-
STAND DER TECHNIK
-
Verschiedene technische Spezifikationen definieren, wie Netzwerkfunktionen und -dienste von Netzwerkbetreibern und Dienstanbietern weltweit eingesetzt und verwaltet werden. Zum Beispiel definieren Spezifikationen den Gebrauch virtualisierter Plattformen zum Abliefern von Diensten, und oft können Komponenten in einem Dienst miteinander "verkettet" werden. Zu solchen technischen Spezifikationen gehört zum Beispiel der Standard für Netzwerkfunktionsvirtualisierung des Europäischen Instituts für Telekommunikationsnormen (ETSI NFV). Unter gewissen Umständen können Betreiber die Möglichkeit erfordern, verschiedene Netzwerkfunktionen auf unmodifizierte Weise laufen zu lassen. In einer virtualisierten Umgebung kann dies mit sich bringen, Netzwerkfunktionsvertreibern zu erlauben, existierende Arbeitslasten auf einer virtualisierten Plattform laufen zu lassen, was oft zu Sicherheitsanforderungen führt, dass alle Kommunikation zwischen Plattformen nicht vertrauenswürdig sind (z.B. in Implementierungen verteilter Einsätze). Das Ausführen sensibler Kommunikation zwischen virtuellen Netzwerkfunktionen (VNF) und zwischen VNF-Komponenten (VNFC) über ungeschützte Netzwerke kann jedoch zu unbefugter Datenspionage, Datenabänderung, Datenduplikation, Netzwerkroutung, Verstößen gegen die Privatsphäre und/oder anderen Sicherheitsbesorgnissen führen.
-
KURZE BESCHREIBUNG DER ZEICHNUNGEN
-
Die hier beschriebenen Konzepte werden in den beigefügten Figuren beispielhaft dargestellt und nicht als Beschränkung. Der Einfachheit und Klarheit der Darstellung halber sind in den Figuren dargestellte Elemente nicht unbedingt maßstabsgetreu. Wenn es als sinnvoll angesehen wird, wurden Bezugskennzeichnungen in den Figuren wiederholt, um entsprechende oder analoge Elemente anzugeben.
-
1 ist eine vereinfachte Blockdarstellung mindestens einer Ausführungsform eines Systems zur sicheren Kommunikation zwischen virtuellen Netzwerkfunktionen;
-
2 ist eine vereinfachte Blockdarstellung mindestens einer Ausführungsform eines Backbone-Netzwerksystems des Systems von 1;
-
3 ist eine vereinfachte Blockdarstellung mindestens einer Ausführungsform eines Servers des Backbone-Netzwerksystems von 2;
-
4 ist eine vereinfachte Blockdarstellung mindestens einer Ausführungsform einer Umgebung des Servers von 3;
-
5 ist ein vereinfachtes Flussdiagramm mindestens einer Ausführungsform eines Verfahrens zum Festlegen von kryptografischen Schlüsseln für sichere Kommunikation zwischen virtuellen Netzwerkfunktionen, das durch den Server von 3 ausgeführt werden kann; und
-
6 ist ein vereinfachtes Flussdiagramm mindestens einer Ausführungsform eines Verfahrens zur sicheren Kommunikation zwischen virtuellen Netzwerkfunktionen, das durch den Server von 3 ausgeführt werden kann.
-
AUSFÜHRLICHE BESCHREIBUNG DER ZEICHNUNGEN
-
Obwohl die Konzepte der vorliegenden Offenbarung verschiedenen Modifikationen und alternativen Formen zugänglich sind, wurden in den Zeichnungen beispielhaft spezifische Ausführungsformen davon gezeigt und werden hier ausführlich beschrieben. Es versteht sich jedoch, dass keine Absicht besteht, die Konzepte der vorliegenden Offenbarung auf die konkreten offenbarten Formen zu beschränken, sondern im Gegenteil ist die Absicht, alle Modifikationen, Äquivalente und Alternativen abzudecken, die mit der vorliegenden Offenbarung und den angefügten Ansprüchen vereinbar sind.
-
Erwähnungen von "einer Ausführungsform", "eine Ausführungsform", "eine beispielhafte Ausführungsform" usw. geben an, dass die beschriebene Ausführungsform ein konkretes Merkmal, eine konkrete Struktur oder ein konkretes Charakteristikum umfassen kann, aber nicht jede Ausführungsform notwendigerweise dieses konkrete Merkmal, diese konkrete Struktur oder dieses konkrete Charakteristikum umfasst. Außerdem beziehen sich solche Ausdrücke nicht unbedingt auf dieselbe Ausführungsform. Wenn ein konkretes Merkmal, eine konkrete Struktur oder ein konkretes Charakteristikum in Verbindung mit einer Ausführungsform beschrieben wird, ist ferner vorbehalten, dass es in der Kenntnis von Fachleuten liegt, ein solches Merkmal, eine solche Struktur oder ein solches Charakteristikum in Verbindung mit anderen Ausführungsformen zu bewirken, gleichgültig, ob es explizit beschrieben wird oder nicht. Außerdem versteht sich, dass in einer Liste der Form "mindestens ein A, B und C" enthaltene Posten (A); (B); (C): (A und B); (B und C); (A und C); oder (A, B, und C) bedeuten kann. Ähnlich können in der Form "mindestens eines von A, B oder C" aufgelistete Posten (A); (B); (C): (A und B); (B und C); (A und C); oder (A, B, und C) bedeuten. Die offenbarten Ausführungsformen können in einigen Fällen in Hardware, Firmware, Software oder einer beliebigen Kombination davon implementiert werden. Die offenbarten Ausführungsformen können auch als Anweisungen implementiert werden, die durch ein oder mehrere transitorische oder nicht transitorische maschinenlesbare (z.B. computerlesbare) Speichermedien getragen oder gespeichert werden, die durch einen oder mehrere Prozessoren gelesen und ausgeführt werden können. Ein maschinenlesbares Speichermedium kann als eine beliebige Speichervorrichtung, ein beliebiger Mechanismus oder eine beliebige andere physische Struktur zum Speichern oder Übertragen von Informationen in einer durch eine Maschine lesbaren Form (z.B. einem flüchtigen oder nicht flüchtigen Speicher, einem Medien-Datenträger oder einer anderen Medienvorrichtung) realisiert werden.
-
In den Zeichnungen können einige strukturelle oder Verfahrensmerkmale in spezifischen Anordnungen und/oder Reihenfolgen gezeigt werden. Es versteht sich jedoch, dass solche spezifischen Anordnungen und/oder Reihenfolgen nicht erforderlich sein müssen. Stattdessen können bei einigen Ausführungsformen solche Merkmale auf andere Weise und/oder in einer anderen Reihenfolge als in den veranschaulichenden Figuren angeordnet sein. Außerdem soll aus dem Einschluss eines strukturellen oder Verfahrensmerkmals in einer bestimmten Figur nicht folgen, dass ein solches Merkmal in allen Ausführungsformen erforderlich ist, und bei einigen Ausführungsformen nicht eingeschlossen werden muss oder mit anderen Merkmalen kombiniert sein kann.
-
Nunmehr mit Bezug auf 1 umfasst ein System 100 für sichere Kommunikation zwischen virtuellen Netzwerkfunktionen beispielhaft ein Backbone-Netzwerksystem 102, ein Backhaul-Netzwerksystem 104, ein oder mehrere Tower-Systeme 106 und eine oder mehrere Teilnehmervorrichtungen 108. Bei der beispielhaften Ausführungsform kommunizieren die Teilnehmervorrichtungen 108 mittels der Tower-Systeme 106 mit dem Backhaul-Netzwerksystem 104, und das Backhaul-Netzwerksystem 104 stellt sicher, dass die entsprechenden Datenpakete zur Verarbeitung und/oder zum weiteren Routing zu dem Backbone-Netzwerksystem 102 geroutet werden. Es versteht sich, dass das Backbone-Netzwerksystem 102 das Backhaul-Netzwerksystem 104, die Tower-Systeme 106 und die Teilnehmervorrichtungen 108 jeweils als eine beliebige geeignete Vorrichtung oder Ansammlung von Vorrichtungen zum Ausführen der hier beschriebenen Funktionen realisiert werden können. Bei der beispielhaften Ausführungsform ermöglichen das Backbone-Netzwerksystem 102, das Backhaul-Netzwerksystem 104 und die Tower-Systeme 106 jeweils Telekommunikation zwischen den Teilnehmervorrichtungen 108 und/oder anderen Vorrichtungen (z.B. über das Internet). Ferner können abhängig von der konkreten Implementierung das Backbone-Netzwerksystem 102, das Backhaul-Netzwerksystem 104 und die Tower-Systeme 106 eine beliebige Anzahl von Vorrichtungen, Netzwerken, Routern, Switches, Computern und/oder anderen dazwischentretenden Vorrichtungen umfassen, um ihre entsprechenden Funktionen zu ermöglichen.
-
Bei einigen Ausführungsformen kann das Backbone-Netzwerksystem 102 als ein auf Netzwerkfunktionsvirtualisierung (NFV) basierendes LTE-Backbone-Netzwerk (Long-Term Evolution) mit einer vEPC-Architektur (Virtual Evolved Packet Core) realisiert werden. Es versteht sich, dass das Backbone-Netzwerksystem 102 als ein zentralisiertes Netzwerk dienen kann und bei einigen Ausführungsformen kommunikativ mit einem anderen Netzwerk (z.B. dem Internet) gekoppelt sein kann. Bei der beispielhaften Ausführungsform umfasst das Backhaul-Netzwerksystem 104 eine oder mehrere Vorrichtungen, die das Backbone-Netzwerksystem 102 kommunikativ (z.B. über Zwischenstrecken) mit den Tower-Systemen 106, Subnetzwerken und/oder Edge-Netzwerken koppeln. Bei einigen Ausführungsformen kann das Backhaul-Netzwerksystem 104 als ein LTE-Backhaul-Netzwerksystem realisiert sein und kann vielfältige Netzwerke umfassen, darunter zum Beispiel T1-, IP-, optische, ATM-, geleaste und/oder andere Netzwerke.
-
Die Tower-Systeme 106 umfassen Hardware, die dafür ausgelegt ist, Kommunikationsvorrichtungen, z.B. mobilen Datenverarbeitungsvorrichtungen (z.B. Mobiltelefonen) und/oder anderen Teilnehmervorrichtungen 108 zu gestatten, miteinander und/oder mit anderen entfernten Vorrichtungen zu kommunizieren. Hierbei ermöglichen die Tower-Systeme 106 den Teilnehmervorrichtungen 108, mit dem Backhaul-Netzwerksystem 104 zu kommunizieren. Bei einigen Ausführungsformen können ein oder mehrere der Tower-Systeme 106 einen evolvierten Knoten (eNodeB) umfassen oder anderweitig als ein solcher realisiert sein, der dafür ausgelegt ist, direkt oder indirekt mit einer oder mehreren der Teilnehmervorrichtungen 108 (z.B. Handapparaten mobiler Datenverarbeitungsvorrichtungen) zu kommunizieren. Ferner können die Tower-Systeme 106 abhängig von der konkreten Ausführungsform zum Beispiel eine Basissendeempfängerstation (BTS) oder eine andere Station oder ein anderes System umfassen oder als ein solches dienen. Die Teilnehmervorrichtungen 108 können als eine beliebige Art von Datenverarbeitungsvorrichtung mit der Fähigkeit zum Ausführen der hier beschriebenen Funktionen realisiert sein. Bei Ausführungsformen, bei denen ein LTE-Backhaul- und -Backbone-System verwendet werden, können die Teilnehmervorrichtungen 108 zum Beispiel als mobile Datenverarbeitungsvorrichtungen (z.B. Smartphones) realisiert sein und können dafür ausgelegt sein, ein Mobilfunknetz zu benutzen.
-
Wie nachfolgend ausführlich beschrieben wird, können das System 100 oder insbesondere das System 102 verschiedene virtuelle Netzwerkfunktionen benutzen, während sichergestellt wird, dass die Kommunikation zwischen VNF und zwischen VNFC (z.B. Kommunikation von VNF-VNF, Kommunikation von VNFC-VNFC und/oder Kommunikation von VNF-VNFC) geschützt ist. Ferner gestattet das System 100 bei einigen Ausführungsformen solche Kommunikation, ohne zu erfordern, dass Vertreiber ihre VNF modifizieren, und vermeiden deshalb potentiell unhandliche Einsatzszenarien.
-
Nunmehr mit Bezug auf 2 umfasst bei der beispielhaften Ausführungsform das Backbone-Netzwerksystem 102 eine oder mehrere VNF 202, einen oder mehrere Server 204 und ein Verwaltungssystem 206. Zusätzlich umfasst das Verwaltungssystem 206 bei der beispielhaften Ausführungsform einen Orchestrierer 208, einen oder mehrere VNF-Manager 210 und einen oder mehrere Manager virtueller Infrastruktur (VIM) 212. Obwohl der Orchestrierer 208, die VNF-Manager 210 und die VIM 212 bei der beispielhaften Ausführungsform als unabhängige Vorrichtungen oder Komponenten gezeigt sind, versteht sich, dass der Orchestrierer 208, die VNF-Manager 210 und/oder die VIM 212 bei anderen Ausführungsformen auf derselben oder auf verschiedenen Vorrichtungen (z.B. einem oder mehreren Servern) realisiert werden können. Ferner kann das System 102 bei einigen Ausführungsformen als ein System realisiert sein, das von dem Backbone-Netzwerksystem 102 von 1 verschieden ist. Ferner versteht sich, dass bei einigen Ausführungsformen jeder der Server 204 ähnliche Hardware-, Software- und/oder Firmwarekomponenten umfassen kann.
-
Nunmehr mit Bezug auf 3 ist eine beispielhafte Ausführungsform der Server 204 des Systems 102 gezeigt. Wie gezeigt umfasst der beispielhafte Server 204 einen Prozessor 310, ein Subsystem 312 für Eingabe/Ausgabe ("I/O"), einen Speicher 314, eine Datenspeicherung 316, einen Kommunikationsschaltkreis 318 und eine oder mehrere Peripherievorrichtungen 320. Zusätzlich kann der Server 204 bei einigen Ausführungsformen einen Sicherheitskoprozessor 322 umfassen. Natürlich kann der Server 204 bei anderen Ausführungsformen andere oder zusätzliche Komponenten umfassen, wie etwa die üblicherweise in einer typischen Datenverarbeitungsvorrichtung anzutreffenden (z.B. verschiedene Eingabe-/Ausgabevorrichtungen und/oder andere Komponenten). Zusätzlich können bei einigen Ausführungsformen ein oder mehrere der beispielhaften Komponenten in anderen Komponente enthalten sein oder anderweitig einen Teil davon bilden. Zum Beispiel können der Speicher 314 oder Teile davon bei einigen Ausführungsformen in dem Prozessor 310 enthalten sein.
-
Der Prozessor 310 kann als eine beliebige Art von Prozessor mit der Fähigkeit zur Ausführung der hier beschriebenen Funktionen realisiert werden. Zum Beispiel kann der Prozessor 310 als ein Einzel- oder Mehrkernprozessor(en), ein digitaler Signalprozessor, ein Mikrocontroller oder eine andere Prozessor- oder Verarbeitungs-/Steuerungsschaltung realisiert werden. Wie gezeigt kann der Prozessor 310 einen oder mehrere Cachespeicher 324 umfassen. Es versteht sich, dass der Speicher 314 als eine beliebige Art von flüchtiger oder nichtflüchtiger Speicher oder Datenspeicherung mit der Fähigkeit zum Ausführen der hier beschriebenen Funktionen realisiert sein kann. Im Betrieb kann der Speicher 314 verschiedene Daten und Software speichern, die während des Betriebs des Servers 204 verwendet werden, wie etwa Betriebssysteme, Anwendungen, Programme, Bibliotheken und Treiber. Der Speicher 314 ist über das I/O-Subsystem 312, das als Schaltkreise und/oder Komponenten zur Ermöglichung von Eingabe-/Ausgabeoperationen mit dem Prozessor 310, dem Speicher 314 und anderen Komponenten des Servers 204 realisiert sein kann, kommunikativ mit dem Prozessor 310 gekoppelt. Zum Beispiel kann das I/O-Subsystem 312 als Speichercontroller-Hubs, Eingabe-/Ausgabe-Steuerungs-Hubs, Firmwarevorrichtungen, Kommunikationsstrecken (z.B. Strecken von Punkt zu Punkt, Busstrecken, Leitungen, Kabel, Lichtleiter, Leiterplattenbahnen usw.) und/oder andere Komponenten und Subsysteme zur Ermöglichung der Eingabe-/Ausgabeoperationen realisiert sein oder diese anderweitig enthalten. Bei einigen Ausführungsformen kann das I/O-Subsystem 312 einen Teil eines Systems auf einem Chip (SoC) bilden und zusammen mit dem Prozessor 310, dem Speicher 314 und anderen Komponenten des Servers 204 auf einem einzigen integrierten Schaltungschip enthalten sein.
-
Die Datenspeicherung 316 kann als eine beliebige Art von Vorrichtung oder Vorrichtungen realisiert sein, die für kurzfristige oder langfristige Speicherung von Daten ausgelegt sind, wie zum Beispiel Speichervorrichtungen und -schaltungen, Speicherkarten, Festplattenlaufwerke, Halbleiterlaufwerke oder andere Datenspeichervorrichtungen. Die Datenspeicherung 316 und/oder der Speicher 314 können während des Betriebs des Servers 204 verschiedene Daten speichern, die zum Ausführen der hier beschriebenen Funktionen nützlich sind.
-
Der Kommunikationsschaltkreis 318 kann als eine beliebige Kommunikationsschaltung, Vorrichtung oder Ansammlung davon mit der Fähigkeit zur Ermöglichung von Kommunikation zwischen dem Server 204 und anderen entfernten Vorrichtungen über ein Netzwerk realisiert sein. Der Kommunikationsschaltkreis 318 kann dafür ausgelegt sein, eine beliebige einzelne oder mehrere Kommunikationstechnologien (z.B. drahtlose oder verdrahtete Kommunikation) und zugeordnete Protokolle (z.B. Ethernet, Bluetooth®, Wi-Fi®, WiMAX usw.) zu benutzen, um solche Kommunikation zu bewirken. Bei einigen Ausführungsformen umfasst der Kommunikationsschaltkreis 318 Mobilfunkkommunikationsschaltkreise und/oder andere drahtlose Kommunikationsschaltkreise mit großer Reichweite. Ferner umfasst bei einigen Ausführungsformen der Kommunikationsschaltkreis 318 einen physischen Netzwerkswitch, wie etwa eine Netzwerkschnittstellenkarte (NIC), der dafür ausgelegt ist, mit entfernten Vorrichtungen (z.B. anderen Servern 204) zu kommunizieren.
-
Die Peripherievorrichtungen 320 können eine beliebige Anzahl zusätzlicher Peripherie- oder Schnittstellenvorrichtungen umfassen, wie etwa Lautsprecher, Mikrofone, zusätzliche Speichervorrichtungen und so weiter. Die in den Peripherievorrichtungen 320 enthaltenen konkreten Vorrichtungen können zum Beispiel von der Art und/oder beabsichtigten Verwendung des Servers 204 abhängen.
-
Der Sicherheitskoprozessor 322 kann, wenn er vorgesehen ist, als eine beliebige Hardwarekomponente oder beliebige Hardwarekomponenten oder Schaltkreise mit der Fähigkeit zum Ausführen von Sicherheitsfunktionen, kryptografischen Funktionen und/oder Herstellen einer vertrauten Ausführungsumgebung realisiert sein. Zum Beispiel kann bei einigen Ausführungsformen der Sicherheitskoprozessor 322 als ein vertrauenswürdiges Plattformmodul (TPM) oder ein Außerbandprozessor realisiert sein. Außerdem kann der Sicherheitskoprozessor 322 bei einigen Ausführungsformen eine Außerband-Kommunikationsverbindung mit entfernten Vorrichtungen (z.B. entsprechenden Sicherheitskoprozessoren 322 anderer Server 204) herstellen.
-
Wieder mit Bezug auf 2 umfasst das System 102 wie gezeigt eine oder mehrere virtuelle Netzwerkfunktionen (VNF) 202, die jeweils eine oder mehrere virtuelle Netzwerkfunktionskomponenten (VNFC) 214 umfassen können. Es versteht sich, dass die VNF 202 als beliebige geeignete virtuelle Netzwerkfunktionen realisiert werden können; ähnlich können die VNFC 214 als beliebige geeignete VNF-Komponenten realisiert sein. Zum Beispiel können bei einigen Ausführungsformen die VNF 202 ein Sicherheitsgateway (SGW), ein Paketdatennetzwerkgateway (PNG), eine Vergebührungsfunktion und/oder andere virtuelle Netzwerkfunktionen umfassen. Bei einigen Ausführungsformen kann eine bestimmte VNF 202 mehrere Subinstanzen aufweisen, die auf demselben Server 204 oder anderen Servern 204 ausgeführt werden könnten. Anders ausgedrückt können, wenn sie virtualisiert werden, Netzwerkfunktionen, die traditionell von physischer Hardware abgewickelt werden, die mit einem bestimmten Server 204 kolokalisiert ist, als VNF 202 über einen oder mehrere Server 204 verteilt werden. Bei der beispielhaften Ausführungsform sind die VNFC 214 Prozesse und/oder Instanzen, die zusammenarbeiten, um die Funktionalität einer oder mehrerer VNF 202 abzuliefern. Zum Beispiel sind bei einigen Ausführungsformen die VNFC 214 Submodule der VNF 202. Ähnlich wie bei den VNF 202 versteht sich, dass die VNFC 214 über einen oder mehrere Server 204 verteilt sein können. Ferner versteht sich, dass eine bestimmte VNFC 214 über mehrere Server 204 verteilt sein kann und immer noch einen Teil einer auf einem einzigen Server 204 hergestellten VNF 202 bildet. Insbesondere können bei einigen Ausführungsformen die VNF 202 und/oder VNFC 214 auf demselben Server 204 ausgeführt werden. Bei anderen Ausführungsformen können die VNF 202 und/oder die VNFC 214 in derselben Datenzentrale ausgeführt werden, aber auf verschiedenen Servern 204. Bei weiteren Ausführungsformen können die VNF 202 und/oder die VNFC 214 über verschiedene Datenzentralen hinweg ausgeführt werden.
-
Wie hier beschrieben können bei der beispielhaften Ausführungsform die VNF 202 eines oder mehrerer Server 204 miteinander kommunizieren, zum Beispiel über ein Kommunikationsnetzwerk 234 zwischen VNF über einen oder mehrere Kommunikationsmechanismen zwischen VNF (von VNF und VNF). Ähnlich können die VNFC 214 eines oder mehrerer Server 204 miteinander kommunizieren, zum Beispiel über ein Kommunikationsnetzwerk 236 zwischen VNFC (von VNFC und VNFC) über einen oder mehrere Kommunikationsmechanismen zwischen VNFC. Außerdem kann bei einigen Ausführungsformen eine VNF 202 eines oder mehrerer Server 204 über einen oder mehrere Kommunikationsmechanismen von VNF und VNFC über ein (nicht gezeigtes) Kommunikationsnetzwerk von VNF und VNFC mit einer VNFC 214 eines oder mehrerer Server 204 kommunizieren. Es versteht sich, dass die Kommunikationsmechanismen von VNF und VNF, VNFC und VNFC und VNF und VNFC als beliebige geeignete Mechanismen realisiert werden können, die dafür ausgelegt sind, solche Kommunikation zu ermöglichen. Zum Beispiel können bei einigen Ausführungsformen die VNF 202 und/oder VNFC 214 unter Verwendung eines offenen Switch mit einem Hypervisor und Paketanalyse, formatierten Paketen auf der Basis eines Standardformats, geteilten Speicher (z.B. durch den Hypervisor reservierten physischen/virtuellen Speicher) über einen physischen Netzwerkswitch und/oder andere geeignete Mechanismen miteinander kommunizieren.
-
Bei der beispielhaften Ausführungsform von 2 umfasst jeder der Server 204 eine Netzwerkfunktions-Virtualisierungsinfrastruktur (NFVI) 216, die einen Hypervisor 218, eine vertrauenswürdige Ausführungsumgebung (TEE) 220, physische Ressourcen 222 und virtuelle Ressourcen 224 umfasst. Außerdem umfasst der Hypervisor 218 eine oder mehrere API 226, einen virtuellen Switch (vSwitch) 228, einen oder mehrere Verschlüsselungstunnel 230 und einen geteilten Speicher 232. Natürlich können die Server 204 bei einigen Ausführungsformen zusätzliche Komponenten umfassen, die der Klarheit der Beschreibung halber weggelassen werden. Wie nachfolgend beschrieben, stellt bei der beispielhaften Ausführungsform die entsprechende Netzwerkfunktions-Virtualisierungsinfrastruktur (NFVI) 216 der Server 204 sicher, dass die Kommunikation von VNF und VNF, VNFC und VNFC und VNF und VNFC sicher ist.
-
Der Hypervisor 218 bzw. die Überwachungsvorrichtung virtueller Maschinen lässt eine oder mehrere virtuelle Maschinen (VM) auf dem entsprechenden Server 204 laufen. Dementsprechend kann der Hypervisor 218 verschiedene virtualisierte Hardwareressourcen (z.B. virtuellen Speicher, virtuelle Betriebssysteme, virtuelle Vernetzungskomponenten usw.) herstellen und/oder benutzen. Die in dem Hypervisor 218 und/oder dem Server 204 enthaltenen konkreten API 226 können abhängig von dem konkreten Server 204 im Allgemeinen unterschiedlich sein. Bei einigen Ausführungsformen umfassen die API 226 eine oder mehrere proprietäre API. Bei einigen Ausführungsformen können die API 226 Zugriff auf Pakete (die z.B. einer bestimmten VNF 202 zugeordnet sind) durch die TEE 220 bereitstellen. Der virtuelle Switch 228 kann benutzt werden, um Netzwerkrichtlinien durchzusetzen und/oder Aktionen durchzusetzen (z.B. Abwerfen von Paketen, Überwachen von Flüssen, Durchführen von Tiefinspektion, Durchführen von Behelfsaktionen usw.). Zum Beispiel kann der virtuelle Switch 228 die Vernetzung virtueller Maschinen (VM) in dem System 102 gestatten. Bei einigen Ausführungsformen kann der virtuelle Switch 228 die Sitzungsschlüssel und/oder andere kryptografische Schlüssel benutzen, um sicherzustellen, dass Kommunikation von VNF und VNF, VNFC und VNFC und/oder VNF und VNFC sicher ist. Wie nachfolgend beschrieben, kann der Server 204 bei einigen Ausführungsformen Verschlüsselungstunnel 230 für sichere Kommunikation herstellen (z.B. für Kommunikation von VNF und VNF, VNFC und VNFC und/oder VNF und VNFC). Bei einigen Ausführungsformen kann die NFVI 216 Fusionierungsschlüssel und/oder andere kryptografische Schlüssel benutzen, die eine Wurzel für Vertrauen herstellen, um die Verschlüsselungstunnel 230 herzustellen. Außerdem können bei einigen Ausführungsformen eine oder mehrere VM, VNF 202 und/oder VNFC 214 den geteilten Speicher 232 benutzen. Zum Beispiel können bei einigen Ausführungsformen die VNF 202 und VNFC 214 den geteilten Speicher 232 zur Kommunikation miteinander benutzen. Es versteht sich, dass der geteilte Speicher 232 abhängig von der konkreten Ausführungsform physischen Speicher und/oder virtuellen Speicher umfassen kann.
-
Wie oben beschrieben, umfasst die NFVI 216 auch die TEE 220, die physischen Ressourcen 222 und die virtuellen Ressourcen 224. Bei der beispielhaften Ausführungsform wird die TEE 220 als sichere Enklave hergestellt, wie etwa Intel® Software Guard Extensions (SGX). Bei anderen Ausführungsformen kann die TEE 220 jedoch anderweitig hergestellt werden, zum Beispiel als ME (Manageability Engine), TPM (Trusted Platform Module), IE (Innovation Engine), sichere Partition, getrennter Prozessorkern und/oder anderweitig. Zum Beispiel kann bei einigen Ausführungsformen die TEE 220 als der Sicherheitskoprozessor 322 realisiert oder mittels diesem hergestellt werden. Wie hier besprochen, ist die TEE 220 dafür ausgelegt, verschiedene Schlüsselverwaltungsfunktionen, kryptografische Funktionen und/oder andere Sicherheitsfunktionen für die NFVI 216 auszuführen, um sicherzustellen, dass die Kommunikation von VNF und VNF, VNFC und VNFC und VNF und VNFC geschützt ist. Zum Beispiel kann die TEE 220 kryptografische Schlüssel (z.B. Basis- und/oder Sitzungsschlüssel) für verschiedene kommunizierende Entitäten (z.B. VNF und VNFC) als Reaktion auf Instanziierung der Entitäten herstellen. Bei einigen Ausführungsformen können die Sitzungsschlüssel zum Beispiel auf der Basis der durch den entsprechenden Server 204 zu einem gegebenen Zeitpunkt entdeckten konkreten VNF 202 und VNFC 214 dynamisch aktualisiert werden. Es versteht sich, dass bei der beispielhaften Ausführungsform die TEE 220 über ein Außerband-Kommunikationsnetzwerk miteinander kommunizieren können.
-
Die physischen Ressourcen 222 und die virtuellen Ressourcen 224 können als beliebige physische und virtuelle Ressourcen realisiert werden, die für die Ausführung der hier beschriebenen Funktionen geeignet sind. Bei der beispielhaften Ausführungsform umfassen die physischen Ressourcen 222 Datenverarbeitungshardware, Speicherhardware und Netzwerkhardware; ähnlich umfassen die virtuellen Ressourcen 224 virtuelle Datenverarbeitungsressourcen, virtuelle Speicherung und virtuelle Vernetzungsressourcen. Zum Beispiel können bei einigen Ausführungsformen die physischen Ressourcen 222 Speicher (z.B. flüchtigen oder nichtflüchtigen Speicher oder Datenspeicherung), Cache, Engines (z.B. ein SoC, eine Grafik-Engine, eine Sicherheits-Engine, eine Audio-Engine, ein kryptografisches Modul, einen TPM, einen Koprozessor, eine Kommunikationsverbindung oder einen Kommunikationskanal, einen Switch und/oder eine andere Engine, die zum Verarbeiten oder anderweitigen handhaben von Daten ausgelegt ist) und/oder Netzwerkschnittstellen (z.B. eine NIC) umfassen. Ferner können bei einigen Ausführungsformen die virtuellen Ressourcen 224 softwaredefinierte Speicherung, ein softwaredefiniertes Vernetzungsmodul und/oder andere softwaredefinierte Ressourcen umfassen.
-
Wie oben besprochen, umfasst das Verwaltungssystem 206 einen Orchestrierer 208, einen oder mehrere VNF-Manager 210 und ein oder mehrere VIM 212. Bei der beispielhaften Ausführungsform kann die NFVI 216 VNF-Entdeckungsmechanismen benutzen, um Nachrichtenübermittlung des Orchestrierers 208 und/oder des VNF-Managers 210 zu überwachen. Wenn eine konkrete VNF 202 oder VNFC 214 instanziiert wird, entdeckt dementsprechend die NFVI 216 die instanziierte Entität. Die VNF-Manager 210 sind für die Verwaltung von Skalierung und Einsatz verantwortlich. Zum Beispiel können die VNF-Manager 210 verschiedene Server 204 anweisen, bestimmte VNF 202 und/oder VNFC 214 zu instanziieren. Hierbei können die VNF-Manager 210 die VIM 212 konsultieren, die die konkreten für Einsatz von VNF 202 und/oder VNFC 214 verfügbaren Server 204 identifizieren.
-
Es versteht sich, dass die VIM 212 eine solche Bestimmung unter Verwendung beliebiger geeigneter Techniken, Algorithmen und/oder Mechanismen vornehmen können. Bei einigen Ausführungsformen weist der Orchestrierer 208 das VIM 212 über die Art des für eine Entität erwünschten Schutzes und deshalb die zugeordnete Dienstkette an und das VIM 212 stellt sicher, dass diese Dienstketten hergestellt werden. Bei der beispielhaften Ausführungsform kommunizieren die entsprechenden VNF 202 und VNFC 214 miteinander, um die relevanten Dienstfunktionsketten zu erzeugen und Netzwerkpakete (z.B. TCP/IP-Pakete, IP-Routenaktualisierungen, Steuerverkehr, auf 802.11 basierende Pakete, LTE/3G-Stapel, Legacy-Pakete usw.) einander zuzusenden. Bei einigen Ausführungsformen können die VNF 202 und/oder die VNFC 214 einander mittels Dienstentdeckungsprotokollen, DNS und/oder anderer Entdeckungsmechanismen entdecken.
-
Außerdem sendet bei der beispielhaften Ausführungsform das Verwaltungssystem 206 eine Sicherheitsrichtlinie 408 zu den Servern 204 (auf die z.B. Entitäten eingesetzt werden), die den eingesetzten VNF 202 und/oder VNFC 214 zugeordnet sind. Die Sicherheitsrichtlinie 408 kann zum Beispiel die Umstände und/oder Prozedur angeben, wodurch die Kommunikation von VNF und VNF, VNFC und VNFC und/oder VNF und VNFC geschützt werden sollte. Zum Beispiel kann bei einigen Ausführungsformen die Sicherheitsrichtline 408 angeben, dass es unnötig ist, dass die NFVI 216 Kommunikation zwischen VNF 202 und/oder VNFC 214 verschlüsselt, die in einem einzigen Server 204 eingeschlossen ist, dass aber andere Kommunikation verschlüsselt werden sollte. Bei solchen Ausführungsformen kann die Sicherheitsrichtlinie 408 den durch den Hypervisor 218 gewährten Schutz als ausreichenden Schutz betrachten. Bei anderen Ausführungsformen kann die Sicherheitsrichtlinie 408 angeben, dass alle Kommunikation von VNF und VNF, VNFC und VNFC und VNF und VNFC ungeachtet der Quellen- und Zielserver 204 geschützt werden sollte. Außerdem identifiziert bei einigen Ausführungsformen die Sicherheitsrichtlinie 408 den Prozess/Verkehrsfluss eines oder mehrerer Pakete auf der Basis der bestimmten Dienstkette. Es versteht sich ferner, dass das Verwaltungssystem 206 bei einigen Ausführungsformen sicherstellen kann, dass geltende Bestimmungen (z.B. bestimmungsspezifische kryptografische Algorithmen, Schlüsselgrößen, Blockgrößen, unidirektionaler oder bidirektionaler Verkehrsschutz usw.), die der Kommunikation von VNF und VNF, VNFC und VNFC und VNF und VNFC zugeordnet sind, erfüllt werden (z.B. durch Integration in die Sicherheitsrichtline 408).
-
Der Orchestrierer 208, die VNF-Manager 210 und die VIM 212 können als ein beliebiger Server oder eine beliebige Datenverarbeitungsvorrichtung mit der Fähigkeit zur Ausführung der hier beschriebenen Funktionen realisiert werden. Ferner können der Orchestrierer 208, die VNF-Manager 210 und die VIM 212 Komponenten umfassen, die den oben beschriebenen Komponenten der Server 204 und/oder üblicherweise in einem Server anzutreffenden Komponenten, wie etwa einem Prozessor, Speicher, I/O-Subsystem, Datenspeicherung, Peripherievorrichtungen und so weiter, die der Klarheit der Beschreibung halber in 2 nicht dargestellt sind, ähnlich sind.
-
Nunmehr mit Bezug auf 4 stellen im Gebrauch ein oder mehrere der Server 204 eine Umgebung 400 für sichere Kommunikation zwischen virtuellen Netzwerkfunktionen oder spezieller für sichere Kommunikation von VNF und VNF, VNFC und VNFC und VNF und VNFC her. Die beispielhafte Umgebung 400 umfasst ein Modul 402 der Netzwerkfunktions-Virtualisierungsinfrastruktur (NFVI) und ein Kommunikationsmodul 404. Außerdem umfasst das NVFI-Modul 402 ein vertrauenswürdiges Ausführungsumgebungsmodul 406. Jedes der Module der Umgebung 400 kann als Hardware, Software, Firmware oder eine Kombination davon realisiert werden. Außerdem können bei einigen Ausführungsformen eines oder mehrere der beispielhaften Module einen Teil eines anderen Moduls bilden und/oder eines oder mehrere der beispielhaften Module können als ein selbständiges oder unabhängiges Modul realisiert werden. Zum Beispiel können die Module, Logik und andere Komponenten der Umgebung 400 jeweils einen Teil des Prozessors 310 des Servers 204 bilden oder anderweitig durch diesen hergestellt werden.
-
Das NVFI-Modul 402 ist dafür ausgelegt, verschiedene Schlüsselverwaltungsfunktionen, kryptografische Funktionen, Verwaltung des sicheren Kommunikationskanals und/oder andere Sicherheitsfunktionen auszuführen, um sicherzustellen, dass die Kommunikation von VNF und VNF, VNFC und VNFC und VNF und VNFC soweit geschützt ist, wie es die relevante Sicherheitsrichtlinie 408 erfordert. Es versteht sich, dass bei einigen Ausführungsformen das Schützen der VNF- und VNFC-Kommunikation (z.B. über verschlüsselte Kommunikation oder einen anderweitig sicheren Kommunikationskanal) gestattet, die VNF 202 und VNFC 214 unmodifiziert über verschiedene Topologien laufen zu lassen (d.h. die konkreten Topologien können beliebig gewählt werden). Ferner kann wie nachfolgend beschrieben das NFVI-Modul 402 Schlüsselverwaltung für die VNF 202 und/oder VNFC 214 transparent durchführen (z.B. ohne Schlüssel und/oder Schlüsselverwaltungsmetadaten außerhalb des NFVI-Moduls 402 zu exponieren). Außerdem kann das NVFI-Modul 402 Fusionierungs-/Wurzelschlüssel (die z.B. durch OEM oder Komponentenhersteller hergestellt werden) als grundlegende kryptografische Schlüssel zur Herstellung sicherer Kommunikationskanäle zwischen dem vertrauenswürdigen Ausführungsumgebungsmodul 406 und einem entsprechenden vertrauenswürdigen Ausführungsumgebungsmodul 406 eines andere Servers 204 verwenden. Ferner kann wie nachfolgend beschrieben bei einigen Ausführungsformen das NFVI-Modul 402 dynamisch sichere Sitzungen zwischen VNF 202 und/oder VNFC 214 herstellen und/oder aktualisieren, verhindern, dass Kommunikation vor dem Herstellen von Sicherheit (z.B. über Verschlüsselungsschlüssel und/oder Tunnel) zwischen Entitäten (z.B. VNF 202 und/oder VNFC 214) auftritt, Sicherheitsverarbeitung von Kommunikationsverkehr (z.B. allem Verkehr) zwischen VNF 202 (z.B. Verkehr von VNF und VNF, VNFC und VNFC und/oder VNF und VNFC) durchsetzen, gestatten, dass nur VNF 202 und/oder VNFC 214 mit hergestellten Sicherheitsrichtlinien 408 miteinander kommunizieren, und/oder Sicherheitsverarbeitung auf verschiedener Granularität durchführen (z.B. an allem Verkehr, Verwaltungs- und/oder Steuerverkehr, pro Paket, pro Fluss, pro Richtlinienheader an dem entsprechenden Paket usw.). Es versteht sich, dass bei einigen Ausführungsformen jede Paarung von VNF 202, VNFC 214, Prozessfluss und/oder kommunikativer Entität (z.B. eine bestimmte VNF 202 und andere VNF 202) einen separaten kryptografischen Schlüssel (oder eine Menge von kryptografischen Schlüsseln) für sichere Kommunikation aufweisen kann und auch eine separate Sicherheitsrichtlinie 408 aufweisen kann. Die Sicherheitsrichtlinie 408 kann zum Beispiel die Lebenszeit/das Ablaufdatum von Schlüsseln identifizieren, ob die Schlüssel (z.B. in Speicherung) persistieren können, Schlüsselerneurungsanforderungen und/oder andere Parameter, die den durch das NVFI-Modul 402 benutzten kryptografischen Schlüsseln zugeordnet sind.
-
Das Modul 406 der vertrauenswürdigen Ausführungsumgebung (TEE) des NFVI-Moduls 402 stellt eine vertrauenswürdige Ausführungsumgebung (z.B. die TEE 220) oder anderweitig sichere Umgebung in dem Server 204 her und führt verschiedene kryptografische Funktionen für sichere Kommunikation zwischen VNF 202 und VNFC 214 des Servers 204 und anderen VNF 202 und VNFC 214 (die z.B. auf demselben Server 204 oder einem entfernten Server 204 instanziiert werden) aus. Abhängig von der konkreten Ausführungsform kann das TEE-Modul 406 die Erzeugung und Verifikation kryptografischer Schlüssel, Signaturen, Hashes abwickeln und/oder andere kryptografische Funktionen ausführen. Bei einigen Ausführungsformen kann die TEE 220 eine vertrauenswürdige Beziehung mit einer entsprechenden TEE 220 eines anderen Servers 204 herstellen. Hierbei können die TEE 220 zum Beispiel einen kryptografischen Schlüsselaustausch durchführen. Bei einigen Ausführungsformen können die TEE 220 über hergestellte verschlüsselte und/oder anderweitig sichere Tunnel kommunizieren. Wie oben beschrieben, können die TEE 220 bei einigen Ausführungsformen über einen Außerband-Kommunikationskanal (d.h. einen von einem gemeinsamen Kommunikationskanal zwischen den entsprechenden Servern 204 getrennten Kommunikationskanal) miteinander kommunizieren. Bei einigen Ausführungsformen detektiert das TEE-Modul 406 (z.B. die TEE 220) die Instanziierung einer neuen VNF 202 oder VNFC 214 und erzeugt die entsprechenden kryptografischen Schlüssel wie hier beschrieben. Es versteht sich, dass eine solche Detektion mittels beliebiger geeigneter Algorithmen, Techniken und/oder Mechanismen erfolgen kann. Zum Beispiel kann bei einigen Ausführungsformen das TEE-Modul 406 die Instanziierung einer VNF 202 oder VNFC 214 mittels Treibern, die zwischen dem Hypervisor 218 und der TEE 220 hergestellt werden (z.B. HECI), mittels Signalen, die durch einen Steuer- und Verwaltungskommunikationskanal von dem VNF-Manager 210 zu der NFVI 216 (z.B. durch das VIM 212) gesendet werden, und/oder mittels REST API (z.B. unter Verwendung von JSON-Datenformaten) detektieren.
-
Das Kommunikationsmodul 404 wickelt die Kommunikation zwischen dem Server 204 und entfernten Vorrichtungen (z.B. anderen Servern 204) durch ein geeignetes Netzwerk ab. Zum Beispiel können wie oben besprochen die TEE 220 zweier Server 204 über einen Außerband-Kommunikationskanal oder über verschlüsselte Tunnel miteinander kommunizieren.
-
Nunmehr mit Bezug auf 5 kann im Gebrauch der Server 204 ein Verfahren 500 zum Herstellen kryptografischer Schlüssel für sichere Kommunikation zwischen virtuellen Netzwerkfunktionen oder spezieller zum Herstellen kryptografischer Schlüssel für sichere Kommunikation von VNF und VNF, VNFC und VNFC und/oder VNF und VNFC ausführen. Es versteht sich, dass bei einigen Ausführungsformen der Server 204 das Verfahren 500 mit dem NFVI-Modul 402 (z.B. der NVFI 216) ausführt. Das beispielhafte Verfahren 500 beginnt mit Block 502, in dem der Server 204 eine Sicherheitsrichtlinie 408 von dem Verwaltungssystem 206 empfängt. Hierbei kann der Server 204 im Block 504 Dienstkettendaten von dem Verwaltungssystem 206 empfangen. Zum Beispiel kann die Sicherheitsrichtlinie 408 wie oben besprochen den Prozess/Verkehrsfluss eines oder mehrerer Pakete auf der Basis der bestimmten Dienstkette für eine oder mehrere VNF 202 und/oder VNFC 214, die auf dem Server 204 zu instanziieren sind, identifizieren. Außerdem kann die Sicherheitsrichtlinie 408 die konkrete Sicherheit identifizieren, die für die Kommunikation von VNF und VNF, VNFC und VNFC und/oder VNF und VNFC entsprechend den auf dem Server 204 zu instanziierenden oder herzustellenden VNF 202 und/oder VNFC 214 erforderlich ist. Ferner versteht sich, dass bei einigen Ausführungsformen jede der VNF 202 und/oder VNFC 204 ihre eigene Sicherheitsrichtlinie 408 aufweisen kann. Bei anderen Ausführungsformen können solche Sicherheitsrichtlinien 408 sogar noch feinere Granularität aufweisen (z.B. bestimmten Flüssen, Paketen usw. zugeordnet).
-
Im Block 506 stellt der Server 204 kryptografische Schlüssel für sichere Kommunikation zum Beispiel auf der Basis der einen oder mehreren empfangenen oder bestimmten Sicherheitsrichtlinien 408 her. Hierbei stellt der Server 204 im Block 508 kryptografische Schlüssel für Kommunikation von VNF und VNF, VNFC und VNFC und/oder VNF und VNFC her. Abhängig von der konkreten Ausführungsform kann jede der Kommunikation von VNF und VNF, VNFC und VNFC und/oder VNF und VNFC unidirektionale oder bidirektionale Kommunikation sein. Zum Beispiel kann bei einigen Ausführungsformen Kommunikation von VNF und VNFC nur in dem Sinne auftreten, dass eine bestimmte VNF 202 Informationen zu einer bestimmten VNFC 214 senden (aber keine Informationen von der VNFC 214 empfangen) kann oder eine bestimmte VNFC 214 Informationen zu einer bestimmten VNF 202 senden (aber keine Informationen von der VNF 202 empfangen) kann, während bei anderen Ausführungsformen die bestimmte VNF 202 und VNFC 214 in dem Sinne bidirektional kommunizieren können, dass sowohl die VNF 202 als auch die VNFC 214 Informationen zueinander senden und voneinander empfangen können. Bei einigen Ausführungsformen können die kryptografischen Schlüssel in dem virtuellen Switch 228 und/oder einem physischen Switch (z.B. in der NVFI 216) hergestellt werden, um ankommenden und abgehenden Verkehr zwischen den VNF 202 und/oder VNFC 214 auf der Basis der Sicherheitsrichtlinien 408 zu schützen.
-
Im Block 510 kann der Server 204 einen oder mehrere kryptografische Schlüssel als Funktion eines Fusionierungsschlüssels oder einer anderen Vertrauenswurzel herstellen. Das heißt, bei einigen Ausführungsformen können ein oder mehrere Wurzel-/Fusionierungsschlüssel auf dem Server 204 (z.B. in einer Fusionierungsbank) durch den OEM (oder die Entität, die die NFVI 216 hergestellt hat) hergestellt werden. Bei einigen Ausführungsformen wird ein Wurzelschlüssel während der Herstellung einer bestimmten Hardwarekomponente bzw. bestimmter Hardwarekomponenten bereitgestellt und zum Autorisieren der Benutzung von OEM-Schlüsseln benutzt. Bei anderen Ausführungsformen können die Wurzelschlüssel aus OEM-bereitgestellten Schlüsseln abgeleitet werden. Ferner können bei einigen Ausführungsformen der Hersteller der Komponente bzw. von Komponenten und/oder der OEM NFVI-Schlüssel oder andere geeignete kryptografische Schlüssel zur Verwendung als Wurzelschlüssel delegieren.
-
Im Block 512 kann der Server 204 mit der vertrauenswürdigen Ausführungsumgebung 220 (z.B. dem TEE-Modul 406) eines oder mehrerer anderer Server 204 kommunizieren, um kryptografische Schlüssel herzustellen. Nachdem die VNF 202 und/oder VNFC 214 auf dem Server 204 hergestellt wurden, kann zum Beispiel die NFVI 216 des Servers 204 mit entsprechenden NVFI 216 der anderen Server 204 koordinieren, um einen oder mehrere kryptografische Schlüssel (z.B. Sitzungsschlüssel) zum Schutz des VNF/VNFC-Verkehrs herzustellen. Bei einigen Ausführungsformen werden Sitzungsschlüssel aus einem zwischen den NFVI 216 oder genauer gesagt den entsprechenden TEE 220 ausgeführten gegenseitigen Authentifizierungsprotokoll abgeleitet, und abhängig von der konkreten Ausführungsform können Wurzelschlüssel der Server 204 als geteilte Geheimnisse und/oder autorisierte Berechtigungsnachweise verwendet werden. Zum Beispiel können bei einigen Ausführungsformen die TEE 220 SSL, IPSec und/oder ein anderes Web-Sicherheitsprotokoll verwenden, um kryptografische Schlüssel (z.B. Sitzungsschlüssel) herzustellen.
-
Im Block 514 kann der Server 204 abhängig von der konkreten Ausführungsform verschiedene Basisschlüssel und/oder Sitzungsschlüssel für vielfältige Zwecke herstellen. Zum Beispiel kann der Server 204 bei einigen Ausführungsformen dieselben oder verschiedene abgeleitete Schlüssel zum Schutz von Steuerpaketen, Verwaltungsverkehr, Teilnehmermetadaten, Teilnehmerdaten, Verkehr pro Fluss und/oder anderen Daten verwenden. Es versteht sich, dass bei einigen Ausführungsformen der Server 204 verschiedene Basisschlüssel bestimmen und Sitzungsschlüssel als Funktion dieser Basisschlüssel ableiten kann. Hierbei kann der Server 204 zum Beispiel die Exponierung der Basisschlüssel begrenzen und die für sichere Kommunikation verwendeten kryptografischen Schlüssel mit der Zeit aktualisieren. Um Klarheit der Beschreibung zu gewährleisten, können jedoch sowohl die Basisschlüssel als auch die Sitzungsschlüssel hier einfach als Sitzungsschlüssel beschrieben werden.
-
Es versteht sich, dass bei einigen Ausführungsformen jedes Paar kommunikativer Entitäten einen oder mehrere einzigartige kryptografische Schlüssel (z.B. Sitzungsschlüssel) aufweisen kann. Zum Beispiel kann für sichere Kommunikation von VNF und VNF zwischen einer ersten und zweiten VNF 202 eine erste Menge von kryptografischen Schlüsseln hergestellt werden und eine zweite Menge von kryptografischen Schlüsseln kann hergestellt werden, um Kommunikation von VNF und VNF zwischen der ersten VNF 202 und einer dritten VNF 202 zu sichern. Ferner können wie oben besprochen bei einigen Ausführungsformen die kryptografischen Schlüssel zum Schutz von Kommunikation von VNF und VNF, VNFC und VNFC und/oder VNF und VNFC mit einer feineren Granularität hergestellt werden. Zum Beispiel kann der Server 204 im Block 516 separate kryptografische Schlüssel zum Schützen verschiedener Dienstflüsse (z.B. zwischen denselben Entitäten) herstellen. Dementsprechend kann ein Dienstfluss, der Kommunikation zwischen einem ersten Paar von Entitäten (z.B. VNF 202) erfordert, mit einem ersten kryptografischen Schlüssel verschlüsselt werden, während ein anderer Dienstfluss, der auch Kommunikation zwischen diesen Entitäten erfordert, mit einem anderen kryptografischen Schlüssel verschlüsselt werden kann. Es versteht sich, dass die Sicherheitsrichtlinien 408 bei einigen Ausführungsformen den Grad an Granularität und/oder den Umfang von Daten, die die kryptografischen Schlüssel schützen sollen, identifizieren. Ferner versteht sich, dass die konkreten benutzten kryptografischen Algorithmen als beliebige geeignete kryptografische Algorithmen zur Ausführung der hier beschriebenen Funktionen realisiert werden können. Zum Beispiel werden bei einigen Ausführungsformen die Sitzungsschlüssel auf der Basis eines symmetrischen kryptografischen Schlüsselalgorithmus erzeugt, während bei anderen Ausführungsformen ein asymmetrischer kryptografischer Algorithmus benutzt werden kann. Ferner können bei einigen Ausführungsformen mehrere kryptografische Schlüsselalgorithmen in Verbindung miteinander benutzt werden (z.B. ein symmetrischer Schlüssel für Massenverschlüsselung und ein asymmetrischer Schlüssel zum Verschlüsseln des symmetrischen Schlüssels oder Bereitstellen einer kryptografischen Signatur).
-
Nunmehr mit Bezug auf 6 kann im Gebrauch der Server 204 ein Verfahren 600 für sichere Kommunikation zwischen virtuellen Netzwerkfunktionen oder spezieller für sichere Kommunikation von VNF und VNF, VNFC und VNFC und/oder VNF und VNFC ausführen. Es versteht sich, dass bei einigen Ausführungsformen der Server 204 das Verfahren 600 mit dem NFVI-Modul 402 (z.B. der NVFI 216) ausführt. Das beispielhafte Verfahren 600 beginnt mit Block 602, in dem der Server 204 gebootet wird. Im Block 604 bestimmt der Server 204, ob Sicherheit auf dem Server für sichere Kommunikation zwischen VNF und/oder zwischen VNFC hergestellt wurde. Hierbei kann der Server 204 im Block 606 bestätigen, dass die TEE 220 des Servers 204 sicher hergestellt wurde und über Zugang zu den relevanten kryptografischen Sicherheitsschlüsseln verfügt. Zum Beispiel bestimmt der Server 204 bei einigen Ausführungsformen, ob die TEE 220 über Zugang zu den oben für sichere Kommunikation von VNF und VNF, VNFC und VNFC und/oder VNF und VNFC besprochenen kryptografischen Schlüsseln verfügt.
-
Wenn der Server 204 im Block 608 bestimmt, dass keine Sicherheit hergestellt wurde (z.B. die relevanten kryptografischen Schlüssel für sichere Kommunikation nicht verfügbar sind), verhindert der Server 204 abhängig von den Anforderungen der Sicherheitsrichtlinie 408 Kommunikation mit dem VNF 202 und/oder VNFC 214 des Servers 204. Hierbei kann der Server 204 im Block 612 Kommunikation von VNF und VNF, VNFC und VNFC und/oder VNF und VNFC auf der Basis der Sicherheitsrichtlinie 408 verhindern. Wie oben besprochen kann die Sicherheitsrichtlinie 408 bei einigen Ausführungsformen solche Kommunikation zwischen Entitäten in einem bestimmten Server 204 zum Beispiel aufgrund eines gewissen durch den Hypervisor 218 bereitgestellten begrenzten Schutzes gestatten. Bei anderen Ausführungsformen kann die Sicherheitsrichtlinie 408 alle Kommunikation (z.B. ankommend und abgehend) mit den VNF 202 und/oder VNFC 214 des Servers 204 verhindern.
-
Wieder mit Bezug auf Block 608 führt der Server 204, wenn der Server 204 bestimmt, dass Sicherheit hergestellt wurde, die Kommunikation von VNF und VNF, VNFC und VNFC und/oder VNF und VNFC wie von den entsprechenden Dienstflüssen erfordert im Block 614 durch. Hierbei ruft der Server 204 im Block 616 die entsprechenden kryptografischen Schlüssel für sichere Kommunikation auf der Basis der Sicherheitsrichtlinie 408 ab, und wenn die Sicherheitsrichtlinie 408 angibt, dass die entsprechende Kommunikation verschlüsselt werden sollte, verschlüsselt/entschlüsselt der Server 204 die sichere Kommunikation mit den abgerufenen Schlüsseln im Block 618. Wenn zum Beispiel eine bestimmte VNF 202 Informationen zu einer anderen VNF 202 übermitteln muss, die auf einer entfernten Vorrichtung instanziiert ist, kann die VNF 202 die Informationen mit dem relevanten kryptografischen Schlüssel (z.B. dem den beiden VNF 202 entsprechenden Sitzungsschlüssel) verschlüsseln und die verschlüsselten Informationen (z.B. über den virtuellen Switch 228 und/oder physischen Switch der NFVI 216) zu der anderen VNF 202 senden. Beim Empfang ruft die entfernte VNF 202 den entsprechenden Entschlüsselungsschlüssel (z.B. einen symmetrischen Sitzungsschlüssel) ab und entschlüsselt das Paket bzw. die Pakete. Ähnlich kann eine VNF 202 und VNF 214, die mit einer anderen VNF 202 oder VNF 214 im selben Server 204 kommuniziert, Daten vor der Übertragung verschlüsseln und die Daten beim Empfang durch die empfangende Entität entschlüsseln.
-
Um solch sichere VNF/VNFC-Kommunikation durchzuführen, kann der Server 204 bei einigen Ausführungsformen zum Beispiel unter Verwendung von IP-Adressen, TCP/UDP oder Protokollportnummern höherer Ebene, Domänennamen, Routingdomänennamen und/oder Paketkennungen, die durch den VNF-Manager 210 oder Orchestrierer 208 übermittelt werden, Paketidentifikation für VNF/VNFC-Kommunikation durchführen. Ferner wird bei einigen Ausführungsformen der VNF/VNFC-Verkehr nahtlos durch die NVFI 216 geschützt, ohne jegliche Änderungen an den konkreten VNF 202 oder VNFC 214, die auf der NFVI 216 laufen, vorzunehmen.
-
BEISPIELE
-
Im Folgenden werden Anschauungsbeispiele für die hier offenbarten Technologien bereitgestellt. Eine Ausführungsform der Technologien kann ein beliebiges oder mehrere und eine beliebige Kombination der nachfolgend beschriebenen Beispiele umfassen. Beispiel 1 umfasst eine Datenverarbeitungsvorrichtung für sichere Kommunikation zwischen virtuellen Netzwerkfunktionen, wobei die Datenverarbeitungsvorrichtung ein Netzwerkfunktions-Virtualisierungsschnittstellenmodul umfasst zum (i) Bestimmen eines kryptografischen Schlüssels für sichere Kommunikation über ein Netzwerk zwischen virtuellen Netzwerkfunktionen (VNF) und/oder ein Netzwerk zwischen virtuellen Netzwerkfunktionskomponenten (VNFC) und/oder ein Netzwerk von VNF und VNFC auf der Basis einer Sicherheitsrichtline der Datenverarbeitungsvorrichtung und (ii) sicheren Kommunizieren über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC unter Verwendung des bestimmten kryptografischen Schlüssels.
-
Beispiel 2 umfasst den Gegenstand von Beispiel 1, und wobei das Netzwerkfunktions-Virtualisierungsschnittstellenmodul ferner den kryptografischen Schlüssel für die sichere Kommunikation herstellen soll.
-
Beispiel 3 umfasst den Gegenstand irgendwelcher der Beispiele 1 und 2, und wobei sicheres Kommunizieren über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC umfasst, mit einem entsprechenden vertrauenswürdigen Ausführungsumgebungsmodul einer entfernten Datenverarbeitungsvorrichtung zu kommunizieren.
-
Beispiel 4 umfasst den Gegenstand irgendwelcher der Beispiele 1–3, und wobei das Herstellen des kryptografischen Schlüssels umfasst, eine Vertrauenswurzel und/oder einen Fusionierungsschlüssel der Datenverarbeitungsvorrichtung zu benutzen. Beispiel 5 umfasst den Gegenstand irgendwelcher der Beispiele 1–4, und wobei das Herstellen des kryptografischen Schlüssels umfasst, auf der Basis der Vertrauenswurzel und/oder des Fusionierungsschlüssels der Datenverarbeitungsvorrichtung einen kryptografischen Basisschlüssel zu erzeugen; und auf der Basis des erzeugten kryptografischen Basisschlüssels einen temporären kryptografischen Schlüssel für sichere Kommunikation über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC zu erzeugen.
-
Beispiel 6 umfasst den Gegenstand irgendwelcher der Beispiele 1–5, und wobei das Herstellen des kryptografischen Schlüssels umfasst, einen ersten kryptografischen Schlüssel für Kommunikation zwischen einem ersten Paar von Entitäten, ausgewählt aus einer Menge von VNF und VNFC der Datenverarbeitungsvorrichtung, herzustellen.
-
Beispiel 7 umfasst den Gegenstand irgendwelcher der Beispiele 1–6, und wobei das Netzwerkfunktions-Virtualisierungsschnittstellenmodul ferner ausgelegt ist zum Herstellen eines zweiten kryptografischen Schlüssels für Kommunikation zwischen einem zweiten Paar von Entitäten, das von dem ersten Paar verschieden ist, ausgewählt aus der Menge von VNF und VNFC der Datenverarbeitungsvorrichtung.
-
Beispiel 8 umfasst den Gegenstand irgendwelcher der Beispiele 1–7, und wobei das Herstellen des ersten kryptografischen Schlüssels für die Kommunikation zwischen dem ersten Paar von Entitäten umfasst, den ersten kryptografischen Schlüssel für Kommunikation zwischen dem ersten Paar von Entitäten einem ersten Dienstfluss zugeordnet herzustellen; und wobei das vertrauenswürdige Ausführungsumgebungsmodul ferner einen zweiten kryptografischen Schlüssel zur Kommunikation zwischen dem ersten Paar von Entitäten einem zweiten Dienstfluss zugeordnet herstellen soll, der von dem ersten Dienstfluss verschieden ist. Beispiel 9 umfasst den Gegenstand irgendwelcher der Beispiele 1–8, und wobei das sichere Kommunizieren über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC umfasst, sicher über ein Kommunikationsnetzwerk zwischen VNF zu kommunizieren.
-
Beispiel 10 umfasst den Gegenstand irgendwelcher der Beispiele 1–9, und wobei das sichere Kommunizieren über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC umfasst, sicher über ein Kommunikationsnetzwerk zwischen VNFC zu kommunizieren.
-
Beispiel 11 umfasst den Gegenstand irgendwelcher der Beispiele 1–10, und wobei das sichere Kommunizieren über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC umfasst, sicher über ein Kommunikationsnetzwerk von VNF und VNFC zu kommunizieren.
-
Beispiel 12 umfasst den Gegenstand irgendwelcher der Beispiele 1–11, und wobei das Netzwerkfunktions-Virtualisierungsschnittstellenmodul ferner Folgendes durchführen soll:
Bestimmen, ob das vertrauenswürdige Ausführungsumgebungsmodul über Zugang zu dem kryptografischen Schlüssel verfügt; und Verhindern von Kommunikation über das Netzwerk zwischen VNF und/oder zwischen VNFC oder von VNF und VNFC auf der Basis der Sicherheitsrichtlinie als Reaktion auf Bestimmung, dass das vertrauenswürdige Ausführungsumgebungsmodul nicht über Zugang zu dem kryptografischen Schlüssel verfügt.
-
Beispiel 13 umfasst den Gegenstand irgendwelcher der Beispiele 1–12, und wobei das Bestimmen, dass das vertrauenswürdige Ausführungsumgebungsmodul der Datenverarbeitungsvorrichtung nicht über Zugang zu dem kryptografischen Schlüssel verfügt, umfasst, zu bestimmen, dass das vertrauenswürdige Ausführungsumgebungsmodul nicht sicher gebootet wurde.
-
Beispiel 14 umfasst den Gegenstand irgendwelcher der Beispiele 1–13, und wobei das Bestimmen des kryptografischen Schlüssels umfasst, den kryptografischen Schlüssel auf der Basis der Sicherheitsrichtlinie abzurufen; wobei die Sicherheitsrichtlinie entsprechende kryptografische Schlüssel für sichere Kommunikation zwischen mehreren Paaren von Entitäten, ausgewählt aus einer Menge von VNF und VNFC der Datenverarbeitungsvorrichtung, definiert.
-
Beispiel 15 umfasst ein Verfahren zur sicheren Kommunikation zwischen virtuellen Netzwerkfunktionen durch eine Datenverarbeitungsvorrichtung, wobei das Verfahren Folgendes umfasst: Bestimmen eines kryptografischen Schlüssels durch die Datenverarbeitungsvorrichtung zur sicheren Kommunikation über ein Netzwerk zwischen virtuellen Netzwerkfunktionen (VNF) und/oder ein Netzwerk zwischen Komponenten von virtuellen Netzwerkfunktionen (VNFC) und/oder ein Netzwerk von VNF und VNFC auf der Basis einer Sicherheitsrichtlinie der Datenverarbeitungsvorrichtung; und sicheres Kommunizieren durch die Datenverarbeitungsvorrichtung über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC unter Verwendung des bestimmten kryptografischen Schlüssels.
-
Beispiel 16 umfasst den Gegenstand von Beispiel 15 und umfasst ferner Herstellen des kryptografischen Schlüssels durch die Datenverarbeitungsvorrichtung für die sichere Kommunikation.
-
Beispiel 17 umfasst den Gegenstand beliebiger der Beispiele 15 und 16, und wobei das Herstellen des kryptografischen Schlüssels Herstellen des kryptografischen Schlüssels mit einem Netzwerkfunktions-Virtualisierungsschnittstellenmodul der Datenverarbeitungsvorrichtung umfasst; und wobei das sichere Kommunizieren über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC Kommunizieren durch die Netzwerkfunktions-Virtualisierungsschnittstelle der Datenverarbeitungsvorrichtung umfasst.
-
Beispiel 18 umfasst den Gegenstand irgendwelcher der Beispiele 15–17, und wobei das sichere Kommunizieren über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC umfasst, durch ein vertrauenswürdiges Ausführungsumgebungsmodul mit einem entsprechenden vertrauenswürdigen Ausführungsumgebungsmodul einer entfernten Datenverarbeitungsvorrichtung zu kommunizieren.
-
Beispiel 19 umfasst den Gegenstand irgendwelcher der Beispiele 15–18, und wobei das Herstellen des kryptografischen Schlüssels Benutzung einer Vertrauenswurzel und/oder eines Fusionierungsschlüssels der Datenverarbeitungsvorrichtung umfasst.
-
Beispiel 20 umfasst den Gegenstand irgendwelcher der Beispiele 15–19, und wobei das Herstellen des kryptografischen Schlüssels Erzeugen eines kryptografischen Basisschlüssels auf der Basis der Vertrauenswurzel und/oder des Fusionierungsschlüssels der Datenverarbeitungsvorrichtung; und Erzeugen eines temporären kryptografischen Schlüssels auf der Basis des erzeugten kryptografischen Basisschlüssels für sichere Kommunikation über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC umfasst.
-
Beispiel 21 umfasst den Gegenstand irgendwelcher der Beispiele 15–20, und wobei das Herstellen des kryptografischen Schlüssels Herstellen eines ersten kryptografischen Schlüssels für Kommunikation zwischen einem ersten Paar von Entitäten, ausgewählt aus einer Menge von VNF und VNFC der Datenverarbeitungsvorrichtung, umfasst.
-
Beispiel 22 umfasst den Gegenstand irgendwelcher der Beispiele 15–21, und umfasst ferner Herstellen eines zweiten kryptografischen Schlüssels durch die Datenverarbeitungsvorrichtung für Kommunikation zwischen einem zweiten Paar von Entitäten, das von dem ersten Paar verschieden ist, ausgewählt aus der Menge von VNF und VNFC der Datenverarbeitungsvorrichtung.
-
Beispiel 23 umfasst den Gegenstand irgendwelcher der Beispiele 15–22, und wobei das Herstellen des ersten kryptografischen Schlüssels für die Kommunikation zwischen dem ersten Paar von Entitäten Herstellen des ersten kryptografischen Schlüssels für Kommunikation zwischen dem ersten Paar von Entitäten einem ersten Dienstfluss zugeordnet umfasst; und ferner Herstellen eines zweiten kryptografischen Schlüssels durch die Datenverarbeitungsvorrichtung zur Kommunikation zwischen dem ersten Paar von Entitäten einem zweiten Dienstfluss zugeordnet, der von dem ersten Dienstfluss verschieden ist, umfasst.
-
Beispiel 24 umfasst den Gegenstand irgendwelcher der Beispiele 15–23, und wobei das sichere Kommunizieren über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC sicheres Kommunizieren über ein Kommunikationsnetzwerk zwischen VNF umfasst.
-
Beispiel 25 umfasst den Gegenstand irgendwelcher der Beispiele 15–24, und wobei das sichere Kommunizieren über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC sicheres Kommunizieren über ein Kommunikationsnetzwerk zwischen VNFC umfasst.
-
Beispiel 26 umfasst den Gegenstand irgendwelcher der Beispiele 15–25, und wobei das sichere Kommunizieren über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC sicheres Kommunizieren über ein Kommunikationsnetzwerk von VNF und VNFC umfasst.
-
Beispiel 27 umfasst den Gegenstand irgendwelcher der Beispiele 15–26, und umfasst ferner Bestimmen durch die Datenverarbeitungsvorrichtung, ob ein Netzwerkfunktions-Virtualisierungsschnittstellenmodul der Datenverarbeitungsvorrichtung über Zugang zu dem kryptografischen Schlüssel verfügt; und Verhindern von Kommunikation über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC durch die Datenverarbeitungsvorrichtung auf der Basis der Sicherheitsrichtlinie als Reaktion auf Bestimmung, dass das Netzwerkfunktions-Virtualisierungsschnittstellenmodul nicht über Zugang zu dem kryptografischen Schlüssel verfügt, umfasst.
-
Beispiel 28 umfasst den Gegenstand irgendwelcher der Beispiele 15–27, und wobei das Bestimmen, dass die Netzwerkfunktions-Virtualisierungsschnittstelle der Datenverarbeitungsvorrichtung nicht über Zugang zu dem kryptografischen Schlüssel verfügt, umfasst zu bestimmen, dass das Netzwerkfunktions-Virtualisierungsschnittstellenmodul nicht sicher gebootet wurde.
-
Beispiel 29 umfasst den Gegenstand irgendwelcher der Beispiele 15–28, und wobei das Bestimmen des kryptografischen Schlüssels Abrufen des kryptografischen Schlüssels auf der Basis der Sicherheitsrichtlinie umfasst; wobei die Sicherheitsrichtlinie entsprechende kryptografische Schlüssel für sichere Kommunikation zwischen mehreren Paaren von Entitäten, ausgewählt aus einer Menge von VNF und VNFC der Datenverarbeitungsvorrichtung, definiert.
-
Beispiel 30 umfasst eine Datenverarbeitungsvorrichtung mit einem Prozessor; und einem Speicher, in dem mehrere Anweisungen gespeichert sind, die, wenn sie durch den Prozessor ausgeführt werden, bewirken, dass die Datenverarbeitungsvorrichtung das Verfahren nach einem der Beispiele 15–29 ausführt.
-
Beispiel 31 umfasst ein oder mehrere maschinenlesbare Speichermedien, die darauf gespeichert mehrere Anweisungen umfassen, die als Reaktion auf Ausführung durch eine Datenverarbeitungsvorrichtung bewirken, dass die Datenverarbeitungsvorrichtung das Verfahren nach einem der Beispiele 15–29 ausführt.
-
Beispiel 32 umfasst eine Datenverarbeitungsvorrichtung zur sicheren Kommunikation zwischen virtuellen Netzwerkfunktionen, wobei die Datenverarbeitungsvorrichtung Folgendes umfasst: Mittel zum Bestimmen eines kryptografischen Schlüssels für sichere Kommunikation über ein Netzwerk zwischen virtuellen Netzwerkfunktionen (VNF) und/oder ein Netzwerk zwischen Komponenten von virtuellen Netzwerkfunktionen (NVFC) und/oder ein Netzwerk von VNF und VNFC auf der Basis einer Sicherheitsrichtlinie der Datenverarbeitungsvorrichtung; und Mittel zum sicheren Kommunizieren über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC unter Verwendung des bestimmten kryptografischen Schlüssels.
-
Beispiel 33 umfasst den Gegenstand von Beispiel 32 und umfasst ferner Mittel zum Herstellen des kryptografischen Schlüssels für die sichere Kommunikation.
-
Beispiel 34 umfasst den Gegenstand irgendeines der Beispiele 32 und 33, und wobei das Mittel zum Herstellen des kryptografischen Schlüssels ein Mittel zum Herstellen des kryptografischen Schlüssels mit einem Netzwerkfunktions-Virtualisierungsschnittstellenmodul der Datenverarbeitungsvorrichtung umfasst; und wobei das Mittel zum sicheren Kommunizieren über das Netzwerk zwischen VNF und/oder zwischen VNFC und von VNF und VNFC ein Mittel zum Kommunizieren durch die Netzwerkfunktions-Virtualisierungsschnittstelle der Datenverarbeitungsvorrichtung umfasst.
-
Beispiel 35 umfasst den Gegenstand irgendeines der Beispiele 32–34, und wobei das Mittel zum sicheren Kommunizieren über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC ein Mittel umfasst, durch ein vertrauenswürdiges Ausführungsumgebungsmodul mit einem entsprechenden vertrauenswürdigen Ausführungsumgebungsmodul einer entfernten Datenverarbeitungsvorrichtung zu kommunizieren.
-
Beispiel 36 umfasst den Gegenstand irgendeines der Beispiele 32–35, und wobei das Mittel zum Herstellen des kryptografischen Schlüssels ein Mittel zum Benutzen einer Vertrauenswurzel und/oder eines Fusionierungsschlüssels der Datenverarbeitungsvorrichtung umfasst.
-
Beispiel 37 umfasst den Gegenstand irgendeines der Beispiele 32–36, und wobei das Mittel zum Herstellen des kryptografischen Schlüssels ein Mittel zum Erzeugen eines kryptografischen Basisschlüssels auf der Basis der Vertrauenswurzel und/oder des Fusionierungsschlüssels der Datenverarbeitungsvorrichtung; und ein Mittel zum Erzeugen eines temporären kryptografischen Schlüssels auf der Basis des erzeugten kryptografischen Basisschlüssels für sichere Kommunikation über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC umfasst.
-
Beispiel 38 umfasst den Gegenstand irgendeines der Beispiele 32–37, und wobei das Mittel zum Herstellen des kryptografischen Schlüssels ein Mittel zum Herstellen eines ersten kryptografischen Schlüssels für Kommunikation zwischen einem ersten Paar von Entitäten, ausgewählt aus einer Menge von VNF und VNFC der Datenverarbeitungsvorrichtung, umfasst.
-
Beispiel 39 umfasst den Gegenstand irgendeines der Beispiele 32–38, und ferner ein Mittel zum Herstellen eines zweiten kryptografischen Schlüssels zur Kommunikation zwischen einem zweiten Paar von Entitäten, das von dem ersten Paar verschieden ist, ausgewählt aus der Menge von VNF und VNFC der Datenverarbeitungsvorrichtung.
-
Beispiel 40 umfasst den Gegenstand irgendeines der Beispiele 32–39, und wobei das Mittel zum Herstellen des ersten kryptografischen Schlüssels für die Kommunikation zwischen dem ersten Paar von Entitäten ein Mittel zum Herstellen des ersten kryptografischen Schlüssels für Kommunikation zwischen dem ersten Paar von Entitäten einem ersten Dienstfluss zugeordnet umfasst; und ferner ein Mittel zum Herstellen eines zweiten kryptografischen Schlüssels für Kommunikation zwischen dem ersten Paar von Entitäten ist, einem zweiten Dienstfluss, der von dem ersten Dienstfluss verschieden ist, zugeordnet umfasst.
-
Beispiel 41 umfasst den Gegenstand irgendeines der Beispiele 32–40, und wobei das Mittel zum sicheren Kommunizieren über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC ein Mittel zum sicheren Kommunizieren über ein Kommunikationsnetzwerk zwischen VNF umfasst.
-
Beispiel 42 umfasst den Gegenstand irgendeines der Beispiele 32–41, und wobei das Mittel zum sicheren Kommunizieren über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC ein Mittel zum sicheren Kommunizieren über ein Kommunikationsnetzwerk zwischen VNFC umfasst.
-
Beispiel 43 umfasst den Gegenstand irgendeines der Beispiele 32–42, und wobei das Mittel zum sicheren Kommunizieren über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC ein Mittel zum sicheren Kommunizieren über ein Kommunikationsnetzwerk von VNF und VNFC umfasst.
-
Beispiel 44 umfasst den Gegenstand irgendeines der Beispiele 32–43 und umfasst ferner Folgendes: ein Mittel zum Bestimmen, ob ein Netzwerkfunktions-Virtualisierungsschnittstellenmodul der Datenverarbeitungsvorrichtung über Zugang zu dem kryptografischen Schlüssel verfügt; und ein Mittel zum Verhindern von Kommunikation über das Netzwerk zwischen VNF und/oder zwischen VNFC und/oder von VNF und VNFC auf der Basis der Sicherheitsrichtlinie als Reaktion auf eine Bestimmung, dass das Netzwerkfunktions-Virtualisierungsschnittstellenmodul nicht über Zugang zu dem kryptografischen Schlüssel verfügt.
-
Beispiel 45 umfasst den Gegenstand irgendeines der Beispiele 32–44, und wobei das Mittel zum Bestimmen, dass die Netzwerkfunktions-Virtualisierungsschnittstelle der Datenverarbeitungsvorrichtung nicht über Zugang zu dem kryptografischen Schlüssel verfügt, ein Mittel zum Bestimmen umfasst, dass das Netzwerkfunktions-Virtualisierungsschnittstellenmodul nicht sicher gebootet wurde.
-
Beispiel 46 umfasst den Gegenstand irgendeines der Beispiele 32–45, und wobei das Mittel zum Bestimmen des kryptografischen Schlüssels ein Mittel zum Abrufen des kryptografischen Schlüssels auf der Basis der Sicherheitsrichtlinie umfasst; wobei die Sicherheitsrichtlinie entsprechende kryptografische Schlüssel für sichere Kommunikation zwischen mehreren Paaren von Entitäten, ausgewählt aus einer Menge von VNF und VNFC der Datenverarbeitungsvorrichtung, definiert.