CN109691009B - 网络功能虚拟化系统和验证方法 - Google Patents
网络功能虚拟化系统和验证方法 Download PDFInfo
- Publication number
- CN109691009B CN109691009B CN201780055371.1A CN201780055371A CN109691009B CN 109691009 B CN109691009 B CN 109691009B CN 201780055371 A CN201780055371 A CN 201780055371A CN 109691009 B CN109691009 B CN 109691009B
- Authority
- CN
- China
- Prior art keywords
- private key
- request
- key information
- public
- exponent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/40—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0827—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0877—Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种具有改进的功能的虚拟化环境,用于保护敏感的认证数据。一种网络功能虚拟化系统包括:请求接收单元,接收对至少一个数据交换方的证书的请求;私钥生成器,响应于该请求,使用存储在基于硬件的隔离的安全执行环境中的第二私钥信息来生成第一私钥信息;公钥提取器,提取第一私钥信息的公钥信息;公钥信息存储单元,存储公钥信息;以及验证单元,能够从请求接收单元访问验证单元,验证单元使用与证书相对应的公钥信息来验证证书。
Description
技术领域
(相关申请的引用)
本发明基于并要求2016年9月8日递交的印度专利申请No.201611 030702的优先权,其公开内容通过对其的引用整体并入本文。
本发明涉及网络功能虚拟化系统和验证方法。
背景技术
如在非专利文献1和2中所述,提出了网络功能虚拟化(NFV)。网络功能虚拟化(NFV)是统一的编排平台,其引入了解决由于前所未有的规模、复杂且脱节的虚拟环境、灵活性和集中控制管理而导致的安全问题的独有机遇。虚拟节点(如计算、存储和网络)的资源必须在受控环境中动态分配,这需要动态的安全机制。需要一种新颖的方法来解决该NFV相关的安全问题,该方法应该具有满足跨越所有层(例如平台级、虚拟化网络级和应用级)的安全要求的能力。NFV系统的动态性质要求安全机制、策略、过程和实践应该嵌入在NFV的遗传结构中。所提出的框架应该为NFV操作提供机密性、完整性和隐私性,并且还应该促进强大的认证机制,以保障系统的服务和凭证的安全。
NFV系统带来了以下所列出的新的安全挑战。
-由于VNF的本机漏洞而导致的漏洞利用或违规
-由于虚拟化软件的漏洞而导致的漏洞利用或违规
-由于VNF镜像的漏洞而导致的漏洞利用或违规
-由于管理错误而导致的漏洞利用或违规
-恶意租户或邻居
-流氓内部人
-由于硬件和固件的漏洞而导致的漏洞利用或违规
-在VM(虚拟机)崩溃期间的信息泄露
-权限升级并验证给定层处的每个服务的身份
-在不干扰NFV服务的情况下验证升级所需的安全补丁
-处理零日漏洞
-管理对第三方供应商或用户的信任
在云环境中,多租户推动了租户之间对虚拟资源的逻辑分离的需求。通过NFV编排,可以将某些VNF部署在分离的计算节点上,并且可以通过使用分离的网络将它们进一步隔离。另外,安全区的使用允许将VNF部署在或迁移到满足安全相关标准(例如加固的位置和级别)的主机上,例如,一些主机将采用可信的计算技术,即硬件隔离的安全执行环境(HISEE)。HISEE为芯片上的安全数据提供安全的环境。利用HISEE,向所有存储区域提供完整的总线带宽访问,以提供快速的内存访问速度。其提供了即使在SoC(片上系统)最终确定之后仍允许对安全系统进行定制和升级的灵活性。HISEE定义了嵌入式系统内的安全环境。
HISEE被设计为防范或减轻由各种威胁和攻击而导致的潜在损害。
专利文献1至3描述了与本发明有关的现有解决方案。
[专利文献1]US 9043604 B2
[专利文献2]US 2013/0339739 A1
[专利文献3]US 8925055 B2
[非专利文献1]:
欧洲电信标准协会(ETSI),“网络功能虚拟化-更新白皮书”,[在线],[2016年8月25日搜索],互联网,<URL:https://portal.etsi. org/NFV/NFV_White_Paper2.pdf>
[非专利文献2]:
欧洲电信标准协会(ETSI),“网络功能虚拟化;架构框架(ETSI GS NFV 002)”,[2016年8月25日搜索],互联网<URL:http://www.et si.org/deliver/etsi_gs/nfv/001_099/002/01.01.01_60/gs_nfv002 v010101p.pdf>
发明内容
通过引用将上面给出的专利文献1至3以及非专利文献1和2的公开内容整体并入本说明书。以下分析由本发明的发明人做出。
根据本公开发明人的分析,以下问题尚待解决。
问题1:用于NFV环境的HISEE中的缺漏
如果第三方与安全机制串通,则诸如安全凭证、机密数据、网络和订户活动的简档之类的数据可能以不安全的方式泄露给第三方。已经被认可的是,HISEE不会妥协,但无法保证该串通永不发生。为了检测无效的HISEE认证,必须牺牲安全和隐私。还应该注意,HISEE无法防范许多威胁网络或订户活动安全和隐私的攻击。例如,现今大部分病毒对许多产品中的脚本语言进行漏洞利用。在这种情况下,应用将受到HISEE系统的信任。然而,网络和订户活动或数据实际上可能暗中妥协。此外,HISEE不减少来自像可以监视网络和事件服务活动的间谍软件这类软件的威胁,例如将VM(虚拟机)分配给虚拟网络、将VM连接到外部网络、在VM之间附接网络服务、租户迁移、共享资源、VNF 包升级、装载包等。另外,其容易受到功率分析(power analysis) 的影响,功率分析可以通过能够在不被检测到的情况下从受保护的存储器中提取信息来破坏HISEE的篡改留痕属性。
问题2:敏感数据泄露
如在图38的方框#3中所示,NFV通常拥有用于过程、服务、代理和用户的认证的敏感数据(例如密码、私钥、加密证书、令牌等)。这些数据应该在NFV生命周期管理的所有阶段期间受到保护,并且应该被视为是高度动态的,可能在实例化、休眠/挂起和VNF退出期间进行更新。例如,我们讨论保护私钥的重要性。如果私钥被暴露,即攻击者可能已经获得私钥并且已经读取了对应的公钥下的所有加密发送/接收的消息并伪造了签名。这些后果的严重性证实了用安全机制保护私钥的重要性。最近发生了一次攻击,证明了主机代管的可行性,并为商业云环境上的敏感信息泄露提供了第一个具体证据。可以通过租户虚拟机之间的资源共享来启用和检测主机代管检测。在某些情况下,相同的机制也可以被漏洞利用,以从主机代管的受害者VM提取敏感信息,从而导致安全和隐私被破坏。它们已经提出了一种成熟的攻击,对细微的泄露进行漏洞利用,以从主机代管的实例中恢复RSA解密密钥。如在图38的方框#2中所示,执行了质数和探测攻击,以从运行前述易受攻击的库的仔细监视的云VM恢复噪声密钥。
问题3:管理对可信的第三方所有者的信任
NFV系统中的所有认证机制的问题基于对认证服务器的信任级别 (例如公钥密码系统(PKC))。在传统的加密系统中,存在一种假设,假设认证服务器是可信的,这样它们从来不会失败并且难于暴露。然而,在实时场景中,这种假设不会发生。
尽管这种服务器保存在物理安全的环境中,但攻击者仍有机会远程劫持安全操作。只要专用认证服务器的私钥被暴露,就会出现安全问题。在PKC系统中,攻击者可以通过假冒证书并得到证书授权中心(C A)的安全凭证来创建有效的凭证,并且可以通过使用该证书来冒充信任该妥协CA的任何用户。一旦确定了该暴露,必须递归撤销由该CA颁发的所有证书。如果顶层授权的私钥被暴露,则应该撤销系统的所有证书。撤销的证书可以造成NFV系统的安全瓶颈。
如上所述,由于网络服务和数据保护对于可信的第三方特别重要,所以安全性对于NFV系统至关重要,因为可信的第三方不确定他们是否要将安全凭证和网络功能移动到云中。如果没有强制性保证,可信的第三方供应商将不愿意采用基于NFV的服务。因此,NFV应该为敏感数据和其服务提供附加的安全性和保护。
所以,所提出的框架应该解决诸如敏感数据泄露和管理对可信的第三方的信任之类的安全性问题,以相同的方式,其应该通过使风险最小化以及管理可信的第三方服务器之间的信任来构建支持真实性、完整性和不可抵赖性的安全系统。NFV系统具有各种可能已知或未知的威胁。威胁如来自VM的网络攻击:如地址解析协议(ARP)中毒、中间人攻击、流量的机密性和完整性、认证和授权(包括初始部署期间)、 API(应用编程接口)的认证和授权、配置错误、窃取VM、打补丁、应用层攻击、配置的认证和授权、未经授权的存储访问、复制VM镜像加密和篡改加密的敏感信息。
NFV系统包含安全凭证,例如密钥、密码等,通过使网络/服务器妥协,其可以用于获得访问权限,或者其可以用于执行诸如DHCP(动态主机配置协议)攻击、DDoS(分布式拒绝服务)攻击等分布式攻击。这些密钥还可以用于解密敏感信息、窃取数字身份或伪造签名。
为了解决所有这些问题,需要对划界技术进行设计,以提供安全性加强的认证功能。诸如加密密钥和其他密码之类的凭证的防篡改存储是实现这种功能所需的关键特征之一。
已经鉴于前述内容做出本发明。即,本发明的目的是提供一种网络功能虚拟化系统,其可以有助于改进对敏感的认证数据进行保护的功能。
根据第一方面,提供了一种网络功能虚拟化系统,包括:请求接收单元,接收对至少一个数据交换方的证书的请求。网络功能虚拟化系统还包括:私钥生成器,响应于该请求,使用存储在基于硬件的隔离的安全执行环境中的第二私钥信息生成第一私钥信息。网络功能虚拟化系统还包括:公钥提取器,提取(对应于)第一私钥信息的公钥信息。网络功能虚拟化系统还包括:公钥信息存储单元,存储公钥信息。网络功能虚拟化系统还包括:验证单元,能够从请求接收单元访问验证单元,验证单元使用与证书相对应的公钥信息来验证证书,如图1所示。
根据本发明的第二方面,提供了一种网络功能虚拟化系统中的验证方法,包括以下步骤:接收对至少一个数据交换方的证书的请求;响应于请求,使用存储在基于硬件的隔离的安全执行环境中的第二私钥信息来生成第一私钥信息;提取(对应于)第一私钥信息的公钥信息;以及通过可从应用编程接口访问的验证单元,使用与证书相对应的公钥信息来验证证书或请求。
根据本发明,提供了一种网络功能虚拟化系统,具有用于保护敏感的认证数据的改进的性能。
附图说明
[图1]图1是示出根据本发明的示例性实施例的配置的框图。
[图2]图2是示出所提出的方法的架构的框图。
[图3]图3是示出根据本发明的示例性实施例1的网络功能虚拟化系统的私钥层次结构的框图。
[图4]图4是示出本公开中所使用的软件私钥生成器的代表性功能的图。
[图5]图5是示出本公开中所使用的密钥更新软件私钥生成器的代表性功能的图。
[图6]图6是示出用于验证PKI证书的本公开的NFV系统的图。
[图7]图7是示出验证PKI证书的本公开的NFV系统的行为的图。
[图8]图8是示出用于验证PKI证书而在HISEE和NFV之间发送的消息格式的图。
[图9]图9是示出用于验证PKI证书而在HISEE和NFV之间发送的消息格式的图。
[图10]图10是示出用于验证装载VNF包的本公开的NFV系统的图。
[图11]图11是示出验证装载VNF包的本公开的NFV系统的行为的图。
[图12]图12是示出用于验证装载VNF包而在HISEE和NFV之间发送的消息格式的图。
[图13]图13是示出用于验证装载VNF包而在HISEE和NFV之间发送的消息格式的图。
[图14]图14是示出用于验证用于认证的可信的第三方私钥的本公开的NFV系统的图。
[图15]图15是示出验证用于认证的可信的第三方私钥的本公开的NFV系统的行为的图。
[图16]图16是示出用于验证用于认证的可信的第三方私钥而在H ISEE和NFV之间发送的消息格式的图。
[图17]图17是示出用于验证用于认证的可信的第三方私钥而在H ISEE和NFV之间发送的消息格式的图。
[图18]图18是示出用于验证VNF的缩放触发请求的本公开的NFV 系统的图。
[图19]图19是示出验证VNF的缩放触发请求的本公开的NFV系统的行为的图。
[图20]图20是示出用于验证VNF的缩放触发请求而在HISEE和NFV 之间发送的消息格式的图。
[图21]图21是示出用于验证VNF的缩放触发请求而在HISEE和NFV 之间发送的消息格式的图。
[图22]图22是示出用于验证EM/VNF的缩放触发请求的本公开的N FV系统的图。
[图23]图23是示出验证EM/VNF的缩放触发请求的本公开的NFV系统的行为的图。
[图24]图24是示出用于验证EM/VNF的缩放触发请求而在HISEE和 NFV之间发送的消息格式的图。
[图25]图25是示出用于验证EM/VNF的缩放触发请求而在HISEE和 NFV之间发送的消息格式的图。
[图26]图26是示出用于验证OSS/BSS的缩放触发请求的本公开的 NFV系统的图。
[图27]图27是示出验证OSS/BSS的缩放触发请求的本公开的NFV 系统的行为的图。
[图28]图28是示出用于验证OSS/BSS的缩放触发请求而在HISEE 和NFV之间发送的消息格式的图。
[图29]图29是示出用于验证OSS/BSS的缩放触发请求而在HISEE 和NFV之间发送的消息格式的图。
[图30]图30是示出用于验证VNFC故障请求的本公开的NFV系统的图。
[图31]图31是示出验证VNFC故障请求的本公开的NFV系统的行为的图。
[图32]图32是示出用于验证VNFC故障请求而在HISEE和NFV之间发送的消息格式的图。
[图33]图33是示出用于验证VNFC故障请求而在HISEE和NFV之间发送的消息格式的图。
[图34]图34是示出用于验证VNFC故障服务状态并在安全存储器中存储VNFC故障服务状态的本公开的NFV系统的图。
[图35]图35是示出验证VNFC故障服务状态并在安全存储器中存储VNFC故障服务状态的本公开的NFV系统的行为的图。
[图36]图36是示出用于验证VNFC故障服务状态并在安全存储器中存储VNFC故障服务状态而在HISEE和NFV之间发送的消息格式的图。
[图37]图37是示出用于验证VNFC故障服务状态并在安全存储器中存储VNFC故障服务状态而在HISEE和NFV之间发送的消息格式的图。
[图38]图38是用于解释现有解决方案中的问题的图。
具体实施方式
在最开始,将参考附图描述本发明的示例性实施例的概要。注意,在概述中加入了用于参考附图的符号,仅作为示例以辅助理解,而不旨在将本发明限制为所示模式。
参考图1,本发明的示例性实施例可以由网络功能虚拟化系统10 实现,网络功能虚拟化系统10由请求接收单元11、私钥生成器15、公钥提取器14、公钥信息存储单元13和验证单元12。
具体地,请求接收单元11接收对至少一个数据交换方的证书的请求。私钥生成器15响应于请求,使用存储在基于硬件的隔离的安全执行环境中的第二私钥信息来生成第一私钥信息。公钥提取器14提取第一私钥信息的公钥信息。公钥信息被存储在公钥信息存储单元13中。验证 单元12能够从请求接收单元访问。并且,验证 单元12使用与证书相对应的公钥信息来验证证书。
利用上述配置,可以保护NFV系统免受许多威胁安全的攻击。
接下来,以下将参考附图更加详细地描述本发明的各种实施例。下面的公开将PKC认证作为假设,是HISEE中保护诸如密码、私钥、加密证书、令牌等安全凭证的高度安全且有效的方法。使用本公开,NF V组件可以彼此认证,在实例化、迁移、监视和休眠/挂起期间确保安全认证。
5.1动机:
-在HISEE中安全存储器并访问诸如私钥、密码、令牌等的私有凭证。
-私钥用于加密或签名验证,即
所存储的镜像是否加密并且完整性得到保护;
在PKI证书验证期间;
-本公开揭示了保护安全凭证以及如何在NFV组件和HISEE之间安全地访问它们的方案。
5.2假设:
-HISEE是NFV系统的可信环境,其是软件组件和硬件组件两者的组合。
-私钥(PS)是基于软件的私钥,其是基于原始硬件的私钥(PH) 的子集。
-基于原始硬件的私钥(PH)是基于硬件的嵌入式私钥。
-私钥(PS)存储在安全存储器中,原始硬件私钥(PH)保存在安全环境(即HISEE)中。
-PKC-公钥密码系统(例如:基于RSA算法做出假设)。
-将在安全信道中将私钥共享给可信的第三方/供应商/订户。
-证书生成离线进行。
作为本公开的优选实施例,描述了以下用例。
-用例1:从HISEE安全访问私钥(PS),以用于验证PKI证书
-用例2:从HISEE安全访问私钥(PS),以用于VNF包验证
-用例3:验证可信的第三方私钥(PS),以用于认证
-用例4:验证VNFM的缩放触发请求
-用例5:验证EM/VNF的缩放触发请求
-用例6:验证OSS/BSS的缩放触发请求
-用例7:验证VNFC故障请求
-用例8:验证必须存储在安全存储器中的VNFC故障服务状态
-认证机制
-可以由使用HISEE的NFV平台来对可信的第三方进行认证,用于通过仅使用私钥(PS)公共分量和的模数函数来访问敏感数据。
-用于各种目的的消息序列
-从提供的私钥(PS)导出公共分量和模数函数。
-在普通环境引擎-HISEE与安全环境引擎-HISEE两者之间握手。
-消息格式
-访问HISEE中的敏感数据
-如何从普通转发认证请求
-密钥生成
-基于NFV的系统属性(唯一标识符,如IMEI(国际移动设备标识符)号、位置协调值或任何索引值等),不将任何硬件私钥(PH)用于生成私钥(PS)。
-所生成的软件私钥(PS)用于NFV系统所需的认证或加密机制。
5.4有益效果:
通过使用该想法,在NFV系统中,可以通过任何含义的认证过程来保护安全凭证免受非安全环境的影响。即使在最坏情况的场景中,如果私钥(PS)的公共分量和模数函数妥协了,也不会影响整个私钥凭证。
6.所提出的方法的架构
图2是示出所提出的方法的架构的框图。如图2所示,普通环境引擎130和HISEE架构140可以设置在NFV平台的NFVI(网络功能虚拟化基础设施)中的虚拟化层中。将在下面对用例的解释说明中描述每个组件。
7.私钥层次结构
图3是示出私钥层次结构的图。如图3所示,从存储在基于硬件的隔离的安全执行环境中的原始私钥生成私钥(psn)。每个私钥(psn) 用于证书管理、加密镜像等。
7.1软件私钥生成器(PG)
图4是示出软件私钥生成器的代表性功能的图。如图4所示,软件私钥生成器以例如可信的第三方私钥(PTTP)、硬件私钥(PH)的随机数值、权威区中的唯一属性(唯一标识符,如IMEI号、位置协调值或任何索引值等)集合(A1,A2,A3,...,AN)作为输入,并输出软件私钥(PS)。我们将假设在运行该算法之前,已经对权威区中的属性集合进行了验证(例如唯一性、安全强度级别等)。软件私钥生成器(P G)是基于安全随机化的算法,其必须由授权方来运行。授权方可以基于他们的安全要求来选择并使用他们的私钥生成器。安全凭证将通过安全信道分发给从属服务提供商。
7.2密钥更新软件私钥生成器(PRK):
图5是示出密钥更新软件私钥生成器的代表性功能的图。如图5所示,密钥更新软件私钥生成器(PRK)以例如第三方私钥、硬件私钥(P H)的随机数值、权威区中的属性集合(A1,A2,A3,...,AN)、单调计数器值(CM)和旧软件私钥(OPS)作为输入。其生成新的软件私钥(N PS)。新的更新的安全凭证将通过安全信道分发给从属服务提供商。
应该注意以下事项。HISEE已经内置了单调计数器,单调计数器的值是非易失性的,且可以加1单调,但它不能回复成较旧的值,即使对托管和调用HISEE的整个机器具有完全的物理访问权限。
8.所提出的用于NFV用例的协议
8.1验证NFV系统中的PKI证书
8.1.1用于验证PKI证书的框图
图6是示出用于验证PKI证书的本公开的NFV系统的图。
8.1.2描述
如图6所示,NFV系统100允许各种虚拟化功能服务,如实例化、休眠/挂起、退出和迁移。这些服务需要在NFV节点之间传送关键信息/ 数据请求。因此,极其有必要提供如认证之类的安全服务。PKI证书系统用于为NFV系统100提供认证服务。用例的目的是对任何内部或外部用户访问NFV系统的PKI证书请求的真实性进行验证。任何恶意用户可能使用复制的或恶意的证书,其可能导致NFV系统的妥协。所以外部或内部用户必须在他们请求访问NFV系统时,向VIM(虚拟化基础设施管理器)112证明他们不是恶意的。使用所提出的本公开的机制可以容易地实现真实性。以下我们提供了用于验证任何内部或外部用户的PKI 证书的逐步认证过程。
8.1.3过程:
如图6所示,本公开的NFV系统如下验证PKI证书。
-步骤1:外部用户或任何云服务器210请求NFV系统100访问PKI 证书,用于在NFV系统与外部系统之间任何种类的数据交换。
-步骤2:NFVO(NFV编排器)111使用下面所提出的协议来核实外部用户的真实性。即,NFVO 111对应于图1中的请求接收单元11。
-步骤3:NFVO 111将请求转发给VIM 112,用于核实真实性。
-步骤4:VIM 112核实认证请求。
-步骤5:VIM 112将请求转发给NFVI 113,用于签名验证。
-步骤6:NFVI 113在安全存储器中定位私钥(PS)的签名和API,用于核实认证请求。
-步骤7:私钥(PS)的API将调用转发给普通环境引擎(NEE)1 30,以得到私钥(PS)的公共指数和模数值。
-步骤8:普通环境引擎130将请求映射到定位在安全环境中的安全环境引擎(SEE)141。
-步骤9:安全环境引擎(SEE)141读取定位在HISEE 140中的私钥(PS),并提取私钥(PS)的公共指数和模数值。即,安全环境引擎 (SEE)141对应于图1中的公钥提取器14。
-步骤10:PKC容器142存储所提取的私钥(PS)的公共指数和模数值用于特定会话,并将其永久擦除。
-步骤11:PKC容器142将诸如公共指数和模数值之类的凭证转发给安全环境引擎(SEE)140。即,PKC容器142对应于图1中的公钥信息存储单元13。
-步骤12:安全环境引擎(SEE)141为给定的认证请求制定公共指数和模数值,并将凭证转发给普通环境引擎(NEE)130。
-步骤13:普通环境引擎130用私钥(PS)的公共指数和模数值响应API的调用。
-步骤14:如果用所提取的私钥(PS)的公共指数和模数值核实成功,则安全存储器120将向NFVI 113通知认证成功。即,安全存储器120对应于图1中的验证单元12。
-步骤15:NFVI 113将认证状态转发给VIM 112。
-步骤16:如果认证成功,则VIM向NFVO 111确认PKI证书认证成功,否则拒绝该请求。
-步骤17:NFVO 111通知NFV系统。
8.1.4用于保护从HISEE访问用于验证PKI证书的私钥(PS)的安全的用例
图7是示出验证PKI证书的本公开的NFV系统的行为的图。
8.1.5保护从HISEE访问私钥(PS)的安全的消息格式,用于验证 PKI证书
图8和图9是示出用于验证PKI证书而在HISEE和NFV之间发送的消息格式的图。
8.1.6从HISEE安全访问私钥用于VNF包验证的操作
如图8和图9所示,HISEE和NFV发送以下消息。
1)Validate_PKI_Certificate,NFVO->VIM
该消息定义了NFVO 111到VIM 112的用于PKI证书验证的核实请求。
2)Validate_PKI_Certificate,VIM->NFVI
该消息定义了VIM 112到NFVI 113的用于PKI证书验证的核实请求。
3)Validate_PKI_Certificate,Read_PrivateKeyAPI,NFVI-> SS
该消息定义了通过调用私钥(PS)的API并在安全存储器(SS)中定位凭证的PKI证书的核实。
4)Get_Public_Exponent,Get_ModulusValue,SS->NEE
该消息定义了从SS 120向NEE 130转发API调用,以请求私钥的公共指数和模数值。
5)Get_Public_Exponent,Get_ModulusValue,NEE->SEE
该消息定义了从NEE 130向SEE 141转发API调用,以请求私钥的公共指数和模数值。
6)Extract_Public_Exponent,Extract_ModulusValue,SEE-> HISEE(SW)
该消息定义了将私钥的公共指数和模数值从SEE 141提取到私钥 143(PS)。
7)Store_Public_Exponent,Store_ModulusValue,PKCCont< -HISEE(SW)
该消息定义了将私钥的公共指数和模数值存储在PKC容器142中。
8)Send_Public_Exponent,Send_ModulusValue,SEE<-PKCCo nt
该消息定义了从PKC容器142向安全环境引擎SEE 141转发私钥的公共指数和模数值。
9)Formulate_Public_Exponent,Formulate_ModulusValue, SEE
该消息定义了在安全环境引擎SEE 141中制定私钥的公共指数和模数值。
10)Send_Public_Exponent,Send_ModulusValue,NEE<-SEE
该消息定义了从安全环境引擎(SEE)141向普通环境引擎(NEE) 130转发私钥的公共指数和模数值。
11)Send_Public_Exponent,Send_ModulusValue,SS<-NEE
该消息定义了从普通环境引擎(NEE)向安全存储器(SS)120转发私钥的公共指数和模数值。
12)Validate_PKI_Certificate(Public_Exponent,ModulusV alue),SS
该消息定义了使用私钥(PS)的公共指数和模数值核实PKI证书,以实现真实性。
13)Notify_Validation_Status(Success/Failure),NFVI<-S S
该消息定义了从安全存储器(SS)120到NFVI 113的PKI证书的核实状态。
14)Notify_Validation_Status(Success/Failute),VIM<-NF VI
该消息定义了从NFVI 113到VIM 112的PKI证书的核实状态。
15)Notify_Validation_Status(Success/Failure),NFVO<-V IM
该消息定义了从VIM 112到NFVO 111的PKI证书的核实状态。
8.2验证装载VNF包
8.2.1用于验证装载VNF包的框图
图10是示出用于验证装载VNF包的本公开的NFV系统的图。
8.2.2描述:
如图10所示,VNF包装载指代将VNF包提交给NFVO 111以包括在目录(CatLog)160中的过程。附图绘制了用于验证装载VNF包的框图。该用例的目的是验证任何内部或外部用户对装载VNF包的请求的真实性和完整性。任何恶意用户可能在没有必要的情况下请求装载VNF包,其可能导致NFV系统100a的妥协。所以外部或内部用户必须在他们请求装载VNF包时,向VIM 112证明他们不是恶意的。使用所提出的本公开的机制可以容易地实现真实性和完整性。以下我们提供了用于验证任何内部或外部用户的装载VNF包的逐步认证过程。
8.2.3过程:
如图10所示,本公开的NFV系统如下验证装载VNF包:
-步骤1:使用VNF包管理接口的操作装载VNF包来将VNF包提交给 NFVO 111,用于装载VNFD。
-步骤2:NFVO 111使用下面所提出的协议来核实外部用户的真实性。
-步骤3:NFVO 111将请求转发给VIM 112,用于核实外部用户的真实性。
-步骤4:VIM 112核实认证请求。
-步骤5:VIM 112将请求转发给NFVI 113,用于签名验证。
-步骤6:NFVI 113在安全存储器120中定位私钥(PS)的VNF证书和API,用于核实认证请求。
-步骤7:私钥(PS)的API将调用转发给普通环境引擎(NEE)1 30,以得到私钥(PS)的公共指数和模数值。
-步骤8:普通环境引擎(NEE)130将请求映射到定位在安全环境中的安全环境引擎(SEE)141。
-步骤9:安全环境引擎(SEE)141读取定位在HISEE 140中的私钥(PS),并提取私钥(PS)的公共指数和模数值。
-步骤10:PKC容器142存储所提取的私钥(PS)的公共指数和模数值用于特定会话,并将其永久擦除。
-步骤11:PKC容器142将诸如公共指数和模数值之类的凭证转发给安全环境引擎(SEE)141。
-步骤12:安全环境引擎(SEE)141为给定的认证请求制定公共指数和模数值,并将凭证转发给普通环境引擎(NEE)130。
-步骤13:普通环境引擎(NEE)130用私钥(PS)的公共指数和模数值响应API的调用。
-步骤14:如果用所提取的私钥(PS)的公共指数和模数值核实成功,则安全存储器120将向NFVI 113通知认证成功。
-步骤15:NFVI 113将认证状态转发给VIM 112。
-步骤16:如果认证成功,则VIM 112向NFVO 111确认镜像上传成功,否则拒绝该请求。
-步骤17:NFVO 111通知目录。
-步骤18:NFVO 111向发送方确认VNF包装载。
8.2.4用于从HISEE安全访问私钥的用例,用于VNF包验证
图11是示出验证装载VNF包的本公开的NFV系统的行为的图。
8.2.5消息格式:从HISEE安全访问私钥,用于VNF包验证
图12和图13是示出用于验证装载VNF包而在HISEE和NFV之间发送的消息格式的图。
8.2.6从HISEE安全访问私钥用于VNF包验证的操作
如图12和图13所示,HISEE和NFV发送以下消息。
1)Validate_QueryImageRequest,NFVO->VIM
该消息定义了NFVO 111到VIM 112的用于镜像验证的核实请求。
2)Validate_QueryImageRequest,VIM->NFVI
该消息定义了VIM 112到NFVI 113的用于镜像验证的核实请求。
3)Validate_VNF_Certificate,Read_PrivateKeyAPI,NFVI-> SS
该消息定义了通过调用私钥(PS)的API并在安全存储器(SS)1 20中定位凭证来核实VNF证书。
4)Get_Public_Exponent,Get_ModulusValue,SS-<NEE
该消息定义了从SS 120向NEE 130转发API调用,以请求私钥的公共指数和模数值。
5)Get_Public_Exponent,Get_ModulusValue,NEE->SEE
该消息定义了从NEE 130向SEE 141转发API调用,以请求私钥的公共指数和模数值。
6)Extract_Public_Exponent,Extract_ModulusValue,SEE-> HISEE(SW)
该消息定义了将私钥的公共指数和模数值从SEE 141提取到私钥 143(PS)。
7)Store_Public_Exponent,Store_ModulusValue,PKCCont< -HISEE(SW)
该消息定义了将私钥的公共指数和模数值存储在PKC容器142中。
8)Send_Public_Exponent,Send_ModulusValue,SEE<-PKCCo nt
该消息定义了从PKC容器142向安全环境引擎SEE 141转发私钥的公共指数和模数值。
9)Formulate_Public_Exponent,Formulate_ModulusValue, SEE
该消息定义了在安全环境引擎(SEE)141中制定私钥的公共指数和模数值。
10)Send_Public_Exponent,Send_ModulusValue,NEE<-SEE
该消息定义了从安全环境引擎(SEE)141向普通环境引擎(NEE) 130转发私钥的公共指数和模数值。
11)Send_Public_Exponent,Send_ModulusValue,SS<-NEE
该消息定义了从普通环境引擎(NEE)130向安全存储器(SS)12 0转发私钥的公共指数和模数值。
12)Validate_VNF_Certificate(Public_Exponent,ModulusVa lue),SS
该消息定义了使用私钥(PS)的公共指数和模数值核实VNF证书,以实现真实性。
13)Notify_Validation_Status(Success/Failure),NFVI<-S S
该消息定义了从安全存储器(SS)120到NFVI 113的VNF证书的核实状态。
14)Notify_Validation_Status(Success/Failure),VIM<-NF VI
该消息定义了从NFVI 113到VIM 112的VNF证书的核实状态。
15)Notify_Validation_Status(Success/Failure),NFVO<-V IM
该消息定义了从VIM 112到NFVO 111的VNF证书的核实状态。
8.3验证用于认证的可信的第三方私钥
8.3.1用于验证用于认证的可信的第三方私钥的框图
图14是示出用于验证用于认证的可信的第三方私钥的本公开的N FV系统的图。
8.3.2描述
如图14所示,利用NFV系统100b访问数据和服务的一些专用第三方服务器的可靠性。为了访问数据和服务,需要可信的第三方凭证,如私钥、令牌等。如果这些凭证妥协了,则可能导致安全问题,因为这种对可信的第三方服务器有要求的不可用会导致整个系统被阻塞,它们中的妥协意味着信任该服务器的所有用户的妥协。因此,极其有必要为可信的第三方凭证提供安全性。该用例的目的是验证访问存储在NFV系统100b中的可信的第三方凭证的真实性。任何恶意用户可能使用复制的或篡改的可信的第三方凭证,其可能导致NFV系统100b的妥协。所以外部或内部用户必须在他们请求访问NFV系统100b中的可信的第三方凭证时,向VIM 112证明他们不是恶意的。使用所提出的本公开的机制可以容易地实现真实性。以下我们提供了用于验证TTP私钥的逐步认证过程,该TTP私钥用于任何内部/外部用户的认证。
8.3.3过程:
如图14所示,本公开的NFV系统如下验证用于认证的可信的第三方私钥。
-步骤1:外部用户或任何云服务器请求NFV系统100b访问可信的第三方私钥121,用于在NFV系统100b与诸如云服务器210之类的外部系统之间进行任何种类的数据交换。
-步骤2:NFVO 111使用下面所提出的协议来核实外部用户的真实性。
-步骤3:NFVO 111将请求转发给VIM 112,用于核实真实性。
-步骤4:VIM 112核实认证请求。
-步骤5:VIM 112将请求转发给NFVI 113,用于签名验证。
-步骤6:NFVI 113在安全存储器120中定位私钥(PS)的签名和 API,用于核实认证请求。
-步骤7:私钥(PS)的API将调用转发给普通环境引擎(NEE)1 30,以得到私钥(PS)的公共指数和模数值。
-步骤8:普通环境引擎130将请求映射到定位在安全环境中的安全环境引擎(SEE)141,
-步骤9:安全环境引擎(SEE)141读取定位在HISEE 140中的私钥(PS),并提取私钥(PS)的公共指数和模数值。
-步骤10:PKC容器142存储所提取的私钥(PS)的公共指数和模数值用于特定会话,并将其永久擦除。
-步骤11:PKC容器142将诸如公共指数和模数值之类的凭证转发给安全环境引擎(SEE)141。
-步骤12:安全环境引擎(SEE)141为给定的认证请求制定公共指数和模数值,并将凭证转发给普通环境引擎(NEE)130。
-步骤13:普通环境引擎(NEE)130用私钥(PS)的公共指数和模数值响应API的调用。
-步骤14:如果用所提取的私钥(PS)的公共指数和模数值核实成功,则安全存储器120将向NFVI 113通知认证成功。
-步骤15:NFVI 113将认证状态转发给VIM 112。
-步骤16:如果认证成功,则VIM 112向NFVO 111确认访问可信的第三方私钥认证成功,否则拒绝该请求。
-步骤17:NFVO 111通知NFV系统。
8.3.4用于验证用于认证的可信的第三方私钥的用例
图15是示出验证用于认证的可信的第三方私钥的本公开的NFV系统的行为的图。
8.3.5用于验证用于认证的可信的第三方私钥的消息格式
图16和图17是示出用于验证用于认证的可信的第三方私钥而在H ISEE和NFV之间发送的消息格式的图。
8.3.6从HISEE安全访问私钥用于VNF包验证的操作
如图16和图17所示,HISEE和NFV发送以下消息。
1)Validate_TTP_CertificateRequest,NFVO->VIM
该消息定义了NFVO 111到VIM 112的用于TTP证书验证的核实请求。
2)Validate_TTP_Cert ificateRequest,VIM->NFVI
该消息定义了VIM 112到NFVI 113的用于TTP证书验证的核实请求。
3)Validate_TTP_Certificate,Read_PrivateKeyAPI,NFVI-> SS
该消息定义了通过调用私钥(PS)的API并在安全存储器(SS)1 20a中定位凭证来核实TTP证书。
4)Get_Public_Exponent,Get_ModulusValue,SS->NEE
该消息定义了从SS 120a向NEE 130转发API调用,以请求私钥的公共指数和模数值。
5)Get_Public_Exponent,Get_ModulusValue,NEE->SEE
该消息定义了从NEE 130向SEE 141转发API调用,以请求私钥的公共指数和模数值。
6)Extract_Public_Exponent,Extract_ModulusValue,SEE-> HISEE(SW)
该消息定义了将私钥的公共指数和模数值从SEE 141提取到私钥 143(PS)。
7)Store_Public_Exponent,Store_ModulusValue,PKCCont< -HISEE(SW)
该消息定义了将私钥的公共指数和模数值存储在PKC容器142中。
8)Send_Public_Exponent,Send_ModulusValue,SEE<-PKCCo nt
该消息定义了从PKC容器142向安全环境引擎(SEE)141转发私钥的公共指数和模数值。
9)Formulate_Public_Exponent,Formulate_ModulusValue, SEE
该消息定义了在安全环境引擎(SEE)141中制定私钥的公共指数和模数值。
10)Send_Public_Exponent,Send_ModulusValue,NEE<-SEE
该消息定义了从安全环境引擎(SEE)141向普通环境引擎(NEE) 130转发私钥的公共指数和模数值。
11)Send_Public_Exponent,Send_ModulusValue,SS<-NEE
该消息定义了从普通环境引擎(NEE)130向安全存储器(SS)12 0a转发私钥的公共指数和模数值。
12)Validate_TTP_Certificate(Public_Exponent,ModulusVa lue),SS
该消息定义了使用私钥(PS)的公共指数和模数值核实TTP证书,以实现真实性。
13)Notify_Validation_Status(Success/Failure),NFVI<-S S
该消息定义了从安全存储器(SS)120a到NFVI 113的TTP证书的核实状态。
14)Notify_Validation_Status(Success/Failure),VIM<-NF VI
该消息定义了从NFVI 113到VIM 112的TTP证书的核实状态。
15)Notify_Validation_Status(Success/Failure),NFVO<-V IM
该消息定义了从VIM 112到NFVO 111的TTP证书的核实状态。
8.4验证VNFM的缩放触发请求
8.4.1用于验证VNF的缩放触发请求的框图
图18是示出用于验证VNF的缩放触发请求的本公开的NFV系统的图。
8.4.2描述
图18绘出了用于验证VNFM的缩放触发请求的框图。该用例的目的是验证VNFM的缩放触发请求的真实性。任何恶意用户可能在没有必要的情况下发起缩放触发。所以当VNFM请求缩放触发时,VNFM必须向VI M 112证明它们不是恶意的。使用我们所提出的机制可以容易地实现真实性。以下我们提供了用于验证VNFM所发起的缩放触发请求的逐步认证过程。
8.4.3过程:
如图18所示,本公开的NFV系统如下验证VNF 100c的缩放触发请求。
-步骤1:VNFM 118在测量EM/VNF的性能时检测到容量不足。
-步骤2:VNFM 118和NFVO 111彼此协调,用于缩放决策。
-步骤3:VNFM 118将请求转发给VIM 112,用于核实真实性。
-步骤4:VIM 112核实认证请求。
-步骤5:VIM 112将请求转发给NFVI 113,用于签名验证。
-步骤6:NFVI 113在安全存储器120中定位私钥(PS)的签名和 API,用于核实认证请求。
-步骤7:私钥(PS)的API将调用转发给普通环境引擎(NEE)1 30,以得到私钥(PS)的公共指数和模数值。
-步骤8:普通环境引擎130将请求映射到定位在安全环境中的安全环境引擎(SEE)141,
-步骤9:安全环境引擎(SEE)141读取定位在HISEE 140中的私钥(PS),并提取私钥(PS)的公共指数和模数值。
-步骤10:PKC容器142存储所提取的私钥(PS)的公共指数和模数值用于特定会话,并将其永久擦除。
-步骤11:PKC容器142将诸如公共指数和模数值之类的凭证转发给安全环境引擎(SEE)141。
-步骤12:安全环境引擎(SEE)141为给定的认证请求制定公共指数和模数值,并将凭证转发给普通环境引擎(NEE)130。
-步骤13:普通环境引擎(NEE)130用私钥(PS)的公共指数和模数值响应API的调用。
-步骤14:如果用所提取的私钥(PS)的公共指数和模数值核实成功,则安全存储器120将向NFVI 113通知认证成功。
-步骤15:NFVI 113将认证状态转发给VIM 112。
-步骤16:如果认证成功,则VIM 112确认向VNFM 118分配资源的状态,否则拒绝该请求。
-步骤17:VNFM 118将与NFVO 111进行协调,并为缩放分配资源。
-步骤18:如果认证请求成功,则VNFM 118将状态更新到EM/VNF。
-步骤19:NFVO 111现在知道新缩放的VNF的配置被实例化。
-步骤20:NFVO 111将VNF映射到适当的VIM 112和资源池。
8.4.4用于验证VNFM的缩放触发请求的用例
图19是示出验证VNFM的缩放触发请求的本公开的NFV系统的行为的图。
8.4.5用于验证VNFM的缩放触发请求的消息格式
图20和图21是示出用于验证VNFM的缩放触发请求而在HISEE和NF V之间发送的消息格式的图。
8.4.6用于验证VNFM的缩放触发请求的操作
如图20和图21所示,HISEE和NFV发送以下消息。
1)Detect_Error_ResourceAllocation,VNFM
该消息定义了在VNFM 118中进行资源分配期间的错误检测。
2)Cordinates_Scaling_Descison,VNFM<->NFVO
该消息定义了VNFM 118和NFVO 111之间的缩放决策的协调。
3)ScalingRequest,VNFM->VIM
该消息定义了从VNFM 118到VIM 112的资源分配的缩放请求。
4)Validate_SealingTriggerRequest,VIM
该消息定义了VIM 112对缩放请求的核实。
5)Validate_ScalingTriggerRequest,VIM->NFVI
该消息定义了从VIM 112到NFVI 113的缩放请求的核实。
6)Validate_VNFM_Certificate,Read_PrivateKeyAPI,NFVI ->SS
该消息定义了通过调用私钥(PS)的API并在安全存储器(SS)1 20中定位凭证来核实VNFM证书。
7)Get_Public_Exponent,Get_ModulusValue,SS->NEE
该消息定义了从SS 120向NEE 130转发API调用,以请求私钥的公共指数和模数值。
8)Get_Public_Exponent,Get_ModulusValue,NEE->SEE
该消息定义了从NEE 130向SEE 141转发API调用,以请求私钥的公共指数和模数值。
9)Extract_Public_Exponent,Extract_ModulusValue,SEE-> HISEE(SW)
该消息定义了将私钥的公共指数和模数值从SEE 141提取到私钥 143(PS)。
10)Store_Public_Exponent,Store_ModulusValue,PKCCont< -HISEE(SW)
该消息定义了将私钥的公共指数和模数值存储在PKC容器142中。
11)Send_Public_Exponent,Send_ModulusValue,SEE<-PKCCo nt
该消息定义了从PKC容器142向安全环境引擎SEE 141转发私钥的公共指数和模数值。
12)Formulate_Public_Exponent,Formulate_ModulusValue, SEE
该消息定义了在安全环境引擎SEE 141中制定私钥的公共指数和模数值。
13)Send_Public_Exponent,Send_ModulusValue,NEE<-SEE
该消息定义了从安全环境引擎(SEE)141向普通环境引擎(NEE) 130转发私钥的公共指数和模数值。
14)Send_Public_Exponent,Send_ModulusValue,SS<-NEE
该消息定义了从普通环境引擎(NEE)130向安全存储器(SS)12 0转发私钥的公共指数和模数值。
15)Validate_VNFM_Certificate(Public_Exponent,Modulus Value),SS
该消息定义了使用私钥(PS)的公共指数和模数值核实VNFM证书,以实现真实性。
16)Notify_Validation_Status(Success/Failure),NFVI<-S S
该消息定义了从安全存储器(SS)120到NFVI 113的VNFM证书的核实状态。
17)Notify_Validation_Status(Success/Failure),VIM<-NF VI
该消息定义了从NFVI 113到VIM 112的VNFM证书的核实状态。
18)Cheek_Validation_Status,Perform_Scaling_Configurat ion,VIM
该消息定义了检查VNFM 118证书的核实状态,并且如果核实状态成功,则为VNFM118执行缩放配置,否则拒绝该请求。
19)Ack_NewResourceAllocation,VNFM<-VIM
该消息定义了来自VIM 112的VNFM 118的新资源分配的确认状态。
20)Update_Scaling_Configuration,VNFM
该消息定义了对VNFM 118的缩放配置的更新。
21)Update_Scaling_Configuration_Status,VNFM->NFVO
该消息定义了由VNFM 118向NFVO 111更新缩放配置状态。
8.5验证EM/VNF的缩放触发请求
8.5.1用于验证EM/VNF的缩放触发请求的框图
图22是示出用于验证EM(网元管理)/VNF的缩放触发请求的本公开的NFV系统的图。
8.5.2描述
图22绘出了用于验证EM/VNF的缩放触发请求的框图。该用例的目的是验证EM/VNF的缩放触发请求的真实性。任何恶意用户可能在没有必要的情况下发起缩放触发。所以当EM/VNF请求缩放触发时,EM/VNF 必须向VIM 112证明它们不是恶意的。使用所提出的本公开的机制可以容易地实现真实性。以下我们提供了用于验证EM/VNF所发起的缩放触发请求的逐步认证过程。
8.5.3过程:
如图22所示,本公开的NFV系统如下验证EM/VNF的缩放触发请求:
-步骤1:EM/VNF 119可以向NFVO 111发送自动或手动缩放请求,以扩展VNF的容量。自动缩放请求针对一些特定情况发起,如流量过载或网络资源故障。
-步骤2:NFVO 111和VNFM 118彼此协调,用于缩放决策。
-步骤3:NFVO 111将请求转发给VIM 112,用于核实真实性。
-步骤4:VIM 112核实认证请求。
-步骤5:VIM 112将请求转发给NFVI 113,用于签名验证。
-步骤6:NFVI 113在安全存储器120中定位私钥(PS)的签名和 API,用于核实认证请求。
-步骤7:私钥(PS)的API将调用转发给普通环境引擎(NEE)1 30,以得到私钥(PS)的公共指数和模数值。
-步骤8:普通环境引擎130将请求映射到定位在安全环境中的安全环境引擎(SEE)141。
-步骤9:安全环境引擎(SEE)141读取定位在HISEE 140中的私钥(PS),并提取私钥(PS)的公共指数和模数值。
-步骤10:PKC容器142存储所提取的私钥(PS)的公共指数和模数值用于特定会话,并将其永久擦除。
-步骤11:PKC容器142将诸如公共指数和模数值之类的凭证转发给安全环境引擎(SEE)141。
-步骤12:安全环境引擎(SEE)141为给定的认证请求制定公共指数和模数值,并将凭证转发给普通环境引擎(NEE)130。
-步骤13:普通环境引擎(NEE)130用私钥(PS)的公共指数和模数值响应API的调用。
-步骤14:如果用所提取的私钥(PS)的公共指数和模数值核实成功,则安全存储器120将向NFVI 113通知认证成功。
-步骤15:NFVI 113将认证状态转发给VIM 112。
-步骤16:如果认证成功,则VIM 112确认向VNFM 118分配资源的状态,否则拒绝该请求。
-步骤17:VNFM 118将与NFVO 111进行协调,并为缩放分配资源。
-步骤18:如果认证请求成功,则VNFM 118向EM/VNF 119报告缩放成功。
-步骤19:NFVO 111现在知道新缩放的VNF的配置被实例化。
-步骤20:NFVO 111将VNF映射到适当的VIM 112和资源池。
8.5.4用于验证EM/VNF的缩放触发请求的用例
图23是示出验证EM/VNF的缩放触发请求的本公开的NFV系统的行为的图。
8.5.5用于验证EM/VNF的缩放触发请求的消息格式
图24和图25是示出用于验证EM/VNF的缩放触发请求而在HISEE和 NFV之间发送的消息格式的图。
8.5.6用于验证EM/VNF的缩放触发请求的操作
如图24和图25所示,HISEE和NFV发送以下消息。
1)ScalingRequest,EM/VNF->VNFM
该消息定义了在EM/VNF 119中进行资源分配期间的错误检测以及请求VNFM 118进行缩放资源分配。
2)Cordinates_Scaling_Descison,VNFM<->NFVO
该消息定义了VNFM 118和NFVO 111之间的缩放决策的协调。
3)Validate_ScalingTriggerRequest,VNFM->VIM
该消息定义了从VNFM 118到VIM 112的缩放请求的核实。
4)Validate_ScalingTriggerRequest,VIM
该消息定义了VIM 112对缩放请求的核实。
5)ValidateScalingTriggerRequest,VIM->NFVI
该消息定义了从VIM 112到NFVI 113的缩放请求的核实。
6)Validate_EM/VNF_Certificate,Read_PrivatekeyAPI,NF VI->SS
该消息定义了通过调用私钥(PS)的API并在安全存储器(SS)1 20中定位凭证来核实EM/VNF 119证书。
7)Get_Public_Exponent,Get_ModulusValue,SS->NEE
该消息定义了从SS 120向NEE 130转发API调用,以请求私钥的公共指数和模数值。
8)Get_Public_Exponent,Get_ModulusValue,NEE->SEE
该消息定义了从NEE 130向SEE 141转发API调用,以请求私钥的公共指数和模数值。
9)Extract_Public_Exponent,Extract_ModulusValue,SEE-> HISEE(SW)
该消息定义了将私钥的公共指数和模数值从SEE 141提取到私钥 143(PS)。
10)Store_Public_Exponent,Store_ModulusValue,PKCCont< -HISEE(SW)
该消息定义了将私钥的公共指数和模数值存储在PKC容器142中。
11)Send_Public_Exponent,Send_ModulusValue,SEE<-PKCCo nt
该消息定义了从PKC容器142向安全环境引擎(SEE)141转发私钥的公共指数和模数值。
12)Formulate_Public_Exponent,Formulate_ModulusValue, SEE
该消息定义了在安全环境引擎(SEE)141中制定私钥的公共指数和模数值。
13)Send_Public_Exponent,Send_ModulusValue,NEE<-SEE
该消息定义了从安全环境引擎(SEE)141向普通环境引擎(NEE) 130转发私钥的公共指数和模数值。
14)Send_Public_Exponent,Send_ModulusValue,SS<-NEE
该消息定义了从普通环境引擎(NEE)130向安全存储器(SS)12 0转发私钥的公共指数和模数值。
15)Validate_EM/VNF_Certificate(Public_Exponent,Modul usValue),SS
该消息定义了使用私钥(PS)的公共指数和模数值核实EM/VNF 1 19证书,以实现真实性。
16)Notify_Validation_Status(Success/Failure),NFVI<-S S
该消息定义了从安全存储器(SS)120到NFVI 113的EM/VNF 119 证书的确认状态。
17)Notify_Validation_Status(Success/Failure),VIM<-NF VI
该消息定义了从NFVI 113到VIM 112的EM/VNF 119证书的确认状态。
18)Check_Validation_Status,Perform_Scaling_Configura tion,VIM
该消息定义了检查EM/VNF 119证书的核实状态,并且如果核实状态成功,则为EM/VNF 119执行缩放配置,否则拒绝该请求。
19)Ack_NewResourceAllocation,VNFM<-VIM
该消息定义了来自VIM 112的EM/VNF 119的新资源分配的确认状态。
20)Notifies_updates,EM/VNF<-VNFM
该消息定义了从VNFM 118到EM/VNF 119的缩放配置的更新。
21)Update_Scaling_Configuration,EM/VNF
该消息定义了对EM/VNF 119的缩放配置的更新。
22)Update_Scaling_Configuration,VNFM->NFVO
该消息定义了由VNFM 118向NFVO 111更新缩放配置状态。
8.6验证OSS/BSS的缩放触发请求
8.6.1用于验证OSS/BSS的缩放触发请求的框图
图26是示出用于验证OSS/BSS(运营支撑系统/业务支撑系统)的缩放触发请求的本公开的NFV系统的图。
8.6.2描述
图26绘出了用于验证OSS/BSS的缩放触发请求的框图。该用例的目的是验证OSS/BSS的缩放触发请求的真实性。任何恶意用户可能在没有必要的情况下发起缩放触发。所以当OSS/BSS请求缩放触发时,OSS /BSS必须向VIM 112证明它们不是恶意的。使用所提出的本公开的机制可以容易地实现真实性。以下我们提供了用于验证OSS/BSS所发起的缩放触发请求的逐步认证过程。
8.6.3过程:
如图26所示,本公开的NFV系统如下验证OSS/BSS的缩放触发请求:
-步骤1:OSS/BSS 122向NFVO发送缩放请求,用于一些管理需求。
-步骤2:NFVO 111和VNFM 118彼此协调,用于缩放决策。
-步骤3:NFVO 111将请求转发给VIM 112,用于核实真实性。
-步骤4:VIM 112核实认证请求。
-步骤5:VIM 112将请求转发给NFVI 113,用于签名验证。
-步骤6:NFVI 113在安全存储器120中定位私钥(PS)的签名和 API,用于核实认证请求。
-步骤7:私钥(PS)的API将调用转发给普通环境引擎(NEE)1 30,以得到私钥(PS)的公共指数和模数值。
-步骤8:普通环境引擎130将请求映射到定位在安全环境中的安全环境引擎(SEE)141。
-步骤9:安全环境引擎(SEE)141读取定位在HISEE 140中的私钥(PS),并提取私钥(PS)的公共指数和模数值。
-步骤10:PKC容器142存储所提取的私钥(PS)的公共指数和模数值用于特定会话,并将其永久擦除。
-步骤11:PKC容器142将诸如公共指数和模数值之类的凭证转发给安全环境引擎(SEE)141。
-步骤12:安全环境引擎(SEE)141为给定的认证请求制定公共指数和模数值,并将凭证转发给普通环境引擎(NEE)130。
-步骤13:普通环境引擎(NEE)130用私钥(PS)的公共指数和模数值响应API的调用。
-步骤14:如果用所提取的私钥(PS)的公共指数和模数值核实成功,则安全存储器120将向NFVI 113通知认证成功。
-步骤15:NFVI 113将认证状态转发给VIM 112。
-步骤16:如果认证成功,则VIM 112确认向NFVO 111和VNFM 11 8分配资源的状态,否则拒绝该请求。
-步骤17:NFVO 111将与VNFM 118进行协调,并为缩放分配资源。
-步骤18:如果认证请求成功,则NFVO 111向OSS/BSS 122报告缩放成功。
8.6.4用于验证OSS/BSS的缩放触发请求的用例
图27是示出验证OSS/BSS的缩放触发请求的本公开的NFV系统的行为的图。
8.6.5用于验证OSS/BSS的缩放触发请求的消息格式
图28和图29是示出用于验证OSS/BSS的缩放触发请求而在HISEE 和NFV之间发送的消息格式的图。
8.6.6用于验证OSS/BSS的缩放触发请求的操作
如图28和图29所示,HISEE和NFV发送以下消息。
1)ScalingRequest,OSS/BSS->NFVO
该消息定义了在OSS/BSS 122中进行资源分配期间的错误检测以及请求NFVO 111进行缩放资源分配。
2)Validate_ScalingTriggerRequest,NFVO->VIM
该消息定义了从NFVO 111到VIM 112的资源分配的缩放请求。
3)Validate_ScalingTriggerRequest,VIM
该消息定义了VIM 112对缩放请求的核实。
4)Validate_ScalingTriggerRequest,VIM->NFVI
该消息定义了从VIM 112到NFVI 113的缩放请求的核实。
5)Validate_EM/VNF_Certificate,Read_PrivatekeyAPI,NF VI->SS
该消息定义了通过调用私钥(PS)的API并在安全存储器(SS)1 20定位凭证来核实OSS/BSS 122证书。
6)Get_Public_Exponent,Get_ModulusValue,SS->NEE
该消息定义了从SS 120向NEE 130转发API调用,以请求私钥的公共指数和模数值。
7)Get_Public_Exponent,Get_ModulusValue,NEE->SEE
该消息定义了从NEE 130向SEE 141转发API调用,以请求私钥的公共指数和模数值。
8)Extract_Public_Exponent,Extract_ModulusValue,SEE-> HISEE(SW)
该消息定义了将私钥的公共指数和模数值从SEE 141提取到私钥 143(PS)。
9)Store_Public_Exponent,Store_ModulusValue,PKCCont< -HISEE(SW)
该消息定义了将私钥的公共指数和模数值存储在PKC容器142中。
10)Send_Public_Exponent,Send_ModulusValue,SEE<-PKCCo nt
该消息定义了从PKC容器142向安全环境引擎(SEE)141转发私钥的公共指数和模数值。
11)Formulate_Public_Exponent,Formulate_ModulusValue, SEE
该消息定义了在安全环境引擎(SEE)141中制定私钥的公共指数和模数值。
12)Send_Public_Exponent,Send_ModulusValue,NEE<-SEE
该消息定义了从安全环境引擎(SEE)141向普通环境引擎(NEE) 130转发私钥的公共指数和模数值。
13)Send_Public_Exponent,Send_ModulusValue,SS<-NEE
该消息定义了从普通环境引擎(NEE)130向安全存储器(SS)12 0转发私钥的公共指数和模数值。
14)Validate_OSS/BSS_Certificate(Public_Exponent,Modu lusValue),SS
该消息定义了使用私钥(PS)的公共指数和模数值核实OSS/BSS 1 22证书,以实现真实性。
15)Notify_Validation_Status(Success/Failure),NFVI<-S S
该消息定义了从安全存储器(SS)120到OSS/BSS 122的VNF证书的核实状态。
16)Notify_Validation_Status(Success/Failure),VIM<-NF VI
该消息定义了从NFVI 113到VIM 112的OSS/BSS 122证书的核实状态。
17)Check_Validation_Status,Perform_Scaling_Configura tion,VIM
该消息定义了检查OSS/BSS 122证书的核实状态,并且如果核实状态成功,则为OSS/BSS 122执行缩放配置,否则拒绝该请求。
18)Ack_NewResourceAllocation,NFVO<-VIM
该消息定义了从VIM 112到NFVO 111的OSS/BSS 122的新资源分配的确认状态。
19)Cordinates_Scaling_Descison,VNFM<->NFVO
该消息定义了VNFM 118和NFVO 111之间的缩放决策的协调。
20)Update_Scaling_Configuration,OSS/BSS<-NFVO
该消息定义了由NFVO 111向OSS/BSS 122更新缩放配置状态。
8.7验证VNFC故障请求
8.7.1用于验证VNFC故障请求的框图
图30是示出用于验证VNFC(虚拟化网络功能组件)故障请求的本公开的NFV系统的图。
8.7.2描述
图30绘出了用于验证VNFC的故障请求的框图。该用例的目的是验证VNFC的故障请求的真实性。任何恶意用户可能在没有必要的情况下发起故障请求,为了避免所发起的请求的与真实情况不符。所以当VN FC请求缩放触发时,VNFC必须向VIM 112证明它们不是恶意的。使用所提出的本公开的机制可以容易地实现真实性。以下我们提供了用于验证VNFC的故障请求的逐步认证过程。
8.7.3过程:
如图30所示,本公开的NFV系统如下验证VNFC故障请求。
-步骤1:由于流量过载或网络资源故障,VNFC系统可能在任何时间被中断或发生故障。如果VNFC1 1231发生故障,其将向邻近的VN FC2 1232报告有关VNFC1状态。
-步骤2:VNFC2 1232将代表VNFC1 1231向VNFM 118发送关于故障状态的故障请求。
-步骤3:NFVO(图30中未示出)和VNFM 118彼此协调,用于做出决策。
-步骤4:VNFM 118将请求转发给VIM 112,用于核实VNFC2 1232 的故障请求的真实性。
-步骤5:VIM 112核实认证请求。
-步骤6:VIM 112将请求转发给NFVI 113,用于签名验证。
-步骤7:NFVI 113在安全存储器120中定位私钥(PS)的签名和 API,用于核实认证请求。
-步骤8:私钥(PS)的API将调用转发给普通环境引擎(NEE)1 30,以得到私钥(PS)公共指数和模数值。
-步骤9:普通环境引擎(NEE)130将请求映射到定位在安全环境中的安全环境引擎(SEE)141。
-步骤10:安全环境引擎(SEE)141读取定位在HISEE 140中的私钥(PS),并提取私钥(PS)的公共指数和模数值。
-步骤11:PKC容器142存储所提取的私钥(PS)的公共指数和模数值用于特定会话,并将其永久擦除。
-步骤12:PKC容器142将诸如公共指数和模数值之类的凭证转发给安全环境引擎(SEE)141。
-步骤13:安全环境引擎(SEE)141为给定的认证请求制定公共指数和模数值,并将凭证转发给普通环境引擎(NEE)130。
-步骤14:普通环境引擎(NEE)130用私钥(PS)的公共指数和模数值响应API的调用。
-步骤15:如果用所提取的私钥(PS)的公共指数和模数值核实成功,则安全存储器120将向NFVI 113通知认证成功。
-步骤16:NFVI 113将认证状态转发给VIM 112。
-步骤17:如果认证成功,则VIM 112确认向VNFM 118分配新的 VNFC 1231、1232的状态,否则拒绝该请求。
-步骤18:VNFM 118将与NFVO协调,并对新分配资源的状态进行更新,用于恢复。
-步骤19:如果认证请求成功,则VNFM 118向VNFC1 1231和VNFC 2 1232报告新分配资源的状态成功。
-步骤20:NFVO现在知道新缩放的VNFC1 1231的配置被实例化。
-步骤21:NFVO将VNFC 1231、1232映射到适当的VIM 112和资源池。
8.7.4用于验证VNFC故障请求的用例
图31是示出验证VNFC故障请求的本公开的NFV系统的行为的图。
8.7.5用于验证VNFC故障请求的消息格式
图32和图33是示出用于验证VNFC故障请求而在HISEE和NFV之间发送的消息格式的图。
8.7.6用于验证VNFC故障请求的操作
如图32和图33所示,HISEE和NFV发送以下消息。
1)Notify_FailureStatus,VNFC1<->VNFC2
该消息定义了检测到VNFC1 1231中的故障状态,并向邻近VNFC(V NFC2 1232)通知该状态。
2)Notify_FailureStatus,VNFC2->VNFM
该消息定义了从VNFC2 1232到VNFM 118的故障状态通知。
3)Validate_FailureStatusRequest,VNFM->VIM
该消息定义了从VNFM 118到VIM 112的用于核实故障状态的请求。
4)Validate_FailureStatusRequest,VIM
该消息定义了VIM 112对故障状态请求的核实。
5)Validate_FailureStatusRequest,VIM->NFVI
该消息定义了将故障状态请求从VIM 112转发给NFVI 113。
6)Validate_VNFC1_Certificate,Read_PrivatekeyAPI,NFV I->SS
该消息定义了通过调用私钥(PS)的API和在安全存储器(SS)1 20中定位凭证来核实VNFC1 1231证书。
7)Get_Public_Exponent,Get_ModulusValue,SS->NEE
该消息定义了从SS 120向NEE 130转发API调用,以请求私钥的公共指数和模数值。
8)Get_Public_Exponent,Get_ModulusValue,NEE->SEE
该消息定义了从NEE 130向SEE 141转发API调用,以请求私钥的公共指数和模数值。
9)Extract_Public_Exponent,Extract_ModulusValue,SEE-> HISEE(SW)
该消息定义了将私钥的公共指数和模数值从SEE 141提取到私钥 143(PS)。
10)Store_Public_Exponent,Store_ModulusValue,PKCCont< -HISEE(SW)
该消息定义了将私钥的公共指数和模数值存储在PKC容器142中。
11)Send_Public_Exponent,Send_ModulusValue,SEE<-PKCCo nt
该消息定义了从PKC容器142向安全环境引擎(SEE)141转发私钥的公共指数和模数值。
12)Formulate_Public_Exponent,Formulate_ModulusValue, SEE
该消息定义了在安全环境引擎(SEE)141中制定私钥的公共指数和模数值。
13)Send_Public_Exponent,Send_ModulusValue,NEE<-SEE
该消息定义了从安全环境引擎(SEE)141向普通环境引擎(NEE) 130转发私钥的公共指数和模数值。
14)Send_Public_Exponent,Send_ModulusValue,SS<-NEE
该消息定义了从普通环境引擎(NEE)130向安全存储器(SS)12 0转发私钥的公共指数和模数值。
15)Validate_VNFC1_Certificate(Public_Exponent,Modulu sValue),SS
该消息定义了使用私钥(PS)的公共指数和模数值核实VNFC1 12 31证书,以实现真实性。
16)Notify_Validation_Status(Success/Failure),NFVI<-S S
该消息定义了从安全存储器(SS)120到NFVI 113的VNFC1证书的核实状态。
17)Notify_Validation_Status(Success/Failure),VIM<-NF VI
该消息定义了从NFVI 113到VIM 112的VNFC1证书的核实状态。
18)Check_Validation_Status,Perform_Scaling_Configura tion,VIM
该消息定义了检查VNFC1证书的核实状态,并且如果核实状态成功,则为VNFC11231执行缩放配置,否则拒绝该请求。
19)Ack_NewResourceAllocation,VNFM<-VIM
该消息定义了从VIM 112到VNFM 118的VNFC1 1231的新资源分配的确认状态。
20)UpdateStatus_NewVNFCAllocation,VNFM
该消息定义了对新资源分配(即,VNFM 118中的新VNFC)进行更新。
21)Notify_NewVNFCAllocation,VNFC2<-VNFM
该消息定义了从VNFM向VNFC21232通知新资源分配(即,用于VN FC1 1231的VNFC)。
22)Notify_NewVNFCAllocation,VNFC1<-VNFM
该消息定义了从VNFM向VNFC1 1231通知新资源分配(即,用于VN FC1 1231的VNFC)。
8.8验证VNFC故障服务状态并在安全存储器中存储VNFC故障服务状态
8.8.1用于验证VNFC故障服务状态并在安全存储器中存储VNFC 故障服务状态的框图
图34是示出用于验证VNFC故障服务状态并在安全存储器中存储V NFC故障服务状态的本公开的NFV系统的图。
8.8.2描述
图34绘出了用于验证必须存储在安全存储器中的VNFC故障服务状态的框图。该用例的目的是验证必须存储在安全存储器中的VNFC故障服务状态的真实性。任何恶意用户可能发起要存储在安全存储器中的恶意数据。所以当VNFC请求在安全存储器中存储故障服务状态时, VNFC必须向VIM 112证明它们不是恶意的。使用所提出的本公开的机制可以容易地实现真实性。以下我们提供了用于验证必须存储在安全存储器中的VNFC故障服务状态的逐步认证过程。
8.8.3过程:
如图34所示,本公开的NFV系统如下验证VNFC故障服务状态并在安全存储器中存储VNFC故障服务状态。
-步骤1:由于流量过载或网络资源故障,VNFC 1233任何时间被中断或发生故障。
-步骤2:VNFC 1233同时向VNFM 118和NF(网络功能)124发送关于故障状态的故障请求,以避免网络服务中断。
-步骤3:VNFC 1233请求VNFM 118在SS 120中存储NF状态。
-步骤4:VNFM 118请求VIM 112核实VNFC 1233故障状态并请求 VIM 112在SS 120中存储NF状态。
-步骤5:VIM 112核实认证请求。
-步骤6:VIM 112将请求转发给NFVI 113,用于签名验证。
-步骤7:NFVI 113在安全存储器120中定位私钥(PS)的签名和 API,用于核实认证请求。
-步骤8:私钥(PS)的API将调用转发给普通环境引擎(NEE)1 30,以得到私钥(PS)的公共指数和模数值。
-步骤9:普通环境引擎(NEE)130将请求映射到定位在安全环境中的安全环境引擎(SEE)141。
-步骤10:安全环境引擎(SEE)141读取定位在HISEE 140中的私钥(PS),并提取私钥(PS)的公共指数和模数值。
-步骤11:PKC容器142存储所提取的私钥(PS)的公共指数和模数值用于特定会话,并将其永久擦除。
-步骤12:PKC容器142将诸如公共指数和模数值之类的凭证转发给安全环境引擎(SEE)141。
-步骤13:安全环境引擎(SEE)141为给定的认证请求制定公共指数和模数值,并将凭证转发给普通环境引擎(NEE)130。
-步骤14:普通环境引擎(NEE)130用私钥(PS)的公共指数和模数值响应API的调用。
-步骤15:如果用所提取的私钥(PS)的公共指数和模数值核实成功,则安全存储器120将向NFVI 113通知认证成功。
-步骤16:NFVI 113将认证状态转发给VIM 112。
-步骤17:如果认证成功,则VIM 112对状态进行确认,并允许 VNF在安全存储器120中存储NF 124的故障服务状态,否则拒绝该请求。
-步骤18:VNFM 118将与NFVO(图34中未示出)协调,并对新分配资源的状态进行更新,用于恢复。
-步骤19:如果认证请求成功,则VNFM 118向VNFC 1233和NF 12 4报告新分配资源的状态成功。
-步骤20:NFVO现在知道新缩放的VNFC 1233的配置被实例化。
-步骤21:NFVO将VNFC 1233映射到适当的VIM 112和资源池。
8.8.4用于验证VNFC故障服务状态并在安全存储器中存储VNFC 故障服务状态的用例
图35是示出验证VNFC故障服务状态并在安全存储器中存储VNFC 故障服务状态的本公开的NFV系统的行为的图。
8.8.5用于验证VNFC故障服务状态并在安全存储器中存储VNFC 故障服务状态的消息格式
图36和图37是示出用于验证VNFC故障服务状态并在安全存储器中存储VNFC故障服务状态而在HISEE和NFV之间发送的消息格式的图。
8.8.6用于验证VNFC故障服务状态并在安全存储器中存储VNFC 故障服务状态的操作
如图36和图37所示,HISEE和NFV发送以下消息。
1)Notify_VNFCFailureStatus,VNF<-VNFC
该消息定义了检测到VNFC 1233中的故障状态,并向NF 124通知该状态。
2)Notify_VNFCFailureStatus,Request_Store_NFStatus,V NFC->VNFM
该消息定义了向VNFM 118通知VNFC故障状态,并请求VNFM 118在安全存储器(SS)120中存储网络功能(NF状态)。
3)Validate_FailureStatusRequest,VNFM->VIM
该消息定义了从VNFM 118到VIM 112的用于核实VNFC故障状态的请求。
4)Validate_FailureStatusRequest,VIM
该消息定义了核实VIM 112中的VNFC故障状态请求。
5)ValidateFailureStatusRequest,VIM->NFVI
该消息定义了从VIM 112向NFVI 113转发核实故障状态请求。
6)Validate_VNFC_Certificate,Read_PrivatekeyAPI,NFVI ->SS
该消息定义了通过调用私钥(PS)的API并在安全存储器(SS)1 20中定位凭证来核实VNFC 1233证书。
7)Get_Public_Exponent,Get_ModulusValue,SS->NEE
该消息定义了从SS 120向NEE 130转发API调用,以请求私钥的公共指数和模数值。
8)Get_Public_Exponent,Get_ModulusValue,NEE->SEE
该消息定义了从NEE 130向SEE 141转发API调用,以请求私钥的公共指数和模数值。
9)Extract_Public_Exponent,Extract_ModulusValue,SEE-> HISEE(SW)
该消息定义了将私钥的公共指数和模数值从SEE 141提取到私钥 143(PS)。
10)Store_Public_Exponent,Store_ModulusValue,PKCCont< -HISEE(SW)
该消息定义了将私钥的公共指数和模数值存储在PKC容器142中。
11)Send_Public_Exponent,Send_ModulusValue,SEE<-PKCCo nt
该消息定义了从PKC容器142向安全环境引擎(SEE)141转发私钥的公共指数和模数值。
12)Formulate_Public_Exponent,Formulate_ModulusValue, SEE
该消息定义了在安全环境引擎(SEE)141中制定私钥的公共指数和模数值。
13)Send_Public_Exponent,Send_ModulusValue,NEE<-SEE
该消息定义了从安全环境引擎(SEE)141向普通环境引擎(NEE) 130转发私钥的公共指数和模数值。
14)Send_Public_Exponent,Send_ModulusValue,SS<-NEE
该消息定义了从普通环境引擎(NEE)130向安全存储器(SS)12 0转发私钥的公共指数和模数值。
15)Validate_VNFC_Certificate(Public_Exponent,ModulusV alue),SS
该消息定义了使用私钥(PS)的公共指数和模数值核实VNFC证书,以实现真实性。
16)Notify_Validation_Status(Success/Failure),NFVI<-S S
该消息定义了从安全存储器(SS)120到NFVI 113的VNFC证书的核实状态。
17)Notify_Validation_Status(Success/Failure),VIM<-NF VI
该消息定义了从NFVI 113到VIM 112的VNFC证书的核实状态。
18)Check_Validation_Status,Perform_Scaling_Configura tion,VIM
该消息定义了检查VNFC证书的核实状态,并且如果核实状态成功,则为VNFC 1233执行缩放配置,否则拒绝该请求。
19)Request_Store_NFStatus,VIM->NFVI
该消息定义了从VIM 112到NFVI 113的在安全存储器(SS)120中存储NF状态。
20)Request_Store_NFStatus,NFVI->SS
该消息定义了NFVI 113在安全存储器(SS)120中存储NF状态。
21)Ack_Store_NFStatus,NFVI<-SS
该消息定义了确认在安全存储器(SS)120中存储NF状态。
22)Ack_Store_NFStatus,VIM<-NFVI
该消息定义了NFVI 113向VIM 112确认在安全存储器(SS)120中存储NF状态。
23)Ack_NewVNFCAllocation,Ack_Store_NFStatus,VNFM<-VI M
该消息定义了VIM 112向VNFM 118确认在安全存储器(SS)120中存储NF状态并进行新VNFC分配。
24)Update_NewVNFCAllocation,Update_Store_NFStatus,VN FM
该消息定义了VNFM 118对在安全存储器(SS)120中存储NF状态以及进行新VNFC分配进行更新。
25)Notify_NewVNFCAllocation,Notify_Store_NFStatus,VN FC<-VNFM
该消息定义了VNFM 118向VNFC 1233通知在安全存储器(SS)120 中存储NF状态以及进行新VNFC分配。
26)Notify_Store_NFStatus,VNF<-VNFC
该消息定义了VNFC 1233向VNF通知在安全存储器(SS)120中存储NF状态。
如以上用例所述,所提出的方法是能够进行HISEE认证的方案,并且还通过不透露可信的第三方服务器或供应商的身份实现了可信的第三方服务器或供应商的隐私性。HISEE可以证明并核实可信的第三方是可信的系统,而无需透露其身份。在所提出的方案中,使用NFV安全凭证的唯一标识符,使用该提出的方案可以访问HISEE的私钥(PS)。在主机妥协了的情况下,所提出的方法不仅保护可信的第三方密钥的安全,免受恶意用户影响,而且还通过管理域限制对安全密钥凭证的访问。使用所提出的方法将解决许多潜在攻击,例如内幕攻击、暴力攻击、执行失败攻击、算法攻击(如秘密密钥篡改、复制安全凭证)。
所提出的方案改进了安全强度并为可信的第三方系统提供了附加的信任属性。通过该提出的方法,NFV系统中可信的第三方凭证将具有安全的私有内存,可以用于存储数据和专有敏感凭证。所提出的框架还通过执行认证机制来为NFV系统中的关键组件提供安全性,该认证机制充当安全凭证的附加安全区。
虽然已经描述了本发明的优选示例性实施例,但应理解,本发明不限于以上示例性实施例,并且可以在不脱离本发明的基本技术概念的情况下添加进一步的修改、替换和调整。例如,可以将以上用例中的NFV系统100和100a至100g实现为专用服务器。
最后,在下面对本发明的优选示例性实施例进行总结。
<第一示例性实施例>
(参见以上第一方面中的网络功能虚拟化系统)
<第二示例性实施例>
根据第一示例性实施例的网络功能虚拟化系统,其中
私钥生成器,当满足预定条件时,使用存储在基于硬件的隔离的安全执行环境中的第二私钥信息重新生成第一私钥信息。
<第三示例性实施例>
根据第一示例性实施例或第二示例性实施例的网络功能虚拟化系统,其中
私钥生成器,其使用第二私钥、可信的第三方私钥和唯一属性生成第一私钥。
<第四示例性实施例>
根据第一示例性实施例至第三示例性实施例中的一个示例性实施例的网络功能虚拟化系统,其中用户基于安全要求选择和使用私钥生成器。
<第五示例性实施例>
根据第一示例性实施例至第四示例性实施例中的一个示例性实施例的网络功能虚拟化系统,其中第二私钥信息通过安全信道分发给服务提供商。
<第六示例性实施例>
根据第一示例性实施例至第五示例性实施例中的一个示例性实施例的网络功能虚拟化系统,其中网络功能虚拟化系统验证EPKI证书、 VNF包和可信的第三方私钥中的至少一个以用于认证。
<第七示例性实施例>
根据第一示例性实施例至第六示例性实施例中的一个示例性实施例的网络功能虚拟化系统,其中网络功能虚拟化系统验证来自网络功能虚拟化系统的组件的缩放触发请求。
<第八示例性实施例>
根据第一示例性实施例至第七示例性实施例中的一个示例性实施例的网络功能虚拟化系统,其中网络功能虚拟化系统验证VNFC故障请求或VNFC故障服务状态。
<第九示例性实施例>
(参见以上第二方面中的验证方法)
<第十示例性实施例>
网络功能虚拟化系统可以表示如下。
网络功能虚拟化包括:NFVO/MANO,其接收对至少一个数据交换方的证书请求;HISEE架构,其响应于来自NFVO/MANO的请求,使用存储在基于硬件的隔离的安全执行环境中的第二私钥信息来生成第一私钥信息。HISEE架构提取并存储第一私钥信息的公钥信息。网络功能虚拟化系统还包括能够从请求接收单元访问的安全存储器。安全存储器使用与证书相对应的公钥信息来验证证书。HISEE中的安全存储器和安全环境引擎之间的通信由普通环境引擎中继。
以上给出的专利文献和非专利文献的公开内容通过引用结合到本公开中。可以在本发明的整个公开(包括权利要求)的范围内,基于基本技术概念来改变和调整示例性实施例。在本发明的权利要求的范围内,可以以各种方式组合和选择各种公开的元件。也就是说,应该理解,包括本领域技术人员在本发明的公开内容中可以进行的修改和改变。
[关于标准中的术语的改变]
术语“HISEE:硬件隔离的安全执行环境”由ETSI(欧洲电信标准协会)在NFV标准(NFV-SECO 12 V 3.1.1,2017年1月)中改变为“HMEE:硬件居间执行环境”。因此,需要注意的是本申请中使用的术语“HISEE”在新的NFV标准下将被称作“HMEE”。
附图标记列表
10、100、100a-100g 网络功能虚拟化系统
11 请求接收单元
12 验证单元
13 公钥信息存储单元
14 公钥提取器
15 私钥生成器
110 MANO(管理与编排)
111 NFVO
112 VIM
113 NFVI
118 VNFM
119 EM/VNFN
120 安全存储器
121 TTP私钥
122 OSS/BSS
1231、1232、1233 VNFC
124 NF
130 普通环境引擎(NEE)
140 HISEE
141 安全环境引擎(SEE)
142 PKC容器
143 私钥(PS)
144 私钥(PH)
200 云
210 云服务器。
Claims (9)
1.一种网络功能虚拟化系统,包括:
请求接收单元,被配置为接收对至少一个数据交换方的证书的请求;
私钥生成器,被配置为响应于所述请求,使用存储在基于硬件的隔离的安全执行环境HISEE中的第二私钥信息来生成第一私钥信息;
公钥提取器,被配置为提取所述第一私钥信息的公钥信息;
公钥信息存储单元,被配置为存储所述公钥信息;以及
验证单元,被配置为能够从所述请求接收单元访问所述验证单元,并且使用与所述证书相对应的所述公钥信息来验证所述证书。
2.根据权利要求1所述的网络功能虚拟化系统,其中
所述私钥生成器被配置为:当满足预定条件时,使用存储在所述基于硬件的隔离的安全执行环境HISEE中的第二私钥信息重新生成第一私钥信息。
3.根据权利要求1或2所述的网络功能虚拟化系统,其中
所述私钥生成器被配置为:使用所述第二私钥信息、可信的第三方私钥信息和唯一属性生成第一私钥信息。
4.根据权利要求1或2所述的网络功能虚拟化系统,其中用户基于安全要求选择和使用所述私钥生成器。
5.根据权利要求1或2所述的网络功能虚拟化系统,其中所述第二私钥信息通过安全信道分发给服务提供商。
6.根据权利要求1或2所述的网络功能虚拟化系统,其中所述网络功能虚拟化系统被配置为验证PKI证书、VNF包和可信的第三方私钥信息中的至少一个以用于认证。
7.根据权利要求1或2所述的网络功能虚拟化系统,其中所述网络功能虚拟化系统被配置为验证来自所述网络功能虚拟化系统的组件的缩放触发请求。
8.根据权利要求1或2所述的网络功能虚拟化系统,其中所述网络功能虚拟化系统被配置为验证VNFC故障请求或VNFC故障服务状态。
9.一种网络功能虚拟化系统中的验证方法,包括以下步骤:
接收对至少一个数据交换方的证书的请求;
响应于所述请求,使用存储在基于硬件的隔离的安全执行环境HISEE中的第二私钥信息来生成第一私钥信息;
提取与所述第一私钥信息相对应的公钥信息;以及
通过能够从应用编程接口访问的验证单元,使用与所述证书相对应的所述公钥信息来验证证书或请求。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
IN201611030702 | 2016-09-08 | ||
IN201611030702 | 2016-09-08 | ||
PCT/JP2017/015560 WO2018047399A1 (en) | 2016-09-08 | 2017-04-18 | Network function virtualization system and verifying method |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109691009A CN109691009A (zh) | 2019-04-26 |
CN109691009B true CN109691009B (zh) | 2022-04-29 |
Family
ID=58745315
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201780055371.1A Active CN109691009B (zh) | 2016-09-08 | 2017-04-18 | 网络功能虚拟化系统和验证方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US11463267B2 (zh) |
EP (1) | EP3510722B1 (zh) |
JP (1) | JP6965921B2 (zh) |
CN (1) | CN109691009B (zh) |
WO (1) | WO2018047399A1 (zh) |
Families Citing this family (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10700946B2 (en) * | 2017-08-08 | 2020-06-30 | Amdocs Development Limited | System, method, and computer program for automatically certifying a virtual network function (VNF) for use in a network function virtualization (NFV) based communication network |
JP6636142B2 (ja) * | 2015-09-30 | 2020-01-29 | 華為技術有限公司Huawei Technologies Co.,Ltd. | スケールアウト関連付けの方法および装置、ならびにシステム |
EP3369211B1 (en) * | 2015-10-26 | 2020-11-25 | Nokia Solutions and Networks Oy | Method and apparatus for virtualized network function decomposition |
WO2018047399A1 (en) * | 2016-09-08 | 2018-03-15 | Nec Corporation | Network function virtualization system and verifying method |
US11252048B2 (en) * | 2016-10-05 | 2022-02-15 | Convida Wireless, Llc | Capability exposure for service instantiation |
US11171905B1 (en) | 2016-10-17 | 2021-11-09 | Open Invention Network Llc | Request and delivery of additional data |
US10318723B1 (en) * | 2016-11-29 | 2019-06-11 | Sprint Communications Company L.P. | Hardware-trusted network-on-chip (NOC) and system-on-chip (SOC) network function virtualization (NFV) data communications |
WO2018147276A1 (en) * | 2017-02-07 | 2018-08-16 | Nec Corporation | Vnf package signing system and vnf package signing method |
CN109905252B (zh) * | 2017-12-07 | 2022-06-07 | 华为技术有限公司 | 建立虚拟网络功能实例的方法和装置 |
US11194609B1 (en) | 2018-05-23 | 2021-12-07 | Open Invention Network Llc | Onboarding VNFs which include VNFCs that are composed of independently manageable software modules |
TWI772648B (zh) * | 2019-06-03 | 2022-08-01 | 銓鴻資訊有限公司 | 基於集體驗證的部分資料驗證方法 |
US11496302B2 (en) * | 2019-07-03 | 2022-11-08 | International Business Machines Corporation | Securely processing secret values in application configurations |
CN112350980B (zh) * | 2019-08-09 | 2023-06-06 | 中兴通讯股份有限公司 | 一种软件包传输、传输验证方法、网络设备及存储介质 |
CN111212071B (zh) * | 2019-12-31 | 2022-04-01 | 奇安信科技集团股份有限公司 | 信息处理方法及其装置、电子设备和介质 |
US11288018B2 (en) * | 2020-03-25 | 2022-03-29 | Verizon Patent And Licensing Inc. | Method and system for deploying a virtual distributed unit on a network device |
US11522721B2 (en) * | 2020-04-07 | 2022-12-06 | Verizon Patent And Licensing Inc. | System and method for establishing dynamic trust credentials for network functions |
US11057274B1 (en) * | 2020-04-09 | 2021-07-06 | Verizon Patent And Licensing Inc. | Systems and methods for validation of virtualized network functions |
CN114024678A (zh) * | 2020-07-15 | 2022-02-08 | 中国移动通信有限公司研究院 | 一种信息处理方法及系统、相关装置 |
US20230007474A1 (en) * | 2021-07-02 | 2023-01-05 | Commscope Technologies Llc | Systems and methods for secure virtualized base station orchestration |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015143651A1 (zh) * | 2014-03-26 | 2015-10-01 | 华为技术有限公司 | 基于网络功能虚拟化的证书配置方法、装置和系统 |
WO2016037330A1 (zh) * | 2014-09-10 | 2016-03-17 | 华为技术有限公司 | 一种信息处理方法及设备 |
WO2016048206A1 (en) * | 2014-09-25 | 2016-03-31 | Telefonaktiebolaget L M Ericsson (Publ) | Network functions virtualization in ad-hoc groups |
CN105577637A (zh) * | 2014-10-31 | 2016-05-11 | 英特尔公司 | 用于安全虚拟网络功能间通信的技术 |
WO2016126347A1 (en) * | 2015-02-04 | 2016-08-11 | Intel Corporation | Technologies for scalable security architecture of virtualized networks |
Family Cites Families (66)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7028187B1 (en) * | 1991-11-15 | 2006-04-11 | Citibank, N.A. | Electronic transaction apparatus for electronic commerce |
US5761306A (en) * | 1996-02-22 | 1998-06-02 | Visa International Service Association | Key replacement in a public key cryptosystem |
US6292897B1 (en) * | 1997-11-03 | 2001-09-18 | International Business Machines Corporation | Undeniable certificates for digital signature verification |
US6513117B2 (en) * | 1998-03-04 | 2003-01-28 | Gemstar Development Corporation | Certificate handling for digital rights management system |
US7103185B1 (en) * | 1999-12-22 | 2006-09-05 | Cisco Technology, Inc. | Method and apparatus for distributing and updating private keys of multicast group managers using directory replication |
US6868160B1 (en) * | 1999-11-08 | 2005-03-15 | Bellsouth Intellectual Property Corporation | System and method for providing secure sharing of electronic data |
JP4969745B2 (ja) * | 2001-09-17 | 2012-07-04 | 株式会社東芝 | 公開鍵基盤システム |
US8397060B2 (en) * | 2002-02-22 | 2013-03-12 | Nokia Corporation | Requesting digital certificates |
US20040006701A1 (en) * | 2002-04-13 | 2004-01-08 | Advanced Decisions Inc. | Method and apparatus for authentication of recorded audio |
GB0215590D0 (en) * | 2002-07-05 | 2002-08-14 | Hewlett Packard Co | Method and apparatus for generating a cryptographic key |
US6886096B2 (en) * | 2002-11-14 | 2005-04-26 | Voltage Security, Inc. | Identity-based encryption system |
KR101066063B1 (ko) * | 2003-01-07 | 2011-09-20 | 퀄컴 인코포레이티드 | 암호화 키를 대체하기 위한 시스템, 장치 및 방법 |
US7103911B2 (en) * | 2003-10-17 | 2006-09-05 | Voltage Security, Inc. | Identity-based-encryption system with district policy information |
EP1632907B1 (en) * | 2004-08-24 | 2019-10-30 | Canon Kabushiki Kaisha | Data-processing system and method for controlling same, computer program, and computer-readable recording medium |
US7747851B1 (en) * | 2004-09-30 | 2010-06-29 | Avaya Inc. | Certificate distribution via license files |
US7869593B2 (en) * | 2005-01-07 | 2011-01-11 | First Data Corporation | Software for providing based on shared knowledge public keys having same private key |
US7707423B2 (en) * | 2005-08-17 | 2010-04-27 | The Boeing Company | Method and system for maintaining digital signature integrity |
FR2892584A1 (fr) * | 2005-10-26 | 2007-04-27 | France Telecom | Procede de renouvellement de cles cryptographiques, procede d'obtention d'une cle publique et dispositif de gestion de cles |
US8989390B2 (en) * | 2005-12-12 | 2015-03-24 | Qualcomm Incorporated | Certify and split system and method for replacing cryptographic keys |
US8793496B2 (en) * | 2006-08-18 | 2014-07-29 | Florida State University | Systems, methods, and computer program products for secure optimistic mechanisms for constrained devices |
US8538028B2 (en) * | 2006-11-20 | 2013-09-17 | Toposis Corporation | System and method for secure electronic communication services |
KR20080084480A (ko) * | 2007-03-16 | 2008-09-19 | 삼성전자주식회사 | 매개 모듈을 이용한 디바이스간의 상호 인증 방법 및 그시스템 |
US8594332B2 (en) * | 2007-05-25 | 2013-11-26 | Nec Corporation | Key generating apparatus, encrypting apparatus and decrypting appatatus |
US20120017086A1 (en) * | 2007-09-04 | 2012-01-19 | Stars Technology Ltd. | Information security transmission system |
US9613215B2 (en) | 2008-04-10 | 2017-04-04 | Nvidia Corporation | Method and system for implementing a secure chain of trust |
CN101340282B (zh) * | 2008-05-28 | 2011-05-11 | 北京易恒信认证科技有限公司 | 复合公钥的生成方法 |
US9800413B2 (en) * | 2008-08-15 | 2017-10-24 | Gm Global Technology Operations, Inc. | System and method for performing an asymmetric key exchange between a vehicle and a remote device |
FR2937484B1 (fr) * | 2008-10-22 | 2011-06-17 | Paycool Int Ltd | Procede de signature numerique en deux etapes |
CN101807991B (zh) * | 2009-02-18 | 2014-03-12 | 上海交通大学 | 密文政策属性基加密系统和方法 |
US9424444B2 (en) | 2009-10-14 | 2016-08-23 | At&T Mobility Ii Llc | Systems, apparatus, methods and computer-readable storage media for facilitating integrated messaging, contacts and social media for a selected entity |
US8700893B2 (en) | 2009-10-28 | 2014-04-15 | Microsoft Corporation | Key certification in one round trip |
JP2011155348A (ja) * | 2010-01-26 | 2011-08-11 | Kddi Corp | 生体認証システム、生体認証方法およびプログラム |
US8644515B2 (en) * | 2010-08-11 | 2014-02-04 | Texas Instruments Incorporated | Display authenticated security association |
US20120137137A1 (en) | 2010-11-30 | 2012-05-31 | Brickell Ernest F | Method and apparatus for key provisioning of hardware devices |
DK2461265T3 (da) | 2010-12-03 | 2019-07-29 | Novomatic Ag | Anordning og fremgangsmåde til håndtering af følsomme data |
US8701169B2 (en) * | 2011-02-11 | 2014-04-15 | Certicom Corp. | Using a single certificate request to generate credentials with multiple ECQV certificates |
DE102011118367B4 (de) * | 2011-08-24 | 2017-02-09 | Deutsche Telekom Ag | Verfahren zur Authentisierung eines Telekommunikationsendgeräts umfassend ein Identitätsmodul an einer Servereinrichtung eines Telekommunikationsnetzes, Verwendung eines Identitätsmoduls, Identitätsmodul und Computerprogramm |
US20130091362A1 (en) * | 2011-10-10 | 2013-04-11 | Certicom Corp. | Generating implicit certificates |
US8925055B2 (en) | 2011-12-07 | 2014-12-30 | Telefonaktiebolaget Lm Ericsson (Publ) | Device using secure processing zone to establish trust for digital rights management |
KR101301609B1 (ko) * | 2012-05-31 | 2013-08-29 | 서울대학교산학협력단 | 비밀키 생성 장치 및 방법, 그리고 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체 |
US9118467B2 (en) * | 2013-03-13 | 2015-08-25 | Atmel Corporation | Generating keys using secure hardware |
US9906372B2 (en) * | 2013-06-03 | 2018-02-27 | Intel Deutschland Gmbh | Authentication devices, key generator devices, methods for controlling an authentication device, and methods for controlling a key generator |
US9467283B2 (en) * | 2013-06-24 | 2016-10-11 | Blackberry Limited | Securing method for lawful interception |
FR3007920A1 (fr) * | 2013-06-28 | 2015-01-02 | France Telecom | Procede de changement de cle d'authentification |
JP6112456B2 (ja) * | 2013-07-10 | 2017-04-12 | 日本放送協会 | 鍵生成装置、暗号化装置および復号装置、ならびに、それらのプログラム |
US9350550B2 (en) * | 2013-09-10 | 2016-05-24 | M2M And Iot Technologies, Llc | Power management and security for wireless modules in “machine-to-machine” communications |
CN103701833B (zh) * | 2014-01-20 | 2018-02-16 | 深圳大学 | 一种基于云计算平台的密文访问控制方法及系统 |
US9213818B2 (en) * | 2014-02-24 | 2015-12-15 | Partnet, Inc. | Anonymous authentication using backup biometric information |
US9621356B2 (en) * | 2014-03-06 | 2017-04-11 | Apple Inc. | Revocation of root certificates |
JP6313074B2 (ja) * | 2014-03-07 | 2018-04-18 | 株式会社東芝 | データ管理装置、システム、データ共有装置及びプログラム |
CN103973449B (zh) * | 2014-04-23 | 2017-05-17 | 南通大学 | 可证明安全的基于属性的在线/离线加密方法 |
WO2015161699A1 (zh) * | 2014-04-25 | 2015-10-29 | 天地融科技股份有限公司 | 数据安全交互方法和系统 |
EP3133768B1 (en) * | 2014-05-08 | 2019-07-31 | Huawei Technologies Co. Ltd. | Certificate acquisition method and device |
US10970684B1 (en) * | 2014-05-20 | 2021-04-06 | Wells Fargo Bank, N.A. | Systems and methods for maintaining deposits of math-based currency |
US9654463B2 (en) * | 2014-05-20 | 2017-05-16 | Airwatch Llc | Application specific certificate management |
JP6425984B2 (ja) * | 2014-07-07 | 2018-11-21 | ベドロック・オートメーション・プラットフォームズ・インコーポレーテッド | 産業用制御システム冗長通信/制御モジュール認証 |
JP2016025628A (ja) * | 2014-07-24 | 2016-02-08 | 株式会社リコー | 情報処理システム、および電子機器 |
JP6659220B2 (ja) * | 2015-01-27 | 2020-03-04 | ルネサスエレクトロニクス株式会社 | 通信装置、半導体装置、プログラムおよび通信システム |
EP3318003B1 (en) * | 2015-06-30 | 2022-03-23 | Visa International Service Association | Confidential authentication and provisioning |
DE102015212887A1 (de) * | 2015-07-09 | 2017-01-12 | Siemens Aktiengesellschaft | Bestimmen eines gerätespezifischen privaten Schlüssels für ein asymmetrisches Kryptographieverfahren auf einem Gerät |
US10652027B2 (en) * | 2015-10-20 | 2020-05-12 | The Boeing Company | Airplane identity management with redundant line replaceable units (LRUs) and composite airplane modifiable information (AMI) |
TWI587223B (zh) * | 2015-11-11 | 2017-06-11 | 財團法人工業技術研究院 | 器材管理方法、器材管理裝置以及儲存媒體 |
JP6700797B2 (ja) * | 2016-01-13 | 2020-05-27 | 日本放送協会 | 鍵生成装置、中間暗号化装置、委託暗号化装置、復号装置およびそれらのプログラム、ならびに、個人情報保護システム |
US11178122B2 (en) * | 2016-08-31 | 2021-11-16 | I.X Co., Ltd. | Data encryption and decryption method and system |
WO2018047399A1 (en) * | 2016-09-08 | 2018-03-15 | Nec Corporation | Network function virtualization system and verifying method |
CN110650010B (zh) * | 2019-09-24 | 2022-04-29 | 支付宝(杭州)信息技术有限公司 | 一种非对称密钥中的私钥生成和使用方法、装置和设备 |
-
2017
- 2017-04-18 WO PCT/JP2017/015560 patent/WO2018047399A1/en unknown
- 2017-04-18 EP EP17724941.4A patent/EP3510722B1/en active Active
- 2017-04-18 JP JP2019513084A patent/JP6965921B2/ja active Active
- 2017-04-18 US US16/331,581 patent/US11463267B2/en active Active
- 2017-04-18 CN CN201780055371.1A patent/CN109691009B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015143651A1 (zh) * | 2014-03-26 | 2015-10-01 | 华为技术有限公司 | 基于网络功能虚拟化的证书配置方法、装置和系统 |
WO2016037330A1 (zh) * | 2014-09-10 | 2016-03-17 | 华为技术有限公司 | 一种信息处理方法及设备 |
WO2016048206A1 (en) * | 2014-09-25 | 2016-03-31 | Telefonaktiebolaget L M Ericsson (Publ) | Network functions virtualization in ad-hoc groups |
CN105577637A (zh) * | 2014-10-31 | 2016-05-11 | 英特尔公司 | 用于安全虚拟网络功能间通信的技术 |
WO2016126347A1 (en) * | 2015-02-04 | 2016-08-11 | Intel Corporation | Technologies for scalable security architecture of virtualized networks |
Also Published As
Publication number | Publication date |
---|---|
US20190253264A1 (en) | 2019-08-15 |
EP3510722A1 (en) | 2019-07-17 |
CN109691009A (zh) | 2019-04-26 |
WO2018047399A1 (en) | 2018-03-15 |
JP2019526993A (ja) | 2019-09-19 |
US11463267B2 (en) | 2022-10-04 |
JP6965921B2 (ja) | 2021-11-10 |
EP3510722B1 (en) | 2021-07-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109691009B (zh) | 网络功能虚拟化系统和验证方法 | |
CN109361668B (zh) | 一种数据可信传输方法 | |
US11223480B2 (en) | Detecting compromised cloud-identity access information | |
US8671439B2 (en) | Techniques for authenticated posture reporting and associated enforcement of network access | |
JP5860815B2 (ja) | コンピューターポリシーを施行するためのシステムおよび方法 | |
US9209979B2 (en) | Secure network cloud architecture | |
US8909930B2 (en) | External reference monitor | |
JP5497171B2 (ja) | セキュア仮想マシンを提供するためのシステムおよび方法 | |
US10333930B2 (en) | System and method for transparent multi-factor authentication and security posture checking | |
WO2018157247A1 (en) | System and method for securing communications with remote security devices | |
US8145917B2 (en) | Security bootstrapping for distributed architecture devices | |
US10812272B1 (en) | Identifying computing processes on automation servers | |
CN113614720A (zh) | 一种动态配置可信应用程序访问控制的装置和方法 | |
EP4260512A1 (en) | Remote management of hardware security modules | |
Sanjoyo et al. | Accountable bootstrapping based on attack resilient public key infrastructure and secure zero touch provisioning | |
KR102162108B1 (ko) | Nfv 환경을 위한 lw_pki 시스템 및 그 시스템을 이용한 통신방법. | |
Pei et al. | RFC 9397 Trusted Execution Environment Provisioning (TEEP) Architecture | |
CN117749476A (zh) | 基于加密算法的可信安全连接方法及装置、电子设备 | |
GB2622355A (en) | Enclave architecture | |
CN115549948A (zh) | 一种基于可信计算的去中心信任链认证方法、系统及介质 | |
Shen et al. | A method for the trust management in mobile agent system | |
Tan | Authentication in mobile-agent system: D'Agents |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |