信息处理方法及其装置、电子设备和介质与流程
本公开涉及网络安全领域,更具体地涉及一种信息处理方法及其装置、电子设备和介质。
背景技术:
网络功能虚拟化(networkfunctionvirtualization,nfv)技术通过软硬件解耦及功能抽象,使网络设备功能不再依赖于专用硬件,资源可以充分灵活共享,实现新业务的快速开发和部署。虚拟化网络功能(virtualnetworkfunction,vnf)是虚拟机中封装的网络功能设备的软件实现,是nfv的核心技术。vnf设备类型比较多,比如防火墙(firewall,fw),入侵防御系统(intrusionpreventionsystem,ips),入侵检测系统(intrusiondetectionsystem,ids),深度包检测(deeppacketinspection,dpi),网站应用级入侵防御系统(webapplicationfirewall,waf),上网行为管理等,而且同类型的vnf设备也可以是不同厂家的设备。
相关技术对各种vnf设备进行管理的技术理论大于实践,实现原理依赖过多的技术,实现方式比较重量级,过程繁琐,部署复杂,而且缺少安全管理措施。
技术实现要素:
本公开的一个方面提供了信息处理方法,应用于虚拟化网络功能vnf管理器,上述方法包括:响应于来自vnf设备的连接请求,建立与上述vnf设备的网络连接,上述网络连接基于动态主机配置协议建立,在通过上述网络连接接收到来自上述vnf设备的设备信息的情况下,基于配置在上述vnf管理器中的根证书和上述设备信息,向上述vnf设备返回第一子证书,上述设备信息基于超文本传输安全协议发送,在通过上述网络连接接收到来自上述vnf设备的交互请求的情况下,验证上述第一子证书是否与上述根证书相匹配,以及在验证匹配的情况下,响应于上述交互请求,执行特定交互操作。
可选地,上述基于配置在上述vnf管理器中的根证书和上述设备信息,向上述vnf设备返回第一子证书包括:基于配置在上述vnf管理器中的根证书,为上述vnf管理器签发第二子证书,基于上述第二子证书和上述设备信息,生成与上述vnf设备相对应的第一子证书,以及向上述vnf设备返回上述第一子证书。
可选地,上述方法还包括:响应于针对上述vnf设备的删除请求,删除上述第一子证书。
本公开的另一个方面提供了一种信息处理方法,应用于vnf设备,上述方法包括:向vnf管理器发送连接请求,以建立与上述vnf管理器的网络连接,上述网络连接基于动态主机配置协议建立,通过上述网络连接向上述vnf管理器发送设备信息,以使上述上述vnf管理器基于配置在上述vnf管理器中的根证书和上述设备信息,向上述vnf设备返回第一子证书,上述设备信息基于超文本传输安全协议发送,在通过上述网络连接向上述vnf设备发送交互请求的情况下,验证上述第一子证书是否与上述根证书相匹配,以及在验证匹配的情况下,响应于上述交互请求,执行特定交互操作。
可选地,上述vnf设备包括第一vnf设备和第二vnf设备,上述方法还包括:在上述第一vnf设备通过上述网络连接向上述第二vnf设备发送访问请求的情况下,验证上述第一vnf设备的第一子证书是否与上述第二vnf设备的第一子证书相匹配,以及在验证匹配的情况下,响应于上述访问请求,通过上述第一vnf设备访问上述第二vnf设备。
可选地,上述设备信息包括以下中的至少一个:设备编号、设备类型、设备厂商以及租用上述vnf设备的租户名称。
本公开的另一个方面提供了一种信息处理装置,应用于虚拟化网络功能(virtualnetworkfunction,vnf)管理器,上述装置包括:第一建立模块,配置为响应于来自vnf设备的连接请求,建立与上述vnf设备的网络连接,上述网络连接基于动态主机配置协议建立,返回模块,配置为在通过上述网络连接接收到来自上述vnf设备的设备信息的情况下,基于配置在上述vnf管理器中的根证书和上述设备信息,向上述vnf设备返回第一子证书,上述设备信息基于超文本传输安全协议发送,第一验证模块,配置在通过上述网络连接接收到来自上述vnf设备的交互请求的情况下,验证上述第一子证书是否与上述根证书相匹配,以及第一执行模块,配置为在验证匹配的情况下,响应于上述交互请求,执行特定交互操作。
可选地,上述返回模块包括:签发子模块,配置为基于配置在上述vnf管理器中的根证书,为上述vnf管理器签发第二子证书,生成子模块,配置为基于上述第二子证书和上述设备信息,生成与上述vnf设备相对应的第一子证书,以及返回子模块,配置为向上述vnf设备返回上述第一子证书。
可选地,上述装置还包括:删除模块,配置为响应于针对上述vnf设备的删除请求,删除上述第一子证书。
本公开的另一个方面提供了一种信息处理装置,应用于vnf设备,上述装置包括:第二建立模块,配置为向vnf管理器发送连接请求,以建立与上述vnf管理器的网络连接,上述网络连接基于动态主机配置协议建立,接收模块,配置为通过上述网络连接向上述vnf管理器发送设备信息,以使上述上述vnf管理器基于配置在上述vnf管理器中的根证书和上述设备信息,向上述vnf设备返回第一子证书,上述设备信息基于超文本传输安全协议发送,第二验证模块,配置为在通过上述网络连接向上述vnf设备发送交互请求的情况下,验证上述第一子证书是否与上述根证书相匹配,以及第二执行模块,配置为在验证匹配的情况下,响应于上述交互请求,执行特定交互操作。
可选地,上述vnf设备包括第一vnf设备和第二vnf设备,上述装置还包括:第三验证模块,配置为在上述第一vnf设备通过上述网络连接向上述第二vnf设备发送访问请求的情况下,验证上述第一vnf设备的第一子证书是否与上述第二vnf设备的第一子证书相匹配,以及访问模块,配置为在验证匹配的情况下,响应于上述访问请求,通过上述第一vnf设备访问上述第二vnf设备。
可选地,所述设备信息包括以下中的至少一个:设备编号、设备类型、设备厂商以及租用所述vnf设备的租户名称。
本公开的另一个方面提供了一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现上述任一所述的方法。
本公开的另一个方面提供了一种计算机可读存储介质,存储有计算机可执行指令,所述指令被执行时用于实现上述任一所述的方法。
本公开的另一个方面提供了一种计算机程序产品,包括计算机可读指令,其中,所述计算机可读指令被执行时用于执行上述任一项所述的方法。
通过本公开的实施例,基于动态主机配置协议、超文本传输安全协议和证书签发机制实现了一种vnf设备管理方案,实施过程轻量级,而且提升了安全性和隔离性。
附图说明
为了更完整地理解本公开及其优势,现在将参考结合附图的以下描述,其中:
图1示意性示出了根据本公开实施例的信息处理方法的系统架构;
图2示意性示出了根据本公开实施例的信息处理方法的流程图;
图3示意性示出了根据本公开另一实施例的信息处理方法的流程图;
图4示意性示出了根据本公开另一实施例的信息处理方法的应用场景;
图5示意性示出了如图4所示的应用场景中根据本公开实施例的信息处理方法的流程图;
图6示意性示出了根据本公开实施例的信息处理装置的框图;
图7示意性示出了根据本公开另一实施例的信息处理装置的框图;
图8示意性示出了适用于执行本公开实施例的信息处理方法的电子设备的框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“a、b和c等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有a、b和c中至少一个的系统”应包括但不限于单独具有a、单独具有b、单独具有c、具有a和b、具有a和c、具有b和c、和/或具有a、b、c的系统等)。在使用类似于“a、b或c等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有a、b或c中至少一个的系统”应包括但不限于单独具有a、单独具有b、单独具有c、具有a和b、具有a和c、具有b和c、和/或具有a、b、c的系统等)。
附图中示出了一些方框图和/或流程图。应理解,方框图和/或流程图中的一些方框或其组合可以由计算机程序指令来实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其他可编程信息处理装置的处理器,从而这些指令在由该处理器执行时可以创建用于实现这些方框图和/或流程图中所说明的功能/操作的装置。本公开的技术可以硬件和/或软件(包括固件、微代码等)的形式来实现。另外,本公开的技术可以采取存储有指令的计算机可读存储介质上的计算机程序产品的形式,该计算机程序产品可供指令执行系统使用或者结合指令执行系统使用。
vnf设备类型比较多,而且同类型的vnf设备也可以是不同厂家的设备。相关技术中针对各种vnf设备进行管理的技术,例如虚拟化网络功能管理器(virtualnetworkfunctionmanagement,vnfm),理论大于实践,实现原理依赖过多的技术,实现方式比较重量级,过程繁琐,部署复杂,而且缺少安全管理措施。
基于此,本公开提供了一种信息处理方法,应用于虚拟化网络功能vnf管理器,包括连接建立阶段、证书签发阶段和交互验证阶段。在连接建立阶段,响应于来自vnf设备的连接请求,建立与vnf设备的网络连接,网络连接基于动态主机配置协议建立。接着,在证书签发阶段,在通过网络连接接收到来自vnf设备的设备信息的情况下,基于配置在vnf管理器中的根证书和设备信息,向vnf设备返回第一子证书,设备信息基于超文本传输安全协议发送。然后,在交互验证阶段,在通过网络连接接收到来自vnf设备的交互请求的情况下,验证第一子证书是否与根证书相匹配。最后,在验证匹配的情况下,响应于交互请求,执行特定交互操作。
图1示意性示出了根据本公开实施例的信息处理方法的系统架构100。需要注意的是,图1所示仅为可以应用本公开实施例的系统架构的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。
近几年随着云计算技术的逐渐普及,越来越多的企业开始选择了部署云计算方案,其灵活性、易用性以及可定制性给企业带来的优势是毋庸置疑的,但是公有云、私有云和混合云的蓬勃发展,为网络安全和数据安全的要求越来越具有挑战性。
网络功能虚拟化(networkfunctionvirtualization,nfv)技术由此诞生,将虚拟化技术应用到传统网络,把整个类别的网络节点功能虚拟化为构建可以连接在一起的通信服务。通过软硬件解耦及功能抽象,使网络设备功能不再依赖于专用硬件,资源可以充分灵活共享,实现新业务的快速开发和部署,并基于实际业务需求进行自动部署、弹性伸缩、故障隔离和自愈等,而且也降低网络昂贵的设备成本。
如图1所示,根据该实施例的系统架构100可以包括虚拟化网络功能110、网络功能虚拟化设施120以及网络功能虚拟化管理器和编排器130。其中,虚拟化网络功能110包括多个虚拟化网络功能。例如,虚拟化网络功能1101、虚拟化网络功能1102、虚拟化网络功能1103、虚拟化网络功能1104。网络功能虚拟化设施120包括虚拟计算资源1201、虚拟网络资源1202、虚拟存储资源1203、虚拟化层121、硬件资源123,硬件资源123包括计算资源1231、网络资源1232以及存储资源1233。网络功能虚拟化管理器和编排器130包括虚拟化网络功能管理器1301、网络功能虚拟化编排器1302以及虚拟化设施管理器1303。
应该理解,图1中的虚拟化网络功能的数目仅仅是示意性的。根据实现需要,可以具有任意数目的虚拟化网络功能。
一方面,从虚拟化网络功能vnf管理器一侧,阐述本公开信息处理方法的实施例。
图2示意性示出了根据本公开实施例的信息处理方法的流程图。
如图2所示,该方法可以包括操作s210~s240。
在操作s210,响应于来自vnf设备的连接请求,建立与vnf设备的网络连接,网络连接基于动态主机配置协议建立。
根据本公开的实施例,vnf管理器与vnf设备的网络连接基于动态主机配置协议(dynamichostconfigurationprotocol,dhcp)建立。dhcp是局域网的网络协议,由服务器控制一段ip地址范围,作用是集中的管理、分配ip地址。客户端登录服务器时可以获得服务器分配的ip地址和子网掩码。dhcp协议采用客户端/服务器模型,当dhcp服务器接收到来自客户端申请地址信息时,才会向客户端发送相关的地址配置等信息,以实现客户端地址信息的动态配置。
在本公开中,vnf管理器与vnf设备可以先使用dhcp协议进行交互,vnf管理器作为dhcp服务器,vnf设备作为dhcp客户端,协商成功后,vnf设备可以获得一个独立的ip地址。
在操作s220,在通过网络连接接收到来自vnf设备的设备信息的情况下,基于配置在vnf管理器中的根证书和设备信息,向vnf设备返回第一子证书,设备信息基于超文本传输安全协议发送。
根据本公开的实施例,后期vnf设备与vnf管理器之间的交互可以使用这一独立的ip地址,在vnf管理器管理多个vnf设备的情况下,每个vnf设备和vnf管理器交互,通过超文本传输安全协议和证书签发及验证可以实现或确保隔离性和安全性。
可选地,在接收到vnf设备的设备信息之后,vnf管理器可以根据自己的根证书和设备信息,生成与vnf设备对应的第一子证书,第一子证书中既包含有vnf管理器的根证书的部分信息,又包含有自己的设备信息,可以为vnf管理器与vnf设备交互中的证书验证提供验证基础。尤其在vnf管理器管理多个vnf设备的情况下,每个vnf设备的第一子证书区别于其它vnf设备的第一子证书,可以提高信息的安全性。
根据本公开的实施例,vnf管理器获得vnf设备信息后通过ssl根证书进行签发,签发第一子证书(ssl子证书),ssl子证书中vnf设备的设备信息具体组织方式有多种。
例如,可以将vnf设备的许可证(license)期限放在ssl子证书的有效期中,将vnf编号,vnf类型,vnf厂商,租户名称放入ssl子证书的使用者选项中,例如,表2至5中所示的“颁发给”选项。ssl子证可以按照类似域名的组织方式:id.type.vendor.tenant,其他选项可以根据需要进行填写。vnf管理器签发完毕后,将vnf设备的ssl子证书及其私钥通过超文本传输安全协议协议返回给vnf设备。
根据本公开的实施例,vnf管理器接收到的vnf设备的设备信息是通过超文本传输安全协议(hypertexttransferprotocoloversecuresocketlayer,https)发送的,由于https协议需要使用基于安全套接字层(securesocketslayer,ssl)协议。由于ssl协议使用了加密算法,因此可以保证数据传输的安全性。
在本公开中,根证书和与根证书对应的私钥、第一子证书与第一子证书对应的私钥、第二子证书与第二子证书对应的私钥是成对出现的。因此,本公开的上下文描述中省去了对私钥的描述,但并不代表vnf设备与vnf管理器之间的交互过程中,只配置根证书,不配置与根证书对应的私钥,只向vnf设备返回子证书,不返回与子证书对应的私钥。
需要说明的是,本公开中配置在vnf管理器中的根证书,可以是预置的ssl根证书,也可以是新创建的ssl根证书,本公开对此不做限定。
在操作s230,在通过网络连接接收到来自vnf设备的交互请求的情况下,验证第一子证书是否与根证书相匹配。
根据本公开的实施例,根证书和第一子证书是父子关系,根证书可以签发第一子证书,第一子证书携带了根证书的部分信息,后面交互过程可以验证第一子证书是否与根证书一致。
在操作s240,在验证匹配的情况下,响应于交互请求,执行特定交互操作。
根据本公开的实施例,vnf管理器和vnf设备先通过https协议进行证书验证。在验证匹配的情况下,接受vnf设备向vnf管理器发起的交互请求,在验证不匹配的情况下,拒绝vnf设备向vnf管理器发起的交互请求。
根据本公开的实施例,特定交互操作可以是vnf设备向vnf管理器提供运行状态信息。
通过本公开的实施例,基于动态主机配置协议、超文本传输安全协议和证书签发机制实现了一种vnf设备管理方案,实施过程轻量级,而且提升了安全性和隔离性。
可选地,基于配置在vnf管理器中的根证书和设备信息,向vnf设备返回第一子证书包括:基于配置在vnf管理器中的根证书,为vnf管理器签发第二子证书;基于第二子证书和设备信息,生成与vnf设备相对应的第一子证书;以及向vnf设备返回第一子证书。
根据本公开的实施例,可以在vnf管理器内部部署web服务器,用于部署ssl证书。web服务器可以使用apache、nginx或lighthttp等开源软件,本公开不做限制。第二子证书是vnf管理器基于预置的ssl根证书,为自己签发的一份ssl子证书(如表1所示)及其私钥。第二子证书携带有根证书的部分信息,该部分信息用于表征vnf管理器的信息。
通过本公开的实施例,基于超文本传输安全协议的ssl证书签发机制,为vnf设备签发子证书,至少部分的克服了相关技术中实现方式比较重量级,过程繁琐,部署复杂,而且缺少安全管理措施的计算问题,实施过程轻量级,而且提升了安全性和隔离性。
可选地,方法还包括:响应于针对vnf设备的删除请求,删除第一子证书。
根据本公开的实施例,在响应于删除vnf设备的情况下,可以删除vnf设备的ssl子证书。
通过对vnf设备子证书进行有效管理,可以提高vnf管理器对vnf设备的管理效率。
需要说明的是,也可以将vnf设备的ssl子证书保存一段时间。具体时间可以根据vnf设备的生命周期决定。
另一方面,从vnf设备一侧,阐述本公开信息处理方法的实施例。
图3示意性示出了根据本公开另一实施例的信息处理方法的流程图。
如图3所示,该方法可以包括操作s310~s340。
在操作s310,向vnf管理器发送连接请求,以建立与vnf管理器的网络连接,网络连接基于动态主机配置协议建立。
根据本公开的实施例,vnf设备向vnf管理器发送连接请求,以从vnf管理器获取与vnf设备对应的ip地址,在后期与vnf管理器之间进行交互时,基于ip地址进行交互。
在操作s320,通过网络连接向vnf管理器发送设备信息,以接收vnf管理器基于配置在vnf管理器中的根证书和设备信息,向vnf设备返回的第一子证书,设备信息基于超文本传输安全协议发送。
根据本公开的实施例,与vnf设备对应的子证书,子证书中既包含有vnf管理器的根证书的部分信息,又包含有自己的设备信息,可以为vnf管理器与vnf设备交互中的证书验证提供验证基础。尤其在vnf管理器管理多个vnf设备的情况下,每个vnf设备的子证书区别于其它vnf设备的子证书,可以提高信息的安全性。
根据本公开的实施例,在vnf设备得到自己的ssl子证书和私钥后,利用自己的ssl子证书和私钥,在设备内部部署一个web服务器,并启动web服务器。
在操作s330,在通过网络连接向vnf设备发送交互请求的情况下,验证第一子证书是否与根证书相匹配。
在操作s340,在验证匹配的情况下,响应于交互请求,执行特定交互操作。
根据本公开的实施例,与vnf管理器一侧相对应地,vnf设备接收到vnf管理器返回给自己的子证书和私钥,在与vnf管理器之间进行交互时,可以验证彼此的证书是否匹配,在验证匹配的情况下,接受vnf设备向vnf管理器发起的交互请求,在验证不匹配的情况下,拒绝vnf设备向vnf管理器发起的交互请求。
通过本公开的实施例,基于动态主机配置协议、超文本传输安全协议和证书签发机制实现了一种vnf设备管理方案,实施过程轻量级,而且提升了安全性和隔离性。
可选地,vnf设备包括第一vnf设备和第二vnf设备,方法还包括:在第一vnf设备通过网络连接向第二vnf设备发送访问请求的情况下,验证第一vnf设备的第一子证书是否与第二vnf设备的第一子证书相匹配;以及在验证匹配的情况下,响应于访问请求,通过第一vnf设备访问第二vnf设备。
根据本公开的实施例,不仅在vnf设备与vnf管理器进行交互的过程中,需要双方先通过https协议验证彼此的证书是否匹配。进一步地,在vnf设备与vnf设备之间进行交互时,也需要双方先通过https协议,验证彼此的ssl子证书,在验证匹配的情况下,接受vnf设备和vnf设备之间的交互请求,而在验证不匹配的情况下,拒绝vnf设备和vnf设备之间的交互请求,可以提高多个vnf设备之间交互访问的安全性。
通过vnf设备与vnf设备的彼此验证,可以提高多个vnf设备之间交互访问的安全性。
可选地,设备信息包括以下中的至少一个:设备编号、设备类型、设备厂商以及租用vnf设备的租户名称。
通过对vnf设备发送的以上中的至少一个设备信息,可以使得vnf管理器基于设备信息为vnf设备签发与vnf设备的设备信息关联的子证书,实现对vnf设备的精准管理。
需要说明的是,vnf管理器和vnf设备交互时,不论是vnf管理器获得vnf设备数据,还是vnf设备主动上传数据给vnf管理器,都需要按照约定方式(比如某个固定网址)访问对方的web服务器,验证双方的证书信息是否一致,然后再继续其他逻辑判断来决定后续访问操作的可行性。具体的业务逻辑可以从多个维度进行控制,比如:只允许vnf管理器访问vnf设备;或允许相同厂商的vnf设备相互访问;或只升级租户b的某个厂家的vnf设备;或检查vnf设备的license是否到期等操作
再一方面,结合vnf管理器和vnf设备交互的过程,从整体上阐述本公开的实施例。
图4示意性示出了根据本公开另一实施例的信息处理方法的应用场景。
如图4所示,虚拟化网络功能管理器1301管理租户a和租户b部署的7台虚拟化网络功能设备。
租户a部署2种类型的4台虚拟化网络功能设备。其中,虚拟化网络功能设备1和虚拟化网络功能设备2为fw,虚拟化网络功能设备3和虚拟化网络功能设备为ips,虚拟化网络功能设备1的fw属于厂商vendor_m,虚拟化网络功能设备2的fw属于厂商vendor_n。
租户b部署3种类型的3台虚拟化网络功能设备。其中,虚拟化网络功能设备5为fw,虚拟化网络功能设备6为ips,虚拟化网络功能设备7为waf。
图5示意性示出了如图4所示的应用场景中根据本公开实施例的信息处理方法的流程图。
如图5所示,vnf管理器和vnf设备交互的过程,包括以下三个阶段的6个步骤。其中,第一阶段为使用dhcp协议交互的过程。第二阶段为ssl证书签发的过程。第三阶段为交互验证过程。
步骤1,vnf管理器根据租户的业务需求分配资源,启动对应的vnf设备,vnf管理器此时作为dhcp服务器,而vnf设备作为dhcp客户端,在第一次登陆网路时,可以向网路发出一个dhcpdiscover封包,广播dhcp发现(dhcpdiscovery)。vnf管理器回应dhcp响应,给vnf设备返回一个dhcpoffer封包。vnf设备作为dhcp客户端,广播dhcp请求(dhcprequest)。vnf管理器回应dhcp确认(dhcpack)。双方使用dhcp协议交互,协商成功后,每个vnf设备获得一个独立的ip地址,后期就可以使用该ip进行交互。
步骤2,vnf管理器使用预置的ssl根证书,先为自己签发一份ssl子证书(见表1)及其私钥。然后在vnf管理器内部启动一个web服务器部署该证书。web服务器可以使用apache、nginx或lighthttp等开源软件,本发明不做限制。如表1所示,在vnf管理器颁发给主机的ssl子证书中,“颁发给”选项为“vnf管理器”,“颁发者”选项为“ssl根证书”,“ssl子证书”的有效期从2019年3月28日起至2020年3月27日止。根证书和子证书是父子关系,根证书可以签发子证书,子证书携带了根证书的部分信息,后面vnf管理器与vnf设备之间的交互过程可以验证vnf管理器的根证书和vnf设备的第一子证书是否一致。在本公开中,vnf管理器为自己签发的一份ssl子证书的颁发者为“nvfsslrootcertificate”。
表1
步骤3,在vnf管理器和vnf设备交互验证的阶段。每个vnf设备将自己的信息(比如租户信息,vnf类型,vnf厂商,设备license,版本信息等)通过https协议发送https请求(httpsrequest)给vnf管理器的web服务器(步骤2中提到的)。vnf管理器获得vnf设备信息后通过ssl根证书进行签发。vnf管理器签发完毕后,将vnf设备的ssl子证书及其私钥做为https响应(httpsresponse)通过https协议返回给各个vnf设备。
例如,在vnf管理器和vnf1设备交互验证时,vnf管理器是https服务器,vnf1设备是https客户端,vnf1设备通过https协议发起https请求(httpsrequest),vnf管理器回应httpsresponse。
在vnf1设备与vnf2设备交互验证的阶段,vnf1是https客户端,vnf2是https服务器,vnf1设备通过https协议发起https请求(httpsrequest),vnf2回应httpsrespone。
表2至表5示意性示出了根据本公开实施例生成的图4所示的租户a的4台vnf设备的ssl子证书。
图4所示的租户a的vnf1设备ssl子证书如表2所示。如表2所示,在颁发给租户a的vnf1设备的ssl子证书中,“颁发给”选项为“1.fw.vendor_m.a”。其中,“1”为vnf编号,“fw”为vnf类型:防火墙(fw),“vendor_m”为vnf厂商,“a”为租户名称。“颁发者”选项为“ssl根证书”,“ssl子证书”的有效期从2019年3月28日起至2020年3月27日止。租户a的vnf1设备的ssl子证书的颁发者为“nvfsslrootcertificate”。与vnf管理器的ssl子证书的颁发者一致。
表2
图4所示的租户a的vnf2设备ssl子证书如表3所示。如表3所示,在颁发给租户a的vnf2设备的ssl子证书中,“颁发给”选项为“2.fw.vendor_n.a”。其中,“2”为vnf编号,“fw”为vnf类型:防火墙(fw),“vendor_n”为vnf厂商,“a”为租户名称。“颁发者”选项为“ssl根证书”。“ssl子证书”的有效期从2019年3月28日起至2020年3月27日止。租户a的vnf2设备的ssl子证书的颁发者为“nvfsslrootcertificate”。与vnf管理器的ssl子证书的颁发者一致。
表3
图4所示的租户a的vnf3设备ssl子证书如表4所示。如表4所示,在颁发给租户a的vnf3设备的ssl子证书中,“颁发给”选项为“3.ips.vendor_m.a”。其中,“3”为vnf编号,“ips”为vnf类型:防入侵防御系统(ips),“vendor_m”为vnf厂商,“a”为租户名称。“颁发者”选项为“ssl根证书”。“ssl子证书”的有效期从2019年3月28日起至2020年3月27日止。租户a的vnf3设备的ssl子证书的颁发者为“nvfsslrootcertificate”。与vnf管理器的ssl子证书的颁发者相同。
表4
图4所示的租户a的vnf4设备ssl子证书如表5所示。如表5所示,在颁发给租户a的vnf4设备的ssl子证书中,“颁发给”选项为“4.ips.vendor_m.a”。其中,“4”为vnf编号,“ips”为vnf类型:防入侵防御系统(ips),“vendor_m”为vnf厂商,“a”为租户名称。“颁发者”选项为“ssl根证书”。“ssl子证书”的有效期从2019年3月28日起至2020年3月27日止。租户a的vnf4设备的ssl子证书的颁发者为“nvfsslrootcertificate”。与vnf管理器的ssl子证书的颁发者一致。
表5
步骤4,vnf设备得到自己的ssl子证书和私钥后,可以使用此证书和私钥部署一个web服务器,并启动web服务器。
步骤5,vnf管理器和vnf设备交互时,不论是vnf管理器获得vnf设备的数据,还是vnf设备主动上传数据给vnf管理器,都需要按照约定方式(比如某个固定网址)访问对方的web服务器,验证双方的ssl证书链信息是否匹配(比如ssl根证书是否相同等),然后再继续其他逻辑判断来决定后续访问操作的可行性。具体的业务逻辑可以从多个维度进行控制。例如,可以允许vnf管理器访问vnf设备,也可以允许相同厂商的vnf设备相互访问,也可以只升级租户b的某个厂家的vnf设备,还可以检查vnf设备的license是否到期等操作。
步骤6,如果删除某个租户,则该租户下vnf设备中的ssl子证书可以自行决定可以删除,也可以保存一段时间,还可以根据vnf设备的生命周期决定。
通过本公开的实施例,在vnf管理器和vnf设备交互的过程中,基于dhcp协议、https协议和ssl证书签发机制实现vnf管理器对vnf设备的管理方案,实施过程轻量级,而且提升了安全性和隔离性。
一方面,从虚拟化网络功能vnf管理器一侧,阐述本公开信息处理装置的实施例。
图6示意性示出了根据本公开实施例的信息处理装置的框图。
如图6所示,装置600可以包括第一建立模块610,返回模块620,第一验证模块630以及第一执行模块640。
第一建立模块610,配置为响应于来自vnf设备的连接请求,建立与vnf设备的网络连接,网络连接基于动态主机配置协议建立。
返回模块620,配置为在通过网络连接接收到来自vnf设备的设备信息的情况下,基于配置在vnf管理器中的根证书和设备信息,向vnf设备返回第一子证书,设备信息基于超文本传输安全协议发送。
第一验证模块630,配置在通过网络连接接收到来自vnf设备的交互请求的情况下,验证第一子证书是否与根证书相匹配。
第一执行模块640,配置为在验证匹配的情况下,响应于交互请求,执行特定交互操作。
通过本公开的实施例,基于动态主机配置协议、超文本传输安全协议和证书签发机制实现了一种vnf设备管理方案,实施过程轻量级,而且提升了安全性和隔离性。
可选地,返回模块620包括:签发子模块,配置为基于配置在vnf管理器中的根证书,为vnf管理器签发第二子证书;生成子模块,配置为基于第二子证书和设备信息,生成与vnf设备相对应的第一子证书;以及返回子模块,配置为向vnf设备返回第一子证书。
通过本公开的实施例,基于超文本传输安全协议的ssl证书签发机制,为vnf设备签发子证书,至少部分的克服了相关技术中实现方式比较重量级,过程繁琐,部署复杂,而且缺少安全管理措施的计算问题,实施过程轻量级,而且提升了安全性和隔离性。
可选地,装置还包括:删除模块,配置为响应于针对vnf设备的删除请求,删除第一子证书。
通过对vnf设备子证书进行有效管理,可以提高vnf管理器对vnf设备的管理效率。
另一方面,从vnf设备一侧,阐述本公开信息处理装置的实施例。
图7示意性示出了根据本公开另一实施例的信息处理装置的框图。
如图7所示,装置700可以包括第二建立模块710,接收模块720,第二验证模块730以及第二执行模块740。
第二建立模块710,配置为向vnf管理器发送连接请求,以建立与vnf管理器的网络连接,网络连接基于动态主机配置协议建立。
接收模块720,配置为通过网络连接向vnf管理器发送设备信息,以使vnf管理器基于配置在vnf管理器中的根证书和设备信息,向vnf设备返回第一子证书,设备信息基于超文本传输安全协议发送。
第二验证模块730,配置为在通过网络连接向vnf设备发送交互请求的情况下,验证第一子证书是否与根证书相匹配。
第二执行模块740,配置为在验证匹配的情况下,响应于交互请求,执行特定交互操作。
通过本公开的实施例,基于动态主机配置协议、超文本传输安全协议和证书签发机制实现了一种vnf设备管理方案,实施过程轻量级,而且提升了安全性和隔离性。
可选地,vnf设备包括第一vnf设备和第二vnf设备,装置还包括:第三验证模块,配置为在第一vnf设备通过网络连接向第二vnf设备发送访问请求的情况下,验证第一vnf设备的第一子证书是否与第二vnf设备的第一子证书相匹配;以及访问模块,配置为在验证匹配的情况下,响应于访问请求,通过第一vnf设备访问第二vnf设备。
通过vnf设备与vnf设备的彼此验证,可以提高多个vnf设备之间交互访问的安全性。
可选地,设备信息包括以下中的至少一个:设备编号、设备类型、设备厂商以及租用vnf设备的租户名称。
根据本公开的实施例的模块中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块中的任意一个或多个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(fpga)、可编程逻辑阵列(pla)、片上系统、基板上的系统、封装上的系统、专用集成电路(asic),或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,根据本公开实施例的模块中的一个或多个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
例如,第一建立模块610、返回模块620、第一验证模块630、第一执行模块640、签发子模块、生成子模块、返回子模块、删除模块中的任意多个或者第二建立模块710、接收模块720、第二验证模块730、第二执行模块740、第三验证模块以及访问模块中的任意多个可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公开的实施例,第一建立模块610、返回模块620、第一验证模块630、第一执行模块640、签发子模块、生成子模块、返回子模块、删除模块中的任意多个或者第二建立模块710、接收模块720、第二验证模块730、第二执行模块740、第三验证模块以及访问模块中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(fpga)、可编程逻辑阵列(pla)、片上系统、基板上的系统、封装上的系统、专用集成电路(asic),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,第一建立模块610、返回模块620、第一验证模块630、第一执行模块640、签发子模块、生成子模块、返回子模块、删除模块中的任意多个或者第二建立模块710、接收模块720、第二验证模块730、第二执行模块740、第三验证模块以及访问模块中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图8示意性示出了适用于执行本公开实施例的信息处理方法的电子设备的框图。图8示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图8所示,电子设备800包括处理器810以及计算机可读存储介质820。该电子设备800可以执行根据本公开实施例的方法。
具体地,处理器810例如可以包括通用微处理器、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(asic)),等等。处理器810还可以包括用于缓存用途的板载存储器。处理器810可以是用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
计算机可读存储介质820,例如可以是非易失性的计算机可读存储介质,具体示例包括但不限于:磁存储装置,如磁带或硬盘(hdd);光存储装置,如光盘(cd-rom);存储器,如随机存取存储器(ram)或闪存;等等。
计算机可读存储介质820可以包括计算机程序产品821,该计算机程序821可以包括代码/计算机可执行指令,其在由处理器810执行时使得处理器810执行根据本公开实施例的方法或其任何变形。
计算机程序产品821可被配置为具有例如包括计算机程序模块的计算机程序代码。例如,在示例实施例中,计算机程序产品821中的代码可以包括一个或多个程序模块,例如包括821a、模块821b、……。应当注意,模块的划分方式和个数并不是固定的,本领域技术人员可以根据实际情况使用合适的程序模块或程序模块组合,当这些程序模块组合被处理器810执行时,使得处理器810可以执行根据本公开实施例的方法或其任何变形。
根据本发明的实施例,第一建立模块610、返回模块620、第一验证模块630、第一执行模块640、签发子模块、生成子模块、返回子模块、删除模块中的任意多个或者第二建立模块710、接收模块720、第二验证模块730、第二执行模块740、第三验证模块以及访问模块中的至少一个可以实现为参考图8描述的计算机程序模块,其在被处理器810执行时,可以实现上面描述的相应操作。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
根据本公开的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质,例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合,即使这样的组合或结合没有明确记载于本公开中。特别地,在不脱离本公开精神和教导的情况下,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
尽管已经参照本公开的特定示例性实施例示出并描述了本公开,但是本领域技术人员应该理解,在不背离所附权利要求及其等同物限定的本公开的精神和范围的情况下,可以对本公开进行形式和细节上的多种改变。因此,本公开的范围不应该限于上述实施例,而是应该不仅由所附权利要求来进行确定,还由所附权利要求的等同物来进行限定。
- 还没有人留言评论。精彩留言会获得点赞!