本公开的实施例一般涉及安全领域,并且具体地涉及用于提供安全业务的方法、装置和计算机程序产品。
背景技术:
随着网络功能虚拟化(nfv)、软件定义网络(sdn)和业务链(sfc)等技术的出现,网络运营者能够进行网络改造以使得网络可编程并且降低成本。因此,基于这些技术能快速和方便地部署各种应用。
为了抵御快速增长和演进的网络攻击(例如,恶意软件、分布式拒绝服务和身份假冒等),需要针对具有不同安全需求的应用动态地、灵活地且自适应地提供个性化的安全服务或功能。然而,传统安全设施(例如,防火墙、入侵检测系统、深度分组检测等)的实现基于硬件的中间件,并且部署在网络中的固定位置。因此,传统安全设施难以满足基于上述技术的应用的不同安全需求。
技术实现要素:
下面给出了对各实施例的简要概述,以提供对各种实施例的一些方面的基本理解。注意,发明内容部分并非旨在标识关键元素的要点或描述各种实施例的范围。其唯一目的在于以简化形式呈现一些概念,作为对后述更具体描述的前序。
在本公开的第一方面,提供一种用于提供安全业务的方法。该方法包括:在第一控制器处,响应于接收到用于在网络中建立针对应用的第一业务链的第一请求,从第一请求中获取与安全业务有关的配置信息;基于配置信息,生成用于建立与第一业务链相关联的安全功能序列的第二请求;向第二控制器发送第二请求,以在网络中建立安全功能序列;以及响应于从第二控制器接收到关于安全功能序列的确认,基于该安全功能序列来建立第一业务链。
本公开的第二方面,提供一种用于提供安全业务的方法。该方法包括:响应于从第一控制器接收到用于在网络中建立安全功能序列的请求,在第二控制器处确定网络中是否存在该安全功能序列的第一活动实例,该安全功能序列与将由第一控制器在网络中针对应用而建立的业务链相关联;响应于确定网络中不存在第一活动实例,创建安全功能序列的第一实例;在网络中部署第一实例;以及向第一控制器发送关于安全功能序列的确认,以在网络中建立业务链。
本公开的第三方面,提供一种用于提供安全业务的设备。该设备包括:处理器,以及存储器,该存储器存储有指令,该指令在被处理器执行时使该设备:响应于接收到用于在网络中建立针对应用的第一业务链的第一请求,从第一请求中获取与安全业务有关的配置信息;基于配置信息,生成用于建立与第一业务链相关联的安全功能序列的第二请求;向控制器发送第二请求,以在网络中建立安全功能序列;以及响应于从控制器接收到关于安全功能序列的确认,基于该安全功能序列来建立第一业务链。
本公开的第四方面,提供一种用于提供安全业务的设备。该设备包括:处理器,以及存储器,该存储器存储有指令,该指令在被处理器执行时使该设备:响应于从控制器接收到用于在网络中建立安全功能序列的请求,确定网络中是否存在该安全功能序列的第一活动实例,该安全功能序列与将由控制器在网络中针对应用而建立的业务链相关联;响应于确定网络中不存在第一活动实例,创建安全功能序列的第一实例;在网络中部署第一实例;以及向控制器发送关于安全功能序列的确认,以在网络中建立业务链。
本公开的第五方面,提供一种用于提供安全业务的系统。该系统至少包括第一控制器和第二控制器,第一控制器与第二控制器通信地耦合。第一控制器被配置为执行根据本公开的第一方面所述的方法,并且第二控制器被配置为执行根据本公开的第二方面所述的方法。
通过下文描述将会理解,本公开的实施例能够在不改变底层网络拓扑结构的情况下针对使用sfc的应用动态地、灵活地且自适应地提供定制的安全服务或功能。此外,本公开的实施例能够实现具有实时分析功能的连续监测,以监测正在进行的攻击并且对其作出迅速响应。
应当理解,发明内容部分中所描述的内容并非旨在限定本公开实施例的关键或重要特征,亦非用于限制本公开的范围。本公开的其它特征将通过以下的描述变得容易理解。
附图说明
从下文的公开内容和权利要求中,本发明的目的、优点和其他特征将变得更加明显。这里仅出于示例的目的,参考附图来给出优选实施例的非限制性描述,在附图中:
图1示出根据本公开的实施例的用于提供安全业务的系统100的示例性架构图;
图2示出利用基于移动边缘云(mec)的智能交通系统(its)针对紧急车辆提速场景建立业务链的示意图;
图3示出根据本公开的实施例利用系统100来建立针对紧急车辆提速场景的安全业务链的示意图;
图4示出根据本公开的实施例的用于提供安全业务的方法400的流程图;
图5示出根据本公开的实施例的用于确定网络中是否存在安全业务链的活动实例的方法500的流程图;
图6示出根据本公开的实施例利用系统100来建立针对紧急车辆提速场景的安全业务链的示意图;
图7示出了根据本公开的实施例的用于提供安全业务的装置700的框图;
图8示出了根据本公开的实施例的用于提供安全业务的装置800的框图;
图9示出可以用来实施本公开的实施例的示例设备900的示意性框图。
在各个附图中,相同或对应的标号表示相同或对应的部分。
具体实施方式
在以下描述中,出于说明的目的而阐述许多细节。然而,本领域普通技术人员将认识到可以在不使用这些具体细节的情况下实现本发明。因此,本发明不旨在于受限于所示实施例、而是将被赋予与本文描述的原理和特征一致的最宽的范围。
应当理解,术语“第一”、“第二”等仅被用来将一个元素与另一个元素区分开来。而实际上第一元素也能够被称为第二元素,反之亦然。另外还应当理解“包括”,“包含”仅被用来说明所陈述的特征、元素、功能或者部件的存在,然而并不排除存在一个或者多个其他的特征、元素、功能或者部件。
图1示出了根据本公开的实施例的用于提供安全业务的系统100的示例性架构图。系统100可以包括一个或者多个控制器,该一个或多个控制器可以被分布在一个或者多个物理主机和/或虚拟主机上。例如,如图1所示,系统100可以包括控制器110、120和130。在以下描述中,控制器110也被称为第一控制器,并且控制器120也被称为第二控制器。应当理解,图1中所示的系统100的架构仅为示例性的,其不用于限制本公开的实施例的功能和范围。
控制器110可以被称为sfc控制器,用于接收来自应用的请求。例如,该请求可以是针对应用的业务链请求。在此所述的“业务链”指代引导应用的网络分组(或数据流)按次序经由网络中的一系列节点进行转发的技术。控制器110可以响应于业务链请求来在网络中建立相应的业务链。业务链请求还可以包括与安全业务相关联的配置信息,例如安全需求和/或安全策略等。控制器110可以从业务链请求中提取与安全业务相关联的安全策略,并且基于该安全策略成安全业务链请求。
在此所述的“安全链”或“安全业务链”指代安全功能的经排序的集合。安全功能可以包括但不限于认证和授权、防火墙(fw)、入侵检测、深度分组检测(dpi)以及流量清洗等。安全功能可以被实现为虚拟功能(例如,被实现在虚拟机上)或者物理功能(例如,被实现在物理主机上)。
例如,安全链可以具有两种类型。一种类型为面向用户的安全链,其包括特定于用户的安全功能,例如认证和授权。面向用户的安全链需要以特定顺序被插入到针对应用的业务链中。例如,认证和授权需要在开始具体业务之前完成。另一种类型为非面向用户的安全链,其可以包括诸如防火墙、入侵检测、dpi以及流量清洗等的安全功能。这些安全功能不是特定于用户的,因此可以在任意时刻被部署在数据转发路径中的任意位置。在以下描述中,安全链与安全功能序列可以被互换地使用。
控制器110可以将安全链请求转发至控制器120,以在网络中建立相应的安全链。控制器120可以被称为安全链控制器,用于接收包括安全策略的安全链请求。控制器120可以基于安全链请求在网络中创建并部署安全链,以通过安全功能的实例来实施相应的安全策略从而满足应用的安全需求。如图1所示,控制器120可以包括一个或多个模块。例如,控制器120可以包括安全业务模块121、安全链目录模块122、安全链库存模块123、安全功能镜像仓库124、安全功能目录模块125、安全功能库存模块126等。
安全业务模块121可以提供用于向应用开放安全链能力的应用编程接口。在接收到安全链请求后,安全业务模块121可以查找安全链目录模块122并且选择合适的安全链。安全链目录模块122用于记录安全链的静态信息,诸如安全链的标识符、安全链的描述、所选择的安全功能的列表、这些安全功能的经排序的序列(即,业务功能路径(sfp))以及如何在安全功能目录模块125中找到每个安全功能的信息等。
安全业务模块121可以进一步通过查找安全链库存模块123来确定当前网络中是否存在该安全链的活动实例。安全链库存模块123用于记录安全链的实例的状态信息,诸如安全链的实例的标识符、安全功能实例的列表、安全链实例的sfp以及如何在安全功能库存模块126中找到每个安全功能实例的信息等。
如果当前网络中存在该安全链的活动实例,则该活动实例可以被重用。否则,安全业务模块121可以查找安全功能目录模块125并且针对安全链选择合适的安全功能。安全功能目录模块125用于记录安全功能的静态信息,诸如安全功能的标识符、功能描述、部署的需求(例如,cpu和存储器等)、安全功能库存模块126中的实例的状态以及如何在安全功能镜像仓库124中找到安全功能的镜像的信息等。
安全业务模块121可以进一步通过查找安全功能库存模块126来确定当前网络中是否存在所选择的安全功能的活动实例。安全功能库存模块126用于记录安全功能实例的状态信息,诸如安全功能实例的标识符、以及部署状态(例如,吞吐量和延迟等)等。
如果当前网络中存在所选择的安全功能的活动实例,则这些活动实例可以被重用于安全链。否则,安全业务模块121可以从安全功能镜像仓库124选择这些安全功能的镜像。安全功能镜像仓库124可以被实现为数据库以存储经虚拟化的安全功能的镜像。安全业务模块121可以利用所选择的镜像来创建安全功能的实例,并且经由控制器130将这些实例部署到网络中的合适的主机或者虚拟机上。
最终,相应的分类策略和sfp转发策略可以被生成,并且经由控制器130被应用到网络150中的节点(例如,业务分类器、交换机、路由器等)。控制器130可以被称为sdn控制器,用于基于诸如openflow等协议来配置网络150中的节点进行数据转发。控制器130可以向控制器120提供网络150中的节点的拓扑结构,以使得控制器120能够选择用于部署相应安全功能的实例的位置。控制器130还可以将生成的分类策略和sfp转发策略应用到网络150中的节点,以实现安全链的部署。
在一些实施例中,例如在控制器120从控制器110接收安全链请求并在网络中部署相应安全链的情况下,控制器120还可以向控制器110返回关于安全链的确认。例如,安全业务模块121可以向控制器110返回与安全链、安全链的实例、安全功能和/或安全功能的实例有关的信息。以此方式,控制器110可以将由控制器120建立的安全链插入到针对应用的业务链中,以建立具有安全功能的组合业务链,从而向应用提供所需要的安全服务。
在一些实施例中,控制器120也可以从另外的模块来接收安全链请求。例如,如图1所示,系统100还可以包括安全分析和自动响应模块(saar)140。saar140可以被集成在控制器120上或者其他控制器(例如,未在图1中示出的控制器)上。saar140可以周期性地从安全功能获取信息。备选地,当安全功能遭遇攻击时,其可以主动向saar140发送与攻击有关的信息。saar140可以对信息进行分析并且生成合适的对策。saar140因此可以向控制器120发送安全链请求。当控制器120接收到安全链请求并且在网络中部署相应的安全链之后,上述网络攻击能够被阻止或消除。
现在将结合紧急车辆提速这一特定场景来描述根据本公开的实施例的示例方法。然而,应当理解,这仅仅是出于便于描述的目的。本公开的实施例还可以被应用到其他物联网场景中,并且本公开的范围在此方面不受限制。
在当前社会中,公共安全和灾难救援服务(诸如,紧急医疗服务、消防和反恐等)越来越重要。然而,诸如救护车、消防车和警车这样的sv(紧急车辆,specialvehicle)可能会遭遇交通拥堵,从而导致向市民传递的救援服务或公共安全服务的延迟。因此,有必要提供sv提速服务以提高交通效率和安全性。可能的解决方案包括基于mec的its。
图2示出了利用基于mec的its针对sv提速场景建立业务链的示意图。图2中示出了基于mec的its210,其被配置为向安装有its终端的车辆提供诸如sv提速和公交车道优化(例如,当在公交车道上没有公共汽车时,私家车能够利用公交车道)的服务。its210可以包括公交车道优化服务器211、交通编排服务器212、sv提速服务器213以及动态地图服务器214等部件。its210可以被部署在网络220上。网络220可以是长期演进(lte)或系统架构演进(sae)网络,其可以包括例如无线接入的基站(enb)221、移动性管理实体(mme)222、归属用户服务器(hss)223、服务网关224和分组数据网络网关(pdngw)225等。出于简化的目的,未在图2中示出its210和/或网络220的全部部件(例如,位于网络220的入口和出口处的业务分类器等),也未在图2中示出its210和/或网络220的各个部件之间的连接关系。应当理解,图2中所示的系统和/或网络结构仅仅是出于说明的目的,并不用于限制本公开的范围。
图2中以虚线示出的业务链231(即,
如果动态地图服务器214在接收到来自sv提速服务器213的路由请求之后发现在数据库中的地图不是最新版本,其可以从另外的服务器(例如,静态地图服务器215)获取最新版本的地图。图2中以实线示出了业务链232(即,
此外,图2中还以点划线示出了业务链233(即,
本领域技术人员通过上述针对业务链231的描述能够知晓业务链232和/或233如何工作,在此不再进一步详细描述。在一些场景中,业务链231可以可选地与业务链232和/或业务链233相结合,以提供紧急车辆提速服务。
如上所述,图2描述了针对紧急车辆提速场景的、不具有安全功能的业务链的建立。为了阻止攻击者冒充合法用户访问sv提速服务,用户和设备(例如,its终端)两者需要在服务开始之前被认证,也即需要在网络中建立具有安全功能的业务链。
图3示出了根据本公开的实施例利用系统100来建立针对sv提速场景的安全业务链的示意图。具体而言,图3示出了利用如图1所示的系统100来建立面向用户的安全链(例如,包括认证服务)的示意图。
在图3中示出了如图2所示的基于mec的its210和网络220。出于简化的目的,在图3中仅示出了its210和网络220所包括的部分部件。附加地,如图3所示的its210还可以包括认证服务器301和签约用户管理服务器302,两者用于提供its210、its终端217以及访问sv提速服务的用户之间的相互认证。图4示出了根据本公开的实施例的用于提供安全业务的方法400的流程图。以下结合图3来描述方法400中所涉及的动作。为了方便讨论,在方法400的描述中涉及两个控制器,即控制器110和控制器120。在图4中,例如,左侧的各个动作由控制器110执行,而右侧的各个动作由控制器120执行。应当理解,方法400还可以包括未示出的附加动作和/或可以省略所示出的动作,本公开的范围在此方面不受限制。
在框410处,控制器110响应于接收到用于在网络中建立针对应用的第一业务链的第一请求,从第一请求中获取与安全业务有关的配置信息。在一些实施例中,该配置信息可以包括针对应用的安全需求和/或安全策略,其使得要建立的第一业务链能够满足针对该应用的安全需求。在本示例中,安全需求例如可以包括用户和设备(例如,its终端217)两者需要在服务开始之前被认证。
附加地或者备选地,在一些实施例中,当接收到第一请求时,sfc控制器110可以首先在网络中建立不具有安全功能的第二业务链(例如,业务链231),而将满足针对应用的安全需求的任务交由控制器120来完成。
在框420处,控制器110基于安全策略信息生成用于建立与第一业务链相关联的安全链的第二请求。在一些实施例中,sfc控制器110可以基于所获取的针对应用的安全需求和/或安全策略生成相应的安全链请求。
在框430处,控制器110向控制器120发送第二请求。如上所述,在一些实施例中,控制器110可以将满足针对应用的安全需求的任务交由控制器120来完成。也即,sfc控制器110可以将包括针对应用的安全需求和/或安全策略的安全链请求发送给安全链控制器120,以在网络中建立相应的安全链。
在框440处,控制器120响应于从控制器110接收到用于在网络中建立安全链的请求,确定网络中是否存在安全链的活动实例。例如,控制器110可以基于包括安全需求(例如,用户和设备两者需要在服务开始之前被认证)的安全链请求确定所要建立的安全链包括相互认证功能,例如图3所示的安全链312(
在框510处,控制器120(例如,安全业务模块121)获取安全链312的静态信息。在一些实施例中,安全业务模块121可以查找安全链目录模块122以获得安全链312的静态信息。安全链目录模块122用于记录诸如安全链的标识符、安全链的描述、所选择的安全功能的列表、这些安全功能的经排序的序列(即,业务功能路径(sfp))以及如何在安全功能目录模块125中找到每个安全功能的信息等。
在框520处,控制器120基于静态信息获取安全链312的实例的状态信息。在一些实施例中,例如,安全业务模块121可以通过查找安全链库存模块123来获得安全链312的实例的状态信息。安全链库存模块123用于记录诸如安全链的实例的标识符、安全功能实例的列表、安全链实例的sfp以及如何在安全功能库存模块126中找到每个安全功能实例的信息等。
在框530处,控制器120基于状态信息确定网络中是否存在安全链312的活动实例。如果当前网络中存在安全链312的活动实例,则该活动实例可以被重用。
返回到图4。如果控制器120确定网络中不存在安全链312的活动实例,则在框450处,创建安全链312的实例,并将其相关的状态信息更新到安全链库存模块123。在一些实施例中,控制器120可以首先确定网络中是否存在安全链312中的安全功能(即,认证服务和签约用户管理)的活动实例。例如,安全业务模块121可以查找安全功能目录模块125并且根据安全链312来选择相应的安全功能(即,认证服务和签约用户管理)。安全功能目录模块125用于记录安全功能的静态信息,诸如安全功能的标识符、功能描述、部署的需求(例如,cpu和存储器等)、安全功能库存模块126中的实例的状态以及如何在安全功能镜像仓库124中找到安全功能的镜像的信息等。安全业务模块121可以进一步通过查找安全功能库存模块126来确定当前网络中是否存在认证服务和签约用户管理的活动实例。安全功能库存模块126用于记录安全功能实例的状态信息,诸如安全功能实例的标识符、以及部署状态(例如,吞吐量和延迟等)等。如果当前网络中存在认证服务和签约用户管理的活动实例,则这些活动实例可以被重用于该安全链。否则,安全业务模块121可以从安全功能镜像仓库124选择认证服务和签约用户管理的镜像。安全功能镜像仓库124可以被实现为数据库以存储经虚拟化的安全功能的镜像。安全业务模块121可以利用所选择的镜像来创建认证服务和签约用户管理的实例,并将其相关的状态信息更新到安全功能库存模块126。
在框460处,控制器120可以在网络中部署所创建的安全链312的实例。控制器120可以生成与安全链312所包括的安全功能(即,认证服务和签约用户管理)的实例相关联的配置信息。然后控制器120可以将所生成的配置信息应用到网络中的节点,以实现安全链312的部署。
在一些实施例中,由控制器120生成的配置信息例如可以包括相应的业务分类策略和sfp转发策略。为了支持创建和部署安全链,业务分类策略可以被扩展以反映与安全有关的策略。例如,业务分类策略的属性可以包括:五元组(即,源互联网协议(ip)地址,源端口,目的ip地址,目的端口和传输层协议)、传输端口或者端口集合、分组负载的一部分、用户标识符、业务标识符、业务类型、分类类型、sfp标识符、所选择的安全功能的序列、分类策略的所有者(例如,分类策略的生成者)、分类策略生成者的角色、下一跳定位符以及一个或多个动作(例如,转发、丢弃等)。类似地,sfp转发策略也可以被扩展以支持创建安全链。例如,sfp转发策略的属性可以包括:五元组(即,源ip地址,源端口,目的ip地址,目的端口和传输层协议)、传输端口或者端口集合、分组负载的一部分、用户标识符、业务标识符、业务类型、分类类型、sfp标识符、转发策略的所有者(例如,转发策略的生成者)、转发策略生成者的角色、下一跳定位符以及一个或多个动作(例如,转发、丢弃等)。
在一些实施例中,控制器120可以利用由sdn控制器提供的网络中的节点的拓扑信息来选择用于部署相应安全功能的实例的位置。此外,控制器120可以经由sdn控制器将生成的业务分类策略和sfp转发策略应用到网络中的节点,以实现安全链的部署。控制器120可以利用任何现有或将来开发的机制以避免将业务分类策略和sfp转发策略应用到网络节点时所可能发生的冲突,现有机制的示例包括但不限于访问控制列表(acl)以及基于角色的访问控制(rbac)。
在框470处,控制器120向控制器110发送针对所创建的安全链312的确认。在一些实施例中,例如,安全业务模块121可以向控制器110返回与安全链312、安全链312的实例、安全功能(即,认证服务和签约用户管理)和/或安全功能的实例有关的信息。
在框480处,控制器110响应于从控制器120接收到关于所建立的安全链的确认,基于该安全链来建立第一业务链。在一些实施例中,控制器110可以将由控制器120建立的安全链312插入到不具有安全功能的第二业务链231中。由于安全链312是面向用户的安全链,其需要以预定顺序被插入到第一业务链中。以此方式,控制器110能够建立具有安全功能的组合业务链,例如在图3中以虚线示出的业务链331(即,
通常,its终端和用户在接入无线网络之前也需要由lte/sae网络220认证。对应的安全链可以是例如图3所示的安全链311,也即
在一些实施例中,its210和lte网络220可以由属于相同信任圈(cot)的服务供应商提供。这意味着lte网络220和its终端217以及用户之间的相互认证的结果可以被重用于its接入。也即,如图3中所示的安全链312可以被省略。更确切地,sfc控制器110和安全链控制器120可以建立更简化的业务链,例如,
在一些实施例中,its210和lte网络220可以由不属于相同cot的不同服务供应商提供。在此情况下,sfc控制器110和安全链控制器120可以建立组合业务链,例如,
应当理解,面向用户的安全链是用户可知的并且通过sfc控制器和安全链控制器之间的合作被插入到业务链中。通常,面向用户的安全链(例如,认证与授权)仅应用于初始业务请求。在成功认证和授权之后,不具有上述安全功能的其他业务链将被应用到后续的数据分组和/或数据流传输。
在一些实施例中,为了针对攻击做出自动和实时的响应,可以在网络中建立非面向用户的安全链。在此方面,图6示出了根据本公开的实施例利用系统100来建立针对sv提速场景的安全业务链的示意图。具体而言,图6示出了利用系统100来建立非面向用户的安全链(例如,包括dpi和流量清洗)的示意图。
在图6中示出了如图2所示的基于mec的its210和网络220。出于简化的目的,在图6中仅示出了its210和网络220所包括的部分部件。附加地,为了描述如何针对攻击做出自动并实时的响应,假定在城市交通管理中心216之前部署有用于攻击检测的安全功能(例如,dpi601)。dpi601可以被视为非面向用户的安全链。
dpi601可以检测并发现存在包括病毒或者拒绝服务攻击的一些数据分组或者数据流。dpi601可以向saar140报告这些攻击。经过分析,saar140可以做出要进行流量清洗的决定,并且向安全链控制器120发送包括流量清洗的安全需求的安全链请求。控制器120可以执行如图4所示的方法400中的框440-460,以在网络中创建并部署相应的安全链(例如,如图6所示的安全链611,即
类似地,例如,如图6所示的安全链612(即,
通过以上描述可以看出,本公开的实施例能够在不改变底层网络拓扑结构的情况下针对使用sfc的应用动态地、灵活地且自适应地提供定制的安全业务或功能。此外,本公开的实施例能够实现具有实时分析功能的连续监测,以监测正在进行的攻击并且对其作出迅速响应。
图7示出了根据本公开的实施例的用于提供安全业务的装置700的框图。例如,装置700可以实施在如图1和/或图3中的控制器110处。
如图7所示,装置700可以包括:信息获取单元710,被配置为响应于接收到用于在网络中建立针对应用的第一业务链的第一请求,从第一请求中获取与安全业务有关的配置信息;请求生成单元720,被配置为基于配置信息,生成用于建立与第一业务链相关联的安全功能序列的第二请求;请求发送单元730,被配置为向控制器发送第二请求,以在网络中建立安全功能序列;以及第一业务链建立单元740,被配置为响应于从控制器接收到关于安全功能序列的确认,基于该安全功能序列来建立第一业务链。
在一些实施例中,装置700还可以包括第二业务链建立单元,被配置为响应于接收到第一请求,在网络中建立第二业务链。第一业务链建立单元740还被配置为通过组合第二业务链和安全功能序列来建立第一业务链。
在一些实施例中,第一业务链建立单元740还被配置为以预定顺序将安全功能序列部署到第一业务链中,该安全功能序列包括认证功能和授权功能中的至少一种。
在一些实施例中,第一业务链建立单元740还被配置为根据应用需求以合理的顺序将安全功能序列部署到第一业务链中,该安全功能序列包括以下安全功能中的至少一种:防火墙、入侵检测、深度分组检测以及流量清洗。
在一些实施例中,由装置700提供的安全业务包括sv提速服务。
图8示出了根据本公开的实施例的用于提供安全业务的装置800的框图。例如,装置800可以实施在如图1、图3和/或图6中的控制器120处。
如图8所示,装置800可以包括:实例确定单元810,被配置为响应于从控制器接收到用于在网络中建立安全功能序列的请求,确定网络中是否存在该安全功能序列的第一活动实例,该安全功能序列与将由控制器在网络中针对应用而建立的业务链相关联;实例创建单元820,被配置为响应于确定网络中不存在第一活动实例,创建安全功能序列的第一实例;实例部署单元830,被配置为在网络中部署第一实例;以及信息发送单元840,被配置为向控制器发送关于安全功能序列的确认,以在网络中建立业务链。
在一些实施例中,建立所述业务链包括:以预定顺序将安全功能序列部署到业务链中,该安全功能序列包括认证功能和授权功能中的至少一种。
在一些实施例中,建立所述业务链包括:根据应用需求以合理的顺序将安全功能序列部署到业务链中,该安全功能序列包括以下安全功能中的至少一种:防火墙、入侵检测、深度分组检测以及流量清洗。
在一些实施例中,实例确定单元810还被配置为获取安全功能序列的第一静态信息;基于第一静态信息,获取安全功能序列的实例的第一状态信息;以及基于第一状态信息,确定网络中是否存在第一活动实例。实例创建单元820还被配置为在创建安全功能序列的第一实例时更新第一状态信息。
在一些实施例中,实例创建单元820还被配置为确定网络中是否存在安全功能序列中的安全功能的第二活动实例;以及响应于确定网络中不存在第二活动实例,创建安全功能的第二实例。
在一些实施例中,实例创建单元820还被配置为获取安全功能的第二静态信息;基于第二静态信息,获取安全功能的实例的第二状态信息;以及基于第二状态信息,确定网络中是否存在第二活动实例。实例创建单元820还被配置为在创建安全功能的第二实例时更新第二状态信息。
在一些实施例中,实例部署单元830还被配置为生成与第一实例相关联的配置信息;以及将配置信息应用到网络的节点。
在一些实施例中,由装置800提供的安全业务包括sv提速服务。
出于清楚的目的,在图7和图8中没有示出装置700和800的某些可选单元。然而,应当理解,上文参考图1和图3-4所描述的各个特征同样适用于装置700;类似地,上文参考图1和图3-6所描述的各个特征同样适用于装置800。而且,装置700和/或800的各个单元可以是硬件模块,也可以是软件模块。例如,在某些实施例中,装置700和/或800可以部分或者全部利用软件和/或固件来实现,例如被实现为包含在计算机可读介质上的计算机程序产品。备选地或附加地,装置700和/或800可以部分或者全部基于硬件来实现,例如被实现为集成电路(ic)、专用集成电路(asic)、片上系统(soc)、现场可编程门阵列(fpga)等。本公开的范围在此方面不受限制。
图9示出了可以用来实施本公开的实施例的示例设备900的示意性框图。如图所示,设备900包括中央处理单元(cpu)901,其可以根据存储在只读存储器(rom)902中的计算机程序指令或者从存储单元908加载到随机访问存储器(ram)903中的计算机程序指令,来执行各种适当的动作和处理。在ram903中,还可存储设备900操作所需的各种程序和数据。cpu901、rom902以及ram903通过总线904彼此相连。输入/输出(i/o)接口905也连接至总线904。
设备900中的多个部件连接至i/o接口905,包括:输入单元906,例如键盘、鼠标等;输出单元907,例如各种类型的显示器、扬声器等;存储单元908,例如存储盘、光盘等;以及通信单元909,例如网卡、调制解调器、无线通信收发机等。通信单元909允许设备900通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
上文所描述的各个过程和处理,例如方法400和/或500,可由处理单元901执行。例如,在一些实施例中,方法900可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元908。在一些实施例中,计算机程序的部分或者全部可以经由rom902和/或通信单元909而被载入和/或安装到设备900上。当计算机程序被加载到ram903并由cpu901执行时,可以执行上文描述的方法400和/或500的一个或多个动作。
本公开可以是方法、装置、系统和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质,其上载有用于执行本公开的各个方面的计算机可读程序指令。
计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是——但不限于——电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:便携式计算机盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、静态随机存取存储器(sram)、便携式压缩盘只读存储器(cd-rom)、数字多功能盘(dvd)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身,诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如,通过光纤电缆的光脉冲)、或者通过电线传输的电信号。
这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备,或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令,并转发该计算机可读程序指令,以供存储在各个计算/处理设备中的计算机可读存储介质中。
用于执行本公开操作的计算机程序指令可以是汇编指令、指令集架构(isa)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码,所述编程语言包括面向对象的编程语言—诸如smalltalk、c++等,以及常规的过程式编程语言—诸如“c”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络—包括局域网(lan)或广域网(wan)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中,通过利用计算机可读程序指令的状态信息来个性化定制电子电路,例如可编程逻辑电路、现场可编程门阵列(fpga)或可编程逻辑阵列(pla),该电子电路可以执行计算机可读程序指令,从而实现本公开的各个方面。
这里参照根据本公开实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本公开的各个方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机可读程序指令实现。
这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理单元,从而生产出一种机器,使得这些指令在通过计算机或其它可编程数据处理装置的处理单元执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中,这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作,从而,存储有指令的计算机可读介质则包括一个制造品,其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。
也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上,使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。
附图中的流程图和框图显示了根据本公开的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分,所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
以上已经描述了本公开的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的技术改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。