WO2015168914A1

WO2015168914A1 - 一种证书获取方法和设备

Info

Publication number: WO2015168914A1
Application number: PCT/CN2014/077075
Authority: WO
Inventors: 熊莺; 王江胜; 冯成燕
Original assignee: 华为技术有限公司
Priority date: 2014-05-08
Filing date: 2014-05-08
Publication date: 2015-11-12
Also published as: JP6299047B2; CN106464495A; US10225246B2; JP2017516434A; KR101942412B1; KR20170002577A; RU2016147697A; RU2016147697A3; CN105284091A; BR112016026035A2; CN106464495B; EP3133789A1; BR112016026035B1; CN105284091B; EP3133789B1; RU2658172C2; US20170054710A1; EP3133789A4; WO2015169126A1

Abstract

公开了一种证书获取方法和设备，包括：VNFM接收VNF实例发送证书申请代理消息，证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息，验证信息用于在VNF实例与VNFM之间建立代理申请证书通道；VNFM利用验证信息对VNF实例进行验证，并在验证通过时，向CA发送证书申请消息，证书申请消息中包含了用于申请证书的证书申请信息；VNFM接收CA签发的证书，并将证书发送给VNF实例，这样，实例化的VNF实例通过VNFM与证书认证中心之间的信任链路申请证书认证中心签发的证书，有效保证了VNF实例申请证书的合法性，确保了VNF实例与VNFM之间通过证书认证中心签发的证书建立管理通道的安全性。

Description

一种证书获取方法和设备技术领域

本发明涉及虚拟网络的部署领域，尤其涉及一种证书获取方法和设备。背景技术

网络功能虚拟化（Network Function Virtualization, NFV )是以 "传统网络虚拟化" 为目的而成立的标准组织，制定了一套在虚拟化环境下部署网络的标准。通过 NFV组织制定的标准，可以实现网络的虚拟化以及灵活部署等能力。

NFV制定的虚拟网络架构包含了：网元管理系统（ Element Management System, EMS ), NFV编排器（NFV Orchestra, NFVO )、虚拟化的网络功能 ( ( Virtual Network Function, VNF )实例、 VNF管理器（ VNF Manager, VNFM )、 NFV的基础设施（Network Function Virtual Infrastructure, NFVI )、 VNF框架中管理虚拟基础设施 ( Virtual Infrastructure Manager, VIM )。

其中， EMS, 即传统网元管理设备，用于将实例化得到的 VNF实例作为一个网元进行管理； NFVO, 用于编排 VNF; VNF实例，即运行了网络功能的虚拟化网元； VNFM, 用于管理 VNF; NFVI包含了虚拟化的计算资源、虚拟化的存储资源、虚拟化的网络资源等； VIM,用于根据 NFVO和 VNFM的指令，对 NFVI进行管理。

EMS或者 VNFM通过与 VNF之间建立管理通道，实现对 VNF的管理。为了防止恶意用户攻击网络，在 EMS或者 VNFM与 VNF之间建立管理通道时，需要双方进行身份认证，一般釆用传输层安全技术（即证书认证方式）进行身份认证，也就是说，以证书作为身份认证的凭证，执行双方身份认证操作。

然而在传统网络中，证书获取的方式包括但不限于以下两种：

第一种方式：

手工导入方式或者通过硬件、软件初始安装时导入一个与硬件绑定的初始证书 , 在利用初始证书通过证书管理协议获取需要的认证证书。但是，在 NFV标准中， VNF自动生成在 VM上，无法通过第一种方式得到证书，也就是使得 EMS或者 VNFM与 VNF之间建立管理通道的安全性较差。

第二种方式：

在网元生成时，由网元生产商在网元中内置一个生产商的证书，使得网元在被初始配置时，使用证书管理协议向运营商的公共密钥系统（ Public Key Infrastructure, PKI ) 申请运营商签发的证书，在申请证书过程中，网元使用生产商证书作为自己的身份凭证，使得 ΡΚΙ信任该网元并签发运营商的证书。

但是，在虚拟化环境中， VNF动态生成，因此不能通过第二种方式申请证书，也就是使得 EMS或者 VNFM与 VNF之间建立管理通道的安全性较差。发明内容

有鉴于此，本发明实施例提供了一种证书获取方法和设备，用于解决存在的 EMS或者 VNFM与 VNF之间建立管理通道的安全性较差的问题。

根据本发明的第一方面，提供了一种证书获取设备，包括：

接收模块，用于接收 VNF实例发送的证书申请代理消息，其中，所述证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息，所述验证信息用于在所述 VNF实例与虚拟化网络功能 VNF管理设备 VNFM之间建立代理申请证书通道；

发送模块，用于利用所述接收模块接收到的所述验证信息对所述 VNF实例进行验证，并在验证通过时，向证书认证中心 CA发送证书申请消息，其中，所述证书申请消息中包含了用于申请证书的证书申请信息；

所述接收模块，还用于接收所述 CA签发的证书；

所述发送模块，还用于将所述接收模块接收到的所述证书发送给所述 VNF实例，其中，所述证书是所述 CA根据所述证书申请消息中包含了用于申请证书的证书申请信息生成的。

结合本发明第一方面可能的实施方式中，第一种可能的实施方式，所述验证信息为临时证书，其中，所述临时证书是由虚拟化功能网络编排器 NFVO 中管理虚拟基础设施 VIM, NFV基础设施 NFVI和所述 VNF运行的虚拟机 VM传输至所述 VNF实例的。

结合本发明第一方面的第一种可能的实施方式中，第二种可能的实施方式，所述发送模块，具体用于将接收到的临时证书与 NFVO确定需要实例化所述 VNF实例时从所述 VNFM中申请的临时证书进行比较；

在确定接收到的临时证书与 NFVO确定需要实例化所述 VNF实例时从所述 VNFM中申请的临时证书相同时，确定对所述 VNF实例的验证通过；在确定接收到的临时证书与 NFVO确定需要实例化所述 VNF实例时从所述 VNFM中申请的临时证书不相同时，确定对所述 VNF实例的验证未通过。

结合本发明第一方面可能的实施方式中，第三种可能的实施方式，所述验证信息为预共享密钥 PSK, 其中，所述 PSK是由虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实例时生成的，并经由 VNF框架中管理虚拟基础设施 VIM.NFV基础设施 NFVI和所述 VNF运行的虚拟机 VM传输至所述 VNF实例的。

结合本发明第一方面的第三种可能的实施方式中，第四种可能的实施方式，所述接收模块，具体用于向所述 VNF实例发送 PSK, 并接收 VNF实例发送的证书申请代理消息，其中，所述证书申请代理消息是所述 VNF实例在确定本地注入的 PSK与接收到的所述 VNFM发送的 PSK相同或关联时向所述 VNFM发送的。

结合本发明第一方面的第四种可能的实施方式中，第五种可能的实施方式，所述发送模块，具体用于将接收到的 PSK与 NFVO确定需要实例化所述 VNF实例时签发的 PSK进行比较；

在确定接收到的 PSK与 NFVO确定需要实例化所述 VNF实例时签发的 PSK相同或关联时 , 确定对所述 VNF实例的验证通过；

在确定接收到的 PSK与 NFVO确定需要实例化所述 VNF实例时签发的 PSK不相同或不关联时，确定对所述 VNF实例的验证未通过。

结合本发明第一方面可能的实施方式中，或者结合本发明第一方面的第一种可能的实施方式中，或者结合本发明第一方面的第二种可能的实施方式中，或者结合本发明第一方面的第三种可能的实施方式中，或者结合本发明第一方面的第四种可能的实施方式中，或者结合本发明第一方面的第五种可能的实施方式中，第六种可能的实施方式，所述设备还包括：

通道建立模块，用于在将所述证书发送给所述 VNF实例时，利用所述证书建立与所述 VNF实例之间的管理通道。

根据本发明的第二方面，提供了一种证书获取设备，包括：

接收模块，用于接收 VNF框架中管理虚拟基础设施 VIM发送证书申请代理消息，其中，所述证书申请代理消息中包含了请求申请证书的 VNF实例发送模块，用于向证书认证中心 CA发送证书申请消息，其中，所述证书申请消息中包含了所述接收模块接收到的所述 VNF实例用于申请证书的证书申请信息；

所述接收模块，还用于接收所述 CA签发的证书；

所述发送模块，还用于将所述接收模块接收到的所述证书发送给所述 VIM, 其中，所述证书是所述 CA根据所述证书申请信息中包含了所述 VNF 实例用于申请证书的证书申请信息生成的。

结合本发明第二方面可能的实施方式中，第一种可能的实施方式，所述证书申请代理消息是由所述 VIM根据接收到的证书申请信息生成的，其中，所述证书申请信息由所述 VNF实例根据初始化参数得到，并由所述 VNF实述 VIM的。

结合本发明第二方面的第一方面可能的实施方式中，第二种可能的实施方式，所述初始化参数包含了 CA信息、证书管理域的域名，由虚拟化功能网络编排器 NFVO确定实例化所述 VNF实例时得到。根据本发明的第三方面，提供了一种证书获取设备，包括：接收模块，用于接收虚拟化网络功能 VNF实例发送的证书申请消息，其中，所述证书申请消息中包含了临时证书和用于申请证书的证书申请信息，所述临时证书是由虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实例时从所述 CA中申请的，并经由 VNF框架中管理虚拟基础设施 VIM, NFV 签发模块，用于利用所述接收模块接收到的所述临时证书对所述 VNF实例进行认证，并在认证通过时，根据所述证书申请消息中包含的用于申请证书的证书申请信息，签发证书给所述 VNF实例。

根据本发明的第四方面，提供了一种证书获取设备，包括：

接收模块，用于接收虚拟机 VM发送的证书申请消息，其中，所述证书申请消息中包含了用于申请证书的公钥；

发送模块，用于向证书认证中心 CA发送证书申请代理消息，其中，所述证书申请代理消息中包含了所述接收模块接收到的所述 VM用于申请证书的公钥；

所述接收模块，用于接收所述 CA签发的证书；

所述发送模块，用于将所述接收模块接收到的所述证书发送给所述 VM, 其中，所述证书由所述 CA根据所述证书申请代理消息中包含了所述 VM用于申请证书的公钥签名得到的。

结合本发明第四方面可能的实施方式中，第一种可能的实施方式，所述发送模块，具体用于向虚拟网络功能框架中管理虚拟基础设施 VIM发送证书申请代理消息，并由所述 VIM将所述证书申请代理消息转发至证书认证中心 CA。

结合本发明第四方面可能的实施方式中，或者结合本发明第四方面第一种可能的实施方式中，第二种可能的实施方式，所述设备还包括：

通道建立模块，用于在所述 VM接收到所述证书时，建立所述 VM与所述 VM的管理设备之间的管理通道。结合本发明第四方面可能的实施方式中，或者结合本发明第四方面第一种可能的实施方式中，或者结合本发明第四方面第二种可能的实施方式中，第三种可能的实施方式，所述公钥由所述 VM根据初始化参数生成，其中，所述初始化参数包含了 CA信息、证书管理域的域名，由虚拟网络功能框架中管理虚拟基础设施 VIM在接收到虚拟化功能网络编排器 NFVO发送的生成所述 VM时得到。

根据本发明的第五方面，提供了一种证书获取设备，包括：

信号接收器，用于接收 VNF实例发送的证书申请代理消息，其中，所述证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息，所述验证信息用于在所述 VNF实例与虚拟化网络功能 VNF管理设备 VNFM之间建立代理申请证书通道；

信号发射器，用于利用所述验证信息对所述 VNF实例进行验证，并在验证通过时，向证书认证中心 CA发送证书申请消息，其中，所述证书申请消息中包含了用于申请证书的证书申请信息；

所述信号接收器，还用于接收所述 CA签发的证书；

所述信号发射器，还用于将所述证书发送给所述 VNF实例，其中，所述证书是所述 CA根据所述证书申请消息中包含了用于申请证书的证书申请信息生成的。

结合本发明第五方面可能的实施方式中，第一种可能的实施方式，所述验证信息为临时证书，其中，所述临时证书是由虚拟化功能网络编排器 NFVO 中管理虚拟基础设施 VIM, NFV基础设施 NFVI和所述 VNF运行的虚拟机 VM传输至所述 VNF实例的。

结合本发明第五方面的第一种可能的实施方式中，第二种可能的实施方式，所述信号发射器，具体用于将接收到的临时证书与 NFVO确定需要实例化所述 VNF实例时从所述 VNFM中申请的临时证书进行比较；

所述 VNFM在确定接收到的临时证书与 NFVO确定需要实例化所述 VNF 实例时从所述 VNFM中申请的临时证书相同时，确定对所述 VNF实例的验证通过；

所述 VNFM在确定接收到的临时证书与 NFVO确定需要实例化所述 VNF 实例时从所述 VNFM中申请的临时证书不相同时，确定对所述 VNF实例的验证未通过。

结合本发明第五方面可能的实施方式中，第三种可能的实施方式，所述验证信息为预共享密钥 PSK, 其中，所述 PSK是由虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实例时生成的，并经由 VNF框架中管理虚拟基础设施 VIM.NFV基础设施 NFVI和所述 VNF运行的虚拟机 VM传输至所述 VNF实例的。

结合本发明第五方面的第三种可能的实施方式中，第四种可能的实施方式，所述信号接收器，具体用于向所述 VNF实例发送 PSK, 并接收所述 VNF 实例发送的证书申请代理消息，其中，所述证书申请代理消息是所述 VNF实例在确定本地注入的 PSK与接收到的所述 PSK相同或关联时，向所述 VNFM 发送的。

结合本发明第五方面的第四种可能的实施方式中，第五种可能的实施方式，所述信号发射器，具体用于将接收到的 PSK与 NFVO确定需要实例化所述 VNF实例时签发的 PSK进行比较；

结合本发明第五方面可能的实施方式中，或者结合本发明第五方面的第一种可能的实施方式中，或者结合本发明第五方面的第二种可能的实施方式中，或者结合本发明第五方面的第三种可能的实施方式中，或者结合本发明第五方面的第四种可能的实施方式中，或者结合本发明第五方面的第五种可能的实施方式中，第六种可能的实施方式，所述设备还包括：处理器，用于在将所述证书发送给所述 VNF实例时，利用所述证书建立与所述 VNF实例之间的管理通道。

根据本发明的第六方面，提供了一种证书获取设备，包括：

信号接收器，用于接收 VNF框架中管理虚拟基础设施 VIM发送证书申请代理消息，其中，所述证书申请代理消息中包含了请求申请证书的 VNF实信号发射器，用于向证书认证中心 CA发送证书申请消息，其中，所述证书申请消息中包含了所述 VNF实例用于申请证书的证书申请信息；

所述信号接收器，还用于接收所述 CA签发的证书；

所述信号发射器，还用于将所述证书发送给所述 VIM, 其中，所述证书是所述 CA根据所述证书申请信息中包含了所述 VNF实例用于申请证书的证书申请信息生成的。

结合本发明第六方面可能的实施方式中，第一种可能的实施方式，所述证书申请代理消息是由所述 VIM根据接收到的证书申请信息生成的，其中，所述证书申请信息由所述 VNF实例根据初始化参数得到，并由所述 VNF实述 VIM的。

结合本发明第六方面的第一方面可能的实施方式中，第二种可能的实施方式，所述初始化参数包含了 CA信息、证书管理域的域名，由虚拟化功能网络编排器 NFVO确定实例化所述 VNF实例时得到。

根据本发明的第七方面，提供了一种证书获取设备，包括：

信号接收器，用于接收虚拟化网络功能 VNF实例发送的证书申请消息，其中，所述证书申请消息中包含了临时证书和用于申请证书的证书申请信息，所述临时证书是由虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实例时从所述 CA中申请的，并经由 VNF框架中管理虚拟基础设施 VIM, NFV 处理器，用于利用所述临时证书对所述 VNF实例进行认证，并在认证通过时，根据所述证书申请消息中包含的用于申请证书的证书申请信息，签发证书给所述 VNF实例。

根据本发明的第八方面，提供了一种证书获取设备，包括：

信号接收器，用于接收虚拟机 VM发送的证书申请消息，其中，所述证书申请消息中包含了用于申请证书的公钥；

信号发射器，用于向证书认证中心 CA发送证书申请代理消息，其中，所述证书申请代理消息中包含了所述 VM用于申请证书的公钥；

所述信号接收器，还用于接收所述 CA签发的证书；

所述信号发射器，还用于将所述证书发送给所述 VM, 其中，所述证书由所述 CA根据所述证书申请代理消息中包含了所述 VM用于申请证书的公钥签名得到的。

结合本发明第八方面可能的实施方式中，第一种可能的实施方式，所述信号发射器，具体用于向虚拟网络功能框架中管理虚拟基础设施 VIM发送证书申请代理消息，并由所述 VIM将所述证书申请代理消息转发至证书认证中心 CA。

结合本发明第八方面可能的实施方式中，或者结合本发明第八方面第一种可能的实施方式中，第二种可能的实施方式，所述设备还包括：

处理器，用于在所述 VM接收到所述证书时，建立所述 VM与所述 VM 的管理设备之间建立的管理通道。

结合本发明第八方面可能的实施方式中，或者结合本发明第八方面第一种可能的实施方式中，或者结合本发明第八方面第二种可能的实施方式中，第三种可能的实施方式，所述公钥由所述 VM根据初始化参数生成，其中，所述初始化参数包含了 CA信息、证书管理域的域名，由虚拟网络功能框架中管理虚拟基础设施 VIM在接收到虚拟化功能网络编排器 NFVO发送的生成所述 VM时得到。

根据本发明的第九方面，提供了一种证书获取方法，包括：

虚拟化网络功能管理设备 VNFM接收 VNF实例发送的证书申请代理消息，其中，所述证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息，所述验证信息用于在所述 VNF实例与所述 VNFM之间建立代理申请证书通道；

所述 VNFM利用所述验证信息对所述 VNF实例进行验证，并在验证通过时，向证书认证中心 CA发送证书申请消息，其中，所述证书申请消息中包含了用于申请证书的证书申请信息；

所述 VNFM接收所述 CA签发的证书，并将所述证书发送给所述 VNF实例，其中，所述证书是所述 CA根据所述证书申请消息中包含了用于申请证书的证书申请信息生成的。

结合本发明第九方面可能的实施方式中，第一种可能的实施方式，所述验证信息为临时证书，其中，所述临时证书是由虚拟化功能网络编排器 NFVO 中管理虚拟基础设施 VIM, NFV基础设施 NFVI和所述 VNF运行的虚拟机 VM传输至所述 VNF实例的。

结合本发明第九方面的第一种可能的实施方式中，第二种可能的实施方式，所述 VNFM利用所述验证信息对所述 VNF实例进行验证，包括：

所述 VNFM将接收到的临时证书与 NFVO确定需要实例化所述 VNF实例时从所述 VNFM中申请的临时证书进行比较；

结合本发明第九方面可能的实施方式中，第三种可能的实施方式，所述验证信息为预共享密钥 PSK, 其中，所述 PSK是由虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实例时生成的，并经由 VNF框架中管理虚拟基础设施 VIM、NFV基础设施 NFVI和所述 VNF运行的虚拟机 VM传输至所述 VNF实例的。

结合本发明第九方面的第三种可能的实施方式中，第四种可能的实施方式 , 所述虚拟化网络功能 VNF管理设备 VNFM接收 VNF实例发送的证书申请代理消息，包括：

所述 VNFM向所述 VNF实例发送 PSK, 并接收 VNF实例发送的证书申请代理消息，其中，所述证书申请代理消息是所述 VNF实例在确定本地注入的。

结合本发明第九方面的第四种可能的实施方式中，第五种可能的实施方式，所述 VNFM利用所述验证信息对所述 VNF实例进行验证，包括：

所述 VNFM将接收到的 PSK与 NFVO确定需要实例化所述 VNF实例时签发的 PSK进行比较；

所述 VNFM在确定接收到的 PSK与 NFVO确定需要实例化所述 VNF实例时签发的 PSK相同或关联时，确定对所述 VNF实例的验证通过；

所述 VNFM在确定接收到的 PSK与 NFVO确定需要实例化所述 VNF实例时签发的 PSK不相同或不关联时，确定对所述 VNF实例的验证未通过。

结合本发明第九方面可能的实施方式中，或者结合本发明第九方面的第一种可能的实施方式中，或者结合本发明第九方面的第二种可能的实施方式中，或者结合本发明第九方面的第三种可能的实施方式中，或者结合本发明第九方面的第四种可能的实施方式中，或者结合本发明第九方面的第五种可能的实施方式中，第六种可能的实施方式，所述方法还包括：

所述 VNFM在将所述证书发送给所述 VNF实例时，利用所述证书建立与所述 VNF实例之间的管理通道。

根据本发明的第十方面，提供了一种证书获取方法，包括：

虚拟化网络功能 VNF管理设备 VNFM接收 VNF框架中管理虚拟基础设施 VIM发送证书申请代理消息，其中，所述证书申请代理消息中包含了请求申请证书的 VNF实例和所述 VNF实例用于申请证书的证书申请信息；所述 VNFM向证书认证中心 CA发送证书申请消息，其中，所述证书申请消息中包含了所述 VNF实例用于申请证书的证书申请信息；

所述 VNFM接收所述 CA签发的证书，并将所述证书发送给所述 VIM, 其中，所述证书是所述 CA根据所述证书申请信息中包含了所述 VNF实例用于申请证书的证书申请信息生成的。

结合本发明第十方面可能的实施方式中，第一种可能的实施方式，所述证书申请代理消息是由所述 VIM根据接收到的证书申请信息生成的，其中，所述证书申请信息由所述 VNF实例根据初始化参数得到，并由所述 VNF实述 VIM的。

结合本发明第十方面的第一方面可能的实施方式中，第二种可能的实施方式，所述初始化参数包含了 CA信息、证书管理域的域名，由虚拟化功能网络编排器 NFVO确定实例化所述 VNF实例时得到。

根据本发明的第十一方面，提供了一种证书获取方法，包括：

证书认证中心 CA接收虚拟化网络功能 VNF实例发送的证书申请消息，其中，所述证书申请消息中包含了临时证书和用于申请证书的证书申请信息，所述临时证书是由虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实例时从所述 CA中申请的，并经由 VNF框架中管理虚拟基础设施 VIM, NFV 所述 CA利用所述临时证书对所述 VNF实例进行认证，并在认证通过时 , 根据所述证书申请消息中包含的用于申请证书的证书申请信息，签发证书给所述 VNF实例。

根据本发明的第十二方面，提供了一种证书的获取方法，包括：虚拟网络功能基础设备 NFVI接收虚拟机 VM发送的证书申请消息，其中，所述证书申请消息中包含了用于申请证书的公钥；

所述 NF VI向证书认证中心 CA发送证书申请代理消息，其中，所述证书申请代理消息中包含了所述 VM用于申请证书的公钥；

所述 NFVI接收所述 CA签发的证书，并将所述证书发送给所述 VM, 其中，所述证书由所述 CA根据所述证书申请代理消息中包含了所述 VM用于申请证书的公钥签名得到的。

结合本发明第十二方面可能的实施方式中，第一种可能的实施方式，所述 NF VI向证书认证中心 CA发送证书申请代理消息 , 包括：

所述 NFVI向虚拟网络功能框架中管理虚拟基础设施 VIM发送证书申请代理消息，并由所述 VIM将所述证书申请代理消息转发至证书认证中心 CA。

结合本发明第十二方面可能的实施方式中，或者结合本发明第十二方面第一种可能的实施方式中，第二种可能的实施方式，所述方法还包括：

在所述 VM接收到所述证书时，建立所述 VM与所述 VM的管理设备之间建立的管理通道。

4结合本发明第十二方面可能的实施方式中，或者结合本发明第十二方面第一种可能的实施方式中，或者结合本发明第十二方面第二种可能的实施方式中，第三种可能的实施方式，所述公钥由所述 VM根据初始化参数生成，其中，所述初始化参数包含了 CA信息、证书管理域的域名，由虚拟网络功能框架中管理虚拟基础设施 VIM在接收到虚拟化功能网络编排器 NFVO发送的生成所述 VM时得到。

本发明实施例 VNFM接收 VNF实例发送证书申请代理消息，证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息，验证信息用于在 VNF实例与 VNFM之间建立代理申请证书通道； VNFM利用验证信息对 VNF 实例进行验证，并在验证通过时，向 CA发送证书申请消息，证书申请消息中包含了用于申请证书的证书申请信息； VNFM接收 CA签发的证书，并将证书发送给 VNF实例 , 这样 , 实例化的 VNF实例通过 VNFM与证书认证中心之间的信任链路申请证书认证中心签发的证书，有效保证了 VNF实例申请证书的合法性，确保了 VNF实例与 VNFM之间通过证书认证中心签发的证书建立管理通道的安全性。附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图 1为本发明实施例一提供的一种证书获取方法的流程示意图；图 2为本发明实施例二提供的一种证书获取方法的流程示意图；图 3为本发明实施例三提供的一种证书获取方法的流程示意图；图 4为本发明实施例四提供的一种证书获取方法的流程示意图；图 5为一种证书获取方法的流程示意图；

图 6为本发明实施例五提供的一种证书获取设备的结构示意图；图 7为本发明实施例六提供的一种证书获取设备的结构示意图；图 8为本发明实施例七提供的一种证书获取设备的结构示意图；图 9为本发明实施例八提供的一种证书获取设备的结构示意图；图 10为本发明实施例九提供的一种证书获取设备的结构示意图；图 11为本发明实施例十提供的一种证书获取设备的结构示意图；图 12为本发明实施例十一提供的一种证书获取设备的结构示意图；图 13为本发明实施例十二提供的一种证书获取设备的结构示意图。具体实施方式

为了实现本发明的目的，本发明实施例提供了一种证书的获取方法和设备， VNFM接收 VNF实例发送证书申请代理消息，证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息，验证信息用于在 VNF 实例与 VNFM之间建立代理申请证书通道； VNFM利用验证信息对 VNF实例进行验证，并在验证通过时，向 CA发送证书申请消息，证书申请消息中包含了用于申请证书的证书申请信息； VNFM接收 CA签发的证书，并将证书发送给 VNF 实例 ,这样 , 实例化的 VNF实例通过 VNFM与证书认证中心之间的信任链路申请证书认证中心签发的证书，有效保证了 VNF实例申请证书的合法性，确保了 VNF实例与 VNFM之间通过证书认证中心签发的证书建立管理通道的安全性。

需要说明的是，由于 VNF实例在实例化之后，属于一个新的虚拟网元，与虚拟网络中的其他网元尚未建立信任链路，与证书认证中心（Certificate Authority, CA ) , 彼此属于不信任网元，因此，无法直接从 CA处申请证书，本发明实施例通过证书申请代理的方式使得 VNF实例申请到合法证书。

下面结合说明书附图对本发明各个实施例进行详细描述。

实施例一：

如图 1所示，为本发明实施例一提供的一种证书获取方法的流程示意图。所述方法可以如下所述。

步骤 101 : 虚拟化网络功能 VNF管理设备 VNFM接收 VNF实例发送证书申请代理消息。

其中，所述证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息，所述验证信息用于在所述 VNF实例与所述 VNFM之间建立代理申请证书通道。

需要说明的是，证书申请信息至少包含了：证书格式、域名、证书认证中心信息等。

在步骤 101中，在虚拟网络中，完成对 VNF实例化后，为了确保实例化 VNF实例与其他虚拟网元之间通信的安全性，需要为实例化的 VNF实例申请证书。

具体地， NFVO在接收到实例化 VNF实例指令时，确定后续用于建立所述 VNF实例与所述 VNFM之间代理申请证书通道的验证信息，并将确定的验证信息携带在实例化 VNF指令中发送给 VIM, 由 VIM将实例化 VNF指令发送给 NFVI, 请求 NFVI为该 VNF实例分配 VM, 完成 VNF实例化。

NFVI给该 VNF实例分配 VM以及完成该 VNF实例化时，将实例化 VNF 指令中携带的确定的验证信息注入该 VNF实例。

可选地，验证信息的形式包括但不限于以下形式：

第一种情形：

所述验证信息为临时证书。

其中，所述临时证书是由虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实例时从所述 VNFM中申请的，并经由 VNF框架中管理虚拟基础设施 VIM、 NFV基础设施 NFVI和所述 VNF运行的虚拟机 VM传输至所述 VNF实例的。

需要说明的是，虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF 实例时从所述 VNFM中申请得到的临时证书 , 由 VNFM通过特殊方式生成 , 而由 VNFM生成的临时证书仅能被 VNFM信任，虚拟网络中的其他网元不能信任该临时证书。

可选地，所述临时证书是由虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实例时从 CA中申请的，并经由 VNF框架中管理虚拟基础设施 VIM, NFV基础设施 NFVI和所述 VNF运行的虚拟机 VM传输至所述 VNF 的。

虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实例时从 CA中申请临时证书的前提是：

CA通过特殊方式（例如：使用特定公私钥为临时证书签名）得到临时证书，且临时证书仅能被 CA信任，其他网元不信任该临时证书。

VNFO、 VIM和 NFVI之间在传输临时证书时 , 还可以传输与临时证书对应的私钥，但是私钥在多个网元间传输，存在安全风险，因此，本实施例中需要保证 VNFO、 VIM和 NFVI之间的通信安全 , 以保证用于申请证书的私钥不被泄露。同时临时证书在本实施例中仅能使用一次，以防止多次使用过程中出现临时证书被恶意网元获取的风险，进一步保证了虚拟网络中各个网元之间通信的安全性。

第二种情形：所述验证信息为预共享密钥 PSK。

其中，所述 PSK是由虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实例时生成的，并经由 VNF框架中管理虚拟基础设施 VIM, NFV基础需要说明的是，预共享密钥由 NFVO生成，并发送给 VNFM,以便于 VNF 实例与 VNFM之间的初始通信通过该 PSK完成。

需要说明的是，所谓预共享密钥，预先配置给需要通信的两端，通信的两端通过预共享密钥建立通信。预共享密钥可以是对称密钥，即通信双方持有的密钥相同，也可以是非对称密钥，即通信双方持有的密钥不相同，例如，公私密钥对。

为了保证申请证书的合法性，该 VNF实例釆用证书申请代理的方式申请证书。

此时，该 VNF实例可以利用确定的验证信息和用于申请证书的证书申请信息申请证书。

该 VNF实例向 VNFM发送证书申请代理消息，其中，所述证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息。

需要说明的是,假设该 VNF实例接收到的验证信息是预共享密钥（ PSK ), 那么为了确保证书申请代理者 VNFM身份的合法性，该 VNF实例向 VNFM 发送证书申请代理信息之前，需要通过预共享密钥对 VNFM身份进行验证。

具体地，所述 VNFM 向所述 VNF 实例发送存储在本地的预共享密钥 ( PSK ), 并接收所述 VNF实例发送的证书申请代理消息，其中，所述证书申请代理消息是所述 VNF实例在确定本地注入的 PSK与接收到的所述 VNFM 发送的 PSK相同或者关联时向所述 VNFM发送的。

步骤 102: 所述 VNFM利用所述验证信息对所述 VNF实例进行验证，并在验证通过时，向证书认证中心 CA发送证书申请消息。

其中，所述证书申请消息中包含了用于申请证书的证书申请信息。

在步骤 102中，所述 VNFM利用所述验证信息对所述 VNF实例进行验证的方式包括但不限于：

假设所述验证信息是步骤 101 中第一种情形中描述的临时证书时，所述 VNFM在接收到所述证书申请代理消息中包含的临时证书时，将接收到的临时证书与 NFVO确定需要实例化所述 VNF实例时从所述 VNFM中申请的临时证书进行比较；

假设所述验证信息是步骤 101 中第二种情形中描述的预共享密钥时，所述 VNFM在接收到所述证书申请代理消息中包含的 PSK时，将接收到的 PSK 与 NFVO确定需要实例化所述 VNF实例时签发的 PSK进行比较；

所述 VNFM在确定接收到的 PSK与 NFVO确定需要实例化所述 VNF实例时签发的 PSK相同或者关联时，确定对所述 VNF实例的验证通过；

所述 VNFM在确定接收到的 PSK与 NFVO确定需要实例化所述 VNF实例时签发的 PSK不相同或者不关联时，确定对所述 VNF实例的验证未通过。

步骤 103: 所述 VNFM接收所述 CA签发的证书，并将所述证书发送给所述 VNF实例。

其中，所述证书是所述 CA根据所述证书申请消息中包含了用于申请证书的证书申请信息生成的。

在步骤 103中，所述 VNFM在接收所述 CA签发的证书时，确定虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实例时从所述 VNFM或者从 CA中申请得到的临时证书，或虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实例时生成的预共享密钥失效，也就意味着，临时证书或预共享密钥在在接收所述 CA签发的证书时将不再被 VNFM信任。在本发明实施例中，所述方法还包括：

通过本发明实施例一的方案， VNFM接收 VNF实例发送证书申请代理消息，证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息，验证信息用于在 VNF实例与 VNFM之间建立代理申请证书通道； VNFM利用验证信息对 VNF实例进行验证，并在验证通过时，向 CA发送证书申请消息，证书申请消息中包含了用于申请证书的证书申请信息； VNFM接收 CA 签发的证书 ,并将证书发送给 VNF实例 ,这样，实例化的 VNF实例通过 VNFM 与证书认证中心之间的信任链路申请证书认证中心签发的证书，有效保证了 VNF实例申请证书的合法性，确保了 VNF实例与 VNFM之间通过证书认证中心签发的证书建立管理通道的安全性。

实施例二：

如图 2所示，为本发明实施例二提供的一种证书获取方法的流程示意图。所述方法可以如下所述。

本发明实施例二实施的前提是 NF VO、 VIM和 NF VI相互合作，生成 VM , 并在 VN上启动运行 VNF实例。

需要说明的是， VM与 VIM之间建立了安全的信任链接。

VM 与 VIM之间建立了安全的信任链接通过后续实施例四进行详细说明，这里不做描述。

步骤 201：虚拟化网络功能 VNF管理设备 VNFM接收 VNF框架中管理虚拟基础设施 VIM发送证书申请代理消息。

其中，所述证书申请代理消息中包含了请求申请证书的 VNF实例和所述 VNF实例用于申请证书的证书申请信息。

在步骤 201中，在虚拟网络中，完成对 VNF实例化后，为了确保实例化 VNF实例与其他虚拟网元之间通信的安全性，需要为实例化的 VNF实例申请证书。

具体地， NFVO在接收到实例化 VNF实例指令时，将实例化 VNF指令中发送给 VIM, 由 VIM将实例化 VNF指令发送给 NFVI, 请求 NFVI为该 VNF实例分配 VM, 完成 VNF实例化。

其中，所述实例化 VNF指令中包含了 VNF实例的初始化参数。

NFVI给该 VNF实例分配 VM以及完成该 VNF实例化时，将实例化 VNF 指令中包含的 VNF实例的初始化参数注入该 VNF实例。

此时，该 VNF实例根据初始化参数得到证书申请信息。

所述初始化参数包含了 CA信息、证书管理域的域名。

同时，该 VNF实例根据初始化参数生成公私密钥对。

其中，私钥存储在该 VNF实例本地，公钥携带在证书申请信息中发送给该 VNF实例运行的 VM。

需要说明的是，由于该 VNF实例运行在 VM上，认定该 VNF实例与 VM 之间建立了信任链路。

由于 VM与 VIM之间建立了安全的信任链接， VM在接收到 VNF实例书申请代理消息。

其中，所述证书申请代理消息中包含了用于申请证书的证书申请信息。所述 VIM在接收到证书申请代理消息时，将所述证书申请代理消息转发给 VNFM , 由 VNFM作为证书申请代理者，向证书认证中心 CA申请证书。

需要说明的是， VNFM预先与证书认证中心 CA建立可信安全的传输通道。

步骤 202：所述 VNFM向证书认证中心 CA发送证书申请消息。

其中，所述证书申请信息中包含了用于申请证书的证书申请信息。步骤 203: 所述 VNFM接收所述 CA签发的证书，并将所述证书发送给所述 VIM。

在步骤 203中，所述 VNFM接收所述 CA签发的证书，并将所述证书发送给所述 VIM后，由所述 VIM利用与 VM之间的传输通道将所述证书发送给 VM, 再由 VM发送给 VNF实例，使得 VNF实例通过本地存储的私钥对接收到证书进行验证，并在验证通过时，利用所述证书建立与 VNFM之间的管理通道。

通过本发明实施例二的方案，实例化的 VNF实例利用 VM与 VIM之间的可信安全的传输通道将证书申请代理信息发送给 VNFM, 再通过 VNFM与证书认证中心之间的信任链路申请证书认证中心签发的证书，有效保证了 VNF实例申请证书的合法性，进一步确保了 VNF实例与 VNFM之间利用证书认证中心签发的证书建立的管理通道的安全性。

实施例三：

如图 3所示，为本发明实施例三提供的一种证书获取方法的流程示意图。所述方法可以如下所述。

本发明实施例三实施例的前提是 NFVO在确定实例化 VNF实例时 ,从证书认证中心 CA处申请一个临时证书，该临时证书用于 VNF实例申请合法证书。

需要说明的是， NFVO确定实例化 VNF实例过程中， NFVO, VIM, NFVI 之间建立可信的传输通道，使得实例化 VNF实例的过程不会被攻击，且传输的临时证书不会被泄露。

步骤 301 : 证书认证中心 CA接收虚拟化网络功能 VNF实例发送的证书申请消息。

其中 , 所述证书申请消息中包含了临时证书和用于申请证书的证书申请信息，所述临时证书是由虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实例时从所述 CA中申请的 ,并经由 VNF框架中管理虚拟基础设施 VIM, 需要说明的是，证书申请信息至少包含了：证书格式、域名、证书认证中心信息等。

在步骤 301中，在虚拟网络中，完成对 VNF实例化后，为了确保实例化 VNF实例与其他虚拟网元之间通信的安全性，需要为实例化的 VNF实例申请证书。

其中，所述实例化 VNF指令中包含了 VNF实例的初始化参数。

此时，该 VNF实例根据初始化参数得到证书申请信息。

所述初始化参数包含了 CA信息、证书管理域的域名。由虚拟化功能网络编排器 NFVO确定实例化所述 VNF实例时生成，并由 NFVI给该 VNF实例分配 VM以及完成该 VNF实例化时注入。

该 VNF实例根据初始化参数生成用于申请证书的公私密钥对。

其中，私钥存储在该 VNF实例本地。

公钥携带在证书申请信息中发送给证书认证中心 CA。

需要说明的是，该 VNF实例根据注入的证书认证中心 CA, 将临时证书以及用于申请证书的证书申请信息携带在证书申请消息中发送给所述 CA。

步骤 302：所述 CA利用所述临时证书对所述 VNF实例进行认证，并在认证通过时，根据所述证书申请消息中包含的用于申请证书的证书申请信息，签发证书给所述 VNF实例。

在步骤 302中，所述 CA在接收到证书申请消息时，利用证书申请消息中包含的临时证书对 VNF实例进行认证 , 并在认证通过时 , 根据所述证书申请消息中包含的用于申请证书的证书申请信息，签发证书给所述 VNF实例。在本发明实施例中，所述方法还包括：

所述 VNF实例获取证书之后，通过本地存储的私钥对接收到证书进行验证，并在验证通过时 , 利用所述证书建立与 VNFM之间的管理通道。

通过本发明实施例三的方案，实例化的 VNF实例利用 NFVO确定实例化 VNF实例时申请的临时证书，与 CA之间建立了申请证书的可信通道，有效保证了 VNF实例申请证书的合法性，进一步确保了 VNF实例与 VNFM之间利用证书认证中心签发的证书建立的管理通道的安全性。

实施例四：

如图 4所示，为本发明实施例四提供的一种证书获取方法的流程示意图。所述方法可以如下所述。

本发明实施例四具体描述 VM与 VMM或者 VIM之间建立管理通道的方法。

步骤 401：虚拟网络功能基础设备 NFVI接收虚拟机 VM发送的证书申请消息。

在步骤 401中，在虚拟网络中，完成对 VNF实例化后，为了确保实例化 VNF实例与其他虚拟网元之间通信的安全性，需要为实例化的 VNF实例申请证书。

由于 VFN实例运行的虚拟资源 VM是在需要实例化 VNF实例时分配的，因此，在分配 VM之后，需要建立 VM与 VMM之间的管理通道，这样保证了 VM的合法性，进而使得 VNF实例的合法性增强。

具体地， NFVO在接收到实例化 VNF实例指令时，将实例化 VNF指令中发送给 VIM, 由 VIM将实例化 VNF指令发送给 NFVI, 请求 NFVI为该 VNF实例分配 VM, 完成 VNF实例化。 NFVI根据实例化 VNF指令为 VNF实例分配 VM。

其中， VIM向 NFVI发送请求分配虚拟资源信息，其中，所述请求分配虚拟资源信息中包含了证书申请的初始化参数等。

NFVI根据实例化 VNF指令为 VNF实例分配 VM后，将证书申请的初始化参数注入 VM。

VM启动时，根据初始化参数生成公私密钥对。

所述初始化参数包含了 CA信息、证书管理域的域名，由虚拟网络功能框架中管理虚拟基础设施 VIM在接收到虚拟化功能网络编排器 NFVO发送的生成所述 VM时得到。

其中，私钥存储在 VM本地，公钥用于申请证书，携带在证书申请信息中。

此时， VM向 NFVI发送证书申请消息。

步骤 402：所述 NFVI向证书认证中心 CA发送证书申请代理消息。

其中，所述证书申请代理消息中包含了所述 VM用于申请证书的证书申请信息。

在步骤 402中，所述 NFVI向证书认证中心 CA发送证书申请代理消息的方式包括但不限于：

第一种方式：

所述 NFVI与证书认证中心 CA之间预先建立可信的传输通道，此时，所述 NFVI直接向证书认证中心 CA发送证书申请代理消息。

第二种方式：

所述 VIM与证书认证中心 CA之间预先建立可信的传输通道。

如图 5所示，为一种证书获取方法的流程示意图。

具体地，所述 NFVI在接收到 VM发送证书申请消息，生成证书申请代理消息，并将该证书申请代理消息发送给 VIM, 由所述 VIM将所述证书申请代理消息转发至证书认证中心 CA。

步骤 403: 所述 NFVI接收所述 CA签发的证书，并将所述证书发送给所述 VM。

其中，所述证书由所述 CA根据所述证书申请代理消息中包含了所述 VM 用于申请证书的证书申请信息生成的。

在步骤 403中，所述方法还包括：

在所述 VM接收到所述证书时，通过本地存储的私钥对接收到证书进行验证，并在验证通过时，建立所述 VM与所述 VM的管理设备 ( VMM )之间建立的管理通道。

通过本发明实施例四的方案， VM通过证书申请代理方式申请到合法证书，并建立与 VMM或 VIM之间可信的传输通道，为确保 VNF实例与 VNFM 之间利用证书认证中心签发的证书建立可信的管理通道作了铺垫，有效提升了 VNF实例与 VNFM之间管理通道的安全性。

实施例五：

如图 6所示，为本发明实施例五提供的一种证书获取设备的结构示意图，所述设备包括：接收模块 61和发送模块 62, 其中：

接收模块 61 , 用于接收 VNF实例发送的证书申请代理消息，其中，所述证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息，所述验证信息用于在所述 VNF实例与虚拟化网络功能 VNF管理设备 VNFM之间建立代理申请证书通道；

发送模块 62, 用于利用所述接收模块 61 接收到的所述验证信息对所述 VNF实例进行验证，并在验证通过时，向证书认证中心 CA发送证书申请消息，其中，所述证书申请消息中包含了用于申请证书的证书申请信息；

所述接收模块 61 , 还用于接收所述 CA签发的证书；

所述发送模块 62,还用于将所述接收模块 61接收到的所述证书发送给所述 VNF实例，其中，所述证书是所述 CA根据所述证书申请消息中包含了用于申请证书的证书申请信息生成的。可选地，所述验证信息为临时证书，其中，所述临时证书是由虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实例时从所述 VNFM中申请的 , 并经由 VNF框架中管理虚拟基础设施 VIM, NFV基础设施 NFVI和所述 VNF运行的虚拟机 VM传输至所述 VNF实例的。

所述发送模块 62, 具体用于将接收到的临时证书与 NFVO确定需要实例化所述 VNF实例时从所述 VNFM中申请的临时证书进行比较；

可选地，所述验证信息为预共享密钥 PSK, 其中，所述 PSK是由虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实例时生成的，并经由 VNF 框架中管理虚拟基础设施 VIM, NFV基础设施 NFVI和所述 VNF运行的虚拟机 VM传输至所述 VNF实例的。

所述接收模块 61 , 具体用于向所述 VNF实例发送 PSK, 并接收 VNF实例发送的证书申请代理消息，其中，所述证书申请代理消息是所述 VNF实例在确定本地注入的 PSK与接收到的所述 VNFM发送的 PSK相同或关联时向所述 VNFM发送的。

所述发送模块 62,具体用于将接收到的 PSK与 NFVO确定需要实例化所述 VNF实例时签发的 PSK进行比较；

可选地，所述设备还包括：通道建立模块 63 , 其中：

通道建立模块 63 , 用于在将所述证书发送给所述 VNF实例时，利用所述证书建立与所述 VNF实例之间的管理通道。需要说明的是，本发明实施例中所述的设备可以是虚拟系统中的虚拟化网络功能 VNF管理设备 VNFM , 具备了为 VNF实例代理申请证书的功能，实现方式可以通过硬件实现，也可以通过软件方式实现，这里不做限定。

实施例六：

如图 7所示，为本发明实施例六提供的一种证书获取设备的结构示意图，所述设备包括：接收模块 71和发送模块 72, 其中：

接收模块 71 , 用于接收 VNF框架中管理虚拟基础设施 VIM发送证书申请代理消息，其中，所述证书申请代理消息中包含了请求申请证书的 VNF实发送模块 72, 用于向证书认证中心 CA发送证书申请消息，其中，所述证书申请消息中包含了所述接收模块 71接收到的所述 VNF实例用于申请证书的证书申请信息；

所述接收模块 71 , 还用于接收所述 CA签发的证书；

所述发送模块 72,还用于将所述接收模块 71接收到的所述证书发送给所述 VIM,其中 ,所述证书是所述 CA根据所述证书申请信息中包含了所述 VNF 实例用于申请证书的证书申请信息生成的。

可选地，所述证书申请代理消息是由所述 VIM根据接收到的证书申请信息生成的，其中，所述证书申请信息由所述 VNF实例根据初始化参数得到，并由所述 VNF实例发送给所述 VM, 再由所述 VM通过与所述 VIM之间的安全通道发送给所述 VIM的。

可选地，所述初始化参数包含了 CA信息、证书管理域的域名，由虚拟化功能网络编排器 NFVO确定实例化所述 VNF实例时得到。

需要说明的是，本发明实施例中所述的设备可以是虚拟系统中的虚拟化网络功能 VNF管理设备 VNFM , 具备了为 VNF实例代理申请证书的功能，实现方式可以通过硬件实现，也可以通过软件方式实现，这里不做限定。

实施例七：

如图 8所示，为本发明实施例提供的一种证书获取设备的结构示意图，所述设备包括：接收模块 81和签发模块 82, 其中：

接收模块 81 , 用于接收虚拟化网络功能 VNF实例发送的证书申请消息，其中，所述证书申请消息中包含了临时证书和用于申请证书的证书申请信息，所述临时证书是由虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实例时从所述 CA中申请的，并经由 VNF框架中管理虚拟基础设施 VIM, NFV 签发模块 82, 用于利用所述接收模块 81 接收到的所述临时证书对所述 VNF 实例进行认证，并在认证通过时，根据所述证书申请消息中包含的用于申请证书的证书申请信息，签发证书给所述 VNF实例。

CA之外，还可以是其他具备证书认证功能的其他设备，这里不做限定，实现方式可以通过硬件实现，也可以通过软件方式实现，这里不做限定。

实施例八：

如图 9所示，为本发明实施例八提供的一种证书获取设备的结构示意图，所述设备包括：接收模块 91和发送模块 92, 其中：

接收模块 91 , 用于接收虚拟机 VM发送的证书申请消息，其中，所述证书申请消息中包含了用于申请证书的公钥；

发送模块 92, 用于向证书认证中心 CA发送证书申请代理消息，其中，所述证书申请代理消息中包含了所述接收模块接收到的所述 VM用于申请证书的公钥；

所述接收模块 91 , 用于接收所述 CA签发的证书；

所述发送模块 92,用于将所述接收模块 91接收到的所述证书发送给所述 VM, 其中，所述证书由所述 CA根据所述证书申请代理消息中包含了所述 VM用于申请证书的公钥签名得到的。

可选地，所述发送模块 92, 具体用于向虚拟网络功能框架中管理虚拟基础设施 VIM发送证书申请代理消息，并由所述 VIM将所述证书申请代理消息转发至证书认证中心 CA。可选地，所述设备还包括：通道建立模块 93 , 其中：

通道建立模块 93 , 用于在所述 VM接收到所述证书时，建立所述 VM与所述 VM的管理设备之间的管理通道。

可选地，所述公钥由所述 VM根据初始化参数生成，其中，所述初始化参数包含了 CA信息、证书管理域的域名，由虚拟网络功能框架中管理虚拟基础设施 VIM在接收到虚拟化功能网络编排器 NFVO发送的生成所述 VM时得到。

需要说明的是，本发明实施例中所述的设备可以是虚拟网络功能基础设备 NFVI, 具备了为 VM代理申请证书的功能，实现方式可以通过硬件实现，也可以通过软件方式实现，这里不做限定。

实施例九：

如图 10所示，为本发明实施例九提供的一种证书获取设备的结构示意图，所述设备包括：信号接收器 1011和信号发射器 1012, 其中：信号接收器 1011 和信号发射器 1012通过通信总线 1013进行通信。

信号接收器 1011 , 用于接收 VNF实例发送的证书申请代理消息，其中，所述证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息，所述验证信息用于在所述 VNF实例与虚拟化网络功能 VNF管理设备 VNFM 之间建立代理申请证书通道；

信号发射器 1012, 用于利用所述验证信息对所述 VNF实例进行验证，并在验证通过时，向证书认证中心 CA发送证书申请消息，其中，所述证书申请消息中包含了用于申请证书的证书申请信息；

所述信号接收器 1011 , 还用于接收所述 CA签发的证书；

所述信号发射器 1012, 还用于将所述证书发送给所述 VNF实例，其中，所述证书是所述 CA根据所述证书申请消息中包含了用于申请证书的证书申请信息生成的。

可选地，所述验证信息为临时证书，其中，所述临时证书是由虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实例时从所述 VNFM中申请的 , 并经由 VNF框架中管理虚拟基础设施 VIM, NFV基础设施 NFVI和所述 VNF运行的虚拟机 VM传输至所述 VNF实例的。

所述信号发射器 1012, 具体用于将接收到的临时证书与 NFVO确定需要实例化所述 VNF实例时从所述 VNFM中申请的临时证书进行比较；

所述信号接收器 1011 , 具体用于向所述 VNF实例发送 PSK, 并接收所述 VNF实例发送的证书申请代理消息，其中，所述证书申请代理消息是所述 VNF 实例在确定本地注入的 PSK 与接收到的所述 PSK相同或关联时，向所述 VNFM发送的。

所述信号发射器 1012,具体用于将接收到的 PSK与 NFVO确定需要实例化所述 VNF实例时签发的 PSK进行比较；

可选地，所述设备还包括：处理器 1014, 其中：

处理器 1014, 用于在将所述证书发送给所述 VNF实例时，利用所述证书建立与所述 VNF实例之间的管理通道。处理器 1014 可以是一个通用中央处理器（CPU ), 微处理器，特定应用集成电路 ( application-specific integrated circuit, ASIC), 或一个或多个用于控制本发明方案程序执行的集成电路。

所述通信总线 1013可包括一通路，在上述组件之间传送信息。

实施例十：

如图 11所示，为本发明实施例十提供的一种证书获取设备的结构示意图，所述设备包括：信号接收器 1111和信号发射器 1112, 其中，所述信号接收器 1111和信号发射器 1112通过通信总线 1113连接。

信号接收器 1111 , 用于接收 VNF框架中管理虚拟基础设施 VIM发送证书申请代理消息，其中，所述证书申请代理消息中包含了请求申请证书的 VNF 实例和所述 VNF实例用于申请证书的证书申请信息；

信号发射器 1112, 用于向证书认证中心 CA发送证书申请消息，其中，所述证书申请消息中包含了所述 VNF实例用于申请证书的证书申请信息；所述信号接收器 1111 , 还用于接收所述 CA签发的证书；

所述信号发射器 1112, 还用于将所述证书发送给所述 VIM, 其中，所述证书是所述 CA根据所述证书申请信息中包含了所述 VNF实例用于申请证书的证书申请信息生成的。

实施例十一：

如图 12所示，为本发明实施例十一提供的一种证书获取设备的结构示意图，所述设备包括：信号接收器 1211和处理器 1212, 其中，所述信号接收器 1211和处理器 1212通过通信总线 1213连接。

信号接收器 1211 ,用于接收虚拟化网络功能 VNF实例发送的证书申请消息，其中，所述证书申请消息中包含了临时证书和用于申请证书的证书申请信息，所述临时证书是由虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实例时从所述 CA中申请的 ,并经由 VNF框架中管理虚拟基础设施 VIM, 处理器 1212, 用于利用所述临时证书对所述 VNF实例进行认证，并在认证通过时，根据所述证书申请消息中包含的用于申请证书的证书申请信息，签发证书给所述 VNF实例。

处理器 1212 可以是一个通用中央处理器（CPU ), 微处理器，特定应用集成电路 ( application-specific integrated circuit, ASIC), 或一个或多个用于控制本发明方案程序执行的集成电路。

所述通信总线 1213可包括一通路，在上述组件之间传送信息。

实施例十二：

如图 13所示，为本发明实施例十二提供的一种证书获取设备的结构示意图，所述设备包括：信号接收器 1311和信号发射器 1312, 其中，所述信号接收器 1311和信号发射器 1312通过通信总线 1313连接。

信号接收器 1311 , 用于接收虚拟机 VM发送的证书申请消息，其中，所述证书申请消息中包含了用于申请证书的公钥；信号发射器 1312, 用于向证书认证中心 CA发送证书申请代理消息，其中，所述证书申请代理消息中包含了所述 VM用于申请证书的公钥；

所述信号接收器 1311 , 还用于接收所述 CA签发的证书；

所述信号发射器 1312, 还用于将所述证书发送给所述 VM, 其中，所述证书由所述 CA根据所述证书申请代理消息中包含了所述 VM用于申请证书的公钥签名得到的。

具体地，所述信号发射器 1312, 具体用于向虚拟网络功能框架中管理虚拟基础设施 VIM发送证书申请代理消息 ,并由所述 VIM将所述证书申请代理消息转发至证书认证中心 CA。

可选地，所述设备还包括：处理器 1314, 其中：

处理器 1314, 用于在所述 VM接收到所述证书时，建立所述 VM与所述 VM的管理设备之间建立的管理通道。

处理器 1314 可以是一个通用中央处理器（CPU ), 微处理器，特定应用集成电路 ( application-specific integrated circuit, ASIC), 或一个或多个用于控制本发明方案程序执行的集成电路。

所述通信总线 1313可包括一通路，在上述组件之间传送信息。

本领域的技术人员应明白，本发明的实施例可提供为方法、装置（设备）、或计算机程序产品。因此，本发明可釆用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可釆用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质 (包括但不限于磁盘存储器、 CD-ROM、光学存储器等）上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、装置（设备）和计算机程序产品的流程图和 /或方框图来描述的。应理解可由计算机程序指令实现流程图和 / 或方框图中的每一流程和 /或方框、以及流程图和 /或方框图中的流程和 /或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims

权利要求

1、一种证书获取设备，其特征在于，包括：

所述接收模块，还用于接收所述 CA签发的证书；

2、如权利要求 1所述的设备，其特征在于，所述验证信息为临时证书，其中，所述临时证书是由虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实例时从所述 VNFM中申请的，并经由 VNF框架中管理虚拟基础设施 VIM, NFV基础设施 NFVI和所述 VNF运行的虚拟机 VM传输至所述 VNF 实例的。

3、如权利要求 2所述的设备，其特征在于，

所述发送模块，具体用于将接收到的临时证书与 NFVO确定需要实例化所述 VNF实例时从所述 VNFM中申请的临时证书进行比较；

4、如权利要求 1所述的设备，其特征在于，所述验证信息为预共享密钥 PSK, 其中，所述 PSK是由虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实例时生成的，并经由 VNF框架中管理虚拟基础设施 VIM、 NFV基

5、如权利要求 4所述的设备，其特征在于，

所述接收模块，具体用于向所述 VNF实例发送 PSK, 并接收 VNF实例发送的证书申请代理消息，其中，所述证书申请代理消息是所述 VNF实例在确定本地注入的 PSK与接收到的所述 VNFM发送的 PSK相同或关联时向所述 VNFM发送的。

6、如权利要求 5所述的设备，其特征在于，所述发送模块，具体用于将接收到的 PSK与 NFVO确定需要实例化所述 VNF实例时签发的 PSK进行比较；

7、如权利要求 1至 6任一所述的设备，其特征在于，所述设备还包括：通道建立模块，用于在将所述证书发送给所述 VNF实例时，利用所述证书建立与所述 VNF实例之间的管理通道。

8、一种证书获取设备，其特征在于，包括：

所述接收模块，还用于接收所述 CA签发的证书；

9、如权利要求 8所述的设备，其特征在于，所述证书申请代理消息是由所述 VIM根据接收到的证书申请信息生成的，其中，所述证书申请信息由所述 VNF实例根据初始化参数得到，并由所述 VNF实例发送给所述 VM,再由

10、如权利要求 9所述的设备，其特征在于，所述初始化参数包含了 CA 信息、证书管理域的域名，由虚拟化功能网络编排器 NFVO确定实例化所述 VNF实例时得到。

11、一种证书获取设备，其特征在于，包括：

接收模块，用于接收虚拟化网络功能 VNF实例发送的证书申请消息，其中，所述证书申请消息中包含了临时证书和用于申请证书的证书申请信息，所述临时证书是由虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实例时从所述 CA中申请的，并经由 VNF框架中管理虚拟基础设施 VIM, NFV 签发模块，用于利用所述接收模块接收到的所述临时证书对所述 VNF实例进行认证，并在认证通过时，根据所述证书申请消息中包含的用于申请证书的证书申请信息，签发证书给所述 VNF实例。

12、一种证书获取设备，其特征在于，包括：

所述接收模块，用于接收所述 CA签发的证书；

13、如权利要求 12所述的设备，其特征在于，

所述发送模块，具体用于向虚拟网络功能框架中管理虚拟基础设施 VIM 发送证书申请代理消息，并由所述 VIM将所述证书申请代理消息转发至证书认证中心 CA。

14、如权利要求 12或 13所述的设备，其特征在于，所述设备还包括：通道建立模块，用于在所述 VM接收到所述证书时，建立所述 VM与所述 VM的管理设备之间的管理通道。

15、如权利要求 12至 14任一所述的设备，其特征在于，所述公钥由所述 VM根据初始化参数生成，其中，所述初始化参数包含了 CA信息、证书管理域的域名，由虚拟网络功能框架中管理虚拟基础设施 VIM在接收到虚拟化功能网络编排器 NFVO发送的生成所述 VM时得到。

16、一种证书获取设备，其特征在于，包括：

所述信号接收器，还用于接收所述 CA签发的证书；

17、如权利要求 16所述的设备，其特征在于，所述验证信息为临时证书，其中，所述临时证书是由虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实例时从所述 VNFM中申请的，并经由 VNF框架中管理虚拟基础设施 VIM, NFV基础设施 NFVI和所述 VNF运行的虚拟机 VM传输至所述 VNF 实例的。

18、如权利要求 17所述的设备，其特征在于，

所述信号发射器，具体用于将接收到的临时证书与 NFVO确定需要实例化所述 VNF实例时从所述 VNFM中申请的临时证书进行比较；

19、如权利要求 16所述的设备，其特征在于，所述验证信息为预共享密钥 PSK, 其中，所述 PSK是由虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实例时生成的，并经由 VNF框架中管理虚拟基础设施 VIM、 NFV

20、如权利要求 19所述的设备，其特征在于，

所述信号接收器，具体用于向所述 VNF实例发送 PSK, 并接收所述 VNF 实例发送的证书申请代理消息，其中，所述证书申请代理消息是所述 VNF实例在确定本地注入的 PSK与接收到的所述 PSK相同或关联时，向所述 VNFM 发送的。

21、如权利要求 20所述的设备，其特征在于，

所述信号发射器，具体用于将接收到的 PSK与 NFVO确定需要实例化所述 VNF实例时签发的 PSK进行比较；

22、如权利要求 16至 21任一所述的设备，其特征在于，所述设备还包处理器，用于在将所述证书发送给所述 VNF实例时，利用所述证书建立与所述 VNF实例之间的管理通道。

23、一种证书获取设备，其特征在于，包括：

所述信号接收器，还用于接收所述 CA签发的证书；

24、如权利要求 23所述的设备，其特征在于，所述证书申请代理消息是由所述 VIM根据接收到的证书申请信息生成的，其中，所述证书申请信息由所述 VNF实例根据初始化参数得到，并由所述 VNF实例发送给所述 VM,再

25、如权利要求 24 所述的设备，其特征在于，所述初始化参数包含了 CA信息、证书管理域的域名，由虚拟化功能网络编排器 NFVO确定实例化所述 VNF实例时得到。

26、一种证书获取设备，其特征在于，包括：

信号接收器，用于接收虚拟化网络功能 VNF实例发送的证书申请消息，其中，所述证书申请消息中包含了临时证书和用于申请证书的证书申请信息，所述临时证书是由虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实例时从所述 CA中申请的，并经由 VNF框架中管理虚拟基础设施 VIM, NFV 基础设施 NFVI和处理器，用于利用所述临时证书对所述 VNF实例进行认证，并在认证通过时，根据所述证书申请消息中包含的用于申请证书的证书申请信息，签发证书给所述 VNF实例。

27、一种证书获取设备，其特征在于，包括：

所述信号接收器，还用于接收所述 CA签发的证书；

28、如权利要求 27所述的设备，其特征在于，

所述信号发射器，具体用于向虚拟网络功能框架中管理虚拟基础设施 VIM发送证书申请代理消息，并由所述 VIM将所述证书申请代理消息转发至证书认证中心 CA。

29、如权利要求 27或 28所述的设备，其特征在于，所述设备还包括：处理器，用于在所述 VM接收到所述证书时，建立所述 VM与所述 VM 的管理设备之间建立的管理通道。

30、如权利要求 27至 29任一所述的设备，其特征在于，所述公钥由所述 VM根据初始化参数生成，其中，所述初始化参数包含了 CA信息、证书管理域的域名，由虚拟网络功能框架中管理虚拟基础设施 VIM在接收到虚拟化功能网络编排器 NFVO发送的生成所述 VM时得到。

31、一种证书获取方法，其特征在于，包括：

32、如权利要求 31所述的方法，其特征在于，所述验证信息为临时证书，其中，所述临时证书是由虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实例时从所述 VNFM中申请的，并经由 VNF框架中管理虚拟基础设施 VIM, NFV基础设施 NFVI和所述 VNF运行的虚拟机 VM传输至所述 VNF 实例的。

33、如权利要求 32所述的方法，其特征在于，所述 VNFM利用所述验证信息对所述 VNF实例进行验证，包括：

34、如权利要求 31所述的方法，其特征在于，所述验证信息为预共享密钥 PSK, 其中，所述 PSK是由虚拟化功能网络编排器 NFVO确定需要实例化所述 VNF实例时生成的，并经由 VNF框架中管理虚拟基础设施 VIM、 NFV

35、如权利要求 34所述的方法，其特征在于，所述虚拟化网络功能 VNF 管理设备 VNFM接收 VNF实例发送的证书申请代理消息，包括：所述 VNFM向所述 VNF实例发送 PSK, 并接收 VNF实例发送的证书申请代理消息，其中，所述证书申请代理消息是所述 VNF实例在确定本地注入的。

36、如权利要求 35所述的方法，其特征在于，所述 VNFM利用所述验证信息对所述 VNF实例进行验证，包括：

37、如权利要求 31至 36任一所述的方法，其特征在于，所述方法还包括：

38、一种证书获取方法，其特征在于，包括：

虚拟化网络功能 VNF管理设备 VNFM接收 VNF框架中管理虚拟基础设施 VIM发送证书申请代理消息，其中，所述证书申请代理消息中包含了请求申请证书的 VNF实例和所述 VNF实例用于申请证书的证书申请信息；

所述 VNFM向证书认证中心 CA发送证书申请消息，其中，所述证书申请消息中包含了所述 VNF实例用于申请证书的证书申请信息；

39、如权利要求 38所述的方法，其特征在于，所述证书申请代理消息是由所述 VIM根据接收到的证书申请信息生成的，其中，所述证书申请信息由所述 VNF实例根据初始化参数得到，并由所述 VNF实例发送给所述 VM,再

40、如权利要求 39 所述的方法，其特征在于，所述初始化参数包含了 CA信息、证书管理域的域名，由虚拟化功能网络编排器 NFVO确定实例化所述 VNF实例时得到。

41、一种证书获取方法，其特征在于，包括：

42、一种证书的获取方法，其特征在于，包括：

虚拟网络功能基础设备 NFVI接收虚拟机 VM发送的证书申请消息，其中，所述证书申请消息中包含了用于申请证书的公钥；

43、如权利要求 42所述的方法，其特征在于，所述 NFVI向证书认证中心 CA发送证书申请代理消息，包括：

44、如权利要求 42或 43所述的方法，其特征在于，所述方法还包括：在所述 VM接收到所述证书时，建立所述 VM与所述 VM的管理设备之间建立的管理通道。

45、如权利要求 42至 44任一所述的方法，其特征在于，所述公钥由所述 VM根据初始化参数生成，其中，所述初始化参数包含了 CA信息、证书管理域的域名，由虚拟网络功能框架中管理虚拟基础设施 VIM在接收到虚拟化功能网络编排器 NFVO发送的生成所述 VM时得到。