基于网络功能虚拟化的证书配置方法、装置和系统制造方法及图纸
【技术实现步骤摘要】
【国外来华专利技术】基于网络功能虚拟化的证书配置方法、装置和系统
本专利技术实施例涉及网络通信
,尤其涉及一种基于网络功能虚拟化的证书配置方法、装置和系统。
技术介绍
在网络功能虚拟化NFV(NetworkFunctionVirtulization)场景下,传统网络及网络节点的架构发生较大变化,传统的物理电信节点在新的网络架构下,演变为虚拟器中的虚拟节点,以虚拟机的形式存在,这样使得多个传统物理节点共同部署在同一物理宿主机上,共享硬件资源,甚至与其它第三方应用软件共享资源;另外为便于虚拟机动态迁移和提升同一虚拟器中虚拟机之间的通信性能,传统IP网络通过虚拟交换机、虚拟网络适配器进而演变为虚拟网络,虚拟机之间将直接通过虚拟网络通信,从而绕过了传统物理网络设备。然而,虚拟网络内部虚拟机之间通信、虚拟机与外部网络通信面临着安全风险,例如虚拟机之间的相互攻击,宿主机应用对主机、虚拟机之间的攻击,宿主机利用与虚拟机网络互通进行攻击,通过远程维护管理通道对虚拟机的攻击,通过网络边缘节点进行外部网络攻击等。因此,网络功能虚拟化面临的这些通信威胁要求虚拟化通信采用特定的安全技术建立安全连接,用...
【技术保护点】
PCT国内申请,权利要求书已公开。
【技术特征摘要】
【国外来华专利技术】1.一种基于网络功能虚拟化的证书配置方法,其特征在于,包括:虚拟网络管理实体获取虚拟网络功能实体的初始信任状信息;所述虚拟网络管理实体在对所述虚拟网络功能实体进行实例化的过程中或实例化之后,将所述初始信任状信息安装到所述虚拟网络功能实体中,以使所述虚拟网络功能实体利用所述初始信任状信息从认证中心获取所述虚拟网络功能实体的网络运营商签发的正式证书。2.根据权利要求1所述的方法,其特征在于,所述虚拟网络管理实体获取虚拟网络功能实体的初始信任状信息,包括:所述虚拟网络管理实体接收网络运营管理实体发送的实例化请求,所述实例化请求中包括所述虚拟网络功能实体的初始信任状信息。3.根据权利要求1所述的方法,其特征在于,所述虚拟网络管理实体获取虚拟网络功能实体的初始信任状信息,包括:所述虚拟网络管理实体从所述虚拟网络功能包或所述虚拟网络功能的镜像文件或所述虚拟网络功能的描述器VNFD中或所述虚拟网络功能的实例化数据中获取所述虚拟网络功能实体的初始信任状信息;所述虚拟网络功能包或所述镜像文件或所述VNFD或所述实例化数据为所述网络运营管理实体在所述虚拟网络管理实体对所述虚拟网络功能实体进行实例化之前或实例化的过程中发送给所述虚拟网络管理实体,所述VNFD或所述镜像文件中包括所述初始信任状信息。4.根据权利要求1-3任一项所述的方法,其特征在于:所述初始信任状信息包括但不限于证书、预共享密钥、令牌和/或密码。5.根据权利要求4所述的方法,其特征在于:所述初始信任状信息包括证书时,所述初始信任状信息中包括初始证书以及对应的第一私钥;所述初始证书是所述虚拟网络功能实体的提供商或网络运营商为所述虚拟网络功能实体所签发,所述第一私钥为所述初始证书对应的第一公钥-私钥对中的私钥。6.根据权利要求5所述的方法,其特征在于:所述初始证书用所述虚拟网络功能实体的提供商的根证书或中间证书对应的私钥进行签名,其中,所述虚拟网络功能实体的提供商的中间证书是隶属于所述虚拟网络功能实体的提供商的根证书的下级子证书签发的证书;或者所述初始证书用所述虚拟网络功能实体的网络运营商的根证书或中间证书对应的私钥进行签名,其中,所述虚拟网络功能实体的网络运营商的中间证书是隶属于所述虚拟网络功能实体的网络运营商的根证书的下级子证书签发的证书。7.根据权利要求1-3任一项所述的方法,其特征在于,所述虚拟网络管理实体包括第一管理实体NFVO、第二管理实体VNFM、第三管理实体VIM和第四管理实体NFVI管理控制单元;所述网络运营管理实体包括运营支撑系统OSS或网元管理系统EMS;所述虚拟网络功能实体包括虚拟网络功能单元VNF或虚拟网络功能子单元VNFC。8.根据权利要求7所述的方法,其特征在于,所述初始信任状信息是所述第一管理实体NFVO或所述第二管理实体VNFM或所述网络运营管理实体为所述虚拟网络功能实体配置的。9.根据权利要求7所述的方法,其特征在于,所述初始信任状信息由所述第一管理实体NFVO发送给所述第三管理实体VIM,或者由所述第二管理实体VNFM经由所述第一管理实体NFVO发送给所述第三管理实体VIM,或者由所述第二管理实体VNFM发送给所述第三管理实体VIM。10.根据权利要求7所述的方法,其特征在于,还包括:所述初始信任状信息在VNF实例化过程中或实例化过程之后,由所述第三管理实体VIM发送给所述第四管理实体NFVI管理控制单元,并由所述第四管理实体NFVI管理控制单元通过虚拟机安装于所述虚拟网络功能实体上。11.根据权利要求7所述的方法,其特征在于,所述初始信任状信息由所述第一管理实体NFVO发送给所述第二管理实体VNFM,或者由所述网络运营管理实体经由NFVO发送给VNFM,或者由网络运营管理实体发送给VNFM。12.根据权利要求11所述的方法,其特征在于,所述初始信任状信息在VNF实例化过程中或实例化过程之后,由所述第二管理实体VNFM安装于虚拟网络功能实体上。13.一种基于网络功能虚拟化的证书配置方法,其特征在于,包括:虚拟网络功能实体在虚拟网络管理实体对所述虚拟网络功能实体进行实例化的过程中或实例化之后获取初始信任状信息;所述虚拟网络功能实体利用所述初始信任状信息从认证中心获取所述虚拟网络功能实体的网络运营商签发的正式证书。14.根据权利要求13所述的方法,其特征在于:所述初始信任状信息包括但不限于证书、预共享密钥、令牌和/或密码。15.根据权利要求14所述的方法,其特征在于:所述初始信任状信息包括证书时,所述初始信任状信息中包括初始证书以及对应的第一私钥;所述初始证书是所述虚拟网络功能实体的提供商或网络运营商为所述虚拟网络功能实体所签发,所述第一私钥为所述初始证书对应的第一公钥-私钥对中的私钥。16.根据权利要求15所述的方法,其特征在于:所述初始证书用所述虚拟网络功能实体的提供商的根证书或中间证书对应的私钥进行签名,其中,所述虚拟网络功能实体的提供商的中间证书是隶属于所述虚拟网络功能实体的提供商的根证书的下级子证书签发的证书;或者所述初始证书用所述虚拟网络功能实体的网络运营商的根证书或中间证书对应的私钥进行签名,其中,所述虚拟网络功能实体的网络运营商的中间证书是隶属于所述虚拟网络功能实体的网络运营商的根证书的下级子证书签发的证书。17.根据权利要求13-15任一项所述的方法,其特征在于,所述初始信任状信息携带在所述虚拟网络功能包或所述虚拟网络功能的镜像文件或所述虚拟网络功能的描述器VNFD或所述虚拟网络功能的实例化数据中。18.根据权利要求13所述的方法,其特征在于,所述虚拟网络管理实体包括第一管理实体NFVO、第二管理实体VNFM、第三管理实体VIM和第四管理实体NFVI管理控制单元;所述网络运营管理实体包括运营支撑系统OSS或网元管理系统EMS;所述虚拟网络功能实体包括虚拟网络功能单元VNF或虚拟网络功能子单元VNFC。19.根据权利要求18任一项所述的方法,其特征在于:所述初始信任状信息还可以为所述第一管理实体NFVO或所述第二管理实体VNFM或所述网络运营管理实体为所述虚拟网络功能实体配置的初始信任状信息。20.根据权利要求13所述的方法,其特征在于,所述虚拟网络功能实体利用所述初始信任状信息从认证中心获取所述虚拟网络功能实体的网络运营商签发的正式证书,包括:所述虚拟网络功能实体向所述认证中心发送证书请求消息,所述证书请求消息中包括第三公钥和所述初始信任状,以使所述认证中心使用所述初始信任状验证接收到的所述证书请求消息;在验证成功时使用所述网络运营商的根证书或中间证书对应的私钥对所述第三公钥进行签名,生成所述网络运营商签发的正式证书;所述虚拟网络功能实体接收所述认证中心发送的证书响应消息,所述证书响应消息中包括所述正式证书,或者所述证书响应消息中还包括所述网络运营商的根证书;所述虚拟网络功能实体验证所述证书响应消息,在验证成功时,获得所述网络运营商签发的正式证书。21.根据权利要求20所述的方法,其特征在于,所述第三公钥为所述虚拟网络功能实体生成或配置的第三公钥-私钥对中的公钥;如果所述初始信任状为证书,所述证书请求消息用所述初始证书对应的私钥进行签名;所述证书响应消息包括认证证书,用所述认证证书对应的私钥进行签名。22.根据权利要求21所述的方法,其特征在于,所述认证证书是所述网络运营商的根证书或中间证书签发的;若所述认证证书是所述网络运营商的中间证书签发,则所述方法还包括:所述虚拟网络功能实体使用所述网络运营商的中间证书验证所述认证证书,用所述网络运营商的根证书验证所述中间证书。23.一种虚拟网络管理实体,其特征在于,包括:获取模块,用于获取虚拟网络功能实体的初始信任状信息;实例化模块,用于在对所述虚拟网络功能实体进行实例化的过程中或实例化之后,将所述初始信任状信息安装到所述虚拟网络功能实体中,以使所述虚拟网络功能实体利用所述初始信任状信息从认证中心获取所述虚拟网络功能实体的网络运营商签发的正式证书。24.根据权利要求23所述的虚拟网络管理实体,其特征在于,所述获取模块用于:在接收网络运营管理实体发送的实例化请求中获取所述实...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。