通信方法及装置制造方法及图纸

本申请提供一种通信方法及装置，属于通信技术领域，以解决验证者通过度量者无法确定

【技术实现步骤摘要】
通信方法及装置


[0001]本申请涉及通信领域，尤其涉及一种通信方法及装置
。

技术介绍

[0002]网络功能虚拟化
(network functions virtualization
，
NFV)
是指将传统类型的通信设备的网络功能
(functions virtualization
，
NF)
与其物理设备剥离，然后以软件，如虚拟网络功能
(virtual network function
，
VNF)
的形式，运行在商业现成主机
(commercial off
‑
the
‑
shelf
，
COTS)
上，以实现灵活部署
。
在此基础上，可通过远程证明
(remote attestation)
对
VNF
进行可信验证，以确保安全
。
其中，远程证明可以包括度量者
(attester)
和验证者
(verifier)。
度量者可以部署在
VNF
附近，如同一个机房中，用以采集
VNF
的证据
。
验证者可以部署在远程，用以根据
VNF
的证据，确定
VNF
是否可信
。
[0003]然而，度量者与
VNF
通常部署在一起，如果
VNF
受到攻击，则度量者也可能受到攻击，导致度量者也不可信
。
此时，验证者通过度量者无法确定
VNF
是否可信
。

技术实现思路

[0004]本申请实施例提供一种通信方法及装置，用以解决验证者通过度量者无法确定
VNF
是否可信的问题
。
[0005]为达到上述目的，本申请采用如下技术方案：
[0006]第一方面，提供一种通信方法
。
该方法包括：在第一验证者确定使用第一度量者度量第一网元是否可信的情况下，第一验证者向第二验证者发送第一请求，并接收第二验证者针对第一请求返回的第一响应
。
其中，第一请求用于请求第二验证者发起对第一度量者的度量，第二验证者的安全性高于第一度量者的安全性，第一响应用于指示第一度量者可信
。
如此，第一验证者使用第一度量者度量第一网元是否可信
。
[0007]根据第一方面所述的方法可知，在第一验证者无法确定第一度量者是否可信的情况下，第一验证者可以请求安全性更高的第二验证者来度量第一度量者，以确定第一度量者可信
。
如此，第一验证者通过可信的第一度量者对第一网元，如
VNF
进行度量，便能够确定第一网元是否可信
。
[0008]一种可能的设计方案，第一验证者向第二验证者发送第一请求，包括：第一验证者获取第一度量者的寻址信息，并向第二验证者发送包含寻址信息的第一请求，以便第二验证者能够找到第一度量者，并对其进行度量
。
[0009]可选地，第一验证者获取第一度量者的寻址信息，包括：在第一验证者是功能网元的情况下，第一验证者获取第一网元的标识信息
。
例如，第一度量者通常位于虚拟化层，功能网元可能无法感知到虚拟化层的存在，也就无法获得第一度量者的标识信息
。
这种情况下，功能网元可提供业务层的信息，如与第一度量者相关的第一网元的标识信息，以便第二验证者通过第一网元找到第一度量者
。
或者，在第一验证者是功能网管的情况下，第一验证者获取如下至少一项：第一度量者的标识信息
、
或第一网元的标识信息
。
也即，功能网元既
可以获得虚拟化层的信息，如第一度量者的标识信息，也可以获得业务层的信息，如第一网元的标识信息
。
如此，功能网元可以选择性地提供相关信息，不做限定
。
[0010]进一步的，在第一验证者是功能网元的情况下，第一网元的标识信息包括网络功能
NF
的标识
。
可以理解，由于功能网元可能无法感知到虚拟化层的存在，第一网元对于功能网元而言是业务层的功能，也即
NF
，因此可以获得
NF
的标识
。
或者，在第一验证者是功能网管的情况下，第一网元的标识信息包括虚拟网络功能
VNF
的标识
。
可以理解，由于功能网管可以感知到虚拟化层的存在，第一网元对于功能网元而言是虚拟化层的功能，也即
VNF
，因此可以获取
VNF
的标识
。
[0011]一种可能的设计方案，第一度量者部署在业务域，第二验证者部署在管理域
。
也就是说，第二验证者可以部署在比第一度量者更安全的网络环境中，以确保第二验证者的安全性高于第一度量者的安全性
。
[0012]一种可能的设计方案，在第一验证者向第二验证功能发送第一请求之前，第一方面所述的方法还可以包括：第一验证者确定第一度量者是可信存疑的度量者
。
也就是说，第一验证者在无法确定第一度量者是否可信的情况下，才触发对第一度量者的度量
。
反之，如果第一验证者确定第一度量者可信，则可以直接使用第一度量者度量第一网元，无需触发对第一度量者的度量，以避免执行无效的度量流程，节约通信开销
。
[0013]可选地，所述第一度量者是可信存疑的度量者是指：第一度量者是未被度量的度量者，或者第一度量者是已被度量，且度量凭证失效的度量者
。
也就是说，对于可信的第一度量者而言，其可信的状态是有时间限制的
。
如果超出时限，则需要重新度量第一度量者，以进一步提高安全
。
[0014]一种可能的设计方案，第一验证者确定使用第一度量者度量第一网元是否可信，包括：第一验证者接收来自第二网元的指示信息；第二网元与第一网元关联，指示信息用于指示第一验证者发起对第一网元的度量；第一验证者根据指示信息，确定使用第一度量者度量第一网元
。
也就是说，对第一网元的度量可以由其他网元，如第二网元触发
。
例如，第二网元确定与第一网元之间的通信异常，则可以触发对第一网元的度量
。
如此，可实现按需求触发度量，以避免执行无效的度量流程，节约通信开销
。
[0015]可选地，指示信息包括第一网元的标识信息，第一验证者保存有每个度量者的标识信息与该度量者关联的网元的标识信息的对应关系，第一验证者根据指示信息，确定使用第一度量者度量第一网元，包括：第一验证者根据第一网元的标识信息以及对应关系，确定第一网元对应的第一度量者
。
也就本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种通信方法，其特征在于，所述方法包括：在第一验证者确定使用第一度量者度量第一网元是否可信的情况下，所述第一验证者向第二验证者发送第一请求；所述第一请求用于请求所述第二验证者发起对所述第一度量者的度量，所述第二验证者的安全性高于所述第一度量者的安全性；所述第一验证者接收所述第二验证者针对所述第一请求返回的第一响应；所述第一响应用于指示所述第一度量者可信；所述第一验证者使用所述第一度量者度量所述第一网元是否可信
。2.
根据权利要求1所述的方法，其特征在于，所述第一验证者向第二验证者发送第一请求，包括：所述第一验证者获取所述第一度量者的寻址信息；所述第一验证者向所述第二验证者发送包含所述寻址信息的所述第一请求
。3.
根据权利要求2所述的方法，其特征在于，所述第一验证者获取所述第一度量者的寻址信息，包括：在所述第一验证者是功能网元的情况下，所述第一验证者获取所述第一网元的标识；或者，在所述第一验证者是功能网管的情况下，所述第一验证者获取如下至少一项：所述第一度量者的标识信息
、
或所述第一网元的标识信息
。4.
根据权利要求3所述的方法，其特征在于，在所述第一验证者是功能网元的情况下，所述第一网元的标识信息包括网络功能
NF
的标识；或者，在所述第一验证者是功能网管的情况下，所述第一网元的标识信息包括虚拟网络功能
VNF
的标识
。5.
根据权利要求1‑4中任一项所述的方法，其特征在于，所述第一度量者部署在业务域，所述第二验证者部署在管理域
。6.
根据权利要求1‑5中任一项所述的方法，其特征在于，在所述第一验证者向所述第二验证功能发送所述第一请求之前，所述方法还包括：所述第一验证者确定所述第一度量者是可信存疑的度量者
。7.
根据权利要求6所述的方法，其特征在于，所述第一度量者是可信存疑的度量者是指：所述第一度量者是未被度量的度量者，或者所述第一度量者是已被度量，且度量凭证失效的度量者
。8.
根据权利要求1‑7中任一项所述的方法，其特征在于，所述第一验证者确定使用第一度量者度量第一网元是否可信，包括：所述第一验证者接收来自第二网元的指示信息；所述第二网元与所述第一网元关联，所述指示信息用于指示所述第一验证者发起对所述第一网元的度量；所述第一验证者根据所述指示信息，确定使用所述第一度量者度量所述第一网元
。9.
根据权利要求8所述的方法，其特征在于，所述指示信息包括所述第一网元的标识信息，所述第一验证者保存有每个度量者的标识信息与该度量者关联的网元的标识信息的对应关系，所述第一验证者根据所述指示信息，确定使用所述第一度量者度量所述第一网元，包括：所述第一验证者根据所述第一网元的标识信息以及所述对应关系，确定所述第一网元对应的所述第一度量者
。
10.
根据权利要求1‑9中任一项所述的方法，其特征在于，所述第一验证者使用所述第一度量者度量所述第一网元是否可信，包括：所述第一验证者向所述第一度量者发送第二请求；所述第二请求用于请求所述第一度量者对所述第一网元进行度量；所述第一验证者接收所述第一度量者针对所述第二请求返回的第二响应；所述第二响应包括所述第一网元的度量证据；所述第一验证者根据所述第一网元的度量证据，确定所述第一网元是否可信
。11.
根据权利要求
10
所述的方法，其特征在于，所述第一网元的度量证据包括如下至少一项：所述第一网元的运行数据
、
或所述第一网元的通信数据
。12.
根据权利要求1‑
11
中任一项所述的方法，其特征在于，在所述第一验证者接收所述第二验证者针对所述第一请求返回的第一响应之后，所述方法还包括：所述第一验证者使用所述第一度量者度量第三网元是否可信
。13.
一种通信方法，其特征在于，所述方法包括：第二验证者接收来自第一验证者的...

【专利技术属性】
技术研发人员：李论，吴义壮，崔洋，雷骜，胡华东，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：