CN111684775B - 用于为数据中心提供安全性服务的方法、装置和计算机可读介质 - Google Patents
用于为数据中心提供安全性服务的方法、装置和计算机可读介质 Download PDFInfo
- Publication number
- CN111684775B CN111684775B CN201880088692.6A CN201880088692A CN111684775B CN 111684775 B CN111684775 B CN 111684775B CN 201880088692 A CN201880088692 A CN 201880088692A CN 111684775 B CN111684775 B CN 111684775B
- Authority
- CN
- China
- Prior art keywords
- packet
- data
- security
- label
- tag
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
- H04L12/4645—Details on frame tagging
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/302—Route determination based on requested QoS
- H04L45/306—Route determination based on the nature of the carried application
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开的实施例涉及一种用于为数据中心提供安全性服务的方法、装置和计算机可读介质。根据该方法,接收终止于或源自于数据中心的分组。确定针对该分组的至少一个标签,标签指示针对该分组的安全性要求。基于至少一个标签,选择针对该分组的安全性服务链,安全性服务链包括被部署在数据中心中并且要被应用于分组的安全性功能的有序集合。将该分组与至少一个标签相关联地传输到所选择的安全性服务链,该分组由安全性服务链中的安全性功能的有序集合来处理。
Description
技术领域
本公开的实施例总体上涉及安全性服务提供领域,特别涉及用于为数据中心提供安全性服务的方法、装置和计算机可读介质。
背景技术
随着网络功能虚拟化(NFV)、软件定义网络(SDN)和服务功能链(SFC)的新技术的发展,对于运营商而言,为了使网络可编程以及节省成本,网络转型可能是不可避免的。因此,基于这些新技术,可以迅速方便地部署越来越多的应用。
SFC技术使服务提供商能够动态地递送端到端服务而不必更改基础网络拓扑。安全性是使用SFC成功部署应用的挑战之一,因为应用(尤其是用于数据中心的应用)的不同类型的数据需要不同类型的安全性。然而,针对使用SFC的应用仅有很少的安全性保护的研究。
通常,为了防御快速增长和演化的攻击(诸如恶意软件、分布式拒绝服务(DDoS)和冒名顶替),针对具有不同安全性要求的应用的静止中的数据、使用中的数据和/或运送中的数据,必须动态、灵活且自适应地提供定制化安全性服务或特征。然而,传统的安全性设施(例如防火墙、入侵检测系统(IDS)、深度分组检查(DPI))被实现为基于硬件的中间盒并且被放置在网络中的固定位置上,因此很难满足针对基于上面提及的新技术的对不同数据的不同安全性要求。
发明内容
总体上,本公开的示例实施例提供了一种用于为数据中心提供安全性服务的解决方案。
在第一方面,提供了一种为数据中心提供安全性服务的方法。该方法包括接收终止于或源自于数据中心的分组。该方法包括确定针对该分组的至少一个标签,每个标签指示该分组的安全性要求,以及基于至少一个标签,选择针对该分组的安全性服务链,该安全性服务链包括被部署在该数据中心中并且要被应用于该分组的安全性功能的有序集合。该方法还包括将该分组与至少一个标签相关联地传输到所选择的安全性服务链,该分组由安全性服务链中的安全性功能的有序集合来处理。
在第二方面,提供了一种用于为数据中心提供安全性服务的装置。该装置包括:处理器;和存储器,该存储器耦合到处理器,并且存储器上存储指令,该指令在由处理器执行时使装置执行动作。这些动作包括接收终止于或源自于数据中心的分组。这些动作包括确定针对该分组的至少一个标签,每个标签指示该分组的安全性要求,以及基于至少一个标签,选择针对该分组的安全性服务链,该安全性服务链包括被部署在该数据中心中并且要被应用于该分组的安全性功能的有序集合。这些动作还包括将分组与至少一个标签相关联地传输到所选择的安全性服务链,该分组由安全性服务链中的安全性功能的有序集合来处理。
在第三方面,提供了一种其上存储有指令的计算机可读介质。所述指令在至少一个处理器上被执行时使所述至少一个处理器执行根据第一方面的方法。
在第四方面,提供了一种计算机程序产品,其被有形地存储在计算机可读存储介质上。该计算机程序产品包括指令,该指令在至少一个处理器上被执行时使至少一个处理器执行根据第一方面的方法。
通过以下描述,本公开的其他特征将变得容易理解。
附图说明
通过对附图中本公开的一些实施例的更详细描述,本公开的上述和其他目的、特征和优点将变得更加明显,其中:
图1是在其中可以实现本公开的实施例的用于提供安全性服务的示例系统的框图;
图2是根据本公开的一些实施例的图1的分类器的框图;
图3是根据本公开的一些实施例的数据标记方案300的示意图;
图4是具有固定长度上下文报头的传统网络服务报头(NSH)的结构的示例;
图5A是根据本公开的一些实施例的具有固定长度上下文报头的NSH的结构的示例;
图5B是根据本公开的一些实施例的固定长度上下文报头的结构的示例;
图6是根据本公开的一些实施例的包括数据标签的有效载荷部分的结构的示例;
图7A至图7C是根据本公开的一些实施例的在图1的系统中的支持安全性服务链(SSC)的域内的处理的示例;
图8至图12是根据本公开的一些实施例的可以向不同分组提供定制化安全性服务的一些示例场景;
图13是根据本公开的一些实施例的为数据中心提供安全性服务的示例方法的流程图;和
图14是用于实现示例设备的示意框图,该示例设备用于实现本公开的实施例。
在所有附图中,相同或相似的附图标记表示相同或相似的元件。
具体实施方式
现在将参考一些示例实施例描述本公开的原理。应当理解,这些实施例仅仅是出于说明的目的而被描述,并且有助于本领域技术人员理解和实现本公开,而没有暗示对本公开范围的任何限制。可以以与以下描述的方式不同的各种方式来实现本文所描述的公开。
在以下描述和权利要求中,除非另有定义,否则本文中使用的所有技术和科学术语具有与本公开所属领域的普通技术人员通常所理解的相同含义。
如在本文中使用的,除非上下文另外明确指出,否则单数形式“一”、“一个”和“该”也旨在包括复数形式。术语“包括”及其变型应被解读为开放术语,其意指“包括但不限于”。术语“基于”应被解读为“至少部分地基于”。术语“一个实施例”和“一实施例”应被解读为“至少一个实施例”。术语“另一个实施例”应被解读为“至少一个其他实施例”。术语“第一”、“第二”等等可以是指不同或相同的对象。下文中可能包括其他显式和隐式的定义。
在一些示例中,值、过程或装置被称为“最佳”、“最低”、“最高”、“最小”、“最大”等。应当理解,这样的描述旨在指示可以在各种使用的功能备选中进行选择,并且这样的选择不需要比其他选择更好、更小、更高或者以其他方式优选。
图1示出了在其中可以实现本公开的实施例的用于提供安全性服务的示例系统100。系统100包括一个或多个控制器102,其可以跨一个或多个物理主机和/或一个或多个虚拟主机分布。控制器102被配置为控制和配置数据中心101内的功能节点。在图1中,控制器102负责通过创建和暴露安全性服务链(SSC)来管理安全性服务,并且因此其被称为SSC控制器102。
安全性服务链(SSC)是一种类型的服务功能链(SFC),它定义了有序安全性策略和安全性功能的有序集合,这些安全性功能和策略必须被应用于分组和/或流,分组和/或流是分类后选择出来的。SSC使安全性服务提供商能够管理和操作独立的安全性服务,并且能够提供定制化安全性服务,这样的定制化安全性服务可以被集成到诸如智能传送系统(ITS)、视频服务和位置服务之类的其他服务中。以此方式,服务提供商(例如ITS服务提供商、视频服务提供商、位置服务提供商等)可以主要关注于他们自己的基本服务逻辑,并从安全性服务提供商那里获得专业的安全性服务以便向终端用户提供安全的服务。
如图1所图示的,可以在其中建立一个或多个SSC的数据中心被称为支持安全性服务链(SSC)的域或数据中心101。支持SSC的数据中心101包括:存储系统130、一个或多个功能节点以及连接该存储系统和功能节点的网络。在一些示例中,一个或多个数据收集点可以收集要被存储到存储系统130的数据,这样的数据收集点可以被部署在支持SSC的域/数据中心101内部或外部。支持SSC的域/数据中心101可以为被存储到存储系统130的数据或从存储系统130获得的数据提供安全性保护。存储系统130可以包括一个或多个物理存储设备来存储数据,该数据可以在地理上被分布在同一位置或不同位置(在基于云的存储的情况下)。
在支持SSC的域/数据中心101中,存在部署在其中的多个安全性功能(SF)120-1至120-4和相关联的服务功能转发器(SFF)110-1至110-4,以及一个或多个分类器104-1、104-2。为了讨论的清楚,SF 120-1至120-4可以被单独或统称为SF 120,SFF 110-1至110-4可以被单独或统称为SFF 110,并且分类器104-1、104-2可以单独或统称为分类器104。
SF 120是指负责接收到的分组的特定安全性保护的服务功能。服务功能可以在协议栈的各个层处起作用(例如,在网络层或其他OSI层处)。作为逻辑组件,服务功能可以被实现为虚拟元件或被嵌入到物理网络元件中。一个或多个服务功能可以被嵌入在同一网络元件中。服务功能的多个出现可以存在于同一管理域中。在增值服务的递送中可能涉及一个或多个服务功能。在支持SSC的域中,SF 120提供安全性保护的服务功能性,其示例包括但不限于防火墙、访问控制、实体认证、统一威胁管理(UTM)、入侵检测系统(IDS)、入侵防御系统(IPS)、虚拟专用网(VPN)、安全网关、深度分组检查(DPI)、合法拦截(LI)、业务清理、数据完整性验证、数据机密性保护、数据脱敏、数据加密、数据解密,等等。
在一些实施例中,SSC可以包括被部署在支持SSC的数据中心101的网络中的一个或多个安全性功能。SSC中的安全性功能可以按某种顺序部署,以处理在网络中传送的分组的数据。除安全性功能外,在一些实施例中,SSC还可以包括其他服务功能(诸如数据挖掘、数据分析和数据共享),以为分组提供对应的服务。
SFF 110是指服务功能转发器,其负责根据在SFC封装中携带的信息来将业务转发到相连的一个或多个服务功能,并且处理从SF返回来的业务。此外,在需要和支持的情况下,SFF负责将业务递送到分类器,将业务传送到另一个SFF(以相同或不同类型的叠加),并且终止服务功能路径(SFP)。SFF 110的SFF转发策略可以由SSC控制器102生成、获得或更新。
分类器104是对任何接收到的分组或数据执行分类的虚拟功能或物理元件。分类策略可以由SSC控制器102提供。分类器104可以确定接收到的分组将通过哪个SSC传递。图1示出了两个示例SSC 140和142。分类器104-1在分组入口处接收到数据分组,并将其提供到SSC 140中,这涉及SFF 110-1、SF 120-1、SFF 110-2、和SF 120-2。为了安全性保护,数据由SF 120-1、120-2处理。如果从存储系统130中读取数据分组,则分类器104-2接收该分组并将其提供到SSC 142中,这涉及SFF 110-3、SF 120-3、SFF 110-4和SF 120-4。为了安全性保护的目的,分组中的数据由SF 120-3、120-4处理。
应当理解,图1中的架构仅作为示例进行说明。在一些其他示例中,系统100中可以有更多、更少或不同的逻辑功能。在一些示例中,可以将诸如分类器、SF和/或SFF之类的一些逻辑功能实现为相同的逻辑功能或实现在相同的物理元件中。尽管被示为分离的路径,但是SCC 140和142可以包括一些重叠的安全性功能,以对存储系统130的传入和传出分组应用相同的安全性保护。
通常,数据中心的数据服务提供商(DSP)通过收集来自各种数据资源(诸如医疗保健、公共安全、房地产、交通运输和实用程序)的多样性数据,向垂直市场提供数据服务(诸如基于云的数据服务)。为了从存储的数据中获取利润,DSP分析原始数据并为其客户提供增值服务,并在垂直市场中与合作伙伴和客户共享分析/处理的数据。以此方式,合作伙伴和客户可以进一步执行数据挖掘并提供增值服务(例如,针对个人的广告、市场趋势分析)。然而,数据存储、数据挖掘、数据分析和数据共享应满足安全性要求和法规要求,诸如GDPR(通用数据保护法规)和网络安全法。
当前,数据中心行业具有各种安全性解决方案,为静止中的数据(所存储的数据)和使用中的数据(要访问的数据)提供安全性保护。对于DSP而言也非常重要的是,为诸如从收集点到数据中心的数据传送或数据中心内/跨数据中心的数据传送之类的运送中的数据提供定制化安全性保护。例如,某些数据在传送期间仅需要完整性保护,而某些数据在传送期间既需要完整性又需要机密性保护。尽管已使用某些安全性机制(诸如VPN(虚拟专用网络))来为运送中的数据提供安全性保护,但是具有不同安全性要求的所有数据都以相同的安全性级别进行保护(例如,使用相同的安全性算法、相同的加密密钥、相同的完整性密钥、相同的安全性过滤策略等等),这无法满足高度敏感数据的安全性要求。此外,由于没有逻辑数据隔离,从而VPN客户端和服务器能够知道所有数据,因此可能存在中间人攻击。有时,可能还需要在逻辑上或物理上存储和隔离不同类型的数据,包括公共和秘密信息。
此外,DSP可以提供基于云的数据服务,并存储具有多样性数据格式的数据,多样性数据格式采用不同的已有安全性解决方案来为静止中的数据和使用中的数据提供安全性保护。因此,对于DSP而言,创建统一的机制以实现数据互操作性或者在具有不同数据安全性标签的以不同数据格式存储的数据之间实现分布式数据组合是非常重要的。此外,一些DSP提供基于云的数据服务,并存储具有某些数据格式(诸如某些自定义数据库)的数据,这些数据格式没有针对静止中的数据或使用中数据的可行安全性保护解决方案。对于那些DSP而言,还希望创建数据标记方案,其对静止中的数据、使用中的数据以及运送中的数据实现安全性保护。
根据本公开的实施例,提出了一种用于为数据中心提供安全性服务的解决方案。根据该解决方案,提供了统一的数据标记方案以标记终止于存储系统或源自于存储系统的分组。针对分组所确定的每个标签指示针对该分组的安全性要求。在所确定的一个或多个标签的基础上,选择针对分组的安全性服务链(SSC)。SSC包括被部署在存储系统的网络中并且要被应用于分组的安全性功能的有序集合。然后,分组被传送到SSC,并由SSC中的该组安全性功能处理。以此方式,期望为具有不同安全性要求的存储系统的分组动态、灵活且自适应地提供定制化安全性服务或特征。
本公开的实施例可以在提供联网安全性保护功能的系统(例如图1的系统100)中实现。更具体地,可以在图1的系统100中实现数据标记方案。在一些实施例中,系统100可以包括数据标签代理,用于为接收到的分组实施数据标记方案。如图2中所示,分类器104可以包括数据标签代理202,以确定针对该分组的一个或多个标签。如果终止于或源自于数据中心101的分组被接收到,分类器104中的数据标签代理202确定针对该分组的一个或多个标签,每个标签指示针对该分组的安全性要求。一个或多个标签可以由分类器104用来选择SSC,该分组要被传输到该SSC。在支持SSC的域/数据中心101中可能已经建立了一个或多个SSC。如果所选择的SSC未被建立,则SSC控制器102可以控制SSC的建立。
应当理解,尽管数据标签代理202被图示为被包括在分类器104中,但是在一些其他实施例中,数据标签代理202和分类器104可以被实现为单独的功能。数据标签代理202和分类器104可以被部署在同一主机中或者作为单独的功能而被实现在独立的主机中。在后一种情况下,数据标签代理202可以在支持SSC的域/数据中心101中被部署在分类器104上游。以此方式,数据标签代理202可以接收分组并且确定针对分组的一个或多个标签。然后,所确定的一个或多个标签可以被分类器104用来选择针对该分组的SSC。
分类器104可以接收包括要被存储到存储系统130中的数据的分组,或者包括从存储系统130读取的已存储数据的分组。分类器104还可以接收包括对存储在存储系统130中的数据的访问请求的分组。接收到的分组可以包括认证和/或授权数据。针对分组所确定的一个或多个标签被用来确保可以安全地处理包括在该分组中的数据或由该分组访问的数据。因此,由分类器104中的数据标签代理202确定的标签有时可以被称为数据标签。
根据本公开的实施例,当基于由数据标签代理202确定的一个或多个标签来选择SSC时,SSC可以被选择为使得有序集合中的至少一个安全性功能可以被应用以将该分组处理得满足由所确定的一个或多个标签指示的安全性要求。在本公开的一些实施例中,系统100中可以存在一组预定义标签,每个预定义标签指示特定安全性要求。分类器104可以为接收到的分组选择一个或多个预定义标签。可以定义标签的不同子集,以从不同方面指示针对该分组的安全性要求。下面将详细讨论由预定义标签指示的安全性要求以及如何通过选择对应的SSC来满足安全性要求。
图3示出了根据本公开的一些实施例的数据标记方案300的示例。如图3中所示,数据标签310可以被划分为数据安全性标签子集320、数据格式标签子集330、数据分段标签子集340和其他数据标签350。数据安全性标签320可以被划分为针对运送中的数据的安全性级别标签子集322、针对静止中的数据的安全性级别标签子集324和针对使用中的数据的安全性级别标签子集326。数据分段标签340可以被划分为行业类型标签子集342、技术标签子集344和地理标签子集346。
针对运送中的数据的不同安全性级别标签322指示针对分组的传输(传送)、特别是针对被包括在分组中的有效载荷的传输的不同安全性要求。根据针对运送中的数据的安全性级别标签322,可以标识用于业务处理的安全性保护是否需要在传送期间被应用于分组,这样的安全性保护诸如是完整性保护、机密性保护、病毒清除和其他安全算法。表1提供了针对运送中的数据的一些安全性级别标签及其相关联的安全性要求的列表。应当理解,在表1中仅出于示例的目的列出了标签和安全性要求。可以预定义不同数目的安全性级别标签和不同的安全性要求,只要这样的安全性要求在数据传送期间需要被满足。
表1:针对运送中的数据的安全性级别标签和相关联的安全性要求的示例
通过基于用于运送中的数据的安全性级别标签选择SSC 322,可以为从数据收集点到存储系统的数据传送、从网络周边到存储系统130的物理存储设备的数据传送以及跨地理分布的存储系统的数据传送提供定制化安全性服务。与仅仅为静止中的数据和使用中的数据提供安全性保护的过渡解决方案相比,针对运送中的数据的安全性级别标签322可以进一步提高数据在传送期间的安全性。
针对静止中的数据的不同安全性级别标签324指示针对数据在存储系统130中的存储的不同安全性要求。如果分组包括要被存储到存储系统130中的数据或者包括从存储系统130获得的数据,则可以为此分组确定安全性级别标签324。根据针对静止中的数据的安全性级别标签324,可以标识用于数据处理的安全性保护是否需要被应用于分组,这样的安全性保护诸如是具有数据完整性验证的存储、具有机密性保护(加密)的存储、数据隐私保护、数据脱敏、存储模式和其他安全算法。以此方式,可以根据安全性级别标签324来将定制化安全性服务和对策应用于静止中的数据。例如,通过基于安全性级别标签324选择SSC,可以基于安全性级别标签324来选择SSC中的一个或多个安全性功能以满足对应的安全性要求。作为另一个示例,SSC被选择以使得SSC连接到数据中心101的存储系统130中这样的存储区域或存储设备,该存储区域或存储设备满足安全性级别标签324指示的对应的安全性要求。
表2提供了针对静止中的数据的一些安全性级别标签及其相关联的安全性要求的列表。应当理解,在表2中仅出于示例目的列出了标签和安全性要求。可以预定义不同数目的安全性级别标签和不同的安全性要求,只要这样的安全性要求对于数据存储是需要被满足的。
表2:针对静止中的数据的安全性级别标签和相关联的安全性要求的示例
针对使用中的数据的不同安全性级别标签326指示针对存储系统130中的数据访问的不同安全性要求。如果分组包括要被存储到存储系统130中的数据或者包括从存储系统130中获得的数据,则可以针对此分组确定安全性级别标签326。根据针对使用中的数据的安全性级别标签326,可以标识在选择SSC时是否需要将与数据访问控制相关的安全性保护应用于分组。表3提供了用于使用中的数据的一些安全性级别标签及其相关联的安全性要求的列表。应当理解,在表3中仅出于示例的目的列出了标签和安全性要求。可以预定义不同数目的安全性级别标签和不同的安全性要求,只要这样的安全性要求对于数据访问需要被满足。
表3:针对使用中的数据的安全性级别标签和相关联的安全性要求的示例
仍参考图3,数据分段标签340可以被划分为行业类型标签子集342、技术标签子集344和地理标签子集346。如果分组包括要被存储到存储系统130中的数据或者包括从存储系统130中获得的数据,则可以针对此分组确定数据分段标签340。在数据分段标签340之中,不同的行业类型标签342可以指示与不同行业类型的数据相关联的不同安全性要求。不同的技术标签344可以指示与数据中心101(更具体地,存储系统130)正使用的用于将数据存储在分组中的不同技术相关联的不同安全性要求。不同的地理标签346可以指示与在分组中的数据被生成和/或存储的不同地理位置相关联的不同安全性要求。在一些实施例中,标签342、344或346可以显式地指示分组中的数据的行业类型、技术或地理位置,并且行业类型、技术或地理位置进而可以隐式地对应于不同的安全性要求。表4提供了行业类型、技术和地理标签的列表。应当理解,在表4中仅出于示例目的列出了标签和安全性要求。可以为不同的行业、不同的技术和不同的地理位置预定义不同数目的标签。
表4:数据分段标签和对应数据分类的示例
在一些实施例中,可以针对一个分组确定不同类型的数据分段标签340。例如,取决于分组中包括的数据的行业、存储技术和地理位置,可以用标签342、344和346中的一个或多个来标记分组。例如,对于存储在AWS中的针对德国公民的医疗保健数据,将对数据标记分段-行业-1、分段-地理-1和分段-技术-2。然而,同一时间只能在同一数据上设置具有同一类型的一个标签。例如,不必在同一数据上同时设置分段-行业-1和分段-行业-2标签。
不同的标签342、344、346可以指示不同的安全性要求,因为来自不同行业、地理、技术和/或其他分段的数据源可以采用不同的策略或约束,尽管它们具有相同的安全性级别标签。因此,如果有标签指示与某个行业、技术或地理位置相关联的安全性要求,这对于后续的安全性保护将是有帮助的。在一些实施例中,来自不同行业的数据的传送、存储和/或访问可能可以遵循不同的行业法规。例如,来自医疗保健/制药行业的数据可能遵循《健康保险可移植性和责任法案》(HIPAA);来自金融业的数据可能遵循《支付卡行业数据安全标准》(PCI-DSS);来自德国的数据可能遵循《通用数据保护法规》(GDRR);来自中国的数据可能遵循《中国网络安全法》;并且存储在云中的数据可能遵循ISO27017。
在一些实施例中,通过用数据分段标签340标记分组,针对静止中的、使用中和运送中的数据,应当将在相关法规中定义的命令和指导应用于数据。例如,诸如防火墙和DPI(深度分组检查)之类的一些安全性功能根据数据分段标签340来扫描分组,然后决定接下来应该执行什么操作(例如,转发、丢弃等等)。根据一些地理区域或国家的法规遵循性,仅通过专用DPI或防火墙扫描金融数据。
在一些实施例中,除被用于为分组选择SSC外,数据分段标签340还可以被用来确定来自不同行业、不同地理位置以及使用不同存储技术存储(或将存储)的数据在被存储和/或被传送时是否可以在逻辑上或在物理上被分离。数据存储和/或传输的限制可以由SSC控制器102控制。
在一个实施例中,具有不同数据分段标签340(指示数据的不同地理位置、用于数据存储的不同存储技术和/或数据的行业类型)的分组可以通过在数据中心101的网络内传输通过不同的网络域,从而在逻辑上或在物理上分离。以此方式,对于具有数据分段标签340的某个分组,可以防止该分组中包括的数据被传输通过如下的网络域,在该网络域中传输具有不同的数据分段标签340的另一个分组。
在一个实施例中,根据数据分段标签340,可以根据一些地理区域或国家中的法规遵循性,在某些区域中限制一些数据。数据分段标签340可以帮助实现对数据传输的这样的限制。具体地,根据为系统100接收到的分组所确定的数据分段标签340,可以防止被包括在该分组中的数据被传输到第一预定地理区域中或被传输到第二预定地理区域之外。例如,根据《中国网络安全法》,在中国生成的数据仅限于被转发到中国。
可替代地或附加地,具有不同数据分段标签340(指示数据的不同地理位置、用于数据存储的不同存储技术和/或数据的行业类型)的分组可以通过被存储到不同的存储区域中,从而在逻辑上或在物理上分离。以此方式,对于具有数据分段标签340的某个分组,可以防止该分组中包括的数据被存储到数据中心101的存储系统130中存储区域,该存储区域用于存储包括具有不同数据分段标签340的另一分组的数据。此外,可以应用基于数据分段标签340在指定的地理位置(特定辖区)中的受限存储。例如,可以防止将具有某个数据分段标签340的分组存储到被禁止的地理位置中的存储区域中。例如,根据某些地理区域或国家的法规遵循性,被标记有某个地理位置的数据不可以被存储到特定地理区域(辖区)之外的存储区域中。作为具体示例,在中国生成的金融数据在传送期间与其他数据业务是隔离的,并被存储在位于中国的隔离的物理存储设备中。
在一些实施例中,可以通过对分组中包括的数据进行分类而容易地确定的数据分段标签340,该数据分段标签340可以被用来帮助确定数据安全性标签320。例如,数据所有者可能不知道如何为他们的数据设置安全性级别,或者无法正确地为其数据设置安全性级别。数据分段标签340可以协助他们自动或手动将分段标签340映射到安全性级别标签(运送中、静止中和/或使用中),因为数据分段标签340可以隐式地指示用于数据的基本/最低安全性要求。例如,患者的医疗记录的数据属于医疗保健分段。根据数据分段标签340,可以将数据安全性标签“安全性-级别-运送-4”322,“安全性-级别-静止-4”324和“安全性-级别-使用-4”326指派给患者的医疗记录的数据,以便遵循HIPAA法规合规和客户安全性要求。以此方式,可以快速确定数据安全性标签。
仍然参考回图3,数据标签310还包括数据格式标签330。不同的数据格式标签330指示分组的格式。来自不同类型的存储系统(数据中心)的分组可以以不同的格式被生成,并且因此可能会使用已有的数据标记方案进行标记。数据格式标签可以被定义为从中获取分组中的数据的数据库的类型。数据库可以支持已有的数据标签方案或本公开中提出的数据标签方案。在本公开的一些实施例中,提出了提供统一的数据标记方案,并且因此,借助于数据格式标签320,可以在已有的数据标签和本公开中提出的那些数据标签之间执行转换。尽管数据格式标签指示了针对分组的安全性要求,但它们还可以帮助提高数据互操作性或分布式数据组合。
应当理解,尽管上面已经讨论了一些数据标签,但可能存在可以被数据标签代理202定义并被用来对分组进行标记的其他数据标签。例如,可以定义一些数据标签以指示数据所有者、数据使用跟踪、数据分发跟踪、数据监视、数据时间戳、数据原始源等等。
在一组预定义的数据标签310中,分类器104中的数据标签代理202可以确定针对分组的以下标签中的一个或多个:第一标签322,其指示针对分组在SSC中的传输的安全性要求;第二标签324,其指示针对数据在存储系统中的存储的安全性要求;第三标签326,其指示针对访问存储系统中的数据的安全性要求;以及一个或多个第四标签(342、344和/或346),其指示与数据的行业类型、由存储系统130用于存储数据所使用的存储技术以及被包括在分组中的数据的地理位置相关联的安全性要求。在一些实施例中,分类器104中的数据标签代理202还可以确定另一标签(数据格式标签330)以指示与从其中接收分组的另一存储系统相关联的分组的格式。如果从数据收集点收集分组中的数据,则可以省略这样的数据格式标签。
在一些实施例中,当分类器104中的数据标签代理202确定针对接收到的分组的一个或多个数据标签310并将该分组传输到基于数据标签310所选择的SSC时,可以与分组相关联地传输所确定的标签。在一些实施例中,一些数据标签310可以由分类器104插入在接收分组的报头中。通常,分组的报头被用于传送并且当分组的有效载荷被存储到存储系统130中时将被丢弃。因此,指示数据传送期间要被满足的安全性要求的一个或多个数据标签310可以被插入分组的报头中,然后分类器104可以传输具有修改后的报头的分组。用于运送中的数据的安全性级别标签322、行业类型标签342、技术标签344和/或地理标签346可以被插入分组的报头中。
在一个示例中,在[IETF draft-ietf-sfc-nsh]中定义的MD类型=0x1的网络服务报头(NSH)(即,固定长度上下文报头)可以作为示例被扩展以支持一个或多个数据标签310的插入。图4图示了具有固定长度上下文报头的传统NSH 400的结构。如图所示,NSH 400包括在NSH基本报头中被标示为“U”的五个未指派比特以及四个固定长度上下文报头1至4。
图5A图示了NSH 500的示例扩展,其中五个未指派比特之一被用来指示该NSH是[IETF draft-ietf-sfc-nsh]中定义的通用NSH还是本发明中的扩展NSH。对于本发明,在一个示例中,选择在NSH基本报头中被标示为“U”的第三个未指派比特并将其标示为“DL”。此外,固定长度上下文报头之一被扩展以支持基于数据标记的定制化数据服务安全性。在图5A的示例中,作为一个示例,固定长度上下文报头2被选择并被用来携带与数据标签310相关的元数据。在一些示例中,与数据标签310相关的NSH也可以被称为标签NSH。
在图5B中图示了包括在NSH 500的固定长度上下文报头2 510中的标签的示例。如图所示,针对运送中的数据的安全性级别标签322、行业类型标签342、技术标签344和/或地理标签346被插入在该固定长度上下文报头中。被用来指示标签的比特数目可以取决于不同类型的标签的总数目。
应当理解,尽管作为示例以上讨论了具有固定长度上下文报头的NSH,但具有MD类型=0x2(具有可变长度上下文报头)的NSH和其他类型的报头也可以被扩展以支持数据标签320。还应当理解,仅出于示例的目的图示了报头的选择和报头中的数据标签的布置,并且可以定义各种其他选择和布置。在一些示例中,如果分类器104中的数据标签代理202未确定一个或多个标签,则分组的报头中的对应比特可以为空。
根据本公开的实施例,通过扩展NSH以将数据标签作为元数据添加到NSH中,可以基于数据标签和扩展的NSH来创建细粒度的安全性服务链(SSC)分类规则。以此方式,可以为带标签的运送中的数据提供定制化安全性服务,例如,当数据从数据收集点被导入到存储系统时,在存储系统的网络周边和数据存储设备之间被传送时,跨地理分布存储系统或各种子系统被传送时。另外,可以通过选择在系统中不同物理存储设备处终止的SSC或被分离的SSC,基于NSH中的标签,在逻辑上或在物理上分离业务。
在一些实施例中,可以将由分类器104中的数据标签代理202确定的一些数据标签310插入在接收到的分组的有效载荷部分中。通常,分组的数据被包括在有效载荷部分中,并且该部分将被存储到存储系统130中。因此,指示在数据存储和/或数据访问期间要满足的安全性要求的一个或多个数据标签310可以被数据标签代理202插入分组的有效载荷部分中。然后,可以由分类器104传输具有修改后的有效载荷的分组。
在一些实施例中,针对静止中的数据的安全性级别标签324、针对使用中的数据的安全性级别标签326、行业类型标签342、技术标签344和/或地理标签346以及数据格式标签330可以被插入分组的有效载荷部分中。与数据标签310相关的数据有效载荷可以被称为标签-P&D。分组的有效载荷中的数据标签310也可以被称为有效载荷元数据和数据库元数据(因为有效载荷可以被存储到存储系统130中)。作为数据库元数据而被添加的数据标签310可以支持对使用中的数据的访问控制。作为有效载荷元数据而被添加的数据标签310可以在传送期间根据这样的数据标签来支持安全性策略实施,并且支持数据标签与数据一起存储在数据库中。在一些实施例中,数据标签310可以作为一个或多个可见或不可见元数据元素被添加到存储系统130中。
图6图示了包括数据标签310的有效载荷部分600的示例。还应当理解,仅出于示例目的图示了有效载荷中的数据标签的布置,并且可以定义各种其他布置。在一些示例中,如果分类器104中的数据标签代理202未确定一个或多个标签,则分组的有效载荷中的对应比特可以为空。
根据本公开的实施例,通过在数据存储期间扩展有效载荷,作为有效载荷元数据和数据库元数据而被添加的数据标签可以在传送期间根据数据标签来支持安全策略实施,并且支持数据标签与数据一起被存储在数据库中。作为数据库元数据而被添加的数据标签可以支持对使用中的数据的访问控制。另外,基于数据库元数据和有效载荷元数据,可以在存储中在逻辑上或在物理上隔离数据。有效载荷中的数据格式标签还可以实现以不同数据格式存储的数据之间的数据互操作性或分布式数据组合。
在一些实施例中,分类器104中的数据标签代理202可以基于以下来确定用于接收分组的一个或多个数据标签:(1)该分组是否包括任何标签以及(2)所包括的标签是否属于本公开的预定义数据标签,诸如图3中所示的那些数据标签。
图7A图示了分类器104接收701不包括标签的分组710的示例。分组710仅包括报头中的正常信息单元(IE)和有效载荷中的数据。可以从数据收集点收集分组710。分类器104中的数据标签代理202可以确定针对分组710的一个或多个数据标签,并将数据标签插入分组710中,以生成分组712。除分组710的原始报头和有效载荷外,分组712在报头中还包括标签-NSH,并且在有效载荷部分中包括标签-P&D。在一些示例中,取决于分类器104中的数据标签代理202针对分组710所确定的标签,可以在分组712中包括标签-NSH和标签-P&D中的一个。
然后,分类器104基于所确定的标签来选择SSC 740,并且将分组712传输702到SSC740中。SSC740包括一个或多个SF 120,以出于安全性保护的目的来处理分组712中的数据有效载荷。SSC 740还包括与SF 120相关联的一个或多个SFF 110,以根据分组的报头将分组712的数据有效载荷转发给相关联的SF 120,并将分组712的处理后的数据有效载荷转发给下一SF 120。通常,SFF 110为了在SF 120之间进行传送的目的而添加报头,并且如果将分组传输到SF 120以进行处理或传输到存储系统130以进行存储,SFF 110将删除报头。因此,SFF 110仅将包括分组712中的有效载荷部分的分组714传输704到存储系统130。将分组714的有效载荷(包括标签-P&D和数据)存储在存储系统130中。
图7B图示了分类器104接收701包括根据本公开定义的一个或多个标签的分组720的示例。可以从存储系统130接收(例如,响应于数据访问请求而从存储系统读取)分组720,并且因此在分组720的有效载荷部分中包括标签-P&D和数据。如图7B中所示,分类器104中的数据标签代理202可以确定一个或多个标签,这些标签指示在支持SSC的域/数据中心101内的传送期间要满足的安全性要求。如上所讨论,这些标签可以作为标签-NSH被插入分组的报头中。在一些示例中,分类器104中的数据标签代理202可以直接确定这样的标签。在其他示例中,分类器104中的数据标签代理202可以将包括在分组720的标签-P&D部分中的标签映射到要被包括在标签-NSH中的标签。分类器104中的数据标签代理202然后可以生成分组722,分组722的报头中包括标签-NSH和其他IE。然后,分组722被传输702到基于标签-NSH选择的SSC 740。在由SSC 740中的SF 120进行处理之后,SFF 110将丢弃分组722的标签-NSH,并将修改后的分组724转发704到支持SSC的域/数据中心101之外。
图7C图示了分类器104接收701包括一个或多个标签的分组730的示例。如果分组730包括根据本公开预定义的标签(例如,包括报头中的标签-NSH和有效载荷中的标签-P&D),该分组可能是从提供有与存储系统130类似的安全性保护的另一存储系统被接收到的。在这样的情况下,分类器104中的数据标签代理202可以在分组732中直接使用分组730中的相同标签,并且分类器104将分组732传输到基于标签选择的SSC 740。如果分组730不包括标签-NSH,则分类器104中的数据标签代理202可以确定用于标签-NSH的一个或多个标签,或者将有效载荷中的标签映射到标签-NSH。
如果分组730包括不与根据本公开预定义的标签相对应的标签(例如,仅包括有效载荷中的标签并且这些标签不对应于以上定义的数据标签),这个分组可能是从与以其他数据标记方案进行操作的其他存储系统中被接收到。在这样的情况下,具有数据标签代理202的分类器104可以将分组730中存在的数据标签映射到本公开中预定义的那些数据标签。尽管包括在有效载荷中的一些已有数据标签有可能仅指示针对静止中和使用中的数据的安全性要求,但这些安全性要求也可以帮助确定由本公开的数据标签所指示的对应要求。在一些实施例中,具有数据标签代理202的分类器104可以维护映射表,该映射表指示本公开中预定义的数据标签与根据已有数据标记方案所定义的那些数据标签之间的映射关系。
具有数据标签代理202的分类器104可以生成包括所确定的标签-NSH和标签-P&D的分组732,并将分组732传输702到所选择的SSC740。在出于安全性保护的目的的业务处理和数据处理之后,SSC 740的SFF 110将具有分组732的数据有效载荷的分组734转发704到存储系统130中。然后,将分组734的有效载荷被存储在存储系统130中。
为了更好地说明本公开的一些实施例,图8至图12图示了一些示例场景,其中根据本公开的数据标记方案可以向不同分组提供定制化安全性服务。在图8至图12的示例中,存储系统130包括两个云存储831和832,其被用来存储不同类型的数据。
图8图示了一个示例,该示例描述了在数据正被导入到存储系统130中时,为运送中和静止中的数据提供定制化安全性服务链。在图8中所示的场景中,接收包括能源/公用事业数据的分组并且这样的能源/公用事业数据要被存储到存储系统130中。分类器104-1接收该分组,并且分类器104-1中的数据标签代理202确定适当的数据标签以用于能源/公用事业数据。根据所确定的数据标签(以及可能的其他分类规则),分类器104-1插入针对运送中的数据的安全性级别标签和针对能源/公用事业数据的行业类型标签。所确定的标签可以由分类器104-1插入分组的报头中。然后,分类器104-1基于所确定的标签来为该分组选择被部署在支持SSC的域/数据中心101中的SSC 802。SSC 802由防火墙821的安全性功能->数据脱敏824的安全性功能->数据完整性825的安全性功能->云存储831来表示。
分类器104-1将包括能源/公用事业数据的分组传输到SSC 802中。在SSC 802中,能源/公用事业数据例如由防火墙821检查,以确保能源/公用事业数据的来源正确。能源/公用事业数据中包括的用户敏感信息(例如,用户名、家庭地址)已由安全性功能“数据脱敏824”删除(例如,以确保用户隐私被保护)。由安全性功能“数据完整性825”生成和添加完整性保护代码(例如,以确保静止中的数据不被非法用户或应用修改,以此方式可以正确生成公用事业的账单)。能源/公用事业数据随后被存储在云存储831中。
在支持SSC的域/数据中心101中存在备选的SSC 801(防火墙821的安全性功能->DPI 822的安全性功能->业务清理823的安全性功能->数据脱敏824的安全性功能->数据完整性826的安全性功能->云存储831)。SSC 801和SSC 802之间的区别是在将能源/公用事业数据存储在云存储831中之前是否要移除包括病毒或恶意软件在内的有害数据。如果基于其他分类规则确定需要删除病毒或恶意软件,SSC 801可以被选择。因此,基于数据标签的分类策略可以与其他分类策略很好地协同工作,而没有任何影响。
在一些情况下,如果接收到的分组包括医疗保健/制药数据,则分类器可以确定针对该分组的对应数据标签,然后为该分组选择SSC 803(包括数据脱敏824的安全性功能->数据加密826的安全性功能->云存储832)。用户的医疗记录和敏感信息(例如姓名、家庭地址)由安全性功能“数据脱敏824”划分为两个不同的部分(例如,以提高用户隐私保护)。医疗保健/制药数据的两个不同部分由安全性功能“数据加密826”分开加密(例如,以确保静止中的数据不被非法用户或应用访问)。医疗保健/制药数据的两个不同的加密部分以逻辑隔离或物理隔离的方式被分离存储在云存储832中。
在图8中,示出了每个安全性功能具有相关联的SFF(SFF 811到SFF 816中的一个),以执行将分组转发到对应的安全/服务功能中或从对应的安全/服务功能中将分组转发出去。应当理解,一些或所有SFF可以在安全性功能内实现,而不是被实现为单独的逻辑功能。
图9示出了公用事业部门/公司如何安全地访问存储系统130中的能源/公用事业数据,然后执行数据分析和挖掘。分类器104-1接收与存储在存储系统130中的数据的访问请求相对应的分组,并且分类器104-1的数据标签代理202可以分析并确定哪些数据标签适用于该请求。分类器104-1的数据标签代理202然后可以将所确定的标签插入分组的报头(以及可能的有效载荷)。分类器104-1基于所确定的标签来针对分组选择被部署在支持SSC的域/数据中心101中的SSC 901。SSC 901由防火墙921的安全性功能->访问控制922的安全性功能->云存储831来表示。
数据访问请求由安全性功能“防火墙921”检查(例如,以确保该请求有效且不包括病毒或恶意软件)。数据访问请求由安全性功能“访问控制922”检查(例如,以确保公用事业部门/公司有权访问所请求的数据),然后被提供给云存储831。
在从云存储831获取数据之后,靠近云存储831的分类器104-2的数据标签代理202分析并判定哪些数据标签适用于该数据。分类器104-2中的数据标签代理202确定并向数据分组的有效载荷插入对应的标签。然后,分类器104-2基于所确定的标签来针对分组选择被部署在支持SSC的域/数据中心101中的SSC 902。SSC 902由数据完整性923的安全性功能->数据分析和共享924的服务功能来表示。分类器104-2将对应的标签插入分组的NSH报头中,并将分组转发到SSC 902中(直接转发到SSC 902中的第一安全性功能,数据完整性923)。通过安全性功能“数据完整性923”为分组验证数据完整性,并通过服务功能“数据分析和共享924”执行数据分析和挖掘。
在图9中,示出了每个安全性功能具有相关联的SFF(SFF 911至SFF 914中的一个),以执行将分组转发到对应的安全/服务功能中或从对应的安全/服务功能中将分组转发出去。应当理解,一些或所有SFF可以在安全性功能内实现,而不是被实现为单独的逻辑功能。
图10示出了医生如何安全地访问存储在存储系统130中的患者的医疗记录,然后执行医疗记录的整合和分析。分类器104-1接收与存储在存储系统130中的数据的访问请求相对应的分组,并且分类器104-1的数据标签代理202可以分析并确定哪些数据标签适用于该请求。分类器104-1的数据标签代理202然后可以将对应的标签插入分组的有效载荷中。然后,分类器104-1基于所确定的标签来针对分组选择部署在支持SSC的域/数据中心101中的SSC 1001。SSC 1001由防火墙1021-的安全性功能>访问控制1022的安全性功能->云存储832来表示。分类器104-1将对应的标签插入分组的NSH报头中,并将分组转发到SSC 1002中(直接转发到SSC 1002中的第一安全性功能,防火墙1021)。
数据访问请求由安全性功能“防火墙1021”检查(例如,以确保该请求有效且不包括病毒或恶意软件)。数据访问请求由安全性功能“访问控制1022”检查(例如,以确保医生有权访问所请求的医疗记录)。
在从云存储832获取数据之后,靠近云存储831的分类器104-2的数据标签代理202分析并判定哪些数据标签适用于该数据。分类器104-2的数据标签代理202将对应的标签插入数据分组的有效载荷中。然后,分类器104-1基于所确定的标签来针对分组选择部署在支持SSC的域/数据中心101中的SSC 1002。SSC 1002由数据解密1023的安全性功能->从脱敏的数据恢复1024的服务功能来表示。分类器104-1将对应的标签插入分组的NSH报头中,并将分组转发到SSC 1023中(直接转发到SSC 1002中的第一安全性功能,数据解密1023)。数据解密由安全性功能“数据解密1023”执行。一个或多个医疗记录由服务功能“从脱敏的数据恢复1024”来整合。
在图10中,每个安全性功能被示为具有相关联的SFF(SFF 1011至SFF 1014中的一个),以执行将分组转发到对应的安全/服务功能中或从对应的安全/服务功能中将分组转发出去。应当理解,一些或所有SFF可以在安全性功能内实现,而不是被实现为单独的逻辑功能。
图11和图12示出了如何与第三方安全地共享医疗保健/制药数据,以便可以生成和发布有关药品、医疗保险和医疗器械的个人定向广告。在图11中,分类器104-1接收与被存储在存储系统130中的数据的访问请求相对应的分组,并且分类器104-1的数据标签代理202可以分析并确定哪些数据标签适用于此请求。然后,分类器104-1的数据标签代理202可以将对应的标签插入分组的有效载荷中。然后,分类器104-1基于所确定的标签来针对分组选择部署在支持SSC的域/数据中心101中的SSC 1101。SSC 1101由防火墙1121的安全性功能->访问控制1122的安全性功能->云存储832来表示。分类器104-1将对应的标签插入分组的NSH报头中,并将分组转发到SSC 1101中(直接转发到SSC 1101中的第一安全性功能,防火墙1121)。
数据访问请求由安全性功能“防火墙1121”检查(例如,以确保该请求有效且不包括病毒或恶意软件)。数据访问请求由安全性功能“访问控制1122”检查(例如,以确保第三方有权访问所请求的医疗保健/制药数据)。以此方式,针对分组的安全性要求可以通过用于访问请求的传送和由访问请求访问的数据的访问的两个安全性功能来满足。
在从云存储832获得数据之后,靠近云存储831的分类器104-2的数据标签代理202分析并判定哪些数据标签适用于该数据。分类器104-2的数据标签代理202将所确定的标签插入数据分组的有效载荷中。然后,分类器104-2基于所确定的标签来针对分组选择部署在支持SSC的域/数据中心101中的SSC 1102。SSC 1102由数据解密1123的安全性功能->数据分析和共享1124的服务功能来表示。分类器104-2将对应的标签插入分组的NSH报头中,并将分组转发到SSC 1102中(直接转发到SSC1102中的第一安全性功能,数据解密1123)。数据解密由安全性功能“数据解密1123”执行。医疗保健/制药数据由服务功能“数据分析和共享1124”分析。在图11的示例中,SSC1101和1102可以使得能够与第三方安全地共享医疗保健/制药数据。
在图12中,分类器104-1接收与存储在存储系统130中的数据的访问请求相对应的分组,并且分类器104-1的数据标签代理202可以分析并确定哪些数据标签适用于此请求。然后,分类器104-1的数据标签代理202可以将所确定的标签插入分组的有效载荷中。然后,分类器104-1基于所确定的标签来针对分组选择部署在SSC的域/数据中心101中的SSC1201。SSC 1201由防火墙1221的安全性功能->访问控制1222的安全性功能->云存储832来表示。分类器104-1将对应的标签插入分组的NSH报头中,并将分组转发到SSC 1201中(直接转发到SSC 1201中的第一安全性功能,防火墙1221)。
数据访问请求由安全性功能“防火墙1221”检查(例如,以确保该请求有效且不包括病毒或恶意软件)。数据访问请求由安全性功能“访问控制1222”检查(例如,以确保第三方有权根据所确定的标签进行个人医疗保健广告)。以此方式,针对分组的安全性要求可以通过用于访问请求的传送和由访问请求访问的数据的访问的两个安全性功能来满足。
在从云存储832获得数据之后,靠近云存储831的分类器104-2的数据标签代理202分析并判定哪些数据标签适用于该数据。分类器104-2的数据标签代理202将所确定的标签插入数据分组的报头(并且可能插入有效载荷)。然后,分类器104-2基于所确定的标签来针对分组选择部署在支持SSC的域/数据中心101中的SSC 1202。SSC 1202由数据解密1223的安全性功能->从脱敏的数据恢复1224的服务功能->个人医疗保健广告1225的服务功能来表示。分类器104-2将对应的标签插入分组的NSH报头中并将分组转发到SSC 1202中(直接转发到SSC 1202中的第一安全性功能,数据解密1223)。
数据解密由安全性功能“数据解密1223”执行。用户个人数据由服务功能“从脱敏的数据恢复1224”恢复。个人医疗保健广告由服务功能“个人医疗保健广告1225”执行。在图12的示例中,SSC 1201和1202可以在不违反用户隐私的情况下实现个人医疗保健广告。
在图11和图12中,每个安全性功能被示为具有关联的SFF(SFF 1111至SFF 1114或SFF 1211至SFF 1215之一),以执行将分组转发到对应的安全/服务功能中或从对应的安全/服务功能中将分组转发出去。应当理解,一些或所有SFF可以在安全性功能内实现,而不是被实现为单独的逻辑功能。
图13示出了根据本公开的一些实施例的为数据中心提供安全性服务的示例方法1300的流程图。方法1300可以由如图2中所示的数据标签代理202和分类器104实现。为了讨论的目的,参考图1至图3描述方法1300。
在框1302,分类器104接收终止于或源自于数据中心101的分组。在框1304,分类器104中的数据标签代理202确定针对该分组的至少一个标签,每个标签指示针对该分组的安全性要求。在框1306,分类器104基于至少一个标签来为分组选择SSC,该SSC包括将被应用于分组并部署在数据中心中的安全性功能的有序集合。在框1308处,分类器104将分组与至少一个标签相关联地传输到所选择的SSC,该分组由SSC中的安全性功能的有序集合处理。
在一些实施例中,分类器104可以选择安全性服务链,以使得有序集合中的至少一个安全性功能被应用来将分组处理得满足由至少一个标签指示的安全性要求。
在一些实施例中,分类器104中的数据标签代理202可以确定针对分组的第一标签,第一标签指示针对在SSC中的分组的传输的安全性要求。在图3的示例中,第一标签可以是针对运送中的数据的安全性级别标签322。
在一些实施例中,分类器104可以通过将第一标签插入分组的报头中来修改分组,然后分类器104可以将修改后的分组传输到SSC。
在一些实施例中,分组包括要被存储或已被存储在数据中心中的数据。在一些实施例中,分类器104中的数据标签代理202可以针对分组确定以下至少一项:第二标签,指示针对数据在数据中心中的存储的安全性要求;以及第三标签,指示针对数据在数据中心中的访问的安全性要求。在图3的示例中,第二标签可以是针对运送中的数据的安全性级别标签324。在图3的示例中,第二标签可以是针对运送中的数据的安全性级别标签326。
在一些实施例中,分类器104中的数据标签代理202可以通过将第二标签和第三标签中所确定的至少一个标签插入分组的有效载荷部分中,来修改分组,然后分类器104可以将修改后的分组传输给SSC。
在一些实施例中,分组包括要被存储或已被存储在数据中心中的数据。在一些实施例中,分类器104中的数据标签代理202可以确定针对该分组的第四标签,该第四标签指示与以下至少一项相关联的安全性要求:生成数据的地理位置,由数据中心使用的存储技术,以及数据的行业类型。在图3的示例中,第四标签可以包括行业类型标签342、技术标签344和地理标签346中的一个或多个。
在一些实施例中,数据标签代理202可以通过将第四标签插入分组的有效载荷部分中来修改分组。分类器104可以通过将第四标签插入分组的报头中来修改分组。然后,分类器104可以将修改后的另一分组传输到SSC。
在一些实施例中,分类器104可以基于第四标签,防止包括在分组中的数据被传输通过其中传输另一分组的网络域。
在一些实施例中,分类器104可以基于第四标签,防止包括在分组中的数据被传输到第一预定地理区域中或第二预定地理区域之外。
在一些实施例中,分类器104可以基于第四标签,防止数据被存储到数据中心的用于存储另一分组的数据的存储区域。
在一些实施例中,存储区域可以位于被禁止存储包括在分组中的数据的地理位置。
在一些实施例中,分类器104中的数据标签代理202可以响应于从另一数据中心接收到分组来确定针对该分组的另一标签,该另一标签指示与该另一数据中心相关联的分组的格式。在图3的示例中,另一标签可以是数据格式标签330。在一些实施例中,分类器104可以将分组与该另一标签相关联地传输到SSC。
在一些实施例中,分类器104中的数据标签代理202可以确定分组是否包括来自一组预定义标签中的预定义标签。响应于确定分组包括预定义标签,分类器104中的数据标签代理202可以将预定义标签映射到至少一个标签。响应于分组中不包括预定义标签,分类器104中的数据标签代理202可以从一组预定义标签中选择至少一个标签。
在一些实施例中,分类器104中的数据标签代理202可以确定分组是否包括旧有标签,该旧有标签未被包括在那一组预定义标签中。响应于确定分组包括旧有标签,分类器104中的数据标签代理202可以基于旧有标签来选择至少一个标签。
在一些实施例中,SFC可以包括以下安全性功能中的至少一个:防火墙、访问控制、实体认证、统一威胁管理(UTM)、入侵检测系统(IDS)、入侵防御系统(IPS)、虚拟专用网(VPN)、安全网关、深度分组检查(DPI)、合法拦截(LI)、业务清理、数据完整性验证、数据机密性保护、数据脱敏、数据加密和数据解密。
应该理解,与上述具有数据标签代理202的分类器104相关的所有操作和特征同样适用于方法1300并且具有相似的效果。为了简化的目的,细节将被省略。
图14是用于实现示例设备1400的示意框图,该示例设备用于实现本公开的实施例。设备1400可以实现图1的数据标签代理202、分类器104和/或SSC控制器102,或者可以是数据标签代理202、分类器104和/或SSC控制器102的一部分。
如图所示,设备1400包括中央处理单元(CPU)1401,其能够根据存储在只读存储器(ROM)1402中或从存储单元1408加载到随机存取存储器(RAM)1403中的计算机程序指令来执行各种适当的动作和过程。在RAM 1403中,还可以存储设备1400的操作所需的各种程序和数据。CPU 1401、ROM 1402和RAM 1403经由总线1404互连。输入/输出(I/O)接口1405也连接到总线1404。
设备1400中的各种组件连接到I/O接口1405,包括:输入单元1406,诸如键盘、鼠标等;输出单元1407,诸如各种显示器、扬声器等;存储单元1408,诸如磁盘、光盘等;通信单元1409,诸如网卡、调制解调器、无线电通信收发器等。通信单元1409使设备1400能够经由诸如互联网之类的计算机网络和/或各种电信网络来与其他设备传递信息/数据。
可以利用处理单元1401来实现上述各种方法和处理,诸如方法1300。例如,在一些实施例中,方法1300可以被实现为有形地包括在诸如存储单元1408之类的机器可读介质中的计算机软件程序。在一些实施例中,可以经由ROM 1402和/或通信单元1409将部分或全部计算机程序加载和/或安装到设备1400。当计算机程序被加载到RAM 1403并且由CPU 1401执行时,上述方法1300的一个或多个步骤可以被执行。可替代地,在其他实施例中,CPU1401可以被配置为以任何其他适当的方式(例如,借助于固件)执行方法1300。
本公开的装置和/或设备中包括的组件可以以各种方式来实现,包括软件、硬件、固件或其任何组合。在一个实施例中,可以使用软件和/或固件(例如,存储在存储介质上的机器可执行指令)来实现一个或多个单元。除了机器可执行指令之外或代替机器可执行指令,装置和/或设备中的单元的一部分或全部还可以至少部分地由一个或多个硬件逻辑组件来实现。例如但是不是限制,可以使用的例示类型的硬件逻辑组件包括现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、系统级芯片系统(SOC)、复杂可编程逻辑器件(CPLD)等。
通常,本公开的各种实施例可以以硬件或专用电路、软件、逻辑或其任何组合来实现。一些方面可以以硬件来实现,而其他方面可以以固件或软件来实现,固件或软件可以由控制器、微处理器或其他计算设备来执行。尽管本公开的实施例的各个方面被图示和描述为框图、流程图或使用一些其他图形表示,但应当理解,作为非限制示例,本文所述的框、装置、系统、技术或方法可以以硬件、软件、固件、专用电路或逻辑、通用硬件或控制器或其他计算设备或其某种组合来实现。
本公开还提供了有形地存储在非暂时性计算机可读存储介质上的至少一个计算机程序产品。该计算机程序产品包括计算机可执行指令,诸如程序模块中包括的那些,在目标真实或虚拟处理器上的器件中被执行的那些,用以执行以上参考图1至图13中的任何一个所述的过程或方法。通常,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、库、对象、类、组件、数据结构等。如在各个实施例中所期望的,程序模块的功能性可以在程序模块之间进行组合或分割。用于程序模块的机器可执行指令可以在本地或分布式设备内被执行。在分布式设备中,程序模块可以位于本地和远程存储介质中。
可以以一种或多种编程语言的任何组合来编写用于执行本公开的方法的程序代码。可以将这些程序代码提供给通用计算机、专用计算机或其他可编程数据处理设备的处理器或控制器,以使得该程序代码在由处理器或控制器执行时使在流程图和/或框图中指定的功能/操作被实现。程序代码可以完全在计算机上被执行、部分在计算机上被执行、作为独立软件包被执行、部分在计算机上被执行、部分在远程计算机上被执行、或者完全在远程计算机或服务器上被执行。
以上程序代码可以被体现在机器可读介质上,该机器可读介质可以是任何有形介质,其可以包含或存储供指令执行系统、装置或设备使用或与其结合使用的程序。机器可读介质可以是机器可读信号介质或机器可读存储介质。机器可读介质可以包括但不限于电子、磁、光、电磁、红外或半导体系统、装置或设备、或前述的任何合适的组合。机器可读存储介质的更具体示例将包括具有一个或多个电线的电连接、便携式计算机软盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或闪存)、光纤、便携式光盘只读存储器(CD-ROM)、光学存储设备、磁存储设备或上述的任意合适组合。
此外,虽然以特定顺序描绘了操作,但这不应理解为要求以所示的特定顺序或以连续的顺序执行这样的操作,或者执行所有示出的操作以实现期望的结果。在某些情形下,多任务和并行处理可能是有利的。同样地,尽管在以上讨论中包含几个特定的实施例细节,但这些不应被解释为对本公开的范围的限制,而应被解释为可以特定于特定实施例的特征的描述。在分离的实施例的上下文中描述的某些特征也可以在单个实施例中组合实现。相反,在单个实施例的上下文中描述的各种特征也可以分别在多个实施例中或以任何合适的子组合来实现。
尽管已经以特定于结构特征和/或方法动作的语言描述了本公开,但应当理解,所附权利要求书中定义的本公开不必限于上述特定特征或动作。而是,上述特定特征和动作被公开为实现权利要求的示例形式。
Claims (29)
1.一种为数据中心提供安全性服务的方法,包括:
接收终止于或源自于所述数据中心的分组,其中所述分组包括要被存储或已被存储在所述数据中心中的数据;
确定针对所述分组的标签,每个标签指示针对所述分组的安全性要求;
确定针对所述分组的第一标签,所述第一标签指示针对在安全性服务链中所述分组的传输的安全性要求;
针对所述分组确定以下至少一项:
第二标签,所述第二标签指示针对所述数据在所述数据中心中的存储的安全性要求,以及
第三标签,所述第三标签指示针对所述数据在所述数据中心中的访问的安全性要求;
基于所确定的标签,选择针对所述分组的安全性服务链,所述安全性服务链包括被部署在所述数据中心中并且要被应用于所述分组的安全性功能的有序集合;以及
将所述分组与所确定的标签相关联地传输到所选择的所述安全性服务链,所述分组由所述安全性服务链中的所述安全性功能的有序集合处理。
2.根据权利要求1所述的方法,其中选择所述安全性服务链包括:
选择所述安全性服务链,以使得所述有序集合中的至少一个安全性功能被应用来将所述分组处理得满足由所确定的标签中的至少一个标签指示的所述安全性要求。
3.根据权利要求1所述的方法,其中传输所述分组包括:
通过将所述第一标签插入所述分组的报头中,来修改所述分组;以及
将修改后的所述分组传输到所述安全性服务链。
4.根据权利要求1所述的方法,其中传输所述分组包括:
通过将所述第二标签和所述第三标签中所确定的至少一个标签插入所述分组的有效载荷部分中,来修改所述分组;以及
将修改后的所述分组传输到所述安全性服务链。
5.根据权利要求2所述的方法,其中所述分组包括要被存储或已被存储在所述数据中心中的数据,并且其中确定所述至少一个标签包括:
确定针对所述分组的第四标签,所述第四标签指示与以下至少一项相关联的安全性要求:
生成或存储所述数据的地理位置,
由所述数据中心使用的存储技术,以及
所述数据的行业类型。
6.根据权利要求5所述的方法,其中包括:
基于所述第四标签,防止包括在所述分组中的所述数据被传输通过在其中传输另一分组的网络域。
7.根据权利要求5所述的方法,还包括:
基于所述第四标签,防止包括在所述分组中的所述数据被传输到第一预定地理区域中或第二预定地理区域之外。
8.根据权利要求5所述的方法,还包括:
基于所述第四标签,防止包括在所述分组中的所述数据被存储到所述数据中心的用于存储另一分组的数据的存储区域。
9.根据权利要求8所述的方法,其中所述存储区域位于被禁止存储在所述分组中包括的所述数据的地理位置。
10.根据权利要求5所述的方法,其中传输所述分组包括:
通过将所述第四标签插入所述分组的报头和有效载荷部分中的至少一个中,来修改所述分组;以及
将修改后的另一分组传输到所述安全性服务链。
11.根据权利要求1所述的方法,还包括:
响应于从另一数据中心接收到所述分组,确定针对所述分组的另一标签,所述另一标签指示与所述另一数据中心相关联的所述分组的格式,并且
其中传输所述分组还包括将所述分组与所述另一标签相关联地传输到所述安全性服务链。
12.根据权利要求2所述的方法,其中确定所述至少一个标签包括:
确定所述分组是否包括来自一组预定义标签中的预定义标签;
响应于确定所述分组包括所述预定义标签,将所述预定义标签映射到所述至少一个标签;以及
响应于所述分组中不包括预定义标签,从所述一组预定义标签中选择所述至少一个标签。
13.根据权利要求12所述的方法,其中选择所述至少一个标签包括:
确定所述分组是否包括旧有标签,所述旧有标签未被包括在所述一组预定义标签中;以及
响应于确定所述分组包括所述旧有标签,基于所述旧有标签来选择所述至少一个标签。
14.根据权利要求1至13中任一项所述的方法,其中所述安全性服务链包括以下安全性功能中的至少一个:防火墙、访问控制、实体认证、统一威胁管理、入侵检测系统、入侵防御系统、虚拟专用网、安全网关、深度分组检查、合法拦截、业务清理、数据完整性验证、数据机密性保护、数据脱敏、数据加密和数据解密。
15.一种用于为数据中心提供安全性服务的装置,包括:
处理器;和
存储器,所述存储器耦合到所述处理器,并且所述存储器上存储有指令,所述指令在由所述处理器执行时使所述装置执行动作,所述动作包括:
接收终止于或源自于所述数据中心的分组,其中所述分组包括要被存储或已被存储在所述数据中心中的数据;
确定针对所述分组的标签,每个标签指示针对所述分组的安全性要求;
确定针对所述分组的第一标签,所述第一标签指示针对在安全性服务链中所述分组的传输的安全性要求;
针对所述分组确定以下至少一项:
第二标签,所述第二标签指示针对所述数据在所述数据中心中的存储的安全性要求,以及
第三标签,所述第三标签指示针对所述数据在所述数据中心中的访问的安全性要求;
基于所确定的标签,选择针对所述分组的安全性服务链,所述安全性服务链包括被部署在所述数据中心中并且要被应用于所述分组的安全性功能的有序集合;以及
将所述分组与所确定的标签相关联地传输到所选择的所述安全性服务链,所述分组由所述安全性服务链中的所述安全性功能的有序集合处理。
16.根据权利要求15所述的装置,其中选择所述安全性服务链包括:
选择所述安全性服务链,以使得所述有序集合中的至少一个安全性功能被应用来将所述分组处理得满足由所确定的标签中的至少一个标签指示的所述安全性要求。
17.根据权利要求15所述的装置,其中传输所述分组包括:
通过将所述第一标签插入所述分组的报头中,来修改所述分组;以及
将修改后的所述分组传输到所述安全性服务链。
18.根据权利要求15所述的装置,其中传输所述分组包括:
通过将所述第二标签和所述第三标签中所确定的至少一个标签插入所述分组的有效载荷部分中,来修改所述分组;以及
将修改后的所述分组传输到所述安全性服务链。
19.根据权利要求16所述的装置,其中所述分组包括要被存储或已被存储在所述数据中心中的数据,并且其中确定所述至少一个标签包括:
确定针对所述分组的第四标签,所述第四标签指示与以下至少一项相关联的安全性要求:
生成所述数据的地理位置,
由所述数据中心使用的存储技术,以及
所述数据的行业类型。
20.根据权利要求19所述的装置,其中所述动作还包括:
基于所述第四标签,防止包括在所述分组中的所述数据被传输通过在其中传输另一分组的网络域。
21.根据权利要求19所述的装置,其中所述动作还包括:
基于所述第四标签,防止包括在所述分组中的所述数据被传输到第一预定地理区域中或第二预定地理区域之外。
22.根据权利要求19所述的装置,其中所述动作还包括:
基于所述第四标签,防止包括在所述分组中的所述数据被存储到所述数据中心的用于存储另一分组的数据的存储区域。
23.根据权利要求22所述的装置,其中所述存储区域位于被禁止存储在所述分组中包括的所述数据的地理位置。
24.根据权利要求19所述的装置,其中传输所述分组包括:
通过将所述第四标签插入所述分组的报头和有效载荷部分中的至少一个中,来修改所述分组;以及
将修改后的另一分组传输到所述安全性服务链。
25.根据权利要求15所述的装置,其中所述动作还包括:
响应于从另一数据中心接收到所述分组,确定针对所述分组的另一标签,所述另一标签指示与所述另一数据中心相关联的所述分组的格式,并且
其中传输所述分组还包括将所述分组与所述另一标签相关联地传输到所述安全性服务链。
26.根据权利要求16所述的装置,其中确定所述至少一个标签包括:
确定所述分组是否包括来自一组预定义标签中的预定义标签;
响应于确定所述分组包括所述预定义标签,将所述预定义标签映射到所述至少一个标签;以及
响应于所述分组中不包括预定义标签,从所述一组预定义标签中选择所述至少一个标签。
27.根据权利要求26所述的装置,其中选择所述至少一个标签包括:
确定所述分组是否包括旧有标签,所述旧有标签未被包括在所述一组预定义标签中;以及
响应于确定所述分组包括所述旧有标签,基于所述旧有标签来选择所述至少一个标签。
28.根据权利要求15至27中任一项所述的装置,其中所述安全性服务链包括以下安全性功能中的至少一个:防火墙、访问控制、实体认证、统一威胁管理、入侵检测系统、入侵预防系统、虚拟专用网、安全网关、深度分组检查、合法拦截、业务清理、数据完整性验证、数据机密性保护、数据脱敏、数据加密和数据解密。
29.一种计算机可读介质,其上存储有指令,所述指令在至少一个处理器上被执行时使所述至少一个处理器执行根据权利要求1至14中任一项所述的方法。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/CN2018/075487 WO2019153127A1 (en) | 2018-02-06 | 2018-02-06 | Method, apparatus, and computer readable medium for providing security service for data center |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111684775A CN111684775A (zh) | 2020-09-18 |
CN111684775B true CN111684775B (zh) | 2022-10-14 |
Family
ID=67547781
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201880088692.6A Active CN111684775B (zh) | 2018-02-06 | 2018-02-06 | 用于为数据中心提供安全性服务的方法、装置和计算机可读介质 |
Country Status (4)
Country | Link |
---|---|
US (1) | US11558353B2 (zh) |
EP (1) | EP3750289B1 (zh) |
CN (1) | CN111684775B (zh) |
WO (1) | WO2019153127A1 (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3713187A1 (de) * | 2019-03-19 | 2020-09-23 | Siemens Aktiengesellschaft | Verfahren zur übertragung von datenpaketen |
US11411843B2 (en) * | 2019-08-14 | 2022-08-09 | Verizon Patent And Licensing Inc. | Method and system for packet inspection in virtual network service chains |
US20210157848A1 (en) * | 2020-09-25 | 2021-05-27 | Intel Corporation | Methods, apparatus and systems to enforce data boundaries through the use of boundary labels |
CN114710303A (zh) * | 2020-12-17 | 2022-07-05 | 中国科学院计算机网络信息中心 | 一种超级计算中心威胁识别方法 |
CN113591119B (zh) * | 2021-08-09 | 2022-03-22 | 国家工业信息安全发展研究中心 | 跨域标识解析节点数据隐私保护与安全共享方法及系统 |
CN115296842A (zh) * | 2022-06-27 | 2022-11-04 | 深信服科技股份有限公司 | 业务流量的编排方法、装置、应用交付设备及介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104780099A (zh) * | 2014-01-10 | 2015-07-15 | 瞻博网络公司 | 利用网络服务链化的跨多个网络层的动态端到端网络路径设立 |
Family Cites Families (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6292900B1 (en) | 1996-12-18 | 2001-09-18 | Sun Microsystems, Inc. | Multilevel security attribute passing methods, apparatuses, and computer program products in a stream |
US20030196108A1 (en) | 2002-04-12 | 2003-10-16 | Kung Kenneth C. | System and techniques to bind information objects to security labels |
US7134022B2 (en) | 2002-07-16 | 2006-11-07 | Flyntz Terence T | Multi-level and multi-category data labeling system |
US7356695B2 (en) | 2002-08-01 | 2008-04-08 | International Business Machines Corporation | Multi-level security systems |
US7836490B2 (en) * | 2003-10-29 | 2010-11-16 | Cisco Technology, Inc. | Method and apparatus for providing network security using security labeling |
US7886145B2 (en) * | 2004-11-23 | 2011-02-08 | Cisco Technology, Inc. | Method and system for including security information with a packet |
JP4680068B2 (ja) * | 2006-01-05 | 2011-05-11 | 富士通株式会社 | 通信制御方法、ネットワーク及びネットワーク機器 |
US8989192B2 (en) * | 2012-08-15 | 2015-03-24 | Futurewei Technologies, Inc. | Method and system for creating software defined ordered service patterns in a communications network |
CN104054305A (zh) * | 2012-12-26 | 2014-09-17 | 华为技术有限公司 | 一种ip数据包的发送方法及标签交换路由器 |
US20150295826A1 (en) * | 2014-04-09 | 2015-10-15 | Aruba Networks, Inc. | Offloading Packet Treatment using Modified Packet Headers in a Distributed Switch System |
US9245150B2 (en) | 2014-05-06 | 2016-01-26 | The Boeing Company | Semantically determining a security classification of data |
US9866472B2 (en) * | 2014-12-09 | 2018-01-09 | Oath Inc. | Systems and methods for software defined networking service function chaining |
US9621520B2 (en) * | 2015-03-19 | 2017-04-11 | Cisco Technology, Inc. | Network service packet header security |
US10142287B2 (en) * | 2015-04-06 | 2018-11-27 | Nicira, Inc. | Distributed network security controller cluster for performing security operations |
US9563782B1 (en) | 2015-04-10 | 2017-02-07 | Dell Software Inc. | Systems and methods of secure self-service access to content |
US10122622B2 (en) * | 2015-05-29 | 2018-11-06 | Futurewei Technologies, Inc. | Exchanging application metadata for application context aware service insertion in service function chain |
US9749229B2 (en) | 2015-07-01 | 2017-08-29 | Cisco Technology, Inc. | Forwarding packets with encapsulated service chain headers |
CN104994094B (zh) * | 2015-07-01 | 2016-11-30 | 北京奇虎科技有限公司 | 基于虚拟交换机的虚拟化平台安全防护方法、装置和系统 |
US11082515B2 (en) * | 2015-09-26 | 2021-08-03 | Intel Corporation | Technologies for offloading data object replication and service function chain management |
CN107222451A (zh) * | 2016-03-22 | 2017-09-29 | 中兴通讯股份有限公司 | 数据流监测方法及装置 |
CN106789542B (zh) | 2017-03-03 | 2019-08-09 | 清华大学 | 一种云数据中心安全服务链的实现方法 |
-
2018
- 2018-02-06 EP EP18904528.9A patent/EP3750289B1/en active Active
- 2018-02-06 WO PCT/CN2018/075487 patent/WO2019153127A1/en unknown
- 2018-02-06 US US16/963,946 patent/US11558353B2/en active Active
- 2018-02-06 CN CN201880088692.6A patent/CN111684775B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104780099A (zh) * | 2014-01-10 | 2015-07-15 | 瞻博网络公司 | 利用网络服务链化的跨多个网络层的动态端到端网络路径设立 |
Also Published As
Publication number | Publication date |
---|---|
CN111684775A (zh) | 2020-09-18 |
EP3750289A4 (en) | 2021-09-15 |
US20210044567A1 (en) | 2021-02-11 |
EP3750289B1 (en) | 2024-04-03 |
US11558353B2 (en) | 2023-01-17 |
EP3750289A1 (en) | 2020-12-16 |
WO2019153127A1 (en) | 2019-08-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111684775B (zh) | 用于为数据中心提供安全性服务的方法、装置和计算机可读介质 | |
US8464335B1 (en) | Distributed, multi-tenant virtual private network cloud systems and methods for mobile security and policy enforcement | |
US9832227B2 (en) | System and method for network level protection against malicious software | |
US9118689B1 (en) | Archiving systems and methods for cloud based systems | |
CN101802837B (zh) | 通过对设备的动态地址隔离来提供网络和计算机防火墙保护的系统和方法 | |
EP1634175B1 (en) | Multilayer access control security system | |
US7592906B1 (en) | Network policy evaluation | |
CN110113291A (zh) | 用于在业务功能链域之间进行互通的方法和设备 | |
US8806607B2 (en) | Unauthorized data transfer detection and prevention | |
EP3509007B1 (en) | Method and a node for storage of data in a network | |
US20070245137A1 (en) | HTTP cookie protection by a network security device | |
US20220337555A1 (en) | Firewall offloading | |
US7797741B2 (en) | System and method for coping with encrypted harmful traffic in hybrid IPv4/IPv6 networks | |
US10819562B2 (en) | Cloud services management systems utilizing in-band communication conveying situational awareness | |
US9154475B1 (en) | User authentication and authorization in distributed security system | |
US9338137B1 (en) | System and methods for protecting confidential data in wireless networks | |
US7333430B2 (en) | Systems and methods for passing network traffic data | |
US11363018B2 (en) | Verifying user device access rights for application data requests | |
US11544393B2 (en) | Securely accessing offline data with indirect communication | |
WO2022271387A1 (en) | A containerized cross-domain solution | |
Laeeq et al. | A study of security issues, vulnerabilities and challenges in internet of things | |
EP1987440B1 (en) | Method and system for obviating redundant actions in a network | |
US11909826B1 (en) | Systems and methods for four dimensional network session authorization | |
US11960944B2 (en) | Interprocessor procedure calls | |
CN117914505A (zh) | 控制终端安全访问互联网和内网的方法及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |