WO2022142555A1 - Vnfm与vnf建立数据安全连接的方法、设备及系统 - Google Patents

Abstract

本申请公开了一种VNFM与VNF建立数据安全连接的方法、设备及系统，涉及虚拟化资源编排和操作技术领域。该方法包括：在部署VNF时，向VNF发送第一加密配置信息，第一加密配置信息中的指示信息用于指示VNFM是否支持加密功能；接收VNF发送的第二加密配置信息，第二加密配置信息用于指示VNF是否支持加密功能；若确定VNFM和VNF都支持加密功能，则以密文形式向VNF发送密码；若确定VNFM和VNF中的至少一个不支持加密功能，则以明文形式向VNF发送密码。

Description

VNFM与VNF建立数据安全连接的方法、设备及系统

交叉引用

本申请基于申请号为“202011576431.4”、申请日为2020年12月28日的中国专利申请提出，并要求该中国专利申请的优先权，该中国专利申请的全部内容在此以引入方式并入本申请。

技术领域

本申请涉及虚拟化资源编排和操作技术领域，尤其涉及一种VNFM与VNF建立数据安全连接的方法、设备及系统。

背景技术

网络功能虚拟化(Network Function Virtualization，简称NFV)架构的目的是取代通信网络中私有、专用和封闭的网元，实现统一通用硬件平台+业务逻辑软件的开放架构。NFV架构中包括网络功能虚拟化基础设施(NFV infrastructure，简称NFVI)，管理与编排(Management and Orchestration，简称MANO)和多个虚拟网络功能(Virtualized Network Function,简称VNF)。其中，NFVI用来提供VNF的运行环境，包括所需的硬件及软件资源；MANO中的VNF管理器(VNF Manager，简称VNFM)用来对VNF的生命周期(实例化、配置、关闭等)进行控制。

VNFM与VNF之间需要建立数据安全连接，而在建立数据安全连接时需要传输密码。过去，在安全性要求不高的情况下，VNFM可以采用明文形式将生成的密码发送给VNF。近年来，随着安全性需求的提高，要求VNFM采用密文形式将生成的密码发送给VNF。为了满足这一要求，可以在VNFM和所有的VNF同时升级时配置密钥，以使升级后的VNFM采用升级时配置的密钥对密码进行加密，将加密后得到的密文发送给VNF，VNF采用升级时配置的密钥对该密文进行解密，从而得到密码。

由于只有在VNFM和所有的VNF同时升级后才可以得到密钥，所以，要求VNFM和所有的VNF同时升级，而同时升级会导致系统短时间内无法正常工作，从而影响业务的正常运行，且同时升级VNFM和所有的VNF对运维要求较高，实施难度较大。

发明内容

本申请的实施例提供了一种VNFM与VNF建立数据安全连接的方法，用于VNFM中，所述方法包括：在部署VNF时，向所述VNF发送第一加密配置信息，所述第一加密配置信 息中携带有指示信息，所述指示信息用于指示所述VNFM是否支持加密功能；接收所述VNF发送的第二加密配置信息，所述第二加密配置信息用于指示所述VNF是否支持加密功能；若确定所述VNFM和所述VNF都支持加密功能，则以密文形式向所述VNF发送密码；若确定所述VNFM和所述VNF中的至少一个不支持加密功能，则以明文形式向所述VNF发送密码。

本申请的实施例还提供了一种VNFM与VNF建立数据安全连接的方法，用于VNF中，所述方法包括：在部署所述VNF时，接收VNFM发送的第一加密配置信息，所述第一加密配置信息中携带有指示信息，所述指示信息用于指示所述VNFM是否支持加密功能；向所述VNFM发送第二加密配置信息，所述第二加密配置信息用于指示所述VNF是否支持加密功能；接收所述VNFM以密文形式发送的密码，所述密码是所述VNFM确定所述VNFM和所述VNF都支持加密功能时，以密文形式发送的；或者，接收所述VNFM以明文形式发送的密码，所述密码是所述VNFM确定所述VNFM和所述VNF中的至少一个不支持加密功能时，以明文形式发送的。

本申请的实施例还提供了一种VNFM，所述VNFM包括：第一发送单元，用于在部署VNF时，向所述VNF发送第一加密配置信息，所述第一加密配置信息中携带有指示信息，所述指示信息用于指示所述VNFM是否支持加密功能；第一接收单元，用于接收所述VNF发送的第二加密配置信息，所述第二加密配置信息用于指示所述VNF是否支持加密功能；所述第一发送单元，还用于若确定所述VNFM和所述VNF都支持加密功能，则以密文形式向所述VNF发送密码；所述第一发送单元，还用于若确定所述VNFM和所述VNF中的至少一个不支持加密功能，则以明文形式向所述VNF发送密码。

本申请的实施例还提供了一种VNF，所述VNF包括：第二接收单元，用于在部署所述VNF时，接收VNFM发送的第一加密配置信息，所述第一加密配置信息中携带有指示信息，所述指示信息用于指示所述VNFM是否支持加密功能；第二发送单元，用于向所述VNFM发送第二加密配置信息，所述第二加密配置信息用于指示所述VNF是否支持加密功能；所述第二接收单元，还用于接收所述VNFM以密文形式发送的密码，所述密码是所述VNFM确定所述VNFM和所述VNF都支持加密功能时，以密文形式发送的；或者，所述第二接收单元，还用于接收所述VNFM以明文形式发送的密码，所述密码是所述VNFM确定所述VNFM和所述VNF中的至少一个不支持加密功能时，以明文形式发送的。

本申请实施例提供了一种系统，所述系统包括VNFM和VNF；所述VNFM为如上所述的VNFM；所述VNF为如上所述的VNF。

本申请的实施例还提供了一种计算机可读存储介质，存储有计算机程序，计算机程序被处理器执行时实现上述的VNFM与VNF建立数据安全连接的方法。

附图说明

图1是本申请实施例一提供的一种VNFM与VNF建立数据安全连接的方法的流程图；

图2是本申请实施例二提供的一种VNFM与VNF之间协商密钥更新的流程图；

图3是本申请实施例三提供的VNFM将密文携带在生命周期操作请求中发送给VNF的流程图；

图4是本申请实施例三提供的VNFM将密文携带在响应消息中发送给VNF的流程图；

图5是本申请实施例三提供的VNF将密文携带在生命周期操作请求中发送给VNFM的流程图；

图6是本申请实施例四提供的VNFM的结构示意图；

图7是本申请实施例五提供的VNF的结构示意图；

图8是本申请实施例六提供的系统的结构示意图。

具体实施方式

本申请的实施例的主要目的在于提供一种VNFM与VNF建立数据安全连接的方法、设备及系统，能够实现VNFM与VNF之间从不支持加密功能到支持加密功能的平滑过渡，使系统具有较好的兼容性，还可以解决密钥长期不变和密钥丢失的问题。

下面将结合附图对本申请技术方案进行详细说明。在本申请的描述中，需要理解地是，术语“第一”、“第二”、“第三”、“第四”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量，仅用来区分不同的组成部分。

如图1所示，本申请的第一实施例提供了一种VNFM与VNF建立数据安全连接的方法，该方法可以应用于包括VNFM和VNF的系统中，该方法包括以下步骤：

步骤S101，在部署VNF时，VNFM向VNF发送第一加密配置信息，该第一加密配置信息中携带有指示信息，该指示信息用于指示VNFM是否支持加密功能。

VNFM可以先创建一个VNF，再对该VNF进行部署。在部署VNF时，VNFM可以先根据自身的配置确定自身是否支持加密功能，若VNFM自身支持加密功能，则生成用于指示VNFM支持加密功能的指示信息，并将该指示信息携带在第一加密配置信息中发送给VNF；若VNFM自身不支持加密功能，则生成用于指示VNFM不支持加密功能的指示信息，并将该指示信息携带在第一加密配置信息中发送给VNF。

本实施例中将部署VNF时首次用来加密密码的密钥称为第一密钥，且第一密钥通常是预先配置的。在第一种实现方式中，只在VNFM中配置第一密钥，那么，VNFM需要将该第一密钥添加到第一加密配置信息中发送给VNF，此时，第一加密配置信息中至少包括指示信息和第一密钥。在第二种实现方式中，可以在VNFM的配置文件和VNF的配置文件中分别配置第一密钥，那么，VNFM无需将第一密钥添加到第一加密配置信息中发送给VNF，此时，第一加密配置信息中至少包括指示信息。

步骤S102，VNF接收VNFM发送的第一加密配置信息。

VNF接收VNFM发送的第一加密配置信息，并对该第一加密配置信息进行存储。可选的，VNF可以将第一加密配置信息存储到数据库中。

步骤S103，VNF向VNFM发送第二加密配置信息，该第二加密配置信息用于指示VNF是否支持加密功能。

VNF可以先根据自身的配置确定自身是否支持加密功能，若VNF自身支持加密功能，则生成用于指示VNF支持加密功能的第二加密配置信息，并将该第二加密配置信息发送给VNFM；若VNF自身不支持加密功能，则生成用于指示VNF不支持加密功能的第二加密配置信息，将该第二加密配置信息发送给VNFM。

步骤S104，VNFM接收VNF发送的第二加密配置信息。

VNFM接收VNF发送的第二加密配置信息，并对该第二加密配置信息进行存储。可选的，VNFM可以将第二加密配置信息存储到数据库中。

VNFM可以继续部署VNF，在确定需要向VNF发送密码时，VNFM可以根据第一加密配置信息和存储的第二加密配置信息确定VNFM和VNF是否都支持加密功能；当VNFM和VNF都支持加密功能时，执行步骤S105；当VNFM不支持加密功能，VNF支持加密功能时，或者，当VNF不支持加密功能，VNFM支持加密功能时，或者，当VNFM和VNF都不支持加密功能时，执行步骤S107。

步骤S105，若确定VNFM和VNF都支持加密功能，则VNFM以密文形式向VNF发送密码，执行步骤S106。

具体的，当第一加密配置信息中还包括第一密钥时，VNFM从第一加密配置信息中获取第一密钥；或者，当VNFM的配置文件中包括第一密钥时，从VNFM的配置文件中获取第一密钥；再采用第一密钥对密码进行加密，得到第一密文；将该第一密文发送给VNF。其中，采用第一密钥对密码进行加密的加密算法有很多种，本实施例不对具体算法作限定。

步骤S106，VNF接收VNFM以密文形式发送的密码，流程结束。

由于VNF并不知道VNFM是以密文形式还是以明文形式发送密码，所以，VNF可以先根据存储的第一加密配置信息和第二加密配置信息确定VNFM和VNF是否都支持加密功能。在当前场景下，VNFM和VNF都支持加密功能，VNF确定接收到第一密文，需要对该第一密文进行解密，得到密码。具体的，当第一加密配置信息中还包括第一密钥时，VNF从第一加密配置信息中获取第一密钥；或者，当VNF的配置文件中包括第一密钥时，VNF从VNF的配置文件中获取第一密钥；采用第一密钥对第一密文进行解密，得到密码。其中，采用第一密钥对第一密文进行解密的解密算法与步骤S105中的加密算法相对应。

步骤S107，若确定VNFM和VNF中的至少一个不支持加密功能，则VNFM以明文形式向VNF发送密码，执行步骤S108。

VNFM可以直接将密码发送给VNF。

步骤S108，VNF接收VNFM以明文形式发送的密码。

由于VNF并不知道VNFM是以密文形式还是以明文形式发送密码，所以，VNF可以先根据存储的第一加密配置信息和第二加密配置信息确定VNFM和VNF是否都支持加密功能。在当前场景下，VNFM不支持加密功能，VNF支持加密功能，或者，VNF不支持加密功能，VNFM支持加密功能，或者，VNFM和VNF都不支持加密功能，VNF确定接收到明文形式的密码。

其中，步骤S101、步骤S104、步骤S105和步骤S107可以单独实现为VNFM侧的实施例，步骤S102、步骤S103、步骤S106和步骤S108可以单独实现为VNF侧的实施例。

本申请实施例的VNFM与VNF建立数据安全连接的方法，通过在部署VNF的过程中，VNFM向VNF发送第一加密配置信息，该第一加密配置信息中携带有用于指示VNFM是否支持加密功能的指示信息，VNF向VNFM发送第二加密配置信息，该第二加密配置信息用于指示VNF是否支持加密功能，在根据第一加密配置信息和第二加密配置信息确定VNFM和VNF都支持加密功能时，以密文形式向VNF发送密码；在根据第一加密配置信息和第二加密配置信息确定VNFM和VNF中的至少一个不支持加密功能时，以明文形式向VNF发送密码。可见，系统中既可以包括支持加密功能的设备(即升级后的设备)，也可以包括不支持加密功能的设备(即升级前的设备)，不要求系统中的所有设备都同时升级，可以实现从不支持加密功能到支持加密功能的平滑过渡，使系统具有较好的兼容性。

本申请的第二实施例提供了一种VNFM与VNF建立数据安全连接的方法，在得到第一 密钥后，VNFM和VNF还可以通过协商来生成第二密钥，并采用第二密钥来更新第一密钥，从而可以达到更新密钥的目的，可以解决密钥长期不变或密钥丢失而影响数据安全连接的问题。如图2所示，该方法可以包括：

步骤S201，VNF向VNFM发送密钥交换请求，该密钥交换请求中携带有第一密钥交换数。

其中，第一密钥交换数是VNF根据预定算法生成的。可选的，预定算法可以是Diffie-Hellman(迪菲-赫尔曼)算法。

本实施例中，VNF可以在以下三种情况下向VNFM发送密钥交换请求，下面对这三种情况进行说明。

1)在VNF部署完成后，VNF向VNFM发送密钥交换请求。

在VNF部署完成后，VNFM会向VNF发送部署完成的通知消息，VNF接收VNFM发送的部署完成的通知消息，在该通知消息的触发下向VNFM发送密钥交换请求。可选的，该通知消息可以是实例化后扩展请求。

2)在接收到VNFM发送的生命周期操作请求后，VNF向VNFM发送密钥交换请求。

其中，生命周期操作请求是用来对VNF的生命周期进行控制的操作请求，可以由VNFM向VNF发送，例如在VNF中新增虚机的生命周期操作请求、修改VNF容量的生命周期操作请求等等；也可以由VNF向VNFM发送，例如请求自愈的生命周期操作请求、系统重启的生命周期操作请求等等。

本实施例中，可以设置VNF在接收到任一生命周期操作请求后都发送密钥交换请求，也可以设置VNF在接收到部分特定的生命周期操作请求后发送密钥交换请求，还可以设置接收到任一生命周期操作请求后都不发送密钥交换请求。为了便于与下文中出现的生命周期操作请求相区别，本实施例中将触发VNF发送密钥交换请求的生命周期操作请求称为第四生命周期操作请求。

在当前场景下，VNFM向VNF发送第四生命周期操作请求，VNF接收VNFM发送的第四生命周期操作请求，在该第四生命周期操作请求的触发下向VNFM发送密钥交换请求。

3)在VNF中发生预定生命周期操作后，VNF向VNFM发送密钥交换请求。

在VNF中发生预定生命周期操作后，在该预定生命周期操作的触发下向VNFM发送密钥交换请求。其中，预定生命周期操作可以预先设置，比如，将预定生命周期操作设置为系统重启，则在系统重启后，VNF向VNFM发送密钥交换请求。

需要说明的是，在系统重启后，VNF还需要向VNFM发送系统重启的生命周期操作请求，本实施例中不限定该生命周期操作请求和密钥交换请求的先后发送顺序。

步骤S202，VNFM接收VNF发送的密钥交换请求，该密钥交换请求中携带有第一密钥交换数。

步骤S203，VNFM根据密钥交换请求生成第二密钥交换数，并将该第二密钥交换数发送给VNF。

VNFM可以在接收到密钥交换请求后，根据预定算法生成第二密钥交换数。可选的，预定算法可以是Diffie-Hellman(迪菲-赫尔曼)算法。

步骤S204，VNFM根据第一密钥交换数生成第二密钥。

VNFM可以将第一密钥交换数输入预定算法中，得到第二密钥。可选的，预定算法可以是Diffie-Hellman(迪菲-赫尔曼)算法。

VNFM将生成的第二密钥加密存储在数据库中。

步骤S205，VNF接收VNFM发送的第二密钥交换数。

其中，本实施例不限定步骤S204和步骤S205的先后执行顺序。

步骤S206，VNF根据第二密钥交换数生成第二密钥。

VNF可以将第二密钥交换数输入预定算法中，得到第二密钥。可选的，预定算法可以是Diffie-Hellman(迪菲-赫尔曼)算法。

VNF将生成的第二密钥加密存储在数据库中。

需要说明的是，预定算法可以根据不同的输入(第一密钥交换数和第二密钥交换数)生成相同的输出(第二密钥)。

其中，步骤S202、步骤S203和步骤S204可以单独实现为VNFM侧的实施例，步骤S201、步骤S205和步骤S206可以单独实现为VNF侧的实施例。

本申请的第三实施例提供了一种VNFM与VNF建立数据安全连接的方法，在生成第二密钥后，VNFM和VNF可以利用第二密钥来进行密文传输，下面对三种传输场景进行说明。

1)如图3所示，VNFM将密文携带在生命周期操作请求中发送给VNF。

步骤S301，VNFM采用第二密钥对第一内容进行加密，得到第二密文，第一内容为第一生命周期操作请求中的请求内容中的密码，或者，第一内容为该请求内容中的密码和其他信息。

VNFM在确定需要向VNF发送第一生命周期操作请求时，从数据库中读取第二密钥，再 获取第一生命周期请求中的请求内容中的第一内容，采用第二密钥对第一内容进行加密，得到第二密文。

其中，当请求内容中包括密码和其他信息时，VNFM可以只将密码确定为第一内容，此时，VNFM只对请求内容中的密码进行加密，而不对请求内容中的其他信息进行加密；或者，VNFM可以将密码和其他信息都确定为第一内容，此时，VNFM对请求内容中的密码和其他信息都进行加密。当请求内容中只包括密码，而不包括其他信息时，VNFM可以将密码确定为第一内容，此时，VNFM对请求内容中的密码进行加密。

步骤S302，VNFM将第二密文携带在第一生命周期操作请求中发送给VNF。

步骤S303，VNF接收VNFM发送的第一生命周期操作请求，该第一生命周期操作请求中携带有第二密文。

步骤S304，VNF采用第二密钥对第二密文进行解密，得到第一内容。

VNF可以从第一生命周期操作请求中读取第二密文，再从数据库中读取第二密钥，采用第二密钥对第二密文进行解密，得到第一内容。其中，采用第二密钥对第二密文进行解密的解密算法与步骤S301中的加密算法相对应。

其中，步骤S301和步骤S302可以单独实现为VNFM侧的实施例，步骤S303和步骤S304可以单独实现为VNF侧的实施例。

2)如图4所示，VNFM将密文携带在响应消息中发送给VNF，该响应消息用于响应VNF发送的生命周期操作请求。

步骤S401，VNF向VNFM发送第二生命周期操作请求。

步骤S402，VNFM接收VNF发送的第二生命周期操作请求。

步骤S403，VNFM采用第二密钥对第二内容进行加密，得到第三密文，第二内容为响应消息中的响应内容中的密码，或者，第二内容为该响应内容中的密码和其他信息，响应消息用于响应第二生命周期操作请求。

VNFM在接收到第二生命周期操作请求后，需要向VNF发送响应消息，此时，VNFM从数据库中读取第二密钥，再获取响应消息中的响应内容中的第二内容，采用第二密钥对第二内容进行加密，得到第三密文。

其中，当响应内容中包括密码和其他信息时，VNFM可以只将密码确定为第二内容，此时，VNFM只对响应内容中的密码进行加密，而不对响应内容中的其他信息进行加密；或者，VNFM可以将密码和其他信息都确定为第二内容，此时，VNFM对响应内容中的密码和其他 信息都进行加密。当响应内容中只包括密码，而不包括其他信息时，VNFM可以将密码确定为第二内容，此时，VNFM对响应内容中的密码进行加密。

步骤S404，VNFM将第三密文携带在响应消息中发送给VNF。

步骤S405，VNF接收VNFM发送的响应消息，该响应消息中携带有第三密文。

步骤S406，VNF采用第二密钥对第三密文进行解密，得到第二内容。

VNF可以从响应消息中读取第三密文，再从数据库中读取第二密钥，采用第二密钥对第三密文进行解密，得到第二内容。其中，采用第二密钥对第三密文进行解密的解密算法与步骤S403中的加密算法相对应。

其中，步骤S402、步骤S403和步骤S404可以单独实现为VNFM侧的实施例，步骤S401、步骤S405和步骤S406可以单独实现为VNF侧的实施例。

3)如图5所示，VNF将密文携带在生命周期操作请求中发送给VNFM。

步骤S501，VNF采用第二密钥对第三内容进行加密，得到第四密文，第三内容为第三生命周期操作请求中的请求内容中的密码，或者，第三内容为该请求内容中的密码和其他信息。

VNF在确定需要向VNFM发送第三生命周期操作请求时，从数据库中读取第二密钥，再获取第三生命周期请求中的请求内容中的第三内容，采用第二密钥对第三内容进行加密，得到第四密文。

其中，当请求内容中包括密码和其他信息时，VNF可以只将密码确定为第三内容，此时，VNF只对请求内容中的密码进行加密，而不对请求内容中的其他信息进行加密；或者，VNF可以将密码和其他信息都确定为第三内容，此时，VNF对请求内容中的密码和其他信息都进行加密。当请求内容中只包括密码，而不包括其他信息时，VNF可以将密码确定为第三内容，此时，VNF对请求内容中的密码进行加密。

步骤S502，VNF将第四密文携带在第三生命周期操作请求中发送给VNFM。

步骤S503，VNFM接收VNF发送的第三生命周期操作请求，该第三生命周期操作请求中携带有第四密文。

步骤S504，VNFM采用第二密钥对第四密文进行解密，得到第三内容。

VNFM可以从第三生命周期操作请求中读取第四密文，再从数据库中读取第二密钥，采用第二密钥对第四密文进行解密，得到第三内容。其中，采用第二密钥对第四密文进行解密的解密算法与步骤S501中的加密算法相对应。

其中，步骤S503和步骤S504可以单独实现为VNFM侧的实施例，步骤S501和步骤S502 可以单独实现为VNF侧的实施例。

如图6所示，本申请的第四实施例提供了一种VNFM，该VNFM可以包括：

第一发送单元601，用于在部署VNF时，向VNF发送第一加密配置信息，该第一加密配置信息中携带有指示信息，该指示信息用于指示VNFM是否支持加密功能。

第一接收单元602，用于接收VNF发送的第二加密配置信息，该第二加密配置信息用于指示VNF是否支持加密功能。

第一发送单元601，还用于若确定VNFM和VNF都支持加密功能，则以密文形式向VNF发送密码。

第一发送单元601，还用于若确定VNFM和VNF中的至少一个不支持加密功能，则以明文形式向VNF发送密码。

可选的，VNFM还可以包括：第一处理单元603，用于当第一加密配置信息中还包括第一密钥时，从第一加密配置信息中获取第一密钥；或者，当VNFM的配置文件中包括第一密钥时，从VNFM的配置文件中获取第一密钥。

第一处理单元603，还用于采用第一密钥对密码进行加密，得到第一密文。

第一发送单元601，用于将第一密文发送给VNF。

可选的，第一处理单元603，还用于：在第一接收单元602接收VNF发送的第二加密配置信息之后，对第二加密配置信息进行存储。当需要传输密码时，根据第一加密配置信息和存储的第二加密配置信息确定VNFM和VNF是否都支持加密功能。

可选的，第一接收单元602，还用于在第一发送单元601以密文形式向VNF发送密码之后，接收VNF发送的密钥交换请求，该密钥交换请求中携带有第一密钥交换数。

第一处理单元603，还用于根据密钥交换请求生成第二密钥交换数。

第一发送单元601，还用于将第二密钥交换数发送给VNF，该第二密钥交换数用于供VNF生成第二密钥，该第二密钥用于更新第一密钥。

第一处理单元603，还用于根据第一密钥交换数生成第二密钥。

可选的，第一处理单元603，还用于在根据第一密钥交换数生成第二密钥之后，采用第二密钥对第一内容进行加密，得到第二密文，第一内容为第一生命周期操作请求中的请求内容中的密码，或者，第一内容为请求内容中的密码和其他信息。

第一发送单元601，还用于将第二密文携带在第一生命周期操作请求中发送给VNF，该第二密文由VNF采用第二密钥进行解密后得到第一内容。

可选的，第一接收单元602，还用于在第一处理单元603根据第一密钥交换数生成第二密钥之后，接收VNF发送的第二生命周期操作请求；

第一处理单元603，还用于采用第二密钥对第二内容进行加密，得到第三密文，第二内容为响应消息中的响应内容中的密码，或者，第二内容为响应内容中的密码和其他信息，响应消息用于响应第二生命周期操作请求；

第一发送单元601，还用于将第三密文携带在响应消息中发送给VNF，该第三密文由VNF采用第二密钥进行解密后得到第二内容。

可选的，第一接收单元602，还用于在第一处理单元603根据第一密钥交换数生成第二密钥之后，接收VNF发送的第三生命周期操作请求，该第三生命周期操作请求中携带有第四密文，该第四密文是VNF采用第二密钥对第三内容进行加密得到的，第三内容为第三生命周期操作请求中的请求内容中的密码，或者，第三内容为请求内容中的密码和其他信息；

第一处理单元603，还用于采用第二密钥对第四密文进行解密，得到第三内容。

可选的，第一发送单元601，还用于在第一接收单元602接收VNF发送的密钥交换请求之前，向VNF发送部署完成的通知消息，该VNF用于在通知消息的触发下发送密钥交换请求；或者，向VNF发送第四生命周期操作请求，该VNF用于在第四生命周期操作请求的触发下发送密钥交换请求；或者，

密钥交换请求是VNF中发生预定生命周期操作后发送的。

如图7所示，本申请的第五实施例提供了一种VNF，该VNF可以包括：

第二接收单元701，用于在部署VNF时，接收VNFM发送的第一加密配置信息，该第一加密配置信息中携带有指示信息，该指示信息用于指示VNFM是否支持加密功能。

第二发送单元702，用于向VNFM发送第二加密配置信息，该第二加密配置信息用于指示VNF是否支持加密功能。

第二接收单元701，还用于接收VNFM以密文形式发送的密码，该密码是VNFM确定VNFM和VNF都支持加密功能时，以密文形式发送的；或者，第二接收单元701，还用于接收VNFM以明文形式发送的密码，该密码是VNFM确定VNFM和VNF中的至少一个不支持加密功能时，以明文形式发送的。

可选的，VNF还可以包括：第二处理单元703，用于在第二接收单元701接收VNFM发送的第一加密配置信息之后，对第一加密配置信息进行存储。

第二处理单元703，还用于在第二接收单元701接收VNFM以密文形式发送的密码之后， 根据第二加密配置信息和存储的第一加密配置信息确定VNFM和VNF是否都支持加密功能；若确定VNFM和VNF都支持加密功能，则当第一加密配置信息中还包括第一密钥时，从第一加密配置信息中获取第一密钥；或者，当VNF的配置文件中包括第一密钥时，从VNF的配置文件中获取第一密钥；采用第一密钥对以密文形式发送的第一密文进行解密，得到密码。

可选的，第二发送单元702，还用于在第二接收单元701接收VNFM以密文形式发送的密码之后，向VNFM发送密钥交换请求，该密钥交换请求中携带有第一密钥交换数，该第一密钥交换数用于供VNFM生成第二密钥，该第二密钥用于更新第一密钥。

第二接收单元701，还用于接收VNFM发送的第二密钥交换数，该第二密钥交换数是VNFM根据密钥交换请求生成的。

第二处理单元703，还用于根据第二密钥交换数生成第二密钥。

可选的，第二接收单元701，还用于在第二处理单元703根据第二密钥交换数生成第二密钥之后，接收VNFM发送的第一生命周期操作请求，该第一生命周期操作请求中携带有第二密文，该第二密文是VNFM采用第二密钥对第一内容进行加密得到的，第一内容为第一生命周期操作请求中的请求内容中的密码，或者，第一内容为请求内容中的密码和其他信息。

第二处理单元703，还用于采用第二密钥对第二密文进行解密，得到第一内容。

可选的，第二发送单元702，还用于在第二处理单元703根据第二密钥交换数生成第二密钥之后，向VNFM发送第二生命周期操作请求。

第二接收单元701，还用于接收VNFM发送的响应消息，该响应消息用于响应第二生命周期操作请求，且响应消息中携带有第三密文，该第三密文是VNFM采用第二密钥对第二内容进行加密得到的，第二内容为响应消息中的响应内容中的密码，或者，第二内容为响应内容中的密码和其他信息。

第二处理单元703，还用于采用第二密钥对第三密文进行解密，得到第二内容。

可选的，第二处理单元703，还用于在根据第二密钥交换数生成第二密钥之后，采用第二密钥对第三内容进行加密，得到第四密文，第三内容为第三生命周期操作请求中的请求内容中的密码，或者，第三内容为请求内容中的密码和其他信息。

第二发送单元702，还用于将第四密文携带在第三生命周期操作请求中发送给VNFM，该第四密文由VNFM采用生成的第二密钥进行解密后得到第三内容。

可选的，在向VNFM发送密钥交换请求之前，第二接收单元701还用于接收VNFM发送的部署完成的通知消息，第二发送单元702还用于在通知消息的触发下执行向VNFM发送 密钥交换请求的步骤；或者，第二接收单元701还用于接收VNFM发送的第四生命周期操作请求，第二发送单元702还用于在第四生命周期操作请求的触发下执行向VNFM发送密钥交换请求的步骤；或者，第二发送单元702还用于在VNF中发生预定生命周期操作后，在预定生命周期操作的触发下执行向VNFM发送密钥交换请求的步骤。

如图8所示，本申请第六实施例提供了一种系统，该系统中包括VNFM801和VNF802，且VNFM801可以是如图6所示的VNFM，VNF802可以是如图7所示的VNF。

本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、系统、设备中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。

在本申请的硬件实施例中，在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分；例如，一个物理组件可以具有多个功能，或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器，如中央处理器、数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读介质上，计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的，术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。以上参照附图说明了本申请的优选实施例，并非因此局限本申请的权利范围。本领域技术人员不脱离本申请的范围和实质内所作的任何修改、等同替换和改进，均应在本申请的权利范围之内。

Claims (19)

1. 一种VNFM与VNF建立数据安全连接的方法，用于VNFM中，所述方法包括：

   在部署VNF时，向所述VNF发送第一加密配置信息，所述第一加密配置信息中携带有指示信息，所述指示信息用于指示所述VNFM是否支持加密功能；

   接收所述VNF发送的第二加密配置信息，所述第二加密配置信息用于指示所述VNF是否支持加密功能；

   若确定所述VNFM和所述VNF都支持加密功能，则以密文形式向所述VNF发送密码；

   若确定所述VNFM和所述VNF中的至少一个不支持加密功能，则以明文形式向所述VNF发送密码。
2. 根据权利要求1所述的方法，其中，所述以密文形式向所述VNF发送密码，包括：

   当所述第一加密配置信息中还包括第一密钥时，从所述第一加密配置信息中获取所述第一密钥；或者，当所述VNFM的配置文件中包括第一密钥时，从所述VNFM的配置文件中获取所述第一密钥；

   采用所述第一密钥对密码进行加密，得到第一密文；

   将所述第一密文发送给所述VNF。
3. 根据权利要求1所述的方法，其中，在所述接收所述VNF发送的第二加密配置信息之后，所述方法还包括：

   对所述第二加密配置信息进行存储；

   当需要传输密码时，根据所述第一加密配置信息和存储的所述第二加密配置信息确定所述VNFM和所述VNF是否都支持加密功能。
4. 根据权利要求1至权利要求3中任一项所述的方法，其中，在所述以密文形式向所述VNF发送密码之后，所述方法还包括：

   接收所述VNF发送的密钥交换请求，所述密钥交换请求中携带有第一密钥交换数；

   根据所述密钥交换请求生成第二密钥交换数，并将所述第二密钥交换数发送给所述VNF，所述第二密钥交换数用于供所述VNF生成第二密钥，所述第二密钥用于更新所述第一密钥；

   根据所述第一密钥交换数生成所述第二密钥。
5. 根据权利要求4所述的方法，其中，在所述根据所述第一密钥交换数生成所述第二密钥之后，所述方法还包括：

   采用所述第二密钥对第一内容进行加密，得到第二密文，所述第一内容为第一生命周期 操作请求中的请求内容中的密码，或者，所述第一内容为所述请求内容中的密码和其他信息；

   将所述第二密文携带在所述第一生命周期操作请求中发送给所述VNF，所述第二密文由所述VNF采用所述第二密钥进行解密后得到所述第一内容。
6. 根据权利要求4所述的方法，其中，在所述根据所述第一密钥交换数生成所述第二密钥之后，所述方法还包括：

   接收所述VNF发送的第二生命周期操作请求；

   采用所述第二密钥对第二内容进行加密，得到第三密文，所述第二内容为响应消息中的响应内容中的密码，或者，所述第二内容为所述响应内容中的密码和其他信息，所述响应消息用于响应所述第二生命周期操作请求；

   将所述第三密文携带在所述响应消息中发送给所述VNF，所述第三密文由所述VNF采用所述第二密钥进行解密后得到所述第二内容。
7. 根据权利要求4所述的方法，其中，在所述根据所述第一密钥交换数生成所述第二密钥之后，所述方法还包括：

   接收所述VNF发送的第三生命周期操作请求，所述第三生命周期操作请求中携带有第四密文，所述第四密文是所述VNF采用所述第二密钥对第三内容进行加密得到的，所述第三内容为所述第三生命周期操作请求中的请求内容中的密码，或者，所述第三内容为所述请求内容中的密码和其他信息；

   采用所述第二密钥对所述第四密文进行解密，得到所述第三内容。
8. 根据权利要求4所述的方法，其中，在所述接收所述VNF发送的密钥交换请求之前，所述方法还包括：

   向所述VNF发送部署完成的通知消息，所述VNF用于在所述通知消息的触发下发送所述密钥交换请求；或者，向所述VNF发送第四生命周期操作请求，所述VNF用于在所述第四生命周期操作请求的触发下发送所述密钥交换请求；或者，

   所述密钥交换请求是所述VNF中发生预定生命周期操作后发送的。
9. 一种VNFM与VNF建立数据安全连接的方法，用于VNF中，所述方法包括：

   在部署所述VNF时，接收VNFM发送的第一加密配置信息，所述第一加密配置信息中携带有指示信息，所述指示信息用于指示所述VNFM是否支持加密功能；

   向所述VNFM发送第二加密配置信息，所述第二加密配置信息用于指示所述VNF是否支持加密功能；

   接收所述VNFM以密文形式发送的密码，所述密码是所述VNFM确定所述VNFM和所述VNF都支持加密功能时，以密文形式发送的；或者，

   接收所述VNFM以明文形式发送的密码，所述密码是所述VNFM确定所述VNFM和所述VNF中的至少一个不支持加密功能时，以明文形式发送的。
10. 根据权利要求9所述的方法，其中，在所述接收VNFM发送的第一加密配置信息之后，所述方法还包括：对所述第一加密配置信息进行存储；

    在所述接收所述VNFM以密文形式发送的密码之后，所述方法还包括：

    根据所述第二加密配置信息和存储的所述第一加密配置信息确定所述VNFM和所述VNF是否都支持加密功能；

    若确定所述VNFM和所述VNF都支持加密功能，则当所述第一加密配置信息中还包括第一密钥时，从所述第一加密配置信息中获取所述第一密钥；或者，当所述VNF的配置文件中包括第一密钥时，从所述VNF的配置文件中获取所述第一密钥；

    采用所述第一密钥对以密文形式发送的第一密文进行解密，得到所述密码。
11. 根据权利要求9或权利要求10所述的方法，其中，在所述接收所述VNFM以密文形式发送的密码之后，所述方法还包括：

    向所述VNFM发送密钥交换请求，所述密钥交换请求中携带有第一密钥交换数，所述第一密钥交换数用于供所述VNFM生成第二密钥，所述第二密钥用于更新所述第一密钥；

    接收所述VNFM发送的第二密钥交换数，所述第二密钥交换数是所述VNFM根据所述密钥交换请求生成的；

    根据所述第二密钥交换数生成所述第二密钥。
12. 根据权利要求11所述的方法，其中，在所述根据所述第二密钥交换数生成所述第二密钥之后，所述方法还包括：

    接收所述VNFM发送的第一生命周期操作请求，所述第一生命周期操作请求中携带有第二密文，所述第二密文是所述VNFM采用所述第二密钥对第一内容进行加密得到的，所述第一内容为所述第一生命周期操作请求中的请求内容中的密码，或者，所述第一内容为所述请求内容中的密码和其他信息；

    采用所述第二密钥对所述第二密文进行解密，得到所述第一内容。
13. 根据权利要求11所述的方法，其中，在所述根据所述第二密钥交换数生成所述第二密钥之后，所述方法还包括：

    向所述VNFM发送第二生命周期操作请求；

    接收所述VNFM发送的响应消息，所述响应消息用于响应所述第二生命周期操作请求，且所述响应消息中携带有第三密文，所述第三密文是所述VNFM采用所述第二密钥对第二内容进行加密得到的，所述第二内容为所述响应消息中的响应内容中的密码，或者，所述第二内容为所述响应内容中的密码和其他信息；

    采用所述第二密钥对所述第三密文进行解密，得到所述第二内容。
14. 根据权利要求11所述的方法，其中，在所述根据所述第二密钥交换数生成所述第二密钥之后，所述方法还包括：

    采用所述第二密钥对第三内容进行加密，得到第四密文，所述第三内容为第三生命周期操作请求中的请求内容中的密码，或者，所述第三内容为所述请求内容中的密码和其他信息；

    将所述第四密文携带在所述第三生命周期操作请求中发送给所述VNFM，所述第四密文由所述VNFM采用生成的所述第二密钥进行解密后得到所述第三内容。
15. 根据权利要求11所述的方法，其中，在所述向所述VNFM发送密钥交换请求之前，所述方法还包括：

    接收所述VNFM发送的部署完成的通知消息，在所述通知消息的触发下执行所述向所述VNFM发送密钥交换请求的步骤；或者，

    接收所述VNFM发送的第四生命周期操作请求，在所述第四生命周期操作请求的触发下执行所述向所述VNFM发送密钥交换请求的步骤；或者，

    在所述VNF中发生预定生命周期操作后，在所述预定生命周期操作的触发下执行所述向所述VNFM发送密钥交换请求的步骤。
16. 一种VNFM，所述VNFM包括：

    第一发送单元，用于在部署VNF时，向所述VNF发送第一加密配置信息，所述第一加密配置信息中携带有指示信息，所述指示信息用于指示所述VNFM是否支持加密功能；

    第一接收单元，用于接收所述VNF发送的第二加密配置信息，所述第二加密配置信息用于指示所述VNF是否支持加密功能；

    所述第一发送单元，还用于若确定所述VNFM和所述VNF都支持加密功能，则以密文形式向所述VNF发送密码；

    所述第一发送单元，还用于若确定所述VNFM和所述VNF中的至少一个不支持加密功能，则以明文形式向所述VNF发送密码。
17. 一种VNF，所述VNF包括：

    第二接收单元，用于在部署所述VNF时，接收VNFM发送的第一加密配置信息，所述第一加密配置信息中携带有指示信息，所述指示信息用于指示所述VNFM是否支持加密功能；

    第二发送单元，用于向所述VNFM发送第二加密配置信息，所述第二加密配置信息用于指示所述VNF是否支持加密功能；

    所述第二接收单元，还用于接收所述VNFM以密文形式发送的密码，所述密码是所述VNFM确定所述VNFM和所述VNF都支持加密功能时，以密文形式发送的；或者，

    所述第二接收单元，还用于接收所述VNFM以明文形式发送的密码，所述密码是所述VNFM确定所述VNFM和所述VNF中的至少一个不支持加密功能时，以明文形式发送的。
18. 一种系统，所述系统包括VNFM和VNF；

    所述VNFM为如权利要求16所述的VNFM；

    所述VNF为如权利要求17所述的VNF。
19. 一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时实现权利要求1至8中任一所述的VNFM与VNF建立数据安全连接的方法，或者能够实现如9至15中任一所述的VNFM与VNF建立数据安全连接的方法。

Images