提供一种用于在基于网络功能虚拟化(NFV)的通信网络和软件定义网络(SDN)中提供安全性的系统、方法和计算机程序产品。在使用中,系统对基于NFV的通信网络或SDN实施一个或更多个网络更改或安全配置更改以更改攻击面。在一个实施例中,可以周期性地发生对基于NFV的通信网络或SDN实现一个或更多个网络更改或安全配置更改,以更改攻击面。在另一实施例中,基于对恶意事件或可疑事件的检测,可能会发生对基于NFV的通信网络或SDN实现一个或更多个网络更改或安全配置更改以更改攻击面的情况。
Systems, methods, and computer programs that provide security in nfv based communication networks and SDNS
【技术实现步骤摘要】
【国外来华专利技术】在基于网络功能虚拟化(NFV)的通信网络和软件定义的网络(SDNS)中提供安全性的系统、方法和计算机程序要求优先权和相关申请本申请要求于2017年7月31日提交的申请号为62/539,362的美国临时申请的权益,其全部内容通过引用并入此文。
本专利技术涉及电信和/或数据通信,并且更具体地涉及电信网络的网络功能虚拟化(NFV)。
技术介绍
网络功能虚拟化是欧洲电信标准协会(ETSI)在可从ETSI网站获得的一系列文件中发布的电信服务提议体系结构的术语或名称。NFV使用通用硬件平台和适用于通用硬件平台的软件。因此,NFV创建的网络比传统通信网络更加灵活和动态。在基于NFV的网络中,虚拟网络功能(VNF)使网络功能的软件实现与通过虚拟化运行的基础结构资源脱钩。网络服务基于一个或更多个VNF和/或物理网络功能(PNF)、它们的互连和链接定义。VNF几乎可以在任何通用硬件处理工具上执行。因此,VNF可以在硬件设施之间安装、拆卸和移动,更加容易、成本更低并且因此更为频繁。基于NFV的网络的灵活性增强了可用于优化网络容量和性能的手段。然而,当前用于在NFV网络中提供安全性的技术是有限的。因此,需要解决与现有技术相关的这些和/或其他问题。
技术实现思路
提供了一种用于在基于网络功能虚拟化(NFV)的通信网络和软件定义网络(SDN)中提供安全性的系统、方法和计算机程序产品。在使用中,系统对基于NFV的通信网络或SDN实现一个或更多个网络更改或安全配置更改以更改攻击面。在一个实施例中,可以周期性地发生对基于NFV的通信网络或SDN实现一个或更多个网络更改或安全配置更改以更改攻击面。在另一实施例中,基于对恶意事件或可疑事件的检测,可能发生对基于NFV的通信网络或SDN实现一个或更多个网络更改或安全配置更改以更改攻击面的情况。附图说明图1示出了根据一个实施例的用于在基于网络功能虚拟化(NFV)的通信网络和软件定义网络(SDN)中提供安全性的方法。图2示出了根据一个实施例的与基于NFV的通信网络相关联的系统的简化图。图3示出了根据一个实施例的基于NFV的网络的硬件单元的简化框图。图4示出了根据一个实施例的NFV管理系统的简化图。图5示出了根据一个实施例的已部署的基于NFV的网络的简化图。图6示出了根据一个实施例的用于在基于网络功能虚拟化的通信网络和软件定义的网络中提供安全性的系统架构图。图7A-图7D示出了根据一个实施例的用于在基于网络功能虚拟化的通信网络和软件定义的网络中提供安全性的系统流程图。图8示出了根据一种可能的实施例的网络架构。图9示出了根据一个实施例的示例性系统。具体实施方式图1示出了根据一个实施例的用于在基于网络功能虚拟化(NFV)的通信网络和软件定义的网络(SDN)中提供安全性的方法100。在操作中,系统对基于NFV的通信网络或SDN实现一个或更多个网络更改或安全配置更改以更改攻击面。参见操作102。软件环境的攻击面是指未经授权的用户可以尝试攻击环境的不同点的总和。在一个实施例中,可以周期性地发生对基于NFV的通信网络或SDN实现一个或更多个网络更改或安全配置更改以更改攻击面。参见操作104。例如,可以基于时间(例如,日、周、月等)或基于其他标准/事件等来更改攻击面。在另一实施例中,基于对恶意事件或可疑事件的检测,可能发生对基于NFV的通信网络或SDN实现一个或更多个网络更改或安全配置更改以更改攻击面。参见操作106。例如,系统(或另一个/外部系统)可以监视基于NFV的通信网络或SDN。系统(或另一个/外部系统)可以识别对基于NFV的通信网络或SDN的至少一项资产的安全攻击。这可能包括从另一个系统(例如安全信息和事件管理(SIEM)或事件响应系统)接收通知或由另一个系统调用通知,或者直接识别攻击。系统可以实现一个或更多个网络或者对基于NFV的通信网络或SDN(或云)进行安全配置更改,以更改攻击面以阻止安全攻击。资产(也被称为NFV网络资产)可以包括但不限于计算机器、硬件、软件、数据和/或内容以及连接性。术语“计算机器”涉及计算设备或与计算有关的单元的任何类型或组合,包括但不限于处理设备、内存设备、存储设备和/或通信设备。在一个实施例中,系统可以用具有与至少一项资产不同的属性的至少另一项其他等效资产替换该资产以消除安全攻击,同时保持服务的连续性。该系统可以替换软件、基础结构和拓扑以便抵消攻击。进一步地,在一个实施例中,实现一个或更多个网络更改或安全配置更改可以包括:在基于NFV的通信网络或SDN中实例化至少一个新的网络元素。在另一实施例中,实现一个或更多个网络更改或安全配置更改可以包括改变基于NFV的通信网络或SDN中的至少一个网络元素的配置。在又一个实施例中,与特定网络元素相反,系统通常可以对网络的配置进行改变。另外,在一个实施例中,对基于NFV的通信网络或SDN实现一个或更多个网络更改或安全配置更改可包括实施隧道协议。此外,在一个实施例中,系统可以验证已经应用了一个或更多个网络更改或安全配置更改。作为一种选择,系统可以修复与基于NFV的通信网络或SDN相关的一个或更多个安全问题。应当注意,基于NFV的通信网络或SDN可以与私有云或公共云相关联。在本说明书的上下文中,术语“网络”和“通信网络”是指连接包括有线网络、无线网络和/或其组合的一个或更多个通信元件的硬件和软件。在由欧洲电信标准协会(ETSI)发布并可以从ETSI网站获得的一系列文档中对术语“网络功能虚拟化”(NFV)和虚拟网络功能(VNF)进行了描述。术语“虚拟网络功能或特性”(VNF)是指通过网络在网络内部或向网络外部的客户、订户、最终用户、终端或服务器提供的功能、特征或服务的特定实现。VNF可以包括功能或特征或服务的软件程序实现。术语VNF实例(VNF-1)是指由特定虚拟机或处理器或计算设备执行VNF程序和/或由特定客户(或订户、最终用户、终端或服务器,等等)使用的特定过程或任务。术语“服务”是指基于NFV的通信网络可以供应或提供给一个或更多个通信元件的任何类型的使用(例如用例)。服务可以包括在任意数量的元件之间切换数据或内容、从服务器向通信元件或服务器之间提供内容、保护和防护通信和内容、处理由客户或第三方提供的内容、提供备份和冗余等。服务可能正在使用VNF的部分功能或者可能包含一个或更多个VNF和/或一个或更多个VNF实例,形成服务子网络(或互连模型)。在本说明书的上下文中,术语“链”可以指代这样的服务子网络,诸如与特定服务类型或服务实例相关联的特定多个VNF和/或VNF实例。当涉及包括处理元件、内存元件、存储元件、连接性(通信)元件等的硬件元件时,术语“部署”指代这些硬件元件的配置或拓扑以创建基于NFV的网络。当指代诸如VNF和VNF实例之类的软件元素时,术语“部署”是指此类软件元素与硬件元素之间的关联。术语“部署优化”是指本文档来自技高网...
【技术保护点】
1.一种方法,包括:/n由系统实现对基于网络功能虚拟化(NFV)的通信网络或软件定义网络(SDN)的一个或更多个网络更改或安全配置更改,以更改攻击面。/n
【技术特征摘要】
【国外来华专利技术】20170731 US 62/539,362;20180724 US 16/044,4421.一种方法,包括:
由系统实现对基于网络功能虚拟化(NFV)的通信网络或软件定义网络(SDN)的一个或更多个网络更改或安全配置更改,以更改攻击面。
2.根据权利要求1所述的方法,其中实现对所述基于NFV的通信网络或所述SDN的所述一个或更多个网络更改或安全配置更改周期性地发生,以更改所述攻击面。
3.根据权利要求1所述的方法,其中基于对恶意事件或可疑事件的检测,实现对所述基于NFV的通信网络或所述SDN的所述一个或更多个网络更改或所述安全配置更改,以更改所述攻击面。
4.根据权利要求1所述的方法,还包括:
由所述系统修复与所述基于NFV的通信网络或所述SDN相关联的安全问题。
5.根据权利要求1所述的方法,还包括:
由所述系统监视所述基于NFV的通信网络或所述SDN;
由所述系统识别对所述基于NFV的通信网络或所述SDN的至少一项资产的安全攻击;以及
由所述系统实现对所述基于NFV的通信网络或所述SDN的所述一个或更多个网络更改或所述安全配置更改,以更改所述攻击面,从而阻挡对所述至少一项资产的所述安全攻击。
6.根据权利要求5所述的方法,其中实现对所述基于NFV的通信网络或所述SDN的所述一个或更多个网络更改或安全配置更改包括:用具有与所述至少一项资产不同的属性的至少一项其他等效资产替换所述至少一项资产,以消除所述安全攻击。
7.根据权利要求5所述的方法,其中所述至少一项资产包括至少一台计算机器。
8.根据权利要求5所述的方法,其中所述至少一项资产包括硬件。
9.根据权利要求5所述的方法,其中所述至少一项资产包括软件。
<...
【专利技术属性】
技术研发人员:D·塞拉,O·赫蒙尼,Y·赫尔穆什,E·费尔斯坦纳,
申请(专利权)人:阿姆多克斯发展公司,
类型:发明
国别省市:塞浦路斯;CY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。