相關(guān)申請(qǐng)的交叉引用
本申請(qǐng)要求2015年5月11日提交的標(biāo)題為“technologiesforscalablesecurityarchitectureofvirtualizednetworks”的美國發(fā)明專利申請(qǐng)序號(hào)14/709,168,(其根據(jù)35u.s.c.§119(e)要求2015年2月4日提交的標(biāo)題為“scalablesecurityarchitectureandtechnologiesforvirtualizednetworksinserviceproviderdeployments”的美國臨時(shí)專利申請(qǐng)序號(hào)62/112,151,的優(yōu)先權(quán))的優(yōu)先權(quán)。
背景技術(shù):
網(wǎng)絡(luò)運(yùn)營(yíng)商和服務(wù)提供商通常依靠各種網(wǎng)絡(luò)虛擬化技術(shù)來管理復(fù)雜的大規(guī)模計(jì)算環(huán)境、例如高性能計(jì)算(hpc)和云計(jì)算環(huán)境。例如,網(wǎng)絡(luò)運(yùn)營(yíng)商和服務(wù)提供商網(wǎng)絡(luò)可依靠網(wǎng)絡(luò)功能虛擬化(nfv)部署來部署網(wǎng)絡(luò)服務(wù)(例如防火墻服務(wù)、網(wǎng)絡(luò)地址轉(zhuǎn)換(nat)服務(wù)、負(fù)荷平衡服務(wù)、深層分組檢查(dpi)服務(wù)、傳輸控制協(xié)議(tcp)優(yōu)化服務(wù)等)。這類nfv部署通常使用nfv基礎(chǔ)設(shè)施來編排各種虛擬機(jī)(vm),以便對(duì)網(wǎng)絡(luò)業(yè)務(wù)執(zhí)行虛擬化網(wǎng)絡(luò)服務(wù)(通常被稱作虛擬化網(wǎng)絡(luò)功能(vnf)),并且管理跨各種vm的網(wǎng)絡(luò)業(yè)務(wù)。
與傳統(tǒng)非虛擬化部署不同,虛擬化部署將網(wǎng)絡(luò)功能與基礎(chǔ)硬件分離,這產(chǎn)生高動(dòng)態(tài)的并且一般能夠被運(yùn)行于具有通用處理器的現(xiàn)成服務(wù)器的網(wǎng)絡(luò)功能和服務(wù)。因此,能夠根據(jù)需要基于要對(duì)網(wǎng)絡(luò)業(yè)務(wù)所執(zhí)行的特定功能或網(wǎng)絡(luò)服務(wù)將vnf向內(nèi)/向外擴(kuò)展。但是,接入外露接口(例如經(jīng)由探頭的接入接口)以用于監(jiān)測(cè)傳統(tǒng)非虛擬化部署的功能組件之間的網(wǎng)絡(luò)業(yè)務(wù)的處理的傳統(tǒng)方式對(duì)vnf部署中的接入沒有不同。例如,歐洲電信標(biāo)準(zhǔn)協(xié)會(huì)(etsi)的nfv的工業(yè)規(guī)范組已發(fā)布多個(gè)虛擬化模型,其中這類接入/監(jiān)測(cè)接口是含糊的。此外,各種部署中(例如vnf之內(nèi)、vnf之間等)可用的不同接入接口的數(shù)量可使得難以探測(cè)與vnf有關(guān)的預(yù)期信息。例如,一些部署可實(shí)現(xiàn)供應(yīng)商專有非標(biāo)準(zhǔn)化接口,以便優(yōu)化處理能力并且降低可歸因于信令的等待時(shí)間,這可限制接入可用性。
附圖說明
在附圖中以舉例的方式而不是限制的方式來說明本文所述的概念。為了說明的簡(jiǎn)潔和清晰起見,圖中所示的元件不一定按比例來繪制。在認(rèn)為適當(dāng)?shù)那闆r下,在附圖之內(nèi)已重復(fù)參考標(biāo)號(hào),以指示對(duì)應(yīng)或類似的元件。
圖1是用于監(jiān)測(cè)在包括網(wǎng)絡(luò)功能虛擬化(nfv)基礎(chǔ)設(shè)施的一個(gè)或多個(gè)計(jì)算節(jié)點(diǎn)的nfv安全架構(gòu)所處理的網(wǎng)絡(luò)通信的安全的系統(tǒng)的至少一個(gè)實(shí)施例的簡(jiǎn)化框圖;
圖2是圖1的系統(tǒng)的nfv基礎(chǔ)設(shè)施的計(jì)算節(jié)點(diǎn)之一的至少一個(gè)實(shí)施例的簡(jiǎn)化框圖;
圖3是圖1的系統(tǒng)的端點(diǎn)裝置的至少一個(gè)實(shí)施例的簡(jiǎn)化框圖;
圖4是圖1的系統(tǒng)的nfv安全架構(gòu)的至少一個(gè)實(shí)施例的簡(jiǎn)化框圖;
圖5是圖1和圖4的nfv安全架構(gòu)的nfv安全服務(wù)控制器的環(huán)境的至少一個(gè)實(shí)施例的簡(jiǎn)化框圖;
圖6是圖4的nfv安全架構(gòu)的nfv安全服務(wù)代理的環(huán)境的至少一個(gè)實(shí)施例的簡(jiǎn)化框圖;
圖7是可由圖5的nfv安全服務(wù)控制器所運(yùn)行、用于管理安全監(jiān)測(cè)服務(wù)的方法的至少一個(gè)實(shí)施例的簡(jiǎn)化流程圖;
圖8是可由圖5的nfv安全服務(wù)控制器所運(yùn)行、用于更新安全監(jiān)測(cè)策略的方法的至少一個(gè)實(shí)施例的簡(jiǎn)化流程圖;
圖9是用于初始化圖4的nfv安全服務(wù)代理之一的通信流程的至少一個(gè)實(shí)施例的簡(jiǎn)化流程圖;
圖10是可由圖4的nfv安全服務(wù)代理的一個(gè)或多個(gè)所運(yùn)行、用于監(jiān)測(cè)圖1的nfv網(wǎng)絡(luò)架構(gòu)的安全的方法的至少一個(gè)實(shí)施例的簡(jiǎn)化流程圖;以及
圖11是用于監(jiān)測(cè)圖1的nfv網(wǎng)絡(luò)架構(gòu)的服務(wù)功能鏈(sfc)的安全的通信流程的至少一個(gè)實(shí)施例的簡(jiǎn)化流程圖。
具體實(shí)施方式
雖然本公開的概念可允許各種修改和備選形式,但是其具體實(shí)施例以舉例的方式在附圖中已被示出,并且本文中將詳細(xì)描述。但是,應(yīng)當(dāng)理解,不是意在將本公開的概念限制到所公開的特定形式,相反,意在涵蓋符合本公開和所附權(quán)利要求的所有修改、等效物和備選方案。
說明書中提到“一個(gè)實(shí)施例”、“實(shí)施例”、“說明性實(shí)施例”等指示所述的實(shí)施例可包含特定特征、結(jié)構(gòu)或特性,但是每一個(gè)實(shí)施例可以或可以不一定包含那個(gè)特定特征、結(jié)構(gòu)或特性。此外,這類詞語不一定指同一實(shí)施例。此外,在結(jié)合實(shí)施例來描述特定特征、結(jié)構(gòu)或特性時(shí),均認(rèn)為結(jié)合其他實(shí)施例(無論是否明確描述)來達(dá)成這種特征、結(jié)構(gòu)或特性是在本領(lǐng)域的技術(shù)人員的知識(shí)范圍之內(nèi)的。另外,應(yīng)當(dāng)理解,采取“a、b和c中的至少一個(gè)”的形式的列表中所包含的項(xiàng)能夠表示(a)、(b)、(c)、(a和b)、(a和c)、(b和c)或者(a、b和c)。類似地,采取“a、b或c中的至少一個(gè)”的形式所列示的項(xiàng)能夠表示(a)、(b)、(c)、(a和b)、(a和c)、(b和c)或者(a、b和c)。
在一些情況中,所公開的實(shí)施例可通過硬件、固件、軟件或者它們的任何組合來實(shí)現(xiàn)。所公開的實(shí)施例還可被實(shí)現(xiàn)為由一個(gè)或多個(gè)暫時(shí)或者非暫時(shí)機(jī)器可讀(例如計(jì)算機(jī)可讀)存儲(chǔ)介質(zhì)所攜帶或者其上所存儲(chǔ)的指令,其可由一個(gè)或多個(gè)處理器來讀取和運(yùn)行。機(jī)器可讀存儲(chǔ)介質(zhì)可體現(xiàn)為用于存儲(chǔ)或傳送采取機(jī)器可讀形式的信息的任何存儲(chǔ)裝置、機(jī)制或其他物理結(jié)構(gòu)(例如易失性或非易失性存儲(chǔ)器、介質(zhì)光盤或者另一介質(zhì)裝置)。
在附圖中,一些結(jié)構(gòu)或方法特征可按照特定布置和/或排序來來示出。但是,應(yīng)當(dāng)理解,這類特定布置和/或排序可以不作要求。相反,在一些實(shí)施例中,這類特征可按照與說明性附圖所示不同的方式和/或順序來排列。另外,特定附圖中包含結(jié)構(gòu)或方法特征不是有意要暗示在所有實(shí)施例中都要求這種特征,而是在一些實(shí)施例中可以不包含這種特征或者可與其他特征相結(jié)合。
現(xiàn)在參照?qǐng)D1,在所示實(shí)施例中,用于監(jiān)測(cè)網(wǎng)絡(luò)通信的安全的系統(tǒng)100包含網(wǎng)絡(luò)功能虛擬化(nfv)安全架構(gòu)116,以處理端點(diǎn)裝置118與另一個(gè)端點(diǎn)裝置120之間的網(wǎng)絡(luò)通信。nfv安全架構(gòu)116包括多個(gè)網(wǎng)絡(luò)處理組件,其中包含nfv編排器104、虛擬基礎(chǔ)設(shè)施管理器(vim)106和nfv基礎(chǔ)設(shè)施108。應(yīng)當(dāng)理解,在一些實(shí)施例中,nfv安全架構(gòu)116可包含附加和/或備選網(wǎng)絡(luò)處理組件(物理和/或虛擬),以便對(duì)網(wǎng)絡(luò)業(yè)務(wù)數(shù)據(jù)(例如網(wǎng)絡(luò)業(yè)務(wù)有效載荷、網(wǎng)絡(luò)分組報(bào)頭等)執(zhí)行處理功能(例如分析、網(wǎng)絡(luò)功能等)。
另外,nfv安全架構(gòu)116包含多個(gè)安全監(jiān)測(cè)組件,其中包含nfv安全服務(wù)控制器102。在使用中,nfv安全服務(wù)控制器102管理跨nfv安全架構(gòu)116的各種安全監(jiān)測(cè)組件,其執(zhí)行遙測(cè)數(shù)據(jù)的主動(dòng)和/或被動(dòng)監(jiān)測(cè)。要這樣做,nfv安全服務(wù)控制器102例示多個(gè)nfv安全服務(wù)代理(參見例如圖4的nvf安全服務(wù)代理468),以基于由nfv安全服務(wù)控制器102所管理的安全策略而進(jìn)行監(jiān)測(cè)(參見例如圖4的管理程序462)。nfv安全服務(wù)代理還配置成收集、封裝和安全地傳送遙測(cè)數(shù)據(jù)供分析。
由nfv安全服務(wù)代理的每個(gè)所收集的遙測(cè)數(shù)據(jù)可體現(xiàn)為或者以其他方式包含任何類型的數(shù)據(jù),對(duì)所述數(shù)據(jù)可執(zhí)行安全分析。例如,說明性遙測(cè)數(shù)據(jù)包含nfv安全服務(wù)代理駐留于其上的組件以及相對(duì)于那個(gè)組件所處理的網(wǎng)絡(luò)業(yè)務(wù)數(shù)據(jù)方面的組件級(jí)配置、操作和策略數(shù)據(jù)。如以下更詳細(xì)論述,nfv安全服務(wù)代理配置成封裝信息,并且將所封裝信息安全地轉(zhuǎn)移給nfv安全監(jiān)測(cè)分析系統(tǒng)(參見例如圖4的nfv安全監(jiān)測(cè)分析系統(tǒng)438)。在使用中,nfv安全監(jiān)測(cè)分析系統(tǒng)確定任何威脅和/或異常是否存在于遙測(cè)數(shù)據(jù)中。nfv安全監(jiān)測(cè)分析系統(tǒng)還為nfv安全服務(wù)控制器102提供矯正安全策略,以應(yīng)對(duì)任何所檢測(cè)的威脅和/或異常。作為響應(yīng),nfv安全服務(wù)控制器102基于矯正安全策略來更新nfv安全服務(wù)代理的安全策略,并且跨nfv安全服務(wù)代理來實(shí)施所更新安全策略。
如下面將更詳細(xì)描述,nfv基礎(chǔ)設(shè)施108包含一個(gè)或多個(gè)計(jì)算節(jié)點(diǎn)110,其能夠管理(例如創(chuàng)建、移動(dòng)、銷毀等)配置成作為虛擬化網(wǎng)絡(luò)功能(vnf)實(shí)例進(jìn)行操作的多個(gè)虛擬機(jī)(vm)。vnf實(shí)例的每個(gè)或vnf通常依靠一個(gè)或多個(gè)vm,其可運(yùn)行不同軟件和/或進(jìn)程,以便對(duì)網(wǎng)絡(luò)業(yè)務(wù)執(zhí)行網(wǎng)絡(luò)服務(wù)(例如防火墻服務(wù)、網(wǎng)絡(luò)地址轉(zhuǎn)換(nat)服務(wù)、負(fù)荷平衡服務(wù)、深層分組檢查(dpi)服務(wù)、傳輸控制協(xié)議(tcp)優(yōu)化服務(wù)、入侵檢測(cè)服務(wù)等)。此外,要提供某些網(wǎng)絡(luò)服務(wù),多個(gè)vnf可作為服務(wù)功能鏈或者vnf轉(zhuǎn)發(fā)圖(即,按照有序序列所執(zhí)行以實(shí)現(xiàn)預(yù)期網(wǎng)絡(luò)服務(wù)的一系列vnf)來創(chuàng)建。
nfv安全架構(gòu)116的網(wǎng)絡(luò)和安全監(jiān)測(cè)組件能夠被部署在各種虛擬化網(wǎng)絡(luò)架構(gòu)中,例如虛擬演進(jìn)分組核心(vepc)基礎(chǔ)設(shè)施、虛擬化客戶駐地設(shè)備(vcpe)基礎(chǔ)設(shè)施或者任何其他類型的運(yùn)營(yíng)商虛擬化基礎(chǔ)設(shè)施。應(yīng)當(dāng)理解,根據(jù)其中nfv安全架構(gòu)116所部署的網(wǎng)絡(luò)架構(gòu),nfv安全架構(gòu)116可包含一個(gè)或多個(gè)nfv安全服務(wù)控制器102、一個(gè)或多個(gè)nfv編排器104、一個(gè)或多個(gè)vim106和/或一個(gè)或多個(gè)nfv基礎(chǔ)設(shè)施108。
nfv安全服務(wù)控制器102可體現(xiàn)為或者以其他方式包含能夠執(zhí)行本文所述功能(例如管理nfv安全架構(gòu)116的安全監(jiān)測(cè)組件)的任何類型的硬件、軟件和/或固件。如下面將更詳細(xì)描述,nfv安全服務(wù)控制器102配置成用作安全監(jiān)測(cè)編排器。要這樣做,nfv安全服務(wù)控制器102配置成傳送安全監(jiān)測(cè)策略,其包含各種監(jiān)測(cè)規(guī)則(其可包含安全監(jiān)測(cè)策略、安全通信路徑策略、配置參數(shù)和功能描述符,以便向整個(gè)nfv安全架構(gòu)116的安全監(jiān)測(cè)組件(例如圖4的nfv安全服務(wù)代理)指示要監(jiān)測(cè)哪個(gè)遙測(cè)數(shù)據(jù)以及如何配置安全監(jiān)測(cè)組件)。nfv安全服務(wù)控制器102還配置成實(shí)施整個(gè)nfv安全架構(gòu)116所傳送的安全監(jiān)測(cè)策略。各種安全功能可包含但不限于保護(hù)服務(wù)功能鏈(sfc)配備、實(shí)施sfc安全配置和監(jiān)測(cè)、提供保密性受保護(hù)令牌、管理受保護(hù)策略傳輸以及提供vnfsfc路徑間保護(hù)。
要檢索和/或更新安全監(jiān)測(cè)策略,nfv安全服務(wù)控制器102可配置成與一個(gè)或多個(gè)外部安全系統(tǒng)(例如intel?安全控制器)、安全數(shù)據(jù)庫(參見圖4的nfv安全數(shù)據(jù)庫412)和/或安全策略引擎進(jìn)行接口。要與外部安全系統(tǒng)進(jìn)行通信,nfv安全服務(wù)控制器102可向外部安全服務(wù)編排系統(tǒng)傳遞應(yīng)用編程接口(api)和/或安全策略。在一些實(shí)施例中,nfv安全服務(wù)控制器102可充當(dāng)可信第三方,以便認(rèn)證跨nfv安全架構(gòu)116的各種網(wǎng)絡(luò)和安全監(jiān)測(cè)組件的消息。應(yīng)當(dāng)理解,在一些實(shí)施例中,nfv安全服務(wù)控制器102可與nfv編排器104并置,例如在nfv管理和編排(mano)架構(gòu)框架中。還應(yīng)當(dāng)理解,在一些實(shí)施例中,nfv安全服務(wù)控制器102可具有比nfv安全架構(gòu)116的其他網(wǎng)絡(luò)和安全監(jiān)測(cè)組件更高的安全特權(quán),以確保nfv安全服務(wù)控制器102的完整性和安全。
nfv編排器104可體現(xiàn)為能夠執(zhí)行本文所述功能(例如經(jīng)由vnf管理器(參見圖4)來管理vnf的生存周期(例如例示、向外/向內(nèi)擴(kuò)展、性能測(cè)量、事件相關(guān)性、終止等)、管理全局資源、驗(yàn)證和授權(quán)nfv基礎(chǔ)設(shè)施108的資源請(qǐng)求、新vnf的板載和/或管理vnf的各種策略和封裝)的任何類型的電路和/或硬件、軟件和/或固件組件。例如,nfv編排器104可配置成從影響特定vnf的操作員來接收資源請(qǐng)求。在使用中,nfv編排器104基于操作員請(qǐng)求來管理任何適用處理、存儲(chǔ)和/或網(wǎng)絡(luò)配置調(diào)整,以便使vnf開始操作或者開始符合資源請(qǐng)求。一旦在操作中,nfv編排器104可監(jiān)測(cè)vnf的容量和利用,其可由nfv編排器104根據(jù)需要來調(diào)整。
vim106可體現(xiàn)為或者以其他方式包含能夠執(zhí)行本文所述功能(例如控制和管理一個(gè)運(yùn)營(yíng)商的基礎(chǔ)設(shè)施子域中的nfv基礎(chǔ)設(shè)施108計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)資源(例如物理和虛擬)以及性能測(cè)量和事件的收集和轉(zhuǎn)發(fā))的任何類型的硬件、軟件和/或固件。應(yīng)當(dāng)理解,在一些實(shí)施例中,nfv編排器104可與vim106并置,例如在nfvmano架構(gòu)框架中。
nfv基礎(chǔ)設(shè)施108可體現(xiàn)為或者以其他方式包含任何類型的虛擬和/或物理處理和存儲(chǔ)資源,例如一個(gè)或多個(gè)服務(wù)器或其他計(jì)算節(jié)點(diǎn)以及虛擬化軟件。例如,說明性nfv基礎(chǔ)設(shè)施108包含一個(gè)或多個(gè)計(jì)算節(jié)點(diǎn)110。說明性計(jì)算節(jié)點(diǎn)110包含:第一計(jì)算節(jié)點(diǎn),其被表示為計(jì)算節(jié)點(diǎn)(1)112;以及第二計(jì)算節(jié)點(diǎn),其被表示為計(jì)算節(jié)點(diǎn)(n)114(即,計(jì)算節(jié)點(diǎn)110的“第n”計(jì)算節(jié)點(diǎn),其中“n”為正整數(shù),并且表示一個(gè)或多個(gè)附加計(jì)算節(jié)點(diǎn)110)。
計(jì)算節(jié)點(diǎn)110可體現(xiàn)為能夠執(zhí)行本文所述功能的任何類型的計(jì)算或計(jì)算機(jī)裝置,非限制性地包含服務(wù)器(例如單機(jī)、機(jī)架安裝、刀片式等)、網(wǎng)絡(luò)設(shè)備(例如物理或虛擬)、高性能計(jì)算裝置、網(wǎng)絡(luò)設(shè)備、分布式計(jì)算系統(tǒng)、計(jì)算機(jī)、基于處理器的系統(tǒng)、多處理器系統(tǒng)、智能電話、平板計(jì)算機(jī)、膝上型計(jì)算機(jī)、筆記本計(jì)算機(jī)和/或移動(dòng)計(jì)算裝置。如圖2所示,在實(shí)施例中,計(jì)算節(jié)點(diǎn)110的每個(gè)說明性地包含處理器202、輸入/輸出(i/o)子系統(tǒng)206、存儲(chǔ)器208、數(shù)據(jù)存儲(chǔ)裝置214、安全時(shí)鐘216和通信電路218。當(dāng)然,在其他實(shí)施例中,計(jì)算節(jié)點(diǎn)110可包含其他或附加組件,例如服務(wù)器中常見的那些組件(例如各種輸入/輸出裝置)。另外,在一些實(shí)施例中,說明性組件的一個(gè)或多個(gè)可被結(jié)合在另一個(gè)組件中或者以其他方式形成另一個(gè)組件的一部分。例如,在一些實(shí)施例中,存儲(chǔ)器208或者其部分可被結(jié)合在處理器202中。
處理器202可體現(xiàn)為能夠執(zhí)行本文所述功能的任何類型的處理器。例如,處理器202可體現(xiàn)為(一個(gè)或多個(gè))單核或多核處理器、數(shù)字信號(hào)處理器、微控制器或者其他處理器或處理/控制電路。說明性處理器202包含一個(gè)或多個(gè)可信執(zhí)行環(huán)境(tee)支持204或安全包體支持(secureenclavesupport),其可由計(jì)算節(jié)點(diǎn)110用于建立可信執(zhí)行環(huán)境中。應(yīng)當(dāng)理解,在一些實(shí)施例中,tee支持204提供可信執(zhí)行環(huán)境的硬件加強(qiáng)安全,其中運(yùn)行代碼可被測(cè)量、檢驗(yàn)或者以其他方式確定為真實(shí)的。例如,tee支持204可體現(xiàn)為intel?軟件防護(hù)延展(sgx)技術(shù)。雖然tee支持204在處理器202中說明性地被示出,但是應(yīng)當(dāng)理解,在一些實(shí)施例中,計(jì)算節(jié)點(diǎn)110的其他組件的一個(gè)或多個(gè)可包含tee支持204。此外,在一些實(shí)施例中,計(jì)算節(jié)點(diǎn)110的處理器202可包含安全引擎(例如以下所論述的安全引擎224)、可管理引擎或者安全協(xié)處理器,其配置成利用tee支持204來建立可信執(zhí)行環(huán)境。
存儲(chǔ)器208可體現(xiàn)為能夠執(zhí)行本文所述功能的任何類型的易失性或者非易失性存儲(chǔ)器或數(shù)據(jù)存儲(chǔ)裝置。在操作中,存儲(chǔ)器208可存儲(chǔ)計(jì)算節(jié)點(diǎn)110的操作期間所使用的各種數(shù)據(jù)和軟件,例如操作系統(tǒng)、應(yīng)用、程序、資料庫和驅(qū)動(dòng)程序。存儲(chǔ)器208經(jīng)由i/o子系統(tǒng)206(其可體現(xiàn)為電路和/或組件,以促進(jìn)與處理器202、存儲(chǔ)器208和計(jì)算節(jié)點(diǎn)110的其他組件的輸入/輸出操作)在通信上被耦合到處理器202。例如,i/o子系統(tǒng)206可體現(xiàn)為或者以其他方式包含存儲(chǔ)控制器集線器、輸入/輸出控制集線器、固件裝置、通信鏈路(即,點(diǎn)對(duì)點(diǎn)鏈路、總線鏈路、導(dǎo)線、電纜、光導(dǎo)、印刷電路板跡線等)和/或促進(jìn)輸入/輸出操作的其他組件和子系統(tǒng)。
說明性存儲(chǔ)器208包含安全存儲(chǔ)器210。在一些實(shí)施例中,安全存儲(chǔ)器210可體現(xiàn)為存儲(chǔ)器208的安全分區(qū);而在其他實(shí)施例中,安全存儲(chǔ)器210可體現(xiàn)或者包含于計(jì)算節(jié)點(diǎn)110的單獨(dú)硬件組件上。如本文所述,安全存儲(chǔ)器210可存儲(chǔ)配備給計(jì)算節(jié)點(diǎn)110的各種數(shù)據(jù)。例如,安全存儲(chǔ)器210可存儲(chǔ)計(jì)算節(jié)點(diǎn)110的安全密鑰(例如鑒證密鑰、私有直接匿名鑒證(daa)密鑰、增強(qiáng)保密標(biāo)識(shí)(epid)密鑰或者任何其他類型的安全/密碼密鑰),其可由芯片組和/或可信執(zhí)行環(huán)境的制造商來配備。安全存儲(chǔ)器210還可存儲(chǔ)例如由計(jì)算節(jié)點(diǎn)110的原始設(shè)備制造商(oem)在其中配備的計(jì)算節(jié)點(diǎn)110的密碼、pin或其他唯一標(biāo)識(shí)符。當(dāng)然,應(yīng)當(dāng)理解,安全存儲(chǔ)器210根據(jù)特定實(shí)施例可存儲(chǔ)各種其他數(shù)據(jù)(例如組名稱、裝置標(biāo)識(shí)符、白名單、預(yù)計(jì)pin值等)。在一些實(shí)施例中,所配備數(shù)據(jù)可被存儲(chǔ)在安全存儲(chǔ)器210的只讀存儲(chǔ)器中。
說明性存儲(chǔ)器208還包含基本輸入/輸出系統(tǒng)(bios)212。bios212包含指令(例如在計(jì)算節(jié)點(diǎn)110的引導(dǎo)期間所使用的bios驅(qū)動(dòng)程序),以便在引導(dǎo)過程期間初始化計(jì)算節(jié)點(diǎn)110。在一些實(shí)施例中,計(jì)算節(jié)點(diǎn)110可促進(jìn)經(jīng)過主平臺(tái)固件或預(yù)引導(dǎo)固件(例如intel?平臺(tái)芯片組的延展或者基于統(tǒng)一可延展固件接口(“uefi”)規(guī)范的平臺(tái)bios212,其具有統(tǒng)一efi論壇所發(fā)布的若干版本)的vnf的編排。
數(shù)據(jù)存儲(chǔ)裝置214可體現(xiàn)為配置用于數(shù)據(jù)的短期或長(zhǎng)期存儲(chǔ)的任何類型的一個(gè)或多個(gè)裝置,用作舉例,比如存儲(chǔ)器裝置和電路、存儲(chǔ)卡、硬盤驅(qū)動(dòng)器、固態(tài)驅(qū)動(dòng)器或者其他數(shù)據(jù)存儲(chǔ)裝置。在使用中,如以下所述,數(shù)據(jù)存儲(chǔ)裝置214和/或存儲(chǔ)器208可存儲(chǔ)安全監(jiān)測(cè)策略、配置策略或其他類似數(shù)據(jù)。
安全時(shí)鐘216可體現(xiàn)為能夠提供安全定時(shí)信號(hào)或者以其他方式執(zhí)行本文所述功能的任何(一個(gè)或多個(gè))硬件組件或電路。例如,在說明性實(shí)施例中,安全時(shí)鐘216可生成定時(shí)信號(hào),其是單獨(dú)的并且在功能上獨(dú)立于計(jì)算節(jié)點(diǎn)110的其他時(shí)鐘源。相應(yīng)地,在這類實(shí)施例中,安全時(shí)鐘216可對(duì)其他實(shí)體(用作舉例,比如運(yùn)行于計(jì)算節(jié)點(diǎn)110的軟件)進(jìn)行的變更具有免疫性或抗性。應(yīng)當(dāng)理解,在一些實(shí)施例中,安全時(shí)鐘216可體現(xiàn)為單機(jī)組件或電路,而在其他實(shí)施例中,安全時(shí)鐘216可形成另一個(gè)組件(例如處理器202)的安全部分或者與其集成。例如,在一些實(shí)施例中,安全時(shí)鐘216可經(jīng)由芯片上振蕩器來實(shí)現(xiàn),和/或體現(xiàn)為可管理引擎(me)的安全時(shí)鐘。還應(yīng)當(dāng)理解,安全時(shí)鐘216可同步到其他計(jì)算節(jié)點(diǎn)110的安全時(shí)鐘,以及粒度可具有能夠區(qū)分不同消息定時(shí)的階數(shù)。
計(jì)算節(jié)點(diǎn)110的通信電路218可體現(xiàn)為任何通信電路、裝置或者其集合,其能夠?qū)崿F(xiàn)計(jì)算節(jié)點(diǎn)110與另一個(gè)計(jì)算節(jié)點(diǎn)110、nfv編排器104、vim106、端點(diǎn)裝置118和120和/或其他所連接的網(wǎng)絡(luò)使能計(jì)算節(jié)點(diǎn)之間的通信。通信電路218可配置成使用任何一個(gè)或多個(gè)通信技術(shù)(例如有線或無線通信)及關(guān)聯(lián)協(xié)議(例如以太網(wǎng)、bluetooth?、wi-fi?、wimax、gsm、lte等)來達(dá)成這種通信。說明性通信電路218包含網(wǎng)絡(luò)接口卡(nic)220和交換機(jī)222。nic220可體現(xiàn)為一個(gè)或多個(gè)內(nèi)插板、子卡、網(wǎng)絡(luò)接口卡、控制器芯片、芯片組或者可由計(jì)算節(jié)點(diǎn)110所使用的其他裝置。例如,nic220可體現(xiàn)為通過擴(kuò)展總線、例如pciexpress耦合到i/o子系統(tǒng)206的擴(kuò)展卡。交換機(jī)222可體現(xiàn)為能夠執(zhí)行網(wǎng)絡(luò)交換機(jī)操作并且以其他方式執(zhí)行本文所述功能的任何(一個(gè)或多個(gè))硬件組件或電路,例如以太網(wǎng)交換機(jī)芯片、pciexpress交換芯片等。
如上所述,計(jì)算節(jié)點(diǎn)110還可包含安全引擎224,其可體現(xiàn)為能夠建立計(jì)算節(jié)點(diǎn)110上的可信執(zhí)行環(huán)境(tee)的任何(一個(gè)或多個(gè))硬件組件或電路。具體來說,安全引擎224可支持運(yùn)行代碼和/或訪問數(shù)據(jù),這獨(dú)立于計(jì)算節(jié)點(diǎn)110所運(yùn)行的其他代碼并且是安全而不受計(jì)算節(jié)點(diǎn)110所運(yùn)行的其他代碼影響的。安全引擎224可體現(xiàn)為可信平臺(tái)模塊(tpm)、可管理引擎(me)、帶外處理器或者其他安全引擎裝置或裝置集合。在一些實(shí)施例中,安全引擎224可體現(xiàn)為計(jì)算節(jié)點(diǎn)110的芯片上系統(tǒng)(soc)中所結(jié)合的聚合安全及可管理引擎(csme)。
再次參照?qǐng)D1,說明性nfv安全架構(gòu)116在通信上耦合于兩個(gè)端點(diǎn)裝置118、120之間。在說明性系統(tǒng)100中,第一端點(diǎn)裝置被表示為端點(diǎn)裝置(1)118,而第二端點(diǎn)裝置被表示為端點(diǎn)裝置(2)120。但是應(yīng)當(dāng)理解,任何數(shù)量的端點(diǎn)裝置可經(jīng)過nfv安全架構(gòu)116來連接。端點(diǎn)裝置118、120使用有線或無線技術(shù)經(jīng)由網(wǎng)絡(luò)(未示出)與nfv安全架構(gòu)116在通信上耦合,以形成端對(duì)端通信系統(tǒng),其中端點(diǎn)裝置(1)能夠與端點(diǎn)裝置(2)進(jìn)行通信,反過來也是一樣。相應(yīng)地,nfv安全架構(gòu)116能夠監(jiān)測(cè)和處理端點(diǎn)裝置118、120之間所傳送的網(wǎng)絡(luò)通信業(yè)務(wù)(即,網(wǎng)絡(luò)分組)。
網(wǎng)絡(luò)(端點(diǎn)裝置118、120經(jīng)由該網(wǎng)絡(luò)進(jìn)行通信)可體現(xiàn)為任何類型的有線或無線通信網(wǎng)絡(luò),包含蜂窩網(wǎng)絡(luò)(例如全球移動(dòng)通信系統(tǒng)(gsm)或長(zhǎng)期演進(jìn)(lte))、電話網(wǎng)絡(luò)、數(shù)字用戶線(dsl)網(wǎng)絡(luò)、有線電視網(wǎng)絡(luò)、局域網(wǎng)或廣域網(wǎng)、全球網(wǎng)絡(luò)(例如因特網(wǎng))或者它們的任何組合。例如,在一些實(shí)施例中,網(wǎng)絡(luò)可體現(xiàn)為具有vepc架構(gòu)的基于nfv的長(zhǎng)期演進(jìn)(lte)網(wǎng)絡(luò)。應(yīng)當(dāng)理解,網(wǎng)絡(luò)可用作集中網(wǎng)絡(luò),以及在一些實(shí)施例中可在通信上耦合到另一個(gè)網(wǎng)絡(luò)(例如因特網(wǎng))。相應(yīng)地,網(wǎng)絡(luò)可根據(jù)需要包含虛擬和物理的多種網(wǎng)絡(luò)裝置(例如路由器、交換機(jī)、網(wǎng)絡(luò)集線器、服務(wù)器、存儲(chǔ)裝置、計(jì)算裝置等),以促進(jìn)端點(diǎn)裝置118、120與nfv安全架構(gòu)116之間的通信。
端點(diǎn)裝置118、120可體現(xiàn)為能夠執(zhí)行本文所述功能的任何類型的計(jì)算或計(jì)算機(jī)裝置,非限制性地包含智能電話、移動(dòng)計(jì)算裝置、平板計(jì)算機(jī)、膝上型計(jì)算機(jī)、筆記本計(jì)算機(jī)、計(jì)算機(jī)、服務(wù)器(例如單機(jī)、機(jī)架安裝、刀片式等)、網(wǎng)絡(luò)設(shè)備(例如物理或虛擬)、網(wǎng)絡(luò)設(shè)備、分布式計(jì)算系統(tǒng)、基于處理器的系統(tǒng)和/或多處理器系統(tǒng)。如圖3所示,與圖2的計(jì)算節(jié)點(diǎn)110相似,說明性端點(diǎn)裝置(例如圖1的端點(diǎn)裝置118、120其中之一)包含處理器302、輸入/輸出(i/o)子系統(tǒng)304、存儲(chǔ)器306、數(shù)據(jù)存儲(chǔ)裝置308、一個(gè)或多個(gè)外圍裝置310和通信電路312。因此,基于關(guān)于計(jì)算節(jié)點(diǎn)110的以上所提供的對(duì)應(yīng)組件的描述同樣地適用于端點(diǎn)裝置118、120的對(duì)應(yīng)組件的理解,為了描述的清楚起見在本文中不重復(fù)相似組件的進(jìn)一步描述。
當(dāng)然,在其他實(shí)施例中,端點(diǎn)裝置118、120可包含其他或附加組件,例如移動(dòng)計(jì)算裝置中常見的那些組件(其能夠在其他實(shí)施例中的電信基礎(chǔ)設(shè)施中進(jìn)行操作,例如各種輸入/輸出裝置)。另外,在一些實(shí)施例中,說明性組件的一個(gè)或多個(gè)可結(jié)合在另一個(gè)組件中或者以其他方式形成另一個(gè)組件的一部分。外圍裝置310可包含任何數(shù)量的輸入/輸出裝置、接口裝置和/或其他外圍裝置。例如,在一些實(shí)施例中,外圍裝置310可包含顯示器、觸摸屏、圖形電路、鍵盤、鼠標(biāo)、揚(yáng)聲器系統(tǒng)和/或其他輸入/輸出裝置、接口裝置和/或外圍裝置。
現(xiàn)在參照?qǐng)D4,用于監(jiān)測(cè)nfv安全架構(gòu)116的安全的圖1的nfv安全架構(gòu)116的說明性實(shí)施例包含圖1的nfv安全服務(wù)控制器102、nfv編排器104、vim106和nfv基礎(chǔ)設(shè)施108。說明性實(shí)施例116的各安全監(jiān)測(cè)組件包含全球唯一安全標(biāo)識(shí)符,其唯一地標(biāo)識(shí)對(duì)應(yīng)安全監(jiān)測(cè)組件。全球唯一安全標(biāo)識(shí)符可基于例如安全監(jiān)測(cè)組件的介質(zhì)接入控制(mac)地址、指配給安全監(jiān)測(cè)組件的因特網(wǎng)協(xié)議(ip)地址、嵌入到安全監(jiān)測(cè)組件的安全存儲(chǔ)器210中的標(biāo)識(shí)符(例如bios212(uefi)標(biāo)識(shí)符、安全監(jiān)測(cè)組件的操作系統(tǒng)的標(biāo)識(shí)符等)。全球唯一安全標(biāo)識(shí)符可在物理tpm或者基于軟件的可信模塊(例如安全引擎224上的固件tpm(例如可管理引擎(me)、聚合安全及可管理引擎(csme)、創(chuàng)新引擎(ie)、安全分區(qū)、安全協(xié)處理器或單獨(dú)處理器核心等))內(nèi)被保護(hù),和/或被存儲(chǔ)在安全位置(例如安全存儲(chǔ)器210)中。安全監(jiān)測(cè)組件的任一個(gè)或者其功能性可在安全環(huán)境(例如處理器202的tee支持204)中被例示。因此,每一個(gè)例示可通過全球唯一安全標(biāo)識(shí)符來識(shí)別。此外,在一些實(shí)施例中,全球唯一安全標(biāo)識(shí)符可在例示時(shí)綁定到用例消息傳遞。
另外,各唯一使用實(shí)例包含唯一使用標(biāo)識(shí)符。相應(yīng)地,nfv安全架構(gòu)116內(nèi)的多個(gè)使用和流程能夠被唯一地識(shí)別,例如以用于審計(jì)、認(rèn)證、控制、調(diào)試等。如先前所述,在一些實(shí)施例中,nfv安全架構(gòu)116可包含nfv安全服務(wù)控制器102、nfv編排器104和vim106的一個(gè)或多個(gè)實(shí)例。在這類實(shí)施例中,組件的多個(gè)實(shí)例可被鏡像以使用同一外部標(biāo)識(shí)符,并且還包含唯一內(nèi)部標(biāo)識(shí)符(例如實(shí)例安全標(biāo)識(shí)符),以區(qū)分被鏡像組件。
此外,nfv安全架構(gòu)116的各邏輯組件可分隔為一個(gè)以上物理和/或邏輯組件,以應(yīng)對(duì)具體使用,例如sfc策略、vnf間通信密鑰、vim控制器424策略等。在這類實(shí)施例中,物理和/或邏輯組件可由運(yùn)營(yíng)商或者云提供商連同全球唯一標(biāo)識(shí)符(guid)一起簽署,其可在安裝之前被檢驗(yàn)。簽署可使用私有密鑰來執(zhí)行,其公有密鑰(例如證書密鑰、熔絲密鑰(fusekey)、具體裝置密鑰等)可嵌入到nfv基礎(chǔ)設(shè)施108中并且由nfv安全服務(wù)代理來訪問。相應(yīng)地,檢驗(yàn)可由nfv安全服務(wù)代理在物理和/或邏輯組件的環(huán)境的嚴(yán)格控制內(nèi)執(zhí)行。
nfv安全服務(wù)控制器102經(jīng)由安全通信信道406在通信上被耦合到nfv編排器104。如上所述,在一些實(shí)施例中,nfv安全服務(wù)控制器102和nfv編排器104可被并置在例如mano架構(gòu)框架中。此外,nfv安全服務(wù)控制器102經(jīng)由安全通信信道414在通信上被耦合到vim106,以及nfv編排器104經(jīng)由安全通信信道416在通信上被耦合到vim106。安全通信信道406、414、416以及nfv安全架構(gòu)116的其他安全通信信道可采用nfv安全服務(wù)控制器102用來建立可信根(rot)以建立nfv安全架構(gòu)116的通信信道(例如安全通信信道406、414、416)的安全密鑰(例如會(huì)話密鑰和/或其他密碼密鑰)來保護(hù)。在一些實(shí)施例中,安全密鑰可體現(xiàn)為可周期地被刷新的成對(duì)會(huì)話密鑰。因此,nfv安全服務(wù)控制器102能夠配置成充當(dāng)認(rèn)證服務(wù)器。
nfv安全架構(gòu)116還包含操作支持系統(tǒng)和商務(wù)支持系統(tǒng)(oss/bss)402,其經(jīng)由通信信道404在通信上被耦合到nfv編排器104。oss/bss402可體現(xiàn)為能夠執(zhí)行本文所述功能(例如支持電話網(wǎng)絡(luò)中的各種端對(duì)端電信服務(wù))的任何類型的計(jì)算或計(jì)算節(jié)點(diǎn)。在一些實(shí)施例中,oss/bss402可配置成支持管理功能(例如網(wǎng)絡(luò)庫存、服務(wù)配備、網(wǎng)絡(luò)配置和故障管理)以及各種商務(wù)功能,以支持可由oss/bss402所支持的端對(duì)端電信服務(wù)(例如產(chǎn)品管理、客戶管理、收益管理、訂單管理等)。
如先前所述,在使用中,nfv安全服務(wù)控制器102提供和實(shí)施跨nfv安全架構(gòu)116的各種安全監(jiān)測(cè)組件的安全監(jiān)測(cè)策略。要這樣做,nfv安全服務(wù)控制器102跨相應(yīng)安全通信信道向nfv編排器104和vim106傳送安全監(jiān)測(cè)策略。nfv安全服務(wù)控制器102還經(jīng)由安全通信信道418在通信上被耦合到nfv安全監(jiān)測(cè)分析系統(tǒng)438。
nfv安全監(jiān)測(cè)分析系統(tǒng)438(其將在下文進(jìn)一步描述)基于nfv安全監(jiān)測(cè)分析系統(tǒng)438在按照當(dāng)前所實(shí)施安全監(jiān)測(cè)策略來接收的遙測(cè)數(shù)據(jù)的分析中是否已檢測(cè)到安全威脅、例如攻擊(例如拒絕服務(wù)(dos)攻擊、中間人攻擊、竊聽、數(shù)據(jù)修改攻擊等)或異常,來為nfv安全服務(wù)控制器102提供矯正策略(即,所更新安全監(jiān)測(cè)策略)。相應(yīng)地,nfv安全服務(wù)控制器102配置成基于矯正策略、例如通過可采取以應(yīng)對(duì)威脅或驗(yàn)證異常的矯正動(dòng)作來實(shí)施對(duì)安全監(jiān)測(cè)策略的任何更新。例如,矯正動(dòng)作可包含阻止某些網(wǎng)絡(luò)業(yè)務(wù)(即,某些網(wǎng)絡(luò)分組)、向深層分組檢查(dpi)vnf實(shí)例流播某些網(wǎng)絡(luò)業(yè)務(wù)、速率限制或抑制網(wǎng)絡(luò)業(yè)務(wù)等。相應(yīng)地,nfv安全服務(wù)控制器102然后可向vim106的nfv安全服務(wù)提供器420傳送安全策略更新。
另外,說明性nfv安全服務(wù)控制器102與兩個(gè)邏輯安全數(shù)據(jù)庫進(jìn)行接口:審計(jì)數(shù)據(jù)庫410和nfv安全數(shù)據(jù)庫412。審計(jì)數(shù)據(jù)庫410是安全數(shù)據(jù)庫,其包含與nfv安全架構(gòu)116的各種安全監(jiān)測(cè)組件相關(guān)的安全審計(jì)信息。安全審計(jì)信息可包含配置變化日志、網(wǎng)絡(luò)追蹤、調(diào)試追蹤、應(yīng)用追蹤等。在說明性nfv安全架構(gòu)116中,審計(jì)數(shù)據(jù)庫410還配置成與nfv安全架構(gòu)116的其他網(wǎng)絡(luò)和安全監(jiān)測(cè)組件(例如vim106和跨nfv安全架構(gòu)116而分布的各種nfv安全服務(wù)代理,其將在下面更詳細(xì)論述)進(jìn)行接口。在一些實(shí)施例中,與審計(jì)數(shù)據(jù)庫410進(jìn)行接口的說明性nfv安全架構(gòu)116的各種安全監(jiān)測(cè)組件可使用安全時(shí)鐘(例如圖2的安全時(shí)鐘216)對(duì)于在審計(jì)數(shù)據(jù)庫410所接收的遙測(cè)數(shù)據(jù)加時(shí)間戳以供安全存儲(chǔ)。相應(yīng)地,nfv安全服務(wù)控制器102能夠基于遙測(cè)數(shù)據(jù)的時(shí)間戳來審計(jì)遙測(cè)數(shù)據(jù)(即,對(duì)遙測(cè)數(shù)據(jù)進(jìn)行檢驗(yàn)和定序)。
nfv安全數(shù)據(jù)庫412體現(xiàn)為用于部署跨nfv安全架構(gòu)116(即,跨nfv安全架構(gòu)116)的安全監(jiān)測(cè)的安全數(shù)據(jù)庫。相應(yīng)地,nfv安全數(shù)據(jù)庫412可包含安全數(shù)據(jù)結(jié)構(gòu),例如nfv訂戶/租戶、sfc策略、sfc路徑保護(hù)策略、vim106(例如vim控制器424)的控制器策略、nfv安全監(jiān)測(cè)策略和配置、nfv安全配備憑證(例如用于保護(hù)sfc)服務(wù)功能鏈、vnf間策略、一個(gè)或多個(gè)云操作系統(tǒng)安全策略和/或具體租戶安全策略。
如先前所述,在使用中,nfv編排器104管理nfv基礎(chǔ)設(shè)施108中的vnf的生存周期,包含例示、向外/向內(nèi)擴(kuò)展、測(cè)量性能、相互關(guān)連事件、終止等。要這樣做,nfv編排器104配置成經(jīng)由安全通信信道434向vnf管理器432提供指令,以便基于nfv基礎(chǔ)設(shè)施108的資源來管理nfv基礎(chǔ)設(shè)施108的vnf(參見vnf實(shí)例440)的初始化和配置(即,擴(kuò)縮和部署)。vnf管理器432還配置成執(zhí)行配置的總體協(xié)調(diào)和自適應(yīng)以及nfv基礎(chǔ)設(shè)施108的事件報(bào)告。vnf管理器432還配置成更新和確保vnf的完整性。要這樣做,vnf管理器432配置成經(jīng)由安全通信信道430與vim106協(xié)商,以確定在其上例示特定vnf實(shí)例的可用物理資源。應(yīng)當(dāng)理解,vim106可使用任何適當(dāng)技術(shù)、算法和/或機(jī)制進(jìn)行這種確定。還應(yīng)當(dāng)理解,在一些實(shí)施例中,單個(gè)vnf管理器432可負(fù)責(zé)管理一個(gè)或多個(gè)vnf實(shí)例。換言之,在一些實(shí)施例中,可為每個(gè)vnf實(shí)例來例示vnf管理器432。
又如先前所述,在使用中,vim106經(jīng)由通過安全通信信道474所安全傳送的消息來控制和管理nfv基礎(chǔ)設(shè)施108的虛擬和硬件計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)資源的分配。另外,vim106可配置成收集nfv基礎(chǔ)設(shè)施108計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)資源(例如物理和虛擬)的性能測(cè)量和事件并且將其安全轉(zhuǎn)發(fā)至審計(jì)數(shù)據(jù)庫410。說明性vim106包含nfv安全服務(wù)提供器420、vim控制器424和多個(gè)vim組件428。nfv安全服務(wù)提供器420配置成經(jīng)由安全通信信道414從nfv安全服務(wù)控制器102接收安全監(jiān)測(cè)策略,實(shí)現(xiàn)跨nfv基礎(chǔ)設(shè)施108的各種安全監(jiān)測(cè)組件的安全監(jiān)測(cè)策略,并且基于從nfv安全服務(wù)控制器102所接收的安全監(jiān)測(cè)策略來配備vnf實(shí)例(例如vnf實(shí)例440的服務(wù)功能鏈vnf452)。
另外,nfv安全服務(wù)提供器420配置成與vim106的nfv安全服務(wù)代理的一個(gè)或多個(gè)和nfv基礎(chǔ)設(shè)施108安全地通信。vim控制器424配置成用作網(wǎng)絡(luò)策略控制器或網(wǎng)絡(luò)體系服務(wù)控制器,用作舉例,比如軟件定義網(wǎng)絡(luò)體系(sdn)控制器或openstackneutron。vim組件428可包含如安裝vnf實(shí)例和/或激活服務(wù)可需要的vim106的任何附加物理和/或虛擬計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)資源,例如vnf圖像管理控制器(例如安裝和配備vnf實(shí)例440的openstacknova)。說明性vim控制器424包含nfv安全服務(wù)代理426,其配置成收集vim控制器424的遙測(cè)數(shù)據(jù)、例如基于策略的信息以及來自其他vim組件428的遙測(cè)數(shù)據(jù)。
nfv基礎(chǔ)設(shè)施108包含從其中可部署vnf的計(jì)算節(jié)點(diǎn)110的硬件和軟件組件(即,虛擬計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)資源、虛擬化軟件、硬件計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)資源等)的所有。應(yīng)當(dāng)理解,nfv基礎(chǔ)設(shè)施108的物理和/或虛擬組件可跨不同位置、數(shù)據(jù)中心、地理、提供器等。另外,還應(yīng)當(dāng)理解,網(wǎng)絡(luò)(nfv基礎(chǔ)設(shè)施108的組件通過該網(wǎng)絡(luò)用來進(jìn)行通信和接口的)可被認(rèn)為包含在nfv基礎(chǔ)設(shè)施108中。
說明性nfv基礎(chǔ)設(shè)施108包含一個(gè)或多個(gè)平臺(tái)480、圖2的bios212、管理程序462和一個(gè)或多個(gè)vnf實(shí)例440。說明性平臺(tái)480包含:第一平臺(tái),其被表示為平臺(tái)(1)482;以及第二平臺(tái),其被表示為平臺(tái)(n)482(即,“第n”平臺(tái),其中“n”為正整數(shù),并且表示一個(gè)或多個(gè)附加平臺(tái))。平臺(tái)480的每個(gè)包含圖2的i/o子系統(tǒng)206、nic220和/或交換機(jī)222。說明性平臺(tái)(1)482還包含nfv安全服務(wù)代理486。nfv安全服務(wù)代理486配置成經(jīng)由安全通信信道488收集在硬件級(jí)(即,來自i/o子系統(tǒng)206、nic220和/或交換機(jī)222)的遙測(cè)數(shù)據(jù)。相應(yīng)地,由安全監(jiān)測(cè)收集代理486所收集的遙測(cè)數(shù)據(jù)可包含nic配置信息、各種硬件缺陷、差錯(cuò)和/或異常以及網(wǎng)絡(luò)分組行為(例如丟棄分組)。在收集時(shí),遙測(cè)數(shù)據(jù)例如經(jīng)由安全通信信道490安全地被傳送給nfv安全監(jiān)測(cè)分析系統(tǒng)438。
管理程序462或虛擬機(jī)監(jiān)測(cè)器(vmm)在使用中運(yùn)行vnf實(shí)例440,一般經(jīng)由一個(gè)或多個(gè)虛擬機(jī)(vm)而用于運(yùn)行vnf實(shí)例440的每個(gè)。在一些實(shí)施例中,vnf實(shí)例440可包含虛擬交換機(jī)(vswitch)、虛擬路由器(vrouter)、防火墻、網(wǎng)絡(luò)地址轉(zhuǎn)換(nat)、dpi、演進(jìn)分組核心(epc)、移動(dòng)管理實(shí)體(mme)、分組數(shù)據(jù)網(wǎng)絡(luò)網(wǎng)關(guān)(pgw)、服務(wù)網(wǎng)關(guān)(sgw)、記帳功能和/或其他虛擬網(wǎng)絡(luò)功能。在一些實(shí)施例中,特定vnf實(shí)例440可具有多個(gè)子實(shí)例,其能夠運(yùn)行于單個(gè)平臺(tái)(例如平臺(tái)482)或者跨不同平臺(tái)(例如平臺(tái)482和平臺(tái)484)。換言之,當(dāng)虛擬化時(shí),按傳統(tǒng)由與特定平臺(tái)并置的物理硬件所操控的網(wǎng)絡(luò)功能可作為多個(gè)vnf實(shí)例440而跨平臺(tái)480的一個(gè)或多個(gè)來分布。vnf實(shí)例440的每個(gè)可包含任何數(shù)量的vnf,vnf的每個(gè)可包含一個(gè)或多個(gè)vnf組件(vnfc)(未示出)。應(yīng)當(dāng)理解,vnf實(shí)例440可體現(xiàn)為任何適當(dāng)虛擬網(wǎng)絡(luò)功能;類似地,vnfc可體現(xiàn)為任何適當(dāng)vnf組件。vnfc是進(jìn)行協(xié)作以傳遞一個(gè)或多個(gè)vnf實(shí)例440的功能性的過程和/或?qū)嵗?。例如,在一些?shí)施例中,vnfc可以是vnf實(shí)例440的子模塊。
與vnf實(shí)例440相似,應(yīng)當(dāng)理解,vnfc可跨一個(gè)或多個(gè)平臺(tái)480來分布。此外,應(yīng)當(dāng)理解,特定vnf實(shí)例440可跨多個(gè)平臺(tái)480來分布,并且仍然形成平臺(tái)480的一個(gè)之上所建立的vnf實(shí)例440的一部分。在一些實(shí)施例中,vnf實(shí)例440和/或vnfc可運(yùn)行在同一平臺(tái)(例如平臺(tái)482或平臺(tái)484)上,或者同一數(shù)據(jù)中心內(nèi)但是在不同平臺(tái)480上。此外,在一些實(shí)施例中,vnf實(shí)例440和/或vnfc可跨不同數(shù)據(jù)中心而運(yùn)行。
管理程序462配置成建立和/或利用nfv基礎(chǔ)設(shè)施108的各種虛擬化硬件資源(例如虛擬存儲(chǔ)器、虛擬操作系統(tǒng)、虛擬網(wǎng)絡(luò)體系組件等)。另外,管理程序462可促進(jìn)跨vnf實(shí)例440和/或vnfc的通信。說明性管理程序462包含虛擬路由器464,其經(jīng)由安全通信信道466在通信上被耦合到nfv安全服務(wù)代理468。nfv安全服務(wù)代理468配置成經(jīng)由nfv安全服務(wù)提供器420從nfv安全服務(wù)控制器102來接收和實(shí)現(xiàn)安全監(jiān)測(cè)策略。換言之,nfv安全服務(wù)代理468配置成基于安全監(jiān)測(cè)策略來執(zhí)行主動(dòng)和/或被動(dòng)安全監(jiān)測(cè)。此外,nfv安全服務(wù)代理468配置成在nfv安全服務(wù)代理468的激活時(shí)將用于監(jiān)測(cè)和/或收集的網(wǎng)絡(luò)業(yè)務(wù)映射到安全監(jiān)測(cè)策略。
說明性nfv安全服務(wù)代理468包含sfc代理(其將在下文進(jìn)一步來描述)和安全監(jiān)測(cè)收集代理472。安全監(jiān)測(cè)收集代理472配置成收集nfv安全服務(wù)代理駐留于其處的nfv安全架構(gòu)116的組件的遙測(cè)信息。在說明性nfv安全服務(wù)代理468中,組件是管理程序462,而對(duì)于nfv安全服務(wù)代理486,組件是平臺(tái)482。應(yīng)當(dāng)理解,雖然只有nfv安全服務(wù)代理468示出安全監(jiān)測(cè)收集代理472和sfc代理470,但是跨nfv安全架構(gòu)116來分布的nfv安全服務(wù)代理(例如nfv安全服務(wù)代理426、nfv安全服務(wù)代理448、nfv安全服務(wù)代理458、nfv安全服務(wù)代理460和nfv安全服務(wù)代理486)的每個(gè)可包含安全監(jiān)測(cè)收集代理和/或sfc代理的實(shí)例。nfv安全服務(wù)代理468的安全監(jiān)測(cè)收集代理472配置成收集在bios級(jí)(即,在bios212和/或管理程序462)的遙測(cè)數(shù)據(jù)。由安全監(jiān)測(cè)收集代理472所收集的遙測(cè)數(shù)據(jù)例如經(jīng)由安全通信信道490安全地被傳送給nfv安全監(jiān)測(cè)分析系統(tǒng)438。
說明性vnf實(shí)例440包含:網(wǎng)絡(luò)vnf442,其配置成表現(xiàn)為虛擬網(wǎng)絡(luò)體系裝置(例如vswitch、vrouter、防火墻、nat、dpi、epc、mme、pgw、sgw等);監(jiān)測(cè)裝置vnf446,其配置成用作專用監(jiān)測(cè)代理;以及服務(wù)功能鏈450,其包含能夠執(zhí)行特定虛擬功能或服務(wù)的一個(gè)或多個(gè)服務(wù)功能鏈vnf452。
服務(wù)功能鏈450的說明性服務(wù)功能鏈vnf452包含:第一服務(wù)功能鏈vnf,其被表示為vnf(1)454;以及第二服務(wù)功能鏈vnf,其被表示為vnf(n)456(即,“第n”服務(wù)功能鏈vnf,其中“n”為正整數(shù),并且表示一個(gè)或多個(gè)附加服務(wù)功能鏈vnf實(shí)例)。此外,說明性服務(wù)功能鏈vnf452的每個(gè)包含nfv安全服務(wù)代理的實(shí)例(即,vnf(1)454的nfv安全服務(wù)代理458和vnf(n)456的nfv安全服務(wù)代理460)。nfv安全服務(wù)代理458、460的每個(gè)配置成收集在虛擬環(huán)境級(jí)的遙測(cè)數(shù)據(jù)(即,從nfv安全服務(wù)代理駐留于其上的服務(wù)功能鏈vnf452的每個(gè)來收集vnf遙測(cè)數(shù)據(jù))。雖然服務(wù)功能鏈450的說明性服務(wù)功能鏈vnf452的每個(gè)包含nfv安全服務(wù)代理458、460,但是應(yīng)當(dāng)理解,一些實(shí)施例,單個(gè)nfv安全服務(wù)代理(例如監(jiān)測(cè)服務(wù)vnf446的nfv安全服務(wù)代理448)可被用來監(jiān)測(cè)和收集遙測(cè)數(shù)據(jù)。
網(wǎng)絡(luò)vnf442可包含處理在用戶數(shù)據(jù)平面的網(wǎng)絡(luò)業(yè)務(wù)的分組處理器444,例如intel?數(shù)據(jù)平面開發(fā)套件(intel?dpdk)。監(jiān)測(cè)服務(wù)vnf446可包含nfv安全服務(wù)代理(ssa)448,其配置成收集在虛擬環(huán)境級(jí)的遙測(cè)數(shù)據(jù)(即,從vnf實(shí)例440的每個(gè)來收集vnf遙測(cè)數(shù)據(jù))。由nfv安全服務(wù)代理448的安全監(jiān)測(cè)收集代理(未示出)所收集的遙測(cè)數(shù)據(jù)例如經(jīng)由安全通信信道490安全地被傳送給nfv安全監(jiān)測(cè)分析系統(tǒng)438。
nfv安全監(jiān)測(cè)分析系統(tǒng)438配置成經(jīng)由安全通信信道490從各種nfv安全服務(wù)代理來安全地獲取與nfv基礎(chǔ)設(shè)施108相關(guān)的遙測(cè)數(shù)據(jù)以及經(jīng)由安全通信信道436安全地獲取與vnf管理器432相關(guān)的vnf配置數(shù)據(jù)。vnf配置數(shù)據(jù)可包含所例示nfv的數(shù)量、所激活nfv的數(shù)量、由每個(gè)nfv所提供的功能或服務(wù)或者功能或服務(wù)的部分等。相應(yīng)地,nfv安全監(jiān)測(cè)分析系統(tǒng)438能夠分析遙測(cè)數(shù)據(jù)和vnf配置數(shù)據(jù),以檢測(cè)任何威脅和/或異常是否存在。在一些實(shí)施例中,nfv安全監(jiān)測(cè)分析系統(tǒng)438可分析遙測(cè)數(shù)據(jù)和vnf配置數(shù)據(jù),以開發(fā)從其可識(shí)別安全威脅的遙測(cè)模式。nfv安全監(jiān)測(cè)分析系統(tǒng)438還配置成響應(yīng)已檢測(cè)到安全威脅而向安全監(jiān)測(cè)組件傳遞矯正策略(即,所更新安全監(jiān)測(cè)策略)供實(shí)施。
說明性nfv安全架構(gòu)116包含多個(gè)安全監(jiān)測(cè)組件,其專門配置成監(jiān)測(cè)nfv基礎(chǔ)設(shè)施108內(nèi)所運(yùn)行的服務(wù)功能鏈的安全。服務(wù)功能鏈(sfc)安全監(jiān)測(cè)組件包含nfv安全服務(wù)控制器102的sfc安全控制器408、vim106的nfv安全服務(wù)提供器420的sfc安全提供器422以及整個(gè)nfv基礎(chǔ)設(shè)施108所分布的多個(gè)sfc代理。相互認(rèn)證nfv安全架構(gòu)116的sfc安全監(jiān)測(cè)組件以用于安全通信,并且可構(gòu)建于安全已檢驗(yàn)引導(dǎo)。相應(yīng)地,nfv安全架構(gòu)116的sfc安全監(jiān)測(cè)組件能夠跨不同地理、跨不同托管數(shù)據(jù)中心和/或通過非可信網(wǎng)絡(luò)來部署。此外,nfv安全架構(gòu)安全監(jiān)測(cè)組件在nfv安全架構(gòu)116內(nèi)能夠安全地配備nfv安全架構(gòu)116的sfc安全監(jiān)測(cè)組件。
安全監(jiān)測(cè)組件在運(yùn)行于用作舉例,比如vepc架構(gòu)內(nèi)的各種vnf之上的控制、管理和/或數(shù)據(jù)平面上能夠執(zhí)行sfc安全監(jiān)測(cè)組件。在一些實(shí)施例中,運(yùn)行時(shí)具體sfc安全監(jiān)測(cè)策略可通過一個(gè)平面上發(fā)生的事件來觸發(fā),而基于安全監(jiān)測(cè)策略所執(zhí)行的安全監(jiān)測(cè)可在那個(gè)平面上和/或其他平面其中之一或兩者上發(fā)起。例如,事件可在控制平面中例如通過惡意或殘缺網(wǎng)絡(luò)分組來觸發(fā),以及矯正策略可包含用于跨控制、管理和數(shù)據(jù)平面的事件觸發(fā)網(wǎng)絡(luò)分組的匹配的sfc監(jiān)測(cè)和網(wǎng)絡(luò)數(shù)據(jù)分組收集。
sfc安全控制器408配置成編排跨nfv基礎(chǔ)設(shè)施108的sfc安全策略。要這樣做,sfc安全控制器408配置成與nfv安全數(shù)據(jù)庫412進(jìn)行通信,以訪問sfc安全策略和憑證。sfc安全策略和憑證可包含任何類型的安全策略,用作舉例,比如傳輸策略(即,用于消息、安全密鑰等的安全輸送)以及在vnf的安全配備和/或nfv基礎(chǔ)設(shè)施108的各種節(jié)點(diǎn)處的安裝時(shí)的用于安全監(jiān)測(cè)方面的策略。sfc安全策略和憑證還可包含用于跨sfc和/或sfc的vnf內(nèi)部的通信的策略,例如通信是否將通過軟件(即,虛擬)網(wǎng)絡(luò)接口卡、交換機(jī)和/或路由器的硬件來傳送。sfc安全策略和憑證可基于流標(biāo)識(shí)符、租戶標(biāo)識(shí)符、訂戶標(biāo)識(shí)符(例如國際移動(dòng)用戶身份(imsi))、地理位置、監(jiān)管域等。
在一些實(shí)施例中,具體策略可經(jīng)過oss/bss402和/或現(xiàn)有安全基礎(chǔ)設(shè)施、例如第三代合作伙伴項(xiàng)目(3gpp)安全基礎(chǔ)設(shè)施來配置到sfc安全控制器408中。應(yīng)當(dāng)理解,在一些實(shí)施例中,對(duì)于運(yùn)行時(shí)策略(例如監(jiān)測(cè)某些訂戶流、租戶、應(yīng)用標(biāo)簽等),策略可使用現(xiàn)有安全基礎(chǔ)設(shè)施來傳遞。如先前所述,可相互認(rèn)證nfv安全架構(gòu)116的安全監(jiān)測(cè)組件。在其他實(shí)施例中,sfc安全控制器408可在sfc代理和/或其他遙測(cè)采集組件之間傳遞安全密鑰。作為補(bǔ)充或替代,在一些實(shí)施例中,現(xiàn)有安全基礎(chǔ)設(shè)施還可傳遞可用于各種vnf間或者每sfc通信或策略實(shí)施的安全密鑰。另外,sfc安全控制器408還配置成經(jīng)由安全通信信道414向一個(gè)或多個(gè)sfc安全提供器422安全地提供sfc安全策略。
與nfv安全服務(wù)控制器102相似,sfc安全控制器408配置成基于在nfv安全監(jiān)測(cè)分析系統(tǒng)438所接收的所分析遙測(cè)數(shù)據(jù)從nfv安全監(jiān)測(cè)分析系統(tǒng)438安全地接收矯正安全監(jiān)測(cè)策略,其過程在下文進(jìn)一步描述。又與由nfv安全服務(wù)控制器102所接收的矯正策略相似,由sfc安全控制器408所接收的矯正安全監(jiān)測(cè)策略可包含基于由nfv安全監(jiān)測(cè)分析系統(tǒng)438所執(zhí)行的遙測(cè)數(shù)據(jù)的分析要對(duì)由nfv安全監(jiān)測(cè)分析系統(tǒng)438所懷疑的網(wǎng)絡(luò)業(yè)務(wù)所采取的矯正動(dòng)作。矯正動(dòng)作可包含阻止某些網(wǎng)絡(luò)業(yè)務(wù)、向深層分組檢查(dpi)vnf實(shí)例流播某些網(wǎng)絡(luò)業(yè)務(wù)、速率限制或抑制網(wǎng)絡(luò)業(yè)務(wù)或者可對(duì)可疑網(wǎng)絡(luò)業(yè)務(wù)所采取以便進(jìn)一步識(shí)別根本原因或驗(yàn)證安全威脅的任何其他動(dòng)作。
sfc安全控制器408還配置成向通信上被耦合到sfc安全控制器408的說明性nfv安全服務(wù)提供器420的一個(gè)或多個(gè)sfc安全提供器422傳遞安全監(jiān)測(cè)策略更新。sfc安全提供器422配置成跨vim106的各種網(wǎng)絡(luò)和安全監(jiān)測(cè)組件(包括vim控制器424)來傳送安全監(jiān)測(cè)策略更新。sfc安全提供器422還配置成跨整個(gè)nfv基礎(chǔ)設(shè)施108所分布的nfv安全服務(wù)代理內(nèi)的各種sfc代理來傳送安全監(jiān)測(cè)策略更新(包含任何適當(dāng)安全監(jiān)測(cè)動(dòng)作)。
雖然說明性nfv基礎(chǔ)設(shè)施108僅包含nfv安全服務(wù)代理468的sfc代理470,但是應(yīng)當(dāng)理解,sfc代理可在整個(gè)nfv基礎(chǔ)設(shè)施108所分布的nfv安全服務(wù)代理的任何一個(gè)或多個(gè)內(nèi)來例示。sfc代理(例如sfc代理470)配置成與nfv基礎(chǔ)設(shè)施108的各種安全監(jiān)測(cè)組件進(jìn)行通信,以執(zhí)行遙測(cè)數(shù)據(jù)的提取,并且基于安全監(jiān)測(cè)策略安全地傳遞所提取遙測(cè)數(shù)據(jù)。遙測(cè)數(shù)據(jù)提取(即,收集)能夠使用nfv基礎(chǔ)設(shè)施108內(nèi)例如在openvswitch、openvrouter、dpdk、硬件nic(例如nic220)、硬件交換機(jī)(例如交換機(jī)222、或硬件路由器(它們與sfc代理相連接)等的適當(dāng)鉤子(hook)來發(fā)起。
應(yīng)當(dāng)理解,與說明性nfv安全服務(wù)代理468的安全監(jiān)測(cè)收集代理472相似,每個(gè)sfc代理還可包括那個(gè)sfc代理特定的收集代理(未示出),和/或依靠sfc代理駐留于其上的nfv安全服務(wù)代理的安全監(jiān)測(cè)收集代理,其未示出以保存說明的清楚。換言之,在由sfc代理進(jìn)行的被動(dòng)和/或主動(dòng)安全監(jiān)測(cè)期間所提取的遙測(cè)數(shù)據(jù)可由運(yùn)行于nfv基礎(chǔ)設(shè)施108的sfc代理的收集代理(例如修改sflow等)來收集。
如上所述,遙測(cè)數(shù)據(jù)可體現(xiàn)為對(duì)其可被執(zhí)行安全分析的任何類型的數(shù)據(jù)。例如,遙測(cè)數(shù)據(jù)可包含安全統(tǒng)計(jì)以及來自nfv基礎(chǔ)設(shè)施108內(nèi)的各種硬件資源(例如計(jì)算、存儲(chǔ)和網(wǎng)絡(luò))、虛擬化軟件和虛擬資源(例如計(jì)算、存儲(chǔ)和網(wǎng)絡(luò))的配置和健康數(shù)據(jù)。作為補(bǔ)充或替代,遙測(cè)數(shù)據(jù)可包含具體流(即,通過要被監(jiān)測(cè)和/或被收集以供封裝和傳輸?shù)奶囟鞯臉?biāo)識(shí)符所確定)、裝置、節(jié)點(diǎn)、管理域、地理和/或任何管理地所配置流等的完整或部分(例如報(bào)頭、有效載荷等)網(wǎng)絡(luò)分組。要這樣做,sfc代理可被提供有唯一標(biāo)識(shí)網(wǎng)絡(luò)分組、裝置、節(jié)點(diǎn)、地理等的標(biāo)識(shí)符。此外,遙測(cè)數(shù)據(jù)可以是具體于例如特定sfc、合并sfc流或所隧穿sfc流。作為補(bǔ)充或替代,遙測(cè)數(shù)據(jù)可包含完全sfc業(yè)務(wù)分組流或者sfc業(yè)務(wù)分組流的子集,例如虛擬局域網(wǎng)(vlan)以及第二層(l2)或第三層(l3)所隧穿分組。
sfc代理可從nfv基礎(chǔ)設(shè)施108的任何安全監(jiān)測(cè)組件和/或通信信道(例如安全vm、物理層nic、交換機(jī)、路由器和/或構(gòu)造)來提取遙測(cè)數(shù)據(jù)。例如,在一些實(shí)施例中,在vnf實(shí)例440之一的nfv安全服務(wù)代理(例如nfv安全服務(wù)代理448、nfv安全服務(wù)代理458或者nfv安全服務(wù)代理460)內(nèi)所例示和所激活的sfc代理可與intel?dpdk用戶平面應(yīng)用(例如vswitch、vrouter、epc系統(tǒng)等)進(jìn)行通信,以提取遙測(cè)數(shù)據(jù)。在另一個(gè)示例中,在一些實(shí)施例中,sfc代理470可與虛擬路由器464(例如虛擬路由器464的openvswitch)進(jìn)行通信,以提取遙測(cè)數(shù)據(jù)。
在使用中,sfc代理封裝并且經(jīng)由安全通信信道490向nfv安全監(jiān)測(cè)分析系統(tǒng)438安全地傳遞遙測(cè)數(shù)據(jù)。sfc安全控制器408提供和配置從各種sfc代理和nfv安全監(jiān)測(cè)分析系統(tǒng)438所接收并且在其之間配置的保護(hù)憑證。要這樣做,sfc代理可使用手動(dòng)密鑰配備、預(yù)共享密鑰和/或使用sfc安全控制器408的另一個(gè)相互認(rèn)證功能的引導(dǎo)程序。此外,通信信道490能夠通過一個(gè)或多個(gè)安全密鑰(例如唯一成對(duì)隨機(jī)密鑰會(huì)話,其具有所配置的合理有限密鑰生存期)來保護(hù)。
現(xiàn)在參照?qǐng)D5,在使用中,nfv安全服務(wù)控制器102在操作期間建立環(huán)境500。nfv安全服務(wù)控制器102的說明性環(huán)境500包含安全通信模塊510、安全監(jiān)測(cè)策略管理模塊520、受保護(hù)傳輸控制模塊530、nfv安全服務(wù)代理控制模塊540和遙測(cè)數(shù)據(jù)審計(jì)模塊550。說明性環(huán)境500在通信上被耦合到審計(jì)數(shù)據(jù)庫410(其存儲(chǔ)安全審計(jì)信息)和圖4的nfv安全數(shù)據(jù)庫412(其存儲(chǔ)安全監(jiān)測(cè)策略)。環(huán)境500的各種模塊可體現(xiàn)為硬件、固件、軟件或者其組合。例如,環(huán)境500的各種模塊、邏輯和其他組件可形成nfv安全服務(wù)控制器102的硬件組件的一部分或者以其他方式由其來建立。因此,在一些實(shí)施例中,環(huán)境500的模塊的任何一個(gè)或多個(gè)可體現(xiàn)為電氣裝置的電路或集合(例如安全通信電路、安全管理電路、受保護(hù)傳輸控制電路、nfv安全服務(wù)代理控制電路和遙測(cè)數(shù)據(jù)審計(jì)電路等)。作為補(bǔ)充或替代,在一些實(shí)施例中,說明性模塊的一個(gè)或多個(gè)可形成另一個(gè)模塊的一部分和/或說明性模塊和/或子模塊的一個(gè)或多個(gè)(其可體現(xiàn)為單機(jī)或獨(dú)立模塊)。
安全通信模塊510配置成促進(jìn)向/從nfv安全服務(wù)控制器102的數(shù)據(jù)(例如消息、安全監(jiān)測(cè)策略等)的安全傳輸。要這樣做,安全通信模塊510配置成從外部安全系統(tǒng)(例如從外部安全控制器、圖4的oss/bss402等)安全地接收安全策略信息。另外,安全通信模塊510配置成經(jīng)由安全通信信道418從nfv安全監(jiān)測(cè)分析系統(tǒng)438接收矯正安全策略。
安全通信模塊510還配置成經(jīng)由安全通信信道414向nfv安全服務(wù)提供器420安全地傳送所更新安全策略。類似地,安全通信模塊510配置成促進(jìn)nfv安全服務(wù)控制器102與nfv安全數(shù)據(jù)庫412以及nfv安全服務(wù)控制器102與審計(jì)數(shù)據(jù)庫410之間的數(shù)據(jù)的安全傳輸。對(duì)于安全通信模塊510所傳送的安全消息的全部,安全通信模塊510包含執(zhí)行傳輸?shù)膎fv安全服務(wù)控制器102的實(shí)例的唯一標(biāo)識(shí)符以及認(rèn)證密鑰。要這樣做,安全通信模塊510可例如使用成對(duì)會(huì)話密鑰(其周期地被刷新)來執(zhí)行各種密鑰管理功能、密碼功能、安全通信信道管理和/或其他安全功能。相應(yīng)地,接收消息的安全監(jiān)測(cè)組件能夠經(jīng)由nfv安全服務(wù)控制器102來認(rèn)證消息。
安全監(jiān)測(cè)策略管理模塊520配置成基于所接收安全監(jiān)測(cè)策略來編排跨nfv安全架構(gòu)116的安全監(jiān)測(cè)策略的管理。要這樣做,安全監(jiān)測(cè)策略管理模塊520包括安全監(jiān)測(cè)策略分發(fā)模塊522和安全監(jiān)測(cè)策略實(shí)施模塊524。安全監(jiān)測(cè)策略分發(fā)模塊522配置成向整個(gè)nfv安全架構(gòu)116的各種安全監(jiān)測(cè)組件、例如向分布于nfv安全架構(gòu)116的nfv安全服務(wù)代理傳送安全監(jiān)測(cè)策略(其包括安全監(jiān)測(cè)組件策略、配置和功能)。
安全監(jiān)測(cè)策略實(shí)施模塊524配置實(shí)施被傳送給nfv安全架構(gòu)116的各種安全監(jiān)測(cè)組件的安全監(jiān)測(cè)策略。要這樣做,安全監(jiān)測(cè)策略實(shí)施模塊524配置成通過檢驗(yàn)nfv安全服務(wù)代理按照安全監(jiān)測(cè)策略所配置以及按照安全監(jiān)測(cè)策略監(jiān)測(cè)和收集遙測(cè)數(shù)據(jù)來實(shí)施安全監(jiān)測(cè)策略。例如,安全監(jiān)測(cè)策略實(shí)施模塊524可配置成檢驗(yàn)在nfv基礎(chǔ)設(shè)施108的vnf實(shí)例、例如nfv基礎(chǔ)設(shè)施108處的在vnf的板載或者在vnf運(yùn)行時(shí)的安全監(jiān)測(cè)策略,以確保vnf實(shí)例正確地被配置,并且當(dāng)前運(yùn)行于其上的nfv安全服務(wù)代理正在監(jiān)測(cè)和收集遙測(cè)數(shù)據(jù)(其按照安全監(jiān)測(cè)策略)。另外,安全監(jiān)測(cè)策略實(shí)施模塊524可基于安全監(jiān)測(cè)策略來檢驗(yàn)包含多個(gè)vnf實(shí)例(例如服務(wù)功能鏈450的服務(wù)功能鏈vnf452)的服務(wù)功能鏈(例如圖4的服務(wù)功能鏈450)的拓?fù)洹?/p>
受保護(hù)傳輸控制模塊530配置成建立vnf、例如服務(wù)功能鏈450的服務(wù)功能鏈vnf452的受保護(hù)傳輸策略(例如應(yīng)用安全通信信道保護(hù)的安全)。如先前所述,nfv安全服務(wù)控制器102可配置成充當(dāng)認(rèn)證服務(wù)器,以保護(hù)安全通信信道。相應(yīng)地,受保護(hù)傳輸控制模塊530還可包含消息認(rèn)證模塊534,其配置成表現(xiàn)為認(rèn)證服務(wù)器(即,對(duì)整個(gè)nfv安全架構(gòu)116的安全通信信道所傳送和所接收的消息執(zhí)行認(rèn)證。例如,受保護(hù)傳輸控制模塊530可利用一個(gè)或多個(gè)安全密鑰(例如熔絲密鑰、會(huì)話密鑰或者任何類型的密碼密鑰)來建立可信根(rot),以保護(hù)通信信道(例如經(jīng)由共享存儲(chǔ)器)。在一些實(shí)施例中,安全密鑰可體現(xiàn)為可周期地被刷新的成對(duì)會(huì)話密鑰。類似地,受保護(hù)傳輸控制模塊530配置成保護(hù)安全監(jiān)測(cè)組件與審計(jì)數(shù)據(jù)庫410之間的安全通信信道。
nfv安全服務(wù)代理控制模塊540配置成管理nfv安全服務(wù)代理(參見圖4),其配置成傳遞整個(gè)vim106和nfv基礎(chǔ)設(shè)施108的各種安全功能。要這樣做,nfv安全服務(wù)代理控制模塊540在nfv安全服務(wù)代理的引導(dǎo)之前播種適當(dāng)安全和策略配置信息(例如,要連接哪個(gè)vnf管理器),其可由nfv安全服務(wù)代理在運(yùn)行時(shí)來提取,以執(zhí)行特定任務(wù)、例如以連接到適當(dāng)vnf管理器。例如,在其中nfv安全架構(gòu)116包含服務(wù)功能鏈的多個(gè)所例示vnf(例如服務(wù)功能鏈450的服務(wù)功能鏈vnf452)的實(shí)施例中,nfv安全服務(wù)代理控制模塊540配置成激活服務(wù)功能鏈的vnf,通過在服務(wù)功能鏈的vnf的一個(gè)或多個(gè)之上運(yùn)行nfv安全服務(wù)的引導(dǎo)程序來發(fā)起nfv安全服務(wù)代理的部署(即,自旋加速和例示),并且接收引導(dǎo)程序信息(例如可由引導(dǎo)程序所使用以例示nfv安全服務(wù)代理的引導(dǎo)程序配置參數(shù)、那個(gè)特定nfv安全服務(wù)代理實(shí)例的個(gè)性化信息和/或nfv安全服務(wù)代理實(shí)例的許可證信息等)。
nfv安全服務(wù)代理控制模塊540還配置成將所例示nfv安全服務(wù)代理通知到對(duì)應(yīng)vnf管理器432。nfv安全服務(wù)代理可配置成執(zhí)行相互經(jīng)認(rèn)證密鑰交換,以用于建立與受保護(hù)傳輸控制模塊530的安全通信信道,其能夠被nfv安全服務(wù)代理控制模塊540用來個(gè)性化nfv安全服務(wù)代理(例如設(shè)置名稱、安全策略編組、每租戶策略,分發(fā)與特定nfv安全服務(wù)代理駐留于其上的vnf實(shí)例的vnf管理器432的用于安全會(huì)話建立的密鑰資料等)。
遙測(cè)數(shù)據(jù)審計(jì)模塊550配置成對(duì)在審計(jì)數(shù)據(jù)庫410所存儲(chǔ)的遙測(cè)數(shù)據(jù)執(zhí)行審計(jì)。要這樣做,遙測(cè)數(shù)據(jù)審計(jì)模塊550配置成分析與遙測(cè)數(shù)據(jù)關(guān)聯(lián)的時(shí)間戳。如先前所述,遙測(cè)數(shù)據(jù)在被傳送給審計(jì)數(shù)據(jù)庫410之前由安全時(shí)鐘(例如圖2的安全時(shí)鐘216)來加時(shí)間戳。相應(yīng)地,遙測(cè)數(shù)據(jù)審計(jì)模塊550還配置成對(duì)遙測(cè)數(shù)據(jù)進(jìn)行檢驗(yàn)和定序作為審計(jì)的部分。
現(xiàn)在參照?qǐng)D6,在使用中,每個(gè)nfv安全服務(wù)代理(例如圖4的nfv安全服務(wù)代理426、448、458、460、468、486)在操作期間建立環(huán)境600。對(duì)應(yīng)nfv安全服務(wù)代理的說明性環(huán)境600包含安全通信模塊610、遙測(cè)數(shù)據(jù)監(jiān)測(cè)模塊620、遙測(cè)數(shù)據(jù)封裝模塊630和引導(dǎo)程序執(zhí)行模塊640。說明性環(huán)境600還包含安全策略數(shù)據(jù)庫602(其中存儲(chǔ)nfv安全服務(wù)代理處的安全監(jiān)測(cè)策略)和遙測(cè)數(shù)據(jù)庫604(其中存儲(chǔ)nfv安全服務(wù)代理處的遙測(cè)數(shù)據(jù))。
環(huán)境600的各種模塊可體現(xiàn)為硬件、固件、軟件或者其組合。例如,環(huán)境600的各種模塊、邏輯和其他組件可形成nfv安全服務(wù)代理的硬件組件的一部分或者以其他方式由其來建立。因此,在一些實(shí)施例中,環(huán)境600的模塊的任何一個(gè)或多個(gè)可體現(xiàn)為電氣裝置的電路或集合(例如安全通信電路、遙測(cè)數(shù)據(jù)監(jiān)測(cè)電路、遙測(cè)數(shù)據(jù)封裝電路和引導(dǎo)程序執(zhí)行電路等)。作為補(bǔ)充或替代,在一些實(shí)施例中,說明性模塊的一個(gè)或多個(gè)可形成另一個(gè)模塊的一部分和/或說明性模塊和/或子模塊的一個(gè)或多個(gè)可體現(xiàn)為單機(jī)或獨(dú)立模塊。
安全通信模塊610配置成促進(jìn)向/從nfv安全服務(wù)代理的數(shù)據(jù)(例如消息、遙測(cè)數(shù)據(jù)等)的安全傳輸。例如,如圖4所示,nfv基礎(chǔ)設(shè)施108的nfv安全服務(wù)代理配置成使用nfv安全服務(wù)控制器102所提供的保護(hù)憑證向nfv安全監(jiān)測(cè)分析系統(tǒng)438和審計(jì)數(shù)據(jù)庫410傳送遙測(cè)數(shù)據(jù)。遙測(cè)數(shù)據(jù)監(jiān)測(cè)模塊620配置成監(jiān)測(cè)組件和/或nfv安全服務(wù)代理所位于的等級(jí)的遙測(cè)數(shù)據(jù)。遙測(cè)數(shù)據(jù)監(jiān)測(cè)模塊620還配置成主動(dòng)和/或被動(dòng)地監(jiān)測(cè)遙測(cè)數(shù)據(jù)。遙測(cè)數(shù)據(jù)可包含虛擬和/或物理配置數(shù)據(jù)以及安全統(tǒng)計(jì)、完整網(wǎng)絡(luò)分組、網(wǎng)絡(luò)分組報(bào)頭或者與特定流、具體裝置、具體演進(jìn)節(jié)點(diǎn)b(又稱作e-utran節(jié)點(diǎn)b、enodeb和enb)、特定地理或者任何管理經(jīng)配置流關(guān)聯(lián)的所有網(wǎng)絡(luò)分組。
遙測(cè)數(shù)據(jù)封裝模塊630配置成收集和封裝遙測(cè)數(shù)據(jù)、例如在遙測(cè)數(shù)據(jù)監(jiān)測(cè)模塊620所監(jiān)測(cè)的遙測(cè)數(shù)據(jù)。相應(yīng)地,所收集和所封裝的遙測(cè)數(shù)據(jù)可以是任何類型的數(shù)據(jù),包含nfv基礎(chǔ)設(shè)施108或vim106的硬件資源(例如計(jì)算、存儲(chǔ)和網(wǎng)絡(luò))、虛擬化軟件和/或虛擬資源(例如計(jì)算、存儲(chǔ)和網(wǎng)絡(luò))的信息,例如vnf配置設(shè)定、i/o子系統(tǒng)206設(shè)定、nic220設(shè)定、交換機(jī)222設(shè)定、虛擬路由器464設(shè)定、虛擬交換機(jī)設(shè)定、虛擬網(wǎng)關(guān)設(shè)定、vepc設(shè)定、控制器設(shè)定、網(wǎng)絡(luò)業(yè)務(wù)信息、完整和/或部分網(wǎng)絡(luò)分組等。此外,遙測(cè)數(shù)據(jù)封裝模塊630配置成例如經(jīng)由安全通信模塊610向?qū)S梅治鱿到y(tǒng)(例如圖4的nfv安全監(jiān)測(cè)分析系統(tǒng)438)安全地傳遞所封裝遙測(cè)數(shù)據(jù)。
遙測(cè)數(shù)據(jù)監(jiān)測(cè)模塊620和/或遙測(cè)數(shù)據(jù)封裝模塊630還可包含具體代理子模塊,以監(jiān)測(cè)和/或收集特定遙測(cè)數(shù)據(jù)。例如,說明性遙測(cè)數(shù)據(jù)監(jiān)測(cè)模塊620包含sfc遙測(cè)數(shù)據(jù)監(jiān)測(cè)模塊622,以監(jiān)測(cè)具體于nfv基礎(chǔ)設(shè)施108的服務(wù)功能鏈(例如服務(wù)功能鏈450)的遙測(cè)數(shù)據(jù)。類似地,說明性遙測(cè)數(shù)據(jù)封裝模塊630包含sfc遙測(cè)數(shù)據(jù)封裝模塊632,以便收集和封裝具體于例如由sfc遙測(cè)數(shù)據(jù)監(jiān)測(cè)模塊622所監(jiān)測(cè)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施的服務(wù)功能鏈的遙測(cè)數(shù)據(jù)。另外,遙測(cè)數(shù)據(jù)封裝模塊630和sfc遙測(cè)數(shù)據(jù)封裝模塊632各配置成使用安全時(shí)鐘(例如圖2的安全時(shí)鐘216)對(duì)用于傳輸至審計(jì)數(shù)據(jù)庫410的遙測(cè)數(shù)據(jù)加時(shí)間戳以供安全存儲(chǔ)。
引導(dǎo)程序執(zhí)行模塊630配置成運(yùn)行引導(dǎo)程序以部署nfv安全服務(wù)代理,其在計(jì)算節(jié)點(diǎn)(例如計(jì)算節(jié)點(diǎn)110之一)上加載nfv安全服務(wù)代理。引導(dǎo)程序執(zhí)行模塊630還配置成在nfv安全架構(gòu)116的網(wǎng)絡(luò)處理組件的任一個(gè)(包括例如vnf實(shí)例(例如服務(wù)功能鏈450的服務(wù)功能鏈vnf452之一)、管理程序462以及平臺(tái)480之一)之上運(yùn)行引導(dǎo)程序。
現(xiàn)在參照?qǐng)D7,在使用中,nfv安全服務(wù)控制器102可運(yùn)行用于管理nfv安全架構(gòu)116的安全監(jiān)測(cè)服務(wù)的方法700。方法700開始于框702,其中nfv安全服務(wù)控制器102經(jīng)由安全通信信道(例如圖4中到vim106的通信信道414)向nfv基礎(chǔ)設(shè)施108內(nèi)已經(jīng)例示的vnf傳送安全監(jiān)測(cè)策略。如先前所述,安全監(jiān)測(cè)策略包含各種監(jiān)測(cè)規(guī)則,其被vnf用來確定要監(jiān)測(cè)哪個(gè)遙測(cè)數(shù)據(jù)以及如何配置vnf的資源和功能性。在使用中,nfv安全服務(wù)控制器102通過安全通信信道414隨唯一標(biāo)識(shí)nfv安全服務(wù)控制器102的標(biāo)識(shí)符向nfv安全服務(wù)提供器420傳送安全監(jiān)測(cè)策略。在一些實(shí)施例中,nfv安全服務(wù)控制器102可經(jīng)由nfv編排器104從外部源、例如外部控制器或者圖4的oss/bss402接收安全監(jiān)測(cè)策略。
在框704,nfv安全服務(wù)控制器102在vnf檢驗(yàn)安全監(jiān)測(cè)策略。例如,nfv安全服務(wù)控制器102可檢驗(yàn)nfv基礎(chǔ)設(shè)施108處的在vnf運(yùn)行時(shí)或者在vnf板載的安全監(jiān)測(cè)策略。在框706,nfv安全服務(wù)控制器102基于安全監(jiān)測(cè)策略來安裝多個(gè)vnf之間(包括它們之間的路徑(即,通信路徑))的sfc拓?fù)洹T谝恍?shí)施例中,nfv安全服務(wù)控制器102可在框708基于安全監(jiān)測(cè)策略來應(yīng)用路徑的安全,以保護(hù)跨路徑所傳送的通信。
在框710,nfv安全服務(wù)控制器102基于安全監(jiān)測(cè)策略來檢驗(yàn)sfc拓?fù)?,以確保符合安全監(jiān)測(cè)策略。在框712,nfv安全服務(wù)控制器102建立用于sfc的vnf(例如圖4的服務(wù)功能鏈450的服務(wù)功能鏈vnf452)的受保護(hù)傳輸策略。在框714,nfv安全服務(wù)控制器102激活sfc的vnf的每個(gè)。要這樣做,nfv安全服務(wù)控制器102可經(jīng)由安全通信信道向vnf的每個(gè)傳送激活信號(hào)。另外,與從要求認(rèn)證的nfv安全服務(wù)控制器102所傳送的其他信號(hào)(即,消息)相似,激活信號(hào)包含唯一標(biāo)識(shí)符,使得vnf能夠認(rèn)證激活信號(hào)。
在框716,nfv安全服務(wù)控制器102發(fā)起nfv安全服務(wù)代理的部署(即,自旋加速和例示)。要這樣做,nfv安全服務(wù)控制器102運(yùn)行nfv安全服務(wù)代理的引導(dǎo)程序。如先前所述,nfv安全服務(wù)代理可被分布于整個(gè)vim106和/或nfv基礎(chǔ)設(shè)施108,以執(zhí)行安全監(jiān)測(cè)操作。相應(yīng)地,nfv安全服務(wù)代理可在圖4的nfv安全架構(gòu)116的多個(gè)安全監(jiān)測(cè)組件、例如sfc的vnf其中之一來例示。
在框718,nfv安全服務(wù)控制器102確定是否從所例示nfv安全服務(wù)代理接收引導(dǎo)程序信息。如果沒有的話,則方法700循環(huán)回到框718,以繼續(xù)等待從所例示nfv安全服務(wù)代理接收引導(dǎo)程序信息。如果nfv安全服務(wù)控制器102確定從所例示nfv安全服務(wù)代理接收到引導(dǎo)程序信息,則方法700前進(jìn)到框720,其中nfv安全服務(wù)控制器102將其中例示nfv安全服務(wù)代理的vnf通知到管理器。通知包含與vnf的實(shí)例對(duì)應(yīng)的唯一標(biāo)識(shí)符以及與nfv安全服務(wù)代理的實(shí)例對(duì)應(yīng)的另一個(gè)唯一標(biāo)識(shí)符。相應(yīng)地,vnf管理器則能夠基于唯一標(biāo)識(shí)符來管理所例示nfv安全服務(wù)代理并且與其通信。在框722,nfv安全服務(wù)控制器102激活所例示nfv安全服務(wù)代理。在框724,nfv安全服務(wù)控制器102實(shí)施跨整個(gè)vim106和/或nfv基礎(chǔ)設(shè)施108所分布的nfv安全服務(wù)代理的安全監(jiān)測(cè)策略。
現(xiàn)在參照?qǐng)D8,在使用中,nfv安全服務(wù)控制器102可運(yùn)行用于更新安全監(jiān)測(cè)策略的方法800。方法800開始于框802,其中nfv安全服務(wù)控制器102確定是否從nfv安全監(jiān)測(cè)分析系統(tǒng)438接收矯正策略。如先前所述,整個(gè)vim106和/或nfv基礎(chǔ)設(shè)施108所分布的nfv安全服務(wù)代理配置成收集遙測(cè)數(shù)據(jù),其安全地被傳送給nfv安全監(jiān)測(cè)分析系統(tǒng)438供分析,以確定是否檢測(cè)到任何威脅和/或異常。相應(yīng)地,在nfv安全監(jiān)測(cè)分析系統(tǒng)438檢測(cè)到這種安全威脅(例如攻擊或異常)的情況下,nfv安全監(jiān)測(cè)分析系統(tǒng)438安全地傳送針對(duì)解決或者進(jìn)一步分析所檢測(cè)安全威脅(其觸發(fā)矯正策略)的矯正策略。如果nfv安全服務(wù)控制器102確定沒有接收到矯正策略,則方法800循環(huán)回到框802,直到接收到矯正策略。
如果nfv安全服務(wù)控制器102接收到矯正策略,則在框804,nfv安全服務(wù)控制器102基于在框802所接收的矯正策略來更新當(dāng)前安全監(jiān)測(cè)策略。在框806,nfv安全服務(wù)控制器102經(jīng)由安全通信信道(例如圖4中到vim106的通信信道414)向nfv安全服務(wù)提供器420傳送安全監(jiān)測(cè)策略更新。相應(yīng)地,安全監(jiān)測(cè)策略更新則能夠從nfv安全服務(wù)提供器420進(jìn)一步被傳送給整個(gè)vim106和/或nfv基礎(chǔ)設(shè)施108所分布的nfv安全服務(wù)代理。
在一些實(shí)施例中,在框808,nfv安全服務(wù)控制器102還經(jīng)由安全通信信道隨安全監(jiān)測(cè)策略向nfv安全服務(wù)提供器420傳送對(duì)nfv安全服務(wù)控制器102唯一的標(biāo)識(shí)符。作為補(bǔ)充或替代,在一些實(shí)施例中,在框810,nfv安全服務(wù)控制器102還經(jīng)由安全通信信道向nfv安全服務(wù)提供器420傳送響應(yīng)矯正策略而要采取的一個(gè)或多個(gè)矯正動(dòng)作以及安全監(jiān)測(cè)策略。例如,(一個(gè)或多個(gè))矯正動(dòng)作可包含阻止某些網(wǎng)絡(luò)業(yè)務(wù)、向深層分組檢查(dpi)vnf實(shí)例流播某些網(wǎng)絡(luò)業(yè)務(wù)、速率限制或抑制網(wǎng)絡(luò)業(yè)務(wù)等。在框812,nfv安全服務(wù)控制器102實(shí)施跨整個(gè)vim106和/或nfv基礎(chǔ)設(shè)施108所分布的nfv安全服務(wù)代理的所更新安全監(jiān)測(cè)策略。
現(xiàn)在參照?qǐng)D9,用于例示nfv安全服務(wù)代理的通信流程900的實(shí)施例包含圖4的nfv安全架構(gòu)116的各種安全監(jiān)測(cè)組件。說明性通信流程900包含nfv編排器104、nfv安全服務(wù)控制器102、nfv安全服務(wù)提供器420、nfv基礎(chǔ)設(shè)施108、nfv安全服務(wù)代理之一(例如nfv安全服務(wù)代理426、nfv安全服務(wù)代理448、nfv安全服務(wù)代理458、nfv安全服務(wù)代理460和nfv安全服務(wù)代理486)和vnf管理器432。說明性通信流程900還包含多個(gè)數(shù)據(jù)流程,其中的一些可根據(jù)實(shí)施例單獨(dú)或共同來運(yùn)行。
在數(shù)據(jù)流程902,nfv編排器104向nfv安全服務(wù)控制器102傳送從oss/bss402所接收的安全監(jiān)測(cè)策略。在數(shù)據(jù)流程904,nfv安全服務(wù)控制器102隨nfv安全服務(wù)控制器的唯一標(biāo)識(shí)符向nfv安全服務(wù)提供器420安全地傳送命令,以例示nfv安全服務(wù)代理。在數(shù)據(jù)流程906,nfv安全服務(wù)提供器420向nfv基礎(chǔ)設(shè)施108安全地傳送具有nfv安全服務(wù)控制器和/或nfv安全服務(wù)提供器的唯一標(biāo)識(shí)符的命令,以部署(即,自旋加速和例示)nfv安全服務(wù)代理。
在數(shù)據(jù)流程908,nfv基礎(chǔ)設(shè)施108自旋加速nfv安全服務(wù)代理。如先前所述,nfv安全服務(wù)代理可在nfv基礎(chǔ)設(shè)施108內(nèi)的各種位置(包含nfv(例如nfv安全服務(wù)代理448、nfv安全服務(wù)代理458和nfv安全服務(wù)代理460)、管理程序462(例如nfv安全服務(wù)代理468)和平臺(tái)480(例如nfv安全服務(wù)代理486))來自旋加速。在數(shù)據(jù)流程910,例示nfv安全服務(wù)代理(即,發(fā)起nfv安全服務(wù)代理的引導(dǎo)程序)。在數(shù)據(jù)流程912,nfv安全服務(wù)代理經(jīng)過引導(dǎo)程序執(zhí)行過程。在數(shù)據(jù)流程914,nfv安全服務(wù)代理向nfv安全服務(wù)控制器102傳送引導(dǎo)程序信息。
在數(shù)據(jù)流程916,nfv安全服務(wù)控制器102通知vnf管理器432,其負(fù)責(zé)管理nfv安全服務(wù)代理。通知可包含與nfv安全服務(wù)代理的實(shí)例對(duì)應(yīng)的唯一標(biāo)識(shí)符以及與nfv安全服務(wù)代理所在的組件(例如服務(wù)功能鏈450的服務(wù)功能鏈vnf452之一、管理程序462、平臺(tái)480之一等)對(duì)應(yīng)的另一個(gè)唯一標(biāo)識(shí)符。在數(shù)據(jù)流程918,所例示nfv安全服務(wù)代理建立與vnf管理器432的管理會(huì)話。
在數(shù)據(jù)流程920,nfv安全服務(wù)控制器102在nfv安全服務(wù)提供器420實(shí)施安全監(jiān)測(cè)策略。在數(shù)據(jù)流程922,nfv安全服務(wù)提供器420在nfv安全服務(wù)代理實(shí)施安全監(jiān)測(cè)策略的nfv安全服務(wù)代理部分。在框924,nfv安全服務(wù)控制器102激活nfv安全服務(wù)代理。要這樣做,nfv安全服務(wù)控制器102經(jīng)由安全通信信道向nfv安全服務(wù)代理提供激活信號(hào)。另外,按照需要被認(rèn)證的nfv安全服務(wù)控制器102所傳送的其他消息,激活信號(hào)可包含唯一標(biāo)識(shí)符。在數(shù)據(jù)流程926,nfv安全服務(wù)代理將網(wǎng)絡(luò)業(yè)務(wù)映射到安全監(jiān)測(cè)策略。相應(yīng)地,nfv安全服務(wù)代理能夠按照安全監(jiān)測(cè)策略來監(jiān)測(cè)和收集遙測(cè)數(shù)據(jù)。
現(xiàn)在參照?qǐng)D10,在使用中,nfv安全服務(wù)代理之一可運(yùn)行用于監(jiān)測(cè)nfv安全架構(gòu)116的安全的方法1000。方法1000開始于框1002,其中nfv安全服務(wù)代理確定是否接收到例示請(qǐng)求。如果沒有的話,則方法1000循環(huán)回到框1002,以繼續(xù)等待例示請(qǐng)求。如果在框1002接收到例示請(qǐng)求,則方法1000前進(jìn)到框1004。在框1004,nfv安全服務(wù)代理運(yùn)行引導(dǎo)程序過程,以部署nfv安全服務(wù)代理,其在計(jì)算節(jié)點(diǎn)(例如計(jì)算節(jié)點(diǎn)110之一)上加載nfv安全服務(wù)代理。相應(yīng)地,引導(dǎo)程序過程可使基于nfv基礎(chǔ)設(shè)施108和/或其上部署nfv安全服務(wù)代理的nfv基礎(chǔ)設(shè)施108的組件的優(yōu)化得以發(fā)生,例如跨nfv基礎(chǔ)設(shè)施108的nfv安全服務(wù)代理的加速、擴(kuò)展性、快速部署等。
在框1006,nfv安全服務(wù)代理向nfv安全服務(wù)控制器102傳送引導(dǎo)程序信息。引導(dǎo)程序信息可包含例如可由引導(dǎo)程序所使用以例示nfv安全服務(wù)代理的引導(dǎo)程序配置參數(shù)、特定nfv安全服務(wù)代理實(shí)例的個(gè)性化信息和/或nfv安全服務(wù)代理實(shí)例的許可證信息。在框1008,nfv安全服務(wù)代理建立與vnf管理器(例如vnf管理器432)的管理會(huì)話。相應(yīng)地,已與其建立管理會(huì)話的vnf管理器能夠承擔(dān)nfv安全服務(wù)代理的管理控制。在框1010,nfv安全服務(wù)代理經(jīng)由nfv安全服務(wù)提供器420從nfv安全服務(wù)控制器102接收用于主動(dòng)和/或被動(dòng)監(jiān)測(cè)的安全監(jiān)測(cè)策略。相應(yīng)地,nfv安全服務(wù)代理可以僅接收與nfv安全服務(wù)代理相關(guān)的安全監(jiān)測(cè)策略的一部分。
在框1012,nfv安全服務(wù)代理基于安全監(jiān)測(cè)策略來映射用于監(jiān)測(cè)和/或收集的網(wǎng)絡(luò)業(yè)務(wù)數(shù)據(jù)。換言之,nfv安全服務(wù)代理基于安全監(jiān)測(cè)策略來映射要監(jiān)測(cè)哪個(gè)網(wǎng)絡(luò)業(yè)務(wù)。在框1014,nfv安全服務(wù)代理基于安全監(jiān)測(cè)策略來執(zhí)行安全監(jiān)測(cè)(例如所映射網(wǎng)絡(luò)業(yè)務(wù)的安全監(jiān)測(cè))。要這樣做,在框1016,nfv安全服務(wù)代理對(duì)控制、管理和/或數(shù)據(jù)平面執(zhí)行安全監(jiān)測(cè)。在一些實(shí)施例中,基于安全監(jiān)測(cè)策略,監(jiān)測(cè)可以是具有基于手動(dòng)和自動(dòng)異常檢測(cè)的所提供遙測(cè)監(jiān)測(cè)或具體監(jiān)測(cè)策略傳遞和激活的連續(xù)監(jiān)測(cè),。作為補(bǔ)充或替代,在一些實(shí)施例中,監(jiān)測(cè)可由管理員基于管理員所指定的標(biāo)準(zhǔn)來觸發(fā)。
在框1018,nfv安全服務(wù)代理收集遙測(cè)數(shù)據(jù)。所收集的遙測(cè)數(shù)據(jù)可包含虛擬和/或物理網(wǎng)絡(luò)統(tǒng)計(jì)、網(wǎng)絡(luò)健康監(jiān)測(cè)信息、網(wǎng)絡(luò)分組(例如網(wǎng)絡(luò)分組的整個(gè)流、隨機(jī)網(wǎng)絡(luò)分組等)和/或任何其他組件配置或網(wǎng)絡(luò)分組相關(guān)數(shù)據(jù)。在一些實(shí)施例中,nfv安全服務(wù)代理可經(jīng)由配置成在受保護(hù)本地存儲(chǔ)裝置收集遙測(cè)數(shù)據(jù)的安全監(jiān)測(cè)收集代理(例如圖4的安全監(jiān)測(cè)收集代理486)來收集遙測(cè)數(shù)據(jù)。在框1020,nfv安全服務(wù)代理封裝所收集遙測(cè)數(shù)據(jù)、安全輸送密鑰和nfv安全服務(wù)代理的唯一標(biāo)識(shí)符以供受保護(hù)傳輸。在框1022,nfv安全服務(wù)代理經(jīng)由安全通信信道(例如圖4的安全通信信道490)向配置成為了威脅和/或異常而分析遙測(cè)數(shù)據(jù)的nfv安全監(jiān)測(cè)分析系統(tǒng)(例如圖4的nfv安全監(jiān)測(cè)分析系統(tǒng)438)安全地傳送所封裝遙測(cè)數(shù)據(jù)、安全輸送密鑰和唯一標(biāo)識(shí)符。
現(xiàn)在參照?qǐng)D11,用于監(jiān)測(cè)nfv安全架構(gòu)116的服務(wù)功能鏈(sfc)(例如在圖4的說明性服務(wù)功能鏈vnf452)的安全的通信流程1100的實(shí)施例。如先前所述,多個(gè)安全監(jiān)測(cè)組件可專門被配置,或者包含附加和/或備選安全監(jiān)測(cè)組件,以監(jiān)測(cè)nfv基礎(chǔ)設(shè)施(例如nfv基礎(chǔ)設(shè)施108)內(nèi)所運(yùn)行的服務(wù)功能鏈的安全。例如,圖4的說明性nfv安全架構(gòu)116的具體sfc安全監(jiān)測(cè)組件包含nfv安全服務(wù)控制器102的sfc安全控制器408、vim106的nfv安全服務(wù)提供器420的sfc安全提供器422以及在nfv基礎(chǔ)設(shè)施108的各種網(wǎng)絡(luò)監(jiān)測(cè)和/或處理組件(虛擬和物理)中的整個(gè)nfv基礎(chǔ)設(shè)施108所分布的多個(gè)sfc代理。又如先前所述,雖然sfc代理470在nfv安全服務(wù)代理468中被示出,但是應(yīng)當(dāng)理解,整個(gè)nfv基礎(chǔ)設(shè)施108所分布的nfv安全服務(wù)代理的每個(gè)可包含sfc代理。相應(yīng)地,在一些實(shí)施例中,sfc代理可駐留在sfc的vnf(例如服務(wù)功能鏈450的服務(wù)功能鏈vnf452之一)中。
說明性通信流程1100包含sfc代理470、安全監(jiān)測(cè)收集代理472、nfv安全監(jiān)測(cè)分析系統(tǒng)438、sfc安全控制器408和sfc安全提供器422。說明性通信流程1100還包含多個(gè)數(shù)據(jù)流程,其中的一些可根據(jù)實(shí)施例單獨(dú)或共同來運(yùn)行。在數(shù)據(jù)流程1102,sfc代理470向安全監(jiān)測(cè)收集代理472安全地傳送安裝、激活和過濾策略以及sfc代理470的唯一標(biāo)識(shí)符。安裝、激活和過濾策略包含與sfc代理470的安裝、激活和保護(hù)有關(guān)的各種指令和信息以及安全監(jiān)測(cè)收集代理472從其能夠用來過濾有關(guān)網(wǎng)絡(luò)業(yè)務(wù)的各種指令和信息。例如,安全監(jiān)測(cè)收集代理472可過濾網(wǎng)絡(luò)業(yè)務(wù),以便僅監(jiān)測(cè)安裝、激活和過濾策略所指示的網(wǎng)絡(luò)業(yè)務(wù)。相應(yīng)地,在數(shù)據(jù)流程1104、安全監(jiān)測(cè)收集代理472基于安裝、激活和過濾策略來監(jiān)測(cè)和收集遙測(cè)數(shù)據(jù)。
在數(shù)據(jù)流程1106,安全監(jiān)測(cè)收集代理472封裝所收集遙測(cè)數(shù)據(jù)以供至nfv安全監(jiān)測(cè)分析系統(tǒng)438的安全傳輸。在數(shù)據(jù)流程1108,安全監(jiān)測(cè)收集代理472經(jīng)由安全通信信道向nfv安全監(jiān)測(cè)分析系統(tǒng)438安全地傳送所封裝遙測(cè)數(shù)據(jù)。另外,所封裝遙測(cè)數(shù)據(jù)還可包含sfc代理470的唯一標(biāo)識(shí)符。在數(shù)據(jù)流程1110,nfv安全監(jiān)測(cè)分析系統(tǒng)438接收所封裝遙測(cè)數(shù)據(jù),并且對(duì)所接收遙測(cè)數(shù)據(jù)執(zhí)行安全威脅分析。在數(shù)據(jù)流程1112,nfv安全監(jiān)測(cè)分析系統(tǒng)438在檢測(cè)到安全威脅、例如攻擊或異常時(shí)經(jīng)由安全通信信道安全地傳送矯正策略和nfv安全監(jiān)測(cè)分析系統(tǒng)438的唯一標(biāo)識(shí)符。矯正策略可包含一個(gè)或多個(gè)矯正動(dòng)作,其可響應(yīng)檢測(cè)到安全威脅而采取,例如以應(yīng)對(duì)威脅或檢驗(yàn)異常。例如,(一個(gè)或多個(gè))矯正動(dòng)作可包含阻止某些網(wǎng)絡(luò)業(yè)務(wù)、向深層分組檢查(dpi)vnf實(shí)例流播某些網(wǎng)絡(luò)業(yè)務(wù)、速率限制或抑制網(wǎng)絡(luò)業(yè)務(wù)等。
在數(shù)據(jù)流程1114,sfc安全控制器408基于矯正策略以及其中所包含的一個(gè)或多個(gè)矯正動(dòng)作來更新當(dāng)前安全策略。在數(shù)據(jù)流程1116,sfc安全控制器408經(jīng)由安全通信信道向sfc安全提供器422安全地傳送所更新安全策略以及具有對(duì)sfc安全控制器408的實(shí)例唯一的標(biāo)識(shí)符。應(yīng)當(dāng)理解,在一些實(shí)施例中,sfc安全控制器408可根據(jù)vim106的拓?fù)浜头植寂c一個(gè)以上sfc安全提供器422進(jìn)行安全通信。相應(yīng)地,sfc安全控制器408與sfc安全提供器422的哪個(gè)進(jìn)行通信(例如提供安全監(jiān)測(cè)策略)可取決于安全監(jiān)測(cè)策略。例如,如果服務(wù)功能鏈跨越多個(gè)存在點(diǎn)(pop)(例如接入點(diǎn)),則可傳遞單個(gè)sfc策略(即,具體于sfc的安全監(jiān)測(cè)策略)給在不同pop的多個(gè)sfc安全提供器422。換言之,每個(gè)pop可運(yùn)行單獨(dú)vim106并且因此運(yùn)行單獨(dú)sfc安全提供器422。
在數(shù)據(jù)流程1118,sfc安全提供器422跨vim106(例如vim控制器424、其他vim組件428等)傳遞所更新安全策略。在數(shù)據(jù)流程1120,sfc安全提供器422向sfc代理470安全地傳送所更新安全策略以及對(duì)sfc安全提供器422的實(shí)例唯一的標(biāo)識(shí)符。
示例
下面提供本文所公開技術(shù)的說明性示例。技術(shù)的實(shí)施例可包含以下所述示例的任一個(gè)或多個(gè)或者它們的任何組合。
示例1包含用于管理nfv安全架構(gòu)的安全監(jiān)測(cè)服務(wù)的nfv安全架構(gòu)的網(wǎng)絡(luò)功能虛擬化(nfv)安全服務(wù)控制器,nfv安全控制器包括:安全監(jiān)測(cè)策略分發(fā)模塊,經(jīng)由nfv安全架構(gòu)的虛擬基礎(chǔ)設(shè)施管理器(vim)的nfv安全服務(wù)提供器向在nfv安全架構(gòu)的虛擬網(wǎng)絡(luò)功能(vnf)基礎(chǔ)設(shè)施中所分布的一個(gè)或多個(gè)nfv安全服務(wù)代理傳送安全監(jiān)測(cè)策略,其中安全監(jiān)測(cè)策略包括nfv安全服務(wù)代理可用來監(jiān)測(cè)nfv安全架構(gòu)的遙測(cè)數(shù)據(jù)并且調(diào)整nfv安全服務(wù)代理的配置設(shè)定的監(jiān)測(cè)規(guī)則的集合;以及安全監(jiān)測(cè)策略實(shí)施模塊,實(shí)施被傳送給nfv安全架構(gòu)的一個(gè)或多個(gè)安全監(jiān)測(cè)組件的安全監(jiān)測(cè)策略。
示例2包含示例1的主題,并且其中傳送安全監(jiān)測(cè)策略還包括傳送標(biāo)識(shí)符,其中標(biāo)識(shí)符是對(duì)nfv安全服務(wù)控制器唯一的。
示例3包含示例1和2中的任一個(gè)的主題,并且其中傳送安全監(jiān)測(cè)策略包括經(jīng)由安全通信信道傳送安全監(jiān)測(cè)策略。
示例4包含示例1-3中的任一個(gè)的主題,并且其中經(jīng)由安全通信信道傳送安全監(jiān)測(cè)策略包括經(jīng)由專用于nfv安全服務(wù)控制器與nfv安全服務(wù)提供器之間的通信的安全通信信道向nvf安全服務(wù)提供器傳送安全監(jiān)測(cè)策略。
示例5包含示例1-4中的任一個(gè)的主題,并且其中經(jīng)由安全通信信道傳送安全監(jiān)測(cè)策略包括建立可信根(rot),以便使用一個(gè)或多個(gè)安全密鑰來保障通信信道。
示例6包含示例1-5中的任一個(gè)的主題,并且其中安全監(jiān)測(cè)策略包含安全監(jiān)測(cè)組件配置信息和遙測(cè)數(shù)據(jù)監(jiān)測(cè)指令,并且其中實(shí)施安全監(jiān)測(cè)策略包括(i)檢驗(yàn)一個(gè)或多個(gè)nfv安全服務(wù)代理被配置作為安全監(jiān)測(cè)組件配置信息的函數(shù),以及(ii)監(jiān)測(cè)作為遙測(cè)數(shù)據(jù)監(jiān)測(cè)指令的函數(shù)的遙測(cè)數(shù)據(jù)。
示例7包含示例1-6中的任一個(gè)的主題,并且還包含:安全通信模塊,基于安全監(jiān)測(cè)策略從與服務(wù)功能鏈的多個(gè)vnf關(guān)聯(lián)的多個(gè)服務(wù)代理來接收配置數(shù)據(jù);受保護(hù)傳輸控制模塊,保障服務(wù)功能鏈的多個(gè)虛擬網(wǎng)絡(luò)功能的每個(gè)之間的通信路徑;以及nfv安全服務(wù)代理控制模塊,基于所接收的配置數(shù)據(jù)和安全監(jiān)測(cè)策略來檢驗(yàn)服務(wù)功能鏈的多個(gè)虛擬網(wǎng)絡(luò)功能的拓?fù)洹?/p>
示例8包含示例1-7中的任一個(gè)的主題,并且其中nfv安全服務(wù)代理控制模塊還(i)激活服務(wù)功能鏈的多個(gè)虛擬網(wǎng)絡(luò)功能,(ii)例示虛擬網(wǎng)絡(luò)功能的至少一個(gè)上的一個(gè)或多個(gè)nfv安全服務(wù)代理的nfv安全代理,以及(iii)激活虛擬網(wǎng)絡(luò)功能的至少一個(gè)上的所例示nfv安全服務(wù)代理。
示例9包含示例1-8中的任一個(gè)的主題,并且其中安全通信模塊還配置成從nfv安全服務(wù)代理來接收引導(dǎo)程序信息,其中引導(dǎo)程序信息限定nfv安全服務(wù)代理的初始化的特性,以及其中例示nfv安全服務(wù)代理包括運(yùn)行nfv安全服務(wù)代理的引導(dǎo)程序,以便在與nfv安全服務(wù)控制器進(jìn)行網(wǎng)絡(luò)通信的計(jì)算節(jié)點(diǎn)上加載nfv安全服務(wù)代理。
示例10包含示例1-9中的任一個(gè)的主題,并且其中接收引導(dǎo)程序信息包括接收引導(dǎo)程序可用來例示nfv安全服務(wù)代理的引導(dǎo)程序配置參數(shù)的至少一個(gè)、nfv安全服務(wù)代理實(shí)例的個(gè)性化信息或者nfv安全服務(wù)代理實(shí)例的許可證信息。
示例11包含示例1-10中的任一個(gè)的主題,并且其中實(shí)施安全監(jiān)測(cè)策略包括實(shí)施在所激活nfv安全服務(wù)代理的安全監(jiān)測(cè)策略。
示例12包含示例1-11中的任一個(gè)的主題,并且其中實(shí)施在所激活nfv安全服務(wù)代理的安全監(jiān)測(cè)策略包括檢驗(yàn)在所激活nfv安全服務(wù)所監(jiān)測(cè)的遙測(cè)數(shù)據(jù)是按照安全監(jiān)測(cè)策略的監(jiān)測(cè)規(guī)則的。
示例13包含示例1-12中的任一個(gè)的主題,并且其中檢驗(yàn)遙測(cè)數(shù)據(jù)包括檢驗(yàn)安全統(tǒng)計(jì)、硬件配置數(shù)據(jù)、軟件配置數(shù)據(jù)、虛擬化軟件數(shù)據(jù)、虛擬組件配置數(shù)據(jù)、虛擬資源數(shù)據(jù)、硬件健康數(shù)據(jù)、硬件資源數(shù)據(jù)的至少一個(gè)或者在所激活nfv安全服務(wù)代理所監(jiān)測(cè)的網(wǎng)絡(luò)分組的至少一部分按照安全監(jiān)測(cè)策略的監(jiān)測(cè)規(guī)則來監(jiān)測(cè)。
示例14包含示例1-13中的任一個(gè)的主題,并且其中安全通信模塊還配置成響應(yīng)由nfv安全監(jiān)測(cè)分析系統(tǒng)進(jìn)行的將一個(gè)或多個(gè)nfv安全服務(wù)代理之一所傳送的遙測(cè)數(shù)據(jù)的至少一部分識(shí)別為安全威脅的確定,而從通信上被耦合到nfv安全服務(wù)控制器的nfv安全監(jiān)測(cè)分析系統(tǒng)來接收矯正策略。
示例15包含示例1-14中的任一個(gè)的主題,并且還包括安全監(jiān)測(cè)策略管理模塊,以便基于矯正策略來更新安全監(jiān)測(cè)策略,其中安全監(jiān)測(cè)策略分發(fā)模塊還向nfv安全架構(gòu)的一個(gè)或多個(gè)安全監(jiān)測(cè)組件傳送所更新安全監(jiān)測(cè)策略,以及其中安全監(jiān)測(cè)策略實(shí)施模塊還實(shí)施被傳送給nfv安全架構(gòu)的一個(gè)或多個(gè)安全監(jiān)測(cè)組件的所更新安全監(jiān)測(cè)策略。
示例16包含示例1-15中的任一個(gè)的主題,并且還包含遙測(cè)數(shù)據(jù)審計(jì)模塊,以便審計(jì)被存儲(chǔ)在與nfv安全服務(wù)控制器進(jìn)行網(wǎng)絡(luò)通信的審計(jì)數(shù)據(jù)庫的遙測(cè)數(shù)據(jù),其中遙測(cè)數(shù)據(jù)由與nfv安全服務(wù)代理(其向?qū)徲?jì)數(shù)據(jù)庫傳送遙測(cè)數(shù)據(jù))對(duì)應(yīng)的安全時(shí)鐘來加時(shí)間戳,并且其中審計(jì)遙測(cè)數(shù)據(jù)包括(i)檢驗(yàn)遙測(cè)數(shù)據(jù)以及(ii)定序遙測(cè)數(shù)據(jù)。
示例17包含用于管理網(wǎng)絡(luò)功能虛擬化(nfv)安全架構(gòu)的安全監(jiān)測(cè)服務(wù)的方法,該方法包括:由nfv安全架構(gòu)的nfv安全服務(wù)控制器經(jīng)由nfv安全架構(gòu)的虛擬基礎(chǔ)設(shè)施管理器(vim)的nfv安全服務(wù)提供器向在nfv安全架構(gòu)的虛擬網(wǎng)絡(luò)功能(vnf)基礎(chǔ)設(shè)施中所分布的一個(gè)或多個(gè)nfv安全服務(wù)代理傳送安全監(jiān)測(cè)策略,其中安全監(jiān)測(cè)策略包括nfv安全服務(wù)代理可用來監(jiān)測(cè)nfv安全架構(gòu)的遙測(cè)數(shù)據(jù)并且調(diào)整nfv安全服務(wù)代理的配置設(shè)定的監(jiān)測(cè)規(guī)則的集合;以及由nfv安全服務(wù)控制器實(shí)施被傳送給nfv安全架構(gòu)的一個(gè)或多個(gè)安全監(jiān)測(cè)組件的安全監(jiān)測(cè)策略。
示例18包含示例17的主題,并且其中傳送安全監(jiān)測(cè)策略還包含傳送標(biāo)識(shí)符,其中標(biāo)識(shí)符是對(duì)nfv安全服務(wù)控制器唯一的。
示例19包含示例17和18中的任一個(gè)的主題,并且其中傳送安全監(jiān)測(cè)策略包括經(jīng)由安全通信信道傳送安全監(jiān)測(cè)策略。
示例20包含示例17-19中的任一個(gè)的主題,并且其中經(jīng)由安全通信信道傳送安全監(jiān)測(cè)策略包括經(jīng)由專用于nfv安全服務(wù)控制器與nvf安全服務(wù)提供器之間的通信的安全通信信道向nvf安全服務(wù)提供器傳送安全監(jiān)測(cè)策略。
示例21包含示例17-20中的任一個(gè)的主題,并且其中經(jīng)由安全通信信道傳送安全監(jiān)測(cè)策略包括建立可信根(rot),以便使用一個(gè)或多個(gè)安全密鑰來保障通信信道。
示例22包含示例17-21中的任一個(gè)的主題,并且其中安全監(jiān)測(cè)策略包含安全監(jiān)測(cè)組件配置信息和遙測(cè)數(shù)據(jù)監(jiān)測(cè)指令,并且其中實(shí)施安全監(jiān)測(cè)策略包括(i)檢驗(yàn)一個(gè)或多個(gè)nfv安全服務(wù)代理被配置作為安全監(jiān)測(cè)組件配置信息的函數(shù),以及(ii)監(jiān)測(cè)作為遙測(cè)數(shù)據(jù)監(jiān)測(cè)指令的函數(shù)的遙測(cè)數(shù)據(jù)。
示例23包含示例17-22中的任一個(gè)的主題,并且還包含:由nfv安全服務(wù)控制器基于安全監(jiān)測(cè)策略從與服務(wù)功能鏈的多個(gè)vnf關(guān)聯(lián)的多個(gè)服務(wù)代理來接收配置數(shù)據(jù);由nfv安全服務(wù)控制器保障服務(wù)功能鏈的多個(gè)虛擬網(wǎng)絡(luò)功能的每個(gè)之間的通信路徑;以及由nfv安全服務(wù)控制器基于所接收的配置數(shù)據(jù)和安全監(jiān)測(cè)策略來檢驗(yàn)服務(wù)功能鏈的多個(gè)虛擬網(wǎng)絡(luò)功能的拓?fù)洹?/p>
示例24包含示例17-23中的任一個(gè)的主題,并且還包含由nfv安全服務(wù)控制器激活服務(wù)功能鏈的多個(gè)虛擬網(wǎng)絡(luò)功能;由nfv安全服務(wù)控制器例示虛擬網(wǎng)絡(luò)功能的至少一個(gè)上的一個(gè)或多個(gè)nfv安全服務(wù)代理的nfv安全代理;以及由nfv安全服務(wù)控制器激活虛擬網(wǎng)絡(luò)功能的至少一個(gè)上的所例示nfv安全服務(wù)代理。
示例25包含示例17-24中的任一個(gè)的主題,并且還包含由nfv安全服務(wù)控制器從nfv安全服務(wù)代理來接收引導(dǎo)程序信息,其中引導(dǎo)程序信息限定nfv安全服務(wù)代理的初始化的特性,其中例示nfv安全服務(wù)代理包括運(yùn)行nfv安全服務(wù)代理的引導(dǎo)程序以便在與nfv安全服務(wù)控制器進(jìn)行網(wǎng)絡(luò)通信的計(jì)算節(jié)點(diǎn)上加載nfv安全服務(wù)代理。
示例26包含示例17-25中的任一個(gè)的主題,并且其中接收引導(dǎo)程序信息包括接收引導(dǎo)程序可用來例示nfv安全服務(wù)代理的引導(dǎo)程序配置參數(shù)的至少一個(gè)、nfv安全服務(wù)代理實(shí)例的個(gè)性化信息或者nfv安全服務(wù)代理實(shí)例的許可證信息。
示例27包含示例17-26中的任一個(gè)的主題,并且其中實(shí)施安全監(jiān)測(cè)策略包括實(shí)施在所激活nfv安全服務(wù)代理的安全監(jiān)測(cè)策略。
示例28包含示例17-27中的任一個(gè)的主題,并且其中實(shí)施在所激活nfv安全服務(wù)代理的安全監(jiān)測(cè)策略包括檢驗(yàn)在所激活nfv安全服務(wù)所監(jiān)測(cè)的遙測(cè)數(shù)據(jù)是按照安全監(jiān)測(cè)策略的監(jiān)測(cè)規(guī)則的。
示例29包含示例17-28中的任一個(gè)的主題,并且其中檢驗(yàn)遙測(cè)數(shù)據(jù)包括檢驗(yàn)安全統(tǒng)計(jì)、硬件配置數(shù)據(jù)、軟件配置數(shù)據(jù)、虛擬化軟件數(shù)據(jù)、虛擬組件配置數(shù)據(jù)、虛擬資源數(shù)據(jù)、硬件健康數(shù)據(jù)、硬件資源數(shù)據(jù)的至少一個(gè)或者在所激活nfv安全服務(wù)代理所監(jiān)測(cè)的網(wǎng)絡(luò)分組的至少一部分按照安全監(jiān)測(cè)策略的監(jiān)測(cè)規(guī)則來監(jiān)測(cè)。
示例30包含示例17-29中的任一個(gè)的主題,并且還包含由nfv安全服務(wù)控制器響應(yīng)由nfv安全監(jiān)測(cè)分析系統(tǒng)進(jìn)行的將一個(gè)或多個(gè)nfv安全服務(wù)代理之一所傳送的遙測(cè)數(shù)據(jù)的至少一部分識(shí)別為安全威脅的確定,而從通信上被耦合到nfv安全服務(wù)控制器的nfv安全監(jiān)測(cè)分析系統(tǒng)來接收矯正策略。
示例31包含示例17-30中的任一個(gè)的主題,并且還包含:由nfv安全服務(wù)控制器基于矯正策略來更新安全監(jiān)測(cè)策略;由nfv安全服務(wù)控制器向nfv安全架構(gòu)的一個(gè)或多個(gè)安全監(jiān)測(cè)組件傳送所更新安全監(jiān)測(cè)策略;以及由nfv安全服務(wù)控制器實(shí)施被傳送給nfv安全架構(gòu)的一個(gè)或多個(gè)安全監(jiān)測(cè)組件的所更新安全監(jiān)測(cè)策略。
示例32包含示例17-31中的任一個(gè)的主題,并且還包含由nfv安全服務(wù)控制器審計(jì)被存儲(chǔ)在與nfv安全服務(wù)控制器進(jìn)行網(wǎng)絡(luò)通信的審計(jì)數(shù)據(jù)庫的遙測(cè)數(shù)據(jù),其中遙測(cè)數(shù)據(jù)由與nfv安全服務(wù)代理(其向?qū)徲?jì)數(shù)據(jù)庫傳送遙測(cè)數(shù)據(jù))對(duì)應(yīng)的安全時(shí)鐘來加時(shí)間戳,并且其中審計(jì)遙測(cè)數(shù)據(jù)包括(i)檢驗(yàn)遙測(cè)數(shù)據(jù)以及(ii)定序遙測(cè)數(shù)據(jù)。
示例33包含計(jì)算裝置,其包括:處理器;以及存儲(chǔ)器,其中已存儲(chǔ)多個(gè)指令,其在由處理器運(yùn)行時(shí)使計(jì)算裝置執(zhí)行示例17-32中的任一個(gè)的方法。
示例34包含其上存儲(chǔ)了多個(gè)指令的一個(gè)或多個(gè)機(jī)器可讀存儲(chǔ)介質(zhì),指令響應(yīng)被運(yùn)行而使計(jì)算裝置執(zhí)行示例17-32的任一個(gè)的方法。
示例35包含計(jì)算裝置,其包括用于執(zhí)行權(quán)利要求17-32中的任一個(gè)的方法的部件。
示例36包含用于管理網(wǎng)絡(luò)功能虛擬化(nfv)安全架構(gòu)的安全監(jiān)測(cè)服務(wù)的nfv安全架構(gòu)的nfv安全服務(wù)代理,nfv安全服務(wù)代理包括:遙測(cè)監(jiān)測(cè)模塊,基于從nfv安全架構(gòu)的nfv安全服務(wù)控制器所接收的安全監(jiān)測(cè)策略來監(jiān)測(cè)網(wǎng)絡(luò)處理組件的遙測(cè)數(shù)據(jù),其中nfv安全服務(wù)控制器與nfv安全服務(wù)代理進(jìn)行網(wǎng)絡(luò)通信,其中安全監(jiān)測(cè)策略包括nfv安全服務(wù)代理可用來監(jiān)測(cè)nfv安全架構(gòu)的遙測(cè)數(shù)據(jù)和nfv安全服務(wù)代理的配置設(shè)定的監(jiān)測(cè)規(guī)則的集合;遙測(cè)數(shù)據(jù)封裝模塊,基于安全監(jiān)測(cè)策略來封裝被監(jiān)測(cè)遙測(cè)數(shù)據(jù)的至少一部分;以及安全通信模塊,經(jīng)由安全通信信道向nfv安全監(jiān)測(cè)分析系統(tǒng)傳送所封裝遙測(cè)數(shù)據(jù)供分析,其中所封裝遙測(cè)數(shù)據(jù)基于安全監(jiān)測(cè)策略來傳送。
示例37包含示例36的主題,并且其中監(jiān)測(cè)遙測(cè)數(shù)據(jù)包括監(jiān)測(cè)控制平面、管理平面或數(shù)據(jù)平面的至少一個(gè)之上的遙測(cè)數(shù)據(jù)。
示例38包含示例36和37中的任一個(gè)的主題,并且其中監(jiān)測(cè)遙測(cè)數(shù)據(jù)包括監(jiān)測(cè)安全統(tǒng)計(jì)、硬件配置數(shù)據(jù)、軟件配置數(shù)據(jù)、虛擬組件配置數(shù)據(jù)、硬件健康數(shù)據(jù)的至少一個(gè)或者在所激活nfv安全服務(wù)代理所監(jiān)測(cè)的網(wǎng)絡(luò)分組的至少一部分按照安全監(jiān)測(cè)策略的監(jiān)測(cè)規(guī)則來監(jiān)測(cè)。
示例39包含示例36-38中的任一個(gè)的主題,并且其中監(jiān)測(cè)網(wǎng)絡(luò)分組的至少一部分包括基于唯一標(biāo)識(shí)流量、裝置、節(jié)點(diǎn)、管理域或地理中的至少一個(gè)的標(biāo)識(shí)符來監(jiān)測(cè)網(wǎng)絡(luò)分組的至少一部分。
示例40包含示例36-39中的任一個(gè)的主題,并且其中封裝被監(jiān)測(cè)遙測(cè)數(shù)據(jù)包括封裝安全統(tǒng)計(jì)、硬件配置數(shù)據(jù)、軟件配置數(shù)據(jù)、虛擬組件配置數(shù)據(jù)、硬件健康數(shù)據(jù)的至少一個(gè)或者網(wǎng)絡(luò)分組的至少一部分。
示例41包含示例36-40中的任一個(gè)的主題,并且其中遙測(cè)數(shù)據(jù)封裝模塊還將唯一標(biāo)識(shí)nfv安全服務(wù)代理的標(biāo)識(shí)符與所封裝遙測(cè)數(shù)據(jù)進(jìn)一步封裝,并且遙測(cè)數(shù)據(jù)分發(fā)模塊還隨所封裝遙測(cè)數(shù)據(jù)傳送標(biāo)識(shí)符。
示例42包含示例36-41中的任一個(gè)的主題,并且還包含引導(dǎo)程序執(zhí)行模塊以運(yùn)行引導(dǎo)程序過程,以便響應(yīng)關(guān)于安全通信模塊從nfv安全服務(wù)控制器接收到例示請(qǐng)求的確定而在nfv安全架構(gòu)的網(wǎng)絡(luò)處理組件上加載nfv安全服務(wù)代理,其中安全通信模塊還向nfv安全服務(wù)控制器傳送引導(dǎo)程序信息,其中引導(dǎo)程序信息包括接收引導(dǎo)程序可用來例示nfv安全服務(wù)代理的引導(dǎo)程序配置參數(shù)的至少一個(gè)、nfv安全服務(wù)代理實(shí)例的個(gè)性化信息或者nfv安全服務(wù)代理實(shí)例的許可證信息。
示例43包含示例36-42中的任一個(gè)的主題,并且其中安全通信模塊還(i)從nfv安全服務(wù)控制器接收激活信號(hào),以及(ii)建立與nfv安全架構(gòu)的nfv管理器的管理會(huì)話,并且其中nfv管理器與nfv安全服務(wù)代理在通信上耦合。
示例44包含示例36-43中的任一個(gè)的主題,并且其中安全通信模塊還從nfv安全服務(wù)控制器接收安全監(jiān)測(cè)策略。
示例45包含示例36-44中的任一個(gè)的主題,并且其中從nfv安全服務(wù)控制器接收安全監(jiān)測(cè)策略包括從通信上被耦合到nfv安全服務(wù)代理和nfv安全服務(wù)控制器的虛擬化接口管理器的nfv安全服務(wù)提供器來接收安全監(jiān)測(cè)策略。
示例46包含示例36-45中的任一個(gè)的主題,并且其中遙測(cè)數(shù)據(jù)監(jiān)測(cè)模塊還基于安全監(jiān)測(cè)策略的監(jiān)測(cè)規(guī)則來映射網(wǎng)絡(luò)業(yè)務(wù)以用于監(jiān)測(cè)。
示例47包含示例36-46中的任一個(gè)的主題,并且其中向nfv安全服務(wù)控制器傳送引導(dǎo)程序信息包括向通信上被耦合到nfv安全服務(wù)代理和nfv安全服務(wù)控制器的虛擬化接口管理器的nfv安全服務(wù)提供器傳送引導(dǎo)程序信息。
示例48包含示例36-47中的任一個(gè)的主題,并且其中運(yùn)行引導(dǎo)程序過程包括在當(dāng)前運(yùn)行于nfv安全架構(gòu)的計(jì)算節(jié)點(diǎn)上的管理程序、計(jì)算節(jié)點(diǎn)的平臺(tái)或者當(dāng)前運(yùn)行于計(jì)算節(jié)點(diǎn)上的虛擬網(wǎng)絡(luò)功能其中之一之上運(yùn)行引導(dǎo)程序過程。
示例49包含示例36-48中的任一個(gè)的主題,并且其中檢驗(yàn)遙測(cè)數(shù)據(jù)包括檢驗(yàn)安全統(tǒng)計(jì)、硬件配置數(shù)據(jù)、軟件配置數(shù)據(jù)、虛擬組件配置數(shù)據(jù)、硬件健康數(shù)據(jù)的至少一個(gè)或者在所激活nfv安全服務(wù)代理所監(jiān)測(cè)的網(wǎng)絡(luò)分組的至少一部分按照安全監(jiān)測(cè)策略的監(jiān)測(cè)規(guī)則來監(jiān)測(cè)。
示例50包含示例36-49中的任一個(gè)的主題,并且其中安全通信模塊還從nfv安全服務(wù)控制器接收所更新安全監(jiān)測(cè)策略,其中所更新安全監(jiān)測(cè)策略包含要由nfv安全服務(wù)代理所執(zhí)行以應(yīng)對(duì)所檢測(cè)安全威脅的矯正動(dòng)作,并且其中遙測(cè)數(shù)據(jù)監(jiān)測(cè)模塊還執(zhí)行矯正動(dòng)作以應(yīng)對(duì)所檢測(cè)安全威脅。
示例51包含示例36-50中的任一個(gè)的主題,并且其中遙測(cè)數(shù)據(jù)封裝模塊還對(duì)所封裝遙測(cè)數(shù)據(jù)應(yīng)用時(shí)間戳,并且其中安全通信模塊還隨所封裝遙測(cè)數(shù)據(jù)傳送時(shí)間戳。
示例52包含用于執(zhí)行網(wǎng)絡(luò)功能虛擬化(nfv)安全架構(gòu)的安全監(jiān)測(cè)服務(wù)的方法,該方法包括:由nfv安全服務(wù)代理基于從nfv安全架構(gòu)的nfv安全服務(wù)控制器所接收的安全監(jiān)測(cè)策略來監(jiān)測(cè)網(wǎng)絡(luò)處理組件的遙測(cè)數(shù)據(jù),其中nfv安全服務(wù)控制器與nfv安全服務(wù)代理進(jìn)行網(wǎng)絡(luò)通信,其中安全監(jiān)測(cè)策略包括nfv安全服務(wù)代理可用來監(jiān)測(cè)nfv安全架構(gòu)的遙測(cè)數(shù)據(jù)和nfv安全服務(wù)代理的配置設(shè)定的監(jiān)測(cè)規(guī)則的集合;由nfv安全服務(wù)代理基于安全監(jiān)測(cè)策略來封裝被監(jiān)測(cè)遙測(cè)數(shù)據(jù)的至少一部分;以及由nfv安全服務(wù)代理經(jīng)由安全通信信道向nfv安全監(jiān)測(cè)分析系統(tǒng)傳送所封裝遙測(cè)數(shù)據(jù)供分析,其中所封裝遙測(cè)數(shù)據(jù)基于安全監(jiān)測(cè)策略來傳送。
示例53包含示例52的主題,并且其中監(jiān)測(cè)遙測(cè)數(shù)據(jù)包括監(jiān)測(cè)控制平面、管理平面或數(shù)據(jù)平面的至少一個(gè)之上的遙測(cè)數(shù)據(jù)。
示例54包含示例52和53中的任一個(gè)的主題,并且其中監(jiān)測(cè)遙測(cè)數(shù)據(jù)包括監(jiān)測(cè)安全統(tǒng)計(jì)、硬件配置數(shù)據(jù)、軟件配置數(shù)據(jù)、虛擬組件配置數(shù)據(jù)、硬件健康數(shù)據(jù)的至少一個(gè)或者在所激活nfv安全服務(wù)代理所監(jiān)測(cè)的網(wǎng)絡(luò)分組的至少一部分按照安全監(jiān)測(cè)策略的監(jiān)測(cè)規(guī)則來監(jiān)測(cè)。
示例55包含示例52-54中的任一個(gè)的主題,并且其中監(jiān)測(cè)網(wǎng)絡(luò)分組的至少一部分包括基于唯一標(biāo)識(shí)流量、裝置、節(jié)點(diǎn)、管理域或地理中的至少一個(gè)的標(biāo)識(shí)符來監(jiān)測(cè)網(wǎng)絡(luò)分組的至少一部分。
示例56包含示例52-55中的任一個(gè)的主題,并且其中封裝被監(jiān)測(cè)遙測(cè)數(shù)據(jù)包括封裝安全統(tǒng)計(jì)、硬件配置數(shù)據(jù)、軟件配置數(shù)據(jù)、虛擬組件配置數(shù)據(jù)、硬件健康數(shù)據(jù)的至少一個(gè)或者網(wǎng)絡(luò)分組的至少一部分。
示例57包含示例52-56中的任一個(gè)的主題,并且還包含將唯一標(biāo)識(shí)nfv安全服務(wù)代理的標(biāo)識(shí)符與所封裝遙測(cè)數(shù)據(jù)進(jìn)一步封裝,其中傳送所封裝遙測(cè)數(shù)據(jù)還包括傳送標(biāo)識(shí)符。
示例58包含示例52-57中的任一個(gè)的主題,并且還包含由nfv安全服務(wù)代理從nfv安全服務(wù)控制器接收例示請(qǐng)求;由nfv安全服務(wù)代理運(yùn)行引導(dǎo)程序過程,以便在nfv安全架構(gòu)的網(wǎng)絡(luò)處理組件上加載nfv安全服務(wù)代理;以及由nfv安全服務(wù)代理向nfv安全服務(wù)控制器傳送引導(dǎo)程序信息,其中引導(dǎo)程序信息包括接收引導(dǎo)程序可用來例示nfv安全服務(wù)代理的引導(dǎo)程序配置參數(shù)的至少一個(gè)、nfv安全服務(wù)代理實(shí)例的個(gè)性化信息或者nfv安全服務(wù)代理實(shí)例的許可證信息。
示例59包含示例52-58中的任一個(gè)的主題,并且還包含由nfv安全服務(wù)代理從nfv安全服務(wù)控制器接收激活信號(hào);以及由nfv安全服務(wù)代理建立與nfv安全架構(gòu)的nfv管理器的管理會(huì)話,其中nfv管理器與nfv安全服務(wù)代理在通信上耦合。
示例60包含示例52-59中的任一個(gè)的主題,并且還包含由nfv安全服務(wù)代理從nfv安全服務(wù)控制器接收安全監(jiān)測(cè)策略。
示例61包含示例52-60中的任一個(gè)的主題,并且其中從nfv安全服務(wù)控制器接收安全監(jiān)測(cè)策略包括從通信上被耦合到nfv安全服務(wù)代理和nfv安全服務(wù)控制器的虛擬化接口管理器的nfv安全服務(wù)提供器來接收安全監(jiān)測(cè)策略。
示例62包含示例52-61中的任一個(gè)的主題,并且還包含由nfv安全服務(wù)代理基于安全監(jiān)測(cè)策略的監(jiān)測(cè)規(guī)則來映射網(wǎng)絡(luò)業(yè)務(wù)以用于監(jiān)測(cè)。
示例63包含示例52-62中的任一個(gè)的主題,并且其中向nfv安全服務(wù)控制器傳送引導(dǎo)程序信息包括向通信上被耦合到nfv安全服務(wù)代理和nfv安全服務(wù)控制器的虛擬化接口管理器的nfv安全服務(wù)提供器傳送引導(dǎo)程序信息。
示例64包含示例52-63中的任一個(gè)的主題,并且其中運(yùn)行引導(dǎo)程序過程包括在當(dāng)前運(yùn)行于nfv安全架構(gòu)的計(jì)算節(jié)點(diǎn)上的管理程序、計(jì)算節(jié)點(diǎn)的平臺(tái)或者當(dāng)前運(yùn)行于計(jì)算節(jié)點(diǎn)上的虛擬網(wǎng)絡(luò)功能其中之一之上運(yùn)行引導(dǎo)程序過程。
示例65包含示例52-64中的任一個(gè)的主題,并且其中檢驗(yàn)遙測(cè)數(shù)據(jù)包括檢驗(yàn)安全統(tǒng)計(jì)、硬件配置數(shù)據(jù)、軟件配置數(shù)據(jù)、虛擬組件配置數(shù)據(jù)、硬件健康數(shù)據(jù)的至少一個(gè)或者在所激活nfv安全服務(wù)代理所監(jiān)測(cè)的網(wǎng)絡(luò)分組的至少一部分按照安全監(jiān)測(cè)策略的監(jiān)測(cè)規(guī)則來監(jiān)測(cè)。
示例66包含示例52-65中的任一個(gè)的主題,并且還包含:由nfv安全服務(wù)代理從nfv安全服務(wù)控制器接收所更新安全監(jiān)測(cè)策略,其中所更新安全監(jiān)測(cè)策略包含要由nfv安全服務(wù)代理所執(zhí)行以應(yīng)對(duì)所檢測(cè)安全威脅的矯正動(dòng)作;以及由nfv安全服務(wù)代理執(zhí)行矯正動(dòng)作以應(yīng)對(duì)所檢測(cè)安全威脅。
示例67包含示例52-66中的任一個(gè)的主題,并且還包含將時(shí)間戳應(yīng)用于所封裝遙測(cè)數(shù)據(jù),其中傳送所封裝遙測(cè)數(shù)據(jù)還包括傳送時(shí)間戳。
示例68包含計(jì)算裝置,其包括:處理器;以及存儲(chǔ)器,其中已存儲(chǔ)多個(gè)指令,其在由處理器運(yùn)行時(shí)使計(jì)算裝置執(zhí)行示例52-67中的任一個(gè)的方法。
示例69包含其上存儲(chǔ)了多個(gè)指令的一個(gè)或多個(gè)機(jī)器可讀存儲(chǔ)介質(zhì),指令響應(yīng)被運(yùn)行而使計(jì)算裝置執(zhí)行示例52-67的任一個(gè)的方法。
示例70包含計(jì)算裝置,其包括用于執(zhí)行權(quán)利要求52-67中的任一個(gè)的方法的部件。