CN108370368A - 安全策略部署方法与装置 - Google Patents

安全策略部署方法与装置 Download PDF

Info

Publication number
CN108370368A
CN108370368A CN201680073792.2A CN201680073792A CN108370368A CN 108370368 A CN108370368 A CN 108370368A CN 201680073792 A CN201680073792 A CN 201680073792A CN 108370368 A CN108370368 A CN 108370368A
Authority
CN
China
Prior art keywords
vnf
security strategy
network element
network
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201680073792.2A
Other languages
English (en)
Other versions
CN108370368B (zh
Inventor
林青春
靳涛
王江胜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN108370368A publication Critical patent/CN108370368A/zh
Application granted granted Critical
Publication of CN108370368B publication Critical patent/CN108370368B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0806Configuration setting for initial configuration or provisioning, e.g. plug-and-play
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0895Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Multimedia (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供了安全策略发送方法及装置,所述方法包括:当虚拟网络功能VNF的生命周期状态发生变化时,管理网元生成所述VNF的安全策略,所述VNF的安全策略用于对所述VNF进行访问控制;所述管理网元将所述VNF的安全策略发送给控制设备。其中,所述管理网元时用于对所述VNF进行生命周期管理的网元、采用本申请实施例所述提供的方法或装置,可以在VNF的生命周期状态发生变化时,及时调整VNF的安全策略,大大减少因为VNF发生变化而导致VNF安全策略出现漏洞的可能性。

Description

安全策略部署方法与装置 技术领域
本申请涉及网络领域,尤其涉及安全策略部署方法与装置。
背景技术
传统网络系统是指利用将多个地理位置不同、功能独立的多个网络设备互联起来,以实现资源共享或信息传递的系统。由于传统网络系统由于在部署完成之后,其所包含网络设备及各个网络设备之间的网络连接关系相对固定,因而很难对其所提供的网络服务(network service,简称NS)进行调整。
为便于根据实际需要对NS进行调整,越来越多使用者开始使用网络功能虚拟化(network function virtualisation,简称NFV)技术利用网络功能虚拟化基础设施(network functions virtualisation infrastructure,简称NFVI)来构建网络系统。在采用NFV技术构建的网络系统中,虚拟网络功能管理器(virtualised network function manager,简称VNFM)可以根据网络系统所要实现的NS创建、调整或终止相应的虚拟化网络功能(virtualised network function,简称VNF);网络功能虚拟化编排器(network functions virtualisation orchestrator,简称NFVO)则可以对VNF进行重排以实现对NS的调整。
为保证网络系统能够安全平稳运行,传统网络系统中的网络设备必须配置有相应的安全策略,网络设备可以根据安全策略进行访问控制,以方式。由于传统网络所包含网络设备及各个网络设备之间的网络连接关系相对固定,因此在为传统网络系统中的网络设备配置安全策略时,在网络系统的规划和设计阶段,可以由技术人员考虑根据网络设备的类型及网络设备之间的连接关系为各个网络设备设计相应的安全策略;然后在安装部署各个网络设备时,由技术人员手动将安全策略下发至相应的网络设备,从而实现网络设备的安全策略配置。
在采用NFV技术构建的网络系统中,各个VNF及NS也必须配置有相应的安全策略。但是在采用NFV技术构建的网络系统中,各个VNF都存在一定的生命周期(lifecycle)。在生命周期管理过程中确定VNF可能会不断发生变化。例如,VNF所包含的组件、VNF所包含组件之间的连接关系、以及VNF之间的连接关系,可能在 会随着生命周期管理的过程而不断发生变化。
如果采用传统网络系统中的安全策略配置方式,由技术人员手动为采用NFV技术构建的网络系统中的VNF配置安全策略,很可能会因为技术人员未能及时发现VNF的变化,或因为技术人员未能对在VNF发生变化后,未能即使对VNF的安全策略进行调整,从而导致VNF的安全策略出现漏洞,影响网络系统的安全性。
发明内容
本申请提供了安全策略部署方法与装置,以解决采用传统方式为网络系统中的VNF配置安全策略,容易导致VNF的安全策略出现漏洞的问题。
第一方面,本申请提供了一种安全策略部署方法,该方法包括:当虚拟网络功能VNF的生命周期状态发生变化时,管理网元生成所述VNF的安全策略,所述VNF的安全策略用于对所述VNF进行访问控制;所述管理网元将所述VNF的安全策略发送给控制设备,所述控制设备用于实现对所述VNF的访问控制。其中,所述管理网元可以包括VNFM或NFVO,所述控制设备可以包括所述VNF或用于为所述VNF提供网络访问的网关设备。采用本方面所提供的技术方案,管理网元可以在VNF的生命周期状态发生变化时,及时调整VNF的安全策略,大大减少因为VNF发生变化而导致VNF安全策略出现漏洞的可能性。
结合第一方面,在第一方面第一种可能的实现方式中,当所述VNF部署在至少两个虚拟部件上时,所述安全策略包括第一安全策略,所述第一安全策略用于对所述至少两个虚拟部件之间进行访问控制或安全隔离。采用本实现方式所提供的技术方案,管理网元可以在VNF自身发生变化时,及时调整VNF的安全策略,从减少因VNF自身发生变化而导致VNF安全策略出现漏洞的可能性。
结合第一方面第一种可能的实现方式,在第一方面第二种可能的实现方式中,所述管理网元生成所述VNF的安全策略,包括:所述管理网元根据所述虚拟部件所要实现的功能确定所述虚拟部件之间的网络隔离需求,并生成与所述虚拟部件的网络隔离需求相匹配的所述第一安全策略;或者,所述管理网元根据所述虚拟部件所要实现的功能确定所述虚拟部件的访问控制需求,并生成与所述访问控制需求相匹配的所述第一安全策略;或者,所述管理网元获取所述VNF的配置信息,并从预设的备选安全策略中选取与所述配置信息相匹配的一个作为所述第一安全策略。采用本实现方式所提供的技术方案,管理网元可以准确生成在发生生命周期状态变化后,所述VNF 所需的安全策略,进一步降低VNF的安全策略出现漏洞的可能性。
结合第一方面第一种可能的实现方式或第一方面第二种可能的实现方式,在第一方面第三种可能的实现方式中,所述控制设备为所述VNF,所述管理网元将所述VNF的安全策略发送给控制设备,包括:所述管理网元将所述第一安全策略经由虚拟基础设施管理器VIM发送给所述VNF;或者,所述管理网元将所述第一安全策略经由网元管理系统EMS发送给所述VNF。采用本实现方式所提供的技术方案,管理网元可以快速实现安全策略的部署,从而进一步降低VNF的安全策略出现漏洞的可能性。
结合第一方面或第一方面第一至三种可能的实现方式其中任一种,在第一方面第四种可能的实现方式中,所述安全策略包括第二安全策略,所述第二安全策略用于对所述VNF与关联网元之间进行访问控制或安全隔离,其中,所述关联网元是指所述VNF所属网络中除所述VNF之外的其他网元。采用本实现方式所提供的技术方案,管理网元可以在VNF与关联网元之间的关系发生变化时,及时调整VNF的安全策略,从减少因VNF与关联网元之间的关系发生变化而导致VNF安全策略出现漏洞的可能性。
结合第一方面第四种可能的实现方式,在第一方面第五种可能的实现方式中,所述管理网元生成第二安全策略,包括:所述管理网元根据所述VNF所要实现的功能确定所述VNF之间的网络隔离需求,并生成与所述VNF的网络隔离需求相匹配的所述第二安全策略;或者,所述管理网元根据所述VNF所要实现的功能,确定所述VNF的访问控制需求,并生成与所述访问控制需求相匹配的所述第二安全策略。采用本实现方式所提供的技术方案,管理网元可以准确生成在发生生命周期状态变化后,所述VNF所需的安全策略,进一步降低VNF的安全策略出现漏洞的可能性。
结合第一方面第四或五种可能的实现方式,在第一方面第六种可能的实现方式中,所述控制设备为向所述VNF提供网络服务的网关设备,所述管理网元将所述VNF的安全策略发送给控制设备,包括:所述管理网元将所述第二安全策略经由VIM发送给所述网关设备,或者,所述管理网元将所述第二安全策略经由EMS发送给所述网关设备。采用本实现方式所提供的技术方案,管理网元可以快速实现安全策略的部署,从而进一步降低VNF的安全策略出现漏洞的可能性。
第二方面,本申请还提供了一种安全策略部署装置,该装置可以包括用于执行前述第一方面及第一方面各种实现方式中方法步骤的单元模块。
第三方面,本申请还提供了另一管理网元,该管理网元可以用于执行前述第一方 面或第一方面各实现方式中的方法步骤。其中,所述管理网元可以为
采用本申请实施例所述提供的方法或装置,可以在VNF的生命周期状态发生变化时,及时调整VNF的安全策略,大大减少因为VNF发生变化而导致VNF安全策略出现漏洞的可能性。
附图说明
为了更清楚地说明本申请的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请网络系统的一个结构示意图;
图2为本申请安全策略配置方法一个实施例的流程示意图;
图3为本申请安全策略配置方法另一个实施例的流程示意图;
图4为本申请安全策略配置方法另一个实施例的流程示意图;
图5为本申请安全策略配置装置一个实施例的结构示意图;
图6为本申请管理网元一个实施例的结构示意图。
具体实施方式
本申请各个实施例中的网络系统可以是指利用虚拟基础设施管理器(virtualised infrastructure manager,简称VIM)等设备所管理的网络功能虚拟化基础设施(network functions virtualisation infrastructure,简称NFVI)所创建的网络系统。
在本申请各个实施例中,部件网络功能管理器(virtualised network function manager,简称VNFM)可以利用NFVI生成一定数量的部件网络功能(virtualised network function,简称VNF)并对VNF进行生命周期管理。网络功能虚拟化编排器(network functions virtualisation orchestrator,简称NFVO)则可以通过VNFM对所述VNF及其对应的NFVI进行部署,操作,管理及协调,以实现一定的网络服务(network service,简称NS)。
在本申请各个实施例中,VNF可以部署在一个或一个以上的部件上,所述部件可以单独实现一定的功能,也可以通过相互配合实现一定的功能,例如,所述部件可以单独或互相配合以实现数据处理、数据存储等功能,从而使得所述VNF可以实现 一定的网络服务(network service,简称NS)。通常情况下,每一个所述NS可以由至少一个VNF来实现,同一个VNF也可以用于实现不同NS。因此也可以认为,每一个NS包含至少一个VNF或每一个NS由至少一个VNF组成。其中,所述部件可以为实体部件,例如服务器,或者也可以虚拟部件,例如虚拟机(virtual machine,简称VM)。
在本申请各个实施例中,VNF的生命周期状态发生变化可以包括:VNF实例化(VNF instantiation),VNF缩容(VNF scale-in),VNF扩容(VNF scale-out),VNF下线(VNF termination)等。其中,VNF被创建,VNF被变更及VNF被重排,其中,VNF实例化可以是指VNF被创建是,即VNF被VNFM利用NFVI创建出来;VNF缩容(VNF scale-in)与VNF扩容(VNF scale-out)是指VNF被变更,即VNF中的部件被增加、减少或调整,或VNF所要实现的NS被调整,或者VNF与其他网元之间的关系被调整。其中,VNF中的部件可以是指用于部署所述VNF的部件。
参见图1,为本申请网络系统一个实施例的结构示意图。
如图1所示,网络系统可以包括第一VNF、第二VNF及第三VNF,所述第一VNF、第二VNF及所述第三VNF均与网关设备连接。其中,所述网关设备用于为所述VNF提供网络服务,可以为虚拟网关设备,也可以为实体网关设备,例如,所述网络服务可以包括:虚拟局域网(virtual local area network,简称VLAN)服务、虚拟专用网络(virtual private network,简称VPN)服务或防火墙服务等;所述虚拟网关设备通常可以包括:虚拟交换机(virtual switch)、虚拟路由器(virtual router)、虚拟防火墙(virtual firewall)等。
所述网络系统中的VNF可以部署在多个虚拟设备或实体设备上,例如,图1所示中VNF部署在第一部件、第二部件与第三部件上,其中,第一部件和第二部件相配合用于实现VNF的内部功能,第三部件则用于对外提供服务。因此,所述第一部件与所述第二部件可以构成第一子网,而所述第三部件则可以构成第三子网。所述第一部件、第二部件及第三部件可以均为虚拟部件也可以部分为虚拟部件而部分为实体部件。
需要说明的是,上述网络系统还可以包含更多或更少的VNF、网关设备。除所述VNF与所述网关设备之外,所述网络系统还可以包括管理网元、VIM或网元管理系统(element management system,简称EMS)等其他网元。其中,所述管理网元可以是任意能够获知VNF的生命周期状态发生变化的网元,通常情况下所述管理网元 可以为VNFM或NFVO,或者也可以为VIM或其他网元。
下面结合附图对本申请安全策略部署方法进行进一步说明。
参见图2,为本申请安全策略部署方法一个实施例的流程图。
步骤201,当VNF的生命周期状态发生变化时,管理网元生成所述VNF的安全策略,所述VNF的安全策略用于对所述VNF进行访问控制。
其中,管理网元可以监控VNF的生命周期状态,也可对VNF进行生命周期管理。
具体地,管理网元可以对VNF进行生命周期管理,导致VNF的生命周期状态发生变化。例如,管理网元利用NFVI创建第一VNF,又如,管理网元将所述第一VNF中的第四部件替换为第三部件,均会导致第一VNF的生命周期状态发生变化。再如,管理网元将第一VNF由为第二VNF提供服务调整至为第三VNF提供服务,使第一VNF、第二VNF及第三VNF的生命周期状态均发生变化。
需要说明的是,上述管理网元对VNF进行生命周期管理,不但会导致VNF的生命周期状态发生变化,而且还会导致VNF对安全策略的需求发生变化。因此管理网元可以在VNF的生命周期状态发生变化时,生成所述VNF的安全策略。其中,所述VNF的安全策略可以包括用于实现VNF免受各类网络攻击的各种策略和规则。
例如,当管理网元将所述第一VNF中的第四部件替换为第三部件时,由于所述VNF中的部件发生了变化,所述VNF的安全策略需求也会随之发生变化,因此所述管理网元可以在所述VNF的生命周期状态发生变化时,生成所述VNF的安全策略,以满足所述VNF的安全策略需求。
其中,所述VNF的安全策略可以包括第一安全策略和/或第二安全策略。所述第一安全策略用于在VNF部署在至少两个部件上时,对所述部件之间进行访问控制或安全隔离;所述第二安全策略则用于对所述VNF与关联网元之间进行访问控制或安全隔离,其中,所述关联网元是指所述VNF所属网络中除所述VNF之外的其他网元。
例如,当网络系统的组成如图1所示时,所述第一安全策略用于对第一部件、第二部件及第三部件之间进行访问控制或安全隔离;而所述第二安全策略则用于对第一VNF、第二VNF及第三VNF之间进行访问控制或安全隔离。其中,所述第一安全策略可以包括访问控制列表(access control list,简称ACL)等;所述第二安全策略则可以包括基于开放式系统互联(open system interconnection,简称OSI)模型的第二层的VLAN策略、基于OSI模型的第三层的VPN策略或用于控制VNF与其他网元 之间访问的访问控制策略等。
步骤202,管理网元将所述VNF的安全策略发送给控制设备,其中,所述控制设备指是指用于实现对所述VNF的访问控制的网元。
所述控制设备可以包括所述VNF本身或者网关设备,其中,所述网关设备为向所述VNF提供网络服务的网关设备,即VNF的服务网关。例如,网络系统的结构如图1所示时,当第一VNF发生生命周期状态变化时,所述控制设备可以包括所述第一VNF与网关设备。
所述管理网元可以通过不同的途径将所述VNF的安全策略发送给对应的控制设备。例如,当所述VNF的安全策略包括第一安全策略时,管理网元可以在生成所述第一安全策略之后,将所述第一安全策略发送给所述VNF;当所述VNF的安全策略包括第一安全策略时,管理网元可以在生成所述第二安全策略之后,将所述第二安全策略经发送给所述网关设备。
采用本实施例所提供的技术方案,管理网元可以在VNF的生命周期状态发生变化时,及时调整VNF的安全策略,大大减少因为VNF发生变化而导致VNF安全策略出现漏洞的可能性。
VNF的生命周期状态发生变化可以包括VNF中的部件发生变化,也可以包括VNF所提供的服务或服务的对象发生变化等。根据VNF的生命周期状态发生变化所包括的内容不同,本申请安全策略部署的具体实现方式也不相同,下面结合其它附图对所述VNF的安全策略包含所述第一安全策略及所述安全策略包含所述第二安全策略这两种情况为例,对本申请安全策略部署方法做进一步说明。
参见图3,为本申请安全策略部署方法另一个实施例的流程示意图。如图3所示,该实施例可以包括:
步骤301,当VNF的生命周期状态发生变化时,管理网元生成第一安全策略。
VNF的生命周期状态发生变化可以仅包括VNF中的部件发生变化,其中,VNF中的部件发生变化则可以包括部件所要实现的功能发生变化或用于部署所述VNF中的部件发生变化等。以图1为例,第一VNF中的部件发生变化可以包括:第四部件被替换为第三部件,或第一部件与第二部件所要实现的功能发生交换等。
VNF中的部件发生变化会导致VNF的安全策略需求发生变化。为满足变化后的安全策略需求,所述管理网元可以在VNF的生命周期状态发生变化后,生成第一安 全策略。所述第一安全策略可以包括第一网络隔离策略和/或第一访问控制策略等内容。其中,所述第一网络隔离策略实现对所述VNF中的部件之间进行网络隔离,所述第一访问控制策略用于对访问目标为所述部件的访问请求进行访问控制。
管理网元可以根据所述VNF中的部件所要实现的功能确定所述部件之间的网络隔离需求;然后生成与所述部件的网络隔离需求相匹配的第一网络隔离策略。或者,所述管理网元也可以根据所述VNF中的部件所要实现的功能确定所述部件之间的问控制需求;然后生成与所述部件之间的访问控制需求相匹配的第一访问控制策略。在此需要说明的是,所述管理网元可以只生成所述第一访问控制策略,或者所述管理网元也可以只生成所述第一网络隔离策略,或者,所述管理网元也可以既生成所述第一访问控制策略又生成第一网络隔离策略,所述第一访问控制策略及所述第一网络隔离策略均为所述第一安全策略。
以图1为例,如果第一部件和第二部件相配合用于实现第一VNF的内部功能,第三部件用于对外提供服务,那么需要将第三部件与另外两个部件相隔离,从而在第一VNF内部形成相互隔离的第一子网与第二子网。其中,第一子网可以包含第一部件与第二部件;而第二子网则可以仅包含第三部件。因此所述第一安全策略可以包括用于将第三部件与另外两个部件隔离为不同子网的第一隔离策略。
再如,如果在第一子网中只允许第一部件通过第一端口与第二部件进行数据传输,而在第二子网中只允许第三部件通过第二端口与其他网元进行数据传输,那么所述访问控制策略可以包括第一ACL与第二ACL,所述第一ACL用于控制第一部件与第二部件之间的流量只能通过第一端口传输;所述第二ACL用于控制第三部件只能通过第二端口与其他网元进行数据传输。
网络隔离需求和/或所述部件之间的问控制需求都可以依据所述第一配置信息确定。其中,所述第一配置信息可以包括:VNF内部部件接口或外部接口上配置的IP地址、所述内部接口或外部接口上所提供的服务、所述内部接口或所述外部接口的连接关系等信息中的全部或部分。
在实际使用中,管理网元对所述VNF进行生命周期管理往往需要基于配置信息,同一类VNF所对应的配置信息通常相同,并且所要需要的第一安全策略通常也相同。因此管理网元或其他网元可以预先生成与各类配置信息相对应的备选安全策略;当所述VNF发生生命周期状态变化时,所述管理网元获取所述VNF的配置信息;然后从预设的备选安全策略中选取与所述配置信息相匹配的一个作为所述第一安全策略。
步骤302,管理网元将所述第一安全策略发送给所述VNF。
由于管理网元与所述VNF之间可能并非直接通过网络接口或内部接口连接,因此在生成所述第一安全策略之后,管理网元可以将所述第一安全策略发送给VIM,然后由VIM将所述第一安全策略发送给所述VNF。
或者,当所述网络系统中存在网元管理系统(element management system,简称EMS)时,所述管理网元也可以将所述第一安全策略发送给EMS,然后由EMS将所述第一安全策略发送给所述VNF,从而实现第一安全策略的部署。其中,EMS可以用于对各个网元进行管理。
采用该实施例所提供的技术方案,管理网元可以在VNF自身发生变化时,及时调整VNF的安全策略,从减少因VNF自身发生变化而导致VNF安全策略出现漏洞的可能性。
参见图4,为本申请安全策略部署方法另一个实施例的流程示意图。如图4所示,该实施例可以包括:
步骤401,当VNF的生命周期状态发生变化时,管理网元生成第二安全策略。
VNF的生命周期状态发生变化也可以仅包括VNF所提供的服务或服务的对象发生变化等。以图1为例,第一VNF的生命周期状态变化可以包括第一VNF所提供的服务发生变化,或第一VNF由为第二VNF提供服务变化成为第三VNF提供服务等。
VNF所提供的服务或服务的对象发生变化也会导致VNF的安全策略需求发生变化。为满足变化后的安全策略需求,所述管理网元可以在VNF的生命周期状态发生变化后,生成第二安全策略。所述第二安全策略可以包括第二网络隔离策略和/或第二访问控制策略等内容。其中,所述第二网络隔离策略实现对所述VNF与关联网元进行网络隔离,所述第二访问控制策略则用于对访问目标为所述VNF访问请求进行访问控制。
所述管理网元可以根据所述VNF所要实现的功能确定所述VNF之间的网络隔离需求;然后生成与所述VNF的网络隔离需求相匹配的所述第二安全策略。或者,所述管理网元也可以根据所述VNF所要实现的功能,确定所述VNF的访问控制需求;然后生成与所述访问控制需求相匹配的所述第二安全策略。在此需要说明的是,所述管理网元可以只生成所述第二访问控制策略,或者所述管理网元也可以只生成所述第二网络隔离策略,或者,所述管理网元也可以既生成所述第二访问控制策略又生成第 二网络隔离策略,所述第二访问控制策略及所述第二网络隔离策略均为所述第二安全策略。
例如,当所述网络系统的结构如图1所示时,如果为保证第一VNF的安全性,只允许第二VNF与第一VNF进行通信,那么所述第二安全策略中就需要包含第三ACL,所述第三ACL用于控制第一VNF只能与第二VNF进行数据传输。或者,管理网元也可以生成VLAN策略或VPN策略来实现只允许第二VNF与第一VNF进行通信。
步骤402,管理网元将所述第二安全策略发送给网关设备。
由于对VNF的隔离或访问控制通常需要由网关设备来实现,因此管理网元在生成所述第二安全策略后,可以将所述第二安全策略发送给所述网关设备。其中,所述网关设备可以包括向所述VNF提供网络服务的网络设备,所述网络设备可以为一个也可以为更多。当所述网关设备为两个以上时,根据所提供的网络服务的类型不同,所述网关设备也为不同的类型。
由于管理网元与所述网关设备之间也可能并非直接连接,因此在生成所述第二安全策略之后,管理网元可以将所述第二安全策略发送给VIM,然后由VIM将所述第一安全策略发送给所述网关设备。
或者,当所述网络系统中存在EMS时,所述管理网元也可以将所述第二安全策略发送给EMS,然后由EMS将所述第二安全策略发送给所述网关设备,从而实现第二安全策略的部署。其中,EMS可以用于对各个网元进行管理。
采用本实施例所提供的技术方案,管理网元可以在VNF的生命周期状态发生变化时,及时调整VNF的安全策略,大大减少因为VNF发生变化而导致VNF安全策略出现漏洞的可能性。
在此需要说明的是,因此在所述VNF发生生命周期状态变化时,管理网元可能仅需生成所述第一安全策略;也可以仅需生成所述第二安全策略,或者也可以既需生成第一安全策略又需生成第二安全策略;在既需要生成所述第一安全策略,又需要生成所述第二安全策略时,两者可以各自独立被生成,并且两个被生成的先后顺序在本申请中不做限定。
采用本实现方式所提供的技术方案,管理网元可以在VNF与关联网元之间的关系发生变化时,及时调整VNF的安全策略,从减少因VNF与关联网元之间的关系发 生变化而导致VNF安全策略出现漏洞的可能性。
参见图5,为本申请安全策略部署装置一个实施例的结构示意图。所述装置可以为前述实施例中的管理网元或为所述管理网元的一部分。
如图5所示,该安全策略部署装置可以包括:生成单元501及发送单元502。
其中,生成单元501,用于当虚拟网络功能VNF的生命周期状态发生变化时,生成所述VNF的安全策略,所述VNF的安全策略用于对所述VNF进行访问控制;发送单元502,用于将所述VNF的安全策略发送给控制设备。
可选的,所述生成单元501,所述生成单元501,具体用于当所述VNF由至少两个虚拟部件构成时,生成第一安全策略,所述第一安全策略用于对所述虚拟部件之间进行访问控制或安全隔离。
可选的,所述生成单元501,具体用于根据所述虚拟部件所要实现的功能确定所述虚拟部件之间的网络隔离需求,并生成与所述虚拟部件的网络隔离需求相匹配的所述第一安全策略;或者,根据所述虚拟部件所要实现的功能,确定所述虚拟部件的访问控制需求,并生成与所述访问控制需求相匹配的所述第一安全策略;或者,从预设的备选安全策略中选取与所述VNF的配置信息相匹配的一个作为所述第一安全策略。。
可选的,所述发送单元502,具体用于将所述第一安全策略经由虚拟基础设施管理器VIM发送给所述VNF,或者,将所述第一安全策略经由网元管理系统EMS发送给所述VNF。
可选的,所述生成单元501,具体用于生成第二安全策略,所述第二安全策略用于对所述VNF与关联网元之间进行访问控制或安全隔离,其中,所述关联网元是指所述VNF所属网络中除所述VNF之外的其他网元。
可选的,所述生成单元501,具体用于根据所述VNF所要实现的功能确定所述VNF之间的网络隔离需求,并生成与所述VNF的网络隔离需求相匹配的所述第二安全策略;或者,根据所述VNF所要实现的功能,确定所述VNF的访问控制需求,并生成与所述访问控制需求相匹配的所述第二安全策略。
可选的,所述发送单元502,具体用于将所述第二安全策略经由VIM发送给所用于为所述VNF提供网络服务的网关设备,或者,将所述第二安全策略经由EMS发送给所述网关设备。
参见图6,为本申请管理网元一个实施例的结构示意图。所述管理网元可以为NFVO或VNFM。
如图6所示,所述管理网元可以包括:处理器601、存储器602及通信接口603。
其中,所述处理器601为管理网元的控制中心,利用各种接口和线路连接整个管理网元的各个部分,通过运行或执行存储在存储器内的软件程序和/或模块,以及调用存储在存储器内的数据,以执行管理网元的各种功能和/或处理数据。所述处理器可以是中央处理器(central processing unit,简称CPU),网络处理器(network processor,简称NP)或者CPU和NP的组合。处理器还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(application-specific integrated circuit,简称ASIC),可编程逻辑器件(programmable logic device,简称PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device,简称CPLD),现场可编程逻辑门阵列(field-programmable gate array,简称FPGA),通用阵列逻辑(generic array logic,简称GAL)或其任意组合。在本申请实施例中,所述管理网络可以通过读取存储器602中的数据或调用通信接口603实现前述实施中安全策略配置方法的全部或部分法步骤。
所述存储器602可以包括易失性存储器(volatile memory),例如随机存取内存(random access memory,简称RAM);还可以包括非易失性存储器(non-volatile memory),例如快闪存储器(flash memory),硬盘(hard disk drive,简称HDD)或固态硬盘(solid-state drive,简称SSD);存储器还可以包括上述种类的存储器的组合。所述存储器中可以存储有程序或代码,所述管理网元中的处理器通过执行所述程序或代码可以实现所述管理网元的功能。
所述通信接口603可以用于接收或发送数据,所述通信接口可以在所述处理器的控制下向终端设备或其他管理网元发送数据;所述通信接口在所述处理器的控制下接收终端设备或其他管理网元发送的数据。
在本申请中,所述处理器601可以用于当虚拟网络功能VNF的生命周期状态发生变化时,生成所述VNF的安全策略,所述VNF的安全策略用于对所述VNF进行访问控制;所述通信接口603,可以用于将所述VNF的安全策略发送给控制设备。
可选的,所述处理器601,还可以用于当所述VNF由至少两个虚拟部件构成时,生成第一安全策略,所述第一安全策略用于对所述虚拟部件之间进行访问控制或安全隔离。
可选的,所述处理器601,还可以用于根据所述虚拟部件所要实现的功能确定所述虚拟部件之间的网络隔离需求,并生成与所述虚拟部件的网络隔离需求相匹配的所述第一安全策略;或者,根据所述虚拟部件所要实现的功能,确定所述虚拟部件的访问控制需求,并生成与所述访问控制需求相匹配的所述第一安全策略;或者,从预设的备选安全策略中选取与所述VNF的配置信息相匹配的一个作为所述第一安全策略。
可选的,所述通信接口603,还可以用于将所述第一安全策略经由VIM发送给所述VNF,或者,将所述第一安全策略经由EMS发送给所述VNF。
可选的,所述处理器601,还可以用于生成第二安全策略,所述第二安全策略用于对所述VNF与关联网元之间进行访问控制或安全隔离,其中,所述关联网元是指所述VNF所属网络中除所述VNF之外的其他网元。
可选的,所述处理器601,还可以用于根据所述VNF所要实现的功能确定所述VNF之间的网络隔离需求,并生成与所述VNF的网络隔离需求相匹配的所述第二安全策略;或者,根据所述VNF所要实现的功能,确定所述VNF的访问控制需求,并生成与所述访问控制需求相匹配的所述第二安全策略。
可选的,所述通信接口603,还可以用于将所述第二安全策略经由VIM发送给所用于为所述VNF提供网络服务的网关设备,或者,将所述第二安全策略经由EMS发送给所述网关设备。
具体实现中,本申请还提供一种计算机存储介质,其中,该计算机存储介质可存储有程序,该程序执行时可包括本申请提供的安全策略配置方法各实施例中的部分或全部步骤。所述的存储介质可为磁碟、光盘、只读存储记忆体(英文:read-only memory,简称ROM)或随机存储记忆体(英文:random access memory,简称RAM)等。
本领域的技术人员可以清楚地了解到本申请实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本申请实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。
本说明书中各个实施例之间相同相似的部分互相参见即可。尤其,对于安全策略 配置装置及管理网元实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本申请实施方式并不构成对本申请保护范围的限定。

Claims (14)

  1. 一种安全策略部署方法,其特征在于,包括:
    当虚拟网络功能VNF的生命周期状态发生变化时,管理网元生成所述VNF的安全策略,所述VNF的安全策略用于对所述VNF进行访问控制;
    所述管理网元将所述VNF的安全策略发送给控制设备,所述控制设备用于实现对所述VNF的访问控制。
  2. 如权利要求1所述的方法,其特征在于,当所述VNF部署在至少两个虚拟部件上时,所述安全策略包括第一安全策略,所述第一安全策略用于对所述至少两个虚拟部件之间进行访问控制或安全隔离。
  3. 如权利要求2所述的方法,其特征在于,所述管理网元生成所述VNF的安全策略,包括:
    所述管理网元根据所述虚拟部件所要实现的功能确定所述虚拟部件之间的网络隔离需求,并生成与所述虚拟部件的网络隔离需求相匹配的所述第一安全策略;或者,
    所述管理网元根据所述虚拟部件所要实现的功能确定所述虚拟部件的访问控制需求,并生成与所述访问控制需求相匹配的所述第一安全策略;或者,
    所述管理网元获取所述VNF的配置信息,并从预设的备选安全策略中选取与所述配置信息相匹配的一个作为所述第一安全策略。
  4. 如权利要求2或3所述的方法,其特征在于,所述控制设备为所述VNF,所述管理网元将所述VNF的安全策略发送给控制设备,包括:
    所述管理网元将所述第一安全策略经由虚拟基础设施管理器VIM发送给所述VNF;或者,
    所述管理网元将所述第一安全策略经由网元管理系统EMS发送给所述VNF。
  5. 如权利要求1至4任一项所述的方法,其特征在于,所述安全策略包括第二安全策略,所述第二安全策略用于对所述VNF与关联网元之间进行访问控制或安全隔离,其中,所述关联网元是指所述VNF所属网络中除所述VNF之外 的其他网元。
  6. 如权利要求5所述的方法,其特征在于,所述管理网元生成第二安全策略,包括:
    所述管理网元根据所述VNF所要实现的功能确定所述VNF之间的网络隔离需求,并生成与所述VNF的网络隔离需求相匹配的所述第二安全策略;或者,
    所述管理网元根据所述VNF所要实现的功能,确定所述VNF的访问控制需求,并生成与所述访问控制需求相匹配的所述第二安全策略。
  7. 如权利要求5或6所述的方法,其特征在于,所述控制设备为向所述VNF提供网络服务的网关设备,所述管理网元将所述VNF的安全策略发送给控制设备,包括:
    所述管理网元将所述第二安全策略经由VIM发送给所述网关设备,或者,
    所述管理网元将所述第二安全策略经由EMS发送给所述网关设备。
  8. 一种安全策略部署装置,其特征在于,包括:
    生成单元,用于当虚拟网络功能VNF的生命周期状态发生变化时,生成所述VNF的安全策略,所述VNF的安全策略用于对所述VNF进行访问控制;
    发送单元,用于将所述VNF的安全策略发送给控制设备,所述控制设备用于实现对所述VNF的访问控制。
  9. 如权利要求8所述的装置,其特征在于,
    当所述VNF部署在至少两个虚拟部件上时,所述安全策略包括第一安全策略,所述第一安全策略用于对所述至少两个虚拟部件之间进行访问控制或安全隔离。
  10. 如权利要求8所述的装置,其特征在于,
    所述生成单元,具体用于根据所述虚拟部件所要实现的功能确定所述虚拟部件之间的网络隔离需求,并生成与所述虚拟部件的网络隔离需求相匹配的所述第一安全策略;或者,根据所述虚拟部件所要实现的功能,确定所述虚拟部件的访问控制需求,并生成与所述访问控制需求相匹配的所述第一安全策略;或者,获取所述VNF的配置信息,并从预设的备选安全策略中选取与所述配置信息相匹 配的一个作为所述第一安全策略。
  11. 如权利要求9或10所述的装置,其特征在于,
    所述发送单元,具体用于当所述控制设备为所述VNF时,将所述第一安全策略经由虚拟基础设施管理器VIM或网元管理系统EMS发送给所述VNF。
  12. 如权利要求8所述的装置,其特征在于,
    所述安全策略包括第二安全策略,所述第二安全策略用于对所述VNF与关联网元之间进行访问控制或安全隔离,其中,所述关联网元是指所述VNF所属网络中除所述VNF之外的其他网元。
  13. 如权利要求12所述的装置,其特征在于,
    所述生成单元,具体用根据所述VNF所要实现的功能确定所述VNF之间的网络隔离需求,并生成与所述VNF的网络隔离需求相匹配的所述第二安全策略;或者,根据所述VNF所要实现的功能,确定所述VNF的访问控制需求,并生成与所述访问控制需求相匹配的所述第二安全策略。
  14. 如权利要求12或13所述的装置,其特征在于,
    所述发送单元,具体用于当所述控制设备为向所述VNF提供网络服务的网关设备时,将所述第二安全策略经由VIM或EMS发送给所用于为所述VNF提供网络服务的网关设备。
CN201680073792.2A 2016-09-20 2016-09-20 安全策略部署方法与装置 Active CN108370368B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2016/099455 WO2018053686A1 (zh) 2016-09-20 2016-09-20 安全策略部署方法与装置

Publications (2)

Publication Number Publication Date
CN108370368A true CN108370368A (zh) 2018-08-03
CN108370368B CN108370368B (zh) 2020-04-21

Family

ID=61689286

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201680073792.2A Active CN108370368B (zh) 2016-09-20 2016-09-20 安全策略部署方法与装置

Country Status (5)

Country Link
US (1) US11489873B2 (zh)
EP (2) EP3866435A1 (zh)
CN (1) CN108370368B (zh)
ES (1) ES2870457T3 (zh)
WO (1) WO2018053686A1 (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110868371A (zh) * 2018-08-27 2020-03-06 中国电信股份有限公司 安全策略的处理方法、系统、云管理平台和子网管理装置
CN111857941A (zh) * 2019-04-30 2020-10-30 华为技术有限公司 一种安全策略管理方法及装置
CN113660131A (zh) * 2021-10-18 2021-11-16 武汉绿色网络信息服务有限责任公司 虚拟网络功能单元切换的方法、装置、控制器和存储介质
CN113726541A (zh) * 2020-05-25 2021-11-30 中移(苏州)软件技术有限公司 一种网元配置的方法、装置、电子设备和存储介质
CN114666161A (zh) * 2022-04-29 2022-06-24 深信服科技股份有限公司 一种组件安全策略管理方法、装置、设备及存储介质

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2573283B (en) * 2018-04-26 2020-04-29 Metaswitch Networks Ltd Improvements relating to network functions virtualization
FR3081582A1 (fr) * 2018-06-18 2019-11-29 Orange Procede d'installation d'une fonction reseau virtualisee
CN109525601B (zh) * 2018-12-28 2021-04-27 杭州迪普科技股份有限公司 内网中终端间的横向流量隔离方法和装置
GB2583904B (en) * 2019-04-23 2023-03-08 Metaswitch Networks Ltd Commissioning a virtualised network function
US11520615B1 (en) * 2020-03-31 2022-12-06 Equinix, Inc. Virtual network function virtual domain isolation
CN111835715B (zh) * 2020-06-03 2021-06-04 北京邮电大学 一种虚拟网络功能的安全值确定方法及装置
US12034609B2 (en) * 2020-10-28 2024-07-09 Telefonaktiebolaget Lm Ericsson Methods and apparatuses for instantiation of NS or VNF

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105376246A (zh) * 2015-11-30 2016-03-02 中国电子科技网络信息安全有限公司 一种基于sdn的安全策略自适应生成管理系统及方法
WO2016079046A1 (en) * 2014-11-19 2016-05-26 British Telecommunications Public Limited Company Diagnostic testing in networks
CN105847237A (zh) * 2016-03-15 2016-08-10 中国联合网络通信集团有限公司 一种基于nfv的安全管理方法和装置

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10491594B2 (en) * 2014-08-22 2019-11-26 Nokia Technologies Oy Security and trust framework for virtualized networks
US9762457B2 (en) * 2014-11-25 2017-09-12 At&T Intellectual Property I, L.P. Deep packet inspection virtual function
CN105830394B (zh) * 2014-11-27 2019-05-21 华为技术有限公司 虚拟网络策略的配置方法、系统及其虚拟网元和网管系统
EP3227779A1 (en) * 2014-12-04 2017-10-11 Nokia Solutions And Networks Management International GmbH Steering of virtualized resources
US9871823B2 (en) * 2014-12-23 2018-01-16 Intel Corporation Techniques to deliver security and network policies to a virtual network function
US10678604B2 (en) * 2015-01-23 2020-06-09 Nec Corporation Network functions virtualization management and orchestration method, network functions virtualization management and orchestration system, and program
US9560078B2 (en) * 2015-02-04 2017-01-31 Intel Corporation Technologies for scalable security architecture of virtualized networks
WO2016128062A1 (en) * 2015-02-13 2016-08-18 Nokia Solutions And Networks Oy Security mechanism for hybrid networks
US9578008B2 (en) * 2015-05-11 2017-02-21 Intel Corporation Technologies for secure bootstrapping of virtual network functions
KR101746202B1 (ko) * 2015-06-09 2017-06-12 주식회사 케이티 네트워크 기능 가상화 방법 및 이를 위한 장치
US9742790B2 (en) * 2015-06-16 2017-08-22 Intel Corporation Technologies for secure personalization of a security monitoring virtual network function
WO2017011006A1 (en) * 2015-07-15 2017-01-19 Nokia Solutions And Networks Oy Security aware instantiation of network services and/or virtualized network functions
US10187324B2 (en) * 2015-08-10 2019-01-22 Futurewei Technologies, Inc. System and method for resource management
US10154009B2 (en) * 2015-08-11 2018-12-11 At&T Intellectual Property I, L.P. Providing a basic firewall using a virtual networking function
WO2017067598A1 (en) * 2015-10-22 2017-04-27 Nokia Solutions And Networks Oy Security mechanism for communication network including virtual network functions
WO2017168205A1 (en) * 2016-03-29 2017-10-05 Telefonaktiebolaget Lm Ericsson (Publ) Service delivery to handed over user equipment (ue) using a software-defined networking (sdn) controller
US10498765B2 (en) * 2016-06-01 2019-12-03 At&T Intellectual Property I, L.P. Virtual infrastructure perimeter regulator
US11063993B2 (en) * 2016-06-29 2021-07-13 Telefonaktiebolaget Lm Ericsson (Publ) Network function virtualization
US10069844B2 (en) * 2016-07-21 2018-09-04 Sprint Communications Company L.P. Virtual network function (VNF) hardware trust in a network function virtualization (NFV) software defined network (SDN)

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016079046A1 (en) * 2014-11-19 2016-05-26 British Telecommunications Public Limited Company Diagnostic testing in networks
CN105376246A (zh) * 2015-11-30 2016-03-02 中国电子科技网络信息安全有限公司 一种基于sdn的安全策略自适应生成管理系统及方法
CN105847237A (zh) * 2016-03-15 2016-08-10 中国联合网络通信集团有限公司 一种基于nfv的安全管理方法和装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ETSI: ""Network Functions Virtualisation (NFV);Management and Orchestration"", 《ETSI》 *

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110868371A (zh) * 2018-08-27 2020-03-06 中国电信股份有限公司 安全策略的处理方法、系统、云管理平台和子网管理装置
CN110868371B (zh) * 2018-08-27 2022-03-01 中国电信股份有限公司 安全策略的处理方法、系统、云管理平台和子网管理装置
CN111857941A (zh) * 2019-04-30 2020-10-30 华为技术有限公司 一种安全策略管理方法及装置
WO2020220937A1 (zh) * 2019-04-30 2020-11-05 华为技术有限公司 一种安全策略管理方法及装置
CN111857941B (zh) * 2019-04-30 2021-09-03 华为技术有限公司 一种安全策略管理方法及装置
CN113726541A (zh) * 2020-05-25 2021-11-30 中移(苏州)软件技术有限公司 一种网元配置的方法、装置、电子设备和存储介质
CN113726541B (zh) * 2020-05-25 2023-11-07 中移(苏州)软件技术有限公司 一种网元配置的方法、装置、电子设备和存储介质
CN113660131A (zh) * 2021-10-18 2021-11-16 武汉绿色网络信息服务有限责任公司 虚拟网络功能单元切换的方法、装置、控制器和存储介质
CN113660131B (zh) * 2021-10-18 2022-01-07 武汉绿色网络信息服务有限责任公司 虚拟网络功能单元切换的方法、装置、控制器和存储介质
CN114666161A (zh) * 2022-04-29 2022-06-24 深信服科技股份有限公司 一种组件安全策略管理方法、装置、设备及存储介质
CN114666161B (zh) * 2022-04-29 2024-04-09 深信服科技股份有限公司 一种组件安全策略管理方法、装置、设备及存储介质

Also Published As

Publication number Publication date
EP3506582A1 (en) 2019-07-03
EP3506582A4 (en) 2019-09-04
WO2018053686A1 (zh) 2018-03-29
EP3866435A1 (en) 2021-08-18
US11489873B2 (en) 2022-11-01
EP3506582B1 (en) 2021-03-03
US20190222611A1 (en) 2019-07-18
ES2870457T3 (es) 2021-10-27
CN108370368B (zh) 2020-04-21

Similar Documents

Publication Publication Date Title
CN108370368A (zh) 安全策略部署方法与装置
US11265368B2 (en) Load balancing method, apparatus, and system
AU2015256010B2 (en) Migration of applications between an enterprise-based network and a multi-tenant network
US9864727B1 (en) Providing dynamically scaling computing load balancing
EP2992444B1 (en) Automated creation of private virtual networks in a service provider network
US8793687B2 (en) Operating virtual switches in a virtualized computing environment
CN107357660A (zh) 一种虚拟资源的分配方法及装置
US9942158B2 (en) Data traffic policy management system
US11099826B2 (en) Canary deployment using an application delivery controller
US9690605B2 (en) Configuration of an edge switch downlink port with a network policy of a published network configuration service type
US10469390B2 (en) Load balancing with software defined network controllers
US9075645B2 (en) Automatically selecting optimal transport protocol in a cloud computing environment
US20140207926A1 (en) Independent network interfaces for virtual network environments
US10333901B1 (en) Policy based data aggregation
US9712376B2 (en) Connector configuration for external service provider
US20160191371A1 (en) Automatically Configuring A Virtual Router
US10291709B2 (en) Protocol independent storage discovery and enablement
US10200239B2 (en) Normalized management network
Alaluna et al. Secure and dependable multi-cloud network virtualization
WO2022118142A1 (en) Authenticity assessment of a requestor based on a communication request
US20240244081A1 (en) Protocol Switching and Secure Sockets Layer (SSL) Cross-Wiring to Enable Inter-Network Resource Connectivity
WO2024103726A1 (zh) 基于云计算技术的云服务部署方法及云管理平台

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant