BR112016026035B1 - Dispositivo e métodos de aquisição de certificado - Google Patents

Dispositivo e métodos de aquisição de certificado Download PDF

Info

Publication number
BR112016026035B1
BR112016026035B1 BR112016026035-0A BR112016026035A BR112016026035B1 BR 112016026035 B1 BR112016026035 B1 BR 112016026035B1 BR 112016026035 A BR112016026035 A BR 112016026035A BR 112016026035 B1 BR112016026035 B1 BR 112016026035B1
Authority
BR
Brazil
Prior art keywords
certificate
vnf instance
enforcement
vnf
vnfm
Prior art date
Application number
BR112016026035-0A
Other languages
English (en)
Other versions
BR112016026035A2 (pt
Inventor
Ying Xiong
Jiangsheng Wang
Chengyan FENG
Original Assignee
Huawei Technologies Co., Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co., Ltd filed Critical Huawei Technologies Co., Ltd
Publication of BR112016026035A2 publication Critical patent/BR112016026035A2/pt
Publication of BR112016026035B1 publication Critical patent/BR112016026035B1/pt

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances

Abstract

MÉTODO E DISPOSITIVO DE AQUISIÇÃO DE CERTIFICADO A presente invenção descreve um método e dispositivo de aquisição de certificado, incluindo: receber (101), por um VNFM, uma mensagem de proxy de aplicação de certificado enviada por uma instância de VNF, em que a mensagem de proxy de aplicação de certificado inclui informação de autenticação e informação de aplicação de certifica do que é utilizada para aplicação de certificado, em que a informação de autenticação é utilizada para estabelecer um canal para proxy-aplicação de certificado entre a instância de VNF e o VNFM; utilizar (102), pelo VNFM, a informação de autenticação para autenticar a instância de VNF, e quando a autenticação é bem sucedida, enviar uma mensagem de aplicação de certificado para uma CA, em que a mensagem de aplicação de certificado inclui a informação de aplicação de certificado que é utilizada para aplicação de certificado; e receber (103), pelo VNFM, um certificado emitido pela CA, e enviar o certificado para a instância de VNF. Desta forma, através de um enlace de confiança entre o VNFM e a autoridade de certificado, a instância de VNF instanciada solicita um certificado emitido pela autoridade de certificado, assim garantindo efetivamente a legalidade do certificado solicitado pela instância (...).

Description

CAMPO TÉCNICO
[001] A presente invenção refere-se ao campo de implantação de rede virtual e, em particular, a um método e dispositivo de obtenção de certificado.
FUNDAMENTOS
[002] Virtualização de função de rede (Network Function Virtualization, NFV) é uma organização de padronização fundada com o objetivo de "virtualizar redes convencionais" e desenvolveu um conjunto de padrões para implantação de rede em um ambiente virtualizado. Os padrões desenvolvidos pela organização de NFV podem implementar virtualização de rede, implantação flexível, e semelhantes.
[003] Uma arquitetura de rede virtual desenvolvida pela NFV inclui um sistema de gerenciamento de elementos (Element Management System, EMS), um orquestrador de NFV (NFV Orchestra, NFVO), uma instância de função de rede virtualizada (Virtual Network Function, VNF), um gerenciador de VNF (VNF Manager, VNFM), uma infraestrutura de NFV (Network Function Virtual Infrastructure, NFVI), e um gerenciador de infraestrutura virtualizada (Virtual Infrastructure Manager, VIM) em uma estrutura de trabalho de VNF.
[004] O EMS, que é um gerenciador de elementos de rede convencional, é configurado para gerenciar uma instância de VNF como um elemento de rede, em que a instância de VNF é obtida por instanciação; o NFVO é configurado para orquestrar uma VNF; a instância de VNF é um elemento de rede virtualizado que executa uma função de rede; o VNFM é configurado para gerenciar a VNF; a NFVI inclui recursos de computação virtualizados, recursos de armazenamento virtualizados, recursos de rede virtualizados e similares; o VIM é configurado para gerenciar a NFVI de acordo com as instruções do NFVO e do VNFM.
[005] O EMS ou o VNFM gerencia a VNF estabelecendo um canal de gerenciamento para a VNF. Para evitar que um usuário mal intencionado ataque uma rede, ambas as partes precisam ser autenticadas quando um canal de gerenciamento é estabelecido entre o EMS ou o VNFM e a VNF. Geralmente, a autenticação é realizada utilizando uma tecnologia de segurança de camada de transporte (isto é, utilizando um certificado). Isto é, um certificado é utilizado como uma prova de autenticação para realizar operações de autenticação em ambas as partes.
[006] No entanto, em uma rede convencional, maneiras de aquisição de um certificado incluem, mas não são limitadas às duas maneiras seguintes:
[007] Primeira maneira: Um certificado inicial ligado ao hardware é importado manualmente ou em instalação inicial do hardware ou software, e, em seguida, um certificado desejado é adquirido utilizando o certificado inicial e um protocolo de gerenciamento de certificados.
[008] No entanto, nas normas de NFV, uma VNF é gerada automaticamente em uma VM e é incapaz de obter um certificado na primeira maneira, o que leva à falta de segurança de um canal de gerenciamento estabelecido entre um EMS ou VNFM e a VNF.
[009] Segunda maneira: Quando um elemento de rede é gerado, um fornecedor do elemento de rede define um certificado de fornecedor no elemento de rede. Portanto, quando o elemento de rede é configurado inicialmente, o elemento de rede utiliza um protocolo de gerenciamento de certificados para solicitar um sistema de chave pública (Public Key Infrastructure, PKI) de um operador um certificado emitido pelo operador. Em um processo de solicitação do certificado, o elemento de rede utiliza o certificado de fornecedor como sua prova de identidade, de modo que a PKI confia no elemento de rede e emite o certificado de operador.
[010] No entanto, em um ambiente virtualizado, uma VNF é gerada dinamicamente e é, portanto, incapaz de pedir um certificado na segunda maneira, o que leva à falta de segurança de um canal de gerenciamento estabelecido entre um EMS ou VNFM e a VNF.
SUMÁRIO
[011] Em vista disso, as modalidades da presente invenção fornecem um método e dispositivo de aquisição de certificado para resolver um problema de má segurança de um canal de gerenciamento estabelecido entre um EMS ou um VNFM e uma VNF.
[012] De acordo com um primeiro aspecto da presente invenção, é fornecido um dispositivo de aquisição de certificado, incluindo: um módulo de recepção, configurado para receber uma mensagem de proxy de aplicação de certificado enviada por uma instância de VNF, em que a mensagem de proxy de aplicação de certificado inclui informação de autenticação e informação de aplicação de certificado que é utilizada para aplicação de certificado, em que a informação de autenticação é utilizada para estabelecer um canal para proxy-aplicação de certificado entre a instância de VNF e um gerenciador de função de rede virtualizada VNF VNFM; e um módulo de envio, configurado para utilizar a informação de autenticação recebida pelo módulo de recepção para autenticar a instância de VNF, e quando a autenticação é bem sucedida, enviar uma mensagem de aplicação de certificado para uma autoridade de certificado CA, em que a mensagem de aplicação de certificado inclui a informação de aplicação de certificado utilizada para aplicação de certificado; o módulo de recepção é ainda configurado para receber um certificado emitido pela CA; e o módulo de envio é ainda configurado para enviar o certificado recebido pelo módulo de recepção para a instância de VNF, em que o certificado é gerado pela CA de acordo com a informação de aplicação de certificado que é utilizada para aplicação de certificado e incluída na mensagem de aplicação de certificado.
[013] Com referência a uma forma possível de implementação do primeiro aspecto da presente invenção, em uma primeira forma possível de implementação, a informação de autenticação é um certificado temporário, em que o certificado temporário é solicitado a partir do VNFM quando um orquestrador de virtualização de função de rede NFVO determina uma necessidade de instanciar a instância de VNF e é transmitido para a instância de VNF através de um gerenciador de infraestrutura virtualizada VIM em uma estrutura de trabalho de VNF, uma infraestrutura de NFV NFVI, e uma máquina virtual VM em que a VNF é executada.
[014] Com referência à primeira forma possível de implementação do primeiro aspecto da presente invenção, em uma segunda forma possível de implementação, o módulo de envio é especificamente configurado para: comparar um certificado temporário recebido com o certificado temporário que é solicitado a partir do VNFM quando o NFVO determina a necessidade de instanciar a instância de VNF; e quando é determinado que o certificado temporário recebido é o mesmo que o certificado temporário que é solicitado a partir do VNFM quando o NFVO determina a necessidade de instanciar a instância de VNF, determinar que a autenticação da instância de VNF é bem sucedida; ou quando é determinado que o certificado temporário recebido é diferente do certificado temporário que é solicitado a partir do VNFM quando o NFVO determina a necessidade de instanciar a instância de VNF, determinar que a autenticação da instância de VNF falha.
[015] Com referência a uma forma possível de implementação do primeiro aspecto da presente invenção, em uma terceira forma possível de implementação, a informação de autenticação é uma chave pré-compartilhada PSK, em que a PSK é gerada quando um orquestrador de virtualização de função de rede NFVO determina uma necessidade de instanciar a instância de VNF e é transmitido para a instância de VNF através de um gerenciador de infraestrutura virtualizada VIM em uma estrutura de trabalho de VNF, uma infraestrutura de NFV NFVI, e uma máquina virtual VM em que a VNF é executada.
[016] Com referência à terceira forma possível de implementação do primeiro aspecto da presente invenção, em uma quarta forma possível de implementação, o módulo de recepção é configurado especificamente para enviar a PSK para a instância de VNF e receber a mensagem de proxy de aplicação de certificado enviada pela instância de VNF, em que a mensagem de proxy de aplicação de certificado é enviada para o VNFM quando a instância de VNF determina que uma PSK localmente injetada é a mesma ou associada à PSK recebida enviada pelo VNFM.
[017] Com referência à quarta forma possível de implementação do primeiro aspecto da presente invenção, em uma quinta forma possível de implementação, o módulo de envio é especificamente configurado para: comparar a PSK recebida com uma PSK que é emitida quando o NFVO determina a necessidade de instanciar a instância de VNF; e quando é determinado que a PSK recebida é a mesma ou relacionada com a PSK que é emitida quando o NFVO determina a necessidade de instanciar a instância de VNF, determinar que a autenticação da instância de VNF é bem sucedida; ou quando é determinado que a PSK recebida é diferente de ou não associada com a PSK que é emitida quando o NFVO determina a necessidade de instanciar a instância de VNF, determinar que a autenticação da instância de VNF falha.
[018] Com referência a uma forma possível de implementação do primeiro aspecto da presente invenção, ou com referência à primeira forma possível de implementação do primeiro aspecto da presente invenção, ou com referência à segunda forma possível de implementação do primeiro aspecto da presente invenção ou com referência à terceira forma possível de implementação do primeiro aspecto da presente invenção, ou com referência à quarta forma possível de implementação do primeiro aspecto da presente invenção, ou com referência à quinta forma possível de implementação do primeiro aspecto da presente invenção, em uma sexta forma possível de implementação, o dispositivo inclui ainda: um módulo de estabelecimento de canal, configurado para: quando o certificado é enviado para a instância de VNF, utilizar o certificado para estabelecer um canal de gerenciamento para a instância de VNF.
[019] De acordo com um segundo aspecto da presente invenção, é fornecido um dispositivo de aquisição de certificado, incluindo: um módulo de recepção, configurado para receber uma mensagem de proxy de aplicação de certificado enviada por um gerenciador de infraestrutura virtualizada VIM em uma estrutura de trabalho de VNF, em que a mensagem de proxy de aplicação de certificado inclui uma instância de VNF que solicita aplicação de certificado, e informação de aplicação de certificado utilizada pela instância de VNF para aplicação de certificado; e um módulo de envio, configurado para enviar uma mensagem de aplicação de certificado para uma autoridade de certificado CA, em que a mensagem de aplicação de certificado inclui a informação de aplicação de certificado recebida pelo módulo de recepção e utilizada pela instância de VNF para aplicação de certificado; o módulo de recepção é ainda configurado para receber um certificado emitido pela CA; e o módulo de envio é ainda configurado para enviar o certificado recebido pelo módulo de recepção para o VIM, em que o certificado é gerado pela CA de acordo com a informação de aplicação de certificado utilizada pela instância de VNF para aplicação de certificado e incluída na mensagem de aplicação de certificado.
[020] Com referência a uma forma possível de implementação do segundo aspecto da presente invenção, em uma primeira forma possível de implementação, a mensagem de proxy de aplicação de certificado é gerada pelo VIM de acordo com a informação de aplicação de certificado recebida, em que a informação de aplicação de certificado é obtida pela VNF de acordo com um parâmetro de inicialização e enviada pela instância de VNF para uma VM e, em seguida, enviada pela VM para o VIM através de um canal seguro para o VIM.
[021] Com referência à primeira forma possível de implementação do segundo aspecto da presente invenção, o segundo parâmetro de inicialização inclui informação de CA e um nome de domínio de um domínio de gerenciamento de certificados e é obtido quando um orquestrador de virtualização de função de rede NFVO determina instanciar a instância de VNF.
[022] De acordo com um terceiro aspecto da presente invenção, é fornecido um dispositivo de aquisição de certificado, incluindo: um módulo de recepção, configurado para receber uma mensagem de aplicação de certificado enviada por uma instância de função de rede virtualizada VNF, em que a mensagem de aplicação de certificado inclui um certificado temporário e informação de aplicação de certificado que é utilizada para aplicação de certificado, em que o certificado temporário é solicitado a partir de uma CA quando um orquestrador de virtualização de função de rede NFVO determina a necessidade de instanciar a instância de VNF e é transmitido para a instância de VNF através de um gerenciador de infraestrutura virtualizada VIM em uma estrutura de trabalho de VNF, uma infraestrutura de NFV NFVI, e uma máquina virtual VM em que a VNF é executada; e um módulo de envio, configurado para utilizar o certificado temporário recebido pelo módulo de recepção para autenticar a instância de VNF e quando a autenticação é bem sucedida, emitir um certificado para a instância de VNF de acordo com a informação da aplicação de certificado que é utilizada para aplicação de certificado e incluída na mensagem de aplicação de certificado.
[023] De acordo com um quarto aspecto da presente invenção, é fornecido um dispositivo de aquisição de certificado, incluindo: um módulo de recepção, configurado para receber uma mensagem de aplicação de certificado enviada por uma máquina virtual VM, em que a mensagem de aplicação de certificado inclui uma chave pública utilizada para aplicação de certificado; e um módulo de envio, configurado para enviar uma mensagem de proxy de aplicação de certificado para uma autoridade de certificado CA, em que a mensagem de proxy de aplicação de certificado inclui a chave pública recebida pelo módulo de recepção e utilizada pela VM para aplicação de certificado; onde o módulo de recepção é ainda configurado para receber um certificado emitido pela CA; e o módulo de envio é ainda configurado para enviar o certificado recebido pelo módulo de recepção para a máquina virtual, em que o certificado é obtido pela CA através de assinatura de acordo com a chave pública utilizada pela VM para aplicação de certificado e incluída na mensagem de proxy de aplicação de certificado.
[024] Com referência a uma forma possível de implementação do quarto aspecto da presente invenção, em uma primeira forma possível de implementação, o módulo de envio é especificamente configurado para enviar a mensagem de proxy de aplicação de certificado para um gerenciador de infraestrutura virtualizada VIM em uma estrutura de trabalho de função de rede virtualizada, de modo que o VIM encaminha a mensagem de proxy de aplicação de certificado para a autoridade de certificado CA.
[025] Com referência a uma forma possível de implementação do quarto aspecto da presente invenção, ou com referência à primeira forma possível de implementação do quarto aspecto da presente invenção, em uma segunda forma possível de implementação, o dispositivo inclui ainda: um módulo de estabelecimento de canal, configurado para: quando a VM recebe o certificado, estabelecer um canal de gerenciamento entre a VM e um gerenciador de VM.
[026] Com referência a uma forma possível de implementação do quarto aspecto da presente invenção, ou com referência à primeira forma possível de implementação do quarto aspecto da presente invenção, ou com referência à segunda forma possível de implementação do quarto aspecto da presente invenção, em uma terceira forma possível de implementação, a chave pública é gerada pela VM de acordo com um parâmetro de inicialização, em que o parâmetro de inicialização inclui informação de CA e um nome de domínio de um domínio de gerenciamento de certificados e é obtido quando o gerenciador de infraestrutura virtualizada VIM na estrutura de trabalho de função de rede virtualizada recebe uma instrução para gerar a VM, em que a instrução é enviada por um orquestrador de virtualização de função de rede NFVO.
[027] De acordo com um quinto aspecto da presente invenção, é fornecido um dispositivo de aquisição de certificado, incluindo: um receptor de sinal, configurado para receber uma mensagem de proxy de aplicação de certificado enviada por uma instância de VNF, em que a mensagem de proxy de aplicação de certificado inclui informação de autenticação e informação de aplicação de certificado utilizada para aplicação de certificado, em que a informação de autenticação é utilizada para estabelecer um canal para proxy-aplicação de certificado entre a instância de VNF e um gerenciador de função de rede virtualizada VNF VNFM; e um transmissor de sinal, configurado para utilizar a informação de autenticação para autenticar a instância de VNF e quando a autenticação é bem sucedida, enviar uma mensagem de aplicação de certificado para uma autoridade de certificado CA, em que a mensagem de aplicação de certificado inclui a informação de aplicação de certificado que é utilizada para aplicação de certificado; onde o receptor de sinal é ainda configurado para receber um certificado emitido pela CA; e o transmissor de sinal é ainda configurado para enviar o certificado para a instância de VNF, em que o certificado é gerado pela CA de acordo com a informação da aplicação de certificado que é utilizada para aplicação de certificado e incluída na mensagem de aplicação de certificado.
[028] Com referência a uma forma possível de implementação do quinto aspecto da presente invenção, em uma primeira forma possível de implementação, a informação de autenticação é um certificado temporário, em que o certificado temporário é solicitado a partir do VNFM quando um orquestrador de virtualização de função de rede NFVO determina uma necessidade de instanciar a instância de VNF e é transmitido para a instância de VNF através de um gerenciador de infraestrutura virtualizada VIM em uma estrutura de trabalho de VNF, uma infraestrutura de NFV NFVI, e uma máquina virtual VM em que a VNF é executada.
[029] Com referência à primeira forma possível de implementação do quinto aspecto da presente invenção, em uma segunda forma possível de implementação, o transmissor de sinal é especificamente configurado para: comparar um certificado temporário recebido com o certificado temporário que é solicitado a partir do VNFM quando o NFVO determina a necessidade de instanciar a instância de VNF; e quando o VNFM determina que o certificado temporário recebido é o mesmo que o certificado temporário que é solicitado a partir do VNFM quando o NFVO determina a necessidade de instanciar a instância de VNF, determinar que a autenticação da instância de VNF é bem sucedida; ou quando o VNFM determina que o certificado temporário recebido é diferente do certificado temporário que é solicitado a partir do VNFM quando o NFVO determina a necessidade de instanciar a instância de VNF, determinar que a autenticação na instância de VNF falha.
[030] Com referência a uma forma possível de implementação do quinto aspecto da presente invenção, em uma terceira forma possível de implementação, a informação de autenticação é uma chave pré-compartilhada PSK, em que a PSK é gerada quando um orquestrador de virtualização de função de rede NFVO determina uma necessidade de instanciar a instância de VNF e é transmitido para a instância de VNF através de um gerenciador de infraestrutura virtualizada VIM em uma estrutura de trabalho de VNF, uma infraestrutura de NFV NFVI, e uma máquina virtual VM em que a VNF é executada.
[031] Com referência à terceira forma possível de implementação do quinto aspecto da presente invenção, em uma quarta forma possível de implementação, o receptor de sinal é configurado especificamente para enviar a PSK para a instância de VNF e receber a mensagem de proxy de aplicação de certificado enviada pela instância de VNF, em que a mensagem de proxy de aplicação de certificado é enviada para o VNFM quando a instância de VNF determina que uma PSK localmente injetada é a mesma ou associada à PSK recebida.
[032] Com referência à quarta forma possível de implementação do quinto aspecto da presente invenção, em uma quinta forma possível de implementação, o transmissor de sinal é especificamente configurado para: comparar a PSK recebida com uma PSK que é emitida quando o NFVO determina a necessidade de instanciar a instância de VNF; e quando é determinado que a PSK recebida é a mesma ou relacionada com a PSK que é emitida quando o NFVO determina a necessidade de instanciar a instância de VNF, determinar que a autenticação da instância de VNF é bem sucedida; ou quando é determinado que a PSK recebida é diferente de ou não associada com a PSK que é emitida quando o NFVO determina a necessidade de instanciar a instância de VNF, determinar que a autenticação da instância de VNF falha.
[033] Com referência a uma forma possível de implementação do quinto aspecto da presente invenção, ou com referência à primeira forma possível de implementação do quinto aspecto da presente invenção, ou com referência à segunda forma possível de implementação do quinto aspecto da presente invenção ou com referência à terceira forma possível de implementação do quinto aspecto da presente invenção, ou com referência à quarta forma possível de implementação do quinto aspecto da presente invenção, ou com referência à quinta forma possível de implementação do quinto aspecto da presente invenção, em uma sexta forma possível de implementação, o dispositivo inclui ainda: um processador, configurado para: quando o certificado é enviado para a instância de VNF, utilizar o certificado para estabelecer um canal de gerenciamento para a instância de VNF.
[034] De acordo com um sexto aspecto da presente invenção, é fornecido um dispositivo de aquisição de certificados, incluindo: um receptor de sinal, configurado para receber uma mensagem de proxy de aplicação de certificado enviada por um gerenciador de infraestrutura virtualizada VIM em uma estrutura de trabalho de VNF, em que a mensagem de proxy de aplicação de certificado inclui uma instância de VNF que solicita aplicação de certificado, e informação de aplicação de certificado utilizada pela instância de VNF para aplicação de certificado; e um transmissor de sinal, configurado para enviar uma mensagem de aplicação de certificado para uma autoridade de certificado CA, em que a mensagem de aplicação de certificado inclui a informação de aplicação de certificado utilizada pela instância de VNF para aplicação de certificado; em que o receptor de sinal é ainda configurado para receber um certificado emitido pela CA; e o transmissor de sinal é ainda configurado para enviar o certificado para o VIM, em que o certificado é gerado pela CA de acordo com a informação de aplicação de certificado que é utilizada pela instância de VNF para aplicação de certificado e incluída na mensagem de aplicação de certificado.
[035] Com referência a uma forma possível de implementação do sexto aspecto da presente invenção, em uma primeira forma possível de implementação, a mensagem de proxy de aplicação de certificado é gerada pelo VIM de acordo com a informação de aplicação de certificado recebida, em que a informação de aplicação de certificado é obtida pela VNF de acordo com um parâmetro de inicialização e enviada pela instância de VNF para uma VM e, em seguida, enviada pela VM para o VIM através de um canal seguro para o VIM.
[036] Com referência à primeira forma possível de implementação do sexto aspecto da presente invenção, o segundo parâmetro de inicialização inclui informação de CA e um nome de domínio de um domínio de gerenciamento de certificados e é obtido quando um organizador de virtualização de função de rede NFVO determina instanciar a instância de VNF.
[037] De acordo com um sétimo aspecto da presente invenção, é fornecido um dispositivo de aquisição de certificado, incluindo: um receptor de sinal, configurado para receber uma mensagem de aplicação de certificado enviada por uma instância de função de rede virtualizada VNF, em que a mensagem de aplicação de certificado inclui um certificado temporário e informação de aplicação de certificado que é utilizada para aplicação de certificado, em que o certificado temporário é solicitado a partir de uma CA quando um orquestrador de virtualização de função de rede NFVO determina a necessidade de instanciar a instância de VNF e é transmitido para a instância de VNF através de um gerenciador de infraestrutura virtualizada VIM em uma estrutura de trabalho de VNF, uma infraestrutura de NFV NFVI, e uma máquina virtual VM em que a VNF é executada; e um processador, configurado para utilizar o certificado temporário para autenticar a instância de VNF e quando a autenticação é bem sucedida, emitir um certificado para a instância de VNF de acordo com a informação da aplicação de certificado que é utilizada para aplicação de certificado e incluída na mensagem de aplicação de certificado.
[038] De acordo com um oitavo aspecto da presente invenção, é fornecido um dispositivo de aquisição de certificado, incluindo: um receptor de sinal, configurado para receber uma mensagem de aplicação de certificado enviada por uma máquina virtual VM, em que a mensagem de aplicação de certificado inclui uma chave pública utilizada para aplicação de certificado; e um transmissor de sinal, configurado para enviar uma mensagem de proxy de aplicação de certificado para uma autoridade de certificado CA, em que a mensagem de proxy de aplicação de certificado inclui a chave pública utilizada pela VM para aplicação de certificado; onde o receptor de sinal é ainda configurado para receber um certificado emitido pela CA; e o transmissor de sinal é ainda configurado para enviar o certificado para a máquina virtual, em que o certificado é obtido pela CA através de assinatura de acordo com a chave pública utilizada pela VM para aplicação de certificado e incluído na mensagem de proxy de aplicação de certificado.
[039] Com referência a uma forma possível de implementação do oitavo aspecto da presente invenção, em uma primeira forma possível de implementação, o transmissor de sinal é especificamente configurado para enviar a mensagem de proxy de aplicação de certificado para um gerenciador de infraestrutura virtualizada VIM em uma estrutura de trabalho de função de rede virtualizada, de modo que o VIM encaminha a mensagem de proxy de aplicação de certificado para a autoridade de certificado CA.
[040] Com referência a uma forma possível de implementação do oitavo aspecto da presente invenção, ou com referência à primeira forma possível de implementação do oitavo aspecto da presente invenção, em uma segunda forma possível de implementação, o dispositivo inclui ainda:
[041] Um processador, configurado para: quando a VM recebe o certificado, estabelecer um canal de gerenciamento entre a VM e um gerenciador de VM.
[042] Com referência a uma forma possível de implementação do oitavo aspecto da presente invenção, ou com referência à primeira forma possível de implementação do oitavo aspecto da presente invenção, ou com referência à segunda forma possível de implementação do oitavo aspecto da presente invenção, em uma terceira forma possível de implementação, a chave pública é gerada pela VM de acordo com um parâmetro de inicialização, em que o parâmetro de inicialização inclui informação de CA e um nome de domínio de um domínio de gerenciamento de certificados e é obtido quando o gerenciador de infraestrutura virtualizada VIM na estrutura de trabalho de função de rede virtualizada recebe uma instrução para gerar a VM, em que a instrução é enviada por um orquestrador de virtualização de função de rede NFVO.
[043] De acordo com um nono aspecto da presente invenção, é fornecido um método de aquisição de certificado, incluindo: receber, por um gerenciador de função de rede virtualizada VNFM, uma mensagem de proxy de aplicação de certificado enviada por uma instância de VNF, em que a mensagem de proxy de aplicação de certificado inclui informação de autenticação e informação de aplicação de certificado que é utilizada para aplicação de certificado, em que a informação de autenticação é utilizada para estabelecer um canal para proxy-aplicação de certificado entre a instância de VNF e o VNFM; utilizar, pelo VNFM, a informação de autenticação para autenticar a instância de VNF e quando a autenticação é bem sucedida, enviar uma mensagem de aplicação de certificado para uma autoridade de certificado CA, em que a mensagem de aplicação de certificado inclui a informação de aplicação de certificado utilizada para aplicação de certificado; e receber, pelo VNFM, um certificado emitido pela CA, e enviar o certificado para a instância de VNF, em que o certificado é gerado pela CA de acordo com a informação da aplicação de certificado que é utilizada para aplicação de certificado e incluída na mensagem de aplicação de certificado.
[044] Com referência a uma forma possível de implementação em um nono aspecto da presente invenção, em uma primeira forma possível de implementação, a informação de autenticação é um certificado temporário, em que o certificado temporário é solicitado a partir do VNFM quando um orquestrador de virtualização de função de rede NFVO determina uma necessidade de instanciar a instância de VNF e é transmitido para a instância de VNF através de um gerenciador de infraestrutura virtualizada VIM em uma estrutura de trabalho de VNF, uma infraestrutura de NFV NFVI, e uma máquina virtual VM em que a VNF é executada.
[045] Com referência à primeira forma possível de implementação do nono aspecto da presente invenção, em uma segunda forma possível de implementação, a utilização, pelo VNFM, da informação de autenticação para autenticar a instância de VNF inclui: comparar, pelo VNFM, um certificado temporário recebido com o certificado temporário que é solicitado a partir do VNFM quando o NFVO determina a necessidade de instanciar a instância de VNF; e quando o VNFM determina que o certificado temporário recebido é o mesmo que o certificado temporário que é solicitado a partir do VNFM quando o NFVO determina a necessidade de instanciar a instância de VNF, determinar que a autenticação da instância de VNF é bem sucedida; ou quando o VNFM determina que o certificado temporário recebido é diferente do certificado temporário que é solicitado a partir do VNFM quando o NFVO determina a necessidade de instanciar a instância de VNF, determinar que a autenticação na instância de VNF falha.
[046] Com referência a uma forma possível de implementação em um nono aspecto da presente invenção, em uma terceira forma possível de implementação, a informação de autenticação é uma chave pré-compartilhada PSK, em que a PSK é gerada quando um orquestrador de virtualização de função de rede NFVO determina uma necessidade de instanciar a instância de VNF e é transmitido para a instância de VNF através de um gerenciador de infraestrutura virtualizada VIM em uma estrutura de trabalho de VNF, uma infraestrutura de NFV NFVI, e uma máquina virtual VM em que a VNF é executada.
[047] Com referência à terceira forma possível de implementação do nono aspecto da presente invenção, em uma quarta forma possível de implementação, a recepção, por um gerenciador de função de rede virtualizada VNF VNFM, uma mensagem de proxy de aplicação de certificado enviada por uma instância de VNF inclui: enviar, pelo VNFM, a PSK para a instância de VNF e receber a mensagem de proxy de aplicação de certificado enviada pela instância de VNF, em que a mensagem de proxy de aplicação de certificado é enviada para o VNFM quando a instância de VNF determina que uma PSK localmente injetada é a mesma ou associada com a PSK recebida enviada pelo VNFM.
[048] Com referência à quarta forma possível de implementação do nono aspecto da presente invenção, em uma quinta forma possível de implementação, a utilização, pelo VNFM, da informação de autenticação para autenticar a instância de VNF inclui: comparar, pelo VNFM, a PSK recebida com uma PSK que é emitida quando o NFVO determina a necessidade de instanciar a instância de VNF; e quando o VNFM determina que a PSK recebida é a mesma ou relacionada com a PSK que é emitida quando o NFVO determina a necessidade de instanciar a instância de VNF, determinar que a autenticação da instância de VNF é bem sucedida; ou quando o VNFM determina que a PSK recebida é diferente ou não associada com a PSK que é emitida quando o NFVO determina a necessidade de instanciar a instância de VNF, determinar que a autenticação na instância de VNF falha.
[049] Com referência a uma forma possível de implementação do nono aspecto da presente invenção, ou com referência à primeira forma possível de implementação do nono aspecto da presente invenção, ou com referência à segunda forma possível de implementação do nono aspecto da presente invenção, ou com referência à terceira forma possível de implementação do nono aspecto da presente invenção, ou com referência à quarta forma possível de implementação do nono aspecto da presente invenção, ou com referência à quinta forma possível de implementação do nono aspecto da presente invenção, em uma sexta forma possível de implementação, o método inclui ainda: utilizar, pelo VNFM, o certificado para estabelecer um canal de gerenciamento para a instância de VNF ao enviar o certificado para a instância de VNF.
[050] De acordo com um décimo aspecto da presente invenção, um método de aquisição de certificado é fornecido, incluindo: receber, por um gerenciador de função de rede virtualizada VNFM, uma mensagem de proxy de aplicação de certificado enviada por um gerenciador de infraestrutura virtualizada VIM em uma estrutura de trabalho de VNF, em que a mensagem de proxy de aplicação de certificado inclui uma instância de VNF que solicita aplicação de certificado, e informação de aplicação de certificado utilizada pela instância de VNF para aplicação de certificado; enviar, pelo VNFM, uma mensagem de aplicação de certificado para uma autoridade de certificado CA, em que a mensagem de aplicação de certificado inclui a informação da aplicação de certificado utilizada pela instância de VNF para aplicação de certificado; e receber, pelo VNFM, um certificado emitido pela CA, e enviar o certificado para o VIM, em que o certificado é gerado pela CA de acordo com a informação da aplicação de certificado utilizada pela instância de VNF para aplicação de certificado e incluído na mensagem de aplicação de certificado.
[051] Com referência a uma forma possível de implementação em um décimo aspecto da presente invenção, em uma primeira forma possível de implementação, a mensagem de proxy de aplicação de certificado é gerado pelo VIM de acordo com a informação da aplicação de certificado recebida, em que a informação de aplicação de certificado é obtida pela instância de VNF de acordo com um parâmetro de inicialização e enviada pela instância de VNF para uma VM e, em seguida, enviada pela VM para o VIM através de um canal seguro para o VIM.
[052] Com referência à primeira forma possível de implementação do décimo aspecto da presente invenção, em uma segunda forma possível de implementação, o parâmetro de inicialização inclui informação de CA e um nome de domínio de um domínio de gerenciamento de certificados e é obtido quando um orquestrador de virtualização de função de rede NFVO determina instanciar a instância de VNF.
[053] De acordo com um décimo primeiro aspecto da presente invenção, um método de aquisição de certificado é fornecido, incluindo: receber, por uma autoridade de certificado CA, uma mensagem de aplicação de certificado enviada por uma instância de função de rede virtualizada VNF, em que a mensagem de aplicação de certificado inclui um certificado temporário e informação de aplicação de certificado que é utilizada para aplicação de certificado, em que o certificado temporário é solicitado a partir da CA quando um orquestrador de virtualização de função de rede NFVO determina a necessidade de instanciar a instância de VNF e é transmitido para a instância de VNF através de um gerenciador de infraestrutura virtualizada VIM em uma estrutura de trabalho de VNF, uma infraestrutura de NFV NFVI, e uma máquina virtual VM em que a VNF é executada; e utilizar, pela CA, o certificado temporário para autenticar a instância de VNF, e quando a autenticação é bem sucedida, emitir um certificado para a instância de VNF de acordo com a informação da aplicação de certificado que é utilizada para aplicação de certificado e incluído na mensagem de aplicação de certificado.
[054] De acordo com um décimo segundo aspecto da presente invenção, um método de aquisição de certificado é fornecido, incluindo: receber, por uma infraestrutura de virtualização de função de rede NFVI, uma mensagem de aplicação de certificado enviada por uma máquina virtual VM, em que a mensagem de aplicação de certificado inclui uma chave pública utilizada para aplicação de certificado; enviar, pela NFVI, uma mensagem de proxy de aplicação de certificado para uma autoridade de certificado CA, em que a mensagem de proxy de aplicação de certificado inclui a chave pública utilizada pela VM para aplicação de certificado; e receber, pela NFVI, um certificado emitido pela CA, e enviar o certificado para a VM, em que o certificado é obtido pela CA através de assinatura de acordo com a chave pública utilizada pela VM para aplicação de certificado e incluído na mensagem de proxy de aplicação de certificado.
[055] Com referência a uma forma possível de implementação do décimo segundo aspecto da presente invenção, em uma primeira forma possível de implementação, o envio, pela NFVI, de uma mensagem de proxy de aplicação de certificado para uma autoridade de certificado CA inclui: enviar, pela NFVI, a mensagem de proxy de aplicação de certificado para um gerenciador de infraestrutura virtualizada VIM em uma estrutura de trabalho de função de rede virtualizada, de modo que o VIM encaminha a mensagem de proxy de aplicação de certificado para a autoridade de certificado CA.
[056] Com referência a uma forma possível de implementação do décimo segundo aspecto da presente invenção, ou com referência à primeira forma possível de implementação do décimo segundo aspecto da presente invenção, em uma segunda forma possível de implementação, o método inclui ainda: estabelecer, quando a VM recebe o certificado, um canal de gerenciamento entre a VM e um gerenciador de VM.
[057] Com referência a uma forma possível de implementação do décimo segundo aspecto da presente invenção, ou com referência à primeira forma possível de implementação do décimo segundo aspecto da presente invenção, ou com referência à segunda forma possível de implementação do décimo segundo aspecto da presente invenção, em uma terceira forma possível de implementação, a chave pública é gerada pela VM de acordo com um parâmetro de inicialização, em que o parâmetro de inicialização inclui informação de CA e um nome de domínio de um domínio de gerenciamento de certificados e é obtido quando o gerenciador de infraestrutura virtualizada VIM na estrutura de trabalho de função de rede virtualizada recebe uma instrução para gerar a VM, em que a instrução é enviada por um orquestrador de virtualização de função de rede NFVO.
[058] Nas modalidades da presente invenção, um VNFM recebe uma mensagem de proxy de aplicação de certificado enviada por uma instância de VNF, em que a mensagem de proxy de aplicação de certificado inclui informação de autenticação e informação de aplicação de certificado que é utilizada para aplicação de certificado, em que a informação de autenticação é utilizada para estabelecer um canal para proxy-aplicação de certificado entre a instância de VNF e o VNFM; o VNFM utiliza a informação de autenticação para autenticar a instância de VNF, e quando a autenticação é bem sucedida, envia uma mensagem de aplicação de certificado para uma CA, em que a mensagem de aplicação de certificado inclui a informação de aplicação de certificado que é utilizada para aplicação de certificado; o VNFM recebe um certificado emitido pela CA, e envia o certificado para a instância de VNF. Desta forma, através de um enlace de confiança entre o VNFM e a autoridade de certificado, a instância de VNF instanciada solicita o certificado emitido pela autoridade de certificado, assim garantindo efetivamente a legalidade do certificado solicitado pela instância de VNF e garantindo segurança de um canal de gerenciamento que é estabelecido entre a instância de VNF e o VNFM utilizando o certificado emitido pela autoridade de certificado.
BREVE DESCRIÇÃO DOS DESENHOS
[059] Para descrever as soluções técnicas nas modalidades da presente invenção com mais seguinte introduz brevemente os desenhos anexos necessários para descrever as modalidades. Aparentemente, os desenhos anexos na descrição seguinte mostram meramente algumas modalidades da presente invenção, conhecimentos normais na técnica pode desenhos a partir destes desenhos anexos sem esforços criativos.
[060] A Figura 1 é um fluxograma esquemático de um método de aquisição de certificado de acordo com a Modalidade 1 da presente invenção.
[061] A Figura 2 é um fluxograma esquemático de um método de aquisição de certificado de acordo com a Modalidade 2 da presente invenção.
[062] A Figura 3 é um fluxograma esquemático de um método de aquisição de certificado de acordo com a Modalidade 3 da presente invenção.
[063] A Figura 4 é um fluxograma esquemático de um método de aquisição de certificado de acordo com a Modalidade 4 da presente invenção.
[064] A Figura 5 é um fluxograma esquemático de um método de aquisição de certificado.
[065] A Figura 6 é um diagrama estrutural esquemático de um dispositivo de aquisição de certificado de acordo com a Modalidade 5 da presente invenção.
[066] A Figura 7 é um diagrama estrutural esquemático de um dispositivo de aquisição de certificado de acordo com a Modalidade 6 da presente invenção.
[067] A Figura 8 é um diagrama estrutural esquemático de um dispositivo de aquisição de certificado de acordo com a Modalidade 7 da presente invenção.
[068] A Figura 9 é um diagrama estrutural esquemático de um dispositivo de aquisição de certificado de acordo com a Modalidade 8 da presente invenção.
[069] A Figura 10 é um diagrama estrutural esquemático de um dispositivo de aquisição de certificado de acordo com a Modalidade 9 da presente invenção.
[070] A Figura 11 é um diagrama estrutural esquemático de um dispositivo de aquisição de certificado de acordo com a Modalidade 10 da presente invenção.
[071] A Figura 12 é um diagrama estrutural esquemático de um dispositivo de aquisição de certificado de acordo com a Modalidade 11 da presente invenção.
[072] A Figura 13 é um diagrama estrutural esquemático de um dispositivo de aquisição de certificado de acordo com a Modalidade 12 da presente invenção.
DESCRIÇÃO DE MODALIDADES
[073] Para conseguir os objetivos da presente invenção, modalidades da presente invenção fornecem um método e dispositivo de aquisição de certificado. O VNFM recebe uma mensagem de proxy de aplicação de certificado enviada por uma instância de VNF, em que a mensagem de proxy de aplicação de certificado inclui informação de autenticação e informação de aplicação de certificado que é utilizada para aplicação de certificado, em que a informação de autenticação é utilizada para estabelecer um canal para proxy-aplicação de certificado entre a instância de VNF e o VNFM; o VNFM utiliza a informação de autenticação para autenticar a instância de VNF, e quando a autenticação é bem sucedida, envia uma mensagem de aplicação de certificado para uma CA, em que a mensagem de aplicação de certificado inclui a informação de aplicação de certificado que é utilizada para aplicação de certificado; o VNFM recebe um certificado emitido pela CA, e envia o certificado para a instância de VNF. Desta forma, através de um enlace de confiança entre o VNFM e a autoridade de certificado, a instância de VNF instanciada solicita o certificado emitido pela autoridade de certificado, assim garantindo efetivamente a legalidade do certificado solicitado pela instância de VNF e garantindo segurança de um canal de gerenciamento que é estabelecido entre a instância de VNF e o VNFM utilizando o certificado emitido pela autoridade de certificado.
[074] Deve ser notado que, depois de uma instância de VNF ser instanciada, a instância de VNF instanciada pertence a um novo elemento de rede virtual e nenhum enlace de confiança foi estabelecido entre a instância de VNF instanciada e um outro elemento de rede em uma rede virtual, e o elemento de rede virtual e uma autoridade de certificado (Certificate Authority, CA) são elementos de rede não confiáveis de cada outro. Portanto, um certificado não pode ser solicitado a partir da CA diretamente. Nas modalidades da presente invenção, por meio de um proxy de aplicação de certificado, a instância de VNF é capaz de adquirir um certificado legal.
[075] O que segue descreve as modalidades da presente invenção em detalhe com referência aos desenhos anexos nesta especificação.
Modalidade 1
[076] Como mostrado na Figura 1, que é um fluxograma esquemático de um método de aquisição de certificado de acordo com a Modalidade 1 da presente invenção, o método pode ser descrito como segue: Passo 101: Um gerenciador de função de rede virtualizada VNF VNFM recebe uma mensagem de proxy de aplicação de certificado enviada por uma instância de VNF.
[077] A mensagem de proxy de aplicação de certificado inclui informação de autenticação e informação de aplicação de certificado que é utilizada para aplicação de certificado, em que a informação de autenticação é utilizada para estabelecer um canal para proxy-aplicação de certificado entre a instância de VNF e o VNFM.
[078] Deve ser notado que a informação da aplicação de certificado inclui um formato de certificado, um nome de domínio, informação de autoridade de certificado, e assim por diante.
[079] No passo 101, em uma rede virtual, após a VNF ser instanciada, é necessário solicitar um certificado para a instância de VNF instanciada a fim de garantir a segurança da comunicação entre a instância de VNF instanciada e outros elementos de rede virtuais.
[080] Especificamente, ao receber uma instrução para instanciar a instância de VNF, um NFVO determina informação de autenticação que é posteriormente utilizada para estabelecer um canal para proxy-aplicação de certificado entre a instância de VNF e o VNFM, adiciona a informação de autenticação determinada para a instrução para instanciar a VNF e envia a instrução para o VIM. O VIM envia a instrução para instanciar a VNF para uma NFVI, e solicita o NFVI para alocar uma VM para a instância de VNF para implementar instanciação de VNF.
[081] Ao alocar a VM para a instância de VNF e implementar a instanciação de VNF, a NFVI injeta a informação de autenticação determinada, que é transportada na instrução para instanciar a VNF, para a instância de VNF.
[082] Opcionalmente, formas da informação de autenticação incluem, mas não estão limitadas às seguintes formas:
Cenário 1:
[083] A informação de autenticação é um certificado temporário.
[084] O certificado temporário é solicitado a partir do VNFM quando o orquestrador de virtualização de função de rede NFVO determina a necessidade de instanciar a instância de VNF e é transmitido para a instância de VNF através do gerenciador de infraestrutura virtualizada VIM em uma estrutura de trabalho de VNF, a infraestrutura de NFV NFVI, e a máquina virtual VM em que a VNF é executada.
[085] Deve ser notado que o certificado temporário, que é solicitado a partir do VNFM quando o orquestrador de virtualização de função de rede NFVO determina a necessidade de instanciar a instância de VNF, é gerado pelo VNFM em uma maneira especial. O certificado temporário gerado pelo VNFM é de confiança apenas pelo VNFM e outros elementos de rede na rede virtual não confiam no certificado temporário.
[086] Opcionalmente, o certificado temporário é solicitado a partir de uma CA quando o orquestrador de virtualização de função de rede NFVO determina a necessidade de instanciar a instância de VNF e é transmitido à VNF através do gerenciador de infraestrutura virtualizada VIM em uma estrutura de trabalho de VNF, a infraestrutura de NFV NFVI e a máquina virtual VM em que a VNF é executada.
[087] Uma pré-condição para solicitar o certificado temporário a partir da CA quando o orquestrador de virtualização de função de rede NFVO determina a necessidade de instanciar a instância de VNF é:
[088] A CA obtém o certificado temporário em uma forma especial (por exemplo, utilizando uma chave pública ou privada específica para assinar o certificado temporário), e o certificado temporário é de confiança apenas pela CA, enquanto outros elementos de rede não confiam no certificado temporário.
[089] Quando o certificado temporário é transmitido entre a VNFO, VIM, e a NFVI, uma chave privada correspondente ao certificado temporário pode também ser transmitida. No entanto, existe um risco de segurança na transmissão da chave privada entre vários elementos da rede. Portanto, nesta modalidade, segurança da comunicação entre a VNFO, VIM, e a NFVI precisa ser assegurada, de modo a prevenir fugas da chave privada utilizada para aplicação de certificado. Além disso, o certificado temporário pode ser utilizado apenas uma vez nesta modalidade, de modo a evitar o risco de que o certificado temporário seja adquirido por um elemento de rede malicioso por um processo de utilização repetida, o que assegura ainda mais segurança da comunicação entre elementos de rede na rede virtual.
Cenário 2:
[090] A informação de autenticação é uma chave de PSK pré-compartilhada.
[091] A PSK é gerada quando o orquestrador de virtualização de função de rede NFVO determina a necessidade de instanciar a instância de VNF e é transmitido para a instância de VNF através do gerenciador de infraestrutura virtualizada VIM em uma estrutura de trabalho de VNF, a NFVI infraestrutura de NFV, e a máquina virtual VM em que a VNF é executada.
[092] Deve ser notado que a chave pré-compartilhada é gerada pelo NFVO e enviada para o VNFM, de modo que comunicação inicial entre a instância de VNF e o VNFM é realizada utilizando a PSK.
[093] Deve ser notado que a chave pré-compartilhada é pré-configurada para duas extremidades que precisam se comunicar, e as duas extremidades de comunicação estabelecem comunicação utilizando a chave pré- compartilhada. A chave pré-compartilhada pode ser uma chave simétrica, isto é, chaves mantidas por ambas extremidades de comunicação são as mesmas; ou a chave pré-compartilhada pode ser uma chave assimétrica, ou seja, chaves mantidas por ambas as extremidades de comunicação são diferentes, por exemplo, um par de chaves pública-privada.
[094] Para garantir legalidade de um certificado que é solicitado, a instância de VNF se solicita um certificado utilizando um proxy de aplicação de certificado.
[095] Neste caso, a instância de VNF pode solicitar o certificado utilizando a informação de autenticação determinada e a informação da aplicação de certificado que é utilizada para aplicação de certificado.
[096] A instância de VNF envia a mensagem de proxy de aplicação de certificado ao VNFM, em que a mensagem de proxy de aplicação de certificado inclui a informação de autenticação e a informação da aplicação de certificado que é utilizada para aplicação de certificado.
[097] Deve ser notado que, assumindo que a informação de autenticação recebida pela instância de VNF é uma chave pré-compartilhada (PSK), a fim de garantir legalidade de uma identidade do proxy de aplicação de certificado VNFM, a instância de VNF precisa utilizar a chave pré-compartilhada para autenticar o VNFM antes de enviar informação de proxy de aplicação de certificado ao VNFM.
[098] Especificamente, o VNFM envia uma chave pré- compartilhada armazenada localmente (PSK) para a instância de VNF, e recebe a mensagem de proxy de aplicação de certificado enviada pela instância de VNF, em que a mensagem de proxy de aplicação de certificado é enviada para o VNFM quando a instância de VNF, determina que uma PSK localmente injetada é a mesma ou associada com a PSK recebida enviada pelo VNFM. Passo 102: O VNFM utiliza informação de autenticação para autenticar a instância de VNF, e quando a autenticação é bem sucedida, envia uma mensagem de aplicação de certificado para uma autoridade de certificado CA.
[099] A mensagem de aplicação de certificado inclui a informação da aplicação de certificado que é utilizada para aplicação de certificado.
[100] No passo 102, maneiras de utilização, pelo VNFM, da informação de autenticação para autenticar a instância de VNF incluem, mas não estão limitadas a:
[101] Assumindo que a informação de autenticação é o certificado temporário descrito no cenário 1 no passo 101, ao receber o certificado temporário incluído na mensagem de proxy de aplicação de certificado, o VNFM compara o certificado temporário recebido com o certificado temporário que é solicitado a partir do VNFM quando o NFVO determina a necessidade de instanciar a instância de VNF; e quando o VNFM determina que o certificado temporário recebido é o mesmo que o certificado temporário que é solicitado a partir do VNFM quando o NFVO determina a necessidade de instanciar a instância de VNF, é determinado que a autenticação na instância de VNF é bem sucedida; ou quando o VNFM determina que o certificado temporário recebido é diferente do certificado temporário que é solicitado a partir do VNFM quando o NFVO determina a necessidade de instanciar a instância de VNF, é determinado que a autenticação na instância de VNF falha.
[102] Assumindo que a informação de autenticação é a chave pré-compartilhada descrita no cenário 2 no passo 101, ao receber a PSK incluída na mensagem de proxy de aplicação de certificado, o VNFM compara a PSK recebida com uma PSK que é emitida quando o NFVO determina a necessidade de instanciar a instância de VNF; e quando o VNFM determina que a PSK recebida é a mesma ou relacionada com a PSK que é emitida quando o NFVO determina a necessidade de instanciar a instância de VNF, é determinado que a autenticação na instância de VNF é bem sucedida; ou quando o VNFM determina que a PSK recebida é diferente de ou não associada com a PSK que é emitida quando o NFVO determina a necessidade de instanciar a instância de VNF, é determinado que a autenticação na instância de VNF falha. Passo 103: O VNFM recebe um certificado emitido pela CA, e envia o certificado para a instância de VNF.
[103] O certificado é gerado pela CA de acordo com a informação da aplicação de certificado que é utilizada para aplicação de certificado e incluído na mensagem de aplicação de certificado.
[104] No passo 103, ao receber o certificado emitido pela CA, o VNFM determina que o certificado temporário ou a chave pré-compartilhada é inválida, em que o certificado temporário é solicitado a partir do VNFM ou a CA quando o orquestrador de virtualização de função de rede NFVO determina a necessidade de instanciar a instância de VNF, e a chave pré-compartilhada é gerada quando o orquestrador de virtualização de função de rede NFVO determina a necessidade de instanciar a instância de VNF. Isto significa que o certificado temporário ou a chave pré- compartilhada não é de confiança para o VNFM quando o certificado emitido pela CA é recebido.
[105] Nesta modalidade da presente invenção, o método inclui ainda: utilizar, pelo VNFM, o certificado para estabelecer um canal de gerenciamento para a instância de VNF ao enviar o certificado para a instância de VNF.
[106] De acordo com a solução na Modalidade 1 da presente invenção, um VNFM recebe uma mensagem de proxy de aplicação de certificado enviada por uma instância de VNF, em que a mensagem de proxy de aplicação de certificado inclui informação de autenticação e informação de aplicação de certificado que é utilizada para aplicação de certificado, em que a informação de autenticação é utilizada para estabelecer um canal para proxy-aplicação de certificado entre a instância de VNF e o VNFM; o VNFM utiliza a informação de autenticação para autenticar a instância de VNF, e quando a autenticação é bem sucedida, envia uma mensagem de aplicação de certificado para uma CA, em que a mensagem de aplicação de certificado inclui a informação de aplicação de certificado que é utilizada para aplicação de certificado; o VNFM recebe um certificado emitido pela CA, e envia o certificado para a instância de VNF. Desta forma, através de um enlace de confiança entre o VNFM e a autoridade de certificado, a instância de VNF instanciada solicita o certificado emitido pela autoridade de certificado, assim garantindo efetivamente a legalidade do certificado solicitado pela instância de VNF e garantindo segurança de um canal de gerenciamento que é estabelecido entre a instância de VNF e o VNFM utilizando o certificado emitido pela autoridade de certificado.
Modalidade 2
[107] Como mostrado na Figura 2, que é um fluxograma esquemático de um método de aquisição de certificado de acordo com a modalidade 2 da presente invenção, o método pode ser descrito como segue:
[108] Uma pré-condição para implementação de Modalidade 2 da presente invenção é que um NFVO, o VIM, e uma NFVI colaboram entre si para gerar uma VM e iniciar e executar uma instância de VNF na VN.
[109] Deve ser notado que um enlace de confiança seguro é estabelecido entre a VM e o VIM.
[110] O enlace de confiança seguro estabelecido entre a VM e o VIM é detalhado na Modalidade subsequente 4, e não é descrito aqui. Passo 201: O gerenciador de função de rede virtualizada VNF VNFM recebe uma mensagem de proxy de aplicação de certificado enviada por um gerenciador de infraestrutura virtualizada VIM em uma estrutura de trabalho de VNF.
[111] A mensagem de proxy de aplicação de certificado inclui uma instância de VNF que solicita aplicação de certificado, e informação de aplicação de certificado utilizada pela instância de VNF para aplicação de certificado.
[112] Deve ser notado que a informação de aplicação de certificado inclui: um formato de certificado, um nome de domínio, uma autoridade de certificado, e assim por diante.
[113] No passo 201, em uma rede virtual, após a VNF ser instanciada, é necessário solicitar um certificado para a instância de VNF instanciada a fim de garantir a segurança da comunicação entre a instância de VNF instanciada e outros elementos de rede virtuais.
[114] Especificamente, ao receber uma instrução para instanciar a instância de VNF, um NFVO envia a instrução para instanciar a VNF para o VIM. O VIM envia a instrução para instanciar a VNF para a NFVI, e solicita o NFVI para alocar uma VM para a instância de VNF para implementar instanciação de VNF.
[115] A instrução para instanciar a VNF inclui um parâmetro de inicialização da instância de VNF.
[116] Ao alocar a VM para a instância de VNF e implementar a instanciação de VNF, a NFVI injeta o parâmetro de inicialização da instância de VNF para a instância de VNF, em que o parâmetro de inicialização está incluído na instrução para instanciar a VNF.
[117] Para garantir legalidade de um certificado que é solicitado, a instância de VNF se solicita o certificado utilizando um proxy de aplicação de certificado.
[118] Neste caso, a instância de VNF obtém a informação de aplicação de certificado de acordo com o parâmetro de inicialização.
[119] O parâmetro de inicialização inclui informação de CA e um nome de domínio de um domínio de gerenciamento de certificados.
[120] Além disso, a instância de VNF gera um par de chaves pública-privada de acordo com o parâmetro de inicialização.
[121] A chave privada é armazenada localmente na instância de VNF, e uma chave pública é transportada na informação de aplicação de certificado e enviada para uma máquina virtual em que a instância de VNF é executada.
[122] Deve ser notado que, porque a instância de VNF é executada na VM, é determinado que um enlace de confiança é estabelecido entre a instância de VNF e a VM.
[123] Uma vez que um enlace de confiança seguro é estabelecido entre a VM e o VIM, ao receber a mensagem de aplicação de certificado enviada pela instância de VNF, a VM envia uma mensagem de proxy de aplicação de certificado para o VIM utilizando o canal seguro para o VIM.
[124] A mensagem de proxy de aplicação de certificado inclui a informação da aplicação de certificado que é utilizada para aplicação de certificado.
[125] Ao receber a mensagem de proxy de aplicação de certificado, o VIM encaminha a mensagem de proxy de aplicação de certificado ao VNFM, e o VNFM serve como um proxy de aplicação de certificado e solicita uma autoridade de certificado CA para um certificado.
[126] Deve ser notado que o VNFM estabelece um canal de transmissão seguro de confiança para a autoridade de certificado CA com antecedência. Passo 202: O VNFM envia uma mensagem de aplicação de certificado para uma autoridade de certificado CA.
[127] A mensagem de aplicação de certificado inclui a informação da aplicação de certificado que é utilizada para aplicação de certificado. Passo 203: O VNFM recebe um certificado emitido pela CA, e envia o certificado para o VIM.
[128] O certificado é gerado pela CA de acordo com a informação da aplicação de certificado que é utilizada para aplicação de certificado e incluído na mensagem de aplicação de certificado.
[129] No passo 203, após o VNFM recebe o certificado emitido pela CA e envia o certificado para o VIM, o VIM utiliza um canal de transmissão para a máquina virtual para enviar o certificado para a máquina virtual, e, em seguida, a VM envia o certificado para a instância de VNF, de modo que a instância de VNF autentica o certificado recebido utilizando uma chave privada armazenada localmente, e quando a autenticação é bem sucedida, utiliza o certificado para estabelecer um canal de gerenciamento para o VNFM.
[130] De acordo com a solução na Modalidade 2 da presente invenção, através de um canal de transmissão seguro de confiança entre uma VM e um VIM, uma instância de VNF instanciada envia informação de proxy de aplicação de certificado para um VNFM, e depois através de um enlace de confiança entre o VNFM e uma autoridade de certificado, solicita um certificado emitido pela autoridade de certificado, assim garantindo efetivamente a legalidade do certificado solicitado pela instância de VNF e garantindo ainda segurança de um canal de gerenciamento que é estabelecido entre a instância de VNF e o VNFM utilizando o certificado emitido pela autoridade de certificado.
Modalidade 3
[131] Como mostrado na Figura 3, que é um fluxograma esquemático de um método de aquisição de certificado de acordo com a modalidade 3 da presente invenção, o método pode ser descrito como segue:
[132] Uma pré-condição para implementação de Modalidade 3 da presente invenção é: ao determinar instanciar uma instância de VNF, um NFVO solicita para um autoridade de certificado CA um certificado temporário, em que o certificado temporário é utilizado pela instância de VNF para solicitar um certificado legal.
[133] Deve ser notado que, em um processo em que o NFVO determina instanciar a instância de VNF, um canal de transmissão de confiança é estabelecido entre o NFVO, um VIM, e uma NFVI, de modo que o processo de instanciar a instância de VNF é protegido contra ataques e que o certificado temporário transmitido é protegido contra fugas. Passo 301: Uma autoridade de certificado CA recebe uma mensagem de aplicação de certificado enviada por uma instância de função de rede virtualizada VNF.
[134] A mensagem de aplicação de certificado inclui um certificado temporário e informação de aplicação de certificado que é utilizada para aplicação de certificado, em que o certificado temporário é solicitado a partir da CA quando o orquestrador de virtualização de função de rede NFVO determina a necessidade de instanciar a instância de VNF e é transmitido para a instância de VNF através de um gerenciador de infraestrutura virtualizada VIM em uma estrutura de trabalho de VNF, uma infraestrutura de NFV NFVI, e uma máquina virtual VM em que a VNF é executada.
[135] Deve ser notado que a informação de aplicação de certificado inclui: um formato de certificado, um nome de domínio, uma autoridade de certificado, e assim por diante.
[136] No passo 301, em uma rede virtual, após a VNF ser instanciada, é necessário solicitar um certificado para a instância de VNF instanciada a fim de garantir a segurança da comunicação entre a instância de VNF instanciada e outros elementos de rede virtuais.
[137] Especificamente, ao receber uma instrução para instanciar a instância de VNF, um NFVO envia a instrução para instanciar a VNF para o VIM. O VIM envia a instrução para instanciar a VNF para a NFVI, e solicita o NFVI para alocar uma VM para a instância de VNF para implementar instanciação de VNF.
[138] A instrução para instanciar a VNF inclui um parâmetro de inicialização da instância de VNF.
[139] Ao alocar a VM para a instância de VNF e implementar a instanciação de VNF, a NFVI injeta o parâmetro de inicialização da instância de VNF para a instância de VNF, em que o parâmetro de inicialização está incluído na instrução para instanciar a VNF.
[140] Neste caso, a instância de VNF obtém a informação de aplicação de certificado de acordo com o parâmetro de inicialização.
[141] O parâmetro de inicialização inclui informação de CA e um nome de domínio de um domínio de gerenciamento de certificados, e é gerado quando o orquestrador de virtualização de função de rede NFVO determina instanciar a instância de VNF, e é injetado quando a NFVI aloca uma VM para a instância de VNF e termina a instanciação de VNF.
[142] De acordo com o parâmetro de inicialização, a instância de VNF gera um par de chaves pública-privada utilizado para aplicação de certificado.
[143] Uma chave privada é armazenada localmente na instância de VNF.
[144] Uma chave pública é transportada na informação de aplicação de certificado e enviada para a autoridade de certificado CA.
[145] Deve ser notado que, de acordo com a autoridade de certificado CA injetada, a instância de VNF utiliza uma mensagem de aplicação de certificado para transportar o certificado temporário e a informação da aplicação de certificado que é utilizada para aplicação de certificado e envia a mensagem de aplicação de certificado para o CA. Passo 302: A CA utiliza o certificado temporário para autenticar a instância de VNF, e quando a autenticação é bem sucedida, emite um certificado para a instância de VNF de acordo com a informação da aplicação de certificado que é utilizada para aplicação de certificado e incluído na mensagem de aplicação de certificado.
[146] No passo 302, ao receber a mensagem de aplicação de certificado, a CA autentica a instância de VNF utilizando o certificado temporário incluído na mensagem de aplicação de certificado, e quando a autenticação é bem sucedida, emite um certificado para a instância de VNF de acordo com a informação de aplicação de certificado que é utilizada para aplicação de certificado e incluída na mensagem de aplicação de certificado.
[147] Nesta modalidade da presente invenção, o método inclui ainda: utilizar uma chave privada armazenada localmente para autenticar o certificado recebido depois que a instância de VNF adquire o certificado, e quando a autenticação é bem sucedida, utilizar o certificado para estabelecer um canal de gerenciamento à VNFM.
[148] De acordo com a solução na Modalidade 3 da presente invenção, utilizar um certificado temporário solicitado quando um NFVO determina instanciar uma instância de VNF, uma instância de VNF instanciada estabelece um canal de confiança para aplicação de certificado entre a instância de VNF instanciada e uma CA, assim garantindo efetivamente a legalidade do certificado solicitado pela instância de VNF e garantindo ainda segurança de um canal de gerenciamento que é estabelecido entre a instância de VNF e um VNFM utilizando o certificado emitido pela autoridade de certificado. Modalidade 4
[149] Como mostrado na Figura 4, que é um fluxograma esquemático de um método de aquisição de certificado de acordo com a modalidade 4 da presente invenção, o método pode ser descrito como segue.
[150] Modalidade 4 da presente invenção descreve especificamente um método para estabelecer um canal de gerenciamento entre uma VM e um VMM ou VIM. Passo 401: Uma infraestrutura de virtualização de função de rede NFVI recebe uma mensagem de aplicação de certificado enviada por uma máquina virtual VM.
[151] A mensagem de aplicação de certificado inclui a informação da aplicação de certificado que é utilizada para aplicação de certificado.
[152] Deve ser notado que a informação de aplicação de certificado inclui: um formato de certificado, um nome de domínio, uma autoridade de certificado, e assim por diante.
[153] No passo 401, em uma rede virtual, após a VNF ser instanciada, é necessário solicitar um certificado para a instância de VNF instanciada a fim de garantir a segurança da comunicação entre a instância de VNF instanciada e outros elementos de rede virtuais.
[154] Porque um recurso virtual VM em que a instância de VFN é executada é alocado quando a instância de VNF precisa ser instanciada, um canal de gerenciamento entre a VM e um VMM precisa ser estabelecido após a VM ser alocada, o que garante legalidade da VM e, assim, aumenta legalidade da instância de VNF.
[155] Especificamente, ao receber uma instrução para instanciar a instância de VNF, um NFVO envia a instrução para instanciar a VNF para o VIM. O VIM envia a instrução para instanciar a VNF para a NFVI, e solicita o NFVI para alocar uma VM para a instância de VNF para implementar instanciação de VNF.
[156] A NFVI aloca a VM para a instância de VNF de acordo com a instrução para instanciar a VNF.
[157] O VIM envia, para a NFVI, informação para solicitar alocar um recurso virtual, em que a informação para solicitar alocar um recurso virtual inclui um parâmetro de inicialização para aplicação de certificado e semelhantes.
[158] Depois de alocar a VM para a instância de VNF de acordo com a instrução para instanciar a VNF, a NFVI injeta o parâmetro de inicialização para aplicação de certificado para a VM.
[159] Quando iniciada, a VM gera um par de chaves pública-privada de acordo com o parâmetro de inicialização.
[160] O parâmetro de inicialização inclui informação de CA e um nome de domínio de um domínio de gerenciamento de certificados e é obtido quando o gerenciador de infraestrutura virtualizada VIM na estrutura de trabalho de função de rede virtualizada recebe uma instrução para gerar a VM, em que a instrução é enviada por um orquestrador de virtualização de função de rede NFVO.
[161] A chave privada é armazenada localmente na VM, e uma chave pública é utilizada para aplicação de certificado e é transportada na informação de aplicação de certificado.
[162] Neste caso, a VM envia uma mensagem de aplicação de certificado para a NFVI. Passo 402: A NFVI envia uma mensagem de proxy de aplicação de certificado para uma autoridade de certificado CA.
[163] A mensagem de proxy de aplicação de certificado inclui a informação da aplicação de certificado utilizada pela VM para aplicação de certificado.
[164] No passo 402, maneiras de enviar, pela NFVI, uma mensagem de proxy de aplicação de certificado para uma autoridade de certificado CA incluem, mas não estão limitadas a: Primeira maneira:
[165] Um canal de transmissão de confiança é estabelecido entre a NFVI e a autoridade de certificado CA com antecedência, e, neste caso, a NFVI envia a mensagem de proxy de aplicação de certificado para a autoridade de certificado CA diretamente. Segunda maneira:
[166] Um canal de transmissão de confiança é estabelecido entre o VIM e a autoridade de certificado CA com antecedência.
[167] A NFVI envia uma mensagem de proxy de aplicação de certificado para o gerenciador de infraestrutura virtualizada VIM em uma estrutura de trabalho de função de rede virtualizada, de modo que o VIM encaminha a mensagem de proxy de aplicação de certificado para a autoridade de certificado CA.
[168] A Figura 5 é um fluxograma esquemático de um método de aquisição de certificado.
[169] Especificamente, a NFVI recebe a mensagem de aplicação de certificado enviada pela VM, gera uma mensagem de proxy de aplicação de certificado e envia a mensagem de proxy de aplicação de certificado para o VIM, e o VIM encaminha a mensagem de proxy de aplicação de certificado para a autoridade de certificado CA. Passo 403: A NFVI recebe um certificado emitido pela CA, e envia o certificado para a VM.
[170] O certificado é gerado pela CA de acordo com a informação da aplicação de certificado utilizada pela VM para aplicação de certificado e incluído na mensagem de proxy de aplicação de certificado.
[171] No passo 403, o método inclui ainda: autenticar, quando a VM recebe o certificado, o certificado recebido utilizando uma chave privada armazenada localmente, e quando a autenticação é bem sucedida, estabelecer um canal de gerenciamento entre a VM e o gerenciador de VM (VMM).
[172] De acordo com a solução na Modalidade 4 da presente invenção, por meio de um proxy de aplicação de certificado, uma VM solicita um certificado legal, e estabelece um canal de transmissão de confiança para um VMM ou VIM, estabelecendo assim uma base para garantir que um canal de gerenciamento de confiança seja estabelecido entre uma instância de VNF e um VNFM utilizando um certificado emitido por uma autoridade de certificado e, efetivamente, melhorando a segurança de um canal de gerenciamento entre a instância de VNF e o VNFM. Modalidade 5
[173] Como mostrado na Figura 6, que é um diagrama estrutural esquemático de um dispositivo de aquisição de certificado de acordo com a modalidade 5 da presente invenção, o dispositivo inclui um módulo de recepção 61 e um módulo de envio 62.
[174] O módulo de recepção 61 é configurado para receber uma mensagem de proxy de aplicação de certificado enviada por uma instância de VNF, em que a mensagem de proxy de aplicação de certificado inclui informação de autenticação e informação de aplicação de certificado que é utilizada para aplicação de certificado, em que a informação de autenticação é utilizada para estabelecer um canal para proxy-aplicação de certificado entre a instância de VNF e um gerenciador de função de rede virtualizada VNF VNFM; e o módulo de envio 62 é configurado para utilizar a informação de autenticação recebida pelo módulo de recepção 61 para autenticar a instância de VNF, e quando a autenticação é bem sucedida, enviar uma mensagem de aplicação de certificado para uma autoridade de certificado CA, em que a mensagem de aplicação de certificado inclui a informação da aplicação de certificado que é utilizada para aplicação de certificado; em que o módulo de recepção 61 é ainda configurado para receber um certificado emitido pela CA; e o módulo de envio 62 é ainda configurado para enviar o certificado recebido pelo módulo de recepção 61 para a instância de VNF, em que o certificado é gerado pela CA de acordo com a informação da aplicação de certificado que é utilizada para aplicação de certificado e incluído na mensagem de aplicação de certificado.
[175] Opcionalmente, a informação de autenticação é um certificado temporário, em que o certificado temporário é solicitado a partir do VNFM quando um orquestrador de virtualização de função de rede NFVO determina a necessidade de instanciar a instância de VNF e é transmitido para a instância de VNF através de um gerenciador de infraestrutura virtualizada VIM em uma estrutura de trabalho de VNF, uma infraestrutura de NFV NFVI, e uma máquina virtual VM em que a VNF é executada.
[176] O módulo de envio 62 é especificamente configurado para: comparar um certificado temporário recebido com o certificado temporário que é solicitado a partir do VNFM quando o NFVO determina a necessidade de instanciar a instância de VNF; e quando é determinado que o certificado temporário recebido é o mesmo que o certificado temporário que é solicitado a partir do VNFM quando o NFVO determina a necessidade de instanciar a instância de VNF, determinar que a autenticação na instância de VNF é bem sucedida; ou quando é determinado que o certificado temporário recebido é diferente do certificado temporário que é solicitado a partir do VNFM quando o NFVO determina a necessidade de instanciar a instância de VNF, determinar que a autenticação na instância de VNF falha.
[177] Opcionalmente, a informação de autenticação é uma chave pré-compartilhada PSK, em que a PSK é gerada quando um orquestrador de virtualização de função de rede NFVO determina a necessidade de instanciar a instância de VNF e é transmitida para a instância de VNF através de um gerenciador de infraestrutura virtualizada VIM em uma estrutura de trabalho de VNF, uma infraestrutura de NFV NFVI, e uma máquina virtual VM em que a VNF é executada.
[178] O módulo de recepção 61 é especificamente configurado para enviar a PSK para a instância de VNF e receber a mensagem de proxy de aplicação de certificado enviada pela instância de VNF, em que a mensagem de proxy de aplicação de certificado é enviada para o VNFM quando a instância de VNF determina que uma PSK localmente injetada é a mesma ou associada com a PSK recebida enviada pelo VNFM.
[179] O módulo de envio 62 é especificamente configurado para: comparar a PSK recebida com uma PSK que é emitida quando o NFVO determina a necessidade de instanciar a instância de VNF; e quando é determinado que a PSK recebida é a mesma ou relacionada com a PSK que é emitida quando o NFVO determina a necessidade de instanciar a instância de VNF, determinar que a autenticação na instância de VNF é bem sucedida; ou quando é determinado que a PSK recebida é diferente de ou não associada com a PSK que é emitida quando o NFVO determina a necessidade de instanciar a instância de VNF, determinar que a autenticação na instância de VNF falha.
[180] Opcionalmente, o dispositivo inclui ainda um módulo de estabelecimento de canal 63, onde: o módulo de estabelecimento de canal 63 é configurado para: quando o certificado é enviado para a instância de VNF, utilizar o certificado para estabelecer um canal de gerenciamento para a instância de VNF.
[181] Deve ser notado que o dispositivo de acordo com esta modalidade da presente invenção pode ser um gerenciador de função de rede virtualizada VNF VNFM em um sistema virtual, e tem uma função solicitar um certificado por proxy para a instância de VNF, e pode ser implementado na forma de hardware ou software, o que não é aqui limitado. Modalidade 6
[182] Como mostrado na Figura 7, que é um diagrama estrutural esquemático de um dispositivo de aquisição de certificado de acordo com a modalidade 6 da presente invenção, o dispositivo inclui um módulo de recepção 71 e um módulo de envio 72.
[183] O módulo de recepção 71 é configurado para receber uma mensagem de proxy de aplicação de certificado enviada por um gerenciador de infraestrutura virtualizada VIM em uma estrutura de trabalho de VNF, em que a mensagem de proxy de aplicação de certificado inclui uma instância de VNF que solicita aplicação de certificado, e informação de aplicação de certificado utilizada pela instância de VNF para aplicação de certificado; e o módulo de envio 72 é configurado para enviar uma mensagem de aplicação de certificado para uma autoridade de certificado CA, em que a mensagem de aplicação de certificado inclui a informação de aplicação de certificado recebida pelo módulo de recepção 71 e utilizada pela instância de VNF para aplicação de certificado, onde o módulo de recepção 71 é ainda configurado para receber um certificado emitido pela CA; e o módulo de envio 72 é ainda configurado para enviar o certificado recebido pelo módulo de recepção 71 para o VIM, em que o certificado é gerado pela CA de acordo com a informação da aplicação de certificado utilizada pela instância de VNF para aplicação de certificado e incluído na mensagem de aplicação de certificado.
[184] Opcionalmente, a mensagem de proxy de aplicação de certificado é gerado pelo VIM de acordo com a informação da aplicação de certificado recebida, em que a informação da aplicação de certificado é obtida pela instância de VNF de acordo com um parâmetro de inicialização e enviada pela instância de VNF para uma VM e, em seguida, enviada pela VM para o VIM através de um canal seguro para o VIM.
[185] Opcionalmente, o parâmetro de inicialização inclui informação de CA e um nome de domínio de um domínio de gerenciamento de certificados e é obtido quando um orquestrador de virtualização de função de rede NFVO determina instanciar a instância de VNF.
[186] Deve ser notado que o dispositivo de acordo com esta modalidade da presente invenção pode ser um gerenciador de função de rede virtualizada VNF VNFM em um sistema virtual, e tem uma função solicitar um certificado por proxy para a instância de VNF, e pode ser implementado na forma de hardware ou software, o que não é aqui limitado. Modalidade 7
[187] Como mostrado na Figura 8, que é um diagrama estrutural esquemático de um dispositivo de aquisição de certificado de acordo com esta modalidade da presente invenção, o dispositivo inclui um módulo de recepção 81 e um módulo de envio 82, onde: o módulo de recepção 81 é configurado para receber uma mensagem de aplicação de certificado enviada por uma instância de função de rede virtualizada VNF, em que a mensagem de aplicação de certificado inclui um certificado temporário e informação de aplicação de certificado que é utilizada para aplicação de certificado, em que o certificado temporário é solicitado a partir da CA quando um orquestrador de virtualização de função de rede NFVO determina a necessidade de instanciar a instância de VNF e é transmitido para a instância de VNF através de um gerenciador de infraestrutura virtualizada VIM em uma estrutura de trabalho de VNF, uma infraestrutura de NFV NFVI, e uma máquina virtual VM em que a VNF é executada; e o módulo de envio 82 é configurado para utilizar o certificado temporário recebido pelo módulo de recepção 81 para autenticar a instância de VNF, e quando a autenticação é bem sucedida, emitir um certificado para a instância de VNF de acordo com a informação da aplicação de certificado que é utilizada para aplicação de certificado e incluída na mensagem de aplicação de certificado.
[188] Deve ser notado que o dispositivo de acordo com esta modalidade da presente invenção pode ser uma autoridade de certificado, e pode ser uma autoridade de certificado ou outro dispositivo capaz de autenticar um certificado, o que não é aqui limitado; e o dispositivo pode ser implementado na forma de hardware ou software, o que não é aqui limitado. Modalidade 8
[189] Como mostrado na Figura 9, que é um diagrama estrutural esquemático de um dispositivo de aquisição de certificado de acordo com a modalidade 8 da presente invenção, o dispositivo inclui um módulo de recepção 91 e um módulo de envio 92, onde: o módulo de recepção 91 é configurado para receber uma mensagem de aplicação de certificado enviada por uma máquina virtual VM, em que a mensagem de aplicação de certificado inclui uma chave pública utilizada para aplicação de certificado; e o módulo de envio 92 é configurado para enviar uma mensagem de proxy de aplicação de certificado para uma autoridade de certificado CA, em que a mensagem de proxy de aplicação de certificado inclui a chave pública recebida pelo módulo de recepção e utilizada pela VM para aplicação de certificado; onde o módulo de recepção 91 é ainda configurado para receber um certificado emitido pela CA; e o módulo de envio 92 é ainda configurado para enviar o certificado recebido pelo módulo de recepção 91 para a máquina virtual, em que o certificado é obtido pela CA através de assinatura de acordo com a chave pública utilizada pela VM para aplicação de certificado e incluído na mensagem de proxy de aplicação de certificado.
[190] Opcionalmente, o módulo de envio 92 é especificamente configurado para enviar a mensagem de proxy de aplicação de certificado para um gerenciador de infraestrutura virtualizada VIM em uma estrutura de trabalho de função de rede virtualizada, de modo que o VIM encaminha a mensagem de proxy de aplicação de certificado para a autoridade de certificado CA.
[191] Opcionalmente, o dispositivo inclui ainda um módulo de estabelecimento de canal 93, onde: o módulo de estabelecimento de canal 93 é configurado para: quando a VM recebe o certificado, estabelecer um canal de gerenciamento entre a VM e um gerenciador de VM.
[192] Opcionalmente, a chave pública é gerada pela VM de acordo com um parâmetro de inicialização, em que o parâmetro de inicialização inclui informação de CA e um nome de domínio de um domínio de gerenciamento de certificados e é obtido quando o gerenciador de infraestrutura virtualizada VIM na estrutura de trabalho de função de rede virtualizada recebe uma instrução para gerar a VM, em que a instrução é enviada por um orquestrador de virtualização de função de rede NFVO.
[193] Deve ser notado que, o dispositivo de acordo com esta modalidade da presente invenção pode ser uma infraestrutura de virtualização de função de rede NFVI, e tem uma função solicitar um certificado por proxy para a VM, e pode ser implementado na forma de hardware ou software, o que não é aqui limitado. Modalidade 9
[194] Como mostrado na Figura 10, que é um diagrama estrutural esquemático de um dispositivo de aquisição de certificado de acordo com a modalidade 9 da presente invenção, o dispositivo inclui um receptor de sinal 1011 e um transmissor de sinal 1012, em que o receptor de sinal 1011 e o transmissor de sinal 1012 comunicam através de um barramento de comunicação 1013.
[195] O receptor de sinal 1011 é configurado para receber uma mensagem de proxy de aplicação de certificado enviada por uma instância de VNF, em que a mensagem de proxy de aplicação de certificado inclui informação de autenticação e informação de aplicação de certificado que é utilizada para aplicação de certificado, em que a informação de autenticação é utilizada para estabelecer um canal para proxy-aplicação de certificado entre a instância de VNF e um gerenciador de função de rede virtualizada VNF VNFM.
[196] O transmissor de sinal 1012 é configurado para utilizar a informação de autenticação para autenticar a instância de VNF, e quando a autenticação é bem sucedida, enviar uma mensagem de aplicação de certificado para uma autoridade de certificado CA, em que a mensagem de aplicação de certificado inclui a informação da aplicação de certificado que é utilizada para aplicação de certificado.
[197] O receptor de sinal 1011 é ainda configurado para receber um certificado emitido pela CA.
[198] O transmissor de sinal 1012 é ainda configurado para enviar o certificado para a instância de VNF, em que o certificado é gerado pela CA de acordo com a informação da aplicação de certificado que é utilizada para aplicação de certificado e incluído na mensagem de aplicação de certificado.
[199] Opcionalmente, a informação de autenticação é um certificado temporário, em que o certificado temporário é solicitado a partir do VNFM quando um orquestrador de virtualização de função de rede NFVO determina a necessidade de instanciar a instância de VNF e é transmitido para a instância de VNF através de um gerenciador de infraestrutura virtualizada VIM em uma estrutura de trabalho de VNF, uma infraestrutura de NFV NFVI, e uma máquina virtual VM em que a VNF é executada.
[200] O transmissor de sinal 1012 é especificamente configurado para: comparar um certificado temporário recebido com o certificado temporário que é solicitado a partir do VNFM quando o NFVO determina a necessidade de instanciar a instância de VNF; e quando o VNFM determina que o certificado temporário recebido é o mesmo que o certificado temporário que é solicitado a partir do VNFM quando o NFVO determina a necessidade de instanciar a instância de VNF, determinar que a autenticação na instância de VNF é bem sucedida; ou quando o VNFM determina que o certificado temporário recebido é diferente do certificado temporário que é solicitado a partir do VNFM quando o NFVO determina a necessidade de instanciar a instância de VNF, determinar que a autenticação na instância de VNF falha.
[201] Opcionalmente, a informação de autenticação é uma chave pré-compartilhada PSK, em que a PSK é gerada quando um orquestrador de virtualização de função de rede NFVO determina a necessidade de instanciar a instância de VNF e é transmitida para a instância de VNF através de um gerenciador de infraestrutura virtualizada VIM em uma estrutura de trabalho de VNF, uma infraestrutura de NFV NFVI, e uma máquina virtual VM em que a VNF é executada.
[202] O receptor de sinal 1011 é especificamente configurado para enviar a PSK para a instância de VNF e receber a mensagem de proxy de aplicação de certificado enviada pela instância de VNF, em que a mensagem de proxy de aplicação de certificado é enviada para o VNFM quando a instância de VNF determina que uma PSK localmente injetada é a mesma ou associada com a PSK recebida.
[203] O transmissor de sinal 1012 é especificamente configurado para: comparar a PSK recebida com uma PSK que é emitida quando o NFVO determina a necessidade de instanciar a instância de VNF; e quando é determinado que a PSK recebida é a mesma ou relacionada com a PSK que é emitida quando o NFVO determina a necessidade de instanciar a instância de VNF, determinar que a autenticação na instância de VNF é bem sucedida; ou quando é determinado que a PSK recebida é diferente de ou não associada com a PSK que é emitida quando o NFVO determina a necessidade de instanciar a instância de VNF, determinar que a autenticação na instância de VNF falha.
[204] Opcionalmente, o dispositivo inclui ainda um processador 1014, onde: o processador 1014 é configurado para: quando o certificado é enviado para a instância de VNF, utilizar o certificado para estabelecer um canal de gerenciamento para a instância de VNF.
[205] O processador 1014 pode ser uma unidade central de processamento de propósito geral (CPU), um microprocessador, um circuito integrado de aplicação específica (application specific integrated circuit, ASIC), ou um ou mais circuitos integrados usados para controlar a execução de um programa da solução na presente invenção.
[206] O barramento de comunicação 1013 pode incluir um caminho para a transmissão de informação entre os componentes anteriores.
[207] Deve ser notado que o dispositivo de acordo com esta modalidade da presente invenção pode ser um gerenciador de função de rede virtualizada VNF VNFM em um sistema virtual, e tem uma função solicitar um certificado por proxy para a instância de VNF, e pode ser implementado na forma de hardware ou software, o que não é aqui limitado. Modalidade 10
[208] Como mostrado na Figura 11, que é um diagrama estrutural esquemático de um dispositivo de aquisição de certificado de acordo com a Modalidade 10 da presente invenção, o dispositivo inclui um receptor de sinal 1111 e um transmissor de sinal 1112, em que o receptor de sinal 1111 e o transmissor de sinal 1112 são ligados através de um barramento de comunicação 1113.
[209] O receptor de sinal 1111 é configurado para receber uma mensagem de proxy de aplicação de certificado enviada por um gerenciador de infraestrutura virtualizada VIM em uma estrutura de trabalho de VNF, em que a mensagem de proxy de aplicação de certificado inclui uma instância de VNF que solicita aplicação de certificado, e informação de aplicação de certificado utilizada pela instância de VNF para aplicação de certificado.
[210] O transmissor de sinal 1112 é configurado para enviar uma mensagem de aplicação de certificado para uma autoridade de certificado CA, em que a mensagem de aplicação de certificado inclui a informação da aplicação de certificado utilizada pela instância de VNF para aplicação de certificado.
[211] O receptor de sinal 1111 é ainda configurado para receber um certificado emitido pela CA.
[212] O transmissor de sinal 1112 é ainda configurado para enviar o certificado para o VIM, em que o certificado é gerado pela CA de acordo com a informação da aplicação de certificado utilizada pela instância de VNF para aplicação de certificado e incluído na mensagem de aplicação de certificado.
[213] Opcionalmente, a mensagem de proxy de aplicação de certificado é gerado pelo VIM de acordo com a informação da aplicação de certificado recebida, em que a informação da aplicação de certificado é obtida pela instância de VNF de acordo com um parâmetro de inicialização e enviada pela instância de VNF para uma VM e, em seguida, enviada pela VM para o VIM através de um canal seguro para o VIM.
[214] Opcionalmente, o parâmetro de inicialização inclui informação de CA e um nome de domínio de um domínio de gerenciamento de certificados e é obtido quando um orquestrador de virtualização de função de rede NFVO determina instanciar a instância de VNF.
[215] Deve ser notado que o dispositivo de acordo com esta modalidade da presente invenção pode ser um gerenciador de função de rede virtualizada VNF VNFM em um sistema virtual, e tem uma função solicitar um certificado por proxy para a instância de VNF, e pode ser implementado na forma de hardware ou software, o que não é aqui limitado. Modalidade 11
[216] Como mostrado na Figura 12, que é um diagrama estrutural esquemático de um dispositivo de aquisição de certificado de acordo com a Modalidade 11 da presente invenção, o dispositivo inclui um receptor de sinal 1211 e um processador 1212, em que o receptor de sinal 1211 e o processador 1212 são ligados através de um barramento de comunicação 1213.
[217] O receptor de sinal 1211 é configurado para receber uma mensagem de aplicação de certificado enviada por uma instância de função de rede virtualizada VNF, em que a mensagem de aplicação de certificado inclui um certificado temporário e informação de aplicação de certificado que é utilizada para aplicação de certificado, em que o certificado temporário é solicitado a partir de uma CA quando um orquestrador de virtualização de função de rede NFVO determina a necessidade de instanciar a instância de VNF e é transmitido para a instância de VNF através de um gerenciador de infraestrutura virtualizada VIM em uma estrutura de trabalho de VNF, uma infraestrutura de NFV NFVI, e uma máquina virtual VM em que a VNF é executada.
[218] O processador 1212 é configurado para utilizar o certificado temporário para autenticar a instância de VNF, e quando a autenticação é bem sucedida, emitir um certificado para a instância de VNF de acordo com a informação da aplicação de certificado que é utilizada para aplicação de certificado e incluída na mensagem de aplicação de certificado.
[219] O processador 1212 pode ser uma unidade central de processamento de propósito geral (CPU), um microprocessador, um circuito integrado de aplicação específica (application specific integrated circuit, ASIC), ou um ou mais circuitos integrados usados para controlar a execução de um programa da solução na presente invenção.
[220] O barramento de comunicação 1213 pode incluir um caminho para a transmissão de informação entre os componentes anteriores.
[221] Deve ser notado que o dispositivo de acordo com esta modalidade da presente invenção pode ser uma autoridade de certificado, e pode ser uma autoridade de certificado ou outro dispositivo capaz de autenticar um certificado, o que não é aqui limitado; e o dispositivo pode ser implementado na forma de hardware ou software, o que não é aqui limitado. Modalidade 12
[222] Como mostrado na Figura 13, que é um diagrama estrutural esquemático de um dispositivo de aquisição de certificado de acordo com a Modalidade 12 da presente invenção, o dispositivo inclui um receptor de sinal 1311 e um transmissor de sinal 1312, em que o receptor de sinal 1311 e o transmissor de sinal 1312 são ligados através de um barramento de comunicação 1313.
[223] O receptor de sinal 1311 é configurado para receber uma mensagem de aplicação de certificado enviada por uma máquina virtual VM, em que a mensagem de aplicação de certificado inclui uma chave pública utilizada para aplicação de certificado.
[224] O transmissor de sinal 1312 é configurado para enviar uma mensagem de proxy de aplicação de certificado para uma autoridade de certificado CA, em que a mensagem de proxy de aplicação de certificado inclui a chave pública utilizada pela VM para aplicação de certificado.
[225] O receptor de sinal 1311 é ainda configurado para receber um certificado emitido pela CA.
[226] O transmissor de sinal 1312 é ainda configurado para enviar o certificado para a máquina virtual, em que o certificado é obtido pela CA através de assinatura de acordo com a chave pública utilizada pela VM para aplicação de certificado e incluído na mensagem de proxy de aplicação de certificado.
[227] Especificamente, o transmissor de sinal 1312 é especificamente configurado para enviar a mensagem de proxy de aplicação de certificado para um gerenciador de infraestrutura virtualizada VIM em uma estrutura de trabalho de função de rede virtualizada, de modo que o VIM encaminha a mensagem de proxy de aplicação de certificado para a autoridade de certificado CA.
[228] Opcionalmente, o dispositivo inclui ainda um processador 1314, onde: o processador 1314 é configurado para: quando a VM recebe o certificado, estabelecer um canal de gerenciamento entre a VM e um gerenciador de VM.
[229] Opcionalmente, a chave pública é gerada pela VM de acordo com um parâmetro de inicialização, em que o parâmetro de inicialização inclui informação de CA e um nome de domínio de um domínio de gerenciamento de certificados e é obtido quando o gerenciador de infraestrutura virtualizada VIM na estrutura de trabalho de função de rede virtualizada recebe uma instrução para gerar a VM, em que a instrução é enviada por um orquestrador de virtualização de função de rede NFVO.
[230] O processador 1314 pode ser uma unidade central de processamento de propósito geral (CPU), um microprocessador, um circuito integrado de aplicação específica (application specific integrated circuit, ASIC), ou um ou mais circuitos integrados usados para controlar a execução de um programa da solução na presente invenção.
[231] O barramento de comunicação 1313 pode incluir um caminho para a transmissão de informação entre os componentes anteriores.
[232] Deve ser notado que o dispositivo de acordo com esta modalidade da presente invenção pode ser uma infraestrutura de virtualização de função de rede NFVI, e tem uma função solicitar um certificado por proxy para a VM, e pode ser implementado na forma de hardware ou software, o que não é aqui limitado.
[233] Um perito na arte deve entender que as modalidades da presente invenção podem ser fornecidas como um método, um aparelho (dispositivo), ou um produto de programa de computador. Por conseguinte, a presente invenção pode utilizar uma forma de modalidades apenas de hardware, modalidades apenas de software, ou modalidades com uma combinação de software e hardware. Além disso, a presente invenção pode utilizar uma forma de um produto de programa de computador que é executado em um ou mais meios de armazenamento utilizáveis por computador (incluindo, mas não se limitando a uma memória de disco, um CD-ROM, uma memória óptica, e similares) que incluem o código de programa utilizável por computador.
[234] A presente invenção é descrita com referência aos fluxogramas e/ou diagramas de blocos do método, aparelho (dispositivo), e produto de programa de computador de acordo com as modalidades da presente invenção. Deve ser entendido que as instruções de programa de computador podem ser utilizadas para implementar cada processo e/ou cada bloco nos fluxogramas e/ou diagramas de blocos e uma combinação de um processo e/ou um bloco nos fluxogramas e/ou diagramas de blocos. Estas instruções de programa de computador podem ser fornecidas para um computador de utilização geral, um computador dedicado, um processador incorporado, ou um processador de qualquer outro dispositivo de processamento de dados programável para gerar uma máquina, de modo que as instruções executadas por um computador ou um processador de qualquer outro dispositivo de processamento de dados programável geram um aparelho para execução de uma função específica em um ou mais processos nos fluxogramas e/ou em um ou mais blocos nos diagramas de blocos.
[235] Estas instruções de programa de computador podem também ser armazenadas em uma memória legível por computador que pode instruir o computador ou qualquer outro dispositivo de processamento de dados programável para funcionar de uma forma específica, de modo que as instruções armazenadas na memória legível pelo computador geram um produto manufaturado que inclui um aparelho de instrução. O aparelho de instrução implementa uma função específica em um ou mais processos nos fluxogramas e/ou em um ou mais blocos nos diagramas de blocos.
[236] Estas instruções de programa de computador podem também ser carregadas em um computador ou outro dispositivo de processamento de dados programável, de modo que uma série de operações e passos são realizados no computador ou em outro dispositivo programável, gerando assim o processamento implementado por computador. Portanto, as instruções executadas no computador ou em outro dispositivo programável fornecem passos para implementar uma função específica em um ou mais processos nos fluxogramas e/ou em um ou mais blocos nos diagramas de blocos.
[237] Apesar de algumas modalidades preferidas da presente invenção terem sido descritas, pessoas peritas na arte podem fazer alterações e modificações nestas modalidades, uma vez que aprendem o conceito inventivo básico. Portanto, as reivindicações seguintes destinam-se a ser interpretadas como cobrindo as modalidades preferidas e todas as alterações e modificações que caem dentro do âmbito da presente invenção.
[238] Obviamente, uma pessoa especialista na técnica pode fazer várias modificações e variações na presente invenção sem nos afastarmos do espírito e âmbito da presente invenção. A presente invenção destina-se a cobrir tais modificações e variações desde que se enquadrem dentro do âmbito de proteção definido pelas seguintes reivindicações e suas tecnologias equivalentes.

Claims (10)

1. Dispositivo de aquisição de certificado, CARACTERIZADO pelo fato de que compreende: um módulo de recepção (61), configurado para receber uma mensagem de proxy de aplicação de certificado enviada por uma instância de VNF, em que a mensagem de proxy de aplicação de certificado compreende informação de autenticação e informação de aplicação de certificado para aplicação de certificado, em que a informação de autenticação é utilizada para estabelecer um canal para proxy-aplicação de certificado entre a instância de VNF e o gerenciador de função de rede virtualizada, VNFM; e um módulo de envio (62), configurado para utilizar a informação de autenticação recebida pelo módulo de recepção para autenticar a instância de VNF, e quando a autenticação é bem sucedida, enviar uma mensagem de aplicação de certificado para uma autoridade de certificado CA, em que a mensagem de aplicação de certificado compreende a informação de aplicação de certificado para aplicação de certificado; em que o módulo de recepção é ainda configurado para receber, a partir da CA, um certificado emitido pela CA e gerado de acordo com a informação de aplicação de certificado que é utilizada para aplicação de certificado e compreendida na mensagem de aplicação de certificado; e o módulo de envio é ainda configurado para enviar o certificado recebido pelo módulo de recepção para a instância de VNF.
2. Dispositivo de aquisição de certificado, CARACTERIZADO pelo fato de que compreende: um módulo de recepção (71), configurado para receber uma mensagem de proxy de aplicação de certificado a partir de um gerenciador de infraestrutura virtualizada VIM em uma estrutura de trabalho de VNF, em que a mensagem de proxy de aplicação de certificado compreende uma instância de VNF que solicita aplicação de certificado, e informação de aplicação de certificado pra uso pela instância de VNF para aplicação de certificado; e um módulo de envio (72), configurado para enviar uma mensagem de aplicação de certificado para uma autoridade de certificado CA, em que a mensagem de aplicação de certificado compreende a informação de aplicação de certificado recebida pelo módulo de recepção e utilizada pela instância de VNF para aplicação de certificado, em que o módulo de recepção é ainda configurado para receber, a partir da CA, um certificado emitido pela CA e gerado de acordo com a informação de aplicação de certificado que é utilizada pela instância de VNF para aplicação de certificado e compreendida na informação de aplicação de certificado; e o módulo de envio é ainda configurado para enviar o certificado recebido pelo módulo de recepção ao VIM.
3. Método de aquisição de certificado, CARACTERIZADO pelo fato de que compreende: receber (101), por um gerenciador de função de rede virtualizada VNFM, uma mensagem de proxy de aplicação de certificado enviada por uma instância de VNF, em que a mensagem de proxy de aplicação de certificado compreende informação de autenticação e informação de aplicação de certificado que é utilizada para aplicação de certificado, em que a informação de autenticação é utilizada para estabelecer um canal para proxy-aplicação de certificado entre a instância de VNF e o VNFM; utilizar (102), pelo VNFM, a informação de autenticação para autenticar a instância de VNF, e quando a autenticação é bem sucedida, enviar uma mensagem de aplicação de certificado para uma autoridade de certificado CA, em que a mensagem de aplicação de certificado compreende a informação de aplicação de certificado que é utilizada para aplicação de certificado; e receber (103), pelo VNFM, um certificado emitido pela CA, e enviar o certificado para a instância de VNF, em que o certificado é gerado pela CA de acordo com a informação de aplicação de certificado que é utilizada para aplicação de certificado e compreendida na mensagem de aplicação de certificado.
4. Método, de acordo com a reivindicação 3, CARACTERIZADO pelo fato de que a informação de autenticação é um certificado temporário, em que o certificado temporário é solicitado a partir do VNFM quando um orquestrador de virtualização de função de rede NFVO determina uma necessidade para instanciar a instância de VNF e é transmitido para a instância de VNF através de um gerenciador de infraestrutura virtualizada VIM em uma estrutura de trabalho de VNF, uma infraestrutura de NFV NFVI, e uma máquina virtual VM na qual a VNF é executada.
5. Método, de acordo com a reivindicação 4, CARACTERIZADO pelo fato de que a utilização (102), pelo VNFM, da informação de autenticação para autenticar a instância de VNF compreende: comparar, pelo VNFM, um certificado temporário recebido com o certificado temporário que é solicitado a partir do VNFM quando o NFVO determina a necessidade de instanciar a instância de VNF; e quando o VNFM determina que o certificado temporário recebido é o mesmo que o certificado temporário que é solicitado a partir do VNFM quando o NFVO determina a necessidade de instanciar a instância de VNF, determinar que a autenticação na instância de VNF é bem sucedida; ou quando o VNFM determina que o certificado temporário recebido é diferente do certificado temporário que é solicitado a partir do VNFM quando o NFVO determina a necessidade de instanciar a instância de VNF, determinar que a autenticação na instância de VNF falha.
6. Método, de acordo com a reivindicação 3, CARACTERIZADO pelo fato de que a informação de autenticação é uma chave pré-compartilhada PSK, em que a PSK é gerada quando um orquestrador de virtualização de função de rede NFVO determina uma necessidade para instanciar a instância de VNF e é transmitido para a instância de VNF através de um gerenciador de infraestrutura virtualizada VIM em uma estrutura de trabalho de VNF, uma infraestrutura de NFV NFVI, e uma máquina virtual VM na qual a VNF é executada.
7. Método, de acordo com a reivindicação 6, CARACTERIZADO pelo fato de que a recepção (102), por um gerenciador de função de rede virtualizada VNF VNFM, uma mensagem de proxy de aplicação de certificado enviada por uma instância de VNF compreende: enviar, pelo VNFM, a PSK para a instância de VNF, e receber a mensagem de proxy de aplicação de certificado enviada pela instância de VNF, em que a mensagem de proxy de aplicação de certificado é enviada para o VNFM quando a instância de VNF determina que uma PSK localmente injetada é a mesma ou associada com a PSK recebida enviada pelo VNFM.
8. Método de aquisição de certificado, CARACTERIZADO pelo fato de que compreende: receber (201), por um gerenciador de função de rede virtualizada VNFM, uma mensagem de proxy de aplicação de certificado enviada por um gerenciador de infraestrutura virtualizada VIM em uma estrutura de trabalho de VNF, em que a mensagem de proxy de aplicação de certificado compreende uma instância de VNF que solicita aplicação de certificado, e informação de aplicação de certificado utilizada pela instância de VNF para aplicação de certificado; enviar (202), pelo VNFM, uma mensagem de aplicação de certificado para uma autoridade de certificado CA, em que a mensagem de aplicação de certificado compreende a informação de aplicação de certificado utilizada pela instância de VNF para aplicação de certificado; e receber (203), pelo VNFM, um certificado emitido pela CA, e enviar o certificado para o VIM, em que o certificado é gerado pela CA de acordo com a informação de aplicação de certificado utilizada pela instância de VNF para aplicação de certificado e compreendida na informação de aplicação de certificado.
9. Método, de acordo com a reivindicação 8, CARACTERIZADO pelo fato de que a mensagem de proxy de aplicação de certificado é gerada pelo VIM de acordo com a informação de aplicação de certificado recebida, em que a informação de aplicação de certificado é obtida pela instância de VNF de acordo com um parâmetro de inicialização e enviada pela instância de VNF para uma VM e, em seguida, enviada pela VM para o VIM através de um canal seguro para o VIM.
10. Método, de acordo com a reivindicação 9, CARACTERIZADO pelo fato de que o parâmetro de inicialização compreende informação de CA e um nome de domínio de um domínio de gerenciamento de certificados e é obtido quando um orquestrador de virtualização de função de rede NFVO determina instanciar a instância de VNF.
BR112016026035-0A 2014-05-08 2014-05-08 Dispositivo e métodos de aquisição de certificado BR112016026035B1 (pt)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2014/077075 WO2015168914A1 (zh) 2014-05-08 2014-05-08 一种证书获取方法和设备

Publications (2)

Publication Number Publication Date
BR112016026035A2 BR112016026035A2 (pt) 2018-05-15
BR112016026035B1 true BR112016026035B1 (pt) 2023-04-18

Family

ID=54392000

Family Applications (1)

Application Number Title Priority Date Filing Date
BR112016026035-0A BR112016026035B1 (pt) 2014-05-08 2014-05-08 Dispositivo e métodos de aquisição de certificado

Country Status (8)

Country Link
US (1) US10225246B2 (pt)
EP (1) EP3133789B1 (pt)
JP (1) JP6299047B2 (pt)
KR (1) KR101942412B1 (pt)
CN (2) CN105284091B (pt)
BR (1) BR112016026035B1 (pt)
RU (1) RU2658172C2 (pt)
WO (2) WO2015168914A1 (pt)

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015168913A1 (zh) 2014-05-08 2015-11-12 华为技术有限公司 一种证书获取方法和设备
JP6299047B2 (ja) * 2014-05-08 2018-03-28 華為技術有限公司Huawei Technologies Co.,Ltd. 証明取得方法及び装置
US9386001B1 (en) 2015-03-02 2016-07-05 Sprint Communications Company L.P. Border gateway protocol (BGP) communications over trusted network function virtualization (NFV) hardware
US9578008B2 (en) * 2015-05-11 2017-02-21 Intel Corporation Technologies for secure bootstrapping of virtual network functions
US10069844B2 (en) 2016-07-21 2018-09-04 Sprint Communications Company L.P. Virtual network function (VNF) hardware trust in a network function virtualization (NFV) software defined network (SDN)
CN106302394B (zh) * 2016-07-26 2019-08-30 京信通信系统(中国)有限公司 安全通道建立方法和系统
WO2018040095A1 (zh) * 2016-09-05 2018-03-08 华为技术有限公司 一种生成安全凭证的方法和设备
US10318723B1 (en) * 2016-11-29 2019-06-11 Sprint Communications Company L.P. Hardware-trusted network-on-chip (NOC) and system-on-chip (SOC) network function virtualization (NFV) data communications
WO2018120182A1 (zh) * 2016-12-30 2018-07-05 华为技术有限公司 一种秘密信息的分发方法和设备
CN110121857B (zh) * 2016-12-30 2021-02-09 华为技术有限公司 一种凭据分发的方法和设备
CN108540301B (zh) * 2017-03-03 2021-01-12 华为技术有限公司 一种预置账户的密码初始化方法及相关设备
CN108809907B (zh) * 2017-05-04 2021-05-11 华为技术有限公司 一种证书请求消息发送方法、接收方法和装置
CN109286494B (zh) * 2017-07-20 2020-10-23 华为技术有限公司 一种虚拟网络功能vnf的初始化凭据生成方法及设备
CN107302544B (zh) * 2017-08-15 2019-09-13 迈普通信技术股份有限公司 证书申请方法、无线接入控制设备及无线接入点设备
CN109905252B (zh) * 2017-12-07 2022-06-07 华为技术有限公司 建立虚拟网络功能实例的方法和装置
US10762193B2 (en) * 2018-05-09 2020-09-01 International Business Machines Corporation Dynamically generating and injecting trusted root certificates
WO2019072267A2 (en) 2018-11-07 2019-04-18 Alibaba Group Holding Limited COMMUNICATION MANAGEMENT BETWEEN CONSENSUS NODES AND CLIENT NODES
US11095460B2 (en) 2019-07-05 2021-08-17 Advanced New Technologies Co., Ltd. Certificate application operations
CN110445614B (zh) * 2019-07-05 2021-05-25 创新先进技术有限公司 证书申请方法、装置、终端设备、网关设备和服务器
US20220264301A1 (en) * 2019-07-17 2022-08-18 Telefonaktiebolaget Lm Ericsson (Publ) Technique for certificate handling in a core network domain
CN110769393B (zh) * 2019-11-07 2021-12-24 公安部交通管理科学研究所 一种车路协同的身份认证系统及方法
CN110943996B (zh) * 2019-12-03 2022-03-22 迈普通信技术股份有限公司 一种业务加解密的管理方法、装置及系统
US11522721B2 (en) * 2020-04-07 2022-12-06 Verizon Patent And Licensing Inc. System and method for establishing dynamic trust credentials for network functions
CN113872765B (zh) * 2020-06-30 2023-02-03 华为技术有限公司 身份凭据的申请方法、身份认证的方法、设备及装置
US11436127B1 (en) * 2020-09-10 2022-09-06 Cisco Technology, Inc. Automated validation and authentication of software modules
CN115942314A (zh) * 2021-08-06 2023-04-07 华为技术有限公司 一种证书管理方法和装置
WO2023213590A1 (en) * 2022-05-05 2023-11-09 Telefonaktiebolaget Lm Ericsson (Publ) Security certificate management during network function (nf) lifecycle
CN117318970A (zh) * 2022-06-23 2023-12-29 中兴通讯股份有限公司 安全通道建立方法、系统及存储介质

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1379045B1 (en) * 2002-07-01 2007-10-10 Telefonaktiebolaget LM Ericsson (publ) Arrangement and method for protecting end user data
RU2371757C2 (ru) * 2003-08-21 2009-10-27 Майкрософт Корпорейшн Системы и способы моделирования данных в основанной на предметах платформе хранения
JP2005086445A (ja) * 2003-09-08 2005-03-31 Nooza:Kk ネットワーク構築方法、ネットワーク構築装置、およびネットワーク構築プログラム
US7321970B2 (en) * 2003-12-30 2008-01-22 Nokia Siemens Networks Oy Method and system for authentication using infrastructureless certificates
US7467303B2 (en) * 2004-03-25 2008-12-16 International Business Machines Corporation Grid mutual authorization through proxy certificate generation
JP2006246272A (ja) * 2005-03-07 2006-09-14 Fuji Xerox Co Ltd 証明書取得システム
JP4846464B2 (ja) * 2006-06-21 2011-12-28 日本電信電話株式会社 複数公開鍵の証明書を発行及び検証するシステム、並びに、複数公開鍵の証明書を発行及び検証する方法
US20080066181A1 (en) 2006-09-07 2008-03-13 Microsoft Corporation DRM aspects of peer-to-peer digital content distribution
US8214635B2 (en) * 2006-11-28 2012-07-03 Cisco Technology, Inc. Transparent proxy of encrypted sessions
CN100488099C (zh) * 2007-11-08 2009-05-13 西安西电捷通无线网络通信有限公司 一种双向接入认证方法
KR100910378B1 (ko) * 2008-10-06 2009-08-04 주식회사 오엘콥스 암호화된 이미지를 이용한 전자증명서 발급 시스템 및 방법
CN101754203B (zh) * 2009-12-25 2014-04-09 宇龙计算机通信科技(深圳)有限公司 一种wapi证书获取方法、装置及网络系统
US9065825B2 (en) * 2010-02-05 2015-06-23 International Business Machines Corporation Method and system for license management
CN103036854B (zh) * 2011-09-30 2016-03-02 中国移动通信集团公司 业务订购方法及系统、业务权限认证方法、终端设备
CN102663290A (zh) * 2012-03-23 2012-09-12 中国科学院软件研究所 一种基于虚拟机的数字版权保护方法
US9210162B2 (en) * 2012-05-02 2015-12-08 Microsoft Technology Licensing, Llc Certificate based connection to cloud virtual machine
JP2014082584A (ja) * 2012-10-15 2014-05-08 Nippon Registry Authentication Inc 認証基盤システム
US9208350B2 (en) * 2013-01-09 2015-12-08 Jason Allen Sabin Certificate information verification system
CN103475485B (zh) * 2013-09-16 2017-03-22 浙江汇信科技有限公司 基于数字证书互联互通的身份认证支撑平台及认证方法
US20150156193A1 (en) * 2013-12-02 2015-06-04 Microsoft Corporation Creating and managing certificates in a role-based certificate store
EP2942925B1 (en) * 2014-05-05 2016-08-24 Advanced Digital Broadcast S.A. A method and system for providing a private network
JP6299047B2 (ja) * 2014-05-08 2018-03-28 華為技術有限公司Huawei Technologies Co.,Ltd. 証明取得方法及び装置
US9961103B2 (en) * 2014-10-28 2018-05-01 International Business Machines Corporation Intercepting, decrypting and inspecting traffic over an encrypted channel
US9942204B2 (en) * 2015-01-07 2018-04-10 Anchorfree Inc. Secure personal server system and method
US20160277372A1 (en) * 2015-03-17 2016-09-22 Riverbed Technology, Inc. Optimization of a secure connection with enhanced security for private cryptographic keys
US9854048B2 (en) * 2015-06-29 2017-12-26 Sprint Communications Company L.P. Network function virtualization (NFV) hardware trust in data communication systems

Also Published As

Publication number Publication date
EP3133789B1 (en) 2019-01-30
JP2017516434A (ja) 2017-06-15
CN105284091A (zh) 2016-01-27
KR20170002577A (ko) 2017-01-06
CN106464495B (zh) 2020-02-21
JP6299047B2 (ja) 2018-03-28
WO2015169126A1 (zh) 2015-11-12
US20170054710A1 (en) 2017-02-23
RU2658172C2 (ru) 2018-06-19
RU2016147697A (ru) 2018-06-08
CN105284091B (zh) 2018-06-15
EP3133789A4 (en) 2017-04-26
BR112016026035A2 (pt) 2018-05-15
CN106464495A (zh) 2017-02-22
RU2016147697A3 (pt) 2018-06-08
WO2015168914A1 (zh) 2015-11-12
KR101942412B1 (ko) 2019-01-25
EP3133789A1 (en) 2017-02-22
US10225246B2 (en) 2019-03-05

Similar Documents

Publication Publication Date Title
BR112016026035B1 (pt) Dispositivo e métodos de aquisição de certificado
JP6311196B2 (ja) 証明書取得方法およびデバイス
US10977372B2 (en) Technologies for secure bootstrapping of virtual network functions
CN108351937B (zh) 计算设备
ES2672938T3 (es) Conexión basada en certificado a una máquina virtual en la nube
US9183374B2 (en) Techniques for identity-enabled interface deployment
RU2017120215A (ru) Многофункциональная идентификация виртуального вычислительного узла
CN104158791A (zh) 一种分布式环境下的安全通信认证方法及系统
Schear et al. Bootstrapping and maintaining trust in the cloud
US11457007B2 (en) Single sign-on from desktop to network
CN110121857B (zh) 一种凭据分发的方法和设备
US11829482B2 (en) Pre-boot authentication for virtual machines using credentials stored in virtual trusted platform modules
US11025594B2 (en) Secret information distribution method and device

Legal Events

Date Code Title Description
B06F Objections, documents and/or translations needed after an examination request according [chapter 6.6 patent gazette]
B06U Preliminary requirement: requests with searches performed by other patent offices: procedure suspended [chapter 6.21 patent gazette]
B09A Decision: intention to grant [chapter 9.1 patent gazette]
B16A Patent or certificate of addition of invention granted [chapter 16.1 patent gazette]

Free format text: PRAZO DE VALIDADE: 20 (VINTE) ANOS CONTADOS A PARTIR DE 08/05/2014, OBSERVADAS AS CONDICOES LEGAIS