RU2658172C2 - Способ и устройство получения сертификата - Google Patents

Способ и устройство получения сертификата Download PDF

Info

Publication number
RU2658172C2
RU2658172C2 RU2016147697A RU2016147697A RU2658172C2 RU 2658172 C2 RU2658172 C2 RU 2658172C2 RU 2016147697 A RU2016147697 A RU 2016147697A RU 2016147697 A RU2016147697 A RU 2016147697A RU 2658172 C2 RU2658172 C2 RU 2658172C2
Authority
RU
Russia
Prior art keywords
certificate
vnf instance
vnf
vnfm
application
Prior art date
Application number
RU2016147697A
Other languages
English (en)
Other versions
RU2016147697A (ru
RU2016147697A3 (ru
Inventor
Ин СЮН
Цзяншэн ВАН
Чэнянь ФЭН
Original Assignee
Хуавэй Текнолоджиз Ко., Лтд.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Хуавэй Текнолоджиз Ко., Лтд. filed Critical Хуавэй Текнолоджиз Ко., Лтд.
Publication of RU2016147697A publication Critical patent/RU2016147697A/ru
Publication of RU2016147697A3 publication Critical patent/RU2016147697A3/ru
Application granted granted Critical
Publication of RU2658172C2 publication Critical patent/RU2658172C2/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances

Abstract

Изобретение относится к средствам получения сертификата. Технический результат заключается в обеспечении безопасности служебного канала. Способ получения сертификата содержит: прием администратором виртуализированной сетевой функции (VNFM) сообщения о прокси применении сертификата, отправляемого администратором виртуализированной инфраструктуры (VIM) в структуре виртуализированной сетевой функции VNF, причем сообщение о прокси применении сертификата содержит экземпляр VNF, который запрашивает применение сертификата, и информацию о применении сертификата, используемую экземпляром VNF для применения сертификата; отправку с помощью VNFM сообщения о применении сертификата в сертифицирующий орган (СА), причем сообщение о применении сертификата содержит информацию о применении сертификата, используемую экземпляром VNF для применения сертификата; и прием, посредством VNFM, сертификата, выдаваемого СА, и отправку сертификата в VIM, причем сертификат формируется посредством СА в соответствии с информацией о применении сертификата. 4 н. и 12 з.п. ф-лы, 13 ил.

Description

ОБЛАСТЬ ТЕХНИКИ
[0001] Настоящее изобретение относится к области развертывания виртуальных сетей и, в частности, к способу и устройству получения сертификата.
УРОВЕНЬ ТЕХНИКИ
[0002] Виртуализация сетевых функций (Network Function Virtualization, NFV) является организацией по стандартизации, которая создана с целью «виртуализации обычных сетей» и разработала совокупность стандартов развертывания сетей в среде виртуализации. С помощью стандартов, разработанных организацией NFV, могут быть реализованы виртуализация сетей, гибкое развертывание и т.п.
[0003] Архитектура виртуальных сетей, разработанная NFV, включает в себя систему управления элементами (Element Management System, EMS), оркестратор NFV (оркестр NFV, NFVO), экземпляр виртуализированной сетевой функции (Virtual Network Function, VNF), администратор VNF (Администратор VNF, VNFM), NFV-инфраструктуру (Виртуальную Инфраструктуру Сетевых Функций, NFVI) и администратор виртуализированной инфраструктуры (Virtual Infrastructure Manager, VIM) в сети VNF.
[0004] EMS, которая является обычным администратором сетевых элементов, выполнена с возможностью администрирования экземпляра VNF в качестве сетевого элемента, причем, экземпляр VNF получается путем инстанцирования; NFVO выполнен с возможностью оркестрации VNF; экземпляр VNF является виртуализированным сетевым элементом, который выполняет сетевую функцию; VNFM выполнен с возможностью администрирования VNF; NFVI включает в себя виртуализированные вычислительные ресурсы, виртуализированные ресурсы хранения, виртуализированные сетевые ресурсы и т.п.; VIM выполнен с возможностью администрирования NFVI в соответствии с командами NFVO и VNFM.
[0005] EMS или VNFM администрирует VNF путем установления служебного канала с VNF. Для предотвращения атаки сети со стороны пользователя-злоумышленника обе стороны должны быть аутентифицированы, когда между EMS или VNFM и VNF устанавливается служебный канал. Как правило, аутентификация выполняется путем использования технологии защиты транспортного уровня (то есть, путем использования сертификата). То есть, сертификат используется в качестве доказательства аутентификации для выполнения операций аутентификации с обеих сторон.
[0006] Однако в обычной сети способы получения сертификата включают в себя в качестве неограничивающих примеров следующие два способа:
[0007] Первый способ:
[0008] Исходный сертификат, привязанный к аппаратным средствам, импортируется вручную или при начальной установке аппаратных средств или программных средств, а затем требуемый сертификат получается с помощью исходного сертификата и протокола управления сертификатами.
[0009] Однако, в стандартах NFV VNF автоматически формируется на VM и не может получать сертификат первым способом, что приводит к слабой безопасности служебного канала, устанавливаемого между EMS или VNFM и VNF.
[0010] Второй способ:
[0011] Когда формируется сетевой элемент, поставщик сетевого элемента устанавливает сертификат поставщика в сетевом элементе. Следовательно, когда сетевой элемент изначально конфигурируется, сетевой элемент использует протокол управления сертификатами для применения системы с открытым ключом (Инфраструктуры с Открытым Ключом, PKI) оператора для сертификата, выдаваемого оператором. В процессе применения сертификата сетевой элемент использует сертификат поставщика в качестве своего доказательства идентичности, поэтому PKI доверяет сетевому элементу и выдает сертификат оператора.
[0012] Однако, в виртуализированной среде VNF формируется динамически и, следовательно, не может применять сертификат вторым способом, что приводит к слабой безопасности служебного канала, устанавливаемого между EMS или VNFM и VNF.
СУЩНОСТЬ ИЗОБРЕТЕНИЯ
[0013] В свете вышеизложенного, в вариантах осуществления настоящего изобретения предлагаются способ и устройство получения сертификата для решения проблемы слабой безопасности служебного канала, устанавливаемого между EMS или VNFM и VNF.
[0014] В соответствии с первым аспектом настоящего изобретения, предлагается устройство получения сертификата, включающее в себя:
модуль приема, выполненный с возможностью приема сообщения о прокси применения сертификата, отправляемого экземпляром VNF, причем, сообщение о прокси применения сертификата включает в себя информацию об аутентификации и информацию о применении сертификата, которая используется для применения сертификата, причем, информация об аутентификации используется для установления канала для прокси-применения сертификата между экземпляром VNF и администратором виртуализированной сетевой функции (VNF) (VNFM); и
модуль отправки, выполненный с возможностью использования информации об аутентификации, принимаемой модулем приема, для аутентификации экземпляра VNF, а при успешной аутентификации - отправки сообщения о применении сертификата в сертифицирующий орган (СА), причем, сообщение о применении сертификата включает в себя информацию о применении сертификата, которая используется для применения сертификата, причем
модуль приема дополнительно выполнен с возможностью приема сертификата, выдаваемого СА; и
модуль отправки дополнительно выполнен с возможностью отправки сертификата, принимаемого модулем приема, в экземпляр VNF, причем, сертификат формируется посредством СА в соответствии с информацией о применении сертификата, которая используется для применения сертификата и включается в сообщение о применении сертификата.
[0015] Со ссылкой на возможный способ реализации первого аспекта настоящего изобретения, в первом возможном способе реализации информация об аутентификации является временным сертификатом, причем, временный сертификат применяется от VNFM, когда оркестратор виртуализации сетевых функций (NFVO) определяет необходимость в инстанцировании экземпляра VNF, и передается в экземпляр VNF посредством администратора виртуализированной инфраструктуры (VIM) в структуре VNF, инфраструктуры NFV (NFVI) и виртуальной машины (VM) в которой выполняется посредством VNF.
[0016] Со ссылкой на первый возможный способ реализации первого аспекта настоящего изобретения, во втором возможном способе реализации модуль отправки, в частности, выполнен с возможностью: сравнения принимаемого временного сертификата с временным сертификатом, который применяется от VNFM, когда NFVO определяет необходимость в инстанцировании экземпляра VNF; и
когда определяется, что принимаемый временный сертификат является таким же, как и временный сертификат, который применяется от VNFM, когда NFVO определяет необходимость в инстанцировании экземпляра VNF - определения, что аутентификация в экземпляре VNF является успешной; или
когда определяется, что принимаемый временный сертификат отличается от временного сертификата, который применяется от VNFM, когда NFVO определяет необходимость в инстанцировании экземпляра VNF - определения, что аутентификация в экземпляре VNF является неудачной.
[0017] Со ссылкой на возможный способ реализации первого аспекта настоящего изобретения, в третьем возможном способе реализации информация об аутентификации является общим ключом (PSK), причем, PSK формируется, когда оркестратор виртуализации сетевых функций (NFVO) определяет необходимость в инстанцировании экземпляра VNF, и передается в экземпляр VNF посредством администратора виртуализированной инфраструктуры (VIM) в структуре VNF, инфраструктуры NFV (NFVI) и виртуальной машины (VM) в которой выполняется посредством VNF.
[0018] Со ссылкой на третий возможный способ реализации первого аспекта настоящего изобретения, в четвертом возможном способе реализации модуль приема, в частности, выполнен с возможностью отправки PSK в экземпляр VNF и приема сообщения о прокси применения сертификата, отправляемого экземпляром VNF, причем, сообщение о прокси применения сертификата отправляется в VNFM, когда экземпляр VNF определяет, что локально введенный PSK является таким же, как и принимаемый PSK, отправляемый VNFM, или связан с ним.
[0019] Со ссылкой на четвертый возможный способ реализации первого аспекта настоящего изобретения, в пятом возможном способе реализации модуль отправки, в частности, выполнен с возможностью: сравнения принимаемого PSK с PSK, который выдается, когда NFVO определяет необходимость в инстанцировании экземпляра VNF; и
когда определяется, что принимаемый PSK является таким же, как и PSK, который выдается, или связан с ним, когда NFVO определяет необходимость в инстанцировании экземпляра VNF - определения, что аутентификация в экземпляре VNF является успешной; или
когда определяется, что принимаемый PSK отличается от PSK, который выдается, или не связан с ним, когда NFVO определяет необходимость в инстанцировании экземпляра VNF - определения, что аутентификация в экземпляре VNF является неудачной.
[0020] Со ссылкой на возможный способ реализации первого аспекта настоящего изобретения, либо со ссылкой на первый возможный способ реализации первого аспекта настоящего изобретения, либо со ссылкой на второй возможный способ реализации первого аспекта настоящего изобретения, либо со ссылкой на третий возможный способ реализации первого аспекта настоящего изобретения, либо со ссылкой на четвертый возможный способ реализации первого аспекта настоящего изобретения, либо со ссылкой на пятый возможный способ реализации первого аспекта настоящего изобретения, в шестом возможном способе реализации устройство дополнительно включает в себя:
модуль установления канала, выполненный с возможностью: когда сертификат отправляется в экземпляр VNF - использования сертификата для установления служебного канала с экземпляром VNF.
[0021] В соответствии со вторым аспектом настоящего изобретения, предлагается устройство получения сертификата, включет в себя:
модуль приема, выполненный с возможностью приема сообщения о прокси применения сертификата, отправляемого администратором виртуализированной инфраструктуры (VIM) в структуре VNF, причем, сообщение о прокси применения сертификата включает в себя экземпляр VNF, который запрашивает применение сертификата, и информацию о применении сертификата, используемую экземпляром VNF для применения сертификата; и
модуль отправки, выполненный с возможностью отправки сообщения о применении сертификата в сертифицирующий орган (СА), причем, сообщение о применении сертификата включает в себя информацию о применении сертификата, принимаемую модулем приема и используемую экземпляром VNF для применения сертификата, причем,
модуль приема дополнительно выполнен с возможностью приема сертификата, выдаваемого СА; и
модуль отправки дополнительно выполнен с возможностью отправки сертификата, принимаемого модулем приема, в VIM, причем, сертификат формируется посредством СА в соответствии с информацией о применении сертификата, используемой экземпляром VNF для применения сертификата и включенной в сообщение о применении сертификата.
[0022] Со ссылкой на возможный способ реализации второго аспекта настоящего изобретения, в первом возможном способе реализации сообщение о прокси применения сертификата формируется VIM в соответствии с принимаемой информацией о применении сертификата, причем, информация о применении сертификата получается экземпляром VNF в соответствии с параметром инициализации и отправляется экземпляром VNF в VM, а затем отправляется VM в VIM по защищенному каналу с VIM.
[0023] Со ссылкой на первый возможный способ реализации второго аспекта настоящего изобретения, во втором возможном способе реализации параметр инициализации вклюает в себя информацию о СА и доменное имя домена управления сертификатами и получается, когда оркестратор виртуализации сетевых функций (NFVO) определяет инстанцировать экземпляр VNF.
[0024] В соответствии с третьим аспектом настоящего изобретения, предлагается устройство получения сертификата, включает в себя:
модуль приема, выполненный с возможностью приема сообщения о применении сертификата, отправляемого экземпляром виртуализированной сетевой функции (VNF), причем, сообщение о применении сертификата включает в себя временный сертификат и информацию о применении сертификата, которая используется для применения сертификата, причем, временный сертификат применятся от СА, когда оркестратор виртуализации сетевых функций (NFVO) определяет необходимость в инстанцировании экземпляра VNF, и передается в экземпляр VNF посредством администратора виртуализированной инфраструктуры (VIM) в структуре VNF, инфраструктуры NFV (NFVI) и виртуальной машины (VM) в которой выполняется посредством VNF; и
модуль выдачи, выполненный с возможностью использования временного сертификата, принимаемого модулем приема, для аутентификации экземпляра VNF, а при успешной аутентификации - выдачи сертификата в экземпляр VNF в соответствии с информацией о применении сертификата, которая используется для применения сертификата и включается в сообщение о применении сертификата.
[0025] В соответствии с четвертым аспектом настоящего изобретения, предлагается устройство получения сертификата, включающее в себя:
модуль приема, выполненный с возможностью приема сообщения о применении сертификата, отправляемого виртуальной машиной (VM), причем, сообщение о применении сертификата включает в себя открытый ключ, используемый для применения сертификата; и
модуль отправки, выполненный с возможностью отправки сообщения о прокси применения сертификата в сертифицирующий орган (СА), причем, сообщение о прокси применения сертификата включает в себя открытый ключ, принимаемый модулем приема и используемый VM для применения сертификата, причем
модуль приема дополнительно выполнен с возможностью приема сертификата, выдаваемого СА; и
модуль отправки дополнительно выполнен с возможностью отправки сертификата, принимаемого модулем приема, в VM, причем, сертификат получается СА путем подписания в соответствии с открытым ключом, используемым VM для применения сертификата и включенным в сообщение о прокси применения сертификата.
[0026] Со ссылкой на возможный способ реализации четвертого аспекта настоящего изобретения, в первом возможном способе реализации модуль отправки, в частности, выполнен с возможностью отправки сообщения о прокси применения сертификата в администратор виртуализированной инфраструктуры (VIM) в структуре виртуализированной сетевой функции таким образом, что VIM пересылает сообщение о прокси применения сертификата в сертифицирующий орган (СА).
[0027] Со ссылкой на возможный способ реализации четвертого аспекта настоящего изобретения, либо со ссылкой на первый возможный способ реализации четвертого аспекта настоящего изобретения, во втором возможном способе реализации устройство дополнительно включает в себя:
модуль установления канала, выполненный с возможностью: когда VM принимает сертификат - установления служебного канала между VM и администратором VM.
[0028] Со ссылкой на возможный способ реализации четвертого аспекта настоящего изобретения, либо со ссылкой на первый возможный способ реализации четвертого аспекта настоящего изобретения, либо со ссылкой на второй возможный способ реализации четвертого аспекта настоящего изобретения, в третьем возможном способе реализации открытый ключ формируется VM в соответствии с параметром инициализации, причем, параметр инициализации включает в себя информацию о СА и доменное имя домена управления сертификатом и получается, когда администратор виртуализированной инфраструктуры (VIM) в структуре виртуализированной сетевой функции принимает команду на формирование VM, причем, команда отправляется оркестратором виртуализации сетевой функции (NFVO).
[0029] В соответствии с пятым аспектом настоящего изобретения, предлагается устройство получения сертификата, включающее:
приемник сигналов, выполненный с возможностью приема сообщения о прокси применения сертификата, отправляемого экземпляром VNF, причем, сообщение о прокси применения сертификата включает в себя информацию об аутентификации и информацию о применении сертификата, которая используется для применения сертификата, причем, информация об аутентификации используется для установления канала для прокси-применения сертификата между экземпляром VNF и администратором виртуализированной сетевой функции (VNF) (VNFM); и
передатчик сигналов, выполненный с возможностью использования информации об аутентификации для аутентификации экземпляра VNF, а при успешной аутентификации - отправки сообщения о применении сертификата в сертифицирующий орган (СА), причем, сообщение о применении сертификата включает в себя информацию о применении сертификата, которая используется для применения сертификата, причем
приемник сигналов дополнительно выполнен с возможностью приема сертификата, выдаваемого СА; и
передатчик сигналов дополнительно выполнен с возможностью отправки сертификата в экземпляр VNF, причем, сертификат формируется посредством СА в соответствии с информацией о применении сертификата, которая используется для применения сертификата и включается в сообщение о применении сертификата.
[0030] Со ссылкой на возможный способ реализации пятого аспекта настоящего изобретения, в первом возможном способе реализации информация об аутентификации является временным сертификатом, причем, временный сертификат применяется от VNFM, когда оркестратор виртуализации сетевых функций (NFVO) определяет необходимость в инстанцировании экземпляра VNF, и передается в экземпляр VNF посредством администратора виртуализированной инфраструктуры (VIM) в структуре VNF, инфраструктуры NFV (NFVI) и виртуальной машины (VM) в которой выполняется посредством VNF.
[0031] Со ссылкой на первый возможный способ реализации пятого аспекта настоящего изобретения, во втором возможном способе реализации передатчик сигналов, в частности, выполнен с возможностью: сравнения принимаемого временного сертификата с временным сертификатом, который применяется от VNFM, когда NFVO определяет необходимость в инстанцировании экземпляра VNF; и
когда VNFM определяет, что принимаемый временный сертификат является таким же, как и временный сертификат, который применяется от VNFM, когда NFVO определяет необходимость в инстанцировании экземпляра VNF - определения, что аутентификация в экземпляре VNF является успешной; или
когда VNFM определяет, что принимаемый временный сертификат отличается от временного сертификата, который применяется от VNFM, когда NFVO определяет необходимость в инстанцировании экземпляра VNF - определения, что аутентификация в экземпляре VNF является неудачной.
[0032] Со ссылкой на возможный способ реализации пятого аспекта настоящего изобретения, в третьем возможном способе реализации информация об аутентификации является общим ключом (PSK), причем, PSK формируется, когда оркестратор виртуализации сетевых функций (NFVO) определяет необходимость в инстанцировании экземпляра VNF, и передается в экземпляр VNF посредством администратора виртуализированной инфраструктуры (VIM) в структуре VNF, инфраструктуры NFV (NFVI) и виртуальной машины (VM) в которой выполняется посредством VNF.
[0033] Со ссылкой на третий возможный способ реализации пятого аспекта настоящего изобретения, в четвертом возможном способе реализации приемник сигналов, в частности, выполнен с возможностью отправки PSK в экземпляр VNF и приема сообщения о прокси применения сертификата, отправляемого экземпляром VNF, причем, сообщение о прокси применения сертификата отправляется в VNFM, когда экземпляр VNF определяет, что локально введенный PSK является таким же, как и принимаемый PSK, отправляемый VNFM, или связан с ним.
[0034] Со ссылкой на четвертый возможный способ реализации пятого аспекта настоящего изобретения, в пятом возможном способе реализации передатчик сигналов, в частности, выполнен с возможностью: сравнения принимаемого PSK с PSK, который выдается, когда NFVO определяет необходимость в инстанцировании экземпляра VNF; и
когда определяется, что принимаемый PSK является таким же, как и PSK, который выдается, или связан с ним, когда NFVO определяет необходимость в инстанцировании экземпляра VNF - определения, что аутентификация в экземпляре VNF является успешной; или
когда определяется, что принимаемый PSK отличается от PSK, который выдается, или не связан с ним, когда NFVO определяет необходимость в инстанцировании экземпляра VNF - определения, что аутентификация в экземпляре VNF является неудачной.
[0035] Со ссылкой на возможный способ реализации пятого аспекта настоящего изобретения, либо со ссылкой на первый возможный способ реализации пятого аспекта настоящего изобретения, либо со ссылкой на второй возможный способ реализации пятого аспекта настоящего изобретения, либо со ссылкой на третий возможный способ реализации пятого аспекта настоящего изобретения, либо со ссылкой на четвертый возможный способ реализации пятого аспекта настоящего изобретения, либо со ссылкой на пятый возможный способ реализации пятого аспекта настоящего изобретения, в шестом возможном способе реализации устройство дополнительно включает в себя:
процессор, выполненный с возможностью: когда сертификат отправляется в экземпляр VNF - использования сертификата для установления служебного канала с экземпляром VNF.
[0036] В соответствии с шестым аспектом настоящего изобретения, предлагается устройство получения сертификата, включающее в себя:
приемник сигналов, выполненный с возможностью приема сообщения о прокси применения сертификата, отправляемого администратором виртуализированной инфраструктуры (VIM) в структуре VNF, причем, сообщение о прокси применения сертификата включает в себя экземпляр VNF, который запрашивает применение сертификата, и информацию о применении сертификата, используемую экземпляром VNF для применения сертификата; и
передатчик сигналов, выполненный с возможностью отправки сообщения о применении сертификата в сертифицирующий орган (СА), причем, сообщение о применении сертификата включает в себя информацию о применении сертификата, используемую экземпляром VNF для применения сертификата, причем,
приемник сигналов дополнительно выполнен с возможностью приема сертификата, выдаваемого СА; и
передатчик сигналов дополнительно выполнен с возможностью отправки сертификата в VIM, причем, сертификат формируется посредством СА в соответствии с информацией о применении сертификата, используемой экземпляром VNF для применения сертификата и включенной в сообщение о применении сертификата.
[0037] Со ссылкой на возможный способ реализации шестого аспекта настоящего изобретения, в первом возможном способе реализации сообщение о прокси применения сертификата формируется VIM в соответствии с принимаемой информацией о применении сертификата, причем, информация о применении сертификата получается экземпляром VNF в соответствии с параметром инициализации и отправляется экземпляром VNF в VM, а затем отправляется VM в VIM по защищенному каналу с VIM.
[0038] Со ссылкой на первый возможный способ реализации шестого аспекта настоящего изобретения, во втором возможном способе реализации параметр инициализации включает в себя информацию о СА и доменное имя домена управления сертификатами и получается, когда оркестратор виртуализации сетевых функций (NFVO) определяет инстанцировать экземпляр VNF.
[0039] В соответствии с седьмым аспектом настоящего изобретения, предлагается устройство получения сертификата, включает в себя:
приемник сигналов, выполненный с возможностью приема сообщения о применении сертификата, отправляемого экземпляром виртуализированной сетевой функции (VNF), причем, сообщение о применении сертификата включает в себя временный сертификат и информацию о применении сертификата, которая используется для применения сертификата, причем, временный сертификат применятся от СА, когда оркестратор виртуализации сетевых функций (NFVO) определяет необходимость в инстанцировании экземпляра VNF, и передается в экземпляр VNF посредством администратора виртуализированной инфраструктуры (VIM) в структуре VNF, инфраструктуры NFV (NFVI) и виртуальной машины (VM) в которой выполняется посредством VNF; и
процессор, выполненный с возможностью использования временного сертификата для аутентификации экземпляра VNF, а при успешной аутентификации - выдачи сертификата в экземпляр VNF в соответствии с информацией о применении сертификата, которая используется для применения сертификата и включается в сообщение о применении сертификата.
[0040] В соответствии с восьмым аспектом настоящего изобретения, предлагается устройство получения сертификата, включающее в себя:
приемник сигналов, выполненный с возможностью приема сообщения о применении сертификата, отправляемого виртуальной машиной (VM), причем, сообщение о применении сертификата включает в себя открытый ключ, используемый для применения сертификата; и
передатчик сигналов, выполненный с возможностью отправки сообщения о прокси применения сертификата в сертифицирующий орган (СА), причем, сообщение о прокси применения сертификата включает в себя открытый ключ, используемый VM для применения сертификата, причем
приемник сигналов дополнительно выполнен с возможностью приема сертификата, выдаваемого СА; и
передатчик сигналов дополнительно выполнен с возможностью отправки сертификата в VM, причем, сертификат получается СА путем подписания в соответствии с открытым ключом, используемым VM для применения сертификата и включенным в сообщение о прокси применения сертификата.
[0041] Со ссылкой на возможный способ реализации восьмого аспекта настоящего изобретения, в первом возможном способе реализации передатчик сигналов, в частности, выполнен с возможностью отправки сообщения о прокси применения сертификата в администратор виртуализированной инфраструктуры (VIM) в структуре виртуализированной сетевой функции таким образом, что VIM пересылает сообщение о прокси применения сертификата в сертифицирующий орган (СА).
[0042] Со ссылкой на возможный способ реализации восьмого аспекта настоящего изобретения, либо со ссылкой на первый возможный способ реализации восьмого аспекта настоящего изобретения, во втором возможном способе реализации устройство дополнительно включает в себя:
процессор, выполненный с возможностью: когда VM принимает сертификат - установления служебного канала между VM и администратором VM.
[0043] Со ссылкой на возможный способ реализации восьмого аспекта настоящего изобретения, либо со ссылкой на первый возможный способ реализации восьмого аспекта настоящего изобретения, либо со ссылкой на второй возможный способ реализации восьмого аспекта настоящего изобретения, в третьем возможном способе реализации открытый ключ формируется VM в соответствии с параметром инициализации, причем, параметр инициализации включает в себя информацию о СА и доменное имя домена управления сертификатом и получается, когда администратор виртуализированной инфраструктуры (VIM) в структуре виртуализированной сетевой функции принимает команду на формирование VM, причем, команда отправляется оркестратором виртуализации сетевой функции (NFVO).
[0044] В соответствии с девятым аспектом настоящего изобретения, предлагается способ получения сертификата, включающий в себя:
прием администратором виртуализированной сетевой функции (VNFM) сообщения о прокси применения сертификата, отправляемого экземпляром VNF, причем, сообщение о прокси применения сертификата включает в себя информацию об аутентификации и информацию о применении сертификата, которая используется для применения сертификата, причем, информация об аутентификации используется для установления канала для прокси-применения сертификата между экземпляром VNF и администратором виртуализированной сетевой функции (VNF) (VNFM);
использование, посредством VNFM, информации об аутентификации для аутентификации экземпляра VNF, а при успешной аутентификации - отправки сообщения о применении сертификата в сертифицирующий орган (СА), причем, сообщение о применении сертификата включает в себя информацию о применении сертификата, которая используется для применения сертификата; и
прием, посредством VNFM, сертификата, выдаваемого СА, и отправку сертификата в экземпляр VNF, причем, сертификат формируется посредством СА в соответствии с информацией о применении сертификата, которая используется для применения сертификата и включается в сообщение о применении сертификата.
[0045] Со ссылкой на возможный способ реализации в девятом аспекте настоящего изобретения, в первом возможном способе реализации информация об аутентификации является временным сертификатом, причем, временный сертификат применяется от VNFM, когда оркестратор виртуализации сетевых функций (NFVO) определяет необходимость в инстанцировании экземпляра VNF, и передается в экземпляр VNF посредством администратора виртуализированной инфраструктуры (VIM) в структуре VNF, инфраструктуры NFV (NFVI) и виртуальной машины (VM) в которой выполняется посредством VNF.
[0046] Со ссылкой на первый возможный способ реализации девятого аспекта настоящего изобретения, во втором возможном способе реализации использование, посредством VNFM, информации об аутентификации для аутентификации экземпляра VNF включает в себя:
сравнение, посредством VNFM, принимаемого временного сертификата с временным сертификатом, который применяется от VNFM, когда NFVO определяет необходимость в инстанцировании экземпляра VNF; и
когда VNFM определяет, что принимаемый временный сертификат является таким же, как и временный сертификат, который применяется от VNFM, когда NFVO определяет необходимость в инстанцировании экземпляра VNF - определения, что аутентификация в экземпляре VNF является успешной; или
когда VNFM определяет, что принимаемый временный сертификат отличается от временного сертификата, который применяется от VNFM, когда NFVO определяет необходимость в инстанцировании экземпляра VNF - определения, что аутентификация в экземпляре VNF является неудачной.
[0047] Со ссылкой на возможный способ реализации в девятом аспекте настоящего изобретения, в третьем возможном способе реализации информация об аутентификации является общим ключом (PSK), причем, PSK формируется, когда оркестратор виртуализации сетевых функций (NFVO) определяет необходимость в инстанцировании экземпляра VNF, и передается в экземпляр VNF посредством администратора виртуализированной инфраструктуры (VIM) в структуре VNF, инфраструктуры NFV (NFVI) и виртуальной машины (VM) в которой выполняется посредством VNF.
[0048] Со ссылкой на третий возможный способ реализации девятого аспекта настоящего изобретения, в четвертом возможном способе реализации прием администратором виртуализированной сетевой функции (VNF) (VNFM) сообщения о прокси применения сертификата, отправляемого экземпляром VNF, включает в себя:
отправку - с помощью VNFM - PSK в экземпляр VNF и прием сообщения о прокси применения сертификата, отправляемого экземпляром VNF, причем, сообщение о прокси применения сертификата отправляется в VNFM, когда экземпляр VNF определяет, что локально введенный PSK является таким же, как и принимаемый PSK, отправляемый VNFM, или связан с ним.
[0049] Со ссылкой на четвертый возможный способ реализации девятого аспекта настоящего изобретения, в пятом возможном способе реализации использование, посредством VNFM, информации об аутентификации для аутентификации экземпляра VNF включает в себя:
сравнение - с помощью VNFM - принимаемого PSK с PSK, который выдается, когда NFVO определяет необходимость в инстанцировании экземпляра VNF; и
когда VNFM определяет, что принимаемый PSK является таким же, как и PSK, который выдается, или связан с ним, когда NFVO определяет необходимость в инстанцировании экземпляра VNF - определения, что аутентификация в экземпляре VNF является успешной; или
когда VNFM определяет, что принимаемый PSK отличается от PSK, который выдается, или не связан с ним, когда NFVO определяет необходимость в инстанцировании экземпляра VNF - определения, что аутентификация в экземпляре VNF является неудачной.
[0050] Со ссылкой на возможный способ реализации девятого аспекта настоящего изобретения, либо со ссылкой на первый возможный способ реализации девятого аспекта настоящего изобретения, либо со ссылкой на второй возможный способ реализации девятого аспекта настоящего изобретения, либо со ссылкой на третий возможный способ реализации девятого аспекта настоящего изобретения, либо со ссылкой на четвертый возможный способ реализации девятого аспекта настоящего изобретения, либо со ссылкой на пятый возможный способ реализации девятого аспекта настоящего изобретения, в шестом возможном способе реализации способ дополнительно включает в себя:
использование, посредством VNFM, сертификата для установления служебного канала с экземпляром VNF при отправке сертификата в экземпляр VNF.
[0051] В соответствии с десятым аспектом настоящего изобретения, предлагается способ получения сертификата, включающий в себя:
прием администратором виртуализированной сетевой функции (VNFM) сообщения о прокси применения сертификата, отправляемого администратором виртуализированной инфраструктуры (VIM) в структуре VNF, причем, сообщение о прокси применения сертификата включает в себя экземпляр VNF, который запрашивает применение сертификата, и информацию о применении сертификата, используемую экземпляром VNF для применения сертификата;
отправку с помощью VNFM сообщения о применении сертификата в сертифицирующий орган (СА), причем, сообщение о применении сертификата включает в себя информацию о применении сертификата, используемую экземпляром VNF для применения сертификата; и
прием, посредством VNFM, сертификата, выдаваемого СА, и отправку сертификата в VIM, причем, сертификат формируется посредством СА в соответствии с информацией о применении сертификата, используемой экземпляром VNF для применения сертификата и включенной в сообщение о применении сертификата.
[0052] Со ссылкой на возможный способ реализации в десятом аспекте настоящего изобретения, в первом возможном способе реализации сообщение о прокси применения сертификата формируется VIM в соответствии с принимаемой информацией о применении сертификата, причем, информация о применении сертификата получается экземпляром VNF в соответствии с параметром инициализации и отправляется экземпляром VNF в VM, а затем отправляется VM в VIM по защищенному каналу с VIM.
[0053] Со ссылкой на первый возможный способ реализации десятого аспекта настоящего изобретения, во втором возможном способе реализации параметр инициализации включает в себя информацию о СА и доменное имя домена управления сертификатами и получается, когда оркестратор виртуализации сетевых функций (NFVO) определяет инстанцировать экземпляр VNF.
[0054] В соответствии с одиннадцатым аспектом настоящего изобретения, предлагается способ получения сертификата, включающий в себя:
прием сертифицирующим органом (СА) сообщения о применении сертификата, отправляемого экземпляром виртуализированной сетевой функции (VNF), причем, сообщение о применении сертификата включает в себя временный сертификат и информацию о применении сертификата, которая используется для применения сертификата, причем, временный сертификат применятся от СА, когда оркестратор виртуализации сетевых функций (NFVO) определяет необходимость в инстанцировании экземпляра VNF, и передается в экземпляр VNF посредством администратора виртуализированной инфраструктуры (VIM) в структуре VNF, инфраструктуры NFV (NFVI) и виртуальной машины (VM) в которой выполняется посредством VNF; и
использование СА временного сертификата для аутентификации экземпляра VNF, а при успешной аутентификации - выдачи сертификата в экземпляр VNF в соответствии с информацией о применении сертификата, которая используется для применения сертификата и включается в сообщение о применении сертификата.
[0055] В соответствии с двенадцатым аспектом настоящего изобретения, предлагается способ получения сертификата, включающий в себя:
прием инфраструктурой виртуализации сетевой функции (NFVI) сообщения о применении сертификата, отправляемого виртуальной машиной (VM), причем, сообщение о применении сертификата включает в себя открытый ключ, используемый для применения сертификата;
отправку NFVI сообщения о прокси применения сертификата в сертифицирующий орган (СА), причем, сообщение о прокси применения сертификата включает в себя открытый ключ, используемый VM для применения сертификата; и
прием NFVI сертификата, выдаваемого СА, и отправку сертификата в VM, причем, сертификат получается СА путем подписания в соответствии с открытым ключом, используемым VM для применения сертификата и включенным в сообщение о прокси применения сертификата.
[0056] Со ссылкой на возможный способ реализации двенадцатого аспекта настоящего изобретения, в первом возможном способе реализации отправка NFVI сообщения о прокси применения сертификата в сертифицирующий орган (СА) включает в себя:
отправку NFVI сообщения о прокси применения сертификата в администратор виртуализированной инфраструктуры (VIM) в структуре виртуализированной сетевой функции таким образом, что VIM пересылает сообщение о прокси применения сертификата в сертифицирующий орган (СА).
[0057] Со ссылкой на возможный способ реализации двенадцатого аспекта настоящего изобретения, либо со ссылкой на первый возможный способ реализации двенадцатого аспекта настоящего изобретения, во втором возможном способе реализации способ дополнительно включает в себя:
установление - когда VM принимает сертификат - служебного канала между VM и администратором VM.
[0058] Со ссылкой на возможный способ реализации двенадцатого аспекта настоящего изобретения, либо со ссылкой на первый возможный способ реализации двенадцатого аспекта настоящего изобретения, либо со ссылкой на второй возможный способ реализации двенадцатого аспекта настоящего изобретения, в третьем возможном способе реализации открытый ключ формируется VM в соответствии с параметром инициализации, причем, параметр инициализации включает в себя информацию о СА и доменное имя домена управления сертификатом и получается, когда администратор виртуализированной инфраструктуры (VIM) в структуре виртуализированной сетевой функции принимает команду на формирование VM, причем, команда отправляется оркестратором виртуализации сетевой функции (NFVO).
[0059] В вариантах осуществления настоящего изобретения VNFM принимает сообщение о прокси применения сертификата, отправляемое экземпляром VNF, причем, сообщение о прокси применения сертификата включает в себя информацию об аутентификации и информацию о применении сертификата, которая используется для применения сертификата, причем, информация об аутентификации используется для установления канала для прокси-применения сертификата между экземпляром VNF и VNFM; VNFM использует информацию об аутентификации для аутентификации экземпляра VNF, а при успешной аутентификации отправляет сообщение о применении сертификата в СА, причем, сообщение о применении сертификата включает в себя информацию о применении сертификата, которая используется для применения сертификата; VNFM принимает сертификат, выдаваемый СА, и отправляет сертификат в экземпляр VNF. Таким образом, по доверенному соединению между VNFM и сертифицирующим органом инстанцированный экземпляр VNF применяет сертификат, выдаваемый сертифицирующим органом, тем самым эффективно обеспечивая законность сертификата, применяемого экземпляром VNF, и обеспечивая безопасность служебного канала, который устанавливается между экземпляром VNF и VNFM путем использования сертификата, выдаваемого сертифицирующим органом.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ
[0060] Для более понятного описания технических решений в вариантах осуществления настоящего изобретения далее вкратце рассмотрены прилагаемые чертежи, необходимые для описания вариантов осуществления. Очевидно, что в прилагаемых чертежах в нижеследующем описании показаны лишь некоторые варианты осуществления настоящего изобретения, однако специалисты в данной области техники могут без творческих усилий получить по данным прилагаемым чертежам другие чертежи.
[0061] Фиг. 1 представляет собой блок-схему последовательности операций способа получения сертификата в соответствии с Вариантом осуществления 1 настоящего изобретения;
[0062] Фиг. 2 представляет собой блок-схему последовательности операций способа получения сертификата в соответствии с Вариантом осуществления 2 настоящего изобретения;
[0063] Фиг. 3 представляет собой блок-схему последовательности операций способа получения сертификата в соответствии с Вариантом осуществления 3 настоящего изобретения;
[0064] Фиг. 4 представляет собой блок-схему последовательности операций способа получения сертификата в соответствии с Вариантом осуществления 4 настоящего изобретения;
[0065] Фиг. 5 представляет собой блок-схему последовательности операций способа получения сертификата;
[0066] Фиг. 6 представляет собой схематическую структурную диаграмму устройства получения сертификата в соответствии с Вариантом осуществления 5 настоящего изобретения;
[0067] Фиг. 7 представляет собой схематическую структурную диаграмму устройства получения сертификата в соответствии с Вариантом осуществления 6 настоящего изобретения;
[0068] Фиг. 8 представляет собой схематическую структурную диаграмму устройства получения сертификата в соответствии с Вариантом осуществления 7 настоящего изобретения;
[0069] Фиг. 9 представляет собой схематическую структурную диаграмму устройства получения сертификата в соответствии с Вариантом осуществления 8 настоящего изобретения;
[0070] Фиг. 10 представляет собой схематическую структурную диаграмму устройства получения сертификата в соответствии с Вариантом осуществления 9 настоящего изобретения;
[0071] Фиг. 11 представляет собой схематическую структурную диаграмму устройства получения сертификата в соответствии с Вариантом осуществления 10 настоящего изобретения;
[0072] Фиг. 12 представляет собой схематическую структурную диаграмму устройства получения сертификата в соответствии с Вариантом осуществления 11 настоящего изобретения;
[0073] Фиг. 13 представляет собой схематическую структурную диаграмму устройства получения сертификата в соответствии с Вариантом осуществления 12 настоящего изобретения.
ОПИСАНИЕ ВАРИАНТОВ ОСУЩЕСТВЛЕНИЯ
[0074] Для достижения целей настоящего изобретения в вариантах осуществления настоящего изобретения предлагаются способ и устройство получения сертификата. VNFM принимает сообщение о прокси применения сертификата, отправляемое экземпляром VNF, причем, сообщение о прокси применения сертификата включает в себя информацию об аутентификации и информацию о применении сертификата, которая используется для применения сертификата, причем, информация об аутентификации используется для установления канала для прокси-применения сертификата между экземпляром VNF и VNFM; VNFM использует информацию об аутентификации для аутентификации экземпляра VNF, а при успешной аутентификации отправляет сообщение о применении сертификата в СА, причем, сообщение о применении сертификата включает в себя информацию о применении сертификата, которая используется для применения сертификата; VNFM принимает сертификат, выдаваемый СА, и отправляет сертификат в экземпляр VNF. Таким образом, по доверенному соединению между VNFM и сертифицирующим органом инстанцированный экземпляр VNF применяет сертификат, выдаваемый сертифицирующим органом, тем самым эффективно обеспечивая законность сертификата, применяемого экземпляром VNF, и обеспечивая безопасность служебного канала, который устанавливается между экземпляром VNF и VNFM путем использования сертификата, выдаваемого сертифицирующим органом.
[0075] Необходимо отметить, что после того, как экземпляр VNF инстанцирован, инстанцированный экземпляр VNF принадлежит новому виртуальному сетевому элементу, при этом доверенное соединение между инстанцированным экземпляром VNF и другим сетевым элементом в виртуальной сети не устанавливается, при этом виртуальный сетевой элемент и сертифицирующий орган (Certificate Authority, СА) являются сомнительными сетевыми элементами друг для друга. Следовательно, сертификат не может применяться непосредственно от СА. В вариантах осуществления настоящего изобретения с помощью прокси применения сертификата экземпляр VNF может получать законный сертификат.
[0076] Далее в данном описании подробно описываются варианты осуществления настоящего изобретения со ссылкой на прилагаемые чертежи.
Вариант осуществления 1
[0077] Как показано на фиг. 1, которая представляет собой блок-схему последовательности операций способа получения сертификата в соответствии с Вариантом осуществления 1 настоящего изобретения, способ можно описать следующим образом:
[0078] Этап 101: Администратор виртуализированной сетевой функции (VNF) (VNFM) принимает сообщение о прокси применения сертификата, отправляемое экземпляром VNF.
[0079] Сообщение о прокси применения сертификата включает в себя информацию об аутентификации и информацию о применении сертификата, которая используется для применения сертификата, причем, информация об аутентификации используется для установления канала для прокси-применения сертификата между экземпляром VNF и VNFM.
[0080] Необходимо отметить, что сообщение о применении сертификата включает в себя формат сертификата, доменное имя, информацию о сертифицирующем органе и т.п.
[0081] На этапе 101 в виртуальной сети после того, как VNF инстанцирована, необходимо применить сертификат для инстанцированного экземпляра VNF с целью обеспечения безопасности связи между инстанцированным экземпляром VNF и другими виртуальными сетевыми элементами.
[0082] В частности, при приеме команды на инстанцирование экземпляра VNF NFVO определяет информацию об аутентификации, которая в последующем используется для установления канала для прокси-применения сертификата между экземпляром VNF и VNFM, добавляет определенную информацию об аутентификации в команду на инстанцирование VNF и отправляет команду в VIM. VIM отправляет команду на инстанцирование VNF в NFVI и запрашивает в NFVI выделение VM экземпляру VNF для реализации инстанцирования VNF.
[0083] При выделении VM экземпляру VNF и реализации инстанцирования VNF NFVI вводит определенную информацию об аутентификации, которая содержится в команде на инстанцирование VNF, в экземпляр VNF.
[0084] Не обязательно формы информации об аутентификации включают в себя в качестве неограничивающих примеров следующие формы:
[0085] Сценарий 1:
[0086] Информация об аутентификации является временным сертификатом.
[0087] Временный сертификат применяется от VNFM, когда оркестратор виртуализации сетевых функций (NFVO) определяет необходимость в инстанцировании экземпляра VNF, и передается в экземпляр VNF посредством администратора виртуализированной инфраструктуры (VIM) в структуре VNF, инфраструктуры NFV (NFVI) и виртуальной машины (VM) в которой выполняется посредством VNF.
[0088] Необходимо отметить, что временный сертификат, который применяется от VNFM, когда оркестратор виртуализации сетевых функций (NFVO) определяет необходимость в инстанцировании экземпляра VNF, формируется VNFM особым образом. Временному сертификату, формируемому VNFM, доверяет только VNFM, а другие сетевые элементы в виртуальной сети не доверяют временному сертификату.
[0089] Не обязательно временный сертификат применяется от СА, когда оркестратор виртуализации сетевых функций (NFVO) определяет необходимость в инстанцировании экземпляра VNF, и передается в VNF посредством администратора виртуализированной инфраструктуры (VIM) в структуре VNF, инфраструктуры NFV (NFVI) и виртуальной машины (VM) в которой выполняется посредством VNF.
[0090] Предварительное условие для применения временного сертификата от СА, когда оркестратор виртуализации сетевых функций (NFVO) определяет необходимость в инстанцировании экземпляра VNF, состоит в следующем:
[0091] СА получает временный сертификат особым образом (например, путем использования открытого или закрытого ключа для подписания временного сертификата), при этом временному сертификату доверяет только СА, а другие сетевые элементы в виртуальной сети не доверяют временному сертификату.
[0092] Когда временный сертификат передается между VNFO, VIM и NFVI, может также передаваться закрытый ключ, соответствующий временному сертификату. Однако при передаче закрытого ключа между различными сетевыми элементами существует риск нарушения безопасности. Следовательно, в данном варианте осуществления необходимо обеспечивать безопасность связи между VNFO, VIM и NFVI, чтобы предотвратить утечку закрытого ключа, используемого для применения сертификата. Кроме того, временный сертификат в данном варианте осуществления может использоваться лишь однократно, чтобы предотвратить риск получения временного сертификата вредоносным сетевым элементом в процессе многократного использования, что дополнительно обеспечивает безопасность связи между сетевыми элементами в виртуальной сети.
[0093] Сценарий 2:
[0094] Информация об аутентификации является общим ключом (PSK).
[0095] PSK формируется, когда оркестратор виртуализации сетевых функций (NFVO) определяет необходимость в инстанцировании экземпляра VNF, и передается в экземпляр VNF посредством администратора виртуализированной инфраструктуры (VIM) в структуре VNF, инфраструктуры NFV (NFVI) и виртуальной машины (VM) в которой выполняется посредством VNF.
[0096] Необходимо отметить, что общий ключ формируется NFVO и отправляется в VNFM таким образом, что первоначальная связь между экземпляром VNF и VNFM выполняется с помощью PSK.
[0097] Необходимо отметить, что общий ключ предварительно конфигурируется для двух пунктов, которым необходима связь, и два пункта связи устанавливают связь с помощью общего ключа. Общий ключ может представлять собой симметричный ключ, то есть, ключи, которыми владеют оба пункта связи, являются одинаковыми; либо общий ключ может представлять собой асимметричный ключ, то есть, ключи, которыми владеют оба пункта связи, являются различными, например, пара открытого и закрытого ключей.
[0098] Для обеспечения законности сертификата, который применяется, экземпляр VNF применяет сертификат путем использования прокси применения сертификата.
[0099] В этом случае экземпляр VNF может применять сертификат путем использования определенной информации об аутентификации и информацию о применении сертификата, которая используется для применения сертификата.
[0100] Экземпляр VNF отправляет сообщение о прокси применении сертификата в VNFM, причем, сообщение о прокси применении сертификата включает в себя информацию об аутентификации и информацию о применении сертификата, которая используется для применения сертификата.
[0101] Необходимо отметить, что, исходя из того, что информация об аутентификации, принимаемая экземпляром VNF, представляет общий ключ (PSK), с целью обеспечения законности идентификатора VNFM прокси применения сертификата, экземпляру VNF необходимо использовать общий ключ для аутентификации VNFM перед отправкой информации о прокси применения сертификата в VNFM.
[0102] В частности, VNFM отправляет локально хранящийся общий ключ (PSK) в экземпляр VNF, причем, сообщение о прокси применения сертификата отправляется в VNFM, когда экземпляр VNF определяет, что локально введенный PSK является таким же, как и принимаемый PSK, отправляемый VNFM, или связан с ним.
[0103] Этап 102: VNFM использует информацию об аутентификации для аутентификации экземпляра VNF, а при успешной аутентификации отправляет сообщение о применении сертификата в сертифицирующий орган (СА).
[0104] Сообщение о применении сертификата включает в себя информацию о применении сертификата, которая используется для применения сертификата.
[0105] На этапе 102 способы использования, посредством VNFM, информации об аутентификации для аутентификации экземпляра VNF включают в себя в качестве неограничивающих примеров:
[0106] Если исходить из того, что информация об аутентификации представляет собой временный сертификат, описываемый в сценарии 1 на этапе 101, при приеме временного сертификата, включенного в сообщение о прокси применения сертификата, VNFM сравнивает принимаемый временный сертификат с временным сертификатом, который применяется от VNFM, когда NFVO определяет необходимость в инстанцировании экземпляра VNF; и
когда VNFM определяет, что принимаемый временный сертификат является таким же, как и временный сертификат, который применяется от VNFM, когда NFVO определяет необходимость в инстанцировании экземпляра VNF, определяется, что аутентификация в экземпляре VNF является успешной; или
когда VNFM определяет, что принимаемый временный сертификат отличается от временного сертификата, который применяется от VNFM, когда NFVO определяет необходимость в инстанцировании экземпляра VNF, определяется, что аутентификация в экземпляре VNF является неудачной.
[0107] Если исходить из того, что информация об аутентификации представляет собой общий ключ, описываемый в сценарии 2 на этапе 101, при приеме PSK, включенного в сообщение о прокси применения сертификата, VNFM сравнивает принимаемый PSK с PSK, который выдается, когда NFVO определяет необходимость в инстанцировании экземпляра VNF; и
когда VNFM определяет, что принимаемый PSK является таким же, как и PSK, который выдается, когда NFVO определяет необходимость в инстанцировании экземпляра VNF, определяется, что аутентификация в экземпляре VNF является успешной; или
когда VNFM определяет, что принимаемый PSK отличается от PSK, который выдается, когда NFVO определяет необходимость в инстанцировании экземпляра VNF, определяется, что аутентификация в экземпляре VNF является неудачной.
[0108] Этап 103: VNFM принимает сертификат, выдаваемый СА, и отправляет сертификат в экземпляр VNF.
[0109] Сертификат формируется посредством СА в соответствии с информацией о применении сертификата, которая используется для применения сертификата и включается в сообщение о применении сертификата.
[0110] На этапе 103 при приеме сертификата, выдаваемого СА, VNFM определяет, что временный сертификат или общий ключ является недействительным, причем, временный сертификат применяется от VNFM или СА, когда оркестратор виртуализации сетевых функций (NFVO) определяет необходимость в инстанцировании экземпляра VNF, и общий ключ формируется, когда оркестратор виртуализации сетевых функций (NFVO) определяет необходимость в инстанцировании экземпляра VNF. Это означает, что VNFM больше не доверяет временному сертификату или общему ключу при приеме сертификата, выдаваемого СА.
[0111] В данном варианте осуществления настоящего изобретения способ дополнительно включает в себя:
использование, посредством VNFM, сертификата для установления служебного канала с экземпляром VNF при отправке сертификата в экземпляр VNF.
[0112] В соответствии с решением в Варианте осуществления 1 настоящего изобретения, VNFM принимает сообщение о прокси применения сертификата, отправляемое экземпляром VNF, причем, сообщение о прокси применения сертификата включает в себя информацию об аутентификации и информацию о применении сертификата, которая используется для применения сертификата, причем, информация об аутентификации используется для установления канала для прокси-применения сертификата между экземпляром VNF и VNFM; VNFM использует информацию об аутентификации для аутентификации экземпляра VNF, а при успешной аутентификации отправляет сообщение о применении сертификата в СА, причем, сообщение о применении сертификата включает в себя информацию о применении сертификата, которая используется для применения сертификата; VNFM принимает сертификат, выдаваемый СА, и отправляет сертификат в экземпляр VNF. Таким образом, по доверенному соединению между VNFM и сертифицирующим органом инстанцированный экземпляр VNF применяет сертификат, выдаваемый сертифицирующим органом, тем самым эффективно обеспечивая законность сертификата, применяемого экземпляром VNF, и обеспечивая безопасность служебного канала, который устанавливается между экземпляром VNF и VNFM путем использования сертификата, выдаваемого сертифицирующим органом.
Вариант осуществления 2
[0113] Как показано на фиг. 2, которая представляет собой блок-схему последовательности операций способа получения сертификата в соответствии с Вариантом осуществления 2 настоящего изобретения, способ можно описать следующим образом:
[0114] Предварительное условие для реализации Варианта осуществления 2 настоящего изобретения состоит в том, что NFVO, VIM и NFVI кооперируются друг с другом для формирования VM и запускают и выполняют экземпляр VNF на VM.
[0115] Необходимо отметить, что между VM и VIM устанавливается доверенное защищенное соединение.
[0116] Доверенное защищенное соединение, устанавливаемое между VM и VIM, подробно описывается в последующем варианте 4, и в данном случае не описывается.
[0117] Этап 201: Администратор виртуализированной сетевой функции (VNF) (VNFM) принимает сообщение о прокси применения сертификата, отправляемое VIM виртуализированной инфраструктуры в структуре VNF.
[0118] Сообщение о прокси применения сертификата включает в себя экземпляр VNF, который запрашивает применение сертификата, и информацию о применении сертификата, используемую экземпляром VNF для применения сертификата.
[0119] Необходимо отметить, что сообщение о применении сертификата включает в себя формат сертификата, доменное имя, информацию о сертифицирующем органе и т.п.
[0120] На этапе 201 в виртуальной сети после того, как VNF инстанцирована, необходимо применить сертификат для инстанцированного экземпляра VNF с целью обеспечения безопасности связи между инстанцированным экземпляром VNF и другими виртуальными сетевыми элементами.
[0121] В частности, при приеме команды на инстанцирование экземпляра VNF NFVO отправляет команду на инстанцирование VNF в VIM. VIM отправляет команду на инстанцирование VNF в NFVI и запрашивает в NFVI выделение VM экземпляру VNF для реализации инстанцирования VNF.
[0122] Команда на инстанцирование VNF включает в себя параметр инициализации экземпляра VNF.
[0123] При выделении VM экземпляру VNF и реализации инстанцирования VNF NFVI вводит параметр инициализации экземпляра VNF в экземпляр VNF, причем, параметр инициализации включается в команду на инстанцирование VNF.
[0124] Для обеспечения законности сертификата, который применяется, экземпляр VNF применяет сертификат путем использования прокси применения сертификата.
[0125] В этом случае экземпляр VNF получает информацию о применении сертификата в соответствии с параметром инициализации.
[0126] Параметр инициализации включает в себя информацию о СА и доменное имя домена управления сертификатами.
[0127] Кроме того, экземпляр VNF формирует пару открытого и закрытого ключей в соответствии с параметром инициализации.
[0128] Закрытый ключ хранится локально в экземпляре VNF, а открытый ключ передается в информации о применении сертификата и отправляется в VM, на которой выполняется экземпляр VNF.
[0129] Необходимо отметить, что поскольку экземпляр VNF выполняется на VM, определяется, что между экземпляром VNF и VM установлено доверенное соединение.
[0130] Поскольку между VM и VIM устанавливается безопасное доверенное соединение, при приеме сообщения о применении сертификата, отправляемого экземпляром VNF, VM отправляет сообщение о прокси применения сертификата в VIM путем использования безопасного канала с VIM.
[0131] Сообщение о прокси применения сертификата включает в себя информацию о применении сертификата, которая используется для применения сертификата.
[0132] При приеме сообщения о прокси применения сертификата VIM пересылает сообщение о прокси применения сертификата в VNFM, при этом VNFM служит в качестве прокси применения сертификата и обращается в сертифицирующий орган (СА) за сертификатом.
[0133] Необходимо отметить, что VNFM устанавливает доверенный защищенный канал передачи с сертифицирующим органом (СА) заранее.
[0134] Этап 202: VNFM отправляет сообщение о применении сертификата в сертифицирующий орган (СА).
[0135] Сообщение о применении сертификата включает в себя информацию о применении сертификата, которая используется для применения сертификата.
[0136] Этап 203: VNFM принимает сертификат, выдаваемый СА, и отправляет сертификат в VIM.
[0137] Сертификат формируется посредством СА в соответствии с информацией о применении сертификата, которая используется для применения сертификата и включается в сообщение о применении сертификата.
[0138] На этапе 203 после того, как VNFM принимает сертификат, выдаваемый СА, и отправляет сертификат в VIM, VIM использует канал передачи с VM для отправки сертификата в VM, а затем VM отправляет сертификат в экземпляр VNF таким образом, что экземпляр VNF аутентифицирует принимаемый сертификат путем использования локально хранящегося закрытого ключа, а при успешной аутентификации использует сертификат для установления служебного канала с VNFM.
[0139] В соответствии с решением в Варианте осуществления 2 настоящего изобретения, по доверенному защищенному каналу передачи между VM и VIM инстанцированный экземпляр VNF отправляет информацию о прокси применения сертификата в VNFM, а затем по доверенному соединению между VNFM и сертифицирующим органом применяет сертификат, выдаваемый сертифицирующим органом, тем самым эффективно обеспечивая законность сертификата, применяемого экземпляром VNF, и дополнительно обеспечивая безопасность служебного канала, который устанавливается между экземпляром VNF и VNFM путем использования сертификата, выдаваемого сертифицирующим органом.
Вариант осуществления 3
[0140] Как показано на фиг. 3, которая представляет собой блок-схему последовательности операций способа получения сертификата в соответствии с Вариантом осуществления 3 настоящего изобретения, способ можно описать следующим образом:
[0141] Предварительное условие для реализации Варианта осуществления 3 настоящего изобретения состоит в следующем, при решении инстанцировать экземпляр VNF NFVO обращается к сертифицирующему органу (СА) за временным сертификатом, причем, временный сертификат используется экземпляром VNF для применения законного сертификата.
[0142] Необходимо отметить, что в процессе, в котором NFVO определяет инстанцировать экземпляр VNF, между NFVO, VIM и NFVI устанавливается доверенный канал передачи таким образом, что процесс инстанцирования экземпляра VNF защищен от атак и что передаваемый временный сертификат защищен от утечки.
[0143] Этап 301: Сертифицирующий орган (СА) принимает сообщение о применении сертификата, отправляемое экземпляром виртуализированной сетевой функции (VNF).
[0144] Сообщение о применении сертификата включает в себя временный сертификат и информацию о применении сертификата, которая используется для применения сертификата, причем, временный сертификат применятся от СА, когда оркестратор виртуализации сетевых функций (NFVO) определяет необходимость в инстанцировании экземпляра VNF, и передается в экземпляр VNF посредством администратора виртуализированной инфраструктуры (VIM) в структуре VNF, инфраструктуры NFV (NFVI) и виртуальной машины (VM) в которой выполняется посредством VNF.
[0145] Необходимо отметить, что информация о применении сертификата включает в себя: формат сертификата, доменное имя, информацию о сертифицирующем органе и т.п.
[0146] На этапе 301 в виртуальной сети после того, как VNF инстанцирована, необходимо применить сертификат для инстанцированного экземпляра VNF с целью обеспечения безопасности связи между инстанцированным экземпляром VNF и другими виртуальными сетевыми элементами.
[0147] В частности, при приеме команды на инстанцирование экземпляра VNF NFVO отправляет команду на инстанцирование VNF в VIM. VIM отправляет команду на инстанцирование VNF в NFVI и запрашивает в NFVI выделение VM экземпляру VNF для реализации инстанцирования VNF.
[0148] Команда на инстанцирование VNF включает в себя параметр инициализации экземпляра VNF.
[0149] При выделении VM экземпляру VNF и реализации инстанцирования VNF NFVI вводит параметр инициализации экземпляра VNF в экземпляр VNF, причем, параметр инициализации включается в команду на инстанцирование VNF.
[0150] В этом случае экземпляр VNF получает информацию о применении сертификата в соответствии с параметром инициализации.
[0151] Параметр инициализации включает в себя информацию о СА и доменное имя домена управления сертификатами, формируется, когда оркестратор виртуализации сетевых функций (NFVO) определяет инстанцировать экземпляр VNF и вводится, когда NFVI выделяет VM экземпляру VNF и завершает инстанцирование VNF.
[0152] В соответствии с параметром инициализации, экземпляр VNF формирует пару открытого и закрытого ключей, используемую для применения сертификата.
[0153] Закрытый ключ хранится локально в экземпляре VNF.
[0154] Открытый ключ передается в информации о применении сертификата и отправляется в сертифицирующий орган (СА).
[0155] Необходимо отметить, что в соответствии с введенным сертифицирующим органом (СА) экземпляр VNF использует сообщение о применении сертификата для передачи временного сертификата и информации о применении сертификата, которая используется для применения сертификата, и отправляет сообщение о применении сертификата в СА.
[0156] Этап 302: СА использует временный сертификат для аутентификации экземпляра VNF, а при успешной аутентификации выдает сертификат в экземпляр VNF в соответствии с информацией о применении сертификата, которая используется для применения сертификата и включается в сообщение о применении сертификата.
[0157] На этапе 302 при приеме сообщения о применении сертификата СА аутентифицирует экземпляр VNF путем использования временного сертификата, включенного в сообщение о применении сертификата, а при успешной аутентификации выдает сертификат экземпляру VNF в соответствии с информацией о применении сертификата, которая используется для применения сертификата и включается в сообщение о применении сертификата.
[0158] В данном варианте осуществления настоящего изобретения способ дополнительно включает в себя:
использование локально хранящегося закрытого ключа для аутентификации принимаемого сертификата после того, как экземпляр VNF получает сертификат, а при успешной аутентификации - использование сертификата для установления служебного канала с VNFM.
[0159] В соответствии с решением в Варианте осуществления 3 настоящего изобретения, благодаря использованию временного сертификата, применяемого, когда NFVO определяет инстанцировать экземпляр VNF, инстанцированный экземпляр VNF устанавливает доверенный канал для применения сертификата между инстанцированным экземпляром VNF и СА, тем самым эффективно обеспечивая законность сертификата, применяемого экземпляром VNF, и дополнительно обеспечивая безопасность служебного канала, который устанавливается между экземпляром VNF и VNFM путем использования сертификата, выдаваемого сертифицирующим органом.
Вариант осуществления 4
[0160] Как показано на фиг. 4, которая представляет собой блок-схему последовательности операций способа получения сертификата в соответствии с Вариантом осуществления 4 настоящего изобретения, способ можно описать следующим образом.
[0161] Вариант осуществления 4 настоящего изобретения, в частности, описывает способ установления служебного канала между VM и VMM или VIM.
[0162] Этап 401: Инфраструктура виртуализации сетевой функции (NFVI) принимает сообщение о применении сертификата, отправляемое виртуальной машиной (VM).
[0163] Сообщение о применении сертификата включает в себя информацию о применении сертификата, которая используется для применения сертификата.
[0164] Необходимо отметить, что информация о применении сертификата включает в себя: формат сертификата, доменное имя, сертифицирующий орган и т.п.
[0165] На этапе 401 в виртуальной сети после того, как VNF инстанцирована, необходимо применить сертификат для инстанцированного экземпляра VNF с целью обеспечения безопасности связи между инстанцированным экземпляром VNF и другими виртуальными сетевыми элементами.
[0166] Поскольку VM виртуального ресурса, в которой выполняется экземпляр VNF, выделяется, когда необходимо инстанцировать экземпляр VNF, служебный канал между VM и VMM необходимо устанавливать после того, как выделена VM, что обеспечивает законность VM и, следовательно, повышает законность экземпляра VNF.
[0167] В частности, при приеме команды на инстанцирование экземпляра VNF NFVO отправляет команду на инстанцирование VNF в VIM. VIM отправляет команду на инстанцирование VNF в NFVI и запрашивает в NFVI выделение VM экземпляру VNF для реализации инстанцирования VNF.
[0168] NFVI выделяет VM экземпляру VNF в соответствии с командой на инстанцирование VNF.
[0169] VIM отправляет в NFVI информацию для запроса выделения виртуального ресурса, причем, информация для запроса выделения виртуального ресурса включает в себя параметр инициализации для применения сертификата и т.п.
[0170] После выделения VM экземпляру VNF в соответствии с командой на инстанцирование VNF NFVI вводит параметр инициализации для применения сертификата в VM.
[0171] При запуске VM формирует пару открытого и закрытого ключей в соответствии с параметром инициализации.
[0172] Параметр инициализации включает в себя информацию о СА и доменное имя домена управления сертификатами и получается, когда администратор виртуализированной структуры (VIM) в структуре виртуализированной сетевой функции принимает команду на формирование VM, причем, команда отправляется оркестратором виртуализации сетевой функции (NFVO).
[0173] Закрытый ключ хранится локально в VM, а открытый ключ используется для применения сертификата и передается в информации о применении сертификата.
[0174] В этом случае VM отправляет сообщение о применении сертификата в NFVI.
[0175] Этап 402: NFVI отправляет сообщение о прокси применения сертификата в сертифицирующий орган (СА).
[0176] Сообщение о прокси применения сертификата включает в себя информацию о применении сертификата, используемую VM для применения сертификата.
[0177] На этапе 402 способы отправки с помощью NFVI сообщения о прокси применения сертификата в сертифицирующий орган (СА) включают в себя в качестве неограничивающих примеров:
[0178] Первый способ:
[0179] Доверенный канал передачи устанавливается между NFVI и сертифицирующим органом (СА) заранее, и в этом случае NFVI отправляет сообщение о прокси применения сертификата непосредственно в сертифицирующий орган (СА).
[0180] Второй способ:
[0181] Доверенный канал передачи устанавливается между VIM и сертифицирующим органом (СА) заранее.
[0182] NFVI отправляет сообщение о прокси применения сертификата в администратор виртуализированной инфраструктуры (VIM) в структуре виртуализированной сетевой функции таким образом, что VIM пересылает сообщение о прокси применения сертификата в сертифицирующий орган (СА).
[0183] Фиг. 5 представляет собой блок-схему последовательности операций способа получения сертификата.
[0184] В частности, NFVI принимает сообщение о применении сертификата, отправляемое VM, формирует сообщение о прокси применения сертификата и отправляет сообщение о прокси применения сертификата в VIM, а VIM пересылает сообщение о прокси применения сертификата в сертифицирующий орган (СА).
[0185] Этап 403: NFVI принимает сертификат, выдаваемый СА, и отправляет сертификат в VM.
[0186] Сертификат формируется посредством СА в соответствии с информацией о применении сертификата, используемой VM для применения сертификата, и включается в сообщение о прокси применения сертификата.
[0187] На этапе 403 способ дополнительно включает в себя:
аутентификацию - когда VM принимает сертификат - принимаемого сертификата путем использования локально хранящегося закрытого ключа, а при успешной аутентификации - установление служебного канала между VM и администратором VM (VMM).
[0188] В соответствии с решением в Варианте осуществления 4 настоящего изобретения, с помощью прокси применения сертификата VM применяет законный сертификат и устанавливает доверенный канал передачи с VMM или VIM, тем самым создавая основу для обеспечения установления доверенного канала между экземпляром VNF и VNFM путем использования сертификата, выдаваемого сертифицирующим органом, и эффективно повышая безопасность служебного канала между экземпляром VNF и VNFM.
Вариант осуществления 5
[0189] Как показано на фиг. 6, которая представляет собой схематическую структурную диаграмму устройства получения сертификата в соответствии с Вариантом осуществления 5 настоящего изобретения, устройство включает в себя модуль 61 приема и модуль 62 отправки.
[0190] Модуль 61 приема выполнен с возможностью приема сообщения о прокси применения сертификата, отправляемого экземпляром VNF, причем, сообщение о прокси применения сертификата включает в себя информацию об аутентификации и информацию о применении сертификата, которая используется для применения сертификата, причем, информация об аутентификации используется для установления канала для прокси-применения сертификата между экземпляром VNF и администратором виртуализированной сетевой функции (VNF) (VNFM); и
[0191] Модуль 62 отправки выполнен с возможностью использования информации об аутентификации, принимаемой модулем 61 приема, для аутентификации экземпляра VNF, а при успешной аутентификации - отправки сообщения о применении сертификата в сертифицирующий орган (СА), причем, сообщение о применении сертификата включает в себя информацию о применении сертификата, которая используется для применения сертификата, причем
модуль 61 приема дополнительно выполнен с возможностью приема сертификата, выдаваемого СА; и
модуль 62 отправки дополнительно выполнен с возможностью отправки сертификата, принимаемого модулем 61 приема, в экземпляр VNF, причем, сертификат формируется посредством СА в соответствии с информацией о применении сертификата, которая используется для применения сертификата и включается в сообщение о применении сертификата.
[0192] Не обязательно информация об аутентификации является временным сертификатом, причем, временный сертификат применяется от VNFM, когда оркестратор виртуализации сетевых функций (NFVO) определяет необходимость в инстанцировании экземпляра VNF, и передается в экземпляр VNF посредством администратора виртуализированной инфраструктуры (VIM) в структуре VNF, инфраструктуры NFV (NFVI) и виртуальной машины (VM) в которой выполняется посредством VNF.
[0193] Модуль 62 отправки, в частности, выполнен с возможностью: сравнения принимаемого временного сертификата с временным сертификатом, который применяется от VNFM, когда NFVO определяет необходимость в инстанцировании экземпляра VNF; и
когда определяется, что принимаемый временный сертификат является таким же, как и временный сертификат, который применяется от VNFM, когда NFVO определяет необходимость в инстанцировании экземпляра VNF - определения, что аутентификация в экземпляре VNF является успешной; или
когда определяется, что принимаемый временный сертификат отличается от временного сертификата, который применяется от VNFM, когда NFVO определяет необходимость в инстанцировании экземпляра VNF - определения, что аутентификация в экземпляре VNF является неудачной.
[0194] Не обязательно информация об аутентификации является общим ключом (PSK), причем, PSK формируется, когда оркестратор виртуализации сетевых функций (NFVO) определяет необходимость в инстанцировании экземпляра VNF, и передается в экземпляр VNF посредством администратора виртуализированной инфраструктуры (VIM) в структуре VNF, инфраструктуры NFV (NFVI) и виртуальной машины (VM) в которой выполняется посредством VNF.
[0195] Модуль 61 приема, в частности, выполнен с возможностью отправки PSK в экземпляр VNF и приема сообщения о прокси применения сертификата, отправляемого экземпляром VNF, причем, сообщение о прокси применения сертификата отправляется в VNFM, когда экземпляр VNF определяет, что локально введенный PSK является таким же, как и принимаемый PSK, отправляемый VNFM, или связан с ним.
[0196] Модуль 62 отправки, в частности, выполнен с возможностью: сравнения принимаемого PSK с PSK, который выдается, когда NFVO определяет необходимость в инстанцировании экземпляра VNF; и
когда определяется, что принимаемый PSK является таким же, как и PSK, который выдается, или связан с ним, когда NFVO определяет необходимость в инстанцировании экземпляра VNF - определения, что аутентификация в экземпляре VNF является успешной; или
когда определяется, что принимаемый PSK отличается от PSK, который выдается, или не связан с ним, когда NFVO определяет необходимость в инстанцировании экземпляра VNF - определения, что аутентификация в экземпляре VNF является неудачной.
[0197] Не обязательно устройство дополнительно включает в себя модуль 63 установления канала, причем:
модуль 63 установления канала выполнен с возможностью: когда сертификат отправляется в экземпляр VNF - использования сертификата для установления служебного канала с экземпляром VNF.
[0198] Необходимо отметить, что устройство в соответствии с данным вариантом осуществления настоящего изобретения может представлять собой администратор виртуализированной сетевой функции (VNF) (VNFM) в виртуальной системе, выполняет функцию применения сертификата путем прокси для экземпляра VNF и может быть реализовано в виде аппаратных средств или программных средств, что не ограничивается в настоящем документе.
Вариант осуществления 6
[0199] Как показано на фиг. 7, которая представляет собой схематическую структурную диаграмму устройства получения сертификата в соответствии с Вариантом осуществления 6 настоящего изобретения, устройство включает в себя модуль 71 приема и модуль 72 отправки.
[0200] Модуль 71 приема выполнен с возможностью приема сообщения о прокси применения сертификата, отправляемого администратором виртуализированной инфраструктуры (VIM) в структуре VNF, причем, сообщение о прокси применения сертификата включает в себя экземпляр VNF, который запрашивает применение сертификата, и информацию о применении сертификата, используемую экземпляром VNF для применения сертификата; и
модуль 72 отправки выполнен с возможностью отправки сообщения о применении сертификата в сертифицирующий орган (СА), причем, сообщение о применении сертификата включает в себя информацию о применении сертификата, принимаемую модулем 71 приема и используемую экземпляром VNF для применения сертификата, причем,
модуль 71 приема дополнительно выполнен с возможностью приема сертификата, выдаваемого СА; и
модуль 72 отправки дополнительно выполнен с возможностью отправки сертификата, принимаемого модулем 71 приема, в VIM, причем, сертификат формируется посредством СА в соответствии с информацией о применении сертификата, используемой экземпляром VNF для применения сертификата и включенной в сообщение о применении сертификата.
[0201] Не обязательно сообщение о прокси применения сертификата формируется VIM в соответствии с принимаемой информацией о применении сертификата, причем, информация о применении сертификата получается экземпляром VNF в соответствии с параметром инициализации и отправляется экземпляром VNF в VM, а затем отправляется VM в VIM по защищенному каналу с VIM.
[0202] Не обязательно параметр инициализации включает в себя информацию о СА и доменное имя домена управления сертификатами и получается, когда оркестратор виртуализации сетевых функций (NFVO) определяет инстанцировать экземпляр VNF.
[0203] Необходимо отметить, что устройство в соответствии с данным вариантом осуществления настоящего изобретения может представлять собой администратор виртуализированной сетевой функции (VNF) (VNFM) в виртуальной системе, выполняет функцию применения сертификата путем прокси для экземпляра VNF и может быть реализовано в виде аппаратных средств или программных средств, что не ограничивается в настоящем документе.
Вариант осуществления 7
[0204] Как показано на фиг. 8, которая представляет собой схематическую структурную диаграмму устройства получения сертификата в соответствии с данным Вариантом осуществления настоящего изобретения, устройство включает в себя модуль 81 приема и модуль 82 выдачи, причем:
модуль 81 приема выполнен с возможностью приема сообщения о применении сертификата, отправляемого экземпляром виртуализированной сетевой функции (VNF), причем, сообщение о применении сертификата включает в себя временный сертификат и информацию о применении сертификата, которая используется для применения сертификата, причем, временный сертификат применятся от СА, когда оркестратор виртуализации сетевых функций (NFVO) определяет необходимость в инстанцировании экземпляра VNF, и передается в экземпляр VNF посредством администратора виртуализированной инфраструктуры (VIM) в структуре VNF, инфраструктуры NFV (NFVI) и виртуальной машины (VM) в которой выполняется посредством VNF; и
модуль 82 выдачи выполнен с возможностью использования временного сертификата, принимаемого модулем 81 приема, для аутентификации экземпляра VNF, а при успешной аутентификации - выдачи сертификата в экземпляр VNF в соответствии с информацией о применении сертификата, которая используется для применения сертификата и включается в сообщение о применении сертификата.
[0205] Необходимо отметить, что устройство в соответствии с данным вариантом осуществления настоящего изобретения может представлять собой сертифицирующий орган и может являться СА или иным устройством, способным аутентифицировать сертификат, что не ограничивается в настоящем документе; при этом устройство может быть реализовано в виде аппаратных средств или программных средств, что не ограничивается в настоящем документе.
Вариант осуществления 8
[0206] Как показано на фиг. 9, которая представляет собой схематическую структурную диаграмму устройства получения сертификата в соответствии с Вариантом осуществления 8 настоящего изобретения, устройство влючает в себя модуль 91 приема и модуль 92 отправки, причем:
модуль 91 приема выполнен с возможностью приема сообщения о применении сертификата, отправляемого виртуальной машиной (VM), причем, сообщение о применении сертификата включает в себя открытый ключ, используемый для применения сертификата; и
модуль 92 отправки выполнен с возможностью отправки сообщения о прокси применения сертификата в сертифицирующий орган (СА), причем, сообщение о прокси применения сертификата включает в себя открытый ключ, принимаемый модулем приема и используемый VM для применения сертификата, причем
модуль 91 приема дополнительно выполнен с возможностью приема сертификата, выдаваемого СА; и
модуль 92 отправки дополнительно выполнен с возможностью отправки сертификата, принимаемого модулем 91 приема, в VM, причем, сертификат получается СА путем подписания в соответствии с открытым ключом, используемым VM для применения сертификата и включенным в сообщение о прокси применения сертификата.
[0207] Не обязательно модуль 92 отправки, в частности, выполнен с возможностью отправки сообщения о прокси применения сертификата в администратор виртуализированной инфраструктуры (VIM) в структуре виртуализированной сетевой функции таким образом, что VIM пересылает сообщение о прокси применения сертификата в сертифицирующий орган (СА).
[0208] Не обязательно устройство дополнительно включает в себя модуль 93 установления канала, причем:
модуль 93 установления канала выполнен с возможностью: когда VM принимает сертификат - установления служебного канала между VM и администратором VM.
[0209] Не обязательно открытый ключ формируется VM в соответствии с параметром инициализации, причем, параметр инициализации включает в себя информацию о СА и доменное имя домена управления сертификатом и получается, когда администратор виртуализированной инфраструктуры (VIM) в структуре виртуализированной сетевой функции принимает команду на формирование VM, причем, команда отправляется оркестратором виртуализации сетевой функции (NFVO).
[0210] Необходимо отметить, что устройство в соответствии с данным вариантом осуществления настоящего изобретения может представлять собой инфраструктуру виртуализации сетевой функции (NFVI), выполняет функцию применения сертификата путем прокси для VM и может быть реализовано в виде аппаратных средств или программных средств, что не ограничивается в настоящем документе.
Вариант осуществления 9
[0211] Как показано на фиг. 10, которая представляет собой схематическую структурную диаграмму устройства получения сертификата в соответствии с Вариантом осуществления 9 настоящего изобретения, устройство включает в себя приемник 1011 сигналов и передатчик 1012 сигналов, причем, приемник 1011 сигналов и передатчик 1012 сигналов связываются посредством коммуникационной шины 1013.
[0212] Приемник 1011 сигналов выполнен с возможностью приема сообщения о прокси применения сертификата, отправляемого экземпляром VNF, причем, сообщение о прокси применения сертификата включает в себя информацию об аутентификации и информацию о применении сертификата, которая используется для применения сертификата, причем, информация об аутентификации используется для установления канала для прокси-применения сертификата между экземпляром VNF и администратором виртуализированной сетевой функции (VNF) (VNFM).
[0213] Передатчик 1012 сигналов выполнен с возможностью использования информации об аутентификации для аутентификации экземпляра VNF, а при успешной аутентификации - отправки сообщения о применении сертификата в сертифицирующий орган (СА), причем, сообщение о применении сертификата включает в себя информацию о применении сертификата, которая используется для применения сертификата.
[0214] Приемник 1011 сигналов дополнительно выполнен с возможностью приема сертификата, выдаваемого СА.
[0215] Передатчик 1012 сигналов дополнительно выполнен с возможностью отправки сертификата в экземпляр VNF, причем, сертификат формируется посредством СА в соответствии с информацией о применении сертификата, которая используется для применения сертификата и включается в сообщение о применении сертификата.
[0216] Не обязательно информация об аутентификации является временным сертификатом, причем, временный сертификат применяется от VNFM, когда оркестратор виртуализации сетевых функций (NFVO) определяет необходимость в инстанцировании экземпляра VNF, и передается в экземпляр VNF посредством администратора виртуализированной инфраструктуры (VIM) в структуре VNF, инфраструктуры NFV (NFVI) и виртуальной машины (VM) в которой выполняется посредством VNF.
[0217] Передатчик 1012 сигналов, в частности, выполнен с возможностью: сравнения принимаемого временного сертификата с временным сертификатом, который применяется от VNFM, когда NFVO определяет необходимость в инстанцировании экземпляра VNF; и
когда VNFM определяет, что принимаемый временный сертификат является таким же, как и временный сертификат, который применяется от VNFM, когда NFVO определяет необходимость в инстанцировании экземпляра VNF - определения, что аутентификация в экземпляре VNF является успешной; или
когда VNFM определяет, что принимаемый временный сертификат отличается от временного сертификата, который применяется от VNFM, когда NFVO определяет необходимость в инстанцировании экземпляра VNF - определения, что аутентификация в экземпляре VNF является неудачной.
[0218] Не обязательно информация об аутентификации является общим ключом (PSK), причем, PSK формируется, когда оркестратор виртуализации сетевых функций (NFVO) определяет необходимость в инстанцировании экземпляра VNF, и передается в экземпляр VNF посредством администратора виртуализированной инфраструктуры (VIM) в структуре VNF, инфраструктуры NFV (NFVI) и виртуальной машины (VM) в которой выполняется посредством VNF.
[0219] Приемник 1011 сигналов, в частности, выполнен с возможностью отправки PSK в экземпляр VNF и приема сообщения о прокси применения сертификата, отправляемого экземпляром VNF, причем, сообщение о прокси применения сертификата отправляется в VNFM, когда экземпляр VNF определяет, что локально введенный PSK является таким же, как и принимаемый PSK, отправляемый VNFM, или связан с ним.
[0220] Передатчик 1012 сигналов, в частности, выполнен с возможностью: сравнения принимаемого PSK с PSK, который выдается, когда NFVO определяет необходимость в инстанцировании экземпляра VNF; и
когда определяется, что принимаемый PSK является таким же, как и PSK, который выдается, или связан с ним, когда NFVO определяет необходимость в инстанцировании экземпляра VNF - определения, что аутентификация в экземпляре VNF является успешной; или
когда определяется, что принимаемый PSK отличается от PSK, который выдается, или не связан с ним, когда NFVO определяет необходимость в инстанцировании экземпляра VNF - определения, что аутентификация в экземпляре VNF является неудачной.
[0221] Не обязательно устройство дополнительно включает в себя процессор 1014, причем:
процессор 1014 выполнен с возможностью: когда сертификат отправляется в экземпляр VNF - использования сертификата для установления служебного канала с экземпляром VNF.
[0222] Процессор 1014 может представлять собой универсальный центральный процессор (ЦП), микропроцессор, специализированную интегральную схему (application specific integrated circuit, ASIC) или одну или более интегральных схем, используемых для управления исполнением программы в решении настоящего изобретения.
[0223] Коммуникационная шина 1013 может включать в себя путь для передачи информации между вышеописанными компонентами.
[0224] Необходимо отметить, что устройство в соответствии с данным вариантом осуществления настоящего изобретения может представлять собой администратор виртуализированной сетевой функции (VNF) (VNFM) в виртуальной системе, выполняет функцию применения сертификата путем прокси для экземпляра VNF и может быть реализовано в виде аппаратных средств или программных средств, что не ограничивается в настоящем документе.
Вариант осуществления 10
[0225] Как показано на фиг. 11, которая представляет собой схематическую структурную диаграмму устройства получения сертификата в соответствии с Вариантом осуществления 10 настоящего изобретения, устройство включает в себя приемник 1111 сигналов и передатчик 1112 сигналов, причем, приемник 1111 сигналов и передатчик 1112 сигналов соединяются посредством коммуникационной шины 1113.
[0226] Приемник 1111 сигналов выполнен с возможностью приема сообщения о прокси применения сертификата, отправляемого администратором виртуализированной инфраструктуры (VIM) в структуре VNF, причем, сообщение о прокси применения сертификата включает в себя экземпляр VNF, который запрашивает применение сертификата, и информацию о применении сертификата, используемую экземпляром VNF для применения сертификата.
[0227] Передатчик 1112 сигналов выполнен с возможностью отправки сообщения о применении сертификата в сертифицирующий орган (СА), причем, сообщение о применении сертификата включает в себя информацию о применении сертификата, используемую экземпляром VNF для применения сертификата.
[0228] Приемник 1111 сигналов дополнительно выполнен с возможностью приема сертификата, выдаваемого СА.
[0229] Передатчик 1112 сигналов дополнительно выполнен с возможностью отправки сертификата в VIM, причем, сертификат формируется посредством СА в соответствии с информацией о применении сертификата, используемой экземпляром VNF для применения сертификата и включенной в сообщение о применении сертификата.
[0230] Не обязательно сообщение о прокси применения сертификата формируется VIM в соответствии с принимаемой информацией о применении сертификата, причем, информация о применении сертификата получается экземпляром VNF в соответствии с параметром инициализации и отправляется экземпляром VNF в VM, а затем отправляется VM в VIM по защищенному каналу с VIM.
[0231] Не обязательно параметр инициализации включает в себя информацию о СА и доменное имя домена управления сертификатами и получается, когда оркестратор виртуализации сетевых функций (NFVO) определяет инстанцировать экземпляр VNF.
[0232] Необходимо отметить, что устройство в соответствии с данным вариантом осуществления настоящего изобретения может представлять собой администратор виртуализированной сетевой функции (VNF) (VNFM) в виртуальной системе, выполняет функцию применения сертификата путем прокси для экземпляра VNF и может быть реализовано в виде аппаратных средств или программных средств, что не ограничивается в настоящем документе.
Вариант осуществления 11
[0233] Как показано на фиг. 12, которая представляет собой схематическую структурную диаграмму устройства получения сертификата в соответствии с Вариантом осуществления 11 настоящего изобретения, устройство включает в себя приемник 1211 сигналов и процессор 1212, причем, приемник 1211 сигналов и процессор 1212 соединяются посредством коммуникационной шины 1213.
[0234] Приемник 1211 сигналов выполнен с возможностью приема сообщения о применении сертификата, отправляемого экземпляром виртуализированной сетевой функции (VNF), причем, сообщение о применении сертификата включает в себя временный сертификат и информацию о применении сертификата, которая используется для применения сертификата, причем, временный сертификат применятся от СА, когда оркестратор виртуализации сетевых функций (NFVO) определяет необходимость в инстанцировании экземпляра VNF, и передается в экземпляр VNF посредством администратора виртуализированной инфраструктуры (VIM) в структуре VNF, инфраструктуры NFV (NFVI) и виртуальной машины (VM) в которой выполняется посредством VNF.
[0235] Процессор 1212 выполнен с возможностью использования временного сертификата для аутентификации экземпляра VNF, а при успешной аутентификации - выдачи сертификата в экземпляр VNF в соответствии с информацией о применении сертификата, которая используется для применения сертификата и включается в сообщение о применении сертификата.
[0236] Процессор 1212 может представлять собой универсальный центральный процессор (ЦП), микропроцессор, специализированную интегральную схему (application specific integrated circuit, ASIC) или одну или более интегральных схем, используемых для управления исполнением программы в решении настоящего изобретения.
[0237] Коммуникационная шина 1213 может включать в себя путь для передачи информации между вышеописанными компонентами.
[0238] Необходимо отметить, что устройство в соответствии с данным вариантом осуществления настоящего изобретения может представлять собой сертифицирующий орган и может являться СА или иным устройством, способным аутентифицировать сертификат, что не ограничивается в настоящем документе; при этом устройство может быть реализовано в виде аппаратных средств или программных средств, что не ограничивается в настоящем документе.
Вариант осуществления 12
[0239] Как показано на фиг. 13, которая представляет собой схематическую структурную диаграмму устройства получения сертификата в соответствии с Вариантом осуществления 12 настоящего изобретения, устройство включает в себя приемник 1311 сигналов и передатчик 1312 сигналов, причем, приемник 1311 сигналов и передатчик 1312 сигналов соединяются посредством коммуникационной шины 1313.
[0240] Приемник 1311 сигналов выполнен с возможностью приема сообщения о применении сертификата, отправляемого виртуальной машиной (VM), причем, сообщение о применении сертификата включает в себя открытый ключ, используемый для применения сертификата.
[0241] Передатчик 1312 сигналов выполнен с возможностью отправки сообщения о прокси применения сертификата в сертифицирующий орган (СА), причем, сообщение о прокси применения сертификата включает в себя открытый ключ, используемый VM для применения сертификата.
[0242] Приемник 1311 сигналов дополнительно выполнен с возможностью приема сертификата, выдаваемого СА.
[0243] Передатчик 1312 сигналов дополнительно выполнен с возможностью отправки сертификата в VM, причем, сертификат получается СА путем подписания в соответствии с открытым ключом, используемым VM для применения сертификата и включенным в сообщение о прокси применения сертификата.
[0244] В частности, передатчик 1312 сигналов, в частности, выполнен с возможностью отправки сообщения о прокси применения сертификата в администратор виртуализированной инфраструктуры (VIM) в структуре виртуализированной сетевой функции таким образом, что VIM пересылает сообщение о прокси применения сертификата в сертифицирующий орган (СА).
[0245] Не обязательно устройство дополнительно включает в себя процессор 1314, причем:
процессор 1314 выполнен с возможностью: когда VM принимает сертификат - установления служебного канала между VM и администратором VM.
[0246] Не обязательно открытый ключ формируется VM в соответствии с параметром инициализации, причем, параметр инициализации включает в себя информацию о СА и доменное имя домена управления сертификатом и получается, когда администратор виртуализированной инфраструктуры (VIM) в структуре виртуализированной сетевой функции принимает команду на формирование VM, причем, команда отправляется оркестратором виртуализации сетевой функции (NFVO).
[0247] Процессор 1314 может представлять собой универсальный центральный процессор (ЦП), микропроцессор, специализированную интегральную схему (application specific integrated circuit, ASIC) или одну или более интегральных схем, используемых для управления исполнением программы в решении настоящего изобретения.
[0248] Коммуникационная шина 1313 может включать в себя путь для передачи информации между вышеописанными компонентами.
[0249] Необходимо отметить, что устройство в соответствии с данным вариантом осуществления настоящего изобретения может представлять собой инфраструктуру виртуализации сетевой функции (NFVI), выполняет функцию применения сертификата путем прокси для VM и может быть реализовано в виде аппаратных средств или программных средств, что не ограничивается в настоящем документе.
[0250] Специалисты в данной области техники должны понимать, что варианты осуществления настоящего изобретения могут предусматриваться в виде способа, устройства (приспособления) или компьютерного программного продукта. Следовательно, в настоящем изобретении может использоваться некоторая форма только аппаратных вариантов осуществления, только программных вариантов осуществления или варианты осуществления с комбинацией программных средств и аппаратных средств. Кроме того, в настоящем изобретении может использоваться некоторая форма компьютерного программного продукта, который реализован на одном или более применимых в компьютере носителей информации (включая в качестве неограничивающих примеров дисковую память, компакт-диск (CD-ROM), оптическую память и т.п.), которые включают в себя применимый в компьютере программный код.
[0251] Настоящее изобретение описано со ссылкой на блок-схемы последовательности операций и/или блок-схемы способа, устройства (приспособления) и компьютерного программного продукта в соответствии с вариантами осуществления настоящего изобретения. Следует понимать, что команды компьютерной программы могут использоваться для реализации каждого процесса и/или каждого блока на блок-схемах последовательности операций и/или блок-схемах и комбинации процесса и/или блока на блок-схемах последовательности операций и/или блок-схемах. Указанные команды компьютерной программы могут предусматриваться для универсального компьютера, специализированного компьютера, встроенного процессора или процессора любого иного программируемого устройства обработки данных для формирования машины таким образом, что команды, исполняемые компьютером или процессором любого иного программируемого устройства обработки данных, формируют устройство для реализации конкретной функции в одном или более процессах на блок-схемах последовательности операций и/или в одном или более блоках на блок-схемах.
[0252] Указанные команды компьютерной программы могут также храниться в компьютерночитаемой памяти, которая может выдавать в компьютер или иное программируемое устройство обработки данных команду на работу конкретным способом таким образом, что команды, хранящиеся в компьютерночитаемой памяти, формируют артефакт, который включает в себя командное устройство. Командное устройство реализует конкретную функцию в одном или более процессах на блок-схемах последовательности операций и/или в одном или более блоках на блок-схемах.
[0253] Указанные команды компьютерной программы могут также загружаться в компьютер или иное программируемое устройство обработки данных таким образом, что в компьютере или ином программируемом устройстве обработки данных выполняется последовательность операций и этапов, тем самым формируя реализуемую в компьютере обработку. Следовательно, команды, исполняемые в компьютере или ином программируемом устройстве, обеспечивают этапы для реализации конкретной функции в одном или более процессах на блок-схемах последовательности операций и/или в одном или более блоках на блок-схемах.
[0254] Несмотря на то, что описаны некоторые предпочтительные варианты осуществления настоящего изобретения, специалисты в данной области техники могут вносить изменения и модификации в указанные варианты осуществления после того, как они ознакомятся с основной концепцией изобретения. Следовательно, нижеследующая формула изобретения должна рассматриваться как охватывающая предпочтительные варианты осуществления и все изменения и модификации, находящиеся в пределах объема настоящего изобретения.
[0255] Очевидно, специалисты в данной области техники могут вносить различные модификации и варианты в настоящее изобретение в пределах сущности и объема настоящего изобретения. Настоящее изобретение охватывает указанные модификации и варианты при условии, что они находятся в пределах объема правовой охраны, определяемого нижеследующей формулой изобретения и эквивалентными ей техническими решениями.

Claims (37)

1. Устройство получения сертификата, содержащее:
модуль приема, выполненный с возможностью приема сообщения о прокси применении сертификата, отправляемого экземпляром виртуализированной сетевой функции VNF, причем сообщение о прокси применении сертификата содержит информацию об аутентификации и информацию о применении сертификата, которая используется для применения сертификата, причем информация об аутентификации используется для установления канала для прокси применения сертификата между экземпляром VNF и администратором VNF (VNFM); и
модуль отправки, выполненный с возможностью использования информации об аутентификации, принимаемой модулем приема, для аутентификации экземпляра VNF, а при успешной аутентификации - отправки сообщения о применении сертификата в сертифицирующий орган (СА), причем сообщение о применении сертификата содержит информацию о применении сертификата, которая используется для применения сертификата, причем
модуль приема дополнительно выполнен с возможностью приема сертификата, выдаваемого СА; и
модуль отправки дополнительно выполнен с возможностью отправки сертификата, принимаемого модулем приема, в экземпляр VNF, причем сертификат формируется посредством СА в соответствии с информацией о применении сертификата, которая используется для применения сертификата и включается в сообщение о применении сертификата.
2. Устройство по п. 1, в котором информация об аутентификации является временным сертификатом, причем временный сертификат применяется от VNFM, когда оркестратор виртуализации сетевых функций (NFVO) определяет необходимость в инстанцировании экземпляра VNF, и передается в экземпляр VNF посредством администратора виртуализированной инфраструктуры (VIM) в структуре VNF, инфраструктуры виртуализации сетевой функции NFV (NFVI) и виртуальной машины (VM) в которой выполняются посредством VNF.
3. Устройство по п. 2, в котором модуль отправки, в частности, выполнен с возможностью: сравнения принимаемого временного сертификата с временным сертификатом, который применяется от VNFM, когда NFVO определяет необходимость в инстанцировании экземпляра VNF; и
когда определяется, что принимаемый временный сертификат является таким же, как и временный сертификат, который применяется от VNFM, когда NFVO определяет необходимость в инстанцировании экземпляра VNF - определения, что аутентификация в экземпляре VNF является успешной; или
когда определяется, что принимаемый временный сертификат отличается от временного сертификата, который применяется от VNFM, когда NFVO определяет необходимость в инстанцировании экземпляра VNF - определения, что аутентификация в экземпляре VNF является неудачной.
4. Устройство по п. 1, в котором информация об аутентификации является общим ключом (PSK), причем PSK формируется, когда оркестратор виртуализации сетевых функций (NFVO) определяет необходимость в инстанцировании экземпляра VNF, и передается в экземпляр VNF посредством администратора виртуализированной инфраструктуры (VIM) в структуре VNF, инфраструктуры NFV (NFVI) и виртуальной машины (VM) в которой выполняются посредством VNF.
5. Устройство по п. 4, в котором
модуль приема, в частности, выполнен с возможностью отправки PSK в экземпляр VNF и приема сообщения о прокси применении сертификата, отправляемого экземпляром VNF, причем сообщение о прокси применении сертификата отправляется в VNFM, когда экземпляр VNF определяет, что локально введенный PSK является таким же, как и принимаемый PSK, отправляемый VNFM, или связан с ним.
6. Устройство получения сертификата, содержащее:
модуль приема, выполненный с возможностью приема сообщения о прокси применении сертификата, отправляемого администратором виртуализированной инфраструктуры (VIM) в структуре виртуализированной сетевой функции VNF, причем сообщение о прокси применении сертификата содержит экземпляр VNF, который запрашивает применение сертификата, и информацию о применении сертификата, используемую экземпляром VNF для применения сертификата; и
модуль отправки, выполненный с возможностью отправки сообщения о применении сертификата в сертифицирующий орган (СА), причем сообщение о применении сертификата содержит информацию о применении сертификата, принимаемую модулем приема и используемую экземпляром VNF для применения сертификата, причем
модуль приема дополнительно выполнен с возможностью приема сертификата, выдаваемого СА; и
модуль отправки дополнительно выполнен с возможностью отправки сертификата, принимаемого модулем приема, в VIM, причем сертификат формируется посредством СА в соответствии с информацией о применении сертификата, используемой экземпляром VNF для применения сертификата и включенной в сообщение о применении сертификата.
7. Устройство по п. 6, в котором сообщение о прокси применении сертификата формируется VIM в соответствии с принимаемой информацией о применении сертификата, причем информация о применении сертификата получается экземпляром VNF в соответствии с параметром инициализации и отправляется экземпляром VNF в виртуальную машину VM, а затем отправляется VM в VIM по защищенному каналу с VIM.
8. Устройство по п. 7, в котором параметр инициализации содержит информацию о СА и доменное имя домена управления сертификатами и получается, когда оркестратор виртуализации сетевых функций (NFVO) определяет инстанцировать экземпляр VNF.
9. Способ получения сертификата, содержащий:
прием администратором виртуализированной сетевой функции (VNFM) сообщения о прокси применении сертификата, отправляемого экземпляром виртуализированной сетевой функции VNF, причем сообщение о прокси применении сертификата содержит информацию об аутентификации и информацию о применении сертификата, которая используется для применения сертификата, причем информация об аутентификации используется для установления канала для прокси применения сертификата между экземпляром VNF и VNFM;
использование, посредством VNFM, информации об аутентификации для аутентификации экземпляра VNF, а при успешной аутентификации - отправки сообщения о применении сертификата в сертифицирующий орган (СА), причем сообщение о применении сертификата содержит информацию о применении сертификата, которая используется для применения сертификата; и
прием, посредством VNFM, сертификата, выдаваемого СА, и отправку сертификата в экземпляр VNF, причем сертификат формируется посредством СА в соответствии с информацией о применении сертификата, которая используется для применения сертификата и включается в сообщение о применении сертификата.
10. Способ по п. 9, в котором информация об аутентификации является временным сертификатом, причем временный сертификат применяется от VNFM, когда оркестратор виртуализации сетевых функций (NFVO) определяет необходимость в инстанцировании экземпляра VNF, и передается в экземпляр VNF посредством администратора виртуализированной инфраструктуры (VIM) в структуре VNF, инфраструктуры виртуализации сетевой функции NFV (NFVI) и виртуальной машины (VM) в которой выполняются посредством VNF.
11. Способ по п. 10, в котором использование, посредством VNFM, информации об аутентификации для аутентификации экземпляра VNF содержит:
сравнение, посредством VNFM, принимаемого временного сертификата с временным сертификатом, который применяется от VNFM, когда NFVO определяет необходимость в инстанцировании экземпляра VNF; и
когда VNFM определяет, что принимаемый временный сертификат является таким же, как и временный сертификат, который применяется от VNFM, когда NFVO определяет необходимость в инстанцировании экземпляра VNF - определения, что аутентификация в экземпляре VNF является успешной; или
когда VNFM определяет, что принимаемый временный сертификат отличается от временного сертификата, который применяется от VNFM, когда NFVO определяет необходимость в инстанцировании экземпляра VNF - определения, что аутентификация в экземпляре VNF является неудачной.
12. Способ по п. 9, в котором информация об аутентификации является общим ключом (PSK), причем PSK формируется, когда оркестратор виртуализации сетевых функций (NFVO) определяет необходимость в инстанцировании экземпляра VNF, и передается в экземпляр VNF посредством администратора виртуализированной инфраструктуры (VIM) в структуре VNF, инфраструктуры NFV (NFVI) и виртуальной машины (VM) в которой выполняются посредством VNF.
13. Способ по п. 12, в котором прием администратором виртуализированной сетевой функции VNF (VNFM) сообщения о прокси применении сертификата, отправляемого экземпляром VNF, содержит:
отправку - с помощью VNFM - PSK в экземпляр VNF и прием сообщения о прокси применении сертификата, отправляемого экземпляром VNF, причем сообщение о прокси применении сертификата отправляется в VNFM, когда экземпляр VNF определяет, что локально введенный PSK является таким же, как и принимаемый PSK, отправляемый VNFM, или связан с ним.
14. Способ получения сертификата, содержащий:
прием администратором виртуализированной сетевой функции (VNFM) сообщения о прокси применении сертификата, отправляемого администратором виртуализированной инфраструктуры (VIM) в структуре виртуализированной сетевой функции VNF, причем сообщение о прокси применении сертификата содержит экземпляр VNF, который запрашивает применение сертификата, и информацию о применении сертификата, используемую экземпляром VNF для применения сертификата;
отправку с помощью VNFM сообщения о применении сертификата в сертифицирующий орган (СА), причем сообщение о применении сертификата содержит информацию о применении сертификата, используемую экземпляром VNF для применения сертификата; и
прием, посредством VNFM, сертификата, выдаваемого СА, и отправку сертификата в VIM, причем сертификат формируется посредством СА в соответствии с информацией о применении сертификата, используемой экземпляром VNF для применения сертификата и включенной в сообщение о применении сертификата.
15. Способ по п. 14, в котором сообщение о прокси применении сертификата формируется VIM в соответствии с принимаемой информацией о применении сертификата, причем информация о применении сертификата получается экземпляром VNF в соответствии с параметром инициализации и отправляется экземпляром VNF в виртуальную машину VM, а затем отправляется VM в VIM по защищенному каналу с VIM.
16. Способ по п. 15, в котором параметр инициализации содержит информацию о СА и доменное имя домена управления сертификатами и получается, когда оркестратор виртуализации сетевых функций (NFVO) определяет инстанцировать экземпляр VNF.
RU2016147697A 2014-05-08 2014-05-08 Способ и устройство получения сертификата RU2658172C2 (ru)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2014/077075 WO2015168914A1 (zh) 2014-05-08 2014-05-08 一种证书获取方法和设备

Publications (3)

Publication Number Publication Date
RU2016147697A RU2016147697A (ru) 2018-06-08
RU2016147697A3 RU2016147697A3 (ru) 2018-06-08
RU2658172C2 true RU2658172C2 (ru) 2018-06-19

Family

ID=54392000

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2016147697A RU2658172C2 (ru) 2014-05-08 2014-05-08 Способ и устройство получения сертификата

Country Status (8)

Country Link
US (1) US10225246B2 (ru)
EP (1) EP3133789B1 (ru)
JP (1) JP6299047B2 (ru)
KR (1) KR101942412B1 (ru)
CN (2) CN105284091B (ru)
BR (1) BR112016026035B1 (ru)
RU (1) RU2658172C2 (ru)
WO (2) WO2015168914A1 (ru)

Families Citing this family (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
BR112016026035B1 (pt) * 2014-05-08 2023-04-18 Huawei Technologies Co., Ltd Dispositivo e métodos de aquisição de certificado
WO2015168913A1 (zh) 2014-05-08 2015-11-12 华为技术有限公司 一种证书获取方法和设备
US9386001B1 (en) 2015-03-02 2016-07-05 Sprint Communications Company L.P. Border gateway protocol (BGP) communications over trusted network function virtualization (NFV) hardware
US9578008B2 (en) * 2015-05-11 2017-02-21 Intel Corporation Technologies for secure bootstrapping of virtual network functions
US10069844B2 (en) 2016-07-21 2018-09-04 Sprint Communications Company L.P. Virtual network function (VNF) hardware trust in a network function virtualization (NFV) software defined network (SDN)
CN106302394B (zh) * 2016-07-26 2019-08-30 京信通信系统(中国)有限公司 安全通道建立方法和系统
WO2018040095A1 (zh) * 2016-09-05 2018-03-08 华为技术有限公司 一种生成安全凭证的方法和设备
US10318723B1 (en) * 2016-11-29 2019-06-11 Sprint Communications Company L.P. Hardware-trusted network-on-chip (NOC) and system-on-chip (SOC) network function virtualization (NFV) data communications
CN110121857B (zh) * 2016-12-30 2021-02-09 华为技术有限公司 一种凭据分发的方法和设备
EP3550781B1 (en) * 2016-12-30 2021-02-17 Huawei Technologies Co., Ltd. Private information distribution method and device
CN108540301B (zh) * 2017-03-03 2021-01-12 华为技术有限公司 一种预置账户的密码初始化方法及相关设备
CN108809907B (zh) * 2017-05-04 2021-05-11 华为技术有限公司 一种证书请求消息发送方法、接收方法和装置
CN109286494B (zh) * 2017-07-20 2020-10-23 华为技术有限公司 一种虚拟网络功能vnf的初始化凭据生成方法及设备
CN107302544B (zh) * 2017-08-15 2019-09-13 迈普通信技术股份有限公司 证书申请方法、无线接入控制设备及无线接入点设备
CN109905252B (zh) * 2017-12-07 2022-06-07 华为技术有限公司 建立虚拟网络功能实例的方法和装置
US10762193B2 (en) * 2018-05-09 2020-09-01 International Business Machines Corporation Dynamically generating and injecting trusted root certificates
EP3533178B1 (en) 2018-11-07 2020-09-09 Alibaba Group Holding Limited Managing communications among consensus nodes and client nodes
US11095460B2 (en) 2019-07-05 2021-08-17 Advanced New Technologies Co., Ltd. Certificate application operations
CN110445614B (zh) * 2019-07-05 2021-05-25 创新先进技术有限公司 证书申请方法、装置、终端设备、网关设备和服务器
US20220264301A1 (en) * 2019-07-17 2022-08-18 Telefonaktiebolaget Lm Ericsson (Publ) Technique for certificate handling in a core network domain
CN110769393B (zh) * 2019-11-07 2021-12-24 公安部交通管理科学研究所 一种车路协同的身份认证系统及方法
CN110943996B (zh) * 2019-12-03 2022-03-22 迈普通信技术股份有限公司 一种业务加解密的管理方法、装置及系统
US11522721B2 (en) * 2020-04-07 2022-12-06 Verizon Patent And Licensing Inc. System and method for establishing dynamic trust credentials for network functions
CN113872765B (zh) * 2020-06-30 2023-02-03 华为技术有限公司 身份凭据的申请方法、身份认证的方法、设备及装置
CN114024678A (zh) * 2020-07-15 2022-02-08 中国移动通信有限公司研究院 一种信息处理方法及系统、相关装置
US11436127B1 (en) * 2020-09-10 2022-09-06 Cisco Technology, Inc. Automated validation and authentication of software modules
CN115942314A (zh) * 2021-08-06 2023-04-07 华为技术有限公司 一种证书管理方法和装置
WO2023213590A1 (en) * 2022-05-05 2023-11-09 Telefonaktiebolaget Lm Ericsson (Publ) Security certificate management during network function (nf) lifecycle
CN117318970A (zh) * 2022-06-23 2023-12-29 中兴通讯股份有限公司 安全通道建立方法、系统及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2371757C2 (ru) * 2003-08-21 2009-10-27 Майкрософт Корпорейшн Системы и способы моделирования данных в основанной на предметах платформе хранения
RU2440681C2 (ru) * 2006-09-07 2012-01-20 Майкрософт Корпорейшн Аспекты управления цифровыми правами однорангового распространения цифрового контента
CN102663290A (zh) * 2012-03-23 2012-09-12 中国科学院软件研究所 一种基于虚拟机的数字版权保护方法
CN103036854A (zh) * 2011-09-30 2013-04-10 中国移动通信集团公司 业务订购方法及系统、业务权限认证方法、终端设备
US20130298210A1 (en) * 2012-05-02 2013-11-07 Microsoft Corporation Certificate based connection to cloud virtual machine

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE60222871T2 (de) * 2002-07-01 2008-07-24 Telefonaktiebolaget Lm Ericsson (Publ) Anordnung und Verfahren zum Schutz von Endbenutzerdaten
JP2005086445A (ja) * 2003-09-08 2005-03-31 Nooza:Kk ネットワーク構築方法、ネットワーク構築装置、およびネットワーク構築プログラム
US7321970B2 (en) * 2003-12-30 2008-01-22 Nokia Siemens Networks Oy Method and system for authentication using infrastructureless certificates
US7467303B2 (en) * 2004-03-25 2008-12-16 International Business Machines Corporation Grid mutual authorization through proxy certificate generation
JP2006246272A (ja) 2005-03-07 2006-09-14 Fuji Xerox Co Ltd 証明書取得システム
JP4846464B2 (ja) * 2006-06-21 2011-12-28 日本電信電話株式会社 複数公開鍵の証明書を発行及び検証するシステム、並びに、複数公開鍵の証明書を発行及び検証する方法
US8214635B2 (en) * 2006-11-28 2012-07-03 Cisco Technology, Inc. Transparent proxy of encrypted sessions
CN100488099C (zh) * 2007-11-08 2009-05-13 西安西电捷通无线网络通信有限公司 一种双向接入认证方法
KR100910378B1 (ko) * 2008-10-06 2009-08-04 주식회사 오엘콥스 암호화된 이미지를 이용한 전자증명서 발급 시스템 및 방법
CN101754203B (zh) * 2009-12-25 2014-04-09 宇龙计算机通信科技(深圳)有限公司 一种wapi证书获取方法、装置及网络系统
US9065825B2 (en) * 2010-02-05 2015-06-23 International Business Machines Corporation Method and system for license management
JP2014082584A (ja) * 2012-10-15 2014-05-08 Nippon Registry Authentication Inc 認証基盤システム
US9208350B2 (en) * 2013-01-09 2015-12-08 Jason Allen Sabin Certificate information verification system
CN103475485B (zh) * 2013-09-16 2017-03-22 浙江汇信科技有限公司 基于数字证书互联互通的身份认证支撑平台及认证方法
US20150156193A1 (en) * 2013-12-02 2015-06-04 Microsoft Corporation Creating and managing certificates in a role-based certificate store
EP2942925B1 (en) * 2014-05-05 2016-08-24 Advanced Digital Broadcast S.A. A method and system for providing a private network
BR112016026035B1 (pt) * 2014-05-08 2023-04-18 Huawei Technologies Co., Ltd Dispositivo e métodos de aquisição de certificado
US9961103B2 (en) * 2014-10-28 2018-05-01 International Business Machines Corporation Intercepting, decrypting and inspecting traffic over an encrypted channel
US9769126B2 (en) * 2015-01-07 2017-09-19 AnchorFee Inc. Secure personal server system and method
US20160277372A1 (en) * 2015-03-17 2016-09-22 Riverbed Technology, Inc. Optimization of a secure connection with enhanced security for private cryptographic keys
US9854048B2 (en) * 2015-06-29 2017-12-26 Sprint Communications Company L.P. Network function virtualization (NFV) hardware trust in data communication systems

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2371757C2 (ru) * 2003-08-21 2009-10-27 Майкрософт Корпорейшн Системы и способы моделирования данных в основанной на предметах платформе хранения
RU2440681C2 (ru) * 2006-09-07 2012-01-20 Майкрософт Корпорейшн Аспекты управления цифровыми правами однорангового распространения цифрового контента
CN103036854A (zh) * 2011-09-30 2013-04-10 中国移动通信集团公司 业务订购方法及系统、业务权限认证方法、终端设备
CN102663290A (zh) * 2012-03-23 2012-09-12 中国科学院软件研究所 一种基于虚拟机的数字版权保护方法
US20130298210A1 (en) * 2012-05-02 2013-11-07 Microsoft Corporation Certificate based connection to cloud virtual machine

Also Published As

Publication number Publication date
JP6299047B2 (ja) 2018-03-28
CN106464495A (zh) 2017-02-22
US10225246B2 (en) 2019-03-05
JP2017516434A (ja) 2017-06-15
KR101942412B1 (ko) 2019-01-25
KR20170002577A (ko) 2017-01-06
RU2016147697A (ru) 2018-06-08
RU2016147697A3 (ru) 2018-06-08
CN105284091A (zh) 2016-01-27
BR112016026035A2 (pt) 2018-05-15
CN106464495B (zh) 2020-02-21
EP3133789A1 (en) 2017-02-22
WO2015168914A1 (zh) 2015-11-12
BR112016026035B1 (pt) 2023-04-18
CN105284091B (zh) 2018-06-15
EP3133789B1 (en) 2019-01-30
US20170054710A1 (en) 2017-02-23
EP3133789A4 (en) 2017-04-26
WO2015169126A1 (zh) 2015-11-12

Similar Documents

Publication Publication Date Title
RU2658172C2 (ru) Способ и устройство получения сертификата
US10367647B2 (en) Certificate acquiring method and device
US11641361B2 (en) Dynamic access control to network resources using federated full domain logon
US9680824B1 (en) Method and system for authentication by intermediaries
US10122703B2 (en) Federated full domain logon
EP3314809B1 (en) Distributing an authentication key to an application installation
US9432356B1 (en) Host identity bootstrapping
US20160119141A1 (en) Secure communication authentication method and system in distributed environment
WO2015143651A1 (zh) 基于网络功能虚拟化的证书配置方法、装置和系统
CA3117713C (en) Authorization with a preloaded certificate
EP3580885B1 (en) Private key updating
CN114915418A (zh) 业务证书管理方法、装置、系统及电子设备
CN115278671A (zh) 网元鉴权方法、装置、存储介质和电子设备
KR102162108B1 (ko) Nfv 환경을 위한 lw_pki 시스템 및 그 시스템을 이용한 통신방법.
US11283630B2 (en) Server/server certificates exchange flow
CN115952489A (zh) 构建可信网格的方法、可信网格以及其上的应用交互方法