本发明涉及信息安全,尤其涉及一种去中心化的网络服务管理方法、系统及设备。
背景技术:
1、在核心网sba(service-based architecture,服务化架构)架构中,nrf(networkrepository function,网络存储功能)负责nf(network function,网络功能)之间的服务发现和授权、维护nf实例的配置信息和支持的服务。nrf通过验证和授权,实现nf间的相互访问控制,这种中心式的授权访问架构面临以下问题:
2、1.nrf负责核心网所有nf间的服务发现、服务授权和服务访问,中心式的nf管理对nrf的性能提出了很高的要求,nrf的性能也是核心网网络功能管理效率的瓶颈。
3、2.nrf易面临单点故障。如果nrf遭到攻击,例如dos攻击,ddos攻击等,整个核心网的网络功能管理将面临瘫痪。
4、3.nrf需要实时在线,以维持对服务访问的控制。
技术实现思路
1、有鉴于此,本发明提供了一种去中心化的网络服务管理方法、系统及设备。
2、根据本发明的第一方面,提供了一种去中心化的网络服务管理方法,该方法应用于管理服务器,该管理服务器中包括nrf节点,该方法包括:
3、基于网络域安全机制与nf节点之间建立安全通道;
4、响应nf节点从安全通道发送的注册请求,验证注册请求中所携带的注册信息;
5、若验证成功,则根据当前版本号为nf节点生成与其配置相对应的属性私钥;并通过安全通道将属性公钥、属性私钥、哈希函数、对称密钥及对称加/解密函数发送至nf节点;以便nf节点之间通过属性公钥、属性私钥、哈希函数、对称密钥建立通信。
6、在第一方面的一些可实现方式中,基于网络域安全机制与nf节点之间建立安全通道之前/同时,该方法还包括:
7、生成当前版本号,配置数字证书,并将证书公钥上传至csp,以便csp在nrf节点进行键值对存储时对其进行验证;
8、基于加/解密函数生成用于加/解密nf节点的对称密钥;
9、选取用于处理nf节点的服务列表的哈希函数;
10、基于属性基加密算法,生成属性公钥和主密钥。
11、在第一方面的一些可实现方式中,该方法还包括:
12、根据nf节点的注册信息,利用对称密钥对nf节点的ip地址进行加密,形成对应密文;
13、根据nf节点的注册信息,利用选取的哈希函数,对nf节点的服务列表进行哈希处理,获得对应的哈希值;
14、分别对密文与哈希值进行处理,生成键值对,并将键值对上传至csp,以便nf节点通过csp获取对应服务的ip地址的密文。
15、在第一方面的一些可实现方式中,响应nf节点从安全通道发送的注册请求,验证注册请求中所携带的注册信息,包括:
16、接收nf节点从安全通道发送的注册请求;请求中携带nf节点的配置文件;
17、根据配置文件中的数字签名,通过证书公钥,对注册请求中所携带的注册信息进行验证。
18、在第一方面的一些可实现方式中,若验证成功,则根据当前版本号为nf节点生成与其配置相对应的属性私钥;并通过安全通道将属性公钥、属性私钥、哈希函数、对称密钥及对称加/解密函数发送至nf节点;以便nf节点之间通过属性公钥、属性私钥、哈希函数、对称密钥建立通信,包括:
19、若验证成功,则根据当前版本号为nf节点生成与其配置相对应的属性私钥;并通过安全通道将属性公钥、属性私钥、哈希函数、对称密钥及对称加/解密函数发送至nf节点;
20、以便nf节点根据哈希函数获得所需访问的服务对应的哈希值,利用所需访问的服务对应的哈希值通过csp获取服务ip地址的密文,并根据对称密钥解密ip地址的密文,获得服务的ip地址,向服务的ip地址发送访问请求,以与服务的ip地址所在的nf节点之间建立通信;其中,
21、接收访问请求的nf节点会将临时会话密钥的密文发送给nf节点,以便nf节点利用属性私钥,解密临时会话密钥的密文,获取临时会话密钥,利用临时会话密钥与接收访问请求的nf节点之间建立通信,实现访问对应服务的目的。
22、在第一方面的一些可实现方式中,分别对密文与哈希值进行处理,生成键值对,包括:
23、分别将哈希值作为键、密文作为值,生成键值对,并将键值对上传至csp。
24、在第一方面的一些可实现方式中,方法还包括:
25、将键值对上传至csp时,进行数字签名。
26、在第一方面的一些可实现方式中,该方法还包括:
27、设置密钥更新周期;
28、在密钥更新周期内更新属性版本号,并通过安全通道向nf节点发送最新属性版本号,以便nf节点更新属性版本号;
29、接收nf节点更新属性版本号后发送的配置文件,将nf节点更新属性版本号后发送的配置文件与更新属性版本号前发送的配置文件进行对比;
30、若两配置文件相同,则为nf节点生成与最新属性版本相关的私钥扩充;
31、若两配置文件不同,则为nf节点生成新的属性私钥。
32、根据本发明的第二方面,提供了一种去中心化的网络服务管理系统,该系统应用于管理服务器,该管理服务器中包括nrf节点,该系统包括:
33、第一处理单元,用于基于网络域安全机制与nf节点之间建立安全通道;
34、第二处理单元,用于响应nf节点从安全通道发送的注册请求,验证注册请求中所携带的注册信息;
35、第三处理单元,用于若验证成功,则根据当前版本号为nf节点生成与其配置相对应的属性私钥;并通过安全通道将属性公钥、属性私钥、哈希函数、对称密钥及对称加/解密函数发送至nf节点;以便nf节点之间通过属性公钥、属性私钥、哈希函数、对称密钥建立通信。
36、根据本发明的第三方面,提供了一种电子设备。该电子设备包括:至少一个处理器;以及与至少一个处理器通信连接的存储器;存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行如以上的方法。
37、在本发明中,基于属性基加密算法,生成属性公钥和主密钥,使得具有属性公钥的网络服务提供方可以将访问策略嵌入到密文中,以此实现分布式的访问控制;采用树形结构的访问控制策略,实现灵活、细粒度级别的服务访问控制;利用动态版本号来管理密钥,实现密钥的快速、高效更新,节省了重复生成密钥带来的开销。
38、应当理解,
技术实现要素:
部分中所描述的内容并非旨在限定本发明的实施例的关键或重要特征,亦非用于限制本发明的范围。本发明的其它特征将通过以下的描述变得容易理解。
1.一种去中心化的网络服务管理方法,其特征在于,所述方法应用于管理服务器,所述管理服务器中包括nrf节点,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述基于网络域安全机制与nf节点之间建立安全通道之前/同时,所述方法还包括:
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
4.根据权利要求1所述的方法,其特征在于,所述响应所述nf节点从所述安全通道发送的注册请求,验证所述注册请求中所携带的注册信息,包括:
5.根据权利要求1所述的方法,其特征在于,所述若验证成功,则根据当前版本号为所述nf节点生成与其配置相对应的属性私钥;并通过所述安全通道将属性公钥、属性私钥、哈希函数、对称密钥及对称加/解密函数发送至所述nf节点;以便所述nf节点之间通过所述属性公钥、属性私钥、哈希函数、对称密钥建立通信,包括:
6.根据权利要求3所述的方法,其特征在于,所述分别对所述密文与所述哈希值进行处理,生成键值对,包括:
7.根据权利要求3所述的方法,其特征在于,所述方法还包括:
8.根据权利要求1所述的方法,其特征在于,所述方法还包括:
9.一种去中心化的网络服务管理系统,其特征在于,所述系统应用于管理服务器,所述管理服务器中包括nrf节点,所述系统包括:
10.一种电子设备,其特征在于,所述电子设备包括: