[发明专利]一种网络安全防护架构、通信方法及装置、通信设备

权利要求书

1.一种网络安全防护架构，其特征在于，所述网络安全防护架构包括：包含有物理设备的第一处理层、包含有多种虚拟化网络功能的第二处理层和第三处理层；

所述第一处理层还包括安全组件，用于对所述物理设备进行完整性度量，发送完整性度量结果至所述第三处理层；

所述第二处理层中的每种虚拟化网络功能，用于进行异常检测，发送异常检测结果至所述第三处理层；

所述第三处理层包括安全管理中心，用于对所述第一处理层发送的所述完整性度量结果和/或所述第二处理层发送的所述异常检测结果进行分析，根据分析结果确定处理策略。

2.根据权利要求1所述的网络安全防护架构，其特征在于，所述第二处理层包括：管理和编排组件；

所述管理和编排组件包括：分别具有异常检测功能的网络功能虚拟化编排器NFVO、虚拟化网络功能管理器VNFM、虚拟化基础设施管理器VIM和软件定义网络SDN控制器；其中，

所述SDN控制器，用于将自身的异常检测结果发送至所述VIM；

所述VIM，用于将所述SDN控制的异常检测结果和/或自身的异常检测结果发送至所述NFVO；

所述VNFM，用于将自身的异常检测结果发送至所述NFVO；

所述NFVO，用于将所述VIM发送的异常检测结果、所述VNFM发送的异常检测结果和自身的异常检测结果中的至少一种异常检测结果发送至所述安全管理中心。

3.根据权利要求2所述的网络安全防护架构，其特征在于，所述第二处理层还包括具有异常检测功能的虚拟层；

所述第一处理层的安全组件，用于发送所述完整性度量结果至所述虚拟层；

所述虚拟层，用于发送所述第一处理层的安全组件发送的所述完整性度量结果和/或自身的异常检测结果至所述VIM；

所述VIM，还用于发送所述完整性度量结果和/或所述虚拟层的异常检测结果至所述NFVO；

所述NFVO，还用于发送所述完整性度量结果和/或所述虚拟层的异常检测结果至所述安全管理中心。

4.根据权利要求1所述的网络安全防护架构，其特征在于，所述第二处理层包括：分别具有异常检测功能的虚拟化网络功能和操作维护组件；

所述虚拟化网络功能，用于将自身的异常检测结果发送至所述操作维护组件；

所述操作维护组件，用于将所述虚拟化网络功能的行为检测结果和/或自身的行为检测结果发送至所述安全管理中心。

5.根据权利要求4所述的网络安全防护架构，其特征在于，所述安全管理中心，还用于将虚拟化网络功能相关的处理策略发送至所述操作维护组件。

6.根据权利要求1所述的网络安全防护架构，其特征在于，所述第二处理层还包括安全设备，用于记录安全日志，发送所述安全日志至所述第三处理层。

7.根据权利要求6所述的网络安全防护架构，其特征在于，所述第二处理层包括：分别具有记录安全日志和上报安全日志功能的虚拟化安全设备和安全控制组件；

所述虚拟化安全设备，用于发送安全日志至所述安全控制组件；

所述安全控制组件，用于发送所述虚拟化安全设备的安全日志至所述安全管理中心。

8.根据权利要求7所述的网络安全防护架构，其特征在于，所述第二处理层还包括物理安全设备，用于记录安全日志并发送安全日志至所述安全控制组件；

所述安全控制组件，还用于发送所述物理安全设备的安全日志至所述安全管理中心。

9.根据权利要求8所述的网络安全防护架构，其特征在于，所述安全管理中心，还用于将安全策略相关的处理策略发送至所述安全控制组件。

10.根据权利要求9所述的网络安全防护架构，其特征在于，所述安全控制组件，还用于将所述处理策略转化为安全策略，将所述安全策略发送至相应的虚拟化安全设备和/或物理安全设备。