[发明专利]一种基于NFV的安全网络架构和网络安全管理方法

说明书

本发明实施例公开了一种基于NFV的安全网络架构和网络安全管理方法，其中，安全网络架构包括：网络功能虚拟化基础设施、虚拟化网络功能模块、网络功能虚拟化管理和编排模块、操作支持系统、业务支持系统以及安全编排器；其中，所述安全编排器通过所述网络功能虚拟化管理和编排模块与所述虚拟化网络功能模块连接，用于对所述安全网络架构的数据流过程进行实时安全评估。本发明实施例解决了在基于网络功能虚拟化的业务部署过程中未建立NFV网络安全整体框架需要加强网络安全保护的问题，可以合理配置虚拟安全设备资源，提供各种安全服务，提高足够的安全防护能力，实现智能安全服务。

技术领域

本发明实施例涉及计算机技术领域，尤其涉及一种基于NFV的安全网络架构和网络安全管理方法。

背景技术

NFV(Network Functions Virtualization，网络功能虚拟化)是一种新兴技术，将网络节点阶层的功能，分割成几个功能区块，分别以软件方式实作，不再拘限于硬件架构。NFV将网络功能与专用设备分离开来，从而为部署网络功能和服务提供了一种灵活、经济的方法。但是，NFV的成功部署必然给网络安全管理带来新的挑战。例如，由于NFV将网络功能转换为软件模块，对软件模块的攻击可能会影响位于同一虚拟机上的其他模块。此外，许多NFV系统都建立在Openstack和OSM等开源项目上。这些项目中潜在的软件缺陷可能会导致安全威胁。

目前，有技术人员提出了一个名为策略管理器的软件组件，它允许用户指定他们的安全需求，并根据策略优化技术自动选择所需的虚拟网络功能，并进一步添加了对安全策略自动执行的支持，设计了一个优化模型，该模型能够选择优化网络策略的最佳方式。还有人提出一种用于转发行为形式化验证的网络建模方法、设计了一个安全框架来保护符合安全即服务模式的最终用户。虽然所有这些研究都集中在解决NFV安全问题上，但仍然需要一个整体框架以应对网络安全问题。

发明内容

本发明实施例提供基于NFV的安全网络架构和网络安全管理方法，以合理配置虚拟安全设备资源，提供各种安全服务，提高足够的安全防护能力，实现智能安全服务。

第一方面，本发明实施例提供了一种基于NFV的安全网络架构，该架构包括：

网络功能虚拟化基础设施、虚拟化网络功能、网络功能虚拟化管理和编排、操作支持系统、业务支持系统以及安全编排器；

其中，所述安全编排器通过所述网络功能虚拟化管理和编排与所述虚拟化网络功块连接，用于对所述安全网络架构的数据流过程进行实时安全评估。

可选的，所述安全编排器，包括：

应用商店层、编排引擎、安全控制器和虚拟安全设备管理平台；

其中，所述应用商店层用于提供web交互服务并生成编排策略；所述编排擎用于接收所述应用商店层发布的业务流程策略和业务流程服务模板，生成业务流程任务；所述安全控制器包括设备管理模块、资源调度模块和服务链模块，所述安全控制器用于接收编排引擎的资源调用请求，并从资源池中选择目标设备，通过所述资源调度模块执行网络安全保护任务；所述虚拟安全设备管理平台用于提供安全服务运行所需的计算、存储和网络资源。

可选的，所述服务链模块与SDN控制平台接口连接。

可选的，所述应用商店层的架构包括Web层，Rest服务平台，数据层和Docker层；

其中，所述Docker层用作底层操作环境，所述数据层实现数据持久性并保存已发布的编排策略信息，所述Rest服务平台用于实现业务逻辑的封装并以Rest和/或APP的形式开放，所述Web层用于提供用户界面。

可选的，所述资源池由多个服务器节点构成，所述资源池的网络结构包括网络出口层、核心层、聚合层和网络访问层。

可选的，与所述资源池连接的交换机上配置有虚拟局域网和虚拟转发路径。