CN111857941A - 一种安全策略管理方法及装置 - Google Patents

Abstract

一种安全策略管理方法及装置，该方法包括：VNFM接收容器管理器确定需要对VNF进行容器服务更新后发送的容器服务更新消息，该容器服务更新消息包括更新的第一容器服务的第一分组标识；若第一分组标识集合中包括第一分组标识，VNFM确定不需要改变VNF应用的安全策略，并向容器管理器发送第一指示信息，以指示容器管理器进行容器服务更新，第一分组标识集合为VNF在容器服务更新前调用的至少一个容器服务的分组标识构成的集合。如此，在第一分组标识包括在第一分组标识集合中的情况下，VNFM无需每次容器服务更新都需要向NFV SC请求下发安全策略，从而可有效降低NFV SC的管理复杂度，提升网络部署效率。

Description

一种安全策略管理方法及装置

技术领域

本申请涉及通信技术领域，尤其涉及一种安全策略管理方法及装置。

背景技术

网络功能虚拟化(network function virtualization，NFV)是一种使用通用性硬件以及网络虚拟化构建通信网络系统的技术，能够用于承载通信网络中的软件处理功能，实现通信网络的虚拟化、灵活部署、灵活扩容，并降低通信网络系统昂贵的设备成本。

在NFV网络架构中，NFV安全控制器(NFV security controller，NFV SC)负责安全策略的生成管理以及发放。在虚拟网络功能(virtual network function，VNF)进行实例化时，VNF管理器(VNF Management，VNFM)会将VNF的部署情况上报至NFV SC，NFV SC根据VNF的部署情况制定匹配的安全策略，下发给VNFM或容器管理器container manager进行网络部署。现有技术中，当发生VNF更新或容器服务更新时，VNFM需要将VNF的部署情况上报给NFV SC，使VNF SC实时动态地感知到容器服务的更新，并进行安全策略的决策和下发。然而，容器服务更新是常态化的，容器服务可能会被频繁地更新和重新发布，频繁地根据负载情况进行动态伸缩，容器服务实例还可能受到资源调度的影响从一台服务器迁移到另一台服务器。每次VNF更新或容器服务更新都上报VNF的部署情况，会使NFV SC反复地进行安全策略的决策和下发，增加了NFV SC的管理难度，并影响网络部署效率。

发明内容

本申请实施例提供一种安全策略管理方法及装置，用于降低NFV SC的管理难度，提高网络部署效率。

第一方面，本申请实施例提供一种安全策略管理方法，该方法可应用于VNFM，该方法包括：VNFM接收容器管理器发送的容器服务更新消息，该容器服务更新消息包括第一分组标识，该第一分组标识为更新的第一容器服务的分组标识，该第一分组标识是根据VNF的类型和第一容器服务的安全能力确定的，该容器服务更新消息是容器管理器确定需要对VNF进行容器服务更新后发送的；若第一分组标识集合中包括第一分组标识，VNFM确定不需要改变VNF应用的安全策略，并向容器管理器发送第一指示信息，该第一指示信息用于指示容器管理器进行容器服务更新，第一分组标识集合为VNF在容器服务更新前调用的至少一个容器服务的分组标识构成的集合。

采用本申请实施例提供的技术方案，在更新的第一容器服务的分组标识包括在第一分组标识集合的情况下，VNFM确定不需要不改变VNF中应用的安全策略，VNFM可直接进行容器服务更新的决策，指示容器管理器进行容器服务更新，而不需要上报该VNF在容器服务更新后的部署情况，从而可有效降低NFV SC的管理复杂度，提升网络部署效率。

在一种可能的设计中，若第一分组标识集合中不包括第一分组标识，VNFM确定需要改变VNF应用的安全策略，并向NFV SC发送安全策略请求消息，该安全策略请求消息中包括第一分组标识；VNFM接收NFV SC根据第一分组标识发送的第一安全策略，该第一安全策略为VNF在容器服务更新后应用的安全策略。

采用本申请实施例提供的技术方案，在更新的第一容器服务的分组标识不包括在第一分组标识集合的情况下，VNFM可确定需要改变VNF中应用的安全策略，进而向NFV SC发送安全策略请求消息，以请求NFV SC下发新的安全策略，从而确保VNF的安全性。

在一种可能的设计中，VNFM接收第一安全策略后，VNFM还可向容器管理器发送第二指示信息，该第二指示信息用于指示容器管理器进行容器服务更新。

采用本申请实施例提供的技术方案，在VNFM需要向NFV SC申请新的安全策略的情况下，VNFM可在接收到第一安全策略后，指示容器管理器进行容器服务更新，从而完成网络部署。

在一种可能的设计中，VNFM接收容器管理器发送的容器服务更新消息之前，VNFM还可对VNF进行实例化；若实例化该VNF需要调用容器服务，VNFM可向容器管理器发送服务调用请求消息，该服务调用请求消息中包括VNF的标识和VNF请求调用的至少一个容器服务的标识。

采用本申请实施例提供的技术方案，VNFM可在对VNF进行实例化时，确定需要调用容器管理器提供的容器服务，并向容器管理器发送服务调用请求消息，以完成网络部署。并且容器管理器还可根据该服务调用请求消息中VNF进行服务调用的有关信息，在后续步骤中确定出该VNF能够调用的每个容器服务的分组标识，如此，可使VNFM根据更新的容器服务的分组标识，确定是否需要改变VNF应用的安全策略，从而有效避免每次容器服务更新都需要向NFC SC请求安全策略的问题，有效提高网络部署效率。

第二方面，本申请实施例提供另一种安全策略管理方法，该方法可应用于容器管理器，container manager，该方法包括：容器管理器若确定需要对VNF进行容器服务更新，向VNFM发送容器服务更新消息，该容器服务更新消息包括第一分组标识，该第一分组标识为更新的第一容器服务的分组标识，第一分组标识是根据VNF的类型和第一容器服务的安全能力确定的；容器管理器接收VNFM发送的第一指示信息，对VNF进行容器服务更新，第一指示信息是VNFM在确定第一分组标识集合中包括第一分组标识后发送的，第一分组标识集合为该VNF在容器服务更新前调用的至少一个容器服务的分组标识构成的集合。

采用本申请实施例提供的技术方案，容器管理器在确定需要对VNF进行容器服务更新时，可将更新的第一容器服务的分组标识携带在容器服务更新消息中发送给VNFM，如此，VNFM可在该第一分组标识包括在第一分组标识集合的情况下，直接决策进行容器服务更新，而不再需要向NFV SC请求安全策略，从而有效降低NFV SC的管理复杂度，提升网络部署效率。

在一种可能的设计中，容器管理器还可接收VNFM发送的第二指示信息，对该VNF进行容器服务更新，该第二指示信息是VNFM接收到NFV SC发送的第一安全策略后发送的，第一安全策略为VNF在容器服务更新后应用的安全策略。

采用本申请实施例提供的技术方案，在VNFM决策该VNF需要应用新的安全策略的情况下，VNFM可在接收到新的安全策略之后，向容器管理器发送用于指示容器服务更新的第二指示信息，从而确保VNF的安全性，并完成网络部署。

在一种可能的设计中，容器管理器判断是否需要对VNF调用的容器服务进行更新之前，容器管理器可向NFV SC发送VNF对应的容器服务集合中每个容器服务的标识和安全能力，该容器服务集合为VNF能够调用的容器服务的集合，容器服务集合中包括该VNF在容器服务更新前调用的至少一个容器服务和第一容器服务；容器管理器接收NFV SC发送的容器服务集合中每个容器服务的分组标识，每个容器服务的分组标识是NFV SC根据VNF的类型和容器服务的安全能力确定的。

采用本申请实施例提供的技术方案，容器管理器可与NFV SC进行安全能力协商，根据该VNF的类型和该VNF能够调用的每个容器服务的安全能力，确定出该VNF能够调用的每个容器服务的分组标识，以便VNFM根据更新的容器服务的分组标识对VNF中应用的安全策略进行有效管理，避免每次容器服务更新都需要向NFV SC请求安全策略的问题，从而降低NFV SC的管理复杂度，提高网络部署效率。

在一种可能的设计中，容器管理器向NFV SC发送VNF对应的容器服务集合中每个容器服务的标识和安全能力之前，容器管理器还可接收VNFM发送的服务调用请求消息，该服务调用请求消息中包括VNF的标识和VNF调用的至少一个容器服务的标识，服务调用请求消息是VNFM确定实例化VNF需要调用容器服务后发送的。

采用本申请实施例提供的技术方案，容器管理器可根据接收到的服务调用请求消息确定需要调用容器服务的VNF，以及该VNF当前请求调用的至少一个容器服务。可选地，容器管理器还可根据该VNF的类型，确定出该VNF能够调用的至少一个容器服务，以便于容器管理器与NFV SC进行安全能力协商，确定容器服务的分组标识。

第三方面，本申请实施例提供又一种安全策略管理方法，该方法可应用于NFV SC，该方法包括：NFV SC接收容器管理器发送的VNF对应的容器服务集合中每个容器服务的标识和安全能力，该容器服务集合为VNF能够调用的容器服务的集合，该容器服务集合中包括VNF在容器服务更新前调用的至少一个容器服务和第一容器服务；NFV SC根据VNF的类型和容器服务集合中每个容器服务的安全能力，确定每个容器服务的分组标识，并将容器服务集合中每个容器服务的分组标识发送至容器管理器。

采用本申请实施例提供的技术方案，NFV SC可与容器管理器进行安全能力协商，根据该VNF的类型和该VNF能够调用的每个容器服务的安全能力，确定出该VNF能够调用的每个容器服务的分组标识，以便VNFM根据更新的容器服务的分组标识对VNF中应用的安全策略进行有效管理，避免每次容器服务更新VNFM都需要向NFV SC请求安全策略的问题，从而有效降低NFV SC的管理复杂度，提高网络部署效率。

在一种可能的设计中，NFV SC可接收VNFM发送的安全策略请求消息，该安全策略请求消息中包括第一分组标识，该第一分组标识为更新的第一容器服务的分组标识，该安全策略请求消息是VNFM确定第一分组标识集合中不包括第一分组标识后发送的，第一分组标识集合为VNF在容器服务更新前调用的至少一个容器服务的分组标识构成的集合；之后，NFV SC根据第一分组标识，确定该VNF在容器服务更新后应用的第一安全策略，并将第一安全策略发送至VNFM。

采用本申请实施例提供的技术方案，NFV SC可仅在第一分组标识不包括在第一分组标识集合的情况下，向NFV SC发送安全策略请求消息，以使NFV SC决策新的安全策略的，从而有效确保VNF的安全性，并提高网络部署效率。

第四方面，本申请实施例提供一种安全策略管理装置，该装置可具有实现上述第一方面或第一方面的任一种可能的设计中VNFM的功能，或者该装置也可具有实现上述第二方面或第二方面的任一种可能的设计中容器管理器的功能，或者该装置也可具有实现上述第三方面或第三方面的任一种可能的设计中NFV SC的功能。上述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现，所述硬件或软件包括一个或多个与上述功能相对应的模块。

在一种可能的设计中，该装置的结构中包括处理模块和收发模块，其中，处理模块被配置为支持该装置执行上述第一方面或第一方面的任一种设计中相应的功能、或执行上述第二方面或第二方面的任一种设计中相应的功能、或执行上述第三方面或第三方面的任一种设计中相应的功能。收发模块用于支持该装置与其他通信设备之间的通信，例如，装置为VNFM时，收发模块可与容器管理器通信，接收容器管理器发送的容器服务更新消息，收发模块还可与NFV SC网元通信，接收NFV SC发送的安全策略。该装置还可以包括存储模块，存储模块与处理模块耦合，其保存有装置必要的程序指令和数据。作为一种示例，处理模块可以为处理器，通信模块可以为收发器，存储模块可以为存储器，存储器可以和处理器集成在一起，也可以和处理器分离设置，本申请并不限定。

在另一种可能的设计中，该装置的结构中包括处理器和存储器，处理器与存储器耦合，可用于执行存储器中存储的计算机程序指令，以使该装置执行上述第一方面或第一方面的任一种可能的设计中的方法，或使该装置执行上述第二方面或第二方面的任一种可能的设计中的方法，或使该装置执行上述第三方面或第三方面的任一种可能的设计中的方法。可选地，该通信装置还包括通信接口，处理器与通信接口耦合。该通信接口可以是收发器或输入/输出接口，也可以是芯片的输入/输出接口。

第四方面，本申请实施例还提供一种芯片系统，包括：处理器，所述处理器与存储器耦合，所述存储器用于存储程序或指令，当所述程序或指令被所述处理器执行时，使得该芯片系统实现上述第一方面的任一种可能的设计中的方法、或执行上述第二方面的任一种可能的设计中的方法、或执行上述第三方面的任一种可能的设计中的方法。

可选地，该芯片系统中的处理器可以为一个或多个。该处理器可以通过硬件实现也可以通过软件实现。当通过硬件实现时，该处理器可以是逻辑电路、集成电路等。当通过软件实现时，该处理器可以是一个通用处理器，通过读取存储器中存储的软件代码来实现。

可选地，该芯片系统中的存储器也可以为一个或多个。该存储器可以与处理器集成在一起，也可以和处理器分离设置，本申请并不限定。示例性的，存储器可以是非瞬时性处理器，例如只读存储器ROM，其可以与处理器集成在同一块芯片上，也可以分别设置在不同的芯片上，本申请对存储器的类型，以及存储器与处理器的设置方式不作具体限定。

示例性的，该芯片系统可以是现场可编程门阵列(field programmable gatearray，FPGA)，可以是专用集成芯片(application specific integrated circuit，ASIC)，还可以是系统芯片(system on chip，SoC)，还可以是中央处理器(central processorunit，CPU)，还可以是网络处理器(network processor，NP)，还可以是数字信号处理电路(digital signal processor，DSP)，还可以是微控制器(micro controller unit，MCU)，还可以是可编程控制器(programmable logic device，PLD)或其他集成芯片。

第五方面，本申请实施例提供一种计算机可读存储介质，所述计算机存储介质中存储有计算机可读指令，当计算机读取并执行所述计算机可读指令时，使得计算机执行上述第一方面的任一种可能的设计中的方法、或执行上述第二方面的任一种可能的设计中的方法、或执行上述第三方面的任一种可能的设计中的方法。

第六方面，本申请实施例提供一种计算机程序产品，当计算机读取并执行所述计算机程序产品时，使得计算机执行上述第一方面的任一种可能的设计中的方法、或执行上述第二方面的任一种可能的设计中的方法、或执行上述第三方面的任一种可能的设计中的方法。

第七方面，本申请实施例提供一种安全策略管理系统，该系统包括上述各方法实施例中所述的VNFM、容器管理器和NFV SC。

附图说明

图1为本申请实施例适用的一种NFV系统的网络架构示意图；

图2为本申请实施例提供的一种安全策略管理方法的流程示意图；

图3为本申请实施例提供的一种安全策略管理方法的另一流程示意图；

图4为本申请实施例提供的一种安全策略管理方法的又一流程示意图；

图5为本申请实施例提供的一种安全策略管理装置的结构示意图；

图6为本申请实施例提供的一种安全策略管理装置的另一结构示意图。

具体实施方式

为了使本申请实施例的目的、技术方案和优点更加清楚，下面将结合附图对本申请实施例作进一步地详细描述。

应理解，除非有相反的说明，本申请实施例中提及的“第一”、“第二”等序数词用于对多个对象进行区分，不用于限定多个对象的顺序、时序、优先级或者重要程度。“和/或”，用于描述关联对象之间的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示单独存在A、同时存在A和B、单独存在B这三种情况。另外，字符“/”，如无特殊说明，一般表示前后关联对象是一种“或”的关系。“多个”是指两个或两个以上，本申请实施例中可以将“多个”理解为“至少两个”。“至少一个”，可理解为一个或多个，例如一个、两个或更多个。

请参考图1，为本申请实施例适用的一种NFV系统的网络架构示意图。该NFV系统包括：运营支撑系统/业务支撑系统(operation support system/business supportsystem，OSS/BSS)、网元管理系统(element management system，EMS)、虚拟网络功能(virtualized network function，VNF)、容器服务、网络功能虚拟化基础设施(networkfunction virtualization infrastructure，NFVI)、网络功能虚拟化编排器(NFVorchestrator，NFVO)、虚拟网络功能管理器(virtualized network functionmanagement，VNFM)、容器管理器container manager、虚拟化基础设施管理器(virtualizedinfrastructure manager，VIM)以及网络功能虚拟化安全控制器(NFV securitycontroller，NFV SC)。其中，NFVO、VNFM、VIM为网络功能虚拟化管理与编排(NFVmanagement and orchestration，NFV MANO)的组成部分。

OSS/BSS主要面向电信服务运营商，提供综合的网络管理和业务运营功能，包括网络管理(例如故障监控、网络信息收集等)、计费管理以及客户服务管理等。

EMS可以用于管理一个或多个VNF，针对VNF实现故障管理、配置管理、计费管理、性能管理、安全管理(fault management、configuration management、accountingmanagement、performance management、security management，简称FCAPS)功能。

VNF对应于传统非虚拟化网络中的物理网络功能(physical network function，PNF)，如虚拟化的演进分组核心网(evolved packet core，EPC)节点。虚拟化的EPC节点包括：移动管理实体(mobile management entity，MME)、服务网关(serving gateway，SGW)和分组数据网关(packet data network gateway，PGW)等。

当VNFM对VNF进行实例化后，能够得到VNF对应的虚拟网络功能实例(virtualizednetwork function instance，VNFI)，VNFI能够部署在虚拟机上，并作为软件化后的网元执行其作为网元的相关功能。

NFVI可以包括计算硬件、存储硬件、网络硬件组成的硬件资源层、虚拟化层、以及虚拟计算(例如虚拟机)、虚拟存储和虚拟网络组成的虚拟资源层。NFVI中的虚拟化层用于抽象硬件资源层的硬件资源，将VNF和硬件资源所属的物理层解耦，向VNF提供虚拟资源。虚拟资源层可以包括虚拟计算、虚拟存储和虚拟网络。虚拟计算、虚拟存储可以以虚拟机(virtual machine，VM)或其他虚拟容器的形式向VNF提供，例如一个或多个虚拟机组成一个VNF。虚拟化层通过抽象网络硬件形成虚拟网络。虚拟网络，用于实现多个虚拟机之间，或多个承载VNF的其他类型的虚拟容器之间的通信。虚拟网络的创建可以通过虚拟LAN(virtual LAN，VLAN)、虚拟专用局域网业务(virtual private LAN service，VPLS)、虚拟可扩展局域网(virtual extensible local area network,VXLAN)或通用路由封装网络虚拟化(network virtualization using generic routing encapsulation，NVGRE)等技术实现。

容器服务，也称容器服务实例，用于为各个NFVI提供高性能可伸缩的容器应用管理服务，这些管理可被打包至可移植容器(docker)中。

NFVO：用于根据OSS/BSS的服务请求，管理VNF的生命周期、编排管理资源以实现NFV服务，以及用于实时监测VNF、NFVI资源及运行状态信息。

VNFM：用于对一个或多个VNF进行管理，执行各种管理功能，如VNF实例的初始化、更新、查询、和/或终止，以及VNF的扩容/缩容。支持接收NFVO下发的弹性伸缩(scaling)策略，实现VNF的弹性伸缩。

VIM：主要负责基础设施层硬件资源、虚拟化资源的管理，监控和故障上报，面向上层应用提供虚拟化资源池，例如可用于控制和管理VNF对应的VNFI。

容器管理，用于管理NFV系统中的各容器服务实例，进行容器服务更新。

NFV SC，负责安全策略的生成管理及发放，并与MANO有三个新增接口，分别负责网络服务(network service，NS)层，VNF层，I层的安全管理。

请参考图2，为本申请实施例提供的一种安全策略管理方法的流程示意图。该方法包括如下的步骤S201至步骤S204：

步骤S201、容器管理器若确定需要对VNF进行容器服务更新，向VNFM发送容器服务更新消息，该容器服务更新消息中包括第一分组标识，该第一分组标识为更新的第一容器服务的分组标识。

所述VNF可以是指VNF实例，VNF实例可由VNFM对VNF进行实例化得到。

步骤S202、VNFM接收容器管理器发送的容器服务更新消息。

步骤S203、若第一分组标识集合中包括第一分组标识，VNFM确定不需要改变VNF应用的安全策略，可向容器管理器发送第一指示信息，该第一指示信息用于指示容器管理器进行容器服务更新，该第一分组标识集合为由该VNF在容器服务更新前调用的至少一个容器服务的分组标识构成的集合。

本申请实施例中，每个容器服务都具有一个对应的分组标识，一个容器服务的分组标识是根据调用该容器服务的VNF，以及该容器服务的安全能力确定的。不同的容器服务的分组标识可以相同，也可以不相同。

这里，VNFM确定不需要改变VNF应用的安全策略是指，容器服务更新后，VNF所需要的安全能力可能没有改变，NFV SC之前下发的第二安全策略仍可继续适用，VNFM无需将VNF在容器服务更新后的部署情况(例如，该VNF调用了哪些容器服务)上报给NFV SC，请求NFVSC进行新的安全策略决策。VNFM可以直接决策，并指示容器管理器进行容器服务更新，从而降低NFV SC的管理复杂度，提升网络部署效率。

也可以理解为，在容器服务更新前，VNF调用的至少一个容器服务的分组标识构成的集合为第一分组标识集合，容器服务更新后，VNF调用的至少一个容器服务的分组标识构成的集合为第二分组标识集合。若第一分组标识集合与第二分组标识集合相同，可认为VNF在容器服务更新前后需要的安全能力没有改变，NFV SC之前下发的第二安全策略仍可继续适用，VNFM无需上报容器服务更新后VNF的部署情况，可以直接决策进行容器服务更新。

步骤S204、容器管理器接收VNFM发送的第一指示信息，对该VNF进行容器服务更新。

本申请实施例中，容器管理器进行容器服务更新可包括容器服务的新增、容器服务的替换、容器服务的位置变化、容器服务的扩容/缩容等多种可能的类型，本申请在此不做具体限定。

若第一分组标识集合中不包括该第一分组标识，VNFM确定需要改变该VNF中应用的安全策略，于是，可向NFV SC发送安全策略请求消息，该安全策略请求消息中包括上述第一分组标识。在一种可能的设计中，该安全策略请求消息中可包括该VNF的标识、容器服务更新后该VNF调用的至少一个容器服务的标识、第一分组标识或者容器服务更新后该VNF调用的每个容器服务的分组标识。

NFV SC接收到安全策略请求消息后，可根据第一分组标识，确定该VNF在进行容器服务更新后应用的第一安全策略，并将该第一安全策略发送至VNFM。在一种可能的设计中，NFV SC可向VNFM发送安全策略响应消息，该安全策略响应消息中可包括该VNF的标识、容器服务更新后该VNF调用的至少一个容器服务的标识、容器服务更新后该VNF调用的每个容器服务的分组标识，以及容器服务更新后，该VNF应用的第一安全策略。

可以理解为，若第一分组标识集合与第二分组标识集合不同，认为容器服务更新后，NFV SC之前下发的第二安全策略已不再适用，VNFM需要将容器服务更新后该VNF的部署情况发送给NFV SC，请求NFV SC下发新的安全策略。第一分组标识集合与第二分组标识集合的定义如上文所述，在此不在赘述。

举例来说，容器服务更新前，VNF调用了容器管理器提供的A、B、C三个容器服务，某一时刻，容器管理器确定需要对该VNF进行容器服务更新，在容器服务更新后，该VNF新调用了容器服务D。如此，若容器服务D的分组标识与容器服务A、B、C中任一容器服务的分组标识相同，则可认为不需要改变VNF应用的安全策略；若容器服务D的分组标识与容器服务A、B、C的分组标识都不相同，则可认为需要改变VNF应用的安全策略，VNFM需要向NFV SC申请新的安全策略。也可以理解为，容器服务A、B、C的分组标识构成了第一分组标识集合，容器服务A、B、C、D的分组标识构成了第二分组标识集合，通过第一分组标识集合与第二分组标识集合的比较，确定是否需要改变VNF应用的安全策略，原理是类似的。

如图3所示，VNFM在接收到该第一安全策略后，可向容器管理器发送第二指示信息，容器管理器在第二指示信息的指示下进行容器服务更新。在一种可能的设计中，第二指示信息中可以包括NFV SC重新下发的第一安全策略，或者NFV SC还可以在将该第一安全策略发送至VNFM的同时，也将该第一安全策略发送至容器管理器，具体不作限定。

在执行步骤S201之前，VNFM还可按照图4中所示的方法对该VNF进行实例化。如图4所示，在步骤S401中，VNFM对该VNF进行实例化，若实例化该VNF需要调用容器服务，在步骤S402中，VNFM可向容器管理器发送服务调用请求消息，该服务调用请求消息中包括该VNF的标识和该VNF请求调用的至少一个容器服务的标识。

在步骤S403中，VNFM还可向NFV SC发送安全策略请求消息，该安全策略请求消息中包括该VNF的标识和该VNF请求调用的至少一个容器服务的标识。应理解，VNFM可以同时发送服务调用请求消息和安全策略请求消息，也可以不同时发送服务调用请求消息和安全策略请求消息，本申请并不限定。

进而，容器管理器接收到服务调用请求消息后，可与NFV SC进行安全能力协商，确定该VNF能够调用的每个容器服务的分组标识(group label)。具体包括：在步骤S404中，容器管理器向NFV SC发送该VNF对应的容器服务集合中每个容器服务的安全能力(securitycapability)。VNF对应的容器服务集合是指该VNF能够调用的容器服务构成的集合，该容器服务集合包括至少一个容器服务，例如可包括服务调用请求消息中VNF请求调用的至少一个容器服务，还可包括容器服务更新消息中更新的第一容器服务，或者还可以包括其它容器服务，每个容器服务的安全能力可体现该容器服务提供的安全特性。在一种可能的设计中，容器管理器向NFV SC发送该VNF对应的容器服务集合中的每个容器服务的安全能力可以为，容器管理器向NFV SC发送安全能力协商消息，该安全能力协商消息中包括该VNF的标识、该VNF能够调用的至少一个容器服务的标识，以及该VNF能够调用的每个容器服务对应的安全能力。

随后，在步骤S405中，NFV SC可根据该VNF的类型，以及容器服务集合中包括的每个容器服务的安全能力，对该VNF能够调用的至少一个容器服务进行分组，确定每个容器服务的分组标识，并在步骤S406中将确定出的每个容器服务的分组标识发送至容器管理器。

可以看出，通过进行安全能力协商，NFV SC可一次性地对VNF能够调用的大量容器服务进行标签分组，确定每个容器服务的分组标识。这样，VNFM可根据容器服务需要更新时，根据更新的容器服务的分组标识，对VNF中应用的安全策略进行有效管理，也可提高网络部署效率。

在一种可能的设计中，NFV SC将确定出的每个容器服务的分组标识发送至容器管理器可以为，NFV SC向容器管理器发送安全能力响应消息，该安全能力响应消息中包括该VNF的标识、该VNF能够调用的至少一个容器服务的标识，以及该VNF能够调用的每个容器服务的分组标识。

需要说明的是，一个分组内可以包括一个容器服务，也可以包括一个或多个容器服务，本申请并不限定。一个容器服务的分组标识可以理解为该容器服务所在的分组的标识，与该容器服务的标识是不同的。一般来说，安全能力相同的容器服务可以被分为一组，具有相同的分组标识，也可以理解为具有相同分组标识的任两个容器服务的安全属性相同。

在步骤S407中，NFV SC还可根据该VNF的类型、该VNF请求调用的至少一个容器服务，以及该VNF请求调用的每个容器服务的安全能力或分组标识，确定该VNF匹配的安全策略，并在步骤S408中将确定出的安全策略发送至VNFM。为了与VNF进行容器服务更新后重新下发的第一安全策略相区别，在此将步骤S408中NFV SC下发的安全策略记作第二安全策略。在将第二安全策略发送至VNFM的同时，NFV SC还可将该VNF能够调用的每个容器服务的分组标识发送至VNFM。于是，VNFM在接收到NFV SC发送的第二安全策略后，VNFM可以对该VNF进行网络部署，得到实例化后的VNF实例。在一种可能的设计中，NFV SC可向VNFM发送安全策略响应消息，该安全策略响应消息中包括该VNF的标识、该VNF调用的至少一个容器服务的标识、该VNF调用的每个容器服务的分组标识、该VNF在实例化后应用的第二安全策略。

本申请实施例中，VNF的类型是指该VNF作为虚拟的网元执行哪种网络功能，VNF的类型可体现出VNF需要的安全特性或者该VNF的安全级别。例如，VNF的类型可以为用户面功能(user plane function，UPF)或会话管理功能(session management function，SMF)，UPF与SMF的安全级别可以相同，因为它们主要用于数据转发，要求的安全特性是类似的，如要求安全启动等。VNF的类型还可以为统一数据管理(unified data management，UDM)，UDM主要用于存储用户的签约数据，安全级别较高，要求的安全特性如硬件加密等。VNF的类型还可以为接入和移动性管理功能(access and mobility management function，AMF)，AMF主要用来进行用户移动性管理，要求的安全特性如高可靠性等。根据VNF的类型的不同，NFVSC决策的安全策略也可能不同。一般来说，VNF中应用的安全策略与VNF所需要的安全特性是对应的，例如安全策略可包括VNF是否需要硬件加密、是否需要安全启动等等。

本申请实施例还提供一种安全策略管理装置，请参阅图5，为本申请实施例提供的一种安全策略管理装置的结构示意图，该装置包括：收发模块510和处理模块520。该装置可以作为VNFM，用于实现上述任一方法实施例中涉及VNFM的功能，该装置也可以作为容器管理器，用于实现上述任一方法实施例中涉及容器管理器的功能，该装置也可以作为NFVSC，用于实现上述任一方法实施例中涉及NFV SC的功能。

当该安全策略管理装置作为VNFM，执行图2中所示的方法实施例时，收发模块510，用于执行接收容器管理器发送的容器服务更新消息的操作；处理模块520用于执行若第一分组标识集合中包括第一分组标识，确定不需要改变VNF应用的安全策略，并通过收发模块510向容器管理器发送第一指示信息的操作。

当该安全策略管理装置作为容器管理器，执行图2中所示的方法实施例时，收发模块510，用于执行在确定需要对VNF进行容器服务更新的情况下，向VNFM发送容器服务更新消息，以及接收VNFM发送的第一指示信息的操作；处理模块520用于执行判断是否确定需要对VNF进行容器服务更新，以及对VNF进行容器服务更新的操作。

当该安全策略管理装置作为NFV SC，执行图4中所示的方法实施例时，收发模块510，用于执行接收容器管理器发送的VNF对应的容器服务集合中每个容器服务的标识和安全能力，以及将容器服务集合中每个容器服务的分组标识发送至容器管理器的操作；处理模块520用于执行根据VNF的类型和容器服务集合中每个容器服务的安全能力，确定每个容器服务的分组标识的操作。

应理解，本申请实施例中提供的装置中涉及的处理模块520可以由处理器或处理器相关电路组件实现，收发模块510可以由收发器或收发器相关电路组件实现。

需要说明的是，本申请实施例提供的安全策略管理装置500可对应于执行本申请实施例提供的安全策略管理方法S201至S204中的VNFM、或对应于执行本申请实施例提供的安全策略管理方法S201至S204中的容器管理器、或对应于执行本申请实施例提供的安全策略管理方法S201至S204中的NFV SC，该装置中的各个模块的操作和/或功能分别为了实现图2中所示方法的相应流程，为了简洁，在此不再赘述。

请参阅图6，为本申请实施例中提供的安全策略管理装置的另一结构示意图。该装置600包括处理器610，存储器620、和通信接口630。可选地，该装置600还包括输入设备640、输出设备650和总线660。其中，处理器610、存储器620、通信接口630以及输入设备640、输出设备660通过总线650相互连接。存储器620中存储指令或程序，处理器610用于执行存储器620中存储的指令或程序。存储器620中存储的指令或程序被执行时，该处理器610用于执行上述方法实施例中处理模块520执行的操作，通信接口630用于执行上述实施例中收发模块510执行的操作。

需要说明的是，本申请实施例提供的装置600可对应于执行本发明实施例提供的安全策略管理方法S201至S204的VNFM或容器管理器或NFV SC，并且该装置600中的各个模块的操作和/或功能分别为了实现图2、图3或图4中所示方法的相应流程，为了简洁，在此不再赘述。

本申请实施例还提供一种芯片系统，包括：处理器，所述处理器与存储器耦合，所述存储器用于存储程序或指令，当所述程序或指令被所述处理器执行时，使得该芯片系统实现上述任一方法实施例中的方法。

可选地，该芯片系统中的处理器可以为一个或多个。该处理器可以通过硬件实现也可以通过软件实现。当通过硬件实现时，该处理器可以是逻辑电路、集成电路等。当通过软件实现时，该处理器可以是一个通用处理器，通过读取存储器中存储的软件代码来实现。

可选地，该芯片系统中的存储器也可以为一个或多个。该存储器可以与处理器集成在一起，也可以和处理器分离设置，本申请并不限定。示例性的，存储器可以是非瞬时性处理器，例如只读存储器ROM，其可以与处理器集成在同一块芯片上，也可以分别设置在不同的芯片上，本申请对存储器的类型，以及存储器与处理器的设置方式不作具体限定。

示例性的，该芯片系统可以是现场可编程门阵列(field programmable gatearray，FPGA)，可以是专用集成芯片(application specific integrated circuit，ASIC)，还可以是系统芯片(system on chip，SoC)，还可以是中央处理器(central processorunit，CPU)，还可以是网络处理器(network processor，NP)，还可以是数字信号处理电路(digital signal processor，DSP)，还可以是微控制器(micro controller unit，MCU)，还可以是可编程控制器(programmable logic device，PLD)或其他集成芯片。

应理解，上述方法实施例中的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。结合本申请实施例公开的方法步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。

本申请实施例还提供一种计算机可读存储介质，所述计算机存储介质中存储有计算机可读指令，当计算机读取并执行所述计算机可读指令时，使得计算机执行上述任一方法实施例中的方法。

本申请实施例提供一种计算机程序产品，当计算机读取并执行所述计算机程序产品时，使得计算机执行上述任一方法实施例中的方法。

本申请实施例提供一种安全策略管理系统，该系统包括上述各方法实施例中所述的VNFM、容器管理器和NFV SC。

应理解，本申请实施例中提及的处理器可以是中央处理单元(centralprocessing unit，CPU)，还可以是其他通用处理器、数字信号处理器(digital signalprocessor，DSP)、专用集成电路(application specific integrated circuit，ASIC)、现成可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

还应理解，本申请实施例中提及的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(dynamic RAM，DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double datarate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM，DR RAM)。

需要说明的是，当处理器为通用处理器、DSP、ASIC、FPGA或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件时，存储器(存储模块)集成在处理器中。

应注意，本文描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应所述以权利要求的保护范围为准。

Claims (18)

1.一种安全策略管理方法，其特征在于，所述方法包括：

虚拟网络功能管理器VNFM接收容器管理器发送的容器服务更新消息，所述容器服务更新消息包括第一分组标识，所述第一分组标识为更新的第一容器服务的分组标识，所述第一分组标识是根据虚拟网络功能VNF的类型和所述第一容器服务的安全能力确定的，所述容器服务更新消息是所述容器管理器确定需要对所述VNF进行容器服务更新后发送的；

若第一分组标识集合中包括所述第一分组标识，所述VNFM确定不需要改变所述VNF应用的安全策略，并向所述容器管理器发送第一指示信息，所述第一指示信息用于指示所述容器管理器进行容器服务更新，所述第一分组标识集合为所述VNF在容器服务更新前调用的至少一个容器服务的分组标识构成的集合。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

若所述第一分组标识集合中不包括所述第一分组标识，所述VNFM确定需要改变所述VNF应用的安全策略，并向网络功能虚拟化安全控制器NFV SC发送安全策略请求消息，所述安全策略请求消息包括所述第一分组标识；

所述VNFM接收所述NFV SC根据所述第一分组标识发送的第一安全策略，所述第一安全策略为所述VNF在容器服务更新后应用的安全策略。

3.根据权利要求1或2所述的方法，其特征在于，所述VNFM接收容器管理器发送的容器服务更新消息之前，所述方法还包括：

所述VNFM对所述VNF进行实例化；

若实例化所述VNF需要调用容器服务，所述VNFM向所述容器管理器发送服务调用请求消息，所述服务调用请求消息中包括所述VNF的标识和所述VNF请求调用的至少一个容器服务的标识。

4.一种安全策略管理方法，其特征在于，所述方法包括：

容器管理器若确定需要对虚拟网络功能VNF进行容器服务更新，则向虚拟网络功能管理器VNFM发送容器服务更新消息，所述容器服务更新消息包括第一分组标识，所述第一分组标识为更新的第一容器服务的分组标识，所述第一分组标识是根据所述VNF的类型和所述第一容器服务的安全能力确定的；

所述容器管理器接收所述VNFM发送的第一指示信息，对所述VNF进行容器服务更新，所述第一指示信息是所述VNFM在确定第一分组标识集合中包括所述第一分组标识后发送的，所述第一分组标识集合为所述VNF在容器服务更新前调用的至少一个容器服务的分组标识构成的集合。

5.根据权利要求4所述的方法，其特征在于，所述容器管理器判断是否需要对VNF调用的容器服务进行更新之前，所述方法还包括：

所述容器管理器向网络功能虚拟化安全控制器NFV SC发送所述VNF对应的容器服务集合中每个容器服务的标识和安全能力，所述容器服务集合为所述VNF能够调用的容器服务的集合，所述容器服务集合中包括所述VNF在容器服务更新前调用的所述至少一个容器服务和所述第一容器服务；

所述容器管理器接收所述NFV SC发送的所述容器服务集合中每个容器服务的分组标识，每个容器服务的分组标识是所述NFV SC根据所述VNF的类型和所述容器服务的安全能力确定的。

6.根据权利要求4或5所述的方法，其特征在于，所述容器管理器向NFV SC发送所述VNF对应的容器服务集合中每个容器服务的标识和安全能力之前，所述方法还包括：

所述容器管理器接收所述VNFM发送的服务调用请求消息，所述服务调用请求消息中包括所述VNF的标识和所述VNF调用的至少一个容器服务的标识，所述服务调用请求消息是所述VNFM确定实例化所述VNF需要调用容器服务后发送的。

7.一种安全策略管理方法，其特征在于，所述方法包括：

网络功能虚拟化安全控制器NFV SC接收容器管理器发送的虚拟网络功能VNF对应的容器服务集合中每个容器服务的标识和安全能力，所述容器服务集合为所述VNF能够调用的容器服务的集合，所述容器服务集合中包括所述VNF在容器服务更新前调用的所述至少一个容器服务和所述第一容器服务；

所述NFV SC根据所述VNF的类型和所述容器服务集合中每个容器服务的安全能力，确定每个容器服务的分组标识，并将所述容器服务集合中每个容器服务的分组标识发送至所述容器管理器。

8.根据权利要求7所述的方法，其特征在于，所述方法还包括：

所述NFV SC接收虚拟网络功能管理器VNFM发送的安全策略请求消息，所述安全策略请求消息中包括第一分组标识，所述第一分组标识为更新的第一容器服务的分组标识，所述安全策略请求消息是所述VNFM确定第一分组标识集合中不包括所述第一分组标识后发送的，所述第一分组标识集合为所述VNF在容器服务更新前调用的至少一个容器服务的分组标识构成的集合；

所述NFV SC根据所述第一分组标识，确定所述VNF在容器服务更新后应用的第一安全策略，并将所述第一安全策略发送至所述VNFM。

9.一种安全策略管理装置，其特征在于，所述装置包括：

收发模块，用于接收容器管理器发送的容器服务更新消息，所述容器服务更新消息包括第一分组标识，所述第一分组标识为更新的第一容器服务的分组标识，所述第一分组标识是根据虚拟网络功能VNF的类型和所述第一容器服务的安全能力确定的，所述容器服务更新消息是所述容器管理器确定需要对所述VNF进行容器服务更新后发送的；

处理模块，用于若第一分组标识集合中包括所述第一分组标识，确定不需要改变所述VNF应用的安全策略，并通过所述收发模块向所述容器管理器发送第一指示信息，所述第一指示信息用于指示所述容器管理器进行容器服务更新，所述第一分组标识集合为所述VNF在容器服务更新前调用的至少一个容器服务的分组标识构成的集合。

10.根据权利要求9所述的装置，其特征在于，所述处理模块还用于：

若所述第一分组标识集合中不包括所述第一分组标识，确定需要改变所述VNF应用的安全策略，并通过所述收发模块向网络功能虚拟化安全控制器NFV SC发送安全策略请求消息，所述安全策略请求消息包括所述第一分组标识；

所述收发模块还用于，接收所述NFV SC根据所述第一分组标识发送的第一安全策略，所述第一安全策略为所述VNF在容器服务更新后应用的安全策略。

11.根据权利要求9或10所述的装置，其特征在于，所述收发模块接收容器管理器发送的容器服务更新消息之前，所述处理模块还用于：

对所述VNF进行实例化；

若实例化所述VNF需要调用容器服务，通过所述收发模块向所述容器管理器发送服务调用请求消息，所述服务调用请求消息中包括所述VNF的标识和所述VNF请求调用的至少一个容器服务的标识。

12.一种安全策略管理装置，其特征在于，所述装置包括：

处理模块，用于若确定需要对虚拟网络功能VNF进行容器服务更新，通过收发模块向虚拟网络功能管理器VNFM发送容器服务更新消息，所述容器服务更新消息包括第一分组标识，所述第一分组标识为更新的第一容器服务的分组标识，所述第一分组标识是根据所述VNF的类型和所述第一容器服务的安全能力确定的；

所述收发模块还用于，接收所述VNFM发送的第一指示信息；

所述处理模块还用于，在所述收发模块接收所述第一指示信息后，对所述VNF进行容器服务更新，所述第一指示信息是所述VNFM在确定第一分组标识集合中包括所述第一分组标识后发送的，所述第一分组标识集合为所述VNF在容器服务更新前调用的至少一个容器服务的分组标识构成的集合。

13.根据权利要求12所述的装置，其特征在于，所述处理模块判断是否需要对VNF进行容器服务更新之前，所述收发模块还用于：

向网络功能虚拟化安全控制器NFV SC发送所述VNF对应的容器服务集合中每个容器服务的标识和安全能力，所述容器服务集合为所述VNF能够调用的容器服务的集合，所述容器服务集合中包括所述VNF在容器服务更新前调用的所述至少一个容器服务和所述第一容器服务；

接收所述NFV SC发送的所述容器服务集合中每个容器服务的分组标识，每个容器服务的分组标识是所述NFV SC根据所述VNF的类型和所述容器服务的安全能力确定的。

14.根据权利要求12或13所述的装置，其特征在于，所述收发模块向NFV SC发送所述VNF对应的容器服务集合中每个容器服务的标识和安全能力之前，所述收发模块还用于：

接收所述VNFM发送的服务调用请求消息，所述服务调用请求消息中包括所述VNF的标识和所述VNF调用的至少一个容器服务的标识，所述服务调用请求消息是所述VNFM确定实例化所述VNF需要调用容器服务后发送的。

15.一种安全策略管理装置，其特征在于，所述装置包括：

收发模块，用于接收容器管理器发送的虚拟网络功能VNF对应的容器服务集合中每个容器服务的标识和安全能力，所述容器服务集合为所述VNF能够调用的容器服务的集合，所述容器服务集合中包括所述VNF在容器服务更新前调用的所述至少一个容器服务和所述第一容器服务；

处理模块，用于根据所述VNF的类型和所述容器服务集合中每个容器服务的安全能力，确定每个容器服务的分组标识，并将所述容器服务集合中每个容器服务的分组标识发送至所述容器管理器。

16.根据权利要求15所述的装置，其特征在于，所述收发模块还用于：

接收虚拟网络功能管理器VNFM发送的安全策略请求消息，所述安全策略请求消息中包括第一分组标识，所述第一分组标识为更新的第一容器服务的分组标识，所述安全策略请求消息是所述VNFM确定第一分组标识集合中不包括所述第一分组标识后发送的，所述第一分组标识集合为所述VNF在容器服务更新前调用的至少一个容器服务的分组标识构成的集合；

所述处理模块还用于：

根据所述第一分组标识，确定所述VNF在容器服务更新后应用的第一安全策略，并通过所述收发模块将所述第一安全策略发送至所述VNFM。

17.一种安全策略管理装置，其特征在于，所述装置包括至少一个处理器，所述至少一个处理器与至少一个存储器耦合：

所述至少一个处理器，用于执行所述至少一个存储器中存储的计算机程序或指令，以使得所述装置执行如权利要求1至8中任一项所述的方法。

18.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机程序或指令，当计算机读取并执行所述计算机程序或指令时，使得计算机执行如权利要求1至8中任一项所述的方法。

Images