CN113228555A - 用于统一安全配置管理的方法、系统和装置 - Google Patents
用于统一安全配置管理的方法、系统和装置 Download PDFInfo
- Publication number
- CN113228555A CN113228555A CN201980087534.3A CN201980087534A CN113228555A CN 113228555 A CN113228555 A CN 113228555A CN 201980087534 A CN201980087534 A CN 201980087534A CN 113228555 A CN113228555 A CN 113228555A
- Authority
- CN
- China
- Prior art keywords
- security
- configuration
- node
- ucmf
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
- G06F9/44505—Configuring for program initiating, e.g. using registry, configuration files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/5041—Network service management, e.g. ensuring proper service fulfilment according to agreements characterised by the time relationship between creation and deployment of a service
- H04L41/5054—Automatic deployment of services triggered by the service manager, e.g. service implementation by automatic configuration of network components
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0631—Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0637—Modes of operation, e.g. cipher block chaining [CBC], electronic codebook [ECB] or Galois/counter mode [GCM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/34—Signalling channels for network management communication
- H04L41/342—Signalling channels for network management communication between virtual entities, e.g. orchestrators, SDN or NFV entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
公开了用于统一安全配置管理的方法和装置。一种方法可以包括:确定要执行的安全配置;确定至少一个安装在至少一个节点上并与安全配置相关联的安全应用;安全配置的格式,分别对应于至少一个安全应用中的每一个的指令;以及将指令发送到至少一个节点,用于至少一个安全应用中的每一个安全应用的相应配置。
Description
技术领域
本公开的实施例大致涉及信息安全技术,更具体地说,涉及用于通过网络进行安全配置的统一管理框架。
背景技术
如今,随着计算能力的快速增长,以前提供所需安全级别的加密算法可能不再被认为是安全的。例如,由于发现冲突,不推荐使用SHA-1。因此,通常需要并建议在移动网络产品中应用更强的加密算法以实现安全性。这需要更新所有影响领域的现有安全算法和配置,在受更新影响的产品当中例如各种安全应用。
通常,移动网络产品中的应用需要根据他们工作的环境集成各种算法以确保安全通信。例如,图1列出了几种加密算法。在产品或庞大的系统中,很多安全应用,例如TLS(传输层安全)、IPSec(互联网协议安全)、SSH(安全外壳)、A1-2、A1-4、ZUC等,可以通过不同的配置方法分别使用这些算法。这意味着不同的应用需要分别维护他们的加密算法配置。因此,一旦其中一种算法升级,运营商就需要以不同方式更新应用。例如,如3GPP TS 33.201中针对网络域安全性——核心网络产品的NDS/IP安全性规定的,需要协调安全性概要文件以最小化配置的变化。然而,在每个移动网络产品的各种受影响安全应用中有效地更新或修改这些配置并不容易。
例如,如果运营商需要更新算法,他/她必须在每个安全应用(例如TLS、IPSec、SSH等)上分别配置相关参数。许多运营商没有足够的专业知识和工程师来正确地完成这项工作。这项工作需要各种不同设置方法的复杂知识,并需要手动更新配置文件,很容易出错。这样的错误可能导致整个网络无法服务。因此,为所有安全应用保持加密算法的一致配置是耗时且困难的。另一方面,这样的配置服务需要得到适当的保护并绑定到正确的授权实体,以便没有恶意行为者可以出于他们的目的使用它并接管网络。
对于上述情况,提供一种解决方案来管理移动网络产品中的安全配置将是有利的。
本发明展示了一种使用安全算法有效且安全地管理公共密码算法的解决方案。
发明内容
提供此概述是为了介绍用于管理网络节点中的安全配置的统一框架。本概述不旨在表示所要求保护的主题的关键特征或基本特征,也不旨在用于限制要求保护的主题的范围。
根据本公开的第一方面,提供一种用于统一安全配置管理的方法。所述方法包括确定要执行的安全配置;确定安装在至少一个节点上并与安全配置相关联的至少一个安全应用;针对所述安全配置,分别格式化与所述至少一个安全应用中的每一个安全应用对应的指令;以及向所述至少一个节点发送所述指令,以用于针对所述至少一个安全应用中的每一个安全应用的相应配置。
在一个实施例中,确定所述至少一个安全应用可以包括:获取安装了所述至少一个安全应用的所述至少一个节点的地址信息。所述地址信息可以从虚拟网络功能管理实体获取。
在一个实施例中,对所述安全配置的确定可以由服务器触发。在另一实施例中,对所述安全配置的确定可以响应于来自所述至少一个节点中的一个节点的请求而被触发。
在一个实施例中,所述方法还可以包括接收执行所述安全配置的请求;以及检查是否支持所述安全配置。
在一个实施例中,所述节点可以包括所述至少一个节点包括不同的网络切片,或者不同的虚拟网络功能和虚拟机。
在一个实施例中,所述安全配置可以涉及以下中的至少一个:算法、密钥、和安全协议的版本。
在一个实施例中,所述方法还可以包括在发送之前,利用所述服务器的证书对所述指令进行签名。所述方法还可以包括对所述服务器的状态进行签名;以及向所述至少一个节点发送被签名的状态。
根据本发明的第二方面,提供了一种用于统一安全配置管理的装置。所述装置包括密码概要管理单元,其被配置为维护支持的安全配置的概要;应用管理单元,其被配置为维护安装在至少一个节点上的与安全配置相关联的安全应用的信息;配置引擎,其被配置为针对至少一个支持的安全配置,格式化与关联于至少一个支持的安全配置的至少一个安全应用对应的指令,并将所述指令发送给安装所述至少一个安全应用的节点。
在一个实施例中,所述安全应用的信息可以包括所述至少一个节点的地址信息。所述应用管理单元还可以被配置为从虚拟网络功能管理实体获取所述信息。
在一个实施例中,所述配置引擎还可以被配置为接收来自所述至少一个节点中的一个节点的请求,以触发对所述指令的格式化和对格式化指令的发送。
在一个实施例中,所述安全配置可以涉及以下至少一项:算法、密钥、算法参数、种子、算法实现、安全库和安全协议的版本。
在一个实施例中,所述装置还可以包括授权和认证单元,其被配置为利用与所述装置的证书绑定的密钥对格式化指令进行签名。
在一个实施例中,所述认证单元还可以被配置为对所述装置的状态进行签名,并且所述配置引擎还可以被配置为将被签名的状态发送给安装了所述至少一个安全应用的节点。
根据本公开的第三方面,提供了一种装置。所述装置可以包括至少一个处理器,包括计算机程序代码的至少一个存储器,所述存储器和计算机程序代码被配置为与所述至少一个处理器一起工作,使所述装置确定要执行的安全配置;确定安装在至少一个节点上并与所述安全配置相关联的至少一个安全应用;针对所述安全配置,分别格式化与所述至少一个安全应用中的每一个安全应用对应的指令;并且向所述至少一个节点发送所述指令,以用于针对所述至少一个安全应用中的每一个安全应用的相应配置。
根据本公开的第四方面,提供了一种计算机可读存储介质,其上存储指令,当由至少一个处理器执行时,所述指令使所述至少一个处理器执行根据所述第一方面的方法。
根据本公开的第五方面,提供了一种计算机程序产品,其包括指令,当由至少一个处理器执行时,所述指令使所述至少一个处理器执行根据所述第一方面的方法。
本公开的这些和其他目的、特征和优点将从以下结合附图阅读的对其说明性实施例的详细描述中变得显而易见。
附图说明
图1列出了几种加密算法;
图2图示了现有技术中安全算法设置的示例性过程。
图3图示了根据本公开实施例的统一安全配置的示例性系统架构;
图4图示了根据本公开实施例的推送安全配置的示例性过程。
图5图示了根据本公开实施例的拉取安全配置的示例性过程;
图6是描绘根据本公开实施例的方法的流程图;以及
图7示出了根据本公开实施例的装置的简化框图。
具体实施方式
下面将结合附图详细描述本发明的实施例。应当理解,这些实施例的讨论只是为了使本领域技术人员能够更好地理解并实施本公开,而不是对本公开范围的任何限制。在整个说明书中对特征、优点或类似语言的引用并不意味着可以通过本公开实现的所有特征和优点应该或是在本公开的任何单个实施例中。相反,涉及特征和优点的语言被理解为意味着结合实施例描述的特定特征、优点或特性被包括在本公开的至少一个实施例中。此外,本公开的所描述的特征、优点和特性可以在一个或多个实施例中以任何合适的方式组合。相关领域的技术人员将认识到,可以在没有特定实施例的一个或多个特定特征或优点的情况下实践本公开。在其他情况下,在某些实施例中可以认识到附加特征和优点,其可能不是存在于本公开的所有实施例中的。
如本文所用,属于“第一”、“第二”等指不同的元件,单数形式“一”和“一个”也旨在包括复数形式,除非上下文另有明确指示。术语“包含”、“包括有”、“具有”、“有”、“包括”和/如本文所用,指定所陈述的特征、元素和/或组件等的存在,但是不排除一个或多个其他特征、元素、组件和/或它们的组合的存在或添加。术语“基于”应理解为“至少部分基于”。术语“一个实施例”和“实施例”应理解为“至少一个实施例”。术语“另一实施例”应理解为“至少一个其他实施例”。其他定义,明确的和隐含的,可以包括在下面。
如上所述,各种安全应用可以具有各种安全配置方法。安全应用可以包括涉及用以确保安全性的处理或技术的任何应用。安全应用可以包括通信应用、记录/存储应用或任何其他合适的应用。每个安全应用可能有自己的软件架构和实现。安全配置可以包括与配置应用的安全相关的任何合适的操作。例如,安全配置可以涉及但不限于以下中的至少一个:算法、密钥、算法参数、种子、算法实现、安全库和安全协议版本。安全配置方法可以包括完全独立的配置文件和/或操作命令。以基于开源的应用(如TLS、IPSec、SSH等)为例,TLS应用的安全算法使用openssl框架内的关键字进行维护;IPSec应用的安全算法在ike或esp配置文件中指定;SSH应用的安全算法被定义在sshd文件中。需要说明的是,上文及下文所述的特定安全应用和安全配置仅为示例,本公开不以任何方式对其进行限制。
图2显示了传统的安全算法设置过程。在现有技术中,安全更新的一般机制是将相关代码/算法的一部分替换为新的。例如,如果需要将SHA-1算法替换为SHA-256算法,运营商需要分别配置不同种类的安全应用(例如TLS应用、IPSec应用和SSH应用)。
例如,对于TLS应用,支持的密码套件列在TLS/SSL库中,由openssl关键字设置。TLS应用的算法参数可以如图2的步骤210所示进行配置。例如,可以执行“opensslciphers-v‘SHA-256:!SHA1’”命令以使用SHA-256算法作为MAC(消息身份验证代码),同时删除SHA-1算法。可以在配置中应用以下命令行。
root@host:/usr/lib/ssl/private#openssl ciphers-v‘SHA-256:!SHA1’
ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(256)Mac=AEAD
ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256)Mac=AEAD
DHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=DH Au=RSA Enc=AESGCM(256)Mac=AEAD
对于IPSec应用,运营商可以手动修改/etc/ipsec.conf配置文件,以定义IPSec认证和加密方式,如步骤220所示。例如,要禁用SHA-1算法,可以通过以下配置命令删除所有相关的密码套件:
ike=aes128gcm16-prfsha256-ecp256,aes256gcm16-prfsha384-ecp384!
esp=aes128gcm16-ecp256,aes256gcm16-ecp384!
rightauth=pubkey-sha384-ecdsa
对于SSH应用,操作者可以手动修改/etc/ssh/sshd_config配置文件来定义SSH认证和加密方法,如步骤230所示。例如,为了禁用SHA-1算法,可以通过以下配置命令来修改密码和MAC行以排除SHA-1密码套件。
root@host:~#vim/etc/ssh/sshd_config
#This is the ssh client system-wide configuration file.
#ssh_config(5)for more information.This file provides defaults for
#users,and the values can be changed in per-user configuration files
#or on the command line.
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc
MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160
如图2所示,运营商必须一步一步地分开配置不同的安全应用。在实际的移动网络中,存在大量运行各种安全应用的设备。为了协调设备中各种安全应用中的算法配置,运营商必须通过如图2那样的当前配置方法来分开配置每个设备和每个应用。人工操作效率低下,而且可能容易出错。
本公开显示了用于管理网络节点中的公共安全配置的统一框架。它不仅可用于网络域安全,也可用于蜂窝算法管理,其中节点与蜂窝设备通信。安全配置可能涉及在运行这些算法的网络节点中配置常见的加密算法和相关参数。在本公开中,所述框架可以被称为可信统一加密管理框架(UCMF)。图3图示了UCMF的示例。UCMF 300由两部分构成,UCMF服务器310和多个UCMF代理(320,330),如图3所示。UCMF服务器可以集中为多个UCMF代理提供安全配置。应当理解,UCMF服务器也可以是虚拟功能实体,并且不需要是物理服务器。
UCMF代理可以部署在网络节点中,用于根据来自UCMF服务器的指令来配置运行在网络节点中的至少一个安全应用的安全。或者,UCMF代理可以部署在其关联节点之外,并连接到该关联节点。UCMF代理可以是虚拟功能实体,不需要是物理实体。在一些实施例中,网络节点可以是虚拟功能实体,例如虚拟机(VM)、虚拟网络功能(VNF)或虚拟网络功能链(VNFC)。在一些其他实施例中,网络节点可以是网络切片。每个网络切片都是一个逻辑自包含网络,其中服务在自己的网络切片上运行。例如,一个网络切片可以用于视频,一个网络切片可以用于物联网(IoT),另一个网络切片可以用于关键通信,等等。还可以在一个网络切片上对多个类似的服务进行分组。每个节点可能安装一个或多个安全应用,这些应用涉及各种加密算法和安全协议,例如TLS、IPSec、SSH等。
UCMF服务器310可以部署在与UCMF代理相同的实体内,或者部署在可以与UCMF代理远程通信的远程服务器中。在一些实施例中,UCMF服务器310可以部署在网络切片上。在这些实施例中,UCMF代理可以是不同的网络切片。UCMF 310可以处理来自终端用户(例如通信网络的安全管理员)的指令,针对不同的安全应用利用不同配置来处理这些指令,然后分发给相关的UCMF代理以供进一步处理。
如图3所示,UCMF服务器310可以维护若干功能组件,包括密码概要管理组件311、应用库存管理组件312和配置引擎313。UCMF服务器310还可以包括数据库350,用于存储将被功能组件处理或已经由功能组件处理的相关数据和参数。在一些其他实施例中,数据库350可以部署在UCMF服务器310之外,并且可以被UCMF服务器310经由通信连接访问。UCMF服务器310可以包括图3中未示出的其他组件。例如,在一些示例中,UCMF服务器310可以包括用户界面、收发器或任何其他合适的组件。
密码概要管理组件311被配置为维护由UCMF服务器311支持的安全配置概要文件。在一个示例中,密码概要管理组件311可以包含支持统一配置的一系列加密算法。例如,在不再使用SHA-1的情况下,安全管理员可以向UCMF服务器310输入“阻止SHA-1”的指令。然后,UCMF服务器310可以检查在密码概要管理组件中维护的加密算法概要中的SHA-1,以确定是否支持针对算法SHA-1的阻止操作。如果支持,则UCMF服务器311可以进一步处理用于UCMF代理中的各种安全应用的指令。
应用库存管理组件312被配置为维护安装在网络节点上的各种安全应用的信息。例如,响应于确定所输入指令被支持,UCMF服务器311可以被配置为检查应用库存管理组件312以确定与指令相关联的安全应用被安装的节点位置。
在一些实施例中,节点(例如网络切片、或VNF、或VM等)的地址信息可以从例如虚拟网络功能管理(VNFM)实体的网络管理实体获得。例如,VNFM实体可以是NFV(网络功能虚拟化)管理和编排的一部分,或者与通用O&M基础设施相结合,或者由服务提供商托管作为用于所述网络运营商的服务。例如,大型全球运营商可能为其所有子公司拥有一个UCMF,或者受信任的网络提供商为其客户运行UCMF作为服务。如图3所示,VNFM实体340可以跟踪每个节点在哪里被实例化,并维护节点的地址信息。节点的地址信息可以包括可用于对节点进行寻址的任何信息或数据。地址信息可以包括但不限于IP地址、应用标识符、端口和用于寻址节点的任何合适的字段。例如,在某些情况下,应用的ID在网络中可能是唯一的,因此可用于寻址安装该应用的节点。此外,VNFM实体340可以被配置为维护安装在每个节点中的安全应用的列表,并根据需要将所述列表提供给UCMF服务器311。
配置引擎330被配置为对与各种安全应用对应的指令进行格式化,并将格式化指令发送给对应的UCMF代理。例如,在“阻止SHA-1”的例子中,配置引擎330可以收集加密算法配置信息,并根据不同安全应用的加密算法配置信息来构造TLS更新指令、IPSec更新指令和/或SSH更新指令。基于每个节点上的应用列表和每个节点的地址,配置引擎330可以将与安全应用对应的格式化指令发送给安装了该安全应用的所有节点的UCMF代理。在一些示例中,在一个节点上运行不止一个安全应用。如图3所示,节点320可以安装TLS、IPSec和SSH应用。于是,可以将与TLS、IPSec和SSH应用对应的各个格式化指令一起发送给UCMF代理321,然后由UCMF代理321用于分开配置TLS、IPSec和SSH应用。
这样,如果安全管理员想要阻止SHA-1,他/她只需指示UCMF服务器310阻止SHA-1,然后UCMF服务器310将为每个安全应用构造SHA-1阻止指令并分发给相关的安全应用以进行加密更新。
在一些实施例中,UCMF服务器310还可以包括授权(authZ)和认证(authN)组件314。它可以包括可信平台模块(TPM)或配备在运行UCMF 310的服务器上的类似安全计算元件。所述组件被配置为支持UCMF服务器310和UCMF代理(例如320、330)之间的安全通信,以确保通信部分确实是授权实体,例如它可能持有密钥和证书。TPM将使用最高安全算法来保证UCMF服务器和代理之间认证和授权的安全性。它也可以作为用于通信的安全密钥生成实体,只保存用于初始握手和通信密钥生成的密钥材料。UCMF服务器310和UCMF代理320、330之间的消息受到所述组件提供的功能的保护。
在一些实施例中,组件314可以是地理位置绑定硬件。在这方面,可以利用地理位置信息进行认证。例如,要从UCMF服务器310发送的消息可以包括UCMF服务器310的地理位置信息。于是UCMF代理可以基于地理位置信息认证接收到的消息。
UCMF代理可以部署在其关联节点中。或者,UCMF代理可以连接到其关联节点。它可以配置有用于UCMF管理的可信证书,这允许它验证来自UCMF服务器310的消息确实来自那里。证书可以预先安装到UCMF代理中,例如在制造或初始设置期间或先前由UCMF管理更新。
一旦UCMF服务器310处理来自安全管理员(即最终用户)的请求并格式化相应的指令,UCMF服务器310将向相关UCMF代理发送指令。UCMF代理收到配置指令后,可以更新其关联节点内相应安全应用的安全配置。
在一些实施例中,UCMF代理也可以维护应用特定的需求,并且可以基于应用特定的需求来检查从UCMF服务器接收的配置指令是否适用于相应的安全应用。例如,一些算法或一些密钥长度可能不适用于某些特定的安全应用。在这种情况下,当用于密码配置的指令到达UCMF代理时,UCMF代理可以预先检查和处理特定于应用的要求。
通过这种统一的加密管理框架,可以以高效、可信的方式为不同的应用提供集中和自动的配置。使用UCMF方案,即使没有更多专业知识,运营商也可以更轻松地管理他们的安全配置。安全配置可以被推送到所有安全应用,安全应用也可以从UCMF服务器拉取安全配置。下面分别详细介绍两个对应的使用场景。
图4说明了从UCMF服务器推送安全配置的示例性过程。在一种场景中,运营商发起向多个UCMF代理的对加密算法配置的推送。例如,由于SHA-1被认为是不安全的,运营商可能希望对所有安全应用禁用SHA-1算法。图4示出了用于推送这种配置的过程400。
如401所示,运营商更新概要(profile)以触发SHA-1禁用操作。例如,运营商可以直接向UCMF服务器410输入用于阻止SHA-1的指令。在另一示例中,UCMF服务器410可以从运营商对网络安全的操作中间接地确定禁用SHA-1。在其他示例中,SHA-1禁用操作可以响应外部触发事件而发生。例如,核心网络的更新可能要求不再使用SHA-1。在这样的示例中,SHA-1禁用操作可以自动发生,而无需来自UCMF服务器410的最终用户的任何输入。
接下来在402,UCMF服务器410可以联系VNFM 440以获得在其上正在运行涉及SHA-1算法的安全应用的节点的信息。例如,所述信息可以包含节点的地址信息,例如切片标识符、VNF标识符、VM标识符、IP地址、端口、应用标识等。UCMF服务器410还可以获取相应的安全应用的信息,例如相应安全应用的标识符。在一些实施例中,UCMF服务器410可以预先获得所述信息。
接下来在403,UCMF服务器410可以例如基于密码概要管理组件311中维护的一系列支持的加密算法,检查是否支持SHA-1禁用操作。如果支持,UCMF服务器410根据相应的应用概要来为不同的安全应用(例如TLS应用、IPSec应用、SSH应用)格式化相应的指令。例如,给定应用的应用概要文件可以包括来自密码概要管理组件311的关于如何支持给定应用的信息,以及来自应用库存管理组件312的关于给定应用如何安装在关联节点上的信息。关于格式化,UCMF服务器410可以检查每个安全应用使用哪个安全协议,然后根据安全协议构造指令。例如,可以预定义用于根据给定安全协议构造指令的脚本,并将其存储在UCMF数据库315中。当确定要格式化的指令应该对应于使用给定安全协议的应用时,配置引擎组件320可以自动检索脚本。
接下来在404,UCMF服务器410向所有相关的UCMF代理(共同表示为421)发送指令。UCMF服务器410可以使用基于TPM的证书来对指令进行签名以作为授权。此外,可以对UCMF服务器410的状态进行签名。状态可以是UCMF服务器410的硬件和软件配置和状况的描述。出于效率原因,用于指示状态的位通常通过使用数学函数(例如哈希函数)而变小。这个“状态”可以用加密密钥签名。状态的这个值就像事物应该是什么样子的“摘要照片”。因此,如果稍后检查状态,就可以确定软件和硬件是否看起来像之前拍摄的“摘要照片”。
在收到请求更新安全性配置的指令后,UCMF代理421使用预安装的证书来验证该请求是否被授权,如405所示。如果签名状态被转移,则UCMF代理421可以将状态值与真实值(即“应该”值)进行匹配。
如果请求被验证,则UCMF代理421为其关联节点420内的所有影响应用分开更新加密算法配置,如406所示。
其他UCMF代理可以以类似方式为所有节点更新加密算法配置。它们的更新可以并行执行。在UCMF代理中成功执行更新之后,可以将安全应用的成功更新的指示发送回UCMF服务器410(未示出)。因此,UCMF服务器410可以更新针对该应用的应用特定信息。可选地,成功更新的指示可以被签名,例如使用UCMF代理的证书签名。在这种情况下,UCMF服务器410可以通过使用预先安装的证书来验证所述指示。
图5说明了从UCMF代理中拉取安全配置的示例过程。UCMF代理可以根据需要从UCMF服务器拉取加密算法。UCMF代理(或在与UCMF代理关联的节点上运行的安全应用)检测其真实安全配置与UCMF服务器中的概要之间的差距。例如,目标安全应用可能会检测到其加密算法与其他应用或其他互通节点不兼容。于是,目标安全应用可以请求UCMF代理触发拉取操作以更新其加密算法。
如501所示,UCMF代理521向UCMF服务器510发送“安全配置拉取”请求。可以使用预安装的证书对请求进行签名。
UCMF服务器510认证接收到的请求以确保它来自授权的UCMF代理,如502所示。
如果请求被验证,那么UCMF服务器510为所请求的“安全配置”格式化指令,如504所示。安全配置可能包含例如与所使用的加密算法相关的信息。
在一些实施例中,所述请求中可以包含与所请求的安全配置相关的安全应用的信息,例如目标安全应用的应用标识。同时,也可以从请求中确定节点520的地址信息(例如节点的ID、IP地址和/或端口号、目标安全应用的标识符,等等)。然后,UCMF服务器510可以将用于“密码配置”的格式化指令发送给被部署并且与节点520相关联的UCMF代理521,如505所示。与参照图4描述的推送配置的过程类似,可以对格式化指令进行签名。
在其他实施例中,UCMF服务器510联系VNFM 540以获得与所请求的密码配置相关的目标应用的信息和关联节点520的地址信息,如503所示。然后,UCMF服务器510根据目标应用的信息和地址信息,向UCMF代理521发送格式化指令。
UCMF代理521接收“安全配置”指令,并验证签名,如506所示。如果它被验证,则UCMF代理521可以将密码配置改变应用到目标应用。在一些实施例中,目标应用可以包括不同安全协议下的多个安全应用,例如TLS、IPSec、SSH等。因此,指令包括针对与各个应用对应的安全协议的相应指令。这些应用将根据相应的指令被分开配置。
现在参考图6,示出了根据本公开一些实施例的用于统一安全管理的方法的流程图。方法600可以在UCMF服务器处执行,例如图3、4和5所示的UCMF服务器310、410、510。
如块610所示,方法600包括确定要执行的安全配置。在一些实施例中,安全配置可以由来自UCMF服务器的最终用户的输入触发。在其他实施例中,安全配置可以由来自UCMF代理或来自安装了目标安全应用的节点的请求触发。
在块620,所述方法的过程继续,以确定安装在至少一个节点上并且与该安全配置相关联的至少一个安全应用。在一些实施例中,可以从虚拟网络功能管理实体获取该至少一个节点的地址信息。
在一些实施例中,方法600的过程可进一步进行(未示出)以检查是否支持安全配置。如果支持,则所述方法继续,以针对安全配置,分别格式化与所述至少一个安全应用中的每一个安全应用对应的指令,如框630所示。
接下来在块640,过程继续,以向该至少一个节点发送指令,用于针对所述至少一个安全应用中的每一个安全应用的相应配置。可以使用服务器的证书对指令进行签名。服务器的状态也可以被签名并发送给该至少一个节点。
使用上述UCFM方案,可以减少运营商的重复人工工作,安全配置的效率可以成倍地提高。所述UCFM方案提供了一种用来在网络中应用和管理安全机制的统一方法。在这方面,可以以统一的方式管理和执行用于各种安全配置的安全概要。例如,可以在密码概要文件管理组件311中维护各种安全配置的安全概要,可以根据概要来执行在网络中每个节点上的安全配置。此外,可以按照统一的方式管理关于安装在网络中每个节点中的安全应用的信息。例如,应用库存管理组件312可以获得安装在每个节点中的安全应用的列表。当需要执行特定的安全配置时,例如阻止SHA-1,很容易找到网络中所有相关的应用和节点。因此,这可以避免错过任何与安全配置相关的应用。
此外,UCMF方案封装了用于各种安全应用的通信协议、命令行或技术等的多样性。对于安全配置,UCMF服务器可以分别格式化与各种安全应用对应的指令。这样,安全配置的管理就可以在UCMF服务器上利用统一操作来进行,不需要对网络中每个节点上的安全应用进行大量的操作。进一步的,安全配置可以在UCMF服务器上配置一次,可以对UCMF代理执行多次,可以在多个节点上执行。
尽管上面讨论的例子是关于更新加密算法的,但是本公开的这个UCMF方案可以被扩展以支持其他类型的安全参数和其他安全应用。例如,它可以应用于增加特定类型密钥的密钥长度。在另一个例子中,它可以用于将特定安全协议的版本升级到新版本。
图7示出了根据本公开实施例的装置的简化框图。装置700可以实现为如图3-6所示的UCMF服务器或UCMF代理或其模块。如图7所示,装置700包括处理器704、存储器705和与处理器704可操作地通信的收发器701。收发器701包括至少一个发射器702和至少一个接收器703。虽然图7中仅示出了一个处理器,但是处理器704可以包括多个处理器或多核处理器。另外,处理器704还可包括高速缓存以促进处理操作。对于已经参照图3-6中描述的一些相同或相似的部分,为简洁起见,这里省略了这些部分的描述。
计算机可执行指令可以加载到存储器705中,并且当由处理器704执行时,使装置700实现上述方法。
此外,本公开的一方面可以利用在计算设备上运行的软件。这样的实现可以采用例如处理器、存储器和例如由显示器和键盘形成的输入/输出接口。这里使用的术语“处理器”旨在包括任何处理设备,例如,包括CPU(中央处理单元)和/或其他形式的处理电路。此外,术语“处理器”可以指一个以上的单独处理器。术语“存储器”旨在包括与处理器或CPU相关联的存储器,例如随机存取存储器(RAM)、只读存储器(ROM)、固定存储器设备(例如硬盘驱动器)、可移动存储设备(例如,磁盘)、闪存等。处理器、存储器和输入/输出接口(例如显示器和键盘)可以例如通过总线互连作为数据处理单元的一部分。合适的互连,例如通过总线,也可以提供给网络接口,例如网卡,它可以提供与计算机网络的接口,以及介质接口,例如磁盘或CD-ROM驱动器,它可以提供与介质的接口。
因此,如本文所述,包括用于执行本公开的方法的指令或代码的计算机软件可以存储在关联存储设备(例如,ROM、固定或可移动存储器)中,并且当准备好使用时,部分加载或全部加载(例如,加载到RAM中)并由CPU实现。此类软件可以包括但不限于固件、常驻软件、微代码等。
如上所述,本公开的方面可以采用计算机程序产品的形式,该计算机程序产品实现计算机可读介质中,该计算机可读介质包含在其上具体化的计算机可读程序代码。此外,可以利用计算机可读介质的任何组合。计算机可读介质可以是计算机可读信号介质或计算机可读存储介质。计算机可读存储介质可以是,例如(但不限于)电子、磁、光、电磁、红外或半导体系统、装置或设备,或前述的任何合适的组合。计算机可读存储介质的更具体的示例(非排他性的)包括以下:具有一个或多个线的电连接、便携式计算机软盘、硬盘、RAM、ROM、可擦除可编程只读存储器(EPROM或闪存)、光纤、便携式光盘只读存储器(CD-ROM)、光存储设备、磁存储设备或前述的任何合适组合。在本文档的上下文中,计算机可读存储介质可以是可以包含或存储由指令执行系统、装置或设备使用或与其结合使用的程序的任何有形介质。
用于执行本公开的各方面的操作的计算机程序代码可以用至少一种编程语言的任意组合编写,包括面向对象的编程语言,例如Java、Smalltalk、C++等和传统的过程编程语言,例如“C”编程语言或类似的编程语言。程序代码可以完全在用户计算机上、部分在用户计算机上、作为独立软件包、部分在用户计算机上部分在远程计算机上或完全在远程计算机或服务器上执行。
附图中的流程图和框图说明了根据公开内容的各种实施例的系统、方法和计算机程序产品的可能实现的架构、功能和操作。在这方面,流程图或框图中的每个块可以表示模块、组件、段或代码的一部分,其包括用于实现指定逻辑功能的至少一个可执行指令。还应该注意的是,在一些替代实现中,块中注明的功能可能不按图中注明的顺序出现。例如,根据所涉及的功能,连续示出的两个块实际上可以基本上同时执行,或者有时可以以相反的顺序执行这些块。还将注意到,框图和/或流程图说明的每个块,以及框图和/或流程图说明中的块的组合,可以由执行指定功能或动作的基于专用硬件的系统,或专用硬件和计算机指令的组合来实现。
在任何情况下,应当理解,本公开中所示的组件可以以各种形式的硬件、软件或其组合来实现,例如,专用集成电路(ASICS)、功能电路、具有相关存储器的适当编程的通用数字计算机。鉴于此处提供的本公开的教导,相关领域的普通技术人员将能够考虑本公开的组件的其他实施方式。
此处使用的术语仅用于描述特定实施例的目的,并不旨在限制本公开。如本文所用,单数形式“一”、“一个”和“所述”也旨在包括复数形式,除非上下文另有明确指示。将理解的是,尽管术语第一、第二等在本文中可用于描述各种元件,但这些元件不应受这些术语的限制。这些术语仅用于区分一种元素与另一种元素。例如,在不脱离示例实施例的范围的情况下,第一元素可以被称为第二元素,并且类似地,第二元素可以被称为第一元素。将进一步理解的是,术语“包括”“包含”和/或“包括有”,当在本说明书中使用时,指定所述特征、整数、步骤、操作、元件和/或组件的存在,但不排除其他特征、整数、步骤、操作、元件、组件和/或其组合的存在或添加。
已经出于说明的目的呈现了各种实施例的描述,但并不旨在穷举或限于所公开的实施例。在不脱离所描述实施例的范围和精神的情况下,许多修改和变化对于本领域普通技术人员来说将是显而易见的。
Claims (19)
1.一种方法,包括:
确定要执行的安全配置;
确定安装在至少一个节点上并与所述安全配置相关联的至少一个安全应用;
针对所述安全配置,分别格式化与所述至少一个安全应用中的每一个安全应用对应的指令;以及
向所述至少一个节点发送所述指令,以用于针对所述至少一个安全应用中的每一个安全应用的相应配置。
2.根据权利要求1所述的方法,其中确定所述至少一个安全应用包括:获取安装了所述至少一个安全应用的所述至少一个节点的地址信息,并且
其中所述地址信息是从虚拟网络功能管理实体获取的。
3.根据权利要求1或2所述的方法,其中对所述安全配置的确定是由服务器触发的。
4.根据权利要求1或2所述的方法,其中对所述安全配置的确定是响应于来自所述至少一个节点中的一个节点的请求而触发的。
5.根据权利要求1至4中任一项所述的方法,进一步包括:
接收执行所述安全配置的请求;以及
检查是否支持所述安全配置。
6.根据权利要求1至5中任一项所述的方法,其中所述至少一个节点包括不同的网络切片,或者不同的虚拟网络功能和虚拟机。
7.根据权利要求1至6中任一项所述的方法,其中所述安全配置涉及以下中的至少一个:算法,密钥,算法参数,种子,算法实现,安全库和安全协议的版本。
8.根据权利要求1至7中任一项所述的方法,进一步包括:
在所述发送之前,利用与所述服务器的证书绑定的密钥来对所述指令进行签名。
9.根据权利要求8所述的方法,进一步包括:
对所述服务器的状态进行签名;以及
向所述至少一个节点发送被签名的状态。
10.一种装置,包括:
密码概要管理单元,其被配置为维护支持的安全配置的概要;
应用管理单元,其被配置为维护安装在至少一个节点上且与所述安全配置相关联的安全应用的信息;以及
配置引擎,其被配置为针对至少一个支持的安全配置,格式化与关联于至少一个支持的安全配置的至少一个安全应用对应的指令,并将所述指令发送给安装所述至少一个安全应用的节点。
11.根据权利要求10所述的装置,其中所述安全应用的信息可以包括所述至少一个节点的地址信息,并且
其中所述应用管理单元被进一步配置为从虚拟网络功能管理实体获取所述信息。
12.根据权利要求10或11所述的装置,其中所述配置引擎被进一步配置为接收来自所述至少一个节点中的一个节点的请求,以触发对所述指令的格式化和对格式化指令的发送。
13.根据权利要求10至12中任一项所述的装置,其中所述安全配置涉及以下至少一项:算法、密钥、算法参数、种子、算法实现、安全库和安全协议的版本。
14.根据权利要求10至13中任一项所述的装置,进一步包括:
授权和认证单元,其被配置为利用与所述装置的证书绑定的密钥对格式化指令进行签名。
15.根据权利要求11所述的装置,其中所述认证单元被进一步配置为对所述装置的状态进行签名,并且所述配置引擎被进一步配置为将被签名的状态发送给安装了所述至少一个安全应用的节点。
16.一种装置,包括
至少一个处理器;
至少一个存储器,其包括计算机程序代码,所述存储器和所述计算机程序代码被配置为与所述至少一个处理器一起工作,使所述装置:
确定要执行的安全配置;
确定安装在至少一个节点上并与所述安全配置相关联的至少一个安全应用;
针对所述安全配置,分别格式化与所述至少一个安全应用中的每一个安全应用对应的指令;以及
向所述至少一个节点发送所述指令,以用于针对所述至少一个安全应用中的每一个安全应用的相应配置。
17.根据权利要求16所述的装置,其中所述存储器和所述计算机程序代码被配置为与所述至少一个处理器一起工作,进一步使所述装置执行根据权利要求2至9中任一项所述的方法。
18.一种计算机可读存储介质,其上存储指令,当由至少一个处理器执行时,所述指令使所述至少一个处理器执行根据权利要求1至9中任一项所述的方法。
19.一种计算机程序产品,包括指令,当由至少一个处理器执行时,所述指令使所述至少一个处理器执行根据权利要求1至9中任一项所述的方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2019/070127 WO2020140205A1 (en) | 2019-01-02 | 2019-01-02 | Method, system and apparatus for unified security configuration management |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113228555A true CN113228555A (zh) | 2021-08-06 |
| CN113228555B CN113228555B (zh) | 2023-02-03 |
Family
ID=71406938
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980087534.3A Active CN113228555B (zh) | 2019-01-02 | 2019-01-02 | 用于统一安全配置管理的方法、系统和装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US12010146B2 (zh) |
| EP (1) | EP3906633A4 (zh) |
| CN (1) | CN113228555B (zh) |
| WO (1) | WO2020140205A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020252670A1 (zh) * | 2019-06-18 | 2020-12-24 | Oppo广东移动通信有限公司 | 一种终端设备的能力确定方法、设备及存储介质 |
| US11956216B2 (en) * | 2022-01-11 | 2024-04-09 | Agency Cyber Inc. | Security system for individually-owned electronic devices |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007143589A2 (en) * | 2006-06-02 | 2007-12-13 | Google Inc. | Synchronizing configuration information among multiple clients |
| WO2013093209A1 (en) * | 2011-12-21 | 2013-06-27 | Ssh Communications Security Oyj | Automated access, key, certificate, and credential management |
| GB2506151A (en) * | 2012-09-21 | 2014-03-26 | Univ Limerick | Dynamically adapting a security configuration for a data processing application at runtime using a causal network |
| US20160291991A1 (en) * | 2015-04-02 | 2016-10-06 | International Business Machines Corporation | Configuration Checker for Application |
| CN106528143A (zh) * | 2016-10-27 | 2017-03-22 | 杭州昆海信息技术有限公司 | 一种配置管理方法及装置 |
| US20170279803A1 (en) * | 2016-03-28 | 2017-09-28 | Zscaler, Inc. | Systems and methods for cloud based unified service discovery and secure availability |
| CN107643960A (zh) * | 2017-09-18 | 2018-01-30 | 浪潮软件集团有限公司 | 一种Solr全文检索动态配置系统及方法 |
| CN107749894A (zh) * | 2017-11-09 | 2018-03-02 | 吴章义 | 一种安全、简单、智能的物联网系统 |
| CN108037961A (zh) * | 2017-12-07 | 2018-05-15 | 北京锐安科技有限公司 | 一种应用程序配置方法、装置、服务器和存储介质 |
| CN108540301A (zh) * | 2017-03-03 | 2018-09-14 | 华为技术有限公司 | 一种预置账户的密码初始化方法及相关设备 |
| CN108701190A (zh) * | 2015-12-18 | 2018-10-23 | 诺基亚通信公司 | 基于信任度的计算 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FI105964B (fi) | 1998-12-16 | 2000-10-31 | Nokia Networks Oy | Menetelmä matkaviestinyhteyksien hallintaan |
| CN100596057C (zh) | 2006-08-14 | 2010-03-24 | 华为技术有限公司 | 对大范围内终端进行安全更新的方法和系统 |
| BRPI0816772A2 (pt) | 2007-09-14 | 2015-03-24 | Security First Corp | Sistemas e métodos para controlar chaves criptográficas |
| JP2011507091A (ja) * | 2007-12-10 | 2011-03-03 | ファイアアイディー・(プロプライエタリー)・リミテッド | モバイル・コンピューティング装置上のソフトウェア・アプリケーションを管理するための方法およびシステム |
| US9350550B2 (en) * | 2013-09-10 | 2016-05-24 | M2M And Iot Technologies, Llc | Power management and security for wireless modules in “machine-to-machine” communications |
| WO2015070376A1 (zh) | 2013-11-12 | 2015-05-21 | 华为技术有限公司 | 一种实现虚拟化安全的方法和系统 |
| US9794064B2 (en) | 2015-09-17 | 2017-10-17 | Secturion Systems, Inc. | Client(s) to cloud or remote server secure data or file object encryption gateway |
| US10097585B2 (en) * | 2016-01-22 | 2018-10-09 | Rockwell Automation Technologies, Inc. | Model-based security policy configuration and enforcement in an industrial automation system |
| US10469268B2 (en) | 2016-05-06 | 2019-11-05 | Pacific Star Communications, Inc. | Unified encryption configuration management and setup system |
| US10218686B2 (en) | 2016-10-24 | 2019-02-26 | International Business Machines Corporation | Dynamically managing, from a centralized service, valid cipher suites allowed for secured sessions |
-
2019
- 2019-01-02 EP EP19906624.2A patent/EP3906633A4/en active Pending
- 2019-01-02 US US17/419,180 patent/US12010146B2/en active Active
- 2019-01-02 CN CN201980087534.3A patent/CN113228555B/zh active Active
- 2019-01-02 WO PCT/CN2019/070127 patent/WO2020140205A1/en unknown
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007143589A2 (en) * | 2006-06-02 | 2007-12-13 | Google Inc. | Synchronizing configuration information among multiple clients |
| WO2013093209A1 (en) * | 2011-12-21 | 2013-06-27 | Ssh Communications Security Oyj | Automated access, key, certificate, and credential management |
| GB2506151A (en) * | 2012-09-21 | 2014-03-26 | Univ Limerick | Dynamically adapting a security configuration for a data processing application at runtime using a causal network |
| US20160291991A1 (en) * | 2015-04-02 | 2016-10-06 | International Business Machines Corporation | Configuration Checker for Application |
| CN108701190A (zh) * | 2015-12-18 | 2018-10-23 | 诺基亚通信公司 | 基于信任度的计算 |
| US20170279803A1 (en) * | 2016-03-28 | 2017-09-28 | Zscaler, Inc. | Systems and methods for cloud based unified service discovery and secure availability |
| CN106528143A (zh) * | 2016-10-27 | 2017-03-22 | 杭州昆海信息技术有限公司 | 一种配置管理方法及装置 |
| CN108540301A (zh) * | 2017-03-03 | 2018-09-14 | 华为技术有限公司 | 一种预置账户的密码初始化方法及相关设备 |
| CN107643960A (zh) * | 2017-09-18 | 2018-01-30 | 浪潮软件集团有限公司 | 一种Solr全文检索动态配置系统及方法 |
| CN107749894A (zh) * | 2017-11-09 | 2018-03-02 | 吴章义 | 一种安全、简单、智能的物联网系统 |
| CN108037961A (zh) * | 2017-12-07 | 2018-05-15 | 北京锐安科技有限公司 | 一种应用程序配置方法、装置、服务器和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20220103599A1 (en) | 2022-03-31 |
| EP3906633A4 (en) | 2022-08-17 |
| CN113228555B (zh) | 2023-02-03 |
| US12010146B2 (en) | 2024-06-11 |
| WO2020140205A1 (en) | 2020-07-09 |
| EP3906633A1 (en) | 2021-11-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7457173B2 (ja) | モノのインターネット(iot)デバイスの管理 | |
| US11296934B2 (en) | Device provisioning system | |
| JP6222592B2 (ja) | モバイルアプリケーション管理のためのモバイルアプリケーションのアイデンティティの検証 | |
| US9209979B2 (en) | Secure network cloud architecture | |
| US9059974B2 (en) | Secure mobile app connection bus | |
| US9954834B2 (en) | Method of operating a computing device, computing device and computer program | |
| US11496302B2 (en) | Securely processing secret values in application configurations | |
| CN111108735A (zh) | 资产更新服务 | |
| WO2019071650A1 (zh) | 一种安全元件中的应用的升级方法及相关设备 | |
| US20230229758A1 (en) | Automated persistent context-aware device provisioning | |
| US11681513B2 (en) | Controlled scope of authentication key for software update | |
| CN113228555B (zh) | 用于统一安全配置管理的方法、系统和装置 | |
| US11429489B2 (en) | Device recovery mechanism | |
| TW202336590A (zh) | 在開機前環境中為用戶端電腦系統提供bios特徵之技術 | |
| US20230229779A1 (en) | Automated ephemeral context-aware device provisioning | |
| WO2022206203A1 (en) | Connection resilient multi-factor authentication | |
| KR102632546B1 (ko) | 소스 네트워크로부터 타겟 네트워크로 소프트웨어 아티팩트를 전송하기 위한 방법 및 시스템 | |
| WO2018233638A1 (zh) | Ai软件系统安全状态的确定方法及装置 | |
| EP3987391B1 (en) | Method and system for service image deployment in a cloud computing system based on distributed ledger technology | |
| US20230224292A1 (en) | Onboarding for cloud-based management | |
| US8788681B1 (en) | Method and apparatus for autonomously managing a computer resource using a security certificate | |
| CN117708828A (zh) | 用于多操作系统的软件源管控方法及装置、电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |