CN110752961A - 用于安全监视虚拟网络功能的安全个性化的技术 - Google Patents

用于安全监视虚拟网络功能的安全个性化的技术 Download PDF

Info

Publication number
CN110752961A
CN110752961A CN201911233837.XA CN201911233837A CN110752961A CN 110752961 A CN110752961 A CN 110752961A CN 201911233837 A CN201911233837 A CN 201911233837A CN 110752961 A CN110752961 A CN 110752961A
Authority
CN
China
Prior art keywords
security
vnf
nfv
policy
monitoring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911233837.XA
Other languages
English (en)
Other versions
CN110752961B (zh
Inventor
K·索德
M·内德巴尔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of CN110752961A publication Critical patent/CN110752961A/zh
Application granted granted Critical
Publication of CN110752961B publication Critical patent/CN110752961B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/40Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
    • H04L67/61Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources taking into account QoS or priority requirements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

用于网络功能虚拟化(NFV)架构中的安全监视虚拟网络功能(VNF)的安全个性化的技术包括各种安全监视组件,包括NFV安全服务控制器、VNF管理器和安全监视VNF。安全监视VNF被配置为从NFV安全服务控制器接收供应数据,并使用供应数据的至少一部分来执行相互认证的密钥交换过程,以在安全监视VNF和VNF管理器之间建立安全通信路径。安全监视VNF还被配置为经由安全通信路径,从VNF管理器接收个性化数据,并且执行个性化操作以基于个性化数据配置安全监视VNF的一个或多个功能。描述且要求保护其他实施例。

Description

用于安全监视虚拟网络功能的安全个性化的技术
本申请是2016年5月16日提交的申请号为201680028098.9的同名专利申请的分案申请。
相关申请的交叉引用
本申请要求于2015年9月25日提交的题为“TECHNOLOGIES FOR SECUREPERSONALIZATION OF A SECURITY MONITORING VIRTUAL NETWORK FUNCTION”的美国实用专利申请序号14/866,565的优先权,该申请在35U.S.C.第119(e)条下要求于2015年6月16日提交的题为“TECHNOLOGIES FOR SECURE PERSONALIZATION OF A SECURITY MONITORINGVIRTUAL NETWORK FUNCTION”的美国临时专利申请序号62/180,433的优先权。
背景技术
网络运营商和服务提供商通常依靠各种网络虚拟化技术来管理诸如高性能计算(HPC)和云计算环境的复杂的大规模计算环境。例如,网络运营商和服务提供商网络可能依靠网络功能虚拟化(NFV)部署来部署网络服务(例如,防火墙服务,网络地址转换(NAT)服务,负载均衡服务,深度分组检测(DPI)服务,传输控制协议(TCP)优化服务等)。这种NFV部署通常使用NFV基础设施来编排各种虚拟机(VM),以对网络流量执行通常称为虚拟化网络功能(VNF)的虚拟化网络服务,并管理跨越各种VM的网络流量。
与传统的非虚拟化部署不同,虚拟化部署将网络功能与底层硬件分离,这导致高度动态且通常能够在具有通用处理器的现成服务器上执行的网络功能和服务。因此,可以基于对网络流量执行的特定功能或网络服务来根据需要向内扩展/向外扩展VNF。然而,用于监视传统的非虚拟化部署的功能组件之间的网络流量处理的传统的访问暴露接口(例如,经由探测器的访问接口)的方式对于VNF部署中的访问来说并不是那么明显。例如,欧洲电信标准协会(ETSI)的NFV行业规范组已经发布了许多虚拟化模型,其中这种访问/监视接口可能被遮蔽。此外,各种部署(例如,VNF内,VNF之间等)中可用的不同访问接口的数量可能使得难以探测关于VNF的期望信息。例如,一些部署可以实现供应商专有的非标准化接口,以便优化处理能力并减少归因于信令的延迟,这可能限制访问可用性。
附图说明
这里描述的概念在附图中通过示例而非限制的方式进行了说明。为了说明的简单和清楚,附图中所示的元件不一定按比例绘制。在适当的情况下,图中已经重复了参考标记,以表明相应或相似的元件。
图1是用于监视在包括NFV基础设施的一个或多个计算节点的网络功能虚拟化(NFV)安全架构处处理的网络通信的安全性的系统的至少一个实施例的简化框图;
图2是图1的系统的NFV基础设施的计算节点之一的至少一个实施例的简化框图;
图3是图1的系统的端点设备的至少一个实施例的简化框图;
图4是图1的系统的NFV安全架构的至少一个实施例的简化框图;
图5是图1和图4的NFV安全架构的NFV安全服务控制器的环境的至少一个实施例的简化框图;
图6是图4的NFV安全架构的NFV安全服务代理的环境的至少一个实施例的简化框图;
图7是用于管理可由图5的NFV安全服务控制器执行的安全监视服务的方法的至少一个实施例的简化流程图;
图8是用于更新可由图5的NFV安全服务控制器执行的安全监视策略的方法的至少一个实施例的简化流程图;
图9是用于初始化图4的NFV安全服务代理之一的通信流的至少一个实施例的简化流程图;
图10是用于监视可以由图4的一个或多个NFV安全服务代理执行的图1的NFV网络架构的安全性的方法的至少一个实施例的简化流程图;
图11是用于监视图1的NFV网络架构的服务功能链(SFC)的安全性的通信流的至少一个实施例的简化流程图;
图12是图1和图4的NFV安全架构的安全监视VNF的环境的至少一个实施例的简化框图;
图13是用于提供图1的NFV网络架构的安全VNF个性化和策略协议的通信流的至少一个实施例的简化流程图;且
图14是用于更新图12的安全VNF个性化和策略协议的通信流的至少一个实施例的简化流程图。
具体实施方式
虽然本公开的概念易于进行各种修改和替代形式,但是其具体实施例已经在附图中通过示例的方式示出,并且将在本文中进行详细描述。然而,应当理解,不意图将本公开的概念限制为所公开的特定形式,而是相反,意图是覆盖与本公开和所附权利要求一致的所有修改方案、等同方案和替代方案。
说明书中对“一个实施例”,“实施例”,“示例性实施例”等的提及表示所描述的实施例可以包括特定的特征、结构或特性,但是每个实施例可以或可以不必然包括该特定的特征、结构或特性。此外,这样的短语不一定指代相同的实施例。此外,当结合实施例描述特定特征、结构或特性时,认为结合其他实施例来实现这样的特征、结构或特性是在本领域技术人员的知识内,无论是否明确描述。此外,应当意识到,列表中以“A,B和C中的至少一个”的形式包括的项目可以意味着(A);(B);(C);(A和B);(A和C);(B和C);或(A,B和C)。类似地,以“A,B或C中的至少一个”的形式列出的项目可以指(A);(B);(C);(A和B);(A和C);(B和C);或(A,B和C)。
在一些情况下,所公开的实施例可以以硬件、固件、软件或其任何组合实现。所公开的实施例还可以被实现为由一个或多个暂时性或非暂时性机器可读(例如,计算机可读)存储介质承载或存储的指令,其可由一个或多个处理器读取和执行。机器可读存储介质可以被实现为用于以机器可读的形式存储或发送信息的任何存储设备、机构或其他物理结构(例如,易失性或非易失性存储器,介质盘或其他介质设备)。
在附图中,可以以具体的布置和/或顺序示出一些结构或方法特征。然而,应当意识到,可能不需要这种具体的布置和/或排序。相反,在一些实施例中,这些特征可以以与说明性图中所示的不同的方式和/或顺序排列。另外,在特定附图中包括结构或方法特征并不意味着指在所有实施例中都需要这样的特征,并且在一些实施例中可以不包括这些特征或者可以将其与其它特征组合。
现在参考图1,在说明性实施例中,用于监视网络通信的安全性的系统100包括网络功能虚拟化(NFV)安全架构116以处理端点设备118与另一端点设备120之间的网络通信。NFV安全架构116包括多个网络处理组件,包括NFV编排器104、虚拟基础设施管理器(VIM)106和NFV基础设施108。应当意识到,在一些实施例中,NFV安全架构116可以包括附加和/或替代网络处理组件(物理和/或虚拟)以对网络流量数据(例如,网络流量有效载荷,网络分组报头等)执行处理功能(例如,分析,网络功能等)。
另外,NFV安全架构116包括许多安全监视组件,包括NFV安全服务控制器102。在使用中,NFV安全服务控制器102管理跨越NFV安全架构116的各种安全监视组件,各种安全监视组件执行遥测数据的主动和/或被动监视。为此,NFV安全服务控制器102基于由NFV安全服务控制器102管理的安全策略(例如,参见图4的管理程序462)来实例化要监视的许多NFV安全服务代理(例如,参见图4的NVF安全服务代理468)。NFV安全服务代理另外被配置成收集、打包并安全地发送遥测数据以便进行分析。
由每个NFV安全服务代理收集的遥测数据可以实现为或可以包括可以在其上执行安全性分析的任何类型的数据。例如,说明性遥测数据包括NFV安全服务代理所在的组件和相对于该组件处理的网络流量数据的相应的组件级配置、操作和策略数据。如下面更详细地讨论的,NFV安全服务代理被配置为打包信息并将打包的信息安全地传送到NFV安全监视分析系统(参见例如图4的NFV安全监视分析系统438)。在使用中,NFV安全监视分析系统确定遥测数据中是否存在任何威胁和/或异常。NFV安全监视分析系统还向NFV安全服务控制器102提供修复安全策略以解决任何检测到的威胁和/或异常。作为响应,NFV安全服务控制器102基于修复安全策略更新NFV安全服务代理的安全策略,并且跨越NFV安全服务代理强制实施更新的安全策略。
如将在下面进一步详细描述的那样,NFV基础设施108包括能够管理(例如,创建,移动,销毁等)多个虚拟机(VM)的一个或多个计算节点110,VM被配置为作为虚拟化网络功能(VNF)实例操作。VNF实例或VNF中的每个通常依赖于一个或多个VM,VM可以运行不同的软件和/或进程来对网络流量执行网络服务(例如,防火墙服务,网络地址转换(NAT)服务,负载平衡服务,深度分组检测(DPI)服务,传输控制协议(TCP)优化服务,入侵检测服务等)。此外,为了提供某些网络服务,可以创建多个VNF作为服务功能链,或VNF转发图(即,以有序序列执行以实现期望的网络服务的一系列VNF)。
NFV安全架构116的网络和安全监视组件可以部署在各种虚拟化网络架构中,例如虚拟演进分组核心(vEPC)基础设施,虚拟客户前提设备(vCPE)基础设施或任何其他类型的运营商可视化基础设施。应当意识到,根据部署NFV安全架构116的网络架构,NFV安全架构116可以包括一个或多个NFV安全服务控制器102、一个或多个NFV编排器104、一个或多个VIM 106和/或一个或多个NFV基础设施108。
NFV安全服务控制器102可以实现为或能够包括能够执行本文描述的功能的任何类型的硬件、软件和/或固件,诸如管理NFV安全架构116的安全监视组件。如将在下面进一步详细描述的那样,NFV安全服务控制器102被配置为用作安全监视编排器。为此,NFV安全服务控制器102被配置为发送包括各种监视规则的安全监视策略,其可以包括安全监视策略、安全通信路径策略、配置参数以及向整个NFV安全架构116的安全监视组件(例如,图4的NFV安全服务代理)指示要监视哪些遥测数据以及如何配置安全监视组件的功能描述符。NFV安全服务控制器102另外配置为强制实施在整个NFV安全架构116传输的安全监视策略。各种安全功能可以包括但不限于:确保服务功能链(SFC)供应,强制实施SFC安全配置和监视,提供机密性保护令牌,管理受保护的策略传输,以及提供VNF间SFC路径保护。
为了取回和/或更新安全监视策略,NFV安全服务控制器102可以被配置为与一个或多个外部安全系统(例如,
Figure BDA0002304145210000061
安全控制器),安全数据库(参见图4的NFV安全数据库412)和/或安全策略引擎进行交互。为了与外部安全系统通信,NFV安全服务控制器102可以向外部安全服务编排系统递送应用编程接口(API)和/或安全策略。在一些实施例中,NFV安全服务控制器102可以充当受信任的第三方来认证跨越NFV安全架构116的各种网络和安全监视组件的消息。
此外,NFV安全服务控制器102被配置为管理一个或多个安全监视VNF或虚拟安全功能(VSF)VNF,以部署到虚拟化环境中以创建一组虚拟安全设备。因此,NFV安全服务控制器102可以被配置为根据上述安全策略跨越NFV安全架构116维持一致的状态。安全监视VNF(参见例如下面进一步详细描述的图4的安全监视VNF 446)是能够与NFV安全服务控制器102交互的专用安全虚拟工具。
例如,安全监视VNF可以是防火墙,入侵检测/防止系统,反恶意软件,沙盒,安全身份管理器,数据丢失防护或用于部署NFV安全架构116的组件的任何其他安全功能。因此,可以将NFV安全服务控制器102配置为公开可由NFV安全服务控制器102编排的安全功能的目录,将安全监视VNF注册到VIM 106中,管理安全监视VNF的实例,将安全监视VNF与其相应的VNF管理器(例如,图4的VNF管理器432)配对,个性化安全监视VNF,管理安全策略,以及执行完整性声明,凭证管理,促进多个安全监视VNF集群化到分布式工具中,并监视安全监视VNF的故障和修复。应当意识到,由于安全监视VNF是VNF,所以每个安全监视VNF与特定的VNF管理器相关联,在安全实例化时(例如,安全监视VNF的安全引导),安全监视VNF可以连接到该特定的VNF管理器以用于接收策略和其他数据(例如,恶意软件的签名等)。
在一些实施例中,安全监视VNF可被视为统一集群。因此,不管哪个安全监视VNF实例看到某种类型的工作负载流量,可以在VNF管理器上定义统一的结果。因此,可以将更新的策略传播到各个安全监视VNF。在这样的实施例中,NFV安全服务控制器102可以断言安全监视VNF的完整性,并管理安全监视VNF实例之间的其他共同点(包括凭证,设备设置和/或其他操作方面)。在一些实施例中,这种完整性断言和管理可以以自动方式执行。因此,NFV安全服务控制器102可以管理跨NFVI内的多个物理主机(例如,图4的NFVI 440)或跨分布式NFVI部署的多个安全监视VNF实例。
应当意识到,在采用动态供应的这样的实施例中,安全监视VNF实例可以由VIM106以向内扩展/向外扩展的方式部署。可替代地,在采用预供应安全监视的这样的实施例中,安全监视VNF实例可以静态地部署到NFV基础设施108中。此外,可以使用部署策略来确定何种类型的安全监视VNF实例、多少安全监视VNF实例等将动态部署或预部署到NFV基础结构108中。因此,NFV安全服务控制器102被配置为确保根据部署策略部署安全监视VNF实例。
NFV安全服务控制器102还可以被配置为,在确定安全监视VNF的健康可能危及NFV安全架构116的一个或多个组件的安全完整性时,监视安全监视VNF的健康并采取纠正措施(例如,创建新的安全监视VNF,终止现有的VNF,更新安全策略等)。因此,NFV安全服务控制器102可被配置为从安全监视VNF接收故障检测和纠正选项。因此,NFV安全服务控制器102可以配置将要采取的动作为自动化。
应当意识到,在一些实施例中,NFV安全服务控制器102可以与NFV编排器104共存,诸如在NFV管理和编排(MANO)架构框架中。还应当意识到,在一些实施例中,NFV安全服务控制器102可具有比NFV安全架构116的其他网络和安全监视组件更高的安全特权,以确保NFV安全服务控制器102的完整性和安全性。
NFV编排器104可以被实现为能够执行本文描述的功能的任何类型的电路和/或硬件、软件和/或固件组件,诸如经由VNF管理器来管理VNF的生命周期(例如,实例化,向外扩展/向内扩展,性能测量,事件相关,终止等)(参见图4),管理全球资源,验证和授权NFV基础架构108的资源请求,新的VNF的配置入网,和/或管理VNF的各种策略和包。例如,NFV编排器104可以被配置为从影响特定VNF的运营商接收资源请求。在使用中,NFV编排器104基于运营商的请求管理任何适用的处理、存储和/或网络配置调整,以使VNF运行或符合资源请求。一旦运行,NFV编排器104可以根据需要监视VNF的容量和利用率,容量和利用率可以由NFV编排器104进行调整。
VIM 106可以被实现为或能够包括能够执行本文描述的功能的任何类型的硬件、软件和/或固件,诸如控制和管理NFV基础设施108在一个运营商的基础设施子域内计算、存储和网络资源(例如,物理和虚拟),以及收集和转发性能测量和事件。应当意识到,在一些实施例中,NFV编排器104可以与VIM 106共存,诸如在NFV MANO架构框架中。
NFV基础设施108可以被实现为或以其他方式包括任何类型的虚拟和/或物理处理和存储资源,诸如一个或多个服务器或其他计算节点以及虚拟化软件。例如,说明性的NFV基础设施108包括一个或多个计算节点110。说明性的计算节点110包括被指定为计算节点(1)112的第一计算节点和被指定为计算节点(N)114的第二计算节点(即,计算节点110的“第N个”计算节点,其中“N”是正整数,并指定一个或多个附加计算节点110)。
计算节点110可以被实现为能够执行本文描述的功能的任何类型的计算或计算机设备,包括但不限于服务器(例如,独立的,机架安装的,刀片式的,等等),网络工具(例如物理或虚拟),高性能计算设备,web工具,分布式计算系统,计算机,基于处理器的系统,多处理器系统,智能电话,平板电脑,膝上型计算机,笔记本计算机和/或移动计算设备。如图2所示,在实施例中,每个计算节点110示例性地包括处理器202、输入/输出(I/O)子系统206、存储器208、数据存储设备214、安全时钟216和通信电路218。当然,在其他实施例中,计算节点110可以包括其他或附加组件,诸如在服务器中常见的那些(例如,各种输入/输出设备)。另外,在一些实施例中,一个或多个说明性组件可以并入或以其他方式形成另一组件的一部分。例如,在一些实施例中,存储器208或其部分可以并入处理器202中。
处理器202可以被实现为能够执行本文所描述的功能的任何类型的处理器。例如,处理器202可被实现为单核或多核处理器、数字信号处理器、微控制器或其他处理器或处理/控制电路。说明性的处理器202包括一个或多个可信执行环境(TEE)支持204或安全区域支持,其可以被计算节点110用于建立可信执行环境。应当意识到,在一些实施例中,TEE支持204为可信执行环境提供硬件加强的安全性,其中可以测量、核实或以其他方式确定执行代码是可信的。例如,TEE支持204可以实现为
Figure BDA0002304145210000091
软件保护扩展(SGX)技术。尽管TEE支持204在处理器202中被示意性地示出,但是应当意识到,在一些实施例中,计算节点110的其他组件中的一个或多个可以包括TEE支持204。此外,在一些实施例中,计算节点110的处理器202可以包括安全引擎(例如,下面讨论的安全引擎224),可管理性引擎或被配置为利用TEE支持204建立可信执行环境的安全协处理器。
存储器208可以被实现为能够执行本文所描述的功能的任何类型的易失性或非易失性存储器或数据存储设备。在操作中,存储器208可以存储在计算节点110的操作期间使用的各种数据和软件,诸如操作系统、应用、程序、库和驱动程序。存储器208经由I/O子系统206通信地耦合到处理器202,I/O子系统206可被实现为用于促进与处理器202、存储器208和计算节点的其他组件的输入/输出操作的电路和/或组件。例如,I/O子系统206可以实现为或者以其它方式包括存储器控制器中心、输入/输出控制中心、固件设备、通信链路(即,点对点链路,总线链路,电线,电缆,光导,印刷电路板迹线等)和/或其他组件和子系统以便于输入/输出操作。
说明性的存储器208包括安全存储器210。在一些实施例中,安全存储器210可被实现为存储器208的安全分区;而在其他实施例中,安全存储器210可以被实现或包括在计算节点110的单独硬件组件上。如本文所述,安全存储器210可以存储提供给计算节点110的各种数据。例如,安全存储器210可以存储计算节点110的安全密钥(例如,证明密钥,私人直接匿名证明(DAA)密钥,增强型隐私标识(EPID)密钥或任何其他类型的安全/密码密钥),其可以由芯片组和/或可信执行环境的制造商提供。安全存储器210还可以存储本文中例如由计算节点110的原始设备制造商(OEM)提供的计算节点110的密码、PIN或其他唯一标识符。当然,应当意识到,安全存储器210可以根据特定实施例(例如,组名,设备标识符,白名单,期望的PIN值等)存储各种其他数据。在一些实施例中,供应数据可以存储在安全存储器210的只读存储器中。
说明性的存储器208另外包括基本输入/输出系统(BIOS)212。BIOS 212包括在引导过程期间初始化计算节点110的指令(例如,在引导计算节点110期间使用的BIOS驱动程序)。在一些实施例中,计算节点110可以通过主平台固件或预引导固件(例如基于统一可扩展固件接口“UEFI”规范(其具有由统一EFI论坛发布的几个版本)的
Figure BDA0002304145210000101
平台芯片组或平台BIOS 212的扩展)来促进VNF的编排。
数据存储设备214可以被实现为被配置用于数据的短期或长期存储的任何类型的一个设备或多个设备,例如存储器设备和电路,存储卡,硬盘驱动程序,固态驱动程序,或其他数据存储设备。在使用中,如下所述,数据存储设备214和/或存储器208可以存储安全监视策略、配置策略或其他类似的数据。
安全时钟216可以被实现为能够提供安全定时信号和以其它方式执行本文描述的功能的任何硬件组件或电路。例如,在说明性实施例中,安全时钟216可以生成与计算节点110的其他时钟源分离和功能独立的定时信号。因此,在这样的实施例中,安全时钟216可以是对由诸如在计算节点110上执行的软件的其它实体的改动免疫或抵制。应当意识到,在一些实施例中,安全时钟216可被实现为独立组件或电路,而在其它实施例中,安全时钟216可以与另一组件(例如,处理器202)的安全部分集成或形成另一组件(例如,处理器202)的安全部分。例如,在一些实施例中,安全时钟216可以经由片上振荡器实现和/或被实现为可管理引擎(ME)的安全时钟。还应当意识到,安全时钟216可以与其他计算节点110的安全时钟同步,并且粒度可以具有可以区分不同消息定时的量级。
计算节点110的通信电路218可以被实现为能够实现计算节点110和另一个计算节点110、NFV编排器104、VIM 106、端点设备118,120和/或其他连接的启用网络的计算节点之间的通信的任何通信电路、设备或其集合。通信电路218可以被配置为使用任何一种或多种通信技术(例如,有线或无线通信)和相关联的协议(例如,以太网,
Figure BDA0002304145210000102
WiMAX,GSM,LTE等)来实现这样的通信。说明性的通信电路218包括网络接口卡(NIC)220和交换机222。NIC 220可以被实现为一个或多个附加板、子卡、网络接口卡、控制器芯片、芯片组或可以由计算节点110使用的其他设备。例如,NIC 220可以被实现为通过诸如PCI Express的扩展总线耦合到I/O子系统206的扩展卡。交换机222可以被实现为能够执行网络交换操作并且以其它方式执行本文描述的功能的任何硬件组件或电路,诸如以太网交换芯片,PCI Express交换芯片等。
如上所述,计算节点110还可以包括安全引擎224,安全引擎224可被实现为能够在计算节点110上建立可信执行环境(TEE)的任何硬件组件或电路。特别地,安全引擎224可以支持与由计算节点110执行的其他代码独立和受保护的执行代码和/或访问数据。安全引擎224可以被实现为可信平台模块(TPM)(例如,物理或虚拟)、可管理性引擎、带外(OOB)处理器或其他安全引擎设备或设备集合。在一些实施例中,安全引擎224可被实现为并入计算节点110的片上系统(SoC)中的融合安全性和可管理性引擎(CSME)。
再次参考图1,说明性的NFV安全架构116通信地耦合在两个端点设备118和120之间。在说明性的系统100中,第一端点设备被指定为端点设备(1)118,并且第二端点设备被指定为端点设备(2)120。然而,应当意识到,可以通过NFV安全架构116连接任何数量的端点设备。端点设备118,120经由网络(未示出)使用有线或无线技术与NFV安全架构116通信地耦合,以形成端到端通信系统,其中端点设备(1)可以与端点设备(2)进行通信,反之亦然。因此,NFV安全架构116可以监视和处理在端点设备118,120之间传输的网络通信业务(即,网络分组)。
端点设备118,120通信所经由的网络可以实现为任何类型的有线或无线通信网络,包括诸如全球移动通信系统(GSM)或长期演进(LTE)的蜂窝网络,电话网络,数字用户线(DSL)网络,有线网络,局域网或广域网,全球网络(例如因特网)或其任何组合。例如,在一些实施例中,网络可以被实现为具有vEPC架构的基于NFV的长期演进(LTE)网络。应当意识到,网络可以用作集中式网络,并且在一些实施例中可以通信地耦合到另一个网络(例如,因特网)。因此,网络可以按需包括虚拟和物理的各种网络设备,例如路由器,交换机,网络集线器,服务器,存储设备,计算设备等,以促进端点设备118和120与NFV安全架构116之间的通信。
端点设备118,120可以被体现为能够执行本文描述的功能的任何类型的计算或计算机设备,包括但不限于智能电话,移动计算设备,平板电脑,膝上型计算机,笔记本计算机,计算机,服务器(例如,独立的,机架式的,刀片式的等),网络工具(例如,物理或虚拟的),web工具,分布式计算系统,基于处理器的系统,和/或多处理器系统。如图3所示,类似于图2的计算节点110,说明性的端点设备(例如,图1的端点设备118,120中的一个)包括处理器302、输入/输出(I/O)子系统304、存储器306、数据存储设备308、一个或多个外围设备310和通信电路312。这样,为了清楚描述,本文不对类似组件的进一步描述进行重复,理解的是,上面关于计算节点110提供的对应组件的描述同样适用到端点设备118,120的相应组件。
当然,端点设备118,120可以包括其他或附加组件,例如在其他实施例中能够在电信基础设施中操作的移动计算设备中常见的组件(例如,各种输入/输出设备)。另外,在一些实施例中,一个或多个说明性组件可以并入或以其他方式形成另一组件的一部分。外围设备310可以包括任何数量的输入/输出设备、接口设备和/或其他外围设备。例如,在一些实施例中,外围设备310可以包括显示器、触摸屏、图形电路、键盘、鼠标,扬声器系统和/或其他输入/输出设备、接口设备和/或外围设备。
现在参考图4,图1的用于监视NFV安全架构116的安全性的NFV安全架构116的说明性实施例包括图1的NFV安全服务控制器102、NFV编排器104、VIM 106和NFV基础设施108。说明性示例116的每个安全监视组件包括唯一地标识对应的安全监视组件的全局唯一的安全标识符。全局唯一的安全标识符可以基于例如安全监视组件的媒体访问控制(MAC)地址,分配给安全监视组件的因特网协议(IP)地址,嵌入到安全监视组件的安全存储器210中的标识符(例如,BIOS 212(UEFI)标识符,安全监视组件的操作系统的标识符等)。全局唯一的安全标识符可以在物理TPM或基于软件的可信模块内得到保护(例如安全引擎224的固件TPM(例如,ME,融合安全性和可管理性引擎(CSME),创新引擎),安全分区,安全协处理器或单独的处理器核心等),和/或存储在安全位置(例如,安全存储器210)中。任何安全监视组件或其功能可以在安全环境(例如,处理器202的TEE支持204)中实例化。因此,每个实例化可以由全局唯一的安全标识符来标识。此外,在一些实施例中,全局唯一的安全标识符可以在实例化时被绑定到用例消息传递。
另外,每个唯一的使用实例包括唯一的使用标识符。因此,可以唯一地标识NFV安全架构116内的多个使用和流,例如用于审计,认证,控制,调试等。如前所述,在一些实施例中,NFV安全架构116可以包括NFV安全服务控制器102、NFV编排器104和VIM 106的一个或多个实例。在这样的实施例中,组件的多个实例可被镜像以使用相同的外部标识符,并且另外包括唯一的内部标识符(例如,实例安全标识符)以区分镜像组件。
此外,NFV安全架构116的每个逻辑组件可以被分离成多于一个物理和/或逻辑组件以处理特定的用途,例如SFC策略,VNF间通信密钥,VIM控制器424策略等等。在这样的实施例中,物理和/或逻辑组件可以由运营商或云提供商连同全局唯一标识符(GUID)一起签名,其可以在安装之前被验证。可以使用私钥执行签名,私钥的公钥(例如,证书密钥,熔丝密钥,设备专用密钥等)可以被嵌入到NFV基础设施108中并由NFV安全服务代理进行访问。因此,可以在对物理和/或逻辑组件的环境的严格控制下由NFV安全服务代理执行验证。
NFV安全服务控制器102经由安全通信信道406通信地耦合到所述NFV编排器104。如上所述,在一些实施例中,NFV安全服务控制器102和NFV编排器104可以是共存的,诸如在MANO架构框架中。此外,NFV安全服务控制器102经由安全通信信道414通信地耦合到VIM106,并且NFV编排器104经由安全通信信道416通信地耦合到VIM 106。安全通信信道406,414,416,以及NFV安全架构116的其他安全通信信道可以用由NFV安全服务控制器102用于建立信任根(RoT)的安全密钥(例如,会话密钥和/或其他密码密钥)来保护,以建立NFV安全架构116的通信信道(例如,安全通信信道406,414,416)。在一些实施例中,安全密钥可以体现为可以周期性地刷新的成对会话密钥。因此,NFV安全服务控制器102可以被配置为充当认证服务器。
NFV安全架构116另外包括经由通信信道404通信地耦合到NFV编排器104的操作支持系统和业务支持系统(OSS/BSS)402。OSS/BSS 402可以被实现为能够执行本文描述的功能的任何类型计算或计算节点,例如在电话网络中支持各种端到端电信服务。在一些实施例中,OSS/BSS 402可以被配置为支持诸如网络库存、服务供应、网络配置和故障管理的管理功能,以及支持可被OSS/BSS 402支持的端到端电信服务的各种业务功能,如产品管理、客户管理、收入管理、订单管理等。
如前所述,在使用中,NFV安全服务控制器102跨越NFV安全架构116的各种安全监视组件提供并强制实施安全监视策略。为此,NFV安全服务控制器102将安全监视策略跨越相应的安全通信信道发送到NFV编排器104和VIM 106。NFV安全服务控制器102还经由安全通信信道418进一步通信地耦合到NFV安全监视分析系统438。
将在下面进一步描述的NFV安全监视分析系统438基于NFV安全监视分析系统438是否已经在根据目前强制实施的安全监视策略中接收到的遥测数据的分析中检测到安全威胁,例如攻击(例如,拒绝服务(DoS)攻击,中间人攻击,窃听,数据修改攻击等)或异常来向NFV安全服务控制器102提供修复策略(即更新的安全监视策略)。因此,NFV安全服务控制器102被配置为基于修复策略来强制实施对安全监视策略的任何更新,例如通过可以采取的用于解决威胁或验证异常的纠正措施。例如,纠正措施可能包括阻止某些网络流量(即某些网络分组),将某些网络流量流式传输到深度分组检测(DPI)VNF实例,速率限制或限制网络流量等。因此,NFV安全服务控制器102然后可以向VIM 106的NFV安全服务提供器420发送安全策略更新。
另外,说明性的NFV安全服务控制器102与三个逻辑安全数据库接合:审计数据库410,NFV安全数据库412和VSF目录数据库。审计数据库410被实现为包括相对于NFV安全架构116的各种安全监视组件的安全审计信息的安全数据库。安全审计信息可以包括配置更改日志、网络痕迹、调试痕迹、应用程序痕迹等。在说明性的NFV安全架构116中,审计数据库410另外被配置为与NFV安全架构116的其他网络和安全监视组件(例如VIM106)以及跨越NFV安全架构116分布的各种NFV安全服务代理进行接合,这些将在下面进一步详细讨论。在一些实施例中,与审计数据库410接合的说明性NFV安全架构116的各种安全监视组件可以使用安全时钟(例如,图2的安全时钟216)来对在审计数据库410处接收到的遥测数据进行加时间戳用于安全存储。因此,NFV安全服务控制器102可以基于遥测数据的时间戳来审计遥测数据(即,对遥测数据进行验证和排序)。
NFV安全性数据库412被实现为用于跨越NFV安全架构116(即跨越NFV安全架构116)部署安全监视的安全数据库。因此,NFV安全数据库412可以包括诸如NFV订户/租户、SFC策略、SFC路径保护策略、用于VIM 106的控制器策略(例如,VIM控制器424)、NFV安全监视策略和配置、NFV安全供应凭证(例如,用于保护SFC)、服务功能链、VNF间策略、一个或多个云操作系统安全策略和/或特定于租户的安全策略的安全数据结构。
VSF目录数据库492被实现为包括用于添加和移除安全监视VNF的指令目录以及关于安全监视VNF的元数据和信息的安全数据库。换句话说,VSF目录数据库492可以用作安全监视VNF的存储库。应当意识到,在安全监视VNF对VSF目录数据库492进行“检入”时,VSF目录数据库492可以变得可用于编排。
如前所述,在使用中,NFV编排器104管理NFV基础设施108中的VNF的生命周期,包括实例化,向外扩展/向内扩展,测量性能,相关事件,终止等。为此,NFV编排器104被配置为经由安全通信信道434向VNF管理器432提供指令,以基于NFV基础设施108的资源(参见VNF实例440)来管理NFV基础设施108的VNF的初始化和配置(即,扩展和部署)。VNF管理器432还被配置为对NFV基础设施108的配置和事件报告执行总体协调和调整。另外,VNF管理器432被配置为更新并确保VNF的完整性。为此,VNF管理器432被配置为经由安全通信信道430与VIM 106协商,以确定在其上实例化特定VNF实例的可用物理资源。应当意识到,VIM 106可以使用任何合适的技术、算法和/或机制进行这样的确定。还应当意识到,在一些实施例中,单个VNF管理器432可负责管理一个或多个VNF实例。换句话说,在一些实施例中,VNF管理器432可以对于每个VNF实例而被实例化。
如前所述,在使用中,VIM 106通过经由安全通信信道474安全传输的消息来控制和管理NFV基础设施108的虚拟和硬件计算、存储和网络资源的分配。另外,VIM 106可以被配置为收集并安全地将NFV基础设施108的计算、存储和网络资源(例如,物理和虚拟)的性能测量和事件转发到审计数据库410。说明性的VIM 106包括NFV安全服务提供器420、VIM控制器424和多个VIM组件428。NFV安全服务提供器420被配置为经由安全通信信道414从NFV安全服务控制器102接收安全监视策略,实现跨越NFV基础架构108的各种安全监视组件的安全监视策略,以及基于从NFV安全服务控制器102接收的安全监视策略供应VNF实例(例如,VNF实例440的服务功能链VNF 452)。
另外,NFV安全服务提供器420被配置为安全地与VIM 106和NFV基础设施108的NFV安全服务代理中的一个或多个通信。VIM控制器424被配置为用作网络策略控制器,或网络服务控制器,诸如例如软件定义的网络(SDN)控制器或OpenStack Neutron。VIM组件428可以包括安装VNF实例和/或激活服务可能需要的VIM 106的任何附加物理和/或虚拟计算、存储和网络资源,例如VNF图像管理控制器(例如,OpenStack Nova,用于安装和供应VNF实例440)。说明性的VIM控制器424包括NFV安全服务代理426,其被配置为收集VIM控制器424的遥测数据,诸如基于策略的信息,以及来自其他VIM组件428的遥测数据。
NFV基础设施108包括可以部署VNF的计算节点110的所有硬件和软件组件(即,虚拟计算、存储和网络资源,虚拟化软件,硬件计算、存储和网络资源等)。应当意识到,NFV基础设施108的物理和/或虚拟组件可以跨越不同的位置、数据中心、地理位置、提供商等。另外,还应当意识到,NFV基础设施108的组件通过其用于通信和接合的网络可被认为包括在NFV基础设施108中。
说明性的NFV基础设施108包括一个或多个平台480、图2的BIOS 212、管理程序462和一个或多个VNF实例440。说明性的平台480包括被指定为平台(1)482的第一平台和被指定为平台(N)482的第二平台(即,“第N个”平台,其中“N”是正整数,并指定一个或多个附加平台)。每个平台480包括图2的I/O子系统206、NIC 220和/或交换机222。说明性的平台(1)482另外包括NFV安全服务代理486。NFV安全服务代理486被配置为经由安全通信信道488在硬件级别(即,从I/O子系统206,NIC 220和/或交换机222)收集遥测数据。因此,由NFV安全服务代理486收集的遥测数据可以包括NIC配置信息、各种硬件缺陷、错误和/或异常以及网络包行为(例如,丢包)。在收集时,遥测数据被安全地传输到NFV安全监视分析系统438,例如经由安全通信信道490。
在使用中,管理程序462或虚拟机监视器(VMM)通常经由用于运行VNF实例440中的每一个的一个或多个虚拟机(VM)和/或容器来运行VNF实例440。在一些实施例中,VNF实例440可以包括虚拟交换机(vSwitch),虚拟路由器(vRouter),防火墙,网络地址转换(NAT),DPI,演进分组核心(EPC),移动性管理实体(MME),分组数据网络网关(PGW),服务网关(SGW),计费功能和/或其他虚拟网络功能。在一些实施例中,特定VNF实例440可以具有多个子实例,其可以在单个平台(例如,平台482)上或跨越不同平台(例如,平台482和平台484)执行。换句话说,当虚拟化时,传统上由与特定平台共存的物理硬件处理的网络功能可以跨越一个或多个平台480分布为多个VNF实例440。VNF实例440中的每一个可以包括任何数量的VNF,每个VNF可以包括一个或多个VNF组件(VNFC)(未示出)。应当意识到,VNF实例440可以被实现为任何合适的虚拟网络功能;类似地,VNFC可以被实现为任何合适的VNF组件。VNFC是配合以递送一个或多个VNF实例440的功能的进程和/或实例。例如,在一些实施例中,VNFC可以是VNF实例440的子模块。
与VNF实例440类似,应当意识到,VNFC可以跨越一个或多个平台480分布。此外,应当意识到,特定的VNF实例440可以跨越多个平台480分布并仍然形成在平台480之一上建立的VNF实例440的部分。在一些实施例中,VNF实例440和/或VNFC可以在同一平台(例如,平台482或平台484)上执行,或者在同一数据中心内,但在不同的平台480上执行。另外,在一些实施例中,VNF实例440和/或VNFC可以跨越不同的数据中心执行。
管理程序462被配置为建立和/或利用NFV基础架构108的各种虚拟化硬件资源(例如,虚拟存储器,虚拟操作系统,虚拟网络组件等)。另外,管理程序462可以促进跨越VNF实例440和/或VNFC的通信。说明性的管理程序462包括经由安全通信信道466通信地耦合到NFV安全服务代理468的虚拟路由器464。NFV安全服务代理468被配置为经由NFV安全服务提供器420从NFV安全服务控制器102接收和实现安全监视策略。换句话说,NFV安全服务代理468被配置为基于安全监视策略执行主动和/或被动安全监视。此外,NFV安全服务代理468被配置为在激活NFV安全服务代理468时,将用于监视和/或收集的网络流量映射到安全监视策略。
说明性的NFV安全服务代理468包括将在下面进一步描述的SFC代理以及安全监视收集代理472。安全监视收集代理472被配置为收集NFV安全服务代理所在的NFV安全架构116的组件的遥测信息。在说明性的NFV安全服务代理468中,组件是管理程序462,而对于NFV安全服务代理486,该组件是平台482。应当意识到,虽然只有NFV安全服务代理468显示安全监视收集代理472和SFC代理470,但是跨越NFV安全架构116分布的每个NFV安全服务代理(例如,NFV安全服务代理426,NFV安全服务代理448,NFV安全服务代理458,NFV安全服务代理460和NFV安全服务代理486)可以包括安全监视收集代理和/或SFC代理的实例。NFV安全服务代理468的安全监视收集代理472被配置为在BIOS级别(即,在BIOS 212和/或管理程序462处)收集遥测数据。由安全监视收集代理472收集的遥测数据被安全地传输到NFV安全监视分析系统438,例如经由安全通信信道490。
说明性的VNF实例440包括被配置为执行虚拟网络设备(例如,vSwitch,vRouter,防火墙,NAT,DPI,EPC,MME,PGW,SGW等)的网络VNF 442,安全监视VNF 446被配置为用作专用监视代理,以及服务功能链450,其包括能够执行特定虚拟功能或服务的一个或多个服务功能链VNF 452。应当意识到,在其他实施例中,可以部署附加的和/或替代的VNF实例。因此,应当意识到,虽然图4的说明性NFV安全架构116仅示出单个安全监视VNF 446,在其他实施例中可以部署多个单个安全监视VNF 446。
服务功能链450的说明性服务功能链VNF 452包括被指定为VNF(1)454的第一服务功能链VNF和被指定为VNF(N)456的第二服务功能链VNF(即,“第N个”服务功能链VNF,其中“N”是正整数,并指定一个或多个附加服务功能链VNF实例)。此外,每个说明性服务功能链VNF 452包括NFV安全服务代理的实例(即,VNF(1)454的NFV安全服务代理458和VNF(N)456的NFV安全服务代理460)。NFV安全服务代理458,460中的每一个被配置为在虚拟环境级别收集遥测数据(即,从NFV安全服务代理所在的服务功能链VNF 452中的每一个收集VNF遥测数据)。虽然服务功能链450的说明性服务功能链VNF 452中的每一个包括NFV安全服务代理458,460,但是应当意识到,一些实施例中,单个NFV安全服务代理(例如,安全监视VNF 446的NFV安全服务代理448)可用于监视和收集遥测数据。
网络VNF 442可以包括处理用户数据平面上的网络流量的分组处理器444,例如
Figure BDA0002304145210000191
数据平面开发套件(DPDK)。安全监视VNF 446可以包括NFV安全服务代理(SSA)448,其被配置为在虚拟环境级别收集遥测数据(即从每个VNF实例440收集VNF遥测数据)。由NFV安全服务代理448的安全监视收集代理(未示出)收集的遥测数据被安全地传输到NFV安全监视分析系统438,例如经由安全通信信道490。
NFV安全监视分析系统438被配置为经由安全通信信道490安全地从各种NFV安全服务代理获取相对于NFV基础设施108的遥测数据以及经由安全通信信道436获取相对于VNF管理器432的VNF配置数据。VNF配置数据可以包括由每个NFV提供的实例化的NFV的数量、激活的NFV的数量、功能或服务或功能或服务的一部分等等。因此,NFV安全监视分析系统438可以分析遥测数据和VNF配置数据,以检测是否存在任何威胁和/或异常。在一些实施例中,NFV安全监视分析系统438可以分析遥测数据和VNF配置数据以开发可以从中识别安全威胁的遥测模式。NFV安全监视分析系统438还被配置为响应于已经检测到安全威胁而将修复策略(即,更新的安全监视策略)递送到安全监视组件以进行强制执行。
说明性的NFV安全架构116包括多个安全监视组件,其特别地被配置为监视在NFV基础设施108内执行的服务功能链的安全性。服务功能链(SFC)安全监视组件包括NFV安全服务控制器102的SFC安全控制器408,VIM 106的NFV安全服务提供器420的SFC安全提供器422以及分布在整个NFV基础设施108中的多个SFC代理。NFV安全架构116的SFC安全监视组件经相互认证用于安全通信,并且可以建立在安全的、经过验证的引导上。因此,NFV安全架构116的SFC安全监视组件可以跨越不同的地理位置、跨越不同的托管数据中心和/或在不可信的网络上进行部署。此外,NFV安全架构116的SFC安全监视组件可以在NFV安全架构116内被安全地供应。
例如,可以在运行在各种VNF上的控制平面、管理平面和/或数据平面(例如在vEPC架构内)上执行SFC安全监视组件。在一些实施例中,运行时SFC特定安全监视策略可以由在一个平面上发生的事件触发,而基于安全监视策略执行的安全监视可以在该平面和/或其他平面中的一个或两个上发起。例如,可能在控制平面中触发事件,例如由恶意或格式不正确的网络分组,并且修复策略可能包括SFC监视和网络数据分组收集,用于跨控制平面、管理平面和数据平面的事件触发网络分组的匹配。
SFC安全控制器408被配置为跨NFV基础架构108编排SFC安全策略。为此,SFC安全控制器408被配置为与NFV安全数据库412通信以访问SFC安全策略和凭证。SFC安全策略和凭证可以包括任何类型的安全策略,例如,传送策略(即,用于安全传送消息,安全密钥等)和在NFV基础设施108的各个节点处安全供应VNF和/或安装时用于安全监视方面的策略。SFC安全策略和凭证可以另外包括用于跨SFC的和/或SFC的VNF内部的通信的策略,例如通信是否通过软件(即虚拟)网络接口卡、交换机和/或路由器的硬件来传输。SFC安全策略和凭证可以基于流标识符、租户标识符、订户标识符(例如,国际移动订户身份(IMSI))、地理位置、调节域等。
在一些实施例中,可以通过OSS/BSS 402和/或诸如第三代合作伙伴计划(3GPP)安全基础设施的现有安全基础设施将特定策略配置到SFC安全控制器408中。应当意识到,在一些实施例中,对于运行时策略(例如,监视某些订户流、租户、应用标签等),可以使用现有安全基础设施来传递策略。如前所述,NFV安全架构116的安全监视组件可以相互认证。在其他实施例中,SFC安全控制器408可以在SFC代理和/或其他遥测采集组件之间递送安全密钥。附加地或替代地,在一些实施例中,现有的安全基础设施还可以递送可用于各种VNF间或每SFC通信或策略强制实施的安全密钥。此外,SFC安全控制器408还被配置为经由安全通信信道414将SFC安全策略安全地提供给一个或多个SFC安全提供器422。
与NFV安全服务控制器102类似,SFC安全控制器408被配置为基于在NFV安全监视分析系统438处接收的分析的遥测数据,从NFV安全监视分析系统438安全地接收修复安全监视策略,其过程将在下面进一步描述。也类似于由NFV安全服务控制器102接收到的修复策略,由SFC安全控制器408接收的修复安全监视策略可以包括基于由NFV安全监视分析系统438执行的遥测数据的分析对所述NFV安全监视分析系统438所怀疑的网络流量采取纠正措施。纠正措施可以包括阻止某些网络流量,将某些网络流量流式传输到深度分组检查(DPI)VNF实例,速率限制或限制网络流量,或任何可能对可疑网络流量采取的以进一步识别根本原因或验证安全威胁的其他措施。
SFC安全控制器408被进一步配置为向通信地耦合到SFC安全控制器408的说明性NFV安全服务提供器420的一个或多个SFC安全提供器422递送安全监视策略更新。SFC安全提供器422被配置为跨越VIM 106的各种网络和安全监视组件(包括VIM控制器424)传输安全监视策略更新。另外,SFC安全提供器422被配置为跨越NFV基础设施108中分布的NFV安全服务代理内的各种SFC代理传输安全监视策略更新,包括任何适当的安全监视动作。
虽然说明性的NFV基础设施108仅包括NFV安全服务代理468的SFC代理470,但是应当意识到,可以在分布在整个NFV基础设施108中的任何一个或多个NFV安全服务代理中实例化SFC代理。SFC代理(例如,SFC代理470)被配置为与NFV基础设施108的各种安全监视组件进行通信,以执行遥测数据的提取,并基于安全监视策略安全地递送所提取的遥测数据。遥控数据提取(即,收集)可以使用与SFC代理连接的NFV基础设施108内的适当的钩子来启动,诸如在Open vSwitch,Open vRouter,DPDK,硬件NIC(例如NIC 220),硬件交换机(例如,交换机222)或硬件路由器等。
应当意识到,类似于说明性的NFV安全服务代理468的安全监视收集代理472,每个SFC代理可以另外包括特定于该SFC代理的收集代理(未示出)和/或依赖SFC代理所在的NFV安全服务代理的安全监视收集代理,这些未显示以保持图示的清晰度。换句话说,由SFC代理在被动和/或主动安全监视期间提取的遥测数据可以由在NFV基础设施108上运行的SFC代理(例如,修改的sFlow等)的收集代理来收集。
如上所述,遥测数据可以实现为可以在其上执行安全性分析的任何类型的数据。例如,遥测数据可以包括来自NFV基础设施108内的各种硬件资源(例如,计算、存储和网络)、虚拟化软件和虚拟资源(例如,计算、存储和网络)的安全统计数据以及配置和健康数据。另外或替代地,遥测数据可以包括特定流的完整或部分(例如,报头,有效载荷等)网络分组(即,由待监视的特定流的标识符确定和/或收集用于打包和传输)、设备、节点、管理域、地理位置和/或任何管理配置的流等。为此,可向SFC代理提供唯一标识网络分组、设备、节点、地理等的标识符。此外,遥测数据可以是特定于例如特定SFC,合并SFC流或隧道化SFC流。另外或替代地,遥测数据可以包括完整的SFC业务分组流或SFC业务分组流的子集,例如虚拟局域网(VLAN)和第二层(L2)或第三层(L3)隧道化分组。
SFC代理可以从NFV基础设施108的任何安全监视组件和/或通信信道(例如安全VM,物理层NIC,交换机,路由器和/或结构)提取遥测数据。例如,在一些实施例中,在VNF实例440之一(例如,NFV安全服务代理448,NFV安全服务代理458或NFV安全服务代理460)的NFV安全服务代理内实例化和激活的SFC代理可以与
Figure BDA0002304145210000221
DPDK用户平面应用(例如,vSwitch,vRouter,EPC系统等)进行通信,以提取遥测数据。在另一示例中,在一些实施例中,SFC代理470可以与虚拟路由器464(例如,虚拟路由器464的Open vSwitch)通信以提取遥测数据。
在使用中,SFC代理经由安全通信信道490将该遥测数据打包并安全地递送到NFV安全监视分析系统438。SFC安全控制器408提供和配置的保护凭证是由各种SFC代理和NFV安全监视分析系统438接收且在它们之间进行配置。为此,SFC代理可以使用手动密钥供应,预共享密钥和/或使用SFC安全控制器408的另一相互认证功能进行引导。此外,通信信道490可以由一个或多个安全密钥来保护,例如具有配置的合理有限密钥寿命的唯一成对随机密钥会话。
现在参考图5,在使用中,NFV安全服务控制器102在操作期间建立环境500。NFV安全服务控制器102的说明性环境500包括安全通信模块510、安全监视策略管理模块520、受保护的传输控制模块530、NFV安全服务代理控制模块540和遥测数据审计模块550。说明性环境500通信地耦合到存储安全审计信息的审计数据库410以及存储安全监视策略的图4的NFV安全数据库412。环境500的每个模块、逻辑和其他组件可以被实现为硬件、固件、软件或其组合。例如,环境500的各种模块、逻辑和其他组件可以形成NFV安全服务控制器102的硬件组件的一部分,或以其他方式被NFV安全服务控制器102的硬件组件建立。这样,在一些实施例中,环境500的任何一个或多个模块可以被实现为电气设备的电路或集合(例如,安全通信电路,安全管理电路,受保护的传输控制电路,NFV安全服务代理控制电路和遥测数据审计电路等)。附加地或替代地,在一些实施例中,一个或多个说明性模块可以形成另一模块的一部分和/或一个或多个说明性模块和/或子模块,这些模块可以被实现为单独的模块或独立模块。
安全通信模块510被配置为促进数据(例如,消息,安全监视策略等)到/自NFV安全服务控制器102的安全传输。为此,安全通信模块510被配置为安全地接收来自外部安全系统(例如,来自外部安全控制器,图4的OSS/BSS 402等)的安全策略信息。此外,安全通信模块510被配置为经由安全通信信道418从NFV安全监视分析系统438接收修复安全策略。
安全通信模块510还被配置为经由安全通信信道414将更新的安全策略安全地发送到NFV安全服务提供器420。类似地,安全通信模块510被配置为促进NFV安全服务控制器102和NFV安全数据库412以及NFV安全服务控制器102和审计数据库410之间的数据的安全传输。对于由安全通信模块510发送的所有安全消息,安全通信模块510包括正在执行传输的NFV安全服务控制器102的实例的唯一标识符以及认证密钥。为此,安全通信模块510可以执行各种密钥管理功能、密码功能、安全通信信道管理和/或其他安全功能,例如使用周期性刷新的成对会话密钥。因此,接收消息的安全监视组件可以经由NFV安全服务控制器102认证该消息。
安全监视策略管理模块520被配置为基于所接收的安全监视策略来编排跨越NFV安全架构116的安全监视策略的管理。为此,安全监视策略管理模块520包括安全监视策略分发模块522和安全监视策略强制实施模块524。安全监视策略分发模块522被配置为将包括安全监视组件策略、配置和功能的安全监视策略发送给整个NFV安全架构116中的各种安全监视组件,诸如分布在NFV安全架构116上的NFV安全服务代理。
安全监视策略强制实施模块524被配置为强制实施传输到NFV安全架构116的各种安全监视组件的安全监视策略。为此,安全监视策略强制实施模块524被配置为通过验证根据安全监视策略配置的NFV安全服务代理以及根据安全监视策略配置监视和收集遥测数据来强制实施安全监视策略。例如,安全监视策略实施模块524可以被配置为在NFV基础设施108的VNF实例处,例如在VNF运行时或在NFV基础结构108的VNF的配置入网时,来验证安全监视策略,以确保VNF实例配置正确并且目前正在其上运行的NFV安全服务代理正在监视和收集与安全监视策略一致的遥测数据。此外,安全监视策略强制实施模块524可以基于安全监视策略来验证包括多个VNF实例(例如,服务功能链450的服务功能链VNF 452)的服务功能链(例如,图4的服务功能链450)的拓扑。
受保护的传输控制模块530被配置成为VNF(例如服务功能链450的服务功能链VNF452)建立受保护的传输策略(例如,为安全通信信道保护应用安全性)。如前所述,NFV安全服务控制器102可以被配置为充当认证服务器以保护安全通信信道。因此,受保护的传输控制模块530可另外包括被配置为执行认证服务器的消息认证模块534(即,对在NFV安全架构116的整个安全通信信道中发送和接收的消息执行认证)。例如,受保护的传输控制模块530可利用一个或多个安全密钥(例如,熔丝密钥,会话密钥或任何类型的密码密钥)来建立信任根(RoT)以保护通信信道(例如经由共享存储器)。在一些实施例中,安全密钥可以被实现为可以周期性刷新的成对会话密钥。类似地,受保护传输控制模块530被配置为保护安全监视组件和审计数据库410之间的安全通信信道。
NFV安全服务代理控制模块540被配置为管理NFV安全服务代理(参见图4),其被配置为在整个VIM 106和NFV基础设施108中提供各种安全功能。为此,NFV安全服务代理控制模块540在引导NFV安全服务代理之前,种下可以在运行时由NFV安全服务代理提取的适当的安全和策略配置信息来执行特定的任务,诸如连接到合适的VNF管理器。例如,在NFV安全架构116包括服务功能链的多个实例化的VNF(例如,服务功能链450的服务功能链VNF 452)的实施例中,NFV安全服务代理控制模块540被配置为激活服务功能链的VNF,通过在服务功能链的一个或多个VNF上执行NFV安全服务代理的引导程序来启动NFV安全服务代理的部署(即,启动和实例化),并且接收引导程序信息(例如,引导程序可用于实例化NFV安全服务代理的引导程序配置参数、该特定NFV安全服务代理实例的个性化信息和/或NFV安全服务代理实例的许可信息等)。
NFV安全服务代理控制模块540还被配置为通知实例化的NFV安全服务代理的对应的VNF管理器432。NFV安全服务代理可以被配置为执行相互认证的密钥交换,以与受保护的传输控制模块530建立安全通信信道,NFV安全服务代理控制模块540可以使用该密钥交换来个性化NFV安全服务代理(例如,设置名称,安全策略组,每租户策略,分发用于与特定NFV安全服务代理所在的VNF实例的VNF管理器432的安全会话建立的密钥材料,等等)。
遥测数据审计模块550被配置为对存储在审计数据库410的遥测数据执行审计。为此,遥测数据审计模块550被配置为分析与遥测数据相关联的时间戳。如前所述,遥测数据在发送到审计数据库410之前由安全时钟(例如,图2的安全时钟216)加时间戳。因此,遥测数据审计模块550还被配置为对遥测数据进行验证和排序作为审计的一部分。
现在参考图6,在使用中,每个NFV安全服务代理(例如,图4的NFV安全服务代理426,448,458,460,468,486)在操作期间建立环境600。相应的NFV安全服务代理的说明性环境600包括安全通信模块610、遥测数据监视模块620、遥测数据打包模块630和引导程序执行模块640。说明性环境600另外包括:安全策略数据库602,在其中存储NFV安全服务代理处的安全监视策略;以及遥测数据库604,其中存储NFV安全服务代理处的遥测数据。应当意识到,在一些实施例中,安全监视策略和/或遥测数据可以存储在NFV安全服务代理的外部,例如在NFV安全数据库412和/或审计数据库410中。
环境600的每个模块、逻辑和其他组件可以被实现为硬件、固件、软件或其组合。例如,环境600的各种模块、逻辑和其他组件可以形成NFV安全服务代理的硬件组件的一部分,或以其他方式由NFV安全服务代理的硬件组件建立。因此,在一些实施例中,环境600的任何一个或多个模块可被实现为电气设备的电路或集合(例如,安全通信电路、遥测数据监视电路、遥测数据打包电路和引导程序执行电路等)。附加地或替代地,在一些实施例中,一个或多个说明性模块可以形成另一个模块的一部分,和/或一个或多个说明性模块和/或子模块可以被实现为单独的模块或独立模块。
安全通信模块610被配置为促进向/自NFV安全服务代理的数据(例如,消息,遥测数据等)的安全传输。例如,如图4所示,NFV基础设施108的NFV安全服务代理被配置为使用由NFV安全服务控制器102提供的保护凭证将遥测数据传送到NFV安全监视分析系统438和审计数据库410。遥测数据监视模块620配置为监视组件的遥测数据和/或NFV安全服务代理所在的级别。遥测数据监视模块620另外配置为主动和/或被动地监视遥测数据。遥测数据可以包括虚拟和/或物理配置数据,以及安全统计、完整网络分组、网络分组报头或与特定流相关联的所有网络分组、特定设备、特定演进节点B(也称为E-UTRAN节点B,eNodeB和eNB)、特定地理或任何管理配置的流。
遥测数据打包模块630被配置为对遥测数据进行收集和打包,例如在遥测数据监视模块620处监视的遥测数据。因此,收集和打包的遥测数据可以是任何类型的数据,包括NFV基础设施108或VIM 106的硬件资源(例如,计算,存储和网络),虚拟化软件和/或虚拟资源(例如,计算,存储和网络)的信息,例如VNF配置设置,I/O子系统206设置,NIC 220设置,交换机222设置,虚拟路由器464设置,虚拟交换机设置,虚拟网关设置,vEPC设置,控制器设置,网络流量信息,完整和/或部分网络分组等。此外,遥测数据打包模块630被配置为将打包的遥测数据安全地递送到专门分析系统(例如,图4的NFV安全监视分析系统438),例如经由安全通信模块610。
遥测数据监视模块620和/或遥测数据打包模块630可另外包括用于监视和/或收集特定遥测数据的代理特定子模块。例如,说明性的遥测数据监视模块620包括SFC遥测数据监视模块622,用于监视特定于NFV基础设施108的服务功能链(例如,服务功能链450)的遥测数据。类似地,说明性遥测数据打包模块630包括SFC遥测数据打包模块632,用于收集和打包特定于所监视的网络基础设施的服务功能链的遥测数据,例如通过SFC遥测数据监视模块622。此外,遥测数据打包模块630和SFC遥测数据打包模块632均被配置为使用安全时钟(例如,图2的安全时钟216)来对遥测数据进行加时间戳以传输到审计数据库410以进行安全存储。
引导程序执行模块640被配置为运行引导程序以部署NFV安全服务代理,所述NFV安全服务代理在计算节点(例如,计算节点110之一)上加载NFV安全服务代理。引导程序执行模块640还被配置为在NFV安全架构116的任何网络处理组件上运行引导程序,包括例如VNF实例(例如,服务功能链450的服务功能链VNF 452之一)、管理程序462和平台480之一。
现在参考图7,在使用中,NFV安全服务控制器102可以执行用于管理NFV安全架构116的安全监视服务的方法700。方法700从框702开始,其中,NFV安全服务控制器102将安全监视策略发送到已经经由安全通信信道(例如,到VIM 106的图4的通信信道414)在NFV基础架构108内实例化的VNF。如前所述,安全监视策略包括各种监视规则,VNF使用各种监视规则来确定要监视哪些遥测数据以及如何配置VNF的资源和功能。在使用中,NFV安全服务控制器102利用唯一地标识NFV安全服务控制器102的标识符将安全监视策略通过安全通信信道414发送到NFV安全服务提供器420。在一些实施例中,NFV安全服务控制器102可以从诸如图4的外部控制器或OSS/BSS 402的外部源,经由NFV编排器104,接收安全监视策略。
在框704,NFV安全服务控制器102验证VNF处的安全监视策略。例如,NFV安全服务控制器102可以在VNF运行时或在NFV基础设施108处的VNF配置入网时验证安全监视策略。在框706,NFV安全服务控制器102基于安全监视策略在多个VNF之间(包括在它们之间的路径(即,通信路径))安装SFC拓扑。在一些实施例中,在框708处,NFV安全服务控制器102可以基于安全监视策略应用路径的安全性以保护跨路径传输的通信。
在框710,NFV安全服务控制器102基于安全监视策略来验证SFC拓扑,以确保符合安全监视策略。在框712,NFV安全服务控制器102为SFC的VNF(例如,图4的服务功能链450的服务功能链VNF 452)设置受保护的传输策略。在框714,NFV安全服务控制器102激活SFC的每个VNF。为此,NFV安全服务控制器102可以经由安全通信信道将激活信号发送到每个VNF。另外,类似于从NFV安全服务控制器102发送的需要认证的其他信号(即,消息),激活信号包括唯一标识符,使得VNF可以认证激活信号。
在框716,NFV安全服务控制器102启动NFV安全服务代理的部署(即,启动和实例化)。为此,NFV安全服务控制器102执行NFV安全服务代理的引导程序。如前所述,NFV安全服务代理可以分布在整个VIM 106和/或NFV基础设施108中,以执行安全监视操作。因此,NFV安全服务代理可以在图4的NFV安全架构116的许多安全监视组件上实例化,如SFC的VNF之一。
在框718,NFV安全服务控制器102确定是否从实例化的NFV安全服务代理接收到引导程序信息。如果不是,则方法700循环回到框718以继续等待从实例化的NFV安全服务代理接收引导程序信息。如果NFV安全服务控制器102确定从实例化的NFV安全服务代理接收到引导程序信息,则方法700前进到框720,其中,NFV安全服务控制器102向管理器通知其中NFV安全服务代理被实例化的VNF。该通知包括对应于VNF的实例的唯一标识符和对应于NFV安全服务代理的实例的另一唯一标识符。因此,VNF管理器然后可以基于唯一标识符与实例化的NFV安全服务代理进行通信并且管理实例化的NFV安全服务代理。在框722,NFV安全服务控制器102激活实例化的NFV安全服务代理。在框724,NFV安全服务控制器102对跨越分布在整个VIM 106和/或NFV基础设施108中的NFV安全服务代理强制实施安全监视策略。
现在参考图8,在使用中,NFV安全服务控制器102可以执行用于更新安全监视策略的方法800。方法800开始于框802,其中NFV安全服务控制器102确定是否从NFV安全监视分析系统438接收到修复策略。如前所述,分布在整个VIM 106和/或NFV基础设施108中的NFV安全服务代理被配置为收集遥测数据,遥测数据被安全地传输到NFV安全监视分析系统438用于分析以确定是否检测到任何威胁和/或异常。因此,在NFV安全监视分析系统438检测到这种安全威胁(例如,攻击或异常)的情况下,NFV安全监视分析系统438安全地传输针对解决或进一步分析触发了修复策略的检测到的安全威胁的修复策略。如果NFV安全服务控制器102确定未接收到修复策略,则方法800循环回到框802,直到接收到修复策略。
如果NFV安全服务控制器102接收到修复策略,则在框804,NFV安全服务控制器102基于在框802接收到的修复策略来更新当前的安全监视策略。在框806,NFV安全服务控制器102经由安全通信信道(例如,到VIM 106的图4的通信信道414)向NFV安全服务提供器420发送安全监视策略更新。因此,安全监视策略更新随后可以从NFV安全服务提供器420进一步发送到分布在整个VIM 106和/或NFV基础设施108中的NFV安全服务代理。
在一些实施例中,在框808,NFV安全服务控制器102另外经由安全通信信道向NFV安全服务提供器420发送具有安全监视策略的NFV安全服务控制器102所独有的标识符。附加地或替代地,在一些实施例中,在框810,NFV安全服务控制器102另外经由安全通信信道将响应于修复策略而采取的一个或多个纠正措施伴随安全监视策略发送到NFV安全服务提供器420。例如,纠正措施可以包括阻止某些网络流量,将某些网络流量流式传输到深度分组检查(DPI)VNF实例,速率限制或限制网络流量等。在框812,NFV安全服务控制器102跨越分布在整个VIM 106和/或NFV基础设施108中的NFV安全服务代理强制实施更新的安全监视策略。
现在参考图9,用于初始化NFV安全服务代理的通信流900的实施例包括图4的NFV安全架构116的各种安全监视组件。说明性的通信流900包括NFV编排器104、NFV安全服务控制器102、NFV安全服务提供器420、NFV基础设施108、NFV安全服务代理之一(例如,NFV安全服务代理426,NFV安全服务代理448,NFV安全服务代理458,NFV安全服务代理460和NFV安全服务代理486)和VNF管理器432。说明性的通信流900另外包括多个数据流,其中一些数据流可以单独地或一起执行,这取决于实施例。
数据流902到910提供了一系列数据流,用于使用NFV安全架构116内的安全监视VNF实例来提供对NFV安全架构116的安全监视。在数据流902处,NFV编排器104将从OSS/BSS402接收到的安全监视策略发送到NFV安全服务控制器102。在数据流904处,NFV安全服务控制器102将具有NFV安全服务控制器的唯一标识符的命令安全地发送到NFV安全服务提供器420以实例化NFV安全服务代理。在数据流906处,NFV安全服务提供器420将具有NFV安全服务控制器和/或NFV安全服务提供器的唯一标识符的命令安全地发送到NFV基础设施108以部署(即,启动和实例化)NFV安全服务代理。
在数据流908处,NFV基础设施108启动NFV安全服务代理。如前所述,NFV安全服务代理可以在NFV基础设施108内的各个位置处启动,包括NFV(例如,NFV安全服务代理448,NFV安全服务代理458和NFV安全服务代理460),管理程序462(例如,NFV安全服务代理468)和平台480(例如,NFV安全服务代理486)。在数据流910处,实例化NFV安全服务代理(即,启动NFV安全服务代理的引导程序)。
在安全功能启动和个性化NFV安全服务代理时,数据流912到916提供用于播种信息的数据流序列。在数据流程912处,NFV安全服务代理经历引导程序执行过程。在数据流914处,NFV安全服务代理安全地向NFV安全服务控制器102发送引导程序信息。在数据流916处,NFV安全服务控制器102通知负责管理NFV安全服务代理的VNF管理器432。该通知可以包括对应于NFV安全服务代理的实例的唯一标识符,并且该另一个唯一标识符对应于NFV安全服务代理上的组件(例如,服务功能链450的服务功能链VNF 452之一,管理程序462,平台480之一,等等)。
数据流918至922提供用于定义VNF和安全监视VNF之间的安全策略关联的数据流序列。在数据流918处,实例化的NFV安全服务代理与VNF管理器432建立管理会话。为此,NFV安全服务代理可以使用提供的VNF管理器432的唯一标识符与VNF管理器432建立管理会话,唯一标识符诸如为因特网协议(IP)地址,域名服务器(DNS),完全限定域名(FQDN),统一资源定位符(URL)等等,以及唯一地标识并且可以用于NFV安全服务代理和VNF管理器432之间的相互认证的初始根安全凭证。
在数据流920处,NFV安全服务控制器102在NFV安全服务提供器420处实施安全监视策略(各种协议类型,隧道等)。应当意识到,在NFV安全服务控制器102处的策略的映射可以由系统管理员、安全管理员、租户、机器学习引擎和/或任何其他技术和/或授权人员之一完成。在数据流922处,NFV安全服务提供器420在NFV安全服务代理处强制实施安全监视策略的NFV安全服务代理部分。
数据流924和926提供用于将工作负载流量映射到安全策略的数据流序列。例如,NFV安全服务代理可以与虚拟交换机交互,以在将流量迁移到安全监视VNF实例之前转换VNF组到安全策略的映射。在这样的实施例中,VNF组可以基于工作负载流量类型(例如,VLAN,多协议标签交换(MPLS),通用分组无线电业务(GPRS)隧道协议(GTP)等)和待由安全监视VNF强制实施的相关联的安全策略。因此,由于任何数量的原因,映射可能会改变,包括新租户加入,现有租户离开,流量工程,工作负载平衡等。因此,OSS/BSS系统可能会将这些更改传达给NFV安全服务控制器102。因此,NFV安全服务控制器102然后可以将新的安全策略到NFV安全服务代理(例如,安全监视VNF的NFV安全服务代理)的分发自动化。
在数据流924处,NFV安全服务控制器102激活NFV安全服务代理。为此,NFV安全服务控制器102经由安全通信信道向NFV安全服务代理提供激活信号。另外,与由NFV安全服务控制器102发送的需要认证的其他消息一致,激活信号可以包括唯一标识符。在数据流926处,NFV安全服务代理将网络流量映射到安全监视策略。因此,NFV安全服务代理可以根据安全监视策略监视和收集遥测数据。应当意识到,网络流量映射的检查可以由NFV安全服务控制器102基于递送到NFV安全服务代理的安全策略来执行。
现在参考图10,在使用中,NFV安全服务代理之一可以执行用于监视NFV安全架构116的安全性的方法1000。方法1000在框处1002开始,其中NFV安全服务代理确定是否接收到实例化请求。如果为否,则方法1000循环回到框1002继续等待实例化请求。如果在框1002处接收到实例化请求,则方法1000前进到框1004。在框1004,NFV安全服务代理运行引导程序过程以部署NFV安全服务代理,将NFV安全服务代理加载到计算节点(例如,计算节点110之一)上。因此,引导程序过程可以允许基于NFV基础架构108和/或部署了NFV安全服务代理的NFV基础架构108的组件进行优化(例如跨越NFV基础设施108的NFV安全服务代理的加速,可扩展性,快速部署等)。
在框1006,NFV安全服务代理向NFV安全服务控制器102发送引导程序信息。引导程序信息可以包括例如,可由引导程序用于实例化NFV安全服务代理的引导程序配置参数,用于特定的NFV安全服务代理实例的个性化信息,和/或NFV安全服务代理实例的许可证信息。在框1008,NFV安全服务代理与VNF管理器(例如,VNF管理器432)建立管理会话。因此,与其建立管理会话的VNF管理器可以对NFV安全服务代理进行管理控制。在框1010,NFV安全服务代理经由NFV安全服务提供器420从NFV安全服务控制器102接收用于主动和/或被动监视的安全监视策略。因此,NFV安全服务代理可以仅接收相对于NFV安全服务代理的安全监视策略的一部分。
在框1012,NFV安全服务代理基于安全监视策略来映射用于监视和/或收集的网络流量数据。换句话说,NFV安全服务代理基于安全监视策略来映射要监视的网络流量。在框1014,基于安全监视策略,NFV安全服务代理执行安全监视(例如,映射的网络流量的安全监视)。为此,在框1016,NFV安全服务代理对控制平面、管理平面和/或数据平面执行安全监视。在一些实施例中,基于安全监视策略,监视可以是利用提供的遥测监视或基于手动或自动异常检测的特定监视策略递送和激活的连续监视。附加地或替代地,在一些实施例中,监视可以由管理员基于管理员规定的标准来触发。
在框1018,NFV安全服务代理收集遥测数据。收集的遥测数据可以包括虚拟和/或物理网络统计、网络健康监视信息、网络分组(例如,网络分组的整个流,随机网络分组等)和/或任何其他组件配置或网络分组相关数据。在一些实施例中,NFV安全服务代理可以经由被配置为在受保护的本地存储处收集遥测数据的安全监视收集代理(例如,图4的安全监视收集代理472)收集遥测数据。在框1020,NFV安全服务代理打包收集的遥测数据、安全传输密钥和用于受保护传输的NFV安全服务代理的唯一标识符。在框1022,NFV安全服务代理经由安全通信信道(例如,图4的安全通信信道490)将打包的遥测数据、安全传输密钥和唯一标识符安全地发送到被配置为分析遥测数据的威胁和/或异常的NFV安全监视分析系统(例如,图4的NFV安全监视分析系统438)。
应当意识到,在一些实施例中,方法700、800和/或1000中的任何一个或多个可以被实现为存储在计算机可读介质上的各种指令,其可以由处理器202、网络接口控制器220和/或计算节点110的其他组件执行,以使计算节点110执行相应的方法700,800和/或1000。计算机可读介质可以被实现为能够由计算节点110读取的任何类型的介质,包括但不限于存储器208,数据存储设备214,网络接口控制器220的本地存储器,计算节点110的其他存储器或数据存储设备,计算节点110的外围设备可读取的便携式介质和/或其他介质。
现在参考图11,示出了用于监视NFV安全架构116的服务功能链接(SFC)(例如,在图4的说明性服务功能链VNF 452处)的安全性的通信流1100的实施例。如前所述,可以具体配置许多安全监视组件,或者包括附加和/或替代的安全监视组件,以监视在NFV基础设施(例如,NFV基础架构108)内执行的服务功能链的安全性。例如,图4的说明性NFV安全架构116的特定于SFC的安全监视组件包括NFV安全服务控制器102的SFC安全控制器408,VIM106的NFV安全服务提供器420的SFC安全提供器422以及分布在整个NFV基础设施108中的在NFV基础设施108的虚拟和物理的各种网络监视和/或处理组件中的多个SFC代理(例如,SFC代理470)。如前所述,虽然SFC代理470被示出在NFV安全服务代理468中,应当意识到,分布在整个NFV基础设施108中的每个NFV安全服务代理均可以包括SFC代理。因此,在一些实施例中,SFC代理可以驻留在SFC的VNF(例如,服务功能链450的服务功能链VNF 452之一)中。
说明性的通信流1100包括SFC代理470、安全监视收集代理472、NFV安全监视分析系统438、SFC安全控制器408和SFC安全提供器422。说明性通信流1100另外包括多个数据流,其中一些可以单独地或一起执行,这取决于实施例。在数据流1102处,SFC代理470将安装、激活和过滤策略以及SFC代理470的唯一标识符安全地发送到安全监视收集代理472。安装、激活和过滤策略包括有关SFC代理470的安装、激活和保护以及安全监视收集代理472可以用于过滤相关网络流量的各种指令和信息的各种指令和信息。例如,安全监视收集代理472可以过滤网络流量以仅监视由安装、激活和过滤策略指示的网络流量。因此,在数据流1104中,安全监视收集代理472基于安装、激活和过滤策略来监视和收集遥测数据。
在数据流1106处,安全监视收集代理472将收集的遥测数据打包以用于安全发送到NFV安全监视分析系统438。在数据流1108处,安全监视收集代理472将打包的遥测数据经由安全通信信道安全地发送到NFV安全监视分析系统438。此外,打包的遥测数据还可以包括SFC代理470的唯一标识符。在数据流1110处,NFV安全监视分析系统438接收打包的遥测数据,并对所接收的遥测数据执行安全威胁分析。在数据流1112处,NFV安全监视分析系统438在检测到安全威胁(例如攻击或异常)时,经由安全通信信道安全地发送修复策略和NFV安全监视分析系统438的唯一标识符。修复策略可以包括可以响应于安全威胁的检测而采取的一个或多个纠正措施,例如解决威胁或验证异常。例如,纠正措施可能包括阻止某些网络流量,将某些网络流量流式传输到深度分组检测(DPI)VNF实例,速率限制或限制网络流量等。
在数据流1114处,SFC安全控制器408基于修复策略和其中包含的一个或多个纠正措施更新当前的安全策略。在数据流1116处,SFC安全控制器408将具有对SFC安全控制器408的实例唯一的标识符的更新的安全策略经由安全通信信道安全地发送到SFC安全提供器422。应当意识到,在一些实施例中,SFC安全控制器408可以与多于一个SFC安全提供器422进行安全通信,这取决于VIM 106的拓扑和分布。因此,SFC安全控制器408与SFC安全提供器422中的哪一个通信(例如,提供安全监视策略)可以取决于安全监视策略。例如,如果服务功能链跨越多个存在点(POP),则单个SFC策略(即,SFC特定的安全监视策略)可以被递送到不同的POP(例如,接入点)处的多个SFC安全提供器422。换句话说,每个POP可以运行单独的VIM 106,并且同样地,运行单独的SFC安全提供器422。
在数据流1118处,SFC安全提供器422跨越VIM 106传送更新的安全策略(例如,VIM控制器424,其他VIM组件428等)。在数据流1120处,SFC安全提供器422将更新的安全策略和对SFC安全提供器422的实例唯一的标识符安全发送给SFC代理470。
现在参考图12,在使用中,安全监视VNF(例如,图4的安全监视VNF 446)在操作期间建立环境1200。NFV安全服务控制器102的说明性环境1200包括供应管理模块1210、个性化管理模块1220、策略更新管理模块1230和安全监视模块1240。环境1200的模块、逻辑和其他组件中的每一个可以被实现为硬件、固件、软件或其组合。
例如,环境1200的各种模块、逻辑和其他组件可以形成安全监视VNF446的硬件组件的一部分,或以其他方式由其建立。因此,在一些实施例中,环境500的任何一个或多个模块可以被实现为电气设备的电路或集合(例如,供应管理电路1210,个性化管理电路1220,策略更新管理电路1230和安全监视电路1240等)。附加地或替代地,在一些实施例中,一个或多个说明性模块可以形成另一模块的一部分和/或一个或多个说明性模块和/或子模块,其可以被实现为单独的模块或独立模块。
说明性环境1200还包括用于存储个性化数据的个性化数据库1202,个性化数据包括可用于配置安全监视VNF的一个或多个功能(例如,安全功能)的数据,诸如安全配置数据,安全监视VNF 446的初始参数集,NFV安全架构116的元数据,关于其他VNF(例如,网络VNF 442,VNF实例440的服务功能链VNF 452等)的连接信息,供应商特定信息,性能数据,工作负载流量工程数据和/或服务质量(QoS)参数和策略。在一些实施例中,个性化数据库1202还可以包括供应相关数据,诸如安全监视VNF 446的唯一标识符,正在其上运行安全监视VNF 446的平台的唯一标识符和安全凭证。说明性的环境1200另外包括用于存储安全监视VNF 446的安全策略信息和安全监视信息(例如,日志,警报,统计数据等)的安全策略数据库1204。安全策略信息可以包括租户特定的安全处理策略,安全流量策略,安全组策略,网络服务处理策略等。应当意识到,在一些实施例中,任何一个或多个模块和/或子模块可以被配置为在个性化数据库1202和/或安全策略数据库1204中存储和/或取回数据。
供应管理模块1210被配置为从NFV安全服务控制器102接收供应数据(例如,VNF的标识符,平台的标识符,安全凭证等),并且执行相互认证的密钥交换过程以在安全监视VNF446和VNF管理器(例如,VNF管理器432)之间建立安全通信路径(例如,安全通信信道434)。为此,安全监视VNF 446可以使用从NFV安全服务控制器102接收的供应数据中包括的安全凭证。在一些实施例中,可以使用带外(OOB)通信技术来接收供应数据。
个性化管理模块1220被配置为从VNF管理器432经由安全通信路径接收可用于配置安全监视VNF的一个或多个功能(例如,安全功能)的个性化数据,诸如由供应管理模块1210建立的安全通信路径。个性化管理模块1220还被配置为执行个性化操作,以基于从VNF管理器432接收的个性化数据来配置安全监视VNF。另外,个性化管理模块1220还被配置为发送个性化操作状态和策略更新操作状态到VNF管理器432。然后可以将个性化操作状态和策略更新操作状态进一步发送到NFV安全服务控制器102,NFV安全服务控制器102然后可以确定是否针对安全监视VNF 446监视的网络流量激活全网安全策略。
策略更新管理模块1230被配置为经由诸如由供应管理模块1210建立的安全通信路径的安全通信路径从VNF管理器432接收策略信息。策略更新管理模块1230还被配置为执行策略更新操作来更新安全监视VNF的安全策略。安全监视模块1240被配置为监视网络工作负载流量以确定安全监视信息,并且经由安全通信路径将安全监视信息发送到VNF管理器432。在一些实施例中,安全监视信息可以经由安全监视收集代理(例如,图4的安全监视收集代理472)从安全监视VNF被安全地传送到VNF管理器432。安全监视信息可以包括与网络工作负载流量相关的各种数据,例如日志、警报和统计信息。
现在参考图13,示出了用于供应安全的VNF个性化和策略协议的通信流1300的实施例。说明性的通信流1300包括安全监视VNF 446、OSS/BSS 402、NFV安全服务控制器102和VNF管理器432。说明性的通信流1300另外包括多个数据流,其中一些可以被单独地或一起执行,取决于实施例。
如上所述,安全监视VNF 446的安全实例化(例如,经由安全引导)实现了动态实例化的安全监视VNF 446与其相应的VNF管理器(例如,图4的VNF管理器432)之间的安全信道。应当意识到,在一些实施例中,安全信道可能已被本地实例化。还应当意识到,先前已经提供了安全监视VNF 446,以在图13的通信流之前与其各自的VNF管理器(例如,图4的VNF管理器432)建立管理会话。另外,应当意识到,安全监视VNF 446在供应之后并且在图13的通信流之前也被激活。
因此,现在激活的安全监视VNF 446可以是个性化的,其可以包括安全地递送VNF供应商特定的私人信息(例如,安全凭证),使用初始参数集执行安全配置,供应适用的元数据和状态信息,建立VNF间连接的状态(例如,在SFC中),以及播种任何其他VNF特定信息。此外,个性化可以包括对安全监视VNF 446要被配置为执行的功能特定的策略和/或行为参数的启动集的安全递送。这些策略和参数可能是动态的,并且取决于部署安全策略和过程。应当意识到,在一些实施例中,策略可以在初始后安全引导程序处和/或在安全监视VNF 446主动执行期间被递送。还应当意识到,在一些实施例中,个性化和策略协议可能是动态和自动化的。例如,在编排驱动的系统中,可以使用上述协议和过程来动态和安全地安装每个安全监视VNF 446。
如前所述,安全监视VNF 446已经被实例化和供应,在此期间,安全监视VNF 446接收到VNF管理器432的唯一标识符(例如,IP地址,DNS,FQDN,URL等)和NFV安全服务控制器102用于供应安全监视VNF 446实例的安全凭证。在数据流1302中,NFV安全服务控制器102为VNF管理器432提供安全监视VNF 446的标识符和平台的标识符(例如,图4的平台480之一的标识符)以及NFV安全服务控制器102用于供应安全监视VNF 446的安全凭证。应当意识到,供应步骤(即,数据流2)可以是安全监视VNF 446和管理安全监视VNF 446的对应VNF管理器之间的安全和可信建立的通信信道的先决条件。在一些实施例中,可以使用安全的带外(OOB)供应技术来执行供应步骤。
在数据流1304中,安全监视VNF 446和VNF管理器432使用可以如前所述地被供应的安全凭证执行相互认证的密钥交换过程。可以使用NFV部署的安全策略(例如,传输层安全性(TLS))来建立相互认证安全协议的选择。在数据流1306中,使用在数据流1304中建立的安全和可信的信道,安全监视VNF 446将安全监视信息(例如,日志,警报,统计信息等)安全地发送到VNF管理器432。在一些实施例中,安全监视VNF 446可以打开与VNF管理器432的专用信道(例如,管理信道),以发送安全监视信息。在数据流1308中,可以在OSS/BSS 402处供应一个或多个安全监视VNF 446以与租户、服务和/或网络相关联。这样的关联可以基于新租户、服务或网络的安全策略,并且因此可以同样地供应。在一些实施例中,租户或服务/网络管理员可以向一个或多个工作负载分配适当的安全监视VNF 446。
在数据流1310中,OSS/BSS 402向NFV安全服务控制器102传送该新的租户、服务或网络供应,使得可以在NFV安全服务控制器102处设置该策略。在一些实施例中,通信可以经由诸如图4的说明性NFV安全架构116的NFV编排器104之类的中介来进行。因此,在这样的实施例中,NFV编排器104可以负责从OSS/BSS 402向NFV安全服务控制器102安全地传送策略(例如,安全策略)。安全策略可以使用例如租户的标识符来识别,并且与可配置的安全组和/或其他可编程结构和/或数据库相关联,诸如图4的说明性的NFV安全架构116中所示的那些。应当意识到,NFV编排器104和NFV安全服务控制器102可以具有安全的相互认证的信道,以在它们之间安全地传输信息。
在数据流1312中,NFV安全服务控制器102可以为租户、服务或网络以及相关联的安全组或其他安全策略信息供应或更新新策略。因此,在一些实施例中,新策略可以存储在诸如图4的NFV安全数据库412的数据库中。在一些实施例中,可以使用加密将安全策略(包括敏感信息)安全地存储在其中,并且此后可基于安全策略安全地访问。
在数据流1314中,NFV安全服务控制器102基于在数据流1312处更新或供应的策略来设置用于安全监视VNF 446的策略。应当意识到,在一些实施例中,在这样做时,NFV安全服务控制器102将安全策略跨越负责管理每个VNF实例的所有VNF管理器进行分发。策略分发可以通过可靠的协议进行。因此,在这样的实施例中,NFV安全服务控制器102可以维护状态并确保跨越NFV安全架构116的策略一致性和递送保证。在一些实施例中,例如在混合VNF网络架构中,NFV安全服务控制器102可以将安全策略递送给管理物理网络功能和/或虚拟网络功能的VNF管理器。在数据流1316中,VNF管理器432将用于安全监视VNF 446的个性化数据推送到安全监视VNF 446。这种个性化数据分发可以通过可靠的协议进行。
应当意识到,个性化数据可以被推送到受新租户、服务和/或网络供应影响的附加安全监视VNF实例。因此,各个安全监视VNF实例的每个VNF管理器可以维护状态并确保所有安全监视VNF实例已经接收到个性化数据。个性化数据可以包括用于执行新实例化的安全监视VNF可能需要处理工作负载流量的供应的数据,包括安全配置数据,安全监视VNF参数的初始集,元数据,关于其他VNF的连接信息,供应商特定信息,性能信息,流量工程数据,服务质量(QoS)参数和策略等。
在数据流1318中,VNF管理器432将租户、服务和/或网络安全策略推送到安全监视VNF 446,使得安全监视VNF 446可以更新安全监视VNF 446的本地策略。网络安全策略可以包括任何安全相关的策略,包括租户特定的安全处理策略、安全流量策略、安全组策略、网络服务处理策略等。应当意识到,可以通过可靠的协议进行这样的网络安全策略分发。因此,VNF管理器432可以维持状态并且确保安全监视VNF 446接收到网络安全策略和/或个性化数据。
在数据流1320中,安全监视VNF 446可以向NFV安全服务控制器102提供指示个性化和策略更新成功的指示。在数据流1322中,VNF管理器432在更新个性化和安全策略(例如,如数据流1320中从安全监视VNF 446接收指示)时,向NFV安全服务控制器102返回报告个性化和/或策略更新成功执行的指示。因此,NFV安全服务控制器102还可以返回报告VNF管理器432可能已经发生的所有故障和/或错误。应当意识到,NFV安全服务控制器102可以处理任何报告的故障和/或错误并且响应于报告的故障和/或错误向NFV安全架构116的安全管理员发出警报和/或状态更新。另外或替代地,NFV安全服务控制器102可以安全地记录故障和/或错误以及警报和/或状态更新。
在数据流1324中,在接收到来自VNF管理器432的成功响应时,NFV安全服务控制器102可以激活跨越NFV安全架构116延伸的工作负载流量的安全策略。因此,为了启用和激活对于租户的工作负载流量,NFV安全服务控制器102可以安全地与诸如SDN控制器,Openstack中子插件,各种虚拟和物理交换机/路由器管理器等的全网流量交换元件进行通信。
在正常的NFV操作中,安全监视VNF可以根据上述协议利用个性化和策略信息进行实例化和触发。在动态和自动化的NFV部署中,现有服务、租户和/或网络策略可以以统一分发的方式被更新和安全地并且一致地跨NFV安全架构116推送,包括到任何物理/混合网络功能,如安全策略所规定的。这种安全和监视更新可以通过添加或删除租户、租户工作负载迁移、租户服务水平协议(SLA)和QoS更新、基于地理位置的更新、监管要求更新、故障等来触发。如前所述,可以将对安全策略的更新作为响应于NFV的健康风险的纠正措施以减轻安全威胁(例如,恶意软件检测,网络DoS攻击和/或其他此类安全威胁)。
现在参考图14,示出了用于更新安全VNF个性化和策略协议的通信流1400的实施例。类似于图13的通信流1300,说明性的通信流1400包括安全监视VNF 446、OSS/BSS 402、NFV安全服务控制器102和VNF管理器432。说明性的通信流1400另外包括多个数据流,其中一些可以单独地或一起执行,这取决于实施例。
应当意识到,在执行更新通信流1400之前,如图13所描述的,VNF个性化和策略协议的初始供应已成功执行。在数据流1402中,验证安全监视VNF和VNF管理器432之间的安全通信信道(例如,图13的通信流1300中建立的安全通信信道)。如先前所述,安全监视VNF446和VNF管理器432可以建立一个安全的相互认证的信道,在该信道中在其间进行通信。因此,在一些实施例中可以使用所建立的通信信道。然而,在一些其他实施例中,NFV安全部署策略可以定义为更新过程建立新的安全信道,以确保安全凭证仍然是当前和活动的。
在数据流1404中,由OSS/BSS 402捕获和/或中继的系统事件可以触发安全的VNF个性化和策略更新过程。如上所述,响应于网络或系统威胁、其他安全策略更新等,可以通过检测租户的添加/删除来触发更新过程。应当意识到,系统事件可以是自动的、手动的、时间驱动的、和/或动态的。在数据流1406中,新策略从OSS/BSS 402(例如,经由NFV编排器104)递送到NFV安全服务控制器102。在数据流1408中,NFV安全服务控制器102更新新的安全策略,安全组和其他相关联的配置到诸如NFV安全数据库412的安全数据库中。
在数据流1410中,NFV安全服务控制器102向VNF管理器432发送安全策略更新。应当意识到,NFV安全服务控制器102发送所有受影响的VNF管理器。因此,NFV安全服务控制器102可以跟踪针对部署在NFV安全架构116中的所有VNF和/或安全监视VNF的VNF管理器。在数据流1412中,VNF管理器432将新的策略更新推送到安全监视VNF 446。应该意识到,新的策略更新可能会推送到其他受影响的安全监视VNF实例。在接收到新的策略更新后,安全监视VNF 446可以放弃当前执行,退出,阻止所有业务,并继续执行直到接收到另一个触发,等等。
在一些实施例中,在数据流1414中,安全监视VNF 446可以向NFV安全服务控制器102发送指示策略被成功更新的指示。在数据流1416中,VNF管理器432向NFV安全服务控制器102提供具有更新操作的状态(例如,成功,失败,错误等)的指示。因此,NFV安全服务控制器102还可以向VNF管理器432返回报告在策略更新期间可能发生的所有故障和/或错误。应当意识到,NFV安全服务控制器102可以处理任何报告的故障和/或错误,并且响应于报告的故障和/或错误,向NFV安全架构116的安全管理员发出警报和/或状态更新。另外或替代地,NFV安全服务控制器102可以安全地记录故障和/或错误以及警报和/或状态更新。
应当意识到,已经将这种安全策略更新跨整个NFV安全架构116(例如,NFV,物理和/或混合网络)推送到一个或多个其他安全监视VNF实例。在数据流1418中,当接收到指示策略更新成功完成的状态时,新的策略可以由NFV安全服务控制器102基于安全策略在全网激活。应当意识到,策略更新协议的成功执行应确保NFV部署的安全的、一致的新状态,包括具有物理安全功能的混合部署。
示例
本文公开的技术的说明性示例在下文中提供。技术的实施例可以包括以下描述的示例中的任何一个或多个以及任何组合。
示例1包括用于在网络功能虚拟化(NFV)架构中执行安全监视的安全监视虚拟网络功能(VNF),所述安全监视VNF包括:一个或多个处理器;以及一个或多个存储器设备,其中存储有多个指令,当由一个或多个处理器执行时,多个指令使得安全监视VNF在与安全监视VNF的网络通信中从NFV架构的NFV安全服务控制器接收供应数据;使用至少一部分供应数据来执行与NFV架构的VNF管理器的相互认证的密钥交换过程,以在安全监视VNF和VNF管理器之间建立安全通信路径;经由安全通信路径从VNF管理器接收个性化数据,其中个性化数据包括可用于配置安全监视VNF的一个或多个安全功能的数据;并执行个性化操作以基于个性化数据配置安全监视VNF。
示例2包括示例1的主题,并且其中多个指令进一步使得安全监视VNF经由安全通信路径从VNF管理器接收策略信息;并执行策略更新操作来更新安全监视VNF的安全策略。
示例3包括示例1和2中任一项的主题,并且其中策略信息包括租户特定安全处理策略、安全流量策略、安全组策略和网络服务处理策略中的至少一个。
示例4包括示例1-3中任一项的主题,并且其中接收供应数据包括使用带外通信接收供应数据。
示例5包括示例1-4中任一项的主题,并且其中所述供应数据包括安全监视VNF的唯一标识符、安全监视VNF正在其上运行的平台的唯一标识符,以及安全凭证。
示例6包括示例1-5中任一项的主题,并且其中执行相互认证的密钥交换过程包括使用安全凭证执行相互认证的密钥交换过程。
示例7包括示例1-6中任一项的主题,并且其中所述多个指令进一步使得安全监视VNF经由安全通信路径将安全监视信息发送到VNF管理器,其中所述安全监视信息包括安全监视VNF的日志、警报和统计信息中的至少一个。
示例8包括示例1-7中任一项的主题,并且其中个性化数据包括以下至少之一:安全配置数据,安全监视VNF的初始参数集,NFV架构的元数据,关于其他VNF的连接信息,供应商特定信息,性能数据,工作负载流量工程数据和服务质量(QoS)参数和策略。
示例9包括示例1-8中任一项的主题,并且其中多个指令进一步使得安全监视VNF向VNF管理器发送个性化操作状态和策略更新操作状态,其中个性化操作状态和策略更新操作状态可由NFV安全服务控制器使用,以确定是否激活由安全监视VNF监视的网络流量的全网安全策略。
示例10包括用于网络功能虚拟化(NFV)架构中的安全监视虚拟网络功能(VNF)的安全个性化的方法,该方法包括:在与安全监视VNF的网络通信中通过安全监视VNF从NFV架构的NFV安全服务控制器接收供应数据;通过安全监视VNF,使用至少一部分供应数据来与NFV架构的VNF管理器进行相互认证的密钥交换过程,以在安全监视VNF和VNF管理器之间建立安全通信路径;通过安全监视VNF,经由安全通信路径从VNF管理器接收个性化数据,其中个性化数据包括可用于配置安全监视VNF的一个或多个安全功能的数据;以及通过安全监视VNF执行个性化操作,以基于个性化数据来配置安全监视VNF。
示例11包括示例10的主题,并且还包括通过安全监视VNF经由安全通信路径从VNF管理器接收策略信息;以及由所述安全监视VNF执行策略更新操作以更新所述安全监视VNF的安全策略。
示例12包括示例10和11中任一项的主题,并且其中接收策略信息包括接收租户特定安全处理策略、安全流量策略、安全组策略和网络服务处理策略中的至少一个。
示例13包括示例10-12中任一项的主题,并且其中接收供应数据包括使用带外通信来接收供应数据。
示例14包括示例10-13中任一项的主题,并且其中所述供应数据包括安全监视VNF的唯一标识符、安全监视VNF正在其上运行的平台的唯一标识符,以及安全凭证。
示例15包括示例10-14中任一项的主题,并且其中执行相互认证的密钥交换过程包括使用安全凭证执行相互认证的密钥交换过程。
示例16包括示例10-15中任一项的主题,还包括由安全监视VNF经由安全通信路径向VNF管理器发送安全监视信息,其中安全监视信息包括安全监视VNF的日志、警报和统计信息中的至少一个。
示例17包括示例10-16中任一项的主题,并且其中接收个性化数据包括接收安全配置数据、安全监视VNF的初始参数集、NFV架构的元数据、有关其他VNF的连接信息、供应商特定信息、性能数据、工作负载流量工程数据和服务质量(QoS)参数和策略中的至少一个。
示例18包括示例10-17中任一项的主题,并且还包括由安全监视VNF向VNF管理器发送个性化操作状态和策略更新操作状态,其中个性化操作状态和策略更新操作状态可由NFV安全服务控制器使用,以确定是否激活由安全监视VNF监视的网络流量的全网安全策略。
示例19包括计算设备,其包括处理器;以及存储器,其中存储有多个指令,当由处理器执行时,多个指令使得计算设备执行示例10-18中任一个的方法。
示例20包括一个或多个机器可读存储介质,其包括存储在其上的多个指令,其响应于被执行而使得计算设备执行示例10-18中任一项的方法。
示例21包括用于在网络功能虚拟化(NFV)架构中执行安全监视的安全监视虚拟网络功能(VNF),所述安全监视VNF包括:供应管理电路,用于在与安全监视VNF的网络通信中从NFV架构的NFV安全服务控制器接收供应数据,并使用至少一部分供应数据来执行与NFV架构的VNF管理器的相互认证的密钥交换过程,以在安全监视VNF和VNF管理器之间建立安全通信路径;以及个性化管理电路,用于经由安全通信路径从VNF管理器接收个性化数据,其中个性化数据包括可用于配置安全监视VNF的一个或多个安全功能的数据,并执行个性化操作以基于个性化数据配置安全监视VNF。
示例22包括示例21的主题,并且还包括策略更新管理电路,用于经由安全通信路径从VNF管理器接收策略信息,并执行策略更新操作以更新安全监视VNF的安全策略。
示例23包括示例21和22中任一项的主题,其中策略信息包括租户特定安全处理策略、安全流量策略、安全组策略和网络服务处理策略中的至少一个。
示例24包括示例21-23中任一项的主题,并且其中接收供应数据包括使用带外通信来接收供应数据。
示例25包括示例21-24中任一项的主题,并且其中所述供应数据包括安全监视VNF的唯一标识符、安全监视VNF正在其上运行的平台的唯一标识符以及安全凭证。
示例26包括示例21-25中任一项的主题,并且其中执行相互认证的密钥交换过程包括使用安全凭证执行相互认证的密钥交换过程。
示例27包括示例21-26中任一项的主题,并且还包括安全监视电路,用于经由安全通信路径向VNF管理器发送安全监视信息,其中安全监视信息包括安全监视VNF的日志、警报和统计信息中的至少一个。
示例28包括示例21-27中任一项的主题,并且其中个性化数据包括安全配置数据、安全监视VNF的初始参数集、NFV架构的元数据,关于其他VNF的连接信息、供应商特定信息、性能数据、工作负载流量工程数据和服务质量(QoS)参数和策略中的至少一个。
示例29包括示例21-28中任一项的主题,并且其中个性化管理电路进一步将个性化操作状态和策略更新操作状态发送到VNF管理器,其中个性化操作状态和策略更新操作状态可由NFV安全服务控制器使用,以确定是否激活由安全监视VNF监视的网络流量的全网安全策略。
示例30包括用于在网络功能虚拟化(NFV)架构中执行安全监视的安全监视虚拟网络功能(VNF),所述安全监视VNF包括:供应管理电路,用于在与安全监视VNF的网络通信中从NFV架构的NFV安全服务控制器接收供应数据;用于使用所述供应数据的至少一部分与所述NFV架构的VNF管理器执行相互认证的密钥交换过程以在所述安全监视VNF和所述VNF管理器之间建立安全通信路径的单元;个性化管理电路,用于经由安全通信路径从VNF管理器接收个性化数据,其中个性化数据包括可用于配置安全监视VNF的一个或多个安全功能的数据;以及用于通过安全监视VNF执行个性化操作以基于个性化数据配置安全监视VNF的单元。
示例31包括示例30的主题,并且还包括策略更新管理电路,用于经由安全通信路径从VNF管理器接收策略信息;以及用于执行策略更新操作以更新安全监视VNF的安全策略的单元。
示例32包括示例30和31中任一项的主题,并且其中用于接收策略信息的单元包括用于接收租户特定安全处理策略、安全流量策略、安全组策略以及网络服务处理策略中的至少一个的单元。
示例33包括示例30-32中任一项的主题,并且其中用于接收供应数据的单元包括用于使用带外通信来接收供应数据的单元。
示例34包括示例30-33中任一项的主题,并且其中所述供应数据包括安全监视VNF的唯一标识符、在其上运行安全监视VNF的平台的唯一标识符和安全凭证。
示例35包括示例30-34中任一项的主题,并且其中用于执行相互认证的密钥交换过程的单元包括用于使用安全凭证执行相互认证的密钥交换过程的单元。
示例36包括示例30-35中任一项的主题,并且还包括用于经由安全通信路径将安全监视信息发送到VNF管理器的单元,其中所述安全监视信息包括安全监视VNF的日志、警报和统计信息中的至少一个。
示例37包括示例30-36中任一项的主题,并且其中用于接收个性化数据的单元包括用于接收安全配置数据、安全监视VNF的初始参数集合、NFV架构的元数据、关于其他VNF的连接信息、供应商特定信息、性能数据,工作负载流量工程数据和服务质量(QoS)参数和策略中的至少一个的单元。
示例38包括示例30-37中任一项的主题,并且还包括用于将个性化操作状态和策略更新操作状态发送到VNF管理器的单元,其中个性化操作状态和策略更新操作状态可由NFV安全服务控制器使用来确定是否激活由安全监视VNF监视的网络流量的全网安全策略。

Claims (29)

1.一种用于执行针对虚拟网络功能(VNF)的安全服务代理的计算平台,所述计算平台包括:
网络接口控制器;
存储器设备;以及
至少一个处理器,其耦合到所述网络接口控制器和所述存储器设备,所述至少一个处理器用于执行所述针对VNF的安全服务代理,所述针对VNF的安全服务代理用于:
至少接收因特网协议(IP)地址和初始根安全凭证;
使用所述安全凭证执行与VNF管理器的相互认证的密钥交换过程的部分以建立安全和可信的信道;
打开与所述VNF管理器的管理信道;
使用所述管理信道使信息被传输到所述VNF管理器;
从所述VNF管理器接收个性化数据,其中,所述个性化数据包括以下中的一个或多个:安全配置数据、安全监视VNF参数的初始集、元数据、关于其他VNF的连接信息、供应商特定信息、性能信息、流量工程数据、或至少一个服务质量(QoS)参数或策略;以及
从所述VNF管理器接收至少一个策略,所述至少一个策略包括以下中的一个或多个:租户特定安全处理策略、安全流量策略、安全组策略、或网络服务处理策略。
2.根据权利要求1所述的计算平台,其中,使用所述安全凭证执行与VNF管理器的相互认证的密钥交换过程的部分以建立安全和可信的信道包括使用传输层安全性(TLS)。
3.根据权利要求1所述的计算平台,其中,所述信息包括以下中的一个或多个:日志、警报、或统计信息。
4.根据权利要求1所述的计算平台,其中,从所述VNF管理器接收的个性化数据包括使用可靠的协议。
5.根据权利要求1所述的计算平台,其中,所述至少一个处理器用于将VNF间连接的状态存储在服务功能链中。
6.根据权利要求1所述的计算平台,其中,所述针对VNF的安全服务代理与以下中的一个或多个相关联:管理程序或硬件物理平台。
7.一种用于执行针对虚拟网络功能(VNF)的安全服务代理的方法,所述方法包括:
至少接收因特网协议(IP)地址和初始根安全凭证;
使用所述安全凭证执行与VNF管理器的相互认证的密钥交换过程的部分以建立安全和可信的信道;
打开与所述VNF管理器的管理信道;
使用所述管理信道使信息被传输到所述VNF管理器;
从所述VNF管理器接收个性化数据,其中,所述个性化数据包括以下中的一个或多个:安全配置数据、安全监视VNF参数的初始集、元数据、关于其他VNF的连接信息、供应商特定信息、性能信息、流量工程数据、或至少一个服务质量(QoS)参数或策略;以及
从所述VNF管理器接收至少一个策略,所述策略包括以下中的一个或多个:租户特定安全处理策略、安全流量策略、安全组策略、或网络服务处理策略。
8.根据权利要求7所述的方法,其中,使用所述安全凭证执行与VNF管理器的相互认证的密钥交换过程的部分以建立安全和可信的信道包括使用传输层安全性(TLS)。
9.根据权利要求7所述的方法,包括将VNF间连接的状态存储在服务功能链中。
10.根据权利要求7所述的方法,其中,所述针对VNF的安全服务代理与以下中的一个或多个相关联:管理程序或硬件物理平台。
11.一种非暂时性计算机可读介质,包括存储在其上的指令,所述指令如果由至少一个处理器执行,则使所述至少一个处理器执行针对虚拟网络功能(VNF)的安全服务代理,所述针对虚拟网络功能(VNF)的安全服务代理用于执行根据权利要求7-10中任意一项或多项所述的方法。
12.一种用于执行针对虚拟网络功能(VNF)的安全服务代理的计算平台,所述计算平台包括:
网络接口控制器;
存储器设备;以及
至少一个处理器,其耦合到所述网络接口控制器和所述存储器设备,所述至少一个处理器用于执行所述针对VNF的安全服务代理,所述针对VNF的安全服务代理用于:
建立用于与VNF管理器进行通信的安全的、相互认证的信道的部分;
为了确保安全凭证是当前的并且是活动的,使用所述安全的、相互认证的信道或建立并使用新的安全信道以用于与所述VNF管理器进行通信;
从所述VNF管理器接收策略更新;以及
基于对所述策略更新的接收,执行以下中的一个或多个:放弃当前执行、退出、阻止至少一些流量、或继续执行直到接收到触发,其中,从所述VNF管理器接收策略更新是基于系统事件的,所述系统事件包括添加或删除租户、网络或系统威胁、或其他安全策略更新。
13.根据权利要求12所述的计算平台,其中,所述系统事件是以下中的至少一个或多个:自动的、手动的、时间驱动的、或动态的。
14.根据权利要求12所述的计算平台,其中,所述针对VNF的安全服务代理与管理程序或硬件物理平台中的一个或多个相关联。
15.一种用于执行针对虚拟网络功能(VNF)的安全服务代理的方法,所述方法包括:
建立用于与VNF管理器进行通信的安全的、相互认证的信道的部分;
为了确保安全凭证是当前的并且是活动的,使用所述安全的、相互认证的信道或建立并使用新的安全信道以用于与所述VNF管理器进行通信;
从所述VNF管理器接收策略更新;以及
基于对所述策略更新的接收,执行以下中的一个或多个:放弃当前执行、退出、阻止至少一些流量、或继续执行直到接收到触发,其中,从所述VNF管理器接收策略更新是基于系统事件的,所述系统事件包括添加或删除租户、网络或系统威胁、或其他安全策略更新。
16.根据权利要求15所述的方法,其中,所述系统事件是以下中的至少一个或多个:自动的、手动的、时间驱动的、或动态的。
17.根据权利要求15所述的方法,其中,所述针对VNF的安全服务代理与以下中的一个或多个相关联:管理程序或硬件物理平台。
18.一种非暂时性计算机可读介质,包括存储在其上的指令,所述指令如果由至少一个处理器执行,则使所述至少一个处理器执行针对虚拟网络功能(VNF)的安全服务代理,所述针对虚拟网络功能(VNF)的安全服务代理用于执行根据权利要求15-17中任意一项或多项所述的方法。
19.一种用于执行虚拟网络功能管理器(VNFM)的计算平台,所述计算平台包括:
网络接口控制器;
存储器设备;以及
至少一个处理器,其耦合到所述网络接口控制器和所述存储器设备,所述至少一个处理器执行VNFM,所述VNFM用于:
从网络功能虚拟化(NFV)安全控制器接收以下中的一个或多个:针对虚拟网络功能(VNF)的安全服务代理(SSA)的标识符、平台的标识符、以及所述NFV安全控制器用来提供SSA的安全凭证;
使用所述安全凭证执行与所述针对VNF的SSA的相互认证的密钥交换过程的部分以建立安全和可信的信道;
使用管理信道从所述针对VNF的SSA接收信息;
从所述NFV安全控制器接收安全监视的策略;
将个性化数据推送到所述针对VNF的SSA;
将租户、服务、或网络安全策略中的一个或多个推送到所述针对VNF的SSA;以及
向所述NFV安全控制器提供个性化和策略更新成功的指示。
20.根据权利要求19所述的计算机平台,其中,所述至少一个处理器用于:
通过使用安全和可信的信道或建立并使用针对与所述SSA的更新过程的新的安全信道,来确保安全凭证仍然是当前的并且是活动的。
21.根据权利要求19所述的计算机平台,其中,所述至少一个处理器用于:
从所述NFV安全控制器接收安全策略更新。
22.根据权利要求19所述的计算机平台,其中,所述至少一个处理器用于:
向所述针对VNF的安全服务代理推送新的策略更新。
23.根据权利要求19所述的计算机平台,其中,所述至少一个处理器用于:
接收所述策略被在所述针对VNF的安全服务代理处成功更新的指示,以及
向所述NFV安全控制器提供具有更新操作的状态的指示,所述状态至少包括:成功、失败、或错误。
24.一种执行虚拟网络功能管理器(VNFM)的方法,所述方法包括:
从网络功能虚拟化(NFV)安全控制器接收以下中的一个或多个:针对虚拟网络功能(VNF)的安全服务代理(SSA)的标识符、平台的标识符、以及所述NFV安全控制器用来提供SSA的安全凭证;
使用所述安全凭证执行与所述针对VNF的SSA的相互认证的密钥交换过程的部分以建立安全和可信的信道;
使用管理信道从所述针对VNF的SSA接收信息;
从所述NFV安全控制器接收安全监视的策略;
将个性化数据推送到所述针对VNF的SSA;
将租户、服务、或网络安全策略中的一个或多个推送到所述针对VNF的SSA;以及
向所述NFV安全控制器提供个性化和策略更新成功的指示。
25.根据权利要求24所述的方法,包括:
通过使用安全和可信的信道或建立并使用针对与所述SSA的更新过程的新的安全信道,来确保安全凭证仍然是当前的并且是活动的。
26.根据权利要求24所述的方法,包括:
从所述NFV安全控制器接收安全策略更新。
27.根据权利要求24所述的方法,包括:
向所述针对VNF的安全服务代理推送新的策略更新。
28.根据权利要求24所述的方法,包括:
接收所述策略被在所述针对VNF的安全服务代理处成功更新的指示,以及
向所述NFV安全控制器提供具有更新操作的状态的指示,所述状态至少包括:成功、失败、或错误。
29.一种非暂时性计算机可读介质,包括存储在其上的指令,所述指令如果由至少一个处理器执行,则使所述至少一个处理器执行虚拟网络功能管理器(VNFM),所述虚拟网络功能管理器(VNFM)用于执行根据权利要求24-28中任意一项或多项所述的方法。
CN201911233837.XA 2015-06-16 2016-05-16 用于安全监视虚拟网络功能的安全个性化的技术 Active CN110752961B (zh)

Applications Claiming Priority (6)

Application Number Priority Date Filing Date Title
US201562180433P 2015-06-16 2015-06-16
US62/180,433 2015-06-16
US14/866,565 2015-09-25
US14/866,565 US9742790B2 (en) 2015-06-16 2015-09-25 Technologies for secure personalization of a security monitoring virtual network function
PCT/US2016/032672 WO2016204903A1 (en) 2015-06-16 2016-05-16 Technologies for secure personalization of a security monitoring virtual network function
CN201680028098.9A CN107637018B (zh) 2015-06-16 2016-05-16 用于安全监视虚拟网络功能的安全个性化的系统、装置、方法

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
CN201680028098.9A Division CN107637018B (zh) 2015-06-16 2016-05-16 用于安全监视虚拟网络功能的安全个性化的系统、装置、方法

Publications (2)

Publication Number Publication Date
CN110752961A true CN110752961A (zh) 2020-02-04
CN110752961B CN110752961B (zh) 2022-09-06

Family

ID=57545395

Family Applications (2)

Application Number Title Priority Date Filing Date
CN201680028098.9A Active CN107637018B (zh) 2015-06-16 2016-05-16 用于安全监视虚拟网络功能的安全个性化的系统、装置、方法
CN201911233837.XA Active CN110752961B (zh) 2015-06-16 2016-05-16 用于安全监视虚拟网络功能的安全个性化的技术

Family Applications Before (1)

Application Number Title Priority Date Filing Date
CN201680028098.9A Active CN107637018B (zh) 2015-06-16 2016-05-16 用于安全监视虚拟网络功能的安全个性化的系统、装置、方法

Country Status (7)

Country Link
US (3) US9742790B2 (zh)
EP (3) EP3311547B1 (zh)
KR (1) KR102255004B1 (zh)
CN (2) CN107637018B (zh)
PL (1) PL3311547T3 (zh)
TW (1) TWI690173B (zh)
WO (1) WO2016204903A1 (zh)

Families Citing this family (133)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10740692B2 (en) 2017-10-17 2020-08-11 Servicenow, Inc. Machine-learning and deep-learning techniques for predictive ticketing in information technology systems
US11416325B2 (en) 2012-03-13 2022-08-16 Servicenow, Inc. Machine-learning and deep-learning techniques for predictive ticketing in information technology systems
US10600002B2 (en) 2016-08-04 2020-03-24 Loom Systems LTD. Machine learning techniques for providing enriched root causes based on machine-generated data
US9578664B1 (en) 2013-02-07 2017-02-21 Sprint Communications Company L.P. Trusted signaling in 3GPP interfaces in a network function virtualization wireless communication system
US11271948B2 (en) * 2017-05-22 2022-03-08 Amdocs Development Limited System, method, and computer program for verifying virtual network function (VNF) package and/or network service definition integrity
JP6408602B2 (ja) * 2014-03-24 2018-10-17 華為技術有限公司Huawei Technologies Co.,Ltd. Nfvシステムにおけるサービス実装のための方法および通信ユニット
US9705849B2 (en) * 2014-09-30 2017-07-11 Intel Corporation Technologies for distributed detection of security anomalies
US20160321458A1 (en) * 2015-05-01 2016-11-03 Marvell World Trade Ltd. Systems and methods for secured data transfer via inter-chip hopping buses
US9854048B2 (en) * 2015-06-29 2017-12-26 Sprint Communications Company L.P. Network function virtualization (NFV) hardware trust in data communication systems
US9686240B1 (en) 2015-07-07 2017-06-20 Sprint Communications Company L.P. IPv6 to IPv4 data packet migration in a trusted security zone
US9749294B1 (en) 2015-09-08 2017-08-29 Sprint Communications Company L.P. System and method of establishing trusted operability between networks in a network functions virtualization environment
US10116571B1 (en) * 2015-09-18 2018-10-30 Sprint Communications Company L.P. Network Function Virtualization (NFV) Management and Orchestration (MANO) with Application Layer Traffic Optimization (ALTO)
US10542115B1 (en) * 2015-10-01 2020-01-21 Sprint Communications Company L.P. Securing communications in a network function virtualization (NFV) core network
US9811686B1 (en) 2015-10-09 2017-11-07 Sprint Communications Company L.P. Support systems interactions with virtual network functions in a trusted security zone
US10255094B2 (en) 2015-10-22 2019-04-09 Genband Us Llc Utilizing physical systems and virtual systems for virtual network functions
US9781016B1 (en) 2015-11-02 2017-10-03 Sprint Communications Company L.P. Dynamic addition of network function services
US9967288B2 (en) 2015-11-05 2018-05-08 International Business Machines Corporation Providing a common security policy for a heterogeneous computer architecture environment
EP3380940A1 (en) * 2015-11-24 2018-10-03 NEC Laboratories Europe GmbH A method and network for managing and orchestrating virtual network functions and network applications
US11831654B2 (en) * 2015-12-22 2023-11-28 Mcafee, Llc Secure over-the-air updates
JP6604220B2 (ja) * 2016-02-02 2019-11-13 富士通株式会社 管理装置、管理システム、及びスケーリング方法
US10547692B2 (en) * 2016-02-09 2020-01-28 Cisco Technology, Inc. Adding cloud service provider, cloud service, and cloud tenant awareness to network service chains
US10374922B2 (en) * 2016-02-24 2019-08-06 Cisco Technology, Inc. In-band, health-based assessments of service function paths
KR101759429B1 (ko) * 2016-03-24 2017-07-31 숭실대학교산학협력단 멀티 도메인 환경에서 도메인과 대응되는 피어 및 이의 제어 방법
ES2716657T3 (es) * 2016-04-07 2019-06-13 Telefonica Sa Un método para asegurar el recorrido de paquetes de datos correcto a través de una trayectoria particular de una red
US10819630B1 (en) * 2016-04-20 2020-10-27 Equinix, Inc. Layer three instances for a cloud-based services exchange
CN107360120B (zh) * 2016-05-10 2019-06-11 华为技术有限公司 虚拟网络功能的审计方法和装置
KR101846079B1 (ko) * 2016-07-15 2018-04-05 주식회사 케이티 Nfv 환경에서의 가상 cpe 서비스 제공 시스템, 및 이를 위한 nfv 클라우드
US20180034703A1 (en) * 2016-07-26 2018-02-01 Cisco Technology, Inc. System and method for providing transmission of compliance requirements for cloud-based applications
US10789119B2 (en) 2016-08-04 2020-09-29 Servicenow, Inc. Determining root-cause of failures based on machine-generated textual data
US10963634B2 (en) * 2016-08-04 2021-03-30 Servicenow, Inc. Cross-platform classification of machine-generated textual data
WO2018023692A1 (en) * 2016-08-05 2018-02-08 Nokia Shanghai Bell Co., Ltd. Security-on-demand architecture
US20180077080A1 (en) * 2016-09-15 2018-03-15 Ciena Corporation Systems and methods for adaptive and intelligent network functions virtualization workload placement
WO2018053686A1 (zh) * 2016-09-20 2018-03-29 华为技术有限公司 安全策略部署方法与装置
US10250498B1 (en) 2016-10-03 2019-04-02 Sprint Communications Company L.P. Session aggregator brokering of data stream communication
WO2018068202A1 (en) * 2016-10-11 2018-04-19 Nokia Technologies Oy Virtualized network function security wrapping orchestration in the cloud environment
US10469359B2 (en) * 2016-11-03 2019-11-05 Futurewei Technologies, Inc. Global resource orchestration system for network function virtualization
US10505870B2 (en) * 2016-11-07 2019-12-10 At&T Intellectual Property I, L.P. Method and apparatus for a responsive software defined network
US10318723B1 (en) * 2016-11-29 2019-06-11 Sprint Communications Company L.P. Hardware-trusted network-on-chip (NOC) and system-on-chip (SOC) network function virtualization (NFV) data communications
CN108418776B (zh) * 2017-02-09 2021-08-20 上海诺基亚贝尔股份有限公司 用于提供安全业务的方法和设备
US10659496B2 (en) * 2017-03-28 2020-05-19 ShieldX Networks, Inc. Insertion and configuration of interface microservices based on security policy changes
US20180285563A1 (en) * 2017-03-31 2018-10-04 Intel Corporation Techniques for service assurance using fingerprints associated with executing virtualized applications
WO2018200397A1 (en) * 2017-04-24 2018-11-01 Intel IP Corporation Network function virtualization infrastructure performance
US10656987B1 (en) * 2017-04-26 2020-05-19 EMC IP Holding Company LLC Analysis system and method
US10749796B2 (en) 2017-04-27 2020-08-18 At&T Intellectual Property I, L.P. Method and apparatus for selecting processing paths in a software defined network
US10673751B2 (en) 2017-04-27 2020-06-02 At&T Intellectual Property I, L.P. Method and apparatus for enhancing services in a software defined network
US10819606B2 (en) 2017-04-27 2020-10-27 At&T Intellectual Property I, L.P. Method and apparatus for selecting processing paths in a converged network
US10382903B2 (en) 2017-05-09 2019-08-13 At&T Intellectual Property I, L.P. Multi-slicing orchestration system and method for service and/or content delivery
US10257668B2 (en) 2017-05-09 2019-04-09 At&T Intellectual Property I, L.P. Dynamic network slice-switching and handover system and method
US10594829B2 (en) * 2017-05-24 2020-03-17 At&T Intellectual Property I, L.P. Cloud workload proxy as link-local service configured to access a service proxy gateway via a link-local IP address to communicate with an external target service via a private network
US10757105B2 (en) * 2017-06-12 2020-08-25 At&T Intellectual Property I, L.P. On-demand network security system
CN109150567B (zh) * 2017-06-19 2022-09-13 中兴通讯股份有限公司 虚拟网络功能模块的监控方法、设备和可读存储介质
CN109257240B (zh) * 2017-07-12 2021-02-23 上海诺基亚贝尔股份有限公司 一种监测虚拟化网络功能单元性能的方法和装置
US10070344B1 (en) 2017-07-25 2018-09-04 At&T Intellectual Property I, L.P. Method and system for managing utilization of slices in a virtual network function environment
US10530740B2 (en) * 2017-07-26 2020-01-07 At&T Intellectual Property I, L.P. Systems and methods for facilitating closed loop processing using machine learning
US10348488B1 (en) 2017-08-25 2019-07-09 Sprint Communications Company L.P. Tiered distributed ledger technology (DLT) in a network function virtualization (NFV) core network
US10594735B2 (en) 2017-09-28 2020-03-17 At&T Intellectual Property I, L.P. Tag-based security policy creation in a distributed computing environment
CN109639449B (zh) * 2017-10-09 2021-09-03 中兴通讯股份有限公司 虚拟化流镜像策略自动化管理的方法、设备及介质
US11050781B2 (en) * 2017-10-11 2021-06-29 Microsoft Technology Licensing, Llc Secure application monitoring
US10872145B2 (en) * 2017-10-25 2020-12-22 International Business Machines Corporation Secure processor-based control plane function virtualization in cloud systems
US10104548B1 (en) 2017-12-18 2018-10-16 At&T Intellectual Property I, L.P. Method and apparatus for dynamic instantiation of virtual service slices for autonomous machines
US10432524B2 (en) 2017-12-20 2019-10-01 At&T Intellectual Property I, L.P. Parallelism for virtual network functions in service function chains
US10863376B2 (en) * 2018-01-18 2020-12-08 Intel Corporation Measurement job creation and performance data reporting for advanced networks including network slicing
US11418386B2 (en) * 2018-03-06 2022-08-16 At&T Intellectual Property I, L.P. Virtual network function creation system
US10917436B2 (en) 2018-03-20 2021-02-09 Cisco Technology, Inc. On-demand security policy provisioning
US10819573B2 (en) * 2018-03-20 2020-10-27 Ciena Corporation Hierarchical coherency for network function virtualization
US11658995B1 (en) 2018-03-20 2023-05-23 F5, Inc. Methods for dynamically mitigating network attacks and devices thereof
US11388272B2 (en) * 2018-03-30 2022-07-12 Intel Corporation Technologies for network packet processing between cloud and telecommunications networks
KR102500137B1 (ko) * 2018-03-30 2023-02-15 삼성전자주식회사 네트워크 기능 가상화 환경에서 네트워크 자원 관리를 위한 장치 및 방법
WO2019183980A1 (en) * 2018-03-31 2019-10-03 Intel Corporation Technologies for securing network function virtualization images
EP3561617A1 (en) * 2018-04-24 2019-10-30 Siemens Aktiengesellschaft Automation component configuration
US10608907B2 (en) 2018-05-11 2020-03-31 At&T Intellectual Property I, L.P. Open-loop control assistant to guide human-machine interaction
WO2019222927A1 (en) * 2018-05-22 2019-11-28 Nokia Shanghai Bell Co., Ltd. Attack source tracing in sfc overlay network
US11240135B1 (en) 2018-05-23 2022-02-01 Open Invention Network Llc Monitoring VNFCs that are composed of independently manageable software modules
CN110661641B (zh) * 2018-06-29 2021-07-16 华为技术有限公司 一种虚拟网络功能vnf部署方法及装置
EP3609131A1 (en) * 2018-08-07 2020-02-12 Siemens Aktiengesellschaft Operational constraints for operational functions of field devices
US10243793B1 (en) 2018-08-13 2019-03-26 Nefeli Networks, Inc. Modular system framework for software network function automation
US11233778B2 (en) * 2018-08-15 2022-01-25 Juniper Networks, Inc. Secure forwarding of tenant workloads in virtual networks
US10826943B2 (en) * 2018-08-21 2020-11-03 At&T Intellectual Property I, L.P. Security controller
US20220050897A1 (en) * 2018-09-18 2022-02-17 Visa International Service Association Microservice adaptive security hardening
CN109257222B (zh) * 2018-09-27 2019-11-15 中国联合网络通信有限公司广东省分公司 一种基于业务编排器的城域网网络架构
WO2020083026A1 (en) * 2018-10-23 2020-04-30 Huawei Technologies Co., Ltd. SECURED METADATA SHARING AMONG VNFs
US10819743B2 (en) * 2018-11-05 2020-10-27 Nanning Fugui Precision Industrial Co., Ltd. Anti-replay processing method and device utilizing the same
TWI708158B (zh) * 2018-11-06 2020-10-21 國家中山科學研究院 邊緣網路資安偵防系統與方法
US20200153679A1 (en) * 2018-11-08 2020-05-14 Huawei Technologies Co., Ltd. Method for enhancing status communications in a sdn-based communication system
RU188796U1 (ru) * 2018-11-15 2019-04-23 Общество с ограниченной ответственностью "БУЛАТ" Абонентское сетевое устройство с виртуализированными сетевыми функциями
US11032311B2 (en) * 2018-12-11 2021-06-08 F5 Networks, Inc. Methods for detecting and mitigating malicious network activity based on dynamic application context and devices thereof
CN111404860A (zh) * 2019-01-02 2020-07-10 中国移动通信有限公司研究院 一种安全业务链实现方法、装置和计算机可读存储介质
US11251942B2 (en) 2019-01-09 2022-02-15 Alibaba Group Holding Limited Secure communication channel between encryption/decryption component and trusted execution environment
US20200236131A1 (en) * 2019-01-18 2020-07-23 Cisco Technology, Inc. Protecting endpoints with patterns from encrypted traffic analytics
US10936422B1 (en) 2019-03-22 2021-03-02 T-Mobile lnnovations LLC Recovery of virtual network function (VNF) boot functionality
US11494214B2 (en) * 2019-03-28 2022-11-08 Amazon Technologies, Inc. Verified isolated run-time environments for enhanced security computations within compute instances
US11012294B2 (en) 2019-04-17 2021-05-18 Nefeli Networks, Inc. Inline data plane monitor placement and operation for network function virtualization
US10965523B1 (en) 2019-05-06 2021-03-30 Sprint Communications Company L.P. Virtual network element provisioning
US11526613B2 (en) * 2019-07-03 2022-12-13 Microsoft Technology Licensing, Llc Execution environment and gatekeeper arrangement
US11405321B2 (en) * 2019-07-23 2022-08-02 At&T Mobility Ii Llc 5G filters for virtual network functions
SG10201906806XA (en) * 2019-07-23 2021-02-25 Mastercard International Inc Methods and computing devices for auto-submission of user authentication credential
US11411843B2 (en) * 2019-08-14 2022-08-09 Verizon Patent And Licensing Inc. Method and system for packet inspection in virtual network service chains
US11095610B2 (en) * 2019-09-19 2021-08-17 Blue Ridge Networks, Inc. Methods and apparatus for autonomous network segmentation
US11509534B2 (en) * 2019-10-23 2022-11-22 Juniper Networks, Inc. Collection of error packet information for network policy enforcement
CN110912731B (zh) * 2019-10-29 2022-07-26 广州丰石科技有限公司 基于nfv采用dpi技术实现业务识别和拓扑分析的系统和方法
EP4005183A4 (en) 2019-11-08 2022-08-17 Samsung Electronics Co., Ltd. METHOD AND ELECTRONIC DEVICE FOR DETERMINING A SECURITY THREAT IN A RADIO ACCESS NETWORK
US11218360B2 (en) 2019-12-09 2022-01-04 Quest Automated Services, LLC Automation system with edge computing
CN112953806B (zh) * 2019-12-10 2022-04-01 中国电信股份有限公司 业务类型及安装路径确定方法、装置和系统、存储介质
US11146623B2 (en) * 2020-01-15 2021-10-12 Vmware, Inc. Intelligent distribution of virtual network function images
US11588731B1 (en) 2020-01-17 2023-02-21 Equinix, Inc. Cloud-to-cloud interface
US11722477B2 (en) 2020-01-21 2023-08-08 Forcepoint Llc Automated renewal of certificates across a distributed computing security system
KR20210108791A (ko) 2020-02-26 2021-09-03 삼성전자주식회사 가상화된 네트워크 기능을 실행하는 방법 및 장치
US11379256B1 (en) * 2020-02-28 2022-07-05 Cisco Technology, Inc. Distributed monitoring agent deployed at remote site
US11288018B2 (en) * 2020-03-25 2022-03-29 Verizon Patent And Licensing Inc. Method and system for deploying a virtual distributed unit on a network device
US11520615B1 (en) * 2020-03-31 2022-12-06 Equinix, Inc. Virtual network function virtual domain isolation
US11057274B1 (en) * 2020-04-09 2021-07-06 Verizon Patent And Licensing Inc. Systems and methods for validation of virtualized network functions
CN111565176B (zh) * 2020-04-24 2022-04-08 上海沪景信息科技有限公司 智能伪装主机方法、系统、设备及可读存储介质
US11216553B1 (en) * 2020-05-14 2022-01-04 Rapid7, Inc. Machine scanning system with distributed credential storage
US11611517B2 (en) * 2020-05-29 2023-03-21 Equinix, Inc. Tenant-driven dynamic resource allocation for virtual network functions
CN112087329B (zh) * 2020-08-27 2022-06-07 重庆大学 一种网络服务功能链部署方法
US11436127B1 (en) 2020-09-10 2022-09-06 Cisco Technology, Inc. Automated validation and authentication of software modules
TWI742878B (zh) * 2020-10-14 2021-10-11 中華電信股份有限公司 管理通用虛擬網路服務鏈路的方法及系統
US11847205B1 (en) 2020-10-26 2023-12-19 T-Mobile Innovations Llc Trusted 5G network function virtualization of virtual network function elements embedded on a system-on-chip
TWI780537B (zh) * 2020-12-10 2022-10-11 中華電信股份有限公司 智慧化調整監控告警服務的系統、方法及電腦可讀媒介
US11522708B2 (en) * 2020-12-18 2022-12-06 Dell Products, L.P. Trusted local orchestration of workspaces
CN112839045B (zh) * 2021-01-14 2023-05-30 中盈优创资讯科技有限公司 对策略进行编排的实现方法及装置
US11991077B2 (en) * 2021-03-01 2024-05-21 Juniper Networks, Inc. Data interfaces with isolation for containers deployed to compute nodes
US11516185B2 (en) * 2021-03-13 2022-11-29 Oracle International Corporation Methods, systems, and computer readable media for enabling cloud-based management services using an on-sii e management cloud engine
US11526617B2 (en) 2021-03-24 2022-12-13 Bank Of America Corporation Information security system for identifying security threats in deployed software package
US11683345B2 (en) * 2021-07-09 2023-06-20 Zscaler, Inc. Application identity-based enforcement of datagram protocols
WO2023015312A1 (en) * 2021-08-05 2023-02-09 Artema Labs, Inc Methods for securely adding data to a blockchain using dynamic time quanta and version authentication
KR102415567B1 (ko) * 2021-11-18 2022-07-05 프라이빗테크놀로지 주식회사 가상화 인스턴스의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
CN114268507B (zh) * 2021-12-30 2023-12-05 天翼物联科技有限公司 一种基于sgx的网络云安全优化方法、系统及相关介质
TWI797962B (zh) * 2022-01-17 2023-04-01 中華電信股份有限公司 基於SASE的IPv6雲邊緣網路安全連線方法
US20240106709A1 (en) * 2022-03-15 2024-03-28 Rakuten Mobile, Inc. Network aware compute resource management use case for o-ran non-rt ric
CN116208501A (zh) * 2022-12-28 2023-06-02 中国联合网络通信集团有限公司 Nfv中的tee资源编排方法、系统、设备及存储介质
CN115941365A (zh) * 2023-03-15 2023-04-07 北京城建智控科技股份有限公司 终端网络安全的防护方法、一体机和服务器
CN116566752B (zh) * 2023-07-11 2023-09-12 苏州浪潮智能科技有限公司 安全引流系统、云主机及安全引流方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100005504A1 (en) * 2008-07-01 2010-01-07 International Business Machines Corporation Method of automating and personalizing systems to satisfy securityrequirements in an end-to-end service landscape
US20100125855A1 (en) * 2008-11-14 2010-05-20 Oracle International Corporation System and method of security management for a virtual environment
CN104125214A (zh) * 2014-06-30 2014-10-29 北京邮电大学 一种实现软件定义安全的安全架构系统及安全控制器
CN104579732A (zh) * 2013-10-21 2015-04-29 华为技术有限公司 虚拟化网络功能网元的管理方法、装置和系统
CN104580208A (zh) * 2015-01-04 2015-04-29 华为技术有限公司 一种身份认证方法及装置

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8281387B2 (en) * 2006-06-30 2012-10-02 Intel Corporation Method and apparatus for supporting a virtual private network architecture on a partitioned platform
US20100125897A1 (en) * 2008-11-20 2010-05-20 Rahul Jain Methods and apparatus for establishing a dynamic virtual private network connection
US8462780B2 (en) * 2011-03-30 2013-06-11 Amazon Technologies, Inc. Offload device-based stateless packet processing
US20140019745A1 (en) * 2012-07-12 2014-01-16 David S. Dodgson Cryptographic isolation of virtual machines
US9503475B2 (en) * 2012-08-14 2016-11-22 Ca, Inc. Self-adaptive and proactive virtual machine images adjustment to environmental security risks in a cloud environment
EP2957080B1 (en) 2013-02-12 2020-06-10 Hewlett-Packard Enterprise Development LP Network control using software defined flow mapping and virtualized network functions
CN103458003B (zh) * 2013-08-15 2016-11-16 中电长城网际系统应用有限公司 一种自适应云计算环境虚拟安全域访问控制方法和系统
US20160212012A1 (en) * 2013-08-30 2016-07-21 Clearpath Networks, Inc. System and method of network functions virtualization of network services within and across clouds
US9350632B2 (en) * 2013-09-23 2016-05-24 Intel Corporation Detection and handling of virtual network appliance failures
US9838265B2 (en) * 2013-12-19 2017-12-05 Amdocs Software Systems Limited System, method, and computer program for inter-module communication in a network based on network function virtualization (NFV)
US9853869B1 (en) * 2015-01-27 2017-12-26 Amdocs Software Systems Limited System, method, and computer program for automatically instructing a virtual network function (VNF) to operate in accordance with one of a plurality of function definitions
EP2911347B1 (en) * 2014-02-24 2019-02-13 Hewlett-Packard Enterprise Development LP Providing policy information
US10664297B2 (en) * 2014-02-24 2020-05-26 Hewlett Packard Enterprise Development Lp Activating pre-created VNFCs when a monitored performance level of a VNF exceeds a maximum value attainable by the combined VNFCs that form a VNF
US9998320B2 (en) * 2014-04-03 2018-06-12 Centurylink Intellectual Property Llc Customer environment network functions virtualization (NFV)
WO2015199685A1 (en) * 2014-06-25 2015-12-30 Hewlett Packard Development Company, L.P. Network function virtualization
EP3158686B1 (en) * 2014-06-26 2020-01-08 Huawei Technologies Co., Ltd. System and method for virtual network function policy management
CN105282195A (zh) * 2014-06-27 2016-01-27 中兴通讯股份有限公司 网络服务提供、策略规则评估、服务组件选择方法及装置
EP3183679A4 (en) * 2014-08-22 2018-03-07 Nokia Technologies Oy A security and trust framework for virtualized networks
CN107005580B (zh) * 2014-11-04 2020-08-18 瑞典爱立信有限公司 用于管理服务集的方法和相关联的管理器节点
US9742807B2 (en) * 2014-11-19 2017-08-22 At&T Intellectual Property I, L.P. Security enhancements for a software-defined network with network functions virtualization
EP3257229A1 (en) * 2015-02-12 2017-12-20 Telefonaktiebolaget LM Ericsson (publ) Method for running a virtual machine
US20180034781A1 (en) * 2015-02-13 2018-02-01 Nokia Solutions And Networks Oy Security mechanism for hybrid networks

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100005504A1 (en) * 2008-07-01 2010-01-07 International Business Machines Corporation Method of automating and personalizing systems to satisfy securityrequirements in an end-to-end service landscape
US20100125855A1 (en) * 2008-11-14 2010-05-20 Oracle International Corporation System and method of security management for a virtual environment
CN104579732A (zh) * 2013-10-21 2015-04-29 华为技术有限公司 虚拟化网络功能网元的管理方法、装置和系统
CN104125214A (zh) * 2014-06-30 2014-10-29 北京邮电大学 一种实现软件定义安全的安全架构系统及安全控制器
CN104580208A (zh) * 2015-01-04 2015-04-29 华为技术有限公司 一种身份认证方法及装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
姜建等: "网络功能虚拟化关键技术及影响分析", 《电信网技术》 *
徐晓贝: "企业私有云虚拟网络安全监控研究", 《中国科技信息》 *

Also Published As

Publication number Publication date
US20180159880A1 (en) 2018-06-07
PL3311547T3 (pl) 2022-07-25
TW201711425A (zh) 2017-03-16
WO2016204903A1 (en) 2016-12-22
CN110752961B (zh) 2022-09-06
EP3311547A1 (en) 2018-04-25
US20160373474A1 (en) 2016-12-22
EP3985533A1 (en) 2022-04-20
EP3311547A4 (en) 2018-11-21
US10721258B2 (en) 2020-07-21
EP3985948A1 (en) 2022-04-20
US20200028868A1 (en) 2020-01-23
TWI690173B (zh) 2020-04-01
EP3311547B1 (en) 2022-04-27
KR102255004B1 (ko) 2021-05-24
US9742790B2 (en) 2017-08-22
US10367840B2 (en) 2019-07-30
CN107637018A (zh) 2018-01-26
KR20180009333A (ko) 2018-01-26
CN107637018B (zh) 2021-06-15

Similar Documents

Publication Publication Date Title
US10721258B2 (en) Technologies for secure personalization of a security monitoring virtual network function
US11533341B2 (en) Technologies for scalable security architecture of virtualized networks
US10572650B2 (en) Technologies for independent service level agreement monitoring
CN107548499B (zh) 用于虚拟网络功能的安全自举的技术
Reynaud et al. Attacks against network functions virtualization and software-defined networking: State-of-the-art

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant