用于安全虛擬網絡功能間通信的技術的制作方法
【專利說明】用于安全虛擬網絡功能間通信的技術 WW] 背景
[0002] 各種技術規(guī)范定義了全世界的網絡運營商和服務提供商部署和管理網絡功能和 服務的方式。例如��,規(guī)范定義了使用虛擬化平臺遞送服務并且服務內的組件經?�?蒞被"鏈 (chained)"在一起�����。運種技術規(guī)范包括例如歐洲電信標準協(xié)會網絡功能虛擬化標準巧TSI NFV)�。在某些情況下,運營商可能要求W無修改的方式運行各種網絡功能的能力���。在虛擬 化環(huán)境中�,運樣做可允許網絡功能提供商在虛擬化平臺上運行現(xiàn)有的工作負載����,運經常轉 換成所有平臺間通信都不被信任的安全要求(例如,在分布式部署實現(xiàn)方式中)���。然而�����,通 過未受保護的網絡的現(xiàn)有的敏感的虛擬網絡功能(VNF)間和VNF組件(VNFC)間通信可能 導致未授權的數(shù)據監(jiān)聽�、數(shù)據更改、數(shù)據復制�、網絡路由、隱私泄露和/或其他安全擔憂���。
[0003] 附圖簡要描述
[0004] 通過舉例而非通過限制在附圖中示出在此描述的概念。為了說明簡單和清晰��,圖 中所示元素無需按比例繪制���。當認為合適時�����,已經在附圖中重復參照標號W便表明相應的 或類似的元素�����。 陽0化]圖1是用于安全虛擬網絡功能間通信的系統(tǒng)的至少一個實施例的簡化框圖��;
[0006] 圖2是圖1的系統(tǒng)的骨干網絡系統(tǒng)的至少一個實施例的簡化框圖��;
[0007] 圖3是圖2的骨干系統(tǒng)的服務器的至少一個實施例的簡化框圖����;
[000引圖4是圖3的服務器的環(huán)境的至少一個實施例的簡化框圖;
[0009] 圖5是可由圖3的服務器執(zhí)行的用于建立用于安全虛擬網絡功能間通信的密碼密 鑰的方法的至少一個實施例的簡化流程圖��;W及
[0010] 圖6是可由圖3的服務器執(zhí)行的用于安全虛擬網絡功能間通信的方法的至少一個 實施例的簡化流程圖����。
[0011] 附圖詳細描述
[0012] 盡管本公開的概念可受到各種修改和替代形式,已經通過舉例在附圖中示出并且 將在此詳細地描述其特定實施例����。然而,應當理解的是不旨在將本公開的概念限制為所公 開的具體形式���,而是相反�,本發(fā)明涵蓋與本公開和所附權利要求書一致的所有修改�����、等效方 案和替代方案�����。
[0013] 在說明書中對"一個實施例"�����、"實施例"、"說明性實施例"等等的引用表明所描述 的實施例可包括具體的特征����、結構或特性,但是每個實施例可無需包括該具體的特征����、結構 或特性���。而且���,運種短語無需指代相同的實施例。而且�,當結合實施例描述具體的特征、結 構或特性時�,認為其在本領域普通技術人員結合顯式地或未顯式地描述的其他實施例實施 運種特征、結構或特性的知識范圍內�����。此外���,應當認識到列表中包括的"至少一個A�、B和C" 形式的項目可意味著(A);度);似:(A和B);度和C) ; (A和C);或(A�、B和C)。類似地����, W"A、B���、和C中的至少一個"的形式列出的項目可指(A);做����;似:(A和B);度和C) ;(A 和C);或(A����、B和0。
[0014] 在某些情況下�,可在硬件、固件����、軟件、或其任何組合中實現(xiàn)所公開的實施例����。所公 開的實施例還可被實現(xiàn)為由一個或多個瞬態(tài)或非瞬態(tài)機器可讀(例如計算機可讀)存儲介 質攜帶或存儲在其上的指令�,運些指令可由一個或多個處理器讀取并執(zhí)行��。機器可讀存儲 介質可被實施為任何用于存儲或傳輸機器(例如����,易失性或非易失性存儲器、介質盤����、或其 他介質設備)可讀形式的信息的存儲設備、機構���、或其他物理結構。
[0015] 在附圖中�����,可用特定安排和/或排序示出某些結構或方法特征�。然而,應當認識到 可不要求運種特定安排和/或排序�。而是,在某些實施例中���,可用與說明性附圖中示出的不 同的方式和/或順序安排運種特征����。此外,具體附圖中包括結構或方法特征不意味著暗示 在所有實施例中要求運種特征W及在某些實施例中可不包括運種特征或者運種特征可與 其他特征組合���。
[0016] 現(xiàn)在參照圖1�,用于安全虛擬網絡功能間通信的系統(tǒng)100說明性地包括骨干網絡 系統(tǒng)102�、回程網絡系統(tǒng)104、一個或多個塔系統(tǒng)106 W及一個或多個用戶設備108���。在說 明性實施例中����,用戶設備108通過塔系統(tǒng)106與回程網絡系統(tǒng)104通信�����,并且回程網絡系統(tǒng) 104確保適當?shù)臄?shù)據分組被路由到骨干網絡系統(tǒng)102 W供處理和/或進一步路由��。應當認 識到骨干網絡系統(tǒng)102����、回程網絡系統(tǒng)104����、塔系統(tǒng)106 W及用戶設備108各自可被實施為 用于執(zhí)行在此描述的功能的任何合適的設備或設備集合�����。在說明性實施例中�,骨干網絡系 統(tǒng)102、回程網絡系統(tǒng)104 W及塔系統(tǒng)106各自實現(xiàn)用戶設備108和/或其他設備之間的遠 程通信(例如�,通過互聯(lián)網)。此外�,取決于具體的實現(xiàn)方式,骨干網絡系統(tǒng)102����、回程網絡 系統(tǒng)104 W及塔系統(tǒng)106可包括任何數(shù)量的設備、網絡�����、路由器�、交換機�、計算機和/或其他 介入設備W便促成其相應的功能。
[0017] 在某些實施例中�����,骨干網絡系統(tǒng)102可被實施為具有虛擬演進分組核(VEPC)架構 的基于網絡功能虛擬化(NFV)的長期演進化T巧骨干網絡。應當認識到骨干網絡系統(tǒng)102 可用作集中式網絡并且在某些實施例中可通信地禪合到另一個網絡(例如�,互聯(lián)網)。在說 明性實施例中�����,回程網絡系統(tǒng)104包括通信地(例如�,通過中間鏈路)將骨干網絡系統(tǒng)102 禪合到塔系統(tǒng)106、子網絡和/或邊緣網絡的一個或多個設備�。在某些實施例中,回程網絡 系統(tǒng)104可被實施為LTE回程網絡系統(tǒng)并且可包括各種網絡�,包括例如T1、IP��、光�、ATM、租 賃和/或其他網絡��。
[0018] 塔系統(tǒng)106包括被配置成用于許可通信設備(例如移動計算設備(例如���,移動電 話)和/或其他用戶設備108)彼此和/或與其他遠程設備通信的硬件��。在運樣做時����,塔系 統(tǒng)106使用戶設備108能與回程網絡系統(tǒng)104通信。在某些實施例中����,塔系統(tǒng)106中的一 個或多個可包括或W其他方式被實施為被配置成用于直接或間接與用戶設備108中的一 個或多個(例如,移動計算設備手機)進行通信的基站(eNodeB)���。此外��,取決于具體的實現(xiàn) 方式�����,塔系統(tǒng)106可包括或用作例如基站收發(fā)器度T巧或另一個基站/系統(tǒng)����。用戶設備108 可被實施為能夠執(zhí)行在此描述的功能的任何類型的計算設備����。例如,在使用LTE回程和骨 干系統(tǒng)的實施例中����,用戶設備108可被實施為移動計算設備(例如,智能電話)并且可被配 置成用于利用蜂窩網絡�。
[0019] 如W下更詳細描述的,系統(tǒng)100或更具體地系統(tǒng)102可利用各種虛擬網絡功能同 時確保VNF間和VNFC間通信(例如���,VNF-VNF通信���、VNFC-VNFC通信和/或VNF-VNFC通信) 受到保護。此外����,在某些實施例中,系統(tǒng)100許可運種通信而不要求供應商修改他們的VNF 并且因此避免潛在地笨拙的部署場景����。
[0020] 現(xiàn)在參照圖2,在說明性實施例中,骨干網絡系統(tǒng)102包括一個或多個VNF 202���、 一個或多個服務器204和管理系統(tǒng)206�。此外��,在說明性實施例中�,管理系統(tǒng)206包括編 排器(orchestrator) 208、一個或多個VNF管理器210和一個或多個虛擬基礎設施管理器 (VIM) 212。盡管編排器208��、VNF管理器210和VIM 212在說明性實施例中被示出為獨立設 備或組件����,但應當認識到編排器208、VNF管理器210和/或VIM 212在其他實施例中可被 體現(xiàn)在相同或不同的設備上(例如�,一個或多個服務器)。此外���,在某些實施例中�,系統(tǒng)102 可被實施為不同于圖1的骨干網絡系統(tǒng)102的系統(tǒng)����。應當進一步認識到在某些實施例中, 服務器204各自可包括類似的硬件�、軟件和/或固件組件。
[0021] 現(xiàn)在參照圖3,示出了系統(tǒng)102的服務器204的說明性實施例��。如所示���,說明性服 務器204包括處理器310����、輸入/輸出("I/O"子系統(tǒng))312、存儲器314�、數(shù)據存儲設備316���、 通信電路318 W及一個或多個外圍設備320�。此外����,在某些實施例中,服務器204可包括安 全協(xié)處理器322�����。當然��,在其他實施例中�����,服務器204可包括其他或附加組件�,諸如通常在典 型的計算設備中發(fā)現(xiàn)的那些(例如,各種輸入輸出設備和/或其他組件)���。此外�,在某些實 施例中,說明性組件中的一個或多個可被結合到另一個組件中或者W其他方式形成其一部 分����。例如,在某些實施例中����,存儲器314或其部分可被結合到處理器310中。
[0022] 處理器310可被實施為能夠執(zhí)行在此描述的功能的任何類型的處理器�。例如,處 理器310可被實施為單核或多核處理器��、數(shù)字信號處理器��、微控制器�、或其他處理器或處理 /控制電路。如所示�����,處理器310可包括一個或多個高速緩存存儲器324�。應當認識到,存 儲器314可被實施為能夠執(zhí)行在此描述的功能的任何類型的易失性或非易失性存儲器或 數(shù)據存儲設備�。在操作中,存儲器314可存儲在服務器204的操作期間使用的各種數(shù)據和 軟件����,諸如操作系統(tǒng)�����、應用�、程序��、庫和驅動程序����。存儲器314通過I/O子系統(tǒng)312通信地禪 合到處理器310,其可被實施為用于促成與服務器204的處理器310�����、存儲器314��、W及其他 組件的輸入/輸出操作的電路和/或組件�。例如,I/O子系統(tǒng)312可被實施為或W其他方 式包括存儲器控制器中樞����、輸入/輸出控制中樞、固件設備����、通信鏈路(即���,點到點鏈路、總 線鏈路�����、導線�����、線纜����、光導、印刷電路板跡線等等)和/或用于促成輸入/輸出操作的其他組 件及子系統(tǒng)����。在某些實施例中,I/O子系統(tǒng)312可形成片上系統(tǒng)(SoC)的一部分并且可與 服務器204的處理器310�、存儲器314和其他組件一起結合到單個集成電路忍片上。
[0023] 數(shù)據存儲設備316可被實施為被配置成用于數(shù)據的短期或長期存儲的任何類型 的設備�,諸如存儲器設備和電路、存儲器卡�、硬盤驅動器��、固態(tài)驅動器或其他數(shù)據存儲設備���。 數(shù)據存儲設備316和/或存儲器314可存儲在服務器204的操作期間用于執(zhí)行在此描述的 功能的各種數(shù)據。
[0024] 通信電路318可被實施為能夠允許服務器204和其他遠程設備之間通過網絡通信 的任何通信電路�、設備、或其集合�。通信電路318可被配置成用于使用任何一種或多種通 信技術(例如,無線通信或有線通信)和相關聯(lián)的協(xié)議(例如���,W太網、齡::,f飯�����、Wi-F慷���、 WiMAX等等)W使運種通信生效����。在某些實施例中��,通信電路318包括蜂窩通信電路和/或 其他長距離無線通信電路�����。此外,在某些實施例中���,通信電路318包括被配置成用于與遠程 設備(例如�,其他服務器204)通信的物理網絡交換機���,諸如網絡接口卡(NIC)�����。
[00巧]外圍設備320可包括任何數(shù)量的附加外圍或接口設備���,諸如揚聲器、麥克風�、附加 存儲設備等等。包括在外圍設備320中的具體設備可取決于例如服務器204的類型和/或 預期用途���。
[00%] 如果包括的話���,安全協(xié)處理器322可被實施為能夠執(zhí)行安全功能、密碼功能和/或 建立信任執(zhí)行環(huán)境的任何硬件組件或電路。例如�,在某些實施例中,安全協(xié)處理器322可被 實施為信任平臺模塊(