一种证书请求消息发送方法、接收方法和装置制造方法及图纸

本申请公开一种证书请求消息发送方法、接收方法和装置，所述方法包括：虚拟网络功能VNF实体获取一次性凭据和第一证书请求消息；解析所述一次性凭据得到第一安全密钥和第一hmac密钥；利用所述第一安全密钥和所述第一hmac密钥对所述第一证书请求消息进行处理生成第二证书请求消息，所述第二证书请求消息中包括用于识别所述VNF实体的身份标识；将所述第二证书请求消息发送给认证中心，以便于所述认证中心对所述VNF实体的身份进行验证。本方法中利用安全密钥和hmac密钥对证书请求消息进行加密处理，既实现了对发送请求的VNF实体的身份验证，又保护了请求消息传输的安全性和完整性。

【技术实现步骤摘要】
一种证书请求消息发送方法、接收方法和装置
本申请涉及无线通信领域，尤其涉及一种证书请求消息发送方法、接收方法和装置。
技术介绍
在网络功能虚拟化(NetworkFunctionVirtualization，NFV)系统中，包括至少一个虚拟网络功能(VirtualNetworkFunction，VNF)实体，简称VNF实体。每个VNF实体包括至少一种网络功能，用于实现虚拟化环境中的特定功能。在VNF实体与其他网元实体前，需要在VNF实体上安装证书，以保证数据传输的安全性。一般的，可以通过直接由公共密钥基础设施(Publickeyinfrastructure，PKI)生成证书文件和私钥，然后再将该证书文件和私钥通过拷贝方式下发给各个VNF实体，以供VNF实体安装和使用。具体地，预置证书的过程包括：在生产软硬件时，生产商通过自己的PKI系统，为每个网元内置一个唯一的生产商证书，此生产商证书与硬件标识绑定，以保证在生产过程中的证书颁发过程硬件证书唯一性。网元上线获取初始配置后，使用证书管理协议(例如证书管理协议(CertificateManagementProtocol,CMP))协议向运营商的PKI系统申请运营商颁发的证书。在申请证书过程中，网元(例如VNF实体)需要向认证中心(CertificateAuthority，CA)发送请求消息，以请求CA签发证书。但是，目前VNF实体发送的证书请求消息由于没有设置安全机制，都是明文发送，因此容易被截获和篡改，导致CA不能将证书正确地签发给对应的请求方VNF实体。
技术实现思路
本申请提供了一种证书请求消息发送方法、接收方法和装置，以保证证书请求消息传输的安全性和完整性。第一方面，本申请提供了一种证书请求消息发送方法，具体地，所述方法包括如下步骤：虚拟网络功能简称VNF实体获取一次性凭据和第一证书请求消息；然后对该一次性凭据进行解析得到第一安全密钥和第一hmac密钥；再利用所述第一安全密钥和所述第一hmac密钥对所述第一证书请求消息进行处理并生成第二证书请求消息，其中，所述第二证书请求消息中包括用于识别该VNF实体的身份标识；该方法还包括：VNF实体将所述第二证书请求消息发送给认证中心，以便于所述认证中心对该VNF实体的身份进行验证。其中，本方法中涉及的一次性凭据可以为随机数。所述第一证书请求消息可以由VNF实体内部生成或者从其它网络实体中获取，对此不予限制。采用本方面提供的方法，VNF实体利用安全密钥对证书请求消息进行加密处理，能够防止消息内容被明文发送，利用hmac密钥处理证书请求消息能够防止消息的内容被截获和篡改，并且通过在证书请求消息中绑定VNF实体的身份标识，使得认证中心能够准确地辨认发送方VNF实体，既实现了认证中心对发送请求的VNF实体的身份验证，又保护了请求消息传输的安全性和完整性。结合第一方面，在一种实现方式中，上述方法中的步骤：所述VNF实体利用所述第一安全密钥和所述第一hmac密钥对所述第一证书请求消息进行处理生成第二证书请求消息的过程具体包括：VNF实体利用所述第一安全密钥对所述第一证书请求消息做加密处理，并生成第一请求消息密文；然后利用所述第一hmac密钥对所述第一证书请求消息做HMAC函数运算生成第一散列消息验证码，并将所述第一散列消息验证码发送给所述认证中心；所述VNF实体结合所述第一请求消息密文和所述第一散列消息验证码生成所述第二证书请求消息。本方面利用第一hmac密钥直接对第一证书请求消息做HMAC函数运算能够保证原始请求消息内容的安全性，防止先经过第一安全密钥加密后的证书请求消息的内容发生篡改。结合第一方面，在一种实现方式中，上述方法中的步骤：所述VNF实体获取一次性凭据的过程具体包括：所述VNF实体获取管理和编排简称MANO实体转发的所述一次性凭据，或者，所述VNF实体获取所述认证中心发送的所述一次性凭据。其中，每个一次性凭据只能应用于一次证书请求，因此当认证中心对一个证书请求消息进行验证之后，该对应的一次性凭据就会失效，从而能够避免一个凭据被多次使用，或者凭据被攻击者利用，导致伪造申请证书，威胁网络系统安全。结合第一方面，在一种实现方式中，上述方法中的步骤：所述VNF实体获取所述认证中心发送的所述一次性凭据之前，所述方法还包括：所述VNF实体生成注册请求消息，所述注册请求消息中包括所述VNF实体的身份标识；然后向所述认证中心发送该注册请求消息，以使认证中心根据所述注册请求消息的内容生成一次性凭据。结合第一方面，在一种实现方式中，如果所述VNF实体为VNFA实体，那么还包括VNFS实体，进一步地，在上述方法中的步骤：所述VNF实体获取一次性凭据的过程包括：所述VNFA实体获取VNFS实体转发的一次性凭据，其中，所述VNFA实体与所述VNFS实体之间预先共享有秘密信息，该秘密信息用于建立所述VNFA实体与所述VNFS实体之间的安全通道，并利用该安全通道进行通信，可以提高传输数据或信息的安全性。具体地，所述VNF实体将所述第二证书请求消息发送给认证中心的过程具体包括：VNFA实体通过VNFS实体转发将所述第二证书请求消息发送给认证中心。本实现方式应用于分离的多个VNF实体的场景，当多个VNF实体与外部网元进行数据交互时，设置VNFS实体对前端的多个VNF实体进行管理和控制，并通过VNFS实体向认证中心转发证书请求消息，实现了多个VNF实体或VNFA实体与MANO实体和认证中心的通信。此外，通过VNF实体与VNFS实体之间的共享秘密信息，建立安全通道以发送一次性凭据和证书请求消息，进而保证数据传输的安全性。结合第一方面，在一种实现方式中，上述方法中的步骤：所述VNF实体获取所述MANO实体转发的所述一次性凭据的过程具体包括：所述VNF实体与所述MANO实体之间建立第一安全通道,所述VNF实体通过该第一安全通道获取所述MANO实体转发的所述一次性凭据，本实现方式中由于建立了第一安全通道传输一次性凭据，避免了凭据被明文发送和转发，从而保证了传输一次性凭据的安全性。第二方面，本申请提供了一种证书请求消息接收方法，该方法可以应用于认证中心，与第一方面提供的证书请求消息发送方法相对应，具体地，该接收方法包括如下步骤：认证中心获取VNF实体发送的第二证书请求消息，所述第二证书请求消息中包括用于识别所述VNF实体的身份标识；认证中心根据所述身份标识确定所述VNF实体对应的一次性凭据；以及根据该一次性凭据和第二证书请求消息对所述VNF实体的身份进行验证。结合第二方面，在一种实现方式中，所述第二证书请求消息中包括第一散列消息验证码；上述方法中的步骤：所述认证中心根据所述一次性凭据和所述第二证书请求消息对所述VNF实体的身份进行验证的过程具体包括：认证中心解析所述一次性凭据得到第二安全密钥和第二hmac密钥；然后利用所述第二安全密钥对所述第二证书请求消息解密得到所述第二证书请求消息的内容；所述认证中心再利用所述该第二hmac密钥对所述第二证书请求消息的内容做HMAC函数运算，并生成第三证书请求消息；判断如果所述第三证书请求消息与第一散列消息验证码相同，则验证所述VNF实体身份合法。；否则，身份不合法。结合第二方面，在一种实现方式中，所述方法还本文档来自技高网...

【技术保护点】
1.一种证书请求消息发送方法，其特征在于，所述方法包括：虚拟网络功能VNF实体获取一次性凭据和第一证书请求消息；所述VNF实体解析所述一次性凭据得到第一安全密钥和第一hmac密钥；所述VNF实体利用所述第一安全密钥和所述第一hmac密钥对所述第一证书请求消息进行处理生成第二证书请求消息，所述第二证书请求消息中包括用于识别所述VNF实体的身份标识；所述VNF实体将所述第二证书请求消息发送给认证中心，以便于所述认证中心对所述VNF实体的身份进行验证。

【技术特征摘要】
1.一种证书请求消息发送方法，其特征在于，所述方法包括：虚拟网络功能VNF实体获取一次性凭据和第一证书请求消息；所述VNF实体解析所述一次性凭据得到第一安全密钥和第一hmac密钥；所述VNF实体利用所述第一安全密钥和所述第一hmac密钥对所述第一证书请求消息进行处理生成第二证书请求消息，所述第二证书请求消息中包括用于识别所述VNF实体的身份标识；所述VNF实体将所述第二证书请求消息发送给认证中心，以便于所述认证中心对所述VNF实体的身份进行验证。2.根据权利要求1所述的方法，其特征在于，所述VNF实体利用所述第一安全密钥和所述第一hmac密钥对所述第一证书请求消息进行处理生成第二证书请求消息，包括：所述VNF实体利用所述第一安全密钥对所述第一证书请求消息做加密处理生成第一请求消息密文；所述VNF实体利用所述第一hmac密钥对所述第一证书请求消息做HMAC函数运算生成第一散列消息验证码；所述VNF实体结合所述第一请求消息密文和所述第一散列消息验证码生成所述第二证书请求消息。3.根据权利要求1或2所述的方法，其特征在于，所述VNF实体获取一次性凭据，包括：所述VNF实体获取管理和编排MANO实体转发的所述一次性凭据，或者，所述VNF实体获取所述认证中心发送的所述一次性凭据。4.根据权利要求3所述的方法，其特征在于，所述VNF实体获取所述认证中心发送的所述一次性凭据之前，所述方法还包括：所述VNF实体生成注册请求消息，所述注册请求消息中包括所述VNF实体的身份标识；所述VNF实体向所述认证中心发送所述注册请求消息。5.根据权利要求1所述的方法，其特征在于，所述VNF实体为VNFA实体，还包括VNFS实体，所述VNF实体获取一次性凭据包括：所述VNFA实体获取VNFS实体转发的所述一次性凭据，其中，所述VNFA实体与所述VNFS实体之间共享有秘密信息，所述秘密信息用于建立所述VNFA实体与所述VNFS实体之间的安全通道；所述VNF实体将所述第二证书请求消息发送给认证中心，包括：所述VNFA实体通过所述VNFS实体将所述第二证书请求消息发送给认证中心。6.根据权利要求3所述的方法，其特征在于，所述VNF实体获取所述MANO实体转发的所述一次性凭据，包括：所述VNF实体与所述MANO实体之间建立第一安全通道；所述VNF实体通过所述第一安全通道获取所述MANO实体转发的所述一次性凭据。7.一种证书请求消息接收方法，其特征在于，所述方法包括：认证中心获取VNF实体发送的第二证书请求消息，所述第二证书请求消息中包括用于识别所述VNF实体的身份标识；所述认证中心根据所述身份标识确定所述VNF实体对应的一次性凭据；所述认证中心根据所述一次性凭据和所述第二证书请求消息对所述VNF实体的身份进行验证。8.根据权利要求7所述的方法，其特征在于，所述第二证书请求消息中包括第一散列消息验证码；所述认证中心根据所述一次性凭据和所述第二证书请求消息对所述VNF实体的身份进行验证，包括：所述认证中心解析所述一次性凭据得到第二安全密钥和第二hmac密钥；所述认证中心利用所述第二安全密钥对所述第二证书请求消息解密得到所述第二证书请求消息的内容；所述认证中心利用所述第二hmac密钥对所述第二证书请求消息的内容做HMAC函数运算，生成第三证书请求消息；如果所述第三证书请求消息与第一散列消息验证码相同，则验证所述VNF实体身份合法。9.根据权利要求8所述的方法，其特征在于，所述方法还包括：如果所述VNF实体身份合法，则生成证书；所述认证中心将所述证书签发给所述VNF实体。10.根据权利要求7-9任一项所述的方法，其特征在于，所述认证中心获取VNF实体发送的第二证书请求消息之前，所述方法还包括：所述认证中心获取所述VNF实体的注册请求消息，所述注册请求消息中包括VNF实体的身份标识；所述认证中心根据所述VNF实体的身份标识生成一次性凭据；所述认证中心将所述一次性凭据发送给与所述身份标识对应的VNF实体。11.根据权利要求10所述的方法，其特征在于，所述认证中心将所述一次性凭据发送给所述VNF实体，包括：所述认证中心与MANO实体建立第二安全通道；所述认证中心通过所述第二安全通道将所述一次性凭据发送给所述VNF实体。12.根据权利要求10所述的方法，其特征在于，所述认证中心获取所述VNF实体的注册请求消息，包括：所述认证中心通过MANO实体获取所述VNF实体的注册请求消息。13.根据权利要求7所述的方法，其特征在于，所述VNF实体为VNFA实体，还包括VNFS实体，并且，所述VNFA实体与所述VNFS实体之间共享有秘密信息，所述秘密信息用于建立所述VNFA实体与所述VNFS实体之间的安全通道；所述认证中心获取VNF实体发送的第二证书请求消息，包括：所述认证中心获取所述VNFS实体使用所述安全通道转发的所述第二证书请求消息。14.一种注册请求消息发送方法，其特征在于，所述方法包括：MANO实体在创立至少一个VNF实体后，生成至少一个VNF实体的注册请求消息；所述MANO实体将所述至少一个VNF实体的注册请求消息发送给认证中心，其中每个所述注册请求消息中包括用于识别一个VNF实体的身份标识。15.根据权利要求14所述的方法、其特征在于，所述方法还包括：所述MANO实体获取来自所述认证中心的至少一个一次性凭据，所述每个所述一次性凭据根据所述注册请求消息中的VNF实体身份标识生成；所述MANO实体将所述至少一个一次性凭据发送给对应的VNF实体。16.根据权利要求15所述的方法，其特征在于，所述MANO实体将所述至少一个一次性凭据发送给对应的VNF实体，包括：所述MANO实体与所述...

【专利技术属性】
技术研发人员：门方龙，王宏磊，李方展，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东,44