CN109219949B - 在网络功能虚拟化基础结构中配置安全域的方法和设备 - Google Patents
在网络功能虚拟化基础结构中配置安全域的方法和设备 Download PDFInfo
- Publication number
- CN109219949B CN109219949B CN201680086157.8A CN201680086157A CN109219949B CN 109219949 B CN109219949 B CN 109219949B CN 201680086157 A CN201680086157 A CN 201680086157A CN 109219949 B CN109219949 B CN 109219949B
- Authority
- CN
- China
- Prior art keywords
- virtual object
- location
- vnf
- information
- virtual
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 28
- 230000006870 function Effects 0.000 claims description 55
- 238000012545 processing Methods 0.000 claims description 22
- 238000000926 separation method Methods 0.000 claims description 8
- OOXMVRVXLWBJKF-DUXPYHPUSA-N n-[3-[(e)-2-(5-nitrofuran-2-yl)ethenyl]-1,2,4-oxadiazol-5-yl]acetamide Chemical compound O1C(NC(=O)C)=NC(\C=C\C=2OC(=CC=2)[N+]([O-])=O)=N1 OOXMVRVXLWBJKF-DUXPYHPUSA-N 0.000 claims 17
- 238000004590 computer program Methods 0.000 abstract description 10
- 230000008901 benefit Effects 0.000 abstract description 5
- 238000007726 management method Methods 0.000 description 10
- 230000009471 action Effects 0.000 description 7
- 238000013475 authorization Methods 0.000 description 6
- 230000006399 behavior Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 230000002730 additional effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000010367 cloning Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000013508 migration Methods 0.000 description 1
- 230000005012 migration Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 238000010079 rubber tapping Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5061—Partitioning or combining of resources
- G06F9/5077—Logical partitioning of resources; Management or configuration of virtualized resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0895—Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/63—Location-dependent; Proximity-dependent
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Stored Programmes (AREA)
- Storage Device Security (AREA)
Abstract
公开了一种用于在网络功能虚拟化基础结构中配置安全域SD的方法、布置(50;60)和计算机程序。SD包括处置特权信息的虚拟对象。基于来自与SD关联的群体的输入来获得(S310,402)虚拟对象的NS实例信息。针对机密性的级别和地理位置信息搜索(S312,404)NS实例信息。当已识别机密性的级别和地理位置信息时,基于机密性的级别和群体的特定角色,根据地理位置信息将虚拟对象分配(S314,406)到SD。优点在于基于群体的特定角色,允许或准予到SD的访问。
Description
技术领域
本公开涉及一种网络功能虚拟化基础结构。更具体地,它涉及一种用于在网络功能虚拟化基础结构中配置安全域的方法、设备和计算机程序。
背景技术
电信网络包含增加的各种各样的专有硬件装置。如图1中图示的每个网络服务可能需要分离的硬件器具。
此外,基于硬件的器具遵循越变越短的硬件寿命,从而在越来越网络中心的世界中降低部署新服务的投资收益。
作为网络运营商引领的产业规范组,网络功能虚拟化(NFV)旨在克服技术挑战,因此通过演进标准因特网技术(IT)虚拟化技术来将很多网络设备类型巩固到产业标准的大量服务器、交换机和存储设备上。
NFV涉及实现能够在一定范围的产业标准服务器硬件上运行的软件中的网络功能,NFV能够按需要被移动到或者被实例化在网络中的不同位置,而无需安装新设备。通过引入虚拟化层,NFV去耦合来自计算、存储和组网资源的网络功能的软件实现。虚拟化网络功能(VNF)具有弹性缩放的能力来执行装置的启动、容量规划和管理。此能力变得更加复杂并且需要特定的解决方案。预想的是,NFV将会对未来电信支持系统的设计产生显著的影响。
当网络运营商给基础结构定尺寸或者操作基础结构时,可能必须将被虚拟化的多个软件元素之间的互依赖性考虑在内。
网络功能(NF):在具有明确定义的外部接口和明确定义的功能行为的网络基础结构内的功能块(FB)。
网络服务(NS):由它的描述符文件描述,并且由NFV编排器(NFVO)来编排。NS可涵盖一个或多个VNF图表(graph)、VNF和物理网络功能(PNF)。
网络服务描述符(NSD):具有如下面定义的静态信息元素。它由NFVO用于实例化NS,NS将由一个或多个VNF转发图表(forwarding graph)、VNF、PNF和虚拟链路(VL)形成。NSD也描述NS的部署偏好(flavor)。
虚拟链路描述符(VLD):提供每个VL的描述。此类型的信息可由NFVO用于确定VNF实例的合适的放置。此类型的信息也可由负责管理选择放置的虚拟化资源的虚拟化基础结构管理器(VIM)用于确定具有足够的网络基础结构的主机上需要的虚拟化资源的分配。
VIM或另一网络控制器也能够使用此信息来建立合适的路径和虚拟局域网(VLAN)。VLD描述连接到此VL的一个或多个VNF之间的连接性的基础拓扑以及其它需要的参数(例如,带宽和服务质量(QoS)等级)。VLD连接参数被期望具有与VNF上的端口上使用的那些属性相似的属性。
虚拟链路(VL):表示由两个或更多连接点之间的VNF厂商托管的网络连接性的类型。
连接点(CP):此元素描述通过此VNF启用与VL的连接而暴露的外部接口。
虚拟机(VM):表现得非常像物理计算机/服务器的虚拟化计算环境。
虚拟化网络功能(VNF):构成NF的整体或部分并且能够被部署在虚拟化基础结构上的可执行软件程序的实现。它由它的描述符文件来描述,由VNF管理器或NFVO来实例化。
VNF由称为VNF组件(VNFC)的若干软件组件组成,并且VNFC实例映射到NFVI虚拟容器,例如VM。为了实例化由VNF定义的虚拟网络功能,VNF管理器可创建一个或多个VNFCI,其中每个VNFCI自己本身是虚拟化容器或VM。
VNF转发图表(VNF-FG):由它的描述符文件来描述,由NFVO来编排;可涵盖VNF-FG、VNF和NF。
VNF实例(VNFI):VNF的运行时间实例化,由完成VNF的实例化而产生,使用VNF描述符(VNFD)中捕捉的VNF部署和可操作信息以及额外的运行时间实例特定的信息和约束。
虚拟化部署单元(VDU):能够在信息模型中使用的构造,支持VNF的子集或者整个VNF(如果它不被组件化成子集的话)的部署以及可操作行为的描述。
图2示意地图示网络功能虚拟化管理和编排架构的一个示例。大体上,管理和编排架构包括NFV编排器(NFVO)和VIM,每个具有对VNF管理器的参考点。操作支持系统/业务支持系统(OSS/BSS)具有对NFVO的参考点,以及对元素管理系统(EMS)的另一参考点,EMS又具有对VNF管理器的一个参考点以及对VNF的另一参考点。VNF具有对VNF管理器的参考点以及对NFV基础结构的另一参考点。NFV基础结构具有对VIM的参考点,VIM具有对NFVO的另一参考点。
电信系统可由在不同物理硬件上操作的不同物理实例组成。本文中每个计算实例表示节点的组件以及节点的组件全体,节点是电信系统;即物理网络功能(PNF)或虚拟化网络功能(VNF)。
复杂系统,像电信系统,当被虚拟化时可被映射到多于一个虚拟机。在单个服务器硬件上,多于一个节点组件可在分离的虚拟机中运行并且很多虚拟机可在云数据中心内的服务器硬件上运行。
当设计虚拟基础结构服务时,管理员考虑单独虚拟机的结构以及环境中的虚拟机之间的交互两者(在例如当它们上线、移动以及失效时)。
VNF的不同组件可在不同的VM中运行。取决于VM中运行的软件,VM可以是不同的类型。根据VNF的组件所负责的功能的类型,可将VM分组。在实现组件的VM的每个组内,一个或多个能够随时有效。
具有虚拟化基础结构的云可具有管理员的分层。例如,虚拟化基础结构的管理员可具有特权,其大于或等于可在系统上执行的虚拟功能的任何管理员的特权。
对于VNF组件之间、VNF组件和存储之间的通信以及与外部VNF的通信,有关联的是,管制谁能够控制和操作虚拟链路,尤其是VNF组件和存储位于哪。
当考虑到隐私问题和/或国家规定时,协议跟踪和端口镜像备份(portmirroring)是关键的,并且如果没有任何限制而在虚拟环境中被执行,则它们可能影响传递的信息的安全性。
端口镜像备份可例如在网络交换机上被用于将一个交换机端口或者整个虚拟局域网(VLAN)上见到的网络分组的副本发送到监测另一交换机端口上的网络镜像备份连接。
协议跟踪指的是滤波、捕捉、存储、解码和呈现协议信息的可能性。
文件传输也可基于操作和维护(O&M)角色而必须受制于鉴别,其中一些文件可能比其它文件更敏感,以及流传播可能受制于像官方之类的超级用户。
取决于由国家规定和法律提出的要求,云服务供应商(CSP)可能需要在国家界限内处置和存储数据。
欧洲电信标准协会(ETSI)的NFV的基于角色的访问控制(RBAC)模型大体上指示安全域(SD)可与其它域分开定义。
在本文中,安全域(SD)指敏感数据。
然而,尚未解决如何令SD数据仅对合法群体可见。因此,存在对于当处置敏感数据时规避或至少减少问题的改进的解决方案的需求。
发明内容
本文的示范性实施例的目标是解决上文概述的问题中的至少一些并且防止对SD数据的未授权访问。此目标和其它目标由能够配置安全域的设备、因此根据所附的独立权利要求的方法和计算机程序、以及由根据从属权利要求的示范性实施例来实现。
根据一方面,示范性实施例提供一种用于在网络功能虚拟化基础结构(NFVI)中配置安全域(SD)的方法。SD由网络功能虚拟化编排器(NFVO)以及虚拟化基础结构管理器(VIM)来控制。NFVO和VIM被连接到虚拟化网络功能管理器(VNFM)。SD包括处置特权信息的虚拟对象。方法包括基于来自与SD关联的群体的输入,从NFVO或VNF管理器获得虚拟对象的网络服务(NS)实例信息。方法也包括在NS实例信息中搜索机密性的级别和地理位置信息。此外,方法包括当已识别机密性的级别和地理位置信息时,基于机密性的级别和群体的特定角色,根据地理位置信息将虚拟对象分配到SD。
根据另一方面,示范性实施例提供能够在网络功能虚拟化基础结构(NFVI)中配置安全域(SD)的设备。SD由网络功能虚拟化编排器(NFVO)以及虚拟化基础结构管理器(VIM)来控制,其中NFVO和VIM与虚拟化网络功能管理器(VNFM)关联。SD包括处置特权信息的虚拟对象。设备具有处理电路和存储器电路。存储器电路具有由处理器电路可执行的指令。处理电路当执行指令时被配置成基于来自与SD关联的群体的输入,从NFVO或VNF管理器获得虚拟对象的网络服务NS实例信息。处理电路当执行指令时也被配置成在NS实例信息中搜索机密性的级别和地理位置信息。此外,处理电路当执行指令时也被配置成当已识别机密性的级别和地理位置时,基于机密性的级别和群体的特定角色,根据地理位置信息将虚拟对象分配到SD。
根据另外的方面,目标也由计算机程序以及包括在其上存储计算机程序的计算机可读储存介质的计算机程序产品来实现。
所描述的示例和实施例具有下面的优点以及优选特征中的一个或多个:
基于群体的特定角色,允许或准予到SD的访问是有利的。
通过配置SD并且使SD服从数据流,VNF中的数据可被安全地提取。
VNF对象的界限被安全地定位。
通过验证对象的机密性的级别、位置参数配置、授权和访问角色分层来促进侵害检测。
一旦位置信息被保护,便可定义位置验证改变算法也是一个有利的特征。
附图说明
现将更详细地并且参考附图来描述实施例,在附图中:
图1示意地图示端到端网络服务(NS)的网络功能虚拟化组件;
图2示意地图示网络功能虚拟化管理以及编排架构;
图3示意地呈现根据本公开的示例的握手图解;
图4A和4B呈现根据一些实施例,用于配置安全域的方法的动作;以及
图5和6示意地呈现根据本公开的一些实施例,能够配置安全域的设备。
具体实施方式
在以下描述中,将更详细地参考附图来描述示范性实施例。出于解释而非限制的目的,阐述了诸如具体示例和技术的特定细节以便提供透彻的理解。
因此存在对于解决或至少减少如何防止SD数据对另一域的其它管理员或用户可见的问题的解决方案的需求。
如指示的,本文的敏感数据被称作安全域(SD),所述数据相比安全域之外的数据,应以不同的方式来对待。
信息泄露可从安全域中的存储和/或任何VNF组件发生。这些可能要被保护并且仅对授权的群体允许访问。
基于客户需求,提议的是,虚拟化基础结构的管理员仅应享受低于至少一些虚拟化功能的运营商的特权。
具体地,一些对象应仅由具有正当授权级别的职员来访问和修改。
授权的用户访问在服务网络内应可配置成访问物理或逻辑端口。因此用户访问应被密码保护。
仅具有特定角色的授权群体或职员应能够访问和修改一些虚拟化对象。
通过访问限制的使用,仅授权群体、网络实体或远程设备应能够查看或操纵安全域的数据和虚拟化对象。
尤其,限制对携带SD信息的链路的访问将是重要的。
跟踪框架可能必须被限制并且应仅由授权用户或职员来为SD信息激活。
跟踪文件或者跟踪流传播到外部系统的传输也将必须是安全的。
流传播到外部存储的跟踪应优选是安全的。
此外,要在SD中使用的VM镜像(image)也应优选在SD存储中被保护(例如逐个地),或者在其中整个存储都位于SD的SD中被保护。
日志文件也应优选地在SD存储中被保护(逐个地),或者在其中整个存储都位于SD的SD中被保护。
此外,对象的所有动作应优选被记录,并且将时间和用户信息关联到所创建的记录。
因此,本公开涉及如何以安全和授权的方式提取数据并且控制用于安全域的所有VNF对象的位置。
对于VNF和虚拟存储(VS)的实例,与安全域中涉及的任何对象关联的位置信息应被报告和保护。
仅具有正当访问权利的群体应能够访问和修改这样的信息。这是正确的,尤其针对决不应被存储在国土界限之外的位置中的SD信息。这通常由国家法律和规定来定义,并且限制能够应用在其中此数据被存储或运输之处。
尤其,如果分层授权被应用于MANO管理员,则管理员可具有相比用户的许可更高的许可。特别地,如果管理员和云管理员处于分离的分层中,则其他云管理员将具有SD管理员和/或SD用户的许可。
此外,位置信息尚不可用于SD功能中涉及的虚拟化对象。可存在一些应用,对于这些应用,在不可能将位置限制到特定国家的情况下,使用用于存储或传输SD敏感信息的虚拟化对象。
由于恶意尝试或由于VNF到不同数据中心(例如国家边界之外)中的迁移,一旦SD被配置成用于特定虚拟化对象,则不可能确定在SD操作的操作期间是否已被改变一些VNFCI位置。
此后,本公开提供通过在虚拟化环境中使用特定安全域和操作来防止对SD数据的任何未授权的访问的手段。
本文提议了要被关联到虚拟化对象的两条新信息以便实施SD的配置。
这几条新信息由对象的“机密性的级别”和所述对象的位置组成。这几条新信息或属性被需要用于包含SD敏感信息的对象。这将使得例如验证VNFCI当前位于还是已被移动到国家边界之外的物理位置成为可能。
图3示意地呈现用于在网络功能虚拟化基础结构(NFVI)中配置SD的握手图解。根据本公开的示例,SD由网络功能虚拟化编排器(NFVO)302以及虚拟化基础结构管理器(VIM)306来控制。NFVO和VIM被连接到虚拟化网络功能(VNF)管理器304。SD包括可处置特权或敏感信息的虚拟对象。因此信令在NFVO 302和VIM 306之间被执行。
在握手图解的动作S310中,基于来自与SD关联的群体的输入,虚拟对象的网络服务(NS)信息从NFVO被发送到VIM。
在动作S312中,执行了在NS实例信息中搜索机密性的级别和地理位置信息。
在动作S314中,VIM正在执行:当已识别机密性的级别和地理位置信息时,基于机密性的级别和群体的特定角色,根据地理位置信息将虚拟对象分配到SD。
动作S310可备选地包括基于来自与SD关联的群体的输入,将虚拟对象的NS信息从VNF管理器(304)发送到VIM。
此外,可列出的某些对象和操作可能需要使用机密性和地理位置信息以基于以角色为基础的访问控制(RBAC)来实现安全域。
提议了一种新颖的管理功能性来避免能够在SD域中使用的任何对象由除了SD群体之外的任何人访问。功能性可使用新的属性并且可被描述为“具有属性的RBAC功能性”为了识别具有特定安全性约束的对象,进行了以下观测。
可包括敏感信息的虚拟或物理对象可与新属性以及新位置属性关联,新属性指示对象的机密性的级别,新位置属性指示其中对象位于或被存储的国家领土。
与VIM中的虚拟对象关联的位置信息属性值可由系统用于允许仅位于特定位置域(即国家领土)的资源被使用在与请求的SD服务关联的任何功能的定义中。
SD和它的访问权利应使得它们允许应用以及位置属性的实施。
事实上,诸如虚拟链路或存储对象的任何对象可被包含在VNF定义中,仅链路或存储属于所允许的位置。此前可实施特定的过滤来允许仅符合请求的位置特性的对象被用于分配VNF。
安全域可优选地以如下的方式来定义使得一个域的用户应完全与其他分离,以便实施增加安全性的职责的分离。
用于从数据流或虚拟连接提取和复制SD拦截数据的命令可由属于SD群体分层的群体来操作。
捕捉或只接收SD通信量需要特殊处置;连接将必须是安全的并且不可访问到除了具有正当授权的群体之外的任何人。SD群体应能够独立于其它云群体来访问和配置网络连接并且因而不将它们暴露于安全性风险。
SD应被配置使得仅属于SD域的群体能够见到和配置SD网络功能的部署中使用的受保护的网络连接;如果这不被进行则这将成为安全性的妨碍。
SD也可实施职责的分离(SOD),事实上优选的是定义不同的管理员/用户简况以将虚拟对象的常规网络连接和VNFC实例的管理员与VNF“受保护的”虚拟对象的管理员分离。此管理员/用户简况是可使用正当O&M接口作用于VNF的唯一简况。
访问模型应以这样的方式来定义使得一个域的群体应与另一域的其它群体完全分离。
除了地理位置属性以及连接到那个地理位置属性的角色,可使用额外的角色作为用于访问安全性敏感对象的角色分层的基础。可仅由具有某些角色的群体来作用于具有被分类的机密性的级别的对象。SD角色可以是读取或修改这些属性的唯一角色。
提议额外的角色可以是完全分离的分层的一部分以便避免以下风险:管理员角色创建能够被指派SD管理角色的用户或者创建不具有正当授权的SD用户。
事实上,如果角色分层不被分离或者角色特权是继承的,则管理员角色能够创建能够被指派能够绕过安全性约束的SD管理角色或SD用户角色的群体,或者在角色继承特权的情况下,则管理员能够充当SD管理员或SD用户并且因此作用于分类的对象。
作为备选,云管理员角色和云SD管理员角色可被指派到具有已被应用于此级别的SOD的一个群体。这意指甚至云管理员也不可对敏感对象执行任何动作,甚至不可列出(只读取)。
此后呈现了最小角色分层的一个示例。额外的角色可扩展分层(只要服从安全性原则)。
可被考虑的示例操作是在对象上操作的创建、读取、更新和删除(CRUD)。这包括很多变体,例如数据流的克隆应被认为是操作的“创建”类型,并且类似于其它指定的操作。
涉及的对象可以是VL、VNF、VNFC、VNFCI、虚拟机镜像、VS、vTap和/或vFEP,无论何时它们都用于实现SD功能。
云管理员将具有创建租客管理员的许可。
租客管理员将具有在标准数据中心域中创建租客用户的许可。
租客用户将具有创建除了SD保护的对象之外的CRUD对象的许可。
以及特别地,云管理员SD,即云的安全域中的管理员将具有创建SD租客管理员(即租客的安全域的管理员)的许可。
SD租客管理员将具有在SD域中创建租客用户的许可。对于额外的安全性,对于每个租客在任何时候,应该仅启用一个管理员。
因此,SD租客用户将具有对该特定租客的CRUD SD保护的对象的许可。
SD租客角色或群体仅支持受限的分层,即仅对于该租客的分层。这样的限制可被实现为树分层。
除了以上提及的角色或群体,职责的分离(SOD)也可被应用于SD。
通常地,作为分层中(例如树图表示中的)较高角色的高级角色,通常将会从分层中的初级角色或较低级角色继承对操作的许可。当应用SOD时,这不被允许。
例如,用户可具有在对象上执行CRUD操作的许可。
然而,管理员将仅具有在用户而不是在对象上执行CRUD操作的许可。
相似地,SD租客用户将具有在SD对象上执行CRUD操作的许可。
然而,SD管理员将不能够如角色继承将允许的那样,在对象上执行CRUD操作,而仅能够在SD租客用户上执行CRUD操作。
对授权的群体许可而因此作用于SD域的SD操作不作用于VIM域,但在应用级别操作将需要与基础结构操作相一致。被允许执行这样的动作的应用用户可以可优选地与被允许在虚拟基础结构上执行修改的云用户对齐。应用用户优选地与云用户对齐。
图4A和4B呈现根据本公开的一些示例,用于在NFVI中配置安全域的方法的动作。SD由网络NFVO(302)和VIM(306)控制,其中NFVO和VIM被连接到VNFM(304)。SD包括处置特权信息的虚拟对象。示例因此包括以下动作。
图4A中图示的是:
在动作402中,基于来自与SD关联的群体的输入,对于虚拟对象,网络服务(NS)实例信息正从NFVO或VNF管理器被获得。
动作404,NS实例信息正针对机密性的级别和地理位置信息而被搜索。
动作405,确定是否在NS实例信息中识别了机密性的级别和地理位置信息。
动作406:如果已根据NS实例信息识别了机密性的级别和地理位置信息,即当动作405回答为“是”,则基于机密性的级别和群体的特定角色,根据地理位置信息将虚拟对象分配到SD。
动作407:如果没有根据NS实例信息识别机密性的级别和地理位置信息,即当动作405回答为“否”,则没有分配到SD的操作能够被执行。
示例也可包括以下动作:
在动作408中,为群体授权对在虚拟对象上的一组操作的访问可被执行,其中在群体角色的分层中,操作基于群体的特定角色。
群体角色的分层可包括一个或多个用户角色以及一个或多个管理员角色的分层。
一组操作可包括以下中的任一项:分配VNF、执行网络或存储请求以及更新或查询分配的资源。
基于对在虚拟对象上的哪些操作的访问被授权,职务的分离被应用于包括群体的特定角色的群体角色的分层。
获得NS实例信息可包括分配来自NFVO或来自VNF管理器的NS实例信息。
被分配到SD的虚拟对象可包括以下中的任一项:虚拟链路、VNF、VNF组件、VNF组件实例、虚拟存储、虚拟机、虚拟机镜像、vTap和vFEP。
根据一个情形A,可执行另外的动作。
动作410:可从NFVO或VNF管理器接收资源选择输入,所述资源选择输入具有资源的位置属性。
在动作412中,然后确定位置属性是否指示NS实例信息的地理位置信息内的位置。
动作414:如果用“是”回答动作412,即位置属性指示NS实例的地理位置信息内的位置,则允许将资源分配到NS的VNF。
被允许分配到VNF的资源可包括存储资源或虚拟链路。
动作416:然而如果用“否”回答动作412,即位置属性不指示NS实例信息的地理位置信息内的位置,则没有资源的分配被执行。
在图4B中还图示了另外的或备选的情形B。本文中可执行另外的动作。
动作418:可从NFVO或VNF管理器接收用于另外的虚拟对象的选择输入,其中选择输入包括另外的虚拟对象的机密性的级别以及另外的对象的位置属性。
在动作420中,然后可确定位置属性是否指示NS实例信息的地理位置信息内的位置。
动作422:如果用“是”回答动作420,即另外的虚拟对象的位置属性指示NS实例信息的地理位置信息内的位置,则基于群体的特定角色,根据如选择输入中包括的机密性的级别,将另外的虚拟对象分配到NS。
动作424:然而如果用“否”回答动作422,即位置属性不指示NS实例信息的地理位置信息内的位置,则没有虚拟对象的分配能够被执行。方法还可包括检查第二虚拟对象的以及用于访问第二虚拟对象的第二虚拟链路的位置属性指示第二位置在所接收的NS实例的地理位置信息中指示的管辖区域的边界之内还是之外,其中第二虚拟对象被分配到现有的VNF。方法还可包括当第二虚拟对象的以及用于访问第二虚拟对象的第二虚拟链路的所述位置属性指示第二位置在管辖区域的所述边界之内时,基于特权群体的角色,由角色的分层中的特权群体将SD配置成允许合法拦截(LI)。
情形A和情形B可以是排他的,但可备选地按顺序或并行地被执行。
本公开也包括被配置的计算机程序,其当在计算机上运行时,执行如以上描述的方法。
本公开还包括计算机程序产品,其包括计算机可读存储介质以及以上的计算机程序。计算机程序可被存储在计算机可读存储介质上。
VNF的创建可被修改成将后续能够添加SD处置考虑在内。为了使节点服从SD,其中可存储数据的所有存储应在诸如国家界限的某地理位置内。作为备选,当添加SD功能时可进行确定。这意指位置应被发送到VIM并且基础结构将必须确保具体存储要被使用以及访问它的路径在诸如国家界限的地理位置内(如由给出的位置参数指示的)。
通过更新资源选择输入(由VNFM或NFVO发送到VIM)中的位置参数,诸如节点的新资源可被添加到功能,或者VNF可被迁移在它的组件中。
方法还可包括从NFVO或VFN管理器接收418指示按比例缩小(scaling down)用于SD的资源的选择输入,以及擦除用于SD的资源上存储的数据,以先于所述资源的释放而被移除。
如果用于SD的存储要被移除,则在其上存储的数据可能必须在释放前被擦除。如果按比例缩小包含位置参数,则这可能是强制性的。
在包含SD数据的VNFCI失效的情况中,一旦再实例化,VNFC应仅在未改变的位置内被实例化。这可通过在资源选择输入(由VNFM或NFVO发送到VIM)中添加位置参数来解决。
在存储要被移除的情况中,包括在其中的数据将必须在释放前被擦除。当VNFC包含位置参数时,这可被添加为强制性的行为。
涉及VNFCI的所有链路可被再指派有对潜在篡改的特别关注。
被用于在被指派到SD的VNF中实例化VNFC的VM镜像也可被保护免受篡改。
如果由国家规管官方请求,则新的虚拟链路可在同一个位置内被添加。这可通过在资源选择输入(可由VNFM或NFVO发送到VIM)中添加位置参数来执行。分接(tapping)链路可有效地避免以上这个(如果通行中的数据被允许跨越国家界限的话)。
如果对象位于多于一个领土,则可返还位置信息的列表而不是单个位置信息。诸如全球定位系统(GPS)设置的地理信息可被包含。
不是SD的一部分的现有操作可由SD来实施。因此,跟踪和分接功能的创建或修改将仅对SD用户许可。
新的虚拟对象可被添加到SD。
收集地理信息的特定对象的示例是地理位置对象(包含同等物)以及地理位置对象的列表。
具有特定安全性约束的对象可由以下来识别:
包括敏感信息的对象类型可具有指示对象的机密性的级别的第一属性以及第二属性—位置,其指示其中对象所位于或被存储的国家领土。
指向与VIM中的虚拟对象关联的地理对象的列表的位置信息属性可由系统用于允许仅位于特定位置域(即国家领土)的资源被使用于与在SD中应用的服务关联的任何功能的定义中。
SD与所关联的访问权利应使得应可能实施网络服务和链路定位。事实上,诸如虚拟链路或存储对象的任何对象将仅被包含在VNF定义中(如果它属于所允许的位置的话);可在系统中实施特定的过滤使得仅符合请求的位置特性的对象能够被用于分配VNF。
本公开可实现以下:
安全域(SD)不能够由其它域的管理员或用户访问。定义管理员和用户的功能属于此安全域。
如果数据的定位被实施,位置信息可被包含在对象中并且仅由授权的群体可见并且可修改以便避免数据向禁止位置的变向或篡改。
根据一个示例,复制功能可被应用于指示外出方向中的不同端点的虚拟链路,并且指示哪个功能将朝向安全SD收集端点仅转发安全性敏感内容。
SD不应对除了属于该SD的群体之外的诸如用户和管理员的任何人可见。
除了由属于SD的管理员和用户配置的装置,由任何vTap、vFEP或任何其它捕捉装置对潜在地携带SD数据的数据流的访问可被否认。
根据一个示例,来自诸如系统的用户或管理员的未授权的群体的访问尝试可在具有记录的尝试数量的特殊安全性日志中被跟踪,并且如果尝试数量超过某阈值,则未授权的群体的账户将必须被禁用。
可以这样的方式来执行VL的创建以便实施:由物理链路构成的底层(underlay)不跨越国家或法规边界。
图5示意地呈现根据本公开的一些实施例,能够在NFVI中配置安全域的设备50。SD由NFVO和VIM来控制,其中NFVO和VIM与VNF管理器(VNFM)关联。SD包括处置特权信息的虚拟对象。设备50包括处理电路52和存储器电路54,其中存储器电路具有由处理器电路可执行的指令。处理电路52当执行指令时被配置成基于来自与SD关联的群体的输入,从NFVO或VNF管理器获得虚拟对象的网络服务(NS)实例信息。处理电路52当执行指令时还被配置成在NS实例信息中搜索机密性的级别和地理位置信息。此外,处理电路52当执行指令时还被配置成当已识别机密性的级别和地理位置时,基于机密性的级别和群体的特定角色,根据地理位置信息将虚拟对象分配到SD。
处理电路52当执行指令时还可被配置成为群体授权对在虚拟对象上的一组操作的访问,其中在群体角色的分层中,操作基于群体的特定角色。
对于设备,群体角色的分层可包括一个或多个用户角色以及一个或多个管理员角色的分层。
对于设备,一组操作可包括以下中的任一项:分配VNF、执行网络或存储请求以及更新或查询分配的资源。
对于设备,职务的分离可被应用于群体角色的分层。
处理电路52当执行指令时可被配置成分配来自NFVO的NS实例信息。
对于设备,虚拟对象可包括以下中的任一项:虚拟链路、VNF、VNF组件、VNF组件实例、虚拟存储、虚拟机、vTap和vFEP。
处理电路52当执行指令时还可被配置成从NFVO接收资源选择输入,资源选择输入包括资源的位置属性。此外,处理电路52当执行指令时还可被配置成当资源的位置属性指示所接收的NS实例的地理位置信息内的位置时,允许资源被分配给NS的VNF。
此资源可包括存储资源或虚拟链路。
处理电路52当执行指令时还可被配置成从NFVO接收用于另外的虚拟对象的选择输入。此选择输入包括另外的虚拟对象的机密性的级别以及另外的虚拟对象的位置属性。此外,处理电路52当执行指令时还可被配置成当另外的虚拟对象的位置属性指示所接收的NS实例的地理位置信息内的位置时,基于群体的特定角色,根据如选择输入中包括的机密性的级别,将另外的虚拟对象分配到NS。
处理电路52当执行指令时还可被配置成检查被分配到现有VNF的第二虚拟对象的以及用于访问第二虚拟对象的第二虚拟链路的位置属性指示第二位置在所接收的NS实例的地理位置信息中指示的管辖区域的边界之内还是之外。此外,处理电路52当执行指令时还可被配置成当第二虚拟对象的以及用于访问第二虚拟对象的第二虚拟链路的所述位置属性指示第二位置在管辖区域的所述边界之内时,基于特权群体的角色,由群体角色的分层中的特权群体将SD配置成允许合法拦截(LI)。
图6示意地呈现根据本公开的一些示例,能够配置NFVI中的SD的设备60。SD由NFVO以及VIM来控制,其中NFVO和VIM与VNF管理器关联。SD包括处置特权信息的虚拟对象。设备包括模块62,其用于基于来自与SD关联的群体的输入,从NFVO或VNF管理器获得虚拟对象的NS实例信息。设备也包括模块64,其用于在NS实例信息中搜索机密性的级别和地理位置信息。此外,设备包括模块66,其用于当已识别机密性的级别和地理位置信息时,基于机密性的级别和群体的特定角色,根据地理位置信息将虚拟对象分配到SD。
设备60还可包括模块,其为群体授权对在虚拟对象上的一组操作的访问,其中在群体角色的分层中,操作基于群体的特定角色。
根据本公开的一些示例,本公开也包括能够配置NFVI中的SD的另外的设备60。SD由NFVO和VIM来控制,其中NFVO和VIM与VNF管理器关联。SD包括处置特权信息的虚拟对象。设备还被配置成基于来自与SD关联的群体的输入,从NFVO或VNF管理器获得虚拟对象的NS实例信息。设备还被配置成在NS实例信息中搜索机密性的级别和地理位置信息。此外,设备也被配置成当已识别机密性的级别和地理位置时,基于机密性的级别和群体的特定角色,根据地理位置信息将虚拟对象分配到SD。
如本文描述的示例和实施例具有以下优点以及优选特征中的一个或多个:
基于群体的特定角色,允许或准予到SD的访问是一个优点。
通过配置SD并且使SD服从数据流,VNF中的数据可被安全地提取。
VNF对象的界限被安全地定位。
通过验证对象的机密性的级别、位置参数配置、授权和访问角色分层来促进侵害检测。
一旦位置信息被保护,即可定义位置验证改变算法也是一个优点。
可进一步注意,以上描述的实施例仅作为示例给出并且不应限制到目前的示范性实施例,因为其它解决方案、使用、目的以及功能在如随附权利要求中要求保护的实施例的范围内是明显的。
缩略语
BSS 业务支持系统
CP 连接点
CRUD 创建、取代、更新和删除
CSP 云服务供应商
E2E 端到端
EMS 元素管理系统
ETSI 欧洲电信标准协会
FB 功能块
FEP 前端处理器
FG 转发图表
GPS 全球定位系统
IT 因特网技术
LI 合法拦截
MANO 管理和编排
NF 网络功能
NFV NF虚拟化
NFVI 网络功能虚拟化基础结构或NFV基础结构
NFVO NFV编排器
NS 网络服务
NSD NS描述符
O&M 操作和维护
OSS 操作支持系统
PNF 物理网络功能
RBAC 基于角色的访问控制
SD 安全域
SOD 职责的分离
TAP TAP Linux装置接口
VDU 虚拟化部署单元
VI 虚拟化基础结构
VIM VI管理器
VL 虚拟链路
VLAN 虚拟局域网
VLD 虚拟链路描述符
VM 虚拟机
VNF 虚拟网络功能
VNFC 虚拟网络功能组件
VNFCI VNFC实例
VNFD VNF描述符
VNFI VNF实例
VNFM VNF管理器
VS 虚拟存储。
Claims (19)
1.一种用于在网络功能虚拟化基础结构NFVI中配置安全域SD的方法,所述SD由网络功能虚拟化编排器NFVO(302)以及虚拟化基础结构管理器VIM(306)来控制,其中所述NFVO和所述VIM被连接到虚拟化网络功能VNF管理器(304),所述SD包括处置特权信息的虚拟对象,所述方法包括:
-基于来自与所述SD关联的群体的输入,从所述NFVO或所述VNF管理器获得(S310,402)虚拟对象的网络服务NS实例信息;
-在所述NS实例信息中搜索(S312,404)机密性的级别和地理位置信息;
-当已识别所述机密性的级别和所述地理位置信息时,基于所述机密性的级别和所述群体的特定角色,根据所述地理位置信息将所述虚拟对象分配(S314,406)到所述SD;
-为所述群体授权(408)对在所述虚拟对象上的一组操作的访问,其中在群体角色的分层中,所述操作基于所述群体的所述特定角色;
-从所述NFVO或所述VNF管理器接收(418)用于另外的虚拟对象的选择输入,所述选择输入包括所述另外的虚拟对象的机密性的级别以及所述另外的虚拟对象的位置属性;
-当所述另外的虚拟对象的所述位置属性指示所接收的NS实例的所述地理位置信息内的位置时,基于所述群体的所述特定角色,根据如所述选择输入中包括的所述机密性的级别,将所述另外的虚拟对象分配(422)到所述NS;以及
-当所述另外的虚拟对象的所述位置属性未指示所接收的NS实例的所述地理位置信息内的位置时,所述方法还包括:检查被分配到现有的VNF的第二虚拟对象的以及用于访问所述第二虚拟对象的第二虚拟链路的位置属性指示第二位置在所接收的NS实例的所述地理位置信息中指示的管辖区域的边界之内还是之外;以及当所述第二虚拟对象的以及用于访问所述第二虚拟对象的所述第二虚拟链路的所述位置属性指示第二位置在所述管辖区域的所述边界之内时,基于特权群体的所述角色,由所述角色中的分层中的所述特权群体将所述SD配置成允许合法拦截LI。
2.如权利要求1所述的方法,其中群体角色的所述分层包括一个或多个用户角色以及一个或多个管理员角色的分层。
3.如权利要求1或2所述的方法,其中所述一组操作包括以下中的任一项:分配虚拟网络功能VNF、执行网络或存储请求以及更新或查询分配的资源。
4.如权利要求3所述的方法,其中职务的分离被应用于群体角色的所述分层。
5.如权利要求1所述的方法,其中获得NS实例信息包括分配来自所述NFVO或来自所述VNF管理器的NS实例信息。
6.如权利要求1所述的方法,其中所述虚拟对象包括以下中的任一项:虚拟链路、VNF、VNF组件、VNF组件实例、虚拟机镜像、虚拟存储、vTap和vFEP。
7.如权利要求1所述的方法,还包括:
-从所述NFVO或所述VNF管理器接收(410)资源选择输入,所述资源选择输入包括资源的位置属性;以及
-当所述资源的所述位置属性指示所接收的NS实例的所述地理位置信息内的位置时,允许(414)所述资源被分配给所述NS的VNF。
8.如权利要求7所述的方法,其中所述资源包括存储资源或虚拟链路。
9.如权利要求1所述的方法,还包括:
-从所述NFVO或所述VNF管理器接收(418)选择输入,所述选择输入指示按比例缩小用于所述SD的资源;以及
-擦除用于所述SD的资源上存储的数据,以先于所述资源的释放而被移除。
10.一种存储指令的非暂时性存储介质,所述指令在计算机上运行时,执行前述的权利要求中的任一项所述的方法。
11.一种能够在网络功能虚拟化基础结构NFVI中配置安全域SD的设备(50),其中所述SD由网络功能虚拟化编排器NFVO以及虚拟化基础结构管理器VIM来控制,其中所述NFVO和所述VIM与虚拟化网络功能VNF管理器关联,所述SD包括处置特权信息的虚拟对象,所述设备具有处理电路(52)和存储器电路(54),所述存储器电路具有由所述处理电路(52)可执行的指令,其中所述处理电路当执行所述指令时被配置成:
-基于来自与所述SD关联的群体的输入,从所述NFVO或所述VNF管理器获得虚拟对象的网络服务NS实例信息;
-在所述NS实例信息中搜索机密性的级别和地理位置信息;
-当已识别所述机密性的级别和所述地理位置时,基于所述机密性的级别和所述群体的特定角色,根据所述地理位置信息将所述虚拟对象分配到所述SD;
-为所述群体授权对在所述虚拟对象上的一组操作的访问,其中在群体角色的分层中,所述操作基于所述群体的所述特定角色;
-从所述NFVO接收用于另外的虚拟对象的选择输入,所述选择输入包括所述另外的虚拟对象的机密性的级别以及所述另外的虚拟对象的位置属性;
-当所述另外的虚拟对象的所述位置属性指示所接收的NS实例的所述地理位置信息内的位置时,基于所述群体的所述特定角色,根据如所述选择输入中包括的所述机密性的级别,将所述另外的虚拟对象分配到所述NS;以及
-当所述另外的虚拟对象的所述位置属性未指示所接收的NS实例的所述地理位置信息内的位置时,所述处理电路当执行所述指令时还被配置成:检查被分配到现有的VNF的第二虚拟对象的以及用于访问所述第二虚拟对象的第二虚拟链路的位置属性指示第二位置在所接收的NS实例的所述地理位置信息中指示的管辖区域的边界之内还是之外;以及当所述第二虚拟对象的以及用于访问所述第二虚拟对象的所述第二虚拟链路的所述位置属性指示第二位置在所述管辖区域的所述边界之内时,基于特权群体的所述角色,由所述群体角色的分层中的所述特权群体将所述SD配置成允许合法拦截LI。
12.如权利要求11所述的设备(50),其中群体角色的所述分层包括一个或多个用户角色以及一个或多个管理员角色的分层。
13.如权利要求11或12所述的设备(50),其中所述一组操作包括以下中的任一项:分配VNF、执行网络或存储请求以及更新或查询分配的资源。
14.如权利要求13所述的设备(50),其中职务的分离被应用于群体角色的所述分层。
15.如权利要求11所述的设备(50),其中所述处理电路当执行所述指令时还被配置成分配来自所述NFVO的NS实例信息。
16.如权利要求11所述的设备(50),其中所述虚拟对象包括以下中的任一项:虚拟链路、VNF、VNF组件、VNF组件实例、虚拟机镜像、虚拟存储、vTap和vFEP。
17.如权利要求11所述的设备(50),其中所述处理电路(52)当执行所述指令时还被配置成:
-从所述NFVO接收资源选择输入,所述资源选择输入包括资源的位置属性;以及
-当所述资源的所述位置属性指示所接收的NS实例的所述地理位置信息内的位置时,允许所述资源被分配给所述NS的VNF。
18.如权利要求17所述的设备(50),其中所述资源包括存储资源或虚拟链路。
19.一种能够在网络功能虚拟化基础结构NFVI中配置安全域SD的设备(60),其中所述SD由网络功能虚拟化编排器NFVO以及虚拟化基础结构管理器VIM来控制,其中所述NFVO和所述VIM与虚拟化网络功能VNF管理器关联,所述SD包括处置特权信息的虚拟对象,所述设备具有:
-用于基于来自与所述SD关联的群体的输入,从所述NFVO或所述VNF管理器获得虚拟对象的网络服务NS实例信息的模块(62);
-用于在所述NS实例信息中搜索机密性的级别和地理位置信息的模块(64);
-用于当已识别所述机密性的级别和所述地理位置信息时,基于所述机密性的级别和所述群体的特定角色,根据所述地理位置信息将所述虚拟对象分配到所述SD的模块(66);
-用于为所述群体授权对在所述虚拟对象上的一组操作的访问的模块,其中在群体角色的分层中,所述操作基于所述群体的所述特定角色;
-用于从所述NFVO或所述VNF管理器接收用于另外的虚拟对象的选择输入的模块,所述选择输入包括所述另外的虚拟对象的机密性的级别以及所述另外的虚拟对象的位置属性;
-用于当所述另外的虚拟对象的所述位置属性指示所接收的NS实例的所述地理位置信息内的位置时,基于所述群体的所述特定角色,根据如所述选择输入中包括的所述机密性的级别,将所述另外的虚拟对象分配到所述NS的模块;以及
-当所述另外的虚拟对象的所述位置属性未指示所接收的NS实例的所述地理位置信息内的位置时,所述设备还具有:用于检查被分配到现有的VNF的第二虚拟对象的以及用于访问所述第二虚拟对象的第二虚拟链路的位置属性指示第二位置在所接收的NS实例的所述地理位置信息中指示的管辖区域的边界之内还是之外的模块;以及用于当所述第二虚拟对象的以及用于访问所述第二虚拟对象的所述第二虚拟链路的所述位置属性指示第二位置在所述管辖区域的所述边界之内时,基于特权群体的所述角色,由所述角色中的分层中的所述特权群体将所述SD配置成允许合法拦截LI的模块。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2016/062068 WO2017202475A1 (en) | 2016-05-27 | 2016-05-27 | Method and arrangement for configuring a secure domain in a network functions virtualization infrastructure |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109219949A CN109219949A (zh) | 2019-01-15 |
| CN109219949B true CN109219949B (zh) | 2021-10-12 |
Family
ID=56092909
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680086157.8A Expired - Fee Related CN109219949B (zh) | 2016-05-27 | 2016-05-27 | 在网络功能虚拟化基础结构中配置安全域的方法和设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10897467B2 (zh) |
| EP (1) | EP3466014B1 (zh) |
| CN (1) | CN109219949B (zh) |
| WO (1) | WO2017202475A1 (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3488565B1 (en) | 2016-07-19 | 2021-06-02 | Telefonaktiebolaget LM Ericsson (PUBL) | Datapath provision in software defined networks |
| US10701000B1 (en) | 2017-11-30 | 2020-06-30 | Open Invention Network Llc | VNFM assisted fault handling in virtual network function components |
| US11528328B2 (en) * | 2017-12-15 | 2022-12-13 | Nokia Technologies Oy | Stateless network function support in the core network |
| US10848594B1 (en) * | 2018-03-13 | 2020-11-24 | Amdocs Development Limited | System, method, and computer program for multiple orchestrator service fulfillment |
| CN110891239B (zh) * | 2018-09-06 | 2021-01-15 | 中国移动通信有限公司研究院 | Pnf配置及pnfd tosca实现方法和装置 |
| CN113328871B (zh) * | 2020-02-28 | 2022-08-12 | 中国移动通信有限公司研究院 | 信令采集的配置方法、装置及存储介质 |
| CN116686264A (zh) * | 2020-12-30 | 2023-09-01 | 华为技术有限公司 | 一种弹性伸缩的方法及装置 |
| WO2023089438A1 (en) * | 2021-11-17 | 2023-05-25 | Telefonaktiebolaget Lm Ericsson (Publ) | Correlating remote attestation quotes with a virtualized network function (vnf) resource allocation event |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8035542B2 (en) * | 2009-04-09 | 2011-10-11 | Fujitsu Limited | Digital-to-analog converter and successive approximation type analog-to-digital converter including the same |
| US8832784B2 (en) * | 2008-12-31 | 2014-09-09 | Hytrust, Inc. | Intelligent security control system for virtualized ecosystems |
| WO2015167595A1 (en) * | 2014-04-30 | 2015-11-05 | Hewlett Packard Development Company, L.P. | Network infrastructure management |
| CN105429780A (zh) * | 2015-10-30 | 2016-03-23 | 南京优速网络科技有限公司 | 一种虚拟化网络服务业务自动生成和动态监控的方法 |
| WO2016048430A1 (en) * | 2014-09-25 | 2016-03-31 | Intel IP Corporation | Network functions virtualization |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9270703B1 (en) | 2013-10-22 | 2016-02-23 | Amazon Technologies, Inc. | Enhanced control-plane security for network-accessible services |
| EP3382939B1 (en) * | 2014-04-09 | 2019-10-23 | Huawei Technologies Co., Ltd. | Troubleshooting method, apparatus, and system based on network function virtualization |
| CN104142864A (zh) * | 2014-08-07 | 2014-11-12 | 浪潮电子信息产业股份有限公司 | 一种基于虚拟化技术的多租户性能隔离框架 |
| CN106375101B (zh) * | 2015-07-20 | 2019-08-27 | 华为技术有限公司 | 一种生命周期管理方法及装置 |
| EP3427439B1 (en) * | 2016-02-24 | 2021-09-29 | Telefonaktiebolaget LM Ericsson (PUBL) | Managing planned adjustment of allocation of resources in a virtualised network |
-
2016
- 2016-05-27 CN CN201680086157.8A patent/CN109219949B/zh not_active Expired - Fee Related
- 2016-05-27 US US16/096,069 patent/US10897467B2/en active Active
- 2016-05-27 WO PCT/EP2016/062068 patent/WO2017202475A1/en unknown
- 2016-05-27 EP EP16726074.4A patent/EP3466014B1/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8832784B2 (en) * | 2008-12-31 | 2014-09-09 | Hytrust, Inc. | Intelligent security control system for virtualized ecosystems |
| US8035542B2 (en) * | 2009-04-09 | 2011-10-11 | Fujitsu Limited | Digital-to-analog converter and successive approximation type analog-to-digital converter including the same |
| WO2015167595A1 (en) * | 2014-04-30 | 2015-11-05 | Hewlett Packard Development Company, L.P. | Network infrastructure management |
| WO2016048430A1 (en) * | 2014-09-25 | 2016-03-31 | Intel IP Corporation | Network functions virtualization |
| CN105429780A (zh) * | 2015-10-30 | 2016-03-23 | 南京优速网络科技有限公司 | 一种虚拟化网络服务业务自动生成和动态监控的方法 |
Non-Patent Citations (1)
| Title |
|---|
| Minutes for Study on Network Management of Virtualized Networks,OAM Rapporteur Report;Liu jinglei, Zou lan;《3GPP TSG RAN WG1 Meeting #83》;20141024;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3466014B1 (en) | 2020-07-08 |
| EP3466014A1 (en) | 2019-04-10 |
| US10897467B2 (en) | 2021-01-19 |
| CN109219949A (zh) | 2019-01-15 |
| WO2017202475A1 (en) | 2017-11-30 |
| US20190132330A1 (en) | 2019-05-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109219949B (zh) | 在网络功能虚拟化基础结构中配置安全域的方法和设备 | |
| US11575712B2 (en) | Automated enforcement of security policies in cloud and hybrid infrastructure environments | |
| US10956321B2 (en) | Secure management of operations on protected virtual machines | |
| Berger et al. | TVDc: managing security in the trusted virtual datacenter | |
| US20180367528A1 (en) | Seamless Provision of Authentication Credential Data to Cloud-Based Assets on Demand | |
| US10382202B1 (en) | Method and apparatus for federated identity and authentication services | |
| US8056119B2 (en) | Method and system for controlling inter-zone communication | |
| US11477247B2 (en) | Systems and methods for authenticating platform trust in a network function virtualization environment | |
| CN104239814A (zh) | 一种移动办公安全方法及系统 | |
| Almutairy et al. | A taxonomy of virtualization security issues in cloud computing environments | |
| US20190020659A1 (en) | Role-based access control with feature-level granularity | |
| Bleikertz et al. | Secure cloud maintenance: protecting workloads against insider attacks | |
| CN114978697A (zh) | 一种网络信息系统内生安全防御方法、装置、设备及介质 | |
| CN111083088B (zh) | 基于多安全域的云平台分级管理方法及装置 | |
| Zhan et al. | CIADL: cloud insider attack detector and locator on multi-tenant network isolation: an OpenStack case study | |
| CN113407941A (zh) | 一种边缘云节点与终端用户安全管理方法 | |
| US11507408B1 (en) | Locked virtual machines for high availability workloads | |
| Singh et al. | Security in cloud computing | |
| Löhr et al. | Trusted virtual domains on OpenSolaris: Usable secure desktop environments | |
| CN112912879A (zh) | 用于进程间安全消息传递的装置和方法 | |
| Ajay et al. | Why, how cloud computing how not and cloud security issues | |
| US20240177115A1 (en) | Software Defined Community Cloud | |
| Farahmandian | An Interaction-based Software-Defined Security Model and Platform to secure cloud resources | |
| Marotta | Architectures and Algorithms for Resource Management in Virtualized Cloud Data Centers | |
| Dhillon et al. | Intelligent and Dynamic Permission Model for User Permissions |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20211012 |