一种证书获取方法和设备与流程

文档序号:14690548发布日期:2018-06-15 20:19阅读:218来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
一种证书获取方法和设备与流程

本发明涉及虚拟网络的部署领域,尤其涉及一种证书获取方法和设备。



背景技术:

网络功能虚拟化(Network Function Virtualization,NFV)是以“传统网络虚拟化”为目的而成立的标准组织,制定了一套在虚拟化环境下部署网络的标准。通过NFV组织制定的标准,可以实现网络的虚拟化以及灵活部署等能力。

NFV制定的虚拟网络架构包含了:网元管理系统(Element Management System,EMS)、NFV编排器(NFV Orchestra,NFVO)、虚拟化的网络功能((Virtual Network Function,VNF)实例、VNF管理器(VNF Manager,VNFM)、NFV的基础设施(Network Function Virtual Infrastructure,NFVI)、VNF框架中管理虚拟基础设施(Virtual Infrastructure Manager,VIM)。

其中,EMS,即传统网元管理设备,用于将实例化得到的VNF实例作为一个网元进行管理;NFVO,用于编排VNF;VNF实例,即运行了网络功能的虚拟化网元;VNFM,用于管理VNF;NFVI包含了虚拟化的计算资源、虚拟化的存储资源、虚拟化的网络资源等;VIM,用于根据NFVO和VNFM的指令,对NFVI进行管理。

EMS或者VNFM通过与VNF之间建立管理通道,实现对VNF的管理。为了防止恶意用户攻击网络,在EMS或者VNFM与VNF之间建立管理通道时,需要双方进行身份认证,一般采用传输层安全技术(即证书认证方式)进行身份认证,也就是说,以证书作为身份认证的凭证,执行双方身份认证操作。

然而在传统网络中,证书获取的方式包括但不限于以下两种:

第一种方式:

手工导入方式或者通过硬件、软件初始安装时导入一个与硬件绑定的初始证书,在利用初始证书通过证书管理协议获取需要的认证证书。

但是,在NFV标准中,VNF自动生成在VM上,无法通过第一种方式得到证书,也就是使得EMS或者VNFM与VNF之间建立管理通道的安全性较差。

第二种方式:

在网元生成时,由网元生产商在网元中内置一个生产商的证书,使得网元在被初始配置时,使用证书管理协议向运营商的公共密钥系统(Public Key Infrastructure,PKI)申请运营商签发的证书,在申请证书过程中,网元使用生产商证书作为自己的身份凭证,使得PKI信任该网元并签发运营商的证书。

但是,在虚拟化环境中,VNF动态生成,因此不能通过第二种方式申请证书,也就是使得EMS或者VNFM与VNF之间建立管理通道的安全性较差。



技术实现要素:

有鉴于此,本发明实施例提供了一种证书获取方法和设备,用于解决存在的EMS或者VNFM与VNF之间建立管理通道的安全性较差的问题。

根据本发明的第一方面,提供了一种证书获取设备,包括:

接收模块,用于接收VNF实例发送的证书申请代理消息,其中,所述证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息,所述验证信息用于在所述VNF实例与虚拟化网络功能VNF管理设备VNFM之间建立代理申请证书通道;

发送模块,用于利用所述接收模块接收到的所述验证信息对所述VNF实例进行验证,并在验证通过时,向证书认证中心CA发送证书申请消息,其中,所述证书申请消息中包含了用于申请证书的证书申请信息;

所述接收模块,还用于接收所述CA签发的证书;

所述发送模块,还用于将所述接收模块接收到的所述证书发送给所述VNF实例,其中,所述证书是所述CA根据所述证书申请消息中包含了用于申请证书的证书申请信息生成的。

结合本发明第一方面可能的实施方式中,第一种可能的实施方式,所述验证信息为临时证书,其中,所述临时证书是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的。

结合本发明第一方面的第一种可能的实施方式中,第二种可能的实施方式,所述发送模块,具体用于将接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书进行比较;

在确定接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书相同时,确定对所述VNF实例的验证通过;

在确定接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书不相同时,确定对所述VNF实例的验证未通过。

结合本发明第一方面可能的实施方式中,第三种可能的实施方式,所述验证信息为预共享密钥PSK,其中,所述PSK是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时生成的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的。

结合本发明第一方面的第三种可能的实施方式中,第四种可能的实施方式,所述接收模块,具体用于向所述VNF实例发送PSK,并接收VNF实例发送的证书申请代理消息,其中,所述证书申请代理消息是所述VNF实例在确定本地注入的PSK与接收到的所述VNFM发送的PSK相同或关联时向所述VNFM发送的。

结合本发明第一方面的第四种可能的实施方式中,第五种可能的实施方式,所述发送模块,具体用于将接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK进行比较;

在确定接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK相同或关联时,确定对所述VNF实例的验证通过;

在确定接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK不相同或不关联时,确定对所述VNF实例的验证未通过。

结合本发明第一方面可能的实施方式中,或者结合本发明第一方面的第一种可能的实施方式中,或者结合本发明第一方面的第二种可能的实施方式中,或者结合本发明第一方面的第三种可能的实施方式中,或者结合本发明第一方面的第四种可能的实施方式中,或者结合本发明第一方面的第五种可能的实施方式中,第六种可能的实施方式,所述设备还包括:

通道建立模块,用于在将所述证书发送给所述VNF实例时,利用所述证书建立与所述VNF实例之间的管理通道。

根据本发明的第二方面,提供了一种证书获取设备,包括:

接收模块,用于接收VNF框架中管理虚拟基础设施VIM发送证书申请代理消息,其中,所述证书申请代理消息中包含了请求申请证书的VNF实例和所述VNF实例用于申请证书的证书申请信息;

发送模块,用于向证书认证中心CA发送证书申请消息,其中,所述证书申请消息中包含了所述接收模块接收到的所述VNF实例用于申请证书的证书申请信息;

所述接收模块,还用于接收所述CA签发的证书;

所述发送模块,还用于将所述接收模块接收到的所述证书发送给所述VIM,其中,所述证书是所述CA根据所述证书申请信息中包含了所述VNF实例用于申请证书的证书申请信息生成的。

结合本发明第二方面可能的实施方式中,第一种可能的实施方式,所述证书申请代理消息是由所述VIM根据接收到的证书申请信息生成的,其中,所述证书申请信息由所述VNF实例根据初始化参数得到,并由所述VNF实例发送给所述VM,再由所述VM通过与所述VIM之间的安全通道发送给所述VIM的。

结合本发明第二方面的第一方面可能的实施方式中,第二种可能的实施方式,所述初始化参数包含了CA信息、证书管理域的域名,由虚拟化功能网络编排器NFVO确定实例化所述VNF实例时得到。

根据本发明的第三方面,提供了一种证书获取设备,包括:

接收模块,用于接收虚拟化网络功能VNF实例发送的证书申请消息,其中,所述证书申请消息中包含了临时证书和用于申请证书的证书申请信息,所述临时证书是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时从所述CA中申请的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的;

签发模块,用于利用所述接收模块接收到的所述临时证书对所述VNF实例进行认证,并在认证通过时,根据所述证书申请消息中包含的用于申请证书的证书申请信息,签发证书给所述VNF实例。

根据本发明的第四方面,提供了一种证书获取设备,包括:

接收模块,用于接收虚拟机VM发送的证书申请消息,其中,所述证书申请消息中包含了用于申请证书的公钥;

发送模块,用于向证书认证中心CA发送证书申请代理消息,其中,所述证书申请代理消息中包含了所述接收模块接收到的所述VM用于申请证书的公钥;

所述接收模块,用于接收所述CA签发的证书;

所述发送模块,用于将所述接收模块接收到的所述证书发送给所述VM,其中,所述证书由所述CA根据所述证书申请代理消息中包含了所述VM用于申请证书的公钥签名得到的。

结合本发明第四方面可能的实施方式中,第一种可能的实施方式,所述发送模块,具体用于向虚拟网络功能框架中管理虚拟基础设施VIM发送证书申请代理消息,并由所述VIM将所述证书申请代理消息转发至证书认证中心CA。

结合本发明第四方面可能的实施方式中,或者结合本发明第四方面第一种可能的实施方式中,第二种可能的实施方式,所述设备还包括:

通道建立模块,用于在所述VM接收到所述证书时,建立所述VM与所述VM的管理设备之间的管理通道。

结合本发明第四方面可能的实施方式中,或者结合本发明第四方面第一种可能的实施方式中,或者结合本发明第四方面第二种可能的实施方式中,第三种可能的实施方式,所述公钥由所述VM根据初始化参数生成,其中,所述初始化参数包含了CA信息、证书管理域的域名,由虚拟网络功能框架中管理虚拟基础设施VIM在接收到虚拟化功能网络编排器NFVO发送的生成所述VM时得到。

根据本发明的第五方面,提供了一种证书获取设备,包括:

信号接收器,用于接收VNF实例发送的证书申请代理消息,其中,所述证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息,所述验证信息用于在所述VNF实例与虚拟化网络功能VNF管理设备VNFM之间建立代理申请证书通道;

信号发射器,用于利用所述验证信息对所述VNF实例进行验证,并在验证通过时,向证书认证中心CA发送证书申请消息,其中,所述证书申请消息中包含了用于申请证书的证书申请信息;

所述信号接收器,还用于接收所述CA签发的证书;

所述信号发射器,还用于将所述证书发送给所述VNF实例,其中,所述证书是所述CA根据所述证书申请消息中包含了用于申请证书的证书申请信息生成的。

结合本发明第五方面可能的实施方式中,第一种可能的实施方式,所述验证信息为临时证书,其中,所述临时证书是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的。

结合本发明第五方面的第一种可能的实施方式中,第二种可能的实施方式,所述信号发射器,具体用于将接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书进行比较;

所述VNFM在确定接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书相同时,确定对所述VNF实例的验证通过;

所述VNFM在确定接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书不相同时,确定对所述VNF实例的验证未通过。

结合本发明第五方面可能的实施方式中,第三种可能的实施方式,所述验证信息为预共享密钥PSK,其中,所述PSK是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时生成的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的。

结合本发明第五方面的第三种可能的实施方式中,第四种可能的实施方式,所述信号接收器,具体用于向所述VNF实例发送PSK,并接收所述VNF实例发送的证书申请代理消息,其中,所述证书申请代理消息是所述VNF实例在确定本地注入的PSK与接收到的所述PSK相同或关联时,向所述VNFM发送的。

结合本发明第五方面的第四种可能的实施方式中,第五种可能的实施方式,所述信号发射器,具体用于将接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK进行比较;

在确定接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK相同或关联时,确定对所述VNF实例的验证通过;

在确定接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK不相同或不关联时,确定对所述VNF实例的验证未通过。

结合本发明第五方面可能的实施方式中,或者结合本发明第五方面的第一种可能的实施方式中,或者结合本发明第五方面的第二种可能的实施方式中,或者结合本发明第五方面的第三种可能的实施方式中,或者结合本发明第五方面的第四种可能的实施方式中,或者结合本发明第五方面的第五种可能的实施方式中,第六种可能的实施方式,所述设备还包括:

处理器,用于在将所述证书发送给所述VNF实例时,利用所述证书建立与所述VNF实例之间的管理通道。

根据本发明的第六方面,提供了一种证书获取设备,包括:

信号接收器,用于接收VNF框架中管理虚拟基础设施VIM发送证书申请代理消息,其中,所述证书申请代理消息中包含了请求申请证书的VNF实例和所述VNF实例用于申请证书的证书申请信息;

信号发射器,用于向证书认证中心CA发送证书申请消息,其中,所述证书申请消息中包含了所述VNF实例用于申请证书的证书申请信息;

所述信号接收器,还用于接收所述CA签发的证书;

所述信号发射器,还用于将所述证书发送给所述VIM,其中,所述证书是所述CA根据所述证书申请信息中包含了所述VNF实例用于申请证书的证书申请信息生成的。

结合本发明第六方面可能的实施方式中,第一种可能的实施方式,所述证书申请代理消息是由所述VIM根据接收到的证书申请信息生成的,其中,所述证书申请信息由所述VNF实例根据初始化参数得到,并由所述VNF实例发送给所述VM,再由所述VM通过与所述VIM之间的安全通道发送给所述VIM的。

结合本发明第六方面的第一方面可能的实施方式中,第二种可能的实施方式,所述初始化参数包含了CA信息、证书管理域的域名,由虚拟化功能网络编排器NFVO确定实例化所述VNF实例时得到。

根据本发明的第七方面,提供了一种证书获取设备,包括:

信号接收器,用于接收虚拟化网络功能VNF实例发送的证书申请消息,其中,所述证书申请消息中包含了临时证书和用于申请证书的证书申请信息,所述临时证书是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时从所述CA中申请的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的;

处理器,用于利用所述临时证书对所述VNF实例进行认证,并在认证通过时,根据所述证书申请消息中包含的用于申请证书的证书申请信息,签发证书给所述VNF实例。

根据本发明的第八方面,提供了一种证书获取设备,包括:

信号接收器,用于接收虚拟机VM发送的证书申请消息,其中,所述证书申请消息中包含了用于申请证书的公钥;

信号发射器,用于向证书认证中心CA发送证书申请代理消息,其中,所述证书申请代理消息中包含了所述VM用于申请证书的公钥;

所述信号接收器,还用于接收所述CA签发的证书;

所述信号发射器,还用于将所述证书发送给所述VM,其中,所述证书由所述CA根据所述证书申请代理消息中包含了所述VM用于申请证书的公钥签名得到的。

结合本发明第八方面可能的实施方式中,第一种可能的实施方式,所述信号发射器,具体用于向虚拟网络功能框架中管理虚拟基础设施VIM发送证书申请代理消息,并由所述VIM将所述证书申请代理消息转发至证书认证中心CA。

结合本发明第八方面可能的实施方式中,或者结合本发明第八方面第一种可能的实施方式中,第二种可能的实施方式,所述设备还包括:

处理器,用于在所述VM接收到所述证书时,建立所述VM与所述VM的管理设备之间建立的管理通道。

结合本发明第八方面可能的实施方式中,或者结合本发明第八方面第一种可能的实施方式中,或者结合本发明第八方面第二种可能的实施方式中,第三种可能的实施方式,所述公钥由所述VM根据初始化参数生成,其中,所述初始化参数包含了CA信息、证书管理域的域名,由虚拟网络功能框架中管理虚拟基础设施VIM在接收到虚拟化功能网络编排器NFVO发送的生成所述VM时得到。

根据本发明的第九方面,提供了一种证书获取方法,包括:

虚拟化网络功能管理设备VNFM接收VNF实例发送的证书申请代理消息,其中,所述证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息,所述验证信息用于在所述VNF实例与所述VNFM之间建立代理申请证书通道;

所述VNFM利用所述验证信息对所述VNF实例进行验证,并在验证通过时,向证书认证中心CA发送证书申请消息,其中,所述证书申请消息中包含了用于申请证书的证书申请信息;

所述VNFM接收所述CA签发的证书,并将所述证书发送给所述VNF实例,其中,所述证书是所述CA根据所述证书申请消息中包含了用于申请证书的证书申请信息生成的。

结合本发明第九方面可能的实施方式中,第一种可能的实施方式,所述验证信息为临时证书,其中,所述临时证书是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的。

结合本发明第九方面的第一种可能的实施方式中,第二种可能的实施方式,所述VNFM利用所述验证信息对所述VNF实例进行验证,包括:

所述VNFM将接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书进行比较;

所述VNFM在确定接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书相同时,确定对所述VNF实例的验证通过;

所述VNFM在确定接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书不相同时,确定对所述VNF实例的验证未通过。

结合本发明第九方面可能的实施方式中,第三种可能的实施方式,所述验证信息为预共享密钥PSK,其中,所述PSK是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时生成的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的。

结合本发明第九方面的第三种可能的实施方式中,第四种可能的实施方式,所述虚拟化网络功能VNF管理设备VNFM接收VNF实例发送的证书申请代理消息,包括:

所述VNFM向所述VNF实例发送PSK,并接收VNF实例发送的证书申请代理消息,其中,所述证书申请代理消息是所述VNF实例在确定本地注入的PSK与接收到的所述VNFM发送的PSK相同或关联时向所述VNFM发送的。

结合本发明第九方面的第四种可能的实施方式中,第五种可能的实施方式,所述VNFM利用所述验证信息对所述VNF实例进行验证,包括:

所述VNFM将接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK进行比较;

所述VNFM在确定接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK相同或关联时,确定对所述VNF实例的验证通过;

所述VNFM在确定接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK不相同或不关联时,确定对所述VNF实例的验证未通过。

结合本发明第九方面可能的实施方式中,或者结合本发明第九方面的第一种可能的实施方式中,或者结合本发明第九方面的第二种可能的实施方式中,或者结合本发明第九方面的第三种可能的实施方式中,或者结合本发明第九方面的第四种可能的实施方式中,或者结合本发明第九方面的第五种可能的实施方式中,第六种可能的实施方式,所述方法还包括:

所述VNFM在将所述证书发送给所述VNF实例时,利用所述证书建立与所述VNF实例之间的管理通道。

根据本发明的第十方面,提供了一种证书获取方法,包括:

虚拟化网络功能VNF管理设备VNFM接收VNF框架中管理虚拟基础设施VIM发送证书申请代理消息,其中,所述证书申请代理消息中包含了请求申请证书的VNF实例和所述VNF实例用于申请证书的证书申请信息;

所述VNFM向证书认证中心CA发送证书申请消息,其中,所述证书申请消息中包含了所述VNF实例用于申请证书的证书申请信息;

所述VNFM接收所述CA签发的证书,并将所述证书发送给所述VIM,其中,所述证书是所述CA根据所述证书申请信息中包含了所述VNF实例用于申请证书的证书申请信息生成的。

结合本发明第十方面可能的实施方式中,第一种可能的实施方式,所述证书申请代理消息是由所述VIM根据接收到的证书申请信息生成的,其中,所述证书申请信息由所述VNF实例根据初始化参数得到,并由所述VNF实例发送给所述VM,再由所述VM通过与所述VIM之间的安全通道发送给所述VIM的。

结合本发明第十方面的第一方面可能的实施方式中,第二种可能的实施方式,所述初始化参数包含了CA信息、证书管理域的域名,由虚拟化功能网络编排器NFVO确定实例化所述VNF实例时得到。

根据本发明的第十一方面,提供了一种证书获取方法,包括:

证书认证中心CA接收虚拟化网络功能VNF实例发送的证书申请消息,其中,所述证书申请消息中包含了临时证书和用于申请证书的证书申请信息,所述临时证书是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时从所述CA中申请的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的;

所述CA利用所述临时证书对所述VNF实例进行认证,并在认证通过时,根据所述证书申请消息中包含的用于申请证书的证书申请信息,签发证书给所述VNF实例。

根据本发明的第十二方面,提供了一种证书的获取方法,包括:

虚拟网络功能基础设备NFVI接收虚拟机VM发送的证书申请消息,其中,所述证书申请消息中包含了用于申请证书的公钥;

所述NFVI向证书认证中心CA发送证书申请代理消息,其中,所述证书申请代理消息中包含了所述VM用于申请证书的公钥;

所述NFVI接收所述CA签发的证书,并将所述证书发送给所述VM,其中,所述证书由所述CA根据所述证书申请代理消息中包含了所述VM用于申请证书的公钥签名得到的。

结合本发明第十二方面可能的实施方式中,第一种可能的实施方式,所述NFVI向证书认证中心CA发送证书申请代理消息,包括:

所述NFVI向虚拟网络功能框架中管理虚拟基础设施VIM发送证书申请代理消息,并由所述VIM将所述证书申请代理消息转发至证书认证中心CA。

结合本发明第十二方面可能的实施方式中,或者结合本发明第十二方面第一种可能的实施方式中,第二种可能的实施方式,所述方法还包括:

在所述VM接收到所述证书时,建立所述VM与所述VM的管理设备之间建立的管理通道。

4结合本发明第十二方面可能的实施方式中,或者结合本发明第十二方面第一种可能的实施方式中,或者结合本发明第十二方面第二种可能的实施方式中,第三种可能的实施方式,所述公钥由所述VM根据初始化参数生成,其中,所述初始化参数包含了CA信息、证书管理域的域名,由虚拟网络功能框架中管理虚拟基础设施VIM在接收到虚拟化功能网络编排器NFVO发送的生成所述VM时得到。

本发明实施例VNFM接收VNF实例发送证书申请代理消息,证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息,验证信息用于在VNF实例与VNFM之间建立代理申请证书通道;VNFM利用验证信息对VNF实例进行验证,并在验证通过时,向CA发送证书申请消息,证书申请消息中包含了用于申请证书的证书申请信息;VNFM接收CA签发的证书,并将证书发送给VNF实例,这样,实例化的VNF实例通过VNFM与证书认证中心之间的信任链路申请证书认证中心签发的证书,有效保证了VNF实例申请证书的合法性,确保了VNF实例与VNFM之间通过证书认证中心签发的证书建立管理通道的安全性。

附图说明

为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。

图1为本发明实施例一提供的一种证书获取方法的流程示意图;

图2为本发明实施例二提供的一种证书获取方法的流程示意图;

图3为本发明实施例三提供的一种证书获取方法的流程示意图;

图4为本发明实施例四提供的一种证书获取方法的流程示意图;

图5为一种证书获取方法的流程示意图;

图6为本发明实施例五提供的一种证书获取设备的结构示意图;

图7为本发明实施例六提供的一种证书获取设备的结构示意图;

图8为本发明实施例七提供的一种证书获取设备的结构示意图;

图9为本发明实施例八提供的一种证书获取设备的结构示意图;

图10为本发明实施例九提供的一种证书获取设备的结构示意图;

图11为本发明实施例十提供的一种证书获取设备的结构示意图;

图12为本发明实施例十一提供的一种证书获取设备的结构示意图;

图13为本发明实施例十二提供的一种证书获取设备的结构示意图。

具体实施方式

为了实现本发明的目的,本发明实施例提供了一种证书的获取方法和设备,VNFM接收VNF实例发送证书申请代理消息,证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息,验证信息用于在VNF实例与VNFM之间建立代理申请证书通道;VNFM利用验证信息对VNF实例进行验证,并在验证通过时,向CA发送证书申请消息,证书申请消息中包含了用于申请证书的证书申请信息;VNFM接收CA签发的证书,并将证书发送给VNF实例,这样,实例化的VNF实例通过VNFM与证书认证中心之间的信任链路申请证书认证中心签发的证书,有效保证了VNF实例申请证书的合法性,确保了VNF实例与VNFM之间通过证书认证中心签发的证书建立管理通道的安全性。

需要说明的是,由于VNF实例在实例化之后,属于一个新的虚拟网元,与虚拟网络中的其他网元尚未建立信任链路,与证书认证中心(Certificate Authority,CA),彼此属于不信任网元,因此,无法直接从CA处申请证书,本发明实施例通过证书申请代理的方式使得VNF实例申请到合法证书。

下面结合说明书附图对本发明各个实施例进行详细描述。

实施例一:

如图1所示,为本发明实施例一提供的一种证书获取方法的流程示意图。所述方法可以如下所述。

步骤101:虚拟化网络功能VNF管理设备VNFM接收VNF实例发送证书申请代理消息。

其中,所述证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息,所述验证信息用于在所述VNF实例与所述VNFM之间建立代理申请证书通道。

需要说明的是,证书申请信息至少包含了:证书格式、域名、证书认证中心信息等。

在步骤101中,在虚拟网络中,完成对VNF实例化后,为了确保实例化VNF实例与其他虚拟网元之间通信的安全性,需要为实例化的VNF实例申请证书。

具体地,NFVO在接收到实例化VNF实例指令时,确定后续用于建立所述VNF实例与所述VNFM之间代理申请证书通道的验证信息,并将确定的验证信息携带在实例化VNF指令中发送给VIM,由VIM将实例化VNF指令发送给NFVI,请求NFVI为该VNF实例分配VM,完成VNF实例化。

NFVI给该VNF实例分配VM以及完成该VNF实例化时,将实例化VNF指令中携带的确定的验证信息注入该VNF实例。

可选地,验证信息的形式包括但不限于以下形式:

第一种情形:

所述验证信息为临时证书。

其中,所述临时证书是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的。

需要说明的是,虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时从所述VNFM中申请得到的临时证书,由VNFM通过特殊方式生成,而由VNFM生成的临时证书仅能被VNFM信任,虚拟网络中的其他网元不能信任该临时证书。

可选地,所述临时证书是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时从CA中申请的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF的。

虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时从CA中申请临时证书的前提是:

CA通过特殊方式(例如:使用特定公私钥为临时证书签名)得到临时证书,且临时证书仅能被CA信任,其他网元不信任该临时证书。

VNFO、VIM和NFVI之间在传输临时证书时,还可以传输与临时证书对应的私钥,但是私钥在多个网元间传输,存在安全风险,因此,本实施例中需要保证VNFO、VIM和NFVI之间的通信安全,以保证用于申请证书的私钥不被泄露。同时临时证书在本实施例中仅能使用一次,以防止多次使用过程中出现临时证书被恶意网元获取的风险,进一步保证了虚拟网络中各个网元之间通信的安全性。

第二种情形:

所述验证信息为预共享密钥PSK。

其中,所述PSK是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时生成的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的。

需要说明的是,预共享密钥由NFVO生成,并发送给VNFM,以便于VNF实例与VNFM之间的初始通信通过该PSK完成。

需要说明的是,所谓预共享密钥,预先配置给需要通信的两端,通信的两端通过预共享密钥建立通信。预共享密钥可以是对称密钥,即通信双方持有的密钥相同,也可以是非对称密钥,即通信双方持有的密钥不相同,例如,公私密钥对。

为了保证申请证书的合法性,该VNF实例采用证书申请代理的方式申请证书。

此时,该VNF实例可以利用确定的验证信息和用于申请证书的证书申请信息申请证书。

该VNF实例向VNFM发送证书申请代理消息,其中,所述证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息。

需要说明的是,假设该VNF实例接收到的验证信息是预共享密钥(PSK),那么为了确保证书申请代理者VNFM身份的合法性,该VNF实例向VNFM发送证书申请代理信息之前,需要通过预共享密钥对VNFM身份进行验证。

具体地,所述VNFM向所述VNF实例发送存储在本地的预共享密钥(PSK),并接收所述VNF实例发送的证书申请代理消息,其中,所述证书申请代理消息是所述VNF实例在确定本地注入的PSK与接收到的所述VNFM发送的PSK相同或者关联时向所述VNFM发送的。

步骤102:所述VNFM利用所述验证信息对所述VNF实例进行验证,并在验证通过时,向证书认证中心CA发送证书申请消息。

其中,所述证书申请消息中包含了用于申请证书的证书申请信息。

在步骤102中,所述VNFM利用所述验证信息对所述VNF实例进行验证的方式包括但不限于:

假设所述验证信息是步骤101中第一种情形中描述的临时证书时,所述VNFM在接收到所述证书申请代理消息中包含的临时证书时,将接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书进行比较;

所述VNFM在确定接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书相同时,确定对所述VNF实例的验证通过;

所述VNFM在确定接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书不相同时,确定对所述VNF实例的验证未通过。

假设所述验证信息是步骤101中第二种情形中描述的预共享密钥时,所述VNFM在接收到所述证书申请代理消息中包含的PSK时,将接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK进行比较;

所述VNFM在确定接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK相同或者关联时,确定对所述VNF实例的验证通过;

所述VNFM在确定接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK不相同或者不关联时,确定对所述VNF实例的验证未通过。

步骤103:所述VNFM接收所述CA签发的证书,并将所述证书发送给所述VNF实例。

其中,所述证书是所述CA根据所述证书申请消息中包含了用于申请证书的证书申请信息生成的。

在步骤103中,所述VNFM在接收所述CA签发的证书时,确定虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时从所述VNFM或者从CA中申请得到的临时证书,或虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时生成的预共享密钥失效,也就意味着,临时证书或预共享密钥在在接收所述CA签发的证书时将不再被VNFM信任。

在本发明实施例中,所述方法还包括:

所述VNFM在将所述证书发送给所述VNF实例时,利用所述证书建立与所述VNF实例之间的管理通道。

通过本发明实施例一的方案,VNFM接收VNF实例发送证书申请代理消息,证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息,验证信息用于在VNF实例与VNFM之间建立代理申请证书通道;VNFM利用验证信息对VNF实例进行验证,并在验证通过时,向CA发送证书申请消息,证书申请消息中包含了用于申请证书的证书申请信息;VNFM接收CA签发的证书,并将证书发送给VNF实例,这样,实例化的VNF实例通过VNFM与证书认证中心之间的信任链路申请证书认证中心签发的证书,有效保证了VNF实例申请证书的合法性,确保了VNF实例与VNFM之间通过证书认证中心签发的证书建立管理通道的安全性。

实施例二:

如图2所示,为本发明实施例二提供的一种证书获取方法的流程示意图。所述方法可以如下所述。

本发明实施例二实施的前提是NFVO、VIM和NFVI相互合作,生成VM,并在VN上启动运行VNF实例。

需要说明的是,VM与VIM之间建立了安全的信任链接。

VM与VIM之间建立了安全的信任链接通过后续实施例四进行详细说明,这里不做描述。

步骤201:虚拟化网络功能VNF管理设备VNFM接收VNF框架中管理虚拟基础设施VIM发送证书申请代理消息。

其中,所述证书申请代理消息中包含了请求申请证书的VNF实例和所述VNF实例用于申请证书的证书申请信息。

需要说明的是,证书申请信息至少包含了:证书格式、域名、证书认证中心信息等。

在步骤201中,在虚拟网络中,完成对VNF实例化后,为了确保实例化VNF实例与其他虚拟网元之间通信的安全性,需要为实例化的VNF实例申请证书。

具体地,NFVO在接收到实例化VNF实例指令时,将实例化VNF指令中发送给VIM,由VIM将实例化VNF指令发送给NFVI,请求NFVI为该VNF实例分配VM,完成VNF实例化。

其中,所述实例化VNF指令中包含了VNF实例的初始化参数。

NFVI给该VNF实例分配VM以及完成该VNF实例化时,将实例化VNF指令中包含的VNF实例的初始化参数注入该VNF实例。

为了保证申请证书的合法性,该VNF实例采用证书申请代理的方式申请证书。

此时,该VNF实例根据初始化参数得到证书申请信息。

所述初始化参数包含了CA信息、证书管理域的域名。

同时,该VNF实例根据初始化参数生成公私密钥对。

其中,私钥存储在该VNF实例本地,公钥携带在证书申请信息中发送给该VNF实例运行的VM。

需要说明的是,由于该VNF实例运行在VM上,认定该VNF实例与VM之间建立了信任链路。

由于VM与VIM之间建立了安全的信任链接,VM在接收到VNF实例发送的证书申请消息时,通过与所述VIM之间的安全通道向所述VIM发送证书申请代理消息。

其中,所述证书申请代理消息中包含了用于申请证书的证书申请信息。

所述VIM在接收到证书申请代理消息时,将所述证书申请代理消息转发给VNFM,由VNFM作为证书申请代理者,向证书认证中心CA申请证书。

需要说明的是,VNFM预先与证书认证中心CA建立可信安全的传输通道。

步骤202:所述VNFM向证书认证中心CA发送证书申请消息。

其中,所述证书申请信息中包含了用于申请证书的证书申请信息。

步骤203:所述VNFM接收所述CA签发的证书,并将所述证书发送给所述VIM。

其中,所述证书是所述CA根据所述证书申请消息中包含了用于申请证书的证书申请信息生成的。

在步骤203中,所述VNFM接收所述CA签发的证书,并将所述证书发送给所述VIM后,由所述VIM利用与VM之间的传输通道将所述证书发送给VM,再由VM发送给VNF实例,使得VNF实例通过本地存储的私钥对接收到证书进行验证,并在验证通过时,利用所述证书建立与VNFM之间的管理通道。

通过本发明实施例二的方案,实例化的VNF实例利用VM与VIM之间的可信安全的传输通道将证书申请代理信息发送给VNFM,再通过VNFM与证书认证中心之间的信任链路申请证书认证中心签发的证书,有效保证了VNF实例申请证书的合法性,进一步确保了VNF实例与VNFM之间利用证书认证中心签发的证书建立的管理通道的安全性。

实施例三:

如图3所示,为本发明实施例三提供的一种证书获取方法的流程示意图。所述方法可以如下所述。

本发明实施例三实施例的前提是NFVO在确定实例化VNF实例时,从证书认证中心CA处申请一个临时证书,该临时证书用于VNF实例申请合法证书。

需要说明的是,NFVO确定实例化VNF实例过程中,NFVO、VIM、NFVI之间建立可信的传输通道,使得实例化VNF实例的过程不会被攻击,且传输的临时证书不会被泄露。

步骤301:证书认证中心CA接收虚拟化网络功能VNF实例发送的证书申请消息。

其中,所述证书申请消息中包含了临时证书和用于申请证书的证书申请信息,所述临时证书是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时从所述CA中申请的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的。

需要说明的是,证书申请信息至少包含了:证书格式、域名、证书认证中心信息等。

在步骤301中,在虚拟网络中,完成对VNF实例化后,为了确保实例化VNF实例与其他虚拟网元之间通信的安全性,需要为实例化的VNF实例申请证书。

具体地,NFVO在接收到实例化VNF实例指令时,将实例化VNF指令中发送给VIM,由VIM将实例化VNF指令发送给NFVI,请求NFVI为该VNF实例分配VM,完成VNF实例化。

其中,所述实例化VNF指令中包含了VNF实例的初始化参数。

NFVI给该VNF实例分配VM以及完成该VNF实例化时,将实例化VNF指令中包含的VNF实例的初始化参数注入该VNF实例。

此时,该VNF实例根据初始化参数得到证书申请信息。

所述初始化参数包含了CA信息、证书管理域的域名。由虚拟化功能网络编排器NFVO确定实例化所述VNF实例时生成,并由NFVI给该VNF实例分配VM以及完成该VNF实例化时注入。

该VNF实例根据初始化参数生成用于申请证书的公私密钥对。

其中,私钥存储在该VNF实例本地。

公钥携带在证书申请信息中发送给证书认证中心CA。

需要说明的是,该VNF实例根据注入的证书认证中心CA,将临时证书以及用于申请证书的证书申请信息携带在证书申请消息中发送给所述CA。

步骤302:所述CA利用所述临时证书对所述VNF实例进行认证,并在认证通过时,根据所述证书申请消息中包含的用于申请证书的证书申请信息,签发证书给所述VNF实例。

在步骤302中,所述CA在接收到证书申请消息时,利用证书申请消息中包含的临时证书对VNF实例进行认证,并在认证通过时,根据所述证书申请消息中包含的用于申请证书的证书申请信息,签发证书给所述VNF实例。

在本发明实施例中,所述方法还包括:

所述VNF实例获取证书之后,通过本地存储的私钥对接收到证书进行验证,并在验证通过时,利用所述证书建立与VNFM之间的管理通道。

通过本发明实施例三的方案,实例化的VNF实例利用NFVO确定实例化VNF实例时申请的临时证书,与CA之间建立了申请证书的可信通道,有效保证了VNF实例申请证书的合法性,进一步确保了VNF实例与VNFM之间利用证书认证中心签发的证书建立的管理通道的安全性。

实施例四:

如图4所示,为本发明实施例四提供的一种证书获取方法的流程示意图。所述方法可以如下所述。

本发明实施例四具体描述VM与VMM或者VIM之间建立管理通道的方法。

步骤401:虚拟网络功能基础设备NFVI接收虚拟机VM发送的证书申请消息。

其中,所述证书申请消息中包含了用于申请证书的证书申请信息。

需要说明的是,证书申请信息至少包含了:证书格式、域名、证书认证中心信息等。

在步骤401中,在虚拟网络中,完成对VNF实例化后,为了确保实例化VNF实例与其他虚拟网元之间通信的安全性,需要为实例化的VNF实例申请证书。

由于VFN实例运行的虚拟资源VM是在需要实例化VNF实例时分配的,因此,在分配VM之后,需要建立VM与VMM之间的管理通道,这样保证了VM的合法性,进而使得VNF实例的合法性增强。

具体地,NFVO在接收到实例化VNF实例指令时,将实例化VNF指令中发送给VIM,由VIM将实例化VNF指令发送给NFVI,请求NFVI为该VNF实例分配VM,完成VNF实例化。

NFVI根据实例化VNF指令为VNF实例分配VM。

其中,VIM向NFVI发送请求分配虚拟资源信息,其中,所述请求分配虚拟资源信息中包含了证书申请的初始化参数等。

NFVI根据实例化VNF指令为VNF实例分配VM后,将证书申请的初始化参数注入VM。

VM启动时,根据初始化参数生成公私密钥对。

所述初始化参数包含了CA信息、证书管理域的域名,由虚拟网络功能框架中管理虚拟基础设施VIM在接收到虚拟化功能网络编排器NFVO发送的生成所述VM时得到。

其中,私钥存储在VM本地,公钥用于申请证书,携带在证书申请信息中。

此时,VM向NFVI发送证书申请消息。

步骤402:所述NFVI向证书认证中心CA发送证书申请代理消息。

其中,所述证书申请代理消息中包含了所述VM用于申请证书的证书申请信息。

在步骤402中,所述NFVI向证书认证中心CA发送证书申请代理消息的方式包括但不限于:

第一种方式:

所述NFVI与证书认证中心CA之间预先建立可信的传输通道,此时,所述NFVI直接向证书认证中心CA发送证书申请代理消息。

第二种方式:

所述VIM与证书认证中心CA之间预先建立可信的传输通道。

所述NFVI向虚拟网络功能框架中管理虚拟基础设施VIM发送证书申请代理消息,并由所述VIM将所述证书申请代理消息转发至证书认证中心CA。

如图5所示,为一种证书获取方法的流程示意图。

具体地,所述NFVI在接收到VM发送证书申请消息,生成证书申请代理消息,并将该证书申请代理消息发送给VIM,由所述VIM将所述证书申请代理消息转发至证书认证中心CA。

步骤403:所述NFVI接收所述CA签发的证书,并将所述证书发送给所述VM。

其中,所述证书由所述CA根据所述证书申请代理消息中包含了所述VM用于申请证书的证书申请信息生成的。

在步骤403中,所述方法还包括:

在所述VM接收到所述证书时,通过本地存储的私钥对接收到证书进行验证,并在验证通过时,建立所述VM与所述VM的管理设备(VMM)之间建立的管理通道。

通过本发明实施例四的方案,VM通过证书申请代理方式申请到合法证书,并建立与VMM或VIM之间可信的传输通道,为确保VNF实例与VNFM之间利用证书认证中心签发的证书建立可信的管理通道作了铺垫,有效提升了VNF实例与VNFM之间管理通道的安全性。

实施例五:

如图6所示,为本发明实施例五提供的一种证书获取设备的结构示意图,所述设备包括:接收模块61和发送模块62,其中:

接收模块61,用于接收VNF实例发送的证书申请代理消息,其中,所述证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息,所述验证信息用于在所述VNF实例与虚拟化网络功能VNF管理设备VNFM之间建立代理申请证书通道;

发送模块62,用于利用所述接收模块61接收到的所述验证信息对所述VNF实例进行验证,并在验证通过时,向证书认证中心CA发送证书申请消息,其中,所述证书申请消息中包含了用于申请证书的证书申请信息;

所述接收模块61,还用于接收所述CA签发的证书;

所述发送模块62,还用于将所述接收模块61接收到的所述证书发送给所述VNF实例,其中,所述证书是所述CA根据所述证书申请消息中包含了用于申请证书的证书申请信息生成的。

可选地,所述验证信息为临时证书,其中,所述临时证书是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的。

所述发送模块62,具体用于将接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书进行比较;

在确定接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书相同时,确定对所述VNF实例的验证通过;

在确定接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书不相同时,确定对所述VNF实例的验证未通过。

可选地,所述验证信息为预共享密钥PSK,其中,所述PSK是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时生成的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的。

所述接收模块61,具体用于向所述VNF实例发送PSK,并接收VNF实例发送的证书申请代理消息,其中,所述证书申请代理消息是所述VNF实例在确定本地注入的PSK与接收到的所述VNFM发送的PSK相同或关联时向所述VNFM发送的。

所述发送模块62,具体用于将接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK进行比较;

在确定接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK相同或关联时,确定对所述VNF实例的验证通过;

在确定接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK不相同或不关联时,确定对所述VNF实例的验证未通过。

可选地,所述设备还包括:通道建立模块63,其中:

通道建立模块63,用于在将所述证书发送给所述VNF实例时,利用所述证书建立与所述VNF实例之间的管理通道。

需要说明的是,本发明实施例中所述的设备可以是虚拟系统中的虚拟化网络功能VNF管理设备VNFM,具备了为VNF实例代理申请证书的功能,实现方式可以通过硬件实现,也可以通过软件方式实现,这里不做限定。

实施例六:

如图7所示,为本发明实施例六提供的一种证书获取设备的结构示意图,所述设备包括:接收模块71和发送模块72,其中:

接收模块71,用于接收VNF框架中管理虚拟基础设施VIM发送证书申请代理消息,其中,所述证书申请代理消息中包含了请求申请证书的VNF实例和所述VNF实例用于申请证书的证书申请信息;

发送模块72,用于向证书认证中心CA发送证书申请消息,其中,所述证书申请消息中包含了所述接收模块71接收到的所述VNF实例用于申请证书的证书申请信息;

所述接收模块71,还用于接收所述CA签发的证书;

所述发送模块72,还用于将所述接收模块71接收到的所述证书发送给所述VIM,其中,所述证书是所述CA根据所述证书申请信息中包含了所述VNF实例用于申请证书的证书申请信息生成的。

可选地,所述证书申请代理消息是由所述VIM根据接收到的证书申请信息生成的,其中,所述证书申请信息由所述VNF实例根据初始化参数得到,并由所述VNF实例发送给所述VM,再由所述VM通过与所述VIM之间的安全通道发送给所述VIM的。

可选地,所述初始化参数包含了CA信息、证书管理域的域名,由虚拟化功能网络编排器NFVO确定实例化所述VNF实例时得到。

需要说明的是,本发明实施例中所述的设备可以是虚拟系统中的虚拟化网络功能VNF管理设备VNFM,具备了为VNF实例代理申请证书的功能,实现方式可以通过硬件实现,也可以通过软件方式实现,这里不做限定。

实施例七:

如图8所示,为本发明实施例提供的一种证书获取设备的结构示意图,所述设备包括:接收模块81和签发模块82,其中:

接收模块81,用于接收虚拟化网络功能VNF实例发送的证书申请消息,其中,所述证书申请消息中包含了临时证书和用于申请证书的证书申请信息,所述临时证书是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时从所述CA中申请的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的;

签发模块82,用于利用所述接收模块81接收到的所述临时证书对所述VNF实例进行认证,并在认证通过时,根据所述证书申请消息中包含的用于申请证书的证书申请信息,签发证书给所述VNF实例。

需要说明的是,本发明实施例中所述的设备可以是证书认证中心,除了CA之外,还可以是其他具备证书认证功能的其他设备,这里不做限定,实现方式可以通过硬件实现,也可以通过软件方式实现,这里不做限定。

实施例八:

如图9所示,为本发明实施例八提供的一种证书获取设备的结构示意图,所述设备包括:接收模块91和发送模块92,其中:

接收模块91,用于接收虚拟机VM发送的证书申请消息,其中,所述证书申请消息中包含了用于申请证书的公钥;

发送模块92,用于向证书认证中心CA发送证书申请代理消息,其中,所述证书申请代理消息中包含了所述接收模块接收到的所述VM用于申请证书的公钥;

所述接收模块91,用于接收所述CA签发的证书;

所述发送模块92,用于将所述接收模块91接收到的所述证书发送给所述VM,其中,所述证书由所述CA根据所述证书申请代理消息中包含了所述VM用于申请证书的公钥签名得到的。

可选地,所述发送模块92,具体用于向虚拟网络功能框架中管理虚拟基础设施VIM发送证书申请代理消息,并由所述VIM将所述证书申请代理消息转发至证书认证中心CA。

可选地,所述设备还包括:通道建立模块93,其中:

通道建立模块93,用于在所述VM接收到所述证书时,建立所述VM与所述VM的管理设备之间的管理通道。

可选地,所述公钥由所述VM根据初始化参数生成,其中,所述初始化参数包含了CA信息、证书管理域的域名,由虚拟网络功能框架中管理虚拟基础设施VIM在接收到虚拟化功能网络编排器NFVO发送的生成所述VM时得到。

需要说明的是,本发明实施例中所述的设备可以是虚拟网络功能基础设备NFVI,具备了为VM代理申请证书的功能,实现方式可以通过硬件实现,也可以通过软件方式实现,这里不做限定。

实施例九:

如图10所示,为本发明实施例九提供的一种证书获取设备的结构示意图,所述设备包括:信号接收器1011和信号发射器1012,其中:信号接收器1011和信号发射器1012通过通信总线1013进行通信。

信号接收器1011,用于接收VNF实例发送的证书申请代理消息,其中,所述证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息,所述验证信息用于在所述VNF实例与虚拟化网络功能VNF管理设备VNFM之间建立代理申请证书通道;

信号发射器1012,用于利用所述验证信息对所述VNF实例进行验证,并在验证通过时,向证书认证中心CA发送证书申请消息,其中,所述证书申请消息中包含了用于申请证书的证书申请信息;

所述信号接收器1011,还用于接收所述CA签发的证书;

所述信号发射器1012,还用于将所述证书发送给所述VNF实例,其中,所述证书是所述CA根据所述证书申请消息中包含了用于申请证书的证书申请信息生成的。

可选地,所述验证信息为临时证书,其中,所述临时证书是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的。

所述信号发射器1012,具体用于将接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书进行比较;

所述VNFM在确定接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书相同时,确定对所述VNF实例的验证通过;

所述VNFM在确定接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书不相同时,确定对所述VNF实例的验证未通过。

可选地,所述验证信息为预共享密钥PSK,其中,所述PSK是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时生成的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的。

所述信号接收器1011,具体用于向所述VNF实例发送PSK,并接收所述VNF实例发送的证书申请代理消息,其中,所述证书申请代理消息是所述VNF实例在确定本地注入的PSK与接收到的所述PSK相同或关联时,向所述VNFM发送的。

所述信号发射器1012,具体用于将接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK进行比较;

在确定接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK相同或关联时,确定对所述VNF实例的验证通过;

在确定接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK不相同或不关联时,确定对所述VNF实例的验证未通过。

可选地,所述设备还包括:处理器1014,其中:

处理器1014,用于在将所述证书发送给所述VNF实例时,利用所述证书建立与所述VNF实例之间的管理通道。

处理器1014可以是一个通用中央处理器(CPU),微处理器,特定应用集成电路(application-specific integrated circuit,ASIC),或一个或多个用于控制本发明方案程序执行的集成电路。

所述通信总线1013可包括一通路,在上述组件之间传送信息。

需要说明的是,本发明实施例中所述的设备可以是虚拟系统中的虚拟化网络功能VNF管理设备VNFM,具备了为VNF实例代理申请证书的功能,实现方式可以通过硬件实现,也可以通过软件方式实现,这里不做限定。

实施例十:

如图11所示,为本发明实施例十提供的一种证书获取设备的结构示意图,所述设备包括:信号接收器1111和信号发射器1112,其中,所述信号接收器1111和信号发射器1112通过通信总线1113连接。

信号接收器1111,用于接收VNF框架中管理虚拟基础设施VIM发送证书申请代理消息,其中,所述证书申请代理消息中包含了请求申请证书的VNF实例和所述VNF实例用于申请证书的证书申请信息;

信号发射器1112,用于向证书认证中心CA发送证书申请消息,其中,所述证书申请消息中包含了所述VNF实例用于申请证书的证书申请信息;

所述信号接收器1111,还用于接收所述CA签发的证书;

所述信号发射器1112,还用于将所述证书发送给所述VIM,其中,所述证书是所述CA根据所述证书申请信息中包含了所述VNF实例用于申请证书的证书申请信息生成的。

可选地,所述证书申请代理消息是由所述VIM根据接收到的证书申请信息生成的,其中,所述证书申请信息由所述VNF实例根据初始化参数得到,并由所述VNF实例发送给所述VM,再由所述VM通过与所述VIM之间的安全通道发送给所述VIM的。

可选地,所述初始化参数包含了CA信息、证书管理域的域名,由虚拟化功能网络编排器NFVO确定实例化所述VNF实例时得到。

需要说明的是,本发明实施例中所述的设备可以是虚拟系统中的虚拟化网络功能VNF管理设备VNFM,具备了为VNF实例代理申请证书的功能,实现方式可以通过硬件实现,也可以通过软件方式实现,这里不做限定。

实施例十一:

如图12所示,为本发明实施例十一提供的一种证书获取设备的结构示意图,所述设备包括:信号接收器1211和处理器1212,其中,所述信号接收器1211和处理器1212通过通信总线1213连接。

信号接收器1211,用于接收虚拟化网络功能VNF实例发送的证书申请消息,其中,所述证书申请消息中包含了临时证书和用于申请证书的证书申请信息,所述临时证书是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时从所述CA中申请的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的;

处理器1212,用于利用所述临时证书对所述VNF实例进行认证,并在认证通过时,根据所述证书申请消息中包含的用于申请证书的证书申请信息,签发证书给所述VNF实例。

处理器1212可以是一个通用中央处理器(CPU),微处理器,特定应用集成电路(application-specific integrated circuit,ASIC),或一个或多个用于控制本发明方案程序执行的集成电路。

所述通信总线1213可包括一通路,在上述组件之间传送信息。

需要说明的是,本发明实施例中所述的设备可以是证书认证中心,除了CA之外,还可以是其他具备证书认证功能的其他设备,这里不做限定,实现方式可以通过硬件实现,也可以通过软件方式实现,这里不做限定。

实施例十二:

如图13所示,为本发明实施例十二提供的一种证书获取设备的结构示意图,所述设备包括:信号接收器1311和信号发射器1312,其中,所述信号接收器1311和信号发射器1312通过通信总线1313连接。

信号接收器1311,用于接收虚拟机VM发送的证书申请消息,其中,所述证书申请消息中包含了用于申请证书的公钥;

信号发射器1312,用于向证书认证中心CA发送证书申请代理消息,其中,所述证书申请代理消息中包含了所述VM用于申请证书的公钥;

所述信号接收器1311,还用于接收所述CA签发的证书;

所述信号发射器1312,还用于将所述证书发送给所述VM,其中,所述证书由所述CA根据所述证书申请代理消息中包含了所述VM用于申请证书的公钥签名得到的。

具体地,所述信号发射器1312,具体用于向虚拟网络功能框架中管理虚拟基础设施VIM发送证书申请代理消息,并由所述VIM将所述证书申请代理消息转发至证书认证中心CA。

可选地,所述设备还包括:处理器1314,其中:

处理器1314,用于在所述VM接收到所述证书时,建立所述VM与所述VM的管理设备之间建立的管理通道。

可选地,所述公钥由所述VM根据初始化参数生成,其中,所述初始化参数包含了CA信息、证书管理域的域名,由虚拟网络功能框架中管理虚拟基础设施VIM在接收到虚拟化功能网络编排器NFVO发送的生成所述VM时得到。

处理器1314可以是一个通用中央处理器(CPU),微处理器,特定应用集成电路(application-specific integrated circuit,ASIC),或一个或多个用于控制本发明方案程序执行的集成电路。

所述通信总线1313可包括一通路,在上述组件之间传送信息。

需要说明的是,本发明实施例中所述的设备可以是虚拟网络功能基础设备NFVI,具备了为VM代理申请证书的功能,实现方式可以通过硬件实现,也可以通过软件方式实现,这里不做限定。

本领域的技术人员应明白,本发明的实施例可提供为方法、装置(设备)、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、装置(设备)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

完整全部详细技术资料下载
当前第1页1 2 3 
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:熊莺;王江胜;冯成燕;
  • 技术所有人:华为技术有限公司;
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2