[发明专利]基于网络功能虚拟化的证书配置方法、装置和系统

说明书

本发明公开一种基于网络功能虚拟化的证书配置方法、装置和系统，通过虚拟网络管理实体获取虚拟网络功能实体的初始信任状信息；并在对所述虚拟网络功能实体进行实例化的过程中或实例化之后，将所述初始信任状信息安装到所述虚拟网络功能实体中，以使所述虚拟网络功能实体利用所述初始信任状信息从认证中心获取所述虚拟网络功能实体的网络运营商签发的正式证书。本发明不仅可以适用于网络功能虚拟化场景，而且还可以解决网络功能虚拟化中存在的安全隐患问题。

技术领域

本发明实施例涉及网络通信技术领域，尤其涉及一种基于网络功能虚拟化的证书配置方法、装置和系统。

背景技术

在网络功能虚拟化NFV(Network Function Virtulization)场景下，传统网络及网络节点的架构发生较大变化，传统的物理电信节点在新的网络架构下，演变为虚拟器中的虚拟节点，以虚拟机的形式存在，这样使得多个传统物理节点共同部署在同一物理宿主机上，共享硬件资源，甚至与其它第三方应用软件共享资源；另外为便于虚拟机动态迁移和提升同一虚拟器中虚拟机之间的通信性能，传统IP网络通过虚拟交换机、虚拟网络适配器进而演变为虚拟网络，虚拟机之间将直接通过虚拟网络通信，从而绕过了传统物理网络设备。然而，虚拟网络内部虚拟机之间通信、虚拟机与外部网络通信面临着安全风险，例如虚拟机之间的相互攻击，宿主机应用对主机、虚拟机之间的攻击，宿主机利用与虚拟机网络互通进行攻击，通过远程维护管理通道对虚拟机的攻击，通过网络边缘节点进行外部网络攻击等。因此，网络功能虚拟化面临的这些通信威胁要求虚拟化通信采用特定的安全技术建立安全连接，用以保证虚拟化通信的机密性、完整性。而建立安全连接需要虚拟化通信实体双方配置有基于X.509的证书。

由于虚拟网络功能实体不是传统的硬件实体，而是以软件方式按需生成动态存在的，且其安装的位置也不是固定的。因此，传统的实体证书配置方法并不适用于网络功能虚拟化场景；进一步地，一个虚拟网络功能实体可以同时存在多个实例，如果使用传统的实体证书配置方法由虚拟网络功能实体的提供商进行证书配置时，会因为相同的虚拟网络功能实体的安装包导致多个实例安装相同的证书，存在较大的安全隐患。

发明内容

本发明实施例提供一种基于网络功能虚拟化的证书配置方法、装置和系统，可以解决现有的网络功能虚拟化中存在的安全隐患问题。

第一方面，提供一种基于网络功能虚拟化的证书配置方法，包括：

虚拟网络管理实体获取虚拟网络功能实体的初始信任状信息；

所述虚拟网络管理实体在对所述虚拟网络功能实体进行实例化的过程中或实例化之后，将所述初始信任状信息安装到所述虚拟网络功能实体中，以使所述虚拟网络功能实体利用所述初始信任状信息从认证中心获取所述虚拟网络功能实体的网络运营商签发的正式证书。

基于第一方面，在第一种实现方式中，所述虚拟网络管理实体获取虚拟网络功能实体的初始信任状信息，包括：

所述虚拟网络管理实体接收网络运营管理实体发送的实例化请求，所述实例化请求中包括所述虚拟网络功能实体的初始信任状信息。

基于第一方面，在第二种实现方式中，所述虚拟网络管理实体获取虚拟网络功能实体的初始信任状信息，包括：

所述虚拟网络管理实体从所述虚拟网络功能包或所述虚拟网络功能的镜像文件或所述虚拟网络功能的描述器VNFD中或所述虚拟网络功能的实例化数据中获取所述虚拟网络功能实体的初始信任状信息；

所述虚拟网络功能包或所述镜像文件或所述VNFD或所述实例化数据为所述网络运营管理实体在所述虚拟网络管理实体对所述虚拟网络功能实体进行实例化之前或实例化的过程中发送给所述虚拟网络管理实体，所述VNFD或所述镜像文件中包括所述初始信任状信息。

基于第一方面或第一方面的第一或第二种实现方式，在第三种实现方式中，所述初始信任状信息包括但不限于证书、预共享密钥、令牌和/或密码。