CN111108733A - 在基于网络功能虚拟化(nfv)的通信网络和软件定义的网络(sdns)中提供安全性的系统、方法和计算机程序 - Google Patents
在基于网络功能虚拟化(nfv)的通信网络和软件定义的网络(sdns)中提供安全性的系统、方法和计算机程序 Download PDFInfo
- Publication number
- CN111108733A CN111108733A CN201880049381.9A CN201880049381A CN111108733A CN 111108733 A CN111108733 A CN 111108733A CN 201880049381 A CN201880049381 A CN 201880049381A CN 111108733 A CN111108733 A CN 111108733A
- Authority
- CN
- China
- Prior art keywords
- network
- nfv
- sdn
- based communication
- changes
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
- H04L41/0816—Configuration setting characterised by the conditions triggering a change of settings the condition being an adaptation, e.g. in response to network events
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/40—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
提供一种用于在基于网络功能虚拟化(NFV)的通信网络和软件定义网络(SDN)中提供安全性的系统、方法和计算机程序产品。在使用中,系统对基于NFV的通信网络或SDN实施一个或更多个网络更改或安全配置更改以更改攻击面。在一个实施例中,可以周期性地发生对基于NFV的通信网络或SDN实现一个或更多个网络更改或安全配置更改,以更改攻击面。在另一实施例中,基于对恶意事件或可疑事件的检测,可能会发生对基于NFV的通信网络或SDN实现一个或更多个网络更改或安全配置更改以更改攻击面的情况。
Description
要求优先权和相关申请
本申请要求于2017年7月31日提交的申请号为62/539,362的美国临时申请的权益,其全部内容通过引用并入此文。
技术领域
本发明涉及电信和/或数据通信,并且更具体地涉及电信网络的网络功能虚拟化(NFV)。
背景技术
网络功能虚拟化是欧洲电信标准协会(ETSI)在可从ETSI网站获得的一系列文件中发布的电信服务提议体系结构的术语或名称。NFV使用通用硬件平台和适用于通用硬件平台的软件。因此,NFV创建的网络比传统通信网络更加灵活和动态。在基于NFV的网络中,虚拟网络功能(VNF)使网络功能的软件实现与通过虚拟化运行的基础结构资源脱钩。网络服务基于一个或更多个VNF和/或物理网络功能(PNF)、它们的互连和链接定义。VNF几乎可以在任何通用硬件处理工具上执行。因此,VNF可以在硬件设施之间安装、拆卸和移动,更加容易、成本更低并且因此更为频繁。
基于NFV的网络的灵活性增强了可用于优化网络容量和性能的手段。然而,当前用于在NFV网络中提供安全性的技术是有限的。
因此,需要解决与现有技术相关的这些和/或其他问题。
发明内容
提供了一种用于在基于网络功能虚拟化(NFV)的通信网络和软件定义网络(SDN)中提供安全性的系统、方法和计算机程序产品。在使用中,系统对基于NFV的通信网络或SDN实现一个或更多个网络更改或安全配置更改以更改攻击面。在一个实施例中,可以周期性地发生对基于NFV的通信网络或SDN实现一个或更多个网络更改或安全配置更改以更改攻击面。在另一实施例中,基于对恶意事件或可疑事件的检测,可能发生对基于NFV的通信网络或SDN实现一个或更多个网络更改或安全配置更改以更改攻击面的情况。
附图说明
图1示出了根据一个实施例的用于在基于网络功能虚拟化(NFV)的通信网络和软件定义网络(SDN)中提供安全性的方法。
图2示出了根据一个实施例的与基于NFV的通信网络相关联的系统的简化图。
图3示出了根据一个实施例的基于NFV的网络的硬件单元的简化框图。
图4示出了根据一个实施例的NFV管理系统的简化图。
图5示出了根据一个实施例的已部署的基于NFV的网络的简化图。
图6示出了根据一个实施例的用于在基于网络功能虚拟化的通信网络和软件定义的网络中提供安全性的系统架构图。
图7A-图7D示出了根据一个实施例的用于在基于网络功能虚拟化的通信网络和软件定义的网络中提供安全性的系统流程图。
图8示出了根据一种可能的实施例的网络架构。
图9示出了根据一个实施例的示例性系统。
具体实施方式
图1示出了根据一个实施例的用于在基于网络功能虚拟化(NFV)的通信网络和软件定义的网络(SDN)中提供安全性的方法100。
在操作中,系统对基于NFV的通信网络或SDN实现一个或更多个网络更改或安全配置更改以更改攻击面。参见操作102。软件环境的攻击面是指未经授权的用户可以尝试攻击环境的不同点的总和。
在一个实施例中,可以周期性地发生对基于NFV的通信网络或SDN实现一个或更多个网络更改或安全配置更改以更改攻击面。参见操作104。例如,可以基于时间(例如,日、周、月等)或基于其他标准/事件等来更改攻击面。
在另一实施例中,基于对恶意事件或可疑事件的检测,可能发生对基于NFV的通信网络或SDN实现一个或更多个网络更改或安全配置更改以更改攻击面。参见操作106。例如,系统(或另一个/外部系统)可以监视基于NFV的通信网络或SDN。系统(或另一个/外部系统)可以识别对基于NFV的通信网络或SDN的至少一项资产的安全攻击。这可能包括从另一个系统(例如安全信息和事件管理(SIEM)或事件响应系统)接收通知或由另一个系统调用通知,或者直接识别攻击。系统可以实现一个或更多个网络或者对基于NFV的通信网络或SDN(或云)进行安全配置更改,以更改攻击面以阻止安全攻击。
资产(也被称为NFV网络资产)可以包括但不限于计算机器、硬件、软件、数据和/或内容以及连接性。术语“计算机器”涉及计算设备或与计算有关的单元的任何类型或组合,包括但不限于处理设备、内存设备、存储设备和/或通信设备。
在一个实施例中,系统可以用具有与至少一项资产不同的属性的至少另一项其他等效资产替换该资产以消除安全攻击,同时保持服务的连续性。该系统可以替换软件、基础结构和拓扑以便抵消攻击。
进一步地,在一个实施例中,实现一个或更多个网络更改或安全配置更改可以包括:在基于NFV的通信网络或SDN中实例化至少一个新的网络元素。在另一实施例中,实现一个或更多个网络更改或安全配置更改可以包括改变基于NFV的通信网络或SDN中的至少一个网络元素的配置。在又一个实施例中,与特定网络元素相反,系统通常可以对网络的配置进行改变。另外,在一个实施例中,对基于NFV的通信网络或SDN实现一个或更多个网络更改或安全配置更改可包括实施隧道协议。
此外,在一个实施例中,系统可以验证已经应用了一个或更多个网络更改或安全配置更改。作为一种选择,系统可以修复与基于NFV的通信网络或SDN相关的一个或更多个安全问题。
应当注意,基于NFV的通信网络或SDN可以与私有云或公共云相关联。
在本说明书的上下文中,术语“网络”和“通信网络”是指连接包括有线网络、无线网络和/或其组合的一个或更多个通信元件的硬件和软件。
在由欧洲电信标准协会(ETSI)发布并可以从ETSI网站获得的一系列文档中对术语“网络功能虚拟化”(NFV)和虚拟网络功能(VNF)进行了描述。术语“虚拟网络功能或特性”(VNF)是指通过网络在网络内部或向网络外部的客户、订户、最终用户、终端或服务器提供的功能、特征或服务的特定实现。VNF可以包括功能或特征或服务的软件程序实现。术语VNF实例(VNF-1)是指由特定虚拟机或处理器或计算设备执行VNF程序和/或由特定客户(或订户、最终用户、终端或服务器,等等)使用的特定过程或任务。
术语“服务”是指基于NFV的通信网络可以供应或提供给一个或更多个通信元件的任何类型的使用(例如用例)。服务可以包括在任意数量的元件之间切换数据或内容、从服务器向通信元件或服务器之间提供内容、保护和防护通信和内容、处理由客户或第三方提供的内容、提供备份和冗余等。服务可能正在使用VNF的部分功能或者可能包含一个或更多个VNF和/或一个或更多个VNF实例,形成服务子网络(或互连模型)。在本说明书的上下文中,术语“链”可以指代这样的服务子网络,诸如与特定服务类型或服务实例相关联的特定多个VNF和/或VNF实例。
当涉及包括处理元件、内存元件、存储元件、连接性(通信)元件等的硬件元件时,术语“部署”指代这些硬件元件的配置或拓扑以创建基于NFV的网络。当指代诸如VNF和VNF实例之类的软件元素时,术语“部署”是指此类软件元素与硬件元素之间的关联。
术语“部署优化”是指以满足特定的一组要求和/或规则(例如与负载有关和与性能有关的要求)的方式或使性能更好的方式(例如通过降低运营成本)来进行软件和硬件元素的关联使用特定的硬件部署。
术语“服务部署优化”或“服务优化”或“链优化”是指优化服务链的部署,即优化构成特定服务的一个或更多个VNF实例的部署。因此,术语链优化和服务优化可以互换使用。
术语“会话”是指两个或更多个实体之间的通信连接,该通信连接持续一段时间,在此期间可以在它们之间交换数据。会话可以由相应的网络协议中的会话层实现和管理。术语会话可以包括网络会话和逻辑会话。网络会话可以与用于通信的设备相关联,而逻辑会话可以与通信方(用户)相关联,并且可以持续进行而不考虑双方正在使用的通信方式。
术语“服务连续性”包括并且适用于术语“会话连续性”和“流连续性”。流是指流媒体、会话或服务,例如声音(包括语音)、视频、多媒体、动画等流。术语服务通常适用于一组VNF(或由一组VNF提供的功能),但也可以适用于单个VNF(或由VNF提供的功能)。术语“连续性”表示会话或服务没有被中断或者中断足够短,以至于用户不知道这种中断、或者该中断不会造成任何数据丢失、或者该丢失是以可接受的方式处理(例如丢失了一些语音包,但是对话可以继续,等等)。
术语“可用性”或“服务可用性”是指服务的级别或服务的特征,服务供应商应在其中提供服务,即使可能存在硬件或软件故障。例如,服务供应商可能要求客户提供特定级别的处理能力,通信特性(例如带宽、等待时间和抖动、数据库一致性等)。服务的此类级别或特性甚至应该对客户可用,当提供服务的硬件组件或软件组件无法正常运行时。因此,提供可用性可能需要其他资源,例如备份资源和/或镜像。因此,“可用性”还可以指术语“故障恢复”和“冗余”。
术语“故障恢复”是指在故障之后恢复网络的服务、功能和特征中的一个或更多个的过程,无论是由硬件故障、系统崩溃、软件错误还是安全漏洞或故障。硬件故障包括但不限于与电源、处理单元、内存、存储、传输线等相关的任何类型的性能不足。术语“故障恢复”也适用于恢复关于上述任何一个的一个或更多个VNF或VNF实例的功能。术语“安全破坏”或“安全故障”可以互换使用。
术语“冗余”是指网络的任何类型的组件的全部或部分复制以待机模式提供或以其他方式可用,以在该另一组件停止正常运行或以其他方式指示时替换该网络的另一组件某种错误。冗余可能适用但不限于硬件、软件、数据和/或内容。
现在将根据用户的需求,给出关于各种可选的架构和应用的更多说明性信息,在这些架构和应用中前述方法可以被实现或可以不被实现。应该特别注意的是,以下信息是出于说明目的而提出的,不应以任何方式解释为限制。下面的任何特征可以有选择地合并或不合并所描述的其他特征。
可以参考以下附图和随附的描述进一步理解根据各种实施例的用于在基于NFV的通信网络中提供安全性的系统、方法和计算机程序产品的原理和操作。
图2示出了根据一个实施例的与基于NFV的通信网络210相关联的系统200的简化图。作为选择,系统200可以在图1的细节的上下文中实现。当然,不过系统200可以在任何期望的环境下实现。此外,前述定义可以等同地应用于以下描述。
如图2所示,提供了至少一个基于NFV的网络210。根据一个实施例,基于NFV的通信网络210包括NFV管理系统211、NFV编排(NFV-O)模块212和安全模块213。
在本网络架构的上下文中,基于NFV的网络210可以采用任何形式,包括但不限于电信网络、局域网(LAN)、无线网络、广域网(WAN)(例如因特网、对等网络、电缆网络等)。虽然仅示出了一个网络,但是应当理解,可以提供两个或更多个基于相似或不同的基于NFV的网络210。
基于NFV的网络210可以包括一个或更多个计算设备214,每个计算设施包括一个或更多个硬件单元,并且通过通信链路互连以形成基于NFV的网络210。计算设备214中的至少一个可以包括NFV管理系统211。NFV管理系统211可以包括NFV-O模块212和安全模块213。
NFV-O模块212可以由基于NFV的网络210的一个或更多个处理器或服务器(例如计算设备214)执行。NFV-O模块212可以作为NFV-O实例或组件执行。NFV-O模块212因此可以包括多个NFV-O实例或组件,如将在下面进一步解释的。
安全模块213可以是NFV-O模块212的一部分或组件。但是,安全模块213、NFV-O模块212和NFV管理系统211可以是由不同供应商提供的单独的软件程序。在一个实施例中,基于NFV的网络210甚至可以具有多个NFV管理系统211、NFV-O模块212和/或安全模块213中的任何一个。
多个设备215通信地耦合到基于NFV的网络210。例如,出于通信目的服务器计算机216和计算机或终端217可以耦合到基于NFV的网络210。这样的最终用户计算机或终端217可以包括台式计算机、膝上型计算机、平板计算机和/或任何其他类型的逻辑或数据处理设备。此外,各种其他设备可以耦合到基于NFV的网络210,包括个人数字助理(PDA)设备218、移动电话设备219、电视220(例如电缆、天线、移动电话或卫星电视等)。这些设备215可以由基于NFV的网络210的最终用户、订户和/或客户拥有和/或操作。其他设备215(例如管理站221)可以由基于NFV的网络210的运营商拥有和/或操作。
网络管理员222可以通过控制包括NFV管理系统211、NFV-O 212和安全模块213的NFV基础设施来监督基于NFV的网络210的操作的至少某些方面。
图3示出了根据一个实施例的基于NFV的网络的硬件单元323的简化框图300。作为选择,可以在先前附图的细节的上下文中查看框图300。当然,不过可以在任何期望的环境中查看框图300。此外,前述定义可以等同地应用于以下描述。
在一个实施例中,硬件单元323可以表示图2的计算设备214或计算设备214的一部分。硬件单元323可以包括计算机。术语计算机器涉及计算设备或与计算有关的单元的任何类型或组合,包括但不限于处理设备、内存设备、存储设备和/或通信设备。
硬件单元323因此可以是网络服务器,并且计算设备214可以是包括基于云的基础设施的多个网络服务器或数据中心。作为选择,可以在图2和/或图5的基于NFV的网络210的任何设备的上下文中以及在任何期望的通信环境中实现硬件单元323。
每个硬件单元323(或计算机器、计算设备、与计算有关的单元和/或硬件组件等)包括这些硬件单元之间的每个通信链路,可以与一个或更多个性能类型和相应的性能等级或值相关联,其中硬件单元和/或通信链路可操作以提供性能值。性能类型例如是处理能力、现金存储容量、常规内存容量(例如RAM,动态或易失性存储器等)、非易失性存储器(例如闪存等)容量、存储器容量、电源、冷却、带宽、比特率、等待时间、抖动、误码率和分组丢失等。虚拟机可以在硬件单元323上运行,而VNF可以在一个或更多个此类虚拟机上运行。
硬件单元323可以用于为图2的基于NFV的网络210内执行的任何类型和/或软件组件的实例提供计算基础设施和资源。在这一点上,硬件单元323可以用于处理此处描述的任何过程,包括但不限于任何与NFV相关的软件组件和/或过程。硬件单元323用于处理虚拟网络功能(VNF)、VNF实例、网络功能虚拟化编排(NFV-O)软件、模块和功能、数据中心管理软件和/或云管理系统(CMS)等。
在各种实施例中,硬件单元323可以包括至少一个处理器单元324,一个或更多个存储单元325(例如,随机存取存储器(RAM)、诸如闪存之类的非易失性存储器等)、一个或更多个存储单元326(例如,包括代表软盘驱动器、磁带驱动器、光盘驱动器等的硬盘驱动器和/或可移动存储驱动器)、一个或更多个通信单元327、一个或更多个多个图形处理器328和显示器329以及连接各个单元/设备的一个或更多个通信总线330。
硬件单元323还可包括:一个或更多个计算机程序331或计算机控制逻辑算法,其可被存储在存储单元325和/或存储单元326中的任何一个中。这样的计算机程序在被执行时使能硬件单元323执行各种功能(例如,如在图1的上下文中阐述的,等等)。存储单元325和/或存储单元326和/或任何其他存储是有形计算机可读介质的可能示例。
应当理解,计算机程序331可以包括图2的NFV管理系统211、NFV-O 212和/或安全模块213中的任何一个。
图4示出了根据一个实施例的NFV管理系统411的简化图。作为选择,NFV管理系统411可以在先前附图的细节的上下文中实现。例如,在一个实施例中,NFV管理系统411可以代表图2的NFV管理系统211。当然,不过NFV管理系统411可以在任何期望的环境中实现。此外,前述定义可以等同地应用于以下描述。
在一个实施例中,NFV管理系统411可以包括NFV-O模块412和安全模块413。NFV管理系统411可以包括一个或更多个NFV-O模块412。在各种实施例中,NFV-O模块412中的每一个可以包括编排和工作流管理432,其负责管理(即协调)和执行所有NFV-O过程,包括入站和/或出站通信和接口。
NFV管理系统411可以包括部署优化模块433,其使得用户能够设计用于网络优化的自动机制。部署优化模块433可通过在硬件单元(例如,图5的硬件单元551等)之间迁移VNF 450和VNF实例(例如,图5的VNF实例551)来自动地且连续地操作这些机制以实时(或近实时)优化VNF 450及其VNF实例的分布。
NFV管理系统411还可以包括链优化模块434。链优化模块434可以是部署优化模块433的一部分,并且可以使用户能够设计用于优化VNF450和VNF实例的链或组的部署的自动机制。由基于NFV的网络提供的服务通常由特定VNF 450的特定链或组以及它们各自的VNF实例组成。链优化模块434根据与特定服务、链或组相关联和/或适应于该特定服务、链或组的要求和规范,来优化硬件单元之间的服务的链或组的部署。
链优化模块434可通过重新规划其在硬件单元之间的分布并可选地还通过在硬件单元之间迁移VNF 450和关联的VNF实例,来自动地且连续地操作这些机制,以实时优化在VNF 450及其VNF实例的链或组中的操作。
NFV管理系统411还可以包括服务实现模块435,该服务实现模块435管理服务和资源(例如,VNF)实例生命周期活动作为过程和编排活动的一部分。这可以包括登机、启动(例如,实例化)、安装和配置、扩展、终止、软件更新(例如,正在运行的VNF等)、测试环境和/或回滚过程。另外,服务实现模块435还可以将订单分解提供给多个网络服务,以及将这样的网络服务激活为单个VNF实例或作为VNF实例链。
订单分解包括将业务订单转换为面向网络的服务实施计划。例如,商业订单可以分解为多个功能,其中一些功能可以由实例化为跨一个或更多个数据中心的多个VNF实例的不同软件程序或模块(例如,诸如各种VNF)来提供。执行订单分解,服务实现模块435可以向部署优化模块433咨询在给定网络和资源条件下对客户订单的最佳部署选项。执行订单分解,服务实现模块435然后可以发起包括其所有组件的服务。可以在NFV-O层次结构中的多个位置执行订单分解。例如,可以在NFV-0的根中执行初始分解,然后可以在相关数据中心中执行进一步分解。
在一个实施例中,激活和提供模块可以将用于服务的激活和提供的计划提供给业务流程和工作流管理432。激活和提供模块还可以将关于完成状态的反馈提供给上层。该上层可以包括业务支持服务(BSS)。
NFV管理系统411还可包括保证模块436和服务管理模块452,其能够收集关于网络元素的状态的实时数据并创建服务和网络健康的综合视图。保证模块436包括保证功能并且可以与服务管理模块452交互以执行与保证有关的生命周期管理过程。生命周期管理也可以由其他模块、策略、手动干预或从VNF本身等触发。保证模块436和服务管理模块452还可以触发与生命周期管理和故障相关的事件。保证模块436和服务管理模块452可以监视网络的健康并且可以执行故障恢复活动。
保证模块436和服务管理模块452提供根据所需标准监视服务的状态和性能的能力。保证模块436和服务管理模块452还可以与网络基础结构(例如,包括计算、存储器和联网等)进行交互以接收所需的信息、分析该信息并根据所定义的策略对每个事件采取行动。保证模块436和服务管理模块452能够与分析交互以丰富策略保证模块。接口也可以被提供以由外部系统实现。
NFV管理系统411还可包括策略管理模块437,其使用户能够定义和配置用于控制VNF和服务相关规则的离线和/或实时策略。策略管理模块437可以包含预配置策略和活动以及用于NFV-O过程的选择规则,以确定针对特定过程事件要执行的优选策略或活动。策略管理可以是多层的,包括供应商策略、服务策略和运营商策略等。策略机制可以触发适当的策略层(供应商/服务/运营商)。
NFV管理系统411还可包括管理模块438,其提供网络、手动生命周期管理和干预以及手动系统管理和配置的整体视图。管理模块438可用于使诸如管理员(例如,图2的管理员222等)的用户能够管理、查看和操作NFV-O系统。管理模块438还可以提供网络拓扑和服务,执行特定活动(例如手动生命周期管理)以及更改服务和连接性配置的能力的视图。
NFV管理系统411还可以包括库存管理模块439,其维护所部署的服务和硬件资源的分布式视图。库存目录可以反映映射到产品和/或客户实体中的网络内资源和服务的当前实例化和分配。
NFV管理系统411还可包括大数据分析模块440,其分析网络和服务数据以支持涉及服务和订户的网络决策以基于实际使用模式来改善网络性能。大数据分析模块440还可以生成假设情景以支持面向业务的计划过程。另外,大数据分析模块440可以用于分析和评估各种规划方面的信息(例如,虚拟网络容量规划、数据中心容量规划、基于价值的规划、网络部署替代方案的成本分析等)、部署和管理(例如,指导性运营商建议、假设情景分析和模拟、应用程序快速弹性和资源使用优化等),并且可能支持面向业务的计划过程。
NFV管理系统411还可以包括目录模块441,其可以包括定义网络的各个方面的记录,诸如产品、服务以及诸如硬件单元和VNF(例如,VNF目录等)之类的资源。目录模块441可以包括集中的、分层的信息存储库的集合,该信息存储库包含资源、服务和产品定义及其关系、版本和/或描述符等。此类记录可以包括使用户(例如管理员)能够使用模板定义特定的网络组件,例如资源、产品、服务等。资源模板可以定义资源描述符、属性、活动、程序和/或连接性等。服务模板可以从资源构建块定义服务变体。产品模板可以基于服务组成(例如,在一个实施例中,这可以是BSS目录的一部分)来定义可销售产品的参数(例如,价格、等级等)。
库存管理模块439、大数据分析模块440和/或目录模块441可以支持多个数据中心、多个CMS,并提供整个基础设施的集中视图。库存管理模块439、大数据分析模块440和/或目录模块441还可以支持混合网络和维护物理和虚拟资源的服务。
NFV管理系统411还可包括计费和许可模块442,其可用于记录和管理用于商业目的的网络软件使用数据,包括许可、计费以及与订户和供应商的服务核对。计费和许可模块442可以基于诸如CPU、存储器、数据等的各种参数来管理虚拟网络应用的许可和使用,包括支持复杂的分级方案的能力。计费和许可模块442可以使用户能够定义特定VNF模块的定价并与供应商结算。计费和许可模块442还可以使得能够评估网络内提供的服务的内部成本以计算投资回报率(ROI)。
NFV管理系统411还可包括故障恢复模块443(或者被称为灾难恢复计划模块或DRP等),其使用户能够计划和管理NFV-O和/或整个网络的灾难恢复程序。
NFV管理系统411还可包括安全管理模块444,该安全管理模块444提供跨网络的应用程序安全性的认证授权和计费服务。安全管理模块444可以包括:例如认证模块和功能。在一个实施例中,认证模块和功能(例如,包括身份管理等)可以认证系统中定义的每个用户的身份。每个用户可以具有唯一的用户标识和密码。系统可以支持具有灵活密码策略的基于密码的身份验证。与外部身份验证提供程序的集成可以通过其他系统增强来完成。授权模块和功能可以支持基于角色的访问控制(RBAC)机制,其中根据业务需求基于最小特权概念(例如,标准或管理员角色)为每个用户分配一个或更多个角色。在一个实施例中,计费和许可模块442可以提供对诸如认证或登录事件之类的安全事件的审计。
作为一种选择,安全管理模块444可以使用规则来保护敏感信息。例如,此类规则可用于确保所访问的数据用于收集数据的特定目的、敏感信息在存储/传输时进行加密并在显示器和日志中被屏蔽/截断以及整个安全系统处于部署在客户的内联网网络中(即在网络/基础架构措施之后)、独立域中等。
在一个实施例中,NFV管理系统411可以进一步包括安全开发生命周期(SDLC)模块,其确保在项目的生命周期中处理安全方面,例如安全设计、安全测试等。
如图4进一步所示,NFV管理系统411可以包括服务计划模块445。服务计划模块445可以由通信服务供应商(CSP)销售代表、企业和/或技术人员使用,作为与企业/SMB客户的销售参与过程的一部分。
服务计划模块445还可以提供与目录、客户数据、网络和订购系统进行交互的能力,以为具有报价更新建议、验证可维护性和网络库存的能力的企业客户提供在线网络服务建议,并且一旦完成后,使用北向接口提供用于激活的服务订单。
安全模块413也可以是NFV-O模块412的一部分。安全模块413可用于实现图1的方法100以及本文所述的其他安全技术。
NFV管理系统411还可包括东西API 446,其包括各种域/活动接口、包括到大数据仓库的信息,以及与物理网络系统(OSS)的交互能力。
北向API 447向各种外部软件包提供应用程序编程接口(API),例如用于服务订单实现、取消和更新、状态通知、资源清单参看的业务支持系统(BSS)、监视系统、保证系统、服务计划工具,用于系统查看和配置的管理工具以及大数据存储库等。
此外,南向API 448可提供API以用于外部软件包,例如CMS(包括服务和VNF生命周期活动-从基础结构状态接收并监视上游系统和活动的信息[例如,保证])、SDN控制器(或其他连接系统)以配置数据中心间和数据中心内部的连接、用于配置VNF的EMS和用于直接配置的VNF。
图5示出了根据一个实施例的已部署的基于NFV的网络510的简化图500。作为选择,可以在先前附图的细节的上下文中查看图表500。例如,在一个实施例中,已部署的基于NFV的网络510和相关联的元素可以代表在先前附图的上下文中描述的基于NFV的网络和相关联的元素。当然,不过可以在任何期望的环境中查看图500。此外,前述定义可以等同地应用于以下描述。
如图5所示,基于NFV的网络510可以包括经由传输线549连接的硬件单元523以及实现为安装在硬件单元523中的软件程序550的VNF。某些硬件单元523可以直接连接至客户。客户可以是订户、最终用户或组织,在此表示为终端或服务器552或更多个终端和/或服务器552。基于NFV的网络510也可以包括:NFV管理系统511、NFV编排(NFV-O)512和安全模块513(它们都可以代表在先前附图的上下文中描述的元素等)。
如图5进一步所示,可以将几个通常不同的VNF 550安装在同一硬件单元523中。此外,可以将同一VNF 550安装在不同的硬件单元523中。
可以由硬件单元523的处理器以VNF实例551的形式执行VNF550。因此,安装在特定硬件单元523中的特定VNF 550可以“体现”(例如,启动、执行等)任何数量的VNF实例551。VNF实例551可以彼此独立。另外,每个VNF实例551可以服务于不同的终端和/或服务器552。基于NFV的网络510连接到可以由一个或更多个客户、订户和/或最终用户操作的通信终端设备552并在它们之间连接。
应当理解,网络运营商可以管理部署在客户房屋中的一项或更多项服务。因此,一些硬件单元523可以位于网络运营商的房屋内,而其他硬件单元523可以位于客户的房屋内。类似地,诸如图2的服务器计算机216之类的服务器可以驻留在网络运营商的房屋或客户的房屋中。因此,当网络运营商为客户的终端设备552(例如,服务器计算机)提供和/或管理一项或更多项服务时,网络运营商的基于NFV的网络510可以直接管理VNF 550,从而提供服务及其VNF实例551。
在这种情况下,基于NFV的网络510可以不考虑终端设备552(例如,服务器计算机216等)的位置而管理服务,无论是在网络运营商的房屋中还是在客户的房屋中。换句话说,基于NFV的网络510可以管理提供服务的VNF 550和VNF实例551以及位于同一计算设备(例如,硬件单元523等)内的终端设备552(例如,服务器计算机216等),无论是在网络运营商的房屋中还是在客户的房屋中、在商业云中或任何其他地方。
可以使用一个或更多个VNF来实现由通信网络提供的服务。例如,服务可以是互连的VNF的组或链。组成组或服务的VNF可以由单个处理器、同一机架上的多个处理器、同一数据中心内的多个机架内的分布式处理器或分布在两个或更多个数据中心内的处理器进行安装和执行。在某些情况下,可通过使用网络功能虚拟化来优化通信网络中的服务部署,以及优化基于NFV的网络510中虚拟网络功能的组或链的部署,来采用链优化。因此,术语“链优化”是指计划和/或管理VNF的部署以使VNF的链或组提供特定服务。
例如,图5示出了第一服务553,包括VNF 550及其各自的VNF实例554、555、556和557以及粗实线。在该示例中,提供第一服务的VNF 550的组或链作为VNF 550的链连接。但是,提供服务的VNF 550可以以任何可能的形式(例如,星形、树根、树状分支、网格等,包括其组合)连接。注意,VNF 550可以由两个或更多个VNF实例551(例如,VNF 554)执行。
因此,构成第一服务553的VNF 550的组或链的部署受到诸如通信链路549带宽的容量和/或等待时间(延迟)之类的约束的限制。
VNF可以具有要求或规格的列表,诸如处理能力、现金存储器容量、常规存储器容量(例如,RAM、动态或易失性存储器等)、非易失性存储器(例如,闪存等)容量、存储容量、功率要求、冷却要求等。提供特定功能(例如,向特定客户、实体等)的特定VNF实例551可能具有其他要求或修改后的要求,例如关联于特定服务质量(QoS)或服务水平协议(SLA)。这样的要求可能包括最大延迟或延迟、平均等待时间和最大方差(延迟抖动)、最大允许的数据包丢失等。其他要求可能包括服务可用性、冗余、备份、回滚和/或恢复的准备、容错和/或故障安全操作等。
由VNF 550及其VNF实例551的链或组组成的服务可以具有覆盖整个服务的需求或规范的类似列表。因此,这样的要求或规范可以暗示、影响或包括关于VNF 550和/或VNF实例551之间的通信链路的要求或规范。这样的要求或规范可以包括带宽、等待时间、误码率和/或数据包丢失等。此类通信要求或规范可能进一步施加部署限制或约束、要求特定的VNF 550和/或VNF实例551驻留在同一数据中心或同一机架内,甚至在同一计算设备中,例如共享内存或由同一处理器执行。安全措施可能会增加其他要求或规范,例如某些VNF 550和/或VNF实例551的主机代管。
在图5的上下文中,基于NFV的网络510具有分层结构。基于NFV的网络510的分层结构可以至少存在四个方面。联网或业务方面是指硬件单元523之间的传输线的布置。处理方面是指硬件单元523的布置。软件方面是指VNF 550的布置。操作方面是指VNF实例551的布置。
在基于NFV的网络中,优化过程的一个方面是它可能基于实时需求,而不是长期的、统计上预期的需求。基于NFV的网络中网络重新配置的一个潜在限制是,网络配置不会导致超出任何当前服务可接受水平的恶化。NFV部署模块(例如,图4的模块433等)可以起作用以实时地启用和管理硬件单元523、VNF 550和VNF实例551之间的服务迁移,而不会影响或最小化影响服务的可用性,同时确保服务和会话连续性。
在当前描述的上下文中,术语“连续”是指部署优化模块和/或链优化模块(例如,图4的链优化模块434等)在运行时、或实时、或在线、或运行中或即时运行执行相关的优化任务或过程、或者重复进行,而不会对网络的功能及其服务产生不利影响。
与传统网络不同,基于NFV的网络可能具有两种拓扑:硬件设备的拓扑和VNF的拓扑(VNF在硬件设备之间的分布)。硬件网络的拓扑相对稳定,而VNF拓扑可以实时优化。基于NFV的网络的另一个优点是,修改软件拓扑结构(例如,在硬件设备之间分配VNF)比进行任何硬件拓扑结构更改要便宜得多。但是,网络的任何修改都有其成本,包括使这种修改成为可能的成本。可能需要处理拓扑的修改和VNF实例的重新分发以及为此目的维护过多的资源,从而导致成本增加。
因此,在某些情况下,可能希望对NFV-O 512进行本地化,尤其是与部署优化模块和链优化模块相关联的部署优化过程以降低成本,并同时确保如有必要,扩大由这些过程管理的网络范围。
计算机网络由可以交换数据的连接的计算设备组成。软件定义的网络和/或基于NFV的网络中的计算设备可能包含硬件和软件层,例如但不限于CPU、存储器、存储设备、虚拟化基础架构管理器、基础架构(即内核)、操作系统、容器、应用程序、服务等。这些元素中的每一个可以具有一个或更多个替代。本文描述的安全性实现使用此事实来更改网络中的组件,同时保持功能性。
改变网络中的元素会增加准备针对网络的攻击的复杂性,因为实施者无法预测攻击时网络中的元素将是什么,下一次网络何时更改以及网络如何变化会影响攻击。
为此,NFV或SDN网络的组件(例如,安全VNF、安全协调器、第三方安全系统等)连续监视和管理网络资产(例如NFV或SDN资产等)。通过监视网络/通信数据、资产情形和状态以及资源消耗等,可以识别对网络资产的攻击。
攻击通常利用应用程序或基础结构中存在的特定安全漏洞或漏洞。目标漏洞是攻击者对受害者的预先假设的集合,以及成功进行攻击必须满足的一系列条件。当然,攻击者可能使用任何安全漏洞或更多个漏洞或更多个漏洞来危害系统安全性等。
安全组件依赖于此,并以随机方式(例如,可以定期选择等)或根据网络/安全管理员或软件组件的决定来更改软件组件以及基础架构属性和拓扑。这些更改旨在消除检测到的攻击或者创建一个不断变化的网络,攻击者无法预测这些网络,因此无法提前做好准备。
在操作中,NFV系统和/或另一个安全系统识别安全攻击。安全攻击可以包括任何类型的安全攻击。受攻击的资产可能是物理机、虚拟机、服务和/或应用程序等,并且可能位于客户场所、NFV网络上或公共或私有云上。
识别被攻击的资产及其元数据/属性(例如IP段、操作系统类型和版本、通信/服务协议、已安装的应用程序、网络和安全性配置等)。被攻击的资产元数据和属性可以从例如网络活动;活动目录(例如,机器角色、用户、类型、修补程序等);已安装的安全系统-基于主机或基于网络的(例如安全警报、主机/网络活动历史记录、用户、计算机类型、补丁程序等);通过Windows管理规范(Windows Management Instrumentation)(WMI)、远程代码执行、已安装的代理等技术(例如,信息包括已安装的应用程序,正在运行的服务、配置、通信接口等)来实现机器本身;创建机器的协调器,该机器可能具有不断收集数据的传感器/监视点,并已获得其属性和配置、已安装的服务以及更多的作为虚拟网络功能软件包的一部分;有效库存;和/或云管理系统清单;等等。
此外,可以识别攻击源及其元数据/属性。收集的有关攻击源和被攻击资产的信息使系统能够映射已安装的应用程序、服务、端口、协议、基础结构元素,通信协议和/或通信链接等的替换。应注意,在某些情况下,攻击源可能在系统外部。
系统进行网络和安全性更改,其可以包括但不限于网络更改(例如,分段、通信/服务协议和通信端口等)被应用于改变从攻击源到网络资产的访问,尤其是被攻击的资产。另外,根据新发现的威胁,进行了更改以最大程度地减少攻击面。除先前示例外,更改还可以包括云、NFV网络、客户房屋、通信服务供应商的房屋等之间的服务和/或机器和/或应用程序的迁移。
更改还可以包括安全更改(例如,防火墙规则、操作系统补丁、应用程序管理、修复/格式/重新安装等),用于更改从攻击源到网络资产以及特别的对受攻击资产的访问。另外,可以根据新发现的威胁进行更改以最大程度地减少攻击面。
更改还可以包括容器架构、微服务架构、服务链和/或加载的库等的更改。
可选地,基于NFV的通信网络可以包括并实现验证组件(例如VNF),其确保已应用更改。在被盗用的NFV基础架构或NFV协调器组件的情况下,这可以帮助检测不良行为(例如,参见图6)。
可以以使攻击无效并维持资产的可用性(例如,冗余、热备份、复制技术等)和功能的方式进行被攻击资产的属性更改。一个示例可能包括端口80上的Apache Web服务器受到攻击,并被端口8080上的Tomcat Web服务器取代。作为另一示例,Windows Server 2012可能受到攻击,并且相应地,可以被运行相同服务的Linux服务器取代。作为另一个示例,可以检测到DNS中毒攻击,并且可以通过ICMP隧道传输DNS。
在一个实施例中,在“安全”时间段之后,如果需要的话,可以将更改回滚或重新安排。
作为安全性实现的另一示例,在一个实施例中,系统可以配置成用于周期性更改。在这种情况下,事件(例如,基于时间的事件、网络事件或系统/安全性/网络管理员等)可能触发系统执行更改。
然后,系统进行网络更改(例如,分段,通信/服务协议和通信端口等),并应用网络更改以更改从攻击源到网络资产,尤其是对被攻击资产的访问。另外,可以根据新发现的威胁进行更改以最大程度地减少攻击面。此外,可以应用安全性更改(例如,防火墙规则、操作系统修补、应用程序管理、修复/格式/重新安装等)来更改从攻击源到网络资产,尤其是对被攻击资产的访问。另外,可以根据新发现的威胁进行更改以最大程度地减少攻击面。
可选地,系统可以包括验证组件,其确保已经应用了更改。在受损的NFV基础架构或NFV协调器组件的情况下,这可以帮助检测不良行为(例如,参见图6)。
当将每个替换的物品替换为具有不同属性和特性但功能相似的物品时,可以维持功能和可用性,从而保持服务连续性。
示例可以包括:应用程序(例如,Foxit Reader的Adobe Reader、apache或tomcat的IIS、Windows或Linux Ubuntu的Linux RH等);协议-隧道、代理/反向代理设置等可以帮助通过不同协议传输数据而不会影响功能;和基础架构,例如将虚拟机从一台服务器移至另一台服务器(例如,不同的硬件、制造商等)。
该解决方案/系统也与非NFV网络有关,例如还可用于保护在具有编排功能的公共或私有云基础结构(例如AWS或Azure)上运行的软件功能。此外,该解决方案/系统还可以用于保护单个计算机/终端设备(具有适当的协调器),例如当使用Foxit阅读器替换AdobeReader(最终用户阅读PDF文件的两个软件程序;攻击者可以嵌入恶意软件PDF文件中的内容,不同的读者对这种恶意软件的敏感性也不同)时。
图6示出了根据一个实施例的用于在基于网络功能虚拟化的通信网络和软件定义的网络中提供安全性的系统架构图600。作为选择,可以在先前附图的细节的上下文中查看图表600。当然,不过可以在任何期望的环境中查看图表600。此外,前述定义可以等同地应用于以下描述。
在操作中,连续监视NFV网络或SDN。确定了安全攻击。此外,还将标识所有受攻击的资产以及攻击源。此外,进行网络和安全配置更改以更改攻击面以阻止攻击。可以用具有不同属性的另一个等效资产替换被攻击的资产,从而消除攻击。在某些情况下,受攻击的资产可能不会被替换。例如,网络和/或安全配置更改可能足以消除攻击。
图7A-图7D示出了根据一个实施例的用于在基于网络功能虚拟化的通信网络和软件定义的网络中提供安全性的系统流程图700-760。作为选择,可以在先前附图的细节的上下文中查看图700-760。当然,不过可以在任何期望的环境中查看图700-760。此外,前述定义可以等同地应用于以下描述。
在一个实施例中,图7A示出了系统流程示例,该系统流程示例示出了攻击源的格式。图7B显示了系统流程示例,该示例说明了新虚拟防火墙(vFW)的实例化。图7C显示了系统流程示例,该示例说明了在保持功能性的同时实现配置更改和资产替换的实现。图7D示出了系统流程示例,其示出了协议隧道/协议的更改,同时保持功能。
应当注意,本文描述的安全技术可以在各种私有或公共云用例等中应用于NFV网络或SDN。
图8示出了根据一种可能的实施方式的网络架构800。如图所示,提供了至少一个网络802。在本网络架构800的背景中,网络802可以采用任何形式,包括但不限于电信网络、局域网(LAN)、无线网络,诸如因特网的广域网(WAN)、点对点网络、有线网络等。虽然仅示出了一个网络,但是应当理解,可以提供两个或更多个相似或不同的网络802。
耦合到网络802的是多个设备。例如,出于通信目的的服务器计算机804和最终用户计算机806可以耦合到网络802。这样的最终用户计算机806可以包括台式计算机、膝上型计算机和/或任何其他类型的逻辑。另外,各种其他设备可以耦合到网络802,包括个人数字助理(PDA)设备808、移动电话设备810、电视机812等。
图9示出了根据一个实施例的示例性系统900。作为选择,可以在图8的网络体系结构800的任何设备的背景中实现系统900。当然,可以在任何期望的环境中实现系统900。
如图所示,提供了一种系统900,该系统900包括至少一个连接至通信总线902的中央处理器901。系统900还包括主存储器904[例如,随机存取存储器(RAM)等]。系统900还包括图形处理器906和显示器908。
系统900还可以包括次级存储器910。次级存储器910包括:例如硬盘驱动器和/或可移动存储驱动器,其代表软盘驱动器、磁带驱动器、光盘驱动器等。可移动存储驱动器以众所周知的方式读取和/或写入可移动存储单元。
为此,计算机程序或计算机控制逻辑算法可以存储在主存储器904,次级存储器910和/或任何其他存储器中。在执行这样的计算机程序时使系统900能够执行各种功能(例如,如上所述)。存储器904、存储器910和/或任何其他存储器是有形计算机可读介质的可能示例。
如在此使用的,“计算机可读介质”包括用于存储计算机程序的可执行指令的任何合适的介质中的一个或更多个,使得指令执行机器、系统、装置或设备可以读取(或获取)来自计算机可读介质的指令,并执行用于执行所描述的方法的指令。合适的存储格式包括电子、磁性、光学和电磁格式中的一种或多种。常规示例性计算机可读介质的非详尽列表包括:便携式计算机软盘;RAM;ROM;可擦可编程只读存储器(EPROM或闪存);光学存储设备,包括便携式光盘(CD)、便携式数字视频光盘(DVD)、高清DVD(HD-DVDTM)和BLU-RAY光盘;等等。
应该理解,在所述附图中示出的组件的布置是示例性的,并且其他布置也是可能的。还应当理解,由权利要求书限定的,下文描述的并且在各种框图中示出的各种系统组件(和装置)代表根据本文公开的主题配置的某些系统中的逻辑组件。
例如,这些系统组件(和装置)中的一个或更多个可以全部或部分地由所描述的附图所示的布置中所示的至少一些组件来实现。另外,虽然这些组件中的至少一个至少部分地被实现为电子硬件组件,并因此构成了机器,但是其他组件可以用软件实现,当该软件包括在执行环境中时,它们构成了机器、硬件或软硬件结合。
更具体地,由权利要求限定的至少一个组件至少部分地实现为电子硬件组件,诸如指令执行机(例如,基于处理器或包含处理器的机器)和/或专用电路或电路(例如,相互连接的相互独立的逻辑门以执行特殊功能)。其他组件可以用软件、硬件或软件和硬件的组合来实现。此外,可以组合这些其他组件中的一些或全部,可以完全省略其中的一些,并且可以添加附加组件,同时仍实现本文所述的功能。因此,本文描述的主题可以体现为许多不同的变型,并且所有这样的变型都被认为在所要求保护的范围内。
在以上描述中,除非另外指出,否则将参考由一个或更多个设备执行的操作的动作和符号表示来描述主题。这样,将理解的是,有时被称为计算机执行的这样的动作和操作包括处理器对结构化形式的数据的操纵。该操作转换数据或将其保存在计算机的存储系统中的位置,以本领域技术人员熟知的方式重新配置或以其他方式改变设备的操作。数据作为具有特定属性(由数据格式定义)的数据结构保存在内存的物理位置。然而,尽管在前述上下文中描述了本主题,但这并不意味着是限制性的,因为本领域技术人员将理解,下文中描述的一些动作和操作也可以以硬件来实现。
为了促进对本文所述主题的理解,根据动作序列描述了许多方面。由权利要求限定的这些方面中的至少一个是由电子硬件组件执行的。例如,将认识到,各种动作可以由专用电路或电路、由一个或更多个处理器执行的程序指令、或两者的组合来执行。本文对任何动作序列的描述并非旨在暗示必须遵循为执行该序列而描述的特定顺序。除非本文另外指出或与上下文明显矛盾,否则本文描述的所有方法可以以任何合适的顺序执行。
在描述主题的上下文中(特别是在所附权利要求的上下文中)术语“一个”和“一种”和类似指代的使用应解释为涵盖单数形式和复数形式除非本文另有说明或与上下文明显矛盾。除非在此另外指出,否则本文中数值范围的列举仅旨在用作分别指代落入该范围内的每个单独值的简写方法,并且每个单独值都被并入说明书中,就如同其在本文中被单独叙述一样。此外,前述描述仅出于说明的目的而非出于限制的目的,因为所寻求的保护范围由下文所述的权利要求及其所授权的任何等同形式限定。除非另外要求,否则本文提供的任何和所有示例或示例性语言(例如“诸如”)的使用仅旨在更好地说明主题,并且不对主题的范围构成限制。在权利要求书和书面描述中,术语“基于”和其他类似的短语表示产生结果的条件的使用,并不旨在排除产生该结果的任何其他条件。说明书中的任何语言都不应解释为指示任何未要求保护的要素对于实施所要求保护的发明是必不可少的。
本文所述的实施例包括发明人已知的用于执行所要求保护的主题的一种或更多种模式。当然,在阅读了前面的描述之后,那些实施例的变型对于本领域普通技术人员将变得显而易见。发明人期望熟练的技术人员适当地采用这样的变型,并且发明人希望以不同于本文具体描述的方式实践要求保护的主题。因此,如适用法律所允许,此要求保护的主题包括所附权利要求中记载的主题的所有修改和等同物。而且,除非本文另外指出或与上下文明显矛盾,否则包括上述元素在其所有可能的变化中的任何组合。
尽管上面已经描述了各种实施例,但是应该理解,它们仅是示例性的,而非限制性的。因此,优选实施例的广度和范围不应由任何上述示例性实施例限制,而应仅根据所附权利要求及其等同物来限定。
Claims (20)
1.一种方法,包括:
由系统实现对基于网络功能虚拟化(NFV)的通信网络或软件定义网络(SDN)的一个或更多个网络更改或安全配置更改,以更改攻击面。
2.根据权利要求1所述的方法,其中实现对所述基于NFV的通信网络或所述SDN的所述一个或更多个网络更改或安全配置更改周期性地发生,以更改所述攻击面。
3.根据权利要求1所述的方法,其中基于对恶意事件或可疑事件的检测,实现对所述基于NFV的通信网络或所述SDN的所述一个或更多个网络更改或所述安全配置更改,以更改所述攻击面。
4.根据权利要求1所述的方法,还包括:
由所述系统修复与所述基于NFV的通信网络或所述SDN相关联的安全问题。
5.根据权利要求1所述的方法,还包括:
由所述系统监视所述基于NFV的通信网络或所述SDN;
由所述系统识别对所述基于NFV的通信网络或所述SDN的至少一项资产的安全攻击;以及
由所述系统实现对所述基于NFV的通信网络或所述SDN的所述一个或更多个网络更改或所述安全配置更改,以更改所述攻击面,从而阻挡对所述至少一项资产的所述安全攻击。
6.根据权利要求5所述的方法,其中实现对所述基于NFV的通信网络或所述SDN的所述一个或更多个网络更改或安全配置更改包括:用具有与所述至少一项资产不同的属性的至少一项其他等效资产替换所述至少一项资产,以消除所述安全攻击。
7.根据权利要求5所述的方法,其中所述至少一项资产包括至少一台计算机器。
8.根据权利要求5所述的方法,其中所述至少一项资产包括硬件。
9.根据权利要求5所述的方法,其中所述至少一项资产包括软件。
10.根据权利要求5所述的方法,其中所述至少一项资产包括连接性。
11.根据权利要求5所述的方法,其中所述至少一项资产包括数据。
12.根据权利要求5所述的方法,其中所述监视和所述识别由外部系统执行。
13.根据权利要求1所述的方法,其中实现对所述基于NFV的通信网络或所述SDN的所述一个或更多个网络更改或安全配置更改包括:实例化所述基于NFV的通信网络或所述SDN中的至少一个新的网络元素。
14.根据权利要求1所述的方法,其中实现对所述基于NFV的通信网络或所述SDN的所述一个或更多个网络更改或安全配置更改包括:改变所述基于NFV的通信网络或所述SDN中的至少一个网络元素的配置。
15.根据权利要求1所述的方法,其中实现对所述基于NFV的通信网络或所述SDN的所述一个或更多个网络更改或安全配置更改包括:更改所述基于NFV的通信网络或所述SDN的配置。
16.根据权利要求1所述的方法,其中实现对所述基于NFV的通信网络或所述SDN的所述一个或更多个网络更改或安全配置更改包括:实现隧道协议。
17.根据权利要求1所述的方法,还包括:验证已经应用了所述一个或更多个网络更改或安全配置更改。
18.根据权利要求1所述的方法,其中所述基于NFV的通信网络或所述SDN与私有云或公共云相关联。
19.一种体现在非暂时性计算机可读介质上的计算机程序产品,包括计算机代码,用于:
由系统实现对基于网络功能虚拟化(NFV)的通信网络或软件定义网络(SDN)的一个或更多个网络更改或安全配置更改,以更改攻击面。
20.一种系统,包括一个或更多个处理器,可操作用于:
由所述系统实现对基于网络功能虚拟化(NFV)的通信网络或软件定义网络(SDN)的一个或更多个网络更改或安全配置更改,以更改攻击面。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201762539362P | 2017-07-31 | 2017-07-31 | |
| US62/539,362 | 2017-07-31 | ||
| US16/044,442 | 2018-07-24 | ||
| US16/044,442 US10749905B2 (en) | 2017-07-31 | 2018-07-24 | System, method, and computer program providing security in network function virtualization (NFV) based communication networks and software defined networks (SDNS) |
| PCT/IB2018/055690 WO2019025946A1 (en) | 2017-07-31 | 2018-07-30 | SYSTEM, METHOD AND COMPUTER PROGRAM PROVIDING SECURITY IN COMMUNICATION NETWORKS BASED ON VIRTUALIZATION OF NETWORK FUNCTIONS (NFV) AND IN SOFTWARE DEFINED NETWORKS (SDN) |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111108733A true CN111108733A (zh) | 2020-05-05 |
| CN111108733B CN111108733B (zh) | 2022-05-17 |
Family
ID=65038299
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880049381.9A Active CN111108733B (zh) | 2017-07-31 | 2018-07-30 | 在基于网络功能虚拟化(nfv)的通信网络和软件定义的网络(sdns)中提供安全性的系统、方法和计算机程序 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10749905B2 (zh) |
| EP (1) | EP3662631A1 (zh) |
| CN (1) | CN111108733B (zh) |
| WO (1) | WO2019025946A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111669401A (zh) * | 2020-06-22 | 2020-09-15 | 南方电网数字电网研究院有限公司 | 网络系统的安全防护方法、装置、计算机设备和存储介质 |
| CN112433882A (zh) * | 2020-10-30 | 2021-03-02 | 福建福诺移动通信技术有限公司 | 一种记录和恢复微服务部署信息的方法 |
| CN112968965A (zh) * | 2021-02-25 | 2021-06-15 | 网宿科技股份有限公司 | Nfv网络节点的元数据服务方法、服务器及存储介质 |
| CN113518016A (zh) * | 2021-06-22 | 2021-10-19 | 新华三大数据技术有限公司 | 一种消息发送方法及vnfm、计算机可读存储介质 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110298381B (zh) * | 2019-05-24 | 2022-09-20 | 中山大学 | 一种云安全服务功能树网络入侵检测系统 |
| EP4214601A1 (en) * | 2020-09-16 | 2023-07-26 | Mind In A Box Inc. | Hybrid computing apparatus and hybrid computing architectures applicable to on premises, cloud, and edge computing applications |
| CN114020290A (zh) * | 2021-11-19 | 2022-02-08 | 浪潮思科网络科技有限公司 | 一种sdn软件的授权管理方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105262664A (zh) * | 2014-06-09 | 2016-01-20 | 诺基亚通信公司 | 用于在通信网络中使用的虚拟化网络功能的控制 |
| CN105917690A (zh) * | 2013-12-19 | 2016-08-31 | 阿姆多克斯软件系统有限公司 | 基于网络功能虚拟化(nfv)在网络中模块间通信的系统、方法和计算机程序 |
| US9460286B1 (en) * | 2013-12-19 | 2016-10-04 | Amdocs Software Systems Limited | System, method, and computer program for managing security in a network function virtualization (NFV) based communication network |
| CN106575323A (zh) * | 2014-08-22 | 2017-04-19 | 诺基亚技术有限公司 | 用于虚拟化网络的安全性和信任框架 |
| CN106688210A (zh) * | 2014-08-05 | 2017-05-17 | 阿姆多克斯软件系统有限公司 | 用于扩充利用网络功能虚拟化协调器(nfv‑o)的物理系统的系统、方法和计算机程序 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6530022B1 (en) * | 1998-12-17 | 2003-03-04 | International Business Machines Corporation | Permission-based scanning of a web site |
| US20070192863A1 (en) * | 2005-07-01 | 2007-08-16 | Harsh Kapoor | Systems and methods for processing data flows |
| US20110214157A1 (en) * | 2000-09-25 | 2011-09-01 | Yevgeny Korsunsky | Securing a network with data flow processing |
| US7831702B2 (en) * | 2008-09-30 | 2010-11-09 | Jeffrey Wayne Johnson | Plug and play energy efficiency solution and automatic data-push method for same |
| US9948675B2 (en) * | 2013-04-04 | 2018-04-17 | The Mitre Corporation | Identity-based internet protocol networking |
| US10200233B2 (en) * | 2014-05-30 | 2019-02-05 | Apple Inc. | Dynamic account updating |
| LT3095034T (lt) * | 2014-10-21 | 2019-09-25 | IronNet Cybersecurity, Inc. | Kibernetinio saugumo sistema |
| US9560078B2 (en) | 2015-02-04 | 2017-01-31 | Intel Corporation | Technologies for scalable security architecture of virtualized networks |
| US10581914B2 (en) * | 2016-06-03 | 2020-03-03 | Ciena Corporation | Method and system of mitigating network attacks |
| US10355853B1 (en) * | 2016-08-25 | 2019-07-16 | The United States Of America As Represented By The Secretary Of The Navy | Multilayered obstructed brokered (MOB) embedded cyber security architecture |
| US20180375897A1 (en) * | 2017-06-26 | 2018-12-27 | Formaltech, Inc. | Automated network device cloner and decoy generator |
-
2018
- 2018-07-24 US US16/044,442 patent/US10749905B2/en active Active
- 2018-07-30 EP EP18762139.6A patent/EP3662631A1/en active Pending
- 2018-07-30 CN CN201880049381.9A patent/CN111108733B/zh active Active
- 2018-07-30 WO PCT/IB2018/055690 patent/WO2019025946A1/en unknown
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105917690A (zh) * | 2013-12-19 | 2016-08-31 | 阿姆多克斯软件系统有限公司 | 基于网络功能虚拟化(nfv)在网络中模块间通信的系统、方法和计算机程序 |
| US9460286B1 (en) * | 2013-12-19 | 2016-10-04 | Amdocs Software Systems Limited | System, method, and computer program for managing security in a network function virtualization (NFV) based communication network |
| CN105262664A (zh) * | 2014-06-09 | 2016-01-20 | 诺基亚通信公司 | 用于在通信网络中使用的虚拟化网络功能的控制 |
| CN106688210A (zh) * | 2014-08-05 | 2017-05-17 | 阿姆多克斯软件系统有限公司 | 用于扩充利用网络功能虚拟化协调器(nfv‑o)的物理系统的系统、方法和计算机程序 |
| CN106575323A (zh) * | 2014-08-22 | 2017-04-19 | 诺基亚技术有限公司 | 用于虚拟化网络的安全性和信任框架 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111669401A (zh) * | 2020-06-22 | 2020-09-15 | 南方电网数字电网研究院有限公司 | 网络系统的安全防护方法、装置、计算机设备和存储介质 |
| CN111669401B (zh) * | 2020-06-22 | 2022-05-13 | 南方电网数字电网研究院有限公司 | 网络系统的安全防护方法、装置、计算机设备和存储介质 |
| CN112433882A (zh) * | 2020-10-30 | 2021-03-02 | 福建福诺移动通信技术有限公司 | 一种记录和恢复微服务部署信息的方法 |
| CN112433882B (zh) * | 2020-10-30 | 2024-01-26 | 福建福诺移动通信技术有限公司 | 一种记录和恢复微服务部署信息的方法 |
| CN112968965A (zh) * | 2021-02-25 | 2021-06-15 | 网宿科技股份有限公司 | Nfv网络节点的元数据服务方法、服务器及存储介质 |
| CN113518016A (zh) * | 2021-06-22 | 2021-10-19 | 新华三大数据技术有限公司 | 一种消息发送方法及vnfm、计算机可读存储介质 |
| CN113518016B (zh) * | 2021-06-22 | 2022-08-30 | 新华三大数据技术有限公司 | 一种消息发送方法及vnfm、计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US10749905B2 (en) | 2020-08-18 |
| CN111108733B (zh) | 2022-05-17 |
| US20190036968A1 (en) | 2019-01-31 |
| WO2019025946A1 (en) | 2019-02-07 |
| EP3662631A1 (en) | 2020-06-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111108733B (zh) | 在基于网络功能虚拟化(nfv)的通信网络和软件定义的网络(sdns)中提供安全性的系统、方法和计算机程序 | |
| US11271948B2 (en) | System, method, and computer program for verifying virtual network function (VNF) package and/or network service definition integrity | |
| US9912679B1 (en) | System, method, and computer program for managing security in a network function virtualization (NFV) based communication network | |
| US10355988B1 (en) | System, method, and computer program for preserving service continuity in a network function virtualization (NFV) based communication network | |
| US9760428B1 (en) | System, method, and computer program for performing preventative maintenance in a network function virtualization (NFV) based communication network | |
| CN106688210B (zh) | 用于扩充利用网络功能虚拟化协调器(nfv-o)的物理系统的系统、方法和计算机程序 | |
| US10069694B1 (en) | System, method, and computer program for automatically certifying a virtual network function (VNF) for use in a network function virtualization (NFV) based communication network | |
| US20190287146A1 (en) | System, method, and computer program for implementing a license ledger in a network function virtualization (nfv) based communication network | |
| CN111034124B (zh) | 用于自动认证虚拟网络功能vnf的系统、方法和存储介质 | |
| US9794160B1 (en) | System, method, and computer program for testing composite services in a communication network utilizing test data | |
| US9774541B1 (en) | System, method, and computer program for generating an orchestration data tree utilizing a network function virtualization orchestrator (NFV-O) data model | |
| US9912573B1 (en) | System, method, and computer program for testing a network service associated with a communications network | |
| US10606718B1 (en) | System, method, and computer program for managing fault recovery in network function virtualization (Nfv) based networks | |
| US9660929B1 (en) | System, method, and computer program for segregated policy decision making in the context of network function virtualization orchestration in a communication network | |
| US10666715B2 (en) | Incident management for complex information technology platforms | |
| US10164944B1 (en) | System, method, and computer program for implementing a virtual obfuscation service in a network | |
| US9853914B1 (en) | System, method, and computer program for selecting at least one new physical element and/or virtual element for use in a system including a network function virtualization orchestrator (NFV-O) | |
| US10833960B1 (en) | SLA management in composite cloud solutions using blockchain | |
| US10497035B1 (en) | System, method, and computer program for service design and creation | |
| US10291543B1 (en) | System, method, and computer program for defragmenting a network based on network function virtualization (NFV) | |
| US10063453B1 (en) | System, method, and computer program for tag based testing of virtual services | |
| US9755934B1 (en) | System, method, and computer program for testing at least a portion of a network function virtualization based (NFV-based) communication network utilizing at least one virtual service testing element | |
| US10027569B1 (en) | System, method, and computer program for testing virtual services | |
| US10064167B1 (en) | System, method, and computer program for coordinating a plurality of networks based on network function virtualization (NFV) | |
| US9749218B1 (en) | System, method, and computer program for routing traffic to a service in a network including at least one virtual network service |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |