一种证书获取方法和设备技术

本发明专利技术公开了一种证书获取方法和设备，接收新安装的VNFC实例发送的证书申请代理消息；并向证书认证中心发送证书请求消息；获取所述证书认证中心签发的证书，这样，对于新安装的VNFC实例，无需采用目前VNF获取证书的方式，有效避免了新安装的VNFC实例获取证书出现的过程繁琐、复杂度增大的问题；通过同一个网络功能虚拟化基础设施平台上已获取证书的其他VNFC实例，利用其他VNFC实例建立的与证书认证中心之间的信任通道，代替新安装的VNFC实例申请证书，不仅能够安全获取证书，而且还有效地简化了流程，提升了系统反应速度，改善了系统运行效率。

【技术实现步骤摘要】
【国外来华专利技术】一种证书获取方法和设备
本专利技术涉及虚拟网络部署领域，尤其涉及一种证书获取方法和设备。
技术介绍
NFV(NetworkFunctionVirtualization，网络功能虚拟化)是以“传统网络虚拟化”为目的而成立的标准组织，制定了一套在虚拟化环境下部署网络的标准。通过NFV组织制定的标准，可以实现网络的虚拟化以及灵活部署等能力。在NFV技术中引入VNF(VirtualizedNetworkFunction，虚拟化的网络功能)，使得传统CT网络以及网络节点的架构发生较大变化。在新的电信架构下，传统的物理电信节点演变为虚拟设备中的虚拟节点，并以虚拟机的形式存在。这样使得多个传统物理节点共同部署在同一个物理宿主机上，共享硬件资源，甚至与其他第三方应用软件共享资源，提升了同一个虚拟设备中不同虚拟机之间的通信性能。例如：传统的IP(InternetworkingProtocol，组网协议)网络通过虚拟交换机、虚拟网络适配器演变为虚拟网络，不同虚拟机之间通过虚拟网络进行通信，这样就绕过了传统物理网络设备。虚拟网络与传统网络相同，虚拟网络内部虚拟机之间通信、虚拟机与外部网络之间进行通信都面临着网络安全风险。例如：虚拟机之间的相互攻击，宿主机应用利用与虚拟机网络互通进行攻击等。对此，虚拟网络采用安全技术(例如：IPSec技术、TLS(TransportLayerSecurity，传输层安全协议)技术等)，建立虚拟机之间的安全连接。上述的安全技术需要相互通信的两个虚拟机上配置基于X.509的证书，以实现通信对端的相互验证。在虚拟化场景下，VNF是一组软件，在需要的时候进行实例化。所谓VNF的实例化，是指为一个VNF软件确定并分配需要的虚拟化资源并安装该VNF软件的过程。由于实例化的VNF不是传统的硬件实体，并不一直存在，而是以软件方式按需生成、动态存在，且其安装的物理位置也不固定。因此传统的实体证书配置方法并不适用于VNF这种虚拟软件。为了根据VNF的特性为VNF配置证书，目前提出了一种证书配置方式，即在VNF实例化的过程中，由运营商为实例化的VNF配置初始证书，并安装在实例化的VNF上；实例化的VNF利用初始证书，从证书认证中心(CA，CertificationAuthority)获取证书。在实际应用中，VNFC(VirtualNetworkFunctionComponent，虚拟化的网络功能组件)作为VNF的组件，获取CA签发的证书的方式与VNF获取证书的方式相同，即通过VNF实例化时对每一个VNFC配置初始证书，并在VNFC实例化后进行成功安装；此后VNFC实例利用初始证书向CA申请正式证书。引入初始证书之后，使得VNF获取证书的流程比较复杂，且初始证书关联的私钥在传递过程中面临泄露的风险，降低了VNF获取证书的安全性。然而，在NFV场景下，VNF可以有多个实施例。在使用的过程中，为了提高网络性能，可能需要增加新的VNFC。对于新增加的VNFC，如果需要对外通信则需要获取证书，而若依然采用上述利用初始证书获取正式证书的方式，不仅过程繁琐、复杂度增大，而且使得系统反应速度降低，运行效率也降低。
技术实现思路
有鉴于此，本专利技术实施例提供了一种证书获取方法和设备，用于解决对于VNF新增加的VNFC如何获取证书以改善系统反应速度、增加系统运行效率的问题。根据本专利技术的第一方面，提供了一种证书获取设备，包括：接收模块，用于接收新安装的虚拟网络功能VNFC实例发送的证书申请代理消息，其中，所述证书申请代理消息中包含了所述新安装的VNFC实例用于申请证书的公钥；发送模块，用于根据所述接收模块接收到的所述证书申请代理消息，向证书认证中心发送证书请求消息，请求所述证书认证中心为所述新安装的VNFC实例签发证书，其中，所述证书请求消息中包含了主VNFC实例的证书和所述新安装的VNFC实例用于申请证书的公钥；获取模块，用于获取所述证书认证中心签发的证书，其中，所述证书是由所述证书认证中心使用所述新安装的VNFC实例用于申请证书的公钥签发的。结合本专利技术第一方面可能的实施方式中，第一种可能的实施方式，所述设备还包括：所述接收模块，还用于在所述获取模块获取所述证书认证中心签发的证书之前，接收所述证书认证中心发送的证书响应消息；验证模块，用于对所述接收模块接收到的所述证书响应消息进行验证。结合本专利技术第一方面的第一种可能的实施方式中，第二种可能的实施方式，所述证书响应消息中包含了所述证书认证中心签发的证书；所述获取模块，具体用于在所述验证模块确定对所述证书响应消息验证通过时，获取所述证书响应消息中包含的所述证书认证中心签发给所述新安装的VNFC实例的证书，其中，所述新安装的VNFC实例的证书是由所述证书认证中心根据所述主VNFC实例的证书，通过对所述主VNFC发送的证书请求消息的认证后，对所述证书请求消息中包含的所述新安装的VNFC实例用于申请证书的公钥签名得到的。结合本专利技术第一方面可能的实施方式中，或者结合本专利技术第一方面的第一种可能的实施方式中，或者结合本专利技术第一方面的第二种可能的实施方式中，第三种可能的实施方式，所述证书申请代理消息和所述证书请求消息中还包含了私钥拥有性证明POP信息。结合本专利技术第一方面的第三种可能的实施方式中，第四种可能的实施方式，所述POP信息由所述新安装的VNFC实例使用公私密钥对中的私钥对私钥拥有性证明签名关键字字段进行签名得到。结合本专利技术第一方面可能的实施方式中，或者结合本专利技术第一方面的第一种可能的实施方式中，或者结合本专利技术第一方面的第二种可能的实施方式中，或者结合本专利技术第一方面的第三种可能的实施方式中，或者结合本专利技术第一方面的第四种可能的实施方式中，第五种可能的实施方式，所述新安装的VNFC实例使用的公私密钥对通过以下方式得到：所述新安装的VNFC实例生成公私密钥对；或网络功能虚拟化基础设备NFVI生成公私密钥对并注入至所述新安装的VNFC实例中。结合本专利技术第一方面可能的实施方式中，或者结合本专利技术第一方面的第一种可能的实施方式中，或者结合本专利技术第一方面的第二种可能的实施方式中，或者结合本专利技术第一方面的第三种可能的实施方式中，或者结合本专利技术第一方面的第四种可能的实施方式中，或者结合本专利技术第一方面的第五种可能的实施方式中，第六种可能的实施方式，所述发送模块，还用于在所述获取模块获取所述证书认证中心签发给所述新安装的VNFC实例的证书后，将获取的所述证书认证中心签发给所述新安装的VNFC实例的证书通过内部网络发送给新安装的VNFC实例。结合本专利技术第一方面可能的实施方式中，或者结合本专利技术第一方面的第一种可能的实施方式中，或者结合本专利技术第一方面的第二种可能的实施方式中，或者结合本专利技术第一方面的第三种可能的实施方式中，或者结合本专利技术第一方面的第四种可能的实施方式中，或者结合本专利技术第一方面的第五种可能的实施方式中，或者结合本专利技术第一方面的第六种可能的实施方式中，第七种可能的实施方式，所述主VNFC实例与所述新安装的VNFC实例属于同一个网络功能虚拟化基础设施NFVI平台中同一个VNF的不同组件。根据本专利技术的第二方面，提供了一种证书获取设备，包括：接收模块，用于接收主VNFC实例发送的证书请求消息，其中，所述证书请求消本文档来自技高网...

【技术保护点】
PCT国内申请，权利要求书已公开。

【技术特征摘要】
【国外来华专利技术】1.一种证书获取设备，其特征在于，包括：接收模块，用于接收新安装的虚拟化的网络功能组件VNFC实例发送的证书申请代理消息，其中，所述证书申请代理消息中包含了所述新安装的VNFC实例用于申请证书的公钥；发送模块，用于根据所述接收模块接收到的所述证书申请代理消息，向证书认证中心发送证书请求消息，请求所述证书认证中心为所述新安装的VNFC实例签发证书，其中，所述证书请求消息中包含了主虚拟化的网络功能组件VNFC实例的证书和所述新安装的VNFC实例用于申请证书的公钥；获取模块，用于获取所述证书认证中心签发的证书，其中，所述证书是由所述证书认证中心使用所述新安装的VNFC实例用于申请证书的公钥签发的。2.如权利要求1所述的设备，其特征在于，所述设备还包括：所述接收模块，还用于在所述获取模块获取所述证书认证中心签发的证书之前，接收所述证书认证中心发送的证书响应消息；验证模块，用于对所述接收模块接收到的所述证书响应消息进行验证。3.如权利要求2所述的设备，其特征在于，所述证书响应消息中包含了所述证书认证中心签发的证书；所述获取模块，具体用于在所述验证模块确定对所述证书响应消息验证通过时，获取所述证书响应消息中包含的所述证书认证中心签发给所述新安装的VNFC实例的证书，其中，所述新安装的VNFC实例的证书是由所述证书认证中心根据所述主VNFC实例的证书，通过对所述主VNFC发送的证书请求消息的认证后，对所述证书请求消息中包含的所述新安装的VNFC实例用于申请证书的公钥签名得到的。4.如权利要求1至3任一所述的设备，其特征在于，所述证书申请代理消息和所述证书请求消息中还包含了私钥拥有性证明POP信息。5.如权利要求4所述的设备，其特征在于，所述POP信息由所述新安装的VNFC实例使用公私密钥对中的私钥对私钥拥有性证明签名关键字字段进行签名得到。6.如权利要求1至5任一所述的设备，其特征在于，所述新安装的VNFC实例使用的公私密钥对通过以下方式得到：所述新安装的VNFC实例生成公私密钥对；或网络功能虚拟化基础设备NFVI生成公私密钥对并注入至所述新安装的VNFC实例中。7.如权利要求1至6任一所述的设备，其特征在于，所述发送模块，还用于在所述获取模块获取所述证书认证中心签发给所述新安装的VNFC实例的证书后，将获取的所述证书认证中心签发给所述新安装的VNFC实例的证书通过内部网络发送给新安装的VNFC实例。8.如权利要求1至7任一所述的设备，其特征在于，所述主VNFC实例与所述新安装的VNFC实例属于同一个网络功能虚拟化基础设施NFVI平台中同一个虚拟化的网络功能VNF的不同组件。9.一种证书获取设备，其特征在于，包括：接收模块，用于接收主虚拟化的网络功能组件VNFC实例发送的证书请求消息，其中，所述证书请求消息中包含了主VNFC实例的证书和新安装的虚拟化的网络功能组件VNFC实例用于申请证书的公钥；证书签发模块，用于根据所述接收模块接收到的所述主VNFC实例的证书对所述证书请求消息进行认证，并在认证通过时对所述新安装的VNFC实例用于申请证书的公钥签名得到签发的证书；发送模块，用于将所述证书签发模块签发的所述签发的证书发送给所述主VNFC实例。10.如权利要求9所述的设备，其特征在于，所述证书签发模块，具体用于利用所述主VNFC实例的证书验证所述证书请求消息的签名，以及利用签发的根CA证书或者签发的中间证书对接收到的所述主VNFC实例的证书进行验证。11.如权利要求9或10所述的设备，其特征在于，所述证书请求消息中还包含私钥拥有性证明POP信息。12.如权利要求11所述的设备，其特征在于，所述证书签发模块，还用于利用所述证书请求消息中包含的用于申请证书的公钥对所述证书请求消息中包含的POP信息进行认证。13.一种证书获取设备，其特征在于，包括：发送模块，用于向主虚拟化的网络功能组件VNFC实例发送证书申请代理消息，其中，所述证书申请代理消息中包含了新安装的虚拟化的网络功能组件VNFC实例用于申请证书的公钥，所述证书申请代理消息用于请求所述主VNFC实例向证书认证中心发送证书请求消息，所述证书请求消息用于请求所述证书认证中心为所述新安装的VNFC实例签发证书，所述证书请求消息中包含了所述主VNFC实例的证书和所述新安装的VNFC实例用于申请证书的公钥；接收模块，用于接收所述主VNFC实例发送的所述证书认证中心签发的证书，其中，所述证书是由所述证书认证中心对所述新安装的VNFC实例用于申请证书的公钥签名得到的。14.如权利要求13所述的设备，其特征在于，所述接收模块，还用于在向主VNFC发送证书申请代理消息之前，接收网络功能虚拟化编译器NFVO或者虚拟化的网络功能管理器VNFM发送的证书申请信息，其中，所述证书申请信息中包含了用于代理证书申请的主VNFC实例信息。15.如权利要求14所述的设备，其特征在于，所述设备还包括：建立模块，用于在向主VNFC发送证书申请代理消息之前，根据所述接收模块接收到的所述证书申请信息，建立与所述用于证书申请代理的主VNFC实例之间的网络连接，其中，所述网络连接属于同一个网络功能虚拟化基础设施NFVI平台的虚拟化的网络功能VNF内部的网络连接。16.如权利要求14至15任一所述的设备，其特征在于，所述接收模块，具体用于在安装时，接收网络功能虚拟化基础设备NFVI注入的证书申请信息。17.如权利要求14至16任一所述的设备，其特征在于，用于证书申请代理的主VNFC信息包含了主VNFC实例的网际协议IP地址、媒质接入控制MAC标识、虚拟网络信息中心NIC地址。18.如权利要求13至17任一所述的设备，其特征在于，所述新安装的VNFC实例用于申请证书的公钥通过以下方式得到：所述新安装的VNFC实例生成公私密钥对；或网络功能虚拟化基础设备NFVI生成公私密钥对，并注入至所述新安装的VNFC实例中。19.如权利要求13至18任一所述的设备，其特征在于，所述新安装的VNFC实例向主VNFC实例发送证书申请代理消息的触发方式包括：由VNF实例化触发；或，由VNF扩容触发。20.一种证书获取设备，其特征在于，包括：信号接收器，用于接收新安装的虚拟化的网络功能组件VNFC实例发送的证书申请代理消息，其中，所述证书申请代理消息中包含了所述新安装的VNFC实例用于申请证书的公钥；信号发射器，用于根据所述证书申请代理消息，向证书认证中心发送证书请求消息，请求所述证书认证中心为所述新安装的VNFC实例签发证书，其中，所述证书请求消息中包含了主虚拟化的网络功能组件VNFC实例的证书和所述新安装的VNFC实例用于申请证书的公钥；处理器，用于获取所述证书认证中心签发的证书，其中，所述证书是由所述证书认证中心使用所述新安装的VNFC实例用于申请证书的公钥签发的。21.如权利要求20所述的设备，其特征在于，所述信号接收器，还用于在获取所述证书认证中心签发的证书之前，接收所述证书认证中心发送的证书响应消息；所述处理器，还用于对接收到的所述证书响应消息进行验证。22.如权利要求21所述的设备，其特征在于，所述证书响应消息中包含了所述证书认证中心签发的证书；所述处理器，具体用于在对所述证书响应消息验证通过时，获取所述证书响应消息中包含的所述证书认证中心签发给所述新安装的VNFC实例的证书，其中，所述新安装的VNFC实例的证书是由所述证书认证中心根据所述主VNFC实例的证书，通过对所述主VNFC发送的证书请求消息的认证后，对所述证书请求消息中包含的所述新安装的VNFC实例用于申请证书的公钥签名得到的。23.如权利要求19至22任一所述的设备，其特征在于，所述证书申请代理消息和所述证书请求消息中还包含了私钥拥有性证明POP信息。24.如权利要求23所述的设备，其特征在于，所述POP信息由所述新安装的VNFC实例使用公私密钥对中的私钥对私钥拥有性证明签名关键字字段进行签名得到。25.如权利要求19至24任一所述的设备，其特征在于，所述新安装的VNFC实例使用的公私密钥对通过以下方式得到：所述新安装的VNFC实例生成公私密钥对；或网络功能虚拟化基础设备NFVI生成公私密钥对并注入至所述新安装的VNFC实例中。26.如权利要求19至25任一所述的设备，其特征在于，所述信号发射器，还用于在获取所述证书认证中心签发给所述新安装的VNFC实例的证书后，将获取的所述证书认证中心签发给所述新安装的VNFC实例的证书通过内部网络发送给新安装的VNFC实例。27.如权利要求19至26任一所述的设备，其特征在于，所述主VNFC实例与所述新安装的VNFC实例属于同一个网络功能虚拟化基础设施NFVI平台中同一个虚拟化的网络功能VNF的不同组件。28.一种证书获取设备，其特征在于，包括：信号接收器，用于接收主虚拟化的网络功能组件VNFC实例发送的证书请求消息，其中，所述证书请求消息中包含了主VNFC实例的证书和新安装的虚拟化的网络功能组件VNFC实例用于申请证书的公钥；处理器，用于根据所述主VNFC实例的证书对所述证书请求消息进行认证，并在认证通过时对所述新安装的VNFC实例用于申请证书的公钥签名得到签发的证书；信号发射器，用于将所述签发的证书发送给所述主VNFC实例。29.如权利要求28所述...

【专利技术属性】
技术研发人员：冯成燕，王江胜，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44