【技术实现步骤摘要】
【国外来华专利技术】用于秘钥交换以在网络功能虚拟化环境中建立安全连接的技术
本公开描述的示例总体上涉及用于数据的加密/解密而交换的秘钥以及对所交换秘钥的保护。
技术介绍
近年来,一种被称为网络功能虚拟化(NFV)的相对较新技术正在迅速发展。在一些示例中,NFV基础设施对大型数据中心或电信供应商变得越来越重要,其将允许可能分解的和/或位于分散地理位置上的至少一些计算资源得到汇集。在NFV基础设施的一种示例性虚拟化环境当中,可以通过主机计算系统托管多个虚拟机(VM)。所述多个VM可以分别执行一个或多个虚拟网络功能(VNF)。由一个或多个VM执行的既定VNF可以履行以前采用专用硬件装置实施的功能(例如,防火墙、网络地址转换等)。附图说明图1示出了示例性系统。图2示出了用于指纹加密的示例性方案。图3示出了用于指纹解密的示例性方案。图4示出了示例性过程。图5示出了示例性第一逻辑流程。图6示出了用于数据或分组加密的示例性方案。图7示出了用于数据或分组解密的示例性方案。图8示出了第一设备的示例性方框图。图9示出了第二逻辑流程的示例。图10示出了第一存储介质的示例。图11示出了第二设备的示例性方框图。图12示出了第三逻辑流程的示例。图13示出了第二存储介质的示例。图14示出了示例性计算平台。图15示出了示例性硬件安全模块。具体实施方式在一种用于NFV基础设施的示例性虚拟化环境当中,由主机计算系统托管多个VM。所述多个VM可以分别执行一个或多个VNF。在一些示例中,由主机计算平台的操作系统(OS)实施的监视器(hypervisor)或虚拟机管理器(VMM)可以向VM分配内存或存储资源,从而使V ...
【技术保护点】
1.一种设备,包括:电路,所述电路位于计算系统的处理器处,所述处理器被布置为支持第一虚拟机(VM),所述第一虚拟机被布置为执行第一虚拟网络功能(VNF);启动逻辑,所述启动逻辑由所述电路执行,以启动所述第一VNF和由第二VM执行的第二VNF之间的秘钥交换;接收逻辑,所述接收逻辑由所述电路执行,以接收来自所述第二VNF的加密指纹,所述加密指纹是通过使用根秘钥、所述指纹的包括所述第二VNF的标识的明文、随机生成数和消息认证码(MAC)值进行加密的;提供逻辑,所述提供逻辑由所述电路执行,以向与所述处理器耦合的硬件安全模块(HSM)提供所述加密指纹,所述HSM通过使用所述根秘钥对所述加密指纹进行解密,生成会话秘钥,通过使用经解密的指纹和所述根秘钥对所述会话秘钥进行加密,并且将经加密的会话秘钥提供给所述第一VNF;以及发送逻辑,所述发送逻辑由所述电路执行,以将所述经加密的会话秘钥发送至所述第二VNF,以便于所述第二VNF使用所述指纹的明文和所述根秘钥对所述经加密的会话秘钥进行解密,所述会话秘钥用于对从所述第二VNF经由网络连接发送至所述第一VNF的数据进行加密。
【技术特征摘要】
【国外来华专利技术】1.一种设备,包括:电路,所述电路位于计算系统的处理器处,所述处理器被布置为支持第一虚拟机(VM),所述第一虚拟机被布置为执行第一虚拟网络功能(VNF);启动逻辑,所述启动逻辑由所述电路执行,以启动所述第一VNF和由第二VM执行的第二VNF之间的秘钥交换;接收逻辑,所述接收逻辑由所述电路执行,以接收来自所述第二VNF的加密指纹,所述加密指纹是通过使用根秘钥、所述指纹的包括所述第二VNF的标识的明文、随机生成数和消息认证码(MAC)值进行加密的;提供逻辑,所述提供逻辑由所述电路执行,以向与所述处理器耦合的硬件安全模块(HSM)提供所述加密指纹,所述HSM通过使用所述根秘钥对所述加密指纹进行解密,生成会话秘钥,通过使用经解密的指纹和所述根秘钥对所述会话秘钥进行加密,并且将经加密的会话秘钥提供给所述第一VNF;以及发送逻辑,所述发送逻辑由所述电路执行,以将所述经加密的会话秘钥发送至所述第二VNF,以便于所述第二VNF使用所述指纹的明文和所述根秘钥对所述经加密的会话秘钥进行解密,所述会话秘钥用于对从所述第二VNF经由网络连接发送至所述第一VNF的数据进行加密。2.根据权利要求1所述的设备,所述启动逻辑启动所述第一VNF和所述第二VNF之间的秘钥交换包括:所述启动逻辑使第一消息经由所述网络连接发送至所述第二VNF,所述消息指示所述第一VNF请求经由所述网络连接与所述第二VNF的安全连接。3.根据权利要求2所述的设备,包括:所述接收逻辑经由所述网络连接接收来自所述第二VNF的第二消息以及所述加密指纹;并且所述第一消息是客户端问候消息并且所述第二消息是服务器问候消息。4.根据权利要求1所述的设备,包括:所述第一VNF或者所述第二VNF被布置用于某种类型的功能,所述功能包括防火墙服务功能、虚拟路由器功能、网络地址转换功能、会话边界控制器功能、视频优化器功能或者内容分发网络功能,所述第二VNF的标识与所述功能的类型相关联。5.根据权利要求1所述的设备,所述提供逻辑向所述HSM提供所述加密指纹包括:所述提供逻辑使所述加密指纹存储到系统存储器的部分当中的第一客户物理地址(GPA)处,所述系统存储器用于计算平台,所述计算平台托管被布置为支持所述第一VM的处理器,存储器的所述部分被分配给所述第一VM;以及将所述第一GPA发送至所述HSM处的虚拟功能,所述虚拟功能被直接分配给所述第一VNF,并且能够基于所述直接分配访问存储器的被分配给所述第一VM的所述部分,所述虚拟功能用于向所述处理器发送包括所述第一GPA的请求消息,以获得所述加密指纹,其中,在对所述指纹进行解密之后,经解密的指纹将被保存在所述HSM处的片上存储器中。6.根据权利要求5所述的设备,还包括:所述提供逻辑使所述经加密的会话秘钥被存储到存储器的被分配给所述第一VM的所述部分当中的第二GPA处;所述接收逻辑经由所述网络连接接收来自所述第二VNF的加密数据,所述加密数据是通过使用所述会话秘钥进行加密的;所述提供逻辑使所述加密数据被存储到存储器的被分配给所述第一VM的所述部分当中的第三GPA处,并将所述第二GPA发送给所述直接分配的虚拟功能,从而将所述经加密的会话秘钥提供给所述HSM,所述HSM通过使用所述经解密的指纹和所述根秘钥对所述经加密的会话秘钥进行解密;并且所述提供逻辑将所述第三GPA发送至所述直接分配的虚拟功能,从而将接收自所述第二VNF的所述加密数据提供至所述HSM,所述HSM通过使用所述会话秘钥对所述加密数据进行解密。7.根据权利要求1所述的设备,所述HSM包括被配置成用于所述处理器的密码加速器的专用集成电路(ASIC)或现场可编程门阵列(FPGA)。8.包括多条指令的至少一种机器可读介质,所述指令响应于被系统执行,使得所述系统:在由第一虚拟机(VM)执行的第一虚拟网络功能(VNF)处启动与由第二VM执行的第二VNF的秘钥交换;接收来自所述第二VNF的加密指纹,所述加密指纹是使用根秘钥、所述指纹的包括所述第二VNF的标识的明文、随机生成数和消息认证码(MAC)值而加密的;将经加密的指纹提供给硬件安全模块(HSM),所述硬件安全模块(HSM)与被布置为支持所述第一VM的处理器耦合,所述HSM用于通过使用所述根秘钥对所述加密指纹进行解密,生成会话秘钥,通过使用经解密的指纹和所述根秘钥对所述会话秘钥进行加密,并将经加密的会话秘钥提供给所述第一VNF;以及将所述经加密的会话秘钥发送至所述第二VNF,以使得所述第二VNF通过使用所述指纹的明文和所述根秘钥对所述经加密的会话秘钥进行解密,所述会话秘钥用于对从所述第二VNF经由网络连接发送至所述第一VNF的数据进行加密。9.根据权利要求8所述的至少一种机器可读介质,包括:包含在所述指纹的明文当中的MAC值以MAC算法为基础,所述MAC算法包括将所述根秘钥与所述第二VNF的标识和所述随机生成数结合使用,以作为输入来生成所述MAC值,所述HSM基于所述MAC值与重新生成的MAC值的比较来验证经解密的指纹的真实性,所述重新生成的MAC值基于将所述根秘钥与所述第二VNF的解密标识和解密随机生成数结合使用,以作为所述MAC算法的输入,从而生成所述重新生成的MAC值。10.根据权利要求8所述的至少一种机器可读介质,所述指令使得所述系统启动所述第一VNF和所述第二VNF之间的秘钥交换包括:所述系统经由所述网络连接向所述第二VNF发送第一消息,所述消息指示所述第一VNF请求经由所述网络连接与所述第二VNF的安全连接;以及经由所述网络连接接收来自所述第二VNF的第二消息以及所述加密指纹,其中,所述第一消息是客户端问候消息并且所述第二消息是服务器问候消息。11.根据权利要求8所述的至少一种机器可读介质,包括:所述第一VNF或者所述第二VNF被布置用于某种类型的功能,所述功能包括防火墙服务功能、虚拟路由器功能、网络地址转换功能、会话边界控制器功能、视频优化器功能或者内容分发网络功能。12.根据权利要求8所述的至少一种机器可读介质,所述指令使得所述系统将所述加密指纹提供给所述HSM包括:所述系统:将所述加密指纹存储到系统存储器的部分当中的第一客户物理地址(GPA)处,所述系统存储器用于计算平台,所述计算平台托管被布置为支持所述第一VM的处理器,存储器的部分被分配给所述第一VM;以及将所述第一GPA发送至所述HSM处的虚拟功能,所述虚拟功能被直接分配给所述第一VNF并且能够基于所述直接分配访问存储器的被分配给所述第一VM的部分,所述虚拟功能向所述处理器发送包括所述第一GPA的请求消息,以获得所述加密指纹,其中,在对所述指纹进行解密之后,经解密的指纹将被保存在所述HSM处的片上存储器中。13.根据权利要求12所述的至少一种机器可读介质,所述指令进一步使所述系统:将所述经加密的会话秘钥存储到存储器的被分配给所述第一VM的所述部分当中的第二GPA处;经由所述网络连接接收来自所述第二VNF的加密数据,所述加密数据是通过使用所述会话秘钥进行加密的;将所述加密数据存储到存储器的被分配给所述第一VM的所述部分当中的第三GPA处,并将所述第二GPA发送给所述直接分配的虚拟功能,从而将所加密的会话秘钥提供给所述HSM,所述HSM将通过使用所解密的指纹和所述根秘钥对所加密的会话秘钥进行解密;并且将所述第三GPA发送至所述直接分配的虚拟功能,从而将接...
【专利技术属性】
技术研发人员:李微刚,D·Y·周,C·魏,
申请(专利权)人:英特尔公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。