CN109565500A - 按需安全性架构 - Google Patents

Abstract

生成第一安全性服务功能链，第一安全性服务功能链至少标识包括所识别的一组安全性服务功能的第一服务功能路径，其中，所识别的一组安全性服务功能中的至少一个安全性服务功能包括软件定义网络(SDN)网络架构中的虚拟化网络功能。利用第一安全性服务功能链以创建将给定分组类型的分组与第一安全性服务功能链相关联的分类策略，利用第一服务功能路径以创建规定由所识别的一组安全性服务功能中相应的安全性服务功能来处理给定分组类型的分组的转发策略。向包括SDN网络架构的通信网络中的一个或多个节点提供分类策略，以及向通信网络中所识别的一组安全性服务功能中的一个或多个安全性服务功能提供转发策略。

Description

按需安全性架构

技术领域

本申请一般涉及通信网络，更具体但非排它地，涉及通信网络中的安全性服务。

背景技术

本节介绍可能有助于更好地理解本发明的方面。因此，本节的陈述应从这个角度来阅读，并且不应被理解为对关于现有技术中已有或没有的内容的认可。

在传统通信网络中，引入新的网络服务可能涉及物理地改变通信网络的拓扑。随着新型通信网络(包括但不限于云计算网络、软件定义网络(SDN)和虚拟化网络功能(VNF))的出现，更多的选项可用于引入新的网络服务。例如，SDN是一种网络架构框架，它将网络控制与底层网络交换基础架构解耦，从而使网络控制能够直接可编程。这种解耦允许针对网络上运行的应用和服务抽象底层网络基础架构。

因特网工程任务组(IETF)请求注释(RFC)7665(其全部内容通过引用并入本文)定义了服务功能链(SFC)架构，用于服务功能链的创建和持续维护，使得服务提供商能够动态提供端到端服务而无需更改底层物理网络拓扑。

然而，SDN和其它类型的通信网络以及SFC中存在已有安全性机制未充分解决的具有挑战性的安全性问题。

发明内容

说明性实施例提供了用于在通信网络中按需提供安全性服务的技术。虽然可以预计这些实施例例如提供了相对于传统方法的性能改进和/或成本降低，但除非在特定权利要求中明确地叙述，否则任何实施例不需有特定结果。

例如，在一个实施例中，一种方法包括以下步骤。生成第一安全性服务功能链，其中第一安全性服务功能链至少标识包括所识别的一组安全性服务功能的第一服务功能路径，所识别的一组安全性服务功能中的至少一个安全性服务功能包括软件定义网络(SDN)网络架构中的虚拟化网络功能。利用第一安全性服务功能链以创建安全性服务一个或多个分类策略，一个或多个分类策略将给定分组类型的分组与第一安全性服务功能链相关联，利用第一服务功能路径以创建一个或多个转发策略，一个或多个转发策略规定由所识别的一组安全性服务功能中相应的安全性服务功能来处理给定分组类型的分组。相包括SDN网络架构的通信网络中的一个或多个节点提供一个或多个分类策略，以及向通信网络中所识别的一组安全性服务功能中的一个或多个安全性服务功能提供一个或多个转发策略。

在另一个实施例中，提供了一种制品，其包括处理器可读存储介质，其中编码有一个或多个软件程序的可执行代码。一个或多个软件程序在由至少一个处理设备执行时实现上述方法的步骤。

在又一个实施例中，一种装置包括存储器和被配置为执行上述方法的步骤的处理器。

有利地，说明性实施例提供了用于通过提供按需安全性来解决安全性问题的技术，使得灵活的安全性服务能够满足来自不同服务和应用的不同安全性标准而无需改变底层网络拓扑。

根据附图和以下详细描述，在本文中描述的实施例的这些和其它特征和优点将变得更加明显。

附图说明

图1示出根据一个实施例的按需安全性架构；

图2示出根据一个实施例的安全性功能清单的示例；

图3示出根据一个实施例将安全性功能插入图1的按需安全性架构中的安全性功能链中的示例；

图4示出根据一个实施例在图1的按需安全性架构中创建安全性功能链的示例；

图5示出根据一个实施例用于在按需安全性架构中使用的安全性方法；

图6示出根据一个或多个实施例的在其上实现按需安全性架构的处理平台。

具体实施方式

本文将参考示例性计算系统、数据存储系统、通信网络、处理平台、系统、用户设备、网络节点、网络单元、客户端、服务器和相关联的通信协议来描述说明性实施例。然而，应当理解，实施例不限于与所描述的特定布置一起使用，而是更一般地适用于期望提供用于改进通信网络中的安全性的机制和方法的任何环境。

如上所述，在许多现代通信网络(诸如SDN、云计算、包括这些的其它通信网络以及利用VNF的其它通信网络)中存在具有挑战性的安全性问题。SFC是已有安全性机制未能充分解决的安全性问题的一个领域。例如，需要支持服务提供商按需提供灵活的安全性服务的技术。如将在本文中详细解释的，说明性实施例实现了按需安全性(SoD)架构，使得灵活的安全性服务能够满足来自不同服务和应用的不同安全性标准，而无需改变通信网络的底层网络拓扑。除了在本文中描述的其它功能以外，SoD架构还使能具有实时分析的连续监控，以检测正在进行的攻击，并提供即时响应以防止或减轻此类攻击。此外，灵活的SoD架构可用于设计现代网络和安全性架构，例如在第5代移动网络(5G)中使用的以在不同的5G场景中提供安全性保护的架构，包括但不限于增强型移动宽带(eMBB)、大规模物联网(IoT)、关键IoT等。下面将使用一个或多个示例性使用实例场景和SoD架构来详细说明说明性实施例的这些和其它特征。然而，应当理解，本领域的普通技术人员将认识到，在给出在本文中提供的发明性教导的情况下，可以采用直接的方式针对其它使用实例或SoD架构实现替代实施例。

现在参考图1，其中示出了根据说明性实施例的SoD架构100。为了清楚起见，图1仅示出了SoD架构的安全性组件。SoD架构100包括SoD使能域102，其被假定为是安全且可信的。

SoD使能域102包括：包括SoD分类器106的SoD边缘节点104，以及包括服务功能转发器(SFF)110的SoD边缘节点108。然而，在一些实施例中，SoD边缘节点104和108中的每一个包括SoD分类器和SFF。包括SoD分类器106的SoD边缘节点104维护SoD分类策略表、SoD服务功能路径(SFP)转发策略表或者两者。SoD边缘节点104的SoD分类器106被配置为当输入流或一个或多个分组进入SoD使能域102时将所述流或分组绑定到给定的安全性服务功能链和SFP。SOD边缘节点108的SFF 110被配置为在流或一个或多个分组离开SoD使能域102时移除SFC相关信息并终止所述流或分组的SFP。

SoD使能域102还包括多个安全性功能，如图1所示被组织成与特定服务112相关的安全性功能、与特定服务114无关的安全性功能以及传统安全性功能116。安全性功能可以大致分为两种类型——与特定服务相关的安全性功能和与特定服务无关的安全性功能。安全性功能112包括与特定服务相关的各种安全性功能，包括诸如认证(AuthN)、授权(AuthR)、完整性验证、加密和解密等安全性功能。安全性功能112与特定服务相关，并且可以通过与图1中未示出的通用SFC控制器协作，按有序的服务功能序列向特定服务分配。例如，可以在通用服务功能链的开始插入AuthN和AuthR安全性功能，因为可以在用户或客户开始访问服务之前执行这些安全性功能。

安全性功能114包括与特定服务无关的各种安全性功能，诸如防火墙(FW)、反拒绝服务(DoS)、入侵防御系统(IPS)、防恶意软件、深度分组检查(DPI)、入侵检测系统(IDS)等。通常，安全性功能114可以在任何位置添加到安全性服务功能链中，因为它们与任何特定服务无关。然而，在一些情况下，可能期望将两个或更多个安全性功能114提供为相对于彼此的有序序列。例如，在一些情况下，可能期望在DPI处理之前使分组通过FW，反之亦然，例如当FW检测到某些受“蠕虫”或“病毒”感染的分组时，FW会将此类受感染的分组转发给DPI以在传送到目标地址之前进行分组清理。

假定安全性功能112和114具有如在IETF RFC 7665中定义的SFF能力，其适当地修改有安全性扩展以提供在本文中描述的功能。作为示例，这种安全性扩展包括支持在下面进一步详细描述的安全性服务功能链的扩展安全性SFP转发策略表。

传统安全性功能116包括一个或多个安全性功能，其可以与特定服务相关或不相关。传统安全性功能116与安全性功能112和114的区别在于它们不具有如在IETF RFC 7665中定义的SFF能力。对于传统安全性功能116，其在图1的示例中包括诸如DPI、IPS、IDS等的功能，SoD链代理118被放置在这些功能之前，以便代表传统安全性功能116移除或插入安全SFC封装。SoD链代理118可以具有在IETF RFC 7665中定义的SFC代理的功能，其适当地修改有安全性扩展以提供在本文中描述的功能。作为示例，这种扩展包括通过维护在下面进一步详细描述的扩展安全性SFP转发策略表来对安全性服务功能链的扩展支持。

安全性功能112、114和116可以是VNF或物理网络功能(PNF)。图像库120可以是基于云的库，存储虚拟化安全性功能的图像。在需要时，来自图像库120的所选图像可以被加密并传输到远程站点或主机并实例化以在SoD使能域102中提供安全性服务功能。如在本文和权利要求中所使用的，实例化被定义为“创建实例”。因此，当创建该安全性服务功能的实例时，实例化安全性服务功能的所选图像。在一些实施例中，这涉及在SoD使能域102的SDN网络架构中的主机上安装或以其它方式运行安全性服务功能。

应理解，图1未示出可能的安全性功能的详尽列表，而是仅出于说明的目的呈现安全性功能的示例。因此，实施例不限于仅与图像库120中或安全性功能112、114和116中所示的特定一组安全性功能一起使用。相反，可以使用各种其它类型的安全性功能，包括但不限于病毒扫描安全性功能、分组清理安全性功能、间谍软件和/或恶意软件扫描功能、深度流扫描功能、深度内容检查功能、分组过滤安全性功能、内容过滤功能、基于类别的过滤功能、Web过滤功能等。

SoD架构100包括各种应用和管理服务，诸如通用应用122-1、负载平衡122-2、监管管理122-3、网络管理122-4和安全性管理122-5，在本文中统称为逻辑功能122。逻辑功能122可以经由到SoD网关124的北向接口(NBI)向底层通信网络发送网络策略和要求，包括安全性相关的策略和要求。安全性相关的策略和要求是安全性标准的示例。安全性标准还可以包括一个或多个安全性偏好、规则等。

SoD网关124被配置为逻辑网关，其经由NBI从诸如逻辑功能122的各种应用和管理服务接收网络策略和要求。在一些实施例中，NBI是标准SDN NBI，其提供应用编程接口(API)，用于准许SDN环境与利用包括SDN环境的通信网络的服务和应用之间的通信。SoD网关124分解网络策略和要求并提取安全性相关的策略和要求。从SoD网关124向SoD协调器126转发与安全性相关的策略和要求以及与服务和用户相关的信息。与服务和用户相关的信息可以包括服务ID、服务类型、用户ID等。可以通过NBI透明地将与安全性无关的网络策略和要求传输到下一跳，诸如SoD网络控制器128。在一些实施例中，SoD网关124被集成到在IETF RFC 7665中定义的SFC控制平面中。为了说明清楚起见，在图1中未示出SFC控制平面。

SoD协调器126被配置为根据经由SoD网关124从逻辑功能122接收的应用和服务的安全性相关的策略和要求来定义安全性服务功能链。SoD协调器126包括SoD链控制器130和SoD安全性功能清单132。

SoD链控制器130被配置为基于所提出的安全性服务功能链的SoD模板，从SoD安全性功能清单132中选择适当的安全性功能并创建安全性服务功能链。SoD链控制器130利用安全性服务功能链以生成SoD分类策略和SoD转发策略。SoD分类策略和SoD转发策略实施安全性策略并满足经由连接SoD网关124和SoD协调器126的SoD NBI在SoD链控制器130处接收的来自逻辑功能122的应用和管理服务的安全性要求。

SoD链控制器130经由SoD网络控制器128将SoD分类策略分发到SoD分类器106。可以采用条目的形式生成SoD分类策略以插入到在SoD分类器106处的SoD分类策略表中。SoD链控制器130还经由SoD网络控制器128将SoD转发策略分发到SoD使能域102中的安全性功能。可以将不同的SoD转发策略分发到SoD使能域102中的安全性功能112和114的特定实例，以准许这样的安全性功能适当地将来自SoD边缘节点104处的分组入口的流或分组转发到SoD边缘节点108处的分组出口。还可以经由SoD网络控制器128将SoD转发策略分发到SoD链代理118，以准许适当地向传统安全性功能116转发流和分组。与SoD分类策略类似，可以采用条目的形式生成SoD转发策略，以在SoD分类器106、SFF 110、安全性功能112和114以及SoD链代理118中的一个或多个处插入到SoD转发策略表中。

安全性服务功能链可以是几种不同类型中的一种。第一类安全性服务功能链与任何特定服务无关。对于第一类安全性服务功能链，SoD链控制器130可以通过将诸如防火墙的安全性功能添加到服务链中，然后将相关的SoD分类策略和SoD转发策略分发到SoD使能域102中具有SFF能力的SoD分类器106、SFF 110和安全性功能112和114以及分发到SoD使能域102中不具有SFF能力的传统安全性功能116的SoD链代理118，来创建安全性服务功能链。

第二类安全性服务功能链与特定服务相关。对于第二类安全性服务功能链，SoD链控制器130与服务链控制器(为了说明清楚起见，未在图1中示出)协作以对所有所选服务功能进行有序排序，例如针对安全性功能和非安全性功能。因此，由SoD链控制器130创建的安全性服务功能链可以以有序序列添加或插入到针对特定服务的已有或一般服务功能链中。

可以创建用于安全性服务功能链的SoD模板，以供SoD链控制器130在选择满足给定应用或服务的一个或多个安全性要求所需的安全性功能时使用，例如，逻辑功能122经由SoD网关124向SoD协调器126提供的要求。SoD模板还可以指示所选安全性功能的有序序列。例如，考虑想要通过应用_Y访问服务器_X的终端用户。可以被认为是通用应用122-1的示例的应用_Y经由SoD网关124代表终端用户向SoD协调器126提交请求。安全性服务功能链的SoD模板可以包括有序序列：验证→授权→防火墙。对于那些与特定服务无关的安全性功能，SoD模板可以指示将要选择的安全性功能，而无需指示这种安全性功能的有序序列。

SoD链控制器130可以利用诸如访问控制列表(ACL)和基于角色的访问控制(RBAC)的机制，以在对应的策略表中插入或更新SoD分类策略和SoD转发策略时避免策略冲突。

对于与特定服务相关的安全性服务功能链，可以使相关联的SoD分类策略和SoD转发策略成为用户感知和服务感知的。

SoD分类器106被配置为根据一个或多个特定SFP来转发满足SoD分类规则或策略的业务。SoD分类可以以不同程度的粒度发生。例如，分类可以使用5元组、传输端口或一组端口、分组有效载荷的一部分等。分类也可以是高级检查的结果，或者可以基于从外部系统获得的信息。如上所述，SoD分类器106可以包括SoD分类策略表，其中具有由SoD链控制器130经由SoD网络控制器128插入或更新的条目。在一些实施例中，SoD分类策略表是在IETF因特网草案“服务功能链(SFC)控制平面组件和要求(Service Function Chaining(SFC)Control Plane Components&Requirements)”(draft-ietf-sfc-control-plane-06)(可从https://tools.ietf.org/html/draft-ietf-sfc-control-plane-06获取，其全部内容通过引用并入本文)中定义的分类策略表的扩展。分类策略表被扩展以反映用于将输入流或分组绑定到给定安全性服务功能链和SFP的安全性相关策略。

例如，当从用户设备(UE)接收到附着到3GPP无线网络的网络接入认证请求时，SoD分类器106将提取某些信息，诸如临时移动用户标识(TMSI)或全球唯一临时ID(GUTI)以及来自请求消息的UE能力，然后，查找SoD分类策略表以找到匹配的策略并决定认证机制(例如，全球移动通信系统(GSM)认证和密钥协议(AKA)、通用移动电信系统(UMTS)AKA、演进分组系统(EPS)AKA等)以针对所接收的网络接入认证请求进行选择。

SoD分类策略可以包括各种属性或简档。在一些实施例中，SoD分类策略或规则具有包括如下的属性：5元组、传输端口或一组端口、分组有效载荷的一部分、用户标识符、服务标识符、服务类型、分类类型、SFP标识符、所选安全性功能的序列、分类策略的所有者(例如，谁生成分类策略)、分类策略生成器的角色、下一跳定位符、一个或多个动作(例如，转发、丢弃等)等。可以使用分类策略的所有者和分类策略生成器的角色来避免冲突的策略。然而，应当理解，除了这些属性中的一个或多个以外或者代替这些属性中的一个或多个，实施例可以使用各种其它属性，并且在一些情况下，可以将更多或更少的属性用于SoD分类策略。

SoD分类器106、SFF 110、服务功能112和114以及SoD链代理118可以包括SoD SFP转发策略表。SoD SFP转发策略表可以是在IETF因特网草案“服务功能链(SFC)控制平面组件和要求(Service Function Chaining(SFC)Control Plane Components&Requirements)”(draft-ietf-sfc-control-plane-06)中描述的SFP转发策略表的扩展。SFP转发策略表可以被扩展以支持安全性服务功能链。

SoD转发策略可以包括各种属性或简档。在一些实施例中，SoD转发策略具有包括如下的属性：5元组、传输端口或一组端口、分组有效载荷的一部分、用户标识符、服务标识符、服务类型、SFP标识符、转发策略的所有者(例如，谁生成转发策略)、转发策略生成器的角色、下一跳定位符、一个或多个动作(例如，转发、丢弃等)等。然而，应当理解，除了这些属性中的一个或多个以外或者代替这些属性中的一个或多个，实施例可以使用各种其它属性，并且在一些情况下，更多或更少的属性可以用于SoD转发策略。

在一些实施例中，SoD安全性功能清单132可以采用在图像库120中示出一个或多个安全性功能的状态的列表或表格的形式。图2示出了这种安全性功能清单的示例的表200。如图所示，该表包括简档或属性，包括：安全性功能标识符(ID)；安全性功能名称；安全性功能类型；安全性功能在图像库120中的位置；安全性功能是否与特定服务相关以及如果安全性功能与特定服务相关则在该安全性功能之前或之后放置哪些安全性功能的指示；安全性功能是否支持SFC或者安全性功能是否具有SFF能力；实例ID、实例定位符以及SoD使能域102中服务功能是否活动的指示。

在特定示例性表200中，列出了四个安全性功能。安全性功能SoD_分类器_1、AuthR_3和DPI_6是SoD使能域102中的活动实例，其可以通过因特网协议(IP)地址定位。安全性功能DPI_6是传统安全性功能，而其它安全性功能支持SFC或具有SFF能力。安全性功能AuthR_3与特定服务相关，并且必须放置在认证服务功能之后。每个服务功能可以经由IP地址定位在图像库120中，并且如图所示具有不同的类型。虽然表200示出了其中图像定位符和实例定位符是IP地址的示例，但实施例不限于仅与IP地址定位符一起使用。可以使用各种其它类型的定位符，包括但不限于媒体访问控制(MAC)地址。此外，SoD安全性功能清单132可以包含多于或少于四个条目，并且可以包括用于相同安全性服务功能类型的不同实例的多个条目。

在一些实施例中，SoD安全性功能清单132可以周期性地检查SoD分类器106、SFF110、服务功能112和114以及SoD链代理118的状态以相应地在清单中进行更新，诸如更新特定安全性功能实例的活动/不活动状态。在一些实施例中，SoD分类器106、SFF 110、服务功能112和114以及SoD链代理118中的一个或多个可以在它们的状态改变时(例如，从活动状态变为非活动状态或者反之亦然，当IP地址或端口发生变化时等)主动向SoD安全性功能清单132报告状态更新。

在选择安全性服务功能链适当的SoD模板之后，SoD链控制器130可以从SoD安全性功能清单132中查找相关的安全性功能以检查这些安全性功能的活动状态，然后定义SFP。如果任何所需的安全性功能在SoD使能域102中不活动或不可用，则它们可以从图像库120中获得，以用于使用图像定位符信息在SoD使能域102中进行实例化。SoD链控制器130接下来生成SoD分类策略条目和SoD SFP转发策略条目，以用于在SoD分类器106、SFF 110、服务功能112和114以及SoD链代理118处插入或更新到SoD分类策略表和/或SoD转发策略表中。

SoD网络控制器128通过SoD南向接口(SBI)从SoD协调器126接收消息。这些消息可以包括SoD网络控制器128提供给SoD分类器106、SFF 110、服务功能112和114以及SoD链代理118的SoD分类策略和SoD SFP转发策略，以便根据需要更新SoD分类策略表和SoD转发策略表。SoD网络控制器128扩展通用SDN控制器以支持安全性服务功能链，例如在分发SoD分类策略和SoD转发策略中。SoD网络控制器128还可以维护SoD分类策略表、SoD转发策略表和SDN流表。

安全性分析和自动响应(SAAR)134被配置为周期性地从安全性功能112、114和116获取安全性事件。如果遇到安全性攻击或者观察到潜在的安全性问题，SoD分类器106和安全性功能112、114和116中的各个安全性功能可以向SAAR 134报告安全性事件。SAAR 134分析来自SoD分类器106和安全性功能112、114和116的安全性事件和报告，以找到适当的安全性对策，并经由NBI向SoD网关124发送安全性保护请求。SoD网关124从SAAR 134接收安全性保护请求并将它们转发到SoD协调器126。如上所述，SoD协调器126经由SoD链控制器130创建对应的安全性服务功能链并生成和分发相关联的SoD分类策略和SoD转发策略。因此，在一些实施例中，可以使用SAAR 134结合所描述的SoD架构100的其它组件来自动检测和防止或减轻安全性攻击。

如图1所示，SoD架构100包括多个接口。SoD NBI是SoD网关124与SoD协调器126之间的接口。安全性相关的网络策略和要求经由SoD网关124与SoD协调器126之间的SoD NBI发送。SoD SBI是SoD协调器126与SoD网络控制器128之间的接口。SoD分类策略和SoD转发策略从SoD协调器126经由SoD SBI发送到SoD网络控制器128。扩展的SBI扩展了通用SDN南向接口，以支持从SoD网络控制器128向SoD使能域102中各种元件(诸如SoD分类器106、SFF110、安全性功能112和114以及SoD链代理118)分发SoD分类策略和SoD转发策略。

可以在自举时向SoD系统提供各种信息。例如，SoD网关124可被提供有关于如何分解一般网络策略和要求以提取安全性相关策略和要求的一组规则。SoD链控制器130可被提供有用于安全性服务功能链的一组SoD模板。预定义的SoD模板可以与特定类型的安全性服务相关联。例如，考虑想要通过应用_Y访问服务器_X的终端用户。应用_Y可以代表用户向SoD系统提交这样的请求。SoD链控制器130可以确定与该请求相匹配的SoD模板包括有序序列：认证→授权→防火墙。可以向SoD安全性功能清单132提供SoD使能域102中的安全性功能的状态列表。

SoD架构100可以在各种不同的使用实例中使用。现在将参照图3和图4详细描述这种使用实例的示例。

图3示出了在SoD架构100中用于将安全性功能插入已有安全性服务功能链中的示例性流程300。流程300示出了SoD架构100的多个特征，包括示出了与特定服务无关的安全性服务功能链，并且示出了SAAR 134可如何用于自动响应安全性攻击。图3示出了安全性服务功能链路径301-1，也称为SFP 301-1。SFP 301-1包括：SoD边缘节点104→VNF_a 302→IDS 304→VNF_b 308→VNF_c 310→SoD边缘节点108。进入SoD边缘节点104的分组可以使用SoD分类器106进行分类并绑定到SFP 301-1。

VNF_a 302、VNF_b 308和VNF_c 310可以表示各种不同的VNF。作为一个示例，在主干网络中，VNF_a 302和/或VNF_c 310可以是边界路由器，VNF_b 308可以是光纤网络中的光交叉连接。作为另一个示例，在长期演进(LTE)网络中，VNF_a 302可以是演进型节点B(eNB)，而VNF_b 308是服务网关(GW)，VNF_c 310是分组数据网络(PDN)GW。在其它实施例中，VNF_a 302、VNF_b 308和VNF_c 310可以表示各种其它类型的VNF。此外，虽然图3示出了包括三个VNF的示例性服务功能路径链，但这不是必需的。其它服务功能路径链可以使用多于或少于三个VNF。

随着时间的推移，SFP 301-1中的不同安全性功能可以向SAAR 134进行报告。例如，IDS 304可以向SAAR 134报告安全性事件。如果在一段时间之后，IDS 304检测到SFP301-1中的一些分组包括“病毒”或者是DoS攻击的一部分，则IDS 304可以将此报告给SAAR134。在分析报告以及与SoD使能域102中的业务流有关的可能的其它信息之后，SAAR 134可以做出决定以执行业务清理并经由SoD网关124向SoD协调器126发送业务清理请求。然而，重要的是要注意，响应于安全性报告和对SFP 301-1中的流或分组的分析，可以从SAAR 134向SoD协调器126发送各种其它类型的请求。例如，SAAR 134可以发送加密分组流的请求，分析特定类型的攻击(诸如特定类型的使用(exploit)或攻击向量)的请求等。

SoD协调器126从SAAR 134接收业务清理请求，并且SoD协调器126的SoD链控制器130确定安全性功能DPI可以执行业务清理以基于一个或多个SoD模板满足业务清理请求。SoD链控制器130检查SoD安全性功能清单132以查看SoD使能域102中是否存在DPI的活动实例。如果存在活动DPI实例，例如，DPI 306，则SoD链控制器130通过将DPI 306插入SFP 301-1中来继续创建安全性服务功能链。如果没有DPI的活动实例，则SoD链控制器130可以经由网络拓扑视图在SoD使能域102中找到适当的主机，并且通知图像库120向该主机发送DPI图像以创建新DPI实例。然后，相应地用新DPI实例的状态更新SoD安全性功能清单132。

SoD链控制器130通过创建新的安全性服务功能路径301-2来创建更新的安全性服务功能链，其在本文中也称为SFP 301-2。SFP 301-2包括：SoD边缘节点104→VNF_A 302→IDS 304→DPI 306→VNF_b 308→VNF_C 310→SoD边缘节点108。SoD链控制器130更新SoD分类策略，并且经由SoD网络控制器128将这样的更新分发到SoD边缘节点104的SoD分类器106。SoD链控制器130进一步更新SoD转发策略，并且经由SoD网络控制器128将这样的更新分发到IDS 304和DPI 306。分发SoD分类策略和SoD转发策略的更新可以包括在SoD分类策略表中添加或更新分类策略条目，以及在SoD转发策略表中添加或更新转发策略条目。

到达SoD边缘节点104的新的流或分组可被绑定到SFP 301-2，并且可以通过向安全性服务功能链中添加DPI 306来自动防止或减轻“病毒”攻击或DoS攻击。在一些实施例中，SFP 301-2完全替换SFP 301-1。在其它实施例中，可以在不移除SFP 301-1的情况下添加SFP 301-2。可以基于分类策略将输入分组或流分配给SFP 301-1或SFP 301-2。例如，SAAR 134可以基于IDS 304或其它安全性功能的报告，确定只有某些类型的分组或流将从SFP 301-2中的DPI 306的使用中受益。因此，可以添加SFP 301-2作为用于在SoD边缘节点104处绑定输入流或分组的附加选项，而不是必须替换SFP 301-1作为用于绑定输入流或分组的选项。

图4示出了在SoD架构100中用于创建新的安全性服务功能链的示例性流程400。流程400示出了SoD架构的多个特征，包括示出与特定服务相关的安全性服务功能链。

在示例性流程400中，假定所有所需的安全性功能是实例化的、活动的并且可用的或者准备好在SoD使能域102中提供服务。然而，这不是必需的。如以上在示例性流程300中详细描述的，可以从图像库120(为清楚起见，其在图4中未示出)获得在SoD使能域102中不活动或不可用的任何所需安全性功能。

示例性流程400以在通信网络中部署的新应用服务开始。第一终端用户寻求访问该应用服务，例如，应用_1 122-6代表终端用户向服务器发送访问请求。SoD边缘节点104的SoD分类器106接收从代表第一终端用户的应用_1 122-6发送的第一消息，但无法在SoD分类策略表中找到或映射第一消息到已有安全性服务功能链和对应的SFP。因此，SoD分类器106经由SoD网络控制器128向SoD链控制器130发送请求，以获得针对第一消息的分类策略。SoD链控制器130利用一个或多个SoD模板以从SoD安全性功能清单132中选择针对第一消息的相关安全性功能，并构建或创建安全性服务功能链。

在该示例中，SoD链控制器130构建组合的安全性服务功能链，其包括两个SFP：SFP401-1和SFP 401-2。SFP 401-1包括：SoD边缘节点104→认证_1 402→授权406→SoD边缘节点104→VNF_a 408→VNF_b 410→FW 412→SoD边缘节点108。SFP 401-1由SoD边缘节点104中的SoD分类器106在接收到从代表第一终端用户的应用_1 122-6发送的第一消息时进行选择。SFP 401-2包括：SoD边缘节点104→VNF_a 408→VNF_b 410→FW 412→SoD边缘节点108。SFP 401-2由SoD分类器106在第一终端用户被认证后接收到从代表第一终端用户的应用_1 122-6发送的第二消息和其它后续消息时进行选择。

与VNF_a 302、VNF_b 308和VNF_c 310类似，VNF_a 408和VNF_b 410可以是各种不同类型的VNF。作为示例，SFP 401-1和401-2可以用于在组件对象模型(COM)、分布式COM(DCOM)或公共对象请求代理架构(COBRA)模型中实现的web服务的分组或流。在这种情况下，VNF_a 408可以是门户服务器，而VNF_b是负责业务逻辑过程的中间件服务器。在这种情况下，可以在FW 412后面部署数据库。

SoD链控制器130基于SFP 401-1和SFP 401-2生成SoD分类策略条目和SoD转发策略条目。SoD分类策略条目经由SoD网络控制器128被分发到SoD边缘节点104处的SoD分类器106，以更新SoD分类策略表。SoD转发策略条目经由SoD网络控制器128被分发到安全性功能认证_1402、认证_2 404、授权406和FW 412，以更新对应的SoD转发策略表。

然后，SoD链控制器130用针对第一消息的SoD分类策略来响应来自SoD分类器106的请求，并且SoD分类器106针对第一消息选择SFP 401-1。一旦第一终端用户在路径SFP401-1上被成功认证，该流中的后续消息将在SFP 401-2上进行转发。

此后，当SoD边缘节点104从寻求访问由应用_1 122-6提供的应用服务的第二终端用户或其它附加终端用户接收消息时，SoD分类器106可以使用更新的SoD分类策略表以将流或分组正确地绑定到适当的SFP，例如，SFP 401-1(针对来自每个这样的附加用户的第一消息)，以及SFP 401-2(针对来自每个认证的附加用户的附加消息)。

现在参考图5，将描述方法500。方法500可以由在图1中所示的SoD架构100执行。在步骤502中，接收针对给定分组类型的一个或多个安全性标准。在一些实施例中，步骤502可以由SoD链控制器130经由SoD网关124从一个或多个逻辑功能122接收应用或服务策略、要求、偏好或其它标准来执行。给定分组类型可以标识网络流、一个或多个消息或请求等的类型。

在步骤504中分析一个或多个安全性标准以识别一组安全性服务功能。在一些实施例中，SoD链控制器130通过将所接收的安全性标准与一组预定义的SoD模板相比较来执行该步骤。识别该组安全性服务功能可以包括SoD链控制器130利用SoD安全性功能清单132来检查所识别的安全性服务功能的活动状态。如果在SoD使能域102中需要任何安全性功能但其是不活动或不可用的，则SoD链控制器130可以识别通信网络的网络拓扑中的可用主机，并指示图像库120传送安全性功能图像，以用于在通信网络中的该主机上进行实例化。通信网络可以是软件定义的网络，安全性功能可以是PNF和/或VNF。

在步骤506中，创建第一安全性服务功能链，其中，第一安全性服务功能链标识包括所识别的一组安全性服务功能的至少第一SFP。如在上面参考图4所描述的，在一些情况下，安全性服务功能链可以包括两个或更多个不同的SFP，诸如用于认证流中的第一消息的第一SFP和在成功认证后用于该流中的附加消息的第二SFP。

在一些实施例中，第一安全性服务功能链与给定服务(诸如特定应用)相关，并且步骤506涉及以有序序列将所识别的一组安全性服务功能添加到给定服务的已有服务功能链中。在图4中的示例性流程400示出了创建与给定服务(即应用_1 122-6)相关的服务功能链。在其它实施例中，第一安全性服务功能链与任何特定服务无关，并且步骤506涉及选择所识别的一组安全性服务功能，而无需对所识别的一组安全性服务功能指定任何有序序列。在图3中的示例性流程300示出了创建与任何特定服务无关的服务功能链。

在步骤506中创建第一安全性服务功能链可以包括创建新的安全性服务功能链。这可以响应于在SoD使能域102中的SoD边缘节点104处接收到第一分组(诸如消息或请求)而完成，其中该第一分组没有映射到SoD分类器106中的一个或多个已有分类策略。重要的是注意，在本文档中，即使将安全性服务功能链插入到针对给定应用的已有通用服务功能链中，也可将其视为新的。在本文档中的术语“新的”表示针对给定应用的任何已有通用服务功能链不包括已有安全性服务功能链。

在一些实施例中，步骤506可以包括通过修改已有安全性服务功能链来创建第一安全性服务功能链。可以响应于对已有安全性服务功能链的分组流的安全性分析来修改已有安全性服务功能链。图3示出了这种场景的示例，其中，响应于SAAR 134的安全性分析来修改SFP 301-1。安全性分析可以包括SAAR 134执行对通信网络中的分组流的实时监控。SAAR 134还可以或可替代地基于来自SoD使能域102中的安全性服务功能的报告，基于来自逻辑功能122的更新的安全性标准等，执行安全性分析。

在步骤508中，利用第一安全性服务功能链以生成一个或多个SoD分类策略，其将给定分组类型的分组与第一安全性服务功能链相关联。在一些实施例中，步骤508包括生成SoD分类策略表的条目。在步骤510中，利用第一服务功能路径以生成一个或多个SoD转发策略，其中，SoD转发策略规定由所识别的一组安全性服务功能中相应的安全性服务功能来处理给定类型的分组。在一些实施例中，步骤510包括生成SoD转发策略表的条目。如上所述，步骤508和510可以由SoD链控制器130执行。

在步骤508中生成的SoD分类策略可以包括服务流路径标识符、所识别的一组安全性功能的序列、分类策略生成器标识符、分类策略生成器的角色、分类类型、服务标识符、服务类型、下一跳定位符以及一个或多个动作。SoD分类策略用于将输入分组绑定到特定SFP。如以上在图4的示例中所描述的，在某些情况下，第一安全性服务功能链标识两个或更多个不同的SFP，诸如SFP 401-1和401-2。除了将输入流绑定到第一安全性服务功能链以外，SoD分类策略还可以规定用于将给定分组类型的分组分配给不同SFP的规则。

在步骤510中生成的SoD转发策略可以包括服务流路径标识符、转发策略生成器标识符、转发策略生成器的角色、服务标识符、下一跳定位符以及一个或多个动作。安全性服务功能使用SoD转发策略以根据第一安全性服务功能链确定将流的分组发送到何处。如上所述，诸如安全性功能112和114的一些安全性功能包括SFF能力，因此可能够利用SoD转发策略以将分组适当地传递到SFP中的不同安全性功能。SoD链代理118可以代表没有SFF能力的传统安全性功能116提供这种能力。

在步骤512中，向通信网络中的一个或多个节点提供一个或多个SoD分类策略。在一些实施例中，这些节点可以是SDN网络架构中的边缘节点。在步骤514中，向通信网络中所识别的一组安全性服务功能的一个或多个安全性服务功能提供一个或多个SoD转发策略。在一些实施例中，这种安全性服务功能可以由通信网络中的节点(诸如SDN网络架构中的边缘节点)实现或与之相关联。SoD链控制器130可以经由SoD网络控制器128将SoD分类策略分发到SoD边缘节点104和108.SoD链控制器130可以将SoD转发策略分发到SoD分类器106、SFF110、安全性服务功能112和114以及SoD链代理118。

现在转向图6，其中示出了根据一个或多个实施例在其上实现按需安全性架构(例如，图1中的100)的处理平台。该实施例中的处理平台600包括多个标示为602-1、602-2、602-3、...602-P的处理设备，其通过网络604彼此通信。架构100的组件和/或模块中的一个或多个(例如，API、组件、数据库等)可以因此每个在一个或多个计算机或其它处理平台单元上运行，其每个可以被视为在本文中更一般地称为“处理设备”的示例。如在图6中所示，这样的设备通常包括至少一个处理器和相关联的存储器，并且实现用于实例化和/或控制在本文中描述的系统和方法的特征的一个或多个功能模块。在给定实施例中，多个元件或模块可以由单个处理设备实现。

处理平台600中的处理设备602-1包括耦合到存储器612的处理器610。处理器610可以包括微处理器、微控制器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它类型的处理电路，以及这些电路单元的部分或组合。在本文中公开的系统的组件可以至少部分地以存储在存储器中并且由诸如处理器610的处理设备的处理器执行的一个或多个软件程序的形式实现。具有在其中具体化的此类程序代码的存储器612(或其它存储设备)是在本文中更一般地称为处理器可读存储介质的示例。包括这样的处理器可读存储介质的制品被认为是实施例。给定的此类制品例如可以包括存储设备(诸如存储磁盘)、存储阵列或者包含存储器的集成电路。在本文中使用的术语“制品”应当理解为不包括暂时性的传播信号。

此外，存储器612可以包括任何组合的电子存储器，例如，随机存取存储器(RAM)、只读存储器(ROM)或其它类型的存储器。一个或多个软件程序在由诸如处理设备602-1的处理设备执行时使该设备执行与系统/方法500的一个或多个组件/步骤相关联的功能。本领域的技术人员将很容易能够在给出本文提供的教导的情况下实现这种软件。具体化实施例的处理器可读存储介质的其它示例例如可以包括光盘或磁盘。

在处理设备602-1中还包括网络接口电路614，其用于将处理设备与网络604和其它系统组件相连。这种电路可以包括本领域公知类型的传统收发机。

假定以与针对附图中的处理设备602-1而示出的类似的方式来配置处理平台600的其它处理设备602。

在图6中所示的处理平台600可以包括附加的已知组件，例如，批处理系统、并行处理系统、物理机、虚拟机、虚拟交换机、存储卷、逻辑单元等。同样，仅以示例的方式呈现图6所示的特定处理平台，并且图1的架构100可以包括附加或替代的处理平台，以及任何组合的多个不同的处理平台。

此外，服务器、计算机、存储设备或其它组件的许多其它布置也是可能的。这些组件可以通过任何类型的网络(例如，广域网(WAN)、局域网(LAN)、卫星网络、电话或有线网络、存储网络、融合网络或这些和其它类型网络的各种部分或组合)与系统的其它元件通信。

此外，应当理解，图6的处理平台600可以包括使用管理程序(hypervisor)实现的虚拟机(VM)。管理程序是在本文中更一般地称为“虚拟化基础架构”的示例。管理程序在物理基础架构上运行。处理平台600也可以包括多个管理程序，每个管理程序在其自己的物理基础架构上运行。众所周知，VM是可以在一个或多个物理处理单元(例如，服务器、计算机、处理设备)上实例化的逻辑处理单元。也即是说，VM通常是指执行程序的机器(即，计算机)如物理机器的软件实现。因此，不同的VM可以在同一物理计算机上运行不同的操作系统和多个应用。虚拟化由管理程序实现，管理程序直接插入计算机硬件之上，以动态且透明地分配物理计算机的硬件资源。管理程序提供了多个操作系统在单个物理计算机上并发运行并相互共享硬件资源的能力。

虽然本文在使用特定通信协议的通信网络的上下文中描述了某些说明性实施例，但是在其它实施例中可以使用其它类型的网络。如上所述，本文使用的术语“网络”因此旨在被广义地解释。此外，应当强调的是，上述实施例仅用于说明的目的，而不应被解释为以任何方式进行限制。其它实施例可以使用不同类型的网络、设备和模块配置，以及用于实现按需安全性架构的替代通信协议、方法步骤和操作。在其它实施例中，可以改变网络节点通信的特定方式。此外，应当理解，在描述说明性实施例的上下文中做出的特定假设不应被解释为对本发明的要求。本发明可以在其中不适用这些特定假设的其它实施例中实现。在所附权利要求范围内的这些和许多其它替代实施例对于本领域的技术人员是显而易见的。

Claims (20)

1.一种方法，包括：

创建第一安全性服务功能链，所述第一安全性服务功能链至少标识包括所识别的一组安全性服务功能的第一服务功能路径，所识别的一组安全性服务功能中的至少一个安全性服务功能包括软件定义网络SDN网络架构中的虚拟化网络功能；

利用所述第一安全性服务功能链以生成一个或多个分类策略，所述一个或多个分类策略将给定分组类型的分组与所述第一安全性服务功能链相关联；

利用所述第一服务功能路径以生成一个或多个转发策略，所述一个或多个转发策略规定由所识别的一组安全性服务功能中相应的安全性服务功能来处理所述给定分组类型的分组；

向包括所述SDN网络架构的通信网络中的一个或多个节点提供所述一个或多个分类策略；以及

向所述通信网络中所识别的一组安全性服务功能中的一个或多个安全性服务功能提供所述一个或多个转发策略；

其中，一个或多个所述步骤由处理设备执行。

2.根据权利要求1所述的方法，还包括：

接收针对所述给定分组类型的一个或多个安全性标准；以及

分析所述一个或多个安全性标准以确定所识别的一组安全性服务功能。

3.根据权利要求1所述的方法，其中，所识别的一组安全性服务功能中的至少一个安全性服务功能包括物理网络功能。

4.根据权利要求1所述的方法，其中，所述第一安全性服务功能链与给定服务相关，并且其中，创建所述第一安全性服务功能链包括：以有序序列将所识别的一组安全性服务功能添加到所述给定服务的已有服务功能链中。

5.根据权利要求1所述的方法，其中，所述第一安全性服务功能链与特定服务无关，并且，创建所述第一安全性服务功能链包括：选择所识别的一组安全性服务功能。

6.根据权利要求1所述的方法，其中，创建所述第一安全性服务功能链包括：创建新安全性服务功能链。

7.根据权利要求6所述的方法，其中，创建所述新安全性服务功能链是响应于在所述通信网络中的一个节点处接收没有映射到一个或多个已有分类策略的第一分组。

8.根据权利要求1所述的方法，其中，创建所述第一安全性服务功能链包括：修改已有安全性服务功能链。

9.根据权利要求8所述的方法，其中，修改所述已有安全性服务功能链是响应于对所述已有安全性服务功能链的分组流的安全性分析。

10.根据权利要求9所述的方法，其中，所述安全性分析是基于对所述通信网络中的所述分组流的实时监控。

11.根据权利要求9所述的方法，其中，所述安全性分析是基于来自所述通信网络中的至少一个安全性服务功能的报告。

12.根据权利要求1所述的方法，其中，所述分类策略中的至少一个分类策略包括以下中的两个或更多个：5元组、传输端口、一组端口、分组有效载荷的一部分、用户标识符、服务标识符、服务类型、分类类型、服务流路径标识符、所识别的一组安全性功能的序列、分类策略生成器标识符、分类策略生成器的角色、下一跳定位符以及一个或多个动作。

13.根据权利要求1所述的方法，其中，所述转发策略中的至少一个转发策略包括以下中的两个或更多个：5元组、传输端口、一组端口、分组有效载荷的一部分、用户标识符、服务标识符、服务类型、服务流路径标识符、转发策略生成器标识符、转发策略生成器的角色、下一跳定位符以及一个或多个动作。

14.根据权利要求1所述的方法，还包括：

确定所述通信网络是否包括所识别的一组安全性服务功能中的每一个安全性服务功能的活动实例；以及

响应于确定所述通信网络不包括所识别的一组安全性服务功能中的至少一个安全性服务功能的活动实例，从图像库中获取所述至少一个安全性服务功能的图像并在所述通信网络中实例化所述至少一个安全性服务功能。

15.根据权利要求1所述的方法，其中，创建所述第一安全性服务功能链包括：将所述安全性标准与一个或多个预定义的按需安全性模板相匹配。

16.根据权利要求1所述的方法，其中，所述第一安全性服务功能链标识两个或更多个不同的服务功能路径，并且其中，所述分类策略中的至少一个分类策略规定用于将所述给定分组类型的分组分配给所述不同的服务功能路径的一个或多个规则。

17.根据权利要求1所述的方法，其中，所述一个或多个转发策略包括用于不具有服务功能转发能力的传统安全性服务功能的至少一个转发策略，所述至少一个转发策略被提供给在所述通信网络中耦合到所述传统安全性服务功能向所述传统安全性服务功能提供服务功能转发能力的代理。

18.根据权利要求1所述的方法，其中，所述节点包括所述SDN网络架构中的边缘节点，并且所述方法还包括：向所述SDN网络架构中的一个或多个所述边缘节点提供一个或多个所述转发策略。

19.一种制品，包括处理器可读非暂时性存储介质，所述处理器可读非暂时性存储介质具有具体化在其中的可执行程序代码，所述可执行程序代码在由处理设备执行时使所述处理设备执行以下步骤：

创建第一安全性服务功能链，所述第一安全性服务功能链至少标识包括所识别的一组安全性服务功能的第一服务功能路径，所识别的一组安全性服务功能中的至少一个安全性服务功能包括软件定义网络SDN网络架构中的虚拟化网络功能；

利用所述第一安全性服务功能链以生成一个或多个分类策略，所述一个或多个分类策略将给定分组类型的分组与所述第一安全性服务功能链相关联；

利用所述第一服务功能路径以生成一个或多个转发策略，所述一个或多个转发策略规定由所识别的一组安全性服务功能中相应的安全性服务功能来处理所述给定分组类型的分组；

向包括所述SDN网络架构的通信网络中的一个或多个节点提供所述一个或多个分类策略；以及

向所述通信网络中所识别的一组安全性服务功能中的一个或多个安全性服务功能提供所述一个或多个转发策略。

20.一种装置，包括：

存储器；以及

处理器，其可操作地耦合到所述存储器以构成按需安全性平台，所述按需安全性平台被配置为：

创建第一安全性服务功能链，所述第一安全性服务功能链至少标识包括所识别的一组安全性服务功能的第一服务功能路径，所识别的一组安全性服务功能中的至少一个安全性服务功能包括软件定义网络SDN网络架构中的虚拟化网络功能；

利用所述第一安全性服务功能链以生成一个或多个分类策略，所述一个或多个分类策略将给定分组类型的分组与所述第一安全性服务功能链相关联；

利用所述第一服务功能路径以生成一个或多个转发策略，所述一个或多个转发策略规定由所识别的一组安全性服务功能中相应的安全性服务功能来处理所述给定分组类型的分组；

向包括所述SDN网络架构的通信网络中的一个或多个节点提供所述一个或多个分类策略；以及

向所述通信网络中所识别的一组安全性服务功能中的一个或多个安全性服务功能提供所述一个或多个转发策略。