CN105264818B - 一种证书获取方法和设备 - Google Patents
一种证书获取方法和设备 Download PDFInfo
- Publication number
- CN105264818B CN105264818B CN201480028386.5A CN201480028386A CN105264818B CN 105264818 B CN105264818 B CN 105264818B CN 201480028386 A CN201480028386 A CN 201480028386A CN 105264818 B CN105264818 B CN 105264818B
- Authority
- CN
- China
- Prior art keywords
- certificate
- vnfc
- examples
- main
- new installation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Abstract
本发明公开了一种证书获取方法和设备,接收新安装的VNFC实例发送的证书申请代理消息;并向证书认证中心发送证书请求消息;获取所述证书认证中心签发的证书,这样,对于新安装的VNFC实例,无需采用目前VNF获取证书的方式,有效避免了新安装的VNFC实例获取证书出现的过程繁琐、复杂度增大的问题;通过同一个网络功能虚拟化基础设施平台上已获取证书的其他VNFC实例,利用其他VNFC实例建立的与证书认证中心之间的信任通道,代替新安装的VNFC实例申请证书,不仅能够安全获取证书,而且还有效地简化了流程,提升了系统反应速度,改善了系统运行效率。
Description
技术领域
本发明涉及虚拟网络部署领域,尤其涉及一种证书获取方法和设备。
背景技术
NFV(Network Function Virtualization,网络功能虚拟化)是以“传统网络虚拟化”为目的而成立的标准组织,制定了一套在虚拟化环境下部署网络的标准。通过NFV组织制定的标准,可以实现网络的虚拟化以及灵活部署等能力。
在NFV技术中引入VNF(Virtualized Network Function,虚拟化的网络功能),使得传统CT网络以及网络节点的架构发生较大变化。在新的电信架构下,传统的物理电信节点演变为虚拟设备中的虚拟节点,并以虚拟机的形式存在。这样使得多个传统物理节点共同部署在同一个物理宿主机上,共享硬件资源,甚至与其他第三方应用软件共享资源,提升了同一个虚拟设备中不同虚拟机之间的通信性能。
例如:传统的IP(Internetworking Protocol,组网协议)网络通过虚拟交换机、虚拟网络适配器演变为虚拟网络,不同虚拟机之间通过虚拟网络进行通信,这样就绕过了传统物理网络设备。
虚拟网络与传统网络相同,虚拟网络内部虚拟机之间通信、虚拟机与外部网络之间进行通信都面临着网络安全风险。例如:虚拟机之间的相互攻击,宿主机应用利用与虚拟机网络互通进行攻击等。对此,虚拟网络采用安全技术(例如:IPSec技术、TLS(TransportLayer Security,传输层安全协议)技术等),建立虚拟机之间的安全连接。上述的安全技术需要相互通信的两个虚拟机上配置基于X.509的证书,以实现通信对端的相互验证。
在虚拟化场景下,VNF是一组软件,在需要的时候进行实例化。所谓VNF的实例化,是指为一个VNF软件确定并分配需要的虚拟化资源并安装该VNF软件的过程。由于实例化的VNF不是传统的硬件实体,并不一直存在,而是以软件方式按需生成、动态存在,且其安装的物理位置也不固定。因此传统的实体证书配置方法并不适用于VNF这种虚拟软件。
为了根据VNF的特性为VNF配置证书,目前提出了一种证书配置方式,即在VNF实例化的过程中,由运营商为实例化的VNF配置初始证书,并安装在实例化的VNF上;实例化的VNF利用初始证书,从证书认证中心(CA,Certification Authority)获取证书。
在实际应用中,VNFC(Virtual Network Function Component,虚拟化的网络功能组件)作为VNF的组件,获取CA签发的证书的方式与VNF获取证书的方式相同,即通过VNF实例化时对每一个VNFC配置初始证书,并在VNFC实例化后进行成功安装;此后VNFC实例利用初始证书向CA申请正式证书。引入初始证书之后,使得VNF获取证书的流程比较复杂,且初始证书关联的私钥在传递过程中面临泄露的风险,降低了VNF获取证书的安全性。
然而,在NFV场景下,VNF可以有多个实施例。在使用的过程中,为了提高网络性能,可能需要增加新的VNFC。对于新增加的VNFC,如果需要对外通信则需要获取证书,而若依然采用上述利用初始证书获取正式证书的方式,不仅过程繁琐、复杂度增大,而且使得系统反应速度降低,运行效率也降低。
发明内容
有鉴于此,本发明实施例提供了一种证书获取方法和设备,用于解决对于VNF新增加的VNFC如何获取证书以改善系统反应速度、增加系统运行效率的问题。
根据本发明的第一方面,提供了一种证书获取设备,包括:
接收模块,用于接收新安装的虚拟网络功能VNFC实例发送的证书申请代理消息,其中,所述证书申请代理消息中包含了所述新安装的VNFC实例用于申请证书的公钥;
发送模块,用于根据所述接收模块接收到的所述证书申请代理消息,向证书认证中心发送证书请求消息,请求所述证书认证中心为所述新安装的VNFC实例签发证书,其中,所述证书请求消息中包含了主VNFC实例的证书和所述新安装的VNFC实例用于申请证书的公钥;
获取模块,用于获取所述证书认证中心签发的证书,其中,所述证书是由所述证书认证中心使用所述新安装的VNFC实例用于申请证书的公钥签发的。
结合本发明第一方面可能的实施方式中,第一种可能的实施方式,所述设备还包括:
所述接收模块,还用于在所述获取模块获取所述证书认证中心签发的证书之前,接收所述证书认证中心发送的证书响应消息;
验证模块,用于对所述接收模块接收到的所述证书响应消息进行验证。
结合本发明第一方面的第一种可能的实施方式中,第二种可能的实施方式,所述证书响应消息中包含了所述证书认证中心签发的证书;
所述获取模块,具体用于在所述验证模块确定对所述证书响应消息验证通过时,获取所述证书响应消息中包含的所述证书认证中心签发给所述新安装的VNFC实例的证书,其中,所述新安装的VNFC实例的证书是由所述证书认证中心根据所述主VNFC实例的证书,通过对所述主VNFC发送的证书请求消息的认证后,对所述证书请求消息中包含的所述新安装的VNFC实例用于申请证书的公钥签名得到的。
结合本发明第一方面可能的实施方式中,或者结合本发明第一方面的第一种可能的实施方式中,或者结合本发明第一方面的第二种可能的实施方式中,第三种可能的实施方式,所述证书申请代理消息和所述证书请求消息中还包含了私钥拥有性证明POP信息。
结合本发明第一方面的第三种可能的实施方式中,第四种可能的实施方式,所述POP信息由所述新安装的VNFC实例使用公私密钥对中的私钥对私钥拥有性证明签名关键字字段进行签名得到。
结合本发明第一方面可能的实施方式中,或者结合本发明第一方面的第一种可能的实施方式中,或者结合本发明第一方面的第二种可能的实施方式中,或者结合本发明第一方面的第三种可能的实施方式中,或者结合本发明第一方面的第四种可能的实施方式中,第五种可能的实施方式,所述新安装的VNFC实例使用的公私密钥对通过以下方式得到:
所述新安装的VNFC实例生成公私密钥对;或
网络功能虚拟化基础设备NFVI生成公私密钥对并注入至所述新安装的VNFC实例中。
结合本发明第一方面可能的实施方式中,或者结合本发明第一方面的第一种可能的实施方式中,或者结合本发明第一方面的第二种可能的实施方式中,或者结合本发明第一方面的第三种可能的实施方式中,或者结合本发明第一方面的第四种可能的实施方式中,或者结合本发明第一方面的第五种可能的实施方式中,第六种可能的实施方式,所述发送模块,还用于在所述获取模块获取所述证书认证中心签发给所述新安装的VNFC实例的证书后,将获取的所述证书认证中心签发给所述新安装的VNFC实例的证书通过内部网络发送给新安装的VNFC实例。
结合本发明第一方面可能的实施方式中,或者结合本发明第一方面的第一种可能的实施方式中,或者结合本发明第一方面的第二种可能的实施方式中,或者结合本发明第一方面的第三种可能的实施方式中,或者结合本发明第一方面的第四种可能的实施方式中,或者结合本发明第一方面的第五种可能的实施方式中,或者结合本发明第一方面的第六种可能的实施方式中,第七种可能的实施方式,所述主VNFC实例与所述新安装的VNFC实例属于同一个网络功能虚拟化基础设施NFVI平台中同一个VNF的不同组件。
根据本发明的第二方面,提供了一种证书获取设备,包括:
接收模块,用于接收主VNFC实例发送的证书请求消息,其中,所述证书请求消息中包含了主VNFC实例的证书和新安装的VNFC实例用于申请证书的公钥;
证书签发模块,用于根据所述接收模块接收到的所述主VNFC实例的证书对所述证书请求消息进行认证,并在认证通过时对所述新安装的VNFC实例用于申请证书的公钥签名得到签发的证书;
发送模块,用于将所述证书签发模块签发的所述签发的证书发送给所述主VNFC实例。
结合本发明第二方面可能的实施方式中,第一种可能的实施方式,所述证书签发模块,具体用于利用所述主VNFC实例的证书验证所述证书请求消息的签名,以及利用签发的根CA证书或者签发的中间证书对接收到的所述主VNFC实例的证书进行验证。
结合本发明第二方面可能的实施方式中,或者结合本发明第二方面的第一种可能的实施方式中,第二种可能的实施方式,所述证书请求消息中还包含私钥拥有性证明POP信息。
结合本发明第二方面的第二种可能的实施方式中,第三种可能的实施方式,所述证书签发模块,还用于利用所述证书请求消息中包含的用于申请证书的公钥对所述证书请求消息中包含的POP信息进行认证。
根据本发明的第三方面,提供了一种证书获取设备,包括:
发送模块,用于向主虚拟网络功能VNFC实例发送证书申请代理消息,其中,所述证书申请代理消息中包含了新安装的VNFC实例用于申请证书的公钥,所述证书申请代理消息用于请求所述主VNFC实例向证书认证中心发送证书请求消息,所述证书请求消息用于请求所述证书认证中心为所述新安装的VNFC实例签发证书,所述证书请求消息中包含了所述主VNFC实例的证书和所述新安装的VNFC实例用于申请证书的公钥;
接收模块,用于接收所述主VNFC实例发送的所述证书认证中心签发的证书,其中,所述证书是由所述证书认证中心对所述新安装的VNFC实例用于申请证书的公钥签名得到的。
结合本发明第三方面可能的实施方式中,第一种可能的实施方式,所述接收模块,还用于在向主VNFC发送证书申请代理消息之前,接收NFVO或者VNFM发送的证书申请信息,其中,所述证书申请信息中包含了用于代理证书申请的主VNFC实例信息。
结合本发明第三方面的第一种可能的实施方式中,第二种可能的实施方式,所述设备还包括:
建立模块,用于在向主VNFC发送证书申请代理消息之前,根据所述接收模块接收到的所述证书申请信息,建立与所述用于证书申请代理的主VNFC实例之间的网络连接,其中,所述网络连接属于同一个网络功能虚拟化基础设施NFVI平台的VNF内部的网络连接。
结合本发明第三方面的第一种可能的实施方式中,或者结合本发明第三方面的第二种可能的实施方式中,第三种可能的实施方式,所述接收模块,具体用于在安装时,接收网络功能虚拟化基础设备NFVI注入的证书申请信息。
结合本发明第三方面的第一种可能的实施方式中,或者结合本发明第三方面的第二种可能的实施方式中,或者结合本发明第三方面的第三种可能的实施方式中,第四种可能的实施方式,用于证书申请代理的主VNFC信息包含了主VNFC实例的网际协议IP地址、媒质接入控制MAC标识、虚拟网络信息中心NIC地址。
结合本发明第三方面可能的实施方式中,或者结合本发明第三方面的第一种可能的实施方式中,或者结合本发明第三方面的第二种可能的实施方式中,或者结合本发明第三方面的第三种可能的实施方式中,或者结合本发明第三方面的第四种可能的实施方式中,第五种可能的实施方式,所述新安装的VNFC实例用于申请证书的公钥通过以下方式得到:
所述新安装的VNFC实例生成公私密钥对;或
网络功能虚拟化基础设备NFVI生成公私密钥对,并注入至所述新安装的VNFC实例中。
结合本发明第三方面可能的实施方式中,或者结合本发明第三方面的第一种可能的实施方式中,或者结合本发明第三方面的第二种可能的实施方式中,或者结合本发明第三方面的第三种可能的实施方式中,或者结合本发明第三方面的第四种可能的实施方式中,或者结合本发明第三方面的第五种可能的实施方式中,第六种可能的实施方式,所述新安装的VNFC实例向主VNFC实例发送证书申请代理消息的触发方式包括:
由VNF实例化触发;或,由VNF扩容触发。
根据本发明的第四方面,提供了一种证书获取设备,包括:
信号接收器,用于接收新安装的虚拟网络功能VNFC实例发送的证书申请代理消息,其中,所述证书申请代理消息中包含了所述新安装的VNFC实例用于申请证书的公钥;
信号发射器,用于根据所述证书申请代理消息,向证书认证中心发送证书请求消息,请求所述证书认证中心为所述新安装的VNFC实例签发证书,其中,所述证书请求消息中包含了主VNFC实例的证书和所述新安装的VNFC实例用于申请证书的公钥;
处理器,用于获取所述证书认证中心签发的证书,其中,所述证书是由所述证书认证中心使用所述新安装的VNFC实例用于申请证书的公钥签发的。
结合本发明第四方面可能的实施方式中,第一种可能的实施方式,所述信号接收器,还用于在获取所述证书认证中心签发的证书之前,接收所述证书认证中心发送的证书响应消息;
所述处理器,还用于对接收到的所述证书响应消息进行验证。
结合本发明第四方面的第一种可能的实施方式中,第二种可能的实施方式,所述证书响应消息中包含了所述证书认证中心签发的证书;
所述处理器,具体用于在对所述证书响应消息验证通过时,获取所述证书响应消息中包含的所述证书认证中心签发给所述新安装的VNFC实例的证书,其中,所述新安装的VNFC实例的证书是由所述证书认证中心根据所述主VNFC实例的证书,通过对所述主VNFC发送的证书请求消息的认证后,对所述证书请求消息中包含的所述新安装的VNFC实例用于申请证书的公钥签名得到的。
结合本发明第四方面可能的实施方式中,或者结合本发明第四方面的第一种可能的实施方式中,或者结合本发明第四方面的第二种可能的实施方式中,第三种可能的实施方式,所述证书申请代理消息和所述证书请求消息中还包含了私钥拥有性证明POP信息。
结合本发明第四方面的第三种可能的实施方式中,第四种可能的实施方式,所述POP信息由所述新安装的VNFC实例使用公私密钥对中的私钥对私钥拥有性证明签名关键字字段进行签名得到。
结合本发明第四方面可能的实施方式中,或者结合本发明第四方面的第一种可能的实施方式中,或者结合本发明第四方面的第二种可能的实施方式中,或者结合本发明第四方面的第三种可能的实施方式中,或者结合本发明第四方面的第四种可能的实施方式中,第五种可能的实施方式,所述新安装的VNFC实例使用的公私密钥对通过以下方式得到:
所述新安装的VNFC实例生成公私密钥对;或
网络功能虚拟化基础设备NFVI生成公私密钥对并注入至所述新安装的VNFC实例中。
结合本发明第四方面可能的实施方式中,或者结合本发明第四方面的第一种可能的实施方式中,或者结合本发明第四方面的第二种可能的实施方式中,或者结合本发明第四方面的第三种可能的实施方式中,或者结合本发明第四方面的第四种可能的实施方式中,或者结合本发明第四方面的第五种可能的实施方式中,第六种可能的实施方式,所述信号发射器,还用于在获取所述证书认证中心签发给所述新安装的VNFC实例的证书后,将获取的所述证书认证中心签发给所述新安装的VNFC实例的证书通过内部网络发送给新安装的VNFC实例。
结合本发明第四方面可能的实施方式中,或者结合本发明第四方面的第一种可能的实施方式中,或者结合本发明第四方面的第二种可能的实施方式中,或者结合本发明第四方面的第三种可能的实施方式中,或者结合本发明第四方面的第四种可能的实施方式中,或者结合本发明第四方面的第五种可能的实施方式中,或者结合本发明第四方面的第六种可能的实施方式中,第七种可能的实施方式,所述主VNFC实例与所述新安装的VNFC实例属于同一个网络功能虚拟化基础设施NFVI平台中同一个VNF的不同组件。
根据本发明的第五方面,提供了一种证书获取设备,包括:
信号接收器,用于接收主VNFC实例发送的证书请求消息,其中,所述证书请求消息中包含了主VNFC实例的证书和新安装的VNFC实例用于申请证书的公钥;
处理器,用于根据所述主VNFC实例的证书对所述证书请求消息进行认证,并在认证通过时对所述新安装的VNFC实例用于申请证书的公钥签名得到签发的证书;
信号发射器,用于将所述签发的证书发送给所述主VNFC实例。
结合本发明第五方面可能的实施方式中,第一种可能的实施方式,所述处理器,具体用于利用所述主VNFC实例的证书验证所述证书请求消息的签名,以及利用签发的根CA证书或者签发的中间证书对接收到的所述主VNFC实例的证书进行验证。
结合本发明第五方面可能的实施方式中,或者结合本发明第五方面的第一种可能的实施方式中,第二种可能的实施方式,所述证书请求消息中还包含私钥拥有性证明POP信息。
结合本发明第五方面的第二种可能的实施方式中,第三种可能的实施方式,所述处理器,还用于所述证书认证中心利用所述证书请求消息中包含的用于申请证书的公钥对所述证书请求消息中包含的POP信息进行认证。
根据本发明的第六方面,提供了一种证书获取设备,包括:
信号发射器,用于向主虚拟网络功能VNFC实例发送证书申请代理消息,其中,所述证书申请代理消息中包含了新安装的VNFC实例用于申请证书的公钥,所述证书申请代理消息用于请求所述主VNFC实例向证书认证中心发送证书请求消息,所述证书请求消息用于请求所述证书认证中心为所述新安装的VNFC实例签发证书,所述证书请求消息中包含了所述主VNFC实例的证书和所述新安装的VNFC实例用于申请证书的公钥;
信号接收器,用于接收所述主VNFC实例发送的所述证书认证中心签发的证书,其中,所述证书是由所述证书认证中心对所述新安装的VNFC实例用于申请证书的公钥签名得到的。
结合本发明第六方面可能的实施方式中,第一种可能的实施方式,所述信号接收器,还用于在向主VNFC发送证书申请代理消息之前,接收NFVO或者VNFM发送的证书申请信息,其中,所述证书申请信息中包含了用于代理证书申请的主VNFC实例信息。
结合本发明第六方面的第一种可能的实施方式中,第二种可能的实施方式,所述设备还包括处理器,其中:所述处理器,用于在向主VNFC发送证书申请代理消息之前,根据所述证书申请信息,建立与所述用于证书申请代理的主VNFC实例之间的网络连接,其中,所述网络连接属于同一个网络功能虚拟化基础设施NFVI平台的VNF内部的网络连接。
结合本发明第六方面的第一种可能的实施方式中,或者结合本发明第六方面的第二种可能的实施方式中,第三种可能的实施方式,所述信号接收器,具体用于在安装时,接收网络功能虚拟化基础设备NFVI注入的证书申请信息。
结合本发明第六方面的第一种可能的实施方式中,或者结合本发明第六方面的第二种可能的实施方式中,或者结合本发明第六方面的第三种可能的实施方式中,第四种可能的实施方式,用于证书申请代理的主VNFC信息包含了主VNFC实例的网际协议IP地址、媒质接入控制MAC标识、虚拟网络信息中心NIC地址。
结合本发明第六方面可能的实施方式中,或者结合本发明第六方面的第一种可能的实施方式中,或者结合本发明第六方面的第二种可能的实施方式中,或者结合本发明第六方面的第三种可能的实施方式中,或者结合本发明第六方面的第四种可能的实施方式中,第五种可能的实施方式,所述新安装的VNFC实例用于申请证书的公钥通过以下方式得到:
所述新安装的VNFC实例生成公私密钥对;或
网络功能虚拟化基础设备NFVI生成公私密钥对,并注入至所述新安装的VNFC实例中。
结合本发明第六方面可能的实施方式中,或者结合本发明第六方面的第一种可能的实施方式中,或者结合本发明第六方面的第二种可能的实施方式中,或者结合本发明第六方面的第三种可能的实施方式中,或者结合本发明第六方面的第四种可能的实施方式中,或者结合本发明第六方面的第五种可能的实施方式中,第六种可能的实施方式,所述新安装的VNFC实例向主VNFC实例发送证书申请代理消息的触发方式包括:
由VNF实例化触发;或,
由VNF扩容触发。
根据本发明的第七方面,提供了一种证书获取方法,包括:
主虚拟网络功能VNFC实例接收新安装的VNFC实例发送的证书申请代理消息,其中,所述证书申请代理消息中包含了所述新安装的VNFC实例用于申请证书的公钥;
所述主VNFC实例根据所述证书申请代理消息,向证书认证中心发送证书请求消息,请求所述证书认证中心为所述新安装的VNFC实例签发证书,其中,所述证书请求消息中包含了主VNFC实例的证书和所述新安装的VNFC实例用于申请证书的公钥;
所述主VNFC实例获取所述证书认证中心签发的证书,其中,所述证书是由所述证书认证中心使用所述新安装的VNFC实例用于申请证书的公钥签发的。
结合本发明第七方面可能的实施方式中,第一种可能的实施方式,所述主VNFC实例在获取所述证书认证中心签发的证书之前,所述方法还包括:
所述主VNFC实例接收所述证书认证中心发送的证书响应消息,并对接收到的所述证书响应消息进行验证。
结合本发明第七方面的第一种可能的实施方式中,第二种可能的实施方式,所述证书响应消息中包含了所述证书认证中心签发的证书;
所述获取所述证书认证中心签发的证书,包括:
所述主VNFC实例在对所述证书响应消息验证通过时,获取所述证书响应消息中包含的所述证书认证中心签发给所述新安装的VNFC实例的证书,其中,所述新安装的VNFC实例的证书是由所述证书认证中心根据所述主VNFC实例的证书,通过对所述主VNFC发送的证书请求消息的认证后,对所述证书请求消息中包含的所述新安装的VNFC实例用于申请证书的公钥签名得到的。
结合本发明第七方面可能的实施方式中,或者结合本发明第七方面的第一种可能的实施方式中,或者结合本发明第七方面的第二种可能的实施方式中,第三种可能的实施方式,所述证书申请代理消息和所述证书请求消息中还包含了私钥拥有性证明POP信息。
结合本发明第七方面的第三种可能的实施方式中,第四种可能的实施方式,所述POP信息由所述新安装的VNFC实例使用公私密钥对中的私钥对私钥拥有性证明签名关键字字段进行签名得到。
结合本发明第七方面可能的实施方式中,或者结合本发明第七方面的第一种可能的实施方式中,或者结合本发明第七方面的第二种可能的实施方式中,或者结合本发明第七方面的第三种可能的实施方式中,或者结合本发明第七方面的第四种可能的实施方式中,第五种可能的实施方式,所述新安装的VNFC实例使用的公私密钥对通过以下方式得到:
所述新安装的VNFC实例生成公私密钥对;或
网络功能虚拟化基础设备NFVI生成公私密钥对并注入至所述新安装的VNFC实例中。
结合本发明第七方面可能的实施方式中,或者结合本发明第七方面的第一种可能的实施方式中,或者结合本发明第七方面的第二种可能的实施方式中,或者结合本发明第七方面的第三种可能的实施方式中,或者结合本发明第七方面的第四种可能的实施方式中,或者结合本发明第七方面的第五种可能的实施方式中,第六种可能的实施方式,所述主VNFC实例在获取所述证书认证中心签发给所述新安装的VNFC实例的证书后,所述方法还包括:
所述主VNFC实例将获取的所述证书认证中心签发给所述新安装的VNFC实例的证书通过内部网络发送给新安装的VNFC实例。
结合本发明第七方面可能的实施方式中,或者结合本发明第七方面的第一种可能的实施方式中,或者结合本发明第七方面的第二种可能的实施方式中,或者结合本发明第七方面的第三种可能的实施方式中,或者结合本发明第七方面的第四种可能的实施方式中,或者结合本发明第七方面的第五种可能的实施方式中,或者结合本发明第七方面的第六种可能的实施方式中,第七种可能的实施方式,所述主VNFC实例与所述新安装的VNFC实例属于同一个网络功能虚拟化基础设施NFVI平台中同一个VNF的不同组件。
根据本发明的第八方面,提供了一种证书获取方法,包括:
证书认证中心接收主VNFC实例发送的证书请求消息,其中,所述证书请求消息中包含了主VNFC实例的证书和新安装的VNFC实例用于申请证书的公钥;
所述证书认证中心根据所述主VNFC实例的证书对所述证书请求消息进行认证,并在认证通过时对所述新安装的VNFC实例用于申请证书的公钥签名得到签发的证书;
所述证书认证中心将所述签发的证书发送给所述主VNFC实例。
结合本发明第八方面可能的实施方式中,第一种可能的实施方式,所述证书认证中心根据所述主VNFC的证书对所述证书请求消息进行认证,包括:
所述证书认证中心利用所述主VNFC实例的证书验证所述证书请求消息的签名,以及利用签发的根CA证书或者签发的中间证书对接收到的所述主VNFC实例的证书进行验证。
结合本发明第八方面可能的实施方式中,或者结合本发明第八方面的第一种可能的实施方式中,第二种可能的实施方式,所述证书请求消息中还包含私钥拥有性证明POP信息。
结合本发明第八方面的第二种可能的实施方式中,第三种可能的实施方式,所述证书认证中心根据所述主VNFC的证书对所述证书请求消息进行认证,还包括:
所述证书认证中心利用所述证书请求消息中包含的用于申请证书的公钥对所述证书请求消息中包含的POP信息进行认证。
根据本发明的第九方面,提供了一种证书获取方法,包括:
新安装的虚拟网络功能VNFC实例向主VNFC实例发送证书申请代理消息,其中,所述证书申请代理消息中包含了新安装的VNFC实例用于申请证书的公钥,所述证书申请代理消息用于请求所述主VNFC实例向证书认证中心发送证书请求消息,所述证书请求消息用于请求所述证书认证中心为所述新安装的VNFC实例签发证书,所述证书请求消息中包含了所述主VNFC实例的证书和所述新安装的VNFC实例用于申请证书的公钥;
所述新安装的VNFC实例接收所述主VNFC实例发送的所述证书认证中心签发的证书,其中,所述证书是由所述证书认证中心对所述新安装的VNFC实例用于申请证书的公钥签名得到的。
结合本发明第九方面可能的实施方式中,第一种可能的实施方式,在向主VNFC发送证书申请代理消息之前,所述方法还包括:
所述新安装的VNFC实例接收NFVO或者VNFM发送的证书申请信息,其中,所述证书申请信息中包含了用于代理证书申请的主VNFC实例信息。
结合本发明第九方面的第一种可能的实施方式中,第二种可能的实施方式,所述新安装的VNFC实例在向主VNFC发送证书申请代理消息之前,所述方法还包括:
所述新安装的VNFC实例根据所述证书申请信息,建立与所述用于证书申请代理的主VNFC实例之间的网络连接,其中,所述网络连接属于同一个网络功能虚拟化基础设施NFVI平台的VNF内部的网络连接。
结合本发明第九方面的第一种可能的实施方式中,或者结合本发明第九方面的第二种可能的实施方式中,第三种可能的实施方式,所述新安装的VNFC实例获取证书申请信息,包括:
所述新安装的VNFC实例在安装时,接收网络功能虚拟化基础设备NFVI注入的证书申请信息。
结合本发明第九方面的第一种可能的实施方式中,或者结合本发明第九方面的第二种可能的实施方式中,或者结合本发明第九方面的第三种可能的实施方式中,第四种可能的实施方式,用于证书申请代理的主VNFC信息包含了主VNFC实例的网际协议IP地址、媒质接入控制MAC标识、虚拟网络信息中心NIC地址。
结合本发明第九方面可能的实施方式中,或者结合本发明第九方面的第一种可能的实施方式中,或者结合本发明第九方面的第二种可能的实施方式中,或者结合本发明第九方面的第三种可能的实施方式中,或者结合本发明第九方面的第四种可能的实施方式中,第五种可能的实施方式,所述新安装的VNFC实例用于申请证书的公钥通过以下方式得到:
所述新安装的VNFC实例生成公私密钥对;或
网络功能虚拟化基础设备NFVI生成公私密钥对,并注入至所述新安装的VNFC实例中。
结合本发明第九方面可能的实施方式中,或者结合本发明第九方面的第一种可能的实施方式中,或者结合本发明第九方面的第二种可能的实施方式中,或者结合本发明第九方面的第三种可能的实施方式中,或者结合本发明第九方面的第四种可能的实施方式中,或者结合本发明第九方面的第五种可能的实施方式中,第六种可能的实施方式,所述新安装的VNFC实例向主VNFC实例发送证书申请代理消息的触发方式包括:
由VNF实例化触发;或,
由VNF扩容触发。
本发明实施例在一个NFVI平台上存在已获取证书的其他VNFC实例时,利用其他VNFC实例已建立的与证书认证中心之间的信任通道,代替新安装的VNFC实例申请证书,不仅能够安全获取证书,而且还有效地简化了流程,提升了系统反应速度,改善了系统运行效率。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一提供的一种证书获取方法的流程示意图;
图2为本发明实施例二提供的一种证书获取方法的流程示意图;
图3为本发明实施例三提供的一种证书获取方法的流程示意图;
图4为本发明实施例四提供的一种证书获取方法的流程示意图;
图5为本发明实施例六提供的一种证书获取设备的结构示意图;
图6为本发明实施例七提供的一种证书获取设备的结构示意图;
图7为本发明实施例八提供的一种证书获取设备的结构示意图;
图8为本发明实施例九提供的一种证书获取设备的结构示意图;
图9为本发明实施例十提供的一种证书获取设备的结构示意图;
图10为本发明实施例十一提供的一种证书获取设备的结构示意图。
具体实施方式
为了实现本发明的目的,本发明实施例提供了一种证书获取方法和设备,主VNFC实例接收新安装的VNFC实例发送的证书申请代理消息,所述证书申请代理消息中包含了所述新安装的VNFC实例用于申请证书的公钥;向证书认证中心发送证书请求消息,其中,所述证书请求消息中包含了主VNFC实例的证书和所述新安装的VNFC实例用于申请证书的公钥;获取所述证书认证中心签发的证书,其中,所述证书是由所述证书认证中心根据所述主VNFC实例的证书对所述主VNFC实例发送的证书请求消息进行成功认证后,利用所述新安装的VNFC实例用于申请证书的公钥进行签名得到的。
这样,对于新安装的VNFC实例,无需采用目前VNF获取证书的方式,有效避免了新安装的VNFC实例获取证书出现的过程繁琐、复杂度增大的问题;通过同一个NFVI平台上已获取证书的其他VNFC实例,利用其他VNFC实例已建立的与证书认证中心之间的信任通道,代替新安装的VNFC实例申请证书,不仅能够安全获取证书,而且还有效地简化了流程,提升了系统反应速度,改善了系统运行效率。
需要说明的是,本发明实施例新安装的VNFC实例是在接收到VNFC实例化的操作指令或者VNF扩容的操作指令时启动安装的;本发明实施例新安装的VNFC实例在需要申请证书时,可以通过位于同一个NFVI平台的、已获得证书的其他VNFC实例代理申请证书。
下面结合说明书附图对本发明各个实施例进行详细描述。
实施例一:
如图1所示,为本发明实施例一提供的一种证书获取方法的流程示意图。所述方法可以如下所述。本发明实施例的执行主体可以是需要为新安装的VNFC实例申请证书的代理VNFC实例,或者称为主VNFC实例;还可以是与新安装的VNFC实例具备关联关系的VNF实例中已获得证书的其他VNF组件。
步骤101:主VNFC实例接收新安装的VNFC实例发送的证书申请代理消息。
其中,所述证书申请代理消息中包含了所述新安装的VNFC实例用于申请证书的公钥。
在步骤101中,当VNFM(VNF Manager,VNF管理器)接收到用于安装新的VNFC实例的操作指令时,VNFM向NFVO发送操作指令验证请求信息。
需要说明的是,用于安装新的VNFC实例的操作指令包括了VNFC实例化的操作指令、VNF扩容的操作指令等。
用于安装新的VNFC实例的操作指令可以是由EMS(Element Management System,网元管理系统)手动或者自动触发的,也可以是由VNFM收集到来自VNF的测量数据并发现需要扩容时得到的,这里不做限定。
NFVO在接收到操作指令验证请求信息时,执行操作决策,检查资源可用性,并向VNFM发送操作指令确认消息。
其中,所述操作指令确认消息中至少包含了新创建的VNFC实例的位置信息、证书认证中心信息中的一种或者多种。
所述新创建的VNFC实例的位置信息可以为该VNFC实例所位于的NFVI关联的VIM信息,例如VIM标识信息或者VIM地址信息。
所谓证书认证中心信息可以包含运营商域内的证书认证中心标识或者证书认证中心的IP地址等。
所述的证书认证中心可以为证书颁发机构(CA,Certificate Authority)、证书注册机构(RA,Registration Authority)或者网元管理系统(EMS,Element ManagementSystem)等具备证书颁发功能的网元。
此时,VNFM根据主VNFC实例和新创建的VNFC实例的位置信息,确定新安装的VNFC实例的证书申请策略。其中,所述新创建的VNFC实例的位置信息由NFVO通过操作指令确认消息发送给VNFM。
所述新创建的VNFC实例的位置信息可以为该VNFC所位于的NFVI关联的VIM信息,如VIM标识信息或VIM地址信息。
其中,所述证书申请策略用于确定由谁代理为新安装的VNFC实例申请证书。
具体地,VNFM根据主VNFC实例和新创建的VNFC实例的位置信息,确认所述新安装的VNFC实例与所述主VNFC实例属于同一个网络功能虚拟化基础设施NFVI平台上中同一个VNF的不同组件。
具体地,所述VNFM根据所述新安装的VNFC实例与所述主VNFC实例的位置信息和/或VNF标识信息确认二者属于同一个网络功能虚拟化基础设施NFVI平台上同一个VNF的不同组件。
所述VNFM确认所述新安装的VNFC实例与所述主VNFC实例属于同一个网络功能虚拟化基础设施NFVI平台上同一个VNF的不同组件后,确定所述新安装的VNF实例的证书申请策略,并将证书申请信息发送给所述新安装的VNF实例。
其中,证书申请策略就是采用何种方式为新创建的VNFC实例申请证书,以及如果采用代理人机制,谁来作为代理人。
所述证书申请策略中包含了证书申请信息,所述证书申请信息中包含了证书申请代理信息、证书申请方式指示中的一种或者多种。
证书申请代理消息包含了证书申请代理的标识信息,例如:IP(InternetProtocol,因特网协议)地址、MAC(Medium Access Control,媒质接入控制)标识、虚拟NIC(Network Information Center,网络信息中心)地址等。
证书申请方式指示可以为显式指示或者隐式指示。其中,显式指示,例如:代理机制等;隐式指示可以通过指定代理者信息进行暗示等。
需要说明的是,证书申请策略指示的为新安装的VNFC实例申请证书的代理VNFC实例,即主VNFC实例。
例如:在NFV中定义的VNFM Agent或Master VNFC,Master VNFC可以是VNF实例化过程中第一个创建的VNFC,用于负责VNF的内部管理;在VNF扩容过程中,Master VNFC可以定义为与VNF实例相关联的、且位于同一个网络功能虚拟化基础设施(NFVI,NetworkFunction Virtualization Infrastructure)硬件平台上的VNFC实例。
VNFM向VIM发送创建VM消息,以请求VIM为待安装的VNFC分配资源,其中,所述创建VM消息中包含了证书申请信息。
VIM指示NFVI创建VM,并将证书申请信息发送给NFVI,NFVI创建VIM,并向VIM发送创建确认消息。
在VM创建完成后,NFVI通过安全方式启动VNFC实例,将新安装的VNFC实例运行于创建的VM上,并将证书申请信息注入所述新安装的VNFC实例中。
新安装的VNFC实例根据证书申请信息中包含的证书申请代理信息,确定执行证书申请代理的主VNFC实例,并向主VNFC实例发送证书申请代理消息。
其中,所述证书申请代理消息中包含了所述新安装的VNFC实例用于申请证书的公钥。
需要说明的是,所述新安装的VNFC实例用于申请证书的公钥可以通过以下方式确定:
所述新安装的VNFC实例生成的公私密钥对;或
网络功能虚拟化基础设备NFVI在实例化所述新安装的VNF实例时,生成公私密钥对并注入至所述新安装的VNFC实例中。
此外,所述证书申请代理消息中还可以包含证书代理指示、证书认证中心信息等。
步骤102:主VNFC实例根据所述证书申请代理消息,向证书认证中心发送证书请求消息,请求所述证书认证中心为所述新安装的VNFC实例签发证书。
其中,所述证书请求消息中包含了主VNFC实例的证书和所述新安装的VNFC实例用于申请证书的公钥。
在步骤102中,假设主VNFC实例作为新安装的VNFC实例的证书申请代理,代替新安装的VNFC实例和证书认证中心之间进行证书登记。
主VNFC实例在接收到证书申请代理消息时,根据所述证书申请代理消息,生成证书请求消息。
所述证书请求消息中包含了主VNFC实例的证书和所述新安装的VNFC实例用于申请证书的公钥。
此外,主VNFC实例用安装证书对应的私钥对生成的证书请求消息进行签名。
主VNFC实例将证书请求消息发送给证书认证中心。
此时,证书认证中心在接收到主VNFC实例发送的证书请求消息时,利用主VNFC实例证书验证接收到的证书请求消息的签名,以及利用根CA证书或者中间证书验证主VNFC实例证书。
需要说明的是,假如用中间证书验证主VNFC实例证书,此时还需要用根CA证书验证中间证书。
证书认证中心在验证通过时,对所述新安装的VNFC实例用于申请证书的公钥进行签名,向主VNFC发送证书响应消息。
其中,所述证书响应消息中包含了签发给所述新安装的VNFC实例的证书,和/或根CA证书等。
步骤103:主VNFC实例获取所述证书认证中心签发的证书。
其中,所述证书是由所述证书认证中心根据所述新安装的VNFC实例用于申请证书的公钥签发的。
在步骤103中,在获取所述证书认证中心签发的证书之前,所述方法还包括:
接收所述证书认证中心发送的证书响应消息,并对接收到的所述证书响应消息进行验证。
具体地,主VNFC实例在接收到所述证书认证中心发送的证书响应消息时,利用主VNFC实例证书验证接收到的证书响应消息的签名,以及利用根CA证书或者中间证书验证CA证书。
需要说明的是,假如用中间证书验证CA实例证书,此时还需要用根CA证书验证中间证书。
主VNFC实例在验证通过时,获取所述证书响应消息中包含的所述证书认证中心签发给所述新安装的VNFC实例的证书。
其中,所述新安装的VNFC实例的证书是由所述证书认证中心根据所述主VNFC实例的证书,通过对所述主VNFC发送的证书请求消息的认证后,对所述证书请求消息中包含了所述新安装的VNFC实例用于申请证书的公钥签名得到的。
在本发明的另一个实施中,所述证书申请代理消息和所述证书请求消息中还包含了私钥拥有性证明(POP,Proof of Possession)信息。
所述POP信息由所述新安装的VNFC实例使用公私密钥对中的私钥对私钥拥有性证明签名关键字字段进行签名得到。
所述新安装的VNFC实例使用的公私密钥对通过以下方式得到:
所述新安装的VNFC实例生成公私密钥对;或
网络功能虚拟化基础设备NFVI在实例化所述新安装的VNF实例时,生成公私密钥对并注入至所述新安装的VNFC实例中。
在本发明的另一个实施中,主VNFC实例在获取所述证书认证中心签发给所述新安装的VNFC实例的证书后,所述方法还包括:
将获取的所述证书认证中心签发给所述新安装的VNFC实例的证书发送给网络功能虚拟化基础设施NFVI,以便于由所述NFVI将所述证书认证中心签发给所述新安装的VNFC实例的证书发送给所述新安装的VNFC实例进行安装。
在VNFC安装证书后,向NFVI发送确认证书申请完成,由NFVI向VIM发送证书申请完成,由VIM向VNFM确认资源分配完成。
VNFM对新安装的VNFC实例进行配置,部署特定的参数,并通知NFVO操作完成,NFVO将VNFC实例映射到VIM和资源池中;VNFM向EM发送确认消息;EMS增加或更新VNFC实例为可管理的设备,EMS对新安装的VNFC实例进行应用特定的参数配置。
在本实施例中,若主VNFC实例和证书认证中心之间没有直连接口的,则证书请求/响应消息可以通过EMS进行转发。
在本实施例中,新安装的VNFC实例申请的证书还可以由EMS来签发,此时主VNFC实例代理新安装的VNFC实例在EMS进行证书登记。
通过本发明实施例一的方案,在主VNFC实例获得证书之后,可以为新安装的VNFC实例转发证书申请消息,对于新安装的VNFC实例,无需采用目前VNF获取证书的方式,有效避免了新安装的VNFC实例获取证书出现的过程繁琐、复杂度增大的问题;通过同一个NFVI平台上已获取证书的其他VNFC实例,利用其它VNFC实例已建立的与证书认证中心之间的信任通道,代替新安装的VNFC实例申请证书,不仅能够安全获取证书,而且还有效地简化了流程,提升了系统反应速度,改善了系统运行效率。
实施例二:
如图2所示,为本发明实施例二提供的一种证书获取方法的流程示意图。所述方法可以如下所述。本发明实施例的执行主体可以是CA,也可以是其他具备签发证书的设备,例如:RA或EMS等。
步骤201:证书认证中心接收主VNFC实例发送的证书请求消息。
其中,所述证书请求消息中包含了主VNFC实例的证书和新安装的VNFC用于申请证书的公钥。
在步骤201中,发送证书请求消息的主VNFC实例除了为NFV中定义的VNFM Agent或Master VNFC之外,还可以是与新安装的VNFC实例具备关联关系的VNF实例中已获得证书的其他VNF组件,这里不做限定。
步骤202:证书认证中心根据所述主VNFC的证书对所述证书请求消息进行认证,并在认证通过时对所述新安装的VNFC实例用于申请证书的公钥签名得到签发的证书。
在步骤202中,所述证书认证中心根据所述主VNFC的证书对所述证书请求消息进行认证,包括:
证书认证中心利用所述主VNFC实例的证书验证所述证书请求消息的签名,以及利用签发的根CA证书或者签发的中间证书对接收到的所述主VNFC实例的证书进行验证。
具体地,CA在接收到主VNFC实例发送的证书请求消息时,利用主VNFC实例证书验证接收到的证书请求消息的签名,以及利用根CA证书或者中间证书验证主VNFC实例证书。
需要说明的是,假如用中间证书验证主VNFC实例证书,此时还需要用根CA证书验证中间证书。
CA在验证通过时,对所述新安装的VNFC实例用于申请证书的公钥进行签名,并生成证书响应消息。
其中,所述证书响应消息中包含了签发给所述新安装的VNFC实例的证书、根CA证书等。
在本发明的另一个实施例中,所述证书请求消息中还包含POP信息,那么对所述证书请求消息进行认证的方式还包括:
利用所述证书请求消息中包含的用于申请证书的公钥对所述证书请求消息中包含的POP信息进行认证。
步骤203:证书认证中心将所述签发的证书发送给所述主VNFC实例。
在步骤203中,CA将生成的证书响应消息发送给所述主VNFC实例,其中,所述证书响应消息中包含了签发给所述新安装的VNFC实例的证书,和/或根CA证书等。
通过本发明实施例二的方案,通过同一个NFVI硬件平台上已获取证书的其他VNFC实例,利用其他VNFC实例已建立的与证书认证中心之间的信任通道,代替新安装的VNFC实例申请证书,不仅能够安全获取证书,而且还有效地简化了流程,提升了系统反应速度,改善了系统运行效率。
实施例三:
如图3所示,为本发明实施例三提供的一种证书获取方法的流程示意图。所述方法可以如下所述。本发明实施例的执行主体是新安装的VNFC实例。
步骤301:新安装的VNFC实例向主VNFC实例发送证书申请代理消息。
其中,所述证书申请代理消息中包含了新安装的VNFC实例用于申请证书的公钥,所述证书申请代理消息用于请求所述主VNFC实例向证书认证中心发送证书请求消息,所述证书请求消息用于用于请求所述证书认证中心为所述新安装的VNFC实例签发证书,所述证书请求消息中包含了所述主VNFC实例的证书和所述新安装的VNFC实例用于申请证书的公钥。
在步骤301中,在向主VNFC实例发送证书申请代理消息之前,所述方法还包括:
所述新安装的VNFC实例接收NFVO或者VNFM发送的证书申请信息。
其中,所述证书申请信息中包含了用于代理证书申请的主VNFC实例信息。
具体地,新安装的VNFC实例在安装过程中,接收NFVI注入的证书申请策略信息。
其中,证书申请策略信息的确定方式包括但不限于以下两种:
第一种:由NFV编译器NFVO根据主VNFC和新创建的VNFC实例的位置信息确定;
第二种:由所述VNFM根据主VNFC和新创建的VNFC实例的位置信息确定。其中,所述新创建的VNFC实例的位置信息由NFVO发送给VNFM。
所述的主VNFC和新创建的VNFC实例的位置信息为:主VNFC和新创建的VNFC实例所位于的NFVI相关联的VIM信息,如VIM标识信息或VIM地址信息。
针对第一种由NFV编译器NFVO根据主VNFC和新创建的VNFC实例的位置信息确定证书申请策略,具体方式为:
当NFVO接收到用于安装新的VNFC实例的操作指令时,NFVO向VNFM发送操作指令验证请求信息。
需要说明的是,用于安装新的VNFC实例的操作指令包括了VNFC实例化的操作指令、VNF扩容的操作指令等。
用于安装新的VNFC实例的操作指令可以是由EMS(Element Management System,网元管理系统)手动或者自动触发的,也可以是由NFVO收集到来自VNF的测量数据并发现需要扩容时得到的,这里不做限定。
VNFM在接收到操作指令验证请求信息时,向NFVO发送操作指令确认消息。
NFVO在接收到操作指令确认消息时,执行操作决策,检查资源可用性,选择资源池并预留资源。
NFVO根据主VNFC实例和新创建的VNFC实例的位置信息,确定新安装的VNFC实例的证书申请策略,并将该证书申请策略发送给VNFM。
具体地,NFVO根据主VNFC实例和新创建的VNFC实例的位置信息,确认所述新安装的VNFC实例与所述主VNFC实例属于同一个网络功能虚拟化基础设施NFVI平台上中同一个VNF的不同组件。
具体地,所述NFVO根据所述新安装的VNFC实例与所述主VNFC实例的位置信息和/或VNF标识信息确认二者属于同一个网络功能虚拟化基础设施NFVI平台上同一个VNF的不同组件。
所述NFVO确认所述新安装的VNFC实例与所述主VNFC实例属于同一个网络功能虚拟化基础设施NFVI平台上同一个VNF的不同组件后,确定所述新安装的VNF实例的证书申请策略,并将证书申请信息发送给所述新安装的VNF实例。
其中,证书申请策略就是采用何种方式为新创建的VNFC实例申请证书,以及如果采用代理人机制,谁来作为代理人。
针对第二种由所述VNFM根据主VNFC和新创建的VNFC实例的位置信息确定证书申请策略,具体方式为:
当VNFM(VNF Manager,VNF管理器)接收到用于安装新的VNFC实例的操作指令时,VNFM向NFVO发送操作指令验证请求信息。
需要说明的是,用于安装新的VNFC实例的操作指令包括了VNFC实例化的操作指令、VNF扩容的操作指令等。
用于安装新的VNFC实例的操作指令可以是由EMS(Element Management System,网元管理系统)手动或者自动触发的,也可以是由VNFM收集到来自VNF的测量数据并发现需要扩容时得到的,这里不做限定。
NFVO在接收到操作指令验证请求信息时,执行操作决策,检查资源可用性,选择资源池,预留资源,并向VNFM发送操作指令确认消息。
其中,所述操作指令确认消息中包含了新创建的VNFC实例的位置信息,和/或主VNFC实例的位置信息,和/或证书认证中心CA信息。
所谓证书认证中心信息可以包含运营商域内的证书认证中心标识或者证书认证中心的IP地址等。
所述的证书认证中心可以为CA、RA或者EMS等具有证书签发功能的实体。
此时,VNFM根据主VNFC实例和新创建的VNFC实例的位置信息,确定新安装的VNFC实例的证书申请策略。其中,所述新创建的VNFC实例的位置信息由NFVO通过操作指令确认消息发送给VNFM。
具体地,VNFM根据主VNFC实例和新创建的VNFC实例的位置信息,确认所述新安装的VNFC实例与所述主VNFC实例属于同一个网络功能虚拟化基础设施NFVI平台上中同一个VNF的不同组件。
具体地,所述VNFM根据所述新安装的VNFC实例与所述主VNFC实例的位置信息和/或VNF标识信息确认二者属于同一个网络功能虚拟化基础设施NFVI平台上同一个VNF的不同组件。
所述VNFM确认所述新安装的VNFC实例与所述主VNFC实例属于同一个网络功能虚拟化基础设施NFVI平台上同一个VNF的不同组件后,确定所述新安装的VNF实例的证书申请策略,并将证书申请信息发送给所述新安装的VNF实例。
其中,证书申请策略就是采用何种方式为新创建的VNFC实例申请证书,以及如果采用代理人机制,谁来作为代理人。
由此可见,第一种确定证书申请策略的方式与第二种确定证书申请策略的方式的区别在于:第一种确定证书申请策略的方式由NFVO确定,第二种确定证书申请策略的方式由VNFM确定。
所述证书申请策略中包含了证书申请信息,所述证书申请信息中包含了证书申请代理信息、证书申请方式指示中的一种或者多种。
所述证书申请信息是在NFVO或者VNFM确定所述新安装的VNF实例的证书申请策略后,发送给所述新安装的VNF实例的。
具体地,所述的证书申请信息是NFVO或VNFM确认所述新安装的VNFC实例与所述主VNFC实例属于同一个网络功能虚拟化基础设施NFVI平台上同一个VNF的不同组件后生成的。
具体地,所述NFVO或VNFM根据所述新安装的VNFC实例与所述主VNFC实例的位置信息和/或VNF标识信息确认二者属于同一个网络功能虚拟化基础设施NFVI平台上同一个VNF的不同组件。
证书申请代理信息包含了证书申请代理的标识信息,例如:IP(InternetProtocol,因特网协议)地址、MAC(Medium Access Control,媒质接入控制)标识、虚拟NIC(Network Information Center,网络信息中心)地址等。
证书申请方式指示可以为显式指示或者隐式指示。其中,显式指示,例如:代理机制等;隐式指示可以通过指定代理者信息进行暗示等。
需要说明的是,证书申请策略指示的为新安装的VNFC实例申请证书的代理VNFC实例,即主VNFC实例。
例如:在NFV中定义的VNFM Agent或Master VNFC,Master VNFC在VNF实例化过程中第一个创建的VNFC,用于负责VNF的内部管理;在VNF扩容过程中,主VNFC实例可以定义为与VNF实例相关联的、且位于同一个网络功能虚拟化基础设施(NFVI,Network FunctionVirtualization Infrastructure)硬件平台上的VNFC。
同样的,针对第一种确定证书申请策略的方式,NFVO在确定证书申请策略之后,NFVO向VIM发送创建VM消息,以请求VIM为待安装的VM分配资源,其中,所述创建VM消息中包含了证书申请信息。
VIM指示NFVI创建VM,并将证书申请信息发送给NFVI,NFVI创建VM,并向VIM发送创建确认消息。
在VM创建完成后,NFVI通过安全方式启动新安装的VNFC实例,将新安装的VNFC实例运行于创建的VM上,并将证书申请信息注入所述新安装的VNFC实例中。
针对第二种确定证书申请策略的方式,VNFM在确定证书申请策略之后,VNFM向VIM发送创建VM消息,以请求VIM为待安装的VM分配资源,其中,所述创建VM消息中包含了证书申请信息。
VIM指示NFVI创建VM,并将证书申请信息发送给NFVI,NFVI创建VM,并向VIM发送创建确认消息。
在VM创建完成后,NFVI通过安全方式启动VNFC,将新安装的VNFC实例运行在创建的VM上,并将证书申请信息注入所述新安装的VNF实例中。
在本发明的另一个实施例中,所述方法还包括:新安装的VNFC实例根据所述证书申请信息,建立与所述用于证书申请代理的主VNFC实例之间的网络连接。
其中,所述网络连接属于同一个NFVI平台的VNF内部的网络连接。
新安装的VNF实例根据证书申请信息中包含的证书申请代理信息,确定执行证书申请代理的主VNFC实例,并向主VNFC实例发送证书申请代理消息。
具体地,用于证书申请代理的主VNFC信息包含了主VNFC实例的网际协议IP地址、媒质接入控制MAC标识、虚拟网络信息中心NIC地址。
其中,所述证书申请代理消息中包含了所述新安装的VNFC实例用于申请证书的公钥。
需要说明的是,所述新安装的VNFC实例用于申请证书的公钥可以通过以下方式确定:
所述新安装的VNFC实例生成公私密钥对;或
网络功能虚拟化基础设备NFVI在实例化所述新安装的VNF实例时,生成公私密钥对并注入至所述新安装的VNF实例中。
其中,所述证书申请代理消息中还包含POP信息,所述POP信息由所述新安装的VNFC实例使用公私密钥对中的私钥对私钥拥有性证明签名关键字字段进行签名得到。
此外,所述证书申请代理信息中还可以包含证书代理指示、CA信息等。
步骤302:新安装的VNFC实例接收所述主VNFC实例发送的所述证书认证中心签发的证书。
其中,所述证书是由所述证书认证中心根据所述主VNFC实例的证书通过对所述主VNFC实例发送的证书请求消息的认证时对所述新安装的VNFC实例用于申请证书的公钥签名得到的。
所述的证书认证中心可以为CA、RA或者EMS等具有证书签发功能的实体。
需要说明的是,在向主VNFC实例发送证书申请代理信息之前,所述方法还包括:
确定新安装的VNF实例由VNF实例化触发安装;或,
确定新安装的VNF实例由VNF扩容触发安装。
通过本发明实施例三的方案,通过同一个NFVI平台上已获取证书的其他VNFC实例,利用其他VNFC实例已建立的与证书认证中心之间的信任通道,代替新安装的VNFC实例申请证书,不仅能够安全获取证书,而且还有效地简化了流程,提升了系统反应速度,改善了系统运行效率。
实施例四:
如图4所示,为本发明实施例四提供的一种证书获取方法的流程示意图。所述方法可以如下所述。
步骤401:VNFM接收到用于安装新的VNFC实例的操作指令。
需要说明的是,用于安装新的VNFC实例的操作指令包括了VNFC实例化的操作指令、VNF扩容的操作指令等。
用于安装新的VNFC实例的操作指令可以是由EMS(Element Management System,网元管理系统)手动或者自动触发的,也可以是由VNFM收集到来自VNF的测量数据并发现需要扩容时得到的,这里不做限定。
步骤402:VNFM向NFVO发送操作指令验证请求信息。
步骤403:NFVO在接收到操作指令验证请求信息时,执行操作决策,检查资源可用性。
步骤404:NFVO向VNFM发送操作指令确认消息。
其中,所述操作指令确认消息中包含了新创建的VNFC实例的位置信息,和/或证书认证中心信息。
所述的新创建的VNFC实例的位置信息为:新创建的VNFC实例所位于的NFVI相关联的VIM信息,例如VIM标识信息或VIM地址信息。
所谓证书认证中心信息可以包含运营商域内的证书认证中心标识或者证书认证中心的IP地址等。所述的证书认证中心可以为CA、RA或者EMS等具有证书签发功能的实体。
步骤405:VNFM根据主VNFC实例和新创建的VNFC实例的位置信息,确定新安装的VNFC实例的证书申请策略。
其中,所述证书申请策略用于确定由谁代理为新安装的VNFC实例申请证书。
具体地,VNFM根据主VNFC实例和新创建的VNFC实例的位置信息,确认所述新安装的VNFC实例与所述主VNFC实例属于同一个网络功能虚拟化基础设施NFVI平台上中同一个VNF的不同组件。
具体地,所述VNFM根据所述新安装的VNFC实例与所述主VNFC实例的位置信息和/或VNF标识信息确认二者属于同一个网络功能虚拟化基础设施NFVI平台上同一个VNF的不同组件。
所述VNFM确认所述新安装的VNFC实例与所述主VNFC实例属于同一个网络功能虚拟化基础设施NFVI平台上同一个VNF的不同组件后,确定所述新安装的VNF实例的证书申请策略,并将证书申请信息发送给所述新安装的VNF实例。
其中,证书申请策略就是采用何种方式为新创建的VNFC实例申请证书,以及如果采用代理人机制,谁来作为代理人。
所述证书申请策略中包含了证书申请信息,所述证书申请信息中包含了证书申请代理信息、证书申请方式指示中的一种或者多种。
所述证书申请信息是在VNFM确定所述新安装的VNF实例的证书申请策略后,发送给所述新安装的VNF实例的。
具体地,所述的证书申请信息是VNFM确认所述新安装的VNFC实例与所述主VNFC实例属于同一个网络功能虚拟化基础设施NFVI平台上同一个VNF的不同组件后生成的。
具体地,所述VNFM根据所述新安装的VNFC实例与所述主VNFC实例的位置信息和/或VNF标识信息确认二者属于同一个网络功能虚拟化基础设施NFVI平台上同一个VNF的不同组件。
证书申请代理信息包含了证书申请代理的标识信息,例如:IP(InternetProtocol,因特网协议)地址、MAC(Medium Access Control,媒质接入控制)标识、虚拟NIC(Network Information Center,网络信息中心)地址等。
证书申请方式指示可以为显式指示或者隐式指示,显式指示,例如:代理机制等;隐式指示可以通过制定代理者信息进行暗示等。
需要说明的是,证书申请策略指示的为新安装的VNFC实例申请证书的代理VNFC实例,即主VNFC实例。
例如:在NFV中定义VNFM Agent或Master VNFC,Master VNFC在VNF实例化过程中第一个创建的VNFC,用于负责VNF的内部管理;在VNF扩容过程中,主VNFC可以定义为与VNF实例相关联的、且位于同一个网络功能虚拟化基础设施(NFVI,Network FunctionVirtualization Infrastructure)硬件平台上的VNFC。
步骤406:VNFM向VIM发送创建VM消息,以请求VIM为待安装的VM分配资源。
其中,所述创建VM消息中包含了证书申请信息。
步骤407:VIM指示NFVI创建VM,并将证书申请信息发送给NFVI。
步骤408:NFVI创建VM,并向VIM发送创建确认消息。
步骤409:在VM创建完成后,NFVI通过安全方式启动新安装的VNFC实例,将新安装的VNFC实例运行于创建的VM上,并将证书申请信息注入所述新安装的VNFC实例中。
步骤410:新安装的VNFC实例根据所述证书申请信息,确定执行证书申请代理的主VNFC实例,并建立与所述用于证书申请代理的主VNFC实例之间的网络连接。
其中,所述网络连接属于同一个NFVI平台的VNF内部的网络连接。
步骤411:新安装的VNF实例向主VNFC实例发送证书申请代理消息。
其中,所述证书申请代理消息中包含了所述新安装的VNFC实例用于申请证书的公钥。
需要说明的是,所述新安装的VNFC实例用于申请证书的公钥可以通过以下方式确定:
所述新安装的VNFC实例生成公私密钥对;或
网络功能虚拟化基础设备NFVI在实例化所述新安装的VNFC实例时,生成公私密钥对并注入至所述新安装的VNFC实例中。
其中,所述证书申请代理消息中还包含POP信息,所述POP信息由所述新安装的VNFC实例使用公私密钥对中的私钥对私钥拥有性证明签名关键字POP Signing Key字段进行签名得到。
此外,所述证书申请代理信息中还可以包含证书代理指示、CA信息等。
步骤412:主VNFC实例根据所述证书申请代理消息,与证书认证中心之间进行信息交互,获取CA签发给新安装的VNFC实例的证书。
步骤412具体实现方式与本发明实施例一、本发明实施例二和本发明实施例三中由主VNFC实例代替新安装的VNFC实例获取证书认证中心签发给新安装的VNFC实例的证书的方式相同,这里不再详细描述。
步骤413:主VNFC实例将获取的所述证书认证中心签发给所述新安装的VNFC实例的证书经过内部网络连接发送给新安装的VNFC实例。
步骤414:所述新安装的VNFC实例安装证书。
步骤415:VNFC安装证书后,向NFVI发送确认证书申请完成。
步骤416:NFVI向VIM发送证书申请完成。
步骤417:VIM向VNFM确认资源分配完成。
步骤418:VNFM对新安装的VNFC实例进行配置,部署特定的参数,并通知NFVO操作完成。
此外,NFVO将VNFC实例映射到VIM和资源池中;VNFM向EM发送确认消息;EMS增加或更新VNFC实例为可管理的设备,EMS对新安装的VNFC实例进行应用特定的参数配置。
在本实施例中,若主VNFC实例和认证中心CA之间没有直连接口的,则证书请求/响应消息可以通过EMS进行转发。
在本实施例中,新安装的VNFC实例申请的证书还可以由EMS来签发,此时主VNFC实例代理新安装的VNFC实例在EMS进行证书登记。
通过本发明实施例四的方案,通过同一个NFVI平台上已获取证书的其他VNFC实例,利用其他VNFC实例已建立的与证书认证中心之间的信任通道,代替新安装的VNFC实例申请证书,不仅能够安全获取证书,而且还有效地简化了流程,提升了系统反应速度,改善了系统运行效率。
实施例五:
本发明实施例五提供的一种证书获取方法,本发明实施例五提供的证书获取方法与实施例四提供的证书获取方法基本相同,也存在区别,最大区别在于:证书申请策略确定方式不同。
具体地,当NFVO接收到用于安装新的VNFC实例的操作指令时,NFVO向VNFM发送操作指令验证请求信息。
需要说明的是,用于安装新的VNFC实例的操作指令包括了VNFC实例化的操作指令、VNF扩容的操作指令等。
用于安装新的VNFC实例的操作指令可以是由EMS(Element Management System,网元管理系统)手动或者自动触发的,也可以是由NFVO收集到来自VNF的测量数据并发现需要扩容时得到的,这里不做限定。
VNFM在接收到操作指令验证请求信息时,向NFVO发送操作指令确认消息。
NFVO在接收到操作指令确认消息时,执行操作决策,检查资源可用性,选择资源池并预留资源。NFVO根据主VNFC实例和新创建的VNFC实例的位置信息,确定新安装的VNFC实例的证书申请策略,并将该证书申请策略发送给VNFM。
其中,所述证书申请策略包含了证书申请信息。
所述证书申请信息是在NFVO确定所述新安装的VNF实例的证书申请策略后,发送给所述新安装的VNF实例的。
具体地,所述的证书申请信息是NFVO确认所述新安装的VNFC实例与所述主VNFC实例属于同一个网络功能虚拟化基础设施NFVI平台上同一个VNF的不同组件后生成的。
具体地,所述NFVO根据所述新安装的VNFC实例与所述主VNFC实例的位置信息和/或VNF标识信息确认二者属于同一个网络功能虚拟化基础设施NFVI平台上同一个VNF的不同组件。
实施例六:
如图5所示,为本发明实施例六提供的一种证书获取设备的结构示意图,所述设备包括:接收模块51、发送模块52和获取模块53,其中:
接收模块51,用于接收新安装的虚拟网络功能VNFC实例发送的证书申请代理消息,其中,所述证书申请代理消息中包含了所述新安装的VNFC实例用于申请证书的公钥;
发送模块52,用于根据所述接收模块51接收到的所述证书申请代理消息,向证书认证中心发送证书请求消息,请求所述证书认证中心为所述新安装的VNFC实例签发证书,其中,所述证书请求消息中包含了主VNFC实例的证书和所述新安装的VNFC实例用于申请证书的公钥;
获取模块53,用于获取所述证书认证中心签发的证书,其中,所述证书是由所述证书认证中心使用所述新安装的VNFC实例用于申请证书的公钥签发的。
可选地,所述设备还包括:验证模块54,其中:
所述接收模块51,还用于在所述获取模块获取所述证书认证中心签发的证书之前,接收所述证书认证中心发送的证书响应消息;
验证模块54,用于对所述接收模块51接收到的所述证书响应消息进行验证。
具体地,所述证书响应消息中包含了所述证书认证中心签发的证书;
所述获取模块53,具体用于在所述验证模块确定对所述证书响应消息验证通过时,获取所述证书响应消息中包含的所述证书认证中心签发给所述新安装的VNFC实例的证书,其中,所述新安装的VNFC实例的证书是由所述证书认证中心根据所述主VNFC实例的证书,通过对所述主VNFC发送的证书请求消息的认证后,对所述证书请求消息中包含的所述新安装的VNFC实例用于申请证书的公钥签名得到的。
可选地,所述证书申请代理消息和所述证书请求消息中还包含了私钥拥有性证明POP信息。
可选地,所述POP信息由所述新安装的VNFC实例使用公私密钥对中的私钥对私钥拥有性证明签名关键字字段进行签名得到。
可选地,所述新安装的VNFC实例使用的公私密钥对通过以下方式得到:
所述新安装的VNFC实例生成公私密钥对;或
网络功能虚拟化基础设备NFVI生成公私密钥对并注入至所述新安装的VNFC实例中。
所述发送模块52,还用于在所述获取模块获取所述证书认证中心签发给所述新安装的VNFC实例的证书后,将获取的所述证书认证中心签发给所述新安装的VNFC实例的证书通过内部网络发送给新安装的VNFC实例。
所述主VNFC实例与所述新安装的VNFC实例属于同一个网络功能虚拟化基础设施NFVI平台中同一个VNF的不同组件。
需要说明的是,本发明实施例中所述的设备可以是与所述新安装的VNFC实例属于同一个网络功能虚拟化基础设施NFVI平台中同一个VNF的其他组件,例如:主VNFC实例,实现方式可以通过硬件方式实现,也可以通过软件方式实现。
实施例七:
如图6所示,为本发明实施例七提供的一种证书获取设备的结构示意图,所述设备包括:接收模块61、证书签发模块62和发送模块63,其中:
接收模块61,用于接收主VNFC实例发送的证书请求消息,其中,所述证书请求消息中包含了主VNFC实例的证书和新安装的VNFC实例用于申请证书的公钥;
证书签发模块62,用于根据所述接收模块接收到的所述主VNFC实例的证书对所述证书请求消息进行认证,并在认证通过时对所述新安装的VNFC实例用于申请证书的公钥签名得到签发的证书;
发送模块63,用于将所述证书签发模块签发的所述签发的证书发送给所述主VNFC实例。
具体地,所述证书签发模块62,具体用于利用所述主VNFC实例的证书验证所述证书请求消息的签名,以及利用签发的根CA证书或者签发的中间证书对接收到的所述主VNFC实例的证书进行验证。
可选地,所述证书请求消息中还包含私钥拥有性证明POP信息。
所述证书签发模块62,还用于利用所述证书请求消息中包含的用于申请证书的公钥对所述证书请求消息中包含的POP信息进行认证。
需要说明的是,本发明实施例中所述的设备可以是证书认证中心,例如:CA、ESA、RA等具备证书签发功能的网元设备,实现方式可以通过硬件方式实现,也可以通过软件方式实现。
实施例八:
如图7所示,为本发明实施例八提供的一种证书获取设备的结构示意图,所述设备包括:发送模块71和接收模块72,其中:
发送模块71,用于向主虚拟网络功能VNFC实例发送证书申请代理消息,其中,所述证书申请代理消息中包含了新安装的VNFC实例用于申请证书的公钥,所述证书申请代理消息用于请求所述主VNFC实例向证书认证中心发送证书请求消息,所述证书请求消息用于请求所述证书认证中心为所述新安装的VNFC实例签发证书,所述证书请求消息中包含了所述主VNFC实例的证书和所述新安装的VNFC实例用于申请证书的公钥;
接收模块72,用于接收所述主VNFC实例发送的所述证书认证中心签发的证书,其中,所述证书是由所述证书认证中心对所述新安装的VNFC实例用于申请证书的公钥签名得到的。
可选地,所述接收模块71,还用于在向主VNFC发送证书申请代理消息之前,接收NFVO或者VNFM发送的证书申请信息,其中,所述证书申请信息中包含了用于代理证书申请的主VNFC实例信息。
可选地,所述设备还包括:建立模块73,其中:
建立模块73,用于在向主VNFC发送证书申请代理消息之前,根据所述接收模块接收到的所述证书申请信息,建立与所述用于证书申请代理的主VNFC实例之间的网络连接,其中,所述网络连接属于同一个网络功能虚拟化基础设施NFVI平台的VNF内部的网络连接。
具体地,所述接收模块72,具体用于在安装时,接收网络功能虚拟化基础设备NFVI注入的证书申请信息。
可选地,用于证书申请代理的主VNFC信息包含了主VNFC实例的网际协议IP地址、媒质接入控制MAC标识、虚拟网络信息中心NIC地址。
可选地,所述新安装的VNFC实例用于申请证书的公钥通过以下方式得到:
所述新安装的VNFC实例生成公私密钥对;或
网络功能虚拟化基础设备NFVI生成公私密钥对,并注入至所述新安装的VNFC实例中。
可选地,所述新安装的VNFC实例向主VNFC实例发送证书申请代理消息的触发方式包括:
由VNF实例化触发;或,由VNF扩容触发。
需要说明的是,本发明实施例中所述的设备可以需要申请证书的新安装的VNFC实例,也可以是集成在需要申请证书的新安装的VNFC实例上的控制网元,实现方式可以通过硬件方式实现,也可以通过软件方式实现,这里不做限定。
实施例九:
如图8所示,为本发明实施例九提供的一种证书获取设备的结构示意图,所述设备包括:信号接收器81、信号发射器82和处理器83,其中,信号接收器81、信号发射器82和处理器83通过通信总线84连接。
信号接收器81,用于接收新安装的虚拟网络功能VNFC实例发送的证书申请代理消息,其中,所述证书申请代理消息中包含了所述新安装的VNFC实例用于申请证书的公钥;
信号发射器82,用于根据所述证书申请代理消息,向证书认证中心发送证书请求消息,请求所述证书认证中心为所述新安装的VNFC实例签发证书,其中,所述证书请求消息中包含了主VNFC实例的证书和所述新安装的VNFC实例用于申请证书的公钥;
处理器83,用于获取所述证书认证中心签发的证书,其中,所述证书是由所述证书认证中心使用所述新安装的VNFC实例用于申请证书的公钥签发的。
可选地,所述信号接收器81,还用于在获取所述证书认证中心签发的证书之前,接收所述证书认证中心发送的证书响应消息。
所述处理器83,还用于对接收到的所述证书响应消息进行验证。
具体地,所述证书响应消息中包含了所述证书认证中心签发的证书;
所述处理器83,具体用于在对所述证书响应消息验证通过时,获取所述证书响应消息中包含的所述证书认证中心签发给所述新安装的VNFC实例的证书,其中,所述新安装的VNFC实例的证书是由所述证书认证中心根据所述主VNFC实例的证书,通过对所述主VNFC发送的证书请求消息的认证后,对所述证书请求消息中包含的所述新安装的VNFC实例用于申请证书的公钥签名得到的。
可选地,所述证书申请代理消息和所述证书请求消息中还包含了私钥拥有性证明POP信息。
可选地,所述POP信息由所述新安装的VNFC实例使用公私密钥对中的私钥对私钥拥有性证明签名关键字字段进行签名得到。
可选地,所述新安装的VNFC实例使用的公私密钥对通过以下方式得到:
所述新安装的VNFC实例生成公私密钥对;或
网络功能虚拟化基础设备NFVI生成公私密钥对并注入至所述新安装的VNFC实例中。
可选地,所述信号发射器82,还用于在获取所述证书认证中心签发给所述新安装的VNFC实例的证书后,将获取的所述证书认证中心签发给所述新安装的VNFC实例的证书通过内部网络发送给新安装的VNFC实例。
所述主VNFC实例与所述新安装的VNFC实例属于同一个网络功能虚拟化基础设施NFVI平台中同一个VNF的不同组件。
处理器83可以是一个通用中央处理器(CPU),微处理器,特定应用集成电路(application-specific integrated circuit,ASIC),或一个或多个用于控制本发明方案程序执行的集成电路。
所述通信总线84可包括一通路,在上述组件之间传送信息。
需要说明的是,本发明实施例中所述的设备可以是与所述新安装的VNFC实例属于同一个网络功能虚拟化基础设施NFVI平台中同一个VNF的其他组件,例如:主VNFC实例,实现方式可以通过硬件方式实现,也可以通过软件方式实现。
实施例十:
如图9所示,为本发明实施例十提供的一种证书获取设备的结构示意图,所述设备包括:信号接收器91、处理器92和信号发射器93,其中:信号接收器91、处理器92和信号发射器93之间通过通信总线94连接。
信号接收器91,用于接收主VNFC实例发送的证书请求消息,其中,所述证书请求消息中包含了主VNFC实例的证书和新安装的VNFC实例用于申请证书的公钥;
处理器92,用于根据所述主VNFC实例的证书对所述证书请求消息进行认证,并在认证通过时对所述新安装的VNFC实例用于申请证书的公钥签名得到签发的证书;
信号发射器93,用于将所述签发的证书发送给所述主VNFC实例。
具体地,所述处理器92,具体用于利用所述主VNFC实例的证书验证所述证书请求消息的签名,以及利用签发的根CA证书或者签发的中间证书对接收到的所述主VNFC实例的证书进行验证。
可选地,所述证书请求消息中还包含私钥拥有性证明POP信息。
所述处理器92,还用于所述证书认证中心利用所述证书请求消息中包含的用于申请证书的公钥对所述证书请求消息中包含的POP信息进行认证。
处理器92可以是一个通用中央处理器(CPU),微处理器,特定应用集成电路(application-specific integrated circuit,ASIC),或一个或多个用于控制本发明方案程序执行的集成电路。
所述通信总线94可包括一通路,在上述组件之间传送信息。
需要说明的是,本发明实施例中所述的设备可以是证书认证中心,例如:CA、ESA、RA等具备证书签发功能的网元设备,实现方式可以通过硬件方式实现,也可以通过软件方式实现。
实施例十一:
如图10所示,为本发明实施例十一提供的一种证书获取设备的结构示意图,所述设备包括:信号发射器1001和信号接收器1002,其中,信号发射器1001和信号接收器1002通过通信总线1003连接。
信号发射器1001,用于向主虚拟网络功能VNFC实例发送证书申请代理消息,其中,所述证书申请代理消息中包含了新安装的VNFC实例用于申请证书的公钥,所述证书申请代理消息用于请求所述主VNFC实例向证书认证中心发送证书请求消息,所述证书请求消息用于请求所述证书认证中心为所述新安装的VNFC实例签发证书,所述证书请求消息中包含了所述主VNFC实例的证书和所述新安装的VNFC实例用于申请证书的公钥;
信号接收器1002,用于接收所述主VNFC实例发送的所述证书认证中心签发的证书,其中,所述证书是由所述证书认证中心对所述新安装的VNFC实例用于申请证书的公钥签名得到的。
可选地,所述信号接收器1002,还用于在向主VNFC发送证书申请代理消息之前,接收NFVO或者VNFM发送的证书申请信息,其中,所述证书申请信息中包含了用于代理证书申请的主VNFC实例信息。
可选地,所述设备还包括:处理器1004,其中:
处理器1004,用于在向主VNFC发送证书申请代理消息之前,根据所述证书申请信息,建立与所述用于证书申请代理的主VNFC实例之间的网络连接,其中,所述网络连接属于同一个网络功能虚拟化基础设施NFVI平台的VNF内部的网络连接。
具体地,所述信号接收器1002,具体用于在安装时,接收网络功能虚拟化基础设备NFVI注入的证书申请信息。
可选地,用于证书申请代理的主VNFC信息包含了主VNFC实例的网际协议IP地址、媒质接入控制MAC标识、虚拟网络信息中心NIC地址。
可选地,所述新安装的VNFC实例用于申请证书的公钥通过以下方式得到:
所述新安装的VNFC实例生成公私密钥对;或
网络功能虚拟化基础设备NFVI生成公私密钥对,并注入至所述新安装的VNFC实例中。
可选地,所述新安装的VNFC实例向主VNFC实例发送证书申请代理消息的触发方式包括:
由VNF实例化触发;或,
由VNF扩容触发。
处理器1004可以是一个通用中央处理器(CPU),微处理器,特定应用集成电路(application-specific integrated circuit,ASIC),或一个或多个用于控制本发明方案程序执行的集成电路。
所述通信总线1003可包括一通路,在上述组件之间传送信息。
需要说明的是,本发明实施例中所述的设备可以需要申请证书的新安装的VNFC实例,也可以是集成在需要申请证书的新安装的VNFC实例上的控制网元,实现方式可以通过硬件方式实现,也可以通过软件方式实现,这里不做限定。
本领域的技术人员应明白,本发明的实施例可提供为方法、装置(设备)、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、装置(设备)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (57)
1.一种证书获取设备,其特征在于,包括:
接收模块,用于接收新安装的虚拟化的网络功能组件VNFC实例发送的证书申请代理消息,其中,所述证书申请代理消息中包含了所述新安装的VNFC实例用于申请证书的公钥;
发送模块,用于根据所述接收模块接收到的所述证书申请代理消息,向证书认证中心发送证书请求消息,请求所述证书认证中心为所述新安装的VNFC实例签发证书,其中,所述证书请求消息中包含了主虚拟化的网络功能组件VNFC实例的证书和所述新安装的VNFC实例用于申请证书的公钥;
获取模块,用于获取所述证书认证中心签发的证书,其中,所述证书是由所述证书认证中心使用所述新安装的VNFC实例用于申请证书的公钥签发的。
2.如权利要求1所述的设备,其特征在于,所述设备还包括:
所述接收模块,还用于在所述获取模块获取所述证书认证中心签发的证书之前,接收所述证书认证中心发送的证书响应消息;
验证模块,用于对所述接收模块接收到的所述证书响应消息进行验证。
3.如权利要求2所述的设备,其特征在于,所述证书响应消息中包含了所述证书认证中心签发的证书;
所述获取模块,具体用于在所述验证模块确定对所述证书响应消息验证通过时,获取所述证书响应消息中包含的所述证书认证中心签发给所述新安装的VNFC实例的证书,其中,所述新安装的VNFC实例的证书是由所述证书认证中心根据所述主VNFC实例的证书,通过对所述主VNFC发送的证书请求消息的认证后,对所述证书请求消息中包含的所述新安装的VNFC实例用于申请证书的公钥签名得到的。
4.如权利要求1至3任一所述的设备,其特征在于,所述证书申请代理消息和所述证书请求消息中还包含了私钥拥有性证明POP信息。
5.如权利要求4所述的设备,其特征在于,所述POP信息由所述新安装的VNFC实例使用公私密钥对中的私钥对私钥拥有性证明签名关键字字段进行签名得到。
6.如权利要求1至5任一所述的设备,其特征在于,所述新安装的VNFC实例使用的公私密钥对通过以下方式得到:
所述新安装的VNFC实例生成公私密钥对;或
网络功能虚拟化基础设备NFVI生成公私密钥对并注入至所述新安装的VNFC实例中。
7.如权利要求1至6任一所述的设备,其特征在于,
所述发送模块,还用于在所述获取模块获取所述证书认证中心签发给所述新安装的VNFC实例的证书后,将获取的所述证书认证中心签发给所述新安装的VNFC实例的证书通过内部网络发送给新安装的VNFC实例。
8.如权利要求1至7任一所述的设备,其特征在于,
所述主VNFC实例与所述新安装的VNFC实例属于同一个网络功能虚拟化基础设施NFVI平台中同一个虚拟化的网络功能VNF的不同组件。
9.一种证书获取设备,其特征在于,包括:
接收模块,用于接收主虚拟化的网络功能组件VNFC实例发送的证书请求消息,其中,所述证书请求消息中包含了主VNFC实例的证书和新安装的虚拟化的网络功能组件VNFC实例用于申请证书的公钥;
证书签发模块,用于根据所述接收模块接收到的所述主VNFC实例的证书对所述证书请求消息进行认证,并在认证通过时对所述新安装的VNFC实例用于申请证书的公钥签名得到签发的证书;
发送模块,用于将所述证书签发模块签发的所述签发的证书发送给所述主VNFC实例。
10.如权利要求9所述的设备,其特征在于,
所述证书签发模块,具体用于利用所述主VNFC实例的证书验证所述证书请求消息的签名,以及利用签发的根CA证书或者签发的中间证书对接收到的所述主VNFC实例的证书进行验证。
11.如权利要求9或10所述的设备,其特征在于,所述证书请求消息中还包含私钥拥有性证明POP信息。
12.如权利要求11所述的设备,其特征在于,
所述证书签发模块,还用于利用所述证书请求消息中包含的用于申请证书的公钥对所述证书请求消息中包含的POP信息进行认证。
13.一种证书获取设备,其特征在于,包括:
发送模块,用于向主虚拟化的网络功能组件VNFC实例发送证书申请代理消息,其中,所述证书申请代理消息中包含了新安装的虚拟化的网络功能组件VNFC实例用于申请证书的公钥,所述证书申请代理消息用于请求所述主VNFC实例向证书认证中心发送证书请求消息,所述证书请求消息用于请求所述证书认证中心为所述新安装的VNFC实例签发证书,所述证书请求消息中包含了所述主VNFC实例的证书和所述新安装的VNFC实例用于申请证书的公钥;
接收模块,用于接收所述主VNFC实例发送的所述证书认证中心签发的证书,其中,所述证书是由所述证书认证中心对所述新安装的VNFC实例用于申请证书的公钥签名得到的。
14.如权利要求13所述的设备,其特征在于,
所述接收模块,还用于在向主VNFC发送证书申请代理消息之前,接收网络功能虚拟化编译器NFVO或者虚拟化的网络功能管理器VNFM发送的证书申请信息,其中,所述证书申请信息中包含了用于代理证书申请的主VNFC实例信息。
15.如权利要求14所述的设备,其特征在于,所述设备还包括:
建立模块,用于在向主VNFC发送证书申请代理消息之前,根据所述接收模块接收到的所述证书申请信息,建立与所述用于证书申请代理的主VNFC实例之间的网络连接,其中,所述网络连接属于同一个网络功能虚拟化基础设施NFVI平台的虚拟化的网络功能VNF内部的网络连接。
16.如权利要求14至15任一所述的设备,其特征在于,
所述接收模块,具体用于在安装时,接收网络功能虚拟化基础设备NFVI注入的证书申请信息。
17.如权利要求14至16任一所述的设备,其特征在于,用于证书申请代理的主VNFC信息包含了主VNFC实例的网际协议IP地址、媒质接入控制MAC标识、虚拟网络信息中心NIC地址。
18.如权利要求13至17任一所述的设备,其特征在于,所述新安装的VNFC实例用于申请证书的公钥通过以下方式得到:
所述新安装的VNFC实例生成公私密钥对;或
网络功能虚拟化基础设备NFVI生成公私密钥对,并注入至所述新安装的VNFC实例中。
19.如权利要求13至18任一所述的设备,其特征在于,所述新安装的VNFC实例向主VNFC实例发送证书申请代理消息的触发方式包括:
由VNF实例化触发;或,由VNF扩容触发。
20.一种证书获取设备,其特征在于,包括:
信号接收器,用于接收新安装的虚拟化的网络功能组件VNFC实例发送的证书申请代理消息,其中,所述证书申请代理消息中包含了所述新安装的VNFC实例用于申请证书的公钥;
信号发射器,用于根据所述证书申请代理消息,向证书认证中心发送证书请求消息,请求所述证书认证中心为所述新安装的VNFC实例签发证书,其中,所述证书请求消息中包含了主虚拟化的网络功能组件VNFC实例的证书和所述新安装的VNFC实例用于申请证书的公钥;
处理器,用于获取所述证书认证中心签发的证书,其中,所述证书是由所述证书认证中心使用所述新安装的VNFC实例用于申请证书的公钥签发的。
21.如权利要求20所述的设备,其特征在于,
所述信号接收器,还用于在获取所述证书认证中心签发的证书之前,接收所述证书认证中心发送的证书响应消息;
所述处理器,还用于对接收到的所述证书响应消息进行验证。
22.如权利要求21所述的设备,其特征在于,所述证书响应消息中包含了所述证书认证中心签发的证书;
所述处理器,具体用于在对所述证书响应消息验证通过时,获取所述证书响应消息中包含的所述证书认证中心签发给所述新安装的VNFC实例的证书,其中,所述新安装的VNFC实例的证书是由所述证书认证中心根据所述主VNFC实例的证书,通过对所述主VNFC发送的证书请求消息的认证后,对所述证书请求消息中包含的所述新安装的VNFC实例用于申请证书的公钥签名得到的。
23.如权利要求19至22任一所述的设备,其特征在于,所述证书申请代理消息和所述证书请求消息中还包含了私钥拥有性证明POP信息。
24.如权利要求23所述的设备,其特征在于,所述POP信息由所述新安装的VNFC实例使用公私密钥对中的私钥对私钥拥有性证明签名关键字字段进行签名得到。
25.如权利要求19至24任一所述的设备,其特征在于,所述新安装的VNFC实例使用的公私密钥对通过以下方式得到:
所述新安装的VNFC实例生成公私密钥对;或
网络功能虚拟化基础设备NFVI生成公私密钥对并注入至所述新安装的VNFC实例中。
26.如权利要求19至25任一所述的设备,其特征在于,
所述信号发射器,还用于在获取所述证书认证中心签发给所述新安装的VNFC实例的证书后,将获取的所述证书认证中心签发给所述新安装的VNFC实例的证书通过内部网络发送给新安装的VNFC实例。
27.如权利要求19至26任一所述的设备,其特征在于,
所述主VNFC实例与所述新安装的VNFC实例属于同一个网络功能虚拟化基础设施NFVI平台中同一个虚拟化的网络功能VNF的不同组件。
28.一种证书获取设备,其特征在于,包括:
信号接收器,用于接收主虚拟化的网络功能组件VNFC实例发送的证书请求消息,其中,所述证书请求消息中包含了主VNFC实例的证书和新安装的虚拟化的网络功能组件VNFC实例用于申请证书的公钥;
处理器,用于根据所述主VNFC实例的证书对所述证书请求消息进行认证,并在认证通过时对所述新安装的VNFC实例用于申请证书的公钥签名得到签发的证书;
信号发射器,用于将所述签发的证书发送给所述主VNFC实例。
29.如权利要求28所述的设备,其特征在于,
所述处理器,具体用于利用所述主VNFC实例的证书验证所述证书请求消息的签名,以及利用签发的根CA证书或者签发的中间证书对接收到的所述主VNFC实例的证书进行验证。
30.如权利要求28或29所述的设备,其特征在于,所述证书请求消息中还包含私钥拥有性证明POP信息。
31.如权利要求30所述的方法,其特征在于,
所述处理器,还用于所述证书认证中心利用所述证书请求消息中包含的用于申请证书的公钥对所述证书请求消息中包含的POP信息进行认证。
32.一种证书获取设备,其特征在于,包括:
信号发射器,用于向主虚拟化的网络功能组件VNFC实例发送证书申请代理消息,其中,所述证书申请代理消息中包含了新安装的虚拟化的网络功能组件VNFC实例用于申请证书的公钥,所述证书申请代理消息用于请求所述主VNFC实例向证书认证中心发送证书请求消息,所述证书请求消息用于请求所述证书认证中心为所述新安装的VNFC实例签发证书,所述证书请求消息中包含了所述主VNFC实例的证书和所述新安装的VNFC实例用于申请证书的公钥;
信号接收器,用于接收所述主VNFC实例发送的所述证书认证中心签发的证书,其中,所述证书是由所述证书认证中心对所述新安装的VNFC实例用于申请证书的公钥签名得到的。
33.如权利要求32所述的设备,其特征在于,
所述信号接收器,还用于在向主VNFC发送证书申请代理消息之前,接收网络功能虚拟化编译器NFVO或者虚拟化的网络功能管理器VNFM发送的证书申请信息,其中,所述证书申请信息中包含了用于代理证书申请的主VNFC实例信息。
34.如权利要求33所述的设备,其特征在于,所述设备还包括:处理器,其中:
所述处理器,用于在向主VNFC发送证书申请代理消息之前,根据所述证书申请信息,建立与所述用于证书申请代理的主VNFC实例之间的网络连接,其中,所述网络连接属于同一个网络功能虚拟化基础设施NFVI平台的虚拟化的网络功能VNF内部的网络连接。
35.如权利要求33至34任一所述的设备,其特征在于,
所述信号接收器,具体用于在安装时,接收网络功能虚拟化基础设备NFVI注入的证书申请信息。
36.如权利要求33至35任一所述的设备,其特征在于,用于证书申请代理的主VNFC信息包含了主VNFC实例的网际协议IP地址、媒质接入控制MAC标识、虚拟网络信息中心NIC地址。
37.如权利要求32至36任一所述的设备,其特征在于,所述新安装的VNFC实例用于申请证书的公钥通过以下方式得到:
所述新安装的VNFC实例生成公私密钥对;或
网络功能虚拟化基础设备NFVI生成公私密钥对,并注入至所述新安装的VNFC实例中。
38.如权利要求32至37任一所述的设备,其特征在于,所述新安装的VNFC实例向主VNFC实例发送证书申请代理消息的触发方式包括:
由VNF实例化触发;或,
由VNF扩容触发。
39.一种证书获取方法,其特征在于,包括:
主虚拟化的网络功能组件VNFC实例接收新安装的虚拟化的网络功能组件VNFC实例发送的证书申请代理消息,其中,所述证书申请代理消息中包含了所述新安装的VNFC实例用于申请证书的公钥;
所述主VNFC实例根据所述证书申请代理消息,向证书认证中心发送证书请求消息,请求所述证书认证中心为所述新安装的VNFC实例签发证书,其中,所述证书请求消息中包含了主VNFC实例的证书和所述新安装的VNFC实例用于申请证书的公钥;
所述主VNFC实例获取所述证书认证中心签发的证书,其中,所述证书是由所述证书认证中心使用所述新安装的VNFC实例用于申请证书的公钥签发的。
40.如权利要求39所述的方法,其特征在于,所述主VNFC实例在获取所述证书认证中心签发的证书之前,所述方法还包括:
所述主VNFC实例接收所述证书认证中心发送的证书响应消息,并对接收到的所述证书响应消息进行验证。
41.如权利要求40所述的方法,其特征在于,所述证书响应消息中包含了所述证书认证中心签发的证书;
所述获取所述证书认证中心签发的证书,包括:
所述主VNFC实例在对所述证书响应消息验证通过时,获取所述证书响应消息中包含的所述证书认证中心签发给所述新安装的VNFC实例的证书,其中,所述新安装的VNFC实例的证书是由所述证书认证中心根据所述主VNFC实例的证书,通过对所述主VNFC发送的证书请求消息的认证后,对所述证书请求消息中包含的所述新安装的VNFC实例用于申请证书的公钥签名得到的。
42.如权利要求39至41任一所述的方法,其特征在于,所述证书申请代理消息和所述证书请求消息中还包含了私钥拥有性证明POP信息。
43.如权利要求42所述的方法,其特征在于,所述POP信息由所述新安装的VNFC实例使用公私密钥对中的私钥对私钥拥有性证明签名关键字字段进行签名得到。
44.如权利要求39至43任一所述的方法,其特征在于,所述新安装的VNFC实例使用的公私密钥对通过以下方式得到:
所述新安装的VNFC实例生成公私密钥对;或
网络功能虚拟化基础设备NFVI生成公私密钥对并注入至所述新安装的VNFC实例中。
45.如权利要求39至44任一所述的方法,其特征在于,所述主VNFC实例在获取所述证书认证中心签发给所述新安装的VNFC实例的证书后,所述方法还包括:
所述主VNFC实例将获取的所述证书认证中心签发给所述新安装的VNFC实例的证书通过内部网络发送给新安装的VNFC实例。
46.如权利要求39至45任一所述的方法,其特征在于,
所述主VNFC实例与所述新安装的VNFC实例属于同一个网络功能虚拟化基础设施NFVI平台中同一个虚拟化的网络功能VNF的不同组件。
47.一种证书获取方法,其特征在于,包括:
证书认证中心接收主虚拟化的网络功能组件VNFC实例发送的证书请求消息,其中,所述证书请求消息中包含了主VNFC实例的证书和新安装的虚拟化的网络功能组件VNFC实例用于申请证书的公钥;
所述证书认证中心根据所述主VNFC实例的证书对所述证书请求消息进行认证,并在认证通过时对所述新安装的VNFC实例用于申请证书的公钥签名得到签发的证书;
所述证书认证中心将所述签发的证书发送给所述主VNFC实例。
48.如权利要求47所述的方法,其特征在于,所述证书认证中心根据所述主VNFC的证书对所述证书请求消息进行认证,包括:
所述证书认证中心利用所述主VNFC实例的证书验证所述证书请求消息的签名,以及利用签发的根CA证书或者签发的中间证书对接收到的所述主VNFC实例的证书进行验证。
49.如权利要求47或48所述的方法,其特征在于,所述证书请求消息中还包含私钥拥有性证明POP信息。
50.如权利要求49所述的方法,其特征在于,所述证书认证中心根据所述主VNFC的证书对所述证书请求消息进行认证,还包括:
所述证书认证中心利用所述证书请求消息中包含的用于申请证书的公钥对所述证书请求消息中包含的POP信息进行认证。
51.一种证书获取方法,其特征在于,包括:
新安装的虚拟化的网络功能组件VNFC实例向主虚拟化的网络功能组件VNFC实例发送证书申请代理消息,其中,所述证书申请代理消息中包含了新安装的VNFC实例用于申请证书的公钥,所述证书申请代理消息用于请求所述主VNFC实例向证书认证中心发送证书请求消息,所述证书请求消息用于请求所述证书认证中心为所述新安装的VNFC实例签发证书,所述证书请求消息中包含了所述主VNFC实例的证书和所述新安装的VNFC实例用于申请证书的公钥;
所述新安装的VNFC实例接收所述主VNFC实例发送的所述证书认证中心签发的证书,其中,所述证书是由所述证书认证中心对所述新安装的VNFC实例用于申请证书的公钥签名得到的。
52.如权利要求51所述的方法,其特征在于,在向主VNFC发送证书申请代理消息之前,所述方法还包括:
所述新安装的VNFC实例接收网络功能虚拟化编译器NFVO或者虚拟化的网络功能管理器VNFM发送的证书申请信息,其中,所述证书申请信息中包含了用于代理证书申请的主VNFC实例信息。
53.如权利要求52所述的方法,其特征在于,所述新安装的VNFC实例在向主VNFC发送证书申请代理消息之前,所述方法还包括:
所述新安装的VNFC实例根据所述证书申请信息,建立与所述用于证书申请代理的主VNFC实例之间的网络连接,其中,所述网络连接属于同一个网络功能虚拟化基础设施NFVI平台的虚拟化的网络功能VNF内部的网络连接。
54.如权利要求52至53任一所述的方法,其特征在于,所述新安装的VNFC实例获取证书申请信息,包括:
所述新安装的VNFC实例在安装时,接收网络功能虚拟化基础设备NFVI注入的证书申请信息。
55.如权利要求52至54任一所述的方法,其特征在于,用于证书申请代理的主VNFC信息包含了主VNFC实例的网际协议IP地址、媒质接入控制MAC标识、虚拟网络信息中心NIC地址。
56.如权利要求51至55任一所述的方法,其特征在于,所述新安装的VNFC实例用于申请证书的公钥通过以下方式得到:
所述新安装的VNFC实例生成公私密钥对;或
网络功能虚拟化基础设备NFVI生成公私密钥对,并注入至所述新安装的VNFC实例中。
57.如权利要求51至56任一所述的方法,其特征在于,所述新安装的VNFC实例向主VNFC实例发送证书申请代理消息的触发方式包括:
由VNF实例化触发;或,
由VNF扩容触发。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2014/077074 WO2015168913A1 (zh) | 2014-05-08 | 2014-05-08 | 一种证书获取方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105264818A CN105264818A (zh) | 2016-01-20 |
| CN105264818B true CN105264818B (zh) | 2018-10-30 |
Family
ID=54391999
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480028386.5A Active CN105264818B (zh) | 2014-05-08 | 2014-05-08 | 一种证书获取方法和设备 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US10367647B2 (zh) |
| EP (1) | EP3133768B1 (zh) |
| JP (1) | JP6311196B2 (zh) |
| CN (1) | CN105264818B (zh) |
| BR (1) | BR112016026037B1 (zh) |
| RU (1) | RU2646317C1 (zh) |
| WO (1) | WO2015168913A1 (zh) |
Families Citing this family (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016026129A1 (en) * | 2014-08-22 | 2016-02-25 | Nokia Technologies Oy | A security and trust framework for virtualized networks |
| CN104580208B (zh) | 2015-01-04 | 2018-11-30 | 华为技术有限公司 | 一种身份认证方法及装置 |
| US9578008B2 (en) * | 2015-05-11 | 2017-02-21 | Intel Corporation | Technologies for secure bootstrapping of virtual network functions |
| WO2017066931A1 (zh) | 2015-10-21 | 2017-04-27 | 华为技术有限公司 | 网络功能虚拟化架构中证书的管理方法及装置 |
| CN107135192B (zh) * | 2016-02-26 | 2020-04-21 | 中国移动通信集团公司 | 部署vnf的资源授权方法、vnfm和nfvo |
| ES2835784T3 (es) | 2016-04-05 | 2021-06-23 | Zamna Tech Limited | Método y sistema para gestionar información personal dentro de sistemas informáticos independientes y redes digitales |
| EP3443500B1 (en) * | 2016-05-16 | 2022-04-27 | Nokia Technologies Oy | Security in virtualized networks |
| CN106302394B (zh) * | 2016-07-26 | 2019-08-30 | 京信通信系统(中国)有限公司 | 安全通道建立方法和系统 |
| WO2018040095A1 (zh) * | 2016-09-05 | 2018-03-08 | 华为技术有限公司 | 一种生成安全凭证的方法和设备 |
| EP3510722B1 (en) * | 2016-09-08 | 2021-07-21 | Nec Corporation | Network function virtualization system and verifying method |
| US10318723B1 (en) * | 2016-11-29 | 2019-06-11 | Sprint Communications Company L.P. | Hardware-trusted network-on-chip (NOC) and system-on-chip (SOC) network function virtualization (NFV) data communications |
| WO2018120042A1 (zh) * | 2016-12-30 | 2018-07-05 | 华为技术有限公司 | 一种凭据分发的方法和设备 |
| US10298553B2 (en) | 2017-03-31 | 2019-05-21 | Sprint Communications Company L.P. | Hardware trusted data communications over system-on-chip (SOC) architectures |
| CN109286494B (zh) * | 2017-07-20 | 2020-10-23 | 华为技术有限公司 | 一种虚拟网络功能vnf的初始化凭据生成方法及设备 |
| CN107302544B (zh) * | 2017-08-15 | 2019-09-13 | 迈普通信技术股份有限公司 | 证书申请方法、无线接入控制设备及无线接入点设备 |
| CN109756356B (zh) * | 2017-11-07 | 2021-09-21 | 华为技术有限公司 | 设备升级方法及装置 |
| CN109905252B (zh) | 2017-12-07 | 2022-06-07 | 华为技术有限公司 | 建立虚拟网络功能实例的方法和装置 |
| US10728243B2 (en) * | 2018-01-17 | 2020-07-28 | Vmware, Inc. | Automating establishment of initial mutual trust during deployment of a virtual appliance in a managed virtual data center environment |
| US10764160B1 (en) | 2018-04-24 | 2020-09-01 | Amdocs Development Limited | System, method, and computer program for utilizing an open and global/private blockchain system for virtual network function (VNF) certification and consumption processes |
| EP3965372A1 (en) * | 2018-05-15 | 2022-03-09 | Telefonaktiebolaget LM Ericsson (publ) | Signaling optimization in 3gpp analytics |
| US11218329B2 (en) | 2019-02-20 | 2022-01-04 | Arris Enterprises Llc | Certificate generation with fallback certificates |
| CN111010410B (zh) * | 2020-03-09 | 2020-06-16 | 南京红阵网络安全技术研究院有限公司 | 一种基于证书身份认证的拟态防御系统及证书签发方法 |
| CN113765668A (zh) * | 2020-06-03 | 2021-12-07 | 广州汽车集团股份有限公司 | 一种车辆数字证书在线安装方法及车辆数字证书管理装置 |
| WO2022003953A1 (ja) | 2020-07-03 | 2022-01-06 | 日本電信電話株式会社 | ネットワーク仮想化システム、仮想リソース管理装置、仮想リソース管理方法およびプログラム |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1961526A (zh) * | 2004-05-28 | 2007-05-09 | 松下电器产业株式会社 | 母子卡认证系统 |
| CN101030908A (zh) * | 2007-02-06 | 2007-09-05 | 西安西电捷通无线网络通信有限公司 | 无线局域网wapi安全机制中证书的申请方法 |
| CN101039182A (zh) * | 2007-03-07 | 2007-09-19 | 广东南方信息安全产业基地有限公司 | 认证系统及用户标识证书发放方法 |
| CN101272252A (zh) * | 2008-04-09 | 2008-09-24 | 西安西电捷通无线网络通信有限公司 | 一种证书的分配与管理方法 |
| EP2043320A1 (en) * | 2007-09-28 | 2009-04-01 | Deutsche Telekom AG | Method and system for automatic and remote server provisioning using virtual machine appliances |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| NO313480B1 (no) | 2001-01-24 | 2002-10-07 | Telenor Asa | Fremgangsmåte for å åpne hele eller deler av et smartkort |
| JP2005086445A (ja) * | 2003-09-08 | 2005-03-31 | Nooza:Kk | ネットワーク構築方法、ネットワーク構築装置、およびネットワーク構築プログラム |
| JP2005149337A (ja) * | 2003-11-19 | 2005-06-09 | Nippon Telegr & Teleph Corp <Ntt> | ゲートウエイ装置 |
| JP2006246272A (ja) * | 2005-03-07 | 2006-09-14 | Fuji Xerox Co Ltd | 証明書取得システム |
| US8281387B2 (en) * | 2006-06-30 | 2012-10-02 | Intel Corporation | Method and apparatus for supporting a virtual private network architecture on a partitioned platform |
| US8347355B2 (en) * | 2008-01-17 | 2013-01-01 | Aerohive Networks, Inc. | Networking as a service: delivering network services using remote appliances controlled via a hosted, multi-tenant management system |
| US8458763B2 (en) * | 2008-07-01 | 2013-06-04 | International Business Machines Corporation | Method of automating and personalizing systems to satisfy security requirements in an end-to-end service landscape |
| EP3096503A1 (en) * | 2009-10-15 | 2016-11-23 | Interdigital Patent Holdings, Inc. | Registration and credential roll-out for accessing a subscription-based service |
| US8364954B2 (en) * | 2009-12-16 | 2013-01-29 | Symantec Corporation | Method and system for provisioning multiple digital certificates |
| US9100171B1 (en) * | 2009-12-17 | 2015-08-04 | Secure Forward, LLC | Computer-implemented forum for enabling secure exchange of information |
| WO2013097117A1 (zh) | 2011-12-28 | 2013-07-04 | 华为技术有限公司 | 虚拟机全盘加密下预启动时的密钥传输方法和设备 |
| CN102726028A (zh) | 2011-12-31 | 2012-10-10 | 华为技术有限公司 | 一种加密方法、解密方法和相关装置及系统 |
| WO2014052750A2 (en) * | 2012-09-27 | 2014-04-03 | Interdigital Patent Holdings, Inc. | End-to-end architecture, api framework, discovery, and access in a virtualized network |
| EP2907071B1 (en) * | 2012-10-12 | 2018-11-14 | Koninklijke Philips N.V. | Secure data handling by a virtual machine |
| JP2014082584A (ja) * | 2012-10-15 | 2014-05-08 | Nippon Registry Authentication Inc | 認証基盤システム |
| ES2619957T3 (es) | 2012-11-22 | 2017-06-27 | Huawei Technologies Co., Ltd. | Procedimiento y dispositivo de control de gestión para máquinas virtuales |
| CN103888429B (zh) | 2012-12-21 | 2017-11-03 | 华为技术有限公司 | 虚拟机启动方法、相关设备和系统 |
| CN103023920B (zh) | 2012-12-27 | 2016-04-13 | 华为技术有限公司 | 虚拟机安全保护方法及装置 |
| CN103475485B (zh) * | 2013-09-16 | 2017-03-22 | 浙江汇信科技有限公司 | 基于数字证书互联互通的身份认证支撑平台及认证方法 |
| CN104639516B (zh) | 2013-11-13 | 2018-02-06 | 华为技术有限公司 | 身份认证方法、设备及系统 |
| EP3107246B1 (en) | 2014-03-26 | 2019-05-22 | Huawei Technologies Co., Ltd. | Network function virtualization-based certificate configuration |
| JP6299047B2 (ja) | 2014-05-08 | 2018-03-28 | 華為技術有限公司Huawei Technologies Co.,Ltd. | 証明取得方法及び装置 |
-
2014
- 2014-05-08 BR BR112016026037-6A patent/BR112016026037B1/pt active IP Right Grant
- 2014-05-08 WO PCT/CN2014/077074 patent/WO2015168913A1/zh active Application Filing
- 2014-05-08 JP JP2017510713A patent/JP6311196B2/ja active Active
- 2014-05-08 EP EP14891512.7A patent/EP3133768B1/en active Active
- 2014-05-08 RU RU2016147696A patent/RU2646317C1/ru active
- 2014-05-08 CN CN201480028386.5A patent/CN105264818B/zh active Active
-
2016
- 2016-11-08 US US15/345,829 patent/US10367647B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1961526A (zh) * | 2004-05-28 | 2007-05-09 | 松下电器产业株式会社 | 母子卡认证系统 |
| CN101030908A (zh) * | 2007-02-06 | 2007-09-05 | 西安西电捷通无线网络通信有限公司 | 无线局域网wapi安全机制中证书的申请方法 |
| CN101039182A (zh) * | 2007-03-07 | 2007-09-19 | 广东南方信息安全产业基地有限公司 | 认证系统及用户标识证书发放方法 |
| EP2043320A1 (en) * | 2007-09-28 | 2009-04-01 | Deutsche Telekom AG | Method and system for automatic and remote server provisioning using virtual machine appliances |
| CN101272252A (zh) * | 2008-04-09 | 2008-09-24 | 西安西电捷通无线网络通信有限公司 | 一种证书的分配与管理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2017521971A (ja) | 2017-08-03 |
| BR112016026037B1 (pt) | 2023-04-04 |
| JP6311196B2 (ja) | 2018-04-18 |
| EP3133768B1 (en) | 2019-07-31 |
| RU2646317C1 (ru) | 2018-03-02 |
| US20170054565A1 (en) | 2017-02-23 |
| CN105264818A (zh) | 2016-01-20 |
| WO2015168913A1 (zh) | 2015-11-12 |
| US10367647B2 (en) | 2019-07-30 |
| EP3133768A4 (en) | 2017-02-22 |
| EP3133768A1 (en) | 2017-02-22 |
| BR112016026037A2 (zh) | 2017-08-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105264818B (zh) | 一种证书获取方法和设备 | |
| CN105284091B (zh) | 一种证书获取方法和设备 | |
| US11381396B2 (en) | System, apparatus and method for migrating a device having a platform group | |
| CN104869175B (zh) | 跨平台的账号资源共享实现方法、装置及系统 | |
| CN105530246B (zh) | 虚拟机管理的方法、装置和系统 | |
| CN106452772B (zh) | 终端认证方法和装置 | |
| CN107548499A (zh) | 用于虚拟网络功能的安全自举的技术 | |
| US20130212386A1 (en) | Storage Access Authentication Mechanism | |
| CN107835176A (zh) | 一种基于eID的网络身份认证方法及平台 | |
| US11968303B2 (en) | Keyless authentication scheme of computing services | |
| EP3416333A1 (en) | Seamless provision of secret token to cloud-based assets on demand | |
| US11658980B2 (en) | Cloud platform access system | |
| CN108471395A (zh) | 实现认证/授权的方法、装置、云计算系统及计算机系统 | |
| CN106657032A (zh) | 基于安全介质保密短信实现身份鉴别及数据认证的系统及方法 | |
| CN103841091B (zh) | 一种安全登录方法、装置及系统 | |
| CN104052602B (zh) | 用于单点登录的方法和装置 | |
| CN108833334A (zh) | 一种数字家庭网络的设备安全接入系统及方法 | |
| CN104392527B (zh) | 门禁通行请求发送方法、通行控制方法、通行方法及系统 | |
| CN110121857B (zh) | 一种凭据分发的方法和设备 | |
| CN108390892A (zh) | 一种远程存储系统安全访问的控制方法和装置 | |
| CN105471579B (zh) | 一种信任登录方法及装置 | |
| TWI817162B (zh) | 行動裝置免元件簽章系統及其方法 | |
| CN110276693A (zh) | 保险理赔方法及系统 | |
| US20240004684A1 (en) | System and method for exchanging messages between cloud services and software-defined data centers | |
| CN113505009A (zh) | 基于多个子系统接入的应用服务方法和系统、计算机设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |