基于NFV的远程可信网络连接方法、装置及系统与流程

基于nfv的远程可信网络连接方法、装置及系统
技术领域
1.本发明实施例涉及可信网络连接技术领域，特别涉及一种基于nfv（network function virtualization，网络功能虚拟化）的远程可信网络连接方法、装置及系统。


背景技术：

2.目前，是基于ssl(secure sockets layer 安全套接字协议) vpn（虚拟专用网络）的可信网络连接技术，实现安全远程访问企业内部敏感数据。ssl vpn能够保证只有身份合法的授权用户才能接入企业内部工控网络，且还能够对在线传输的敏感数据进行加密保护。但是，ssl vpn对接入的授权用户使用的设备安全并不关心，若授权用户使用的设备存在安全问题，则授权用户接入企业内部工控网络后，会给企业内部工控网络的安全带来威胁。
3.因此，亟需提供一种新的远程可信网络连接方法，以提高企业内部工控网络的安全性。


技术实现要素：

4.本发明实施例提供了一种基于nfv的远程可信网络连接方法、装置及系统，能够实现对发起远程可信网络连接请求的工控设备在接入本端工控网络前进行完整性度量，以保证远程接入的工控设备的安全性，提高本端所管理的工控网络的安全性。
5.第一方面，本发明实施例提供了一种基于nfv的远程可信网络连接方法，应用于远程可信网络连接系统中的可信网络连接架构，所述远程可信网络连接系统包括：nfv网络以及在nfv网络两端分别设置的可信网络连接架构；所述方法包括：接收对端可信网络连接架构通过所述nfv网络的网络切片映射来的远程网络访问请求；在基于该远程网络访问请求验证作为发起端的第一工控设备的身份合法后，基于映射该远程网络访问请求的网络切片，确定对端可信网络连接架构对所述第一工控设备进行的完整性度量结果；根据所述第一工控设备的完整性度量结果，确定是否允许所述第一工控设备的远程网络访问接入。
6.第二方面，本发明实施例还提供了一种基于nfv的远程可信网络连接装置，位于远程可信网络连接系统中的可信网络连接架构，所述远程可信网络连接系统包括：nfv网络以及在nfv网络两端分别设置的可信网络连接架构；所述装置包括：接收单元，用于接收对端可信网络连接架构通过所述nfv网络的网络切片映射来的远程网络访问请求；第一确定单元，用于在基于该远程网络访问请求验证作为发起端的第一工控设备的身份合法后，基于映射该远程网络访问请求的网络切片，确定对端可信网络连接架构对所述第一工控设备进行的完整性度量结果；
第二确定单元，用于根据所述第一工控设备的完整性度量结果，确定是否允许所述第一工控设备的远程网络访问接入。
7.第三方面，本发明实施例还提供了一种远程可信网络连接系统，包括：nfv网络以及在nfv网络两端分别设置的可信网络连接架构；所述可信网络连接架构包括如上实施例所述的基于nfv的远程可信网络连接装置；所述nfv网络，用于利用网络切片接收并传输其中一端可信网络连接架构映射来的远程网络访问请求，并将该远程网络访问请求映射至另一端的可信网络连接架构。
8.第四方面，本发明实施例还提供了一种电子设备，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器执行所述计算机程序时，实现本说明书任一实施例所述的方法。
9.第五方面，本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行本说明书任一实施例所述的方法。
10.本发明实施例提供了一种基于nfv的远程可信网络连接方法、装置及系统，由于在nfv网络的两端均设置了可信网络连接架构，在对端管理的工控设备向本端管理的工控设备发起远程网络访问请求时，不仅要对对端管理的工控设备的身份合法性进行验证，还需要对对端管理的工控设备进行完整性度量，以确保对端管理的工控设备的网络行为是合规的，由于nfv网络的网络切片之间的数据隔离的，不同的网络切片传输不同完整性度量结果的工控设备发起的远程网络访问请求，因此，通过映射远程网络访问请求的网络切片即可确定作为发起端的工控设备的完整性度量结果，并根据该完整性度量结果确定是否允许该工控设备的远程网络访问接入。可见，本方案，能够实现对端作为发起端的工控设备的身份验证和完整性度量。
附图说明
11.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
12.图1是本发明一实施例提供的一种基于nfv的远程可信网络连接方法流程图；图2是本发明一实施例提供的一种基于nfv的远程可信网络连接装置结构图；图3是本发明一实施例提供的另一种基于nfv的远程可信网络连接装置结构图；图4是本发明一实施例提供的一种基于nfv的远程可信网络连接系统结构图；图5是本发明一实施例提供的另一种基于nfv的远程可信网络连接方法流程图。
具体实施方式
13.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例，基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。
14.如前所述，ssl vpn只对接入的用户身份是否合法进行验证，对授权用户使用的设备安全并不关心。而tnc是一种对接入工控设备进行完整性度量的技术，以判断接入工控设备的安全性。但是，tnc技术一般是应用在局域网中，无法实现对远程接入的工控设备实现完整性度量。
15.本发明的发明构思在于：利用nfv网络的不同网络切片之间的数据隔离性，在nfv网络两端分别设置可信网络连接架构，以对各自管理的工控设备进行完整性度量，且基于完整性度量结果选择nfv网络的不同网络切片来传输相应工控设备发起的远程网络访问请求，从而使得另一端能够根据传输远程网络访问请求的网络切片确定对端可信网络连接架构对发起端工控设备的完整性度量结果，从而可实现远程网络访问请求的工控设备的完整性度量。
16.请参考图1，本发明实施例提供了一种基于nfv的远程可信网络连接方法，应用于远程可信网络连接系统的一端可信网络连接架构，所述远程可信网络连接系统包括：nfv网络以及在nfv网络两端分别设置的可信网络连接架构；该方法包括：步骤100，接收对端可信网络连接架构通过所述nfv网络的网络切片映射来的远程网络访问请求；步骤102，在基于该远程网络访问请求验证作为发起端的第一工控设备的身份合法后，基于映射该远程网络访问请求的网络切片，确定对端可信网络连接架构对所述第一工控设备进行的完整性度量结果；步骤104，根据所述第一工控设备的完整性度量结果，确定是否允许所述第一工控设备的远程网络访问接入。
17.本发明实施例中，由于在nfv网络的两端均设置了可信网络连接架构，在对端管理的工控设备向本端管理的工控设备发起远程网络访问请求时，不仅要对对端管理的工控设备的身份合法性进行验证，还需要对对端管理的工控设备进行完整性度量，以确保对端管理的工控设备的网络行为是合规的，由于nfv网络的网络切片之间的数据隔离的，不同的网络切片传输不同完整性度量结果的工控设备发起的远程网络访问请求，因此，通过映射远程网络访问请求的网络切片即可确定作为发起端的工控设备的完整性度量结果，并根据该完整性度量结果确定是否允许该工控设备的远程网络访问接入。可见，本方案，能够实现对端作为发起端的工控设备的身份验证和完整性度量，从而可以保证接入的工控设备的安全可信。
18.在本发明一个实施例中，nfv网络包括至少两个网络切片，不同网络切片用于传输不同的完整性度量结果所对应工控设备发起的远程网络访问请求。以nfv网络包括两个网络切片为例，则一个网络切片用于传输可信工控设备发起的远程网络访问请求，另一个网络切片用于传输不可信工控设备发起的远程网络访问请求。由于nfv网络的网络切片之间是数据隔离的，因此，通过不同网络切片传输不同完整性度量结果所对应工控设备发起的远程网络访问请求，使得可信工控设备和不可信工控设备之间数据隔离，互相不受影响，更加保证了传输过程中可信工控设备之间数据的安全性。
19.在可信网络连接架构中可以预先存储有网络切片和完整性度量结果的对应关系，且两端可信网络连接架构中存储的该对应关系是预先约定好的，利用该对应关系可以确定将工控设备发起的远程网络访问请求通过哪个网络切片进行传输，以及，利用该对应关系
可以确定通过某一个网络切片映射来的远程网络访问请求所对应发起端工控设备的完整性度量结果。
20.具体地，基于映射该远程网络访问请求的网络切片，确定对端可信网络连接架构对所述第一工控设备进行的完整性度量结果，包括：基于预先存储的网络切片与完整性度量结果的对应关系，确定与映射该远程网络访问请求的网络切片相对应的目标完整性度量结果，将该目标完整性度量结果作为对端可信网络连接架构对所述第一工控设备进行的完整性度量结果。
21.基于以nfv网络包括两个网络切片为例，该对应关系为：网络切片1与完整性度量结果为可信相对应，网络切片2与完整性度量结果为不可信相对应；那么，当确定映射该远程网络访问请求的是网络切片1，那么可以确定对端可信网络连接架构对第一工控设备的完整性度量结果为可信。
22.本发明实施例通过nfv网络的不同网络切片传输不同完整性度量结果对应的远程网络访问请求，从而可以实现对对端作为发起端的第一工控设备的完整性度量验证，从而可以获知对端工控设备是可信的还是不可信的。
23.当对端的第一工控设备接入本端网络时，是否允许第一工控设备的远程网络访问接入，除了需要利用对端的第一工控设备的完整性度量结果来确定以外，还需要结合远程网络访问的本端第二工控设备的完整性度量结果共同确定。在本发明一个实施例中，所述根据所述第一工控设备的完整性度量结果，确定是否允许所述第一工控设备的远程网络访问接入，包括：s1、对本端管理的作为接收端的第二工控设备进行完整性度量，得到所述第二工控设备的完整性度量结果；s2、根据所述第一工控设备的完整性度量结果和所述第二工控设备的完整性度量结果，确定是否允许所述第一工控设备与所述第二工控设备的远程网络访问连接。
24.对于第一工控设备的完整性度量结果是可信时，也不一定允许第一工控设备的远程网络访问接入；对于第一工控设备的完整性度量结果是不可信时，也不一定拒绝第一工控设备的远程网络访问接入。需要结合第二工控设备的完整性度量结果共同进行确定。由此可以提高远程网络访问接入的灵活性和多样性。
25.在步骤s1中，本端的可信网络连接架构对本端管理的作为接收端的第二工控设备进行完整性度量，具体地，对本端管理的工控设备进行完整性度量的方式至少包括如下三种方式：方式一、从本端管理的工控设备中运行的tnc（trusted network connect，可信网络连接）软件栈获取完整性度量信息，以实现对工控设备进行完整性度量；方式二、通过可信网络连接协议（if-map协议）从元数据访问点服务器获取额外的与该需进行完整性度量的工控设备相关的网络行为，以根据该网络行为对该工控设备进行完整性度量；方式三、方式一和方式二。
26.下面对上述方式一、方式二分别进行说明。
27.在方式一中，本端可信网络连接架构所管理的工控系统中包括多个工控设备，可以在每一个工控设备中运行tnc软件栈。其中，tnc软件栈是运行在工控设备上的可信软件
组合，用于收集工控设备的完整性度量信息并编排本地平台的度量报告，以完成可信网络中的完整性检查握手。工控设备的完整性度量信息包括防病毒参数、个人防火墙状态、软件/固件版本以及系统的可信启动度量信息等内容。通过该tnc软件栈获取完整性度量信息，可以实现对工控设备的完整性度量。由此可以判定工控设备是可信还是不可信。
28.在方式二中，本端可信网络连接架构可以包括元数据访问点服务器，元数据访问点服务器充当关于网络安全对象和事件的信息的中央交换中心。元数据访问点服务器允许不参与网络访问过程的组件（比如，流控制器）根据与端点、用户、功能、角色、设备活动和行为以及其他运行时数据的关系来实施策略。元数据访问点服务器允许未直接连接到工控设备的元素（比如，传感器）发布有关可信网络行为和其他客户端（比如，管理客户端）可能感兴趣的网络活动的信息。也就是说，map（metadata access point，元数据访问点）客户端（管理客户端、流控制器、传感器、防火墙、入侵检测系统等）可以向元数据访问点服务器发布与工控设备相关的网络行为，通过if-map协议可以从元数据访问点服务器获取到该与该需进行完整性度量的工控设备相关的网络行为，进而利用该网络行为实现对工控设备的完整性度量。
29.可见，方式一是基于工控设备自身的网络行为实现的完整性度量，方式二是基于其他客户端发布的与该工控设备相关的网络行为实现的完整性度量，二者结合更能准确的表征出该工控设备的完整性度量结果。
30.在步骤s2中，根据所述第一工控设备的完整性度量结果和所述第二工控设备的完整性度量结果，确定是否允许所述第一工控设备与所述第二工控设备的远程网络访问连接，可以包括：当所述第一工控设备的完整性度量结果和所述第二工控设备的完整性度量结果处于相同可信级别时，则允许所述第一工控设备与所述第二工控设备的远程网络访问连接；否则，拒绝所述第一工控设备与所述第二工控设备的远程网络访问连接。
31.以可信和不可信两个可信级别为例，若第一工控设备和第二工控设备均为可信或均为不可信时，则允许两个工控设备的远程网络访问连接，若两个工控设备中一个工控设备为可信，另一个工控设备为不可信，则拒绝两个工控设备的远程网络访问连接。如此，可以保证在远程网络访问连接时，可信工控设备之间可以互相通信、不可信工控设备之间可以互相通信，而可信工控设备和不可信工控设备之间不能够进行通信。
32.在本发明一个实施例中，每一端的工控设备均可以作为发起端向另一端工控设备发起远程网络连接请求，为了保证对端可信网络连接架构能够对本端的发起端工控设备实现完整性度量，那么还可以包括：在本端管理的第三工控设备发起远程网络连接请求时，强制劫取该远程网络连接请求，并对作为发起端的所述第三工控设备进行完整性度量，得到对所述第三工控设备的完整性度量结果；根据所述第三工控设备的完整性度量结果将劫取的远程网络连接请求映射至所述nfv网络的相应网络切片，以使所述nfv网络通过相应网络切片传输该远程网络连接请求，并将该远程网络连接请求映射至另一端的可信网络连接架构，由另一端的可信网络连接架构确定是否允许所述第三工控设备的远程网络访问接入。
33.可信网络连接架构只要在监测到本端管理的工控设备发起远程网络连接请求时，均需要强制劫取该远程网络连接请求，以判定通过哪个网络切片实现传输。首先，也需要对第三工控设备进行身份认证，身份认证后，基于上述方式一、方式二或方式三对第三工控设
备进行完整性度量，当第三工控设备的完整性度量结果确定后，则根据网络切片与完整性度量结果的对应关系，将该远程网络连接请求映射至相应网络切片，由该相应网络切片传输该远程网络连接请求，并映射至对端的可信网络连接架构。比如，若第三工控设备的完整性度量结果为可信工控设备，则通过可信网络的网络切片接入网络；若第三工控设备的完整性度量结果为不可信工控设备，则通过通用网络的网络切片接入网络。
34.需要说明的是，nfv网络的网络切片的数量可以为多个，以实现更多完整性度量结果的划分，满足不同的业务需求。
35.请参考图2，本发明实施例提供了一种基于nfv的远程可信网络连接装置，位于远程可信网络连接系统中的可信网络连接架构，所述远程可信网络连接系统包括：nfv网络以及在nfv网络两端分别设置的可信网络连接架构；所述装置包括：接收单元200，用于接收对端可信网络连接架构通过所述nfv网络的网络切片映射来的远程网络访问请求；第一确定单元202，用于在基于该远程网络访问请求验证作为发起端的第一工控设备的身份合法后，基于映射该远程网络访问请求的网络切片，确定对端可信网络连接架构对所述第一工控设备进行的完整性度量结果；第二确定单元204，用于根据所述第一工控设备的完整性度量结果，确定是否允许所述第一工控设备的远程网络访问接入。
36.在本发明一个实施例中，所述nfv网络包括至少两个网络切片，不同网络切片用于传输不同的完整性度量结果所对应工控设备发起的远程网络访问请求；所述第一确定单元，具体用于基于预先存储的网络切片与完整性度量结果的对应关系，确定与映射该远程网络访问请求的网络切片相对应的目标完整性度量结果，将该目标完整性度量结果作为对端可信网络连接架构对所述第一工控设备进行的完整性度量结果。
37.在本发明一个实施例中，所述第二确定单元，具体用于：对本端管理的作为接收端的第二工控设备进行完整性度量，得到所述第二工控设备的完整性度量结果；根据所述第一工控设备的完整性度量结果和所述第二工控设备的完整性度量结果，确定是否允许所述第一工控设备与所述第二工控设备的远程网络访问连接。
38.在本发明一个实施例中，所述第二确定单元，在执行根据所述第一工控设备的完整性度量结果和所述第二工控设备的完整性度量结果，确定是否允许所述第一工控设备与所述第二工控设备的远程网络访问连接时，具体包括：当所述第一工控设备的完整性度量结果和所述第二工控设备的完整性度量结果处于相同可信级别时，则允许所述第一工控设备与所述第二工控设备的远程网络访问连接；否则，拒绝所述第一工控设备与所述第二工控设备的远程网络访问连接。
39.在本发明一个实施例中，请参考图3，该装置还可以包括：劫取处理单元206，用于在本端管理的第三工控设备发起远程网络连接请求时，强制劫取该远程网络连接请求，并对作为发起端的所述第三工控设备进行完整性度量，得到对所述第三工控设备的完整性度量结果；并根据所述第三工控设备的完整性度量结果将劫取的远程网络连接请求映射至所述nfv网络的相应网络切片，以使所述nfv网络通过相应网络切片传输该远程网络连接请求，并将该远程网络连接请求映射至另一端的可信网络连接
架构，由另一端的可信网络连接架构确定是否允许所述第三工控设备的远程网络访问接入。
40.在本发明一个实施例中，对本端管理的工控设备进行完整性度量的方式为：从本端管理的工控设备中运行的tnc软件栈获取完整性度量信息，以实现对工控设备进行完整性度量；和/或，通过if-map协议从元数据访问点服务器获取额外的与该需进行完整性度量的工控设备相关的网络行为，以根据该网络行为对该工控设备进行完整性度量。
41.请参考图4，本发明实施例还提供了一种远程可信网络连接系统，包括：nfv网络42以及在nfv网络两端分别设置的可信网络连接架构40/44；所述可信网络连接架构包括如上任一实施例所述的基于nfv的远程可信网络连接装置；所述nfv网络，用于利用网络切片接收并传输其中一端可信网络连接架构映射来的远程网络访问请求，并将该远程网络访问请求映射至另一端的可信网络连接架构。
42.下面以一个更为详细的实施例对该远程可信网络连接系统的远程网络访问接入过程进行说明，请参考图5。
43.500、可信网络连接架构40强制劫取本端管理的工控设备1向对端管理的工控设备2发起的远程网络访问请求。
44.502、可信网络连接架构40对工控设备1进行完整性度量，得到工控设备1的完整性度量结果。
45.504、可信网络连接架构40根据预先存储的网络切片和完整性度量结果的对应关系，将远程网络访问请求映射至网络切片1。假设工控设备1的完整性度量结果为可信工控设备，网络切片1用于作为可信网络进行数据传输。
46.506、nfv网络利用网络切片1传输该远程网络访问请求，并将该远程网络访问请求映射至可信网络连接架构44。
47.508、可信网络连接架构44根据预先存储的网络切片和完整性度量结果的对应关系，确定映射该远程网络请求的网络切片1对应的完整性度量结果，并确定工控设备1为可信工控设备。
48.510、可信网络连接架构44对工控设备2进行完整性度量，得到工控设备2的完整性度量结果。
49.512、可信网络连接架构44根据工控设备2的完整性度量结果确定工控设备2为可信工控设备，允许工控设备1和工控设备2的远程网络访问接入。
50.一个实现方式中，可信网络连接架构可以包括：网络访问强制实施器、网络访问授权端、tnc服务端和元数据访问点服务器；其中，在可信网络连接架构40中，网络访问强制实施器控制对nfv网络的访问，且由网络访问强制实施器强制劫取远程网络访问请求，并向网络访问授权端发起授权请求，以确定是否应该为工控设备1授予访问权限；网络访问授权端能够决定是否应授予工控设备1的nfv网络的访问权限，且通过向tnc服务端进行查询，以确定工控设备1的完整性度量是否符合满足对应的网络资源情况；tnc服务端可以从工控设备1中获取完整性度量信息，然后对工控设备1进行完整性度量的验证，同时，tnc服务端通过if-map协议从元数据访问点服务器获取额外的工控设备1相关的网络行为，并通过这些网络行为从另一方面验证工控设备1是否可信；当确定工控设备1为可信工控设备时，网络访问授权端根据网络切片和完整性度
量结果的对应关系，网络访问强制实施器发送为工控设备1授予网络切片1的访问权限，网络访问强制实施器将该远程网络访问请求映射至网络切片1。
51.在可信网络连接架构44中，依然由网络访问强制实施器、网络访问授权端、tnc服务端和元数据访问点服务器对工控设备2进行完整性度量，由网络访问强制实施器确定网络访问授权端为工控设备2授予的访问权限，当确定工控设备2为可信工控设备时，允许工控设备1和工控设备2的远程网络访问接入。
52.可以理解的是，本发明实施例示意的结构并不构成对一种远程可信网络连接装置的具体限定。在本发明的另一些实施例中，一种远程可信网络连接装置可以包括比图示更多或者更少的部件，或者组合某些部件，或者拆分某些部件，或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
53.上述装置内的各模块之间的信息交互、执行过程等内容，由于与本发明方法实施例基于同一构思，具体内容可参见本发明方法实施例中的叙述，此处不再赘述。
54.本发明实施例还提供了一种电子设备，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器执行所述计算机程序时，实现本发明任一实施例中的一种远程可信网络连接方法。
55.本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序在被处理器执行时，使所述处理器执行本发明任一实施例中的一种远程可信网络连接方法。
56.具体地，可以提供配有存储介质的系统或者装置，在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码，且使该系统或者装置的计算机（或cpu或mpu）读出并执行存储在存储介质中的程序代码。
57.在这种情况下，从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能，因此程序代码和存储程序代码的存储介质构成了本发明的一部分。
58.用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘（如cd-rom、cd-r、cd-rw、dvd-rom、dvd-ram、dvd-rw、dvd+rw）、磁带、非易失性存储卡和rom。可选择地，可以由通信网络从服务器计算机上下载程序代码。
59.此外，应该清楚的是，不仅可以通过执行计算机所读出的程序代码，而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作，从而实现上述实施例中任意一项实施例的功能。
60.此外，可以理解的是，将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展模块中设置的存储器中，随后基于程序代码的指令使安装在扩展板或者扩展模块上的cpu等来执行部分和全部实际操作，从而实现上述实施例中任一实施例的功能。
61.需要说明的是，在本文中，诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
…”
限定的要素，并不排除在包括所
述要素的过程、方法、物品或者设备中还存在另外的相同因素。
62.本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储在计算机可读取的存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：rom、ram、磁碟或者光盘等各种可以存储程序代码的介质中。
63.最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

技术特征：
1.一种基于网络功能虚拟化nfv的远程可信网络连接方法，其特征在于，应用于远程可信网络连接系统中的可信网络连接架构，所述远程可信网络连接系统包括：nfv网络以及在nfv网络两端分别设置的可信网络连接架构；所述方法包括：接收对端可信网络连接架构通过所述nfv网络的网络切片映射来的远程网络访问请求；在基于该远程网络访问请求验证作为发起端的第一工控设备的身份合法后，基于映射该远程网络访问请求的网络切片，确定对端可信网络连接架构对所述第一工控设备进行的完整性度量结果；根据所述第一工控设备的完整性度量结果，确定是否允许所述第一工控设备的远程网络访问接入。2.根据权利要求1所述的方法，其特征在于，所述nfv网络包括至少两个网络切片，不同网络切片用于传输不同的完整性度量结果所对应工控设备发起的远程网络访问请求；所述基于映射该远程网络访问请求的网络切片，确定对端可信网络连接架构对所述第一工控设备进行的完整性度量结果，包括：基于预先存储的网络切片与完整性度量结果的对应关系，确定与映射该远程网络访问请求的网络切片相对应的目标完整性度量结果，将该目标完整性度量结果作为对端可信网络连接架构对所述第一工控设备进行的完整性度量结果。3.根据权利要求1所述的方法，其特征在于，所述根据所述第一工控设备的完整性度量结果，确定是否允许所述第一工控设备的远程网络访问接入，包括：对本端管理的作为接收端的第二工控设备进行完整性度量，得到所述第二工控设备的完整性度量结果；根据所述第一工控设备的完整性度量结果和所述第二工控设备的完整性度量结果，确定是否允许所述第一工控设备与所述第二工控设备的远程网络访问连接。4.根据权利要求3所述的方法，其特征在于，所述根据所述第一工控设备的完整性度量结果和所述第二工控设备的完整性度量结果，确定是否允许所述第一工控设备与所述第二工控设备的远程网络访问连接，包括：当所述第一工控设备的完整性度量结果和所述第二工控设备的完整性度量结果处于相同可信级别时，则允许所述第一工控设备与所述第二工控设备的远程网络访问连接；否则，拒绝所述第一工控设备与所述第二工控设备的远程网络访问连接。5.根据权利要求1所述的方法，其特征在于，还包括：在本端管理的第三工控设备发起远程网络连接请求时，强制劫取该远程网络连接请求，并对作为发起端的所述第三工控设备进行完整性度量，得到对所述第三工控设备的完整性度量结果；根据所述第三工控设备的完整性度量结果将劫取的远程网络连接请求映射至所述nfv网络的相应网络切片，以使所述nfv网络通过相应网络切片传输该远程网络连接请求，并将该远程网络连接请求映射至另一端的可信网络连接架构，由另一端的可信网络连接架构确定是否允许所述第三工控设备的远程网络访问接入。6.根据权利要求3或5所述的方法，其特征在于，对本端管理的工控设备进行完整性度量的方式为：
从本端管理的工控设备中运行的可信网络连接tnc软件栈获取完整性度量信息，以实现对工控设备进行完整性度量；和/或，通过可信网络连接协议从元数据访问点服务器获取额外的与该需进行完整性度量的工控设备相关的网络行为，以根据该网络行为对该工控设备进行完整性度量。7.一种基于nfv的远程可信网络连接装置，其特征在于，位于远程可信网络连接系统中的可信网络连接架构，所述远程可信网络连接系统包括：nfv网络以及在nfv网络两端分别设置的可信网络连接架构；所述装置包括：接收单元，用于接收对端可信网络连接架构通过所述nfv网络的网络切片映射来的远程网络访问请求；第一确定单元，用于在基于该远程网络访问请求验证作为发起端的第一工控设备的身份合法后，基于映射该远程网络访问请求的网络切片，确定对端可信网络连接架构对所述第一工控设备进行的完整性度量结果；第二确定单元，用于根据所述第一工控设备的完整性度量结果，确定是否允许所述第一工控设备的远程网络访问接入。8.一种远程可信网络连接系统，其特征在于，包括：nfv网络以及在nfv网络两端分别设置的可信网络连接架构；所述可信网络连接架构包括如权利要求7所述的基于nfv的远程可信网络连接装置；所述nfv网络，用于利用网络切片接收并传输其中一端可信网络连接架构映射来的远程网络访问请求，并将该远程网络访问请求映射至另一端的可信网络连接架构。9.一种电子设备，其特征在于，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器执行所述计算机程序时，实现如权利要求1-6中任一项所述的方法。10.一种计算机可读存储介质，其特征在于，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行权利要求1-6中任一项所述的方法。

技术总结
本发明提供了一种基于NFV的远程可信网络连接方法、装置及系统，涉及可信网络连接技术领域，远程可信网络连接系统包括：NFV网络以及在NFV网络两端分别设置的可信网络连接架构；所述方法包括：接收对端可信网络连接架构通过所述NFV网络的网络切片映射来的远程网络访问请求；在基于该远程网络访问请求验证作为发起端的第一工控设备的身份合法后，基于映射该远程网络访问请求的网络切片，确定对端可信网络连接架构对所述第一工控设备进行的完整性度量结果；根据所述第一工控设备的完整性度量结果，确定是否允许所述第一工控设备的远程网络访问接入。本方案，能够实现对端作为发起端的工控设备的身份验证和完整性度量。工控设备的身份验证和完整性度量。工控设备的身份验证和完整性度量。


技术研发人员：孟德伟 徐宁 李宇哲 章轶
受保护的技术使用者：北京长扬软件有限公司
技术研发日：2023.07.06
技术公布日：2023/8/6