CN110199283B - 用于在网络功能虚拟化环境中认证平台信任的系统和方法 - Google Patents
用于在网络功能虚拟化环境中认证平台信任的系统和方法 Download PDFInfo
- Publication number
- CN110199283B CN110199283B CN201880007938.2A CN201880007938A CN110199283B CN 110199283 B CN110199283 B CN 110199283B CN 201880007938 A CN201880007938 A CN 201880007938A CN 110199283 B CN110199283 B CN 110199283B
- Authority
- CN
- China
- Prior art keywords
- attestation
- network
- cloud
- remote
- computer network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种计算机网络的远程证明系统,包括:被配置成管理远程证明系统的证明过程的证明操作子系统、以及包括多个证明服务器的证明服务器池。多个证明服务器被配置成执行数据中心中至少一个主机的证明。系统还包括:被配置成存储至少一个主机的证明状态的证明状态数据库、被配置成存储计算机网络的至少一个运营商策略的证明策略数据库、以及被配置成提供计算机网络的用户对远程证明系统的访问的终端用户服务门户。
Description
相关申请的交叉引用
本申请要求于2017年1月25日提交的第62/450,311号美国临时专利申请的利益和优先权,该申请通过引用以其整体并入本文。
背景
本公开的领域总体上涉及计算机网络的管理,且更具体地涉及这种网络内的认证和信任建立。
业界众所周知,计算机网络在确认管理程序和操作系统的真实性方面面临许多困难。在应用软件已经被执行之前,传统网络还面临在其随后的执行链中认证这个软件的问题。对这些问题的一种传统解决方案已经标准化(例如,通过可信计算组织(TCG)),但是这种标准化的解决方案被应用到单个主机,也就是说,该解决方案仅与数据中心中的单个主机相关。
传统的信任建立利用硬件信任根(a hardware root of trust)来对使用方案建模。这种硬件信任根旨在建立一个防篡改的“黑盒”,它可以使用内置加密密钥执行诸如加密、解密和散列等加密操作。这种硬件信任根的示例包括可信平台模块(TPM)和硬件安全模块(HSM)。然后,“紧缩套装(shrink-wrapped)”软件由硬件“黑盒”基于软件的供应商签名进行验证。硬件信任根方案也被用于远程证明,其中证明通常由第三方和/或云服务用户执行。
欧洲电信标准协会(ETSI)还针对网络功能虚拟化(NFV)环境对远程证明解决方案进行了标准化。然而,这些标准尚未集成到现代云环境中。因此,需要可靠的证明技术,该技术能够:(i)针对云中所有数据中心内的所有主机,而不仅限于单个主机被执行,(ii)由云提供商,而不是由第三方(例如,由特定主机提供的服务的用户)执行,并且(iii)以不依赖虚拟机本身指导的动作,而是以受云提供商控制的可信管理实体的方式执行。
简要概述
在实施例中,用于计算机网络的远程证明系统包括被配置成管理用于远程证明系统的证明过程的证明操作子系统,以及包括多个证明服务器的证明服务器池。多个证明服务器被配置成执行数据中心中至少一个主机的证明。系统还包括:被配置成存储至少一个主机的证明状态的证明状态数据库、被配置成存储计算机网络的至少一个运营商策略的证明策略数据库、以及被配置成提供计算机网络的用户对远程证明系统的访问的终端用户服务门户。
在实施例中,计算机网络包括远程证明系统,该远程证明系统包括操作子系统、至少一个服务器、策略数据库和状态数据库、计算体系结构以及至少一个映射方案。远程证明系统根据至少一个映射方案被映射到计算体系结构中。
附图简述
当参考附图阅读下面的详细描述时,本公开的这些和其它特征、方面和优点将变得更好理解,在所有附图中,相似的字符表示相似的部分,其中:
图1是根据实施例的针对云环境的示例性计算机网络的示意图。
图2是根据实施例的针对NFV体系结构的示例性计算机网络的示意图。
图3是根据实施例的针对NFV体系结构的替代计算机网络的示意图。
除非另有指示,本文中所提供的附图意在图示本公开的实施例的特征。这些特征被认为可应用于包括本公开的一个或更多个实施例的各种系统中。因此,附图并不意味着包括本领域中的普通技术人员已知的用于实践本文公开的实施例所需的所有常规特征。
详细描述
在下面的说明书和权利要求书中,将参考许多术语,这些术语应被定义为具有以下含义。
单数形式“一(a)”、“一(an)”、和“该(the)”包括复数的引用,除非上下文另有明确规定。
“可选的”或“可选地”指的是接下来描述的事件或情况可以发生或可以不发生,且描述包括事件发生的实例和事件不发生的实例。
本文在整个说明书和权利要求书中所使用的近似语言可以用来修改任何数量表示,这些数量表示可以允许改变,而不会导致与之相关的基本功能的变化。因此,由一个或更多个术语(诸如“大约”、“近似”和“基本上”)修改的值不限于指定的精确值。在至少一些情况下,近似语言可以对应于用于测量值的仪器的精度。在这里和整个说明书和权利要求书中,范围限制可以组合和/或互换;除非上下文或语言另有指示,否则这些范围被识别并包括其中包含的所有子范围。
本文描述的实施例提供了创新系统和方法,用于计算机网络且特别是云环境和NFV环境内的计算机网络的认证、证明和信任建立。除了其他解决方案之外,本实施例还引入了用于全云(all-Cloud)环境中的证明以及用于证明即服务和相关过程的技术。本实施例还有利地适用于ETSI NFV管理和编排(MANO)环境和体系结构。
本文的系统和方法还描述了证明过程到云的操作和管理模型中的创新性结合,使得证明过程能够:(i)在云中的所有主机/数据中心上执行,(ii)由云提供商而不是第三方并且根据其统一策略集中地执行,并且(iii)以不依赖于虚拟机本身指导的动作而是以受云提供商控制的可信管理实体的方式执行。
在本文提供的一些实施例中,云提供商可以向云用户提供新颖的机制和体系结构,以将证明信息实现为服务。这些有利的技术消除了对于用户部署和维护证明服务器来收集信息的需要。本实施例还使证明集中化,使得云资源能够以更加可预测的方式被更有效地优化和利用,从而导致显著的计算节省和网络流量的减少。
在示例性实施例中,云范围的(Cloud-wide)证明策略数据库和/或云范围的证明状态数据库被集成到系统中,并且可以用正在进行的证明的结果来持续更新。这些数据库有利地实现了(a)做出放置、迁移或其他生命周期决策,以及(b)评估和操纵软件定义网络(SDN)中的服务链。这些系统和方法特别适用于通用云或云环境,并且也在由ETSI NFV行业规范组所标准化的NFV环境的管理框架内。本实施例可以部署在所有主要的云载体中,特别是部署标准化NFV的网络运营商。这些系统和方法可以在专用硬件中实现,或者作为全软件解决方案来实现。
图1是用于云环境的示例性计算机网络100的示意图。在示例性实施例中,网络100包括远程证明系统101,并且相对于通用云体系结构102来实现。云体系结构102包括云编排器(Cloud orchestrator)104、网络编排器(network orchestrator)106、安全监控和日志子系统108以及多个数据中心110(即,数据中心110A、110B等)。每个数据中心110包括多个主机112(例如,1-m、1-n等)。云编排器104例如是OpenStack Heat Engine。网络编排器106例如是OpenStack Neutron Engine。子系统108用于监控安全性并提供日志事件。
网络100的证明系统101包括证明操作系统(AOS)114、包括多个证明服务器(AS)118的证明服务器池(ASP)116、证明策略数据库(APD)120、证明状态数据库(ASD)122和终端用户服务器(EUS)124。在证明系统101的操作中,证明管理由AOS 114执行,其指示ASP 116让服务器118执行数据中心110中主机112的证明。在实施例中,关于证明的云范围的运营商策略存储在APD 120中。在至少一些实施例中,云证明的当前状态存储在ASD 122中,ASD122被配置成响应查询,并且还发布事件通知。在示例性实施例中,EUS 124充当对于用户(未示出)访问证明服务的门户。
在网络100的操作中,云体系结构102的云提供商(未示出)通过提供APD 120中的策略来引导证明操作。这种引导的示例包括但不限于:(1)附接到数据中心110<x>的新主机112必须具有类型<y>的TPM;(2)在主机112<x>上启动的管理程序必须是仅由列表<z>中的供应商提供的类型<y>;以及(3)在对应于<x>的地理位置中启动的管理程序可以仅启动类型<y>的操作系统。在至少一个示例中,策略规则可以以“<条件>:动作(<condition>:action)”的形式定义,如在“虚拟机<y>的部件<x>的证明失败:从服务链<z>删除<y>”中。
当主机112出现时,主机根据主机112所在的特定数据中心110的相应策略组开始启动软件。然后,AOS 114被告知主机112的新存在,这触发AOS 114指示ASP 116开始证明过程。在示例性实施例中,ASP 116被实现为高可用性服务器组,其中主服务器118被复制。在实施例中,由于服务器软件可以由不同的供应商提供,因此ASP 116在某些情况下可以被配置成利用各个服务器118之间的投票系统。在证明过程开始时,ASD 122用所有云主机112的当前状态的信息连续或周期性地更新。
根据网络100的有利体系结构,云环境的用户能够添加他们自己的策略作为由云运营商提供的服务的一部分。例如,用户可以指定任何虚拟机上属于特定用户的特定应用的代码段必须不变,或者特定地址范围在给定的时间间隔期间必须不变。这些示例仅为了说明性目的而被提供,并且并不旨在限制。传统的云体系结构不允许用户以这种方式指定自己的证明策略。
网络100还有利地使用户能够通过提供商定义的应用编程接口(API)(例如,基于超文本传输协议(HTTP)的API,如表现状态传输(REST))访问证明即服务。用户通过EUS 124访问API,EUS 124然后通知ASD 122。因此,EUS 124终结终端用户连接,并因此充当中间盒(midbox)。根据这种有利的体系结构配置,通过EUS 124集中控制对ASD 122(以及由此对云体系结构102和网络100)的访问,从而保护云环境免受来自用户(或伪装成用户的实体)的潜在恶意动作。
通过限制用户对EUS 124的网络访问,网络100的服务还有利地支持终端用户的能力,以(i)更容易用终端用户的策略更新APD 120,(ii)询问ASD 122的终端用户特定状态,以及(iii)通过AOS 114开始和停止特定证明过程。在示例性实施例中,EUS 124还被配置成负责认证用户并确保用户对各自API请求的每个动作具有适当的授权。根据本文呈现的实施例,代表用户的证明的实际实现可以由虚拟机管理器(例如,OpenStack Nova)在相关服务器118的指导下执行,这与由用户的虚拟机执行证明的传统实践相反。
在一些实施例中,AOS 114还被配置成通过监控ASD 112和ASP 116来触发附加证明过程。在遇到与(例如,存储在APD 120中的)相关策略不兼容的状态的情况下,该事件可以被安全监控和日志子系统108视为安全警报。在这种情况下,子系统108将为该事件生成日志。在其他情况下,子系统108可以被配置成采取附加动作。在实施例中,部门100还被配置成使得云编排器104和网络编排器106能够在两个编排器做出它们各自的决策时监控ASD122。云编排器104的决策可以包括例如关于放置和迁移的决策。
云编排器104的监控ASD 122的能力有利地使得云编排器104能够更可靠地实施编排器策略。例如,在主机112(例如,用于放置VM)将被证明为特定安全级别,但是主机112的当前状态反映较低安全级别的情况下,云编排器104能够不允许放置。也就是说,在预期放置时,云编排器104使用ASD 112检查主机112的当前证明状态,并且如果被监控的状态与特定策略冲突,则不执行该动作(在该示例中,放置)。在进一步的示例中,在不允许主机的特定动作的情况下,相关事件还可以被子系统108锁定,并且或者触发安全警报。
在另一个示例中,实施策略可能更严格。也就是说,特定主机112(即,运行VM)被证明为特定的安全级别。然而,当特定证明的级别改变到较低的安全级别时,网络100可以被配置成使得VM必须被迁移到另一主机112。子系统108也可以在这种环境下生成日志和/或触发警报。
因此,网络100的集中式体系结构使得能够显著提高能力,以有效地对各种订阅者实现各种策略,包括响应与云编排器104的逻辑异步的事件的策略。在示例性实施例中,ASD122被配置成向这种异步事件的订阅者发出通知。这种通知机制可以由例如云编排器104和/或网络编排器106来实现,以向订阅用户通知特定事件,或者可替代地,AOS 114可以被配置成每次更新APD 120的相关策略时提供这种订阅。在一个说明性示例中,网络编排器106可以具有要求“如果VM未被证明达到安全级别x,则VM可能不被放置在服务链y中”或者“如果服务链y中VM的安全级别下降到级别x以下,则VM必须从服务链中被取出”的策略。
根据本实施例的有利集中化,这种证明策略可以在云环境中更容易且有效地被监控、更新和实施。然而,本实施例的证明系统和方法不仅限于云环境。如上所述的新颖系统部件也可以有利地用其他计算机网络来实现,包括但不限于NFV环境,如下文参考图2-3所述。
图2是针对NFV5体系结构202的示例性计算机网络200的示意图。NFV体系结构202表示例如根据ETSI NFV管理和操作(MANO)规范的系统,并且包括NFV编排器(NFVO)204、NS目录206、虚拟网络功能(VNF)目录208、NFV实例210、NFVI资源212、VNF管理器(VNFM)214和虚拟化基础设施管理器(VIM)216。以上参照图1描述的网络100的部件通常具有相同的个体相应结构和功能,因此在网络200内用相同的参考数字表示。
NFV体系结构202通过说明的方式被提供,并且不打算用于限制。在图2所描绘的示例中,NFV体系结构202示出了本系统和方法对现有传统体系结构且与现有传统体系结构的适用性和兼容性。本实施例的创新功能也可以在其原始独立环境中被执行,或者也可以映射到可以执行证明和认证的其他计算机网络体系结构,或者以其他方式依赖于计算环境内的信任建立。
在示例性实施例中,网络200包括AOS 114、APD 120、ASD 122和EUS 124到用于NFV体系结构202的操作支持系统/业务支持系统(OSS/BSS)功能块220的第一映射218。也就是说,除了服务器118之外,以上关于网络100描述的所有非通用部件都被映射到OSS/BSS块220。如图2所示,网络200包括ASP 116的每个服务器118(为了解释的简单起见,仅示出了一个服务器118)到用于NFV体系结构202的单独的元件管理(EM)功能块224的第二映射222。
根据网络200的有利配置,包括第一映射218和第二映射222,不需要改变NFV体系结构202的现有结构化配置。在示例性实施例中,第一映射仅通过OSS/BSS块220提供对ASD122的访问。
图3是替代性NFV计算机网络300的示意图。网络300类似于以上图2的网络200,并实现其相同的部件(由相同的参考数字示出)。然而,网络300与网络200的不同之处在于,在网络200实现两映射技术的情况下,网络300实现三映射技术,其包括第一映射302、第二映射304和第三映射306。网络300的第一映射302类似于图2网络200的第一映射218,除了第一映射302不将ASD 122映射到OSS/BSS块220中。相反,ASD 122在第三映射306中被映射到网络300的VIM 216中。第二映射304基本上与图2的第二映射222相同。也就是说,在第二映射304中,独立的服务器118被映射到EM块224。
根据该替代映射配置,NFVO 204和/或VNFM 214能够独立地访问ASD。然而,与网络200一样,即使在网络300的三映射技术下,也不需要改变NFV体系结构202的现有结构配置来实现这种替代的虚拟接入配置。本领域普通技术人员在阅读和理解本说明书和附图后,将因此理解,在不脱离本申请的范围的情况下,可以采用其他映射技术和配置。
根据本文描述的几个实施例,远程证明可以在各种不同的技术环境中集中实现,并且不需要对这种技术环境的计算机网络进行任何结构化(即硬件)改变。因此,与要求基于硬件的信任根的计算机网络环境相比,本实施例提供了显著的优势。
上面详细描述了计算机网络环境中用于认证、证明和信任建立的系统和方法的示例性实施例。然而,本公开的系统和方法不仅仅限于本文描述的特定实施例,而是它们的实现的部件和/或步骤可以与本文描述的其他部件和/或步骤独立且分开地使用。
尽管本公开的各种实施例的特定特征可以在一些附图中示出,而在其他附图中没有示出,但这仅仅是为了方便和易于描述。根据本公开的原理,附图中示出的特定特征可以结合其他附图的特征来引用和/或要求保护。例如,下面的示例条款列表仅代表了根据本文描述的系统和方法可能的元素的一些可能组合。
a(i).一种用于计算机网络的远程证明系统,包括:证明操作子系统,其被配置成管理用于远程证明系统的证明过程;证明服务器池,其包括多个证明服务器,其中所述多个证明服务器被配置成执行数据中心中至少一个主机的证明;证明状态数据库,其被配置成存储所述至少一个主机的证明状态;证明策略数据库,其被配置成存储所述计算机网络的至少一个运营商策略;以及终端用户服务门户,其被配置成提供所述计算机网络的用户对所述远程证明系统的访问。
b(i).根据条款a(i)所述的系统,其中,所述证明状态数据库还被配置成响应关于所存储的证明状态的查询。
c(i).根据条款b(i)所述的系统,其中,所述计算机网络包括基于云的体系结构。
d(i).根据条款c(i)所述的系统,其中,所述证明状态数据库还被配置成响应来自所述基于云的体系结构的云编排器的查询。
e(i).根据条款c(i)所述的系统,其中,所述证明状态数据库还被配置成响应来自所述基于云的体系结构的网络编排器的查询。
f(i).根据条款a(i)所述的系统,其中,所述证明状态数据库还被配置成发布至少一个事件通知。
g(i).根据条款f(i)所述的系统,其中,所述至少一个事件通知指示所存储的证明状态与所述至少一个运营商策略不兼容。
h(i).根据条款g(i)所述的系统,还包括被配置成对所述至少一个事件通知的记录生成日志的安全子系统。
i(i).根据条款h(i)所述的系统,其中,所述安全子系统还被配置成在接收到指示不兼容的所述至少一个事件通知时触发警报。
j(i).根据条款a(i)所述的系统,其中,所述终端用户服务门户包括至少一个应用编程接口。
k(i).根据条款b(i)所述的系统,其中,所述计算机网络包括基于网络功能虚拟化的体系结构。
a(ii).一种计算机网络,包括:
远程证明系统,其包括操作子系统、至少一个服务器、策略数据库和状态数据库;
计算体系结构;以及
至少一个映射方案,
其中,所述远程证明系统根据至少一个映射方案被映射到所述计算体系结构中。
b(ii).根据条款a(ii)所述的网络,其中,所述计算体系结构包括基于云的环境。
c(ii).根据条款b(ii)所述的网络,其中,所述至少一个映射方案将所述状态数据库映射到所述基于云的环境的云编排器和网络编排器中的至少一个中。
d(ii).根据条款b(ii)所述的网络,其中,所述计算体系结构包括多个数据中心。
e(ii).根据条款b(ii)所述的网络,其中,所述多个数据中心中的至少一个数据中心包括多个主机。
f(ii).根据条款a(ii)所述的网络,其中,所述计算体系结构包括基于网络功能虚拟化的环境。
g(ii).根据条款f(ii)所述的网络,其中,所述至少一个映射方案将所述至少一个服务器映射到所述基于网络功能虚拟化的环境的元素管理块中。
h(ii).根据条款g(ii)所述的网络,其中,所述至少一个映射方案还将所述策略数据库中的一个或更多个操作子系统映射到所述基于网络功能虚拟化的环境的操作支持系统/业务支持系统块中。
i(ii).根据条款h(ii)所述的网络,其中,所述至少一个映射方案还将所述状态数据库映射到所述基于网络功能虚拟化的环境的虚拟化基础设施管理器中。
一些实施例涉及使用一个或更多个电子或计算设备。这样的设备通常包括处理器或控制器,如通用中央处理单元(CPU)、图形处理单元(GPU)、微控制器、精简指令集计算机(RISC)处理器、专用集成电路(ASIC)、可编程逻辑电路(PLC)、现场可编程门阵列(FPGA)、数字信号处理(DSP)设备和/或能够执行本文描述的功能的任何其他电路或处理器。本文描述的过程可以被编码为体现在计算机可读介质中的可执行指令,该计算机可读介质包括但不限于储存设备和/或存储设备。当这些指令由处理器执行时,使处理器执行本文描述的方法的至少一部分。以上示例仅是示例性的,且因此并不旨在以任何方式限制术语“处理器”的定义和/或含义。
本书面描述使用示例来公开包括最佳模式的实施例,并且还使得本领域的任何技术人员能够实践这些实施例,包括制造和使用任何设备或系统以及执行任何结合的方法。本公开的专利性范围由权利要求限定,并且可以包括本领域技术人员想到的其他示例。如果这些其它示例具有与权利要求的字面语言没有不同的结构元件,或者如果它们包括与权利要求的字面语言没有实质性差异的等效结构元件,则这些其它示例旨在权利要求的范围内。
Claims (20)
1.一种用于计算机网络的远程证明系统,包括:
证明操作子系统,其被配置成管理用于所述远程证明系统的证明过程;
证明服务器池,其包括多个证明服务器,其中所述多个证明服务器被配置成执行对数据中心中至少一个主机的证明;
证明状态数据库,其被配置成存储所述至少一个主机的证明状态;
证明策略数据库,其被配置成存储所述计算机网络的至少一个运营商策略;以及
终端用户服务门户,其被配置成提供所述计算机网络的用户对所述远程证明系统的访问,其中,所述用户对所述远程证明系统的访问是通过所述终端用户服务门户集中控制的,且仅限于通过所述终端用户服务门户进行控制。
2.根据权利要求1所述的系统,其中,所述证明状态数据库还被配置成响应关于所存储的证明状态的查询。
3.根据权利要求2所述的系统,其中,所述计算机网络包括基于云的体系结构。
4.根据权利要求3所述的系统,其中,所述证明状态数据库还被配置成响应来自所述基于云的体系结构的云编排器的查询。
5.根据权利要求3所述的系统,其中,所述证明状态数据库还被配置成响应来自所述基于云的体系结构的网络编排器的查询。
6.根据权利要求1所述的系统,其中,所述证明状态数据库还被配置成发布至少一个事件通知。
7.根据权利要求6所述的系统,其中,所述至少一个事件通知指示所存储的证明状态与所述至少一个运营商策略不兼容。
8.根据权利要求7所述的系统,还包括被配置成对所述至少一个事件通知的记录生成日志的安全子系统。
9.根据权利要求8所述的系统,其中,所述安全子系统还被配置成在接收到指示不兼容的所述至少一个事件通知时触发警报。
10.根据权利要求1所述的系统,其中,所述终端用户服务门户包括至少一个应用编程接口。
11.根据权利要求2所述的系统,其中,所述计算机网络包括基于网络功能虚拟化的体系结构。
12.一种计算机网络,包括:
远程证明系统,其包括证明操作子系统、至少一个证明服务器、证明策略数据库、证明状态数据库和终端用户服务门户,所述终端用户服务门户被配置成提供所述计算机网络的用户对所述远程证明系统的访问,其中,所述用户对所述远程证明系统的访问是通过所述终端用户服务门户集中控制的,且仅限于通过所述终端用户服务门户进行控制;
计算体系结构;以及
至少一个映射方案,
其中,所述远程证明系统根据所述至少一个映射方案被映射到所述计算体系结构中。
13.根据权利要求12所述的网络,其中,所述计算体系结构包括基于云的环境。
14.根据权利要求13所述的网络,其中,所述至少一个映射方案将所述状态数据库映射到所述基于云的环境的云编排器和网络编排器中的至少一个中。
15.根据权利要求13所述的网络,其中,所述计算体系结构包括多个数据中心。
16.根据权利要求15所述的网络,其中,所述多个数据中心中的至少一个数据中心包括多个主机。
17.根据权利要求12所述的网络,其中,所述计算体系结构包括基于网络功能虚拟化的环境。
18.根据权利要求17所述的网络,其中,所述至少一个映射方案将所述至少一个服务器映射到所述基于网络功能虚拟化的环境的元素管理块中。
19.根据权利要求18所述的网络,其中,所述至少一个映射方案还将所述策略数据库中的一个或更多个操作子系统映射到所述基于网络功能虚拟化的环境的操作支持系统/业务支持系统块中。
20.根据权利要求19所述的网络,其中,所述至少一个映射方案还将所述状态数据库映射到所述基于网络功能虚拟化的环境的虚拟化基础设施管理器中。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201762450311P | 2017-01-25 | 2017-01-25 | |
US62/450,311 | 2017-01-25 | ||
PCT/US2018/015289 WO2018140628A1 (en) | 2017-01-25 | 2018-01-25 | Systems and methods for authenticating platform trust in a network function virtualization environment |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110199283A CN110199283A (zh) | 2019-09-03 |
CN110199283B true CN110199283B (zh) | 2023-03-28 |
Family
ID=61193074
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201880007938.2A Active CN110199283B (zh) | 2017-01-25 | 2018-01-25 | 用于在网络功能虚拟化环境中认证平台信任的系统和方法 |
Country Status (6)
Country | Link |
---|---|
US (3) | US10951657B2 (zh) |
CN (1) | CN110199283B (zh) |
CA (1) | CA3051411C (zh) |
DE (1) | DE112018000525T5 (zh) |
GB (2) | GB2573726B (zh) |
WO (1) | WO2018140628A1 (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CA3051411C (en) * | 2017-01-25 | 2023-03-28 | Cable Television Laboratories, Inc. | Systems and methods for authenticating platform trust in a network function virtualization environment |
US11461209B2 (en) * | 2019-01-31 | 2022-10-04 | Walmart Apollo, Llc | Methods and apparatus for datacenter communications |
EP3696700A1 (en) * | 2019-02-18 | 2020-08-19 | Nokia Technologies Oy | Security status of security slices |
US11451560B2 (en) * | 2019-04-05 | 2022-09-20 | Cisco Technology, Inc. | Systems and methods for pre-configuration attestation of network devices |
CN111866044A (zh) * | 2019-04-29 | 2020-10-30 | 华为技术有限公司 | 数据采集方法、装置、设备及计算机可读存储介质 |
WO2021093486A1 (zh) * | 2019-11-11 | 2021-05-20 | 华为技术有限公司 | 远程证明方法、装置,系统及计算机存储介质 |
CN114666223B (zh) * | 2020-12-04 | 2023-11-21 | 中国移动通信集团设计院有限公司 | 云计算资源池处理方法、装置及可读存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8417938B1 (en) * | 2009-10-16 | 2013-04-09 | Verizon Patent And Licensing Inc. | Environment preserving cloud migration and management |
WO2013081441A1 (en) * | 2011-12-02 | 2013-06-06 | Mimos Berhad | A system and method for establishing mutual remote attestation in internet protocol security (ipsec) based virtual private network (vpn) |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1328102A1 (en) * | 2002-01-14 | 2003-07-16 | Alcatel | Method and system for managing the access to a communication network based on authentication data |
US20090204964A1 (en) * | 2007-10-12 | 2009-08-13 | Foley Peter F | Distributed trusted virtualization platform |
US8259948B2 (en) * | 2007-12-29 | 2012-09-04 | Intel Corporation | Virtual TPM key migration using hardware keys |
US8474037B2 (en) * | 2008-01-07 | 2013-06-25 | Intel Corporation | Stateless attestation system |
US20090313363A1 (en) * | 2008-06-17 | 2009-12-17 | The Go Daddy Group, Inc. | Hosting a remote computer in a hosting data center |
US10027711B2 (en) * | 2009-11-20 | 2018-07-17 | Alert Enterprise, Inc. | Situational intelligence |
CN105072088A (zh) * | 2010-01-22 | 2015-11-18 | 交互数字专利控股公司 | 一种在具有用户的无线设备处执行的方法 |
US9910972B2 (en) * | 2012-01-30 | 2018-03-06 | Intel Corporation | Remote trust attestation and geo-location of servers and clients in cloud computing environments |
US9256742B2 (en) * | 2012-01-30 | 2016-02-09 | Intel Corporation | Remote trust attestation and geo-location of servers and clients in cloud computing environments |
US8959195B1 (en) * | 2012-09-27 | 2015-02-17 | Emc Corporation | Cloud service level attestation |
US9424421B2 (en) * | 2013-05-03 | 2016-08-23 | Visa International Service Association | Security engine for a secure operating environment |
US20140337277A1 (en) | 2013-05-09 | 2014-11-13 | Rockwell Automation Technologies, Inc. | Industrial device and system attestation in a cloud platform |
US9986033B2 (en) * | 2015-03-17 | 2018-05-29 | Panzura, Inc. | Facilitating access to remote cloud services |
US10778720B2 (en) * | 2015-06-12 | 2020-09-15 | Teleputers, Llc | System and method for security health monitoring and attestation of virtual machines in cloud computing systems |
CA3051411C (en) * | 2017-01-25 | 2023-03-28 | Cable Television Laboratories, Inc. | Systems and methods for authenticating platform trust in a network function virtualization environment |
-
2018
- 2018-01-25 CA CA3051411A patent/CA3051411C/en active Active
- 2018-01-25 DE DE112018000525.9T patent/DE112018000525T5/de active Pending
- 2018-01-25 US US15/880,068 patent/US10951657B2/en active Active
- 2018-01-25 WO PCT/US2018/015289 patent/WO2018140628A1/en active Application Filing
- 2018-01-25 CN CN201880007938.2A patent/CN110199283B/zh active Active
- 2018-01-25 GB GB1912178.9A patent/GB2573726B/en active Active
- 2018-01-25 GB GB2116227.6A patent/GB2600022B/en active Active
-
2021
- 2021-02-05 US US17/168,956 patent/US11477247B2/en active Active
-
2022
- 2022-10-13 US US17/965,204 patent/US11831687B2/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8417938B1 (en) * | 2009-10-16 | 2013-04-09 | Verizon Patent And Licensing Inc. | Environment preserving cloud migration and management |
WO2013081441A1 (en) * | 2011-12-02 | 2013-06-06 | Mimos Berhad | A system and method for establishing mutual remote attestation in internet protocol security (ipsec) based virtual private network (vpn) |
Also Published As
Publication number | Publication date |
---|---|
GB2600022A (en) | 2022-04-20 |
GB2600022B (en) | 2022-09-14 |
DE112018000525T5 (de) | 2019-10-10 |
CN110199283A (zh) | 2019-09-03 |
US10951657B2 (en) | 2021-03-16 |
GB202116227D0 (en) | 2021-12-29 |
GB201912178D0 (en) | 2019-10-09 |
GB2573726B (en) | 2021-12-22 |
CA3051411C (en) | 2023-03-28 |
US11831687B2 (en) | 2023-11-28 |
WO2018140628A1 (en) | 2018-08-02 |
US20230036553A1 (en) | 2023-02-02 |
CA3051411A1 (en) | 2018-08-02 |
GB2573726A (en) | 2019-11-13 |
US20210185090A1 (en) | 2021-06-17 |
US20180213003A1 (en) | 2018-07-26 |
US11477247B2 (en) | 2022-10-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110199283B (zh) | 用于在网络功能虚拟化环境中认证平台信任的系统和方法 | |
US11582257B2 (en) | Prioritizing internet-accessible workloads for cyber security | |
US10614233B2 (en) | Managing access to documents with a file monitor | |
US11102220B2 (en) | Detection of botnets in containerized environments | |
US10397352B2 (en) | Network infrastructure management | |
US10979452B2 (en) | Blockchain-based malware containment in a network resource | |
US10673878B2 (en) | Computer security apparatus | |
KR102134491B1 (ko) | 보호된 데이터 세트의 네트워크 기반 관리 기법 | |
CN111324891A (zh) | 用于容器文件完整性监视的系统和方法 | |
US20220166665A1 (en) | Automatic segment naming in microsegmentation | |
US11374959B2 (en) | Identifying and circumventing security scanners | |
US9172717B2 (en) | Security-aware admission control of requests in a distributed system | |
WO2023020067A1 (en) | Identifying credential attacks on encrypted network traffic | |
WO2022229731A1 (en) | Systems and methods for side scanning | |
Marotta | Architectures and Algorithms for Resource Management in Virtualized Cloud Data Centers |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |