WO2016107203A1 - 一种身份认证方法及装置 - Google Patents

一种身份认证方法及装置 Download PDF

Info

Publication number
WO2016107203A1
WO2016107203A1 PCT/CN2015/088636 CN2015088636W WO2016107203A1 WO 2016107203 A1 WO2016107203 A1 WO 2016107203A1 CN 2015088636 W CN2015088636 W CN 2015088636W WO 2016107203 A1 WO2016107203 A1 WO 2016107203A1
Authority
WO
WIPO (PCT)
Prior art keywords
vnfc
private key
key
public key
identity authentication
Prior art date
Application number
PCT/CN2015/088636
Other languages
English (en)
French (fr)
Inventor
王江胜
林青春
Original Assignee
华为技术有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 华为技术有限公司 filed Critical 华为技术有限公司
Priority to EP15874889.7A priority Critical patent/EP3232634B1/en
Publication of WO2016107203A1 publication Critical patent/WO2016107203A1/zh
Priority to US15/639,273 priority patent/US10601801B2/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种身份认证方法及装置,应用于网络功能虚拟化NFV系统,能够适应系统的动态变化。该NFV系统包括虚拟网络功能VNF,该VNF包括第一虚拟网络功能组成部分VNFC和第二VNFC,该认证方法包括:生成第一VNFC的公钥和私钥,以及第二VNFC的公钥和私钥;将第一VNFC的私钥和第二VNFC的公钥写入或发送至第一VNFC;以及将第一VNFC的公钥和第二VNFC的私钥写入或发送至第二VNFC;其中,第一VNFC的公钥和私钥以及第二VNFC的公钥和私钥用于第一VNFC和第二VNFC进行身份认证。

Description

一种身份认证方法及装置 技术领域
本发明涉及通信技术领域,尤其涉及一种应用于网络功能虚拟化(Network Function Virtualization,NFV)系统的身份认证方法及装置。
背景技术
虚拟网络功能(Virtual Network Function,VNF)为NFV系统的核心部分,每个VNF包括多个VNF组成部分(VNF Component,VNFC),各VNFC间通过内部虚拟网络实现通信。由于VNF中的各VNFC间通信通过了虚拟网络,为避免出现信息泄露、伪冒通信、篡改通信内容等安全风险,两个VNFC间初始建立通信时需要进行身份认证。
现有技术中,通常采用手工配置的方式在各VNFC上配置可信身份凭据,两个VNFC间初始建立通信时基于该手工配置的可信身份凭据进行身份认证。然而,NFV系统中的VNF是动态变化的,手工配置可信身份凭据的方案效率较低,无法适应动态变化的VNF。
发明内容
本发明实施例提供一种身份认证方法及装置,用以适应动态变化的VNF。
第一方面,提供一种身份认证方法,应用于网络功能虚拟化NFV系统,所述NFV系统包括虚拟网络功能VNF,所述VNF包括第一虚拟网络功能组成部分VNFC和第二VNFC,所述方法包括:
生成所述第一VNFC的公钥和私钥,以及所述第二VNFC的公钥和私钥;
将所述第一VNFC的私钥和所述第二VNFC的公钥写入或发送至所述第一VNFC;
将所述第一VNFC的公钥和所述第二VNFC的私钥写入或发送至所述第二VNFC;其中,所述第一VNFC的公钥和私钥以及所述第二VNFC的公钥 和私钥用于所述第一VNFC和所述第二VNFC进行身份认证。
结合第一方面,在第一种可能的实现方式中,将所述第一VNFC的私钥和所述第二VNFC的公钥写入或发送至所述第一VNFC,包括:
在生成所述第一VNFC时,将所述第一VNFC的私钥和所述第二VNFC的公钥写入所述第一VNFC;或者
当所述第一VNFC为管理VNFC时,通过所述第一VNFC的管理通信通道,将所述第一VNFC的私钥和所述第二VNFC的公钥发送至所述第一VNFC。
结合第一方面,或者结合第一方面的第一种可能的实现方式,在第二种可能的实现方式中,将所述第二VNFC的标识信息写入或发送至所述第一VNFC;其中,所述第二VNFC的标识信息与所述第二VNFC的公钥的对应关系存储于所述第一VNFC中。
结合第一方面,第一方面的第一种可能的实现方式,或者第一方面的第二种可能的实现方式,在第三种可能的实现方式中,还包括:
将所述第一VNFC的标识信息写入或发送至所述第一VNFC。
第二方面,提供一种身份认证方法,应用于网络功能虚拟化NFV系统,所述NFV系统包括虚拟网络功能VNF,所述VNF包括第一虚拟网络功能组成部分VNFC和第二VNFC,所述方法包括:
生成所述第一VNFC的专用密钥,以及所述第二VNFC的专用密钥;
将所述第一VNFC的专用密钥和所述第二VNFC的专用密钥写入或发送至所述第一VNFC;
将所述第一VNFC的专用密钥和所述第二VNFC的专用密钥写入或发送至所述第二VNFC;其中,所述第一VNFC的专用密钥以及所述第二VNFC的专用密钥用于所述第一VNFC和所述第二VNFC进行身份认证。
结合第二方面,在第一种可能的实现方式中,将所述第一VNFC的专用密钥和所述第二VNFC的专用密钥写入或发送至所述第一VNFC,包括:
在生成所述第一VNFC时,将所述第一VNFC的专用密钥和所述第二 VNFC的专用密钥写入所述第一VNFC;或者
当所述第一VNFC为管理VNFC时,通过所述第一VNFC的管理通信通道,将所述第一VNFC的专用密钥和所述第二VNFC的专用密钥发送至所述第一VNFC。
结合第二方面,或者结合第二方面的第一种可能的实现方式,在第二种可能的实现方式中,还包括:
将所述第二VNFC的标识信息写入或发送至所述第一VNFC;其中,所述第二VNFC的标识信息与所述第二VNFC的专用密钥的对应关系存储于所述第一VNFC中。
结合第二方面,第二方面的第一种可能的实现方式,或者第二方面的第二种可能的实现方式,在第三种可能的实现方式中,还包括:
将所述第一VNFC的标识信息写入或发送至所述第一VNFC。
第三方面,提供一种身份认证装置,应用于网络功能虚拟化NFV系统,所述NFV系统包括虚拟网络功能VNF,所述VNF包括第一虚拟网络功能组成部分VNFC和第二VNFC,所述装置包括:
处理器,用于生成所述第一VNFC的公钥和私钥,以及所述第二VNFC的公钥和私钥;
输入输出接口,用于将所述第一VNFC的私钥和所述第二VNFC的公钥写入或发送至所述第一VNFC,以及将所述第一VNFC的公钥和所述第二VNFC的私钥写入或发送至所述第二VNFC;其中,所述第一VNFC的公钥和私钥以及所述第二VNFC的公钥和私钥用于所述第一VNFC和所述第二VNFC进行身份认证。
结合第三方面,在第一种可能的实现方式中,所述输入输出接口,具体用于在生成所述第一VNFC时,将所述第一VNFC的私钥和所述第二VNFC的公钥写入所述第一VNFC;或者当所述第一VNFC为管理VNFC时,通过所述第一VNFC的管理通信通道,将所述第一VNFC的私钥和所述第二VNFC的公钥发送至所述第一VNFC。
结合第三方面,或者结合第三方面的第一种可能的实现方式,在第二种可能的实现方式中,所述输入输出接口,还用于将所述第二VNFC的标识信息写入或发送至所述第一VNFC;其中,所述第二VNFC的标识信息与所述第二VNFC的公钥的对应关系存储于所述第一VNFC中。
结合第三方面,第三方面的第一种可能的实现方式,或者第三方面的第二种可能的实现方式,在第三种可能的实现方式中,所述输入输出接口,还用于将所述第一VNFC的标识信息写入或发送至所述第一VNFC。
结合第三方面,第三方面的第一种可能的实现方式,第三方面的第二种可能的实现方式,或者第三方面的第三种可能的实现方式,在第四种可能的实现方式中,所述输入输出接口,包括写入器或发送器。
第四方面,提供一种身份认证装置,应用于网络功能虚拟化NFV系统,所述NFV系统包括虚拟网络功能VNF,所述VNF包括第一虚拟网络功能组成部分VNFC和第二VNFC,所述装置包括:
处理器,用于生成所述第一VNFC的专用密钥,以及所述第二VNFC的专用密钥;
输入输出接口,用于将所述第一VNFC的专用密钥和所述第二VNFC的专用密钥写入或发送至所述第一VNFC,以及将所述第一VNFC的专用密钥和所述第二VNFC的专用密钥写入或发送至所述第二VNFC;其中,所述第一VNFC的专用密钥以及所述第二VNFC的专用密钥用于所述第一VNFC和所述第二VNFC进行身份认证。
结合第四方面,在第一种可能的实现方式中,所述输入输出接口,具体用于在生成所述第一VNFC时,将所述第一VNFC的专用密钥和所述第二VNFC的专用密钥写入所述第一VNFC;或者当所述第一VNFC为管理VNFC时,通过所述第一VNFC的管理通信通道,将所述第一VNFC的专用密钥和所述第二VNFC的专用密钥发送至所述第一VNFC。
结合第四方面,或者结合第四方面的第一种可能的实现方式,在第二种可能的实现方式中,所述输入输出接口,还用于将所述第二VNFC的标识信 息写入或发送至所述第一VNFC;其中,所述第二VNFC的标识信息与所述第二VNFC的对称密钥的对应关系存储于所述第一VNFC中。
结合第四方面,第四方面的第一种可能的实现方式,或者第四方面的第二种可能的实现方式,在第三种可能的实现方式中,所述输入输出接口,还用于将所述第一VNFC的标识信息写入或发送至所述第一VNFC。
结合第四方面,第四方面的第一种可能的实现方式,第四方面的第二种可能的实现方式,或者第四方面的第三种可能的实现方式,在第四种可能的实现方式中,所述输入输出接口,包括写入器或发送器。
根据第一方面提供的身份认证方法,第二方面提供的身份认证方法,第三方面提供的身份认证装置,第四方面提供的身份认证装置,自动将身份凭据置入第一VNFC和第二VNFC,基于置入的身份凭据,可以实现第一VNFC和第二VNFC间的身份认证,并且相比于现有技术,效率较高,能够适应动态变化的VNF。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1为NFV系统架构的示意图;
图2为本发明实施例1提供的身份认证方案的示意图;
图3为本发明实施例2提供的身份认证方案的示意图;
图4为本发明实施例3提供的身份认证方案的示意图;
图5为本发明实施例4提供的身份认证方案的示意图;
图6为本发明实施例提供的身份认证方法的示意图之一;
图7为本发明实施例提供的身份认证流程的示意图之一;
图8为本发明实施例提供的身份认证方法的示意图之二;
图9为本发明实施例提供的身份认证流程的示意图之二;
图10为本发明实施例提供的身份认证装置的示意图之一;
图11为本发明实施例提供的身份认证装置的示意图之二。
具体实施方式
为了给出适应动态变化的VNF的身份认证方案,本发明实施例提供了一种身份认证方法及装置,以下结合说明书附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。并且在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
NFV系统架构如图1所示,主要包括:
VNF 101,包括多个VNFC,每个VNFC运行在一个虚拟机(Virtual Machine,VM)上;多个VNFC中,一个VNFC作为管理VNFC(OMU-VNFC),其它VNFC均可以算作是业务VNFC(SER-VNFC);OMU-VNFC统一对各SER-VNFC进行管理,通过管理通信通道000和NFV系统其它部分进行通信;
网络功能虚拟基础设施(Network Function Virtual Infrastructure,NFVI)102,包括虚拟计算资源、虚拟存储资源、虚拟网络资源等虚拟资源;
虚拟基础设施管理器(Virtual Infrastructure Manager,VIM)103,用于管理NFVI,可以创建虚拟资源、VNF以及VNF所需的网络连接;
VNF管理器(VNF Manger,VNFM)104,用于对VNF的生命周期进行管理,例如VNF的建立、修改、销毁等,其中一些生命周期的管理操作例如VNF的建立需要通过VIM实现;
NFV编排器(NFV Orchestra,NFVO)105,用于通过VNFM实现对VNF的管理,通过VIM实现对多个VNF的组网;
网元管理系统(Element Management System,EMS)106,用于将VNF作为网元进行管理,主要管理业务相关。
在本发明实施例中,VNF至少包括第一VNFC和第二VNFC,下面以第一VNFC与第二VNFC间的身份认证为例,用具体实施例对本发明实施例提供的身份认证方法进行详细描述。在下述具体实施例中,第一VNFC具体为 OMU-VNFC、第二VNFC具体为SER-VNFC。
实施例1:
在本发明实施例1中,VNF的建立是由VNFM发起的,如图2所示,由VNFM生成建立VNF所需的全部配置信息,该配置信息中包括OMU-VNFC的公钥和私钥,以及SER-VNFC的公钥和私钥。
公钥和私钥是通过一种算法得到的一个密钥对,该密钥对的两个密钥中,非秘密的密钥称为公钥,秘密的密钥称为私钥。在使用该密钥对时,如果用公钥加密数据就必须用私钥解密,如果用私钥加密数据就必须用公钥解密,否则解密将不会成功。
VNFM将OMU-VNFC的标识信息和私钥、SER-VNFC的标识信息和公钥置入OMU-VNFC,以及将OMU-VNFC的标识信息和公钥、SER-VNFC的标识信息和私钥置入SER-VNFC。
具体的,VNFM可以将生成的建立VNF所需的全部配置信息下发给VIM,并指示VIM在执行OMU-VNFC的生成时,将OMU-VNFC的标识信息和私钥、SER-VNFC的标识信息和公钥写入至OMU-VNFC;以及指示VIM在执行SER-VNFC的生成时,将OMU-VNFC的标识信息和公钥、SER-VNFC的标识信息和私钥写入至SER-VNFC。VIM和NFVI配合实现OMU-VNFC的生成以及SER-VNFC的生成。
本领域技术人员可知晓,“写入”也可称为“注入”。
对于OMU-VNFC,若VNFM与OMU-VNFC间的管理通信通道000已经建立,VNFM也可以通过管理通信通道000,将OMU-VNFC的标识信息和私钥、SER-VNFC的标识信息和公钥发送至OMU-VNFC,实现置入。
后续OMU-VNFC和SER-VNFC可以基于置入的公钥和私钥进行身份认证,具体的认证方式可参见后文图7的详述。
即在实施例1中,本发明实施例提供的身份认证方法的执行主体为VNFM。
实施例2:
在本发明实施例2中,VNF的建立是由EMS发起的,如图3所示。
由EMS发起VNF的建立时,EMS可以不参与公钥和私钥的生成,仍然由VNFM生成OMU-VNFC的公钥和私钥,以及SER-VNFC的公钥和私钥,后续置入步骤可参见上述实施例1;此时,本发明实施例提供的身份认证方法的执行主体为VNFM。
或者,EMS也可以参与公钥和私钥的生成,即由EMS生成OMU-VNFC的公钥和私钥,以及SER-VNFC的公钥和私钥,EMS将生成的OMU-VNFC的公钥和私钥,以及SER-VNFC的公钥和私钥再下发给VNFM,并指示VNFM进行公钥和私钥的置入;此时,本发明实施例提供的身份认证方法的执行主体为EMS。
实施例3:
在本发明实施例3中,VNF的建立是由NFVO发起的,如图4所示,NFVO可以不参与公钥和私钥的生成,仍然由VNFM生成OMU-VNFC的公钥和私钥,以及SER-VNFC的公钥和私钥,后续置入步骤可参见上述实施例1。
即在实施例3中,本发明实施例提供的身份认证方法的执行主体为VNFM。
实施例4:
在本发明实施例4中,VNF的建立也是由NFVO发起的,如图5所示,由NFVO生成建立VNF所需的全部配置信息,该配置信息中包括VNF中OMU-VNFC的公钥和私钥,以及SER-VNFC的公钥和私钥。
NFVO将OMU-VNFC的标识信息和私钥、SER-VNFC的标识信息和公钥置入OMU-VNFC,以及将OMU-VNFC的标识信息和公钥、SER-VNFC的标识信息和私钥置入SER-VNFC。
具体的,NFVO将生成的建立VNF所需的全部配置信息下发给VIM,并指示VIM在执行OMU-VNFC的生成时,将OMU-VNFC的标识信息和私钥、SER-VNFC的标识信息和公钥写入OMU-VNFC;以及指示VIM在执行SER-VNFC的生成时,将OMU-VNFC的标识信息和公钥、SER-VNFC的标 识信息和私钥写入OMU-VNFC。VIM和NFVI配合实现OMU-VNFC的生成以及SER-VNFC的生成。
后续OMU-VNFC和SER-VNFC可以基于写入的公钥和私钥进行身份认证,具体的认证方式可参见后文图7的详述。
即在实施例4中,本发明实施例提供的身份认证方法的执行主体为NFVO。
综上,本发明实施例提供了一种身份认证方法,应用于NFV系统,该NFV系统包括VNF,该VNF包括第一VNFC和第二VNFC,该身份认证方法如图6所示,具体可以包括如下步骤:
步骤601、生成第一VNFC的公钥和私钥,以及第二VNFC的公钥和私钥;
步骤602、将第一VNFC的私钥和第二VNFC的公钥写入或发送至第一VNFC;
步骤603、将第一VNFC的公钥和第二VNFC的私钥写入或发送至第二VNFC;其中,第一VNFC的公钥和私钥以及第二VNFC的公钥和私钥用于第一VNFC和第二VNFC进行身份认证。
需要说明的是,上述步骤602和步骤603没有必然的先后执行顺序。
在一个具体实施例中,可以在生成第一VNFC时,将第一VNFC的私钥和第二VNFC的公钥写入第一VNFC。在另一个具体实施例中,当第一VNFC为OMU-VNFC时,若第一VNFC的管理通信通道已经建立,也可以通过第一VNFC的管理通信通道,将第一VNFC的私钥和第二VNFC的公钥发送至第一VNFC。
相应的,在一个具体实施例中,可以在生成第二VNFC时,将第一VNFC的公钥和第二VNFC的私钥写入第二VNFC。在另一个具体实施例中,当第二VNFC为OMU-VNFC时,若第二VNFC的管理通信通道已经建立,也可以通过第二VNFC的管理通信通道,将第一VNFC的公钥和第二VNFC的私钥发送至第二VNFC。
即在本发明实施例中,将第一VNFC的私钥和第二VNFC的公钥置入第一VNFC、将第一VNFC的公钥和第二VNFC的私钥置入第二VNFC,基于置入的公钥和私钥,第一VNFC和第二VNFC间可以基于非对称加密算法进行身份认证,具体方式本发明不做具体限定。
例如,在一个具体实施例中,在将第一VNFC的私钥和第二VNFC的公钥写入或发送至第一VNFC时,还可以将第一VNFC的标识信息一并写入或发送至第一VNFC;在将第一VNFC的公钥和第二VNFC的私钥写入或发送至第二VNFC时,还可以将第二VNFC的标识信息一并写入或发送至第二VNFC;然后第一VNFC和第二VNFC间可以采用图7所示的身份认证流程,具体包括如下步骤:
步骤701、第一VNFC生成第一原始信息的第一摘要,并采用第一VNFC的私钥对第一原始信息的第一摘要进行加密,得到第一加密信息;其中,第一原始信息包含第一VNFC的标识信息,还可以包含第一VNFC向第二VNFC的通信连接请求。
步骤702、第一VNFC将向第二VNFC发送携带第一原始信息和第一加密信息的认证请求。
步骤703、第二VNFC接收第一VNFC发送的携带第一原始信息和第一加密信息的认证请求,之后,第二VNFC生成第一原始信息的第二摘要,以及采用第一VNFC的公钥对第一加密信息进行解密,得到第一解密信息。
步骤704、判断第一原始信息的第二摘要和第一解密信息是否相同。
当第一原始信息的第二摘要和第一解密信息不相同时,第二VNFC对第一VNFC身份认证失败,结束该认证流程,两个VNFC间不建立通信连接;
当第一原始信息的第二摘要和第一解密信息相同时,第二VNFC对第一VNFC身份认证通过,进入步骤705。
步骤705、第二VNFC生成第二原始信息的第一摘要,并采用第二VNFC的私钥对第二原始信息的第一摘要进行加密,得到第二加密信息;其中,第二原始信息包含第二VNFC的标识信息,还可以包含第二VNFC向第一VNFC 的通信连接请求。
步骤706、第二VNFC向第一VNFC发送携带第二原始信息和第二加密信息的认证请求。
步骤707、第一VNFC接收第二VNFC发送的携带第二原始信息和第二加密信息的认证请求,之后,第一VNFC生成第二原始信息的第二摘要,以及采用第二VNFC的公钥对第二加密信息进行解密,得到第二解密信息。
步骤708、判断第二原始信息的第二摘要和第二解密信息是否相同。
当第二原始信息的第二摘要和第二解密信息不相同时,第一VNFC对第二VNFC身份认证失败,两个VNFC间不建立通信连接;
当第二原始信息的第二摘要和第二解密信息相同时,第一VNFC对第二VNFC身份认证通过。即此时,第一VNFC与第二VNFC间互相身份认证通过,两个VNFC间可以建立安全的通信连接。
较佳的,在将第一VNFC的私钥和第二VNFC的公钥写入或发送至第一VNFC时,还可以将第二VNFC的标识信息一并写入或发送至第一VNFC,第二VNFC的标识信息与第二VNFC的公钥的对应关系存储于第一VNFC中,以便后续在接收到第二VNFC发送的认证请求时,根据第二原始信息中的第二VNFC的标识信息快速获取到第二VNFC的公钥。
相应的,在将第一VNFC的公钥和第二VNFC的私钥写入或发送至第二VNFC时,还可以将第一VNFC的标识信息一并写入或发送至第二VNFC,第一VNFC的标识信息与第一VNFC的公钥的对应关系存储于第二VNFC中,以便后续在接收到第一VNFC发送的认证请求时,根据第一原始信息中的第一VNFC的标识信息快速获取到第一VNFC的公钥。
可见,采用本发明实施例提供的上述身份认证方法,可以在生成建立VNF所需的配置信息时,针对组成VNF的每个VNFC,生成一对公钥和私钥,将该VNFC的私钥置入该VNFC,将该VNFC的公钥置入需要与该VNFC进行通信的VNFC,当然,需要与该VNFC进行通信的VNFC的数量可以为一个,也可以为多个。通过VNFC间校验公钥、私钥的匹配,可以实现VNFC间互 相的身份认证。
基于同一发明构思,本发明实施例还提供了一种身份认证方法,应用于NFV系统,该NFV系统包括VNF,该VNF包括第一VNFC和第二VNFC,该身份认证方法如图8所示,具体可以包括如下步骤:
步骤801、生成第一VNFC的专用密钥,以及第二VNFC的专用密钥;
专用密钥,又称为对称密钥,如果用专用密钥加密数据就必须用该专用密钥解密,否则解密将不会成功。
步骤802、将第一VNFC的专用密钥和第二VNFC的专用密钥写入或发送至第一VNFC;
步骤803、将第一VNFC的专用密钥和第二VNFC的专用密钥写入或发送至第二VNFC;其中,第一VNFC的专用密钥以及第二VNFC的专用密钥用于第一VNFC和第二VNFC进行身份认证。
需要说明的是,上述步骤802和步骤803没有必然的先后执行顺序。
在一个具体实施例中,可以在生成第一VNFC时,将第一VNFC的专用密钥和第二VNFC的专用密钥写入第一VNFC。在另一个具体实施例中,当第一VNFC为OMU-VNFC时,也可以通过第一VNFC的管理通信通道,将第一VNFC的专用密钥和第二VNFC的专用密钥发送至第一VNFC。
相应的,在一个具体实施例中,可以在生成第二VNFC时,将第一VNFC的专用密钥和第二VNFC的专用密钥写入第二VNFC。在另一个具体实施例中,当第二VNFC为OMU-VNFC时,也可以通过第二VNFC的管理通信通道,将第一VNFC的专用密钥和第二VNFC的专用密钥发送至第二VNFC。
即在本发明实施例中,将第一VNFC的专用密钥和第二VNFC的专用密钥置入第一VNFC、第二VNFC,基于置入的专用密钥,第一VNFC和第二VNFC间可以基于对称加密算法进行身份认证,具体方式本发明不做具体限定。
例如,在一个具体实施例中,在将第一VNFC的专用密钥和第二VNFC的专用密钥写入或发送至第一VNFC时,还可以将第一VNFC的标识信息一 并写入或发送至第一VNFC;在将第一VNFC的专用密钥和第二VNFC的专用密钥写入或发送至第二VNFC时,还可以将第二VNFC的标识信息一并写入或发送至第二VNFC;然后第一VNFC和第二VNFC间可以采用图9所示的身份认证流程,具体包括如下步骤:
步骤901、第一VNFC生成第一原始信息的第一摘要,并采用第一VNFC的专用密钥对第一原始信息的第一摘要进行加密,得到第一加密信息;其中,第一原始信息包含第一VNFC的标识信息,还可以包含第一VNFC向第二VNFC的通信连接请求。
步骤902、第一VNFC将向第二VNFC发送携带第一原始信息和第一加密信息的认证请求。
步骤903、第二VNFC接收第一VNFC发送的携带第一原始信息和第一加密信息的认证请求,之后,第二VNFC生成第一原始信息的第二摘要,以及采用第一VNFC的专用密钥对第一加密信息进行解密,得到第一解密信息。
步骤904、判断第一原始信息的第二摘要和第一解密信息是否相同。
当第一原始信息的第二摘要和第一解密信息不相同时,第二VNFC对第一VNFC身份认证失败,结束该认证流程,两个VNFC间不建立通信连接;
当第一原始信息的第二摘要和第一解密信息相同时,第二VNFC对第一VNFC身份认证通过,进入步骤905。
步骤905、第二VNFC生成第二原始信息的第一摘要,并采用第二VNFC的专用密钥对第二原始信息的第一摘要进行加密,得到第二加密信息;其中,第二原始信息包含第二VNFC的标识信息,还可以包含第二VNFC向第一VNFC的通信连接请求。
步骤906、第二VNFC向第一VNFC发送携带第二原始信息和第二加密信息的认证请求。
步骤907、第一VNFC接收第二VNFC发送的携带第二原始信息和第二加密信息的认证请求,之后,第一VNFC生成第二原始信息的第二摘要,以及采用第二VNFC的专用密钥对第二加密信息进行解密,得到第二解密信息。
步骤908、判断第二原始信息的第二摘要和第二解密信息是否相同。
当第二原始信息的第二摘要和第二解密信息不相同时,第一VNFC对第二VNFC身份认证失败,两个VNFC间不建立通信连接;
当第二原始信息的第二摘要和第二解密信息相同时,第一VNFC对第二VNFC身份认证通过。即此时,第一VNFC与第二VNFC间互相身份认证通过,两个VNFC间可以建立安全的通信连接。
较佳的,在将第一VNFC的专用密钥和第二VNFC的专用密钥写入或发送至第一VNFC时,还可以将第二VNFC的标识信息一并写入或发送至第一VNFC,第二VNFC的标识信息与第二VNFC的专用密钥的对应关系存储于第一VNFC中,以便后续在接收到第二VNFC发送的认证请求时,根据第二原始信息中的第二VNFC的标识信息快速获取到第二VNFC的专用密钥。
相应的,在将第一VNFC的专用密钥和第二VNFC的专用密钥写入或发送至第二VNFC时,还可以将第一VNFC的标识信息一并写入或发送至第二VNFC,第一VNFC的标识信息与第一VNFC的专用密钥的对应关系存储于第二VNFC中,以便后续在接收到第一VNFC发送的认证请求时,根据第一原始信息中的第一VNFC的标识信息快速获取到第一VNFC的专用密钥。
可见,采用本发明实施例提供的上述身份认证方法,可以在生成建立VNF所需的配置信息时,针对组成VNF的每个VNFC,生成专用密钥,将该VNFC的专用密钥置于该VNFC以及需要与该VNFC进行通信的VNFC,当然,需要与该VNFC进行通信的VNFC的数量可以为一个,也可以为多个。通过VNFC间校验专用密钥匹配,可以实现VNFC间的身份认证。
图8所示的身份认证方法在NFV系统中的具体实现可以参见前述具体实施例1-4,本发明在此不再赘述。
综上,采用本发明实施例提供的方法,可以实现身份凭据的自动置入,不需要通过手工配置来实现身份凭据的置入,因此,效率较高;并且,VNF中VNFC间的通信关系是动态变化的,采用本发明实施例提供的方法,无论VNFC间的通信关系如何变化,均可以自动进行VNFC间的身份认证,因此 能够适应动态变化的VNF,并且可以利用现有的NFV系统,易于实现。
基于同一发明构思,根据本发明上述实施例提供的身份认证方法,相应地,本发明另一实施例还提供了一种身份认证装置,应用于NFV系统,该NFV系统包括VNF,该VNF包括第一VNFC和第二VNFC。例如,在一个实施例中,第一VNFC为OMU-VNFC,第二VNFC为SER-VNFC;在另一个实施例中,第一VNFC为SER-VNFC,第二VNFC为OMU-VNFC;在另一个实施例中,第一VNFC为SER-VNFC,第二VNFC为SER-VNFC。本发明实施例提供的身份认证装置可以利用现有NFV系统中的VNFM、EMS或NFVO实现。该身份认证装置结构示意图如图10所示,具体包括:
生成单元1001,用于生成第一VNFC的公钥和私钥,以及第二VNFC的公钥和私钥;
置入单元1002,用于将第一VNFC的私钥和第二VNFC的公钥写入或发送至第一VNFC,以及将第一VNFC的公钥和第二VNFC的私钥写入或发送至第二VNFC;其中,第一VNFC的公钥和私钥以及第二VNFC的公钥和私钥用于第一VNFC和第二VNFC进行身份认证。
进一步的,置入单元1002,具体用于在生成第一VNFC时,将第一VNFC的私钥和第二VNFC的公钥写入第一VNFC;或者当第一VNFC为管理VNFC时,通过第一VNFC的管理通信通道,将第一VNFC的私钥和第二VNFC的公钥发送至第一VNFC。
进一步的,置入单元1002,具体用于在生成第二VNFC时,将第一VNFC的公钥和第二VNFC的私钥写入第二VNFC;或者当第二VNFC为管理VNFC时,通过第二VNFC的管理通信通道,将第一VNFC的公钥和第二VNFC的私钥发送至第二VNFC。
较佳的,置入单元1002,还用于将第二VNFC的标识信息写入或发送至第一VNFC;其中,第二VNFC的标识信息与第二VNFC的公钥的对应关系存储于第一VNFC中。
进一步的,置入单元1002,还用于将第一VNFC的标识信息写入或发送 至第一VNFC。
具体的,生成单元1001可以由处理器实现,置入单元1002可以由输入输出接口实现,该输入输出接口可以包括写入器或发送器。
基于同一发明构思,根据本发明上述实施例提供的身份认证方法,相应地,本发明另一实施例还提供了一种身份认证装置,应用于NFV系统,该NFV系统包括VNF,该VNF包括第一VNFC和第二VNFC,该身份认证装置结构示意图如图11所示,具体包括:
生成单元1101,用于生成第一VNFC的专用密钥,以及第二VNFC的专用密钥;
置入单元1102,用于将第一VNFC的专用密钥和第二VNFC的专用密钥写入或发送至第一VNFC,以及将第一VNFC的专用密钥和第二VNFC的专用密钥写入或发送至第二VNFC;其中,第一VNFC的专用密钥以及第二VNFC的专用密钥用于第一VNFC和第二VNFC进行身份认证。
进一步的,置入单元1102,具体用于在生成第一VNFC时,将第一VNFC的专用密钥和第二VNFC的专用密钥写入第一VNFC;或者当第一VNFC为管理VNFC时,通过第一VNFC的管理通信通道,将第一VNFC的专用密钥和第二VNFC的专用密钥发送至第一VNFC。
进一步的,置入单元1102,具体用于在生成第二VNFC时,将第一VNFC的专用密钥和第二VNFC的专用密钥写入第二VNFC;或者当第二VNFC为管理VNFC时,通过第二VNFC的管理通信通道,将第一VNFC的专用密钥和第二VNFC的专用密钥发送至第二VNFC。
较佳的,置入单元1102,还用于将第二VNFC的标识信息写入或发送至第一VNFC;其中,第二VNFC的标识信息与第二VNFC的对称密钥的对应关系存储于第一VNFC中。
进一步的,置入单元1102,还用于将第一VNFC的标识信息写入或发送至第一VNFC。
具体的,生成单元1101可以由处理器实现,置入单元1102可以由输入 输出接口实现,该输入输出接口可以包括写入器或发送器。
综上所述,本发明实施例提供的方案,相比于现有技术,能够自动实现VNFC间的身份认证,效率较高,能够适应动态变化的VNF。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中特定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中特定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中特定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权 利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样,倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (18)

  1. 一种身份认证方法,应用于网络功能虚拟化NFV系统,所述NFV系统包括虚拟网络功能VNF,所述VNF包括第一虚拟网络功能组成部分VNFC和第二VNFC,其特征在于,所述方法包括:
    生成所述第一VNFC的公钥和私钥,以及所述第二VNFC的公钥和私钥;
    将所述第一VNFC的私钥和所述第二VNFC的公钥写入或发送至所述第一VNFC;
    将所述第一VNFC的公钥和所述第二VNFC的私钥写入或发送至所述第二VNFC;其中,所述第一VNFC的公钥和私钥以及所述第二VNFC的公钥和私钥用于所述第一VNFC和所述第二VNFC进行身份认证。
  2. 如权利要求1所述的方法,其特征在于,将所述第一VNFC的私钥和所述第二VNFC的公钥写入或发送至所述第一VNFC,包括:
    在生成所述第一VNFC时,将所述第一VNFC的私钥和所述第二VNFC的公钥写入所述第一VNFC;或者
    当所述第一VNFC为管理VNFC时,通过所述第一VNFC的管理通信通道,将所述第一VNFC的私钥和所述第二VNFC的公钥发送至所述第一VNFC。
  3. 如权利要求1或2所述的方法,其特征在于,还包括:
    将所述第二VNFC的标识信息写入或发送至所述第一VNFC;其中,所述第二VNFC的标识信息与所述第二VNFC的公钥的对应关系存储于所述第一VNFC中。
  4. 如权利要求1-3任一所述的方法,其特征在于,还包括:
    将所述第一VNFC的标识信息写入或发送至所述第一VNFC。
  5. 一种身份认证方法,应用于网络功能虚拟化NFV系统,所述NFV系统包括虚拟网络功能VNF,所述VNF包括第一虚拟网络功能组成部分VNFC和第二VNFC,其特征在于,所述方法包括:
    生成所述第一VNFC的专用密钥,以及所述第二VNFC的专用密钥;
    将所述第一VNFC的专用密钥和所述第二VNFC的专用密钥写入或发送至所述第一VNFC;
    将所述第一VNFC的专用密钥和所述第二VNFC的专用密钥写入或发送至所述第二VNFC;其中,所述第一VNFC的专用密钥以及所述第二VNFC的专用密钥用于所述第一VNFC和所述第二VNFC进行身份认证。
  6. 如权利要求5所述的方法,其特征在于,将所述第一VNFC的专用密钥和所述第二VNFC的专用密钥写入或发送至所述第一VNFC,包括:
    在生成所述第一VNFC时,将所述第一VNFC的专用密钥和所述第二VNFC的专用密钥写入所述第一VNFC;或者
    当所述第一VNFC为管理VNFC时,通过所述第一VNFC的管理通信通道,将所述第一VNFC的专用密钥和所述第二VNFC的专用密钥发送至所述第一VNFC。
  7. 如权利要求5或6所述的方法,其特征在于,还包括:
    将所述第二VNFC的标识信息写入或发送至所述第一VNFC;其中,所述第二VNFC的标识信息与所述第二VNFC的专用密钥的对应关系存储于所述第一VNFC中。
  8. 如权利要求5-7任一所述的方法,其特征在于,还包括:
    将所述第一VNFC的标识信息写入或发送至所述第一VNFC。
  9. 一种身份认证装置,应用于网络功能虚拟化NFV系统,所述NFV系统包括虚拟网络功能VNF,所述VNF包括第一虚拟网络功能组成部分VNFC和第二VNFC,其特征在于,所述装置包括:
    处理器,用于生成所述第一VNFC的公钥和私钥,以及所述第二VNFC的公钥和私钥;
    输入输出接口,用于将所述第一VNFC的私钥和所述第二VNFC的公钥写入或发送至所述第一VNFC,以及将所述第一VNFC的公钥和所述第二VNFC的私钥写入或发送至所述第二VNFC;其中,所述第一VNFC的公钥 和私钥以及所述第二VNFC的公钥和私钥用于所述第一VNFC和所述第二VNFC进行身份认证。
  10. 如权利要求9所述的装置,其特征在于,所述输入输出接口,具体用于在生成所述第一VNFC时,将所述第一VNFC的私钥和所述第二VNFC的公钥写入所述第一VNFC;或者当所述第一VNFC为管理VNFC时,通过所述第一VNFC的管理通信通道,将所述第一VNFC的私钥和所述第二VNFC的公钥发送至所述第一VNFC。
  11. 如权利要求9或10所述的装置,其特征在于,所述输入输出接口,还用于将所述第二VNFC的标识信息写入或发送至所述第一VNFC;其中,所述第二VNFC的标识信息与所述第二VNFC的公钥的对应关系存储于所述第一VNFC中。
  12. 如权利要求9-11任一所述的装置,其特征在于,所述输入输出接口,还用于将所述第一VNFC的标识信息写入或发送至所述第一VNFC。
  13. 如权利要求9-12任一所述的装置,所述输入输出接口,包括写入器或发送器。
  14. 一种身份认证装置,应用于网络功能虚拟化NFV系统,所述NFV系统包括虚拟网络功能VNF,所述VNF包括第一虚拟网络功能组成部分VNFC和第二VNFC,其特征在于,所述装置包括:
    处理器,用于生成所述第一VNFC的专用密钥,以及所述第二VNFC的专用密钥;
    输入输出接口,用于将所述第一VNFC的专用密钥和所述第二VNFC的专用密钥写入或发送至所述第一VNFC,以及将所述第一VNFC的专用密钥和所述第二VNFC的专用密钥写入或发送至所述第二VNFC;其中,所述第一VNFC的专用密钥以及所述第二VNFC的专用密钥用于所述第一VNFC和所述第二VNFC进行身份认证。
  15. 如权利要求14所述的装置,其特征在于,所述输入输出接口,具体用于在生成所述第一VNFC时,将所述第一VNFC的专用密钥和所述第二 VNFC的专用密钥写入所述第一VNFC;或者当所述第一VNFC为管理VNFC时,通过所述第一VNFC的管理通信通道,将所述第一VNFC的专用密钥和所述第二VNFC的专用密钥发送至所述第一VNFC。
  16. 如权利要求14或15所述的装置,其特征在于,所述输入输出接口,还用于将所述第二VNFC的标识信息写入或发送至所述第一VNFC;其中,所述第二VNFC的标识信息与所述第二VNFC的对称密钥的对应关系存储于所述第一VNFC中。
  17. 如权利要求14-16任一所述的装置,其特征在于,所述输入输出接口,还用于将所述第一VNFC的标识信息写入或发送至所述第一VNFC。
  18. 如权利要求14-17任一所述的装置,其特征在于,所述输入输出接口,包括写入器或发送器。
PCT/CN2015/088636 2015-01-04 2015-08-31 一种身份认证方法及装置 WO2016107203A1 (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
EP15874889.7A EP3232634B1 (en) 2015-01-04 2015-08-31 Identity authentication method and device
US15/639,273 US10601801B2 (en) 2015-01-04 2017-06-30 Identity authentication method and apparatus

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201510003808.XA CN104580208B (zh) 2015-01-04 2015-01-04 一种身份认证方法及装置
CN201510003808.X 2015-01-04

Related Child Applications (1)

Application Number Title Priority Date Filing Date
US15/639,273 Continuation US10601801B2 (en) 2015-01-04 2017-06-30 Identity authentication method and apparatus

Publications (1)

Publication Number Publication Date
WO2016107203A1 true WO2016107203A1 (zh) 2016-07-07

Family

ID=53095389

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/CN2015/088636 WO2016107203A1 (zh) 2015-01-04 2015-08-31 一种身份认证方法及装置

Country Status (4)

Country Link
US (1) US10601801B2 (zh)
EP (1) EP3232634B1 (zh)
CN (1) CN104580208B (zh)
WO (1) WO2016107203A1 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018019046A1 (zh) * 2016-07-27 2018-02-01 中兴通讯股份有限公司 密钥的衍生方法及装置
CN108810992A (zh) * 2017-05-02 2018-11-13 大唐移动通信设备有限公司 一种网络切片的资源控制方法和装置

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104580208B (zh) 2015-01-04 2018-11-30 华为技术有限公司 一种身份认证方法及装置
CN106464667B (zh) 2015-02-09 2020-01-10 华为技术有限公司 一种证书管理方法、设备及系统
JP6449487B2 (ja) * 2015-04-30 2019-01-09 ホアウェイ・テクノロジーズ・カンパニー・リミテッド ソフトウェアセキュリティ検証方法、デバイス、およびシステム
US9578008B2 (en) 2015-05-11 2017-02-21 Intel Corporation Technologies for secure bootstrapping of virtual network functions
US9742790B2 (en) * 2015-06-16 2017-08-22 Intel Corporation Technologies for secure personalization of a security monitoring virtual network function
EP3314841B1 (en) * 2015-06-24 2018-11-28 Telefonaktiebolaget LM Ericsson (publ) Method for preserving media plane quality
CN106533714A (zh) * 2015-09-09 2017-03-22 中兴通讯股份有限公司 重新实例化虚拟网络功能的方法和装置
KR20180066148A (ko) * 2015-10-21 2018-06-18 후아웨이 테크놀러지 컴퍼니 리미티드 네트워크 기능 가상화 아키텍처에서의 인증서 관리 방법 및 디바이스
WO2017123277A1 (en) 2016-01-15 2017-07-20 Intel IP Corporation Network slice selection in network systems
CN105975330B (zh) * 2016-06-27 2019-06-18 华为技术有限公司 一种网络边缘计算的虚拟网络功能部署方法、装置和系统
WO2018040095A1 (zh) * 2016-09-05 2018-03-08 华为技术有限公司 一种生成安全凭证的方法和设备
CN109286494B (zh) * 2017-07-20 2020-10-23 华为技术有限公司 一种虚拟网络功能vnf的初始化凭据生成方法及设备
CN109905252B (zh) 2017-12-07 2022-06-07 华为技术有限公司 建立虚拟网络功能实例的方法和装置
KR102020357B1 (ko) * 2017-12-27 2019-10-18 충남대학교산학협력단 Nfv 환경에서 보안 통신 방법 및 그 시스템
CN108183923B (zh) * 2018-02-13 2020-11-10 常州信息职业技术学院 一种生产可追溯系统及其工作方法
CN109104311B (zh) * 2018-08-06 2021-08-31 腾讯科技(深圳)有限公司 基于区块链的设备管理方法、装置、介质及电子设备
CN112688904A (zh) * 2019-10-18 2021-04-20 中兴通讯股份有限公司 一种安全通道建立方法、电子设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012050419A1 (en) * 2010-10-14 2012-04-19 Mimos Bhd. Method of performing secure documents with a security token on a trusted compartment
CN103888251A (zh) * 2014-04-11 2014-06-25 北京工业大学 一种云环境中虚拟机可信保障的方法
CN104134122A (zh) * 2014-07-30 2014-11-05 华为技术有限公司 一种许可证申请方法及装置
CN104580208A (zh) * 2015-01-04 2015-04-29 华为技术有限公司 一种身份认证方法及装置

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI260874B (en) * 2001-03-26 2006-08-21 Ntt Docomo Inc Method and apparatus for providing communication service
US6922774B2 (en) * 2001-05-14 2005-07-26 The United States Of America As Represented By The National Security Agency Device for and method of secure computing using virtual machines
JP3792154B2 (ja) * 2001-12-26 2006-07-05 インターナショナル・ビジネス・マシーンズ・コーポレーション ネットワークセキュリティシステム、コンピュータ装置、アクセスポイントの認識処理方法、アクセスポイントのチェック方法、プログラムおよび記憶媒体
US20050283826A1 (en) * 2004-06-22 2005-12-22 Sun Microsystems, Inc. Systems and methods for performing secure communications between an authorized computing platform and a hardware component
CN101155030B (zh) * 2006-09-29 2010-10-06 维豪信息技术有限公司 基于注册鉴权的网络资源整合访问方法
CN101159556B (zh) * 2007-11-09 2011-01-26 清华大学 基于组密钥服务器的共享加密文件系统中的密钥管理方法
US9729517B2 (en) * 2013-01-22 2017-08-08 Amazon Technologies, Inc. Secure virtual machine migration
EP3099004B1 (en) * 2014-01-22 2019-03-13 Panasonic Intellectual Property Corporation of America Authentication method
JP6311196B2 (ja) 2014-05-08 2018-04-18 華為技術有限公司Huawei Technologies Co.,Ltd. 証明書取得方法およびデバイス
US9407612B2 (en) 2014-10-31 2016-08-02 Intel Corporation Technologies for secure inter-virtual network function communication

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012050419A1 (en) * 2010-10-14 2012-04-19 Mimos Bhd. Method of performing secure documents with a security token on a trusted compartment
CN103888251A (zh) * 2014-04-11 2014-06-25 北京工业大学 一种云环境中虚拟机可信保障的方法
CN104134122A (zh) * 2014-07-30 2014-11-05 华为技术有限公司 一种许可证申请方法及装置
CN104580208A (zh) * 2015-01-04 2015-04-29 华为技术有限公司 一种身份认证方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See also references of EP3232634A4 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018019046A1 (zh) * 2016-07-27 2018-02-01 中兴通讯股份有限公司 密钥的衍生方法及装置
US11290876B2 (en) 2016-07-27 2022-03-29 Xi'an Zhongxing New Software Co., Ltd. Key derivation method and apparatus
CN108810992A (zh) * 2017-05-02 2018-11-13 大唐移动通信设备有限公司 一种网络切片的资源控制方法和装置
CN108810992B (zh) * 2017-05-02 2020-09-25 大唐移动通信设备有限公司 一种网络切片的资源控制方法和装置

Also Published As

Publication number Publication date
US10601801B2 (en) 2020-03-24
CN104580208B (zh) 2018-11-30
US20170302646A1 (en) 2017-10-19
CN104580208A (zh) 2015-04-29
EP3232634A4 (en) 2017-12-20
EP3232634A1 (en) 2017-10-18
EP3232634B1 (en) 2021-03-31

Similar Documents

Publication Publication Date Title
WO2016107203A1 (zh) 一种身份认证方法及装置
CN113438289B (zh) 基于云计算的区块链数据处理方法及装置
WO2021184882A1 (zh) 验证合约的方法及装置
JP6797828B2 (ja) クラウドベースの暗号化マシン鍵インジェクションの方法、装置、及びシステム
WO2021184973A1 (zh) 访问外部数据的方法及装置
US9467430B2 (en) Device, method, and system for secure trust anchor provisioning and protection using tamper-resistant hardware
US8953790B2 (en) Secure generation of a device root key in the field
CN103118027B (zh) 基于国密算法建立tls通道的方法
US20140112470A1 (en) Method and system for key generation, backup, and migration based on trusted computing
US11044082B2 (en) Authenticating secure channel establishment messages based on shared-secret
US11853438B2 (en) Providing cryptographically secure post-secrets-provisioning services
JP5954609B1 (ja) 電子署名トークンの私有鍵のバックアップ方法およびシステム
CN103546289A (zh) 一种基于USBKey的安全传输数据的方法及系统
CN114584307B (zh) 一种可信密钥管理方法、装置、电子设备和存储介质
WO2019110018A1 (zh) 通信网络系统的消息验证方法、通信方法和通信网络系统
TW201926943A (zh) 資料傳輸方法及系統
CN110808991B (zh) 一种安全通信连接的方法、系统、电子设备及存储介质
US20240113885A1 (en) Hub-based token generation and endpoint selection for secure channel establishment
CN113014387A (zh) 基于硬件加密机的多维加密接口的改进方法及加密装置
CN115795446A (zh) 在可信计算平台中处理数据的方法及管理装置
WO2017107642A1 (zh) 一种安全输入法的文本处理方法、装置和系统
CN114372245A (zh) 基于区块链的物联网终端认证方法、系统、设备及介质
CN114223176A (zh) 一种证书管理方法及装置

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 15874889

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

REEP Request for entry into the european phase

Ref document number: 2015874889

Country of ref document: EP