[发明专利]用于提供安全业务的方法和设备

说明书

本公开的实施例涉及用于提供安全业务的方法和设备。例如，一种方法包括：在第一控制器处，响应于接收到用于在网络中建立针对应用的第一业务链的第一请求，从第一请求中获取与安全业务有关的配置信息；基于配置信息，生成用于建立与第一业务链相关联的安全功能序列的第二请求；向第二控制器发送所述第二请求，以在网络中建立所述安全功能序列；以及响应于从第二控制器接收到关于安全功能序列的确认，基于安全功能序列来建立所述第一业务链。本公开的实施例还提供了能够实现上述方法的设备。

技术领域

本公开的实施例一般涉及安全领域，并且具体地涉及用于提供安全业务的方法、装置和计算机程序产品。

背景技术

随着网络功能虚拟化(NFV)、软件定义网络(SDN)和业务链(SFC)等技术的出现，网络运营者能够进行网络改造以使得网络可编程并且降低成本。因此，基于这些技术能快速和方便地部署各种应用。

为了抵御快速增长和演进的网络攻击(例如，恶意软件、分布式拒绝服务和身份假冒等)，需要针对具有不同安全需求的应用动态地、灵活地且自适应地提供个性化的安全服务或功能。然而，传统安全设施(例如，防火墙、入侵检测系统、深度分组检测等)的实现基于硬件的中间件，并且部署在网络中的固定位置。因此，传统安全设施难以满足基于上述技术的应用的不同安全需求。

发明内容

下面给出了对各实施例的简要概述，以提供对各种实施例的一些方面的基本理解。注意，发明内容部分并非旨在标识关键元素的要点或描述各种实施例的范围。其唯一目的在于以简化形式呈现一些概念，作为对后述更具体描述的前序。

在本公开的第一方面，提供一种用于提供安全业务的方法。该方法包括：在第一控制器处，响应于接收到用于在网络中建立针对应用的第一业务链的第一请求，从第一请求中获取与安全业务有关的配置信息；基于配置信息，生成用于建立与第一业务链相关联的安全功能序列的第二请求；向第二控制器发送第二请求，以在网络中建立安全功能序列；以及响应于从第二控制器接收到关于安全功能序列的确认，基于该安全功能序列来建立第一业务链。

本公开的第二方面，提供一种用于提供安全业务的方法。该方法包括：响应于从第一控制器接收到用于在网络中建立安全功能序列的请求，在第二控制器处确定网络中是否存在该安全功能序列的第一活动实例，该安全功能序列与将由第一控制器在网络中针对应用而建立的业务链相关联；响应于确定网络中不存在第一活动实例，创建安全功能序列的第一实例；在网络中部署第一实例；以及向第一控制器发送关于安全功能序列的确认，以在网络中建立业务链。

本公开的第三方面，提供一种用于提供安全业务的设备。该设备包括：处理器，以及存储器，该存储器存储有指令，该指令在被处理器执行时使该设备：响应于接收到用于在网络中建立针对应用的第一业务链的第一请求，从第一请求中获取与安全业务有关的配置信息；基于配置信息，生成用于建立与第一业务链相关联的安全功能序列的第二请求；向控制器发送第二请求，以在网络中建立安全功能序列；以及响应于从控制器接收到关于安全功能序列的确认，基于该安全功能序列来建立第一业务链。

本公开的第四方面，提供一种用于提供安全业务的设备。该设备包括：处理器，以及存储器，该存储器存储有指令，该指令在被处理器执行时使该设备：响应于从控制器接收到用于在网络中建立安全功能序列的请求，确定网络中是否存在该安全功能序列的第一活动实例，该安全功能序列与将由控制器在网络中针对应用而建立的业务链相关联；响应于确定网络中不存在第一活动实例，创建安全功能序列的第一实例；在网络中部署第一实例；以及向控制器发送关于安全功能序列的确认，以在网络中建立业务链。

本公开的第五方面，提供一种用于提供安全业务的系统。该系统至少包括第一控制器和第二控制器，第一控制器与第二控制器通信地耦合。第一控制器被配置为执行根据本公开的第一方面所述的方法，并且第二控制器被配置为执行根据本公开的第二方面所述的方法。