【技术实现步骤摘要】
本申请涉及通信领域,并且更具体地,涉及一种可信能力获取的方法和装置。
技术介绍
1、随着系统可信性的远程证明被应用到越来越广泛的场景,越来越多的远程证明方式可以用于网络设备向服务器进行系统可信性的远程证明。一个网元的是否能够进行远程证明除了取决于自身是否安装有对应的远程证明代理,还通常取决于其运行所在的环境是否支持远程证明,如vmm是否提供虚拟可信根,主机硬件是否提供硬件可信根以及主机层的远程证明代理。然而,现网中并非所有网元,vmm以及主机硬件都支持远程证明,可以预见,未来现网中将存在大量可以进行远程证明和不可以进行远程证明的混合场景。此情况下,对于不可以进行远程证明的场景,如果仍直接对网元进行远程证明,则会由于网元不支持进行远程证明导致远程证明失败,从而导致校验方无法确定是什么原因导致的远程证明失败,从而无法采取正确的消减措施,影响网络安全运行。
2、因此,如何应对上述场景,避免错误地判定网元远程证明失败的原因,成为一个亟待解决的问题。
技术实现思路
1、本申请提供一种可信能力获取的方法和装置,能够在存在大量可以进行远程证明和不可以进行远程证明的混合场景中,正确地判定网元远程证明失败的原因。
2、第一方面,提供了一种可信能力获取的方法,该方法包括:网络功能虚拟化编排功能(network function virtualization orchestrator,nfvo)从虚拟化基础设施管理器(virtualized infrastructure mana
3、或者说,该方法包括:第一功能从第二功能获取至少一个主机的可信能力和至少一个第三功能的可信能力,该第二功能用于管理该至少一个主机,一个主机包括一个第三功能;该第一功能从vnfd获取第四功能的可信能力;该第一功能向第五功能发送第一信息,该第一信息包括第四功能的可信能力、第一主机的可信能力以及第六功能的可信能力,该第一主机为所述至少一个主机中的一个或多个主机,该第六功能为所述至少一个第三功能中的一个或多个第三功能,该第一主机中的一个主机包括该第三功能中的一个第三功能,所述第三功能用于管理该vnf,该vnf位于所述第一主机中的一个主机上。
4、可选的,nfvo也可以仅获取至少一个主机的可信能力或至少一个vmm的可信能力或vnf#1的可信能力,也即,只需要执行对至少一个主机的或至少一个vmm的vnf#1的远程证明。
5、可选的,可信能力为是否支持远程证明,具体而言,可信能力为支持进行远程证明,或者,可信能力为不支持进行远程证明。
6、基于上述方案,nfvo从vim获取至少一个主机的可信能力和至少一个vmm的可信能力,以及从vnfd获取vnf的可信能力,从而在存在大量可以进行远程证明和不可以进行远程证明的混合场景中,nfvo能够安全可信地获取到至少一个主机的可信能力、至少一个vmm的可信能力以及vnf的可信能力,并通过第一信息将第一主机的可信能力、第一vmm的可信能力以及该vnf的可信能力发送给mnf,从而mnf在确定vnf远程证明失败后,可以确定是该vnf被攻击导致的失败,而不会错误地认为是因为该vnf能力不足而导致的失败,因此mnf可以采取对该vnf进行漏洞修复、攻击检测等安全管理措施,进而避免了被攻击的vnf持续在网络中运行,保证了网络整体的运行安全。
7、结合第一方面,在第一方面的某些实现方式中,该nfvo从该vnfd获取第一策略,该第一策略为不需要(not needed)验证该vnf的可信状态,优先(preferred)验证该vnf的可信状态和要求(required)验证该vnf的可信状态中的一种;该第一信息包括该第一策略。使得在存在大量可以进行远程证明和不可以进行远程证明的混合场景中,nfvo还能够安全可信地获取到该vnf的安全策略,并将该安全策略发给mnf,从而使得mnf能够根据安全策略对vnf的可信状态进行验证,比如,在要求(required)验证该vnf的可信状态的情况下,mnf可以对vnf的可信状态进行验证,在其他情况下,mnf可以不对vnf的可信状态进行验证,从而进一步提高了mnf进行可信状态认证的灵活性。
8、可选的,该验证可信状态为验证远程证明结果,或者,该验证可信状态为验证远程证明报告。
9、结合第一方面,在第一方面的某些实现方式中,当该第一策略为要求验证vnf的可信状态时,该第一vmm的可信能力为支持进行远程证明。
10、可选的,nfvo可以根据该第一策略选择能够支持该第一策略的vmm,具体而言,当该第一策略为要求验证vnf的可信状态时,nfvo根据该第一策略选择可信能力为支持进行远程证明的vmm,从而使得mnf在对vnf进行可信状态验证时,不会因为与该vnf对应的vmm的能力问题而验证失败,也就不会导致mnf错误判定该vnf的可信状态。
11、结合第一方面,在第一方面的某些实现方式中,该vnf包括至少一个组件,该方法还包括:该nfvo从该vnfd获取所述第一策略包括所述至少一个组件中的一个或多个组件的安全策略,该安全策略为不需要验证组件的可信状态,优先验证组件的可信状态和要求验证组件的可信状态中的一种;该第一信息还包括该一个或多个组件的安全策略。
12、基于上述方案,在存在大量可以进行远程证明和不可以进行远程证明的混合场景中,nfvo能够安全可信地获取到该vnf内至少一个组件的一个或多个组件的安全策略,并将该安全策略发给mnf,从而使得mnf能够根据组件的安全策略对vnf的可信状态进行验证,比如,在有一个组件的安全认证为要求(required)验证该vnf的可信状态的情况下,mnf可以对vnf的可信状态进行验证,在其他情况下,比如所有组件的安全认证都是不需要验证组件的可信状态或优先验证组件的可信状态的情况下,mnf可以不对vnf的可信状态进行验证,从而进一步提高了mnf进行可信状态认证的灵活性。
13、结合第一方面,在第一方面的某些实现方式中,当该安全策略为要求验证组件的可信状态时,该第一vmm的可信能力为支持进行远程证明。
本文档来自技高网...【技术保护点】
1.一种可信能力获取的方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
3.根据权利要求2所述的方法,其特征在于,当所述第一策略为要求验证虚拟化网络功能的可信状态时,所述第一虚拟机监视器的可信能力为支持进行远程证明。
4.根据权利要求1所述的方法,其特征在于,所述虚拟化网络功能包括至少一个组件,所述方法还包括:
5.根据权利要求4所述的方法,其特征在于,当所述安全策略为要求验证组件的可信状态时,所述第一虚拟机监视器的可信能力为支持进行远程证明。
6.根据权利要求1至5中任一项所述的方法,其特征在于,所述方法还包括:
7.根据权利要求6所述的方法,其特征在于,当所述第二策略为要求验证主机和/或虚拟机监视器的可信状态时,所述第一主机的可信能力为支持进行远程证明。
8.一种可信能力获取的方法,其特征在于,包括:
9.根据权利要求8所述的方法,其特征在于,所述第一信息还包括第一策略,所述第一策略为不需要验证虚拟化网络功能的可信状态,优先验证虚拟化网络功能的可
10.根据权利要求8所述的方法,其特征在于,所述虚拟化网络功能包括至少一个组件,所述第一信息还包括所述至少一个组件中的一个或多个组件的安全策略,所述安全策略为不需要验证组件的可信状态,优先验证组件的可信状态和要求验证组件的可信状态中的一种;
11.根据权利要求8至10中任一项所述的方法,其特征在于,所述第一信息还包括第二策略,所述第二策略为要求验证主机和/或虚拟机监视器的可信状态,或者不要求验证主机和/或虚拟机监视器的可信状态;
12.根据权利要求8至11中任一项所述的方法,其特征在于,所述方法还包括:
13.一种可信能力获取的装置,其特征在于,包括:
14.根据权利要求13所述的装置,其特征在于,所述处理单元还用于:从所述虚拟网络功能描述符获取第一策略,所述第一策略为不需要验证虚拟化网络功能的可信状态,优先验证虚拟化网络功能的可信状态和要求验证虚拟化网络功能的可信状态中的一种;
15.根据权利要求14所述的装置,其特征在于,当所述第一策略为要求验证虚拟化网络功能的可信状态时,所述第一虚拟机监视器的可信能力为支持进行远程证明。
16.根据权利要求13所述的装置,其特征在于,所述虚拟化网络功能包括至少一个组件,所述处理单元还用于:从所述虚拟网络功能描述符获取所述至少一个组件中的一个或多个组件的安全策略,所述安全策略为不需要验证组件的可信状态,优先验证组件的可信状态和要求验证组件的可信状态中的一种;
17.根据权利要求16所述的装置,其特征在于,当所述安全策略为要求验证组件的可信状态时,所述第一虚拟机监视器的可信能力为支持进行远程证明。
18.根据权利要求13至17中任一项所述的装置,其特征在于,所述处理单元还用于:从所述虚拟网络功能描述符获取第二策略,所述第二策略为要求验证主机和/或虚拟机监视器的可信状态,或者不要求验证主机和/或虚拟机监视器的可信状态;
19.根据权利要求18所述的装置,其特征在于,当所述第二策略为要求验证主机和虚拟机监视器的可信状态时,所述第一主机的可信能力为支持进行远程证明。
20.一种可信能力获取的装置,其特征在于,包括:
21.根据权利要求20所述的装置,其特征在于,所述第一信息还包括第一策略,所述第一策略为不需要验证虚拟化网络功能的可信状态,优先验证虚拟化网络功能的可信状态和要求验证虚拟化网络功能的可信状态中的一种;
22.根据权利要求20所述的装置,其特征在于,所述虚拟化网络功能包括至少一个组件,所述第一信息还包括所述至少一个组件中的一个或多个组件的安全策略,所述安全策略为不需要验证组件的可信状态,优先验证组件的可信状态和要求验证组件的可信状态中的一种;
23.根据权利要求20至22中任一项所述的装置,其特征在于,所述第一信息还包括第二策略,所述第二策略为要求验证主机和/或虚拟机监视器的可信状态,或者不要求验证主机和/或虚拟机监视器的可信状态;
24.根据权利要求20至23中任一项所述的装置,其特征在于,所述装置还包括:
25.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,当所述计算机程序在计算机上运行时,使得计算机执行如权利要求1至7中任一项所述的方法,或者使得计算机执行如权利要求8至12中任一项所述的方法。
26.一种计算机程序产品,...
【技术特征摘要】
1.一种可信能力获取的方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
3.根据权利要求2所述的方法,其特征在于,当所述第一策略为要求验证虚拟化网络功能的可信状态时,所述第一虚拟机监视器的可信能力为支持进行远程证明。
4.根据权利要求1所述的方法,其特征在于,所述虚拟化网络功能包括至少一个组件,所述方法还包括:
5.根据权利要求4所述的方法,其特征在于,当所述安全策略为要求验证组件的可信状态时,所述第一虚拟机监视器的可信能力为支持进行远程证明。
6.根据权利要求1至5中任一项所述的方法,其特征在于,所述方法还包括:
7.根据权利要求6所述的方法,其特征在于,当所述第二策略为要求验证主机和/或虚拟机监视器的可信状态时,所述第一主机的可信能力为支持进行远程证明。
8.一种可信能力获取的方法,其特征在于,包括:
9.根据权利要求8所述的方法,其特征在于,所述第一信息还包括第一策略,所述第一策略为不需要验证虚拟化网络功能的可信状态,优先验证虚拟化网络功能的可信状态和要求验证虚拟化网络功能的可信状态中的一种;
10.根据权利要求8所述的方法,其特征在于,所述虚拟化网络功能包括至少一个组件,所述第一信息还包括所述至少一个组件中的一个或多个组件的安全策略,所述安全策略为不需要验证组件的可信状态,优先验证组件的可信状态和要求验证组件的可信状态中的一种;
11.根据权利要求8至10中任一项所述的方法,其特征在于,所述第一信息还包括第二策略,所述第二策略为要求验证主机和/或虚拟机监视器的可信状态,或者不要求验证主机和/或虚拟机监视器的可信状态;
12.根据权利要求8至11中任一项所述的方法,其特征在于,所述方法还包括:
13.一种可信能力获取的装置,其特征在于,包括:
14.根据权利要求13所述的装置,其特征在于,所述处理单元还用于:从所述虚拟网络功能描述符获取第一策略,所述第一策略为不需要验证虚拟化网络功能的可信状态,优先验证虚拟化网络功能的可信状态和要求验证虚拟化网络功能的可信状态中的一种;
15.根据权利要求14所述的装置,其特征在于,当所述第一策略为要求验证虚拟化网络功能的可信状态时,所述第一虚拟机监视器的可信能力为支持进行远程证明。
16.根据权利要求13所述的装置,其特征在于,所述虚拟化网络功能包括至少一个组件,所述处理单元还用于:从所述虚拟网络功能...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。