基础设施管理器(VIM)的NFV安全服务提供器而在所述NFV安全架构的虚拟网络功能(VNF)基础设施中所分布的一个或多个NFV安全服务代理传送安全监测策略,其中所述安全监测策略包括由所述NFV安全服务代理可用来监测所述NFV安全架构的遥测数据并且调整所述NFV安全服务代理的配置设定的监测规则的集合;以及
安全监测策略实施模块,用来实施传送给所述NFV安全架构的一个或多个安全监测组件的所述安全监测策略。
2.如权利要求1所述的NFV安全控制器,其中,经由所述安全通信信道传送所述安全监测策略包括经由所述NFV安全服务控制器与所述NVF安全服务提供器之间的通信所专用的安全通信信道向所述NVF安全服务提供器传送所述安全监测策略。
3.如权利要求1所述的NFV安全控制器,其中,经由所述安全通信信道传送所述安全监测策略包括建立可信根(RoT),以便使用一个或多个安全密钥来保障所述通信信道。
4.如权利要求1所述的NFV安全控制器,其中,所述安全监测策略包含安全监测组件配置信息和遥测数据监测指令,以及
其中实施所述安全监测策略包括检验所述一个或多个NFV安全服务代理(i)被配置作为所述安全监测组件配置信息的函数,以及(ii)监测作为所述遥测数据监测指令的函数的所述遥测数据。
5.如权利要求1所述的NFV安全控制器,还包括:
安全通信模块,用来基于所述安全监测策略从与服务功能链的多个虚拟网络功能关联的多个服务代理来接收配置数据
受保护传输控制模块,用来保障所述服务功能链的所述多个虚拟网络功能的每个之间的通信路径;以及
NFV安全服务代理控制模块,用来基于所接收配置数据和所述安全监测策略来检验所述服务功能链的所述多个虚拟网络功能的拓扑。
6.如权利要求5所述的NFV安全控制器,其中,所述NFV安全服务代理控制模块还(i)激活所述服务功能链的所述多个虚拟网络功能,(ii)例示所述虚拟网络功能的至少一个上的所述一个或多个NFV安全服务代理的NFV安全代理,以及(iii)激活所述虚拟网络功能的所述至少一个上的所例示NFV安全服务代理。
7.如权利要求6所述的NFV安全控制器,其中,所述安全通信模块还配置成从所述NFV安全服务代理接收引导程序信息,其中所述引导程序信息限定所述NFV安全服务代理的初始化的特性,并且其中例示所述NFV安全服务代理包括运行NFV安全服务代理的引导程序,以便在与所述NFV安全服务控制器进行网络通信的计算节点上加载所述NFV安全服务代理。
8.如权利要求6所述的NFV安全控制器,其中,接收所述引导程序信息包括接收由所述引导程序可用来例示所述NFV安全服务代理的引导程序配置参数的至少一个、所述NFV安全服务代理实例的个性化信息或者所述NFV安全服务代理实例的许可证信息。
9.如权利要求6所述的NFV安全控制器,其中,实施所述安全监测策略包括检验在所激活NFV安全服务代理所监测的所述遥测数据是按照所述安全监测策略的所述监测规则来监测的。
10.如权利要求1所述的NFV安全控制器,其中,所述安全通信模块还配置成响应由NFV安全监测分析系统进行的将所述一个或多个NFV安全服务代理之一所传送的遥测数据的至少一部分识别为安全威胁的确定,而从通信上被耦合到所述NFV安全服务控制器的所述NFV安全监测分析系统来接收矫正策略。
11.如权利要求10所述的NFV安全控制器,还包括:
安全监测策略管理模块,用来基于所述矫正策略来更新所述安全监测策略,
其中所述安全监测策略分发模块还向所述NFV安全架构的所述一个或多个安全监测组件传送所更新安全监测策略,以及
其中所述安全监测策略实施模块还实施被传送给所述NFV安全架构的所述一个或多个安全监测组件的所更新安全监测策略。
12.如权利要求1所述的NFV安全控制器,还包括:
遥测数据审计模块,用来审计被存储在与所述NFV安全服务控制器进行网络通信的审计数据库的遥测数据,其中所述遥测数据由与向所述审计数据库传送所述遥测数据的所述NFV安全服务代理对应的安全时钟来加时间戳,并且其中审计所述遥测数据包括(i)检验所述遥测数据以及(ii)定序所述遥测数据。
13.一种用于管理网络功能虚拟化(NFV)安全架构的安全监测服务的方法,所述方法包括:
由所述NFV安全架构的NFV安全服务控制器经由安全通信信道向经由所述NFV安全架构的虚拟基础设施管理器(VIM)的NFV安全服务提供器分布在所述NFV安全架构的虚拟网络功能(VNF)基础设施中的一个或多个NFV安全服务代理传送安全监测策略,其中所述安全监测策略包括由所述NFV安全服务代理可用来监测所述NFV安全架构的遥测数据并且调整所述NFV安全服务代理的配置设定的监测规则的集合;以及
由所述NFV安全服务控制器来实施传送给所述NFV安全架构的一个或多个安全监测组件的所述安全监测策略。
14.如权利要求13所述的方法,其中,经由所述安全通信信道传送所述安全监测策略包括经由专用于所述NFV安全服务控制器与所述NVF安全服务提供器之间的通信的安全通信信道向所述NVF安全服务提供器传送所述安全监测策略。
15.如权利要求13所述的方法,其中,经由所述安全通信信道传送所述安全监测策略包括建立可信根(RoT),以便使用一个或多个安全密钥来保障通信信道。
16.如权利要求13所述的方法,其中,所述安全监测策略包含安全监测组件配置信息和遥测数据监测指令,以及
其中实施所述安全监测策略包括检验所述一个或多个NFV安全服务代理(i)被配置作为所述安全监测组件配置信息的函数,以及(ii)监测作为所述遥测数据监测指令的函数的所述遥测数据。
17.如权利要求13所述的方法,还包括:
由所述NFV安全服务控制器基于所述安全监测策略从与服务功能链的多个虚拟网络功能关联的多个服务代理来接收配置数据;
由所述NFV安全服务控制器来保障所述服务功能链的所述多个虚拟网络功能的每个之间的通信路径;以及
由所述NFV安全服务控制器基于所接收配置数据和所述安全监测策略来检验所述服务功能链的所述多个虚拟网络功能的拓扑。
18.如权利要求17所述的方法,还包括:
由所述NFV安全服务控制器来激活所述服务功能链的所述多个虚拟网络功能;
由所述NFV安全服务控制器来例示所述虚拟网络功能的至少一个上的所述一个或多个NFV安全服务代理的NFV安全代理;以及
由所述NFV安全服务控制器来激活所述虚拟网络功能的所述至少一个上的所例示NFV安全服务代理。
19.如权利要求18所述的方法,还包括:
由所述NFV安全服务控制器从所述NFV安全服务代理来接收引导程序信息,其中所述引导程序信息限定所述NFV安全服务代理的初始化的特性,
其中例示所述NFV安全服务代理包括运行NFV安全服务代理的引导程序,以便在与所述NFV安全服务控制器进行网络通信的计算节点上加载所述NFV安全服务代理。
20.如权利要求17所述的方法,其中,接收所述引导程序信息包括接收由所述引导程序可用来例示所述NFV安全服务代理的引导程序配置参数的至少一个、所述NFV安全服务代理实例的个性化信息或者所述NFV安全服务代理实例的许可证信息。
21.如权利要求13所述的方法,还包括:
由所述NFV安全服务控制器响应由NFV安全监测分析系统进行的将所述一个或多个NFV安全服务代理之一所传送的遥测数据的至少一部分识别为安全威胁的确定,而从通信上被耦合到所述NFV安全服务控制器的所述NFV安全监测分析系统来接收矫正策略。
22.如权利要求13所述的方法,还包括:
由所述NFV安全服务控制器基于所述矫正策略来更新所述安全监测策略;
由所述NFV安全服务控制器向所述NFV安全架构的所述一个或多个安全监测组件传送所更新安全监测策略;以及
由所述NFV安全服务控制器来实施传送给所述NFV安全架构的所述一个或多个安全监测组件的所更新安全监测策略。
23.如权利要求13所述的方法,还包括:
由所述NFV安全服务控制器来审计被存储在与所述NFV安全服务控制器进行网络通信的审计数据库的遥测数据,其中所述遥测数据由与向所述审计数据库传送所述遥测数据的所述NFV安全服务代理对应的安全时钟来加时间戳,并且其中审计所述遥测数据包括(i)检验所述遥测数据以及(ii)定序所述遥测数据。
24.一种计算装置,包括:
处理器;以及
存储器,其中已存储多个指令,所述指令在由所述处理器运行时使所述计算装置执行如权利要求13-23中的任一项所述的方法。
25.一个或多个机器可读存储介质,包括其上存储的多个指令,所述指令响应被运行而使计算装置执行如权利要求13-23中的任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911128003.2A CN110958227B (zh) | 2015-02-04 | 2015-12-29 | 用于执行网络功能虚拟化nfv安全服务代理nfv ssa的方法和计算平台 |
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201562112151P | 2015-02-04 | 2015-02-04 | |
| US62/112151 | 2015-02-04 | ||
| US14/709168 | 2015-05-11 | ||
| US14/709,168 US9560078B2 (en) | 2015-02-04 | 2015-05-11 | Technologies for scalable security architecture of virtualized networks |
| PCT/US2015/067887 WO2016126347A1 (en) | 2015-02-04 | 2015-12-29 | Technologies for scalable security architecture of virtualized networks |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911128003.2A Division CN110958227B (zh) | 2015-02-04 | 2015-12-29 | 用于执行网络功能虚拟化nfv安全服务代理nfv ssa的方法和计算平台 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107251514A true CN107251514A (zh) | 2017-10-13 |
| CN107251514B CN107251514B (zh) | 2021-05-28 |
Family
ID=56554962
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911128003.2A Active CN110958227B (zh) | 2015-02-04 | 2015-12-29 | 用于执行网络功能虚拟化nfv安全服务代理nfv ssa的方法和计算平台 |
| CN201580075546.6A Active CN107251514B (zh) | 2015-02-04 | 2015-12-29 | 用于虚拟化网络的可扩缩安全架构的技术 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911128003.2A Active CN110958227B (zh) | 2015-02-04 | 2015-12-29 | 用于执行网络功能虚拟化nfv安全服务代理nfv ssa的方法和计算平台 |
Country Status (6)
| Country | Link |
|---|---|
| US (3) | US9560078B2 (zh) |
| EP (2) | EP3254429B1 (zh) |
| KR (1) | KR102454075B1 (zh) |
| CN (2) | CN110958227B (zh) |
| TW (1) | TWI604333B (zh) |
| WO (1) | WO2016126347A1 (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019072165A1 (zh) * | 2017-10-09 | 2019-04-18 | 中兴通讯股份有限公司 | 虚拟化流镜像策略自动化管理方法及设备、存储介质 |
| CN109784085A (zh) * | 2017-11-15 | 2019-05-21 | 中兴通讯股份有限公司 | 虚拟网络应用实现方法及管理系统、计算机可读存储介质 |
| WO2019149041A1 (zh) * | 2018-02-01 | 2019-08-08 | 中国移动通信有限公司研究院 | NFV系统license的管理方法、装置和计算机可读存储介质 |
| CN111147435A (zh) * | 2018-11-05 | 2020-05-12 | 南宁富桂精密工业有限公司 | 反回放处理方法 |
| CN111404764A (zh) * | 2019-01-02 | 2020-07-10 | 中国移动通信有限公司研究院 | 一种电信云预集成部署测试方法及装置 |
| CN112202673A (zh) * | 2017-11-21 | 2021-01-08 | 华为技术有限公司 | 一种配置方法及装置 |
| CN112702383A (zh) * | 2019-10-23 | 2021-04-23 | 瞻博网络公司 | 收集误差分组信息以进行网络策略实施 |
| CN114760080A (zh) * | 2020-12-28 | 2022-07-15 | 中国科学院沈阳自动化研究所 | 基于容器的工业云平台边缘计算安全防护系统及方法 |
| CN115695522A (zh) * | 2022-09-16 | 2023-02-03 | 中电信数智科技有限公司 | 一种基于ovs-dpdk数据包引流系统及其实现方法 |
Families Citing this family (115)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9578664B1 (en) | 2013-02-07 | 2017-02-21 | Sprint Communications Company L.P. | Trusted signaling in 3GPP interfaces in a network function virtualization wireless communication system |
| US10749905B2 (en) | 2017-07-31 | 2020-08-18 | Amdocs Development Limited | System, method, and computer program providing security in network function virtualization (NFV) based communication networks and software defined networks (SDNS) |
| US10764323B1 (en) * | 2015-12-21 | 2020-09-01 | Amdocs Development Limited | System, method, and computer program for isolating services of a communication network in response to a distributed denial of service (DDoS) attack |
| US9705849B2 (en) * | 2014-09-30 | 2017-07-11 | Intel Corporation | Technologies for distributed detection of security anomalies |
| CN105791073B (zh) * | 2014-12-23 | 2019-07-19 | 华为技术有限公司 | 一种虚拟化网络中业务部署的方法和装置 |
| WO2016146494A1 (en) * | 2015-03-13 | 2016-09-22 | Koninklijke Kpn N.V. | Method and control system for controlling provisioning of a service in a network |
| US9509587B1 (en) * | 2015-03-19 | 2016-11-29 | Sprint Communications Company L.P. | Hardware root of trust (HROT) for internet protocol (IP) communications |
| BR112017021248A2 (pt) * | 2015-04-03 | 2018-06-26 | Huawei Tech Co Ltd | sistema e método de gerenciamento de rede, entidade de função de domínio e sistema de suporte de operações. |
| US11350254B1 (en) | 2015-05-05 | 2022-05-31 | F5, Inc. | Methods for enforcing compliance policies and devices thereof |
| CN106325563B (zh) * | 2015-06-15 | 2021-06-04 | 联想企业解决方案(新加坡)有限公司 | 用于标识电子设备的数据存储设备及相应的方法 |
| US9854048B2 (en) * | 2015-06-29 | 2017-12-26 | Sprint Communications Company L.P. | Network function virtualization (NFV) hardware trust in data communication systems |
| US9686240B1 (en) | 2015-07-07 | 2017-06-20 | Sprint Communications Company L.P. | IPv6 to IPv4 data packet migration in a trusted security zone |
| US9749294B1 (en) * | 2015-09-08 | 2017-08-29 | Sprint Communications Company L.P. | System and method of establishing trusted operability between networks in a network functions virtualization environment |
| US9973401B2 (en) * | 2015-09-30 | 2018-05-15 | Intel Corporation | Service function path performance monitoring |
| US10542115B1 (en) | 2015-10-01 | 2020-01-21 | Sprint Communications Company L.P. | Securing communications in a network function virtualization (NFV) core network |
| US9811686B1 (en) | 2015-10-09 | 2017-11-07 | Sprint Communications Company L.P. | Support systems interactions with virtual network functions in a trusted security zone |
| US9781016B1 (en) | 2015-11-02 | 2017-10-03 | Sprint Communications Company L.P. | Dynamic addition of network function services |
| US10033764B1 (en) * | 2015-11-16 | 2018-07-24 | Symantec Corporation | Systems and methods for providing supply-chain trust networks |
| US11757946B1 (en) * | 2015-12-22 | 2023-09-12 | F5, Inc. | Methods for analyzing network traffic and enforcing network policies and devices thereof |
| US10505990B1 (en) | 2016-01-20 | 2019-12-10 | F5 Networks, Inc. | Methods for deterministic enforcement of compliance policies and devices thereof |
| US10601872B1 (en) | 2016-01-20 | 2020-03-24 | F5 Networks, Inc. | Methods for enhancing enforcement of compliance policies based on security violations and devices thereof |
| US11178150B1 (en) | 2016-01-20 | 2021-11-16 | F5 Networks, Inc. | Methods for enforcing access control list based on managed application and devices thereof |
| US10374922B2 (en) * | 2016-02-24 | 2019-08-06 | Cisco Technology, Inc. | In-band, health-based assessments of service function paths |
| US10572650B2 (en) * | 2016-02-29 | 2020-02-25 | Intel Corporation | Technologies for independent service level agreement monitoring |
| KR101759429B1 (ko) * | 2016-03-24 | 2017-07-31 | 숭실대학교산학협력단 | 멀티 도메인 환경에서 도메인과 대응되는 피어 및 이의 제어 방법 |
| CN109075986B (zh) * | 2016-05-06 | 2020-09-18 | 华为技术有限公司 | 一种网络功能实例的管理方法及相关设备 |
| US10341856B2 (en) | 2016-05-10 | 2019-07-02 | FirstPoint Mobile Guard Ltd. | System and method for securing communication and information of mobile devices through a controlled cellular communication network |
| US10149193B2 (en) | 2016-06-15 | 2018-12-04 | At&T Intellectual Property I, L.P. | Method and apparatus for dynamically managing network resources |
| KR101846079B1 (ko) * | 2016-07-15 | 2018-04-05 | 주식회사 케이티 | Nfv 환경에서의 가상 cpe 서비스 제공 시스템, 및 이를 위한 nfv 클라우드 |
| CN109691009B (zh) * | 2016-09-08 | 2022-04-29 | 日本电气株式会社 | 网络功能虚拟化系统和验证方法 |
| EP3513530A1 (en) * | 2016-09-16 | 2019-07-24 | Nokia Solutions and Networks Oy | Malicious network activity mitigation |
| WO2018053686A1 (zh) * | 2016-09-20 | 2018-03-29 | 华为技术有限公司 | 安全策略部署方法与装置 |
| US10250498B1 (en) | 2016-10-03 | 2019-04-02 | Sprint Communications Company L.P. | Session aggregator brokering of data stream communication |
| WO2018068202A1 (en) * | 2016-10-11 | 2018-04-19 | Nokia Technologies Oy | Virtualized network function security wrapping orchestration in the cloud environment |
| US10469359B2 (en) * | 2016-11-03 | 2019-11-05 | Futurewei Technologies, Inc. | Global resource orchestration system for network function virtualization |
| US10505870B2 (en) | 2016-11-07 | 2019-12-10 | At&T Intellectual Property I, L.P. | Method and apparatus for a responsive software defined network |
| CN108092934A (zh) * | 2016-11-21 | 2018-05-29 | 中国移动通信有限公司研究院 | 安全服务系统及方法 |
| US10318723B1 (en) * | 2016-11-29 | 2019-06-11 | Sprint Communications Company L.P. | Hardware-trusted network-on-chip (NOC) and system-on-chip (SOC) network function virtualization (NFV) data communications |
| US11470119B2 (en) * | 2016-12-19 | 2022-10-11 | Nicira, Inc. | Native tag-based configuration for workloads in a virtual computing environment |
| US10430581B2 (en) * | 2016-12-22 | 2019-10-01 | Chronicle Llc | Computer telemetry analysis |
| US10404456B2 (en) * | 2016-12-29 | 2019-09-03 | Sprint Communications Company L.P. | Network function virtualization (NFV) hardware trusted hosted MANO |
| US10812266B1 (en) | 2017-03-17 | 2020-10-20 | F5 Networks, Inc. | Methods for managing security tokens based on security violations and devices thereof |
| US10476673B2 (en) | 2017-03-22 | 2019-11-12 | Extrahop Networks, Inc. | Managing session secrets for continuous packet capture systems |
| CN107124303B (zh) * | 2017-04-19 | 2020-08-04 | 电子科技大学 | 低传输时延的服务链优化方法 |
| US10749796B2 (en) | 2017-04-27 | 2020-08-18 | At&T Intellectual Property I, L.P. | Method and apparatus for selecting processing paths in a software defined network |
| US10673751B2 (en) | 2017-04-27 | 2020-06-02 | At&T Intellectual Property I, L.P. | Method and apparatus for enhancing services in a software defined network |
| US10819606B2 (en) | 2017-04-27 | 2020-10-27 | At&T Intellectual Property I, L.P. | Method and apparatus for selecting processing paths in a converged network |
| US10958990B2 (en) * | 2017-05-03 | 2021-03-23 | Intel Corporation | Trusted platform telemetry mechanisms inaccessible to software |
| US10257668B2 (en) | 2017-05-09 | 2019-04-09 | At&T Intellectual Property I, L.P. | Dynamic network slice-switching and handover system and method |
| US10382903B2 (en) | 2017-05-09 | 2019-08-13 | At&T Intellectual Property I, L.P. | Multi-slicing orchestration system and method for service and/or content delivery |
| US11122042B1 (en) | 2017-05-12 | 2021-09-14 | F5 Networks, Inc. | Methods for dynamically managing user access control and devices thereof |
| US11343237B1 (en) | 2017-05-12 | 2022-05-24 | F5, Inc. | Methods for managing a federated identity environment using security and access control data and devices thereof |
| US10757105B2 (en) * | 2017-06-12 | 2020-08-25 | At&T Intellectual Property I, L.P. | On-demand network security system |
| US10070344B1 (en) | 2017-07-25 | 2018-09-04 | At&T Intellectual Property I, L.P. | Method and system for managing utilization of slices in a virtual network function environment |
| TWI630488B (zh) * | 2017-08-04 | 2018-07-21 | 中華電信股份有限公司 | 支援多樣性端對端網路隔離的虛擬私人網路服務供裝系統 |
| US10348488B1 (en) | 2017-08-25 | 2019-07-09 | Sprint Communications Company L.P. | Tiered distributed ledger technology (DLT) in a network function virtualization (NFV) core network |
| US20190044809A1 (en) * | 2017-08-30 | 2019-02-07 | Intel Corporation | Technologies for managing a flexible host interface of a network interface controller |
| US10594735B2 (en) * | 2017-09-28 | 2020-03-17 | At&T Intellectual Property I, L.P. | Tag-based security policy creation in a distributed computing environment |
| US9967292B1 (en) | 2017-10-25 | 2018-05-08 | Extrahop Networks, Inc. | Inline secret sharing |
| US10637756B2 (en) | 2017-11-13 | 2020-04-28 | Cisco Technology, Inc. | Traffic analytics service for telemetry routers and monitoring systems |
| CN109905258B (zh) * | 2017-12-07 | 2020-11-17 | 华为技术有限公司 | PaaS的管理方法、装置及存储介质 |
| KR102423755B1 (ko) | 2017-12-14 | 2022-07-21 | 삼성전자주식회사 | 패킷 전송을 제어하는 서버 및 방법 |
| US20190190857A1 (en) * | 2017-12-15 | 2019-06-20 | Complete Innovations Inc. | Snapshots buffering service |
| US10742532B2 (en) | 2017-12-18 | 2020-08-11 | Futurewei Technologies, Inc. | Non-intrusive mechanism to measure network function packet processing delay |
| US10104548B1 (en) | 2017-12-18 | 2018-10-16 | At&T Intellectual Property I, L.P. | Method and apparatus for dynamic instantiation of virtual service slices for autonomous machines |
| CN108364223B (zh) | 2017-12-29 | 2021-01-26 | 创新先进技术有限公司 | 一种数据审计的方法及装置 |
| US11405263B2 (en) * | 2018-02-02 | 2022-08-02 | Nokia Solutions And Networks Oy | Using self-operation cases to identify and resolve issues causing network slice reselection |
| US10389574B1 (en) | 2018-02-07 | 2019-08-20 | Extrahop Networks, Inc. | Ranking alerts based on network monitoring |
| US10270794B1 (en) | 2018-02-09 | 2019-04-23 | Extrahop Networks, Inc. | Detection of denial of service attacks |
| EP4155996A1 (en) | 2018-04-30 | 2023-03-29 | Google LLC | Enclave interactions |
| EP3788518A1 (en) | 2018-04-30 | 2021-03-10 | Google LLC | Managing enclave creation through a uniform enclave interface |
| WO2019212581A1 (en) | 2018-04-30 | 2019-11-07 | Google Llc | Secure collaboration between processors and processing accelerators in enclaves |
| US10686678B2 (en) | 2018-05-25 | 2020-06-16 | Hewlett Packard Enterprise Development Lp | Device for orchestrating distributed application deployment with end-to-end performance guarantee |
| FR3081582A1 (fr) * | 2018-06-18 | 2019-11-29 | Orange | Procede d'installation d'une fonction reseau virtualisee |
| US10411978B1 (en) | 2018-08-09 | 2019-09-10 | Extrahop Networks, Inc. | Correlating causes and effects associated with network activity |
| US10243793B1 (en) | 2018-08-13 | 2019-03-26 | Nefeli Networks, Inc. | Modular system framework for software network function automation |
| EP3850513A1 (en) * | 2018-09-14 | 2021-07-21 | Telefonaktiebolaget LM Ericsson (publ) | Malchain detection |
| CN110912726B (zh) * | 2018-09-18 | 2023-04-07 | 中兴通讯股份有限公司 | 服务的提供方法、装置、系统、存储介质及电子装置 |
| RU188796U1 (ru) * | 2018-11-15 | 2019-04-23 | Общество с ограниченной ответственностью "БУЛАТ" | Абонентское сетевое устройство с виртуализированными сетевыми функциями |
| US11232204B2 (en) * | 2018-11-20 | 2022-01-25 | Sap Se | Threat detection using artifact change analysis |
| US10855757B2 (en) * | 2018-12-19 | 2020-12-01 | At&T Intellectual Property I, L.P. | High availability and high utilization cloud data center architecture for supporting telecommunications services |
| US11251942B2 (en) | 2019-01-09 | 2022-02-15 | Alibaba Group Holding Limited | Secure communication channel between encryption/decryption component and trusted execution environment |
| US11297100B2 (en) * | 2019-01-14 | 2022-04-05 | Red Hat, Inc. | Concealed monitor communications from a task in a trusted execution environment |
| CN110022230B (zh) * | 2019-03-14 | 2021-03-16 | 北京邮电大学 | 基于深度强化学习的服务链并行部署方法及装置 |
| US10936422B1 (en) | 2019-03-22 | 2021-03-02 | T-Mobile lnnovations LLC | Recovery of virtual network function (VNF) boot functionality |
| TWI702540B (zh) * | 2019-03-22 | 2020-08-21 | 鼎新電腦股份有限公司 | 負載控制方法 |
| US11012294B2 (en) | 2019-04-17 | 2021-05-18 | Nefeli Networks, Inc. | Inline data plane monitor placement and operation for network function virtualization |
| US10965702B2 (en) | 2019-05-28 | 2021-03-30 | Extrahop Networks, Inc. | Detecting injection attacks using passive network monitoring |
| KR102180038B1 (ko) * | 2019-06-27 | 2020-11-17 | 국방과학연구소 | 전술 메쉬망 환경에서의 wan 노드 장치 |
| CN110545228B (zh) * | 2019-07-26 | 2020-11-20 | 北京邮电大学 | 服务功能链请求处理方法及系统 |
| US10742530B1 (en) | 2019-08-05 | 2020-08-11 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
| US11388072B2 (en) | 2019-08-05 | 2022-07-12 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
| US11411843B2 (en) * | 2019-08-14 | 2022-08-09 | Verizon Patent And Licensing Inc. | Method and system for packet inspection in virtual network service chains |
| US11316884B2 (en) * | 2019-09-03 | 2022-04-26 | At&T Intellectual Property I, L.P. | Software defined network white box infection detection and isolation |
| US10742677B1 (en) | 2019-09-04 | 2020-08-11 | Extrahop Networks, Inc. | Automatic determination of user roles and asset types based on network monitoring |
| US11449896B2 (en) * | 2019-09-30 | 2022-09-20 | Mcafee, Llc | Mitigation of deceptive advertisements |
| BR112022009990A2 (pt) * | 2019-11-25 | 2022-08-16 | Ericsson Telefon Ab L M | Meio não transitório legível por computador, sistema, método e unidade de computação relacionados |
| US11218360B2 (en) | 2019-12-09 | 2022-01-04 | Quest Automated Services, LLC | Automation system with edge computing |
| US20200287813A1 (en) * | 2020-04-16 | 2020-09-10 | Patrick KUTCH | Method and apparatus for workload feedback mechanism facilitating a closed loop architecture |
| CN111901154B (zh) * | 2020-07-04 | 2022-05-27 | 烽火通信科技股份有限公司 | 基于nfv的安全架构系统和安全部署及安全威胁处理方法 |
| US11310256B2 (en) * | 2020-09-23 | 2022-04-19 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
| US11463466B2 (en) | 2020-09-23 | 2022-10-04 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
| US11847205B1 (en) | 2020-10-26 | 2023-12-19 | T-Mobile Innovations Llc | Trusted 5G network function virtualization of virtual network function elements embedded on a system-on-chip |
| US11709699B2 (en) | 2020-11-24 | 2023-07-25 | International Business Machines Corporation | Virtualized fabric name server for storage area network |
| US11683372B2 (en) | 2020-11-24 | 2023-06-20 | International Business Machines Corporation | Virtualized fabric management server for storage area network |
| US11522814B2 (en) | 2020-11-24 | 2022-12-06 | International Business Machines Corporation | Virtualized fabric login server for storage area network |
| US11516185B2 (en) * | 2021-03-13 | 2022-11-29 | Oracle International Corporation | Methods, systems, and computer readable media for enabling cloud-based management services using an on-sii e management cloud engine |
| US11526617B2 (en) | 2021-03-24 | 2022-12-13 | Bank Of America Corporation | Information security system for identifying security threats in deployed software package |
| US11349861B1 (en) | 2021-06-18 | 2022-05-31 | Extrahop Networks, Inc. | Identifying network entities based on beaconing activity |
| US11683345B2 (en) * | 2021-07-09 | 2023-06-20 | Zscaler, Inc. | Application identity-based enforcement of datagram protocols |
| US11296967B1 (en) | 2021-09-23 | 2022-04-05 | Extrahop Networks, Inc. | Combining passive network analysis and active probing |
| US11728955B2 (en) | 2021-11-01 | 2023-08-15 | International Business Machines Corporation | Dynamic telecom network agent filtering |
| KR102415567B1 (ko) * | 2021-11-18 | 2022-07-05 | 프라이빗테크놀로지 주식회사 | 가상화 인스턴스의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 |
| US11843606B2 (en) | 2022-03-30 | 2023-12-12 | Extrahop Networks, Inc. | Detecting abnormal data access based on data similarity |
| CN115296873A (zh) * | 2022-07-26 | 2022-11-04 | 北京科能腾达信息技术股份有限公司 | 一种计算机网络安全控制器、介质、设备及终端 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2782291A1 (en) * | 2013-03-20 | 2014-09-24 | Wolting Holding B.V. | Compiler for and method of software defined networking |
| US20140317737A1 (en) * | 2013-04-22 | 2014-10-23 | Korea Internet & Security Agency | Hypervisor-based intrusion prevention platform and virtual network intrusion prevention system |
| US20140344888A1 (en) * | 2013-05-16 | 2014-11-20 | Electronics And Telecommunications Research Institute | Network security apparatus and method |
Family Cites Families (115)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US3001594A (en) | 1954-05-04 | 1961-09-26 | De Long Corp | Off-shore drill rig |
| IL122314A (en) * | 1997-11-27 | 2001-03-19 | Security 7 Software Ltd | Method and system for enforcing a communication security policy |
| US7036146B1 (en) * | 2000-10-03 | 2006-04-25 | Sandia Corporation | System and method for secure group transactions |
| US8001594B2 (en) * | 2001-07-30 | 2011-08-16 | Ipass, Inc. | Monitoring computer network security enforcement |
| US7673140B2 (en) * | 2002-12-18 | 2010-03-02 | Nxp B.V. | Dedicated encrypted virtual channel in a multi-channel serial communications interface |
| US7516476B1 (en) * | 2003-03-24 | 2009-04-07 | Cisco Technology, Inc. | Methods and apparatus for automated creation of security policy |
| US7360237B2 (en) * | 2004-07-30 | 2008-04-15 | Lehman Brothers Inc. | System and method for secure network connectivity |
| US7409719B2 (en) * | 2004-12-21 | 2008-08-05 | Microsoft Corporation | Computer security management, such as in a virtual machine or hardened operating system |
| CN100433899C (zh) * | 2004-12-28 | 2008-11-12 | 华为技术有限公司 | 一种保证移动通信系统数据业务安全的方法及系统 |
| US7681226B2 (en) * | 2005-01-28 | 2010-03-16 | Cisco Technology, Inc. | Methods and apparatus providing security for multiple operational states of a computerized device |
| CN101375546B (zh) * | 2005-04-29 | 2012-09-26 | 甲骨文国际公司 | 用于欺骗监控、检测和分层用户鉴权的系统和方法 |
| US8745199B1 (en) * | 2005-06-01 | 2014-06-03 | Netapp, Inc. | Method and apparatus for management and troubleshooting of a processing system |
| JP4629775B2 (ja) * | 2005-06-21 | 2011-02-09 | エヌエックスピー ビー ヴィ | PCIExpressデバイスのデータ完全性の並列検査方法 |
| JP4770306B2 (ja) * | 2005-07-12 | 2011-09-14 | 日本電気株式会社 | 端末セキュリティチェックサービス提供方法及びそのシステム |
| AU2007281166B2 (en) * | 2006-08-03 | 2011-12-15 | Citrix Systems, Inc. | Systems and methods for application-based interception and authorization of SSL/VPN traffic |
| US7840687B2 (en) * | 2007-07-11 | 2010-11-23 | Intel Corporation | Generic bootstrapping protocol (GBP) |
| US8984193B1 (en) * | 2007-07-17 | 2015-03-17 | Unisys Corporation | Line speed sequential transaction packet processing |
| WO2009013673A2 (en) * | 2007-07-20 | 2009-01-29 | Nxp B.V. | Device with a secure virtual machine |
| US8806037B1 (en) * | 2008-02-29 | 2014-08-12 | Netapp, Inc. | Remote support automation for a storage server |
| US8837491B2 (en) * | 2008-05-27 | 2014-09-16 | Glue Networks | Regional virtual VPN |
| US20090328030A1 (en) * | 2008-06-27 | 2009-12-31 | Microsoft Corporation | Installing a management agent with a virtual machine |
| EP2278514B1 (en) * | 2009-07-16 | 2018-05-30 | Alcatel Lucent | System and method for providing secure virtual machines |
| US8381284B2 (en) * | 2009-08-21 | 2013-02-19 | Mcafee, Inc. | System and method for enforcing security policies in a virtual environment |
| US8621636B2 (en) * | 2009-12-17 | 2013-12-31 | American Express Travel Related Services Company, Inc. | Systems, methods, and computer program products for collecting and reporting sensor data in a communication network |
| CN102169484B (zh) * | 2010-02-26 | 2014-08-13 | 威睿公司 | 虚拟化环境中综合的、相关的和动态的数据搜索 |
| US8966623B2 (en) * | 2010-03-08 | 2015-02-24 | Vmware, Inc. | Managing execution of a running-page in a virtual machine |
| CN102207885A (zh) * | 2010-03-31 | 2011-10-05 | 国际商业机器公司 | 计算机系统的虚拟机管理器及其启动虚拟机的方法 |
| US8812871B2 (en) * | 2010-05-27 | 2014-08-19 | Cisco Technology, Inc. | Method and apparatus for trusted execution in infrastructure as a service cloud environments |
| US9274842B2 (en) * | 2010-06-29 | 2016-03-01 | Microsoft Technology Licensing, Llc | Flexible and safe monitoring of computers |
| US8856317B2 (en) * | 2010-07-15 | 2014-10-07 | Cisco Technology, Inc. | Secure data transfer in a virtual environment |
| US8565108B1 (en) * | 2010-09-28 | 2013-10-22 | Amazon Technologies, Inc. | Network data transmission analysis |
| US20160344547A9 (en) * | 2010-10-04 | 2016-11-24 | Unisys Corporation | Secure connection for a remote device through a virtual relay device |
| US8539546B2 (en) * | 2010-10-22 | 2013-09-17 | Hitachi, Ltd. | Security monitoring apparatus, security monitoring method, and security monitoring program based on a security policy |
| US8959569B2 (en) * | 2011-03-18 | 2015-02-17 | Juniper Networks, Inc. | Security enforcement in virtualized systems |
| US9317690B2 (en) * | 2011-03-28 | 2016-04-19 | Mcafee, Inc. | System and method for firmware based anti-malware security |
| US20120254993A1 (en) * | 2011-03-28 | 2012-10-04 | Mcafee, Inc. | System and method for virtual machine monitor based anti-malware security |
| US8655978B2 (en) * | 2011-07-05 | 2014-02-18 | Jade Quantum Technologies, Inc. | Diskless PC network communication agent system |
| CN102244622B (zh) * | 2011-07-25 | 2015-03-11 | 北京网御星云信息技术有限公司 | 用于服务器虚拟化的虚拟网关防护方法、安全网关及系统 |
| US9497224B2 (en) * | 2011-08-09 | 2016-11-15 | CloudPassage, Inc. | Systems and methods for implementing computer security |
| US9298917B2 (en) * | 2011-09-27 | 2016-03-29 | Redwall Technologies, Llc | Enhanced security SCADA systems and methods |
| JP5820533B2 (ja) * | 2011-09-28 | 2015-11-24 | スミス マイクロ ソフトウエア, インコーポレイテッドSmith Micro Software, Inc. | モバイルデバイスのためのネットワークアクセスを制御する方法 |
| WO2013063474A1 (en) * | 2011-10-28 | 2013-05-02 | Scargo, Inc. | Security policy deployment and enforcement system for the detection and control of polymorphic and targeted malware |
| US8689282B1 (en) * | 2011-12-23 | 2014-04-01 | Emc Corporation | Security policy enforcement framework for cloud-based information processing systems |
| US8966573B2 (en) * | 2012-07-20 | 2015-02-24 | Ca, Inc. | Self-generation of virtual machine security clusters |
| US9503475B2 (en) * | 2012-08-14 | 2016-11-22 | Ca, Inc. | Self-adaptive and proactive virtual machine images adjustment to environmental security risks in a cloud environment |
| US9419800B2 (en) * | 2012-08-17 | 2016-08-16 | Northrop Grumman Systems Corporation | Secure network systems and methods |
| CN102801587B (zh) * | 2012-08-29 | 2014-09-17 | 北京邮电大学 | 面向大规模网络的虚拟化监测系统与动态监测方法 |
| US9275223B2 (en) * | 2012-10-19 | 2016-03-01 | Mcafee, Inc. | Real-time module protection |
| US8910238B2 (en) * | 2012-11-13 | 2014-12-09 | Bitdefender IPR Management Ltd. | Hypervisor-based enterprise endpoint protection |
| CN102984146A (zh) * | 2012-11-23 | 2013-03-20 | 江苏乐买到网络科技有限公司 | 用于云计算的数据管理方法 |
| MY167516A (en) * | 2012-12-11 | 2018-09-04 | Mimos Berhad | A system and method for peer-to-peer entity authentication with nearest neighbours credential delegation |
| US8763085B1 (en) * | 2012-12-19 | 2014-06-24 | Trend Micro Incorporated | Protection of remotely managed virtual machines |
| EP2936754B1 (en) * | 2013-01-11 | 2020-12-02 | Huawei Technologies Co., Ltd. | Network function virtualization for a network device |
| CN103973568B (zh) * | 2013-02-05 | 2017-03-08 | 上海贝尔股份有限公司 | 用于在mpls核心网上转发sdn流的方法和设备 |
| US9973375B2 (en) * | 2013-04-22 | 2018-05-15 | Cisco Technology, Inc. | App store portal providing point-and-click deployment of third-party virtualized network functions |
| CN104219208B (zh) * | 2013-06-03 | 2018-11-13 | 华为技术有限公司 | 一种数据输入的方法、装置 |
| WO2014201160A1 (en) * | 2013-06-11 | 2014-12-18 | Huawei Technologies Co., Ltd. | System and method for coordinated remote control of network radio nodes and core network elements |
| US9258237B1 (en) * | 2013-06-17 | 2016-02-09 | Juniper Networks, Inc. | Enhancing DOCSIS services through network functions virtualization |
| US20140376555A1 (en) * | 2013-06-24 | 2014-12-25 | Electronics And Telecommunications Research Institute | Network function virtualization method and apparatus using the same |
| EP3016321A4 (en) * | 2013-06-25 | 2017-02-22 | Nec Corporation | Communication system, apparatus, method and program |
| US9300690B2 (en) * | 2013-07-03 | 2016-03-29 | Red Hat, Inc. | Secure network labeling to control inter-process communications in a multi-tenant platform-as-a-service (PaaS) system |
| US20150018073A1 (en) * | 2013-07-09 | 2015-01-15 | Travis William Carrico | Fantasy gaming |
| US9374768B2 (en) * | 2013-07-31 | 2016-06-21 | Broadcom Corporation | Cellular broadcast enhancements for inter-system mobility |
| BR112016004183A8 (pt) * | 2013-08-27 | 2020-02-11 | Huawei Tech Co Ltd | método para virtualização de função de rede móvel e computador |
| US20160212012A1 (en) * | 2013-08-30 | 2016-07-21 | Clearpath Networks, Inc. | System and method of network functions virtualization of network services within and across clouds |
| EP2849064B1 (en) * | 2013-09-13 | 2016-12-14 | NTT DOCOMO, Inc. | Method and apparatus for network virtualization |
| US20150142935A1 (en) * | 2013-10-21 | 2015-05-21 | Nyansa, Inc. | System and method for observing and controlling a programmable network via higher layer attributes |
| WO2015061698A1 (en) * | 2013-10-25 | 2015-04-30 | Benu Networks, Inc. | System and method for configuring a universal device to provide desired network hardware functionality |
| CN103685250A (zh) * | 2013-12-04 | 2014-03-26 | 蓝盾信息安全技术股份有限公司 | 一种基于sdn的虚拟机安全策略迁移的系统及方法 |
| US9460286B1 (en) * | 2013-12-19 | 2016-10-04 | Amdocs Software Systems Limited | System, method, and computer program for managing security in a network function virtualization (NFV) based communication network |
| US9838265B2 (en) * | 2013-12-19 | 2017-12-05 | Amdocs Software Systems Limited | System, method, and computer program for inter-module communication in a network based on network function virtualization (NFV) |
| US9813335B2 (en) * | 2014-08-05 | 2017-11-07 | Amdocs Software Systems Limited | System, method, and computer program for augmenting a physical system utilizing a network function virtualization orchestrator (NFV-O) |
| US9838371B2 (en) * | 2014-03-14 | 2017-12-05 | Citrix Systems, Inc. | Method and system for securely transmitting volumes into cloud |
| US9766943B2 (en) * | 2014-04-15 | 2017-09-19 | Nicira, Inc. | Method and system for managing interconnection of virtual network functions |
| KR101535502B1 (ko) * | 2014-04-22 | 2015-07-09 | 한국인터넷진흥원 | 보안 내재형 가상 네트워크 제어 시스템 및 방법 |
| EP2940968A1 (en) * | 2014-04-30 | 2015-11-04 | Hewlett-Packard Development Company, L.P. | Network infrastructure management |
| US10348825B2 (en) * | 2014-05-07 | 2019-07-09 | Verizon Patent And Licensing Inc. | Network platform-as-a-service for creating and inserting virtual network functions into a service provider network |
| US9672502B2 (en) * | 2014-05-07 | 2017-06-06 | Verizon Patent And Licensing Inc. | Network-as-a-service product director |
| JP6469846B2 (ja) * | 2014-05-12 | 2019-02-13 | ノキア ソリューションズ アンド ネットワークス ゲゼルシャフト ミット ベシュレンクテル ハフツング ウント コンパニー コマンディトゲゼルシャフト | 仮想化ネットワーク機能を含む通信ネットワークの制御法 |
| US20150332351A1 (en) * | 2014-05-16 | 2015-11-19 | Centurylink Intellectual Property Llc | System and Method for Service Provider Cloud Services - Cloud Marketplace |
| US20150332357A1 (en) * | 2014-05-16 | 2015-11-19 | Centurylink Intellectual Property Llc | System and Method for Service Provider Cloud Services |
| WO2015187965A1 (en) * | 2014-06-05 | 2015-12-10 | Huawei Technologies Co., Ltd | System and method for real time virtualization |
| EP2955631B1 (en) * | 2014-06-09 | 2019-05-01 | Nokia Solutions and Networks Oy | Controlling of virtualized network functions for usage in communication network |
| WO2015199685A1 (en) * | 2014-06-25 | 2015-12-30 | Hewlett Packard Development Company, L.P. | Network function virtualization |
| EP3158686B1 (en) * | 2014-06-26 | 2020-01-08 | Huawei Technologies Co., Ltd. | System and method for virtual network function policy management |
| US9832168B2 (en) * | 2014-07-01 | 2017-11-28 | Cable Television Laboratories, Inc. | Service discovery within multi-link networks |
| CN104202264B (zh) | 2014-07-31 | 2019-05-10 | 华为技术有限公司 | 云化数据中心网络的承载资源分配方法、装置及系统 |
| US9473567B2 (en) * | 2014-08-20 | 2016-10-18 | At&T Intellectual Property I, L.P. | Virtual zones for open systems interconnection layer 4 through layer 7 services in a cloud computing system |
| US9800673B2 (en) * | 2014-08-20 | 2017-10-24 | At&T Intellectual Property I, L.P. | Service compiler component and service controller for open systems interconnection layer 4 through layer 7 services in a cloud computing system |
| EP3183679A4 (en) * | 2014-08-22 | 2018-03-07 | Nokia Technologies Oy | A security and trust framework for virtualized networks |
| US9800615B2 (en) * | 2014-09-09 | 2017-10-24 | Bank Of America Corporation | Real-time security monitoring using cross-channel event processor |
| US9531814B2 (en) * | 2014-09-23 | 2016-12-27 | Nuvem Networks, Inc. | Virtual hosting device and service to provide software-defined networks in a cloud environment |
| US9444886B2 (en) * | 2014-09-25 | 2016-09-13 | At&T Intellectual Property I, L.P. | Data analytics for adaptive networks |
| US9866435B2 (en) * | 2014-10-16 | 2018-01-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Lawful intercept management modules and methods for LI-configuration of an internal interception function in a cloud based network |
| US9935937B1 (en) * | 2014-11-05 | 2018-04-03 | Amazon Technologies, Inc. | Implementing network security policies using TPM-based credentials |
| US9742807B2 (en) * | 2014-11-19 | 2017-08-22 | At&T Intellectual Property I, L.P. | Security enhancements for a software-defined network with network functions virtualization |
| US9584377B2 (en) * | 2014-11-21 | 2017-02-28 | Oracle International Corporation | Transparent orchestration and management of composite network functions |
| US9992271B2 (en) * | 2014-12-01 | 2018-06-05 | Telefonaktiebolaget Lm Ericsson (Publ) | ENF selection for NFVI |
| US10091063B2 (en) * | 2014-12-27 | 2018-10-02 | Intel Corporation | Technologies for directed power and performance management |
| CN106031116B (zh) * | 2015-01-19 | 2019-06-11 | 华为技术有限公司 | 一种ns与vnf的关联方法、装置及系统 |
| BR112017015480A2 (pt) * | 2015-01-20 | 2018-01-30 | Huawei Tech Co Ltd | método e aparelho para gerenciamento e orquestração de nfv |
| US10341384B2 (en) * | 2015-07-12 | 2019-07-02 | Avago Technologies International Sales Pte. Limited | Network function virtualization security and trust system |
| US9942631B2 (en) * | 2015-09-25 | 2018-04-10 | Intel Corporation | Out-of-band platform tuning and configuration |
| US10572650B2 (en) * | 2016-02-29 | 2020-02-25 | Intel Corporation | Technologies for independent service level agreement monitoring |
| CN107153565B (zh) * | 2016-03-03 | 2020-06-16 | 华为技术有限公司 | 配置资源的方法及其网络设备 |
| US10498772B2 (en) * | 2016-03-21 | 2019-12-03 | Vireshwar K. Adhar | Method and system for digital privacy management |
| CN114218133A (zh) * | 2016-06-15 | 2022-03-22 | 华为技术有限公司 | 一种数据传输方法及装置 |
| US10361970B2 (en) * | 2016-08-15 | 2019-07-23 | Fujitsu Limited | Automated instantiation of wireless virtual private networks |
| CN110089070B (zh) * | 2016-12-30 | 2022-08-02 | 英特尔公司 | 用于秘钥交换以在网络功能虚拟化环境中建立安全连接的技术 |
| US10432524B2 (en) * | 2017-12-20 | 2019-10-01 | At&T Intellectual Property I, L.P. | Parallelism for virtual network functions in service function chains |
| US11005722B2 (en) * | 2017-12-21 | 2021-05-11 | Verizon Patent And Licensing Inc. | End-to-end network service designer tool |
| US10803187B2 (en) * | 2017-12-22 | 2020-10-13 | Oracle International Corporation | Computerized methods and systems for implementing access control to time series data |
| GB2573283B (en) * | 2018-04-26 | 2020-04-29 | Metaswitch Networks Ltd | Improvements relating to network functions virtualization |
| US11063847B2 (en) * | 2018-08-21 | 2021-07-13 | Fujitsu Limited | Service function chain mapping using multiple parallel microservices instances |
| US10892994B2 (en) * | 2019-05-14 | 2021-01-12 | Vmware, Inc. | Quality of service in virtual service networks |
-
2015
- 2015-05-11 US US14/709,168 patent/US9560078B2/en active Active
- 2015-12-29 EP EP15881412.9A patent/EP3254429B1/en active Active
- 2015-12-29 CN CN201911128003.2A patent/CN110958227B/zh active Active
- 2015-12-29 KR KR1020177020803A patent/KR102454075B1/ko active IP Right Grant
- 2015-12-29 EP EP19190340.0A patent/EP3657753A1/en active Pending
- 2015-12-29 CN CN201580075546.6A patent/CN107251514B/zh active Active
- 2015-12-29 WO PCT/US2015/067887 patent/WO2016126347A1/en active Application Filing
- 2015-12-31 TW TW104144744A patent/TWI604333B/zh not_active IP Right Cessation
-
2017
- 2017-01-31 US US15/420,858 patent/US10397280B2/en active Active
-
2019
- 2019-08-16 US US16/542,670 patent/US11533341B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2782291A1 (en) * | 2013-03-20 | 2014-09-24 | Wolting Holding B.V. | Compiler for and method of software defined networking |
| US20140317737A1 (en) * | 2013-04-22 | 2014-10-23 | Korea Internet & Security Agency | Hypervisor-based intrusion prevention platform and virtual network intrusion prevention system |
| US20140344888A1 (en) * | 2013-05-16 | 2014-11-20 | Electronics And Telecommunications Research Institute | Network security apparatus and method |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019072165A1 (zh) * | 2017-10-09 | 2019-04-18 | 中兴通讯股份有限公司 | 虚拟化流镜像策略自动化管理方法及设备、存储介质 |
| RU2729406C1 (ru) * | 2017-10-09 | 2020-08-06 | Зте Корпорейшен | Способ и устройство для автоматического управления политикой зеркалирования виртуализиванного потока, а также носитель данных |
| CN109784085A (zh) * | 2017-11-15 | 2019-05-21 | 中兴通讯股份有限公司 | 虚拟网络应用实现方法及管理系统、计算机可读存储介质 |
| CN109784085B (zh) * | 2017-11-15 | 2023-10-27 | 中兴通讯股份有限公司 | 虚拟网络应用实现方法及管理系统、计算机可读存储介质 |
| US11570277B2 (en) | 2017-11-21 | 2023-01-31 | Huawei Technologies Co., Ltd. | Configuration method and apparatus |
| CN112202673A (zh) * | 2017-11-21 | 2021-01-08 | 华为技术有限公司 | 一种配置方法及装置 |
| WO2019149041A1 (zh) * | 2018-02-01 | 2019-08-08 | 中国移动通信有限公司研究院 | NFV系统license的管理方法、装置和计算机可读存储介质 |
| CN111147435A (zh) * | 2018-11-05 | 2020-05-12 | 南宁富桂精密工业有限公司 | 反回放处理方法 |
| CN111404764B (zh) * | 2019-01-02 | 2021-11-19 | 中国移动通信有限公司研究院 | 一种电信云预集成部署测试方法及装置 |
| CN111404764A (zh) * | 2019-01-02 | 2020-07-10 | 中国移动通信有限公司研究院 | 一种电信云预集成部署测试方法及装置 |
| CN112702383A (zh) * | 2019-10-23 | 2021-04-23 | 瞻博网络公司 | 收集误差分组信息以进行网络策略实施 |
| US11902096B2 (en) | 2019-10-23 | 2024-02-13 | Juniper Networks, Inc. | Collection of error packet information for network policy enforcement |
| CN114760080A (zh) * | 2020-12-28 | 2022-07-15 | 中国科学院沈阳自动化研究所 | 基于容器的工业云平台边缘计算安全防护系统及方法 |
| CN114760080B (zh) * | 2020-12-28 | 2023-03-14 | 中国科学院沈阳自动化研究所 | 基于容器的工业云平台边缘计算安全防护系统及方法 |
| CN115695522A (zh) * | 2022-09-16 | 2023-02-03 | 中电信数智科技有限公司 | 一种基于ovs-dpdk数据包引流系统及其实现方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3657753A1 (en) | 2020-05-27 |
| US20170142163A1 (en) | 2017-05-18 |
| US10397280B2 (en) | 2019-08-27 |
| TWI604333B (zh) | 2017-11-01 |
| EP3254429B1 (en) | 2019-08-07 |
| US20160226913A1 (en) | 2016-08-04 |
| US20200028880A1 (en) | 2020-01-23 |
| EP3254429A1 (en) | 2017-12-13 |
| CN110958227B (zh) | 2023-07-11 |
| US11533341B2 (en) | 2022-12-20 |
| WO2016126347A1 (en) | 2016-08-11 |
| EP3254429A4 (en) | 2018-07-25 |
| TW201643765A (zh) | 2016-12-16 |
| CN110958227A (zh) | 2020-04-03 |
| CN107251514B (zh) | 2021-05-28 |
| KR102454075B1 (ko) | 2022-10-14 |
| US9560078B2 (en) | 2017-01-31 |
| KR20170115046A (ko) | 2017-10-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107251514A (zh) | 用于虚拟化网络的可扩缩安全架构的技术 | |
| US10721258B2 (en) | Technologies for secure personalization of a security monitoring virtual network function | |
| CN106599694B (zh) | 安全防护管理方法、计算机系统和计算机可读取存储媒体 | |
| CN107548499A (zh) | 用于虚拟网络功能的安全自举的技术 | |
| US10841303B2 (en) | Apparatus and methods for micro-segmentation of an enterprise internet-of-things network | |
| CN109587105A (zh) | 基于策略的网络服务指纹识别 | |
| CN105516091B (zh) | 一种基于sdn控制器的安全流过滤器及过滤方法 | |
| CN110463155A (zh) | 增强特定于数据中心的信息的完整性 | |
| Xu et al. | Identifying SDN state inconsistency in OpenStack | |
| CN110099041A (zh) | 一种物联网防护方法及设备、系统 | |
| CN109039823A (zh) | 一种网络系统防火墙检测方法、装置、设备及存储介质 | |
| CN107615263A (zh) | 保护网络上的已连接设备的方法 | |
| Dey | A Reconfigurable Context-Aware Security Framework For Mobile Cloud Computing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |