CN113037782A - 证书获取方法和系统、电子设备、计算机可读存储介质 - Google Patents

Abstract

本申请提供了一种证书获取方法和系统、电子设备、计算机可读存储介质，证书获取方法包括：获取已注入到所述虚拟化网络功能实体中的证书申请参数；根据所述证书申请参数获取初始申请信任参数；向证书中心服务器发送注册请求；其中，所述注册请求包括：所述初始申请信任参数。

Description

证书获取方法和系统、电子设备、计算机可读存储介质

技术领域

本申请实施例涉及通信领域，特别涉及证书获取方法和系统、电子设备、计算机可读存储介质。

背景技术

网络功能虚拟化（NFV，Network Function Virtualization）是欧洲电信标准协会（ETSI，European Telecommunication Standards Institute）提出的技术规范，致力于将电信网络功能虚拟化部署并实施。

由于NFV系统中引入了虚拟化网络功能（VNF，Virtualization NetworkFunction），使得传统的基于物理设备的电信网络功能节点转化为虚拟网络节点，以虚拟机的形态运行，并实现了软硬件解耦，将硬件基础设施管理从网络功能中剥离出来。这样使得多个不同的虚拟网络节点可以共享物理宿主机的硬件资源；同时由于网络功能的虚拟化，使得不同虚拟网络节点也可共用基础设施层相同的物理网卡、交换机设备和物理连接资源。VNF实体作为标准的电信网元，与外部系统之间基于网络的互操作功能与传统的非虚拟化电信网元（又称为物理网络功能（PNF，Physical Network Function）实体）没有区别，为了防护来自于内部和外部网络的攻击，双方之间的通信也需要建立安全的连接，所采用的安全技术包括互联网安全协议（IPSec，Internet Protocol Security）、传输层安全协议（TLS，Transport Layer Secruity）等，通过建立安全的通道来保证传输数据的机密性与完整性。上述通信协议均要求双方通信实体配置代表自己身份的X.509数字证书，以实现本对端之间的相互验证。

在NFV系统中，VNF实体本质上是一组软件，在未创建并启动之前没有对应的物理实体资源，因此，传统基于物理实体资源的证书解决方案无法适用于NFV形态。

发明内容

本申请实施例提供一种证书获取方法和系统、电子设备、计算机可读存储介质。

第一方面，本申请实施例提供一种证书获取方法，应用于虚拟化网络功能实体，该方法包括：

获取已注入到所述虚拟化网络功能实体中的证书申请参数；

根据所述证书申请参数获取初始申请信任参数；

向证书中心服务器发送注册请求；其中，所述注册请求包括：所述初始申请信任参数。

第二方面，本申请实施例提供一种证书获取方法，应用于证书中心服务器，该方法包括：

接收虚拟化网络功能实体发送的注册请求；其中，所述注册请求包括：初始申请信任参数；

在根据所述初始申请信任参数对所述虚拟化网络功能实体进行身份认证通过，且根据预先配置的白名单确定所述虚拟化网络功能实体为获准持有运营商证书的合法实体的情况下，向所述虚拟化网络功能实体返回注册响应；其中，所述注册响应包括：运营商证书。

第三方面，本申请实施例提供一种证书获取方法，应用于第一管理实体或第二管理实体，该方法包括：

接收虚拟化网络功能实例化请求；

获取所述虚拟化网络功能实例化请求对应的虚拟化网络功能实体的证书申请参数；其中，所述证书申请参数为需要作为实例化参数注入所述虚拟化网络功能实体的参数；

向第三管理实体发送资源分配命令；其中，所述资源分配命令包括：所述证书申请参数。

第四方面，本申请实施例提供一种证书获取方法，应用于第三管理实体，该方法包括：

接收第一管理实体或第二管理实体发送的资源分配命令；其中，所述资源分配命令包括：证书申请参数；所述证书申请参数为需要作为实例化参数注入虚拟化网络功能实体的参数；

向第五管理实体发送虚拟机创建请求；其中，所述虚拟机创建请求包括：实例化参数，所述实例化参数包括：所述证书申请参数。

第五方面，本申请实施例提供一种证书获取方法，应用于第五管理实体，该方法包括：

接收第三管理实体发送的虚拟机创建请求；其中，所述虚拟机创建请求包括：实例化参数，所述实例化参数包括：证书申请参数；

将所述证书申请参数注入到虚拟化网络功能实体中。

第六方面，本申请实施例提供一种电子设备，包括：

至少一个处理器；

存储器，存储器上存储有至少一个程序，当所述至少一个程序被所述至少一个处理器执行时，实现上述任意一种证书获取方法。

第七方面，本申请实施例提供一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现上述任意一种证书获取方法。

第八方面，本申请实施例提供一种证书获取系统，包括：

虚拟化网络功能实体，用于：

获取已注入到所述虚拟化网络功能实体中的证书申请参数；

根据所述证书申请参数获取初始申请信任参数；

向证书中心服务器发送注册请求；其中，所述注册请求包括：所述初始申请信任参数；

证书中心服务器，用于：

接收虚拟化网络功能实体发送的注册请求；

在根据所述初始申请信任参数对所述虚拟化网络功能实体进行身份认证通过，且根据预先配置的白名单确定所述虚拟化网络功能实体为获准持有运营商证书的合法实体的情况下，向所述虚拟化网络功能实体返回注册响应；其中，所述注册响应包括：运营商证书。

本申请实施例提供应用于VNF实体的证书获取方法，从注入到VNF实体中的证书申请参数获得初始申请信任参数，从而实现了证书的申请过程，即通过注入VNF实体的方式实现了证书的申请过程。

本申请实施例提供的应用于证书中心服务器的证书获取方法，基于预先设置的白名单对VNF实体是否是获准持有运营商证书的合法实体进行验证，基于注册请求中的初始申请信任参数对VNF实体进行身份认证，从而实现了为通过身份认证的合法实体颁发证书的过程。

本申请实施例提供的应用于第一管理实体或第二管理实体的证书获取方法，通过资源分配命令将证书申请参数传递给第三管理实体，使得第三管理实体在虚拟机创建请求中将证书申请参数作为实例化参数传递给第五管理实体，最终实现第五管理实体将证书申请参数注入到VNF实体中，以便后续VNF实体进行证书的申请过程，从而实现了NVF实体的证书的申请过程。

本申请实施例提供的应用于第三管理实体的证书获取方法，获取第一管理实体或第二管理实体通过资源分配命令传递过来的证书申请参数，在虚拟机创建请求中将证书申请参数作为实例化参数传递给第五管理实体，使得第五管理实体将证书申请参数注入到VNF实体中，以便后续VNF实体进行证书的申请过程，从而实现了NVF实体的证书的申请过程。

本申请实施例提供的应用于第五管理实体的证书获取方法，将第三管理实体在虚拟机创建请求传递过来的作为实例化参数的证书申请参数注入到VNF实体中，以便后续VNF实体进行证书的申请过程，从而实现了NVF实体的证书的申请过程。

附图说明

图1为本申请实施例的NFV系统的组成示意图；

图2为本申请一个实施例提供的证书获取方法的流程图；

图3为本申请另一个实施例提供的证书获取方法的流程图；

图4为本申请另一个实施例提供的证书获取方法的流程图；

图5为本申请另一个实施例提供的证书获取方法的流程图；

图6为本申请另一个实施例提供的证书获取方法的流程图；

图7为本申请另一个实施例提供的证书获取方法的流程图；

图8为本申请实施例的示例1提供的证书获取方法的交互示意图；

图9为本申请实施例的示例2提供的证书获取方法的交互示意图；

图10为本申请另一个实施例提供的证书获取系统的组成框图；

图11为本申请另一个实施例提供的证书获取装置的组成框图；

图12为本申请另一个实施例提供的证书获取装置的组成框图；

图13为本申请另一个实施例提供的证书获取装置的组成框图；

图14为本申请另一个实施例提供的证书获取装置的组成框图；

图15为本申请另一个实施例提供的证书获取装置的组成框图。

具体实施方式

为使本领域的技术人员更好地理解本申请的技术方案，下面结合附图对本申请提供的证书获取方法和系统、电子设备、计算机可读存储介质进行详细描述。

在下文中将参考附图更充分地描述示例实施例，但是所述示例实施例可以以不同形式来体现且不应当被解释为限于本文阐述的实施例。反之，提供这些实施例的目的在于使本申请透彻和完整，并将使本领域技术人员充分理解本申请的范围。

在不冲突的情况下，本申请各实施例及实施例中的各特征可相互组合。

如本文所使用的，术语“和/或”包括至少一个相关列举条目的任何和所有组合。

本文所使用的术语仅用于描述特定实施例，且不意欲限制本申请。如本文所使用的，单数形式“一个”和“该”也意欲包括复数形式，除非上下文另外清楚指出。还将理解的是，当本说明书中使用术语“包括”和/或“由……制成”时，指定存在所述特征、整体、步骤、操作、元件和/或组件，但不排除存在或添加至少一个其它特征、整体、步骤、操作、元件、组件和/或其群组。

除非另外限定，否则本文所用的所有术语(包括技术和科学术语)的含义与本领域普通技术人员通常理解的含义相同。还将理解，诸如那些在常用字典中限定的那些术语应当被解释为具有与其在相关技术以及本申请的背景下的含义一致的含义，且将不解释为具有理想化或过度形式上的含义，除非本文明确如此限定。

图1为本申请实施例的NFV系统的组成示意图。如图1所示，NFV系统包括：虚拟化网络功能管理与编排（MANO，NFV Management and Orchestration）子系统、网络功能虚拟化基础设施（NFVI，Network Function Virtualization Infrastructure）实体、VNF实体和网元管理（EM，Element Management）实体。

其中，MANO子系统包括：虚拟化基础设施管理（VIM，VirtualizationInfrastructure Manager）实体、虚拟化网络功能的生命周期管理（VNFM，VirtualizationNetwork Function Manager）实体和网络功能虚拟化编排器（NFVO，Network FunctionVirtualization Orchestrator）实体。

其中，VIM实体用于分配、管理、释放虚拟化资源，收集并报告虚拟化资源的性能与错误信息。

其中，VNFM实体用于协调VNF实例化、终止、弹性伸缩、版本升级等功能所涉及的相关NFVI资源。

其中，NFVO实体用于管理网络服务（NS，Network Service）的生命周期，协调NS的生命周期的管理、协调VNF实体的生命周期的管理、协调NFVI的多类资源的管理，以此确保所需多类资源与连接的优化配置。其中，NS为多个互连的VNF实体的集合，构成了完整的电信网络功能（例如，虚拟基站连接虚拟核心网网元构成了无线接入网络服务）。

其中，NFVI实体用于描述在数据中心部署的基于虚拟化管理程序（Hypervisor）管辖的物理计算、存储、网络交换设备。

其中，NVF实体作为标准的电信网元，与外部系统之间基于网络的互操作功能与传统的非虚拟化电信网元（又称为物理网络功能（PNF，Physical Network Function）实体）没有区别。在本申请实施例中，一个NVF实体即为一个NVF实例，一个NVF实例可以由一个或一个以上虚拟机节点组成，每一个虚拟机节点用于实现NVF实例的部分或全部功能。

其中，EM实体用于管理VNF实体所提供的业务功能。

无论是VNF实体还是PNF实体，在商用部署后都属于运营商的资产。因此在对外安全通信时需要采用运营商指定的权威证书中心（CA，Certificate Authority）所签发的数字证书。对于传统的PNF实体，往往采用实体证书的解决方案，要么在系统并网开通前，将预先申请获得的运营商证书与公私钥对预置在PNF实体对应的网元硬件设备中，要么在PNF实体对应的网元硬件设备中预置向CA申请运营商证书的凭证，例如在PNF实体对应的网元硬件设备中预置设备商证书和密钥对，在系统并网开通时使用此凭证通过公钥基础设施（PKI，Public Key Infrastructure）协议向CA注册申请正式的运营商证书和公私钥对。这种解决方案利用了每个PNF实体对应的实体设备的唯一特征和单独的物理存储空间，实现了运营商证书和PNF实体的绑定，并保证了一旦设备并网开通就能立刻获取运营商证书和公私钥对。

然而，在NFV系统中，VNF实体本质上是一组软件，在未创建并启动之前没有对应的物理实体资源。设备商只需要提供一份统一的VNF软件模型包，运营商运维人员就可以通过向MANO实体发起编排启动命令，依次通过NFVO、VNFM实体和VIM实体的资源分配和协调，最终在所选的NFVI上分配计算、存储、网络资源并实例化若干VNF实例。每个VNF实例在其生命周期内，用软件实现电信网络的业务功能。由于VNF实体运行的载体是虚拟机，虚拟机的硬件设备是由软件模拟生成的，无法与物理设备持久化关联。因此，传统的基于实体设备的物理实体资源的证书解决方案无法适用于NFV形态。

针对这个问题的应对策略，业界并无统一的标准。相关的一些实现方案，主要思想是预先为不同的虚拟网元申请制作好运营商证书和公私钥对，然后在其对应的VNF实例创建成功后再进行安装配置。但这种实现方案并不安全，因为离线传递。保存运营商证书和公私钥对存在难以管控的风险，会造成公私钥对的泄露等严重后果。而且在实例化NVF之前额外增加了离线申请制作运营商证书的工作流程，也增加了系统开通维护的工作量。

在本申请实施例中，采用第一管理实体代替NFVO实体，采用第二管理实体代替VNFM实体来进行描述，采用第三管理实体代替VIM实体，第四管理实体代替EM实体，采用第五管理实体代替NFVI实体，但是，第一管理实体并不仅仅指NFVO实体，第二管理实体并不仅仅指VNFM实体，第三管理实体并不仅仅指VIM实体，第四管理实体并不仅仅指EM实体，第五管理实体并不仅仅指NFVI实体，在不同的应用场景中，第一管理实体、第二管理实体、第三管理实体、第四管理实体、第五管理实体可以指不同的实体节点、或虚拟节点。

图2为本申请一个实施例提供的证书获取方法的流程图。

第一方面，参照图2，本申请一个实施例提供一种证书获取方法，应用于VNF实体，该方法包括：

步骤200、获取已注入到VNF实体中的证书申请参数。

在一些示例性实施例中，证书申请参数包括：初始申请信任参数。本申请实施例的初始申请信任参数是指未经安全保护的初始申请信任参数。

在一些示例性实施例中，证书申请参数包括：安全保护后的初始申请信任参数。其中，安全保护后的初始申请信任参数是指对初始申请信任参数进行安全保护后得到的参数。

安全保护可以包括机密性保护和完整性保护，机密性保护即是采用第一加密密钥对初始申请信任参数进行加密，完整性保护即是采用第二加密密钥对初始申请信任参数的校验信息进行加密。

在一些示例性实施例中，第一加密密钥和第二加密密钥可以相同，也可以不同，具体可以根据实际情况确定，本申请实施例对此不作限定。

在一些示例性实施例中，可以采用对称加密算法对初始申请信任参数进行对称加密，也可以采用非对称加密算法对初始申请信任参数进行非对称加密。

在一些示例性实施例中，可以采用对称加密算法对初始申请信任参数的校验信息进行对称加密，也可以采用非对称加密算法对初始申请信任参数的校验信息进行非对称加密。

在本申请实施例中，在已注入到VNF实体中的证书申请参数为安全保护后的初始申请信任参数的情况下，使得第三管理实体和第五管理实体只能获得密文形式的初始申请信任参数，而无法获得明文形式的初始申请信任参数，从而实现了初始申请信任参数的安全传递过程和安全注入过程，降低了来自虚拟化层或者基础设施的其他内外攻击者针对虚拟机的攻击所造成的初始申请信任参数泄露的风险。

在一些示例性实施例中，为了提高安全性，即降低初始申请信任参数中的初始认证凭据被泄露的风险，VNF实体对应的初始申请信任参数应满足“一机一密”的原则，即将每一个VNF实体作为独立的证书申请主体，应具有区别于其他VNF实体的初始申请信任参数，不得重复，也就是说，不同VNF实体对应的初始申请信任参数不同。

在一些示例性实施例中，初始申请信任参数包括：VNF实体的证书主题和VNF实体的初始认证凭据。因此，上述不同VNF实体对应的初始申请信任参数不同是指，不同VNF实体对应的证书主题和初始认证凭据均不相同。

在一些示例性实施例中，证书主题可以是指证书持有者名称，这里，证书持有者名称可以采用与VNF实体一一对应的逻辑标识来表示，逻辑标识例如可以是第一管理实体或第二管理实体或第四管理实体中用于管理该VNF实体所使用的与该VNF实体一一对应的逻辑标识，或者由用户自定义生成的与该VNF实体一一对应的逻辑标识。

在一些示例性实施例中，初始认证凭据用于在证书申请过程中对VNF实体进行身份认证，可以包括预共享密钥、令牌、密码中的任何一种。

本申请实施例对具体的证书申请参数的注入方式不作限定，例如可以是元数据注入方式、文件注入方式等中的任意一种。

在本申请实施例中，由于VNF实体可以由一个或一个以上虚拟机节点构成，因此，可以从构成VNF实体的虚拟机节点中选择一个虚拟机节点作为实现证书管理功能的虚拟节点来实现证书的管理功能，证书的管理功能包括：证书的申请功能，证书的存储功能，等等。

那么，证书申请参数即是注入到VNF实体中实现证书管理功能的虚拟机节点。

在一些示例性实施例中，可以是在VNF实体创建成功并启动后，获取已注入到VNF实体中的证书申请参数。具体的，可以是在VNF实体创建成功并启动后，由VNF实体中实现证书管理功能的虚拟机节点获取已注入到VNF实体中的证书申请参数。

步骤201、根据证书申请参数获取初始申请信任参数。

在本申请实施例中，由于证书申请参数可以是未经安全保护的初始申请信任参数，也可以是安全保护后的初始申请信任参数。因此，针对不同形式的证书申请参数，根据证书申请获取参数获取初始申请信任参数的方式也有所不同。

在一些示例性实施例中，针对证书申请参数包括：未经安全保护的初始申请信任参数的情况，即证书申请参数为明文格式，未经安全保护处理的参数，根据证书申请参数获取初始申请信任参数包括：直接将明文格式的证书申请参数作为初始申请信任参数。

在一些示例性实施例中，针对证书申请参数包括：安全保护后的初始申请信任参数的情况，即证书申请参数为密文格式，经安全保护处理后的参数，由于需要对证书申请参数进行解密，因此，根据证书申请参数获取初始申请信任参数之前，该方法还包括：获取已传入到虚拟化网络功能实体中的解密凭据；

根据证书申请参数获取初始申请信任参数包括：采用解密凭据对证书申请参数进行解密得到明文格式的初始申请信任参数。

在一些示例性实施例中，安全保护可以包括机密性保护和完整性保护，因此，上述解密凭据包括：第一加密密钥对应的第一解密密钥，以及第二加密密钥对应的第二解密密钥；

上述对安全保护后的初始申请信任参数进行解密包括：

采用与第一加密密钥对应的第一解密密钥对安全保护后的初始申请信任参数进行解密得到初始申请信任参数；

采用与第二加密密钥对应的第二解密密钥对加密后的校验信息进行解密得到校验信息；

采用解密得到的校验信息对解密得到的初始申请信任参数进行校验，校验通过说明解密得到的初始申请信任参数有效，可以用于后续证书申请；校验不通过说明解密得到的初始申请信任参数无效，不能用于后续证书申请。

在一些示例性实施例中，第一加密密钥和第二加密密钥，以及第一解密密钥和第二解密密钥可以预先配置在执行安全保护过程的执行主体中，例如，由第四管理实体对初始申请信任参数进行安全保护，那么预先配置在第四管理实体中；由第一管理实体或第二管理实体对初始申请信任参数进行安全保护，那么预先配置在第一管理实体或第二管理实体中。

在一些示例性实施例中，在进行非对称加密的情况下，第一加密密钥和第二加密密钥可以采用第四管理实体、或第一管理实体、或第二管理实体的运营商证书对应的私钥，第一解密密钥和第二解密密钥可以采用第四管理实体、或第一管理实体、或第二管理实体的运营商证书中的公钥。

本申请实施例对具体的解密凭据的注入方式不作限定，例如可以是元数据注入方式、文件注入方式等中的任意一种。

步骤202、向证书中心（CA，Certificate Authority）服务器发送注册请求；其中，注册请求包括：初始申请信任参数。

在一些示例性实施例中，可以通过公开密钥基础设施（PKI，Public KeyInfrastructure）协议向CA服务器发送注册请求。

本申请实施例对PKI协议不作限定，例如PKI协议可以是证书管理协议版本2（CMPv2，Certificate Management Protocol version2），或简单证书登记协议（SCEP，Simple Certificate Enrollment Protocol）等。

在本申请实施例中，在通过PKI协议的证书登记（Certificate Enrollment）流程向CA服务器发送注册请求的情况下，将VNF实体作为PKI终端实体（EE，End Entity）或将VNF实体中实现证书管理功能的虚拟机节点作为PKI终端实体执行本申请实施例的证书获取方法。

在一些示例性实施例中，向CA服务器发送注册请求之前，该方法还包括：获取用于表征虚拟化网络功能实体的身份的密钥对；

注册请求还包括：密钥对中的公钥、密钥对中的私钥的拥有证明（POP，Proof-of-Possession）信息。

在本申请实施例中，注册请求中仅包含密钥对中的私钥的拥有证明信息，而不是包含密钥对中的私钥本身，使得密钥对中的私钥在整个证书申请过程中不对外暴露，提高了安全性。

在一些示例性实施例中，获取用于表征VNF实体的身份的密钥对包括：

VNF实体自身生成密钥对；

或者，获取第五管理实体的硬件安全模块（HSM，Hardware Security）生成的密钥对。

本申请实施例对密钥对的生成方式不作限定，但要保证所生成的密钥对不对外暴露，例如，VNF实体可通过自身的软件算法模块来生成密钥对，第五管理实体的HSM可以采用专用密钥生成服务生成密钥对。

在一些示例性实施例中，向CA服务器发送注册请求后，该方法还包括：

接收CA服务器返回的注册响应；其中，注册响应包括：运营商证书；

将证书申请参数删除。

在一些示例性实施例中，接收CA服务器返回的注册响应后，该方法还包括：

将所获取的运营商证书配置生效。

在本申请实施例中，将证书申请参数删除是指将注入到VNF实体中的证书申请参数删除。在已注入到VNF实体中的证书申请参数包括：未经安全保护的初始申请信任参数的情况下，将证书申请参数删除可以是指删除已注入到VNF实体中的明文格式的证书申请参数；在已注入到VNF实体中的证书申请参数包括：安全保护后的初始申请信任参数的情况下，将证书申请参数删除是指删除已注入到VNF实体中的密文格式证书申请参数以及解密后明文格式的初始申请信任参数。

本申请实施例在接收到CA服务器返回的注册响应后，认为证书已申请成功，将所注入的证书申请参数删除，使得后续无法再次使用证书申请参数重复申请证书，从而实现了“一次一密”原则，也就是说证书申请参数只能使用一次，在申请证书成功后就立即作废，一套证书申请参数不能重复使用来申请证书。

在本申请实施例中，证书申请参数删除后，VNF实体与CA服务器之间关于证书生命周期管理的互操作应统一使用VNF实体当前的运营商证书作为身份验证的凭据，不再将初始认证凭据作为VNF实体的身份验证的凭据，从而降低了初始认证凭据泄露所导致的VNF实体被仿冒的风险。

在本申请实施例中，接收到CA服务器返回的注册响应后，获取注册响应中的运营商证书，将运营商证书在VNF实体中配置生效。

本申请实施例提供应用于VNF实体的证书获取方法，从注入到VNF实体中的证书申请参数获得初始申请信任参数，从而实现了证书的申请过程，即通过注入VNF实体的方式实现了证书的申请过程。

图3为本申请另一个实施例提供的证书获取方法的流程图。

第二方面，参照图3，本申请另一个实施例提供一种证书获取方法，应用于CA服务器，该方法包括：

步骤300、接收VNF实体发送的注册请求；其中，注册请求包括：初始申请信任参数。

在一些示例性实施例中，为了提高安全性，即降低初始申请信任参数中的初始认证凭据被泄露的风险，VNF实体对应的初始申请信任参数应满足“一机一密”的原则，即将每一个VNF实体作为独立的证书申请主体，应具有区别于其他VNF实体的初始申请信任参数，不得重复，也就是说，不同VNF实体对应的初始申请信任参数不同。

在一些示例性实施例中，初始申请信任参数包括：VNF实体的证书主题和VNF实体的初始认证凭据。因此，上述不同VNF实体对应的初始申请信任参数不同是指，不同VNF实体对应的证书主题和初始认证凭据均不相同。

在一些示例性实施例中，证书主题可以是指证书持有者名称，这里，证书持有者名称可以采用与VNF实体一一对应的逻辑标识来表示，逻辑标识例如可以是第一管理实体或第二管理实体或第四管理实体中用于管理该VNF实体所使用的与该VNF实体一一对应的逻辑标识，或者由用户自定义生成的与该VNF实体一一对应的逻辑标识。

在一些示例性实施例中，初始认证凭据用于在证书申请过程中对VNF实体进行身份认证，可以包括预共享密钥、令牌、密码中的任何一种。

在一些示例性实施例中，注册请求还包括：用于表征VNF实体的身份的密钥对中的公钥、密钥对中的私钥的拥有证明信息。

在一些示例性实施例中，可以通过PKI协议接收VNF实体发送的注册请求。

本申请实施例对PKI协议不作限定，例如PKI协议可以是CMPv2，或SCEP等。

步骤301、在根据初始申请信任参数对VNF实体进行身份认证通过，且根据预先配置的白名单确定VNF实体为获准持有运营商证书的合法实体的情况下，向VNF实体返回注册响应；其中，注册响应包括：运营商证书。

在一些示例性实施例中，在根据预先配置的白名单确定VNF实体不是获准持有运营商证书的合法实体，或根据初始申请信任参数对VNF实体进行身份认证不通过的情况下，认为VNF实体不具备申请运营商证书的条件，结束本流程，即认为VNF实体是未经许可持有证书的非法对象或恶意攻击者，拒绝为该VNF实体签发证书，立即终止本次证书申请。

在一些示例性实施例中，白名单包括：获准持有运营商证书的合法VNF实体的证书主题；那么可以根据预先配置的白名单确定VNF实体是否为获准持有运营商证书的合法实体，具体的，在确定白名单中包括VNF实体的证书主题的情况下，确定VNF实体为获准持有运营商证书的合法实体；在确定白名单中不包括VNF实体的证书主题的情况下，确定VNF实体不是获准持有运营商证书的合法实体。

在一些示例性实施例中，根据初始申请信任参数对VNF实体进行身份认证通过包括：

在预先设置的VNF实体和初始认证凭据之间的第一映射关系中，获取VNF实体对应的初始认证凭据；

确定获取得到的初始认证凭据与注册请求中的初始认证凭据匹配。

在一些示例性实施例中，确定获取得到的初始认证凭据与注册请求中的初始认证凭据不匹配的情况下，确定对VNF实体进行身份认证不通过。

在本申请实施例中，获取得到的初始认证凭据与注册请求中的初始认证凭据匹配是指采用获取得到的初始认证凭据对注册请求中的初始认证凭据进行验证处理得到的验证结果为验证正确，获取得到的初始认证凭据与注册请求中的初始认证凭据不匹配是指采用获取得到的初始认证凭据对注册请求中的初始认证凭据进行验证处理得到的验证结果为验证不正确。验证处理包括且不限于任何公开的或私有的认证协议和算法。

在一些示例性实施例中，向VNF实体返回注册响应后，该方法还包括：

将第一映射关系中VNF实体对应的初始认证凭据替换为运营商证书。

本申请实施例将第一映射关系中VNF实体对应的初始认证凭据替换为运营商证书，使得VNF实体后续再使用相同的初始认证凭据申请运营商证书时，由于VNF实体身份认证不通过而无法重复申请运营商证书，从而规避了VNF实体的初始认证凭据泄露所导致的VNF实体被仿冒的风险，保证了运营商证书获取过程符合“一次一密”的原则。

本申请实施例提供的应用于CA服务器的证书获取方法，基于预先设置的白名单对VNF实体是否是获准持有运营商证书的合法实体进行验证，基于注册请求中的初始申请信任参数对VNF实体进行身份认证，从而实现了为通过身份认证的合法实体颁发证书的过程。

图4为本申请另一个实施例提供的证书获取方法的流程图。

第三方面，参照图4，本申请另一个实施例提供一种证书获取方法，应用于第一管理实体或第二管理实体，该方法包括：

步骤400、接收VNF实例化请求。

在本申请实施例中，VNF实例化请求可以由用户（即运营商的运维人员）通过第四管理实体发起，也可以通过第一管理实体或第二管理实体发起，也就是说，这里可以接收第四管理实体发送的VNF实例化请求，也可以接收用户发送的VNF实例化请求。本申请实施例对此不作限定。

在一些示例性实施例中，可以在第四管理实体中预先配置证书申请参数，然后通过VNF实例化请求传递给第一管理实体或第二管理实体，也就是说，VNF实例化请求包括：证书申请参数。

在一些示例性实施例中，可以在第四管理实体中预先配置初始申请信任参数，然后通过VNF实例化请求传递给第一管理实体或第二管理实体，也就是说，VNF实例化请求包括：初始申请信任参数。

在一些示例性实施例中，可以在第一管理实体或第二管理实体中预先配置证书申请参数或初始申请信任参数，也就是说，VNF实例化请求也可以不携带证书申请参数或初始申请信任参数。

在一些示例性实施例中，证书申请参数包括：初始申请信任参数。本申请实施例的初始申请信任参数为未经安全保护的初始申请信任参数。

在一些示例性实施例中，证书申请参数包括：安全保护后的初始申请信任参数。其中，安全保护后的初始申请信任参数是指对初始申请信任参数进行安全保护后得到的参数。

安全保护可以包括机密性保护和完整性保护，机密性保护即是采用第一加密密钥对初始申请信任参数进行加密，完整性保护即是采用第二加密密钥对初始申请信任参数的校验信息进行加密。

在一些示例性实施例中，第一加密密钥和第二加密密钥可以相同，也可以不同，具体可以根据实际情况确定，本申请实施例对此不作限定。

在一些示例性实施例中，可以采用对称加密算法对初始申请信任参数进行对称加密，也可以采用非对称加密算法对初始申请信任参数进行非对称加密。

在一些示例性实施例中，可以采用对称加密算法对初始申请信任参数的校验信息进行对称加密，也可以采用非对称加密算法对初始申请信任参数的校验信息进行非对称加密。

在本申请实施例中，在证书申请参数为安全保护后的初始申请信任参数的情况下，使得第三管理实体和第五管理实体只能获得密文形式的初始申请信任参数，而无法获得明文形式的初始申请信任参数，从而实现了初始申请信任参数的安全传递过程和安全注入过程，降低了来自虚拟化层或者基础设施的其他内外攻击者针对虚拟机的攻击所造成的初始申请信任参数的泄露。

在一些示例性实施例中，为了提高安全性，即降低初始申请信任参数中的初始认证凭据被泄露的风险，VNF实体对应的初始申请信任参数应满足“一机一密”的原则，即将每一个VNF实体作为独立的证书申请主体，应具有区别于其他VNF实体的初始申请信任参数，不得重复，也就是说，不同VNF实体对应的初始申请信任参数不同。

在一些示例性实施例中，初始申请信任参数包括：VNF实体的证书主题和VNF实体的初始认证凭据。因此，上述不同VNF实体对应的初始申请信任参数不同是指，不同VNF实体对应的证书主题和初始认证凭据均不相同。

在一些示例性实施例中，证书主题可以是指证书持有者名称，这里，证书持有者名称可以采用与VNF实体一一对应的逻辑标识来表示，逻辑标识例如可以是第一管理实体或第二管理实体或MANO子系统中用于管理该VNF实体所使用的与该VNF实体一一对应的逻辑标识，或者由用户自定义生成的与该VNF实体一一对应的逻辑标识。

在一些示例性实施例中，初始认证凭据用于在证书申请过程中对VNF实体进行身份认证，可以包括预共享密钥、令牌、密码中的任意一种。

在本申请实施例中，在VNF实例化请求包括：证书申请参数，证书申请参数包括：安全保护后的初始申请信任参数的情况下，VNF实例化请求中还包括：解密凭据。

在一些示例性实施例中，安全保护可以包括机密性保护和完整性保护，因此，上述解密凭据包括：第一加密密钥对应的第一解密密钥，以及第二加密密钥对应的第二解密密钥。

在一些示例性实施例中，第一加密密钥和第二加密密钥，以及第一解密密钥和第二解密密钥可以预先配置在执行安全保护过程的执行主体中，例如，由第四管理实体对初始申请信任参数进行安全保护，那么预先配置在第四管理实体中；由第一管理实体或第二管理实体对初始申请信任参数进行安全保护，那么预先配置在第一管理实体或第二管理实体中。

在一些示例性实施例中，在进行非对称加密的情况下，第一加密密钥和第二加密密钥可以采用第四管理实体、或第一管理实体、或第二管理实体的运营商证书对应的私钥，第一解密密钥和第二解密密钥可以采用第四管理实体、或第一管理实体、或第二管理实体的运营商证书中的公钥。

步骤401、获取VNF实例化请求对应的VNF实体的证书申请参数；其中，证书申请参数为需要作为实例化参数注入VNF实体的参数。

在本申请实施例中，VNF实例化请求对应的VNF实体是指VNF实例化请求所请求创建的VNF实体。

在本申请实施例中，鉴于VNF实例化请求可以包括：证书申请参数或初始申请信任参数，VNF实例化请求也可以不携带证书申请参数或初始申请信任参数，并且，证书申请参数可以是初始申请信任参数，也可以是安全保护后的初始申请信任参数，因此，针对不同的情况可以有不同的证书申请参数的获取方法，下面针对每一种情况进行描述。

情况一、VNF实例化请求中既不包括证书申请参数也不包括初始申请信任参数，证书申请参数可以是明文格式的初始申请信任参数，也可以是安全保护后的初始申请信任参数。

针对情况一，由于在VNF实例化请求中既不包括证书申请参数也不包括初始申请信任参数，那么，不管证书申请参数是明文格式的初始申请信任参数，还是安全保护后的初始申请信任参数，均需要在第一管理实体或第二管理实体中预先配置，本申请实施例对第一管理实体或第二管理实体预先配置证书申请参数的具体配置方法不作限定。

例如，在一些示例性实施例中，获取VNF实例化请求对应的VNF实体的证书申请参数包括：

在预先配置的标识和证书申请参数之间的第二映射关系中，根据VNF实体的标识获取证书申请参数。也就是在第二映射关系中查找VNF实体的标识对应的证书申请参数。

在一些示例性实施例中，在证书申请参数为安全保护后的初始申请信任参数的情况下，第二映射关系中还包括解密凭据，即预先配置标识、证书申请参数和解密凭据之间的第二映射关系。

又如，在一些示例性实施例中，获取VNF实例化请求对应的VNF实体的证书申请参数包括：

在预先配置的标识和初始申请信任参数之间的第三映射关系中，根据VNF实体的标识获取初始申请信任参数；也就是在第三映射关系中查找VNF实体的标识对应的初始申请信任参数；

对初始申请信任参数进行安全保护得到证书申请参数。

针对情况一，在一些示例性实施例中，VNF实体的标识可以是指VNF实体的证书主题，也可以不是VNF实体的证书主题，只要能够与VNF实体一一对应的标识就可以。

情况二、VNF实例化请求中包括：初始申请信任参数，并且，证书申请参数包括：安全保护后的初始申请信任参数。

针对情况二，在一些示例性实施例中，获取VNF实例化请求对应的VNF实体的证书申请参数包括：

获取VNF实例化请求中的初始申请信任参数；

对初始申请信任参数进行安全保护得到证书申请参数。

针对情况二，在本申请实施例中，安全保护可以包括机密性保护和完整性保护，机密性保护即是采用第一加密密钥对初始申请信任参数进行加密，完整性保护即是采用第二加密密钥对初始申请信任参数的校验信息进行加密，也就是说，安全保护的初始申请信任参数包括：加密的初始申请信任参数和加密的校验信息。

在一些示例性实施例中，第一加密密钥和第二加密密钥可以相同，也可以不同，具体可以根据实际情况确定，本申请实施例对此不作限定。

在一些示例性实施例中，可以采用对称加密算法对初始申请信任参数进行对称加密，也可以采用非对称加密算法对初始申请信任参数进行非对称加密。

在一些示例性实施例中，可以采用对称加密算法对初始申请信任参数的校验信息进行对称加密，也可以采用非对称加密算法对初始申请信任参数的校验信息进行非对称加密。

在本申请实施例中，在证书申请参数为安全保护后的初始申请信任参数的情况下，使得第三管理实体和第五管理实体只能获得密文形式的初始申请信任参数，而无法获得明文形式的初始申请信任参数，从而实现了初始申请信任参数的安全传递过程和安全注入过程，降低了来自虚拟化层或者基础设施的其他内外攻击者针对虚拟机的攻击所造成的初始申请信任参数泄露的风险。

情况三、VNF实例化请求中包括：初始申请信任参数，并且，证书申请参数包括：初始申请信任参数。

针对情况三，在一些示例性实施例中，获取VNF实例化请求对应的VNF实体的证书申请参数包括：获取VNF实例化请求中的初始申请信任参数，将初始申请信任参数作为证书申请参数。

情况四、VNF实例化请求中包括：证书申请参数，并且，证书申请参数包括：初始申请信任参数或安全保护后的初始申请信任参数。

针对情况四，在一些示例性实施例中，获取VNF实例化请求对应的VNF实体的证书申请参数包括：获取VNF实例化请求中的证书申请参数。

步骤402、向第三管理实体发送资源分配命令；其中，资源分配命令包括：证书申请参数。

在一些示例性实施例中，在证书申请参数为安全保护后的初始申请信任参数的情况下，还需要将解密凭据传递给第三管理实体，具体可以采用资源分配命令将解密凭据传递给第三管理实体，也就是说，资源分配命令还包括：解密凭据。

在一些示例性实施例中，向第三管理实体发送资源分配命令之前，该方法还包括：

将解密凭据预先配置在VNF实体的虚拟化网络功能描述器（VNFD，VirtualNetwork Function Descriptor）中；

解析VNFD中的解密凭据。

在一些示例性实施例中，可以在资源分配命令中将解密凭据作为实例化命令参数经第三管理实体传递给第五管理实体，使得第五管理实体将解密凭据传入到VNF实体中。

在一些示例性实施例中，安全保护可以包括机密性保护和完整性保护，因此，上述解密凭据包括：第一加密密钥对应的第一解密密钥，以及第二加密密钥对应的第二解密密钥。

在一些示例性实施例中，在进行非对称加密的情况下，第一加密密钥和第二加密密钥可以采用第四管理实体、或第一管理实体、或第二管理实体的运营商证书对应的私钥，第一解密密钥和第二解密密钥可以采用第四管理实体、或第一管理实体、或第二管理实体的运营商证书中的公钥。

本申请实施例提供的应用于第一管理实体或第二管理实体的证书获取方法，通过资源分配命令将证书申请参数传递给第三管理实体，使得第三管理实体在虚拟机创建请求中将证书申请参数作为实例化参数传递给第五管理实体，最终实现第五管理实体将证书申请参数注入到VNF实体中，以便后续VNF实体进行证书的申请过程，从而实现了NVF实体的证书的申请过程。

图5为本申请另一个实施例提供的证书获取方法的流程图。

第四方面，参照图5，本申请另一个实施例提供一种证书获取方法，应用于第三管理实体，该方法包括：

步骤500、接收第一管理实体或第二管理实体发送的资源分配命令；其中，资源分配命令包括：证书申请参数；证书申请参数为需要作为实例化参数注入虚拟化网络功能实体的参数。

在一些示例性实施例中，证书申请参数包括：未经安全保护的初始申请信任参数；

或者，证书申请参数包括：安全保护后的初始申请信任参数，资源分配命令还包括：解密凭据。其中，安全保护后的初始申请信任参数是指对初始申请信任参数进行安全保护后得到的参数。

安全保护可以包括机密性保护和完整性保护，机密性保护即是采用第一加密密钥对初始申请信任参数进行加密，完整性保护即是采用第二加密密钥对初始申请信任参数的校验信息进行加密。

在一些示例性实施例中，第一加密密钥和第二加密密钥可以相同，也可以不同，具体可以根据实际情况确定，本申请实施例对此不作限定。

在一些示例性实施例中，可以采用对称加密算法对初始申请信任参数进行对称加密，也可以采用非对称加密算法对初始申请信任参数进行非对称加密。

在一些示例性实施例中，可以采用对称加密算法对初始申请信任参数的校验信息进行对称加密，也可以采用非对称加密算法对初始申请信任参数的校验信息进行非对称加密。

在本申请实施例中，在证书申请参数为安全保护后的初始申请信任参数的情况下，使得第三管理实体和第五管理实体只能获得密文形式的初始申请信任参数，而无法获得明文形式的初始申请信任参数，从而实现了初始申请信任参数的安全传递过程和安全注入过程，降低了来自虚拟化层或者基础设施的其他内外攻击者针对虚拟机的攻击所造成的初始申请信任参数泄露的风险。

在一些示例性实施例中，为了提高安全性，即降低初始申请信任参数中的初始认证凭据被泄露的风险，VNF实体对应的初始申请信任参数应满足“一机一密”的原则，即将每一个VNF实体作为独立的证书申请主体，应具有区别于其他VNF实体的初始申请信任参数，不得重复，也就是说，不同VNF实体对应的初始申请信任参数不同。

在一些示例性实施例中，初始申请信任参数包括：VNF实体的证书主题和VNF实体的初始认证凭据。因此，上述不同VNF实体对应的初始申请信任参数不同是指，不同VNF实体对应的证书主题和初始认证凭据均不相同。

在一些示例性实施例中，证书主题可以是指证书持有者名称，这里，证书持有者名称可以采用与VNF实体一一对应的逻辑标识来表示，逻辑标识例如可以是第一管理实体或第二管理实体或第四管理实体中用于管理该VNF实体所使用的与该VNF实体一一对应的逻辑标识，或者由用户自定义生成的与该VNF实体一一对应的逻辑标识。

在一些示例性实施例中，初始认证凭据用于在证书申请过程中对VNF实体进行身份认证，可以包括预共享密钥、令牌、密码中的任何一个。

在一些示例性实施例中，安全保护可以包括机密性保护和完整性保护，因此，上述解密凭据包括：第一加密密钥对应的第一解密密钥，以及第二加密密钥对应的第二解密密钥。

在一些示例性实施例中，第一加密密钥和第二加密密钥，以及第一解密密钥和第二解密密钥可以预先配置在执行安全保护过程的执行主体中，例如，由第四管理实体对初始申请信任参数进行安全保护，那么预先配置在第四管理实体中；由第一管理实体或第二管理实体对初始申请信任参数进行安全保护，那么预先配置在第一管理实体或第二管理实体中。

在一些示例性实施例中，在进行非对称加密的情况下，第一加密密钥和第二加密密钥可以采用第四管理实体、或第一管理实体、或第二管理实体的运营商证书对应的私钥，第一解密密钥和第二解密密钥可以采用第四管理实体、或第一管理实体、或第二管理实体的运营商证书中的公钥。

步骤501、向第五管理实体发送虚拟机创建请求；其中，虚拟机创建请求包括：实例化参数，实例化参数包括：证书申请参数。

在本申请实施例中，在证书申请参数为安全保护后的初始申请信任参数的情况下，除了需要将证书申请参数传递给第五管理实体，由第五管理实体将证书申请参数注入到VNF实体中之外，还需要将解密凭据传递给第五管理实体，同样由第五管理实体将解密凭据传入到VNF实体中，这样，VNF实体才能够采用解密凭据对证书申请参数进行解密。

在本申请实施例中将解密凭据传递给第五管理实体的方法有多种，例如，可以采用以下方法一到方法三中的任意一种方法。

方法一，虚拟机创建请求还包括：解密凭据。也就是说，将解密凭据携带在虚拟机创建请求的实例化参数中传递给第五管理实体。

方法二，接收第一管理实体或第二管理实体发送的资源分配命令后，该方法还包括：将解密凭据预先配置在VNF实体的版本文件中。这里将解密凭据预先配置在VNF实体的版本文件中，使得后续第五管理实体从第三管理实体获取VNF实体的版本文件，根据VNF实体的版本文件为VNF实体中相关虚拟机节点加载版本后，虚拟机节点可在启动后可从版本文件中获取到解密凭据。

本申请实施例提供的应用于第三管理实体的证书获取方法，获取第一管理实体或第二管理实体通过资源分配命令传递过来的证书申请参数，在虚拟机创建请求中将证书申请参数作为实例化参数传递给第五管理实体，使得第五管理实体将证书申请参数注入到VNF实体中，以便后续VNF实体进行证书的申请过程，从而实现了NVF实体的证书的申请过程。

图6为本申请另一个实施例提供的证书获取方法的流程图。

第五方面，参照图6，本申请另一个实施例提供一种证书获取方法，应用于第五管理实体，该方法包括：

步骤600、接收第三管理实体发送的虚拟机创建请求；其中，虚拟机创建请求包括：实例化参数，实例化参数包括：证书申请参数。

在一些示例性实施例中，证书申请参数包括：初始申请信任参数。本申请实施例中的初始申请信任参数为未经安全保护的初始申请信任参数。

在一些示例性实施例中，证书申请参数包括：安全保护后的初始申请信任参数。其中，安全保护后的初始申请信任参数是指对初始申请信任参数进行安全保护后得到的参数。

安全保护可以包括机密性保护和完整性保护，机密性保护即是采用第一加密密钥对初始申请信任参数进行加密，完整性保护即是采用第二加密密钥对初始申请信任参数的校验信息进行加密。

在一些示例性实施例中，第一加密密钥和第二加密密钥可以相同，也可以不同，具体可以根据实际情况确定，本申请实施例对此不作限定。

在一些示例性实施例中，可以采用对称加密算法对初始申请信任参数进行对称加密，也可以采用非对称加密算法对初始申请信任参数进行非对称加密。

在一些示例性实施例中，可以采用对称加密算法对初始申请信任参数的校验信息进行对称加密，也可以采用非对称加密算法对初始申请信任参数的校验信息进行非对称加密。

在本申请实施例中，在证书申请参数为安全保护后的初始申请信任参数的情况下，使得第三管理实体和第五管理实体只能获得密文形式的初始申请信任参数，而无法获得明文形式的初始申请信任参数，从而实现了初始申请信任参数的安全传递过程和安全注入过程，降低了来自虚拟化层或者基础设施的其他内外攻击者针对虚拟机的攻击所造成的初始申请信任参数泄露的风险。

在一些示例性实施例中，为了提高安全性，即降低初始申请信任参数中的初始认证凭据被泄露的风险，VNF实体对应的初始申请信任参数应满足“一机一密”的原则，即将每一个VNF实体作为独立的证书申请主体，应具有区别于其他VNF实体的初始申请信任参数，不得重复，也就是说，不同VNF实体对应的初始申请信任参数不同。

在一些示例性实施例中，初始申请信任参数包括：VNF实体的证书主题和VNF实体的初始认证凭据。因此，上述不同VNF实体对应的初始申请信任参数不同是指，不同VNF实体对应的证书主题和初始认证凭据均不相同。

在一些示例性实施例中，证书主题可以是指证书持有者名称，这里，证书持有者名称可以采用与VNF实体一一对应的逻辑标识来表示，逻辑标识例如可以是第一管理实体或第二管理实体或第四管理实体中用于管理该VNF实体所使用的与该VNF实体一一对应的逻辑标识，或者由用户自定义生成的与该VNF实体一一对应的逻辑标识。

在一些示例性实施例中，初始认证凭据用于在证书申请过程中对VNF实体进行身份认证，可以包括预共享密钥、令牌、密码中的任何一个。

步骤601、将证书申请参数注入到VNF实体中。

本申请实施例对具体的证书申请参数的注入方式不作限定，例如可以是元数据注入方式、文件注入方式等中的任意一种。

在本申请实施例中，在证书申请参数为安全保护后的初始申请信任参数的情况下，还需要获取解密凭据，将解密凭据注入到VNF实体中。

在一些示例性实施例中，安全保护可以包括机密性保护和完整性保护，因此，上述解密凭据包括：第一加密密钥对应的第一解密密钥，以及第二加密密钥对应的第二解密密钥。

在一些示例性实施例中，第一加密密钥和第二加密密钥，以及第一解密密钥和第二解密密钥可以预先配置在执行安全保护过程的执行主体中，例如，由第四管理实体对初始申请信任参数进行安全保护，那么预先配置在第四管理实体中；由第一管理实体或第二管理实体对初始申请信任参数进行安全保护，那么预先配置在第一管理实体或第二管理实体中。

在一些示例性实施例中，在进行非对称加密的情况下，第一加密密钥和第二加密密钥可以采用第四管理实体、或第一管理实体、或第二管理实体的运营商证书对应的私钥，第一解密密钥和第二解密密钥可以采用第四管理实体、或第一管理实体、或第二管理实体的运营商证书中的公钥。

下面介绍几种获取解密凭据的方法。

方法一，虚拟机创建请求还包括：解密凭据；获取虚拟机创建请求中的解密凭据。

方法二，接收第三管理实体发送的虚拟机创建请求后，从第三管理实体获取VNF实体的版本文件；其中，版本文件预先配置有解密凭据；根据VNF实体的版本文件为VNF实体加载版本。具体的，可以根据VNF实体的版本文件为VNF实体的相关虚拟机节点加载版本，虚拟机节点启动加载版本后可从版本文件中获取解密凭据。

本申请实施例对具体的解密凭据的传入方式不作限定，例如可以是注入方式，加载版本的方式等中的任意一种。

本申请实施例对具体的解密凭据的注入方式不作限定，例如可以是元数据注入方式、文件注入方式等中的任意一种。

本申请实施例提供的应用于第五管理实体的证书获取方法，将第三管理实体在虚拟机创建请求传递过来的作为实例化参数的证书申请参数注入到VNF实体中，以便后续VNF实体进行证书的申请过程，从而实现了NVF实体的证书的申请过程。

图7为本申请另一个实施例提供的证书获取方法的流程图。

第六方面，参照图7，本申请另一个实施例提供一种证书获取方法，包括：

步骤700、VNF实体获取已注入到VNF实体中的证书申请参数；根据证书申请参数获取初始申请信任参数；向CA服务器发送注册请求；其中，注册请求包括：初始申请信任参数。

步骤700的具体实现过程与前述实施例步骤200到步骤202的具体实现过程相同，这里不再赘述。

步骤701、CA服务器接收VNF实体发送的注册请求；在根据预先配置的白名单确定VNF实体为获准持有运营商证书的合法实体，且根据初始申请信任参数对VNF实体进行身份认证通过的情况下，向VNF实体返回注册响应；其中，注册响应包括：运营商证书。

步骤701的具体实现过程与前述实施例步骤300到步骤301的具体实现过程相同，这里不再赘述。

在一些示例性实施例中，

步骤702、第一管理实体或第二管理实体接收VNF实例化请求；获取VNF实例化请求对应的VNF实体的证书申请参数；其中，证书申请参数为需要作为实例化参数注入VNF实体的参数；向第三管理实体发送资源分配命令；其中，资源分配命令包括：证书申请参数。

步骤702的具体实现过程与前述实施例步骤400到步骤402的具体实现过程相同，这里不再赘述。

步骤703、第三管理实体接收第一管理实体或第二管理实体发送的资源分配命令；向第五管理实体发送虚拟机创建请求；其中，虚拟机创建请求包括：实例化参数，实例化参数包括：证书申请参数。

步骤703的具体实现过程与前述实施例步骤500到步骤501的具体实现过程相同，这里不再赘述。

步骤704、第五管理实体接收第三管理实体发送的虚拟机创建请求；将证书申请参数注入到VNF实体中。

步骤704的具体实现过程与前述实施例步骤600到步骤601的具体实现过程相同，这里不再赘述。

本申请实施例的证书获取方法的其他实现过程与前述实施例的证书获取方法的具体实现过程相同，这里不再赘述。

本申请实施例的证书获取方法中，第一管理实体或第二管理实体将证书申请参数传递给第三管理实体，第三管理实体再将证书申请参数传递给第五管理实体，第五管理实体将证书申请参数注入到VNF实体中，VNF实体获取已注入的证书申请参数，基于证书申请参数实现了证书申请过程，从而实现了适用于NVF形态的VNF实体的证书申请过程。

为了使得证书获取过程更加直观的呈现，下面通过几个可实现的示例给出证书获取过程中的所有流程，所给出的示例仅仅本申请实施例的证书获取方法的几个比较完整的实现方案，并不用于限定本申请实施例的保护范围。

示例1

本示例描述由NFVO实体来主导VNF实例化所需的虚拟资源分配，从而实现证书获取过程，如图8所示，具体包括：

1、用户（即运营商的运维人员）发起VNF实例化请求，在这里，用户可通过EM实体发起VNF实例化请求，也可以通过NFVO实体发起VNF实例化请求，具体方式不做限定。

2、NFVO实体接收VNF实例化请求，获取VNF实例化请求所请求创建的VNF实体的初始申请信任参数。

本步骤中，初始申请信任参数包括：

a)VNF实体的证书主题（Subject）。证书主题也被称为证书持有者名称，应可由与VNF实体一一对应的逻辑标识映射而成，与VNF实体一一对应的逻辑标识包括且不限于EM实体、MANO子系统中管理该VNF实体所用的与VNF实体一一对应的逻辑标识、或者任何用户自定义生成的与该VNF实体一一对应的逻辑标识。

b)VNF实体的初始认证凭据，该初始认证凭据包括但不限于预共享密钥、令牌、密码等中的任意一种。在VNF实体的证书初次申请过程中，VNF实体使用初始认证凭据向CA服务器证明自己的合法身份，以完成身份认证。在具体实施中，VNF实体的初始认证凭据应按照“一机一密”的原则规划，使得不同VNF实体在注册申请证书的过程中，使用不同的验证凭据，避免重复使用所造成的信息泄露风险。

本步骤中，VNF实体的初始申请信任参数的具体获取方式包括且不限于：在EM实体中预先配置，并通过VNF实例化请求传递给NFVO实体，或者在NFVO实体中预先配置，并根据VNF实体的标识映射得到。例如，预先配置标识和初始申请信任参数之间的第三映射关系，在第三映射关系中查找VNF实体的标识对应的初始申请信任参数。

3、NFVO实体对初始申请信任参数进行安全保护得到安全保护后的初始申请信任参数。

本步骤中，安全保护指的是对明文执行基于密码学算法的机密性保护和完整性保护。

本步骤中，对初始申请信任参数进行安全保护得到安全保护后的初始申请信任参数存在如下可选的手段：

c)使用第一对称加密密钥（即上述第一加密密钥），对初始申请信任参数采用对称加密算法进行对称加密得到加密的初始申请信任参数，以及使用第二对称加密密钥（即上述第二加密密钥）对初始申请信任参数的校验信息采用对称加密算法进行对称加密得到加密的校验信息，由加密的初始申请信任参数和加密的校验信息构成安全保护后的初始申请信任参数。

d)使用第一非对称加密密钥（即上述第一加密密钥），对初始申请信任参数采用非对称加密算法进行非对称加密得到加密的初始申请信任参数，以及使用第二非对称加密密钥（即上述第二加密密钥）对初始申请信任参数的校验信息采用非对称加密算法进行非对称加密得到加密的校验信息，由加密的初始申请信任参数和加密的校验信息构成安全保护的初始申请信任参数。在具体实施中，第一加密密钥和第二加密密钥可以是单独配置规划数据，也可以直接复用加密处理实体自身的运营商证书所对应的密钥对中的私钥，例如，如果由NFVO实体对初始申请信任参数执行非对称加密，则可以直接将NFVO实体的运营商证书对应的密钥对中的私钥执行非对称加密，得到安全保护后的初始申请信任参数。

4、NFVO实体与VNFM实体交互实现对VNF实例化请求的可行性检查，选择VIM实体，并预分配VNF实例化所需的计算资源、网络资源、存储资源。

5、NFVO实体向所选VIM实体发送资源分配命令，资源分配命令用于请求正式分配VNF实例化所需的计算资源、网络资源和存储资源，在资源分配命令中携带安全保护后的初始申请信任参数和解密凭据。

6、VIM实体根据NFVO实体的资源分配命令，向选定的NFVI实体发起虚拟机创建请求，针对VNF实体中实现证书管理功能的虚拟机节点（即在与CA服务器的交互中承担EE角色者），在虚拟机创建请求的实例化参数中携带安全保护后的初始申请信任参数和解密凭据。

7、NFVI实体接收创建虚机创建请求，将虚拟机创建请求中的实例化参数中携带的安全保护后的初始申请信任参数和解密凭据注入到VNF实体中实现证书管理功能的虚机节点。

本步骤中，注入的方式包括文件注入、元数据注入等不同的手段，具体方式不作限定。

本步骤中，安全保护后的初始申请信任参数对应的解密凭据，是步骤3中所采用的对初始申请信任参数实施加密所采用的第一加密密钥所对应的逆向解密密钥，即上述第一解密密钥，以及步骤3中所采用的对初始申请信任参数的校验信息实施加密所采用的第二加密密钥所对应的逆向解密密钥，即上述第二解密密钥。

如果采用的对称加密算法，则解密凭据与步骤3中第一加密密钥和第二加密密钥相同；如果采用非对称加密算法，则解密凭与步骤3中第一加密密钥和第二加密密钥不同。举例如下，如果步骤3中采用NFVO实体的运营商证书对应的私钥对初始申请信任参数和对应的校验信息实施加密，则对应的解密凭据为NFVO实体的运营商证书中的公钥。

8、VIM实体向NFVO实体反馈成功分配给VNF实体的虚拟资源。

9、组成VNF实体的各虚拟机节点在创建成功后依次上电启动，其中实现证书管理功能的虚拟机节点启动后，从本地成功获取安全保护后的初始申请信任参数和解密凭据，使用解密凭据将安全保护后的初始申请信任参数得到初始申请信任参数和对应的校验信息，采用校验信息对初始申请信任参数进行校验，校验通过说明初始申请信任参数有效，可以用于后续证书申请。通过上述过程，可保证在VNF实例化过程中，初始申请信任参数的传递对虚拟化基础设施（VIM实体和NFVI实体）完全透明，即虚拟化基础设施无法获得明文形式的初始申请信任参数，同时也降低来自虚拟化层或者基础设施的其他内外攻击者针对虚拟机的本地存储数据攻击所造成的上述机密信息泄露的风险。

10、VNF实体的实现证书管理功能的虚机节点动态创建证书所用的用于表征VNF实体的身份的密钥对。该密钥对由安全的算法生成，且保证私钥不对VNF实体之外的实体暴露。例如，它可由VNF实体自身用纯软件生成、或利用NFVI实体提供的HSM提供的专用密钥生成服务生成，具体方式不限。

11、VNF实体中实现证书管理功能的虚拟机节点根据密钥对和初始申请信任参数构造注册请求，通过PKI协议的证书登记（Certificate Enrollment）流程向CA服务器申请获取证书。

本步骤中，使用的PKI协议包括但不限于CMPv2、SCEP等。

本步骤中，在注册请求中，应携带证书主题、密钥对中的公钥、密钥对中的私钥的拥有证明信息、初始认证凭据等。其中，在VNF实体的证书初次申请过程中，VNF实体使用初始认证凭据向CA服务器证明自己的身份，以完成身份认证。

12、CA服务器接收来自VNF实体的注册请求，根据本地预先配置的包括获准持有运营商证书的合法VNF实体的证书主题的白名单确定VNF实体为获准持有运营商证书的合法实体，并且，根据预先设置的VNF实体和初始认证凭据之间的第一映射关系对注册请求中的初始认证凭据进行验证处理得到的验证结果为验证正确，针对VNF实体的密钥对中的公钥签发正式的运营商证书。

13、CA服务器构造注册响应，将为VNF实体签发的运营商证书携带在注册响应中发送给VNF实体。至此，CA服务器成功为VNF实体初次签发正式运营商证书成功。

14、CA服务器将VNF实体对应的初始认证凭据作废并将所正式签发的运营商证书作为新的认证凭据，后续VNF实体向CA服务器发起互操作，将采用基于VNF实体的运营商证书进行数字签名的方式实施认证，使得初始申请证书过程满足“一次一密”的原则。在这里，作废指的是不再将旧的认证凭据作为有效的认证凭据使用，并可选地针对本地存储的旧认证凭据实施删除或销毁，具体可以是将第一映射关系中VNF实体对应的初始认证凭据替换为签发的运营商证书，使得虚拟网元初始申请证书过程满足“一次一密”的原则。

15、VNF实体接收来自CA服务器的注册响应，获取注册响应中的运营商证书，校验通过后配置生效。并在后续的对外安全通信链路的建立过程中使用该运营商证书。至此，VNF实体成功获取运营商证书。VNF实体将本地保存的初始认证凭据作废并将上述从CA服务器获取的运营商证书作为新的认证凭据，后续VNF实体向CA服务器发起互操作，将采用基于运营商证书进行数字签名的方式实施认证，使得初始申请证书过程满足“一次一密”的原则。在这里，作废指的是不再将旧的认证凭据作为有效的认证凭据使用，并可选地针对本地存储的旧认证凭据实施删除或销毁，使得VNF实体的初始申请证书过程满足“一次一密”的原则。

示例2

本示例描述由VNFM实体来主导VNF实例化所需的虚拟资源分配，从而实现证书获取过程，如图9所示，具体包括：

1、用户（即运营商的运维人员）发起VNF实例化请求，用户可通过EM实体发起VNF实例化请求。

2、VNFM实体接收EM实体发送的VNF实例化请求，获取VNF实例化请求所请求创建的VNF实体的安全保护后的初始申请信任参数和解密凭据。

包含如下要素：

本步骤中，初始申请信任参数包括：

e)VNF实体的证书主题（Subject）。证书主题也被称为证书持有者名称，应可由与VNF实体一一对应的逻辑标识映射而成，与VNF实体一一对应的逻辑标识包括且不限于EM实体、MANO子系统中管理该VNF实体所用的与VNF实体一一对应的逻辑标识、或者任何用户自定义生成的与该VNF实体一一对应的逻辑标识。

f)VNF实体的初始认证凭据，该初始认证凭据包括但不限于预共享密钥、令牌、密码等中的任意一种。在VNF实体的证书初次申请过程中，VNF实体使用初始认证凭据向CA服务器证明自己的合法身份，以完成身份认证。在具体实施中，VNF实体的初始认证凭据应按照“一机一密”的原则规划，使得不同VNF实体在注册申请证书的过程中，使用不同的验证凭据，避免重复使用所造成的信息泄露风险。

本步骤中，VNF实体的安全保护后的初始申请信任参数和解密凭据的具体获取方式包括且不限于：在EM实体中预先配置，并通过VNF实例化请求传递给VNFM实体，或者在VNFM实体中预先配置，并根据VNF实体的标识映射得到。例如，预先配置标识和安全保护后的初始申请信任参数之间的第二映射关系，在第二映射关系中查找VNF实体的标识对应的安全保护后的初始申请信任参数。

本步骤中，安全保护指的是对明文执行基于密码学算法的机密性保护和完整性保护。

本步骤中，对初始申请信任参数进行安全保护得到安全保护后的初始申请信任参数存在如下可选的手段：

g)使用第一对称加密密钥（即上述第一加密密钥），对初始申请信任参数采用对称加密算法进行对称加密得到加密的初始申请信任参数，以及使用第二对称加密密钥（即上述第二加密密钥）对初始申请信任参数的校验信息采用对称加密算法进行对称加密得到加密的校验信息，由加密的初始申请信任参数和加密的校验信息构成安全保护后的初始申请信任参数。其中，对称加密可以在EM实体中实施，通过VNF实例化请求传递给VNFM实体，即步骤2中的VNF实例化请求中携带安全保护后的初始申请信任参数和解密凭据；或者对称加密也可以在VNFM实体实施，将安全保护后的初始申请信任参数和解密凭据预先配置在VNFM实体中，即预先配置标识、安全保护后的初始申请信任参数和解密凭据之间的第二映射关系。

h)使用第一非对称加密密钥（即上述第一加密密钥），对初始申请信任参数采用非对称加密算法进行非对称加密得到加密的初始申请信任参数，以及使用第二非对称加密密钥（即上述第二加密密钥）对初始申请信任参数的校验信息采用非对称加密算法进行非对称加密得到加密的校验信息，由加密的初始申请信任参数和加密的校验信息构成安全保护的初始申请信任参数。

在具体实施中，第一加密密钥和第二加密密钥可以是单独配置规划数据，也可以直接复用加密处理实体自身的运营商证书所对应的密钥对中的私钥，例如，如果由VNFM实体对初始申请信任参数执行非对称加密，则可以直接将VNFM实体的运营商证书对应的密钥对中的私钥执行非对称加密，得到安全保护后的初始申请信任参数。

其中，非对称加密可以在EM实体中实施，并通过VNF实例化请求传递给VNFM实体，即步骤2中的VNF实例化请求中携带安全保护后的初始申请信任参数和解密凭据；或者非对称加密也可以在VNFM实体实施，并将安全保护后的初始申请信任参数和解密凭据预先配置在VNFM实体中，即预先配置标识、安全保护后的初始申请信任参数和解密凭据之间的第二映射关系。

3、NFVO实体、VNFM实体与VIM实体交互实现对VNF实例化请求的可行性检查，选择VIM实体，并预分配VNF实例化所需的的计算资源、网络资源、存储资源。

4、VNFM实体向所选VIM实体发送资源分配命令，资源分配命令用于请求正式分配VNF实例化所需的计算资源、网络资源和存储资源，在资源分配命令中携带安全保护后的初始申请信任参数和解密凭据。

5、VIM实体根据VNFM实体的资源分配命令，向选定的NFVI实体发起虚拟机创建请求，针对VNF实体中实现证书管理功能的虚拟机节点（即在与CA服务器的交互中承担EE角色者），在虚拟机创建请求的实例化参数中携带安全保护后的初始申请信任参数和解密凭据。

6、NFVI实体接收创建虚机创建请求，将虚拟机创建请求中的实例化参数中携带的安全保护后的初始申请信任参数和解密凭据注入到VNF实体中实现证书管理功能的虚机节点，在这里，注入的方式包括文件注入、元数据注入等不同的手段，具体方式不作限定。同时，也要将安全保护后的初始申请信任参数对应的解密凭据传入VNF实体中实现证书管理功能的虚机节点。在这里，安全保护后的初始申请信任参数对应的解密凭据，是步骤2中所采用的对初始申请信任参数实施加密所采用的第一加密密钥所对应的逆向解密密钥，即上述第一解密密钥，以及步骤2中所采用的对初始申请信任参数的校验信息实施加密所采用的第二加密密钥所对应的逆向解密密钥，即上述第二解密密钥。如果采用的对称加密算法，则解密凭据与步骤2中第一加密密钥和第二加密密钥相同；如果采用非对称加密算法，则解密凭与步骤2中第一加密密钥和第二加密密钥不同。举例如下，如果步骤2中采用NFVO实体的运营商证书对应的私钥对初始申请信任参数和对应的校验信息实施加密，则对应的解密凭据为NFVO实体的运营商证书中的公钥。

7、VIM实体向VNFM实体反馈成功分配给VNF实体的虚拟资源。

8、组成VNF实体的各虚拟机节点在创建成功后依次上电启动，其中实现证书管理功能的虚拟机节点启动后，从本地成功获取安全保护后的初始申请信任参数和解密凭据，使用解密凭据将安全保护后的初始申请信任参数得到初始申请信任参数和对应的校验信息，采用校验信息对初始申请信任参数进行校验，校验通过说明初始申请信任参数有效，可以用于后续证书申请。通过上述过程，可保证在VNF实例化过程中，初始申请信任参数的传递对虚拟化基础设施（VIM实体和NFVI实体）完全透明，即虚拟化基础设施无法获得明文形式的初始申请信任参数，同时也降低来自虚拟化层或者基础设施的其他内外攻击者针对虚拟机的本地存储数据攻击所造成的上述机密信息泄露的风险。

9、VNF实体的实现证书管理功能的虚机节点动态创建证书所用的用于表征VNF实体的身份的密钥对。该密钥对由安全的算法生成，且保证私钥不对VNF实体之外的实体暴露。例如，它可由VNF实体自身用纯软件生成、或利用NFVI实体提供的HSM提供的专用密钥生成服务生成，具体方式不限。

10、VNF实体中实现证书管理功能的虚拟机节点根据密钥对和初始申请信任参数构造注册请求，通过PKI协议的证书登记（Certificate Enrollment）流程向CA服务器申请获取证书。

本步骤中，使用的PKI协议包括但不限于CMPv2、SCEP等。

本步骤中，在注册请求中，应携带证书主题、密钥对中的公钥、密钥对中的私钥的拥有证明信息、初始认证凭据等。其中，在VNF实体的证书初次申请过程中，VNF实体使用初始认证凭据向CA服务器证明自己的合法身份，以完成身份认证。

11、CA服务器接收来自VNF实体的注册请求，根据本地预先配置的包括可申请运营商证书的合法VNF实体的证书主题的白名单确定VNF实体为获准持有运营商证书的合法实体，并且，根据预先设置的VNF实体和初始认证凭据之间的第一映射关系对注册请求中的初始认证凭据进行验证得到的验证结果为验证正确，针对VNF实体的密钥对中的公钥签发正式的运营商证书。

12、CA服务器构造注册响应，将为VNF实体签发的运营商证书携带在注册响应中发送给VNF实体。至此，CA服务器成功为VNF实体初次签发正式运营商证书成功。

13、CA服务器将VNF实体对应的初始认证凭据作废并将所正式签发的运营商证书作为新的认证凭据，后续VNF实体向CA服务器发起互操作，将采用基于VNF实体的运营商证书进行数字签名的方式实施认证，使得初始申请证书过程满足“一次一密”的原则。在这里，作废指的是不再将旧的认证凭据作为有效的认证凭据使用，并可选地针对本地存储的旧认证凭据实施删除或销毁，具体可以是将第一映射关系中VNF实体对应的初始认证凭据替换为签发的运营商证书，使得虚拟网元初始申请证书过程满足“一次一密”的原则。

14、VNF实体接收来自CA服务器的注册响应，获取注册响应中的运营商证书，校验通过后配置生效。并在后续的对外安全通信链路的建立过程中使用该运营商证书。至此，VNF实体成功获取运营商证书。VNF实体将本地保存的初始认证凭据作废并将上述从CA服务器获取的运营商证书作为新的认证凭据，后续VNF实体向CA服务器发起互操作，将采用基于运营商证书进行数字签名的方式实施认证，使得初始申请证书过程满足“一次一密”的原则。在这里，作废指的是不再将旧的认证凭据作为有效的认证凭据使用，并可选地针对本地存储的旧认证凭据实施删除或销毁，使得VNF实体的初始申请证书过程满足“一次一密”的原则。

第七方面，本申请实施例提供一种电子设备，包括：

至少一个处理器；

存储器，存储器上存储有至少一个程序，当至少一个程序被至少一个处理器执行时，实现上述任意一种证书获取方法。

其中，处理器为具有数据处理能力的器件，其包括但不限于中央处理器（CPU）等；存储器为具有数据存储能力的器件，其包括但不限于随机存取存储器（RAM，更具体如SDRAM、DDR等）、只读存储器（ROM）、带电可擦可编程只读存储器（EEPROM）、闪存（FLASH）。

在一些实施例中，处理器、存储器通过总线相互连接，进而与计算设备的其它组件连接。

第八方面，本申请实施例提供一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现上述任意一种证书获取方法。

图10为本申请另一个实施例提供的证书获取系统的组成框图。

第九方面，参照图10，本申请另一个实施例提供一种证书获取系统，包括：

VNF实体1001，用于：

获取已注入到虚拟化网络功能实体中的证书申请参数；

根据证书申请参数获取初始申请信任参数；

向证书中心服务器发送注册请求；其中，注册请求包括：初始申请信任参数；

CA服务器1002，用于：

接收虚拟化网络功能实体发送的注册请求；

在根据初始申请信任参数对虚拟化网络功能实体进行身份认证通过，且根据预先配置的白名单确定虚拟化网络功能实体为获准持有运营商证书的合法实体的情况下，向虚拟化网络功能实体返回注册响应；其中，注册响应包括：运营商证书。

在一些示例性实施例中，还包括：

第一管理实体或第二管理实体1003，用于：

接收虚拟化网络功能实例化请求；

获取虚拟化网络功能实例化请求对应的虚拟化网络功能实体的证书申请参数；其中，证书申请参数为需要作为实例化参数注入虚拟化网络功能实体的参数；

向第三管理实体发送资源分配命令；其中，资源分配命令包括：证书申请参数；

第三管理实体1004，用于：

接收第一管理实体或第二管理实体发送的资源分配命令；其中，资源分配命令包括：证书申请参数；证书申请参数为需要作为实例化参数注入虚拟化网络功能实体的参数；

向第五管理实体发送虚拟机创建请求；其中，虚拟机创建请求包括：实例化参数，实例化参数包括：证书申请参数；

第五管理实体1005，用于：

接收第三管理实体发送的虚拟机创建请求；其中，虚拟机创建请求包括：实例化参数，实例化参数包括：证书申请参数；

将证书申请参数注入到虚拟化网络功能实体中。

本申请实施例的证书获取系统的具体实现过程与前述实施例的证书获取方法的具体实现过程相同，这里不再赘述。

图11为本申请另一个实施例提供的证书获取装置的组成框图。

第十方面，参照图11，本申请另一个实施例提供一种证书获取装置（例如VNF实体），包括：

第一获取模块1101，用于获取已注入到虚拟化网络功能实体中的证书申请参数；

第二获取模块1102，用于根据证书申请参数获取初始申请信任参数；

第一发送模块1103，用于向证书中心服务器发送注册请求；其中，注册请求包括：初始申请信任参数。

在一些示例性实施例中，第二获取模块1102具体用于：将证书申请参数作为初始申请信任参数。

在一些示例性实施例中，第一获取模块1101还用于：获取已传入到虚拟化网络功能实体中的解密凭据；

第二获取模块1102具体用于：采用解密凭据对证书申请参数进行解密得到初始申请信任参数。

在一些示例性实施例中，还包括：

第一接收模块1104，用于接收证书中心服务器返回的注册响应；其中，注册响应包括：运营商证书；

删除模块1105，用于将证书申请参数删除。

在一些示例性实施例中，不同虚拟化网络功能实体对应的初始申请信任参数不同。

在一些示例性实施例中，还包括：第三获取模块1106，用于获取用于表征虚拟化网络功能实体的身份的密钥对；

注册请求还包括：密钥对中的公钥、密钥对中的私钥的拥有证明信息。

在一些示例性实施例中，第三获取模块1106具体用于：

生成密钥对；

或者，获取第五管理实体的硬件安全模块生成的密钥对。

本申请实施例的证书获取装置的具体实现过程与前述实施例应用于NVF实体的证书获取方法的具体实现过程相同，这里不再赘述。

图12为本申请另一个实施例提供的证书获取装置的组成框图。

第十一方面，参照图12，本申请另一个实施例提供一种证书获取装置（例如CA服务器），包括：

第二接收模块1201，用于接收虚拟化网络功能实体发送的注册请求；其中，注册请求包括：初始申请信任参数；

第二发送模块1202，用于在根据初始申请信任参数对虚拟化网络功能实体进行身份认证通过，且根据预先配置的白名单确定虚拟化网络功能实体为获准持有运营商证书的合法实体的情况下，向虚拟化网络功能实体返回注册响应；其中，注册响应包括：运营商证书。

在一些示例性实施例中，初始申请信任参数包括：虚拟化网络功能实体的证书主题和虚拟化网络功能实体的初始认证凭据。

在一些示例性实施例中，白名单包括：获准持有运营商证书的合法虚拟化网络功能实体的证书主题；

第二发送模块1202还用于：确定白名单中包括虚拟化网络功能实体的证书主题。

在一些示例性实施例中，第二发送模块1202还用于：

在预先设置的虚拟化网络功能实体和初始认证凭据之间的第一映射关系中，获取虚拟化网络功能实体对应的初始认证凭据；

确定获取得到的初始认证凭据与注册请求中的初始认证凭据匹配。

在一些示例性实施例中，还包括：

更新模块1203，用于将第一映射关系中虚拟化网络功能实体对应的初始认证凭据替换为运营商证书。

在一些示例性实施例中，注册请求还包括：用于表征虚拟化网络功能实体的身份的密钥对中的公钥、密钥对中的私钥的拥有证明信息。

本申请实施例的证书获取装置的具体实现过程与前述实施例应用于CA服务器的证书获取方法的具体实现过程相同，这里不再赘述。

图13为本申请另一个实施例提供的证书获取装置的组成框图。

第十二方面，参照图13，本申请另一个实施例提供一种证书获取装置（例如第一管理实体或第二管理实体），包括：

第三接收模块1301，用于接收虚拟化网络功能实例化请求；

第四获取模块1302，用于获取虚拟化网络功能实例化请求对应的虚拟化网络功能实体的证书申请参数；其中，证书申请参数为需要作为实例化参数注入虚拟化网络功能实体的参数；

第三发送模块1303，用于向第三管理实体发送资源分配命令；其中，资源分配命令包括：证书申请参数。

在一些示例性实施例中，证书申请参数包括：初始申请信任参数；

或者，证书申请参数包括：安全保护后的初始申请信任参数，资源分配命令还包括：解密凭据。

在一些示例性实施例中，不同虚拟化网络功能实体对应的初始申请信任参数不同。

在一些示例性实施例中，虚拟化网络功能实例化请求包括：证书申请参数；

第四获取模块1302具体用于：获取虚拟化网络功能实例化请求中的证书申请参数。

在一些示例性实施例中，获取虚拟化网络功能实例化请求对应的虚拟化网络功能实体的证书申请参数包括：

在预先配置的标识和证书申请参数之间的第二映射关系中，根据虚拟化网络功能实体的标识获取证书申请参数。

在一些示例性实施例中，证书申请参数包括：安全保护后的初始申请信任参数；虚拟化网络功能实例化请求包括：初始申请信任参数；

第四获取模块1302具体用于：

获取虚拟化网络功能实例化请求中的初始申请信任参数；

对初始申请信任参数进行安全保护得到证书申请参数。

在一些示例性实施例中，证书申请参数包括：安全保护后的初始申请信任参数；

第四获取模块1302具体用于：

在预先配置的标识和初始申请信任参数之间的第三映射关系中，根据虚拟化网络功能实体的标识获取初始申请信任参数；

对初始申请信任参数进行安全保护得到证书申请参数。

在一些示例性实施例中，证书申请参数包括：初始申请信任参数；虚拟化网络功能实例化请求包括：初始申请信任参数；

第四获取模块1302具体用于：

获取虚拟化网络功能实例化请求中的初始申请信任参数；

将初始申请信任参数作为证书申请参数。

本申请实施例的证书获取装置的具体实现过程与前述实施例应用于第一管理实体或第二管理实体的证书获取方法的具体实现过程相同，这里不再赘述。

图14为本申请另一个实施例提供的证书获取装置的组成框图。

第十三方面，参照图14，本申请另一个实施例提供一种证书获取装置（例如第三管理实体），包括：

第四接收模块1401，用于接收第一管理实体或第二管理实体发送的资源分配命令；其中，资源分配命令包括：证书申请参数；证书申请参数为需要作为实例化参数注入虚拟化网络功能实体的参数；

第四发送模块1402，用于向第五管理实体发送虚拟机创建请求；其中，虚拟机创建请求包括：实例化参数，实例化参数包括：证书申请参数。

在一些示例性实施例中，证书申请参数包括：初始申请信任参数；

或者，证书申请参数包括：安全保护后的初始申请信任参数，资源分配命令还包括：解密凭据。

在一些示例性实施例中，虚拟机创建请求还包括：解密凭据。

在一些示例性实施例中，还包括：

配置模块1403，用于：

将解密凭据预先配置在虚拟化网络功能实体的版本文件中。

本申请实施例的证书获取装置的具体实现过程与前述实施例应用于第三管理实体的证书获取方法的具体实现过程相同，这里不再赘述。

图15为本申请另一个实施例提供的证书获取装置的组成框图。

第十四方面，参照图15，本申请另一个实施例提供一种证书获取装置（例如第五管理实体），包括：

第五接收模块1501，用于接收第三管理实体发送的虚拟机创建请求；其中，虚拟机创建请求包括：实例化参数，实例化参数包括：证书申请参数；

注入模块1502，用于将证书申请参数注入到虚拟化网络功能实体中。

在一些示例性实施例中，证书申请参数包括：安全保护后的初始申请信任参数，还包括：

第五获取模块1503，用于获取解密凭据；

注入模块1502还用于：将解密凭据传入到虚拟化网络功能实体中。

在一些示例性实施例中，虚拟机创建请求还包括：解密凭据；第五获取模块1503具体用于：获取虚拟机创建请求中的解密凭据。

在一些示例性实施例中，第五获取模块1503具体用于：

从第三管理实体获取虚拟化网络功能实体的版本文件；其中，版本文件预先配置有解密凭据；

注入模块1502具体用于采用以下方式实现将解密凭据传入到虚拟化网络功能实体中：根据虚拟化网络功能实体的版本文件为虚拟化网络功能实体加载版本。

在一些示例性实施例中，第五获取模块1503具体用于：

从第三管理实体获取虚拟化网络功能实体的虚拟化网络功能描述器；

从虚拟化网络功能描述器中获取解密凭据。

本申请实施例的证书获取装置的具体实现过程与前述实施例应用于第五管理实体的证书获取方法的具体实现过程相同，这里不再赘述。

本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中，在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分；例如，一个物理组件可以具有多个功能，或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器，如中央处理器、数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读介质上，计算机可读介质可以包括计算机存储介质（或非暂时性介质）和通信介质（或暂时性介质）。如本领域普通技术人员公知的，术语计算机存储介质包括在用于存储信息（诸如计算机可读指令、数据结构、程序模块或其它数据）的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其它存储器技术、CD-ROM、数字多功能盘（DVD）或其它光盘存储、磁盒、磁带、磁盘存储或其它磁存储器、或者可以用于存储期望的信息并且可以被计算机访问的任何其它的介质。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其它传输机制之类的调制数据信号中的其它数据，并且可包括任何信息递送介质。

本文已经公开了示例实施例，并且虽然采用了具体术语，但它们仅用于并仅应当被解释为一般说明性含义，并且不用于限制的目的。在一些实例中，对本领域技术人员显而易见的是，除非另外明确指出，否则可单独使用与特定实施例相结合描述的特征、特性和/或元素，或可与其它实施例相结合描述的特征、特性和/或元件组合使用。因此，本领域技术人员将理解，在不脱离由所附的权利要求阐明的本申请的范围的情况下，可进行各种形式和细节上的改变。

Claims (32)

1.一种证书获取方法，应用于虚拟化网络功能实体，该方法包括：

获取已注入到所述虚拟化网络功能实体中的证书申请参数；

根据所述证书申请参数获取初始申请信任参数；

向证书中心服务器发送注册请求；其中，所述注册请求包括：所述初始申请信任参数。

2.根据权利要求1所述的证书获取方法，其中，所述根据证书申请参数获取初始申请信任参数包括：将所述证书申请参数作为所述初始申请信任参数。

3.根据权利要求1所述的证书获取方法，所述根据证书申请参数获取初始申请信任参数之前，该方法还包括：获取已传入到所述虚拟化网络功能实体中的解密凭据；

所述根据证书申请参数获取初始申请信任参数包括：采用所述解密凭据对所述证书申请参数进行解密得到所述初始申请信任参数。

4.根据权利要求1所述的证书获取方法，所述向证书中心服务器发送注册请求后，该方法还包括：

接收所述证书中心服务器返回的注册响应；其中，所述注册响应包括：运营商证书；

将所述证书申请参数删除。

5.根据权利要求1-4任意一项所述的证书获取方法，其中，不同所述虚拟化网络功能实体对应的所述初始申请信任参数不同。

6.根据权利要求1-4任意一项所述的证书获取方法，所述向证书中心服务器发送注册请求之前，该方法还包括：获取用于表征所述虚拟化网络功能实体的身份的密钥对；

所述注册请求还包括：所述密钥对中的公钥、所述密钥对中的私钥的拥有证明信息。

7.根据权利要求6所述的证书获取方法，其中，所述获取用于表征虚拟化网络功能实体的身份的密钥对包括：

生成所述密钥对；

或者，获取第五管理实体的硬件安全模块生成的所述密钥对。

8.一种证书获取方法，应用于证书中心服务器，该方法包括：

接收虚拟化网络功能实体发送的注册请求；其中，所述注册请求包括：初始申请信任参数；

在根据所述初始申请信任参数对所述虚拟化网络功能实体进行身份认证通过，且根据预先配置的白名单确定所述虚拟化网络功能实体为获准持有运营商证书的合法实体的情况下，向所述虚拟化网络功能实体返回注册响应；其中，所述注册响应包括：运营商证书。

9.根据权利要求8所述的证书获取方法，其中，所述初始申请信任参数包括：所述虚拟化网络功能实体的证书主题和所述虚拟化网络功能实体的初始认证凭据。

10.根据权利要求9所述的证书获取方法，其中，所述白名单包括：获准持有运营商证书的合法虚拟化网络功能实体的证书主题；

所述根据预先配置的白名单确定虚拟化网络功能实体为获准持有运营商证书的合法实体包括：确定所述白名单中包括所述虚拟化网络功能实体的证书主题。

11.根据权利要求9所述的证书获取方法，其中，所述根据初始申请信任参数对虚拟化网络功能实体进行身份认证通过包括：

在预先设置的虚拟化网络功能实体和初始认证凭据之间的第一映射关系中，获取所述虚拟化网络功能实体对应的初始认证凭据；

确定获取得到的初始认证凭据与所述注册请求中的初始认证凭据匹配。

12.根据权利要求11所述的证书获取方法，所述向虚拟化网络功能实体返回注册响应后，该方法还包括：

将所述第一映射关系中所述虚拟化网络功能实体对应的初始认证凭据替换为所述运营商证书。

13.根据权利要求8-12任意一项所述的证书获取方法，所述注册请求还包括：用于表征所述虚拟化网络功能实体的身份的密钥对中的公钥、所述密钥对中的私钥的拥有证明信息。

14.一种证书获取方法，应用于第一管理实体或第二管理实体，该方法包括：

接收虚拟化网络功能实例化请求；

获取所述虚拟化网络功能实例化请求对应的虚拟化网络功能实体的证书申请参数；其中，所述证书申请参数为需要作为实例化参数注入所述虚拟化网络功能实体的参数；

向第三管理实体发送资源分配命令；其中，所述资源分配命令包括：所述证书申请参数。

15.根据权利要求14所述的证书获取方法，其中，所述证书申请参数包括：初始申请信任参数；

或者，所述证书申请参数包括：安全保护后的初始申请信任参数，所述资源分配命令还包括：解密凭据。

16.根据权利要求15所述的证书获取方法，其中，不同所述虚拟化网络功能实体对应的初始申请信任参数不同。

17.根据权利要求14所述的证书获取方法，其中，所述虚拟化网络功能实例化请求包括：所述证书申请参数；

所述获取虚拟化网络功能实例化请求对应的虚拟化网络功能实体的证书申请参数包括：获取所述虚拟化网络功能实例化请求中的所述证书申请参数。

18.根据权利要求14所述的证书获取方法，其中，所述获取虚拟化网络功能实例化请求对应的虚拟化网络功能实体的证书申请参数包括：

在预先配置的标识和证书申请参数之间的第二映射关系中，根据所述虚拟化网络功能实体的标识获取所述证书申请参数。

19.根据权利要求14所述的证书获取方法，其中，所述证书申请参数包括：安全保护后的初始申请信任参数；所述虚拟化网络功能实例化请求包括：初始申请信任参数；

所述获取虚拟化网络功能实例化请求对应的虚拟化网络功能实体的证书申请参数包括：

获取所述虚拟化网络功能实例化请求中的所述初始申请信任参数；

对所述初始申请信任参数进行安全保护得到所述证书申请参数。

20.根据权利要求14所述的证书获取方法，其中，所述证书申请参数包括：安全保护后的初始申请信任参数；

所述获取虚拟化网络功能实例化请求对应的虚拟化网络功能实体的证书申请参数包括：

在预先配置的标识和初始申请信任参数之间的第三映射关系中，根据所述虚拟化网络功能实体的标识获取所述初始申请信任参数；

对所述初始申请信任参数进行安全保护得到所述证书申请参数。

21.根据权利要求14所述的证书获取方法，其中，所述证书申请参数包括：初始申请信任参数；所述虚拟化网络功能实例化请求包括：初始申请信任参数；

所述获取虚拟化网络功能实例化请求对应的虚拟化网络功能实体的证书申请参数包括：

获取所述虚拟化网络功能实例化请求中的所述初始申请信任参数；

将所述初始申请信任参数作为所述证书申请参数。

22.一种证书获取方法，应用于第三管理实体，该方法包括：

接收第一管理实体或第二管理实体发送的资源分配命令；其中，所述资源分配命令包括：证书申请参数；所述证书申请参数为需要作为实例化参数注入虚拟化网络功能实体的参数；

向第五管理实体发送虚拟机创建请求；其中，所述虚拟机创建请求包括：实例化参数，所述实例化参数包括：所述证书申请参数。

23.根据权利要求22所述的证书获取方法，其中，所述证书申请参数包括：初始申请信任参数；

或者，所述证书申请参数包括：安全保护后的初始申请信任参数，所述资源分配命令还包括：解密凭据。

24.根据权利要求23所述的证书获取方法，所述虚拟机创建请求还包括：所述解密凭据。

25.根据权利要求23所述的证书获取方法，所述接收第一管理实体或第二管理实体发送的资源分配命令后，该方法还包括：

将所述解密凭据预先配置在所述虚拟化网络功能实体的版本文件中。

26.一种证书获取方法，应用于第五管理实体，该方法包括：

接收第三管理实体发送的虚拟机创建请求；其中，所述虚拟机创建请求包括：实例化参数，所述实例化参数包括：证书申请参数；

将所述证书申请参数注入到虚拟化网络功能实体中。

27.根据权利要求26所述的证书获取方法，其中，所述证书申请参数包括：安全保护后的初始申请信任参数，所述接收第三管理实体发送的虚拟机创建请求后，该方法还包括：

获取解密凭据；

将所述解密凭据传入到所述虚拟化网络功能实体中。

28.根据权利要求27所述的证书获取方法，其中，所述虚拟机创建请求还包括：解密凭据；所述获取解密凭据包括：获取所述虚拟机创建请求中的解密凭据。

29.根据权利要求27所述的证书获取方法，其中，所述获取解密凭据包括：

从所述第三管理实体获取所述虚拟化网络功能实体的版本文件；其中，所述版本文件预先配置有所述解密凭据；

所述将解密凭据传入到虚拟化网络功能实体中包括：根据所述虚拟化网络功能实体的版本文件为所述虚拟化网络功能实体加载版本。

30.一种电子设备，包括：

至少一个处理器；

存储器，所述存储器上存储有至少一个程序，当所述至少一个程序被所述至少一个处理器执行时，实现根据权利要求1-7任意一项所述的证书获取方法，或权利要求8-13任意一项所述的证书获取方法，或权利要求14-21任意一项所述的证书获取方法，或权利要求22-25任意一项所述的证书获取方法，或权利要求26-29任意一项所述的证书获取方法。

31.一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现根据权利要求1-7任意一项所述的证书获取方法，或权利要求8-13任意一项所述的证书获取方法，或权利要求14-21任意一项所述的证书获取方法，或权利要求22-25任意一项所述的证书获取方法，或权利要求26-29任意一项所述的证书获取方法。

32.一种证书获取系统，包括：

虚拟化网络功能实体，用于：

获取已注入到所述虚拟化网络功能实体中的证书申请参数；

根据所述证书申请参数获取初始申请信任参数；

向证书中心服务器发送注册请求；其中，所述注册请求包括：所述初始申请信任参数；

证书中心服务器，用于：

接收虚拟化网络功能实体发送的注册请求；

在根据所述初始申请信任参数对所述虚拟化网络功能实体进行身份认证通过，且根据预先配置的白名单确定所述虚拟化网络功能实体为获准持有运营商证书的合法实体的情况下，向所述虚拟化网络功能实体返回注册响应；其中，所述注册响应包括：运营商证书。

Images