收藏
下载资源 加入会员免费下载

云计算系统的安全验证方法及系统.pdf

上传人:龙脉 文档编号:14325747 上传时间:2024-01-17 格式:PDF 页数:17 大小:1.20MB
返回 下载 相关 举报
云计算系统的安全验证方法及系统.pdf_第1页
第1页 / 共17页
云计算系统的安全验证方法及系统.pdf_第2页
第2页 / 共17页
云计算系统的安全验证方法及系统.pdf_第3页
第3页 / 共17页
点击查看更多>>
资源描述

《云计算系统的安全验证方法及系统.pdf》由会员分享,可在线阅读,更多相关《云计算系统的安全验证方法及系统.pdf(17页珍藏版)》请在专利查询网上搜索。

1、(19)国家知识产权局(12)发明专利申请(10)申请公布号 (43)申请公布日 (21)申请号 202310882483.1(22)申请日 2023.07.19(71)申请人 北京云尚汇信息技术有限责任公司地址 100000 北京市丰台区南四环西路188号十六区19号楼9层101内723号 申请人 江苏鸿剑网络科技有限公司(72)发明人 陈寒俞璐(74)专利代理机构 广州华智创益知识产权代理有限公司 44568专利代理师 刘国敏(51)Int.Cl.H04L 9/40(2022.01)H04L 67/60(2022.01)(54)发明名称一种云计算系统的安全验证方法及系统(57)摘要本申请提。

2、供一种云计算系统的安全验证方法及系统,用以通过远程度量实现保障多网络场景下的业务安全。在方法中,针对IDC服务在多网络场景,如第三网络与第二网络签约且未与第一网络签约,如果第二网络中的业务实体向第一网络中的云计算管理实体请求业务,则云计算管理实体可以根据第二网络与第三网络签约,从而通过第三网络去验证业务实体,也即对业务实体发起远程度量,以便在业务实体可信的情况下为业务实体提供业务,保障IDC服务在多网络场景下的服务安全。权利要求书2页 说明书12页 附图2页CN 116614312 A2023.08.18CN 116614312 A1.一种云计算系统的安全验证方法,其特征在于,所述方法包括:云。

3、计算管理实体从业务实体获取所述业务实体的业务请求,其中,所述云计算管理实体位于第一网络,所述业务实体位于第二网络;所述云计算管理实体向验证实体发送验证请求,其中,所述验证实体位于所述第二网络,所述验证请求用于请求所述验证实体对所述业务实体发起可信验证;所述验证实体根据所述验证请求,通过第三网络确定所述业务实体的可信验证结果,其中,所述第三网络是与所述第二网络签约且未与所述第一网络签约的网络,所述可信验证结果用于表征所述业务实体是否可信;所述验证实体向所述云计算管理实体发送所述可信验证结果;在所述业务实体可信的情况下,所述云计算管理实体根据所述业务请求,为所述业务实体提供业务。2.根据权利要求1。

4、所述的方法,其特征在于,所述验证实体根据所述验证请求,通过第三网络确定所述业务实体的可信验证结果,包括:所述验证实体根据所述验证请求,通过所述第三网络确定所述第二网络是否为可信的网络;在所述第二网络为不可信的网络的情况下,所述验证实体通过所述第三网络获得所述业务实体的可信验证结果;或者,在所述第二网络为可信的网络的情况下,所述验证实体通过所述第二网络获得所述业务实体的可信验证结果。3.根据权利要求2所述的方法,其特征在于,所述验证实体通过所述第三网络获得所述业务实体的可信验证结果,包括:所述验证实体请求所述第三网络中的度量实体对所述业务实体进行可信度量;所述验证实体从所述第三网络中的度量实体获。

5、得所述业务实体的第一可信证据,其中,所述第一可信证据是所述第三网络中的度量实体通过对所述业务实体进行可信度量得到的;所述验证实体根据所述第一可信证据,确定所述业务实体的可信验证结果。4.根据权利要求3所述的方法,其特征在于,所述方法还包括:所述验证实体向所述第二网络中的度量实体发送所述第一可信证据;所述验证实体从所述第二网络中的度量实体获得所述业务实体的第二可信证据,其中,所述第二可信证据是所述第二网络中的度量实体根据所述第一可信证据对所述业务实体进行可信度量得到的可信证据;相应的,所述验证实体根据所述第一可信证据,确定所述业务实体的可信验证结果,包括:所述验证实体根据所述第一可信证据和所述第。

6、二可信证据,确定所述业务实体的可信验证结果。5.根据权利要求4所述的方法,其特征在于,所述第二可信证据是所述第二网络中的度量实体对所述业务实体进行可信度量得到的且在度量证据阈值范围内的可信证据,所述度量证据阈值是所述第二网络中的度量实体根据所述第一可信证据确定的。6.根据权利要求2所述的方法,其特征在于,所述验证实体通过所述第二网络获得所述业务实体的可信验证结果,包括:权利要求书1/2 页2CN 116614312 A2所述验证实体请求所述第二网络中的度量实体对所述业务实体进行可信度量;所述验证实体从所述第二网络中的度量实体获得所述业务实体的第三可信证据,其中,所述第三可信证据是所述第二网络中。

7、的度量实体通过对所述业务实体进行可信度量得到的可信证据;所述验证实体根据所述第三可信证据,确定所述业务实体的可信验证结果。7.根据权利要求6所述的方法,其特征在于,所述方法还包括:所述验证实体向所述第三网络中的度量实体发送所述第三可信证据;所述验证实体从所述第三网络中的度量实体获得所述业务实体的第四可信证据,其中,所述第四可信证据是所述第三网络中的度量实体根据所述第三可信证据对所述业务实体进行可信度量得到的可信证据;相应的,所述验证实体根据所述第三可信证据,确定所述业务实体的可信验证结果,包括:所述验证实体根据所述第三可信证据和所述第四可信证据,确定所述业务实体的可信验证结果。8.根据权利要求。

8、7所述的方法,其特征在于,所述第四可信证据是所述第二网络中的度量实体对所述业务实体进行可信度量得到的且在度量证据阈值范围内的可信证据,所述度量证据阈值是所述第三网络中的度量实体根据所述第三可信证据确定的。9.根据权利要求28中任一项所述的方法,其特征在于,所述验证实体根据所述验证请求,通过所述第三网络确定所述第二网络是否为可信的网络,包括:所述验证实体根据所述验证请求,请求所述第三网络中的度量实体对所述第二网络进行可信度量;所述验证实体从所述第三网络中的度量实体获得所述第二网络的可信证据,其中,所述第二网络的可信证据是所述第三网络中的度量实体通过对所述第二网络进行可信度量得到的;所述验证实体根。

9、据所述第二网络的可信证据,确定所述第二网络是否为可信的网络。10.一种云计算系统的安全验证系统,其特征在于,所述系统包括:云计算管理实体,用于从业务实体获取所述业务实体的业务请求,其中,所述云计算管理实体位于第一网络,所述业务实体位于第二网络;所述云计算管理实体,还用于向验证实体发送验证请求,其中,所述验证实体位于所述第二网络,所述验证请求用于请求所述验证实体对所述业务实体发起可信验证;所述验证实体,用于根据所述验证请求,通过第三网络确定所述业务实体的可信验证结果,其中,所述第三网络是与所述第二网络签约且未与所述第一网络签约的网络,所述可信验证结果用于表征所述业务实体是否可信;所述验证实体,还。

10、用于向所述云计算管理实体发送所述可信验证结果;在所述业务实体,还用于可信的情况下,所述云计算管理实体根据所述业务请求,为所述业务实体提供业务。权利要求书2/2 页3CN 116614312 A3一种云计算系统的安全验证方法及系统技术领域0001本申请涉及云计算技术领域,尤其涉及一种云计算系统的安全验证方法及系统。背景技术0002目前,互联网数据中心(Internet Data Center,IDC)能够作为云提供云服务,也即IDC服务的云计算。IDC服务可以部署网络功能虚拟化(network functions virtualization,NFV)架构,用以对请求服务的实体进行可信度量,以保。

11、障服务安全。例如,NFV架构下的云管系统可以根据业务的需求,通过度量实体对网络中的设备,如网元、实体、或功能发起可信度量,以验证网络中的设备当前是否可信,从而保证业务安全。0003然而,IDC服务在未来可能会面向多网络,如何保障IDC服务在多网络场景下的服务安全是目前研究的热点问题。发明内容0004本申请实施例提供一种云计算系统的安全验证方法及系统,用以通过远程度量实现保障IDC服务在多网络场景下的服务安全。0005为达到上述目的,本申请采用如下技术方案:0006第一方面,本申请实施例提供了一种云计算系统的安全验证方法,该方法包括:云计算管理实体从业务实体获取业务实体的业务请求,其中,云计算管。

12、理实体位于第一网络,业务实体位于第二网络;云计算管理实体向验证实体发送验证请求,其中,验证实体位于第二网络,验证请求用于请求验证实体对业务实体发起可信验证;验证实体根据验证请求,通过第三网络确定业务实体的可信验证结果,其中,第三网络是与第二网络签约且未与第一网络签约的网络,可信验证结果用于表征业务实体是否可信;验证实体向云计算管理实体发送可信验证结果;在业务实体可信的情况下,云计算管理实体根据业务请求,为业务实体提供业务。0007基于第一方面所述的方法可知,针对IDC服务在多网络场景,如第三网络与第二网络签约且未与第一网络签约,如果第二网络中的业务实体向第一网络中的云计算管理实体请求业务,则云。

13、计算管理实体可以根据第二网络与第三网络签约,从而通过第三网络去验证业务实体,也即对业务实体发起远程度量,以便在业务实体可信的情况下为业务实体提供业务,保障IDC服务在多网络场景下的服务安全。0008一种可能的设计方案中,验证实体根据验证请求,通过第三网络确定业务实体的可信验证结果,包括:验证实体根据验证请求,通过第三网络确定第二网络是否为可信的网络;在第二网络为不可信的网络的情况下,验证实体通过第三网络获得业务实体的可信验证结果;或者,在第二网络为可信的网络的情况下,验证实体通过第二网络获得业务实体的可信验证结果,以避免因通过不可信的网络发起验证而导致可信验证失败。0009可选地,验证实体通过。

14、第三网络获得业务实体的可信验证结果,包括:验证实体请求第三网络中的度量实体对业务实体进行可信度量;验证实体从第三网络中的度量实体获说明书1/12 页4CN 116614312 A4得业务实体的第一可信证据,其中,第一可信证据是第三网络中的度量实体通过对业务实体进行可信度量得到的;验证实体根据第一可信证据,确定业务实体的可信验证结果。可以看出,在远程度量的过程中,验证实体可以第三网络中的触发度量实体采集可信证据,如业务实体的第一可信证据,如此,验证实体仅验证可信证据即可,以降低负荷,提高度量效率。0010进一步的,第一方面所述的方法还可以包括:验证实体向第二网络中的度量实体发送第一可信证据;验证。

15、实体从第二网络中的度量实体获得业务实体的第二可信证据,其中,第二可信证据是第二网络中的度量实体根据第一可信证据对业务实体进行可信度量得到的可信证据。相应的,验证实体根据第一可信证据,确定业务实体的可信验证结果,包括:验证实体根据第一可信证据和第二可信证据,确定业务实体的可信验证结果。可以看出,在第二网络不可信的情况下,验证实体仍可以指示第二网络中的度量实体进行辅助度量,例如,第二网络中的度量实体可以在第一可信证据表征的范围内进行度量,以避免因第二网络的不可信而导致度量不准确。另外,通过第二网络中的度量实体进行辅助度量还可以进一步提高度量的准确度。0011进一步的,第二可信证据是第二网络中的度量。

16、实体对业务实体进行可信度量得到的且在度量证据阈值范围内的可信证据。度量证据阈值是第二网络中的度量实体根据第一可信证据确定的。例如,第二网络中的度量实体可以将第一可信证据中各个参数的数值确定为第二网络中的度量实体对业务实体进行度量的阈值,也即度量证据阈值。在对业务实体进行度量的过程中,如果第二网络中的度量实体采集的参数的数值超过其对应的阈值,则第二网络中的度量实体抛弃该参数,否则,保留该参数。这样,第二网络中的度量实体最终保留下的所有参数即为第二可信证据。0012可选地,验证实体通过第二网络获得业务实体的可信验证结果,包括:验证实体请求第二网络中的度量实体对业务实体进行可信度量;验证实体从第二网。

17、络中的度量实体获得业务实体的第三可信证据,其中,第三可信证据是第二网络中的度量实体通过对业务实体进行可信度量得到的可信证据;验证实体根据第三可信证据,确定业务实体的可信验证结果,如此,验证实体仅验证可信证据即可,以降低负荷,提高度量效率。0013进一步的,第一方面所述的方法还可以包括:验证实体向第三网络中的度量实体发送第三可信证据;验证实体从第三网络中的度量实体获得业务实体的第四可信证据,其中,第四可信证据是第三网络中的度量实体根据第三可信证据对业务实体进行可信度量得到的可信证据;相应的,验证实体根据第三可信证据,确定业务实体的可信验证结果,包括:验证实体根据第三可信证据和第四可信证据,确定业。

18、务实体的可信验证结果。可以看出,与上述情况类似,在第三网络不可信的情况下,验证实体仍可以指示第三网络中的度量实体进行辅助度量,例如,第三网络中的度量实体可以在第三可信证据表征的范围内进行度量,以避免因第三网络的不可信而导致度量不准确。另外,通过第三网络中的度量实体进行辅助度量还可以进一步提高度量的准确度。0014进一步的,第四可信证据是第二网络中的度量实体对业务实体进行可信度量得到的且在度量证据阈值范围内的可信证据。度量证据阈值是第三网络中的度量实体根据第三可信证据确定的。例如,第三网络中的度量实体可以将第三可信证据中各个参数的数值确定为第三网络中的度量实体对业务实体进行度量的阈值,也即度量证。

19、据阈值。在对业务实体进行度量的过程中,如果第三网络中的度量实体采集的参数的数值超过其对应的阈值,说明书2/12 页5CN 116614312 A5则第三网络中的度量实体抛弃该参数,否则,保留该参数。这样,第三网络中的度量实体最终保留下的所有参数即为第二可信证据。0015可选地,验证实体根据验证请求,通过第三网络确定第二网络是否为可信的网络,包括:验证实体根据验证请求,请求第三网络中的度量实体对第二网络进行可信度量;验证实体从第三网络中的度量实体获得第二网络的可信证据,其中,第二网络的可信证据是第三网络中的度量实体通过对第二网络进行可信度量得到的;验证实体根据第二网络的可信证据,确定第二网络是否。

20、为可信的网络。0016第二方面,本申请实施例提供了一种云计算系统,该系统包括:云计算管理实体,用于从业务实体获取业务实体的业务请求,其中,云计算管理实体位于第一网络,业务实体位于第二网络;云计算管理实体,还用于向验证实体发送验证请求,其中,验证实体位于第二网络,验证请求用于请求验证实体对业务实体发起可信验证;验证实体,用于根据验证请求,通过第三网络确定业务实体的可信验证结果,其中,第三网络是与第二网络签约且未与第一网络签约的网络,可信验证结果用于表征业务实体是否可信;验证实体,还用于向云计算管理实体发送可信验证结果;在业务实体,还用于可信的情况下,云计算管理实体根据业务请求,为业务实体提供业务。

21、。0017一种可能的设计方案中,验证实体,具体用于根据验证请求,通过第三网络确定第二网络是否为可信的网络;在第二网络为不可信的网络的情况下,验证实体,具体用于通过第三网络获得业务实体的可信验证结果;或者,在第二网络为可信的网络的情况下,验证实体,具体用于通过第二网络获得业务实体的可信验证结果。0018可选地,验证实体通过第三网络获得业务实体的可信验证结果,包括:验证实体请求第三网络中的度量实体对业务实体进行可信度量;验证实体从第三网络中的度量实体获得业务实体的第一可信证据,其中,第一可信证据是第三网络中的度量实体通过对业务实体进行可信度量得到的;验证实体根据第一可信证据,确定业务实体的可信验证。

22、结果。可以看出,在远程度量的过程中,验证实体可以第三网络中的触发度量实体采集可信证据,如业务实体的第一可信证据,如此,验证实体仅验证可信证据即可,以降低负荷,提高度量效率。0019进一步的,验证实体,还用于向第二网络中的度量实体发送第一可信证据,以及从第二网络中的度量实体获得业务实体的第二可信证据。其中,第二可信证据是第二网络中的度量实体根据第一可信证据对业务实体进行可信度量得到的可信证据。相应的,验证实体,具体用于根据第一可信证据和第二可信证据,确定业务实体的可信验证结果。0020进一步的,第二可信证据是第二网络中的度量实体对业务实体进行可信度量得到的且在度量证据阈值范围内的可信证据。度量证。

23、据阈值是第二网络中的度量实体根据第一可信证据确定的。0021可选地,验证实体,具体用于请求第二网络中的度量实体对业务实体进行可信度量;验证实体,具体用于从第二网络中的度量实体获得业务实体的第三可信证据。其中,第三可信证据是第二网络中的度量实体通过对业务实体进行可信度量得到的可信证据。验证实体,具体用于根据第三可信证据,确定业务实体的可信验证结果。0022进一步的,验证实体,还用于向第三网络中的度量实体发送第三可信证据,从第三网络中的度量实体获得业务实体的第四可信证据,其中,第四可信证据是第三网络中的度量实体根据第三可信证据对业务实体进行可信度量得到的可信证据。验证实体,具体用于说明书3/12 。

24、页6CN 116614312 A6根据第三可信证据和第四可信证据,确定业务实体的可信验证结果。0023进一步的,第四可信证据是第二网络中的度量实体对业务实体进行可信度量得到的且在度量证据阈值范围内的可信证据。度量证据阈值是第三网络中的度量实体根据第三可信证据确定的。0024可选地,验证实体,具体用于根据验证请求,请求第三网络中的度量实体对第二网络进行可信度量;验证实体,具体用于从第三网络中的度量实体获得第二网络的可信证据,其中,第二网络的可信证据是第三网络中的度量实体通过对第二网络进行可信度量得到的;验证实体,具体用于根据第二网络的可信证据,确定第二网络是否为可信的网络。0025其中,上述第二。

25、方面的技术效果可参考上述第一方面的相关介绍,在此不再赘述。0026第三方面,本申请实施例提供了一种计算机可读存储介质,所述存储介质上存储有程序代码,当所述程序代码被所述计算机运行时,执行如第一方面所述的方法。附图说明0027图1为本申请实施例提供的一种云计算系统的架构示意图;0028图2为本申请实施例提供的一种云计算系统的安全验证方法的流程图;0029图3为本申请实施例提供的一种网络实体的结构示意图。具体实施方式0030下面将结合附图,对本申请中的技术方案进行描述。0031请参阅图1,本申请实施例提供了一种云计算系统,该云计算系统可以包括:云计算管理实体、业务实体、验证实体和度量实体。0032。

26、云计算管理系统可以是网络功能虚拟化(network functions virtualization,NFV)架构下的管理系统。云计算管理实体可以部署在管理、自动化和网络编排(management and orchestration,MANO)中,例如云计算管理实体可以是MANO中的网络功能虚拟化编排器(network functions virtualization orchestrator,NFVO)、虚拟化基础架构管理(virtualized infrastructure management,VIM)、以及虚拟网络功能管理者(network functions virtualizati。

27、on manager,VNFM),或者也可以是NFVO、VIM或者VNFM中的功能。云计算管理实体可以位于第一网络。第一网络可以是管理域网络,或者第一网络也可以是业务网络,如公共陆地移动网(public land mobile network,PLMN),记为PLMN1。0033验证实体可以与云计算管理系统位于同一网络,也即第一网络。验证实体可以是NFV架构下的功能实体,也可以称为验证功能。验证功能主要用于对度量实体采集的可信证据进行验证,以确定被度量的设备是否可信。0034度量实体可以是多个,分别部署在不同的网络,如第一网络、第二网络,如PLMN2以及第三网络,如PLMN3。度量实体可以是N。

28、FV架构下的功能实体,也可以称为度量功能。验证功能主要用于对自身所属网络内的设备进行度量,也即从该被度量的设备上采集可信证据并返回给验证实体。0035业务实体可以位于第二网络。第二网络可以是与第一网络不同的业务网络,如PLMN2。业务实体可以是虚拟设备,如虚拟机(virtual machine,VM)或容器(container),或者其他任何可能的虚拟化功能实体,对此不做具体限定。或者,业务实体也可以是物理设说明书4/12 页7CN 116614312 A7备,如终端或网络设备。0036其中,终端为接入上述通信系统,且具有无线收发功能的终端或可设置于该终端的芯片或芯片系统。该终端设备也可以称为。

29、用户装置(user equipment,UE)、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。本申请的实施例中的终端设备可以是手机(mobile phone)、平板电脑(Pad)、带无线收发功能的电脑、虚拟现实(virtual reality,VR)终端设备、增强现实(augmented reality,AR)终端设备、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的。

30、无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端、车载终端、具有终端功能的RSU等。本申请的终端设备还可以是作为一个或多个部件或者单元而内置于车辆的车载模块、车载模组、车载部件、车载芯片或者车载单元,车辆通过内置的所述车载模块、车载模组、车载部件、车载芯片或者车载单元可以实施本申请提供的方法。0037网络设备可以为位于上述通信系统的网络侧,且具有无线收发功能的设备或可设置于该设备的芯片或芯片系统。该网络设备包括但不限于:无线保真(wireless fidelity,WiFi)。

31、系统中的接入点(access point,AP),如家庭网关、路由器、服务器、交换机、网桥等,演进型节点B(evolved Node B,eNB)、无线网络控制器(radio network controller,RNC)、节点B(Node B,NB)、基站控制器(base station controller,BSC)、基站收发台(base transceiver station,BTS)、家庭基站(例如,home evolved NodeB,或home Node B,HNB)、基带单元(baseband unit,BBU),无线中继节点、无线回传节点、传输点(transmission an。

32、d reception point,TRP或者transmission point,TP)等,还可以为5G,如,新空口(new radio,NR)系统中的gNB,或,传输点(TRP或TP),5G系统中的基站的一个或一组(包括多个天线面板)天线面板,或者,还可以为构成gNB或传输点的网络节点,如基带单元(BBU),或,分布式单元(distributed unit,DU)、具有基站功能的路边单元(road side unit,RSU)等。0038本申请实施例中,针对多网络场景,如第三网络与第二网络签约且未与第一网络签约,如果第二网络中的业务实体向第一网络中的云计算管理实体请求业务,则云计算管理实体。

33、可以根据第二网络与第三网络签约,从而通过第三网络去验证业务实体,也即对业务实体发起远程度量,以便在业务实体可信的情况下为业务实体提供业务,保障多网络场景下的业务安全。0039下面将结合方法,对上述云计算系统中各实体的交互进行详细说明。0040请参阅图2,本申请实施例提供了一种云计算系统的安全验证方法。该方法主要适用于云计算系统中各实体之间的交互。该方法的流程包括:0041S201,云计算管理实体从业务实体获取业务实体的业务请求。0042其中,业务请求可以携带业务实体的身份信息,如唯一设备标识,用以请求第一网络中的网元或设备,如接入和移动性管理功能(Access and Mobility Man。

34、agement Function,AMF)或会话管理功能(Session Management Function,SMF)等,为业务实体提供相应的业务,或者说服务,如接入服务、移动性管理服务、会话服务等,对此不做具体限定。0043业务实体可以在任何可能的时机向第一网络发送业务请求。此时,业务请求可以通过第一网络中的网元被传递到云计算管理实体。云计算管理实体可以根据业务实体的身说明书5/12 页8CN 116614312 A8份信息,确定业务实体是否为可信的设备,如确定本地是否保存有业务实体的历史可信验证结果。如果云计算管理实体保存有业务实体的历史可信验证结果,且历史可信验证结果指示业务实体可信。

35、,则执行S205,否则,执行云计算管理实体确定需要对业务实体发起可信验证,继续指示S202。0044S202,云计算管理实体向验证实体发送验证请求。0045在验证实体能够识别业务实体直接提供的信息的情况下,验证请求可以直接携带业务实体的身份信息,用以请求验证实体对业务实体发起可信验证。当然,如果验证实体不能够识别业务实体直接提供的信息,则云计算管理实体可以将业务实体的身份信息转换为验证实体能够识别的信息,然后携带到验证请求中。此外,验证请求还可以携带用于标识第二网络的信息,如第二网络的标识,具体可以是PLMN2 ID。0046S203,验证实体根据验证请求,通过第三网络确定业务实体的可信验证结。

36、果。0047第三网络可以是与第二网络签约且未与第一网络签约的网络。可信验证结果可以用于表征业务实体是否可信。例如,可信验证结果可以是1个比特的信元,其两种取值用于表征表征业务实体是否可信。0048其中,验证实体可以根据验证请求,通过第三网络确定第二网络是否为可信的网络。例如,验证实体可以根据第二网络的标识,确定验证实体本地是否保存有第二网络的历史可信验证结果。如果验证实体本地保存有第二网络的历史可信验证结果,则验证实体据此确定第二网络是否为可信的网络,否则,验证实体可以请求第三网络中的度量实体对第二网络进行可信度量。此时,第三网络中的度量实体可以对第二网络进行可信度量。例如,第三网络中的度量实。

37、体可以通过第二网络开发的接口网元,如网络开放功能(Network Exposure Fuction,NEF)采集第二网络的可信证据,也即,第二网络的可信证据是第三网络中的度量实体通过对第二网络进行可信度量得到的,如第二网络内的设备或网元触发告警的次数、第二网络与其他网元之间的数据传输量等。如此,验证实体从第三网络中的度量实体获得第一网络的可信证据,从而根据第二网络的可信证据,确定第二网络是否为可信的网络。例如,验证实体可以将第二网络的可信证据中每种参数的取值与该参数对应的阈值匹配,如果与阈值不匹配的参数数量大于阈值数量,则第二网络为不可信的网络,否则,第二网络为可信的网络。0049一种可能的实。

38、现方式中,在第二网络为不可信的网络的情况下,验证实体通过第三网络获得业务实体的可信验证结果,以避免因通过不可信的网络发起验证而导致可信验证失败。0050方式1:验证实体可以请求第三网络中的度量实体对业务实体进行可信度量,以从第三网络中的度量实体获得业务实体的第一可信证据。其中,第一可信证据是第三网络中的度量实体通过对业务实体进行可信度量得到的。比如,第一可信证据可以是业务实体的运行证据,如业务实体的启动顺序、业务实体的内存调用顺序等,和/或,第一可信证据可以也是业务实体的通信证据,如业务实体的通信数据总量、业务实体的实时通信数据量等。如此,验证实体根据第一可信证据,确定业务实体的可信验证结果。。

39、比如,验证实体可以将第一可信证据中每种参数的取值与该参数对应的阈值匹配,如果与阈值不匹配的参数数量大于阈值数量,则确定业务实体的可信验证结果为指示业务实体不可信,否则,业务实体的可信验证结果为指示业务实体可信。说明书6/12 页9CN 116614312 A90051可以看出,在远程度量的过程中,验证实体可以第三网络中的触发度量实体采集可信证据,如业务实体的第一可信证据,如此,验证实体仅验证可信证据即可,以降低负荷,提高度量效率。0052方式2:与上述方式1类似,在验证实体通过第三网络中的度量实体获得第一可信证据的情况下,验证实体还可以向第二网络中的度量实体发送第一可信证据。如此,第二网络中的。

40、度量实体能够根据第一可信证据,对业务实体发起度量,以获得业务实体的第二可信证据。比如,第二网络中的度量实体能够根据第一可信证据,确定针对业务实体的度量证据阈值,如将第一可信证据中各个参数的数值确定为第二网络中的度量实体对业务实体进行度量的阈值,也即度量证据阈值。又比如,针对业务实体的度量证据阈值还可以参考第二网络中的度量实体与第三网络中的度量实体的层级关系。如果第二网络中的度量实体的层级低于第三网络中的度量实体的层级,也即,第二网络中的度量实体的权限更高,则第二网络中的度量实体通常可以将第一可信证据中各个参数的数值确定为度量证据阈值,否则,第二网络中的度量实体可以参考自身的策略,对第一可信证据。

41、的取值进行一定调整,从而得到度量证据阈值。之后,在对业务实体进行度量的过程中,如果第二网络中的度量实体采集的参数的数值超过其对应的阈值,则第二网络中的度量实体抛弃该参数,否则,保留该参数。这样,第二网络中的度量实体最终保留下的所有参数即为第二可信证据。验证实体可以从第二网络中的度量实体获得业务实体的第二可信证据。如此,验证实体可以根据第一可信证据和第二可信证据,确定业务实体的可信验证结果。比如,比如,验证实体可以将第二可信证据中每种参数的取值与该参数对应的阈值匹配,如果与阈值不匹配的参数数量大于阈值数量,和/或,第二可信证据中的参数数量小于阈值数量,则确定业务实体的可信验证结果为指示业务实体不。

42、可信,否则,业务实体的可信验证结果为指示业务实体可信。0053可以看出,在第二网络不可信的情况下,验证实体仍可以指示第二网络中的度量实体进行辅助度量,例如,第二网络中的度量实体可以在第一可信证据表征的范围内进行度量,以避免因第二网络的不可信而导致度量不准确。另外,通过第二网络中的度量实体进行辅助度量还可以进一步提高度量的准确度。0054或者,另一种可能的实现方式中,在第二网络为可信的网络的情况下,验证实体通过第二网络获得业务实体的可信验证结果,以避免因通过不可信的网络发起验证而导致可信验证失败。0055方式A:验证实体可以请求第二网络中的度量实体对业务实体进行可信度量,以从第二网络中的度量实体。

43、获得业务实体的第三可信证据。其中,第三可信证据是第二网络中的度量实体通过对业务实体进行可信度量得到的可信证据。验证实体根据第三可信证据,确定业务实体的可信验证结果,如此,验证实体仅验证可信证据即可,以降低负荷,提高度量效率。0056可以理解,方式A的具体实现与上述方式1类似,可以参考理解,不再赘述。0057方式B:与上述方式A类似,在验证实体通过第二网络中的度量实体获得第三可信证据的情况下,验证实体向第三网络中的度量实体发送第三可信证据,以从第三网络中的度量实体获得业务实体的第四可信证据。其中,第四可信证据是第三网络中的度量实体根据第三可信证据对业务实体进行可信度量得到的可信证据。例如,第四可。

44、信证据是第二网络中的度量实体对业务实体进行可信度量得到的且在度量证据阈值范围内的可信证据。度说明书7/12 页10CN 116614312 A10量证据阈值是第三网络中的度量实体根据第三可信证据确定的。例如,第三网络中的度量实体可以将第三可信证据中各个参数的数值确定为第三网络中的度量实体对业务实体进行度量的阈值,也即度量证据阈值。在对业务实体进行度量的过程中,如果第三网络中的度量实体采集的参数的数值超过其对应的阈值,则第三网络中的度量实体抛弃该参数,否则,保留该参数。这样,第三网络中的度量实体最终保留下的所有参数即为第二可信证据。如此,验证实体可以根据第三可信证据和第四可信证据,确定业务实体的。

45、可信验证结果。可以看出,与上述情况类似,在第三网络不可信的情况下,验证实体仍可以指示第三网络中的度量实体进行辅助度量,例如,第三网络中的度量实体可以在第三可信证据表征的范围内进行度量,以避免因第三网络的不可信而导致度量不准确。另外,通过第三网络中的度量实体进行辅助度量还可以进一步提高度量的准确度。0058可以理解,方式B的具体实现与上述方式2类似,可以参考理解,不再赘述。0059S204,验证实体向云计算管理实体发送业务实体的可信验证结果。0060S205,在业务实体可信的情况下,云计算管理实体根据业务请求,为业务实体提供业务。0061可以理解,上述S201S205仅为一种可能的方案,其也可以。

46、被其他方案所替换。例如,云计算管理实体也可以根据第二网络与第三网络的关系,确定对哪一个网络发起可信验证。如果第三网络包含第二网络,比如第三网络为私网,第二网络为私网中的子网,则云计算管理实体可以请求验证实体对第三网络发起可信验证。如果通过可信验证确定第三网络可信,则第二网络可信,以及第二网络中的业务实体也可信,也即云计算管理实体无需请求验证实体再对业务实体进行可信验证。如果通过可信验证确定第三网络不可信,则需要进一步对第二网络进行可信验证。如果通过可信验证确定第二网络可信,则第二网络中的业务实体也可信,也即云计算管理实体也无需请求验证实体再对业务实体进行可信验证,否则,云计算管理实体需要请求验。

47、证实体再对业务实体进行可信验证。0062综上,针对IDC服务在多网络场景,如第三网络与第二网络签约且未与第一网络签约,如果第二网络中的业务实体向第一网络中的云计算管理实体请求业务,则云计算管理实体可以根据第二网络与第三网络签约,从而通过第三网络去验证业务实体,也即对业务实体发起远程度量,以便在业务实体可信的情况下为业务实体提供业务,保障IDC服务在多网络场景下的服务安全。0063根据上述方法实施例可知,在本实施例提供的一种云计算系统中:0064云计算管理实体,用于从业务实体获取业务实体的业务请求,其中,云计算管理实体位于第一网络,业务实体位于第二网络;云计算管理实体,还用于向验证实体发送验证请。

48、求,其中,验证实体位于第二网络,验证请求用于请求验证实体对业务实体发起可信验证;验证实体,用于根据验证请求,通过第三网络确定业务实体的可信验证结果,其中,第三网络是与第二网络签约且未与第一网络签约的网络,可信验证结果用于表征业务实体是否可信;验证实体,还用于向云计算管理实体发送可信验证结果;在业务实体,还用于可信的情况下,云计算管理实体根据业务请求,为业务实体提供业务。0065一种可能的设计方案中,验证实体,具体用于根据验证请求,通过第三网络确定第二网络是否为可信的网络;在第二网络为不可信的网络的情况下,验证实体,具体用于通过第三网络获得业务实体的可信验证结果;或者,在第二网络为可信的网络的情。

49、况下,验证实说明书8/12 页11CN 116614312 A11体,具体用于通过第二网络获得业务实体的可信验证结果。0066可选地,验证实体通过第三网络获得业务实体的可信验证结果,包括:验证实体请求第三网络中的度量实体对业务实体进行可信度量;验证实体从第三网络中的度量实体获得业务实体的第一可信证据,其中,第一可信证据是第三网络中的度量实体通过对业务实体进行可信度量得到的;验证实体根据第一可信证据,确定业务实体的可信验证结果。可以看出,在远程度量的过程中,验证实体可以第三网络中的触发度量实体采集可信证据,如业务实体的第一可信证据,如此,验证实体仅验证可信证据即可,以降低负荷,提高度量效率。00。

50、67进一步的,验证实体,还用于向第二网络中的度量实体发送第一可信证据,以及从第二网络中的度量实体获得业务实体的第二可信证据。其中,第二可信证据是第二网络中的度量实体根据第一可信证据对业务实体进行可信度量得到的可信证据。相应的,验证实体,具体用于根据第一可信证据和第二可信证据,确定业务实体的可信验证结果。0068进一步的,第二可信证据是第二网络中的度量实体对业务实体进行可信度量得到的且在度量证据阈值范围内的可信证据。度量证据阈值是第二网络中的度量实体根据第一可信证据确定的。0069可选地,验证实体,具体用于请求第二网络中的度量实体对业务实体进行可信度量;验证实体,具体用于从第二网络中的度量实体获。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 电学 > 电通信技术


copyright@ 2017-2020 zhuanlichaxun.net网站版权所有
经营许可证编号:粤ICP备2021068784号-1