[发明专利]一种证书获取方法和设备

说明书

公开了一种证书获取方法和设备，包括：VNFM接收VNF实例发送证书申请代理消息，证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息，验证信息用于在VNF实例与VNFM之间建立代理申请证书通道；VNFM利用验证信息对VNF实例进行验证，并在验证通过时，向CA发送证书申请消息，证书申请消息中包含了用于申请证书的证书申请信息；VNFM接收CA签发的证书，并将证书发送给VNF实例，这样，实例化的VNF实例通过VNFM与证书认证中心之间的信任链路申请证书认证中心签发的证书，有效保证了VNF实例申请证书的合法性，确保了VNF实例与VNFM之间通过证书认证中心签发的证书建立管理通道的安全性。

技术领域

本发明涉及虚拟网络的部署领域，尤其涉及一种证书获取方法和设备。

背景技术

网络功能虚拟化(Network Function Virtualization，NFV)是以“传统网络虚拟化”为目的而成立的标准组织，制定了一套在虚拟化环境下部署网络的标准。通过NFV组织制定的标准，可以实现网络的虚拟化以及灵活部署等能力。

NFV制定的虚拟网络架构包含了：网元管理系统(Element Management System，EMS)、NFV编排器(NFV Orchestra，NFVO)、虚拟化的网络功能((Virtual NetworkFunction，VNF)实例、VNF管理器(VNF Manager，VNFM)、NFV的基础设施(Network FunctionVirtual Infrastructure，NFVI)、VNF框架中管理虚拟基础设施(Virtual InfrastructureManager，VIM)。

其中，EMS，即传统网元管理设备，用于将实例化得到的VNF实例作为一个网元进行管理；NFVO，用于编排VNF；VNF实例，即运行了网络功能的虚拟化网元；VNFM，用于管理VNF；NFVI包含了虚拟化的计算资源、虚拟化的存储资源、虚拟化的网络资源等；VIM，用于根据NFVO和VNFM的指令，对NFVI进行管理。

EMS或者VNFM通过与VNF之间建立管理通道，实现对VNF的管理。为了防止恶意用户攻击网络，在EMS或者VNFM与VNF之间建立管理通道时，需要双方进行身份认证，一般采用传输层安全技术(即证书认证方式)进行身份认证，也就是说，以证书作为身份认证的凭证，执行双方身份认证操作。

然而在传统网络中，证书获取的方式包括但不限于以下两种：

第一种方式：

手工导入方式或者通过硬件、软件初始安装时导入一个与硬件绑定的初始证书，在利用初始证书通过证书管理协议获取需要的认证证书。

但是，在NFV标准中，VNF自动生成在VM上，无法通过第一种方式得到证书，也就是使得EMS或者VNFM与VNF之间建立管理通道的安全性较差。

第二种方式：

在网元生成时，由网元生产商在网元中内置一个生产商的证书，使得网元在被初始配置时，使用证书管理协议向运营商的公共密钥系统(Public Key Infrastructure，PKI)申请运营商签发的证书，在申请证书过程中，网元使用生产商证书作为自己的身份凭证，使得PKI信任该网元并签发运营商的证书。

但是，在虚拟化环境中，VNF动态生成，因此不能通过第二种方式申请证书，也就是使得EMS或者VNFM与VNF之间建立管理通道的安全性较差。

发明内容

有鉴于此，本发明实施例提供了一种证书获取方法和设备，用于解决存在的EMS或者VNFM与VNF之间建立管理通道的安全性较差的问题。

根据本发明的第一方面，提供了一种证书获取设备，包括：