息的第二摘要和第一解密信息是否相同。
[0122]当第一原始信息的第二摘要和第一解密信息不相同时,第二 VNFC对第一 VNFC身份认证失败,结束该认证流程,两个VNFC间不建立通信连接;
[0123]当第一原始信息的第二摘要和第一解密信息相同时,第二 VNFC对第一 VNFC身份认证通过,进入步骤905。
[0124]步骤905、第二 VNFC生成第二原始信息的第一摘要,并采用第二 VNFC的专用密钥对第二原始信息的第一摘要进行加密,得到第二加密信息;其中,第二原始信息包含第二VNFC的标识信息,还可以包含第二 VNFC向第一 VNFC的通信连接请求。
[0125]步骤906、第二 VNFC向第一 VNFC发送携带第二原始信息和第二加密信息的认证请求。
[0126]步骤907、第一 VNFC接收第二 VNFC发送的携带第二原始信息和第二加密信息的认证请求,之后,第一 VNFC生成第二原始信息的第二摘要,以及采用第二 VNFC的专用密钥对第二加密信息进行解密,得到第二解密信息。
[0127]步骤908、判断第二原始信息的第二摘要和第二解密信息是否相同。
[0128]当第二原始信息的第二摘要和第二解密信息不相同时,第一 VNFC对第二 VNFC身份认证失败,两个VNFC间不建立通信连接;
[0129]当第二原始信息的第二摘要和第二解密信息相同时,第一 VNFC对第二 VNFC身份认证通过。即此时,第一 VNFC与第二 VNFC间互相身份认证通过,两个VNFC间可以建立安全的通信连接。
[0130]较佳的,在将第一 VNFC的专用密钥和第二 VNFC的专用密钥写入或发送至第一VNFC时,还可以将第二 VNFC的标识信息一并写入或发送至第一 VNFC,第二 VNFC的标识信息与第二 VNFC的专用密钥的对应关系存储于第一 VNFC中,以便后续在接收到第二 VNFC发送的认证请求时,根据第二原始信息中的第二 VNFC的标识信息快速获取到第二 VNFC的专用密钥。
[0131]相应的,在将第一 VNFC的专用密钥和第二 VNFC的专用密钥写入或发送至第二VNFC时,还可以将第一 VNFC的标识信息一并写入或发送至第二 VNFC,第一 VNFC的标识信息与第一 VNFC的专用密钥的对应关系存储于第二 VNFC中,以便后续在接收到第一 VNFC发送的认证请求时,根据第一原始信息中的第一 VNFC的标识信息快速获取到第一 VNFC的专用密钥。
[0132]可见,采用本发明实施例提供的上述身份认证方法,可以在生成建立VNF所需的配置信息时,针对组成VNF的每个VNFC,生成专用密钥,将该VNFC的专用密钥置于该VNFC以及需要与该VNFC进行通信的VNFC,当然,需要与该VNFC进行通信的VNFC的数量可以为一个,也可以为多个。通过VNFC间校验专用密钥匹配,可以实现VNFC间的身份认证。
[0133]图8所示的身份认证方法在NFV系统中的具体实现可以参见前述具体实施例1-4,本发明在此不再赘述。
[0134]综上,采用本发明实施例提供的方法,可以实现身份凭据的自动置入,不需要通过手工配置来实现身份凭据的置入,因此,效率较高;并且,VNF中VNFC间的通信关系是动态变化的,采用本发明实施例提供的方法,无论VNFC间的通信关系如何变化,均可以自动进行VNFC间的身份认证,因此能够适应动态变化的VNF,并且可以利用现有的NFV系统,易于实现。
[0135]基于同一发明构思,根据本发明上述实施例提供的身份认证方法,相应地,本发明另一实施例还提供了一种身份认证装置,应用于NFV系统,该NFV系统包括VNF,该VNF包括第一 VNFC和第二 VNFC。例如,在一个实施例中,第一 VNFC为OMU-VNFC,第二 VNFC为SER-VNFC ;在另一个实施例中,第一 VNFC为SER-VNFC,第二 VNFC为OMU-VNFC ;在另一个实施例中,第一 VNFC为SER-VNFC,第二 VNFC为SER-VNFC。本发明实施例提供的身份认证装置可以利用现有NFV系统中的VNFM、EMS或NFVO实现。该身份认证装置结构示意图如图10所示,具体包括:
[0136]生成单元1001,用于生成第一 VNFC的公钥和私钥,以及第二 VNFC的公钥和私钥;
[0137]置入单元1002,用于将第一 VNFC的私钥和第二 VNFC的公钥写入或发送至第一VNFC,以及将第一 VNFC的公钥和第二 VNFC的私钥写入或发送至第二 VNFC ;其中,第一 VNFC的公钥和私钥以及第二 VNFC的公钥和私钥用于第一 VNFC和第二 VNFC进行身份认证。
[0138]进一步的,置入单元1002,具体用于在生成第一 VNFC时,将第一 VNFC的私钥和第二VNFC的公钥写入第一 VNFC ;或者当第一 VNFC为管理VNFC时,通过第一 VNFC的管理通信通道,将第一 VNFC的私钥和第二 VNFC的公钥发送至第一 VNFC。
[0139]进一步的,置入单元1002,具体用于在生成第二 VNFC时,将第一 VNFC的公钥和第二VNFC的私钥写入第二 VNFC ;或者当第二 VNFC为管理VNFC时,通过第二 VNFC的管理通信通道,将第一 VNFC的公钥和第二 VNFC的私钥发送至第二 VNFC。
[0140]较佳的,置入单元1002,还用于将第二 VNFC的标识信息写入或发送至第一 VNFC ;其中,第二 VNFC的标识信息与第二 VNFC的公钥的对应关系存储于第一 VNFC中。
[0141]进一步的,置入单元1002,还用于将第一 VNFC的标识信息写入或发送至第一VNFCo
[0142]具体的,生成单元1001可以由处理器实现,置入单元1002可以由输入输出接口实现,该输入输出接口可以包括写入器或发送器。
[0143]基于同一发明构思,根据本发明上述实施例提供的身份认证方法,相应地,本发明另一实施例还提供了一种身份认证装置,应用于NFV系统,该NFV系统包括VNF,该VNF包括第一 VNFC和第二 VNFC,该身份认证装置结构示意图如图11所示,具体包括:
[0144]生成单元1101,用于生成第一 VNFC的专用密钥,以及第二 VNFC的专用密钥;
[0145]置入单元1102,用于将第一 VNFC的专用密钥和第二 VNFC的专用密钥写入或发送至第一 VNFC,以及将第一 VNFC的专用密钥和第二 VNFC的专用密钥写入或发送至第二VNFC ;其中,第一 VNFC的专用密钥以及第二 VNFC的专用密钥用于第一 VNFC和第二 VNFC进行身份认证。
[0146]进一步的,置入单元1102,具体用于在生成第一 VNFC时,将第一 VNFC的专用密钥和第二 VNFC的专用密钥写入第一 VNFC ;或者当第一 VNFC为管理VNFC时,通过第一 VNFC的管理通信通道,将第一 VNFC的专用密钥和第二 VNFC的专用密钥发送至第一 VNFC。
[0147]进一步的,置入单元1102,具体用于在生成第二 VNFC时,将第一 VNFC的专用密钥和第二 VNFC的专用密钥写入第二 VNFC ;或者当第二 VNFC为管理VNFC时,通过第二 VNFC的管理通信通道,将第一 VNFC的专用密钥和第二 VNFC的专用密钥发送至第二 VNFC。
[0148]较佳的,置入单元1102,还用于将第二 VNFC的标识信息写入或发送至第一 VNFC ;其中,第二 VNFC的标识信息与第二 VNFC的对称密钥的对应关系存储于第一 VNFC中。
[0149]进一步的,置入单元1102,还用于将第一 VNFC的标识信息写入或发送至第一VNFCo
[0150]具体的,生成单元1101可以由处理器实现,置入单元1102可以由输入输出接口实现,该输入输出接口可以包括写入器或发送器。
[0151]综上所述,本发明实施例提供的方案,相比于现有技术,能够自动实现VNFC间的身份认证,效率较高,能够适应动态变化的VNF。
[0152]本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
[0153]本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过