NFV中的TEE资源编排方法、系统、设备及存储介质技术方案

本发明专利技术提供一种NFV中的TEE资源编排方法、系统、设备及存储介质，涉及云计算技术领域，该方法包括：NFVO接收主机通过其归属管理的VIM通报的主机的TEE能力信息；NFVO根据接收到的TEE能力信息并基于用户侧的TEE能力需求，选择具有TEE能力的主机归属管理的VIM及关联的VNFM，并向VNFM发起VNF实例化请求，在具有TEE能力的主机中分配资源，以实现NFVO的TEE资源编排；主机在TEE能力开启后进行TEE实例远程验证；第三方应用对TEE应用实例进行验证。本发明专利技术提供的技术方案使得NFVO在部署VNF时，可以将对数据和代码隐私保护要求高的处理功能或模块部署在支持TEE的基础设施资源中。块部署在支持TEE的基础设施资源中。块部署在支持TEE的基础设施资源中。

【技术实现步骤摘要】
NFV中的TEE资源编排方法、系统、设备及存储介质


[0001]本专利技术涉及云计算
，尤其涉及一种NFV中的TEE资源编排方法、一种NFV中的TEE资源编排系统、一种TEE资源编排设备以及一种计算机可读存储介质。

技术介绍

[0002]随着NFV(网络功能虚拟化，Network Functions Virtualisation)成为5G网络重要的使能技术，网络中的5G核心网、IMS、业务网元已经广泛采用NFV技术并实际部署。共同的NFVI(网络功能虚拟化基础设施，NFV Infrastructure)用于承载多个厂家的VNF(虚拟化的网络功能模块，Virtual Network Functions)，或者同一个x86主机中存在多个厂家的VNFC(虚拟化的网络功能模块组件，Virtualised Network Function Component)。部分VNF网元存储有业务敏感数据(如用户合约数据、用户身份数据、用户位置数据等)以及秘钥数据(如TLS私钥数据等)。异厂家共用基础设施存在一定的隐私泄露隐患。此外，NFV也被MEC(多接入边本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络功能虚拟化NFV中的可信执行环境TEE资源编排方法，其特征在于，包括以下步骤：S1、网络功能虚拟化编排器NFVO接收用作网络功能虚拟化基础设施NFVI的主机通过所述主机归属管理的网络功能虚拟化基础设施管理模块VIM通报的所述主机的TEE能力信息；S2、所述NFVO根据接收到的所述TEE能力信息并基于用户侧的TEE能力需求，选择具有TEE能力的主机归属管理的VIM及关联的虚拟化的网络功能模块管理模块VNFM，并向所述VNFM发起虚拟化的网络功能模块VNF实例化请求，在所述具有TEE能力的主机中分配资源，以实现所述NFVO的TEE资源编排；S3、所述具有TEE能力的主机在TEE能力开启后进行TEE实例远程验证；S4、第三方应用对TEE应用实例环境进行验证。2.根据权利要求1所述的NFV中的TEE资源编排方法，其特征在于，所述TEE能力信息包括TEE支持与否情况、TEE支持类型、TEE开启情况和TEE配置信息情况，并且步骤S1包括：S11、所述主机将所述TEE能力信息通报给所述VIM；S12、所述VIM记录所述TEE能力信息，并将所述TEE能力信息通报给所述NFVO；S13、所述NFVO接收所述TEE能力信息，并记录所述主机的所述TEE支持与否情况以及关于所述VIM的信息。3.根据权利要求1所述的NFV中的TEE资源编排方法，其特征在于，所述用户侧的TEE能力需求通过在虚拟化的网络功能模块描述符VNFD的描述文件中增加TEE相关描述要求来提供。4.根据权利要求3所述的NFV中的TEE资源编排方法，其特征在于，步骤S2包括：S201、所述NFVO接收操作支持系统OSS发送的VNF实例化请求；S202、所述NFVO检查所述OSS发送的包括所述描述文件的VNF package配置，解析所述描述文件中资源需求及所述TEE能力需求，选择具有TEE能力的主机归属管理的VIM及关联的VNFM；S203、所述NFVO向所述VNFM发起VNF实例化请求；S204、所述VNFM向所述VIM发送资源分配请求，并在请求消息中携带VNF软件镜像信息；S205、所述VIM基于所述VNFM的请求在所述具有TEE能力的主机上分配相应资源、下载VNF软件镜像并在所述具有TEE能力的主机上实例化镜像；S206、所述VIM向所述VNFM发送资源分配请求响应；S207、所述VNFM向VNF/虚拟化的网络功能模块组件VNFC发送服务配置请求，其中所述服务配置请求包括TEE特定支持库文件和TEE远程验证配置；S208、所述VNF/VNFC向所述VNFM发送服务配置请求响应；S209、所述VNFM向所述NFVO发送VNF实例化结果响应，并将资源分配情况上报所述NFVO；S210、所述NFVO向所述OSS返回所述VNF实例化结果响应。5.根据权利要求1所述的NFV中的TEE资源编排方法，其特征在于，步骤S3包括：S301、所述具有TEE能力的主机在TEE能力开启后，向所述VIM发送认证信息和CA证书申请信息，所述认证信息至少包括CPUID、TEE实例ID和TEE实例公钥；
S302、所述VIM将所述认证信息和所述CA证书申请信息转发给所述VIM归属管理的NFVO；S303、所述NFVO将所述认证信息和所述CA证书申请信息转发给TEE厂商服务器；S304、所述TEE厂商服务器基于TEE的出厂信息，验证所述认证信息表示的TEE实例是否为真实TEE环境，并获得远程认证结果；如果所述远程认证结果为通过，则为所述具有TEE能力的主机提供的所述TEE公钥签发CA证书；S305、所述TEE厂商服务器将所述远程认证结果和所述CA证书返回给所述NFVO；S306、所述NFVO检查所述远程认证结果，并将所述CA证书在本地保存；S307、所述NFVO将所述远程认证结果和所述CA证书返回给所述VIM；S308、所述VIM将所述远程认证结果和所述CA证书返回给所述具有TEE能力的主机；S309、所述具有TEE能力的...

【专利技术属性】
技术研发人员：薛淼，任杰，任梦璇，
申请(专利权)人：中国联合网络通信集团有限公司，
类型：发明
国别省市：