基于网络功能虚拟化的证书配置方法、装置和系统与流程

文档序号：14690513发布日期：2018-06-15 20:18阅读：264来源：国知局

本发明实施例涉及网络通信技术领域，尤其涉及一种基于网络功能虚拟化的证书配置方法、装置和系统。

背景技术：

在网络功能虚拟化NFV(Network Function Virtulization)场景下，传统网络及网络节点的架构发生较大变化，传统的物理电信节点在新的网络架构下，演变为虚拟器中的虚拟节点，以虚拟机的形式存在，这样使得多个传统物理节点共同部署在同一物理宿主机上，共享硬件资源，甚至与其它第三方应用软件共享资源；另外为便于虚拟机动态迁移和提升同一虚拟器中虚拟机之间的通信性能，传统IP网络通过虚拟交换机、虚拟网络适配器进而演变为虚拟网络，虚拟机之间将直接通过虚拟网络通信，从而绕过了传统物理网络设备。然而，虚拟网络内部虚拟机之间通信、虚拟机与外部网络通信面临着安全风险，例如虚拟机之间的相互攻击，宿主机应用对主机、虚拟机之间的攻击，宿主机利用与虚拟机网络互通进行攻击，通过远程维护管理通道对虚拟机的攻击，通过网络边缘节点进行外部网络攻击等。因此，网络功能虚拟化面临的这些通信威胁要求虚拟化通信采用特定的安全技术建立安全连接，用以保证虚拟化通信的机密性、完整性。而建立安全连接需要虚拟化通信实体双方配置有基于X.509的证书。

由于虚拟网络功能实体不是传统的硬件实体，而是以软件方式按需生成动态存在的，且其安装的位置也不是固定的。因此，传统的实体证书配置方法并不适用于网络功能虚拟化场景；进一步地，一个虚拟网络功能实体可以同时存在多个实例，如果使用传统的实体证书配置方法由虚拟网络功能实体的提供商进行证书配置时，会因为相同的虚拟网络功能实体的安装包导致多个实例安装相同的证书，存在较大的安全隐患。

技术实现要素：

本发明实施例提供一种基于网络功能虚拟化的证书配置方法、装置和系统，可以解决现有的网络功能虚拟化中存在的安全隐患问题。

第一方面，提供一种基于网络功能虚拟化的证书配置方法，包括：

虚拟网络管理实体获取虚拟网络功能实体的初始信任状信息；

所述虚拟网络管理实体在对所述虚拟网络功能实体进行实例化的过程中或实例化之后，将所述初始信任状信息安装到所述虚拟网络功能实体中，以使所述虚拟网络功能实体利用所述初始信任状信息从认证中心获取所述虚拟网络功能实体的网络运营商签发的正式证书。

基于第一方面，在第一种实现方式中，所述虚拟网络管理实体获取虚拟网络功能实体的初始信任状信息，包括：

所述虚拟网络管理实体接收网络运营管理实体发送的实例化请求，所述实例化请求中包括所述虚拟网络功能实体的初始信任状信息。

基于第一方面，在第二种实现方式中，所述虚拟网络管理实体获取虚拟网络功能实体的初始信任状信息，包括：

所述虚拟网络管理实体从所述虚拟网络功能包或所述虚拟网络功能的镜像文件或所述虚拟网络功能的描述器VNFD中或所述虚拟网络功能的实例化数据中获取所述虚拟网络功能实体的初始信任状信息；

所述虚拟网络功能包或所述镜像文件或所述VNFD或所述实例化数据为所述网络运营管理实体在所述虚拟网络管理实体对所述虚拟网络功能实体进行实例化之前或实例化的过程中发送给所述虚拟网络管理实体，所述VNFD或所述镜像文件中包括所述初始信任状信息。

基于第一方面或第一方面的第一或第二种实现方式，在第三种实现方式中，所述初始信任状信息包括但不限于证书、预共享密钥、令牌和/或密码。

基于第一方面的第三种实现方式，在第四种实现方式中，所述初始信任状信息包括证书时，所述初始信任状信息中包括初始证书以及对应的第一私钥；

所述初始证书是所述虚拟网络功能实体的提供商或网络运营商为所述虚拟网络功能实体所签发，所述第一私钥为所述初始证书对应的第一公钥-私钥对中的私钥。

基于第一方面的第四种实现方式，在第五种实现方式中，所述初始证书用所述虚拟网络功能实体的提供商的根证书或中间证书对应的私钥进行签名，其中，所述虚拟网络功能实体的提供商的中间证书是隶属于所述虚拟网络功能实体的提供商的根证书的下级子证书签发的证书；或者

所述初始证书用所述虚拟网络功能实体的网络运营商的根证书或中间证书对应的私钥进行签名，其中，所述虚拟网络功能实体的网络运营商的中间证书是隶属于所述虚拟网络功能实体的网络运营商的根证书的下级子证书签发的证书。

基于第一方面或第一方面的第一或第二种实现方式，在第六种实现方式中，所述虚拟网络管理实体包括第一管理实体NFVO、第二管理实体VNFM、第三管理实体VIM和第四管理实体NFVI管理控制单元；

所述网络运营管理实体包括运营支撑系统OSS或网元管理系统EMS；

所述虚拟网络功能实体包括虚拟网络功能单元VNF或虚拟网络功能子单元VNFC。

基于第一方面的第六种实现方式，在第七种实现方式中，所述初始信任状信息是所述第一管理实体NFVO或所述第二管理实体VNFM或所述网络运营管理实体为所述虚拟网络功能实体配置的。

基于第一方面的第六种实现方式，在第八种实现方式中，所述初始信任状信息由所述第一管理实体NFVO发送给所述第三管理实体VIM，或者由所述第二管理实体VNFM经由所述第一管理实体NFVO发送给所述第三管理实体VIM，或者由所述第二管理实体VNFM发送给所述第三管理实体VIM。

基于第一方面的第六种实现方式，在第九种实现方式中，所述初始信任状信息在VNF实例化过程中或实例化过程之后，由所述第三管理实体VIM发送给所述第四管理实体NFVI管理控制单元，并由所述第四管理实体NFVI管理控制单元通过虚拟机安装于所述虚拟网络功能实体上。

基于第一方面的第六种实现方式，在第十种实现方式中，所述初始信任状信息由所述第一管理实体NFVO发送给所述第二管理实体VNFM，或者由所述网络运营管理实体经由NFVO发送给VNFM，或者由网络运营管理实体发送费VNFM。

基于第一方面的第十种实现方式，在第十一种实现方式中，所述初始信任状信息在VNF实例化过程中或实例化过程之后，由所述第二管理实体VNFM安装于虚拟网络功能实体上。

第二方面，提供一种基于网络功能虚拟化的证书配置方法，包括：

虚拟网络功能实体在虚拟网络管理实体对所述虚拟网络功能实体进行实例化的过程中或实例化之后获取初始信任状信息；

所述虚拟网络功能实体利用所述初始信任状信息从认证中心获取所述虚拟网络功能实体的网络运营商签发的正式证书。

可选地，所述初始信任状信息包括但不限于证书、预共享密钥、令牌和/或密码。

可选地，所述初始信任状信息包括证书时，所述初始信任状信息中包括初始证书以及对应的第一私钥；

可选地，所述初始证书用所述虚拟网络功能实体的提供商的根证书或中间证书对应的私钥进行签名，其中，所述虚拟网络功能实体的提供商的中间证书是隶属于所述虚拟网络功能实体的提供商的根证书的下级子证书签发的证书；或者

可选地，所述初始信任状信息携带在所述虚拟网络功能包或所述虚拟网络功能的镜像文件或所述虚拟网络功能的描述器VNFD或所述虚拟网络功能的实例化数据中。

可选地，所述虚拟网络管理实体包括第一管理实体NFVO、第二管理实体VNFM、第三管理实体VIM和第四管理实体NFVI管理控制单元；

所述网络运营管理实体包括运营支撑系统OSS或网元管理系统EMS；

所述虚拟网络功能实体包括虚拟网络功能单元VNF或虚拟网络功能子单元VNFC。

可选地，所述初始信任状信息还可以为所述第一管理实体NFVO或所述第二管理实体VNFM或所述网络运营管理实体为所述虚拟网络功能实体配置的初始信任状信息。

可选地，所述虚拟网络功能实体利用所述初始信任状信息从认证中心获取所述虚拟网络功能实体的网络运营商签发的正式证书，包括：

所述虚拟网络功能实体向所述认证中心发送证书请求消息，所述证书请求消息中包括第三公钥和所述初始信任状，以使所述认证中心使用所述初始信任状验证接收到的所述证书请求消息；在验证成功时使用所述网络运营商的根证书或中间证书对应的私钥对所述第三公钥进行签名，生成所述网络运营商签发的正式证书；

所述虚拟网络功能实体接收所述认证中心发送的证书响应消息，所述证书响应消息中包括所述正式证书，或者所述证书响应消息中还包括所述网络运营商的根证书；

所述虚拟网络功能实体验证所述证书响应消息，在验证成功时，获得所述网络运营商签发的正式证书。

可选地，所述第三公钥为所述虚拟网络功能实体生成或配置的第三公钥-私钥对中的公钥；

如果所述初始信任状为证书，所述证书请求消息用所述初始证书对应的私钥进行签名；

所述证书响应消息包括认证证书，用所述认证证书对应的私钥进行签名；

可选地，所述认证证书是所述网络运营商的根证书或中间证书签发的；

若所述认证证书是所述网络运营商的中间证书签发，则所述方法还包括：

所述虚拟网络功能实体使用所述网络运营商的中间证书验证所述认证证书，用所述网络运营商的根证书验证所述中间证书。

第三方面，提供一种虚拟网络管理实体，包括：

获取模块，用于获取虚拟网络功能实体的初始信任状信息；

实例化模块，用于在对所述虚拟网络功能实体进行实例化的过程中或实例化之后，将所述初始信任状信息安装到所述虚拟网络功能实体中，以使所述虚拟网络功能实体利用所述初始信任状信息从认证中心获取所述虚拟网络功能实体的网络运营商签发的正式证书。

可选地，所述获取模块用于：在接收网络运营管理实体发送的实例化请求中获取所述实例化请求中包括的所述虚拟网络功能实体的初始信任状信息。

可选地，所述获取模块还用于：从所述虚拟网络功能包或所述虚拟网络功能的镜像文件或所述虚拟网络功能的描述器VNFD中或所述虚拟网络功能的实例化数据中获取所述虚拟网络功能实体的初始信任状信息；

所述虚拟网络功能包或所述镜像文件或所述VNFD或所述实例化数据为所述网络运营管理实体在所述虚拟网络管理实体对所述虚拟网络功能实体进行实例化之前或实例化的过程中发送给所述虚拟网络管理实体，所述虚拟网络功能包或所述VNFD或或所述实例化数据所述镜像文件或所述实例化数据中包括所述初始信任状信息。

可选地，所述初始信任状信息包括但不限于证书、预共享密钥、令牌和/或密码。

可选地，所述初始信任状信息包括证书时，所述初始信任状信息中包括初始证书以及对应的第一私钥；

可选地，所述虚拟网络管理实体包括第一管理实体NFVO、第二管理实体VNFM、第三管理实体VIM和第四管理实体NFVI管理控制单元；

所述网络运营管理实体包括运营支撑系统OSS或网元管理系统EMS；

所述虚拟网络功能实体包括虚拟网络功能单元VNF或虚拟网络功能子单元VNFC。

可选地，所述初始信任状信息由所述第一管理实体NFVO或所述第二管理实体VNFM或所述网络运营管理系统为所述虚拟网络功能实体配置的初始信任状信息。

可选地，所述初始信任状信息由所述第一管理实体NFVO发送给所述第三管理实体VIM，或者由所述第二管理实体VNFM经由所述第一管理实体NFVO发送给所述第三管理实体VIM，或者由所述第二管理实体VNFM发送给所述第三管理实体VIM。

可选地，所述初始信任状信息在VNF实例化过程中或实例化过程之后，由所述第三管理实体VIM发送给所述第四管理实体NFVI管理控制单元，并由所述第四管理实体NFVI管理控制单元通过虚拟机安装于所述虚拟网络功能实体上。

第四方面，提供一种虚拟网络功能实体，包括：

第一获取模块，用于在虚拟网络管理实体对所述虚拟网络功能实体进行实例化的过程中或实例化之后获取初始信任状信息；

第二获取模块，用于利用所述第一获取模块获取的初始信任状信息从认证中心获取所述虚拟网络功能实体的网络运营商签发的正式证书。

可选地，所述初始信任状信息包括但不限于证书、预共享密钥、令牌和/或密码。

可选地，所述初始信任状信息包括证书时，所述初始信任状信息中包括初始证书以及对应的第一私钥；

可选地，所述初始信任状信息携带在所述虚拟网络功能包或所述虚拟网络功能的镜像文件或所述虚拟网络功能的描述器VNFD中或所述虚拟网络功能的实例化数据中。

可选地，所述虚拟网络管理实体包括第一管理实体NFVO、第二管理实体VNFM、第三管理实体VIM和第四管理实体NFVI管理控制单元；

所述网络运营管理实体包括运营支撑系统OSS或网元管理系统EMS；

所述虚拟网络功能实体包括虚拟网络功能单元VNF或虚拟网络功能子单元VNFC。

可选地，所述初始信任状信息还可以为所述第一管理实体NFVO或所述第二管理实体VNFM或网络运营管理实体为所述虚拟网络功能实体配置的初始信任状信息。

可选地，所述第二获取模块具体包括：

发送单元，用于向所述认证中心发送证书请求消息，所述证书请求消息中包括第三公钥和所述初始信任状；以使所述认证中心使用所述初始信任状验证接收到的所述证书请求消息；在验证成功时使用所述网络运营商的根证书或中间证书对应的私钥对所述第三公钥进行签名，生成所述网络运营商签发的正式证书；

接收单元，用于接收所述认证中心发送的证书响应消息，所述证书响应消息中包括所述正式证书，或者所述证书响应消息中还包括所述网络运营商的根证书；

验证单元，用于验证所述证书响应消息，并用预置的或者所述证书响应消息中包括的所述网络运营商的根证书验证所述认证证书；

获取单元，在所述验证单元验证成功时，获得所述网络运营商签发的正式证书。

可选地，所述第三公钥为所述虚拟网络功能实体生成或配置的第三公钥-私钥对中的公钥；

所述证书请求消息用所述初始信任状对应的私钥进行签名；

所述证书响应消息包括认证证书，用所述认证证书对应的私钥进行签名；

可选地，所述认证证书是所述网络运营商的根证书或中间证书签发的；

若所述认证证书是所述网络运营商的中间证书签发，则所述方法还包括：

所述虚拟网络功能实体使用所述网络运营商的中间证书验证所述认证证书，用所述网络运营商的根证书验证所述中间证书。

第五方面，提供一种基于网络功能虚拟化的证书配置系统，包括：虚拟网络功能实体、虚拟网络管理实体和认证中心；

所述虚拟网络管理实体为如第三方面所述的虚拟网络管理实体；

所述虚拟网络功能实体为如第四方面所述的虚拟网络功能实体；

所述认证中心用于接收所述虚拟网络功能实体发送的证书请求消息，所述证书请求消息中包括第三公钥和所述初始信任状；使用所述初始信任状验证接收到的所述证书请求消息；在验证成功时使用所述网络运营商的根证书或中间证书对应的私钥对所述第三公钥进行签名，生成所述网络运营商签发的正式证书；所述第三公钥为所述虚拟网络功能实体生成或配置的第三公钥-私钥对中的公钥。

第六方面，提供一种服务器，包括处理器和存储器，所述处理器和存储器通过总线连接，所述存储器中保存有实现如第一方面所述的基于网络功能虚拟化的证书配置方法所对应的指令，所述处理器执行如第一方面所述的基于网络功能虚拟化的证书配置方法所对应的指令。

第七方面，提供一种服务器，包括处理器和存储器，所述处理器和存储器通过总线连接，所述存储器中保存有实现如第二方面所述的基于网络功能虚拟化的证书配置方法所对应的指令，所述处理器执行如第二方面所述的基于网络功能虚拟化的证书配置方法所对应的指令。

本发明实施例通过虚拟网络管理实体获取虚拟网络功能实体的初始信任状信息；在对所述虚拟网络功能实体进行实例化的过程中或实例化之后，有针对性的将虚拟网络功能实体的初始信任状信息安装到所述虚拟网络功能实体中，以使所述虚拟网络功能实体利用所述初始信任状信息从认证中心获取所述虚拟网络功能实体的网络运营商签发的正式证书。本实施例所述的证书配置方法不仅可以适用于网络功能虚拟化场景，而且还可以解决网络功能虚拟化中存在的安全隐患问题。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一实施例提供的一种基于网络功能虚拟化的证书配置方法的流程示意图；

图2为本发明另一实施例提供的基于网络功能虚拟化的证书配置方法的流程示意图；

图3为本发明另一实施例提供的一种基于网络功能虚拟化的证书配置方法的信令图；

图4为本发明另一实施例提供的一种基于网络功能虚拟化的证书配置方法的信令图；

图5为本发明另一实施例提供的一种基于网络功能虚拟化的证书配置方法的信令图；

图6为本发明另一实施例提供的一种基于网络功能虚拟化的证书配置方法的信令图；

图7为本发明另一实施例提供的一种基于网络功能虚拟化的证书配置方法的信令图；

图8为本发明另一实施例提供的一种基于网络功能虚拟化的证书配置方法的信令图；

图9为本发明一实施例提供的虚拟网络管理实体的结构示意图；

图10为本发明一实施例提供的虚拟网络功能实体的结构示意图；

图11为本发明一实施例提供的一种基于网络功能虚拟化的证书配置系统的结构示意图；

图12为本发明一实施例提供的一种服务器的结构示意图；

图13为本发明一实施例提供的一种服务器的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本实施例的技术方案应用在NFV场景下，举例来说，本实施例所述的虚拟网络功能实体包括虚拟网络功能单元(Virtualised Network Function，VNF)或虚拟网络功能子单元(VNF Component，VNFC)。

其中，VNF对应于传统非虚拟化网络中的物理网络功能实体(Physical Network Function，PNF)，网络功能的功能性行为和状态与虚拟化与否无关，本实施中，VNF和PNF拥有相同的功能性行为和外部接口。

其中，VNF可以由多个更低级别的组件来组成，因此，一个VNF可以部署在多个虚拟机(Virtual Machine，VM)上，每个VM宿主在一个VNFC；VNF也可以部署在一个VM上。

举例来说，本实施例所述的虚拟网络管理实体包括但不限于第一管理实体(NFV Orchestrator，NFVO)、第二管理实体(VNF Manager，VNFM)、第三管理实体(Virtualised Infrastructure Manager，VIM)和第四管理实体(Network Function Virtulization Infrastructure，NFVI)的管理控制单元，例如NFVI Agent或NFVI Manager；

其中，VIM是包括用来控制和管理计算、存储和网络资源的虚拟化实体；

NFVO是负责对NFV资源进行网络侧的编排和管理，以及在NFV基础设施上实现NFV业务拓扑的虚拟化实体；

NFVI由硬件资源和虚拟资源以及虚拟层组成，从VNF的角度来说，虚拟化层和硬件资源看起来是一个能够提供所需虚拟资源的实体。NFVI管理控制单元负责NFVI内虚拟机的管理和控制。

VNFM负责VNF实例的生命周期的管理。

本实施例所述网络运营管理实体包括但不限于运营支撑系统(Operation support system，OSS)或网元管理系统(Element Management System，EMS)；其中，EMS主要是针对VNF执行传统的FCAPS功能；其中，FCAPS功能包括故障管理(Fault Management)、配置管理(Configuration Management)、计费管理(Accounting Management)、性能管理(Performance Management)和安全管理(Security Management)。

图1为本发明一实施例提供的一种基于网络功能虚拟化的证书配置方法的流程示意图，如图1所示，包括：

101、虚拟网络管理实体获取虚拟网络功能实体的初始信任状信息。

在一种可选的实施方式中，步骤101具体实现时包括：

虚拟网络管理实体接收网络运营管理实体发送的实例化请求，其中，所述实例化请求中包括所述虚拟网络功能实体的初始信任状信息。例如，NFVO接收到运营支撑系统OSS的VNF实例化请求，以请求实例化一个新的VNF，该VNF实例化请求中包括VNF的初始信任状信息。又例如，EMS向VNFM发送VNF实例化请求，该VNF实例化请求中包括VNF的初始信任状信息。

举例来说，所述虚拟网络功能实体的初始信任状信息可以是VNF的提供商或网络运营商为虚拟网络功能实体配置的初始信任状信息。具体地，VNF的提供商或网络运营商可以为VNF配置一个初始信任状信息或者为组成VNF的每一个VNFC配置一个初始信任状信息。举例来说，当VNF提供商或网络运营商为VNFC配置一个初始信任状信息时，VNF实例化成功后，则每一个VNFC安装成功一个初始信任状；后续在VNFC成功完成证书登记过程后，VNFC获得网络运营商签发的正式证书。当VNF提供商或网络运营商为VNF配置一个初始信任状信息时，VNF实例化成功后，则VNF作为一个整体(例如通过Master VNF，或VNFMA)安装成功一个初始信任状。后续在VNF成功完成证书登记过程后，VNF作为一个整体获得网络运营商签发的正式证书。

举例来说，上述的初始信任状信息包括但不限于证书、预共享密钥、令牌(token)、密码中的至少一项。

当初始信任状信息包括证书时，则初始信任状信息中包括初始证书以及对应的第一私钥；

其中，上述的初始证书是上述虚拟网络功能实体的提供商或网络运营商为上述虚拟网络功能实体配置的第一公钥-私钥对所签发的证书，其中，所述第一私钥为所述第一公钥-私钥对中的私钥。

其中，所述初始证书用所述虚拟网络功能实体的提供商的根证书或中间证书对应的私钥进行签名，其中，所述虚拟网络功能实体的提供商的中间证书是隶属于所述虚拟网络功能实体的提供商的根证书的下级子证书签发的证书；或者

举例来说，上述初始信任状信息可以携带在VNF包(VNF Package)中，其中，VNF包中包括一个VNF描述器(VNF Descriptor，VNFD)、与VNF关联的软件镜像文件(software image(s))、以及另外的档案文件；其中，VNFD是描述VNF虚拟资源需求的一个资源说明；

具体地，本实施例中，上述初始信任状信息可以携带在VNF包中的VNFD或镜像文件中。为了提高安全性，本实施例中，例如，上述VNF包或者VNF包中VNFD或镜像文件可以用VNF提供商或网络运营商配置的证书进行签名，或者对初始信任状信息进行机密性保护。其中，VNF提供商或网络运营商配置的证书可以是VNF提供商或网络运营商为VNF配置的证书中的任一证书，也可以是新生成的专门用于所述VNF包或VNFD或镜像文件签名的证书。对应地，虚拟网络管理实体可以使用VNF提供商或网络运营商为VNF配置的证书对携带有所述初始信任状信息的VNF包或者VNFD或者所述镜像文件进行完整性验证。

具体地，本实施例中，上述初始信任状信息还可以携带在实例化数据中。

本实施例中，所述虚拟网络管理实体包括第一管理实体NFVO、第二管理实体VNFM、第三管理实体VIM和第四管理实体NFVI管理控制单元；

所述网络运营管理实体包括运营支撑系统OSS或网元管理系统EMS；

所述虚拟网络功能实体包括虚拟网络功能单元VNF或虚拟网络功能子单元VNFC。

举例来说，所述初始信任状信息是所述第一管理实体NFVO或所述第二管理实体VNFM或所述网络运营管理实体为所述虚拟网络功能实体配置的。

在一种可选的实施方式中，步骤101具体实现实例还包括：

虚拟网络功能实体的提供商或网络运营商可以为虚拟网络功能实体配置初始信息状信息，将初始信息状信息存储于该虚拟网络功能实体的镜像文件中，并将初始信息状信息上传到VIM处，当对虚拟网络功能实体进行VNF实例化时或者实例化之后，可以从虚拟网络功能实体的镜像文件中获取该虚拟网络功能实体的初始信任状信息。

在一种可选的实施方式中，步骤101具体实现时例如还包括：

虚拟网络管理实体在接收所述网络运营管理实体发送的实例化请求之后或者在对所述虚拟网络功能实体实例化之后，为所述虚拟网络功能实体配置初始信任状信息。例如由NFVO或VNFM为虚拟网络功能实体配置所述初始信任状信息。

102、虚拟网络管理实体在对所述虚拟网络功能实体进行实例化的过程中或实例化之后，将所述初始信任状信息安装到所述虚拟网络功能实体中，以使所述虚拟网络功能实体利用所述初始信任状信息从认证中心获取所述虚拟网络功能实体的网络运营商签发的正式证书。

举例来说，所述初始信任状信息由所述第一管理实体NFVO发送给所述第三管理实体VIM，或者由所述第二管理实体VNFM经由所述第一管理实体NFVO发送给所述第三管理实体VIM，或者由所述第二管理实体VNFM发送给所述第三管理实体VIM。

或者，所述初始信任状信息在VNF实例化过程中或实例化过程之后，由所述第三管理实体VIM发送给所述第四管理实体NFVI管理控制单元，并由所述第四管理实体NFVI管理控制单元通过虚拟机安装于所述虚拟网络功能实体上。

或者，所述初始信任状信息由NFVO发送给VIM，或者由VNFM经由NFVO发送给VIM，或者由VNFM发送给VIM；

其中，所述初始信任状信息在VNF实例化过程中或实例化过程之后，由VIM发送给NFVI管理控制单元，并由NFVI管理控制单元通过虚拟机安装于所述虚拟网络功能实体上。

其中，本实施例中，所述实例化是指所述虚拟网络管理实体为所述虚拟网络功能实体分配需要的虚拟化资源并为所述虚拟网络功能实体安装实例化数据的过程。

其中，上述虚拟网络功能实体利用所述初始信任状信息从认证中心(Certificate Authority，CA)获取所述虚拟网络功能实体的网络运营商签发的正式证书的具体实现可以参考图2所示实施例中的相关描述。

本发明实施例通过虚拟网络管理实体获取或配置虚拟网络功能实体的初始信任状信息；在对所述虚拟网络功能实体进行实例化的过程中或实例化之后，将所述初始信任状信息安装到所述虚拟网络功能实体中，以使所述虚拟网络功能实体利用所述初始信任状信息从认证中心获取所述虚拟网络功能实体的网络运营商签发的正式证书。本实施例所述的证书配置方法可以适用于网络功能虚拟化场景；

进一步地，本实施例在对一个虚拟网络功能实体进行实例化的过程中或实例化之后，有针对性地将该虚拟网络功能实体的初始信任状信息安装到该虚拟网络功能实体中，以使所述虚拟网络功能实体利用所述初始信任状信息从认证中心获取所述虚拟网络功能实体的网络运营商签发的正式证书，从而使VNF实例安装唯一的证书以用于安全连接的建立，提高虚拟网络通信的安全性。

图2为本发明另一实施例提供的基于网络功能虚拟化的证书配置方法的流程示意图，如图2所示，包括：

201、虚拟网络功能实体在虚拟网络管理实体对所述虚拟网络功能实体进行实例化的过程中或实例化之后获取初始信任状信息。

其中，所述实例化是指所述虚拟网络管理实体为所述虚拟网络功能实体分配需要的虚拟化资源并为所述虚拟网络功能实体安装实例化数据的过程。

举例来说，所述初始信任状信息可以携带在VNF包中，或者VNFD中，或者虚拟网络功能的镜像文件中，或者携带于实例化数据中；

其中，所述VNFD或所述镜像文件用所述虚拟网络功能实体的提供商或网络运营商配置的证书进行签名。

举例来说，所述的初始信任状信息包括但不限于：证书、预共享密钥、令牌(token)、密码。

当上述初始信任状信息包括证书时，所述初始信任状信息中包括初始证书以及对应的第一私钥；

其中，上述初始证书是上述虚拟网络功能实体的提供商或网络运营商为上述虚拟网络功能实体配置的第一公钥-私钥对所签发的证书，其中，所述第一私钥为所述第一公钥-私钥对中的私钥。

举例来说，所述初始信任状信息为所述虚拟网络管理实体在接收所述网络运营管理实体发送的实例化请求之后或者在对所述虚拟网络功能实体实例化之后，为所述虚拟网络功能实体配置的；其中，所述的初始信任状信息包括但不限于：证书、预共享密钥、令牌(token)、密码。

当初始信任状信息中包括证书时，则初始信任状信息中包括初始证书以及对应的第二私钥；所述初始证书是所述虚拟网络管理实体为所述虚拟网络功能实体配置的第二公钥-私钥对所签发的证书，所述第二私钥为所述第二公钥-私钥对中的私钥。

需要说明的是，VNF提供商或网络运营商可以为VNF配置一个初始信任状信息或者为组成VNF的每一个VNFC配置一个初始信任状信息。举例来说，当VNF提供商或网络运营商为VNF配置一个初始信任状信息时，VNF实例化成功后，则VNF作为一个整体(例如通过Master VNF，或VNFMA)安装成功一个初始信任状。后续在VNF成功完成登记过程后，VNF作为一个整体获得网络运营商签发的正式证书。

202、在VNF实例化过程中或实例化之后，将初始信任状信息安装于虚拟网络功能实体上。

例如，所述的初始信任状由虚拟网络管理实体发送至NFVI；通过虚拟网络功能实体的安全启动过程，初始信任状被安全的安装于VNF或VNFC上。

又例如，如果初始信任状为NFVO配置，则NFVO将初始信任状信息发送至VIM(可以通过VNFM的中转，或者直接发送)，VIM将初始信任状信息发送至NFVI管理控制单元(例如NFVI Agent，或者NFVI Manager)，再通过安全启动过程，初始信任状通过虚拟机被安装于VNF或者VNFC上。

又例如，如果初始信任状为VNFM配置，则VNFM将初始信任状信息发送至VIM，VIM将初始信任状信息发送至NFVI管理控制单元(例如NFVI Agent，或者NFVI Manager)，再通过安全启动过程，初始信任状通过虚拟机被安装于VNF或者VNFC上。

203、虚拟网络功能实体利用所述初始信任状信息从认证中心获取所述虚拟网络功能实体的网络运营商签发的正式证书。

在一种可选的实现方式中，步骤203包括：

虚拟网络功能实体向所述认证中心发送证书请求消息，其中，所述证书请求消息中包括第三公钥和所述初始信任状；

认证中心使用初始信任状验证接收到的所述证书请求消息。

如果所述的初始信任状为初始证书时，认证中心使用预置的所述虚拟网络功能实体的提供商或网络运营商的根证书验证所述证书请求消息中包括的初始证书，在验证成功时使用所述网络运营商的根证书或中间证书对应的私钥对所述第三公钥进行签名，生成所述网络运营商签发的正式证书。

认证中心向虚拟网络功能实体发送证书响应消息，所述证书响应消息中包括所述正式证书和认证证书，或者所述证书响应消息中还包括所述网络运营商的根证书；

虚拟网络功能实体接收所述认证中心发送的证书响应消息；

虚拟网络功能实体用接收到的认证证书验证所述证书响应消息，并用预置的或者所述证书响应消息中包括的所述网络运营商的根证书验证所述认证证书，在验证成功时，获得所述网络运营商签发的正式证书。

举例来说，所述第三公钥为所述虚拟网络功能实体生成或配置的第三公钥-私钥对中的公钥；

所述证书请求消息例如可以用所述初始证书对应的私钥进行签名；其中，初始信任状对应的私钥包括上述的第一私钥或第二私钥。

所述证书响应消息例如可以用所述认证证书对应的私钥进行签名；

举例来说，所述认证证书可以是所述网络运营商的根证书或中间证书签发的；

若所述认证证书是所述网络运营商的中间证书签发，则虚拟网络功能实体使用所述网络运营商的中间证书验证所述认证证书，用所述网络运营商的根证书验证所述中间证书。

本发明实施例通过虚拟网络功能实体在虚拟网络管理实体对所述虚拟网络功能实体进行实例化的过程中或实例化之后获取初始信任状信息；并利用所述初始信任状信息从认证中心获取所述虚拟网络功能实体的网络运营商签发的正式证书。本实施例所述的证书配置方法可以适用于网络功能虚拟化场景；进一步地，本实施例在对一个虚拟网络功能实体进行实例化的过程中或实例化之后，有针对性地将该虚拟网络功能实体的初始信任状信息安装到该虚拟网络功能实体，以使虚拟网络功能实体利用所述初始信任状信息从认证中心获取所述虚拟网络功能实体的网络运营商签发的正式证书。该方法使VNF实例成功安装运营商签发的唯一的证书以用于后续安全连接的建立，可以提高虚拟网络通信的安全性。

以下对本发明所述的基于网络功能虚拟化的证书配置方法的具体实现手段进行详细的描述。

图3为本发明另一实施例提供的一种基于网络功能虚拟化的证书配置方法的信令图，如图3所示，包括：

301、NFVO接收OSS的实例化请求。

其中，该实例化请求用以请求实例化一个新的VNF，该实例化请求中包括VNF初始信任状信息。

可选地，所述VNF初始信任状信息例如可以携带在VNFD中。

其中，VNF初始信任状信息可以为VNF提供商或网络运营商配置。当初始信任状信息中包括证书时，具体包括VNF提供商或网络运营商签发的VNF初始证书以及对应的私钥，或者还包括VNF初始信任状对应的公钥。其中，VNF初始证书以及对应的私钥和公钥是VNF提供商或网络运营商为该VNF配置的第一公钥-私钥对中的公钥和私钥。

可选地，该VNF初始信任状可以针对每一个VNFC所签发。

可选地，NFVO对接收到的实例化请求进行验证，包括验证发送方是否授权发出该实例化请求，验证传递的参数技术上的正确性、是否遵从策略等。

302、NFVO运行可行性检查，以在实际的实例化开始前预留资源。

下面步骤3a-3g为可选的：

3a)NFVO发送可行性检查消息给VNFM，要求对实例化请求进行可行性检查。该可行性检查消息中携带VNF初始信任状信息。可选地，所述的VNF初始信任状信息可以存储于VNFD中。

3b)VNFM验证实例化请求，处理VNFD和实例化数据，可能包括对实例化数据进行修改或补充。

3c)VNFM返回(可能更新的)实例化数据给NFVO。

3d)NFVO执行需要的预分配处理工作。

3e)NFVO请求VIM检查资源(计算、存储和网络资源)的可用性并进行资源预留。

3f)VIM检查资源的可用性，并进行资源预留。

3g)VIM向NFVO返回资源预留的结果。

303、NFVO向VNFM发送VNF实例化的请求消息。

其中，VNF实例化的请求消息中包括VNF初始信任状信息和实例化数据；可选地，VNF初始信任状信息存储于VNFD中；可选地，VNF实例化的请求消息中还可以包括执行上述步骤3a-3g后的预留资源的信息。

优选地，VNF实例化的请求消息具有机密性和完整性保护；对应地，VNFM验证VNF实例化的请求消息。

可选地，VNFM对VNFD应用特定的限制对实例化数据进行修改或补充VNFD，如果上述步骤3b已执行，则VNFM不需要对VNFD应用特定的限制对实例化数据进行修改或补充VNFD。

304、VNFM请求NFVO进行资源预留。

305、NFVO执行需要的预分配处理工作。

306、NFVO请求VIM进行资源分配和建立连接。

307、VIM实例化内部网络连接。

例如，VIM实例化需要的虚拟机和存储资源，将实例化的虚拟机附着到内部网络连接上。

308、VIM向NFVO确认完成资源的分配的消息。

309、NFVO向VNFM确认完成资源的分配的消息。

可选地，确认完成资源的分配的消息中携带VNF初始信任状信息。

310、VNFM使用分配的资源，实例化VNF，并将VNF初始信任状安装到VNF中。

例如，VNFM使用分配的资源，执行开启虚拟部署单元(Virtualization Deployment Unit，VDU)的任务，实例化VNF，在该过程中，VNF初始信任状被成功地安装于VNF上。

可选地，组成VNF的每一个VNFC均成功配置一个初始信任状。

311、VNFM向NFVO返回VNF实例化结束的确认消息。

312、NFVO向OSS确认VNF实例化的完成。

此时VNF实例化成功完成，可选地，此时VNF处于受限连接状态，仅允许连接网络运营商的认证中心执行证书登记过程。之后，VNF利用获得的初始信任状，向认证中心发起证书登记过程，获得网络运营商签发的正式证书。

可选地，本实施例中，OSS和NFVO之间的通信有机密性和/或完整性保护机制，NFVO和VNFM之间的通信有机密性和/或完整性保护机制。

本发明实施例通过NFVO从OSS中获取VNF的初始信任状信息；在VNFM进行VNF实例化的过程中，将VNF的初始信任状信息安装到VNF或VNFC中，以使VNF或VNFC利用初始信任状信息从认证中心中获取VNF的网络运营商签发的正式证书。本实施例所述的证书配置方法可以适用于网络功能虚拟化场景；进一步地，本实施例在对一个VNF进行实例化的过程中，有针对性地将该VNF的初始信任状信息安装到该VNF，以使VNF或VNFC利用所述初始信任状信息从认证中心获取网络运营商签发的正式证书，不会导致多个实例安装相同的证书，可以提高虚拟网络通信的安全性。

本发明另一实施例提供的一种基于网络功能虚拟化的证书配置方法，初始信任状由VNFM在实例化过程中或实例化过程后为VNF或VNFC配置，并通过如下传输路径VNFM->NFVO->VIM->NFVI管理控制单元->VM安装到VNF或VNFC中：

其中，步骤一同图3所示实施例的步骤301。

步骤二同图3所示实施例的步骤302，区别在于：在上述步骤3b中，VNFM为需要配置证书的VNF或VNFC配置初始信任状，并添加到实例化数据中，在步骤3c中发送给NFVO；在步骤3e中，NFVO将初始信任状发送给VIM。

步骤二至步骤9同图3所示实施例的步骤303-309。

步骤十在VNF实例化过程中，VIM将初始信任状信息发送给NFVI；具体地，初始信任状信息被发送给NFVI管理控制单元(NFVI Agent，或NFVIManager)，通过安全启动过程，初始信任状信息通过VM被安装于VNF或VNFC上。

步骤十一同图3所示实施例的步骤311。

可选地，初始信任状信息也可以在步骤四中由VNFM发送给NFVO，并在步骤六中由NFVO发送给VIM。

可选地，初始信任状信息也可以由NFVO为VNF或VNFC配置，并在步骤3e或者步骤六中由NFVO发送给VIM。

在上述实施例中，VNFM和NFVO之间，NFVO和VIM之间，VIM和NFVI管理控制单元之间均建立有安全连接，能保护其上传输信息的机密性和完整性。

其中，所述配置的初始信任状使用受限，仅能用于VNF或VNFC向网络运营商的认证中心发起证书登记过程获取网络运营商的正式证书。

图4为本发明另一实施例提供的一种基于网络功能虚拟化的证书配置方法的信令图，如图4所示，包括：

401、EMS向VNFM发送VNF实例化请求消息。

该VNF实例化请求消息携带VNF初始信任状信息，所述的初始信任状信息包括但不限于：证书、预共享密钥、令牌(token)、密码。

其中，所述VNF初始信任状信息包括证书时，所述初始信任状信息具体包括VNF初始证书以及对应的私钥，或者还包括对应的公钥。

可选地，该VNF初始信任状可以针对每一个VNFC所签发。

402、VNFM验证VNF实例化请求消息，处理实例化数据。

举例来说，VNFM例如可以利用网络运营商为VNF配置的证书验证VNF实例化请求消息，处理VNFD和实例化数据，也可以对实例化数据进行修改或补充。

403、VNFM发送实例化数据给NFVO。

其中，发送给NFVO的实例化数据可以是VNFM修改或补充后的实例化数据。

可选地，VNFM发送给NFVO的实例化数据中包括初始信任状信息。

可选地，步骤403之后还包括：

404、NFVO、VNFM和VIM发起可行性检查过程，预留需要的资源。

可选地，在该过程中，初始信任状信息由NFVO发送给VIM。

405、NFVO、VNFM和VIM利用预留资源进行VNF实例化，在实例化过程中将VNF初始信任状成功安装于VNF上。

其中，VIM将初始信任状信息发送给NFVI；具体地，初始信任状被发送给NFVI管理控制单元(NFVI Agent，或NFVI Manager)；通过安全启动过程，初始信任状通过VM被安装于VNF或VNFC上。

之后，VNFM向EMS确认VNF实例化的完成。此时VNF实例化成功完成，可选地，此时VNF处于受限连接状态，仅允许连接运营商的认证中心执行证书登记过程。VNF利用获得的初始信任状，向认证中心发起证书登记过程，获得运营商签发的正式证书。

优选地，EMS和VNFM之间、VNFM和NFVO之间、NFVO和VIM之间、VIM和NFVI管理控制单元之间的通信有机密性和完整性保护机制。

本发明实施例通过VNFM从EMS中获取VNF的初始信任状信息并经由NFVO发送给VIM；在进行VNF实例化的过程中，VIM将VNF的初始信任状信息安装到VNF中，以使VNF利用初始信任状信息从认证中心获取VNF的网络运营商签发的正式证书。本实施例所述的证书配置方法可以适用于网络功能虚拟化场景；进一步地，本实施例在对一个VNF进行实例化的过程中，有针对性地将该VNF的初始信任状信息安装到该VNF，使得VNFD实例成功安装运营商签发的唯一的证书以用于后续安全连接的建立，从而提高虚拟网络通信的安全性。

图5为本发明另一实施例提供的一种基于网络功能虚拟化的证书配置方法的信令图，如图5所示，包括：

501、EMS向VNFM发送VNF实例化请求消息。

502、VNFM为需要配置证书的VNF或VNFC配置初始信任状，并添加到实例化数据中。

503、VNFM发送VNF实例化请求消息给NFVO。

其中，实例化请求消息中包括初始信任状信息。

其中，所述的初始信任状信息包括但不限于：证书、预共享密钥、令牌(token)、密码。

可选地，NFVO、VNFM和VIM执行可行性检查。

504、NFVO、VNFM和VIM为VNF实例化分配所需要的资源。

可选地，在该过程中，初始信任状信息由NFVO发送给VIM。

505、NFVO、VNFM和VIM在VNF实例化过程中将VNF初始信任状成功安装于VNF上。

之后，VNFM向EMS确认VNF实例化的完成。此时VNF实例化成功完成，此时VNF处于受限连接状态，仅允许连接网络运营商的认证中心执行证书登记过程，获得网络运营商签发的正式证书。

本发明实施例通过VNFM在接收到EMS的实例化请求时，为VNF配置初始信任状信息，并经由NFVO发送给VIM；在VNF实例化的过程中，VIM将VNF的初始信任状信息安装到VNF中，以使VNF利用初始信任状信息从认证中心中获取VNF的网络运营商签发的正式证书。本实施例所述的证书配置方法可以适用于网络功能虚拟化场景；进一步地，本实施例在对一个VNF进行实例化的过程中，有针对性地将该VNF的初始信任状信息安装到该VNF，以使VNF或VNFC利用所述初始信任状信息从认证中心获取网络运营商签发的正式证书，使得VNF实例成功安装运营商签发的唯一的证书以用于后续安全连接的建立，从而提高虚拟网络通信的安全性。

图6为本发明另一实施例提供的一种基于网络功能虚拟化的证书配置方法的信令图，如图6所示，包括：

601、VNF实例化之后，VNFM为组成VNF的每一个VNFC配置初始信任状信息。

其中，所述的初始信任状信息包括但不限于：证书、预共享密钥、令牌(token)、密码。

例如，VNF实例化成功后，VNFM可以为组成VNF的每一个VNF组件(即VNFC)配置初始信任状信息。所述的初始信任状为证书时，则VNFM为VNFC配置第二公钥-私钥对，并对第二公钥签发初始证书；该配置的初始证书信息中包括初始证书以及对应的第二私钥，或者还可以包括第二公钥。

可选地，VNF实例化成功后，EMS也可以为每一个VNF组件配置初始信任状信息。所述的初始信任状为证书时，EMS为VNFC配置第四公钥-私钥对，并用第四公钥签发初始证书；该配置的初始证书信息中包括初始证书以及对应的第四私钥，或者还可以包括第四公钥。

602、VNFM将配置的初始信任状信息发送给VIM。

或者VNFM将配置的初始信任状信息经由NFVO发送给VIM。

603、VIM将初始信任状信息发送给NFVI，以使NFVI将初始信任状通过VM被安装于VNF或VNFC上。

具体地，初始信任状被发送给NFVI管理控制单元(NFVI Agent，或NFVI Manager)；通过安全启动过程，初始信任状通过VM被安装于VNF或VNFC上。

其中，所述配置的初始信任状使用受限，仅能用于VNFC向网络运营商的认证中心发起证书登记过程获取网络运营商的正式证书。

本发明实施例通过在VNF实例化之后，VNFM或者EMS为VNF配置初始信任状信息并发送给VIM，VIM将VNF的初始信任状信息安装到VNF中，以使VNF利用初始信任状信息从认证中心中获取VNF的网络运营商签发的正式证书。本实施例所述的证书配置方法可以适用于网络功能虚拟化场景，还可以有针对性地将该VNF的初始信任状信息安装到该VNF，以使VNF或VNFC利用所述初始信任状信息从认证中心获取网络运营商签发的正式证书，避免了多个实例安装相同的证书，可以提高虚拟网络通信的安全性。

图7为本发明另一实施例提供的一种基于网络功能虚拟化的证书配置方法的信令图，如图7所示，包括：

701、VNF包被递交给NFVO用于上线。

其中，所述的VNF包中包括VNF初始信任状信息。所述的初始信任状信息包括但不限于：证书、预共享密钥、令牌(token)、密码。可选地，所述的VNF初始信任状信息存储于镜像文件中。

具体地，NFVO还可以验证VNF包，通知目录库(catalog)，将VNFD存储于目录库中。

702、NFVO将包含VNF初始信任状信息的镜像文件发送给VIM。

对应地，VIM向NFVO确认已成功上传镜像文件。

703、NFVO和VIM对VNF进行实例化过程。

具体地，NFVO确认VNF已上线之后，对VNF进行实例化过程，在实例化过程中，VIM将初始信任状信息发送给NFVI；具体地，初始信任状被发送给NFVI管理控制单元(NFVI Agent，或NFVI Manager)；通过安全启动过程，初始信任状通过VM被安装于VNF或VNFC上。

其中，所述配置的初始信任状使用受限，仅能用于VNFC向网络运营商的认证中心发起证书登记过程获取网络运营商的正式证书。

VNF使用该初始信任状，向网络运营商的认证中心发起证书登记过程获得运营商签发的正式证书。

本发明实施例通过VNF提供商或网络运营商为VNF配置初始信任状，并将初始信任状存储于镜像文件中，上传到VIM处，VNF实例化过程成功后证书安装到VNF上，此后VNF向认证中心执行证书登记过程获得运营商签发的正式证书。本实施例所述的证书配置方法可以适用于网络功能虚拟化场景，还可以有针对性地将该VNF的初始信任状信息安装到该VNF，以使VNF或VNFC利用所述初始信任状信息从认证中心获取网络运营商签发的正式证书，使得VNF实例成功安装运营商签发的唯一的证书以用于后续安全连接的建立，从而提高虚拟网络通信的安全性。

图8为本发明另一实施例提供的一种基于网络功能虚拟化的证书配置方法的信令图，本实施例示出了VNF使用VNF提供商或网络运营商签发的VNF初始信任状通过CMPv2协议定义的证书登记(Certificate Enrolment)过程获得运营商签发的正式证书的过程。本过程不限于CMPv2协议，也可以使用其它的证书登记协议，如图8所示，包括：

801、VNF向认证中心发送证书请求消息。

如果初始信任状为初始证书的话，则该证书请求消息携带第三公钥和初始证书。

其中，该证书请求消息可以使用初始证书对应的私钥进行签名。其中，第三公钥可以是VNF通过预配置或者自己生成第三公钥-私钥对中的公钥。

其中，所述初始证书为上述图1-图7任一实施例中所述的初始证书，不再赘述。

如果初始信任状为共享密钥，或者令牌，或者密码的话，则该证书请求消息中携带第三公钥和初始信任状。

其中，若VNF和认证中心之间没有直连接口的话，则证书请求消息可以通过EMS进行转发。

802、认证中心用初始信任状信息验证接收到的证书请求消息。

803、若验证成功，认证中心用网络运营商根证书或网络运营商中间证书对应的私钥对第三公钥进行签名，生成运营商签发的VNF正式证书。

804、认证中心向VNF发送证书响应消息。

该证书响应消息携带的信息例如包括正式证书和认证证书。其中，该证书响应消息例如可以用认证证书对应的私钥进行签名。

其中，若认证证书不是直接由网络运营商根证书签发，则上述证书响应消息还携带的信息还包括网络运营商的中间证书。

其中，当VNF已经预配置了网络运营商根证书的情况下，则上述证书响应消息中不用再携带网络运营商根证书，否则需要携带网络运营商根证书。

805、VNF用接收到的认证证书验证接收到的证书响应消息，用网络运营商根证书验证认证证书。

806、若验证成功，则获得网络运营商签发的VNF正式证书。

例如还可以获得网络运营商的根证书。其中，若认证证书不是直接由网络运营商根证书签发的话，则VNF用网络运营商中间证书验证认证证书，用网络运营商根证书验证中间证书。

之后，VNF和认证中心之间继续进行剩下的证书确认交互过程。

本发明实施例VNF或VNFC利用所述初始信任状信息从认证中心获取网络运营商签发的正式证书，从而可以在后续的通信过程中与通信对端建立安全连接，提高虚拟网络通信的安全性。

图9为本发明一实施例提供的虚拟网络管理实体的结构示意图，如图9所示，包括：

获取模块91，用于获取虚拟网络功能实体的初始信任状信息；

实例化模块92，用于在对所述虚拟网络功能实体进行实例化的过程中或实例化之后，将所述初始信任状信息安装到所述虚拟网络功能实体中，以使所述虚拟网络功能实体利用所述初始信任状信息从认证中心获取所述虚拟网络功能实体的网络运营商签发的正式证书。

可选地，所述获取模块91用于：在接收网络运营管理实体发送的实例化请求中获取所述实例化请求中包括的所述虚拟网络功能实体的初始信任状信息。

可选地，所述获取模块91还用于：从所述虚拟网络功能包或所述虚拟网络功能的镜像文件或所述虚拟网络功能的描述器VNFD中或所述虚拟网络功能的实例化数据中获取所述虚拟网络功能实体的初始信任状信息；

可选地，所述初始信任状信息包括但不限于证书、预共享密钥、令牌和/或密码。

可选地，所述初始信任状信息包括证书时，所述初始信任状信息中包括初始证书以及对应的第一私钥；

可选地，所述虚拟网络管理实体包括第一管理实体NFVO、第二管理实体VNFM、第三管理实体VIM和第四管理实体NFVI管理控制单元；

所述网络运营管理实体包括运营支撑系统OSS或网元管理系统EMS；

所述虚拟网络功能实体包括虚拟网络功能单元VNF或虚拟网络功能子单元VNFC。

可选地，所述初始信任状信息由所述第一管理实体NFVO或所述第二管理实体VNFM或所述网络运营管理系统为所述虚拟网络功能实体配置的初始信任状信息。

第四管理实体NFVI管理控制单元本实施例所述的虚拟网络管理实体可以执行上述图1或图3-图7中任一项实施例所述的证书配置方法，具体技术效果不再赘述。

图10为本发明一实施例提供的虚拟网络功能实体的结构示意图，如图10所示，包括：

第一获取模块11，用于在虚拟网络管理实体对所述虚拟网络功能实体进行实例化的过程中或实例化之后获取初始信任状信息；

第二获取模块12，用于利用所述第一获取模块获取的初始信任状信息从认证中心获取所述虚拟网络功能实体的网络运营商签发的正式证书。

可选地，所述初始信任状信息包括但不限于证书、预共享密钥、令牌和/或密码。

可选地，所述初始信任状信息包括证书时，所述初始信任状信息中包括初始证书以及对应的第一私钥；

可选地，所述虚拟网络管理实体包括第一管理实体NFVO、第二管理实体VNFM、第三管理实体VIM和第四管理实体NFVI管理控制单元；

所述网络运营管理实体包括运营支撑系统OSS或网元管理系统EMS；

所述虚拟网络功能实体包括虚拟网络功能单元VNF或虚拟网络功能子单元VNFC。

可选地，所述第二获取模块12具体包括：

发送单元121，用于向所述认证中心发送证书请求消息，所述证书请求消息中包括第三公钥和所述初始信任状；以使所述认证中心使用所述初始信任状验证接收到的所述证书请求消息；在验证成功时使用所述网络运营商的根证书或中间证书对应的私钥对所述第三公钥进行签名，生成所述网络运营商签发的正式证书；

接收单元122，用于接收所述认证中心发送的证书响应消息，所述证书响应消息中包括所述正式证书，或者所述证书响应消息中还包括所述网络运营商的根证书；

验证单元123，用于验证所述证书响应消息，并用预置的或者所述证书响应消息中包括的所述网络运营商的根证书验证所述认证证书；

获取单元124，在所述验证单元验证成功时，获得所述网络运营商签发的正式证书。

可选地，所述第三公钥为所述虚拟网络功能实体生成或配置的第三公钥-私钥对中的公钥；

所述证书请求消息用所述初始信任状对应的私钥进行签名；

所述证书响应消息包括认证证书，用所述认证证书对应的私钥进行签名；

可选地，所述认证证书是所述网络运营商的根证书或中间证书签发的；

若所述认证证书是所述网络运营商的中间证书签发，则所述方法还包括：

所述虚拟网络功能实体使用所述网络运营商的中间证书验证所述认证证书，用所述网络运营商的根证书验证所述中间证书。

本实施例所述的虚拟网络功能实体可以执行上述图2或图8所示实施例中所述的证书配置方法，具体技术效果不再赘述。

图11为本发明一实施例提供的一种基于网络功能虚拟化的证书配置系统的结构示意图，如图11所示，包括：虚拟网络管理实体21、虚拟网络功能实体22和认证中心23；

所述虚拟网络管理实体21为图9所示实施例中所述的虚拟网络管理实体；

所述虚拟网络功能实体22为图10所示实施例中所述的虚拟网络功能实体；

所述认证中心23用于接收所述虚拟网络功能实体发送的证书请求消息，所述证书请求消息中包括第三公钥和所述初始信任状；使用所述初始信任状验证接收到的所述证书请求消息，并使用预置的所述虚拟网络功能实体的提供商或网络运营商的根证书验证所述证书请求消息中包括的初始信任状，在验证成功时使用所述网络运营商的根证书或中间证书对应的私钥对所述第三公钥进行签名，生成所述网络运营商签发的正式证书；所述第三公钥为所述虚拟网络功能实体生成或配置的第三公钥-私钥对中的公钥。

举例来说，本实施例中所述的NFV系统中应用的接口包括：

(1)虚拟层和硬件资源之间的接口VI-Ha：通过该接口虚拟层可以请求硬件资源并收集相关的硬件资源状态信息。

(2)VNF和NFVI之间的接口Vn-Nf：描述NFVI提供给VNF的执行环境。

(3)NFVO和VNFM之间的接口Or-Vnfm，是MANO的内部接口，其中，NFVO、VNFM和VIM共同组成MANO，具体用于：

VNF Manager发送资源相关的请求：例如资源的授权、验证、预留、分配等，用作VNF的生命周期管理；

NFVO发送配置信息给VNFM，使得VNF能够根据VNF转发图(forwarding gragh)被合理地配置；

收集VNF的状态信息用作VNF的生命周期管理。

(4)VIM和VNFM之间的接口Vi-Vnfm，是MANO的内部接口，具体用于：

VNF Manager发送资源分配请求；

虚拟硬件资源配置以及状态信息(如事件)交换。

(5)NFVO和VIM之间的接口Or-Vi，是NFVO的内部接口，具体用于：

NFVO发送资源预留请求；

NFVO资源分配请求；

虚拟硬件资源配置以及状态信息(如事件)交换。

(6)NFVI和VIM之间的接口Nf-Vi，具体用于：

根据资源分配请求进行特定的资源分配；

转发虚拟资源状态信息；

虚拟硬件资源配置以及状态信息(如事件)交换。

(7)OSS/BSS和NFVO之间的接口Os-Ma，具体用于：

请求对service gragh的生命周期管理；

请求VNF生命周期管理；

转发NFV相关的状态信息；

交换策略管理信息；

交换数据分析信息；

转发NFV相关的计费和使用记录；

交换容量和存货(inventory)信息，

(8)VNF/EMS和VNFM之间的接口Ve-Vnfm，具体用于：

请求VNF生命周期管理；

交换配置信息；

交换进行业务生命周期管理所必须的状态信息；

(9)Service，VNF and Infrastructure Description和NFVO之间的接口Se-Ma：该接口用来检索与VNF转发图(forwarding gragh)相关的信息、与业务相关的信息、与VNF相关的信息，以及与NFVI信息模型相关的信息。该信息提供给NFVO使用。

本实施例中所述的NFV系统通过上述接口实现证书配置过程，具体可以参考上述图1-图8任一项实施例中所述的证书配置过程，详细内容不再赘述。

本实施例中所述的NFV系统通过借鉴IT的虚拟化技术，在通用的高性能服务器、交换机和存储中实现部分网络功能。进而通过基于行业标准的X86服务器、存储和交换设备，来取代通信网私有专用的网元设备。本实施中所述NFV系统中的虚拟网络管理实体和虚拟网络功能实体可以以软件方式实现，并能在通用的服务器硬件上运行，可以根据需要进行迁移、实例化、部署在网络的不同位置，并且不需要安装新设备，能够为运营商节省巨大的投资成本；同时其开放的API接口，能帮助网络运营商获得更多、更灵活的网络能力。

进一步地，本实施例所述的NFV系统还可以在对VNF或VNFC实例化中或实例化之后将VNF初始信任状信息安装到VNF或VNFC中，使得VNF或VNFC可以利用VNF初始信任状信息从认证中心获取VNF网络运营商签发的正式证书，从而可以在后续的通信过程中与通信对端建立安全连接，提高虚拟网络通信的安全性。

图12为本发明一实施例提供的一种服务器的结构示意图，如图12所示，包括处理器31和存储器32，所述处理器和存储器通过总线连接，其特征在于：

所述存储器32中保存有实现如图1所示实施例中所述的基于网络功能虚拟化的证书配置方法所对应的指令，所述处理器32执行如图1所示实施例中所述的基于网络功能虚拟化的证书配置方法所对应的指令。

具体可以参考上述图1或图3-7中任一项实施例所述的证书配置过程，详细内容不再赘述。

图13为本发明一实施例提供的一种服务器的结构示意图，如图13所示，包括处理器41和存储器42，所述处理器和存储器通过总线连接，其特征在于：

所述存储器42中保存有实现如图2所示实施例中所述的基于网络功能虚拟化的证书配置方法所对应的指令，所述处理器41执行如图2所示实施例中所述的基于网络功能虚拟化的证书配置方法所对应的指令。

具体可以参考上述图2或图8所示实施例中所述的证书配置过程，详细内容不再赘述。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括：移动硬盘、只读存储器(英文：Read-Only Memory，简称ROM)、随机存取存储器(英文：Random Access Memory，简称RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的保护范围。

完整全部详细技术资料下载

当前第1页1 2 3

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
技术研发人员：冯成燕;陈璟;
技术所有人：华为技术有限公司;
我是此专利的发明人

上一篇：一种手持离心式喷雾器的制作方法
上一篇：一种使用简便的农业智能洒水设备的制作方法

该领域下的技术专家
如您需求助技术专家，请点此查看客服电话进行咨询。
1、王老师：1.数字信号处理 2.传感器技术及应用 3.机电一体化产品开发 4.机械工程测试技术 5.逆向工程技术研究
2、王老师：1.机器人 2.嵌入式控制系统开发
3、孙老师：1.振动信号时频分析理论与测试系统设计 2.汽车检测系统设计 3.汽车电子控制系统设计
4、毕老师：机构动力学与控制
5、袁老师：1.计算机视觉 2.无线网络及物联网
如您是高校老师，可以点此联系我们加入专家库。