JP2018520538A - 仮想ネットワーク機能の安全なブートストラップ技術 - Google Patents

仮想ネットワーク機能の安全なブートストラップ技術 Download PDF

Info

Publication number
JP2018520538A
JP2018520538A JP2017556687A JP2017556687A JP2018520538A JP 2018520538 A JP2018520538 A JP 2018520538A JP 2017556687 A JP2017556687 A JP 2017556687A JP 2017556687 A JP2017556687 A JP 2017556687A JP 2018520538 A JP2018520538 A JP 2018520538A
Authority
JP
Japan
Prior art keywords
vbs
vnf
security
agent
vnf instance
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017556687A
Other languages
English (en)
Other versions
JP2018520538A5 (ja
JP6720211B2 (ja
Inventor
スード,カピル
ウォーカー,ジェシ
Original Assignee
インテル コーポレイション
インテル コーポレイション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by インテル コーポレイション, インテル コーポレイション filed Critical インテル コーポレイション
Publication of JP2018520538A publication Critical patent/JP2018520538A/ja
Publication of JP2018520538A5 publication Critical patent/JP2018520538A5/ja
Application granted granted Critical
Publication of JP6720211B2 publication Critical patent/JP6720211B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/4401Bootstrapping
    • G06F9/4416Network booting; Remote initial program loading [RIPL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)

Abstract

ネットワーク機能仮想化(NFV)ネットワークアーキテクチャにおける仮想ネットワーク機能をブートストラップする技術は、仮想ネットワーク機能(VNF)インスタンスの仮想ネットワーク機能(VNF)ブートストラップサービス(VBS)エージェントとセキュアなネットワーク通信をするVBSを含む。VBSエージェントはNFVネットワークアーキテクチャにおいてセキュアなVNFブートストラップキャプチャプロトコルを実行するように構成される。したがって、VBSエージェントは、VBSとVBSエージェントとの間で送信されるセキュアな通信を介してVBSに登録するように構成され得る。セキュアな通信は、VNFインスタンスがインスタンス化されたプラットフォームのTEEからのセキュリティクォートとセキュリティ証明要求とをVBSに送信するステップと、セキュリティクォートとセキュリティ証明要求との検証に応じて、セキュリティ保証を受け取るステップとを含む。他の実施形態は説明し請求項に記載した。

Description

関連出願への相互参照
本願は、2015年5月11日出願の米国特許出願第14/709,170号(発明の名称「TECHNOLOGIES FOR SECURE BOOTSTRAPPING OF VIRTUAL NETWORK FUNCTIONS」)の優先権を主張するものである。
ネットワークオペレータおよびサービスプロバイダは、一般的には、様々なネットワーク仮想化技術に依存して、高性能計算(HPC)環境およびクラウド計算環境などの複雑な大規模計算環境を管理する。たとえば、ネットワークオペレータおよびサービスプロバイダーネットワークは、ネットワーク機能仮想化(NFV)展開に依存して、ネットワークサービス(例えば、ファイアウォールサービス、ネットワークアドレス変換(NAT)サービス、ロードバランシングサービス、DPI(Deep Packet Inspection)サービス、TCP(Transmission Control Protocol)最適化サービスなど)を展開する。このようなNFV展開は、一般的に、NFVインフラストラクチャを使用して様々な仮想マシン(VM)及び/又はコンテナ(例えばコモディティサーバにおけるもの)を編成し、ネットワークトラフィック上で一般に仮想ネットワーク機能(VNF)と呼ばれる仮想化ネットワークサービスを実行し、さまざまなVM及び/又はコンテナにまたがるネットワークトラフィックを管理する。
従来の非仮想化展開とは異なり、仮想化された展開は、ネットワーク機能を基盤となるハードウェアから切り離すため、ネットワーク機能およびサービスは、高度に動的で汎用プロセッサを備えた市販のサーバで実行できるものとなる。このように、VNFは、ネットワークトラフィック上で実行される具体的な機能またはネットワークサービスに基づいて、必要に応じてスケールイン/アウトすることができる。さらに、VNFは、加入者の需要に応じて、地理的エリアに、ホスティングされたインフラストラクチャなどに展開することができる。
ここで説明するコンセプトを、添付した図面において、限定ではなく実施例により説明する。説明を単純かつ明確にするため、図に示した要素は必ずしもスケール通りには描いていない。適当であれば、対応または類似する要素を示すため、複数の図面で同じ参照レベルを用いた。
NFVインフラストラクチャの1つ以上の計算ノードを含むネットワーク機能仮想化(NFV)ネットワークアーキテクチャにおけるネットワーク通信を処理するシステムの少なくとも1つの実施形態を示す簡略化したブロック図である。
図1のシステムの計算ノードの1つの少なくとも一実施形態を示す簡略化したブロック図である。
図1のシステムのエンドポイント装置の少なくとも一実施形態を示す簡略化したブロック図である。
図1のシステムのNFVネットワークアーキテクチャの少なくとも一実施形態を示す簡略化したブロック図である。
図1と図4のNFVセキュリティサービスコントローラの環境の少なくとも一実施形態を示す簡略化したブロック図である。
図4のNFVネットワークアーキテクチャの仮想ネットワーク機能(VNF)インスタンスの環境の少なくとも一実施形態を示す簡略化ブロック図である。
図5のNFVセキュリティサービスにより実行され得るセキュアVNFブートストラップを初期化する方法の少なくとも一実施形態を示す簡略化したフロー図である。
図4のNFVネットワークアーキテクチャのVNFインスタンスの1つを安全にブートストラップする通信フローの少なくとも一実施形態を示す簡略化したフロー図である。
図6のVNFインスタンスのVNFブートストラップサービス(VBS)により実行し得るセキュアVNFブートストラップキャプチャプロトコルを実行する方法の少なくとも一実施形態を示す簡略化したフロー図である。
図4のNFVネットワークアーキテクチャのVNFインスタンスの1つにおいてセキュアVNFブートストラップキャプチャプロトコルを実行する通信フローの少なくとも一実施形態を示す簡略化したフロー図である。
図4のNFVネットワークアーキテクチャのプラットフォームの1つのトラステッド実行環境(TEE)によって実行され得るTEE引用動作を実行する方法の少なくとも一実施形態を示す簡略化されたフロー図である。
図面の詳細な説明
本開示のコンセプトはいろいろな修正を施したり代替的形式を取ったりすることもできるが、その具体的な実施形態を図面において実施例で示し、ここに詳細に説明する。しかし、言うまでもなく、開示した具体的な形式に本開示を限定する意図ではなく、逆に、本発明は本開示と添付した特許請求の範囲に沿ったすべての修正、等価物及び代替物をカバーするものである。
本明細書において「one embodiment」、「an embodiment」、「an illustrative embodiment」などと言う場合、記載した実施形態が、ある機能、構造、または特徴を含むが、かならずしもすべての実施形態がその機能、構造、または特徴を含んでも含まなくてもよい。さらに、かかる文言は必ずしも同じ実施形態を参照しているとは限らない。さらに、ある機能、構造、または特徴をある実施形態について説明した場合、明示的に記載していようがいまいが、他の実施形態に関するそれらの機能、構造、または特徴に影響が及ぶことは、当業者には自明である。また、言うまでもなく、「少なくとも1つのA、B及びC」は、(A)、(B)、(C)、(A及びB)、(A及びC)、(B及びC)又は(A、B、及びC)を意味し得る。同様に、「A、B又はCのうちの少なくとも1つ」との形式のリストに含まれるアイテムは、(A)、(B)、(C)、(A及びB)、(A及びC)、(B及びC)又は(A、B、及びC)を意味し得る。
開示した実施形態は、幾つかの場合には、ハードウェア、ファームウェア、ソフトウェア、またはそれらの任意の組み合わせで実装できる。開示の実施形態は、一以上の一時的又は非一時的な機械読み取り可能(例えば、コンピュータ読み取り可能)記憶媒体により担われ、又はそれに格納された(一以上のプロセッサにより読み取られ実行され得る)命令として実装することもできる。機械読み取り可能記憶媒体は、機械により読み取り可能な形式で情報を格納又は送信する任意のストレージ装置、メカニズム、又はその他の物理的構造(例えば、揮発性又は不揮発性メモリ、メディアディスク、又はその他のメディア装置)として実施できる。
図中、幾つかの構造的又は方法フィーチャを具体的な構成及び/又は順序で示すかも知れない。しかし、言うまでもなく、かかる具体的な構成及び/又は順序は必須ではない場合がある。むしろ、幾つかの場合には、かかるフィーチャは、例示した図面に示したのとは異なる方法及び/又は順序で構成することもできる。また、ある図面に構造的又は方法フィーチャを含めることは、かかるフィーチャがすべての実施形態において必要であることを意味するのではなく、幾つかの実施形態では、含まれなくてもよいし、他のフィーチャと組み合わされてもよい。
ここで図1を参照するに、例示的な実施形態では、ネットワーク機能仮想化(NFV)ネットワークアーキテクチャ116でネットワークトラフィックを処理するシステム100は、NFVオーケストレータ104、仮想インフラストラクチャマネージャ(VIM)106、およびNFVインフラストラクチャ108を含む複数のネットワーク処理コンポーネントを含む。また、NFVネットワークアーキテクチャ116は、NFVネットワークアーキテクチャ116において、セキュリティ監視およびセキュアメッセージ送信を管理および実施(例えば、セキュア通信チャネルの設定、セキュア通信チャネルを介して送信されるメッセージの認証、セキュア通信チャネルのセキュリティの維持など)するNFVセキュリティサービスコントローラ102を含む。NFVネットワークアーキテクチャ116の仮想ネットワーク機能(VNF)インスタンスの初期化プロセスの一部として、NFVセキュリティサービスコントローラ102は、NFVインフラストラクチャ108の前にインスタンス化されたVNFインスタンスに、セキュアブートストラップを実行するよう指示するセキュアメッセージを提供する。そうするために、NFVセキュリティサービスコントローラ102は、VNFブートストラップ・サービス(図4参照)を含み、VNFインスタンスは、VNFブートストラップサービス(VBS)エージェント(図4参照)を含み、セキュアブートストラップの実行、及びメッセージの送受信の役割を果たす。したがって、VNFインスタンスは、VBSエージェントを使用して、オペレーショナルVNFインスタンスとしてNFVセキュリティサービスコントローラ102に登録し、起動ポリシー、構成情報などのVNFブートストラップ情報を受信し、オペレーショナルVNFインスタンスとして安全に登録することができる。さらに、いくつかの実施形態では、VBSエージェントは、VNFインスタンスのライセンスおよび実施を可能にすることができる。
NFVネットワークアーキテクチャ116のネットワーク処理およびセキュリティ監視コンポーネントは、仮想Evolved Packet Core(vEPC)インフラストラクチャ、仮想化されたCustomer Premise Equipment(vCPE)インフラストラクチャ、または他の任意のタイプのオペレータ視覚化インフラストラクチャなどの様々な仮想化ネットワークアーキテクチャで展開できる。言うまでもなく、NFVネットワークアーキテクチャ116が展開されるネットワークアーキテクチャに応じて、NFVネットワークアーキテクチャ116は、1つ以上のNFVセキュリティサービスコントローラ102、1つ以上のNFVオーケストレータ104、1つ以上のVIM106、及び/又は1つ以上のNFVインフラストラクチャ108を含むことができる。言うまでもなく、幾つかの実施形態では、NFVセキュリティサービスコントローラ102は、NFV管理・オーケストレーション(MANO)アーキテクチャフレームワークなどのように、NFVオーケストレータ104及び/又はVIM106と一緒になっていてもよい。
NFVインフラストラクチャ108は、VNFインスタンスとして実行するように構成された、(例えば、コモディティサーバ中の)いくつかのVM及び/又はコンテナを管理(たとえば、生成、移動、破棄など)することができる1つ以上の計算ノード110を含む。各VNFインスタンスは、一般的に、1つ以上のVMに依存する。これは異なるソフトウェア及び/又はプロセスを実行し、ネットワークトラフィック上でネットワークサービス(たとえば、ファイアウォールサービス、ネットワークアドレス変換(NAT)サービス、ロードバランシングサービス、ディープパケットインスペクション(DPI)サービス、伝送制御プロトコル(TCP)最適化サービスなど)を実行する。さらに、ネットワークサービスを提供するために、複数のVNFインスタンスをサービス機能チェーンまたはVNF転送グラフ(すなわち、所望のネットワークサービスを実装するために順序付けられたシーケンスで実行される一連のVNFインスタンス)として生成することができる。
NFVセキュリティサービスコントローラ102は、本明細書で説明される機能を実行することができる任意のタイプのハードウェア、ソフトウェア、及び/又はファームウェアとして実施されてもよく、またはそれらを含んでもよい。以下でさらに詳細に説明するように、NFVセキュリティサービスコントローラ102は、セキュリティ監視オーケストレータとして機能するように構成される。そうするために、NFVセキュリティサービスコントローラ102は、NFVネットワークアーキテクチャ116全体にわたるコンポーネント(例えば、NFVネットワークアーキテクチャ116内に位置するVNFインスタンスなど)に、安全な通信経路ポリシー、設定パラメータ、および機能記述子を含む様々な監視ルールを含むセキュリティ監視ポリシーを送信するように構成される。さまざまなセキュリティ機能には、SFC(サービス機能連鎖)プロビジョニングの保護、SFCセキュリティ設定及び監視の実施、機密保護されたトークンの提供、保護されたポリシー送信の管理、VNF間SFCパス保護の提供などがあるが、これらに限定されない。
NFVセキュリティサービスコントローラ102は、セキュリティ監視ポリシーを読み出し及び/又は更新するために、1つ以上の外部セキュリティシステム(たとえば、インテル(登録商標)セキュリティコントローラ)、セキュリティデータベース、及び/又はセキュリティポリシーエンジンとインターフェースするように構成されてもよい。外部セキュリティシステムと通信するため、NFVセキュリティサービスコントローラ102は、アプリケーションプログラミングインターフェイス(API)及び/又はセキュリティポリシーを、外部セキュリティサービスオーケストレーションシステムに配信することができる。いくつかの実施形態では、NFVセキュリティサービスコントローラ102は、NFVネットワークアーキテクチャ116の様々なネットワークおよびセキュリティ監視コンポーネントにわたってメッセージを認証する信頼できる第三者(trusted third party)として機能することができる。言うまでもなく、いくつかの実施形態では、NFVセキュリティサービスコントローラNFVは、NFVセキュリティサービスコントローラ102のインテグリティ(integrity)およびセキュリティを保証するために、NFVネットワークアーキテクチャ116の他のネットワークおよびセキュリティ監視コンポーネントよりも高いセキュリティ特権を有することができる。
NFVオーケストレータ104は、本明細書に記載される機能を実行することができる任意のタイプのハードウェア、ソフトウェア、及び/又はファームウェアとして実施され、又はそれを含むことができる。機能とは、例えば、VNFマネージャ(図4参照)を介したVNFインスタンスのライフサイクルの管理(例えば、インスタンス化、スケールアウト/イン、性能測定、イベント相関、終了など)、グローバルリソースの管理、NFVインフラストラクチャ108のリソース要求を検証及び許可、新しいVNFインスタンスをオンボーディング(on−boarding)、及び/又はVNFインスタンスのための様々なポリシーおよびパッケージの管理を含む。例えば、NFVオーケストレータ104は、特定のVNFに影響を及ぼすネットワークオペレータからのリソース要求を受信するように構成することができる。使用時には、NFVオーケストレータ104は、オペレータの要求に基づいて、適用可能な処理、記憶、及び/又はネットワーク構成の調整を管理し、VNFを動作させるかまたはリソース要求に準拠させる。一旦動作すると、NFVオーケストレータ104は、VNFの容量および利用をモニタすることができる。これらは、必要に応じて、NFVオーケストレータ104によって調整され得る
VIM106は、本明細書で説明される機能を実行することができる任意のタイプのハードウェア、ソフトウェア、及び/又はファームウェアとして実施されてもよく、またはそれらを含んでもよい。VIM106は、1つのオペレータのインフラストラクチャサブドメイン内など、NFVインフラストラクチャ108の計算、ストレージ、およびネットワークリソース(たとえば、物理的および仮想的なもの)を制御および管理するように構成される。さらに、VIM106は、性能測定値およびイベントなど、VIM106に関連する様々な情報を収集し転送するように構成される。
NFVインフラストラクチャ108は、仮想化ソフトウェアだけでなく、1つ以上のサーバまたは他の計算ノードなど、任意のタイプの仮想的及び/又は物理的処理および記憶リソースとして実施され得る、またはそれらを含み得る。例えば、例示的なNFVインフラストラクチャ108は、1つ以上の計算ノード110を含む。例示的な計算ノード110は、第1の計算ノード(これは計算ノード(1)112として指定される)と、第2の計算ノード(これは計算ノード(N)114として指定される)(すなわち、計算ノード110の「N番目の」計算ノードであり、「N」は正の整数であり、1つ以上の追加の計算ノード110を指定する)とを含む。
計算ノード110の各々は、本明細書に記載の機能を実行することができる任意のタイプの計算またはコンピュータ装置として実施することができる。これには、サーバ(例えば、スタンドアローン、ラックマウント、ブレードなど)、ネットワーク機器(例えば、物理または仮想)、高性能計算装置、ウェブ機器、分散計算システム、コンピュータ、プロセッサベースのシステム、マルチプロセッサシステム、スマートフォン、タブレットコンピュータ、ラップトップコンピュータ、ノートブックコンピュータ、及び/又はモバイル計算装置が含まれるが、限定ではない。図2に示すように、一実施形態では、各計算ノード110は、プロセッサ202、入出力(I/O)サブシステム206、メモリ208、データ記憶装置214、セキュアクロック216、および通信回路218を含む。もちろん、計算装置110は、他の実施形態では、サーバに一般的に見られるようなその他のコンポーネント又は付加的なコンポーネント(例えば、様々な入出力装置など)を含み得る。また、幾つかの実施形態では、例示したコンポーネントのうち一以上は、他のコンポーネントに組み込まれていても良く、又はその一部を構成していても良い。例えば、メモリ208又はその部分は、幾つかの実施形態では、プロセッサ202に組み込まれていても良い。
プロセッサ202は、ここに説明する機能を実行できる任意のタイプのプロセッサとして実施できる。例えば、このプロセッサ202は、シングル又はマルチコアプロセッサ、デジタルシグナルプロセッサ、マイクロコントローラ、又はその他のプロセッサ又は処理/制御回路として実施できる。例示的なプロセッサ202は、1つ以上のトラステッド(trusted)実行環境(TEE)サポート204、またはセキュアエンクレーブサポートを含む。これは、トラステッド実行環境を確立する際に計算ノード110によって利用され得る。言うまでもなく、いくつかの実施形態では、TEEサポート204は、実行コードを測定、検証、または真正なものであると判定することができる、トラステッド実行環境のためのハードウェア強化セキュリティを提供する。例えば、TEEサポート204は、インテル(登録商標)ソフトウェア・ガード・エクステンション(SGX)技術として実施することができる。TEEサポート204は、プロセッサ202内に例示的に示されているが、いくつかの実施形態では、計算ノード110の1つ以上の他のコンポーネントがTEEサポート204を含むことができる。さらに、いくつかの実施形態では、計算ノード110のプロセッサ202は、TEEサポート204を利用してトラステッド実行環境を確立するように構成されたセキュリティエンジン(例えば、以下に説明するセキュリティエンジン224)、マネージャビリティ(manageability)エンジン、またはセキュリティコプロセッサを含むことができる。
メモリ208は、ここに説明する機能を実行できる、任意のタイプの揮発性又は不揮発性メモリ又はデータストレージとして実施できる。動作中、メモリ208は、オペレーティングシステム、アプリケーション、プログラム、ライブラリ、及びドライバなど、計算ノード110の動作中に用いられる様々なデータとソフトウェアを記憶できる。メモリ208は、I/Oサブシステム206を介してプロセッサ202に通信可能に結合している。I/Oサブシステム112は、プロセッサ202、メモリ208、及び計算ノード110のその他のコンポーネントとの入出力動作を容易にする回路及び/又はコンポーネントとして実施できる。例えば、I/Oサブシステム206は、メモリコントローラハブ、入出力制御ハブ、ファームウェア装置、通信リンク(すなわち、ポイント・ツー・ポイントリンク、バスリンク、ワイヤ、ケーブル、光ガイド、プリント回路板トレースなど)及び/又は入出力動作を容易にするその他のコンポーネント及びサブシステムとして、又はこれらを含むものとして実施できる。
例示的なメモリ208は、セキュアメモリ210を含む。いくつかの実施形態では、セキュアメモリ210は、メモリ208のセキュアパーティションとして実施されてもよい。一方、他の実施形態では、セキュアメモリ210は、計算ノード110の別のハードウェアコンポーネントで実施されても、またはそれに含まれてもよい。本明細書で説明するように、セキュアメモリ210は計算ノード110に供給されるさまざまなデータを格納し得る。例えば、セキュアメモリ210は、チップセットの製造者により提供され得る計算ノード110の、及び/又はトラステッド実行環境のセキュアキー(例えば、アテステーションキー、プライベートダイレクトアノニマスアテステーション(DAA)キー、エンハンストプライバシー識別(EPID)キー、または任意の他のタイプのセキュア/暗号キー)を格納してもよい。セキュアメモリ210は、例えば、計算ノード110のOEM(original equipment manufacturer)によって供給される計算ノード110のパスワード、PIN、または他の一意の識別子を格納することもできる。もちろん、言うまでもなく、セキュアメモリ210は、具体的な実施形態に応じて、様々な他のデータ(例えば、グループ名、装置識別子、ホワイトリスト、予想されるPIN値など)を格納することができる。いくつかの実施形態では、提供されたデータは、セキュアメモリ210の読み出し専用メモリに格納されてもよい。
例示的なメモリ208は、基本入出力システム(BIOS)212をさらに含む。BIOS212は、ブートプロセス中に計算ノード110を初期化する命令(例えば、計算ノード110のブート中に使用されるBIOSドライバ)を含む。いくつかの実施形態では、計算ノード110は、インテル(登録商標)プラットフォームチップセットのエクステンションなどのメインプラットフォームファームウェア、すなわちプリブートファームウェアにより、またはUnified Extensible Firmware Interface(「UEFI」)仕様に基づくプラットフォームBIOS212により、VNFインスタンスのオーケストレーションを容易にすることができる。UEFI仕様には、Unified EFI Forumによって発行された、いくつかのバージョンがある。
データストレージ装置214は、例えば、メモリ装置と回路、メモリカード、ハードディスクドライブ、固体ドライブ、その他の記憶装置などの、データを短期又は長期にわたり格納するように構成された任意のタイプの装置として実施できる。使用時、以下に説明するように、データ記憶装置214及び/又はメモリ208は、セキュリティ監視ポリシー、設定ポリシー、または他の同様のデータを格納することができる。
セキュアクロック216は、安全な(secure)タイミング信号を提供することができ、さもなければ本明細書で説明する機能を実行することができる任意のハードウェアコンポーネントまたは回路として実施することができる。例えば、例示的な実施形態では、セキュアクロック216は、計算ノード110の他のクロック源とは別個かつ機能的に独立したタイミング信号を生成することができる。したがって、このような実施形態では、セキュアクロック216は、例えば、計算ノード110上で実行されるソフトウェアのような他のエンティティによる変更に対して影響を受けない、または抵抗力があり得る。言うまでもなく、いくつかの実施形態では、セキュアクロック216は、スタンドアロンコンポーネントまたは回路として実施されてもよく、一方、他の実施形態では、セキュアクロック216は、別のコンポーネント(例えば、プロセッサ202)のセキュアな部分と一体化するか、またはセキュアな部分を形成することができる。例えば、いくつかの実施形態では、セキュアクロック216は、オンチップオシレータを介して実装されてもよく、及び/又はマネージャビリティエンジン(ME)のセキュアクロックとして実施されてもよい。また、言うまでもなく、セキュアクロック216は、他の計算ノード110のセキュアクロックに同期していてもよく、粒度(granularity)は、別個のメッセージタイミングを区別することができるオーダーとすることができる。
計算ノード110の通信回路218は、計算ノード110と、別の計算ノード110、NFVオーケストレータ104、VIM106、エンドポイント装置118,120、及び/又は他の接続されたネットワーク対応計算ノードとの間の通信を可能にすることができる、任意の通信回路、装置、又はこれらの集まりとして実施することができる。通信回路218は、一以上の任意の通信技術(例えば、有線または無線通信)と、かかる通信を行う関連プロトコル(例えば、イーサネット(登録商標)、Bluetooth(登録商標)、Wi−Fi、WiMAX、GSM(登録商標)、LTEなど)とを用いるように構成されていてもよい。例示的な通信回路218は、ネットワークインターフェースカード(NIC)220およびスイッチ222を含む。NIC220は、1つ以上のアドインボード、ドータカード、ネットワークインターフェースカード、コントローラチップ、チップセット、または計算ノード110によって使用され得る他の装置として実施されてもよい。例えば、NIC220は、PCI Expressのような拡張バスを介してI/Oサブシステム206に結合された拡張カードとして実施することができる。スイッチ222は、イーサネットスイッチチップ、PCIエクスプレススイッチングチップなど、ネットワークスイッチ操作を実行し、そうでなくても本明細書に記載された機能を実行することができる任意のハードウェアコンポーネントまたは回路として実施することができる。
上述したように、計算ノード110は、セキュリティエンジン224を含むこともでき、これは計算ノード110上にトラステッド実行環境(TEE)を確立することができる任意のハードウェアコンポーネントまたは回路として実施してもよい。具体的には、セキュリティエンジン224は、計算ノード110によって実行される他のコードから独立した、データのアクセス及び/又はコードの実行をサポートすることができる。セキュリティエンジン224は、トラステッドプラットフォームモジュール(TPM)、マネージャビリティエンジン(ME)、帯域外プロセッサ、または他のセキュリティエンジン装置、または装置の集まり(例えば、ARM(登録商標)のトラステッドゾーン(TZ)など)として実施することができる。いくつかの実施形態では、セキュリティエンジン224は、計算ノード110のシステムオンチップ(SoC)に組み込まれた統合セキュリティ・マネージャビリティエンジン(CSME)として実施されてもよい。
再び図1を参照して、例示的なNFVネットワークアーキテクチャ116は、2つのエンドポイント装置118,120の間で通信可能に結合される。例示的なシステム100では、第1のエンドポイント装置はエンドポイント装置(1)118として指定され、第2のエンドポイント装置はエンドポイント装置(2)120として指定される。しかし、言うまでもなく、任意の数のエンドポイント装置がNFVネットワークアーキテクチャ116を介して接続されてもよい。エンドポイント装置118,120は、有線または無線技術を使用してネットワーク(図示せず)を介してNFVネットワークアーキテクチャ116と通信可能に結合され、エンドポイント装置(1)が、エンドポイント装置(2)と、およびその逆に通信できるエンドツーエンド通信システムを構成する。したがって、NFVネットワークアーキテクチャ116は、エンドポイント装置118,120間で送信されるネットワーク通信トラフィック(すなわち、ネットワークパケット)を監視し、処理することができる。
エンドポイント装置118,120が通信するネットワークは、任意のタイプの有線または無線通信ネットワークとして実施することができ、GSM(Global System for Mobile Communications)またはLTE(Long−Term Evolution)のようなセルラーネットワーク、テレフォニーネットワーク、デジタル加入者線(DSL)ネットワーク、ケーブルネットワーク、ローカルまたはワイドエリアネットワーク、グローバルネットワーク(例えば、インターネット)、またはそれらの任意の組み合わせを含む。例えば、いくつかの実施形態では、ネットワークは、vEPCアーキテクチャを有するNFVベースのLTE(Long−Term Evolution)ネットワークとして実施することができる。言うまでもなく、ネットワークは、集中型ネットワークとして機能してもよく、いくつかの実施形態では、別のネットワーク(例えば、インターネット)に通信可能に結合されてもよい。したがって、ネットワークは、エンドポイント装置118,120と、NFVネットワークアーキテクチャ116との間の通信を容易にするために、必要に応じて、ルータ、スイッチ、ネットワークハブ、サーバ、ストレージ装置、計算装置などの仮想および物理的な様々なネットワーク装置を含むことができる。
エンドポイント装置118、120は、本明細書に記載の機能を実行することができる任意のタイプの計算またはコンピュータ装置として実施することができる。これには、スマートフォン、モバイル計算装置、タブレットコンピュータ、ラップトップコンピュータ、ノートブックコンピュータ、コンピュータ、サーバ(例えば、スタンドアローン、ラックマウント、ブレードなど)、ネットワーク機器(例えば、物理または仮想)、ウェブ機器、分散計算システム、プロセッサベースのシステム、及び/又はマルチプロセッサシステムが含まれるが、限定ではない。図3に示すように、図2の計算ノード110と同様に、例示的なエンドポイント装置(例えば、図1のエンドポイント装置118,120の1つ)は、プロセッサ302、入出力(I/O)サブシステム304、メモリ306、データ記憶装置308,1つ以上の周辺装置310、および通信回路312を含む。そのため、同様のコンポーネントのさらなる説明は、計算ノード110に関して上述した対応するコンポーネントの説明が、エンドポイント装置118,120の対応するコンポーネントに等しく適用されるので、説明の明確性のため、ここでは繰り返さない。
もちろん、エンドポイント装置118,120は、他の実施形態(例えば、様々な入力/出力装置)において通信インフラストラクチャで動作することができるモバイル計算装置に一般的に見られるような、他の又は追加のコンポーネントを含むことができる。また、幾つかの実施形態では、例示したコンポーネントのうち一以上は、他のコンポーネントに組み込まれていても良く、又はその一部を構成していても良い。周辺装置310は、入出力装置、インターフェース装置、及び/又はその他のペリフェラル装置をいくつ含んでいてもよい。例えば、幾つかの実施形態では、周辺装置310は、ディスプレイ、タッチスクリーン、グラフィックス回路、キーボード、マウス、スピーカシステム、及び/又はその他の入出力装置、インターフェース装置、及び/又は周辺装置を含んでいてもよい。
ここで図4を参照し、NFVネットワークアーキテクチャ116のVNFを安全にブートストラップする図1のNFVネットワークアーキテクチャ116の例示的な実施形態は、図1のNFVセキュリティサービスコントローラ102、NFVオーケストレータ104、VIM106、およびNFVインフラストラクチャ108、及びVNFマネージャ410を含む。前に説明したように、使用時に、NFVオーケストレータ104は、インスタンス化、スケーリングアウト/イン、パフォーマンス測定、相関イベント、終了などを含む、NFVインフラストラクチャ108におけるVNFインスタンスのライフサイクルを管理する。そうするために、NFVオーケストレータ104は、NFVインフラストラクチャ108のリソースに基づいて、NFVインフラストラクチャ108のVNFインスタンスの初期化および構成(すなわち、スケーリングおよび展開)を管理するために(VNFインスタンス440参照)、セキュア通信チャネル406を介してVNFマネージャ410に命令を提供するように構成される。
VNFマネージャ410はさらに、NFVインフラストラクチャ108の構成およびイベント報告のための全体的な調整および適合を実行するように構成される。また、VNFマネージャ410は、VNFインスタンスのインテグリティを更新し保証するように構成されている。そうするために、VNFマネージャ410は、セキュア通信チャネル414を介してVIM106と通信して、特定のVNFインスタンスをインスタンス化するために利用可能な物理リソースを決定するように構成される。言うまでもなく、VIM106は、任意の適切な技術、アルゴリズム、及び/又は機構を用いて、かかる決定をしてもよい。また言うまでもなく、いくつかの実施形態では、単一のVNFマネージャ410が、1つ以上のVNFインスタンスを管理する役割を果たすことができる。換言すれば、いくつかの実施形態では、VNFマネージャ410は、各VNFインスタンスに対してインスタンス化されてもよい。
NFVネットワークアーキテクチャ116は、通信チャネル404を介してNFVオーケストレータ104に通信可能に結合されたオペレーションサポートシステムおよびビジネスサポートシステム(OSS/BSS)402をさらに含む。OSS/BSS402は、電話ネットワーク内の様々なエンドツーエンド電気通信サービスをサポートするなど、本明細書に記載の機能を実行することができる任意のタイプの計算または計算ノードとして実施することができる。いくつかの実施形態では、OSS/BSS402は、ネットワークインベントリ、サービス提供、ネットワーク構成、および障害管理などの管理機能、および製品管理、顧客管理、収益管理、注文管理など、OSS/BSS402によってサポートされるエンドツーエンド通信サービスをサポートする様々なビジネス機能をサポートするように構成されてもよい。
NFVセキュリティサービスコントローラ102は、セキュア通信チャネル416を介してNFVオーケストレータ104に通信可能に接続される。言うまでもなく、いくつかの実施形態では、NFVセキュリティサービスコントローラ102およびNFVオーケストレータ104は、MANOアーキテクチャフレームワーク内など、同じ場所に配置されてもよい。さらに、NFVセキュリティサービスコントローラ102は、セキュア通信チャネル428を介してVIM106に通信可能に接続され、NFVオーケストレータ104は、セキュア通信チャネル408を介してVIM106に通信可能に接続される。NFVネットワークアーキテクチャ116のセキュア通信チャネル(例えば、セキュア通信チャネル406、セキュア通信チャネル414など)は、NFVセキュリティサービスコントローラ102が信頼ルート(root of trust(RoT))を確立して通信チャネルを確立するために使用される安全な鍵(例えば、セッション鍵及び/又は他の暗号鍵)で保護されてもよい。いくつかの実施形態では、セキュア鍵は、定期的にリフレッシュされ得る対のセッション鍵として実施されてもよい。このように、NFVセキュリティサービスコントローラ102は、認証サーバとして動作するように構成することができる。
NFVセキュリティサービスコントローラ102は、NFVインフラストラクチャ108内のVNFインスタンスのVBSエージェント(以下にさらに説明する)を管理するように構成されたVNFブートストラップサービス(VBS)420を含む。使用時、VBS420は、トラストアンカーの観点からセキュアブートストラッププロセス(すなわち、図9および図10のセキュアなVNFブートストラップキャプチャプロトコルの実行)を管理する。したがって、いくつかの実施形態では、NFVセキュリティサービスコントローラ102は、VBS420が存在するトラステッド実行環境(TEE)422をさらに含むことができる。しかし、言うまでもなく、いくつかの実施形態では、VBS420は、専用のVBSサーバ上など、NFVセキュリティサービスコントローラ102の外部にあってもよい。そのような実施形態では、VBS420は依然としてTEEで実行されてもよい。
追加的に、例示的なNFVセキュリティサービスコントローラ102は、セキュリティ監査・フォレンジックデータベース426とインターフェースする。セキュリティ監査・フォレンジックデータベース426は、NFVネットワークアーキテクチャ116の様々なセキュリティ監視コンポーネントに関連するセキュリティ監査情報を含むセキュアデータベースとして実施される。セキュリティ監査情報は、例えば構成変更ログ、ネットワークトレース、デバッグトレース、アプリケーショントレースなどを含む、NFVネットワークアーキテクチャ116のセキュリティに関連する任意の情報を含むことができる。例示的なNFVネットワークアーキテクチャ116では、セキュリティ監査・フォレンジックデータベース426は、NFVネットワークアーキテクチャ116の他のネットワークおよびセキュリティ監視コンポーネント、例えば、NFVにわたって分散された様々なNFVセキュリティサービスエージェントおよびVIM106とインターフェースするようにさらに構成される。これについては、以下でより詳細に説明する。いくつかの実施形態では、セキュリティ監査・フォレンジックデータベース426とインターフェースする例示的なNFVネットワークアーキテクチャ116の様々なセキュリティ監視コンポーネントは、セキュアクロック(たとえば、図2のセキュアクロック216)を使用して、セキュリティ監査・フォレンジックデータベース426で受信するログにタイムスタンプを付す。
前述したように、使用時、VIM106は、セキュア通信チャネル478を介して安全に送信されたメッセージを通してNFVインフラストラクチャ108の仮想的および物理的(すなわち、ハードウェアによる)計算、記憶およびネットワークリソースの割り当てを制御および管理する。さらに、いくつかの実施形態では、VIM106は、NFVインフラストラクチャ108の計算、記憶、及びネットワークリソース(例えば、物理的及び仮想的なもの)の性能測定値およびイベントを、収集し、セキュリティ監査・フォレンジックデータベース426に転送するように構成されてもよい。例示的なVIM106は、VIMコントローラ430を含む。VIMコントローラ430は、クラウドオペレーティングシステムVNFインストールおよびアクティブ化サービスとして機能するように構成される。例えば、いくつかの実施形態では、VIMコントローラは、ネットワークポリシーコントローラ、またはネットワーキングサービスコントローラ(例えば、SDN(software defined networking)コントローラまたはOpenStackニュートロン)として、または計算サービスコントローラ(例えば、Openstack Nova)として実施されてもよい。追加的または代替的に、いくつかの実施形態では、VIMコントローラ430は、イメージサービスコントローラ、アイデンティティサービスコントローラなどとして実施されてもよい。
NFVインフラストラクチャ108は、VNFインスタンスが展開される計算ノード110のすべてのハードウェアおよびソフトウェアコンポーネント(すなわち、仮想計算、ストレージ、およびネットワークリソース、仮想化ソフトウェア、ハードウェア計算、ストレージおよびネットワークリソースなど)を含む。言うまでもなく、NFVインフラストラクチャ108の物理的コンポーネント及び/又は仮想的コンポーネントは、さまざまな場所、データセンター、地理、プロバイダなどにまたがっていてもよい。また、言うまでもなく、NFVインフラストラクチャ108のコンポーネントが通信し、それを介してインターフェースするために使用するネットワークは、NFVインフラストラクチャ108に含まれると考えてもよい。
例示的なNFVインフラストラクチャ108は、いくつかのVNFインスタンス440およびオペレータインフラストラクチャ460を含む。オペレータインフラストラクチャ460は、1つ以上のプラットフォーム470、図2のBIOS212、およびハイパーバイザ462を含む。オペレータインフラストラクチャ460は、VNFインスタンス440を展開するための複数の異なるネットワークインフラストラクチャを含むことができる。したがって、オペレータは、複数の異なるネットワークインフラストラクチャを使用して、NFVインフラストラクチャ108(すなわち、物理インフラストラクチャ)上に、または他のオペレータの物理的インフラストラクチャ上に、ならびに第三者のクラウドホスティングインフラストラクチャ上に、及び/又は顧客の敷地内のカスタマー機器上に展開することができる。例えば、展開シナリオには、プライベートクラウドモデルで動作するモノリシックオペレータ、ハイブリッドクラウド内の仮想ネットワークオペレータをホストするネットワークオペレータ、ホスティングされたネットワークオペレータ、パブリッククラウドモデルのホステッド通信およびアプリケーションプロバイダ、顧客の管理されたネットワークサービス構内機器などを含み得る。
例示的なプラットフォーム470は、プラットフォーム(1)472として指定される第1のプラットフォームと、プラットフォーム(N)474(すなわち、「N番目の」プラットフォームであり、「N」は正の整数であり、1つ以上の追加プラットフォームを指定する)として指定される第2のプラットフォームを含む。プラットフォーム470の各々は、図2のI/Oサブシステム206、NIC220(またはスイッチ222)、およびデータ記憶装置を含む。プラットフォーム470の各々は、そのプラットフォームにユニークな識別子(例えば、BIOS212(UEFI)識別子)をさらに含み、これは(例えば、セキュアメモリ210などの)安全な場所に格納することができる。ユニークなプラットフォーム識別子は、ハードウェア識別子、OEM(Original Equipment Manufacturer)基板識別子、BIOS/UEFI在庫保持ユニット(SKU)識別子、現場交換可能ユニット(FRU)識別子、オペレーティングシステムバージョン識別子などの組み合わせハッシュまたはグローバル一意識別子(GUID)FRU)識別子を含み得る。
例示的なプラットフォーム(1)472は、TEE476をさらに含む。TEE476は、セキュア環境(例えば、プロセッサ202のTEEサポート204)のCSME、SGX、IE、ME、または物理的、仮想的(すなわち、ソフトウェアベース)、またはファームウェアTPM(例えば、セキュアパーティション、セキュリティコプロセッサ又は別個のプロセッサコア等からなるセキュリティエンジン224上のファームウェアTPM)により確立されてもよい。また、TEE476は、NFVセキュリティサービスコントローラ102での安全な提供手順を通して、プラットフォーム(1)472に安全に提供することができる。いくつかの実施形態では、セキュア提供手順(secure provisioning procedure)は、NFVセキュリティサービスコントローラ102によるブートストラップを介して実行され得る。追加的または代替的に、いくつかの実施形態では、セキュア提供手順をオフラインで実行することができる。
ハイパーバイザ462または仮想マシンモニタ(VMM)は、NFVインフラストラクチャ108の様々な仮想化ハードウェアリソース(例えば、仮想メモリ、仮想オペレーティングシステム、仮想ネットワークコンポーネントなど)を確立及び/又は利用するように構成される。さらに、ハイパーバイザ462は、VNFインスタンス440にわたる通信を容易にすることができる。例示的なハイパーバイザ462は、クラウドサービスディスカバリ、サービスネゴシエーション、及び/又はサービス構成を強化するように構成された1つ以上のクラウドオペレーティングシステムエージェント464を含む。いくつかの実施形態では、ハイパーバイザ462は、TEE476と同様に機能するように構成されているが、NFVインフラストラクチャ108の仮想レベルまたはハイパーバイザレベルで機能するように構成されたTEE466をさらに含み得る。
ハイパーバイザ462は、使用時、VNFインスタンス440を、一般に、VNFインスタンス440の各々を実行するための1つ以上のVM及び/又はコンテナを介して実行する。いくつかの実施形態では、VNFインスタンス440は、課金機能、仮想スイッチ(vSwitch)、仮想ルータ(vRouter)、ファイアウォール、ネットワークアドレス変換(NAT)、DPI、進化型パケットコア(EPC)、モビリティ管理エンティティ(MME)、パケットデータネットワークゲートウェイ(PGW)、サービングゲートウェイ(SGW)、及び/又は他の仮想ネットワーク機能を含むことができる。いくつかの実施形態では、あるVNFインスタンス440は、複数のサブインスタンスを有してもよく、これは単一のプラットフォーム(例えば、プラットフォーム472)上で実行でき、または異なる複数のプラットフォーム(例えば、プラットフォーム472およびプラットフォーム474)にわたって実行することができる。言い換えれば、仮想化されると、あるプラットフォームと同じ場所に配置された物理的ハードウェアによって従来は処理されていたネットワーク機能は、1つ以上のプラットフォーム480にわたっていくつかのVNFインスタンス440として分散され得る。
VNFインスタンス440の各々は、1つ以上のVNFインスタンスを含むことができる。例えば、いくつかの実施形態では、VNFインスタンス440のいずれかは、サービス機能チェーンの複数のVNFインスタンスをバンドルすることができる。さらに、各VNFインスタンスは、1つ以上のVNFコンポーネント(VNFCs)(図示せず)を含むことができる。言うまでもなく、VNFインスタンス440は、任意の適切な仮想ネットワーク機能として実施されてもよい。同様に、VNFCは、任意の適切なVNFコンポーネントとして実施されてもよい。VNFCは、協力して、1つ以上のVNFインスタンス440の機能性を提供するプロセス及び/又はインスタンスである。例えば、いくつかの実施形態では、VNFCはVNFインスタンス440のサブモジュールであってもよい。言うまでもなく、VNFインスタンス440と同様に、VNFCは、1つ以上のプラットフォーム470にわたって分散されてもよい。また、言うまでもなく、VNFインスタンス440は、複数のプラットフォーム470にわたって分散されてもよく、1つ以上のプラットフォーム470上に確立されたVNFインスタンス440の一部を形成してもよい。そのような実施形態では、VNFインスタンス440及び/又はVNFCは、同じプラットフォーム(たとえば、プラットフォーム472またはプラットフォーム474)上で、または同じデータセンター内であるが異なるプラットフォーム470上で実行されてもよい。さらに、いくつかの実施形態では、VNFインスタンス440及び/又はVNFCは、異なるデータセンターにわたって実行されてもよい。ハイパーバイザ462は、VNFインスタンス440にわたる通信を容易にするハイパーバイザ462と同様に、VNFCにわたる通信をさらに促進することができる。
例示的なVNFインスタンス440は、VNF(1)442として示される第1のVNFインスタンスと、VNF(2)444として示される第2のVNFインスタンスと、VNF(N)446(すなわち、「N番目」のVNF、ここで「N」は正の整数であり、1つ以上の追加のVNFインスタンスを示す)として示される第3のVNFインスタンスとを含む。各VNFインスタンス440は、仮想ネットワーキング装置(例えば、vSwitch、vRouter、ファイアウォール、NAT、DPI、EPC、MME、PGW、SGWなど)として実行するように構成される。いくつかの実施形態では、1つ以上のVNFインスタンス440は、仮想機能またはサービスを実行することができるサービス機能チェーンを備えることができる。1つ以上のVNFインスタンス440は、インテル(登録商標)・データプレーン開発キット(インテル(登録商標)DPDK)などのユーザ・データ・プレーンでネットワークトラフィックを処理するパケット・プロセッサ(図示せず)を含むことができる。
各プラットフォーム470にユニークな識別子と同様に、各VNFインスタンス440は、ユニークな識別子を含む。VNFインスタンス440のユニークなVNFインスタンス識別子は、VNFインスタンス440のイメージ、VNF記述子識別子、VNFコマンドライン識別子、VNF OEM識別子、VNFベンダー識別子、及び/又はVNFC識別子の組み合わせハッシュまたはGUIDであってもよい。したがって、VNFインスタンス識別子は、VNFインスタンス440と安全に通信するとき、NFVセキュリティサービスコントローラ102、VIM106、及び/又はVNFマネージャ410によって使用されてもよい。例えば、VIM106は、ユニークなVNFインスタンス識別子を使用して、セキュア通信チャネル478を介してNFVインフラストラクチャ108でVNFインスタンスのスピンアップ(spinning up)を開始することができる。同様に、VNFマネージャ410は、セキュア通信チャネル418を介してVNFインスタンス440との管理セッションを設定するときに、ユニークなVNFインスタンス識別子を使用することができる。
例示的なVNFインスタンス440のそれぞれは、各VNFインスタンス440を安全にブートストラップして、VNFインスタンス440をルート証明書などで安全にプロビジョニングできるようにするVBSエージェント(すなわち、VNF(1)442のVBSエージェント448、VNF(2)444のVBSエージェント450、およびVNF(N)446のVBSエージェント452)を含む。さらに、例示的なVNFインスタンスの各々は、セキュア通信チャネル424ならびにオペレータインフラストラクチャ460を介して(すなわち、セキュア通信チャネル454,456,458を介して)、NFVセキュリティサービスコントローラ102のVBS420と安全にネットワーク通信する。
以下でさらに詳細に説明するように、各VBSエージェント448,450,452は、セキュアブートストラッププロセスを実行(すなわち、図9および図10のセキュアVNFブートストラップキャプチャプロトコルを実行)するように構成される。そうするために、各VBSエージェント448,450,452は、以前にスピンアップされたVNFインスタンスをインスタンス化し、セキュアブートストラッププロセスを実行するときに、NFVセキュリティサービスコントローラ102と通信する際のセキュリティに使用される公開/秘密鍵ペア(すなわち、公開鍵および秘密鍵)を生成し、セキュアブートストラッププロセスを実行するように構成される。言うまでもなく、いくつかの実施形態では、NFVインフラストラクチャ108は、VBSエージェントを含まない他のVNFインスタンスをさらに含む。
前述したように、VNFインスタンス440は、サービス機能連鎖において必要とされるような、複数のVNFを束ねることができる。そのような実施形態では、セキュアブートストラッププロセスを使用して、サービス機能チェーン全体をブートストラップすることができる。さらに、VNFインスタンス440が制御プレーンおよびデータプレーンに沿って因数分解される実施形態では、セキュアブートストラッププロセスは、1対1、1対多または多対多の制御プレーンおよびデータプレーンVNFインスタンスで利用することができる。
ここで図5を参照して、使用時、NFVセキュリティサービスコントローラ102は、動作中に環境500を確立する。NFVセキュリティサービスコントローラ102の例示的な環境500は、図4のセキュア通信モジュール510およびVNFブートストラップサービス420を含む。また、VNFブートストラップサービス420は、VBSエージェント通信モジュール520、VBSエージェント登録モジュール530を含む。
環境500の様々なモジュールは、ハードウェア、ファームウェア、ソフトウェア、またはこれらの組み合わせとして実施されてもよい。例えば、環境500の様々なモジュール、ロジック、その他のコンポーネントは、NFVセキュリティサービスコントローラ102のハードウェアコンポーネントの一部を構成しても、またはそれらハードウェアコンポーネントにより確立されてもよい。そのため、幾つかの実施形態では、環境500の一以上のモジュールは、電子装置の回路または集まり(例えば、セキュア通信回路、VBSエージェント通信回路、及びVBSエージェント登録回路など)として実施してもよい。追加的または代替的に、幾つかの実施形態では、例示のモジュールのうち1つ以上は、他のモジュール、及び/又は1つ以上の例示のモジュール及び/又はサブモジュールの一部を構成してもよく、これらはスタンドアロンモジュールとして、又は独立のモジュールとして実施されてもよい。
セキュア通信モジュール510は、NFVセキュリティサービスコントローラ102とNFVネットワークアーキテクチャ116の様々なネットワーク処理コンポーネントとの間の安全な(secure)通信(すなわち、メッセージ)を容易にするように構成される。そうするために、セキュア通信モジュール510は、NFVセキュリティサービスコントローラ102とNFVネットワークアーキテクチャ116の様々なネットワーク処理コンポーネント(例えば、VIM106、VNFマネージャ410など)との間の通信経路を確保(secure)するように構成される。したがって、いくつかの実施形態では、セキュア通信モジュール510は、様々な鍵管理機能、暗号機能、セキュア通信チャネル管理、及び/又は他のセキュリティ機能を実行することができる。例えば、セキュア通信モジュール510は、NFVセキュリティサービスコントローラ102とVNFマネージャ410との間の通信のセキュリティを確実にするために、周期的にリフレッシュされる対のセッション鍵を使用して、図4のNFVセキュリティサービスコントローラ102とVNFマネージャ410との間の通信チャネルを確保するように構成することができる。
VBSエージェント通信モジュール520は、セキュア通信モジュール510と同様に、VBS420と、NFVインフラストラクチャ108のVNFインスタンス440のVBSエージェントとの間のセキュア通信(すなわち、メッセージ)を容易にし、管理するように構成される。VBSエージェント登録モジュール530は、セキュアブートストラッププロセスの実行時にVBSエージェントを登録するように構成される。そうするために、VBSエージェント登録モジュール530は、VBSエージェント検証モジュール532と、VBSエージェントセキュリティ信用証明モジュール534とを含む。
VBSエージェント検証モジュール532は、VBSエージェントのセキュアブートストラップパラメータ(例えば、値およびハッシュ)を検証するように構成される。そうするために、VBSエージェント検証モジュール532は、VBSキャプチャプロトコルの実行中にVBSエージェントから受信したセキュリティクォート(security quote)の真正性を検証するように構成され、以下でさらに詳細に説明する。追加的または代替的に、いくつかの実施形態では、VBSエージェント検証モジュール532は、VBS420の安全なプロビジョニングの間に、VBS420またはセキュリティコントローラ102によって受信された1つ以上のプロビジョニングパラメータに基づいてVBS420の構成を検証するためのホワイトリストチェックを実行する。いくつかの実施形態では、VBSエージェント検証モジュール532は、追加的または代替的に、ノンスセッションを用いてVBSエージェントとVBS420との間のメッセージの生存性(liveness)(すなわち、リプレイ攻撃などでメッセージが期限切れになっていないこと)を検出するように構成されてもよく、以下でさらに説明する。追加的または代替的に、いくつかの実施形態では、VBSエージェント検証モジュール532は、VBSキャプチャプロトコルの実行中にVBSエージェントから受信したVBSエージェントのVNFインスタンスの公開鍵の真正性を検証するように構成することができる。
VBSエージェントセキュリティ証明モジュール534は、VBSキャプチャプロトコルの実行中に登録されるVBSエージェントに対する有効なセキュリティ証明(例えば、証明書、署名されたハッシュ結果など)を提供するように構成される。そうするために、VBSエージェントセキュリティ証明モジュール534は、VBSエージェント検証モジュール532がセキュリティクォートおよびVNFインスタンスの公開鍵の真正性を検証したこと、及びメッセージの生存性(liveness)(すなわち、リプレイ攻撃などにおいてメッセージが死んでいないこと)を確認したことに応じて、有効なセキュリティクレデンシャル(security credential)を生成または読み出しするように構成されてもよい。
ここで図6を参照し、使用時、各VNFインスタンス(例えば、図4のVNFインスタンス442,444,446)は、動作中に環境600を確立する。対応するVNFインスタンスの例示的な環境600は、セキュア通信モジュール610およびVBSエージェント(例えば、図4のVBSエージェント448,450,452のうちの1つ)を含む。例示的なVBSエージェントは、そのVBSエージェントのVBS通信モジュール620と、VBSキャプチャプロトコル実行モジュール630とを含む。環境600の様々なモジュールは、ハードウェア、ファームウェア、ソフトウェア、またはこれらの組み合わせとして実施されてもよい。例えば、環境600の様々なモジュール、ロジック、その他のコンポーネントは、NFVセキュリティサービスエージェントのハードウェアコンポーネントの一部を構成しても、またはそれらハードウェアコンポーネントにより確立されてもよい。そのため、幾つかの実施形態では、環境600の一以上のモジュールは、電子装置の回路または集まり(例えば、セキュア通信回路、VBS通信回路、及びVBSキャプチャプロトコル実行回路など)として実施してもよい。追加的または代替的に、幾つかの実施形態では、例示のモジュールのうち1つ以上は、他のモジュールの一部を構成してもよく、及び/又は1つ以上の例示のモジュール及び/又はサブモジュールは、スタンドアロンモジュールとして、又は独立のモジュールとして実施されてもよい。
セキュア通信モジュール610は、VBSエージェントとの間でのデータ(すなわち、メッセージ)の安全な送信を容易にするように構成される。VBS通信モジュール620は、例えばセキュアブートストラッププロセスの間、セキュア通信モジュール610と同様に、VBSエージェントと、NFVセキュリティサービスコントローラ102のVBS420との間のセキュア通信(例えば、登録データ、検証データ、構成データなど)を容易にし、管理するように構成される。VBSキャプチャプロトコル実行モジュール630は、セキュアVNFブートストラップキャプチャプロトコルを実行するように構成されている。これは図9及び図10を参照して説明する。そうするために、VBSキャプチャプロトコル実行モジュール630は、公開/秘密鍵ペア(すなわち、公開鍵および秘密鍵)を生成し、VNFインスタンスがインスタンス化されるプラットフォームのTEE(例えば、図4のプラットフォーム472のTEE476)から、セキュリティクォート(例えば、アテステーションクォートまたはTEEが検証または認証されることができるデジタル署名値)を要求するように構成される。したがって、TEEは、VBSエージェントのアイデンティティおよび構成を証明することができる(例えば、正しい起動パラメータによって構成された正しいVBSエージェントを実行する、VBSエージェントが要求された公開鍵を生成する)。さらに、ネットワークパケットの改ざん、ネットワークパケットの破損、ネットワークパケット内の悪意のあるコンテンツなど、可能性のあるセキュリティ脅威を検出するリモートアテステーションを実装することもできる。
ここで図7を参照して、使用時、VNFインスタンス(例えば、図4のVNFインスタンス440の1つ)は、セキュアVNFブートストラップを開始する方法700を実行することができる。方法700は、ブロック702で開始し、VNFインスタンスは、図4のOSS/BSS402などから、インスタンス化トリガーが受信されたかどうかを判定する。言うまでもなく、いくつかの実施形態では、インスタンス化は、VNFインスタンスが生成された後に自動的に実行されてもよい。そうでない場合、方法700はブロック702にループバックして、インスタンス化トリガーが受信されるのを待ち続ける。インスタンス化トリガーが受信された場合、方法はブロック704に進む。ブロック704で、VNFインスタンスは、起動パラメータのセット(すなわち起動要件)に基づいてインスタンス化する。言うまでもなく、インスタンス化されたVNFインスタンスはアクティブではない(すなわち、VNFインスタンスはネットワークトラフィックを処理していない)。
ブロック706において、VNFインスタンスは、セキュアVNFブートストラップキャプチャプロトコルを実行する。これについては、図9および図10を参照してさらに詳細に説明する。ブロック708において、VNFインスタンスは、VNFインスタンスを起動する(すなわち、ネットワークトラフィックを処理することを開始する)ことを指示する起動信号が、例えばNFVセキュリティサービスコントローラ102またはVNFマネージャ410などから受信されたかどうかを判断する。そうでない場合、方法700はブロック708にループバックして、起動信号が受信されるのを待ち続ける。起動信号が受信されると、方法700はブロック710に進む。ブロック710で、VNFインスタンスは、VNFインスタンスによって実行される動作に固有の起動ポリシーおよび構成情報を読み出す。
ブロック712において、VNFインスタンスは、動作可能なVNFインスタンスとして安全に登録される。そうするために、VNFインスタンスは、登録要求メッセージをVBS420に安全に(securely)送信する。ブロック714において、VNFインスタンスは、ブロック712で送信された登録要求メッセージに応答して登録確認が受信されたかどうかを判定する。受信されていない場合、方法700はブロック714にループバックして、登録確認を待ち続ける。登録確認が受信されると、方法700はブロック716に進む。ブロック716において、VNFインスタンスは、登録確認と一緒に受信したVNFマネージャのIPアドレスなどにより、対応するVNFマネージャ(例えば、VNFマネージャ410)を識別する。言うまでもなく、いくつかの実施形態では、複数のVNFマネージャがNFVネットワークアーキテクチャ116にあってもよい。したがって、そのような実施形態では、VNFインスタンスに対応するVNFマネージャは、そのVNFマネージャに関連するユニークな識別子により特定され得る。その識別子は、NFVセキュリティサービスコントローラ102により、VNFインスタンスに提供され得る。このように、そのような実施形態では、VNFインスタンスは、進行する前に、NFVセキュリティサービスコントローラ102にそのユニークな識別子を要求することができる。
ブロック718において、VNFインスタンスは、識別されたVNFマネージャに接続する。したがって、識別されたVNFマネージャは、VNFインスタンスのライフサイクルを管理(例えば、インスタンス化、更新、クエリ、スケーリング、終了など)することができる。いくつかの実施形態では、ブロック720において、VNFインスタンスは、VNFのライセンス供与および実施を可能にする。したがって、各VNFインスタンス440に割り当てられたライセンスは、(例えば、VNFインスタンス440によって生成された収入に関係するVNFベンダーによって)追跡され実施されることができる。そうするために、いくつかの実施形態では、VNFライセンス情報(例えば、ライセンス番号、ユニークなVNFインスタンス識別子など)は、VNFマネージャ、NFVセキュリティサービスコントローラ102、及び/又は専用ライセンス管理サーバに送信され得る。ブロック722で、VNFインスタンスは、そのVNFインスタンスがインスタンス化された動作(すなわち、サービスまたは機能)を実行する。
ここで図8を参照し、NFVネットワークアーキテクチャ116のVNFインスタンス(例えば、図4のVNFインスタンス440の1つ)を安全にブートストラップする通信フロー800の実施形態である。例示的な通信フロー800は、NFVオーケストレータ104、VIM106のVIMコントローラ430、ハイパーバイザ462のクラウドオペレーティングシステムエージェント464、NFVインフラストラクチャ108のハイパーバイザ462、VNFインスタンス440のうちの1つのVBSエージェントのうちの1つ(例えば、VBSエージェント448、VBSエージェント450、またはVBSエージェント452)、プラットフォーム472のTEE476、NFVセキュリティサービスコントローラ102のVBS420、およびVNFマネージャ410を含む。例示的な通信フロー800はさらに、実施形態に応じて、一部が別々にまたは一緒に実行され得るいくつかのメッセージフローを含む。
メッセージフロー802において、NFVオーケストレータ104は、OSS/BSS402から受信したVNFインスタンス化トリガーをVIMコントローラ430に安全に(securely)送信する。VNFインスタンス化トリガーは、署名付きVNF画像および署名付きVNF記述子の署名を含むことができる。署名されたVNF記述子は、起動パラメータ(すなわち、起動要件)を含む、VNF画像の要件及び/又は必要な要素を記述するデータ構造である。メッセージフロー804において、TEE476はVBS420を安全にプロビジョニングする。そうするために、TEE476は、プロビジョニングパラメータと、VNFがインスタンス化されるプラットフォームにユニークな識別子(すなわち、ユニークプラットフォーム識別子)とを、VBSが常駐するセキュリティコントローラ102に提供する。したがって、いくつかの実施形態では、TEE422を使用して、VBS420を安全にプロビジョニングすることができる。プロビジョニングパラメータには、VBS420の公開鍵、およびIPアドレス、DNSなどのVBS420の識別子が含まれる。前述の通り、ユニークなプラットフォーム識別子は、ハードウェア識別子、OEMボード識別子、BIOS/UEFI SKU識別子、FRU識別子、オペレーティングシステムバージョン識別子などの組合せハッシュまたはGUIDであってもよい。いくつかの実施形態では、TEE476は、VBS420の公開鍵およびVBS420識別子、ならびにVBS420を安全にプロビジョニングするために必要な他のプロビジョニング項目を送信するために、帯域外(OOB)通信技術を使用してVBS420を安全にプロビジョニングすることができる。
メッセージフロー806において、VIMコントローラ430は、署名されたVNF記述子および署名されたVNF画像など、VNFインスタンス化トリガーで受信された情報の署名を検証する。いくつかの実施形態では、署名付きVNF画像は、2つ以上の署名付きVNF画像を含むことができる。そのような実施形態では、2つ以上の署名付きVNF画像を生成して、VNF画像のグループとして再度署名するか、または別々の署名付きVNF画像として配信することができる。したがって、署名されたVNF画像に関連する各署名は、VIMコントローラ430で検証される。
メッセージフロー810において、VIMコントローラ430は、VNFイメージおよび記述子に基づいてVNFインスタンスをスピンアップするコマンドを安全に送信する。スピンアップコマンドは、さらに、VBSパラメータのセット(すなわち、VBS420の詳細)を含む。これには、VBS420の公開鍵、VBS420のIPアドレス、VBS420のドメインネームサーバ(DNS)、VBS420の完全修飾ドメイン名(FQDN)、VBS420のユニフォームリソースロケータ(URL)などを含むことができる。
メッセージフロー812において、ハイパーバイザ462は、署名されたVNF画像および署名されたVNF記述子に基づいて、VNFインスタンス(例えば、VNFインスタンス440のうちの1つ)をスピンアップする。そうするために、ハイパーバイザ462は、メッセージフロー814でVNFシグネチャ(例えば、署名されたVNF画像、署名付きVNF記述子のシグネチャなど)を検証し、メッセージフロー816でVNFインスタンスを生成する。メッセージフロー818で、ハイパーバイザ462はTEE476に登録する。そうするために、ハイパーバイザ462は、生成されたVNFインスタンスにユニークな識別子を安全に送信する。ユニークなVNFインスタンス識別子は、VNF画像インスタンス識別子、VNF記述子識別子、VNFC識別子の構成、VNFコマンドライン識別子、およびVNF OEM識別子、VNFベンダー識別子などの組み合わせハッシュまたはGUIDであってもよい。さらに、ハイパーバイザ462は、VNFインスタンスの構成情報を安全に送信することができる。
メッセージフロー820において、VBSエージェントは、VNFインスタンスに対する公開/秘密鍵ペア(すなわち、公開鍵および秘密鍵)を生成する。メッセージフロー822において、VBSエージェントは、TEE476からセキュリティクォートを読み出す。したがって、ネットワークパケットの改ざん、ネットワークパケットの破損、ネットワークパケット内の悪意のあるコンテンツなど、可能性のあるセキュリティ脅威を検出するリモートアテステーションを実装することもできる。そのため、VBSエージェントは、ユニークなプラットフォーム識別子、ユニークなVNFインスタンス識別子などのVNF識別情報をTEE476に安全に送信することができる。
メッセージフロー824において、VBS420は、VNFマネージャ410とのセキュアホワイトリスト登録を実行する。言い換えれば、VBS420は、VNFマネージャ410によって管理されるべき認識された(すなわち、特権を有するかまたは別の方法で承認された)VBSエージェントのリストまたはレジスタにVNFインスタンスを追加する。そうするために、VBS420は、VNF識別情報(例えば、ユニークなVNFインスタンス識別子)をVNFマネージャ410および1つ以上のVBSパラメータ(例えば、VBS420のIPアドレス、VBS420のDNSなど)に安全に送信し得る。
メッセージフロー826において、VBSエージェントは、図9及び図10に示す、セキュアなVNFブートストラップ取得プロトコルを実行する。メッセージフロー828で、VBSエージェントはVNFインスタンスをアクティブ化する。換言すると、VNFインスタンスでネットワークトラフィック処理が可能になる。メッセージフロー830において、VBS420は、ユニークなVNFインスタンス識別子を含むVNF起動メッセージをVNFマネージャ410に安全に送信して、VNFインスタンスが現在アクティブであることを示す。同様に、メッセージフロー832において、VBSエージェントは、VNFインスタンスが起動されたことを示すVNF起動メッセージ(VNF activated message)をVNFマネージャ410に安全に送信する。したがって、VNF起動メッセージは、ユニークなVNFインスタンス識別子を含む。
ここで図9を参照して、使用時、VBSエージェント(例えば、図4のVBSエージェント448、VBSエージェント450、またはVBSエージェント452)は、セキュア(secure)VNFブートストラップ取得プロトコルを実行する方法900を実行することができる。方法900はブロック902で開始し、VBSエージェントは開始メッセージをVBS420に安全に送信する。開始メッセージは、VBS420にそれぞれのVBSエージェントが開始したことを通知する任意のタイプのメッセージとして実施することができる。ブロック904において、VBSエージェントは、安全な認証(secure authentication)のために使用されるVBSエージェントによって生成されたノンス(nonce)(例えば、VBS420において再生を検出するためにVBSエージェントによって発行されたランダムチャレンジ)で開始メッセージを安全に送信する。ブロック906において、VBSエージェントは、VBS420から開始応答メッセージを安全に受信する。ブロック908において、VBSエージェントは、開始応答メッセージの一部としてブロック904で開始メッセージと共に送信されたノンス(nonce)を受信する。さらに、ブロック910において、VBSエージェントは、開始応答メッセージの一部としてVBS420によって生成されたノンスを受信する。したがって、応答の生存性を証明するために、開始応答メッセージに対して生存性検出を実行することができる。さらに、ブロック912において、VBSエージェントは、VBS420の秘密鍵を使用して、VBS420によって署名された開始応答メッセージを受信する。
ブロック914において、VBSエージェントは、VBS420に、登録要求メッセージを安全に受信する。そうするために、ブロック916において、VBSエージェントは、登録要求メッセージの一部として、TEE476の秘密鍵を使用して、TEE476によって署名されたセキュリティクォート(security quote)を安全に送信する。セキュリティクォートは、その計算は以下でさらに詳細に説明するが、セキュリティクォートの受信者がデジタル署名された値の送信者を認証することができるデジタル署名された値である。したがって、ネットワークパケットの改ざん、ネットワークパケットの破損、ネットワークパケット内の悪意のあるコンテンツなど、可能性のあるセキュリティ脅威を検出するリモートアテステーションを実装することもできる。さらに、ブロック918で、VBSエージェントは、VNFの秘密鍵を使用してVBSエージェントにより署名されたセキュリティ証明要求(security credential request)を送信し、登録要求メッセージの一部としてセキュリティ証明書(例えば、証明書、署名されたハッシュ結果など)を要求することができる。いくつかの実施形態では、セキュリティ証明要求は、VBS420およびVBSエージェントで生成された各ノンス、およびVNFインスタンスの公開鍵を含むことができる。追加的または代替的に、いくつかの実施形態では、証明要求は、TEE476の秘密鍵を使用してTEE476によって署名されたクォート(quote)を含むこともできる。
ブロック920において、VBSエージェントは、VBS420から開始応答メッセージを安全に受信する。ブロック922において、VBSエージェントによって受信された登録要求メッセージ応答は、有効なセキュリティ証明を含む。さらに、ブロック924において、VBSエージェントによって受信された登録要求メッセージ応答は、対応するVNFマネージャ(例えば、図4のVNFマネージャ410)のIPアドレスを含む。ブロック926において、VBSエージェントによって受信された登録要求メッセージ応答は、VBS420の秘密鍵を使用してそのVBS420によって署名される。
ここで図10を参照して、VBSエージェント(例えば、図4のVBSエージェント448、VBSエージェント450、またはVBSエージェント452)により、セキュア(secure)VNFブートストラップ取得プロトコルを実行する通信フロー1000の一実施形態を示す。例示的な通信フロー1000は、VNFインスタンス440(例えば、)の1つのVBSエージェントの1つ、プラットフォーム472のTEE476、およびNFVセキュリティサービスコントローラ102のVBS420を含む。例示的な通信フロー1000はさらに、実施形態に応じて、一部が別々にまたは一緒に実行され得るいくつかのメッセージフローを含む。
[0084]
メッセージフロー1002において、VBSエージェントは、ノンス(例えば、認証のための任意の数)を含む開始メッセージをVBS420に安全に送信する。メッセージフロー1004において、VBS420は、VBSエージェントのノンスと、他のノンス(例えば、認証のための別の任意の数)を含む開始応答メッセージを安全にVBSエージェントに送信する。さらに、開始応答メッセージは、VBS420の秘密鍵を使用してVBS420によって署名される。メッセージフロー1006において、VBSエージェントは、VBS420に、登録要求メッセージを安全に受信する。登録要求メッセージは、TEE476によって署名された秘密鍵を使用して、TEE476によって署名されたセキュリティクォート(図11)を含む。さらに、登録要求メッセージは、VBSエージェントからのノンスおよびVBS420からのノンスの両方を含むセキュリティ証明要求(security credential request)と、VBSエージェントが開始されるVNFインスタンスの公開鍵とを含む。さらに、セキュリティ保証要求は、VNFインスタンスの秘密鍵を使用してVBSエージェントによって署名される。TEE476によって計算され署名されたセキュリティクォートは、TEEクォートオペレーションの結果であり、これについては、図11でさらに詳細に説明する。
メッセージフロー1008において、VBS420は、VBSエージェントから受信したTEE476によって署名されたセキュリティクォートを検証する。メッセージフロー1010において、VBS420は、一連のホワイトリストチェックを実行して、VBS420が正しく構成されていることを検証する。したがって、いくつかの実施形態では、VBS420は、VBS420を安全にプロビジョニングするために使用されたTEE476によって送信されたプロビジョニングパラメータを検証することによって、ホワイトリストチェックを実行することができる(メッセージフロー804参照)。追加的または代替的に、いくつかの実施形態では、VBS420は、受信したユニークなプラットフォーム識別子が、VBS420をプロビジョニングしたTEEがインスタンス化されたプラットフォームのセキュリティポリシー(例えば、セキュアブートポリシー、TPMポリシー、バージョニングポリシーなど)に関して有効であることを検証することによって、ホワイトリストチェックを実行することができる。さらに、いくつかの実施形態では、VBS420は、(例えば、ユニークなVNFインスタンス識別子に基づき)ライセンス有効性チェックなどの追加のポリシーの有効性をチェックすることにより、ホワイトリストチェックを実行することができる。さらに、いくつかの実施形態では、VBSエージェント420がVBS420に登録されたことを確認するなどして、VBSエージェント420がホワイトリストチェックの一部としてVBS420と通信することが承認されているかどうかを、追加的または代替的に検証することができる。
メッセージフロー1012において、VBS420は、VBSエージェントから受信したVNFインスタンスのノンスセッションおよび公開鍵を検証することにより、セキュリティ証明要求を検証する。そうするために、VBS420は、セッションノンス(すなわち、VBSエージェントによって生成されたノンスおよびVBS420によって生成されたノンス)を使用して、遅延またはリプレイ攻撃を検出する生存性チェック(liveness check)を実行する。セッションノンスは、攻撃を検出するために使用される乱数であってよく、その値はそれらの間で送信されるメッセージに対応するフローに関連付けられて記憶される。したがって、セッションノンスは、通信されたメッセージの生存性(すなわち、セッションが期限切れではないこと)を検出するため、およびVBS420が実行している複数のフローを区別するために、各フローをチェックすることができる。
メッセージフロー1014において、VBS420は、セキュリティ証明要求の検証時に有効なセキュリティ証明(例えば、セキュリティ証明書、署名済みハッシュ結果など)を生成または読み出しする。言うまでもなく、1008から1014までのメッセージフローは、任意の順序で実行することができるが、いくつかの実施形態では、VBS420によって、セッションの期限切れのタイムラインを提供するローカルセキュリティポリシーを使用することができる。したがって、メッセージフロー1008から1014の実行の順序は、VBS420による、現在アクティブな、またはバッファされているセッションの数、VBSに利用可能な計算リソース、セッション時間満了制約などに基づくことができる。
メッセージフロー1016において、VBS420は、VBSエージェントに、登録応答メッセージを安全に送信する。登録応答メッセージは、VBSエージェントによって生成されたノンス、VBS420によって生成されたノンス、有効なセキュリティ資格、VBSエージェントの管理をするVNFマネージャ410の識別子(例えば、IPアドレス、DNS、FQDN、URLなど)、ホワイトリスト化されたVNFマネージャのセット、許可されたVNFCのセット(該当する場合)、ユニークなVNFインスタンス識別子、および1つ以上のポリシーを含む。1つ以上のポリシーは、セキュリティ監視ポリシー、ネットワークポリシー、ネットワークパケット処理ポリシーなど、特定のサービスまたは機能の実行方法に関する方向性または指示をVBSエージェントに提供する任意のタイプのポリシーを含むことができる。さらに、登録要求メッセージ応答は、VBS420の秘密鍵を使用してVBSによって署名される。言うまでもなく、いくつかの実施形態では、登録応答メッセージは追加及び/又は代替パラメータを含むことができる。
言うまでもなく、いくつかの実施形態では、セキュリティクォートは、例えば、追加及び/又は代替情報を含むように拡張可能であり、VNFインスタンスがインスタンス化されるプラットフォームの追加のコンポーネントをサポートしてもよい。例えば、追加情報は、プラットフォーム機能マスク、プラットフォームNIC及び/又はスイッチマスク、プラットフォームのサービス機能連鎖(SFC)ポリシー、セキュリティ証明識別子のリストなどを含むことができる。したがって、安全でなく非スケーラブルな環境における静的イメージを用いる従来のオペレータクラウドネットワークとは異なり、セキュアVNFブートストラップキャプチャプロトコルの動的な性質は、仮想化されたオペレータクラウドのより大きな動的スケーリングアウト/インを可能にする静的コンフィギュレーションおよびセキュリティオプションの量を、又は必要性を減らす可能性がある。
ここで図11を参照し、使用時、信頼できる実行環境(例えば、図4のTEE476)は、VBSエージェント(例えば、図4のVBSエージェント448、VBSエージェント450、またはVBSエージェント452)に対するTEEクォーティング動作を実行する方法1100を実行することができる。方法1100は、ブロック1102で開始し、TEEは、VBSエージェントの起動パラメータのセットにハッシュ関数を適用して、ハッシュ結果を生成する。起動パラメータは、VNF及び/又はVBSエージェントのインスタンスを起動するために使用され得る任意のパラメータを含むことができる。そうするために、ブロック1104において、TEEは、VNFインスタンスのイメージ、VNFインスタンスの記述子、VNFインスタンスにユニークな識別子(すなわち、ユニークVNFインスタンス識別子)、及び/又はVNFインスタンスがインスタンス化されてハッシュ結果を生成するプラットフォームにユニークな識別子(すなわちユニークプラットフォーム識別子)にハッシュ関数を適用する。したがって、TEEは、VNFを起動するためにVNF起動パラメータのすべてがTEEによって知られているので、VNFをロードするときに第1のハッシュ関数を適用することができる。言い換えると、TEEは、VBSエージェントからの入力を一切受けずに第1のハッシュ関数を適用することができる。
ブロック1106において、TEEは、VBS420のVBS識別子のセットおよび1つ以上のVBSエージェント起動パラメータにハッシュ関数を適用して、第2のハッシュ結果を生成する。VBS識別子のセットは、VBS420の公開鍵、VBS420のIPアドレス、VBS420のDNS、VBS420のFQDN、VBS420のURLなど、VBS420を識別するために使用され得る任意の情報を含むことができる。そうするために、ブロック1108において、TEEは、VBS420の公開鍵、VBS420のIPアドレス、ユニークなVNFインスタンス識別子、ユニークなプラットフォーム識別子にハッシュ関数を適用する。いくつかの実施形態では、ブロック1106でハッシュ関数を適用する前に、別のハッシュ関数をVBS420のVBS識別子のセットに適用することができる。追加的または代替的に、いくつかの実施形態では、ブロック1102で適用されるハッシュ関数のハッシュ結果は、さらにブロック1106で適用されるハッシュ関数の入力として含まれてもよい。
ブロック1110において、TEEは、VNFインスタンスの公開鍵にハッシュ関数を適用して、ハッシュ結果を生成する。言うまでもなく、いくつかの実施形態では、ブロック1106で適用されるハッシュ関数のハッシュ結果は、さらにブロック1110で適用されるハッシュ関数の入力として含まれてもよい。第1のハッシュ関数と同様に、TEEは、VBSエージェントからの入力を受信することなくブロック1106のハッシュ関数を適用することができる。ブロック1112で、TEEは、ブロック1102,1106、および1110のすべてのハッシュ結果にハッシュ関数を適用して、最終的なハッシュ結果を生成する。ブロック1114で、TEEは、TEEの秘密鍵を使用して最終的なハッシュ結果に署名し、セキュリティグォートを生成する。
例示
本明細書に開示の技術の例を以下に記載する。本技術の実施形態は、以下に記載の一以上の例、及びそれらの組み合わせを含み得る。
例1は、ネットワーク機能仮想化(NFV)ネットワークアーキテクチャにおいて複数の仮想ネットワーク機能をブートストラップする仮想ネットワーク機能(VNF)インスタンスのVNFブートストラップサービス(VBS)エージェントであって、VBSキャプチャプロトコル実行モジュールを有し、該VBSキャプチャプロトコル実行モジュールは、(i)前記NFVネットワークアーキテクチャのVBSに開始メッセージを送信し、ここで前記VBSは前記VBSエージェントに通信可能に結合され、前記開始メッセージは前記VBSエージェントがインスタンス化されるとの情報を提供し、(ii)前記開始メッセージの送信に応答して前記VBSから開始応答メッセージを受信し、(iii)前記開始応答メッセージの受信に応答して前記VBSに登録要求メッセージを送信し、ここで前記登録要求メッセージは前記VBSエージェントを前記登録要求メッセージの送信者として認証するのに使用し得るセキュリティクォートと、前記VBSにセキュリティ証明を要求するセキュリティ証明要求とを含み、(iv)前記VBSから登録応答メッセージを受信し、ここで前記登録応答メッセージは前記セキュリティクォートと前記セキュリティ証明要求とが前記VBSにより検証されたことを示すセキュリティ証明を含む。
例2は例1の主題を含み、前記開始メッセージは第1ノンスを含み、前記開始応答メッセージは前記VBSの秘密鍵を用いて前記VBSにより署名され、前記第1ノンスと、前記VBSにより生成された第2ノンスとを含み、前記セキュリティ証明要求は前記VNFインスタンスにより前記VNFインスタンスの秘密鍵を用いて署名され、前記第1ノンスと、前記第2ノンスと、前記VNFインスタンスの公開鍵とを含み、前記登録応答メッセージは、前記VBSにより前記VBSの秘密鍵を用いて署名され、前記第1ノンスと、前記第2ノンスと、前記VBSエージェントを管理する役割を有するVNFマネージャの識別子と、ホワイトリストされたVNFマネージャのセットと、前記VBSにより認証されたVNFコンポーネント(VMFC)のセットと、ユニークなVNFインスタンス識別子と、1つ以上のポリシーとをさらに含み、前記ポリシーは前記VBSエージェントが機能を実行するのに使用できる命令を含む。
例3は例1−2のいずれかの主題を含み、前記VBSキャプチャプロトコル実行モジュールはさらに、トラステッド実行環境(TEE)により前記TEEの秘密鍵を用いて署名された前記セキュリティクォートを読み出し、前記TEEは前記VNFインスタンスがインスタンス化されるプラットフォームにある、
例4は例1−3のいずれかの主題を含み、前記VBSキャプチャプロトコル実行モジュールはさらに、(i)前記NFVネットワークアーキテクチャのNFVオーケストレータからインスタンス化トリガーを受け取り、(ii)前記VBSエージェントを初期化し、前記開始メッセージの送信は、前記インスタンス化トリガーの受け取りに応答した前記開始メッセージの送信を含む。
例5は例1−4のいずれかの主題を含み、前記VBSエージェントの初期化は、(i)前記VNFインスタンスの公開/秘密鍵ペアの生成と、ここで前記VNFインスタンスの公開/秘密鍵ペアは公開鍵と秘密鍵とを含み、(ii)前記VNFインスタンスが生成されたプラットフォームのトラステッド実行環境(TEE)からの前記セキュリティクォートの読み出しと、ここで前記セキュリティクォートは前記TEEの秘密鍵を用いて前記TEEにより署名される、を含む。
例6は例1−5のいずれかの主題を含み、前記VBSキャプチャプロトコル実行モジュールはさらに、(i)前記セキュリティ証明要求を生成し、(ii)前記VBSからの前記開始応答メッセージの受信に応答して前記VNFインスタンスの前記秘密鍵を用いて前記セキュリティ証明要求に署名する、
例7は例1−6のいずれかの主題を含み、前記VBSキャプチャプロトコル実行モジュールはさらに、前記セキュリティ証明の受信に応答して、前記VNFインスタンスを起動し、前記VNFインスタンスにより受け取られるネットワークトラフィックをアクティブに処理する。
例8は例1−7のいずれかの主題を含み、前記VBSキャプチャプロトコル実行モジュールはさらに、前記VFVネットワークアーキテクチャのVNFマネージャに情報を送信し、前記情報は前記VNFマネージャに、(i)前記VNFインスタンスがアクティブであること、及び(ii)前記VNFインスタンスの構成は前記VNFマネージャにより管理されることを示し、ここで前記情報は、前記VNFインスタンスにユニークであり、前記VNFマネージャにおいて認証されたVNFインスタンスのホワイトリストに前記VNFインスタンスを追加するのに使用できるVNFインスタンス識別子を含む。
例9は例1−8のいずれかの主題を含み、前記VBSからの前記登録応答メッセージの受け取りはさらに、前記VBSエージェントに通信可能に結合されたVNFマネージャの識別子の受け取りを含む。
例10は例1−9のいずれかの主題を含み、前記VNFマネージャの識別子の受け取りは、インターネットプロトコル(IP)アドレス、ドメインネームサーバ(DNS)、完全修飾ドメイン名(FQDN)、ユニフォームリソースロケータ(URL)のうち少なくとも1つの受け取りを含む。
例11は例1−10のいずれかの主題を含み、前記VBSキャプチャプロトコル実行モジュールはさらに、前記VNFマネージャの識別子の受け取りに応答して前記VNFマネージャの識別子を用いて前記VNFマネージャに接続する。
例12は例1−11のいずれかの主題を含み、前記VBSキャプチャプロトコル実行モジュールはさらに、前記VNFマネージャの識別子の受け取りに応答して、前記VNFマネージャにVNFライセンス情報を送信し、前記VNFライセンス情報は、前記VNFインスタンスに関連するライセンスの使用をトラッキングするのに使用できる情報を含む。
例13は、ネットワーク機能仮想化(NFV)ネットワークアーキテクチャにおける複数の仮想ネットワーク機能をブートストラップする方法であって、前記NFVネットワークアーキテクチャのVNFインスタンスのVNFブートストラップサービス(VBS)エージェントが、前記VBSエージェントに通信可能に結合されたNFVネットワークアーキテクチャのVBSに開始メッセージを送信するステップであって、前記開始メッセージは前記VBSエージェントがインスタンス化されたとの情報を提供する、ステップと、前記VBSエージェントが、前記開始メッセージに応答して、前記VBSから開始応答メッセージを受け取るステップと、前記VBSエージェントが、前記開始応答メッセージの受信に応答して前記VBSに登録要求メッセージを送信するステップであって、前記登録要求メッセージは前記VBSエージェントを前記登録要求メッセージの送信者として認証するのに使用し得るセキュリティクォートと、前記VBSにセキュリティ証明を要求するセキュリティ証明要求とを含む、ステップと、前記VBSエージェントが、前記VBSから登録応答メッセージを受け取るステップであって、前記登録応答メッセージは前記セキュリティクォートと前記セキュリティ証明要求とがそれぞれ前記VBSにより検証されたことを示すセキュリティ証明を含む、ステップを含む。
例14は例13の主題を含み、前記開始メッセージを送信するステップは第1ノンスを送信するステップを含み、前記開始応答メッセージを受け取るステップは、前記VBSの秘密鍵を用いて前記VBSにより署名され、前記第1ノンスと、前記VBSにより生成された第2ノンスとを含む前記開始応答メッセージを受け取るステップを含み、前記セキュリティ証明要求を送信するステップは、前記VNFインスタンスにより前記VNFインスタンスの秘密鍵を用いて署名され、前記第1ノンスと、前記第2ノンスと、前記VNFインスタンスの公開鍵とを含む前記セキュリティ証明要求を送信するステップを含み、前記登録応答メッセージを受け取るステップは、前記VBSにより前記VBSの秘密鍵を用いて署名され、前記第1ノンスと、前記第2ノンスと、前記VBSエージェントを管理するVNFマネージャの識別子と、ホワイトリストされたVNFマネージャのセットと、前記VBSにより認証されたVNFコンポーネント(VMFC)のセットと、ユニークなVNFインスタンス識別子と、1つ以上のポリシーとをさらに含む前記登録応答メッセージを受け取るステップを含み、前記ポリシーは前記VBSエージェントが機能を実行するのに使用できる命令を含む。
例15は例13−14のいずれかの主題を含み、前記VBSエージェントが、トラステッド実行環境(TEE)により前記TEEの秘密鍵を用いて署名された前記セキュリティクォートを読み出すステップであって、前記TEEは前記VNFインスタンスがインスタンス化されるプラットフォームにある、ステップをさらに含む。
例16は例13−15のいずれかの主題を含み、さらに前記VBSエージェントが、前記NFVネットワークアーキテクチャのNFVオーケストレータからインスタンス化トリガーを受け取るステップと、前記VBSエージェントを初期化するステップとを含み、前記開始メッセージを送信するステップは、前記インスタンス化トリガーの受け取りに応答して前記開始メッセージを送信するステップを含む。
例17は例13−16のいずれかの主題を含み、前記VBSエージェントを初期化するステップは、(i)公開/秘密鍵ペアを生成するステップであって、前記VNFインスタンスの公開/秘密鍵ペアは公開鍵と秘密鍵とを含む、ステップと、(ii)前記VNFインスタンスが生成されたプラットフォームのトラステッド実行環境(TEE)からの前記セキュリティクォートの読み出すステップであって、ここで前記セキュリティクォートは前記TEEの秘密鍵を用いて前記TEEにより署名される、ステップとを含む、
例18は例13−17のいずれかの主題を含み、さらに、前記セキュリティ証明要求を生成するステップと、前記VBSからの前記開始応答メッセージの受信に応答して前記VNFインスタンスの前記秘密鍵を用いて前記セキュリティ証明要求に署名するステップとをさらに含む。
例19は例13−18のいずれかの主題を含み、前記セキュリティ証明の受け取りに応答して、前記VNFインスタンスを起動して、前記VNFインスタンスにより受け取られたネットワークトラフィックをアクティブに処理するステップをさらに含む。
例20は例13−19のいずれかの主題を含み、さらに、前記NFVネットワークアーキテクチャのVNFマネージャに、(i)前記VNFインスタンスがアクティブであること、及び(ii)前記VNFインスタンスの構成が前記VNFマネージャにより管理されることを前記VNFマネージャに示す情報を送信するステップであって、前記情報は、前記VNFインスタンスに対してユニークであり、前記VNFマネージャにおいて前記VNFインスタンスを認証されたVNFインスタンスのホワイトリストに追加するのち使用できるVNFインスタンス識別子を含む。
実施例21は実施例13−20のいずれかの主題を含み、前記VBSから前記登録応答メッセージを受け取るステップはさらに、前記VBSエージェントに通信可能に結合されたVNFマネージャの識別子を受け取るステップを含む。
実施例22は実施例13−21のいずれかの主題を含み、前記VNFマネージャの識別子を受け取るステップは、インターネットプロトコル(IP)アドレス、ドメインネームサーバ(DNS)、完全修飾ドメイン名(FQDN)、ユニフォームリソースロケータ(URL)のうち少なくとも1つを受け取るステップを含む。
例23は例13−22のいずれかの主題を含み、前記VNFマネージャの識別子の受け取りに応答して、前記VNFマネージャの識別子を用いて、前記VNFマネージャに接続するステップをさらに含む。
例24は例13−23のいずれかの主題を含み、前記VNFマネージャの識別子の受け取りに応答して、前記VNFマネージャにVNFライセンス情報を送信するステップであって、前記VNFライセンス情報は、前記VNFインスタンスに関連するライセンスの使用をトラッキングするのに使用できる情報を含む、ステップをさらに含む。
例25は計算装置を含み、該計算装置は、プロセッサと、前記プロセッサにより実行されたとき、前記プロセッサに、請求項13ないし23いずれか一項に記載の方法を実行させる複数の命令を格納したメモリとを有する。
例26は、実行されると、計算装置に請求項13−24いずれか一項に記載の方法を実行させる複数の命令を格納した一以上の機械読み取り可能記憶媒体を含む。
例27は、ネットワーク機能仮想化(NFV)ネットワークアーキテクチャにおいて複数の仮想ネットワーク機能をブートストラップする仮想ネットワーク機能(VNF)ネットワークアーキテクチャのVNFインスタンスのVNFブートストラップサービス(VBS)エージェントであって、前記VBSエージェントに通信可能に結合された前記NFVネットワークアーキテクチャのVBSに開始メッセージを送信する手段であって、前記開始メッセージは前記VBSエージェントがインスタンス化されるとの情報を提供する、手段と、前記開始メッセージに応答して、前記VBSから開始応答メッセージを受け取る手段と、前記開始応答メッセージの受信に応答して前記VBSに登録要求メッセージを送信する手段であって、前記登録要求メッセージは前記VBSエージェントを前記登録要求メッセージの送信者として認証するのに使用し得るセキュリティクォートと、前記VBSにセキュリティ証明を要求するセキュリティ証明要求とを含む、手段と、前記VBSから登録応答メッセージを受け取る手段であって、前記登録応答メッセージは前記セキュリティクォートと前記セキュリティ証明要求とが前記VBSにより検証されたことを示すセキュリティ証明を含む、手段とを有する。
例28は例27の主題を含み、前記開始メッセージを送信する手段は、第1ノンスを送信する手段を有し、前記開始応答メッセージを受け取る手段は、前記VBSの秘密鍵を用いて前記VBSにより署名され、前記第1ノンスと、前記VBSにより生成された第2ノンスとを含む前記開始応答メッセージを受け取る手段を含み、前記セキュリティ証明要求を送信する手段は、前記VNFインスタンスにより前記VNFインスタンスの秘密鍵を用いて署名され、前記第1ノンスと、前記第2ノンスと、前記VNFインスタンスの公開鍵とを含む前記セキュリティ証明要求を送信する手段を含み、前記登録応答メッセージを受け取る手段は、前記VBSにより前記VBSの秘密鍵を用いて署名され、前記第1ノンスと、前記第2ノンスと、前記VBSエージェントを管理するVNFマネージャの識別子と、ホワイトリストされたVNFマネージャのセットと、前記VBSにより認証されたVNFコンポーネント(VMFC)のセットと、ユニークなVNFインスタンス識別子と、1つ以上のポリシーとをさらに含む前記登録応答メッセージを受け取る手段を含み、前記ポリシーは前記VBSエージェントが機能を実行するのに使用できる命令を含む。
例29は例27及び28の主題を含み、前記VBSから前記登録応答メッセージを受け取る手段はさらに、前記VBSエージェントに通信可能に結合されたVNFマネージャの識別子を受け取る手段を含む。
例30は例27−29の主題を含み、前記VNFマネージャの識別子の受け取りに応答して、前記VNFマネージャの識別子を用いて、前記VNFマネージャに接続する手段をさらに含む。
例31は例27−30の主題を含み、前記VNFマネージャの識別子の受け取りに応答して、前記VNFマネージャにVNFライセンス情報を送信する手段であって、前記VNFライセンス情報は、前記VNFインスタンスに関連するライセンスの使用をトラッキングするのに使用できる情報を含む、手段をさらに含む。
例32は、ネットワーク機能仮想化(NFV)ネットワークアーキテクチャにおいて複数の仮想ネットワーク機能をブートストラップするネットワーク機能仮想化(NFV)ネットワークアーキテクチャ方法のサービスのVNFブートストラップサービス(VBS)であって、前記VBSはVBSエージェント通信モジュールを有し、該VBSエージェント通信モジュールは、(i)前記VBSに通信可能に結合された前記NFVネットワークアーキテクチャのVNFインスタンスのVBSエージェントから開始メッセージを受け取り、ここで前記開始メッセージは前記VBSエージェントがインスタンス化されたとの情報を提供し、(ii)前記開始メッセージの受け取りに応答して前記VBSに開始応答メッセージを送信し、前記開始応答メッセージの送信に応答して前記VBSから登録要求メッセージを受信し、ここで前記登録要求メッセージは前記VBSにセキュリティ証明を要求するセキュリティ証明要求とセキュリティクォートとを含み、(iv)前記登録要求メッセージのセキュリティ証明要求を受信したことに応答して、セキュリティクォートを検証して、登録要求メッセージの送信者であるVBSエージェントを認証し、(v)前記セキュリティクォートの検証に応答して、前記VBSエージェントに登録応答メッセージを送信し、ここで前記登録応答メッセージは、セキュリティクォートがVBSによって検証されたことを示すセキュリティ証明を含む。
例33は例32の主題を含み、開始メッセージの受信は第1ノンスの受信を含み、前記開始応答メッセージの送信は、前記VBSの秘密鍵を用いて前記VBSにより署名された開始応答メッセージの送信を含み、ここで前記開始応答メッセージは前記第1ノンスと、前記VBSにより生成された第2ノンスとを含み、前記セキュリティ証明要求の受信は、前記VNFインスタンスにより前記VNFインスタンスの秘密鍵を用いて署名された前記セキュリティ証明要求の受信を含み、前記セキュリティ証明要求は、前記第1ノンスと、前記第2ノンスと、前記VNFインスタンスの公開鍵とを含む。
例34は例32及び33の主題を含み、前記登録応答メッセージの送信は、前記VBSにより前記VBSの秘密鍵を用いて署名された登録応答メッセージの送信を含み、前記登録応答メッセージはさらに、前記第1ノンスと、前記第2ノンスと、前記VBSエージェントを管理する役割を果たすVNFマネージャの識別子と、ホワイトリストされたVNFマネージャのセットと、前記VBSにより認証されたVNFコンポーネント(VMFC)のセットと、ユニークなVNFインスタンス識別子と、1つ以上のポリシーとをさらに含み、前記1つ以上のポリシーは前記VBSエージェントにより機能を実行するため使用できる命令を含む。
例35は例32−34の主題を含み、前記VBSエージェント通信モジュールはさらに、前記VNFインスタンスが生成されたプラットフォームのトラステッド実行環境(TEE)からプロビジョニングパラメータのセットを受信し、前記プロビジョニングパラメータは、VBSをセキュアにプロビジョンするのに使用でき、(i)VNFインスタンスが生成されたプラットフォームのユニークなプラットフォーム識別子と、(ii)VBSの公開鍵と、(iii)VBSのユニークな識別子とを含み、プロビジョニングパラメータに基づきVBSをプロビジョンする。
例36は例32−35の主題を含み、さらに、VBSエージェント検証モジュールは、(i)登録要求メッセージの受信に応答して、TEEの秘密鍵に基づいてセキュリティクォートの認証を検証し、ここでセキュリティクォートはTEEの秘密鍵を用いて署名され、(ii)ホワイトリストチェックを実行してVBSの構成を検証し、第1ノンスと第2ノンスとを用いて登録要求メッセージの生存性を検出して、前記第1ノンスと第2ノンスが期限切れとなっていないことを確認し、(iv)VNFインスタンスの公開鍵の認証を検証する。
例37は例32−36の主題を含み、ホワイトリストチェックを実行するステップは、VBSにより受信されたプロビジョニングパラメータを検証しVBSをセキュアにプロビジョンするステップを含む。
例38は例32−37の主題を含み、ホワイトリストチェックを実行するステップは、VBSによりアクセス可能なセキュリティポリシーの有効プラットフォーム識別子に対応するプラットフォーム識別子を検証するステップを含む。
例39は例32−38の主題を含み、(i)VNFインスタンスの公開鍵とセキュリティクォートの真正性を検証し、登録要求メッセージが生きていることを検出することに応答して、セキュリティ証明を生成するVBSエージェントセキュリティ証明モジュールをさらに含む。
例40は例32−39の主題を含み、VBSエージェント通信モジュールはさらに、(i)公開鍵と秘密鍵を含むVBS公開/秘密鍵ペアを生成し、(ii)VBS公開/秘密鍵ペアの秘密鍵を用いて開始応答メッセージに署名し、開始応答メッセージを送信するステップは、署名された開始応答メッセージを送信するステップを含む。
例41は例32−40の主題を含み、VBSエージェント通信モジュールはさらに、VBS公開/秘密鍵ペアの秘密鍵を用いて登録応答メッセージに署名し、開始応答メッセージを送信するステップは、署名された開始応答メッセージを送信するステップを含む。
例42は例32−41の主題を含み、前記VBSエージェントに登録応答メッセージを送信するステップは、VBSエージェントに通信可能に結合されたVNFマネージャの識別子を送信するステップを含み、前記識別子はVNFマネージャを識別し、VNFマネージャと通信チャネルを確立するために使用できる。
例43は例32−42の主題を含み、前記VNFマネージャの識別子を送信するステップは、インターネットプロトコル(IP)アドレス、ドメインネームサーバ(DNS)、完全修飾ドメイン名(FQDN)、ユニフォームリソースロケータ(URL)のうち少なくとも1つを送信するステップを含む。
例44は例32−43の主題を含み、VBSエージェント通信モジュールはさらに、VNFマネージャに、VNFインスタンスと通信チャネルを設定するのにVNFマネージャが使用できるVNF起動メッセージを送信する。
例45は、ネットワーク機能仮想化(NFV)ネットワークアーキテクチャにおける複数の仮想ネットワーク機能をブートストラップする方法であって、NFVネットワークアーキテクチャのVNFブートストラップサービス(VBS)エージェントが、VBSに通信可能に結合されたNFVネットワークアーキテクチャのVNFインスタンスのVBSエージェントから開始メッセージを受信するステップであって、前記開始メッセージは前記VBSエージェントがインスタンス化されたとの情報を提供する、ステップと、VBSが、開始メッセージの受信に応答して、前記VBSエージェントに開始応答メッセージを送信するステップと、VBSが、開始応答メッセージの送信に応答して、VBSエージェントから登録要求メッセージを受信するステップであって、前記登録要求メッセージは前記VBSにセキュリティ証明を要求するセキュリティ証明要求とセキュリティクォートとを含む、ステップと、VBSが、登録要求メッセージのセキュリティ証明要求を受信したことに応答して、セキュリティクォートを検証して、VBSエージェントを登録要求メッセージの送信者として認証するステップと、VBSが、セキュリティクォートの検証に応答して、前記VBSエージェントに登録応答メッセージを送信するステップであって、前記登録応答メッセージは、セキュリティクォートがVBSによって検証されたことを示すセキュリティ証明を含む、ステップとを含む。
例46は例45の主題を含み、前記開始メッセージを受信するステップは第1ノンスを受信するステップを含み、前記開始応答メッセージを送信するステップは、前記VBSの秘密鍵を用いて前記VBSにより署名された開始応答メッセージを送信するステップを含み、ここで前記開始応答メッセージは前記第1ノンスと、前記VBSにより生成された第2ノンスとを含み、前記セキュリティ証明要求を受信するステップは、前記VNFインスタンスにより前記VNFインスタンスの秘密鍵を用いて署名された前記セキュリティ証明要求を受信するステップを含み、前記セキュリティ証明要求は、前記第1ノンスと、前記第2ノンスと、前記VNFインスタンスの公開鍵とを含む。
例47は例45及び46の主題を含み、登録応答メッセージを送信するステップは、VBSの秘密鍵を用いてVBSにより署名された登録応答メッセージを送信するステップを含み、前記登録応答メッセージはさらに、前記第1ノンスと、前記第2ノンスと、前記VBSエージェントを管理する役割を有するVNFマネージャの識別子と、ホワイトリストされたVNFマネージャのセットと、前記VBSにより認証されたVNFコンポーネント(VNFC)のセットと、ユニークなVNFインスタンス識別子と、1つ以上のポリシーとを含み、前記1つ以上のポリシーは前記VBSエージェントが機能を実行するのに使用できる命令を含む。
例48は例45−47の主題を含み、さらに、VBSが、前記VNFインスタンスが生成されたプラットフォームのトラステッド実行環境(TEE)からプロビジョニングパラメータのセットを受信するステップを含み、ここで、前記プロビジョニングパラメータは、VBSをセキュアにプロビジョンするのに使用でき、(i)VNFインスタンスが生成されたプラットフォームのユニークなプラットフォーム識別子と、(ii)VBSの公開鍵と、(iii)VBSのユニークな識別子とを含み、プロビジョニングパラメータに基づきVBSをプロビジョニングするステップを含む。
例49は例45−48の主題を含み、さらに、BVSが、登録要求メッセージの受信に応答して、TEEの秘密鍵に基づいてセキュリティクォートの認証を検証するステップであって、ここでセキュリティクォートはTEEの秘密鍵を用いて署名される、ステップと、VBSが、ホワイトリストチェックを実行してVBSの構成を検証するステップと、VBSが、第1ノンスと第2ノンスとを用いて登録要求メッセージの生存性を検出して、前記第1ノンスと第2ノンスが期限切れとなっていないことを確認するステップと、VBSが、VNFインスタンスの公開鍵の真正性を検証するステップとを含む。
例50は例45−49の主題を含み、ホワイトリストチェックを実行するステップは、VBSにより受信されたプロビジョニングパラメータを検証しVBSをセキュアにプロビジョンするステップを含む。
例51は例45−50の主題を含み、ホワイトリストチェックを実行するステップは、VBSによりアクセス可能なセキュリティポリシーの有効プラットフォーム識別子に対応するプラットフォーム識別子を検証するステップを含む。
例52は例45−51の主題を含み、(i)VNFインスタンスの公開鍵とセキュリティクォートの真正性を検証し、(ii)登録要求メッセージが生きていることを検出することに応答して、セキュリティ証明を生成するステップをさらに含む。
例53は例45−52の主題を含み、さらに、公開鍵と秘密鍵を含むVBS公開/秘密鍵ペアを生成するステップと、VBS公開/秘密鍵ペアの秘密鍵を用いて開始応答メッセージを署名するステップと、開始応答メッセージを送信するステップは、署名された開始応答メッセージを送信するステップを含む。
例54は例45−53の主題を含み、VBS公開/秘密鍵ペアの秘密鍵を用いて登録応答メッセージを署名するステップをさらに含み、開始応答メッセージを送信するステップは、署名された開始応答メッセージを送信するステップを含む。
例55は例45−54の主題を含み、前記VBSエージェントに登録応答メッセージを送信するステップは、VBSエージェントに通信可能に結合されたVNFマネージャの識別子を送信するステップを含み、前記識別子はVNFマネージャを識別し、VNFマネージャと通信チャネルを確立するために使用できる。
例56は例45−55の主題を含み、前記VNFマネージャの識別子を受け取るステップは、インターネットプロトコル(IP)アドレス、ドメインネームサーバ(DNS)、完全修飾ドメイン名(FQDN)、ユニフォームリソースロケータ(URL)のうち少なくとも1つを受け取るステップを含む。
例57は例45−56の主題を含み、VNFマネージャに、VNFインスタンスと通信チャネルを設定するのにVNFマネージャが使用できるVNF起動メッセージを送信するステップをさらに含む。
例58は、計算装置であって、プロセッサと、前記プロセッサにより実行されたとき、前記プロセッサに、請求項45−57いずれか一項に記載の方法を実行させる複数の命令を格納したメモリとを有する。
例59は、実行されると、計算装置に請求項45−57いずれか一項に記載の方法を実行させる複数の命令を格納した一以上の機械読み取り可能記憶媒体を含む。
例60は、ネットワーク機能仮想化(NFV)ネットワークアーキテクチャにおいて複数の仮想ネットワーク機能をブートストラップするネットワーク機能仮想化(NFV)ネットワークアーキテクチャ方法のサービスのVNFブートストラップサービス(VBS)であって、前記VBSは、前記VBSに通信可能に結合された前記NFVネットワークアーキテクチャのVNFインスタンスのVBSエージェントから開始メッセージを受信する手段であって、ここで前記開始メッセージは前記VBSエージェントがインスタンス化されたとの情報を提供する、手段と、前記開始メッセージの受信に応答して、前記VBSに開始応答メッセージを送信する手段と、開始応答メッセージの送信に応答して、VBSエージェントから登録要求メッセージを受信する手段であって、前記登録要求メッセージは前記VBSにセキュリティ証明を要求するセキュリティ証明要求とセキュリティクォートとを含む、手段と、登録要求メッセージのセキュリティ証明要求を受信したことに応答して、セキュリティクォートを検証して、登録要求メッセージの送信者であるVBSエージェントを認証する手段と、前記セキュリティクォートの検証に応答して、前記VBSエージェントに登録応答メッセージを送信する手段であって、前記登録応答メッセージは、セキュリティクォートがVBSによって検証されたことを示すセキュリティ証明を含む、手段と有する。
例61は例60の主題を含み、前記開始メッセージを受信する手段は、第1ノンスを受信する手段を有し、登録応答メッセージを送信する手段は、VBSの秘密鍵を用いてVBSにより署名された開始応答メッセージを送信する手段を有し、開始応答メッセージはVBSにより生成された第2ノンスと第1ノンスとを含み、前記セキュリティ証明要求を受信する手段は、前記VNFインスタンスにより前記VNFインスタンスの秘密鍵を用いて署名された前記セキュリティ証明要求を受信する手段を含み、前記セキュリティ証明要求は、前記第1ノンスと、前記第2ノンスと、前記VNFインスタンスの公開鍵とを含む。
例62は例60及び61の主題を含み、前記登録応答メッセージを送信する手段は、前記VBSにより前記VBSの秘密鍵を用いて署名された登録応答メッセージを送信する手段を含み、前記登録応答メッセージはさらに、前記第1ノンスと、前記第2ノンスと、前記VBSエージェントを管理する役割を果たすVNFマネージャの識別子と、ホワイトリストされたVNFマネージャのセットと、前記VBSにより認証されたVNFコンポーネント(VMFC)のセットと、ユニークなVNFインスタンス識別子と、1つ以上のポリシーとをさらに含み、前記1つ以上のポリシーは前記VBSエージェントにより機能を実行するため使用できる命令を含む。
例63は例60−62の主題を含み、さらに、前記VNFインスタンスが生成されたプラットフォームのトラステッド実行環境(TEE)からプロビジョニングパラメータのセットを受信する手段を含み、ここで、前記プロビジョニングパラメータは、VBSをセキュアにプロビジョンするのに使用でき、(i)VNFインスタンスが生成されたプラットフォームのユニークなプラットフォーム識別子と、(ii)VBSの公開鍵と、(iii)VBSのユニークな識別子とを含み、プロビジョニングパラメータに基づきVBSをプロビジョニングする手段を含む。
例64は例60−63の主題を含み、さらに、登録要求メッセージの受信に応答して、TEEの秘密鍵に基づいてセキュリティクォートの認証を検証する手段であって、セキュリティクォートはTEEの秘密鍵を用いて署名される手段と、ホワイトリストチェックを実行してVBSの構成を検証する手段と、第1ノンスと第2ノンスとを用いて登録要求メッセージの生存性を検出して、前記第1ノンスと第2ノンスが期限切れとなっていないことを確認する手段と、VNFインスタンスの公開鍵の認証を検証する手段とを有する。



Claims (26)

  1. ネットワーク機能仮想化(NFV)ネットワークアーキテクチャにおいて複数の仮想ネットワーク機能をブートストラップする仮想ネットワーク機能(VNF)インスタンスのVNFブートストラップサービス(VBS)エージェントであって、
    VBSキャプチャプロトコル実行モジュールを有し、該VBSキャプチャプロトコル実行モジュールは、(i)前記NFVネットワークアーキテクチャのVBSに開始メッセージを送信し、ここで前記VBSは前記VBSエージェントに通信可能に結合され、前記開始メッセージは前記VBSエージェントがインスタンス化されるとの情報を提供し、(ii)前記開始メッセージの送信に応答して前記VBSから開始応答メッセージを受信し、(iii)前記開始応答メッセージの受信に応答して前記VBSに登録要求メッセージを送信し、ここで前記登録要求メッセージは前記VBSエージェントを前記登録要求メッセージの送信者として認証するのに使用し得るセキュリティクォートと、前記VBSにセキュリティ証明を要求するセキュリティ証明要求とを含み、(iv)前記VBSから登録応答メッセージを受信し、ここで前記登録応答メッセージは前記セキュリティクォートと前記セキュリティ証明要求とが前記VBSにより検証されたことを示すセキュリティ証明を含む、
    VBSエージェント。
  2. 前記開始メッセージは第1ノンスを含み、
    前記開始応答メッセージは前記VBSの秘密鍵を用いて前記VBSにより署名され、前記第1ノンスと、前記VBSにより生成された第2ノンスとを含み、
    前記セキュリティ証明要求は前記VNFインスタンスにより前記VNFインスタンスの秘密鍵を用いて署名され、前記第1ノンスと、前記第2ノンスと、前記VNFインスタンスの公開鍵とを含み、
    前記登録応答メッセージは、前記VBSにより前記VBSの秘密鍵を用いて署名され、前記第1ノンスと、前記第2ノンスと、前記VBSエージェントを管理するNFVネットワークアーキテクチャのVNFマネージャの識別子と、ホワイトリストされたVNFマネージャのセットと、前記VBSにより認証されたVNFコンポーネント(VMFC)のセットと、ユニークなVNFインスタンス識別子と、1つ以上のポリシーとをさらに含み、
    前記1つ以上のポリシーは前記VBSエージェントが機能を実行するのに使用できる命令を含む、
    請求項1に記載のVBSエージェント。
  3. 前記VBSキャプチャプロトコル実行モジュールはさらに、トラステッド実行環境(TEE)により前記TEEの秘密鍵を用いて署名された前記セキュリティクォートを読み出し、前記TEEは前記VNFインスタンスがインスタンス化されるプラットフォームにある、
    請求項1に記載のVBSエージェント。
  4. 前記VBSキャプチャプロトコル実行モジュールはさらに、(i)前記NFVネットワークアーキテクチャのNFVオーケストレータからインスタンス化トリガーを受け取り、(ii)前記インスタンス化トリガーの受信に応答して前記VBSエージェントを初期化し、ここで前記開始メッセージの送信は前記インスタンス化トリガーの受信に応答した前記開始メッセージの送信を含む、請求項1に記載のVBSエージェント。
  5. 前記VBSエージェントの初期化は、(i)前記VNFインスタンスの公開/秘密鍵ペアの生成と、ここで前記VNFインスタンスの公開/秘密鍵ペアは公開鍵と秘密鍵とを含み、(ii)前記VNFインスタンスが生成されたプラットフォームのトラステッド実行環境(TEE)からの前記セキュリティクォートの読み出しと、ここで前記セキュリティクォートは前記TEEの秘密鍵を用いて前記TEEにより署名される、を含む、
    請求項4に記載のVBSエージェント。
  6. 前記VBSキャプチャプロトコル実行モジュールはさらに、(i)前記セキュリティ証明要求を生成し、(ii)前記VBSからの前記開始応答メッセージの受信に応答して前記VNFインスタンスの前記秘密鍵を用いて前記セキュリティ証明要求に署名する、
    請求項5に記載のVBSエージェント。
  7. 前記VBSキャプチャプロトコル実行モジュールはさらに、前記セキュリティ証明の受信に応答して、前記VNFインスタンスを起動し、前記VNFインスタンスにより受け取られるネットワークトラフィックをアクティブに処理する、
    請求項1に記載のVBSエージェント。
  8. 前記VBSキャプチャプロトコル実行モジュールはさらに、前記VFVネットワークアーキテクチャのVNFマネージャに情報を送信し、前記情報は前記VNFマネージャに、(i)前記VNFインスタンスがアクティブであること、及び(ii)前記VNFインスタンスの構成は前記VNFマネージャにより管理されることを示し、ここで前記情報は、前記VNFインスタンスにユニークであり、前記VNFマネージャにおいて認証されたVNFインスタンスのホワイトリストに前記VNFインスタンスを追加するのに使用できるVNFインスタンス識別子を含む、請求項7に記載のVBSエージェント。
  9. 前記VBSからの前記登録応答メッセージの受け取りはさらに、前記VBSエージェントに通信可能に結合されたNFVネットワークアーキテクチャのVNFマネージャの識別子の受け取りを含む、請求項1に記載のVBSエージェント。
  10. 前記VNFマネージャの識別子の受け取りは、インターネットプロトコル(IP)アドレス、ドメインネームサーバ(DNS)、完全修飾ドメイン名(FQDN)、ユニフォームリソースロケータ(URL)のうち少なくとも1つの受け取りを含む、
    請求項9に記載のVBSエージェント。
  11. 前記VBSキャプチャプロトコル実行モジュールはさらに、前記VNFマネージャの識別子の受け取りに応答して前記VNFマネージャの識別子を用いて前記VNFマネージャに接続する、請求項9に記載のVBSエージェント。
  12. 前記VBSキャプチャプロトコル実行モジュールはさらに、前記VNFマネージャの識別子の受け取りに応答して、前記VNFマネージャにVNFライセンス情報を送信し、前記VNFライセンス情報は、前記VNFインスタンスに関連するライセンスの使用をトラッキングするのに使用できる情報を含む、請求項9に記載のVBSエージェント。
  13. ネットワーク機能仮想化(NFV)ネットワークアーキテクチャにおける複数の仮想ネットワーク機能をブートストラップする方法であって、
    前記NFVネットワークアーキテクチャのVNFインスタンスのVNFブートストラップサービス(VBS)エージェントが、前記VBSエージェントに通信可能に結合されたNFVネットワークアーキテクチャのVBSに開始メッセージを送信するステップであって、前記開始メッセージは前記VBSエージェントがインスタンス化されたとの情報を提供する、ステップと、
    前記VBSエージェントが、前記開始メッセージに応答して、前記VBSから開始応答メッセージを受け取るステップと、
    前記VBSエージェントが、前記開始応答メッセージの受信に応答して前記VBSに登録要求メッセージを送信するステップであって、前記登録要求メッセージは前記VBSエージェントを前記登録要求メッセージの送信者として認証するのに使用し得るセキュリティクォートと、前記VBSにセキュリティ証明を要求するセキュリティ証明要求とを含む、ステップと、
    前記VBSエージェントが、前記VBSから登録応答メッセージを受け取るステップであって、前記登録応答メッセージは前記セキュリティクォートと前記セキュリティ証明要求とがそれぞれ前記VBSにより検証されたことを示すセキュリティ証明を含む、
    方法。
  14. 前記開始メッセージを送信するステップは第1ノンスを送信するステップを含み、
    前記開始応答メッセージを受け取るステップは、前記VBSの秘密鍵を用いて前記VBSにより署名され、前記第1ノンスと、前記VBSにより生成された第2ノンスとを含む前記開始応答メッセージを受け取るステップを含み、
    前記セキュリティ証明要求を送信するステップは、前記VNFインスタンスにより前記VNFインスタンスの秘密鍵を用いて署名され、前記第1ノンスと、前記第2ノンスと、前記VNFインスタンスの公開鍵とを含む前記セキュリティ証明要求を送信するステップを含み、
    前記登録応答メッセージを受け取るステップは、前記VBSにより前記VBSの秘密鍵を用いて署名され、前記第1ノンスと、前記第2ノンスと、前記VBSエージェントを管理するNFVネットワークアーキテクチャのVNFマネージャの識別子と、ホワイトリストされたVNFマネージャのセットと、前記VBSにより認証されたVNFコンポーネント(VMFC)のセットと、ユニークなVNFインスタンス識別子と、1つ以上のポリシーとをさらに含む前記登録応答メッセージを受け取るステップを含み、
    前記1つ以上のポリシーは前記VBSエージェントが機能を実行するのに使用できる命令を含む、
    請求項13に記載の方法。
  15. 前記VBSエージェントが、トラステッド実行環境(TEE)により前記TEEの秘密鍵を用いて署名された前記セキュリティクォートを読み出すステップであって、前記TEEは前記VNFインスタンスがインスタンス化されるプラットフォームにある、ステップをさらに含む、
    請求項13に記載の方法。
  16. 前記VBSエージェントが、前記NFVネットワークアーキテクチャのNFVオーケストレータからインスタンス化トリガーを受け取るステップと、
    前記インスタンス化トリガーの受け取りに応答して前記VBSエージェントを初期化するステップとをさらに含み、
    前記開始メッセージを送信するステップは、前記インスタンス化トリガーの受け取りに応答して前記開始メッセージを送信するステップを含む、
    請求項13に記載の方法。
  17. 前記VBSエージェントを初期化するステップは、(i)公開/秘密鍵ペアを生成するステップであって、前記VNFインスタンスの公開/秘密鍵ペアは公開鍵と秘密鍵とを含む、ステップと、(ii)前記VNFインスタンスが生成されたプラットフォームのトラステッド実行環境(TEE)からの前記セキュリティクォートの読み出すステップであって、ここで前記セキュリティクォートは前記TEEの秘密鍵を用いて前記TEEにより署名される、ステップとを含む、請求項16に記載の方法。
  18. 前記セキュリティ証明要求を生成するステップと、
    前記VBSからの前記開始応答メッセージの受信に応答して前記VNFインスタンスの前記秘密鍵を用いて前記セキュリティ証明要求に署名するステップとをさらに含む、
    請求項16に記載の方法。
  19. 前記セキュリティ証明の受け取りに応答して、前記VNFインスタンスを起動して、前記VNFインスタンスにより受け取られたネットワークトラフィックをアクティブに処理するステップをさらに含む、請求項13に記載の方法。
  20. 前記NFVネットワークアーキテクチャのVNFマネージャに、(i)前記VNFインスタンスがアクティブであること、及び(ii)前記VNFインスタンスの構成が前記VNFマネージャにより管理されることを前記VNFマネージャに示す情報を送信するステップであって、前記情報は、前記VNFインスタンスに対してユニークであり、前記VNFマネージャにおいて前記VNFインスタンスを認証されたVNFインスタンスのホワイトリストに追加するのち使用できるVNFインスタンス識別子を含む、ステップをさらに含む、
    請求項19に記載の方法。
  21. 前記VBSから前記登録応答メッセージを受け取るステップはさらに、前記VBSエージェントに通信可能に結合されたNFVネットワークアーキテクチャのVNFマネージャの識別子を受け取るステップを含む、請求項13に記載の方法。
  22. 前記VNFマネージャの識別子の受け取りに応答して、前記VNFマネージャの識別子を用いて、前記VNFマネージャに接続するステップをさらに含む、
    請求項21に記載の方法。
  23. 前記VNFマネージャの識別子の受け取りに応答して、前記VNFマネージャにVNFライセンス情報を送信するステップであって、前記VNFライセンス情報は、前記VNFインスタンスに関連するライセンスの使用をトラッキングするのに使用できる情報を含む、ステップをさらに含む、請求項21に記載の方法。
  24. 計算装置であって、
    プロセッサと、
    前記プロセッサにより実行されたとき、前記プロセッサに、請求項13ないし23いずれか一項に記載の方法を実行させる複数の命令を格納したメモリとを有する、
    計算装置。
  25. 実行されると、計算装置に請求項13−23いずれか一項に記載の方法を実行させるコンピュータプログラム。
  26. 請求項25に記載のコンピュータプログラムを記憶した1つ以上の機械可読記憶媒体。

JP2017556687A 2015-05-11 2016-04-11 仮想ネットワーク機能の安全なブートストラップ技術 Active JP6720211B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/709,170 2015-05-11
US14/709,170 US9578008B2 (en) 2015-05-11 2015-05-11 Technologies for secure bootstrapping of virtual network functions
PCT/US2016/026888 WO2016182656A1 (en) 2015-05-11 2016-04-11 Technologies for secure bootstrapping of virtual network functions

Publications (3)

Publication Number Publication Date
JP2018520538A true JP2018520538A (ja) 2018-07-26
JP2018520538A5 JP2018520538A5 (ja) 2019-05-09
JP6720211B2 JP6720211B2 (ja) 2020-07-08

Family

ID=57249310

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017556687A Active JP6720211B2 (ja) 2015-05-11 2016-04-11 仮想ネットワーク機能の安全なブートストラップ技術

Country Status (5)

Country Link
US (4) US9578008B2 (ja)
EP (2) EP3849153A3 (ja)
JP (1) JP6720211B2 (ja)
CN (2) CN112464251A (ja)
WO (1) WO2016182656A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11163865B2 (en) 2019-03-22 2021-11-02 Advanced New Technologies Co., Ltd. Trusted computing method, and server

Families Citing this family (142)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9578664B1 (en) 2013-02-07 2017-02-21 Sprint Communications Company L.P. Trusted signaling in 3GPP interfaces in a network function virtualization wireless communication system
US9705849B2 (en) * 2014-09-30 2017-07-11 Intel Corporation Technologies for distributed detection of security anomalies
US10015048B2 (en) 2014-12-27 2018-07-03 Intel Corporation Programmable protocol parser for NIC classification and queue assignments
KR101746202B1 (ko) * 2015-06-09 2017-06-12 주식회사 케이티 네트워크 기능 가상화 방법 및 이를 위한 장치
US9686240B1 (en) 2015-07-07 2017-06-20 Sprint Communications Company L.P. IPv6 to IPv4 data packet migration in a trusted security zone
US10289610B2 (en) 2015-08-17 2019-05-14 Mcafee, Llc Anonymous device operation
WO2017035737A1 (zh) * 2015-08-31 2017-03-09 华为技术有限公司 一种网络服务描述符上架方法及装置
US9749294B1 (en) 2015-09-08 2017-08-29 Sprint Communications Company L.P. System and method of establishing trusted operability between networks in a network functions virtualization environment
US10542115B1 (en) 2015-10-01 2020-01-21 Sprint Communications Company L.P. Securing communications in a network function virtualization (NFV) core network
US9811686B1 (en) 2015-10-09 2017-11-07 Sprint Communications Company L.P. Support systems interactions with virtual network functions in a trusted security zone
US10348517B2 (en) * 2015-10-09 2019-07-09 Openet Telecom Ltd. System and method for enabling service lifecycle based policy, licensing, and charging in a network function virtualization ecosystem
US9781016B1 (en) 2015-11-02 2017-10-03 Sprint Communications Company L.P. Dynamic addition of network function services
WO2017075796A1 (zh) * 2015-11-06 2017-05-11 华为技术有限公司 网络功能虚拟化nfv网络中分配虚拟资源的方法和装置
US10009328B2 (en) * 2015-12-07 2018-06-26 Mcafee, Llc System, apparatus and method for providing privacy preserving interaction with a computing system
US9912774B2 (en) * 2015-12-22 2018-03-06 Intel Corporation Accelerated network packet processing
US10778435B1 (en) * 2015-12-30 2020-09-15 Jpmorgan Chase Bank, N.A. Systems and methods for enhanced mobile device authentication
US10182045B2 (en) 2016-01-29 2019-01-15 General Electric Company Method, system, and program storage device for managing tenants in an industrial internet of things
US9967745B2 (en) * 2016-02-02 2018-05-08 Sprint Communications Company L.P. Hardware-trusted network bearers in network function virtualization infrastructure (NFVI) servers that execute virtual network functions (VNFS) under management and orchestration (MANO) control
WO2017139705A1 (en) * 2016-02-10 2017-08-17 Yaana Technologies, Llc. Dynamic elastic shadow service orchestrator
CN107347058B (zh) 2016-05-06 2021-07-23 阿里巴巴集团控股有限公司 数据加密方法、数据解密方法、装置及系统
CN109075986B (zh) * 2016-05-06 2020-09-18 华为技术有限公司 一种网络功能实例的管理方法及相关设备
WO2017202466A1 (en) * 2016-05-26 2017-11-30 Telefonaktiebolaget Lm Ericsson (Publ) Network application function registration
EP3494668B1 (en) * 2016-08-05 2022-10-05 Telefonaktiebolaget LM Ericsson (PUBL) Method and apparatus for licensing control in a virtual network environment
US10476839B2 (en) * 2016-08-15 2019-11-12 Cisco Technology, Inc. Datapath triggered on-demand NFV service activation
US10193749B2 (en) 2016-08-27 2019-01-29 Nicira, Inc. Managed forwarding element executing in public cloud data compute node without overlay network
US10333959B2 (en) 2016-08-31 2019-06-25 Nicira, Inc. Use of public cloud inventory tags to configure data compute node for logical network
US10484382B2 (en) 2016-08-31 2019-11-19 Oracle International Corporation Data management for a multi-tenant identity cloud service
US10846390B2 (en) 2016-09-14 2020-11-24 Oracle International Corporation Single sign-on functionality for a multi-tenant identity and data security management cloud service
US10594684B2 (en) 2016-09-14 2020-03-17 Oracle International Corporation Generating derived credentials for a multi-tenant identity cloud service
US10445395B2 (en) 2016-09-16 2019-10-15 Oracle International Corporation Cookie based state propagation for a multi-tenant identity cloud service
WO2018053258A1 (en) * 2016-09-16 2018-03-22 Oracle International Corporation Tenant and service management for a multi-tenant identity and data security management cloud service
US10904074B2 (en) 2016-09-17 2021-01-26 Oracle International Corporation Composite event handler for a multi-tenant identity cloud service
WO2018053686A1 (zh) * 2016-09-20 2018-03-29 华为技术有限公司 安全策略部署方法与装置
US10250498B1 (en) 2016-10-03 2019-04-02 Sprint Communications Company L.P. Session aggregator brokering of data stream communication
WO2018068202A1 (en) * 2016-10-11 2018-04-19 Nokia Technologies Oy Virtualized network function security wrapping orchestration in the cloud environment
CN107959567B (zh) 2016-10-14 2021-07-27 阿里巴巴集团控股有限公司 数据存储方法、数据获取方法、装置及系统
CN107959656B (zh) 2016-10-14 2021-08-31 阿里巴巴集团控股有限公司 数据安全保障系统及方法、装置
US10469359B2 (en) * 2016-11-03 2019-11-05 Futurewei Technologies, Inc. Global resource orchestration system for network function virtualization
US10218694B2 (en) 2016-11-22 2019-02-26 Bank Of America Corporation Securely orchestrating events initiated at remote servers using a certificate server
US10855464B2 (en) * 2016-11-23 2020-12-01 Vmware, Inc. Methods and apparatus to manage credentials in hyper-converged infrastructures
US10318723B1 (en) * 2016-11-29 2019-06-11 Sprint Communications Company L.P. Hardware-trusted network-on-chip (NOC) and system-on-chip (SOC) network function virtualization (NFV) data communications
CN108234115B (zh) * 2016-12-15 2021-03-09 阿里巴巴集团控股有限公司 信息安全的验证方法、装置和系统
US10164778B2 (en) * 2016-12-15 2018-12-25 Alibaba Group Holding Limited Method and system for distributing attestation key and certificate in trusted computing
WO2018112482A1 (en) * 2016-12-15 2018-06-21 Alibaba Group Holding Limited Method and system for distributing attestation key and certificate in trusted computing
CN108228310B (zh) * 2016-12-22 2020-11-24 中国移动通信集团上海有限公司 虚拟网络功能的均衡部署方法及装置
US10404456B2 (en) 2016-12-29 2019-09-03 Sprint Communications Company L.P. Network function virtualization (NFV) hardware trusted hosted MANO
US10972265B2 (en) * 2017-01-26 2021-04-06 Microsoft Technology Licensing, Llc Addressing a trusted execution environment
US10897459B2 (en) 2017-01-26 2021-01-19 Microsoft Technology Licensing, Llc Addressing a trusted execution environment using encryption key
US10897360B2 (en) 2017-01-26 2021-01-19 Microsoft Technology Licensing, Llc Addressing a trusted execution environment using clean room provisioning
US10419366B1 (en) 2017-01-31 2019-09-17 Barefoot Networks, Inc. Mechanism for communicating to remote control plane from forwarding element
CN108574593B (zh) * 2017-03-13 2019-11-15 华为技术有限公司 一种nfv网络中许可证的管理系统和管理方法
CN108667608B (zh) 2017-03-28 2021-07-27 阿里巴巴集团控股有限公司 数据密钥的保护方法、装置和系统
US10469317B1 (en) * 2017-03-29 2019-11-05 Juniper Networks, Inc. Virtualized network function descriptors for virtualized network function configuration
CN108667773B (zh) 2017-03-30 2021-03-12 阿里巴巴集团控股有限公司 网络防护系统、方法、装置及服务器
CN108736981A (zh) 2017-04-19 2018-11-02 阿里巴巴集团控股有限公司 一种无线投屏方法、装置及系统
US10694006B1 (en) 2017-04-23 2020-06-23 Barefoot Networks, Inc. Generation of descriptive data for packet fields
US10594829B2 (en) * 2017-05-24 2020-03-17 At&T Intellectual Property I, L.P. Cloud workload proxy as link-local service configured to access a service proxy gateway via a link-local IP address to communicate with an external target service via a private network
US10757105B2 (en) * 2017-06-12 2020-08-25 At&T Intellectual Property I, L.P. On-demand network security system
US10560525B2 (en) * 2017-06-21 2020-02-11 Juniper Networks, Inc. Synchronization between virtual network functions and host systems
US10594621B2 (en) * 2017-07-10 2020-03-17 Hewlett Packard Enterprise Development Lp Managing virtualized network service bundles
CN109286494B (zh) * 2017-07-20 2020-10-23 华为技术有限公司 一种虚拟网络功能vnf的初始化凭据生成方法及设备
US10826840B1 (en) 2017-07-23 2020-11-03 Barefoot Networks, Inc. Multiple copies of stateful tables
US10356128B1 (en) * 2017-07-27 2019-07-16 Vmware, Inc. Tag-based policy architecture
US10394603B2 (en) * 2017-07-28 2019-08-27 Genband Us Llc Virtual container processing on high performance computing processors
US10567482B2 (en) 2017-08-24 2020-02-18 Nicira, Inc. Accessing endpoints in logical networks and public cloud service providers native networks using a single network interface and a single routing table
US10491516B2 (en) 2017-08-24 2019-11-26 Nicira, Inc. Packet communication between logical networks and public cloud service providers native networks using a single network interface and a single routing table
US10348488B1 (en) 2017-08-25 2019-07-09 Sprint Communications Company L.P. Tiered distributed ledger technology (DLT) in a network function virtualization (NFV) core network
US10778579B2 (en) 2017-08-27 2020-09-15 Nicira, Inc. Performing in-line service in public cloud
US20190044809A1 (en) * 2017-08-30 2019-02-07 Intel Corporation Technologies for managing a flexible host interface of a network interface controller
CN107566372B (zh) * 2017-09-06 2018-06-05 南京南瑞集团公司 大数据环境下基于特征值反馈的安全数据采集优化方法
US10831789B2 (en) 2017-09-27 2020-11-10 Oracle International Corporation Reference attribute query processing for a multi-tenant cloud service
US10594630B1 (en) 2017-09-28 2020-03-17 Barefoot Networks, Inc. Expansion of packet data within processing pipeline
US10705823B2 (en) 2017-09-29 2020-07-07 Oracle International Corporation Application templates and upgrade framework for a multi-tenant identity cloud service
US10872145B2 (en) * 2017-10-25 2020-12-22 International Business Machines Corporation Secure processor-based control plane function virtualization in cloud systems
CN108011846B (zh) * 2017-11-03 2022-07-26 华为技术有限公司 网络功能虚拟化架构中管理业务的方法及装置
CN111164952A (zh) * 2017-11-16 2020-05-15 英特尔公司 分布式软件定义的工业系统
US10862753B2 (en) 2017-12-04 2020-12-08 Nicira, Inc. High availability for stateful services in public cloud logical networks
US10601705B2 (en) 2017-12-04 2020-03-24 Nicira, Inc. Failover of centralized routers in public cloud logical networks
CN109905252B (zh) * 2017-12-07 2022-06-07 华为技术有限公司 建立虚拟网络功能实例的方法和装置
CN109933959B (zh) * 2017-12-19 2023-06-27 华为技术有限公司 一种许可证控制方法及相关设备
CN111742522B (zh) * 2017-12-21 2023-11-24 瑞典爱立信有限公司 用于处理在云环境中部署的网络服务的事件的代理、服务器、核心网络节点及其中的方法
KR102020357B1 (ko) * 2017-12-27 2019-10-18 충남대학교산학협력단 Nfv 환경에서 보안 통신 방법 및 그 시스템
US10715564B2 (en) 2018-01-29 2020-07-14 Oracle International Corporation Dynamic client registration for an identity cloud service
WO2019183980A1 (en) * 2018-03-31 2019-10-03 Intel Corporation Technologies for securing network function virtualization images
CN108768932A (zh) * 2018-04-09 2018-11-06 中国电信股份有限公司上海分公司 一种轻量级sdn交换机与控制器的安全连接方法
EP3794798A4 (en) * 2018-05-16 2022-01-19 Nokia Technologies Oy ERROR HANDLING FRAMEWORK FOR SECURITY MANAGEMENT IN A COMMUNICATION SYSTEM
US11240135B1 (en) * 2018-05-23 2022-02-01 Open Invention Network Llc Monitoring VNFCs that are composed of independently manageable software modules
CN108964985B (zh) * 2018-06-14 2020-07-28 烽火通信科技股份有限公司 一种使用协议报文的虚拟客户终端设备的管理方法
US11343229B2 (en) 2018-06-28 2022-05-24 Vmware, Inc. Managed forwarding element detecting invalid packet addresses
US10581730B2 (en) * 2018-07-12 2020-03-03 Vmware, Inc. Packet processing using service chains
US10645201B2 (en) 2018-07-31 2020-05-05 Vmware, Inc. Packet handling during service virtualized computing instance migration
US10826943B2 (en) * 2018-08-21 2020-11-03 At&T Intellectual Property I, L.P. Security controller
US11374794B2 (en) 2018-08-24 2022-06-28 Vmware, Inc. Transitive routing in public cloud
US11196591B2 (en) 2018-08-24 2021-12-07 Vmware, Inc. Centralized overlay gateway in public cloud
US10491466B1 (en) 2018-08-24 2019-11-26 Vmware, Inc. Intelligent use of peering in public cloud
CN110943967A (zh) * 2018-09-21 2020-03-31 中兴通讯股份有限公司 一种认证方法、装置和系统
CN109450620B (zh) 2018-10-12 2020-11-10 创新先进技术有限公司 一种移动终端中共享安全应用的方法及移动终端
US10819743B2 (en) * 2018-11-05 2020-10-27 Nanning Fugui Precision Industrial Co., Ltd. Anti-replay processing method and device utilizing the same
US10880370B2 (en) * 2018-11-27 2020-12-29 At&T Intellectual Property I, L.P. Virtual network manager system
US11237859B2 (en) 2018-11-28 2022-02-01 Red Hat Israel, Ltd. Securing virtual machines in computer systems
KR102162108B1 (ko) * 2018-12-18 2020-10-07 충남대학교산학협력단 Nfv 환경을 위한 lw_pki 시스템 및 그 시스템을 이용한 통신방법.
CN109728949B (zh) * 2018-12-26 2022-03-25 新华三技术有限公司 一种集群启动方法及装置
US10726133B1 (en) * 2019-02-04 2020-07-28 Dell Products L.P. Securely loading UEFI images at runtime
US11423111B2 (en) 2019-02-25 2022-08-23 Oracle International Corporation Client API for rest based endpoints for a multi-tenant identify cloud service
US11792226B2 (en) 2019-02-25 2023-10-17 Oracle International Corporation Automatic api document generation from scim metadata
CN110147297B (zh) * 2019-04-12 2021-07-06 深圳市同泰怡信息技术有限公司 一种互相备份更新主板信息的方法及装置
US11977493B2 (en) 2019-07-17 2024-05-07 Red Hat, Inc. Safe virtual machine physical device access for network function virtualization
US11522980B2 (en) 2019-07-31 2022-12-06 Charter Communications Operating, Llc System and method to deliver converged public and private network services over disparate access mediums across regional markets
US11134431B2 (en) 2019-07-31 2021-09-28 Charter Communications Operating, Llc System and method to deliver converged public and private network services over disparate access mediums within a single market
US11847204B2 (en) * 2019-08-12 2023-12-19 Magnet Forensics Inc. Systems and methods for cloud-based management of digital forensic evidence
US11687378B2 (en) 2019-09-13 2023-06-27 Oracle International Corporation Multi-tenant identity cloud service with on-premise authentication integration and bridge high availability
US11870770B2 (en) 2019-09-13 2024-01-09 Oracle International Corporation Multi-tenant identity cloud service with on-premise authentication integration
US11133999B1 (en) 2019-10-04 2021-09-28 Rapid7, Inc. Network sensor deployment for deep packet inspection
BR112022009990A2 (pt) * 2019-11-25 2022-08-16 Ericsson Telefon Ab L M Meio não transitório legível por computador, sistema, método e unidade de computação relacionados
CN112887121B (zh) * 2019-11-29 2022-08-19 北京华为数字技术有限公司 一种管理网络服务的方法、设备及系统
US11663298B2 (en) * 2019-12-11 2023-05-30 At&T Intellectual Property I, L.P. Managing enterprise software licenses for virtual network functions
US11429519B2 (en) 2019-12-23 2022-08-30 Alibaba Group Holding Limited System and method for facilitating reduction of latency and mitigation of write amplification in a multi-tenancy storage drive
US20220100835A1 (en) 2020-02-05 2022-03-31 Quantum Digital Solutions Corporation Systems and methods for controlling a digital ecosystem using digital genomic data sets
US11205003B2 (en) 2020-03-27 2021-12-21 Intel Corporation Platform security mechanism
US11575763B2 (en) * 2020-04-03 2023-02-07 Vmware, Inc. System and method for managing configuration data of monitoring agents
US11522721B2 (en) * 2020-04-07 2022-12-06 Verizon Patent And Licensing Inc. System and method for establishing dynamic trust credentials for network functions
CN111629038B (zh) * 2020-05-19 2023-08-08 北京达佳互联信息技术有限公司 虚拟资源分享处理方法、装置、服务器及存储介质
CN111917870A (zh) * 2020-07-30 2020-11-10 广州津虹网络传媒有限公司 请求处理方法、系统、装置、电子设备及存储介质
CN111901236B (zh) * 2020-08-05 2022-08-12 烽火通信科技股份有限公司 一种利用动态路由优化openstack云网络的方法及系统
US11677668B1 (en) * 2020-08-31 2023-06-13 National Technology & Engineering Solutions Of Sandia, Llc Transparent application-layer/os deeper packet inspector
US11847205B1 (en) 2020-10-26 2023-12-19 T-Mobile Innovations Llc Trusted 5G network function virtualization of virtual network function elements embedded on a system-on-chip
US11848918B2 (en) 2020-12-23 2023-12-19 Oracle International Corporation End-to-end network encryption from customer on-premise network to customer virtual cloud network using customer-managed keys
US11856097B2 (en) * 2020-12-23 2023-12-26 Oracle International Corporation Mechanism to provide customer VCN network encryption using customer-managed keys in network virtualization device
US11431746B1 (en) * 2021-01-21 2022-08-30 T-Mobile Usa, Inc. Cybersecurity system for common interface of service-based architecture of a wireless telecommunications network
US11546767B1 (en) 2021-01-21 2023-01-03 T-Mobile Usa, Inc. Cybersecurity system for edge protection of a wireless telecommunications network
AU2022216269A1 (en) 2021-02-04 2023-08-10 Quantum Digital Solutions Corporation Cyphergenics-based ecosystem security platforms
CN113141612B (zh) * 2021-04-16 2022-09-16 中国科学院信息工程研究所 一种移动终端高可信管控方法与系统
WO2022266490A1 (en) * 2021-06-17 2022-12-22 Commscope Technologies Llc Systems and methods for virtual network function platform security solutions
CN117957539A (zh) * 2021-06-24 2024-04-30 卡内基梅隆大学 实现可信边缘IoT安全网关架构的系统和方法
US20230007486A1 (en) * 2021-06-30 2023-01-05 Commscope Technologies Llc System and method of networking security for virtualized base station
US20230114129A1 (en) * 2021-10-08 2023-04-13 Kasten, Inc. Multi-cluster boot-strapping
WO2023078546A1 (en) * 2021-11-03 2023-05-11 Telefonaktiebolaget Lm Ericsson (Publ) Attestation and security configuration of a service
CN114268507B (zh) * 2021-12-30 2023-12-05 天翼物联科技有限公司 一种基于sgx的网络云安全优化方法、系统及相关介质
WO2023242058A1 (en) * 2022-06-15 2023-12-21 Telefonaktiebolaget Lm Ericsson (Publ) Certificate issuing for virtual network functions
CN115544523B (zh) * 2022-11-28 2023-02-14 深圳鲲云信息科技有限公司 芯片引导程序的分段验证方法、装置、设备及可读介质
CN116208501A (zh) * 2022-12-28 2023-06-02 中国联合网络通信集团有限公司 Nfv中的tee资源编排方法、系统、设备及存储介质
US11736461B1 (en) * 2022-12-29 2023-08-22 Garantir LLC Sharing secrets over one or more computer networks using proxies

Family Cites Families (52)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI20050384A0 (fi) * 2005-04-14 2005-04-14 Nokia Corp Geneerisen todentamisarkkitehtuurin käyttö Internet-käytäntöavainten jakeluun matkaviestimissä
US7835528B2 (en) * 2005-09-26 2010-11-16 Nokia Corporation Method and apparatus for refreshing keys within a bootstrapping architecture
US7668945B2 (en) * 2006-08-18 2010-02-23 Intel Corporation Network booting using a platform management coprocessor
US8949826B2 (en) * 2006-10-17 2015-02-03 Managelq, Inc. Control and management of virtual systems
US7840687B2 (en) * 2007-07-11 2010-11-23 Intel Corporation Generic bootstrapping protocol (GBP)
US7844809B2 (en) * 2007-09-26 2010-11-30 Intel Corporation Verifying a trusted SMI handler
WO2010012318A1 (en) * 2008-07-31 2010-02-04 Telefonaktiebolaget Lm Ericsson (Publ) Methods, nodes, system, computer programs and computer program products for secure user subscription or registration
US8578153B2 (en) * 2008-10-28 2013-11-05 Telefonaktiebolaget L M Ericsson (Publ) Method and arrangement for provisioning and managing a device
WO2011063826A1 (en) * 2009-11-24 2011-06-03 Telefonaktiebolaget Lm Ericsson (Publ) Methods and apparatus for use in a generic bootstrapping architecture
US8856504B2 (en) * 2010-06-07 2014-10-07 Cisco Technology, Inc. Secure virtual machine bootstrap in untrusted cloud infrastructures
EP2622495A4 (en) * 2010-09-27 2015-08-12 Lantronix Inc VARIOUS METHODS AND APPARATUSES FOR ACCESSING NETWORK DEVICES WITHOUT ADDRESSES ACCESSIBLE THROUGH VIRTUAL IP ADDRESSES
WO2012060021A1 (en) * 2010-11-05 2012-05-10 Telefonaktiebolaget L M Ericsson (Publ) Registration server, gateway apparatus and method for providing a secret value to devices
US8799997B2 (en) * 2011-04-18 2014-08-05 Bank Of America Corporation Secure network cloud architecture
US8914626B1 (en) * 2011-05-20 2014-12-16 Amazon Technologies, Inc. Providing configurable bootstrapping of software image execution
US8655978B2 (en) * 2011-07-05 2014-02-18 Jade Quantum Technologies, Inc. Diskless PC network communication agent system
US8924723B2 (en) * 2011-11-04 2014-12-30 International Business Machines Corporation Managing security for computer services
WO2013170140A2 (en) * 2012-05-10 2013-11-14 Interdigital Patent Holdings, Inc. Paging and system information broadcast handling in virtualized networks
US9471355B2 (en) * 2012-07-31 2016-10-18 Hewlett-Packard Development Company, L.P. Secure operations for virtual machines
EP2936754B1 (en) * 2013-01-11 2020-12-02 Huawei Technologies Co., Ltd. Network function virtualization for a network device
CN105051698B (zh) * 2013-03-28 2018-11-16 瑞典爱立信有限公司 用于基础设施即服务云中故障管理的方法和布置
US9973375B2 (en) * 2013-04-22 2018-05-15 Cisco Technology, Inc. App store portal providing point-and-click deployment of third-party virtualized network functions
US20140376555A1 (en) * 2013-06-24 2014-12-25 Electronics And Telecommunications Research Institute Network function virtualization method and apparatus using the same
BR112016004183A8 (pt) * 2013-08-27 2020-02-11 Huawei Tech Co Ltd método para virtualização de função de rede móvel e computador
US20160212012A1 (en) * 2013-08-30 2016-07-21 Clearpath Networks, Inc. System and method of network functions virtualization of network services within and across clouds
EP2849064B1 (en) * 2013-09-13 2016-12-14 NTT DOCOMO, Inc. Method and apparatus for network virtualization
US9350632B2 (en) * 2013-09-23 2016-05-24 Intel Corporation Detection and handling of virtual network appliance failures
US9838265B2 (en) * 2013-12-19 2017-12-05 Amdocs Software Systems Limited System, method, and computer program for inter-module communication in a network based on network function virtualization (NFV)
US9813335B2 (en) * 2014-08-05 2017-11-07 Amdocs Software Systems Limited System, method, and computer program for augmenting a physical system utilizing a network function virtualization orchestrator (NFV-O)
US9384028B1 (en) * 2013-12-19 2016-07-05 Amdocs Software Systems Limited System, method, and computer program for preserving service continuity in a network function virtualization (NFV) based communication network
US10503531B2 (en) * 2013-12-24 2019-12-10 Red Hat, Inc. Loading runtime configuration files into virtual machine instances which when executed transform a stored virtual machine image into a customized configuration
JP2015149578A (ja) * 2014-02-06 2015-08-20 株式会社日立製作所 運用管理装置
US10664297B2 (en) * 2014-02-24 2020-05-26 Hewlett Packard Enterprise Development Lp Activating pre-created VNFCs when a monitored performance level of a VNF exceeds a maximum value attainable by the combined VNFCs that form a VNF
US9354896B1 (en) * 2014-02-28 2016-05-31 Emc Corporation Hypervisor utilization to reduce bootstrap time for data storage system
US9838371B2 (en) * 2014-03-14 2017-12-05 Citrix Systems, Inc. Method and system for securely transmitting volumes into cloud
EP3107246B1 (en) * 2014-03-26 2019-05-22 Huawei Technologies Co., Ltd. Network function virtualization-based certificate configuration
US9766943B2 (en) * 2014-04-15 2017-09-19 Nicira, Inc. Method and system for managing interconnection of virtual network functions
US10348825B2 (en) * 2014-05-07 2019-07-09 Verizon Patent And Licensing Inc. Network platform-as-a-service for creating and inserting virtual network functions into a service provider network
JP6311196B2 (ja) * 2014-05-08 2018-04-18 華為技術有限公司Huawei Technologies Co.,Ltd. 証明書取得方法およびデバイス
JP6299047B2 (ja) * 2014-05-08 2018-03-28 華為技術有限公司Huawei Technologies Co.,Ltd. 証明取得方法及び装置
EP2955631B1 (en) * 2014-06-09 2019-05-01 Nokia Solutions and Networks Oy Controlling of virtualized network functions for usage in communication network
EP3158686B1 (en) * 2014-06-26 2020-01-08 Huawei Technologies Co., Ltd. System and method for virtual network function policy management
US9832168B2 (en) * 2014-07-01 2017-11-28 Cable Television Laboratories, Inc. Service discovery within multi-link networks
US9781055B2 (en) * 2014-08-18 2017-10-03 Cisco Technology, Inc. Dynamic cascaded clustering for dynamic VNF
US9866435B2 (en) * 2014-10-16 2018-01-09 Telefonaktiebolaget Lm Ericsson (Publ) Lawful intercept management modules and methods for LI-configuration of an internal interception function in a cloud based network
CN104410672B (zh) * 2014-11-12 2017-11-24 华为技术有限公司 网络功能虚拟化应用升级的方法、转发业务的方法及装置
US9584377B2 (en) * 2014-11-21 2017-02-28 Oracle International Corporation Transparent orchestration and management of composite network functions
US9762457B2 (en) * 2014-11-25 2017-09-12 At&T Intellectual Property I, L.P. Deep packet inspection virtual function
US9992271B2 (en) * 2014-12-01 2018-06-05 Telefonaktiebolaget Lm Ericsson (Publ) ENF selection for NFVI
US9886297B2 (en) * 2014-12-11 2018-02-06 Amazon Technologies, Inc. Systems and methods for loading a virtual machine monitor during a boot process
CN104580208B (zh) * 2015-01-04 2018-11-30 华为技术有限公司 一种身份认证方法及装置
CN106031116B (zh) * 2015-01-19 2019-06-11 华为技术有限公司 一种ns与vnf的关联方法、装置及系统
US10587698B2 (en) * 2015-02-25 2020-03-10 Futurewei Technologies, Inc. Service function registration mechanism and capability indexing

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11163865B2 (en) 2019-03-22 2021-11-02 Advanced New Technologies Co., Ltd. Trusted computing method, and server

Also Published As

Publication number Publication date
EP3849153A3 (en) 2021-11-03
US20200210589A1 (en) 2020-07-02
US9578008B2 (en) 2017-02-21
EP3295648A1 (en) 2018-03-21
CN107548499B (zh) 2021-09-07
CN107548499A (zh) 2018-01-05
EP3849153A2 (en) 2021-07-14
US20180260570A1 (en) 2018-09-13
US10380346B2 (en) 2019-08-13
JP6720211B2 (ja) 2020-07-08
US10977372B2 (en) 2021-04-13
WO2016182656A1 (en) 2016-11-17
EP3295648B1 (en) 2023-07-05
CN112464251A (zh) 2021-03-09
US20170161501A1 (en) 2017-06-08
US9864859B2 (en) 2018-01-09
US20160337329A1 (en) 2016-11-17
EP3295648A4 (en) 2019-01-16

Similar Documents

Publication Publication Date Title
US10977372B2 (en) Technologies for secure bootstrapping of virtual network functions
US11533341B2 (en) Technologies for scalable security architecture of virtualized networks
US10721258B2 (en) Technologies for secure personalization of a security monitoring virtual network function
CN108351937B (zh) 计算设备
KR102110273B1 (ko) 체인 보안 시스템들
US20130238786A1 (en) Secure migration of virtual machines
Xu et al. TIM: A trust insurance mechanism for network function virtualization based on trusted computing
Dyer et al. Security issues relating to inadequate authentication in MapReduce applications
Girtler et al. Component integrity guarantees in software-defined networking infrastructure
Pedone et al. Trusted computing technology and proposals for resolving cloud computing security problems

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190401

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190401

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20191216

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200107

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200407

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200519

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200617

R150 Certificate of patent or registration of utility model

Ref document number: 6720211

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250