CN111492636B - 虚拟边缘节点即服务 - Google Patents
虚拟边缘节点即服务 Download PDFInfo
- Publication number
- CN111492636B CN111492636B CN201880081291.8A CN201880081291A CN111492636B CN 111492636 B CN111492636 B CN 111492636B CN 201880081291 A CN201880081291 A CN 201880081291A CN 111492636 B CN111492636 B CN 111492636B
- Authority
- CN
- China
- Prior art keywords
- ven
- packet
- session
- determining
- offload
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/568—Storing data temporarily at an intermediate stage, e.g. caching
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/12—Setup of transport tunnels
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本文描述了用于将边缘节点功能虚拟化为用于处理内容传递的服务的系统和方法。边缘节点接收分组,并确定该分组是否与已建立的会话相关联以及是否应将其卸载以进行处理。可以将卸载状态指示符和/或会话上下文信息添加到被卸载的分组,并将该被卸载的分组发送给后续的边缘节点。
Description
相关申请的交叉引用
本申请要求于2017年12月18日递交的美国临时申请No.15/607057的权益,其全部内容通过引用并入本文。
技术领域
本公开总体上涉及通信网络和安全性。
背景技术
互联网服务提供商(ISP)通过其完全控制的网络向最终用户提供“最后一英里”连接。这样,ISP代表内容分发网络(CDN)中的关键角色。当前的困境是如何利用他们的网络做大(例如全球CDN提供商),同时不放弃对其网络的控制。
全球CDN提供商和ISP之间的协作已经被认为是ISP在保留其主要资产(接入网)的控制权和价值的同时通过其网络获利的良好机制。协作包括将来自CDN提供商的内容放入ISP网络(例如,更靠近最终用户的ISP网络)以减少传递时间和总体CDN服务。另一方面,ISP也从这些优化中受益,因为它也减少了其网络上的负载。
按照惯例,CDN提供商和ISP之间的协作是通过两种服务来部署的:
CDN即服务(CDNaaS),其中CDN将传递完全委托给ISP。在这种情况下,可以将ISP视为受委托的CDN,而将全球CDN提供商视为委托CDN。两个CDN之间已达成服务级别协议(SLA)。IETF工作组CDNI定义了此类接口。
边缘节点即服务(ENaaS)也称为缓存节点即服务,由ISP在其网络中置备由CDN提供商控制的边缘节点组成。流视频联盟就是这种方法的一个例子。
CDNaaS尚未被广泛部署,因为全球CDN提供商尚未准备好将其服务的控制权放弃或委托给第三方。换言之,与SLA相关联的信任(trust)没有补偿委托提供的利益。相反,CDN提供商更愿意与ISP就托管CDN提供商管理的CDN提供商拥有的专用边缘服务器达成协议。这样的平台仍然处于ISP网络的边界。这种现状为改善以下两方面留下了空间:1)CDN提供商的性能方面,这通过将这些设备放置在ISP网络的更深处来改善;2)ISP无法管理或控制边缘服务器。
ENaaS已被认为是改善这种现状的一种机制,并且ISP向全球CDN提供商提供边缘服务器。这使得ISP可以在其云基础架构中更好地管理和操作边缘服务器。然而,边缘节点的传统设计阻止ISP将这样的边缘节点移到其网络的更深处并且利用雾计算,即,使用尽可能接近最终用户的资源来减少传递延迟、改善用户体验并减少其网络上的负载等。
发明内容
本公开的目的是消除或缓解现有技术的至少一个缺点。
在本公开的方面中,提供了虚拟边缘节点作为用于处理内容传递的服务的系统和方法。
在本公开的第一方面中,提供了由边缘节点执行的方法。边缘节点可以包括处理电路,并被配置为接收指示会话的分组。可以确定所指示的会话是已建立的会话。可以确定分组是应该由边缘节点处理还是由边缘节点卸载。响应于确定卸载分组,边缘节点修改分组以包括卸载状态指示符和与会话相关联的上下文信息中的至少一个;以及将经修改的分组发送给后续的边缘节点。
在一些实施例中,会话可以是传输层安全性(TLS)会话和传输控制协议(TCP)会话中的至少一种。在一些实施例中,边缘节点可以解密会话。
在一些实施例中,确定所指示的会话是已建立的会话可以包括:确定边缘节点具有与该会话相关联的上下文信息。
在一些实施例中,可以根据与分组相关联的最终用户和内容请求中的至少一个来确定卸载分组。在一些实施例中,该确定可以根据与边缘节点相关联的资源带宽。
在一些实施例中,修改分组可以包括:封装所接收的分组并且将卸载状态指示符和上下文信息中的至少一个作为元数据添加。
在一些实施例中,边缘节点可以接收指示该已建立的会话的第二分组,并且确定处理第二分组。在一些实施例中,可以确定第二分组是否需要安全性策略的实施。确定第二分组需要安全性策略的实施可以根据与第二分组相关联的最终用户和内容请求中的至少一个。在一些实施例中,边缘节点可以实例化至少一个服务功能以用于实施安全性策略。
本文所述的各个方面和实施例可以备选地、可选地和/或彼此补充地组合。
通过结合附图阅读以下对具体实施例的描述,本公开的其他方面和特征对于本领域普通技术人员将变得清楚。
附图说明
现在将参考附图仅作为示例来描述本公开的实施例,在附图中:
图1示出了示例CDN架构;
图2示出了示例边缘节点;
图3示出了示例虚拟边缘节点部署;
图4是示出用于处理输入分组的示例方法的流程图;
图5是示例虚拟边缘节点服务功能链;
图6a和图6b是VEN安全的示例;
图7a和图7b是VEN安全状态的示例;
图8a和图8b是具有SFC分支的VEN安全服务的示例;
图9是示出了在网络节点中执行的示例方法的流程图;
图10是示例无线网络;
图11是示例网络节点的框图;以及
图12是具有模块的示例网络节点的框图。
具体实施方式
下面阐述的实施例表示使本领域技术人员能够实施实施例的信息。在根据附图阅读下面描述以后,本领域技术人员将理解本描述的构思并且将认识到本文未具体给出的这些构思的应用。应当理解,这些构思和应用落入本描述的范围内。
在下面的描述中,阐述了许多具体细节。然而,应理解的是可以在没有这些具体细节的情况下实施实施例。在其它实例中,未详细示出公知的电路、结构和技术,以便不模糊对本描述的理解。利用所包括的描述,本领域普通技术人员将能够在不进行过度试验的情况下实现适当的功能。
说明书中对“一个实施例”、“实施例”、“示例实施例”等的引用指示所描述的实施例可以包括特定特征、结构或特性,但是每个实施例可以不必包括该特定特征、结构或特性。此外,这些短语不必指同一实施例。此外,当结合实施例来描述特定特征、结构、或特性时,应认为结合其他实施例(不管是否被显式描述)来实现这种特征、结构、或特性是在本领域技术人员的知识范围内的。
常规CDN方法的一些缺点包括边缘节点无法处理用户子集。边缘节点端接与目的地IP地址相关联的所有会话,因此需要被相应地置备(配置)。尽管边缘节点的位置越深,预计端接的会话的数量也越少,但仍可能需要基于云的弹性机制来在需要时缩放资源。这种设计可防止边缘节点在计算和内存资源有限的情况下利用雾(fog)计算。
常规边缘节点不能专用于传递特定内容。由于边缘节点端接并服务于与特定IP地址相关联的所有会话,并且该IP地址可能传递不同的内容,因此需要供应所有内容。即使可以使用缓存管理机制,这也要求将边缘节点设计为托管原始IP地址托管的大部分内容。更具体地说,通常只缓存最流行的内容。然而,当容量变小时,内容量可能变得非常低,并且业务的小规模流量变化可能很容易使这种边缘服务器的性能下降。同样,这种设计与雾计算的约束条件不匹配。
常规边缘节点由CDN提供商管理,CDN提供商使用各种机制(例如DNS重定向或与DNS重定向结合的IP选播)来管理与边缘节点相关联的重定向。在任何情况下,边缘节点的实例化需要CDN提供商更新提供给最终用户的基础架构。由于这种改变可能会影响最终用户,这使它们变得非常敏感,并且CDN提供商可能会减少此类改变的发生,尤其是当它对边缘节点基础架构的控制有限时更是如此。
一些实施例描述了虚拟边缘节点(VEN)方法。例如,虚拟化边缘节点(EN)可以在云计算环境中的资源管理方面取得优势。然而,虚拟化也是切片网络的主要驱动力,这包括将VEN实例化到ISP中的接入网深处,以利用超低延迟传递改善服务质量(QoS)和体验质量(QoE)。另一方面,也预计接入网中的较深位置将具有较少的资源量。可以提供附加机制以使VEN之间的协作成为可能。
一些实施例描述了由ISP提供的用于CDN提供商的虚拟边缘节点即服务(VENaaS)。VENaaS之所以成为可能,是因为它们具有通过协作来服务业务的能力。此外,由于可以对VEN进行编程以服务于特定内容或特定子流,因此预计VENaaS更加高效。此外,由于预计VEN在暴露给互联网的同时在资源有限的基础架构上工作,因此可以为VEN提供灵活的机制,使VEN能够实例化适应特定攻击的安全服务,其中安全开销可以平衡攻击的开销。
常规CDN基础架构主要专用于视频点播(VOD)、流传输和Web加速。前两个服务(VoD和实时流)通常仅提供给具有订阅的用户。因此,用户为运营商所知,并且需要成功的身份验证才能接收服务(例如,通过合同协议建立正式的业务关系)。由于订户的合同协议,这类用户实施的攻击很容易被迫踪到并会对订户造成严重后果。
Web加速服务通常是CDN运营商提供的Web托管服务。因为对于大多数网站,不需要身份验证。而且,在大多数情况下,运营商并不清楚访问网站的用户(例如,没有通过合同协议建立正式的业务/订户关系)。
与前两个服务相比,Web加速的风险评估显示出遭受攻击和攻击向量的风险更高。此外,由于用户池未知(例如,没有身份验证以及未知的IP地址范围),因此服务的保护难度要大得多。因此,为VoD和实时流部署的对策对于Web加速服务来说可能不够健壮。此外,预计将来VoD或流传输机制可能会对互联网业务广泛开放。
图1示出了示例CDN架构。如图1所示,对于VoD或流传输,最终用户设备100连接到Web门户102,Web门户102负责认证最终用户并向最终用户提供对VoD或流传输内容的选择。当最终用户选择用于下载或流传输的内容时,Web门户102提供授权票证,并将最终用户设备100定向到重定向器104。重定向器104负责将授权的最终用户重定向到适当的边缘传递节点106。为了检查最终用户是否被授权,它会检查授权票证并将其包含的信息与最终用户请求进行验证。为了将最终用户设备100重定向到适当的边缘传递节点106,除其他因素之外,负载均衡器还可以考虑边缘传递节点106上内容的分布、边缘传递节点106的可用性及其局部化。这些信息可以由管理和控制单元(图1中未显示)提供,管理和控制单元可以监视、实例化和置备边缘传递节点106。重定向器104也可以向最终用户设备100提供授权票证,以便可以由边缘传递节点106对它进行身份验证。最后,最终用户被重定向到适当的边缘传递节点(例如106a)。边缘传递节点106可以在开始传递之前检查最终用户是否被授权。
对于Web加速,最终用户设备100发送DNS并且被重定向到最适当的网站。在VoD和实时流的情况下,尤其是在提供/操作CDN服务的无线运营商的上下文中,IP地址范围是已知的,这使得能够将最终用户重定向到适当的边缘传递节点106。在Web加速中主要特性是最终用户不经身份验证,并且可以源自任何IP地址。
在这两种情况下,边缘传递节点106都可以实现如图1所示的缓存机制。当所请求的数据未被托管在特定边缘传递节点106上时,可以向CDN中的上层节点请求内容。该上层节点可以是区域传递节点108或内容来源110。
在图2中示出了示例边缘节点106a,边缘节点106a可被视为代表内容所有者端接传输层安全性(TLS)和/或传输控制协议(TCP)会话的节点。换言之,边缘节点106a端接所有TCP和TLS会话,并服务于最终用户设备100所请求的所有内容。边缘节点106a可被认为是缓存代理。当所请求的内容尚未被缓存时,边缘节点106a向内容来源/所有者110请求内容。
结果,这样的边缘节点106a不能实例化到诸如云/雾计算之类的受限环境中,因为它的资源不能专用于业务的子流,它的资源不能专用于特定的内容,并且它不能与其他边缘节点106协作。
图3示出了示例虚拟边缘节点(VEN)120部署。如将描述的,VEN 120可被视为由VEN编排器122编排的一组服务功能(SF)的编排。VEN 120可以遵循SFC(服务功能链)架构,并且SF之间的业务可以使用网络服务报头(NSH)协议,例如,其使得能够引导SF之间的业务以及元数据。
关于图3,VEN 120可以由以下单元组成。分类器124(表示为主要服务功能转发器(SFF))可以确定业务是否由VEN 120服务。VEN 120服务的业务是业务匹配规则(将在图4中进行描述)。在这种情况下,分类器124通常被配置为接受已经与该特定VEN 120相关联的会话以及新的输入会话。对新会话的接受可以通过策略来规定,并且可以取决于VEN 120的资源容量。
TLS SF 126指示TLS封装/解封装功能。对于已经建立的会话,此SF是对会话的常规处理的一部分。然而,当基于URL接受或拒绝会话时,TLS会话先由VEN 120同意并端接,以确定该会话是否应由VEN 120处理。
EU_TAG 128和URL_TAG 130是定义正在建立过程中的会话是否在VEN 120的范围内的SF。EU_TAG 128是“最终用户标签”SF。它是可用于定义用户是被授权的还是应被卸载的SF。URL_TAG 130是“全球资源定位器(URL)标签”SF。它是可用于定义URL是否应由WEB SF132服务的SF。WEB 132是用于为最终用户的URL提供服务的Web服务器SF。
SFF 134负责将从网络接收的分组转发到与给定SFF相关联的一个或多个SF。SF从SFF 134接收数据分组。
VEN 120可以被配置为服务于匹配业务的子集,并通过分类器124在零配置的情况下提供服务。由分类器124实现的机制可以使VEN能够无需配置即可为CDN提供商的业务提供服务,通过阻止输入新会话来降低VEN的负载,并通过基于业务选择器(通常是IP地址)将业务限制到子流来降低负载。
从CDN的角度来看,VEN专用于的潜在业务可以通过以下来描述:(a)一组由最终用户指定目标服务器的IP地址,以及(b)一组内容文件。
然而,业务选择不限于这种准则。还可以考虑最终用户设备IP地址以及不是从业务中得出的外部参数(例如VEN上可用的资源)。因此,VEN应该只能接受目标业务的小部分。
VEN解决的子业务可以由“已建立的会话”组成,例如已经为其设置TCP/TLS会话的会话。这类会话应被VEN考虑,并且不应被忽略。如果VEN想要忽略这类会话,则需要基于协作能力执行特定的卸载动作。稍后将描述这种能力。例如,VEN可以忽略建立会话,例如TCP会话建立会话或用于快速UDP互联网连接(QUIC)的TLS会话建立。
VEN代表全球CDN提供商的IP目的地,但不使用IP路由协议将业务引导到该IP地址。相反,它使用NSH和SFF,这使得引导独立于IP路由。结果,VEN可以忽略已建立会话的IP分组,并将其留给其他VEN甚至全球CDN提供商。这种属性还使得有可能在不拥有IP地址的情况下为该IP地址提供服务。更具体地说,ISP可以代表全球CDN提供商提供服务,而不必拥有全球互联网上的IP地址。
图4示出了用于处理输入分组的示例流程图。VEN可以被配置为利用特定SF(例如EU_TAG和/或URL_TAG)为匹配业务的子集提供服务。下面将详述使SF能够选择业务是否由VEN提供服务的机制,包括使VEN能够在对该分组执行多次处理后选择新会话的机制(通常该选择可以基于使用TLS加密的URL)以及使VEN能够将会话卸载到上游VEN的机制。
VEN接收分组(步骤200),并确定分组是否与新会话(例如,先前未被VEN处理的会话)相关联(步骤210)。VEN可以根据接受策略来接受新的会话(步骤220),以确定该分组/会话是不应由VEN选择(步骤230)还是应由VEN处理(步骤240)。在VEN选择该分组/会话的情况下,分类器匹配规则可以被更新以包括新会话(步骤240)。
在所接收的分组与已知或已建立的会话相关联的情况下,VEN确定该分组/会话是否与一个或多个分类器规则匹配(步骤250),以确定是不应将该分组选择为由VEN处理(步骤260)还是应将该分组选择为由VEN处理(步骤270)。
在一些实施例中,对要服务的业务的选择由分类器功能执行。然而,例如,出于效率原因,分类器可能无法准确地解析分组并基于URL定义接受。此外,在业务被加密的情况下,此类信息可能是无法访问的。
当需要检查TLS内容时,除了在分类器进行检查之前首先进行解密之外,可能没有其他解决方法。TLS解密要求在VEN与最终用户设备之间协商TLS会话。可以使用常规机制来执行在VEN和代表CDN提供商的最终用户之间的TLS协商。TLS证书可以由CDN提供商共享,或者可以使用附加机制,例如LURK、TLS委托证书或STAR。
只要没有会话被VEN端接,分类SF(例如IP_TAG或URL_TAG)可以返回分组,并将该分组重新发送到该VEN外部,而没有可见的影响,这里假定附加延迟被认为是最小的。通常,需要将分组返回到该VEN之外,以便另一个VEN可以对其进行处理。此外,由于分组是会话的部分,所以还可能需要导出与会话相关联的必要信息(例如,上下文信息、同步信息等)。结果,与这样的分组相关联的处理至少取决于分类SF在链中的位置、与会话相关联的分组的信令、以及会话的当前状态。在分组发起新会话的情况下,会话尚未创建,并且预计不会具有关联状态,因此就将该分组返回到该VEN之外可能就足够了。在会话已被建立的情况下,通过卸载操作处理这种情况。不同之处在于,在新会话的情况下,可以将分组发送给IP业务,而在会话卸载的情况下,需要在VEN之间交换与会话相关的信息。
分组可以由最后一个SFF进行NSH解封装,该SFF可以与分类器并置在一起。建议包括DECLASSIFYING NSH元数据,以指示分类器不得重新接受此分组。例如,当分类器和最后一个SFF针对入站和出站业务使用不同的接口时,这可能是有用的。类似地,路径上的其他SF也可以考虑该指示。该分组将被使用IP协议进行路由,以到达另一个VEN或全球CDN提供商。分类器不一定需要执行特定的动作,因为预计新会话分组是独特的,并且除非被重放,否则它几乎没有被分类器再次接受的机会。
约束条件是只对设置新会话的分组处理该选择。
在诸如QUIC的0-RTT协议的情况下,可以通过设置新会话的分组来提供HTTP GET的等效。换言之,同一分组被用于设置TLS和HTTP会话。
当URL_TAG(或IP_TAG)SF拒绝新会话请求时,将使用取消分类(DECLASSIFYING)元数据来引导该分组。URL_TAG SF可以引导分组通过常规SFC(在这种情况下,分组将通过WEBSF),或可以引导分组绕过SFC(在这种情况下,分组将被该TAG SF直接引导到分类器)。
一旦SF接收到取消分类,该分组应被SF忽略并被引导通过该路径。
例如,对于诸如HTTPS之类的协议,URL_TAG不太可能将会话取消分类,因为在分析URL时已经建立了TCP和TLS会话。在这种情况下,拒绝与特定内容关联的会话需要VEN卸载该会话。OFFLOAD-OUT(卸载-出)操作可以在任何时候执行,而不是必须在发起会话时执行。
当URL_TAG或IP_TAG SF拒绝新会话请求时,利用卸载-出元数据来引导分组。URL_TAG SF可以引导分组通过常规SFC(在这种情况下,分组将通过WEB SF),或者可以引导分组绕过SFC(在这种情况下,分组将被该TAG SF引导到分类器的方向)。在此示例中,URL_TAG将把消息引导到TLS SF。
一旦接收到OFFLOAD-OUT,SF应该相应地做出响应。分组可以被SF忽略,并被引导通过该路径。通常,WEB SF将不生成响应。建议SF使用与上下文相关联的元数据明确指示处理是否已被执行。
存储上下文的SF需要将该上下文插入特定的元数据中。通常,如果WEB需要上下文,则将提供上下文,以便另一个WEB SF可以恢复该上下文并提供适当的响应。类似地,TLS和TCP SF将插入关联的上下文。预计将使用NSH元数据插入上下文。然后,在一段时间后,通常在卸载生效时,从SF中移除上下文。
可选地,SF可以不同地处理分组,或者提供关于接收SF应该如何处理分组的指示。
OFFLOAD-OUT操作旨在将会话卸载到VEN之外。然而,预计被卸载的会话能够在接受托管该会话的新VEN中恢复。可以通过OFFLOAD-IN(卸载-入)元数据指示这个操作。
一旦接收到OFFLOAD-IN,SF应该相应地做出响应。该动作以及上下文可以由元数据指示。预计WEB SF将恢复上下文并处理该分组。预计TLS SF将恢复该过程,而不处理该分组。
应当注意,NSH元数据(例如取消分类或卸载)被用作SF之间的通信通道。元数据不携带任何状态,而是针对要由SF执行的动作的请求。这样的通信避免了额外通信和编排器对SF的协调,同时减少了与编排器的信令。
在取消分类的情况下,简单地将分组返回到常规IP业务。在卸载的情况下,将分组返回到特定的VEN。被卸载的分组不会被使用IP路由引导到新VEN,因为元数据也需要被引导。
这种机制使VEN能够为针对特定内容的TLS业务提供服务。这在缓解突现拥挤的情况下非常有用,其中,可以将内容托管在非常接近最终用户的容量有限的VEN上。
可以将VEN组织到覆盖网络中,因此VEN可以将会话卸载到上游VEN。卸载后,初始VEN可以不具有与该会话相关联的状态,这使其不同于任何有状态的代理备选。与EN相比,在VEN中实现HTTP/TLS/TCP代理可能对VEN几乎没有提供优点。这将意味着:一旦接受TLS会话,就必须为其提供服务。VEN提供的一个优点是能够选择或不选择输入的会话,有希望使得内容匹配所供应的内容。
相反,当已知分组和TLS/TCP会话不在VEN的范围之内时,当前VEN愿意将该TLS/TCP会话委托给上游VEN。
如图5所示,可以将多个VEN 120a-120x组织成服务功能链(SFC),并且SFC由VEN代理290终结。SFF 292可用于沿着SFC引导业务。
下面的示例实施例将描述当新会话或现有会话从第一VEN(VEN A 120a)卸载到上游VEN(VEN B 120b)时的流程。此示例将考虑TCP/TLS会话。一旦会话被建立,执行OFFLOAD-OUT操作。
步骤1:VEN A 120a分类器截获会话。该会话可以是现有会话,或是新会话。当新会话被截获时,VEN A 120a可以端接该会话。VEN A 120a端接TCP会话,并成为TCP端接点。VENA 120a继续进行TLS交换,并成为TLS端接点。
步骤2:VEN A 120a确定卸载会话。确定卸载可以基于各种因素,例如,专注于服务特定内容、新输入会话的优先等级。VEN A 120a可以在从最终用户接收到与会话相关联的分组后执行卸载操作,或者不执行(在这种情况下,分组被认为是无效的)。换言之,不一定基于最终用户发送的分组触发卸载。静默的会话也可能被卸载。
步骤3:VEN A 120a输出带有OFFLOAD-OUT元数据以及所有上下文和必要信息的消息,以使卸载的VEN能够处理会话。注意,虽然在VEN内部使用OFFLOAD-OUT来指示该VEN想要卸载会话,但在这种情况下,预计OFFLOAD-OUT元数据将被解释为对OFFLOAD-IN持有者的请求。由于这些动作是不同的,因此可以使用不同的元数据值来使VEN内的通信与VEN之间的通信相区别。
步骤4:分组被引导通过SFC。VEN B 120b可以决定处理会话。一旦收到分组:VEN B120b将分组的状态设置为OFFLOAD-IN,以指示SF恢复与分组相关联的会话;VEN B 120b引导分组通过其各个SF;SF对元数据中提供的会话上下文和指令进行相应的行为。在大多数情况下,它们恢复上下文并转发分组(例如,不对其进行处理)。
当没有候选VEN选择该分组的情况下,分组必须由VEN代理290处理。该单元可以位于云中,因此资源可用性可能不是问题。此外,与缓存相比,预计作为TCP代理或TLS代理工作将需要较少的资源(例如,缓存需要更复杂的存储装置和与内容受欢迎程度相关的存储管理机制)。如果CDN提供商终结SFC,则可能不需要VEN代理290功能。
如图5所示,由于VENaaS为VEN提供了将会话卸载到另一个上游/下游VEN的能力,因此VENaaS架构使VEN能够被实例化在资源有限的节点上。此外,它还使VEN能够服务于特定内容。最后,当ISP和CDN提供商之间建立协作时,VENaaS限制了重定向的影响。实际上,当在CDN提供商中实例化终结VEN时,CDN提供商可以自由改变其协作,而不会影响传递服务。这是由于用于到达终结VEN的引导机制(IP路由)不同,因为到VEN的引导是基于NSH封装。
如CDN架构中所示,VEN是暴露给互联网的前端单元。尽管当前CDN部署利用基于云的机制来缓解攻击,但是ISP需要能够在资源有限的节点上实现VEN,其导致了以下问题:VEN在无法利用基于云的弹性资源供应的大多数可用保护机制时,可能更易受攻击。
为了解决此问题,VEN已被设计为能够动态地监视、表征和缓解攻击。用于监视任何已知攻击的默认设置在设计上效率低下,因为它将消耗大量本应分配给内容传递服务本身的资源。此外,这种架构是不可扩展的,因为预计攻击只会增加,因此专用于服务的剩余资源将随时间减少。相反,VEN可以以灵活的方式处理安全性,即在检测到影响其操作的异常后,VEN实例化一些特定的监视服务功能,这些监视服务功能转而提供实例化必要的缓解服务功能的指示。预计这将根据需要来部署功能,因此得以降低安全性开销,同时最大化用于服务本身的可用资源。
图6a和图6b示出了VEN安全性的示例。在ETSI GS NFVSEC规范中已描述了在安全性上下文中的多个安全性服务功能的编排。基于此规范,图6a中示出了具有主要单元的VEN安全性架构。VEN安全性模型实例化的示例在图6b中被表示为定义VEN边界的虚拟网络内的一组安全性服务功能。
基于ETSI NFV-SEC的VEN安全性架构
图6a中表示的NFV架构的单元如下。
VNF编排器(VNFO)300是逻辑引擎的一部分,其根据从网络接收到的警报和其他信息来实施安全性策略。安全性策略的实施导致指示虚拟安全性服务功能(SSF)和虚拟监视服务功能(MSF)310的虚拟基础架构管理器(VIM)302,以及指示安全单元管理器(SEM)304,以配置这些SSF和MSF 310。
虚拟基础架构管理器(VIM)302监督实例化SSF和MSF 310。例如,当有多个硬件、实例版本以及位置可用时,这还包括对这些SSF/MSF 310的选择和放置。
安全单元管理器(SEM)304负责配置每个SSF或MSF 310。
安全性监视分析系统(SMAS)306负责汇总来自VEN的输入并将其格式化以用于VNFO 300。
图6b中示出了用于安全性服务的VEN安全性模型实例化示例。为了提供灵活性,可以将VEN 312组织为在表示VEN边界的虚拟网络内相连的一组服务功能(SF)。这不会强制VEN在给定主机中实例化其所有SF,并且最终功能甚至可被托管不同数据中心上,其中虚拟机管理程序通过隧道互连。该架构基于SFC,并使用NSH通过SFF 316将业务引导到各个SF。注意,在此示例中,使用NSH将所有业务从分类器314引导到WEB SF 324。图6b中示出的示例VEN 312包括以下单元。
分类器314负责从引导到终结VEN的业务中选择要由VEN 312处理的业务。
SFF 316负责在不同SF之间引导业务,编排由编排器300定义,并且每个路径都包含在SFC的定义中。
IDS 318、TLS 320、CDN MSF 322和WEB 324是涉及的安全性服务功能。IDS 318是用于检查业务的入侵检测系统SF。TLS 320是用于处理TLS解封装/封装的传输层安全性SF。CDN MSF 322是特别与CDN相关的CDN监视SF。WEB 324是传递内容的Web服务器SF。
VEN编排原理
图7a和图7b示出了VEN安全性状态的示例。在图7a中,编排的结构和各种状态与VEN 312相关联。最初,VEN 312处于初始状态,如图7b所示。初始状态由配置有最少数量的SF的VEN 312组成。通常,在这种情况下,单个SF(例如,安全WEB功能326)实现TLS功能,并且所有必需的SSF和MSF被减少到最少数量。通常,预计SMAS 306监视VEN 312的资源消耗。
当VEN的资源达到给定水平时,SMAS 306向VNFO 300发出警报,VEN进入警报状态。警报状态表示这样的配置,其中VEN 312正在监视正在进行的业务以检测攻击并适当限定攻击。警报状态可以如图6b所示。VEN 312被分解为各个层,例如,TCP/TLS层由TLS SF 320处理,内容传递服务由WEB SF 324执行并且特定的MSF 322监视与该SF相关联的单元。
VNFO 300集中控制SMAS 306接收到的警报。预计安全性策略会将警报组成已识别的攻击,其转而导致对缓解的实例化。该缓解被指定为安全性服务,并且对应于VEN 312的组织。最终,可以同时实例化多个安全性服务。在这种情况下,每个安全性服务都会在某个时间段内实例化,之后VNFO 300可以决定重新执行或取消安全性服务。
示例的VEN威胁缓解场景
将描述安全性服务实例化的三个示例场景,针对特定攻击缓解的各个SSF和MSF的组织。SSF和MSF之间的编排通过SFC并使用NSH来进行编排。图8a和图8b示出了将这些安全性服务实例化为VEN。为了促进对场景的理解,配置将与单个攻击缓解相关联。这些配置可以组成更复杂的配置,以缓解同时发生的攻击。图8a和图8b中所示的配置对应于从警报状态(例如图6b)出发的转变。在计时器到期或明确指示攻击已结束后,它们会回滚到初始状态(例如,图7b)。
VEN可用性
对VEN的DDoS攻击是通过使用非法请求来耗尽VEN资源使其过载来执行的。因为还预计在资源有限的节点上实例化VEN,因此安全性策略可能通过以下方式防止这种情况:(1)强制过载的VEN不接受任何新会话;以及(2)许可VEN将会话卸载到上游VEN。
一旦从SMAS 306接收到ALERT_RESOURCE_LOW(警报_资源低)警报,VNFO 300指示SEM通过VEN 312限制新输入的会话。当输入的会话由分类器314确定时,SEM通常将拒绝任何TCP SYN,并且仅接受已经建立的TCP会话。此外,如图8a的上部SFC所示,VNFO 300指示VIM实例化监视业务的CDN MSF SF 322a以及Web应用防火墙(WAF)SF 344。WAF 344是应用级别的防火墙,其能够过滤根据例如HTTP实时流(HLS)协议格式化的请求和响应。
VNFO 300指示SEM配置MSF CDN 322以报告异常行为。WAF 344由VIM实例化,因此VNFO 300可以使用HTTP错误与最终用户进行交互,或者用于VNFO 300向路径上的所有SF指示协调动作,例如卸载会话。
在接收到第二个ALERT\_RESOURCE\_LOW警报后,VNFO 300可以通过返回带有OFFLOAD-OUT元数据的NSH分组来指示WAF344卸载特定会话。一旦接收到该元数据,TLS SF320包括TLS和TCP上下文,并且分类器314(或特定的路由SFF 316)将分组重新路由到连接各个VEN的SFC。一旦接受处理新会话,VEN 312的分类器314通过将OFFLOAD-OUT替换为OFFLOAD-IN来引导分组,并且在该示例中,TLS SF 320恢复TLS和TCP上下文。
突现拥挤
当大量最终用户请求特定内容时,会发生突现拥挤。这种场景本身并不是攻击,但会使基础架构处于危险之中,这使其成为ISP和CDN提供商的重要用例。
为了实施专用于突现拥挤业务的安全性策略,VEN 312可以将业务分到两个不同的SFC,如图8a所示:一个专用于非突现拥挤业务的SFC,以及一个与突现拥挤业务相关联的SFC。防火墙(FW)SF 340可用于过滤所有输入业务。
在检测到突现拥挤时,SMAS 306向VNFO 300发送警报,VNFO 300为与突现拥挤内容相关联的业务创建单独的分支(例如,VEN 312内的单独的SFC)。
为了将不同的业务分到两个SFC,VIM在TLS SF 320之后实例化URL_TAG SF 342,以使用NSH元数据将分组标记为突现拥挤业务或常规业务。VIM还根据标签将SFF 316配置到适当的SFC。VIM还可以实例化诸如WAF 344b之类的SF,以应用与突现拥挤情况相关联的特定安全性策略。这可以包括卸载会话或实施速率限制策略的能力。
假定,与其他内容相比,安全性策略为突现拥挤内容的传递给予更高的优先级。潜在的动机可能是将VEN集中在单个内容上只需要很少的存储资源,从而使网络存储容积比最大化。此外,它还实现了解决尽可能接近源头的需求的原理,从而利用VEN屏蔽保护了上游资源。
实现这种策略需要VEN能够卸载与突现拥挤内容无关的会话。首先,现有VEN可能正在服务于正在进行的会话,但是由于假定会话是加密的,因此要评估内容是否与突现拥挤内容相关联,VEN在能够确定会话是否与突现拥挤内容相关联之前需要端接TLS会话。
此外,当VEN仅服务于与突现拥挤内容相关联的会话时,VEN还可以优化可用资源以在提供可接受的体验质量的同时最大化所服务的最终用户的数量。这通常包括:传递最终用户正在观看的视频片段,并避免下载不会被观看的片段。
设R为VEN的可用资源,r为传递视频片段的必要资源,f为突现拥挤视频的视频片段数,以及n为VEN服务的最终用户数。在最坏情况的场景(最终用户下载f个片段但仅观看第一个片段)中,此种策略使VEN能够为f倍数目的最终用户提供服务,R/r与n=R/(f x r)相比。考虑到平均138秒的病毒视频长度和使用2到6之间的段长度的技术建议,此类策略可以将VEN服务的最终用户数增加到高达60。
此类策略由WAF SF 344b实现,该WAF SF 344b针对流传输协议进行了优化,并具有防重播保护机制,以限制每个用户在给定时间段内的下载。首先,对提供必要指令以进一步下载片段的清单文件的下载受到限制。这通常被视为防止最终用户开始下载片段。然后,还监视片段下载以避免不必要的下载,其包括重播片段的下载以及将来片段的主动下载。
可以设置不同的触发级别,并且专用于突现拥挤业务的WAF可以连续使用HTTP错误代码429太多请求来进行响应,以指示最终用户减少其请求率。然后,如果最终用户不理解该错误消息,则WAF返回HTTP错误代码503以指示该服务不可用。最后,在WAF指示VEN禁止最终用户使用该VEN之前,可以丢弃HTTP请求。
恶意用户
在误报检测的情况下,禁止最终用户的操作可能具有某种强烈的经济影响。作为结果,预计恶意的最终用户被逐步处理,并且禁止该用户的决定可以或者自动执行或者留给网络管理员处理。
在例如被观察到以下行为时,最终用户可能会被怀疑是恶意:
-与给定IP地址相关联的大量会话,其可以指示繁重的供应下载活动,该活动可被延迟一会或在一段时间减少一些。
-用户请求多个非缓存内容,从而生成与内容来源的异常交互。
-用户生成过多的业务,例如,因为重播相同的视频片段。
如图8b所示,假定安全性策略通过下述方式处理可疑的恶意最终用户:首先通过将他们的请求引导到特定的SFC(图8b中的下部分支)来隔离他们。VIM实例化IP_TAG SF350,IP_TAG SF 350具有与先前实施例中的URL_TAG SF 342相似的角色。此外,VIM实例化以下项:(1)专用于恶意的最终用户的SFC上的CDN MSF 322b和WAF 344;以及(2)FW SF340,预计其实现不能被分类器314或其他SF阻止的特定速率限制策略或业务过滤。速率限制业务通常是昂贵的操作,因为它需要处理每个最终用户的状态。在图8b中,将所有恶意的最终用户分组到一个SFC中,使得能够应用变得几乎状态无关的全局速率限制策略。
VNFO 300可以指示SEM通过实施HTTP会话速率限制来配置WAF 344以限制与每个用户相关联的会话数。当SMAS 306向NFV报告最终用户被明确识别为具有破坏性时,VNFO300可以指示WAF 344发送带有BAN_END_USER(禁止_最终用户)的NSH报头。一旦接收到该NSH元数据,路径上的所有SF和MSF都可以移除与被禁止的用户相关联的上下文,并且FW340可以添加阻止源自该用户的其他输入分组的规则。
图9是示出了可以由如本文中已经描述的诸如内容分发网络中的边缘节点或虚拟边缘节点之类的网络节点执行的方法的流程图。所述方法可以包括:
步骤410:在网络节点处接收指示会话的分组。
步骤420:确定由节点操作(handle)/处理分组还是卸载分组。
确定分组是否应由节点处理的步骤可以包括:确定所指示的会话是新会话(例如,节点先前未处理的会话)还是已建立的会话(例如,节点先前已经处理的会话)。可以根据确定节点具有与所指示的会话相关联的上下文信息来确定该会话是已建立的会话。
在一些实施例中,响应于确定所指示的会话是新会话,节点可以根据接受策略来选择分组以进行处理。在一些实施例中,响应于确定所指示的会话是新会话,节点可以根据接受策略来确定卸载分组。
在一些实施例中,响应于确定所指示的会话是已建立的会话,节点可以根据分类器规则来选择分组以进行处理。在一些实施例中,响应于确定所指示的会话是已建立的会话,节点可以根据分类器规则来确定卸载分组。
步骤430:响应于确定卸载分组,将卸载状态指示符(例如,作为元数据)添加到分组中。会话上下文信息也可被添加到分组中。在一些实施例中,分组可以被修改为包括这样的信息。在一些实施例中,分组可以被封装为包括这样的信息。在一些实施例中,附加指示符和/或上下文信息可以作为元数据被附加到分组。在一些实施例中,卸载分组的确定可以至少部分地基于与分组相关联的最终用户、与分组相关联的内容请求、与边缘节点相关联的资源带宽和/或与边缘节点相关联的接受策略或分类器规则,如本文中已经描述的。可以通过一个或多个地址(例如IP地址)来识别与分组相关联的最终用户。可以通过与内容相关联的一个或多个参数(例如URL)来识别与分组相关联的内容请求。
步骤440:引导分组通过服务功能链到后续(例如SFC中的上游或下游)的边缘节点以进行处理。
应当理解,可以同时和/或以不同的顺序执行上述步骤中的一个或多个。而且,虚线中所示的步骤是可选的,并且在一些实施例中可以省略。
根据本文描述的实施例中的一些实施例,VENaaS提供了用于网络处理内容传递的机制。VEN可以被配置为根据a)内容、b)最终用户的IP地址或从(IP)分组中读取的其他元素、和/或c)其他策略参数(例如,VEN的可用资源)来确定是否服务于业务的子集。
可以实例化VEN,而无需CDN提供商更新其架构的当前配置/设置。可以实例化VEN到接入网的深处,而不会遭受资源短缺。
分类器功能使VEN能够以最少的配置为CDN提供商的业务提供服务,通过在某些情况下防止输入新会话来降低VEN的负载,并通过基于业务选择器(例如IP地址)将业务限制到子流来降低负载。
一些实施例包括使服务功能能够选择业务是否应该由VEN提供服务的机制。一些实施例使VEN能够在对分组执行多个处理之后选择新会话。通常,选择可以基于使用TLS加密的URL。一些实施例使VEN能够将会话卸载到后面的上游/下游VEN。
图10示出了可以用于无线通信的无线网络500的示例。无线网络500包括无线设备(例如,UE)502A-502B和多个网络节点,诸如经由互连网络515连接到一个或多个网络节点506的无线电接入节点504A-504B(例如,eNB、gNB等)。网络500可以使用任何合适的部署场景。覆盖区域508内的每个UE 502都能够通过无线接口直接与无线电接入节点104A通信。在一些实施例中,UE 502还能够经由D2D通信彼此通信。
作为示例,UE 502A可以通过无线接口与无线电接入节点504A通信。也就是说,UE502A可以向无线电接入节点504A发送无线信号和/或从无线电接入节点504A接收无线信号。无线信号可以包含语音业务、数据业务、控制信号和/或任何其他合适的信息。在一些实施例中,与无线电接入节点504A相关联的无线信号覆盖区域可以被称为小区508。
在一些实施例中,非限制性术语“网络节点”被使用,并且其可以对应于可以与诸如用户设备(UE)之类的设备和/或在蜂窝或移动或无线或有线通信系统中的另一网络节点通信的任何类型的无线电接入节点(或无线电网络节点)或任何网络节点。网络节点的示例是NodeB、MeNB、SeNB、属于MCG或SCG的网络节点、基站(BS)、诸如MSR BS之类的多标准无线电(MSR)无线电接入节点、eNodeB、gNB网络控制器、无线电网络控制器(RNC)、基站控制器(BSC)、中继,施主节点控制中继、基站收发台(BTS)、接入点(AP)、传输点,传输节点、RRU、RRH、分布式天线系统(DAS)中的节点、核心网节点(例如MSC、MME等)、O&M、OSS、自组织网络(SON)、定位节点(例如E-SMLC)、MDT、测试设备等。
在一些实施例中,术语“无线电接入技术”(RAT)是指任何RAT,例如UTRA、E-UTRA、窄带物联网(NB-IoT)、WiFi、蓝牙、下一代RAT(NR)、4G、5G等。第一节点和第二节点中的任何一个都能够支持单个或多个RAT。本文中使用的术语“无线电节点”可以用于表示无线设备或网络节点。
在一些实施例中,如本文已经描述的边缘节点或虚拟边缘节点可以与如图10所示的网络节点506和/或无线电节点504并置在一起。最终用户设备502可以是用于经由ISP和/或CDN请求和访问内容的任何有线或无线设备。
图11是根据某些实施例的示例性网络节点600的框图。网络节点600可以包括收发机602、处理器604、存储器606和通信/网络接口608中的一个或多个。在一些实施例中,收发器602有助于向其他节点或实体发送有线/无线信号以及从其他节点或实体接收有线/无线信号(例如,经由发射机(Tx)、接收机(Rx)和天线来实现)。处理器604执行指令以提供上述由网络节点600提供的功能中的一些或全部功能,存储器606存储由处理器604执行的指令。在一些实施例中,处理器604和存储器606形成处理电路。网络接口608向后端网络组件(例如,网关、交换机、路由器、互联网、公共交换电话网(PSTN)、核心网节点或无线电网络控制器等)传送信号。
处理器604可以包括硬件的任何合适的组合,以执行指令和操作数据来执行网络节点600的所述功能中的一些或全部功能,例如上述那些功能。在一些实施例中,处理器604可以包括例如一个或多个计算机、一个或多个中央处理单元(CPU)、一个或多个微处理器、一个或多个专用集成电路(ASIC)、一个或多个现场可编程门阵列(FPGA)和/或其他逻辑。
存储器606一般可操作为存储指令,例如计算机程序、软件,包括逻辑、规则、算法、代码、表格等中的一个或多个在内的应用,和/或能够被处理器执行的其他指令。存储器606的示例包括计算机存储器(例如,随机访问存储器(RAM)或只读存储器(ROM)),大容量存储介质(例如硬盘),可移除存储介质(例如紧凑盘(CD)或数字视频盘(DVD)),和/或存储信息的任何其他易失性或非易失性、非瞬时性计算机可读和/或计算机可执行存储设备。
在一些实施例中,网络接口608通信耦接至处理器604,并且可以指代能够操作用于执行下述操作的任何合适的设备:接收网络节点600的输入,从网络节点600发送输出,执行对输入或输出或这二者的合适处理,与其他设备通信,或前述任何组合。网络接口608可以包括含有协议转换和数据处理能力的适当硬件(例如,端口、调制解调器、网络接口卡等)和软件,以便通过网络进行通信。
网络节点600的其他实施例可以包括除图11中所示的组件外的附加组件,所述附加组件可以负责提供网络节点的功能的某些方面,所述功能包括上述的功能中的任一者和/或任何附加功能(包括支持上述的方案所需的任何功能)。各种不同类型的网络节点可以包括具有相同物理硬件但被配置为(例如经由编程)支持不同无线电接入技术的组件,或者可以表示部分或整体不同的物理组件。
在一些实施例中,网络节点600(可以是例如边缘节点或虚拟边缘节点)可以包括被配置为实现上述网络节点600的功能的一系列模块。参考图12,在一些实施例中,网络节点600可以包括:确定模块610,用于确定是否处理分组/会话;卸载模块612,用于卸载分组;以及引导模块614,用于将被卸载的分组发送给后续节点。
应该理解,各种模块可以被实现为硬件和软件的组合,例如,图11中所示的网络节点600的处理器、存储器和收发机。一些实施例还可以包括附加模块以支持附加和/或可选的功能。
一些实施例可以被表示为存储在机器可读介质(也称为计算机可读介质、处理器可读介质、或其中体现有计算机可读程序代码的计算机可用介质)中的软件产品。机器可读介质可以是任何合适的有形介质,包括磁、光或电存储介质(包括磁盘、紧凑盘只读存储器(CD-ROM)、数字多功能盘只读存储器(DVD-ROM)存储设备(易失性或非易失性的)、或类似的存储机械)。机器可读介质可以包含指令、代码序列、配置信息或其他数据的各种集合,这些指令、代码序列、配置信息或其他数据在被执行时使处理电路(例如处理器)执行根据一个或多个实施例的方法中的步骤。本领域普通技术人员将意识到,实现所描述的实施例所必需的其他指令和操作也可以存储在机器可读介质上。从机器可读介质运行的软件可以与电路交互以执行所描述的任务。
上述实施例仅旨在作为示例。在不脱离本描述的范围的情况下,本领域技术人员可以对特定实施例进行改变、修改和变化。
Claims (22)
1.一种由虚拟边缘节点VEN执行的方法,所述方法包括:
接收指示会话的分组;
确定所指示的会话是已建立的会话;
确定所述VEN是否应处理所述分组;
响应于确定卸载所述分组,修改所述分组以包括卸载状态指示符和与所述会话相关联的上下文信息中的至少一个;以及
将经修改的分组发送给后续的VEN。
2.根据权利要求1所述的方法,其中,所述会话是传输层安全性TLS会话和传输控制协议TCP会话中的至少一种。
3.根据权利要求1至2中任一项所述的方法,还包括,解密所述会话。
4.根据权利要求1至3中任一项所述的方法,其中,确定所指示的会话是已建立的会话包括:确定所述VEN具有与所述会话相关联的上下文信息。
5.根据权利要求1至4中任一项所述的方法,还包括:根据与所述分组相关联的最终用户和内容请求中的至少一个来确定卸载所述分组。
6.根据权利要求1至5中任一项所述的方法,还包括:根据与所述VEN相关联的资源带宽来确定卸载所述分组。
7.根据权利要求1至6中任一项所述的方法,其中,修改所述分组包括:封装所接收的分组,并且将所述卸载状态指示符和所述上下文信息中的所述至少一个作为元数据添加。
8.根据权利要求1至7中任一项所述的方法,还包括:接收指示所述已建立的会话的第二分组,并且确定由所述VEN处理所述第二分组。
9.根据权利要求8所述的方法,还包括:确定所述第二分组需要安全性策略的实施。
10.根据权利要求9所述的方法,其中,确定所述第二分组需要安全性策略的实施是根据与所述第二分组相关联的最终用户和内容请求中的至少一个做出的。
11.根据权利要求9至10中任一项所述的方法,还包括:在所述VEN中实例化至少一个服务功能以用于实施所述安全性策略。
12.一种虚拟边缘节点VEN,包括:
处理器;以及
存储器,所述存储器存储有指令,所述指令当由所述处理器执行时将所述VEN配置为执行操作,所述操作包括:
接收指示会话的分组;
确定所指示的会话是已建立的会话;
确定所述VEN是否应处理所述分组;
响应于确定卸载所述分组,修改所述分组以包括卸载状态指示符和与所述会话相关联的上下文信息中的至少一个;以及
将经修改的分组发送给后续的VEN。
13.根据权利要求12所述的VEN,其中,所述会话是传输层安全性TLS会话和传输控制协议TCP会话中的至少一种。
14.根据权利要求12至13中任一项所述的VEN,所述操作还包括:解密所述会话。
15.根据权利要求12至14中任一项所述的VEN,其中,确定所指示的会话是已建立的会话包括:确定所述VEN具有与所述会话相关联的上下文信息。
16.根据权利要求12至15中任一项所述的VEN,所述操作还包括:根据所述分组相关联的最终用户和与内容请求中的至少一个来确定卸载所述分组。
17.根据权利要求12至16中任一项所述的VEN,所述操作还包括:根据与所述VEN相关联的资源带宽来确定卸载所述分组。
18.根据权利要求12至17中任一项所述的VEN,其中,修改所述分组包括:封装所接收的分组,并且将所述卸载状态指示符和所述上下文信息中的所述至少一个作为元数据添加。
19.根据权利要求12至18中任一项所述的VEN,所述操作还包括:接收指示所述已建立的会话的第二分组,并且确定由所述VEN来处理所述第二分组。
20.根据权利要求19所述的VEN,所述操作还包括:确定所述第二分组需要安全性策略的实施。
21.根据权利要求20所述的VEN,其中,确定所述第二分组需要安全性策略的实施是根据与所述第二分组相关联的最终用户和内容请求中的至少一个做出的。
22.根据权利要求20至21中任一项所述的VEN,所述操作还包括:在所述VEN中实例化至少一个服务功能以用于实施所述安全性策略。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201762607057P | 2017-12-18 | 2017-12-18 | |
| US62/607,057 | 2017-12-18 | ||
| PCT/IB2018/060283 WO2019123273A1 (en) | 2017-12-18 | 2018-12-18 | Virtual edge node as a service |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111492636A CN111492636A (zh) | 2020-08-04 |
| CN111492636B true CN111492636B (zh) | 2023-01-13 |
Family
ID=65278413
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880081291.8A Active CN111492636B (zh) | 2017-12-18 | 2018-12-18 | 虚拟边缘节点即服务 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11343322B2 (zh) |
| EP (1) | EP3729777A1 (zh) |
| CN (1) | CN111492636B (zh) |
| WO (1) | WO2019123273A1 (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11930439B2 (en) | 2019-01-09 | 2024-03-12 | Margo Networks Private Limited | Network control and optimization (NCO) system and method |
| US11386339B2 (en) | 2019-02-26 | 2022-07-12 | Global Elmeast Inc. | Artificial intelligence delivery edge network |
| CN112134810B (zh) * | 2020-09-22 | 2022-04-15 | 中国人民解放军国防科技大学 | 一种基于fpga硬件加速的nfv网络流量分类方法 |
| US12062068B2 (en) | 2021-05-04 | 2024-08-13 | Margo Networks Pvt. Ltd. | Oneapp system and method |
| US11695855B2 (en) | 2021-05-17 | 2023-07-04 | Margo Networks Pvt. Ltd. | User generated pluggable content delivery network (CDN) system and method |
| WO2023224680A1 (en) | 2022-05-18 | 2023-11-23 | Margo Networks Pvt. Ltd. | Peer to peer (p2p) encrypted data transfer/offload system and method |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015140695A1 (en) * | 2014-03-17 | 2015-09-24 | Ericsson Ab | Bandwidth management in a content distribution network |
| EP3152886A1 (en) * | 2014-06-05 | 2017-04-12 | Microsoft Technology Licensing, LLC | Load balancing with layered edge servers |
Family Cites Families (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030236745A1 (en) * | 2000-03-03 | 2003-12-25 | Hartsell Neal D | Systems and methods for billing in information management environments |
| JP2006502465A (ja) * | 2002-01-11 | 2006-01-19 | アカマイ テクノロジーズ インコーポレイテッド | コンテンツ配信ネットワーク(CDN)で使用するためのJavaアプリケーションフレームワーク |
| US20050005025A1 (en) * | 2003-07-04 | 2005-01-06 | Michael Harville | Method for managing a streaming media service |
| WO2007047479A2 (en) * | 2005-10-12 | 2007-04-26 | Hammerhead Systems | Control plane to data plane binding |
| US7660296B2 (en) * | 2005-12-30 | 2010-02-09 | Akamai Technologies, Inc. | Reliable, high-throughput, high-performance transport and routing mechanism for arbitrary data flows |
| WO2009092441A1 (en) * | 2008-01-23 | 2009-07-30 | Telefonaktiebolaget Lm Ericsson (Publ) | Selection of an edge node in a fixed access communication network |
| US8982738B2 (en) * | 2010-05-13 | 2015-03-17 | Futurewei Technologies, Inc. | System, apparatus for content delivery for internet traffic and methods thereof |
| WO2012092423A2 (en) * | 2010-12-31 | 2012-07-05 | Akamai Technologies, Inc. | Extending data confidentiality into a player application |
| US9001733B2 (en) * | 2012-07-17 | 2015-04-07 | International Business Machines Corporation | Offloading running a needed edge application to a neighboring basestation in a mobile data network |
| US20140045486A1 (en) * | 2012-08-07 | 2014-02-13 | International Business Machines Corporation | Cooperative mobility management in a mobile data network with data breakout at the edge |
| US9374276B2 (en) * | 2012-11-01 | 2016-06-21 | Microsoft Technology Licensing, Llc | CDN traffic management in the cloud |
| US9100285B1 (en) * | 2012-12-18 | 2015-08-04 | Juniper Networks, Inc. | Dynamic control channel establishment for software-defined networks having centralized control |
| US8879551B2 (en) * | 2013-02-22 | 2014-11-04 | International Business Machines Corporation | Collection of subscriber information for data breakout in a mobile data network |
| US9325581B2 (en) | 2013-04-02 | 2016-04-26 | International Business Machines Corporation | Context-aware management of applications at the edge of a network |
| EP3036938A4 (en) * | 2013-08-23 | 2017-04-12 | Samsung Electronics Co., Ltd. | Mobile software defined networking (mobisdn) |
| US9571540B2 (en) * | 2013-09-19 | 2017-02-14 | Verizon Patent And Licensing Inc. | Broadcast/multicast offloading and recommending of infrastructural changes based on usage tracking |
| US9332046B2 (en) * | 2013-10-17 | 2016-05-03 | Cisco Technology, Inc. | Rate-adapted delivery of virtual desktop image elements by an edge server in a computer network environment |
| US9813343B2 (en) * | 2013-12-03 | 2017-11-07 | Akamai Technologies, Inc. | Virtual private network (VPN)-as-a-service with load-balanced tunnel endpoints |
| US20150341285A1 (en) * | 2014-05-22 | 2015-11-26 | Akamai Technologies, Inc. | Metadata transport between mobile network core and external data network |
| US9871850B1 (en) * | 2014-06-20 | 2018-01-16 | Amazon Technologies, Inc. | Enhanced browsing using CDN routing capabilities |
| CN105227535B (zh) * | 2014-07-01 | 2019-12-06 | 思科技术公司 | 用于边缘缓存和客户端设备的装置及方法 |
| GB2533434A (en) * | 2014-12-16 | 2016-06-22 | Cisco Tech Inc | Networking based redirect for CDN scale-down |
| US10148727B2 (en) * | 2014-12-31 | 2018-12-04 | Vidscale Services, Inc. | Methods and systems for an end-to-end solution to deliver content in a network |
| US10091111B2 (en) * | 2014-12-31 | 2018-10-02 | Vidscale Services, Inc. | Methods and systems for an end-to-end solution to deliver content in a network |
| US10904229B2 (en) * | 2015-12-29 | 2021-01-26 | Akamai Technologies, Inc. | Caching content securely within an edge environment, with pre-positioning |
| US10904332B2 (en) * | 2015-12-29 | 2021-01-26 | Akamai Technologies, Inc. | Caching content securely within an edge environment |
| US10630576B2 (en) * | 2016-08-05 | 2020-04-21 | Huawei Technologies Co., Ltd. | Virtual network routing to dynamic end point locations in support of service-based traffic forwarding |
| US10356197B2 (en) * | 2016-11-21 | 2019-07-16 | Intel Corporation | Data management in an information-centric network |
| US10542057B2 (en) * | 2016-12-30 | 2020-01-21 | Akamai Technologies, Inc. | Multicast overlay network for delivery of real-time video |
| WO2018128597A1 (en) * | 2017-01-03 | 2018-07-12 | Intel Corporation | Cross-device segmentation offload |
| US10945166B2 (en) * | 2017-04-07 | 2021-03-09 | Vapor IO Inc. | Distributed processing for determining network paths |
| WO2019111033A1 (en) * | 2017-12-04 | 2019-06-13 | Telefonaktiebolaget Lm Ericsson (Publ) | Automatic provisioning of streaming policies for video streaming control in cdn |
| EP3759887A4 (en) * | 2018-02-26 | 2022-03-09 | Charter Communications Operating, LLC | DEVICE AND METHOD FOR DIRECTION AND DELIVERY OF CONTENT PACKAGES |
| US11490307B2 (en) * | 2018-12-12 | 2022-11-01 | Akamai Technologies, Inc. | Intelligently pre-positioning and migrating compute capacity in an overlay network, with compute handoff and data consistency |
-
2018
- 2018-12-18 EP EP18842839.5A patent/EP3729777A1/en active Pending
- 2018-12-18 CN CN201880081291.8A patent/CN111492636B/zh active Active
- 2018-12-18 WO PCT/IB2018/060283 patent/WO2019123273A1/en unknown
- 2018-12-18 US US16/955,419 patent/US11343322B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015140695A1 (en) * | 2014-03-17 | 2015-09-24 | Ericsson Ab | Bandwidth management in a content distribution network |
| EP3152886A1 (en) * | 2014-06-05 | 2017-04-12 | Microsoft Technology Licensing, LLC | Load balancing with layered edge servers |
Also Published As
| Publication number | Publication date |
|---|---|
| US11343322B2 (en) | 2022-05-24 |
| WO2019123273A1 (en) | 2019-06-27 |
| US20210006625A1 (en) | 2021-01-07 |
| CN111492636A (zh) | 2020-08-04 |
| EP3729777A1 (en) | 2020-10-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111492636B (zh) | 虚拟边缘节点即服务 | |
| US20210234860A1 (en) | Securing local network traffic using cloud computing | |
| US20220408255A1 (en) | Zero-Trust Enabled Workload Access for User Equipment | |
| US20130311614A1 (en) | Method for retrieving content and wireless communication device for performing same | |
| EP3485608B1 (en) | Methods and servers for managing traffic steering policies | |
| US11962589B2 (en) | Disaster recovery for a cloud-based security service | |
| US12101318B2 (en) | Adaptive multipath tunneling in cloud-based systems | |
| US10070348B2 (en) | Hypertext transfer protocol support over hybrid access | |
| US20190158542A1 (en) | Intra-carrier and inter-carrier network security system | |
| US11533197B2 (en) | Network layer performance and security provided by a distributed cloud computing network | |
| US11895149B2 (en) | Selective traffic processing in a distributed cloud computing network | |
| US12010553B2 (en) | Cloud-based 5G security network architectures with intelligent steering | |
| US20220286428A1 (en) | Cloud-based 5G security network architectures with workload isolation | |
| US20240267783A1 (en) | Zero-trust connectivity for Subscriber Identity Module (SIM) enabled equipment | |
| US11765593B2 (en) | Cloud-based 5G security network architectures | |
| Dzogovic et al. | Zero-trust cybersecurity approach for dynamic 5g network slicing with network service mesh and segment-routing over ipv6 | |
| US20240031455A1 (en) | Systems and methods for in-transit protocol translation | |
| US20220286854A1 (en) | Secure edge workload steering and access | |
| US20220286912A1 (en) | 5G UDM to IDP federation and identity function | |
| US20220286429A1 (en) | Cloud-based 5G security network architectures with secure edge steering | |
| CN107113248B (zh) | 自适应速率控制和业务管理的系统和方法 | |
| US20220286894A1 (en) | Intelligent steering in 5G | |
| US20240356849A1 (en) | Application-Agnostic Puncturing of Network Address Translation (NAT) Services | |
| Mohammed | Research on Cybersecurity Threats and Solutions in Edge Computing | |
| WO2023020747A1 (en) | FIRST NODE, SECOND NODE, THIRD NODE, COMMUNICATIONS SYSTEM, AND METHODS PERFORMED THEREBY FOR HANDLING A DENIAL OF SERVICES (DoS)ATTACK |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |