用于虚拟网络功能的安全自举的技术制造技术

用于在网络功能虚拟化（NFV）网络架构中自举虚拟网络功能的技术包括与VNF实例的VBS代理进行安全网络通信的虚拟网络功能（VNF）自举服务（VBS）。VBS代理被配置成在NFV网络架构中执行安全VNF自举捕获协议。相应地，VBS代理可以被配置成经由在VBS与VBS代理之间传送的安全通信向VBS进行登记。所述安全通信包括向VBS传送来自VNF实例在其上被实例化的平台的TEE的安全性引用和安全性凭证请求，以及响应于证实了安全性引用和安全性凭证请求而接收安全性凭证。此外还描述了并且要求保护其他的实施例。

【技术实现步骤摘要】
【国外来华专利技术】用于虚拟网络功能的安全自举的技术相关申请的交叉引用本申请要求2015年5月11日提交的标题为“TECHNOLOGIESFORSECUREBOOTSTRAPPINGOFVIRTUALNETWORKFUNCTIONS（用于虚拟网络功能的安全自举的技术）”的美国实用专利申请序列号14/709,170的优先权。
技术介绍
网络运营商和服务提供商通常依赖于各种网络虚拟化技术来管理复杂的大规模计算环境，大规模计算环境诸如高性能计算（HPC）和云端计算环境。举例来说，网络运营商和服务提供商的网络可以依赖于网络功能虚拟化（NFV）部署来部署网络服务（例如防火墙服务、网络地址翻译（NAT）服务、负载平衡服务、深度分组检测（DPI）服务、传输控制协议（TCP）优化服务等等）。这样的NFV部署通常使用NFV基础设施来协调（例如在商品服务器中的）各种虚拟机（VM）和/或容器以对网络业务执行通常被称作虚拟化网络功能（VNF）的虚拟化网络服务，并且跨越各种VM和/或容器管理网络业务。不同于传统的非虚拟化的部署，虚拟化的部署把网络功能与底层硬件去耦合，这得到高度动态的并且通常能够被在具有通用处理器的市售服务器上执行的网本文档来自技高网...

【技术保护点】
一种用于在网络功能虚拟化（NFV）网络架构中自举虚拟网络功能(VNF)的VNF实例的虚拟网络功能自举服务（VBS）代理，所述VBS代理包括：VBS捕获协议执行模块，用以：（i）向NFV网络架构的VBS传送开始消息，其中VBS可通信地耦合到VBS代理，并且其中所述开始消息提供表明VBS代理被实例化的指示；（ii）响应于开始消息的传送，接收来自VBS的开始响应消息；（iii）响应于接收到开始响应消息，向VBS传送登记请求消息，其中登记请求消息包括可用来将VBS代理认证为登记请求消息的传送者的安全性引用以及用以向VBS请求安全性凭证的安全性凭证请求；以及（iv）接收来自VBS的登记响应消息，其中登记...

【技术特征摘要】
【国外来华专利技术】2015.05.11 US 14/7091701.一种用于在网络功能虚拟化（NFV）网络架构中自举虚拟网络功能(VNF)的VNF实例的虚拟网络功能自举服务（VBS）代理，所述VBS代理包括：VBS捕获协议执行模块，用以：（i）向NFV网络架构的VBS传送开始消息，其中VBS可通信地耦合到VBS代理，并且其中所述开始消息提供表明VBS代理被实例化的指示；（ii）响应于开始消息的传送，接收来自VBS的开始响应消息；（iii）响应于接收到开始响应消息，向VBS传送登记请求消息，其中登记请求消息包括可用来将VBS代理认证为登记请求消息的传送者的安全性引用以及用以向VBS请求安全性凭证的安全性凭证请求；以及（iv）接收来自VBS的登记响应消息，其中登记响应消息包括表明安全性引用和安全性凭证请求已被VBS证实的安全性凭证。2.根据权利要求1所述的VBS代理，其中：开始消息包括第一不重数；开始响应消息由VBS使用VBS的私有密钥签名，并且包括第一不重数以及由VBS生成的第二不重数；安全性凭证请求由VNF实例使用VNF实例的私有密钥签名，并且包括第一不重数、第二不重数以及VNF实例的公共密钥；登记响应消息由VBS使用VBS的私有密钥签名，并且还包括第一不重数、第二不重数、负责管理VBS代理的NFV网络架构的VNF管理器的标识符、被列入白名单的VNF管理器的集合、由VBS授权的VNF组件（VNFC）的集合、独有VNF实例标识符以及一项或多项策略；并且所述一项或多项策略包括可由VBS代理使用来实施特定功能的指令。3.根据权利要求1所述的VBS代理，其中，VBS捕获协议执行模块还获取由受信任执行环境（TEE）使用TEE的私有密钥签名的安全性引用，其中TEE位于VNF实例在其上被实例化的平台上。4.根据权利要求1所述的VBS代理，其中，VBS捕获协议执行模块还：（i）接收来自NFV网络架构的NFV协调器的实例化触发器；以及（ii）响应于已经接收到实例化触发器而初始化VBS代理，其中传送开始消息包括响应于接收到实例化触发器而传送开始消息。5.根据权利要求4所述的VBS代理，其中，初始化VBS代理包括：（i）创建VNF实例的公共/私有密钥对，其中VNF实例的公共/私有密钥对包括公共密钥和私有密钥；以及（ii）从VNF实例在其上被创建的平台的受信任执行环境（TEE）获取安全性引用，其中所述安全性引用由TEE使用TEE的私有密钥签名。6.根据权利要求5所述的VBS代理，其中，VBS捕获协议执行模块还：（i）生成安全性凭证请求；以及（ii）响应于已经接收到来自VBS的开始响应消息，使用VNF实例的私有密钥对安全性凭证请求签名。7.根据权利要求1所述的VBS代理，其中，VBS捕获协议执行模块还响应于已经接收到安全性凭证而激活VNF实例以便活跃地处理由VNF实例接收到的网络业务。8.根据权利要求7所述的VBS代理，其中，VBS捕获协议执行模块还向NFV网络架构的VNF管理器传送指示，所述指示向VNF管理器表明（i）VNF实例是活跃的并且（ii）VNF实例的配置将由VNF管理器管理，其中所述指示包括VNF实例标识符，VNF实例标识符是VNF实例所独有的并且可用来把VNF实例添加到VNF管理器处的得到授权的VNF实例的白名单。9.根据权利要求1所述的VBS代理，其中，接收来自VBS的登记响应消息还包括接收可通信地耦合到VBS代理的NFV网络架构的VNF管理器的标识符。10.根据权利要求9所述的VBS代理，其中，接收VNF管理器的标识符包括接收网际协议（IP）地址、域名服务器（DNS）、完全合格域名（FQDN）、统一资源定位符（URL）的至少其中之一。11.根据权利要求9所述的VBS代理，其中，VBS捕获协议执行模块还响应于接收到VNF管理器的标识符而使用VNF管理器的标识符连接到VNF管理器。12.根据权利要求9所述的VBS代理，其中，VBS捕获协议执行模块还响应于已经接收到VNF管理器的标识符而向VNF管理器传送VNF许可信息，其中VNF许可信息...

【专利技术属性】
技术研发人员：K苏德，J沃尔克，
申请(专利权)人：英特尔公司，
类型：发明
国别省市：美国,US