WO2015168913A1

WO2015168913A1 - 一种证书获取方法和设备

Info

Publication number: WO2015168913A1
Application number: PCT/CN2014/077074
Authority: WO
Inventors: 冯成燕; 王江胜
Original assignee: 华为技术有限公司
Priority date: 2014-05-08
Filing date: 2014-05-08
Publication date: 2015-11-12
Also published as: EP3133768A4; US10367647B2; CN105264818A; BR112016026037A2; JP2017521971A; RU2646317C1; CN105264818B; EP3133768B1; BR112016026037B1; US20170054565A1; JP6311196B2; EP3133768A1

Abstract

本发明公开了一种证书获取方法和设备，接收新安装的VNFC实例发送的证书申请代理消息；并向证书认证中心发送证书请求消息；获取所述证书认证中心签发的证书，这样，对于新安装的VNFC实例，无需采用目前VNF 获取证书的方式，有效避免了新安装的VNFC实例获取证书出现的过程繁琐、复杂度增大的问题；通过同一个网络功能虚拟化基础设施平台上已获取证书的其他VNFC实例，利用其他VNFC实例建立的与证书认证中心之间的信任通道，代替新安装的VNFC实例申请证书，不仅能够安全获取证书，而且还有效地简化了流程，提升了系统反应速度，改善了系统运行效率。

Description

一种证书获取方法和设备技术领域

本发明涉及虚拟网络部署领域，尤其涉及一种证书获取方法和设备。背景技术

NFV ( Network Function Virtualization, 网络功能虚拟化）是以 "传统网络虚拟化" 为目的而成立的标准组织，制定了一套在虚拟化环境下部署网络的标准。通过 NFV组织制定的标准，可以实现网络的虚拟化以及灵活部署等能力。

在 NFV技术中引入 VNF ( Virtualized Network Function, 虚拟化的网络功能），使得传统 CT网络以及网络节点的架构发生较大变化。在新的电信架构下，传统的物理电信节点演变为虚拟设备中的虚拟节点，并以虚拟机的形式存在。这样使得多个传统物理节点共同部署在同一个物理宿主机上，共享硬件资源，甚至与其他第三方应用软件共享资源，提升了同一个虚拟设备中不同虚拟机之间的通信性能。

例如：传统的 IP ( Internetworking Protocol, 组网协议）网络通过虚拟交换机、虚拟网络适配器演变为虚拟网络，不同虚拟机之间通过虚拟网络进行通信，这样就绕过了传统物理网络设备。

虚拟网络与传统网络相同，虚拟网络内部虚拟机之间通信、虚拟机与外部网络之间进行通信都面临着网络安全风险。例如：虚拟机之间的相互攻击，宿主机应用利用与虚拟机网络互通进行攻击等。对此，虚拟网络采用安全技术（例如： IPSec技术、 TLS ( Transport Layer Security, 传输层安全协议）技术等），建立虚拟机之间的安全连接。上述的安全技术需要相互通信的两个虚拟机上配置基于 X.509的证书，以实现通信对端的相互验证。

在虚拟化场景下， VNF是一組软件，在需要的时候进行实例化。所谓 VNF 的实例化，是指为一个 VNF软件确定并分配需要的虚拟化资源并安装该 VNF 软件的过程。由于实例化的 VNF不是传统的硬件实体，并不一直存在，而是以软件方式按需生成、动态存在，且其安装的物理位置也不固定。因此传统的实体证书配置方法并不适用于 VNF这种虚拟软件。

为了根据 VNF的特性为 VNF配置证书，目前提出了一种证书配置方式，即在 VNF实例化的过程中，由运营商为实例化的 VNF配置初始证书，并安装在实例化的 VNF上；实例化的 VNF利用初始证书，从证书认证中心（CA, Certification Authority ) 获取证书。

在实际应用中， VNFC ( Virtual Network Function Component, 虚拟化的网络功能组件）作为 VNF的组件，获取 CA签发的证书的方式与 VNF获取证书的方式相同，即通过 VNF实例化时对每一个 VNFC配置初始证书，并在 VNFC 实例化后进行成功安装；此后 VNFC实例利用初始证书向 CA申请正式证书。引入初始证书之后，使得 VNF获取证书的流程比较复杂，且初始证书关联的私钥在传递过程中面临泄露的风险，降低了 VNF获取证书的安全性。

然而，在 NFV场景下， VNF可以有多个实施例。在使用的过程中，为了提高网络性能，可能需要增加新的 VNFC。对于新增加的 VNFC，如果需要对外通信则需要获取证书，而若依然采用上述利用初始证书获取正式证书的方式，不仅过程繁瑣、复杂度增大，而且使得系统反应速度降低，运行效率也降低。发明内容

有鉴于此，本发明实施例提供了一种证书获取方法和设备，用于解决对于 V F新增加的 VNFC如何获取证书以改善系统反应速度、增加系统运行效率的问题。

根据本发明的第一方面，提供了一种证书获取设备，包括：

接收模块，用于接收新安装的虚拟网络功能 VNFC实例发送的证书申请代理消息，其中，所述证书申请代理消息中包含了所述新安装的 VNFC 实例用于申请证书的公钥；发送模块，用于根据所述接收模块接收到的所述证书申请代理消息，向证书认证中心发送证书请求消息，请求所述证书认证中心为所述新安装的

VNFC实例签发证书，其中，所述证书请求消息中包含了主 VNFC 实例的证书和所述新安装的 VNFC实例用于申请证书的公钥；

获取模块，用于获取所述证书认证中心签发的证书，其中，所述证书是由所述证书认证中心使用所述新安装的 VNFC 实例用于申请证书的公钥签发的。

结合本发明第一方面可能的实施方式中，第一种可能的实施方式，所述设备还包括：

所述接收模块，还用于在所述获取模块获取所述证书认证中心签发的证书之前，接收所述证书认证中心发送的证书响应消息；

验证模块，用于对所述接收模块接收到的所述证书响应消息进行验证。结合本发明第一方面的第一种可能的实施方式中，第二种可能的实施方式，所述证书响应消息中包含了所述证书认证中心签发的证书；

所述获取模块，具体用于在所述验证模块确定对所述证书响应消息验证通过时，获取所述证书响应消息中包含的所述证书认证中心签发给所述新安装的 VNFC实例的证书，其中，所述新安装的 VNFC实例的证书是由所述证书认证中心根据所述主 VNFC实例的证书，通过对所述主 VNFC发送的证书申请请求消息的认证后，对所述证书请求消息中包含的所述新安装的 VNFC 实例用于申请证书的公钥签名得到的。

结合本发明第一方面可能的实施方式中，或者结合本发明第一方面的第一种可能的实施方式中，或者结合本发明第一方面的第二种可能的实施方式中，第三种可能的实施方式，所述证书申请代理消息和所述证书请求消息中还包含了私钥拥有性证明 POP信息。

结合本发明第一方面的第三种可能的实施方式中，第四种可能的实施方式，所述 POP信息由所述新安装的 VNFC实例使用公私密钥对中的私钥对私钥拥有性证明签名关键字字段进行签名得到。结合本发明第一方面可能的实施方式中，或者结合本发明第一方面的第一种可能的实施方式中，或者结合本发明第一方面的第二种可能的实施方式中，或者结合本发明第一方面的第三种可能的实施方式中，或者结合本发明第一方面的第四种可能的实施方式中，第五种可能的实施方式，所述新安装的 VNFC实例使用的公私密钥对通过以下方式得到：

所述新安装的 VNFC实例生成公私密钥对；或

网络功能虚拟化基础设备 NFVI 生成公私密钥对并注入至所述新安装的 VNFC实例中。

结合本发明第一方面可能的实施方式中，或者结合本发明第一方面的第一种可能的实施方式中，或者结合本发明第一方面的第二种可能的实施方式中，或者结合本发明第一方面的第三种可能的实施方式中，或者结合本发明第一方面的第四种可能的实施方式中，或者结合本发明第一方面的第五种可能的实施方式中，第六种可能的实施方式，所述发送模块，还用于在所述获取模块获取所述证书认证中心签发给所述新安装的 VNFC 实例的证书后，将获取的所述证书认证中心签发给所述新安装的 VNFC实例的证书通过内部网络发送给新安装的 VNFC实例。

结合本发明第一方面可能的实施方式中，或者结合本发明第一方面的第一种可能的实施方式中，或者结合本发明第一方面的第二种可能的实施方式中，或者结合本发明第一方面的第三种可能的实施方式中，或者结合本发明第一方面的第四种可能的实施方式中，或者结合本发明第一方面的第五种可能的实施方式中，或者结合本发明第一方面的第六种可能的实施方式中，第七种可能的实施方式，所述主 VNFC实例与所述新安装的 VNFC实例属于同一个网络功能虚拟化基础设施 NFVI平台中同一个 VNF的不同组件。

根据本发明的第二方面，提供了一种证书获取设备，包括：

接收模块，用于接收主 VNFC实例发送的证书请求消息，其中，所述证书请求消息中包含了主 VNFC实例的证书和新安装的 VNFC实例用于申请证书的公钥；证书签发模块，用于根据所述接收模块接收到的所述主 VNFC 实例的证书对所述证书请求消息进行认证，并在认证通过时对所述新安装的 VNFC 实例用于申请证书的公钥签名得到签发的证书；

发送模块，用于将所述证书签发模块签发的所述签发的证书发送给所述主 VNFC实例。

结合本发明第二方面可能的实施方式中，第一种可能的实施方式，所述证书签发模块，具体用于利用所述主 VNFC 实例的证书验证所述证书请求消息的签名，以及利用签发的根 CA证书或者签发的中间证书对接收到的所述主 VNFC实例的证书进行验证。

结合本发明第二方面可能的实施方式中，或者结合本发明第二方面的第一种可能的实施方式中，第二种可能的实施方式，所述证书请求消息中还包含私钥拥有性证明 POP信息。

结合本发明第二方面的第二种可能的实施方式中，第三种可能的实施方式，所述证书签发模块，还用于利用所述证书请求消息中包含的用于申请证书的公钥对所述证书请求消息中包含的 POP信息进行认证。

根据本发明的第三方面，提供了一种证书获取设备，包括：

发送模块，用于向主虚拟网络功能 VNFC 实例发送证书申请代理消息，其中，所述证书申请代理消息中包含了新安装的 VNFC实例用于申请证书的公钥，所述证书申请代理消息用于请求所述主 VNFC实例向证书认证中心发送证书请求消息，所述证书请求消息用于请求所述证书认证中心为所述新安装的 VNFC实例签发证书，所述证书请求消息中包含了所述主 VNFC实例的证书和所述新安装的 VNFC实例用于申请证书的公钥；

接收模块，用于接收所述主 VNFC 实例发送的所述证书认证中心签发的证书，其中，所述证书是由所述证书认证中心对所述新安装的 VNFC 实例用于申请证书的公钥签名得到的。

结合本发明第三方面可能的实施方式中，第一种可能的实施方式，所述接收模块，还用于在向主 VNFC发送证书申请代理消息之前，接收 NFVO或者 VNFM发送的证书申请信息，其中，所述证书申请信息中包含了用于代理证书申请的主 VNFC实例信息。

结合本发明第三方面的第一种可能的实施方式中，第二种可能的实施方式，所述设备还包括：

建立模块，用于在向主 VNFC发送证书申请代理消息之前，根据所述接收模块接收到的所述证书申请信息，建立与所述用于证书申请代理的主 VNFC 实例之间的网络连接，其中，所述网絡连接属于同一个网络功能虚拟化基础设施 NFVI平台的 VNF内部的网络连接。

结合本发明第三方面的第一种可能的实施方式中，或者结合本发明第三方面的第二种可能的实施方式中，第三种可能的实施方式，所述接收模块，具体用于在安装时，接收网络功能虚拟化基础设备 NF VI 注入的证书申请信息。

结合本发明第三方面的第一种可能的实施方式中，或者结合本发明第三方面的第二种可能的实施方式中，或者结合本发明第三方面的第三种可能的实施方式中，第四种可能的实施方式，用于证书申请代理的主 VNFC信息包含了主 VNFC实例的网际协议 IP地址、接入控制 MAC标识、虚拟网络信息中心 NIC地址。

结合本发明第三方面可能的实施方式中，或者结合本发明第三方面的第一种可能的实施方式中，或者结合本发明第三方面的第二种可能的实施方式中，或者结合本发明第三方面的第三种可能的实施方式中，或者结合本发明第三方面的第四种可能的实施方式中，第五种可能的实施方式，所述新安装的 VNFC实例用于申请证书的公钥通过以下方式得到：

所述新安装的 VNFC实例生成公私密钥对；或

网络功能虚拟化基础设备 NFVI生成公私密钥对，并注入至所述新安装的 VNFC实例中。

结合本发明第三方面可能的实施方式中，或者结合本发明第三方面的第一种可能的实施方式中，或者结合本发明第三方面的第二种可能的实施方式中，或者结合本发明第三方面的第三种可能的实施方式中，或者结合本发明第三方面的第四种可能的实施方式中，或者结合本发明第三方面的第五种可能的实施方式中，第六种可能的实施方式，所述新安装的 VNFC 实例向主

VNFC实例发送证书申请代理消息的触发方式包括：

由 V F实例化触发；或，由 V F扩容触发。

根据本发明的第四方面，提供了一种证书获取设备，包括：

信号接收器，用于接收新安装的虚拟网络功能 VNFC实例发送的证书申请代理消息，其中，所述证书申请代理消息中包含了所述新安装的 VNFC 实例用于申请证书的公钥；

信号发射器，用于根据所述证书申请代理消息，向证书认证中心发送证书请求消息，请求所述证书认证中心为所述新安装的 VNFC实例签发证书，其中，所述证书请求消息中包含了主 VNFC实例的证书和所述新安装的 VNFC 实例用于申请证书的公钥；

处理器，用于获取所述证书认证中心签发的证书，其中，所述证书是由所述证书认证中心使用所述新安装的 VNFC 实例用于申请证书的公钥签发的。

结合本发明第四方面可能的实施方式中，第一种可能的实施方式，所述信号接收器，还用于在获取所述证书认证中心签发的证书之前，接收所述证书认证中心发送的证书响应消息；

所述处理器，还用于对接收到的所述证书响应消息进行验证。

结合本发明第四方面的第一种可能的实施方式中，第二种可能的实施方式，所述证书响应消息中包含了所述证书认证中心签发的证书；

所述处理器，具体用于在对所述证书响应消息验证通过时，获取所述证书响应消息中包含的所述证书认证中心签发给所述新安装的 VNFC 实例的证书，其中，所述新安装的 VNFC 实例的证书是由所述证书认证中心根据所述主 VNFC实例的证书，通过对所述主 VNFC发送的证书申请请求消息的认证后，对所述证书请求消息中包含的所述新安装的 VNFC实例用于申请证书的公钥签名得到的。

结合本发明第四方面可能的实施方式中，或者结合本发明第四方面的第一种可能的实施方式中，或者结合本发明第四方面的第二种可能的实施方式中，第三种可能的实施方式，所述证书申请代理消息和所述证书请求消息中还包含了私钥拥有性证明 POP信息。

结合本发明第四方面的第三种可能的实施方式中，第四种可能的实施方式，所述 POP信息由所述新安装的 VNFC实例使用公私密钥对中的私钥对私钥拥有性证明签名关键字字段进行签名得到。

结合本发明第四方面可能的实施方式中，或者结合本发明第四方面的第一种可能的实施方式中，或者结合本发明第四方面的第二种可能的实施方式中，或者结合本发明第四方面的第三种可能的实施方式中，或者结合本发明第四方面的第四种可能的实施方式中，第五种可能的实施方式，所述新安装的 VNFC实例使用的公私密钥对通过以下方式得到：

所述新安装的 VNFC实例生成公私密钥对；或

结合本发明第四方面可能的实施方式中，或者结合本发明第四方面的第一种可能的实施方式中，或者结合本发明第四方面的第二种可能的实施方式中，或者结合本发明第四方面的第三种可能的实施方式中，或者结合本发明第四方面的第四种可能的实施方式中，或者结合本发明第四方面的第五种可能的实施方式中，第六种可能的实施方式，所述信号发射器，还用于在获取所述证书认证中心签发给所述新安装的 VNFC 实例的证书后，将获取的所述证书认证中心签发给所述新安装的 VNFC 实例的证书通过内部网络发送给新安装的 VNFC实例。

结合本发明第四方面可能的实施方式中，或者结合本发明第四方面的第一种可能的实施方式中，或者结合本发明第四方面的第二种可能的实施方式中，或者结合本发明第四方面的第三种可能的实施方式中，或者结合本发明第四方面的第四种可能的实施方式中，或者结合本发明第四方面的第五种可能的实施方式中，或者结合本发明第四方面的第六种可能的实施方式中，第七种可能的实施方式，所述主 VNFC实例与所述新安装的 VNFC实例属于同一个网络功能虚拟化基础设施 NFVI平台中同一个 VNF的不同组件。

根据本发明的第五方面，提供了一种证书获取设备，包括：

信号接收器，用于接收主 VNFC 实例发送的证书请求消息，其中，所述证书请求消息中包含了主 VNFC实例的证书和新安装的 VNFC实例用于申请证书的公钥；

处理器，用于根据所述主 VNFC 实例的证书对所述证书请求消息进行认证，并在认证通过时对所述新安装的 VNFC 实例用于申请证书的公钥签名得到签发的证书；

信号发射器，用于将所述签发的证书发送给所述主 VNFC实例。

结合本发明第五方面可能的实施方式中，第一种可能的实施方式，所述处理器，具体用于利用所述主 VNFC 实例的证书验证所述证书请求消息的签名，以及利用签发的根 CA证书或者签发的中间证书对接收到的所述主 VNFC 实例的证书进行验证。

结合本发明第五方面可能的实施方式中，或者结合本发明第五方面的第一种可能的实施方式中，第二种可能的实施方式，所述证书请求消息中还包含私钥拥有性证明 POP信息。

结合本发明第五方面的第二种可能的实施方式中，第三种可能的实施方式，所述处理器，还用于所述证书认证中心利用所述证书请求消息中包含的用于申请证书的公钥对所述证书请求消息中包含的 POP信息进行认证。

根据本发明的第六方面，提供了一种证书获取设备，包括：

信号发射器，用于向主虚拟网络功能 VNFC实例发送证书申请代理消息，其中，所述证书申请代理消息中包含了新安装的 VNFC实例用于申请证书的公钥，所述证书申请代理消息用于请求所述主 VNFC实例向证书认证中心发送证书请求消息，所述证书请求消息用于请求所述证书认证中心为所述新安装的 VNFC实例签发证书，所述证书请求消息中包含了所述主 VNFC实例的证书和所述新安装的 VNFC实例用于申请证书的公钥；

信号接收器，用于接收所述主 VNFC 实例发送的所述证书认证中心签发的证书，其中，所述证书是由所述证书认证中心对所述新安装的 VNFC 实例用于申请证书的公钥签名得到的。

结合本发明第六方面可能的实施方式中，第一种可能的实施方式，所述信号接收器，还用于在向主 VNFC发送证书申请代理消息之前，接收 NFVO 或者 VNFM发送的证书申请信息，其中，所述证书申请信息中包含了用于代理证书申请的主 VNFC实例信息。

结合本发明第六方面的第一种可能的实施方式中，第二种可能的实施方式，所述设备还包括处理器，其中：所述处理器，用于在向主 VNFC发送证书申请代理消息之前，根据所述证书申请信息，建立与所述用于证书申请代理的主 VNFC 实例之间的网络连接，其中，所述网络连接属于同一个网络功能虚拟化基础设施 NFVI平台的 VNF内部的网络连接。

结合本发明第六方面的第一种可能的实施方式中，或者结合本发明第六方面的第二种可能的实施方式中，第三种可能的实施方式，所述信号接收器，具体用于在安装时，接收网络功能虚拟化基础设备 NF VI 注入的证书申请信息。

结合本发明第六方面的第一种可能的实施方式中，或者结合本发明第六方面的第二种可能的实施方式中，或者结合本发明第六方面的第三种可能的实施方式中，第四种可能的实施方式，用于证书申请代理的主 VNFC信息包含了主 VNFC实例的网际协议 IP地址、媒质接入控制 MAC标识、虚拟网络信息中心 NIC地址。

结合本发明第六方面可能的实施方式中，或者结合本发明第六方面的第一种可能的实施方式中，或者结合本发明第六方面的第二种可能的实施方式中，或者结合本发明第六方面的第三种可能的实施方式中，或者结合本发明第六方面的第四种可能的实施方式中，第五种可能的实施方式，所述新安装的 VNFC实例用于申请证书的公钥通过以下方式得到：

所述新安装的 VNFC实例生成公私密钥对；或

结合本发明第六方面可能的实施方式中，或者结合本发明第六方面的第一种可能的实施方式中，或者结合本发明第六方面的第二种可能的实施方式中，或者结合本发明第六方面的第三种可能的实施方式中，或者结合本发明第六方面的第四种可能的实施方式中，或者结合本发明第六方面的第五种可能的实施方式中，第六种可能的实施方式，所述新安装的 VNFC 实例向主 VNFC实例发送证书申请代理消息的触发方式包括：

由 V F实例化触发；或，

由 V F扩容触发。

根据本发明的第七方面，提供了一种证书获取方法，包括：

主虚拟网络功能 VNFC实例接收新安装的 VNFC实例发送的证书申请代理消息，其中，所述证书申请代理消息中包含了所述新安装的 VNFC 实例用于申请证书的公钥；

所述主 VNFC 实例根据所述证书申请代理消息，向证书认证中心发送证书请求消息，请求所述证书认证中心为所述新安装的 VNFC实例签发证书，其中，所述证书请求消息中包含了主 VNFC实例的证书和所述新安装的 VNFC 实例用于申请证书的公钥；

所述主 VNFC 实例获取所述证书认证中心签发的证书，其中，所述证书是由所述证书认证中心使用所述新安装的 VNFC 实例用于申请证书的公钥签发的。

结合本发明第七方面可能的实施方式中，第一种可能的实施方式，所述主 VNFC实例在获取所述证书认证中心签发的证书之前，所述方法还包括：所述主 VNFC 实例接收所述证书认证中心发送的证书响应消息，并对接收到的所述证书响应消息进行验证。结合本发明第七方面的第一种可能的实施方式中，第二种可能的实施方式，所述证书响应消息中包含了所述证书认证中心签发的证书；

所述获取所述证书认证中心签发的证书，包括：

所述主 VNFC 实例在对所述证书响应消息验证通过时，获取所述证书响应消息中包含的所述证书认证中心签发给所述新安装的 VNFC实例的证书，其中，所述新安装的 VNFC 实例的证书是由所述证书认证中心根据所述主 VNFC实例的证书，通过对所述主 VNFC发送的证书申请请求消息的认证后，对所述证书请求消息中包含的所述新安装的 VNFC实例用于申请证书的公铜签名得到的。

结合本发明第七方面可能的实施方式中，或者结合本发明第七方面的第一种可能的实施方式中，或者结合本发明第七方面的第二种可能的实施方式中，第三种可能的实施方式，所述证书申请代理消息和所述证书请求消息中还包含了私钥拥有性证明 POP信息。

结合本发明第七方面的第三种可能的实施方式中，第四种可能的实施方式，所述 POP信息由所述新安装的 VNFC实例使用公私密钥对中的私钥对私钥拥有性证明签名关键字字段进行签名得到。

结合本发明第七方面可能的实施方式中，或者结合本发明第七方面的第一种可能的实施方式中，或者结合本发明第七方面的第二种可能的实施方式中，或者结合本发明第七方面的第三种可能的实施方式中，或者结合本发明第七方面的第四种可能的实施方式中，第五种可能的实施方式，所述新安装的 VNFC实例使用的公私密钥对通过以下方式得到：

所述新安装的 VNFC实例生成公私密钥对；或

结合本发明第七方面可能的实施方式中，或者结合本发明第七方面的第一种可能的实施方式中，或者结合本发明第七方面的第二种可能的实施方式中，或者结合本发明第七方面的第三种可能的实施方式中，或者结合本发明第七方面的第四种可能的实施方式中，或者结合本发明第七方面的第五种可能的实施方式中，第六种可能的实施方式，所述主 VNFC 实例在获取所述证书认证中心签发给所述新安装的 VNFC实例的证书后，所述方法还包括：所述主 VNFC 实例将获取的所述证书认证中心签发给所述新安装的 VNFC实例的证书通过内部网络发送给新安装的 VNFC实例。

结合本发明第七方面可能的实施方式中，或者结合本发明第七方面的第一种可能的实施方式中，或者结合本发明第七方面的第二种可能的实施方式中，或者结合本发明第七方面的第三种可能的实施方式中，或者结合本发明第七方面的第四种可能的实施方式中，或者结合本发明第七方面的第五种可能的实施方式中，或者结合本发明第七方面的第六种可能的实施方式中，第七种可能的实施方式，所述主 VNFC实例与所述新安装的 VNFC实例属于同一个网络功能虚拟化基础设施 NFVI平台中同一个 VNF的不同组件。

根据本发明的第八方面，提供了一种证书获取方法，包括：

证书认证中心接收主 VNFC实例发送的证书请求消息，其中，所述证书请求消息中包含了主 VNFC实例的证书和新安装的 VNFC实例用于申请证书的公钥；

所述证书认证中心根据所述主 VNFC 实例的证书对所述证书请求消息进行认证，并在认证通过时对所述新安装的 VNFC 实例用于申请证书的公钥签名得到签发的证书；

所述证书认证中心将所述签发的证书发送给所述主 VNFC实例。

结合本发明第八方面可能的实施方式中，第一种可能的实施方式，所述证书认证中心根据所述主 VNFC的证书对所述证书请求消息进行认证，包括：所述证书认证中心利用所述主 VNFC 实例的证书验证所述证书请求消息的签名，以及利用签发的根 CA证书或者签发的中间证书对接收到的所述主 VNFC实例的证书进行验证。

结合本发明第八方面可能的实施方式中，或者结合本发明第八方面的第一种可能的实施方式中，第二种可能的实施方式，所述证书请求消息中还包含私钥拥有性证明 POP信息。

结合本发明第八方面的第二种可能的实施方式中，第三种可能的实施方式，所述证书认证中心根据所述主 VNFC的证书对所述证书请求消息进行认证₅ 还包括：

所述证书认证中心利用所述证书请求消息中包含的用于申请证书的公钥对所述证书请求消息中包含的 POP信息进行认证。

根据本发明的第九方面，提供了一种证书获取方法，包括：

新安装的虚拟网络功能 VNFC实例向主 VNFC实例发送证书申请代理消息，其中，所述证书申请代理消息中包含了新安装的 VNFC实例用于申请证书的公铜，所述证书申请代理消息用于请求所述主 VNFC 实例向证书认证中心发送证书请求消息，所述证书请求消息用于请求所述证书认证中心为所述新安装的 VNFC实例签发证书，所述证书请求消息中包含了所述主 VNFC实例的证书和所述新安装的 VNFC实例用于申请证书的公钥；

所述新安装的 VNFC实例接收所述主 VNFC实例发送的所述证书认证中心签发的证书，其中，所述证书是由所述证书认证中心对所述新安装的 VNFC 实例用于申请证书的公钥签名得到的。

结合本发明第九方面可能的实施方式中，第一种可能的实施方式，在向主 VNFC发送证书申请代理消息之前，所述方法还包括：

所述新安装的 VNFC实例接收 NFVO或者 VNFM发送的证书申请信息，其中，所述证书申请信息中包含了用于代理证书申请的主 V FC实例信息。

结合本发明第九方面的第一种可能的实施方式中，第二种可能的实施方式，所述新安装的 VNFC实例在向主 VNFC发送证书申请代理消息之前，所述方法还包括：

所述新安装的 VNFC实例根据所述证书申请信息，建立与所述用于证书申请代理的主 VNFC实例之间的网络连接，其中，所述网络连接属于同一个网络功能虚拟化基石出设施 NFVI平台的 V F内部的网络连接。

结合本发明第九方面的第一种可能的实施方式中，或者结合本发明第九方面的第二种可能的实施方式中，第三种可能的实施方式，所述新安装的

VNFC实例获取证书申请信息，包括：

所述新安装的 VNFC实例在安装时，接收网络功能虚拟化基础设备 NFVI 注入的证书申请信息。

结合本发明第九方面的第一种可能的实施方式中，或者结合本发明第九方面的第二种可能的实施方式中，或者结合本发明第九方面的第三种可能的实施方式中，第四种可能的实施方式，用于证书申请代理的主 VNFC信息包含了主 VNFC实例的网际协议 IP地址、媒质接入控制 MAC标识、虚拟网络信息中心 NIC地址。

结合本发明第九方面可能的实施方式中，或者结合本发明第九方面的第一种可能的实施方式中，或者结合本发明第九方面的第二种可能的实施方式中，或者结合本发明第九方面的第三种可能的实施方式中，或者结合本发明第九方面的第四种可能的实施方式中，第五种可能的实施方式，所述新安装的 VNFC实例用于申请证书的公钥通过以下方式得到：

所述新安装的 VNFC实例生成公私密钥对；或

结合本发明第九方面可能的实施方式中，或者结合本发明第九方面的第一种可能的实施方式中，或者结合本发明第九方面的第二种可能的实施方式中，或者结合本发明第九方面的第三种可能的实施方式中，或者结合本发明第九方面的第四种可能的实施方式中，或者结合本发明第九方面的第五种可能的实施方式中，第六种可能的实施方式，所述新安装的 VNFC 实例向主 VNFC实例发送证书申请代理消息的触发方式包括：

由 V F实例化触发；或，

由 V F扩容触发。

本发明实施例在一个 NFVI平台上存在已获取证书的其他 VNFC实例时，利用其他 VNFC 实例已建立的与证书认证中心之间的信任通道，代替新安装的 VNFC实例申请证书，不仅能够安全获取证书，而且还有效地简化了流程，提升了系统反应速度，改善了系统运行效率。附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图 1为本发明实施例一提供的一种证书获取方法的流程示意图；图 2为本发明实施例二提供的一种证书获取方法的流程示意图；图 3为本发明实施例三提供的一种证书获取方法的流程示意图；图 4为本发明实施例四提供的一种证书获取方法的流程示意图；图 5为本发明实施例六提供的一种证书获取设备的结构示意图；图 6为本发明实施例七提供的一种证书获取设备的结构示意图；图 7为本发明实施例八提供的一种证书获取设备的结构示意图；图 8为本发明实施例九提供的一种证书获取设备的结构示意图；图 9为本发明实施例十提供的一种证书获取设备的结构示意图；图 10为本发明实施例十一提供的一种证书获取设备的结构示意图。具体实施方式

为了实现本发明的目的，本发明实施例提供了一种证书获取方法和设备，主 VNFC实例接收新安装的 VNFC实例发送的证书申请代理消息，所述证书申请代理消息中包含了所述新安装的 VNFC 实例用于申请证书的公钥；向证书认证中心发送证书请求消息，其中，所述证书请求消息中包含了主 VNFC 实例的证书和所述新安装的 VNFC实例用于申请证书的公钥；获取所述证书认证中心签发的证书，其中，所述证书是由所述证书认证中心根据所述主 VNFC实例的证书对所述主 VNFC实例发送的证书请求消息进行成功认证后，利用所述新安装的 VNFC实例用于申请证书的公钥进行签名得到的。

这样，对于新安装的 VNFC实例，无需釆用目前 VNF获取证书的方式，有效避免了新安装的 VNFC实例获取证书出现的过程繁瑣、复杂度增大的问题；通过同一个 NFVI平台上已获取证书的其他 VNFC实例，利用其他 VNFC 实例已建立的与证书认证中心之间的信任通道，代替新安装的 VNFC 实例申请证书，不仅能够安全获取证书，而且还有效地简化了流程，提升了系统反应速度，改善了系统运行效率。

需要说明的是，本发明实施例新安装的 VNFC实例是在接收到 VNFC实例化的操作指令或者 VNF扩容的操作指令时启动安装的；本发明实施例新安装的 VNFC实例在需要申请证书时，可以通过位于同一个 NFVI平台的、已获得证书的其他 VNFC实例代理申请证书。

下面结合说明书附图对本发明各个实施例进行详细描述。

实施例一：

如图 1所示，为本发明实施例一提供的一种证书获取方法的流程示意图。所述方法可以如下所述。本发明实施例的执行主体可以是需要为新安装的 VNFC实例申请证书的代理 VNFC实例，或者称为主 VNFC实例；还可以是与新安装的 VNFC实例具备关联关系的 VNF实例中已获得证书的其他 VNF 组件。

步骤 101 : 主 VNFC实例接收新安装的 VNFC实例发送的证书申请代理消息。

其中，所述证书申请代理消息中包含了所述新安装的 VNFC实例用于申请证书的公钥。

在步骤 101中，当 VNFM ( VNF Manager, VNF管理器）接收到用于安装新的 VNFC实例的操作指令时， VNFM向 NFVO发送操作指令验证请求信息。

需要说明的是，用于安装新的 VNFC实例的操作指令包括了 VNFC实例化的操作指令、 VNF扩容的操作指令等。用于安装新的 VNFC实例的操作指令可以是由 EMS( Element Management System, 网元管理系统）手动或者自动触发的，也可以是由 VNFM收集到来自 V F的测量数据并发现需要扩容时得到的，这里不做限定。

NFVO 在接收到操作指令验证请求信息时，执行操作决策，检查资源可用性，并向 VNFM发送操作指令确认消息。

其中，所述操作指令确认消息中至少包含了新创建的 VNFC实例的位置信息、证书认证中心信息中的一种或者多种。

所述新创建的 VNFC实例的位置信息可以为该 VNFC实例所位于的 NFVI 关联的 VIM信息，例如 VIM标识信息或者 VIM地址信息。

所谓证书认证中心信息可以包含运营商域内的证书认证中心标识或者证书认证中心的 IP地址等。

所述的证书认证中心可以为证书颁发机构（ CA, Certificate Authority )、证书注册机构（ RA, Registration Authority )或者网元管理系统（ EMS , Element Management System )等具备证书颁发功能的网元。

此时， VNFM根据主 VNFC实例和新创建的 VNFC实例的位置信息，确定新安装的 VNFC实例的证书申请策略。其中，所述新创建的 VNFC实例的位置信息由 NFVO通过操作指令确认消息发送给 VNFM。

所述新创建的 VNFC实例的位置信息可以为该 VNFC所位于的 NFVI关联的 VIM信息，如 VIM标识信息或 VIM地址信息。

其中，所述证书申请策略用于确定由谁代理为新安装的 VNFC 实例申请证书。

具体地， VNFM根据主 VNFC实例和新创建的 VNFC实例的位置信息，确认所述新安装的 VNFC实例与所述主 VNFC实例属于同一个网络功能虚拟化基础设施 NFVI平台上中同一个 VNF的不同组件。

具体地，所述 VNFM才艮据所述新安装的 VNFC实例与所述主 VNFC实例的位置信息和 /或 VNF 标识信息确认二者属于同一个网络功能虚拟化基础设施 FVI平台上同一个 VNF的不同组件。所述 VNFM确认所述新安装的 VNFC实例与所述主 VNFC实例属于同一个网络功能虚拟化基础设施 NFVI平台上同一个 VNF的不同组件后，确定所述新安装的 VNF实例的证书申请策略，并将证书申请信息发送给所述新安装的 V F实例。

其中，证书申请策略就是釆用何种方式为新创建的 VNFC实例申请证书，以及如果采用代理人机制，谁来作为代理人。

所述证书申请策略中包含了证书申请信息，所述证书申请信息中包含了证书申请代理信息、证书申请方式指示中的一种或者多种。

证书申请代理消息包含了证书申请代理的标识信息，例如： IP ( Internet Protocol, 因特网协议）地址、 MAC ( Medium Access Control, 媒质接入控制）标识、虚拟 NIC ( Network Information Center, 网络信息中心）地址等。

证书申请方式指示可以为显式指示或者隐式指示。其中，显式指示，例如：代理机制等；隐式指示可以通过指定代理者信息进行暗示等。

需要说明的是，证书申请策略指示的为新安装的 VNFC实例申请证书的代理 VNFC实例，即主 VNFC实例。

例如：在 NFV中定义的 VNFM Agent或 Master VNFC, Master VNFC可以是 VNF实例化过程中第一个创建的 VNFC, 用于负责 VNF的内部管理；在 VNF扩容过程中， Master VNFC可以定义为与 VNF实例相关联的、且位于同一个网络功能虚拟化基础设施 ( NFVI, Network Function Virtualization Infrastructure )硬件平台上的 VNFC实例。

VNFM向 VIM发送创建 VM消息，以请求 VIM为待安装的 VNFC分配资源，其中，所述创建 VM消息中包含了证书申请信息。

VIM指示 NFVI创建 VM, 并将证书申请信息发送给 NFVI, NFVI创建 VIM , 并向 VIM发送创建确认消息。

在 VM创建完成后， NFVI通过安全方式启动 VNFC实例，将新安装的 VNFC实例运行于创建的 VM上，并将证书申请信息注入所述新安装的 VNFC 实例中。新安装的 VNFC实例根据证书申请信息中包含的证书申请代理信息，确定执行证书申请代理的主 VNFC实例，并向主 VNFC实例发送证书申请代理消息。

需要说明的是，所述新安装的 VNFC 实例用于申请证书的公钥可以通过以下方式确定：

所述新安装的 VNFC实例生成的公私密钥对；或

网络功能虚拟化基础设备 NFVI在实例化所述新安装的 VNF实例时，生成公私密钥对并注入至所述新安装的 VNFC实例中。

此外，所述证书申请代理消息中还可以包含证书代理指示、证书认证中心信息等。

步骤 102：主 VNFC 实例根据所述证书申请代理消息，向证书认证中心发送证书请求消息，请求所述证书认证中心为所述新安装的 VNFC 实例签发证书。

其中，所述证书请求消息中包含了主 VNFC 实例的证书和所述新安装的 VNFC实例用于申请证书的公钥。

在步骤 102中，假设主 VNFC实例作为新安装的 VNFC实例的证书申请代理，代替新安装的 VNFC实例和证书认证中心之间进行证书登记。

主 VNFC 实例在接收到证书申请代理消息时，才艮据所述证书申请代理消息，生成证书请求消息。

所述证书请求消息中包含了主 VNFC 实例的证书和所述新安装的 VNFC 实例用于申请证书的公钥。

此外，主 VNFC实例用安装证书对应的私钥对生成的证书请求消息进行签名。

主 VNFC实例将证书请求消息发送给证书认证中心。

此时，证书认证中心在接收到主 VNFC 实例发送的证书请求消息时，利用主 VNFC实例证书验证接收到的证书请求消息的签名，以及利用根 CA证书或者中间证书验证主 VNFC实例证书。

需要说明的是，假如用中间证书验证主 VNFC实例证书，此时还需要用根 C A证书验证中间证书。

证书认证中心在验证通过时，对所述新安装的 VNFC实例用于申请证书的公钥进行签名，向主 VNFC发送证书响应消息。

其中，所述证书响应消息中包含了签发给所述新安装的 VNFC 实例的证书，和 /或根 CA证书等。

步骤 103: 主 VNFC实例获取所述证书认证中心签发的证书。

其中，所述证书是由所述证书认证中心根据所述新安装的 VNFC 实例用于申请证书的公钥签发的。

在步骤 103 中，在获取所述证书认证中心签发的证书之前，所述方法还包括：

接收所述证书认证中心发送的证书响应消息，并对接收到的所述证书响应消息进行验证。

具体地，主 VNFC 实例在接收到所述证书认证中心发送的证书响应消息时，利用主 VNFC 实例证书验证接收到的证书响应消息的签名，以及利用根 CA证书或者中间证书验证 CA证书。

需要说明的是，假如用中间证书验证 CA实例证书，此时还需要用根 CA 证书验证中间证书。

主 VNFC 实例在验证通过时，获取所述证书响应消息中包含的所述证书认证中心签发给所述新安装的 VNFC实例的证书。

其中，所述新安装的 VNFC实例的证书是由所述证书认证中心根据所述主 VNFC实例的证书，通过对所述主 VNFC发送的证书请求消息的认证后，对所述证书请求消息中包含了所述新安装的 VNFC实例用于申请证书的公铜签名得到的。

在本发明的另一个实施中，所述证书申请代理消息和所述证书请求消息中还包含了私钥拥有性证明（POP, Proof of Possession )信息。

所述 POP信息由所述新安装的 VNFC实例使用公私密钥对中的私钥对私钥拥有性证明签名关键字字段进行签名得到。

所述新安装的 VNFC实例使用的公私密钥对通过以下方式得到：所述新安装的 VNFC实例生成公私密钥对；或

在本发明的另一个实施中，主 VNFC 实例在获取所述证书认证中心签发给所述新安装的 VNFC实例的证书后，所述方法还包括：

将获取的所述证书认证中心签发给所述新安装的 VNFC实例的证书发送给网络功能虚拟化基础设施 NFVI , 以便于由所述 NFVI将所述证书认证中心签发给所述新安装的 VNFC实例的证书发送给所述新安装的 VNFC实例进行安装。

在 VNFC安装证书后，向 NFVI发送确认证书申请完成，由 NFVI向 VIM 发送证书申请完成，由 VIM向 VNFM确认资源分配完成。

VNFM对新安装的 VNFC实例进行配置，部署特定的参数，并通知 NFVO 操作完成， NF VO将 VNFC实例映射到 VIM和资源池中； VNFM向 EM发送确认消息； EMS增加或更新 VNFC实例为可管理的设备， EMS对新安装的 VNFC实例进行应用特定的参数配置。

在本实施例中，若主 VNFC实例和证书认证中心之间没有直连接口的，则证书请求 /响应消息可以通过 EMS进行转发。

在本实施例中，新安装的 VNFC实例申请的证书还可以由 EMS来签发，此时主 VNFC实例代理新安装的 VNFC实例在 EMS进行证书登记。

通过本发明实施例一的方案，在主 VNFC 实例获得证书之后，可以为新安装的 VNFC实例转发证书申请消息，对于新安装的 VNFC实例，无需釆用目前 V F获取证书的方式，有效避免了新安装的 VNFC实例获取证书出现的过程繁瑣、复杂度增大的问题；通过同一个 NFVI 平台上已获取证书的其他 VNFC实例，利用其它 VNFC实例已建立的与证书认证中心之间的信任通道，代替新安装的 VNFC实例申请证书，不仅能够安全获取证书，而且还有效地简化了流程，提升了系统反应速度，改善了系统运行效率。

实施例二：

如图 2所示，为本发明实施例二提供的一种证书获取方法的流程示意图。所述方法可以如下所述。本发明实施例的执行主体可以是 CA, 也可以是其他具备签发证书的设备，例如： RA或 EMS等。

步骤 201 : 证书认证中心接收主 VNFC实例发送的证书请求消息。

其中，所述证书请求消息中包含了主 VNFC实例的证书和新安装的 VNFC 用于申请证书的公钥。

在步骤 201中，发送证书请求消息的主 VNFC实例除了为 NFV中定义的 VNFM Agent或 Master VNFC之外，还可以是与新安装的 VNFC实例具备关联关系的 VNF实例中已获得证书的其他 V F组件，这里不做限定。

步骤 202: 证书认证中心根据所述主 VNFC的证书对所述证书请求消息进行认证，并在认证通过时对所述新安装的 VNFC实例用于申请证书的公钥签名得到签发的证书。

在步骤 202中，所述证书认证中心根据所述主 VNFC的证书对所述证书请求消息进行认证，包括：

证书认证中心利用所述主 VNFC 实例的证书验证所述证书请求消息的签名，以及利用签发的根 CA证书或者签发的中间证书对接收到的所述主 V FC 实例的证书进行验证。

具体地， CA在接收到主 VNFC实例发送的证书请求消息时，利用主 VNFC 实例证书验证接收到的证书请求消息的签名，以及利用根 CA证书或者中间证书验证主 VNFC实例证书。

CA在验证通过时，对所述新安装的 VNFC实例用于申请证书的公钥进行签名，并生成证书响应消息。

其中，所述证书响应消息中包含了签发给所述新安装的 VNFC 实例的证书、根 CA证书等。

在本发明的另一个实施例中，所述证书请求消息中还包含 POP信息，那么对所述证书请求消息进行认证的方式还包括：

利用所述证书请求消息中包含的用于申请证书的公钥对所述证书请求消息中包含的 POP信息进行认证。

步骤 203: 证书认证中心将所述签发的证书发送给所述主 VNFC实例。在步骤 203中， CA将生成的证书响应消息发送给所述主 VNFC实例，其中，所述证书响应消息中包含了签发给所述新安装的 VNFC实例的证书，和 / 或根 CA证书等。

通过本发明实施例二的方案，通过同一个 FVI硬件平台上已获取证书的其他 VNFC实例，利用其他 VNFC实例已建立的与证书认证中心之间的信任通道，代替新安装的 VNFC实例申请证书，不仅能够安全获取证书，而且还有效地简化了流程，提升了系统反应速度，改善了系统运行效率。

实施例三：

如图 3所示，为本发明实施例三提供的一种证书获取方法的流程示意图。所述方法可以如下所述。本发明实施例的执行主体是新安装的 VNFC实例。

步骤 301 : 新安装的 VNFC实例向主 VNFC实例发送证书申请代理消息。其中，所述证书申请代理消息中包含了新安装的 VNFC实例用于申请证书的公钥，所述证书申请代理消息用于请求所述主 VNFC 实例向证书认证中心发送证书请求消息，所述证书请求消息用于用于请求所述证书认证中心为所述新安装的 VNFC实例签发证书，所述证书请求消息中包含了所述主 VNFC 实例的证书和所述新安装的 VNFC实例用于申请证书的公钥。

在步骤 301 中，在向主 VNFC实例发送证书申请代理消息之前，所述方法还包括：

所述新安装的 VNFC实例接收 NFVO或者 VNFM发送的证书申请信息。其中，所述证书申请信息中包含了用于代理证书申请的主 VNFC 实例信息。

具体地，新安装的 VNFC实例在安装过程中，接收 NFVI注入的证书申请策略信息。

其中，证书申请策略信息的确定方式包括但不限于以下两种：

第一种：由 NFV编译器 NFVO根据主 VNFC和新创建的 VNFC实例的位置信息确定；

第二种：由所述 VNFM根据主 VNFC和新创建的 VNFC实例的位置信息确定。其中，所述新创建的 VNFC实例的位置信息由 NFVO发送给 VNFM。

所述的主 VNFC和新创建的 VNFC实例的位置信息为：主 VNFC和新创建的 VNFC实例所位于的 FVI相关联的 VIM信息，如 VIM标识信息或 VIM 地址信息。

针对第一种由 NFV编译器 NFVO根据主 VNFC和新创建的 VNFC实例的位置信息确定证书申请策略，具体方式为：

当 NFVO接收到用于安装新的 VNFC实例的操作指令时， NFVO向 VNFM 发送操作指令验证请求信息。

需要说明的是，用于安装新的 VNFC实例的操作指令包括了 VNFC实例化的操作指令、 VNF扩容的操作指令等。

用于安装新的 VNFC实例的操作指令可以是由 EMS( Element Management System, 网元管理系统）手动或者自动触发的，也可以是由 NFVO收集到来自 V F的测量数据并发现需要扩容时得到的，这里不做限定。

VNFM在接收到操作指令验证请求信息时，向 NFVO发送操作指令确认消息。

NFVO在接收到操作指令确认消息时，执行操作决策，检查资源可用性，选择资源池并预留资源。

NFVO根据主 VNFC实例和新创建的 VNFC实例的位置信息，确定新安装的 VNFC实例的证书申请策略，并将该证书申请策略发送给 VNFM。具体地， NFVO根据主 VNFC实例和新创建的 VNFC实例的位置信息，确认所述新安装的 VNFC实例与所述主 VNFC实例属于同一个网络功能虚拟化基础设施 NF VI平台上中同一个 VNF的不同组件。

具体地，所述 NFVO才艮据所述新安装的 VNFC实例与所述主 VNFC实例的位置信息和 /或 VNF 标识信息确认二者属于同一个网络功能虚拟化基础设施 FVI平台上同一个 VNF的不同组件。

所述 NFVO确认所述新安装的 VNFC实例与所述主 VNFC实例属于同一个网络功能虚拟化基础设施 NFVI平台上同一个 VNF的不同组件后，确定所述新安装的 VNF实例的证书申倚策略，并将证书申倚信息发送给所述新安装的 V F实例。

其中，证书申请策略就是采用何种方式为新创建的 VNFC实例申请证书，以及如果采用代理人机制，谁来作为代理人。

针对第二种由所述 VNFM根据主 VNFC和新创建的 VNFC实例的位置信息确定证书申请策略，具体方式为：

当 VNFM ( VNF Manager, VNF管理器）接收到用于安装新的 VNFC实例的操作指令时 , VNFM向 NFVO发送操作指令验证请求信息。

用于安装新的 VNFC实例的操作指令可以是由 EMS( Element Management System, 网元管理系统）手动或者自动触发的，也可以是由 VNFM收集到来自 V F的测量数据并发现需要扩容时得到的，这里不做限定。

NFVO 在接收到操作指令验证请求信息时，执行操作决策，检查资源可用性，选择资源池，预留资源，并向 VNFM发送操作指令确认消息。

其中，所述操作指令确认消息中包含了新创建的 VNFC实例的位置信息，和 /或主 VNFC实例的位置信息，和 /或证书认证中心 CA信息。

所谓证书认证中心信息可以包含运营商域内的证书认证中心标识或者证书认证中心的 IP地址等。所述的证书认证中心可以为 CA、RA或者 EMS等具有证书签发功能的实体。

具体地， VNFM根据主 VNFC实例和新创建的 VNFC实例的位置信息，确认所述新安装的 VNFC实例与所述主 VNFC实例属于同一个网络功能虚拟化基础设施 NF VI平台上中同一个 VNF的不同组件。

具体地，所述 VNFM才艮据所述新安装的 VNFC实例与所述主 VNFC实例的位置信息和 /或 VNF 标识信息确认二者属于同一个网络功能虚拟化基础设施 FVI平台上同一个 VNF的不同组件。

所述 VNFM确认所述新安装的 VNFC实例与所述主 VNFC实例属于同一个网络功能虚拟化基础设施 NFVI平台上同一个 VNF的不同组件后，确定所述新安装的 VNF实例的证书申请策略，并将证书申请信息发送给所述新安装的 V F实例。

由此可见，第一种确定证书申请策略的方式与第二种确定证书申请策略的方式的区别在于：第一种确定证书申请策略的方式由 NFVO确定，第二种确定证书申请策略的方式由 VNFM确定。

所述证书申请信息是在 NFVO或者 VNFM确定所述新安装的 VNF实例的证书申请策略后，发送给所述新安装的 V F实例的。

具体地，所述的证书申请信息是 NFVO或 VNFM确认所述新安装的 VNFC 实例与所述主 VNFC实例属于同一个网络功能虚拟化基础设施 NFVI平台上同一个 VNF的不同组件后生成的。具体地，所述 NFVO或 VNFM根据所述新安装的 VNFC实例与所述主 VNFC实例的位置信息和 /或 VNF标识信息确认二者属于同一个网络功能虚拟化基础设施 NF VI平台上同一个 VNF的不同组件。

证书申请代理信息包含了证书申请代理的标识信息，例如： IP ( Internet Protocol, 因特网协议）地址、 MAC ( Medium Access Control, 媒质接入控制）标识、虚拟 NIC ( Network Information Center, 网络信息中心）地址等。

例如：在 NFV中定义的 VNFM Agent或 Master VNFC, Master VNFC 在 VNF实例化过程中第一个创建的 VNFC, 用于负责 VNF的内部管理；在 V F扩容过程中，主 VNFC实例可以定义为与 VNF实例相关联的、且位于同一个网络功能虚拟化基础设施（NFVI , Network Function Virtualization Infrastructure )硬件平台上的 VNFC。

同样的，针对第一种确定证书申请策略的方式， NFVO 在确定证书申请策略之后， NFVO向 VIM发送创建 VM消息，以请求 VIM为待安装的 VM 分配资源，其中，所述创建 VM消息中包含了证书申请信息。

VIM指示 NFVI创建 VM, 并将证书申请信息发送给 NFVI, NFVI创建 VM, 并向 VIM发送创建确认消息。

在 VM创建完成后， NFVI通过安全方式启动新安装的 VNFC实例，将新安装的 VNFC实例运行于创建的 VM上，并将证书申请信息注入所述新安装的 VNFC实例中。

针对第二种确定证书申请策略的方式， VNFM在确定证书申请策略之后， VNFM向 VIM发送创建 VM消息，以请求 VIM为待安装的 VM分配资源，其中，所述创建 VM消息中包含了证书申请信息。

VIM指示 FVI创建 VM, 并将证书申请信息发送给 NFVI, NFVI创建 VM, 并向 VIM发送创建确认消息。

在 VM创建完成后， NF VI通过安全方式启动 VNFC，将新安装的 VNFC 实例运行在创建的 VM上，并将证书申请信息注入所述新安装的 VNF实例中。

在本发明的另一个实施例中，所述方法还包括：新安装的 VNFC 实例根据所述证书申请信息，建立与所述用于证书申请代理的主 VNFC 实例之间的网络连接。

其中，所述网絡连接属于同一个 NF VI平台的 VNF内部的网络连接。新安装的 VNF实例根据证书申请信息中包含的证书申请代理信息，确定执行证书申请代理的主 VNFC实例，并向主 VNFC实例发送证书申请代理消息。

具体地，用于证书申请代理的主 VNFC信息包含了主 VNFC实例的网际协议 IP地址、媒质接入控制 MAC标识、虚拟网络信息中心 NIC地址。

所述新安装的 VNFC实例生成公私密钥对；或

网络功能虚拟化基础设备 NFVI在实例化所述新安装的 VNF实例时，生成公私密钥对并注入至所述新安装的 V F实例中。

其中，所述证书申请代理消息中还包含 POP信息，所述 POP信息由所述新安装的 VNFC 实例使用公私密钥对中的私钥对私钥拥有性证明签名关键字字段进行签名得到。

此外，所述证书申请代理信息中还可以包含证书代理指示、 CA信息等。步骤 302: 新安装的 VNFC实例接收所述主 VNFC实例发送的所述证书认证中心签发的证书。

其中，所述证书是由所述证书认证中心根据所述主 VNFC 实例的证书通过对所述主 VNFC实例发送的证书请求消息的认证时对所述新安装的 VNFC 实例用于申请证书的公钥签名得到的。

所述的证书认证中心可以为 CA、RA或者 EMS等具有证书签发功能的实体。

需要说明的是，在向主 VNFC实例发送证书申请代理信息之前，所述方法还包括：

确定新安装的 VNF实例由 VNF实例化触发安装；或，

确定新安装的 VNF实例由 VNF扩容触发安装。

通过本发明实施例三的方案，通过同一个 F VI平台上已获取证书的其他 VNFC实例，利用其他 VNFC实例已建立的与证书认证中心之间的信任通道，代替新安装的 VNFC实例申请证书，不仅能够安全获取证书，而且还有效地筒化了流程，提升了系统反应速度，改善了系统运行效率。

实施例四：

如图 4所示，为本发明实施例四提供的一种证书获取方法的流程示意图。所述方法可以如下所述。

步骤 401： VNFM接收到用于安装新的 VNFC实例的操作指令。

用于安装新的 VNFC实例的操作指令可以是由 EMS( Element Management System, 网元管理系统）手动或者自动触发的，也可以是由 VNFM收集到来自 VNF的测量数据并发现需要扩容时得到的，这里不做限定。

步骤 402： VNFM向 NF VO发送操作指令验证请求信息。

步骤 403: NFVO在接收到操作指令验证请求信息时，执行操作决策，检查资源可用性。

步骤 404: NFVO向 VNFM发送操作指令确认消息。

其中，所述操作指令确认消息中包含了新创建的 VNFC实例的位置信息，和 /或证书认证中心信息。

所述的新创建的 VNFC实例的位置信息为：新创建的 VNFC实例所位于的 F VI相关联的 VIM信息，例如 VIM标识信息或 VIM地址信息。

所谓证书认证中心信息可以包含运营商域内的证书认证中心标识或者证书认证中心的 IP地址等。所述的证书认证中心可以为 CA、 RA或者 EMS等具有证书签发功能的实体。

步骤 405: VNFM根据主 VNFC实例和新创建的 VNFC实例的位置信息，确定新安装的 VNFC实例的证书申倚策略。

所述证书申请信息是在 VNFM确定所述新安装的 VNF实例的证书申请策略后，发送给所述新安装的 VNF实例的。

具体地，所述的证书申请信息是 VNFM确认所述新安装的 VNFC实例与所述主 VNFC实例属于同一个网络功能虚拟化基础设施 NFVI平台上同一个 VNF的不同组件后生成的。具体地，所述 VNFM才艮据所述新安装的 VNFC实例与所述主 VNFC实例的位置信息和 /或 VNF 标识信息确认二者属于同一个网絡功能虚拟化基础设施 FVI平台上同一个 VNF的不同组件。

证书申请方式指示可以为显式指示或者隐式指示，显式指示，例如：代理机制等；隐式指示可以通过制定代理者信息进行暗示等。

例如：在 NFV中定义 VNFM Agent或 Master VNFC, Master VNFC在 VNF实例化过程中第一个创建的 VNFC,用于负责 VNF的内部管理；在 VNF 扩容过程中，主 VNFC可以定义为与 V F实例相关联的、且位于同一个网络功能虚拟化基础设施 ( NFVI, Network Function Virtualization Infrastructure ) 硬件平台上的 VNFC。

步骤 406: VNFM向 VIM发送创建 VM消息，以请求 VIM为待安装的 VM分配资源。

其中，所述创建 VM消息中包含了证书申请信息。

步骤 407： VIM指示 NFVI创建 VM，并将证书申请信息发送给 NFVI。步骤 408： NFVI创建 VM，并向 VIM发送创建确认消息。

步骤 409: 在 VM创建完成后， NFVI通过安全方式启动新安装的 VNFC 实例，将新安装的 VNFC实例运行于创建的 VM上，并将证书申请信息注入所述新安装的 VNFC实例中。

步骤 410: 新安装的 VNFC 实例根据所述证书申请信息，确定执行证书申请代理的主 VNFC实例，并建立与所述用于证书申请代理的主 VNFC实例之间的网络连接。

其中，所述网络连接属于同一个 NFVI平台的 VNF内部的网络连接。步骤 411 : 新安装的 VNF实例向主 VNFC实例发送证书申请代理消息。其中，所述证书申请代理消息中包含了所述新安装的 VNFC实例用于申请证书的公钥。

所述新安装的 VNFC实例生成公私密钥对；或

网络功能虚拟化基础设备 NFVI在实例化所述新安装的 VNFC实例时，生成公私密钥对并注入至所述新安装的 VNFC实例中。

其中，所述证书申请代理消息中还包含 POP信息，所述 POP信息由所述新安装的 VNFC 实例使用公私密钥对中的私钥对私钥拥有性证明签名关键字 POP Signing Key字段进行签名得到。

此外，所述证书申请代理信息中还可以包含证书代理指示、 CA信息等。步骤 412：主 VNFC 实例根据所述证书申请代理消息，与证书认证中心之间进行信息交互，获取 CA签发给新安装的 VNFC实例的证书。

步骤 412具体实现方式与本发明实施例一、本发明实施例二和本发明实施例三中由主 VNFC实例代替新安装的 VNFC实例获取证书认证中心签发给新安装的 VNFC实例的证书的方式相同，这里不再详细描述。

步骤 413: 主 VNFC 实例将获取的所述证书认证中心签发给所述新安装的 VNFC实例的证书经过内部网絡连接发送给新安装的 VNFC实例。

步骤 414: 所述新安装的 VNFC实例安装证书。

步骤 415: VNFC安装证书后，向 NF VI发送确认证书申请完成。

步骤 416: NFVI向 VIM发送证书申请完成。

步骤 417: VIM向 VNFM确认资源分配完成。

步骤 418: VNFM对新安装的 VNFC实例进行配置，部署特定的参数，并通知 NFVO操作完成。

此外， NF VO将 VNFC实例映射到 VIM和资源池中； VNFM向 EM发送确认消息； EMS增加或更新 VNFC实例为可管理的设备， EMS对新安装的 VNFC实例进行应用特定的参数配置。

在本实施例中，若主 VNFC实例和认证中心 CA之间没有直连接口的，则证书请求 /响应消息可以通过 EMS进行转发。

通过本发明实施例四的方案，通过同一个 F VI平台上已获取证书的其他 VNFC实例，利用其他 VNFC实例已建立的与证书认证中心之间的信任通道，代替新安装的 VNFC实例申请证书，不仅能够安全获取证书，而且还有效地筒化了流程，提升了系统反应速度，改善了系统运行效率。

实施例五：

本发明实施例五提供的一种证书获取方法，本发明实施例五提供的证书获取方法与实施例四提供的证书获取方法基本相同，也存在区别，最大区别在于：证书申请策略确定方式不同。

具体地，当 FVO接收到用于安装新的 VNFC实例的操作指令时， NFVO 向 VNFM发送操作指令验证请求信息。

用于安装新的 VNFC实例的操作指令可以是由 EMS( Element Management System, 网元管理系统）手动或者自动触发的，也可以是由 NFVO收集到来自 VNF的测量数据并发现需要扩容时得到的，这里不做限定。

NFVO在接收到操作指令确认消息时，执行操作决策，检查资源可用性，选择资源池并预留资源。 NFVO根据主 VNFC实例和新创建的 VNFC实例的位置信息，确定新安装的 VNFC 实例的证书申请策略，并将该证书申请策略发送给 VNFM。

其中，所述证书申请策略包含了证书申请信息。所述证书申请信息是在 NFVO确定所述新安装的 VNF实例的证书申请策略后，发送给所述新安装的 VNF实例的。

具体地，所述的证书申请信息是 NFVO确认所述新安装的 VNFC实例与所述主 VNFC实例属于同一个网络功能虚拟化基础设施 F VI平台上同一个 VNF的不同组件后生成的。

具体地，所述 NFVO才艮据所述新安装的 VNFC实例与所述主 VNFC实例的位置信息和 /或 VNF 标识信息确认二者属于同一个网絡功能虚拟化基础设施 FVI平台上同一个 VNF的不同组件。

实施例六：

如图 5所示，为本发明实施例六提供的一种证书获取设备的结构示意图，所述设备包括：接收模块 51、发送模块 52和获取模块 53 , 其中：

接收模块 51 , 用于接收新安装的虚拟网络功能 VNFC实例发送的证书申请代理消息，其中，所述证书申请代理消息中包含了所述新安装的 VNFC 实例用于申请证书的公钥；

发送模块 52，用于根据所述接收模块 51接收到的所述证书申请代理消息，向证书认证中心发送证书请求消息 , 请求所述证书认证中心为所述新安装的 VNFC实例签发证书，其中，所述证书请求消息中包含了主 VNFC 实例的证书和所述新安装的 VNFC实例用于申请证书的公钥；

获取模块 53 , 用于获取所述证书认证中心签发的证书，其中，所述证书是由所述证书认证中心使用所述新安装的 VKFC 实例用于申请证书的公钥签发的。

可选地，所述设备还包括：验证模块 54 , 其中：

所述接收模块 51 , 还用于在所述获取模块获取所述证书认证中心签发的证书之前，接收所述证书认证中心发送的证书响应消息；

验证模块 54，用于对所述接收模块 51接收到的所述证书响应消息进行验证。

具体地，所述证书响应消息中包含了所述证书认证中心签发的证书；所述获取模块 53 , 具体用于在所述验证模块确定对所述证书响应消息验证通过时，获取所述证书响应消息中包含的所述证书认证中心签发给所述新安装的 VNFC实例的证书，其中，所述新安装的 VNFC实例的证书是由所述证书认证中心根据所述主 VNFC实例的证书，通过对所述主 VNFC发送的证书申请请求消息的认证后，对所述证书请求消息中包含的所述新安装的 VNFC 实例用于申请证书的公钥签名得到的。

可选地，所述证书申请代理消息和所述证书请求消息中还包含了私钥拥有性证明 POP信息。

可选地，所述 POP信息由所述新安装的 VNFC实例使用公私密钥对中的私钥对私钥拥有性证明签名关键字字段进行签名得到。

可选地，所述新安装的 VNFC实例使用的公私密钥对通过以下方式得到：所述新安装的 VNFC实例生成公私密钥对；或

所述发送模块 52，还用于在所述获取模块获取所述证书认证中心签发给所述新安装的 VNFC实例的证书后，将获取的所述证书认证中心签发给所述新安装的 VNFC实例的证书通过内部网络发送给新安装的 VNFC实例。

所述主 VNFC实例与所述新安装的 VNFC实例属于同一个网络功能虚拟化基础设施 NF VI平台中同一个 VNF的不同组件。

需要说明的是，本发明实施例中所述的设备可以是与所述新安装的 VNFC 实例属于同一个网络功能虚拟化基础设施 NFVI平台中同一个 VNF的其他组件，例如：主 VNFC实例，实现方式可以通过硬件方式实现，也可以通过软件方式实现。

实施例七：

如图 6所示，为本发明实施例七提供的一种证书获取设备的结构示意图，所述设备包括：接收模块 61、证书签发模块 62和发送模块 63 , 其中：

接收模块 61 , 用于接收主 VNFC实例发送的证书请求消息，其中，所述证书请求消息中包含了主 VNFC实例的证书和新安装的 VNFC实例用于申请证书的公钥；

证书签发模块 62, 用于根据所述接收模块接收到的所述主 VNFC实例的证书对所述证书请求消息进行认证，并在认证通过时对所述新安装的 VNFC 实例用于申请证书的公钥签名得到签发的证书；

发送模块 63 , 用于将所述证书签发模块签发的所述签发的证书发送给所述主 VNFC实例。

具体地，所述证书签发模块 62，具体用于利用所述主 VNFC实例的证书验证所述证书请求消息的签名，以及利用签发的根 CA证书或者签发的中间证书对接收到的所述主 VNFC实例的证书进行验证。

可选地，所述证书请求消息中还包含私钥拥有性证明 POP信息。

所述证书签发模块 62, 还用于利用所述证书请求消息中包含的用于申请证书的公钥对所述证书请求消息中包含的 POP信息进行认证。

需要说明的是，本发明实施例中所述的设备可以是证书认证中心，例如： CA、 ESA、 RA 等具备证书签发功能的网元设备，实现方式可以通过硬件方式实现，也可以通过软件方式实现。

实施例八：

如图 7所示，为本发明实施例八提供的一种证书获取设备的结构示意图，所述设备包括：发送模块 71和接收模块 72, 其中：

发送模块 71 ,用于向主虚拟网络功能 VNFC实例发送证书申请代理消息，其中，所述证书申请代理消息中包含了新安装的 VNFC实例用于申请证书的公钥，所述证书申请代理消息用于请求所述主 VNFC实例向证书认证中心发送证书请求消息，所述证书请求消息用于请求所述证书认证中心为所述新安装的 VNFC实例签发证书，所述证书请求消息中包含了所述主 VNFC实例的证书和所述新安装的 VNFC实例用于申请证书的公钥；

接收模块 72 , 用于接收所述主 VNFC实例发送的所述证书认证中心签发的证书，其中，所述证书是由所述证书认证中心对所述新安装的 VNFC 实例用于申请证书的公钥签名得到的。

可选地，所述接收模块 71，还用于在向主 VNFC发送证书申请代理消息之前，接收 NFVO或者 VNFM发送的证书申请信息，其中，所述证书申请信息中包含了用于代理证书申请的主 VNFC实例信息。

可选地，所述设备还包括：建立模块 73，其中：

建立模块 73，用于在向主 VNFC发送证书申请代理消息之前，根据所述接收模块接收到的所述证书申请信息，建立与所述用于证书申请代理的主 VNFC 实例之间的网络连接，其中，所述网络连接属于同一个网络功能虚拟化基础设施 NFVI平台的 VNF内部的网络连接。

具体地，所述接收模块 72, 具体用于在安装时，接收网络功能虚拟化基础设备 NFVI注入的证书申请信息。

可选地，用于证书申请代理的主 VNFC信息包含了主 VNFC实例的网际协议 IP地址、媒质接入控制 MAC标识、虚拟网络信息中心 NIC地址。

可选地，所述新安装的 VNFC实例用于申请证书的公钥通过以下方式得到：

所述新安装的 VNFC实例生成公私密钥对；或

可选地，所述新安装的 VNFC实例向主 VNFC实例发送证书申请代理消息的触发方式包括：

由 V F实例化触发；或，由 V F扩容触发。

需要说明的是，本发明实施例中所述的设备可以需要申请证书的新安装的 VNFC实例，也可以是集成在需要申请证书的新安装的 VNFC实例上的控制网元，实现方式可以通过硬件方式实现，也可以通过软件方式实现，这里不做限定。

实施例九：

如图 8所示，为本发明实施例九提供的一种证书获取设备的结构示意图，所述设备包括：信号接收器 81、信号发射器 82和处理器 83 , 其中，信号接收器 81、信号发射器 82和处理器 83通过通信总线 84连接。

信号接收器 81 , 用于接收新安装的虚拟网络功能 VNFC实例发送的证书申请代理消息，其中，所述证书申请代理消息中包含了所述新安装的 VNFC 实例用于申请证书的公钥；

信号发射器 82, 用于根据所述证书申请代理消息，向证书认证中心发送证书请求消息，请求所述证书认证中心为所述新安装的 VNFC实例签发证书，其中，所述证书请求消息中包含了主 VNFC实例的证书和所述新安装的 VNFC 实例用于申请证书的公钥；

处理器 83 , 用于获取所述证书认证中心签发的证书，其中，所述证书是由所述证书认证中心使用所述新安装的 VNFC 实例用于申请证书的公钥签发的。

可选地，所述信号接收器 81 , 还用于在获取所述证书认证中心签发的证书之前，接收所述证书认证中心发送的证书响应消息。

所述处理器 83，还用于对接收到的所述证书响应消息进行验证。

具体地，所述证书响应消息中包含了所述证书认证中心签发的证书；所述处理器 83 , 具体用于在对所述证书响应消息验证通过时，获取所述证书响应消息中包含的所述证书认证中心签发给所述新安装的 VNFC 实例的证书，其中，所述新安装的 VNFC实例的证书是由所述证书认证中心根据所述主 VKFC实例的证书，通过对所述主 VNFC发送的证书申请请求消息的认证后，对所述证书请求消息中包含的所述新安装的 VNFC 实例用于申请证书的公钢签名得到的。

可选地，所述信号发射器 82, 还用于在获取所述证书认证中心签发给所述新安装的 VNFC 实例的证书后，将获取的所述证书认证中心签发给所述新安装的 VNFC实例的证书通过内部网络发送给新安装的 VNFC实例。

处理器 83 可以是一个通用中央处理器（CPU ), 微处理器，特定应用集成电路 ( application-specific integrated circuit, ASIC) , 或一个或多个用于控制本发明方案程序执行的集成电路。

所述通信总线 84可包括一通路，在上述组件之间传送信息。

实施例十：

如图 9所示，为本发明实施例十提供的一种证书获取设备的结构示意图，所述设备包括：信号接收器 91、处理器 92和信号发射器 93 , 其中：信号接收器 91、处理器 92和信号发射器 93之间通过通信总线 94连接。

信号接收器 91 , 用于接收主 VNFC实例发送的证书请求消息，其中，所述证书请求消息中包含了主 VNFC实例的证书和新安装的 VNFC实例用于申请证书的公钥；

处理器 92, 用于根据所述主 VNFC实例的证书对所述证书请求消息进行认证，并在认证通过时对所述新安装的 VNFC 实例用于申请证书的公钥签名得到签发的证书；

信号发射器 93 , 用于将所述签发的证书发送给所述主 VNFC实例。具体地，所述处理器 92, 具体用于利用所述主 VNFC实例的证书验证所述证书请求消息的签名，以及利用签发的根 CA证书或者签发的中间证书对接收到的所述主 VNFC实例的证书进行验证。

所述处理器 92，还用于所述证书认证中心利用所述证书请求消息中包含的用于申请证书的公钥对所述证书请求消息中包含的 POP信息进行认证。

处理器 92 可以是一个通用中央处理器（CPU ), 微处理器，特定应用集成电路 ( application-specific integrated circuit, ASIC) , 或一个或多个用于控制本发明方案程序执行的集成电路。

所述通信总线 94可包括一通路，在上述组件之间传送信息。

实施例十一：

如图 10所示，为本发明实施例十一提供的一种证书获取设备的结构示意图，所述设备包括：信号发射器 1001和信号接收器 1002, 其中，信号发射器 1001和信号接收器 1002通过通信总线 1003连接。

信号发射器 1001，用于向主虚拟网络功能 VNFC实例发送证书申请代理消息，其中，所述证书申请代理消息中包含了新安装的 VNFC实例用于申请证书的公钥，所述证书申请代理消息用于请求所述主 VNFC实例向证书认证中心发送证书请求消息，所述证书请求消息用于请求所述证书认证中心为所述新安装的 VNFC实例签发证书，所述证书请求消息中包含了所述主 VNFC 实例的证书和所述新安装的 VNFC实例用于申请证书的公钥；

信号接收器 1002 , 用于接收所述主 VNFC实例发送的所述证书认证中心签发的证书，其中，所述证书是由所述证书认证中心对所述新安装的 VNFC 实例用于申请证书的公钥签名得到的。

可选地，所述信号接收器 1002，还用于在向主 VNFC发送证书申请代理消息之前，接收 NFVO或者 VNFM发送的证书申请信息，其中，所述证书申请信息中包含了用于代理证书申请的主 VNFC实例信息。

可选地，所述设备还包括：处理器 1004, 其中：

处理器 1004, 用于在向主 VNFC发送证书申请代理消息之前，根据所述证书申请信息，建立与所述用于证书申请代理的主 VNFC 实例之间的网络连接，其中，所述网络连接属于同一个网络功能虚拟化基础设施 NFVI 平台的 VNF内部的网絡连接。

具体地，所述信号接收器 1002, 具体用于在安装时，接收网络功能虚拟化基础设备 NFVI注入的证书申请信息。

所述新安装的 VNFC实例生成公私密钥对；或

由 V F实例化触发；或，

由 VKF扩容触发。

处理器 1004 可以是一个通用中央处理器（CPU ), 微处理器，特定应用集成电路 ( application-specific integrated circuit, ASIC), 或一个或多个用于控制本发明方案程序执行的集成电路。

所述通信总线 1003可包括一通路，在上述组件之间传送信息。

本领域的技术人员应明白，本发明的实施例可提供为方法、装置（设备）、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质 (包括但不限于磁盘存储器、 CD-ROM、光学存储器等）上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、装置（设备）和计算机程序产品的流程图和 /或方框图来描述的。应理解可由计算机程序指令实现流程图和 / 或方框图中的每一流程和 /或方框、以及流程图和 /或方框图中的流程和 /或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims

权利要求

1、一种证书获取设备，其特征在于，包括：

接收模块，用于接收新安装的虚拟网络功能 VNFC实例发送的证书申请代理消息，其中，所述证书申请代理消息中包含了所述新安装的 VNFC 实例用于申请证书的公钥；

发送模块，用于根据所述接收模块接收到的所述证书申请代理消息，向证书认证中心发送证书请求消息，请求所述证书认证中心为所述新安装的 VNFC实例签发证书，其中，所述证书请求消息中包含了主 VNFC 实例的证书和所述新安装的 VNFC实例用于申请证书的公钥；

2、如权利要求 1所述的设备，其特征在于，所述设备还包括：所述接收模块，还用于在所述获取模块获取所述证书认证中心签发的证书之前，接收所述证书认证中心发送的证书响应消息；

验证模块，用于对所述接收模块接收到的所述证书响应消息进行验证。

3、如权利要求 2所述的设备，其特征在于 , 所述证书响应消息中包含了所述证书认证中心签发的证书；

4、如权利要求 1至 3任一所述的设备，其特征在于，所述证书申请代理消息和所述证书请求消息中还包含了私钥拥有性证明 POP信息。

5、如权利要求 4所述的设备，其特征在于，所述 POP信息由所述新安装的 VNFC实例使用公私密钥对中的私钥对私钥拥有性证明签名关键字字段进行签名得到。

6、如权利要求 1至 5任一所述的设备，其特征在于，所述新安装的 VNFC 实例使用的公私密钥对通过以下方式得到：

所述新安装的 VNFC实例生成公私密钥对；或

7、如权利要求 1至 6任一所述的设备，其特征在于，

所述发送模块，还用于在所述获取模块获取所述证书认证中心签发给所述新安装的 VNFC 实例的证书后，将获取的所述证书认证中心签发给所述新安装的 VNFC实例的证书通过内部网络发送给新安装的 VNFC实例。

8、如权利要求 1至 7任一所述的设备，其特征在于，

9、一种证书获取设备，其特征在于，包括：

接收模块，用于接收主 VNFC实例发送的证书请求消息，其中，所述证书请求消息中包含了主 VNFC实例的证书和新安装的 VNFC实例用于申请证书的公钥；

证书签发模块，用于根据所述接收模块接收到的所述主 VNFC 实例的证书对所述证书请求消息进行认证，并在认证通过时对所述新安装的 VNFC 实例用于申请证书的公钥签名得到签发的证书；

10、如权利要求 9所述的设备，其特征在于，

所述证书签发模块，具体用于利用所述主 VNFC实例的证书验证所述证书请求消息的签名，以及利用签发的根 CA证书或者签发的中间证书对接收到的所述主 VNFC实例的证书进行验证。

11、如权利要求 9或 10所述的设备，其特征在于，所述证书请求消息中还包含私钥拥有性证明 POP信息。

12、如权利要求 11所述的设备，其特征在于，

所述证书签发模块，还用于利用所述证书请求消息中包含的用于申请证书的公钥对所述证书请求消息中包含的 POP信息进行认证。

13、一种证书获取设备，其特征在于，包括：

发送模块，用于向主虚拟网络功能 VNFC 实例发送证书申请代理消息，其中，所述证书申请代理消息中包含了新安装的 VNFC实例用于申请证书的公钥，所述证书申请代理消息用于请求所述主 VNFC实例向证书认证中心发送证书请求消息，所述证书请求消息用于请求所述证书认证中心为所述新安装的 VNFC实例签发证书，所述证书请求消息中包含了所述主 VNFC实例的证书和所述新安装的 VNFC实例用于申请证书的公胡；

14、如权利要求 13所述的设备，其特征在于，

所述接收模块，还用于在向主 VNFC发送证书申请代理消息之前，接收 NFVO或者 VNFM发送的证书申请信息，其中，所述证书申请信息中包含了用于代理证书申请的主 VNFC实例信息。

15、如权利要求 14所述的设备，其特征在于，所述设备还包括：建立模块，用于在向主 VNFC发送证书申请代理消息之前，根据所述接收模块接收到的所述证书申请信息，建立与所述用于证书申请代理的主 VNFC 实例之间的网络连接，其中，所述网络连接属于同一个网络功能虚拟化基础设施 NFVI平台的 VNF内部的网络连接。

16、如权利要求 14至 15任一所述的设备，其特征在于，

所述接收模块，具体用于在安装时，接收网络功能虚拟化基础设备 NFVI 注入的证书申请信息。

17、如权利要求 14至 16任一所述的设备，其特征在于，用于证书申请代理的主 VNFC信息包含了主 VNFC实例的网际协议 IP地址、媒质接入控制 MAC标识、虚拟网络信息中心 NIC地址。

18、如权利要求 13至 17任一所述的设备，其特征在于，所述新安装的 VNFC实例用于申请证书的公钥通过以下方式得到：

所述新安装的 VNFC实例生成公私密钥对；或

19、如权利要求 13至 18任一所述的设备，其特征在于，所述新安装的 VNFC实例向主 VNFC实例发送证书申请代理消息的触发方式包括：

由 V F实例化触发；或，由 VNF扩容触发。

20、一种证书获取设备，其特征在于，包括：

21、如权利要求 20所述的设备，其特征在于，

所述信号接收器，还用于在获取所述证书认证中心签发的证书之前，接收所述证书认证中心发送的证书响应消息；

22、如权利要求 21所述的设备，其特征在于，所述证书响应消息中包含了所述证书认证中心签发的证书；

23、如权利要求 19至 22任一所述的设备，其特征在于，所述证书申请代理消息和所述证书请求消息中还包含了私钥拥有性证明 POP信息。

24、如权利要求 23所述的设备，其特征在于 , 所述 POP信息由所述新安装的 VNFC 实例使用公私密钥对中的私钥对私钥拥有性证明签名关键字字段进行签名得到。

25、如权利要求 19至 24任一所述的设备，其特征在于，所述新安装的 VNFC实例使用的公私密钥对通过以下方式得到：

所述新安装的 VNFC实例生成公私密钥对；或

26、如权利要求 19至 25任一所述的设备，其特征在于，

所述信号发射器，还用于在获取所述证书认证中心签发给所述新安装的 VNFC实例的证书后，将获取的所述证书认证中心签发给所述新安装的 VNFC 实例的证书通过内部网络发送给新安装的 VNFC实例。

27、如权利要求 19至 26任一所述的设备，其特征在于，

28、一种证书获取设备，其特征在于，包括：

29、如权利要求 28所述的设备，其特征在于，

所述处理器，具体用于利用所述主 VNFC 实例的证书验证所述证书请求消息的签名，以及利用签发的根 CA证书或者签发的中间证书对接收到的所述主 VNFC实例的证书进行验证。

30、如权利要求 28或 29所述的设备，其特征在于，所述证书请求消息中还包含私钥拥有性证明 POP信息。

31、如权利要求 30所述的方法，其特征在于，

所述处理器，还用于所述证书认证中心利用所述证书请求消息中包含的用于申请证书的公钥对所述证书请求消息中包含的 POP信息进行认证。

32、一种证书获取设备，其特征在于，包括：

33、如权利要求 32所述的设备，其特征在于，

所述信号接收器，还用于在向主 VNFC发送证书申请代理消息之前，接收 FVO或者 VNFM发送的证书申请信息，其中，所述证书申请信息中包含了用于代理证书申请的主 VNFC实例信息。

34、如权利要求 33所述的设备，其特征在于，所述设备还包括：处理器，其中：

所述处理器，用于在向主 VNFC发送证书申请代理消息之前，根据所述证书申请信息，建立与所述用于证书申请代理的主 VNFC 实例之间的网络连接，其中，所述网絡连接属于同一个网络功能虚拟化基础设施 NFVI 平台的 VNF内部的网络连接。

35、如权利要求 33至 34任一所述的设备，其特征在于，

所述信号接收器，具体用于在安装时，接收网络功能虚拟化基础设备 NFVI注入的证书申请信息。

36、如权利要求 33至 35任一所述的设备，其特征在于，用于证书申请代理的主 VNFC信息包含了主 VNFC实例的网际协议 IP地址、媒质接入控制 MAC标识、虚拟网络信息中心 NIC地址。

37、如权利要求 32至 36任一所述的设备，其特征在于，所述新安装的 VNFC实例用于申请证书的公钥通过以下方式得到：

所述新安装的 VNFC实例生成公私密钥对；或

38、如权利要求 32至 37任一所述的设备，其特征在于，所述新安装的 VNFC实例向主 VNFC实例发送证书申请代理消息的触发方式包括：

由 V F实例化触发；或，

由 V F扩容触发。

39、一种证书获取方法，其特征在于，包括：

主虚拟网络功能 VNFC实例接收新安装的 VNFC实例发送的证书申请代理消息，其中，所述证书申请代理消息中包含了所述新安装的 VNFC 实例用于申请证书的公钥；所述主 VNFC 实例根据所述证书申请代理消息，向证书认证中心发送证书请求消息，请求所述证书认证中心为所述新安装的 VNFC实例签发证书，其中，所述证书请求消息中包含了主 VNFC实例的证书和所述新安装的 VNFC 实例用于申请证书的公钥；

40、如权利要求 39所述的方法，其特征在于，所述主 VNFC实例在获取所述证书认证中心签发的证书之前，所述方法还包括：

所述主 VNFC 实例接收所述证书认证中心发送的证书响应消息，并对接收到的所述证书响应消息进行验证。

41、如权利要求 40所述的方法，其特征在于，所述证书响应消息中包含了所述证书认证中心签发的证书；

所述获取所述证书认证中心签发的证书，包括：

所述主 VNFC 实例在对所述证书响应消息验证通过时，获取所述证书响应消息中包含的所述证书认证中心签发给所述新安装的 VNFC实例的证书，其中，所述新安装的 VNFC 实例的证书是由所述证书认证中心根据所述主 VNFC实例的证书，通过对所述主 VNFC发送的证书申请请求消息的认证后，对所述证书请求消息中包含的所述新安装的 VNFC实例用于申请证书的公钥签名得到的。

42、如权利要求 39至 41任一所述的方法，其特征在于，所述证书申请代理消息和所述证书请求消息中还包含了私钥拥有性证明 POP信息。

43、如权利要求 42所述的方法，其特征在于，所述 POP信息由所述新安装的 VNFC 实例使用公私密钥对中的私钥对私钥拥有性证明签名关键字字段进行签名得到。

44、如权利要求 39至 43任一所述的方法，其特征在于，所述新安装的 VNFC实例使用的公私密钥对通过以下方式得到：所述新安装的 VNFC实例生成公私密钥对；或

45、如权利要求 39至 44任一所述的方法，其特征在于，所述主 VNFC 实例在获取所述证书认证中心签发给所述新安装的 VNFC 实例的证书后，所述方法还包括：

所述主 VNFC 实例将获取的所述证书认证中心签发给所述新安装的 VNFC实例的证书通过内部网络发送给新安装的 VNFC实例。

46、如权利要求 39至 45任一所述的方法，其特征在于，

47、一种证书获取方法，其特征在于，包括：

48、如权利要求 47所述的方法，其特征在于，所述证书认证中心根据所述主 VNFC的证书对所述证书请求消息进行认证，包括：

所述证书认证中心利用所述主 VNFC 实例的证书验证所述证书请求消息的签名，以及利用签发的根 CA证书或者签发的中间证书对接收到的所述主 VNFC实例的证书进行验证。

49、如权利要求 47或 48所述的方法，其特征在于，所述证书请求消息中还包含私钥拥有性证明 POP信息。

50、如权利要求 49所述的方法，其特征在于，所述证书认证中心根据所述主 VNFC的证书对所述证书请求消息进行认证，还包括：

51、一种证书获取方法，其特征在于，包括：

新安装的虚拟网络功能 VNFC实例向主 VNFC实例发送证书申请代理消息，其中，所述证书申请代理消息中包含了新安装的 VNFC实例用于申请证书的公钥，所述证书申请代理消息用于请求所述主 VNFC 实例向证书认证中心发送证书请求消息，所述证书请求消息用于请求所述证书认证中心为所述新安装的 VNFC实例签发证书，所述证书请求消息中包含了所述主 VNFC实例的证书和所述新安装的 VNFC实例用于申请证书的公钥；

52、如权利要求 51所述的方法，其特征在于，在向主 VNFC发送证书申请代理消息之前，所述方法还包括：

所述新安装的 VNFC实例接收 NFVO或者 VNFM发送的证书申请信息，其中，所述证书申请信息中包含了用于代理证书申请的主 VNFC实例信息。

53、如权利要求 52所述的方法，其特征在于，所述新安装的 VNFC实例在向主 VNFC发送证书申请代理消息之前，所述方法还包括：

所述新安装的 VKFC实例根据所述证书申请信息，建立与所述用于证书申请代理的主 VNFC实例之间的网络连接，其中，所述网络连接属于同一个网络功能虚拟化基础设施 NFVI平台的 V F内部的网絡连接。

54、如权利要求 52至 53任一所述的方法，其特征在于，所述新安装的 VNFC实例获取证书申请信息，包括：

55、如权利要求 52至 54任一所述的方法，其特征在于，用于证书申请代理的主 VNFC信息包含了主 VNFC实例的网际协议 IP地址、媒质接入控制 MAC标识、虚拟网络信息中心 NIC地址。

56、如权利要求 51至 55任一所述的方法，其特征在于，所述新安装的 VNFC实例用于申请证书的公钥通过以下方式得到：

所述新安装的 VNFC实例生成公私密钥对；或

57、如权利要求 51至 56任一所述的方法，其特征在于，所述新安装的 VNFC实例向主 VNFC实例发送证书申请代理消息的触发方式包括：

由 V F实例化触发；或，

由 V F扩容触发。