一种VNF的安全监管的方法、装置及系统制造方法及图纸

技术编号:14895504 阅读:119 留言:0更新日期:2017-03-29 10:44
本发明专利技术提供了一种VNF的安全监管的方法、装置及系统,涉及虚拟化技术领域,其中,所述方法包括:接收由交换机采集的流向虚拟化网络功能VNF或者流出VNF的流量统计信息;根据所述流量统计信息进行安全分析,得到安全分析结果;以及根据所述安全分析结果,生成安全策略,并根据所述安全策略,对VNF进行安全监管。本发明专利技术提供的VNF的安全监管的方法,不需要每个VNF都安装安全业务代理或创建安全管理者,不需要对VIM和VNFM进行改动,而是尽量利用现有网络流量信息和网络现有接口实现对VNF的安全监控和安全管理。

【技术实现步骤摘要】

本专利技术涉及虚拟化
,尤其涉及一种VNF的安全监管的方法、装置及系统
技术介绍
现有技术中NFV(NetworkFunctionVirtualization,网络功能虚拟化)安全监控系统针对VNF(VirtualizedNetworkFunction,虚拟网络功能)的监控需要每个VNF都安装一个安全业务代理,需要有单独的VNF来安装安全业务代理来监控整个VNF级的状态,同时VIM(VirtualizedInfrastructureManager,虚拟化基础设施管理器)和VNFM(VirtualizedNetworkFunctionManager,虚拟化网络功能管理器)也要有相应的改动,需要增加或扩展多个接口,而且当前的安全监控只涉及流量的监控,不涉及安全管理(如防火墙的安全策略下发等)。此外,OPNFV(OpenNFV,开放NFV)组织提出了MoonOPNFV项目,目的是构建针对OPNFV平台的安全管理系统,通过对每个VNF创建一个安全管理者来实现针对基于openstack的VNF的监控、控制和管理,但该方法只针对基于openstack平台的VNF进行安全监控和安全管理,具有一定局限性。
技术实现思路
本专利技术实施例所要解决的技术问题在于,提供一种VNF的安全监管的方法、装置及系统,能够在不需要VNF安装安全业务代理或创建安全管理者,而是尽量利用现有网络流量信息和网络现有接口的情况下实现对VNF的安全监控和安全管理,且具有一定的通用性。为了解决上述技术问题,本专利技术采用如下技术方案:依据本专利技术实施例的一个方面提供了一种VNF的安全监管的方法,所述方法包括:接收由交换机采集的流向虚拟化网络功能VNF或者流出VNF的流量统计信息;根据所述流量统计信息进行安全分析,得到安全分析结果;以及根据所述安全分析结果,生成安全策略,并根据所述安全策略,对VNF进行安全监管。进一步的,所述接收由交换机采集的流向VNF或者流出VNF的流量统计信息,具体包括:获取所述流量统计信息的收集策略;将所述收集策略发送至所述交换机;接收由所述交换机根据所述收集策略采集的流向VNF或者流出VNF的流量统计信息。进一步的,所述根据所述流量统计信息进行安全分析,得到安全分析结果,具体包括:根据预设的订购策略,获取所需的流量统计信息;根据获取的所需的流量统计信息进行安全分析,得到安全分析结果。进一步的,所述根据所述安全策略,对VNF进行安全监管,具体为:将生成的安全策略发送给安全编排器,以使所述安全编排器在收到安全策略后进行安全策略的编排和下发。进一步的,所述根据所述安全策略,对VNF进行安全监管,具体包括:对生成的所述安全策略进行分类;根据分类结果,将所述安全策略的一部分转化为一个或多个流表项,并发送至交换机,以使所述交换机根据所述流表项执行对流量的管理;根据分类结果,将所述安全策略的另一部分发送给安全编排器,以使所述安全编排器在收到所述安全策略后进行安全策略的编排和下发。进一步的,所述根据所述安全分析结果,生成安全策略,具体为:若所述安全分析结果中存在安全威胁信息,则根据所述安全分析结果,生成相应的安全策略。进一步的,所述流量统计信息至少包括:预定时间段内流向每个VNF的流量值或流出每个VNF的流量值、流量的源IP地址或流量的目的IP地址、流量的源的介质访问控制MAC地址或目的介质访问控制MAC地址、传输协议中的一种或多种信息。进一步的,所述安全策略至少包括:在安全设备或虚拟化的安全功能上新增加一条或多条过滤规则的策略、在安全设备或虚拟化的安全功能上撤销一条或多条过滤规则的策略以及启动一个或多个新的虚拟机并分别在每个新的虚拟机上实例化一个用于过滤某段流量的虚拟化的安全功能的策略中的一种或多种策略。依据本专利技术实施例的另一个方面提供了一种VNF的安全监管的装置,所述装置包括:信息收集模块,用于接收由交换机采集的流向虚拟化网络功能VNF或者流出VNF的流量统计信息;安全分析模块,用于根据所述流量统计信息进行安全分析,得到安全分析结果;以及安全策略模块,用于根据所述安全分析结果,生成安全策略,并根据所述安全策略,对VNF进行安全监管。进一步的,所述信息收集模块包括:第一获取单元,用于获取所述流量统计信息的收集策略;第一发送单元,用于将所述收集策略发送至所述交换机;接收单元,用于接收由所述交换机根据所述收集策略采集的流向VNF或者流出VNF的流量统计信息。进一步的,所述安全分析模块包括:第二获取单元,用于根据预设的订购策略,获取所需的流量统计信息;安全分析单元,用于根据获取的所需的流量统计信息进行安全分析,得到安全分析结果。进一步的,所述安全策略模块包括:第二发送单元,用于将生成的安全策略发送给安全编排器,以使所述安全编排器在收到安全策略后进行安全策略的编排和下发。进一步的,所述安全策略模块包括:分类单元,用于对生成的所述安全策略进行分类;第三发送单元,用于根据分类结果,将所述安全策略的一部分转化为一个或多个流表项,并发送至交换机,以使所述交换机根据所述流表项执行对流量的管理;第四发送单元,用于根据分类结果,将所述安全策略的另一部分发送给安全编排器,以使所述安全编排器在收到所述安全策略后进行安全策略的编排和下发。进一步的,所述安全策略模块包括:策略生成单元,用于当所述安全分析结果中存在安全威胁信息时,根据所述安全分析结果,生成相应的安全策略。进一步的,所述流量统计信息至少包括:预定时间段内流向每个VNF的流量值或流出每个VNF的流量值、流量的源IP地址或流量的目的IP地址、流量的源的介质访问控制MAC地址或目的介质访问控制MAC地址、传输协议中的一种或多种信息。进一步的,所述安全策略至少包括:在安全设备或虚拟化的安全功能上新增加一条或多条过滤规则的策略、在安全设备或虚拟化的安全功能上撤销一条或多条过滤规则的策略以及启动一个或多个新的虚拟机并分别在每个新的虚拟机上实例化一个用于过滤某段流量的虚拟化的安全功能的策略中的一种或多种策略。依据本专利技术实施例的另一个方面提供了一种VNF的安全监管的系统,所述系统包括:用于对VNF进行安全控制的安全控制中心、用于采集流量统计信息的交换机以及用于对VNF进行安全编排和安全管理的安全编排器,其中所述安全控制中心包括如上所述的VNF的安全监管的装置。本专利技术的有益效果是:通过上述方案,不需要每个VNF都安装安全业务代理或创建安全管理者,也不需要对VIM和VNFM进行改动,只需要根据从交换机收集的流向或流出VNF的流量统计信息来分析判断VNF的安全状态,并根据安全策略对VNF进行监管。上述方案最大程度的利用了现有的网络架构和流程,对现有的NFV架构影响小,易实施。此外该方案不只是针对基于openstack平台的VNF进行安全监控和安全管理,具有一定的通用性。附图说明图1表示本专利技术实施例一提供的VNF的安全监管的方法流程图;图2表示本专利技术实施例一提供的S101的具体实现方式流程图;图3表示本专利技术实施例一提供的S201的具体实现方式流程图;图4表示本专利技术实施例二提供的VNF的安全监管的装置框图;图5表示本专利技术实施例四提供的NFV安全监管系统构架图之一;图6表示本专利技术实施例四提供的NFV安全监管系本文档来自技高网...
一种VNF的安全监管的方法、装置及系统

【技术保护点】
一种VNF的安全监管的方法,其特征在于,所述方法包括:接收由交换机采集的流向虚拟化网络功能VNF或者流出VNF的流量统计信息;根据所述流量统计信息进行安全分析,得到安全分析结果;以及根据所述安全分析结果,生成安全策略,并根据所述安全策略,对VNF进行安全监管。

【技术特征摘要】
1.一种VNF的安全监管的方法,其特征在于,所述方法包括:接收由交换机采集的流向虚拟化网络功能VNF或者流出VNF的流量统计信息;根据所述流量统计信息进行安全分析,得到安全分析结果;以及根据所述安全分析结果,生成安全策略,并根据所述安全策略,对VNF进行安全监管。2.根据权利要求1所述的方法,其特征在于,所述接收由交换机采集的流向VNF或者流出VNF的流量统计信息,具体包括:获取所述流量统计信息的收集策略;将所述收集策略发送至所述交换机;接收由所述交换机根据所述收集策略采集的流向VNF或者流出VNF的流量统计信息。3.根据权利要求1所述的方法,其特征在于,所述根据所述流量统计信息进行安全分析,得到安全分析结果,具体包括:根据预设的订购策略,获取所需的流量统计信息;根据获取的所需的流量统计信息进行安全分析,得到安全分析结果。4.根据权利要求1所述的方法,其特征在于,所述根据所述安全策略,对VNF进行安全监管,具体为:将生成的安全策略发送给安全编排器,以使所述安全编排器在收到安全策略后进行安全策略的编排和下发。5.根据权利要求1所述的方法,其特征在于,所述根据所述安全策略,对VNF进行安全监管,具体包括:对生成的所述安全策略进行分类;根据分类结果,将所述安全策略的一部分转化为一个或多个流表项,并发送至交换机,以使所述交换机根据所述流表项执行对流量的管理;根据分类结果,将所述安全策略的另一部分发送给安全编排器,以使所述安全编排器在收到所述安全策略后进行安全策略的编排和下发。6.根据权利要求1所述的方法,其特征在于,所述根据所述安全分析结果,生成安全策略,具体为:若所述安全分析结果中存在安全威胁信息,则根据所述安全分析结果,生成相应的安全策略。7.根据权利要求1~6任一项所述的方法,其特征在于,所述流量统计信息至少包括:预定时间段内流向每个VNF的流量值或流出每个VNF的流量值、流量的源IP地址或流量的目的IP地址、流量的源介质访问控制MAC地址或目的介质访问控制MAC地址、传输协议中的一种或多种信息。8.根据权利要求1~6任一项所述的方法,其特征在于,所述安全策略至少包括:在安全设备或虚拟化的安全功能上新增加一条或多条过滤规则的策略、在安全设备或虚拟化的安全功能上撤销一条或多条过滤规则的策略以及启动一个或多个新的虚拟机并分别在每个新的虚拟机上实例化一个用于过滤某段流量的虚拟化的安全功能的策略中的一种或多种策略。9.一种VNF的安全监管的装置,其特征在于,所述装置包括:信息收集模块,用于接收由交换机采集的流向虚拟化网络功能VNF或者流出VNF的流量统计信息;安全分...

【专利技术属性】
技术研发人员:庄小君左敏
申请(专利权)人:中国移动通信集团公司
类型:发明
国别省市:北京;11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1