[发明专利]安全性切片的安全性状态

说明书

描述了一种装置、方法和计算机程序，包括：向证明服务器发送一个或多个请求，其中每个请求对与系统的安全性切片的一个或多个网络元件中的一个网络元件相对应的安全性属性进行请求；从证明服务器接收所请求的安全性属性；以及处理所接收的安全性属性以确定安全性切片的安全性状态。

技术领域

本说明书涉及网络元件或包括一个或多个网络元件的安全性切片的安全性状态。

背景技术

仍然需要备选或改进的系统以用于在网络元件安全性切片中管理安全性状态，诸如安全性确信的级别。

发明内容

在第一方面，本说明书描述了一种装置，包括：用于向证明服务器发送一个或多个请求的部件，其中每个请求对与系统的安全性切片的一个或多个网络元件之一对应的安全性属性进行请求；用于从证明服务器接收所请求的安全性属性的部件；以及用于处理接收到的安全性属性以确定安全性切片的安全性状态的部件。例如，安全性属性可以是性质或测量。一些实施例还包括用于输出安全性切片的所确定的安全性状态的部件。

一些实施例包括用于将安全性切片的所确定的安全性状态与针对安全性切片的所要求的安全性状态进行比较的部件。

一些实施例包括用于向安全性切片添加一个或多个附加网络元件的部件。用于向安全性切片添加一个或多个网络元件的部件可以包括用于获得与将被添加到安全性切片的一个或多个网络元件中的每个网络元件相关的信息的部件。所述信息可以包括以下至少一项：可用性信息和/或认证参数和/或关于网络元件是否适合添加到切片的信息中的至少一个。

一些实施例还包括：用于从证明服务器接收的将被添加到安全性切片的第一附加网络元件的安全性属性(例如，性质或测量)的部件；用于基于所述第一附加网络元件的接收到的安全性属性来确定第一附加网络元件的完整性级别的部件；以及用于在所述完整性级别低于所要求的级别的情况下防止第一附加网络元件被添加到安全性切片的部件。例如，完整性级别可以是安全性状态。

用于处理接收到的安全性属性的部件还可以包括用于确定安全性切片的网络元件中的任何网络元件是否未能满足定义的要求的部件。响应于检测到故障网络元件，可以通知系统的另一元件(例如，VIM、安全性协调器和/或SDN中的至少一个)。备选地或附加地，可以修复标识的网络元件。

该装置可以是安全性属性管理器和受信切片管理器之一。

网络元件可以包括以下至少之一：物理网络元件、和/或虚拟化网络功能、和/或虚拟机镜像、和/或虚拟机实例。备选地或附加地，网络元件可以例如是核心网络元件、边缘设备、移动通信设备、网络功能虚拟化节点、虚拟化网络功能或物联网设备，诸如无线传感器。在一些实施例中，网络元件可以包括顶级元件，诸如NFVI元件、服务器、边缘设备、IoT设备、VM镜像、VM实例、VNF、UE(移动设备)等。网络元件可以包括结构化元件，该结构化元件包括多个顶级元件。

所请求的安全性属性可以包括以下至少一项：测量的启动能力、和/或安全启动能力、和/或运行时完整性测量、和/或虚拟机完整性级别。

安全性切片的安全性状态可以包括确信级别。

所述部件可以包括至少一个处理器；以及包括计算机程序代码的至少一个存储器，该至少一个存储器和计算机程序代码被配置为与至少一个处理器一起引起装置的执行。

在第二方面，本说明书描述了一种系统，包括如以上参考第一方面所述的装置，并且还包括：用于接收针对安全性属性的请求的证明服务器；以及一个或多个网络元件。每个网络元件还可以包括用于提供相应网络元件和所述证明服务器之间的接口的信任代理。