可信網(wǎng)絡(luò)功能虛擬化關(guān)鍵技術(shù)研究.pdf

1、本文致力于研究可信網(wǎng)絡(luò)功能虛擬化(NFV，Network Function Virtualisation)的關(guān)鍵技術(shù)?？尚诺腘FV技術(shù)主要體現(xiàn)在兩個(gè)方面，一個(gè)是基于TPM(Trusted Platform Module)的可信NFV架構(gòu)，另一個(gè)就是虛擬網(wǎng)絡(luò)功能(VNF，Virtualized Network Function)模塊之間的可信認(rèn)證機(jī)制?；赥PM的可信NFV架構(gòu)保證了NFV架構(gòu)中組件的可信，而VNF之間的可信認(rèn)證機(jī)制保證了

2、VNF的通信安全。
　　基于TPM的可信NFV架構(gòu)由硬件TPM可信鏈、虛擬TPM可信鏈以及TPM遠(yuǎn)程證明服務(wù)組成。在整個(gè)可信NFV架構(gòu)中，虛擬TPM的安全性改進(jìn)是關(guān)鍵。Xen是一種虛擬域管理組件，負(fù)責(zé)使用虛擬化層虛擬出來的虛擬化資源，而Xen的虛擬域架構(gòu)包括特權(quán)域Domain0和非特權(quán)域Domain U，虛擬TPM就運(yùn)行在Xen的Domam0中，由于Domain0中的特權(quán)濫用，運(yùn)行在Domain0中的虛擬TPM的安全得不到保證。為

3、了解決虛擬TPM存在的安全隱患，本文從兩個(gè)方面來改進(jìn)虛擬TPM運(yùn)行環(huán)境:
　　1)改變Xen中Domain0的特權(quán)域。通過對(duì)Domain0進(jìn)行解耦，將Domain0分離成單個(gè)獨(dú)立的小特權(quán)域，降低可能存在的特權(quán)濫用，同時(shí)獨(dú)立小特權(quán)域的合理使用可以提高系統(tǒng)的運(yùn)行效率。
　　2)改變虛擬TPM的運(yùn)行環(huán)境。將虛擬TPM以及虛擬TPM的管理組件單獨(dú)運(yùn)行在Stub Domain的虛擬機(jī)中，同時(shí)控制虛擬機(jī)的讀寫權(quán)限，從而提高虛擬TPM的安

4、全性。
　　基于上述安全性改進(jìn)，結(jié)合硬件TPM和虛擬TPM共同來實(shí)現(xiàn)完整的NFV可信架構(gòu)。TPM負(fù)責(zé)可信鏈上度量值的可信記錄和存儲(chǔ)，遠(yuǎn)程證明服務(wù)完成平臺(tái)的可信驗(yàn)證功能，這樣就實(shí)現(xiàn)了基于TPM的完整NFV可信架構(gòu)。
　　VNF之間的雙向認(rèn)證機(jī)制保證了VNF之間通信的安全性。對(duì)于頻繁交互的VNF來說，一個(gè)安全高效的認(rèn)證機(jī)制是必要的。本文基于NFV多租戶多管理域的特點(diǎn)，提出了基于公鑰證書的跨域認(rèn)證機(jī)制以及基于哈希鏈的域內(nèi)認(rèn)證機(jī)制。

5、
　　1)對(duì)于域內(nèi)的VNF雙向認(rèn)證，使用基于哈希鏈的輕量級(jí)認(rèn)證機(jī)制。利用哈希鏈的單向性特點(diǎn)來實(shí)現(xiàn)認(rèn)證，同時(shí)哈希鏈的不可偽造性保證了認(rèn)證的安全性。使用ECC來實(shí)現(xiàn)域內(nèi)認(rèn)證機(jī)制的密鑰生成，提高了整個(gè)系統(tǒng)在密鑰生成上的效率。通過比對(duì)其他認(rèn)證機(jī)制，基于哈希鏈的認(rèn)證機(jī)制在保證安全性的前提下，有效提高了整個(gè)認(rèn)證機(jī)制的執(zhí)行效率。
　　2)對(duì)于跨域的VNF雙向認(rèn)證，使用公鑰證書來實(shí)現(xiàn)?？缬蛘J(rèn)證通過CA之間的證書頒發(fā)來實(shí)現(xiàn)，各個(gè)管理域的CA是