[发明专利]一种证书获取方法和设备

摘要

公开了一种证书获取方法和设备，包括：VNFM接收VNF实例发送证书申请代理消息，证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息，验证信息用于在VNF实例与VNFM之间建立代理申请证书通道；VNFM利用验证信息对VNF实例进行验证，并在验证通过时，向CA发送证书申请消息，证书申请消息中包含了用于申请证书的证书申请信息；VNFM接收CA签发的证书，并将证书发送给VNF实例，这样，实例化的VNF实例通过VNFM与证书认证中心之间的信任链路申请证书认证中心签发的证书，有效保证了VNF实例申请证书的合法性，确保了VNF实例与VNFM之间通过证书认证中心签发的证书建立管理通道的安全性。 1

主权项

1.一种证书获取设备，其特征在于，包括：

接收模块，用于接收VNF实例发送的证书申请代理消息，其中，所述证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息，所述验证信息用于在所述VNF实例与虚拟化网络功能VNF管理设备VNFM之间建立代理申请证书通道；

发送模块，用于利用所述接收模块接收到的所述验证信息对所述VNF实例进行验证，并在验证通过时，向证书认证中心CA发送证书申请消息，其中，所述证书申请消息中包含了用于申请证书的证书申请信息；

所述接收模块，还用于接收所述CA签发的证书；

所述发送模块，还用于将所述接收模块接收到的所述证书发送给所述VNF实例，其中，所述证书是所述CA根据所述证书申请消息中包含了用于申请证书的证书申请信息生成的。

2.如权利要求1所述的设备，其特征在于，所述验证信息为临时证书，其中，所述临时证书是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的，并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的。

3.如权利要求2所述的设备，其特征在于，

所述发送模块，具体用于将接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书进行比较；

在确定接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书相同时，确定对所述VNF实例的验证通过；

在确定接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书不相同时，确定对所述VNF实例的验证未通过。

4.如权利要求1所述的设备，其特征在于，所述验证信息为预共享密钥PSK，其中，所述PSK是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时生成的，并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的。

5.如权利要求4所述的设备，其特征在于，

所述接收模块，具体用于向所述VNF实例发送PSK，并接收VNF实例发送的证书申请代理消息，其中，所述证书申请代理消息是所述VNF实例在确定本地注入的PSK与接收到的所述VNFM发送的PSK相同或关联时向所述VNFM发送的。

6.如权利要求5所述的设备，其特征在于，所述发送模块，具体用于将接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK进行比较；

在确定接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK相同或关联时，确定对所述VNF实例的验证通过；

在确定接收到的PSK与NFVO确定需要实例化所述VNF实例时签发的PSK不相同或不关联时，确定对所述VNF实例的验证未通过。

7.如权利要求1至6任一所述的设备，其特征在于，所述设备还包括：

通道建立模块，用于在将所述证书发送给所述VNF实例时，利用所述证书建立与所述VNF实例之间的管理通道。

8.一种证书获取设备，其特征在于，包括：

接收模块，用于接收VNF框架中管理虚拟基础设施VIM发送证书申请代理消息，其中，所述证书申请代理消息中包含了请求申请证书的VNF实例和所述VNF实例用于申请证书的证书申请信息；

发送模块，用于向证书认证中心CA发送证书申请消息，其中，所述证书申请消息中包含了所述接收模块接收到的所述VNF实例用于申请证书的证书申请信息；

所述接收模块，还用于接收所述CA签发的证书；

所述发送模块，还用于将所述接收模块接收到的所述证书发送给所述VIM，其中，所述证书是所述CA根据所述证书申请信息中包含了所述VNF实例用于申请证书的证书申请信息生成的。

9.如权利要求8所述的设备，其特征在于，所述证书申请代理消息是由所述VIM根据接收到的证书申请信息生成的，其中，所述证书申请信息由所述VNF实例根据初始化参数得到，并由所述VNF实例发送给VM，再由所述VM通过与所述VIM之间的安全通道发送给所述VIM的。

10.如权利要求9所述的设备，其特征在于，所述初始化参数包含了CA信息、证书管理域的域名，由虚拟化功能网络编排器NFVO确定实例化所述VNF实例时得到。

11.一种证书获取设备，其特征在于，包括：

接收模块，用于接收虚拟化网络功能VNF实例发送的证书申请消息，其中，所述证书申请消息中包含了临时证书和用于申请证书的证书申请信息，所述临时证书是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时从CA中申请的，并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的；

签发模块，用于利用所述接收模块接收到的所述临时证书对所述VNF实例进行认证，并在认证通过时，根据所述证书申请消息中包含的用于申请证书的证书申请信息，签发证书给所述VNF实例。

12.一种证书获取设备，其特征在于，包括：

信号接收器，用于接收VNF实例发送的证书申请代理消息，其中，所述证书申请代理消息中包含了验证信息和用于申请证书的证书申请信息，所述验证信息用于在所述VNF实例与虚拟化网络功能VNF管理设备VNFM之间建立代理申请证书通道；

信号发射器，用于利用所述验证信息对所述VNF实例进行验证，并在验证通过时，向证书认证中心CA发送证书申请消息，其中，所述证书申请消息中包含了用于申请证书的证书申请信息；

所述信号接收器，还用于接收所述CA签发的证书；

所述信号发射器，还用于将所述证书发送给所述VNF实例，其中，所述证书是所述CA根据所述证书申请消息中包含了用于申请证书的证书申请信息生成的。

13.如权利要求12所述的设备，其特征在于，所述验证信息为临时证书，其中，所述临时证书是由虚拟化功能网络编排器NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的，并经由VNF框架中管理虚拟基础设施VIM、NFV基础设施NFVI和所述VNF运行的虚拟机VM传输至所述VNF实例的。

14.如权利要求13所述的设备，其特征在于，

所述信号发射器，具体用于将接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书进行比较；

所述VNFM在确定接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书相同时，确定对所述VNF实例的验证通过；

所述VNFM在确定接收到的临时证书与NFVO确定需要实例化所述VNF实例时从所述VNFM中申请的临时证书不相同时，确定对所述VNF实例的验证未通过。

15.如权利要求12所述的设备，其特征在于，所述验证信息为预共