CN105284091B - 一种证书获取方法和设备 - Google Patents
一种证书获取方法和设备 Download PDFInfo
- Publication number
- CN105284091B CN105284091B CN201480011377.5A CN201480011377A CN105284091B CN 105284091 B CN105284091 B CN 105284091B CN 201480011377 A CN201480011377 A CN 201480011377A CN 105284091 B CN105284091 B CN 105284091B
- Authority
- CN
- China
- Prior art keywords
- certificate
- vnf
- vnf examples
- vnfm
- certificate request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 57
- 238000012795 verification Methods 0.000 claims abstract description 100
- OOXMVRVXLWBJKF-DUXPYHPUSA-N n-[3-[(e)-2-(5-nitrofuran-2-yl)ethenyl]-1,2,4-oxadiazol-5-yl]acetamide Chemical compound O1C(NC(=O)C)=NC(\C=C\C=2OC(=CC=2)[N+]([O-])=O)=N1 OOXMVRVXLWBJKF-DUXPYHPUSA-N 0.000 claims description 114
- 230000000977 initiatory effect Effects 0.000 claims description 40
- 230000005540 biological transmission Effects 0.000 claims description 34
- 230000006870 function Effects 0.000 description 52
- 238000010586 diagram Methods 0.000 description 32
- 239000003795 chemical substances by application Substances 0.000 description 13
- 238000004891 communication Methods 0.000 description 10
- 238000004590 computer program Methods 0.000 description 6
- 230000008859 change Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 3
- 238000003860 storage Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- ZYXYTGQFPZEUFX-UHFFFAOYSA-N benzpyrimoxan Chemical compound O1C(OCCC1)C=1C(=NC=NC=1)OCC1=CC=C(C=C1)C(F)(F)F ZYXYTGQFPZEUFX-UHFFFAOYSA-N 0.000 description 1
- 238000009472 formulation Methods 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
Abstract
公开了一种证书获取方法和设备,包括:VNFM接收VNF实例发送证书申请代理消息,证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息,验证信息用于在VNF实例与VNFM之间建立代理申请证书通道;VNFM利用验证信息对VNF实例进行验证,并在验证通过时,向CA发送证书申请消息,证书申请消息中包含了用于申请证书的证书申请信息;VNFM接收CA签发的证书,并将证书发送给VNF实例,这样,实例化的VNF实例通过VNFM与证书认证中心之间的信任链路申请证书认证中心签发的证书,有效保证了VNF实例申请证书的合法性,确保了VNF实例与VNFM之间通过证书认证中心签发的证书建立管理通道的安全性。
Description
技术领域
本发明涉及虚拟网络的部署领域,尤其涉及一种证书获取方法和设备。
背景技术
网络功能虚拟化(Network Function Virtualization,NFV)是以“传统网络虚拟化”为目的而成立的标准组织,制定了一套在虚拟化环境下部署网络的标准。通过NFV组织制定的标准,可以实现网络的虚拟化以及灵活部署等能力。
NFV制定的虚拟网络架构包含了:网元管理系统(Element Management System,EMS)、NFV编排器(NFV Orchestra,NFVO)、虚拟化的网络功能((Virtual NetworkFunction,VNF)实例、VNF管理器(VNF Manager,VNFM)、NFV的基础设施(Network FunctionVirtual Infrastructure,NFVI)、VNF框架中管理虚拟基础设施(Virtual InfrastructureManager,VIM)。
其中,EMS,即传统网元管理设备,用于将实例化得到的VNF实例作为一个网元进行管理;NFVO,用于编排VNF;VNF实例,即运行了网络功能的虚拟化网元;VNFM,用于管理VNF;NFVI包含了虚拟化的计算资源、虚拟化的存储资源、虚拟化的网络资源等;VIM,用于根据NFVO和VNFM的指令,对NFVI进行管理。
EMS或者VNFM通过与VNF之间建立管理通道,实现对VNF的管理。为了防止恶意用户攻击网络,在EMS或者VNFM与VNF之间建立管理通道时,需要双方进行身份认证,一般采用传输层安全技术(即证书认证方式)进行身份认证,也就是说,以证书作为身份认证的凭证,执行双方身份认证操作。
然而在传统网络中,证书获取的方式包括但不限于以下两种:
第一种方式:
手工导入方式或者通过硬件、软件初始安装时导入一个与硬件绑定的初始证书,在利用初始证书通过证书管理协议获取需要的认证证书。
但是,在NFV标准中,VNF自动生成在VM上,无法通过第一种方式得到证书,也就是使得EMS或者VNFM与VNF之间建立管理通道的安全性较差。
第二种方式:
在网元生成时,由网元生产商在网元中内置一个生产商的证书,使得网元在被初始配置时,使用证书管理协议向运营商的公共密钥系统(Public Key Infrastructure,PKI)申请运营商签发的证书,在申请证书过程中,网元使用生产商证书作为自己的身份凭证,使得PKI信任该网元并签发运营商的证书。
但是,在虚拟化环境中,VNF动态生成,因此不能通过第二种方式申请证书,也就是使得EMS或者VNFM与VNF之间建立管理通道的安全性较差。
发明内容
有鉴于此,本发明实施例提供了一种证书获取方法和设备,用于解决存在的EMS或者VNFM与VNF之间建立管理通道的安全性较差的问题。
根据本发明的第一方面,提供了一种证书获取设备,包括:
接收模块,用于接收VNF实例发送的证书申请代理消息,其中,所述证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息,所述验证信息用于在所述VNF实例与虚拟化网络功能VNF管理设备VNFM之间建立代理申请证书通道;
发送模块,用于利用所述接收模块接收到的所述验证信息对所述VNF实例进行验证,并在验证通过时,向证书认证中心CA发送证书申请消息,其中,所述证书申请消息中包含了用于申请证书的证书申请信息;
所述接收模块,还用于接收所述CA签发的证书;
所述发送模块,还用于将所述接收模块接收到的所述证书发送给所述VNF实例,其中,所述证书是所述CA根据所述证书申请消息中包含了用于申请证书的证书申请信息生成的。
结合本发明第一方面可能的实施方式中,第一种可能的实施方式,所述验证信息为临时证书,其中,所述临时证书是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的。
结合本发明第一方面的第一种可能的实施方式中,第二种可能的实施方式,所述发送模块,具体用于将接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书进行比较;
在确定接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书相同时,确定对所述VNF实例的验证通过;
在确定接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书不相同时,确定对所述VNF实例的验证未通过。
结合本发明第一方面可能的实施方式中,第三种可能的实施方式,所述验证信息为预共享密钥PSK,其中,所述PSK是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时生成的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的。
结合本发明第一方面的第三种可能的实施方式中,第四种可能的实施方式,所述接收模块,具体用于向所述VNF实例发送PSK,并接收VNF实例发送的证书申请代理消息,其中,所述证书申请代理消息是所述VNF实例在确定本地注入的PSK与接收到的所述VNFM发送的PSK相同或关联时向所述VNFM发送的。
结合本发明第一方面的第四种可能的实施方式中,第五种可能的实施方式,所述发送模块,具体用于将接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK进行比较;
在确定接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK相同或关联时,确定对所述VNF实例的验证通过;
在确定接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK不相同或不关联时,确定对所述VNF实例的验证未通过。
结合本发明第一方面可能的实施方式中,或者结合本发明第一方面的第一种可能的实施方式中,或者结合本发明第一方面的第二种可能的实施方式中,或者结合本发明第一方面的第三种可能的实施方式中,或者结合本发明第一方面的第四种可能的实施方式中,或者结合本发明第一方面的第五种可能的实施方式中,第六种可能的实施方式,所述设备还包括:
通道建立模块,用于在将所述证书发送给所述VNF实例时,利用所述证书建立与所述VNF实例之间的管理通道。
根据本发明的第二方面,提供了一种证书获取设备,包括:
接收模块,用于接收VNF框架中管理虚拟基础设施VIM发送证书申请代理消息,其中,所述证书申请代理消息中包含了请求申请证书的VNF实例和所述VNF实例用于申请证书的证书申请信息;
发送模块,用于向证书认证中心CA发送证书申请消息,其中,所述证书申请消息中包含了所述接收模块接收到的所述VNF实例用于申请证书的证书申请信息;
所述接收模块,还用于接收所述CA签发的证书;
所述发送模块,还用于将所述接收模块接收到的所述证书发送给所述VIM,其中,所述证书是所述CA根据所述证书申请信息中包含了所述VNF实例用于申请证书的证书申请信息生成的。
结合本发明第二方面可能的实施方式中,第一种可能的实施方式,所述证书申请代理消息是由所述VIM根据接收到的证书申请信息生成的,其中,所述证书申请信息由所述VNF实例根据初始化参数得到,并由所述VNF实例发送给所述VM,再由所述VM通过与所述VIM之间的安全通道发送给所述VIM的。
结合本发明第二方面的第一方面可能的实施方式中,第二种可能的实施方式,所述初始化参数包含了CA信息、证书管理域的域名,由虚拟化功能网络编排器NFVO确定实例化所述VNF实例时得到。
根据本发明的第三方面,提供了一种证书获取设备,包括:
接收模块,用于接收虚拟化网络功能VNF实例发送的证书申请消息,其中,所述证书申请消息中包含了临时证书和用于申请证书的证书申请信息,所述临时证书是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时从所述CA中申请的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的;
签发模块,用于利用所述接收模块接收到的所述临时证书对所述VNF实例进行认证,并在认证通过时,根据所述证书申请消息中包含的用于申请证书的证书申请信息,签发证书给所述VNF实例。
根据本发明的第四方面,提供了一种证书获取设备,包括:
接收模块,用于接收虚拟机VM发送的证书申请消息,其中,所述证书申请消息中包含了用于申请证书的公钥;
发送模块,用于向证书认证中心CA发送证书申请代理消息,其中,所述证书申请代理消息中包含了所述接收模块接收到的所述VM用于申请证书的公钥;
所述接收模块,用于接收所述CA签发的证书;
所述发送模块,用于将所述接收模块接收到的所述证书发送给所述VM,其中,所述证书由所述CA根据所述证书申请代理消息中包含了所述VM用于申请证书的公钥签名得到的。
结合本发明第四方面可能的实施方式中,第一种可能的实施方式,所述发送模块,具体用于向虚拟网络功能框架中管理虚拟基础设施VIM发送证书申请代理消息,并由所述VIM将所述证书申请代理消息转发至证书认证中心CA。
结合本发明第四方面可能的实施方式中,或者结合本发明第四方面第一种可能的实施方式中,第二种可能的实施方式,所述设备还包括:
通道建立模块,用于在所述VM接收到所述证书时,建立所述VM与所述VM的管理设备之间的管理通道。
结合本发明第四方面可能的实施方式中,或者结合本发明第四方面第一种可能的实施方式中,或者结合本发明第四方面第二种可能的实施方式中,第三种可能的实施方式,所述公钥由所述VM根据初始化参数生成,其中,所述初始化参数包含了CA信息、证书管理域的域名,由虚拟网络功能框架中管理虚拟基础设施VIM在接收到虚拟化功能网络编排器NFVO发送的生成所述VM时得到。
根据本发明的第五方面,提供了一种证书获取设备,包括:
信号接收器,用于接收VNF实例发送的证书申请代理消息,其中,所述证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息,所述验证信息用于在所述VNF实例与虚拟化网络功能VNF管理设备VNFM之间建立代理申请证书通道;
信号发射器,用于利用所述验证信息对所述VNF实例进行验证,并在验证通过时,向证书认证中心CA发送证书申请消息,其中,所述证书申请消息中包含了用于申请证书的证书申请信息;
所述信号接收器,还用于接收所述CA签发的证书;
所述信号发射器,还用于将所述证书发送给所述VNF实例,其中,所述证书是所述CA根据所述证书申请消息中包含了用于申请证书的证书申请信息生成的。
结合本发明第五方面可能的实施方式中,第一种可能的实施方式,所述验证信息为临时证书,其中,所述临时证书是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的。
结合本发明第五方面的第一种可能的实施方式中,第二种可能的实施方式,所述信号发射器,具体用于将接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书进行比较;
所述VNFM在确定接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书相同时,确定对所述VNF实例的验证通过;
所述VNFM在确定接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书不相同时,确定对所述VNF实例的验证未通过。
结合本发明第五方面可能的实施方式中,第三种可能的实施方式,所述验证信息为预共享密钥PSK,其中,所述PSK是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时生成的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的。
结合本发明第五方面的第三种可能的实施方式中,第四种可能的实施方式,所述信号接收器,具体用于向所述VNF实例发送PSK,并接收所述VNF实例发送的证书申请代理消息,其中,所述证书申请代理消息是所述VNF实例在确定本地注入的PSK与接收到的所述PSK相同或关联时,向所述VNFM发送的。
结合本发明第五方面的第四种可能的实施方式中,第五种可能的实施方式,所述信号发射器,具体用于将接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK进行比较;
在确定接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK相同或关联时,确定对所述VNF实例的验证通过;
在确定接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK不相同或不关联时,确定对所述VNF实例的验证未通过。
结合本发明第五方面可能的实施方式中,或者结合本发明第五方面的第一种可能的实施方式中,或者结合本发明第五方面的第二种可能的实施方式中,或者结合本发明第五方面的第三种可能的实施方式中,或者结合本发明第五方面的第四种可能的实施方式中,或者结合本发明第五方面的第五种可能的实施方式中,第六种可能的实施方式,所述设备还包括:
处理器,用于在将所述证书发送给所述VNF实例时,利用所述证书建立与所述VNF实例之间的管理通道。
根据本发明的第六方面,提供了一种证书获取设备,包括:
信号接收器,用于接收VNF框架中管理虚拟基础设施VIM发送证书申请代理消息,其中,所述证书申请代理消息中包含了请求申请证书的VNF实例和所述VNF实例用于申请证书的证书申请信息;
信号发射器,用于向证书认证中心CA发送证书申请消息,其中,所述证书申请消息中包含了所述VNF实例用于申请证书的证书申请信息;
所述信号接收器,还用于接收所述CA签发的证书;
所述信号发射器,还用于将所述证书发送给所述VIM,其中,所述证书是所述CA根据所述证书申请信息中包含了所述VNF实例用于申请证书的证书申请信息生成的。
结合本发明第六方面可能的实施方式中,第一种可能的实施方式,所述证书申请代理消息是由所述VIM根据接收到的证书申请信息生成的,其中,所述证书申请信息由所述VNF实例根据初始化参数得到,并由所述VNF实例发送给所述VM,再由所述VM通过与所述VIM之间的安全通道发送给所述VIM的。
结合本发明第六方面的第一方面可能的实施方式中,第二种可能的实施方式,所述初始化参数包含了CA信息、证书管理域的域名,由虚拟化功能网络编排器NFVO确定实例化所述VNF实例时得到。
根据本发明的第七方面,提供了一种证书获取设备,包括:
信号接收器,用于接收虚拟化网络功能VNF实例发送的证书申请消息,其中,所述证书申请消息中包含了临时证书和用于申请证书的证书申请信息,所述临时证书是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时从所述CA中申请的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的;
处理器,用于利用所述临时证书对所述VNF实例进行认证,并在认证通过时,根据所述证书申请消息中包含的用于申请证书的证书申请信息,签发证书给所述VNF实例。
根据本发明的第八方面,提供了一种证书获取设备,包括:
信号接收器,用于接收虚拟机VM发送的证书申请消息,其中,所述证书申请消息中包含了用于申请证书的公钥;
信号发射器,用于向证书认证中心CA发送证书申请代理消息,其中,所述证书申请代理消息中包含了所述VM用于申请证书的公钥;
所述信号接收器,还用于接收所述CA签发的证书;
所述信号发射器,还用于将所述证书发送给所述VM,其中,所述证书由所述CA根据所述证书申请代理消息中包含了所述VM用于申请证书的公钥签名得到的。
结合本发明第八方面可能的实施方式中,第一种可能的实施方式,所述信号发射器,具体用于向虚拟网络功能框架中管理虚拟基础设施VIM发送证书申请代理消息,并由所述VIM将所述证书申请代理消息转发至证书认证中心CA。
结合本发明第八方面可能的实施方式中,或者结合本发明第八方面第一种可能的实施方式中,第二种可能的实施方式,所述设备还包括:
处理器,用于在所述VM接收到所述证书时,建立所述VM与所述VM的管理设备之间建立的管理通道。
结合本发明第八方面可能的实施方式中,或者结合本发明第八方面第一种可能的实施方式中,或者结合本发明第八方面第二种可能的实施方式中,第三种可能的实施方式,所述公钥由所述VM根据初始化参数生成,其中,所述初始化参数包含了CA信息、证书管理域的域名,由虚拟网络功能框架中管理虚拟基础设施VIM在接收到虚拟化功能网络编排器NFVO发送的生成所述VM时得到。
根据本发明的第九方面,提供了一种证书获取方法,包括:
虚拟化网络功能管理设备VNFM接收VNF实例发送的证书申请代理消息,其中,所述证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息,所述验证信息用于在所述VNF实例与所述VNFM之间建立代理申请证书通道;
所述VNFM利用所述验证信息对所述VNF实例进行验证,并在验证通过时,向证书认证中心CA发送证书申请消息,其中,所述证书申请消息中包含了用于申请证书的证书申请信息;
所述VNFM接收所述CA签发的证书,并将所述证书发送给所述VNF实例,其中,所述证书是所述CA根据所述证书申请消息中包含了用于申请证书的证书申请信息生成的。
结合本发明第九方面可能的实施方式中,第一种可能的实施方式,所述验证信息为临时证书,其中,所述临时证书是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的。
结合本发明第九方面的第一种可能的实施方式中,第二种可能的实施方式,所述VNFM利用所述验证信息对所述VNF实例进行验证,包括:
所述VNFM将接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书进行比较;
所述VNFM在确定接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书相同时,确定对所述VNF实例的验证通过;
所述VNFM在确定接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书不相同时,确定对所述VNF实例的验证未通过。
结合本发明第九方面可能的实施方式中,第三种可能的实施方式,所述验证信息为预共享密钥PSK,其中,所述PSK是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时生成的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的。
结合本发明第九方面的第三种可能的实施方式中,第四种可能的实施方式,所述虚拟化网络功能VNF管理设备VNFM接收VNF实例发送的证书申请代理消息,包括:
所述VNFM向所述VNF实例发送PSK,并接收VNF实例发送的证书申请代理消息,其中,所述证书申请代理消息是所述VNF实例在确定本地注入的PSK与接收到的所述VNFM发送的PSK相同或关联时向所述VNFM发送的。
结合本发明第九方面的第四种可能的实施方式中,第五种可能的实施方式,所述VNFM利用所述验证信息对所述VNF实例进行验证,包括:
所述VNFM将接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK进行比较;
所述VNFM在确定接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK相同或关联时,确定对所述VNF实例的验证通过;
所述VNFM在确定接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK不相同或不关联时,确定对所述VNF实例的验证未通过。
结合本发明第九方面可能的实施方式中,或者结合本发明第九方面的第一种可能的实施方式中,或者结合本发明第九方面的第二种可能的实施方式中,或者结合本发明第九方面的第三种可能的实施方式中,或者结合本发明第九方面的第四种可能的实施方式中,或者结合本发明第九方面的第五种可能的实施方式中,第六种可能的实施方式,所述方法还包括:
所述VNFM在将所述证书发送给所述VNF实例时,利用所述证书建立与所述VNF实例之间的管理通道。
根据本发明的第十方面,提供了一种证书获取方法,包括:
虚拟化网络功能VNF管理设备VNFM接收VNF框架中管理虚拟基础设施VIM发送证书申请代理消息,其中,所述证书申请代理消息中包含了请求申请证书的VNF实例和所述VNF实例用于申请证书的证书申请信息;
所述VNFM向证书认证中心CA发送证书申请消息,其中,所述证书申请消息中包含了所述VNF实例用于申请证书的证书申请信息;
所述VNFM接收所述CA签发的证书,并将所述证书发送给所述VIM,其中,所述证书是所述CA根据所述证书申请信息中包含了所述VNF实例用于申请证书的证书申请信息生成的。
结合本发明第十方面可能的实施方式中,第一种可能的实施方式,所述证书申请代理消息是由所述VIM根据接收到的证书申请信息生成的,其中,所述证书申请信息由所述VNF实例根据初始化参数得到,并由所述VNF实例发送给所述VM,再由所述VM通过与所述VIM之间的安全通道发送给所述VIM的。
结合本发明第十方面的第一方面可能的实施方式中,第二种可能的实施方式,所述初始化参数包含了CA信息、证书管理域的域名,由虚拟化功能网络编排器NFVO确定实例化所述VNF实例时得到。
根据本发明的第十一方面,提供了一种证书获取方法,包括:
证书认证中心CA接收虚拟化网络功能VNF实例发送的证书申请消息,其中,所述证书申请消息中包含了临时证书和用于申请证书的证书申请信息,所述临时证书是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时从所述CA中申请的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的;
所述CA利用所述临时证书对所述VNF实例进行认证,并在认证通过时,根据所述证书申请消息中包含的用于申请证书的证书申请信息,签发证书给所述VNF实例。
根据本发明的第十二方面,提供了一种证书的获取方法,包括:
虚拟网络功能基础设备NFVI接收虚拟机VM发送的证书申请消息,其中,所述证书申请消息中包含了用于申请证书的公钥;
所述NFVI向证书认证中心CA发送证书申请代理消息,其中,所述证书申请代理消息中包含了所述VM用于申请证书的公钥;
所述NFVI接收所述CA签发的证书,并将所述证书发送给所述VM,其中,所述证书由所述CA根据所述证书申请代理消息中包含了所述VM用于申请证书的公钥签名得到的。
结合本发明第十二方面可能的实施方式中,第一种可能的实施方式,所述NFVI向证书认证中心CA发送证书申请代理消息,包括:
所述NFVI向虚拟网络功能框架中管理虚拟基础设施VIM发送证书申请代理消息,并由所述VIM将所述证书申请代理消息转发至证书认证中心CA。
结合本发明第十二方面可能的实施方式中,或者结合本发明第十二方面第一种可能的实施方式中,第二种可能的实施方式,所述方法还包括:
在所述VM接收到所述证书时,建立所述VM与所述VM的管理设备之间建立的管理通道。
4结合本发明第十二方面可能的实施方式中,或者结合本发明第十二方面第一种可能的实施方式中,或者结合本发明第十二方面第二种可能的实施方式中,第三种可能的实施方式,所述公钥由所述VM根据初始化参数生成,其中,所述初始化参数包含了CA信息、证书管理域的域名,由虚拟网络功能框架中管理虚拟基础设施VIM在接收到虚拟化功能网络编排器NFVO发送的生成所述VM时得到。
本发明实施例VNFM接收VNF实例发送证书申请代理消息,证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息,验证信息用于在VNF实例与VNFM之间建立代理申请证书通道;VNFM利用验证信息对VNF实例进行验证,并在验证通过时,向CA发送证书申请消息,证书申请消息中包含了用于申请证书的证书申请信息;VNFM接收CA签发的证书,并将证书发送给VNF实例,这样,实例化的VNF实例通过VNFM与证书认证中心之间的信任链路申请证书认证中心签发的证书,有效保证了VNF实例申请证书的合法性,确保了VNF实例与VNFM之间通过证书认证中心签发的证书建立管理通道的安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一提供的一种证书获取方法的流程示意图;
图2为本发明实施例二提供的一种证书获取方法的流程示意图;
图3为本发明实施例三提供的一种证书获取方法的流程示意图;
图4为本发明实施例四提供的一种证书获取方法的流程示意图;
图5为一种证书获取方法的流程示意图;
图6为本发明实施例五提供的一种证书获取设备的结构示意图;
图7为本发明实施例六提供的一种证书获取设备的结构示意图;
图8为本发明实施例七提供的一种证书获取设备的结构示意图;
图9为本发明实施例八提供的一种证书获取设备的结构示意图;
图10为本发明实施例九提供的一种证书获取设备的结构示意图;
图11为本发明实施例十提供的一种证书获取设备的结构示意图;
图12为本发明实施例十一提供的一种证书获取设备的结构示意图;
图13为本发明实施例十二提供的一种证书获取设备的结构示意图。
具体实施方式
为了实现本发明的目的,本发明实施例提供了一种证书的获取方法和设备,VNFM接收VNF实例发送证书申请代理消息,证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息,验证信息用于在VNF实例与VNFM之间建立代理申请证书通道;VNFM利用验证信息对VNF实例进行验证,并在验证通过时,向CA发送证书申请消息,证书申请消息中包含了用于申请证书的证书申请信息;VNFM接收CA签发的证书,并将证书发送给VNF实例,这样,实例化的VNF实例通过VNFM与证书认证中心之间的信任链路申请证书认证中心签发的证书,有效保证了VNF实例申请证书的合法性,确保了VNF实例与VNFM之间通过证书认证中心签发的证书建立管理通道的安全性。
需要说明的是,由于VNF实例在实例化之后,属于一个新的虚拟网元,与虚拟网络中的其他网元尚未建立信任链路,与证书认证中心(Certificate Authority,CA),彼此属于不信任网元,因此,无法直接从CA处申请证书,本发明实施例通过证书申请代理的方式使得VNF实例申请到合法证书。
下面结合说明书附图对本发明各个实施例进行详细描述。
实施例一:
如图1所示,为本发明实施例一提供的一种证书获取方法的流程示意图。所述方法可以如下所述。
步骤101:虚拟化网络功能VNF管理设备VNFM接收VNF实例发送证书申请代理消息。
其中,所述证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息,所述验证信息用于在所述VNF实例与所述VNFM之间建立代理申请证书通道。
需要说明的是,证书申请信息至少包含了:证书格式、域名、证书认证中心信息等。
在步骤101中,在虚拟网络中,完成对VNF实例化后,为了确保实例化VNF实例与其他虚拟网元之间通信的安全性,需要为实例化的VNF实例申请证书。
具体地,NFVO在接收到实例化VNF实例指令时,确定后续用于建立所述VNF实例与所述VNFM之间代理申请证书通道的验证信息,并将确定的验证信息携带在实例化VNF指令中发送给VIM,由VIM将实例化VNF指令发送给NFVI,请求NFVI为该VNF实例分配VM,完成VNF实例化。
NFVI给该VNF实例分配VM以及完成该VNF实例化时,将实例化VNF指令中携带的确定的验证信息注入该VNF实例。
可选地,验证信息的形式包括但不限于以下形式:
第一种情形:
所述验证信息为临时证书。
其中,所述临时证书是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的。
需要说明的是,虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时从所述VNFM中申请得到的临时证书,由VNFM通过特殊方式生成,而由VNFM生成的临时证书仅能被VNFM信任,虚拟网络中的其他网元不能信任该临时证书。
可选地,所述临时证书是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时从CA中申请的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF的。
虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时从CA中申请临时证书的前提是:
CA通过特殊方式(例如:使用特定公私钥为临时证书签名)得到临时证书,且临时证书仅能被CA信任,其他网元不信任该临时证书。
VNFO、VIM和NFVI之间在传输临时证书时,还可以传输与临时证书对应的私钥,但是私钥在多个网元间传输,存在安全风险,因此,本实施例中需要保证VNFO、VIM和NFVI之间的通信安全,以保证用于申请证书的私钥不被泄露。同时临时证书在本实施例中仅能使用一次,以防止多次使用过程中出现临时证书被恶意网元获取的风险,进一步保证了虚拟网络中各个网元之间通信的安全性。
第二种情形:
所述验证信息为预共享密钥PSK。
其中,所述PSK是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时生成的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的。
需要说明的是,预共享密钥由NFVO生成,并发送给VNFM,以便于VNF实例与VNFM之间的初始通信通过该PSK完成。
需要说明的是,所谓预共享密钥,预先配置给需要通信的两端,通信的两端通过预共享密钥建立通信。预共享密钥可以是对称密钥,即通信双方持有的密钥相同,也可以是非对称密钥,即通信双方持有的密钥不相同,例如,公私密钥对。
为了保证申请证书的合法性,该VNF实例采用证书申请代理的方式申请证书。
此时,该VNF实例可以利用确定的验证信息和用于申请证书的证书申请信息申请证书。
该VNF实例向VNFM发送证书申请代理消息,其中,所述证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息。
需要说明的是,假设该VNF实例接收到的验证信息是预共享密钥(PSK),那么为了确保证书申请代理者VNFM身份的合法性,该VNF实例向VNFM发送证书申请代理信息之前,需要通过预共享密钥对VNFM身份进行验证。
具体地,所述VNFM向所述VNF实例发送存储在本地的预共享密钥(PSK),并接收所述VNF实例发送的证书申请代理消息,其中,所述证书申请代理消息是所述VNF实例在确定本地注入的PSK与接收到的所述VNFM发送的PSK相同或者关联时向所述VNFM发送的。
步骤102:所述VNFM利用所述验证信息对所述VNF实例进行验证,并在验证通过时,向证书认证中心CA发送证书申请消息。
其中,所述证书申请消息中包含了用于申请证书的证书申请信息。
在步骤102中,所述VNFM利用所述验证信息对所述VNF实例进行验证的方式包括但不限于:
假设所述验证信息是步骤101中第一种情形中描述的临时证书时,所述VNFM在接收到所述证书申请代理消息中包含的临时证书时,将接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书进行比较;
所述VNFM在确定接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书相同时,确定对所述VNF实例的验证通过;
所述VNFM在确定接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书不相同时,确定对所述VNF实例的验证未通过。
假设所述验证信息是步骤101中第二种情形中描述的预共享密钥时,所述VNFM在接收到所述证书申请代理消息中包含的PSK时,将接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK进行比较;
所述VNFM在确定接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK相同或者关联时,确定对所述VNF实例的验证通过;
所述VNFM在确定接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK不相同或者不关联时,确定对所述VNF实例的验证未通过。
步骤103:所述VNFM接收所述CA签发的证书,并将所述证书发送给所述VNF实例。
其中,所述证书是所述CA根据所述证书申请消息中包含了用于申请证书的证书申请信息生成的。
在步骤103中,所述VNFM在接收所述CA签发的证书时,确定虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时从所述VNFM或者从CA中申请得到的临时证书,或虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时生成的预共享密钥失效,也就意味着,临时证书或预共享密钥在在接收所述CA签发的证书时将不再被VNFM信任。
在本发明实施例中,所述方法还包括:
所述VNFM在将所述证书发送给所述VNF实例时,利用所述证书建立与所述VNF实例之间的管理通道。
通过本发明实施例一的方案,VNFM接收VNF实例发送证书申请代理消息,证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息,验证信息用于在VNF实例与VNFM之间建立代理申请证书通道;VNFM利用验证信息对VNF实例进行验证,并在验证通过时,向CA发送证书申请消息,证书申请消息中包含了用于申请证书的证书申请信息;VNFM接收CA签发的证书,并将证书发送给VNF实例,这样,实例化的VNF实例通过VNFM与证书认证中心之间的信任链路申请证书认证中心签发的证书,有效保证了VNF实例申请证书的合法性,确保了VNF实例与VNFM之间通过证书认证中心签发的证书建立管理通道的安全性。
实施例二:
如图2所示,为本发明实施例二提供的一种证书获取方法的流程示意图。所述方法可以如下所述。
本发明实施例二实施的前提是NFVO、VIM和NFVI相互合作,生成VM,并在VN上启动运行VNF实例。
需要说明的是,VM与VIM之间建立了安全的信任链接。
VM与VIM之间建立了安全的信任链接通过后续实施例四进行详细说明,这里不做描述。
步骤201:虚拟化网络功能VNF管理设备VNFM接收VNF框架中管理虚拟基础设施VIM发送证书申请代理消息。
其中,所述证书申请代理消息中包含了请求申请证书的VNF实例和所述VNF实例用于申请证书的证书申请信息。
需要说明的是,证书申请信息至少包含了:证书格式、域名、证书认证中心信息等。
在步骤201中,在虚拟网络中,完成对VNF实例化后,为了确保实例化VNF实例与其他虚拟网元之间通信的安全性,需要为实例化的VNF实例申请证书。
具体地,NFVO在接收到实例化VNF实例指令时,将实例化VNF指令中发送给VIM,由VIM将实例化VNF指令发送给NFVI,请求NFVI为该VNF实例分配VM,完成VNF实例化。
其中,所述实例化VNF指令中包含了VNF实例的初始化参数。
NFVI给该VNF实例分配VM以及完成该VNF实例化时,将实例化VNF指令中包含的VNF实例的初始化参数注入该VNF实例。
为了保证申请证书的合法性,该VNF实例采用证书申请代理的方式申请证书。
此时,该VNF实例根据初始化参数得到证书申请信息。
所述初始化参数包含了CA信息、证书管理域的域名。
同时,该VNF实例根据初始化参数生成公私密钥对。
其中,私钥存储在该VNF实例本地,公钥携带在证书申请信息中发送给该VNF实例运行的VM。
需要说明的是,由于该VNF实例运行在VM上,认定该VNF实例与VM之间建立了信任链路。
由于VM与VIM之间建立了安全的信任链接,VM在接收到VNF实例发送的证书申请消息时,通过与所述VIM之间的安全通道向所述VIM发送证书申请代理消息。
其中,所述证书申请代理消息中包含了用于申请证书的证书申请信息。
所述VIM在接收到证书申请代理消息时,将所述证书申请代理消息转发给VNFM,由VNFM作为证书申请代理者,向证书认证中心CA申请证书。
需要说明的是,VNFM预先与证书认证中心CA建立可信安全的传输通道。
步骤202:所述VNFM向证书认证中心CA发送证书申请消息。
其中,所述证书申请信息中包含了用于申请证书的证书申请信息。
步骤203:所述VNFM接收所述CA签发的证书,并将所述证书发送给所述VIM。
其中,所述证书是所述CA根据所述证书申请消息中包含了用于申请证书的证书申请信息生成的。
在步骤203中,所述VNFM接收所述CA签发的证书,并将所述证书发送给所述VIM后,由所述VIM利用与VM之间的传输通道将所述证书发送给VM,再由VM发送给VNF实例,使得VNF实例通过本地存储的私钥对接收到证书进行验证,并在验证通过时,利用所述证书建立与VNFM之间的管理通道。
通过本发明实施例二的方案,实例化的VNF实例利用VM与VIM之间的可信安全的传输通道将证书申请代理信息发送给VNFM,再通过VNFM与证书认证中心之间的信任链路申请证书认证中心签发的证书,有效保证了VNF实例申请证书的合法性,进一步确保了VNF实例与VNFM之间利用证书认证中心签发的证书建立的管理通道的安全性。
实施例三:
如图3所示,为本发明实施例三提供的一种证书获取方法的流程示意图。所述方法可以如下所述。
本发明实施例三实施例的前提是NFVO在确定实例化VNF实例时,从证书认证中心CA处申请一个临时证书,该临时证书用于VNF实例申请合法证书。
需要说明的是,NFVO确定实例化VNF实例过程中,NFVO、VIM、NFVI之间建立可信的传输通道,使得实例化VNF实例的过程不会被攻击,且传输的临时证书不会被泄露。
步骤301:证书认证中心CA接收虚拟化网络功能VNF实例发送的证书申请消息。
其中,所述证书申请消息中包含了临时证书和用于申请证书的证书申请信息,所述临时证书是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时从所述CA中申请的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的。
需要说明的是,证书申请信息至少包含了:证书格式、域名、证书认证中心信息等。
在步骤301中,在虚拟网络中,完成对VNF实例化后,为了确保实例化VNF实例与其他虚拟网元之间通信的安全性,需要为实例化的VNF实例申请证书。
具体地,NFVO在接收到实例化VNF实例指令时,将实例化VNF指令中发送给VIM,由VIM将实例化VNF指令发送给NFVI,请求NFVI为该VNF实例分配VM,完成VNF实例化。
其中,所述实例化VNF指令中包含了VNF实例的初始化参数。
NFVI给该VNF实例分配VM以及完成该VNF实例化时,将实例化VNF指令中包含的VNF实例的初始化参数注入该VNF实例。
此时,该VNF实例根据初始化参数得到证书申请信息。
所述初始化参数包含了CA信息、证书管理域的域名。由虚拟化功能网络编排器NFVO确定实例化所述VNF实例时生成,并由NFVI给该VNF实例分配VM以及完成该VNF实例化时注入。
该VNF实例根据初始化参数生成用于申请证书的公私密钥对。
其中,私钥存储在该VNF实例本地。
公钥携带在证书申请信息中发送给证书认证中心CA。
需要说明的是,该VNF实例根据注入的证书认证中心CA,将临时证书以及用于申请证书的证书申请信息携带在证书申请消息中发送给所述CA。
步骤302:所述CA利用所述临时证书对所述VNF实例进行认证,并在认证通过时,根据所述证书申请消息中包含的用于申请证书的证书申请信息,签发证书给所述VNF实例。
在步骤302中,所述CA在接收到证书申请消息时,利用证书申请消息中包含的临时证书对VNF实例进行认证,并在认证通过时,根据所述证书申请消息中包含的用于申请证书的证书申请信息,签发证书给所述VNF实例。
在本发明实施例中,所述方法还包括:
所述VNF实例获取证书之后,通过本地存储的私钥对接收到证书进行验证,并在验证通过时,利用所述证书建立与VNFM之间的管理通道。
通过本发明实施例三的方案,实例化的VNF实例利用NFVO确定实例化VNF实例时申请的临时证书,与CA之间建立了申请证书的可信通道,有效保证了VNF实例申请证书的合法性,进一步确保了VNF实例与VNFM之间利用证书认证中心签发的证书建立的管理通道的安全性。
实施例四:
如图4所示,为本发明实施例四提供的一种证书获取方法的流程示意图。所述方法可以如下所述。
本发明实施例四具体描述VM与VMM或者VIM之间建立管理通道的方法。
步骤401:虚拟网络功能基础设备NFVI接收虚拟机VM发送的证书申请消息。
其中,所述证书申请消息中包含了用于申请证书的证书申请信息。
需要说明的是,证书申请信息至少包含了:证书格式、域名、证书认证中心信息等。
在步骤401中,在虚拟网络中,完成对VNF实例化后,为了确保实例化VNF实例与其他虚拟网元之间通信的安全性,需要为实例化的VNF实例申请证书。
由于VFN实例运行的虚拟资源VM是在需要实例化VNF实例时分配的,因此,在分配VM之后,需要建立VM与VMM之间的管理通道,这样保证了VM的合法性,进而使得VNF实例的合法性增强。
具体地,NFVO在接收到实例化VNF实例指令时,将实例化VNF指令中发送给VIM,由VIM将实例化VNF指令发送给NFVI,请求NFVI为该VNF实例分配VM,完成VNF实例化。
NFVI根据实例化VNF指令为VNF实例分配VM。
其中,VIM向NFVI发送请求分配虚拟资源信息,其中,所述请求分配虚拟资源信息中包含了证书申请的初始化参数等。
NFVI根据实例化VNF指令为VNF实例分配VM后,将证书申请的初始化参数注入VM。
VM启动时,根据初始化参数生成公私密钥对。
所述初始化参数包含了CA信息、证书管理域的域名,由虚拟网络功能框架中管理虚拟基础设施VIM在接收到虚拟化功能网络编排器NFVO发送的生成所述VM时得到。
其中,私钥存储在VM本地,公钥用于申请证书,携带在证书申请信息中。
此时,VM向NFVI发送证书申请消息。
步骤402:所述NFVI向证书认证中心CA发送证书申请代理消息。
其中,所述证书申请代理消息中包含了所述VM用于申请证书的证书申请信息。
在步骤402中,所述NFVI向证书认证中心CA发送证书申请代理消息的方式包括但不限于:
第一种方式:
所述NFVI与证书认证中心CA之间预先建立可信的传输通道,此时,所述NFVI直接向证书认证中心CA发送证书申请代理消息。
第二种方式:
所述VIM与证书认证中心CA之间预先建立可信的传输通道。
所述NFVI向虚拟网络功能框架中管理虚拟基础设施VIM发送证书申请代理消息,并由所述VIM将所述证书申请代理消息转发至证书认证中心CA。
如图5所示,为一种证书获取方法的流程示意图。
具体地,所述NFVI在接收到VM发送证书申请消息,生成证书申请代理消息,并将该证书申请代理消息发送给VIM,由所述VIM将所述证书申请代理消息转发至证书认证中心CA。
步骤403:所述NFVI接收所述CA签发的证书,并将所述证书发送给所述VM。
其中,所述证书由所述CA根据所述证书申请代理消息中包含了所述VM用于申请证书的证书申请信息生成的。
在步骤403中,所述方法还包括:
在所述VM接收到所述证书时,通过本地存储的私钥对接收到证书进行验证,并在验证通过时,建立所述VM与所述VM的管理设备(VMM)之间建立的管理通道。
通过本发明实施例四的方案,VM通过证书申请代理方式申请到合法证书,并建立与VMM或VIM之间可信的传输通道,为确保VNF实例与VNFM之间利用证书认证中心签发的证书建立可信的管理通道作了铺垫,有效提升了VNF实例与VNFM之间管理通道的安全性。
实施例五:
如图6所示,为本发明实施例五提供的一种证书获取设备的结构示意图,所述设备包括:接收模块61和发送模块62,其中:
接收模块61,用于接收VNF实例发送的证书申请代理消息,其中,所述证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息,所述验证信息用于在所述VNF实例与虚拟化网络功能VNF管理设备VNFM之间建立代理申请证书通道;
发送模块62,用于利用所述接收模块61接收到的所述验证信息对所述VNF实例进行验证,并在验证通过时,向证书认证中心CA发送证书申请消息,其中,所述证书申请消息中包含了用于申请证书的证书申请信息;
所述接收模块61,还用于接收所述CA签发的证书;
所述发送模块62,还用于将所述接收模块61接收到的所述证书发送给所述VNF实例,其中,所述证书是所述CA根据所述证书申请消息中包含了用于申请证书的证书申请信息生成的。
可选地,所述验证信息为临时证书,其中,所述临时证书是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的。
所述发送模块62,具体用于将接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书进行比较;
在确定接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书相同时,确定对所述VNF实例的验证通过;
在确定接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书不相同时,确定对所述VNF实例的验证未通过。
可选地,所述验证信息为预共享密钥PSK,其中,所述PSK是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时生成的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的。
所述接收模块61,具体用于向所述VNF实例发送PSK,并接收VNF实例发送的证书申请代理消息,其中,所述证书申请代理消息是所述VNF实例在确定本地注入的PSK与接收到的所述VNFM发送的PSK相同或关联时向所述VNFM发送的。
所述发送模块62,具体用于将接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK进行比较;
在确定接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK相同或关联时,确定对所述VNF实例的验证通过;
在确定接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK不相同或不关联时,确定对所述VNF实例的验证未通过。
可选地,所述设备还包括:通道建立模块63,其中:
通道建立模块63,用于在将所述证书发送给所述VNF实例时,利用所述证书建立与所述VNF实例之间的管理通道。
需要说明的是,本发明实施例中所述的设备可以是虚拟系统中的虚拟化网络功能VNF管理设备VNFM,具备了为VNF实例代理申请证书的功能,实现方式可以通过硬件实现,也可以通过软件方式实现,这里不做限定。
实施例六:
如图7所示,为本发明实施例六提供的一种证书获取设备的结构示意图,所述设备包括:接收模块71和发送模块72,其中:
接收模块71,用于接收VNF框架中管理虚拟基础设施VIM发送证书申请代理消息,其中,所述证书申请代理消息中包含了请求申请证书的VNF实例和所述VNF实例用于申请证书的证书申请信息;
发送模块72,用于向证书认证中心CA发送证书申请消息,其中,所述证书申请消息中包含了所述接收模块71接收到的所述VNF实例用于申请证书的证书申请信息;
所述接收模块71,还用于接收所述CA签发的证书;
所述发送模块72,还用于将所述接收模块71接收到的所述证书发送给所述VIM,其中,所述证书是所述CA根据所述证书申请信息中包含了所述VNF实例用于申请证书的证书申请信息生成的。
可选地,所述证书申请代理消息是由所述VIM根据接收到的证书申请信息生成的,其中,所述证书申请信息由所述VNF实例根据初始化参数得到,并由所述VNF实例发送给所述VM,再由所述VM通过与所述VIM之间的安全通道发送给所述VIM的。
可选地,所述初始化参数包含了CA信息、证书管理域的域名,由虚拟化功能网络编排器NFVO确定实例化所述VNF实例时得到。
需要说明的是,本发明实施例中所述的设备可以是虚拟系统中的虚拟化网络功能VNF管理设备VNFM,具备了为VNF实例代理申请证书的功能,实现方式可以通过硬件实现,也可以通过软件方式实现,这里不做限定。
实施例七:
如图8所示,为本发明实施例提供的一种证书获取设备的结构示意图,所述设备包括:接收模块81和签发模块82,其中:
接收模块81,用于接收虚拟化网络功能VNF实例发送的证书申请消息,其中,所述证书申请消息中包含了临时证书和用于申请证书的证书申请信息,所述临时证书是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时从所述CA中申请的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的;
签发模块82,用于利用所述接收模块81接收到的所述临时证书对所述VNF实例进行认证,并在认证通过时,根据所述证书申请消息中包含的用于申请证书的证书申请信息,签发证书给所述VNF实例。
需要说明的是,本发明实施例中所述的设备可以是证书认证中心,除了CA之外,还可以是其他具备证书认证功能的其他设备,这里不做限定,实现方式可以通过硬件实现,也可以通过软件方式实现,这里不做限定。
实施例八:
如图9所示,为本发明实施例八提供的一种证书获取设备的结构示意图,所述设备包括:接收模块91和发送模块92,其中:
接收模块91,用于接收虚拟机VM发送的证书申请消息,其中,所述证书申请消息中包含了用于申请证书的公钥;
发送模块92,用于向证书认证中心CA发送证书申请代理消息,其中,所述证书申请代理消息中包含了所述接收模块接收到的所述VM用于申请证书的公钥;
所述接收模块91,用于接收所述CA签发的证书;
所述发送模块92,用于将所述接收模块91接收到的所述证书发送给所述VM,其中,所述证书由所述CA根据所述证书申请代理消息中包含了所述VM用于申请证书的公钥签名得到的。
可选地,所述发送模块92,具体用于向虚拟网络功能框架中管理虚拟基础设施VIM发送证书申请代理消息,并由所述VIM将所述证书申请代理消息转发至证书认证中心CA。
可选地,所述设备还包括:通道建立模块93,其中:
通道建立模块93,用于在所述VM接收到所述证书时,建立所述VM与所述VM的管理设备之间的管理通道。
可选地,所述公钥由所述VM根据初始化参数生成,其中,所述初始化参数包含了CA信息、证书管理域的域名,由虚拟网络功能框架中管理虚拟基础设施VIM在接收到虚拟化功能网络编排器NFVO发送的生成所述VM时得到。
需要说明的是,本发明实施例中所述的设备可以是虚拟网络功能基础设备NFVI,具备了为VM代理申请证书的功能,实现方式可以通过硬件实现,也可以通过软件方式实现,这里不做限定。
实施例九:
如图10所示,为本发明实施例九提供的一种证书获取设备的结构示意图,所述设备包括:信号接收器1011和信号发射器1012,其中:信号接收器1011和信号发射器1012通过通信总线1013进行通信。
信号接收器1011,用于接收VNF实例发送的证书申请代理消息,其中,所述证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息,所述验证信息用于在所述VNF实例与虚拟化网络功能VNF管理设备VNFM之间建立代理申请证书通道;
信号发射器1012,用于利用所述验证信息对所述VNF实例进行验证,并在验证通过时,向证书认证中心CA发送证书申请消息,其中,所述证书申请消息中包含了用于申请证书的证书申请信息;
所述信号接收器1011,还用于接收所述CA签发的证书;
所述信号发射器1012,还用于将所述证书发送给所述VNF实例,其中,所述证书是所述CA根据所述证书申请消息中包含了用于申请证书的证书申请信息生成的。
可选地,所述验证信息为临时证书,其中,所述临时证书是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的。
所述信号发射器1012,具体用于将接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书进行比较;
所述VNFM在确定接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书相同时,确定对所述VNF实例的验证通过;
所述VNFM在确定接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书不相同时,确定对所述VNF实例的验证未通过。
可选地,所述验证信息为预共享密钥PSK,其中,所述PSK是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时生成的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的。
所述信号接收器1011,具体用于向所述VNF实例发送PSK,并接收所述VNF实例发送的证书申请代理消息,其中,所述证书申请代理消息是所述VNF实例在确定本地注入的PSK与接收到的所述PSK相同或关联时,向所述VNFM发送的。
所述信号发射器1012,具体用于将接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK进行比较;
在确定接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK相同或关联时,确定对所述VNF实例的验证通过;
在确定接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK不相同或不关联时,确定对所述VNF实例的验证未通过。
可选地,所述设备还包括:处理器1014,其中:
处理器1014,用于在将所述证书发送给所述VNF实例时,利用所述证书建立与所述VNF实例之间的管理通道。
处理器1014可以是一个通用中央处理器(CPU),微处理器,特定应用集成电路(application-specific integrated circuit,ASIC),或一个或多个用于控制本发明方案程序执行的集成电路。
所述通信总线1013可包括一通路,在上述组件之间传送信息。
需要说明的是,本发明实施例中所述的设备可以是虚拟系统中的虚拟化网络功能VNF管理设备VNFM,具备了为VNF实例代理申请证书的功能,实现方式可以通过硬件实现,也可以通过软件方式实现,这里不做限定。
实施例十:
如图11所示,为本发明实施例十提供的一种证书获取设备的结构示意图,所述设备包括:信号接收器1111和信号发射器1112,其中,所述信号接收器1111和信号发射器1112通过通信总线1113连接。
信号接收器1111,用于接收VNF框架中管理虚拟基础设施VIM发送证书申请代理消息,其中,所述证书申请代理消息中包含了请求申请证书的VNF实例和所述VNF实例用于申请证书的证书申请信息;
信号发射器1112,用于向证书认证中心CA发送证书申请消息,其中,所述证书申请消息中包含了所述VNF实例用于申请证书的证书申请信息;
所述信号接收器1111,还用于接收所述CA签发的证书;
所述信号发射器1112,还用于将所述证书发送给所述VIM,其中,所述证书是所述CA根据所述证书申请信息中包含了所述VNF实例用于申请证书的证书申请信息生成的。
可选地,所述证书申请代理消息是由所述VIM根据接收到的证书申请信息生成的,其中,所述证书申请信息由所述VNF实例根据初始化参数得到,并由所述VNF实例发送给所述VM,再由所述VM通过与所述VIM之间的安全通道发送给所述VIM的。
可选地,所述初始化参数包含了CA信息、证书管理域的域名,由虚拟化功能网络编排器NFVO确定实例化所述VNF实例时得到。
需要说明的是,本发明实施例中所述的设备可以是虚拟系统中的虚拟化网络功能VNF管理设备VNFM,具备了为VNF实例代理申请证书的功能,实现方式可以通过硬件实现,也可以通过软件方式实现,这里不做限定。
实施例十一:
如图12所示,为本发明实施例十一提供的一种证书获取设备的结构示意图,所述设备包括:信号接收器1211和处理器1212,其中,所述信号接收器1211和处理器1212通过通信总线1213连接。
信号接收器1211,用于接收虚拟化网络功能VNF实例发送的证书申请消息,其中,所述证书申请消息中包含了临时证书和用于申请证书的证书申请信息,所述临时证书是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时从所述CA中申请的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的;
处理器1212,用于利用所述临时证书对所述VNF实例进行认证,并在认证通过时,根据所述证书申请消息中包含的用于申请证书的证书申请信息,签发证书给所述VNF实例。
处理器1212可以是一个通用中央处理器(CPU),微处理器,特定应用集成电路(application-specific integrated circuit,ASIC),或一个或多个用于控制本发明方案程序执行的集成电路。
所述通信总线1213可包括一通路,在上述组件之间传送信息。
需要说明的是,本发明实施例中所述的设备可以是证书认证中心,除了CA之外,还可以是其他具备证书认证功能的其他设备,这里不做限定,实现方式可以通过硬件实现,也可以通过软件方式实现,这里不做限定。
实施例十二:
如图13所示,为本发明实施例十二提供的一种证书获取设备的结构示意图,所述设备包括:信号接收器1311和信号发射器1312,其中,所述信号接收器1311和信号发射器1312通过通信总线1313连接。
信号接收器1311,用于接收虚拟机VM发送的证书申请消息,其中,所述证书申请消息中包含了用于申请证书的公钥;
信号发射器1312,用于向证书认证中心CA发送证书申请代理消息,其中,所述证书申请代理消息中包含了所述VM用于申请证书的公钥;
所述信号接收器1311,还用于接收所述CA签发的证书;
所述信号发射器1312,还用于将所述证书发送给所述VM,其中,所述证书由所述CA根据所述证书申请代理消息中包含了所述VM用于申请证书的公钥签名得到的。
具体地,所述信号发射器1312,具体用于向虚拟网络功能框架中管理虚拟基础设施VIM发送证书申请代理消息,并由所述VIM将所述证书申请代理消息转发至证书认证中心CA。
可选地,所述设备还包括:处理器1314,其中:
处理器1314,用于在所述VM接收到所述证书时,建立所述VM与所述VM的管理设备之间建立的管理通道。
可选地,所述公钥由所述VM根据初始化参数生成,其中,所述初始化参数包含了CA信息、证书管理域的域名,由虚拟网络功能框架中管理虚拟基础设施VIM在接收到虚拟化功能网络编排器NFVO发送的生成所述VM时得到。
处理器1314可以是一个通用中央处理器(CPU),微处理器,特定应用集成电路(application-specific integrated circuit,ASIC),或一个或多个用于控制本发明方案程序执行的集成电路。
所述通信总线1313可包括一通路,在上述组件之间传送信息。
需要说明的是,本发明实施例中所述的设备可以是虚拟网络功能基础设备NFVI,具备了为VM代理申请证书的功能,实现方式可以通过硬件实现,也可以通过软件方式实现,这里不做限定。
本领域的技术人员应明白,本发明的实施例可提供为方法、装置(设备)、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、装置(设备)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (33)
1.一种证书获取设备,其特征在于,包括:
接收模块,用于接收VNF实例发送的证书申请代理消息,其中,所述证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息,所述验证信息用于在所述VNF实例与虚拟化网络功能VNF管理设备VNFM之间建立代理申请证书通道;
发送模块,用于利用所述接收模块接收到的所述验证信息对所述VNF实例进行验证,并在验证通过时,向证书认证中心CA发送证书申请消息,其中,所述证书申请消息中包含了用于申请证书的证书申请信息;
所述接收模块,还用于接收所述CA签发的证书;
所述发送模块,还用于将所述接收模块接收到的所述证书发送给所述VNF实例,其中,所述证书是所述CA根据所述证书申请消息中包含了用于申请证书的证书申请信息生成的。
2.如权利要求1所述的设备,其特征在于,所述验证信息为临时证书,其中,所述临时证书是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的。
3.如权利要求2所述的设备,其特征在于,
所述发送模块,具体用于将接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书进行比较;
在确定接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书相同时,确定对所述VNF实例的验证通过;
在确定接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书不相同时,确定对所述VNF实例的验证未通过。
4.如权利要求1所述的设备,其特征在于,所述验证信息为预共享密钥PSK,其中,所述PSK是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时生成的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的。
5.如权利要求4所述的设备,其特征在于,
所述接收模块,具体用于向所述VNF实例发送PSK,并接收VNF实例发送的证书申请代理消息,其中,所述证书申请代理消息是所述VNF实例在确定本地注入的PSK与接收到的所述VNFM发送的PSK相同或关联时向所述VNFM发送的。
6.如权利要求5所述的设备,其特征在于,所述发送模块,具体用于将接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK进行比较;
在确定接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK相同或关联时,确定对所述VNF实例的验证通过;
在确定接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK不相同或不关联时,确定对所述VNF实例的验证未通过。
7.如权利要求1至6任一所述的设备,其特征在于,所述设备还包括:
通道建立模块,用于在将所述证书发送给所述VNF实例时,利用所述证书建立与所述VNF实例之间的管理通道。
8.一种证书获取设备,其特征在于,包括:
接收模块,用于接收VNF框架中管理虚拟基础设施VIM发送证书申请代理消息,其中,所述证书申请代理消息中包含了请求申请证书的VNF实例和所述VNF实例用于申请证书的证书申请信息;
发送模块,用于向证书认证中心CA发送证书申请消息,其中,所述证书申请消息中包含了所述接收模块接收到的所述VNF实例用于申请证书的证书申请信息;
所述接收模块,还用于接收所述CA签发的证书;
所述发送模块,还用于将所述接收模块接收到的所述证书发送给所述VIM,其中,所述证书是所述CA根据所述证书申请信息中包含了所述VNF实例用于申请证书的证书申请信息生成的。
9.如权利要求8所述的设备,其特征在于,所述证书申请代理消息是由所述VIM根据接收到的证书申请信息生成的,其中,所述证书申请信息由所述VNF实例根据初始化参数得到,并由所述VNF实例发送给VM,再由所述VM通过与所述VIM之间的安全通道发送给所述VIM的。
10.如权利要求9所述的设备,其特征在于,所述初始化参数包含了CA信息、证书管理域的域名,由虚拟化功能网络编排器NFVO确定实例化所述VNF实例时得到。
11.一种证书获取设备,其特征在于,包括:
接收模块,用于接收虚拟化网络功能VNF实例发送的证书申请消息,其中,所述证书申请消息中包含了临时证书和用于申请证书的证书申请信息,所述临时证书是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时从CA中申请的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的;
签发模块,用于利用所述接收模块接收到的所述临时证书对所述VNF实例进行认证,并在认证通过时,根据所述证书申请消息中包含的用于申请证书的证书申请信息,签发证书给所述VNF实例。
12.一种证书获取设备,其特征在于,包括:
信号接收器,用于接收VNF实例发送的证书申请代理消息,其中,所述证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息,所述验证信息用于在所述VNF实例与虚拟化网络功能VNF管理设备VNFM之间建立代理申请证书通道;
信号发射器,用于利用所述验证信息对所述VNF实例进行验证,并在验证通过时,向证书认证中心CA发送证书申请消息,其中,所述证书申请消息中包含了用于申请证书的证书申请信息;
所述信号接收器,还用于接收所述CA签发的证书;
所述信号发射器,还用于将所述证书发送给所述VNF实例,其中,所述证书是所述CA根据所述证书申请消息中包含了用于申请证书的证书申请信息生成的。
13.如权利要求12所述的设备,其特征在于,所述验证信息为临时证书,其中,所述临时证书是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的。
14.如权利要求13所述的设备,其特征在于,
所述信号发射器,具体用于将接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书进行比较;
所述VNFM在确定接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书相同时,确定对所述VNF实例的验证通过;
所述VNFM在确定接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书不相同时,确定对所述VNF实例的验证未通过。
15.如权利要求12所述的设备,其特征在于,所述验证信息为预共享密钥PSK,其中,所述PSK是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时生成的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的。
16.如权利要求15所述的设备,其特征在于,
所述信号接收器,具体用于向所述VNF实例发送PSK,并接收所述VNF实例发送的证书申请代理消息,其中,所述证书申请代理消息是所述VNF实例在确定本地注入的PSK与接收到的所述PSK相同或关联时,向所述VNFM发送的。
17.如权利要求16所述的设备,其特征在于,
所述信号发射器,具体用于将接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK进行比较;
在确定接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK相同或关联时,确定对所述VNF实例的验证通过;
在确定接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK不相同或不关联时,确定对所述VNF实例的验证未通过。
18.如权利要求12至17任一所述的设备,其特征在于,所述设备还包括:
处理器,用于在将所述证书发送给所述VNF实例时,利用所述证书建立与所述VNF实例之间的管理通道。
19.一种证书获取设备,其特征在于,包括:
信号接收器,用于接收VNF框架中管理虚拟基础设施VIM发送证书申请代理消息,其中,所述证书申请代理消息中包含了请求申请证书的VNF实例和所述VNF实例用于申请证书的证书申请信息;
信号发射器,用于向证书认证中心CA发送证书申请消息,其中,所述证书申请消息中包含了所述VNF实例用于申请证书的证书申请信息;
所述信号接收器,还用于接收所述CA签发的证书;
所述信号发射器,还用于将所述证书发送给所述VIM,其中,所述证书是所述CA根据所述证书申请信息中包含了所述VNF实例用于申请证书的证书申请信息生成的。
20.如权利要求19所述的设备,其特征在于,所述证书申请代理消息是由所述VIM根据接收到的证书申请信息生成的,其中,所述证书申请信息由所述VNF实例根据初始化参数得到,并由所述VNF实例发送给VM,再由所述VM通过与所述VIM之间的安全通道发送给所述VIM的。
21.如权利要求20所述的设备,其特征在于,所述初始化参数包含了CA信息、证书管理域的域名,由虚拟化功能网络编排器NFVO确定实例化所述VNF实例时得到。
22.一种证书获取设备,其特征在于,包括:
信号接收器,用于接收虚拟化网络功能VNF实例发送的证书申请消息,其中,所述证书申请消息中包含了临时证书和用于申请证书的证书申请信息,所述临时证书是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时从CA中申请的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的;
处理器,用于利用所述临时证书对所述VNF实例进行认证,并在认证通过时,根据所述证书申请消息中包含的用于申请证书的证书申请信息,签发证书给所述VNF实例。
23.一种证书获取方法,其特征在于,包括:
虚拟化网络功能管理设备VNFM接收VNF实例发送的证书申请代理消息,其中,所述证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息,所述验证信息用于在所述VNF实例与所述VNFM之间建立代理申请证书通道;
所述VNFM利用所述验证信息对所述VNF实例进行验证,并在验证通过时,向证书认证中心CA发送证书申请消息,其中,所述证书申请消息中包含了用于申请证书的证书申请信息;
所述VNFM接收所述CA签发的证书,并将所述证书发送给所述VNF实例,其中,所述证书是所述CA根据所述证书申请消息中包含了用于申请证书的证书申请信息生成的。
24.如权利要求23所述的方法,其特征在于,所述验证信息为临时证书,其中,所述临时证书是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的。
25.如权利要求24所述的方法,其特征在于,所述VNFM利用所述验证信息对所述VNF实例进行验证,包括:
所述VNFM将接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书进行比较;
所述VNFM在确定接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书相同时,确定对所述VNF实例的验证通过;
所述VNFM在确定接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书不相同时,确定对所述VNF实例的验证未通过。
26.如权利要求23所述的方法,其特征在于,所述验证信息为预共享密钥PSK,其中,所述PSK是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时生成的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的。
27.如权利要求26所述的方法,其特征在于,所述虚拟化网络功能VNF管理设备VNFM接收VNF实例发送的证书申请代理消息,包括:
所述VNFM向所述VNF实例发送PSK,并接收VNF实例发送的证书申请代理消息,其中,所述证书申请代理消息是所述VNF实例在确定本地注入的PSK与接收到的所述VNFM发送的PSK相同或关联时向所述VNFM发送的。
28.如权利要求27所述的方法,其特征在于,所述VNFM利用所述验证信息对所述VNF实例进行验证,包括:
所述VNFM将接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK进行比较;
所述VNFM在确定接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK相同或关联时,确定对所述VNF实例的验证通过;
所述VNFM在确定接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK不相同或不关联时,确定对所述VNF实例的验证未通过。
29.如权利要求23至28任一所述的方法,其特征在于,所述方法还包括:
所述VNFM在将所述证书发送给所述VNF实例时,利用所述证书建立与所述VNF实例之间的管理通道。
30.一种证书获取方法,其特征在于,包括:
虚拟化网络功能VNF管理设备VNFM接收VNF框架中管理虚拟基础设施VIM发送证书申请代理消息,其中,所述证书申请代理消息中包含了请求申请证书的VNF实例和所述VNF实例用于申请证书的证书申请信息;
所述VNFM向证书认证中心CA发送证书申请消息,其中,所述证书申请消息中包含了所述VNF实例用于申请证书的证书申请信息;
所述VNFM接收所述CA签发的证书,并将所述证书发送给所述VIM,其中,所述证书是所述CA根据所述证书申请信息中包含了所述VNF实例用于申请证书的证书申请信息生成的。
31.如权利要求30所述的方法,其特征在于,所述证书申请代理消息是由所述VIM根据接收到的证书申请信息生成的,其中,所述证书申请信息由所述VNF实例根据初始化参数得到,并由所述VNF实例发送给VM,再由所述VM通过与所述VIM之间的安全通道发送给所述VIM的。
32.如权利要求31所述的方法,其特征在于,所述初始化参数包含了CA信息、证书管理域的域名,由虚拟化功能网络编排器NFVO确定实例化所述VNF实例时得到。
33.一种证书获取方法,其特征在于,包括:
证书认证中心CA接收虚拟化网络功能VNF实例发送的证书申请消息,其中,所述证书申请消息中包含了临时证书和用于申请证书的证书申请信息,所述临时证书是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时从所述CA中申请的,并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的;
所述CA利用所述临时证书对所述VNF实例进行认证,并在认证通过时,根据所述证书申请消息中包含的用于申请证书的证书申请信息,签发证书给所述VNF实例。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2014/077075 WO2015168914A1 (zh) | 2014-05-08 | 2014-05-08 | 一种证书获取方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105284091A CN105284091A (zh) | 2016-01-27 |
| CN105284091B true CN105284091B (zh) | 2018-06-15 |
Family
ID=54392000
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480011377.5A Active CN105284091B (zh) | 2014-05-08 | 2014-05-08 | 一种证书获取方法和设备 |
| CN201580024220.0A Active CN106464495B (zh) | 2014-05-08 | 2015-03-19 | 一种证书获取方法和设备 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580024220.0A Active CN106464495B (zh) | 2014-05-08 | 2015-03-19 | 一种证书获取方法和设备 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US10225246B2 (zh) |
| EP (1) | EP3133789B1 (zh) |
| JP (1) | JP6299047B2 (zh) |
| KR (1) | KR101942412B1 (zh) |
| CN (2) | CN105284091B (zh) |
| BR (1) | BR112016026035B1 (zh) |
| RU (1) | RU2658172C2 (zh) |
| WO (2) | WO2015168914A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106464495A (zh) * | 2014-05-08 | 2017-02-22 | 华为技术有限公司 | 一种证书获取方法和设备 |
Families Citing this family (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015168913A1 (zh) | 2014-05-08 | 2015-11-12 | 华为技术有限公司 | 一种证书获取方法和设备 |
| US9386001B1 (en) | 2015-03-02 | 2016-07-05 | Sprint Communications Company L.P. | Border gateway protocol (BGP) communications over trusted network function virtualization (NFV) hardware |
| US9578008B2 (en) * | 2015-05-11 | 2017-02-21 | Intel Corporation | Technologies for secure bootstrapping of virtual network functions |
| US10069844B2 (en) | 2016-07-21 | 2018-09-04 | Sprint Communications Company L.P. | Virtual network function (VNF) hardware trust in a network function virtualization (NFV) software defined network (SDN) |
| CN106302394B (zh) * | 2016-07-26 | 2019-08-30 | 京信通信系统(中国)有限公司 | 安全通道建立方法和系统 |
| WO2018040095A1 (zh) * | 2016-09-05 | 2018-03-08 | 华为技术有限公司 | 一种生成安全凭证的方法和设备 |
| US10318723B1 (en) * | 2016-11-29 | 2019-06-11 | Sprint Communications Company L.P. | Hardware-trusted network-on-chip (NOC) and system-on-chip (SOC) network function virtualization (NFV) data communications |
| CN110121857B (zh) * | 2016-12-30 | 2021-02-09 | 华为技术有限公司 | 一种凭据分发的方法和设备 |
| EP3550781B1 (en) * | 2016-12-30 | 2021-02-17 | Huawei Technologies Co., Ltd. | Private information distribution method and device |
| CN108540301B (zh) * | 2017-03-03 | 2021-01-12 | 华为技术有限公司 | 一种预置账户的密码初始化方法及相关设备 |
| CN108809907B (zh) * | 2017-05-04 | 2021-05-11 | 华为技术有限公司 | 一种证书请求消息发送方法、接收方法和装置 |
| CN109286494B (zh) * | 2017-07-20 | 2020-10-23 | 华为技术有限公司 | 一种虚拟网络功能vnf的初始化凭据生成方法及设备 |
| CN107302544B (zh) * | 2017-08-15 | 2019-09-13 | 迈普通信技术股份有限公司 | 证书申请方法、无线接入控制设备及无线接入点设备 |
| CN109905252B (zh) * | 2017-12-07 | 2022-06-07 | 华为技术有限公司 | 建立虚拟网络功能实例的方法和装置 |
| US10762193B2 (en) * | 2018-05-09 | 2020-09-01 | International Business Machines Corporation | Dynamically generating and injecting trusted root certificates |
| EP3533178B1 (en) | 2018-11-07 | 2020-09-09 | Alibaba Group Holding Limited | Managing communications among consensus nodes and client nodes |
| US11095460B2 (en) | 2019-07-05 | 2021-08-17 | Advanced New Technologies Co., Ltd. | Certificate application operations |
| CN110445614B (zh) * | 2019-07-05 | 2021-05-25 | 创新先进技术有限公司 | 证书申请方法、装置、终端设备、网关设备和服务器 |
| US20220264301A1 (en) * | 2019-07-17 | 2022-08-18 | Telefonaktiebolaget Lm Ericsson (Publ) | Technique for certificate handling in a core network domain |
| CN110769393B (zh) * | 2019-11-07 | 2021-12-24 | 公安部交通管理科学研究所 | 一种车路协同的身份认证系统及方法 |
| CN110943996B (zh) * | 2019-12-03 | 2022-03-22 | 迈普通信技术股份有限公司 | 一种业务加解密的管理方法、装置及系统 |
| US11522721B2 (en) * | 2020-04-07 | 2022-12-06 | Verizon Patent And Licensing Inc. | System and method for establishing dynamic trust credentials for network functions |
| CN113872765B (zh) * | 2020-06-30 | 2023-02-03 | 华为技术有限公司 | 身份凭据的申请方法、身份认证的方法、设备及装置 |
| CN114024678A (zh) * | 2020-07-15 | 2022-02-08 | 中国移动通信有限公司研究院 | 一种信息处理方法及系统、相关装置 |
| US11436127B1 (en) * | 2020-09-10 | 2022-09-06 | Cisco Technology, Inc. | Automated validation and authentication of software modules |
| CN115942314A (zh) * | 2021-08-06 | 2023-04-07 | 华为技术有限公司 | 一种证书管理方法和装置 |
| WO2023213590A1 (en) * | 2022-05-05 | 2023-11-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Security certificate management during network function (nf) lifecycle |
| CN117318970A (zh) * | 2022-06-23 | 2023-12-29 | 中兴通讯股份有限公司 | 安全通道建立方法、系统及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102663290A (zh) * | 2012-03-23 | 2012-09-12 | 中国科学院软件研究所 | 一种基于虚拟机的数字版权保护方法 |
| CN103036854A (zh) * | 2011-09-30 | 2013-04-10 | 中国移动通信集团公司 | 业务订购方法及系统、业务权限认证方法、终端设备 |
Family Cites Families (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE60222871T2 (de) * | 2002-07-01 | 2008-07-24 | Telefonaktiebolaget Lm Ericsson (Publ) | Anordnung und Verfahren zum Schutz von Endbenutzerdaten |
| RU2371757C2 (ru) * | 2003-08-21 | 2009-10-27 | Майкрософт Корпорейшн | Системы и способы моделирования данных в основанной на предметах платформе хранения |
| JP2005086445A (ja) * | 2003-09-08 | 2005-03-31 | Nooza:Kk | ネットワーク構築方法、ネットワーク構築装置、およびネットワーク構築プログラム |
| US7321970B2 (en) * | 2003-12-30 | 2008-01-22 | Nokia Siemens Networks Oy | Method and system for authentication using infrastructureless certificates |
| US7467303B2 (en) * | 2004-03-25 | 2008-12-16 | International Business Machines Corporation | Grid mutual authorization through proxy certificate generation |
| JP2006246272A (ja) | 2005-03-07 | 2006-09-14 | Fuji Xerox Co Ltd | 証明書取得システム |
| JP4846464B2 (ja) * | 2006-06-21 | 2011-12-28 | 日本電信電話株式会社 | 複数公開鍵の証明書を発行及び検証するシステム、並びに、複数公開鍵の証明書を発行及び検証する方法 |
| US20080066181A1 (en) | 2006-09-07 | 2008-03-13 | Microsoft Corporation | DRM aspects of peer-to-peer digital content distribution |
| US8214635B2 (en) * | 2006-11-28 | 2012-07-03 | Cisco Technology, Inc. | Transparent proxy of encrypted sessions |
| CN100488099C (zh) * | 2007-11-08 | 2009-05-13 | 西安西电捷通无线网络通信有限公司 | 一种双向接入认证方法 |
| KR100910378B1 (ko) * | 2008-10-06 | 2009-08-04 | 주식회사 오엘콥스 | 암호화된 이미지를 이용한 전자증명서 발급 시스템 및 방법 |
| CN101754203B (zh) * | 2009-12-25 | 2014-04-09 | 宇龙计算机通信科技(深圳)有限公司 | 一种wapi证书获取方法、装置及网络系统 |
| US9065825B2 (en) * | 2010-02-05 | 2015-06-23 | International Business Machines Corporation | Method and system for license management |
| US9210162B2 (en) * | 2012-05-02 | 2015-12-08 | Microsoft Technology Licensing, Llc | Certificate based connection to cloud virtual machine |
| JP2014082584A (ja) * | 2012-10-15 | 2014-05-08 | Nippon Registry Authentication Inc | 認証基盤システム |
| US9208350B2 (en) * | 2013-01-09 | 2015-12-08 | Jason Allen Sabin | Certificate information verification system |
| CN103475485B (zh) * | 2013-09-16 | 2017-03-22 | 浙江汇信科技有限公司 | 基于数字证书互联互通的身份认证支撑平台及认证方法 |
| US20150156193A1 (en) * | 2013-12-02 | 2015-06-04 | Microsoft Corporation | Creating and managing certificates in a role-based certificate store |
| EP2942925B1 (en) * | 2014-05-05 | 2016-08-24 | Advanced Digital Broadcast S.A. | A method and system for providing a private network |
| BR112016026035B1 (pt) * | 2014-05-08 | 2023-04-18 | Huawei Technologies Co., Ltd | Dispositivo e métodos de aquisição de certificado |
| US9961103B2 (en) * | 2014-10-28 | 2018-05-01 | International Business Machines Corporation | Intercepting, decrypting and inspecting traffic over an encrypted channel |
| US9769126B2 (en) * | 2015-01-07 | 2017-09-19 | AnchorFee Inc. | Secure personal server system and method |
| US20160277372A1 (en) * | 2015-03-17 | 2016-09-22 | Riverbed Technology, Inc. | Optimization of a secure connection with enhanced security for private cryptographic keys |
| US9854048B2 (en) * | 2015-06-29 | 2017-12-26 | Sprint Communications Company L.P. | Network function virtualization (NFV) hardware trust in data communication systems |
-
2014
- 2014-05-08 BR BR112016026035-0A patent/BR112016026035B1/pt active IP Right Grant
- 2014-05-08 KR KR1020167034284A patent/KR101942412B1/ko active IP Right Grant
- 2014-05-08 RU RU2016147697A patent/RU2658172C2/ru active
- 2014-05-08 EP EP14891493.0A patent/EP3133789B1/en active Active
- 2014-05-08 JP JP2017510714A patent/JP6299047B2/ja active Active
- 2014-05-08 WO PCT/CN2014/077075 patent/WO2015168914A1/zh active Application Filing
- 2014-05-08 CN CN201480011377.5A patent/CN105284091B/zh active Active
-
2015
- 2015-03-19 WO PCT/CN2015/074598 patent/WO2015169126A1/zh active Application Filing
- 2015-03-19 CN CN201580024220.0A patent/CN106464495B/zh active Active
-
2016
- 2016-11-08 US US15/346,357 patent/US10225246B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103036854A (zh) * | 2011-09-30 | 2013-04-10 | 中国移动通信集团公司 | 业务订购方法及系统、业务权限认证方法、终端设备 |
| CN102663290A (zh) * | 2012-03-23 | 2012-09-12 | 中国科学院软件研究所 | 一种基于虚拟机的数字版权保护方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106464495A (zh) * | 2014-05-08 | 2017-02-22 | 华为技术有限公司 | 一种证书获取方法和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6299047B2 (ja) | 2018-03-28 |
| CN106464495A (zh) | 2017-02-22 |
| US10225246B2 (en) | 2019-03-05 |
| JP2017516434A (ja) | 2017-06-15 |
| KR101942412B1 (ko) | 2019-01-25 |
| KR20170002577A (ko) | 2017-01-06 |
| RU2016147697A (ru) | 2018-06-08 |
| RU2016147697A3 (zh) | 2018-06-08 |
| CN105284091A (zh) | 2016-01-27 |
| BR112016026035A2 (pt) | 2018-05-15 |
| CN106464495B (zh) | 2020-02-21 |
| EP3133789A1 (en) | 2017-02-22 |
| WO2015168914A1 (zh) | 2015-11-12 |
| BR112016026035B1 (pt) | 2023-04-18 |
| EP3133789B1 (en) | 2019-01-30 |
| RU2658172C2 (ru) | 2018-06-19 |
| US20170054710A1 (en) | 2017-02-23 |
| EP3133789A4 (en) | 2017-04-26 |
| WO2015169126A1 (zh) | 2015-11-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105284091B (zh) | 一种证书获取方法和设备 | |
| CN105264818B (zh) | 一种证书获取方法和设备 | |
| US11381396B2 (en) | System, apparatus and method for migrating a device having a platform group | |
| CN103888251B (zh) | 一种云环境中虚拟机可信保障的方法 | |
| US9509692B2 (en) | Secured access to resources using a proxy | |
| US20190068602A1 (en) | Secure client-server communication | |
| CN107959656A (zh) | 数据安全保障系统及方法、装置 | |
| CN109936547A (zh) | 身份认证方法、系统及计算设备 | |
| CN110351228A (zh) | 远程登录方法、装置和系统 | |
| CN106899571A (zh) | 信息交互方法及装置 | |
| CN108848496A (zh) | 基于TEE的虚拟eSIM卡的认证方法、TEE终端和管理平台 | |
| CN106936797A (zh) | 一种云中虚拟机磁盘及文件加密密钥的管理方法和系统 | |
| CN104869142A (zh) | 一种基于社交平台的链接分享方法、系统及装置 | |
| CN105453519B (zh) | 一种信息安全验证方法及设备 | |
| CN110121857B (zh) | 一种凭据分发的方法和设备 | |
| CN109802927B (zh) | 一种安全服务提供方法及装置 | |
| CN105991575A (zh) | 云桌面的登陆方法及系统 | |
| CN105471579B (zh) | 一种信任登录方法及装置 | |
| CN108390892A (zh) | 一种远程存储系统安全访问的控制方法和装置 | |
| CN116582332A (zh) | 信息认证方法和数据访问方法、系统和电子设备 | |
| CN117499923A (zh) | 变电站环境下的移动终端分区分时安全接入方法及系统 | |
| Abd Aziz et al. | Identity credential issuance with trusted computing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |