CN108418776A - 用于提供安全业务的方法和设备 - Google Patents
用于提供安全业务的方法和设备 Download PDFInfo
- Publication number
- CN108418776A CN108418776A CN201710070701.6A CN201710070701A CN108418776A CN 108418776 A CN108418776 A CN 108418776A CN 201710070701 A CN201710070701 A CN 201710070701A CN 108418776 A CN108418776 A CN 108418776A
- Authority
- CN
- China
- Prior art keywords
- security function
- network
- function sequence
- business chain
- controller
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开的实施例涉及用于提供安全业务的方法和设备。例如,一种方法包括:在第一控制器处,响应于接收到用于在网络中建立针对应用的第一业务链的第一请求,从第一请求中获取与安全业务有关的配置信息;基于配置信息,生成用于建立与第一业务链相关联的安全功能序列的第二请求;向第二控制器发送所述第二请求,以在网络中建立所述安全功能序列;以及响应于从第二控制器接收到关于安全功能序列的确认,基于安全功能序列来建立所述第一业务链。本公开的实施例还提供了能够实现上述方法的设备。
Description
技术领域
本公开的实施例一般涉及安全领域,并且具体地涉及用于提供安全业务的方法、装置和计算机程序产品。
背景技术
随着网络功能虚拟化(NFV)、软件定义网络(SDN)和业务链(SFC)等技术的出现,网络运营者能够进行网络改造以使得网络可编程并且降低成本。因此,基于这些技术能快速和方便地部署各种应用。
为了抵御快速增长和演进的网络攻击(例如,恶意软件、分布式拒绝服务和身份假冒等),需要针对具有不同安全需求的应用动态地、灵活地且自适应地提供个性化的安全服务或功能。然而,传统安全设施(例如,防火墙、入侵检测系统、深度分组检测等)的实现基于硬件的中间件,并且部署在网络中的固定位置。因此,传统安全设施难以满足基于上述技术的应用的不同安全需求。
发明内容
下面给出了对各实施例的简要概述,以提供对各种实施例的一些方面的基本理解。注意,发明内容部分并非旨在标识关键元素的要点或描述各种实施例的范围。其唯一目的在于以简化形式呈现一些概念,作为对后述更具体描述的前序。
在本公开的第一方面,提供一种用于提供安全业务的方法。该方法包括:在第一控制器处,响应于接收到用于在网络中建立针对应用的第一业务链的第一请求,从第一请求中获取与安全业务有关的配置信息;基于配置信息,生成用于建立与第一业务链相关联的安全功能序列的第二请求;向第二控制器发送第二请求,以在网络中建立安全功能序列;以及响应于从第二控制器接收到关于安全功能序列的确认,基于该安全功能序列来建立第一业务链。
本公开的第二方面,提供一种用于提供安全业务的方法。该方法包括:响应于从第一控制器接收到用于在网络中建立安全功能序列的请求,在第二控制器处确定网络中是否存在该安全功能序列的第一活动实例,该安全功能序列与将由第一控制器在网络中针对应用而建立的业务链相关联;响应于确定网络中不存在第一活动实例,创建安全功能序列的第一实例;在网络中部署第一实例;以及向第一控制器发送关于安全功能序列的确认,以在网络中建立业务链。
本公开的第三方面,提供一种用于提供安全业务的设备。该设备包括:处理器,以及存储器,该存储器存储有指令,该指令在被处理器执行时使该设备:响应于接收到用于在网络中建立针对应用的第一业务链的第一请求,从第一请求中获取与安全业务有关的配置信息;基于配置信息,生成用于建立与第一业务链相关联的安全功能序列的第二请求;向控制器发送第二请求,以在网络中建立安全功能序列;以及响应于从控制器接收到关于安全功能序列的确认,基于该安全功能序列来建立第一业务链。
本公开的第四方面,提供一种用于提供安全业务的设备。该设备包括:处理器,以及存储器,该存储器存储有指令,该指令在被处理器执行时使该设备:响应于从控制器接收到用于在网络中建立安全功能序列的请求,确定网络中是否存在该安全功能序列的第一活动实例,该安全功能序列与将由控制器在网络中针对应用而建立的业务链相关联;响应于确定网络中不存在第一活动实例,创建安全功能序列的第一实例;在网络中部署第一实例;以及向控制器发送关于安全功能序列的确认,以在网络中建立业务链。
本公开的第五方面,提供一种用于提供安全业务的系统。该系统至少包括第一控制器和第二控制器,第一控制器与第二控制器通信地耦合。第一控制器被配置为执行根据本公开的第一方面所述的方法,并且第二控制器被配置为执行根据本公开的第二方面所述的方法。
通过下文描述将会理解,本公开的实施例能够在不改变底层网络拓扑结构的情况下针对使用SFC的应用动态地、灵活地且自适应地提供定制的安全服务或功能。此外,本公开的实施例能够实现具有实时分析功能的连续监测,以监测正在进行的攻击并且对其作出迅速响应。
应当理解,发明内容部分中所描述的内容并非旨在限定本公开实施例的关键或重要特征,亦非用于限制本公开的范围。本公开的其它特征将通过以下的描述变得容易理解。
附图说明
从下文的公开内容和权利要求中,本发明的目的、优点和其他特征将变得更加明显。这里仅出于示例的目的,参考附图来给出优选实施例的非限制性描述,在附图中:
图1示出根据本公开的实施例的用于提供安全业务的系统100的示例性架构图;
图2示出利用基于移动边缘云(MEC)的智能交通系统(ITS)针对紧急车辆提速场景建立业务链的示意图;
图3示出根据本公开的实施例利用系统100来建立针对紧急车辆提速场景的安全业务链的示意图;
图4示出根据本公开的实施例的用于提供安全业务的方法400的流程图;
图5示出根据本公开的实施例的用于确定网络中是否存在安全业务链的活动实例的方法500的流程图;
图6示出根据本公开的实施例利用系统100来建立针对紧急车辆提速场景的安全业务链的示意图;
图7示出了根据本公开的实施例的用于提供安全业务的装置700的框图;
图8示出了根据本公开的实施例的用于提供安全业务的装置800的框图;
图9示出可以用来实施本公开的实施例的示例设备900的示意性框图。
在各个附图中,相同或对应的标号表示相同或对应的部分。
具体实施方式
在以下描述中,出于说明的目的而阐述许多细节。然而,本领域普通技术人员将认识到可以在不使用这些具体细节的情况下实现本发明。因此,本发明不旨在于受限于所示实施例、而是将被赋予与本文描述的原理和特征一致的最宽的范围。
应当理解,术语“第一”、“第二”等仅被用来将一个元素与另一个元素区分开来。而实际上第一元素也能够被称为第二元素,反之亦然。另外还应当理解“包括”,“包含”仅被用来说明所陈述的特征、元素、功能或者部件的存在,然而并不排除存在一个或者多个其他的特征、元素、功能或者部件。
图1示出了根据本公开的实施例的用于提供安全业务的系统100的示例性架构图。系统100可以包括一个或者多个控制器,该一个或多个控制器可以被分布在一个或者多个物理主机和/或虚拟主机上。例如,如图1所示,系统100可以包括控制器110、120和130。在以下描述中,控制器110也被称为第一控制器,并且控制器120也被称为第二控制器。应当理解,图1中所示的系统100的架构仅为示例性的,其不用于限制本公开的实施例的功能和范围。
控制器110可以被称为SFC控制器,用于接收来自应用的请求。例如,该请求可以是针对应用的业务链请求。在此所述的“业务链”指代引导应用的网络分组(或数据流)按次序经由网络中的一系列节点进行转发的技术。控制器110可以响应于业务链请求来在网络中建立相应的业务链。业务链请求还可以包括与安全业务相关联的配置信息,例如安全需求和/或安全策略等。控制器110可以从业务链请求中提取与安全业务相关联的安全策略,并且基于该安全策略成安全业务链请求。
在此所述的“安全链”或“安全业务链”指代安全功能的经排序的集合。安全功能可以包括但不限于认证和授权、防火墙(FW)、入侵检测、深度分组检测(DPI)以及流量清洗等。安全功能可以被实现为虚拟功能(例如,被实现在虚拟机上)或者物理功能(例如,被实现在物理主机上)。
例如,安全链可以具有两种类型。一种类型为面向用户的安全链,其包括特定于用户的安全功能,例如认证和授权。面向用户的安全链需要以特定顺序被插入到针对应用的业务链中。例如,认证和授权需要在开始具体业务之前完成。另一种类型为非面向用户的安全链,其可以包括诸如防火墙、入侵检测、DPI以及流量清洗等的安全功能。这些安全功能不是特定于用户的,因此可以在任意时刻被部署在数据转发路径中的任意位置。在以下描述中,安全链与安全功能序列可以被互换地使用。
控制器110可以将安全链请求转发至控制器120,以在网络中建立相应的安全链。控制器120可以被称为安全链控制器,用于接收包括安全策略的安全链请求。控制器120可以基于安全链请求在网络中创建并部署安全链,以通过安全功能的实例来实施相应的安全策略从而满足应用的安全需求。如图1所示,控制器120可以包括一个或多个模块。例如,控制器120可以包括安全业务模块121、安全链目录模块122、安全链库存模块123、安全功能镜像仓库124、安全功能目录模块125、安全功能库存模块126等。
安全业务模块121可以提供用于向应用开放安全链能力的应用编程接口。在接收到安全链请求后,安全业务模块121可以查找安全链目录模块122并且选择合适的安全链。安全链目录模块122用于记录安全链的静态信息,诸如安全链的标识符、安全链的描述、所选择的安全功能的列表、这些安全功能的经排序的序列(即,业务功能路径(SFP))以及如何在安全功能目录模块125中找到每个安全功能的信息等。
安全业务模块121可以进一步通过查找安全链库存模块123来确定当前网络中是否存在该安全链的活动实例。安全链库存模块123用于记录安全链的实例的状态信息,诸如安全链的实例的标识符、安全功能实例的列表、安全链实例的SFP以及如何在安全功能库存模块126中找到每个安全功能实例的信息等。
如果当前网络中存在该安全链的活动实例,则该活动实例可以被重用。否则,安全业务模块121可以查找安全功能目录模块125并且针对安全链选择合适的安全功能。安全功能目录模块125用于记录安全功能的静态信息,诸如安全功能的标识符、功能描述、部署的需求(例如,CPU和存储器等)、安全功能库存模块126中的实例的状态以及如何在安全功能镜像仓库124中找到安全功能的镜像的信息等。
安全业务模块121可以进一步通过查找安全功能库存模块126来确定当前网络中是否存在所选择的安全功能的活动实例。安全功能库存模块126用于记录安全功能实例的状态信息,诸如安全功能实例的标识符、以及部署状态(例如,吞吐量和延迟等)等。
如果当前网络中存在所选择的安全功能的活动实例,则这些活动实例可以被重用于安全链。否则,安全业务模块121可以从安全功能镜像仓库124选择这些安全功能的镜像。安全功能镜像仓库124可以被实现为数据库以存储经虚拟化的安全功能的镜像。安全业务模块121可以利用所选择的镜像来创建安全功能的实例,并且经由控制器130将这些实例部署到网络中的合适的主机或者虚拟机上。
最终,相应的分类策略和SFP转发策略可以被生成,并且经由控制器130被应用到网络150中的节点(例如,业务分类器、交换机、路由器等)。控制器130可以被称为SDN控制器,用于基于诸如OpenFlow等协议来配置网络150中的节点进行数据转发。控制器130可以向控制器120提供网络150中的节点的拓扑结构,以使得控制器120能够选择用于部署相应安全功能的实例的位置。控制器130还可以将生成的分类策略和SFP转发策略应用到网络150中的节点,以实现安全链的部署。
在一些实施例中,例如在控制器120从控制器110接收安全链请求并在网络中部署相应安全链的情况下,控制器120还可以向控制器110返回关于安全链的确认。例如,安全业务模块121可以向控制器110返回与安全链、安全链的实例、安全功能和/或安全功能的实例有关的信息。以此方式,控制器110可以将由控制器120建立的安全链插入到针对应用的业务链中,以建立具有安全功能的组合业务链,从而向应用提供所需要的安全服务。
在一些实施例中,控制器120也可以从另外的模块来接收安全链请求。例如,如图1所示,系统100还可以包括安全分析和自动响应模块(SAAR)140。SAAR 140可以被集成在控制器120上或者其他控制器(例如,未在图1中示出的控制器)上。SAAR 140可以周期性地从安全功能获取信息。备选地,当安全功能遭遇攻击时,其可以主动向SAAR 140发送与攻击有关的信息。SAAR 140可以对信息进行分析并且生成合适的对策。SAAR 140因此可以向控制器120发送安全链请求。当控制器120接收到安全链请求并且在网络中部署相应的安全链之后,上述网络攻击能够被阻止或消除。
现在将结合紧急车辆提速这一特定场景来描述根据本公开的实施例的示例方法。然而,应当理解,这仅仅是出于便于描述的目的。本公开的实施例还可以被应用到其他物联网场景中,并且本公开的范围在此方面不受限制。
在当前社会中,公共安全和灾难救援服务(诸如,紧急医疗服务、消防和反恐等)越来越重要。然而,诸如救护车、消防车和警车这样的SV(紧急车辆,Special Vehicle)可能会遭遇交通拥堵,从而导致向市民传递的救援服务或公共安全服务的延迟。因此,有必要提供SV提速服务以提高交通效率和安全性。可能的解决方案包括基于MEC的ITS。
图2示出了利用基于MEC的ITS针对SV提速场景建立业务链的示意图。图2中示出了基于MEC的ITS 210,其被配置为向安装有ITS终端的车辆提供诸如SV提速和公交车道优化(例如,当在公交车道上没有公共汽车时,私家车能够利用公交车道)的服务。ITS210可以包括公交车道优化服务器211、交通编排服务器212、SV提速服务器213以及动态地图服务器214等部件。ITS 210可以被部署在网络220上。网络220可以是长期演进(LTE)或系统架构演进(SAE)网络,其可以包括例如无线接入的基站(eNB)221、移动性管理实体(MME)222、归属用户服务器(HSS)223、服务网关224和分组数据网络网关(PDN GW)225等。出于简化的目的,未在图2中示出ITS 210和/或网络220的全部部件(例如,位于网络220的入口和出口处的业务分类器等),也未在图2中示出ITS 210和/或网络220的各个部件之间的连接关系。应当理解,图2中所示的系统和/或网络结构仅仅是出于说明的目的,并不用于限制本公开的范围。
图2中以虚线示出的业务链231(即, )示出如何提供SV提速服务。业务链231可以由SFC控制器(例如,如图1所示的SFC控制器110)创建。出于简化的目的在此不讨论如何创建业务链231,而仅描述业务链231如何工作。当紧急车辆在执勤时,该紧急车辆中安装的ITS终端217可以向交通编排服务器212发送提速请求,然后该提速请求可以被发送到SV提速服务器213。SV提速服务器213可以向动态地图服务器214发送路由请求。动态地图服务器214可以基于静态地图和路侧单元(RSU,例如,交通灯和速度仪)的状态生成若干路由选项,包括道路和车道的标识符,并且将其反馈给SV提速服务器213。SV提速服务器213可以从路由选项中选择最佳路径并且向安装有ITS终端的其他车辆广播提速抢占消息(例如,要被抢占的道路和车道的标识符)。当接收到该抢占消息后,普通车辆可以检查其当前位置。如果该车辆使用了要被抢占的道路和车道,则其让出道路,使得紧急车辆能够使用该道路。当紧急车辆到达目的地时,该紧急车辆可以向SV提速服务器213发送提速释放消息,以释放被抢占的道路。
如果动态地图服务器214在接收到来自SV提速服务器213的路由请求之后发现在数据库中的地图不是最新版本,其可以从另外的服务器(例如,静态地图服务器215)获取最新版本的地图。图2中以实线示出了业务链232(即, ),其能够支持利用最新版本静态地图来更新ITS 210。
此外,图2中还以点划线示出了业务链233(即, ),其支持ITS 210通知城市交通管理中心216以控制交通灯。例如,SV提速服务器213可以持续地检查路径中的拥堵状态。如果拥堵状态超过预定阈值,则SV提速服务器213可以向城市交通管理中心216发送提速RSU命令,以控制交通灯变绿并且减少红灯时间以减轻该路径中的拥堵。
本领域技术人员通过上述针对业务链231的描述能够知晓业务链232和/或233如何工作,在此不再进一步详细描述。在一些场景中,业务链231可以可选地与业务链232和/或业务链233相结合,以提供紧急车辆提速服务。
如上所述,图2描述了针对紧急车辆提速场景的、不具有安全功能的业务链的建立。为了阻止攻击者冒充合法用户访问SV提速服务,用户和设备(例如,ITS终端)两者需要在服务开始之前被认证,也即需要在网络中建立具有安全功能的业务链。
图3示出了根据本公开的实施例利用系统100来建立针对SV提速场景的安全业务链的示意图。具体而言,图3示出了利用如图1所示的系统100来建立面向用户的安全链(例如,包括认证服务)的示意图。
在图3中示出了如图2所示的基于MEC的ITS 210和网络220。出于简化的目的,在图3中仅示出了ITS 210和网络220所包括的部分部件。附加地,如图3所示的ITS 210还可以包括认证服务器301和签约用户管理服务器302,两者用于提供ITS 210、ITS终端217以及访问SV提速服务的用户之间的相互认证。图4示出了根据本公开的实施例的用于提供安全业务的方法400的流程图。以下结合图3来描述方法400中所涉及的动作。为了方便讨论,在方法400的描述中涉及两个控制器,即控制器110和控制器120。在图4中,例如,左侧的各个动作由控制器110执行,而右侧的各个动作由控制器120执行。应当理解,方法400还可以包括未示出的附加动作和/或可以省略所示出的动作,本公开的范围在此方面不受限制。
在框410处,控制器110响应于接收到用于在网络中建立针对应用的第一业务链的第一请求,从第一请求中获取与安全业务有关的配置信息。在一些实施例中,该配置信息可以包括针对应用的安全需求和/或安全策略,其使得要建立的第一业务链能够满足针对该应用的安全需求。在本示例中,安全需求例如可以包括用户和设备(例如,ITS终端217)两者需要在服务开始之前被认证。
附加地或者备选地,在一些实施例中,当接收到第一请求时,SFC控制器110可以首先在网络中建立不具有安全功能的第二业务链(例如,业务链231),而将满足针对应用的安全需求的任务交由控制器120来完成。
在框420处,控制器110基于安全策略信息生成用于建立与第一业务链相关联的安全链的第二请求。在一些实施例中,SFC控制器110可以基于所获取的针对应用的安全需求和/或安全策略生成相应的安全链请求。
在框430处,控制器110向控制器120发送第二请求。如上所述,在一些实施例中,控制器110可以将满足针对应用的安全需求的任务交由控制器120来完成。也即,SFC控制器110可以将包括针对应用的安全需求和/或安全策略的安全链请求发送给安全链控制器120,以在网络中建立相应的安全链。
在框440处,控制器120响应于从控制器110接收到用于在网络中建立安全链的请求,确定网络中是否存在安全链的活动实例。例如,控制器110可以基于包括安全需求(例如,用户和设备两者需要在服务开始之前被认证)的安全链请求确定所要建立的安全链包括相互认证功能,例如图3所示的安全链312( )。因此,控制器120可以进一步确定网络中是否存在安全链312的活动实例。在此方面,图5示出了根据本公开的实施例的用于确定网络中是否存在安全链的活动实例的方法500的流程图。方法500可以由控制器120(例如,控制器120中的安全业务模块121)执行。应当理解,方法500还可以包括未示出的附加动作和/或可以省略所示出的动作,本公开的范围在此方面不受限制。
在框510处,控制器120(例如,安全业务模块121)获取安全链312的静态信息。在一些实施例中,安全业务模块121可以查找安全链目录模块122以获得安全链312的静态信息。安全链目录模块122用于记录诸如安全链的标识符、安全链的描述、所选择的安全功能的列表、这些安全功能的经排序的序列(即,业务功能路径(SFP))以及如何在安全功能目录模块125中找到每个安全功能的信息等。
在框520处,控制器120基于静态信息获取安全链312的实例的状态信息。在一些实施例中,例如,安全业务模块121可以通过查找安全链库存模块123来获得安全链312的实例的状态信息。安全链库存模块123用于记录诸如安全链的实例的标识符、安全功能实例的列表、安全链实例的SFP以及如何在安全功能库存模块126中找到每个安全功能实例的信息等。
在框530处,控制器120基于状态信息确定网络中是否存在安全链312的活动实例。如果当前网络中存在安全链312的活动实例,则该活动实例可以被重用。
返回到图4。如果控制器120确定网络中不存在安全链312的活动实例,则在框450处,创建安全链312的实例,并将其相关的状态信息更新到安全链库存模块123。在一些实施例中,控制器120可以首先确定网络中是否存在安全链312中的安全功能(即,认证服务和签约用户管理)的活动实例。例如,安全业务模块121可以查找安全功能目录模块125并且根据安全链312来选择相应的安全功能(即,认证服务和签约用户管理)。安全功能目录模块125用于记录安全功能的静态信息,诸如安全功能的标识符、功能描述、部署的需求(例如,CPU和存储器等)、安全功能库存模块126中的实例的状态以及如何在安全功能镜像仓库124中找到安全功能的镜像的信息等。安全业务模块121可以进一步通过查找安全功能库存模块126来确定当前网络中是否存在认证服务和签约用户管理的活动实例。安全功能库存模块126用于记录安全功能实例的状态信息,诸如安全功能实例的标识符、以及部署状态(例如,吞吐量和延迟等)等。如果当前网络中存在认证服务和签约用户管理的活动实例,则这些活动实例可以被重用于该安全链。否则,安全业务模块121可以从安全功能镜像仓库124选择认证服务和签约用户管理的镜像。安全功能镜像仓库124可以被实现为数据库以存储经虚拟化的安全功能的镜像。安全业务模块121可以利用所选择的镜像来创建认证服务和签约用户管理的实例,并将其相关的状态信息更新到安全功能库存模块126。
在框460处,控制器120可以在网络中部署所创建的安全链312的实例。控制器120可以生成与安全链312所包括的安全功能(即,认证服务和签约用户管理)的实例相关联的配置信息。然后控制器120可以将所生成的配置信息应用到网络中的节点,以实现安全链312的部署。
在一些实施例中,由控制器120生成的配置信息例如可以包括相应的业务分类策略和SFP转发策略。为了支持创建和部署安全链,业务分类策略可以被扩展以反映与安全有关的策略。例如,业务分类策略的属性可以包括:五元组(即,源互联网协议(IP)地址,源端口,目的IP地址,目的端口和传输层协议)、传输端口或者端口集合、分组负载的一部分、用户标识符、业务标识符、业务类型、分类类型、SFP标识符、所选择的安全功能的序列、分类策略的所有者(例如,分类策略的生成者)、分类策略生成者的角色、下一跳定位符以及一个或多个动作(例如,转发、丢弃等)。类似地,SFP转发策略也可以被扩展以支持创建安全链。例如,SFP转发策略的属性可以包括:五元组(即,源IP地址,源端口,目的IP地址,目的端口和传输层协议)、传输端口或者端口集合、分组负载的一部分、用户标识符、业务标识符、业务类型、分类类型、SFP标识符、转发策略的所有者(例如,转发策略的生成者)、转发策略生成者的角色、下一跳定位符以及一个或多个动作(例如,转发、丢弃等)。
在一些实施例中,控制器120可以利用由SDN控制器提供的网络中的节点的拓扑信息来选择用于部署相应安全功能的实例的位置。此外,控制器120可以经由SDN控制器将生成的业务分类策略和SFP转发策略应用到网络中的节点,以实现安全链的部署。控制器120可以利用任何现有或将来开发的机制以避免将业务分类策略和SFP转发策略应用到网络节点时所可能发生的冲突,现有机制的示例包括但不限于访问控制列表(ACL)以及基于角色的访问控制(RBAC)。
在框470处,控制器120向控制器110发送针对所创建的安全链312的确认。在一些实施例中,例如,安全业务模块121可以向控制器110返回与安全链312、安全链312的实例、安全功能(即,认证服务和签约用户管理)和/或安全功能的实例有关的信息。
在框480处,控制器110响应于从控制器120接收到关于所建立的安全链的确认,基于该安全链来建立第一业务链。在一些实施例中,控制器110可以将由控制器120建立的安全链312插入到不具有安全功能的第二业务链231中。由于安全链312是面向用户的安全链,其需要以预定顺序被插入到第一业务链中。以此方式,控制器110能够建立具有安全功能的组合业务链,例如在图3中以虚线示出的业务链331(即, ),从而保证仅合法用户能够访问SV提速服务。
通常,ITS终端和用户在接入无线网络之前也需要由LTE/SAE网络220认证。对应的安全链可以是例如图3所示的安全链311,也即应当理解,安全链311可以以与安全链312类似的方式被建立。
在一些实施例中,ITS 210和LTE网络220可以由属于相同信任圈(CoT)的服务供应商提供。这意味着LTE网络220和ITS终端217以及用户之间的相互认证的结果可以被重用于ITS接入。也即,如图3中所示的安全链312可以被省略。更确切地,SFC控制器110和安全链控制器120可以建立更简化的业务链,例如, 出于清楚的目的,未在图3中示出该简化的业务链。
在一些实施例中,ITS 210和LTE网络220可以由不属于相同CoT的不同服务供应商提供。在此情况下,SFC控制器110和安全链控制器120可以建立组合业务链,例如, 出于清楚的目的,未在图3中示出该组合业务链。
应当理解,面向用户的安全链是用户可知的并且通过SFC控制器和安全链控制器之间的合作被插入到业务链中。通常,面向用户的安全链(例如,认证与授权)仅应用于初始业务请求。在成功认证和授权之后,不具有上述安全功能的其他业务链将被应用到后续的数据分组和/或数据流传输。
在一些实施例中,为了针对攻击做出自动和实时的响应,可以在网络中建立非面向用户的安全链。在此方面,图6示出了根据本公开的实施例利用系统100来建立针对SV提速场景的安全业务链的示意图。具体而言,图6示出了利用系统100来建立非面向用户的安全链(例如,包括DPI和流量清洗)的示意图。
在图6中示出了如图2所示的基于MEC的ITS 210和网络220。出于简化的目的,在图6中仅示出了ITS 210和网络220所包括的部分部件。附加地,为了描述如何针对攻击做出自动并实时的响应,假定在城市交通管理中心216之前部署有用于攻击检测的安全功能(例如,DPI 601)。DPI 601可以被视为非面向用户的安全链。
DPI 601可以检测并发现存在包括病毒或者拒绝服务攻击的一些数据分组或者数据流。DPI 601可以向SAAR 140报告这些攻击。经过分析,SAAR 140可以做出要进行流量清洗的决定,并且向安全链控制器120发送包括流量清洗的安全需求的安全链请求。控制器120可以执行如图4所示的方法400中的框440-460,以在网络中创建并部署相应的安全链(例如,如图6所示的安全链611,即 ),从而清除数据分组或数据流中的病毒或恶意软件。
类似地,例如,如图6所示的安全链612(即, )可以被创建并部署以用于保证动态地图服务器214和静态地图服务器215之间的数据传输的数据机密性和完整性。安全链613(即,)可以被创建并部署以用于保证SV提速服务器213和城市交通管理中心216之间的数据传输的数据机密性和完整性。防火墙606可以被视为非面向用户的安全链,并且可以被部署在ITS 210之前以阻挡异常访问。类似地,防火墙607可以被部署在静态地图服务器215之前以阻挡异常访问。
通过以上描述可以看出,本公开的实施例能够在不改变底层网络拓扑结构的情况下针对使用SFC的应用动态地、灵活地且自适应地提供定制的安全业务或功能。此外,本公开的实施例能够实现具有实时分析功能的连续监测,以监测正在进行的攻击并且对其作出迅速响应。
图7示出了根据本公开的实施例的用于提供安全业务的装置700的框图。例如,装置700可以实施在如图1和/或图3中的控制器110处。
如图7所示,装置700可以包括:信息获取单元710,被配置为响应于接收到用于在网络中建立针对应用的第一业务链的第一请求,从第一请求中获取与安全业务有关的配置信息;请求生成单元720,被配置为基于配置信息,生成用于建立与第一业务链相关联的安全功能序列的第二请求;请求发送单元730,被配置为向控制器发送第二请求,以在网络中建立安全功能序列;以及第一业务链建立单元740,被配置为响应于从控制器接收到关于安全功能序列的确认,基于该安全功能序列来建立第一业务链。
在一些实施例中,装置700还可以包括第二业务链建立单元,被配置为响应于接收到第一请求,在网络中建立第二业务链。第一业务链建立单元740还被配置为通过组合第二业务链和安全功能序列来建立第一业务链。
在一些实施例中,第一业务链建立单元740还被配置为以预定顺序将安全功能序列部署到第一业务链中,该安全功能序列包括认证功能和授权功能中的至少一种。
在一些实施例中,第一业务链建立单元740还被配置为根据应用需求以合理的顺序将安全功能序列部署到第一业务链中,该安全功能序列包括以下安全功能中的至少一种:防火墙、入侵检测、深度分组检测以及流量清洗。
在一些实施例中,由装置700提供的安全业务包括SV提速服务。
图8示出了根据本公开的实施例的用于提供安全业务的装置800的框图。例如,装置800可以实施在如图1、图3和/或图6中的控制器120处。
如图8所示,装置800可以包括:实例确定单元810,被配置为响应于从控制器接收到用于在网络中建立安全功能序列的请求,确定网络中是否存在该安全功能序列的第一活动实例,该安全功能序列与将由控制器在网络中针对应用而建立的业务链相关联;实例创建单元820,被配置为响应于确定网络中不存在第一活动实例,创建安全功能序列的第一实例;实例部署单元830,被配置为在网络中部署第一实例;以及信息发送单元840,被配置为向控制器发送关于安全功能序列的确认,以在网络中建立业务链。
在一些实施例中,建立所述业务链包括:以预定顺序将安全功能序列部署到业务链中,该安全功能序列包括认证功能和授权功能中的至少一种。
在一些实施例中,建立所述业务链包括:根据应用需求以合理的顺序将安全功能序列部署到业务链中,该安全功能序列包括以下安全功能中的至少一种:防火墙、入侵检测、深度分组检测以及流量清洗。
在一些实施例中,实例确定单元810还被配置为获取安全功能序列的第一静态信息;基于第一静态信息,获取安全功能序列的实例的第一状态信息;以及基于第一状态信息,确定网络中是否存在第一活动实例。实例创建单元820还被配置为在创建安全功能序列的第一实例时更新第一状态信息。
在一些实施例中,实例创建单元820还被配置为确定网络中是否存在安全功能序列中的安全功能的第二活动实例;以及响应于确定网络中不存在第二活动实例,创建安全功能的第二实例。
在一些实施例中,实例创建单元820还被配置为获取安全功能的第二静态信息;基于第二静态信息,获取安全功能的实例的第二状态信息;以及基于第二状态信息,确定网络中是否存在第二活动实例。实例创建单元820还被配置为在创建安全功能的第二实例时更新第二状态信息。
在一些实施例中,实例部署单元830还被配置为生成与第一实例相关联的配置信息;以及将配置信息应用到网络的节点。
在一些实施例中,由装置800提供的安全业务包括SV提速服务。
出于清楚的目的,在图7和图8中没有示出装置700和800的某些可选单元。然而,应当理解,上文参考图1和图3-4所描述的各个特征同样适用于装置700;类似地,上文参考图1和图3-6所描述的各个特征同样适用于装置800。而且,装置700和/或800的各个单元可以是硬件模块,也可以是软件模块。例如,在某些实施例中,装置700和/或800可以部分或者全部利用软件和/或固件来实现,例如被实现为包含在计算机可读介质上的计算机程序产品。备选地或附加地,装置700和/或800可以部分或者全部基于硬件来实现,例如被实现为集成电路(IC)、专用集成电路(ASIC)、片上系统(SOC)、现场可编程门阵列(FPGA)等。本公开的范围在此方面不受限制。
图9示出了可以用来实施本公开的实施例的示例设备900的示意性框图。如图所示,设备900包括中央处理单元(CPU)901,其可以根据存储在只读存储器(ROM)902中的计算机程序指令或者从存储单元908加载到随机访问存储器(RAM)903中的计算机程序指令,来执行各种适当的动作和处理。在RAM 903中,还可存储设备900操作所需的各种程序和数据。CPU 901、ROM 902以及RAM 903通过总线904彼此相连。输入/输出(I/O)接口905也连接至总线904。
设备900中的多个部件连接至I/O接口905,包括:输入单元906,例如键盘、鼠标等;输出单元907,例如各种类型的显示器、扬声器等;存储单元908,例如存储盘、光盘等;以及通信单元909,例如网卡、调制解调器、无线通信收发机等。通信单元909允许设备900通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
上文所描述的各个过程和处理,例如方法400和/或500,可由处理单元901执行。例如,在一些实施例中,方法900可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元908。在一些实施例中,计算机程序的部分或者全部可以经由ROM902和/或通信单元909而被载入和/或安装到设备900上。当计算机程序被加载到RAM 903并由CPU901执行时,可以执行上文描述的方法400和/或500的一个或多个动作。
本公开可以是方法、装置、系统和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质,其上载有用于执行本公开的各个方面的计算机可读程序指令。
计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是——但不限于——电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身,诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如,通过光纤电缆的光脉冲)、或者通过电线传输的电信号。
这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备,或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令,并转发该计算机可读程序指令,以供存储在各个计算/处理设备中的计算机可读存储介质中。
用于执行本公开操作的计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码,所述编程语言包括面向对象的编程语言—诸如Smalltalk、C++等,以及常规的过程式编程语言—诸如“C”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中,通过利用计算机可读程序指令的状态信息来个性化定制电子电路,例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA),该电子电路可以执行计算机可读程序指令,从而实现本公开的各个方面。
这里参照根据本公开实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本公开的各个方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机可读程序指令实现。
这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理单元,从而生产出一种机器,使得这些指令在通过计算机或其它可编程数据处理装置的处理单元执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中,这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作,从而,存储有指令的计算机可读介质则包括一个制造品,其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。
也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上,使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。
附图中的流程图和框图显示了根据本公开的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分,所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
以上已经描述了本公开的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的技术改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
Claims (27)
1.一种用于提供安全业务的方法,包括:
在第一控制器处,响应于接收到用于在网络中建立针对应用的第一业务链的第一请求,从所述第一请求中获取与安全业务有关的配置信息;
基于所述配置信息,生成用于建立与所述第一业务链相关联的安全功能序列的第二请求;
向第二控制器发送所述第二请求,以在所述网络中建立所述安全功能序列;以及
响应于从所述第二控制器接收到关于所述安全功能序列的确认,基于所述安全功能序列来建立所述第一业务链。
2.根据权利要求1所述的方法,还包括:
响应于接收到所述第一请求,在所述网络中建立第二业务链;并且
其中基于所述安全功能序列来建立所述业务链包括:
通过组合所述第二业务链和所述安全功能序列来建立所述第一业务链。
3.根据权利要求1所述的方法,其中基于所述安全功能序列来建立所述第一业务链包括:
以预定顺序将所述安全功能序列部署到所述第一业务链中,所述安全功能序列包括认证功能和授权功能中的至少一种。
4.根据权利要求1所述的方法,其中基于所述安全功能序列来建立所述第一业务链包括:
根据所述应用的需求将所述安全功能序列部署到所述第一业务链中,所述安全功能序列包括以下安全功能中的至少一种:防火墙、入侵检测、深度分组检测以及流量清洗。
5.根据权利要求1所述的方法,其中所述安全业务为紧急车辆提速业务提供安全服务。
6.一种用于提供安全业务的方法,包括:
响应于从第一控制器接收到用于在网络中建立安全功能序列的请求,在第二控制器处确定所述网络中是否存在所述安全功能序列的第一活动实例,所述安全功能序列与将由所述第一控制器在所述网络中针对应用而建立的业务链相关联;
响应于确定所述网络中不存在所述第一活动实例,创建所述安全功能序列的第一实例;
在所述网络中部署所述第一实例;以及
向所述第一控制器发送关于所述安全功能序列的确认,以在所述网络中建立所述业务链。
7.根据权利要求6所述的方法,其中建立所述业务链包括:
以预定顺序将所述安全功能序列部署到所述业务链中,所述安全功能序列包括认证功能和授权功能中的至少一种。
8.根据权利要求6所述的方法,其中建立所述业务链包括:
根据所述应用的需求将所述安全功能序列部署到所述业务链中,所述安全功能序列包括以下安全功能中的至少一种:防火墙、入侵检测、深度分组检测以及流量清洗。
9.根据权利要求6所述的方法,其中确定所述网络中是否存在所述安全功能序列的第一活动实例包括:
获取所述安全功能序列的第一静态信息;
基于所述第一静态信息,获取所述安全功能序列的实例的第一状态信息;以及
基于所述第一状态信息,确定所述网络中是否存在所述第一活动实例;
并且创建所述安全功能序列的第一实例包括:
更新所述第一状态信息。
10.根据权利要求6所述的方法,其中创建所述安全功能序列的第一实例包括:
确定所述网络中是否存在所述安全功能序列中的安全功能的第二活动实例;以及
响应于确定所述网络中不存在所述第二活动实例,创建所述安全功能的第二实例。
11.根据权利要求10所述的方法,其中确定所述网络中是否存在所述安全功能序列中的安全功能的第二活动实例包括:
获取所述安全功能的第二静态信息;
基于所述第二静态信息,获取所述安全功能的实例的第二状态信息;以及
基于所述第二状态信息,确定所述网络中是否存在所述第二活动实例;
并且创建所述安全功能的第二实例包括:
更新所述第二状态信息。
12.根据权利要求6所述的方法,其中在所述网络中部署所述第一实例包括:
生成与所述第一实例相关联的配置信息;以及
将所述配置信息应用到所述网络的节点。
13.根据权利要求6所述的方法,其中所述安全业务为紧急车辆提速业务提供安全服务。
14.一种用于提供安全业务的设备,包括:
处理器;以及
存储器,所述存储器存储有指令,所述指令在被所述处理器执行时使所述设备:
响应于接收到用于在网络中建立针对应用的第一业务链的第一请求,从所述第一请求中获取与安全业务有关的配置信息;
基于所述配置信息,生成用于建立与所述第一业务链相关联的安全功能序列的第二请求;
向控制器发送所述第二请求,以在所述网络中建立所述安全功能序列;以及
响应于从所述控制器接收到关于所述安全功能序列的确认,基于所述安全功能序列来建立所述第一业务链。
15.根据权利要求14所述的设备,其中所述指令在被所述处理器执行时还使所述设备:
响应于接收到所述第一请求,在所述网络中建立第二业务链;并且
其中基于所述安全功能序列来建立所述业务链包括:
通过组合所述第二业务链和所述安全功能序列来建立所述第一业务链。
16.根据权利要求14所述的设备,其中所述指令在被所述处理器执行时使所述设备通过以下操作基于所述安全功能序列来建立所述第一业务链:
以预定顺序将所述安全功能序列部署到所述第一业务链中,所述安全功能序列包括认证功能和授权功能中的至少一种。
17.根据权利要求14所述的设备,其中所述指令在被所述处理器执行时使所述设备通过以下操作基于所述安全功能序列来建立所述第一业务链:
根据所述应用的需求将所述安全功能序列部署到所述第一业务链中,所述安全功能序列包括以下安全功能中的至少一种:防火墙、入侵检测、深度分组检测以及流量清洗。
18.根据权利要求14所述的设备,其中所述安全业务为紧急车辆提速业务提供安全服务。
19.一种用于提供安全业务的设备,包括:
处理器;以及
存储器,所述存储器存储有指令,所述指令在被所述处理器执行时使所述设备:
响应于从控制器接收到用于在网络中建立安全功能序列的请求,确定所述网络中是否存在所述安全功能序列的第一活动实例,所述安全功能序列与将由所述控制器在所述网络中针对应用而建立的业务链相关联;
响应于确定所述网络中不存在所述第一活动实例,创建所述安全功能序列的第一实例;
在所述网络中部署所述第一实例;以及
向所述控制器发送关于所述安全功能序列的确认,以在所述网络中建立所述业务链。
20.根据权利要求19所述的设备,其中所述指令在被所述处理器执行时使所述设备通过以下操作建立所述业务链:
以预定顺序将所述安全功能序列部署到所述业务链中,所述安全功能序列包括认证功能和授权功能中的至少一种。
21.根据权利要求19所述的设备,其中所述指令在被所述处理器执行时使所述设备通过以下操作建立所述业务链:
根据所述应用的需求将所述安全功能序列部署到所述业务链中,所述安全功能序列包括以下安全功能中的至少一种:防火墙、入侵检测、深度分组检测以及流量清洗。
22.根据权利要求19所述的设备,其中所述指令在被所述处理器执行时使所述设备通过以下操作确定所述网络中是否存在所述安全功能序列的第一活动实例:
获取所述安全功能序列的第一静态信息;
基于所述第一静态信息,获取所述安全功能序列的实例的第一状态信息;以及
基于所述第一状态信息,确定所述网络中是否存在所述第一活动实例;
并且所述指令在被所述处理器执行时使所述设备通过以下操作创建所述安全功能序列的第一实例:
更新所述第一状态信息。
23.根据权利要求19所述的设备,其中所述指令在被所述处理器执行时使所述设备通过以下操作创建所述安全功能序列的第一实例:
确定所述网络中是否存在所述安全功能序列中的安全功能的第二活动实例;以及
响应于确定所述网络中不存在所述第二活动实例,创建所述安全功能的第二实例。
24.根据权利要求23所述的设备,其中所述指令在被所述处理器执行时使所述设备通过以下操作确定所述网络中是否存在所述安全功能序列中的安全功能的第二活动实例:
获取所述安全功能的第二静态信息;
基于所述第二静态信息,获取所述安全功能的实例的第二状态信息;以及
基于所述第二状态信息,确定所述网络中是否存在所述第二活动实例;
并且所述指令在被所述处理器执行时使所述设备通过以下操作创建所述安全功能的第二实例:
更新所述第二状态信息。
25.根据权利要求19所述的设备,其中所述指令在被所述处理器执行时使所述设备通过以下操作在所述网络中部署所述第一实例:
生成与所述第一实例相关联的配置信息;以及
将所述配置信息应用到所述网络的节点。
26.根据权利要求19所述的设备,其中所述安全业务为紧急车辆提速业务提供安全服务。
27.一种用于提供安全业务的系统,至少包括第一控制器和第二控制器,所述第一控制器与所述第二控制器通信地耦合,其中:
所述第一控制器被配置为执行根据权利要求1-5中任一项所述的方法;并且
所述第二控制器被配置为执行根据权利要求6-13中任一项所述的方法。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710070701.6A CN108418776B (zh) | 2017-02-09 | 2017-02-09 | 用于提供安全业务的方法和设备 |
| PCT/IB2018/000217 WO2018146553A1 (en) | 2017-02-09 | 2018-02-06 | Method and device for providing a security service |
| US16/484,726 US11330017B2 (en) | 2017-02-09 | 2018-02-06 | Method and device for providing a security service |
| EP18710514.3A EP3580910A1 (en) | 2017-02-09 | 2018-02-06 | Method and device for providing a security service |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710070701.6A CN108418776B (zh) | 2017-02-09 | 2017-02-09 | 用于提供安全业务的方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108418776A true CN108418776A (zh) | 2018-08-17 |
| CN108418776B CN108418776B (zh) | 2021-08-20 |
Family
ID=61622625
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710070701.6A Active CN108418776B (zh) | 2017-02-09 | 2017-02-09 | 用于提供安全业务的方法和设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11330017B2 (zh) |
| EP (1) | EP3580910A1 (zh) |
| CN (1) | CN108418776B (zh) |
| WO (1) | WO2018146553A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111010368A (zh) * | 2019-11-11 | 2020-04-14 | 泰康保险集团股份有限公司 | 基于认证链的权限认证方法、装置、介质及电子设备 |
| CN111817869A (zh) * | 2019-04-12 | 2020-10-23 | 华为技术有限公司 | 一种网络配置恢复方法及其相关设备 |
| CN112199581A (zh) * | 2020-09-11 | 2021-01-08 | 卞美玲 | 面向云计算和信息安全的云服务管理方法及人工智能平台 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114285671B (zh) * | 2021-12-31 | 2024-03-19 | 中国电信股份有限公司 | 服务链的生成方法、装置、网络设备及介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN202904662U (zh) * | 2012-11-15 | 2013-04-24 | 安徽盛泉金融服务有限公司 | 现金物流管理系统 |
| US20150358235A1 (en) * | 2014-06-05 | 2015-12-10 | Futurewei Technologies, Inc. | Service Chain Topology Map Construction |
| CN105406992A (zh) * | 2015-10-28 | 2016-03-16 | 浙江工商大学 | 一种面向sdn的业务需求转化和部署方法 |
| WO2016204903A1 (en) * | 2015-06-16 | 2016-12-22 | Intel Corporation | Technologies for secure personalization of a security monitoring virtual network function |
Family Cites Families (98)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5968176A (en) * | 1997-05-29 | 1999-10-19 | 3Com Corporation | Multilayer firewall system |
| US8621101B1 (en) * | 2000-09-29 | 2013-12-31 | Alacritech, Inc. | Intelligent network storage interface device |
| US6434620B1 (en) * | 1998-08-27 | 2002-08-13 | Alacritech, Inc. | TCP/IP offload network interface device |
| US6226680B1 (en) * | 1997-10-14 | 2001-05-01 | Alacritech, Inc. | Intelligent network interface system method for protocol processing |
| US6545981B1 (en) * | 1998-01-07 | 2003-04-08 | Compaq Computer Corporation | System and method for implementing error detection and recovery in a system area network |
| US7664883B2 (en) * | 1998-08-28 | 2010-02-16 | Alacritech, Inc. | Network interface device that fast-path processes solicited session layer read commands |
| US6650640B1 (en) * | 1999-03-01 | 2003-11-18 | Sun Microsystems, Inc. | Method and apparatus for managing a network flow in a high performance network interface |
| WO2000052536A1 (de) * | 1999-03-02 | 2000-09-08 | Siemens Aktiengesellschaft | Bedien- und beobachtungssystem mit augmented reality-techniken |
| US6678270B1 (en) * | 1999-03-12 | 2004-01-13 | Sandstorm Enterprises, Inc. | Packet interception system including arrangement facilitating authentication of intercepted packets |
| US6529950B1 (en) * | 1999-06-17 | 2003-03-04 | International Business Machines Corporation | Policy-based multivariate application-level QoS negotiation for multimedia services |
| US6886102B1 (en) * | 1999-07-14 | 2005-04-26 | Symantec Corporation | System and method for protecting a computer network against denial of service attacks |
| US6971028B1 (en) * | 1999-08-30 | 2005-11-29 | Symantec Corporation | System and method for tracking the source of a computer attack |
| EP1085727A1 (en) * | 1999-09-16 | 2001-03-21 | BRITISH TELECOMMUNICATIONS public limited company | Packet authentication |
| DE19946976A1 (de) * | 1999-09-30 | 2001-04-12 | Siemens Ag | Verfahren für ein Kommunikationsnetz zur Realisierung einer netzknotenübergreifenden Benutzermobilität |
| US20080301776A1 (en) * | 2001-02-14 | 2008-12-04 | Weatherford Sidney L | System method for providing secure access to a communications network |
| US7346707B1 (en) * | 2002-01-16 | 2008-03-18 | Advanced Micro Devices, Inc. | Arrangement in an infiniband channel adapter for sharing memory space for work queue entries using multiply-linked lists |
| US7194761B1 (en) * | 2002-01-22 | 2007-03-20 | Cisco Technology, Inc. | Methods and apparatus providing automatic client authentication |
| US7367045B2 (en) * | 2002-03-16 | 2008-04-29 | Trustedflow Systems, Inc. | Trusted communications system |
| US7509687B2 (en) * | 2002-03-16 | 2009-03-24 | Trustedflow Systems, Inc. | Remotely authenticated operation method |
| US7242681B1 (en) * | 2002-05-17 | 2007-07-10 | Sandstorm Enterprises, Inc. | System and method for intercepting and authenticating packets during one or more communication sessions and automatically recognizing content |
| US7370194B2 (en) * | 2002-06-10 | 2008-05-06 | Microsoft Corporation | Security gateway for online console-based gaming |
| CN1251446C (zh) * | 2002-07-18 | 2006-04-12 | 华为技术有限公司 | 一种防御网络传输控制协议同步报文泛滥攻击的方法 |
| JP3841169B2 (ja) * | 2002-08-21 | 2006-11-01 | ソニー株式会社 | 通信システム、データ処理装置およびデータ処理方法、並びにプログラム |
| US7121639B2 (en) * | 2002-12-02 | 2006-10-17 | Silverbrook Research Pty Ltd | Data rate equalisation to account for relatively different printhead widths |
| US7401360B2 (en) * | 2002-12-03 | 2008-07-15 | Tekelec | Methods and systems for identifying and mitigating telecommunications network security threats |
| US7584352B2 (en) * | 2002-12-04 | 2009-09-01 | International Business Machines Corporation | Protection against denial of service attacks |
| US20040202329A1 (en) * | 2003-04-11 | 2004-10-14 | Samsung Electronics Co., Ltd. | Method and system for providing broadcast service using encryption in a mobile communication system |
| US7814310B2 (en) * | 2003-04-12 | 2010-10-12 | Cavium Networks | IPsec performance optimization |
| US7328451B2 (en) * | 2003-06-30 | 2008-02-05 | At&T Delaware Intellectual Property, Inc. | Network firewall policy configuration facilitation |
| US7530112B2 (en) * | 2003-09-10 | 2009-05-05 | Cisco Technology, Inc. | Method and apparatus for providing network security using role-based access control |
| US7366170B2 (en) * | 2003-09-25 | 2008-04-29 | Kabushiki Kaisha Toshiba | Communication connection method, authentication method, server computer, client computer and program |
| US7421734B2 (en) * | 2003-10-03 | 2008-09-02 | Verizon Services Corp. | Network firewall test methods and apparatus |
| US8655755B2 (en) * | 2003-10-22 | 2014-02-18 | Scottrade, Inc. | System and method for the automated brokerage of financial instruments |
| US20050268342A1 (en) * | 2004-05-14 | 2005-12-01 | Trusted Network Technologies, Inc. | System, apparatuses, methods and computer-readable media for determining security status of computer before establishing network connection second group of embodiments-claim set II |
| JP2007538444A (ja) * | 2004-05-20 | 2007-12-27 | キネティック リミテッド | ファイアウォール・システム |
| US20050268331A1 (en) * | 2004-05-25 | 2005-12-01 | Franck Le | Extension to the firewall configuration protocols and features |
| KR100609700B1 (ko) * | 2004-07-20 | 2006-08-08 | 한국전자통신연구원 | 패킷 침입 탐지 규칙 간략화 장치 및 그 방법과 간략화된침입 탐지 규칙을 이용한 패킷 침입 탐지 장치 및 방법 |
| EP1815663B1 (en) * | 2004-11-18 | 2013-06-26 | Partners for Corporate Research International | Performance based packet ordering in a pci express bus |
| KR100785293B1 (ko) * | 2005-02-11 | 2007-12-12 | 삼성전자주식회사 | 다중 tcp확인응답을 이용한 tcp 혼잡 제어 시스템및 그 방법 |
| US7784099B2 (en) * | 2005-02-18 | 2010-08-24 | Pace University | System for intrusion detection and vulnerability assessment in a computer network using simulation and machine learning |
| US7688976B2 (en) * | 2005-07-14 | 2010-03-30 | Tara Chand Singhal | Random wave envelope derived random numbers and their use in generating transient keys in communication security application part I |
| CN1917426B (zh) * | 2005-08-17 | 2010-12-08 | 国际商业机器公司 | 端口扫描方法与设备及其检测方法与设备、端口扫描系统 |
| US7870602B2 (en) * | 2005-09-14 | 2011-01-11 | At&T Intellectual Property I, L.P. | System and method for reducing data stream interruption during failure of a firewall device |
| WO2007035655A2 (en) * | 2005-09-16 | 2007-03-29 | The Trustees Of Columbia University In The City Of New York | Using overlay networks to counter denial-of-service attacks |
| US20070237144A1 (en) * | 2006-03-30 | 2007-10-11 | Avaya Technology Llc | Transporting authentication information in RTP |
| US20070283429A1 (en) * | 2006-05-30 | 2007-12-06 | A10 Networks Inc. | Sequence number based TCP session proxy |
| US20080072113A1 (en) * | 2006-08-30 | 2008-03-20 | Siukwin Tsang | Method of locating packet for resend from retry buffer |
| US8369224B1 (en) * | 2006-09-08 | 2013-02-05 | Juniper Networks, Inc. | Combining network endpoint policy results |
| CN100488305C (zh) * | 2006-09-23 | 2009-05-13 | 西安西电捷通无线网络通信有限公司 | 一种网络接入鉴别与授权方法以及授权密钥更新方法 |
| US7941837B1 (en) * | 2007-04-18 | 2011-05-10 | Juniper Networks, Inc. | Layer two firewall with active-active high availability support |
| US8266685B2 (en) * | 2007-05-18 | 2012-09-11 | Microsoft Corporation | Firewall installer |
| US7840708B2 (en) * | 2007-08-13 | 2010-11-23 | Cisco Technology, Inc. | Method and system for the assignment of security group information using a proxy |
| US7792014B2 (en) * | 2007-09-28 | 2010-09-07 | Integrated Device Technology, Inc. | Method of skipping nullified packets during mass replay from replay buffer |
| KR100918844B1 (ko) * | 2007-10-04 | 2009-09-28 | 한국전자통신연구원 | 보안 프로파일을 이용한 복합 단말의 보안 장치 및 그 방법 |
| DE102007048044A1 (de) * | 2007-10-05 | 2009-04-09 | T-Mobile International Ag | Contentdistribution mit inhärenter nutzerorientierter Berechtigungsprüfung |
| JP4872952B2 (ja) * | 2008-03-06 | 2012-02-08 | 日本電気株式会社 | Tcpバッファコピー分散並列処理装置、方法及びプログラム |
| FR2932937B1 (fr) * | 2008-06-24 | 2011-02-11 | Alcatel Lucent | Routeur associe a un dispositif securise. |
| CN101350745B (zh) * | 2008-08-15 | 2011-08-03 | 北京启明星辰信息技术股份有限公司 | 一种入侵检测方法及装置 |
| JP4469910B1 (ja) * | 2008-12-24 | 2010-06-02 | 株式会社東芝 | セキュリティ対策機能評価プログラム |
| US8301982B2 (en) * | 2009-11-18 | 2012-10-30 | Cisco Technology, Inc. | RTP-based loss recovery and quality monitoring for non-IP and raw-IP MPEG transport flows |
| US8826413B2 (en) * | 2009-12-30 | 2014-09-02 | Motorla Solutions, Inc. | Wireless local area network infrastructure devices having improved firewall features |
| EP2405678A1 (en) * | 2010-03-30 | 2012-01-11 | British Telecommunications public limited company | System and method for roaming WLAN authentication |
| US8416785B2 (en) * | 2010-04-21 | 2013-04-09 | International Business Machines Corporation | Implementing ghost packet removal within a reliable meshed network |
| JP5048105B2 (ja) * | 2010-06-29 | 2012-10-17 | レノボ・シンガポール・プライベート・リミテッド | コンピュータへのアクセス方法およびコンピュータ |
| US8499173B2 (en) * | 2010-11-23 | 2013-07-30 | Lockheed Martin Corporation | Apparatus and method for protection of circuit boards from tampering |
| WO2013029031A2 (en) * | 2011-08-24 | 2013-02-28 | Evergram, Inc. | Future messaging system |
| EP2590100A1 (en) * | 2011-11-04 | 2013-05-08 | British Telecommunications Public Limited Company | Method and apparatus for securing a computer |
| JP5728368B2 (ja) * | 2011-11-15 | 2015-06-03 | 株式会社日立製作所 | ネットワークシステム、及び通信装置 |
| JP5612006B2 (ja) * | 2012-03-13 | 2014-10-22 | 株式会社東芝 | データ送信装置、データ受信装置、及びプログラム |
| WO2013176591A1 (en) * | 2012-05-25 | 2013-11-28 | Telefonaktiebolaget L M Ericsson (Publ) | Methods and devices for controlling a mobile terminal in a radio access network to transition between a plurality of communication states |
| US9330262B2 (en) * | 2012-09-21 | 2016-05-03 | University Of Limerick | Systems and methods for runtime adaptive security to protect variable assets |
| US10509776B2 (en) * | 2012-09-24 | 2019-12-17 | Sandisk Technologies Llc | Time sequence data management |
| US8869274B2 (en) * | 2012-09-28 | 2014-10-21 | International Business Machines Corporation | Identifying whether an application is malicious |
| KR101955689B1 (ko) * | 2012-10-26 | 2019-03-07 | 삼성전자주식회사 | 서로 다른 이동 통신 네트워크들의 엔티티들을 포함하는 네트워크에서 종단간 서비스 레벨 협약을 측정 및 관리하는 방법 및 장치 |
| US9338172B2 (en) * | 2013-03-13 | 2016-05-10 | Futurewei Technologies, Inc. | Enhanced IPsec anti-replay/anti-DDOS performance |
| US10270748B2 (en) * | 2013-03-22 | 2019-04-23 | Nok Nok Labs, Inc. | Advanced authentication techniques and applications |
| US9367676B2 (en) * | 2013-03-22 | 2016-06-14 | Nok Nok Labs, Inc. | System and method for confirming location using supplemental sensor and/or location data |
| WO2014205720A1 (zh) * | 2013-06-27 | 2014-12-31 | 华为技术有限公司 | 传输数据的方法和装置 |
| KR101503785B1 (ko) * | 2013-10-10 | 2015-03-18 | (주)잉카엔트웍스 | 동적 라이브러리를 보호하는 방법 및 장치 |
| US9734334B2 (en) * | 2014-09-10 | 2017-08-15 | International Business Machines Corporation | Data tracking in user space |
| US9934060B2 (en) * | 2014-10-13 | 2018-04-03 | Vmware, Inc. | Hybrid service fleet management for cloud providers |
| US9756016B2 (en) * | 2014-10-30 | 2017-09-05 | Alcatel Lucent | Security services for end users that utilize service chaining |
| US9722976B1 (en) * | 2015-02-26 | 2017-08-01 | Sonus Networks, Inc. | Methods and apparatus for synchronizing decryption state with remote encryption state |
| US9621520B2 (en) * | 2015-03-19 | 2017-04-11 | Cisco Technology, Inc. | Network service packet header security |
| US20160323792A1 (en) * | 2015-04-29 | 2016-11-03 | Aruba Networks, Inc. | Wireless client session continuity across controller failover and load-balancing |
| US11102273B2 (en) * | 2015-05-13 | 2021-08-24 | Cisco Technology, Inc. | Uplink performance management |
| WO2017053046A1 (en) * | 2015-09-21 | 2017-03-30 | Continental Intelligent Transportation Systems, LLC | On-demand and on-site vehicle maintenance service |
| JP2017135527A (ja) * | 2016-01-27 | 2017-08-03 | 富士通株式会社 | 通信装置 |
| US10432553B2 (en) * | 2016-02-23 | 2019-10-01 | Microsemi Solutions (U.S.), Inc. | Systems and methods for transportation of multiple constant bitrate data streams |
| US10313241B2 (en) * | 2016-03-28 | 2019-06-04 | Cox Communications, Inc. | Systems and methods for routing internet packets between enterprise network sites |
| JP2017191965A (ja) * | 2016-04-11 | 2017-10-19 | 富士通株式会社 | 通信装置及びパケット送受信プログラム |
| EP3255851B1 (en) * | 2016-06-08 | 2019-08-07 | Nxp B.V. | Processing module for a communication device and method therefor |
| EP3494682B1 (en) * | 2016-08-05 | 2022-06-22 | Alcatel Lucent | Security-on-demand architecture |
| CN109791514B (zh) * | 2016-09-16 | 2022-09-09 | 西门子股份公司 | 抵抗网络攻击的控制系统设计 |
| US10200259B1 (en) * | 2016-09-21 | 2019-02-05 | Symantec Corporation | Systems and methods for detecting obscure cyclic application-layer message sequences in transport-layer message sequences |
| US10091195B2 (en) * | 2016-12-31 | 2018-10-02 | Nok Nok Labs, Inc. | System and method for bootstrapping a user binding |
| US10601776B1 (en) * | 2017-04-21 | 2020-03-24 | Palo Alto Networks, Inc. | Security platform for service provider network environments |
| US10708306B2 (en) * | 2017-06-15 | 2020-07-07 | Palo Alto Networks, Inc. | Mobile user identity and/or SIM-based IoT identity and application identity based security enforcement in service provider networks |
-
2017
- 2017-02-09 CN CN201710070701.6A patent/CN108418776B/zh active Active
-
2018
- 2018-02-06 US US16/484,726 patent/US11330017B2/en active Active
- 2018-02-06 EP EP18710514.3A patent/EP3580910A1/en active Pending
- 2018-02-06 WO PCT/IB2018/000217 patent/WO2018146553A1/en unknown
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN202904662U (zh) * | 2012-11-15 | 2013-04-24 | 安徽盛泉金融服务有限公司 | 现金物流管理系统 |
| US20150358235A1 (en) * | 2014-06-05 | 2015-12-10 | Futurewei Technologies, Inc. | Service Chain Topology Map Construction |
| WO2016204903A1 (en) * | 2015-06-16 | 2016-12-22 | Intel Corporation | Technologies for secure personalization of a security monitoring virtual network function |
| CN105406992A (zh) * | 2015-10-28 | 2016-03-16 | 浙江工商大学 | 一种面向sdn的业务需求转化和部署方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111817869A (zh) * | 2019-04-12 | 2020-10-23 | 华为技术有限公司 | 一种网络配置恢复方法及其相关设备 |
| CN111817869B (zh) * | 2019-04-12 | 2023-05-19 | 华为技术有限公司 | 一种网络配置恢复方法及其相关设备 |
| CN111010368A (zh) * | 2019-11-11 | 2020-04-14 | 泰康保险集团股份有限公司 | 基于认证链的权限认证方法、装置、介质及电子设备 |
| CN112199581A (zh) * | 2020-09-11 | 2021-01-08 | 卞美玲 | 面向云计算和信息安全的云服务管理方法及人工智能平台 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3580910A1 (en) | 2019-12-18 |
| CN108418776B (zh) | 2021-08-20 |
| WO2018146553A1 (en) | 2018-08-16 |
| US20200045082A1 (en) | 2020-02-06 |
| US11330017B2 (en) | 2022-05-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Garg et al. | Edge computing-based security framework for big data analytics in VANETs | |
| Mehta et al. | Blockchain envisioned UAV networks: Challenges, solutions, and comparisons | |
| CN110113291A (zh) | 用于在业务功能链域之间进行互通的方法和设备 | |
| US10659528B2 (en) | Cloud enabled cognitive radio adhoc vehicular networking with security aware resource management and internet of vehicles applications | |
| Rahman et al. | Fog computing, applications, security and challenges, review | |
| Kolandaisamy et al. | A multivariant stream analysis approach to detect and mitigate DDoS attacks in vehicular ad hoc networks | |
| CN108418776A (zh) | 用于提供安全业务的方法和设备 | |
| Nandy et al. | T-BCIDS: Trust-based collaborative intrusion detection system for VANET | |
| Abdulkadhim et al. | RETRACTED ARTICLE: Design and development of a hybrid (SDN+ SOM) approach for enhancing security in VANET | |
| EP2974355A2 (en) | A device, a system and a related method for dynamic traffic mirroring and policy, and the determination of applications running on a network | |
| Todorova et al. | DDoS attack detection in SDN-based VANET architectures | |
| CN111684775A (zh) | 用于为数据中心提供安全性服务的方法、装置和计算机可读介质 | |
| Mershad | PROACT: Parallel multi-miner proof of accumulated trust protocol for Internet of Drones | |
| Al-Mehdhara et al. | MSOM: efficient mechanism for defense against DDoS attacks in VANET | |
| Galego et al. | Cybersecurity in smart cities: Technology and data security in intelligent transport systems | |
| CN114172731A (zh) | IPv6地址的快速验证溯源方法、装置、设备及介质 | |
| Wang et al. | Topology poisoning attacks and countermeasures in SDN-enabled vehicular networks | |
| Darwassh Hanawy Hussein et al. | BA‐CNN: Bat Algorithm‐Based Convolutional Neural Network Algorithm for Ambulance Vehicle Routing in Smart Cities | |
| Rehman et al. | Modeling and optimizing IoT-driven autonomous vehicle transportation systems using intelligent multimedia sensors | |
| Pali et al. | Autonomous vehicle security: Current survey and future research challenges | |
| Zabeeulla et al. | Design and Modelling of hybrid network security method for increasing security in vehicular ad-hoc network | |
| Houmer et al. | A hybrid intrusion detection system against egoistic and malicious nodes in VANET | |
| Singh | Overview of Challenges in VANET | |
| Lakhmidevi et al. | Quantitative Survey on Software Defined Networks (SDN) in VANETs | |
| Veerraju et al. | Cognitive Radio Technique for Blockchain-based Vehicles with IoT |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |