一种服务链密钥管理方法和装置制造方法及图纸

本发明专利技术公开了一种服务链密钥管理方法和装置，包括获取系统参数P、Q、H1、H2、H3、H4、系统私钥分量di和服务节点i的私钥Di，确定私有参数ri，接收相邻服务节点j发送的Tj、Pj，当Tj、Pj满足预设条件时，确定组通讯密钥K。在本发明专利技术实施例中，公开了一种基于身份密码体制的门限组密钥管理方案，保证了服务链前向安全性和后向安全性，并且对相邻VNF之间进行身份认证。

A Key Management Method and Device for Service Chain

The invention discloses a service chain key management method and device, which includes acquiring system parameters P, Q, H1, H2, H3, H4, system private key component Di and private key Di of service node i, determining private parameter ri, receiving Tj and P J sent by adjacent service node j, and determining group communication key K when Tj and P J meet the preset conditions. In the embodiment of the present invention, a threshold group key management scheme based on identity cryptosystem is disclosed, which guarantees forward and backward security of the service chain and authenticates the identity between adjacent VNFs.

【技术实现步骤摘要】
一种服务链密钥管理方法和装置
本专利技术涉及计算机
，特别涉及一种服务链密钥管理方法和装置。
技术介绍
目前运营商在部署网络功能时需要基于专用的硬件设备，在现有的网络基础设施中，服务链的定义是静态的，服务链依赖于网络的拓扑结构，当增加或删除网络功能时，运营商需要对硬件设备进行重新部署，造成了运营成本和支出成本的增加。随着大规模网络虚拟化的发展，传统方式也逐渐被网络功能虚拟化(NetworkFunctionVirtualization，NFV)所取代。NFV的概念由欧洲电信标准组织(EuropeanTelecommunicationsStandardsInstitute,ETSI)于2012年提出，并制定了相关的规范，如基础框架、设施概况、使用案例等。NFV重新定义了网络中典型的网络功能交付和操作方法。通过使用标准的IT虚拟化和云技术，NFV定义了一种结构，在这种结构中网络功能和应用程序仅作为软件实体来实现，并且独立于硬件。NFV通过将软件从专用的硬件解耦出来，可将这些传统网络功能抽象为虚拟网络功能(VituralNetworkFunction，VNFs)，通过NFV的管理编排层对VNFs进行管理和控制，可以产生所需的网络服务即服务链。基于NFV，则可以克服传统静态服务链的缺点，实现服务链的动态、按需、快速构建。服务链是NFV的一个重要特点，使NFV产生灵活的环境，但服务链中也产生了新的安全问题。与传统网络服务相比，服务链中引进了虚拟化技术，服务链也面临着虚拟化的安全问题。针对不同的服务需求，租户的网络功能通常由一个或多个不同的VNF，以逻辑连接的方式形成一条虚拟网络功能服务链，这些VNF通过部署在不同的虚拟机之上从而实现相关的功能，当服务链中动态地添加或删除一个VNF实例，即拓扑结构发生变化时，则要考虑构建服务链各节点之间的信任重建问题。相邻的VNF实例间要进行数据包的转发，VNF实例间面临着传输安全的问题。因此，目前亟待提出一种NFV环境下服务链的组密钥管理方法，实现服务链各节点的信任重建，并解决VNF实例间安全传输的问题。
技术实现思路
本专利技术实施例提供了一种服务链密钥管理方法和装置，旨在解决如何能够在VNF实例间安全传输的问题。为了对披露的实施例的一些方面有一个基本的理解，下面给出了简单的概括。该概括部分不是泛泛评述，也不是要确定关键/重要组成元素或描绘这些实施例的保护范围。其唯一目的是用简单的形式呈现一些概念，以此作为后面的详细说明的序言。根据本专利技术实施例的第一方面，提供了一种服务链密钥管理方法，包括：获取系统参数P、Q、H1、H2、H3、H4、系统私钥分量di和服务节点i的私钥Di，其中，Q＝d*P为系统公钥，d为系统私钥，H1、H2、H3、H4为散列函数；确定私有参数ri；接收相邻服务节点j发送的Tj、Pj；当所述Tj、Pj满足预设条件时，确定组通讯密钥K。可选的，还包括：确定Ti、Pi，其中，Ti＝ri*P，Pi＝H2(e(Wi，Ti))Di，Wi＝H1(IDi)，IDi为服务节点i的标识；向相邻服务节点发送Ti、Pi。可选的，还包括：接收相邻服务节点发送的Tj、Pj，其中，j＝i-1或j＝i+1；当Tj、Pj满足预设条件时，确定Vi、Ei；向其他服务节点发送Vi、Ei。可选的，还包括：接收服务节点Nn+1发送的Yi、Tn+1；当Yi、Tn+1满足预设条件时，向服务节点n+1发送Ri、Ci、Ti；接收服务节点Nn+1发送的U、V、M；当U、V、M满足预设条件时，确定组通讯密钥K。可选的，还包括：确定新的私有参数ri；确定U、M、V，并向其他服务节点发送U、M、V；确定组通讯密钥。可选的，还包括：接收服务节点Nn+1发送的U、M、V；当U、V、M满足预设条件时，确定组通讯密钥K。可选的，当Tj、Pj满足预设条件时，确定组通讯密钥K，包括：根据Tj、Pj完成对服务节点j的身份认证；获取Vj、Ej，当Vj、Ej满足预设条件时，确定所述组通讯密钥K。根据本专利技术实施例的第二方面，提供了一种服务链密钥管理方法，包括：获取系统参数P、Q、H1、H2、H3、H4、系统私钥分量di和服务节点i的私钥Di，其中，Q＝d*P为服务链公钥，d为服务链私钥，H1、H2、H3、H4为散列函数；确定私有参数r(n+1)；确定Yi＝e(rn+1Q，Wi)，Tn+1＝rn+1P，其中，Wn+1＝H1(IDn+1)；向服务节点i发送Yi和Tn+1；接收服务节点i发送的Ri、Ci、Ti；当Ri、Ti满足预设条件时，确定组通讯密钥K；确定U、M、V，并向其他服务节点发送U、M、V。根据本专利技术实施例的第三方面，提供了一种服务链密钥管理装置，包括处理器和存储器，其中：处理器，用于执行存储器中存储的代码；存储器，用于存储执行如下步骤的代码：获取系统参数P、Q、H1、H2、H3、H4、系统私钥分量di和服务节点i的私钥Di，其中，Q＝d*P为系统公钥，d为系统私钥，H1、H2、H3、H4为散列函数；确定私有参数ri；接收相邻服务节点j发送的Tj、Pj；当所述Tj、Pj满足预设条件时，确定组通讯密钥K。根据本专利技术实施例的第四方面，提供了一种服务链密钥管理装置，包括处理器和存储器，其中，处理器，用于执行存储器中存储的代码；存储器，用于存储执行如下步骤的代码：获取系统参数P、Q、H1、H2、H3、H4、系统私钥分量di和服务节点i的私钥Di，其中，Q＝d*P为服务链公钥，d为服务链私钥，H1、H2、H3、H4为散列函数；确定私有参数r(n+1)；确定Yi＝e(rn+1Q,Wi)，Tn+1＝rn+1P，其中，Wn+1＝H1(IDn+1)；向服务节点i发送Yi和Tn+1；接收服务节点i发送的Ri、Ci、Ti；当Ri、Ti满足预设条件时，确定组通讯密钥K；确定U、M、V，并向其他服务节点发送U、M、V。在本专利技术实施例中，公开了一种基于身份密码体制的门限组密钥管理方案，保证了服务链前向安全性和后向安全性，并且对相邻VNF之间进行身份认证。应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本专利技术。附图说明此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本专利技术的实施例，并与说明书一起用于解释本专利技术的原理。图1是一种服务链密钥管理方法的流程图；图2是另一种服务链密钥管理方法的流程图；图3是一种服务链密钥管理装置的示意图；图4是另一种服务链密钥管理装置的示意图。具体实施方式以下描述和附图充分地示出本专利技术的具体实施方案，以使本领域的技术人员能够实践它们。实施例仅代表可能的变化。除非明确要求，否则单独的部件和功能是可选的，并且操作的顺序可以变化。一些实施方案的部分和特征可以被包括在或替换其他实施方案的部分和特征。本专利技术的实施方案的范围包括权利要求书的整个范围，以及权利要求书的所有可获得的等同物。在本文中，各实施方案可以被单独地或总地用术语“专利技术”来表示，这仅仅是为了方便，并且如果事实上公开了超过一个的专利技术，不是要自动地限制该应用的范围为任何单个专利技术或专利技术构思。本文中，诸如第一和第二等之类的关系术语仅仅用于将一个实体或者操作与另一个实体或操作区分开来，而不要求或者暗示这些实体或操作之间存在任何实际的关系或者顺序。而本文档来自技高网...

【技术保护点】
1.一种服务链密钥管理方法，其特征在于，包括：获取系统参数P、Q、H1、H2、H3、H4、系统私钥分量di和服务节点i的私钥Di，其中，Q＝d*P为系统公钥，d为系统私钥，H1、H2、H3、H4为散列函数；确定私有参数ri；接收相邻服务节点j发送的Tj、Pj；当所述Tj、Pj满足预设条件时，确定组通讯密钥K。

【技术特征摘要】
1.一种服务链密钥管理方法，其特征在于，包括：获取系统参数P、Q、H1、H2、H3、H4、系统私钥分量di和服务节点i的私钥Di，其中，Q＝d*P为系统公钥，d为系统私钥，H1、H2、H3、H4为散列函数；确定私有参数ri；接收相邻服务节点j发送的Tj、Pj；当所述Tj、Pj满足预设条件时，确定组通讯密钥K。2.根据权利要求1所述的方法，其特征在于，还包括：确定Ti、Pi，其中，Ti＝ri*P，Pi＝H2(e(Wi，Ti))Di，Wi＝H1(IDi)，IDi为所述服务节点i的标识；向相邻服务节点发送所述Ti、Pi。3.根据权利要求2所述的方法，其特征在于，还包括：接收相邻服务节点发送的Tj、Pj，其中，j＝i-1或j＝i+1；当所述Tj、Pj满足预设条件时，确定Vi、Ei；向其他服务节点发送所述Vi、Ei。4.根据权利要求1所述的方法，其特征在于，还包括：接收新服务节点Nn+1发送的Yi、Tn+1；当所述Yi、Tn+1满足预设条件时，向所述服务节点Nn+1发送Ri、Ci、Ti；接收所述服务节点Nn+1发送的U、V、M；当所述U、V、M满足预设条件时，确定组通讯密钥K。5.根据权利要求1所述的方法，其特征在于，还包括：确定新的私有参数ri；确定U、M、V，并向其他服务节点发送所述U、M、V；确定组通讯密钥。6.根据权利要求1所述的方法，其特征在于，还包括：接收服务节点Nn+1发送的U、M、V；当所述U、V、M满足预设条件时，确定组通讯密钥K。7.根据权利要求1所述的方法，其特征在于，当所述Tj、Pj满足预设条件时，确定所述组通讯密钥K，包括：根据所述Tj、Pj完成对所述服务节点j的身份认证；获取Vj、Ej，当所述Vj、Ej满足预设条件时，确定所述组通讯密钥K。8.一种服务链密钥...

【专利技术属性】
技术研发人员：蒋华，姚莹，鞠磊，张昕然，侯梦茹，
申请(专利权)人：北京电子科技学院，
类型：发明
国别省市：北京,11