CN108900551A - Sdn/nfv网络安全防护方法及装置 - Google Patents
Sdn/nfv网络安全防护方法及装置 Download PDFInfo
- Publication number
- CN108900551A CN108900551A CN201810933932.XA CN201810933932A CN108900551A CN 108900551 A CN108900551 A CN 108900551A CN 201810933932 A CN201810933932 A CN 201810933932A CN 108900551 A CN108900551 A CN 108900551A
- Authority
- CN
- China
- Prior art keywords
- sdn
- virtual machine
- safe
- controller
- nfv network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种SDN/NFV网络安全防护方法及装置,涉及通信领域,能够实现SDN/NFV网络的安全防护功能。该方法包括:安全编排及控制器获取SDN/NFV网络的安全任务信息、SDN/NFV网络中各个虚拟机的状态和可用虚拟化资源;根据安全任务信息、SDN/NFV网络中各个虚拟机的状态,确定至少一个目标虚拟机的标识、每个目标虚拟机的安全策略配置以及安全服务路径;将至少一个目标虚拟机的标识发送给VNFM,以使VNFM通过可用虚拟化资源初始化每个目标虚拟机;根据每个目标虚拟机的安全策略配置,为每个目标虚拟机配置相应的安全策略;将安全服务路径发送给SDN控制器,以使SDN控制器根据安全服务路径生成转发表项。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种SDN/NFV网络安全防护方法及装置。
背景技术
软件定义网络(Software Defined Network,SDN)是一种新型网络创新架构,是网络虚拟化的一种实现方式,其通过将网络设备控制面与数据面分离开来,从而实现了网络流量的灵活控制,使网络变得更加智能。
网络功能虚拟化(Network Function Virtualization,NFV)能够通过x86等通用性硬件以及虚拟化技术,虚拟化若干虚拟机,取代网络中那些私有专用的网元设备,从而能够降低网络昂贵的设备成本。
因此,基于SDN/NFV的网络具有虚拟化、软件化、可编程、通用硬件等特性,能够实现新业务快速部署、网络资源灵活调度,同时能够简化网络运维、提高网络资源利用率。
当前,基于SDN/NFV的网络需要面对很多问题,如多层间安全策略的难以协同、手工静态配置安全策略无法满足灵活的弹性和扩缩容的需求等。
发明内容
本申请提供一种SDN/NFV网络安全防护方法及装置,能够在实现可重构安全资源的按需部署和动态伸缩的同时,为用户提供满足其需求的安全服务。
为达到上述目的,本申请采用如下技术方案:
第一方面,本申请提供一种SDN/NFV网络安全防护方法,所述方法应用于SDN/NFV网络,所述SDN/NFV网络包括:网络功能虚拟化管理器VNFM、SDN控制器,还包括安全编排及控制器,所述安全编排及控制器用于对所述SDN/NFV网络的安全功能进行管理和编排;所述方法包括:所述安全编排及控制器获取SDN/NFV网络的安全任务信息、所述SDN/NFV网络中各个虚拟机的状态和可用虚拟化资源;所述安全编排及控制器根据所述安全任务信息、所述SDN/NFV网络中各个虚拟机的状态,确定至少一个目标虚拟机的标识、每个目标虚拟机的安全策略配置以及安全服务路径;所述目标虚拟机为用于执行安全任务的虚拟机,所述安全服务路径为执行所述安全任务的各个节点组成的路径,所述节点包括所述目标虚拟机;所述安全编排及控制器将所述至少一个目标虚拟机的标识发送给所述VNFM,以使所述VNFM通过所述可用虚拟化资源初始化每个目标虚拟机;所述安全编排及控制器根据所述每个目标虚拟机的安全策略配置,为所述每个目标虚拟机配置相应的安全策略;所述安全编排及控制器将所述安全服务路径发送给SDN控制器,以使所述SDN控制器根据所述安全服务路径生成转发表项。
第二方面,本申请提供一种SDN/NFV网络安全防护方法,所述方法应用于SDN/NFV网络,所述SDN/NFV网络包括:网络功能虚拟化管理器VNFM,还包括安全编排及控制器,所述安全编排及控制器用于对所述SDN/NFV网络的安全功能进行管理和编排;所述方法包括:所述VNFM接收所述安全编排及控制器发送的至少一个目标虚拟机的标识;所述VNFM根据所述至少一个目标虚拟机的标识,通过所述可用虚拟化资源初始化每个目标虚拟机;所述目标虚拟机为用于执行安全任务的虚拟机。
第三方面,本申请提供一种SDN/NFV网络安全防护方法,所述方法应用于SDN/NFV网络,所述SDN/NFV网络包括:SDN控制器,还包括安全编排及控制器,所述安全编排及控制器用于对所述SDN/NFV网络的安全功能进行管理和编排;所述方法包括:所述SDN控制器接收所述安全编排及控制器发送的安全服务路径;所述安全服务路径为执行安全任务的各个节点组成的路径,所述节点包括目标虚拟机;所述SDN控制器根据所述安全服务路径,确定转发表项,并将所述转发表项分发给所述各个节点。
第四方面,本申请提供一种SDN/NFV网络安全防护装置,所述装置应用于SDN/NFV网络,所述SDN/NFV网络包括:网络功能虚拟化管理器VNFM、SDN控制器,还包括安全编排及控制器,所述安全编排及控制器用于对所述SDN/NFV网络的安全功能进行管理和编排;所述装置应用于所述安全编排及控制器,包括:获取模块,用于获取SDN/NFV网络的安全任务信息、所述SDN/NFV网络中各个虚拟机的状态和可用虚拟化资源;处理模块,用于根据所述安全任务信息、所述SDN/NFV网络中各个虚拟机的状态,确定至少一个目标虚拟机的标识、每个目标虚拟机的安全策略配置以及安全服务路径;所述目标虚拟机为用于执行安全任务的虚拟机,所述安全服务路径为执行所述安全任务的各个节点组成的路径,所述节点包括所述目标虚拟机;还用于根据所述每个目标虚拟机的安全策略配置,为所述每个目标虚拟机配置相应的安全策略;发送模块,用于将所述至少一个目标虚拟机的标识发送给所述VNFM,以使所述VNFM通过所述可用虚拟化资源初始化每个目标虚拟机;还用于将所述安全服务路径发送给SDN控制器,以使所述SDN控制器根据所述安全服务路径生成转发表项。
第五方面,本申请提供一种SDN/NFV网络安全防护装置,所述装置应用于SDN/NFV网络,所述SDN/NFV网络包括:网络功能虚拟化管理器VNFM,还包括安全编排及控制器,所述安全编排及控制器用于对所述SDN/NFV网络的安全功能进行管理和编排;所述装置应用于VNFM,包括:接收模块,用于接收所述安全编排及控制器发送的至少一个目标虚拟机的标识;处理模块,用于根据所述至少一个目标虚拟机的标识,通过所述可用虚拟化资源初始化每个目标虚拟机;所述目标虚拟机为用于执行安全任务的虚拟机;
第六方面,本申请提供一种SDN/NFV网络安全防护装置,所述装置应用于SDN/NFV网络,所述SDN/NFV网络包括:SDN控制器,还包括安全编排及控制器,所述安全编排及控制器用于对所述SDN/NFV网络的安全功能进行管理和编排;所述装置应用于SDN控制器,包括:接收模块,用于接收所述安全编排及控制器发送的安全服务路径;所述安全服务路径为执行安全任务的各个节点组成的路径,所述节点包括目标虚拟机;处理模块,用于根据所述安全服务路径,确定转发表项,并将所述转发表项分发给所述各个节点。
第七方面,本申请提供一种安全编排及控制器,该安全编排及控制器包括:处理器、收发器和存储器。其中,存储器用于存储一个或多个程序。该一个或多个程序包括计算机执行指令,当该安全编排及控制器运行时,处理器执行该存储器存储的该计算机执行指令,以使该安全编排及控制器执行第一方面及其各种可选的实现方式中任意之一所述的SDN/NFV网络安全防护方法。
第八方面,本申请提供一种VNFM,该VNFM包括:处理器、收发器和存储器。其中,存储器用于存储一个或多个程序。该一个或多个程序包括计算机执行指令,当该VNFM运行时,处理器执行该存储器存储的该计算机执行指令,以使该VNFM执行第二方面及其各种可选的实现方式中任意之一所述的SDN/NFV网络安全防护方法。
第九方面,本申请提供一种SDN控制器,该SDN控制器包括:处理器、收发器和存储器。其中,存储器用于存储一个或多个程序。该一个或多个程序包括计算机执行指令,当该SDN控制器运行时,处理器执行该存储器存储的该计算机执行指令,以使该SDN控制器执行第三方面及其各种可选的实现方式中任意之一所述的SDN/NFV网络安全防护方法。
第十方面,本申请提供一种计算机可读存储介质,计算机可读存储介质中存储有指令,当计算机执行该指令时,该计算机执行上述第一方面及其各种可选的实现方式中任意之一所述的SDN/NFV网络安全防护方法;
或者,当计算机执行该指令时,该计算机执行上述第二方面及其各种可选的实现方式中任意之一所述的SDN/NFV网络安全防护方法;
或者,当计算机执行该指令时,该计算机执行上述第三方面及其各种可选的实现方式中任意之一所述的SDN/NFV网络安全防护方法。
本申请提供的SDN/NFV网络安全防护方法、装置,安全编排及控制器获取SDN/NFV网络的安全任务信息、SDN/NFV网络中各个虚拟机的状态和可用虚拟化资源;根据安全任务信息、SDN/NFV网络中各个虚拟机的状态,确定至少一个目标虚拟机的标识、每个目标虚拟机的安全策略配置以及安全服务路径;将至少一个目标虚拟机的标识发送给VNFM,以使VNFM通过所述可用虚拟化资源初始化每个目标虚拟机;将安全服务路径发送给SDN控制器,以使SDN控制器根据安全服务路径生成转发表项。本申请提供的SDN/NFV网络安全防护方法,在SDN/NFV网络架构基础上增加安全编排及控制器,并通过虚拟化技术对网络中安全设备终端的部分安全能力进行抽象,形成满足特定安全需求的虚拟机,再由安全编排和控制器对安全策略、安全功能和网络流量进行动态的编排,实现可重构安全资源的按需部署和动态伸缩的同时,为用户提供满足其需求的安全服务。
附图说明
图1为本申请实施例提供的SDN/NFV网络安全防护方法及装置应用的通信网络结构示意图;
图2为本申请实施例提供的SDN/NFV网络安全防护方法示意图;
图3为本申请实施例提供的安全编排及控制器的结构示意图一;
图4为本申请实施例提供的安全编排及控制器的结构示意图二;
图5为本申请实施例提供的VNFM的结构示意图一;
图6为本申请实施例提供的VNFM的结构示意图二;
图7为本申请实施例提供的SDN控制器的结构示意图一;
图8为本申请实施例提供的SDN控制器的结构示意图二。
具体实施方式
下面结合附图对本申请实施例提供的SDN/NFV网络安全防护方法、装置进行详细地描述。
本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。
本申请的说明书以及附图中的术语“第一”和“第二”等是用于区别不同的对象,或者用于区别对同一对象的不同处理,而不是用于描述对象的特定顺序。
此外,本申请的描述中所提到的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括其他没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,本申请实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
在本申请的描述中,除非另有说明,“多个”的含义是指两个或两个以上。
本申请实施例提供的SDN/NFV网络安全防护方法可以应用于SDN/NFV网络。该SDN/NFV网络可以在诸如运营商网络、数据中心网络或局域网等各种网络中使用。示例性的,图1是SDN/NFV网络的一种架构示意图,所述SDN/NFV网络包括业务支持管理系统(Operation-Support System/Business Support System,OSS/BSS)100、编排器101、SDN控制器102、网络功能虚拟化编排器(Network Function Virtualization Orchestrator,NFVO)103、虚拟网络功能(Virtual Network Function,VNF)/虚拟交换框架(Virtual SwitchingFramework,VSF)104、虚拟网络功能管理器(Virtual Network Function Manager,VNFM)105、虚拟化基础设施管理器(Virtual Infrastructure Manager,VIM)106、基础设施层(Network Function Virtualization Infrastructure,NFVI)107。
其中,OSS/BSS100为电信运营商的一体化、信息资源共享的支持系统,它主要由网络管理、系统管理、计费、营业、账务和客户服务等部分组成,系统间通过统一的信息总线有机整合在一起。它不仅能在帮助运营商制订符合自身特点的运营支撑系统的同时帮助确定系统的发展方向,还能帮助用户制订系统的整合标准的,改善和提高用户的服务水平。
编排器101具备分配、实例化和激活端到端服务所需的网络功能,南向通过网络模型实现跨厂家、跨域、跨层网络的协同控制,北向通过业务模型提供标准化应用程序编程接口(Application Programming Interface,API),适配各类业务上线部署。
SDN控制器102用于网络的流量控制,可以根据业务需求,实现路由、服务质量(Quality of Service,QoS)等策略的生成与下发。
NFVO103可以实现在NFVI107上的网络服务,也可以执行来自一个或多个VNFM的资源相关请求,发送配置信息到VNFM105,并收集VNF104的状态信息。另外,NFVO103可以与VIM106通信,以实现资源的分配和/或预留以及交换虚拟化硬件资源的配置和状态信息。
VNF/VSF104中,VNF为虚拟化的网络功能,即网络功能不再运行在物理硬件上,而是通过虚拟化运行在虚拟机上。而VSF就是将多台设备通过VSF口连接起来形成一台虚拟的逻辑设备。用户对这台虚拟设备进行管理,来实现对虚拟设备中所有物理设备的管理。
VNFM105可以管理一个或多个VNF104。VNFM105可以执行各种管理功能,如实例化、更新、查询、缩放和/或终止VNF104等。
VIM106可以执行资源管理的功能,例如管理基础设施资源的分配(例如增加资源到虚拟容器)和操作功能(如收集NFVI107故障信息)。所述VNFM105和VIM106可以相互通信进行资源分配和交换虚拟化硬件资源的配置和状态信息。
NFVI107包括硬件资源和虚拟化层,硬件资源和虚拟化层用于提供虚拟化的资源,例如作为虚拟机和其它形式的虚拟容器,用于VNF104。硬件资源包括计算硬件、存储硬件和网络硬件。计算硬件可以是市场上现成的硬件和/或用户定制的硬件,用来提供处理和计算资源。存储硬件可以是网络内提供的存储容量或驻留在存储硬件本身的存储容量。网络硬件可以是交换机、路由器和/或配置成具有交换功能的任何其他网络设备。NFVI107里面的虚拟化层可以从物理层抽象硬件资源和解耦VNF104,以便向VNF104提供虚拟化资源。虚拟资源层包括虚拟计算,虚拟存储器和虚拟网络。虚拟计算和虚拟存储可以以虚拟机、和/或其他虚拟容器的形式提供给VNF104。例如,一个或一个以上的VNF104可以部署在一个虚拟机(Virtual Machine,VM)上。虚拟化层抽象网络硬件从而形成虚拟网络,虚拟网络可以包括虚拟交换机(Virtual Switch),所述虚拟交换机用来提供虚拟机和其他虚拟机之间的连接。
本申请实施例中,所述SDN/NFV网络还包括安全编排及控制器108。其中,安全编排及控制器负责对安全设备策略、安全功能和网络流量进行动态的管理。
需要说明的是,本申请实施例中,安全编排及控制器可以和现有的编排器集成设置,也可以是单独的硬件。
可选的,所述SDN/NFV网络还包括安全分析器109及物理安全设备110。安全编排及控制器还用于通过监控SDN/NFV网络中各种设备的运行状态,采集相关的安全数据并将这些安全数据发送给安全分析器。所述安全分析器负责对采集数据进行安全分析,安全分析过程中发现异常情况将进行预警,并通知安全编排及控制器调整安全策略。所述物理安全设备包括传统的交换机、路由器、防火墙等非虚拟化的实体安全设备,可以接受安全编排及控制器的指令执行安全任务。
本申请实施例通过引入新的管理组件安全编排及控制器,由该组件与SDN控制器以及VNFM协同,实现安全策略的集中控制、安全资源的按需部署与动态伸缩、网络安全态势的全方位感知分析。
本申请实施例提供一种SDN/NFV网络安全防护方法,所述方法可应用于图1所示的SDN/NFV网络中;如图2所示,该方法可以包括S201-S208:
S201、安全编排及控制器获取SDN/NFV网络的安全任务信息、SDN/NFV网络中各个虚拟机的状态和可用虚拟化资源。
其中,所述SDN/NFV网络的安全任务信息包括用户根据自身需求订购相应的安全任务,比如防火墙、访问控制、入侵检测、入侵防御等,以及安全任务的具体参数,以防火墙任务为例,可以是防火墙等级、支持的协议类型、开启时间等参数。虚拟机的状态包括可用和不可用两种状态。可用虚拟化资源由图1所示的NFVI中的硬件资源和虚拟资源层提供。其中,硬件资源包括计算硬件、存储硬件和网络硬件,虚拟资源层包括虚拟计算、虚拟存储器和虚拟网络。
S202、安全编排及控制器根据安全任务信息、SDN/NFV网络中各个虚拟机的状态,确定至少一个目标虚拟机的标识、每个目标虚拟机的安全策略配置以及安全服务路径。
其中,所述目标虚拟机为用于执行安全任务的虚拟机,每个目标虚拟机的安全策略配置用于配置虚拟机上的具体参数,以使虚拟机可以按照配置要求执行安全子任务,所述安全服务路径为执行所述安全任务的各个节点组成的路径,所述节点包括所述目标虚拟机。
具体的,由于安全任务信息中可能包括不止一种安全任务,所以安全编排及控制器可以将安全任务信息分解为若干安全子任务,并将这些安全子任务分别分配至虚拟机完成。
可选的,在一种实现方式中,如表一所示,所述SDN/NFV网络预先按照虚拟机所能承担的安全任务对虚拟机分类,建立虚拟机类型和安全任务之间的关系,使得每种类型的虚拟机承担一种或多种安全任务。
表一
| 虚拟机类型 | 可用的虚拟机标识 | 安全任务 |
| 虚拟机类型1 | 01、02、03 | 安全任务A |
| 虚拟机类型2 | 04 | 安全任务B |
| 虚拟机类型3 | 05、06、07 | 安全任务C、D |
相应的,本步骤可实现为:安全编排及控制器根据安全任务信息确定至少一个安全子任务,并根据安全子任务确定用于分别执行每个所述安全子任务的虚拟机类型和安全策略配置,再根据SDN/NFV网络中各个虚拟机的状态,分别确定与所述虚拟机类型具有相同类型且状态为可用的目标虚拟机的标识,并根据每个安全子任务的执行顺序,确定由至少一个目标虚拟机组成的安全服务路径。举例说明,安全编排及控制器将安全任务信息分解为安全任务A、B、C、D四个安全子任务,执行顺序为A->B->C->D。首先,如表一所示,确定安全任务A对应的虚拟机类型为虚拟机类型1,以及执行该安全任务的具体配置需求。同理,可以确定安全任务B对应的虚拟机类型为虚拟机类型2,安全任务C、D对应的虚拟机类型为虚拟机类型3。接着,确定具体的虚拟机,如表一所示,虚拟机类型1中有三个可用的虚拟机,标识分别为01、02、03,则可以在上述虚拟机中任意选取一个虚拟机作为安全任务A对应的目标虚拟机,这里选取标识为01的虚拟机为安全任务A对应的目标虚拟机。同理可以确定安全任务B对应的目标虚拟机为虚拟机04,安全任务C对应的目标虚拟机为虚拟机05,安全任务D对应的目标虚拟机为虚拟机06。然后,根据每个安全子任务的执行顺序(A->B->C->D),确定安全服务路径为虚拟机01->虚拟机04->虚拟机05->虚拟机06。
可选的,若上述步骤的执行过程中,未发现与执行安全子任务的虚拟机类型相同且状态为可用的目标虚拟机,则安全编排及控制器根据虚拟化资源新建与执行安全子任务的虚拟机类型相同的目标虚拟机,并得到其标识。
S203、安全编排及控制器将至少一个目标虚拟机的标识发送给VNFM。
S204、VNFM通过所述可用虚拟化资源初始化每个目标虚拟机。
具体的,VNFM根据目标虚拟机的标识,查询到对相应的目标虚拟机。然后,通过可用虚拟化资源对相应的目标虚拟机进行初始化,分配给目标虚拟机执行相应的安全任务所需的虚拟化资源。
S205、安全编排及控制器根据每个目标虚拟机的安全策略配置,为每个目标虚拟机配置相应的安全策略。
在VNFM初始化目标虚拟机之后,安全编排及控制器通过每个目标虚拟机的标识以及相应的安全策略配置,对每个安全虚拟机进行安全策略的配置。举例说明,安全编排及控制器首先根据防火墙任务的虚拟机标识在网络中找到这个虚拟机。然后,根据该虚拟机的安全策略配置,配置该虚拟机的防火墙等级等参数,从而该虚拟机可以按照所配置的防火墙等级执行防火墙任务。
S206、安全编排及控制器将安全服务路径发送给SDN控制器。
S207、SDN控制器根据安全服务路径生成转发表项并向各个节点下发该转发表项。
具体的,本实施例中,使用SDN流表作为转发表项。SDN流表中包括每一个节点的源地址、目标地址,节点根据SDN流表可以得知自己的上一跳与下一跳的位置。SDN将这些流表发送给网络中的各节点,从而使节点能够沿着安全服务路径转发用户数据流量,使用户数据流量通过所有目标虚拟机。
S208、各个目标虚拟机根据SDN控制器下发的转发表项接收或转发用户数据,并根据安全策略配置执行安全任务。
可选的,本实施例中,SDN/NFV网络设置有安全分析器,安全分析器负责对网络进行监控,监控内容包括但不限于网络拓扑的变化、网络虚拟化资源或硬件资源的变化、各节点的安全日志。若发现网络拓扑的变化或者络虚拟化资源或硬件资源的变化,又或者节点的安全日志上报了错误或异常情况,安全分析器将进行预警,并通知安全编排及控制器对上述目标虚拟机的标识、每个目标虚拟机的安全策略配置以及安全服务路径进行调整,从而保证安全任务能够正常执行。
可选的,SDN/NFV网络还可以包括:物理安全设备。物理安全设备可以由安全编排及控制器控制,安全编排及控制器发送安全任务信息至物理安全设备,物理安全设备根据安全任务信息独立执行相应的安全任务,或者协助虚拟机执行相应的安全任务。
为了更清楚的说明本申请实施例所提供的上述安全防护方法,下文结合例子具体介绍:
本例中,用户选择的安全任务为防火墙和IPS防护。则安全编排及控制器首先对用户选择的安全任务进行分解,分为防火墙任务和IPS防护服务。然后,确定防火墙任务对应的目标虚拟机标识,所述目标虚拟机为执行防火墙任务所需的虚拟机,所述安全策略配置具体包括:防火墙功能需求,即支持对协议端口的开启、关闭操作;支持对ICMP、HTTP、FTP、SMTP、POP3协议的状态检测;支持基于源/目的MAC地址、IP地址、源/目的端口、IP协议、时间段等参数实现相应的访问控制策略。同理,确定IPS防护任务对应的目标虚拟机标识,所述安全策略配置包括:支持端口扫描防护功能;支持HTTP、FTP、SMTP等应用协议的入侵防护功能;支持防DoS、DDoS攻击能力,支持对ping of death、IP spoofing、Port scan、Landattack、Tear drop、attack、IP address sweep attack、WinNuke at tack、ICMPFragment、ICMP Flood、UDP Flood、SYN Flood、SYN Fragment等常见攻击类型的防护。接着,确定用户数据经过上述目标虚拟机的路径,即安全服务路径。之后,将上述目标虚拟机标识发送给VNFM,将安全服务路径发送给SDN控制器。
VNFM接收安全编排及控制器发送的目标虚拟机标识后,首先根据目标虚拟机标识查询对应的目标虚拟机,然后对目标虚拟机进行初始化。在VNFM完成目标虚拟机的初始化之后,安全编排及控制器首先根据目标虚拟机标识在网络中找到这个虚拟机。然后,根据该虚拟机的安全策略配置,配置该虚拟机的相关参数。
SDN控制器接收安全编排及控制器发送的安全服务路径后,根据安全服务路径,制定SDN流表。然后,将SDN流表分发给各个相关节点。
最后,目标虚拟机执行安全任务,同时各个节点按照SDN流表接收和转发数据。
本申请提供一种SDN/NFV网络安全防护方法,在SDN/NFV网络架构基础上增加安全编排及控制器,并通过虚拟化技术对网络中安全设备终端的部分安全能力进行抽象,形成满足特定安全需求的虚拟机,再由安全编排和控制器对安全策略、安全功能和网络流量进行动态的编排,实现可重构安全资源的按需部署和动态伸缩的同时,为用户提供满足其需求的安全服务。
本申请实施例可以根据上述方法示例对安全编排及控制器进行功能模块或者功能单元的划分,例如,可以对应各个功能划分各个功能模块或者功能单元,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块或者功能单元的形式实现。其中,本申请实施例中对模块或者单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
图3示出了上述实施例中所涉及的安全编排及控制器的一种可能的结构示意图。该安全编排及控制器包括获取模块301、处理模块302、发送模块303。
其中,所述获取模块301,用于获取SDN/NFV网络的安全任务信息、SDN/NFV网络中各个虚拟机的状态和可用虚拟化资源。
所述处理模块302,用于根据安全任务信息、SDN/NFV网络中各个虚拟机的状态,确定至少一个目标虚拟机的标识、每个目标虚拟机的安全策略配置以及安全服务路径;所述目标虚拟机为用于执行安全任务的虚拟机,所述安全服务路径为执行所述安全任务的各个节点组成的路径,所述节点包括所述目标虚拟机。还用于根据所述每个目标虚拟机的安全策略配置,为所述每个目标虚拟机配置相应的安全策略。
所述发送模块303,用于将所述至少一个目标虚拟机的标识发送给所述VNFM,以使所述VNFM通过所述可用虚拟化资源初始化每个目标虚拟机;还用于将所述安全服务路径发送给SDN控制器,以使所述SDN控制器根据所述安全服务路径生成转发表项。
可选的,所述处理模块302,还用于根据所述安全任务信息确定至少一个安全子任务;根据安全子任务确定用于分别执行每个安全子任务的虚拟机类型和安全策略配置;根据所述SDN/NFV网络中各个虚拟机的状态,分别确定与虚拟机类型具有相同类型且状态为可用的目标虚拟机的标识;根据每个安全子任务的执行顺序,确定由至少一个目标虚拟机组成的安全服务路径。
可选的,所述处理模块302,还用于在预设条件下,调整确定至少一个目标虚拟机的标识、每个目标虚拟机的安全策略配置以及安全服务路径;其中,所述预设条件包括以下至少一种:SDN/NFV网络拓扑发生变化、SDN/NFV网络虚拟化资源或硬件资源发生变化、节点安全日志中发现异常,所述节点包括目标虚拟机。
可选的,所述处理模块302还用于根据安全任务信息,控制物理安全设备执行相应的安全任务。
本申请提供一种SDN/NFV网络安全防护装置,在SDN/NFV网络架构基础上增加安全编排及控制器,并通过虚拟化技术对网络中安全设备终端的部分安全能力进行抽象,形成满足特定安全需求的虚拟机,再由安全编排和控制器对安全策略、安全功能和网络流量进行动态的编排,实现可重构安全资源的按需部署和动态伸缩的同时,为用户提供满足其需求的安全服务。
图4示出了上述实施例中所涉及的安全编排及控制器的又一种可能的结构示意图。该装置包括:处理器401和通信接口402。处理器401用于对装置的动作进行控制管理,例如,执行上述处理模块302执行的步骤,和/或用于执行本文所描述的技术的其它过程。通信接口402用于支持安全编排及控制器与其他网络实体的通信,例如,执行上述获取模块301、发送模块303执行的步骤。装置还可以包括存储器403和总线404,存储器403用于存储安全编排及控制器的程序代码和数据。
其中,上述处理器401可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。该处理器可以是中央处理器,通用处理器,数字信号处理器,专用集成电路,现场可编程门阵列或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。所述处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等。
存储器403可以包括易失性存储器,例如随机存取存储器;该存储器也可以包括非易失性存储器,例如只读存储器,快闪存储器,硬盘或固态硬盘;该存储器还可以包括上述种类的存储器的组合。
总线404可以是扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。总线404可以分为地址总线、数据总线、控制总线等。为便于表示,图4中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
图5示出了上述实施例中所涉及的VNFM的一种可能的结构示意图。该VNFM包括接收模块501、处理模块502。
其中,所述接收模块501,用于接收安全编排及控制器发送的至少一个目标虚拟机的标识。
所述处理模块502,用于根据至少一个目标虚拟机的标识,通过所述可用虚拟化资源初始化每个目标虚拟机;目标虚拟机为用于执行安全任务的虚拟机。
图6示出了上述实施例中所涉及的VNFM的又一种可能的结构示意图。该装置包括:处理器601和通信接口602。处理器601用于对装置的动作进行控制管理,例如,执行上述处理模块502执行的步骤,和/或用于执行本文所描述的技术的其它过程。通信接口602用于支持VNFM与其他网络实体的通信,例如,执行上述接收模块501执行的步骤。装置还可以包括存储器603和总线604,存储器603用于存储VNFM的程序代码和数据。
其中,上述处理器601可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。该处理器可以是中央处理器,通用处理器,数字信号处理器,专用集成电路,现场可编程门阵列或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。所述处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等。
存储器603可以包括易失性存储器,例如随机存取存储器;该存储器也可以包括非易失性存储器,例如只读存储器,快闪存储器,硬盘或固态硬盘;该存储器还可以包括上述种类的存储器的组合。
总线604可以是扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。总线604可以分为地址总线、数据总线、控制总线等。为便于表示,图6中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
图7示出了上述实施例中所涉及的SDN控制器的一种可能的结构示意图。该SDN控制器包括接收模块701、处理模块702。
其中,所述接收模块701,用于接收安全编排及控制器发送的安全服务路径;所述安全服务路径为执行安全任务的各个节点组成的路径,所述节点包括目标虚拟机。
所述处理模块702,用于根据安全服务路径,确定转发表项,并将转发表项分发给各个节点。
图8示出了上述实施例中所涉及的SDN控制器的又一种可能的结构示意图。该装置包括:处理器801和通信接口802。处理器801用于对装置的动作进行控制管理,例如,执行上述处理模块702执行的步骤,和/或用于执行本文所描述的技术的其它过程。通信接口802用于支持SDN控制器与其他网络实体的通信,例如,执行上述接收模块701执行的步骤。装置还可以包括存储器803和总线804,存储器803用于存储SDN控制器的程序代码和数据。
其中,上述处理器801可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。该处理器可以是中央处理器,通用处理器,数字信号处理器,专用集成电路,现场可编程门阵列或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。所述处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等。
存储器803可以包括易失性存储器,例如随机存取存储器;该存储器也可以包括非易失性存储器,例如只读存储器,快闪存储器,硬盘或固态硬盘;该存储器还可以包括上述种类的存储器的组合。
总线804可以是扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。总线804可以分为地址总线、数据总线、控制总线等。为便于表示,图8中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本申请实施例还提供一种计算机可读存储介质,计算机可读存储介质中存储有指令,当计算机执行该指令时,该计算机执行上述方法实施例所示的方法流程中安全编排及控制器执行的各个步骤。或者,当计算机执行该指令时,该计算机执行上述方法实施例所示的方法流程中VNFM执行的各个步骤。或者,当计算机执行该指令时,该计算机执行上述方法实施例所示的方法流程中SDN控制器执行的各个步骤。
其中,计算机可读存储介质,例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(Random Access Memory,RAM)、只读存储器(Read-Only Memory,ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)、寄存器、硬盘、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory,CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合、或者本领域熟知的任何其它形式的计算机可读存储介质。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于特定用途集成电路(Application Specific Integrated Circuit,ASIC)中。在本申请实施例中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何在本申请揭露的技术范围内的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应该以权利要求的保护范围为准。
Claims (12)
1.一种SDN/NFV网络安全防护方法,所述方法应用于SDN/NFV网络,所述SDN/NFV网络包括:网络功能虚拟化管理器VNFM、SDN控制器,其特征在于,还包括安全编排及控制器,所述安全编排及控制器用于对所述SDN/NFV网络的安全功能进行管理和编排;所述方法包括:
所述安全编排及控制器获取SDN/NFV网络的安全任务信息、所述SDN/NFV网络中各个虚拟机的状态和可用虚拟化资源;
所述安全编排及控制器根据所述安全任务信息、所述SDN/NFV网络中各个虚拟机的状态,确定至少一个目标虚拟机的标识、每个目标虚拟机的安全策略配置以及安全服务路径;所述目标虚拟机为用于执行安全任务的虚拟机,所述安全服务路径为执行所述安全任务的各个节点组成的路径,所述节点包括所述目标虚拟机;
所述安全编排及控制器将所述至少一个目标虚拟机的标识发送给所述VNFM,以使所述VNFM通过所述可用虚拟化资源初始化每个目标虚拟机;
所述安全编排及控制器根据所述每个目标虚拟机的安全策略配置,为所述每个目标虚拟机配置相应的安全策略;
所述安全编排及控制器将所述安全服务路径发送给SDN控制器,以使所述SDN控制器根据所述安全服务路径生成转发表项。
2.根据权利要求1所述的SDN/NFV网络安全防护方法,其特征在于,所述SDN/NFV网络中包含至少一种类型的虚拟机,每种类型的虚拟机用于执行至少一种安全任务;
所述安全编排及控制器根据所述安全任务信息、所述SDN/NFV网络中各个虚拟机的状态,确定至少一个目标虚拟机的标识、每个目标虚拟机的安全策略配置以及安全服务路径,包括:
所述安全编排及控制器根据所述安全任务信息确定至少一个安全子任务;
所述安全编排及控制器根据所述安全子任务确定用于分别执行每个所述安全子任务的虚拟机类型和安全策略配置;
所述安全编排及控制器根据所述SDN/NFV网络中各个虚拟机的状态,分别确定与所述虚拟机类型具有相同类型且状态为可用的目标虚拟机的标识;
所述安全编排及控制器根据每个安全子任务的执行顺序,确定由所述至少一个目标虚拟机组成的安全服务路径。
3.根据权利要求1所述的SDN/NFV网络安全防护方法,其特征在于,所述方法还包括:
在预设条件下,所述安全编排及控制器调整所述至少一个目标虚拟机的标识、所述每个目标虚拟机的安全策略配置以及所述安全服务路径;
其中,所述预设条件包括以下至少一种:所述SDN/NFV网络拓扑发生变化、所述SDN/NFV网络虚拟化资源或硬件资源发生变化、节点安全日志中发现异常,所述节点包括目标虚拟机。
4.根据权利要求2所述的SDN/NFV网络安全防护方法,其特征在于,所述SDN/NFV网络还包括:物理安全设备,所述物理安全设备为用于执行安全任务的物理设备;所述方法还包括:
所述安全编排及控制器根据所述安全任务信息,控制物理安全设备执行相应的安全任务。
5.一种SDN/NFV网络安全防护方法,所述方法应用于SDN/NFV网络,所述SDN/NFV网络包括:网络功能虚拟化管理器VNFM,其特征在于,还包括安全编排及控制器,所述安全编排及控制器用于对所述SDN/NFV网络的安全功能进行管理和编排;所述方法包括:
所述VNFM接收所述安全编排及控制器发送的至少一个目标虚拟机的标识;
所述VNFM根据所述至少一个目标虚拟机的标识,通过所述可用虚拟化资源初始化每个目标虚拟机;所述目标虚拟机为用于执行安全任务的虚拟机。
6.一种SDN/NFV网络安全防护方法,所述方法应用于SDN/NFV网络,所述SDN/NFV网络包括:SDN控制器,其特征在于,还包括安全编排及控制器,所述安全编排及控制器用于对所述SDN/NFV网络的安全功能进行管理和编排;所述方法包括:
所述SDN控制器接收所述安全编排及控制器发送的安全服务路径;所述安全服务路径为执行安全任务的各个节点组成的路径,所述节点包括目标虚拟机;
所述SDN控制器根据所述安全服务路径,确定转发表项,并将所述转发表项分发给所述各个节点。
7.一种SDN/NFV网络安全防护装置,所述装置应用于SDN/NFV网络,所述SDN/NFV网络包括:网络功能虚拟化管理器VNFM、SDN控制器,其特征在于,还包括安全编排及控制器,所述安全编排及控制器用于对所述SDN/NFV网络的安全功能进行管理和编排;所述装置应用于所述安全编排及控制器,包括:
获取模块,用于获取SDN/NFV网络的安全任务信息、所述SDN/NFV网络中各个虚拟机的状态和可用虚拟化资源;
处理模块,用于根据所述安全任务信息、所述SDN/NFV网络中各个虚拟机的状态,确定至少一个目标虚拟机的标识、每个目标虚拟机的安全策略配置以及安全服务路径;所述目标虚拟机为用于执行安全任务的虚拟机,所述安全服务路径为执行所述安全任务的各个节点组成的路径,所述节点包括所述目标虚拟机;还用于根据所述每个目标虚拟机的安全策略配置,为所述每个目标虚拟机配置相应的安全策略;
发送模块,用于将所述至少一个目标虚拟机的标识发送给所述VNFM,以使所述VNFM通过所述可用虚拟化资源初始化每个目标虚拟机;还用于将所述安全服务路径发送给SDN控制器,以使所述SDN控制器根据所述安全服务路径生成转发表项。
8.根据权利要求7所述的SDN/NFV网络安全防护装置,其特征在于,所述SDN/NFV网络中包含至少一种类型的虚拟机,每种类型的虚拟机用于执行至少一种安全任务;
所述处理模块具体用于:
根据所述安全任务信息确定至少一个安全子任务;
根据所述安全子任务确定用于分别执行每个所述安全子任务的虚拟机类型和安全策略配置;
根据所述SDN/NFV网络中各个虚拟机的状态,分别确定与所述虚拟机类型具有相同类型且状态为可用的目标虚拟机的标识;
根据每个安全子任务的执行顺序,确定由所述至少一个目标虚拟机组成的安全服务路径。
9.根据权利要求7所述的SDN/NFV网络安全防护装置,其特征在于,
所述处理模块还用于:在预设条件下,调整所述至少一个目标虚拟机的标识、所述每个目标虚拟机的安全策略配置以及所述安全服务路径;
其中,所述预设条件包括以下至少一种:所述SDN/NFV网络拓扑发生变化、所述SDN/NFV网络虚拟化资源或硬件资源发生变化、节点安全日志中发现异常,所述节点包括目标虚拟机。
10.根据权利要求8所述的SDN/NFV网络安全防护装置,其特征在于,所述SDN/NFV网络还包括:物理安全设备,所述物理安全设备为用于执行安全任务的物理设备;所述处理模块还用于:
根据所述安全任务信息,控制物理安全设备执行相应的安全任务。
11.一种SDN/NFV网络安全防护装置,所述装置应用于SDN/NFV网络,所述SDN/NFV网络包括:网络功能虚拟化管理器VNFM,其特征在于,还包括安全编排及控制器,所述安全编排及控制器用于对所述SDN/NFV网络的安全功能进行管理和编排;所述装置应用于VNFM,包括:
接收模块,用于接收所述安全编排及控制器发送的至少一个目标虚拟机的标识;
处理模块,用于根据所述至少一个目标虚拟机的标识,通过所述可用虚拟化资源初始化每个目标虚拟机;所述目标虚拟机为用于执行安全任务的虚拟机。
12.一种SDN/NFV网络安全防护装置,所述装置应用于SDN/NFV网络,所述SDN/NFV网络包括:SDN控制器,其特征在于,还包括安全编排及控制器,所述安全编排及控制器用于对所述SDN/NFV网络的安全功能进行管理和编排;所述装置应用于SDN控制器,包括:
接收模块,用于接收所述安全编排及控制器发送的安全服务路径;所述安全服务路径为执行安全任务的各个节点组成的路径,所述节点包括目标虚拟机;
处理模块,用于根据所述安全服务路径,确定转发表项,并将所述转发表项分发给所述各个节点。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810933932.XA CN108900551A (zh) | 2018-08-16 | 2018-08-16 | Sdn/nfv网络安全防护方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810933932.XA CN108900551A (zh) | 2018-08-16 | 2018-08-16 | Sdn/nfv网络安全防护方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108900551A true CN108900551A (zh) | 2018-11-27 |
Family
ID=64354964
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810933932.XA Pending CN108900551A (zh) | 2018-08-16 | 2018-08-16 | Sdn/nfv网络安全防护方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108900551A (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109542630A (zh) * | 2019-01-29 | 2019-03-29 | 中国人民解放军火箭军工程大学 | 一种基于容器云的机动通信网网络功能虚拟化平台 |
| CN109617873A (zh) * | 2018-12-06 | 2019-04-12 | 中山大学 | 一种基于sdn云安全功能服务树模型的流量攻击防御系统 |
| CN110022360A (zh) * | 2019-03-27 | 2019-07-16 | 宁波大学 | 一种基于软件定义网络架构的工业物联网系统 |
| CN110532063A (zh) * | 2019-08-13 | 2019-12-03 | 南京芯驰半导体科技有限公司 | 一种同时支持总线虚拟化和功能安全的系统及方法 |
| CN111510428A (zh) * | 2020-03-09 | 2020-08-07 | 联通(广东)产业互联网有限公司 | 安全资源运维平台系统及管控方法 |
| CN111683074A (zh) * | 2020-05-29 | 2020-09-18 | 国网江苏省电力有限公司信息通信分公司 | 一种基于nfv的安全网络架构和网络安全管理方法 |
| CN111901154A (zh) * | 2020-07-04 | 2020-11-06 | 烽火通信科技股份有限公司 | 基于nfv的安全架构系统和安全部署及安全威胁处理方法 |
| CN112101394A (zh) * | 2019-06-18 | 2020-12-18 | 中国移动通信集团浙江有限公司 | 供应商分域部署方法、装置、计算设备及计算机存储介质 |
| CN113407949A (zh) * | 2021-06-29 | 2021-09-17 | 恒安嘉新(北京)科技股份公司 | 一种信息安全监控系统、方法、设备及存储介质 |
| CN113810344A (zh) * | 2020-06-15 | 2021-12-17 | 中国电信股份有限公司 | 安全编排系统、设备、方法以及计算机可读存储介质 |
| CN115174137A (zh) * | 2022-05-23 | 2022-10-11 | 重庆移通学院 | 一种基于云边端协作的安全功能虚拟化系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105704087A (zh) * | 2014-11-25 | 2016-06-22 | 甘肃省科学技术情报研究所 | 一种基于虚拟化实现网络安全管理的装置及其管理方法 |
| US20160344507A1 (en) * | 2015-05-21 | 2016-11-24 | Sprint Communications Company L.P. | OPTICAL COMMUNICATION SYSTEM WITH HARDWARE ROOT OF TRUST (HRoT) AND NETWORK FUNCTION VIRTUALIZATION (NFV) |
| CN107786517A (zh) * | 2016-08-30 | 2018-03-09 | 中国电信股份有限公司 | 云安全业务的部署方法、系统以及安全控制系统 |
| CN108092934A (zh) * | 2016-11-21 | 2018-05-29 | 中国移动通信有限公司研究院 | 安全服务系统及方法 |
-
2018
- 2018-08-16 CN CN201810933932.XA patent/CN108900551A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105704087A (zh) * | 2014-11-25 | 2016-06-22 | 甘肃省科学技术情报研究所 | 一种基于虚拟化实现网络安全管理的装置及其管理方法 |
| US20160344507A1 (en) * | 2015-05-21 | 2016-11-24 | Sprint Communications Company L.P. | OPTICAL COMMUNICATION SYSTEM WITH HARDWARE ROOT OF TRUST (HRoT) AND NETWORK FUNCTION VIRTUALIZATION (NFV) |
| CN107786517A (zh) * | 2016-08-30 | 2018-03-09 | 中国电信股份有限公司 | 云安全业务的部署方法、系统以及安全控制系统 |
| CN108092934A (zh) * | 2016-11-21 | 2018-05-29 | 中国移动通信有限公司研究院 | 安全服务系统及方法 |
Non-Patent Citations (1)
| Title |
|---|
| 陈兴蜀等: "虚拟网络环境下安全服务接入方法", 《华中科技大学学报(自然科学版)》 * |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109617873A (zh) * | 2018-12-06 | 2019-04-12 | 中山大学 | 一种基于sdn云安全功能服务树模型的流量攻击防御系统 |
| CN109542630A (zh) * | 2019-01-29 | 2019-03-29 | 中国人民解放军火箭军工程大学 | 一种基于容器云的机动通信网网络功能虚拟化平台 |
| CN110022360A (zh) * | 2019-03-27 | 2019-07-16 | 宁波大学 | 一种基于软件定义网络架构的工业物联网系统 |
| CN112101394B (zh) * | 2019-06-18 | 2024-03-22 | 中国移动通信集团浙江有限公司 | 供应商分域部署方法、装置、计算设备及计算机存储介质 |
| CN112101394A (zh) * | 2019-06-18 | 2020-12-18 | 中国移动通信集团浙江有限公司 | 供应商分域部署方法、装置、计算设备及计算机存储介质 |
| CN110532063A (zh) * | 2019-08-13 | 2019-12-03 | 南京芯驰半导体科技有限公司 | 一种同时支持总线虚拟化和功能安全的系统及方法 |
| CN110532063B (zh) * | 2019-08-13 | 2022-04-01 | 南京芯驰半导体科技有限公司 | 一种同时支持总线虚拟化和功能安全的系统及方法 |
| CN111510428A (zh) * | 2020-03-09 | 2020-08-07 | 联通(广东)产业互联网有限公司 | 安全资源运维平台系统及管控方法 |
| CN111683074A (zh) * | 2020-05-29 | 2020-09-18 | 国网江苏省电力有限公司信息通信分公司 | 一种基于nfv的安全网络架构和网络安全管理方法 |
| CN113810344A (zh) * | 2020-06-15 | 2021-12-17 | 中国电信股份有限公司 | 安全编排系统、设备、方法以及计算机可读存储介质 |
| CN113810344B (zh) * | 2020-06-15 | 2023-07-18 | 中国电信股份有限公司 | 安全编排系统、设备、方法以及计算机可读存储介质 |
| CN111901154A (zh) * | 2020-07-04 | 2020-11-06 | 烽火通信科技股份有限公司 | 基于nfv的安全架构系统和安全部署及安全威胁处理方法 |
| CN113407949A (zh) * | 2021-06-29 | 2021-09-17 | 恒安嘉新(北京)科技股份公司 | 一种信息安全监控系统、方法、设备及存储介质 |
| CN115174137A (zh) * | 2022-05-23 | 2022-10-11 | 重庆移通学院 | 一种基于云边端协作的安全功能虚拟化系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108900551A (zh) | Sdn/nfv网络安全防护方法及装置 | |
| CN103930882B (zh) | 具有中间盒的网络架构 | |
| CN110971584B (zh) | 针对虚拟网络生成的基于意图的策略 | |
| US8102781B2 (en) | Dynamic distribution of virtual machines in a communication network | |
| US11588708B1 (en) | Inter-application workload network traffic monitoring and visuailization | |
| US11558426B2 (en) | Connection tracking for container cluster | |
| CN104521199B (zh) | 用于分布式虚拟交换机的适应性方法、装置以及设备 | |
| CN105531970B (zh) | 用于在网络中部署工作负荷的方法和系统 | |
| CN107431657A (zh) | 用于流分析的分组标记的方法 | |
| EP2774048B1 (en) | Affinity modeling in a data center network | |
| EP3934206B1 (en) | Scalable control plane for telemetry data collection within a distributed computing system | |
| CN103368768A (zh) | 混合云环境中具有启发式监视的自动缩放网络覆盖 | |
| KR20150105421A (ko) | 네트워크 장치에 대한 네트워크 기능 가상화 | |
| US11611517B2 (en) | Tenant-driven dynamic resource allocation for virtual network functions | |
| WO2018197924A1 (en) | Method and system to detect virtual network function (vnf) congestion | |
| CN108604997A (zh) | 用于对差异化服务编码点(dscp)和显式拥塞通知(ecn)的监视进行配置的控制平面的方法和设备 | |
| CN108989071B (zh) | 虚拟服务提供方法、网关设备及存储介质 | |
| CN108604999A (zh) | 用于监视差异化服务编码点(dscp)和显式拥塞通知(ecn)的数据平面方法和设备 | |
| CN108512779A (zh) | 控制信息传递方法、服务器和系统 | |
| Abdelaziz et al. | Survey on network virtualization using openflow: Taxonomy, opportunities, and open issues | |
| Vilalta et al. | Experimental validation of resource allocation in transport network slicing using the ADRENALINE testbed | |
| CN106169969A (zh) | 建立虚拟专用网标签交换路径方法、相关设备和系统 | |
| CN109462535A (zh) | 一种报文处理方法及装置 | |
| Xu | A Study on Efficient Service Function Chain Placement in Network Function Virtualization Environment | |
| US11831511B1 (en) | Enforcing network policies in heterogeneous systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181127 |
|
| RJ01 | Rejection of invention patent application after publication |