论文部分内容阅读
随着移动通信的快速发展,目前4G移动通信已经普及,并使得人们的生活越来越便利。然而,用户量及带宽需求的持续增长给通信网络带来巨大负担。为适应此增长,网络设备需要频繁地更新换代,而传统网络架构固定性强,不具有配置更新的灵活性和开发部署的开放性。因此,传统网络设备更新换代带来很大的更新成本且不易操作。同时,移动通信网络需要提供更高的数据传输速率以满足爆炸式增长的数据流量需求,并实现运营商对网络设备灵活部署的需要。考虑到传统网络架构的诸多弊端,5G得到广泛关注和火热研究。为克服现存的问题,5G网络的部署须满足便捷性和灵活性的要求。工业界和学术界普遍认为需要变革网络架构以解决以上问题,因此欧洲电信标准组织(ETSI)提出一种在标准化的x86服务器上应用IT虚拟化技术来部署和配置网络功能,从而实现网络设备灵活部署且软硬件分离的网络架构,即网络功能虚拟化(NFV,Network Function Virtualization)。作为新型网络架构和5G中的关键技术,NFV在工业界和学术领域得到高度关注和广泛研究。但是,因为NFV有着自身的虚拟化和开放灵活的特性,而且技术不成熟,没有完善的安全解决方案,这使得向5G移动通信中引入虚拟化这一革新性技术面临严重的安全与信任的问题和挑战。目前研究学者针对不同类型的NFV安全问题,提出了相应的解决方案,但还没有一种通用的全方位考虑NFV网络安全的方案。在NFV网络场景下,安全威胁主要来自平台自身和平台外部两个方面:一方面,NFV平台以及在NFV平台上运行的虚拟网络功能(VNFs,Virtualized Network Functions)是安全性和可信性难以保障。另一方面,在NFV的场景下,位于不同平台的虚拟化网络功能需要一起协作以形成一条网络功能服务链来完成一个完整的网络服务,因此跨平台多VNFs节点的协作具有很强的复杂性。为了实现安全可信的5G无线网络,需要确保平台之间的信任认证和可信协作。然而,目前还没有一个这样的机制来实现此安全需求。针对网络功能虚拟化中未解决的安全与信任问题,在本文中,我们设计了一种基于可信计算平台(TCP,Trusted Computing Platform)的用于NFV信任保障机制,以实现网络服务链中跨平台VNFs之间的信任认证与可信协作。我们借助可信计算的优势,以可信平台模块(TPM,Trusted Platform Module)作为可信根嵌入NFV平台中。NFV平台通过平台配置可信性挑战实现对其他平台的信任状态认证和信任关系初始化。通过在可信平台模块中嵌入信任保障策略实现对被挑战者的配置状态监测和限制,从而实现跨平台VNFs的信任保障。通过所提出的机制在VNFs协作过程中NFV平台可验证和保障远端平台的可信性。在该机制的实现中,我们首先搭建了NFV模拟平台,即在通用x86服务器上通过VMware搭建虚拟机进而在其上部署网络功能,然后我们在虚拟机中搭建可信计算环境,并在NFV模拟平台上实现信任保障机制。我们对方案实现进行了准确性、时间效率、资源开销等指标的性能评估与分析,评估结果表现出良好的效率和有效性。