用于秘钥交换以在网络功能虚拟化环境中建立安全连接的技术制造技术

一种用于秘钥交换从而在网络功能虚拟化环境中建立安全连接的设备(800)。所述设备(800)在由相应虚拟机(160‑1到160‑N)执行的虚拟网络功能(VNF‑A，VNF‑B，VNF‑C)之间交换加密会话秘钥(410)，从而经由网络连接建立安全连接，并且使用与支持所述相应虚拟机(160‑1到160‑N)的至少其中之一的处理器耦接的硬件安全模块(150)。所述硬件安全模块(150)通过使用用于所述虚拟网络功能(VNF‑A，VNF‑B，VNF‑C)的至少其中之一的虚拟网络功能指纹(210，220)有助于对所交换的加密会话秘钥(410)的加密和解密。

Technology for Secret Key Exchange to Establish Secure Connections in Network Functional Virtualization Environment

【技术实现步骤摘要】
【国外来华专利技术】用于秘钥交换以在网络功能虚拟化环境中建立安全连接的技术
本公开描述的示例总体上涉及用于数据的加密/解密而交换的秘钥以及对所交换秘钥的保护。
技术介绍
近年来，一种被称为网络功能虚拟化(NFV)的相对较新技术正在迅速发展。在一些示例中，NFV基础设施对大型数据中心或电信供应商变得越来越重要，其将允许可能分解的和/或位于分散地理位置上的至少一些计算资源得到汇集。在NFV基础设施的一种示例性虚拟化环境当中，可以通过主机计算系统托管多个虚拟机(VM)。所述多个VM可以分别执行一个或多个虚拟网络功能(VNF)。由一个或多个VM执行的既定VNF可以履行以前采用专用硬件装置实施的功能(例如，防火墙、网络地址转换等)。附图说明图1示出了示例性系统。图2示出了用于指纹加密的示例性方案。图3示出了用于指纹解密的示例性方案。图4示出了示例性过程。图5示出了示例性第一逻辑流程。图6示出了用于数据或分组加密的示例性方案。图7示出了用于数据或分组解密的示例性方案。图8示出了第一设备的示例性方框图。图9示出了第二逻辑流程的示例。图10示出了第一存储介质的示例。图11示出了第二设备的示例性方框图。图12示出了第三逻辑流程的示例。图13示出了第二存储介质的示例。图14示出了示例性计算平台。图15示出了示例性硬件安全模块。具体实施方式在一种用于NFV基础设施的示例性虚拟化环境当中，由主机计算系统托管多个VM。所述多个VM可以分别执行一个或多个VNF。在一些示例中，由主机计算平台的操作系统(OS)实施的监视器(hypervisor)或虚拟机管理器(VMM)可以向VM分配内存或存储资源，从而使VM能够对这些内存或存储装置的所分配部分进行输入/输出(I/O)访问。根据一些示例，可以在由同一或不同计算平台托管的VM执行的VNF之间建立安全连接(例如，传输层安全)。一种建立安全连接的方式可以包括用于经由所述安全连接发送/接收的数据或分组的加密/解密的会话秘钥的交换。一种常见的用于会话秘钥交换的方法可以基于使用诸如Rivest、Shamir和Adelman(RSA)或者DiffieHellman(Dh)的非对称加密算法的公钥基础设施(PKI)。以PKI为基础的VNF之间的安全连接的建立以及对诸如RSA或DH的非对称加密算法的使用可能存在问题。例如，使用诸如RSA或DH的非对称加密算法来建立安全连接可能是计算密集的，并且相对缓慢。与例如但不限于数据加密标准(DES)加密算法的对称加密算法相比，使用RSA算法的加密/解密可能大约比使用DES算法的加密/解密慢1000倍。因此，当VNF尝试经由这种类型的安全连接交换数据或分组时，这些计算密集的并且相对缓慢的非对称加密算法的使用可能造成显著的负面性能影响。而且，在会话秘钥交换之后，会话秘钥可以被按照明文形式存储到分配给执行建立了所述安全连接的所述VNF的相应VM的存储器当中。所述会话秘钥的明文形式可能带来安全风险，因为会话秘钥可能被黑客或者欺骗VNF拦截。正是相对于这些风险而言才需要本文描述的示例。图1示出了示例性系统100。在一些示例中，如图1所示，系统100包括经由相应链路130和140与系统存储器120和硬件安全模块(HSM)150耦接的处理器110。根据一些示例，如图1所示，处理器110可以能够支持包括VM160-1到160-N在内的多个虚拟机(VM)，其中，用于VM160-1到160-N以及下文的系统的其他元件的“N”是指任何大于2的正整数。在一些示例中，系统存储器120、处理器110和HSM150可以是被布置为VFM基础设施的部分的物理元件，其中，所述VFM基础设施支持可以执行与VNF相关联的应用的虚拟元件，例如VM160-1到160-N。例如，VM160-1、VM160-2和VM160-N可以分别执行与图1中被示为VNF-A、VNF-B和VNF-C的相应VNF相关联的一个或多个应用。根据一些示例，VNF-A、VNF-B或VNF-C可以履行功能、任务或服务，其可以包括但不限于防火墙、域名服务(DNS)、高速缓存或网络地址转换(NAT)。根据一些示例，包括但不限于用于输入/输出存储管理单元(IOMMU)或者单根输入/输出虚拟化(SR-IOV)的技术的技术可以被系统100的硬件元件用来支持由同一或不同计算平台托管的VNF之间的VNF到VNF通信。可以通过使用在系统100的硬件元件上执行的隔离虚拟功能(VF)来有助于这些VNF到VNF通信。每一隔离VF可以被直接分配给相应VM执行的既定VNF。在一些示例中，被布置为管理VM的监视器(未示出)可以直接为相应的VNF分配隔离VF。在一些示例中，如下文进一步所述，可以由HSM(例如，HSM150)执行或支持的这些隔离VF来有助于安全的VNF到VNF通信和/或数据交换，从而有助于用于VNF到VNF通信和/或数据交换的安全连接的建立。在一些示例中，可以在由相应的VM160-1到VM160-N执行的VNFA-C之间建立安全连接，或者可以在由单独计算平台托管的VM所执行的VNF之间建立安全连接。可以由相应的VF161-1到VF161-N有助于安全连接的这一建立。对于这些示例而言，VF161-1到VF161-N可以由HSM150(例如，HSM逻辑156)的逻辑和/或特征来执行或支持。VF161-1到VF161-N可以被直接分配给相应的VNF-A、VNF-B和VNF-C，以作为支持用于安全VNF到VNF通信和/或数据交换的SR-IOV的轻量加密/解密功能。可以通过与VNF-A到VNF-C相关联的相应VF驱动器162-1到162-N来驱动/控制VF161-1到VF161-N，从而允许这些VNF与VF161-1到VF161-N直接交互。根据一些示例，HSM150处的VNF和VF之间的直接交互可以是通过包含在用于处理器110的集成I/O112内的根复合体111进行的，所述集成I/O112可以经由链路140与HSM150耦合。根据一些示例，根复合体111以及HSM的逻辑和/或特征可以利用根据2015年12月发布的高速外围部件互连(PCI)Express基本规范(“PCIExpress规范”或“PCIe规范”)的3.1a版本的通信协议和接口使VF驱动器162-1到162-N能够经由链路140与VF161-1到VF161-N直接交互。在VNFA-C被直接分配给相应的VF161-1到VF161-N之后，这一直接交互可以在这些VNFA-C和HSM150之间建立直通连接，其可以不涉及诸如VMM或监视器的管理/控制软件。所述直接交互可以包括交换信息，以确定系统存储器120内的分配给执行VNFA-C的相应VM以用于如下文进一步所述对数据/分组进行加密/解密的物理存储器地址。在一些示例中，如图1中所示，处理器110可以包括处理元件119。处理元件119可以包括一个或多个处理核。在一个示例中，VM160-1到VM160-N可以由单独的处理核支持或者可以由处理核的组合支持。处理器110还可以包括环形总线117，其被布置为有助于处理元件119、存储控制器118以及集成I/O112的元件之间的通信，从而进一步支持由VM160-1到160-N执行的VNFA-C。在一些示例中，存储控制器本文档来自技高网...

【技术保护点】
1.一种设备，包括：电路，所述电路位于计算系统的处理器处，所述处理器被布置为支持第一虚拟机(VM)，所述第一虚拟机被布置为执行第一虚拟网络功能(VNF)；启动逻辑，所述启动逻辑由所述电路执行，以启动所述第一VNF和由第二VM执行的第二VNF之间的秘钥交换；接收逻辑，所述接收逻辑由所述电路执行，以接收来自所述第二VNF的加密指纹，所述加密指纹是通过使用根秘钥、所述指纹的包括所述第二VNF的标识的明文、随机生成数和消息认证码(MAC)值进行加密的；提供逻辑，所述提供逻辑由所述电路执行，以向与所述处理器耦合的硬件安全模块(HSM)提供所述加密指纹，所述HSM通过使用所述根秘钥对所述加密指纹进行解密，生成会话秘钥，通过使用经解密的指纹和所述根秘钥对所述会话秘钥进行加密，并且将经加密的会话秘钥提供给所述第一VNF；以及发送逻辑，所述发送逻辑由所述电路执行，以将所述经加密的会话秘钥发送至所述第二VNF，以便于所述第二VNF使用所述指纹的明文和所述根秘钥对所述经加密的会话秘钥进行解密，所述会话秘钥用于对从所述第二VNF经由网络连接发送至所述第一VNF的数据进行加密。

【技术特征摘要】
【国外来华专利技术】1.一种设备，包括：电路，所述电路位于计算系统的处理器处，所述处理器被布置为支持第一虚拟机(VM)，所述第一虚拟机被布置为执行第一虚拟网络功能(VNF)；启动逻辑，所述启动逻辑由所述电路执行，以启动所述第一VNF和由第二VM执行的第二VNF之间的秘钥交换；接收逻辑，所述接收逻辑由所述电路执行，以接收来自所述第二VNF的加密指纹，所述加密指纹是通过使用根秘钥、所述指纹的包括所述第二VNF的标识的明文、随机生成数和消息认证码(MAC)值进行加密的；提供逻辑，所述提供逻辑由所述电路执行，以向与所述处理器耦合的硬件安全模块(HSM)提供所述加密指纹，所述HSM通过使用所述根秘钥对所述加密指纹进行解密，生成会话秘钥，通过使用经解密的指纹和所述根秘钥对所述会话秘钥进行加密，并且将经加密的会话秘钥提供给所述第一VNF；以及发送逻辑，所述发送逻辑由所述电路执行，以将所述经加密的会话秘钥发送至所述第二VNF，以便于所述第二VNF使用所述指纹的明文和所述根秘钥对所述经加密的会话秘钥进行解密，所述会话秘钥用于对从所述第二VNF经由网络连接发送至所述第一VNF的数据进行加密。2.根据权利要求1所述的设备，所述启动逻辑启动所述第一VNF和所述第二VNF之间的秘钥交换包括：所述启动逻辑使第一消息经由所述网络连接发送至所述第二VNF，所述消息指示所述第一VNF请求经由所述网络连接与所述第二VNF的安全连接。3.根据权利要求2所述的设备，包括：所述接收逻辑经由所述网络连接接收来自所述第二VNF的第二消息以及所述加密指纹；并且所述第一消息是客户端问候消息并且所述第二消息是服务器问候消息。4.根据权利要求1所述的设备，包括：所述第一VNF或者所述第二VNF被布置用于某种类型的功能，所述功能包括防火墙服务功能、虚拟路由器功能、网络地址转换功能、会话边界控制器功能、视频优化器功能或者内容分发网络功能，所述第二VNF的标识与所述功能的类型相关联。5.根据权利要求1所述的设备，所述提供逻辑向所述HSM提供所述加密指纹包括：所述提供逻辑使所述加密指纹存储到系统存储器的部分当中的第一客户物理地址(GPA)处，所述系统存储器用于计算平台，所述计算平台托管被布置为支持所述第一VM的处理器，存储器的所述部分被分配给所述第一VM；以及将所述第一GPA发送至所述HSM处的虚拟功能，所述虚拟功能被直接分配给所述第一VNF，并且能够基于所述直接分配访问存储器的被分配给所述第一VM的所述部分，所述虚拟功能用于向所述处理器发送包括所述第一GPA的请求消息，以获得所述加密指纹，其中，在对所述指纹进行解密之后，经解密的指纹将被保存在所述HSM处的片上存储器中。6.根据权利要求5所述的设备，还包括：所述提供逻辑使所述经加密的会话秘钥被存储到存储器的被分配给所述第一VM的所述部分当中的第二GPA处；所述接收逻辑经由所述网络连接接收来自所述第二VNF的加密数据，所述加密数据是通过使用所述会话秘钥进行加密的；所述提供逻辑使所述加密数据被存储到存储器的被分配给所述第一VM的所述部分当中的第三GPA处，并将所述第二GPA发送给所述直接分配的虚拟功能，从而将所述经加密的会话秘钥提供给所述HSM，所述HSM通过使用所述经解密的指纹和所述根秘钥对所述经加密的会话秘钥进行解密；并且所述提供逻辑将所述第三GPA发送至所述直接分配的虚拟功能，从而将接收自所述第二VNF的所述加密数据提供至所述HSM，所述HSM通过使用所述会话秘钥对所述加密数据进行解密。7.根据权利要求1所述的设备，所述HSM包括被配置成用于所述处理器的密码加速器的专用集成电路(ASIC)或现场可编程门阵列(FPGA)。8.包括多条指令的至少一种机器可读介质，所述指令响应于被系统执行，使得所述系统：在由第一虚拟机(VM)执行的第一虚拟网络功能(VNF)处启动与由第二VM执行的第二VNF的秘钥交换；接收来自所述第二VNF的加密指纹，所述加密指纹是使用根秘钥、所述指纹的包括所述第二VNF的标识的明文、随机生成数和消息认证码(MAC)值而加密的；将经加密的指纹提供给硬件安全模块(HSM)，所述硬件安全模块(HSM)与被布置为支持所述第一VM的处理器耦合，所述HSM用于通过使用所述根秘钥对所述加密指纹进行解密，生成会话秘钥，通过使用经解密的指纹和所述根秘钥对所述会话秘钥进行加密，并将经加密的会话秘钥提供给所述第一VNF；以及将所述经加密的会话秘钥发送至所述第二VNF，以使得所述第二VNF通过使用所述指纹的明文和所述根秘钥对所述经加密的会话秘钥进行解密，所述会话秘钥用于对从所述第二VNF经由网络连接发送至所述第一VNF的数据进行加密。9.根据权利要求8所述的至少一种机器可读介质，包括：包含在所述指纹的明文当中的MAC值以MAC算法为基础，所述MAC算法包括将所述根秘钥与所述第二VNF的标识和所述随机生成数结合使用，以作为输入来生成所述MAC值，所述HSM基于所述MAC值与重新生成的MAC值的比较来验证经解密的指纹的真实性，所述重新生成的MAC值基于将所述根秘钥与所述第二VNF的解密标识和解密随机生成数结合使用，以作为所述MAC算法的输入，从而生成所述重新生成的MAC值。10.根据权利要求8所述的至少一种机器可读介质，所述指令使得所述系统启动所述第一VNF和所述第二VNF之间的秘钥交换包括：所述系统经由所述网络连接向所述第二VNF发送第一消息，所述消息指示所述第一VNF请求经由所述网络连接与所述第二VNF的安全连接；以及经由所述网络连接接收来自所述第二VNF的第二消息以及所述加密指纹，其中，所述第一消息是客户端问候消息并且所述第二消息是服务器问候消息。11.根据权利要求8所述的至少一种机器可读介质，包括：所述第一VNF或者所述第二VNF被布置用于某种类型的功能，所述功能包括防火墙服务功能、虚拟路由器功能、网络地址转换功能、会话边界控制器功能、视频优化器功能或者内容分发网络功能。12.根据权利要求8所述的至少一种机器可读介质，所述指令使得所述系统将所述加密指纹提供给所述HSM包括：所述系统：将所述加密指纹存储到系统存储器的部分当中的第一客户物理地址(GPA)处，所述系统存储器用于计算平台，所述计算平台托管被布置为支持所述第一VM的处理器，存储器的部分被分配给所述第一VM；以及将所述第一GPA发送至所述HSM处的虚拟功能，所述虚拟功能被直接分配给所述第一VNF并且能够基于所述直接分配访问存储器的被分配给所述第一VM的部分，所述虚拟功能向所述处理器发送包括所述第一GPA的请求消息，以获得所述加密指纹，其中，在对所述指纹进行解密之后，经解密的指纹将被保存在所述HSM处的片上存储器中。13.根据权利要求12所述的至少一种机器可读介质，所述指令进一步使所述系统：将所述经加密的会话秘钥存储到存储器的被分配给所述第一VM的所述部分当中的第二GPA处；经由所述网络连接接收来自所述第二VNF的加密数据，所述加密数据是通过使用所述会话秘钥进行加密的；将所述加密数据存储到存储器的被分配给所述第一VM的所述部分当中的第三GPA处，并将所述第二GPA发送给所述直接分配的虚拟功能，从而将所加密的会话秘钥提供给所述HSM，所述HSM将通过使用所解密的指纹和所述根秘钥对所加密的会话秘钥进行解密；并且将所述第三GPA发送至所述直接分配的虚拟功能，从而将接...

【专利技术属性】
技术研发人员：李微刚，D·Y·周，C·魏，
申请(专利权)人：英特尔公司，
类型：发明
国别省市：美国,US