一種安全策略管理方法及裝置，該方法包括：VNFM接收容器管理器確定需要對VNF進行容器服務更新后發送的容器服務更新消息，該容器服務更新消息包括更新的第一容器服務的第一分組標識；若第一分組標識集合中包括第一分組標識，VNFM確定不需要改變VNF應用的安全策略，并向容器管理器發送第一指示信息，以指示容器管理器進行容器服務更新，第一分組標識集合為VNF在容器服務更新前調用的至少一個容器服務的分組標識構成的集合。如此，在第一分組標識包括在第一分組標識集合中的情況下，VNFM無需每次容器服務更新都需要向NFV SC請求下發安全策略，從而可有效降低NFV SC的管理復雜度，提升網絡部署效率。

技術領域

本申請涉及通信技術領域，尤其涉及一種安全策略管理方法及裝置。

背景技術

網絡功能虛擬化(network function virtualization，NFV)是一種使用通用性硬件以及網絡虛擬化構建通信網絡系統的技術，能夠用于承載通信網絡中的軟件處理功能，實現通信網絡的虛擬化、靈活部署、靈活擴容，并降低通信網絡系統昂貴的設備成本。

在NFV網絡架構中，NFV安全控制器(NFV security controller，NFV SC)負責安全策略的生成管理以及發放。在虛擬網絡功能(virtual network function，VNF)進行實例化時，VNF管理器(VNF Management，VNFM)會將VNF的部署情況上報至NFV SC，NFV SC根據VNF的部署情況制定匹配的安全策略，下發給VNFM或容器管理器container manager進行網絡部署。現有技術中，當發生VNF更新或容器服務更新時，VNFM需要將VNF的部署情況上報給NFV SC，使VNF SC實時動態地感知到容器服務的更新，并進行安全策略的決策和下發。然而，容器服務更新是常態化的，容器服務可能會被頻繁地更新和重新發布，頻繁地根據負載情況進行動態伸縮，容器服務實例還可能受到資源調度的影響從一臺服務器遷移到另一臺服務器。每次VNF更新或容器服務更新都上報VNF的部署情況，會使NFV SC反復地進行安全策略的決策和下發，增加了NFV SC的管理難度，并影響網絡部署效率。

發明內容

本申請實施例提供一種安全策略管理方法及裝置，用于降低NFV SC的管理難度，提高網絡部署效率。

第一方面，本申請實施例提供一種安全策略管理方法，該方法可應用于VNFM，該方法包括：VNFM接收容器管理器發送的容器服務更新消息，該容器服務更新消息包括第一分組標識，該第一分組標識為更新的第一容器服務的分組標識，該第一分組標識是根據VNF的類型和第一容器服務的安全能力確定的，該容器服務更新消息是容器管理器確定需要對VNF進行容器服務更新后發送的；若第一分組標識集合中包括第一分組標識，VNFM確定不需要改變VNF應用的安全策略，并向容器管理器發送第一指示信息，該第一指示信息用于指示容器管理器進行容器服務更新，第一分組標識集合為VNF在容器服務更新前調用的至少一個容器服務的分組標識構成的集合。

采用本申請實施例提供的技術方案，在更新的第一容器服務的分組標識包括在第一分組標識集合的情況下，VNFM確定不需要不改變VNF中應用的安全策略，VNFM可直接進行容器服務更新的決策，指示容器管理器進行容器服務更新，而不需要上報該VNF在容器服務更新后的部署情況，從而可有效降低NFV SC的管理復雜度，提升網絡部署效率。

在一種可能的設計中，若第一分組標識集合中不包括第一分組標識，VNFM確定需要改變VNF應用的安全策略，并向NFV SC發送安全策略請求消息，該安全策略請求消息中包括第一分組標識；VNFM接收NFV SC根據第一分組標識發送的第一安全策略，該第一安全策略為VNF在容器服務更新后應用的安全策略。

采用本申請實施例提供的技術方案，在更新的第一容器服務的分組標識不包括在第一分組標識集合的情況下，VNFM可確定需要改變VNF中應用的安全策略，進而向NFV SC發送安全策略請求消息，以請求NFV SC下發新的安全策略，從而確保VNF的安全性。