用于为数据中心提供安全性服务的方法、装置和计算机可读介质制造方法及图纸

本公开的实施例涉及一种用于为数据中心提供安全性服务的方法、装置和计算机可读介质。根据该方法，接收终止于或源自于数据中心的分组。确定针对该分组的至少一个标签，标签指示针对该分组的安全性要求。基于至少一个标签，选择针对该分组的安全性服务链，安全性服务链包括被部署在数据中心中并且要被应用于分组的安全性功能的有序集合。将该分组与至少一个标签相关联地传输到所选择的安全性服务链，该分组由安全性服务链中的安全性功能的有序集合来处理。

【技术实现步骤摘要】
【国外来华专利技术】用于为数据中心提供安全性服务的方法、装置和计算机可读介质
本公开的实施例总体上涉及安全性服务提供领域，特别涉及用于为数据中心提供安全性服务的方法、装置和计算机可读介质。
技术介绍
随着网络功能虚拟化(NFV)、软件定义网络(SDN)和服务功能链(SFC)的新技术的发展，对于运营商而言，为了使网络可编程以及节省成本，网络转型可能是不可避免的。因此，基于这些新技术，可以迅速方便地部署越来越多的应用。SFC技术使服务提供商能够动态地递送端到端服务而不必更改基础网络拓扑。安全性是使用SFC成功部署应用的挑战之一，因为应用(尤其是用于数据中心的应用)的不同类型的数据需要不同类型的安全性。然而，针对使用SFC的应用仅有很少的安全性保护的研究。通常，为了防御快速增长和演化的攻击(诸如恶意软件、分布式拒绝服务(DDoS)和冒名顶替)，针对具有不同安全性要求的应用的静止中的数据、使用中的数据和/或运送中的数据，必须动态、灵活且自适应地提供定制化安全性服务或特征。然而，传统的安全性设施(例如防火墙、入侵检测系统(IDS)、深度分组检查(DP本文档来自技高网...

【技术保护点】
1.一种为数据中心提供安全性服务的方法，包括：/n接收终止于或源自于所述数据中心的分组；/n确定针对所述分组的至少一个标签，每个标签指示针对所述分组的安全性要求；/n基于所述至少一个标签，选择针对所述分组的安全性服务链，所述安全性服务链包括被部署在所述数据中心中并且要被应用于所述分组的安全性功能的有序集合；以及/n将所述分组与所述至少一个标签相关联地传输到所选择的所述安全性服务链，所述分组由所述安全性服务链中的所述安全性功能的有序集合处理。/n

【技术特征摘要】
【国外来华专利技术】1.一种为数据中心提供安全性服务的方法，包括：
接收终止于或源自于所述数据中心的分组；
确定针对所述分组的至少一个标签，每个标签指示针对所述分组的安全性要求；
基于所述至少一个标签，选择针对所述分组的安全性服务链，所述安全性服务链包括被部署在所述数据中心中并且要被应用于所述分组的安全性功能的有序集合；以及
将所述分组与所述至少一个标签相关联地传输到所选择的所述安全性服务链，所述分组由所述安全性服务链中的所述安全性功能的有序集合处理。


2.根据权利要求1所述的方法，其中选择所述安全性服务链包括：
选择所述安全性服务链，以使得所述有序集合中的至少一个安全性功能被应用来将所述分组处理得满足由所述至少一个标签指示的所述安全性要求。


3.根据权利要求1所述的方法，其中确定所述至少一个标签包括：
确定针对所述分组的第一标签，所述第一标签指示针对在所述安全性服务链中所述分组的传输的安全性要求。


4.根据权利要求3所述的方法，其中传输所述分组包括：
通过将所述第一标签插入所述分组的报头中，来修改所述分组；以及
将修改后的所述分组传输到所述安全性服务链。


5.根据权利要求1所述的方法，其中所述分组包括要被存储或已被存储在所述数据中心中的数据，并且其中确定所述至少一个标签包括：
针对所述分组确定以下至少一项：
第二标签，所述第二标签指示针对所述数据在所述数据中心中的存储的安全性要求，以及
第三标签，所述第三标签指示针对所述数据在所述数据中心中的访问的安全性要求。


6.根据权利要求5所述的方法，其中传输所述分组包括：
通过将所述第二标签和所述第三标签中所确定的至少一个标签插入所述分组的有效载荷部分中，来修改所述分组；以及
将修改后的所述分组传输到所述安全性服务链。


7.根据权利要求1所述的方法，其中所述分组包括要被存储或已被存储在所述数据中心中的数据，并且其中确定所述至少一个标签包括：
确定针对所述分组的第四标签，所述第四标签指示与以下至少一项相关联的安全性要求：
生成或存储所述数据的地理位置，
由所述数据中心使用的存储技术，以及
所述数据的行业类型。


8.根据权利要求7所述的方法，其中包括：
基于所述第四标签，防止包括在所述分组中的所述数据被传输通过在其中传输另一分组的网络域。


9.根据权利要求7所述的方法，还包括：
基于所述第四标签，防止包括在所述分组中的所述数据被传输到第一预定地理区域中或第二预定地理区域之外。


10.根据权利要求7所述的方法，还包括：
基于所述第四标签，防止包括在所述分组中的所述数据被存储到所述数据中心的用于存储另一分组的数据的存储区域。


11.根据权利要求10所述的方法，其中所述存储区域位于被禁止存储在所述分组中包括的所述数据的地理位置。


12.根据权利要求7所述的方法，其中传输所述分组包括：
通过将所述第四标签插入所述分组的报头和有效载荷部分中的至少一个中，来修改所述分组；以及
将修改后的另一分组传输到所述安全性服务链。


13.根据权利要求1所述的方法，还包括：
响应于从另一数据中心接收到所述分组，确定针对所述分组的另一标签，所述另一标签指示与所述另一数据中心相关联的所述分组的格式，并且
其中传输所述分组还包括将所述分组与所述另一标签相关联地传输到所述安全性服务链。


14.根据权利要求1所述的方法，其中确定所述至少一个标签包括：
确定所述分组是否包括来自一组预定义标签中的预定义标签；
响应于确定所述分组包括所述预定义标签，将所述预定义标签映射到所述至少一个标签；以及
响应于所述分组中不包括预定义标签，从所述一组预定义标签中选择所述至少一个标签。


15.根据权利要求14所述的方法，其中选择所述至少一个标签包括：
确定所述分组是否包括旧有标签，所述旧有标签未被包括在所述一组预定义标签中；以及
响应于确定所述分组包括所述旧有标签，基于所述旧有标签来选择所述至少一个标签。


16.根据权利要求1至15中任一项所述的方法，其中所述安全性服务链包括以下安全性功能中的至少一个：防火墙、访问控制、实体认证、统一威胁管理、入侵检测系统、入侵防御系统、虚拟专用网、安全网关、深度分组检查、合法拦截、业务清理、数据完整性验证、数据机密性保护、数据脱敏、数据加密和数据解密。


17.一种用于为数据中心提供安全性服务的装置，包括：
处理器；和
存储器，所述存储器耦合到所述处理器，并且所述存储器上存储有指令，所述指令在由所述处理器执行时使所述装置执行动作，...

【专利技术属性】
技术研发人员：胡志远，平静，S·玛希尤，殷月明，
申请(专利权)人：上海诺基亚贝尔股份有限公司，诺基亚通信公司，
类型：发明
国别省市：上海;31