用于提供安全业务的方法和设备技术

本公开的实施例涉及用于提供安全业务的方法和设备。例如，一种方法包括：在第一控制器处，响应于接收到用于在网络中建立针对应用的第一业务链的第一请求，从第一请求中获取与安全业务有关的配置信息；基于配置信息，生成用于建立与第一业务链相关联的安全功能序列的第二请求；向第二控制器发送所述第二请求，以在网络中建立所述安全功能序列；以及响应于从第二控制器接收到关于安全功能序列的确认，基于安全功能序列来建立所述第一业务链。本公开的实施例还提供了能够实现上述方法的设备。

Method and device for providing secure business

Embodiments of the disclosure relate to methods and devices for providing secure services. For example, a method includes: at the first controller, obtaining configuration information related to security services from the first request in response to a first request for establishing a first service chain for an application in the network, and generating a sequence of security functions associated with the first service chain based on configuration information, in response to receiving a first request for establishing a first service chain for the application in the network The second request; sends the second request to the second controller to establish the security function sequence in the network; and establishes the first service chain based on the security function sequence in response to an acknowledgement of the security function sequence received from the second controller. The embodiment of the disclosure also provides a device capable of realizing the above method.

【技术实现步骤摘要】
用于提供安全业务的方法和设备
本公开的实施例一般涉及安全领域，并且具体地涉及用于提供安全业务的方法、装置和计算机程序产品。
技术介绍
随着网络功能虚拟化(NFV)、软件定义网络(SDN)和业务链(SFC)等技术的出现，网络运营者能够进行网络改造以使得网络可编程并且降低成本。因此，基于这些技术能快速和方便地部署各种应用。为了抵御快速增长和演进的网络攻击(例如，恶意软件、分布式拒绝服务和身份假冒等)，需要针对具有不同安全需求的应用动态地、灵活地且自适应地提供个性化的安全服务或功能。然而，传统安全设施(例如，防火墙、入侵检测系统、深度分组检测等)的实现基于硬件的中间件，并且部署在网络中的固定位置。因此，传统安全设施难以满足基于上述技术的应用的不同安全需求。
技术实现思路
下面给出了对各实施例的简要概述，以提供对各种实施例的一些方面的基本理解。注意，
技术实现思路
部分并非旨在标识关键元素的要点或描述各种实施例的范围。其唯一目的在于以简化形式呈现一些概念，作为对后述更具体描述的前序。在本公开的第一方面，提供一种用于提供安全业务的方法。该方法包括：在第一控制器处，响应于接收到用于在网络中建立针对应用的第一业务链的第一请求，从第一请求中获取与安全业务有关的配置信息；基于配置信息，生成用于建立与第一业务链相关联的安全功能序列的第二请求；向第二控制器发送第二请求，以在网络中建立安全功能序列；以及响应于从第二控制器接收到关于安全功能序列的确认，基于该安全功能序列来建立第一业务链。本公开的第二方面，提供一种用于提供安全业务的方法。该方法包括：响应于从第一控制器接收到用于在网络中建立安全功能序列的请求，在第二控制器处确定网络中是否存在该安全功能序列的第一活动实例，该安全功能序列与将由第一控制器在网络中针对应用而建立的业务链相关联；响应于确定网络中不存在第一活动实例，创建安全功能序列的第一实例；在网络中部署第一实例；以及向第一控制器发送关于安全功能序列的确认，以在网络中建立业务链。本公开的第三方面，提供一种用于提供安全业务的设备。该设备包括：处理器，以及存储器，该存储器存储有指令，该指令在被处理器执行时使该设备：响应于接收到用于在网络中建立针对应用的第一业务链的第一请求，从第一请求中获取与安全业务有关的配置信息；基于配置信息，生成用于建立与第一业务链相关联的安全功能序列的第二请求；向控制器发送第二请求，以在网络中建立安全功能序列；以及响应于从控制器接收到关于安全功能序列的确认，基于该安全功能序列来建立第一业务链。本公开的第四方面，提供一种用于提供安全业务的设备。该设备包括：处理器，以及存储器，该存储器存储有指令，该指令在被处理器执行时使该设备：响应于从控制器接收到用于在网络中建立安全功能序列的请求，确定网络中是否存在该安全功能序列的第一活动实例，该安全功能序列与将由控制器在网络中针对应用而建立的业务链相关联；响应于确定网络中不存在第一活动实例，创建安全功能序列的第一实例；在网络中部署第一实例；以及向控制器发送关于安全功能序列的确认，以在网络中建立业务链。本公开的第五方面，提供一种用于提供安全业务的系统。该系统至少包括第一控制器和第二控制器，第一控制器与第二控制器通信地耦合。第一控制器被配置为执行根据本公开的第一方面所述的方法，并且第二控制器被配置为执行根据本公开的第二方面所述的方法。通过下文描述将会理解，本公开的实施例能够在不改变底层网络拓扑结构的情况下针对使用SFC的应用动态地、灵活地且自适应地提供定制的安全服务或功能。此外，本公开的实施例能够实现具有实时分析功能的连续监测，以监测正在进行的攻击并且对其作出迅速响应。应当理解，
技术实现思路
部分中所描述的内容并非旨在限定本公开实施例的关键或重要特征，亦非用于限制本公开的范围。本公开的其它特征将通过以下的描述变得容易理解。附图说明从下文的公开内容和权利要求中，本专利技术的目的、优点和其他特征将变得更加明显。这里仅出于示例的目的，参考附图来给出优选实施例的非限制性描述，在附图中：图1示出根据本公开的实施例的用于提供安全业务的系统100的示例性架构图；图2示出利用基于移动边缘云(MEC)的智能交通系统(ITS)针对紧急车辆提速场景建立业务链的示意图；图3示出根据本公开的实施例利用系统100来建立针对紧急车辆提速场景的安全业务链的示意图；图4示出根据本公开的实施例的用于提供安全业务的方法400的流程图；图5示出根据本公开的实施例的用于确定网络中是否存在安全业务链的活动实例的方法500的流程图；图6示出根据本公开的实施例利用系统100来建立针对紧急车辆提速场景的安全业务链的示意图；图7示出了根据本公开的实施例的用于提供安全业务的装置700的框图；图8示出了根据本公开的实施例的用于提供安全业务的装置800的框图；图9示出可以用来实施本公开的实施例的示例设备900的示意性框图。在各个附图中，相同或对应的标号表示相同或对应的部分。具体实施方式在以下描述中，出于说明的目的而阐述许多细节。然而，本领域普通技术人员将认识到可以在不使用这些具体细节的情况下实现本专利技术。因此，本专利技术不旨在于受限于所示实施例、而是将被赋予与本文描述的原理和特征一致的最宽的范围。应当理解，术语“第一”、“第二”等仅被用来将一个元素与另一个元素区分开来。而实际上第一元素也能够被称为第二元素，反之亦然。另外还应当理解“包括”，“包含”仅被用来说明所陈述的特征、元素、功能或者部件的存在，然而并不排除存在一个或者多个其他的特征、元素、功能或者部件。图1示出了根据本公开的实施例的用于提供安全业务的系统100的示例性架构图。系统100可以包括一个或者多个控制器，该一个或多个控制器可以被分布在一个或者多个物理主机和/或虚拟主机上。例如，如图1所示，系统100可以包括控制器110、120和130。在以下描述中，控制器110也被称为第一控制器，并且控制器120也被称为第二控制器。应当理解，图1中所示的系统100的架构仅为示例性的，其不用于限制本公开的实施例的功能和范围。控制器110可以被称为SFC控制器，用于接收来自应用的请求。例如，该请求可以是针对应用的业务链请求。在此所述的“业务链”指代引导应用的网络分组(或数据流)按次序经由网络中的一系列节点进行转发的技术。控制器110可以响应于业务链请求来在网络中建立相应的业务链。业务链请求还可以包括与安全业务相关联的配置信息，例如安全需求和/或安全策略等。控制器110可以从业务链请求中提取与安全业务相关联的安全策略，并且基于该安全策略成安全业务链请求。在此所述的“安全链”或“安全业务链”指代安全功能的经排序的集合。安全功能可以包括但不限于认证和授权、防火墙(FW)、入侵检测、深度分组检测(DPI)以及流量清洗等。安全功能可以被实现为虚拟功能(例如，被实现在虚拟机上)或者物理功能(例如，被实现在物理主机上)。例如，安全链可以具有两种类型。一种类型为面向用户的安全链，其包括特定于用户的安全功能，例如认证和授权。面向用户的安全链需要以特定顺序被插入到针对应用的业务链中。例如，认证和授权需要在开始具体业务之前完成。另一种类型为非面向用户的安全链，其可以包括诸如防火墙、入侵检测、DPI以及流量清洗等的安全功能。这本文档来自技高网...

【技术保护点】
1.一种用于提供安全业务的方法，包括：在第一控制器处，响应于接收到用于在网络中建立针对应用的第一业务链的第一请求，从所述第一请求中获取与安全业务有关的配置信息；基于所述配置信息，生成用于建立与所述第一业务链相关联的安全功能序列的第二请求；向第二控制器发送所述第二请求，以在所述网络中建立所述安全功能序列；以及响应于从所述第二控制器接收到关于所述安全功能序列的确认，基于所述安全功能序列来建立所述第一业务链。

【技术特征摘要】
1.一种用于提供安全业务的方法，包括：在第一控制器处，响应于接收到用于在网络中建立针对应用的第一业务链的第一请求，从所述第一请求中获取与安全业务有关的配置信息；基于所述配置信息，生成用于建立与所述第一业务链相关联的安全功能序列的第二请求；向第二控制器发送所述第二请求，以在所述网络中建立所述安全功能序列；以及响应于从所述第二控制器接收到关于所述安全功能序列的确认，基于所述安全功能序列来建立所述第一业务链。2.根据权利要求1所述的方法，还包括：响应于接收到所述第一请求，在所述网络中建立第二业务链；并且其中基于所述安全功能序列来建立所述业务链包括：通过组合所述第二业务链和所述安全功能序列来建立所述第一业务链。3.根据权利要求1所述的方法，其中基于所述安全功能序列来建立所述第一业务链包括：以预定顺序将所述安全功能序列部署到所述第一业务链中，所述安全功能序列包括认证功能和授权功能中的至少一种。4.根据权利要求1所述的方法，其中基于所述安全功能序列来建立所述第一业务链包括：根据所述应用的需求将所述安全功能序列部署到所述第一业务链中，所述安全功能序列包括以下安全功能中的至少一种：防火墙、入侵检测、深度分组检测以及流量清洗。5.根据权利要求1所述的方法，其中所述安全业务为紧急车辆提速业务提供安全服务。6.一种用于提供安全业务的方法，包括：响应于从第一控制器接收到用于在网络中建立安全功能序列的请求，在第二控制器处确定所述网络中是否存在所述安全功能序列的第一活动实例，所述安全功能序列与将由所述第一控制器在所述网络中针对应用而建立的业务链相关联；响应于确定所述网络中不存在所述第一活动实例，创建所述安全功能序列的第一实例；在所述网络中部署所述第一实例；以及向所述第一控制器发送关于所述安全功能序列的确认，以在所述网络中建立所述业务链。7.根据权利要求6所述的方法，其中建立所述业务链包括：以预定顺序将所述安全功能序列部署到所述业务链中，所述安全功能序列包括认证功能和授权功能中的至少一种。8.根据权利要求6所述的方法，其中建立所述业务链包括：根据所述应用的需求将所述安全功能序列部署到所述业务链中，所述安全功能序列包括以下安全功能中的至少一种：防火墙、入侵检测、深度分组检测以及流量清洗。9.根据权利要求6所述的方法，其中确定所述网络中是否存在所述安全功能序列的第一活动实例包括：获取所述安全功能序列的第一静态信息；基于所述第一静态信息，获取所述安全功能序列的实例的第一状态信息；以及基于所述第一状态信息，确定所述网络中是否存在所述第一活动实例；并且创建所述安全功能序列的第一实例包括：更新所述第一状态信息。10.根据权利要求6所述的方法，其中创建所述安全功能序列的第一实例包括：确定所述网络中是否存在所述安全功能序列中的安全功能的第二活动实例；以及响应于确定所述网络中不存在所述第二活动实例，创建所述安全功能的第二实例。11.根据权利要求10所述的方法，其中确定所述网络中是否存在所述安全功能序列中的安全功能的第二活动实例包括：获取所述安全功能的第二静态信息；基于所述第二静态信息，获取所述安全功能的实例的第二状态信息；以及基于所述第二状态信息，确定所述网络中是否存在所述第二活动实例；并且创建所述安全功能的第二实例包括：更新所述第二状态信息。12.根据权利要求6所述的方法，其中在所述网络中部署所述第一实例包括：生成与所述第一实例相关联的配置信息；以及将所述配置信息应用到所述网络的节点。13.根据权利要求6所述的方法，其中所述安全业务为紧急车辆提速业务提供安全服务。14.一种用于提供安全业务的设备，包括：处理器；以及存储器，所述存储器存储有指令，所述指令在被所述处理器执行时使所述设备：响应于接收到用于在网络中建立针对应用的第一业务链的第一请求，从所述第一请求中获取与安全业务有关的配置信息；基于所述配置信息，生成用于建立与所述第一业务链相关联的安全功能序列的第二请求；向控制器发送所述第二请求，以在所述网络中建立所述安全功能序列；以及响应于从所述控制器接收到关于所述安全功能序列的确认，基于所述安全功能序列来建...

【专利技术属性】
技术研发人员：胡志远，王丽娜，骆志刚，
申请(专利权)人：上海诺基亚贝尔股份有限公司，
类型：发明
国别省市：上海,31