[发明专利]用于为数据中心提供安全性服务的方法、装置和计算机可读介质

说明书

本公开的实施例涉及一种用于为数据中心提供安全性服务的方法、装置和计算机可读介质。根据该方法，接收终止于或源自于数据中心的分组。确定针对该分组的至少一个标签，标签指示针对该分组的安全性要求。基于至少一个标签，选择针对该分组的安全性服务链，安全性服务链包括被部署在数据中心中并且要被应用于分组的安全性功能的有序集合。将该分组与至少一个标签相关联地传输到所选择的安全性服务链，该分组由安全性服务链中的安全性功能的有序集合来处理。

技术领域

本公开的实施例总体上涉及安全性服务提供领域，特别涉及用于为数据中心提供安全性服务的方法、装置和计算机可读介质。

背景技术

随着网络功能虚拟化(NFV)、软件定义网络(SDN)和服务功能链(SFC)的新技术的发展，对于运营商而言，为了使网络可编程以及节省成本，网络转型可能是不可避免的。因此，基于这些新技术，可以迅速方便地部署越来越多的应用。

SFC技术使服务提供商能够动态地递送端到端服务而不必更改基础网络拓扑。安全性是使用SFC成功部署应用的挑战之一，因为应用(尤其是用于数据中心的应用)的不同类型的数据需要不同类型的安全性。然而，针对使用SFC的应用仅有很少的安全性保护的研究。

通常，为了防御快速增长和演化的攻击(诸如恶意软件、分布式拒绝服务(DDoS)和冒名顶替)，针对具有不同安全性要求的应用的静止中的数据、使用中的数据和/或运送中的数据，必须动态、灵活且自适应地提供定制化安全性服务或特征。然而，传统的安全性设施(例如防火墙、入侵检测系统(IDS)、深度分组检查(DPI))被实现为基于硬件的中间盒并且被放置在网络中的固定位置上，因此很难满足针对基于上面提及的新技术的对不同数据的不同安全性要求。

发明内容

总体上，本公开的示例实施例提供了一种用于为数据中心提供安全性服务的解决方案。

在第一方面，提供了一种为数据中心提供安全性服务的方法。该方法包括接收终止于或源自于数据中心的分组。该方法包括确定针对该分组的至少一个标签，每个标签指示该分组的安全性要求，以及基于至少一个标签，选择针对该分组的安全性服务链，该安全性服务链包括被部署在该数据中心中并且要被应用于该分组的安全性功能的有序集合。该方法还包括将该分组与至少一个标签相关联地传输到所选择的安全性服务链，该分组由安全性服务链中的安全性功能的有序集合来处理。

在第二方面，提供了一种用于为数据中心提供安全性服务的装置。该装置包括：处理器；和存储器，该存储器耦合到处理器，并且存储器上存储指令，该指令在由处理器执行时使装置执行动作。这些动作包括接收终止于或源自于数据中心的分组。这些动作包括确定针对该分组的至少一个标签，每个标签指示该分组的安全性要求，以及基于至少一个标签，选择针对该分组的安全性服务链，该安全性服务链包括被部署在该数据中心中并且要被应用于该分组的安全性功能的有序集合。这些动作还包括将分组与至少一个标签相关联地传输到所选择的安全性服务链，该分组由安全性服务链中的安全性功能的有序集合来处理。

在第三方面，提供了一种其上存储有指令的计算机可读介质。所述指令在至少一个处理器上被执行时使所述至少一个处理器执行根据第一方面的方法。

在第四方面，提供了一种计算机程序产品，其被有形地存储在计算机可读存储介质上。该计算机程序产品包括指令，该指令在至少一个处理器上被执行时使至少一个处理器执行根据第一方面的方法。

通过以下描述，本公开的其他特征将变得容易理解。

附图说明

通过对附图中本公开的一些实施例的更详细描述，本公开的上述和其他目的、特征和优点将变得更加明显，其中：

图1是在其中可以实现本公开的实施例的用于提供安全性服务的示例系统的框图；

图2是根据本公开的一些实施例的图1的分类器的框图；