DE102015115781A1 - Technologien zur sicheren Kommunikation zwischen virtuellen Netzwerkfunktionen - Google Patents

Technologien zur sicheren Kommunikation zwischen virtuellen Netzwerkfunktionen Download PDF

Info

Publication number
DE102015115781A1
DE102015115781A1 DE102015115781.0A DE102015115781A DE102015115781A1 DE 102015115781 A1 DE102015115781 A1 DE 102015115781A1 DE 102015115781 A DE102015115781 A DE 102015115781A DE 102015115781 A1 DE102015115781 A1 DE 102015115781A1
Authority
DE
Germany
Prior art keywords
vnf
vnfc
network
cryptographic key
data processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102015115781.0A
Other languages
English (en)
Other versions
DE102015115781B4 (de
Inventor
Kapil Sood
Jeffrey B. Shaw
John R. Fastabend
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of DE102015115781A1 publication Critical patent/DE102015115781A1/de
Application granted granted Critical
Publication of DE102015115781B4 publication Critical patent/DE102015115781B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Technologien zur sicheren Kommunikation zwischen virtuellen Netzwerkfunktionen umfassen eine Datenverarbeitungsvorrichtung zum Bestimmen eines kryptografischen Schlüssels für sichere Kommunikation über ein Netzwerk zwischen virtuellen Netzwerkfunktionen (VNF) und/oder ein Netzwerk zwischen Komponenten virtueller Netzwerkfunktionen (VNFC) und/oder eine Netzwerk von VNF und VNFC auf der Basis einer Sicherheitsrichtlinie der Datenverarbeitungsvorrichtung; und die Datenverarbeitungsvorrichtung kommuniziert sicher über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC auf der Basis des bestimmten kryptografischen Schlüssels.

Description

  • STAND DER TECHNIK
  • Verschiedene technische Spezifikationen definieren, wie Netzwerkfunktionen und -dienste von Netzwerkbetreibern und Dienstanbietern weltweit eingesetzt und verwaltet werden. Zum Beispiel definieren Spezifikationen den Gebrauch virtualisierter Plattformen zum Abliefern von Diensten, und oft können Komponenten in einem Dienst miteinander "verkettet" werden. Zu solchen technischen Spezifikationen gehört zum Beispiel der Standard für Netzwerkfunktionsvirtualisierung des Europäischen Instituts für Telekommunikationsnormen (ETSI NFV). Unter gewissen Umständen können Betreiber die Möglichkeit erfordern, verschiedene Netzwerkfunktionen auf unmodifizierte Weise laufen zu lassen. In einer virtualisierten Umgebung kann dies mit sich bringen, Netzwerkfunktionsvertreibern zu erlauben, existierende Arbeitslasten auf einer virtualisierten Plattform laufen zu lassen, was oft zu Sicherheitsanforderungen führt, dass alle Kommunikation zwischen Plattformen nicht vertrauenswürdig sind (z.B. in Implementierungen verteilter Einsätze). Das Ausführen sensibler Kommunikation zwischen virtuellen Netzwerkfunktionen (VNF) und zwischen VNF-Komponenten (VNFC) über ungeschützte Netzwerke kann jedoch zu unbefugter Datenspionage, Datenabänderung, Datenduplikation, Netzwerkroutung, Verstößen gegen die Privatsphäre und/oder anderen Sicherheitsbesorgnissen führen.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • Die hier beschriebenen Konzepte werden in den beigefügten Figuren beispielhaft dargestellt und nicht als Beschränkung. Der Einfachheit und Klarheit der Darstellung halber sind in den Figuren dargestellte Elemente nicht unbedingt maßstabsgetreu. Wenn es als sinnvoll angesehen wird, wurden Bezugskennzeichnungen in den Figuren wiederholt, um entsprechende oder analoge Elemente anzugeben.
  • 1 ist eine vereinfachte Blockdarstellung mindestens einer Ausführungsform eines Systems zur sicheren Kommunikation zwischen virtuellen Netzwerkfunktionen;
  • 2 ist eine vereinfachte Blockdarstellung mindestens einer Ausführungsform eines Backbone-Netzwerksystems des Systems von 1;
  • 3 ist eine vereinfachte Blockdarstellung mindestens einer Ausführungsform eines Servers des Backbone-Netzwerksystems von 2;
  • 4 ist eine vereinfachte Blockdarstellung mindestens einer Ausführungsform einer Umgebung des Servers von 3;
  • 5 ist ein vereinfachtes Flussdiagramm mindestens einer Ausführungsform eines Verfahrens zum Festlegen von kryptografischen Schlüsseln für sichere Kommunikation zwischen virtuellen Netzwerkfunktionen, das durch den Server von 3 ausgeführt werden kann; und
  • 6 ist ein vereinfachtes Flussdiagramm mindestens einer Ausführungsform eines Verfahrens zur sicheren Kommunikation zwischen virtuellen Netzwerkfunktionen, das durch den Server von 3 ausgeführt werden kann.
  • AUSFÜHRLICHE BESCHREIBUNG DER ZEICHNUNGEN
  • Obwohl die Konzepte der vorliegenden Offenbarung verschiedenen Modifikationen und alternativen Formen zugänglich sind, wurden in den Zeichnungen beispielhaft spezifische Ausführungsformen davon gezeigt und werden hier ausführlich beschrieben. Es versteht sich jedoch, dass keine Absicht besteht, die Konzepte der vorliegenden Offenbarung auf die konkreten offenbarten Formen zu beschränken, sondern im Gegenteil ist die Absicht, alle Modifikationen, Äquivalente und Alternativen abzudecken, die mit der vorliegenden Offenbarung und den angefügten Ansprüchen vereinbar sind.
  • Erwähnungen von "einer Ausführungsform", "eine Ausführungsform", "eine beispielhafte Ausführungsform" usw. geben an, dass die beschriebene Ausführungsform ein konkretes Merkmal, eine konkrete Struktur oder ein konkretes Charakteristikum umfassen kann, aber nicht jede Ausführungsform notwendigerweise dieses konkrete Merkmal, diese konkrete Struktur oder dieses konkrete Charakteristikum umfasst. Außerdem beziehen sich solche Ausdrücke nicht unbedingt auf dieselbe Ausführungsform. Wenn ein konkretes Merkmal, eine konkrete Struktur oder ein konkretes Charakteristikum in Verbindung mit einer Ausführungsform beschrieben wird, ist ferner vorbehalten, dass es in der Kenntnis von Fachleuten liegt, ein solches Merkmal, eine solche Struktur oder ein solches Charakteristikum in Verbindung mit anderen Ausführungsformen zu bewirken, gleichgültig, ob es explizit beschrieben wird oder nicht. Außerdem versteht sich, dass in einer Liste der Form "mindestens ein A, B und C" enthaltene Posten (A); (B); (C): (A und B); (B und C); (A und C); oder (A, B, und C) bedeuten kann. Ähnlich können in der Form "mindestens eines von A, B oder C" aufgelistete Posten (A); (B); (C): (A und B); (B und C); (A und C); oder (A, B, und C) bedeuten. Die offenbarten Ausführungsformen können in einigen Fällen in Hardware, Firmware, Software oder einer beliebigen Kombination davon implementiert werden. Die offenbarten Ausführungsformen können auch als Anweisungen implementiert werden, die durch ein oder mehrere transitorische oder nicht transitorische maschinenlesbare (z.B. computerlesbare) Speichermedien getragen oder gespeichert werden, die durch einen oder mehrere Prozessoren gelesen und ausgeführt werden können. Ein maschinenlesbares Speichermedium kann als eine beliebige Speichervorrichtung, ein beliebiger Mechanismus oder eine beliebige andere physische Struktur zum Speichern oder Übertragen von Informationen in einer durch eine Maschine lesbaren Form (z.B. einem flüchtigen oder nicht flüchtigen Speicher, einem Medien-Datenträger oder einer anderen Medienvorrichtung) realisiert werden.
  • In den Zeichnungen können einige strukturelle oder Verfahrensmerkmale in spezifischen Anordnungen und/oder Reihenfolgen gezeigt werden. Es versteht sich jedoch, dass solche spezifischen Anordnungen und/oder Reihenfolgen nicht erforderlich sein müssen. Stattdessen können bei einigen Ausführungsformen solche Merkmale auf andere Weise und/oder in einer anderen Reihenfolge als in den veranschaulichenden Figuren angeordnet sein. Außerdem soll aus dem Einschluss eines strukturellen oder Verfahrensmerkmals in einer bestimmten Figur nicht folgen, dass ein solches Merkmal in allen Ausführungsformen erforderlich ist, und bei einigen Ausführungsformen nicht eingeschlossen werden muss oder mit anderen Merkmalen kombiniert sein kann.
  • Nunmehr mit Bezug auf 1 umfasst ein System 100 für sichere Kommunikation zwischen virtuellen Netzwerkfunktionen beispielhaft ein Backbone-Netzwerksystem 102, ein Backhaul-Netzwerksystem 104, ein oder mehrere Tower-Systeme 106 und eine oder mehrere Teilnehmervorrichtungen 108. Bei der beispielhaften Ausführungsform kommunizieren die Teilnehmervorrichtungen 108 mittels der Tower-Systeme 106 mit dem Backhaul-Netzwerksystem 104, und das Backhaul-Netzwerksystem 104 stellt sicher, dass die entsprechenden Datenpakete zur Verarbeitung und/oder zum weiteren Routing zu dem Backbone-Netzwerksystem 102 geroutet werden. Es versteht sich, dass das Backbone-Netzwerksystem 102 das Backhaul-Netzwerksystem 104, die Tower-Systeme 106 und die Teilnehmervorrichtungen 108 jeweils als eine beliebige geeignete Vorrichtung oder Ansammlung von Vorrichtungen zum Ausführen der hier beschriebenen Funktionen realisiert werden können. Bei der beispielhaften Ausführungsform ermöglichen das Backbone-Netzwerksystem 102, das Backhaul-Netzwerksystem 104 und die Tower-Systeme 106 jeweils Telekommunikation zwischen den Teilnehmervorrichtungen 108 und/oder anderen Vorrichtungen (z.B. über das Internet). Ferner können abhängig von der konkreten Implementierung das Backbone-Netzwerksystem 102, das Backhaul-Netzwerksystem 104 und die Tower-Systeme 106 eine beliebige Anzahl von Vorrichtungen, Netzwerken, Routern, Switches, Computern und/oder anderen dazwischentretenden Vorrichtungen umfassen, um ihre entsprechenden Funktionen zu ermöglichen.
  • Bei einigen Ausführungsformen kann das Backbone-Netzwerksystem 102 als ein auf Netzwerkfunktionsvirtualisierung (NFV) basierendes LTE-Backbone-Netzwerk (Long-Term Evolution) mit einer vEPC-Architektur (Virtual Evolved Packet Core) realisiert werden. Es versteht sich, dass das Backbone-Netzwerksystem 102 als ein zentralisiertes Netzwerk dienen kann und bei einigen Ausführungsformen kommunikativ mit einem anderen Netzwerk (z.B. dem Internet) gekoppelt sein kann. Bei der beispielhaften Ausführungsform umfasst das Backhaul-Netzwerksystem 104 eine oder mehrere Vorrichtungen, die das Backbone-Netzwerksystem 102 kommunikativ (z.B. über Zwischenstrecken) mit den Tower-Systemen 106, Subnetzwerken und/oder Edge-Netzwerken koppeln. Bei einigen Ausführungsformen kann das Backhaul-Netzwerksystem 104 als ein LTE-Backhaul-Netzwerksystem realisiert sein und kann vielfältige Netzwerke umfassen, darunter zum Beispiel T1-, IP-, optische, ATM-, geleaste und/oder andere Netzwerke.
  • Die Tower-Systeme 106 umfassen Hardware, die dafür ausgelegt ist, Kommunikationsvorrichtungen, z.B. mobilen Datenverarbeitungsvorrichtungen (z.B. Mobiltelefonen) und/oder anderen Teilnehmervorrichtungen 108 zu gestatten, miteinander und/oder mit anderen entfernten Vorrichtungen zu kommunizieren. Hierbei ermöglichen die Tower-Systeme 106 den Teilnehmervorrichtungen 108, mit dem Backhaul-Netzwerksystem 104 zu kommunizieren. Bei einigen Ausführungsformen können ein oder mehrere der Tower-Systeme 106 einen evolvierten Knoten (eNodeB) umfassen oder anderweitig als ein solcher realisiert sein, der dafür ausgelegt ist, direkt oder indirekt mit einer oder mehreren der Teilnehmervorrichtungen 108 (z.B. Handapparaten mobiler Datenverarbeitungsvorrichtungen) zu kommunizieren. Ferner können die Tower-Systeme 106 abhängig von der konkreten Ausführungsform zum Beispiel eine Basissendeempfängerstation (BTS) oder eine andere Station oder ein anderes System umfassen oder als ein solches dienen. Die Teilnehmervorrichtungen 108 können als eine beliebige Art von Datenverarbeitungsvorrichtung mit der Fähigkeit zum Ausführen der hier beschriebenen Funktionen realisiert sein. Bei Ausführungsformen, bei denen ein LTE-Backhaul- und -Backbone-System verwendet werden, können die Teilnehmervorrichtungen 108 zum Beispiel als mobile Datenverarbeitungsvorrichtungen (z.B. Smartphones) realisiert sein und können dafür ausgelegt sein, ein Mobilfunknetz zu benutzen.
  • Wie nachfolgend ausführlich beschrieben wird, können das System 100 oder insbesondere das System 102 verschiedene virtuelle Netzwerkfunktionen benutzen, während sichergestellt wird, dass die Kommunikation zwischen VNF und zwischen VNFC (z.B. Kommunikation von VNF-VNF, Kommunikation von VNFC-VNFC und/oder Kommunikation von VNF-VNFC) geschützt ist. Ferner gestattet das System 100 bei einigen Ausführungsformen solche Kommunikation, ohne zu erfordern, dass Vertreiber ihre VNF modifizieren, und vermeiden deshalb potentiell unhandliche Einsatzszenarien.
  • Nunmehr mit Bezug auf 2 umfasst bei der beispielhaften Ausführungsform das Backbone-Netzwerksystem 102 eine oder mehrere VNF 202, einen oder mehrere Server 204 und ein Verwaltungssystem 206. Zusätzlich umfasst das Verwaltungssystem 206 bei der beispielhaften Ausführungsform einen Orchestrierer 208, einen oder mehrere VNF-Manager 210 und einen oder mehrere Manager virtueller Infrastruktur (VIM) 212. Obwohl der Orchestrierer 208, die VNF-Manager 210 und die VIM 212 bei der beispielhaften Ausführungsform als unabhängige Vorrichtungen oder Komponenten gezeigt sind, versteht sich, dass der Orchestrierer 208, die VNF-Manager 210 und/oder die VIM 212 bei anderen Ausführungsformen auf derselben oder auf verschiedenen Vorrichtungen (z.B. einem oder mehreren Servern) realisiert werden können. Ferner kann das System 102 bei einigen Ausführungsformen als ein System realisiert sein, das von dem Backbone-Netzwerksystem 102 von 1 verschieden ist. Ferner versteht sich, dass bei einigen Ausführungsformen jeder der Server 204 ähnliche Hardware-, Software- und/oder Firmwarekomponenten umfassen kann.
  • Nunmehr mit Bezug auf 3 ist eine beispielhafte Ausführungsform der Server 204 des Systems 102 gezeigt. Wie gezeigt umfasst der beispielhafte Server 204 einen Prozessor 310, ein Subsystem 312 für Eingabe/Ausgabe ("I/O"), einen Speicher 314, eine Datenspeicherung 316, einen Kommunikationsschaltkreis 318 und eine oder mehrere Peripherievorrichtungen 320. Zusätzlich kann der Server 204 bei einigen Ausführungsformen einen Sicherheitskoprozessor 322 umfassen. Natürlich kann der Server 204 bei anderen Ausführungsformen andere oder zusätzliche Komponenten umfassen, wie etwa die üblicherweise in einer typischen Datenverarbeitungsvorrichtung anzutreffenden (z.B. verschiedene Eingabe-/Ausgabevorrichtungen und/oder andere Komponenten). Zusätzlich können bei einigen Ausführungsformen ein oder mehrere der beispielhaften Komponenten in anderen Komponente enthalten sein oder anderweitig einen Teil davon bilden. Zum Beispiel können der Speicher 314 oder Teile davon bei einigen Ausführungsformen in dem Prozessor 310 enthalten sein.
  • Der Prozessor 310 kann als eine beliebige Art von Prozessor mit der Fähigkeit zur Ausführung der hier beschriebenen Funktionen realisiert werden. Zum Beispiel kann der Prozessor 310 als ein Einzel- oder Mehrkernprozessor(en), ein digitaler Signalprozessor, ein Mikrocontroller oder eine andere Prozessor- oder Verarbeitungs-/Steuerungsschaltung realisiert werden. Wie gezeigt kann der Prozessor 310 einen oder mehrere Cachespeicher 324 umfassen. Es versteht sich, dass der Speicher 314 als eine beliebige Art von flüchtiger oder nichtflüchtiger Speicher oder Datenspeicherung mit der Fähigkeit zum Ausführen der hier beschriebenen Funktionen realisiert sein kann. Im Betrieb kann der Speicher 314 verschiedene Daten und Software speichern, die während des Betriebs des Servers 204 verwendet werden, wie etwa Betriebssysteme, Anwendungen, Programme, Bibliotheken und Treiber. Der Speicher 314 ist über das I/O-Subsystem 312, das als Schaltkreise und/oder Komponenten zur Ermöglichung von Eingabe-/Ausgabeoperationen mit dem Prozessor 310, dem Speicher 314 und anderen Komponenten des Servers 204 realisiert sein kann, kommunikativ mit dem Prozessor 310 gekoppelt. Zum Beispiel kann das I/O-Subsystem 312 als Speichercontroller-Hubs, Eingabe-/Ausgabe-Steuerungs-Hubs, Firmwarevorrichtungen, Kommunikationsstrecken (z.B. Strecken von Punkt zu Punkt, Busstrecken, Leitungen, Kabel, Lichtleiter, Leiterplattenbahnen usw.) und/oder andere Komponenten und Subsysteme zur Ermöglichung der Eingabe-/Ausgabeoperationen realisiert sein oder diese anderweitig enthalten. Bei einigen Ausführungsformen kann das I/O-Subsystem 312 einen Teil eines Systems auf einem Chip (SoC) bilden und zusammen mit dem Prozessor 310, dem Speicher 314 und anderen Komponenten des Servers 204 auf einem einzigen integrierten Schaltungschip enthalten sein.
  • Die Datenspeicherung 316 kann als eine beliebige Art von Vorrichtung oder Vorrichtungen realisiert sein, die für kurzfristige oder langfristige Speicherung von Daten ausgelegt sind, wie zum Beispiel Speichervorrichtungen und -schaltungen, Speicherkarten, Festplattenlaufwerke, Halbleiterlaufwerke oder andere Datenspeichervorrichtungen. Die Datenspeicherung 316 und/oder der Speicher 314 können während des Betriebs des Servers 204 verschiedene Daten speichern, die zum Ausführen der hier beschriebenen Funktionen nützlich sind.
  • Der Kommunikationsschaltkreis 318 kann als eine beliebige Kommunikationsschaltung, Vorrichtung oder Ansammlung davon mit der Fähigkeit zur Ermöglichung von Kommunikation zwischen dem Server 204 und anderen entfernten Vorrichtungen über ein Netzwerk realisiert sein. Der Kommunikationsschaltkreis 318 kann dafür ausgelegt sein, eine beliebige einzelne oder mehrere Kommunikationstechnologien (z.B. drahtlose oder verdrahtete Kommunikation) und zugeordnete Protokolle (z.B. Ethernet, Bluetooth®, Wi-Fi®, WiMAX usw.) zu benutzen, um solche Kommunikation zu bewirken. Bei einigen Ausführungsformen umfasst der Kommunikationsschaltkreis 318 Mobilfunkkommunikationsschaltkreise und/oder andere drahtlose Kommunikationsschaltkreise mit großer Reichweite. Ferner umfasst bei einigen Ausführungsformen der Kommunikationsschaltkreis 318 einen physischen Netzwerkswitch, wie etwa eine Netzwerkschnittstellenkarte (NIC), der dafür ausgelegt ist, mit entfernten Vorrichtungen (z.B. anderen Servern 204) zu kommunizieren.
  • Die Peripherievorrichtungen 320 können eine beliebige Anzahl zusätzlicher Peripherie- oder Schnittstellenvorrichtungen umfassen, wie etwa Lautsprecher, Mikrofone, zusätzliche Speichervorrichtungen und so weiter. Die in den Peripherievorrichtungen 320 enthaltenen konkreten Vorrichtungen können zum Beispiel von der Art und/oder beabsichtigten Verwendung des Servers 204 abhängen.
  • Der Sicherheitskoprozessor 322 kann, wenn er vorgesehen ist, als eine beliebige Hardwarekomponente oder beliebige Hardwarekomponenten oder Schaltkreise mit der Fähigkeit zum Ausführen von Sicherheitsfunktionen, kryptografischen Funktionen und/oder Herstellen einer vertrauten Ausführungsumgebung realisiert sein. Zum Beispiel kann bei einigen Ausführungsformen der Sicherheitskoprozessor 322 als ein vertrauenswürdiges Plattformmodul (TPM) oder ein Außerbandprozessor realisiert sein. Außerdem kann der Sicherheitskoprozessor 322 bei einigen Ausführungsformen eine Außerband-Kommunikationsverbindung mit entfernten Vorrichtungen (z.B. entsprechenden Sicherheitskoprozessoren 322 anderer Server 204) herstellen.
  • Wieder mit Bezug auf 2 umfasst das System 102 wie gezeigt eine oder mehrere virtuelle Netzwerkfunktionen (VNF) 202, die jeweils eine oder mehrere virtuelle Netzwerkfunktionskomponenten (VNFC) 214 umfassen können. Es versteht sich, dass die VNF 202 als beliebige geeignete virtuelle Netzwerkfunktionen realisiert werden können; ähnlich können die VNFC 214 als beliebige geeignete VNF-Komponenten realisiert sein. Zum Beispiel können bei einigen Ausführungsformen die VNF 202 ein Sicherheitsgateway (SGW), ein Paketdatennetzwerkgateway (PNG), eine Vergebührungsfunktion und/oder andere virtuelle Netzwerkfunktionen umfassen. Bei einigen Ausführungsformen kann eine bestimmte VNF 202 mehrere Subinstanzen aufweisen, die auf demselben Server 204 oder anderen Servern 204 ausgeführt werden könnten. Anders ausgedrückt können, wenn sie virtualisiert werden, Netzwerkfunktionen, die traditionell von physischer Hardware abgewickelt werden, die mit einem bestimmten Server 204 kolokalisiert ist, als VNF 202 über einen oder mehrere Server 204 verteilt werden. Bei der beispielhaften Ausführungsform sind die VNFC 214 Prozesse und/oder Instanzen, die zusammenarbeiten, um die Funktionalität einer oder mehrerer VNF 202 abzuliefern. Zum Beispiel sind bei einigen Ausführungsformen die VNFC 214 Submodule der VNF 202. Ähnlich wie bei den VNF 202 versteht sich, dass die VNFC 214 über einen oder mehrere Server 204 verteilt sein können. Ferner versteht sich, dass eine bestimmte VNFC 214 über mehrere Server 204 verteilt sein kann und immer noch einen Teil einer auf einem einzigen Server 204 hergestellten VNF 202 bildet. Insbesondere können bei einigen Ausführungsformen die VNF 202 und/oder VNFC 214 auf demselben Server 204 ausgeführt werden. Bei anderen Ausführungsformen können die VNF 202 und/oder die VNFC 214 in derselben Datenzentrale ausgeführt werden, aber auf verschiedenen Servern 204. Bei weiteren Ausführungsformen können die VNF 202 und/oder die VNFC 214 über verschiedene Datenzentralen hinweg ausgeführt werden.
  • Wie hier beschrieben können bei der beispielhaften Ausführungsform die VNF 202 eines oder mehrerer Server 204 miteinander kommunizieren, zum Beispiel über ein Kommunikationsnetzwerk 234 zwischen VNF über einen oder mehrere Kommunikationsmechanismen zwischen VNF (von VNF und VNF). Ähnlich können die VNFC 214 eines oder mehrerer Server 204 miteinander kommunizieren, zum Beispiel über ein Kommunikationsnetzwerk 236 zwischen VNFC (von VNFC und VNFC) über einen oder mehrere Kommunikationsmechanismen zwischen VNFC. Außerdem kann bei einigen Ausführungsformen eine VNF 202 eines oder mehrerer Server 204 über einen oder mehrere Kommunikationsmechanismen von VNF und VNFC über ein (nicht gezeigtes) Kommunikationsnetzwerk von VNF und VNFC mit einer VNFC 214 eines oder mehrerer Server 204 kommunizieren. Es versteht sich, dass die Kommunikationsmechanismen von VNF und VNF, VNFC und VNFC und VNF und VNFC als beliebige geeignete Mechanismen realisiert werden können, die dafür ausgelegt sind, solche Kommunikation zu ermöglichen. Zum Beispiel können bei einigen Ausführungsformen die VNF 202 und/oder VNFC 214 unter Verwendung eines offenen Switch mit einem Hypervisor und Paketanalyse, formatierten Paketen auf der Basis eines Standardformats, geteilten Speicher (z.B. durch den Hypervisor reservierten physischen/virtuellen Speicher) über einen physischen Netzwerkswitch und/oder andere geeignete Mechanismen miteinander kommunizieren.
  • Bei der beispielhaften Ausführungsform von 2 umfasst jeder der Server 204 eine Netzwerkfunktions-Virtualisierungsinfrastruktur (NFVI) 216, die einen Hypervisor 218, eine vertrauenswürdige Ausführungsumgebung (TEE) 220, physische Ressourcen 222 und virtuelle Ressourcen 224 umfasst. Außerdem umfasst der Hypervisor 218 eine oder mehrere API 226, einen virtuellen Switch (vSwitch) 228, einen oder mehrere Verschlüsselungstunnel 230 und einen geteilten Speicher 232. Natürlich können die Server 204 bei einigen Ausführungsformen zusätzliche Komponenten umfassen, die der Klarheit der Beschreibung halber weggelassen werden. Wie nachfolgend beschrieben, stellt bei der beispielhaften Ausführungsform die entsprechende Netzwerkfunktions-Virtualisierungsinfrastruktur (NFVI) 216 der Server 204 sicher, dass die Kommunikation von VNF und VNF, VNFC und VNFC und VNF und VNFC sicher ist.
  • Der Hypervisor 218 bzw. die Überwachungsvorrichtung virtueller Maschinen lässt eine oder mehrere virtuelle Maschinen (VM) auf dem entsprechenden Server 204 laufen. Dementsprechend kann der Hypervisor 218 verschiedene virtualisierte Hardwareressourcen (z.B. virtuellen Speicher, virtuelle Betriebssysteme, virtuelle Vernetzungskomponenten usw.) herstellen und/oder benutzen. Die in dem Hypervisor 218 und/oder dem Server 204 enthaltenen konkreten API 226 können abhängig von dem konkreten Server 204 im Allgemeinen unterschiedlich sein. Bei einigen Ausführungsformen umfassen die API 226 eine oder mehrere proprietäre API. Bei einigen Ausführungsformen können die API 226 Zugriff auf Pakete (die z.B. einer bestimmten VNF 202 zugeordnet sind) durch die TEE 220 bereitstellen. Der virtuelle Switch 228 kann benutzt werden, um Netzwerkrichtlinien durchzusetzen und/oder Aktionen durchzusetzen (z.B. Abwerfen von Paketen, Überwachen von Flüssen, Durchführen von Tiefinspektion, Durchführen von Behelfsaktionen usw.). Zum Beispiel kann der virtuelle Switch 228 die Vernetzung virtueller Maschinen (VM) in dem System 102 gestatten. Bei einigen Ausführungsformen kann der virtuelle Switch 228 die Sitzungsschlüssel und/oder andere kryptografische Schlüssel benutzen, um sicherzustellen, dass Kommunikation von VNF und VNF, VNFC und VNFC und/oder VNF und VNFC sicher ist. Wie nachfolgend beschrieben, kann der Server 204 bei einigen Ausführungsformen Verschlüsselungstunnel 230 für sichere Kommunikation herstellen (z.B. für Kommunikation von VNF und VNF, VNFC und VNFC und/oder VNF und VNFC). Bei einigen Ausführungsformen kann die NFVI 216 Fusionierungsschlüssel und/oder andere kryptografische Schlüssel benutzen, die eine Wurzel für Vertrauen herstellen, um die Verschlüsselungstunnel 230 herzustellen. Außerdem können bei einigen Ausführungsformen eine oder mehrere VM, VNF 202 und/oder VNFC 214 den geteilten Speicher 232 benutzen. Zum Beispiel können bei einigen Ausführungsformen die VNF 202 und VNFC 214 den geteilten Speicher 232 zur Kommunikation miteinander benutzen. Es versteht sich, dass der geteilte Speicher 232 abhängig von der konkreten Ausführungsform physischen Speicher und/oder virtuellen Speicher umfassen kann.
  • Wie oben beschrieben, umfasst die NFVI 216 auch die TEE 220, die physischen Ressourcen 222 und die virtuellen Ressourcen 224. Bei der beispielhaften Ausführungsform wird die TEE 220 als sichere Enklave hergestellt, wie etwa Intel® Software Guard Extensions (SGX). Bei anderen Ausführungsformen kann die TEE 220 jedoch anderweitig hergestellt werden, zum Beispiel als ME (Manageability Engine), TPM (Trusted Platform Module), IE (Innovation Engine), sichere Partition, getrennter Prozessorkern und/oder anderweitig. Zum Beispiel kann bei einigen Ausführungsformen die TEE 220 als der Sicherheitskoprozessor 322 realisiert oder mittels diesem hergestellt werden. Wie hier besprochen, ist die TEE 220 dafür ausgelegt, verschiedene Schlüsselverwaltungsfunktionen, kryptografische Funktionen und/oder andere Sicherheitsfunktionen für die NFVI 216 auszuführen, um sicherzustellen, dass die Kommunikation von VNF und VNF, VNFC und VNFC und VNF und VNFC geschützt ist. Zum Beispiel kann die TEE 220 kryptografische Schlüssel (z.B. Basis- und/oder Sitzungsschlüssel) für verschiedene kommunizierende Entitäten (z.B. VNF und VNFC) als Reaktion auf Instanziierung der Entitäten herstellen. Bei einigen Ausführungsformen können die Sitzungsschlüssel zum Beispiel auf der Basis der durch den entsprechenden Server 204 zu einem gegebenen Zeitpunkt entdeckten konkreten VNF 202 und VNFC 214 dynamisch aktualisiert werden. Es versteht sich, dass bei der beispielhaften Ausführungsform die TEE 220 über ein Außerband-Kommunikationsnetzwerk miteinander kommunizieren können.
  • Die physischen Ressourcen 222 und die virtuellen Ressourcen 224 können als beliebige physische und virtuelle Ressourcen realisiert werden, die für die Ausführung der hier beschriebenen Funktionen geeignet sind. Bei der beispielhaften Ausführungsform umfassen die physischen Ressourcen 222 Datenverarbeitungshardware, Speicherhardware und Netzwerkhardware; ähnlich umfassen die virtuellen Ressourcen 224 virtuelle Datenverarbeitungsressourcen, virtuelle Speicherung und virtuelle Vernetzungsressourcen. Zum Beispiel können bei einigen Ausführungsformen die physischen Ressourcen 222 Speicher (z.B. flüchtigen oder nichtflüchtigen Speicher oder Datenspeicherung), Cache, Engines (z.B. ein SoC, eine Grafik-Engine, eine Sicherheits-Engine, eine Audio-Engine, ein kryptografisches Modul, einen TPM, einen Koprozessor, eine Kommunikationsverbindung oder einen Kommunikationskanal, einen Switch und/oder eine andere Engine, die zum Verarbeiten oder anderweitigen handhaben von Daten ausgelegt ist) und/oder Netzwerkschnittstellen (z.B. eine NIC) umfassen. Ferner können bei einigen Ausführungsformen die virtuellen Ressourcen 224 softwaredefinierte Speicherung, ein softwaredefiniertes Vernetzungsmodul und/oder andere softwaredefinierte Ressourcen umfassen.
  • Wie oben besprochen, umfasst das Verwaltungssystem 206 einen Orchestrierer 208, einen oder mehrere VNF-Manager 210 und ein oder mehrere VIM 212. Bei der beispielhaften Ausführungsform kann die NFVI 216 VNF-Entdeckungsmechanismen benutzen, um Nachrichtenübermittlung des Orchestrierers 208 und/oder des VNF-Managers 210 zu überwachen. Wenn eine konkrete VNF 202 oder VNFC 214 instanziiert wird, entdeckt dementsprechend die NFVI 216 die instanziierte Entität. Die VNF-Manager 210 sind für die Verwaltung von Skalierung und Einsatz verantwortlich. Zum Beispiel können die VNF-Manager 210 verschiedene Server 204 anweisen, bestimmte VNF 202 und/oder VNFC 214 zu instanziieren. Hierbei können die VNF-Manager 210 die VIM 212 konsultieren, die die konkreten für Einsatz von VNF 202 und/oder VNFC 214 verfügbaren Server 204 identifizieren.
  • Es versteht sich, dass die VIM 212 eine solche Bestimmung unter Verwendung beliebiger geeigneter Techniken, Algorithmen und/oder Mechanismen vornehmen können. Bei einigen Ausführungsformen weist der Orchestrierer 208 das VIM 212 über die Art des für eine Entität erwünschten Schutzes und deshalb die zugeordnete Dienstkette an und das VIM 212 stellt sicher, dass diese Dienstketten hergestellt werden. Bei der beispielhaften Ausführungsform kommunizieren die entsprechenden VNF 202 und VNFC 214 miteinander, um die relevanten Dienstfunktionsketten zu erzeugen und Netzwerkpakete (z.B. TCP/IP-Pakete, IP-Routenaktualisierungen, Steuerverkehr, auf 802.11 basierende Pakete, LTE/3G-Stapel, Legacy-Pakete usw.) einander zuzusenden. Bei einigen Ausführungsformen können die VNF 202 und/oder die VNFC 214 einander mittels Dienstentdeckungsprotokollen, DNS und/oder anderer Entdeckungsmechanismen entdecken.
  • Außerdem sendet bei der beispielhaften Ausführungsform das Verwaltungssystem 206 eine Sicherheitsrichtlinie 408 zu den Servern 204 (auf die z.B. Entitäten eingesetzt werden), die den eingesetzten VNF 202 und/oder VNFC 214 zugeordnet sind. Die Sicherheitsrichtlinie 408 kann zum Beispiel die Umstände und/oder Prozedur angeben, wodurch die Kommunikation von VNF und VNF, VNFC und VNFC und/oder VNF und VNFC geschützt werden sollte. Zum Beispiel kann bei einigen Ausführungsformen die Sicherheitsrichtline 408 angeben, dass es unnötig ist, dass die NFVI 216 Kommunikation zwischen VNF 202 und/oder VNFC 214 verschlüsselt, die in einem einzigen Server 204 eingeschlossen ist, dass aber andere Kommunikation verschlüsselt werden sollte. Bei solchen Ausführungsformen kann die Sicherheitsrichtlinie 408 den durch den Hypervisor 218 gewährten Schutz als ausreichenden Schutz betrachten. Bei anderen Ausführungsformen kann die Sicherheitsrichtlinie 408 angeben, dass alle Kommunikation von VNF und VNF, VNFC und VNFC und VNF und VNFC ungeachtet der Quellen- und Zielserver 204 geschützt werden sollte. Außerdem identifiziert bei einigen Ausführungsformen die Sicherheitsrichtlinie 408 den Prozess/Verkehrsfluss eines oder mehrerer Pakete auf der Basis der bestimmten Dienstkette. Es versteht sich ferner, dass das Verwaltungssystem 206 bei einigen Ausführungsformen sicherstellen kann, dass geltende Bestimmungen (z.B. bestimmungsspezifische kryptografische Algorithmen, Schlüsselgrößen, Blockgrößen, unidirektionaler oder bidirektionaler Verkehrsschutz usw.), die der Kommunikation von VNF und VNF, VNFC und VNFC und VNF und VNFC zugeordnet sind, erfüllt werden (z.B. durch Integration in die Sicherheitsrichtline 408).
  • Der Orchestrierer 208, die VNF-Manager 210 und die VIM 212 können als ein beliebiger Server oder eine beliebige Datenverarbeitungsvorrichtung mit der Fähigkeit zur Ausführung der hier beschriebenen Funktionen realisiert werden. Ferner können der Orchestrierer 208, die VNF-Manager 210 und die VIM 212 Komponenten umfassen, die den oben beschriebenen Komponenten der Server 204 und/oder üblicherweise in einem Server anzutreffenden Komponenten, wie etwa einem Prozessor, Speicher, I/O-Subsystem, Datenspeicherung, Peripherievorrichtungen und so weiter, die der Klarheit der Beschreibung halber in 2 nicht dargestellt sind, ähnlich sind.
  • Nunmehr mit Bezug auf 4 stellen im Gebrauch ein oder mehrere der Server 204 eine Umgebung 400 für sichere Kommunikation zwischen virtuellen Netzwerkfunktionen oder spezieller für sichere Kommunikation von VNF und VNF, VNFC und VNFC und VNF und VNFC her. Die beispielhafte Umgebung 400 umfasst ein Modul 402 der Netzwerkfunktions-Virtualisierungsinfrastruktur (NFVI) und ein Kommunikationsmodul 404. Außerdem umfasst das NVFI-Modul 402 ein vertrauenswürdiges Ausführungsumgebungsmodul 406. Jedes der Module der Umgebung 400 kann als Hardware, Software, Firmware oder eine Kombination davon realisiert werden. Außerdem können bei einigen Ausführungsformen eines oder mehrere der beispielhaften Module einen Teil eines anderen Moduls bilden und/oder eines oder mehrere der beispielhaften Module können als ein selbständiges oder unabhängiges Modul realisiert werden. Zum Beispiel können die Module, Logik und andere Komponenten der Umgebung 400 jeweils einen Teil des Prozessors 310 des Servers 204 bilden oder anderweitig durch diesen hergestellt werden.
  • Das NVFI-Modul 402 ist dafür ausgelegt, verschiedene Schlüsselverwaltungsfunktionen, kryptografische Funktionen, Verwaltung des sicheren Kommunikationskanals und/oder andere Sicherheitsfunktionen auszuführen, um sicherzustellen, dass die Kommunikation von VNF und VNF, VNFC und VNFC und VNF und VNFC soweit geschützt ist, wie es die relevante Sicherheitsrichtlinie 408 erfordert. Es versteht sich, dass bei einigen Ausführungsformen das Schützen der VNF- und VNFC-Kommunikation (z.B. über verschlüsselte Kommunikation oder einen anderweitig sicheren Kommunikationskanal) gestattet, die VNF 202 und VNFC 214 unmodifiziert über verschiedene Topologien laufen zu lassen (d.h. die konkreten Topologien können beliebig gewählt werden). Ferner kann wie nachfolgend beschrieben das NFVI-Modul 402 Schlüsselverwaltung für die VNF 202 und/oder VNFC 214 transparent durchführen (z.B. ohne Schlüssel und/oder Schlüsselverwaltungsmetadaten außerhalb des NFVI-Moduls 402 zu exponieren). Außerdem kann das NVFI-Modul 402 Fusionierungs-/Wurzelschlüssel (die z.B. durch OEM oder Komponentenhersteller hergestellt werden) als grundlegende kryptografische Schlüssel zur Herstellung sicherer Kommunikationskanäle zwischen dem vertrauenswürdigen Ausführungsumgebungsmodul 406 und einem entsprechenden vertrauenswürdigen Ausführungsumgebungsmodul 406 eines andere Servers 204 verwenden. Ferner kann wie nachfolgend beschrieben bei einigen Ausführungsformen das NFVI-Modul 402 dynamisch sichere Sitzungen zwischen VNF 202 und/oder VNFC 214 herstellen und/oder aktualisieren, verhindern, dass Kommunikation vor dem Herstellen von Sicherheit (z.B. über Verschlüsselungsschlüssel und/oder Tunnel) zwischen Entitäten (z.B. VNF 202 und/oder VNFC 214) auftritt, Sicherheitsverarbeitung von Kommunikationsverkehr (z.B. allem Verkehr) zwischen VNF 202 (z.B. Verkehr von VNF und VNF, VNFC und VNFC und/oder VNF und VNFC) durchsetzen, gestatten, dass nur VNF 202 und/oder VNFC 214 mit hergestellten Sicherheitsrichtlinien 408 miteinander kommunizieren, und/oder Sicherheitsverarbeitung auf verschiedener Granularität durchführen (z.B. an allem Verkehr, Verwaltungs- und/oder Steuerverkehr, pro Paket, pro Fluss, pro Richtlinienheader an dem entsprechenden Paket usw.). Es versteht sich, dass bei einigen Ausführungsformen jede Paarung von VNF 202, VNFC 214, Prozessfluss und/oder kommunikativer Entität (z.B. eine bestimmte VNF 202 und andere VNF 202) einen separaten kryptografischen Schlüssel (oder eine Menge von kryptografischen Schlüsseln) für sichere Kommunikation aufweisen kann und auch eine separate Sicherheitsrichtlinie 408 aufweisen kann. Die Sicherheitsrichtlinie 408 kann zum Beispiel die Lebenszeit/das Ablaufdatum von Schlüsseln identifizieren, ob die Schlüssel (z.B. in Speicherung) persistieren können, Schlüsselerneurungsanforderungen und/oder andere Parameter, die den durch das NVFI-Modul 402 benutzten kryptografischen Schlüsseln zugeordnet sind.
  • Das Modul 406 der vertrauenswürdigen Ausführungsumgebung (TEE) des NFVI-Moduls 402 stellt eine vertrauenswürdige Ausführungsumgebung (z.B. die TEE 220) oder anderweitig sichere Umgebung in dem Server 204 her und führt verschiedene kryptografische Funktionen für sichere Kommunikation zwischen VNF 202 und VNFC 214 des Servers 204 und anderen VNF 202 und VNFC 214 (die z.B. auf demselben Server 204 oder einem entfernten Server 204 instanziiert werden) aus. Abhängig von der konkreten Ausführungsform kann das TEE-Modul 406 die Erzeugung und Verifikation kryptografischer Schlüssel, Signaturen, Hashes abwickeln und/oder andere kryptografische Funktionen ausführen. Bei einigen Ausführungsformen kann die TEE 220 eine vertrauenswürdige Beziehung mit einer entsprechenden TEE 220 eines anderen Servers 204 herstellen. Hierbei können die TEE 220 zum Beispiel einen kryptografischen Schlüsselaustausch durchführen. Bei einigen Ausführungsformen können die TEE 220 über hergestellte verschlüsselte und/oder anderweitig sichere Tunnel kommunizieren. Wie oben beschrieben, können die TEE 220 bei einigen Ausführungsformen über einen Außerband-Kommunikationskanal (d.h. einen von einem gemeinsamen Kommunikationskanal zwischen den entsprechenden Servern 204 getrennten Kommunikationskanal) miteinander kommunizieren. Bei einigen Ausführungsformen detektiert das TEE-Modul 406 (z.B. die TEE 220) die Instanziierung einer neuen VNF 202 oder VNFC 214 und erzeugt die entsprechenden kryptografischen Schlüssel wie hier beschrieben. Es versteht sich, dass eine solche Detektion mittels beliebiger geeigneter Algorithmen, Techniken und/oder Mechanismen erfolgen kann. Zum Beispiel kann bei einigen Ausführungsformen das TEE-Modul 406 die Instanziierung einer VNF 202 oder VNFC 214 mittels Treibern, die zwischen dem Hypervisor 218 und der TEE 220 hergestellt werden (z.B. HECI), mittels Signalen, die durch einen Steuer- und Verwaltungskommunikationskanal von dem VNF-Manager 210 zu der NFVI 216 (z.B. durch das VIM 212) gesendet werden, und/oder mittels REST API (z.B. unter Verwendung von JSON-Datenformaten) detektieren.
  • Das Kommunikationsmodul 404 wickelt die Kommunikation zwischen dem Server 204 und entfernten Vorrichtungen (z.B. anderen Servern 204) durch ein geeignetes Netzwerk ab. Zum Beispiel können wie oben besprochen die TEE 220 zweier Server 204 über einen Außerband-Kommunikationskanal oder über verschlüsselte Tunnel miteinander kommunizieren.
  • Nunmehr mit Bezug auf 5 kann im Gebrauch der Server 204 ein Verfahren 500 zum Herstellen kryptografischer Schlüssel für sichere Kommunikation zwischen virtuellen Netzwerkfunktionen oder spezieller zum Herstellen kryptografischer Schlüssel für sichere Kommunikation von VNF und VNF, VNFC und VNFC und/oder VNF und VNFC ausführen. Es versteht sich, dass bei einigen Ausführungsformen der Server 204 das Verfahren 500 mit dem NFVI-Modul 402 (z.B. der NVFI 216) ausführt. Das beispielhafte Verfahren 500 beginnt mit Block 502, in dem der Server 204 eine Sicherheitsrichtlinie 408 von dem Verwaltungssystem 206 empfängt. Hierbei kann der Server 204 im Block 504 Dienstkettendaten von dem Verwaltungssystem 206 empfangen. Zum Beispiel kann die Sicherheitsrichtlinie 408 wie oben besprochen den Prozess/Verkehrsfluss eines oder mehrerer Pakete auf der Basis der bestimmten Dienstkette für eine oder mehrere VNF 202 und/oder VNFC 214, die auf dem Server 204 zu instanziieren sind, identifizieren. Außerdem kann die Sicherheitsrichtlinie 408 die konkrete Sicherheit identifizieren, die für die Kommunikation von VNF und VNF, VNFC und VNFC und/oder VNF und VNFC entsprechend den auf dem Server 204 zu instanziierenden oder herzustellenden VNF 202 und/oder VNFC 214 erforderlich ist. Ferner versteht sich, dass bei einigen Ausführungsformen jede der VNF 202 und/oder VNFC 204 ihre eigene Sicherheitsrichtlinie 408 aufweisen kann. Bei anderen Ausführungsformen können solche Sicherheitsrichtlinien 408 sogar noch feinere Granularität aufweisen (z.B. bestimmten Flüssen, Paketen usw. zugeordnet).
  • Im Block 506 stellt der Server 204 kryptografische Schlüssel für sichere Kommunikation zum Beispiel auf der Basis der einen oder mehreren empfangenen oder bestimmten Sicherheitsrichtlinien 408 her. Hierbei stellt der Server 204 im Block 508 kryptografische Schlüssel für Kommunikation von VNF und VNF, VNFC und VNFC und/oder VNF und VNFC her. Abhängig von der konkreten Ausführungsform kann jede der Kommunikation von VNF und VNF, VNFC und VNFC und/oder VNF und VNFC unidirektionale oder bidirektionale Kommunikation sein. Zum Beispiel kann bei einigen Ausführungsformen Kommunikation von VNF und VNFC nur in dem Sinne auftreten, dass eine bestimmte VNF 202 Informationen zu einer bestimmten VNFC 214 senden (aber keine Informationen von der VNFC 214 empfangen) kann oder eine bestimmte VNFC 214 Informationen zu einer bestimmten VNF 202 senden (aber keine Informationen von der VNF 202 empfangen) kann, während bei anderen Ausführungsformen die bestimmte VNF 202 und VNFC 214 in dem Sinne bidirektional kommunizieren können, dass sowohl die VNF 202 als auch die VNFC 214 Informationen zueinander senden und voneinander empfangen können. Bei einigen Ausführungsformen können die kryptografischen Schlüssel in dem virtuellen Switch 228 und/oder einem physischen Switch (z.B. in der NVFI 216) hergestellt werden, um ankommenden und abgehenden Verkehr zwischen den VNF 202 und/oder VNFC 214 auf der Basis der Sicherheitsrichtlinien 408 zu schützen.
  • Im Block 510 kann der Server 204 einen oder mehrere kryptografische Schlüssel als Funktion eines Fusionierungsschlüssels oder einer anderen Vertrauenswurzel herstellen. Das heißt, bei einigen Ausführungsformen können ein oder mehrere Wurzel-/Fusionierungsschlüssel auf dem Server 204 (z.B. in einer Fusionierungsbank) durch den OEM (oder die Entität, die die NFVI 216 hergestellt hat) hergestellt werden. Bei einigen Ausführungsformen wird ein Wurzelschlüssel während der Herstellung einer bestimmten Hardwarekomponente bzw. bestimmter Hardwarekomponenten bereitgestellt und zum Autorisieren der Benutzung von OEM-Schlüsseln benutzt. Bei anderen Ausführungsformen können die Wurzelschlüssel aus OEM-bereitgestellten Schlüsseln abgeleitet werden. Ferner können bei einigen Ausführungsformen der Hersteller der Komponente bzw. von Komponenten und/oder der OEM NFVI-Schlüssel oder andere geeignete kryptografische Schlüssel zur Verwendung als Wurzelschlüssel delegieren.
  • Im Block 512 kann der Server 204 mit der vertrauenswürdigen Ausführungsumgebung 220 (z.B. dem TEE-Modul 406) eines oder mehrerer anderer Server 204 kommunizieren, um kryptografische Schlüssel herzustellen. Nachdem die VNF 202 und/oder VNFC 214 auf dem Server 204 hergestellt wurden, kann zum Beispiel die NFVI 216 des Servers 204 mit entsprechenden NVFI 216 der anderen Server 204 koordinieren, um einen oder mehrere kryptografische Schlüssel (z.B. Sitzungsschlüssel) zum Schutz des VNF/VNFC-Verkehrs herzustellen. Bei einigen Ausführungsformen werden Sitzungsschlüssel aus einem zwischen den NFVI 216 oder genauer gesagt den entsprechenden TEE 220 ausgeführten gegenseitigen Authentifizierungsprotokoll abgeleitet, und abhängig von der konkreten Ausführungsform können Wurzelschlüssel der Server 204 als geteilte Geheimnisse und/oder autorisierte Berechtigungsnachweise verwendet werden. Zum Beispiel können bei einigen Ausführungsformen die TEE 220 SSL, IPSec und/oder ein anderes Web-Sicherheitsprotokoll verwenden, um kryptografische Schlüssel (z.B. Sitzungsschlüssel) herzustellen.
  • Im Block 514 kann der Server 204 abhängig von der konkreten Ausführungsform verschiedene Basisschlüssel und/oder Sitzungsschlüssel für vielfältige Zwecke herstellen. Zum Beispiel kann der Server 204 bei einigen Ausführungsformen dieselben oder verschiedene abgeleitete Schlüssel zum Schutz von Steuerpaketen, Verwaltungsverkehr, Teilnehmermetadaten, Teilnehmerdaten, Verkehr pro Fluss und/oder anderen Daten verwenden. Es versteht sich, dass bei einigen Ausführungsformen der Server 204 verschiedene Basisschlüssel bestimmen und Sitzungsschlüssel als Funktion dieser Basisschlüssel ableiten kann. Hierbei kann der Server 204 zum Beispiel die Exponierung der Basisschlüssel begrenzen und die für sichere Kommunikation verwendeten kryptografischen Schlüssel mit der Zeit aktualisieren. Um Klarheit der Beschreibung zu gewährleisten, können jedoch sowohl die Basisschlüssel als auch die Sitzungsschlüssel hier einfach als Sitzungsschlüssel beschrieben werden.
  • Es versteht sich, dass bei einigen Ausführungsformen jedes Paar kommunikativer Entitäten einen oder mehrere einzigartige kryptografische Schlüssel (z.B. Sitzungsschlüssel) aufweisen kann. Zum Beispiel kann für sichere Kommunikation von VNF und VNF zwischen einer ersten und zweiten VNF 202 eine erste Menge von kryptografischen Schlüsseln hergestellt werden und eine zweite Menge von kryptografischen Schlüsseln kann hergestellt werden, um Kommunikation von VNF und VNF zwischen der ersten VNF 202 und einer dritten VNF 202 zu sichern. Ferner können wie oben besprochen bei einigen Ausführungsformen die kryptografischen Schlüssel zum Schutz von Kommunikation von VNF und VNF, VNFC und VNFC und/oder VNF und VNFC mit einer feineren Granularität hergestellt werden. Zum Beispiel kann der Server 204 im Block 516 separate kryptografische Schlüssel zum Schützen verschiedener Dienstflüsse (z.B. zwischen denselben Entitäten) herstellen. Dementsprechend kann ein Dienstfluss, der Kommunikation zwischen einem ersten Paar von Entitäten (z.B. VNF 202) erfordert, mit einem ersten kryptografischen Schlüssel verschlüsselt werden, während ein anderer Dienstfluss, der auch Kommunikation zwischen diesen Entitäten erfordert, mit einem anderen kryptografischen Schlüssel verschlüsselt werden kann. Es versteht sich, dass die Sicherheitsrichtlinien 408 bei einigen Ausführungsformen den Grad an Granularität und/oder den Umfang von Daten, die die kryptografischen Schlüssel schützen sollen, identifizieren. Ferner versteht sich, dass die konkreten benutzten kryptografischen Algorithmen als beliebige geeignete kryptografische Algorithmen zur Ausführung der hier beschriebenen Funktionen realisiert werden können. Zum Beispiel werden bei einigen Ausführungsformen die Sitzungsschlüssel auf der Basis eines symmetrischen kryptografischen Schlüsselalgorithmus erzeugt, während bei anderen Ausführungsformen ein asymmetrischer kryptografischer Algorithmus benutzt werden kann. Ferner können bei einigen Ausführungsformen mehrere kryptografische Schlüsselalgorithmen in Verbindung miteinander benutzt werden (z.B. ein symmetrischer Schlüssel für Massenverschlüsselung und ein asymmetrischer Schlüssel zum Verschlüsseln des symmetrischen Schlüssels oder Bereitstellen einer kryptografischen Signatur).
  • Nunmehr mit Bezug auf 6 kann im Gebrauch der Server 204 ein Verfahren 600 für sichere Kommunikation zwischen virtuellen Netzwerkfunktionen oder spezieller für sichere Kommunikation von VNF und VNF, VNFC und VNFC und/oder VNF und VNFC ausführen. Es versteht sich, dass bei einigen Ausführungsformen der Server 204 das Verfahren 600 mit dem NFVI-Modul 402 (z.B. der NVFI 216) ausführt. Das beispielhafte Verfahren 600 beginnt mit Block 602, in dem der Server 204 gebootet wird. Im Block 604 bestimmt der Server 204, ob Sicherheit auf dem Server für sichere Kommunikation zwischen VNF und/oder zwischen VNFC hergestellt wurde. Hierbei kann der Server 204 im Block 606 bestätigen, dass die TEE 220 des Servers 204 sicher hergestellt wurde und über Zugang zu den relevanten kryptografischen Sicherheitsschlüsseln verfügt. Zum Beispiel bestimmt der Server 204 bei einigen Ausführungsformen, ob die TEE 220 über Zugang zu den oben für sichere Kommunikation von VNF und VNF, VNFC und VNFC und/oder VNF und VNFC besprochenen kryptografischen Schlüsseln verfügt.
  • Wenn der Server 204 im Block 608 bestimmt, dass keine Sicherheit hergestellt wurde (z.B. die relevanten kryptografischen Schlüssel für sichere Kommunikation nicht verfügbar sind), verhindert der Server 204 abhängig von den Anforderungen der Sicherheitsrichtlinie 408 Kommunikation mit dem VNF 202 und/oder VNFC 214 des Servers 204. Hierbei kann der Server 204 im Block 612 Kommunikation von VNF und VNF, VNFC und VNFC und/oder VNF und VNFC auf der Basis der Sicherheitsrichtlinie 408 verhindern. Wie oben besprochen kann die Sicherheitsrichtlinie 408 bei einigen Ausführungsformen solche Kommunikation zwischen Entitäten in einem bestimmten Server 204 zum Beispiel aufgrund eines gewissen durch den Hypervisor 218 bereitgestellten begrenzten Schutzes gestatten. Bei anderen Ausführungsformen kann die Sicherheitsrichtlinie 408 alle Kommunikation (z.B. ankommend und abgehend) mit den VNF 202 und/oder VNFC 214 des Servers 204 verhindern.
  • Wieder mit Bezug auf Block 608 führt der Server 204, wenn der Server 204 bestimmt, dass Sicherheit hergestellt wurde, die Kommunikation von VNF und VNF, VNFC und VNFC und/oder VNF und VNFC wie von den entsprechenden Dienstflüssen erfordert im Block 614 durch. Hierbei ruft der Server 204 im Block 616 die entsprechenden kryptografischen Schlüssel für sichere Kommunikation auf der Basis der Sicherheitsrichtlinie 408 ab, und wenn die Sicherheitsrichtlinie 408 angibt, dass die entsprechende Kommunikation verschlüsselt werden sollte, verschlüsselt/entschlüsselt der Server 204 die sichere Kommunikation mit den abgerufenen Schlüsseln im Block 618. Wenn zum Beispiel eine bestimmte VNF 202 Informationen zu einer anderen VNF 202 übermitteln muss, die auf einer entfernten Vorrichtung instanziiert ist, kann die VNF 202 die Informationen mit dem relevanten kryptografischen Schlüssel (z.B. dem den beiden VNF 202 entsprechenden Sitzungsschlüssel) verschlüsseln und die verschlüsselten Informationen (z.B. über den virtuellen Switch 228 und/oder physischen Switch der NFVI 216) zu der anderen VNF 202 senden. Beim Empfang ruft die entfernte VNF 202 den entsprechenden Entschlüsselungsschlüssel (z.B. einen symmetrischen Sitzungsschlüssel) ab und entschlüsselt das Paket bzw. die Pakete. Ähnlich kann eine VNF 202 und VNF 214, die mit einer anderen VNF 202 oder VNF 214 im selben Server 204 kommuniziert, Daten vor der Übertragung verschlüsseln und die Daten beim Empfang durch die empfangende Entität entschlüsseln.
  • Um solch sichere VNF/VNFC-Kommunikation durchzuführen, kann der Server 204 bei einigen Ausführungsformen zum Beispiel unter Verwendung von IP-Adressen, TCP/UDP oder Protokollportnummern höherer Ebene, Domänennamen, Routingdomänennamen und/oder Paketkennungen, die durch den VNF-Manager 210 oder Orchestrierer 208 übermittelt werden, Paketidentifikation für VNF/VNFC-Kommunikation durchführen. Ferner wird bei einigen Ausführungsformen der VNF/VNFC-Verkehr nahtlos durch die NVFI 216 geschützt, ohne jegliche Änderungen an den konkreten VNF 202 oder VNFC 214, die auf der NFVI 216 laufen, vorzunehmen.
  • BEISPIELE
  • Im Folgenden werden Anschauungsbeispiele für die hier offenbarten Technologien bereitgestellt. Eine Ausführungsform der Technologien kann ein beliebiges oder mehrere und eine beliebige Kombination der nachfolgend beschriebenen Beispiele umfassen. Beispiel 1 umfasst eine Datenverarbeitungsvorrichtung für sichere Kommunikation zwischen virtuellen Netzwerkfunktionen, wobei die Datenverarbeitungsvorrichtung ein Netzwerkfunktions-Virtualisierungsschnittstellenmodul umfasst zum (i) Bestimmen eines kryptografischen Schlüssels für sichere Kommunikation über ein Netzwerk zwischen virtuellen Netzwerkfunktionen (VNF) und/oder ein Netzwerk zwischen virtuellen Netzwerkfunktionskomponenten (VNFC) und/oder ein Netzwerk von VNF und VNFC auf der Basis einer Sicherheitsrichtline der Datenverarbeitungsvorrichtung und (ii) sicheren Kommunizieren über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC unter Verwendung des bestimmten kryptografischen Schlüssels.
  • Beispiel 2 umfasst den Gegenstand von Beispiel 1, und wobei das Netzwerkfunktions-Virtualisierungsschnittstellenmodul ferner den kryptografischen Schlüssel für die sichere Kommunikation herstellen soll.
  • Beispiel 3 umfasst den Gegenstand irgendwelcher der Beispiele 1 und 2, und wobei sicheres Kommunizieren über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC umfasst, mit einem entsprechenden vertrauenswürdigen Ausführungsumgebungsmodul einer entfernten Datenverarbeitungsvorrichtung zu kommunizieren.
  • Beispiel 4 umfasst den Gegenstand irgendwelcher der Beispiele 1–3, und wobei das Herstellen des kryptografischen Schlüssels umfasst, eine Vertrauenswurzel und/oder einen Fusionierungsschlüssel der Datenverarbeitungsvorrichtung zu benutzen. Beispiel 5 umfasst den Gegenstand irgendwelcher der Beispiele 1–4, und wobei das Herstellen des kryptografischen Schlüssels umfasst, auf der Basis der Vertrauenswurzel und/oder des Fusionierungsschlüssels der Datenverarbeitungsvorrichtung einen kryptografischen Basisschlüssel zu erzeugen; und auf der Basis des erzeugten kryptografischen Basisschlüssels einen temporären kryptografischen Schlüssel für sichere Kommunikation über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC zu erzeugen.
  • Beispiel 6 umfasst den Gegenstand irgendwelcher der Beispiele 1–5, und wobei das Herstellen des kryptografischen Schlüssels umfasst, einen ersten kryptografischen Schlüssel für Kommunikation zwischen einem ersten Paar von Entitäten, ausgewählt aus einer Menge von VNF und VNFC der Datenverarbeitungsvorrichtung, herzustellen.
  • Beispiel 7 umfasst den Gegenstand irgendwelcher der Beispiele 1–6, und wobei das Netzwerkfunktions-Virtualisierungsschnittstellenmodul ferner ausgelegt ist zum Herstellen eines zweiten kryptografischen Schlüssels für Kommunikation zwischen einem zweiten Paar von Entitäten, das von dem ersten Paar verschieden ist, ausgewählt aus der Menge von VNF und VNFC der Datenverarbeitungsvorrichtung.
  • Beispiel 8 umfasst den Gegenstand irgendwelcher der Beispiele 1–7, und wobei das Herstellen des ersten kryptografischen Schlüssels für die Kommunikation zwischen dem ersten Paar von Entitäten umfasst, den ersten kryptografischen Schlüssel für Kommunikation zwischen dem ersten Paar von Entitäten einem ersten Dienstfluss zugeordnet herzustellen; und wobei das vertrauenswürdige Ausführungsumgebungsmodul ferner einen zweiten kryptografischen Schlüssel zur Kommunikation zwischen dem ersten Paar von Entitäten einem zweiten Dienstfluss zugeordnet herstellen soll, der von dem ersten Dienstfluss verschieden ist. Beispiel 9 umfasst den Gegenstand irgendwelcher der Beispiele 1–8, und wobei das sichere Kommunizieren über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC umfasst, sicher über ein Kommunikationsnetzwerk zwischen VNF zu kommunizieren.
  • Beispiel 10 umfasst den Gegenstand irgendwelcher der Beispiele 1–9, und wobei das sichere Kommunizieren über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC umfasst, sicher über ein Kommunikationsnetzwerk zwischen VNFC zu kommunizieren.
  • Beispiel 11 umfasst den Gegenstand irgendwelcher der Beispiele 1–10, und wobei das sichere Kommunizieren über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC umfasst, sicher über ein Kommunikationsnetzwerk von VNF und VNFC zu kommunizieren.
  • Beispiel 12 umfasst den Gegenstand irgendwelcher der Beispiele 1–11, und wobei das Netzwerkfunktions-Virtualisierungsschnittstellenmodul ferner Folgendes durchführen soll:
    Bestimmen, ob das vertrauenswürdige Ausführungsumgebungsmodul über Zugang zu dem kryptografischen Schlüssel verfügt; und Verhindern von Kommunikation über das Netzwerk zwischen VNF und/oder zwischen VNFC oder von VNF und VNFC auf der Basis der Sicherheitsrichtlinie als Reaktion auf Bestimmung, dass das vertrauenswürdige Ausführungsumgebungsmodul nicht über Zugang zu dem kryptografischen Schlüssel verfügt.
  • Beispiel 13 umfasst den Gegenstand irgendwelcher der Beispiele 1–12, und wobei das Bestimmen, dass das vertrauenswürdige Ausführungsumgebungsmodul der Datenverarbeitungsvorrichtung nicht über Zugang zu dem kryptografischen Schlüssel verfügt, umfasst, zu bestimmen, dass das vertrauenswürdige Ausführungsumgebungsmodul nicht sicher gebootet wurde.
  • Beispiel 14 umfasst den Gegenstand irgendwelcher der Beispiele 1–13, und wobei das Bestimmen des kryptografischen Schlüssels umfasst, den kryptografischen Schlüssel auf der Basis der Sicherheitsrichtlinie abzurufen; wobei die Sicherheitsrichtlinie entsprechende kryptografische Schlüssel für sichere Kommunikation zwischen mehreren Paaren von Entitäten, ausgewählt aus einer Menge von VNF und VNFC der Datenverarbeitungsvorrichtung, definiert.
  • Beispiel 15 umfasst ein Verfahren zur sicheren Kommunikation zwischen virtuellen Netzwerkfunktionen durch eine Datenverarbeitungsvorrichtung, wobei das Verfahren Folgendes umfasst: Bestimmen eines kryptografischen Schlüssels durch die Datenverarbeitungsvorrichtung zur sicheren Kommunikation über ein Netzwerk zwischen virtuellen Netzwerkfunktionen (VNF) und/oder ein Netzwerk zwischen Komponenten von virtuellen Netzwerkfunktionen (VNFC) und/oder ein Netzwerk von VNF und VNFC auf der Basis einer Sicherheitsrichtlinie der Datenverarbeitungsvorrichtung; und sicheres Kommunizieren durch die Datenverarbeitungsvorrichtung über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC unter Verwendung des bestimmten kryptografischen Schlüssels.
  • Beispiel 16 umfasst den Gegenstand von Beispiel 15 und umfasst ferner Herstellen des kryptografischen Schlüssels durch die Datenverarbeitungsvorrichtung für die sichere Kommunikation.
  • Beispiel 17 umfasst den Gegenstand beliebiger der Beispiele 15 und 16, und wobei das Herstellen des kryptografischen Schlüssels Herstellen des kryptografischen Schlüssels mit einem Netzwerkfunktions-Virtualisierungsschnittstellenmodul der Datenverarbeitungsvorrichtung umfasst; und wobei das sichere Kommunizieren über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC Kommunizieren durch die Netzwerkfunktions-Virtualisierungsschnittstelle der Datenverarbeitungsvorrichtung umfasst.
  • Beispiel 18 umfasst den Gegenstand irgendwelcher der Beispiele 15–17, und wobei das sichere Kommunizieren über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC umfasst, durch ein vertrauenswürdiges Ausführungsumgebungsmodul mit einem entsprechenden vertrauenswürdigen Ausführungsumgebungsmodul einer entfernten Datenverarbeitungsvorrichtung zu kommunizieren.
  • Beispiel 19 umfasst den Gegenstand irgendwelcher der Beispiele 15–18, und wobei das Herstellen des kryptografischen Schlüssels Benutzung einer Vertrauenswurzel und/oder eines Fusionierungsschlüssels der Datenverarbeitungsvorrichtung umfasst.
  • Beispiel 20 umfasst den Gegenstand irgendwelcher der Beispiele 15–19, und wobei das Herstellen des kryptografischen Schlüssels Erzeugen eines kryptografischen Basisschlüssels auf der Basis der Vertrauenswurzel und/oder des Fusionierungsschlüssels der Datenverarbeitungsvorrichtung; und Erzeugen eines temporären kryptografischen Schlüssels auf der Basis des erzeugten kryptografischen Basisschlüssels für sichere Kommunikation über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC umfasst.
  • Beispiel 21 umfasst den Gegenstand irgendwelcher der Beispiele 15–20, und wobei das Herstellen des kryptografischen Schlüssels Herstellen eines ersten kryptografischen Schlüssels für Kommunikation zwischen einem ersten Paar von Entitäten, ausgewählt aus einer Menge von VNF und VNFC der Datenverarbeitungsvorrichtung, umfasst.
  • Beispiel 22 umfasst den Gegenstand irgendwelcher der Beispiele 15–21, und umfasst ferner Herstellen eines zweiten kryptografischen Schlüssels durch die Datenverarbeitungsvorrichtung für Kommunikation zwischen einem zweiten Paar von Entitäten, das von dem ersten Paar verschieden ist, ausgewählt aus der Menge von VNF und VNFC der Datenverarbeitungsvorrichtung.
  • Beispiel 23 umfasst den Gegenstand irgendwelcher der Beispiele 15–22, und wobei das Herstellen des ersten kryptografischen Schlüssels für die Kommunikation zwischen dem ersten Paar von Entitäten Herstellen des ersten kryptografischen Schlüssels für Kommunikation zwischen dem ersten Paar von Entitäten einem ersten Dienstfluss zugeordnet umfasst; und ferner Herstellen eines zweiten kryptografischen Schlüssels durch die Datenverarbeitungsvorrichtung zur Kommunikation zwischen dem ersten Paar von Entitäten einem zweiten Dienstfluss zugeordnet, der von dem ersten Dienstfluss verschieden ist, umfasst.
  • Beispiel 24 umfasst den Gegenstand irgendwelcher der Beispiele 15–23, und wobei das sichere Kommunizieren über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC sicheres Kommunizieren über ein Kommunikationsnetzwerk zwischen VNF umfasst.
  • Beispiel 25 umfasst den Gegenstand irgendwelcher der Beispiele 15–24, und wobei das sichere Kommunizieren über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC sicheres Kommunizieren über ein Kommunikationsnetzwerk zwischen VNFC umfasst.
  • Beispiel 26 umfasst den Gegenstand irgendwelcher der Beispiele 15–25, und wobei das sichere Kommunizieren über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC sicheres Kommunizieren über ein Kommunikationsnetzwerk von VNF und VNFC umfasst.
  • Beispiel 27 umfasst den Gegenstand irgendwelcher der Beispiele 15–26, und umfasst ferner Bestimmen durch die Datenverarbeitungsvorrichtung, ob ein Netzwerkfunktions-Virtualisierungsschnittstellenmodul der Datenverarbeitungsvorrichtung über Zugang zu dem kryptografischen Schlüssel verfügt; und Verhindern von Kommunikation über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC durch die Datenverarbeitungsvorrichtung auf der Basis der Sicherheitsrichtlinie als Reaktion auf Bestimmung, dass das Netzwerkfunktions-Virtualisierungsschnittstellenmodul nicht über Zugang zu dem kryptografischen Schlüssel verfügt, umfasst.
  • Beispiel 28 umfasst den Gegenstand irgendwelcher der Beispiele 15–27, und wobei das Bestimmen, dass die Netzwerkfunktions-Virtualisierungsschnittstelle der Datenverarbeitungsvorrichtung nicht über Zugang zu dem kryptografischen Schlüssel verfügt, umfasst zu bestimmen, dass das Netzwerkfunktions-Virtualisierungsschnittstellenmodul nicht sicher gebootet wurde.
  • Beispiel 29 umfasst den Gegenstand irgendwelcher der Beispiele 15–28, und wobei das Bestimmen des kryptografischen Schlüssels Abrufen des kryptografischen Schlüssels auf der Basis der Sicherheitsrichtlinie umfasst; wobei die Sicherheitsrichtlinie entsprechende kryptografische Schlüssel für sichere Kommunikation zwischen mehreren Paaren von Entitäten, ausgewählt aus einer Menge von VNF und VNFC der Datenverarbeitungsvorrichtung, definiert.
  • Beispiel 30 umfasst eine Datenverarbeitungsvorrichtung mit einem Prozessor; und einem Speicher, in dem mehrere Anweisungen gespeichert sind, die, wenn sie durch den Prozessor ausgeführt werden, bewirken, dass die Datenverarbeitungsvorrichtung das Verfahren nach einem der Beispiele 15–29 ausführt.
  • Beispiel 31 umfasst ein oder mehrere maschinenlesbare Speichermedien, die darauf gespeichert mehrere Anweisungen umfassen, die als Reaktion auf Ausführung durch eine Datenverarbeitungsvorrichtung bewirken, dass die Datenverarbeitungsvorrichtung das Verfahren nach einem der Beispiele 15–29 ausführt.
  • Beispiel 32 umfasst eine Datenverarbeitungsvorrichtung zur sicheren Kommunikation zwischen virtuellen Netzwerkfunktionen, wobei die Datenverarbeitungsvorrichtung Folgendes umfasst: Mittel zum Bestimmen eines kryptografischen Schlüssels für sichere Kommunikation über ein Netzwerk zwischen virtuellen Netzwerkfunktionen (VNF) und/oder ein Netzwerk zwischen Komponenten von virtuellen Netzwerkfunktionen (NVFC) und/oder ein Netzwerk von VNF und VNFC auf der Basis einer Sicherheitsrichtlinie der Datenverarbeitungsvorrichtung; und Mittel zum sicheren Kommunizieren über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC unter Verwendung des bestimmten kryptografischen Schlüssels.
  • Beispiel 33 umfasst den Gegenstand von Beispiel 32 und umfasst ferner Mittel zum Herstellen des kryptografischen Schlüssels für die sichere Kommunikation.
  • Beispiel 34 umfasst den Gegenstand irgendeines der Beispiele 32 und 33, und wobei das Mittel zum Herstellen des kryptografischen Schlüssels ein Mittel zum Herstellen des kryptografischen Schlüssels mit einem Netzwerkfunktions-Virtualisierungsschnittstellenmodul der Datenverarbeitungsvorrichtung umfasst; und wobei das Mittel zum sicheren Kommunizieren über das Netzwerk zwischen VNF und/oder zwischen VNFC und von VNF und VNFC ein Mittel zum Kommunizieren durch die Netzwerkfunktions-Virtualisierungsschnittstelle der Datenverarbeitungsvorrichtung umfasst.
  • Beispiel 35 umfasst den Gegenstand irgendeines der Beispiele 32–34, und wobei das Mittel zum sicheren Kommunizieren über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC ein Mittel umfasst, durch ein vertrauenswürdiges Ausführungsumgebungsmodul mit einem entsprechenden vertrauenswürdigen Ausführungsumgebungsmodul einer entfernten Datenverarbeitungsvorrichtung zu kommunizieren.
  • Beispiel 36 umfasst den Gegenstand irgendeines der Beispiele 32–35, und wobei das Mittel zum Herstellen des kryptografischen Schlüssels ein Mittel zum Benutzen einer Vertrauenswurzel und/oder eines Fusionierungsschlüssels der Datenverarbeitungsvorrichtung umfasst.
  • Beispiel 37 umfasst den Gegenstand irgendeines der Beispiele 32–36, und wobei das Mittel zum Herstellen des kryptografischen Schlüssels ein Mittel zum Erzeugen eines kryptografischen Basisschlüssels auf der Basis der Vertrauenswurzel und/oder des Fusionierungsschlüssels der Datenverarbeitungsvorrichtung; und ein Mittel zum Erzeugen eines temporären kryptografischen Schlüssels auf der Basis des erzeugten kryptografischen Basisschlüssels für sichere Kommunikation über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC umfasst.
  • Beispiel 38 umfasst den Gegenstand irgendeines der Beispiele 32–37, und wobei das Mittel zum Herstellen des kryptografischen Schlüssels ein Mittel zum Herstellen eines ersten kryptografischen Schlüssels für Kommunikation zwischen einem ersten Paar von Entitäten, ausgewählt aus einer Menge von VNF und VNFC der Datenverarbeitungsvorrichtung, umfasst.
  • Beispiel 39 umfasst den Gegenstand irgendeines der Beispiele 32–38, und ferner ein Mittel zum Herstellen eines zweiten kryptografischen Schlüssels zur Kommunikation zwischen einem zweiten Paar von Entitäten, das von dem ersten Paar verschieden ist, ausgewählt aus der Menge von VNF und VNFC der Datenverarbeitungsvorrichtung.
  • Beispiel 40 umfasst den Gegenstand irgendeines der Beispiele 32–39, und wobei das Mittel zum Herstellen des ersten kryptografischen Schlüssels für die Kommunikation zwischen dem ersten Paar von Entitäten ein Mittel zum Herstellen des ersten kryptografischen Schlüssels für Kommunikation zwischen dem ersten Paar von Entitäten einem ersten Dienstfluss zugeordnet umfasst; und ferner ein Mittel zum Herstellen eines zweiten kryptografischen Schlüssels für Kommunikation zwischen dem ersten Paar von Entitäten ist, einem zweiten Dienstfluss, der von dem ersten Dienstfluss verschieden ist, zugeordnet umfasst.
  • Beispiel 41 umfasst den Gegenstand irgendeines der Beispiele 32–40, und wobei das Mittel zum sicheren Kommunizieren über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC ein Mittel zum sicheren Kommunizieren über ein Kommunikationsnetzwerk zwischen VNF umfasst.
  • Beispiel 42 umfasst den Gegenstand irgendeines der Beispiele 32–41, und wobei das Mittel zum sicheren Kommunizieren über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC ein Mittel zum sicheren Kommunizieren über ein Kommunikationsnetzwerk zwischen VNFC umfasst.
  • Beispiel 43 umfasst den Gegenstand irgendeines der Beispiele 32–42, und wobei das Mittel zum sicheren Kommunizieren über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC ein Mittel zum sicheren Kommunizieren über ein Kommunikationsnetzwerk von VNF und VNFC umfasst.
  • Beispiel 44 umfasst den Gegenstand irgendeines der Beispiele 32–43 und umfasst ferner Folgendes: ein Mittel zum Bestimmen, ob ein Netzwerkfunktions-Virtualisierungsschnittstellenmodul der Datenverarbeitungsvorrichtung über Zugang zu dem kryptografischen Schlüssel verfügt; und ein Mittel zum Verhindern von Kommunikation über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC auf der Basis der Sicherheitsrichtlinie als Reaktion auf eine Bestimmung, dass das Netzwerkfunktions-Virtualisierungsschnittstellenmodul nicht über Zugang zu dem kryptografischen Schlüssel verfügt.
  • Beispiel 45 umfasst den Gegenstand irgendeines der Beispiele 32–44, und wobei das Mittel zum Bestimmen, dass die Netzwerkfunktions-Virtualisierungsschnittstelle der Datenverarbeitungsvorrichtung nicht über Zugang zu dem kryptografischen Schlüssel verfügt, ein Mittel zum Bestimmen umfasst, dass das Netzwerkfunktions-Virtualisierungsschnittstellenmodul nicht sicher gebootet wurde.
  • Beispiel 46 umfasst den Gegenstand irgendeines der Beispiele 32–45, und wobei das Mittel zum Bestimmen des kryptografischen Schlüssels ein Mittel zum Abrufen des kryptografischen Schlüssels auf der Basis der Sicherheitsrichtlinie umfasst; wobei die Sicherheitsrichtlinie entsprechende kryptografische Schlüssel für sichere Kommunikation zwischen mehreren Paaren von Entitäten, ausgewählt aus einer Menge von VNF und VNFC der Datenverarbeitungsvorrichtung, definiert.

Claims (25)

  1. Datenverarbeitungsvorrichtung für sichere Kommunikation zwischen virtuellen Netzwerkfunktionen, wobei die Datenverarbeitungsvorrichtung Folgendes umfasst: ein Netzwerkfunktions-Virtualisierungsschnittstellenmodul zum (i) Bestimmen eines kryptografischen Schlüssels für sichere Kommunikation über ein Netzwerk zwischen virtuellen Netzwerkfunktionen (VNF) und/oder ein Netzwerk zwischen Komponenten von virtuellen Netzwerkfunktionen (VNFC) und/oder ein Netzwerk von VNF und VNFC auf der Basis einer Sicherheitsrichtlinie der Datenverarbeitungsvorrichtung und (ii) sicheren Kommunizieren über das Netzwerk zwischen VNF und/der zwischen VNFC und/oder von VNF und VNFC unter Verwendung des bestimmten kryptografischen Schlüssels.
  2. Datenverarbeitungsvorrichtung nach Anspruch 1, wobei das Netzwerkfunktions-Virtualisierungsschnittstellenmodul ferner den kryptografischen Schlüssel für die sichere Kommunikation herstellen soll.
  3. Datenverarbeitungsvorrichtung nach Anspruch 2, wobei das sichere Kommunizieren über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC umfasst, mit einem entsprechenden vertrauenswürdigen Ausführungsumgebungsmodul einer entfernten Datenverarbeitungsvorrichtung zu kommunizieren.
  4. Datenverarbeitungsvorrichtung nach Anspruch 2, wobei das Herstellen des kryptografischen Schlüssels umfasst, eine Vertrauenswurzel und/oder einen Fusionierungsschlüssel der Datenverarbeitungsvorrichtung zu benutzen.
  5. Datenverarbeitungsvorrichtung nach Anspruch 4, wobei das Herstellen des kryptografischen Schlüssels Folgendes umfasst: Erzeugen eines kryptografischen Basisschlüssels auf der Basis der Vertrauenswurzel und/oder des Fusionierungsschlüssels der Datenverarbeitungsvorrichtung; und Erzeugen eines temporären kryptografischen Schlüssels auf der Basis des erzeugten kryptografischen Basisschlüssels für sichere Kommunikation über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC.
  6. Datenverarbeitungsvorrichtung nach Anspruch 2, wobei das Herstellen des kryptografischen Schlüssels Herstellen eines ersten kryptografischen Schlüssels für Kommunikation zwischen einem ersten Paar von Entitäten, ausgewählt aus einer Menge von VNF und VNFC der Datenverarbeitungsvorrichtung, umfasst.
  7. Datenverarbeitungsvorrichtung nach Anspruch 6, wobei das Netzwerkfunktions-Virtualisierungsschnittstellenmodul ferner einen zweiten kryptografischen Schlüssel für Kommunikation zwischen einem zweiten Paar von Entitäten, das von dem ersten Paar verschieden ist, ausgewählt aus der Menge von VNF und VNFC der Datenverarbeitungsvorrichtung, herstellen soll.
  8. Datenverarbeitungsvorrichtung nach Anspruch 6, wobei das Herstellen des ersten kryptografischen Schlüssels für die Kommunikation zwischen dem ersten Paar von Entitäten umfasst, den ersten kryptografischen Schlüssel für Kommunikation zwischen dem ersten Paar von Entitäten einem ersten Dienstfluss zugeordnet herzustellen; und wobei das vertrauenswürdige Ausführungsumgebungsmodul ferner einen zweiten kryptografischen Schlüssel für Kommunikation zwischen dem ersten Paar von Entitäten einem zweiten Dienstfluss, der von dem ersten Dienstfluss verschieden ist, zugeordnet herstellen soll.
  9. Datenverarbeitungsvorrichtung nach einem der Ansprüche 1–8, wobei das sichere Kommunizieren über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC umfasst, sicher über ein Kommunikationsnetzwerk zwischen VNF zu kommunizieren.
  10. Datenverarbeitungsvorrichtung nach einem der Ansprüche 1–8, wobei das sichere Kommunizieren über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC umfasst, sicher über ein Kommunikationsnetzwerk zwischen VNFC zu kommunizieren.
  11. Datenverarbeitungsvorrichtung nach einem der Ansprüche 1–8, wobei das sichere Kommunizieren über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC umfasst, sicher über ein Kommunikationsnetzwerk von VNF und VNFC zu kommunizieren.
  12. Datenverarbeitungsvorrichtung nach Anspruch 1, wobei das Netzwerkfunktions-Virtualisierungsschnittstellenmodul ferner Folgendes durchführen soll: Bestimmen, ob das vertrauenswürdige Ausführungsumgebungsmodul über Zugang zu dem kryptografischen Schlüssel verfügt; und Verhindern von Kommunikation über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC auf der Basis der Sicherheitsrichtlinie als Reaktion auf Bestimmung, dass das vertrauenswürdige Ausführungsumgebungsmodul nicht über Zugang zu dem kryptografischen Schlüssel verfügt.
  13. Datenverarbeitungsvorrichtung nach Anspruch 12, wobei das Bestimmen, dass das vertrauenswürdige Ausführungsumgebungsmodul der Datenverarbeitungsvorrichtung nicht über Zugang zu dem kryptografischen Schlüssel verfügt, umfasst zu Bestimmen, dass das vertrauenswürdige Ausführungsumgebungsmodul nicht sicher gebootet wurde.
  14. Datenverarbeitungsvorrichtung nach einem der Ansprüche 1–8, wobei das Bestimmen des kryptografischen Schlüssels Abrufen des kryptografischen Schlüssels auf der Basis der Sicherheitsrichtlinie umfasst; wobei die Sicherheitsrichtlinie entsprechende kryptografische Schlüssel für sichere Kommunikation zwischen mehreren Paaren von Entitäten, ausgewählt aus einer Menge von VNF und VNFC der Datenverarbeitungsvorrichtung, definiert.
  15. Verfahren zur sicheren Kommunikation zwischen virtuellen Netzwerkfunktionen durch eine Datenverarbeitungsvorrichtung, wobei das Verfahren Folgendes umfasst: Bestimmen eines kryptografischen Schlüssels durch die Datenverarbeitungsvorrichtung zur sicheren Kommunikation über ein Netzwerk zwischen virtuellen Netzwerkfunktionen (VNF) und/oder ein Netzwerk zwischen Komponenten virtueller Netzwerkfunktionen (VNFC) oder einem Netzwerk von VNF und VNFC auf der Basis einer Sicherheitsrichtlinie der Datenverarbeitungsvorrichtung; und sicheres Kommunizieren durch die Datenverarbeitungsvorrichtung über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC unter Verwendung des bestimmten kryptografischen Schlüssels.
  16. Verfahren nach Anspruch 15, das ferner Herstellen des kryptografischen Schlüssels für die sichere Kommunikation durch ein Netzwerkfunktions-Virtualisierungsschnittstellenmodul der Datenverarbeitungsvorrichtung umfasst; und wobei sicheres Kommunizieren über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC kommunizieren durch die Netzwerkfunktions-Virtualisierungsschnittstelle der Datenverarbeitungsvorrichtung umfasst.
  17. Verfahren nach Anspruch 16, wobei sicheres Kommunizieren über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC Kommunizieren durch ein vertrauenswürdiges Ausführungsumgebungsmodul mit einem entsprechenden vertrauenswürdigen Ausführungsumgebungsmoduls einer entfernten Datenverarbeitungsvorrichtung umfasst.
  18. Verfahren nach Anspruch 16, wobei das Herstellen des kryptografischen Schlüssels umfasst, eine Vertrauenswurzel und/oder einen Fusionierungsschlüssel der Datenverarbeitungsvorrichtung zu benutzen.
  19. Verfahren nach Anspruch 18, wobei das Herstellen des kryptografischen Schlüssels Folgendes umfasst: Erzeugen eines kryptografischen Basisschlüssels auf der Basis der Vertrauenswurzel und/oder des Fusionierungsschlüssels der Datenverarbeitungsvorrichtung; und Erzeugen eines temporären kryptografischen Schlüssels auf der Basis des erzeugten kryptografischen Basisschlüssels für sichere Kommunikation über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC.
  20. Verfahren nach Anspruch 16, wobei das Herstellen des kryptografischen Schlüssels Herstellen eines ersten kryptografischen Schlüssels für Kommunikation zwischen einem ersten Paar von Entitäten, ausgewählt aus einer Menge von VNF und VNFC der Datenverarbeitungsvorrichtung, umfasst.
  21. Verfahren nach Anspruch 20, das ferner Herstellen eines zweiten kryptografischen Schlüssels durch die Datenverarbeitungsvorrichtung zur Kommunikation zwischen einem zweiten Paar von Entitäten, das von dem ersten Paar verschieden ist, ausgewählt aus der Menge von VNF und VNFC der Datenverarbeitungsvorrichtung, umfasst.
  22. Verfahren nach Anspruch 20, wobei das Herstellen des ersten kryptografischen Schlüssels für die Kommunikation zwischen dem ersten Paar von Entitäten umfasst, den ersten kryptografischen Schlüssel für Kommunikation zwischen dem ersten Paar von Entitäten einem ersten Dienstfluss zugeordnet herzustellen; und ferner umfassend: Herstellen eines zweiten kryptografischen Schlüssels durch die Datenverarbeitungsvorrichtung zur Kommunikation zwischen dem ersten Paar von Entitäten, einem zweiten Dienstfluss zugeordnet, der von dem ersten Dienstfluss verschieden ist.
  23. Verfahren nach Anspruch 15, ferner umfassend: Bestimmen durch die Datenverarbeitungsvorrichtung, ob ein Netzwerkfunktions-Virtualisierungsschnittstellenmodul der Datenverarbeitungsvorrichtung über Zugang zu dem kryptografischen Schlüssel verfügt; und Verhindern von Kommunikation über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC auf der Basis der Sicherheitsrichtlinie durch die Datenverarbeitungsvorrichtung als Reaktion auf Bestimmung, dass das Netzwerkfunktions-Virtualisierungsschnittstellenmodul nicht über Zugang zu dem kryptografischen Schlüssel verfügt.
  24. Verfahren nach Anspruch 23, wobei das Bestimmen, dass die Netzwerkfunktions-Virtualisierungsschnittstelle der Datenverarbeitungsvorrichtung nicht über Zugang zu dem kryptografischen Schlüssel verfügt, umfasst zu Bestimmen, dass das Netzwerkfunktions-Virtualisierungsschnittstellenmodul nicht sicher gebootet wurde.
  25. Ein oder mehrere maschinenlesbare Speichermedien, die mehrere darauf gespeicherte Anweisungen umfassen, die als Reaktion auf Ausführung durch eine Datenverarbeitungsvorrichtung bewirken, dass die Datenverarbeitungsvorrichtung das Verfahren nach einem der Ansprüche 15–24 ausführt.
DE102015115781.0A 2014-10-31 2015-09-18 Technologien zur sicheren Kommunikation zwischen virtuellen Netzwerkfunktionen Active DE102015115781B4 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US14/530,128 2014-10-31
US14/530,128 US9407612B2 (en) 2014-10-31 2014-10-31 Technologies for secure inter-virtual network function communication

Publications (2)

Publication Number Publication Date
DE102015115781A1 true DE102015115781A1 (de) 2016-05-04
DE102015115781B4 DE102015115781B4 (de) 2021-06-17

Family

ID=55753531

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102015115781.0A Active DE102015115781B4 (de) 2014-10-31 2015-09-18 Technologien zur sicheren Kommunikation zwischen virtuellen Netzwerkfunktionen

Country Status (3)

Country Link
US (2) US9407612B2 (de)
CN (1) CN105577637B (de)
DE (1) DE102015115781B4 (de)

Families Citing this family (48)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9578664B1 (en) 2013-02-07 2017-02-21 Sprint Communications Company L.P. Trusted signaling in 3GPP interfaces in a network function virtualization wireless communication system
CN104580208B (zh) 2015-01-04 2018-11-30 华为技术有限公司 一种身份认证方法及装置
US10630686B2 (en) 2015-03-12 2020-04-21 Fornetix Llc Systems and methods for organizing devices in a policy hierarchy
US10965459B2 (en) 2015-03-13 2021-03-30 Fornetix Llc Server-client key escrow for applied key management system and process
US9807117B2 (en) * 2015-03-17 2017-10-31 Solarflare Communications, Inc. System and apparatus for providing network security
US10496974B2 (en) * 2015-03-25 2019-12-03 Intel Corporation Secure transactions with connected peripherals
CN107431634B (zh) * 2015-03-30 2020-02-14 华为技术有限公司 一种建立vnfm之间的接口的方法、装置及系统
US9686240B1 (en) 2015-07-07 2017-06-20 Sprint Communications Company L.P. IPv6 to IPv4 data packet migration in a trusted security zone
US9749294B1 (en) * 2015-09-08 2017-08-29 Sprint Communications Company L.P. System and method of establishing trusted operability between networks in a network functions virtualization environment
US10542115B1 (en) 2015-10-01 2020-01-21 Sprint Communications Company L.P. Securing communications in a network function virtualization (NFV) core network
US20170102957A1 (en) * 2015-10-09 2017-04-13 Sprint Communications Company L.P. System and Method for Trusted Operability When Moving Between Network Functions Virtualization States
US9811686B1 (en) 2015-10-09 2017-11-07 Sprint Communications Company L.P. Support systems interactions with virtual network functions in a trusted security zone
US9781016B1 (en) 2015-11-02 2017-10-03 Sprint Communications Company L.P. Dynamic addition of network function services
US11063980B2 (en) * 2016-02-26 2021-07-13 Fornetix Llc System and method for associating encryption key management policy with device activity
EP3440823B1 (de) 2016-04-05 2020-09-02 Zamna Technologies Limited Verfahren und system zur verwaltung persönlicher informationen in unabhängigen computersystemen und digitalen netzwerken
US10509459B2 (en) 2016-05-19 2019-12-17 Scenera, Inc. Scene-based sensor networks
US10069844B2 (en) * 2016-07-21 2018-09-04 Sprint Communications Company L.P. Virtual network function (VNF) hardware trust in a network function virtualization (NFV) software defined network (SDN)
US20180034703A1 (en) * 2016-07-26 2018-02-01 Cisco Technology, Inc. System and method for providing transmission of compliance requirements for cloud-based applications
CN107666666B (zh) 2016-07-27 2022-11-08 中兴通讯股份有限公司 密钥的衍生方法及装置
CN107666418B (zh) * 2016-07-27 2020-12-01 中兴通讯股份有限公司 一种账号生成方法、装置及系统
WO2018031057A1 (en) * 2016-08-12 2018-02-15 Intel IP Corporation Device and method for managing virtualized ran
US10693843B2 (en) * 2016-09-02 2020-06-23 Scenera, Inc. Security for scene-based sensor networks
WO2018040095A1 (zh) * 2016-09-05 2018-03-08 华为技术有限公司 一种生成安全凭证的方法和设备
WO2018047399A1 (en) * 2016-09-08 2018-03-15 Nec Corporation Network function virtualization system and verifying method
US10250498B1 (en) 2016-10-03 2019-04-02 Sprint Communications Company L.P. Session aggregator brokering of data stream communication
EP3306896A1 (de) * 2016-10-07 2018-04-11 Nokia Technologies OY Zugriff auf von einem verteilten datenspeichersystem bereitgestellte dienste
WO2018068202A1 (en) * 2016-10-11 2018-04-19 Nokia Technologies Oy Virtualized network function security wrapping orchestration in the cloud environment
US11171905B1 (en) 2016-10-17 2021-11-09 Open Invention Network Llc Request and delivery of additional data
EP3550781B1 (de) * 2016-12-30 2021-02-17 Huawei Technologies Co., Ltd. Privates informationsverteilungsverfahren und vorrichtung
JP6806263B2 (ja) * 2017-02-07 2021-01-06 日本電気株式会社 Vnfパッケージ署名システム及びvnfパッケージ署名方法
US10348488B1 (en) 2017-08-25 2019-07-09 Sprint Communications Company L.P. Tiered distributed ledger technology (DLT) in a network function virtualization (NFV) core network
EP3451607B1 (de) * 2017-08-31 2019-07-17 Deutsche Telekom AG Methoden und geräte für sichere kommunikation zwischen netzwerk-funktionen in einem kommunikations-netzwerk
EP3701385A4 (de) * 2017-10-23 2021-06-23 Nokia Solutions and Networks Oy Verfahren und system zur automatischen auswahl von virtuellen netzwerkfunktionen (vnf) in einem kommunikationsnetzwerk
KR102423755B1 (ko) 2017-12-14 2022-07-21 삼성전자주식회사 패킷 전송을 제어하는 서버 및 방법
US11018871B2 (en) 2018-03-30 2021-05-25 Intel Corporation Key protection for computing platform
US11194609B1 (en) * 2018-05-23 2021-12-07 Open Invention Network Llc Onboarding VNFs which include VNFCs that are composed of independently manageable software modules
US10581983B2 (en) * 2018-07-09 2020-03-03 Nec Corporation Method and system for management of mobile network slices over a federated infrastructure
US11398968B2 (en) * 2018-07-17 2022-07-26 Keysight Technologies, Inc. Methods, systems, and computer readable media for testing virtualized network functions and related infrastructure
CN112753204B (zh) * 2018-07-24 2023-07-25 上海诺基亚贝尔股份有限公司 递送数据平面分组的方法、设备和计算机可读介质
KR102556091B1 (ko) * 2018-10-04 2023-07-14 삼성전자주식회사 보안 정보의 주입을 위한 장치 및 방법
US11977493B2 (en) 2019-07-17 2024-05-07 Red Hat, Inc. Safe virtual machine physical device access for network function virtualization
GB2594534B (en) * 2020-04-30 2022-09-21 Metaswitch Networks Ltd Processing user traffic in a virtualised network
US11483227B2 (en) 2020-10-13 2022-10-25 Keysight Technologies, Inc. Methods, systems and computer readable media for active queue management
US11847205B1 (en) 2020-10-26 2023-12-19 T-Mobile Innovations Llc Trusted 5G network function virtualization of virtual network function elements embedded on a system-on-chip
WO2022266490A1 (en) * 2021-06-17 2022-12-22 Commscope Technologies Llc Systems and methods for virtual network function platform security solutions
CN114268507B (zh) * 2021-12-30 2023-12-05 天翼物联科技有限公司 一种基于sgx的网络云安全优化方法、系统及相关介质
CN114629853B (zh) * 2022-02-28 2024-06-14 天翼安全科技有限公司 安全资源池中基于安全服务链解析的流量分类控制方法
US11853254B1 (en) 2022-10-07 2023-12-26 Keysight Technologies, Inc. Methods, systems, and computer readable media for exposing data processing unit (DPU) traffic in a smartswitch

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7853782B1 (en) * 2004-04-14 2010-12-14 Sprint Spectrum L.P. Secure intermediation system and method
GB0623101D0 (en) * 2006-11-20 2006-12-27 British Telecomm Secure network architecture
JP5205075B2 (ja) * 2008-02-13 2013-06-05 パナソニック株式会社 暗号処理方法、暗号処理装置、復号処理方法および復号処理装置
JP2010062738A (ja) * 2008-09-02 2010-03-18 Fujitsu Ltd ネットワーク設定プログラム,ネットワーク設定方法及びネットワーク設定装置
US8719901B2 (en) * 2008-10-24 2014-05-06 Synopsys, Inc. Secure consultation system
EP2577539B1 (de) * 2010-06-02 2018-12-19 VMware, Inc. Sicherung von virtuellen maschinen von kunden in mandantenfähigen clouds
CN102316108B (zh) * 2011-09-09 2014-06-04 周伯生 建立网络隔离通道的设备及其方法
US9037511B2 (en) * 2011-09-29 2015-05-19 Amazon Technologies, Inc. Implementation of secure communications in a support system
US9008102B2 (en) * 2012-01-18 2015-04-14 F5 Networks, Inc. Redundancy of network services in restricted networks
US20140019745A1 (en) * 2012-07-12 2014-01-16 David S. Dodgson Cryptographic isolation of virtual machines
CN103490891B (zh) * 2013-08-23 2016-09-07 中国科学技术大学 一种电网ssl vpn中密钥更新和使用的方法
US9838265B2 (en) * 2013-12-19 2017-12-05 Amdocs Software Systems Limited System, method, and computer program for inter-module communication in a network based on network function virtualization (NFV)

Also Published As

Publication number Publication date
US20160127333A1 (en) 2016-05-05
CN105577637B (zh) 2019-03-26
DE102015115781B4 (de) 2021-06-17
US9407612B2 (en) 2016-08-02
USRE48411E1 (en) 2021-01-26
CN105577637A (zh) 2016-05-11

Similar Documents

Publication Publication Date Title
DE102015115781B4 (de) Technologien zur sicheren Kommunikation zwischen virtuellen Netzwerkfunktionen
DE102017212994B3 (de) INSTALLATION UND TESTEN EINES ELEKTRONISCHEN TEILNEHMERIDENTITÄTSMODULS (eSIM)
EP3494682B1 (de) Architektur für sicherheit auf verlangen
EP3485610B1 (de) Ausweitung eines netzwerksteuerungssystems zu einer öffentlichen cloud
US10333959B2 (en) Use of public cloud inventory tags to configure data compute node for logical network
US10397136B2 (en) Managed forwarding element executing in separate namespace of public cloud data compute node than workload application
US11711754B2 (en) Dynamic functional partitioning for security pass-through virtual network function (VNF)
DE112017008311T5 (de) Technologien zur internet-der-dinge-schlüsselverwaltung
US20190007838A1 (en) Security features in next generation networks
DE112020002323T5 (de) Container-first-architektur
DE112017002044T5 (de) Plattformattestierung und registrierung für server
DE102017126706A1 (de) System von Enklaven
WO2018182604A1 (en) Wifi protected access 2 (wpa2) pass-through virtualization
WO2014142299A1 (ja) 通信端末と通信制御装置と通信システムと通信制御方法並びにプログラム
CN108809907B (zh) 一种证书请求消息发送方法、接收方法和装置
US10485043B2 (en) Multi-connection access point
DE102017215230A1 (de) Sichere kontrolle von profilrichtlinienregeln
DE102016103491A1 (de) Technologien zur geographischen gebietsattestierung von rechenvorrichtungen in einem netzweg
Lal et al. Securing VNF communication in NFVI
US20220045984A1 (en) Implementing a multi-regional cloud based network using network address translation
DE102021127364A1 (de) Anschluss von geräten des internet of things ( i0t) an ein drahtloses netz
DE102022100111A1 (de) Netzwerkschnittstelle mit Datenschutz
DE112021000866T5 (de) Benutzergerät, authentifizierung-autorisierung-abrechnung-server eines nicht-öffentlichen netzes, authentifizierungsserverfunktionsentität
Wang et al. A data plane security model of segmented routing based on SDP trust enhancement architecture
CN107547478B (zh) 报文传输方法、装置及系统

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R130 Divisional application to

Ref document number: 102015017390

Country of ref document: DE

R020 Patent grant now final