CN110943967A - 一种认证方法、装置和系统 - Google Patents
一种认证方法、装置和系统 Download PDFInfo
- Publication number
- CN110943967A CN110943967A CN201811117613.8A CN201811117613A CN110943967A CN 110943967 A CN110943967 A CN 110943967A CN 201811117613 A CN201811117613 A CN 201811117613A CN 110943967 A CN110943967 A CN 110943967A
- Authority
- CN
- China
- Prior art keywords
- vnf instance
- vnf
- infrastructure
- operates
- infrastructure environment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/085—Retrieval of network configuration; Tracking network configuration history
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0895—Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/40—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例公开了一种认证方法和装置,所述认证方法包括:获取虚拟化网络功能VNF实例运行所在的基础设施环境特征信息;根据VNF实例运行所在的基础设施环境特征信息和配置的认证书License文件确定VNF实例当前是否运行在合法授权的环境中。本发明实施例结合VNF实例运行所在的基础设施环境特征信息和License文件确定VNF实例当前是否运行在合法授权的环境中,由于VNF实例运行所在的基础设施环境特征信息反映了物理设备特征,真实反映了VNF实例运行所在的基础设施环境特征,从而为VNF提供了有效的License认证,从而保护了电信设备商的利益。
Description
技术领域
本发明实施例涉及但不限于虚拟机技术,尤指一种认证方法、装置和系统。
背景技术
非虚拟化的电信网元,又称为物理网络功能(PNF,Physical Network Function),通常基于物理设备特征实现物理设备上的软件功能的认证书(License)控制,大致包括:识别设备资产,根据销售合同针对设备资产制作License文件;将License文件安装到设备上;根据License限制设备的软件功能。
由于物理设备特征的唯一性与不可复制性,如果PNF的软件被复制到未授权的设备上运行,License认证机制通过核查软件实际运行的物理环境和License文件中授权的物理设备特征是否一致,可发现并阻止盗版和滥用,保护设备商的商业利益。
然而,虚拟化网络功能(VNF,Virtualization Network Function)遵循欧洲电信标准协会(ETSI,European Telecommunication Standards Institute)提出的网络功能虚拟化(NFV,Network Function Virtualization)技术规范,架构如图1所示。
图1中,虚拟化基础设施管理(VIM,Virtualization Infrastructure Manager)用于分配、管理、释放虚拟化资源,收集并报告虚拟化资源的性能的错误信息。
虚拟化网络功能的生命周期管理(VNFM,Virtualization Network FunctionManager)用于实例化,终止,弹性伸缩,版本升级,管理与VNF相关的网络功能虚拟化基础设施(NFVI,Network Function Virtualization Infrastructure)资源。
NFVI用于在数据中心部署的基于虚拟化管理程序(Hypervisor)管辖的物理计算、存储、网络交换设备。
网络功能虚拟化编排器(NFVO,Network Function VirtualizationOrchestrator)用于管理网络服务(NS,Network Service)生命周期,并协调NS生命周期的管理、协调VNF生命周期的管理、协调NFVI各类资源的管理,以此确保所需各类资源与连接的优化配置。其中,NS为若干个互连的VNF的集合,构成了完整的电信网络功能(例如虚拟基站VNF连接、虚拟核心网VNF构成了无线接入网络服务)。
虚拟化网络功能管理与编排(MANO,NFV Management and Orchestration)是VIM、VNFM与NFVO三者实体的统称。
虚拟化网络功能(VNF,Virtualization Network Function)即虚拟网元,通过软件实现网络功能。
上述架构中,虚拟化网络功能与硬件为解耦关系,即设备商只需要提供VNF的软件模型包,运营商运维人员就可以通过NFVO客户端发起编排启动命令,依次通过NFVO、VNFM和VIM的资源分配和协调,最终在选定的基础设施(NFVI)上分配计算、存储、网络资源并启动VNF实例。VNF实例在其生命周期内,用软件实现电信网络的业务功能。由于VNF软件运行的载体是虚拟机,它的硬件设备特征例如虚拟CPU、虚拟网卡、虚拟存储等设备也是由软件模拟生成的,不具备持久化特征,也没有与物理设备关联,因此基于VNF的运行环境实施License认证机制不可行,无法阻止同一份VNF软件包在不同的基础设施环境中实施未授权的拷贝和部署。
发明内容
本发明实施例提供了一种认证方法、装置和系统,能够为VNF提供有效的License认证,从而保护电信设备商的利益。
本发明实施例提供了一种认证方法,包括:
获取虚拟化网络功能VNF实例运行所在的基础设施环境特征信息;
根据VNF实例运行所在的基础设施环境特征信息和配置的认证书License文件确定VNF实例当前是否运行在合法授权的环境中。
在本发明实施例中,所述获取虚拟化网络功能VNF实例运行所在的基础设施环境特征信息包括:
发送查询请求;其中,所述查询请求携带VNF实例标识;
接收查询应答;其中,所述查询应答包括所述VNF实例运行所在的基础设施环境特征信息。
在本发明实施例中,所述根据VNF实例运行所在的基础设施环境特征信息确定VNF实例当前是否运行在合法授权的环境中包括:
当所述VNF实例运行所在的基础设施环境特征信息和所述License文件中绑定的基础设施环境特征信息一致时,确定所述VNF实例当前运行在合法授权的环境中。
在本发明实施例中,所述根据VNF实例运行所在的基础设施环境特征信息确定VNF实例当前是否运行在合法授权的环境中包括:
当所述VNF实例运行所在的基础设施环境特征信息和配置的License文件中绑定的基础设施环境特征信息不一致时,确定所述VNF实例当前运行在不合法授权的环境中。
在本发明实施例中,所述VNF实例运行所在的基础设施环境特征信息包括虚拟化网络功能管理与编排MANO所管理的基础设施资源的唯一物理或逻辑标识中,与所述VNF实例关联的基础设施资源的唯一物理或逻辑标识。
在本发明实施例中,所述MANO所管理的基础设施资源的唯一物理或逻辑标识中,与所述VNF实例关联的基础设施资源的唯一物理或逻辑标识包括:
虚拟化基础设施管理VIM对虚拟化网络功能的生命周期管理VNFM或网络功能虚拟化编排器NFVO暴露的服务域名、主机名或基础设施服务商自定义的VIM标识ID;
所述VIM所管理的网络功能虚拟化基础设施NFVI资源池中物理设备的资产标识或资产标识组合;
VIM所管理NFVI资源池所在的地理位置信息与网络服务端点信息组合。
本发明实施例提出了一种认证方法,包括:
接收查询请求;其中,所述查询请求携带虚拟化网络功能VNF实例标识;
根据VNF实例标识获取所述VNF实例运行所在的基础设施环境特征信息;
发送查询应答;其中,所述查询应答包括VNF实例运行所在的基础设施环境特征信息。
在本发明实施例中,所述根据VNF实例标识获取VNF实例运行所在的基础设施环境特征信息包括:
在预先设置的VNF实例标识和VNF在实例化过程中分配的基础设施资源信息之间的对应关系中,查找所述查询请求中的VNF实例标识对应的VNF在实例化过程中分配的基础设施资源信息作为所述VNF实例运行所在的基础设施环境特征信息。
本发明实施例提出了一种认证装置,包括:
第一获取模块,用于获取虚拟化网络功能VNF实例运行所在的基础设施环境特征信息;
认证模块,用于根据VNF实例运行所在的基础设施环境特征信息和配置的认证书License文件确定VNF实例当前是否运行在合法授权的环境中。
本发明实施例提出了一种认证装置,包括:
接收模块,用于接收查询请求;其中,所述查询请求携带虚拟化网络功能VNF实例标识;
第二获取模块,用于根据VNF实例标识获取所述VNF实例运行所在的基础设施环境特征信息;
发送模块,用于发送查询应答;其中,所述查询应答包括VNF实例运行所在的基础设施环境特征信息。
本发明实施例提出了一种认证装置,包括处理器和计算机可读存储介质,所述计算机可读存储介质中存储有指令,当所述指令被所述处理器执行时,实现上述任一种认证方法。
本发明实施例提出了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一种认证方法的步骤。
本发明实施例提出了一种认证系统,包括:
第一设备,用于发送查询请求;其中,所述查询请求携带VNF实例标识;接收查询应答;其中,所述查询应答包括所述VNF实例运行所在的基础设施环境特征信息;根据VNF实例运行所在的基础设施环境特征信息和配置的认证书License文件确定VNF实例当前是否运行在合法授权的环境中;
第二设备,用于接收查询请求;其中,所述查询请求携带虚拟化网络功能VNF实例标识;根据VNF实例标识获取所述VNF实例运行所在的基础设施环境特征信息;发送查询应答;其中,所述查询应答包括VNF实例运行所在的基础设施环境特征信息。
本发明实施例提出了一种认证系统,包括:
第一设备,用于发送查询请求;其中,所述查询请求携带VNF实例标识;接收查询应答;其中,所述查询应答包括所述VNF实例运行所在的基础设施环境特征信息;根据VNF实例运行所在的基础设施环境特征信息和配置的认证书License文件确定VNF实例当前是否运行在合法授权的环境中;
第二设备,用于转发查询请求;转发查询应答;
第三设备,用于接收查询请求;其中,所述查询请求携带虚拟化网络功能VNF实例标识;根据VNF实例标识获取所述VNF实例运行所在的基础设施环境特征信息;发送查询应答;其中,所述查询应答包括VNF实例运行所在的基础设施环境特征信息。
本发明实施例包括:获取VNF实例运行所在的基础设施环境特征信息;根据VNF实例运行所在的基础设施环境特征信息和配置的License文件确定VNF实例当前是否运行在合法授权的环境中。本发明实施例结合VNF实例运行所在的基础设施环境特征信息和License文件确定VNF实例当前是否运行在合法授权的环境中,由于VNF实例运行所在的基础设施环境特征信息反映了物理设备特征,真实反映了VNF实例运行所在的基础设施环境特征,从而为VNF提供了有效的License认证,从而保护了电信设备商的利益。
本发明实施例的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明实施例而了解。本发明实施例的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明实施例技术方案的进一步理解,并且构成说明书的一部分,与本发明实施例的实施例一起用于解释本发明实施例的技术方案,并不构成对本发明实施例技术方案的限制。
图1为相关技术VNF的架构示意图;
图2为本发明一个实施例提出的认证方法的流程;
图3为本发明另一个实施例提出的认证方法的流程;
图4为本发明实施例示例1认证方法的交互图;
图5为本发明实施例示例2认证方法的交互图;
图6为本发明另一个实施例提出的认证装置的结构组成示意图;
图7为本发明另一个实施例提出的认证装置的结构组成示意图;
图8为本发明另一个实施例提出的认证系统的结构组成示意图;
图9为本发明另一个实施例提出的认证洗洗头的结构组成示意图。
具体实施方式
下文中将结合附图对本发明实施例进行详细说明。需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互任意组合。
在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
参见图2,本发明一个实施例提出了一种认证方法,包括:
步骤200、获取VNF实例运行所在的基础设施环境特征信息。
在本发明实施例中,VNF实例运行所在的基础设施环境特征信息包括MANO所管理的基础设施资源的唯一物理或逻辑标识中,与所述VNF实例关联的基础设施资源的唯一物理或逻辑标识,用于区分VNF实例所部属的基础设施环境特征信息。
其中,MANO所管理的基础设施资源的唯一物理或逻辑标识中,与所述VNF实例关联的基础设施资源的唯一物理或逻辑标识包括但不限于:
VIM对VNFM或NFVO暴露的服务域名、主机名或基础设施服务商自定义的VIM标识(ID);
VIM所管理的NFVI资源池中物理设备的资产标识或资产标识组合,例如CPU标识、服务器的硬件条形码等;
VIM所管理NFVI资源池所在的地理位置信息与网络服务端点(EndPoint)信息组合,例如NFV-IFA005V0.8.10中针对Or-Vi接口规范中定义的NfviPopGeneral信元。
步骤201、根据VNF实例运行所在的基础设施环境特征信息和配置的认证书(License)文件确定VNF实例当前是否运行在合法授权的环境中。
在本发明实施例中,当所述VNF实例运行所在的基础设施环境特征信息和所述License文件中绑定的基础设施环境特征信息一致时,确定所述VNF实例当前运行在合法授权的环境中;
当所述VNF实例运行所在的基础设施环境特征信息和配置的License文件中绑定的基础设施环境特征信息不一致时,确定所述VNF实例当前运行在不合法授权的环境中。
在本发明另一个实施例中,当确定VNF实例当前运行在合法授权的环境中时,该方法还包括:根据License文件的授权项提供对应的业务功能;
当确定VNF实例当前运行在不合法授权的环境中时,该方法还包括:
启动保护措施如限制软件能力等。
本发明实施例结合VNF实例运行所在的基础设施环境特征信息和License文件确定VNF实例当前是否运行在合法授权的环境中,由于VNF实例运行所在的基础设施环境特征信息反映了物理设备特征,真实反映了VNF实例运行所在的基础设施环境特征,从而为VNF提供了有效的License认证,从而保护了电信设备商的利益。
参见图3,本发明另一个实施例提出了一种认证方法,包括:
步骤300、接收查询请求;其中,所述查询请求携带VNF实例标识。
步骤301、根据VNF实例标识获取所述VNF实例运行所在的基础设施环境特征信息。
在本发明实施例中,根据VNF实例标识获取VNF实例运行所在的基础设施环境特征信息包括:
在预先设置的VNF实例标识和VNF在实例化过程中分配的基础设施资源信息之间的对应关系中,查找所述查询请求中的VNF实例标识对应的VNF在实例化过程中分配的基础设施资源信息作为所述VNF实例运行所在的基础设施环境特征信息。
步骤302、发送查询应答;其中,所述查询应答包括VNF实例运行所在的基础设施环境特征信息。
下面通过具体示例详细说明本发明实施例的具体实现过程,所举的例子不用于限定本发明实施例的保护范围。
示例1
本示例中,VNF实例从NFVO获取VNF实例运行所在的基础设施环境特征信息并进行License认证。
本示例中,如图4所示,VNF的生命周期管理基于间接模式,即在VNF实例化过程中VNFM不直接与VIM交互,而是通过NFVO间接向VIM申请实例化VNF所需要的资源。
参见图4,该认证方法包括:
步骤400、VNF实例化成功,VNF通过Ve-Vnfm-Vnf接口向VNFM发送查询请求,查询请求中携带VNF实例标识。
步骤401、VNFM通过Or-Vnfm接口向NFVO发送查询请求,查询请求中携带VNF实例标识。
步骤402、NFVO在预先设置的VNF实例标识和VNF在实例化过程中分配的基础设施资源信息之间的对应关系中,查找所述查询请求中的VNF实例标识对应的VNF在实例化过程中分配的基础设施资源信息作为所述VNF实例运行所在的基础设施环境特征信息,并通过Or-Vnfm接口向VNFM发送查询应答,查询应答中携带VNF实例运行所在的基础设施环境特征信息。
本步骤中,VNF实例运行所在的基础设施环境特征信息为VIM所管理的基础设施资源的唯一物理或逻辑标识中,与所述VNF实例关联的基础设施资源的唯一物理或逻辑标识,用于区分VNF实例所部署的基础设施环境特征信息。
其中,VIM所管理的基础设施资源的唯一物理或逻辑标识中,与所述VNF实例关联的基础设施资源的唯一物理或逻辑标识包括且不限于如下信息:
a)VIM对VNFM或NFVO暴露的服务域名、主机名或基础设施服务商自定义的VIM ID;
b)VIM所管理的NFVI资源池中物理设备的资产标识组合,例如CPU标识、服务器的硬件条形码等;
c)VIM所管理NFVI资源池所在的地理位置信息与网络服务端点(EndPoint)信息组合,例如NFV-IFA005V0.8.10中针对Or-Vi接口规范中定义的NfviPopGeneral信元。
步骤403、VNFM通过Ve-Vnfm-Vnf接口向VNF发送查询应答,查询应答中携带VNF实例运行所在的基础设施环境特征信息。
步骤404、VNF从查询应答中获取VNF实例运行所在的基础设施环境特征信息,并与本地保存的License文件中绑定的基础设施环境特征信息做比较,当所述VNF实例运行所在的基础设施环境特征信息和所述License文件中绑定的基础设施环境特征信息一致时,表示VNF实例当前运行在合法授权的环境中,根据License文件的授权项提供对应的业务功能;当所述VNF实例运行所在的基础设施环境特征信息和配置的License文件中绑定的基础设施环境特征信息不一致时,确定所述VNF实例当前运行在不合法授权的环境中,即VNF实例是未经授权的部署,启动保护措施如限制软件能力等。
示例2
本示例中,VNF实例从VNFM获取VNF实例运行所在的基础设施环境特征信息并进行License认证。
本示例中,如图5所示,VNF的生命周期管理基于直接模式,即在VNF实例化过程中VNFM不经过NFVO直接向VIM申请实例化VNF所需要的资源。
参见图5,该认证方法包括:
步骤500、VNF实例化成功,VNF通过Ve-Vnfm-Vnf接口向VNFM发送查询请求,查询请求中携带VNF实例标识。
步骤501、VNFM在预先设置的VNF实例标识和VNF在实例化过程中分配的基础设施资源信息之间的对应关系中,查找所述查询请求中的VNF实例标识对应的VNF在实例化过程中分配的基础设施资源信息作为所述VNF实例运行所在的基础设施环境特征信息,并通过Ve-Vnfm-Vnf接口向VNF发送查询应答,查询应答中携带VNF实例运行所在的基础设施环境特征信息。
本步骤中,VNF实例运行所在的基础设施环境特征信息为VIM所管理的基础设施资源的唯一物理或逻辑标识中,与所述VNF实例关联的基础设施资源的唯一物理或逻辑标识,用于区分VNF实例所部署的基础设施环境特征信息。
其中,VIM所管理的基础设施资源的唯一物理或逻辑标识中,与所述VNF实例关联的基础设施资源的唯一物理或逻辑标识包括且不限于如下信息:
a)VIM对VNFM或NFVO暴露的服务域名、主机名或基础设施服务商自定义的VIM ID;
b)VIM所管理的NFVI资源池中物理设备的资产标识组合,例如CPU标识、服务器的硬件条形码等;
c)VIM所管理NFVI资源池所在的地理位置信息与网络服务端点(EndPoint)信息组合,例如NFV-IFA005V0.8.10中针对Or-Vi接口规范中定义的NfviPopGeneral信元。
步骤502、VNF从查询应答中获取VNF实例运行所在的基础设施环境特征信息,并与本地保存的License文件中绑定的基础设施环境特征信息做比较,当所述VNF实例运行所在的基础设施环境特征信息和所述License文件中绑定的基础设施环境特征信息一致时,表示VNF实例当前运行在合法授权的环境中,根据License文件的授权项提供对应的业务功能;当所述VNF实例运行所在的基础设施环境特征信息和配置的License文件中绑定的基础设施环境特征信息不一致时,确定所述VNF实例当前运行在不合法授权的环境中,即VNF实例是未经授权的部署,启动保护措施如限制软件能力等。
按照ETSI的规范,针对同一的网络功能,虚拟网元(VNF)与非虚网元(PNF)应该在对外业务表现和软件逻辑架构上没有差异。上述两个实施例结合当前ETSI的规范框架,为VNF提供了兼容PNF的License认证方法。
参见图6,本发明另一个实施例提出了一种认证装置,包括:
第一获取模块601,用于获取虚拟化网络功能VNF实例运行所在的基础设施环境特征信息;
认证模块602,用于根据VNF实例运行所在的基础设施环境特征信息和配置的认证书License文件确定VNF实例当前是否运行在合法授权的环境中。
在本发明实施例中,VNF实例运行所在的基础设施环境特征信息包括MANO所管理的基础设施资源的唯一物理或逻辑标识中,与所述VNF实例关联的基础设施资源的唯一物理或逻辑标识,用于区分VNF实例所部属的基础设施环境特征信息。
其中,MANO所管理的基础设施资源的唯一物理或逻辑标识中,与所述VNF实例关联的基础设施资源的唯一物理或逻辑标识包括但不限于:
VIM对VNFM或NFVO暴露的服务域名、主机名或基础设施服务商自定义的VIM标识(ID);
VIM所管理的NFVI资源池中物理设备的资产标识或资产标识组合,例如CPU标识、服务器的硬件条形码等;
VIM所管理NFVI资源池所在的地理位置信息与网络服务端点(EndPoint)信息组合,例如NFV-IFA005V0.8.10中针对Or-Vi接口规范中定义的NfviPopGeneral信元。
在本发明实施例中,认证模块602具体用于:
当所述VNF实例运行所在的基础设施环境特征信息和所述License文件中绑定的基础设施环境特征信息一致时,确定所述VNF实例当前运行在合法授权的环境中;
当所述VNF实例运行所在的基础设施环境特征信息和配置的License文件中绑定的基础设施环境特征信息不一致时,确定所述VNF实例当前运行在不合法授权的环境中。
在本发明另一个实施例中,认证模块602还用于:
当确定VNF实例当前运行在合法授权的环境中时,根据License文件的授权项提供对应的业务功能;
当确定VNF实例当前运行在不合法授权的环境中时,启动保护措施如限制软件能力等。
本发明实施例结合VNF实例运行所在的基础设施环境特征信息和License文件确定VNF实例当前是否运行在合法授权的环境中,由于VNF实例运行所在的基础设施环境特征信息反映了物理设备特征,真实反映了VNF实例运行所在的基础设施环境特征,从而为VNF提供了有效的License认证,从而保护了电信设备商的利益。
参见图7,本发明另一个实施例提出了一种认证装置,包括:
接收模块701,用于接收查询请求;其中,所述查询请求携带虚拟化网络功能VNF实例标识;
第二获取模块702,用于根据VNF实例标识获取所述VNF实例运行所在的基础设施环境特征信息;
发送模块703,用于发送查询应答;其中,所述查询应答包括VNF实例运行所在的基础设施环境特征信息。
在本发明实施例中,第二获取模块702具体用于:
在预先设置的VNF实例标识和VNF在实例化过程中分配的基础设施资源信息之间的对应关系中,查找所述查询请求中的VNF实例标识对应的VNF在实例化过程中分配的基础设施资源信息作为所述VNF实例运行所在的基础设施环境特征信息。
本发明另一个实施例提出了一种认证装置,包括处理器和计算机可读存储介质,所述计算机可读存储介质中存储有指令,当所述指令被所述处理器执行时,实现上述任一种认证方法。
本发明另一个实施例提出了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一种认证方法的步骤。
参见图8,本发明另一个实施例提出了一种认证系统,包括:
第一设备801,用于发送查询请求;其中,所述查询请求携带VNF实例标识;接收查询应答;其中,所述查询应答包括所述VNF实例运行所在的基础设施环境特征信息;根据VNF实例运行所在的基础设施环境特征信息和配置的认证书License文件确定VNF实例当前是否运行在合法授权的环境中;
第二设备802,用于接收查询请求;其中,所述查询请求携带虚拟化网络功能VNF实例标识;根据VNF实例标识获取所述VNF实例运行所在的基础设施环境特征信息;发送查询应答;其中,所述查询应答包括VNF实例运行所在的基础设施环境特征信息。
在本发明实施例中,VNF实例运行所在的基础设施环境特征信息包括MANO所管理的基础设施资源的唯一物理或逻辑标识中,与所述VNF实例关联的基础设施资源的唯一物理或逻辑标识,用于区分VNF实例所部属的基础设施环境特征信息。
其中,MANO所管理的基础设施资源的唯一物理或逻辑标识中,与所述VNF实例关联的基础设施资源的唯一物理或逻辑标识包括但不限于:
VIM对VNFM或NFVO暴露的服务域名、主机名或基础设施服务商自定义的VIM标识(ID);
VIM所管理的NFVI资源池中物理设备的资产标识或资产标识组合,例如CPU标识、服务器的硬件条形码等;
VIM所管理NFVI资源池所在的地理位置信息与网络服务端点(EndPoint)信息组合,例如NFV-IFA005V0.8.10中针对Or-Vi接口规范中定义的NfviPopGeneral信元。
在本发明实施例中,第一设备801具体用于采用以下方式至少之一实现根据VNF实例运行所在的基础设施环境特征信息和配置的认证书License文件确定VNF实例当前是否运行在合法授权的环境中:
当所述VNF实例运行所在的基础设施环境特征信息和所述License文件中绑定的基础设施环境特征信息一致时,确定所述VNF实例当前运行在合法授权的环境中;
当所述VNF实例运行所在的基础设施环境特征信息和配置的License文件中绑定的基础设施环境特征信息不一致时,确定所述VNF实例当前运行在不合法授权的环境中。
在本发明另一个实施例中,第一设备801还用于:
当确定VNF实例当前运行在合法授权的环境中时,根据License文件的授权项提供对应的业务功能;
当确定VNF实例当前运行在不合法授权的环境中时,启动保护措施如限制软件能力等。
在本发明实施例中,第二设备802具体用于采用以下方式实现根据VNF实例标识获取VNF实例运行所在的基础设施环境特征信息:
在预先设置的VNF实例标识和VNF在实例化过程中分配的基础设施资源信息之间的对应关系中,查找所述查询请求中的VNF实例标识对应的VNF在实例化过程中分配的基础设施资源信息作为所述VNF实例运行所在的基础设施环境特征信息。
本发明实施例结合VNF实例运行所在的基础设施环境特征信息和License文件确定VNF实例当前是否运行在合法授权的环境中,由于VNF实例运行所在的基础设施环境特征信息反映了物理设备特征,真实反映了VNF实例运行所在的基础设施环境特征,从而为VNF提供了有效的License认证,从而保护了电信设备商的利益。
参见图9,本发明另一个实施例提出了一种认证系统,包括:
第一设备801,用于发送查询请求;其中,所述查询请求携带VNF实例标识;接收查询应答;其中,所述查询应答包括所述VNF实例运行所在的基础设施环境特征信息;根据VNF实例运行所在的基础设施环境特征信息和配置的认证书License文件确定VNF实例当前是否运行在合法授权的环境中;
第二设备802,用于转发查询请求;转发查询应答;
第三设备803,用于接收查询请求;其中,所述查询请求携带虚拟化网络功能VNF实例标识;根据VNF实例标识获取所述VNF实例运行所在的基础设施环境特征信息;发送查询应答;其中,所述查询应答包括VNF实例运行所在的基础设施环境特征信息。
在本发明实施例中,VNF实例运行所在的基础设施环境特征信息包括MANO所管理的基础设施资源的唯一物理或逻辑标识中,与所述VNF实例关联的基础设施资源的唯一物理或逻辑标识,用于区分VNF实例所部属的基础设施环境特征信息。
其中,MANO所管理的基础设施资源的唯一物理或逻辑标识中,与所述VNF实例关联的基础设施资源的唯一物理或逻辑标识包括但不限于:
VIM对VNFM或NFVO暴露的服务域名、主机名或基础设施服务商自定义的VIM标识(ID);
VIM所管理的NFVI资源池中物理设备的资产标识或资产标识组合,例如CPU标识、服务器的硬件条形码等;
VIM所管理NFVI资源池所在的地理位置信息与网络服务端点(EndPoint)信息组合,例如NFV-IFA005V0.8.10中针对Or-Vi接口规范中定义的NfviPopGeneral信元。
在本发明实施例中,第一设备801具体用于采用以下方式至少之一实现根据VNF实例运行所在的基础设施环境特征信息和配置的认证书License文件确定VNF实例当前是否运行在合法授权的环境中:
当所述VNF实例运行所在的基础设施环境特征信息和所述License文件中绑定的基础设施环境特征信息一致时,确定所述VNF实例当前运行在合法授权的环境中;
当所述VNF实例运行所在的基础设施环境特征信息和配置的License文件中绑定的基础设施环境特征信息不一致时,确定所述VNF实例当前运行在不合法授权的环境中。
在本发明另一个实施例中,第一设备801还用于:
当确定VNF实例当前运行在合法授权的环境中时,根据License文件的授权项提供对应的业务功能;
当确定VNF实例当前运行在不合法授权的环境中时,启动保护措施如限制软件能力等。
在本发明实施例中,第三设备803具体用于采用以下方式实现根据VNF实例标识获取VNF实例运行所在的基础设施环境特征信息:
在预先设置的VNF实例标识和VNF在实例化过程中分配的基础设施资源信息之间的对应关系中,查找所述查询请求中的VNF实例标识对应的VNF在实例化过程中分配的基础设施资源信息作为所述VNF实例运行所在的基础设施环境特征信息。
本发明实施例结合VNF实例运行所在的基础设施环境特征信息和License文件确定VNF实例当前是否运行在合法授权的环境中,由于VNF实例运行所在的基础设施环境特征信息反映了物理设备特征,真实反映了VNF实例运行所在的基础设施环境特征,从而为VNF提供了有效的License认证,从而保护了电信设备商的利益。
在本发明实施例中,第一设备可以是VNF,第二设备可以是VNFM,第三设备可以是NFVO。
本发明实施例中的第一设备、第二设备和第三设备也可以设置在同一个设备中。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器,如数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
虽然本发明实施例所揭露的实施方式如上,但所述的内容仅为便于理解本发明实施例而采用的实施方式,并非用以限定本发明实施例。任何本发明实施例所属领域内的技术人员,在不脱离本发明实施例所揭露的精神和范围的前提下,可以在实施的形式及细节上进行任何的修改与变化,但本发明实施例的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
Claims (14)
1.一种认证方法,包括:
获取虚拟化网络功能VNF实例运行所在的基础设施环境特征信息;
根据VNF实例运行所在的基础设施环境特征信息和配置的认证书License文件确定VNF实例当前是否运行在合法授权的环境中。
2.根据权利要求1所述的认证方法,其特征在于,所述获取虚拟化网络功能VNF实例运行所在的基础设施环境特征信息包括:
发送查询请求;其中,所述查询请求携带VNF实例标识;
接收查询应答;其中,所述查询应答包括所述VNF实例运行所在的基础设施环境特征信息。
3.根据权利要求1所述的认证方法,其特征在于,所述根据VNF实例运行所在的基础设施环境特征信息确定VNF实例当前是否运行在合法授权的环境中包括:
当所述VNF实例运行所在的基础设施环境特征信息和所述License文件中绑定的基础设施环境特征信息一致时,确定所述VNF实例当前运行在合法授权的环境中。
4.根据权利要求1所述的认证方法,其特征在于,所述根据VNF实例运行所在的基础设施环境特征信息确定VNF实例当前是否运行在合法授权的环境中包括:
当所述VNF实例运行所在的基础设施环境特征信息和配置的License文件中绑定的基础设施环境特征信息不一致时,确定所述VNF实例当前运行在不合法授权的环境中。
5.根据权利要求1所述的认证方法,其特征在于,所述VNF实例运行所在的基础设施环境特征信息包括虚拟化网络功能管理与编排MANO所管理的基础设施资源的唯一物理或逻辑标识中,与所述VNF实例关联的基础设施资源的唯一物理或逻辑标识。
6.根据权利要求5所述的认证方法,其特征在于,所述MANO所管理的基础设施资源的唯一物理或逻辑标识中,与所述VNF实例关联的基础设施资源的唯一物理或逻辑标识包括:
虚拟化基础设施管理VIM对虚拟化网络功能的生命周期管理VNFM或网络功能虚拟化编排器NFVO暴露的服务域名、主机名或基础设施服务商自定义的VIM标识ID;
所述VIM所管理的网络功能虚拟化基础设施NFVI资源池中物理设备的资产标识或资产标识组合;
VIM所管理NFVI资源池所在的地理位置信息与网络服务端点信息组合。
7.一种认证方法,包括:
接收查询请求;其中,所述查询请求携带虚拟化网络功能VNF实例标识;
根据VNF实例标识获取所述VNF实例运行所在的基础设施环境特征信息;
发送查询应答;其中,所述查询应答包括VNF实例运行所在的基础设施环境特征信息。
8.根据权利要求7所述的认证方法,其特征在于,所述根据VNF实例标识获取VNF实例运行所在的基础设施环境特征信息包括:
在预先设置的VNF实例标识和VNF在实例化过程中分配的基础设施资源信息之间的对应关系中,查找所述查询请求中的VNF实例标识对应的VNF在实例化过程中分配的基础设施资源信息作为所述VNF实例运行所在的基础设施环境特征信息。
9.一种认证装置,包括:
第一获取模块,用于获取虚拟化网络功能VNF实例运行所在的基础设施环境特征信息;
认证模块,用于根据VNF实例运行所在的基础设施环境特征信息和配置的认证书License文件确定VNF实例当前是否运行在合法授权的环境中。
10.一种认证装置,包括:
接收模块,用于接收查询请求;其中,所述查询请求携带虚拟化网络功能VNF实例标识;
第二获取模块,用于根据VNF实例标识获取所述VNF实例运行所在的基础设施环境特征信息;
发送模块,用于发送查询应答;其中,所述查询应答包括VNF实例运行所在的基础设施环境特征信息。
11.一种认证装置,包括处理器和计算机可读存储介质,所述计算机可读存储介质中存储有指令,其特征在于,当所述指令被所述处理器执行时,实现如权利要求1~8任一项所述的认证方法。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1~7任一项所述的认证方法的步骤。
13.一种认证系统,包括:
第一设备,用于发送查询请求;其中,所述查询请求携带VNF实例标识;接收查询应答;其中,所述查询应答包括所述VNF实例运行所在的基础设施环境特征信息;根据VNF实例运行所在的基础设施环境特征信息和配置的认证书License文件确定VNF实例当前是否运行在合法授权的环境中;
第二设备,用于接收查询请求;其中,所述查询请求携带虚拟化网络功能VNF实例标识;根据VNF实例标识获取所述VNF实例运行所在的基础设施环境特征信息;发送查询应答;其中,所述查询应答包括VNF实例运行所在的基础设施环境特征信息。
14.一种认证系统,包括:
第一设备,用于发送查询请求;其中,所述查询请求携带VNF实例标识;接收查询应答;其中,所述查询应答包括所述VNF实例运行所在的基础设施环境特征信息;根据VNF实例运行所在的基础设施环境特征信息和配置的认证书License文件确定VNF实例当前是否运行在合法授权的环境中;
第二设备,用于转发查询请求;转发查询应答;
第三设备,用于接收查询请求;其中,所述查询请求携带虚拟化网络功能VNF实例标识;根据VNF实例标识获取所述VNF实例运行所在的基础设施环境特征信息;发送查询应答;其中,所述查询应答包括VNF实例运行所在的基础设施环境特征信息。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811117613.8A CN110943967A (zh) | 2018-09-21 | 2018-09-21 | 一种认证方法、装置和系统 |
EP19861825.8A EP3855693A4 (en) | 2018-09-21 | 2019-04-22 | AUTHENTICATION PROCESS, APPARATUS AND SYSTEM |
PCT/CN2019/083719 WO2020057119A1 (zh) | 2018-09-21 | 2019-04-22 | 认证方法、装置和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811117613.8A CN110943967A (zh) | 2018-09-21 | 2018-09-21 | 一种认证方法、装置和系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110943967A true CN110943967A (zh) | 2020-03-31 |
Family
ID=69888257
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811117613.8A Withdrawn CN110943967A (zh) | 2018-09-21 | 2018-09-21 | 一种认证方法、装置和系统 |
Country Status (3)
Country | Link |
---|---|
EP (1) | EP3855693A4 (zh) |
CN (1) | CN110943967A (zh) |
WO (1) | WO2020057119A1 (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080005798A1 (en) * | 2006-06-30 | 2008-01-03 | Ross Alan D | Hardware platform authentication and multi-purpose validation |
US20120266213A1 (en) * | 2011-04-18 | 2012-10-18 | Bank Of America Corporation | Trusted hardware for attesting to authenticity in a cloud environment |
CN105103507A (zh) * | 2014-01-28 | 2015-11-25 | 华为技术有限公司 | 网络功能虚拟化的方法及装置 |
US20170012975A1 (en) * | 2015-07-12 | 2017-01-12 | Broadcom Corporation | Network Function Virtualization Security and Trust System |
CN106575323A (zh) * | 2014-08-22 | 2017-04-19 | 诺基亚技术有限公司 | 用于虚拟化网络的安全性和信任框架 |
WO2017188387A1 (ja) * | 2016-04-28 | 2017-11-02 | 日本電気株式会社 | ネットワーク機能仮想化管理オーケストレーション装置と方法とプログラム |
WO2018113571A1 (zh) * | 2016-12-19 | 2018-06-28 | 中兴通讯股份有限公司 | 一种虚拟化网元的管理方法和装置及计算机存储介质 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9342669B2 (en) * | 2013-07-11 | 2016-05-17 | Dialogic, Inc. | Systems and methods of licensing and identification of virtual network appliances |
CN105450601B (zh) * | 2014-08-19 | 2019-05-07 | 华为技术有限公司 | 共享许可证的方法和装置 |
US9578008B2 (en) * | 2015-05-11 | 2017-02-21 | Intel Corporation | Technologies for secure bootstrapping of virtual network functions |
WO2017219287A1 (zh) * | 2016-06-22 | 2017-12-28 | 华为技术有限公司 | 一种虚拟场景下的许可证激活方法及装置 |
-
2018
- 2018-09-21 CN CN201811117613.8A patent/CN110943967A/zh not_active Withdrawn
-
2019
- 2019-04-22 WO PCT/CN2019/083719 patent/WO2020057119A1/zh active Application Filing
- 2019-04-22 EP EP19861825.8A patent/EP3855693A4/en not_active Withdrawn
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080005798A1 (en) * | 2006-06-30 | 2008-01-03 | Ross Alan D | Hardware platform authentication and multi-purpose validation |
US20120266213A1 (en) * | 2011-04-18 | 2012-10-18 | Bank Of America Corporation | Trusted hardware for attesting to authenticity in a cloud environment |
CN105103507A (zh) * | 2014-01-28 | 2015-11-25 | 华为技术有限公司 | 网络功能虚拟化的方法及装置 |
CN106575323A (zh) * | 2014-08-22 | 2017-04-19 | 诺基亚技术有限公司 | 用于虚拟化网络的安全性和信任框架 |
US20170012975A1 (en) * | 2015-07-12 | 2017-01-12 | Broadcom Corporation | Network Function Virtualization Security and Trust System |
WO2017188387A1 (ja) * | 2016-04-28 | 2017-11-02 | 日本電気株式会社 | ネットワーク機能仮想化管理オーケストレーション装置と方法とプログラム |
WO2018113571A1 (zh) * | 2016-12-19 | 2018-06-28 | 中兴通讯股份有限公司 | 一种虚拟化网元的管理方法和装置及计算机存储介质 |
Also Published As
Publication number | Publication date |
---|---|
WO2020057119A1 (zh) | 2020-03-26 |
EP3855693A4 (en) | 2021-11-03 |
EP3855693A1 (en) | 2021-07-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10250461B2 (en) | Migrating legacy non-cloud applications into a cloud-computing environment | |
US11050623B2 (en) | Managing virtual network functions | |
CN107408064B (zh) | 在虚拟机实例内执行命令的方法和用于实施该方法的系统 | |
EP3668009B1 (en) | Network service lifecycle management method and device | |
US9097528B2 (en) | Managing a datacenter using mobile devices | |
CN110661647A (zh) | 一种生命周期管理方法及装置 | |
CN102419803B (zh) | 计算机病毒查杀方法、系统及装置 | |
CN109144478B (zh) | 组件框架系统以及组件框架系统的使用方法 | |
CN110945836A (zh) | 用于多运营商服务生命周期管理的方法、系统和选项 | |
CN109766152B (zh) | 一种交互方法及装置 | |
CN112073448B (zh) | 一种双系统终端的服务隔离方法和装置 | |
CN106331075B (zh) | 用于存储文件的方法、元数据服务器和管理器 | |
EP3901770A1 (en) | Method and device for instantiating virtualized network function | |
CN111221618A (zh) | 一种容器化虚拟网络功能的部署方法和装置 | |
CN115048642A (zh) | 多可信执行环境下可信应用间的通信方法及电子设备 | |
US9389991B1 (en) | Methods, systems, and computer readable mediums for generating instruction data to update components in a converged infrastructure system | |
US9176974B1 (en) | Low priority, multi-pass, server file discovery and management | |
US10324953B1 (en) | Managing remote data center from another data center | |
CN110943967A (zh) | 一种认证方法、装置和系统 | |
US11888700B2 (en) | Method and apparatus for fine-grained isolation in CN NSS domain of E2E network slice | |
US9992282B1 (en) | Enabling heterogeneous storage management using storage from cloud computing platform | |
US10911371B1 (en) | Policy-based allocation of provider network resources | |
CN109739615B (zh) | 一种虚拟硬盘的映射方法、设备和云计算平台 | |
US10958730B2 (en) | Mapping virtual network functions | |
CN112241337A (zh) | 用于管理备份数据的方法、设备和计算机程序产品 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20200331 |
|
WW01 | Invention patent application withdrawn after publication |