网络功能虚拟化中关键认证技术研究

摘要

网络功能虚拟化（Network functions virtualization，NFV）是一种新兴的电信技术，它通过使用标准的IT虚拟化和云技术，将软件实例与硬件平台分离，通过功能从位置上解耦以实现更快地提供网络服务。NFV最终实现以通用的服务器和存储器，来取代通信网中专用的网元设备，为电信服务供应商提供一种设计、部署和管理网络的新方式。但是NFV为新一代网络服务提供更好伸缩性和自动化能力的同时，也带来了安全性问题。 由于软硬件的解耦，NFV网络各个组件可能由不同运营商提供的，这使NFV网络受到攻击的层面更大。通过身份认证技术可以实现NFV中各组件之间数据传输的完整性保护和不可否认性。但由于NFV网络具有灵活性、虚拟化等特点，仅依靠传统认证技术不能满足NFV的需求。因此，为解决这些问题，主要做了以下工作： 通过对NFV环境下证书需求和证书部署的要求进行分析和研究，在NFV证书部署架构的基础上，设计了一种NFV中证书自动化安全部署流程。该流程包括两个阶段：基础设施层和执行环境层的交互、执行环境层和应用层的交互。通过对这两个阶段不同管理域的虚拟机部署证书，可实现不同层对虚拟资源的安全调度。最后基于上述NFV中证书自动化安全部署流程，设计了一种基于证书的（Virtualization network functions，VNF）实例间的密钥协商协议，实现了各VNF实例间的安全连接和组通信安全。 为更好地满足基于NFV的服务链所具有不依赖硬件设备、拓扑结构易变化的特性，本文提出一种服务链上可认证的密钥管理方案。该方案基于双线性映射的密码体制并结合(t,n)门限的思想，采用密钥协商的方式生成服务链上的通信密钥，当服务链动态变化时通过更新组通信密钥来保障服务链的安全性。最后通过对方案的正确性和安全性分析，表明该方案在实现VNF实例间安全通信的同时也满足了服务链动态变化时各VNF实例的信任重建。

目录

第一个书签之前