[go: up one dir, main page]

CN106302394B - 安全通道建立方法和系统 - Google Patents

安全通道建立方法和系统 Download PDF

Info

Publication number
CN106302394B
CN106302394B CN201610602146.2A CN201610602146A CN106302394B CN 106302394 B CN106302394 B CN 106302394B CN 201610602146 A CN201610602146 A CN 201610602146A CN 106302394 B CN106302394 B CN 106302394B
Authority
CN
China
Prior art keywords
certificate
cross
management
network function
virtualization network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610602146.2A
Other languages
English (en)
Other versions
CN106302394A (zh
Inventor
余筱
李剑荣
黄汉钊
马超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Comba Network Systems Co Ltd
Original Assignee
Comba Telecom Technology Guangzhou Ltd
Comba Telecom Systems China Ltd
Comba Telecom Systems Guangzhou Co Ltd
Tianjin Comba Telecom Systems Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Comba Telecom Technology Guangzhou Ltd, Comba Telecom Systems China Ltd, Comba Telecom Systems Guangzhou Co Ltd, Tianjin Comba Telecom Systems Co Ltd filed Critical Comba Telecom Technology Guangzhou Ltd
Priority to CN201610602146.2A priority Critical patent/CN106302394B/zh
Publication of CN106302394A publication Critical patent/CN106302394A/zh
Application granted granted Critical
Publication of CN106302394B publication Critical patent/CN106302394B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种安全通道建立方法和系统,所述方法包括:接收第二虚拟化网络功能实例发送的第二交叉证书;根据预存签名信息验证第二交叉证书的第二签名是否正确;当验证正确时,获取存储的第一交叉证书;根据预先达成的互连协议通过第一管理通道查询第二证书管理机构互连端的本地证书吊销列表;根据该证书吊销列表验证第一交叉证书和第二交叉证书是否有效;当验证有效时,发送第一交叉证书给第二虚拟化网络功能实例;在预设验证时间后,发送通信IP地址给第二虚拟化网络功能实例;接收第二虚拟化网络功能实例返回的消息;基于所述消息建立安全通道。本发明实现不同安全域下VNF实例间安全通道的建立,解决虚拟化环境下证书管理实现难的问题。

Description

安全通道建立方法和系统
技术领域
本发明涉及通信技术领域,特别是涉及一种安全通道建立方法和系统。
背景技术
NFV(Network Function Virtualization,网络功能虚拟化)的目标是通过改进行业标准的服务器、存储和网络设备,来取代私有专用的网元设备。NFV架构有两个优点,其一是标准设备成本低廉,能够节省巨大的投资成本;其二是开放API(ApplicationProgramming Interface,应用程序编程)接口,能够获得更灵活的网络能力。
NFV制定的虚拟网络架构包含了:VNF(Virtualised Network Function,虚拟化网络功能)实例、EM(Element Management,网元管理)、NFVI(NFV Infrastructure,NFV基础设施)、VIM(Virtualised Infrastructure Managers,管理虚拟基础设施)、NFVO(NFVOrchestrator,NFV编排器)、VNFM(VNF Managers,VNF管理设备)。其中VNF即具备某种网络虚拟化功能的实例;EM即管理虚拟化网络功能实例的设备;NFVI包括硬件和虚拟化资源,有虚拟化的计算资源、虚拟化的存储资源和虚拟化的网络资源;VIM用于根据NFVO和VNFM的指令对管理虚拟化基础设施资源;NFVO掌管NFV架构、软件资源和网络服务实现的编排和管理;VNFM负责VNF实例整个生存周期的管理。
VNFM通过与VNF之间建立管理通道来实现对VNF实例的管理,两个不同VNFM下面的VNF实例又通过这两个VNFM之间建立的通道来完成交互,其中两个不同安全域下面的VNF实例要达成满足cmpv2的互连协议时需要建立一个安全连接,然而建立安全连接的第一步是对不同安全域互连CA(证书管理机构)的交叉证书进行验证。如图1所示,传统证书管理系统的架构下,证书一般是运营商批量生成,然后下发给各个网元生产商,通过手动导入或者是软件硬件配置的方式传入到网元中。在虚拟化环境中,网元都是动态生成,证书一旦导入之后就很难管理,无法查询证书吊销列表,也无法进行证书在线状态查询,更加无法实时更新证书状态。
发明内容
基于上述情况,本发明提出了一种安全通道建立方法和系统,实现不同安全域下VNF实例间安全通道的建立,解决虚拟化环境下证书管理实现难的问题。
为了实现上述目的,本发明技术方案的实施例为:
一种安全通道建立方法,包括以下步骤:
通过第二虚拟化网络功能管理设备和第一虚拟化网络功能管理设备接收第二虚拟化网络功能实例发送的第二交叉证书,所述第二交叉证书包括第二签名;
根据预存签名信息验证所述第二签名是否正确;
当验证结果为所述第二签名正确时,获取存储在本地证书库中的第一交叉证书;
根据预先达成的互连协议通过第一管理通道查询所述第二虚拟化网络功能实例所在安全域的第二证书管理机构互连端的本地证书吊销列表,所述第一管理通道包括第一管理虚拟基础设施、第一虚拟化网络功能管理设备和第一证书管理机构客户端;
根据所述第二证书管理机构互连端的本地证书吊销列表验证所述第一交叉证书是否有效;
当验证结果为所述第一交叉证书有效时,根据所述第二证书管理机构互连端的本地证书吊销列表验证所述第二交叉证书是否有效;
当验证结果为所述第二交叉证书有效时,发送所述第一交叉证书给所述第二虚拟化网络功能实例;
在发送所述第一交叉证书给所述第二虚拟化网络功能实例后经过预设验证时间,根据所述第二交叉证书通过第一虚拟化网络功能管理设备和第二虚拟化网络功能管理设备,发送通信IP地址给所述第二虚拟化网络功能实例;
接收所述第二虚拟化网络功能实例根据所述通信IP地址返回的消息;
基于所述消息建立与所述第二虚拟化网络功能实例的安全通道。
一种安全通道建立系统,包括:
第二交叉证书接收模块,用于通过第二虚拟化网络功能管理设备和第一虚拟化网络功能管理设备接收第二虚拟化网络功能实例发送的第二交叉证书,所述第二交叉证书包括第二签名;
第二签名验证模块,用于根据预存签名信息验证所述第二签名是否正确;
第一交叉证书获取模块,用于当验证结果为所述第二签名正确时,获取存储在本地证书库中的第一交叉证书;
证书吊销列表查询模块,用于根据预先达成的互连协议通过第一管理通道查询所述第二虚拟化网络功能实例所在安全域的第二证书管理机构互连端的本地证书吊销列表,所述第一管理通道包括第一管理虚拟基础设施、第一虚拟化网络功能管理设备和第一证书管理机构客户端;
第一交叉证书验证模块,用于根据所述第二证书管理机构互连端的本地证书吊销列表验证所述第一交叉证书是否有效;
第二交叉证书验证模块,用于当验证结果为所述第一交叉证书有效时,根据所述第二证书管理机构互连端的本地证书吊销列表验证所述第二交叉证书是否有效;
第一交叉证书发送模块,用于当验证结果为所述第二交叉证书有效时,发送所述第一交叉证书给所述第二虚拟化网络功能实例;
通信IP地址发送模块,用于在发送所述第一交叉证书给所述第二虚拟化网络功能实例后经过预设验证时间,根据所述第二交叉证书通过第一虚拟化网络功能管理设备和第二虚拟化网络功能管理设备,发送通信IP地址给所述第二虚拟化网络功能实例;
信息接收模块,用于接收所述第二虚拟化网络功能实例根据所述通信IP地址返回的消息;
安全通道建立模块,用于基于所述消息建立与所述第二虚拟化网络功能实例的安全通道。
与现有技术相比,本发明的有益效果为:本发明安全通道建立方法和系统,通过第二虚拟化网络功能管理设备和第一虚拟化网络功能管理设备接收第二虚拟化网络功能实例发送的第二交叉证书,根据第二证书管理机构互连端的本地证书吊销列表验证第一交叉证书和第二交叉证书是否有效;当验证有效时,发送第一交叉证书给第二虚拟化网络功能实例;在预设验证时间后,发送通信IP地址给第二虚拟化网络功能实例;基于接收的所述第二虚拟化网络功能实例返回的消息,建立与第二虚拟化网络功能实例的安全通道。本发明实现不同安全域中的虚拟化网络功能实例安全通道的建立,保证网络安全,防止外网恶意攻击,能够防护常见DDoS攻击,防扫描窥探、畸形报文的攻击,同时保证业务安全,建立端到端的IPSec VPN隧道,而且还保证设备安全,防止非法接入;CA对于虚拟架构下的网元更易于管理,更加便捷的更新密钥和证书;经过交互认证流程的网元证书有效期更长,方便虚拟化网络功能实例的安全认证;虚拟化网络功能实例之间建立安全通道可拓展到任一安全域,增大了组网的灵活性,整体提升了虚拟化网络架构的安全性能。
附图说明
图1传统证书管理系统的架构图;
图2为一个实施例中安全通道建立方法流程图;
图3为一个实施例中两个安全域下的NFV系统和证书认证中心CA的连接示意图;
图4为一个实施例中虚拟环境下的VNF1获取交叉证书1的方法流程图;
图5基于图1所示方法一个具体示例中安全通道建立方法流程图;
图6为一个实施例中安全通道建立系统结构示意图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步的详细说明。应当理解,此处所描述的具体实施方式仅仅用以解释本发明,并不限定本发明的保护范围。
一个实施例中安全通道建立方法,如图2所示,包括以下步骤:
步骤S201:通过第二虚拟化网络功能管理设备和第一虚拟化网络功能管理设备接收第二虚拟化网络功能实例发送的第二交叉证书,所述第二交叉证书包括第二签名;
步骤S202:根据预存签名信息验证所述第二签名是否正确;
步骤S203:当验证结果为所述第二签名正确时,获取存储在本地证书库中的第一交叉证书;
步骤S204:根据预先达成的互连协议通过第一管理通道查询所述第二虚拟化网络功能实例所在安全域的第二证书管理机构互连端的本地证书吊销列表,所述第一管理通道包括第一管理虚拟基础设施、第一虚拟化网络功能管理设备和第一证书管理机构客户端;
步骤S205:根据所述第二证书管理机构互连端的本地证书吊销列表验证所述第一交叉证书是否有效;
步骤S206:当验证结果为所述第一交叉证书有效时,根据所述第二证书管理机构互连端的本地证书吊销列表验证所述第二交叉证书是否有效;
步骤S207:当验证结果为所述第二交叉证书有效时,发送所述第一交叉证书给所述第二虚拟化网络功能实例;
步骤S208:在发送所述第一交叉证书给所述第二虚拟化网络功能实例后经过预设验证时间,根据所述第二交叉证书通过第一虚拟化网络功能管理设备和第二虚拟化网络功能管理设备,发送通信IP地址给所述第二虚拟化网络功能实例;
步骤S209:接收所述第二虚拟化网络功能实例根据所述通信IP地址返回的消息;
步骤S210:基于所述消息建立与所述第二虚拟化网络功能实例的安全通道。
从以上描述可知,本发明安全通道建立方法,实现两个不同安全域中的虚拟化网络功能实例安全通道的建立,保证网络安全,防止外网恶意攻击,能够防护常见DDoS攻击,防扫描窥探、畸形报文的攻击,同时保证业务安全,建立端到端的IPSec VPN隧道,而且还保证设备安全,防止非法接入;CA对于虚拟架构下的网元更易于管理,更加便捷的更新密钥和证书;经过交互认证流程的网元证书有效期更长,方便虚拟化网络功能实例的安全认证;虚拟化网络功能实例之间建立安全通道可拓展到任一安全域,增大了组网的灵活性,整体提升了虚拟化网络架构的安全性能。
此外,在一个具体示例中,基于所述消息建立与所述第二虚拟化网络功能实例的安全通道的步骤包括:
当所述消息为拒绝接收所述通信IP地址时,通过所述第一管理通道查询所述第二证书管理机构互连端的本地证书吊销列表;
根据所述第二证书管理机构互连端的本地证书吊销列表验证所述第一交叉证书是否有效;
当验证结果为所述第一交叉证书失效时,通过所述第一管理通道向所述第二证书管理机构互连端发送更新证书请求;
接收所述第二证书管理机构互连端在验证结果为所述更新证书请求合法时,通过所述第一管理通道返回的更新后的第一交叉证书;
将更新后的第一交叉证书作为新的第一交叉证书,返回发送所述第一交叉证书给所述第二虚拟化网络功能实例的步骤。
在接收到第二虚拟化网络功能实例拒绝接收所述通信IP地址时,通过查询到的第二证书管理机构互连端的本地证书吊销列表验证第一交叉证书是否有效,如果失效,通过第一管理通道向第二证书管理机构互连端发送更新证书请求,接收第二证书管理机构互连端验证该更新证书请求合法时通过第一管理通道返回的更新后的第一交叉证书,将更新后的第一交叉证书作为新的第一交叉证书,返回步骤发送第一交叉证书给所述第二虚拟化网络功能实例,CA对于虚拟架构下的网元更易于管理,更加便捷的更新密钥和证书。
此外,在一个具体示例中,将更新后的第一交叉证书作为新的第一交叉证书,返回发送所述第一交叉证书给所述第二虚拟化网络功能实例的步骤的方式包括:
判断当前安全通道建立时间是否超出预设安全通道建立时间阈值,所述当前安全通道建立时间为接收第二虚拟化网络功能实例发送的第二交叉证书到接收所述第二虚拟化网络功能实例根据所述通信IP地址返回的消息的时间;
当判断结果为否时,将更新后的第一交叉证书作为新的第一交叉证书,返回发送所述第一交叉证书给所述第二虚拟化网络功能实例的步骤。
判断当前安全通道建立时间是否超出预设安全通道建立时间阈值,如果超出,丢弃收到的第一交叉证书,并且安全通道建立过程终止;如果没有超出将更新后的第一交叉证书作为新的第一交叉证书,返回步骤发送所述第一交叉证书给所述第二虚拟化网络功能实例,符合实际应用。
此外,在一个具体示例中,所述第一交叉证书通过以下方式获取:
生成证书请求;
通过所述第一管理通道将所述证书请求发送给所述第二证书管理机构互连端;
接收所述第二证书管理机构互连端在验证结果为所述证书请求合法时,根据所述证书请求通过所述第一管理通道返回的所述第一交叉证书。
所述第一交叉证书为第二虚拟化网络功能实例所在安全域的第二证书管理机构互连端在验证接收到的证书请求合法时,根据该证书请求通过第一管理通道返回的证书,保证后续两个不同安全域中的虚拟化网络功能实例安全通道的建立。
此外,在一个具体示例中,在接收所述第二证书管理机构互连端返回的所述第一交叉证书后,还包括步骤:
查询所述第二证书管理机构互连端的本地证书吊销列表;
根据所述第二证书管理机构互连端的本地证书吊销列表验证所述第一交叉证书是否有效;
当验证结果为否时,通过所述第一管理通道向所述第二证书管理机构互连端发送更新证书请求;
接收所述第二证书管理机构互连端在验证结果为所述更新证书请求合法时,根据所述更新证书请求通过所述第一管理通道返回的更新后的第一交叉证书。
在接收到的第一交叉证书之后,验证第一交叉证书是否有效,有效时保存,无效时重新获取更新后的第一交叉证书,提升虚拟化网络架构的安全性能。
为了更好地理解上述方法,以下详细阐述一个本发明安全通道建立方法的应用实例。
如图3所示,以两个安全域下的NFV系统和证书认证中心CA为例,每个NFV系统包括虚拟化网络功能管理设备VNFM、管理虚拟基础设施VIM、虚拟化网络功能实例VNF实例;证书认证中心CA包括证书管理机构客户端CA和证书管理机构互连端CA。两个安全域中分别只信任各自互连CA颁发的证书,例如在安全域1中只信任第二证书管理机构互连端CA2颁发的第二交叉证书,即交叉证书2,在安全域2中只信任第一证书管理机构互连端CA1颁发的第一交叉证书,即交叉证书1。CA通过VNFM管理通道管理VNF实例,周期性更新VNF证书;VNF实例也是通过VNFM管理通道获取到交叉证书,校验证书的有效性和合法性,VNFM管理通道包括VIM、VNFM和证书管理机构客户端CA。
一种虚拟环境下的VNF1获取交叉证书1的方法,如图4所示,包括以下步骤:
步骤S401:VNF1生成证书请求,并将所述证书请求发送给VIM1;
步骤S402:VIM1验证所述证书请求合法时,将所述证书请求发送给VNFM1;
步骤S403:VNFM1验证所述证书请求合法时,将所述证书请求发送给客户端CA1;
步骤S404:客户端CA1根据预存的公共证书吊销列表验证所述证书请求有效时,向与VNF1达成互联协议的互连CA2发送所述证书请求;
步骤S405:互连CA2验证所述证书请求合法时,根据所述证书请求返回交叉证书1给客户端CA1,客户端CA1将所述交叉证书1返回VNFM1,VNFM1通过VIM1将所述交叉证书1返回VNF1,所述交叉证书1包括签名1;
步骤S406:VNF1通过VIM1、VNFM1和客户端CA1查询互连CA2的本地证书吊销列表;
步骤S407:VNF1根据查询到的互连CA2的本地证书吊销列表验证获取的交叉证书1是否有效;查询到互连CA2中的本地证书吊销列表没有交叉证书1,证明交叉证书1是有效的;
步骤S408:当验证结果为是时,VNF1将交叉证书1存储在本地证书库中;
步骤S409:当验证结果为否时,VNF1通过VIM1、VNFM1和客户端CA1向互连CA2发送更新证书请求;
步骤S410:互连CA2接收到VNF1发送的更新证书请求之后,校验该更新证书请求是否合法,校验通过则通过客户端CA1、VNFM1和VIM1发送更新后的交叉证书1给VNF1;
步骤S411:VNF1将更新后的交叉证书1存储在本地证书库中。
VNF2按照与步骤401-411相同的方法从与VNF2达成互联协议的互连CA1中获取到交叉证书2,并将交叉证书2存储在本地证书库中,所述交叉证书2包括签名2。
以两个安全域下的NFV系统建立安全通道为例,一种虚拟环境下的VNF1与VNF2建立安全通信的方法,如图5示,包括以下步骤:
步骤S501:VNF2通过VNFM2和VNFM1将交叉证书2发送给VNF1;
步骤S502:VNF1根据预存签名信息验证交叉证书2中的签名2是否正确;
步骤S503:当验证所述第二签名正确时,VNF1获取存储在本地证书库中的交叉证书1;
步骤S504:VNF1通过VIM1、VNFM1和客户端CA1查询互连CA2的本地证书吊销列表;
步骤S505:VNF1根据查询到的互连CA2的本地证书吊销列表验证交叉证书1是否有效;查询到互连CA2中的本地证书吊销列表没有交叉证书1,证明交叉证书1是有效的;
步骤S506:当验证交叉证书1有效时,VNF1根据互连CA2的本地证书吊销列表验证交叉证书2是否有效;
步骤S507:当验证交叉证书2有效时,VNF1发送交叉证书1给VNF2;
步骤S508:在预设验证时间后,VNF1根据交叉证书2通过VNFM1和VNFM2发送通信IP地址给VNF2;
步骤S509:VNF2根据通信IP地址返回消息给VNF1;
步骤S510:当VNF1接收到VNF2返回的消息为拒绝接收所述通信IP地址时,VNF1通过VIM1、VNFM1和客户端CA1查询互连CA2的本地证书吊销列表;
步骤S511:根据互连CA2的本地证书吊销列表验证交叉证书1是否有效;
步骤S512:当验证交叉证书1失效时,通过VIM1、VNFM1和客户端CA1向互连CA2发送更新证书请求;
步骤S513:互连CA2在验证所述更新证书请求合法时,通过客户端CA1、VNFM1和VIM1返回更新后的交叉证书1给VNF1;
步骤S514:VNF1判断安全通道建立时间是否超出预设安全通道建立时间阈值,所述安全通道建立时间为VNF1接收VNF2发送的交叉证书2到VNF1接收VNF2根据通信IP地址返回消息的时间;
步骤S515:当判断结果为否时,将更新后的交叉证书1作为新的交叉证书1,返回步骤S507发送交叉证书1给VNF2。
步骤S516:当VNF1接收到VNF2返回的消息为允许接收所述通信IP地址时,VNF1根据所述通信IP地址建立与VNF2的安全通道。
从以上描述可知,本实施例VNF2通过VNFM2和VNFM1将交叉证书2发送给VNF1,VNF1查询到的互连CA2的本地证书吊销列表验证交叉证书1和交叉证书2是否有效;当验证有效时,发送交叉证书1给VNF2;在预设验证时间后,发送通信IP地址给VNF2;VNF2根据通信IP地址返回消息给VNF1;VNF1基于接收的VNF2返回的消息,建立与VNF2的安全通道。本发明实现两个不同安全域中的虚拟化网络功能实例安全通道的建立,保证网络安全,防止外网恶意攻击,能够防护常见DDoS攻击,防扫描窥探、畸形报文的攻击,同时保证业务安全,建立端到端的IPSec VPN隧道,而且还保证设备安全,防止非法接入;CA对于虚拟架构下的网元更易于管理,更加便捷的更新密钥和证书;经过交互认证流程的网元证书有效期更长,方便虚拟化网络功能实例的安全认证;虚拟化网络功能实例之间建立安全通道可拓展到任一安全域,增大了组网的灵活性,整体提升了虚拟化网络架构的安全性能。
一个实施例中安全通道建立系统,如图6所示,包括:
第二交叉证书接收模块601,用于通过第二虚拟化网络功能管理设备和第一虚拟化网络功能管理设备接收第二虚拟化网络功能实例发送的第二交叉证书,所述第二交叉证书包括第二签名;
第二签名验证模块602,用于根据预存签名信息验证所述第二签名是否正确;
第一交叉证书获取模块603,用于当验证结果为所述第二签名正确时,获取存储在本地证书库中的第一交叉证书;
证书吊销列表查询模块604,用于根据预先达成的互连协议通过第一管理通道查询所述第二虚拟化网络功能实例所在安全域的第二证书管理机构互连端的本地证书吊销列表,所述第一管理通道包括第一管理虚拟基础设施、第一虚拟化网络功能管理设备和第一证书管理机构客户端;
第一交叉证书验证模块605,用于根据所述第二证书管理机构互连端的本地证书吊销列表验证所述第一交叉证书是否有效;
第二交叉证书验证模块606,用于当验证结果为所述第一交叉证书有效时,根据所述第二证书管理机构互连端的本地证书吊销列表验证所述第二交叉证书是否有效;
第一交叉证书发送模块607,用于当验证结果为所述第二交叉证书有效时,发送所述第一交叉证书给所述第二虚拟化网络功能实例;
通信IP地址发送模块608,用于在发送所述第一交叉证书给所述第二虚拟化网络功能实例后经过预设验证时间,根据所述第二交叉证书通过第一虚拟化网络功能管理设备和第二虚拟化网络功能管理设备,发送通信IP地址给所述第二虚拟化网络功能实例;
信息接收模块609,用于接收所述第二虚拟化网络功能实例根据所述通信IP地址返回的消息;
安全通道建立模块610,用于基于所述消息建立与所述第二虚拟化网络功能实例的安全通道。
如图6所示,在一个具体示例中,所述安全通道建立模块610包括:
证书吊销列表查询单元6101,用于当所述消息为拒绝接收所述通信IP地址时,通过所述第一管理通道查询所述第二证书管理机构互连端的本地证书吊销列表;
第一交叉证书验证单元6102,用于根据所述第二证书管理机构互连端的本地证书吊销列表验证所述第一交叉证书是否有效;
更新证书请求发送单元6103,用于当验证结果为所述第一交叉证书失效时,通过所述第一管理通道向所述第二证书管理机构互连端发送更新证书请求;
更新交叉证书接收单元6104,用于接收所述第二证书管理机构互连端在验证结果为所述更新证书请求合法时,通过所述第一管理通道返回的更新后的第一交叉证书;
安全通道建立单元6105,用于将更新后的第一交叉证书作为新的第一交叉证书,返回所述第一交叉证书发送模块607。
在接收到第二虚拟化网络功能实例拒绝接收所述通信IP地址时,通过查询到的第二证书管理机构互连端的本地证书吊销列表验证第一交叉证书是否有效,如果失效,通过第一管理通道向第二证书管理机构互连端发送更新证书请求,接收第二证书管理机构互连端验证该更新证书请求合法时通过第一管理通道返回的更新后的第一交叉证书,将更新后的第一交叉证书作为新的第一交叉证书,返回所述第一交叉证书发送模块,CA对于虚拟架构下的网元更易于管理,更加便捷的更新密钥和证书。
如图6所示,在一个具体示例中,所述安全通道建立单元6105包括:
时间判断子单元61051,用于判断当前安全通道建立时间是否超出预设安全通道建立时间阈值,所述当前安全通道建立时间为接收第二虚拟化网络功能实例发送的第二交叉证书到接收所述第二虚拟化网络功能实例根据所述通信IP地址返回的消息的时间;
安全通道建立子单元61052,用于当判断结果为否时,将更新后的第一交叉证书作为新的第一交叉证书,返回所述第一交叉证书发送模块607。
判断当前安全通道建立时间是否超出预设安全通道建立时间阈值,如果超出,丢弃收到的第一交叉证书,并且安全通道建立过程终止;如果没有超出将更新后的第一交叉证书作为新的第一交叉证书,返回步骤发送所述第一交叉证书给所述第二虚拟化网络功能实例,符合实际应用。
此外,在一个具体示例中,所述第一交叉证书通过以下方式获取:
生成证书请求;
通过所述第一管理通道将所述证书请求发送给所述第二证书管理机构互连端;
接收所述第二证书管理机构互连端在验证结果为所述证书请求合法时,根据所述证书请求通过所述第一管理通道返回的所述第一交叉证书。
所述第一交叉证书为第二虚拟化网络功能实例所在安全域的第二证书管理机构互连端在验证接收到的证书请求合法时,根据该证书请求通过第一管理通道返回的证书,保证后续两个不同安全域中的虚拟化网络功能实例安全通道的建立。
此外,在一个具体示例中,在接收所述第二证书管理机构互连端返回的所述第一交叉证书后,还包括步骤:
查询所述第二证书管理机构互连端的本地证书吊销列表;
根据所述第二证书管理机构互连端的本地证书吊销列表验证所述第一交叉证书是否有效;
当验证结果为否时,通过所述第一管理通道向所述第二证书管理机构互连端发送更新证书请求;
接收所述第二证书管理机构互连端在验证结果为所述更新证书请求合法时,根据所述更新证书请求通过所述第一管理通道返回的更新后的第一交叉证书。
在接收到的第一交叉证书之后,验证第一交叉证书是否有效,有效时保存,无效时重新获取更新后的第一交叉证书,提升虚拟化网络架构的安全性能。
从以上描述可知,本发明安全通道建立系统,实现两个不同安全域中的虚拟化网络功能实例安全通道的建立,保证网络安全,防止外网恶意攻击,能够防护常见DDoS攻击,防扫描窥探、畸形报文的攻击,同时保证业务安全,建立端到端的IPSec VPN隧道,而且还保证设备安全,防止非法接入;CA对于虚拟架构下的网元更易于管理,更加便捷的更新密钥和证书;经过交互认证流程的网元证书有效期更长,方便虚拟化网络功能实例的安全认证;虚拟化网络功能实例之间建立安全通道可拓展到任一安全域,增大了组网的灵活性,整体提升了虚拟化网络架构的安全性能。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种安全通道建立方法,其特征在于,包括以下步骤:
通过第二虚拟化网络功能管理设备和第一虚拟化网络功能管理设备接收第二虚拟化网络功能实例发送的第二交叉证书,所述第二交叉证书包括第二签名;
根据预存签名信息验证所述第二签名是否正确;
当验证结果为所述第二签名正确时,获取存储在本地证书库中的第一交叉证书;
根据预先达成的互连协议通过第一管理通道查询所述第二虚拟化网络功能实例所在安全域的第二证书管理机构互连端的本地证书吊销列表,所述第一管理通道包括第一管理虚拟基础设施、第一虚拟化网络功能管理设备和第一证书管理机构客户端;
根据所述第二证书管理机构互连端的本地证书吊销列表验证所述第一交叉证书是否有效;
当验证结果为所述第一交叉证书有效时,根据所述第二证书管理机构互连端的本地证书吊销列表验证所述第二交叉证书是否有效;
当验证结果为所述第二交叉证书有效时,发送所述第一交叉证书给所述第二虚拟化网络功能实例;
在发送所述第一交叉证书给所述第二虚拟化网络功能实例后经过预设验证时间,根据所述第二交叉证书通过第一虚拟化网络功能管理设备和第二虚拟化网络功能管理设备,发送通信IP地址给所述第二虚拟化网络功能实例;
接收所述第二虚拟化网络功能实例根据所述通信IP地址返回的消息;
基于所述消息建立与所述第二虚拟化网络功能实例的安全通道。
2.根据权利要求1所述的安全通道建立方法,其特征在于,基于所述消息建立与所述第二虚拟化网络功能实例的安全通道的步骤包括:
当所述消息为拒绝接收所述通信IP地址时,通过所述第一管理通道查询所述第二证书管理机构互连端的本地证书吊销列表;
根据所述第二证书管理机构互连端的本地证书吊销列表验证所述第一交叉证书是否有效;
当验证结果为所述第一交叉证书失效时,通过所述第一管理通道向所述第二证书管理机构互连端发送更新证书请求;
接收所述第二证书管理机构互连端在所述更新证书请求合法时,通过所述第一管理通道返回的更新后的第一交叉证书;
将更新后的第一交叉证书作为新的第一交叉证书,返回发送所述第一交叉证书给所述第二虚拟化网络功能实例的步骤。
3.根据权利要求2所述的安全通道建立方法,其特征在于,将更新后的第一交叉证书作为新的第一交叉证书,返回发送所述第一交叉证书给所述第二虚拟化网络功能实例的步骤的方式包括:
判断当前安全通道建立时间是否超出预设安全通道建立时间阈值,所述当前安全通道建立时间为接收第二虚拟化网络功能实例发送的第二交叉证书到接收所述第二虚拟化网络功能实例根据所述通信IP地址返回的消息的时间;
当判断结果为否时,将更新后的第一交叉证书作为新的第一交叉证书,返回发送所述第一交叉证书给所述第二虚拟化网络功能实例的步骤。
4.根据权利要求1所述的安全通道建立方法,其特征在于,所述第一交叉证书通过以下方式获取:
生成证书请求;
通过所述第一管理通道将所述证书请求发送给所述第二证书管理机构互连端;
接收所述第二证书管理机构互连端在所述证书请求合法时,根据所述证书请求通过所述第一管理通道返回的所述第一交叉证书。
5.根据权利要求4所述的安全通道建立方法,其特征在于,在接收所述第二证书管理机构互连端返回的所述第一交叉证书后,还包括步骤:
查询所述第二证书管理机构互连端的本地证书吊销列表;
根据所述第二证书管理机构互连端的本地证书吊销列表验证所述第一交叉证书是否有效;
当验证结果为否时,通过所述第一管理通道向所述第二证书管理机构互连端发送更新证书请求;
接收所述第二证书管理机构互连端在所述更新证书请求合法时,根据所述更新证书请求通过所述第一管理通道返回的更新后的第一交叉证书。
6.一种安全通道建立系统,其特征在于,包括:
第二交叉证书接收模块,用于通过第二虚拟化网络功能管理设备和第一虚拟化网络功能管理设备接收第二虚拟化网络功能实例发送的第二交叉证书,所述第二交叉证书包括第二签名;
第二签名验证模块,用于根据预存签名信息验证所述第二签名是否正确;
第一交叉证书获取模块,用于当验证结果为所述第二签名正确时,获取存储在本地证书库中的第一交叉证书;
证书吊销列表查询模块,用于根据预先达成的互连协议通过第一管理通道查询所述第二虚拟化网络功能实例所在安全域的第二证书管理机构互连端的本地证书吊销列表,所述第一管理通道包括第一管理虚拟基础设施、第一虚拟化网络功能管理设备和第一证书管理机构客户端;
第一交叉证书验证模块,用于根据所述第二证书管理机构互连端的本地证书吊销列表验证所述第一交叉证书是否有效;
第二交叉证书验证模块,用于当验证结果为所述第一交叉证书有效时,根据所述第二证书管理机构互连端的本地证书吊销列表验证所述第二交叉证书是否有效;
第一交叉证书发送模块,用于当验证结果为所述第二交叉证书有效时,发送所述第一交叉证书给所述第二虚拟化网络功能实例;
通信IP地址发送模块,用于在发送所述第一交叉证书给所述第二虚拟化网络功能实例后经过预设验证时间,根据所述第二交叉证书通过第一虚拟化网络功能管理设备和第二虚拟化网络功能管理设备,发送通信IP地址给所述第二虚拟化网络功能实例;
信息接收模块,用于接收所述第二虚拟化网络功能实例根据所述通信IP地址返回的消息;
安全通道建立模块,用于基于所述消息建立与所述第二虚拟化网络功能实例的安全通道。
7.根据权利要求6所述的安全通道建立系统,其特征在于,所述安全通道建立模块包括:
证书吊销列表查询单元,用于当所述消息为拒绝接收所述通信IP地址时,通过所述第一管理通道查询所述第二证书管理机构互连端的本地证书吊销列表;
第一交叉证书验证单元,用于根据所述第二证书管理机构互连端的本地证书吊销列表验证所述第一交叉证书是否有效;
更新证书请求发送单元,用于当验证结果为所述第一交叉证书失效时,通过所述第一管理通道向所述第二证书管理机构互连端发送更新证书请求;
更新交叉证书接收单元,用于接收所述第二证书管理机构互连端在所述更新证书请求合法时,通过所述第一管理通道返回的更新后的第一交叉证书;
安全通道建立单元,用于将更新后的第一交叉证书作为新的第一交叉证书,返回所述第一交叉证书发送模块。
8.根据权利要求7所述的安全通道建立系统,其特征在于,所述安全通道建立单元包括:
时间判断子单元,用于判断当前安全通道建立时间是否超出预设安全通道建立时间阈值,所述当前安全通道建立时间为接收第二虚拟化网络功能实例发送的第二交叉证书到接收所述第二虚拟化网络功能实例根据所述通信IP地址返回的消息的时间;
安全通道建立子单元,用于当判断结果为否时,将更新后的第一交叉证书作为新的第一交叉证书,返回所述第一交叉证书发送模块。
9.根据权利要求6所述的安全通道建立系统,其特征在于,所述第一交叉证书通过以下方式获取:
生成证书请求;
通过所述第一管理通道将所述证书请求发送给所述第二证书管理机构互连端;
接收所述第二证书管理机构互连端在所述证书请求合法时,根据所述证书请求通过所述第一管理通道返回的所述第一交叉证书。
10.根据权利要求9所述的安全通道建立系统,其特征在于,在接收所述第二证书管理机构互连端返回的所述第一交叉证书后,还包括步骤:
查询所述第二证书管理机构互连端的本地证书吊销列表;
根据所述第二证书管理机构互连端的本地证书吊销列表验证所述第一交叉证书是否有效;
当验证结果为否时,通过所述第一管理通道向所述第二证书管理机构互连端发送更新证书请求;
接收所述第二证书管理机构互连端在所述更新证书请求合法时,根据所述更新证书请求通过所述第一管理通道返回的更新后的第一交叉证书。
CN201610602146.2A 2016-07-26 2016-07-26 安全通道建立方法和系统 Active CN106302394B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610602146.2A CN106302394B (zh) 2016-07-26 2016-07-26 安全通道建立方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610602146.2A CN106302394B (zh) 2016-07-26 2016-07-26 安全通道建立方法和系统

Publications (2)

Publication Number Publication Date
CN106302394A CN106302394A (zh) 2017-01-04
CN106302394B true CN106302394B (zh) 2019-08-30

Family

ID=57662532

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610602146.2A Active CN106302394B (zh) 2016-07-26 2016-07-26 安全通道建立方法和系统

Country Status (1)

Country Link
CN (1) CN106302394B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108809907B (zh) * 2017-05-04 2021-05-11 华为技术有限公司 一种证书请求消息发送方法、接收方法和装置
JP6900870B2 (ja) * 2017-10-13 2021-07-07 コニカミノルタ株式会社 情報処理装置、情報処理装置の制御方法、およびプログラム
CN114785523B (zh) 2019-04-28 2024-07-30 华为技术有限公司 网络功能服务的身份校验方法及相关装置
WO2024247226A1 (ja) * 2023-06-01 2024-12-05 株式会社Nttドコモ ネットワークノード、及び通信方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015169126A1 (zh) * 2014-05-08 2015-11-12 华为技术有限公司 一种证书获取方法和设备
CN105264818A (zh) * 2014-05-08 2016-01-20 华为技术有限公司 一种证书获取方法和设备
EP2999172A1 (en) * 2014-09-18 2016-03-23 Alcatel Lucent Method and devices to certify a trusted path in a software defined network

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015169126A1 (zh) * 2014-05-08 2015-11-12 华为技术有限公司 一种证书获取方法和设备
CN105264818A (zh) * 2014-05-08 2016-01-20 华为技术有限公司 一种证书获取方法和设备
CN105284091A (zh) * 2014-05-08 2016-01-27 华为技术有限公司 一种证书获取方法和设备
EP2999172A1 (en) * 2014-09-18 2016-03-23 Alcatel Lucent Method and devices to certify a trusted path in a software defined network

Also Published As

Publication number Publication date
CN106302394A (zh) 2017-01-04

Similar Documents

Publication Publication Date Title
US11457070B2 (en) Virtual hosting device and service to provide software-defined networks in a cloud environment
CN105264818B (zh) 一种证书获取方法和设备
CN104767715B (zh) 网络接入控制方法和设备
US9237021B2 (en) Certificate grant list at network device
CN108881308B (zh) 一种用户终端及其认证方法、系统、介质
KR102472362B1 (ko) 블록 체인 기반 사물 인터넷 장치 제어 시스템 및 방법
CN106302394B (zh) 安全通道建立方法和系统
CN104426740B (zh) 用于管理隧道化端点的系统和方法
CN112752254B (zh) 一种信息处理方法、装置、设备及计算机可读存储介质
CN106464667B (zh) 一种证书管理方法、设备及系统
CN101753354A (zh) 实现网络摄像机自动配置的方法和监控系统
CN111224962B (zh) 一种基于区块链的物联网设备联网控制方法、控制系统
US10218704B2 (en) Resource access control using named capabilities
Kim et al. Trustworthy gateway system providing IoT trust domain of smart home
CN103780395B (zh) 网络接入证明双向度量的方法和系统
CN112333214A (zh) 一种用于物联网设备管理的安全用户认证方法及系统
US11271925B1 (en) Secure access gateway for egress system
KR102224454B1 (ko) 네트워크 트래픽 제어 방법, 장치, 시스템 및 컴퓨터 프로그램
CN108833334B (zh) 一种数字家庭网络的设备安全接入系统及方法
CN104869142A (zh) 一种基于社交平台的链接分享方法、系统及装置
CN109379339A (zh) 一种Portal认证方法及装置
CN103607403A (zh) 一种nat网络环境下使用安全域的方法、装置和系统
KR20180099293A (ko) 신뢰 도메인간 통신 방법 및 이를 위한 게이트웨이
US20220353235A1 (en) Controlling network traffic pertaining to a domain name based on a dns-ip mapping
EP4229822A1 (en) Network security from host and network impersonation

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right

Effective date of registration: 20180214

Address after: 510663 Shenzhou Road 10, Guangzhou Science City, Guangzhou economic and Technological Development Zone, Guangzhou, Guangdong

Applicant after: Comba Telecom System (China) Co., Ltd.

Applicant after: Comba Telecom Systems (Guangzhou) Co., Ltd.

Applicant after: Jingxin Communication Technology (Guangzhou) Co., Ltd.

Applicant after: TIANJIN COMBA TELECOM SYSTEMS CO., LTD.

Address before: 510663 Guangdong city of Guangzhou province Guangzhou economic and Technological Development Zone Jinbi Road No. 6

Applicant before: Jingxin Communication Technology (Guangzhou) Co., Ltd.

TA01 Transfer of patent application right
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20200108

Address after: 510663 Shenzhou Road, Guangzhou Science City, Guangzhou economic and Technological Development Zone, Guangdong, 10

Patentee after: Jingxin Communication System (China) Co., Ltd.

Address before: 510663 Shenzhou Road 10, Guangzhou Science City, Guangzhou economic and Technological Development Zone, Guangzhou, Guangdong

Co-patentee before: Jingxin Communication System (Guangzhou) Co., Ltd.

Patentee before: Jingxin Communication System (China) Co., Ltd.

Co-patentee before: Jingxin Communication Technology (Guangzhou) Co., Ltd.

Co-patentee before: TIANJIN COMBA TELECOM SYSTEMS CO., LTD.

TR01 Transfer of patent right
CP01 Change in the name or title of a patent holder

Address after: 510663 Shenzhou Road, Guangzhou Science City, Guangzhou economic and Technological Development Zone, Guangdong, 10

Patentee after: Jingxin Network System Co.,Ltd.

Address before: 510663 Shenzhou Road, Guangzhou Science City, Guangzhou economic and Technological Development Zone, Guangdong, 10

Patentee before: Comba Telecom System (China) Ltd.

CP01 Change in the name or title of a patent holder