CN110121857B - 一种凭据分发的方法和设备 - Google Patents
一种凭据分发的方法和设备 Download PDFInfo
- Publication number
- CN110121857B CN110121857B CN201680091967.2A CN201680091967A CN110121857B CN 110121857 B CN110121857 B CN 110121857B CN 201680091967 A CN201680091967 A CN 201680091967A CN 110121857 B CN110121857 B CN 110121857B
- Authority
- CN
- China
- Prior art keywords
- instance
- credential
- vtpm
- vnf
- nfvi
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
Abstract
本发明实施例公开了一种凭据分发的方法,包括:网络功能虚拟化基础设施NFVI利用创建在其上的虚拟可信平台模块vTPM实例创建凭据或获取凭据;所述NFVI将所述凭据提供给所述NFVI创建的VNF实例。根据本发明实施例提供的凭据分发的方法,可以降低安全凭据泄露的风险。
Description
技术领域
本发明涉及通信领域,尤其涉及一种凭据分发的方法和设备。
背景技术
网络功能虚拟化(Network Function Virtualization,NFV)技术可以将部分网络功能以软件方式在通用硬件上实现,例如,在电信网络中,利用NFV技术可以在通用的云服务器、交换机和存储中实现部分电信网络功能,从而实现网络服务的快速、高效部署。
NFV技术通过虚拟化网络功能(Virtualized Network Function,VNF)来实现电信网络功能,为了防止伪冒者攻击网络,VNF在初始化之后需要通过安全凭据(或者凭证)与网络中的其它网元进行通信,然而,现有技术中凭据生成后经过多个网元才能到达VNF,凭据被窃取或者被冒用的可能性较大。
发明内容
有鉴于此,本发明实施例提供了一种凭据分发的方法和设备,能够降低了凭据被窃取或者被冒用的风险。
一方面,本发明实施例提供了一种凭据分发的方法,该方法包括:创建在网络功能虚拟化基础设施NFVI中的虚拟可信平台模块vTPM实例生成凭据或者获取凭据;所述vTPM实例将所述凭据提供给所述NFVI创建的虚拟化网络功能VNF实例。
本发明实施例提供的凭据分发的方法,通过将vTPM技术应用到NFV实例化过程中,在NFVI中创建vTPM实例,由该vTPM实例生成或者获取凭据,提供给基于所述NFVI创建的VNF实例,保证了凭据不出可信环境,从而提高了凭据分发的安全性。
可选地,所述vTPM实例将所述凭据提供给所述NFVI创建的VNF实例之前,所述方法还包括:所述vTPM实例将所述创建的凭据注册到证书颁发中心CA中。vTPM实例生成凭据后通过向CA注册,使得所述VNF实例可以利用获取的凭据向所述CA进行证书申请。
可选地,所述vTPM实例将所述凭据注册到证书颁发中心CA中,具体包括:所述vTPM实例经由vTPM O&M代理和vTPM O&M,通过安全通道,向CA注册所述凭据,所述安全通道包括符合TLS、IPsec或SSH标准的交互协议。通过特定的安全通道向进行注册,使得凭据的注册分发更加安全。
可选地,所述vTPM实例获取所述凭据具体包括:所述vTPM实例获取证书颁发中心CA生成的凭据。
可选地,在所述vTPM实例和所述VNF实例在实例化前,管理和编排MANO向CA注册所述VNF,所述CA根据所述MANO注册的VNF,生成对应的凭据。
可选地,所述NFVI上的vTPM实例获取CA生成的凭据,具体包括:CA生成凭据并通过vTPM O&M将所述凭据分发到位于NFVI中的vTPM O&M agent;所述vTPM O&M agent在所述NFVI中创建vTPM实例,并将所述凭据分发到所述创建的vTPM实例中。
可选地,所述凭据为一次性凭据。一次性凭据只在一次注册申请中使用,使得凭据的使用和证书的申请更加安全。
可选地,所述vTPM实例将所述凭据提供给所述VNF实例后,所述VNF实例利用所述凭据进行证书申请。在一种可能的实施方式中,VNF还可以将获得的凭据作为PSK使用。
另一方面,本发明实施例提供了一种凭据分发的方法,该方法包括,网络功能虚拟化基础设施NFVI根据VNF初始化命令创建虚拟化网络功能VNF实例;所述VNF实例从所述NFVI中的虚拟可信平台模块vTPM实例中获取凭据。
可选的,所述方法还包括,所述VNF实例利用所述凭据,向CA申请证书或者作为PSK使用。
再一方面,本发明实施例提供一种网络功能虚拟化基础设施NFVI,其特征在于,包括虚拟可信平台模块vTPM实例,所述vTPM实例用于创建凭据或者获取凭据,并将所述凭据提供给所述NFVI创建的VNF实例。
再一方面,本发明实施例提供一种虚拟网络功能VNF实例,其特征在于,包括:凭据获取单元,所述凭据获取单元用于从NFVI中的虚拟可信平台模块vTPM实例中获取凭据。
可选的,该VNF实例还包括证书申请单元,所述证书申请单元用于利用所述凭据,向CA申请证书。
本申请还提了供一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述各方面所述的方法。
本申请还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述各方面所述的方法。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍,显而易见地,下面所描述的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是适用本发明实施例的一种可能的NFV网络架构的示意图;
图2是本发明实施例应用vTPM实现凭据分发的系统架构示意图;
图3是本发明实施例提供的一种凭据分发方法示意图;
图4是本发明实施例提供的一种凭据分发方法示意图;
图5是本发明实施例提供的一种凭据分发方法的示意图;
图6是本发明实施例提供的NFVI的一种可能的结构示意图;
图7是本发明实施例提供的VNF的一种可能的结构示意图;
图8是本发明实施例提供的一种凭据分发系统结构示意图;
图9是本发明实施例提供的一种计算机设备的硬件结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行描述。
本发明实施例描述的网络架构以及业务场景是为了更加清楚的说明本发明实施例的技术方案,并不构成对本发明实施例提供的技术方案的限定,本领域普通技术人员可知,随着网络架构的演变和新业务场景的出现,本发明实施例提供的技术方案对于类似的技术问题,同样适用。
图1为本发明实施例提供的一种基于NFV的网络架构的示意图。如图1所示,该网络架构包括:网络功能虚拟化编排器(Network Function Virtualization Orchestrator,NFVO)、虚拟化网络功能管理器(Virtualized Network Function Manager,VNFM)、虚拟化基础设施管理器(Virtualized Infrastructure Manager,VIM)、网络功能虚拟化基础设施(Network Function Virtualization Infrastructure,NFVI)、虚拟机(Virtual Machine,VM)、虚拟化网络功能(Virtualized Network Function,VNF)和网元管理系统(ElementManager System,EMS),其中,NFVO、VNFM和VIM属于NFV系统的管理编排(Management andOrchestration,MANO),MANO的相关功能可以通过硬件实现,也可以通过软件实现。
为了方便理解本发明实施例,下面,分别对上述网元以及与本发明相关的要素进行简要介绍。
虚拟化容器(virtualisation container)是计算节点的一部分,用于提供隔离的虚拟化计算环境,一个典型的虚拟化容器的例子是VM。VM指通过虚拟机软件在物理设备上模拟出的虚拟设备。对于在虚拟机中运行的应用程序而言,这些虚拟机就像真正的物理设备那样进行工作,虚拟机上可以安装操作系统和应用程序,虚拟机还可访问网络资源。
VNF,也可称之为虚拟化网元,对应于传统的非虚拟化网络中的物理网络功能。网络功能的功能性行为和状态与网络功能的虚拟化与否无关。VNF可以由多个更低级别的组件组成,可选的,一个VNF可以部署在多个VM上,每个VM承载(host)一个虚拟网络功能组件(Virtualized Network Function Component,VNFC)。可选的,一个VNF也可以部署在一个VM上。
VNFM主要用于:实现VNF实例的生命周期管理,包括VNF实例的初始化、VNF实例的扩容或缩容以及VNF实例的终止。
EMS主要用于:针对VNF执行传统的FCAPS(Fault Management,ConfigurationManagement,Accounting Management,Performance Management and SecurityManagement,故障管理,配置管理,计费管理,性能管理,安全管理)功能。EMS可以单独存在,也可以是具有EMS功能的VNF。
VIM主要负责:基础设施层硬件资源和虚拟化资源的管理、监控和故障上报,面向上层应用提供虚拟化资源池。
NFVI主要用于:提供整个系统运行的硬件和虚拟资源,由硬件资源(包括计算、网络、存储三部分)、虚拟化层(将硬件资源虚拟化成资源池)和虚拟资源(同样分成计算、网络、存储三部分)组成。从VNF的角度来说,虚拟化层和硬件资源看起来是一个能够提供所需虚拟资源的实体。
NFVO用于实现网络服务描述符(Network Service Descriptor,NSD)、虚拟网络功能描述符(Virtualized Network Function Descriptor,VNFD)、虚拟网络功能转发图(Virtualized Network Function Forwarding Graph,VNFFG)的管理,网络服务(NetworkService,NS)生命周期的管理,和资源的全局视图功能。
可信环境(Trusted Environment,TE),用于保护主机(例如,VM)上运行的操作系统和软件,TE可以以硬件实现,也可以以软件实现,无论哪种实现方式,对于VNF来说,都是提供可信任计算功能以及接口调用的模块。
CA(Certificate Authority):证书颁发中心,签发证书、认证证书、管理已颁发证书的网络机构。注册中心(RA)对申请者所提供的数字证书进行验证,CA验证后签发证书。CA负责制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。对数字证书进行全生命周期管理的实体。受一个或多个用户信任的职能机构,负责创建和分发证书。认证机构也可创建用户密钥。
RA(Registration Authority):注册中心。PKI体系中的实体,主要用于对申请者身份的审核。RA、CA部署通常在统一实体上,在简化协议中,证书签发过程中已实现RA的功能。本发明实施例以CA统一指代上述CA和/或RA的功能。
凭据(credential):又叫凭证,用于初始的身份认证,证明实体身份的合法性。凭据可以为一次性口令,token,密钥等。
本发明实施例中,虚拟化系统支持TE,TE可以以硬件实现,也可以以软件实现,对于VNF实例来说,TE是可以提供可信任计算功能以及接口调用的模块。如果TE通过软件实现,则TE是VM的一部分,NFVI在创建承载VNF实例的VM的同时创建了TE,这样,当VNF实例启动后,访问到的TE就是NFVI为该VNF实例分配的TE,与硬件TE类似,NFVI不能访问软件TE存储的数据,也不能使用软件TE的功能。
VNF与EMS或VNFM建立管理通道时,双方需要进行身份认证,以防止伪冒者攻击网络,例如,可以采用安全传输层协议(Transport Layer Security,TLS)、安全外壳协议(Secure Shell,SSH)进行身份认证,然而VNF初始化后实际上是一个信任孤岛,它与其它任何网元间都不存在信任关系,因此,需要在VNF实例化后为VNF实例生成信任凭据,用于例如申请数字证书。下面,将结合附图对本发明实施例进行详细描述。
本发明借助vTPM(Virtual Trust Platform Module,虚拟可信平台模块)技术,在可信环境中安全的完成对VNF的凭据分发。如附图2所示,为本发明实施例提供的一种应用vTPM技术实现凭据分发的系统架构示意图。
vTPM是TPM虚拟化解决方案之一,它使得在虚拟化环境里每一个虚拟机都能获得完整的可信计算功能,通过虚拟可信平台模块,TPM的安全存储与加密功能能够在VM中使用。其中vTPM实例是一个VM中的TPM,每个需要TPM功能的VM在整个生命期内都与一个唯一的vTPM实例关联,也就是一一对应。
本发明实施例中,NFVI支持为每个VNF部署vTPM。凭据由vTPM技术构造的可信环境或可信模块生成,凭据不会被任何非拥有者获知。
图2中vTPM O&M(管理模块),用于管理vTPM实例的创建、删除等,属于一个集中控制点,可以位于MANO中的VIM、VNFM、NFVO等位置,一般来说,vTPM O&M位于VIM中。如果位于NFVO/VNFM中,可以和安全编排结合;
vTPM O&M agent(代理进程),用于在每个hypervisor(又叫VMM,虚拟机监视器)上执行vTPM实例的创建,删除,包括分配vTPM AIK/EK等信息,vTPM O&M agent受控于vTPM O&M。vTPM O&M agent位于NFVI中,可以理解为I层上的一个TPM代理进程。
图3为本发明实施例提供的一种凭据分发方法示意图,该方法利用图2系统提供的支持vTPM技术的系统架构,执行下述方法,包括:
S310,虚拟可信平台模块vTPM实例生成凭据或者获取凭据,所述vTPM实例创建于NFVI上;
S320,所述VNF实例从所述vTPM实例获取凭据。
VNF实例在获取凭据后,可以用来向CA申请证书,或者作为预共享密钥(pre-shared key,PSK)使用,本发明实施例不做限定。
进一步的,对于由vTPM实例创建/生成凭据的情况,该vTPM实例可以在VNF实例获取到凭据前,将创建的凭据通过vTPM O&M,vTPM O&M agent,并最终注册到CA上,由于凭据在被VNF实例获得之前,已经注册到CA中,完成了CA对VNF的身份认证,VNF实例再利用所述凭据向CA申请证书将更加安全。
对于凭据并不是由vTPM实例生成,而是由vTPM实例获取到的情况,该凭据可以是由CA生成并通过vTPM O&M,vTPM O&M agent,在vTPM实例化的过程中写入到vTPM实例中的。CA可以是在收到MANO发送的注册VNF的请求后,生成和该VNF相对应的凭据,发送给相应的vTPM实例。
在NFV系统中,MANO触发NFVI生成一个VNF实例,生成实例后,此新生成的VNF实例需要安全的获取凭据,用于例如证书申请等需要身份证明的交互流程。本发明实施例通过将vTPM技术应用到NFV实例化过程中,在NFVI中创建vTPM实例,由该vTPM实例生成或者获取凭据,提供给基于所述NFVI创建的VNF实例,保证了凭据不出可信环境,从而提高了凭据分发的安全性。
下面将基于上面所述的本发明涉及的共性方面,对本发明实施例进一步详细说明。
图4为本发明实施例提供的一种凭据分发方法示意图,本实施例利用图2中的系统架构,由vTPM实例为VNF实例生成凭据,并向CA中心注册。具体流程如下:
本方法开始之前,在NFVI中已存在由vTPM O&M和vTPM O&M代理创建的至少一个vTPM实例,并且系统中已存在至少一个由所述NFVI创建的VNF实例。
S401、vTPM实例生成凭据;
所述vTPM实例根据vTPM O&M的控制,生成一个凭据,所述凭据一般为一次性凭据,如一次性口令等;
S402、vTPM实例向vTPM O&M代理转发该凭据;
S403、vTPM O&M代理向vTPM O&M转发该凭据;
S404、vTPM O&M向CA注册该凭据,一般是通过安全通道,如TLS、IPsec、SSH协议等完成该凭据的注册;
S405、VNF实例读取vTPM中的凭据;
S406、VNF实例利用凭据向CA进行证书申请;
由于所述凭据已经在步骤S404中注册到了CA,对于CA来说,该凭据是可信的,VNF获取到该凭据后,即可向CA申请证书。
根据本发明实施例的凭据分发方法,由位于NFVI中的vTPM实例生成凭据,该NFVI创建的VNF实例从vTPM实例中获取该凭据,保证了凭据的安全分发;vTPM实例生成凭据后进一步向CA注册,使得所述VNF实例可以进一步利用获取的凭据向所述CA进行证书申请,凭据由vTPM实例生成,而不是由CA生成再下发给vTPM,可以减轻CA的负担。
图5为本发明实施例提供的一种凭据分发方法的通信示意图,本实施例由CA向VNF分配凭据,该方法包括:
S501、MANO向CA注册VNF身份信息,身份信息包括VNF ID;
S502、MANO向vTPM O&M注册所述VNF身份信息,包括VNF ID;
S503、CA生成凭据,一般为一次性凭据,如一次性口令;CA生成的凭据和所述MANO注册的VNF ID相对应;
S504、CA向vTPM O&M分发凭据,一般是通过安全通道,如TLS、IPsec、SSH等协议,将所述凭据发送给vTPM O&M;CA向vTPM O&M分发的消息中一般还会携带VNF ID和凭据的对应关系,以便vTPM O&M确认凭据对应的VNF;
S505、vTPM O&M向vTPM O&M Agent发起创建vTPM实例指示,并分发凭据;
S506、vTPM O&M Agent创建vTPM,并写入凭据;
由于MANO已经向vTPM O&M注册过所述VNF,且TPM O&M获得了所述VNF对应的凭据,所述实例化后得到的vTPM实例也将获得所述VNF对应的凭据;
S507、MANO实例化VNF;
S508、NFVI实例化VNF;
S509、VNF实例从vTPM实例中获取凭据;
此时VNF获得的凭据,就是和该VNF ID对应的,由CA生成的凭据;
S510、VNF实例利用凭据进行证书申请;
根据本发明实施例的凭据分发方法,由CA生成凭据,在vTPM实例化过程中将凭据写入vTPM实例,并提供给VNF,保证了凭据不出可行环境,提高了凭据分发的安全性,CA作为安全中心,由它自己产生凭据并进行验证,安全性更高。
在本发明前述所有实施例中,MANO可以是NFVO、VNFM和VIM中的任一个,可选地,VNF实例化/初始化命令可以通过VIM发送给NFVI。其中,NFVI如何根据VNF初始化命令创建VNF实例是本领域的公知技术,在此不再赘述。
上述实施例主要从各个网元之间交互的角度对本发明实施例的方案进行了介绍。可以理解的是,各个网元,例如NFVI、vTPM实例和VNF实例为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,本发明能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
本发明实施例可以根据上述方法示例对NFVI、vTPM实例、和VNF实例进行功能单元的划分,例如,可以对应各个功能划分各个功能单元,也可以将两个或两个以上的功能集成在一个处理单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。需要说明的是,本发明实施例中对单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
在采用集成的单元的情况下,图6示出了上述实施例中所涉及的NFVI的一种可能的结构示意图。NFVI600包括:vTPM实例;
所述vTPM实例用于生成凭据或者获取凭据,并将所述凭据提供给所述NFVI创建的VNF实例。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的装置和单元的具体工作过程,可以参考前述图2-图5所描述的实施例中NFVI的对应过程,在此不再赘述。
上述实施例仅是举例说明,本发明实施例不限于此,本发明实施例提供的NFVI,除了本发明所涉及的特征外,其它特征均符合欧洲电信标准协会(EuropeanTelecommunication Standards Institute,ETSI)的相关规定,例如,本发明实施例提供的生成安全凭据的NFVI符合下述的文件【1】和文件【2】中关于NFVI的定义,
【1】ETSI GS NFV 002:″Network Functions Virtualisation(NFV);Architectural Framework,
【2】ETSI GS NFV 003:″Network Functions Virtualisation(NFV);Terminologyfor main concepts in NFV"。
因此,本发明实施例提供的NFVI,通过利用vTPM实例生成或获取到安全凭据,并提供给VNF实例,可以减少凭据生成后所经历的网元,降低了安全凭据泄密的风险。
在采用集成的单元的情况下,图7示出了上述实施例中所涉及的VNF实例的一种可能的结构示意图。VNF实例700包括:凭据获取单元;该凭据获取单元用于从NFVI中的虚拟可信平台模块vTPM实例中获取凭据。
可选的,所述VNF实例还包括证书申请单元,所述证书申请单元用于利用所述凭据,向CA申请证书。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的装置和单元的具体工作过程,可以参考前述图2-图5所描述的实施例中VNF实例的对应过程,在此不再赘述。
上述实施例仅是举例说明,本发明实施例不限于此,因此,本发明实施例提供的VNF实例,通过从NFVI中的vTPM实例获取凭据,可以减少全凭据生成后所经历的网元,降低了凭据泄密的风险,并且可以进一步利用所述凭据向CA申请证书。
本发明实施例还提供了一种凭据分发系统,如图8所示,所述凭据分发系统800包括NFVI,NFV实例。
该NFVI,用于通过创建于其上的虚拟可信平台模块vTPM实例,生成凭据或者获取凭据,并将所述凭据提供给该NFVI创建的VNF实例;
该NFV实例,用于从NFVI中的虚拟可信平台模块vTPM实例中获取凭据。
该系统还可以进一步包括CA中心,用于接收所述NFV实例根据所述凭据发送的证书申请请求,并在凭据验证通过后,将证书发送给所述NFV实例。
前述方法实施例涉及的各步骤的所有相关内容均可以援引到该系统中各功能模块,在此不再赘述。
本发明前述所有实施例中的NFVI和VNF实例可以通过计算机设备的形式实现。图9是依据本申请一实施例的计算机设备900的硬件结构示意图。如图9所示,计算机设备900包括处理器902、存储器904、通信接口906和总线908。其中,处理器902、存储器904和通信接口906通过总线908实现彼此之间的通信连接。处理器902可以采用通用的中央处理器(Central Processing Unit,CPU),微处理器,应用专用集成电路(Application SpecificIntegrated Circuit,ASIC),或者一个或多个集成电路,用于执行相关程序,以实现本申请实施例所提供的技术方案。存储器904可以是只读存储器(Read Only Memory,ROM),静态存储设备,动态存储设备或者随机存取存储器(Random Access Memory,RAM)。存储器904可以存储操作系统904l和其他应用程序9042。在通过软件或者固件来实现本申请实施例提供的技术方案时,用于实现本申请实施例提供的技术方案的程序代码保存在存储器904中,并由处理器902来执行。通信接口906使用例如但不限于收发器一类的收发装置,来实现与其他设备或通信网络之间的通信。总线908可包括一通路,在各个部件(例如处理器902、存储器904、通信接口906)之间传送信息。
当计算机设备900是VNFI时,处理器902用于执行:在该VNFI上配置虚拟可信平台模块vTPM实例,所述vTPM实例生成凭据或者获取凭据;
所述vTPM实例将所述凭据提供给所述NFVI创建的VNF实例;
当计算机设备900是VNF时,处理器902用于:从NFVI中的虚拟可信平台模块vTPM实例中获取凭据,并进一步利用所述凭据向CA申请证书。
本申请实施例还提供了一种计算机存储介质,该计算机存储介质可以存储用于指示上述任一方法的程序指令。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接,也可以是电的,机械的或其它的形式连接。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者通过所述计算机可读存储介质进行传输。所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质。例如,可以利用磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))来存储或传输所述计算机指令。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (14)
1.一种凭据分发的方法,其特征在于,所述方法包括:虚拟可信平台模块vTPM实例生成凭据或者获取凭据,所述vTPM创建在网络功能虚拟化基础设施NFVI中;所述vTPM实例将所述凭据提供给所述NFVI创建的虚拟化网络功能VNF实例;
其中,所述vTPM实例将所述凭据提供给所述NFVI创建的VNF实例之前,所述方法还包括:所述vTPM实例将所述凭据注册到证书颁发中心CA中。
2.如权利要求1中所述的方法,其特征在于,所述vTPM实例将所述凭据注册到证书颁发中心CA中,具体包括:
所述vTPM实例经由vTPM O&M代理和vTPM O&M,通过安全通道,向CA注册所述凭据,所述安全通道包括符合TLS、IPsec或SSH标准的交互协议。
3.如权利要求1中所述的方法,其特征在于,所述vTPM实例获取所述凭据具体包括:所述vTPM实例获取证书颁发中心CA生成的凭据。
4.如权利要求3中所述的方法,其特征在于,在所述vTPM实例和所述VNF实例在实例化前,管理和编排MANO向CA注册所述VNF,所述CA根据所述MANO注册的VNF,生成对应的凭据。
5.如权利要求4中所述的方法,其特征在于,所述NFVI上的vTPM实例获取CA生成的凭据,具体包括:
CA生成凭据并通过vTPM O&M将所述凭据分发到位于NFVI中的vTPM O&M agent;
所述vTPM O&M agent在所述NFVI中创建vTPM实例,并将所述凭据分发到所述创建的vTPM实例中。
6.如权利要求1-5中任一项所述的方法,其特征在于,所述凭据为一次性凭据。
7.如权利要求1-5中任一项所述的方法,其特征在于,所述vTPM实例将所述凭据提供给所述VNF实例后,所述VNF实例利用所述凭据进行证书申请。
8.如如权利要求6所述的方法,其特征在于,所述vTPM实例将所述凭据提供给所述VNF实例后,所述VNF实例利用所述凭据进行证书申请。
9.一种凭据分发的方法,其特征在于,所述方法包括:虚拟可信平台模块vTPM实例生成凭据或者获取凭据,所述vTPM创建在网络功能虚拟化基础设施NFVI中;所述vTPM实例将所述凭据提供给所述NFVI创建的虚拟化网络功能VNF实例;
其中,所述vTPM实例获取所述凭据具体包括:所述vTPM实例获取证书颁发中心CA生成的凭据。
10.一种凭据分发的方法,其特征在于,所述方法包括:虚拟可信平台模块vTPM实例生成凭据或者获取凭据,所述vTPM创建在网络功能虚拟化基础设施NFVI中;所述vTPM实例将所述凭据提供给所述NFVI创建的虚拟化网络功能VNF实例;
其中,所述vTPM实例将所述凭据提供给所述VNF实例后,所述VNF实例利用所述凭据进行证书申请。
11.一种凭据分发的方法,其特征在于,所述方法包括,
网络功能虚拟化基础设施NFVI根据VNF初始化命令创建虚拟化网络功能VNF实例;
所述VNF实例从所述NFVI中的虚拟可信平台模块vTPM实例中获取凭据;
其中,所述方法还包括,所述VNF实例利用所述凭据,向CA申请证书。
12.一种网络功能虚拟化基础设施NFVI,其特征在于,包括虚拟可信平台模块vTPM实例,所述vTPM实例用于执行权利要求1至10任意一项所述的方法。
13.一种虚拟网络功能VNF实例,其特征在于,包括:凭据获取单元,
所述凭据获取单元用于从NFVI中的虚拟可信平台模块vTPM实例中获取凭据;
其中,
还包括证书申请单元,所述证书申请单元用于利用所述凭据,向CA申请证书。
14.一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机执行如权利要求1-11所述的方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2016/113557 WO2018120042A1 (zh) | 2016-12-30 | 2016-12-30 | 一种凭据分发的方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110121857A CN110121857A (zh) | 2019-08-13 |
| CN110121857B true CN110121857B (zh) | 2021-02-09 |
Family
ID=62707799
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680091967.2A Active CN110121857B (zh) | 2016-12-30 | 2016-12-30 | 一种凭据分发的方法和设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN110121857B (zh) |
| WO (1) | WO2018120042A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111988263B (zh) * | 2019-05-22 | 2021-07-16 | 华为技术有限公司 | 容器服务管理方法及容器管理器、虚拟网络功能实例和虚拟网络功能管理器 |
| CN111212071B (zh) * | 2019-12-31 | 2022-04-01 | 奇安信科技集团股份有限公司 | 信息处理方法及其装置、电子设备和介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101176303A (zh) * | 2006-05-10 | 2008-05-07 | 华为技术有限公司 | 一种业务倒换的方法和网络节点 |
| CN104113574A (zh) * | 2013-04-19 | 2014-10-22 | 中国科学院计算技术研究所 | 一种广域网可信虚拟机的安全迁移方法及系统 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9294282B1 (en) * | 2013-07-01 | 2016-03-22 | Amazon Technologies, Inc. | Cryptographically verified repeatable virtualized computing |
| US9652631B2 (en) * | 2014-05-05 | 2017-05-16 | Microsoft Technology Licensing, Llc | Secure transport of encrypted virtual machines with continuous owner access |
| WO2015168913A1 (zh) * | 2014-05-08 | 2015-11-12 | 华为技术有限公司 | 一种证书获取方法和设备 |
| BR112016026035B1 (pt) * | 2014-05-08 | 2023-04-18 | Huawei Technologies Co., Ltd | Dispositivo e métodos de aquisição de certificado |
| US10491594B2 (en) * | 2014-08-22 | 2019-11-26 | Nokia Technologies Oy | Security and trust framework for virtualized networks |
| US10289814B2 (en) * | 2014-12-23 | 2019-05-14 | Intel Corporation | Licensing in the cloud |
-
2016
- 2016-12-30 CN CN201680091967.2A patent/CN110121857B/zh active Active
- 2016-12-30 WO PCT/CN2016/113557 patent/WO2018120042A1/zh active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101176303A (zh) * | 2006-05-10 | 2008-05-07 | 华为技术有限公司 | 一种业务倒换的方法和网络节点 |
| CN104113574A (zh) * | 2013-04-19 | 2014-10-22 | 中国科学院计算技术研究所 | 一种广域网可信虚拟机的安全迁移方法及系统 |
Non-Patent Citations (3)
| Title |
|---|
| "ETSI GS NFV 002 V1.2.1";GROUP SPECIFICATION;《ETSI》;20141230 * |
| "NFV中虚拟化网络功能生命周期安全管理措施";苏坚,肖子玉;《电信科学》;20161120 * |
| "vTPM: Virtualizing the Trusted Platform Module";Stefan Berger;《citeseerx.ist.psu.edu/download;jsessionid=081C90A9239880514A1》;20061231;第305-320页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2018120042A1 (zh) | 2018-07-05 |
| CN110121857A (zh) | 2019-08-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11258780B2 (en) | Securing a data connection for communicating between two end-points | |
| US10609560B2 (en) | Using derived credentials for enrollment with enterprise mobile device management services | |
| JP6957764B2 (ja) | 高速スマートカードログオン | |
| US10992473B2 (en) | Secure single sign on and conditional access for client applications | |
| US10826905B2 (en) | Secure access to on-premises web services from multi-tenant cloud services | |
| US9509692B2 (en) | Secured access to resources using a proxy | |
| US10397778B2 (en) | Computer network providing secure mobile device enrollment features and related methods | |
| US10331882B2 (en) | Tracking and managing virtual desktops using signed tokens | |
| JP6311196B2 (ja) | 証明書取得方法およびデバイス | |
| US11392876B2 (en) | Deploying and implementing enterprise policies that control augmented reality computing functions | |
| US9935937B1 (en) | Implementing network security policies using TPM-based credentials | |
| JP2019526843A (ja) | ホストされたアプリケーションへの動的アクセス | |
| KR20170062529A (ko) | 빠른 스마트 카드 로그온 및 연합된 풀 도메인 로그온 | |
| WO2015143651A1 (zh) | 基于网络功能虚拟化的证书配置方法、装置和系统 | |
| CN110121857B (zh) | 一种凭据分发的方法和设备 | |
| US11025594B2 (en) | Secret information distribution method and device | |
| WO2018040095A1 (zh) | 一种生成安全凭证的方法和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |