WO2018120182A1

WO2018120182A1 - 一种秘密信息的分发方法和设备

Info

Publication number: WO2018120182A1
Application number: PCT/CN2016/113863
Authority: WO
Inventors: 门方龙; 塞尔维亚⋅米哈伊; 李方展
Original assignee: 华为技术有限公司
Priority date: 2016-12-30
Filing date: 2016-12-30
Publication date: 2018-07-05
Also published as: US20190319931A1; EP3550781A1; EP3550781A4; CN110115012B; CN110115012A; EP3550781B1; US11025594B2

Abstract

本发明实施例公开了一种秘密信息分发的方法，所述方法包括：网络功能虚拟化基础设施NFVI接收管理和编排MANO发送的秘密信息；在所述NFVI中创建vTPM，并将所述秘密信息写入到vTPM中；网络功能虚拟化基础设施NFVI从管理和编排MANO接收虚拟网络功能VNF初始化命令并创建VNF；所述VNF从所述vTPM获取所述秘密信息。由于只有vTPM获知VNF的秘密信息，秘密信息不出可信环境，保证了秘密信息的机密性和完整性，也防止秘密信息在分发过程中泄露。

Description

一种秘密信息的分发方法和设备

技术领域

本发明涉及通信领域，尤其涉及一种秘密信息的分发方法和设备。

背景技术

传统的电信系统通过各种专用的硬件设备组成，不同的应用采用不同的硬件设备。随着网络规模的增长，系统越来越复杂，带来了诸多的挑战，包括新增业务的开发上线、系统的运维、资源利用率等。为了应对这些挑战及利用IT业界的虚拟化技术及云计算技术，在2012年10月22日召开的“SDN and OpenFlow World Congress”会议上，全球主要的13个电信运营商联合发布了NFV白皮书，并宣布在ETSI成立NFV ISG，制定NFV的需求及技术框架，推动NFV的发展。

网络功能虚拟化(Network Function Virtualization，NFV)技术可以简单地理解为将电信网络中使用的各个网元的功能从目前的专用硬件平台迁移至通用的商用货架产品(COTS,Commercial-off-the-shelf)服务器上。通过NFV技术将电信网络中使用的各个网元转变成为独立的应用，可以灵活部署在基于标准的服务器、存储以及交换机等其他设备构建的统一基础设施平台上，并通过虚拟化技术，对基础设施硬件设备资源池化及虚拟化，对上层应用提供虚拟资源，实现应用、硬件解耦，使得每一个应用能够快速增加虚拟资源以实现快速扩展系统容量的目的，或者能够快速减少虚拟资源以实现收缩系统容量的目的，大大提升网络的弹性。采用通用的COTS服务器组成共享的资源池，新开发的业务，不需要单独部署硬件设备，大大缩短新业务上线时间。

NFV技术的基础包含云计算技术和虚拟化技术。通用的COTS计算/存储/网络等硬件设备通过虚拟化技术可以分解为多种虚拟资源，以供上层各种应用使用。通过虚拟化技术，实现应用与硬件之间的解耦，使得虚拟资源供给速度大大增加；通过云计算技术，可以实现应用的弹性伸缩，实现虚拟资源与业务负荷相匹配，不仅提升了虚拟资源的利用效率，而且改善了系统的响应速率。

具体地，NFV管理和编排系统MANO在安装虚拟网络功能VNF时，需要在VNF启动前预置一些秘密信息，比如FTP口令，DB口令或者口令加密密钥，SSH公钥，软件包数字签名公钥等，有些信息是启动阶段需要使用。在现有模式中，安装阶段需要的口令、密钥等(如FTP口令、DB口令、SSH公钥)大多预置在软件包内，通过加密或者权限控制对这些敏感数据进行保护，如果根密钥泄露，会导致秘密信息泄露。如果采用类似CD-ROM的配置盘方式，一旦写入不可擦除，对于NFVI，可以直接明文查看配置盘数据。

发明内容

有鉴于此，本发明实施例提供了一种秘密信息分发方法，能够减少秘密信息被泄露的风险。

本发明实施例提供了一种秘密信息分发的方法，所述方法包括：网络功能虚拟化基础设施NFVI接收管理和编排MANO发送的秘密信息；在所述NFVI中创建vTPM，并将所述秘密信息写入到vTPM中；网络功能虚拟化基础设施NFVI从管理和编排MANO接收虚拟网络功能VNF初始化命令并创建VNF；所述VNF从所述vTPM获取所述秘密信息。

本发明实施例还提供了一种秘密信息分发的系统，所述系统包括管理和编排MANO和网络功能虚拟化基础设施NFVI：所述MANO用于向所述NFVI发送秘密信息；所送NFVI用于接收MANO发送的秘密信息并在NFVI中创建vTPM，并将所述秘密信息写入到vTPM中；所送NFVI进一步用于从所送MANO接收虚拟网络功能VNF初始化命令并创建VNF；所述VNF用于从所述vTPM获取所述秘密信息。

本发明实施例还提供了一种网络功能虚拟化基础设施NFVI，该NFVI可以实现上述方面所涉及方法中NFVI所执行的功能，所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个上述功能相应的单元或模块。

在一种可能的设计中，该NFVI的结构中包括处理器和通信接口，该处理器被配置为支持该NFVI执行上述方法中相应的功能。该通信接口用于支持该NFVI与其他网元之间的通信。该NFVI还可以包括存储器，该存储器用于与处理器耦合，其保存该NFVI必要的程序指令和数据。

另一方面，本发明实施例提供了一种计算机存储介质，用于储存为上述NFVI所用的计算机软件指令，其包含用于执行上述方面所设计的程序。

本申请还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述各方面所述的方法。

由于上述方案中仅vTPM获知VNF的秘密信息，秘密信息不出可信环境，保证了秘密信息的机密性和完整性，也防止秘密信息在分发过程中泄露。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所需要使用的附图作简单地介绍，显而易见地，下面所描述的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是适用本发明实施例的一种基于NFV的网络架构示意图；

图2是本发明实施例提供的一种秘密信息分发的方法流程图；

图3是本发明实施例提供的一种秘密信息分发的详细流程图；

图4是本发明实施例提供的另一种秘密信息分发的详细流程图；

图5A是本发明实施例提供的一种可能的NFVI的结构示意图；

图5B是本发明实施例提供的另一种可能的NFVI的结构示意图；

图6是本发明实施例提供的一种秘密信息分发的NFV系统示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行描述。

本发明实施例描述的网络架构以及业务场景是为了更加清楚的说明本发明实施例的技术方案，并不构成对本发明实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本发明实施例提供的技术方案对于类似的技术问题，同样适用。

本发明实施例的方法可以应用于基于NFV的网络架构，此外还可以应用于基于应用容器引擎(例如Docker)的网络架构、基于虚拟机监视器(Virtual Machine Monitor，VMM)的网络架构、基于openstack的网络架构或者其它虚拟化技术的网络架构中，其中VMM也可以称为hypervisor，下面，以基于NFV的网络架构为例，对本发明实施例的方案进行说明。

图1为本发明实施例提供的一种基于NFV的网络架构的示意图。如图1所示，该网络架构包括：网络功能虚拟化编排器(Network Function Virtualization Orchestrator，NFVO)、虚拟化网络功能管理器(Virtualized Network Function Manager，VNFM)、虚拟化基础设施管理器(Virtualized Infrastructure Manager，VIM)、网络功能虚拟化基础设施(Network Function Virtualization Infrastructure，NFVI)、虚拟机(Virtual Machine，VM)、虚拟化网络功能(Virtualized Network Function，VNF)和网元管理系统(Element Manager System，EMS)，其中，NFVO、VNFM和VIM属于NFV系统的管理编排(Management and Orchestration，MANO)，MANO的相关功能可以通过硬件实现，也可以通过软件实现。

为了方便理解本发明实施例，下面，分别对上述网元以及与本发明相关的要素进行简要介绍。

虚拟化容器(virtualisation container)是计算节点的一部分，用于提供隔离的虚拟化计算环境，一个典型的虚拟化容器的例子是VM。VM指通过虚拟机软件在物理设备上模拟出的虚拟设备。对于在虚拟机中运行的应用程序而言，这些虚拟机就像真正的物理设备那样进行工作，虚拟机上可以安装操作系统和应用程序，虚拟机还可访问网络资源。

VNF，也可称之为虚拟化网元，对应于传统的非虚拟化网络中的物理网络功能。网络功能的功能性行为和状态与网络功能的虚拟化与否无关。VNF可以由多个更低级别的组件组成，可选的，一个VNF可以部署在多个VM上，每个VM承载(host)一个虚拟网络功能组件(Virtualized Network Function Component，VNFC)。可选的，一个VNF也可以部署在一个VM上。

VNFM主要用于：实现VNF实例的生命周期管理，包括VNF实例的初始化、VNF实例的扩容或缩容以及VNF实例的终止。

EMS主要用于：针对VNF执行传统的FCAPS(Fault Management，Configuration Management，Accounting Management，Performance Management and Security Management，故障管理，配置管理，计费管理，性能管理，安全管理)功能。EMS可以单独存在，也可以是具有EMS功能的VNF。

VIM主要负责：基础设施层硬件资源和虚拟化资源的管理、监控和故障上报，面向上层应用提供虚拟化资源池。

NFVI主要用于：提供整个系统运行的硬件和虚拟资源，由硬件资源(包括计算、网络、存储三部分)、虚拟化层(将硬件资源虚拟化成资源池)和虚拟资源(同样分成计算、网络、存储三部分)组成。从VNF的角度来说，虚拟化层和硬件资源看起来是一个能够提供所需虚拟资源的实体。

NFVO用于实现网络服务描述符(Network Service Descriptor，NSD)、虚拟网络功能描述符(Virtualized Network Function Descriptor，VNFD)、虚拟网络功能转发图(Virtualized Network Function Forwarding Graph，VNFFG)的管理，网络服务(Network Service，NS)生命周期的管理，和资源的全局视图功能。

下面，将结合附图对本发明实施例进行详细描述。

图2为本发明实施例提供的一种秘密信息分发的方法的流程图，如图2所示，该方法包括：

S210，网络功能虚拟化基础设施NFVI接收MANO发送的秘密信息；

MANO在VNF预安装阶段将为所述VNF分配秘密信息，所述秘密信息用于后续VNF创建或请求使用相关服务时使用。所述秘密信息包括接入认证，密钥等敏感信息。其中，所述接入认证，包括用户名/口令，公钥等，用于连接服务器获取服务，如FTP/DB/SSH等；所述协商密钥，包括传递加密数据的密钥，TLS PSK方式的pre-shared key，数字签名公钥，以及用于消息完整性的密钥等。

其中，和所述秘密信息一起发送的信息还可以包括待创建的VNF的身份信息，所述VNF的身份信息可以是VNF的ID信息或类似信息，用于唯一标识VNF；所述待创建VNF的身份信息可以由MANO单独发送，也可以跟所述秘密信息一起发送，只要能够建立所述秘密信息和待创建的VNF的关联关系即可，即所述秘密信息只供与其有一一对应绑定关系的VNF使用。根据下面的步骤，当所述待创建VNF创建完成后，所述VNF会获取所述秘密信息，并用于后续的其他业务请求中。

S220，在所述NFVI中创建虚拟可信平台模块vTPM(Virtual Trust Platform Module)，并将所述秘密信息写入到vTPM中。

vTPM是TPM虚拟化解决方案之一，它使得在虚拟化环境里每一个虚拟机都能获得完整的可信计算功能，通过虚拟可信平台模块，TPM的安全存储与加密功能能够在VNF中使用，从而支持在虚拟化环境中建立可信，特别是对软件完整性的远程证实。其中vTPM实例是一个VNF中的TPM，每个需要TPM功能的VNF在整个生命期内都与一个唯一的vTPM实例关联，也就是一一对应。

位于NFVI中的vTPM O&M agent创建相应的vTPM，并在分配vTPM AIK/EK时，将所述秘密信息写入到vTPM中。其中，TPM/vTPM由TCG(Trusted Computing Group)定义，可参考相关现有技术或协议。

S230，网络功能虚拟化基础设施NFVI从管理和编排MANO接收虚拟网络功能VNF初始化命令并创建所述VNF。

当秘密信息被写入vTPM后，MANO向NFVI发送创建VNF的初始化命令，所述命令包括上述S210中所述的待创建的VNF身份信息，从而该创建后的VNF身份信息与S210的身份信息一致。

S240，所述VNF从所述vTPM获取所述秘密信息。

VNF向与其对应的vTPM发送请求消息，vTPM发送秘密信息给VNF。

在上述实施例中，由于仅vTPM获知VNF的秘密信息，秘密信息不出可信环境，保证了秘密信息的机密性和完整性，也防止秘密信息在分发过程中泄露。

在本发明实施例中，MANO可以是NFVO、VNFM和VIM中的任一个，可选地，VNF初始化命令可以通过VIM发送给NFVI，NFVI接收到该VNF初始化命令后创建VNF。

NFVI如何根据VNF初始化命令创建VNF是本领域的公知技术，在此不再赘述。

下面将基于上面所述的本发明涉及的共性方面，对本发明实施例进一步详细说明。

图3为本发明实施例提供的一种秘密信息分发的详细流程图，该实施例中秘密信息由MANO分配并由MANO中的vTPM O&M发送给NFVI中的vTPM O&M agent，具体步骤如下：

1.MANO在VNF预安装阶段将为所述VNF分配的秘密信息以及所述待创建的VNF身份信息传递给vTPM O&M；其中，vTPM O&M位于MANO中，例如可位于MANO的VIM中。

2.vTPM O&M将秘密信息转发给NFVI中的vTPM O&M agent。

3.vTPM O&M agent为待创建的VNF创建vTPM，在分配vTPM AIK/EK时，将秘密信息写入到vTPM的NVROM(只读)中。

4.MANO向NFVI发起“VNF初始化”命令，即创建VNF命令。

5.NFVI实例化VNF，即创建VNF，该VNF的身份信息和步骤1中的VNF身份信息一致。

6.VNF中的进程，读取vTPM中NVROM的秘密信息。

7.通过所述秘密信息向MANO请求服务，如FTP、SSH、DB等。

图4为本发明实施例提供的秘密信息分发的另一种详细流程图，该实施例中所述秘密信息由MANO从其他VNF(VNF A)获取并由MANO中的vTPM O&M发送给NFVI中的vTPM O&M agent，具体步骤如下：

1.MANO预创建VNF A阶段，向VNF S发起通知消息，包括VNF A身份信息。

VNF S为一种虚拟服务器，可用于向VNF A提供相关服务，这里字母S和A用于区分不同的VNF。

2.如果VNF S需要向VNF A预置秘密信息，在MANO响应信息中插入秘密信息。

3.MANO将需要分配的秘密信息以及VNF身份信息传递给vTPM O&M，然后跳到第5步。

4.如果所述第2和第3步中不传递秘密信息，则VNF S需要直接向vTPM O&M发送秘密信息；否则该步骤不存在。

5.vTPM O&M将信息转发给vTPM O&M agent。

6.vTPM O&M agent为待创建的VNF创建vTPM，在分配vTPM AIK/EK时，将秘密信息写入到vTPM的NVROM(只读)中。

7.MANO向NFVI发起“VNF A初始化”命令。

8.NFVI实例化VNFA，即创建VNF A，该VNF的身份信息和步骤1中的VNF身份信息一致。

8.VNF A读取vTPM中NVROM的秘密信息。

9.VNF A使用所述秘密信息向VNF S请求服务，如FTP、SSH、DB等。

其中，上述各个实施例中的待创建的VNF身份信息或VNF A的身份信息可以携带在秘密信息中发送，也可以独立于秘密信息单独发送，本实施例不作限制。

上述各个实施例中的vTPM O&M，其为集中式或分布式的vTPM管理模块，用于vTPM创建、删除等，可以位于VIM、VNFM、NFVO等位置；所述vTPM O&M agent(代理进程)为分布式或者集中式的vTPM O&M代理进程，用于vTPM创建、删除以及分配vTPM AIK/EK等信息。vTPM O&M agent位于NFVI中，可以理解为I层上的一个TPM代理进程。

上述各个实施例中，仅vTPM获知VNF的秘密信息，秘密信息不出可信环境，保证了秘密信息的机密性和完整性，也防止秘密信息在分发过程中泄露。

上述实施例主要从各个网元之间交互的角度对本发明实施例的方案进行了介绍。可以理解的是，各个网元，例如NFVI和VNF实例为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本发明能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

本发明实施例可以根据上述方法示例对NFVI和VNF实例进行功能单元的划分，例如，可以对应各个功能划分各个功能单元，也可以将两个或两个以上的功能集成在一个处理单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。需要说明的是，本发明实施例中对单元的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

在采用集成的单元的情况下，图5A示出了上述实施例中所涉及的NFVI的一种可能的结构示意图。NFVI 500包括：处理单元502和通信单元503。

处理单元502用于对NFVI 500的动作进行控制管理，例如，处理单元502用于支持NFVI 500执行图2-4所示任一实施例中NFVI的动作或步骤，和/或用于本文所描述的技术的其它过程。通信单元503用于支持NFVI 500与其它网元的通信，例如，与图3中示出的MANO之间的通信。NFVI 500 还可以包括存储单元801，用于存储NFVI 500的程序代码和数据。

其中，通信单元503用于从MANO接收秘密信息；

处理单元502用于创建虚拟可信平台模块vTPM，并将所述秘密信息写入到vTPM中；

所述通信单元503还用于从管理和编排MANO接收虚拟网络功能VNF初始化命令；

所述处理单元502还用于创建所述VNF；

所述通信单元503还用于向创建后的VNF发送秘密信息。

NFVI 500中，处理单元502可以是处理器或控制器，例如可以是中央处理器(Central Processing Unit，CPU)，通用处理器，数字信号处理器(Digital Signal Processor，DSP)，专用集成电路(Application-Specific Integrated Circuit，ASIC)，现场可编程门阵列(Field Programmable Gate Array，FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框，模块和电路。所述处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。通信单元503可以是通信接口、收发器、收发电路等，其中，通信接口是统称，可以包括一个或多个接口，通信接口还可以指软件或程序之间交互的接口。存储单元501可以是存储器。

当处理单元502为处理器，通信单元503为通信接口，存储单元501为存储器时，本发明实施例所涉及的NFVI可以为图5B所示的NFVI。

参阅图5B所示，该NFVI 510包括：处理器512、通信接口513、存储器511。可选的，NFVI510还可以包括总线514。其中，通信接口513、处理器512以及存储器511可以通过总线514相互连接；总线514可以是外设部件互连标准(Peripheral Component Interconnect，简称PCI)总线或扩展工业标准结构(Extended Industry Standard Architecture，简称EISA)总线等。所述总线514可以分为地址总线、数据总线、控制总线等。为便于表示，图5B中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

本发明实施例还提供一种秘密信息分发的系统，具体参考图6，所述系统包括管理和编排MANO和网络功能虚拟化基础设施NFVI，

所述MANO用于向所述NFVI发送秘密信息；

所送NFVI用于接收MANO发送的秘密信息并在NFVI中创建vTPM，并将所述秘密信息写入到vTPM中；

所送NFVI进一步用于从所送MANO接收虚拟网络功能VNF初始化命令并创建VNF；

所述VNF用于从所述vTPM获取所述秘密信息。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的装置和单元以及系统的具体工作过程，可以参考前述图2到图4所描述的实施例中NFVI的对应过程，在此不再赘述。

结合本发明实施例公开内容所描述的方法或者算法的步骤可以通过硬件的方式来实现，也可以是由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成，软件模块可以被存放于随机存取存储器(Random Access Memory，RAM)、闪存、只读存储器(Read Only Memory，ROM)、可擦除可编程只读存储器(Erasable Programmable ROM，EPROM)、电可擦可编程只读存储器(Electrically EPROM，EEPROM)、寄存器、硬盘、移动硬盘、只读光盘(CD-ROM)或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。另外，该ASIC可以位于NFVI和VNF实例中。当然，处理器和存储介质也可以作为分立组件存在于NFVI和VNF实例中。

本领域技术人员应该可以意识到，在上述一个或多个示例中，本发明所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时，可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质，其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的技术方案的基础之上，所做的任何修改、等同替换、改进等，均应包括在本发明的保护范围之内。

Claims

一种秘密信息分发的方法，其特征在于，所述方法包括：

网络功能虚拟化基础设施NFVI接收管理和编排MANO发送的秘密信息；

在所述NFVI中创建vTPM，并将所述秘密信息写入到vTPM中；

网络功能虚拟化基础设施NFVI从管理和编排MANO接收虚拟网络功能VNF初始化命令并创建VNF；

所述VNF从所述vTPM获取所述秘密信息。
根据权利要求1所述的方法，其特征在于，所述秘密信息由MANO分配并由MANO中的vTPM O&M发送给NFVI中的vTPM O&M agent。
根据权利要求1所述的方法，其特征在于，所述秘密信息由MANO从其他VNF获取并由MANO中的vTPM O&M发送给NFVI中的vTPM O&M agent。
根据权利要求3所述的方法，其特征在于，MANO向所述其他VNF发起通知消息，所述通知消息包括所述VNF身份信息；

所述其他VNF在发送给MANO的响应信息中插入秘密信息。
根据权利要求2到4任一项所述的方法，其特征在于，所述创建vTPM，并将所述秘密信息写入到vTPM中具体包括：

vTPM O&M agent创建vTPM，并在分配vTPM AIK/EK时，将所述秘密信息写入到vTPM中。
一种秘密信息分发的系统，所述系统包括管理和编排MANO和网络功能虚拟化基础设施NFVI,其特征在于：

所述MANO用于向所述NFVI发送秘密信息；

所送NFVI用于接收MANO发送的秘密信息并在NFVI中创建vTPM，并将所述秘密信息写入到vTPM中；

所送NFVI进一步用于从所送MANO接收虚拟网络功能VNF初始化命令并创建VNF；

所述VNF用于从所述vTPM获取所述秘密信息。
根据权利要求6所述的系统，其特征在于，所述MANO包括vTPM O&M，NFVI包括vTPM O&M Agent，所述秘密信息由MANO分配并由 MANO中的vTPM O&M发送给NFVI中的vTPM O&M agent。
根据权利要求6所述的系统，其特征在于，所述MANO包括vTPM O&M，NFVI包括vTPM O&M Agent,所述秘密信息由MANO从其他VNF获取并由MANO中的vTPM O&M发送给NFVI中的vTPM O&M agent。
根据权利要求7或8所述的系统，其特征在于，所述创建vTPM，并将所述秘密信息写入到vTPM中具体包括：vTPM O&M agent创建vTPM，并在分配vTPM AIK/EK时，将所述秘密信息写入到vTPM中。
一种网络功能虚拟化基础设施NFVI，其特征在于，包括：处理单元和通信单元，

所述通信单元用于从管理和编排MANO接收秘密信息；

所述处理单元用于创建虚拟可信平台模块vTPM，并将所述秘密信息写入到vTPM中；

所述通信单元还用于从MANO接收虚拟网络功能VNF初始化命令；

所述处理单元还用于创建所述VNF；

所述通信单元还用于向所述VNF发送秘密信息。
一种计算机可读存储介质，包括指令，当其在计算机上运行时，使得计算机执行如权利要求1-5任意一项所述的方法。