CN105284091A - 一种证书获取方法和设备 - Google Patents

一种证书获取方法和设备 Download PDF

Info

Publication number
CN105284091A
CN105284091A CN201480011377.5A CN201480011377A CN105284091A CN 105284091 A CN105284091 A CN 105284091A CN 201480011377 A CN201480011377 A CN 201480011377A CN 105284091 A CN105284091 A CN 105284091A
Authority
CN
China
Prior art keywords
certificate
vnf examples
vnf
certificate request
vnfm
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201480011377.5A
Other languages
English (en)
Other versions
CN105284091B (zh
Inventor
熊莺
王江胜
冯成燕
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN105284091A publication Critical patent/CN105284091A/zh
Application granted granted Critical
Publication of CN105284091B publication Critical patent/CN105284091B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances

Abstract

公开了一种证书获取方法和设备,包括:VNFM接收VNF实例发送证书申请代理消息,证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息,验证信息用于在VNF实例与VNFM之间建立代理申请证书通道;VNFM利用验证信息对VNF实例进行验证,并在验证通过时,向CA发送证书申请消息,证书申请消息中包含了用于申请证书的证书申请信息;VNFM接收CA签发的证书,并将证书发送给VNF实例,这样,实例化的VNF实例通过VNFM与证书认证中心之间的信任链路申请证书认证中心签发的证书,有效保证了VNF实例申请证书的合法性,确保了VNF实例与VNFM之间通过证书认证中心签发的证书建立管理通道的安全性。

Description

一种证书获取方法和设备 技术领域
本发明涉及虚拟网络的部署领域, 尤其涉及一种证书获取方法和设备。 背景技术
网络功能虚拟化(Network Function Virtualization, NFV )是以 "传统网 络虚拟化" 为目的而成立的标准组织, 制定了一套在虚拟化环境下部署网络 的标准。 通过 NFV组织制定的标准, 可以实现网络的虚拟化以及灵活部署等 能力。
NFV制定的虚拟网络架构包含了: 网元管理系统( Element Management System, EMS ), NFV编排器 (NFV Orchestra, NFVO )、 虚拟化的网络功能 ( ( Virtual Network Function, VNF )实例、 VNF管理器( VNF Manager, VNFM )、 NFV的基础设施(Network Function Virtual Infrastructure, NFVI )、 VNF框架中 管理虚拟基础设施 ( Virtual Infrastructure Manager, VIM )。
其中, EMS, 即传统网元管理设备, 用于将实例化得到的 VNF实例作为 一个网元进行管理; NFVO, 用于编排 VNF; VNF实例, 即运行了网络功能的 虚拟化网元; VNFM, 用于管理 VNF; NFVI包含了虚拟化的计算资源、 虚拟 化的存储资源、虚拟化的网络资源等; VIM,用于根据 NFVO和 VNFM的指令, 对 NFVI进行管理。
EMS或者 VNFM通过与 VNF之间建立管理通道, 实现对 VNF的管理。 为 了防止恶意用户攻击网络, 在 EMS或者 VNFM与 VNF之间建立管理通道时, 需要双方进行身份认证, 一般釆用传输层安全技术(即证书认证方式)进行 身份认证, 也就是说, 以证书作为身份认证的凭证, 执行双方身份认证操作。
然而在传统网络中, 证书获取的方式包括但不限于以下两种:
第一种方式:
手工导入方式或者通过硬件、 软件初始安装时导入一个与硬件绑定的初 始证书 , 在利用初始证书通过证书管理协议获取需要的认证证书。 但是, 在 NFV标准中, VNF自动生成在 VM上, 无法通过第一种方式得到 证书, 也就是使得 EMS或者 VNFM与 VNF之间建立管理通道的安全性较差。
第二种方式:
在网元生成时, 由网元生产商在网元中内置一个生产商的证书, 使得网 元在被初始配置时, 使用证书管理协议向运营商的公共密钥系统( Public Key Infrastructure, PKI ) 申请运营商签发的证书, 在申请证书过程中, 网元使用 生产商证书作为自己的身份凭证, 使得 ΡΚΙ信任该网元并签发运营商的证书。
但是, 在虚拟化环境中, VNF动态生成, 因此不能通过第二种方式申请 证书, 也就是使得 EMS或者 VNFM与 VNF之间建立管理通道的安全性较差。 发明内容
有鉴于此, 本发明实施例提供了一种证书获取方法和设备, 用于解决存 在的 EMS或者 VNFM与 VNF之间建立管理通道的安全性较差的问题。
根据本发明的第一方面, 提供了一种证书获取设备, 包括:
接收模块, 用于接收 VNF实例发送的证书申请代理消息, 其中, 所述证 书申请代理消息中包含了验证信息和用于申请证书的证书申请信息, 所述验 证信息用于在所述 VNF实例与虚拟化网络功能 VNF管理设备 VNFM之间建 立代理申请证书通道;
发送模块, 用于利用所述接收模块接收到的所述验证信息对所述 VNF实 例进行验证,并在验证通过时,向证书认证中心 CA发送证书申请消息,其中, 所述证书申请消息中包含了用于申请证书的证书申请信息;
所述接收模块, 还用于接收所述 CA签发的证书;
所述发送模块, 还用于将所述接收模块接收到的所述证书发送给所述 VNF实例, 其中, 所述证书是所述 CA根据所述证书申请消息中包含了用于 申请证书的证书申请信息生成的。
结合本发明第一方面可能的实施方式中, 第一种可能的实施方式, 所述 验证信息为临时证书,其中,所述临时证书是由虚拟化功能网络编排器 NFVO 中管理虚拟基础设施 VIM, NFV基础设施 NFVI和所述 VNF运行的虚拟机 VM传输至所述 VNF实例的。
结合本发明第一方面的第一种可能的实施方式中, 第二种可能的实施方 式, 所述发送模块, 具体用于将接收到的临时证书与 NFVO确定需要实例化 所述 VNF实例时从所述 VNFM中申请的临时证书进行比较;
在确定接收到的临时证书与 NFVO确定需要实例化所述 VNF实例时从所 述 VNFM中申请的临时证书相同时, 确定对所述 VNF实例的验证通过; 在确定接收到的临时证书与 NFVO确定需要实例化所述 VNF实例时从所 述 VNFM中申请的临时证书不相同时, 确定对所述 VNF实例的验证未通过。
结合本发明第一方面可能的实施方式中, 第三种可能的实施方式, 所述 验证信息为预共享密钥 PSK, 其中, 所述 PSK是由虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实例时生成的, 并经由 VNF框架中管理虚 拟基础设施 VIM.NFV基础设施 NFVI和所述 VNF运行的虚拟机 VM传输至 所述 VNF实例的。
结合本发明第一方面的第三种可能的实施方式中, 第四种可能的实施方 式, 所述接收模块, 具体用于向所述 VNF实例发送 PSK, 并接收 VNF实例 发送的证书申请代理消息, 其中, 所述证书申请代理消息是所述 VNF实例在 确定本地注入的 PSK与接收到的所述 VNFM发送的 PSK相同或关联时向所 述 VNFM发送的。
结合本发明第一方面的第四种可能的实施方式中, 第五种可能的实施方 式, 所述发送模块, 具体用于将接收到的 PSK与 NFVO确定需要实例化所述 VNF实例时签发的 PSK进行比较;
在确定接收到的 PSK与 NFVO确定需要实例化所述 VNF实例时签发的 PSK相同或关联时 , 确定对所述 VNF实例的验证通过;
在确定接收到的 PSK与 NFVO确定需要实例化所述 VNF实例时签发的 PSK不相同或不关联时, 确定对所述 VNF实例的验证未通过。
结合本发明第一方面可能的实施方式中, 或者结合本发明第一方面的第 一种可能的实施方式中, 或者结合本发明第一方面的第二种可能的实施方式 中, 或者结合本发明第一方面的第三种可能的实施方式中, 或者结合本发明 第一方面的第四种可能的实施方式中, 或者结合本发明第一方面的第五种可 能的实施方式中, 第六种可能的实施方式, 所述设备还包括:
通道建立模块, 用于在将所述证书发送给所述 VNF实例时, 利用所述证 书建立与所述 VNF实例之间的管理通道。
根据本发明的第二方面, 提供了一种证书获取设备, 包括:
接收模块, 用于接收 VNF框架中管理虚拟基础设施 VIM发送证书申请 代理消息, 其中, 所述证书申请代理消息中包含了请求申请证书的 VNF实例 发送模块, 用于向证书认证中心 CA发送证书申请消息, 其中, 所述证书 申请消息中包含了所述接收模块接收到的所述 VNF实例用于申请证书的证书 申请信息;
所述接收模块, 还用于接收所述 CA签发的证书;
所述发送模块, 还用于将所述接收模块接收到的所述证书发送给所述 VIM, 其中, 所述证书是所述 CA根据所述证书申请信息中包含了所述 VNF 实例用于申请证书的证书申请信息生成的。
结合本发明第二方面可能的实施方式中, 第一种可能的实施方式, 所述 证书申请代理消息是由所述 VIM根据接收到的证书申请信息生成的, 其中, 所述证书申请信息由所述 VNF实例根据初始化参数得到, 并由所述 VNF实 述 VIM的。
结合本发明第二方面的第一方面可能的实施方式中, 第二种可能的实施 方式, 所述初始化参数包含了 CA信息、证书管理域的域名, 由虚拟化功能网 络编排器 NFVO确定实例化所述 VNF实例时得到。 根据本发明的第三方面, 提供了一种证书获取设备, 包括: 接收模块, 用于接收虚拟化网络功能 VNF实例发送的证书申请消息, 其 中, 所述证书申请消息中包含了临时证书和用于申请证书的证书申请信息, 所述临时证书是由虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实 例时从所述 CA中申请的, 并经由 VNF框架中管理虚拟基础设施 VIM, NFV 签发模块, 用于利用所述接收模块接收到的所述临时证书对所述 VNF实 例进行认证, 并在认证通过时, 根据所述证书申请消息中包含的用于申请证 书的证书申请信息, 签发证书给所述 VNF实例。
根据本发明的第四方面, 提供了一种证书获取设备, 包括:
接收模块, 用于接收虚拟机 VM发送的证书申请消息, 其中, 所述证书 申请消息中包含了用于申请证书的公钥;
发送模块, 用于向证书认证中心 CA发送证书申请代理消息, 其中, 所述 证书申请代理消息中包含了所述接收模块接收到的所述 VM用于申请证书的 公钥;
所述接收模块, 用于接收所述 CA签发的证书;
所述发送模块, 用于将所述接收模块接收到的所述证书发送给所述 VM, 其中, 所述证书由所述 CA根据所述证书申请代理消息中包含了所述 VM用 于申请证书的公钥签名得到的。
结合本发明第四方面可能的实施方式中, 第一种可能的实施方式, 所述 发送模块, 具体用于向虚拟网络功能框架中管理虚拟基础设施 VIM发送证书 申请代理消息, 并由所述 VIM将所述证书申请代理消息转发至证书认证中心 CA。
结合本发明第四方面可能的实施方式中, 或者结合本发明第四方面第一 种可能的实施方式中, 第二种可能的实施方式, 所述设备还包括:
通道建立模块, 用于在所述 VM接收到所述证书时, 建立所述 VM与所 述 VM的管理设备之间的管理通道。 结合本发明第四方面可能的实施方式中, 或者结合本发明第四方面第一 种可能的实施方式中, 或者结合本发明第四方面第二种可能的实施方式中, 第三种可能的实施方式, 所述公钥由所述 VM根据初始化参数生成, 其中, 所述初始化参数包含了 CA信息、证书管理域的域名, 由虚拟网络功能框架中 管理虚拟基础设施 VIM在接收到虚拟化功能网络编排器 NFVO发送的生成所 述 VM时得到。
根据本发明的第五方面, 提供了一种证书获取设备, 包括:
信号接收器, 用于接收 VNF实例发送的证书申请代理消息, 其中, 所述 证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息, 所述 验证信息用于在所述 VNF实例与虚拟化网络功能 VNF管理设备 VNFM之间 建立代理申请证书通道;
信号发射器, 用于利用所述验证信息对所述 VNF实例进行验证, 并在验 证通过时, 向证书认证中心 CA发送证书申请消息, 其中, 所述证书申请消息 中包含了用于申请证书的证书申请信息;
所述信号接收器, 还用于接收所述 CA签发的证书;
所述信号发射器, 还用于将所述证书发送给所述 VNF实例, 其中, 所述 证书是所述 CA根据所述证书申请消息中包含了用于申请证书的证书申请信 息生成的。
结合本发明第五方面可能的实施方式中, 第一种可能的实施方式, 所述 验证信息为临时证书,其中,所述临时证书是由虚拟化功能网络编排器 NFVO 中管理虚拟基础设施 VIM, NFV基础设施 NFVI和所述 VNF运行的虚拟机 VM传输至所述 VNF实例的。
结合本发明第五方面的第一种可能的实施方式中, 第二种可能的实施方 式, 所述信号发射器, 具体用于将接收到的临时证书与 NFVO确定需要实例 化所述 VNF实例时从所述 VNFM中申请的临时证书进行比较;
所述 VNFM在确定接收到的临时证书与 NFVO确定需要实例化所述 VNF 实例时从所述 VNFM中申请的临时证书相同时,确定对所述 VNF实例的验证 通过;
所述 VNFM在确定接收到的临时证书与 NFVO确定需要实例化所述 VNF 实例时从所述 VNFM中申请的临时证书不相同时,确定对所述 VNF实例的验 证未通过。
结合本发明第五方面可能的实施方式中, 第三种可能的实施方式, 所述 验证信息为预共享密钥 PSK, 其中, 所述 PSK是由虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实例时生成的, 并经由 VNF框架中管理虚 拟基础设施 VIM.NFV基础设施 NFVI和所述 VNF运行的虚拟机 VM传输至 所述 VNF实例的。
结合本发明第五方面的第三种可能的实施方式中, 第四种可能的实施方 式, 所述信号接收器, 具体用于向所述 VNF实例发送 PSK, 并接收所述 VNF 实例发送的证书申请代理消息, 其中, 所述证书申请代理消息是所述 VNF实 例在确定本地注入的 PSK与接收到的所述 PSK相同或关联时,向所述 VNFM 发送的。
结合本发明第五方面的第四种可能的实施方式中, 第五种可能的实施方 式, 所述信号发射器, 具体用于将接收到的 PSK与 NFVO确定需要实例化所 述 VNF实例时签发的 PSK进行比较;
在确定接收到的 PSK与 NFVO确定需要实例化所述 VNF实例时签发的 PSK相同或关联时 , 确定对所述 VNF实例的验证通过;
在确定接收到的 PSK与 NFVO确定需要实例化所述 VNF实例时签发的 PSK不相同或不关联时, 确定对所述 VNF实例的验证未通过。
结合本发明第五方面可能的实施方式中, 或者结合本发明第五方面的第 一种可能的实施方式中, 或者结合本发明第五方面的第二种可能的实施方式 中, 或者结合本发明第五方面的第三种可能的实施方式中, 或者结合本发明 第五方面的第四种可能的实施方式中, 或者结合本发明第五方面的第五种可 能的实施方式中, 第六种可能的实施方式, 所述设备还包括: 处理器, 用于在将所述证书发送给所述 VNF实例时, 利用所述证书建立 与所述 VNF实例之间的管理通道。
根据本发明的第六方面, 提供了一种证书获取设备, 包括:
信号接收器, 用于接收 VNF框架中管理虚拟基础设施 VIM发送证书申 请代理消息, 其中, 所述证书申请代理消息中包含了请求申请证书的 VNF实 信号发射器, 用于向证书认证中心 CA发送证书申请消息, 其中, 所述证 书申请消息中包含了所述 VNF实例用于申请证书的证书申请信息;
所述信号接收器, 还用于接收所述 CA签发的证书;
所述信号发射器, 还用于将所述证书发送给所述 VIM, 其中, 所述证书 是所述 CA根据所述证书申请信息中包含了所述 VNF实例用于申请证书的证 书申请信息生成的。
结合本发明第六方面可能的实施方式中, 第一种可能的实施方式, 所述 证书申请代理消息是由所述 VIM根据接收到的证书申请信息生成的, 其中, 所述证书申请信息由所述 VNF实例根据初始化参数得到, 并由所述 VNF实 述 VIM的。
结合本发明第六方面的第一方面可能的实施方式中, 第二种可能的实施 方式, 所述初始化参数包含了 CA信息、证书管理域的域名, 由虚拟化功能网 络编排器 NFVO确定实例化所述 VNF实例时得到。
根据本发明的第七方面, 提供了一种证书获取设备, 包括:
信号接收器, 用于接收虚拟化网络功能 VNF实例发送的证书申请消息, 其中, 所述证书申请消息中包含了临时证书和用于申请证书的证书申请信息, 所述临时证书是由虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实 例时从所述 CA中申请的, 并经由 VNF框架中管理虚拟基础设施 VIM, NFV 处理器, 用于利用所述临时证书对所述 VNF实例进行认证, 并在认证通 过时, 根据所述证书申请消息中包含的用于申请证书的证书申请信息, 签发 证书给所述 VNF实例。
根据本发明的第八方面, 提供了一种证书获取设备, 包括:
信号接收器, 用于接收虚拟机 VM发送的证书申请消息, 其中, 所述证 书申请消息中包含了用于申请证书的公钥;
信号发射器, 用于向证书认证中心 CA发送证书申请代理消息, 其中, 所 述证书申请代理消息中包含了所述 VM用于申请证书的公钥;
所述信号接收器, 还用于接收所述 CA签发的证书;
所述信号发射器, 还用于将所述证书发送给所述 VM, 其中, 所述证书由 所述 CA根据所述证书申请代理消息中包含了所述 VM用于申请证书的公钥 签名得到的。
结合本发明第八方面可能的实施方式中, 第一种可能的实施方式, 所述 信号发射器, 具体用于向虚拟网络功能框架中管理虚拟基础设施 VIM发送证 书申请代理消息, 并由所述 VIM将所述证书申请代理消息转发至证书认证中 心 CA。
结合本发明第八方面可能的实施方式中, 或者结合本发明第八方面第一 种可能的实施方式中, 第二种可能的实施方式, 所述设备还包括:
处理器, 用于在所述 VM接收到所述证书时, 建立所述 VM与所述 VM 的管理设备之间建立的管理通道。
结合本发明第八方面可能的实施方式中, 或者结合本发明第八方面第一 种可能的实施方式中, 或者结合本发明第八方面第二种可能的实施方式中, 第三种可能的实施方式, 所述公钥由所述 VM根据初始化参数生成, 其中, 所述初始化参数包含了 CA信息、证书管理域的域名, 由虚拟网络功能框架中 管理虚拟基础设施 VIM在接收到虚拟化功能网络编排器 NFVO发送的生成所 述 VM时得到。
根据本发明的第九方面, 提供了一种证书获取方法, 包括:
虚拟化网络功能管理设备 VNFM接收 VNF实例发送的证书申请代理消 息, 其中, 所述证书申请代理消息中包含了验证信息和用于申请证书的证书 申请信息,所述验证信息用于在所述 VNF实例与所述 VNFM之间建立代理申 请证书通道;
所述 VNFM利用所述验证信息对所述 VNF实例进行验证,并在验证通过 时, 向证书认证中心 CA发送证书申请消息, 其中, 所述证书申请消息中包含 了用于申请证书的证书申请信息;
所述 VNFM接收所述 CA签发的证书,并将所述证书发送给所述 VNF实 例,其中,所述证书是所述 CA根据所述证书申请消息中包含了用于申请证书 的证书申请信息生成的。
结合本发明第九方面可能的实施方式中, 第一种可能的实施方式, 所述 验证信息为临时证书,其中,所述临时证书是由虚拟化功能网络编排器 NFVO 中管理虚拟基础设施 VIM, NFV基础设施 NFVI和所述 VNF运行的虚拟机 VM传输至所述 VNF实例的。
结合本发明第九方面的第一种可能的实施方式中, 第二种可能的实施方 式, 所述 VNFM利用所述验证信息对所述 VNF实例进行验证, 包括:
所述 VNFM将接收到的临时证书与 NFVO确定需要实例化所述 VNF实 例时从所述 VNFM中申请的临时证书进行比较;
所述 VNFM在确定接收到的临时证书与 NFVO确定需要实例化所述 VNF 实例时从所述 VNFM中申请的临时证书相同时,确定对所述 VNF实例的验证 通过;
所述 VNFM在确定接收到的临时证书与 NFVO确定需要实例化所述 VNF 实例时从所述 VNFM中申请的临时证书不相同时,确定对所述 VNF实例的验 证未通过。
结合本发明第九方面可能的实施方式中, 第三种可能的实施方式, 所述 验证信息为预共享密钥 PSK, 其中, 所述 PSK是由虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实例时生成的, 并经由 VNF框架中管理虚 拟基础设施 VIM、NFV基础设施 NFVI和所述 VNF运行的虚拟机 VM传输至 所述 VNF实例的。
结合本发明第九方面的第三种可能的实施方式中, 第四种可能的实施方 式 , 所述虚拟化网络功能 VNF管理设备 VNFM接收 VNF实例发送的证书申 请代理消息, 包括:
所述 VNFM向所述 VNF实例发送 PSK, 并接收 VNF实例发送的证书申 请代理消息, 其中, 所述证书申请代理消息是所述 VNF实例在确定本地注入 的。
结合本发明第九方面的第四种可能的实施方式中, 第五种可能的实施方 式, 所述 VNFM利用所述验证信息对所述 VNF实例进行验证, 包括:
所述 VNFM将接收到的 PSK与 NFVO确定需要实例化所述 VNF实例时 签发的 PSK进行比较;
所述 VNFM在确定接收到的 PSK与 NFVO确定需要实例化所述 VNF实 例时签发的 PSK相同或关联时, 确定对所述 VNF实例的验证通过;
所述 VNFM在确定接收到的 PSK与 NFVO确定需要实例化所述 VNF实 例时签发的 PSK不相同或不关联时, 确定对所述 VNF实例的验证未通过。
结合本发明第九方面可能的实施方式中, 或者结合本发明第九方面的第 一种可能的实施方式中, 或者结合本发明第九方面的第二种可能的实施方式 中, 或者结合本发明第九方面的第三种可能的实施方式中, 或者结合本发明 第九方面的第四种可能的实施方式中, 或者结合本发明第九方面的第五种可 能的实施方式中, 第六种可能的实施方式, 所述方法还包括:
所述 VNFM在将所述证书发送给所述 VNF实例时,利用所述证书建立与 所述 VNF实例之间的管理通道。
根据本发明的第十方面, 提供了一种证书获取方法, 包括:
虚拟化网络功能 VNF管理设备 VNFM接收 VNF框架中管理虚拟基础设 施 VIM发送证书申请代理消息, 其中, 所述证书申请代理消息中包含了请求 申请证书的 VNF实例和所述 VNF实例用于申请证书的证书申请信息; 所述 VNFM向证书认证中心 CA发送证书申请消息, 其中, 所述证书申 请消息中包含了所述 VNF实例用于申请证书的证书申请信息;
所述 VNFM接收所述 CA签发的证书, 并将所述证书发送给所述 VIM, 其中, 所述证书是所述 CA根据所述证书申请信息中包含了所述 VNF实例用 于申请证书的证书申请信息生成的。
结合本发明第十方面可能的实施方式中, 第一种可能的实施方式, 所述 证书申请代理消息是由所述 VIM根据接收到的证书申请信息生成的, 其中, 所述证书申请信息由所述 VNF实例根据初始化参数得到, 并由所述 VNF实 述 VIM的。
结合本发明第十方面的第一方面可能的实施方式中, 第二种可能的实施 方式, 所述初始化参数包含了 CA信息、证书管理域的域名, 由虚拟化功能网 络编排器 NFVO确定实例化所述 VNF实例时得到。
根据本发明的第十一方面, 提供了一种证书获取方法, 包括:
证书认证中心 CA接收虚拟化网络功能 VNF实例发送的证书申请消息, 其中, 所述证书申请消息中包含了临时证书和用于申请证书的证书申请信息, 所述临时证书是由虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实 例时从所述 CA中申请的, 并经由 VNF框架中管理虚拟基础设施 VIM, NFV 所述 CA利用所述临时证书对所述 VNF实例进行认证,并在认证通过时 , 根据所述证书申请消息中包含的用于申请证书的证书申请信息, 签发证书给 所述 VNF实例。
根据本发明的第十二方面, 提供了一种证书的获取方法, 包括: 虚拟网络功能基础设备 NFVI接收虚拟机 VM发送的证书申请消息, 其 中, 所述证书申请消息中包含了用于申请证书的公钥;
所述 NF VI向证书认证中心 CA发送证书申请代理消息, 其中, 所述证书 申请代理消息中包含了所述 VM用于申请证书的公钥;
所述 NFVI接收所述 CA签发的证书, 并将所述证书发送给所述 VM, 其 中, 所述证书由所述 CA根据所述证书申请代理消息中包含了所述 VM用于 申请证书的公钥签名得到的。
结合本发明第十二方面可能的实施方式中, 第一种可能的实施方式, 所 述 NF VI向证书认证中心 CA发送证书申请代理消息 , 包括:
所述 NFVI向虚拟网络功能框架中管理虚拟基础设施 VIM发送证书申请 代理消息, 并由所述 VIM将所述证书申请代理消息转发至证书认证中心 CA。
结合本发明第十二方面可能的实施方式中, 或者结合本发明第十二方面 第一种可能的实施方式中, 第二种可能的实施方式, 所述方法还包括:
在所述 VM接收到所述证书时, 建立所述 VM与所述 VM的管理设备之 间建立的管理通道。
4结合本发明第十二方面可能的实施方式中,或者结合本发明第十二方面 第一种可能的实施方式中, 或者结合本发明第十二方面第二种可能的实施方 式中, 第三种可能的实施方式, 所述公钥由所述 VM根据初始化参数生成, 其中, 所述初始化参数包含了 CA信息、证书管理域的域名, 由虚拟网络功能 框架中管理虚拟基础设施 VIM在接收到虚拟化功能网络编排器 NFVO发送的 生成所述 VM时得到。
本发明实施例 VNFM接收 VNF实例发送证书申请代理消息,证书申请代 理消息中包含了验证信息和用于申请证书的证书申请信息, 验证信息用于在 VNF实例与 VNFM之间建立代理申请证书通道; VNFM利用验证信息对 VNF 实例进行验证, 并在验证通过时, 向 CA发送证书申请消息, 证书申请消息中 包含了用于申请证书的证书申请信息; VNFM接收 CA签发的证书, 并将证 书发送给 VNF实例 , 这样 , 实例化的 VNF实例通过 VNFM与证书认证中心 之间的信任链路申请证书认证中心签发的证书, 有效保证了 VNF实例申请证 书的合法性,确保了 VNF实例与 VNFM之间通过证书认证中心签发的证书建 立管理通道的安全性。 附图说明
为了更清楚地说明本发明实施例中的技术方案, 下面将对实施例描述中 所需要使用的附图作简要介绍, 显而易见地, 下面描述中的附图仅仅是本发 明的一些实施例, 对于本领域的普通技术人员来讲, 在不付出创造性劳动性 的前提下, 还可以根据这些附图获得其他的附图。
图 1为本发明实施例一提供的一种证书获取方法的流程示意图; 图 2为本发明实施例二提供的一种证书获取方法的流程示意图; 图 3为本发明实施例三提供的一种证书获取方法的流程示意图; 图 4为本发明实施例四提供的一种证书获取方法的流程示意图; 图 5为一种证书获取方法的流程示意图;
图 6为本发明实施例五提供的一种证书获取设备的结构示意图; 图 7为本发明实施例六提供的一种证书获取设备的结构示意图; 图 8为本发明实施例七提供的一种证书获取设备的结构示意图; 图 9为本发明实施例八提供的一种证书获取设备的结构示意图; 图 10为本发明实施例九提供的一种证书获取设备的结构示意图; 图 11为本发明实施例十提供的一种证书获取设备的结构示意图; 图 12为本发明实施例十一提供的一种证书获取设备的结构示意图; 图 13为本发明实施例十二提供的一种证书获取设备的结构示意图。 具体实施方式
为了实现本发明的目的, 本发明实施例提供了一种证书的获取方法和设 备, VNFM接收 VNF实例发送证书申请代理消息, 证书申请代理消息中包含 了验证信息和用于申请证书的证书申请信息, 验证信息用于在 VNF 实例与 VNFM之间建立代理申请证书通道; VNFM利用验证信息对 VNF实例进行验 证, 并在验证通过时, 向 CA发送证书申请消息, 证书申请消息中包含了用于 申请证书的证书申请信息; VNFM接收 CA签发的证书,并将证书发送给 VNF 实例 ,这样 , 实例化的 VNF实例通过 VNFM与证书认证中心之间的信任链路 申请证书认证中心签发的证书, 有效保证了 VNF实例申请证书的合法性, 确 保了 VNF实例与 VNFM之间通过证书认证中心签发的证书建立管理通道的安 全性。
需要说明的是, 由于 VNF实例在实例化之后, 属于一个新的虚拟网元, 与虚拟网络中的其他网元尚未建立信任链路, 与证书认证中心 (Certificate Authority, CA ) , 彼此属于不信任网元, 因此, 无法直接从 CA处申请证书, 本发明实施例通过证书申请代理的方式使得 VNF实例申请到合法证书。
下面结合说明书附图对本发明各个实施例进行详细描述。
实施例一:
如图 1所示, 为本发明实施例一提供的一种证书获取方法的流程示意图。 所述方法可以如下所述。
步骤 101 : 虚拟化网络功能 VNF管理设备 VNFM接收 VNF实例发送证 书申请代理消息。
其中, 所述证书申请代理消息中包含了验证信息和用于申请证书的证书 申请信息,所述验证信息用于在所述 VNF实例与所述 VNFM之间建立代理申 请证书通道。
需要说明的是, 证书申请信息至少包含了: 证书格式、 域名、 证书认证 中心信息等。
在步骤 101中, 在虚拟网络中, 完成对 VNF实例化后, 为了确保实例化 VNF实例与其他虚拟网元之间通信的安全性,需要为实例化的 VNF实例申请 证书。
具体地, NFVO在接收到实例化 VNF实例指令时, 确定后续用于建立所 述 VNF实例与所述 VNFM之间代理申请证书通道的验证信息,并将确定的验 证信息携带在实例化 VNF指令中发送给 VIM, 由 VIM将实例化 VNF指令发 送给 NFVI, 请求 NFVI为该 VNF实例分配 VM, 完成 VNF实例化。
NFVI给该 VNF实例分配 VM以及完成该 VNF实例化时,将实例化 VNF 指令中携带的确定的验证信息注入该 VNF实例。
可选地, 验证信息的形式包括但不限于以下形式:
第一种情形:
所述验证信息为临时证书。
其中, 所述临时证书是由虚拟化功能网络编排器 NFVO确定需要实例化 所述 VNF实例时从所述 VNFM中申请的, 并经由 VNF框架中管理虚拟基础 设施 VIM、 NFV基础设施 NFVI和所述 VNF运行的虚拟机 VM传输至所述 VNF实例的。
需要说明的是, 虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF 实例时从所述 VNFM中申请得到的临时证书 , 由 VNFM通过特殊方式生成 , 而由 VNFM生成的临时证书仅能被 VNFM信任,虚拟网络中的其他网元不能 信任该临时证书。
可选地, 所述临时证书是由虚拟化功能网络编排器 NFVO确定需要实例 化所述 VNF实例时从 CA中申请的, 并经由 VNF框架中管理虚拟基础设施 VIM, NFV基础设施 NFVI和所述 VNF运行的虚拟机 VM传输至所述 VNF 的。
虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实例时从 CA中 申请临时证书的前提是:
CA通过特殊方式(例如: 使用特定公私钥为临时证书签名)得到临时证 书, 且临时证书仅能被 CA信任, 其他网元不信任该临时证书。
VNFO、 VIM和 NFVI之间在传输临时证书时 , 还可以传输与临时证书对 应的私钥, 但是私钥在多个网元间传输, 存在安全风险, 因此, 本实施例中 需要保证 VNFO、 VIM和 NFVI之间的通信安全 , 以保证用于申请证书的私 钥不被泄露。 同时临时证书在本实施例中仅能使用一次, 以防止多次使用过 程中出现临时证书被恶意网元获取的风险, 进一步保证了虚拟网络中各个网 元之间通信的安全性。
第二种情形: 所述验证信息为预共享密钥 PSK。
其中, 所述 PSK是由虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实例时生成的, 并经由 VNF框架中管理虚拟基础设施 VIM, NFV基础 需要说明的是,预共享密钥由 NFVO生成,并发送给 VNFM,以便于 VNF 实例与 VNFM之间的初始通信通过该 PSK完成。
需要说明的是, 所谓预共享密钥, 预先配置给需要通信的两端, 通信的 两端通过预共享密钥建立通信。 预共享密钥可以是对称密钥, 即通信双方持 有的密钥相同, 也可以是非对称密钥, 即通信双方持有的密钥不相同, 例如, 公私密钥对。
为了保证申请证书的合法性, 该 VNF实例釆用证书申请代理的方式申请 证书。
此时, 该 VNF实例可以利用确定的验证信息和用于申请证书的证书申请 信息申请证书。
该 VNF实例向 VNFM发送证书申请代理消息,其中,所述证书申请代理 消息中包含了验证信息和用于申请证书的证书申请信息。
需要说明的是,假设该 VNF实例接收到的验证信息是预共享密钥( PSK ), 那么为了确保证书申请代理者 VNFM身份的合法性, 该 VNF实例向 VNFM 发送证书申请代理信息之前, 需要通过预共享密钥对 VNFM身份进行验证。
具体地, 所述 VNFM 向所述 VNF 实例发送存储在本地的预共享密钥 ( PSK ), 并接收所述 VNF实例发送的证书申请代理消息, 其中, 所述证书申 请代理消息是所述 VNF实例在确定本地注入的 PSK与接收到的所述 VNFM 发送的 PSK相同或者关联时向所述 VNFM发送的。
步骤 102: 所述 VNFM利用所述验证信息对所述 VNF实例进行验证, 并 在验证通过时, 向证书认证中心 CA发送证书申请消息。
其中, 所述证书申请消息中包含了用于申请证书的证书申请信息。
在步骤 102中,所述 VNFM利用所述验证信息对所述 VNF实例进行验证 的方式包括但不限于:
假设所述验证信息是步骤 101 中第一种情形中描述的临时证书时, 所述 VNFM在接收到所述证书申请代理消息中包含的临时证书时, 将接收到的临 时证书与 NFVO确定需要实例化所述 VNF实例时从所述 VNFM中申请的临 时证书进行比较;
所述 VNFM在确定接收到的临时证书与 NFVO确定需要实例化所述 VNF 实例时从所述 VNFM中申请的临时证书相同时,确定对所述 VNF实例的验证 通过;
所述 VNFM在确定接收到的临时证书与 NFVO确定需要实例化所述 VNF 实例时从所述 VNFM中申请的临时证书不相同时,确定对所述 VNF实例的验 证未通过。
假设所述验证信息是步骤 101 中第二种情形中描述的预共享密钥时, 所 述 VNFM在接收到所述证书申请代理消息中包含的 PSK时,将接收到的 PSK 与 NFVO确定需要实例化所述 VNF实例时签发的 PSK进行比较;
所述 VNFM在确定接收到的 PSK与 NFVO确定需要实例化所述 VNF实 例时签发的 PSK相同或者关联时, 确定对所述 VNF实例的验证通过;
所述 VNFM在确定接收到的 PSK与 NFVO确定需要实例化所述 VNF实 例时签发的 PSK不相同或者不关联时, 确定对所述 VNF实例的验证未通过。
步骤 103: 所述 VNFM接收所述 CA签发的证书, 并将所述证书发送给 所述 VNF实例。
其中,所述证书是所述 CA根据所述证书申请消息中包含了用于申请证书 的证书申请信息生成的。
在步骤 103中, 所述 VNFM在接收所述 CA签发的证书时, 确定虚拟化 功能网络编排器 NFVO确定需要实例化所述 VNF实例时从所述 VNFM或者 从 CA中申请得到的临时证书, 或虚拟化功能网络编排器 NFVO确定需要实 例化所述 VNF实例时生成的预共享密钥失效, 也就意味着, 临时证书或预共 享密钥在在接收所述 CA签发的证书时将不再被 VNFM信任。 在本发明实施例中, 所述方法还包括:
所述 VNFM在将所述证书发送给所述 VNF实例时,利用所述证书建立与 所述 VNF实例之间的管理通道。
通过本发明实施例一的方案, VNFM接收 VNF实例发送证书申请代理消 息, 证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息, 验证信息用于在 VNF实例与 VNFM之间建立代理申请证书通道; VNFM利 用验证信息对 VNF实例进行验证, 并在验证通过时, 向 CA发送证书申请消 息, 证书申请消息中包含了用于申请证书的证书申请信息; VNFM接收 CA 签发的证书 ,并将证书发送给 VNF实例 ,这样,实例化的 VNF实例通过 VNFM 与证书认证中心之间的信任链路申请证书认证中心签发的证书, 有效保证了 VNF实例申请证书的合法性, 确保了 VNF实例与 VNFM之间通过证书认证 中心签发的证书建立管理通道的安全性。
实施例二:
如图 2所示, 为本发明实施例二提供的一种证书获取方法的流程示意图。 所述方法可以如下所述。
本发明实施例二实施的前提是 NF VO、 VIM和 NF VI相互合作,生成 VM , 并在 VN上启动运行 VNF实例。
需要说明的是, VM与 VIM之间建立了安全的信任链接。
VM 与 VIM之间建立了安全的信任链接通过后续实施例四进行详细说 明, 这里不做描述。
步骤 201: 虚拟化网络功能 VNF管理设备 VNFM接收 VNF框架中管理 虚拟基础设施 VIM发送证书申请代理消息。
其中, 所述证书申请代理消息中包含了请求申请证书的 VNF实例和所述 VNF实例用于申请证书的证书申请信息。
需要说明的是, 证书申请信息至少包含了: 证书格式、 域名、 证书认证 中心信息等。
在步骤 201中, 在虚拟网络中, 完成对 VNF实例化后, 为了确保实例化 VNF实例与其他虚拟网元之间通信的安全性,需要为实例化的 VNF实例申请 证书。
具体地, NFVO在接收到实例化 VNF实例指令时, 将实例化 VNF指令 中发送给 VIM, 由 VIM将实例化 VNF指令发送给 NFVI, 请求 NFVI为该 VNF实例分配 VM, 完成 VNF实例化。
其中, 所述实例化 VNF指令中包含了 VNF实例的初始化参数。
NFVI给该 VNF实例分配 VM以及完成该 VNF实例化时,将实例化 VNF 指令中包含的 VNF实例的初始化参数注入该 VNF实例。
为了保证申请证书的合法性, 该 VNF实例釆用证书申请代理的方式申请 证书。
此时, 该 VNF实例根据初始化参数得到证书申请信息。
所述初始化参数包含了 CA信息、 证书管理域的域名。
同时, 该 VNF实例根据初始化参数生成公私密钥对。
其中, 私钥存储在该 VNF实例本地, 公钥携带在证书申请信息中发送给 该 VNF实例运行的 VM。
需要说明的是, 由于该 VNF实例运行在 VM上,认定该 VNF实例与 VM 之间建立了信任链路。
由于 VM与 VIM之间建立了安全的信任链接, VM在接收到 VNF实例 书申请代理消息。
其中, 所述证书申请代理消息中包含了用于申请证书的证书申请信息。 所述 VIM在接收到证书申请代理消息时, 将所述证书申请代理消息转发 给 VNFM , 由 VNFM作为证书申请代理者, 向证书认证中心 CA申请证书。
需要说明的是, VNFM预先与证书认证中心 CA建立可信安全的传输通 道。
步骤 202: 所述 VNFM向证书认证中心 CA发送证书申请消息。
其中, 所述证书申请信息中包含了用于申请证书的证书申请信息。 步骤 203: 所述 VNFM接收所述 CA签发的证书, 并将所述证书发送给 所述 VIM。
其中,所述证书是所述 CA根据所述证书申请消息中包含了用于申请证书 的证书申请信息生成的。
在步骤 203中, 所述 VNFM接收所述 CA签发的证书, 并将所述证书发 送给所述 VIM后, 由所述 VIM利用与 VM之间的传输通道将所述证书发送 给 VM, 再由 VM发送给 VNF实例, 使得 VNF实例通过本地存储的私钥对 接收到证书进行验证, 并在验证通过时, 利用所述证书建立与 VNFM之间的 管理通道。
通过本发明实施例二的方案, 实例化的 VNF实例利用 VM与 VIM之间 的可信安全的传输通道将证书申请代理信息发送给 VNFM, 再通过 VNFM与 证书认证中心之间的信任链路申请证书认证中心签发的证书, 有效保证了 VNF实例申请证书的合法性, 进一步确保了 VNF实例与 VNFM之间利用证 书认证中心签发的证书建立的管理通道的安全性。
实施例三:
如图 3所示, 为本发明实施例三提供的一种证书获取方法的流程示意图。 所述方法可以如下所述。
本发明实施例三实施例的前提是 NFVO在确定实例化 VNF实例时 ,从证 书认证中心 CA处申请一个临时证书, 该临时证书用于 VNF实例申请合法证 书。
需要说明的是, NFVO确定实例化 VNF实例过程中, NFVO, VIM, NFVI 之间建立可信的传输通道, 使得实例化 VNF实例的过程不会被攻击, 且传输 的临时证书不会被泄露。
步骤 301 : 证书认证中心 CA接收虚拟化网络功能 VNF实例发送的证书 申请消息。
其中 , 所述证书申请消息中包含了临时证书和用于申请证书的证书申请 信息, 所述临时证书是由虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实例时从所述 CA中申请的 ,并经由 VNF框架中管理虚拟基础设施 VIM, 需要说明的是, 证书申请信息至少包含了: 证书格式、 域名、 证书认证 中心信息等。
在步骤 301中, 在虚拟网络中, 完成对 VNF实例化后, 为了确保实例化 VNF实例与其他虚拟网元之间通信的安全性,需要为实例化的 VNF实例申请 证书。
具体地, NFVO在接收到实例化 VNF实例指令时, 将实例化 VNF指令 中发送给 VIM, 由 VIM将实例化 VNF指令发送给 NFVI, 请求 NFVI为该 VNF实例分配 VM, 完成 VNF实例化。
其中, 所述实例化 VNF指令中包含了 VNF实例的初始化参数。
NFVI给该 VNF实例分配 VM以及完成该 VNF实例化时,将实例化 VNF 指令中包含的 VNF实例的初始化参数注入该 VNF实例。
此时, 该 VNF实例根据初始化参数得到证书申请信息。
所述初始化参数包含了 CA信息、证书管理域的域名。 由虚拟化功能网络 编排器 NFVO确定实例化所述 VNF实例时生成, 并由 NFVI给该 VNF实例 分配 VM以及完成该 VNF实例化时注入。
该 VNF实例根据初始化参数生成用于申请证书的公私密钥对。
其中, 私钥存储在该 VNF实例本地。
公钥携带在证书申请信息中发送给证书认证中心 CA。
需要说明的是, 该 VNF实例根据注入的证书认证中心 CA, 将临时证书 以及用于申请证书的证书申请信息携带在证书申请消息中发送给所述 CA。
步骤 302: 所述 CA利用所述临时证书对所述 VNF实例进行认证, 并在 认证通过时, 根据所述证书申请消息中包含的用于申请证书的证书申请信息, 签发证书给所述 VNF实例。
在步骤 302中,所述 CA在接收到证书申请消息时,利用证书申请消息中 包含的临时证书对 VNF实例进行认证 , 并在认证通过时 , 根据所述证书申请 消息中包含的用于申请证书的证书申请信息, 签发证书给所述 VNF实例。 在本发明实施例中, 所述方法还包括:
所述 VNF实例获取证书之后, 通过本地存储的私钥对接收到证书进行验 证, 并在验证通过时 , 利用所述证书建立与 VNFM之间的管理通道。
通过本发明实施例三的方案,实例化的 VNF实例利用 NFVO确定实例化 VNF实例时申请的临时证书, 与 CA之间建立了申请证书的可信通道, 有效 保证了 VNF实例申请证书的合法性, 进一步确保了 VNF实例与 VNFM之间 利用证书认证中心签发的证书建立的管理通道的安全性。
实施例四:
如图 4所示, 为本发明实施例四提供的一种证书获取方法的流程示意图。 所述方法可以如下所述。
本发明实施例四具体描述 VM与 VMM或者 VIM之间建立管理通道的方 法。
步骤 401:虚拟网络功能基础设备 NFVI接收虚拟机 VM发送的证书申请 消息。
其中, 所述证书申请消息中包含了用于申请证书的证书申请信息。
需要说明的是, 证书申请信息至少包含了: 证书格式、 域名、 证书认证 中心信息等。
在步骤 401中, 在虚拟网络中, 完成对 VNF实例化后, 为了确保实例化 VNF实例与其他虚拟网元之间通信的安全性,需要为实例化的 VNF实例申请 证书。
由于 VFN实例运行的虚拟资源 VM是在需要实例化 VNF实例时分配的, 因此, 在分配 VM之后, 需要建立 VM与 VMM之间的管理通道, 这样保证 了 VM的合法性, 进而使得 VNF实例的合法性增强。
具体地, NFVO在接收到实例化 VNF实例指令时, 将实例化 VNF指令 中发送给 VIM, 由 VIM将实例化 VNF指令发送给 NFVI, 请求 NFVI为该 VNF实例分配 VM, 完成 VNF实例化。 NFVI根据实例化 VNF指令为 VNF实例分配 VM。
其中, VIM向 NFVI发送请求分配虚拟资源信息, 其中, 所述请求分配 虚拟资源信息中包含了证书申请的初始化参数等。
NFVI根据实例化 VNF指令为 VNF实例分配 VM后,将证书申请的初始 化参数注入 VM。
VM启动时, 根据初始化参数生成公私密钥对。
所述初始化参数包含了 CA信息、证书管理域的域名, 由虚拟网络功能框 架中管理虚拟基础设施 VIM在接收到虚拟化功能网络编排器 NFVO发送的生 成所述 VM时得到。
其中, 私钥存储在 VM本地, 公钥用于申请证书, 携带在证书申请信息 中。
此时, VM向 NFVI发送证书申请消息。
步骤 402: 所述 NFVI向证书认证中心 CA发送证书申请代理消息。
其中, 所述证书申请代理消息中包含了所述 VM用于申请证书的证书申 请信息。
在步骤 402中,所述 NFVI向证书认证中心 CA发送证书申请代理消息的 方式包括但不限于:
第一种方式:
所述 NFVI与证书认证中心 CA之间预先建立可信的传输通道, 此时, 所 述 NFVI直接向证书认证中心 CA发送证书申请代理消息。
第二种方式:
所述 VIM与证书认证中心 CA之间预先建立可信的传输通道。
所述 NFVI向虚拟网络功能框架中管理虚拟基础设施 VIM发送证书申请 代理消息, 并由所述 VIM将所述证书申请代理消息转发至证书认证中心 CA。
如图 5所示, 为一种证书获取方法的流程示意图。
具体地, 所述 NFVI在接收到 VM发送证书申请消息, 生成证书申请代 理消息, 并将该证书申请代理消息发送给 VIM, 由所述 VIM将所述证书申请 代理消息转发至证书认证中心 CA。
步骤 403: 所述 NFVI接收所述 CA签发的证书, 并将所述证书发送给所 述 VM。
其中,所述证书由所述 CA根据所述证书申请代理消息中包含了所述 VM 用于申请证书的证书申请信息生成的。
在步骤 403中, 所述方法还包括:
在所述 VM接收到所述证书时, 通过本地存储的私钥对接收到证书进行 验证, 并在验证通过时, 建立所述 VM与所述 VM的管理设备 ( VMM )之间 建立的管理通道。
通过本发明实施例四的方案, VM通过证书申请代理方式申请到合法证 书,并建立与 VMM或 VIM之间可信的传输通道,为确保 VNF实例与 VNFM 之间利用证书认证中心签发的证书建立可信的管理通道作了铺垫, 有效提升 了 VNF实例与 VNFM之间管理通道的安全性。
实施例五:
如图 6所示, 为本发明实施例五提供的一种证书获取设备的结构示意图, 所述设备包括: 接收模块 61和发送模块 62, 其中:
接收模块 61 , 用于接收 VNF实例发送的证书申请代理消息, 其中, 所述 证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息, 所述 验证信息用于在所述 VNF实例与虚拟化网络功能 VNF管理设备 VNFM之间 建立代理申请证书通道;
发送模块 62, 用于利用所述接收模块 61 接收到的所述验证信息对所述 VNF实例进行验证, 并在验证通过时, 向证书认证中心 CA发送证书申请消 息, 其中, 所述证书申请消息中包含了用于申请证书的证书申请信息;
所述接收模块 61 , 还用于接收所述 CA签发的证书;
所述发送模块 62,还用于将所述接收模块 61接收到的所述证书发送给所 述 VNF实例, 其中, 所述证书是所述 CA根据所述证书申请消息中包含了用 于申请证书的证书申请信息生成的。 可选地, 所述验证信息为临时证书, 其中, 所述临时证书是由虚拟化功 能网络编排器 NFVO确定需要实例化所述 VNF实例时从所述 VNFM中申请 的 , 并经由 VNF框架中管理虚拟基础设施 VIM, NFV基础设施 NFVI和所述 VNF运行的虚拟机 VM传输至所述 VNF实例的。
所述发送模块 62, 具体用于将接收到的临时证书与 NFVO确定需要实例 化所述 VNF实例时从所述 VNFM中申请的临时证书进行比较;
在确定接收到的临时证书与 NFVO确定需要实例化所述 VNF实例时从所 述 VNFM中申请的临时证书相同时, 确定对所述 VNF实例的验证通过; 在确定接收到的临时证书与 NFVO确定需要实例化所述 VNF实例时从所 述 VNFM中申请的临时证书不相同时, 确定对所述 VNF实例的验证未通过。
可选地, 所述验证信息为预共享密钥 PSK, 其中, 所述 PSK是由虚拟化 功能网络编排器 NFVO确定需要实例化所述 VNF实例时生成的,并经由 VNF 框架中管理虚拟基础设施 VIM, NFV基础设施 NFVI和所述 VNF运行的虚拟 机 VM传输至所述 VNF实例的。
所述接收模块 61 , 具体用于向所述 VNF实例发送 PSK, 并接收 VNF实 例发送的证书申请代理消息, 其中, 所述证书申请代理消息是所述 VNF实例 在确定本地注入的 PSK与接收到的所述 VNFM发送的 PSK相同或关联时向 所述 VNFM发送的。
所述发送模块 62,具体用于将接收到的 PSK与 NFVO确定需要实例化所 述 VNF实例时签发的 PSK进行比较;
在确定接收到的 PSK与 NFVO确定需要实例化所述 VNF实例时签发的 PSK相同或关联时 , 确定对所述 VNF实例的验证通过;
在确定接收到的 PSK与 NFVO确定需要实例化所述 VNF实例时签发的 PSK不相同或不关联时, 确定对所述 VNF实例的验证未通过。
可选地, 所述设备还包括: 通道建立模块 63 , 其中:
通道建立模块 63 , 用于在将所述证书发送给所述 VNF实例时, 利用所述 证书建立与所述 VNF实例之间的管理通道。 需要说明的是, 本发明实施例中所述的设备可以是虚拟系统中的虚拟化 网络功能 VNF管理设备 VNFM , 具备了为 VNF实例代理申请证书的功能, 实现方式可以通过硬件实现, 也可以通过软件方式实现, 这里不做限定。
实施例六:
如图 7所示, 为本发明实施例六提供的一种证书获取设备的结构示意图, 所述设备包括: 接收模块 71和发送模块 72, 其中:
接收模块 71 , 用于接收 VNF框架中管理虚拟基础设施 VIM发送证书申 请代理消息, 其中, 所述证书申请代理消息中包含了请求申请证书的 VNF实 发送模块 72, 用于向证书认证中心 CA发送证书申请消息, 其中, 所述 证书申请消息中包含了所述接收模块 71接收到的所述 VNF实例用于申请证 书的证书申请信息;
所述接收模块 71 , 还用于接收所述 CA签发的证书;
所述发送模块 72,还用于将所述接收模块 71接收到的所述证书发送给所 述 VIM,其中 ,所述证书是所述 CA根据所述证书申请信息中包含了所述 VNF 实例用于申请证书的证书申请信息生成的。
可选地, 所述证书申请代理消息是由所述 VIM根据接收到的证书申请信 息生成的, 其中, 所述证书申请信息由所述 VNF实例根据初始化参数得到, 并由所述 VNF实例发送给所述 VM, 再由所述 VM通过与所述 VIM之间的 安全通道发送给所述 VIM的。
可选地, 所述初始化参数包含了 CA信息、证书管理域的域名, 由虚拟化 功能网络编排器 NFVO确定实例化所述 VNF实例时得到。
需要说明的是, 本发明实施例中所述的设备可以是虚拟系统中的虚拟化 网络功能 VNF管理设备 VNFM , 具备了为 VNF实例代理申请证书的功能, 实现方式可以通过硬件实现, 也可以通过软件方式实现, 这里不做限定。
实施例七:
如图 8所示, 为本发明实施例提供的一种证书获取设备的结构示意图, 所述设备包括: 接收模块 81和签发模块 82, 其中:
接收模块 81 , 用于接收虚拟化网络功能 VNF实例发送的证书申请消息, 其中, 所述证书申请消息中包含了临时证书和用于申请证书的证书申请信息, 所述临时证书是由虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实 例时从所述 CA中申请的, 并经由 VNF框架中管理虚拟基础设施 VIM, NFV 签发模块 82, 用于利用所述接收模块 81 接收到的所述临时证书对所述 VNF 实例进行认证, 并在认证通过时, 根据所述证书申请消息中包含的用于 申请证书的证书申请信息, 签发证书给所述 VNF实例。
CA之外, 还可以是其他具备证书认证功能的其他设备, 这里不做限定, 实现 方式可以通过硬件实现, 也可以通过软件方式实现, 这里不做限定。
实施例八:
如图 9所示, 为本发明实施例八提供的一种证书获取设备的结构示意图, 所述设备包括: 接收模块 91和发送模块 92, 其中:
接收模块 91 , 用于接收虚拟机 VM发送的证书申请消息, 其中, 所述证 书申请消息中包含了用于申请证书的公钥;
发送模块 92, 用于向证书认证中心 CA发送证书申请代理消息, 其中, 所述证书申请代理消息中包含了所述接收模块接收到的所述 VM用于申请证 书的公钥;
所述接收模块 91 , 用于接收所述 CA签发的证书;
所述发送模块 92,用于将所述接收模块 91接收到的所述证书发送给所述 VM, 其中, 所述证书由所述 CA根据所述证书申请代理消息中包含了所述 VM用于申请证书的公钥签名得到的。
可选地, 所述发送模块 92, 具体用于向虚拟网络功能框架中管理虚拟基 础设施 VIM发送证书申请代理消息,并由所述 VIM将所述证书申请代理消息 转发至证书认证中心 CA。 可选地, 所述设备还包括: 通道建立模块 93 , 其中:
通道建立模块 93 , 用于在所述 VM接收到所述证书时, 建立所述 VM与 所述 VM的管理设备之间的管理通道。
可选地, 所述公钥由所述 VM根据初始化参数生成, 其中, 所述初始化 参数包含了 CA信息、证书管理域的域名, 由虚拟网络功能框架中管理虚拟基 础设施 VIM在接收到虚拟化功能网络编排器 NFVO发送的生成所述 VM时得 到。
需要说明的是, 本发明实施例中所述的设备可以是虚拟网络功能基础设 备 NFVI, 具备了为 VM代理申请证书的功能, 实现方式可以通过硬件实现, 也可以通过软件方式实现, 这里不做限定。
实施例九:
如图 10所示,为本发明实施例九提供的一种证书获取设备的结构示意图, 所述设备包括: 信号接收器 1011和信号发射器 1012, 其中: 信号接收器 1011 和信号发射器 1012通过通信总线 1013进行通信。
信号接收器 1011 , 用于接收 VNF实例发送的证书申请代理消息, 其中, 所述证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息, 所述验证信息用于在所述 VNF实例与虚拟化网络功能 VNF管理设备 VNFM 之间建立代理申请证书通道;
信号发射器 1012, 用于利用所述验证信息对所述 VNF实例进行验证, 并 在验证通过时, 向证书认证中心 CA发送证书申请消息, 其中, 所述证书申请 消息中包含了用于申请证书的证书申请信息;
所述信号接收器 1011 , 还用于接收所述 CA签发的证书;
所述信号发射器 1012, 还用于将所述证书发送给所述 VNF实例, 其中, 所述证书是所述 CA根据所述证书申请消息中包含了用于申请证书的证书申 请信息生成的。
可选地, 所述验证信息为临时证书, 其中, 所述临时证书是由虚拟化功 能网络编排器 NFVO确定需要实例化所述 VNF实例时从所述 VNFM中申请 的 , 并经由 VNF框架中管理虚拟基础设施 VIM, NFV基础设施 NFVI和所述 VNF运行的虚拟机 VM传输至所述 VNF实例的。
所述信号发射器 1012, 具体用于将接收到的临时证书与 NFVO确定需要 实例化所述 VNF实例时从所述 VNFM中申请的临时证书进行比较;
所述 VNFM在确定接收到的临时证书与 NFVO确定需要实例化所述 VNF 实例时从所述 VNFM中申请的临时证书相同时,确定对所述 VNF实例的验证 通过;
所述 VNFM在确定接收到的临时证书与 NFVO确定需要实例化所述 VNF 实例时从所述 VNFM中申请的临时证书不相同时,确定对所述 VNF实例的验 证未通过。
可选地, 所述验证信息为预共享密钥 PSK, 其中, 所述 PSK是由虚拟化 功能网络编排器 NFVO确定需要实例化所述 VNF实例时生成的,并经由 VNF 框架中管理虚拟基础设施 VIM, NFV基础设施 NFVI和所述 VNF运行的虚拟 机 VM传输至所述 VNF实例的。
所述信号接收器 1011 , 具体用于向所述 VNF实例发送 PSK, 并接收所述 VNF实例发送的证书申请代理消息,其中,所述证书申请代理消息是所述 VNF 实例在确定本地注入的 PSK 与接收到的所述 PSK相同或关联时, 向所述 VNFM发送的。
所述信号发射器 1012,具体用于将接收到的 PSK与 NFVO确定需要实例 化所述 VNF实例时签发的 PSK进行比较;
在确定接收到的 PSK与 NFVO确定需要实例化所述 VNF实例时签发的 PSK相同或关联时 , 确定对所述 VNF实例的验证通过;
在确定接收到的 PSK与 NFVO确定需要实例化所述 VNF实例时签发的 PSK不相同或不关联时, 确定对所述 VNF实例的验证未通过。
可选地, 所述设备还包括: 处理器 1014, 其中:
处理器 1014, 用于在将所述证书发送给所述 VNF实例时, 利用所述证书 建立与所述 VNF实例之间的管理通道。 处理器 1014 可以是一个通用中央处理器(CPU ), 微处理器, 特定应用 集成电路 ( application-specific integrated circuit, ASIC), 或一个或多个用于控 制本发明方案程序执行的集成电路。
所述通信总线 1013可包括一通路, 在上述组件之间传送信息。
需要说明的是, 本发明实施例中所述的设备可以是虚拟系统中的虚拟化 网络功能 VNF管理设备 VNFM , 具备了为 VNF实例代理申请证书的功能, 实现方式可以通过硬件实现, 也可以通过软件方式实现, 这里不做限定。
实施例十:
如图 11所示,为本发明实施例十提供的一种证书获取设备的结构示意图, 所述设备包括: 信号接收器 1111和信号发射器 1112, 其中, 所述信号接收器 1111和信号发射器 1112通过通信总线 1113连接。
信号接收器 1111 , 用于接收 VNF框架中管理虚拟基础设施 VIM发送证 书申请代理消息,其中,所述证书申请代理消息中包含了请求申请证书的 VNF 实例和所述 VNF实例用于申请证书的证书申请信息;
信号发射器 1112, 用于向证书认证中心 CA发送证书申请消息, 其中, 所述证书申请消息中包含了所述 VNF实例用于申请证书的证书申请信息; 所述信号接收器 1111 , 还用于接收所述 CA签发的证书;
所述信号发射器 1112, 还用于将所述证书发送给所述 VIM, 其中, 所述 证书是所述 CA根据所述证书申请信息中包含了所述 VNF实例用于申请证书 的证书申请信息生成的。
可选地, 所述证书申请代理消息是由所述 VIM根据接收到的证书申请信 息生成的, 其中, 所述证书申请信息由所述 VNF实例根据初始化参数得到, 并由所述 VNF实例发送给所述 VM, 再由所述 VM通过与所述 VIM之间的 安全通道发送给所述 VIM的。
可选地, 所述初始化参数包含了 CA信息、证书管理域的域名, 由虚拟化 功能网络编排器 NFVO确定实例化所述 VNF实例时得到。
需要说明的是, 本发明实施例中所述的设备可以是虚拟系统中的虚拟化 网络功能 VNF管理设备 VNFM , 具备了为 VNF实例代理申请证书的功能, 实现方式可以通过硬件实现, 也可以通过软件方式实现, 这里不做限定。
实施例十一:
如图 12所示, 为本发明实施例十一提供的一种证书获取设备的结构示意 图, 所述设备包括: 信号接收器 1211和处理器 1212, 其中, 所述信号接收器 1211和处理器 1212通过通信总线 1213连接。
信号接收器 1211 ,用于接收虚拟化网络功能 VNF实例发送的证书申请消 息, 其中, 所述证书申请消息中包含了临时证书和用于申请证书的证书申请 信息, 所述临时证书是由虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实例时从所述 CA中申请的 ,并经由 VNF框架中管理虚拟基础设施 VIM, 处理器 1212, 用于利用所述临时证书对所述 VNF实例进行认证, 并在认 证通过时, 根据所述证书申请消息中包含的用于申请证书的证书申请信息, 签发证书给所述 VNF实例。
处理器 1212 可以是一个通用中央处理器(CPU ), 微处理器, 特定应用 集成电路 ( application-specific integrated circuit, ASIC), 或一个或多个用于控 制本发明方案程序执行的集成电路。
所述通信总线 1213可包括一通路, 在上述组件之间传送信息。
CA之外, 还可以是其他具备证书认证功能的其他设备, 这里不做限定, 实现 方式可以通过硬件实现, 也可以通过软件方式实现, 这里不做限定。
实施例十二:
如图 13所示, 为本发明实施例十二提供的一种证书获取设备的结构示意 图, 所述设备包括: 信号接收器 1311和信号发射器 1312, 其中, 所述信号接 收器 1311和信号发射器 1312通过通信总线 1313连接。
信号接收器 1311 , 用于接收虚拟机 VM发送的证书申请消息, 其中, 所 述证书申请消息中包含了用于申请证书的公钥; 信号发射器 1312, 用于向证书认证中心 CA发送证书申请代理消息, 其 中, 所述证书申请代理消息中包含了所述 VM用于申请证书的公钥;
所述信号接收器 1311 , 还用于接收所述 CA签发的证书;
所述信号发射器 1312, 还用于将所述证书发送给所述 VM, 其中, 所述 证书由所述 CA根据所述证书申请代理消息中包含了所述 VM用于申请证书 的公钥签名得到的。
具体地, 所述信号发射器 1312, 具体用于向虚拟网络功能框架中管理虚 拟基础设施 VIM发送证书申请代理消息 ,并由所述 VIM将所述证书申请代理 消息转发至证书认证中心 CA。
可选地, 所述设备还包括: 处理器 1314, 其中:
处理器 1314, 用于在所述 VM接收到所述证书时, 建立所述 VM与所述 VM的管理设备之间建立的管理通道。
可选地, 所述公钥由所述 VM根据初始化参数生成, 其中, 所述初始化 参数包含了 CA信息、证书管理域的域名, 由虚拟网络功能框架中管理虚拟基 础设施 VIM在接收到虚拟化功能网络编排器 NFVO发送的生成所述 VM时得 到。
处理器 1314 可以是一个通用中央处理器(CPU ), 微处理器, 特定应用 集成电路 ( application-specific integrated circuit, ASIC), 或一个或多个用于控 制本发明方案程序执行的集成电路。
所述通信总线 1313可包括一通路, 在上述组件之间传送信息。
需要说明的是, 本发明实施例中所述的设备可以是虚拟网络功能基础设 备 NFVI, 具备了为 VM代理申请证书的功能, 实现方式可以通过硬件实现, 也可以通过软件方式实现, 这里不做限定。
本领域的技术人员应明白,本发明的实施例可提供为方法、装置(设备)、 或计算机程序产品。 因此, 本发明可釆用完全硬件实施例、 完全软件实施例、 或结合软件和硬件方面的实施例的形式。 而且, 本发明可釆用在一个或多个 其中包含有计算机可用程序代码的计算机可用存储介质 (包括但不限于磁盘 存储器、 CD-ROM、 光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、 装置 (设备)和计算机程序产 品的流程图和 /或方框图来描述的。 应理解可由计算机程序指令实现流程图和 / 或方框图中的每一流程和 /或方框、以及流程图和 /或方框图中的流程和 /或方框 的结合。 可提供这些计算机程序指令到通用计算机、 专用计算机、 嵌入式处 理机或其他可编程数据处理设备的处理器以产生一个机器, 使得通过计算机 或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个 流程或多个流程和 /或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设 备以特定方式工作的计算机可读存储器中, 使得存储在该计算机可读存储器 中的指令产生包括指令装置的制造品, 该指令装置实现在流程图一个流程或 多个流程和 /或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上, 使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的 处理, 从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图 一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例, 但本领域内的技术人员一旦得知了 基本创造性概念, 则可对这些实施例作出另外的变更和修改。 所以, 所附权 利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。 发明的精神和范围。 这样, 倘若本发明的这些修改和变型属于本发明权利要 求及其等同技术的范围之内, 则本发明也意图包含这些改动和变型在内。

Claims (1)

  1. 权 利 要 求
    1、 一种证书获取设备, 其特征在于, 包括:
    接收模块, 用于接收 VNF实例发送的证书申请代理消息, 其中, 所述证 书申请代理消息中包含了验证信息和用于申请证书的证书申请信息, 所述验 证信息用于在所述 VNF实例与虚拟化网络功能 VNF管理设备 VNFM之间建 立代理申请证书通道;
    发送模块, 用于利用所述接收模块接收到的所述验证信息对所述 VNF实 例进行验证,并在验证通过时,向证书认证中心 CA发送证书申请消息,其中, 所述证书申请消息中包含了用于申请证书的证书申请信息;
    所述接收模块, 还用于接收所述 CA签发的证书;
    所述发送模块, 还用于将所述接收模块接收到的所述证书发送给所述 VNF实例, 其中, 所述证书是所述 CA根据所述证书申请消息中包含了用于 申请证书的证书申请信息生成的。
    2、 如权利要求 1所述的设备, 其特征在于, 所述验证信息为临时证书, 其中, 所述临时证书是由虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实例时从所述 VNFM中申请的, 并经由 VNF框架中管理虚拟基础设施 VIM, NFV基础设施 NFVI和所述 VNF运行的虚拟机 VM传输至所述 VNF 实例的。
    3、 如权利要求 2所述的设备, 其特征在于,
    所述发送模块, 具体用于将接收到的临时证书与 NFVO确定需要实例化 所述 VNF实例时从所述 VNFM中申请的临时证书进行比较;
    在确定接收到的临时证书与 NFVO确定需要实例化所述 VNF实例时从所 述 VNFM中申请的临时证书相同时, 确定对所述 VNF实例的验证通过; 在确定接收到的临时证书与 NFVO确定需要实例化所述 VNF实例时从所 述 VNFM中申请的临时证书不相同时, 确定对所述 VNF实例的验证未通过。
    4、 如权利要求 1所述的设备, 其特征在于, 所述验证信息为预共享密钥 PSK, 其中, 所述 PSK是由虚拟化功能网络编排器 NFVO确定需要实例化所 述 VNF实例时生成的, 并经由 VNF框架中管理虚拟基础设施 VIM、 NFV基
    5、 如权利要求 4所述的设备, 其特征在于,
    所述接收模块, 具体用于向所述 VNF实例发送 PSK, 并接收 VNF实例 发送的证书申请代理消息, 其中, 所述证书申请代理消息是所述 VNF实例在 确定本地注入的 PSK与接收到的所述 VNFM发送的 PSK相同或关联时向所 述 VNFM发送的。
    6、 如权利要求 5所述的设备, 其特征在于, 所述发送模块, 具体用于将 接收到的 PSK与 NFVO确定需要实例化所述 VNF实例时签发的 PSK进行比 较;
    在确定接收到的 PSK与 NFVO确定需要实例化所述 VNF实例时签发的 PSK相同或关联时 , 确定对所述 VNF实例的验证通过;
    在确定接收到的 PSK与 NFVO确定需要实例化所述 VNF实例时签发的 PSK不相同或不关联时, 确定对所述 VNF实例的验证未通过。
    7、 如权利要求 1至 6任一所述的设备, 其特征在于, 所述设备还包括: 通道建立模块, 用于在将所述证书发送给所述 VNF实例时, 利用所述证 书建立与所述 VNF实例之间的管理通道。
    8、 一种证书获取设备, 其特征在于, 包括:
    接收模块, 用于接收 VNF框架中管理虚拟基础设施 VIM发送证书申请 代理消息, 其中, 所述证书申请代理消息中包含了请求申请证书的 VNF实例 发送模块, 用于向证书认证中心 CA发送证书申请消息, 其中, 所述证书 申请消息中包含了所述接收模块接收到的所述 VNF实例用于申请证书的证书 申请信息;
    所述接收模块, 还用于接收所述 CA签发的证书;
    所述发送模块, 还用于将所述接收模块接收到的所述证书发送给所述 VIM, 其中, 所述证书是所述 CA根据所述证书申请信息中包含了所述 VNF 实例用于申请证书的证书申请信息生成的。
    9、 如权利要求 8所述的设备, 其特征在于, 所述证书申请代理消息是由 所述 VIM根据接收到的证书申请信息生成的, 其中, 所述证书申请信息由所 述 VNF实例根据初始化参数得到,并由所述 VNF实例发送给所述 VM,再由
    10、 如权利要求 9所述的设备, 其特征在于, 所述初始化参数包含了 CA 信息、 证书管理域的域名, 由虚拟化功能网络编排器 NFVO确定实例化所述 VNF实例时得到。
    11、 一种证书获取设备, 其特征在于, 包括:
    接收模块, 用于接收虚拟化网络功能 VNF实例发送的证书申请消息, 其 中, 所述证书申请消息中包含了临时证书和用于申请证书的证书申请信息, 所述临时证书是由虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实 例时从所述 CA中申请的, 并经由 VNF框架中管理虚拟基础设施 VIM, NFV 签发模块, 用于利用所述接收模块接收到的所述临时证书对所述 VNF实 例进行认证, 并在认证通过时, 根据所述证书申请消息中包含的用于申请证 书的证书申请信息, 签发证书给所述 VNF实例。
    12、 一种证书获取设备, 其特征在于, 包括:
    接收模块, 用于接收虚拟机 VM发送的证书申请消息, 其中, 所述证书 申请消息中包含了用于申请证书的公钥;
    发送模块, 用于向证书认证中心 CA发送证书申请代理消息, 其中, 所述 证书申请代理消息中包含了所述接收模块接收到的所述 VM用于申请证书的 公钥;
    所述接收模块, 用于接收所述 CA签发的证书;
    所述发送模块, 用于将所述接收模块接收到的所述证书发送给所述 VM, 其中, 所述证书由所述 CA根据所述证书申请代理消息中包含了所述 VM用 于申请证书的公钥签名得到的。
    13、 如权利要求 12所述的设备, 其特征在于,
    所述发送模块, 具体用于向虚拟网络功能框架中管理虚拟基础设施 VIM 发送证书申请代理消息, 并由所述 VIM将所述证书申请代理消息转发至证书 认证中心 CA。
    14、 如权利要求 12或 13所述的设备, 其特征在于, 所述设备还包括: 通道建立模块, 用于在所述 VM接收到所述证书时, 建立所述 VM与所 述 VM的管理设备之间的管理通道。
    15、 如权利要求 12至 14任一所述的设备, 其特征在于, 所述公钥由所 述 VM根据初始化参数生成, 其中, 所述初始化参数包含了 CA信息、 证书 管理域的域名, 由虚拟网络功能框架中管理虚拟基础设施 VIM在接收到虚拟 化功能网络编排器 NFVO发送的生成所述 VM时得到。
    16、 一种证书获取设备, 其特征在于, 包括:
    信号接收器, 用于接收 VNF实例发送的证书申请代理消息, 其中, 所述 证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息, 所述 验证信息用于在所述 VNF实例与虚拟化网络功能 VNF管理设备 VNFM之间 建立代理申请证书通道;
    信号发射器, 用于利用所述验证信息对所述 VNF实例进行验证, 并在验 证通过时, 向证书认证中心 CA发送证书申请消息, 其中, 所述证书申请消息 中包含了用于申请证书的证书申请信息;
    所述信号接收器, 还用于接收所述 CA签发的证书;
    所述信号发射器, 还用于将所述证书发送给所述 VNF实例, 其中, 所述 证书是所述 CA根据所述证书申请消息中包含了用于申请证书的证书申请信 息生成的。
    17、如权利要求 16所述的设备,其特征在于, 所述验证信息为临时证书, 其中, 所述临时证书是由虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实例时从所述 VNFM中申请的, 并经由 VNF框架中管理虚拟基础设施 VIM, NFV基础设施 NFVI和所述 VNF运行的虚拟机 VM传输至所述 VNF 实例的。
    18、 如权利要求 17所述的设备, 其特征在于,
    所述信号发射器, 具体用于将接收到的临时证书与 NFVO确定需要实例 化所述 VNF实例时从所述 VNFM中申请的临时证书进行比较;
    所述 VNFM在确定接收到的临时证书与 NFVO确定需要实例化所述 VNF 实例时从所述 VNFM中申请的临时证书相同时,确定对所述 VNF实例的验证 通过;
    所述 VNFM在确定接收到的临时证书与 NFVO确定需要实例化所述 VNF 实例时从所述 VNFM中申请的临时证书不相同时,确定对所述 VNF实例的验 证未通过。
    19、 如权利要求 16所述的设备, 其特征在于, 所述验证信息为预共享密 钥 PSK, 其中, 所述 PSK是由虚拟化功能网络编排器 NFVO确定需要实例化 所述 VNF实例时生成的, 并经由 VNF框架中管理虚拟基础设施 VIM、 NFV
    20、 如权利要求 19所述的设备, 其特征在于,
    所述信号接收器,具体用于向所述 VNF实例发送 PSK, 并接收所述 VNF 实例发送的证书申请代理消息, 其中, 所述证书申请代理消息是所述 VNF实 例在确定本地注入的 PSK与接收到的所述 PSK相同或关联时,向所述 VNFM 发送的。
    21、 如权利要求 20所述的设备, 其特征在于,
    所述信号发射器, 具体用于将接收到的 PSK与 NFVO确定需要实例化所 述 VNF实例时签发的 PSK进行比较;
    在确定接收到的 PSK与 NFVO确定需要实例化所述 VNF实例时签发的 PSK相同或关联时 , 确定对所述 VNF实例的验证通过;
    在确定接收到的 PSK与 NFVO确定需要实例化所述 VNF实例时签发的 PSK不相同或不关联时, 确定对所述 VNF实例的验证未通过。 22、 如权利要求 16至 21任一所述的设备, 其特征在于, 所述设备还包 处理器, 用于在将所述证书发送给所述 VNF实例时, 利用所述证书建立 与所述 VNF实例之间的管理通道。
    23、 一种证书获取设备, 其特征在于, 包括:
    信号接收器, 用于接收 VNF框架中管理虚拟基础设施 VIM发送证书申 请代理消息, 其中, 所述证书申请代理消息中包含了请求申请证书的 VNF实 信号发射器, 用于向证书认证中心 CA发送证书申请消息, 其中, 所述证 书申请消息中包含了所述 VNF实例用于申请证书的证书申请信息;
    所述信号接收器, 还用于接收所述 CA签发的证书;
    所述信号发射器, 还用于将所述证书发送给所述 VIM, 其中, 所述证书 是所述 CA根据所述证书申请信息中包含了所述 VNF实例用于申请证书的证 书申请信息生成的。
    24、 如权利要求 23所述的设备, 其特征在于, 所述证书申请代理消息是 由所述 VIM根据接收到的证书申请信息生成的, 其中, 所述证书申请信息由 所述 VNF实例根据初始化参数得到,并由所述 VNF实例发送给所述 VM,再
    25、 如权利要求 24 所述的设备, 其特征在于, 所述初始化参数包含了 CA信息、证书管理域的域名, 由虚拟化功能网络编排器 NFVO确定实例化所 述 VNF实例时得到。
    26、 一种证书获取设备, 其特征在于, 包括:
    信号接收器, 用于接收虚拟化网络功能 VNF实例发送的证书申请消息, 其中, 所述证书申请消息中包含了临时证书和用于申请证书的证书申请信息, 所述临时证书是由虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实 例时从所述 CA中申请的, 并经由 VNF框架中管理虚拟基础设施 VIM, NFV 基础设施 NFVI和 处理器, 用于利用所述临时证书对所述 VNF实例进行认证, 并在认证通 过时, 根据所述证书申请消息中包含的用于申请证书的证书申请信息, 签发 证书给所述 VNF实例。
    27、 一种证书获取设备, 其特征在于, 包括:
    信号接收器, 用于接收虚拟机 VM发送的证书申请消息, 其中, 所述证 书申请消息中包含了用于申请证书的公钥;
    信号发射器, 用于向证书认证中心 CA发送证书申请代理消息, 其中, 所 述证书申请代理消息中包含了所述 VM用于申请证书的公钥;
    所述信号接收器, 还用于接收所述 CA签发的证书;
    所述信号发射器, 还用于将所述证书发送给所述 VM, 其中, 所述证书由 所述 CA根据所述证书申请代理消息中包含了所述 VM用于申请证书的公钥 签名得到的。
    28、 如权利要求 27所述的设备, 其特征在于,
    所述信号发射器, 具体用于向虚拟网络功能框架中管理虚拟基础设施 VIM发送证书申请代理消息,并由所述 VIM将所述证书申请代理消息转发至 证书认证中心 CA。
    29、 如权利要求 27或 28所述的设备, 其特征在于, 所述设备还包括: 处理器, 用于在所述 VM接收到所述证书时, 建立所述 VM与所述 VM 的管理设备之间建立的管理通道。
    30、 如权利要求 27至 29任一所述的设备, 其特征在于, 所述公钥由所 述 VM根据初始化参数生成, 其中, 所述初始化参数包含了 CA信息、 证书 管理域的域名, 由虚拟网络功能框架中管理虚拟基础设施 VIM在接收到虚拟 化功能网络编排器 NFVO发送的生成所述 VM时得到。
    31、 一种证书获取方法, 其特征在于, 包括:
    虚拟化网络功能管理设备 VNFM接收 VNF实例发送的证书申请代理消 息, 其中, 所述证书申请代理消息中包含了验证信息和用于申请证书的证书 申请信息,所述验证信息用于在所述 VNF实例与所述 VNFM之间建立代理申 请证书通道;
    所述 VNFM利用所述验证信息对所述 VNF实例进行验证,并在验证通过 时, 向证书认证中心 CA发送证书申请消息, 其中, 所述证书申请消息中包含 了用于申请证书的证书申请信息;
    所述 VNFM接收所述 CA签发的证书,并将所述证书发送给所述 VNF实 例,其中,所述证书是所述 CA根据所述证书申请消息中包含了用于申请证书 的证书申请信息生成的。
    32、如权利要求 31所述的方法,其特征在于, 所述验证信息为临时证书, 其中, 所述临时证书是由虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实例时从所述 VNFM中申请的, 并经由 VNF框架中管理虚拟基础设施 VIM, NFV基础设施 NFVI和所述 VNF运行的虚拟机 VM传输至所述 VNF 实例的。
    33、如权利要求 32所述的方法, 其特征在于, 所述 VNFM利用所述验证 信息对所述 VNF实例进行验证, 包括:
    所述 VNFM将接收到的临时证书与 NFVO确定需要实例化所述 VNF实 例时从所述 VNFM中申请的临时证书进行比较;
    所述 VNFM在确定接收到的临时证书与 NFVO确定需要实例化所述 VNF 实例时从所述 VNFM中申请的临时证书相同时,确定对所述 VNF实例的验证 通过;
    所述 VNFM在确定接收到的临时证书与 NFVO确定需要实例化所述 VNF 实例时从所述 VNFM中申请的临时证书不相同时,确定对所述 VNF实例的验 证未通过。
    34、 如权利要求 31所述的方法, 其特征在于, 所述验证信息为预共享密 钥 PSK, 其中, 所述 PSK是由虚拟化功能网络编排器 NFVO确定需要实例化 所述 VNF实例时生成的, 并经由 VNF框架中管理虚拟基础设施 VIM、 NFV
    35、 如权利要求 34所述的方法, 其特征在于, 所述虚拟化网络功能 VNF 管理设备 VNFM接收 VNF实例发送的证书申请代理消息, 包括: 所述 VNFM向所述 VNF实例发送 PSK, 并接收 VNF实例发送的证书申 请代理消息, 其中, 所述证书申请代理消息是所述 VNF实例在确定本地注入 的。
    36、如权利要求 35所述的方法, 其特征在于, 所述 VNFM利用所述验证 信息对所述 VNF实例进行验证, 包括:
    所述 VNFM将接收到的 PSK与 NFVO确定需要实例化所述 VNF实例时 签发的 PSK进行比较;
    所述 VNFM在确定接收到的 PSK与 NFVO确定需要实例化所述 VNF实 例时签发的 PSK相同或关联时, 确定对所述 VNF实例的验证通过;
    所述 VNFM在确定接收到的 PSK与 NFVO确定需要实例化所述 VNF实 例时签发的 PSK不相同或不关联时, 确定对所述 VNF实例的验证未通过。
    37、 如权利要求 31至 36任一所述的方法, 其特征在于, 所述方法还包 括:
    所述 VNFM在将所述证书发送给所述 VNF实例时,利用所述证书建立与 所述 VNF实例之间的管理通道。
    38、 一种证书获取方法, 其特征在于, 包括:
    虚拟化网络功能 VNF管理设备 VNFM接收 VNF框架中管理虚拟基础设 施 VIM发送证书申请代理消息, 其中, 所述证书申请代理消息中包含了请求 申请证书的 VNF实例和所述 VNF实例用于申请证书的证书申请信息;
    所述 VNFM向证书认证中心 CA发送证书申请消息, 其中, 所述证书申 请消息中包含了所述 VNF实例用于申请证书的证书申请信息;
    所述 VNFM接收所述 CA签发的证书, 并将所述证书发送给所述 VIM, 其中, 所述证书是所述 CA根据所述证书申请信息中包含了所述 VNF实例用 于申请证书的证书申请信息生成的。
    39、 如权利要求 38所述的方法, 其特征在于, 所述证书申请代理消息是 由所述 VIM根据接收到的证书申请信息生成的, 其中, 所述证书申请信息由 所述 VNF实例根据初始化参数得到,并由所述 VNF实例发送给所述 VM,再
    40、 如权利要求 39 所述的方法, 其特征在于, 所述初始化参数包含了 CA信息、证书管理域的域名, 由虚拟化功能网络编排器 NFVO确定实例化所 述 VNF实例时得到。
    41、 一种证书获取方法, 其特征在于, 包括:
    证书认证中心 CA接收虚拟化网络功能 VNF实例发送的证书申请消息, 其中, 所述证书申请消息中包含了临时证书和用于申请证书的证书申请信息, 所述临时证书是由虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实 例时从所述 CA中申请的, 并经由 VNF框架中管理虚拟基础设施 VIM, NFV 所述 CA利用所述临时证书对所述 VNF实例进行认证,并在认证通过时 , 根据所述证书申请消息中包含的用于申请证书的证书申请信息, 签发证书给 所述 VNF实例。
    42、 一种证书的获取方法, 其特征在于, 包括:
    虚拟网络功能基础设备 NFVI接收虚拟机 VM发送的证书申请消息, 其 中, 所述证书申请消息中包含了用于申请证书的公钥;
    所述 NF VI向证书认证中心 CA发送证书申请代理消息, 其中, 所述证书 申请代理消息中包含了所述 VM用于申请证书的公钥;
    所述 NFVI接收所述 CA签发的证书, 并将所述证书发送给所述 VM, 其 中, 所述证书由所述 CA根据所述证书申请代理消息中包含了所述 VM用于 申请证书的公钥签名得到的。
    43、 如权利要求 42所述的方法, 其特征在于, 所述 NFVI向证书认证中 心 CA发送证书申请代理消息, 包括:
    所述 NFVI向虚拟网络功能框架中管理虚拟基础设施 VIM发送证书申请 代理消息, 并由所述 VIM将所述证书申请代理消息转发至证书认证中心 CA。 44、 如权利要求 42或 43所述的方法, 其特征在于, 所述方法还包括: 在所述 VM接收到所述证书时, 建立所述 VM与所述 VM的管理设备之 间建立的管理通道。
    45、 如权利要求 42至 44任一所述的方法, 其特征在于, 所述公钥由所 述 VM根据初始化参数生成, 其中, 所述初始化参数包含了 CA信息、 证书 管理域的域名, 由虚拟网络功能框架中管理虚拟基础设施 VIM在接收到虚拟 化功能网络编排器 NFVO发送的生成所述 VM时得到。
CN201480011377.5A 2014-05-08 2014-05-08 一种证书获取方法和设备 Active CN105284091B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2014/077075 WO2015168914A1 (zh) 2014-05-08 2014-05-08 一种证书获取方法和设备

Publications (2)

Publication Number Publication Date
CN105284091A true CN105284091A (zh) 2016-01-27
CN105284091B CN105284091B (zh) 2018-06-15

Family

ID=54392000

Family Applications (2)

Application Number Title Priority Date Filing Date
CN201480011377.5A Active CN105284091B (zh) 2014-05-08 2014-05-08 一种证书获取方法和设备
CN201580024220.0A Active CN106464495B (zh) 2014-05-08 2015-03-19 一种证书获取方法和设备

Family Applications After (1)

Application Number Title Priority Date Filing Date
CN201580024220.0A Active CN106464495B (zh) 2014-05-08 2015-03-19 一种证书获取方法和设备

Country Status (8)

Country Link
US (1) US10225246B2 (zh)
EP (1) EP3133789B1 (zh)
JP (1) JP6299047B2 (zh)
KR (1) KR101942412B1 (zh)
CN (2) CN105284091B (zh)
BR (1) BR112016026035B1 (zh)
RU (1) RU2658172C2 (zh)
WO (2) WO2015168914A1 (zh)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106302394A (zh) * 2016-07-26 2017-01-04 京信通信技术(广州)有限公司 安全通道建立方法和系统
CN107302544A (zh) * 2017-08-15 2017-10-27 迈普通信技术股份有限公司 证书申请方法、无线接入控制设备及无线接入点设备
WO2018120042A1 (zh) * 2016-12-30 2018-07-05 华为技术有限公司 一种凭据分发的方法和设备
CN108809907A (zh) * 2017-05-04 2018-11-13 华为技术有限公司 一种证书请求消息发送方法、接收方法和装置
CN110115012A (zh) * 2016-12-30 2019-08-09 华为技术有限公司 一种秘密信息的分发方法和设备
CN110445614A (zh) * 2019-07-05 2019-11-12 阿里巴巴集团控股有限公司 证书申请方法、装置、终端设备、网关设备和服务器
CN110769393A (zh) * 2019-11-07 2020-02-07 公安部交通管理科学研究所 一种车路协同的身份认证系统及方法
CN110943996A (zh) * 2019-12-03 2020-03-31 迈普通信技术股份有限公司 一种业务加解密的管理方法、装置及系统
US11095460B2 (en) 2019-07-05 2021-08-17 Advanced New Technologies Co., Ltd. Certificate application operations
CN113966625A (zh) * 2019-07-17 2022-01-21 瑞典爱立信有限公司 用于核心网络域中的证书处理的技术
WO2023246287A1 (zh) * 2022-06-23 2023-12-28 中兴通讯股份有限公司 安全通道建立方法、系统及存储介质

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015168913A1 (zh) 2014-05-08 2015-11-12 华为技术有限公司 一种证书获取方法和设备
JP6299047B2 (ja) * 2014-05-08 2018-03-28 華為技術有限公司Huawei Technologies Co.,Ltd. 証明取得方法及び装置
US9386001B1 (en) 2015-03-02 2016-07-05 Sprint Communications Company L.P. Border gateway protocol (BGP) communications over trusted network function virtualization (NFV) hardware
US9578008B2 (en) * 2015-05-11 2017-02-21 Intel Corporation Technologies for secure bootstrapping of virtual network functions
US10069844B2 (en) 2016-07-21 2018-09-04 Sprint Communications Company L.P. Virtual network function (VNF) hardware trust in a network function virtualization (NFV) software defined network (SDN)
WO2018040095A1 (zh) * 2016-09-05 2018-03-08 华为技术有限公司 一种生成安全凭证的方法和设备
US10318723B1 (en) * 2016-11-29 2019-06-11 Sprint Communications Company L.P. Hardware-trusted network-on-chip (NOC) and system-on-chip (SOC) network function virtualization (NFV) data communications
CN108540301B (zh) * 2017-03-03 2021-01-12 华为技术有限公司 一种预置账户的密码初始化方法及相关设备
CN109286494B (zh) * 2017-07-20 2020-10-23 华为技术有限公司 一种虚拟网络功能vnf的初始化凭据生成方法及设备
CN109905252B (zh) * 2017-12-07 2022-06-07 华为技术有限公司 建立虚拟网络功能实例的方法和装置
US10762193B2 (en) * 2018-05-09 2020-09-01 International Business Machines Corporation Dynamically generating and injecting trusted root certificates
WO2019072267A2 (en) 2018-11-07 2019-04-18 Alibaba Group Holding Limited COMMUNICATION MANAGEMENT BETWEEN CONSENSUS NODES AND CLIENT NODES
US11522721B2 (en) * 2020-04-07 2022-12-06 Verizon Patent And Licensing Inc. System and method for establishing dynamic trust credentials for network functions
CN113872765B (zh) * 2020-06-30 2023-02-03 华为技术有限公司 身份凭据的申请方法、身份认证的方法、设备及装置
US11436127B1 (en) * 2020-09-10 2022-09-06 Cisco Technology, Inc. Automated validation and authentication of software modules
CN115942314A (zh) * 2021-08-06 2023-04-07 华为技术有限公司 一种证书管理方法和装置
WO2023213590A1 (en) * 2022-05-05 2023-11-09 Telefonaktiebolaget Lm Ericsson (Publ) Security certificate management during network function (nf) lifecycle

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102663290A (zh) * 2012-03-23 2012-09-12 中国科学院软件研究所 一种基于虚拟机的数字版权保护方法
CN103036854A (zh) * 2011-09-30 2013-04-10 中国移动通信集团公司 业务订购方法及系统、业务权限认证方法、终端设备
US20130298210A1 (en) * 2012-05-02 2013-11-07 Microsoft Corporation Certificate based connection to cloud virtual machine

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1379045B1 (en) * 2002-07-01 2007-10-10 Telefonaktiebolaget LM Ericsson (publ) Arrangement and method for protecting end user data
RU2371757C2 (ru) * 2003-08-21 2009-10-27 Майкрософт Корпорейшн Системы и способы моделирования данных в основанной на предметах платформе хранения
JP2005086445A (ja) * 2003-09-08 2005-03-31 Nooza:Kk ネットワーク構築方法、ネットワーク構築装置、およびネットワーク構築プログラム
US7321970B2 (en) * 2003-12-30 2008-01-22 Nokia Siemens Networks Oy Method and system for authentication using infrastructureless certificates
US7467303B2 (en) * 2004-03-25 2008-12-16 International Business Machines Corporation Grid mutual authorization through proxy certificate generation
JP2006246272A (ja) * 2005-03-07 2006-09-14 Fuji Xerox Co Ltd 証明書取得システム
JP4846464B2 (ja) * 2006-06-21 2011-12-28 日本電信電話株式会社 複数公開鍵の証明書を発行及び検証するシステム、並びに、複数公開鍵の証明書を発行及び検証する方法
US20080066181A1 (en) 2006-09-07 2008-03-13 Microsoft Corporation DRM aspects of peer-to-peer digital content distribution
US8214635B2 (en) * 2006-11-28 2012-07-03 Cisco Technology, Inc. Transparent proxy of encrypted sessions
CN100488099C (zh) * 2007-11-08 2009-05-13 西安西电捷通无线网络通信有限公司 一种双向接入认证方法
KR100910378B1 (ko) * 2008-10-06 2009-08-04 주식회사 오엘콥스 암호화된 이미지를 이용한 전자증명서 발급 시스템 및 방법
CN101754203B (zh) * 2009-12-25 2014-04-09 宇龙计算机通信科技(深圳)有限公司 一种wapi证书获取方法、装置及网络系统
US9065825B2 (en) * 2010-02-05 2015-06-23 International Business Machines Corporation Method and system for license management
JP2014082584A (ja) * 2012-10-15 2014-05-08 Nippon Registry Authentication Inc 認証基盤システム
US9208350B2 (en) * 2013-01-09 2015-12-08 Jason Allen Sabin Certificate information verification system
CN103475485B (zh) * 2013-09-16 2017-03-22 浙江汇信科技有限公司 基于数字证书互联互通的身份认证支撑平台及认证方法
US20150156193A1 (en) * 2013-12-02 2015-06-04 Microsoft Corporation Creating and managing certificates in a role-based certificate store
EP2942925B1 (en) * 2014-05-05 2016-08-24 Advanced Digital Broadcast S.A. A method and system for providing a private network
JP6299047B2 (ja) * 2014-05-08 2018-03-28 華為技術有限公司Huawei Technologies Co.,Ltd. 証明取得方法及び装置
US9961103B2 (en) * 2014-10-28 2018-05-01 International Business Machines Corporation Intercepting, decrypting and inspecting traffic over an encrypted channel
US9942204B2 (en) * 2015-01-07 2018-04-10 Anchorfree Inc. Secure personal server system and method
US20160277372A1 (en) * 2015-03-17 2016-09-22 Riverbed Technology, Inc. Optimization of a secure connection with enhanced security for private cryptographic keys
US9854048B2 (en) * 2015-06-29 2017-12-26 Sprint Communications Company L.P. Network function virtualization (NFV) hardware trust in data communication systems

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103036854A (zh) * 2011-09-30 2013-04-10 中国移动通信集团公司 业务订购方法及系统、业务权限认证方法、终端设备
CN102663290A (zh) * 2012-03-23 2012-09-12 中国科学院软件研究所 一种基于虚拟机的数字版权保护方法
US20130298210A1 (en) * 2012-05-02 2013-11-07 Microsoft Corporation Certificate based connection to cloud virtual machine

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106302394B (zh) * 2016-07-26 2019-08-30 京信通信系统(中国)有限公司 安全通道建立方法和系统
CN106302394A (zh) * 2016-07-26 2017-01-04 京信通信技术(广州)有限公司 安全通道建立方法和系统
US11025594B2 (en) 2016-12-30 2021-06-01 Huawei Technologies Co., Ltd. Secret information distribution method and device
CN110115012A (zh) * 2016-12-30 2019-08-09 华为技术有限公司 一种秘密信息的分发方法和设备
WO2018120042A1 (zh) * 2016-12-30 2018-07-05 华为技术有限公司 一种凭据分发的方法和设备
CN108809907B (zh) * 2017-05-04 2021-05-11 华为技术有限公司 一种证书请求消息发送方法、接收方法和装置
CN108809907A (zh) * 2017-05-04 2018-11-13 华为技术有限公司 一种证书请求消息发送方法、接收方法和装置
CN107302544A (zh) * 2017-08-15 2017-10-27 迈普通信技术股份有限公司 证书申请方法、无线接入控制设备及无线接入点设备
CN107302544B (zh) * 2017-08-15 2019-09-13 迈普通信技术股份有限公司 证书申请方法、无线接入控制设备及无线接入点设备
CN110445614A (zh) * 2019-07-05 2019-11-12 阿里巴巴集团控股有限公司 证书申请方法、装置、终端设备、网关设备和服务器
CN110445614B (zh) * 2019-07-05 2021-05-25 创新先进技术有限公司 证书申请方法、装置、终端设备、网关设备和服务器
US11095460B2 (en) 2019-07-05 2021-08-17 Advanced New Technologies Co., Ltd. Certificate application operations
CN113966625A (zh) * 2019-07-17 2022-01-21 瑞典爱立信有限公司 用于核心网络域中的证书处理的技术
CN113966625B (zh) * 2019-07-17 2023-09-15 瑞典爱立信有限公司 用于核心网络域中的证书处理的技术
CN110769393A (zh) * 2019-11-07 2020-02-07 公安部交通管理科学研究所 一种车路协同的身份认证系统及方法
CN110769393B (zh) * 2019-11-07 2021-12-24 公安部交通管理科学研究所 一种车路协同的身份认证系统及方法
CN110943996A (zh) * 2019-12-03 2020-03-31 迈普通信技术股份有限公司 一种业务加解密的管理方法、装置及系统
WO2023246287A1 (zh) * 2022-06-23 2023-12-28 中兴通讯股份有限公司 安全通道建立方法、系统及存储介质

Also Published As

Publication number Publication date
EP3133789B1 (en) 2019-01-30
JP2017516434A (ja) 2017-06-15
KR20170002577A (ko) 2017-01-06
CN106464495B (zh) 2020-02-21
JP6299047B2 (ja) 2018-03-28
WO2015169126A1 (zh) 2015-11-12
US20170054710A1 (en) 2017-02-23
RU2658172C2 (ru) 2018-06-19
RU2016147697A (ru) 2018-06-08
CN105284091B (zh) 2018-06-15
EP3133789A4 (en) 2017-04-26
BR112016026035A2 (pt) 2018-05-15
CN106464495A (zh) 2017-02-22
RU2016147697A3 (zh) 2018-06-08
WO2015168914A1 (zh) 2015-11-12
KR101942412B1 (ko) 2019-01-25
EP3133789A1 (en) 2017-02-22
BR112016026035B1 (pt) 2023-04-18
US10225246B2 (en) 2019-03-05

Similar Documents

Publication Publication Date Title
CN105284091A (zh) 一种证书获取方法和设备
US11956361B2 (en) Network function service invocation method, apparatus, and system
CN105264818B (zh) 一种证书获取方法和设备
EP2842258B1 (en) Multi-factor certificate authority
US20140331297A1 (en) Secured access to resources using a proxy
US20110004767A1 (en) bidirectional entity authentication method based on the credible third party
CN103069742B (zh) 用于将密钥绑定到名称空间的方法和装置
CN109089298A (zh) 蓝牙和wifi双协议设备入网方法及装置
CN106464667B (zh) 一种证书管理方法、设备及系统
US20200136836A1 (en) Authorization with a preloaded certificate
CN110121857B (zh) 一种凭据分发的方法和设备
CN113472541B (zh) 证书切换方法及装置
CN105453519A (zh) 一种信息安全验证方法及设备
CN107046539A (zh) 一种应用安全访问的设置方法及装置
CN105471579A (zh) 一种信任登录方法及装置
WO2024036644A1 (zh) 获取签名信息的方法及装置
CN113453230B (zh) 终端管理方法和系统以及安全代理
CN116346469A (zh) 数据传输方法、装置、电子设备及存储介质
CN117678255A (zh) 边缘启用器客户端标识认证过程

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant