[发明专利]一种基于SGX的网络云安全优化方法、系统及相关介质

说明书

本发明公开了一种基于SGX的网络云安全优化方法、装置及相关介质，该方法包括：对虚拟网络功能描述符进行解析，得到虚拟网络功能组件的相关配置；搭建虚拟主机和多个与所述虚拟网络组件相互映射的SGX飞地；对每一SGX飞地的可信度进行本地认证，并为每一SGX飞地设置认证密钥；基于认证密钥获取SGX飞地与虚拟网络功能组件的映射关系；当多个SGX飞地中的第一SGX飞地向第二SGX飞地发起交互请求时，对第一SGX飞地和第二SGX飞地分配会话密钥；根据映射关系对所述第一SGX飞地和第二SGX飞地进行身份认证，并在身份认证通过后根据会话密钥进行数据交互。本发明可解决飞地单点故障和资源受限的问题，实现对大型网元的支持，以及对SGX进行优化以提高可靠性。

技术领域

本发明涉及云网融合技术领域，特别涉及一种基于SGX的网络云安全优化方法、系统及相关介质。

背景技术

SGX(Software Guard Extensions)是一种CPU架构扩展技术，其采用一套新的指令集和内存访问机制，在主机硬件之上部署完全独立于主机OS、安全可信的执行环境(SGXenclave，即SGX飞地)，支持抵御OS特权域攻击。SGX的特性天然适用于云计算场景，支持在虚拟化和资源共享的环境，提供独立于操作系统和虚拟化资源的硬件加密防护的安全区，用以最小化受攻击面，增强数据保护。

在网络云化承载的过程中，虚拟化、容器等虚拟化层技术，增加了系统暴露面和受攻击面，同样带来了更多的安全问题。现有的网络云安全方案，一般实现主机操作系统层之上的安全防护，不能抵御来自主机操作系统特权域的安全威胁，需要深层次安全保障。

目前，基于SGX的网络云安全方案仍处于探索阶段，一般仅简单的将VNF网元当作应用处理，分为可受保护的SGX部分和其他部分(如图3所示)。但云化网元的架构与IT应用不同，一般由接口组件、业务组件、数据组件、管理运维组件构成，且对云化的安全性、性能、可靠性等存在更高的要求。现有方案存在单点故障、侧信道攻击、仅适用于小型网元等潜在问题。

发明内容

本发明实施例提供了一种基于SGX的网络云安全优化方法、装置、计算机设备及存储介质，旨在解决飞地单点故障和资源受限的问题，实现对大型网元的支持，以及对SGX进行优化以提高可靠性。

第一方面，本发明实施例提供了一种基于SGX的网络云安全优化方法，包括：

通过虚拟网络功能管理器对虚拟网络功能描述符进行解析，得到虚拟网络功能组件的相关配置；

基于所述虚拟网络功能组件的相关配置，利用虚拟基础设施管理器搭建虚拟主机和多个与所述虚拟网络组件相互映射的SGX飞地；

对每一SGX飞地的可信度进行本地认证，并为每一SGX飞地设置认证密钥；

基于所述认证密钥获取SGX飞地与虚拟网络功能组件的映射关系；

当多个SGX飞地中的第一SGX飞地向第二SGX飞地发起交互请求时，对所述第一SGX飞地和第二SGX飞地分配会话密钥；

根据所述映射关系对所述第一SGX飞地和第二SGX飞地进行身份认证，并在身份认证通过后根据所述会话密钥进行数据密封或者解封，以及数据交互。

第二方面，本发明实施例提供了一种基于SGX的网络云安全优化装置，包括：

解析单元，用于通过虚拟网络功能管理器对虚拟网络功能描述符进行解析，得到虚拟网络功能组件的相关配置；

搭建单元，用于基于所述虚拟网络功能组件的相关配置，利用虚拟基础设施管理器搭建虚拟主机和多个与所述虚拟网络组件相互映射的SGX飞地；

认证密钥设置单元，用于对每一SGX飞地的可信度进行本地认证，并为每一SGX飞地设置认证密钥；