按需安全性架构制造技术

生成第一安全性服务功能链，第一安全性服务功能链至少标识包括所识别的一组安全性服务功能的第一服务功能路径，其中，所识别的一组安全性服务功能中的至少一个安全性服务功能包括软件定义网络(SDN)网络架构中的虚拟化网络功能。利用第一安全性服务功能链以创建将给定分组类型的分组与第一安全性服务功能链相关联的分类策略，利用第一服务功能路径以创建规定由所识别的一组安全性服务功能中相应的安全性服务功能来处理给定分组类型的分组的转发策略。向包括SDN网络架构的通信网络中的一个或多个节点提供分类策略，以及向通信网络中所识别的一组安全性服务功能中的一个或多个安全性服务功能提供转发策略。

【技术实现步骤摘要】
【国外来华专利技术】按需安全性架构
本申请一般涉及通信网络，更具体但非排它地，涉及通信网络中的安全性服务。
技术介绍
本节介绍可能有助于更好地理解本专利技术的方面。因此，本节的陈述应从这个角度来阅读，并且不应被理解为对关于现有技术中已有或没有的内容的认可。在传统通信网络中，引入新的网络服务可能涉及物理地改变通信网络的拓扑。随着新型通信网络(包括但不限于云计算网络、软件定义网络(SDN)和虚拟化网络功能(VNF))的出现，更多的选项可用于引入新的网络服务。例如，SDN是一种网络架构框架，它将网络控制与底层网络交换基础架构解耦，从而使网络控制能够直接可编程。这种解耦允许针对网络上运行的应用和服务抽象底层网络基础架构。因特网工程任务组(IETF)请求注释(RFC)7665(其全部内容通过引用并入本文)定义了服务功能链(SFC)架构，用于服务功能链的创建和持续维护，使得服务提供商能够动态提供端到端服务而无需更改底层物理网络拓扑。然而，SDN和其它类型的通信网络以及SFC中存在已有安全性机制未充分解决的具有挑战性的安全性问题。
技术实现思路
说明性实施例提供了用于在通信网络中按需提供安全性服务的技术。虽然可以预计这些本文档来自技高网...

【技术保护点】
1.一种方法，包括：创建第一安全性服务功能链，所述第一安全性服务功能链至少标识包括所识别的一组安全性服务功能的第一服务功能路径，所识别的一组安全性服务功能中的至少一个安全性服务功能包括软件定义网络SDN网络架构中的虚拟化网络功能；利用所述第一安全性服务功能链以生成一个或多个分类策略，所述一个或多个分类策略将给定分组类型的分组与所述第一安全性服务功能链相关联；利用所述第一服务功能路径以生成一个或多个转发策略，所述一个或多个转发策略规定由所识别的一组安全性服务功能中相应的安全性服务功能来处理所述给定分组类型的分组；向包括所述SDN网络架构的通信网络中的一个或多个节点提供所述一个或多个分类策略；以及...

【技术特征摘要】
【国外来华专利技术】1.一种方法，包括：创建第一安全性服务功能链，所述第一安全性服务功能链至少标识包括所识别的一组安全性服务功能的第一服务功能路径，所识别的一组安全性服务功能中的至少一个安全性服务功能包括软件定义网络SDN网络架构中的虚拟化网络功能；利用所述第一安全性服务功能链以生成一个或多个分类策略，所述一个或多个分类策略将给定分组类型的分组与所述第一安全性服务功能链相关联；利用所述第一服务功能路径以生成一个或多个转发策略，所述一个或多个转发策略规定由所识别的一组安全性服务功能中相应的安全性服务功能来处理所述给定分组类型的分组；向包括所述SDN网络架构的通信网络中的一个或多个节点提供所述一个或多个分类策略；以及向所述通信网络中所识别的一组安全性服务功能中的一个或多个安全性服务功能提供所述一个或多个转发策略；其中，一个或多个所述步骤由处理设备执行。2.根据权利要求1所述的方法，还包括：接收针对所述给定分组类型的一个或多个安全性标准；以及分析所述一个或多个安全性标准以确定所识别的一组安全性服务功能。3.根据权利要求1所述的方法，其中，所识别的一组安全性服务功能中的至少一个安全性服务功能包括物理网络功能。4.根据权利要求1所述的方法，其中，所述第一安全性服务功能链与给定服务相关，并且其中，创建所述第一安全性服务功能链包括：以有序序列将所识别的一组安全性服务功能添加到所述给定服务的已有服务功能链中。5.根据权利要求1所述的方法，其中，所述第一安全性服务功能链与特定服务无关，并且，创建所述第一安全性服务功能链包括：选择所识别的一组安全性服务功能。6.根据权利要求1所述的方法，其中，创建所述第一安全性服务功能链包括：创建新安全性服务功能链。7.根据权利要求6所述的方法，其中，创建所述新安全性服务功能链是响应于在所述通信网络中的一个节点处接收没有映射到一个或多个已有分类策略的第一分组。8.根据权利要求1所述的方法，其中，创建所述第一安全性服务功能链包括：修改已有安全性服务功能链。9.根据权利要求8所述的方法，其中，修改所述已有安全性服务功能链是响应于对所述已有安全性服务功能链的分组流的安全性分析。10.根据权利要求9所述的方法，其中，所述安全性分析是基于对所述通信网络中的所述分组流的实时监控。11.根据权利要求9所述的方法，其中，所述安全性分析是基于来自所述通信网络中的至少一个安全性服务功能的报告。12.根据权利要求1所述的方法，其中，所述分类策略中的至少一个分类策略包括以下中的两个或更多个：5元组、传输端口、一组端口、分组有效载荷的一部分、用户标识符、服务标识符、服务类型、分类类型、服务流路径标识符、所识别的一组安全性功能的序列、分类策略生成器标识符、分类策略生成器的角色、下一跳定位符以及一个或多个动作。13.根据权利要求1所述的方法，其中，所述转发策略中的至少一个转发策略包括以下中的两个或更多个：5元组、传输端口、一组端口、分组有效载荷的一部分、用户标识符、服务标识符、服务类型、服务流路径标识符、转发策略生成器标识符、转发策略生成器的角色、下一跳定位符以及一个或多个动作。14.根据权利要求1所述的方法，还包括：确定所述通信网络是否包括所识别的一组安...

【专利技术属性】
技术研发人员：胡志远，严学强，骆志刚，
申请(专利权)人：上海诺基亚贝尔股份有限公司，
类型：发明
国别省市：上海,31