本發(fā)明提供一種虛擬客戶端設備的完整性認證方法及裝置，該方法包括：SD?WAN控制器向虛擬客戶端設備發(fā)送完整性挑戰(zhàn)信令；接收虛擬客戶端設備發(fā)送的第一完整性度量列表，第一完整性度量列表由虛擬客戶端設備利用完整性度量體系結(jié)構(gòu)生成并利用虛擬可信計算芯片簽名；根據(jù)第一完整性度量列表對虛擬客戶端設備進行完整性認證；若虛擬客戶端設備的完整性認證通過，向虛擬客戶端設備發(fā)送指示信息，指示信息用于指示虛擬客戶端設備所在的物理客戶端設備的可信性。本發(fā)明中，由SD?WAN控制器對虛擬客戶端設備進行完整性認證，能夠確保虛擬客戶端設備的虛擬操作系統(tǒng)沒有被篡改，確保其行為的預期性，提高系統(tǒng)的安全性。

技術(shù)領(lǐng)域

本發(fā)明實施例涉及信息安全技術(shù)領(lǐng)域，尤其涉及一種虛擬客戶端設備的完整性認證方法及裝置。

背景技術(shù)

SD-WAN(Software Defined WAN，軟件定義廣域網(wǎng))，是將SDN(Software DefinedNetwork，軟件定義網(wǎng)絡)技術(shù)應用到廣域網(wǎng)場景中所形成的一種服務。這種服務用于連接廣闊地理范圍的企業(yè)網(wǎng)絡、數(shù)據(jù)中心、互聯(lián)網(wǎng)應用及云服務，旨在幫助用戶降低廣域網(wǎng)的開支(成本低廉)和提高網(wǎng)絡連接靈活性。通過軟件定義的方式，提供智能選路，部署便捷，維護簡單的廣域網(wǎng)絡。

CPE(Customer Premise Equipment，客戶端設備)是SD-WAN的關(guān)鍵設備，該設備部署在用戶側(cè)，為用戶提供基于軟件定義的虛擬廣域網(wǎng)服務。現(xiàn)有情況下，SD-WAN中的專用CPE設備正在向虛擬CPE轉(zhuǎn)變。專用CPE設備雖然易于部署但是存在著許多缺點。例如，設備功能無法更新、缺乏靈活性，不同的網(wǎng)絡功能需要多種網(wǎng)絡設備實現(xiàn)，導致用戶側(cè)設備繁多，成本上升。虛擬CPE采用通用的白盒硬件+虛擬化的方式實現(xiàn)各種網(wǎng)絡功能。在虛擬CPE中，網(wǎng)絡功能被抽象成為模塊化的軟件，并在標準硬件平臺上部署，向用戶提供更靈活的服務。虛擬CPE可提供多樣化的功能，如路由、網(wǎng)絡地址轉(zhuǎn)換、VPN(Virtual Private Network，虛擬專用網(wǎng)絡)、防火墻等。

在這種趨勢下，承載虛擬CPE的通用設備以及其系統(tǒng)的安全性將變得至關(guān)重要。隨著軟件系統(tǒng)的復雜化，虛擬CPE的暴露面也越來越多，其安全性也將受到挑戰(zhàn)。一旦虛擬CPE受到安全攻擊，整個SD-WAN網(wǎng)絡的安全性將無法得到保障。

發(fā)明內(nèi)容

本發(fā)明實施例提供一種虛擬客戶端設備的完整性認證方法及裝置，用于解決目前SD-WAN架構(gòu)下的虛擬CPE的安全性無法保障的問題。

為了解決上述技術(shù)問題，本發(fā)明是這樣實現(xiàn)的：

第一方面，本發(fā)明實施例提供了一種虛擬客戶端設備的完整性認證方法，由SD-WAN控制器執(zhí)行，包括：

接收物理客戶端設備發(fā)送的其創(chuàng)建的虛擬客戶端設備的身份信息，所述身份信息由所述物理客戶端設備采用其創(chuàng)建的身份驗證密鑰進行簽名；

根據(jù)所述身份信息，向所述虛擬客戶端設備發(fā)送完整性挑戰(zhàn)信令；

接收所述虛擬客戶端設備發(fā)送的第一完整性度量列表，所述第一完整性度量列表由所述虛擬客戶端設備利用完整性度量體系結(jié)構(gòu)生成并利用虛擬可信計算芯片簽名；

根據(jù)所述第一完整性度量列表對所述虛擬客戶端設備進行完整性認證；

若所述虛擬客戶端設備的完整性認證通過，向所述虛擬客戶端設備發(fā)送指示信息，所述指示信息用于指示所述虛擬客戶端設備所在的物理客戶端設備的可信性。

可選的，接收物理客戶端設備發(fā)送的其創(chuàng)建的虛擬客戶端設備的身份信息之前還包括：

向所述物理客戶端設備發(fā)送完整性挑戰(zhàn)信令；

接收所述物理客戶端設備發(fā)送的第二完整性度量列表，所述第二完整性度量列表由所述物理客戶端設備利用完整性度量體系結(jié)構(gòu)生成并利用可信計算芯片簽名；