[发明专利]一种网络安全防护架构、通信方法及装置、通信设备

说明书

本发明实施例公开了一种网络安全防护架构、通信方法及装置、通信设备。所述网络安全防护架构包括：包含有物理设备的第一处理层、包含有多种虚拟化网络功能的第二处理层和第三处理层；所述第一处理层还包括安全组件，用于对所述物理设备进行完整性度量，发送完整性度量结果至所述第三处理层；所述第二处理层中的每种虚拟化网络功能，用于进行异常检测，发送异常检测结果至所述第三处理层；所述第三处理层包括安全管理中心，用于对所述第一处理层发送的所述完整性度量结果和/或所述第二处理层发送的所述异常检测结果进行分析，根据分析结果确定处理策略。

技术领域

本发明涉及网络安全技术领域，具体涉及一种网络安全防护架构、通信方法及装置、通信设备。

背景技术

随着移动互联网的发展，运营商使用网络功能虚拟化(NFV，Network FunctionsVirtualization)/软件定义网络(SDN，Software Defined Network)、云计算等技术进行网络的虚拟化、云化以及SDN化。5G采用服务化架构，并且支持切片、边缘计算，更适合采用虚拟化、云化的方式进行5G网络的部署，实现快速、灵活的上线，提升运维效率等。目前，运营商的网络云化改造工程正在进行中，5G独立组网(SA，Standalone)核心网的控制面网元，例如网络开放功能(NEF，Network Exposure Function)、接入和移动管理功能(AMF，Accessand Mobility Management Function)、会话管理功能(SMF，Session ManagementFunction)、网络数据分析功能(NWDAF，Network Data Analytics Function)等，已经采用NFV的方式部署，并可根据业务的需求进行灵活的扩缩容。

在该架构中，5G SA的控制面网元部署在虚拟机上，这使5G网络在遭受传统安全威胁的同时，还面临SDN/NFV这些新技术带来的SDN控制器分布式拒绝服务(DDoS，Distributed Denial of Service)攻击、流表篡改、虚拟化软件漏洞被利用、虚拟机逃逸等相关的安全威胁。另外，边缘计算和切片增加了5G网络的暴露面，第三方应用程序(APP)可发起对核心网的攻击，切片管理口可被非授权访问等。量子计算对传统密码算法的威胁、未来可能出现的新型攻击手段等也是5G面临的新挑战。

目前，静态部署的安全设备构建的边界防护、单个设备的安全加固，并不能完全满足5G安全要求，存在以下不足：(1)网元的异常进程、异常文件等无法被及时识别；(2)基于已知特征检测的方式不能抵抗高级可持续威胁(APT，Advanced Persistent Threat)等新型攻击；(3)对垂直行业的差异化安全需求的支持欠佳。

发明内容

为解决现有存在的技术问题，本发明实施例提供一种网络安全防护架构、通信方法及装置、通信设备。

为达到上述目的，本发明实施例的技术方案是这样实现的：

第一方面，本发明实施例提供了一种网络安全防护架构，所述网络安全防护架构包括：包含有物理设备的第一处理层、包含有多种虚拟化网络功能的第二处理层和第三处理层；

所述第一处理层还包括安全组件，用于对所述物理设备进行完整性度量，发送完整性度量结果至所述第三处理层；

所述第二处理层中的每种虚拟化网络功能，用于进行异常检测，发送异常检测结果至所述第三处理层；

所述第三处理层包括安全管理中心，用于对所述第一处理层发送的所述完整性度量结果和/或所述第二处理层发送的所述异常检测结果进行分析，根据分析结果确定处理策略。

上述方案中，所述第二处理层包括：管理和编排组件；