[发明专利]基于有序聚合数字签名的服务链完整性检测方法、装置及介质

说明书

本发明实施例公开了基于有序聚合数字签名的服务链完整性检测方法、装置及介质；该方法包括：生成身份基加密参数；根据所述服务链中各服务节点的身份信息利用所述身份基加密参数生成各服务节点对应的私钥和签名构造参数；将各服务节点对应的私钥和签名构造参数分发至对应的服务节点；生成包含有初始数字签名的探针数据包，并将所述探针数据包发送至所述服务链的入口分类器；接收由所述服务链的出口分类器回传的包含有更新完毕的数字签名的探针数据包；根据预设的验证参数对包含有更新完毕的数字签名的探针数据包进行验证，并基于验证结果确定所述服务链的完整性。

技术领域

本发明实施例涉及网络安全技术领域，尤其涉及一种基于有序聚合数字签名的服务链完整性检测方法、装置及介质。

背景技术

服务链是保障网络服务的业务流量、按照用户的业务类别和业务逻辑要求有秩序地穿过一系列虚拟网元的技术。在软件定义网络(SDN，Software Defined Networking)以及网络功能虚拟化(NFV，Network Function Virtualization)等技术的赋能下，服务链极大地简化了云计算基础服务设施中网络服务的创建、部署以及管理，大幅降低网络服务提供商的资本支出(CAPEX)和运营支出(OPEX)，因此近年来受到学术界、工业界的广泛关注。

在云计算基础服务设施中实现服务链的方式有多种，例如：基于多协议标签交换(MPLS，Multiple Protocol Label Switch)协议的实现，基于分段路由(Segment Routing)协议的实现，基于网络服务头(NSH，Network Service Header)协议的实现等。

尽管各种服务链实现方案的运用能够极大地方便网络服务的创建管理，但由于SDN、NFV等各型虚拟化技术的引入，未来网络基础服务设施的网络攻击面变得比以往更大，从而造成运行在基础服务设施上的服务链饱受各型安全威胁的情况发生。当前攻击者可以利用服务链编排系统的潜在漏洞，绕过相关安全机制以破坏服务链的完整性，例如：用恶意服务节点替代服务链上合法服务节点，或者绕过某些履行安全功能的节点等。

发明内容

有鉴于此，本发明实施例期望提供一种基于有序聚合数字签名的服务链完整性检测方法、装置及介质；能够检测服务链的完整性，保障服务链的信息安全。

本发明实施例的技术方案是这样实现的：

第一方面，本发明实施例提供了一种基于有序聚合数字签名的服务链完整性检测方法，所述方法应用于在提供服务链的服务网络中的服务链控制实体，所述方法包括：

生成身份基加密参数；

根据所述服务链中各服务节点的身份信息利用所述身份基加密参数生成各服务节点对应的私钥和签名构造参数；

将各服务节点对应的私钥和签名构造参数分发至对应的服务节点；

生成包含有初始数字签名的探针数据包，并将所述探针数据包发送至所述服务链的入口分类器，以使得所述探针数据包在所述服务链中所经历的各服务节点依次利用对应的私钥和签名构造参数更新所述探针数据包中的数字签名；

接收由所述服务链的出口分类器回传的包含有更新完毕的数字签名的探针数据包；

根据预设的验证参数对包含有更新完毕的数字签名的探针数据包进行验证，并基于验证结果确定所述服务链的完整性。

第二方面，本发明实施例提供了一种基于有序聚合数字签名的服务链完整性检测方法，所述方法应用于在提供服务链的服务网络中的服务节点，所述方法包括：

接收由所述服务网络中的服务链控制实体发送的私钥和签名构造参数；

接收处于所述服务链中的上一级网元发送的探针数据包；