[发明专利]在网络功能虚拟化基础结构中配置安全域的方法和设备

权利要求书

1.一种用于在网络功能虚拟化基础结构NFVI中配置安全域SD的方法，所述SD由网络功能虚拟化编排器NFVO(302)以及虚拟化基础结构管理器VIM(306)来控制，其中所述NFVO和所述VIM被连接到虚拟化网络功能VNF管理器(304)，所述SD包括处置特权信息的虚拟对象，所述方法包括：

-基于来自与所述SD关联的群体的输入，从所述NFVO或所述VNF管理器获得(S310，402)虚拟对象的网络服务NS实例信息；

-在所述NS实例信息中搜索(S312，404)机密性的级别和地理位置信息；

-当已识别所述机密性的级别和所述地理位置信息时，基于所述机密性的级别和所述群体的特定角色，根据所述地理位置信息将所述虚拟对象分配(S314，406)到所述SD；

-为所述群体授权(408)对在所述虚拟对象上的一组操作的访问，其中在群体角色的分层中，所述操作基于所述群体的所述特定角色；

-从所述NFVO或所述VNF管理器接收(418)用于另外的虚拟对象的选择输入，所述选择输入包括所述另外的虚拟对象的机密性的级别以及所述另外的虚拟对象的位置属性；

-当所述另外的虚拟对象的所述位置属性指示所接收的NS实例的所述地理位置信息内的位置时，基于所述群体的所述特定角色，根据如所述选择输入中包括的所述机密性的级别，将所述另外的虚拟对象分配(422)到所述NS；以及

-当所述另外的虚拟对象的所述位置属性未指示所接收的NS实例的所述地理位置信息内的位置时，所述方法还包括：检查被分配到现有的VNF的第二虚拟对象的以及用于访问所述第二虚拟对象的第二虚拟链路的位置属性指示第二位置在所接收的NS实例的所述地理位置信息中指示的管辖区域的边界之内还是之外；以及当所述第二虚拟对象的以及用于访问所述第二虚拟对象的所述第二虚拟链路的所述位置属性指示第二位置在所述管辖区域的所述边界之内时，基于特权群体的所述角色，由所述角色中的分层中的所述特权群体将所述SD配置成允许合法拦截LI。

2.如权利要求1所述的方法，其中群体角色的所述分层包括一个或多个用户角色以及一个或多个管理员角色的分层。

3.如权利要求1或2所述的方法，其中所述一组操作包括以下中的任一项：分配虚拟网络功能VNF、执行网络或存储请求以及更新或查询分配的资源。

4.如权利要求3所述的方法，其中职务的分离被应用于群体角色的所述分层。

5.如权利要求1所述的方法，其中获得NS实例信息包括分配来自所述NFVO或来自所述VNF管理器的NS实例信息。

6.如权利要求1所述的方法，其中所述虚拟对象包括以下中的任一项：虚拟链路、VNF、VNF组件、VNF组件实例、虚拟机镜像、虚拟存储、vTap和vFEP。

7.如权利要求1所述的方法，还包括：

-从所述NFVO或所述VNF管理器接收(410)资源选择输入，所述资源选择输入包括资源的位置属性；以及

-当所述资源的所述位置属性指示所接收的NS实例的所述地理位置信息内的位置时，允许(414)所述资源被分配给所述NS的VNF。

8.如权利要求7所述的方法，其中所述资源包括存储资源或虚拟链路。

9.如权利要求1所述的方法，还包括：

-从所述NFVO或所述VNF管理器接收(418)选择输入，所述选择输入指示按比例缩小用于所述SD的资源；以及

-擦除用于所述SD的资源上存储的数据，以先于所述资源的释放而被移除。

10.一种存储指令的非暂时性存储介质，所述指令在计算机上运行时，执行前述的权利要求中的任一项所述的方法。