[发明专利]用于虚拟网络功能的安全自举的技术

说明书

用于在网络功能虚拟化（NFV）网络架构中自举虚拟网络功能的技术包括与VNF实例的VBS代理进行安全网络通信的虚拟网络功能（VNF）自举服务（VBS）。VBS代理被配置成在NFV网络架构中执行安全VNF自举捕获协议。相应地，VBS代理可以被配置成经由在VBS与VBS代理之间传送的安全通信向VBS进行登记。所述安全通信包括向VBS传送来自VNF实例在其上被实例化的平台的TEE的安全性引用和安全性凭证请求，以及响应于证实了安全性引用和安全性凭证请求而接收安全性凭证。此外还描述了并且要求保护其他的实施例。

相关申请的交叉引用

本申请是申请号：201680027681.8发明名称：用于虚拟网络功能的安全自举的技术的分案申请。本申请要求2015年5月11日提交的标题为“TECHNOLOGIES FOR SECUREBOOTSTRAPPING OF VIRTUAL NETWORK FUNCTIONS（用于虚拟网络功能的安全自举的技术）”的美国实用专利申请序列号14/709,170的优先权。

背景技术

网络运营商和服务提供商通常依赖于各种网络虚拟化技术来管理复杂的大规模计算环境，大规模计算环境诸如高性能计算（HPC）和云端计算环境。举例来说，网络运营商和服务提供商的网络可以依赖于网络功能虚拟化（NFV）部署来部署网络服务（例如防火墙服务、网络地址翻译（NAT）服务、负载平衡服务、深度分组检测（DPI）服务、传输控制协议（TCP）优化服务等等）。这样的NFV部署通常使用NFV基础设施来协调（例如在商品服务器中的）各种虚拟机（VM）和/或容器以对网络业务执行通常被称作虚拟化网络功能（VNF）的虚拟化网络服务，并且跨越各种VM和/或容器管理网络业务。

不同于传统的非虚拟化的部署，虚拟化的部署把网络功能与底层硬件去耦合，这得到高度动态的并且通常能够被在具有通用处理器的市售服务器上执行的网络功能和服务。因此，在必要时可以基于要对网络业务执行的特定功能或网络服务对VNF进行横向缩容（scale-in）/扩容（scale-out）。此外，可以按照每个订户的需求跨地域、在受主控的基础设施上部署VNF等等。

附图说明

将作为举例而非限制在附图中说明本文中所描述的概念。为了说明的简明和清晰起见，在附图中示出的各个单元不一定是按比例绘制的。在认为适当的情况下在各幅图当中重复了附图标记以表明相应的或类似的元件。

图1是用于在网络功能虚拟化（NFV）网络架构处对网络通信进行处理的系统的至少一个实施例的简化框图，所述系统包括NFV基础设施的一个或多个计算节点；

图2是图1的系统的其中一个计算节点的至少一个实施例的简化框图；

图3是图1的系统的端点设备的至少一个实施例的简化框图；

图4是图1的系统的NFV网络架构的至少一个实施例的简化框图；

图5是图1和4的NFV安全性服务控制器的环境的至少一个实施例的简化框图；

图6是图4的NFV网络架构的虚拟网络功能（VNF）实例的环境的至少一个实施例的简化框图；

图7是可以由图5的NFV安全性服务控制器执行的用于初始化安全VNF自举的方法的至少一个实施例的简化流程图；

图8是用于安全地自举图4的NFV网络架构的其中一个VNF实例的通信流的至少一个实施例的简化流程图；

图9是可以由图6的VNF实例的VNF自举服务（VBS）代理执行的用于执行安全VNF自举捕获协议的方法的至少一个实施例的简化流程图；

图10是用于在图4的NFV网络架构的其中一个VNF实例处执行安全VNF自举捕获协议的通信流的至少一个实施例的简化流程图；以及

图11是可以由图4的NFV网络架构的其中一个平台的受信任执行环境（TEE）执行的用于实施TEE引用（quoting）操作的方法的至少一个实施例的简化流程图。

具体实施方式