CN111901154B - 基于nfv的安全架构系统和安全部署及安全威胁处理方法 - Google Patents

基于nfv的安全架构系统和安全部署及安全威胁处理方法 Download PDF

Info

Publication number
CN111901154B
CN111901154B CN202010632902.2A CN202010632902A CN111901154B CN 111901154 B CN111901154 B CN 111901154B CN 202010632902 A CN202010632902 A CN 202010632902A CN 111901154 B CN111901154 B CN 111901154B
Authority
CN
China
Prior art keywords
security
service
network element
orchestrator
function virtualization
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010632902.2A
Other languages
English (en)
Other versions
CN111901154A (zh
Inventor
王峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fiberhome Telecommunication Technologies Co Ltd
Original Assignee
Fiberhome Telecommunication Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fiberhome Telecommunication Technologies Co Ltd filed Critical Fiberhome Telecommunication Technologies Co Ltd
Priority to CN202010632902.2A priority Critical patent/CN111901154B/zh
Publication of CN111901154A publication Critical patent/CN111901154A/zh
Application granted granted Critical
Publication of CN111901154B publication Critical patent/CN111901154B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0213Standardised network management protocols, e.g. simple network management protocol [SNMP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5061Network service management, e.g. ensuring proper service fulfilment according to agreements characterised by the interaction between service providers and their network customers, e.g. customer relationship management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5077Network service management, e.g. ensuring proper service fulfilment according to agreements wherein the managed service relates to simple transport services, i.e. providing only network infrastructure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于NFV的安全架构系统和安全部署及安全威胁处理方法。本发明提供的基于NFV的安全架构系统及运行方法,基于ESTI架构定义了网络功能虚拟化联合编排器NFVUO、网络功能虚拟化安全编排器NFVSO、安全控制器SC、安全虚拟网元管理器SVNFM、安全管理平台SMP,并且定义了与标准组件网络功能虚拟化编排器NFVO、虚拟网络功能管理器VNFM(包括AVNFM、SVNFM、SCNFM)、虚拟化基础设施管理器VIM、SDN控制器之间的接口,在统一架构中,支持集中式的安全资源池,支持基于业务资源池的安全虚拟网元;本发明提供的基于NFV的安全架构系统及运行方法,实现了业务资源池与安全资源池、业务虚拟网元AVNF与安全虚拟网元SVNF、传统安全网元的统一编排和调度。

Description

基于NFV的安全架构系统和安全部署及安全威胁处理方法
技术领域
本发明属于通信技术领域,更具体地,涉及一种基于NFV的安全架构系统和安全部署及安全威胁处理方法。
背景技术
网络功能虚拟化NFV(Network Function Virtualization)通过虚拟化技术,将x86服务器、网络设备、存储设备等硬件抽象为虚拟资源,作为业务资源池,提供给电信网元。电信网元使用虚拟资源就像使用实际物理资源一样。NFV使得通用硬件替代了专用的硬件设备,降低设备成本。并且使用云计算技术实现弹性扩缩容、敏捷迭代,能够快速响应客户的需求。
随着电信领域NFV的发展,安全的需求越来越迫切。但是NFV的安全与传统行业、公有云、私有云安全有较大的区别。NFV主要服务的是电信网元,电信网元的有自己的安全需求,传统的安全方案无法较好的解决电信网元的安全要求。例如:电信网元安全统一编排,电信网元安全威胁联动处理。NFV安全需要在欧洲电信标准化协会ETSI(EuropeanTelecommunications Standards Institute)定义的NFV架构下实现。目前还没有一个合适的NFV安全架构,保持与ETSI兼容,也没有定义相关的接口。
发明内容
针对现有技术所存在的问题,本发明提供了一种基于NFV的安全架构系统和安全部署及安全威胁处理方法,能够协调业务编排器、安全编排器、电信网元、安全控制器、业务资源池和安全资源池。实现按需部署、动态部署,及时处理安全威胁。
为实现上述目的,按照本发明的一个方面,提供了一种基于NFV的安全架构系统,包括网络功能虚拟化编排器NFVO、安全控制器SC、虚拟化基础设施管理器VIM和SDN控制器,其中:
网络功能虚拟化编排器NFVO包括:网络功能虚拟化业务编排器NFVAO、网络功能虚拟化安全编排器NFVSO和网络功能虚拟化联合编排器NFVUO,网络功能虚拟化业务编排器NFVAO负责网络功能服务的管理,网络功能虚拟化安全编排器NFVSO负责安全服务的管理,网络功能虚拟化联合编排器NFVUO负责根据网络功能虚拟化业务编排器NFVAO的网络功能需求和网络功能虚拟化安全编排器NFVSO的安全需求统一编排;
安全控制器SC包括安全管理平台SMP、安全虚拟网元管理器SVNFM、传统安全网元管理器SCNFM、安全虚拟网元管理系统SVEMS、传统安全网元管理系统SCEMS和安全北向接口,安全管理平台SMP负责管理所有的安全资源,包括基于业务资源池的安全虚拟网元SVNF和基于安全资源池的传统安全网元,安全管理平台SMP向虚拟化基础设施管理器VIM下发指令,创建安全虚拟网元SVNF,安全管理平台SMP向传统安全网元管理系统SCEMS下发指令,创建传统安全网元,安全虚拟网元管理系统SVEMS负责管理、配置基于业务资源池的安全虚拟网元SVNF,传统安全网元管理系统SCEMS负责创建、管理、配置基于安全资源池的传统安全网元,安全虚拟网元管理器SVNFM负责向网络功能虚拟化安全编排器NFVSO提供基于业务资源池的安全虚拟网元SVNF的资源配置需求,传统安全网元管理器SCNFM负责向网络功能虚拟化安全编排器NFVSO提供基于安全资源池的传统安全网元的资源配置需求,安全管理平台SMP负责提供安全资源池的资源配置和能力,安全北向接口负责向网络功能虚拟化安全编排器NFVSO提供安全管理平台SMP的北向管理接口;
虚拟化基础设施管理器VIM统一管理业务资源池和SDN控制器,基于虚拟化技术,服务器、网络设备和存储设备被抽象为虚拟化平台,虚拟化基础设施管理器VIM统一管理虚拟化平台的资源,提供业务资源池服务,接受网络功能虚拟化业务编排器NFVAO的指令创建业务虚拟网元AVNF,接受网络功能虚拟化安全编排器NFVSO通过安全管理平台SMP下发的指令创建安全虚拟网元SVNF;
SDN控制器负责接受虚拟化基础设施管理器VIM的网络配置请求,统一管理业务资源池和安全资源池的网络。
本发明的一个实施例中,所述安全管理平台SMP负责创建、配置、管理安全资源,包括基于安全资源池的传统安全网元和基于业务资源池的安全虚拟网元。
本发明的一个实施例中,安全管理平台SMP自动处理业务资源池和业务的安全威胁,安全管理平台SMP基于安全策略即时决策安全事件是否上报给网络功能虚拟化安全编排器NFVSO,网络功能虚拟化安全编排器NFVSO判断是否需要执行隔离与恢复业务虚拟网元AVNF操作,如有必要则向网络功能虚拟化联合编排器NFVUO发出请求,网络功能虚拟化联合编排器NFVUO重新调整并下发业务和安全配置,网络功能虚拟化联合编排器NFVUO通过网络功能虚拟化业务编排器NFVAO、虚拟化基础设施管理器VIM、SDN控制器,隔离业务虚拟网元AVNF的业务网络流量,网络功能虚拟化联合编排器NFVUO通过网络功能虚拟化安全编排器NFVSO、安全北向接口、安全管理平台SMP、传统安全网元管理系统SCEMS、防火墙,隔离业务虚拟网元AVNF的业务网络流量。
本发明的一个实施例中,在创建基于业务资源池的安全虚拟网元SVNF的场景下,网络功能虚拟化安全编排器NFVSO通过安全北向接口sor-smp,向安全管理平台SMP请求创建安全虚拟网元SVNF,安全管理平台SMP通过接口smp-vim
,向虚拟化基础设施管理器VIM发送指令,由虚拟化基础设施管理器VIM创建安全虚拟网元SVNF,由安全虚拟网元管理系统SVEMS配置、管理新建的安全虚拟网元SVNF,在创建基于安全资源池的安全网元的场景下,网络功能虚拟化安全编排器NFVSO通过安全北向接口sor-smp,向安全管理平台SMP请求创建安全网元,安全管理平台SMP通过接口smp-sems,向传统安全网元管理系统SCEMS发送指令,由传统安全网元管理系统SCEMS创建、配置、管理传统安全网元。
本发明的一个实施例中,所述网络功能虚拟化业务编排器NFVAO根据业务需求,通过接口aor-vnfm,向业务虚拟网元管理器AVNFM获取业务虚拟网元AVNF的业务配置和安全配置需求,并且编排所有的业务虚拟网元AVNF成为一个可用的业务系统。
本发明的一个实施例中,所述网络功能虚拟化安全编排器NFVSO支持安全控制器SC,网络功能虚拟化安全编排器NFVSO通过接口sor-svnfm和sor-scnfm,从安全虚拟网元管理器SVNFM和传统安全网元管理器SCNFM获取安全虚拟网元SVNF和传统安全网元的资源配置需求,通过安全北向接口sor-smp,获取安全管理平台SMP的资源配置和能力。
本发明的一个实施例中,安全虚拟网元SVNF,通过虚拟化方式实现安全功能,运行在业务资源池上,由安全虚拟网元管理系统SVEMS通过接口svems-svnf管理。
本发明的一个实施例中,所述虚拟化基础设施管理器VIM统一管理业务资源池,通过接口nfvi-vim,负责直接管理业务虚拟网元AVNF和安全虚拟网元SVNF的生命周期,虚拟化基础设施管理器VIM通过接口vim-sdnc直接且唯一管理SDN控制器;SDN控制器负责仅接受虚拟化基础设施管理器VIM的网络配置请求,为业务虚拟网元AVNF、安全虚拟网元SVNF和传统安全网元提供网络服务;SDN控制器生成流表和网络配置,将业务虚拟网元AVNF、安全虚拟网元SVNF和传统安全网元之间的业务网络和安全网络打通。
按照本发明的另一方面,还提供了一种基于上述基于NFV的安全架构系统的安全部署方法,包括:
S201、网络功能虚拟化联合编排器NFVUO通过接口uor-aor,向网络功能虚拟化业务编排器NFVAO发起业务编排请求;
S202、网络功能虚拟化业务编排器NFVAO收到编排请求后,通过接口aor-vnfm,向相关的业务虚拟网元管理器AVNFM发起业务虚拟网元配置请求,业务虚拟网元配置请求包括业务配置和安全配置请求;
S203、业务虚拟网元管理器AVNFM返回配置数据,包括资源配置和安全配置,其中,业务配置包括业务虚拟网元描述符AVNFD,描述了网元的资源需求,安全配置描述了网元安全需求;
S204、网络功能虚拟化业务编排器NFVAO编排所有的业务虚拟网元AVNF成为一个可用的业务系统,网络功能虚拟化业务编排器NFVAO将业务系统的的资源配置、业务虚拟网元AVNF的资源配置和安全配置数据需求,返回给网络功能虚拟化联合编排器NFVUO;
S205、网络功能虚拟化联合编排器NFVUO根据业务编排的需求,输出业务安全需求,包括:业务主机安全配置需求,业务网络安全配置需求,业务威胁隔离策略、业务威胁恢复策略,网络功能虚拟化联合编排器NFVUO根据业务安全需求,通过接口uor-sor,向网络功能虚拟化安全编排器NFVSO发起安全编排请求;
S206、网络功能虚拟化安全编排器NFVSO收到安全编排请求后,通过接口sor-svnfm、sor-scnfm和sor-smp,向安全虚拟网元管理器SVNFM或传统安全网元管理器SCNFM、安全管理平台SMP发起安全配置请求,安全虚拟网元管理器SVNFM或传统安全网元管理器SCNFM、安全管理平台SMP返回数据,包括安全虚拟网元和传统安全网元的资源配置需求,安全资源池的资源能力,其中,资源配置包括安全虚拟网元描述符SVNFD,描述了安全虚拟网元、传统安全网元的资源需求,资源能力包括安全虚拟网元和传统安全网元支持的安全能力;
S207、网络功能虚拟化安全编排器NFVSO收到安全配置以后返回给网络功能虚拟化联合编排器NFVUO;
S208、网络功能虚拟化联合编排器NFVUO根据网络功能虚拟化业务编排器NFVAO和网络功能虚拟化安全编排器NFVSO返回的数据,联合编排业务系统与安全的配置需求,生成业务虚拟网元AVNF、安全虚拟网元SVNF、传统安全网元的配置数据;
S209、网络功能虚拟化联合编排器NFVUO通过接口uor-sor,向网络功能虚拟化安全编排器NFVSO下发安全虚拟网元创建请求,包含了安全网元的配置数据;
S210、网络功能虚拟化安全编排器NFVSO通过接口sor-smp,发给安全管理平台SMP;
S211、安全管理平台SMP接受到安全网元创建请求后,如果是安全虚拟网元SVNF,则通过接口smp-vim,向虚拟化基础设施管理器VIM发出安全虚拟网元SVNF创建请求;如果是传统安全网元,则通过接口smp-sems,向传统安全网元管理系统SCEMS下发指令,由传统安全网元管理系统SCEMS在安全资源池中创建传统安全网元,传统安全网元创建成功后,由传统安全网元管理系统SCEMS通过传统安全网元管理接口,管理传统安全网元;
S212、虚拟化基础设施管理器VIM通过接口vim-sdnc,向SDN控制器发出请求,为安全虚拟网元SVNF准备安全网络;
S213、虚拟化基础设施管理器VIM通过接口nfvi-vim,在业务资源池创建安全虚拟网元SVNF;
S214、安全虚拟网元SVNF创建成功后,由安全虚拟网元管理系统SVEMS通过接口svems-svnf,管理安全虚拟网元SVNF;
S215、网络功能虚拟化联合编排器NFVUO通过接口uor-aor,向网络功能虚拟化业务编排器NFVAO下发业务虚拟网元AVNF创建请求,包含了业务虚拟网元AVNF的配置数据;
S216、网络功能虚拟化业务编排器NFVAO通过接口aor-vim,发给虚拟化基础设施管理器VIM;
S217、虚拟化基础设施管理器VIM通过接口vim-sdnc,向SDN控制器发出请求,为业务虚拟网元AVNF准备业务网络,此时业务虚拟网元AVNF、安全虚拟网元SVNF、传统安全网元之间的业务网络、安全网络打通;
S218、虚拟化基础设施管理器VIM通过接口nfvi-vim,在业务资源池创建业务虚拟网元AVNF,业务虚拟网元AVNF创建成功后,由业务网元管理系统AEMS通过接口aems-avnf,管理业务虚拟网元AVNF;业务和安全部署完成。
按照本发明的另一方面,还提供了一种基于上述基于NFV的安全架构系统的安全威胁处理方法,包括:
S301、安全虚拟网元SVNF检测到业务虚拟网元AVNF已经被感染,安全虚拟网元SVNF通过接口svems-svnf上报给安全虚拟网元管理器SVEMS;
S302、安全网元管理器SVEMS通过接口smp-sems,向安全管理平台SMP发出告警,上报业务虚拟机被感染;
S303、安全管理平台SMP基于安全策略和安全威胁决策,判断是否可以自行解决,是否需要上报给网络功能虚拟化安全编排器NFVSO,安全管理平台SMP通过安全北向接口sor-smp,上报给网络功能虚拟化安全编排器NFVSO,上报业务虚拟网元被感染,包括安全威胁信息和业务虚拟网元信息;
S304、网络功能虚拟化安全编排器NFVSO处理安全威胁告警,并且基于业务安全策略,决策是否需要触发安全隔离与恢复操作,网络功能虚拟化安全编排器NFVSO通过接口uor-sor,向网络功能虚拟化联合编排器NFVUO发出新建业务虚拟机请求,以替代感染业务虚拟机;
S305、网络功能虚拟化联合编排器NFVUO基于业务场景,重新发起业务虚拟机新建流程请求新建业务虚拟机,网络功能虚拟化联合编排器NFVUO通过接口uor-aor,向网络功能虚拟化业务编排器NFVAO下发指令,请求新建业务虚拟机
S306、网络功能虚拟化业务编排器NFVAO通过接口aor-vim,向虚拟化基础设施管理器VIM请求新建业务虚拟机;
S307、虚拟化基础设施管理器VIM通过接口vim-sdnc,指令SDN控制器新建业务网络;
S308、虚拟化基础设施管理器VIM通过接口nfvi-vim,创建了原业务虚拟网元AVNF的新业务虚拟机;
S309、网络功能虚拟化联合编排器NFVUO通过接口uor-sor,向网络功能虚拟化安全编排器NFVSO下发指令,请求重新下发新建业务虚拟机的安全配置;
S310、网络功能虚拟化安全编排器NFVSO通过接口sor-smp,向安全管理平台SMP下发指令,请求重新下发新建业务虚拟机的安全配置;
S311、安全管理平台SMP通过接口smp-sems,向网元管理器SVEMS下发指令,请求重新下发新建业务虚拟机的安全配置;
S312、网元管理器SVEMS通过接口svems-svnf,向安全虚拟网元SVNF下发新建业务虚拟机的安全配置;
S313、网络功能虚拟化联合编排器NFVUO通过接口uor-aor,向网络功能虚拟化业务编排器NFVAO下发指令,请求业务从感染业务虚拟机到新建业务虚拟机的切换;
S314、网络功能虚拟化业务编排器NFVAO通过接口aor-vnfm,向业务虚拟网元管理器AVNFM,业务虚拟网元管理器AVNFM通过接口aems-avnfm,向业务网元管理器AEMS通知,新的业务虚拟机创建完成;
S315、业务网元管理器AEMS重新下发业务配置,完成业务从感染业务虚拟机到新建业务虚拟机的切换;业务恢复正常;
S316、网络功能虚拟化业务编排器NFVAO通过接口aor-vim,向虚拟化基础设施管理器VIM请求安全处理感染业务虚拟机,安全处理操作包括:业务流量断流、断开虚拟端口、杀死/重启/暂停业务虚拟机;安全威胁处理完成。
总体而言,通过本发明所构思的以上技术方案与现有技术相比,具有如下有益效果:
(1)本发明提供的基于NFV的安全架构系统及运行方法,基于ESTI架构定义了网络功能虚拟化联合编排器NFVUO、网络功能虚拟化安全编排器NFVSO、安全控制器SC、安全虚拟网元管理器SVNFM、安全管理平台SMP,并且定义了与标准组件网络功能虚拟化编排器NFVO、虚拟网络功能管理器VNFM(包括AVNFM、SVNFM、SCNFM)、虚拟化基础设施管理器VIM、SDN控制器之间的接口,在统一架构中,支持集中式的安全资源池,支持基于业务资源池的安全虚拟网元;
(2)本发明提供的基于NFV的安全架构系统及运行方法,实现了业务资源池与安全资源池、业务虚拟网元AVNF与安全虚拟网元SVNF、传统安全网元的统一编排和调度;
(3)本发明提供的基于NFV的安全架构系统及运行方法,虚拟化基础设施管理器VIM、安全控制器SC与SDN控制器统一了接口,避免了多头管理,信息分散;
(4)本发明提供的基于NFV的安全架构系统及运行方法,安全控制器支持安全策略,根据业务安全需求,即时判断威胁,动态隔离业务虚拟网元与业务资源池,及时恢复业务。
(5)本发明提供的基于NFV的安全架构系统及运行方法,安全事件处理支持安全与业务的协同联动。安全控制器获取业务虚拟网元的安全需求。根据业务和安全的整体需求,即时判断威胁,创建并且切换到新的业务中,尽量避免业务损失。
附图说明
图1为本发明实施例提供的一种基于NFV的安全架构系统的框架图;
图2为本发明实施例提供的一种基于NFV的安全架构系统的安全部署时序图;
图3为本发明实施例提供的一种基于NFV的安全架构系统的安全威胁处理时序图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
首先对本发明实施例中出现的专业术语进行解释:
运营支撑系统OSS(Operation-Support System);
网络功能虚拟化NFV(Network Function Virtualization);
网络功能虚拟化编排器NFVO(NFV Orchestrator);
网络功能虚拟化联合编排器NFVUO(NFV Union Orchestrator);
网络功能虚拟化业务编排器NFVAO(NFV Application Orchestrator);
网络功能虚拟化安全编排器NFVSO(NFV Security Orchestrator);
网元管理系统EMS(Element Management System);
虚拟网络功能VNF(Virtual Network Function);
虚拟化网络功能管理器VNFM(Virtualized Network Function Manager);
业务网元管理系统AEMS(Application EMS);
业务虚拟网元AVNF(Application VNF);
业务虚拟网元管理器AVNFM(Application VNF Manager);
业务虚拟网元描述符AVNFD(Application VNF Descriptor);
安全控制器SC(Security Controller);
安全管理平台SMP(Security Management Platform);
安全虚拟网元SVNF(Security VNF);
安全虚拟网元描述符SVNFD(Security VNF Descriptor);
安全虚拟网元管理器SVNFM(Security VNF Manager);
安全虚拟网元管理系统SVEMS(Security Virtual Element ManagementSystem);
传统安全网元管理器SCNFM(Security Classic VNF Manager);
传统安全网元管理系统SCEMS(Security Classic Element ManagementSystem);
虚拟化基础设施管理器VIM(Virtual Infrastructure Manager);
软件定义网络SDN(Software defined Network);
SDN控制器(SDN Controller);
网络功能基础设施层NFVI(Network Function VirtualizationInfrastructure);
IP存储网络IP-SAN(IP Storage Area Network)。
实施例1
本发明实施例提供的NFV安全架构和方法可以应用于运营商NFV核心网、边缘网,数据中心、边缘站点。如图1所示,本发明实施例提供了一种基于NFV的安全架构系统,包括网络功能虚拟化编排器NFVO、安全控制器SC、虚拟化基础设施管理器VIM和SDN控制器,其中:
网络功能虚拟化编排器NFVO包括:网络功能虚拟化业务编排器NFVAO、网络功能虚拟化安全编排器NFVSO和网络功能虚拟化联合编排器NFVUO,网络功能虚拟化业务编排器NFVAO负责网络功能服务的管理,网络功能虚拟化安全编排器NFVSO负责安全服务的管理,网络功能虚拟化联合编排器NFVUO负责根据网络功能虚拟化业务编排器NFVAO的网络功能需求和网络功能虚拟化安全编排器NFVSO的安全需求统一编排;
安全控制器SC包括安全管理平台SMP、安全虚拟网元管理器SVNFM、传统安全网元管理器SCNFM、安全虚拟网元管理系统SVEMS、传统安全网元管理系统SCEMS和安全北向接口,安全管理平台SMP负责管理所有的安全资源,包括基于业务资源池的安全虚拟网元SVNF和基于安全资源池的传统安全网元,安全管理平台SMP向虚拟化基础设施管理器VIM下发指令,创建安全虚拟网元SVNF,安全管理平台SMP向传统安全网元管理系统SCEMS下发指令,创建传统安全网元,安全虚拟网元管理系统SVEMS负责管理、配置基于业务资源池的安全虚拟网元SVNF,传统安全网元管理系统SCEMS负责创建、管理、配置基于安全资源池的传统安全网元,安全虚拟网元管理器SVNFM负责向网络功能虚拟化安全编排器NFVSO提供基于业务资源池的安全虚拟网元SVNF的资源配置需求,传统安全网元管理器SCNFM负责向网络功能虚拟化安全编排器NFVSO提供基于安全资源池的传统安全网元的资源配置需求,安全管理平台SMP负责提供安全资源池的资源配置和能力,安全北向接口负责向网络功能虚拟化安全编排器NFVSO提供安全管理平台SMP的北向管理接口;
虚拟化基础设施管理器VIM统一管理业务资源池和SDN控制器,基于虚拟化技术,服务器、网络设备和存储设备被抽象为虚拟化平台,虚拟化基础设施管理器VIM统一管理虚拟化平台的资源,提供业务资源池服务,接受网络功能虚拟化业务编排器NFVAO的指令创建业务虚拟网元AVNF,接受网络功能虚拟化安全编排器NFVSO通过安全管理平台SMP下发的指令创建安全虚拟网元SVNF;
SDN控制器负责接受虚拟化基础设施管理器VIM的网络配置请求,统一管理业务资源池和安全资源池的网络。
具体地,运营支撑系统OSS负责跨专业、跨厂家的网元、网络的运维管理。包括:资源管理、故障管理、性能管理、优化管理、运维管理以及计费、账务等。其中资源管理系统实现对全网资源的端到端管理能力;故障管理系统实现设备告警、实时性能的采集处理;性能管理系统实现业务端到端质量监测和定界定位分析。运维管理系统实现日常运维生产及指挥调度提供流程支撑。
网络功能虚拟化编排器NFVO包括:网络功能虚拟化业务编排器NFVAO、网络功能虚拟化安全编排器NFVSO和网络功能虚拟化联合编排器NFVUO。
网络功能虚拟化业务编排器NFVAO负责网络功能服务的管理,包括业务虚拟网元AVNF的业务编排管理功能。
网络功能虚拟化安全编排器NFVSO负责安全服务的管理,包括:传统安全网元、安全虚拟网元SVNF的安全编排管理功能。
网络功能虚拟化联合编排器NFVUO负责根据网络功能虚拟化业务编排器NFVAO的网络功能需求和网络功能虚拟化安全编排器NFVSO,综合业务虚拟网元AVNF的业务需求和安全需求,统一管理和编排业务虚拟网元AVNF和传统安全网元、安全虚拟网元SVNF。
具体地,网络功能虚拟化业务编排器NFVAO根据业务需求,通过接口aor-vnfm,向业务虚拟网元管理器AVNFM获取业务虚拟网元AVNF的资源配置和安全配置需求。编排所有关联的业务虚拟网元AVNF成为一个可用的业务系统,并且生成业务系统的资源配置需求。
网络功能虚拟化安全编排器NFVSO通过接口sor-svnfm和sor-scnfm,从安全虚拟网元管理器SVNFM和传统安全网元管理器SCNFM获取传统安全网元和安全虚拟网元SVNF的资源配置需求。通过安全北向接口,从安全管理平台获取安全资源池的资源配置和能力。并且编排所有关联的安全实体成为一个安全的业务系统,生成安全系统的资源配置需求。
网络功能虚拟化联合编排器NFVUO统一处理网络功能虚拟化业务编排器NFVAO和网络功能虚拟化安全编排器NFVSO的资源配置和安全配置需求,统一编排业务系统和安全系统,生成相关的资源配置。通过接口uor-aor和uor-sor,下发给网络功能虚拟化业务编排器NFVAO和网络功能虚拟化安全编排器NFVSO。最终通过接口aor-vim和sor-smp,下发给虚拟化基础设施管理器VIM和安全控制器SC;
安全控制器SC包括:安全管理平台SMP、安全虚拟网元管理系统SVEMS、传统安全网元管理系统SCEMS、安全虚拟网元管理器SVNFM、传统安全网元管理器SCNFM和安全北向接口。其中:
安全管理平台SMP负责管理安全资源,负责创建、配置、管理安全资源,支持基于安全资源池的传统安全网元管理和基于业务资源池的安全虚拟网元管理。安全管理平台SMP通过安全虚拟网元管理系统SVEMS、传统安全网元管理系统SCEMS管理传统安全网元和安全虚拟网元。安全管理平台SMP也支持安全门户、安全运维、安全审计、安全策略与决策、安全告警等功能。
安全管理平台SMP自动处理业务资源池和业务的安全威胁,安全管理平台SMP基于安全策略即时决策安全事件是否上报给网络功能虚拟化安全编排器NFVSO,网络功能虚拟化安全编排器NFVSO判断是否需要执行隔离与恢复业务虚拟网元AVNF操作,如有必要则向网络功能虚拟化联合编排器NFVUO发出请求,网络功能虚拟化联合编排器NFVUO重新调整并下发业务和安全配置,网络功能虚拟化联合编排器NFVUO通过网络功能虚拟化业务编排器NFVAO、虚拟化基础设施管理器VIM、SDN控制器,隔离业务虚拟网元AVNF的业务网络流量,网络功能虚拟化联合编排器NFVUO通过网络功能虚拟化安全编排器NFVSO、安全北向接口、安全管理平台SMP、传统安全网元管理系统SCEMS、防火墙,隔离业务虚拟网元AVNF的业务网络流量。
安全虚拟网元管理系统SVEMS、传统安全网元管理系统SCEMS负责管理安全网元,包括安全虚拟网元和传统安全网元。传统安全网元包括:防火墙、漏洞扫描、深度报文检测、防病毒、入侵检测服务和Web应用防护系统。安全虚拟网元可以提供类似的功能。
安全虚拟网元管理器SVNFM、传统安全网元管理器SCNFM负责提供安全虚拟网元SVNF和传统安全网元的资源配置需求。
安全北向接口负责提供安全管理平台SMP的管理接口。在创建基于业务资源池的安全虚拟网元SVNF的场景下,网络功能虚拟化安全编排器NFVSO从安全北向接口向安全管理平台SMP请求创建安全虚拟网元SVNF,安全管理平台SMP将其转发给虚拟化基础设施管理器VIM,由虚拟化基础设施管理器VIM统一创建业务虚拟网元AVNF和安全虚拟网元SVNF。在安全资源池的场景下,安全管理平台SMP管理独立的安全资源池,并负责创建、配置和管理传统安全网元。
安全管理平台SMP自动处理业务资源池和业务的安全威胁。基于安全策略,安全管理平台SMP即时决策安全事件,包括资源池、网元和业务信息,是否上报给网络功能虚拟化安全编排器NFVSO。网络功能虚拟化安全编排器NFVSO判断是否需要执行隔离与恢复业务虚拟网元AVNF操作。如有必要则向网络功能虚拟化联合编排器NFVUO发出请求。网络功能虚拟化联合编排器NFVUO重新调整和下发配置。
虚拟化基础设施管理器VIM统一管理业务资源池,负责直接管理业务虚拟网元AVNF和安全虚拟网元SVNF的生命周期。虚拟化基础设施管理器VIM直接且唯一管理SDN控制器。SVNF或者AVNF都是表示虚拟化的网元,运行在业务资源池上,业务资源池承载SVNF或者AVNF。
SDN控制器负责管理、配置业务资源池和安全资源池的网络资源,为业务虚拟网元AVNF、安全虚拟网元SVNF和传统安全网元提供网络服务。仅接受虚拟化基础设施管理器VIM的网络配置请求。SDN控制器生成流表和网络配置,下发给路由器、交换机、虚拟交换机和防火墙等网络设备。将业务虚拟网元AVNF、安全虚拟网元SVNF和传统安全网元之间的业务网络和安全网络打通。
业务网元管理系统AEMS实现对业务虚拟网元AVNF的故障、性能、配置等管理功能,通过北向接口向运营支撑系统OSS和网络功能虚拟化编排器NFVO上报业务虚拟网元AVNF的告警、配置、性能数据。
实施例2
如图2所示,本发明实施例提供了一种基于本发明安全架构系统的安全部署方法,包括:
S201、网络功能虚拟化联合编排器NFVUO通过接口uor-aor,向网络功能虚拟化业务编排器NFVAO发起业务编排请求;
S202、网络功能虚拟化业务编排器NFVAO收到编排请求后,通过接口aor-vnfm,向相关的业务虚拟网元管理器AVNFM发起业务虚拟网元配置请求,业务虚拟网元配置请求包括业务虚拟网元的业务配置请求和业务虚拟网元的安全配置请求;
S203、业务虚拟网元管理器AVNFM返回配置数据,包括资源配置和安全配置。其中,业务配置包括业务虚拟网元描述符AVNFD,描述了网元的资源需求,如CPU、硬盘、网络、IP等。安全配置描述了网元安全需求,如网络IP和端口白名单和黑名单、安全策略等。
S204、网络功能虚拟化业务编排器NFVAO编排所有的业务虚拟网元AVNF成为一个可用的业务系统。网络功能虚拟化业务编排器NFVAO将业务系统的的资源配置、业务虚拟网元AVNF的资源配置和安全配置数据需求,返回给网络功能虚拟化联合编排器NFVUO。
S205、网络功能虚拟化联合编排器NFVUO根据业务编排的需求,输出业务安全需求,包括:业务主机安全配置需求,业务网络安全配置需求,业务威胁隔离策略、业务威胁恢复策略。网络功能虚拟化联合编排器NFVUO根据业务安全需求,通过接口uor-sor,向网络功能虚拟化安全编排器NFVSO发起安全编排请求。
S206、网络功能虚拟化安全编排器NFVSO收到安全编排请求后,通过接口sor-svnfm、sor-scnfm和sor-smp,向安全虚拟网元管理器SVNFM或传统安全网元管理器SCNFM、安全管理平台SMP发起安全配置请求。安全虚拟网元管理器SVNFM或传统安全网元管理器SCNFM、安全管理平台SMP返回数据,包括安全虚拟网元和传统安全网元的资源配置需求,安全资源池的资源能力。其中,资源配置包括安全虚拟网元描述符SVNFD,描述了安全虚拟网元、传统安全网元的资源需求,如CPU、硬盘、网络、IP等。资源能力包括安全虚拟网元和传统安全网元支持的安全能力,如安全策略等。
实际部署的时候,可以单独部署传统安全网元,也可以单独部署安全虚拟网元,或者两者的组合。
S207、网络功能虚拟化安全编排器NFVSO收到安全配置以后返回给网络功能虚拟化联合编排器NFVUO。
S208、网络功能虚拟化联合编排器NFVUO根据网络功能虚拟化业务编排器NFVAO和网络功能虚拟化安全编排器NFVSO返回的数据,联合编排业务系统与安全的配置需求,生成业务虚拟网元AVNF、安全虚拟网元SVNF、传统安全网元的配置数据;
S209、网络功能虚拟化联合编排器NFVUO通过接口uor-sor,向网络功能虚拟化安全编排器NFVSO下发安全虚拟网元创建请求,包含了安全网元的配置数据。
S210、网络功能虚拟化安全编排器NFVSO通过接口sor-smp,发给安全管理平台SMP;
S211、安全管理平台SMP接受到安全网元创建请求后,如果是安全虚拟网元SVNF,则通过接口smp-vim,向虚拟化基础设施管理器VIM发出安全虚拟网元SVNF创建请求;
可选的,如果是传统安全网元,则通过接口smp-sems,向传统安全网元管理系统SCEMS下发指令。由传统安全网元管理系统SCEMS在安全资源池中创建传统安全网元。传统安全网元创建成功后,由传统安全网元管理系统SCEMS通过传统安全网元管理接口,管理传统安全网元;
实际部署的时候,可以单独部署传统安全网元,也可以单独部署安全虚拟网元,或者两者的组合;
S212、虚拟化基础设施管理器VIM通过接口vim-sdnc,向SDN控制器发出请求,为安全虚拟网元SVNF准备安全网络;
S213、虚拟化基础设施管理器VIM通过接口nfvi-vim,在业务资源池创建安全虚拟网元SVNF。
S214、安全虚拟网元SVNF创建成功后,由安全虚拟网元管理系统SVEMS通过接口svems-svnf,管理安全虚拟网元SVNF。
S215、网络功能虚拟化联合编排器NFVUO通过接口uor-aor,向网络功能虚拟化业务编排器NFVAO下发业务虚拟网元AVNF创建请求,包含了业务虚拟网元AVNF的配置数据;
S216、网络功能虚拟化业务编排器NFVAO通过接口aor-vim,发给虚拟化基础设施管理器VIM;
S217、虚拟化基础设施管理器VIM通过接口vim-sdnc,向SDN控制器发出请求,为业务虚拟网元AVNF准备业务网络。此时业务虚拟网元AVNF、安全虚拟网元SVNF、传统安全网元之间的业务网络、安全网络打通;
S218、虚拟化基础设施管理器VIM通过接口nfvi-vim,在业务资源池创建业务虚拟网元AVNF。业务虚拟网元AVNF创建成功后,由业务网元管理系统AEMS通过接口aems-avnf,管理业务虚拟网元AVNF。
业务和安全部署完成。
实施例3
如图3所示,本发明实施例提供了一种基于本发明安全架构系统的安全威胁处理方法,包括:
S301、安全虚拟网元SVNF检测到业务虚拟网元AVNF已经被感染。安全虚拟网元SVNF通过接口svems-svnf上报给安全虚拟网元管理器SVEMS。
S302、安全网元管理器SVEMS通过接口smp-sems,向安全管理平台SMP发出告警,上报业务虚拟机被感染;
S303、安全管理平台SMP基于安全策略和安全威胁决策,判断是否可以自行解决,是否需要上报给网络功能虚拟化安全编排器NFVSO。安全管理平台SMP通过安全北向接口sor-smp,上报给网络功能虚拟化安全编排器NFVSO,上报业务虚拟网元被感染,包括安全威胁信息,业务虚拟网元信息;
可选的,安全管理平台SMP基于策略,指令安全网元管理器SVEMS,对感染的业务虚拟网元AVNF即时完成安全处理操作,包括:业务流量断流、隔离代码、清除病毒等。
可选的,安全管理平台SMP基于策略,指令虚拟化基础设施管理器VIM,对感染业务虚拟网元AVNF即时完成安全处理操作,包括:业务流量断流、断开虚拟端口、杀死/重启/暂停业务虚拟机等。
S304、网络功能虚拟化安全编排器NFVSO处理安全威胁告警,并且基于业务安全策略,决策是否需要触发安全隔离与恢复操作,网络功能虚拟化安全编排器NFVSO通过接口uor-sor,向网络功能虚拟化联合编排器NFVUO发出新建业务虚拟机请求,以替代感染业务虚拟机;
S305、网络功能虚拟化联合编排器NFVUO基于业务场景,重新发起业务虚拟机新建流程请求新建业务虚拟机。网络功能虚拟化联合编排器NFVUO通过接口uor-aor,向网络功能虚拟化业务编排器NFVAO下发指令,请求新建业务虚拟机;
S306、网络功能虚拟化业务编排器NFVAO通过接口aor-vim,向虚拟化基础设施管理器VIM请求新建业务虚拟机;
S307、虚拟化基础设施管理器VIM通过接口vim-sdnc,指令SDN控制器新建业务网络;
S308、虚拟化基础设施管理器VIM通过接口nfvi-vim,创建了原业务虚拟网元AVNF的新业务虚拟机;
业务虚拟机是业务虚拟网元AVNF的一个实例。本发明中,业务虚拟网元AVNF以业务虚拟机的形式存在;
S309、网络功能虚拟化联合编排器NFVUO通过接口uor-sor,向网络功能虚拟化安全编排器NFVSO下发指令,请求重新下发新建业务虚拟机的安全配置。
S310、网络功能虚拟化安全编排器NFVSO通过接口sor-smp,向安全管理平台SMP下发指令,请求重新下发新建业务虚拟机的安全配置。
S311、安全管理平台SMP通过接口smp-sems,向网元管理器SVEMS下发指令,请求重新下发新建业务虚拟机的安全配置。
S312、网元管理器SVEMS通过接口svems-svnf,向安全虚拟网元SVNF下发新建业务虚拟机的安全配置。
S313、网络功能虚拟化联合编排器NFVUO通过接口uor-aor,向网络功能虚拟化业务编排器NFVAO下发指令,请求业务从感染业务虚拟机到新建业务虚拟机的切换。
S314、网络功能虚拟化业务编排器NFVAO通过接口aor-vnfm,向业务虚拟网元管理器AVNFM。业务虚拟网元管理器AVNFM通过接口aems-avnfm,向业务网元管理器AEMS通知,新的业务虚拟机创建完成;
S315、业务网元管理器AEMS重新下发业务配置,完成业务从感染业务虚拟机到新建业务虚拟机的切换。
业务恢复正常。
S316、网络功能虚拟化业务编排器NFVAO通过接口aor-vim,向虚拟化基础设施管理器VIM请求安全处理感染业务虚拟机。安全处理操作包括:业务流量断流、断开虚拟端口、杀死/重启/暂停业务虚拟机等。
安全威胁处理完成。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
在本发明的说明书和权利要求书及上述附图中的描述的一些流程中,包含了按照特定顺序出现的多个操作,但是应该清楚了解,这些操作可以不按照其在本文中出现的顺序来执行或并行执行,操作的序号仅仅是用于区分开各个不同的操作,序号本身不代表任何的执行顺序。另外,这些流程可以包括更多或更少的操作,并且这些操作可以按顺序执行或并行执行。
本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种基于NFV的安全架构系统,其特征在于,包括网络功能虚拟化编排器NFVO、安全控制器SC、虚拟化基础设施管理器VIM和SDN控制器,其中:
网络功能虚拟化编排器NFVO包括:网络功能虚拟化业务编排器NFVAO、网络功能虚拟化安全编排器NFVSO和网络功能虚拟化联合编排器NFVUO,网络功能虚拟化业务编排器NFVAO负责网络功能服务的管理,网络功能虚拟化安全编排器NFVSO负责安全服务的管理,网络功能虚拟化联合编排器NFVUO负责根据网络功能虚拟化业务编排器NFVAO的网络功能需求和网络功能虚拟化安全编排器NFVSO的安全需求统一编排;
安全控制器SC包括安全管理平台SMP、安全虚拟网元管理器SVNFM、传统安全网元管理器SCNFM、安全虚拟网元管理系统SVEMS、传统安全网元管理系统SCEMS和安全北向接口,安全管理平台SMP负责管理所有的安全资源,包括基于业务资源池的安全虚拟网元SVNF和基于安全资源池的传统安全网元,安全管理平台SMP向虚拟化基础设施管理器VIM下发指令,创建安全虚拟网元SVNF,安全管理平台SMP向传统安全网元管理系统SCEMS下发指令,创建传统安全网元,安全虚拟网元管理系统SVEMS负责管理、配置基于业务资源池的安全虚拟网元SVNF,传统安全网元管理系统SCEMS负责创建、管理、配置基于安全资源池的传统安全网元,安全虚拟网元管理器SVNFM负责向网络功能虚拟化安全编排器NFVSO提供基于业务资源池的安全虚拟网元SVNF的资源配置需求,传统安全网元管理器SCNFM负责向网络功能虚拟化安全编排器NFVSO提供基于安全资源池的传统安全网元的资源配置需求,安全管理平台SMP负责提供安全资源池的资源配置和能力,安全北向接口负责向网络功能虚拟化安全编排器NFVSO提供安全管理平台SMP的北向管理接口;
虚拟化基础设施管理器VIM统一管理业务资源池和SDN控制器,基于虚拟化技术,服务器、网络设备和存储设备被抽象为虚拟化平台,虚拟化基础设施管理器VIM统一管理虚拟化平台的资源,提供业务资源池服务,接受网络功能虚拟化业务编排器NFVAO的指令创建业务虚拟网元AVNF,接受网络功能虚拟化安全编排器NFVSO通过安全管理平台SMP下发的指令创建安全虚拟网元SVNF;
SDN控制器负责接受虚拟化基础设施管理器VIM的网络配置请求,统一管理业务资源池和安全资源池的网络。
2.如权利要求1所述的基于NFV的安全架构系统,其特征在于,所述安全管理平台SMP负责创建、配置、管理安全资源,包括基于安全资源池的传统安全网元和基于业务资源池的安全虚拟网元。
3.如权利要求2所述的基于NFV的安全架构系统,其特征在于,安全管理平台SMP自动处理业务资源池和业务的安全威胁,安全管理平台SMP基于安全策略即时决策安全事件是否上报给网络功能虚拟化安全编排器NFVSO,网络功能虚拟化安全编排器NFVSO判断是否需要执行隔离与恢复业务虚拟网元AVNF操作,如有必要则向网络功能虚拟化联合编排器NFVUO发出请求,网络功能虚拟化联合编排器NFVUO重新调整并下发业务和安全配置,网络功能虚拟化联合编排器NFVUO通过网络功能虚拟化业务编排器NFVAO、虚拟化基础设施管理器VIM、SDN控制器,隔离业务虚拟网元AVNF的业务网络流量,网络功能虚拟化联合编排器NFVUO通过网络功能虚拟化安全编排器NFVSO、安全北向接口、安全管理平台SMP、传统安全网元管理系统SCEMS、防火墙,隔离业务虚拟网元AVNF的业务网络流量。
4.如权利要求1至3任一项所述的基于NFV的安全架构系统,其特征在于,在创建基于业务资源池的安全虚拟网元SVNF的场景下,网络功能虚拟化安全编排器NFVSO通过安全北向接口sor-smp,向安全管理平台SMP请求创建安全虚拟网元SVNF,安全管理平台SMP通过接口smp-vim,向虚拟化基础设施管理器VIM发送指令,由虚拟化基础设施管理器VIM创建安全虚拟网元SVNF,由安全虚拟网元管理系统SVEMS配置、管理新建的安全虚拟网元SVNF,在创建基于安全资源池的安全网元的场景下,网络功能虚拟化安全编排器NFVSO通过安全北向接口sor-smp,向安全管理平台SMP请求创建安全网元,安全管理平台SMP通过接口smp-sems,向传统安全网元管理系统SCEMS发送指令,由传统安全网元管理系统SCEMS创建、配置、管理传统安全网元。
5.如权利要求1至3任一项所述的基于NFV的安全架构系统,其特征在于,所述网络功能虚拟化业务编排器NFVAO根据业务需求,通过接口aor-vnfm,向业务虚拟网元管理器AVNFM获取业务虚拟网元AVNF的业务配置和安全配置需求,并且编排所有的业务虚拟网元AVNF成为一个可用的业务系统。
6.如权利要求1至3任一项所述的基于NFV的安全架构系统,其特征在于,所述网络功能虚拟化安全编排器NFVSO支持安全控制器SC,网络功能虚拟化安全编排器NFVSO通过接口sor-svnfm和sor-scnfm,从安全虚拟网元管理器SVNFM和传统安全网元管理器SCNFM获取安全虚拟网元SVNF和传统安全网元的资源配置需求,通过安全北向接口sor-smp,获取安全管理平台SMP的资源配置和能力。
7.如权利要求1至3任一项所述的基于NFV的安全架构系统,其特征在于,安全虚拟网元SVNF,通过虚拟化方式实现安全功能,运行在业务资源池上,由安全虚拟网元管理系统SVEMS通过接口svems-svnf管理。
8.如权利要求1至3任一项所述的基于NFV的安全架构系统,其特征在于,所述虚拟化基础设施管理器VIM统一管理业务资源池,通过接口nfvi-vim,负责直接管理业务虚拟网元AVNF和安全虚拟网元SVNF的生命周期,虚拟化基础设施管理器VIM通过接口vim-sdnc直接且唯一管理SDN 控制器;SDN控制器负责仅接受虚拟化基础设施管理器VIM的网络配置请求,为业务虚拟网元AVNF、安全虚拟网元SVNF和传统安全网元提供网络服务;SDN控制器生成流表和网络配置,将业务虚拟网元AVNF、安全虚拟网元SVNF和传统安全网元之间的业务网络和安全网络打通。
9.基于权利要求1至8任一项所述基于NFV的安全架构系统的安全部署方法,其特征在于,包括:
S201、网络功能虚拟化联合编排器NFVUO通过接口uor-aor,向网络功能虚拟化业务编排器NFVAO发起业务编排请求;
S202、网络功能虚拟化业务编排器NFVAO收到编排请求后,通过接口aor-vnfm,向相关的业务虚拟网元管理器AVNFM发起业务虚拟网元配置请求,业务虚拟网元配置请求包括业务配置和安全配置请求;
S203、业务虚拟网元管理器AVNFM返回配置数据,包括资源配置和安全配置,其中,业务配置包括业务虚拟网元描述符AVNFD,描述了网元的资源需求,安全配置描述了网元安全需求;
S204、网络功能虚拟化业务编排器NFVAO编排所有的业务虚拟网元AVNF成为一个可用的业务系统,网络功能虚拟化业务编排器NFVAO将业务系统的资源配置、业务虚拟网元AVNF的资源配置和安全配置数据需求,返回给网络功能虚拟化联合编排器NFVUO;
S205、网络功能虚拟化联合编排器NFVUO根据业务编排的需求,输出业务安全需求,包括:业务主机安全配置需求,业务网络安全配置需求,业务威胁隔离策略、业务威胁恢复策略,网络功能虚拟化联合编排器NFVUO根据业务安全需求,通过接口uor-sor,向网络功能虚拟化安全编排器NFVSO发起安全编排请求;
S206、网络功能虚拟化安全编排器NFVSO收到安全编排请求后,通过接口sor-svnfm、sor-scnfm和sor-smp,向安全虚拟网元管理器SVNFM或传统安全网元管理器SCNFM、安全管理平台SMP发起安全配置请求,安全虚拟网元管理器SVNFM或传统安全网元管理器SCNFM、安全管理平台SMP返回数据,包括安全虚拟网元和传统安全网元的资源配置需求,安全资源池的资源能力,其中,资源配置包括安全虚拟网元描述符SVNFD,描述了安全虚拟网元、传统安全网元的资源需求,资源能力包括安全虚拟网元和传统安全网元支持的安全能力;
S207、网络功能虚拟化安全编排器NFVSO收到安全配置以后返回给网络功能虚拟化联合编排器NFVUO;
S208、网络功能虚拟化联合编排器NFVUO根据网络功能虚拟化业务编排器NFVAO和网络功能虚拟化安全编排器NFVSO返回的数据,联合编排业务系统与安全的配置需求,生成业务虚拟网元AVNF、安全虚拟网元SVNF、传统安全网元的配置数据;
S209、网络功能虚拟化联合编排器NFVUO通过接口uor-sor,向网络功能虚拟化安全编排器NFVSO下发安全虚拟网元创建请求,包含了安全网元的配置数据;
S210、网络功能虚拟化安全编排器NFVSO通过接口sor-smp,发给安全管理平台SMP;
S211、安全管理平台SMP接受到安全网元创建请求后,如果是安全虚拟网元SVNF,则通过接口smp-vim,向虚拟化基础设施管理器VIM发出安全虚拟网元SVNF创建请求;如果是传统安全网元,则通过接口smp-sems,向传统安全网元管理系统SCEMS下发指令,由传统安全网元管理系统SCEMS在安全资源池中创建传统安全网元,传统安全网元创建成功后,由传统安全网元管理系统SCEMS通过传统安全网元管理接口,管理传统安全网元;
S212、虚拟化基础设施管理器VIM通过接口vim-sdnc,向SDN控制器发出请求,为安全虚拟网元SVNF准备安全网络;
S213、虚拟化基础设施管理器VIM通过接口nfvi-vim,在业务资源池创建安全虚拟网元SVNF;
S214、安全虚拟网元SVNF创建成功后,由安全虚拟网元管理系统SVEMS通过接口svems-svnf,管理安全虚拟网元SVNF;
S215、网络功能虚拟化联合编排器NFVUO通过接口uor-aor,向网络功能虚拟化业务编排器NFVAO下发业务虚拟网元AVNF创建请求,包含了业务虚拟网元AVNF的配置数据;
S216、网络功能虚拟化业务编排器NFVAO通过接口aor-vim,发给虚拟化基础设施管理器VIM;
S217、虚拟化基础设施管理器VIM通过接口vim-sdnc,向SDN控制器发出请求,为业务虚拟网元AVNF准备业务网络,此时业务虚拟网元AVNF、安全虚拟网元SVNF、传统安全网元之间的业务网络、安全网络打通;
S218、虚拟化基础设施管理器VIM通过接口nfvi-vim,在业务资源池创建业务虚拟网元AVNF,业务虚拟网元AVNF创建成功后,由业务网元管理系统AEMS通过接口aems-avnf,管理业务虚拟网元AVNF;业务和安全部署完成。
10.基于权利要求1至8任一项所述基于NFV的安全架构系统的安全威胁处理方法,其特征在于,包括:
S301、安全虚拟网元SVNF检测到业务虚拟网元AVNF已经被感染,安全虚拟网元SVNF通过接口svems-svnf上报给安全虚拟网元管理器SVEMS;
S302、安全网元管理器SVEMS通过接口smp-sems,向安全管理平台SMP发出告警,上报业务虚拟机被感染;
S303、安全管理平台SMP基于安全策略和安全威胁决策,判断是否可以自行解决,是否需要上报给网络功能虚拟化安全编排器NFVSO,安全管理平台SMP通过安全北向接口sor-smp,上报给网络功能虚拟化安全编排器NFVSO,上报业务虚拟网元被感染,包括安全威胁信息和业务虚拟网元信息;
S304、网络功能虚拟化安全编排器NFVSO处理安全威胁告警,并且基于业务安全策略,决策是否需要触发安全隔离与恢复操作,网络功能虚拟化安全编排器NFVSO通过接口uor-sor,向网络功能虚拟化联合编排器NFVUO发出新建业务虚拟机请求,以替代感染业务虚拟机;
S305、网络功能虚拟化联合编排器NFVUO基于业务场景,重新发起业务虚拟机新建流程请求新建业务虚拟机,网络功能虚拟化联合编排器NFVUO通过接口uor-aor,向网络功能虚拟化业务编排器NFVAO下发指令,请求新建业务虚拟机;
S306、网络功能虚拟化业务编排器NFVAO通过接口aor-vim,向虚拟化基础设施管理器VIM请求新建业务虚拟机;
S307、虚拟化基础设施管理器VIM通过接口vim-sdnc,指令SDN控制器新建业务网络;
S308、虚拟化基础设施管理器VIM通过接口nfvi-vim,创建了原业务虚拟网元AVNF的新业务虚拟机;
S309、网络功能虚拟化联合编排器NFVUO通过接口uor-sor,向网络功能虚拟化安全编排器NFVSO下发指令,请求重新下发新建业务虚拟机的安全配置;
S310、网络功能虚拟化安全编排器NFVSO通过接口sor-smp,向安全管理平台SMP下发指令,请求重新下发新建业务虚拟机的安全配置;
S311、安全管理平台SMP通过接口smp-sems,向网元管理器SVEMS下发指令,请求重新下发新建业务虚拟机的安全配置;
S312、网元管理器SVEMS通过接口svems-svnf,向安全虚拟网元SVNF下发新建业务虚拟机的安全配置;
S313、网络功能虚拟化联合编排器NFVUO通过接口uor-aor,向网络功能虚拟化业务编排器NFVAO下发指令,请求业务从感染业务虚拟机到新建业务虚拟机的切换;
S314、网络功能虚拟化业务编排器NFVAO通过接口aor-vnfm,向业务虚拟网元管理器AVNFM,业务虚拟网元管理器AVNFM通过接口aems-avnfm,向业务网元管理器AEMS通知,新的业务虚拟机创建完成;
S315、业务网元管理器AEMS重新下发业务配置,完成业务从感染业务虚拟机到新建业务虚拟机的切换;业务恢复正常;
S316、网络功能虚拟化业务编排器NFVAO通过接口aor-vim,向虚拟化基础设施管理器VIM请求安全处理感染业务虚拟机,安全处理操作包括:业务流量断流、断开虚拟端口、杀死/重启/暂停业务虚拟机;安全威胁处理完成。
CN202010632902.2A 2020-07-04 2020-07-04 基于nfv的安全架构系统和安全部署及安全威胁处理方法 Active CN111901154B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010632902.2A CN111901154B (zh) 2020-07-04 2020-07-04 基于nfv的安全架构系统和安全部署及安全威胁处理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010632902.2A CN111901154B (zh) 2020-07-04 2020-07-04 基于nfv的安全架构系统和安全部署及安全威胁处理方法

Publications (2)

Publication Number Publication Date
CN111901154A CN111901154A (zh) 2020-11-06
CN111901154B true CN111901154B (zh) 2022-05-27

Family

ID=73193033

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010632902.2A Active CN111901154B (zh) 2020-07-04 2020-07-04 基于nfv的安全架构系统和安全部署及安全威胁处理方法

Country Status (1)

Country Link
CN (1) CN111901154B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112822037B (zh) * 2020-12-30 2022-09-02 绿盟科技集团股份有限公司 一种安全资源池的流量编排方法及系统
CN114765579A (zh) * 2021-01-11 2022-07-19 中国移动通信有限公司研究院 一种数据传输方法、装置、相关设备和存储介质
CN112769841A (zh) * 2021-01-15 2021-05-07 杭州安恒信息技术股份有限公司 一种基于网络安全设备的网络安全防护的方法及系统

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105284094B (zh) * 2014-05-15 2019-05-28 华为技术有限公司 一种网络功能虚拟化网络系统、数据处理方法及装置
CN105830394B (zh) * 2014-11-27 2019-05-21 华为技术有限公司 虚拟网络策略的配置方法、系统及其虚拟网元和网管系统
US9560078B2 (en) * 2015-02-04 2017-01-31 Intel Corporation Technologies for scalable security architecture of virtualized networks
CN106533724B (zh) * 2015-09-11 2020-02-11 中国移动通信集团公司 监控和优化网络功能虚拟化nfv网络的方法、装置及系统
WO2017170470A1 (ja) * 2016-03-28 2017-10-05 日本電気株式会社 ネットワーク機能仮想化管理オーケストレーション装置と方法とプログラム
CN107306201A (zh) * 2016-04-22 2017-10-31 华为技术有限公司 虚拟化网络的部署方法和部署系统
KR20180037454A (ko) * 2016-10-04 2018-04-12 에스케이텔레콤 주식회사 네트워크 기능 가상화 운영 장치 및 방법
CN108900551A (zh) * 2018-08-16 2018-11-27 中国联合网络通信集团有限公司 Sdn/nfv网络安全防护方法及装置
CN111221619B (zh) * 2018-11-27 2023-09-08 中国移动通信集团江西有限公司 一种业务开通和编排的方法、装置及设备

Also Published As

Publication number Publication date
CN111901154A (zh) 2020-11-06

Similar Documents

Publication Publication Date Title
CN111901154B (zh) 基于nfv的安全架构系统和安全部署及安全威胁处理方法
US11029994B2 (en) Service creation and management
Yang et al. A survey on security in network functions virtualization
WO2021017279A1 (zh) 基于Kubernetes和网络域的集群安全管理方法、装置及存储介质
Rehman et al. Network functions virtualization: The long road to commercial deployments
EP3337097B1 (en) Network element upgrading method and device
EP3125117B1 (en) Update management system and update management method
US9906557B2 (en) Dynamically generating a packet inspection policy for a policy enforcement point in a centralized management environment
EP3427439B1 (en) Managing planned adjustment of allocation of resources in a virtualised network
US10644952B2 (en) VNF failover method and apparatus
US9171053B2 (en) Method and device for automatic migration of system configuration item
US20170373931A1 (en) Method for updating network service descriptor nsd and apparatus
EP3281111B1 (en) Method and entities for service availability management
US20210112119A1 (en) High Availability and High Utilization Cloud Data Center Architecture for Supporting Telecommunications Services
WO2017008839A1 (en) Managing resource allocation in a network functions virtualisation infrastructure
CN103067356A (zh) 保障业务虚拟机安全的系统及方法
CN115037573B (zh) 一种网络互联方法、装置、设备及存储介质
CN116781312A (zh) 一种安全防护方法、云安全平台及存储介质
Li et al. Complexity in 5G Network Applications and use cases
CN114491452A (zh) 面向云主机和云堡垒机实现云资源多账户权限管控的方法
Ejaz et al. Network function virtualization: Challenges and prospects for modernization
CN114070830B (zh) 互联网代理单臂部署架构、及互联网代理异地部署系统
Kadhim NFV in Cloud: Survey
WO2022001004A1 (zh) 安全网络构建方法、装置、设备和计算机存储介质
US20240007385A1 (en) Automated methods and systems for simulating a radio access network

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant