一種身份認(rèn)證方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其涉及一種應(yīng)用于網(wǎng)絡(luò)功能虛擬化(NetworkFunct1n Virtualizat1n, NFV)系統(tǒng)的身份認(rèn)證方法及裝置。
【背景技術(shù)】
[0002]虛擬網(wǎng)絡(luò)功能(Virtual Network Funct1n,VNF)為NFV系統(tǒng)的核心部分,每個(gè)VNF包括多個(gè)VNF組成部分(VNF Component, VNFC),各VNFC間通過內(nèi)部虛擬網(wǎng)絡(luò)實(shí)現(xiàn)通信。由于VNF中的各VNFC間通信通過了虛擬網(wǎng)絡(luò),為避免出現(xiàn)信息泄露、偽冒通信、篡改通信內(nèi)容等安全風(fēng)險(xiǎn),兩個(gè)VNFC間初始建立通信時(shí)需要進(jìn)行身份認(rèn)證。
[0003]現(xiàn)有技術(shù)中,通常采用手工配置的方式在各VNFC上配置可信身份憑據(jù),兩個(gè)VNFC間初始建立通信時(shí)基于該手工配置的可信身份憑據(jù)進(jìn)行身份認(rèn)證。然而,NFV系統(tǒng)中的VNF是動(dòng)態(tài)變化的,手工配置可信身份憑據(jù)的方案效率較低,無(wú)法適應(yīng)動(dòng)態(tài)變化的VNF。
【發(fā)明內(nèi)容】
[0004]本發(fā)明實(shí)施例提供一種身份認(rèn)證方法及裝置,用以適應(yīng)動(dòng)態(tài)變化的VNF。
[0005]第一方面,提供一種身份認(rèn)證方法,應(yīng)用于網(wǎng)絡(luò)功能虛擬化NFV系統(tǒng),所述NFV系統(tǒng)包括虛擬網(wǎng)絡(luò)功能VNF,所述VNF包括第一虛擬網(wǎng)絡(luò)功能組成部分VNFC和第二 VNFC,所述方法包括:
[0006]生成所述第一 VNFC的公鑰和私鑰,以及所述第二 VNFC的公鑰和私鑰;
[0007]將所述第一 VNFC的私鑰和所述第二 VNFC的公鑰寫入或發(fā)送至所述第一 VNFC ;
[0008]將所述第一 VNFC的公鑰和所述第二 VNFC的私鑰寫入或發(fā)送至所述第二 VNFC ;其中,所述第一 VNFC的公鑰和私鑰以及所述第二 VNFC的公鑰和私鑰用于所述第一 VNFC和所述第二 VNFC進(jìn)行身份認(rèn)證。
[0009]結(jié)合第一方面,在第一種可能的實(shí)現(xiàn)方式中,將所述第一 VNFC的私鑰和所述第二VNFC的公鑰寫入或發(fā)送至所述第一 VNFC,包括:
[0010]在生成所述第一 VNFC時(shí),將所述第一 VNFC的私鑰和所述第二 VNFC的公鑰寫入所述第一 VNFC ;或者
[0011]當(dāng)所述第一 VNFC為管理VNFC時(shí),通過所述第一 VNFC的管理通信通道,將所述第一VNFC的私鑰和所述第二 VNFC的公鑰發(fā)送至所述第一 VNFC。
[0012]結(jié)合第一方面,或者結(jié)合第一方面的第一種可能的實(shí)現(xiàn)方式,在第二種可能的實(shí)現(xiàn)方式中,將所述第二 VNFC的標(biāo)識(shí)信息寫入或發(fā)送至所述第一 VNFC ;其中,所述第二 VNFC的標(biāo)識(shí)信息與所述第二 VNFC的公鑰的對(duì)應(yīng)關(guān)系存儲(chǔ)于所述第一 VNFC中。
[0013]結(jié)合第一方面,第一方面的第一種可能的實(shí)現(xiàn)方式,或者第一方面的第二種可能的實(shí)現(xiàn)方式,在第三種可能的實(shí)現(xiàn)方式中,還包括:
[0014]將所述第一 VNFC的標(biāo)識(shí)信息寫入或發(fā)送至所述第一 VNFC。
[0015]第二方面,提供一種身份認(rèn)證方法,應(yīng)用于網(wǎng)絡(luò)功能虛擬化NFV系統(tǒng),所述NFV系統(tǒng)包括虛擬網(wǎng)絡(luò)功能VNF,所述VNF包括第一虛擬網(wǎng)絡(luò)功能組成部分VNFC和第二 VNFC,所述方法包括:
[0016]生成所述第一 VNFC的專用密鑰,以及所述第二 VNFC的專用密鑰;
[0017]將所述第一 VNFC的專用密鑰和所述第二 VNFC的專用密鑰寫入或發(fā)送至所述第一VNFC ;
[0018]將所述第一 VNFC的專用密鑰和所述第二 VNFC的專用密鑰寫入或發(fā)送至所述第二VNFC ;其中,所述第一 VNFC的專用密鑰以及所述第二 VNFC的專用密鑰用于所述第一 VNFC和所述第二 VNFC進(jìn)行身份認(rèn)證。
[0019]結(jié)合第二方面,在第一種可能的實(shí)現(xiàn)方式中,將所述第一 VNFC的專用密鑰和所述第二 VNFC的專用密鑰寫入或發(fā)送至所述第一 VNFC,包括:
[0020]在生成所述第一 VNFC時(shí),將所述第一 VNFC的專用密鑰和所述第二 VNFC的專用密鑰寫入所述第一 VNFC ;或者
[0021]當(dāng)所述第一 VNFC為管理VNFC時(shí),通過所述第一 VNFC的管理通信通道,將所述第一VNFC的專用密鑰和所述第二 VNFC的專用密鑰發(fā)送至所述第一 VNFC。
[0022]結(jié)合第二方面,或者結(jié)合第二方面的第一種可能的實(shí)現(xiàn)方式,在第二種可能的實(shí)現(xiàn)方式中,還包括:
[0023]將所述第二 VNFC的標(biāo)識(shí)信息寫入或發(fā)送至所述第一 VNFC ;其中,所述第二 VNFC的標(biāo)識(shí)信息與所述第二 VNFC的專用密鑰的對(duì)應(yīng)關(guān)系存儲(chǔ)于所述第一 VNFC中。
[0024]結(jié)合第二方面,第二方面的第一種可能的實(shí)現(xiàn)方式,或者第二方面的第二種可能的實(shí)現(xiàn)方式,在第三種可能的實(shí)現(xiàn)方式中,還包括:
[0025]將所述第一 VNFC的標(biāo)識(shí)信息寫入或發(fā)送至所述第一 VNFC。
[0026]第三方面,提供一種身份認(rèn)證裝置,應(yīng)用于網(wǎng)絡(luò)功能虛擬化NFV系統(tǒng),所述NFV系統(tǒng)包括虛擬網(wǎng)絡(luò)功能VNF,所述VNF包括第一虛擬網(wǎng)絡(luò)功能組成部分VNFC和第二 VNFC,所述裝置包括:
[0027]處理器,用于生成所述第一 VNFC的公鑰和私鑰,以及所述第二 VNFC的公鑰和私鑰;
[0028]輸入輸出接口,用于將所述第一 VNFC的私鑰和所述第二 VNFC的公鑰寫入或發(fā)送至所述第一 VNFC,以及將所述第一 VNFC的公鑰和所述第二 VNFC的私鑰寫入或發(fā)送至所述第二 VNFC ;其中,所述第一 VNFC的公鑰和私鑰以及所述第二 VNFC的公鑰和私鑰用于所述第一 VNFC和所述第二 VNFC進(jìn)行身份認(rèn)證。
[0029]結(jié)合第三方面,在第一種可能的實(shí)現(xiàn)方式中,所述輸入輸出接口,具體用于在生成所述第一 VNFC時(shí),將所述第一 VNFC的私鑰和所述第二 VNFC的公鑰寫入所述第一 VNFC ;或者當(dāng)所述第一 VNFC為管理VNFC時(shí),通過所述第一 VNFC的管理通信通道,將所述第一 VNFC的私鑰和所述第二 VNFC的公鑰發(fā)送至所述第一 VNFC。
[0030]結(jié)合第三方面,或者結(jié)合第三方面的第一種可能的實(shí)現(xiàn)方式,在第二種可能的實(shí)現(xiàn)方式中,所述輸入輸出接口,還用于將所述第二 VNFC的標(biāo)識(shí)信息寫入或發(fā)送至所述第一VNFC ;其中,所述第二 VNFC的標(biāo)識(shí)信息與所述第二VNFC的公鑰的對(duì)應(yīng)關(guān)系存儲(chǔ)于所述第一VNFC 中。
[0031]結(jié)合第三方面,第三方面的第一種可能的實(shí)現(xiàn)方式,或者第三方面的第二種可能的實(shí)現(xiàn)方式,在第三種可能的實(shí)現(xiàn)方式中,所述輸入輸出接口,還用于將所述第一 VNFC的標(biāo)識(shí)信息寫入或發(fā)送至所述第一 VNFC。
[0032]結(jié)合第三方面,第三方面的第一種可能的實(shí)現(xiàn)方式,第三方面的第二種可能的實(shí)現(xiàn)方式,或者第三方面的第三種可能的實(shí)現(xiàn)方式,在第四種可能的實(shí)現(xiàn)方式中,所述輸入輸出接口,包括寫入器或發(fā)送器。
[0033]第四方面,提供一種身份認(rèn)證裝置,應(yīng)用于網(wǎng)絡(luò)功能虛擬化NFV系統(tǒng),所述NFV系統(tǒng)包括虛擬網(wǎng)絡(luò)功能VNF,所述VNF包括第一虛擬網(wǎng)絡(luò)功能組成部分VNFC和第二 VNFC,所述裝置包括:
[0034]處理器,用于生成所述第一 VNFC的專用密鑰,以及所述第二 VNFC的專用密鑰;
[0035]輸入輸出接口,用于將所述第一 VNFC的專用密鑰和所述第二 VNFC的專用密鑰寫入或發(fā)送至所述第一 VNFC,以及將所述第一 VNFC的專用密鑰和所述第二 VNFC的專用密鑰寫入或發(fā)送至所述第二 VNFC ;其中,所述第一 VNFC的專用密鑰以及所述第二 VNFC的專用密鑰用于所述第一 VNFC和所述第二 VNFC進(jìn)行身份認(rèn)證。
[0036]結(jié)合第四方面,在第一種可能的實(shí)現(xiàn)方式中,所述輸入輸出接口,具體用于在生成所述第一 VNFC時(shí),將所述第一 VNFC的專用密鑰和所述第二 VNFC的專用密鑰寫入所述第一VNFC ;或者當(dāng)所述第一 VNFC為管理VNFC時(shí),通過所述第一 VNFC的管理通信通道,將所述第一VNFC的專用密鑰和所述第二 VNFC的專用密鑰發(fā)送至所述第一 VNFC。
[0037]結(jié)合第四方面,或者結(jié)合第四方面的第一種可能的實(shí)現(xiàn)方式,在第二種可能的實(shí)現(xiàn)方式中,所述輸入輸出接口,還用于將所述第二 VNFC的標(biāo)識(shí)信息寫入或發(fā)送至所述第一VNFC ;其中,所述第二 VNFC的標(biāo)識(shí)信息與所述第二VNFC的對(duì)稱密鑰的對(duì)應(yīng)關(guān)系存儲(chǔ)于所述第一 VNFC中。
[0038]結(jié)合第四方面,第四方面的第一種可能的實(shí)現(xiàn)方式,或者第四方面的第二種可能的實(shí)現(xiàn)方式,在第三種可能的實(shí)現(xiàn)方式中,所述輸入輸出接口,還用于將所述第一 VNFC的標(biāo)識(shí)信息寫入或發(fā)送至所述第一 VNFC。
[0039]結(jié)合第四方面,第四方面的第一種可能的實(shí)現(xiàn)方式,第四方面的第二種可能的實(shí)現(xiàn)方式,或者第四方面的第三種可能的實(shí)現(xiàn)方式