CN105577637B - 用于安全虚拟网络功能间通信的计算设备、方法和机器可读存储介质 - Google Patents
用于安全虚拟网络功能间通信的计算设备、方法和机器可读存储介质 Download PDFInfo
- Publication number
- CN105577637B CN105577637B CN201510621947.9A CN201510621947A CN105577637B CN 105577637 B CN105577637 B CN 105577637B CN 201510621947 A CN201510621947 A CN 201510621947A CN 105577637 B CN105577637 B CN 105577637B
- Authority
- CN
- China
- Prior art keywords
- vnf
- vnfc
- calculating equipment
- network
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0877—Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
用于安全虚拟网络功能间通信的技术包括计算设备基于所述计算设备的安全策略确定用于通过虚拟网络功能(VNF)间网络、虚拟网络功能组件(VNFC)间网络或VNF‑VNFC网络中的至少一个的安全通信的密码密钥;以及。所述计算设备使用所确定的密码密钥通过所述VNF间、VNFC间或VNF‑VNFC网络中的所述至少一个安全地进行通信。
Description
背景技术
各种技术规范定义了全世界的网络运营商和服务提供商部署和管理网络功能和服务的方式。例如,规范定义了使用虚拟化平台递送服务并且服务内的组件经常可以被“链(chained)”在一起。这种技术规范包括例如欧洲电信标准协会网络功能虚拟化标准(ETSINFV)。在某些情况下,运营商可能要求以无修改的方式运行各种网络功能的能力。在虚拟化环境中,这样做可允许网络功能提供商在虚拟化平台上运行现有的工作负载,这经常转换成所有平台间通信都不被信任的安全要求(例如,在分布式部署实现方式中)。然而,通过未受保护的网络的现有的敏感的虚拟网络功能(VNF)间和VNF组件(VNFC)间通信可能导致未授权的数据监听、数据更改、数据复制、网络路由、隐私泄露和/或其他安全担忧。
附图说明
通过举例而非通过限制在附图中示出在此描述的概念。为了说明简单和清晰,图中所示元素无需按比例绘制。当认为合适时,已经在附图中重复参照标号以便表明相应的或类似的元素。
图1是用于安全虚拟网络功能间通信的系统的至少一个实施例的简化框图;
图2是图1的系统的骨干网络系统的至少一个实施例的简化框图;
图3是图2的骨干系统的服务器的至少一个实施例的简化框图;
图4是图3的服务器的环境的至少一个实施例的简化框图;
图5是可由图3的服务器执行的用于建立用于安全虚拟网络功能间通信的密码密钥的方法的至少一个实施例的简化流程图;以及
图6是可由图3的服务器执行的用于安全虚拟网络功能间通信的方法的至少一个实施例的简化流程图。
具体实施方式
尽管本公开的概念可受到各种修改和替代形式,已经通过举例在附图中示出并且将在此详细地描述其特定实施例。然而,应当理解的是不旨在将本公开的概念限制为所公开的具体形式,而是相反,本发明涵盖与本公开和所附权利要求书一致的所有修改、等效方案和替代方案。
在说明书中对“一个实施例”、“实施例”、“说明性实施例”等等的引用表明所描述的实施例可包括具体的特征、结构或特性,但是每个实施例可无需包括该具体的特征、结构或特性。而且,这种短语无需指代相同的实施例。而且,当结合实施例描述具体的特征、结构或特性时,认为其在本领域普通技术人员结合显式地或未显式地描述的其他实施例实施这种特征、结构或特性的知识范围内。此外,应当认识到列表中包括的“至少一个A、B和C”形式的项目可意味着(A);(B);(C):(A和B);(B和C);(A和C);或(A、B和C)。类似地,以“A、B、和C中的至少一个”的形式列出的项目可指(A);(B);(C):(A和B);(B和C);(A和C);或(A、B和C)。
在某些情况下,可在硬件、固件、软件、或其任何组合中实现所公开的实施例。所公开的实施例还可被实现为由一个或多个瞬态或非瞬态机器可读(例如计算机可读)存储介质携带或存储在其上的指令,这些指令可由一个或多个处理器读取并执行。机器可读存储介质可被实施为任何用于存储或传输机器(例如,易失性或非易失性存储器、介质盘、或其他介质设备)可读形式的信息的存储设备、机构、或其他物理结构。
在附图中,可用特定安排和/或排序示出某些结构或方法特征。然而,应当认识到可不要求这种特定安排和/或排序。而是,在某些实施例中,可用与说明性附图中示出的不同的方式和/或顺序安排这种特征。此外,具体附图中包括结构或方法特征不意味着暗示在所有实施例中要求这种特征以及在某些实施例中可不包括这种特征或者这种特征可与其他特征组合。
现在参照图1,用于安全虚拟网络功能间通信的系统100说明性地包括骨干网络系统102、回程网络系统104、一个或多个塔系统106以及一个或多个用户设备108。在说明性实施例中,用户设备108通过塔系统106与回程网络系统104通信,并且回程网络系统104确保适当的数据分组被路由到骨干网络系统102以供处理和/或进一步路由。应当认识到骨干网络系统102、回程网络系统104、塔系统106以及用户设备108各自可被实施为用于执行在此描述的功能的任何合适的设备或设备集合。在说明性实施例中,骨干网络系统102、回程网络系统104以及塔系统106各自实现用户设备108和/或其他设备之间的远程通信(例如,通过互联网)。此外,取决于具体的实现方式,骨干网络系统102、回程网络系统104以及塔系统106可包括任何数量的设备、网络、路由器、交换机、计算机和/或其他介入设备以便促成其相应的功能。
在某些实施例中,骨干网络系统102可被实施为具有虚拟演进分组核(vEPC)架构的基于网络功能虚拟化(NFV)的长期演进(LTE)骨干网络。应当认识到骨干网络系统102可用作集中式网络并且在某些实施例中可通信地耦合到另一个网络(例如,互联网)。在说明性实施例中,回程网络系统104包括通信地(例如,通过中间链路)将骨干网络系统102耦合到塔系统106、子网络和/或边缘网络的一个或多个设备。在某些实施例中,回程网络系统104可被实施为LTE回程网络系统并且可包括各种网络,包括例如T1、IP、光、ATM、租赁和/或其他网络。
塔系统106包括被配置成用于许可通信设备(例如移动计算设备(例如,移动电话)和/或其他用户设备108)彼此和/或与其他远程设备通信的硬件。在这样做时,塔系统106使用户设备108能与回程网络系统104通信。在某些实施例中,塔系统106中的一个或多个可包括或以其他方式被实施为被配置成用于直接或间接与用户设备108中的一个或多个(例如,移动计算设备手机)进行通信的基站(eNodeB)。此外,取决于具体的实现方式,塔系统106可包括或用作例如基站收发器(BTS)或另一个基站/系统。用户设备108可被实施为能够执行在此描述的功能的任何类型的计算设备。例如,在使用LTE回程和骨干系统的实施例中,用户设备108可被实施为移动计算设备(例如,智能电话)并且可被配置成用于利用蜂窝网络。
如以下更详细描述的,系统100或更具体地系统102可利用各种虚拟网络功能同时确保VNF间和VNFC间通信(例如,VNF-VNF通信、VNFC-VNFC通信和/或VNF-VNFC通信)受到保护。此外,在某些实施例中,系统100许可这种通信而不要求供应商修改他们的VNF并且因此避免潜在地笨拙的部署场景。
现在参照图2,在说明性实施例中,骨干网络系统102包括一个或多个VNF 202、一个或多个服务器204和管理系统206。此外,在说明性实施例中,管理系统206包括编排器(orchestrator)208、一个或多个VNF管理器210和一个或多个虚拟基础设施管理器(VIM)212。尽管编排器208、VNF管理器210和VIM 212在说明性实施例中被示出为独立设备或组件,但应当认识到编排器208、VNF管理器210和/或VIM 212在其他实施例中可被体现在相同或不同的设备上(例如,一个或多个服务器)。此外,在某些实施例中,系统102可被实施为不同于图1的骨干网络系统102的系统。应当进一步认识到在某些实施例中,服务器204各自可包括类似的硬件、软件和/或固件组件。
现在参照图3,示出了系统102的服务器204的说明性实施例。如所示,说明性服务器204包括处理器310、输入/输出(“I/O”子系统)312、存储器314、数据存储设备316、通信电路318以及一个或多个外围设备320。此外,在某些实施例中,服务器204可包括安全协处理器322。当然,在其他实施例中,服务器204可包括其他或附加组件,诸如通常在典型的计算设备中发现的那些(例如,各种输入输出设备和/或其他组件)。此外,在某些实施例中,说明性组件中的一个或多个可被结合到另一个组件中或者以其他方式形成其一部分。例如,在某些实施例中,存储器314或其部分可被结合到处理器310中。
处理器310可被实施为能够执行在此描述的功能的任何类型的处理器。例如,处理器310可被实施为单核或多核处理器、数字信号处理器、微控制器、或其他处理器或处理/控制电路。如所示,处理器310可包括一个或多个高速缓存存储器324。应当认识到,存储器314可被实施为能够执行在此描述的功能的任何类型的易失性或非易失性存储器或数据存储设备。在操作中,存储器314可存储在服务器204的操作期间使用的各种数据和软件,诸如操作系统、应用、程序、库和驱动程序。存储器314通过I/O子系统312通信地耦合到处理器310,其可被实施为用于促成与服务器204的处理器310、存储器314、以及其他组件的输入/输出操作的电路和/或组件。例如,I/O子系统312可被实施为或以其他方式包括存储器控制器中枢、输入/输出控制中枢、固件设备、通信链路(即,点到点链路、总线链路、导线、线缆、光导、印刷电路板迹线等等)和/或用于促成输入/输出操作的其他组件及子系统。在某些实施例中,I/O子系统312可形成片上系统(SoC)的一部分并且可与服务器204的处理器310、存储器314和其他组件一起结合到单个集成电路芯片上。
数据存储设备316可被实施为被配置成用于数据的短期或长期存储的任何类型的设备,诸如存储器设备和电路、存储器卡、硬盘驱动器、固态驱动器或其他数据存储设备。数据存储设备316和/或存储器314可存储在服务器204的操作期间用于执行在此描述的功能的各种数据。
通信电路318可被实施为能够允许服务器204和其他远程设备之间通过网络通信的任何通信电路、设备、或其集合。通信电路318可被配置成用于使用任何一种或多种通信技术(例如,无线通信或有线通信)和相关联的协议(例如,以太网、WiMAX等等)以使这种通信生效。在某些实施例中,通信电路318包括蜂窝通信电路和/或其他长距离无线通信电路。此外,在某些实施例中,通信电路318包括被配置成用于与远程设备(例如,其他服务器204)通信的物理网络交换机,诸如网络接口卡(NIC)。
外围设备320可包括任何数量的附加外围或接口设备,诸如扬声器、麦克风、附加存储设备等等。包括在外围设备320中的具体设备可取决于例如服务器204的类型和/或预期用途。
如果包括的话,安全协处理器322可被实施为能够执行安全功能、密码功能和/或建立信任执行环境的任何硬件组件或电路。例如,在某些实施例中,安全协处理器322可被实施为信任平台模块(TPM)或带外处理器。此外,在某些实施例中,安全协处理器322可建立与远程设备(例如,其他服务器204的相应的安全协处理器322)的带外通信链路。
返回参照图2,如所示,系统102包括一个或多个虚拟网络功能(VNF)202,其中的每一个可包括一个或多个虚拟网络功能组件(VNFC)214。应当认识到VNF 202可被实施为任何合适的虚拟网络功能;类似地,VNFC 214可被实施为任何合适的VNF组件。例如,在某些实施例中,VNF 202可包括安全网关(SGW)、分组数据网络网关(PNG)、计费功能和/或其他虚拟网络功能。在某些实施例中,具体的VNF 202可具有多个子实例,其可在相同的服务器204或不同的服务器204上执行。换言之,当虚拟化时,与具体的服务器204协同定位的物理硬件传统地处理的网络功能可被跨服务器204中的一个或多个分布为VNF 202。在说明性实施例中,VNFC 214是协作以便递送一个或多个VNF 202的功能的进程和/或实例。例如,在某些实施例中,VNFC 214是VNF 202的子模块。类似于VNF 202,应当认识到VNFC 214可跨一个或多个服务器204分布。此外,应当认识到具体的VNFC 214可跨多个服务器204分布并且仍形成在单个服务器204上建立的VNF 202的一部分。具体地,在某些实施例中,VNF 202和/或VNFC214可在相同的服务器204上执行。在其他实施例中,VNF 202和/或VNFC 214可在相同的数据中心内但是在不同的服务器204上执行。在其他实施例中,VNF 202和/或VNFC 214可跨不同的数据中心执行。
如在此所描述的,在说明性实施例中,一个或多个服务器204的VNF 202可通过例如VNF间通信网络234经由一个或多个VNF间(VNF-VNF)通信机构彼此通信。类似地,一个或多个服务器204的VNFC 214可通过例如VNFC间通信网络236经由一个或多个VNFC间通信机构彼此通信。此外,在某些实施例中,一个或多个服务器204的VNF 202可通过VNF-VNFC通信网络(未示出)经由一个或多个VNF-VNFC通信机构与一个或多个服务器204的VNFC 214通信。应当认识到VNF-VNF、VNFC-VNFC和VNF-VNFC通信机构可被实施为被配置成用于实现这种通信的任何合适的机构。例如,在某些实施例中,VNF 202和/或VNFC 214可使用具有监管程序和分组解析的开放交换机、基于标准格式的格式化分组、共享存储器(例如,监管程序所预留的物理/虚拟存储器)通过物理网络交换机和/或其他合适的机构与彼此通信。
在图2的说明性实施例中,服务器204中的每一个包括网络功能虚拟化基础设施(NFVI)216,其包括监管程序218、信任执行环境(TEE)220、物理资源222和虚拟资源224。此外,监管程序218包括一个或多个API 226、虚拟交换机(vSwitch)228、一个或多个加密信道230和共享存储器232。当然,在某些实施例中,服务器204可包括附加组件,为了本描述的清晰对其进行了省略。如下所述,在说明性实施例中,服务器204的相应的网络功能虚拟化基础设施(NFVI)216确保VNF-VNF、VNFC-VNFC和VNF-VNFC通信是安全的。
监管程序218或虚拟机监视器在相应的服务器204上运行一个或多个虚拟机(VM)。这样,监管程序218可建立和/或利用各种虚拟化硬件资源(例如,虚拟存储器、虚拟操作系统、虚拟联网组件等等)。包括在监管程序218和/或服务器204中的具体的API 226通常可取决于具体的服务器204变化。在某些实施例中,API 216包括一个或多个专用API。在某些实施例中,API 216可提供TEE 220对(例如,与具体的VNF 202相关联的)分组的访问。虚拟交换机228可用于实施网络策略和/或实施行动(例如,丢弃分组、监控流、执行深度检查、执行修复行动等等)。例如,虚拟交换机228可许可系统102内的虚拟机(VM)的联网。在某些实施例中,会话密钥和/或其他密码密钥可由虚拟交换机228用于确保VNF-VNF、VNFC-VNFC和VNF-VNFC通信是安全的。如下所述,在某些实施例中,服务器204可建立用于安全通信的加密信道230(例如,用于VNF-VNF、VNFC-VNFC和/或VNF-VNFC通信)。在某些实施例中,NFVI216可使用建立信任根的熔丝密钥和/或其他密码密钥建立加密信道230。此外,在某些实施例中,一个或多个VM、VNF 202和/或VNFC 214可利用共享存储器232。例如,在某些实施例中,VNF 202和VNFC 214可利用共享存储器232与彼此通信。应当认识到取决于具体实施例,共享存储器232可包括物理存储器和/或虚拟存储器。
如上所述,NFVI 216还包括TEE 220、物理资源222和虚拟资源224。在说明性实施例中,TEE 220被建立为安全飞地,诸如软件保护扩展(SGX)。然而,在其他实施例中,TEE 220可以其他方式被建立为例如可管理性引擎(ME)、信任平台模块(TPM)、创新引擎(IE)、安全分区、分离处理器核和/或以其他方式建立。例如,在某些实施例中,TEE 220可被实施为安全协处理器322或通过安全协处理器322建立。如在此所讨论的,TEE 220被配置成用于执行NFVI 216的各种密钥管理功能、密码功能和/或其他安全功能以便确保VNF-VNF、VNFC-VNFC和VNF-VNFC通信受到保护。例如,TEE 220可响应于实体的实例化建立用于各种通信实体(例如,VNF和VNFV)的密码密钥(例如,基密钥和/或会话密钥)。在某些实施例中,可基于例如相应的服务器204所发现的具体VNF 202和VNFC 214在给定的时间动态地更新会话密钥。应当认识到在说明性实施例中TEE 220可通过带外通信网络与彼此通信。
物理资源222和虚拟资源224可被实施为适合用于执行在此描述的功能的任何物理和虚拟资源。在说明性实施例中,物理资源222包括计算硬件、存储硬件和网络硬件;类似地,虚拟资源224包括虚拟计算资源、虚拟存储设备和虚拟联网资源。例如,在某些实施例中,物理资源222可包括存储器(例如,易失性和/或非易失性存储器或数据存储设备)、高速缓存、引擎(例如,SoC、图形引擎、安全引擎、音频引擎、密码模块、TPM、协处理器、通信链路或信道、交换机和/或被配置成用于处理或以其他方式处理数据的另一个引擎)、和/或网络接口(例如,NIC)。此外,在某些实施例中,虚拟资源224可包括软件定义存储、软件定义联网模块和/或其他软件定义资源。
如上所述,管理系统206包括编排器208、一个或多个VNF管理器210和一个或多个VIM 212。在说明性实施例中,NFVI 216可利用VNF发现机制以便监控编排器208和/或VNF管理器210的消息传送。这样,当具体的VNF 202或VNFC 214被实例化时,NFVI 216发现该实例化实体。VNF管理器210负责管理扩展和部署。例如,VNF管理器210可指令各种服务器204将具体的VNF 202和/或VNFC 214实例化。在这样做时,VNF管理器210可咨询VIM 212,其标识可用于部署VNF 202和/或VNFC 214的具体服务器204。应当认识到VIM 212可使用任何合适的技术、算法和/或机制做出这种确定。在某些实施例中,编排器208指令具有针对实体的所期望的保护类型的VIM 212以及因此相关联的服务链,并且VIM 212确保那些服务链被建立。在说明性实施例中,相应的VNF 202和VNFC 214与彼此通信以便创建相关的服务功能链并向彼此传输网络分组(例如,TCP/IP分组、IP路由更新、控制通信量、基于802.11的分组、LTE/3G栈、传统分组等等)。在某些实施例中,VNF 202和/或VNFC 214可通过服务发现协议、DND和/或其他发现机制发现彼此。
此外,在说明性实施例中,管理系统206向与所部署的VNF 202和/或VNFC 214相关联的服务器(例如,实体被部署到其上)传输安全策略408。安全策略408可指示例如VNF-VNF、VNFC-VNFC和/或VNF-VNFC通信应当由其保护的情况和/或程序。例如,在某些实施例中,安全策略408可指示NFVI 216没有必要加密VNF 202和/或VNFC 214之间的被限制在单个服务器204内的通信,而是应当加密其他通信。在这种实施例中,安全策略408可将监管程序218所负担得起的保护视为充分的保护。在其他实施例中,安全策略408可指示应当保护所有VNF-VNF、VNFC-VNFC和VNF-VNFC通信而不管源和目的服务器204如何。此外,在某些实施例中,安全策略408基于所确定的服务链标识一个或多个分组的过程/通信量流。应当进一步认识到在某些实施例中管理系统206可确保满足与VNF-VNF、VNFC-VNFC和VNF-VNFC通信相关联的管控要求(例如,管控特定的密码算法、密钥大小、块大小、单向或双向通信量保护等等)(例如,通过并入安全策略408中)。
编排器208、VNF管理器210和VIM 212可被实施为能够执行在此所描述的功能的任何服务器或计算设备。此外,编排器208、VNF管理器210和VIM 212可包括类似于以上描述的服务器204的组件和/或通常在图2中出于说明书清晰的目的未示出的服务器(诸如处理器、存储器、I/O子系统、数据存储设备、外围设备等等)中发现的组件类似的组件。
现在参照图4,在使用时,服务器204中的一个或多个建立用于安全虚拟网络功能间通信或者更具体地用于安全VNF-VNF、VNFC-VNFC和/或VNF-VNFC通信的环境400。说明性环境400包括网络功能虚拟化基础设施(NFVI)模块402和通信模块404。此外,NFVI模块402包括信任执行环境模块406。环境400的每个模块可被实施为硬件、固件、软件或其组合。此外,在某些实施例中,说明性模块中的一个或多个可形成另一个模块的一部分和/或说明性模块中的一个或多个可体现为单独的或独立的模块。例如,环境400的模块、逻辑和其他组件各自可形成服务器204的处理器310的一部分或以其他方式由服务器204的处理器310建立。
NFVI模块402被配置成用于执行各种密钥管理功能、密码功能、安全通信信道管理和/或其他安全功能以便在相关安全策略408所要求的程度上确保VNF-VNF、VNFC-VNFC和VNF-VNFC通信被保护。应当认识到在某些实施例中保护VNF和VNFC通信(例如,经由加密通信或以其他方式安全通信信道)许可VNF 202和VNFC 214跨各种拓扑无修改地运行(即,可任意地选择具体拓扑)。此外,如下所述,NVFI模块402可对VNF 202和/或VNFC 214透明地执行密钥管理(例如,而不将密钥和/或密钥管理元数据暴露到NVFI模块402外部)。此外,NVFI模块402可利用熔丝/根密钥(例如,由OEM或组件制造商建立)作为用于在信任执行环境模块406和另一个服务器204的相应的信任执行环境模块406之间建立安全通信信道的基础密码密钥。此外,如下所述,在某些实施例中,NVFI模块402可动态地在VNF 202和/或VNFC 214之间建立和/或更新安全会话,阻止在实体(例如,VNF 202和/或VNFC 214)之间建立安全(例如,经由加密密钥和/或信道)之前发生通信,在VNF 202(例如,VNF-VNF、VNFC-VNFC和/或VNF-VNFC通信量)之间实施通信通信量(例如,全部通信量)的安全处理,仅许可具有建立的安全策略408的VNF 202和/或VNFC 214彼此通信,和/或在各种粒度(例如,相应分组上的全部通信量、管理和/或控制通信量、每分组、每流、每策略头等等)执行安全处理。应当认识到在某些实施例中每个VNF 202、VNFC 214、过程流和/或通信实体配对(例如,具体的VNF202和其他VNF 202)可具有用于安全通信的分开的密码密钥(或密码密钥集合)并且还可具有分开的安全策略408。安全策略408可标识例如密钥寿命/有效期、密钥是否可持久(例如,在存储设备中)、密钥更新要求和/或与NVFI模块402所使用的密码密钥相关联的其他参数。
NVFI模块402的信任执行环境(TEE)模块406在服务器204内建立信任执行环境(例如,TEE 220)或以其他方式的安全环境并且执行用于服务器204的VNF 202和VNFC 214与其他VNF 202和VNFC 214(例如,在相同的服务器204或远程服务器204上实例化的)之间的安全通信的各种密码功能。取决于具体实施例,TEE模块406可处理密码密钥、签名、散列的生成和验证,和/或执行其他密码功能。在某些实施例中,TEE 220可与另一个服务器204的相应的TEE 220建立信任关系。例如,在这样做时,TEE 220可执行密码密钥交换。在某些实施例中,TEE 220可通过所建立的加密信道和/或以其他方式安全信道彼此通信。如上所述,在某些实施例中,TEE 220可通过带外通信信道(即,与相应的服务器204之间的公共通信信道分开的通信信道)彼此通信。在某些实施例中,TEE模块406(例如,TEE 220)检测新VNF 202或VNFC 214的实例化并且生成相应的密码密钥,如在此所描述的。应当认识到这种检测可通过任何合适的算法、技术和/或机制发生。例如,在某些实施例中,TEE模块406可通过在监管程序218和TEE 220(例如,HECI)之间建立的驱动程序,通过经由控制和管理通信信道(例如,通过VIM 212)从VNF管理器210传输到NFVI 216的信号和/或通过REST API(例如,使用JSON数据格式),来检测VNF 202或VNFC 214的实例化。
通信模块404处理服务器204和远程设备(例如,其他服务器204)之间通过合适的网络的通信。例如,如上所述,两个服务器204的TEE 220可通过带外通信信道或经由加密信道彼此通信。
现在参照图5,在使用时,服务器204可执行用于建立用于安全虚拟网络功能间通信的密码密钥或者更具体地用于建立用于安全VNF-VNF、VNFC-VNFC和/或VNF-VNFC通信的密码密钥的方法500。应当认识到在某些实施例中服务器204通过NVFI模块402(例如,NVFI216)执行方法500。说明性方法500以框502开始,其中服务器204从管理系统206接收安全策略408。在这样做时,在框504中,服务器204可从管理系统206接收服务链数据。例如,如上所述,安全策略408可基于用于有待在服务器204上实例化的一个或多个VNF 202和/或VNFI214的所确定的服务链标识一个或多个分组的过程/通信量流。此外,安全策略408可标识与有待在服务器204上实例化或建立的VNF 202和/或VNFC 214对应的VNF-VNF、VNFC-VNFC和/或VNF-VNFC通信所要求的具体安全性。应当进一步认识到在某些实施例中VNF 202和/或VNFC 214各自可具有其自身的安全策略408。在其他实施例中,这种安全策略408可具有甚至更精细的粒度(例如,与具体的流、分组等等相关联)。
在框506中,服务器204基于例如一个或多个所接收的或所确定的安全策略408建立用于安全通信的密码密钥。在这样做时,在框508中,服务器204建立用于VNF-VNF、VNFC-VNFC和/或VNF-VNFC通信的密码密钥。取决于具体实施例,VNF-VNF、VNFC-VNFC和/或VNF-VNFC通信中的任一个可以是单向或双向通信。例如,在某些实施例中,VNF-VNFC通信可仅仅在具体VNF 202可向具体VNFC 214传输信息(但是不从VNFC 214接收信息)或者具体VNFC214可向具体VNF 202传输信息(但是不从VNF 202接收信息)的情况下发生,而在其他实施例中,具体VNF 202和VNFC 214可在VNF 202和VNFC 214两者可从彼此传输和接收信息的情况下双向地通信。在某些实施例中,可在虚拟交换机228和/或物理交换机中(例如,在NFVI206中)建立密码密钥以便基于安全策略408保护VNF 202和/或VNFC 214之间的进入和流出通信量。
在框510中,服务器204可根据熔丝密钥或其他信任根建立一个或多个密码密钥。也就是,在某些实施例中,可由OEM(或建立NFVI 216的实体)在服务器204上(例如,在熔丝库中)建立一个或多个根/熔丝密钥。在某些实施例中,在制造具体硬件组件期间供应根密钥并且其用于授权使用OEM密钥。在其他实施例中,可从OEM供应的密钥导出根密钥。此外,在某些实施例中,组件制造商和/或OEM可选派NFVI密钥或其他合适的密码密钥用作根密钥。
在框512中,服务器204可与一个或多个其他服务器204的信任执行环境220(例如,TEE模块406)通信以便建立密码密钥。例如,一旦已经在服务器204上建立VNF 202和/或VNFC 214,服务器204的NFVI 216可与其他服务器204的相应的NFVI 216协调以便建立用于保护VNF/VNFC通信量的一个或多个密码密钥(例如,会话密钥)。在某些实施例中,从在NFVI216或者更具体地相应的TEE 220之间执行的互认证协议导出会话密钥,并且取决于具体实施例,服务器204的根密钥可用作共享秘密和/或授权证书。例如,在某些实施例中,TEE 220可使用SSL、IPSec和/或另一个web安全协议建立密码密钥(例如,会话密钥)。
在框514中,取决于具体实施例,服务器204可建立不同的基密钥和/或会话密钥用于各种用途。例如,在某些实施例中,服务器204可使用相同的或不同的导出密钥用于保护控制分组、管理通信量、用户元数据、用户数据、每流通信量和/或其他数据。应当认识到在某些实施例中服务器204可确定各种基密钥并且根据那些基密钥导出会话密钥。在这样做时,服务器204可例如限制基密钥的暴露并且随着时间更新用于安全通信的密码密钥。然而,为了提供本描述的清晰性,基密钥和会话密钥可在此被简单地描述为会话密钥。
应当认识到在某些实施例中每一对通信实体可具有一个或多个唯一密码密钥(例如,会话密钥)。例如,可建立用于第一和第二VNF 202之间的安全VNF-VNF通信的第一组密码密钥并且可建立用于第一VNF 202和第三VNF 202之间的安全通信的第二组密码密钥。此外,如上所述,在某些实施例中,可建立用于以更精细的粒度保护VNF-VNF、VNFC-VNFC和/或VNF-VNFC通信的密码密钥。例如,在框516中,服务器204可建立用于保护不同服务流(例如,在相同的实体之间)的分开的密码密钥。这样,可用第一密码密钥加密要求第一对实体(例如,VNF 202)之间的通信的一个服务流,而可用不同的密码密钥加密要求那些实体之间的通信的不同的服务流。应当认识到在某些实施例中,安全策略408标识密码密钥将要保护的粒度等级和/或数据范围。应当进步一认识到所使用的具体的密码算法可被实现为用于执行在此描述的功能的任何合适的密码算法。例如,在某些实施例中,基于对称密码密钥算法生成会话密钥,而在其他实施例中,可利用非对称密码算法。此外,在某些实施例中,多个密码密钥算法可结合彼此使用(例如,用于块加密的对称密钥以及用于加密对称密钥或提供密码签名的非对称密钥)。
现在参照图6,在使用时,服务器204可执行用于安全虚拟网络功能间通信或者更具体地用于安全VNF-VNF、VNFC-VNFC和/或VNF-VNFC通信的方法600。应当认识到在某些实施例中服务器204通过NVFI模块402(例如,NVFI 216)执行方法600。说明性方法600从引导服务器204的框602开始。在框604中,服务器204确定是否已经在服务器上建立用于VNF间和/或VNFC间通信的安全性。在这样做时,在框606中,服务器204可确认服务器204的TEE220已经被安全地建立并且可访问相关的密码安全密钥。例如,在某些实施例中,服务器204确定TEE 220是否可以访问以上所讨论的用于安全VNF-VNF、VNFC-VNFC和/或VNF-VNFC通信的密码密钥。
如果服务器204在框608中确定尚未建立安全性(例如,用于安全通信的相关密码密钥不可用),取决于安全策略408的要求,服务器204阻止与服务器204的VNF 202和/或VNFC 214的通信。在这样做时,在框612中,服务器204可基于安全策略408阻止VNF-VNF、VNFC-VNFC和/或VNF-VNFC通信。如上所述,在某些实施例中,由于例如监管程序218所提供的某种受限的保护,安全策略408可许可具体服务器204内的实体之间的这种通信。在其他实施例中,安全策略408可阻止与服务器204的VNF 202和/或VNFC 214的所有通信(例如,进入和流出)。
返回框608,如果服务器确定204已经建立安全性,服务器204在框614中执行相应的服务流所要求的VNF-VNF、VNFC-VNFC和/或VNF-VNFC通信。在这样做时,在框616中,服务器基于安全策略408检索用于安全通信的相应的密码密钥并且如果安全策略408指示相应的通信应当被加密,则服务器204在框618中用所检索的密钥加密/解密安全通信。例如,如果具体的VNF 202必须向在远程设备上实例化的另一个VNF 202通信信息,VNF 202可用相关的密码密钥(例如,与两个VNF 202相对应的会话密钥)加密信息并且将所加密的信息传输到另一个VNF 202(例如,经由NFVI 216的虚拟交换机228和/或物理交换机)。当接收时,远程VNF 202检索相应的解密密钥(例如,对称会话密钥)并且解密分组。类似地,与相同的服务器204内的另一个VNF 202或VNF 214通信VNF 202或VNF 214可在传输之前加密数据并且在由接收实体接收到时解密数据。
为了执行这种安全VNF/VNFC通信,在某些实施例中,服务器204可使用例如VNF管理器210或编排器208所传达的IP地址、TCP/UDP或更高级别协议端口号、域名、路由域名和/或分组标识符执行用于通信VNF/VNFC的分组标识。此外,在某些实施例中,VNF/VNFC通信量由NFVI 216无缝地保护而无需对在NFVI 216上运行的具体VNF 202或VNFC 214进行任何改变。
示例
以下提供在此公开的技术的说明性示例。这些技术的实施例可包括以下所描述的示例中的任何一个或多个以及任何组合。
示例1包括用于安全虚拟网络功能间通信的计算设备,该计算设备包括:网络功能虚拟化基础设施模块,用于(i)基于该计算设备的安全策略确定用于通过虚拟网络功能(VNF)间网络、虚拟网络功能组件(VNFC)间网络或VNF-VNFC网络中的至少一个的安全通信的密码密钥以及(ii)使用所确定的密码密钥通过该VNF间、VNFC间或VNF-VNFC网络间中的该至少一个安全地进行通信。
示例2包括示例1所述的主题,并且其中,该网络功能虚拟化基础设施模块进一步用于建立用于该安全通信的该密码密钥。
示例3包括示例1和2中任一项所述的主题,并且其中,通过该VNF间、VNFC间或VNF-VNFC网络间中的该至少一个安全地进行通信包括与远程计算设备的相应的信任执行环境模块进行通信。
示例4包括示例1至3中任一项所述的主题,并且其中,建立该密码密钥包括使用该计算设备的信任根或熔丝密钥中的至少一个。
示例5包括示例1至4中任一项所述的主题,并且其中,建立该密码密钥包括:基于该计算设备的该信任根或该熔丝密钥中的该至少一个生成基密码密钥;以及基于所生成的基密码密钥生成用于通过该VNF间、VNFC间或VNF-VNFC网络中的至少一个的安全通信的临时密码密钥。
示例6包括示例1至5中任一项所述的主题,并且其中,建立该密码密钥包括用于建立从该计算设备的一组VNF和VNFC选择的第一对实体之间的通信的第一密码密钥。
示例7包括示例1至6中任一项所述的主题,并且其中,该网络功能虚拟化基础设施模块进一步用于建立用于从该计算设备的该组VNF和VNFC选择的不同于该第一对实体的第二对实体之间的通信的第二密码密钥。
示例8包括示例1至7中任一项所述的主题,并且其中,建立用于该第一对实体之间的该通信的该第一密码密钥包括建立用于该第一对实体之间的通信的与第一业务流相关联的该第一密码密钥;以及其中,该信任执行环境模块进一步用于建立用于该第一对实体之间的通信的与不同于该第一业务流的第二业务流相关联的第二密码密钥。
示例9包括示例1至8中任一项所述的主题,并且其中,通过该VNF间、VNFC间或VNF-VNFC网络中的该至少一个安全地进行通信包括通过VNF间通信网络安全地进行通信。
示例10包括示例1至9中任一项所述的主题,并且其中,通过该VNF间、VNFC间或VNF-VNFC网络中的该至少一个安全地进行通信包括通过VNFC间通信网络安全地进行通信。
示例11包括示例1至10中任一项所述的主题,并且其中,通过该VNF间、VNFC间或VNF-VNFC网络中的该至少一个安全地进行通信包括通过VNF-VNFC通信网络安全地进行通信。
示例12包括示例1至11中任一项所述的主题,并且其中,该网络功能虚拟化基础设施模块进一步用于:确定该信任执行环境模块是否有权访问该密码密钥;以及响应于确定该信任执行环境模块无权访问该密码密钥基于该安全策略阻止通过该VNF间、VNFC间或VNF-VNFC网络中的该至少一个进行通信。
示例13包括示例1至12中任一项所述的主题,并且其中,确定该计算设备的该信任执行环境模块无权访问该密码密钥包括确定该信任执行环境模块尚未被安全地引导。
示例14包括示例1至13中任一项所述的主题,并且其中,确定该密码密钥包括基于安全策略检索该密码密钥;其中,该安全策略定义用于从该计算设备的一组VNF和VNFC选择的多对实体之间的安全通信的相应的密码密钥。
示例15包括用于计算设备的安全虚拟网络功能间通信的方法,该方法包括:该计算设备基于该计算设备的安全策略确定用于通过虚拟网络功能(VNF)间网络、虚拟网络功能组件(VNFC)间网络或VNF-VNFC网络中的至少一个的安全通信的密码密钥以及(ii)使用所确定的密码密钥通过该VNF间、VNFC间或VNF-VNFC网络间中的该至少一个安全地进行通信。
示例16包括示例15所述的主题,并且进一步包括该计算设备建立用于该安全通信的该密码密钥。
示例17包括示例15和16中任一项所述的主题,并且其中,建立该密码密钥包括用该计算设备的网络功能虚拟化基础设施模块建立该密码密钥;并且其中,通过该VNF间、VNFC间或VNF-VNFC网络间中的该至少一个安全地进行通信包括通过该计算设备的该网络功能虚拟化基础设施进行通信。
示例18包括示例15至17中任一项所述的主题,并且其中,通过该VNF间、VNFC间或VNF-VNFC网络间中的该至少一个安全地进行通信包括通过信任执行环境模块与远程计算设备的相应的信任执行环境模块进行通信。
示例19包括示例15至18中任一项所述的主题,并且其中,建立该密码密钥包括使用该计算设备的信任根或熔丝密钥中的至少一个。
示例20包括示例15至19中任一项所述的主题,并且其中建立该密码密钥包括基于该计算设备的该信任根或该熔丝密钥中的该至少一个生成基密码密钥;以及基于所生成的基密码密钥生成用于通过该VNF间、VNFC间或VNF-VNFC网络中的至少一个的安全通信的临时密码密钥。
示例21包括示例15至20中任一项所述的主题,并且其中,建立该密码密钥包括建立用于从该计算设备的一组VNF和VNFC选择的第一对实体之间的通信的第一密码密钥。
示例22包括示例15至21中任一项所述的主题,并且进一步包括该计算设备建立用于从该计算设备的该组VNF和VNFC选择的不同于该第一对实体的第二对实体之间的通信的第二密码密钥。
示例23包括示例15至22中任一项所述的主题,并且其中,建立用于该第一对实体之间的该通信的该第一密码密钥包括建立用于该第一对实体之间的通信的与第一业务流相关联的该第一密码密钥;以及其中,该信任执行环境模块进一步用于建立用于该第一对实体之间的通信的与不同于该第一业务流的第二业务流相关联的第二密码密钥。
示例24包括示例15至23中任一项所述的主题,并且其中,通过该VNF间、VNFC间或VNF-VNFC网络中的该至少一个安全地进行通信包括通过VNF间通信网络安全地进行通信。
示例25包括示例15至24中任一项所述的主题,并且其中,通过该VNF间、VNFC间或VNF-VNFC网络中的该至少一个安全地进行通信包括通过VNFC间通信网络安全地进行通信。
示例26包括示例15至25中任一项所述的主题,并且其中,通过该VNF间、VNFC间或VNF-VNFC网络中的该至少一个安全地进行通信包括通过VNF-VNFC通信网络安全地进行通信。
示例27包括示例15至26中任一项所述的主题,并且进一步包括:该计算设备确定该计算设备的网络功能虚拟化基础设施模块是否有权访问该密码密钥;以及响应于确定该网络功能虚拟化基础设施模块无权访问该密码密钥基于该安全策略阻止通过该VNF间、VNFC间或VNF-VNFC网络中的该至少一个进行通信。
示例28包括示例15至27中任一项所述的主题,并且其中,确定该计算设备的该网络功能虚拟化基础设施模块无权访问该密码密钥包括确定该网络功能虚拟化基础设施模块尚未被安全地引导。
示例29包括示例15至28中任一项所述的主题,并且其中,确定该密码密钥包括基于安全策略检索该密码密钥;其中,该安全策略定义用于从该计算设备的一组VNF和VNFC选择的多对实体之间的安全通信的相应的密码密钥。
示例30包括计算设备,该计算设备包括处理器和存储器,该存储器其中存储有多条指令,当由该处理器执行时,该多条指令致使该计算设备执行示例15至29中任一项所述的方法。
示例31包括一种或多种机器可读存储介质,包括存储在其上的多条指令,响应于由计算设备执行,该多条指令致使该计算设备执行如示例15至29中任一项所述的方法。
示例32包括用于安全虚拟网络功能间通信的计算设备,该计算设备包括:用于确定用于通过虚拟网络功能(VNF)间网络、虚拟网络功能组件(VNFC)间网络或VNF-VNFC网络中的至少一个的安全通信的密码密钥的装置;以及用于使用所确定的密码密钥通过该VNF间、VNFC间或VNF-VNFC网络间中的该至少一个安全地进行通信的装置。
示例33包括示例32所述的主题,并且进一步包括用于建立用于该安全通信的该密码密钥的装置。
示例34包括示例32和33中任一项所述的主题,并且其中,用于建立该密码密钥的该装置包括用于用该计算设备的网络功能虚拟化基础设施模块建立该密码密钥的装置;并且其中,用于通过该VFN间、VNFC间或VNF-VNFC网络间中的该至少一个安全地进行通信的该装置包括用于通过该计算设备的该网络功能虚拟化基础设施进行通信的装置。
示例35包括示例32至34中任一项所述的主题,并且其中,用于通过该VFN间、VNFC间或VNF-VNFC网络间中的该至少一个安全地进行通信的该装置包括用于通过信任执行环境模块与远程计算设备的相应的信任执行环境模块进行通信的装置。
示例36包括示例32至35任一项所述的主题,并且其中,用于建立该密码密钥的装置包括用于使用该计算设备的信任根或熔丝密钥中的至少一个的装置。
示例37包括示例32至36中任一项所述的主题,并且其中,用于建立该密码密钥的该装置包括用于基于该计算设备的该信任根或该熔丝密钥中的该至少一个生成基密码密钥的装置;以及用于基于所生成的基密码密钥生成用于通过该VNF间、VNFC间或VNF-VNFC网络中的至少一个的安全通信的临时密码密钥的装置。
示例38包括示例32至37中任一项所述的主题,并且其中,用于建立该密码密钥的该装置包括用于建立用于从该计算设备的一组VNF和VNFC选择的第一对实体之间的通信的第一密码密钥的装置。
示例39包括示例32至38中任一项所述的主题,并且进一步包括用于建立用于从该计算设备的该组VNF和VNFC选择的不同于该第一对实体的第二对实体之间的通信的第二密码密钥的装置。
示例40包括示例32至39中任一项所述的主题,并且其中,用于建立用于该第一对实体之间的该通信的该第一密码密钥的该装置包括用于建立用于该第一对实体之间的通信的与第一业务流相关联的该第一密码密钥的装置;并且进一步包括用于建立用于该第一对实体之间的通信的与不同于该第一业务流的第二业务流相关联的第二密码密钥的装置。
示例41包括示例32至40中任一项所述的主题,并且其中,用于通过该VNF间、VNFC间或VNF-VNFC网络中的该至少一个安全地进行通信的该装置包括用于通过VNF间通信网络安全地进行通信的装置。
示例43包括示例32至41中任一项所述的主题,并且其中,用于通过该VNF间、VNFC间或VNF-VNFC网络中的该至少一个安全地进行通信的该装置包括用于通过VNFC间通信网络安全地进行通信的装置。
示例44包括示例32至43中任一项所述的主题,并且其中,用于通过该VNF间、VNFC间或VNF-VNFC网络中的该至少一个安全地进行通信的该装置包括用于通过VNF-VNFC通信网络安全地进行通信的装置。
示例44包括示例32至43中任一项所述的主题,并且进一步包括:用于确定该计算设备的网络功能虚拟化基础设施模块是否有权访问该密码密钥的装置;以及用于响应于确定该网络功能虚拟化基础设施模块无权访问该密码密钥基于该安全策略阻止通过该VNF间、VNFC间或VNF-VNFC网络中的该至少一个进行通信的装置。
示例45包括示例32至44中任一项所述的主题,并且其中,用于确定该计算设备的该网络功能虚拟化基础设施模块无权访问该密码密钥的该装置包括用于确定该网络功能虚拟化基础设施模块尚未被安全地引导的装置。
示例46包括示例32至45中任一项所述的主题,并且其中,用于确定该密码密钥的该装置包括用于基于安全策略检索该密码密钥的装置;其中,该安全策略定义用于从该计算设备的一组VNF和VNFC选择的多对实体之间的安全通信的相应的密码密钥。
Claims (38)
1.一种用于安全虚拟网络功能间通信的计算设备,所述计算设备包括:
网络功能虚拟化基础设施模块,用于:(i)确认已安全地建立了可信执行环境;(ii)使用所述可信执行环境、基于所述计算设备的安全策略来建立用于通过虚拟网络功能VNF间网络、虚拟网络功能组件VNFC间网络或VNF-VNFC网络中的至少一个的安全通信的一个或多个密码密钥;(iii)使用所述一个或多个密码密钥来建立通过所述VNF间、VNFC间或VNF-VNFC网络中的所述至少一个的一个或多个安全通信信道;以及(iv)通过所述一个或多个安全通信信道进行通信。
2.如权利要求1所述的计算设备,其特征在于,所述网络功能虚拟化基础设施模块进一步用于:通过与远程服务器的可信执行环境通信来建立用于至少一个安全通信信道的至少一个密码密钥。
3.如权利要求2所述的计算设备,其特征在于,使用所述一个或多个密码密钥来建立通过所述VNF间、VNFC间或VNF-VNFC网络中的所述至少一个的一个或多个安全通信信道包括与远程计算设备的相应的信任执行环境模块进行通信。
4.如权利要求2所述的计算设备,其特征在于,建立所述至少一个密码密钥包括使用所述计算设备的信任根或熔丝密钥中的至少一个。
5.如权利要求4所述的计算设备,其特征在于,建立所述至少一个密码密钥包括:
基于所述计算设备的所述信任根或所述熔丝密钥中的所述至少一个生成基密码密钥;以及
基于所生成的基密码密钥生成临时密码密钥,用于通过所述VNF间、VNFC间或VNF-VNFC网络中的至少一个的安全通信。
6.如权利要求2所述的计算设备,其特征在于,建立所述至少一个密码密钥包括建立用于选自所述计算设备的一组VNF和VNFC的第一对实体之间的通信的第一密码密钥。
7.如权利要求6所述的计算设备,其特征在于,所述网络功能虚拟化基础设施模块进一步用于建立第二密码密钥,用于从所述计算设备的所述组VNF和VNFC选择的不同于所述第一对实体的第二对实体之间的通信。
8.如权利要求6所述的计算设备,其特征在于,建立用于所述第一对实体之间的所述通信的所述第一密码密钥包括建立用于所述第一对实体之间的通信的与第一业务流相关联的所述第一密码密钥;并且
其中,所述网络功能虚拟化基础设施模块进一步用于建立用于所述第一对实体之间的通信的与不同于所述第一业务流的第二业务流相关联的第二密码密钥。
9.如权利要求1所述的计算设备,其特征在于,使用所述一个或多个密码密钥来建立通过所述VNF间、VNFC间或VNF-VNFC网络中的所述至少一个的一个或多个安全通信信道包括:使用所述一个或多个密码密钥来建立通过VNF间通信网络的一个或多个安全通信信道。
10.如权利要求1所述的计算设备,其特征在于,使用所述一个或多个密码密钥来建立通过所述VNF间、VNFC间或VNF-VNFC网络中的所述至少一个的一个或多个安全通信信道包括:使用所述一个或多个密码密钥来建立通过VNFC间通信网络的一个或多个安全通信信道。
11.如权利要求1所述的计算设备,其特征在于,使用所述一个或多个密码密钥来建立通过所述VNF间、VNFC间或VNF-VNFC网络中的所述至少一个的一个或多个安全通信信道包括:使用所述一个或多个密码密钥来建立通过VNF-VNFC通信网络的一个或多个安全通信信道。
12.如权利要求1所述的计算设备,其特征在于,进一步包括信任执行环境模块,所述网络功能虚拟化基础设施模块进一步用于:
确定所述信任执行环境模块是否有权访问所述一个或多个密码密钥;以及
响应于确定所述信任执行环境模块无权访问所述一个或多个密码密钥,基于所述安全策略阻止通过所述VNF间、VNFC间或VNF-VNFC网络中的所述至少一个进行通信。
13.如权利要求12所述的计算设备,其特征在于,确定所述计算设备的所述信任执行环境模块无权访问所述一个或多个密码密钥包括确定所述信任执行环境模块尚未被安全地引导。
14.如权利要求1所述的计算设备,其特征在于,确定所述一个或多个密码密钥包括基于安全策略检索所述一个或多个密码密钥;
其中,所述安全策略定义用于从所述计算设备的一组VNF和VNFC选择的多对实体之间的安全通信的相应的密码密钥。
15.一种用于安全虚拟网络功能间通信的计算设备,所述计算设备包括:
用于确认已安全地建立了可信执行环境的装置;
用于使用所述可信执行环境、基于所述计算设备的安全策略来建立用于通过虚拟网络功能VNF间网络、虚拟网络功能组件VNFC间网络或VNF-VNFC网络中的至少一个的安全通信的一个或多个密码密钥的装置;
用于使用所述一个或多个密码密钥来建立通过所述VNF间、VNFC间或VNF-VNFC网络中的所述至少一个的一个或多个安全通信信道的装置;以及
用于通过所述一个或多个安全通信信道进行通信的装置。
16.如权利要求15所述的计算设备,进一步包括用于由所述计算设备的网络功能虚拟化基础设施模块通过与远程服务器的可信执行环境通信来建立用于至少一个安全通信信道的至少一个密码密钥的装置;并且
其中,用于使用所述一个或多个密码密钥来建立通过所述VNF间、VNFC间或VNF-VNFC网络中的所述至少一个的一个或多个安全通信信道的装置包括用于由所述计算设备的所述网络功能虚拟化基础设施进行通信的装置。
17.如权利要求16所述的计算设备,其特征在于,用于使用所述一个或多个密码密钥来建立通过所述VNF间、VNFC间或VNF-VNFC网络间中的所述至少一个的一个或多个安全通信信道的所述装置包括用于由信任执行环境模块与远程计算设备的相应的信任执行环境模块进行通信的装置。
18.如权利要求16所述的计算设备,其特征在于,用于建立所述至少一个密码密钥的所述装置包括用于使用所述计算设备的信任根或熔丝密钥中的至少一个的装置。
19.如权利要求18所述的计算设备,其特征在于,用于建立所述至少一个密码密钥的所述装置包括:
用于基于所述计算设备的所述信任根或所述熔丝密钥中的所述至少一个生成基密码密钥的装置;以及
用于基于所生成的基密码密钥生成用于通过所述VNF间、VNFC间或VNF-VNFC网络中的至少一个的安全通信的临时密码密钥的装置。
20.如权利要求16所述的计算设备,其特征在于,用于建立所述至少一个密码密钥的所述装置包括用于建立用于从所述计算设备的一组VNF和VNFC选择的第一对实体之间的通信的第一密码密钥的装置。
21.如权利要求20所述的计算设备,进一步包括用于建立用于从所述计算设备的所述组VNF和VNFC选择的不同于所述第一对实体的第二对实体之间的通信的第二密码密钥的装置。
22.如权利要求20所述的计算设备,其特征在于,用于建立用于所述第一对实体之间的所述通信的所述第一密码密钥的所述装置包括用于建立用于所述第一对实体之间的通信的与第一业务流相关联的所述第一密码密钥的装置;并且
进一步包括用于建立用于所述第一对实体之间的通信的与不同于所述第一业务流的第二业务流相关联的第二密码密钥的装置。
23.如权利要求15所述的计算设备,进一步包括:
用于确定所述计算设备的网络功能虚拟化基础设施模块是否有权访问所述一个或多个密码密钥的装置;以及
用于响应于确定所述网络功能虚拟化基础设施模块无权访问所述一个或多个密码密钥基于所述安全策略阻止通过所述VNF间、VNFC间或VNF-VNFC网络中的所述至少一个进行通信的装置。
24.一种机器可读存储介质,包括存储于其上的指令,所述指令当被执行时,使机器:
确认已安全地建立了可信执行环境;
使用所述可信执行环境、基于计算设备的安全策略来建立用于通过虚拟网络功能VNF间网络、虚拟网络功能组件VNFC间网络或VNF-VNFC网络中的至少一个的安全通信的一个或多个密码密钥;
使用所述一个或多个密码密钥来建立通过所述VNF间、VNFC间或VNF-VNFC网络中的所述至少一个的一个或多个安全通信信道;以及
通过所述一个或多个安全通信信道进行通信。
25.如权利要求24所述的机器可读存储介质,其特征在于,所述指令进一步使所述机器:由所述计算设备的网络功能虚拟化基础设施模块通过与远程服务器的可信执行环境通信来来建立用于至少一个安全通信信道的至少一个密码密钥;并且
其中,使用所述一个或多个密码密钥来建立通过所述VNF间、VNFC间或VNF-VNFC网络中的所述至少一个的一个或多个安全通信信道包括:由所述计算设备的所述网络功能虚拟化基础设施进行通信。
26.如权利要求25所述的机器可读存储介质,其特征在于,使用所述一个或多个密码密钥来建立通过所述VNF间、VNFC间或VNF-VNFC网络间中的所述至少一个的一个或多个安全通信信道包括:由信任执行环境模块与远程计算设备的相应的信任执行环境模块进行通信。
27.如权利要求25所述的机器可读存储介质,其特征在于,建立所述至少一个密码密钥包括:使用所述计算设备的信任根或熔丝密钥中的至少一个。
28.如权利要求27所述的机器可读存储介质,其特征在于,建立所述至少一个密码密钥包括:
基于所述计算设备的所述信任根或所述熔丝密钥中的所述至少一个生成基密码密钥;以及
基于所生成的基密码密钥生成用于通过所述VNF间、VNFC间或VNF-VNFC网络中的至少一个的安全通信的临时密码密钥。
29.如权利要求25所述的机器可读存储介质,其特征在于,建立所述至少一个密码密钥包括:建立用于从所述计算设备的一组VNF和VNFC选择的第一对实体之间的通信的第一密码密钥。
30.如权利要求29所述的机器可读存储介质,其特征在于,所述指令进一步使所述机器:建立用于从所述计算设备的所述组VNF和VNFC选择的不同于所述第一对实体的第二对实体之间的通信的第二密码密钥。
31.如权利要求29所述的机器可读存储介质,其特征在于,建立用于所述第一对实体之间的所述通信的所述第一密码密钥包括:建立用于所述第一对实体之间的通信的与第一业务流相关联的所述第一密码密钥;并且
所述指令进一步使所述计算设备:建立用于所述第一对实体之间的通信的与不同于所述第一业务流的第二业务流相关联的第二密码密钥。
32.如权利要求24所述的机器可读存储介质,其特征在于,所述指令进一步使所述机器:
确定所述计算设备的网络功能虚拟化基础设施模块是否有权访问所述一个或多个密码密钥;以及
响应于确定所述网络功能虚拟化基础设施模块无权访问所述一个或多个密码密钥基于所述安全策略阻止通过所述VNF间、VNFC间或VNF-VNFC网络中的所述至少一个进行通信。
33.一种用于由计算设备进行安全虚拟网络功能间通信的方法,所述方法包括:
由所述计算设备确认已安全地建立了可信执行环境;
由所述计算设备使用所述可信执行环境、基于所述计算设备的安全策略来建立用于通过虚拟网络功能VNF间网络、虚拟网络功能组件VNFC间网络或VNF-VNFC网络中的至少一个的安全通信的一个或多个密码密钥;
由所述计算设备使用所述一个或多个密码密钥来建立通过所述VNF间、VNFC间或VNF-VNFC网络中的所述至少一个的一个或多个安全通信信道;以及
由所述计算设备通过所述一个或多个安全通信信道进行通信。
34.如权利要求33所述的方法,进一步包括:由所述计算设备的网络功能虚拟化基础设施模块通过与远程服务器的可信执行环境通信来建立用于至少一个安全通信信道的至少一个密码密钥;并且
其中,使用所述一个或多个密码密钥来建立通过所述VNF间、VNFC间或VNF-VNFC网络中的所述至少一个的一个或多个安全通信信道包括:由所述计算设备的所述网络功能虚拟化基础设施进行通信。
35.一种机器可读存储介质,包括存储于其上的指令,所述指令当被执行时,使计算设备:
由所述计算设备确认已安全地建立了可信执行环境;
由所述计算设备使用所述可信执行环境、基于所述计算设备的安全策略来建立用于通过虚拟网络功能VNF间网络、虚拟网络功能组件VNFC间网络或VNF-VNFC网络中的至少一个的安全通信的一个或多个密码密钥;
由所述计算设备使用所述一个或多个密码密钥来建立通过所述VNF间、VNFC间或VNF-VNFC网络中的所述至少一个的一个或多个安全通信信道;以及
由所述计算设备通过所述一个或多个安全通信信道进行通信。
36.如权利要求35所述的机器可读存储介质,其特征在于,所述指令进一步使所述机器:由所述计算设备的网络功能虚拟化基础设施模块通过与远程服务器的可信执行环境通信来建立用于至少一个安全通信信道的至少一个密码密钥;并且
其中,使用所述一个或多个密码密钥来建立通过所述VNF间、VNFC间或VNF-VNFC网络中的所述至少一个的一个或多个安全通信信道包括:由所述计算设备的所述网络功能虚拟化基础设施进行通信。
37.一种用于安全虚拟网络功能间通信的计算设备,所述计算设备包括:
用于由所述计算设备确认已安全地建立了可信执行环境的装置;
用于由所述计算设备使用所述可信执行环境、基于所述计算设备的安全策略来建立用于通过虚拟网络功能VNF间网络、虚拟网络功能组件VNFC间网络或VNF-VNFC网络中的至少一个的一个或多个安全通信的密码密钥的装置;
用于由所述计算设备使用所述一个或多个密码密钥来建立通过所述VNF间、VNFC间或VNF-VNFC网络中的所述至少一个的一个或多个安全通信信道的装置;以及
用于由所述计算设备通过所述一个或多个安全通信信道进行通信。
38.如权利要求37所述的计算设备,进一步包括:用于由所述计算设备的网络功能虚拟化基础设施模块通过与远程服务器的可信执行环境通信来建立用于至少一个安全通信信道的至少一个密码密钥的装置;并且
其中,用于使用所述一个或多个密码密钥来建立通过所述VNF间、VNFC间或VNF-VNFC网络中的所述至少一个的一个或多个安全通信信道的装置包括:用于由所述计算设备的所述网络功能虚拟化基础设施进行通信的装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/530,128 US9407612B2 (en) | 2014-10-31 | 2014-10-31 | Technologies for secure inter-virtual network function communication |
| US14/530,128 | 2014-10-31 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105577637A CN105577637A (zh) | 2016-05-11 |
| CN105577637B true CN105577637B (zh) | 2019-03-26 |
Family
ID=55753531
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510621947.9A Active CN105577637B (zh) | 2014-10-31 | 2015-09-25 | 用于安全虚拟网络功能间通信的计算设备、方法和机器可读存储介质 |
Country Status (3)
| Country | Link |
|---|---|
| US (2) | US9407612B2 (zh) |
| CN (1) | CN105577637B (zh) |
| DE (1) | DE102015115781B4 (zh) |
Families Citing this family (48)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9578664B1 (en) | 2013-02-07 | 2017-02-21 | Sprint Communications Company L.P. | Trusted signaling in 3GPP interfaces in a network function virtualization wireless communication system |
| CN104580208B (zh) | 2015-01-04 | 2018-11-30 | 华为技术有限公司 | 一种身份认证方法及装置 |
| US10630686B2 (en) | 2015-03-12 | 2020-04-21 | Fornetix Llc | Systems and methods for organizing devices in a policy hierarchy |
| US10965459B2 (en) | 2015-03-13 | 2021-03-30 | Fornetix Llc | Server-client key escrow for applied key management system and process |
| US9807117B2 (en) * | 2015-03-17 | 2017-10-31 | Solarflare Communications, Inc. | System and apparatus for providing network security |
| US10496974B2 (en) * | 2015-03-25 | 2019-12-03 | Intel Corporation | Secure transactions with connected peripherals |
| JP6445715B2 (ja) * | 2015-03-30 | 2018-12-26 | ホアウェイ・テクノロジーズ・カンパニー・リミテッド | Vnfm間のインターフェースを確立するための方法及び装置、並びにシステム |
| US9686240B1 (en) | 2015-07-07 | 2017-06-20 | Sprint Communications Company L.P. | IPv6 to IPv4 data packet migration in a trusted security zone |
| US9749294B1 (en) | 2015-09-08 | 2017-08-29 | Sprint Communications Company L.P. | System and method of establishing trusted operability between networks in a network functions virtualization environment |
| US10542115B1 (en) * | 2015-10-01 | 2020-01-21 | Sprint Communications Company L.P. | Securing communications in a network function virtualization (NFV) core network |
| US20170102957A1 (en) * | 2015-10-09 | 2017-04-13 | Sprint Communications Company L.P. | System and Method for Trusted Operability When Moving Between Network Functions Virtualization States |
| US9811686B1 (en) | 2015-10-09 | 2017-11-07 | Sprint Communications Company L.P. | Support systems interactions with virtual network functions in a trusted security zone |
| US9781016B1 (en) | 2015-11-02 | 2017-10-03 | Sprint Communications Company L.P. | Dynamic addition of network function services |
| US11063980B2 (en) * | 2016-02-26 | 2021-07-13 | Fornetix Llc | System and method for associating encryption key management policy with device activity |
| US10311250B2 (en) | 2016-04-05 | 2019-06-04 | Vchain Technology Limited | Method and system for managing personal information within independent computer systems and digital networks |
| US10509459B2 (en) | 2016-05-19 | 2019-12-17 | Scenera, Inc. | Scene-based sensor networks |
| US10069844B2 (en) | 2016-07-21 | 2018-09-04 | Sprint Communications Company L.P. | Virtual network function (VNF) hardware trust in a network function virtualization (NFV) software defined network (SDN) |
| US20180034703A1 (en) * | 2016-07-26 | 2018-02-01 | Cisco Technology, Inc. | System and method for providing transmission of compliance requirements for cloud-based applications |
| CN107666418B (zh) * | 2016-07-27 | 2020-12-01 | 中兴通讯股份有限公司 | 一种账号生成方法、装置及系统 |
| CN107666666B (zh) * | 2016-07-27 | 2022-11-08 | 中兴通讯股份有限公司 | 密钥的衍生方法及装置 |
| WO2018031057A1 (en) * | 2016-08-12 | 2018-02-15 | Intel IP Corporation | Device and method for managing virtualized ran |
| US10693843B2 (en) * | 2016-09-02 | 2020-06-23 | Scenera, Inc. | Security for scene-based sensor networks |
| WO2018040095A1 (zh) * | 2016-09-05 | 2018-03-08 | 华为技术有限公司 | 一种生成安全凭证的方法和设备 |
| CN109691009B (zh) * | 2016-09-08 | 2022-04-29 | 日本电气株式会社 | 网络功能虚拟化系统和验证方法 |
| US10250498B1 (en) | 2016-10-03 | 2019-04-02 | Sprint Communications Company L.P. | Session aggregator brokering of data stream communication |
| EP3306896A1 (en) | 2016-10-07 | 2018-04-11 | Nokia Technologies OY | Access to services provided by a distributed data storage system |
| WO2018068202A1 (en) * | 2016-10-11 | 2018-04-19 | Nokia Technologies Oy | Virtualized network function security wrapping orchestration in the cloud environment |
| US11171905B1 (en) | 2016-10-17 | 2021-11-09 | Open Invention Network Llc | Request and delivery of additional data |
| CN110115012B (zh) * | 2016-12-30 | 2020-12-25 | 华为技术有限公司 | 一种秘密信息的分发方法和设备 |
| JP6806263B2 (ja) | 2017-02-07 | 2021-01-06 | 日本電気株式会社 | Vnfパッケージ署名システム及びvnfパッケージ署名方法 |
| US10348488B1 (en) | 2017-08-25 | 2019-07-09 | Sprint Communications Company L.P. | Tiered distributed ledger technology (DLT) in a network function virtualization (NFV) core network |
| EP3451607B1 (en) * | 2017-08-31 | 2019-07-17 | Deutsche Telekom AG | Methods and devices for secure communication between network functions of a communication network |
| CN111434074A (zh) * | 2017-10-23 | 2020-07-17 | 诺基亚通信公司 | 用于通信网络中的虚拟网络功能(vnf)的自动选择的方法和系统 |
| KR102423755B1 (ko) | 2017-12-14 | 2022-07-21 | 삼성전자주식회사 | 패킷 전송을 제어하는 서버 및 방법 |
| US11018871B2 (en) | 2018-03-30 | 2021-05-25 | Intel Corporation | Key protection for computing platform |
| US11240135B1 (en) | 2018-05-23 | 2022-02-01 | Open Invention Network Llc | Monitoring VNFCs that are composed of independently manageable software modules |
| US10581983B2 (en) * | 2018-07-09 | 2020-03-03 | Nec Corporation | Method and system for management of mobile network slices over a federated infrastructure |
| US11398968B2 (en) * | 2018-07-17 | 2022-07-26 | Keysight Technologies, Inc. | Methods, systems, and computer readable media for testing virtualized network functions and related infrastructure |
| US11895024B2 (en) | 2018-07-24 | 2024-02-06 | Nokia Technologies Oy | Method, device and computer readable medium for delivering data-plane packets by using separate transport service VNFC |
| KR102556091B1 (ko) * | 2018-10-04 | 2023-07-14 | 삼성전자주식회사 | 보안 정보의 주입을 위한 장치 및 방법 |
| US11977493B2 (en) | 2019-07-17 | 2024-05-07 | Red Hat, Inc. | Safe virtual machine physical device access for network function virtualization |
| GB2594534B (en) * | 2020-04-30 | 2022-09-21 | Metaswitch Networks Ltd | Processing user traffic in a virtualised network |
| US11483227B2 (en) | 2020-10-13 | 2022-10-25 | Keysight Technologies, Inc. | Methods, systems and computer readable media for active queue management |
| US11847205B1 (en) | 2020-10-26 | 2023-12-19 | T-Mobile Innovations Llc | Trusted 5G network function virtualization of virtual network function elements embedded on a system-on-chip |
| WO2022266490A1 (en) * | 2021-06-17 | 2022-12-22 | Commscope Technologies Llc | Systems and methods for virtual network function platform security solutions |
| CN114268507B (zh) * | 2021-12-30 | 2023-12-05 | 天翼物联科技有限公司 | 一种基于sgx的网络云安全优化方法、系统及相关介质 |
| CN114629853A (zh) * | 2022-02-28 | 2022-06-14 | 天翼安全科技有限公司 | 安全资源池中基于安全服务链解析的流量分类控制方法 |
| US11853254B1 (en) | 2022-10-07 | 2023-12-26 | Keysight Technologies, Inc. | Methods, systems, and computer readable media for exposing data processing unit (DPU) traffic in a smartswitch |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7853782B1 (en) * | 2004-04-14 | 2010-12-14 | Sprint Spectrum L.P. | Secure intermediation system and method |
| GB0623101D0 (en) * | 2006-11-20 | 2006-12-27 | British Telecomm | Secure network architecture |
| JP5205075B2 (ja) * | 2008-02-13 | 2013-06-05 | パナソニック株式会社 | 暗号処理方法、暗号処理装置、復号処理方法および復号処理装置 |
| JP2010062738A (ja) * | 2008-09-02 | 2010-03-18 | Fujitsu Ltd | ネットワーク設定プログラム,ネットワーク設定方法及びネットワーク設定装置 |
| US8719901B2 (en) * | 2008-10-24 | 2014-05-06 | Synopsys, Inc. | Secure consultation system |
| US8909928B2 (en) * | 2010-06-02 | 2014-12-09 | Vmware, Inc. | Securing customer virtual machines in a multi-tenant cloud |
| CN102316108B (zh) * | 2011-09-09 | 2014-06-04 | 周伯生 | 建立网络隔离通道的设备及其方法 |
| US9037511B2 (en) * | 2011-09-29 | 2015-05-19 | Amazon Technologies, Inc. | Implementation of secure communications in a support system |
| US9008102B2 (en) * | 2012-01-18 | 2015-04-14 | F5 Networks, Inc. | Redundancy of network services in restricted networks |
| US20140019745A1 (en) * | 2012-07-12 | 2014-01-16 | David S. Dodgson | Cryptographic isolation of virtual machines |
| CN103490891B (zh) * | 2013-08-23 | 2016-09-07 | 中国科学技术大学 | 一种电网ssl vpn中密钥更新和使用的方法 |
| US9838265B2 (en) * | 2013-12-19 | 2017-12-05 | Amdocs Software Systems Limited | System, method, and computer program for inter-module communication in a network based on network function virtualization (NFV) |
-
2014
- 2014-10-31 US US14/530,128 patent/US9407612B2/en not_active Ceased
-
2015
- 2015-09-18 DE DE102015115781.0A patent/DE102015115781B4/de active Active
- 2015-09-25 CN CN201510621947.9A patent/CN105577637B/zh active Active
-
2018
- 2018-08-02 US US16/053,289 patent/USRE48411E1/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US9407612B2 (en) | 2016-08-02 |
| CN105577637A (zh) | 2016-05-11 |
| DE102015115781B4 (de) | 2021-06-17 |
| US20160127333A1 (en) | 2016-05-05 |
| DE102015115781A1 (de) | 2016-05-04 |
| USRE48411E1 (en) | 2021-01-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105577637B (zh) | 用于安全虚拟网络功能间通信的计算设备、方法和机器可读存储介质 | |
| US10721258B2 (en) | Technologies for secure personalization of a security monitoring virtual network function | |
| US11533341B2 (en) | Technologies for scalable security architecture of virtualized networks | |
| AU2020203719B2 (en) | Extension of network control system into public cloud | |
| CN106599694B (zh) | 安全防护管理方法、计算机系统和计算机可读取存储媒体 | |
| US11032247B2 (en) | Enterprise mobility management and network micro-segmentation | |
| US20190306196A1 (en) | Tag-based policy architecture | |
| US9015825B2 (en) | Method and device for network communication management | |
| Salahdine et al. | Towards secure and intelligent network slicing for 5g networks | |
| Kishiyama et al. | Security Policies Automation in Software Defined Networking | |
| Whig et al. | 3 Security Issues in | |
| Anand et al. | Enhancing Security for IoT Devices using Software Defined Networking (SDN) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |