[发明专利]一种凭据分发的方法和设备

说明书

本发明实施例公开了一种凭据分发的方法，包括：网络功能虚拟化基础设施NFVI利用创建在其上的虚拟可信平台模块vTPM实例创建凭据或获取凭据；所述NFVI将所述凭据提供给所述NFVI创建的VNF实例。根据本发明实施例提供的凭据分发的方法，可以降低安全凭据泄露的风险。

技术领域

本发明涉及通信领域，尤其涉及一种凭据分发的方法和设备。

背景技术

网络功能虚拟化(Network Function Virtualization，NFV)技术可以将部分网络功能以软件方式在通用硬件上实现，例如，在电信网络中，利用NFV技术可以在通用的云服务器、交换机和存储中实现部分电信网络功能，从而实现网络服务的快速、高效部署。

NFV技术通过虚拟化网络功能(Virtualized Network Function，VNF)来实现电信网络功能，为了防止伪冒者攻击网络，VNF在初始化之后需要通过安全凭据(或者凭证)与网络中的其它网元进行通信，然而，现有技术中凭据生成后经过多个网元才能到达VNF，凭据被窃取或者被冒用的可能性较大。

发明内容

有鉴于此，本发明实施例提供了一种凭据分发的方法和设备，能够降低了凭据被窃取或者被冒用的风险。

一方面，本发明实施例提供了一种凭据分发的方法，该方法包括：创建在网络功能虚拟化基础设施NFVI中的虚拟可信平台模块vTPM实例生成凭据或者获取凭据；所述vTPM实例将所述凭据提供给所述NFVI创建的虚拟化网络功能VNF实例。

本发明实施例提供的凭据分发的方法，通过将vTPM技术应用到NFV实例化过程中，在NFVI中创建vTPM实例，由该vTPM实例生成或者获取凭据，提供给基于所述NFVI创建的VNF实例，保证了凭据不出可信环境，从而提高了凭据分发的安全性。

可选地，所述vTPM实例将所述凭据提供给所述NFVI创建的VNF实例之前，所述方法还包括：所述vTPM实例将所述创建的凭据注册到证书颁发中心CA中。vTPM实例生成凭据后通过向CA注册，使得所述VNF实例可以利用获取的凭据向所述CA进行证书申请。

可选地，所述vTPM实例将所述凭据注册到证书颁发中心CA中，具体包括：所述vTPM实例经由vTPM OM代理和vTPM OM，通过安全通道，向CA注册所述凭据，所述安全通道包括符合TLS、IPsec或SSH标准的交互协议。通过特定的安全通道向进行注册，使得凭据的注册分发更加安全。

可选地，所述vTPM实例获取所述凭据具体包括：所述vTPM实例获取证书颁发中心CA生成的凭据。

可选地，在所述vTPM实例和所述VNF实例在实例化前，管理和编排MANO向CA注册所述VNF，所述CA根据所述MANO注册的VNF，生成对应的凭据。

可选地，所述NFVI上的vTPM实例获取CA生成的凭据，具体包括：CA生成凭据并通过vTPM OM将所述凭据分发到位于NFVI中的vTPM OM agent；所述vTPM OM agent在所述NFVI中创建vTPM实例，并将所述凭据分发到所述创建的vTPM实例中。

可选地，所述凭据为一次性凭据。一次性凭据只在一次注册申请中使用，使得凭据的使用和证书的申请更加安全。

可选地，所述vTPM实例将所述凭据提供给所述VNF实例后，所述VNF实例利用所述凭据进行证书申请。在一种可能的实施方式中，VNF还可以将获得的凭据作为PSK使用。

另一方面，本发明实施例提供了一种凭据分发的方法，该方法包括，网络功能虚拟化基础设施NFVI根据VNF初始化命令创建虚拟化网络功能VNF实例；所述VNF实例从所述NFVI中的虚拟可信平台模块vTPM实例中获取凭据。

可选的，所述方法还包括，所述VNF实例利用所述凭据，向CA申请证书或者作为PSK使用。