【技术实现步骤摘要】
【国外来华专利技术】一种信息安全验证方法及设备
本专利技术涉及电子信息领域,尤其涉及一种信息安全验证方法及设备。
技术介绍
NFV(NetworkFunctionVirtulization,网络功能虚拟化)通过在通用的服务器、交换机、存储器等硬件设备上建立VNF(VirtualisedNetworkFunction,虚拟网络功能)实现部分网络功能,使得这些网络功能在通用的硬件设备上运行,不需要配置新的专用网元设备,能够极大的增强网络部署的灵活性,并且降低了投资成本。在通过NFV技术实现网络功能的过程中,网络实体需要获取VNF包(VirtualisedNetworkFunctionPackage,虚拟网络功能包),VNF包包括VNFD(VirtualisedNetworkFunctionDiscriptor,虚拟网络功能描述器)、VNF的软件镜像文件(Image)等。其中,VNFD包含VNF创建实例所需要的物理资源、虚拟链路、生命周期事件、VNF组件(VNFComponent)等信息元,VNF的软件镜像文件包含定义了VM(VirtualMachine,虚拟机)的配置参数,是VM运行的最小软件包,为VNF实例创建运行环境。现有技术中,网络设备在获取VNF包之后,只对VNFD中包含的信息进行安全验证,无法对软件镜像进行安全验证,不能保证软件安全。此处的安全验证,是指通过验证软件包的签名,来保证软件的真实性和完整性,确保是能信任的、未被篡改的软件被进行安装。
技术实现思路
本专利技术的实施例提供一种信息安全验证方法及设备,能够解决在VNF(虚拟网络单元)实例创建时,网络实体无法对软件镜像...
【技术保护点】
PCT国内申请,权利要求书已公开。
【技术特征摘要】
【国外来华专利技术】1.一种信息安全验证方法,其特征在于,应用于第一网络设备,包括:获取软件镜像及软件安全证明参数,其中,所述软件安全证明参数包含所述软件镜像的签名信息、所述签名信息对应的安全算法及密钥证书;根据所述软件镜像、所述安全算法及所述密钥证书对所述软件镜像的签名信息进行验证;如果所述软件镜像的签名信息验证成功,则确定所述软件镜像安全;其中,所述密钥证书包括第一密钥,所述安全算法包括所述第一密钥对应的算法及第二算法;所述根据所述软件镜像、所述安全算法及所述密钥证书对所述签名信息进行验证,包括:根据所述第一密钥及所述第一密钥对应的算法对所述软件镜像的签名信息进行解密生成第一摘要信息;根据所述第二算法对所述软件镜像进行运算获得所述软件镜像的第二摘要信息;验证所述第一摘要信息与所述第二摘要信息是否相同,如果所述第一摘要信息与所述第二摘要信息相同,则所述软件镜像的签名信息验证成功。2.根据权利要求1所述的方法,其特征在于,所述获取软件镜像及软件安全证明参数,包括:接收第二网络设备发送的第一下载地址,所述第一下载地址为所述软件镜像及所述软件安全证明参数的下载地址;根据所述第一下载地址下载获取所述软件镜像及所述软件安全证明参数;或者,接收所述第二网络设备发送的第二下载地址及所述软件安全证明参数,所述第二下载地址为所述软件镜像的下载地址;根据所述第二下载地址下载获取所述软件镜像;或者,接收所述第二网络设备发送的所述软件镜像及所述软件安全证明参数。3.根据权利要求2所述的方法,其特征在于,所述第一网络设备为虚拟基础设备管理器VIM或虚拟网络功能管理器VNFM,所述第二网络设备为网络功能虚拟化编排器NFVO;或者,所述第一网络设备为VIM,所述第二网络设备为VNFM;或者,所述第一网络设备为虚拟机监视器Hypervisor,所述第二网络设备为VIM。4.一种信息安全验证方法,其特征在于,应用于第二网络设备,包括:获取软件镜像及软件安全证明参数,或者获取第一下载地址,或者获取第二下载地址及所述软件安全证明参数,其中,所述软件安全证明参数包含所述软件镜像的签名信息、所述签名信息对应的安全算法及密钥证书,所述第一下载地址为所述软件镜像及所述软件安全证明参数的下载地址,所述第二下载地址为所述软件镜像的下载地址;将所述安全算法及所述软件镜像发送至第一网络设备,或者,将所述第一下载地址发送至所述第一网络设备,或者,将所述安全算法及所述第二下载地址发送至所述第一网络设备,以便所述第一网络设备根据所述软件镜像生成所述软件镜像的第二摘要信息;接收所述第一网络设备发送的第二摘要信息,当获取所述第一下载地址时,接收所述第一网络设备发送的所述第二摘要信息及所述软件安全证明参数;根据所述第二摘要信息、所述密钥证书及所述安全算法对所述软件镜像的签名信息进行验证;如果所述软件镜像的签名信息验证成功,则确定所述软件镜像安全。5.根据权利要求4所述的方法,其特征在于,所述方法还包括:对所述密钥证书进行验证,如果所述密钥证书验证成功,则确定所述软件镜像安全。6.根据权利要求4或5所述的方法,其特征在于,所述第一网络设备为虚拟基础设备管理器VIM或虚拟网络功能管理器VNFM,所述第二网络设备为网络功能虚拟化编排器NFVO;或者,所述第一网络设备为VIM,所述第二网络设备为VNFM;或者,所述第一网络设备为虚拟机监视器Hypervisor,所述第二网络设备为VIM。7.一种信息安全验证方法,其特征在于,应用于第一网络设备,包括:接收第二网络设备发送的安全算法及软件镜像,或者,接收所述第二网络设备发送的第一下载地址,或者,接收所述第一网络设备发送的所述安全算法及第二下载地址,其中,所述第一下载地址为所述软件镜像及软件安全证明参数的下载地址,所述第二下载地址为所述软件镜像的下载地址;当接收到所述第一下载地址时,根据所述第一下载地址下载获取所述软件镜像及软件安全算法,当接收到所述第二下载地址时,根据所述第二下载地址下载获取所述软件镜像;根据所述安全算法对所述软件镜像进行运算获得所述软件镜像的第二摘要信息;将所述软件镜像的第二摘要信息发送至所述第二网络设备,当获取所述第一下载地址时,将所述第二摘要信息及下载获取的所述软件安全证明参数发送至所述第二网络设备。8.根据权利要求7所述的方法,其特征在于,所述第一网络设备为虚拟基础设备管理器VIM或虚拟网络功能管理器VNFM,所述第二网络设备为网络功能虚拟化编排器NFVO;或者,所述第一网络设备为VIM,所述第二网络设备为VNFM;或者,所述第一网络设备为虚拟机监视器Hypervisor,所述第二网络设备为VIM。9.一种第一网络设备,其特征在于,包括:获取单元,用于获取软件镜像及软件安全证明参数,其中,所述软件安全证明参数包含所述软件镜像的签名信息、所述签名信息对应的安全算法及密钥证书;验证单元,用于根据所述获取单元获取的所述软件镜像、所述安全算法及所述密钥证书对所述软件镜像的签名信息进行验证,如果所述软件镜像的签名信息验证成功,则确定所述软件镜像安全;所述密钥证书包括第一密钥,所述安全算法包括所述第一密钥对应的算法及第二算法;所述验证单元,具体用于根据所述第一密钥及所述第一密钥对应的算法对所述软件镜像的签名信息进行解密生成第一摘要信息,根据所述第二算法对所述软件镜像进行运算获得所述软件镜像的第二摘要信息,验证所述第一摘要信息与所述第二摘要信息是否相同,如果所述第一摘要信息与所述第二摘要信息相同,则所述软件镜像的签名信息验证成功。10.根据权利要求9所述的设备,其特征在于,所述获取单元包括接收子单元及下载子单元,所述接收子单元,用于接收第二网络设备发送的第一下载地址,所述第一下载地址为所述软件镜像及所述软件安全证明参数的下载地址;所述下载子单元,用于根据所述接收子单元接收的所述第一下载地址下载获取所述软件镜像及所述软件安全证明参数;或者,所述接收子单元,用于接收所述第二网络设备发送的第二下载地址及所述软件安全证明参数,所述第二下载地址为所述软件镜像的下载地址;所述下载子单元,用于根据所述接收子单元接收的所述第二下载地址下载获取所述软件镜像;或者,所述接收子单元,用于接收所述第二网络设备发送的所述软件镜像及所述软件安全证明参数。11.根据权利要求10所述的设备,其特征在于,所述第一网络设备为虚拟基础设备管理器VIM或虚拟网络功能管理器VNFM,所述第二网络设备为网络功能虚拟化编排器NFVO;或者,所述第一网络设备为VIM,所述第二网络设备为VNFM;或者,所述第一网络设备为虚拟机监视器Hypervisor,所述第二网络设备为VIM。12.一种第二网络设备,其特征在于,包括:获取单元,用于获取软件镜像及软件安全证明参数,或者获取第一下载地址,或者获取第二下载地址及所述软件安全证明参数,其中,所述软件安全证明参数包含所述软件镜像的签名信息、所述签名信息对应的安全算法及密钥证书,所述第一下载地址为所述软件镜像及所述软件安全证明参数的下载地址,所述第二下载地址为所述软件镜像的下载地址;发送单元,用于将所述获取单元获取的安全算法及所述软件镜像发送至第一网络设备,或者,将所述第一下载地址发送至所述第一网络设备,或者,将所述安全算法及所述第二下载地址发送至所述第一网络设备,以便所述第一网络设备根据所述软件镜像生成所述软件镜像的第二摘要信息;接收单元,用于接收所述第一网络设备发送的第二摘要信息,当获取所述第一下载地址时,...
【专利技术属性】
技术研发人员:冯成燕,王江胜,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。