本发明实施例涉及网络通信技术领域， 尤其涉及一种基于网络功能虚 拟化的证书配置方法、 装置和系统。 背景技术

在网络功能虚拟化 NFV ( Network Function Virtul izat ion ) 场景下， 传 统网络及网络节点的架构发生较大变化， 传统的物理电信节点在新的网络架 构下， 演变为虚拟器中的虚拟节点， 以虚拟机的形式存在， 这样使得多个传 统物理节点共同部署在同一物理宿主机上， 共享硬件资源， 甚至与其它第三 方应用软件共享资源； 另外为便于虚拟机动态迁移和提升同一虚拟器 中虚拟 机之间的通信性能， 传统 IP网络通过虚拟交换机、 虚拟网络适配器进而演变 为虚拟网络， 虚拟机之间将直接通过虚拟网络通信， 从而绕过了传统物理网 络设备。 然而， 虚拟网络内部虚拟机之间通信、 虚拟机与外部网络通信面临 着安全风险， 例如虚拟机之间的相互攻击， 宿主机应用对主机、 虚拟机之间 的攻击， 宿主机利用与虚拟机网络互通进行攻击， 通过远程维护管理通道对 虚拟机的攻击， 通过网络边缘节点进行外部网络攻击等。 因此， 网络功能虚 拟化面临的这些通信威胁要求虚拟化通信采用 特定的安全技术建立安全连接， 用以保证虚拟化通信的机密性、 完整性。 而建立安全连接需要虚拟化通信实 体双方配置有基于 X. 509的证书。

由于虚拟网络功能实体不是传统的硬件实体， 而是以软件方式按需生 成动态存在的， 且其安装的位置也不是固定的。 因此， 传统的实体证书配 置方法并不适用于网络功能虚拟化场景； 进一歩地， 一个虚拟网络功能实 体可以同时存在多个实例， 如果使用传统的实体证书配置方法由虚拟网络 功能实体的提供商进行证书配置时， 会因为相同的虚拟网络功能实体的安 装包导致多个实例安装相同的证书， 存在较大的安全隐患。 发明内容 本发明实施例提供一种基于网络功能虚拟化的 证书配置方法、 装置和 系统， 可以解决现有的网络功能虚拟化中存在的安全 隐患问题。

第一方面， 提供一种基于网络功能虚拟化的证书配置方法 ， 包括： 虚拟网络管理实体获取虚拟网络功能实体的初 始信任状信息； 所述虚拟网络管理实体在对所述虚拟网络功能 实体进行实例化的过 程中或实例化之后， 将所述初始信任状信息安装到所述虚拟网络功 能实体 中， 以使所述虚拟网络功能实体利用所述初始信任 状信息从认证中心获取 所述虚拟网络功能实体的网络运营商签发的正 式证书。

基于第一方面， 在第一种实现方式中， 所述虚拟网络管理实体获取虚 拟网络功能实体的初始信任状信息， 包括：

所述虚拟网络管理实体接收网络运营管理实体 发送的实例化请求，所述 实例化请求中包括所述虚拟网络功能实体的初 始信任状信息。

基于第一方面， 在第二种实现方式中， 所述虚拟网络管理实体获取虚 拟网络功能实体的初始信任状信息， 包括：

所述虚拟网络管理实体从所述虚拟网络功能包 或所述虚拟网络功能 的镜像文件或所述虚拟网络功能的描述器 VNFD 中或所述虚拟网络功能的 实例化数据中获取所述虚拟网络功能实体的初 始信任状信息；

所述虚拟网络功能包或所述镜像文件或所述 VNFD 或所述实例化数据 为所述网络运营管理实体在所述虚拟网络管理 实体对所述虚拟网络功能 实体进行实例化之前或实例化的过程中发送给 所述虚拟网络管理实体，所 述 VNFD或所述镜像文件中包括所述初始信任状信� �。

基于第一方面或第一方面的第一或第二种实现 方式， 在第三种实现方 式中， 所述初始信任状信息包括但不限于证书、 预共享密钥、 令牌和 /或 密码。

基于第一方面的第三种实现方式， 在第四种实现方式中， 所述初始信 任状信息包括证书时， 所述初始信任状信息中包括初始证书以及对应 的第 一私钥；

所述初始证书是所述虚拟网络功能实体的提供 商或网络运营商为所 述虚拟网络功能实体所签发， 所述第一私钥为所述初始证书对应的第一公 钥 -私钥对中的私钥。 基于第一方面的第四种实现方式， 在第五种实现方式中， 所述初始证 书用所述虚拟网络功能实体的提供商的根证书 或中间证书对应的私钥进行签 名， 其中， 所述虚拟网络功能实体的提供商的中间证书是 隶属于所述虚拟网 络功能实体的提供商的根证书的下级子证书签 发的证书； 或者

所述初始证书用所述虚拟网络功能实体的网络 运营商的根证书或中间 证书对应的私钥进行签名， 其中， 所述虚拟网络功能实体的网络运营商的中 间证书是隶属于所述虚拟网络功能实体的网络 运营商的根证书的下级子证书 签发的证书。

基于第一方面或第一方面的第一或第二种实现 方式， 在第六种实现方 式中，所述虚拟网络管理实体包括第一管理实 体 NFV0、第二管理实体 VNFM、 第三管理实体 VIM和第四管理实体 NFVI管理控制单元；

所述网络运营管理实体包括运营支撑系统 0SS或网元管理系统 EMS; 所述虚拟网络功能实体包括虚拟网络功能单元 VNF或虚拟网络功能子 单元 VNFC。

基于第一方面的第六种实现方式， 在第七种实现方式中， 所述初始信 任状信息是所述第一管理实体 NFV0或所述第二管理实体 VNFM或所述网络运 营管理实体为所述虚拟网络功能实体配置的。

基于第一方面的第六种实现方式， 在第八种实现方式中， 所述初始信 任状信息由所述第一管理实体 NFV0发送给所述第三管理实体 VIM,或者由 所述第二管理实体 VNFM经由所述第一管理实体 NFV0发送给所述第三管理 实体 VIM, 或者由所述第二管理实体 VNFM发送给所述第三管理实体 VIM。

基于第一方面的第六种实现方式， 在第九种实现方式中， 所述初始信 任状信息在 VNF 实例化过程中或实例化过程之后， 由所述第三管理实体 VIM发送给所述第四管理实体 NFVI管理控制单元，并由所述第四管理实体 NFVI管理控制单元通过虚拟机安装于所述虚拟� �络功能实体上。

基于第一方面的第六种实现方式， 在第十种实现方式中， 所述初始信 任状信息由所述第一管理实体 NFV0发送给所述第二管理实体 VNFM, 或者 由所述网络运营管理实体经由 NFV0发送给 VNFM, 或者由网络运营管理实 体发送费 VNFM。

基于第一方面的第十种实现方式， 在第 ^一种实现方式中， 所述初始 信任状信息在 VNF实例化过程中或实例化过程之后， 由所述第二管理实体 VNFM安装于虚拟网络功能实体上。

第二方面， 提供一种基于网络功能虚拟化的证书配置方法 ， 包括： 虚拟网络功能实体在虚拟网络管理实体对所述 虚拟网络功能实体进 行实例化的过程中或实例化之后获取初始信任 状信息；

所述虚拟网络功能实体利用所述初始信任状信 息从认证中心获取所 述虚拟网络功能实体的网络运营商签发的正式 证书。

可选地， 所述初始信任状信息包括但不限于证书、 预共享密钥、 令牌 和 /或密码。

可选地， 所述初始信任状信息包括证书时， 所述初始信任状信息中包 括初始证书以及对应的第一私钥；

所述初始证书是所述虚拟网络功能实体的提供 商或网络运营商为所 述虚拟网络功能实体所签发， 所述第一私钥为所述初始证书对应的第一公 钥 -私钥对中的私钥。

可选地， 所述初始证书用所述虚拟网络功能实体的提供 商的根证书或 中间证书对应的私钥进行签名， 其中， 所述虚拟网络功能实体的提供商的中 间证书是隶属于所述虚拟网络功能实体的提供 商的根证书的下级子证书签发 的证书； 或者

所述初始证书用所述虚拟网络功能实体的网络 运营商的根证书或中间 证书对应的私钥进行签名， 其中， 所述虚拟网络功能实体的网络运营商的中 间证书是隶属于所述虚拟网络功能实体的网络 运营商的根证书的下级子证书 签发的证书。

可选地， 所述初始信任状信息携带在所述虚拟网络功能 包或所述虚拟 网络功能的镜像文件或所述虚拟网络功能的描 述器 VNFD或所述虚拟网络 功能的实例化数据中。

可选地， 所述虚拟网络管理实体包括第一管理实体 NFV0、第二管理实 体 VNFM、 第三管理实体 VIM和第四管理实体 NFVI管理控制单元；

所述网络运营管理实体包括运营支撑系统 0SS或网元管理系统 EMS; 所述虚拟网络功能实体包括虚拟网络功能单元 VNF或虚拟网络功能子 单元 VNFC。 可选地，所述初始信任状信息还可以为所述第 一管理实体 NFV0或所述 第二管理实体 VNFM或所述网络运营管理实体为所述虚拟网络� �能实体配置 的初始信任状信息。

可选地， 所述虚拟网络功能实体利用所述初始信任状信 息从认证中心 获取所述虚拟网络功能实体的网络运营商签发 的正式证书， 包括：

所述虚拟网络功能实体向所述认证中心发送证 书请求消息， 所述证书 请求消息中包括第三公钥和所述初始信任状， 以使所述认证中心使用所述初 始信任状验证接收到的所述证书请求消息； 在验证成功时使用所述网络运营商 的根证书或中间证书对应的私钥对所述第三公 钥进行签名， 生成所述网络运营 商签发的正式证书；

所述虚拟网络功能实体接收所述认证中心发送 的证书响应消息， 所述 证书响应消息中包括所述正式证书， 或者所述证书响应消息中还包括所述 网络运营商的根证书；

所述虚拟网络功能实体验证所述证书响应消息 ， 在验证成功时， 获得 所述网络运营商签发的正式证书。

可选地，所述第三公钥为所述虚拟网络功能实 体生成或配置的第三公钥- 私钥对中的公钥；

如果所述初始信任状为证书， 所述证书请求消息用所述初始证书对应的 私钥进行签名；

所述证书响应消息包括认证证书，用所述认证 证书对应的私钥进行签名； 可选地， 所述认证证书是所述网络运营商的根证书或中 间证书签发的； 若所述认证证书是所述网络运营商的中间证书 签发，则所述方法还包括： 所述虚拟网络功能实体使用所述网络运营商的 中间证书验证所述认证 证书， 用所述网络运营商的根证书验证所述中间证书 。

第三方面， 提供一种虚拟网络管理实体， 包括：

获取模块， 用于获取虚拟网络功能实体的初始信任状信息 ；

实例化模块， 用于在对所述虚拟网络功能实体进行实例化的 过程中或 实例化之后， 将所述初始信任状信息安装到所述虚拟网络功 能实体中， 以 使所述虚拟网络功能实体利用所述初始信任状 信息从认证中心获取所述 虚拟网络功能实体的网络运营商签发的正式证 书。 可选地， 所述获取模块用于： 在接收网络运营管理实体发送的实例化 请求中获取所述实例化请求中包括的所述虚拟 网络功能实体的初始信任状信 白

可选地， 所述获取模块还用于： 从所述虚拟网络功能包或所述虚拟网 络功能的镜像文件或所述虚拟网络功能的描述 器 VNFD 中或所述虚拟网络 功能的实例化数据中获取所述虚拟网络功能实 体的初始信任状信息；

所述虚拟网络功能包或所述镜像文件或所述 VNFD 或所述实例化数据 为所述网络运营管理实体在所述虚拟网络管理 实体对所述虚拟网络功能 实体进行实例化之前或实例化的过程中发送给 所述虚拟网络管理实体，所 述虚拟网络功能包或所述 VNFD 或或所述实例化数据所述镜像文件或所述 实例化数据中包括所述初始信任状信息。

可选地， 所述初始信任状信息包括但不限于证书、 预共享密钥、 令牌 和 /或密码。

可选地， 所述初始信任状信息包括证书时， 所述初始信任状信息中包 括初始证书以及对应的第一私钥；

所述初始证书是所述虚拟网络功能实体的提供 商或网络运营商为所 述虚拟网络功能实体所签发， 所述第一私钥为所述初始证书对应的第一公 钥 -私钥对中的私钥。

可选地， 所述初始证书用所述虚拟网络功能实体的提供 商的根证书或 中间证书对应的私钥进行签名， 其中， 所述虚拟网络功能实体的提供商的中 间证书是隶属于所述虚拟网络功能实体的提供 商的根证书的下级子证书签发 的证书； 或者

所述初始证书用所述虚拟网络功能实体的网络 运营商的根证书或中间 证书对应的私钥进行签名， 其中， 所述虚拟网络功能实体的网络运营商的中 间证书是隶属于所述虚拟网络功能实体的网络 运营商的根证书的下级子证书 签发的证书。

可选地， 所述虚拟网络管理实体包括第一管理实体 NFV0、第二管理实 体 VNFM、 第三管理实体 VIM和第四管理实体 NFVI管理控制单元；

所述网络运营管理实体包括运营支撑系统 0SS或网元管理系统 EMS; 所述虚拟网络功能实体包括虚拟网络功能单元 VNF或虚拟网络功能子 单元 VNFC。

可选地，所述初始信任状信息由所述第一管理 实体 NFV0或所述第二管 理实体 VNFM或所述网络运营管理系统为所述虚拟网络� �能实体配置的初始 信任状信息。

可选地， 所述初始信任状信息由所述第一管理实体 NFV0发送给所述 第三管理实体 VIM,或者由所述第二管理实体 VNFM经由所述第一管理实体 NFV0发送给所述第三管理实体 VIM , 或者由所述第二管理实体 VNFM发送 给所述第三管理实体 VIM。

可选地，所述初始信任状信息在 VNF实例化过程中或实例化过程之后， 由所述第三管理实体 VIM发送给所述第四管理实体 NFVI管理控制单元， 并由所述第四管理实体 NFVI 管理控制单元通过虚拟机安装于所述虚拟网 络功能实体上。

第四方面， 提供一种虚拟网络功能实体， 包括：

第一获取模块， 用于在虚拟网络管理实体对所述虚拟网络功能 实体进 行实例化的过程中或实例化之后获取初始信任 状信息；

第二获取模块， 用于利用所述第一获取模块获取的初始信任状 信息从 认证中心获取所述虚拟网络功能实体的网络运 营商签发的正式证书。

可选地， 所述初始信任状信息包括但不限于证书、 预共享密钥、 令牌 和 /或密码。

可选地， 所述初始信任状信息包括证书时， 所述初始信任状信息中包 括初始证书以及对应的第一私钥；

所述初始证书是所述虚拟网络功能实体的提供 商或网络运营商为所 述虚拟网络功能实体所签发， 所述第一私钥为所述初始证书对应的第一公 钥 -私钥对中的私钥。

可选地， 所述初始证书用所述虚拟网络功能实体的提供 商的根证书或 中间证书对应的私钥进行签名， 其中， 所述虚拟网络功能实体的提供商的中 间证书是隶属于所述虚拟网络功能实体的提供 商的根证书的下级子证书签发 的证书； 或者

所述初始证书用所述虚拟网络功能实体的网络 运营商的根证书或中间 证书对应的私钥进行签名， 其中， 所述虚拟网络功能实体的网络运营商的中 间证书是隶属于所述虚拟网络功能实体的网络 运营商的根证书的下级子证书 签发的证书。

可选地， 所述初始信任状信息携带在所述虚拟网络功能 包或所述虚拟 网络功能的镜像文件或所述虚拟网络功能的描 述器 VNFD 中或所述虚拟网 络功能的实例化数据中。

可选地， 所述虚拟网络管理实体包括第一管理实体 NFV0、第二管理实 体 VNFM、 第三管理实体 VIM和第四管理实体 NFVI管理控制单元；

所述网络运营管理实体包括运营支撑系统 0SS或网元管理系统 EMS ; 所述虚拟网络功能实体包括虚拟网络功能单元 VNF或虚拟网络功能子 单元 VNFC。

可选地，所述初始信任状信息还可以为所述第 一管理实体 NFV0或所述 第二管理实体 VNFM或网络运营管理实体为所述虚拟网络功能� �体配置的初 始信任状信息。

可选地， 所述第二获取模块具体包括：

发送单元， 用于向所述认证中心发送证书请求消息， 所述证书请求消 息中包括第三公钥和所述初始信任状；以使所 述认证中心使用所述初始信任状 验证接收到的所述证书请求消息； 在验证成功时使用所述网络运营商的根证书 或中间证书对应的私钥对所述第三公钥进行签 名，生成所述网络运营商签发的 正式证书；

接收单元， 用于接收所述认证中心发送的证书响应消息， 所述证书响 应消息中包括所述正式证书， 或者所述证书响应消息中还包括所述网络运 营商的根证书；

验证单元， 用于验证所述证书响应消息， 并用预置的或者所述证书响 应消息中包括的所述网络运营商的根证书验证 所述认证证书；

获取单元， 在所述验证单元验证成功时， 获得所述网络运营商签发的 正式证书。

可选地，所述第三公钥为所述虚拟网络功能实 体生成或配置的第三公钥- 私钥对中的公钥；

所述证书请求消息用所述初始信任状对应的私 钥进行签名；

所述证书响应消息包括认证证书，用所述认证 证书对应的私钥进行签名； 可选地， 所述认证证书是所述网络运营商的根证书或中 间证书签发的； 若所述认证证书是所述网络运营商的中间证书 签发，则所述方法还包括: 所述虚拟网络功能实体使用所述网络运营商的 中间证书验证所述认 证证书， 用所述网络运营商的根证书验证所述中间证书 。

第五方面， 提供一种基于网络功能虚拟化的证书配置系统 ， 包括： 虚 拟网络功能实体、 虚拟网络管理实体和认证中心；

所述虚拟网络管理实体为如第三方面所述的虚 拟网络管理实体； 所述虚拟网络功能实体为如第四方面所述的虚 拟网络功能实体； 所述认证中心用于接收所述虚拟网络功能实体 发送的证书请求消息， 所述证书请求消息中包括第三公钥和所述初始 信任状； 使用所述初始信任状 验证接收到的所述证书请求消息； 在验证成功时使用所述网络运营商的根证书 或中间证书对应的私钥对所述第三公钥进行签 名，生成所述网络运营商签发的 正式证书； 所述第三公钥为所述虚拟网络功能实体生成或 配置的第三公钥 -私钥对中的公钥。

第六方面， 提供一种服务器， 包括处理器和存储器， 所述处理器和存 储器通过总线连接， 所述存储器中保存有实现如第一方面所述的基 于网络 功能虚拟化的证书配置方法所对应的指令， 所述处理器执行如第一方面所 述的基于网络功能虚拟化的证书配置方法所对 应的指令。

第七方面， 提供一种服务器， 包括处理器和存储器， 所述处理器和存 储器通过总线连接， 所述存储器中保存有实现如第二方面所述的基 于网络 功能虚拟化的证书配置方法所对应的指令， 所述处理器执行如第二方面所 述的基于网络功能虚拟化的证书配置方法所对 应的指令。

本发明实施例通过虚拟网络管理实体获取虚拟 网络功能实体的初始 信任状信息； 在对所述虚拟网络功能实体进行实例化的过程 中或实例化之 后， 有针对性的将虚拟网络功能实体的初始信任状 信息安装到所述虚拟网 络功能实体中， 以使所述虚拟网络功能实体利用所述初始信任 状信息从认 证中心获取所述虚拟网络功能实体的网络运营 商签发的正式证书。 本实施 例所述的证书配置方法不仅可以适用于网络功 能虚拟化场景， 而且还可以 解决网络功能虚拟化中存在的安全隐患问题。 附图说明 为了更清楚地说明本发明实施例或现有技术中 的技术方案， 下面将对实 施例或现有技术描述中所需要使用的附图作一 简单地介绍， 显而易见地， 下 面描述中的附图是本发明的一些实施例， 对于本领域普通技术人员来讲， 在 不付出创造性劳动性的前提下， 还可以根据这些附图获得其他的附图。

图 1 为本发明一实施例提供的一种基于网络功能虚 拟化的证书配置方 法的流程示意图；

图 2 为本发明另一实施例提供的基于网络功能虚拟 化的证书配置方法 的流程示意图；

图 3为本发明另一实施例提供的一种基于网络功� �虚拟化的证书配置 方法的信令图；

图 4为本发明另一实施例提供的一种基于网络功� �虚拟化的证书配置 方法的信令图；

图 5为本发明另一实施例提供的一种基于网络功� �虚拟化的证书配置 方法的信令图；

图 6为本发明另一实施例提供的一种基于网络功� �虚拟化的证书配置 方法的信令图；

图 7为本发明另一实施例提供的一种基于网络功� �虚拟化的证书配置 方法的信令图；

图 8为本发明另一实施例提供的一种基于网络功� �虚拟化的证书配置 方法的信令图；

图 9为本发明一实施例提供的虚拟网络管理实体� �结构示意图； 图 10为本发明一实施例提供的虚拟网络功能实体� ��结构示意图； 图 11 为本发明一实施例提供的一种基于网络功能虚 拟化的证书配置 系统的结构示意图；

图 12为本发明一实施例提供的一种服务器的结构� ��意图；

图 13为本发明一实施例提供的一种服务器的结构� ��意图。 具体实施方式 为使本发明实施例的目的、 技术方案和优点更加清楚， 下面将结合本发 明实施例中的附图， 对本发明实施例中的技术方案进行清楚、 完整地描述， 显然， 所描述的实施例是本发明一部分实施例， 而不是全部的实施例。 基于 本发明中的实施例， 本领域普通技术人员在没有作出创造性劳动前 提下所获 得的所有其他实施例， 都属于本发明保护的范围。

本实施例的技术方案应用在 NFV场景下， 举例来说， 本实施例所述的 虚拟网络功能实体包括虚拟网络功能单元（Vir tual ised Network Function, VNF) 或虚拟网络功能子单元 （VNF Component ， VNFC ) 。

其中， VNF 对应于传统非虚拟化网络中的物理网络功能实 体 （Physical Network Function, PNF ) ， 网络功能的功能性行为和状态与虚拟化与否无 关， 本实施中， VNF和 PNF拥有相同的功能性行为和外部接口。

其中， VNF可以由多个更低级别的组件来组成， 因此， 一个 VNF可以部署 在多个虚拟机 (Virtual Machine , VM) 上， 每个 VM宿主在一个 VNFC; VNF也 可以部署在一个 VM上。

举例来说， 本实施例所述的虚拟网络管理实体包括但不限 于第一管理 实体 ( NFV Orchestrator, NFV0 ) 、 第二管理实体 ( VNF Manager, VNFM ) 、 第三管理实体 ( Virtual ised Infrastructure Manager, VIM) 和第四管理实 体 ( Network Funct ion Virtul ization Infrastructure , NFVI ) 的管理控 制单元， 例如 NFVI Agent或 NFVI Manager ;

其中， VIM是包括用来控制和管理计算、 存储和网络资源的虚拟化实体；

NFV0是负责对 NFV资源进行网络侧的编排和管理， 以及在 NFV基础设施上 实现 NFV业务拓扑的虚拟化实体；

NFVI由硬件资源和虚拟资源以及虚拟层组成， 从 VNF的角度来说， 虚拟化 层和硬件资源看起来是一个能够提供所需虚拟 资源的实体。 NFVI管理控制单元 负责 NFVI内虚拟机的管理和控制。

VNFM负责 VNF实例的生命周期的管理。

本实施例所述网络运营管理实体包括但不限于 运营支撑系统 ( Operation support system, OSS )或网兀管理系统 ( Element Management System , EMS ) ； 其中， EMS主要是针对 VNF执行传统的 FCAPS功能； 其中， FCAPS功能包括故障管理（Fault Management)、 配置管理 （Conf iguration Management )、计费管理 ( Account ing Management )、性能管理 ( Performance Management ) 禾口安全管理 ( Security Management ) 。

图 1为本发明一实施例提供的一种基于网络功能� �拟化的证书配置方 法的流程示意图， 如图 1所示， 包括：

101、 虚拟网络管理实体获取虚拟网络功能实体的初 始信任状信息。 在一种可选的实施方式中， 歩骤 101具体实现时包括：

虚拟网络管理实体接收网络运营管理实体发送 的实例化请求， 其中， 所述实例化请求中包括所述虚拟网络功能实体 的初始信任状信息。 例如，

NFV0接收到运营支撑系统 0SS的 VNF实例化请求，以请求实例化一个新的 VNF, 该 VNF实例化请求中包括 VNF的初始信任状信息。 又例如， EMS 向 VNFM发送 VNF实例化请求，该 VNF实例化请求中包括 VNF的初始信任状信 息。

举例来说，所述虚拟网络功能实体的初始信任 状信息可以是 VNF的提供商 或网络运营商为虚拟网络功能实体配置的初始 信任状信息。具体地， VNF的提 供商或网络运营商可以为 VNF配置一个初始信任状信息或者为组成 VNF的 每一个 VNFC配置一个初始信任状信息。 举例来说， 当 VNF提供商或网络运 营商为 VNFC配置一个初始信任状信息时， VNF实例化成功后，则每一个 VNFC 安装成功一个初始信任状； 后续在 VNFC成功完成证书登记过程后， VNFC获 得网络运营商签发的正式证书。 当 VNF提供商或网络运营商为 VNF配置一个 初始信任状信息时， VNF实例化成功后， 贝 ijVNF作为一个整体 （例如通过 Master VNF, 或 VNFMA ) 安装成功一个初始信任状。 后续在 VNF成功完成证 书登记过程后， VNF作为一个整体获得网络运营商签发的正式证 书。

举例来说， 上述的初始信任状信息包括但不限于证书、 预共享密钥、 令牌 （token ) 、 密码中的至少一项。

当初始信任状信息包括证书时， 则初始信任状信息中包括初始证书以 及对应的第一私钥；

其中， 上述的初始证书是上述虚拟网络功能实体的提 供商或网络运营 商为上述虚拟网络功能实体配置的第一公钥-� �钥对所签发的证书， 其中， 所述第一私钥为所述第一公钥 -私钥对中的私钥。

其中，所述初始证书用所述虚拟网络功能实体 的提供商的根证书或中间 证书对应的私钥进行签名， 其中， 所述虚拟网络功能实体的提供商的中间证 书是隶属于所述虚拟网络功能实体的提供商的 根证书的下级子证书签发的证 书； 或者

所述初始证书用所述虚拟网络功能实体的网络 运营商的根证书或中间 证书对应的私钥进行签名， 其中， 所述虚拟网络功能实体的网络运营商的中 间证书是隶属于所述虚拟网络功能实体的网络 运营商的根证书的下级子证书 签发的证书。

举例来说， 上述初始信任状信息可以携带在 VNF包（VNF Package )中， 其中， VNF包中包括一个 VNF描述器 ( VNF Descriptor, VNFD ) 、 与 VNF关联 的软件镜像文件 （software image (s) ) 、 以及另外的档案文件； 其中， VNFD 是描述 VNF虚拟资源需求的一个资源说明；

具体地，本实施例中，上述初始信任状信息可 以携带在 VNF包中的 VNFD 或镜像文件中。 为了提高安全性， 本实施例中， 例如， 上述 VNF包或者 VNF 包中 VNFD或镜像文件可以用 VNF提供商或网络运营商配置的证书进行签 名， 或者对初始信任状信息进行机密性保护。 其中， VNF提供商或网络运 营商配置的证书可以是 VNF提供商或网络运营商为 VNF配置的证书中的任 一证书， 也可以是新生成的专门用于所述 VNF包或 VNFD或镜像文件签名的证 书。 对应地， 虚拟网络管理实体可以使用 VNF 提供商或网络运营商为 VNF 配置的证书对携带有所述初始信任状信息的 VNF包或者 VNFD或者所述镜 像文件进行完整性验证。

具体地， 本实施例中， 上述初始信任状信息还可以携带在实例化数据 中。

本实施例中， 所述虚拟网络管理实体包括第一管理实体 NFV0、第二管 理实体 VNFM、 第三管理实体 VIM和第四管理实体 NFVI管理控制单元； 所述网络运营管理实体包括运营支撑系统 0SS或网元管理系统 EMS ; 所述虚拟网络功能实体包括虚拟网络功能单元 VNF或虚拟网络功能子 单元 VNFC。

举例来说，所述初始信任状信息是所述第一管 理实体 NFV0或所述第二 管理实体 VNFM或所述网络运营管理实体为所述虚拟网络� �能实体配置的。

在一种可选的实施方式中， 歩骤 101具体实现实例还包括： 虚拟网络功能实体的提供商或网络运营商可以 为虚拟网络功能实体 配置初始信息状信息， 将初始信息状信息存储于该虚拟网络功能实体 的镜 像文件中， 并将初始信息状信息上传到 VIM处， 当对虚拟网络功能实体进 行 VNF实例化时或者实例化之后， 可以从虚拟网络功能实体的镜像文件中 获取该虚拟网络功能实体的初始信任状信息。

在一种可选的实施方式中， 歩骤 101具体实现时例如还包括： 虚拟网络管理实体在接收所述网络运营管理实 体发送的实例化请求之 后或者在对所述虚拟网络功能实体实例化之后 ，为所述虚拟网络功能实体配 置初始信任状信息。 例如由 NFV0或 VNFM为虚拟网络功能实体配置所述初 始信任状信息。

102、 虚拟网络管理实体在对所述虚拟网络功能实体 进行实例化的过 程中或实例化之后， 将所述初始信任状信息安装到所述虚拟网络功 能实体 中， 以使所述虚拟网络功能实体利用所述初始信任 状信息从认证中心获取 所述虚拟网络功能实体的网络运营商签发的正 式证书。

举例来说，所述初始信任状信息由所述第一管 理实体 NFV0发送给所述 第三管理实体 VIM,或者由所述第二管理实体 VNFM经由所述第一管理实体 NFV0发送给所述第三管理实体 VIM , 或者由所述第二管理实体 VNFM发送 给所述第三管理实体 VIM。

或者， 所述初始信任状信息在 VNF实例化过程中或实例化过程之后， 由所述第三管理实体 VIM发送给所述第四管理实体 NFVI管理控制单元， 并由所述第四管理实体 NFVI 管理控制单元通过虚拟机安装于所述虚拟网 络功能实体上。

或者，所述初始信任状信息由 NFV0发送给 VIM ,或者由 VNFM经由 NFV0 发送给 VIM , 或者由 VNFM发送给 VIM;

其中， 所述初始信任状信息在 VNF实例化过程中或实例化过程之后， 由 VIM发送给 NFVI管理控制单元，并由 NFVI管理控制单元通过虚拟机安装 于所述虚拟网络功能实体上。

其中， 本实施例中， 所述实例化是指所述虚拟网络管理实体为所述 虚 拟网络功能实体分配需要的虚拟化资源并为所 述虚拟网络功能实体安装 实例化数据的过程。 其中， 上述虚拟网络功能实体利用所述初始信任状信 息从认证中心

(Certif icate Authority , CA)获取所述虚拟网络功能实体的网络运营商 签发的正式证书的具体实现可以参考图 2所示实施例中的相关描述。

本发明实施例通过虚拟网络管理实体获取或配 置虚拟网络功能实体 的初始信任状信息； 在对所述虚拟网络功能实体进行实例化的过程 中或实 例化之后， 将所述初始信任状信息安装到所述虚拟网络功 能实体中， 以使 所述虚拟网络功能实体利用所述初始信任状信 息从认证中心获取所述虚 拟网络功能实体的网络运营商签发的正式证书 。 本实施例所述的证书配置 方法可以适用于网络功能虚拟化场景；

进一歩地， 本实施例在对一个虚拟网络功能实体进行实例 化的过程中 或实例化之后， 有针对性地将该虚拟网络功能实体的初始信任 状信息安装 到该虚拟网络功能实体中， 以使所述虚拟网络功能实体利用所述初始信任 状信息从认证中心获取所述虚拟网络功能实体 的网络运营商签发的正式 证书， 从而使 VNF实例安装唯一的证书以用于安全连接的建立 ， 提高虚拟 网络通信的安全性。

图 2 为本发明另一实施例提供的基于网络功能虚拟 化的证书配置方法 的流程示意图， 如图 2所示， 包括：

201、 虚拟网络功能实体在虚拟网络管理实体对所述 虚拟网络功能实 体进行实例化的过程中或实例化之后获取初始 信任状信息。

其中， 所述实例化是指所述虚拟网络管理实体为所述 虚拟网络功能实 体分配需要的虚拟化资源并为所述虚拟网络功 能实体安装实例化数据的 过程。

举例来说，所述初始信任状信息可以携带在 VNF包中，或者 VNFD中， 或者虚拟网络功能的镜像文件中， 或者携带于实例化数据中；

其中， 所述 VNFD 或所述镜像文件用所述虚拟网络功能实体的提 供商 或网络运营商配置的证书进行签名。

举例来说，所述的初始信任状信息包括但不限 于：证书、预共享密钥、 令牌 （token ) 、 密码。

当上述初始信任状信息包括证书时， 所述初始信任状信息中包括初始 证书以及对应的第一私钥； 其中， 上述初始证书是上述虚拟网络功能实体的提供 商或网络运营商 为上述虚拟网络功能实体配置的第一公钥-私� �对所签发的证书， 其中， 所 述第一私钥为所述第一公钥 -私钥对中的私钥。

其中，所述初始证书用所述虚拟网络功能实体 的提供商的根证书或中间 证书对应的私钥进行签名， 其中， 所述虚拟网络功能实体的提供商的中间证 书是隶属于所述虚拟网络功能实体的提供商的 根证书的下级子证书签发的证 书； 或者

所述初始证书用所述虚拟网络功能实体的网络 运营商的根证书或中间 证书对应的私钥进行签名， 其中， 所述虚拟网络功能实体的网络运营商的中 间证书是隶属于所述虚拟网络功能实体的网络 运营商的根证书的下级子证书 签发的证书。

举例来说， 所述初始信任状信息为所述虚拟网络管理实体 在接收所述 网络运营管理实体发送的实例化请求之后或者 在对所述虚拟网络功能实体 实例化之后， 为所述虚拟网络功能实体配置的； 其中， 所述的初始信任状 信息包括但不限于： 证书、 预共享密钥、 令牌 （token ) 、 密码。

当初始信任状信息中包括证书时， 则初始信任状信息中包括初始证书 以及对应的第二私钥； 所述初始证书是所述虚拟网络管理实体为所述 虚拟 网络功能实体配置的第二公钥-私钥对所签发� �证书， 所述第二私钥为所述 第二公钥 -私钥对中的私钥。

需要说明的是， VNF提供商或网络运营商可以为 VNF配置一个初始信任 状信息或者为组成 VNF的每一个 VNFC配置一个初始信任状信息。举例来说， 当 VNF提供商或网络运营商为 VNF配置一个初始信任状信息时， VNF实例化 成功后， 则 VNF作为一个整体 （例如通过 Master VNF , 或 VNFMA ) 安装成功 一个初始信任状。 后续在 VNF成功完成登记过程后， VNF作为一个整体获得 网络运营商签发的正式证书。

202、 在 VNF实例化过程中或实例化之后， 将初始信任状信息安装于虚拟 网络功能实体上。

例如， 所述的初始信任状由虚拟网络管理实体发送至 NFVI ; 通过虚拟网络 功能实体的安全启动过程， 初始信任状被安全的安装于 VNF或 VNFC上。

又例如， 如果初始信任状为 NFV0配置， 则 NFV0将初始信任状信息发送至 VIM (可以通过 VNFM的中转， 或者直接发送） ， VIM将初始信任状信息发送至 NFVI管理控制单元 （例如 NFVI Agent , 或者 NFVI Manager ) ， 再通过安全启 动过程， 初始信任状通过虚拟机被安装于 VNF或者 VNFC上。

又例如， 如果初始信任状为 VNFM配置， 则 VNFM将初始信任状信息发送至 VIM, V 将初始信任状信息发送至 NFVI管理控制单元 （例如 NFVI Agent , 或 者 NFVI Manager )，再通过安全启动过程，初始信任状通过虚� �机被安装于 VNF 或者 VNFC上。

203、 虚拟网络功能实体利用所述初始信任状信息从 认证中心获取所 述虚拟网络功能实体的网络运营商签发的正式 证书。

在一种可选的实现方式中， 歩骤 203包括：

虚拟网络功能实体向所述认证中心发送证书请 求消息， 其中， 所述证 书请求消息中包括第三公钥和所述初始信任状 ；

认证中心使用初始信任状验证接收到的所述证 书请求消息。

如果所述的初始信任状为初始证书时，认证中 心使用预置的所述虚拟网络 功能实体的提供商或网络运营商的根证书验证 所述证书请求消息中包括的初 始证书， 在验证成功时使用所述网络运营商的根证书或 中间证书对应的私钥对 所述第三公钥进行签名， 生成所述网络运营商签发的正式证书。

认证中心向虚拟网络功能实体发送证书响应消 息， 所述证书响应消息 中包括所述正式证书和认证证书， 或者所述证书响应消息中还包括所述网 络运营商的根证书；

虚拟网络功能实体接收所述认证中心发送的证 书响应消息；

虚拟网络功能实体用接收到的认证证书验证所 述证书响应消息， 并用 预置的或者所述证书响应消息中包括的所述网 络运营商的根证书验证所述 认证证书， 在验证成功时， 获得所述网络运营商签发的正式证书。

举例来说， 所述第三公钥为所述虚拟网络功能实体生成或 配置的第三公 钥 -私钥对中的公钥；

所述证书请求消息例如可以用所述初始证书对 应的私钥进行签名；其中， 初始信任状对应的私钥包括上述的第一私钥或 第二私钥。

所述证书响应消息例如可以用所述认证证书对 应的私钥进行签名； 举例来说， 所述认证证书可以是所述网络运营商的根证书 或中间证书签 发的；

若所述认证证书是所述网络运营商的中间证书 签发， 则虚拟网络功能实 体使用所述网络运营商的中间证书验证所述认 证证书，用所述网络运营商的 根证书验证所述中间证书。

本发明实施例通过虚拟网络功能实体在虚拟网 络管理实体对所述虚 拟网络功能实体进行实例化的过程中或实例化 之后获取初始信任状信息； 并利用所述初始信任状信息从认证中心获取所 述虚拟网络功能实体的网 络运营商签发的正式证书。 本实施例所述的证书配置方法可以适用于网络 功能虚拟化场景； 进一歩地， 本实施例在对一个虚拟网络功能实体进行实 例化的过程中或实例化之后， 有针对性地将该虚拟网络功能实体的初始信 任状信息安装到该虚拟网络功能实体， 以使虚拟网络功能实体利用所述初 始信任状信息从认证中心获取所述虚拟网络功 能实体的网络运营商签发 的正式证书。 该方法使 VNF实例成功安装运营商签发的唯一的证书以用 于 后续安全连接的建立， 可以提高虚拟网络通信的安全性。

以下对本发明所述的基于网络功能虚拟化的证 书配置方法的具体实 现手段进行详细的描述。

图 3为本发明另一实施例提供的一种基于网络功� �虚拟化的证书配置 方法的信令图， 如图 3所示， 包括：

301、 NFV0接收 0SS的实例化请求。

其中，该实例化请求用以请求实例化一个新的 VNF,该实例化请求中包括 VNF 初始信任状信息。

可选地， 所述 VNF初始信任状信息例如可以携带在 VNFD中。

其中， VNF初始信任状信息可以为 VNF提供商或网络运营商配置。 当初 始信任状信息中包括证书时， 具体包括 VNF提供商或网络运营商签发的 VNF 初始证书以及对应的私钥， 或者还包括 VNF初始信任状对应的公钥。 其中， VNF初始证书以及对应的私钥和公钥是 VNF提供商或网络运营商为该 VNF配 置的第一公钥 -私钥对中的公钥和私钥。

可选地， 该 VNF初始信任状可以针对每一个 VNFC所签发。

可选地， NFV0对接收到的实例化请求进行验证， 包括验证发送方是否授 权发出该实例化请求， 验证传递的参数技术上的正确性、 是否遵从策略等。 302、 NFVO运行可行性检査， 以在实际的实例化开始前预留资源。

下面歩骤 3a-3g为可选的：

3a) NFVO发送可行性检査消息给 VNFM, 要求对实例化请求进行可行性检 査。 该可行性检査消息中携带 VNF初始信任状信息。 可选地， 所述的 VNF初 始信任状信息可以存储于 VNFD中。

3b) VNFM验证实例化请求， 处理 VNFD和实例化数据， 可能包括对实例 化数据进行修改或补充。

3c) VNFM返回 （可能更新的） 实例化数据给 NFV0。

3d) NFVO执行需要的预分配处理工作。

3e) NFVO请求 VIM检査资源 （计算、 存储和网络资源） 的可用性并进行 资源预留。

3f) VIM检査资源的可用性， 并进行资源预留。

3g) VIM向 NFVO返回资源预留的结果。

303、 NFV0向 VNFM发送 VNF实例化的请求消息。

其中， VNF实例化的请求消息中包括 VNF初始信任状信息和实例化数据； 可选地， VNF初始信任状信息存储于 VNFD中； 可选地， VNF实例化的请求消息 中还可以包括执行上述歩骤 3a-3g后的预留资源的信息。

优选地， VNF实例化的请求消息具有机密性和完整性保护 ； 对应地， VNFM 验证 VNF实例化的请求消息。

可选地， VNFM对 VNFD应用特定的限制对实例化数据进行修改或� �充 VNFD, 如果上述歩骤 3b已执行， 则 VNFM不需要对 VNFD应用特定的限制对实例化数据 进行修改或补充 VNFD。

304、 VNFM请求 NFVO进行资源预留。

305、 NFV0执行需要的预分配处理工作。

306、 NFV0请求 VIM进行资源分配和建立连接。

307、 VIM实例化内部网络连接。

例如， VIM实例化需要的虚拟机和存储资源， 将实例化的虚拟机附着到内 部网络连接上。

308、 VIM向 NFV0确认完成资源的分配的消息。

309、 NFV0向 VNFM确认完成资源的分配的消息。 可选地， 确认完成资源的分配的消息中携带 VNF初始信任状信息。

310、 VNFM使用分配的资源， 实例化 VNF, 并将 VNF初始信任状安装到 VNF 中。

例如， VNFM使用分配的资源， 执行开启虚拟部署单元 （Virtual ization Deployment Unit ， VDU) 的任务， 实例化 VNF, 在该过程中， VNF初始信任 状被成功地安装于 VNF上。

可选地， 组成 VNF的每一个 VNFC均成功配置一个初始信任状。

311、 VNFM向 NFV0返回 VNF实例化结束的确认消息。

312、 NFV0向 0SS确认 VNF实例化的完成。

此时 VNF实例化成功完成， 可选地， 此时 VNF处于受限连接状态， 仅允许 连接网络运营商的认证中心执行证书登记过程 。之后， VNF利用获得的初始信 任状， 向认证中心发起证书登记过程， 获得网络运营商签发的正式证书。

可选地， 本实施例中， 0SS和 NFV0之间的通信有机密性和 /或完整性 保护机制， NFV0和 VNFM之间的通信有机密性和 /或完整性保护机制。

本发明实施例通过 NFV0从 0SS中获取 VNF的初始信任状信息；在 VNFM 进行 VNF实例化的过程中， 将 VNF的初始信任状信息安装到 VNF或 VNFC 中， 以使 VNF或 VNFC利用初始信任状信息从认证中心中获取 VNF的网络 运营商签发的正式证书。 本实施例所述的证书配置方法可以适用于网络 功 能虚拟化场景； 进一歩地， 本实施例在对一个 VNF进行实例化的过程中， 有针对性地将该 VNF的初始信任状信息安装到该 VNF , 以使 VNF或 VNFC 利用所述初始信任状信息从认证中心获取网络 运营商签发的正式证书， 不 会导致多个实例安装相同的证书， 可以提高虚拟网络通信的安全性。

本发明另一实施例提供的一种基于网络功能虚 拟化的证书配置方法， 初始信任状由 VNFM在实例化过程中或实例化过程后为 VNF或 VNFC配置， 并通过如下传输路径 VNFM -〉 NFV0-〉VIM -〉 NFVI管理控制单元 -〉 VM安装到 VNF或 VNFC中：

其中， 歩骤一同图 3所示实施例的歩骤 301。

歩骤二同图 3所示实施例的歩骤 302，区别在于： 在上述歩骤 3b中， VNFM为需要配置证书的 VNF或 VNFC配置初始信任状， 并添加到实例化数 据中， 在歩骤 3c中发送给 NFV0 ; 在歩骤 3e中， NFV0将初始信任状发送 给 VIM。

歩骤二至歩骤 9同图 3所示实施例的歩骤 303-309。

歩骤十在 VNF实例化过程中， VIM将初始信任状信息发送给 NFVI ; 具 体地， 初始信任状信息被发送给 NFVI管理控制单元（NFVI Agent , 或 NFVI Manager ) ， 通过安全启动过程， 初始信任状信息通过 VM被安装于 VNF或

VNFC上。

歩骤 ^一同图 3所示实施例的歩骤 311。

可选地， 初始信任状信息也可以在歩骤四中由 VNFM发送给 NFV0 , 并 在歩骤六中由 NFV0发送给 VIM。

可选地， 初始信任状信息也可以由 NFV0为 VNF或 VNFC配置， 并在歩 骤 3e或者歩骤六中由 NFV0发送给 VIM。

在上述实施例中， VNFM禾口 NFV0之间， NFV0禾口 VIM之间， VIM禾口 NFVI 管理控制单元之间均建立有安全连接， 能保护其上传输信息的机密性和完 整性。

其中， 所述配置的初始信任状使用受限， 仅能用于 VNF或 VNFC向网 络运营商的认证中心发起证书登记过程获取网 络运营商的正式证书。

图 4为本发明另一实施例提供的一种基于网络功� �虚拟化的证书配置 方法的信令图， 如图 4所示， 包括：

401、 EMS向 VNFM发送 VNF实例化请求消息。

该 VNF实例化请求消息携带 VNF初始信任状信息， 所述的初始信任状信息 包括但不限于： 证书、 预共享密钥、 令牌 （token) 、 密码。

其中， 所述 VNF初始信任状信息包括证书时， 所述初始信任状信息具体包 括 VNF初始证书以及对应的私钥， 或者还包括对应的公钥。

可选地， 该 VNF初始信任状可以针对每一个 VNFC所签发。

402、 VNFM验证 VNF实例化请求消息， 处理实例化数据。

举例来说， VNFM例如可以利用网络运营商为 VNF配置的证书验证 VNF 实例化请求消息， 处理 VNFD和实例化数据， 也可以对实例化数据进行修 改或补充。

403、 VNFM发送实例化数据给 NFV0。

其中， 发送给 NFV0的实例化数据可以是 VNFM修改或补充后的实例化 数据。

可选地， VNFM发送给 NFV0的实例化数据中包括初始信任状信息。 可选地， 歩骤 403之后还包括：

404、 NFV0、 VNFM和 VIM发起可行性检査过程， 预留需要的资源。 可选地， 在该过程中， 初始信任状信息由 NFV0发送给 VIM。

405、 NFV0、 VNFM和 VIM利用预留资源进行 VNF实例化， 在实例化过 程中将 VNF初始信任状成功安装于 VNF上。

其中， VIM将初始信任状信息发送给 NFVI ; 具体地， 初始信任状被发 送给 NFVI管理控制单元 （NFVI Agent , 或 NFVI Manager ) ； 通过安全启 动过程， 初始信任状通过 VM被安装于 VNF或 VNFC上。

之后， VNFM向 EMS确认 VNF实例化的完成。此时 VNF实例化成功完成， 可选地， 此时 VNF处于受限连接状态， 仅允许连接运营商的认证中心执行 证书登记过程。 VNF利用获得的初始信任状， 向认证中心发起证书登记过 程， 获得运营商签发的正式证书。

优选地， EMS禾 B VNFM之间、 VNFM禾 B NFV0之间、 NFV0禾 B VIM之间、 VIM 和 NFVI管理控制单元之间的通信有机密性和完整� �保护机制。

本发明实施例通过 VNFM从 EMS中获取 VNF的初始信任状信息并经由 NFV0发送给 VIM; 在进行 VNF实例化的过程中， VIM将 VNF的初始信任状 信息安装到 VNF中， 以使 VNF利用初始信任状信息从认证中心获取 VNF的 网络运营商签发的正式证书。 本实施例所述的证书配置方法可以适用于网 络功能虚拟化场景； 进一歩地， 本实施例在对一个 VNF进行实例化的过程 中， 有针对性地将该 VNF的初始信任状信息安装到该 VNF, 使得 VNFD实例 成功安装运营商签发的唯一的证书以用于后续 安全连接的建立， 从而提高 虚拟网络通信的安全性。

图 5为本发明另一实施例提供的一种基于网络功� �虚拟化的证书配置 方法的信令图， 如图 5所示， 包括：

501、 EMS向 VNFM发送 VNF实例化请求消息。

502、 VNFM为需要配置证书的 VNF或 VNFC配置初始信任状， 并添加到 实例化数据中。

503、 VNFM发送 VNF实例化请求消息给 NFV0。 其中， 实例化请求消息中包括初始信任状信息。

其中， 所述的初始信任状信息包括但不限于： 证书、 预共享密钥、 令 牌 （token ) 、 密码。

可选地， NFV0、 VNFM和 VIM执行可行性检査。

504、 NFV0、 VNFM和 VIM为 VNF实例化分配所需要的资源。

可选地， 在该过程中， 初始信任状信息由 NFV0发送给 VIM。

505、 NFV0、 VNFM和 VIM在 VNF实例化过程中将 VNF初始信任状成功 安装于 VNF上。

其中， VIM将初始信任状信息发送给 NFVI ; 具体地， 初始信任状被发 送给 NFVI管理控制单元 （NFVI Agent , 或 NFVI Manager ) ； 通过安全启 动过程， 初始信任状通过 VM被安装于 VNF或 VNFC上。

之后， VNFM向 EMS确认 VNF实例化的完成。此时 VNF实例化成功完成， 此时 VNF 处于受限连接状态， 仅允许连接网络运营商的认证中心执行证书登 记过程， 获得网络运营商签发的正式证书。

本发明实施例通过 VNFM在接收到 EMS的实例化请求时， 为 VNF配置 初始信任状信息， 并经由 NFV0发送给 VIM; 在 VNF实例化的过程中， VIM 将 VNF的初始信任状信息安装到 VNF中， 以使 VNF利用初始信任状信息从 认证中心中获取 VNF的网络运营商签发的正式证书。 本实施例所述的证书 配置方法可以适用于网络功能虚拟化场景； 进一歩地， 本实施例在对一个 VNF进行实例化的过程中， 有针对性地将该 VNF的初始信任状信息安装到 该 VNF,以使 VNF或 VNFC利用所述初始信任状信息从认证中心获取� �络运 营商签发的正式证书， 使得 VNF实例成功安装运营商签发的唯一的证书以 用于后续安全连接的建立， 从而提高虚拟网络通信的安全性。

图 6为本发明另一实施例提供的一种基于网络功� �虚拟化的证书配置 方法的信令图， 如图 6所示， 包括：

601、 VNF实例化之后， VNFM为组成 VNF的每一个 VNFC配置初始信任状信息。 其中， 所述的初始信任状信息包括但不限于： 证书、 预共享密钥、 令牌 ( token) 、 密码。

例如， VNF实例化成功后， VNFM可以为组成 VNF的每一个 VNF组件（即 VNFC ) 配置初始信任状信息。 所述的初始信任状为证书时， 则 VNFM为 VNFC配置第二 公钥-私钥对， 并对第二公钥签发初始证书； 该配置的初始证书信息中包括初 始证书以及对应的第二私钥， 或者还可以包括第二公钥。

可选地， VNF实例化成功后， EMS也可以为每一个 VNF组件配置初始信任状 信息。 所述的初始信任状为证书时， EMS为 VNFC配置第四公钥-私钥对， 并用 第四公钥签发初始证书； 该配置的初始证书信息中包括初始证书以及对 应的 第四私钥， 或者还可以包括第四公钥。

602、 VNFM将配置的初始信任状信息发送给 VIM。

或者 VNFM将配置的初始信任状信息经由 NFV0发送给 VIM。

603、 VIM将初始信任状信息发送给 NFVI , 以使 NFVI将初始信任状通过 VM 被安装于 VNF或 VNFC上。

具体地， 初始信任状被发送给 NFVI管理控制单元 （NFVI Agent , 或 NFVI Manager ) ； 通过安全启动过程， 初始信任状通过 VM被安装于 VNF或 VNFC上。

其中， 所述配置的初始信任状使用受限， 仅能用于 VNFC 向网络运营 商的认证中心发起证书登记过程获取网络运营 商的正式证书。

本发明实施例通过在 VNF实例化之后， VNFM或者 EMS为 VNF配置初始 信任状信息并发送给 VIM, VIM将 VNF的初始信任状信息安装到 VNF中， 以使 VNF利用初始信任状信息从认证中心中获取 VNF的网络运营商签发的 正式证书。 本实施例所述的证书配置方法可以适用于网络 功能虚拟化场景， 还可以有针对性地将该 VNF的初始信任状信息安装到该 VNF, 以使 VNF或 VNFC 利用所述初始信任状信息从认证中心获取网络 运营商签发的正式证 书， 避免了多个实例安装相同的证书， 可以提高虚拟网络通信的安全性。

图 7为本发明另一实施例提供的一种基于网络功� �虚拟化的证书配置 方法的信令图， 如图 7所示， 包括：

701、 VNF包被递交给 NFV0用于上线。

其中， 所述的 VNF包中包括 VNF初始信任状信息。 所述的初始信任状 信息包括但不限于： 证书、 预共享密钥、 令牌（token ) 、 密码。 可选地， 所述的 VNF初始信任状信息存储于镜像文件中。

具体地， NFV0还可以验证 VNF包， 通知目录库 （catalog ) ， 将 VNFD 存储于目录库中。

702、 NFV0将包含 VNF初始信任状信息的镜像文件发送给 VIM。 对应地， VIM向 NFV0确认已成功上传镜像文件。

703、 NFV0和 VIM对 VNF进行实例化过程。

具体地， NFV0确认 VNF已上线之后， 对 VNF进行实例化过程， 在实例 化过程中， VIM将初始信任状信息发送给 NFVI ; 具体地， 初始信任状被发 送给 NFVI管理控制单元 （NFVI Agent , 或 NFVI Manager ) ； 通过安全启 动过程， 初始信任状通过 VM被安装于 VNF或 VNFC上。

其中， 所述配置的初始信任状使用受限， 仅能用于 VNFC 向网络运营 商的认证中心发起证书登记过程获取网络运营 商的正式证书。

VNF使用该初始信任状， 向网络运营商的认证中心发起证书登记过程 获得运营商签发的正式证书。

本发明实施例通过 VNF提供商或网络运营商为 VNF配置初始信任状， 并将初始信任状存储于镜像文件中， 上传到 VIM处， VNF实例化过程成功 后证书安装到 VNF上， 此后 VNF向认证中心执行证书登记过程获得运营商 签发的正式证书。 本实施例所述的证书配置方法可以适用于网络 功能虚拟 化场景， 还可以有针对性地将该 VNF的初始信任状信息安装到该 VNF, 以 使 VNF或 VNFC利用所述初始信任状信息从认证中心获取� �络运营商签发 的正式证书， 使得 VNF实例成功安装运营商签发的唯一的证书以用 于后续 安全连接的建立， 从而提高虚拟网络通信的安全性。

图 8为本发明另一实施例提供的一种基于网络功� �虚拟化的证书配置 方法的信令图， 本实施例示出了 VNF使用 VNF提供商或网络运营商签发的 VNF初始信任状通过 CMPv2协议定义的证书登记（Cert if icate Enrolment ) 过程获得运营商签发的正式证书的过程。 本过程不限于 CMPv2协议， 也可 以使用其它的证书登记协议， 如图 8所示， 包括：

801、 VNF向认证中心发送证书请求消息。

如果初始信任状为初始证书的话， 则该证书请求消息携带第三公钥和初 始证书。

其中， 该证书请求消息可以使用初始证书对应的私钥 进行签名。 其中， 第三公钥可以是 VNF通过预配置或者自己生成第三公钥 -私钥对中的公钥。

其中， 所述初始证书为上述图 1-图 7任一实施例中所述的初始证书， 不再 赘述。 如果初始信任状为共享密钥， 或者令牌， 或者密码的话， 则该证书请求 消息中携带第三公钥和初始信任状。

其中， 若 VNF和认证中心之间没有直连接口的话， 则证书请求消息可以通 过 EMS进行转发。

802、 认证中心用初始信任状信息验证接收到的证书 请求消息。

803、若验证成功， 认证中心用网络运营商根证书或网络运营商中 间证书 对应的私钥对第三公钥进行签名， 生成运营商签发的 VNF正式证书。

804、 认证中心向 VNF发送证书响应消息。

该证书响应消息携带的信息例如包括正式证书 和认证证书。 其中， 该证 书响应消息例如可以用认证证书对应的私钥进 行签名。

其中， 若认证证书不是直接由网络运营商根证书签发 ， 则上述证书响应 消息还携带的信息还包括网络运营商的中间证 书。

其中， 当 VNF已经预配置了网络运营商根证书的情况下， 则上述证书响应 消息中不用再携带网络运营商根证书， 否则需要携带网络运营商根证书。

805、 VNF用接收到的认证证书验证接收到的证书响应 消息， 用网络运营 商根证书验证认证证书。

806、 若验证成功， 则获得网络运营商签发的 VNF正式证书。

例如还可以获得网络运营商的根证书。 其中， 若认证证书不是直接由网 络运营商根证书签发的话， 则 VNF用网络运营商中间证书验证认证证书， 用网 络运营商根证书验证中间证书。

之后， VNF和认证中心之间继续进行剩下的证书确认交 互过程。

本发明实施例 VNF或 VNFC利用所述初始信任状信息从认证中心获取 网络运营商签发的正式证书， 从而可以在后续的通信过程中与通信对端建 立安全连接， 提高虚拟网络通信的安全性。

图 9为本发明一实施例提供的虚拟网络管理实体� �结构示意图， 如图

9所示， 包括：

获取模块 91， 用于获取虚拟网络功能实体的初始信任状信息 ； 实例化模块 92，用于在对所述虚拟网络功能实体进行实例� ��的过程中 或实例化之后， 将所述初始信任状信息安装到所述虚拟网络功 能实体中， 以使所述虚拟网络功能实体利用所述初始信任 状信息从认证中心获取所 述虚拟网络功能实体的网络运营商签发的正式 证书。

可选地， 所述获取模块 91用于： 在接收网络运营管理实体发送的实例 化请求中获取所述实例化请求中包括的所述虚 拟网络功能实体的初始信任状 自

可选地， 所述获取模块 91 还用于： 从所述虚拟网络功能包或所述虚 拟网络功能的镜像文件或所述虚拟网络功能的 描述器 VNFD 中或所述虚拟 网络功能的实例化数据中获取所述虚拟网络功 能实体的初始信任状信息； 所述虚拟网络功能包或所述镜像文件或所述 VNFD 或所述实例化数据 为所述网络运营管理实体在所述虚拟网络管理 实体对所述虚拟网络功能 实体进行实例化之前或实例化的过程中发送给 所述虚拟网络管理实体，所 述虚拟网络功能包或所述 VNFD 或或所述实例化数据所述镜像文件或所述 实例化数据中包括所述初始信任状信息。

可选地， 所述初始信任状信息包括但不限于证书、 预共享密钥、 令牌 和 /或密码。

可选地， 所述初始信任状信息包括证书时， 所述初始信任状信息中包 括初始证书以及对应的第一私钥；

所述初始证书是所述虚拟网络功能实体的提供 商或网络运营商为所 述虚拟网络功能实体所签发， 所述第一私钥为所述初始证书对应的第一公 钥 -私钥对中的私钥。

可选地， 所述初始证书用所述虚拟网络功能实体的提供 商的根证书或 中间证书对应的私钥进行签名， 其中， 所述虚拟网络功能实体的提供商的中 间证书是隶属于所述虚拟网络功能实体的提供 商的根证书的下级子证书签发 的证书； 或者

所述初始证书用所述虚拟网络功能实体的网络 运营商的根证书或中间 证书对应的私钥进行签名， 其中， 所述虚拟网络功能实体的网络运营商的中 间证书是隶属于所述虚拟网络功能实体的网络 运营商的根证书的下级子证书 签发的证书。

可选地， 所述虚拟网络管理实体包括第一管理实体 NFV0、第二管理实 体 VNFM、 第三管理实体 VIM和第四管理实体 NFVI管理控制单元；

所述网络运营管理实体包括运营支撑系统 0SS或网元管理系统 EMS; 所述虚拟网络功能实体包括虚拟网络功能单元 VNF或虚拟网络功能子 单元 VNFC。

可选地，所述初始信任状信息由所述第一管理 实体 NFV0或所述第二管 理实体 VNFM或所述网络运营管理系统为所述虚拟网络� �能实体配置的初始 信任状信息。

可选地， 所述初始信任状信息由所述第一管理实体 NFV0发送给所述 第三管理实体 VIM,或者由所述第二管理实体 VNFM经由所述第一管理实体 NFV0发送给所述第三管理实体 VIM , 或者由所述第二管理实体 VNFM发送 给所述第三管理实体 VIM。

可选地，所述初始信任状信息在 VNF实例化过程中或实例化过程之后， 由所述第三管理实体 VIM发送给所述第四管理实体 NFVI管理控制单元， 并由所述第四管理实体 NFVI 管理控制单元通过虚拟机安装于所述虚拟网 络功能实体上。

第四管理实体 NFVI 管理控制单元本实施例所述的虚拟网络管理实 体 可以执行上述图 1或图 3-图 7中任一项实施例所述的证书配置方法，具体 技术效果不再赘述。

图 10 为本发明一实施例提供的虚拟网络功能实体的 结构示意图， 如 图 10所示， 包括：

第一获取模块 1 1，用于在虚拟网络管理实体对所述虚拟网络� �能实体 进行实例化的过程中或实例化之后获取初始信 任状信息；

第二获取模块 12，用于利用所述第一获取模块获取的初始信� ��状信息 从认证中心获取所述虚拟网络功能实体的网络 运营商签发的正式证书。

可选地， 所述初始信任状信息包括但不限于证书、 预共享密钥、 令牌 和 /或密码。

可选地， 所述初始信任状信息包括证书时， 所述初始信任状信息中包 括初始证书以及对应的第一私钥；

所述初始证书是所述虚拟网络功能实体的提供 商或网络运营商为所 述虚拟网络功能实体所签发， 所述第一私钥为所述初始证书对应的第一公 钥 -私钥对中的私钥。

可选地， 所述初始证书用所述虚拟网络功能实体的提供 商的根证书或 中间证书对应的私钥进行签名， 其中， 所述虚拟网络功能实体的提供商的中 间证书是隶属于所述虚拟网络功能实体的提供 商的根证书的下级子证书签发 的证书； 或者

所述初始证书用所述虚拟网络功能实体的网络 运营商的根证书或中间 证书对应的私钥进行签名， 其中， 所述虚拟网络功能实体的网络运营商的中 间证书是隶属于所述虚拟网络功能实体的网络 运营商的根证书的下级子证书 签发的证书。

可选地， 所述初始信任状信息携带在所述虚拟网络功能 包或所述虚拟 网络功能的镜像文件或所述虚拟网络功能的描 述器 VNFD 中或所述虚拟网 络功能的实例化数据中。

可选地， 所述虚拟网络管理实体包括第一管理实体 NFV0、第二管理实 体 VNFM、 第三管理实体 VIM和第四管理实体 NFVI管理控制单元；

所述网络运营管理实体包括运营支撑系统 0SS或网元管理系统 EMS ; 所述虚拟网络功能实体包括虚拟网络功能单元 VNF或虚拟网络功能子 单元 VNFC。

可选地，所述初始信任状信息还可以为所述第 一管理实体 NFV0或所述 第二管理实体 VNFM或网络运营管理实体为所述虚拟网络功能� �体配置的初 始信任状信息。

可选地， 所述第二获取模块 12具体包括：

发送单元 121， 用于向所述认证中心发送证书请求消息， 所述证书请 求消息中包括第三公钥和所述初始信任状； 以使所述认证中心使用所述初始 信任状验证接收到的所述证书请求消息； 在验证成功时使用所述网络运营商的 根证书或中间证书对应的私钥对所述第三公钥 进行签名， 生成所述网络运营商 签发的正式证书；

接收单元 122， 用于接收所述认证中心发送的证书响应消息， 所述证 书响应消息中包括所述正式证书， 或者所述证书响应消息中还包括所述网 络运营商的根证书；

验证单元 123， 用于验证所述证书响应消息， 并用预置的或者所述证 书响应消息中包括的所述网络运营商的根证书 验证所述认证证书；

获取单元 124， 在所述验证单元验证成功时， 获得所述网络运营商签 发的正式证书。

可选地，所述第三公钥为所述虚拟网络功能实 体生成或配置的第三公钥- 私钥对中的公钥；

所述证书请求消息用所述初始信任状对应的私 钥进行签名；

所述证书响应消息包括认证证书，用所述认证 证书对应的私钥进行签名； 可选地， 所述认证证书是所述网络运营商的根证书或中 间证书签发的； 若所述认证证书是所述网络运营商的中间证书 签发，则所述方法还包括： 所述虚拟网络功能实体使用所述网络运营商的 中间证书验证所述认 证证书， 用所述网络运营商的根证书验证所述中间证书 。

本实施例所述的虚拟网络功能实体可以执行上 述图 2或图 8所示实施 例中所述的证书配置方法， 具体技术效果不再赘述。

图 11 为本发明一实施例提供的一种基于网络功能虚 拟化的证书配置 系统的结构示意图， 如图 11所示， 包括： 虚拟网络管理实体 21、 虚拟网 络功能实体 22和认证中心 23 ;

所述虚拟网络管理实体 21为图 9所示实施例中所述的虚拟网络管理 实体；

所述虚拟网络功能实体 22为图 10所示实施例中所述的虚拟网络功能 实体；

所述认证中心 23用于接收所述虚拟网络功能实体发送的证书� ��求消 息， 所述证书请求消息中包括第三公钥和所述初始 信任状； 使用所述初始 信任状验证接收到的所述证书请求消息， 并使用预置的所述虚拟网络功能 实体的提供商或网络运营商的根证书验证所述 证书请求消息中包括的初 始信任状， 在验证成功时使用所述网络运营商的根证书或 中间证书对应的 私钥对所述第三公钥进行签名， 生成所述网络运营商签发的正式证书； 所 述第三公钥为所述虚拟网络功能实体生成或配 置的第三公钥 -私钥对中的 公钥。

举例来说， 本实施例中所述的 NFV系统中应用的接口包括：

( 1 )虚拟层和硬件资源之间的接口 VI-Ha: 通过该接口虚拟层可以请 求硬件资源并收集相关的硬件资源状态信息。

( 2 ) VNF和 NFVI之间的接口 Vn-Nf : 描述 NFVI提供给 VNF的执行环境。 ( 3 ) NFV0和 VNFM之间的接口 0r-Vnfm，是 MANO的内部接口，其中， NFVO、 VNFM和 VIM共同组成 MANO , 具体用于：

VNF Manager发送资源相关的请求： 例如资源的授权、 验证、 预留、 分配等， 用作 VNF的生命周期管理；

NFV0发送配置信息给 VNFM, 使得 VNF能够根据 VNF转发图 （forwarding gragh ) 被合理地配置；

收集 VNF的状态信息用作 VNF的生命周期管理。

( 4 ) VIM和 VNFM之间的接口 Vi-Vnfm， 是 MANO的内部接口， 具体用于： VNF Manager发送资源分配请求；

虚拟硬件资源配置以及状态信息 （如事件） 交换。

( 5 ) NFV0和 VIM之间的接口 0r-Vi， 是 NFVO的内部接口， 具体用于： NFV0发送资源预留请求；

NFV0资源分配请求；

虚拟硬件资源配置以及状态信息 （如事件） 交换。

( 6 ) NFVI和 VIM之间的接口 Nf-Vi， 具体用于：

根据资源分配请求进行特定的资源分配；

转发虚拟资源状态信息；

虚拟硬件资源配置以及状态信息 （如事件） 交换。

( 7 ) 0SS/BSS和 NFV0之间的接口 0s-Ma， 具体用于：

请求对 service gragh的生命周期管理；

请求 VNF生命周期管理；

转发 NFV相关的状态信息；

交换策略管理信息；

交换数据分析信息；

转发 NFV相关的计费和使用记录；

交换容量和存货 （inventory ) 信息，

( 8 ) VNF/EMS和 VNFM之间的接口 Ve-Vnfm， 具体用于：

请求 VNF生命周期管理；

交换配置信息；

交换进行业务生命周期管理所必须的状态信息 ； ( 9 ) Service, VNF and Infrastructure Descript ion禾口 NFVO之间的 接口 Se-Ma: 该接口用来检索与 VNF转发图 （forwarding gragh ) 相关的 信息、 与业务相关的信息、 与 VNF相关的信息， 以及与 NFVI信息模型相关 的信息。 该信息提供给 NFV0使用。

本实施例中所述的 NFV系统通过上述接口实现证书配置过程， 具体可 以参考上述图 1-图 8任一项实施例中所述的证书配置过程， 详细内容不再 赘述。

本实施例中所述的 NFV系统通过借鉴 IT的虚拟化技术， 在通用的高性 能服务器、 交换机和存储中实现部分网络功能。 进而通过基于行业标准的 X86服务器、 存储和交换设备， 来取代通信网私有专用的网元设备。 本实 施中所述 NFV系统中的虚拟网络管理实体和虚拟网络功能 实体可以以软件 方式实现， 并能在通用的服务器硬件上运行， 可以根据需要进行迁移、 实 例化、 部署在网络的不同位置， 并且不需要安装新设备， 能够为运营商节 省巨大的投资成本； 同时其开放的 API接口，能帮助网络运营商获得更多、 更灵活的网络能力。

进一歩地， 本实施例所述的 NFV系统还可以在对 VNF或 VNFC实例化中或 实例化之后将 VNF初始信任状信息安装到 VNF或 VNFC中， 使得 VNF或 VNFC可 以利用 VNF初始信任状信息从认证中心获取 VNF网络运营商签发的正式证 书， 从而可以在后续的通信过程中与通信对端建立 安全连接， 提高虚拟网络 通信的安全性。

图 12为本发明一实施例提供的一种服务器的结构� ��意图， 如图 12所 示， 包括处理器 31和存储器 32， 所述处理器和存储器通过总线连接， 其 特征在于：

所述存储器 32中保存有实现如图 1所示实施例中所述的基于网络功 能虚拟化的证书配置方法所对应的指令， 所述处理器 32执行如图 1所示 实施例中所述的基于网络功能虚拟化的证书配 置方法所对应的指令。

具体可以参考上述图 1或图 3-7中任一项实施例所述的证书配置过程， 详细内容不再赘述。

图 13为本发明一实施例提供的一种服务器的结构� ��意图， 如图 13所 示， 包括处理器 41和存储器 42， 所述处理器和存储器通过总线连接， 其 特征在于：

所述存储器 42中保存有实现如图 2所示实施例中所述的基于网络功能虚 拟化的证书配置方法所对应的指令，所述处理 器 41执行如图 2所示实施例中所 述的基于网络功能虚拟化的证书配置方法所对 应的指令。

具体可以参考上述图 2或图 8所示实施例中所述的证书配置过程， 详 细内容不再赘述。

所属领域的技术人员可以清楚地了解到， 为描述的方便和简洁， 上述描 述的系统， 装置和单元的具体工作过程， 可以参考前述方法实施例中的对应 过程， 在此不再赘述。

在本申请所提供的几个实施例中， 应该理解到， 所揭露的系统， 装置和 方法， 可以通过其它的方式实现。 例如， 以上所描述的装置实施例仅仅是示 意性的， 例如， 所述单元的划分， 仅仅为一种逻辑功能划分， 实际实现时可 以有另外的划分方式， 例如多个单元或组件可以结合或者可以集成到 另一个 系统， 或一些特征可以忽略， 或不执行。 另一点， 所显示或讨论的相互之间 的耦合或直接耦合或通信连接可以是通过一些 接口， 装置或单元的间接耦合 或通信连接， 可以是电性， 机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可 以不是物理上分开的， 作 为单元显示的部件可以是或者也可以不是物理 单元， 即可以位于一个地方， 或者也可以分布到多个网络单元上。 可以根据实际的需要选择其中的部分或 者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可 以集成在一个处理单元中， 也可以是各个单元单独物理存在， 也可以两个或两个以上单元集成在一个单 元中。 上述集成的单元既可以采用硬件的形式实现， 也可以采用硬件加软件 功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元 ， 可以存储在一个计算机 可读取存储介质中。 上述软件功能单元存储在一个存储介质中， 包括若干指 令用以使得一台计算机设备（可以是个人计算 机，服务器，或者网络设备等） 执行本发明各个实施例所述方法的部分歩骤。 而前述的存储介质包括： 移动 硬盘、 只读存储器 （英文： Read-Only Memory, 简称 ROM ) 、 随机存取存储 器 （英文： Random Access Memory , 简称 RAM) 、 磁碟或者光盘等各种可以 存储程序代码的介质。

最后应说明的是： 以上实施例仅用以说明本发明的技术方案， 而非对其 限制； 尽管参照前述实施例对本发明进行了详细的说 明， 本领域的普通技术 人员应当理解： 其依然可以对前述各实施例所记载的技术方案 进行修改， 或 者对其中部分技术特征进行等同替换； 而这些修改或者替换， 并不使相应技 术方案的本质脱离本发明各实施例技术方案的 保护范围。