[发明专利]具有设备隔离的网络功能虚拟化架构

说明书

网络系统包括中央处理单元和与中央处理单元电通信的外围设备。外围设备具有至少一个功率输入和一个数据输入。网络系统还包括与中央处理单元电通信的、外围设备和外部管理接口的带外控制器。响应于识别的威胁，带外控制器被配置为禁用对外围设备的至少一个功率输入和数据输入，其中禁用向中央处理单元指示相对于外围设备发生了热插拔事件设备。带外控制器还被配置为启用对外围设备的辅助功率，使得带外控制器在修复所识别的威胁期间保持与外围设备的通信。

背景技术

网络功能虚拟化(NFV)是指使用信息技术虚拟化来将网络节点功能的类虚拟化为构造块的架构。构造块用于生成用于供应通信以及其他网络服务的虚拟化网络功能。在一些实现中，虚拟化网络功能由虚拟机组成，所述虚拟机运行服务器、交换机、存储设备等上方的不同类型的软件以及过程。NFV架构利用这些虚拟化网络功能来替换在传统网络系统中找到的定制硬件组件中的一些。

附图说明

本发明的说明性实施例以下将参考附图来进行描述，其中，相似的附图标记指示相似的元件。

图1是根据说明性实施例的网络系统的框图。

图2是根据说明性实施例的对图1的网络系统的攻击的响应的框图。

图3是根据说明性实施例的描绘了用于下一代端局(NGCO)的网络系统的威胁响应的框图。

图4是根据说明性实施例的描绘了响应于威胁而由网络系统执行的操作的流程图。

图5是根据说明性实施例的描绘了用于改进网络系统性能的操作的流程图。

具体实施方式

在包括网络功能虚拟化(NFV)架构的传统网络架构中，当系统被怀疑受到威胁，或者已知受到由恶意实体进行的威胁，则该系统通常被隔离以用于恢复、完全关闭、和/或重新格式化。这是困难的过程，因为所得到的网络转变的部分涉及将工作负载移动得更靠近消费者(例如，靠近端局(Central Office)(CO)或下一代端局(NGCO))。另外，具有系统组件的物理中间件通常需要服务技术人员的部署，这可能是消耗时间并且昂贵的。在网络架构中可用的硬件资源的数量通常是有限的。因此，关闭服务器(或者其他重要资源)并且从池中移除该资源导致网络性能和/或访问问题。

所描述的是利用设备隔离来改进恶意攻击事件中网络的恢复以及安全的网络架构。所提出的方法和系统允许网络系统维护针对客户的良好的性能水平，同时通过切断攻击者而积极地响应威胁。所提出的系统和方法还实现无人NFV网络部署的保护，例如，在零日以及其他漏洞事件中虚拟用户前端设备(CPE)系统。

所描述的系统和方法通过将对所有PCIe连接设备(NIC、存储装置等)以及其他连接的设备的控制给予实现SM总线(或者其他)控制器的带外设备(例如，基板)来提供强有力的威胁响应工具。如本文所描述的，带外指的是使用数据/通信信道，其独立于由系统使用的带内数据/通信信道中的主数据/通信信道。带外设备与客户代码运行于其中的标准NFV平台相比，更难以访问。所提出的系统和方法可以用于响应于多个不同类型的攻击，包括零日访问升级攻击。零日访问升级攻击允许用户逃避访客虚拟机(VM)，并且访问，其是由虚拟化服务的任何提供者(例如，通信服务提供者)所面对的最大威胁中的一个。

在一个实施例中，为了防止恶意攻击者，受怀疑的系统与互联网(或者其他通信网络)断开连接来阻止攻击者访问系统。如果系统受到威胁，则对系统上的任何数据的访问都是可能的，并且是可能导致严重后果的大威胁。在另一实施例中，网络系统的访问和存储组件是与远程位置安全隔离的，以便防止恶意实体继续其在系统上的攻击。组件隔离还减少或者消除用于终端客户的服务停止，并且防止对受威胁系统上的客户数据的访问。如下文更详细描述的，设备隔离是独立于中央处理单元(CPU)以及网络系统的任何可访问的资源执行的，因为它们不再是可信任的。