业务功能注册机制和能力索引编制

相关申请案交叉申请

本申请要求2015年2月25日由Linda Dunbar等人递交的发明名称为“业务功能注册机制(Service Function Registration Mechanism)”的第62/120,761号美国临时专利申请案和2016年2月15日由Linda Dunbar等人递交的发明名称为“业务功能注册机制和能力索引编制(Service Function Registration Mechanism And Capability Indexing)”的第15/044,010号美国非临时专利申请案的在先申请优先权，这些在先申请的全部内容以引入的方式并入本文本中。

参考缩微胶片附录

不适用

背景技术

网络运营商在向终端用户提供业务过程中使用了各种业务功能。业务功能的一些示例包括防火墙(firewall，FW)、网络地址转换(network address translation，NAT)、服务器负载均衡器(load balancer，LB)、广域网(wide area network，WAN)优化以及其它开放式系统互连(开放式系统互连，OSI)层4(layer 4，L4)到层7(layer 7，L7)业务。L4至L7业务通常位于中心位置，例如数据中心(data center，DC)网关。为了应用L4至L7业务，数据转发指示数据业务遍历DC网关。因此，DC网关可能会经历高的业务量。

业务链是利用网络功能虚拟化(network functions virtualization，NFV)和软件定义网络(software defined networking，SDN)技术的业务功能部署模型，用来根据为数据流配置的策略控制数据流的数据流量通过一系列业务而不是通过中心位置。NFV能够使业务从专用硬件迁移到软件和/或虚拟机(virtual machine，VM)。SDN能够分离控制和转发功能与软件可编程控制面。例如，通过采用NFV，业务可以作为移出中心位置且在网络中的多个位置实例化的软件组件来实施。通过采用SDN模型，可控制数据流通过业务实例位置，其中网络控制器可以配置网络节点具有数据转发指令。

发明内容

在一项实施例中，本发明包括一种在网络引擎中实施的方法，包括：所述网络引擎中的业务功能(service function，SF)编排器从第三方SF管理器接收请求注册SF的注册请求消息，所述SF包括网络中的一个或多个SF实例，其中，所述注册请求消息包括标识所述SF的厂商的厂商标识信息和标识所述SF的SF标识信息；所述SF编排器从所述第三方SF管理器接收指示与所述SF相关联的厂商特定能力信息的能力信息消息；所述SF编排器从业务客户端接收请求网络业务的业务请求消息以及用于所述业务的一个或多个策略；根据所述一个或多个策略和所述厂商特定能力信息通过利用所述一个或多个SF实例来生成所述网络业务；以及向所述一个或多个SF实例发送所述一个或多个策略，以促进执行所述业务客户端请求的所述网络业务。在一些实施例中，本发明还包括：所述厂商标识信息包括：所述厂商的厂商名称以及标识所述厂商的厂商标识符(identifier，ID)；以及所述SF标识信息包括：所述SF的SF名称、标识所述SF的业务类型的SF类型以及标识所述SF的SF ID。和/或所述方法还包括：所述SF编排器向认证、授权、计费(authentication,authorization,andaccounting，AAA)实体发送认证请求消息以请求认证所述厂商，以及所述SF编排器从所述AAA实体接收包括所述厂商的认证授予的认证授予消息。和/或所述方法还包括：在接收到所述认证授予消息后，所述SF编排器向所述第三方SF管理器发送会话开始消息以开始与所述第三方SF管理器的会话，其中，所述能力信息消息在发送所述会话开始消息后接收。和/或所述SF标识信息包括标识所述SF的SF ID，其中，所述会话开始消息包括：标识所述会话的会话ID、与所述会话相关联的会话密钥以及指示所述SF针对所述会话已注册的所述SFID。和/或所述方法还包括：所述SF编排器从所述第三方SF管理器接收SF实例信息消息，所述SF实例信息消息指示与所述网络中的所述SF实例相关联的位置信息；以及将所述位置信息存储在SF实例数据库(database，DB)中。和/或所述方法还包括：所述SF编排器从所述第三方SF管理器接收指示所述SF的所述能力信息的动态更新的能力更新消息。和/或所述能力信息消息指示所述SF支持的策略，其中，所述策略包括所述SF支持的报文层检测深度、上下文状态以及动作，和/或所述SF与网络安全相关联。

在另一项实施例中，本发明包括一种虚拟网络功能(virtual network function，VNF)控制器，包括：接收器，用于从网络控制器接收第一SF配置消息，所述第一SF配置消息指示位于网络中的SF的第一SF实例的第一策略；处理器，耦合到所述接收器，用于确定所述第一SF实例是所述SF中与多个子控制器中的第一个相关联的第一多个SF实例中的一个；以及发射器，耦合到所述处理器，用于向所述第一子控制器发送指示所述第一子控制器将所述第一策略调度给所述第一SF实例的第二SF配置消息。在一些实施例中，本发明还包括：所述第一SF实例与所述网络中的业务流相关联，其中，所述处理器还用于：获得指示所述业务流被重配置为与所述SF的第二SF实例而非所述第一SF实例相关联的信息；以及确定所述第二SF实例是所述SF中与所述多个子控制器中第二个相关联的第二多个SF实例中的一个；以及所述发射器还用于向所述第二子控制器发送指示所述第二子控制器将所述第一策略调度给所述第二SF实例的第三SF配置消息。和/或所述接收器还用于：从所述网络控制器接收第三SF配置消息，所述第三SF配置消息指示位于所述网络中的所述SF的第二SF实例的第二策略，其中，所述第一策略和所述第二策略不同，所述处理器还用于确定所述第二SF实例是所述SF中与所述多个子控制器中的第二个相关联的第二多个SF实例中的一个，所述发射器还用于向所述第二子控制器发送指示所述第二子控制器将所述第二策略调度给所述第二SF实例的第四SF配置消息。和/或所述第一SF实例与所述网络中的业务流相关联，以及所述发射器还用于向SDN控制器发送指示与所述第一SF实例相关联的位置信息的SF实例位置消息，以便能够向所述第一SF实例转发与所述业务流相关联的流量。

在又一项实施例中，本发明包括一种在网络引擎中实施的方法，包括：所述网络引擎中的SF编排器从第三方SF管理器接收能力信息消息，所述能力信息消息指示网络中SF的SF名称和与所述SF相关联的厂商特定能力信息；所述SF编排器在SF目录DB中将所述厂商特定能力信息编入索引；所述SF编排器从业务客户端接收请求所述网络中的业务的业务请求消息以及用于所述业务的策略；所述SF编排器确定所述业务与所述SF相关联；所述SF编排器根据所述策略和所述编入索引的能力信息生成所述SF的配置；以及所述SF编排器向网元(network element，NE)发送SF配置消息，以根据所述配置促进执行所述SF。在一些实施例中，本发明还包括：所述能力信息消息包括：指示所述SF支持的报文层检测深度的支持报头字段，指示所述SF保持的上下文状态的支持上下文字段，指示所述SF支持的动作的支持动作字段，以及指示除所述SF的功能之外的所述SF支持的功能的支持功能字段。和/或所述报文层检测深度与以下内容相关联：SC封装协议、媒体访问控制(media access control，MAC)协议、第四版因特网协议(Internet protocol version 4，IPv4)、第六版因特网协议(Internet protocolversion 6，IPv6)、传输控制协议(transmission control protocol，TCP)、用户数据报协议(user datagram protocol，UDP)、超文本传输协议(hypertexttransfer protocol，HTTP)或其组合；和/或所述上下文状态与以下内容相关联：时间、业务流方向、认证状态、授权状态、计费状态、会话状态或其组合。和/或所述动作与网络安全相关联，所述动作包括：防病毒(antivirus，AV)操作、入侵防御系统(intrusion protectionsystem，IPS)操作、统一资源定位符(uniform resource locator，URL)过滤操作、文件过滤操作、数据过滤操作、应用控制操作或其组合。和/或将所述厂商特定能力信息编入索引包括：在所述SF目录DB中的名称类别下将所述SF名称编入索引；在所述SF目录DB中的主题类别下将所述支持报头字段编入索引；在所述SF目录DB中的上下文类别下将所述支持上下文字段编入索引；在所述SF目录DB中的动作类别下将所述支持动作字段编入索引；以及在所述SF目录DB中的功能类别下将所述支持动作字段编入索引。和/或生成所述SF的所述配置包括：根据所述能力信息消息中的所述支持报头字段和所述支持上下文字段以及所述业务请求消息中的所述策略生成策略条件，根据所述能力信息消息中的所述上下文字段中的所述支持动作字段和支持功能字段以及所述业务请求消息中的所述策略生成策略动作，以及根据所述策略条件和所述策略动作以及所述业务请求消息中的所述策略生成策略规则。

为了清晰起见，在本发明的范围内，上述实施例中的任何一个可以与上述其它实施例中的任何一个或多个组合来创建新的实施例。

在下文的详细描述以及结合附图和权利要求中，可以更清楚地理解这些和其它特征。

附图说明

为了更透彻地理解本发明，现参阅结合附图和具体实施方式而描述的以下简要说明，其中的相同参考标号表示相同部分。

图1为业务链(service chain，SC)使能的网络系统的实施例的示意图；

图2为SC网络系统的另一实施例的示意图；

图3为分层虚拟网络功能(virtual network function，VNF)控制器系统的实施例的示意图；

图4为网元(network element，NE)的实施例的示意图；

图5为业务功能(service function，SF)注册方法的实施例的协议图；

图6为SF能力更新方法的实施例的协议图；

图7为能力接口模型的实施例的示意图；

图8A为业务层接口结构的实施例的示意图；

图8B为策略动作结构的实施例的示意图；

图8C为策略条件结构的实施例的示意图；

图8D为策略变量结构的实施例的示意图；

图9为SF目录数据库(database，DB)的一部分的实施例的示意图；

图10为SF实例DB的一部分的实施例的示意图；

图11为用于执行SF注册的方法的实施例的流程图；

图12为用于配置SF的方法1200的实施例的流程图；

图13为用于动态更新SF能力的方法1300的实施例的流程图；

图14为用于管理分层VNF控制器系统的方法的实施例的流程图；

图15为用于管理分层VNF控制器系统的方法的另一实施例的流程图；

图16为用于促进业务流中业务转发的方法的实施例的流程图。

具体实施方式

首先应理解，尽管下文提供一项或多项实施例的说明性实施例，但所公开的系统和/或方法可使用任何数目的技术来实施，无论该技术是当前已知还是现有的。本发明决不应限于下文所说明的说明性实施例、附图和技术，包括本文所说明并描述的示例性设计和实施例，而是可在所附权利要求书的范围以及其等效物的完整范围内修改。

NFV是一种将网络节点功能虚拟化为构件的网络架构，这些构件可连接或链接在一起来创建网络业务。VNF包括由服务器、交换机、存储器和/或云计算基础设施上的由一个或多个VM执行的而不是由定制或专用硬件设备提供的一个或多个软件组件或软件进程。在NFV环境中，VNF可以在多个位置处进行实例化，并可移动或删除以满足业务需求的变化。

SC是构建在NFV基础设施之上的灵活网络模型。在SC使能的网络中，SF和SF实例被实现为VNF，如策略所限定，控制业务流通过SF或SF实例。SF可以在网络中的多个位置处进行实例化。例如，网络地址转换(network address translation，NAT)类型-44(NAT type-44，NAT44)SF包括两种不同的SF实例化：一种采用策略A(例如，NAT44-A)，另一种采用策略B(例如，NAT44-B)。另外，不同SF实例化可以包括不同能力。例如，一个NAT44-A实例支持大约每秒10千兆比特(gigabits per second，Gbps)的数据吞吐量，而另一个NAT44-A实例支持大约100Gbps的数据吞吐量。因此，为了支持SC，扩展路径计算引擎，以便除了考虑链路容量等网络资源，还考虑SF的拓扑结构和能力，并且扩展转发节点以将数据流转发给对应的SF。

采用NFV能够利用来自第三方的SF。然而，来自不同第三方和厂商的SF可以包括不同的能力和可配置性需求。例如，来自厂商A的FW可能是有状态的，而来自厂商B的FW可能需要双向同余。因此，厂商特定SF的编排可能很复杂。

本发明公开了通过提供SF注册协议、能力接口模型和策略信息模型在SC使能的网络中注册和编排厂商特定SF的各种实施例。该注册协议为不同厂商提供通用机制以在SC使能的网络中注册厂商特定SF，使得SF编排器可以利用厂商特定SF来构建SC。该注册协议包括SF的注册、SF的能力以及SF实例的位置。能力接口模型对SF能力和SF可配置性进行分类。例如，厂商采用能力接口模型来指示SF能力，SF编排器采用能力模型对SF能力编制索引。基于流的SF通常根据基于规则的匹配条件执行操作。因此，能力接口模型以类似的基于条件-动作的格式来定义。在一实施例中，能力接口模型将SF能力分为：名称类别、主题类别、上下文类别和动作类别。名称类别与策略规则的名称相关联。主题类别与报文层检测深度相关联，报文层检测深度可以在报头层或净荷层。上下文类别与SF保持的诸如时间、事件和会话状态之类的上下文状态相关联。动作类别与SF支持的动作相关联。动作可包括诸如报文丢弃、传送和上报之类的基本动作，以及基于安全配置文件、签名文件和统计模型等的高级动作。策略信息模型为SF编排器提供了一组通用配置规则来配置SF。例如，业务客户端请求SC使能的网络中的业务并指定业务的策略。策略信息模型包括根据策略条件和策略动作形成的策略规则。策略条件包括分别对应于能力接口模型的主题类别和上下文类别的目标组和策略上下文。所公开的实施例还提供VNF控制器分层架构以控制和管理SC使能的网络中的SF和SF实例。例如，主VNF控制器控制多个子控制器，每个子控制器控制特定SF的SF实例集群。不同集群的SF实例可以执行SF的不同部分或可以包括不同能力。所公开的实施例适用于网络安全关系功能、基于流的SF、基于代理的SF和/或任何类型的网络业务。

图1为SC使能的网络系统100的实施例的示意图。系统100包括SF编排器110，SDN控制器120以及网络170。SF编排器110通过编排器-控制器接口193与SDN控制器120进行数据通信。SDN控制器120通过控制器-网络接口194与网络170进行数据通信。网络170为业务叠加网络。网络170的底层物理网络可以为任何类型的传输网络，诸如电网络和/或光网络，并可包括一个或多个网络域。网络170可以采用任何适于通过网络170的底层物理网络来传输数据的传输协议，例如因特网协议(Internet Protocol，IP)/用户数据报协议(UserDatagram Protocol，UDP)。网络170可以采用任何类型的网络虚拟化的和/或网络叠加技术，例如虚拟可扩展局域网(virtual extensible local area network，VXLAN)。在一实施例中，网络170为SDN使能的网络，其中网络控制与转发解耦，且控制面通过诸如SDN控制器120之类的中央管理实体控制的软件可编程。网络170包括分类器130、多个SF转发器(SFforwarder，SFF)140以及多个SF 150。

SF 150为在业务节点(service node，SN)上执行或者托管的逻辑实体或软件组件，业务节点可以是VM、服务器和/或任何计算设备和系统。SF 150可以包括任何类型的网络功能，诸如FW业务，入侵者防御系统(intruder prevention system，IPS)业务、LB业务、缓存业务，服务质量(quality of service，QoS)业务以及广域网优化控制器(wide areanetwork optimization controller，WOC)业务。在一些实施例中，SF 150可以位于网络170中的不同子域或子网络171。例如，用于FW、IPS和LB的SF 150位于一个子网络171中，用于缓存、QoS和WOC的SF 150位于另一子网络172中。每个SF 150包括SF 150的实例池，其可以由一个或多个厂商提供。例如，FW SF 150可以包括厂商A的第一组FW实例和厂商B的第二组FW实例。由于不同厂商可能提供能力和可配置要求不同的SF 150，厂商可以采用第三方厂商特定SF管理器160通过厂商管理接口195来管理网络170中自己的SF实例。厂商特定SF管理器160为由对应的厂商或第三方部署的逻辑实体，其可以包括VM、服务器以及任何计算系统。

SF编排器110可以是VM、专用主机、包括多个计算设备的分布式系统，或任何其它用于创建和管理网络170中的SC和/或业务叠加拓扑结构的设备和/或系统。SF编排器110为在诸如网络170之类的SC使能的域中运行的管理实体。SC使能的域是指部署SF和SF实例的网络域，SF可为SF 150等。SF编排器110包括SC管理器111和SF实例目录管理器112。SF实例目录管理器112通过SF注册接口192与厂商特定SF管理器160通信，以注册SF 150并获得与SF 150相关联的信息，这在下文有更详尽的描述。SC管理器111在网络170中生成SC以服务业务客户端180。业务客户端180可以是用户、应用程序或运营商的运营支撑系统(operations support system，OOS)和管理系统。例如，业务客户端180通过客户端接口191向SF编排器110发送业务请求以请求业务源181与业务目的地182之间的流，并指定流的策略。SC管理器111分析业务请求，选择一组SF 150(例如，FW和WOC)来满足策略，并根据所选SF 150生成SC或SF集合。SC管理器111确定分类策略并协同SF实例目录管理器112来确定SC的转发策略。分类策略可以包括分类规则或流标准(例如IP地址)以将数据流绑定到SC、SC相关联的业务和/或与SC和/或SF集合相关联的元数据。转发策略可以包括SF150与SF 150的位置之间的映射。SF编排器110向SDN控制器120发送分类策略和转发策略，以请求SDN控制器120根据分类策略和转发策略在网络170中建立业务流。应注意，SC中的SF是有序的，而SF集合中的SF可以不是有序的，并可以一起执行特定业务。

SDN控制器120可以是VM、专用主机、包括多个计算设备的分布式系统、或用于管理网络170的任何其它设备和/或系统。SDN控制器120执行SDN管理和/或控制操作。例如，SDN控制器120确定网络170中的转发路径和通过控制器-网络接口194配置网络节点具有转发指令，网络节点可以为分类器130、SFF 140以及实施SF 150的SN等。另外，SDN控制器120协调SF编排器110一起通过在网络170中建立业务流来促进SC的实施。应注意，SC为SF的序列顺序，业务流为遍历SF实例的SC实例化。SDN控制器120通过向分类器130发送分类策略和向SFF 140转发策略和/或元数据来建立业务流，如SF编排器110所指示。例如，SDN控制器120在业务源181和业务目的地182之间建立业务流183，从而遍历了FW SF 150的实例和WOC SF150的实例。此外，SDN控制器120为SF 150配置规则，这在下文有更详尽的论述。应注意，在一些实施例中，SF编排器110可以在SDN控制器120内实施。

分类器130可以是VM、专用主机、诸如路由器和/或交换机等网络节点或用于执行分类的任何其它设备。例如，分类器130可以为SC入口节点内的组件，SC入口节点是处理进入SC使能的域的流量的SC边界节点或SC使能的域中的SC代理节点。例如，来自业务源181的业务流通过分类器130进入SC使能的域。当分类器130从业务源181接收到数据包时，分类器130标识数据包的SC和业务流或SF路径。分类器130可以执行不同粒度的分类，粒度可能相对较粗(例如，在端口层)或可能很细(例如，将报头字段匹配到从SDN控制器120接收到的分类规则)。为了沿着标识的SF路径引导数据包，分类器130生成SC报文来携带输入数据包和SF路径信息，例如，可通过使用指示SF路径信息的网络业务报头(network serviceheader，NSH)封装数据包来生成。分类器130在所标识的业务流中向下一SFF 140发送SC报文。应注意，分类器130可以根据在使用的传输协议和/或网络叠加(例如，IP/UDP，VXLAN)等对SC报文执行附加封装。

SFF 140为诸如路由器、交换机和/或网桥等任意网络节点或设备，用于根据SC封装中携带的信息将从网络170接收到的报文和/或帧转发给与SFF 140相关联的一个或多个SF 150。当SFF 140从网络170接收到携带SC报文的包时，SFF 140执行解封装(例如，移除传输报头)来获取SC报文。SFF 140确定合适的SF 150来处理包，并将SC报文转发到对应的SF150，这在下文有更详尽的论述。例如，一个SFF 140控制业务流通过FW SF 150，另一个SFF140控制业务流通过WOC SF 150。或者，单个SFF 140控制业务流通过FW SF 150和WOC SF150两者。在包被SF 150处理之后，SFF 140可以将处理后的包转发给另一SFF 140。当处理后的包到达SF路径中的最后一个SFF140时，SFF 140将最后一个SF 150所处理的数据传送给业务目的地182。应注意，虽然业务流被控制通过SF 150，但SF 150可感知NSH或不感知NSH。

客户端接口191、SF注册接口192、编排器-控制器接口193、控制器-网络接口194和厂商管理接口195可以通过交互包括标准化格式的消息或采用标准化应用编程接口(application programming interface，API)来实施。接口191至195的通信机制可以是彼此独立的。例如，控制器-网络接口194可以使用OpenFlow协议，厂商管理接口195可以由厂商定义。客户端接口191、SF注册接口192以及编排器-控制器接口193的接口机制和模型在下文有更详尽的描述。系统100可如图所示进行配置，或者由本领域普通技术人员配置来实现类似功能。

图2为SC使能的网络系统200的另一实施例的示意图。网络系统200图类似于系统100，并提供了系统100的管理架构的更详细的图。系统200包括SF管理系统210。SF管理系统210可以包括诸如SF编排器110等SF编排器，以及诸如SDN控制器120等网络控制器。SF管理系统210通过客户端接口291、厂商接口292和VNF接口293分别与业务客户端280、VNF管理器261至263和SF 251至253进行通信。业务客户端280类似于业务客户端180，客户端接口291类似于客户端接口191。VNF管理器261至263类似于厂商特定SF实例管理器160。厂商接口292类似于SF注册接口192。SF251至253类似于SF 150。VNF接口293类似于SF编排器110与SF150之间的接口，包括编排器-控制器接口193和控制器-网络接口194两者。如图所示，VNF管理器261管理SF 251，VNF管理器262管理SF 252，VNF管理器263管理SF 253。SF 251至253可以由不同的厂商提供。例如，厂商A提供SF 251和VNF管理器261，厂商B提供SF 252和VNF管理器262，厂商C提供SF 253和VNF管理器263。

厂商接口292使VNF管理器261至263能将SF 251至253注册到SF管理系统210。为注册SF 251至253，SF管理系统210对厂商进行认证。在完成认证后，VNF管理器261至263向SF管理系统210发送与SF 251至253相关联的SF信息，诸如SF类型、实例位置、能力和可配置性要求等。在接收到SF信息后，SF管理系统210将SF信息存储在SF目录DB中。SF管理系统210对厂商接口292使用公共注册协议，以与所有VNF管理器261至263进行通信，并使用公共索引编制模型来存储SF信息并编入索引，这在下文有更详尽的描述。

客户端接口291使业务客户端280能向SF 251至253动态设置策略和/或配置文件，并能监测业务客户端280的性能和业务客户端280的流的执行状态。客户端接口291可以利用现有协议，例如在代表性状态传输配置(representational state transferconfiguration，RESTconf)，网络配置(network configuration，NETconf)，认证、授权和计费(authentication,authorization,and accounting，AAA)和安全自动化和连续监测(security automation and continuous monitoring，SACM)中定义的协议，来承载可以通过自主访问控制、强制访问控制、基于角色的访问控制、基于属性的访问控制、基于策略的访问控制或其组合来表示的安全策略。业务客户端280可以指定各种策略和/或配置文件来配置互联网业务和/或网站访问的权限。策略和/或配置文件的一些示例可包括，但不限于，开启基本的父母控制、开启学校保护控制、允许预定时间间隔内的互联网业务、扫描电子邮件以检测恶意软件、保护公司网络业务的完整性和保密性以及除去社交网站中的跟踪数据。

VNF接口293使SF管理系统210能够动态地配置SF 251至253具有服务层策略。当SF管理系统210从业务客户端280接收到可能是抽象和面向业务的策略和配置文件时，SF管理系统210将接收到的策略和配置文件映射成合适的或可实现的功能格式，以用于配置SF251至253。格式是根据标准化信息模型和/或数据模型定义，这在下文有更详尽的描述。

例如，第一业务客户端280请求用于居民客户281的第一业务，第二业务客户端280请求用于企业客户282的第二业务，第三业务客户端280请求用于移动客户283的第三业务。SF管理系统210分析每一请求，并从SF目录DB中选择SF来满足每个请求。SF管理系统210为所选SF 251至253生成配置，并相应地对SF 251至253进行配置。如图所示，SF管理系统210为居民客户281建立第一业务流，从而遍历了宽带网络网关(broadband network gateway，BNG)284、SF 251和SF 253，如虚线所示。BNG284是供用户连接到宽带网络的接入点。SF管理系统210为企业客户282建立第二业务流，从而遍历了客户终端设备(customer premiseequipment，CPE)285、SF 252和SF 251，如虚线所示。CPE 285为位于用户层的终端和相关设备。SF管理系统210为移动客户283建立第三业务流，从而遍历了演进型分组核心网(evolved packet core，EPC)286、SF 252和SF 251，如虚线所示。EPC 286为提供融合语音和数据联网的网络。

图3为分层VNF控制器系统300的实施例的示意图。NFV使能的基于流的网络使用诸如系统100和200等系统300来管理诸如SF 150和251至253等VNF 330和340。系统300包括VNF控制器310和示为子控制器A和子控制器B的多个子控制器320。VNF控制器310和子控制器320可以是VM、专用主机，包括多个计算设备的分布式系统，或用于管理VNF 330和340的任何其它设备和/或系统。VNF控制器310相当于特定类型SF的主控制器。例如，特定类型的SF为FW，VNF 330和340为FW实例。或者，特定类型的SF为WOC，VNF 330和340为WOC实例。VNF控制器310与SDN控制器120等网络控制器通信以获取SF配置，诸如策略，配置文件和规则。VNF控制器310管理子控制器320，并将SF配置转发给子控制器320。子控制器320管理VNF330和340。下文更详尽地描述了系统300与SDN控制器120之间的交互。

如上所述，单个SF可以包括分布在网络中的多个实例化。在系统300中，每个子控制器320管理和控制实例化的子集或集群。如图所示，子控制器A 320管理和控制示为VNF-A_1到VNF-A_N的VNF 330集群，子控制器B 320管理和控制示为VNF-B_1到VNF-B_M的另一VNF 340集群。子控制器A 320将VNF 330集群作为VNF控制器310的一个实体来呈现。子控制器B 320将VNF 340集群作为VNF控制器310的另一实体来呈现。在一项实施例中，VNF控制器310可向子控制器A 320发送策略A，向子控制器B发送策略B。子控制器A320向VNF 330分发策略A，子控制器B 320向VNF 340分发策略B。在另一项实施例中，VNF 330可以服务第一多个客户端流，VNF 340可以服务第二多个客户端流。在这种实施例中，当客户端流从一个VNF移动到另一个VNF时，可以将诸如VNF 330集群和VNF 340集群等一个VNF集群的策略移动和/或复制到另一个VNF集群。在其它一些实施例中，VNF 330和340每个都执行特定SF的不同部分。VNF 330和340可托管在同一物理平台或不同的物理平台上。

除了分发策略，系统300还利于控制业务流通过VNF 330和340。例如，VNF控制器310向SDN控制器提供VNF 330和340的位置和地址，以使SDN控制器能配置VNF 330和340在诸如SFF 140等SFF处的地址。因此，SFF可以直接向对应VNF 330和340转发业务流，而不是通过VNF控制器310和子控制器320将业务流转发给对应VNF 330和340。

图4为诸如系统100和200等SC使能的系统中的NE 400的实施例的示意图，其中NE400可以为：SF编排器110、SDN控制器120、分类器130、SFF 140、托管SF 150的SN、厂商特定SF管理器160、业务客户端180、业务源181、业务目的地182、VNF控制器310和子控制器320等。NE 400也被称为网络引擎。NE 400可以用于实施和/或支持本文描述的SF注册以及能力索引编制机制和方案。NE 400可以在单个节点中实现，或者NE 400的功能可以在多个节点中实现。本领域技术人员将认识到，术语NE包括广义范围的设备，其中NE 400仅仅是一个示例。包括NE 400是为了论述清楚起见，但绝不意味着将本发明的应用限制于特定NE实施例或一类NE实施例。

本发明中所述的至少一些特征/方法是在诸如NE 400等网络装置或组件中实施。例如，本发明中的功能/方法可使用硬件、固件和/或在硬件上运行的安装软件来实施。NE400为通过网络传输报文的任何设备，例如交换机、路由器、网桥、服务器、客户端等。如图4所示，NE 400包括收发器(TX/RX)410，其可以是发射器、接收器或它们的组合。Tx/Rx 410耦合到用于发送和/或接收来自其它节点的帧的多个端口420。

处理器430耦合到每个Tx/Rx 410来处理帧和/或确定将帧发送到哪些节点。处理器430可包括一个或多个多核处理器和/或存储器设备432，其可以用作数据存储器、缓冲区等。处理器430可以实施为通用处理器，或可以是一个或多个专用集成电路(applicationspecific integrated circuit，ASIC)和/或数字信号处理器(digital signalprocessor，DSP)的一部分。处理器430可以包括可分别执行SF注册和SF能力索引编制的SF注册模块433和SF能力索引编制模块434，以及可实施下文有更详尽论述的方法500、600、1100、1200、1300、1400、1500和1600，和/或本文论述的任何其它流程图、方案和方法。这样，包括SF注册模块433和SF能力索引编制模块434以及相关方法和系统对NE 400的功能提供了改进。此外，SF注册模块433和SF能力索引编制模块434会将特定物品(例如，网络)转变到不同状态。在替代实施例中，SF注册模块433和SF能力索引编制模块434可以实施为存储在存储器设备432中的指令，其可以由处理器430执行。存储器设备432可以包括用于暂时存储内容的缓存，例如随机存取存储器(random-access memory，RAM)。此外，存储器设备432可以包括存储内容时间相对较长的长期存储，例如只读存储器(read-only memory，ROM)。例如，缓存和长期存储可以包括动态RAM(dynamic RAM，DRAM)、固态硬盘(solid-statedrive，SSD)、硬盘或它们的组合。存储器设备432可以用于存储一个或多个SF DB 435中的SF相关信息。

可理解，通过将可执行指令编程和/或加载到NE 400中，处理器430和/或存储器设备432中的至少一个会发生改变，将NE 400部分转换为具有本发明所提出的新颖功能的特定机器或装置，例如多核转发架构。通过将可执行软件加载到计算机而可实现的功能可通过公知的设计规则转换为硬件实现，这在电力工程和软件工程领域是很重要的。决定使用软件还是硬件来实施一个概念通常取决于对设计稳定性及待生产的单元数量的考虑而不是从软件领域转换至硬件领域中所涉及的任何问题。通常，还会经常变化的设计可优选在软件中实现，因为硬件实现的重制比软件设计的重制更昂贵。通常，稳定的及会大量生产的设计可优选在ASIC这样的中硬件中实现，因为通过硬件实现大量生产要比软件实现便宜。设计可能经常以软件形式进行开发与测试，随后通过该领域熟知的设计规则转换为对软件的指令进行硬连线的ASIC中的等效硬件实现。由新的ASIC控制的机器是特定机器或装置，同样地，编程过的电脑和/或加载了可执行指令(例如，存储在非瞬时性介质/存储器的计算机程序产品)的计算机也可视为特定机器或装置。

图5为SF注册方法500的实施例的协议图。方法500由诸如系统100和200等SC使能的网络使用。方法500在诸如厂商特定SF管理器160和VNF管理器261至263之类的VNF管理器、诸如SF编排器110和SF管理系统210之类的SF编排器、AAA实体之间实施。AAA实体可以包括一个或多个服务器和用于处理网络接入的用户请求的计算系统，并提供AAA服务。AAA实体可以与具有包括用户信息的数据库和目录的网关服务器进行交互。VNF管理器与SF编排器之间的接口对应于SF注册接口192和厂商接口292。方法500自动进行SF注册过程。当VNF管理器在SC使能的网络中部署诸如SF 150和251至253和VNF 330和340等SF、SF的实例时，实施方法500。方法500分为认证和SF注册阶段、SF能力注册阶段以及SF实例注册阶段。

在认证和SF注册阶段，在步骤510处，VNF管理器向SF编排器发送SF注册请求消息以请求SF的注册。SF注册请求消息可以指示提供SF以及诸如SF类型的基本SF信息的厂商。在步骤515处，在接收到SF注册请求消息时，SF编排器向AAA实体发送认证请求消息以对厂商进行认证。在步骤520处，在成功认证厂商后，AAA实体向SF编排器发送认证授予消息，从而授予厂商访问权。在步骤525处，SF编排器将基本SF信息存储在SF目录DB中，诸如存储在SF DB 435中。在步骤530处，SF编排器向VNF管理器发送会话开始消息来开始会话以使用SF。

在SF能力注册阶段，在步骤535处，VNF管理器向SF编排器发送指示SF能力的能力信息消息。能力包括SF的报文层检测或处理能力、SF保持的上下文状态、SF采取的动作和SF支持的其它附加功能。报文层处理可以是在报头层，如媒体访问控制(media accesscontrol，MAC)头部、第四版因特网协议(Internet protocol version 4，IPv4)头部、第六版因特网协议(Internet protocol version 6，IPv6)头部、传输控制协议(transportcontrol protocol，TCP)头部和用户数据报协议(user datagramprotocol，UDP)头部。上下文状态可以包括时间、事件、协议状态、处理状态和会话状态。动作可以包括：过滤、传送和丢弃报文，调用统计模型的签名文件和监控执行状态。在步骤540处，在接收到能力信息消息时，SF编排器在SF目录DB中存储SF能力并编入索引。在步骤545处，SF编排器向VNF管理器发送能力响应来确认能力信息消息的接收。

在SF实例注册阶段，在步骤550处，VNF管理器向SF编排器发送指示与SF相关联的SF实例信息的SF实例信息消息。例如，SF实例信息可指示SF实例在网络中的位置(例如，地址)。在步骤555处，在接收到SF实例注册消息时，SF编排器在SF目录DB中存储SF实例信息并编入索引。在步骤560处，SF编排器向VNF管理器发送SF实例注册响应消息，以指示SF实例已注册。方法500还可以用于注册多个SF。例如，注册请求消息可以包括一系列SF的基本信息。每个SF的能力和SF实例可通过使用类似于步骤535至560的机制进行交互。下文更详尽地描述了SF注册请求消息的格式、会话开始消息、能力信息消息和SF实例信息消息。

图6为SF能力更新方法600的实施例的协议图。方法600由诸如系统100和200等SC使能的网络使用。方法600在VNF管理器与诸如SF编排器110和SF管理系统210等SF编排器之间实施，VNF管理器可为厂商特定SF管理器160和VNF管理器261至263等。在使用方法500注册诸如SF 150和251至253以及VNF 330和340等SF后，实施方法600。例如，SF的能力存储在SF DB 435等SF目录DB中。在步骤610处，VNF管理器向SF编排器发送指示SF的动态能力更新的能力更新消息。能力更新消息可包括与能力信息消息的格式类似的格式。在步骤620处，SF编排器根据能力更新来更新SF目录DB。在步骤630处，SF编排器向VNF管理器发送能力更新响应消息来确认能力更新消息的接收。SF编排器和VNF管理器还可以在一些时间间隔内交互保活消息来指示VNF管理器与SF编排器间的连接状态，例如，通过SF注册接口192和厂商接口292来交互。如图所示，在步骤640处，VNF管理器向SF编排器发送保活消息。在步骤650处，SF编排器向VNF管理器发送保活响应消息。或者，SF编排器可以向VNF管理器发送保活消息，而VNF管理器可以使用保活响应消息来响应。

图7为能力接口模型700的实施例的示意图。模型700在SF注册接口192和厂商接口292上使用。模型700为诸如厂商特定SF管理器160和VNF管理器261至263等厂商特定VNF管理器提供通用机制，以向SF编排器110和SF管理系统210等SF编排器表征和指示SF的能力，SF可为SF 150和251至253以及VNF 330和340等，如IETF草案文件draft-merged-i2nsf-franework-04.txt和draft-xia-i2nsf-capability-interface-im-04.txt中所述，这两个文件通过引用并入在本文中。许多基于流的SF，诸如FW、入侵检测系统(intrusiondetection system，IDS)等，基于报头和/或净荷进行操作。例如，FW分析报头并基于协议类型、源地址、目的地址、源端口、目的端口和/或其它报头属性执行策略。FW拒绝与策略不匹配的报文。可选地，FW可以执行附加功能，诸如记录和向系统管理员发送通知。IDS分析整个报文，即报头和净荷，以查找已知事件。当IDS检测到已知事件时，IDS生成详细说明该事件的日志消息。可选地，IDS可执行附加功能，例如向系统管理员发送通知。IPS分析整个报文，即报头和净荷，以查找已知事件。当IPS检测到已知事件时，IPS拒绝报文。可选地，IPS可以执行附加功能，例如向系统管理员发送通知。这样，基于流的SF用作了报文处理引擎，报文处理引擎直接检测或在与报文相关联的会话的上下文中检测遍历网络的报文。因此，SF能力可通过报文层检测的深度、上下文、动作和可选功能来表征。

如图所示，模型700包括安全策略组710，安全策略组710包括可应用于特定SF的多个策略720。每个策略720包括名称类别731、主题类别732、上下文类别733、和动作类别734。名称类别731指示策略720的名称和类型。

主题类别732指示SF的报文层检测能力。主题类别732可指示SF是否可用于区分网段、网络区域以及报文字段以进行处理。例如，出于管理和安全目的的考虑，网络，诸如网络170，可以被定义为多个区域或段。报文字段的一些示例可包括但不限于：OSI层2或MAC报头字段、OSI层3报头字段、IPv4报头字段、IPv6报头字段、TCP/流控制传输协议(streamcontrol transmission protocol，SCTP)/数据报拥塞控制协议(datagram congestioncontrol protocol，DCCP)报文字段、UDP报文字段、超文本传输协议(hypertext transferprotocol，HTTP)层字段、因特网工程任务组(Internet engineering task force，IETF)端口控制协议(port control protocol，PCP)字段，以及IETF中继穿透NAT(traversal usingrelays and NAT，TURN)更改和现代化(TURN revised and modernized，TRAM)字段。

上下文类别733指示匹配SF能力的上下文或对象，其可包括但不局限于：用户标识符(identifier，ID)、应用ID、业务ID、计时器ID、事件ID、状态。用户ID标识与业务流相关联的业务用户。应用ID标识与业务流相关联的应用。业务ID标识业务流的业务。计时器ID标识与业务流相关联的计时器。事件ID标识与业务流相关联的事件。状态可以包括认证状态、授权状态、计费状态，以及与业务流相关联的任何其它会话状态。

操作类别734表示SF的动作能力，其可包括诸如传送、丢弃、上报某些报文等基本动作以及诸如基于某些防病毒(antivirus，AV)、IPS签名和统一资源定位符(uniformresource locator，URL)过滤规则等动作的高级动作。动作还可以包括可选的或附加的功能，如监测，记录和通知等。

图8A至8D示出了服务层接口模型800的实施例。模型800在系统100中的编排器-控制器接口193和控制器网络接口194上采用，以及在系统200中的VNF接口293上采用。模型800为SF编排器110和SF管理系统210等网络管理实体提供了通用机制，以对如SF 150和251至253以及VNF 330和340等SF进行配置。模型800定义了SF的规则以处理报文。另外，模型800可以为SF定义用于监测SF的执行状态的方法。模型800扩展了由B.Moore等人在2001年2月出版的名为“策略核心信息模型-第1版规范(Policy Core Information Model--Version 1Specification)”的IETF意见征求稿(request for comment，RFC)3060号文件中的策略核心信息模型(policy core information model，PCIM)，使得模型700描述的SF策略配置能够实现。

图8A为服务层接口结构810的实施例的示意图。结构810包括由策略条件集合812和策略动作集合813组成的策略规则811。条件集合812指定策略规则811何时适用。动作集合813指定了当满足条件集合812时要执行的动作。

图8B为策略动作结构820的实施例的示意图。结构820示出了策略动作813的更详细的视图。如图所示，策略动作813由基本动作集合821和功能构成和/或配置文件822集合组成。基本动作821包括基本报文处理操作，诸如丢弃报文和传送报文等。功能和/或配置文件822包括更具体的方法和操作，例如，执行由诸如业务客户端180和280等客户端提供的新签名文件或统计模型。

图8C为策略条件结构830的实施例的示意图。结构830示出了策略条件812的更详细的视图。如图所示，策略条件812被表示为由基本策略条件832集合组成的复合策略条件831。可将诸如逻辑OR、逻辑AND以及任何其它逻辑运算符等复合算子应用到基本策略条件832集合来组成复合策略条件831。基本策略条件832由策略变量集合833组成。

图8D为策略变量结构840的实施例的示意图。结构840示出了策略变量833的更详细的视图。策略变量833由目标组841和策略上下文842组成。目标组841包括多个目标组850。每个目标组850包括MAC报头组件851、IPv4报头组件852、IPv6报头组件853、应用ID组件854、客户端ID组件855、业务类型组件856。目标组850可用于匹配数据流。策略上下文842包括与上下文状态有关的时间组件861、状态组件862、动作组件863。应注意，目标组850和策略上下文842用于匹配模型700。但是，目标组850和策略上下文842也可按本领域普通技术人员所确定的进行其它配置来实现类似功能。另外，可扩展模型800以用来表示具有汇聚策略规则811的策略组。

图9为SF目录DB 900一部分的实施例的示意图，SF目录DB 900一部分可以为SF DB435。DB 900是在注册期间(例如方法500中)和能力更新期间(例如方法600中)由SF编排器基于从VNF管理器接收到的SF基本信息和SF能力信息生成的，其中SF编排器可为SF编排器110和SF管理系统210等，SF可为SF 150和251至253以及VNF 330和340等，VNF管理器可为厂商特定SF管理器160和VNF管理器261至263等。DB 900包含厂商名称类别910、SF名称类别920、SF类型类别930、支持的策略类别940、动作类别950。厂商名称类别910存储了提供SF的厂商的厂商名称(例如X和Y)。SF名称类别920存储了SF的SF名称(例如A、B、C和D)。SF类型类别930存储了SF的SF类型(例如，FW、IPS、IDS和网页过滤器)。策略类别940存储了SF支持的策略，对应于模型700的主题类别732和上下文类别733。动作类别950存储了SF支持的动作，对应于模型700的动作类别734。DB 900可以按图所示配置，也可按本领域普通技术人员所确定的进行其它配置来实现类似功能。

图10为SF实例DB 1000一部分的实施例的示意图，SF实例DB 1000一部分可以为SFDB 435。DB 1000是在SF实例注册期间(例如方法500中)由SF编排器基于从VNF管理器接收到的SF的SF实例信息生成的，其中SF编排器可为SF编排器110和SF管理系统210等，SF可为SF 150和251至253以及VNF 330和340等，VNF管理器可为厂商特定SF管理器160和VNF管理器261至263等。DB 1000包括厂商名称类别1010、SF名称类别1020、SF类型类别1030、SF实例计数类别1040、SF实例定位器类别1050、支持的业务配置文件类别1060。厂商类别1010、SF名称类别1020和SF类型类别1030分别类似于厂商名称类别910、SF名称类别920和SF类型类别930。SF实例计数类别1040存储了对应SF的SF实例数目。SF实例定位器类别1050存储了对应的SF的SF实例的地址列表。支持的业务配置文件类别1060类似于策略类别940和动作类别950。DB 1000可如图所示进行配置，也可按本领域普通技术人员所确定的进行其它配置来实现类似功能。DB 900和1000可存储为单独的DB或存储为单个DB。

图11为用于执行SF注册的方法1100的实施例的流程图。方法1100由SF编排器110和SF管理系统210等SF编排器和NE 400实施。方法1100在第三方SF管理器在网络中向SF编排器注册SF时实施，其中，第三方SF管理器可为厂商特定管理器160和VNF管理器261至263等，SF可为SF 150和251至253以及VNF 330和340等，网络可为系统100和200等。方法1100使用的机制与系统100和200以及方法500中描述的类似。在步骤1110处，接收来自第三方SF管理器的用于请求注册SF的注册请求消息，SF包括网络中的SF的至少一个SF实例。注册请求消息包括标识SF的厂商的厂商标识信息和标识SF的SF标识信息。在步骤1120处，向AAA实体发送认证请求消息以请求对厂商进行认证。在步骤1130处，从AAA实体接收包括厂商的认证授予的认证授予消息。在步骤1140处，接收到认证授予消息后，向第三方SF管理器发送会话开始消息以开始与第三方SF管理器的会话。在步骤1150处，从第三方SF管理器接收指示与SF相关联的厂商特定能力信息的能力信息消息。例如，能力信息以模型700的形式表示。在步骤1160处，在类似DB 900和435的SF目录DB中将能力信息编入索引。在步骤1170处，从第三方SF管理器接收指示与SF实例相关联的位置信息的SF实例信息消息。在步骤1180处，位置信息被存储在类似DB 1000和435的SF实例DB中。下文更详尽地描述了SF注册请求消息的格式、会话开始消息、能力信息消息、SF实例信息消息。

图12为用于配置诸如SF 150以及VNF 330和340等SF的方法1200的实施例的流程图。方法1200由SF编排器110和SF管理系统210等SF编排器和NE 400实施。方法1200使用的机制与系统100和200中描述的类似。方法1200在网络中向第三方SF管理器注册SF完成后实施，其中第三方SF管理器可为第三方SF管理器160和VNF管理器261至263等，网络可为系统100和200等。例如，使用方法1100执行注册，在诸如DB 900、1000、435等SF目录DB中将SF能力信息编入索引。在步骤1210处，从诸如业务客户端180和280等客户端接收用于请求SC使能的网络中的业务的业务请求消息和用于该业务的策略。客户端的策略包括面向业务的规则，如业务的高层或抽象权限控制。在步骤1220处，确定该业务与SF相关联。例如，SF编排器分析请求，选择SF来满足该请求，并生成SC来利用SF。在步骤1230处，通过利用SF来生成SC。SC的生成可以包括用于将SC使能的网络中的SC实例化的分类策略和转发策略的确定。在步骤1240处，根据策略和在SF目录DB中编入索引的SF索引能力信息生成SF的配置。例如，SF配置为模型800的形式。在步骤1250处，发送SF配置消息，以根据SF配置促进SF实例的执行。例如，SF配置消息包括分类策略和转发策略。可以将SF配置消息发送到SDN控制器，诸如SDN控制器120或诸如VNF控制器310等VNF控制器。

图13为用于在SC使能的网络中动态更新SF能力的方法1300的实施例的流程图，SF可为SF 150和251至253以及VNF 330和340等，SC使能的网络可为系统100和200等。方法1300由诸如SF编排器110和SF管理系统210等SF编排器和NE 400实施。方法1300类似于方法600。方法1300在SC使能的网络中向第三方SF管理器注册SF完成后实施，其中，第三方SF管理器可为厂商特定SF管理器160和VNF管理器261至263等。例如，通过使用方法1100执行注册，在DB 900和435等SF目录DB中将SF能力信息编入索引。在步骤1310处，从第三方SF管理器接收指示SF的能力信息的动态更新的能力更新消息。能力更新消息包括与模型700类似的信息类别。在步骤1320处，SF目录DB根据接收到的动态更新进行更新。

图14为用于管理系统300等分层VNF控制器系统的方法1400的实施例的流程图。方法1400由VNF控制器310等VNF控制器和NE 400实施。当在由子控制器管理的SC使能的网络中调度SF配置给SF时，实施方法1400，其中，SF可为SF 150和251至253等，SC使能的网络可为系统100和200等，子控制器可为子控制器320等。在步骤1410处，从SDN控制器120等网络控制器接收第一SF配置消息，第一SF配置消息指示位于SC网络中的SF的第一SF实例的第一策略。在步骤1420处，确定第一SF实例为SF的与多个子控制器中的第一个相关联的第一多个SF实例中的一个。例如，第一SF实例对应于VNF-A集群中的VNF 330，第一子控制器对应于子控制器A 320。在步骤1430处，向第一子控制器发送指示第一子控制器向第一SF实例调度第一策略的第二SF配置消息。在步骤1440处，从网络控制器接收第三SF配置消息，第三SF配置消息指示位于SC网络中的SF的第二SF实例的第二策略。在步骤1450处，确定第二SF实例为SF的与多个子控制器中的第二个相关联的第二多个SF实例的中的一个。例如，第二SF实例对应于VNF-B集群中的VNF 340，第二子控制器对应于子控制器B320。在步骤1460处，向第二子控制器发送指示第二子控制器向第二SF实例调度第二策略的第四SF配置消息。

图15为用于管理系统300等分层VNF控制器系统的方法1500的另一实施例的流程图。方法1500由VNF控制器310等VNF控制器和NE 400实施。当在SC使能的网络中重新配置了与SF的第一实例相关联的业务流时，实施方法1500，其中SF可为SF150和251至253以及VNF330和340等，SC使能的网络可为系统100和200等。在步骤1510处，获取指示业务流被重新配置的信息，其中重新配置将业务流与SF的第二SF实例而非第一SF实例相关联。第一SF实例为与该业务流相关联的SF的实例化。在步骤1520处，确定第二SF实例为SF的与多个子控制器中的第二个相关联的第二多个SF实例的中的一个。例如，当第一SF实例与该业务流相关联时，VNF控制器之前已接收了第一SF实例的第一策略。在步骤1530处，向第二子控制器发送指示第二子控制器向第二SF实例调度第一策略的第三SF配置消息。例如，VNF控制器可以将第一策略从第一SF实例移动或复制到第二SF实例。

图16为用于促进在SC使能的网络中的业务流中业务转发的方法1600的实施例的流程图，SC使能的网络可为系统100和200等，业务流可为业务流183等。方法1600由VNF控制器310等VNF控制器和NE 400在系统300等分层VNF控制器系统中实施。例如，VNF控制器管理网络中诸如SF 150和251至253等SF以及VNF 330和340的实例池。方法1600在SDN控制器120等网络控制器在网络中配置业务流后实施，其中业务流穿越第一SF实例。例如，第一SF实例由子控制器320等子控制器控制，子控制器由VNF控制器控制。在步骤1610处，从子控制器接收SF实例的位置信息。在步骤1620处，向网络控制器发送指示与第一SF实例相关联的位置信息的SF实例位置消息，以便能够向第一SF实例转发与业务流相关联的业务。

下面的实施例示出了在注册过程内VNF管理器与SF编排器之间交互的消息的具体内容，其中注册过程可为方法500和1100等，VNF管理器可为厂商特定SF管理器160和VNF管理器261至263等，SF编排器可为SF编排器110和SF管理系统210等。下面示出了VNF管理器(例如，在步骤510处)发送的SF注册请求消息的示例数据类型：

厂商名称字段包括指示提供SF的厂商的名称的字符串。厂商代码字段包括指示厂商的厂商代码的无符号32位整数(uint32)。例如，可以预先批准厂商代码以在SF编排器的网络中操作。SF名称字段包括指示SF的名称的字符串。SF类型字段包括指示SF的SF类型的字符串。SF ID字段包括指示SF的ID的uint32。

下面示出了SF编排器(例如，在步骤530处)发送的会话开始消息的示例数据类型：

会话ID字段包括标识SF编排器与VNF之间的会话的uint32。会话密钥字段包括标识在会话中使用的密钥的unit32。Interested_SF通过SF ID向SF编排器指示感兴趣的SF列表。

下面示出了VNF管理器(例如，在步骤535处)发送的能力信息消息的示例数据类型：

主题字段包括指示SF支持或检测的报头类型的Supported_Header数据。上下文字段包括指示SF支持或保持的上下文状态的Supported_Context数据。动作字段包括指示SF可使用的动作的Supported_Action数据。功能字段包括指示SF可以调用的附加功能的Supported_Function数据。

下面示出了Supported_Header数据类型的示例：

Instance_Ctrl字段指示SF是否支持IPv6和/或IPv4处理。SC_header字段指示SF支持的SC报头类型。例如，SC_header字段可以指示NSH、虚拟局域网(virtual local areanetwork，VLAN)和/或多协议标签交换(multiprotocol label switching，MPLS)。Supported_L2_header字段指示SF支持的OSI层2报头字段。例如，Supported_L2报头字段可以指示一个源地址(source address，src addr)、目的地址(destination address,dstaddr)、业务VLAN ID(service-VLAN ID，s-VID)、客户VLAN ID(customer-VLAN ID，c-VID)、以太网类型(Ethernet type，EtherType)和/或任何其它L2报头字段。Supported_L3header_IPv4字段指示SF支持的IPv4报头字段。Supported_L3 header_IPv4字段可以指示源端口(source port，src port)、src addr、目的端口(destination port，dst port)、dst addr、差分服务码点(differentiated services code point，DSCP)字段、长度、标志、生存时间(time-to-live，TTL)字段和/或任何其它IPv4报头字段。Supported_L3 header_IPv6字段指示SF支持的IPv6报头字段，并可以是任何IPv6报头字段。支持TCP_flags字段指示的SF支持的TCP标志。Supported_SCTP字段、Supported_DCCP字段、Supported_UDP_flags字段和HTTP_layer字段指示SF支持的SCTP报文字段、DCCP报文字段、UDP报文字段和HTTP层字段。IETC_PCP字段指示SF是否支持IETF PCP。

下面示出了Supported_Context数据类型的示例：

定时器字段指示SF支持的时间上下文。例如，定时器字段可指示时间跨度、开始时间和停止时间。方向字段指示SF支持的流方向。事件字段指示SF支持的事件。会话字段指示SF支持的会话相关参数。状态字段指示SF支持的处理状态。

下面示出了Supported_Action数据类型的示例：

Action_list字段指示SF支持的动作列表。Egress_encap字段指示SF支持的出口封装的类型。

下面示出了Supported_Function数据类型的示例：

Function_URL字段指示SF可调用的附加功能。

下面示出了VNF管理器(例如，在步骤550处)发送的SF实例注册请求消息的示例数据类型：

SF ID字段包括指示标识SF的ID的uin32。Instance_locator字段包括SF实例的位置信息列表。例如，位置信息可以包括IPv4地址、IPv6地址以及连接类型。

在一实施例中，客户可使用所公开的机制来注册和/或取消订阅VNF。在另一实施例中，网络运营商可以使用所公开的实施例基于具体配置或公共安全策略来配置VNF。在其它一些实施例中，网络运营商可以使用所公开的实施例来获取VNF的特征和通过商业渠道将VNF推销给客户。

虽然本发明中已提供若干实施例，但应理解，在不脱离本发明的精神或范围的情况下，本发明所公开的系统和方法可以以许多其它特定形式来体现。本发明的示例应被视为说明性而非限制性的，且本发明并不限于本文本所给出的细节。例如，各种元件或部件可以在另一系统中组合或合并，或者某些特征可以省略或不实施。

此外，在不脱离本发明的范围的情况下，各种实施例中描述和说明为离散或单独的技术、系统、子系统和方法可以与其它系统、模块、技术或方法进行组合或合并。展示或论述为彼此耦合或直接耦合或通信的其它项也可以采用电方式、机械方式或其它方式通过某一接口、设备或中间部件间接地耦合或通信。其它变化、替代和改变的示例可以由本领域的技术人员在不脱离本文精神和所公开的范围的情况下确定。