基于信任度的计算的制作方法

本发明涉及网络基础设施中的基于信任度的计算。

背景技术：

网络功能虚拟化(NFV)允许将网络节点功能虚拟化为构建块，构建块可以彼此连接以便为最终用户创建服务。网络资源可以分组为虚拟网络功能(VNF)实例。VNF可以包括运行各种软件和进程的一个或多个虚拟机(VM)。因为向虚拟机的虚拟计算资源(VCR)分配可能引起对安全性的挑战，所以基于硬件的安全元件可以用来使得虚拟网络基础设施中的信任度成为可能。

技术实现要素：

根据一方面，提供了独立权利要求的主题。实施例在从属权利要求中限定。

实施方式的一个或多个示例在附图和下面的描述中更详细地被阐述。从本描述和附图并且从权利要求来看，其他特征将是明显的。

附图说明

在下文中，将参考附图借助于优选实施例更详细地描述本发明，在附图中：

图1图示了根据本发明的实施例的网络架构；

图2图示了抽象出的实体关系模型，其示出主要概念和它们的关系；

图3图示了确定网络基础设施是否安全的方法的示例；

图4A、图4B图示了根据本发明的一些实施例的系统；

图5A、图5B图示了根据本发明的一些实施例的系统；以及

图6图示了根据本发明的实施例的装置的框图。

具体实施方式

以下实施例是示例性的。虽然说明书在若干位置可能引用“一种”、“一个”或“一些”实施例，但是这不必然意指每个这样的引用是对(多个)相同实施例，或者该特征仅适用于单个实施例。不同实施例的单个特征也可以被组合以提供其他实施例。此外，词语“包括”和“包括有”应当被理解为没有将所描述的实施例限制为仅由已经提到的那些特征组成，并且这样的实施例也可以包含未具体提到的特征/结构。

图1图示了本发明的实施例可以被应用到的虚拟网络场景。然而，对本领域的技术人员明显的是，本发明的实施例可以被应用到的网络可以是任何合适的网络。网络功能虚拟化(NFV)架构包括网络节点，例如VNF 1、VNF管理器12(VNFM)、NVF编排器11(NVFO)等。网络节点可以是服务器计算机、主控计算机、终端设备、基站、接入节点或任何其他网络元件。例如，服务器计算机或主控计算机可以生成虚拟网络，主控计算机通过该虚拟网络与终端设备通信。一般而言，虚拟网络化可能涉及以下过程：将硬件和软件网络资源以及网络功能组合成单个基于软件的管理性实体，虚拟网络。网络虚拟化可能涉及经常与资源虚拟化相组合的平台虚拟化。网络虚拟化可以被分类为外部虚拟网络化，其将许多网络或网络的部分组合为服务器计算机或主控计算机。外部网络虚拟化以优化的网络共享为目标。另一类别是内部虚拟网络化，其向单个系统上的软件容器提供类似网络的功能。

NFV的网络资源可以被分组为虚拟网络功能1(VNF)，VNF可以包括一个或多个虚拟机2(VM)。VNF是一种网络功能，其能够运行在网络功能虚拟化基础设施4(NFVI)上，并且由NFV编排器11(NFVO)和VNF管理器12(VNFM)编排。VNF基本上经由一个或多个VM来创建。VM是虚拟化计算环境，其表现得非常类似于物理计算机或服务器。VM具有物理计算机或服务器的所有其要素(处理器、存储器或存储库、接口或端口)，并且由管理程序3生成，管理程序3对底层物理资源进行划分并且将它们分配给VM。管理程序(也称为虚拟机管理器)是允许多个VM共享单个硬件主机(诸如虚拟计算资源7(VCR))的程序。VNF与VM之间的接口被称为Vn-Nf-VM，其是VNF的执行环境。

VNF可以作为构建块连接或组合在一起，以供给完全规模的网络化通信服务。VNF将早先由专有的专用硬件执行的网络服务虚拟化。VNF将网络功能从专用硬件设备解耦，并且允许早先由路由器、防火墙、负载平衡器和其他专用硬件设备执行的网络服务被托管在VM上。当网络功能在管理程序的控制下时，曾经要求专用硬件的服务可以在标准服务器上执行。每个操作系统(OS)似乎对它自己而言都具有主机的处理器、存储器和其他资源的全部。然而，管理程序实际上正在控制主机处理器和资源，依次向每个VM分配所需要的事物并且确保VM不能相互扰乱。如果VM上运行的应用要求更多带宽，例如，管理程序可以将VM移动到另一物理服务器，或者在原始服务器上提供另一虚拟机以承担负载的一部分。

虚拟网络基础设施，诸如网络功能虚拟化基础设施4(NFVI)，可以包括构建VNF被部署在其中的环境的所有硬件和软件组件。NFVI可以跨越若干位置，例如数据中心被操作的地方。提供这些位置之间的连接性的网络可以被视为NFVI的一部分。NFVI可以包括管理程序域5、计算域6和基础设施网络域。管理程序域可以包括管理程序3和至少一个VM 2。管理程序可以提供硬件的足够抽象以提供软件用具的可移植性，可以将计算域资源分配给VM，并且可以向编排和管理系统9(MANO)提供管理接口以允许VM的加载和监测。基础设施网络域可以包括互连为网络的所有通用高容量交换机，该网络可以被配置为供应基础设施网络服务。

计算域可以被部署为多个物理节点，诸如虚拟计算资源7(VCR)。计算域的作用是在与管理程序域的管理程序结合使用时，提供托管VNF的各个组件所需要的计算和存储资源。计算域提供通向网络基础设施域的接口，但不支持网络连接性本身。计算域可以包括以下元件中的至少一个：中央处理单元(CPU)、网络接口控制器(NIC)、存储库、服务器、加速器和受信任平台模块8(TPM)。CPU是执行VNF组件(VNFC)的代码的通用处理器。NIC提供与基础设施网络域的物理互连。存储库可以是大规模且非易失性存储库。在实际的实施方式中，存储库可以包括旋转盘和固态盘。服务器是计算的逻辑单元，并且可以是基本的集成计算硬件设备。被称为VI-HA-CSr的接口是管理程序与计算域之间的接口，其用于硬件的管理程序控制的目的。该接口使得硬件、BIOS、驱动器、NIC、加速器和存储器的抽象成为可能。

安全元件的实施例是受信任平台模块(TPM)、虚拟受信任平台模块(vTPM)、基于软件的TMP实施方式、以及开启或关闭CPU TPM设计的组合。图1中公开的TPM 8可以是计算机芯片，诸如微控制器，其可以安全地存储可以密码地被散列化的散列。这些散列可以是口令、证书、加密密钥、组件测量等的散列。TPM可以包括特殊寄存器，诸如存储位置信息的地理位置平台配置寄存器(PCR)。此外，TPM还可以用来存储帮助确保平台保持值得信任的平台测量。认证(authentication)确保平台是它所声称的事物，并且证实(attestation)是一种有助于证明平台值得信赖并且尚未被违反的过程。TPM可以使用在计算设备(诸如网络装备)中。软件可以使用TPM来认证硬件设备，诸如虚拟计算资源。由于每个TPM芯片都具有在它被生产时所烧录的唯一且秘密的密钥，所以它能够执行平台认证。一般而言，将安全性与软件一起向下推送到硬件级别提供了比仅软件的解决方案更多的保护。NFV环境中的受信任的计算和地理信任度对遵守合法拦截法规(LI)、数据处置法规和数据主权来恰当地提供服务是关键的。例如，俄罗斯和印度的法律对于某些种类的数据制止跨境数据传输。为了更好地保护虚拟网络基础设施，可以在TPM的帮助下提供具有位置、资产管理(AM)和其他源的组合式证实的地理上受信任的启动。

图1可以进一步包括管理和编排器节点9(MANO)以及资产管理节点10(AM)。虚拟计算资源的地理位置可以存储到AM。MANO可以包括以下功能块：NFV编排器11(NFVO)、VNF管理器12(VNFM)和虚拟化基础设施管理器13(VIM)。NFVO负责为网络服务(NS)实例分配资源和/或负责实例化、监测或终止VNF实例和策略管理。VNFM负责VNF实例的生命周期管理，并且具有用于配置和事件报告的整体协调和适配角色。VIM在一个运营商的基础设施子域内控制和管理NFVI计算、存储和网络资源，并且收集和转发性能测量和事件。没有VIM知道或指令管理程序域，则管理程序不实施网络服务。管理程序域与VIM之间的接口被称为NF-Vi，并且VNF与VNFM之间的接口被称为VeNf-Vnfm。

受信任基础计算是一种已知方法，其借助于通过安全元件的证实和验证来确保操作系统实例或配置符合给定规范，该安全元件提供必要的密码函数和散列化函数来实现这一点。安全元件可以是如上面描述的TPM。网络运营商不得不充分依赖托管提供商的网络基础设施以在其上运行安全元件，并且网络基础设施将类似地想要能够检查安全元件是真实的。网络基础设施可以是虚拟网络基础设施。为了使网络基础设施更安全，资产管理和/或地理属性在网络基础设施中的存储应当是可能的。然而，这些不会超出当前的O/S启动时间和底层硬件而整合。因此，通过位置、资产管理和其他源的组合证实，提供了安全的网络基础设施。

图2图示了抽象出的实体关系模型的实施例，其示出了主要概念和它们的关系。实体关系图已经被编写为UML类图。一个物理硬件，诸如包括CPU、存储器、物理盘的虚拟计算资源7(VCR)，可以至少在管理程序3上运行，管理程序3进而可以运行至少一个VM 20。VM可以连接到至少一个连接组(CG)21、22。VCR可以具有地理位置，其由某个部件指配，例如由资产标记和相关系统，或者经由信任度机构，诸如安全元件(如TPM)。图2可以呈现连接的一般概念，其表示任何VM对之间的所有的各种形式的连接。连接可以是网络连接，诸如互联网协议连接。当且仅当组内的所有个体连接都安全时，VM才可以被连接作为可能是安全的组。存储库24可以由VM根植(rooted)。当VM利用已经由另一VM提供的存储库时，意味着这两个VM之间存在连接。当VM被组织为连接组时，经由中间VM存在整个连接路径，通过该中间VM，连接被布置到另一VM。两个VM之间的简单直接连接可以意味着连接组具有单个连接。两个VM之间的复杂连接可以意味着连接组可以具有经由一个或多个中间VM形成路径的多个连接，并且中间VM可以处理连接。这样的中间VM可以是防火墙、SDN路由器或其他类型的功能。

图2进一步图示了法律拦截(LI)实体23，其可以表示用于启用、管理和提供LI跟踪的所有必要功能。LI实体可以监测VM，这意指LI实体可以监测包含在其中并且由LI本身的范围定义的功能、实体和/或人员。收集的数据可以存储在存储库中。LI实体可以是VM、VM功能或某个其他实体。LI实体在定义给定操作区域的管辖范围内被发出。LI实体可以由某个VM托管，该VM可以是或可以不是正被监测的相同VM。

让我们现在描述用于网络基础设施中的基于信任度的计算的本发明的实施例，网络基础设施可以是虚拟网络基础设施，诸如参考图3的NFV基础设施(NFVI)。网络基础设施可以包括虚拟计算资源(CR)。计算资源可以包括物理硬件，诸如用于执行VM的计算的CPU和存储库。图3图示了一种方法，其中至少一个安全元件(用于证实计算资源中的一个或多个的信任度)可以被配置为存储300一个或多个标准，该一个或多个标准用于评估指示至少一个计算资源的位置的位置信息的信任度。在一种实施例中，可以存在若干不同的安全元件，诸如TPM、智能卡等。在一种实施例中，安全元件可以是受信任平台模块。此外，在一种实施例中，一个或多个标准可以包括位置。在另一实施例中，一个或多个标准可以包括位置和以下中的至少一项：资产标签、序列号、网络地址、密钥、散列、标识信息和配置信息，其可以与它的出处一起被标记。一个或多个标准可以在物理系统安装期间(如在硬件安装期间)被存储。保存可以由受信任的人员或系统来进行，并且标准可以被保存到安全元件、TPM、MANO和/或AM系统中。如果一个或多个标准到安全元件或者TPM和AM的保存已经独立被完成，则可以经由AM系统来进行上述标准的交叉检查。

至少一个安全元件可以获得302指示至少一个计算资源的当前位置的位置信息。当前位置可以在组件迁移期间、在计算资源的启动期间或在任何时间被查询。在一种实施例中，当前位置信息可以通过以下方法中的至少一种来获得：通过位置信息寄存器的运营商交互、链路层地址、智能卡、键盘、全球定位系统、室内定位、对资产管理系统的请求、对网络管理和编排系统(MANO)的请求、安全元件、网络地址(诸如互联网协议地址)。位置信息寄存器可以是存储至少一个计算资源的确切位置信息的存储器。在一种实施例中，方式可以被优先化。例如，由运营商提供的位置可以比由任何设备提供的位置具有信任度上的更大权重。

最后，管理软件可以基于指示当前位置的信息和标准，来确定304网络基础设施的位置信息是否可靠。在一种实施例中，管理软件可以是MANO或某种其他管理软件，其具有从各种可用源探究当前位置并且然后推断位置的算法。算法应当将每个位置提供者的可靠性和优先级纳入考虑，并且在各种源之间矛盾的情况下，决定最可能的位置或者给出位置不能被信任的标志。在一种实施例中，位置信息的可靠性可以基于可能在安全元件内部的位置信息和来自至少一个外部系统的指示位置的信息来确定。来自至少一个外部系统的指示位置的信息可以通过以下中的至少一项来获得：对资产管理系统的请求、对MANO的请求、受信任设备、网络地址。在一种实施例中，当前位置可以被报告给网络基础设施的至少一个实体、NFVO或AM。当前位置还可以用于网络切分或网络划分。此外，在一种实施例中，安全元件可以执行至少一个基于位置的策略，其可以基于可靠性信息被确定。

在一种实施例中，信任度可以根据以下示例被证实。当前位置(cl)可以如上面描述的被获得。位置可以被处理为形式p(c1)以由安全元件可证实。处理可以包括以下处理方法中的至少一种：散列化(诸如密码散列化)、加密、位置的重新格式化(例如，数据计算或规范化)、操作位置区域(例如，坐标和国家)的提取、差分隐私、l-多样性或其他模糊(obfuscation)函数和纠错。最后，值p(cl)可以被传递给安全元件，用于对照所存储的位置来检查它。如果值在合适的界限内，则安全元件可以验证并且返回肯定结果。

在一种实施例中，信任度可以通过向AM查询当前位置而被证实。如果AM资产标签的位置与安全元件中存储的值不匹配，则位置可能不受信任。在一种实施例中，信任度还可以通过向NFVO查询与位置和/或位置的粒度相关的策略而被证实。如果提供的值与给定策略不匹配，则位置可能不受信任。此外，在一种实施例中，不同方法的组合可以用来证实当前位置。例如，一经接收到如上面描述的当前位置(cl)和导致p(c1)的任何后续的必要处理，这也可以对照由资产标签提供的位置p(cl_asset)而被匹配。更多位置可以从IP/路由p(cl_ip)或者从NFVO查询最后的已知位置p(cl_last)来获得。一旦包括上面提到的至少一个值的位置集合L被提供，可以对这些位置采用一种函数来计算单个值，用于对照安全元件中存储的值来查询。安全元件还可以具有多个存储值。

在计算资源包括虚拟计算资源的实施例中，并且当计算资源基于位置信息而被允许时，虚拟计算资源移动性可以在允许的位置区域内部被允许。在计算资源包括虚拟计算资源并且网络基础设施包括虚拟网络基础设施的实施例中，并且如果确定虚拟计算资源不被允许，则虚拟计算资源移动性可以被阻止。即使计算资源不能被考虑为是完全安全的，也不意味着操作应当必然被终止。存在较不安全的情形可能可接受的场合，诸如：划分网络连接由虚拟计算资源所服务的虚拟化网络功能(VNF)，或者在虚拟机管理器(诸如管理程序)级别上划分虚拟网络基础设施。

在一种实施例中，当负载平衡和其他要求指示时，VM可以在数据中心、管理程序等之间被移动。此外，在一种实施例中，基于位置的策略可以通过法律拦截(LI)功能的操作区域和/或至少一个地理上相关的工作负载而被确定。当局可以限制在哪个地理区域允许某个请求者运行LI，并且因此使VM移动性复杂化和受限。以下算法是可以用来确定安全移动性的示例：

moveVM(v:VM,h:Hypervisor):

//v是将被移动的VM，h是目标管理程序

pre:

//避免在这个管理程序案例上无意义的已经运行

v.runsOn！＝h

then:

v.runsOn＝h

如果VM正在受信任硬件上运行，则必须确保VM被移动到类似地受信任的硬件：

moveVM(v:VM,h:Hypervisor):

pre:

v.runsOn！＝h

h.executesOn.trusted＝true

then:

v.runsOn＝h

如果信任度测量是有效的，则VM被移动到受信任硬件。

如果所讨论的VM正在关于地理位置被移动，则可以使用以下算法：

moveVM(v:VM,h:Hypervisor)；

pre:

v.runsOn！＝h

h.executesOn.trusted＝true

v.executesOn.geographicalLocation IN v.hosts.jurisdiction

then:

v.runsOn＝h

在这种情况下，基于位置的策略由LI的操作区域确定。应当检查的是，目标物理硬件的操作区域仍然在托管的LI监测的相同管辖范围内。

图4A图示了可以包括VNF 1和底层软件定义网络(SDN)40的系统的实施例。网络路由可以由SDN提供。图4B示出了SDN 40如何可以有效地被拆分以防止不受信任组件与受信任组件混合。这在VNF/VM移动性策略中是特别重要的。如果VNF 1要求某种地理信任度，诸如LI或类似，则它可能引起信任问题。信任的丢失可能使得SDN层将网络划分为两个节段，并且元件42(诸如交换机、网桥或过滤器)用于监测和控制这两个节段之间的网络流量。作为结果，由虚拟计算资源所服务的网络连接VNF可以被划分。

图5A图示了可以包括VNF 1、管理程序3和虚拟计算资源7(VCR)的系统的实施例。图5B示出了作为丢失信任的结果，虚拟网络基础设施如何可以在管理程序3级别上被划分。虚拟网络基础设施可以被拆分成两个单独的云，在它们之间具有受控的信息路由。路由可以利用元件50(诸如网桥)来进行，其可以包括虚拟化SDN、防火墙、或在必要时提供某种形式的链接的任何合适的技术。在一种实施例中，取决于云、网络化等的各种特性，还可以进行SDN拆分解决方案(图4B)与管理程序拆分解决方案(图5B)的组合。MANO内的NFV编排器可以作出划分VNF或虚拟网络基础设施的决定，其可能涉及VNF管理器、虚拟基础设施管理器和另外的NANO组件(诸如安全编排器和证实)之间的通信。还可以存在与网络元件的通信，网络元件诸如(SDN)交换机、网桥、路由器、控制器和网络功能。

信任度可以在启动时被计算，或者它可以在系统的操作期间的任何时间被请求。这可以由MANO、安全编排器(OS)或任何其他相关组件来安排。

一种实施例提供了一种装置，该装置包括至少一个处理器和包括计算机程序代码的至少一个存储器，其中至少一个存储器和计算机程序代码，与至少一个处理器一起，被配置为使得该装置执行例如在图3的过程中的上面描述的计算资源(CR)的过程。至少一个处理器、至少一个存储器和计算机程序代码因此可以被考虑为是用于执行计算资源的上面描述的过程的部件的实施例。图6图示了这种装置的结构的框图。该装置可以被包括在网络基础设施的计算资源中。处理电路60可以包括至少一个处理器。存储器70可以存储一个或多个计算机程序产品74，一个或多个计算机程序产品74包括指定处理器的操作的程序指令。该装置可以进一步包括安全元件80，诸如受信任平台模块(TPM)。它可以是能够安全地存储用来认证计算资源的人造物(artifact)的计算机芯片，诸如微控制器。这些人造物可以包括口令、证书、或加密密钥。TPM还可以将标准和当前位置测量存储到平台配置寄存器(PCR)中。标准和测量也可以存储在数据库76中，数据库76存储在该装置的存储器70中。计算资源的电路60至80可以由一个或多个物理电路或处理器来执行。实际上，不同的电路可以由不同的计算机程序模块来实现。取决于该装置的规格和设计，该装置可以包括电路60至80中的一些或它们的全部。

如在本申请中使用的，术语“电路”是指以下各项中的所有项：(a)仅硬件的电路实施方式，诸如仅模拟和/或数字电路中的实施方式；(b)电路和软件和/或固件的组合，诸如(在适用时)：(i)(多个)处理器或处理器核的组合；或(ii)(多个)处理器/软件的部分，包括一起工作以使得装置执行特定功能的(多个)数字信号处理器、软件和至少一个存储器；以及(c)即使软件或固件物理上不存在，也要求软件或固件用于操作的电路，诸如(多个)微处理器或(多个)微处理器的一部分。

“电路”的该定义适用于该术语在本申请中的所有使用。作为另外的示例，如在本申请中使用的，术语“电路”还将覆盖以下实施方式：仅处理器(或多个处理器)或处理器的一部分(例如，多核处理器的一个核)以及它的(或它们的)伴随软件和/或固件。对于根据本发明的实施例的装置，术语“电路”还将覆盖(例如并且如果适用于特定元件)基带集成电路、专用集成电路(ASIC)、和/或现场可编程栅格阵列(FPGA)电路。

上面关于图2至图5描述的过程或方法也可以按照由一个或多个计算机程序定义的一个或多个计算机过程的形式被执行。计算机程序应该被考虑为还涵盖计算机程序的模块，例如上面描述的过程可以作为更大算法或计算机过程的程序模块被执行。(多个)计算机程序可以是源代码形式、目标代码形式、或某种中间形式，并且它可以存储在载体中，载体可以是能够携带程序的任何实体或设备。这样的载体包括暂态和/或非暂态计算机介质，例如，记录介质、计算机存储器、只读存储器、电载波信号、电信信号、以及软件分发包。取决于所需要的处理能力，计算机程序可以在单个电子数字处理单元中被执行，或者它可以被分布在多个处理单元之中。

对本领域的技术人员将明显的是，随着技术进步，发明性概念可以按各种方式被实施。本发明和它的实施例不限于上面描述的示例，而是可以在权利要求的范围内变化。